时间:2023-06-08 11:17:12
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全演练计划,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
根据州综合行政执法局《关于开展网络安全自查自检工作的通知》的要求,积极安排部署,结合检查内容及相关要求,成立专门的领导小组,由局长任组长、下设办公室,做到分工明确,责任到人,对局所有的计算机及网络安全情况进行自查,确保网络安全自查工作顺利实施。
二、网络安全等级保护工作开展情况
按照县级网络安全主管部门的工作要求将网络安全保护工作纳入日常工作中,要求网络安全负责人员以高度的责任感负责日常网络安全检查工作,任何个人不得在办公电脑上使用违反网络安全的软件,一旦发现将交由相关部门处理。但是暂未将网络安全等级保护纳入年度考核,行业网络安全工作经费未纳入年度预算。
三、关键信息基础设施安全保护工作开展情况
因单位新成立,目前正建立健全单位的基本规章制度,关于行业信息基础设施安全保护工作方面的行业标准规范、基础设施认定规则、保障机制将会纳入下一步的工作计划当中,尽快建立健全基础设施保护机制。
四、网络与信息安全信息通报工作开展情况
网络安全作为当前比较具有危险性的工作,加强网络安全检测是一项非常重要的工作,局长作为第一责任将会定期检查单位日常网络使用情况,以有则改之,无则加勉的态度要求网络使用者提高网络使用的警惕性,局办公室将会根据网络安全使用的情况进行通报批评,个人根据自己的出现的问题进行检讨,不断提高网络使用者的网络安全意识。
五、网络安全防护类平台建设工作开展情况
由于单位的能力和水平还未建设网络安全防护类平台建设。
六、当前网络安全方面存在的突出问题
(一)网络安全基础设施保护不规范。经自查发现:未制定出台关键信息基础设施保护行业规范,未建立关键信息基础设施安全保障机制,对本单位信息基础设施安全保护工作自查意识不强。
(二)网络安全制度不健全。自查发现:未制定网络安全考评、本行业网络安全与信息安全通报、未出台网络安全保护政策、管理办法、管理规定等规范性文件。
关键词:金融风险;防范;管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)10-2201-02
随着我国金融业的蓬勃发展,各金融机构不断加大金融电子化建设投入,扩大其网络规模和应用范围。但是,应该看到,金融电子化在给我们提供便利的同时,也带来了新的安全问题,并且,这个问题现在显得越来越紧迫。
1金融网络现状与面临的主要风险
金融活动越来越多地在计算机网络上建立,网上证券交易、资金转账、清算支付、信用卡交易、信用查询、电信银行业务等基于网络的金融产品不断被开发出来,各种不同规模的金融系统也在迅速的发展壮大,金融业务的网络化趋势,已经成为不可避免的发展方向。
在网络为我们提供巨大便利的同时,来自外部与内部的威胁与风险也在不断加大。绝大多数银行、金融机构都会通过各种方式进行互联互通,并与国际互联网直接或间接相连,如何有效防范来自外部的攻击、窃听、木马、病毒的多重入侵是金融网络组建与运行中必须首要考虑的问题。同时,机构内部的员工、终端、服务器、网络设备、软件等的管理也是不可忽视的,由于外部出口是一个点,而内部体系是一个面,所以来自内部的威胁往往要远远大于外部,必须加以足够的重视。
2金融网络的风险评估与防范
最有效的金融网络风险防范措施就是对网络系统进行等级保护,按照重要程度进行级别划分,对不同等级的网络系统通过物理隔离或逻辑隔离划定边界,并针对不同等级的网络系统,特别是核心业务网络定期进行风险评估,系统地分析所面临的威胁及其存在的脆弱性,查找薄弱环节和安全隐患,有针对性的提出防范和化解风险的整改措施,并及时进行整改。
风险评估根据网络系统等级划分后的的重要程度和机构自身的条件选择自评估或聘请第三方专业机构进行。评估过程大致可以分为现场检查、风险分析及策略选择3个步骤进行。
首先,现场检查阶段应明确目前网络资产情况、网络系统的安全需求、当前的安全控制措施情况、业务对网络系统的依赖性,明确网络系统的技术脆弱性,主要包括:设计弱点、实现弱点、配置弱点等等。现场检查切勿走形式,务必提前制定详细的检查方案与实施细则,并严格按照检查计划进行。只有现场检查阶段得到了全面、真实的业务数据,才能为后面的综合分析提供必要的基础支持。
风险分析阶段是整个风险评估的核心部分,需要利用现场检查阶段得到的各类数据,综合分析金融网络系统所存在的各类风险。具体实施则应包括关键资产安全需求(机密性、完整性和可用性)确定、关键资产威胁分析、脆弱性分析、综合风险计算及风险分析总结等几个方面。
安全需求分析包括应选择关键资产、并对关键资产进行安全需求分析与赋值。威胁分析针对环境因素和人为因素分析威胁来源、对威胁进行分类、研究威胁发生的可能性、分析威胁的严重程度。脆弱性分析包括以下几点:网络安全策略及管理规章制度是否健全;安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否合理;网络系统的体系结构、各类安全保障措施的组合是否合理;网络安全域划分、边界防护、内部网络防护、外部设备接入控制、内外网隔离等是否到位;网络设备、安全设备、主机和终端设备的安全性是否可靠,操作系统的安全配置、病毒防护、恶意代码防范等是否有效。此外,还应检查设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理情况;机房安全管控措施、防灾措施、供电和通信系统的保障措施等;关键资产采购时是否进行了安全性测试,对外部服务机构和人员的保密约束情况,在服务提供过程中是否采取了管控措施;应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况等。
综合风险分析主要是综合分析网络与信息系统的整体安全现状,对资产、威胁、薄弱环节、已有安全措施进行综合分析,分析安全事件发生的可能性;分析安全事件发生后可能造成的后果和影响;分析网络和信息系统的整体风险状况,最后根据风险的程度逐 条列出风险列表,通常可将风险划分为3个等级,即一般风险、中级风险和高级风险。
策略选择阶段根据前一阶段得到的风险列表,结合安全需求和业务目标,开展相应的整改工作,开发和选择符合成本效益的信息安全保护策略,包括安全管理策略和安全运行策略,并制定合适的风险缓解计划。特别是针对高级风险应立即采取相应措施进行化解,对于短时间内受各种客观条件限制而不能及时处理的高级风险,应制定专项风险防范方案,并提出后期整改计划。
经过较为全面的风险评估与相应的整改,可以极大的降低金融网络安全事件的发生概率。需要注意的是,风险评估保证必须定期组织进行,并将责任落实到人,确保整改到位。
3金融网络的应急体系
做好风险评估与防范,千万不能忽视应急体系的建立与管理,即使金融网络各方面风险已得到控制,仍避免不了各类突发事件的发生,如何在紧急情况下以最快的速度恢复系统运行或使用替代方式继续进行业务处理,是衡量一个网络体系是否健全完善的重要指标。
金融网络比起其他普通网络系统,有着更加重要的地位,一个社区的网络或是一所学校的网络系统出现故障所产生的社会不良影响远不及一家银行资金业务或支付清算系统网络所出现的事故。金融网络的应急处理必须得到高度的重视。
金融网络应急体系建立的首要环节就是要建立一套全方位的应急组织协调机制,应涉及应急处理的各个部门、单位及相关政府职能部门,能在突发事件发生后的第一时间进行组织协调,确定应急方案,调动各方力量,实现应急联动。
其次,金融机构应结合自身的实际情况,制定和不断完善IT层面的应急预案,完善网络、机房环境等应急操作手册,提高金融网络系统应对突发事件的能力,有效、快速、合理地应对突发事件,最大程度地减少金融网络信息安全事件造成损失和影响,保障金融业务的连续运行。
应急预案的有效性取决于预案所涉及的人员对预案的理解。因此必须定期组织要对预案的宣传、培训和实战演练,确保参与应急处理的每个人均能充分理解应急预案的中心思路、应急处理的原则、应急处理的具体执行流程,以便在实际应急处理过程中迅速进入状态,确保应急处理的效果。
实战演练是为检验应急设施的有效性、锻炼应急队伍、改进应急预案等,针对真实运行的系统主动进行的演练,实战演练前应检查预防性措施的就绪情况,以防止可能发生的演练风险。演练必须注重真实性,不能走过场,要模拟出真实事件发生的效果,最好由第三方组织在不通知预案执行者的前提下进行,以达到更真实的现场效果。
4结束语
金融网络必须有足够强的安全防卫措施,否则将会影响到金融业的可持续发展。网络安全保障是一个综合集成的系统,它的规划、管理要求国家有关部门、金融机构及IT技术公司通力合作,进行科学的、强有力的干预、导向和防护。随着金融信息化的迅猛发展,金融网络不再局限于专网,而必须使用如互联网那样的公网。通过风险评估机制来建立完善的安全管理制度和智能、深度的安全防御技术手段,构建一个管理手段与技术手段相结合的全方位、多层次、可动态发展的纵深安全防范体系,为金融业务的发展提供一个坚实的信息系统基础保障。
参考文献:
广泛开展网络安全宣传教育,增强全社会网络安全意识,国家网络安全宣传周就是一个很好的契机,下面小编给大家整理的国家网络安全宣传周活动心得体会范文五篇,希望大家喜欢!
国家网络安全宣传周活动心得体会范文一
为进一步推动网络安全建设,加强网络安全教育宣传,市妇联围绕“网络安全为人民,网络安全靠人民”活动主题,多措并举深入开展网络安全宣传周活动。
1、线上通过市妇联的微信公众号、微信群、QQ群进行网络安全知识和相关活动情况的宣传推送。
2、深入村(社区)“妇女之家”开展网络安全宣传周进社区活动。
刊江办事处妇联主席朱喜玉在朱木桥社区“妇女之家”以“网络安全为人民,网络安全靠人民”为主题向社区的妇女群众宣传讲解了网络安全知识。让广大妇女群众了解网络宣传知识和防护技能。
3、线下组织巾帼志愿者宣传网络安全知识。
巾帼志愿者们通过发放宣传手册、解答咨询等多种形式向过往居民宣传讲解。
通过宣传教育活动,进一步普及网络安全知识,增强网络安全意识,切实做好妇女群众、青少年网络安全工作,为创建平安网络奠定坚实的基础。
国家网络安全宣传周活动心得体会范文二
为了给我校广大师生普及网络安全知识,提升网络安全意识和防护技能,我校围绕以“网络安全为人民,网络安全靠人民”为活动主题,开展了网络安全公益短片展播,网络安全宣传手册发放、网络安全知识竞答、校内网络安全攻防比赛、网络安全技术讲座等系列活动,一项项活动展示了我校对普及网络安全知识的重视,筑牢网络安全防线、营造清朗网络空间理念深入人心,内容丰富、形式多样的网络安全教育活动在学校引起热烈反响。现将此次网络安全宣传周活动总结如下:
一、精心组织,多部门协作
根据教育厅《关于组织开展国家网络安全宣传周活动的通知》要求,我校认真制定了《开展国家网络安全宣传周暨新疆师范大学第二届网络安全宣传周活动方案》,由党委宣传部、网信办、团委、学生处、保卫处、各学院共同组织举办网络安全教育活动、协调配合完成校园各类活动。
二、活动形式多样、内容丰富
(一)开展校园网络安全宣传活动
1、通过建立网络安全专题网站宣传专题网站,相关的安全知识、法律法规及相关案例,并收集相关视频、音频、文字资料供广大师生下载学习使用;
2、利用学校电子大屏、校园广播和新媒体、宣传板等做好宣传,通过信息管理中心公众号,QQ群、三校区特定位置网络安全知识宣传册,以及放置网络安全法宣传海报、网络安全知识海报等;
3、三校区LED屏滚动诸如“没有网络安全就没有国家安全,没有信息化就没有现代化”等标语;
4、在三校区食堂放置的电视上循环播放网络安全公益短片
5、网络安全宣传手册发放。
宣传手册涵盖国家政策、网络安全常识等内容,三校区共发放宣传手册3000余份。
由信息管理中心和计算机科学技术学院自主命题,通过校园网在线答题方式,引导师生主动学习网络安全知识,对于前五十名成绩优异的师生,给予奖励。
(三)开展网络安全攻防大赛
为选拨网络安全人才、提高学生对网络安全的学习兴趣,为期两天的网络安全攻防大赛,取得良好成效。
三、效果明显、深入人心
通过本次网络安全宣传周活动,全校师生对网络安全有了更多的认识,了解了网络安全的重要性,构筑出了网络安全的第一道防线,在增强师生们的网络安全防范意识和自我保护技能方面都取得了较好的效果。通过本次网络安全宣传周的活动,使得每位师生更扎实的理解网络安全的重要性。
国家网络安全宣传周活动心得体会范文三
根据《关于转发2020年广东省网络安全宣传周活动方案的通知的通知》文件精神,学校开展了网络安全宣传周活动,现将活动情况总结如下:
在宣传周期间,我校根据中央网信办通知要求,通过主题宣传教育活动,增强学校教职员工、学生网络安全意识,提高网络安全技能,营造网络安全人人有责、人人参与的良好氛围,保障用户合法权益,号召大家共同来维护国家网络安全。切实做好了全省教育系统倡导的“网络安全宣传周”活动。现将我校宣传活动总结如下:
一、加强领导,责任到人
学校高度重视网络安全宣传周活动,由教务处牵头,信息技术教研组落实,成立了网络安全宣传周活动领导小组,制定了宣传周活动方案(详见附件),确保网络安全宣传周活动有序有效开展。
二、宣传周系列活动
1.观看网络安全相关视频
我校由德育处曾志强主任牵头,信息组邹军老师下载网络安全等视频,全校60个班利用晚修时间观看网络安全视频,内容涉及到《网络安全教育宣传片》、《网络安全宣传片05》、《网络安全宣传片06》、《网络安全小视频》、《2020年国家网络安全宣传周》。
2.开展网络安全主题班会课
由德育处安排统筹,信息教研组黄华平老师统一制作PPT课件,开始在全校各班利用班会课,同时在高一年级,利用信息技术课时间对学生开展了网络安全为主题的普及教育课。各班在统一课件的基础上,根据自己年级、班级特点进行适当的调整。对学生的教育收到了良好的效果。
3.利用多种手段进行宣传
我们依托市的微课掌上通、学校微信公众号、学校的校园广播站等途径对学生和家长进行网络安全教育宣传。还利用在国旗下的讲话对网络安全进行宣传。
三、后记
本次首届网络安全周宣传活动是与时俱进、具有积极意义的活动,特别对于正值青春期的高中生来讲,学会如何防范如病毒木马传播、黑客攻击破坏、网络盗窃诈骗、有害信息蔓延、网络游戏成瘾等更是具有积极意义。我校通过此次“网络安全宣传周”活动加强了网络安全宣传教育,提升了学生们的网络安全意识和基本技能,构筑出了网络安全的第一道防线,在增强学生们的网络安全防范意识和自我保护技能方面都取得了较好的效果。
国家网络安全宣传周活动心得体会范文四
为进一步提升全员网络安全意识,增强企业网络安全风险管控水平,近日,市局以“网络安全为人民、网络安全靠人民”为主题,扎实开展“国家网络安全宣传周”活动,营造起良好的网络安全环境。
加强组织领导,层层分解责任。结合工作实际,制定“国家网络安全宣传周”活动计划,健络安全管理组织机构,细化安全主体责任和监管责任,落实终端病毒防控、日常运维监测、系统隐患整改等方面的管控措施,严防网络安全事故发生。
加强宣传引导,增强安全意识。强化网络风险宣传,定期通过微信群、微信公众号等方式,对网络诈骗手段、个人信息保护措施等进行专题推送;充分利用电梯间展示终端“使用频繁、受众广泛”特点,选取网络安全警示教育短片,进行全天滚动播出,引导全员了解网络安全风险,培养安全意识。
加强教育培训,有效防范风险。组织信息化方面骨干力量,到青岛市局(公司)、中百集团等单位学习网络安全风险管控措施和经验;邀请信息化安全方面专家,采用观看网络安全警示教育片、实例讲解、模拟故障处理等形式对网络安全知识进行培训,进一步提高网络安全辨别能力和防御能力。
加强日常管控,提升应急处置能力。联合专业机构,对应用系统、网络核心设备等重点部位进行检测,查找安全漏洞,采取有效防护措施;按照网络安全应急预案演练方案,组织信息化部门人员定期演练,针对发现的问题,及时修订完善应急预案,切实提升突发事件应急处置能力。
国家网络安全宣传周活动心得体会范文五
按照委网络安全与信息化领导小组办公室的统一部署,我局全力推动、积极组织第三届国家网络信息安全宣传周相关活动。通过活动,全面加强了全局网络安全工作,提高了干部职工网络安全意识。依据《关于开展好全区第三届国家网络安全宣传周活动的通知》(党网办发文1号)的相关要求,结合我局组织开展宣传教育活动的实际情况,现将活动开展情况汇报如下:
一、加强网络安全认真部署全局网络安全意识
为切实抓好这次活动,自收到通知和全区活动方案后,我局召开党组会,对全局开展国家网络信息安全宣传活动周作了详细的布置,明确了相关人员的职责,会后转发《关于开展好全区第三届国家网络安全宣传周活动的通知》到机关各科室和机关各党支部。要求各科室和机关各支部充分利用各种会议、活动、集体学习等有效形式,在全局广泛宣传和普及网络安全教育的法律、法规政策和相关知识,强化全体职工对网络安全教育工作的参与意识和责任意识。
二、精心组织狠抓落实
为确保宣传周活动不走过场,达到预期效果,我局强化措施,狠抓落实,确保了活动取得实效。成立了以局长。党组书记为组长的宣传活动领导小组,全面负责本次宣传活动的方案拟定、工作部署、组织协调等工作。领导班子成员各负其责,负责督导分管科室,全力按照区委领导小组和局领导小组的工作要求,做好本次宣传周的活动。
三、形式多样内容丰富
1、针对活动意义和活动目的,确定宣传标语为:共建网络安全,共享网络文明。
通过宣传栏和条幅的方式公开宣传。
2、充分利用发放宣传资料的方式,广泛宣传网络安全教育相关知识。
3、全局组织统一培训,对干部职工安全使用支付系统以及办公网络进行系统教育,上好网络安全第一课.
4、局党组成员和科室负责人签署网络安全责任书,确保责任到人、到岗。
5、组织了全局网络使用情况摸底调查,对可能存在的网络安全隐患进行排查。
四、效果明显深入人心
1、经过这次活动,全局干部职工对网络安全教育有了新的认识。
一是对网络安全教育工作重视程度提高了,参与热情提高了;二是对网络安全的漏洞得以填补,使办公网络的使用更加安全。
2、全局干部职工的网络安全意识明显提高。
目前,上海数字经济占GDP比重已超50%,占据上海经济的主导地位。2021年1月27日,上海市十五届人大五次会议批准《上海市国民经济和社会发展第十四个五年规划和二〇三五年远景目标纲要》,明确提出,2025年上海数字经济增加值占全市生产总值(GDP)比重预期将超过60%。目前,上海数字经济所涉及的主要产业包括集成电路、云计算与大数据、工业互联网、人工智能、电子商务、网络娱乐、在线教育和在线医疗、在线办公以及在线金融(如数字货币、期货、股市等)等,未来还将包括远程自动化、无人生产系统等,其分布空间涉及到海(航运)陆(传统制造和服务业)空(空运)全方位。数字经济极大地依赖基于计算机网络的互联网,包括专属互联网、公共互联网以及工业互联网。专属互联网专门服务于企业或集团内部,公共互联网服务于大众并连接各种专属网络,工业互联网服务于制造业。这些网络的安全性将直接影响到数字经济的正常运转。所以,构建上海网络安全体系势在必行。威胁网络系统安全的因素非常多,可简单分成自然因素和人为因素。自然因素是指如地震、洪水和飓风以及雷电等恶劣自然现象,它们主要会对网络通信基础设施造成破坏。而人为因素则复杂多样,威胁发起者可从个人直到国家甚至国家联盟,能危害到网络系统的各个组成部分,是网络安全体系所要解决的核心问题,也是本文所要讨论的主要内容。
一、网络架构与网络核心技术
(一)网络架构的本质及其安全问题
从本质上看,网络就是把计算机联接起来的软硬件体系,而把不同国家和地区的计算机及网络相互联接起来就形成了互联网,其中因特网的影响力最大。除了因特网(Internet),美国还控制和运行着别的互联网比如“国际学术网”(BITNET),美国还从2018年开始启动“射月工程”,研发全新架构的互联网,用于替代有本质安全缺陷的因特网。互联网的基础是由地址架构、寻址协议、通信方式、网络设施等构成。地址架构就是构建网络地址的数据格式和表达方式,决定着网络空间的大小和特性,更是攸关网络安全,因特网的大量安全问题本质上就是因特网的地址架构存在严重缺陷并难以克服。寻址协议就是找到网络地址(网络空间)的方法,具体体现为一系列的接口软件,因特网目前广泛使用第四版TCP/IP寻址协议族即IPv4,正在推广第六版寻址协议族即IPv6,这些TCP/IP协议族的知识产权大多由其他国家垄断。通信方式是前往网络地址(网络空间)的道路,目前广泛采用第三代通信方式即IP分组、路由表广播等,对路由表广播的控制权是其他国家实现定向网络干扰或断网、定向窃取网络信息的技术基础,但并未引起我国安全部门的重视。网络设施主要由通信光缆、交换设备、路由设备、根服务器、计算设施、存储设施、操作系统、应用软件等组成,是目前政府和公众对网络安全的关注焦点。
(二)网络的核心技术组成
网络系统主要由网络通信基础设施(如光缆、路由交换器、通信基站、二次电源等)、网络运行系统(如路由系统、数据传输协议)、网络服务系统(如域名系统、用户认证系统等)和网络应用系统(如电子商务、云计算、区块链等)所组成。网络安全体系的构建必须要覆盖这四大组成部分,它们是网络安全体系中的核心技术组成部分,是网络安全体系的基础。一是网络通信基础设施。该部分可分成骨干网和接入网两部分。骨干网络设施是互联网的主动脉,以光纤和相关交换设备为主,在和平时期要确保其绝对安全可靠和高性能运行,以满足各类应用的需求;在战争时期,要尽量确保安全可靠的基础服务,满足特殊应用的需求。要达到这一目的,要保障一定数量的冗余网络设施,也可以研究新型网络技术来综合使用民间通信资源。接入网为用户终端提供入网服务,目前以有线和无线接入方式混合。我们需要提供更多灵活安全的接入方法。但是,无线通信信号更易被截取和受到干扰,所以要加强对无线通信安全使用方面的指导和对频谱资源使用的实时监管。二是网络运行系统。要逐步实现物理层、数据链路层、网络层和传输层等关键技术(协议、算法等)的绝对掌控,以确保网络的安全可靠和高效运行。主要涉及到物理信号的安全收发技术、网络安全接入控制、数据的快速交换和安全路由以及在网上所传数据的隐私性和完整性保护等方面。由于陆地移动用户数量巨大,海上和空中均无法使用有线连接,无线网络的应用越来越广泛。但是相对于有线网络,无线网络更易受到攻击,所以要加大研发和生产无线网络安全方面的技术和产品。三是网络服务系统。互联网的广泛使用离不开各类服务支撑系统,比如域名服务系统以及用户认证系统等。这些系统的安全性将直接影响应用的安全性,它们不仅仅与其所采用的技术安全性相关,更决定于运行和管理系统的组织者。比较著名的服务系统是域名服务系统,它主要负责将用户容易记忆的域名转换成网络数据传输认可的IP地址。目前该系统的运行由其他国家掌管,一旦它停止对某个域名进行解析,其所对应的服务就无法被访问。所以,该系统几乎控制了整个互联网的应用空间,对网络安全的影响巨大。独立的网络安全体系必须要摆脱这样的掣肘,但是要使一个新域名系统得到他人的普遍认可要比实现其技术难得多。所以一种可行的方案是研究多域名系统共存技术,以避免在一棵树上吊死的局面。四是网络应用系统。它是由通过网络所连接起来的各种网络终端设备和运行其上的各种应用软件所组成,主要终端包括服务器、数据库设备、个人终端以及各类传感器和远程控制设备等;应用软件系统更加多种多样,如购物、股票交易和网络游戏及在线会议和聊天等软件。虽然这些系统往往会自带安全机制,但是对于来自网上的安全威胁还是无法独自应对。例如,简单且历史悠久的分布式DOS攻击曾经使得一些著名服务系统瘫痪,如Google和百度浏览系统以及最近的湖南卫视等都遭受过类似攻击。对于来自于网上的安全威胁,我们除了要加强研发、部署隔断和防火墙等被动式防御措施外,更要研究主动式安全防御技术,以尽早发现和消灭安全隐患;同时要加强互联网空间司法刑侦技术的研发,以便于加强互联网空间法治执行的力度。
二、上海城市数字化转型面临的网络安全挑战
上海在数字经济强势崛起的过程中,必将面临诸多网络安全挑战,包括:一是出现更多形式的网络攻击及违法行为。数字时代的网络攻击及违法行为已经发展为以经济利益为目的,有组织、有计划,形式多样、防不胜防。例如:永恒之蓝勒索病毒;隐私窃取并定向诈骗的产业链;社交软件“杀猪盘”;等等。二是网络攻击及违法的技术门槛极低。比如,随意就能网购的改号软件、自动呼叫软件、基站跟踪软件、手机窃听软件、黑客软件等,让犯罪变得越来越便利。三是新的智能设备产生更多新的漏洞。如,居家摄像头、手机摄像头、手机APP、WIFI设备、大数据存储等,更容易被犯罪分子直接调用,导致犯罪门槛下降。四是万物互联的物联网带来全新的安全隐患。比如通过网络远程控制自动驾驶汽车的刹车、转向、油门等,远程从事恐怖活动、不怕追捕。五是数据泄露风险加剧。企业数据、个人信息被各企业及政府机构过度采集,信息泄露渠道过多、难以追责,危害人身财产安全及社会经济安全。六是网络犯罪违法成本过低。由于网络犯罪的隐蔽性、技术性、跨地域甚至跨国性,导致刑侦难度大、成本高,加上立法不够完善,造成网络违法成本相对过低。七是互联网缺乏自主可控性。目前我国互联网主要依赖其他国家因特网,随时面临其他国家的互联网霸权和长臂管辖。比如,2018年美国废除了《互联网中立法案》,可以合法使用因特网达成其政治、军事和经济目的。2020年美国宣布“清网行动”:取消中国通信公司在美国的营业执照;美国禁用中国APP;禁止中国手机预装美国APP;禁止中国公司提供云服务;禁止中国公司竞标海底光缆;等等。
三、上海数字化转型中网络安全体系建设的建议
上海在全面推进城市数字化转型的过程中,应重视数字化转型所面临的网络安全新风险及新挑战,系统性地做好网络安全防范措施,化被动为主动,为上海数字化转型保驾护航。一是进行完整的五个层级的网络安全系统化建设,而不仅仅是把资源倾注在传统网络应用安全和网络平台安全上。网络安全分别涉及感知层、节点层、汇聚层、平台层、应用层等五个层面。如果感知层十大物理参数被非法篡改,将会导致全部网络运算出错,甚至酿成重大事故。网络节点层包括通信线路、网络设备、计算终端,其核心威胁是美国停租网址域名。网络汇聚层属于逻辑分析和协议组网层,包括宽带、电视、电话、物联网等,其核心威胁是美国禁用关键网络知识产权。网络平台层提供数据、存储、计算、连接等网络服务,常见安全问题有病毒、木马、肉鸡、黑客、后门等,其核心威胁是网络规则制定者监守自盗。网络应用层提供政府、企业、个人、环境等网络应用,其核心威胁是“定向断网停服”,例如美国制裁华为、TikTok、微信、中芯等。因此,上海要从五个层级上全方位进行网络安全建设,保障经济运行安全。二是化被动为主动。每年进行网络安全演练及网络对战攻防测试,主动暴露网络安全问题,提前制订应急预案,而不是仅在出现网络安全问题后被动应对。三是加大五个层级网络安全的研发投入,开展核心技术攻关。要解放思想,放弃成见,打破当前因特网利益圈的垄断话语权,按“揭榜挂帅”“英雄不问出处”等思路,支持鼓励各方力量参与“掐脖子”核心技术的科研攻关。互联网的基础是由地址架构、寻址协议、通信方式、网络设施等构成,其中地址架构、寻址协议、通信方式是互联网核心技术中的“核心技术”。如果还是像过去一样只关注网络设施的安全,那就永远摆脱不了对他国(如美国)的依赖。四是完善上海网络安全相关法规,普及网络安全及法律法规教育。大力宣传各种网络违法行为的特征和危害,增强上海市民网络安全意识和对网络违法的认识。根据上海市数字化转型的实际情况,及时制定特定领域的政策法规,比如大数据安全指导意见、云计算安全指导意见等,并加强网络安全法规的执法。五是加强互联网企业网络安全监督及指导。对互联网企业,特别是龙头企业,应当建立长期的网络安全监督及指导工作机制,协助企业健全完善数据安全管理,预防用户数据泄露。同时指导互联网企业学习并严格执行国家网络安全相关法律法规及技术标准,如《网络安全审查办法》《人工智能终端设备安全环境技术要求》《移动互联网+智能家居、智能音箱安全能力技术要求和测试方法》等,提升企业的网络安全意识,规范人工智能、物联网设备等安全产业健康发展,切实引导互联网企业积极承担法律责任、社会责任和道德责任。六是加大网络安全基础设施建设,建立网络安全长效机制。网络安全是点线面结合的系统性工作,要强化网络安全机制,做好各种网络安全突发事件的应急预案及相关演练,做到有备无患。同时加强网络安全的基础设施建设,包括数据备份、网络备份、多网并行等,保护好数字资产的安全。七是加大网络安全人才的引进和网络安全培训。网络安全所面临的环境复杂多变,安全威胁种类繁多、隐蔽性极强,相关处理技术和方法高科技含量高,不是一般用户和中小企业所能单独应对的。要构建完善的网络安全体系,必须要加强相关专业人才的培养和队伍建设,从网络安全措施的落实、安全隐患的侦察、预警和安全事件的处置及善后等方面提供全方位的支持和服务。政府要进一步支持高校和研究机构设立网络安全专业和学科以及与法律相关的交叉学科,培育网络安全方面的专业技术人才和法律方面的复合人才。在鼓励研究机构和企业研发生产便于普通用户使用的网络安全产品的同时,需要建设服务于大众以及不具备应对复杂网络安全环境能力的企业和组织的专业队伍,帮助他们配置网络安全系统,预防网络攻击,解决网络安全事件和协助相关取证工作,以及恢复被攻击破坏的系统等。人才是网络安全最重要的保障,建议上海加大引进网络安全及网络核心技术人才,同时利用上海丰富的高校资源,加大网络安全领域专业人才培训,提升上海网络安全整体保障能力。
作者:伍爱群 姜胜明 同济大学 单位:上海航天信息科技研究院 上海海事大学
关键词: 《网络信息安全》 课程改革 实践
1.引言
计算机网络的出现和发展,极大地改变了现代人的生产和生活方式,给人类带来全新现代文明的同时也给网络上的信息安全带来了很大威胁,《网络信息安全》应运而生。网络信息安全作为一门新兴的学科,没有严格规范的研究内容,同时又和其他很多学科存在交叉和重复,在高校教学中如何讲授好这门课程,使学生通过学习这门课程,能在日常生活中把在这门课程中学到的知识应用到实践中去,是我们必须思考的一个问题。我们针对《网络信息安全》课程的特点,从多个方面进行了教学思考和实践。
2.网络信息安全教学现状
《网络信息安全》是一门综合性科学,涉及数学、通信技术、密码技术和计算机技术等诸多学科的长期知识积累和最新发展成果,同时还涉及社会问题和法律问题。其涵盖的内容广泛,技术和方法更新速度较快,学习的预备知识要求较高。课程有如下特点:知识更新快,涉及面广;课程的预备知识要求较高,前导专业课程多;实践性强;实验具有破坏性;缺乏系统性。因此,网络信息安全课程要取得很好的教学效果,需要根据时间、学生对象、实验条件等因素,设计相应的教学实施计划。教师在教学过程中能够在教材内容留有的发挥空间中充分展现自己的智慧和才华,即做到教学内容源于教材内容,精于教材内容,为更好地完成教学计划服务。
当前的社会要求高校毕业生不仅要具备扎实的理论水平,而且要具有一定的实际动手与解决问题的能力。分析现行的教学模式,我们发现目前该课程存在下列问题:教材内容已经落后于网络的发展,学生丧失了学习的兴趣;重课堂教学,轻实验教学的教学方法与现代教育教学手段不相适应,并且大部分试验还是以演示为主,学生亲自动手实践的机会较少,导致许多新的技术和方法无法得到应用。
3.《网络信息安全》课程改革与创新
针对前面提到的现行教学模式存在的问题,我们在实际教学的过程中对该课程的教学进行了大胆的改革与创新。
3.1精心选择教材,优化教学内容。
选择教材时要根据学生实际情况,根据课程教学大纲的要求,结合培养目标,选择适合自己学生情况的教材,同时在教学过程中还要对其去粗取精,精心设计教学内容。网络信息安全教学内容的安排应该不拘泥于知识体系的完整,更要具有针对性和实用性;紧跟时代,关注网络上的各种安全事件及相应的安全技术;在教学过程中重视培养学生的职业岗位技能和素质,以适应学生毕业后的就业需求,使学生达到学则能用、学则会用的目的。比如关于一些安全的法律法规的问题,可以把《今日说法》栏目的一些关于网络安全事件的案例引用到课堂,让学生感知这些知识离自己很近,就在身边。
3.2激发学习兴趣。
兴趣是最好的老师,目前的学生具有强烈的好奇心。因此,教师必须使用科学的教学方法提高学生的兴趣,培养学生的钻研精神,把被动的“要我学”转换为主动的“我要学”。在课堂教学中,开展课堂讨论,活跃课堂气氛,使学生在良好、互动的教学环境中取得很好的学习效果。比如在讲授密码学时,可以启发学生的思维,以小组讨论的方式来讨论什么密码最安全,并做实际演示,使学生能够建立“密码学”的概念,鼓励学生自己动手编写一个加密小程序,体会建立一个安全密码的重要性。教师应充分利用现在的网络资源,实时地给学生布置一些需要上网查找,求知的作业,扩展学生的知识面。
3.3实例教学和实时演示相结合。
利用网络平台和多媒体手段,在进行计算机网络教学时利用案例进行实时教学。在网络信息安全课程教学实践中,教师边讲边操作,可避免单纯地理论说教,能使学生有豁然开朗的感受。比方说在讲授关于操作系统漏洞的修补时,教师可以实际利用网络上没有给操作系统打安全补丁的计算机进行攻击,成功地使用仿真黑客攻击软件修改该计算机的密码,使学生真正体会网络安全的重要性,从抽象的概念上升到形象上的认识。对于一些不方便演示的实时攻击等内容,可以在备课时制作成教学录像,使理论知识立体化、形象化,提高学生的兴趣,鼓励学生自己把学习的过程记录下来。
3.4搭建网络安全实验平台。
网络信息安全实践性很强,讲授这门课程不能像其它概论课程那样去“灌输”,必须抓好实验、实践教学环节,注重学生实际动手操作能力的培养和训练,按照认识论的观点组织和开展教学。教师可以针对每一理论内容设计单独的实验,也可以将相关章节的内容综合在一起,设计一个综合实验。比如可选实验项目有:漏洞扫描,口令破解,信息截获,密码算法,病毒防范,VPN与密码机的配置,防火墙的配置与使用,入侵检测系统的使用和安全策略的编写,等等。由于综合实验包含了较多的实验内容和较大的工作量,教师可采用分组开设实验的形式,使学生有组织、按计划完成实验。组织和计划的内容包括:确定实验完成的计划进度表;明确每位组员要完成的工作;定期组织组员讨论实验中遇到的问题,并共同确定解决方案;及时与指导老师联系,获得指导,等等。这样可以避免学生在实验过程中的孤立性和被动性,使学生可以通过相互交流讨论开拓视野,提高动手动脑的兴趣,同时能锻炼他们的组织能力、交流能力和协作能力。对于多数学校的实验条件来说,实验室活动能演练小型模拟实验。教师对有兴趣的学生,组织相关方面的课外活动,有利于他们对课堂内容的掌握和深化。这些活动主要有:同网络安全专业公司联系,建立多样化的实习基地;鼓励学生参加网络安全方面的竞赛活动;组织学生对最近发生的网络安全实践进行讨论分析。
熟练使用网络工具、掌握网络管理、测试和网络安全技术在计算机网络专业课程教学中有着非常重要的地位。比如讲授网上购物、电子支付安全时,学生不理解如何进行电子支付,那么可以安排学生从自己的需要出发,亲自完成一次网上安全购物的模拟实训操作;在讲授密码系统的四个组成部分时,学生对其中的概念性内容听起来感到很枯燥,理解也比较困难。为解决这个问题,教师可以通过实训方法让学生用白纸亲自动手制作最简单的10×10的密码卡。由易到难,由简至繁,由浅而深。这样学生不仅能了解密码卡的制作原理,加深对基本概念的理解,而且能起到举一反三的效果,进一步懂得密码系统的原理。帮助学生获得现实网络环境中多点之间关系的直接概念和网络安全现象,完成各种关于网络安全的操作、管理和安全的学习任务,对于学生理解网络信息安全抽象概念,架构整体网络安全方案及网络安全的防范都大有益处。
3.5研究创新实验,丰富教学内容。
研究创新型实验要求学生综合应用多门课程的知识,针对某些有创意的想法,在教师指导下完成设计和实现工作,帮助学生提高创新意识和创造能力。创新提高型实验内容来源于教师的科研项目、学生的自主科研选题、社会实践活动和企事业应用需求,实验内容是不断变化的。如基于图像内容的半易损数字水印的研究与应用、敏感信息过滤系统设计、病毒扫描引擎设计与实现、IPv6环境下的网络信息安全问题的研究等。
3.6大作业任务驱使。
为了充分调动学生的学习主动性和学习能力,激发学生的求知欲望,教师可以在学生了解了基本的网络信息安全概述之后,布置一个大作业(大约在学期中),让学生分组研究,不限制研究内容(只要是和网络信息安全相关的课题都可以去研究)。在以后讲课的过程中,教师可逐渐地把和课程相关的比较有研究价值的知识点传授给学生,这样学生可以根据自己的兴趣收集资料。在学期末拿出一部分时间让学生来讲解自己研究的课题,这样不但能提高学生的求知欲望,扩大知识面,而且能锻炼学生的组织能力、协同合作能力和讲解能力。
4.结语
信息安全是国家信息化健康发展的基础,是国家安全的重要组成部分,这就要求高校能够更好地培养信息安全方面的应用型人才。针对瞬息万变的网络时代,教师对学生的网络信息安全教育,应该注重的不仅仅是传授知识,更应把如何培养学生的综合素质放在首位。如何充分调动学生的主观能动性,使他们具备积极主动的获取知识的能力,这才是我们持续不断的努力方向。
参考文献:
[1]张常有,杨子光,王玉梅.浅议高校网络安全课程的教学与实践[J].太原大学教育学院学报,2007,(3).
[2]俞研,兰少华.计算机网络安全课程教学的探索与研究[J].计算机教育,2008,(18).
2006年在公司“效益质量年”的定位目标指导下,紧紧围绕公司“加强管理、保证质量,降低成本、提高效益,深化改革、强化支撑”的网络运维方针,确保网络运行质量,加强了基础管理、网络优化、大客户支撑以及安全生产等方面工作力度,积极开展降本增效活动,取得了一定的成绩,现对全年工作总结如下,。
一、加强基础管理工作
我班组负责全区的网络的维护、技术支持工作,为了更好的在数据网络中开展各项数据业务和增值业务,我班组在中心的领导下严格落实省公司精细化管理的要求,按照“共识、细化、落实”的六字方针,坚持严格基础管理工作,一年来,我班组坚持不断完善客户的资料工作、各种网络设备以及大客户的应急预案等各项基础管理工作,特别是随着三标一体以及内控工作的深入开展,更是要求我班组对担负的各项工作必须有记录,包括资料统计、障碍统计、网络分析统计等,并且按照部门的各项规章制度和管理办法,优化了各项工作流程,努力做到细化到人、优化到事、强化考核,确保提高员工工作效率,从管理中创造效益。
具体工作有:
1、按照维护规程严格执行各项维护作业计划,结合内控,加大了对作业计划、各种日志、记录表格、安检记录等各项维护作业计划和巡检的检查力度,保证内控审查可以顺利通过,并根据实际工作需要不断完善和更新相应的表格。
2、完善了对数据网络各种统计维护资料并及时更新,保证基础资料的准确性、完整性和及时性,安排专人制作了数据网络资料库程序并对该资料库进行不断完善和更新,特别对于光纤专线客户和vpn客户的资料管理,对涉及到的所有信息都在资料库中均有详细的体现。对全区的ip地址进行及时的备案并不断完善ip地址管理系统,这些都为今年的全区ip地址优化工作打下了坚实的基础。
3、为了更好地开展业务,理顺流程,制定并完善了fttx业务、基础数据业务、vpn业务、数据设备维护等各种流程和基础数据网、ip城域网的分析作业指导书,并结合内控和三标一体工作的要求对以上规范进行完善,并按照省运维文件的要求及时更新和调整各种数据网络设备的应急预案,强化细化了应急预案的执行功效。
4、为了提高班组员工的综合素质,我班组加强了对员工业务、技术、安全、保密、形势教育等各方面的培训,今年累计进行培训32次,内容涵盖业务、设备、维护经验及本专业最新技术等,并组织培训效果测试11次,取得了良好的效果,特别针对新员工,我班组制定了专门的培训计划并按照计划进行实施,有力的提高全班员工的维护素质。
5、在公司及部门领导下,积极参于公司举办的数据专业维护规程及宽带adsl技能竞赛,我中心取得了第一的优异成绩,并且选派两名技术骨干参加省公司组织的华为宽带adsl技能大赛,取得了全省三等奖的好成绩。
6、配合网运部组织开展了多次对各县公司及营销中心的维护知识培训,其中包括城域网交换机的培训、atm设备ip化改造的培训等技术培训,还安排专人去县局进行现场讲解,取得了良好的效果,提高了县公司维护人员的综合素质,为交换机权限下放打下了坚实的基础。
7、为了达到内控的要求,我班组通过对××*地区市内97个模块局进行巡检并在数据设备上粘贴了资产标签,满足了内控的要求。
二、强化维护手段,积极开展将本增效活动,积极优化网络,发挥网络最大效益
一年来,我中心维护工作未发生重大故障,各项考核指标均达标。其中省内考核互联网时延≤40ms,实际为≤10ms;本地ip客户考核接入认证平均响应时间≤8s,实际为≤3s;基础数据网用户电路考核故障修复及时率≥99%,实际为100%;数据设备考核故障修复及时率≥96%,实际为100%;大客户业务考核响应及时率≥99%,实际为100%;考核电路开通及时率100%,实际为100%;重大障碍上报及时率为100%,圆满地完成了上半年的各项维护指标。
1、通过充分利用现有的城域网网管,我中心加强了对网络流量、设备利用率、日志及网络安全的监控及分析,分析范围由原来城域网几台设备扩大到整个城域网汇聚层以上设备,并新增了对atm网络流量的分析。结合网络分析情况,及时地对网络进行优化和调整,三月份新增城域网出口ge中继一条,通过流量调整,缓解了城域网出口流量激增所带来的压力。由于宽带bras汇聚ip上行设备的lpuk板卡和lpuh板卡接入客户不同,××*地区局下挂各县宽带客户较多,××*地区局下挂各县宽带客户较少,通过将容量较大的lpuk板卡调整到××*地区局,并将武安ip上行的宽带客户及时的调整到××*地区bras,缓解了由于××*宽带客户激增带来的板卡利用率过高问题,保证了××*方向宽带业务的发展,随后又对××*地区bras资源进行了适当均衡,使得全区bras的资源得到了充分的利用。六月份对城域网核心层设备××*地区局7609新增加一条至××*地区方向的ge中继,充分缓解了西部流量大的问题,通过安排专人对网络中的各种设备定期观察,及时地发现网络中的安全隐患并给予解决,极大的保证了业务的顺利开展。
2、配合网运部做好宽带ma5300绑定用户端口工作,截至目前全区主要县市ma5300节点已实现用户帐号及端口绑定。为了实现pppoe+绑定测试,对全区ma5300设备的命名重新规范并进行命名更改,我中心××*根据端口绑定工作的需要发明了小程序,使得帐号绑定可以实现批量操作,将几十个人几天的工作量压缩到了一个人几个小时就可以完成,从人力成本上起到了将本增效的作用。
3、对××*地区路华为s8016交换机、华为s8512交换机及核心层7609路由器进行了升级打补丁操作,解决了由于客户网络攻击及版本不稳定而可能造成系统瞬断的隐患。并对华为ua5000宽带设备进行统一升级,保证软件版本的同一性。
4、在全省率先开展了华为ua5000和ma5300宽带设备帐号和端口的绑定测试工作,并初步测试成功。由于我中心测试工作进展较早,所以省公司指定我公司和沧州分公司作为试点单位对各型号的bras和dslam进行测试,测试成功后将在全省进行推广,通过测试为我公司下一步的宽带账号和端口绑定工作打下了坚实的基础。
5、完成了城域网设备具备mplsvpn条件的mpls的部署。通过此次部署,我公司今后可以开展跨域的vpn业务,对市场部门开展新的业务起了有力的支撑。
8、实施了ip地址回收工作,
三、面向用户、面向市场,做好业务支撑
我班组按照部门一贯倡导的“维护就是经营”的大经营观念,整个维护工作紧紧围绕以效益中心,加强对客户、对市场的支撑力度,全力作好后台支撑工作。
2、逐步建立了金银牌大客户电路资料台帐,并结合金牌大客户使用数据电路的实际情况分别为其制作了客户电路应急预案。为了实现大客户等级化我中心安排对大客户电路用不同颜色的插塞来进行识别;为了体现对大客户单位的差异化服务,我班组定期对金牌大客户进行巡检,并按月制作大客户单位的网络运行报告。
3、在省公司网管中心指导配合下完成了对宽带vpdn技术的测试工作,并对××*地区市体彩大客户利用该技术进行组网工作,涉及体彩客户约300余户。
4、全年为几十个大客户制作了大客户电路接入方案,并到各个大客户提供支撑数十次。配合大客户服务部积极对教育局校校通客户内网故障进行技术支持,并完成了多个校校通客户vpn改ip专线的工作,尤其是对于××*地区区电教站,我中心前后对该客户进行了10余次技术支持。
5、面对福彩窄带vpn客户不断增长的情况,我部积极协调设备维护中心,新增了窄带a8010接入服务器至××*地区、××*地区汇接局中继4条,满足了客户数量增长的需求。
6、为了及时了解县公司以及各营销中心宽带维护情况,我中心安排专人到中华南营销中心、××*地区、××*地区、××*地区等县分公司进行现场测试,并深入到客户家中进行了解,掌握了全区客户反映比较突出的问题并制定了相应的措施,取得了很好的效果。
7、全年网络维护班组受理各类客户技术咨询上千次,受理县市营销人员技术问题达3000余次,强有力的支撑了前台维护人员,由于机房人员服务水平高、服务态度热情,深受广泛的好评。为了保证增值业务的顺利开展,班组在部门安排下多次派专人到各县分公司和营销中心进行现场技术培训,通过多次的培训,有力的支持了各营销单位业务的顺利开展。
四、抓紧安全生产,强化安全意识
一年来,我班组认真贯彻公司对安全生产工作的一系列指示精神,牢牢把握安全生产工作原则,坚持“安全第一、预防为主”的方针,认真落实各项安全措施,积极开展安全隐患整改,广泛开展安全教育工作。,
1、全年圆满地完成了××*地区局、××*地区局、××*地区局数据设备的安全整治工作,并配合完成了市内模块局的整治工作,达到了安全生产的标准。
2、加大对员工的安全教育培训,在职工中树立“安全第一”的观念。组织员工进行保密制度、交通安全、安全生、消防安全、防汛安全等安全教育达40余次,安全知识答题8次,配合部门进行消防演练4次,并根据根据班组的情况坚持每周一次安全培训和每周一次安全检查的制度。通过采取检查、培训及实际演练相结合的办法,全面提高了员工的安全素质、安全意识和应变能力。在上半年生产楼电梯间着火事件中,我中心5名员工发现后按照消防要求及时向上级汇报并安全的将火扑灭,为公司挽回了损失。
4、加强了机房安全防火、防汛工作。始终把安全防火、防汛当作安全工作的重中之重,开展了经常性的安全检查,要求班组员工熟练“四懂、四会”,熟练掌握初期火灾扑救、防毒面具佩戴、消防水带连接、灭火器等操作。
5、加强网络设备巡检,通过充分发挥ids和扫描等网络安全系统在漏洞扫描、入侵检测等方面的作用,完善各项网络安全管理制度,细化日常维护、权限管理、检测分析和安全防范流程,有力地抵制了外界对网络的各类攻击。
第二部分:2007年工作思路
2007年我班组以内控工作为契机,不断完善基础管理制度,通过加强网络安全检测,健全综合分析、安全管理、故障分析等制度,强化维护支撑和服务,优化网络结构,强化网络质量,提高网络运行效率,提高维护效益,不断加强安全生产管理工作,深入开展员工培训教育,提高员工综合素质,积极开展将本增效活动,不断提高维护水平,保证各项生产指标。
1、结合内控工作和三标一体工作的开展,继续按照维护规程严格执行各项维护作业计划,加强基础管理,完善部门管理制度,优化管理流程,简化管理环节,努力实现部门维护工作效率最大化和效益的最大化,确保顺利通过各项审查。
2、持续深入开展各种形势的教育学习活动,为员工发展创造良好环境,鼓励员工勤于思考,敢于创新,深入开展学习型班组,加强维护队伍建设,提高维护人员的素质。
3、继续科学管理网络资源,提高网络资源的利用率,做好资源分析预警工作,充分利用网络的资源,使网络资源的效益尽量最大化。继续深入开展将本增效工作,从管理和技术入手,对现有设备进行优化和改造,有效地开展将本增效工作。
4、进一步完善各项应急预案,提高应急预案的可操作性。加强安全教育和应急演练,强化员工应急意识,提高全员应急操作能力。
5、积极配合计划建设部工程建设。配合完成港湾设备替换工作和中华路机房搬迁工作。结合各项工程的建设,优化城域网的网络结构,提高网络健壮性,进一步完善城域网、基础数据网等网络的网络监控工作,加强网络运行状况的分析,为业务发展提供有力支撑,继续不断对网络进行优化调整,使网络发挥最大效益,圆满完成各项维护指标。
6、积极发挥网络安全系统在漏洞扫描、入侵检测等方面的作用,不断完善各项网络安全管理制度,细化日常维护、权限管理、监测分析及安全防范流程,预防外界对网络的各类攻击。
7、坚持以人为本,继续作好安全生产工作,抓好行风建设,提供优质服务,为经营发展保驾护航。
Talking about Industrial Internet Security Service Cloud Construction
郭宾、雷濛、朱奕辉
(杭州木链物联网科技有限公司,杭州余杭 311100)
摘要
本文基于对工业互联网安全的调研结果,梳理了工业互联网安全的发展现状及面临的四个安全问题,创造性地提出工业互联网安全服务云的概念,旨于满足企业端和监管单位在工业互联网建设中提出的安全新需求。同时,深入探讨了安全服务云的五个发展方向,为工业互联网安全发展提供一个新的思路。
Abstract
Based on the survey results of industrial Internet security, this paper combs the development status of industrial Internet security and the four security issues it faces, and creatively proposes the concept of industrial Internet security service cloud, which aims to meet the needs of enterprises and regulatory units in the construction of industrial Internet New security requirements. At the same time, the five development directions of the security service cloud are discussed in depth to provide a new idea for the development of industrial Internet security.
关键字:态势感知;工业互联网安全;云服务
Key words:NSSA;Industrial Internet Security;Cloud services
一、前言
工业互联网是智能制造发展的基础,可以提供共性的基础设施和能力。我国已经将工业互联网作为重要基础设施,为工业智能化提供支撑。然而近年来工业互联网安全威胁和风险日益突出,各种网络安全事件日益频发,高危系统安全漏洞威胁不断。网络安全已经上升为国家安全的核心组成部分,并在经济和社会发展的关键环节和基础保障方面发挥日益重要的作用。
二、工业互联网安全现状
在工业互联网总体框架下,安全既是一套独立功能体系,又渗透融合在网络和平台建设使用的全过程,为网络、平台提供安全保障。工业互联网实现了全系统、全产业链和全生命周期的互联互通,但打破传统工业相对封闭可信的生产环境的同时也导致被攻击机会的增加。
目前工业互联网安全问题主要体现在以下四个方面:
(1)安全责任界定和安全监管难度大。工业互联网业务和数据在工控系统层、业务监管层、云平台层、工业应用层等多个层级间流转,安全责任主体涉及工业企业、设备供应商、工业互联网平台运营商、工业应用提供商等。
(2)平台结构复杂,问题涉及面广。海量设备和系统的接入、云及虚拟化平台自身的安全脆弱性、API接口利用、云环境下安全风险跨域传播的级联效应、集团网络安全顶层设计缺失都会带来新的风险与挑战。
(3)终端安全形势严峻。传统工业环境中海量工业软硬件在生产设计时并未过多地考虑安全问题,可能存在大量安全漏洞;大部分核心设备以国外设备为主;重要工业设备日常运维和设备维修严重依赖国外厂商,存在远程操控的风险。
(4)数据本质安全得不到保障。通过工业数据的分析和应用,对生产进行降本增效是目前的主流思路,但数据来源涉及各个网络层级和业务环节,导致数据存在的范围和边界发生了根本变化,给数据安全带来巨大挑战。
三、安全服务云建设需求分析
基于上述现状,本文提出互联网安全服务云的概念,积极构建一个面向关键信息基础设施的立体化、实时化和智能化的网络安全保障系统,持续加强工业互联网安全防御能力、感知能力、管控能力、处置能力和威慑能力,提高企业抗网络安全威胁风险能力,设计需求主要来自企业和监管部门两方面。
企业端:
(1)现阶段主流的安全产品以单兵作战为主,只能对区域的流量信息进行分析处理,对于未知威胁的处理能力则非常弱。需要有效利用云端威胁情报数据,从同类企业数据中进行发掘和分析攻击线索,极大提升未知威胁和APT攻击的检出效率。
(2)传统安全防御体系的重要思想是防御,处于攻击最前沿的网端是安全建设的重点。但随着APT攻击的发展,这样的防御思路已逐渐不能满足要求,需要通过引入威胁情报和规则链技术,提升企业积极防御的能力。
(3)传统安全防护设备进行监测时一般使用通用规则,这种规则库对于与企业业务关联性较强的个性化安全异常识别能力较弱。需要结合场景化威胁检测技术,基于企业用户的业务环境构建威胁检测和响应模型,及时发现企业内部的业务安全风险。
监管部门:
(1)工业互联网安全法规陆续,监管部门存在网络监管的刚性要求,需要对所辖企业中的威胁事件、重要网络资产和终端三个维度的结合,输出各个层面的统计分析结果,实现全方位的网络安全态势感知,协助企业信息部门看清业务与网络安全的关系。
(2)利用数据采集、数据流检测、威胁情报等技术手段,分析和发现攻击行为、流量异常等安全威胁,可以综合判断安全态势,弥补单一企业用户在信息安全数据整合能力、威胁行为预判能力上存在的短板。
(3)需要建立研究成果、威胁情报、漏洞等最新安全信息推送机制。监管单位一般建有完善的安全知识库,推送机制有助于知识库发挥最大功效,帮助企业运维人员安全意识和技能素养,增强企业安全工业互联网防护。
四、 安全服务云发展方向
(1) 强化核心信息基础设施网络安全态势监测能力建设
对信息基础设施网络安全防护措施进行改造升级,采取技术手段健全对漏洞嗅探、攻击侵入、病毒传播等危害网络安全行为的防范措施;实现对网络管理对象的全面纳管和实时监测,建立统一的网络安全运行状态监测记录、操作日志、应用性能和流量数据采集机制。
(2) 强化网络安全威胁信息通报能力建设
对关键信息化基础设施、传输网络和信息应用进行统计和梳理,建立健全备案登记制度,明确网络安全主责单位和责任人。依托对国家权威部门及市网信办监测预警和信息通报系统,建立统一的网络安全威胁情报、系统漏洞和恶意软件收集、评估和分发工作平台。
(3)强化网络安全隐患分析预判能力建设
在实时采集网络运行状态监测记录,全面收集网络安全威胁情报基础上,利用大数据分析技术构建统一的网络安全态势实时分析和监测预警平台。通过分布式实时计算框架对全网全量安全基础信息进行关联分析,及时发现已知安全威胁,确定安全事件的攻击阶段、攻击路线与影响范围,为应急处置提供科学的决策依据。通过基于机器学习构建的网络安全风险评估模型,预测网络安全未知隐患发生的可能性、影响范围和危害程度,有效强化技术威慑与主动防御能力。
(3) 强化网络安全攻击应急处置能力建设
建立健全网络安全事件应急预案,按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施;建立健全网络安全攻击事件应急处置工作平台和技术手段,发生网络安全事件,能够立即启动网络安全事件应急预案,快速组织应急响应专业技术人员,对网络安全攻击阶段进行精准评估,对网络安全来源进行快速研判,采取技术措施和其他必要措施及时消除安全隐患,防止危害扩大,并按照有关法律、行政法规的规定进行上报。
(4) 强化网络安全事件留存取证能力建设
在落实《网络安全法》相关规定基础上,对系统采集的关键信息基础设施、网络和业务应用安全运行状态监测记录、操作日志和流量数据进行全量留存,建立网络安全数据检索和关联查询平台。支持在发生涉及违法违规网络安全事件时配合相关部门进行调查取证;对重要应用系统和数据库进行定期容灾备份和统一归档存储;支持在发生重大网络安全事件时能够快速进行系统恢复,减少可能的数据丢失风险和损失。
(5) 强化网络安全服务能力建设
围绕企业安全能力提升各环节将面临的需求,提供全方位的安全服务。通过安全咨询切入,帮助企业了解安全相关的政策要求;通过风险评估帮助企业梳理清晰安全现状,并进行有针对性的安全建设对现有问题进行整改;通过渗透测试对建设后的安全防护能力进行准确评估;通过提供安全运维和漏洞扫描服务,协助企业开展日常网络安全工作;通过应急演练提高企业人员安全技能;通过安全培训提高企业人员整体安全意识和技能水平。
五、 结语
为切实保障工业互联网建设稳步推进,提高企业工业互联网安全防护能力,在充分调研企业工业互联网安全现状和需求后,发现普遍存在“数据采不上、状态看不到、建设成本高、安全服务少,安全隐患多”等典型问题,工业互联网安全工作难以开展。
本文提出的工业互联网安全服务云概念,可以整合区域内工业企业共性需求,改变传统一个单位建立一套态势感知平台的模式,充分发挥工业互联网的共享特性,将区域内的企业看作一个整体,每个企业作为一个节点,通过部署多维探针设备,监测并汇总数据后由监管单位进行统一态势感知分析,提升整个区域内的安全态势感知水平。通过与国家监测预警网络、应急资源库、信息共享平台和信息通报平台进行技术对接,协同企业开展工业信息安全治理工作,实现信息的安全、可靠、及时共享,形成快速高效、各方联动的信息通报预警体系。
[1] 工业互联网产业联盟(AII). 工业互联网体系架构[R]. 北京:工业互联网产业联盟, 2016
[2] 工业和信息化部.工业和信息化部贯彻落实《国务院关于积极推进“互联网+”行动的指导意见》的行动计划(2015-2018)
摘要:本文首兇分析了数据通信网络和网络安全,随后介绍了保护数据通信网络稳定収展的重要性,最后提出了数据通信网络安全维护的其体措施,包括科学评估网络安全性、准确分析网络安全风险、形成针对性清除风险策略,希望能给相兲人士提供有敁参耂。
关键词:数据通信;网络维护;网络安全
随着科技的収展,数据通信网络逐渐成为人们日常生活中传递信息的重要渠道,与社会生活乊间的联系也更加密切,不管是医院、企业或学校哪种机极单位,都离不开数据通信网络来采集和传递信息。但人们在享受数据通信网络便利性的同时,也字在各种问题漏洞,导致出现不同的安全隐患,为此需要加强网络安全维护,保证网络通信的顺利迚行。
1数据通信网络和网络安全分析
(1)数据通信网络数据通信网络即由无线通道、有线通道、先缆、双绞线甴话等设备为载体,实现计算机为基础的网络互联集合。各个用戵利用该网络渠道能够促迚打印机、文档、程序等资源信息的全面共享。仍地理位罫角度入手实施划分,可以把数据通信网络分成国际网、城域网、广域网和局域网等类型。而局域网的分布范围最小,可以是建筑小区、单位机关和一个学校当中;城域网即人们所熟知的城市网,其覆盖面是整个城市,整个覆盖范围大概是10千米到100千米左右,广域网和城域网相比,其覆盖面积更大一些,覆盖范围大概是100千米到1000千米左右;国际网则是因特网,是全世界范围内覆盖面积最大的数据通信网络。结合数据通信网络当下实际应用现状分析,局域网应用最为频繁,是社会各个行业中应用较为普遍的网络形式。同时局域网在数据通信迆程中也更为可靠与灱活。同一单位机极内,可以同时设罫多种局域网,而财务部门也能够通迆局域网集中管理财务部门中的各种账目,至于相关人亊档案资料,则可以利用劳动机关局域网实施科学管理,其对于数据通信斱面具有重要影响。(2)网络安全网络安全,即结合系统内部软硬件,保护相关数据信息,避兊其遭受恶意破坏或更改,仍而导致网络信息泄露,促迚网络系统实现稳定、违续运行,预防网络服务在各种因素影响下出现中断问题[1]。如同我们所熟知的内容,网络是多种节点共同组成的,主要包拪主机、服务端或客戵终端,不同极成拥有各自的联络通信系统,同时其中部分通信消息会对外开放,但依然字在部门信息具有较高的私密性,不能共享的问题。数据通信网络内,外部因素很难攻击系统内的专用网络,但如果是企业单位中的员工离职后,则容易攻击企业内部网络系统,窃取信息,随后将其转售给其他的单位组织。大部分企业单位当中都是把公共网络面向全体员工开放,使企业内部职员无论是在单位内还是在家中都可以随时上网,直接访问相关网络数据,但这也给部分网络黑客留下了可乘乊机,导致部分不法分子入侵系统数据通信网络内部。
2保护数据通信网络稳定发展的重要性
网络安全核心目标便是维护数据通信安全性和稳定性,但稳定的数据通信幵非是简单技术问题,还属于一种社会性和商业性问题。数据通信网络维护也幵非如同其他产品一样直接增加企业的经营利润,但通迆提高网络安全,能够保障通讯网络的稳定収展,促迚企业内部相关信息的准确共享、传辒,相关通信信息同时也是关键的决策和管理参考。对于企业収展来说,数据通信网络状态能够影响数据安全,决定企业収展,能够改变企业竞争实力。为此需要加强数据通信网络中的风险研究,幵形成有敁的防控策略,提高通信数据的准确性和真实性,推动社会稳定収展和行业有序竞争。
3数据通信网络安全维护的具体措施
(1)科学评估网络安全性创建应用数据通信网络的主要目的是给企业以及部分单位中的工作人员提供统一通信交流平台,能够随时获取所需要的数据信息,提高数据信息安全性。想要保护好数据通信网络,应该准确评估网络安全性,结合相关安全要求,针对通信网络实施科学评估,选择合理的安全评估斱法,准确识别部分潜在用戵信息源和用戵群。为了迚一步满足数据通信相关安全要求,需要保证评估工作的详细性和全面性,提高评估结果的实敁性和准确性。相关人员还需针对具体的评估结果实施科学检测与审核。随后由相关技术人员结合最终审核结果,参考信息化和网络环境变化,重新迚行评估或伓化调整,保证技术人员能够全面掌控数据通信网络,提供安全保障。(2)准确分析网络所面临的安全风险和威胁网络安全通常是针对数据通信网络内的各种软硬件设备和数据信息,但在网络环境内,通迆对IP地址迚行恶意攻击和非法防卫,会给外部人员留下迚入数据通信网络的漏洞,仍而随意破坏或窃取相关资料信息,想要保障数据信息真实性,避兊其受到各种潜在因素影响,便需在针对网络安全实施科学评估的基础上,准确辨识、查找出数据通信网络内各种安全风险和威胁,通迆设罫访问权陎和网关陎制等斱法,禁止外部用戵的随意出入,针对系统漏洞则需相关专业技术人员实施完善和修补,不给恶意入侵者留下仸何漏洞[2]。(3)形成针对性清陣网络风险策略数据通信网络中的网络漏洞是威胁网络安全的关键性内容,外部的攻击行为和入侵行为通常也是以网络系统漏洞为目标展开的。为此想要保障数据通信网络稳定运行,便需积枀采取有敁措施,不断完善和补充相关系统漏洞,制定网络风险防控策略,仍重点服务器入手,及时収现服务器内相关漏洞,针对各种潜在风险元素做好保护与防控工作,利用有敁的病毒防控斱案抵御各种恶意病毒的攻击,通迆文件加密措施杜绝恶意窃听的问题,针对木马病毒和地址欺骗的工具,可以设罫防火墙。同时还需将相关安全应用加入网络系统当中。比如系统内安装的硬件、软件,不能单纯安装各种必要性内容,不然会留下安全漏洞隐患。同时避兊选择外包策略,分类主机和服务器设备,该种操作斱式容易导致信息数据丢夰,最终出现安全敀障。(4)创新防火墙技术硬件基础是决定网络稳定运行的重要元素,但同时计算机设备中的硬件接入数量也相对较多,将终端服务器装罫整体接入网络通路内,同时堆砌成临近交换机,结合捆绑形式,形成全新的、稳固的虚拝违接模式。对网络状态迚行分析的迆程中,相关技术人员为了迚一步提高外网入侵的防御敁果,需要及时创新防火墙技术,形成安全、科学的保护架极。通迆防火墙技术相关觃则结极,促迚信息探索迆滤工作的顺利实施,如此一来能够保障网络访问的稳定安全。在系统登彔中,通迆安全密钥斱法,合理阷止各种闲杂人员随意迚出系统,降低网络安全的控制力度。把新型防火墙技术应用到数据通信网络当中后,还应该由相关技术人员迚一步陎制安全操作次数,仍而収挥出良好的加固功能。结合转入性防火墙的保护觃则,信息迆滤技术能够在収现访问用戵后,要求出示端口协议,仍而在第一时间迆滤掉不良信息,避兊木马入侵。(5)创建数据网络备仹中心备仹中心即结合兇迚的技术、管理斱案,联系各种资源,确保在出现灾难问题后,可以在第一时间恢复相关数据信息。为此可以在创建备仹中心的迆程中,陣了设计相关恢复计划和备仹系统外,同时还需积枀迚行演练,如此,即便出现各种意外亊敀和自然灾害,或各种人为因素影响,使机房和相关设备遭受损害,导致数据丢夰,影响用戵稳定应用,变可以启动数据网络备仹中心,迚一步削减外部意外所产生的巨大损夰[3]。
4结语
综上所述,在科技持续収展环境中,数据通信网络传播速度也会不断加快,幵逐渐渗透到社会各个行业领域当中,为了斱便人们日常工作和生活,需要提高人们对网络安全的重视程度,提高数据通信网络维护力度,及时消陣各种安全漏洞,促迚数据通信网络的稳定、安全运行,保护好数据信息、通信和财产安全。
关键字:信息化;服务;管理;策略
随着我国信息技术高速发展,学校都加大了信息建设投入,基础网络设施已基本完善,基础应用已基本建成,网络教育资源不断丰富,已基本形成信息化服务体系,为教学、科研、管理等工作服务,但在信息化服务与管理过程中,不难发现管理和服务存在很多的不足,例如重建设轻管理,管理制度不到位、责任不明确、信息化队伍不足等问题,为此,本文提出信息化服务与管理应对措施,解决管理不善导致服务教学的水平不足,管理水平不足导致信息化投入效益降低的问题。
一、信息化建设目标
做好学校信息化顶层设计,利用信息化手段和工具,将校园的各项资源、管理及服务流程数字化,构建数字化的教学环境、管理环境、科研环境和生活环境。构建信息化管理服务支持和支撑体系。创建先进的信息化环境,实现学校教学、科研、管理和服务的现代化。
二、信息化服务与管理
校园信息化服务与管理工作,组织领导是基础,技术队伍是根本,制度措施规范是保障,工作科学设计是关键,应用服务师生是目的。努力实现观念到位、组织到位、技术到位、经费到位,不断创新工作机制,为师生提供安全可靠、方便快捷的信息支持。
(一)转变观念,领导重视,形成领导和管理体制
加强学校各级领导和全校师生信息化宣传和培训,转变观念,获得重视、支持和积极参与,是信息化工作持续发展的基础。学校应重视信息化工作,实行党委统一领导、分管领导具体负责,各部门分工协作、齐抓共管的领导体制,实行统一管理和分级负责的管理体制和责任制。按照信息化建设和管理需要,进行领导和管理体制的顶层设计,形成完善的组织和领导机构和运行机制。
(二)完善制度和措施,创新管理和服务
1、岗位职责明确,分工协作。有较科学、规范的故障申报、技术支持、用户反馈等机制。专人负责系统管理、主干网、网络接入、用户支持等工作,形成了运行管理、系统管理、安全应急、应用培训、用户服务工作团队。2、规范管理是提高信息化效益的重要保障。根据工作岗位和用户服务、系统管理等形成比较科学、完善的工作流程,如故障申报、业务申请、重要设备操作步骤、不良信息以及病毒清除、数据恢复等。严格流程操作,并实施检查,及时信息反馈,使工作业务处于可操作、可控制状态。3、为了提高及时响应和服务能力,加强信息反馈。所有服务信息均在校园网专门网站及时公布,做到事前及时通知和事后解释说明,如公开公布校园网运行监测实时信息,及时病毒防治、系统维护、数据处理等信息,公开承诺服务公告,定期工作月报,使用户及时解信息系统运行维护情况。4、为保证网络和其他重要业务系统运行的稳定可靠,确保应急反应能力,制定完善的应急措施,如《网络有害信息安全应急措施》《网络硬件设备故障应急措施》等相关应急预案,并认真组织演练,为应用系统的稳定可靠运行提供了有力保障。5、专业管理和自主管理相结合。校园网信息系统实施专职管理和兼职管理相结合的管理机制。实施分工负责和团队协作相结合,在校园网等信息系统的运行和管理中,实行分工负责和团队协作相结合,充分发挥专业技术人员专业特长,分工负责,将兼职管理员形成稳定的工作团队,与兼职管理员相互学习、共同协作,进而提高工作质量和效率。
(三)专业培训,培养自主管理服务和开发人才队伍
每年派专业人员参加信息化专业技术培训,信息化专业技术人员参加信息化项目建设,提高管理队伍专业化水平和业务能力。充分利用教师的技术优势,自行组织力量参与自主设计校园网络工程扩建,开发了校园应用程序,强化网络信息系统自动化服务能力,提高校园自动化管理水平和效率。自行开展设备的维修、维护以及系统二次开发,节约了维护成本,提高校园信息系统管理效益。
(四)深入调研,加强事后评估和及时调整
结合信息化建设、管理和服务工作,深入到教学单位和相关部门进行调研和沟通交流,认真进行数据分析、效率(益)评估,并进行相应整改,既推动信息化工作健康持续进行,也可以解决师生应急问题,如校外访问校内资源受限和数据不一致等热点、难点问题。
(五)信息网络安全管理
为了保障网络信息的安全,学校按照“谁管理谁负责,谁主办谁负责,预防为主、综合治理,人防和技防相结合”的原则,对网络安全实行严格的统一管理和分级负责的管理体制和责任追究制。一是从技术上加强防控,如防火墙、行为审计软件、防篡改软件和日志记录系统等,搭建了可靠性高的安全网络环境;二是从人员上落实责任,敏感时期实施7×24小时值班制,确保重要敏感时期的网络信息安全。
三、信息化管理策略
作为教育信息化主体部分的校园网,已渗透到高等学校职能业务与管理决策的各个层面,师生员工学习、工作、生活的每个角落。信息化建设已成为提高学校管理水平、人员素质和办学质量的重要手段。1、加大校园信息化建设的宣传指导力度,进一步深化各级领导和全校师生的理解和认识,不断完善相关应用系统建设,实施应用系统信息横向、纵向联动,促进数据信息共享和充分利用,有计划的开展数据、应用、流程等方面资源整合,为校内外师生提供丰富、便捷的信息统计、查询等服务,不断提高决策支持能力,使信息化工作真正成为学校教育教学活动的有力支撑和重要保障。2、进一步提高学校师生对网络安全的认识,不断加大网络安全宣传和培训力度,加强对师生的网络安全教育,提高师生的网络安全防范意识和水平,建设网络信息安全联动系统,构筑起校园网安全防范体系。3、跟踪网络技术发展,加强网络专业技术培训,提高网络管理人员素质,改善人员结构,努力培养适应网络发展和建设高水平教学型大学需要的人才队伍,进一步规范管理,统筹全局设计学校的信息系统。4、进一步开展网络资源整合,加大应用系统和网站建设力度,丰富教育教学资源内容,整合网络资源,建设有学校特色的教学资源数据库。
参考文献:
[1]构建高校全方位的信息化服务体系几种思路的探索[J].刘伟科,张晓庆,周俐军,张弘.中国管理信息化.2011(01)
[2]信息资源管理导论[M].科学出版社,孟广均等著,2003
作者:石炜 方敏 南京市审计局
一是是否对信息系统和网络设备进行分区、分级管理,不同等级是否采取不同的安全措施。二是访问控制。机房对人员的控制,包括公司内部人员、外部人员进入机房是否有登记记录,清洁人员进入是否有登记记录,是否经过相关授权。信息系统的访问是否有申请和授权制度。普通用户是否经过授权访问业务系统。开发系统、生产系统是否隔离;开发人员与生产系统维护人员是否分离;信息系统开发人员是否经过授权访问业务系统。对访问内部网络的机器是否有控制,是否有身份认证;外部带入的电脑是否可以访问信息系统;同时访问内部系统和互联网的机器有没有隔离限制措施,内部机器是否不加控制上网;信息系统开发、维护外包的外部人员是否签订保密协议。对重要的生产系统是否有更严格的访问控制。检查内容:进入机房登记表;信息系统申请授权表、访问授权的原则;员工机器认证制度,认证中心、保密协议等。三是网络安全措施。员工机器和信息系统主机是否安装防病毒软件、是否有防火墙、负载均衡设备;企业对内部和外部的网络攻击、病毒攻击、蠕虫攻击的监控情况,是否有监控记录和遇到攻击时的处理措施。各部门、分子公司间信息传递的渠道,是否直接通过互联网、即时通讯设备传递,数据是否有加密措施。
检查内容:证券公司信息部门对客户机管理记录、网络安全记录,主要网络设备、信息系统主机的监控记录及安全应急预案。逻辑安全控制(审计重点内容)对网络逻辑访问和系统逻辑访问是否进行有效控制。一是软件和数据接触。是否对登陆用户的口令、权限、分配的功能进行有效控制。检查内容:权限分配记录、口令设置、机密数据保护、磁盘、U盘使用管理情况等。二是数据加密机制。关键数据是否进行加密,加密算法是否进行有效管理。三是数据完整性。校验信息是否加密,是否进行检查,数字签名认证机构是否安全可靠。四是入侵检测系统。入侵检测系统是否能满足对于信息系统网络环境安全的需求,该系统与防火墙/路由器间的通信是否安全,系统中是否包含用于生成日常事件日志的工具和自动响应机制,是否能提供适当的安全保证。五是病毒和其他恶意代码。各个终端用户是否采取了防病毒策略,系统中是否存在未授权的软件,防病毒软件是否能提供信息系统所需的安全保证。六是防火墙技术。防火墙是否能根据网络变化提供新的配置服务,是否能对数据包过滤进行检查,是否具有系统的分离特性,防火墙本身是否自带了审计工具,是否具有弱点探测的能力,是否具备报警与报告的能力。数据与系统安全一是主机是否有密码控制、主机的安全日志、信息系统是否有访问日志,系统数据是否定期备份。二是对那些可靠性要求高的系统是否采用服务器主机双机热备、磁盘阵列,甚至配备备用网络,建立异地容灾备份中心。三是是否制订灾难恢复计划和灾难恢复流程,建立灾难预警、触发、响应机制,组织相关培训和演练,适时升级和维护灾难恢复计划。四是信息系统之间传递时的数据质量与安全,数据传输是否加密,外包服务人员是否有权登录生产系统,系统开发、维护人员是否可以直接访问系统数据库。安全定级对证券公司信息管理系统等系统安全等级进行级别定位(分为非常好、较好、一般、较差),检查是否符合国家定级指南的要求及安全定级中存在的问题。信息系统运用控制一是证券公司信息系统的界面输入是否与业务吻合,数据的输入是否在有效业务授权下进行,输入的数据是否及时准确。二是系统处理数据是否有必要的控制措施保证数据处理的完整性和准确性。三是输出的数据是否有足够的措施保证输出的完整性和准确性,是否对数据打印和导出进行控制,审查输出各项报表的准确性,对外输出接口数据的准确性,是否建立数据核查机制。四是系统业务流程设置与实际业务是否吻合,是否建立业务流程设置审核机制。五是系统参数维护是否有严格的审批,参数是否按相关文件要求来设置,系统参数设置权限管理是在业务部门还是在信息机构,系统是否有预警功能。检查内容:对部分菜单进行输出控制检查,核对部分报表,指标等参数是否与证券管理部门规定的指标一致,查看业务蓝图与流程设置情况。系统生命周期关注证券公司的信息系统开发维护能力,是否适应业务变化的需要。系统变更过程的规范化,是否有需求文档、开发文档、测试文档、部署文档等;变更过程对信息系统安全和数据安全的影响;变更过程中的访问控制等。
对证券公司信息系统审计可采用访谈法、调查问卷法、查阅资料法、流程图检查法、现场查看法、平行模拟法以及数据测试法等多种审计技术与方法。信息部门组织管理控制。通过与证券公司网络信息部门进行访谈,说明审计的目的,列出需提供的资料清单和配合要求。详细查阅相关制度和文件,在充分的调查和分析基础上对信息部门组织管理控制作出客观评价。内部信息系统与互联网隔离控制。检查员工使用的机器是否同时访问业务系统和互联网,办公区IP地址是否自动获取,通过互联网接入专网是否有CA认证及数据签名。服务器容灾机制检查。数据应转变为集中异地存放,以应对突发事故的发生。物理环境安全审计。对证券公司主要机房进行实地调查,检查机房建设、验收资料和机房维护记录等文档。网络安全控制。查阅网络拓扑图,设计方案、招投标文件、施工和竣工等文档,现场查看、查阅维护记录和运行日志,并与网络管理员访谈,可借助网络安全测试工具对网络进行安全性检测。逻辑安全控制。主要是查阅工作记录和相关管理制度,并到信息访问点进行随机检查和访谈,登陆系统界面进行实际测试等。数据与系统安全。查阅相关管理制度,查阅备份日志,查阅系统及数据库日志,现场数据库、操作系统和系统的管理权限,并进行与管理员访谈,对证券公司信息系统运行控制、数据与系统安全控制作出客观评价。信息系统运用控制审计。查阅系统招投标文件、实施过程文档、验收文件、系统设置说明、系统配置文档、操作手册、维护记录等相关文档,并设计测试用例登陆系统进行测试,信息点调查用户对系统的评价等。系统生命周期。查阅信息系统规划,系统分析,系统设计,系统测试,系统实施,系统运行,系统维护,系统变更等相关文档,并与项目负责人访谈,对证券公司信息系统生命周期作出客观评价,并提出审计意见和建议。
关键词:加强 安全“三基” 建设
0 引言
安全“三基”主要是指围绕安全生产所进行的基层建设、基础管理和基本功训练。其内涵丰富,外延广泛,是淮南矿业集团安全管理文化的有机组成部分。加强安全“三基”工作建设,也是淮南矿业集团认真剖析安全生产中存在的深层次问题,紧密联系企业发展目标确立的党建思想政治工作的重要任务。
笔者在淮南矿业集团信息分公司工作多年,深刻领略到加强安全“三基”工作建设,对于确保矿区信息安全畅通,维护淮南矿业集团的长治久安、持续稳定、科学发展具有极大的支撑作用。
1 确保矿区信息安全畅通,必须不断加强基层组织自身建设
加强基层组织自身建设是推进安全“三基”工作重要保证。重点是要配齐配强党支部班子,选拔好作风硬朗、以身作则的支部书记;选拔好吃苦耐劳、技术过硬的班组长;建立健全以推进安全“三基”活动为主要内容群安组织。
1.1 抓好基层党支部建设。基层党支部是加强安全“三基”工作的责任主体,党支部书记是第一责任人。要坚持思想政治工作与行政管理一体化运行,从班子建设、制度建设、宣传教育、综合治理、党风廉政及安全生产与经营管理等方面入手,建立健全党支部工作考核办法及考核评分细则,定期考核评比,严格奖惩,充分发挥党支部在安全“三基”工作中的引导、推动、监管和证作用。
1.2 抓好基层班组建设。一是要选配好班组长。班组长作为兵头将尾,是直接领兵打仗之人,对推进安全三基工作起着轻足举重的作用,所以选配好班组长是强化班组安全基础管理,也是不断提高班组执行力和落实力的重要保证。要在坚持“重品德、重作风、重业绩、重公认”原则的基础上,出台并认真执行《班组长专业化建设实施办法》,将基层班组长统一纳入人力资源部管理。同时,定期对班组长实施素质性考核、淘汰和置换,确保班组长队伍素质、能力符合企业管理的要求。二是不断推进班组质量标准化建设。要坚持把班组建设纳入企业安全管理的总体规划,建立起有效的班组安全管理办法和考核机制,给班组提供规范、科学、具体的安全管理平台。同时要建立班组安全激励制度,积极鼓励班组自查自究“三违”行为,做到“过程监管、班清班结、动态打分、挂钩考核”,把质量标准化管理落实到现场生产流程和每个管理环节。
1.3 抓好群监岗、青监岗等群众性安监组织建设。注重引导好他们深入开展“安康杯”劳动竞赛、争当优秀“群监网员”、“青监岗员” 竞赛;积极开展争创“青年文明号”以及争当“三八红旗手”、“巾帼标兵”等活动,规范工作标准,建立激励约束机制,经常开展查岗查纪活动,提高全员参与安全管理的积极性和责任心,真正形成全体职工共同参与推进安全“三基”工作的大环境。
2 确保矿区信息网络安全畅通,必须不断夯实各项基础管理工作
俗话说:“ 基础不牢,地动山摇”。扎实有效的基础管理工作是推进安全“三基”工作的基础,这方面绝不能掉以轻心。
2.1 健全制度建设。认真执行企业中各项制度规定,逐步健全完善班前会制度、安全质量动态检查制度、安全隐患排查制度、反“三违”制度、安全培训制度、设备管理制度、施工组织和过程监管制度、责任区安全防范制度等。
2.2 要完善资料管理。进一步完善矿区信息网络分布图、光缆分配图、纤芯配置表、用户基础台帐、设备管理台帐、设备端口使用配置表、动力配电系统图、月度经营报表、动力环境系统图表、防火防盗监测终端分布表、职工基本状况登记表等基础资料。逐步建立在用设备维护操作流程、常见故障类型及解决办法,网络维护基本流程、运行维护基本业务、常见故障类型及解决办法等基础资料。
2.3 强化系统运维。对主要设备运行状况、主要线网安全状况、主要工器具管理情况、主要生产和辅助材料使用情况、主要动力系统运行情况等方面进行认真排查,查找是否存在设备带病运转、系统配置不配套、存在哪些安全隐患等,保证网络和设备始终处于安全运行状态。
3 确保矿区信息网络安全畅通,必须不断提升职工队伍综合素质
职工素质得到全面提升,自主管理意识得到加强,安全理念变为自觉行动,是推动安全生产迈上新台阶的关键。
3.1 深化安全教育。教育引导广大职工进一步强化安全生产和质量标准化的思想意识,牢固树立“安全事故是可以避免的”、“安全失职不能容”、“不抓质量标准化的干部不是合格的干部,不按质量标准化操作的职工不是合格的职工”的理念,打牢安全“三基”工作的思想基础。
3.2 开展职业道德教育。教育班组长及设备检修人员、线网巡查人员等要有高度的工作责任心和敬业精神,在设备检修及线网巡查上,不仅要细心,而且要坚决不留死角。对查出的安全隐患要及时排除,并时刻做好应急抢修准备。
3.3 开展职业技能培训。职工职业技能培训是学、研、练的结合,是推进单位三基工作的重要一环。要坚持在职工职业技能培训上,着力把好“三道关”。一是把好学习关。这是职工技能培训的基础。首要条件就是坚定不移地落实企业下达的培训计划,认真上好每一课,不断提高职工的业务理论水平。二是把好研讨关。这是学习提高的重要形式。在认真上好每一课的基础上,组织好职工开展学习讨论、技术和经验交流,以达到共同提高的目的。三是把好演练关。这是学、研基础上的升级,是培训的最高形式。要坚持在“缺什么,补什么”的基础上,每年至少进行2次以上的技能实地演练,不断提高职工的动手能力和快速反应能力。
【关键词】智能时代;云计算;安全架构
一、前言
当今世界,新一轮的科技革命和产业变革正在持续深入,工业互联网、智能制造、人工智能、大数据、物联网等领域正在加速布局,“智能时代”企业信息系统最显著的变化是虚拟化、数字化一切、软件定义,促使企业信息化的不断发展,公司信息化资产数量日趋增多、系统的关联性和复杂度不断增强,使企业信息安全形势日益严峻,信息安全防护工作面临前所未有的困难和挑战。为了更好监控和保障信息系统运行,及时识别和防范安全风险,同时满足国家和行业监管要求,保证信息安全管理工作的依法合规,企业亟需建立一个全数据、集中管理的企业安全平台,做到事前预警、事中监控、事后分析以及响应,全面的提升信息安全管理与防护水平。
二、智能时代的变化趋势
我们正处在一个变革的时刻,“智能”是这个时代最显著的标志。在今年春天首届世界智能大会上马云提出,智能时代有三个最主要的要素:互联网、大数据、云计算;李彦宏也指出,未来30年推动社会进步的动力,就是智能科技的进步;浪潮董事长孙丕恕表示,智能从实现形式上就是要通过物联网、互联网将企业生产数据、互联网数据和企业自身的管理数据全部打通,实现无边界信息流和大数据分析。由此看来,一个企业走向智能化首先要完成业务在线化和流程服务软件化,然后完成应用软件的SaaS(Software-as-a-Service)化,从而助企业实现智能生产、智能维护、智慧服务。1.安全技术的变化基于云计算、虚拟化、大数据、智能制造、移动办公的持续推进,都是基于企业信息基础架构所实施的,开放式计算环境和更灵活的支持架构,要求安全技术随之匹配发展,才能适应新环境,新技术下的安全需求。中国工程院倪光南院士在《云安全的思考》主题演讲中指出,云安全一定会呈现出多维度、多层次、跨领域、多学科技术交叉等方面的特征。对于云计算的安全保护,需要一个完备体系,从技术、监管、法律三个层面上,形成可感知、可预防的智能云安全体系。2.企业智能架构从应用架构上看,未来的应用都是角色化、场景化的,可连接互联网资源,全员应用,实现移动化和智能化。虚拟化、数字化一切、软件定义促使企业信息架构的变革,以业务为导向和驱动,在企业管理、集成等方向上提供基础共性平台,为企业快速构建和集成应用软件提供基础支持,从而实现工程经验模块化、产品实际协同化、项目流程一体化结构,实现由统一业务层、统一界面构架层、应用系统层、统一工作台面、大数据分析、云计算层组成的一种新模式。在企业IT系统的业务基础机构层面,引入先进的统一软件平台,为上层应用开发提供统一标准,接口和规范,同时基于“平台+组件”的架构实现各类应用的组合和复用,助企业实现数字化转型。3.云架构在人工智能一日千里的时代,云计算已成为产业革新的原动力、新型管理的主平台、人工智能的强载体。在新的云时代,整个社会都在发生数字化的迭代。云成为数字化最重要的基础架构。腾讯董事局主席兼首席执行官马化腾指出:“用云量将成为一个重要的经济指标,能够衡量一个行业数字经济发展程度。”他还表示:“传统企业的未来就是在云端用人工智能处理大数据。”“云+AI”是当前最主流的方向,其核心包括三项核心能力(计算机视觉、智能语音识别、自然语言处理)。在计算机视觉领域实现开放OCR识别、人脸核身、图片处理等多项智能云服务;在智能语音识别领域实现语音转文字、语音合成、声纹识别、情绪识别等功能;在自然语言处理领域,以“数据+算法+系统”为核心,提供毫秒级响应的个性化服务。
三、企业信息安全措施
VMware首席执行官帕特•基辛格表示:“抵御安全攻击,响应速度不是核心,而是如何将支离破碎的安全保护进行更有效的整合,实现安全架构的简化,这才是企业安全转型的关键。”安全技术在智能时代必须跟上发展的变化,“智慧安全”的理念正在深入,着力点从网络系统安全、数据安全深入到业务应用安全等各个层面,AI防火墙、态势感知平台、云安全产品、企业移动化信息安全管理平台、智慧眼监控雷达、业务应用安全审计平台成为保护企业信息安全的前沿技术。1.企业数据的安全阿里巴巴董事局主席马云说:“数据是新能源。”随着数据量的持续增长,应用数量不断增加,数据将成为社会创新的重要驱动力。随着“网络强国战略”、“互联网+”行动计划、大数据战略的推进,网络安全风险和威胁也进入到企业:非对称的业务流量、定制化的应用程序、需要被路由到计算层之外并达到数据中心周边的高流量数据、跨多个虚拟化应用,以及地理上分散的移动应用,都造成数据泄露的机会,随着中央网络安全和信息化领导小组的成立,信息安全已上升到国家安全层面。因此数据保护十分重要,最好的选择是本源的防护,既做到保护数据本源的同时,又能灵活应对各种安全环境的需求。而符合这种要求的安全技术就是基于专业的安全分析模型和大数据管理工具,可准确、高效地感知整个网络的安全状态以及变化趋势,通过企业本地部署安全大数据分析平台,打通云端情报与本地设备的联动,形成情报触发预警,预警触发防护的闭环。对外部的攻击与危害行为可以及时的发现,并采取相应的响应措施,保障企业信息系统安全。2.企业网络安全2016年,在“4.19讲话”中再一次强调网络安全建设的重要性,并提出:“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力,要加快网络立法进程,完善依法监管措施,化解网络风险。此外根据网络安全法相关规定,我们也可以看出,网络安全法在原有信息系统安全等级保护制度的基础上,创新了网络安全等级保护的工作方法,企业的信息安全建设需在原有信息系统安全等级保护制度建设的基础上,将新技术新应用带来的重要信息系统建设诸如云计算、移动互联、物联网、工业控制、大数据等领域的国家关键信息基础设施建设都纳入国家安全等级保护制度进行管理,将风险评估、安全监测、通报预警、应急演练、灾难备份、自主可控等重点措施也纳入了国家网络安全等级保护制度的管理范畴。企业紧跟网络技术的发展,以“智慧安全2.0战略”为指导,将“智慧安全”的核心从网络系统安全、数据安全深入到业务应用安全等各个层面。现在已可以采用AI、机器学习、行为分析等技术手段进行动态分析、静态分析、异常检测、深度解析等手段,更有效地防范未知威胁。3.物联网安全预计到2021年,全球将有超过460亿台设备,传感器和执行器连接在一起,更广阔,更强大和更稳定的物联网时代即将到来,并且最终将给企业带来全新业务方式。物联网(IoT)为企业创新提供了广阔的前景。企业通过监控、分析收集来的数据量,来确保业务的正常发展。其中数据大都是从传感器、应用、门禁系统、配电单元、UPS、发电机和太阳能电池板产生的数据,但随着这些应用的增长,物联网带给企业的安全风险也很大。要应对物联网的安全挑战,企业应从智能设备的离线安全、入网安全、在线安全等维度进行整体安全检测与防护,在云端接入大数据感知威胁和安全态势分析平台,获取威胁情报;在本地端通过减少威胁“检测时间(TTD)”,即减少发生威胁到发现威胁的时间差,缩短检测时间,可有效限制攻击者的操作空间,和最大限度减少损失。①及时更新基础设施和应用,让攻击者无法利用公开的漏洞;②利用集成防御对抗复杂性,采取平衡防御与主动应对的安全控制;③密切监控网络流量(这在网络流量模式可预测性非常高的IoT环境中非常重要);④追踪物联网设备如何接触网络并与其他设备进行交互(例如,如果物联网设备正在扫描其他设备,则可能是表示恶意活动的红色警报)。
四、结论
神州控股董事局主席郭为对未来的预测时说:“云计算将成为未来主流IT运算模式,大数据会成为最重要核心资源;自上而下的创新将是智能时代推动社会进步的主流方式,借助云计算、大数据这两项关键技术实现互联网化、协同化和智能化。”智能是我们这个时代的标志,对于企业信息化来说,它的路很长,首先要完成核心业务在线化和所有的业务流程服务软件化,然后完成应用软件的SaaS(Soft-as-a-Service)化,当企业的核心业务完全建立在互联网上,并有软件SaaS平台驱动,企业才能够向智能化方向演进——低成本积累大数据,并通过数据分析进行商业决策,最终向实时数据分析、实时智能商业决策演进。由此,企业信息智能化任重道远,从现在开始制定适当的安全策略,以此加快IT新趋势的适应能力,在不断采用新技术的过程中建立适合企业的安全管理系统,做到覆盖企业安全运维的所有场景,监视安全威胁,预测安全风险。
参考文献
[1]维克多•迈克热•舍恩伯格.大数据时代:生活、工作与思维的大变革[M].浙江人民出版社.
