时间:2023-02-05 05:10:40
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全信息化,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】监控网络安全;信息技术;技术应用
当前是我国信息化发展的最佳时机也是信息化发展最蓬勃的时刻,但发展背后的安全隐患也不可忽视。虽然很多城市目前采用的专网或局域网网络架构能够降低与外网的接触率,在一定程度上减少用网风险。但随着信息化的进一步发展,监控网络安全的需求也在逐渐变大,利用网络监控提高网络安全也将成为信息时代网络安全的大趋势。因此如何提高监控网络安全将是我们现在甚至很久之后都需要关注并需要深入研究的课题。
一、监控网络安全技术发展的必要性
(一)用户需求。
个人、商业信息因网络普及不再成为秘密。个人和商业私密信息在通过网络存储和传输时,这种携带私密信息的载体很容易遭到破坏从而导致私密信息泄露,且犯罪分子层出不穷的手段让远程监控甚至网络系统自身已经不再安全。如,2013年4月黑客———“叙利亚电子军”入侵美联社官方Twitter账号后”白宫爆炸,奥巴马受伤”的假新闻从而引发美股暴跌,损失约2,000亿美元。而城市公安系统为了确保用户安全推出的公安系统、平安城市系统、手机监控等也和互联网密切相关,若没有良好的监控网络,犯罪分子很可能会利用系统漏洞访问公安系统进行犯罪。这些用网隐患让使用者对网络安全的需求愈发膨胀。监控网络安全信息技术的使用迫在眉睫。
(二)安全产品升级需求。
目前,很多流媒体形式的视频监控应用产品应需求而生,但是这种流媒体本身因其自身的便易性和广泛性,很容易遭到破坏和攻击。不久之前某市的银行抢劫案中,犯罪分子即是利用配电箱切断监控网络系统实施的抢劫。这也说明,当前的监控网络安全信息技术并不成熟,设计者还需研究实用性更强、符合标准的监控网络安全产品。
二、网络监控安全信息技术的发展
网络监控安全信息技术的发展不是一步即成的,要想加强监控网络安全的实用性和可靠性,还需要从以下几个方面进行技术深化。
(一)计算机系统安全。
监控网络安全是弱电系统,计算机系统是其得以实施的物理安全保障。例如在实际网络工程建设中,首先要考虑计算机硬件设备能够有效应对地震、水灾、火灾等事故,同时对由温度、环境造成的破坏是否有一定抵御能力。而计算机其他配套如USP备份电源以防止因停电对计算机造成影响,恢复出厂默认设置以恢复人为错误操作造成的严重后果,健全的报警系统和双机多冗余等等计算机系统安全设计也必不可少。只有先确保监控网络的物理安全,才能够保证监控网络能够正常工作。
(二)网络传输。
单个的监控网络安全系统并不能真正实现整个网络的安全。因为监控网络需要及时将网络监控信息传输至互联网,一旦监控网络安全系统与外界通信,就可能会遭受攻击或者被网络病毒感染。倘若安全系统被攻击或感染,不仅系统自身会遭到破坏,与之连接的内部网络也会遭殃。因此安装监控网络安全系统的同时还应保证与安全系统相连接的服务器具备良好的防护措施。目前最好的方法是在外界通信的互联网上装上如防护墙、正版操作系统屏蔽漏洞等软件。接受外网信息时,只允许对应主机接受正常通信的数据包,对于不明来历的请求应直接拒绝。只有做好传出、接入两方面的管控,才能够确保监控网络安全系统在一个不受干扰的环境下工作。
(三)后端软件要求。
后端软件安全主要有两大方面:一是被传输数据的服务器上的软件安装应尽量确保安全性,确保监控网络系统传输数据时不会有危险,且对于被传输服务器上的登陆用户需要有权限和密码要求,明确登陆者责任和及时发现隐患;二是监控网络安全系统自身安装的软件也需要严格把关。平台软件可以使用LINUX核心平台构架从而提高平台操作稳定性。系统信息存储可以采用ISCSI技术的分布式网络存储,该技术支持本地、中心、前端等多级存储方式,数据存储空间大,存储数据不易丢失。此外智能负载平衡技术和高可用在线热备技术能够确保安全系统平台长时间运行并支持大信息量数据搜索。
三、监控网络安全信息技术的应用
随着研究的深入,监控网络安全信息技术日趋成熟,应用也愈发广泛。基于实际网络安全应用需要,目前监控网络安全信息技术主要有以下几个方面的应用。
(一)防火墙。
防火墙能够依照特定规则,允许或限制传输的数据通过。它有效结合计算机硬件、软件和安全策略,为用户用网筑起一道强有力的安全屏障。用户可以通过安装防火墙软件或者架设防火墙硬件来为电脑屏蔽安全隐患。防火墙可以智能规避危险,让内部人员只访问安全的外部服务,也可以拒绝外部服务的非合理访问请求。为确保用户用网权利不受侵犯,可以在如路由器、服务器上设置防火墙,这样可以保证只有合法用户能够访问网络资源,而企图攻击路由进入内部网络的非法网络不仅会被拒绝还会被跟踪,严重者甚至报警。
(二)信息身份验证。
信息身份验证为用户提供了准确的个性化个人信息,方便用户简单、安全地登陆不同网站。如密码、邮箱验证码、动态手机口令等信息验证大大提高了使用者信息的安全性,降低了其他人非法登陆用户网络系统的可能性。而实名认证、手机号、邮箱绑定的方式也方便用户在个人网络遭受攻击被盗取之后能够及时通过身份验证找回,避免造成损失。
(三)信息加密。
信息加密主要是视频流加密,当监控视频被传输到后端系统时,文件在打包压缩的同时也被加密,只有特定的密码才可解压,而其他妄图非法取得或篡改视频的操作都会被拒绝。这种通过对传输数据进行加密的方式提高数据安全性的技术即是数据加密技术。数据加密技术的使用提高了传输数据的安全性,应用价值很高。目前流媒体对于数据加密技术的应用较多,但是安防监控领域对于这一技术的使用并不多,当前在使用的仅仅只有少数几个平台厂家。由此可看出,安防监控领域的安全监控技术还有待进一步深入、加强。流媒体对于数据加密技术的使用虽然日趋成熟,但考虑到流媒体自身存储数据的图像实时性,因此在加密和解压的同时需要结合实际情况评估解密速度对数据实时性的影响,计算解密速度和数据包大小的对应关系。利用序列密码进行流媒体数据加密也是一种不错的加密方法,但使用这种加密方式也须考虑实际需求。
(四)VPN技术。
VPN技术适用于连锁超市、集团公司、加油站、公共场所等地方,它能够在公共信息网中建立虚拟局部网络,监控数据可以基于虚拟局部网络实现数据的安全传递。也正是基于此,连锁超市、集团公司和加油站等分布散、数量多的个体只要将数据专线接入本地网络,即可在自己的虚拟局部网络中安全传递信息。此外,若想节省高昂的布线成本,也可以采用拨号方式接入VPN监控网络来构建监控网络,传递信息。
四、结语
监控网络安全信息技术应互联网大环境而生,且经过多年的研究已有了一定的成果,基于当前互联网中存在的安全隐患也有了一定的防御能力。但不可否认网络攻击手段日新月异,层出不穷,现在的监控网络安全信息技术还远远不够,监控网络安全信息技术仍然需要面对极大的安全挑战,也需要不断地更新,完善。而网络安全,仅仅有监控网络安全系统还远远不够,健全的网络管理制度和操作者的高度安全防范意识也是不可或缺的,只有三者具备,才能实现真正意义上的安全网络环境。
【参考文献】
[1]梓墨.监控网络安全信息技术发展与应用[J].中国安防,2011,8
[2]厉颖,韩殿国.网络安全管理技术研究[J].软件导刊,2013,2
[3]陈利.基于行为分析的网络通信监控技术研究[J].计算机应用技术,2011
摘要:信息化是指培养、发展以计算机为主的智能化工具为代表的新生产力,并使之造福于社会的历史过程。一种食品从农田到餐桌,要经过生产、加工、贮藏、运输和销售等诸多环节,食品的供给体系趋于复杂化和国际化。在如此长的产业链条中,每一个环节都有污染食品的可能,不采用先进的信息化管理手段,要实现全程的食品安全控制是不可能实现的。实施信息化管理手段,可以起到信息跟踪和预警等作用,切实有效的将食品安全风险降到最低,甚至零风险。在信息化建设飞速发展的今天,互联网是人们获取信息的重要途径。通过网络向广大消费者提供食品安全信息,有快捷、方便、更新及时等特点,对社会提供食品安全网络服务,将有助于促进食品安全监管工作的发展和食品安全现状的改善,可以说食品安全信息化是构成食品安全监管工作中不可或缺的组成部分,它的建立和完善有效地保障了食品安全长效监管机制的健全。而目前的食品安全信息化工作却有些滞后,部分企业信用严重缺失。广大人民群众获得食品安全信息的渠道有限,政府及其职能部门与公众之间缺少及时的信息交流,造成了公众面对食品安全问题的困惑和行政管理部门威信的有所下降。目睹此种情况我们要深刻认识到食品安全信息化建设是进一步加强食品安全工作的重要措施之一,是今后工作中应特别注意的一个方面:要加强食品安全信息管理和综合利用,实现互联互通和资源共享,以信息化加快食品放心工程体系的建设步伐。由此才能更好地完成食品安全监管工作,并能为构建和谐社会做出积极贡献。笔者就对加快食品安全信息化建设之对策所需注意的问题发表几点拙见。
一是建立完善制度。制度是保证信息工作正常运转的关键因素。食品安全监管信息应由政府及其有关部门,政府及其有关部门应完善食品安全监管信息的程序,各级食品药品监管系统要对食品安全信息工作建立定期研究制和工作责任制。要定期研究食品安全信息工作,督促指导食品安全信息工作,要制定食品安全信息收集与管理制度,要建设食品安全信息沟通报送网络,要建立部门间的食品安全信息联络员制度和食品安全信息通报制度。有关部门要能及时向食品药品监督管理部门报送食品安全信息,食品药品监督管理部门要负责信息的处理,做到信息收集全面、汇总及时、传递迅速、分析整理高效。各级食品药品监管系统要不定期地向上级人民政府、同级食品安全协调委员会成员单位通报食品安全监管工作动态及工作部署、食品安全信息采编和报送要点,上报信息被采用的情况等。
二是要建立统一的食品安全信息管理和综合服务平台。食品从生产到消费、从土地到餐桌的整体链条中的食品安全监管职责,涉及到多个部门。所以食品安全信息管理必须要做到有效的统筹规划、协调和协作,来保证各地方和部门间信息互联互通、资源共享。各部门食品质量监督检查的信息以及相关法律法规及政策等信息均通过此平台向社会,相关部门要将与食品卫生质量安全有关的信息收集汇总、分析整理、及时传递、定期向社会。各部门所的信息必须与食品安全(或与日常生活安全)相关。信息的来源遵循科学的原则,保证准确、及时、客观、公正。信息人对所的信息承担责任。同时要建立畅通的信息监测和通报网络体系,逐步形成统一、科学的食品安全信息评估和预警体系,及时研究分析食品安全形势,对食品安全问题做到早预防、早发现、早整治、早解决。
三是加快建立和完善各级食品安全信息网。食品安全信息网--是代表政府在食品安全监管方面与市民互动和信息的唯一官方通道,也是食品安全信息管理和综合服务平台最好的展示渠道。食品安全信息网代表了政府在食品安全监管方面的积极形象和坚定决心。也是代表政府食品安全监管情况的永久窗口,并能引导放心消费、营造放心消费环境,是每个地方食品安全建设必需的建设内容。我认为应从以下几方面进行建设(1)搭建食品安全信息网络服务平台的硬件和网络环境;(2)开发食品安全检测监管信息管理软件;(3)初步建立食品检测信息库、食品经营主体备案信息库和食品安全标准信息库;(4)开发信息处理、、查询软件,通过电话、短信和互联网等多种渠道,实现市民与食品安全信息网络服务平台互动;(5)建立一支既精通电脑网络知识又熟悉食品安全监管各方面情况的复合型信息技术人才队伍;(6)组织食品安全信息化教育培训、交流和合作工作。
四是要及时采集、更新食品安全信息网站信息,同时要加强食品安全信息网站运维工作。高度重视网络与信息安全网站的生命力在于信息,在于互动。网站要办好,好的信息非常重要。食品安全协调委员会成员单位要把能够公开的静态信息完整的公开,如单位介绍、办事指南、法规文件等等。同时要及时更新动态信息,提高网站的点击率和单位的服务水平。食品安全网络与信息安全不仅关系到食品安全信息化的健康发展,而且关系到国家的政治和经济安全及社会稳定。信息化水平越高越要重视网络与信息安全,否则,一旦出现网络与信息安全问题,将会造成重大的网络安全事故。一定要坚持一手抓信息化,一手抓网络与信息安全。
五是突出工作重点。正确处理重点突破与全面推进的关系,明确不同阶段食品安全信息化建设的工作重点,集中力量,有所为,有所不为。当前食品安全信息系统的建设重点是加强和完善食品安全信息系统,建立一个全社会共同参与的食品安全信息网络,收集和食品安全的相关信息,并及时向生产、加工、经营和消费者提供有关质量、安全、标准、品牌、市场等方面的信息。
关键词: 网络安全;B/S架构;浏览器;计算机技术
0 引言
计算机网络技术的发展推动了信息化革命的进程,信息的实时性、保密性传递也成为网络技术人员研究的热点,尤其对网络信息安全系统的研究最为追捧。因此,为了保障网络系统的安全,各个公司和企业加装了种类繁多的网络安全设备,如搭设防火墙、构建网络入侵检测系统等,但这些网络安全措施一般都各自为战,不能很好的进行协调合作,共同维护网络信息安全,所以基于B/S(Browser/Server)架构的网络安全系统的建设尤为重要。
所谓B/S架构即浏览器/服务器架构,它是伴随Internet技术发展的同时,对C/S(Client/Server)的一种改进架构,在这种架构下,用户可以通过网络浏览器将各种网络安全产品进行统一调度管理,打破各自为战的局面,使之能够互相支撑、协同合作。其最大的优势就是不依赖任何软件和办公地点,只要有一台可以上网的PC机,用户便可实现网络安全系统的统一管理和调度工作,实现了客户端零维护。
1 基于B/S的网络安全系统的设计与实现
该网络安全系统主要是采用直接面向对象进行设计的方法,利用Java和Delphi并结合SQL SERVER进行开发,建设完成系统及数据库。投入运行后,可将分散的安全设备的安全日志和信息系统操作日志通过网络服务器上传到网络上,然后用户通过浏览器对这些信息进行宏观调配,合理协调各个安全设备运行,打破“安全孤岛”格局,实现真正的网络数据系统的安全化。
本网络安全系统采用四层分布式体系结构,主要包括管理层、网络服务层、信息处理层和数据层,且相关的各个服务组件都封装在网络服务器中。其工作流程图如图1所示。
1.1 管理层
管理层主要完成用户通过浏览器提取网络线上信息进行安全设备的宏观调配的任务,同时通过浏览器用户可以更改网络安全设备参数、查询日志和更新数据库数据。
1.2 网络服务层
网络服务层主要完成把安全设备运行时产生的安全日志和操作信息远程提交给数据服务器,供管理层浏览器端查询。其工作流程主要为接收到管理层浏览器请求后,根据浏览器请求要求,然后传送至信息处理层,信息处理层收集传送至的页面信息并上传所需信息到网络服务层。在网络服务层中储存了运行参数相应的主要实现代码,以备系统可以实时有效的查询网络安全信息。
1.3 信息处理层
信息处理层是整个网络安全系统的核心,这一层主要是完成对采集来的各类资源数据的处理,形成对风险、策略、知识等的综合管理,同时按照安全问题的处理流程、依照相关的规则和安全风险管理模型来实现对防火墙、入侵检测、防病毒、主机、网络等构成的安全防护体系的统一监控和管理,起到一个承接上层网络服务层的数据响应功能,从下到数据层提取采集到的关键数据的作用。构建信息处理层决定了整个安全系统的性能和应对威胁效率,在设计信息处理层时要力求安全逻辑的识别和实现,合理的利用好整个系统的空间资源,分配好逻辑处理时间。
1.4 数据层
数据层主要负责对底层分散的各种安全网络设备的数据进行采集汇总,在采集时要尽可能的考虑到计算机网络系统中的安全危险因素,像企业资产信息,软件后门信息数据,威胁信息数据,风险数据信息这种关键数据要加入到数据库中进行实时监测和控制,同时还要对这些数据进行预处理,以减少信息处理层的服务器压力,增加响应效率,增强安全系数。
1.5 安全机制的建立
企业和部门的计算机网络安全系统是一个庞大的分布式系统,主要有用于信息的网络服务器、存储信息的数据库、具有处理功能的算法服务器及安装的各种底层安全设备,值得注意的是这些服务器和数据库都不能部署在一台电脑上。在建立系统安全机制时,首先要安装好防火墙、路由器和网关等网络安全设备,然后根据网络安全策略部署计算机网络安全系统内部系统,主要涉及到的技术有:入网访问控制技术、网络权限控制技术、目录级安全控制技术、属性安全控制技术、网络服务器控制安全技术、网络监测和锁定控制技术、网络节点和安全的控制技术、防火墙控制技术、信息加密策略、网络安全管理策略。通过建设安全机制来防止信息泄露。
另外,将在管理层开发的浏览器设定为唯一的外部访问点,系统对用户的认证是通过网络服务器来执行的,在浏览器和服务器之间建立安全套接字协议SSL,利用SSL基于公开密钥的证书来认证系统用户。在颁发认证证书的同时并根据权限要求设定不同的权限用户,方便不同的操作人员的权限操作。
2 系统实施效果
目前该网络安全系统已经逐步进入了企业和部门,并受到了广泛的好评,基本实现了以下效果:
1)实现了对网络中数据的远程实时监控,提高了企业和部门中的各个安全网络设备的协调合作能力,提高了网络信息受到威胁攻击的反映速度,有效的改善了应对措施滞后的问题。
2)系统强大的综合查询功能,无论在何地,只需要有一台可以上网的电脑,便可随时对计算机网络安全信息日志和操作信息进行查询和记录,及时制定有效的应对措施。
3)维护简单,基于B/S架构的网络安全系统极大地减少了客户端维护成本,以最低的经济成本保障了网络系统的安全。
3 结论
本文研究表明,在企业和部门网络安全系统中,基于B/S架构模式的网络安全系统能够更好的满足企业和部门的计算机网络信息数据安全,以原有企业和部门安装的底层网络安全设备为基础,通过浏览器宏观管理与调度,使得安全设备密切联系在一起,互相支撑、互相配合,共同保障网络数据信息的安全。浏览器的纽带作用取代了过去以往的客户端设备,极大减少维护成本的同时增强了计算机网络数据的安全性。在当今信息化迅速发展的今天,此架构系统的研究为计算机网络安全系统的建设提供了一个有效的解决方案。
参考文献:
[1]陈霜霜,计算机网络安全的研究与探讨[J].科技信息,2011(35):136-137.
[2]涂海亮,计算机网络安全威胁因素及常用网络安全技术[J].老区建设,2009(6):46-48.
【摘要】目前信息化建设步伐的加快,网络和电子信息技术在财政工作领域应用日益广泛。先进的科学技术在提高工作效率、简化工作流程的同时,计算机操作系统本身的脆弱性、互联网络的国际共享性、以及层出不穷的网络黑客和恶意程序也给安全保密工作带来了新的挑战。如何在网络信息化条件下做好安全保密工作成为财政部门亟需解决的一个重要课题。
【关键词】财政;信息化;保密
信息时代的发展,计算机、互联网对日常工作、生活产生便利的同时,也带来了很多安全隐患。与此同时,国家秘密载体呈现多元化、网络化、数字化趋势,泄密渠道增多,窃密手段更加隐蔽,保密任务更加繁重,难度进一步加大。财政工作要筑牢保密安全防线,确保党和国家的秘密安全。财政安全管理体系、重要信息系统、关键信息基础设施、网络安全管理基本情况,细致排查财政系统信息网络安全风险,严格落实财政部门网络安全管理责任,进一步提高网络安全意识和网络安全整体防护水平,防止重大网络安全事故发生的重要手段。
财政信息数据利用难以管控,传利的数据处理方式,各个系统是相互独立的,系统之间没有数据共享,数据从基础统计部门向最终使用者需要经过手机、存储、使用、转移、删除等环节。数据的共享和利用很难实现全方位的管控。财政保密数据和大数据开放共享出的要求存在着天然矛盾,如果一味想着开放共享财政数据,会导致信息过度、财政信息滥用等现象变得越来越普遍。目前,多数财政部门存在资金、技术和人力方面隐私保护投入不足的问题。财政数据多采用分布式存储和处理方式,底层技术复杂,安全边界模糊,传统的基于边界防御的安全技术已不再适用。随着财政信息数据的广泛应用,出现了针对大数据的新型网络攻击手段,如大规模分布式拒绝服务(DDos)攻击和高级持续性威胁(APT)攻击等。当前财政信息网络安全工作存在的主要问题:
1、保密规定落实不到位。近期随着涉密管理的加强,财政部门相继出台了一些财政信息化安全保密工作制度条例等。仍然有科室和人员心存侥幸心理,在规定执行上出现部署多、执行少,要求严、落实松的现象,存在很大的安全隐患。
2、涉密载体存在管理漏洞。个别科室对电子涉密载体的管理使用缺少必要的防范措施,在携带、使用过程中操作不规范,容易导致涉密信息泄露或被窃取。
3、数字证书管理不规范。目前,财政系统内网的部分数据查询与录入工作中,只有很少一部分需要借助数字证书完成。部分工作人员的数字证书保管不严密,密码设置过于随意,大大降低了数字证书作为秘钥的防护性能。
4、网络管理能力待提高。近年来,部分单位片面强调新闻宣传工作,对上网内容的审批制度落实不到位,对于涉密或者敏感信息甄别不严谨,有时将一些敏感信息或内部资料在网络上,给工作带来了很大的网络信息安全隐患。为严格落实保密制度,县区财政局结合自身职能和工作实际多措并举做好财政信息保密工作。大数据时代,隐私保护固然重要,但过度保护也不利于释放大数据的应用价值。为避免因“一刀切”而导致的保护和应用失衡,实行分类分级保护显然是最佳选择。数据脱敏(DataMasking),能对某些敏感信息通过脱敏规则进行数据变形,对敏感保密数据数据的可靠保护。实现保护敏感信息的同时,对数据非敏感部分的正常使用。
一是建立健全信息安全管理规章制度,规范信息保密工作管理。进一步完善了财政信息设备和信息系统安全管理制度,对计算机信息安全、网络管理、涉密数据保管等管理制度进行了明确,切实保证各项财政信息保密措施的落实到位。
二是结合财政工作实际,做好财政信息保密工作。为确保财政信息保密工作安全运行,对财政数据和电子文档的存储与使用进行了规范,明确了专人负责制度,切实保证各项财政信息保密措施的落实到位。
三是强化保密教育,加强财政信息保密监督检查。按照保密工作相关制度,加强财政干部职工的财政信息保密培训,按照规定时间对保密财政信息工作进行检查监督,发现问题马上整改,增强了工作人员的保密意识和观念能力。确保了财政信息的安全。网络安全工作责任制和制度落实情况、信息系统安全管理情况、网络安全工作开展及防护情况、网络及系统安全运行维护管理情况、信息保密工作开展情况、应急管理及重要数据灾备情况等方面建立自查机制。在检查过程中发现自己工作中存在的不足,为工作中都积累了经验也为进一步做好信息安全和保密工作打下了坚实的基础。对能够及时整改的问题进行立查立改,对不能及时整改的问题也都制定了整改方案,明确了时间点、责任人。
关键词:蓝盾 ;信息安全;SOC
1.前言
为了解决网络不断出现的安全问题,政府和企业先后部署了安全设备,甚至建立了自己的专业技术队伍,对信息系统进行安全维护和保障。但是由于IT环境中存在较多的安全设备和大量的日志信息,安全管理人员面对众多的控制台界面、告警窗口和日志信息,往往束手无策,导致工作效率低,难以发现真正的安全隐患。并且这些安全设备都仅仅防堵来自某个方面的安全威胁,形成了一个个的安全防御孤岛,无法产生协同效应。
2.需求分析
在越来越多安全设备使用的情况下,面对复杂的网络环境,信息安全事件变化多端,政府和企业的信息安全管理者责任也就越来越重,在日常管理工作中,出现了以下新的需求:
一.安全设备需要进行统一管理。在实际网络中,为了保障网络安全,政府或企业都部署了大量的安全设备(这些安全设备可能来自于不同的厂商),但这些安全设备相对孤立,各负其责,要管理起来非常不方便。设备运行状态、设备稳定性等都没法得到及时把控,严重时会影响整个网络的应用,甚至中断业务。
二.安全策略需要统一部署,维护人员在面对大量且不断变化的外部威胁时,需要在安全设备上配置安全策略以保障网络安全,但在大量的安全设备中进行逐台配置,给维护人员带来了极大的不便和大量的重复性作业。并且在面对网络突发事件时,可能会影响维护人员处理时间的响应速度,给政府或企业带来重大的损失。
三.安全事件需要集中分析管理。在实际网络中,各种应用和安全设备在运行过程中各自产生大量的日志,如果单靠专业人员手动去分析判断这些分散在各个设备中的日志信息是很困难的,因此需要一种把安全事件集中收集并自动分析的方法来迅速地在这些大量日志信息中准确地发现有害事件。
四.需要提高网络系统的风险管理和脆弱性评估能力。网络系统存在的脆弱性是网络攻击发生的前提,但是在实际网络中,很少有自动化的风险管理和脆弱性评估的方法,只能通过人工分析找出安全隐患和可能被不法人员利用的系统缺陷。这样一种被动的方式使维护人员很容易漏掉一些安全隐患,给政府或企业的网络带来很大的风险。
3.SOC系统建设意义
信息安全的发展随着网络建设经历了三个阶段:一是防病毒、防火墙+IDS(入侵检测系统)部署的初级阶段。二是随着信息系统速度发展,各种业务信息化推进,对信息安全产生巨大的需求(包括网关防护、安全审计管理、终端安全和应用安全),并大量的使用区域边界防护与脆弱性扫描与用户接入控制技术等,此时的安全技术分为防护、监控、审计、认证、扫描等多种体系,纷繁复杂,称为安全建设阶段。三是随着业务高度信息化,信息安全管理成为信息建设的必要组成部分,把分散的安全设备、安全策略、安全事件统一管理与统一运营,成为安全管理阶段,最典型的就是综合性的安全管理中心(Security Operation Center)SOC的建设。
蓝盾公司开发的安全综合管理平台系统(BD-SOC),由“四个中心、六个功能模块”组成,实现了信息采集、分析处理、响应管理、风险评估、流程规范、综合展示等网络安全管理需具备的所有功能。
“四个中心”:网络管理中心、风险评估中心、安全事件监控中心和预警与响应中心。
“六个功能模块”:资产管理、日志管理、配置策略管理、报表管理、安全知识管理和报修管理。
4.BD-SOC系统应用特征
蓝盾的SOC系统根据用户切实的需求,以方便用户对安全设备和安全事件进行集中管理,保障用户网络安全可靠为前提,在应用上体现了以下四方面的特色:
一.协助用户对安全设备进行集中管理
1 统一的资源监控,提供一个全方位监控的统一管理平台,确保资源的可用性以及业务的特殊性。
2 拓扑图形显示,能自动识别和发现新加入的安全产品。
3 安全设备的实时性能分析,能够实时查看设备的CPU利用率,内存利用率等情况。
4 网络故障的直观图形显示,当设备发生故障时,可以通过图标颜色的变化在网络拓扑中显示出来,可以一目了然地发现网络和设备的故障所在。
5 提供多种安全信息查询、报表分析及网络安全报告,并以表格和图形的形式呈现出来。
6提供灵活查询功能和分析规则,能够根据用户的需求生成日报表,周报表,月报表和年报表等,报表可以另存为HTML、Excel、文本、PDF等多种格式。
二.方便用户统一配置安全策略
BD-SOC系统采用安全策略的集中编辑及下发来统一对安全设备进行配置。以前在配置安全策略时,需要登录网络中的每台设备,对其进行安全策略的配置,这是一种“登录—配置”的过程。BD-SOC系统能够对全网安全设备的安全规则进行统一的集中编辑,并进行策略下发,把配置安全策略的过程转变为“编辑——下发”的过程,极大的降低了维护人员的工作量、减少了安全策略的冲突和漏洞、增强了全网的整体安全性。
三.帮助用户集中管理安全事件
1统一日志监控。BD—SOC把网络安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来,使得用户通过单一的管理控制台对IT计算环境的安全信息(日志)进行统一监控。
2 日志归一化与实时关联分析。收集并归一化所有安全日志和告警信息,然后通过智能事件关联分析,帮助安全管理员实时进行日志分析,迅速识别安全事件,从而及时做出相应。
3可视化日志分析。BD—SOC具备强大的事件可视化能力,事件可视化可以是柱图、饼图、曲线图等统计趋势图表的展示。
四.帮助用户找出网络脆弱点,提高网络安全风险管理水平
蓝盾安全综合管理平台系统(BD--SOC)风险管理对资产的价值、脆弱性、威胁进行统一的分析、管理和评估。BD—SOC主要思想就是通过降低风险来减少安全事件的发生,有效提升组织的安全性,帮助管理员对脆弱点做出正面积极的响应,预防可以发生的损害。风险管理为组织对IT维护人员的日常工作管理提供了依据,为评价安全决策、安全工作的成果提供了量化的衡量指标。
5.小结
随着Internet/Intranet 技术的飞速发展,网络安全问题愈来愈引起人们的重视,具有功能齐全、部署方便、可管性和可视化特点的BD-SOC系统,迎合了信息安全管理阶段发展的要求,希望通过借鉴其系统研发的主要思想及应用特征,推进网络信息安全技术的发展。
参考文献
[1] 戴红,王海泉,黄坚计算机网络安全【M】.电子工业出版社.2004.9
[2] Bace RG .Intrusion Detection [M]. Technology Series. Macmillan, London,2000.
应当深入开展专业培训教育,促进官兵思想观念转变,并健全规章制度,加强技术配备建设,从而实现信息网络安全工作的飞跃.
【关键词】武警部队;网络安全;对策
武警部队肩负着保卫国家安全的重要使命,近年来随着社会经济和技术的发展,部队积极开展现代化建设,计算机网络应用得到普及。但与此同时,信息网络安全工作面临的问题也不容忽视,黑客入侵、病毒攻击等问题愈演愈烈。所以部队应当采取科学的应对措施,提
升网络安全水平。
1武警部队信息网络安全工作的重要性
武警部队信息网络安全是指部队信息局域网的软硬件和系统中的数据能够获得有效保护,避免被恶意行为攻击以及由此带来的信息泄露、信息篡改、系统故障等问题,从而实现网络正常运转,使信息服务平稳顺畅。包括计算机和网络的物理设备、安全操作系统、安全协
议、管理机制等都属于信息网络安全工作的重要组成部分。由于武警部队肩负着保护国家安全和社会稳定的职责,其信息网络安全工作直接关系到国家的政治安全、经济安全、文化安全。近年来武警部队非常重视计算机网络建设,通过相应的软硬件投入,部队办公效率
显著提高,并为信息资源共享、工作交流互动提供了有力的支持。目前网络已经成为部队工作正常运行的重要载体,同时也体现着部队的现代化水平。新时期深化信息网络安全工作,不仅有助于提升官兵的信息素养,增强官兵的网络安全防范意识,更是防止信息泄密、
恶意攻击等问题的需求所在,安全的网络运行环境才能为部队信息传递及各项工作提供保障。
2武警部队信息网络安全工作的现状
信息技术飞速发展的今天,武警部队信息网络安全工作正在面临崭新的形势,同时部队网络安全管理意识有待增强,相应的规章制度和技术应用也需要上升到更高水平。
2.1武警部队信息网络安全工作更加复杂
互联网时代的到来给部队各项工作提供了非常便捷的网络条件,但是很多新问题也是层出不穷。例如,随着信息传播深度和广度的发展,敌对势力的渗透手段更多,各种负面信息肆意传播,直接给国家的政治安全和社会稳定带来影响。此外恶意软件防不胜防,无线网覆
盖加强的同时也会带来新的隐患,这些都对信息网络安全管理提出更高要求。
2.2武警部队信息网络安全意识有待增强
当今社会科技日新月异,部队用网需求较高,但是信息网络安全工作的理念和方法却相对落后。部队现有网络安全教育内容不够深入,官兵缺乏安全防范意识,用网行为存在安全隐患,并且没有充分意识到网络安全问题的危害。信息网络安全管理以传统方法为主,前瞻
性管理明显不足,对安全隐患未能给予有效的抑制。
2.3武警部队信息网络安全管理制度不健全
武警部队信息网络安全工作的内容较为复杂,涉及的部门较多,如保卫、宣传、信息化等部门都与网络监管有关。由于综合信息网使用率不断提高,官兵使用移动互联网终端的数量随之增加,相应的监督检查、技术保障以及应急处理等工作都需要与时俱进发展,现有的
网络安全管理制度还存在诸多有待改进之处。
2.4武警部队网络安全技术配套不完善
信息网络安全工作涉及软硬件、系统的维护及管理,但是部队网络安全管理人才非常欠缺,熟练掌握计算机及网络技术的人才较少,管理人员专业知识储备不足。而且部队网络安全防范软件更新速度慢,硬件防护不到位,网络使用过程中容易受到病毒入侵、信息破译、
恶意破坏等问题的影响,现有安全缺陷急需解决。
3提升武警部队信息网络安全的对策
针对当前工作中的问题,今后武警部队应当深入开展专业培训教育,促进官兵思想观念转变,并健全规章制度,加强技配备建设,从而提升信息网络安全管理水平。
3.1组织专业培训教育
由于网络环境日益复杂,武警部队应当积极开展官兵网络使用行为的研究,探索信息网络条件下的风险问题,继而制定系统的培训课程,集中对官兵进行网络安全教育,使广大武警官兵了解新时期信息网络安全管理的迫切性和复杂性,明确各种非主观原因下可能产生的
网络风险问题,强化安全保密工作教育,提升官兵应用信息技术设备的能力和素养。
3.2促进官兵思想观念转变
信息网络是安全管理工作中较为活跃的领域,同时也对国家安全稳定产生着深刻的影响,所以新时期武警部队应当突破原有思维的限制,紧跟时代步伐,转变思想,更新观念,深入研究互联网环境下部队信息网络安全管理的特点,明确自身应肩负的职责和使命,并树立
前瞻性的管理理念。部队领导更要善于激发全员意识,鼓励官兵深入学习。
3.3健全信息网络安全工作规章制度
严格的管理制度是武警部队信息网络安全工作的依据和保障,所以部队应从制度上明确办公软硬件及网络的使用权限、各类文件的保密要求,加大网络安全检查监督力度,及时处理出现的问题,并严肃追究当事人责任。另外部队还可运用激励考评制度,发挥广大官兵干
部的积极性,使其规范网上行为。
3.4加强信息网络安全管理的技术建设
近年来部队大力开展现代化建设,在网络安全维护方面也应当积极应用先进技术,完善技术配备。信息网络管理人员应设置安全性较高的账号和密码,根据相应的权限进行登录。同时部队要综合应用杀毒软件、防火墙、入侵防御系统等技术手段,定期更新软件,更改安
全密码,防止各种恶意行为的入侵。
4总结
当前武警部队信息网络安全工作正在面临新的形势,网络运行环境更加复杂,各种新问题不断出现,这些都给部队信息网络安全管理带来更大挑战。因此,新时期武警部队应当树立科学的管理理念,努力增强官兵综合素质,建立健全规章制度,并广泛应用先进技术,从
而打造高效、安全的网络系统。
参考文献
[1]毛庚鑫.信息化环境中军队网络信息安全的探讨[J].科学家,2017(14).
0引言
在全国网络安全和信息化领导小组第一次会议上强调:“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”,“没有网络安全就没有国家安全,没有信息化就没有现代化”。我国网络用户已经超过6亿,手机用户超过14亿,而我国的网络安全形式不容乐观,网络安全事件呈上升趋势,既懂网络管理又懂网络安全的综合人才紧缺,这给网络工程专业的网络安全课程的设置与人才培养提供了发展的契机。
1网络工程专业网络安全人才培养的优势
随着网络技术的发展,各种网络威胁也随影而至。特别是无线网络技术的发展,使得互联网的体系结构更加复杂,任何网络节点的薄弱环节都有可能会是网络攻击者的突破口。近几年,引起广泛关注的高级持续性威胁(AdvancedPersistentThreat)更是综合了各种可以利用的突破口对目标进行长期踩点,并在适当的时候对目标发动攻击。因此,网络安全管理人员需要具备操作系统、数据库、密码学的理论与技术、掌握网络路由与交换技术、网络管理技术,网络编程技术,以及常见的网络服务器的管理与配置,尤其是对Web服务器的深入理解。但无论是信息安全专业还是信息对抗专业的培养方案都在网络路由域交换技术、网络管理技术等相关课程的设置方面比较薄弱,无法满足网络安全管理人员对相关知识体系的要求。因此,网络工程专业依托其深厚的网络知识体系,更适合建立网络安全管理所需要的理论技术,更适合培养网络安全管理人才。
2网络工程专业的网络安全课程体系建设
根据当前社会对于网络和网络安全人才的需求,本校制定了相应的人才培养计划,历经10年的改革与发展,形成了当前网络工程专业下的三个特色方向:网络技术方向、网络安全方向、网络编程技术方向。无论是网络技术还是网络安全技术都离不开网络编程技术的支撑,缺少相应的编程能力网络技术与网络安全技术也注定会是瘸腿的技术,无法满足网络管理与网络安全管理的需求。因此这三个方向相互融合形成的高级网络与网络安全技术方向,形成了目前网络工程专业较为稳定的培养目标。次开课,经过十年的建设,目前已经成为本专业的骨干课程之一,建有密码学专业实验平台,形成了系统的教学与实践体系。课程设计64学时,其中48学时为理论授课,16学时为实验学时。通过该课程的学习使学生掌握常见密码算法的基本原理及其应用,能够利用相应的密码算法研发安全信息系统或者安全通信系统。“PKI体系及应用”与“网络安全协议”是以应用密码学为基础的延伸课程。培养学生利用现代密码学的技术研发密码产品的能力。“PKI体系及应用”以证书认证中心为轴心,详细介绍公开密钥基础设施的基本概念、基本原理、基本方法,以及公开密钥基础设施在现代密码产品中的应用研发技术。“网络安全协议”从密码应用系统业务逻辑层面的安全分析入手,介绍常见的网络安全协议、网络安全标准和典型的网络安全应用系统,在此基础上,介绍安全协议设计及其安全性分析的基本理论与技术,使学生掌握基本的网络安全协议设计方法,能够根据具体的应用背景设计对应的网络安全协议,研发安全应用系统。网络攻防类课程是在以“应用密码学”等信息安全类课程开设的基础上,根据网络工程专业的建设和国内网络安全形势的需要而开设的网络维护类课程。其中,“网络攻防技术入门”是在大一新生中开设的新生研讨课,共16学时,分8次上课,以学生讨论的方式组织教学,通过安排技术资料研读和课堂讨论,启发学生对网络攻防技术的学习兴趣,掌握基本的网络威胁防护方法。“网络信息对抗”综合讲授与网络安全相关的法律法规、网络渗透技术和网络防护技术。课程共64学时,理论授课32学时,实验32学时,每个理论学时跟着一个实验学时,以边学边练的方式组织教学。实验教学通过专用综合攻防平台进行验证性训练。“计算机取证技术”主要讲述计算机取证的基本方法、基本过程、数据恢复技术、证据提取技术、证据分析技术,以及常见的计算机取证工具的使用方法。“信息安全技术实训”是在四年级上学期开设的实训课程,共计192学时,8个学分。该课程分为两个部分,第一部分以实际的项目案例为驱动,训练学生对现代密码理论技术应用能力与程序设计能力,目标是设计并实现一个小型的网络安全软件系统。第二部分以实际的网络安全案例为驱动,训练学生对于目标系统的渗透能力与网络加固能力、以及对于整个渗透过程的取证分析能力。该实训课程与学生的实习相互结合,部分学生进入网络安全公司进行实习,提交综合实习报告来获得同校内综合实训相当的学分。通过三年的实践,效果良好。
3网络安全方向的人才培养分析
网络安全方向已经形成了较为完善的课程体系,学生学习兴趣高涨,在校内形成了良好的网络安全研究氛围。自发形成了保有数为20人左右的本科生兴趣研究小组,另外,通过每年一届的全校网络安全知识比赛,促进了全校网络安全知识的普及与人才培养,通过组织参加全省大学生网络信息安全知识比赛,选拔优秀本科生进入相关课题研究,而且都取得了较好的效果。为此,本文对近3年的毕业生就业情况进行了抽班级统计。每年的毕业生中都有近90%的学生从事与网络管理和网络安全相关的工作,继续考研深造的人数超过10%,其它无业或者情况不明者仅占4%。由此可见本专业基本达到了培养计划所规定的人才培养目标。
4结语
通过在网络工程专业内设置网络安全方向,解决了没有信息安全专业条件下的网络安全人才培养问题。通过把网络技术、网络安全与网络编程相互融合的方式,探索了一条网络工程专业的发展道路,并且取得了较好的效果,达到了网络工程专业的培养目标。今后的发展方向是加强网络编程能力的培养,培育高级网络管理与网络安全相结合的高级人才。
作者:贾忠田 刘悦 张远 单位:济南大学
为增强校园网络安全意识,提高网络安全防护技能,按照中央网信办、教育部等6部委联合制定的《国家网络安全宣传周活动方案》(中网办发文〔2016〕2号)及省委高校工委相关通知要求,特制定出我院校园网络安全宣传周活动方案:
一、活动主题
网络安全为人民,网络安全靠人民
二、活动时间
9月19-25日,其中9月20日为教育主题日。
三、活动安排
(一)举办全校大学生网络安全知识竞赛
9月9日至10月31日,各系组织学生参加“全国大学生网络安全知识竞赛”,通过网络答题方式普及网络安全知识。激发学生学习网络安全知识兴趣,提升网络安全防护技能。
竞赛网址:
任务单位:院团委
(二)开展网络安全教育专题活动
1.网站宣传
在学院网站首页开辟网络安全专题,相关安全知识、法律法规及学院相关活动,并组织相关资料供广大师生下载学习使用。
负责部门:党委宣传部
2.设计网络安全宣传橱窗、电子标语及摆放宣传板
在学校西区设计放置宣传橱窗,东区主干道及学生主要活动区域发送电子宣传标语、摆放宣传板,积极营造网络安全文化氛围。
任务部门:党委宣传部
3.微信推送
通过学校微信公众号面向全校师生进行网络安全信息推送。
任务部门:党委宣传部
4.校园广播宣传
活动期间,校园广播站广播有关网络安全的常识,提高师生网络安全意识。
任务部门:党委宣传部
5.团日主题班会
各系部根据实际情况,组织开展“网络安全宣传周”团日教育活动,以视频、实例、线上线下互动交流等方式,组织学生学习网络安全知识,提升网络安全意识。
任务部门:学生处、院团委
四、工作要求
1.高度重视,加强组织领导。举办网络安全周活动是贯彻落实中央关于网络安全和信息化战略部署的重要举措,各系部要高度重视,组织师生积极参与宣传教育活动,充分调动学生的积极性、主动性和创造性,推动活动形成声势。
2.突出主题,注重工作实效。要紧紧围绕活动主题,将网络安全教育与学生思想政治教育、文明校园建设、维护校园稳定等工作有机结合,提升工作的针对性与实效性,营造校园安全上网、依法上网的良好氛围。
3.加强协作,建立长效机制。以安全周为契机,探索建立青少年学生网络安全教育长效机制。推动相关内容纳入新生教育、课程教育、团日活动和课外实践活动,完善网络安全教育工作体系,切实增强教育实效。
关于网络数据安全和个人信息保护专项治理情况报告
市委网信办:
根据《市委网络安全和信息化委员会办公室关于开展网络数据安全和个人信息保护专项治理的通知》要求,我局高度重视,召开专题会议,安排专人和科室负责,制定我市商务系统数据安全和个人信息保护专项治理工作方案,现将专项治理情况报告如下:
一、专项治理范围及具体内容
对全局范围内的应用系统、网站、电脑终端、电子邮件及个人电子信息等方面进行专项治理。一是应用系统及网站。重点排查处理、存储公众和个人信息及重要业务数据的服务器、存储设备等。检查日常运维制度落实情况,排查服务器操作系统、数据库、中间件等系统软件和应用软件的漏洞修复、补丁安装情况,排查服务器账号、访问日志及安全日志,确保无异常登录,并杜绝使用弱口令、默认口令、通用口令等。二是电脑终端。排查个人电脑终端是否安装杀毒软件,是否定期更新病毒库并查杀病毒、木马等恶意程序。三是电子邮件。按照上级文件要求,禁止使用互联网免费邮箱传输、存储工作信息,因此各科室需排查使用互联网免费邮箱(如qq邮箱、163邮箱等)处理工作信息的情况,若存在,应立即清理数据和注销账号。四是个人电子信息。排查本单位采集、处理、存储、应用、废弃个人信息的情况。排查涉及个人信息管理的应用系统、网站、服务器、数据库等各环节管理制度和防护措施的有效性。排查在互联网个人信息时,是否进行脱敏处理,不能把完整的身份证号码、手机号码等出来,明确个人信息防护责任和措施,确保个人信息安全。
二、专项治理结果
通过此次专项治理活动对全局应用系统及网站排查情况、电脑终端排查情况、电子邮件排查情况、个人电子信息排查情况、是否存在重要数据丢失、泄露或大量个人信息泄露的情况、自查发现的问题及整改情况等六部分内容进行自查,未发现存在重要数据丢失、泄露或大量个人信息泄露的情况。
三、下一步打算
一是选择专业网络安全公司对全局进行一次技术检测,对检测出来的问题逐一登记造册,限时销号整改;二是将信息安全作为信息化工作的重点内容,健全信息安全工作机构、夯实责任、制定相关制度;三是加大对网络安全工作经费建设投入;四是配合好市大数据中心部署的各项任务,确保电子政务终端治理工作顺利开展。
关键词: 电力系统; 网络设备; 离线攻击; 通信网络设备资源国产化
中图分类号: TN713?34 文献标识码: A 文章编号: 1004?373X(2014)18?0146?03
Security of information and communication network equipments in power systems
GAO Peng, LI Ni?ge, FAN Jie
(China Electric Power Research Institute, Nanjing 210000, China)
Abstract: With the rapid development of information technology in power industry, research for the network security has become an unavoidable task. The usage of domestic and international information and communication network equipments in electric power system is introduced. The security risks caused by foreign network equipments in Chinese power system are analyzed. The risk of the power system network and the urgent needs of network equipment localization are revealed in the analysis. The security risks of internal networks in power systems are also analyzed in this paper. The specific measures of whole process security control for network equipments are proposed. This paper provide a reference for power system network security.
Keywords: power system; network equipment; offline attack; localization of communication network equipment resource
0 引 言
20世纪50年代,一些发达国家开始研究计算机技术在企业经营、管理、设计、制造等方面的应用,信息化技术逐步从单机、信息孤岛发展到企业信息化集成。从20世纪80年代,我国开始将信息技术应用于各个领域,由于起步较晚,在信息化建设过程中普遍借鉴和引入了国外信息通信网络设备[1]资源。
2014年2月,中央成立了“网络安全和信息化领导小组”,突出体现了信息网络安全在国家安全中的重要地位。网络安全和信息化是一项艰巨的工作, 因为它涉及到所有的网络设备,设备的安全又是整体网络安全的一个重要方面[2?3]。同时,随着电力信息化技术的飞速发展,各单位信息化建设逐步深入,电力作为关系人民生产、生活的基础产业,电力信息化建设是电力企业安全生产及生产力水平的重要体现。然而,由于在信息化建设中引入的国外信息通信网络设备厂商和产品的不可控性,不断曝出国外厂商信息化资源的安全隐患,关乎企业、国家的信息网络安全保障问题也日益突出。近年来,国家开始扶持国内厂商探索信息通信网络设备资源的国产化[4?5],但是由于电力公司信息通信系统仍存在一定数量的国外网络设备在使用,并且国外网络设备产品的一些核心技术和标准长期被国外厂商掌控,所以对于电力系统信息通信网络安全的研究与分析迫在眉睫。
1 电力系统国内外信息通信网络设备使用现状
电力系统信息通信网络使用的硬件设备主要涉及网络设备、通信设备、主机及服务器和存储设备,详见图1。引入的国外硬件设备主要涉及小型机、高端服务器、高端存储设备以及部分网络设备等产品,小型机以及高端存储设备短期国内厂家还无法与国外厂家相比,而其他设备如服务器、低端存储设备、网络设备,目前国内产品功能和性能已能达到电力行业相关要求。尤其是网络设备,随着国内相关网络设备产品功能和性能的日益完善,在电力系统信息通信网络中已经具备取代国外网络设备的能力。电力系统目前使用的国外信息通信网络设备包括Cisco,IBM,HP,Juniper等厂商,主要以Cisco网络设备为主,占国外信息通信网络设备的95.82%。使用的国内信息通信网络设备包括H3C、华为、迈普、中兴、烽火等厂商,主要以H3C、华为网络设备为主,H3C网络设备占国内信息通信网络设备的65.17%;华为网络设备占国内信息通信网络设备的22.48%。
图1 电力系统主要硬件产品厂商情况
2013年1月,新华通信社《参考要闻》了题为《路透社称美实验室以国家安全为由移除中国产设备》的报道,称美国洛斯・阿拉莫斯国家核武器实验室近日以国家安全考虑为由,移除了其信息系统中至少两种由中国华三通信技术公司生产的网络设备[6]。由此可见国外实验室对信息系统网络设备安全的重视,结合相关事件对的启示,国家电网公司组织信息安全实验室对电力系统信息通信网络设备的应用情况和存在风险进行了梳理分析。尤以国外网络设备Cisco为例,截至2012年底,来自国家计算机网络应急技术处理协调中心(CNCERT/CC)漏洞库公开的Cisco系列网络设备漏洞就有165个,主要涉及的漏洞类型包括拒绝服务漏洞、身份验证绕过漏洞以及远程控制漏洞,如被利用可导致网络通信中断、网络设备瘫痪甚至远程执行恶意程序等后果。同时,国外网络设备可能存在未被发现的安全漏洞或者事先植入的恶意代码,所以加快实施电力系统网络设备国产化对于保障网络安全非常必要。
2 电力系统信息通信网络安全风险分析
2.1 电力系统信息通信网络安全风险概述
即使自“十一五”以来,电力公司完成了内外网隔离,全面构建了以“三道防线”为核心的等级保护纵深防御体系,“三道防线”有效保障了核心业务系统及数据安全,同时基本杜绝了外部人员直接访问信息内网以及生产控制大区网络的可能性[4,7]。但是,电力系统安全实验室通过对国内外网络设备安全风险进一步分析发现,如果设备存在安全漏洞或被事先植入后门、木马等恶意程序,即使在物理隔离情况下,依然可以通过如下方式进行攻击:
(1) 采用电磁辐射或无线电信号激活漏洞。攻击者利用工程手段在硬件设备中事先加入可唤醒的程序和指令,并放宽硬件设备的信号辐射标准,使其随时可以被探测以便利用,然后通过对设备发送的电磁信号进行侦收和破译,利用无线辐射病毒激活后门。
(2) 通过移动存储介质或移动终端进行攻击。攻击者将病毒存入移动存储介质或移动终端,当移动存储介质或移动终端与内网通信时,病毒利用网络设备漏洞注入内网。
(3) 存在漏洞的网络设备也可能被内部恶意攻击者利用并实施相应的攻击。
2.2 电力系统内部网络安全风险分析
电力系统内生产控制大区和管理信 息大区中的信息内网构成了两个与互联网隔开的“离线”内部网络,其涉及的无线电信号(无线电磁波)主要有:
2.4 GHz电磁波: WLAN;1 900 MHz~2 GHz;
电磁波: 2G(GSM,GPRS,CDMA);3G(WCDMA,TD?SCDMA,CDMA2000);
230 MHz,3~30 GHz电磁波: 电力微波。
图2 电力系统无线通信情况
由此分析可知,“离线攻击”可能会对电力系统内部网络造成威胁,主要存在以下几个方面的风险:
(1) 在信息内网中存在大量的国外网络设备、移动存储介质和移动终端,存在被植入后门的风险,攻击者通过激活后门注入病毒或控制设备发起攻击。
(2) 在信息内网中存在大量的“电磁辐射”,存在遭受“辐射攻击”的风险,攻击者通过接收各类设备的辐射激活后门或注入病毒发起攻击。
(3) 在信息内网中存在用于内部通信的无线网络,即“无线通信”,攻击者通过无线通信的方式直接对设备和系统发起攻击。
3 电力系统信息通信网络安全防护措施
根据电力系统信息通信网络设备使用现状,借鉴国内外以及电力系统供应链安全管理的思想,结合电力信息系统全生命周期过程,本文重点从网络设备的国产化推进、采购安全管控、上线安全管控、运行监控安全管控、下线安全管控等方面考虑对电力系统信息通信网络进行安全防护[8?11],如图3所示。
图3 信息通信网络安全防护框架
3.1 网络设备国产化推进
网络设备国产化推进目的在于规避国外网络设备安全风险的不可控性,确保电力系统网络设备可控、能控、在控。电力企业可以联合国内厂商共同开展各种国产网络设备资源的国产化改造及测试工作,按照“先易后难、先外网后内网”的原则,在保证电力系统正常运行的前提下,进一步推进国产化进程。
3.2 网络设备采购安全管控
网络设备采购安全管控主要规范网络设备在资质审核、设备选型、安全准入等方面的要求,确保采购的网络设备符合安全性要求。在采购产品前先建立健全信息化网络设备资源的安全准入机制;在设备选型环节对网络设备供应商企业安全资质、人员安全指标、服务质量评价、网络设备资格准入条件进行审查,对关键设备开展产品预先选型和全面安全检测,及时发现各种潜在的安全后门、策略配置及恶意代码风险;在招标采购环节明确网络设备的投标安全技术要求,并在采购合同中明确对厂商保密条款和安全责任的约束。
3.3 网络设备上线安全管控
网络设备上线安全管控主要确保网络设备上线运行前满足国家或公司对于信息安全的要求。上线前由内部安全专业队伍对网络设备进行安全性测评,保证网络设备硬件安全,避免存在安全漏洞或被事先植入后门、木马等恶意程序;上线时由内部队伍实施,确保网络设备在部署、配置、运行环节的安全性,以及在身份鉴别、访问控制、日志审计方面的完整性。
3.4 网络设备运行监控安全管控
网络设备运行监控安全管控主要通过加强信息系统安全监测、加强信息安全督查,保证网络设备安全运行。
(1) 电力公司应与国家信息安全测评中心、总参三部等国家安全技术团队合作,进行网络设备漏洞挖掘和风险预警工作,总结、完善电力公司安全漏洞库并开展漏洞库深化应用工作,常态开展各种漏洞检测及漏洞跟踪修复工作。
(2) 电力公司应建立电力公司网络设备安全风险防范预警机制,优化完善公司内外网监测系统,对各类网络设备补丁漏洞修复状态、异常访问状态、特殊端口使用状态、网络服务状态以及设备性能状态实时监控,并针对各类风险及时处置。
(3) 应综合电力系统信息通信网络设备整体情况,在全网开展网络设备安全专项督查工作,对专项督查工作中发现的安全隐患进行全面整改,对相应安全风险的防范进行顶层设计,纳入到电力公司常态的安全督查工作。
3.5 网络设备下线安全管控
网络设备下线安全管控主要确保网络设备下线或报废时不会对系统产生风险,同时不会出现信息泄露。网络设备下线工作必须由内部队伍进行,按照标准流程规定做好下线前评估以及过程记录,重点做好剩余信息的删除以及设备的销毁工作。
4 结 语
随着国家进一步加强网络安全和信息化管理以及电力行业信息化工作的不断推进,网络设备作为电力网络构建的基础单元,其信息安全是电力系统网络安全的重要组成部分。本文通过对国外网络设备安全风险的分析,以及对电力系统网络安全风险的研究,表明了加快电力系统网络设备国产化,加强网络设备全过程安全管控的必要性;同时,本文结合电力系统实际情况,提出了关于电力系统信息通信网络的安全防护措施。即使如此,随着电力系统信息化对安全性要求的不断提高,仍需要进一步加强网络安全以及防护措施研究。
参考文献
[1] 刘晓辉.网络设备[M].北京:机械工业出版社,2007.
[2] 罗凯.网络设备安全分析与解决措施[J].电力信息化,2012(2):81?83.
[3] 杨富国.网络设备安全与防火墙[M].北京:清华大学出版社,2005.
[4] 国家电网公司.国家电网公司电网等级保护纵深防御示范工程实施方案[R].北京:国家电网公司,2009.
[5] 国家电网公司.国家电网公司等级国产化改造示范工程推荐技术方案[R].北京:国家电网公司,2009.
[6] 雪曼.美核试验室停用H3C设备称存在安全隐患[EB/OL]. [2013?01?08] http:///telecom/special/zhonghua/content?3/detail_2013_01/08/20948974_0.shtml.
[7] 国家电网公司.电力二次系统安全防护重点工作要求[R].北京:国家电网公司,2008.
[8] 左晓栋.美国政府IT供应链安全政策和措施分析[J].信息网络安全,2010(5):10?12.
[9] 蒋诚智,刘婷婷.电力信息系统供应链安全管理研究[C]//2012年电力通信管理暨智能电网通信技术论坛论文集.北京:中国通信学会普及与教育工作委员会 2013:287?290.
【关键词】企业内部网络;安全防范;方案与信息技术
企业内部网络安全防范问题是网络信息安全领域研究的焦点问题,为了促进我国企业安全快速发展,保护企业商业机密及核心技术,本文对企业内部网络安全防范的方案设计及信息技术进行了探讨。
一、信息技术分析
(一)健全信息管理
企业在完善内部网络管理时,对网络安全基础进行保护是主要工作。从设备管理和信息化安全技术管理方面制定安全管理制度,组织信息化管理人员,将内网安全管理制度严格的制定出来,进而有效的保障网络安全,防范安全漏洞。整个网络的安全在一定程度上受管理制度的影响较大,完善安全管理制度可以将网络安全漏洞在一定程度上降低。各个公司根据以往的经验教训及既有的安全风险,应该将一些适合本企业的安全制度和安全策略制定出来,在制度层面作出指导,保障企业的网络安全。
(二)网络分段管控
内部局域网通常是在广播的基础上利用以太网来监测。然而,以太网中每两个节点彼此间的数据通信能够被随意的截取。网络黑客可以在以太网中随意一个节点进行接入,实时侦听,获取全部数据包,之后对数据包进行分解,进而对重要的信息进行窃取。在对网络广播风暴进行控制的时候,网络分段一般被认为是其中的基本方式,然而实际上也是对网络安全给予保证的重要方式。隔离敏感的网络和非法的用户是其目所在,防止可能的非法侦听。逻辑分段和物理分段是网络分段的两种形式,逻辑分段指的是将网络分段应用于路由器上,即对IP进行分段。物理分段指的是对中心交换机的三层交换功能和访问控制功能进行利用,实现局域网的安全控制。
(三)建立主动防御
首先,硬件防火墙。硬件防火墙是在硬件里加入防护程序,由硬件来执行安全防御功能,进而减小CPU负荷,同时保证运转性能的稳定。在两个网路之间加载设备是防火墙程序的特征,也是保障其顺利实现两个网络之间通信监控的依据。
其次,IDS入侵检测系统。这种系统是为了对内网的非法访问进行监测而研制的一项技术,在入侵检测识别库要求的基础上,判断其中的一些非法访问的情况。只需利用监测到的数据监控者,就能够判断网络的安全情况,并对是否制定安全防护给予评估。比较起硬件防火墙,IDS在主动防御技术的基础上进行了更深层次的使用。
再次,主动防御的杀毒软件。在病毒种类日益增多,破坏力愈发强大的背景下,从前固定模式的杀毒软件已经很难完成保护计算机安全的重任。主动防御技术软件就是杀毒软件制造商在这样的背景之下制造出来,但是其中的主动防御知识单纯的针对注册表、恶意脚本和网页进行监测,因此这只能称其为较为初级的主动防御,和真正的主动防御相比还需要不断地进行完善。
二、具体防范方案探讨
(一)设计网络安全防范总体
综合运用企业内部网络,防护漏洞扫描系统和入侵检测系统,可以保障企业内部网络彼此间通信数据的安全可靠。这就迫使我们要参照企业本身的特征,防范内部网络安全,对硬件加密机进行专业化应用部署。这样不但能够确保加密处理企业内部网络中的全部通信数据,而且,对企业内部网络的可靠安全上还能够进行保证。
(二)构建网络安全体系模型
通常来说,企业网络之中的防卫情况,从安全策略方向可分为两个层面:即总体的安全策略和具体的实施规划。将一个组织结构的战略性安全指导方针在总体安全策略中制定出来,并视为实现这个方针分配的必要物力和人力。通常远程访问控制和物理隔离来规划实施。
远程访问控制,第一,识别用户身份。利用识别用户身份的过程确定安全用户身份,对内部网络安全稳定运行给予基本保证。这样可以防止由于客户端不确定的用户数量,而造成不确定和不安全的隐患存其中,从这点上说,识别网络客户端用户的身份很有必要。第二,管理用户授权。在管理用户授权时,需着眼于基础用户身份的认证,操作的时候应该根据通过认证的用户身份执行相应的授权。第三,数据信息保密。数据信息保密工作能否做好是企业内部网络信息安全管理总纲的核心部分,为了保障安全,应在安全的、统一管理的企业内部网络中的进行数据通信,进而确保能够高效的保护企业内部网络的知识产权和核心信息。第四,实时监控审计。在设计实时监控中,我们需要确保实时监控企业内部网络安全,同时构建企业内部网络安全评估报告,为可能出现的网络安全事故提供有效的分析判断依据。
三、结语
进入21世纪以来,信息技术在我国多个领域得到了广泛应用,有效地推动了企业的发展。但是因为一些安全隐患的出现,为企业内部的信息安全带来了较为严重的影响,一些企业单位因为网络信息安全问题带来了经营与发展方面较大的损失。因此,研究设计出有效的网络安全防范方案及信息技术是非常必要的,可以有效促进我国企业安全稳定的生产与发展。
参考文献:
[1]苏向颖,王喃喃.企业内部网络安全防范的方案设计及信息技术[J].信息技术.2013(08).
【关键词】计算机网络 网络安全 防御措施
计算机网络是以共享资源(硬件、软件和数据等)为目的而连接起来的,在网络协议控制下,由一台或多台计算机、若干台终端设备、数据传输设备、以及便于终端和计算机之间或者若干台计算机之间数据流动的通信控制处理机等组成的系统的集合。计算机网络的最主要功能是向用户提供资源的共享,而用户本身不必考虑自己以及所用资源在网络中的位置。资源共享包括硬件共享、软件共享和数据共享等。
随着网络技术在全球迅猛发展,网络信息化给人们带来种种便利。计算机系统功能日渐复杂,网络体系也日渐强大,对社会及人们的生活产生了巨大的影响,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,病毒扩散、黑客攻击、网络犯罪等违法事件的数量迅速增长,网络的安全问题越来越严峻但是我们也正受到日益严重的来自网络的安全威胁。本文通过对网络安全存在的威胁进行分析,简单总结出对威胁网络安全的几种典型表现形式,从而归纳出常用的网络安全的防范措施,供大家参考使用。
一、计算机网络安全面临的威胁
1.自然原因。如地震、火灾、洪水、飓风等等一些不可抗拒的自然灾害造成的损害,以及计算机硬件和网络连接设备造成的损害。
2.误操作。由于计算机使用者的失误,造成文件的损害、或丢失,或网络管理人员对网络安全的大意,造成安全漏洞,或用户安全意识差,计算机中未使用防火墙或杀毒软件等,造成的账号丢失、密码被窃取等。
3.黑客或病毒的攻击。此类攻击分为两种,一是人为网络攻击或窃取,在用户不知情的情况下潜入用户电脑,窃取用户文件或信息。二是网络病毒的攻击。部分网络用户防御意识淡薄,反病毒软件或未使用或已过期,病毒本身会不断变异或更新,于是一不小心文件被感染,从而能造成信息的窃取或文件的丢失等。
4.常见的表现形式:窃听:攻击者通过监视网络数据的手段获得重要的信息,从而导致网络信息的泄密。重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极侵犯者的破坏作用最大。拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。行为否认:通讯实体否认已经发生的行为。电子欺骗:通过假冒合法用户的身份来进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的. 非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
二、网络安全防御措施
1. 物理措施。为保证信息网络系统的物理安全,还要防止系统在空间的扩散。通常是在物理上采取一定的防御措施,来减少或干扰扩散出去的信号。保护网络关键设备,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源等措施。定期检查网络设备的运行情况,及时排除隐患等等,通过一些措施保证硬件设备的安全。
2. 防火墙。防火墙是在一个被认为是安全和可信的内部网和一个被认为不那么安全和可信的外部网(如Internet)之间提供的一个由软件和硬件设备共同组成的安全防御工具。它是不同网络(安全域)之间的唯一出入口,能根据企业的安全政策控制(允许、拒绝 、 监测)出入网络的信息流,且本身具有很高的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙有很多种形式,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。配置不同防范效果自然也是不一样的,当然入侵也是要有漏洞才能入侵,最主要的还是减少电脑上的漏洞,关闭不常用的端口,黑客没有可趁之机自然无法入侵成功。
3. 访问鉴别:对用户访问网络资源的权限进行严格的鉴别。鉴别的目的是验明用户或信息的正身。
4. 访问控制策略。访问控制是网络安全防范和保护的重要策略,主要任务是保证网络资源不被非法使用和访问。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。
5. 防病毒。及时更新防病毒软件,及时修复系统漏洞,定期查杀系统。
三、结束语