时间:2023-09-13 17:14:19
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全技术服务,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
向主动防御转变
在云计算的背景下,企业网络结构发生了边界模糊、中心离散、分层减少等重大变化,导致原本奏效的安全防护理念,出现了设备位置不确定、检测目标不明确、防护重点不突出、阻断策略不匹配等问题,防护效能严重降低。所以要将被动防御变为主动防御、积极防御,从而让用户以更低的成本享受到更高质量的安全服务。
什么是主动防御?如何做到主动防御,远离安全漏洞和数据泄密? 在接受记者采访时,安永华北区信息安全服务合伙人李睿表示,主动防御不同于传统的被动防守,今天网络安全漏洞的防不胜防,企业应该利用新技术主动找到可能存在的风险,并进一步提供防范措施。“主动防御不会代替传统安全运营,而是对其加以组织和巩固。网络安全不止是一个技术性问题,也不仅仅局限在IT领域。它既是每一位企业董事会成员应该承担的职责,还以各种方式,通常是隐秘、不易识别的方式影响着企业的各个层面以及最高管理层的每一位成员。”李睿说。
《安永第十八届全球信息安全调查报告》特别指出,企业应继续以超前防范网络攻击者为目标,建立更为先进的安全管理平台,并使用网络威胁智能感知系统以有效地保持运营的一致性,帮助开展主动防御,寻找潜在攻击者、分析和评估威胁,并在威胁破坏企业的关键资产之前将其解除。
安永表示可以为企业提供包括企业各个部门之间应如何协作和分享经验、共同收集证据识别出攻击者已经入侵的区域等服务,甚至是为企业提供攻击者正在收集信息的领域,为主动防御提供支持。
安全技术服务化
“网络就是连接一切。”随着越来越多的企业把业务和互联网对接,原有的防护系统很难保障企业业务和相关财产安全。针对这一需求变化,安全企业必须摆脱原有的产品和许可证的商业模式,将技术服务化,以便为企业提供更多个性化的服务。
不同于安永这样的咨询服务机构和传统的安全企业,梆梆安全是一家新生代安全公司,它为客户提供最受欢迎的业务是把安全技术服务化。梆梆安全创始人阚志刚博士认为,“第一代安全公司是卖设备、卖防火墙;第二代安全公司是卖许可证的;第三代安全公司必须是卖服务的,因为服务是集约化服务,成本最低。”
“大智移云尤其是对传统安全企业的冲击比较大,例如卖盒子和设备的公司,大数据时代IT资源集约化之后,原来每个小企业都会买安全设备,但是集约到云之后,作为云公司如果为100家企业服务,那他们买一套安全设备就可以了。”梆梆安全不是唯一的例子,大数据对于新型安全企业而言意味着机遇,现在涌现出大量以大数据和云为研究对象的新型安全公司,这些公司建立云之后,可以为成百上千家客户进行服务。
下一步:智能化平台
和专业的安全公司相比,BAT等互联网企业也在补齐自己的短板。在近日举办的首都网络安全日活动中,百度向外界展示的“百度昊天镜威胁情报平台”,打通了移动、云、PC的完整生态安全数据,构建了全面的互联网安全事件地貌及知识图谱,充分发挥百度在大数据和人工智能领域多年积累的优势,构建了面向安全决策的复合机器学习引擎。可以实现识别潜在互联网威胁,告别被动防御局面,有效提升互联网业务应对黑产困扰和入侵攻击的对抗能力。
信息技术的发展为人类的进步提供了强大的动力。人们在享受信息技术带来的巨大成就时,也会受到相应的安全威胁。“斯诺登事件”的曝光,让人们突然发现,无论是企业、组织抑或是个体,几乎都是裸地暴露在互联网上。“震网”的曝光,让那些已经实现物理隔离的工业控制系统管理者也感到阵阵寒意。信息安全越来越受到重视,在我国已经上升到国家安全的层面。
随着越来越多传统的安全产品和安全技术被广泛应用,网络安全级别也得到了相应提升。但是,新型安全事件日益增多,因此造成的经济损失也呈上升之势。其中,很重要的一个原因是传统的安全产品侧重于边界接口的防御和终端安全的防护,而缺乏对网络内部的整体安全管理。另外,私接设备、私改IP、私搭乱建对网络安全管理也是一种困扰。
北京艾科网信科技有限公司(以下简称艾科网信)提供创新的ID网络安全管理系统可彻底解决上述安全难题。
在此严峻的网络安全形势下,艾科网信董事长宁辉表示:“8年前,我本着对网络安全事业的热忱与一行人员创立艾科网信。多年来,艾科网信为各领域提供了大量的网络安全解决方案。作为国内一家专业的网络安全服务提供商,艾科网信将竭尽所能,为中国的网络安全事业尽一份力,致力为用户提供更加优质的网络安全系统。”
艾科网信成立于2007年,秉承“诚信、合作、共赢”的企业宗旨,着力于“创新更安全”的研究方向,结合中国实际的网络情况和安全态势,创新地提出了实名制网络管理解决方案,实现了用户、IP、终端的有机关联,为管理和审计提供了新的模式。艾科网信还提出了“内网规范管理”的理念,以实名管理为基础,实现按人、按角色规划安全策略,结合信息技术等级保护的相关技术标准,开创性地研发出实名制准入控制系统。在“震网”事件之后,针对网络和工业控制系统的可视化技术成了艾科网信发展的重点。艾科网信把接入网络中的所有设备均纳入管理员的管理视野,并能准确地告知管理员这些设备的位置,哪些设备有异常等,在第一时间为管理员有效地洞悉网络整体安全情况提供相关的数据和视图。
为了更好地为客户提供优秀的网络安全管理解决方案和优质的技术服务,艾科网信在广州、上海、宁波、成都设立了办事处,并建设了覆盖全国的渠道和机构,其强大的研发团队、精良的销售体系和完善的售后保障解除了用户的后顾之忧。
艾科网信还可为多个行业提供专用解决方案,如政府部门网络准入解决方案、电力行业信息网解决方案、电信运营商统一IP管理解决方案、金融行业统一认证解决方案、大型企业网络可视化和准入控制解决方案、医疗行业防非法统方和网络准入解决方案,并得到了政府行业、电力行业,像国家电网和南方电网,以及电信运营商等用户的认可。
1.1系统漏洞
若计算机的操作系统以及应用软件存在系统漏洞,间谍就会利用这一安全漏洞来远程控制计算机,致使计算机中的重要文件资料被轻易窃取。当然这种攻击方式是将口令作为攻击对象,对计算机中的程序进行猜测破译,若需要验证口令时,将会自行避开,并冒名顶替合法的用户,从而轻易的潜入目标计算机中,控制计算机。当然许多计算机用户为了弥补这一安全漏洞,通过“打补丁”的方式来解决系统漏洞的问题,但是还是有部分计算机用户没有这种安全意识,使得计算机系统漏洞长期存在,导致网络间谍能够远程操控计算机。
1.2口令简单
随着网络技术的发展,为了防止网络信息的泄露,大多计算机用户都会在计算机中设置密码,从而禁止陌生人的访问权限,一般计算机用户会设置开机密码,也会对电子邮箱设置密码从而来限制访问权限。但是有部分计算机用户没有设置密码,致使攻击者能够轻而易举地在计算机上建立空链接来远程控制计算机。当然若设置的密码较为简单也能够使计算机轻易被攻击。
1.3木马程序
计算机中木马程序是由木马和控守中心组成,在计算机中是一种较为隐蔽的远程控制软件。一般为了防止计算机被追踪,会在计算机程序中增加跳板,从而更好的连接控守中心和木马。木马利用跳板来联系控守中心,而操作控守中心的人可以利用网络来控制用户的计算机,从而来监视用户的举动,窃取用户的文件资料,甚至是监听用户的谈话内容。计算机系统漏洞会导致木马病毒攻击计算机,其攻入计算机的途径多样,如利用用户浏览网页的空隙潜伏在连接上,藏于邮件的附件以及程序中,从而来攻击计算机。当然木马很善于隐藏技术,有些木马利用代码注入技术潜伏在计算机系统程序中,有些木马改变名字如window.exe等,利用用户不了解计算机系统来隐藏自己。木马病毒攻击计算机可能会导致计算机系统的崩溃。
1.4嗅探器
网络嗅探就是网络监听,是利用计算机中的网络共享通道来获取数据,是较为高端的网络技术。当然嗅探器进行监听的途径有两种:一是利用网络连接设备来进行监听活动,如将监听软件放置在网关服务器上;二是利用具有安全漏洞的局域网来进行监听活动。在一般的网络环境中,网络信息是以明文的方式进行传输,间谍只要获取一台主机的管理员权限,就可以对局域网的数据进行监听活动,操控计算机。而网络监听软件可以将用户的聊天记录以及电子邮件密码全部监听,在互联网上较为盛行的监听软件是MSN,一般安装MSN软件之后,可以对本地局域网中使用MSN软件用户的聊天内容进行监听活动。
2网关攻击技术对网络安全的作用
网络技术的发展,使得网络攻击技术越来越高端,要想减少黑客以及间谍的攻击,保证网络的安全,必须要对网络攻击技术进行深入剖析,使其能有效保障网络安全。
2.1网络攻击技术的双重性
互联网具有开放性,由于网络技术的发展,很多网络技术开始进行跨国攻击,窃取别国的机密文件,为此不仅要积极防御网络攻击,还要努力提高自身的网络安全技术。虽然网络攻击技术有着一定的缺点,但是我们要用发展的眼光来看待网络攻击技术,网络攻击技术有利于网络的安全。网络攻击技术的发展,使得我们必须要去研究了解它,保证网络的安全,随着信息技术的发展,要想保证国家信息的安全,必须要不断开发具有知识自主产权的网络安全产品。
2.2网络攻击技术促进了网络技术的发展
网络攻击技术的发展,使得网络产品不断改善,从而促进了网络安全。黑客和间谍利用网络技术对计算机进行攻击,从一定程度上促使了网络安全产业的发展,从而推动了互联网的发展,网络攻击技术能够带来技术的创新。当然网络管理人员能够充分利用网络攻击技术来找出网络系统的安全漏洞,采取一定的措施来加强网络的安全,从而使网络攻击技术服务于网络安全。
2.3网络攻击技术为国家安全服务
随着社会经济的发展,信息化程度日益加深,人们的日常生活越来越离不开网络,许多网络都存在着管理漏洞,容易使机密文件泄露,因此网络安全对于国家的国防安全以及经济发展十分重要。必须要防御网络攻击技术,增强网络安全,这样才能在未来的信息战中取得胜利。
3结束语
刘欣以她独特的市场洞察力、具有远见的战略眼光、科学务实的态度和追求卓越的工作品质,帮助冠群金辰公司发展成为国内一流的整体安全产品解决方案与服务供应商。
刘欣现任北京冠群金辰软件有限公司总经理,全面负责公司的战略决策和经营管理。刘欣曾于1982年在公安部十一局工作,1993年加入中国金辰安全技术实业公司从事经营管理。自1999年起,加盟冠群金辰公司,担任副总经理职务;2007年初,接受董事会任命,正式担任公司总经理。
冠群金辰公司作为国内著名的专业网络安全厂商,历经十年成功发展。刘欣长期在公司的领导岗位上,以她独特的市场洞察力、具有远见的战略眼光、科学务实的态度和追求卓越的工作品质,帮助冠群金辰公司从单一的防病毒厂商发展成为国内一流的整体安全产品解决方案与服务供应商。在她的推动下,冠群金辰公司通过自身品质的建设与发展,成为北京市“双软”企业、中国电子政务IT百强企业、中央政府和北京市政府定点产品采购企业。
刘欣担任总经理以来,全面调整公司发展战略、营销模式、产品研发与技术服务体系,强力打造公司核心竞争力。在她的带领下,冠群金辰公司大力推广渠道发展战略,建立了上百家城市核心合作伙伴,遍布全国60多个城市,迅速扩大了营销网络。刘欣亲自主持产品线的科学规划,通过引进国际先进技术、立足自主开发,不断丰富和完善产品线。截至2008年底,冠群金辰已拥有15类产品,涵盖安全网关、防病毒、防间谍软件、终端安全、防火墙、入侵检测、漏洞扫描、主机保护等,在防恶意软件、防黑客入侵、防垃圾邮件、终端保护、内网保护、网络监控等安全领域更加适应市场需要。刘欣特别注重品牌建设,通过技术创新、质量保证、人才发展、市场主导的方针,积极打造KILL和KSG两大品牌。
刘欣具有丰富的网络信息安全领域从业和管理经验,以她乐观、坚韧、负有责任感、极具亲和力的态度和坚持开拓与自主创新的精神,带领公司走上了健康发展的道路。刘欣女士积极倡导股东、员工、合作伙伴、客户和社会效益共赢的和谐发展观,在2008年全球经济环境低迷的情况下,她依然能够凝聚多方力量,帮助公司克服各种困难,促进公司业绩持续增长。
2008年,在第29届北京奥运会召开期间,刘欣领导公司积极参与对奥运安全的技术支持工作。借助冠群金辰公司雄厚的技术实力,先后向多家奥运会官方机构提供了专业的技术服务,为保障奥运网络信息安全做出了积极贡献,并获得了表彰。这些单位包括:北京市公安局、北京市交管局、国家计算机病毒检测中心、北京市网络协会、奥运信息中心、国家网络与信息安全通报中心等。
一、电子政务安全业务发展面临的问题
一方面,由于信息安全技术是从信息技术不断发展中衍生出来的一门学科或技术,自身的发展有一定的滞后性,受到社会广泛关注需要时间积累。国内虽已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,但至今还没有象网络通信行业那样出现华为、华三等这样知名并在国际上有影响力的企业,以支撑我省电子政务安全保障业务的发展。另一方面,由于信息安全技术专业性太强,所需知识面非常广,技术门槛高,导致我国专门从事信息安全工作技术人员严重短缺。安全产品的作用基本上是堵防已有的安全威胁而不能预防未知危险,部署安全产品带来的成效得不到明显的体现,甚至短时间内无法显现价值,导致厂商、用户不愿意对信息安全过多投入,更多的是扛扛红旗、讲讲理念、喊喊口号,点到为止。这两方面原因是客观的,短时间内无法改变的。电子政务发展要在网络与信息安全方面取得一定成效,需要在多方面开展工作,特别是在软硬件整体部署及专业人才吸纳方面多投入。
二、全面强化电子政务安全发展
人才上,要积极引进安全专业人才。国内目前这方面的人才比较难求,可用一定的待遇引进人才,并可尝试与国内知名安全实验室或厂商合作共建,开展安全产品的研发应用和安全人才的培养等,为安全发展储备能量。思想上,加强网络与信息安全重要性的学习,努力提高全省信息系统的安全意识,并切实落实到行动上,养成安全使用办公电脑的习惯。PC机上,要加强个人办公电脑的安全软件安装配置,统一单位个人办公电脑的安全软件配置。安全部门要反复试验,推荐出一套或两套性能完善的安全套餐模板,并提供上门服务帮助,加固个人办公电脑的安全。软硬件上,加强安全产品的整体和系统部署,完善网络与应用的分级分域保护。与国内知名安全厂商建立紧密的联系、开展深入细致的交流,要系统深入的发掘实际网络、应用及系统安全上的软硬件需求,避免安全产品盲目堆砌。部署互联网出口流量控制及数据包监控分析设备,普及政府部门使用身份认证系统,完善安全基础设施建设。整体构建省域电子政务的网络和信息安全屏障。机制上,要建立健全网络和信息安全规章制度,建立网络与信息安全应急处理机制、制订全省电子政务网络与信息安全事件应急处置预案,加强与政府安全及保密部门的联系,如有可能与之建立会商制度,建立全省电子政务安全监督检查制度,对全省信息系统的安全工作进行定期检查、指导、培训,与国内知名安全厂商建立广泛的联系、开展深入细致的交流、寻求技术上的支持和帮助。管理上,要规范网络与信息安全的管理,落实每个岗位的具体安全维护管理权限和职责,合理划分网络安全域、严防网络和移动介质泄密,对数据和信息按性质划分安全等级、并实行等级保护,做到“信息不上网,上网信息不”,严格执行国家的安全规定,加强网络与信息安全建设的规范管理,新建的信息化项目务必要考虑网络与信息安全防护措施。总之,安全部应与网络部和应用部加强沟通、互相信任,网络离不开安全、安全离不开网络,应用需要安全、安全需要应用。安全部、网络部、应用部相辅相成,共同打造高效、安全、稳定的电子政务。
作者:何晓辉李春丽单位:江西省信息中心
关键词:云计算技术 研究现状 具体应用
中图分类号:TP3 文献标识码:A 文章编号:1007-9416(2016)05-0000-00
谷歌就曾在2006年时提出云计算的概念,相比于传统信息处理方式,云计算技术实现技术层面的创新,改变了传统信息处理的获取、传输以及交流的途径。目前人们生活工作中处处存在云计算技术,比如常见的网购、文件云存储等互联网服务功能。简单来说,云计算技术为用户提供一个安全方便、高效存储以及网络运行的环境。
1 云计算技术的发展现状
目前对于云计算国际上还没有统一的定义,就其本身而言,云指的是网络象征性的比喻,而终端则是指手机、平板以及笔记本等设备。云计算的主要服务形式是虚拟化的技术,该技术拥有大规模、低廉以及安全等其他网络没有的特点。
1.1云计算在国内发展
我国云计算技术目前还不是很完善,依然处于研究及探索的初级阶段。该技术的研究力度与技术设备不足,也没有成熟的核心结构体系,因此虽然云计算技术服务不断推出,也依然不能满足市场及用户的使用需求,而且对于云计算技术本身拥有的价值没有正确的认知。云计算技术发展到目前存在一个严重问题,就是我国云计算服务商之间缺少必要的交流及相互操作性。未来技术发展中应该找出提高云计算技术的措施。
1.2云计算在国外发展
相比于国内云计算技术,西方发达国家的技术已经相对成熟。其中美国在20世纪初期就做出了云计算技术长期发展规划,目前云计算技术在美国国内市场中占有极重要的市场地位;而欧盟则做过详细的报告针对云计算技术,明确指出云计算技术的重要性,建立起完善的云计算技术应用管理框架;而在日本,其国内的云计算技术的基础设施也得到初步架构,为技术发展提供良好的基础准备。
2 云计算技术的研究与应用
2.1云安全技术
2.1.1云计算下网络安全
云计算环境中如何做好网络安全防范工作,这就需要从系统身份认证开始,要知道保证网络安全的基础与门户就是系统身份认证,它也是防备黑客入侵及不明第三方用户的第一道防线。将网络安全的防范意识提高到极致,并将防范措施落实下去,高度保护网络信息及相关数据的完整机密性,坚决杜绝非授权访问及传播使用情况的出现,避免造成一些不必要的损失及影响;如何做好云计算环境下的身份认证问题呢?实际中可以将多重身份认证机制引进来。除了常见的视网膜或指纹等生物识别技术外,在保护用户身份信息安全中还可以引入动态的电子口令认证模式,保证身份认证信息不会受到非法窃取;任何事情都要政府的配合,云计算网络安全也不列外。云计算服务提供商以及用户可以配合政府,加大打击非法入侵系统的力度,让健全的报警机制作为保护网络环境安全的卫士。
2.1.2做好网络服务器的安全防范
用户在使用网络信息时,可以根据实际情况对服务器数据进行分析,采取一定的处理措施,在云计算网络安全中让服务器起到缓冲作用。这样做的主要目的是将内网隐藏起来,最大程度节省公用网络IP,监控及操作访问网站的信息,这也是目前提高云计算环境下网络安全的常用方法;对于云计算服务商来说,需要面对网络用户管理难、工作量大等问题,这种情况下可以采取分权分级管理模式,如此不但可以解决上述问题,还能避免劫持及随意更改客户程序及数据的情况。运营商采用流程化管理及分级控制的方法,可以有效监督检测每一级的管理,可以有效提高云计算环境下的网络安全问题。
2.2云存储技术
技术人员在云计算概念的基础上不断延伸扩展,就出现了现在的云存储技术。云存储技术目前应用的范围比较广,在人们生活、工作中扮演着重要角色,但其使用中存在很多问题。云存储技术中涉及到大量的数据,因此对其存储安全有着较高的要求,这样才能保证存数数据的完整安全。云存储技术在方便用户的同时,为推进云计算技术发展完善贡献着力量。
2.3云计算环境下分布存储技术
目前情况下在实际中应用较广的数据容错技术有两种:纠删码及复制容错技术。复制容错技术主要是模块复制对统一数据,将其存储在不同的节点中,在应用中当某一节点出现问题时,其他运转正常的节点可以保证数据正常运转。相比于很多容错技术,该技术操作极为简便,所以在实际中应用的范围比较广。但复制数据会对存储空间有极高的要求;纠删码容错技术是基于信道传输的编码技术,当数据失效或出现错误时,纠正错误可以通过下载整个数据块来实现。与复制容错技术相比,纠删码容错技术需要占用更多的网络宽带,运用中会带来相当的资源压力给数据中心。
前文讲过云计算环境下分部存储技术中的关键技术就是数据容错技术,目前发展的还不是很完善,需要相关研究人员进一步完善与优化。基于云计算环境下的各种条件,可以从两方面入手进行完善,一是优化节点结构,二是提升物理拓扑结构的容错性能,最终实现提高数据容错性能的目的;社会信息化的实现需要庞大的信息资源,技术发展完善中的一个重要内容就是不断提高信息资源的效益型。云计算分部存储技术由两方面构成:硬件以及软件。所以在进行成本控制的过程中,也需要从这两点入手,在提高系统性能的同时,要将损耗不断降下来,优化系统结构,最终实现提高系统运行效率及经济性能的目的。
3结语
虽说目前云计算技术广泛应用于人们生活工作中,也给人们带来极大的方便,但总的来说该技术还处于初级发展阶段,很多方面都不是很完善。相信在不久的将来,我国云计算技术会更加成熟完善,应用云计算技术的产品种类也会愈加丰富。不过在应用云计算技术时需要考虑其使用安全问题,在技术完善过程中需要重点研究如何保证使用安全。在这样背景下,才能促进云计算技术不断发展进步。
参考文献
[1]张芊,赵宇.云计算的现状及关键技术[J].企业导报,2011(17).
不久前,笔者曾经采访过北京锦龙信安科技有限公司(以下简称威客安全)CEO陈新龙,当时,他信心满满地表示,要以众测为突破口,为企业带来更全面的网络和信息安全服务,并且“要让安全技术专业人士更受人尊重”。如今他的目标更近了一步,他的威客安全团队正在筹备一个互联网信息安全基地―――威客空间。在这个基地里,威客安全继续秉持“直击痛点・让创业者专其所长,助力安全小微企业和创业团队崛起”的战略,让安全创业者得到更专业、实际的服务,从而更好地成长。
威客空间坐落于北京市海淀区四季青“西杉文化创意大道”核心区域,在海淀区文化创意产业发展战略规划内,是一个致力于服务安全创业者的安全孵化器,为创业团队提供成员、合伙人招募、技术咨询与培训、媒体宣传及推广等,立志打造安全创业孵化服务品牌。
孵化器主要提供投融资平台对接、专属安全资质申请服务团队、营销市场资源、人事猎头资源平台,以及相关厂商资源等服务,能从资金和市场营销资源、技术服务等多方面助力初期创意孵化。威客空间将不定期举办线下沙龙、课程培训等活动,有更大的活动场地、更多的厂商资源分享,希望能够给安全从业人员及专业相关人员提供一个技术交流、经验分享的平台。
2016年7月22日,北京市首个互联网信息安全基地――威客空间会暨安全孵化项目启动仪式在海淀区益园文创基地B座隆重举行。北京锦龙信安科技有限公司发挥“威客安全”众测平台的优势,结合线上安全产品推广的方式,已经引起了对网络和信息安全有需求的企业、安全解决方案供应商和安全技术人员的广泛关注,得到了业界和相关部门的认可。威客安全立足信息安全等资源优势,不断创新服务模式,通过与多家机构开展战略合作,构建了专属于信息安全领域的企业孵化基地,旨在通过提供对接支持与针对性创业服务,助力小微企业和创业团队成长升级。
本次活动由威客安全与北京顺宝蓝庭投资有限公司(以下简称TA众创)联合主办,得到了海淀区经济和信息化办公室、中关村科技园区海淀园管理委员会企业发展促进处,《信息网络安全》杂志社的支持。该基地得到了厚持资本、九鼎投资、奇虎360、神州绿盟、启明星辰基金、达晨创投、暾澜投资、如山创投等众多知名投融资机构的大力支持。
作为“互联网+安全”融合落地的专属安全孵化器,威客空间始终秉持“打破传统孵化器模式,提供针对性全链条服务”的理念,使更多安全创业者专注业务,更好地发挥所长。
陈新龙认为,安全行业在投资人眼中非常小众,但威客安全希望通过自身的努力让安全效果更明显,充分体现出安全防范可以为企业业务运营起到保障作用,从而振兴安全行业,并助力安全创业者走上成功之路,做大信息安全市场规模。
TA众创总经理李然表示:“通过战略合作,我们力争为安全创业者提供基于现实物理环境且具有行业深度的资源整合平台。希望通过双方的后续努力,未来将威客空间推广至更多城市和领域。”
威客安全的众测加电商平台曾被一些投资方调侃:“我们以为投资了一家安全评测平台,结果发现这是个电商平台。”但依笔者看,这恰巧是一种比较适合的方式。仅靠测试无法维持一个测试平台的生计,这是笔者上次采访陈新龙后得出的一个重要结论。2016年6月23日,在国家会议中心举行的第四届中国网络安全大会(NSC2016)上,笔者曾经询问过类似的一家安全测试类公司,并建议他们也向威客安全进行借鉴,但得到的答复是近期不会考虑。那么仅仅凭借测试是否能维持生存呢?笔者拭目以待。
厚持资本董事长高鹏认为:“信息安全在相当长一段时间内被大家理解为国家战略,只与政府有关,信息安全的服务,民众很难切身感觉到。但由于信息安全问题的社会化,并且安全问题不断出现,让我们感受到信息安全就在身边。信息安全产业正在碎片化,需要平台能够为小批量、低频次的需求提供服务,以去中心化来解决信息安全问题。现在众创空间和孵化器相结合,能让更多的企业参与其中。在各领域领导的支持下,通过合作伙伴与安全行业专家的共同努力,我们期待威客空间也有可能改变信息安全的未来。”
随着双方代表签字完成,威客空间安全孵化器也正式启动,信息安全领域也将更为众人关注,并且为企业发展保驾护航。
[关键词]网络安全事件安全对策
随着网络时代的到来,越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。在国家计算机网络应急技术处理协调中心(CNCERT/CC)2005处理的网络安全事件报告中,网页篡改占45.91%,网络仿冒占29%,其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为电子商务的所有参与者十分关心的话题。
一、电子商务中的主要网络安全事件分析
归纳起来,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等,网页篡改、网络仿冒(Phishing),逐步成为影响电子商务应用与发展的主要威胁。
1.网页篡改
网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.网络仿冒(Phishing)
网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等,随后利用骗得的账号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
网络仿冒者为了逃避相关组织和管理机构的打击,充分利用互联网的开放性,往往会将仿冒网站建立在其他国家,而又利用第三国的邮件服务器来发送欺诈邮件,这样既便是仿冒网站被人举报,但是关闭仿冒网站就比较麻烦,对网络欺诈者的追查就更困难了,这是现在网络仿冒犯罪的主要趋势之一。
3.网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其他系统进行传播。蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
4.拒绝服务攻击(Dos)
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。拒绝服务攻击是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
5.特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界联接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其他系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
二、解决电子商务中网络安全问题的对策研究
随着网络应用日益普及和更为复杂,网络安全事件不断出现,电子商务的安全问题日益突出,需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施,才能有效保护电子商务的正常应用与发展。
1.进一步完善法律与政策依据充分发挥应急响应组织的作用
我国目前对于互联网的相关法律法规还较为欠缺,尤其是互联网这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界定、取证、定位都较为困难。因此,对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法,需要一个漫长的过程。根据互联网的体系结构和网络安全事件的特点,需要建立健全协调一致,快速反应的各级网络应急体系。要制定有关管理规定,为网络安全事件的有效处理提供法律和政策依据。
互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织,在我国,CNCERT/CC是国家级的互联网应急响应组织,目前已经建立起了全国性的应急响应体系;同时,CNCERT/CC还是国际应急响应与安全小组论坛(FIRST,ForumofIncidentResponseandSecurityTeams)等国际机构的成员。应急响应组织通过发挥其技术优势,利用其支撑单位,即国内主要网络安全厂商的行业力量,为相关机构提供网络安全的咨询与技术服务,共同提高网络安全水平,能有效减少各类的网络事件的出现;通过聚集相关科研力量,研究相关技术手段,以及如何建立新的电子交易的信任体系,为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。
2.从网络安全架构整体上保障电子商务的应用发展
网络安全事件研究中看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。
安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。
安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
安全监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,网络安全不是一成不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。可以这样说,安全保护是基本,安全监控和审计是其有效的补充,两者的有效结合,才能较好地满足动态安全的需要。
事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。
三、结论
Internet的快速发展,使电子商务逐渐进入人们的日常生活,而伴随各类网络安全事件的日益增加与发展,电子商务的安全问题也变得日益突出,建立一个安全、便捷的电子商务应用环境,解决好电子商务应用与发展的网络安全问题必将对保障和促进电子商务的快速发展起到良好的推动作用。
参考文献:
[1]CNCERT/CC.2005年上半年网络安全工作报告
[2]李卫:计算机网络安全与管理.北京:清华大学出版社,2000
[3]李海泉:计算机网络安全与加密技术.北京:科学出版社,2001
1.1国家卫生部文件
文件明确规定了信息安全等级保护工作的工作目标、工作原则、工作机制、工作任务、工作要求,工作任务别强调了“三级甲等医院的核心业务信息系统”应进行定级备案。
1.2浙江省卫生厅文件
为加强医疗卫生行业信息安全管理,提高信息安全意识,以信息安全等级保护标准促进全行业的信息安全工作,提高全省卫生系统信息安全保护与信息安全技术水平,强化信息安全的重要性。2011年6月7日,浙江省卫生厅和浙江省公安厅联合下发《关于做好全省医疗卫生行业重要信息系统信息安全等级保护工作的通知》(浙卫发〔2011〕131号),并一同下发了《浙江省医疗卫生行业信息安全等级保护工作实施方案》和《浙江省卫生行业信息系统安全等级保护定级工作指导意见》。为进一步指导我省卫生行业单位开展信息安全等级保持工作,浙江省卫生信息中心于2012年4月6日下发了《关于印发<浙江省卫生行业信息安全等级保护工作指导意见细则>的函》。上述文件详细规定了工作目标、工作流程和工作进度,并明确了医疗卫生单位重要信息系统的划分和定级,具有很强的指导性和操作性。
2医院信息安全等级保护
依据上述行业文件要求,全省医院重要信息系统信息安全等级保护工作由省卫生厅和各级卫生局、公安局分级负责,按照系统定级、系统备案、等级测评、安全整改[1]四个工作步骤实施。
2.1系统定级
2.1.1确定对象
我省医院信息化发展较早,各类系统比较完善,但数量繁多。将出现多达几十甚至上百个定级对象的状况,这与要求重点保护、控制建设成本、优化资源配置[2]的原则相违背,不利于医院重要信息系统开展信息安全等级保护工作。依据《计算机信息系统安全保护等级划分准则(GB17859-1999)》等标准,结合我省医院信息化现状及发展需要,经卫生信息化专家和信息安全专家多次论证,本着突出重点、按类归并、相对独立、节约费用的原则,从系统管理、业务使用者、系统服务对象和运行环境等多方面综合考虑,把医院信息系统划分为以下几类,如表1所示。
2.1.2等级评定
医院重要信息系统的信息安全和系统服务应用被破坏时,产生的危害主要涉及公民的个人隐私、就医权利及合法权益,对社会秩序和公共利益的损害属于“损害”或“严重损害”程度。参考《信息安全等级保护管理办法》及省卫生信息中心指导意见细则要求[3],即属于“第二级”或“第三级”范畴。因此医院信息系统对信息安全防护和服务能力保护的要求较高,结合业务服务及系统应用范畴,实行保护重点、以点带面原则,参考定级如表2所示。
2.2系统定级备案
省卫生厅及省级医疗卫生单位信息系统、全省统一联网或跨市联网运行的信息系统由省公安厅受理备案;各市卫生局及其下属单位、辖区内医院信息系统由属地公安机关受理备案。各市卫生局应将辖区内医疗卫生单位备案汇总情况和《信息系统安全等级保护备案表》等材料以电子文件形式向省卫生厅报备。定级备案流程示意图如图1所示。
2.3等级保护测评
医院重要信息系统完成定级备案后,应依据《浙江省信息安全等级保护工作协调小组关于公布信息安全等级报测评机构的通知》(浙等保〔2010〕9号)选择浙江省信息安全等级保护工作协调小组办公室推荐的等级测评机构,启动等级测评工作,结合所属等级要求对系统进行逐项测评。通过对医院系统进行查验、访谈、现场测试等方式收集相关信息,详细了解信息安全保护现状,分析所收集的资料和数据,查找发现医院重要信息系统漏洞和安全隐患,针对测评报告结果进行分析反馈、沟通协商,明确等级保护整改工作目标、整改流程及注意事项,共同制定等级保护整改建议方案用于指导后续整改工作。对第二级以上的信息系统要定期开展等级测评。信息系统测评后,医院应及时将测评机构出具的《信息系统等级测评报告》向所属地公安机关报备。
2.4等级保护规划建设整改
根据《信息系统安全等级保护实施指南》及省实施方案,结合医院信息系统的安全需求分析,判断安全保护现状,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划[4]等,用以指导信息系统安全建设工程实施。引进第三方安全技术服务商,协助完成系统安全规划、建设及整改工作。建设,整改实施过程中按照详细设计方案,设置安全产品采购、安全控制开发与集成、机构和人员配置、安全管理制度建设、人员安全技能培训等环节[5],将规划设计阶段的安全方针和策略,切实落实到医院系统的信息安全规划、建设、评估、运行和维护等各个环节。其核心是根据系统的实际信息安全需求、业务特点及应用重点,并结合医院自身信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,确保医院系统的信息安全。等级保护工程及管理体系建设整改流程如图2所示。
3医院重要信息系统安全等级保护成效
各级医院按照国家有关信息安全等级保护政策、标准,结合卫生行业政策和要求,全面落实信息系统信息安全等级保护工作,保障信息系统安全可靠运行,提高安全管理运维水平。
3.1明确系统安全保护目标
通过推行各级医院信息安全等级保护工作,梳理卫生信息系统资产、网络边界、网络安全设备部署及运行状况。根据系统风险评估、危害的覆盖范围及影响性判定安全等级,从而根据标准全面、系统、深入地掌握系统潜在的风险隐患,安全漏洞。明确需要重点保护的应用系统及信息资产,提出行之有效的保护措施,有针对性地提高保护等级,实现重点目标重点保护。
3.2建立安全管理保障体系
安全管理保障体系是开展信息安全工作的保障,指导落实各项安全指标要求。信息安全等级保护基本要求中明确要求加强主管及安全责任部门领导,配备信息安全专员督导安全检查、维护、培训工作。建立健全信息安全管理保障制度体系,包括机房安全管理制度、人员安全管理制度、运维安全管理规范。建立行之有效的安全应急响应预案及常规化的信息安全培训及预防演练,形成长期的安全风险管控机制。
3.3加强安全意识和管理能力
通过落实等级保护制度的各项要求,认识安全意识在信息安全工作中的重要性和必要性,调动安全保护的自觉主动性,加大安全保护的资金投入力度,优化安全管理资源及策略,主动提升安全保护能力。同时重视常规化的信息安全管理教育和培训,强化安全管理员和责任人的安全意识,提高风险分析和安全性评估等能力,信息系统安全整体管理水平将得到提高。
3.4强化安全保护技术实施
医院开展信息安全等级保护工作可加深分级、分域的纵深防御理念,进一步结合终端安全、身份认证、网络安全、容灾技术,建立统一的安全监控平台和安全运行中心。根据测评报告及建设整改建议,增强对应用系统的授权访问,终端计算机的安全控制,网络流量的异常监控,业务与数据安全保障,恶意软件和攻击行为的防御、发现及阻击等功能,深层次提高抵御外部和内部信息安全威胁的能力。
3.5优化第三方技术服务
与安全技术服务机构建立长期稳定的合作关系,引进并优化第三方技术资源,搭建安全保护技术的学习桥梁与交流平台。在安全技术与管理方面加固信息安全防护措施,完善信息安全管理制度,同时通过安全技术管理培训强化医院工作人员信息安全保护意识,提高信息安全队伍的技术与管理水平,共同为医院系统信息化建设的快速发展保驾护航。总之,医院开展信息安全等级保护工作将有效提高医院信息化建设的整体水平,有利于医院信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络、个人隐私、医疗资源和社会公共卫生等方面的重要信息系统的安全[6]。
4结束语
关键字 电子商务 网络安全 事件类型 安全建议
1前言
随着Internet的快速发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。国家计算机网络应急技术处理协调中心(以下简称CNCERT/CC)作为接收国内网络安全事件报告的重要机构,2005年上半年共收到网络安全事件报告65679件,为2004年全年64686件还要多。在CNCERT/CC处理的网络安全事件报告中,网页篡改占45.91%,网络仿冒占29%,其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等,2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。数字显示,电子商务等网站极易成为攻击者的目标,其安全防范有待加强。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
2影响电子商务发展的主要网络安全事件类型
一般来说,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等,而近几年来出现的网络仿冒(Phishing),已逐步成为影响电子商务应用与发展的主要威胁之一。
2.1网络篡改
网络篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.2网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其它系统进行传播。网络蠕虫的危害通常有两个方面:1、蠕虫在进入被攻击的系统后,一旦具有控制系统的能力,就可以使得该系统被他人远程操纵。其危害一方面是重要系统会出现失密现象,另一方面会被利用来对其他系统进行攻击。2、蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
2.3拒绝服务攻击
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。
一般来说,这是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
2.4特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界连接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其它系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
2.4网络仿冒(Phishing)
Phishing又称网络仿冒、网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡帐号、用户名、密码、社会福利号码等,随后利用骗得的帐号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
根据国际反仿冒邮件工作小组(Anti-Phishing Working Group,APWG)统计,2005年4月共有2854起仿冒邮件事件报告;从2004年7月至2005年4月,平均每月的仿冒邮件事件报告数量的递增达率15%;仅在2005年4月,就共有79个各类机构被仿冒。2005年上半年CNCERT/CC广东分中心就处理了15多期的网络仿冒事件。从这些数字可以看到,Phishing事件不仅数量多、仿冒范围大,而且仍然在不断增长。
网络仿冒者为了逃避相关组织和管理机构的打击,充分利用互联网的开放性,往往会将仿冒网站建立在其他国家,而又利用第三国的邮件服务器来发送欺诈邮件,这样既便是仿冒网站被人举报,但是关闭仿冒网站就比较麻烦,对网络欺诈者的追查就更困难了,这是现在网络仿冒犯罪的主要趋势之一。
据统计,中国已经成为第二大仿冒网站的属地国,仅次于美国,而就目前CNCERT/CC的实际情况来看,已经接到多个国家要求协助处理仿冒网站的合作请求。因此,需要充分重视网络仿冒行为的跨国化。
3安全建议
随着网络应用日益普及和更为复杂,网络安全事件不断出现,电子商务的安全问题日益突出,需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施,才能有效保护电子商务的正常应用与发展。
3.1不断完善法律与政策依据 充分发挥应急响应组织的作用
目前我国对于互联网的相关法律法规还较为欠缺,尤其是互联网这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界定、取证、定位都较为困难。因此,对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法,需要一个漫长的过程。
根据互联网的体系结构和网络安全事件的特点,需要建立健全协调一致,快速反应的各级网络应急体系。要制定有关管理规定,为网络安全事件的有效处理提供法律和政策依据。
转贴于 互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织,在我国,CNCERT/CC是国家级的互联网应急响应组织,目前已经建立起了全国性的应急响应体系;同时,CNCERT/CC还是国际应急响应与安全小组论坛(FIRST,Forum of Incident Response and Security Teams)等国际机构的成员。
应急响应组织通过发挥其技术优势,利用其支撑单位,即国内主要网络安全厂商的行业力量,为相关机构提供网络安全的咨询与技术服务,共同提高网络安全水平,能有效减少各类的网络事件的出现;通过聚集相关科研力量,研究相关技术手段,以及如何建立新的电子交易的信任体系,为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。
对于目前跨国化趋势的各类网络安全事件,可以通过国际组织之间的合作,利用其协调机制,予以积极处理。事实上,从CNCERT/CC成立以来,已经成功地处理了多起境外应急响应组织提交的网络仿冒等安全事件协查请求,关闭了上百个各类仿冒网站;同时,CNCERT/CC充分发挥其组织、协调作用,成功地处理了国内网页篡改、网络仿冒、木马等网络安全事件。
3.2建立整体的网络安全架构 切实保障电子商务的应用发展
从各类网络安全事件分析中我们看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。
3.2.1安全管理
安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。
3.2.2安全保护
安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.2.3安全监控/审计
安全监控主要是指实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的。审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录通过网络的所有数据包,然后分析这些数据包,帮助查找已知的攻击手段、可疑的破坏行为,来达到保护网络的目的。
安全监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,网络安全不是一成不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。可以这样说,安全保护是基本,安全监控和审计是其有效的补充,两者的有效结合,才能较好地满足动态安全的需要。
3.2.4事件响应与恢复
事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。
当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。 4小结
Internet的快速发展,使电子商务逐渐进入人们的日常生活,而伴随各类网络安全事件的日益增加与发展,电子商务的安全问题也变得日益突出,建立一个安全、便捷的电子商务应用环境,已经成为商家和用户密切关注的话题。
本文主要从目前深刻影响电子商务应用与发展的几种主要的网络安全事件类型出发,阐述了电子商务的网络安全问题,并从国家相关法制建设的大环境,应急响应组织的作用与意义,以及企业具体的电子商务网络安全整体架构等方面,给出一些建议与思考。
参考文献
1
CNCERT/CC.“2005年上半年网络安全工作报告”
2
CNCERT/CC上海分中心.“网络欺诈的分析和研究”.2005年3月
3
下雨、下雪、刮风、地震是大自然的“日常活动”,没有人能阻止和改变自然规律。在灾难发生以前,人们并没想到它会发生,并且破坏力如此之大!大多数人,不会时时想着,哪一天会发生什么灾难,会带来多大的损失,因为人们在每天奔忙劳碌的过程中,早已习惯和忽略了生计、生意之外的好多事情。
尽管被忽略、遗忘、漠视,但这些“存在”依然存在,并按其内在规律发生、发展、变化,以致某一天它们终于以“大变化”的面貌示人时人们惊呼:为什么会这样?该怎么办?
灾难,是人类无法凭借现有能力和手段可以改变、扭转的破坏性事实。比如、地震、火山、山洪。然而,笔者以为,灾难还可能是一切人类有能力、有可能想到、想周全,但是却没有想到、没想周全、未提前采取预防措施,最终伤害人们的事情。灾难面前,企业不分大小,灾难如同阴影里的魔法师,时刻盯着你的漏隙和“短板”,在你意想不到时给以“致命一击”。笔者并非危言耸听,实出“居安未敢忘忧国”之心。
灾难与信息技术、IT行业人力资源的问题,是我们今天要探讨的课题。
灾难应急,呼唤本地化IT服务
随着信息技术和网络在全球各行业的普及,与数字化共同成长的“数字灾难”为IT领域创造了难题与商机。1979年,美国在宾西法尼亚州成立了世界上第一个大规模灾难备份中心,近年,随着数据备份技术与网络技术的快速发展,容灾技术获得迅猛发展,IBM、惠普、甲骨文、Veritas、EMC及中国联想集团等世界一流IT公司成为全球重要容灾方案提供商,容灾成为全球IT产业重要增长领域。
2005年4月,一场大火威胁到重庆市农村信用联社数据中心,信用社大厦部分楼层被火烧毁,好在消防车对数据中心重点扑救,使其得以幸存。2007年3月,某国有银行总行数据中心的网络出现故障,使国内数个城市的该银行支行、营业网点被迫中断交易业务达4小时。据统计,银行业的IT系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对该行的声誉造成极大损害;如果中断2至3天以上,那么,其他银行乃至整个金融系统的稳定都将受到威胁。
某国有商业银行信息系统部总经理张某告诉笔者,他们每年上亿元的IT建设投入费用,70%至80%都和信息安全、灾难备份有关,并且这其中的绝大部分投入,用于支付IT公司的服务费用或购买设备。“银行业务的快速增长,与IT系统中人力成本投入不相匹配,导致现有人员常年超负荷工作,收入却没有增加,这是一个潜在的危机。”他说。
相对于金融、电信、电力等国家重点领域及国家重点大企业“费用支持多、设备更新及时”的优势,更多规模、实力中等的较大规模民营企业,和中小企业的信息化建设、应用水平则是良莠不平,更谈不上灾备投入了。据笔者调查了解,大多企业类IT用户,困扰他们的最大难题之一,就是IT系统服务的及时有效性,而造成IT公司不能及时为其提供服务的根源,就是公司“只在本地销售了设备,却没有长期的本地维护人员”。企业用户一旦有问题提出,要向该IT公司在北京、上海、广州甚至国外的总部,或者沈阳、西安、成都、武汉、苏州等地分公司提出申请,然后等待厂家技术人员过来。“这个过程太漫长,给我们造成的损失太大。”某民营食品添加剂厂信息中心负责人刘某说。日前,笔者对一些不同规模的企业进行调查访问,贵州一家从事公关、广告服务的公司,平时为一些本地企业做媒体广告监测,他们用几台电脑储存了大量监测数据,今年2月因内部员工上不良网站,导致该司电脑被黑,全部数据丢失。该公司市场总监李女士说:“会打字、组装电脑的人到处都有,但是懂安全技术的人就不好找,这些年轻的‘IT人才’水分太大,技术不扎实,职业素质还差,要是批评他们,人家不高兴了,在电脑上做些手脚,我们根本不知道。”
本地化服务,人才是瓶颈
网络安全人才,来一个要一个
对IT系统而言,一切引起系统非正常停机的事件都称之为灾难。在思科公司工作近10年的工程师张晓峰介绍,通常,用户IT系统的灾难主要有以下几种,硬件故障占44%、人为错误占32%、软件故障占14%、病毒影响占7%、自然灾难占3%。灾难的最重要后果是造成公司破产,最轻的损失是资金损失。张晓峰介绍,与灾备有关的主要技术有:SAN或NAS技术、远程镜像技术、基于IP的SAN的互连技术、快照技术、网络存储技术等。“我原来是搞数据库技术的,后来因工作需要,转到了灾备技术服务部门。好多灾备应急技术是在实践中学到和积累的。”张晓峰说。
杭州星汉科技公司是一家专门从事智能数据和系统安全技术服务的公司,今年1月,该公司面向浙江省招聘网络安全工程师,人力资源部职员李小姐传给笔者他们公司的招聘启示,其中对性别、年龄、专业、外语等方面均无特别要求,职位内容描述为“不断更新与网络和信息安全相关的理念、产品和知识应用,主要负责网络和安全项目的售前支持工作,包括了解客户需求、制定方案、方案讲解、现场答标等”,具体要求有:
大专以上学历,从事网络和网络安全售前工作一年以上,对网络安全理念有一定的认识;对华为、思科等主流网络厂商的数据通信设备有较深的认识;熟悉防火墙、VPN、入侵检测系统、内容安全、安全评估系统、安全审计系统、身份认证、负载均衡、网闸等信息安全产品基础原理和应用环境;熟悉网络技术,能根椐不同网络环境,对信息安全项目进行规划和设计;能对客户及公司内部人员进行网络和信息安全方面的产品、知识进行培训;有良好的文档组织能力、书面与口头表达能力,可以独立编写大中型安全项目的方案;有良好的团队合作意识、性格开朗,善于沟通、责任心强、服务意识强;有大型综合性安全项目相关经验、有安全服务相关经验、信息安全相关认证证书者将优先考虑。
李小姐介绍,今年春节以来,公司业务量激增,不论新、老客户,要求的技术服务多数和数据安全、灾备、网络安全有关,公司现有相关人才储备不足,“我们老板说,只要技术及经验方面符合要求,来一个我们要一个。”
网络存储人才供不应求
灾备方案中最重要的一项技术就是网络存储,今天,IT行业已经从PC、网络步入了以存储为核心的时代,存储人才成为灾备应急的重要人才。据IDC数据,网络存储(SAN)以每年62%的速度发展,存储需求将占到整个IT需求的50%。2003年,中国存储市场销售额为305亿元,按行业内普遍规律,每100万元的存储设备需要4个人来维护,那么中国至少需要12.2万名网络存储人
才。另据IDC数据,2005年以来,中国网储市场年增长率为50%,那么按50%年增长速度推算,2004年网储人才需求应为18.3万,2005年为27.45万,2006年为41.175万,2007年为61.7625万人。
不论IBM的“随需应变”、Brocade的“智能应用平台”,还是Veritas的“效用计算”、EMC的“信息生命周期管理”等,没有足够数量、能力合格的网储人才,一切都将是空谈!IT应用发展到一定阶段,必然是数据的大量存储、计算、备份等工作,除了对IT设备的需求提出更高要求,网储人才的需求也刻不容缓!而随着数据量的无限增长,数据安全性的重要涉及国家政府和企事业单位的生死存亡,灾备人才不仅不可缺少,而且其需求量和人才供应现状、人才成长速度令人堪忧。
业内人士介绍,目前国内网储人才,包括上面提到的灾备人才,主要来源是IT业内现有各个领域的技术人员,在工作应用中不断充电学习,提高,当公司有关业务需求发展到一定规模时,新的技术部门诞生,他们就转到新的部门从事相关工作。不过,网储的技术更新很快,对技术人员的学习能力、应用能力要求极高,并不是所有技术人员都有能力和意愿转行为网储人才的,而没有一定实践基础的初级技术人才,很难在短时间内成为适合企业需求,能熟练完成灾备需求的称职人才。技术难度大、积累深厚、经验丰富,并且有志从事此行业,这样一系列条件的筛选之后,网储人才、灾备人才的数量更是凤毛麟角,极其稀缺,无法与快速增长的市场需求相匹配。
神州数码沈阳分公司总经理谷先生介绍,2002年神州数码公司提出“IT服务中国”,从此开始从“纯贸易物流型渠道,向技术服务商”角色的转变之路,时至今日,沈阳分公司业务型员工中85%以上为“低端分销型”,其余为“拥有资深技术背景”的员工。“我们一直在培育高端服务市场,储备高端技术人才,但人力成本的原因,业务量少时我们不能储备更多的高端技术人才。”他说。
需求决定人才的市场价格,关于网储人才的薪酬待遇,上海时速科技有限公司副总经理陈雨明介绍说,在上海IT人才市场,网络存储工程师的工资,比软件工程师、网络布线工程师等传统IT技术岗位的高,这一点在外企体现得更明显,而他们公司也有网储人才被高薪诱惑,跳槽到外企的现象。IT应用发展到今天,网络存储管理是整个IT系统的命脉和血液,没有了数据和对数据的管理,IT系统就失去了意义,所以,网络存储市场大且飞速增长,使网储人才,及灾备人才“奇货可居”。
人才供应杯水车薪
当数据容量达到一定程度时,其安全性则成为重要课题,当中国网储市场以每年50%的速度增长时,灾备市场同比增长,那么,相应的人才供应是否也呈同比增长呢?中国首家网络存储培训中心,上海复旦大学网络存储培训中心主任张世永介绍,网络存储人才分为两类:存储企业的技术人才、网络存储用户中应用型技术人才。随着存储市场的快速增长,不但各类型存储厂商加大了投资,以期在市场中抢占份额,存储商、存储集成商也在不停地成长壮大,众多系统集成商也纷纷设立了存储事业部,这些企业急需一批掌握存储知识的技术人才。而由于存储技术不断发展成熟,国内信息化建设中网络存储的应用已经势在必行,但是由于存储产品和方案的普及与用户需求和认知水平存在较大的距离,用户在规划和实施项目的过程中,普遍缺乏相应的专业知识和专业人才。
张世永认为,国内存储人才匮乏的主要原因是没有获得知识的途径。很多网络存储技术人员想获取知识,只能从网上找国外产品的技术白皮书,然后自己摸索。但这样没有实践环节,纸上谈兵式的摸索式学习,不仅学习周期长,掌握知识不扎实,而且常常是理论性强,实践能力差,不能很好地切合企业的需求。
神州数码管理学院叶红星博士认为,技术学习最关键之处就是多做项目,在项目实施中积累经验,不过,社会上好多培训机构,根本没有能力为学员提供实践机会,加上他们的师资水平的参差不齐,优秀师资力量缺乏,更使得存储人才的供应如杯水车薪。
那么,多数企业对存储人才有哪些具体要求呢?一是计算机专业毕业,最好熟悉一些常用数据库软件;二是具有网络存储理论知识,包括存储基础、技术及网络存储高级技术;三是学习能力强,能够在最短时间内熟悉相关存储产品,迅速习得其使用。对于存储部门的管理人才,叶博士认为还应具备网络存储实战技能,有存储设备测试、评估环境、系统咨询、实施指导、测试、培训、相关解决方案等方面的经验。
叶博士建议,学计算机专业的在校大学生,和已经毕业处在求职、在职阶段的大学生,不应泛泛地学习计算机语言和数据库技术,应该对IT行业未来技术发展趋势有一个清晰、正确的把握,并规划自己的发展方向,有选择地进入职业生命周期长、技术含量高、有职业前景的新兴职业,存储及灾备应是未来IT专业学生就业的一大方向,这一市场将在今后几年内成长为如今天的软件工程师、数据库工程师一样的主流IT就业岗位和高薪岗位。
风险管理,灾备应急的“孪生兄弟”
未雨绸缪,催生新的“灾难岗位”
由灾难而催生的灾备IT设备市场及灾备人才市场,为当今和未来的IT产业提供重要发展机遇,而与此同时,随着IT用户对灾难的逐渐重视,另一项重要课题,风险管理被列入重要议事日程。风险管理即是在IT系统未发生意外,未给用户造成损失之前所进行的,包括人力、物力、技术、资金、制度在内的资源整合、协调及决策。这项工作所要求的技术性、经验、管理能力和人的素质等综合因素,决定了这一岗位的人才必是具有一定技术水平和管理能力的复合型人才。
中国IT治理研究中心研究员王东红认为,走过几十年或十几年IT系统基础设施建设阶段后,企业用户开始重视业务应用、科学决策和优化管理,让IT系统为企业创造更大的商业价值,并想办法降低IT系统的风险。
王东红介绍,国内外许多大企业已将降低IT风险,加强企业内部控制提到高层会议的重要日程,并且,随着风险管理被IT用户所重视,IT风险管理人才也应运而生,这一职位是比纯粹技术型灾备人才更具综合素质和更高难度要求的挑战性职位。现在,这一职位在国外已经诞生并成为新宠职业,而在国内,它还是极具成长空间和开发价值的新领域。
那么,风险管理都包括哪些岗位,哪些就业领域呢?目前在国内,主要有IT治理咨询师和培训师,他们主要就职于IT治理培训和咨询机构,为企业的IT治理及风险管理方面提供咨询,以及相关的培训和认证服务。如IT服务管理咨询专家、绩效评价专家、信息系统审计专家等。成为合格的IT治理咨询师和培训师,至少要有6至7年的相关工作经验,同时还要有良好的人际沟通能力,倾听能力,出色的分析和解决问题的能力。一名合格的IT治理咨询师,应获取如下证书:CobiT Foundation,ITILFoundation,CISA,CIA,CCSA,CISSP等。第二类是IT治理
管理类人员。他们主要就职于大中型企业的信息化管理部门的规划部、CIO办公室或独立的部门,负责治理内容的实施、优化,以保证IT治理机制的正常进行。据国内的海尔、海信、长虹、中海油等重点大企业有关技术部门人士介绍,目前风险管理职位在公司IT部门中收入高于其他岗位,并且今后,随着企业对科学决策、有效治理和风险管理的重视,该岗位薪资水平应继续上升。
尽早规划,选择职业“蓝海”
据笔者对国内数个城市IT人才就业状况的调查了解,目前IT专业大学生普遍存在所学专业单一、知识肤浅、实践能力差、就业选择趋同等特点,大学所设专业无外乎计算机科学与技术、软件工程、通信工程、自动化等专业,不论是大专、本科,还是研究生学历皆是如此,按理说研究生应该在专业取向上更加精、专、深,而目前国内大多高校的IT专业人才深造方向单一,报考研究生仅仅为了获得更高学历,为跨入职场做准备,而不是在技术领域深入某个方向进行深造。
小杨是辽宁大学2008年自动化专业毕业生,本来,他可以选择IT公司的技术岗位,可他选择了销售,因为销售岗位的求职门槛低,而应聘软件开发的人太多,竞争太激烈,他落选了。小杨的女朋友小曹是其同校、同班同学,她立志从事软件开发,早在大三就开始搜寻工作,今年1月她从近千名应聘者中幸运地被某大型软件公司招为实习生。小曹说:“为了应试我几乎失眠了好几星期!而且我能不能成为试用期员工,还要看我的成绩能不能超过一同来实习的其他9位实习生。”
据笔者了解,像小杨、小曹这样大学本科四年、研究生三年,历尽七年艰辛,然后在软件工程师、数据库工程师、技术支持、销售员等几个岗位疯狂撒简历,以期获得万中之一机会的求职者,已占据大学毕业生主流。人力资源专家、沈阳市人才中心孟主任认为,大学及培训中心等机构与市场需求的脱节,造成了人才供应结构的失衡,使社会就业压力增大,使众多大学生、求职者拼搏、挣扎于职业“红海”中,被碰得头破血流。
神州数码教育学院叶博士建议,IT从业人员或IT专业大学生,应准备好迎接新挑战,向IT服务管理,包括灾备管理、风险管理、存储管理等冷僻领域转向,并力争通过几年时间的实践和学习,成为专家型人才。他说:“IT是一个快速发展的行业,同时也是一个智力密集型行业,如何从竞争激烈的技术红海中找到蓝海,是每一个IT从业者都应该提前考虑的事情。要想从技术型人员向管理人员、管理专家方向转型,应该在积累技术经验的同时充电有关管理知识;要想从传统IT管理专家向IT风险管理专家转型,还要在平时就留意一些IT所导致的风险事件,学习监管机构对IT潜在风险监管要求、企业风险管理、合规意识等方面的知识。”他还提到,IT治理是企业IT管理决策的一部分,而IT管理是执行层面,所以,当你选择了IT管理类的岗位后,就有可能走上IT治理岗位,成为企业的高层人员。
专业细分,造就IT精英
目前中国高校教育普遍存在的一个问题是,专业设置趋同,知识面宽,而对各个方面的知识涉猎不深,这为大学生毕业后的就业造成困难。不过,李开复曾说,精英人才不是学校造就的,学校只是教会了你怎样学习,当你在学校学会了JAVA语言后,你可以利用学到的学习方法,再学习其他新语言。
对策研究
1建设目标
海洋信息安全体系建设的目标是建设一个由策略、防护、检测和响应组成的完整安全体系,从而最大限度地保护信息不受诸多威胁的侵犯,确保连续性,将损失和风险降低到最低程度。为保证系统的安全运行,安全系统建设确定以下具体建设目标。(1)在系统各个网络上建立比较完整的安全防护体系,为核心业务应用提供安全可靠的网络环境。网络安全需要分级、分层次的防护措施,充分利用现阶段的各种防护产品,加强网络信息系统的基础安全防护。(2)实现多级的安全访问控制功能。按照“纵深防御,重点保护”的策略,对网络中的不同级别的资源实现不同程度的防护强度和不同的访问控制力度。(3)实现对重要信息的传输加密保护。建立以VPN为基础的数据传输加密系统,防止信息在网络传输中被窃取和破坏。(4)做好网络安全基础建设。做好网络边界和安全域边界的隔离和保护,通过部署防火墙或安全隔离系统,防止非法访问;部署网络入侵防御和漏洞扫描系统,加强对网络非法活动的监测,及时修补网络和系统的漏洞;部署应用和网络的审计系统,追踪和审计应用和网络操作行为,做到有据可查;根据数字海洋各应用系统安全状况,做好其他安全产品的部署和实施。(5)完善各业务系统网络全方位的病毒防范体系。采用包括客户端、服务器、邮件以及防病毒硬件网关等系列产品构筑强大有效的网络防病毒体系。(6)完善重要应用系统的数据和关键的主机系统冗余备份系统。建立数据备份系统,包括异地容灾建设,以保证关键业务的系统和数据有效备份。(7)完善简易身份认证系统和授权系统。为了满足业务系统对身份认证和授权系统的急迫要求,需要先建立内部以数字证书为基础的简易身份认证系统和授权系统。对于注册账号可采用的认证方式包括口令、CA证书、双因素和双向等认证方式。(8)完善有效的安全管理机制和组织体系。要培养和建立起一支网络信息安全的技术队伍和管理队伍,保证各级网络系统安全技术和管理落实到人。在制定实用的可操作的安全管理制度的前提下,强化安全意识和培训,加强安全管理制度的执行力度,确保海洋局各级机构各项业务的安全运行。
2策略原则
在海洋信息安全体系建设过程中,应该遵循“统筹规划、分步实施、安全可靠、经济实用、灵活方便、统一标准、统一规范”的原则进行。要遵循的主要原则如下。(1)业务需求的原则:系统信息安全体系建设的目标和安全行为应根据业务的目标和需要进行,并接受业务管理的指导。(2)可靠性原则:系统信息安全体系在基本不影响应用系统功能和效率的前提下,必须做到稳定、可靠地不间断运行。(3)可扩展性原则:系统信息安全体系必须允许增加新的安全组件与安全功能,保证系统安全性不断增长的需要。(4)标准化原则:系统信息安全体系建设的各个环节都必须符合国家关于信息安全的法律和法规。(5)可管理性原则:系统信息安全体系必须可管理,做到分布式安全布控,集中式安全管理。(6)经济适用原则:系统信息安全体系的设计要在安全需求、安全风险和安全成本之间进行科学的平衡、比较和折中,使系统信息安全体系安全、经济、适用,易用、性能价格比合理。(7)联合共建的原则:在系统信息安全体系建设过程中,充分利用现有的安全资源,发挥企业的积极性和安全系统集成商、安全产品供应商、安全技术服务商的积极性,促进安全技术广泛的应用和共享,避免重复设计和重复建设。(8)统筹规划、分步实施的原则:做好统筹规划工作,制定总体方案,采取边建设、边服务的分步实施方针,确保工程建设的顺利进行,避免出现重大的投资失误或因系统不能有效发挥作用而影响投资的效益。(9)严格监督的原则:建立相应组织,采取有效措施,对工程质量、工程进度和投资状况进行严格的论证、把关和监督,确保项目工程有计划、按步骤地顺利进行。
海洋信息系统安全体系建设内容及分析
通过分析《国家信息系统安全保护等级基本要求》的相关标准,对等级保护的安全层级划分为安全技术与安全管理两大部分,对于海洋信息系统的安全建设也将从这两个方面进行着手。
1技术安全解决措施
1)物理安全。机房具有较强防震、防风和防雨等能力。完全与用水设备隔离。机房出入口安排专人值守,记录进入人员,机房的来访人员经过申请审批流程,安排工作人员一起陪同,并限制和监视其活动范围。对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置过渡区域。在机房的门口配置电子门禁系统。各种设备放置在机柜内,设置明显的标记。所有线路铺设在防静电地板下的线槽内。安装视屏监控系统。机房所在的建筑安装避雷装置,海洋信息系统安全体系如图1所示。机房内安装自动气体灭火系统,在值班室设置控制台,以达到自动检测火情,自动报警,自动灭火等功能。机房墙面采用耐火的彩钢板。在机房的地板下面安装漏水检测系统,一旦漏水系统将及时报警。每个机柜都连接接地放静电。机房地板采用防静电地板。将房内设置机房专用恒温恒湿机,并且合理地分配机房专用空调位置,达到合理温度和湿度调节效果。在机房的四周安装温度和湿度的实时监控系统。当温度和湿度超出了设定范围值,系统将自动报警。电源线和通信线路隔离铺设,避免相互干扰。磁介质部署电磁屏蔽装置。
2)网络安全。为业务专网和外界物理隔离。主干网络带宽为采用155MCPOS结构,完全满足业务高峰期的需要。采用VPN技术。制定重要业务系统各子网之间的访问控制策略,重要网段的边界处均部署防火墙,并通过防火墙安全策略实现各网段间逻辑隔离。按照不同的地域和业务划分虚拟子网、网段分配地址段。根据各个业务部门的工作职能和业务重要性,控制各子网之间的访问。按照业务重要性为业务分配带宽。并在网络边界部署防火墙,启用访问控制功能,控制端口,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议的控制,限制网络最大流量数及网络连接数。部署集中安全审计系统,对网络设备运行状况、网络流量和用户行为等进行日志记录。并进行分析,生成审计报表。将边界和网络设备日志集中管理并定期进行审计。在网络边界部署非法外联检测系统服务器,通过外联方式对终端用户进行监控,如各种拨号行为,发现违规外联行为时实时阻断,通过网络间的连通性来判断终端主机是否已经外联,如果发现已经外联,按照管理员预设的动作,执行提示终端用户、禁用网卡、向管理员告警等动作。整体达到严密的外联监控效果。在网络边界部署入侵防御系统,能够精确识别并实时防范各种网络攻击和滥用行为。通过深入到七层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件和网页篡改等攻击和恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护。部署防毒网关在网络边界处对恶意代码进行检测和清除,建立病毒库的定期更新升级要求并严格执行,定期检查病毒库的更新情况。用SSH加密传输替代Telnet远程管理方式;并能使用其他身份审核方式以保证用户登陆的可信性。
3)主机安全。对登录操作系统和数据库系统的用户进行身份表示和鉴别。增加主机口令策略中对口令长度,口令复杂,口令生命周期,新旧口令的替换的策略。采用证书加上USB-key认证的方式。启用安全审计策略。建立访问控制策略,依据最小原则授予用户权限;对主机内无用、多余的账户进行删除。对账号采用分级最小化原则管理。部署主机审计系统,审计功能与用户标志与鉴别、自主访问控制、标记及强制访问控制等安全功能的设计紧密结合。使用空间清理和数据擦写工具确保动态分配与管理的资源,在保持信息安全的情况下被再利用,确保非授权用户不能查找在使用后返还系统的记录介质中的信息内容;确保非授权用户不能查找系统现已分配给他的记录介质中以前的信息内容。在重要服务器网段部署IDS/IPS,及时发现入侵行为并及时通过多种方式报警、阻断。能够记录入侵的源IP、攻击类型、攻击的目的、攻击的时间并在发生严重入侵事件时提供警报。服务器上部署瑞星防病毒软件,统一管理,保持及时升级;防病毒软件和防病毒网关协同工作,建立统一防毒体系,保证安全性。建立运控系统,对主机和其他网络设备的CPU、硬盘、内存以及占用网络带宽等资源进行实时监控。
4)应用安全。系统提供单点登录的控制模块,使用证书USB-key和用户名密码的身份鉴别技术时间身份鉴别,定义鉴别尝试允许次数,并通过延长鉴别失败超出允许次数后,再次允许鉴别的时间间隔来限制重复尝试,并对此过程进行记录。用于身份鉴别的用户名/口令对应当在信道中加密传输。对用户的来源进行控制和监控。定期审计身份鉴别日志,对发现的异常进行及时处理,对累积性事件进行必要的趋势分析。部署安全审计系统,覆盖事件的日期、时间、发起者信息、类型、描述和结果等内容,审计记录的内容应尽可能详细;系统生成的日志最好采取一次性存储设备,以防篡改,可采取集中异地存储的形式,防止数据被破坏或篡改;应当设立单独的日志审计人员维护和管理数据。对网络环境下运行的数据库管理系统,应建立分布式的审计系统,并以审计中心进行管理和控制。使用专用的磁盘空间擦写工具和内存释放工具,保证在使用后的信息不被未授权人员获得。
5)数据安全及备份恢复。系统管理数据、鉴别信息和重要业务数据在传输和存储过程中完整性受到破坏时,系统应具有监测并能采取必要恢复措施的功能。在数据传输的边界部署加密机。实现系统管理数据、鉴别信息和重要业务数据传输和存储保密性。在保存、修改和传输数据时,对于敏感信息,例如账号、密码和证件号码等字段采用事先约定对称加密算法进行加密。在本地建立磁盘阵列和磁带库并安装相应的存储备份软件,建立存储备份机制,完整的数据每周备份一次,差异备份每天进行一次,备份的时间在每天凌晨,数据量最小时进行备份。采用SAN网络存储,选用管线磁盘存储阵列和光纤带库作为存储载体,选用光纤交换机作为存储网络的交换部件,用于连接数据库服务器、光纤磁盘存储阵列和光纤带库,配合专用的数据库、存储管理、备份恢复软件共同构建一个全光纤、全冗余的SAN存储网络环境。避免单点故障。提供网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
2安全管理体系建设
海洋信息系统所在的各个单位成立专门的运行管理机构负责信息系统的运行维护与安全管理工作,配备专门的运行维护管理人员,并制定安全管理制度,制定网络与信息安全应急预案以应对突发的网络与信息安全事件。
