时间:2023-09-14 17:43:18
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全防护建设,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
[关键词] 网络;安全威胁;中国石油;网络安全域
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035
[中图分类号] TP343.08 [文献标识码] A [文章编号] 1673 - 0194(2012)10- 0062- 02
1 引 言
随着市场竞争的日益加剧,业务灵活性、成本控制成为企业经营者最关心的问题,弹性灵活的业务流程需求日益加强,办公自动化、生产上网、业务上网、远程办公等业务模式不断出现,促使企业加快信息网络的建设。越来越多的企业核心业务、数据上网,一个稳定安全的企业信息网络已成为企业正常运营的基本条件。同时为了规范企业治理,国家监管部门对企业的内控管理提出了多项规范要求,包括 IT 数据、流程、应用和基础结构的完整性、可用性和准确性等方面。
然而信息网络面临的安全威胁与日俱增,安全攻击渐渐向有组织、有目的、趋利化方向发展,网络病毒、漏洞依然泛滥,同时信息技术的不断更新,信息安全面临的挑战不断增加。特别是云的应用,云环境下的数据安全、应用安全、虚拟化安全是信息安全面临的主要问题。如何构建灵活有效的企业网络安全防护体系,满足业务发展的需要,已成为企业信息化建设、甚至是企业业务发展必须要考虑的问题。
2 大型企业网络面临的安全威胁
赛门铁克的《2011 安全状况调查报告》显示:29%的企业定期遭受网络攻击,71% 的企业在过去的一年里遭受过网络攻击。大型企业由于地域跨度大,信息系统多,受攻击面广等特点,更是成为被攻击的首选目标。
大型企业网络应用存在的安全威胁主要包括:(1)内网应用不规范。企业网络行为不加限制,P2P下载等信息占据大量的网络带宽,同时也不可避免地将互联网中的大量病毒、木马等有害信息传播到内网,对内网应用系统安全构成威胁。(2)网络接入控制不严。网络准入设施及制度的缺失,任何人都可以随时、随地插线上网,极易带来病毒、木马等,也很容易造成身份假冒、信息窃取、信息丢失等事件。(3)VPN系统安全措施不全。企业中的VPN系统,特别是二级单位自建的VPN系统,安全防护与审计能力不高,存在管理和控制不完善,且存在非系统员工用户,行为难以监管和约束。(4)卫星信号易泄密。卫星通信方便灵活,通信范围广,不受距离和地域限制,许多在僻远地区作业的一线生产单位,通过卫星系统传递生产、现场视频等信息。但由于无线信号在自由空间中传输,容易被截获。(5)无线网络安全风险较大。无线接入由于灵活方便,常在局域网络中使用,但是存在容易侵入、未经授权使用服务、地址欺骗和会话拦截、流量侦听等安全风险。(6)生产网隔离不彻底。企业中生产网络与管理网络尚没有明确的隔离规范,大多数二级单位采用防火墙逻辑隔离,有些单位防护策略制定不严格,导致生产网被来自管理网络的病毒感染。
3 大型企业网络安全防护体系建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,将企业信息安全保障体系建设列为信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。中国石油网络安全域建设是其重要建设内容。
中国石油网络分为专网、内网与外网3类。其中专网承载与实时生产或决策相关的信息系统,是相对封闭、有隔离的专用网络。内网是通过租用国内数据链路,承载对内服务业务信息系统的网络,与外网逻辑隔离。外网是实现对外提供服务和应用的网络,与互联网相连(见图1)。
为了构建安全可靠的中国石油网络安全架构,中国石油通过划分中国石油网络安全域,明确安全责任和防护标准,采取分层的防护措施来提高整体网络的安全性,同时,为安全事件追溯提供必要的技术手段。网络安全域实施项目按照先边界安全加固、后深入内部防护的指导思想,将项目分为:广域网边界防护、广域网域间与数据中心防护、广域网域内防护3部分。
广域网边界防护子项目主要包括数据中心边界防护和区域网络中心边界防护。数据中心边界防护设计主要是保障集团公司统一规划应用系统的安全、可靠运行。区域网络中心边界安全防护在保障各区域内员工访问互联网的同时,还需保障部分自建应用系统的正常运行。现中石油在全国范围内建立和完善16个互联网出口的安全防护,所有单位均通过16个互联网出口对外联系,规划DMZ,制定统一的策略,对外服务应用统一部署DMZ,内网与外网逻辑隔离,内网员工能正常收发邮件、浏览网页,部分功能受限。
域间防护方案主要遵循 “纵深防护,保护核心”主体思想,安全防护针对各专网与内网接入点进行部署,并根据其在网络层面由下至上的分布,保护策略强度依次由弱至强。数据中心安全防护按照数据中心业务系统的现状和定级情况,将数据中心划分为4个安全区域,分别是核心网络、二级系统区、三级系统区、网络管理区;通过完善数据中心核心网络与广域网边界,二级系统、三级系统、网络管理区与核心区边界,二、三级系统区内部各信息系统间的边界防护,构成数据中心纵深防御的体系,提升整体安全防护水平。
域内防护是指分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准,实现实名制上网。中国石油以现有远程接入控制系统用户管理模式为基础,并通过完善现有SSL VPN系统、增加IPSEC远程接入方式,为出差员工、分支机构接入提供安全的接入环境。实名制访问互联网主要以用户身份与自然人一一对应关系为基础,实现用户互联网访问、安全设备管理准入及授权控制、实名审计;以部署设备证书为基础,实现数据中心对外提供服务的信息系统服务器网络身份真实可靠,从而确保区域网络中心、数据中心互联网接入的安全性。
4 结束语
一个稳定安全的企业信息网络已成为企业正常运营的基本条件,然而信息网络的安全威胁日益加剧,企业网络安全防护体系是否合理有效一直困扰着信息化主管部门。通过借鉴中国石油网络安全域建设,系统地解决网络安全问题,供其他企业参考。
主要参考文献
[1]王拥军. 浅谈企业网络安全防护体系的建设 [J]. 信息安全与通信保密,2011(12).
提起网络信息安全,人们自然就会想到病毒破坏和黑客攻击。其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。
目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失,保证组织业务流程的有效进行。
这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
二、内网安全风险分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带――企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。
1.病毒、蠕虫入侵
目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护,特别是对新类型新变种的病毒、蠕虫,防护技术总要相对落后于新病毒新蠕虫的入侵。
病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于内部网络用户的各种危险应用:不安装杀毒软件;安装杀毒软件但不及时升级;网络用户在安装完自己的办公桌面系统后,未采取任何有效防护措施就连接到危险的网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境,在没有采取任何防护措施的情况下又连入企业网络;桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施,企业业务带来无法估量的损失。
2.软件漏洞隐患
企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。
3.系统安全配置薄弱
企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患,黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。
4.脆弱的网络接入安全防护
传统的网络访问控制都是在企业网络边界进行的,或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后,用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞,例如,企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP,以太网接入等等网络接入方式,在外网和企业内网之间建立一个安全通道。
另一个传统网络访问控制问题来自企业网络内部,尤其对于大型企业网络拥有成千上万的用户终端,使用的网络应用层出不穷,目前对于企业网管很难准确的控制企业网络的应用,这样的现实导致安全隐患的产生:员工使用未经企业允许的网络应用,如邮件服务器收发邮件,这就可能使企业的保密数据外泄或感染邮件病毒;企业内部员工在终端上私自使用未经允许的网络应用程序,在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件,从而感染内部网络,进而造成内部网络中敏感数据的泄密或损毁。
5.企业网络入侵
现阶段黑客攻击技术细分下来共有8类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。
对于采取各种传统安全防护措施的企业内网来说,都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说,安全保障就会严重恶化,当移动用户连接到企业内网,就会将各种网络入侵带入企业网络。
6.终端用户计算机安全完整性缺失
随着网络技术的普及和发展,越来越多的员工会在企业专网以外使用计算机办公,同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外,很有可能被黑客攻陷或感染网络病毒。同时,企业现有的安全投资(如:防病毒软件、各种补丁程序、安全配置等)若处于不正常运行状态,终端员工没有及时更新病毒特征库,或私自卸载安全软件等,将成为黑客攻击内部网络的跳板。
三、内网安全实施策略
1.多层次的病毒、蠕虫防护
病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的,但我们可以控制它的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害减少到最低限度,甚至没有危害。这样,仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。
2.终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全,安全执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
3.全面的网络准入控制
为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题,同时对传统的网络边界访问控制没有解决的网络接入安全防护措施,而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时,检查客户端的安全策略状态是否符合企业整体安全策略,对于符合的外网访问则放行。一个全面的网络准入检测系统。
4.终端设备安全完整性保证
[关键词]信息安全;管理;控制;构建
中图分类号:X922;F272 文献标识码:A 文章编号:1009-914X(2015)42-0081-01
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1] 段永红.如何构建企业信息安全体系[J]. 科技视界,2012,16:179-180.
[2] 于雷.企业信息安全体系构建[J].科技与企业,2011,08:69.
[3] 彭佩,张婕,李红梅. 企业信息安全立体防护体系构建及运行[J].现代电子技术,2014,12:42-45+48.
[4] 刘小发,李良,严海涛.基于企业网络的信息安全体系构建策略探讨[J]. 邮电设计技术,2013,12:25-28.
[5] 白雪祺,张锐锋. 浅析企业信息系统安全体系建设[J].管理观察,2014,27:81-83.
关键词 说课 信息安全 教学 课程
中图分类号:G424 文献标识码:A
0 引言
本课程为信息安全专业职业岗位课程,服务于高职高专人才培养规划,坚持以行动任务为导向,工学结合培养为主线的人才培养模式。培养学生从事网络安全方案设计、网络操作系统安全部署、网络维护、信息安全管理等相关工作。本文从课程定位与目标、课程设计、教学内容和组织、教学组织与实施、实践条件与教学效果、教学队伍、教学改革与特色创新七个方面对课程进行详细的阐述,对教学理念进行符合高职教学规律的深层次的梳理。
1 课程定位与目标
1.1 岗位需求(如图1)
1.2 课程定位
信息安全基础是高职高专3年制信息安全专业的一门必修职业基础课程,一般安排在第一学期开设,在专业课程体系中起着引领专业课程体系的作用,其后续课程为安全防护工具、服务器安全防护和防火墙配置应用。
1.3 课程学习目标
(1)学习能力目标。通过本课程的学习,进一步培养学生的自主学习能力,掌握网络安全防护的基本过程和方法。
(2)职业能力目标。了解我国网络安全状况和相应的政策和法律法规,熟悉网络安全防护项目的实施过程和要领,能够熟练进行客户机和服务器加固操作,能够设计和实施中小型网络的安全防护方案,了解大型网络安全防护方案的设计与实施要领。
(3)职业素养目标。通过项目设计培养学生的统筹规划能力和工程文档编写能力,通过项目合作培养学生的团队合作意识和能力。
2 课程设计
以培养学生从事网络构建、网络管理与维护工作岗位所需的知识与技能为中心来组织教学。信息安全基础的课程开发流程:市场调研与召开实践专家研讨会 确定相关职业岗位群的典型工作任务 归纳行动领域 行动领域转换为学习领域 学习情境设计 学习子情境设计 课程教学资料建设 实际教学检验。为了保障课程与技术发展相一致,建议完成每个教学周期后,课程组均要依据以上课程开发流程对课程标准和课程内容进行修订。
3 教学内容和组织
3.1 教学内容选取
根据当前网络安全项目的规模,可将网络安全防护客户划分为普通网络用户(ADSL接入)、中小型网络和大型网络,由此根据教学单元设计内容涉及信息安全基础知识、信息系统安全体系、信息加密技术和网络安全实用技术方面来确定网络安全防护学习领域的学习情景如图2。
3.2 教学内容子情境设计组织
(1)普通网络用户安全防护学习子情境设计如表1。
(2)中小型网络安全防护学习子情境设计如表2。
(3)典型校园网全防护学习子情境设计如表3。
4 教学组织实施与重点难点
4.1 教学组织实施
在整个教学过程中,学生一般以小组的形式进行工作学习。在任务工作过程系统化设计情境学习中,要求每个小组选出一名同学担当组长,组长的职责是负责全队的组织协调,分配任务,组织讨论,提交实践报告,成果演示录像呈现,给其他组员评分等。
在具体实施教学过程中,本课程组把基于工作过程教学模式中的六步行动过程总结为教学中的四个环节:任务明确、教师示范、学生实践、展示评价。在这四个环节中,分别把握学生应该掌握的知识和任务,顺利完成教学和对学生的训练。
4.2 教学重点
普通网络用户安全防护方案的制定与实施:由教师首先讲解并演示Windows XP的安全防护操作,学生先学后做;教师指导学生进行Vista安全防护方案的设计与实施,学生边学边做;教师组织学生自主进行Windows 7安全防护方案的设计与实施。
中小型典型网络的安全防护方案的制定与实施:由教师讲解典型网站安全防护方案的设计与实施,学生先学后做;教师指导学生进行典型网吧安全防护方案的设计与实施,学生边学边做;教师组织学生自主进行典型企业网络安全防护方案的设计与实施。
4.3 教学难点
网络安全防护工程方案的设计与实施:通过Windows XP、Vista、Windows 7、典型网站、典型网吧和典型企业网络安全防护方案的设计与实施,掌握一般网络安全防护方案的设计与实施。
5 课程考核标准与教学效果
6 教学队伍
本课程教学团队现授课教师有7人,专业学术带头1人,专职教师中副教授2人,讲师3人,助教1人;其中具有硕士学位2人,在读硕士3人,“双师素质”教师达100%以上;网络架构工程师1人共同实施;达到理论实践的紧密结合,理论支撑实践操作的提高,实践技能验证理论的指导。在教学活动中,教师和学生相互学习,共同提高。本课程在建设过程当中逐步形成了一支学历、职称结构合理、师资配置完善、梯队建设良好、结构比例相对稳定的教学队伍。
7 教学改革创新与努力方向
7.1 教学改革创新
本课程采用校企合作、“教-学-做”一体化的教学模式。由本院与蓝盾股份有限公司紧密合作,组建蓝盾信息安全实验室,为“教-学-做”一体化教学提供了非常好的条件。
教学内容改革:教学内容与岗位工作内容的一致性。
本课程采用:模块课程模式项目(任务)课程模式活动课程模式工作过程系统化课程模式。
考核方式的改革创新
评价依据:过程技能考核+笔试 摒弃了传统的一卷考核方式,更加关注于学生的职业能力和职业素质的评价,创新性地采用了专业交流的方式,通过师生对专业问题面对面的探讨来增强学生的学习动力,同时考查学生专业能力。
7.2 努力方向
完善教学课程内容,探索新的教学手段;建立题库迎合学生考取认证;丰富项目案例资源不断改进教学方法;进一步完善师资队伍结构,培养并形成一支教学水平高、专兼结合的高素质教学队伍。
8 结语
目前,职业教育正处于日新月异的课程改革过程中,努力提升高职教育教学理念,创新体制机制,突出实践教学,深化课程改革,更新教学手段,课程说课作为现代高职教学改革的新课题、教学研究工作的新形式进一步彰显实践教学特色,必将成为推动我国高等职业教育发展的新动力。
参考文献
[1] 穆惠英.高职《环境监测》课程说课设计.中国科教创新导刊,2008.11.
[2] 秦毅,齐欣.《平面处理技术》课程说课设计案例.电大理工,2011.3.
[3] 陈丽,伍善广.高职高专《药剂学》.海峡药学,2011.23(8).
[4] 秦爱梅.高职院校《3dsmax》课程说课设计.计算机光盘软件与应用,2012(12).
1网络安全概述
网络系统的软硬件不受破坏,确保系统中数据不因恶意攻击遭到破坏,保证数据安全和系统正常运作,这就是所谓的网络安全。网络安全具有完整性、保密性、可审查性、可控性等特点,要利用网络安全的特性为建筑企业服务。作为企业信息化标志的网络管理在建筑企业中发挥着重要作用,不仅能确保建筑工程的信息管理,确保工程顺利完工,还能提高工作效率,增加企业经济效益。
2建筑企业网络安全存在的问题
2.1操作硬件欠佳造成网络瘫痪
计算机硬件主要由控制器、运算器、输入设备、输出设备和存储器五部分组成,这些物理装置构成计算机的物质基础,是计算机软件运行的前提条件。软件主要是指计算机系统中的文档及程序。计算机软件主要包括程序设计语言处理系统、媒体工具软件、操作系统、图像工具软件等。其中,操作系统是较重要的一种软件。操作系统既是计算机与用户的接口,也是计算机软件和硬件的接口,它不需要用户进行具体操作。操作系统在计算机安装时就存在,它直接管理并控制着软硬件系统资源。操作系统的设置考虑最多的是运行便捷,安全性方面考虑的较少。操作系统在安装的时候必然要开启一些系统,安全隐患就会凸现出来,这种安全隐患是无形的威胁,不易察觉,积累到一定的程度,就容易造成网络崩溃,网页无法继续访问等问题。建筑企业需要网络进行工程计算和其它辅助工作,一旦网络瘫痪,会影响企业的各项工作进程。
2.2网络结构漏洞引发攻击入侵
网络结构是参考开放系统互联对通信系统进行的整体设计构思,它是一个复杂的结构系统。通常,企业的网络与外部网络相连接。建筑企业部门众多,网络覆盖面广,运用广泛。因此,面临的风险和威胁也大。很多入侵者利用外部网络结构存在的缺陷侵入到企业内部网络结构中,进行一些不法活动。外部网络结构一旦受到攻击,与它连接的所有单位的网络都有被入侵的危险。很多企业的管理者缺乏防范意识,办公系统未安装安全防护软件,安全措施不到位,一些不法分子利用企业内部网络结构的漏洞入侵攻击,造成企业电脑无法正常工作。企业内部只要有一台电脑被入侵,其它的电脑也会受到影响,企业的各种信息数据容易被盗取,不利于企业安全管理。如今,企业被黑客入侵的比例越来越高,企业应加强对内部网络结构的安全保护,从源头上保证网络结构的安全。
2.3网络应用不当致使信息泄露
网络应用就是利用网页浏览器进行操作运行的应用程序。要进行网络应用,首先要具备一定的计算机应用基本知识,掌握计算机工作基本原理和网络安全的相关知识。这样才能用好网络,为企业创造更大的价值。尤其是对于建筑企业来说,各种工程资料、数据、客户信息都非常重要,关系着企业的可持续发展。但在网络应用的过程中总会产生一定的风险,如在数据传输的过程中,如果员工操作不当很容易造成数据泄露或被篡改。网络病毒传播速度极快,危害巨大,有的人在网络投放病毒,致使电脑死机、造成文件丢失、信息泄露。这些不当的网络应用都会为企业带来不利影响。因此,要想保证建筑企业信息安全必须做好网络应用系统的安全防护,谨防信息外泄。
3增强建筑企业网络安全技术措施
3.1严把安装程序,完善硬件设施
若想建筑企业正常运转,必须要保证企业网络安全。网络安全不仅仅是单点安全就可以了,整个信息网络的安全也格外重要。这就要求企业从计算机操作硬件这个源头抓起,完善硬件设施,降低操作硬件带来的风险。计算机的物理装置是基础,在安装之前要进行检查,确保硬件装置的完整性。必须提高计算机的配置,特别是建筑企业,企业信息资料保密性较强,一旦泄露,影响巨大。操作系统安装的过程中不要将所用的系统都打开,这样容易引发安全问题,只开启需要的软件系统就可以。这样就避免了不必要的风险漏洞。计算机安装是一项重要工作,关系到整个企业网络运行,必须严把质量关和程序关,从源头上控制风险。软硬件系统的加强,能够有效避免因设备配置过低引起的网络瘫痪,防止黑客攻击,确保网络高效运转。
3.2建立准入控制,谨防攻击入侵
黑客攻击已成为威胁建筑企业发展的一个重要因素,网络黑客找到企业网络的漏洞和缺陷,对其进行攻击。单纯的主机防护技术只能保证主机自身的安全,无法为整个网络提供服务,要通过设立网络准入控制机制,限制访问条件,谨防攻击入侵,确保企业整个网络体系的安全。网络准入控制技术是一个动态的过程,它是通过强制执行网络访问的方式开展,具体操作流程是当主机需要接入企业内部网络结构时,准入控制系统会对主机进行相应的安全检测,检验合格就可以进入企业内部网络系统中,即使进入企业网络系统中的主机也需要再次检验,经过多次检验,主机的安全性大大提高。若检验不合格就会被系统隔离出来,并对用户进行相应的信息提示,让用户作出反映。还可以引入防火墙,它是应用较多的网络安全设备,抗攻击性强,能够根据企业的需要严控网络信息。防火墙有不同的级别保护,可以根据企业自身需要选择相应级别的保护。通过这些方式不仅能确保主机的安全性和可靠性,减少网络安全事件,还能增强企业整个网络的安全。
3.3引入检测系统,强化信息安全
入侵检测系统能够积极主动监控网络传输信息,在发现可疑传输时能够及时采取反映措施的网络安全防护设备。它具有实时性,可靠性,是一项实用型极强的安全防护技术。入侵检测系统具有较多的过滤器,通过这些过滤器进行识别和拦截。当攻击出现后,入侵检测系统的过滤器就会发挥作用,对各种数据包进行分类检查,确定安全后,数据包继续前行。未被识别的数据包还需要接受进一步的检查。通过层层筛选检查,保证数据包的安全。建筑企业的信息安全极其重要,为防止信息外泄,必须引进入侵检测系统。此外,可以禁止一些不必要的服务,开启的系统多固然好,但也存在弊端和风险,要综合考虑,禁止不必要的服务,降低建筑企业网络风险。
4结语
【关键词】任务驱动 虚拟技术 高职
高职的专业建设是学校的基础与核心,专业建设与教学改革的好坏,直接影响到培养出的学生的素质与能力,对学校的声誉与发展有着深远的影响。加强专业的特色建设、深化教学改革,是提高人才培养质量的切入点与途径。
一、专业人才培养特色建设
(一)培养目标
计算机网络技术专业(安全防护方向)的培养目标是培养具有良好的职业素养,既掌握基础网络安全理论,又熟练掌握现代计算机网络攻击与防护技术,具有从事计算机网络工程的施工,设备和服务器的安装运行、维护与安全防护,设备和服务器的售前售后服务,动态网站、数据库及企业邮件系统的组建运营、维护与安全防护,安全防护工具软件的综合运用,网络安全解决方案的设计与实施等岗位所需的高技能人才。
(二)毕业生职业岗位群
计算机网络技术专业(安全防护方向)立足本地经济,就业范围广。毕业生主要面向网络设备、安全设备、服务器的安装调试、运营维护与安全防护,动态网站、网络数据库、企业邮件系统的搭建、运营维护与安全防护,安防工具软件的设计制作与运用,个人用户、网吧、网站、企事业单位网络安全解决方案的设计与实施等领域。主要的职业岗位群是系统维护员、产品销售及售后服务员、网络管理员、网站管理员、数据库管理员、电子邮件管理员、网络安全程序员、网络工程师、网络安全工程师、系统集成工程师等。
(三)专业课程阶段划分
计算机网络技术专业(安全防护方向)课程体系的构建以工作过程为导向,职业综合能力培养为中心,根据职业养成规律,由企业实际工作提炼出典型的工作任务,由浅入深安排建立的。
学制为三年,第一年打好职业基础,使其能实现小型简单网络的组建与安全管理,具备熟练的技能,具有相关职业素养和自学能力;第二年主要提高学生的专业核心能力与综合能力,使其能够建设维护中型局域网并实施安全防护,同时适当参与社会实践。达到熟悉完整的企业网络建设和管理的工作过程,具有团队沟通与协作能力。能够规划和完成一般中型企业的网络建设和安全维护;第三年通过顶岗实习和毕业设计培养学生的社会适应力和创新能力。
(四)行业认证
网络技术专业(安全防护方向)把行业认证列入课程体系中。学生通过考试可获取信息产业部和劳动保障部网络管理员、网络安全工程师等职业资格证书, 思科、微软、H3C、D-LINK等公司的工程师认证证书。
(五)以赛促学、以赛促教
竞赛可以激发学生的斗志和潜能,提高教师的教学能力。组织和鼓励学生参加各级各类的比赛,通过部分发挥好的学生在竞赛中获奖,可以起到以点带面的作用,激励更多的学生投入学习未知的状态,全面提高学生的综合素质。同时,指导学生参赛,也可促使教师勤于思考,提高专业水平和教学能力。通过在各级各类比赛中获奖,也可提高学校声誉。
二、教学改革
(一)采用以项目为导向、以任务为驱动的教学法
早在2000年,教育部就明确了高职教育“高层次、职业性和应用型”的人才培养特征。国家中长期教育改革和发展规划纲要(2010-2020)指出,职业教育要把提高质量作为重点。以服务为宗旨,以就业为导向,推进教育教学改革。计算机及网络发展迅速,而传统教学方法无法培养出自学能力及知识结构等方面符合社会需求的人才,需要探索新的教学方法。
项目教学、任务驱动教学顺应了时代的需求,得到越来越广泛的应用,但也存在一些问题,需要在教学改革中加以注意。如:教学联系现实不够,教学资源与现实脱节,知识陈旧;教学缺少深度;忽视学生自主学习能力的培养;教师的作用得不到体现;重实践,轻理论;重知识技能、轻人格素养等,在教学实施中都应加以注意。
(二)加强虚拟技术在教学中的运用
教高[2006]16号文和教职成[2011]12号文都明确提出了利用虚拟技术进行虚拟实验和虚拟生产的教学改革建议。网络专业(安全防护方向)实验环境的搭建存在一定的困难。一是硬件设备不够,二是部分网络安全实验具有破坏性,导致很多实验仅限于纸上谈兵,学生无法亲自动手实践,无法加深理解和进一步探究,不利于学生创造力的激发。
虚拟技术的出现,使这些问题迎刃而解。本来复杂的硬件环境,可仅用一台真机模拟出来,解决了缺少设备及设备不足的问题,而且也把课堂带回了学生宿舍,学生在课余利用自己的电脑,就能搭建环境进行实验和研究,给好学的学生提供了一个想学就能学的环境,并引起群体效应,带动其他学生跟着一起学习探究。同时,还解决了部分网络安全实验因其破坏性而无法进行的困境。虚拟机搭建出的虚拟环境,允许被无情的破坏,因为虚拟机还具备快照功能,因此,当虚拟环境遭到破坏后,可以快速转到被破坏前的状态,对真实设备毫无损害,同时又满足了实验环境被多次、多个班级利用的,实现了资源共享,利用率的最大化。
总之,专业建设与教学改革是一项系统工程,需要院系的支持和教研室教师的共同努力。同时,还应加强专业建设与教改的质量评估,找到不足,及时完善,为社会培养出更多更好的毕业生。
【参考文献】
1计算机网络安全的应对措施
1.1技术层面
在技术层面,针对广泛的计算机网络系统的安全威胁,可以采取相应的应对措施.首先,设置防火墙是一般企业进行网络防御的基本措施,也是维护网络安全的重要措施.防火墙的试着一般是进行访问尺度的控制,将不可访问的IP进行阻挡,放行允许访问的IP,这样的方式可以有效的避免不安全的IP和软件的侵入和攻击.其次,在企业网络中设置关键部位的入侵检测系统也是十分有效的方式,对于网络中存在的异常行为进线检测并发出报警信息,不仅能够检测到网络入侵和攻击,还能检测企业内网之间的攻击,在很大程度上弥补了防火墙的不足和功能缺陷,更好的为企业进行网络攻击的防御.除了以上所说的系统防护之外,还有相关的物理隔离与信息交换系统,此系统可以将影响到局域网安全的VLAN进行隔离,阻挡了其与企业内网和外网之间的信息传递,这样的系统技术效果优于防火墙和入侵检测系统.在操作系统安全当中,对于很多不需要使用的端口,可以关掉.对于病毒的防护一般常常采用杀毒软件和系统检测软件相结合的方式,对系统整体的病毒进行查杀和漏洞扫描,时时保证网络运行的安全性,保证系统能够安全的运行,系统漏洞能够及时的更新并得到弥补.对于企业内部没有得到安全认证的移动设备进行监控,违反企业网络使用相关制度的操作也进行严加控制,将违法的监控设备进行相关的隔离,进行更多的网络隔离度保障,全面确保网络安全.技术方面的加强除了以上系统上的防患方法,通过网络反病毒能力的提高实现病毒和恶意攻击的防护之外,还应当研发并完善高安全的网络操作系统,研发网络系统的操作更加人性化和高安全性能的网络操作系统,做到系统软硬件之间更加完善的配合.
1.2管理层面
计算机网络系统的安全管理,除了技术层面上的完善之外,还要加强管理层面的建设.对于计算机安全保护法律、法规的力度也是十分重要的,只有做到技术防范与相关法律法规的双项管理,才能保证计算机网络安全效果更好的实现.计算机网络的安全管理,首先要建立安全管理机构,加强计算机网络的立法和执法管理,进行相应的计算机用户的安全教育,提高计算机用户的道德意识和安全意识,防止计算机犯罪行为的发生,还可以更好的预防计算机黑客的攻击,计算机网路安全管理能力的加强也是十分重要的.计算机安全法、犯罪法、数据保护法等的教育和普及也是很重要的.维护计算机网络和系统的安全,进行更多的计算机安全教育让使用人员更好的进行使用之外,还应当建立相关的维护和管理制度,对于计算机的使用进行严格的管理、控制,对资料、机房等都应当设有专门的安全保护方案,进行严格的分工管理和等级管理制度,将企业内部的计算机使用严格的控制起来,保证计算机网络的全面安全.
2计算机网络安全防范体系的建立
企业要加强计算机网络安全管理能力,最好的办法就是建立计算机网络安全防范体系,完善的安全管理体系是保证计算机网络安全的有效手段和措施,从全局的观念入手,进行企业计算机网络系统的全面监督和控制,这样的方式可以起到最佳的效果,要实现计算机网络系统全面的安全维护,建立完善的网络安全体系是非常有必要的.计算机网络安全防范体系的建立是企业信息化发展的未来趋势,是计算机网络安全环境创造的重要措施,企业要实现信息化和现代化的管理,就必须建立完善的计算机网络安全防范体系,以确保计算机网络环境受到全面的监控和管理,全面杜绝安全隐患的产生.计算机网络安全防范系统的建立,有很多值得注意的方面,要结合企业的实际情况进行相应的计算机系统是设计,构建适合企业自身需求的信息安全和网络防御系统,以下就安全防御系统建立需要注意的几点进行具体的讨论与介绍:首先,企业网络应当进行相应的分区,例如企业的生产专用网络要与企业其他专用网络进行相应的隔离,这样是为了防止其中一个专用网络受到病毒感染或者攻击时,其他专用网络不会受到影响和牵连,将外部攻击和威胁可能造成的伤害降至最低.其次,在网络防范系统的建立中还应当注意企业信息安全等级的划分,对于企业的机密信息和重要信息应当进行特别设置,进行信息不同重要程度的划分是为了设置不同的信息使用权限,进行重要信息更多的安全防护,使用不用的安全区域对不同安全等级的信息进行相应的安全管理和设置.同时,在计算机网络安全系统建设中,相应的防火墙以、物理隔离以及入侵检测等系统技术防护措施要坚持使用,用于保证企业系统的正常运行.还有,企业内部的网络流量也应当有相应的规章和要求,进行流量的使用限制,保证企业内部网络的畅通和稳定.最后,对于企业内部的系统使用应当进行相应的授权和控制,只有正规的授权管理,才能保证企业内部信息使用的更多安全,企业内部系统能够更加正常稳定的运行.总而言之,要实现企业计算机网络安全系统的建立,加强企业网络安全的管理能力,除了实现计算机网络防护软件和硬件设施的完善管理,实现技术管理与行政管理的资额调和做之外,还应当建立层次分明的网络保护系统防范体系,对于企业的网络安全系统应当结构应当形成结构完整、由核心到各层次的完美配合,内外之间的严格限定和系统保护措施的完善执行,加强企业的层次网络保护机制建设,将企业网络进行内网和外网的隔离,进行专用网络的隔离,进行安全等级的设置等,并结合先进的网络防护技术和完善的计算机网络管理措施,进行企业计算机网络有层次、有规范的管理,实现计算机网络安全系统安全系数的全面提升.
3结语
随着信息化的不断发展,计算机网络系统安全已经成为企业发展的重要管理工作之一,面对来自内部和外部的众多系统安全威胁,要加强企业计算机网络安全管理的能力,就要在技术层面和管理层面采取相应的应对措施,并建立完善的计算机网络安全防范体系,实现企业全面化的计算机网络安全,全面提高企业的信息化程度和水平.
作者:李振美单位:济宁学院计算机科学系
【 关键词 】 大数据;电网安全;防护策略
1 引言
电力系统在国家基础设施建设中具有十分重要的地位。随着云计算、大数据等新兴技术的不断发展,电力系统的数字化、信息化、智能化程度越来越高。新技术在推动电网企业不断发展的同时,也带来了一系列安全问题,构成了较大的威胁与挑战。本文着眼于大数据时代下的电网企业安全,系统分析了电网企业面临的主要威胁,并针对性地提出安全防护策略,为电网企业安全建设与应用提供指导。
2 大数据发展现状
2.1 大数据推动社会进步
大数据(Big Data)是指所涉及的数据量规模巨大到无法通过人工在合理时间内达到截取、管理、处理,并整理成为帮助企业经营决策更积极目的信息。
2011年,全球知名咨询公司麦肯锡的研究报告,引起了IT界的广泛关注。Google、IBM、EMC、Facebook等公司相继开展了大数据技术研究,并纷纷推出各自的大数据解决方案和相关产品,例如Google公司的MapReduce、GFS,Apache组织推出的Hadoop大数据分析框架等。 2012年,美国政府联合六大部门了高达2亿美元的“大数据研究和发展计划”,标志着美国政府在政策层面将大数据提升到国家战略层面,该计划共投入了155个项目种类,涉及国防、医疗、能源等多个领域。
我国也在不断提高对大数据的认识与应用,认为大数据在降低经济社会运行成本和提高政府决策效率方面具有广阔的应用空间,许多呼声要求尽快出台中国的大数据发展战略。能源、医疗、工业制造、金融、电信等行业率先投入了大量的人力物力进行大数据创新实践与应用,着力解决本领域数据资源积累与有效转换,辅助优化企业运营与效率提升。
2.2 大数据推动电网企业转型发展
近年来,随着互联网技术的不断突破,智能电网成为电网企业发展的重要方向,并多次出现在政府工作报告中。智能电网(Smart Grid)是以物理电网为基础,将现代先进的传感测量技术、通信技术、信息技术、计算机技术和控制技术与物理电网高度集成而形成的新型电网。智能电网能够优化整个电网企业的资源配置,实现电力的可靠、安全、经济、高效运行和安全使用,支撑新一代电网安全生产和管理发展。随着智能电网的加快部署与业务应用的深化拓展,电网业务数据不断丰富与扩增,结构化和非结构化的电力数据中心不断运行,形成了规模庞大且结构复杂的数据集合,这为智能电网优化配置、电力服务行业发展提供了宝贵的数据资源,对电网企业“以电力生产为中心”的工作模式,向“以用户为中心”的服务模式的转型发展起了极大的推动作用。
当前,国家电网企业大数据建设尚处于试点研究阶段,其主要涉及的领域与业务主要集中在电网企业的运检、营销、运监等各个环节,通过挖掘数据之间的关系与规律,提高电网企业在生产、经营、管理等方面的质量与效率。例如开展电网设备状态监测的大数据应用,实现电网设备状态的智能监测,实时分析电网线损、配电负载等数据,及时发现电网企业运行异常,为电网调度、交易和检修提供支撑,提高电网企业的资源合理优化。开展用电信息与客户服务的数据分析,实时反馈客户购电与用电信息,建立合理的分时阶梯电价模型,促进电力效能的整体优化。同时,电网企业数据还能够与其他互联网、交通、经济等社会数据相融合,为经济宏观发展、产业分布情况调查、公共事业管理提供有力支持。
3 电网企业大数据分析
3.1 电网企业大数据概念与特征
电网企业大数据旨在对电力生产与使用过程中产生的大规模数据进行分析与处理,实现大数据对电网企业效能的“增值”。电网企业的数据主要包括三类:一是电网企业的设备运行数据,主要包括电网设备监测数据、状态数据等;二是电网企业的管理数据,主要包括跨单位、跨部门的电网企业职工数据、财务数据等;三是电网企业的运营数据,主要包括客户信息、客户用电数据、电费数据等。电力信息化委员会进行了专项研究,并提出电网企业大数据具有3V、3E特征。
(1)数据体量大(Volume):电网企业数据体量超大,并随着智能电网的发展不断扩增。当前,中国电网企业已经采集了135TB的数据,并以每年90TB的数据在不断增长,规模十分庞大。
(2)数据类型多(Varity):随着智能电网的不断发展,电网企业大数据类型也在不断扩增,除了传统的结构化数据,以视频、音频、文本为主的非结构化数据也在迅速增长,这对现有的数据分析技术提出了新的挑战。
(3)数据速度快(Velocity):电力生产、传输、使用速度十分迅速,其产生的相关数据对“实时性”需求也十分紧迫,例如电力调度、运维数据必须进行实时处理,这直接关系到电网企业的公共服务质量。
(4)数据即能量(Energy):电网企业大数据的产生与应用,就是电力能量不断的释放过程,对电网企业大数据的分析、处理与优化,就是对基础能源与基础设施的优化改进。
(5)数据即交互(Exchange):电网企业大数据的生产与利用,实质上是与外部国民经济、社会成员不断的数据交互,其具有显著的交互特性。
(6)数据即共情(Empathy):电网企业作为基础服务行业,应不断改进电网企业工作模式,建立电网企业与用户的情感联系,增进两者共情。
3.2 电网企业大数据安全威胁分析
大数据在电网企业具有广阔的应用前景与市场需求,电网企业大数据势必会推动电网企业向着更为优质、高效的服务方向前进。同时,大数据时代的到来,对电网企业的安全带来了一些新的威胁与挑战,如何构建多层次的安全防护体系,是未来电网企业发展中必须面临的重要问题。
大数据时代下电网企业工作模式如图1所示:(1)电网企业物理设施采用分布式的物理部署方式,主要维持日常的电力生产、输电、变电、配电、用电等操作,并利用设备监控系统不断实时采集所需数据,传输至电网企业大数据中心。同时,企业应用平台所需的非设备数据也将不断采集与传输至电网企业大数据中心,为应用平台的运行提供数据支撑;(2)电网企业大数据中心提供云存储与云计算功能(也可将两者分离),为企业应用平台提供所需的数据与计算服务;(3)面向不同的应用(电力运维、电力分配、企业管理、市场分析等),企业应用平台进行相应的数据分析与处理,自动优化与管理电力物理设施,提高电网企业的运行效率。本文对电网企业存在的主要安全威胁进行了系统分析,主要包括三个方面内容。
(1)电网企业物理安全威胁。电网企业拥有大量的物理设备,包括变电站、输配电线路等物理设备,这些设备是电网企业的核心,其安全性必须得到高度重视。随着网络物理系统(CPS:Cyber Physical Systems)与大数据在电网企业的不断应用,越来越多的安全问题随之产生。监控与数据采集系统(SCADA)是承载电力物理实体与网络空间的连接纽带,往往成为物理攻击的重点突破方向。2010年,“震网”病毒武器通过网络对伊朗布什尔核电站发动攻击,导致伊朗浓缩铀工程约1/5的离心机报废,极大延迟了伊朗的核进程,并开启了世界各国对网络物理系统安全的重视与管控。
(2)电网企业平台安全威胁。电网企业的信息化程度越来越高,除了传统的电力调度管理信息系统(DMIS)、企业管理信息系统(MIS)、企业办公自动化系统(OAS)等信息平台之外,电网企业大数据平台将会成为未来电网企业的核心公共平台,它将对现有电网企业信息系统进行数据接入,通过统一的数据融合、分析挖掘、可视化等功能服务建设,实现对电网企业的优化配置。同时,以上电网企业平台连接于不同安全等级的网络中,在安全建设方面仍然存在一定的技术缺陷与安全隐患,随着病毒、木马、DDOS攻击、APT攻击等先进网络攻击手段的技术提升,电网企业平台安全成为未来电力系统能够高效、稳定运行的关键。
(3)电网企业数据安全威胁。电网企业大数据中心的建设旨在将电网企业数据进行集中汇总,实现数据采集、存储、分析与应用等服务。同时,大数据自身存在的安全威胁不可避免的影响未来电网企业的安全建设与应用,主要包括电网企业大数据云存储环境安全、电网企业大数据用户隐私安全、电网企业大数据可控共享安全等众多问题,这对未来电网企业大数据的建设应用提出了较高的需求。
4 电网企业纵深防护策略
针对大数据时代下电网企业的安全威胁,根据常见的网络攻击及电网企业信息化建设情况,本文从电网企业的物理环境安全防护、终端安全防护、边界安全防护、网络安全防护、应用平台安全防护、数据安全防护等技术层面提出如图2所示的纵深防护策略,形成具有层次特性的电网企业安全防护体系,提高大数据时代下的电网企业安全。与此同时,在管理层面开展相关的保障措施以保证防护工作的顺利开展。
4.1 物理环境安全防护
电网企业物理环境根据设备部署安装位置的不同,选择相应的防护措施。大数据时代下的电网企业物理环境安全防护策略具体所述。
(1)室内物理环境要按照国家电网公司信息化工程的安全防护总体方案,并按照等级保护对应安全等级的物理安全要求进行防护,确保电网企业室内物理设备安全。
(2)室外物理设备如采集器、集中器、表计、信息采集类终端等,其主体需安装于室外设备机柜/机箱中,其安全防护要求应遵循国家相关工业安全标准。同时,室外物理设备还需满足国家对于电气、环境、噪音、电磁、防腐蚀、防火、防雷、电源等要求。
4.2 终端安全防护
电网企业拥有配电网子站、信息内外网办公计算机、移动作业类设备等多种类型终端,对于不同终端,需要根据具体终端的类型、应用环境以及通信方式等选择适宜的防护措施,具体的终端安全防护策略如下所述。
(1)配电网子站终端需要配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施,以防范冒充主站对子站终端进行攻击,恶意操作电气设备。
(2)信息内外网办公计算机终端需按照国家信息安全等级保护的要求实行分类分级管理,根据确定的等级实施必要的安全防护措施。例如,内网终端关闭FTP、Telnet等具有安全风险的服务,统一安装杀毒软件,定时更新病毒库与漏洞补丁,有效防范木马、蠕虫等恶意程序入侵。
(3)移动作业类终端严格执行公司办公终端严禁“内外网机混用”原则,移动终端接入内网需采用软硬件相结合的加密方式接入,确保移动终端的接入安全。
4.3 边界安全防护
电网企业网络具有分层分区的特点,例如用于电力生产的电网生产控制大区,用于企业管理的管理信息大区等,在不同区的网络边界需要加强安全防护,使边界的内部不受来自外部的攻击,具体的防护策略涉及几个方面。
(1)在电网生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。对于重点防护的调度中心、发电厂、变电站,在生产控制大区与广域网的纵向连接处,应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。
(2)在管理信息大区内部,审核不同业务网络密级与安全等级,在网络边界进行相应的隔离保护。按照业务网络的安全等级、用途以及实时性需求等评价指标,对关键核心业务网络与其他网络进行安全隔离,实现内部网与外部网的资源访问限制。其中,可以采用的安全隔离技术包括三类:(a)物理隔离技术,在物理上将内部网与外部网分离,阻断内外网之间的连接;(b)协议隔离技术,在内外网的连接端点处,配置协议隔离器实现内外网的连通与阻断;(4)防火墙隔离技术,在内外网之间设置防火墙,利用防火墙配置实现数据流的检测、限制与阻断,实现内外网之间的逻辑隔离。
4.4 网络安全防护
网络是连接电网企业物理设备、应用平台与数据的基础环境,是整个电网企业正常运转的重要保障。当前电网企业主要采用专用网络和公共网络相结合的网络结构,其中专用网络用以支撑电网企业的设备管理、调度管理、生产管理、资源管理等核心业务,并且不同业务的基础网络享有不同密级与安全等级,需要采取不同的防护策略。大数据时代下,电网企业的业务网络将会不断拓展,安全风险不断增加,具体的防护策略如下所述。
(1)对网络设备、网络基础服务、网络业务信息流等基础网络环境加强安全防护,采用访问控制、安全加固、监控审计、身份鉴别、入侵检测、资源控制等措施进行网络环境安全防护。
(2)针对信息资源的安全交换需求,构建电网企业的业务虚拟专网(VPN)。在电网企业网络中,有些重要数据与信息需要安全通信,考虑成本因素,建议在已有基础网络中建立安全通信机制,此时应采用VPN技术。VPN采用隧道、信息加密、用户认证、访问控制等相关技术,建立数据加密的虚拟网络隧道进行信息传输,能够有效防止敏感数据的窃取。
(3)采用先进的网络防护技术,增强网络的安全性与弹性。网络弹性是指网络在遇到灾难事件时快速恢复和继续运行的能力,建立电网企业基础网络的一体化感知、检测、响应和恢复机制,采取硬件冗余、网络叠加、虚拟化等方法提高企业网络弹性。
4.5 应用平台安全防护
电网企业应用平台安全直接关系到各业务应用的稳定运行,对电网企业应用平台进行安全防护,可以有效避免电力业务的阻断、扰乱、欺骗等破坏行为。为此,本文提出几种防护策略。
(1)加强应用平台的安全测评,确保应用平台的安全可靠。在应用平台投入使用前,应依赖第三方开展测评,对应用系统进行全面、系统的安全风险评估,并制定相应的安全保障措施,确保应用平台的安全可靠。
(2)加强应用平台的访问权限与访问控制。可以选择采用下列访问控制技术:基于动态和控制中心的访问控制、基于属性的访问控制、基于域的访问控制、基于角色的访问控制等。
(3)记录应用平台操作日志,便于调查取证与追踪溯源。可以对用户的访问记录、操作记录等信息进行归档存储,防范内部人员进行异常操作,为安全事件分析提供取证与溯源数据。
4.6 数据安全防护
大数据时代下电网企业,是以数据为中心进行电力的生产、传输与应用,因此,数据是电网企业的核心资源,需要受到高度重视。目前,大数据的应用尚不成熟,相关技术产品也存在很多安全问题,尤其是大数据的隐私保护、数据存储安全、数据访问安全、数据追踪溯源等问题,仍然制约与困扰着大数据的发展。本文提出如下安全策略,用以提升电网企业大数据的安全应用。
(1)加强电网企业数据的隐私安全,提高电网企业的可信度。电网企业拥有近乎国家人口规模的用户数据,这些数据不仅包含个人的隐私信息,而且还包括个人、家庭的电力消费行为信息,如果数据不妥善处理,会对用户造成极大的危害。为了保护电网企业数据的隐私安全,此处可采用的措施包括:(a)数据分享、分析、时进行匿名保护;(b)隐私数据存储加密保护。
(2)强化数据存储安全,提高大数据的应用安全。大数据一般在云端存储,主要采用分布式文件系统技术。为了提高电网企业大数据的安全性,在对云存储环境进行安全防护的前提下,还需要对电网关键数据与核心数据进行冗余备份,提高电网企业大数据存储的安全性能。
(3)严格控制数据访问权限,有效抵制外部恶意行为。针对电网企业大数据的应用现状,对大数据用户进行分类与角色划分,明确各角色的数据访问权限,规范各级用户的访问行为,确保不同等级密级数据的读、写操作,有效管理云存储环境下的电网企业大数据安全。
4.7 大数据安全技术
应该大力发展基于大数据信息安全技术的研究,提升企业网络与信息安全水平。在网络安全防范方面,内部威胁大于外部威胁,应积极研究网络内部人员威胁探测技术、异常检查技术以及运用图形分析和认知主动发现威胁技术等;另外针对那些使用过程中保持加密状态的数据,开发加密数据编程计算技术,使加密数据状态的数据仍然能使用在云环境中,客服大数据云计算环境中的信息安全问题;开发数据管理架构和处理工具,包括用于自动识别重大异常事件的大数据云存储与分析技术,提供电网持续监控系统的安全性,任务数据的可用性与可靠性性,减少对审计日志的时间和资源消耗,实现多种分析方法,提供日志脚本的实现、开发与支持;针对外部威胁,定义恶意软件和定向攻击等漏洞,创建通过分析Web、防火墙等其它硬件设备日志来应对恶意软件和网络漏洞威胁的分析方法等技术。
4.8 管理层面
在以数据为中心的新型电力系统构建与应用过程中,应首先从电力大数据政策法规层面建立相应的安全防护策略,规范电力企业的总体安全防护能力,约束与管理整个行业的安全操作行为,确保物理安全与管理安全。
(1)着眼统一认识,明确安全防护遵循原则,制定相应管理规定。为确保电力企业的安全管理,应从战略的角度开展行业整体安全理论研究,从安全认识、建设原则、工作思路等多个方面进行专项研究,制定整个行业的安全管理规定,宏观指导大数据时代下各电力企业的建设、管理与工作。
(2)制定行业标准,指导与规范电力系统安全管理。从技术的角度出发,制定电力行业信息安全系列标准,对不同的应用与系统进行分类,并设置不同的安全等级与防护措施,指导电力系统安全建设与管理。
(3)聚焦关键设施,建设专职安全防护力量,确保电力系统稳定运行。为了有效防护电力系统安全,应对电力系统关键基础设施进行隔离保护,设置安全管理机构,建立专职的安全运维与防护力量,保证电力系统的稳定运行。
(4)加强岗位培训,提高电力员工信息安全防护能力。严格执行电力企业员工岗位培训制度,分别对管理层、技术层和职工层进行针对性的安全教育与培训,对关键岗位人员、专业防护人员进行信息安全知识和安全法规教育,并定期进行安全检查与考核。
5 结束语
大数据在推动电网企业不断向前发展的同时,也为电网企业的转型发展与应用创新带来了新的威胁与安全隐患。本文对电网企业面临的安全威胁进行了系统分析,从电网企业的物理环境安全防护、终端安全防护、边界安全防护、网络安全防护、应用平台安全防护、数据安全防护等技术层面,提出了相应的安全防护策略。本文的研究能够为未来电网企业大数据的安全建设与应用提供有效的指导,相应的防护策略与方法有待在进一步探索与实践中不断优化与改进。
参考文献
[1] James Manyika,MichaelChui,BradBrown,etc. Big data:The next frontier for innovation, competition, and productivity[R]. USA:McKinsey Global Institute,2011.
[2] 中国电机工程学会电力信息化委员会.中国电力大数据发展白皮书[R].中国电力出版社,2013.
[3] 张培,杨华飞,许元斌.电力大数据及其在电网公司的应用[J].中国电机工程学报,2014(z1):85-92.
[4] 高新华,王文,马晓.电力信息网络安全隔离设备的研究[J].电网技术,2003,27(9)69-72.
[5] 王保义,王蓝婧电力信息系统中基于属性的访问控制模型的设计[J].电力系统自动化,2007,31(7):81-84.
[6] Celia Li,Cungang Yang,Todd Mander,Richard Cheung.Advanced Security Model for Power System Computer Networks[C].Power Engineering Society General Meeting,2005,1115-1122.
作者简介:
蒋明(1979-),男,安徽淮北人,华北电力大学计算机科学与技术专业,工学学士,现任国网安徽省电力公司信通公司信息通信运检中心副主任,高级工程师;主要工作业绩: 负责电力信息化运行和管理工作,多次获得安徽省电力公司科技进步奖和群众性创新奖。
网络安全管理技术
目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。
网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。
防火墙技术
互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。
防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。
将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。
入侵检测技术
入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。
企业网络安全管理系统架构设计
1系统设计目标
该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。
2系统原理框图
该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。
2.1系统总体架构
网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。
网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。
网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。
2.2系统网络安全管理中心组件功能
系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。
系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。
3系统架构特点
3.1统一管理,分布部署该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。
3.2模块化开发方式本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。
3.3分布式多级应用对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。
关键词:企业网络构架;安全策略;攻击
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)27-7657-03
The Discussion of Enterprises Network Architecture and Security
MA Wan-tao
(Yinchuan evening newpaper office of NingXia, Yinchuan 750004, China)
Abstract: The thesis first discussed an enterprise wireless local area network structure of security architecture form the current enterprises network architecture and analysed the corresponding protocals.And then the thesis detailed analysed the modern enterprises popular net attacks.At last,the thesis gave the corresponding security stategies according to the analysis of the results of security attacks.
Key words: enterprises network architecture; security stategy; attack
随着世界信息高新技术的快速发展,计算机网络在全球各地的企业里得到了广泛的应用。企业在充分的享受到利用网络方便快捷的找到信息的同时,也承受着网络带来的安全风险问题。因此,对于深入探讨企业网络如何构架从而提高企业网络的安全性能等问题具有重要的现实意义。
1 企业网络构架的趋势
由于下一代互联网的发展趋势是移动互联网,很多城市正在考虑部署全城范围的宽带无线接入工程,实现“无线城市”的规划,因此,本文所探讨的是企业无线局域网络的框架趋势。信息安全实践表明安全不是一个单纯的技术问题,而是一个复杂的系统工程问题。人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也由最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展到“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实现技术。基于这一理论,企业无线局域网络应具有具有移动安全基础设施特色、以安全管理为中心的安全体系结构,其构架如图1所示。
该框架结构主要有三个技术层次,第一层是移动终端安全平台,该层实现移动终端漏洞的自动修复和安全引擎自动加载技术,实现安全防御技术的集成,如终端防火墙、防恶意代码、终端HIDS(Host-based Intrusion Detection System,即基于主机型入侵检测系统)等技术的有机集成。达到综合安全防御的目标,实现移动终端设各的加固和通用商业移动终端的专用化,体现“防”的思想。第二层是集成化的无线局域网接入管理平台,通过对安全网关、安全引擎、安全管理、无线局域网安全中间件等有机集成,体现“测、控、管”的思想。其中安全网关提供无线局域网接入管理平台与无线局域网安全管理平台之间安全通信的专用保密通道;安全管理组件实现终端软件漏洞、病毒库、审计与无线定位等管理,同时对遭受网络攻击而瘫痪节点的隔离与修复性管理;实现“测与控”的结合;无线安全中间件足为不同类型的终端提供统一的安全接口,解决移动设备的异构性问题。第三层是无线局域网安全管理层,通过无线局域网危害评佶系统和基础数据库,实现无线局域网安全管理的自动化,体现安全中以“评”促“管”的思想。
该框架结构在移动设备、通信链路、安全等级、软件体系和安全基础数据等方面体现无线局域网安全基础设施的思想。通过不断加强安全基础数据库建设,提高无线局域网遭受攻击时系统的安全性、有效性和实用性。为了实现无线局域网安全框架,必须要有相应的协议。图2给出了无线局域网安全框架下的不同组件的协议结构图。从图中可以看出,选择支持“推”结构的移动终端,在进行安全接入时,当通过MAC层的安全认证后,自动将安全引擎加载到移动终端之中,为高安全需求的通信提供安全保障。同时该结构也为移动终端的选型和安全防护技术的升级提供了很好的扩展性,实现了应用与设备分离,符合瘦客户终端的发展需求。为移动运营商提供增值业务提供了较好的适应性。在安全接入级,考虑不同移动终端设备的MAC层安全机制不同,采用中间件可以屏蔽其不同,提供不同移动设备的统一安全接口,配合安全引擎的高级安全认证体制,实现多种安全认证技术的强认证体系。WlDS组件是为了实现无线IDS、终端防火墙、终端防病毒等相结合的主动安全防护技术,通过智能性的关联分析器,抽取出攻击特征,报告给安全管理组件,这体现了入侵防御系统(IPS)的技术思想。安全管理组件是集成不同的无线局域网安全管理而设计,涉及漏洞管理、病毒管理、恶意代码管理、系统审计、无线定位、统一的安全策略管理和攻击管理(隔离与恢复)等。安全网关是为了防止移动终端直接与无线局域网安全管理平台通信而设计的安全隔离技术,通过采用不同的安全算法和安全强度,实现技术隔离效果,如移动终端与安全接入平台间采用192比特的ECDSA算法,而安全接入平台与安全管理平台可以采用224比特的ECDSA算法。将基础数据库放置到后端,可以为不同区域的移动用户提供数据共享,这有助于实现一点采样,多点联动的协同安全防御技术。
2 流行的网络攻击分析
企业流行的网络攻击主要分为外部网络攻击和内部局域网的攻击两个方面。
在外网攻击方面:出于业务的需要,企业的网络与Internet及其他业务单位网络相连接。这种物理网络上互联互通给数据的互联互通带来了事实上的可能性。但是如果Internet与外单位网络可以与企业的网络随意进行互访,容易导致本系统内部机密泄漏等安全威胁;其次,各系统的互联互通会使得跨系统的攻击和病毒传播成为可能,带来极大的安全隐患。企业的网络中的服务器及个人主机上都有信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外部网络的一些不怀好意的入侵者的攻击。
目前最为流行的攻击有以下几种:
① 入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
② 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
③ 恶意攻击。入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
④ 发送大量包含恶意代码或病毒程序的邮件。在内部局域网的攻击方面:在已有的网络安全攻击事件中实际上约70%是来自内部网络的攻击。来自机构内部局域网的攻击主要包括以下几种:
① 误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏,还是没有访问关键系统权限的员工因误操作而进入关键系统,由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。
② 如果工作人员发送、接收和查看攻击性材料,可能会形成敌意的工作环境,从而增大内耗。
③ 内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令。
④ 内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人信息传播出去。
3 当前的安全策略
企业网络除了要有安全的网络构架还需要全面的安全策略才能保证其总体信息安全运行。基于以上对网络攻击的具体分析,企业全面的安全策略应包括以下几个方面。
① 安全管理策略。安全管理贯穿在安全的各个层次实施。从管理角度来看,需制订了整个企业的安全管理策略;从技术管理角度来看,实现安全的配置和管理;从人员管理角度来看,实现统一的用户角色划分策略,制定一系列的管理规范;从资源管理角度来看,实现资源的统一配置和管理。
② 访问控制策略。访问控制的目的是控制信息的访问。访问控制是对用户进行文件和数据权限的限制,主要防范用户的越权访问。访问控制策略应按照业务及安全要求控制信息及业务程序的访问,网络访问控制用于控制内部及外部联网服务的访问,以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全。不安全地连接到网络服务会影响整个机构的安全,所以,只能让用户直接访问己明确授权使用的服务。这种安全控制对连接敏感或重要业务的网络,或连接到在高风险地方(例如不在安全管理及控制范围的公用或外部地方)的用户尤其重要。
③ 网络安全监控与入侵检测策略。网络安全监控可以测试企业所实施的安全控制是否有效。同时,安全监控是检测系统及网络是否有可疑或不正常的通讯的有效办法。这个步骤用于检测网络的潜在漏洞或非授权行为,同时,它可以提醒管理人员网络现有的安全隐患及应采取什么样的防护措施。一旦企业系统发生安全事故,管理人员应依据监控系统所提供的警示,采取必要的步骤,在最短的时间恢复系统,以减少企业的损失。入侵监控是对入侵行为的检测和控制。入侵检测作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,它可在网络系统受到危害之前拦截和响应入侵。通过在企业网络的关键环节放置入侵检测产品,它监视计算机网络或计算机系统的运行,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,一旦发现攻击能够发出报警并采取相应的措施,如阻断、跟踪和反击等。同时,记录受到攻击的过程,为网络或系统的恢复和追查攻击的来源提供基本数据。并把这些信息集中报告给数据中心的集中管理控制台。
④ 漏洞扫描与风险评估策略。从信息安全的角度看,漏洞扫描是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象,然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,从而为提高网络安全整体水平产生重要依据。在网络安全建设中,漏洞扫描工具具有花费低、效果好、见效快、与网络的运行相对对立、安装运行简单等特点。在功能上,安全扫描工具可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定。
⑤ 计算机病毒防治策略。由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。由于网络系统中使用的操作系统大多为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。必须从预防病毒、检测病毒和杀毒考虑网络的网络安全。
⑥ 备份与恢复策略。主要设备、软件、数据、电源等都应有备份,并有技术措施和组织措施能够在较短时间内恢复系统运行。如果日常工作对系统的依赖性特别强,则建立远程的应急处理和灾难恢复中心。企业考虑的备份主要包括数据备份、服务器备份、线路备份等几个方面。
4 结束语
企业信息化是利用计算机技术的手段将先进的企业管理思想融入企业的经营管理中,在这个过程中将最终实现对财务、物流、业务流程、成本核算、客户关系管理及供应链管理等各个环节的科学管理。企业网络安全构架不单是单点的安全,而是整个系统的安全,需要从物理、链路、网络、系统、应用和管理方面进行立体的防护。随着信息化得普及,企业网络构架及安全的探讨意义将更为深远。
参考文献:
[1] 杨家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社,2000.
[2] 张仁斌,谭三,易勇,蒋毅.网络安全技术[M].北京:清华大学出版社,2004.
[3] 吴振强,马建峰.基于管理的移动互联网络安全体系结构[J].计算机科学,2006,33(7):314-317.
【关键词】 供电 网络终端 计算机 信息安全
1 信息网络安全面临形势
所谓信息安全是一个广泛而抽象的概念,建立在网络基础之上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。
在电力企业,信息安全主要强调的是消减并控制风险,保持电力生产经营业务操作的连续性,并将风险造成的损失和影响降低到最低程度。
供电企业信息化的快速发展特别SG-ERP系统的实施,为工作带来便利的同时也带来了极大的安全风险,统一坚强智能电网的建设和“三集五大”体系的建设对信息安全提出了更高的要求。
2 信息网络桌面终端存在的安全隐患和风险分析
供电企业经过多年的信息安全建设,已建成了“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体架构,网络隔离及网络横纵向边界的信息安全防护措施已日趋完善。由于网络用户人员数量庞大、情况复杂、分布广泛等问题的存在,信息安全的防护重点逐渐从网络层面向终端用户计算机层面转移。
涉及信息网络终端计算机的常见威胁、隐患和风险主要包括:恶意访问、信息泄露、破坏信息的完整性、非法使用、窃听、业务流分析、内部攻击、特洛伊木马、陷阱门、抵赖、电脑病毒、业务欺骗等。
上述风险对于供电企业信息安全产生巨大威胁,任何一台网络终端计算机出现信息风险漏洞,将直接波及到整个网络的信息安全,已经采取的网络边界、数据审计等防护措施将形同虚设,黑客或恶意破坏者就能轻而易举绕过所有安全防护、长驱直入、大肆破坏,对供电企业内部应用系统安全、网络安全、数据安全和生产经营业务造成不可估量的损失。
3 网络桌面终端信息安全防范措施
3.1 信息安全防范重在管理
由于网络终端计算机分布的复杂性可知,在当前的新形势下,信息安全并不仅仅是信息专业管理部门和运行维护单位要面对的问题,因此,全面加强信息安全管理是确保信息安全的首要解决措施。
(1)建章立制,规范信息安全全过程管理。针对信息网络和终端安全风险,针对性地制定《信息安全管理规定》等规章制度,固化信息安全管理工作流程,建立网络终端接入-调整-拆除-报废的全过程控制体系,遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,将信息安全责任和压力层层下放,可以有效促进信息安全标准要求的贯彻落实。
(2)强化信息网络运行维护。采取对信息内外网终端计算机的人工抽检和技术巡检方式,定期开展对网络的全面核查,以及时发现安全隐患。高密度检查路由器、交换机等信息网络设备和防火墙、IPS等安全设备的策略配置,确保与业务需求相匹配。
(3)开展信息安全风险评估。作为信息安全保障基础性工作,针对信息系统的潜在威胁、薄弱环节、等级化防护措施、信息内外网隔离措施等进行综合评估分析,有效指导各单位系统地开展信息安全防护体系建设和安全整改加固工作。
(4)严防网络终端计算机违规外联。违规外联是指信息网络及终端计算机设备违反相关规定连接了包括互联网在内的其他网络。具体措施包括:计算机不得使用双网卡、严禁“一机双网”、内网计算机严禁外借、内部计算机统一外修出口、内部网络严禁私设路由器、严禁使用无线上网卡、手机、无线路由器等方式私自接入互联网、严禁任何单位和个人私设任何形式的互联网出口、严禁外来人员使用内部计算机等。
(5)加强宣传培训,将信息安全要求传达到每位终端用户。信息安全并不仅是信息专业部门要面对的问题,如果大家不严格遵守相关的信息安全要求,信息安全事件就可能发生在每个人身上。考虑到网络用户的参培时间不可控的因素,可以采取分层级、多批次培训的方式,将信息安全知识和相关要求层层传达到每位用户。
3.2 充分利用信息安全技术手段
(1)部署桌面终端安全管理软件。桌面终端管理系统是确保桌面终端计算机安全的最有效的技术手段之一,基本功能应包括:内网计算机资产管理、运维管理、非法外联监控、注册基本管理、安全管理、安全监控强审计、网络接入控制、补丁管理、文件分发管理等。通过桌面终端管理系统的部署,可以全面掌控网络终端计算机的安全运行状况,有效提升信息安全管理效率。
(2)实行网络安全准入。综合采用设备监控、隔离检查、网络协议检测等多种技术,通过入网安全审核、账号弱口令检测、桌面管理系统客户端和防病毒软件安装更新检查等,及时保证终端达到安全入网要求。
(3)架设网络版杀毒软件和补丁更新。为了确保杀毒软件安装率100%,确保病毒库和操作系统补丁随时更新,在网络内部架设网络版杀毒软件和补丁更新服务器,以服务器-客户端的方式主动推送病毒库和操作系统、应用系统补丁,及时封堵终端计算机安全漏洞。
(4)利用安全移动存储介质交换数据。应用实施范围界定为接入信息网络的所有计算机设备,在终端计算机上安装安全移动介质系统客户端,通过服务器端平台进行安全策略配置,使终端计算机上的移动介质使用符合相关安全要求,最大程度地封堵通过移动介质非法外传或导入信息的漏洞。
(5)加强网络边界处防火墙、IPS、上网行为审计等系统防护。一方面防范外部网络对于信息内网的安全攻击和恶意入侵,另一方面可以全面核查内网计算机的上网行为,对于敏感信息、发送敏感邮件等违规行为予以自动阻断。
4 结语
随着信息技术的飞速发展,影响网络安全的各种因素也会不断变化,网络安全不仅仅是技术问题,同时也是一个安全管理问题,是一个动态发展变化的过程,不是一劳永逸的,也不可能一蹴而就,这就要求每位终端计算机设备使用人员要在日常工作中时刻牢记信息安全,杜绝安全隐患,严格遵守信息安全规定,共同维护信息网络和终端计算机的安全稳定运行。
参考文献:
[1]邵波,王其和.计算机网络安全技术及应用[M].北京:电子工业出版社,2005.
[关键词] 网络安全 关键技术 铁路网 网络管理 防护体系
一、引言
铁路系统的计算机应用和信息化建设已具规模,TMIS、客票、调度、集装箱和物资等管理信息系统相继建成并已投入使用。在铁道部、铁路局、基层站段三级网络的支撑下,以TMIS和电子政务应用为核心的各项计算机应用系统已在铁路运输生产中发挥着越来越重要的作用。对于现代营销、现代物流和电子商务等应用系统,仅具有连通功能的网络是无法满足其要求的,针对大型企业网络安全方面存在的漏洞和隐患,利用简单的技术防范措施已无法解决。必须调整网络结构,克服平面网络结构先天性的抵御攻击能力差、控制乏力的弱点,并采用先进的技术、加强基础设施和有效的网络管理,形成保证网络和信息安全的纵深立体防御体系。
二、建立计算机网络安全体系
对于网络而言,没有绝对保证的信息安全,只有根据网络自身特点,合理运用网络安全技术,建立适应性的安全运行机制,才能从技术上最大限度地保证信息安全。
1.网络安全关键技术
由防火墙(Firewall)、PKI(Public Key Infrastructure)公钥安全体系、虚拟局域网(VLAN)和物理隔离与信息交换系统等构成了网络安全的关键技术。
2.创建铁路网络立体安全防护体系
网络安全防护体系是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、网络反病毒等多个安全组件共同组成的,每个组件只能完成其中部分功能。
(1)路由器。路由器是架构网络的第一层设备,也是网络入侵者的首要攻击目标,因此路由器必须安装必要的过滤规则,滤掉被屏蔽的IP地址和服务。例如,我们首先屏蔽所有的IP地址,然后有选择的放行一些地址进入我们的网络。路由器也可以过滤服务协议,允许需要的协议通过,而屏蔽其他有安全隐患的协议。
(2)入侵监测系统IDS。入侵监测系统是被动的,它监测你的网络上所有的包(packets)。其目的就是捕捉危险或有恶意的动作,并及时发出警告信息。它是按用户指定的规则运行的,它的功能和防火墙有很大的区别,它是对端口进行监测、扫描等。入侵检测系统是立体安全防御体系中日益被普遍采用的成分,它能识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息,帮助系统移植。
(3)防火墙。防火强可防止“黑客”进入网络的防御体系,可以限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。同时可利用其产品的安全机制建立VPN(Virtual Private Networks)。通过VPN,能够更安全地从异地联入内部网络。
(4)物理隔离与信息交换系统(网闸)。铁路内部网是铁路运输系统的指挥中枢,调度指令必须实时、准确下达。内部网调度服务的实时可用性成为铁路信息系统最为核心的安全需求。因此不能因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性。物理隔离与信息交换系统是运用物理隔离网络安全技术设计的安全隔离系统,它保证内部网络与不可信网络物理隔断,能够阻止各种已知和未知的网络层和操作系统层攻击,提供比防火墙、入侵检测等技术更好的安全性能,既保证了物理的隔离,又实现了在线实时访问不可信网络所必需的数据交换。
(5)交换机。目前局域网大多采用以交换机为中心、路由器为边界的网络格局。核心交换机最关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。还有一项非常关键的工作就是划分VLAN。
(6)应用系统的认证和授权支持。建立应用系统提升安全性的支撑平台,实现应用系统保护的功能包括以下几个方面:
①应用系统网络访问漏洞控制。应用系统软件要求按安全软件标准开发,在输入级、对话路径级和事务处理三级做到无漏洞;集成的系统要具有良好的恢复能力,这样才能保证内部生产网中的系统避免因受攻击而导致的瘫痪、数据破坏或丢失。
②数字签名与认证。应用系统须利用CA提供的数字证书进行应用级的身份认证,对文件和数据进行数字签名和认证,保证文件和数据的完整性以及防止源发送者抵赖。
③数据加密。对重要的数据进行加密存储。
(7)操作系统的安全。保证操作系统的安全包括以下内容:
①操作系统的裁剪。不安装或删除不必要使用的系统组件。
②操作系统服务裁剪。关闭所有不使用的服务和端口,并清除不使用的磁盘文件。
③操作系统漏洞控制。在内部网中建立操作系统漏洞管理服务器,我们在内部网中安装了微软WSUS Server及第三方安全管理软件(BES),对网络内所有联网主机的操作系统进行监控,一旦发现存在系统漏洞或者安全隐患,立即强制其安装相应的系统补丁或者组件。
(8)病毒防护。网络病毒网关与网络版的查杀病毒软件(McAfee EPO + Clients)相结合,构成了较为完整的病毒防护体系,能有效地控制病毒的传播,保证网络的安全稳定。
三、计算机网络安全管理
有效的技术手段只是网络安全的基础工作,但仅靠网络安全技术是绝对无法确保信息安全的。严格的计算机网络安全管理制度,才能充分发挥网络安全技术的效能,才能使网络信息更加安全可靠。
四、结束语
目前计算机网络已经深入到铁路运输生产管理、客户服务、物流和客货运营销等各个领域。不解决安全问题,可能造成巨大的经济损失。创建铁路计算机网络安全防护体系,将是铁路信息化建设的有力保障。但建立计算机信息安全体系是一个复杂而又庞大的系统工程,涉及的问题也比较多。只有继续对计算机网络安全体系进行深入的研究和探讨,才能更好的实现网络安全,保证中国铁路信息化建设的正常进行。
参考文献:
[1]邱雪松:网络管理体系结构.北京邮电大学,1999.7
[2]蒋苹:计算机信息系统安全体系设计.计算机工程与科学,2003,01
