时间:2023-09-14 17:43:39
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全保障服务,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1网络安全概述及发展现状分析
随着社会经济的不断发展,网络信息技术也在不断更新完善,这就要求网络安全工作也必须不断做出改革和创新。信息安全及系统安全是构成网络安全管理工作的两大核心内容,其中前者主要指的是对数据在传输和处理过程中的安全保护,尤其是对一些保密性较强的数据进行保护,避免数据被非法盗用,出现修改的状况,并最大限度的维护数据的可用性,使其能够在突发意外的情况下也可以正常应用于各项工作,不影响网络数据信息的使用效果,提高数据信息的安全性;而后者则主要指的是从硬件设施和软件装备来提高系统的可靠程度,涉及各个网络运行元件的安全。就我国当前网络安全管理工作的现状来看,我国已经颁布了一系列的政策措施并投入了一定的资金,在网络安全保障工作方面取得了一定的成效,构建了网络信息管理安全体系,但仍存在一些问题。恶意篡改、非法侵入数据信息库、病毒感染、网络黑客等违法行为,对网络信息系统安全造成了极大的危害,不利于信息可用性和真实性的保护,是当前信息安全保障工作的重中之重。
2增强信息安全保障体系的措施
2.1落实网络信息安全基础保障工作
由于网络环境的虚拟化、信息传输超高速化和区域无界化,网络信息安全保障工作具有一定的特殊性,其本质可以看作是实时性的安全预防、管理和应对。因此,不仅需要对国家现有的网络平台进行巩固,确保基本的信息管理设备和装置的合理应用和正常运行,还需要研制重点网络安全问题的应对机制。同时为了更好地开展信息安全保障工作,应加大网络安全的宣传力度,通过不同的途径和渠道让广大民众认识到信息安全保障工作的重要性和必要性,树立正确的网络安全意识,从而更好的遵守网络行为规范。还要打造一支网络安全意识强、安全管理能力高的专业化团队,为增强网络信息安全管理提供坚实的保障。除此之外,职能部门也应制定相应的安全管理计划方案,通过法律制度和标准,为信息安全管理工作的开展提供更好的政策依据。
2.2政府要加大对信息安全体系的构建力度
根据我国网络安全的重点问题,政府职能部门必须加强对信息安全的管控。可以采取试验试点的方式,对多种安全防治措施和方案进行探索和研究。在研发过程中可以从用户身份识别、信息来源追踪及用户对所接受消息的检测三个角度进行分析。譬如研发一套规范的数字证书验证体系,对网络用户的身份进行实名制认证,实现对用户信息和权限的系统化管理。这样,一旦发现问题,便可以立即采取有效的措施进行解决,从而创建一个安全的网络服务平台。
2.3构建健全的网络信息安全保障体系
在网络信息安全保障体系的构建过程中,除了做好基础保障工作,还应该不断地提高网络管理者的专业技能,完善网络体系的硬件和软件,让体系内的各个组成部分都拥有自身安全管理的机制。同时应明确网络环境中信息保护的根本目的,围绕信息安全的各个方面开展工作,提高和改善网络信息安全系统的监测能力、恢复能力、防御能力、反击能力、预警能力及应急能力。只有具备了以上六项能力才能做到运筹帷幄,对网络安全进行全面监控,对入侵行为进行有效的反击,对突发问题做出快速反应和及时处理,对数据信息进行合理的备份存储,使网络安全管理效率得到最大程度的提升。此外,还应制定一套系统自检测方案,对系统的安全性进行定时检测,对其中存在的漏洞问题进行处理,完成网络设备的自主检测和检测结果分析汇报。
3结语
进入21世纪,网络技术的高速发展,使物理世界中涉及政治、军事、经济、文化、外交、安全关系和利益的全球化、多级化的复杂的世界格局,已经全面映射到开放的互联网体系中,由此形成了一个社会、技术一体化的复杂巨系统。近年来,我国信息产业持续快速发展,信息产业在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。网络已彻底改变人类的沟通方式。电话使人类的沟通不受时空限制,但主要是点对点的线状沟通,而网络形成了网状沟通,而且成本大幅降低。我国互联网和信息化工作取得了显著发展成就,网络走人千家万户,网民数量世界第一,我国已成为网络大国。截至2014年6月底,我国网民规模已达6.32亿,手机网民达5.27亿。我国虽是一个网络大国,但不是一个网络强国。网络已彻底改变舆论形成机制,自媒体彻底打破信息垄断,言论自由成为现实,统一舆论被瓦解,公众的知情权、参与权、表达权、监督权得到强化。
随着信息安全形势的日益严峻,国家对信息安全产业的重视程度日益提高。2000年召开的十五届五中全会将“强化信息网络的安全保障体系”作为信息基础设施建设的一部分。2003年的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)(下文简称27号文)对信息安全保障工作进行了全面部署,并提出“推进信息安全产业发展”。
2004年召开的十六届四中全会已经把信息安全与政治安全、经济安全和文化安全提到同高度。2006年的《2006-2020年国家信息化发展战略》其中将建设国家信息安全保障体系作为战略重点,并明确“促进我国信息安全技术和产业自主发展”。
2011年的《进一步鼓励软件产业和集成电路产业发展的若干政策》(国发[2011]4号)明确提出“完善网络环境下消费者隐私及企业秘密保护制度逐步在各级政府机关和事业单位推广符合安全要求的产品”。
美国组建了网络安全司令部,美国将网络空间安全由“政策”、“计划”提升为国家战略,1998年5月,当时的克林顿政府了第63号总统令(PDD63):《克林顿政府对关键基础设施保护的政策》,成为直至现在美国政府网络空间安全的指导性文档,2011年5月16日,美国白宫网络安全协调员施密特美国首份《网络国际战略》,2012年10月16日,签署了《美国网络行动政策》(PDD21),包括三类行动,网络搜集、网络防御、网络进攻,奥巴马提出到2016年整编成133支网络部队,最近北约网络空间安全框架指出,目前世界上有一百多个国家具备一定的网络作战能力,公开发表网络安全战略的国家多达50多家,党的十七大报告提出:“按照建设信息化军队、打赢信息化战争的战略目标,加快机械化和信息化复合发展,积极开展信息化条件下军事训练。”十报告要求:“坚定不移把信息化作为军队现代化建设发展方向,推动信息化建设加速发展。”网络安全已成为国家安全的重要议题。由于政治、经济、文化、军事等各个领域对信息网络的高度依赖,国家、组织甚至个人都可能通过信息手段威胁国家安全。强调,网络安全和信息化对一个国家很多领域都是牵一发而动全身的,要认清我们面临的形势和任务,充分认识做好工作的重要性和紧迫性,因势而谋,应势而动,顺势而为。指出,没有网络安全就没有国家安全,没有信息化就没有现代化。
2014年7月22日国家互联网信息办公室、工业和信息化部、公安部正在开展联合行动,在全国范同内集中部署打击利用互联网造谣、传谣行为,三部门相关负责人呼吁广大网民共同净化网络环境,不信谣、不传谣,并积极向中国互联网违法和不良信息举报中心等举报机构提供谣言信息线索。
2014年5月16日,中央政府采购网了《中央国家机关政府采购中心重要通知》。《通知》规定,所有计算机类产品不允许安装Windows8操作系统。自主可控是保障网络安全、信息安全的前提,因为网络安全、信息安全存在着攻防两方,所以关键核心技术设备、信息产品和服务等的自主可控,是保障网络安全、信息安全的前提。自主可控的好处:信息安全容易治理、产品和服务一般不存在恶意后门并可以不断改进或修补漏洞……。反之,不能自主可控就意味着具“他控性”,就会受制于人,其后果是:信息安难以治理、产品和服务一般存在恶意后门并难以不断改进或修补漏洞……。
2014年11月24日,以“共建网络安全,共享网络文明”为主题的首届国家网络安全宣传周在北京召开。11月19日-21日,首届世界互联网大会在浙江乌镇举行,面临日益严峻的国际网络空间形势,我们要立足国情,创新驱动,解决受制于人的问题。坚持纵深防御,构建牢固的网络安全保障体系。捍卫我国网络空间!
“十三五”规划纲要和今年政府工作报告再次对制造强国进行部署,制造业作为立国之本、兴国之器、强国之基的地位愈发受到重视。在产业大规模升级和两化深度融合的情况下,我国工业控制系统的网络信息安全问题也愈发突出,亟待补齐短板。
工业控制系统是制造业基础设施运行的“大脑”,广泛应用于电力、航空航天、铁路、汽车、交通、石化等领域。2010年“震网”病毒攻击伊朗核设施,2011年“火焰”病毒入侵中东国家,2015年底“黑暗能源”病毒攻击乌克兰电网……一系列突发事件表明,工业控制系统的网络安全面临严峻的挑战。无论以美国为代表的“工业互联网”,还是以德国为代表的“工业4.0”,都将工业控制系统的网络安全视为重中之重。
中国政府对工业系统的网络安全同样极为重视。2011年开始,国务院先后出台的《工业转型升级规划(2011-2015)》、《关于大力推进信息化发展和切实保障信息安全的若干意见》、《中国制造2025》等一系列文件,都强调了两化融合中网络安全保障的重要性。
然而,与工业系统的快速数字化、信息化和智能化相比,中国工业控制系统的网络安全保障进展缓慢,防护薄弱,问题仍较为突出。
乌克兰电网被攻击后,国内相关网络安全公司的监测报告显示,在国内交通、能源、水利等多个领域的各类工业控制设备中,完全暴露在外、可以被轻易攻击的多达935个。有些城市和地区的工业控制系统面临较大的安全风险。
造成这一隐患的原因众多,关键是一些企事业单位在借助信息化提高生产效率的同时,没有考虑工业控制系统的网络安全防护。而即使认识到工业控制系统安全的重要性,在系统改造实施过程中,由于没有专业知识、人员和部门支撑,所采取的安全措施也往往浮于表面,未得实效。
从实际情况看,中国的工业控制系统虽然还没有发生影响巨大、后果严重的网络安全事件,但不少领域的企业都已经或多或少遭遇了因计算机病毒引发的安全事故。如果上升到国家安全层面,一旦这些控制系统的安全漏洞被利用,将有可能导致核电站过载、电网停电、地铁失控等灾难性后果,这绝非危言耸听。
面对日益严峻的网络安全形势,加强工业控制系统的网络安全保障迫在眉睫。既要有国家自上而下的体系化顶层设计,也要有产业和企业自下而上的探索与实践。
从国家层面来看,在保障体系的机制建设上,需要一个高规格的协调机构,以应对关键基础设施和重要系统可能遭受的高强度攻击,同时组建以工业企业、信息网络、公共安全为主的应急联动机制,制定应急响应处理办法。
与此同时,做好重点行业的工业控制系统威胁情报研究,各方联动,形成合力,提供有价值的威胁情报信息,建立更有实用性的威胁情报库,为政府机构、安全厂商、企事业单位提供更好的支持。
在技术上,要做好整个安全保障体系的“供应链”安全,特别是在一些关键基础设施和重要信息系统新建项目上,必须强化项目规划和设计阶段的网络安全风险评估,引入第三方安全机构或服务商对技术实施方案和产品供应链进行审查。同时加大投资力度,大力发展具有自主知识产权的安全防护技术和产品。
【关键词】云计算 计算机网络 安全问题
近年来由于网络技术的飞速发展,很多网络隐患都浮出水面。其中基于云系统呈现出来的通讯上的问题,则主要集中在商业信息的交流上,通过快捷便利的形式进行商业活动的筹备,或者通过相应的计算体系,来完成计算机服务方面的储存,但是安全银花仍旧成为人们的关注对象。
1 云计算环境下的网络安全问题
1.1 数据的储存安全隐患
在云计算的模式下,决定客户信息的安全问题,就取决于云计算的模型数据储存安全。因现在的云系统的最终安全就存在于其终端的IT设备上,对于资源的整合上,也会体现出其中的各种便利,这对于越来越多的数据来说,其依懒性也越发的明显。而一旦云端的数据出现了损坏或者丢失,那么给用户带来的损失将是沉重的。所以在云计算的终端,其在储存系统的要求上也更严格。
1.2 数据传输过程中的安全隐患
通常情况下,在企业的IDC中,都保存有大量的企业数据,而其中一些私密数据是代表了这个企业的核心竞争力的存在,比如客户的信息以及财务方面的信息等,一旦流失,那么对于企业的生存方面,将造成沉重的打击。现在的企业数据存在的问题主要就集中在以下几点:第一,在进行数据的网络传输中,进行加密,确保其数据不被黑客窃取;第二,加强云计算的服务商方面的数据保障,确保企业在进行数据传输和保存中,能够更好的确保其数据的安全;第三,通过云计算的服务处进行存储的过程中,则需要严格的进行全向方面进行合法的数据访问,保证其企业在任何状态下,都能够确保其自身的数据安全有效。
1.3 数据的审计安全隐患
在云系统的环境下,云计算往往在提供商业情况下,针对其不受企业管理方面的数据计算,进行数据安全性和精确性进行审计,在实现企业的信息规范上,能够做到相应的数据支持;与此同时,在针对企业提供的相关数据上,进行可持续发展的持续认证,确保其计算服务方面的数据提供,这对于整体的损害程度上,都应该针对客户的利益结构来进行企业的长期有效性发展,不仅在技术上确保其商务交付,对于安全潜在风险做最后的审计。
2 云计算环境下的网络安全防御策略
2.1 数据加密技术
在网路的安全保障中,数据加密技术,是最基础的安全技术。其技术的本事是通过数据加密手段来将一些重要的传输数据进行加密,通过这些加密密文进行传送,当到达另一个数据终端之后,则可以利用有效的手段进行密文方面的还原。这对于数据的安全方面,都能够提供一个较之有效的安全保障。而加密不仅针对储存的云服务,对于传送中的客户数据,也具有同样的信息保障。所以说,在加密技术被广泛使用的过程中,云计算也为现代的数据传输和储存提供了良好的安全保障。
2.2 安全储存技术
我们在实际的应用管理中,通过网路数据储存来完成其数据的存储位置和隔离任务,这对于整体中可能遇到的灾难性问题,都能够提供很好的云信息保障,对于整体的结构模式而言,也提供了有力的保障。如在进行云服务期间,供应商的数据,则可以通过独立的隔离,才能够更为有效的完成保障。在云计算环境下,服务商所提供的数据服务是处于一种资源共享环境下的,这对于数据的加密技术方面,都会有一定的要求,而伴随着云计算服务的广泛应用,对于储备措施方面,也应该更注重网络系统方面的保护,预先做好备份措施,只有如此,才能确保用数据是在不被破坏的情况下,完成的网络数据的有效保护。
2.3 安全认证
在进行网络云计算的客户保护中,对于强制性的用户信息保证,通常都是通过对方或用户方等得到了有效认证以后,才实施的服务款项,这对于整体的结构维护以及利益保障方面,都提供了良好的信息数据,对于服务商方面的信息认证方面,也提供了相应的信息安全保障。在客户中,通过结合强制性的认证系统,在一定程度上也确保了用户在应用的结构认证中,保护了整体的系统安全信息,同时也避免了用户的密码信息没有被泄露出去,而也只有这样,才能杜绝被恶意第三方产生步伐侵害。
2.4 对数据进行安全防护集中
在进行云计算的安全模型建设中,主要就是通过对边界进行防护,然后通过计算资源进行的高度整合,这对于用户的申请服务方面,也提供了缜密的逻辑计划分离,对于整体的物理结构方面,也提供了良好的基础。通常在这种情况下,也对整体的系统安全方面,提供了物理上的边界安全。如此对于整体的用户方面,也为其流量以及数据交流方面部署了独立的安全体系,对于整体的运转方面,也提供了有效的安全防护措施。
3 结语
在信息发展如此迅速的时代背景下,对于即将面临的数据威胁方面,如何做到云计算的安全进行,已经成为各开发商的主要发展方向。在应对现在日益复杂的网络系统,其安全防御策略以及相应的手段,也成为了整体网络安全发展中的主要应用信息,对于整体的交换技术发展来看,对于人类在这方面的生活,以及对防护墙、防入侵系统乃至病毒检测系统等,都能够提供有效的安全保障。我们通过制定相对完善的政策和法规来确保网络系统的安全,而在进行规范化的行使中,则通过进行计算机的网络系统安全等方面进行相应的健康安全管理,通过科学的网络环境来进行计算事业的良性发展。而这对于整体的发展来说,也具备了顺应时展的先决条件。
参考文献
[1]宋焱宏.云计算环境下的网络安全技术[J].网络安全技术与应用,2014,(8):178-179.
[2]高银屏.浅析云计算中的计算机网络安全[J].中国电子商务,2013,(7):143-143.
[3]张长河.云计算背景下计算机安全问题及对策[J].信息系统工程,2014,(6):178-178.
[4]何永峰,谈“云计算”环境中的计算机网络安全[J]哈尔滨师范大学自然科学学报,2015(1):63-66.
[5]刘璇,云计算环境下的网络技术中的应用[J]网络安全技术与应用,2015(3):81-83.
作者简介
生(1963-),男,江西省南昌市人。大学本科学历。现供职于南昌市工业技术研究院。研究方向为计算机技术应用。
“谁都不愿意也不敢在奥运期间出现问题。因此除了奥组委,一些跟奥运紧密相关的客户如电信、电力、甚至是金融行业,对于网络安全的问题也是非常紧张。在这种情况下,众多网络安全厂商纷纷推出‘奥运保障计划’来做大市场。”参加了几次奥运安全保障计划的互联网实验室执行总裁刘兴亮分析。
唤醒网络安全市场
“奥运前期,我们每天都要定时向好几个与奥运会相关的政府接口进行信息通报,奥运开幕后,现在是几乎每个小时都要通报。当然这一切都是为了防止奥运会期间,可能出现针对奥运而来的黑客恐怖袭击和计算机网络病毒。” 北京一网络厂商的张姓工程师说。
据这名张姓工程师说,此前不久,由奥组委和相关部门牵头,几乎所有重要的网络安全厂商刚参与了两次大规模的攻防演练:一部分人对网络发动攻击,有的假扮黑客,有的则在网络上散发大量的未知病毒,造成网络攻击的现象。而另一部分人则启动响应机制,构建防御体系,迅速处理危机。
对此刘兴亮分析说,这样的演练实质上就是对应急机制的检测。 无论是演练,还是在奥运期间的实际运作,从流程上来讲,跟平时处理突发事件基本相同,不同的是要“快”,比平时的响应速度要更快。不是改变流程,而是加速流程,争取把对奥运的影响降到最低。
对于黑客和病毒的防范,厂商的策略一直都属于被动防范,就是当问题出现时,集中火力去解决问题。但面对奥运这样的重点项目,他们前期则需要确定防范重点,并且有针对性地设计工作流程。
正是缘于奥运对网络安全的高度重视,大大刺激了对网络安全重要性的唤醒。“以前他们有任何问题都是工程师跟我们联系,现在都是处长或是经理直接跟我们联系。”北京瑞星客户部总经理王建峰说。
刘兴亮说:“在这种情况下,网络安全厂商如趋势、瑞星、金山、江民启明星辰、绿盟等网络安全厂商都纷纷都推出‘奥运保障计划’来做大市场。”
市场规模亟待扩张
网络安全本来是非常重要的,但市场的整体规模一直不是很大,市场中的企业规模也比其他行业小。奥运对网络安全的高度重视,无疑激发了这个市场的需求。比如金融企业,在奥运期间是全面向全球用户提供金融服务,如果服务不能正常运转,不仅企业的信誉受到打击,而且还会有很严重的政治影响。
与此同时,奥组委和奥运相关的业务组织也大量采购网络安全厂商的软件、硬件和服务。进一步刺激了网络安全市场的需求。
“临近奥运时,来自电力、电信、金融、门户网站、相关政府部门的客户不断地向我们提出网络安全保障计划的需求。如有的客户向我们征询网络部署的方案,有的请我们去评估网络的安全性,也有些客户要求我们提供针对性的人员培训。”王建峰在谈起奥运期间网络安全市场时兴奋地说道。
趋势科技北方区技术经理罗海龙也告诉记者:“他们的工程师仅在今年6月、7月就两次对客户的系统进行了全面检查,同时针对客户的系统进行弱点分析,制定加固或调整方案。现在奥运期的重点就是突发事件的处理。”
据悉,为了及时应付随时可能发生的突发事件,趋势科技还为客户提供一项特殊的“未知威胁保障服务”,主要针对企业用户在日常安全防护中遇到的未知威胁,提供完整的主动解决方案,自动进行高危可疑文件的判断和比对,做到提早发现问题提早解决问题,并提供可跟踪的报告。
更难能可贵地是,奥运把平时在网络安全市场上的竞争对手们,团结了起来。刘兴亮告诉记者,现在中国的网络安全厂商们全部都紧密合作,一切都以确保奥运的网络安全为唯一目标。
■记者观察:“后奥运”商机
在奥运期间,不管是被奥组委选中产品的网络安全厂商还是主动为奥组委服务的网络安全厂商,除了尽责任和义务外,也有一个商业的考虑,那就是争抢后奥运网络安全市场的蛋糕。
据悉,北京瑞星就在预算方面制定了对奥运网络安全支持没有封顶的措施,而且全公司高级别的专家、工程师都在全力配合奥运网络安全项目。
像这样在奥运期间,网络安全厂商们在全力服务好奥组委、服务好跟奥运密切相关的大行业客户,以及贴近这些大用户的同时,也在向大用户证明了自己的价值。毕竟奥组委以及大量跟奥运密切相关的企业在后奥运时代也有大量的安全需求。
未雨绸缪,网络安全厂商是有这个考虑的。通过网络安全厂商的的服务在帮助客户避免奥运期间危机的同时,也让客户更了解相关的产品和服务。
中国互联网20年发展报告指出,中国互联网发展的20年,是改革创新、开拓进取的20年;是跨越发展、驱动转型的20年;是服务社会、造福人民的20年;中国互联网发展的20年,是安全发展、依法治理的20年;是开放包容、互利共赢的20年。
中国互联网20年发展报告分十一章节:
一、中国互联网波澜壮阔的20年
回顾中国互联网发展的二十年历程,总体上经历了基础初创期、产业形成期、快速发展期,而目前正处于融合创新期。
二、互联网成为国家经济社会运行的重大公共基础设施
体现在四个方面:宽带网络规模建设水平国际领先;骨干网络持续演化升级;应用基础设施快速发展;互联网关键资源拥有量大幅增长。
三、中国互联网技术产业实现创新跨越发展
体现在三个方面:网络技术自主创新能力显著增强;智能终端制造业加快赶超;新技术应用不断培育形成新业态。
四、互联网加速经济转型升级
中国全面推动互联网与经济的深度融合,基于互联网的融合发展新模式、新业态不断涌现:电子商务引领互联网经济发展,网络零售交易规模跃居全球首位;互联网信息服务创新活跃,移动互联网成为互联网信息服务的加速器;“互联网+”驱动产业融合发展。
在“互联网+”驱动产业融合发展方面,报告中提到,以移动互联网为代表的新技术不断驱动线上线下(O2O)互动融合,旅游、租车约车、餐饮外卖等服务业基于O2O模式的产品种类和服务形态日益丰富,O2O成为大众创业、万众创新最活跃的领域。
并且,余额宝、百发在线、微博钱包、微支付、京保贝等互联网金融产品,个体网络借贷(P2P )、众筹等一批新兴业务,降低了金融服务的门槛,丰富了人们投融资渠道和方式。
五、互联网有力提升公共服务水平
中国注重利用互联网的普惠、便捷、共享特性,加快推进社会化应用,体现在:电子政务打造在线政府;互联网推进优质教育资源社会共享;互联网推动医疗健康服务精准化、个性化;互联网促进人的均衡发展。
六、健康向上的网络文化繁荣发展
中国大力发展健康向上的网络文化,培育和践行社会主义核心价值观,激发正能量、弘扬主旋律,这表现在:网络文化是社会主义文化建设的重要内容;中国特色网络信息传播格局基本形成;互联网传播力影响力明显提升;互联网积极传播中国声音。网络文化产业和文化事业蓬勃发展。
七、网络安全保障能力持续提升
没有网络安全就没有国家安全,中国坚持以安全保发展、以发展促安全,在推动互联网发展的同时加强网络安全保障能力建设:网络安全制度体系日益健全;网络安全技术产业体系初步建立;网络安全防护能力显著增强;学科建设不断加强、网络安全意识明显提高。
八、网络空间法治化加速推进
中国坚持依法治网、依法办网、依法上网,加强网络立法,严格网络执法,引导全网守法,并在以下几个方面做出了努力:互联网法律法规不断健全;网络空间生态治理规范有序;网络法治意识和网络素养明显增强。
九、互联网治理体系在探索中逐步完善
中国高度重视互联网治理,不断调整完善互联网管理领导体制,表现在:互联网管理领导体制调整完善;政府引领、多方参与治理模式初步形成;积极参与全球互联网治理。
十、互联网发展的中国经验
20年来,中国开辟了具有中国特色的互联网发展道路,形成了宝贵经验,总结起来就是:坚持党的领导是中国互联网快速发展的根本政治保证;坚持为民服务是中国互联网快速发展的出发点和落脚点;坚持开放合作是中国互联网快速发展的基本政策;坚持发挥企业主体作用是中国互联网快速发展的关键因素;坚持安全与发展并重是中国互联网快速发展的有力保障。
关键词: 网络安全;解决方案;建议
中图分类号:P231 文献标识码:A 文章编号:1671-7597(2012)0610171-02
0 引言
随着科学技术的发展,信息技术已经成为人们工作生活中必不可少的一个部分,而这种必要性使得计算机网络更呈现突飞猛进的发展趋势。而网络的发展以及其伴随而来的网络安全问题越来越受到人们的关注,由于网络安全所造成的严重损失已经有目共睹,所以如何在推广网络应用的同时提高网络的安全性打造安全网络成为广大计算机网络用户关心的话题,这不但关系着网络应用领域是否会受限,同时也关系着网络是否能够保持正常速度发展,以及是否能够在现代化建设中发挥应有的作用。
1 网络安全威胁概述
1)安全威胁的产生
主要是由于因特网的全球性、开放性、无缝连通性、共享性、动态性发展,使得网络安全威胁从网络诞生就一直伴随着成长起来,而且随着网络发展速度不断加快,网络安全威胁问题也日益严重。而且随着互联网的应用领域日益广泛,如金融、政府部门以及电子商务的盛行,使得网络数据的安全重要性日益突出,如果网络安全无法保障,则互联网应用推广必将遇到致命的瓶颈问题。如果从安全威胁的来源来看,可以将安全威胁主要分为自然威胁和人为威胁,自然威胁如天气、环境、设备等;人为威胁如人为攻击,通过寻找系统的弱点,以便破坏、欺骗、窃取数据等。
2)网络安全面临的威胁
网络安全面临的主要威胁可分为四个方面:即中断、窃听、篡改和伪造。中断是对系统的可用性进行攻击,如破坏计算机硬件、线路和文件管理系统等;窃听是对系统的保密性进行攻击,如搭线窃听、对文件或程序的非法拷贝,包括获取消息的内容,进行业务流分析,获得消息的格式、通信双方的位置和身份、通信的次数和消息的长度等;篡改是对系统的完整性进行攻击,如修改数据文件中的数据,替换某一程序使其执行不同的功能、修改网络中传送的消息内容等,通常包括假冒合法实体通过防线、截获合法数据后进行拷贝或重新发送、通信数据在传输过程中被改变、删除或替代、业务拒绝即对通信设备的使用和管理被无条件的拒绝;伪造是对系统的真实性进行攻击,如在网络中插入伪造的消息或在文件中插入伪造的记录等。以上所划分的网络安全威胁的四个方面,其实可以从一个更加通俗地角度来说明,中断就是故意破坏对方之间的通信,而自己不需要获取这些信息,其目的就是让第三方也无法正确获得这些信息;而窃听就是不影响对方接收信息,但是希望获知对方的通信内容,所以对于窃听而言要讲究隐蔽性,即最好的情况就是第三方之间的通信丝毫没有觉察到他们之间的通信内容被己方所接收;篡改则更进一步,不但要窃听到对方的通信内容,而且需要将这些信息根据己方利益最大化的原则进行修改。
3)安全业务——安全防护措施
保密业务:保护数据以防被动攻击,保密业务流;加密机制,按照密钥的类型不同,对称密钥算法和非对称密钥算法两种,按照密码体制的不同,分为序列密码算法和分组密码算法两种;认证业务:保证通信的真实性,确保发送方或接收方的身份;完整性业务:防止对消息(流)的篡改和业务拒绝;不可否认业务:防止通信某一方对传输的否认;访问控制:防止对网络资源的非授权访问,使用认证。
2 网络安全解决方案建议
1)整体安全体系构建的几个方面
网络本身就是一个体系,是一个系统性的概念,在网络通信中也涉及到多个实体或者协议,所以网络安全涉及到多个方面,为了打造安全的网络,就需要构建网络安全的整体保护体系,只有这样才能够有效保护网络的安全性。一般来说,网络安全体系的构建可以从如下几个方面加以考虑,也就是保护、检测、响应、恢复,这四者构成了一个完整的体系,如果每一部分都能够做好,则打造一个安全的计算机网络不再是一句空话。保护是通过使用加解密技术、访问控制技术、数字签名技术,以及可验证的信息交换过程等到方面对数据及其网上操作加以保护,保护也可以理解为对故意中断网络或者破坏数据的一种防护措施。检测是对信息传输的内容的可控性的检测,对信息平台访问过程的甄别检测,对违规与恶意攻击的检测,对系统与网络弱点与漏洞的检测等等,如果有对网络通信的恶意窃听发生也需要及时检测到。及时响应是网络的一个重要指标,响应是在复杂的信息环境中,保证在任何时候信息平台能高效正常运行,要求安全体系提供强有力的响应机制。无论防护措施多么严密,网络安全技术如何卓越,我们都无法承诺网络永远不会受到破坏,所以此时有效的恢复就显得尤为重要,恢复是指灾难恢复,在系统受到攻击的时候,评估系统受到的危害与损失,按紧急响应预案进行数据与系统恢复,启动备份系统恢复工作等。
2)保障物理安全
物理安全是最基本的,如果硬件发生故障或者被破坏,其他一切网络安全保护措施都成为无源之水,所以网络的物理安全保障是整个网络安全保障体系的基石。物理安全是用来保护计算机硬件和存储介质的装置和工作程序,物理安全防护包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁蔽三种类型。
3)整体部署
网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。在整个体系中的每一个部分,都是具有特定的功能需求,都是针对某一种安全需要而采取的安全措施。下面以一个实际的安全解决方案为例,建立网络安全防护体系。
在网关位置配置多接口防火墙,根据功能作用不同,将整个网络划分为外部网络、内部网络、DMZ区等多个安全区域,由于工作主机在整个网络中处于核心地位,而且主机如果发生安全问题将产生重要影响,所以将工作主机放置于内部网络区域可以更有效地保护主机的安全,将Web服务器、数据库服务器等服务器放置在DMZ区域,其他区域对服务器区的访问必须经过防火墙模块的检查,这就相当于在服务器区提供了加固的安全作用。在中心交换机上配置基于网络的IDS系统,监控整个网络内的网络流量,这是由于网络流量的异常也是网络是否安全是否受到攻击的一个重要特征。在DMZ区内的重要服务器上安装基于主机的IDS系统,对所有对上述服务器的访问进行监控,并对相应的操作进行记录和审计,这可以对故障诊断提供有效的辅助。
4)具体部署
下面对上一步中整个网络安全体系中各个部分的具体配置进行介绍。防火墙设备,防火墙是用来连接两个网络并控制两个网络之间相互访问的系统。包括用于网络连接的软件和硬件以及控制访问的方案。这类防范措施可以只用路由器实现,可以用主机、子网、专用硬件来实现。所有在内部网络和外部网络之间传输的数据必须通过防火墙;只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙;防火墙本身不受各种攻击的影响。在本方案中选用的防火墙设备是CheckPoint FireWall-1防火墙。FireWall-1功能特点有对应用程序的广泛支持;集中管理下的分布式客户机/服务器结构;远程网络访问的安全保障(FireWall-1 SecuRemote)。
防病毒设备。在本方案中防病毒设备选用的是趋势科技的整体防病毒产品和解决方案,包括中央管理控制、服务器防病毒和客户机防病毒三部分,这对于抵挡当前已知的绝大部分病毒已经非常有效,而且由于防病毒产品的更新服务,所以只要在实际应用中时刻保持病毒库版本为最新就可以保证系统的安全。
入侵监测设备就是为了当有入侵行为发生时系统可以及时获悉,在本方案中入侵监测设备采用的是NFR入侵监测设备,包括NFR NID和NFR HID。NFR把基于网络的入侵检测技术NID和基于主机的入侵检测技术HID完美地结合起来,构成了一个完整的,一致的实时入侵监控体系。
SAP身份认证设备对于任何系统的安全都是必不可少的,也是保障系统安全的基本措施。本方案采用的身份认证设备是Secure Computing的SafeWord。SafeWord具备分散式运作及无限制的可扩充特性。
3 结论
网络安全是一个常说常新的话题,随着攻防不断升级,网络攻击入侵手段和网络安全保护技术手段都更加先进,所以网络的安全防护是一场没有终点的战役,只有时刻保持对网络安全的高度重视,采用先进的网络安全防护技术才有可能打造一个安全的网络,本文对于网络安全保障的一些措施希望能够为网络安全防护提供一些借鉴。
参考文献:
[1]陈丹丹,网络钓鱼与网络安全初探,消费电子,2012年,第5期.
[2]王志刚,浅谈计算机网络安全现状及对策,今日财富(金融发展与监管),2012年,第4期.
[3]王丽云,初中校园网络安全分析和策略,今日财富(金融发展与监管),2012年,第3期.
随着我国档案信息化建设工作已日渐深入,加强档案信息安全保障体系的建设尤为重要。档案信息安全保障体系,简单来讲,就是在档案信息系统的整个生命周期内,从技术、管理和标准法规等多方面,以积极防御、适度安全和动态保障为安全保护原则,保障档案信息安全的保密性、完整性、可用性、真实性、可核查性、抗抵赖性和可控性属性,并保障系统安全的持续性的体系。档案信息安全保障体系建设,是目前档案信息化建设中的重要工作,全国上下都高度重视,也在不断探索有效的构建方法,并加以规范和推广。但是,在档案信息安全保障体系建设中还存在一些不容忽视的问题。一是档案信息化的有关法律、法规和制度不够健全。目前,我国在档案信息化建设过程中还没有专门的法律、法规来对档案信息化建设进行保护,仅仅依靠通用的计算机法律、法规来维护档案信息化建设的安全。这对那些刻意攻击、窃取、毁坏档案信息的破坏分子来说实在是微不足道,一旦他们得逞,势必给我国的档案事业发展造成不可估量的损失。二是档案信息化网络建设中信息安全技术应用不够全面。我国的档案信息化网络建设目前处于内网、专网和外网同时使用阶段,随着信息技术的不断发展,信息竞争、黑客攻击等人为恶意破坏因素的存在,档案信息化网络建设中信息安全技术应用不够全面,使得档案信息系统变得非常脆弱,易受来自各方面的攻击。三是各级档案部门的安全管理体制不够完善。有资料表明,大部分的计算机安全保密问题来自其系统内部,世界上70%信息被盗和泄密来自于内部,这主要是因为人员麻痹和安全管理体制不完善所造成的。四是缺乏法律与制度支持。档案信息化安全保障体系建设并非是一个单纯的技术层面的问题,它还涉及到管理、意识和国家法律等各个层面,因此,档案信息安全其实是一个综合性的问题,各个环节紧密衔接在一起。使用相关安全产品的同时,应在组织与制度上采用相应措施加以完善。因此,需要从理论上进一步加强研究,切实为档案信息安全保障体系建设提供坚实的思想保障,进一步健全档案信息安全保障体系。
二、加强行政执法,为档案安全保障体系提供法制保障
《档案法》颁布实施以来,使档案事业有法可依,并有力地促进了档案事业的发展。但是,目前的档案执法还处于初级阶段,还存在着一些亟待解决的问题。有的档案部门领导和工作人员缺乏对依法治档、依法行政重要性和必要性的认识;一些单位重视业务指导,忽视依法监管,在贯彻实施《档案法》过程中,还带有主观片面性和随意性,未获得人们所期望达到的效果。这就要求档案行政管理部门进一步建立健全档案执法监督制度,强化执法监督职能。一要从思想上入手,巩固提高依法治档、依法行政观念。档案行政管理部门是代表各级政府主管本地档案事业的部门,也是《档案法》所确定的档案行政执法主体和监督机构,这也使得管理档案事业有了法律的保障。我们的各级档案工作者特别是领导干部首先要带头认真学习档案法律、法规,做到知法、懂法、守法,并严格执法,带头依法办事、依法行政。《档案法》和《档案法实施办法》规定了档案部门是行政执法部门,要履行法律法规赋予档案部门的这一职能,应强化执法意识。二要从立法入手,完善档案法规体系。在建立社会主义市场经济体制过程中,真正做到执法机构依法行政,全体公民自觉守法,尚有待于法律体系的不断完善,而档案执法监督必须有完善的监督法律体系作为依据,健全完善操作性强的法律规章和相关监督条例,强化制约功能,是亟待解决的重要任务,各级地方人大、政府应依照《档案法》结合本地区实际,制定出配套性、实用性、可操作性较强的法规、规章文件,依法明确档案执法监督的形式、程序和手段,从而能够实行科学、合理、有效的监督,确保档案工作方针和法律法规的得以贯彻实施。三要从规范档案行政执法入手,加强档案监督制约机制的建设。在加强内部监督制约机制上,将档案工作列入本单位的目标管理责任制中,考核指标主要由贯彻《档案法》、档案业务等方面组成,定期对档案工作进行检查,以引起部门的高度重视,加大对档案依法管理工作的监督力度,确保机关档案的安全性;在加强外部监督制约机制上,与外部档案行政执法检查部门加强联系,通过行政执法部门对档案工作的指导和专业性的检查,对不规范或不符合要求的地方及时进行整改,以促进机关档案工作依法管理。通过外部监督,强化机关档案工作的法制建设。
三、加强制度建设,为档案安全保障体系提供机制保障
1.建立组织保障体系。档案安全保障体系建设需要有人来计划、设计和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级档案部门领导要高度重视,并积极实施有关档案系统安全方面的各项措施;另一方面,让工作人员和用户对网络安全性要有深入地了解,使他们积极地自觉地遵守各项信息系统安全制度和措施,防患于未然,就能降低档案网络信息系统的安全风险。档案信息以及档案工作者头脑中的包括直觉知识、阅历、情感等进行综合、概括、提炼的知识。档案信息专家能够充分使用认知、自然、情感和行为各个组成部分,在显性信息服务向隐性知识服务转变的过程中发挥重要作用。所以,一个高水平的档案馆必须重视档案信息专家的引进和培养,必须注重发挥档案信息专家的作用。业务工作者也是掌握多项技能的复合型人才,要求机构中的每位员工都把信息化和档案业务作为同等重要的基础性工作来开展。2.建立制度保障体系。建立有效的管理制度是保障档案信息安全的关键。规范档案管理、保障档案信息安全的永久性措施应该是建立程序化、制度化管理模式并严格执行、落实到位。这同样需要分别制定相应的政策与规范,并采取必要的措施强化落实,做到制度正确,落实见效。要积极争取上级有关部门的政策支持,根据档案部门的实际情况,参考《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国档案法》、《中华人民共和国保密法》等法律、法规,制定出适合档案部门的规章制度,以此约束所有用户、系统管理员以及其他成员,保证档案信息系统安全、可靠地正常运行。由于网络设备和系统软件本身存在一定的缺陷,再加上从事黑客的个人或组织技术在不断升级,所以,档案信息系统没有绝对的安全,只有相对的安全。档案信息化安全保障体系是一个动态的概念,面对档案信息系统安全的诸多问题,必须时刻警惕,运用多种手段,不断在技术上更新,管理体制上完善,人员素质和管理理念上紧跟网络发展的步伐。只有时刻从档案数据安全的方方面面出发,点滴不漏,常抓不懈,才能建立起完善的档案信息安全保障体系,确保档案信息系统的安全,保证档案信息化建设顺利进行。
四、加强设施建设,为档案安全保障体系提供物质保障
一是加强档案库房建设。为了档案工作的可持续发展,我们必须做好档案实体的保护工作。因此,在档案库房与门窗的设计、防火材料、消防系统、库房温湿度、技术与管理方面,需要进一步加大投入。库房是保管档案的场所,档案库房多数是在机关办公大楼上的,客观上不具备建档案库房的条件。在这样的情况下,首先要考虑档案库房的承重问题。一般作为档案库房,钢筋的密度要大,数量要多,型号要粗。预防火灾对机关档案实体安全来说是头等大事。随着科学技术的发展,建筑材料、各种电器设备的种类日益增多,档案库房引起火灾的危险性可能性进一步增大。火灾是当今档案部门的头号灾害,为预防火灾,档案库房门口,必须配备消防器材,如手提灭器或手推移动灭火器等。档案库房要做好防火防潮的处理,保存的各种载体的档案对温湿度都有严格的要求,在技术参数范围内,档案能够长久的保存。反之,温湿度过高过低,都会影响档案的寿命。门窗要严格按国家档案局要求安装。作为档案实体安全的装具,我们仍然要求采用可移动铁皮柜和不可移动密集架,它具有防火、防鼠功能。档案盒作为贴身装具,制作档案盒的牛皮纸要做去酸处理,这样做,有利于档案实体安全的保护。二是加强档案数字化建设。在系统硬件设备方面,要做到:第一,内外网隔离。根据有关安全保密部门的网络安全规定,的计算机信息系统,不得直接或间接与国际互联网或其它公共信息网互相连接,必须实行隔离。因此,对档案部门的内部网络和国际互联网,要严格地进行隔离,防止不宜公开的内部档案信息通过网络连接泄露到外部公众网。第二,将内部网络划分成若干个安全级别不同的子网,实现内部一个网段与另一个网段的隔离。这样,就能防止某一个网段的安全问题在整个网络传播,限制局部网络安全问题对全局网络安全造成的影响。第三,每个厂家的设备有它独特的优点也有它不可克服的致命弱点,因此在选用档案网络设备时,尽量选用不同厂家不同型号的设备,做到优势互补,封堵网络漏洞,增强系统的安全性能。
五、加强技术建设,为档案安全保障体系提供安全保障
网络、计算机、存储器和信息系统是数字化档案信息生存的基础,也是引发安全问题的风险基地。黑客攻击、病毒蔓延、信息窃取、技术落后、制度不健全、管理不规范、措施不到位、治理不及时是产生不安全因素的根源,其中有客观的因素,也有主观的原因。因此,加强对客观侵害行为的防范,对主管漏洞的治理,对安全事故的补救是保障网络畅通、系统稳定、数据安全的重要措施。只有网络和系统安全了,数字化档案信息的安全才能得以保障。建立技术保障体系是提高网络和系统免疫力的重要措施。1.保障网络安全:防火墙和入侵检测技术是常用的保障网络安全的两种手段,入侵检测技术侧重于监测、监控和预警,而防火墙则在内外网之间的访问控制领域具有明显的优势、功能强大,效果明显。面对网络攻击手段复杂度的不断提高及融合能力的逐渐加强,要在网络层采取安全技术的应用和安全产品的联动启用措施,全面提高网络的综合防范能力。2.保障系统安全:加强升级服务,做到无漏洞运行。目前各操作系统的开发商已经开通了专业通道,提供升级服务的补丁程序下载、安装和检测服务,而且大多是免费的,因此,能否做到系统的无漏洞运行,关键在于人们是否使用正版软件,增强了安全意识并做到及时升级,及时打补丁,,保障每台客户端的无漏洞运行。3.保障档案信息系统的安全:要做好系统用户的安全管理,不给偷窃者以机会。
目前,保障合法用户的做法是采取强身份认证、加密和防密码偷窃等技术,并保证内部安全管理制度和措施的有效性实施与落实。4.保障档案数据的安全:实行隔离、加密、备份等措施。安全管理的最终目的就是保障网络上传输的、系统中存储的、用户访问到的档案数据和信息是真实、完整和有效的,并保障系统操作者能够方便地访问自身权限范围内的数据,杜绝无权用户进入系统,因此数据加密、硬盘加密、文件系统加密,增加系统存储的复杂性等都成为保障数据安全的有效措施。5.病毒防范:建立网络化的病毒防范体系,实现病毒库的同步升级几乎有网络和计算机存在的地方,病毒都会伴随。每台计算机上都应安装防病毒软件系统,并及时更新病毒库,而对于网络环境下的一个组织而言,病毒杀不尽的原因则是网络上至少有一台机器有病毒,并在网上扩散传播,因此购买网络版的防病毒软件,建立网络化的病毒防范体系,实现病毒库的统一管理,同步升级,是防范病毒侵害数字化档案信息的有效措施之一。同时,加强对病毒知识的学习,提高机构中每位员工的主动防范意识和警惕性也是非常重要的保障措施。
【关键词】安全隔离技术;电力信息网络;网络安全防护;技术应用
随着电力行业信息化建设的不断深入,电力信息网络得到快速发展与完善,而网络在为电力生产、经营等提供优质服务的同时,也面临着不同程度的安全问题,而由这些安全问题引发的风险,正成为限制电力基础设施建设的主要因素。因此,探讨有效的网络安全防护技术,提高网络综合安全防护水平至关重要。
1电力信息网络的安全现状及防护要求
1.1安全现状
(1)网络结构日益复杂,几乎承载电力系统全部信息业务,各业务均设置在网络当中,易形成安全漏洞。(2)互联网数据基本都要通过信息网络,如果信息网络遭到攻击,则调度网与各个数据将直接面临巨大的威胁,缺少综合防护体系。(3)业务人员所用PC终端直接设置在网络中,部分业务人员技能水平有待提升,或安全意识不足而产生错误、不规范操作,进而威胁网络安全[1]。(4)重要数据没有得到有效的机密性保护。因数据实现集成化,不同业务系统的大部分数据都存储在几个固定数据库当中,又由于这些数据库缺乏有效安全保障,并且不同企业所采用的安全措施有着明显的强度差异,因此会造成很大的安全漏洞。
1.2防护要求
虽然现阶段电力信息网络应用了众多防护措施,但在数据库等方面依然存在安全隐患。网络安全满足木桶效应,薄弱环节的安全保障强度决定了网络整体防护水平,若安全防护技术与管理措施未能形成健全的体系,留有薄弱环节,将大幅降低网络的整体防护水平。因此,必须构建动态化电力信息网络安全防护体系,以此拉近每个环节的安全保障强度,真正提高网络整体防护水平,避免信息泄露和丢失等现象的发生。
2安全隔离技术
2.1通用网闸
通用网闸类安全隔离技术是指利用两个处理系统和安全等级有明显差别的信息网络进行连接,系统数据交换通过设立专用协议完成。在数据库安全防护方面,该技术主要以内网数据库与外网数据库相同步的方法为主。目前,通用网闸类安全隔离技术在数据库安全防护中应用的经典做法是在客户端和服务器之间进行部署,分析http协议,对数据库施加安全隔离,并实现细粒度控制。
2.2数据库审计
数据库审计指的对DBA(DatabaseAdministrator,数据库管理员)操作进行记录,揭示数据库实际安全状态,主要在将协议解析作为基础的总体技术路线中应用,可实现数据库日志全记录,并依照用户意愿采取旁路模式对记录、行为等进行分析。
2.3数据库隔离
相比国外发达国家,我国针对数据库安全的产品研发起步较晚,发展相对滞后,技术层面主要依赖国外先进技术,缺乏自主产品。此外,数据库隔离类技术与产品的规范、标准尚未统一,想要进一步壮大该技术,还需大力发展其安全测评方案。目前,数据库隔离类技术与产品的科研中心主要放在数据库应用中间件。
3电力信息网络中安全隔离技术的应用设计与实现
3.1设计网络安全隔离器
因隔离器设置于网络的内外边界,所以隔离器要具备类似普通防火墙的防护作用来实行主机访问控制与保护。在电力信息网络中,其业务系统主机有基本固定的端口与IP地址,可将其作为基本元素实现访问控制。隔离器并非一个普通防火墙那样简单,除主机的访问控制以外,还要确保数据库安全,因此还要实现数据库控制与保护。统计表明,SQLInjection是现阶段数据库遭到的主要攻击方式,为使数据库避免遭到这一攻击,可在应用层还原SQL(StructuredQueryLanguage,结构化查询语言),并对其实施深入的解析与过滤。根据上述内容,电力信息网络的安全隔离器应从多个角度入手实现综合性与立体化的安全防护,提高网络每个层次的安全性,构建图1所示的防护与数据处理程序。
3.2实现网络安全隔离
如前所述,安全隔离器是一个将网络通信协议作为主要分析对象的安全防护设备,它的实现本质上是以通信流为基础的分层与解析,其实现步骤为:(1)对目的端口、IP地址、协议域等实施组合,形成数据包的过滤规则,对数据包与信息流向进行控制,防止内网遭到攻击,限制外网对内网的访问。(2)在报文发送至应用层以后,应对其实施协议化处理,对地址解析协议等报文进行分析与过滤,以此构建协议处理功能模块。(3)功能模块需涉及传输控制协议数据流重组,并在该模块内可对协议进行可靠解析。(4)在对协议栈实施了有效还原之后,从中提取并分析数据库的协议报文,以协议关键字段为依据对TNS工具控制进行识别,最终获取SQL语句。(5)利用结构化查询语言过滤模块对所得SQL语句进行分析,在格式化处理的前提下,采用搜索算法与规则库等过滤SQL语句,最后根据反馈结果明确是否需要进行传递[2]。以安全隔离技术为核心设计的网络安全隔离装置,通过国家网络安全部门分析、验证,其不仅具备防火墙等普通网络安全防护工具的全部功能,而且还能提供面向数据库应用层的安全防护与访问控制等功能,实际安全防护强度远远超出了其它防护工具,具有良好的应用与推广价值,可为电力信息网络提供可靠的安全保障。
4结束语
综上所述,目前电力信息网络安全现状不容乐观,存在较多安全漏洞,对网络安全提出了很高的要求。作为直接面对新型网络攻击手段的安全隔离技术在电力信息网络有着良好的应用前景,通过对安全隔离器的优化设计与实现,能起到大幅提升网络安全防护水平的作用,真正实现从整体角度保障网络信息安全的目标。
参考文献
[1]刘晓翠,王晨臣,闫娟,张晓宇.安全隔离技术在电力信息网络安全防护中的应用[J].通讯世界,2016(24):190~191.
【关键词】信息安全;评估;标准;对策
保证信息安全不发生外泄现象,是至关重要的。可是,现在我国信息安全保障和其它先进国家相比,仍难望其项背,还有不少问题迫切需要我们着手解决:
中国保证信息安全工作经历了三个时期。第一时期是不用联网,只作用于单一电脑的查杀和防控病毒软件;第二个时期是独立的防止病毒产品向为保证信息安全采用的成套装备过渡时期;第三个时期是建设保证信息安全的系统时期。
1 需要解决与注意的问题
信息安全保障的内容和深度不断得到扩展和加深,但依然存在着“头痛医头,脚痛医脚”的片面性,没有从系统工程的角度来考虑和对待信息安全保障问题;信息安全保障问题的解决既不能只依靠纯粹的技术,也不能靠简单的安全产品的堆砌,它要依赖于复杂的系统工程、信息安全工程(system security engineering);信息安全就是人们把利用工程的理论、定义、办法和技术进行信息安全的开发实施与维护的经过,是把通过岁月检验证明没有错误的工程实施步骤管理技术和当前能够得到的最好的技术方法相结合的过程;由于国家8个重点信息系统和3个重点基础网络本身均为复杂的大型信息系统,因此必须采用系统化方法对其信息安全保障的效果和长效性进行评估。
2 安全检测标准
2.1 CC 标准
1993年6月,美国、加拿大及欧洲四国协商共同起草了《信息技术安全评估公共标准CCITSE(commoncriteria of information technical securityevaluation)》,简称 CC,它是国际标准化组织统一现有多种准则的结果。CC标准,一方面可以支持产品(最终已在系统中安装的产品)中安全特征的技术性要求评估,另一方面描述了用户对安全性的技术需求。然而,CC 没有包括对物理安全、行政管理措施、密码机制等方面的评估,且未能体现动态的安全要求。因此,CC标准主要还是一套技术性标准。
2.2 BS 7799标准
BS 7799标准是由英国标准协会(BSI)制定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,包括:BS 7799-1∶1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则;BS7799-2∶2002 以 BS 7799-1∶1999为指南,详细说明按照 PDCA 模型,建立、实施及文件化信息安全管理体系(ISMS)的要求。
2.3 SSE-CMM 标准
SSE-CMM(System Security EngineeringCapability Maturity Model)模型是 CMM 在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,它专门用于系统安全工程的能力成熟度模型。
3 网络安全框架考察的项目
对网络安全进行考察的项目包括:限制访问以及网络审核记录:对网络涉及的区域进行有效访问控制;对网络实施入侵检测和漏洞评估;进行网络日志审计并统一日志时间基准线;网络框架:设计适宜的拓扑结构;合乎系统需求的区域分界;对无线网接入方式进行选择方式;对周边网络接入进行安全控制和冗余设计;对网络流量进行监控和管理;对网络设备和链路进行冗余设计;网络安全管理:采用安全的网络管理协议;建立网络安全事件响应体系;对网络设备进行安全管理。网络设备是否进行了安全配置,并且验证设备没有已知的漏洞等。对网络设置密码:在网络运输过程中可以根据其特点对数字设置密码;在认证设备时对比较敏感的信息进行加密。
4 安全信息检测办法
4.1 调整材料和访问
调整材料和访问是对安全信息检测的手段。评估人员首先通过对信息系统的网络拓扑图、安全运作记录、相关的管理制度、规范、技术文档、历史事件、日志等的研究和剖析,从更高的层次上发现网络系统中存在的安全脆弱性。并找准信息资产体现为一个业务流时所流经的网络节点,查看关键网络节点的设备安全策略是否得当,利用技术手段验证安全策略是否有效。评估专家经验在安全顾问咨询服务中处于不可替代的关键地位。通过对客户访谈、技术资料进行分析,分析设备的安全性能,而且注意把自己的实际体会纳入网络安全的检测中。
4.2 工具发现
工具发现是利用扫描器扫描设备上的缺陷,发现危险的地方和错误的配置。利用检测扫描数据库、应用程序和主机,利用已有的安全漏洞知识库,模拟黑客的攻击方法,检测网络协议、网络服务、网络设备、应用系统等各主机设备所存在的安全隐患和漏洞。漏洞扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,从而把主机、应用系统、网络设备中存在的不利于安全的因素恰切地展现出来。
4.3 渗透评估
渗透评估是为了让使用的人员能够知道网络当前存在的危险以及会产生的后果,从而进行预防。渗透评估的关键是经过辨别业务产业,搭配一定手段进行探测,判断可能存在的攻击路径,并且利用技术手段技术实现。由于渗透测试偏重于黑盒测试,因此可能对被测试目标造成不可预知的风险;此外对于性能比较敏感的测试目标,如一些实时性要求比较高的系统,由于渗透测试的某些手段可能引起网络流量的增加,因此可能会引起被测试目标的服务质量降低。由于中国电信运营商的网络规范庞大,因此在渗透测试的难度也较大。因此,渗透层次上既包括了网络层的渗透测试,也包括了系统层的渗透测试及应用层的渗透测试。合法渗透测试的一般流程为两大步骤,即预攻击探测阶段、验证攻击阶段、渗透实施阶段。不涉及安装后门、远程控制等活动。
我国信息安全要想得到保证,需要有一定的信息安全监测办法。依靠信息安全监测办法对中国业务系统和信息系统整体分析和多方面衡量,将对中国信息安全结论的量化提供强有力的帮助,给我国所做出的重要决策实行保密,对中国筹划安全信息建设以及投入,甚至包括制定安全信息决策、探究与拓宽安全技术,都至关重要。因而,制定我国信息安全检测办法,是一项不容忽视的重要工作。
【参考文献】
[1]曹一家,姚欢,黄小庆,等.基于D-S证据理论的变电站通信系统信息安全评估[J].电力自动化设备,2011,31(6):1-5.
[2]焦波,李辉,黄东,等.基于变权证据合成的信息安全评估[J].计算机工程,2012,38(21):126-128,132.
[3]张海霞,连一峰.基于测试床模拟的通用安全评估框架[J].信息网络安全,2013,(z1):13-16.
交通运输业在新的历史时期面临着新的机遇和挑战。必须以网络通信资源开发利用为主线,加快电子政务建设的步伐。
(一)通过全国联网,建立道路数据中心。建立公路、运输业户、运输车辆以及从业人员等大型基础信息资源库。推动各级交通管理部门的目录体系建设。采用数据交换技术,建立行业数据交换平台,形成完善的数据交换指标体系,推动道路运输服务系统的信息化建设。
(二)建立健全交通行业信息化标准体系。以电子政务应用系统数据元标准为核心,以推动标准应用为导向,加强交通运输业信息化建设的标准化工作,完善交通行业信息化标准体系,确保交通运输信息化建设“有标可依”。积极推动智能交通、现代物流、电子数据交换、交通通信与导航及电子地图等信息化推广应用工作。
(三)加大对物流信息化发展的组织和引导力度。积极引导RFID技术、集装箱多式联运等物流信息化研究成果的推广应用,开展公共服务模式的物流信息平台建设。建立和完善公路货运枢纽信息系统,推动农村物流系统、应急保障体系系统、大件运输和危险品运输系统等与人民群众关系密切或“市场失灵”的物流信息平台建设。
(四)建立完善的物流信息平台。以互联互通为目标,启动高速公路信息通信资源整合工程。倡导物流企业间的联合与协作,逐步形成若干具有较强的辐射功能和影响力的区域性物流信息平台。
二、威胁交通运输网络通信安全的因素分析
网络故障基本上都是硬件连接和软件设置问题,也可能是操作系统应用服务本身的问题。网络安全方面的问题有可能是因为电磁泄露、黑客非法入侵、线路干扰、传播病毒、搭线窃听、信息截获等,造成信息的泄露、假冒、篡改和非法信息渗透、非法享用网络信息资源等等。主要表现为计算机打开页面连接浏览器无法与互联网连接和局域网内机器互访信息共享受阻。来自网络安全的威胁因素,根据其攻击的目标和范围不同,对网络的危害程度也不同。网络安全可分为控制安全和信息安全两个层次。控制安全是指身份论证、授权和访问限制。信息安全是要保证有关信息的完整性、真实性、保密性、可用性、可控制性和可追溯等特性。造成对网络威胁的主要原因基本有三:人为的误操作;人为的恶意攻击;计算机网络软硬件的安全漏洞和缺陷。因为开放性、交互性、分散性、脆弱性和连接方式的多样性是计算机网络通讯的共有特征,计算机病毒和黑客入侵是威胁当今网络安全的最主要因素。针对屡屡出现一些技术故障和网络通讯安全方面的问题,探索和掌握一套行之有效的维护网络常见故障的技术和方法是确保网络管理安全运行的关键。
三、交通运输网络通信安全的保障内容
(一)链接网络的安全保障。其是指从技术上和管理上解决网络系统用户应用方面对网络基础设施漏洞、操作系统漏洞和通用基础应用程序漏洞的检测与修复;对网络系统安全性能的整体综合测试;防火墙等网络安全防病毒产品的部署,脆弱性扫描与安全优化;模拟入侵及入侵检测等。
(二)信息数据的安全保障。即是指从技术上和管理上解决信息数据方面和对载体与介质的安全保护和对数据访问的控制。
(三)通信应用的安全保障。指对通信线路的安全性测试与优化,设置通信加密软件、身份鉴别机制和安全通道。测试业务软件的程序安全性等系统自检通信安全的保障措施,对业务交往的防抵赖,业务资源的访问控制验证,业务实体的身份鉴别检测。测试各项网络协议运行漏洞等等。
(四)运行安全的保障。指以网络安全系统工程方法论为依据,提供应急处置机制和配套服务和系统升级补丁。网络系统及产品的安全性检测,跟踪最新漏洞,灾难恢复机制与预防,系统改造管理,网络安全专业技术咨询服务等。
(五)管理安全的保障。包括人员管理及培训,软件、数据、文档管理,应用系统及操作管理,机房、设备及运行管理等一系列安全管理的机制。
四、交通运输网络通信的安全防范措施
随着网络通信安全技术的日益产业化和网络通信安全的法律环境建设的日益完善,交通运输网络通信的安全防范技术也在日臻完善。
(一)保持高度警惕,保持主机和网络上结点计算机的安全。遵循多人负责、任期有限、职责分离三原则。切实提高网络通信安全的防范意识。
(二)控制访问权限,安全共享资源。使每个用户只能在自己的权限范围内使用网络资源。做到开机必查毒,发现必杀毒,经常对系统漏洞补丁升级更新。谨慎下载文档,对于来历不明的电子邮件及附件不轻易用Office软件打开。
(三)选用合格单位的防火墙和防火墙的规则设置、更新。将交通运输局域内网与因特网分隔开来。网络使用者要设置并经常变换口令。对所有进入内网的用户身份进行认证和对信息权限的控制,阻止非授权用户对信息的浏览、修改甚至破坏。对进出内网的数据进行鉴别,防止恶意或非法操作,严防有害信息的侵入。
(四)采用数据加密技术。以不易被人破解为目的,采用密码或计算法对数据进行转换。只有掌握密钥才能破解还原。实现对网络信息数据保密的目的。
五、结语
[关键词]图书馆;网络安全;保障技术
随着信息化热潮的到来,信息资源电子化、数字化已成为现代信息的主要传播方式。作为文献信息保障中心的图书馆的运行模式正在发生巨大的变化,图书馆的业务管理、文献信息服务对网络依赖程度越来越大。但随着计算机网络技术的运用,必须要充分考虑网络系统的安全建设,在维护图书馆网络时,要及时采取有效的措施,以确保整个网络的安全运作。
1.图书馆网络存在的安全隐患
由于互联网络的开放性体系结构,使图书馆信息资源得到了最大限度的共享,为社会带来了一定的经济和社会效益。但同时图书馆网络信息安全也面临来自外部及内部的威胁和攻击的考验。外部威胁主要包括:黑客人侵、计算机病毒、垃圾邮件及黄毒泛滥等,内部威胁主要包括:操作系统的漏洞、软件产品的复杂多样性、电子数据的非物质性、不安全的通信协议、存贮介质的利用、内部人员的职业素质等。其中以网络通信协议、计算机病毒、黑客的攻击、操作系统和软件漏洞为常见的安全隐患。
1.1 网络通信协议的不安全性
图书馆网络最常用的网络通信协议有TCPAP、NETBIOS等,这些开放和标准的协议大多带有安全漏洞。例如,TCPAP协议缺乏有效的身份认证和对路由器协议的安全认证等安全隐患,通信的双方很难确定对方的确切身份及通信时的物理置;NETBIOS协议允许包括未授权用户在内的任何人通过139端口收集信息,外部的恶意用户能够更容易地非法接入网络。
1.2 计算机病毒的入侵
计算机病毒是一种人为制造的、隐藏在计算机系统数据资源中的、能够自我复制进行传播、对计算机系统进行破坏的程序。特别是通过宽带网泛滥的速度之快,蔓延之广。而且计算机病毒更新变化的速度常常让人防不胜防。几乎有80%的计算机用户都受到过来自网络上的病毒攻击。在网络上可通过邮件、网页、局域网、网络下载等方式进行远程攻击。
1.3 黑客的攻击
美国是网络黑客的发源地。随着网络技术的普遍使用,黑客的人数也不断增多,一些黑客软件在网络上广为传播。它可以向被侵入的计算机发送文件,监视被侵入机器的用户操作,封锁或截获其键盘操作,而对方却全然不知。由于缺乏针对网络犯罪卓有成效的反击和跟踪手段,因此黑客的攻击不仅“杀伤力”大,而且隐蔽性强。
1.4 操作系统和应用软件的安全漏洞
Web服务器软件最容易成为黑客主动攻击的对象,Web浏览器的漏洞可能导致用户的个人数据和密码等隐私资料外泄,电子邮件软件遭受蠕虫病毒的传染和攻击更是屡见不鲜,新的网络应用如即时通信软件和对等网文件共享软件都可能遭受攻击,给攻击者提供侵入图书馆网络的后门。
1.5 防火墙自身带来的安全漏洞
“防火墙”,用于实施内部网络和Internet或其它外部网络之间的访问控制,在外部网与内部网之间建立起一个安全网关,从而防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外界屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。但它自身也有其弱点,主要是:(1)难以防止应用程序的漏洞。(2)难于防内。防火墙的安全控制用于“外对内”或“内对外”。但是,防火墙很难解决内部人员对网络的攻击,即防外不防内。(3)难于管理和配置。防火墙的管理及配置相当复杂,它要求防火墙管理人员对网络安全攻击的手段及其系统配置的关系有相当深刻的了解。否则,易造成安全漏洞。
2. 图书馆网络的安全保障技术
2.1 操作系统的安全使用技术
(1)最小化安装必须的组件。很多系统被黑客人侵,大部分是从系统的服务开始,利用服务的漏洞入侵。只安装必须的服务,可大大减少被入侵的机会。
(2)操作系统补丁的更新。漏洞是操作系统致命的安全缺陷,所有的操作系统或多或少都有漏洞,特别是使用最多的Window系统,黑客攻击手段和病毒之间的间隔越来越短。预防操作系统漏洞型病毒最好的办法,就是及时为自己的操作系统打上补丁,关闭不必要的服务以及对系统进行必要的设置。一般来说,操作系统、网络服务系统都提供系统日志,尽可能记录发生的所有事件。多数攻击和病毒能通过系统日志的记录发现。因此,经常检查系统日志,能发现大多数的攻击事件和病毒,从而采取相应措施,以减少损失,并对以后的同样或类似情况进行预防。
2.2 信息加密技术
信息加密技术是网络方面用得较多的一种安全技术。一个加密网络,不但可以防止非授权用户的搭线窃听和人网,而且也是对付恶意软件的有效方法之一。信息加密的目的是保护网内的数据、文件、口令和控制信息不被泄漏、篡改和破坏,保护网上传输的数据不被分析。它不需要特殊的网络拓扑结构的支持,对网络性能影响较小。使用密码技术进行数据通信,其过程就是取得原始信息并用收、发方共同约定的一种特殊编码变换成密文进行传送。
2.3 身份认证技术
身份认证是用户向系统出示自己身份证明并系统查核用户身份证明的过程。保证网络安全的最普遍的做法是身份认证,没有通过身份认证的用户将无法访问网络资源。身份认证是每一个系统保护自身安全最基本的措施。
2.4 防火墙技术
防火墙处于图书馆的内部网络和外部网络之间,是图书馆网络的第一道防线。通常对于外部网络的接入,必须采取的安全策略是防火墙拒绝所有接受特殊的原则。即对所有的外部接入,认为都是不安全的,需要完全拒绝,只能访问事先设置好指定服务器的特定端口,不允许外部网络直接访问内部系统。防火墙的实现技术主要有三种类型:
(1)包过滤型。通过具有特殊功能的路由器,使用报文动态过滤技术,动态检查流过的TCPIP报文头,根据用户定义的规则,决定哪些报文允许流过,哪些报文禁止流过。一般按照源IP地址、目标IP地址、协议、源端口、目标端口的信息作为判断标准。这种类型防火墙的优点是对网络用户透明,使用方便,而且价格便宜。其缺点是不能对用户进行身份认证,难以对付冒名顶替(包括盗用IP地址)的非法用户,因而安全性不够高。
(2)应用网关型。使用技术,通过控制和监督应用层服务的网络连接,在内部网和外部网之间设置一个物理屏障,从而限制外部网与内部网的连接和通信。大部分应用网关型防火墙都只能提供有限的基本应用服务,因而通用性和使用性较差,但其优点也很明显,即安全性高,能进行严格的用户身份认证。
(3)服务型。通常由单独的计算机和专用应用程序承担。与数据包过滤技术和应用网关技术不同,服务技术在内部网与外部网间不存在直接连接,仅实现防火墙内外计算机系统的隔离,同时服务技术可实施较强的数据流监控、过滤、日志和审计等服务。
2.5 入侵检测技术
入侵检测技术作为一种新型网络安全技术,是对防火墙技术的合理补充。目的是提供实时的入侵监测及采取相应的防护手段。主要是通过从计算机网络系统中的若干关键点收集和分析信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象,提供对内部攻击、外部攻击和误操作的实的保护,在网络系统受到危害之前拦截和响应入侵。对于大型图书馆和经常受到不明网络攻击的图书馆来说,部署入侵检测系统(IDS)是非常必要的信息安全防护措施。
2.6 反病毒技术
对于图书馆网络来说,计算机病毒具有不可估量的威胁性和破坏力。对计算机病毒的防范,是图书馆网络安全建设中最重要的一环。
(1)硬件防御,即通过硬件检测的方式将病毒拒之门外,主要形式有防病毒卡和防病毒芯片两种。其工作原理是,在系统启动时,优先获得控制权,即时对系统实施监控,只要发现病毒就予以清除,从而避免病毒对系统的破坏,使计算机具备了免疫能力。
(2)软件防御,即利用软件来防止病毒侵人系统,主要形式是各种杀毒软件。它们在工作原理上的共同之处是:监视常驻内存的程序,防止可执行文件被改写,并且禁止程序直接写入磁盘引导区。
总之,从以上介绍的各种安全保障技术中可以看出,他们都有各自的侧重点和优缺点。只有将各种安全保障技术结合起来使用,才能达到有效保障图书馆网络安全的目的。
参考文献:
[1]曾巧红.构筑图书馆网络安全的防护体系.图书馆论坛,2004(6).
[2]张晓毅.图书馆网络安全浅谈.图书馆工作与研究,2003(3).
[3]彭敏.图书馆网络的安全保障技术.图书情报论坛,2005(3).
[4]朱志文.浅谈图书馆下数字图书馆的安全与防范措施.图书馆界,2004(2).
