时间:2023-09-15 17:30:53
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇公司网络安全需求,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
目前,计算机网络技术被广泛应用在各个领域,极大的方便了人们的生产、生活,尤其虚拟网技术的应用提高了计算机网络安全性,为计算机网络的普及奠定了坚实的基础。本文介绍了计算机网络安全中虚拟网技术,尤其重点对VPN技术进行了探讨,并结合实际的案例对虚拟网络技术的应用进行了研究,希望给虚拟网络技术的应用提供参考,实现计算机网络安全性能的提高。
关键词
计算机网络安全;虚拟网络技术;应用
信息时代的到来,使人们对计算机网络的依赖程度越来越大。同时,各种网络安全事件频发,黑客攻击、病毒感染、隐私信息泄露等一定程度上影响网络正常秩序,给受害人造成了不可估量的损失,因此,有必要对计算机网络安全中虚拟网络技术进行探讨,构建安全稳定的网络环境,更好的为人们的生产生活服务。
1计算机网络安全中虚拟网络技术
为保证计算机网络安全,确保生产工作的顺利进行,人们构建了多种形式的虚拟网,一定程度上提高计算机网络安全性,较为常见的网络有虚拟局域网(VLAN)与虚拟专用网(VPN),其中VLAN根据工作需要将网络节点划分成多个逻辑工作组,有效避免了广播风暴的传播,提高网络传输质量与效率。最重要的是不同虚拟网络之间无法直接通信,进一步提高了网络安全性。VPN是一种利用加密、隧道技术在Internet建立的私人数据网络因其融合了访问控制、用户认证以及安全隧道,使得网络安全性大大提高。考虑到人们对VLAN相关技术比较熟悉这里不再赘述,接下来将重点探讨VPN虚拟网络技术。
1.1隧道技术所谓隧道技术指源局域网信息发送到公网之前,将传输信息作为负载进行封装处理,而后在信息接收端将负载解封便可获得相关信息。采用隧道技术进行信息传输时,为提高信息成功传输机率及信息的安全性,需遵守一定的传输协议,即,隧道协议。隧道协议包括三部分:PPTP协议、L2TP协议以及IPSec协议为VPN中信息的安全传输提供了重要保障。
1.2加密技术VPN中信息加密操作主要有IPSec协议实现,运用一种端对端的加密模式,即,信息传输之前根据协议中的机密规则对信息进行加密,确保在整个网络中信息以密文的形式传输。需要说明的是,该协议对传输信息的加密以数据包为单位,不仅增强了加密灵活性,而且使得数据包在公共网络环境中的安全性得以提升,一定程度上网络攻击的防范效果。另外,在应用该协议的同时,融合物理层保护、边界保护以及用户访问控制,可为数据传输提供更深层次的安全防护。
1.3认证技术为保证数据信息在公共网络中安全传输,VPN还需认证技术的支持。VPN中认证功能主要通过AH、ESP以及IKE协议实现,其中AH协议对认证采用的方法进行定义,负责对数据源的认真以及保证数据源的完整性。该协议工作时将身份验证报头,添加到每个数据包之上,报头中包含有带密钥的hash散列,并在数据包中进行计算,只要信息被修改可导致散列无效,因此,一定程度上保护信息的完整性;ESP协议对可选认证与加密应用方法进行定义。该协议的加密服务是可选的,通常情况下,只对IP包有效荷载部分进行加密,而不加密整个数据包,它可以单独使用,也可与AH一起使用。该协议的的加密部分,主要包括ESP报尾、数据以及上层传输协议信息;IKE协议负责交换密钥,给通信双方构建验证后的密钥以及安全参数。
2虚拟网络技术的应用
2.1需求介绍某公司总部接入Internet的方式为宽带接入,带宽为100M。公司在郑州、洛阳、平顶山、信阳、焦作等均设立分公司,接入Internet的方式为拨号、宽带或ADSL。分公司与公司总部需进行业务信息的传输。其中在郑州、洛阳两地配有性能优越的服务器,为其他分公司提供数据信息服务,而位于郑州的总部需对传输的信息进行分发。随着公司业务的不断扩大,现有网络已很难满足信息传输需要,尤其一些重要信息,对传输安全性的要求较高。同时,由于该公司采用电信提供的专线进行组网,专线租用费用以及通信费用耗费严重,一定程度上了增加了公司的经济负担。另外,电信提供的传输平台在信息传输安全方面多有欠缺,信息传输期间窃取、篡改以及监听的可能性非之大,一旦被不法分子获得传输信息,将会给公司造成不可估量的损失。
2.2需求目标针对公司信息传输实际以及业务开展情况,公司急需安全、稳定、高效的传输网络,在提高自身信息化水平的同时,建立一个全省级的信息服务网络,为信息安全传输创造良好条件。
2.3方案介绍为实现公司信息传输目标,为分公司与总公司信息传输提供安全、稳定的保障拟组建VPN网络具体实现方案为:首先,在公司总部安全一个性能良好的VPN服务器,为移动用户、核心分支以及其他分支与中心实现连接的VPN硬件安全网关,并将总部的VPN硬件网络的安全隧道设置为200个。其次,各分支根据信息传输要求,通过安装VPN客户端增强软件,建立安全隧道。再次,在核心分支两端分别安装VPN网关,完成安全隧道的构建,将VPN安全网络可连接的安全隧道设置为500个。而对于移动用户而言,只需要安装VPN客户端软件,便可实现与内网的通信。
2.4运营结果根据公司对信息传输的需要应用虚拟网络技术组间VPN网络,满足了公司总部与分公司间的信息传输需求,尤其在传输信息加密以及信息认证方面获得了预期的目标,信息传输的安全性得以大大提高。而且减少了在网络自费方面的投入,为公司效益的增加奠定了坚实的基础。
3总结
人们在享受计算机网络给生产、生活带来便利的同时,还应注重网络安全方面的考虑,尤其应注重应用虚拟网络技术实现计算机网络安全的提高,为信息的传输、共享奠定基础,以营造良好的网络秩序,为我国网络技术的进一步发展与应用创造良好的环境。
参考文献
[1]任科.计算机网络安全中虚拟网络技术的应用研究[J].电子技术与软件工程,2015,08:219.
[2]潘林.计算机网络安全中虚拟网络技术的作用[J].网络安全技术与应用,2015,06:31+33.
关键词:水泥厂工控;网络安全;防护建设
近年来,水泥企业信息化和智能化建设发展迅速,抓住了智能制造发展的制高点,信息化是水泥企业信息化建设的必由之路,对企业管理,企业生产和节能降耗都产生了很大的效果。但是对于网络的运行控制和安全保障已成为水泥厂发展中的智能制造问题。为实现企业的转型,我公司介绍了建设和网络安全管理的方法和经验。
1运行控制与网络安全建设背景
1.1信息化建设
在信息化建设初期,我公司的网络安全还不完善,在信息化和智能化建设方面,没有考虑网络管理和安全问题。但在施工过程中,网络安全越来越重要,在实施过程中发现了以下问题:比如OPC协议是目前以信息为基础的通信方式,是实现建筑信息智能传输的重要通信方式,当前正在解决信息隔离问题。公司能源管理系统数据和DCS系统监控数据应通过OPC通信进行隔离和控制,方便员工使用。在出差过程中快速监控直流生产和生产画面,为了监控数据和曲线,我公司采用智能集成工厂,并在手机上安装移动工厂应用程序。在保证网络安全的前提下,我们可以对公司生产的图像进行监控,但是如何管理数据通过网络在手机上移动,基于前面应用实现的方便性,没有必要的安全设施,生产系统的安全是否得到保证。目前,智能物流广泛应用于水泥行业,销售系统和生产统计等其他系统以及数据通信量最大的系统具有最高的安全性。生产原材料多个生产和办公系统缺乏主机管理和控制软件及防病毒,导致控制自动化系统各设备的USB接口,缺乏有效的移动媒体控制状态。系统维护工程师必须定期复制数据,操作人员也可以秘密使用USB接口,存在较大的网络风险。因为发生网络安全事件会导致整个工厂系统瘫痪、服务器崩溃和数据损失等严重后果。我公司从2020年开始实施网络升级改造,优化和提高了管理网络和生产网络的安全性[1-3]。
1.2信息安全保护发展
新的应用没有等级保护标准,缺乏完整的风险评估和安全监测系统,因此很难适应互联网信息安全保护的要求,为了适应新技术和新的应用发展,满足各种系统等级保护的需求威海工业控制领域的云计算,信息系统等方面提供了重要保证,以重要保证为基础,目前工业控制系统网络安全保护还不够,工业控制系统网络安全保护的必要性分析工业控制系统需要使用的许多控制系统,包括,产业生产中监控系统,数据采集系统和分布式控制系统,如PLC等应用广泛,与人们的生产和生活密切相关,本文分析了他面临的威胁。
1.3工业控制系统网络安全事件分析
2019年出现的第一个控制系统,打破离心分离器运行的产业控制器,建立了一个全新的脚本技术和适应大规模应用的完美安全保护体系。祝贺很重要。2018年,黑客利用工业恶性软件攻击乌克兰的一个变电站,导致基辅等地区的供电中断,使用软件自动运行,导致机器控制系统无法正常运行因此,电力网和其他基础设施的安全受到了严重的威胁。例如,2017年有100多个地区受到威胁软件感染的影响,中国的石油和交通受到影响,造成严重后果。
1.4工业控制系统网络应用
目前这些系统由于需求不足,各种业务系统存在潜在的安全隐患,比如远程访问保护要求,大多数工业控制和生产网络的远程维护都是由供应商提供的。渠道使用存在入侵风险。还有网络监控和审核要求,目前行业使用的各种监控软件和审计软件和基础设施还不完善,难以对数据进行有效的控制其次是操作系统漏洞管理需求;工业生产控制系统对网络的要求很高,这就给系统漏洞升级带来了难题,一旦出现安全漏洞,就会威胁到系统运行的安全;恶意代码风险防范要求,在工控系统应用中实际发生恶意代码时,存在着安装杀毒软件和安全隐患等安全防护缺失等重大风险。在分析网络安全需求的基础上,分析了网络安全对人身安全财产安全的影响,为保证网络安全运行所采取相应的措施,建立工业控制系统的网络安全保护策略,实施安全管理体系。根据安全防护工作要求设置专门的部门和人员,由安全管理人员和安全管理人员负责,组织网络安全委员会或领导小组。掌握具体工作,要求做好网络安全防护工作,并根据需要制定相应的管理制度和方法,实现岗位职责和资源的有效分工。配置足够的人力资源,确保网络安全工作的顺利进行,加强与安全供应商和企业的沟通,确保安全,及时掌握事态发展,定期进行安全检查。首先做好检查记录,编制安全检查报告,确保各项工作顺利完成,其次,建立安全管理机构,配备网络安全管理人员;安全管理体系能否有效启动,与组织机构组成、人员配置、工作要求、人力资源配置、协调指导密切相关。对实施网络安全管理等任务,建立有效的安全防护组织体系。加强安全施工管理,在安全施工管理方面,以信息系统的整个生命周期为中心实施安全管理措施,系统审核和控制安全等级等关键环节,加强安全运输和层次管理,结合网络安全威胁和风险的原因和特点,实施安全评价和安全强化,对机舱环境、漏洞和网络、实施设施安全运行维护管理等安全管理,有效变更备份及修复管理和各种安全事件。
1.5安全技术系统建设
安全通信网络设计技术体系和安全通信网络设计的重点是网络结构。利用关键网络设备和电脑设备,以不必要的结构划分安全区域,实现安全隔离。通信传输。使用密码确保通信的完整性和机密性。可以信赖的验证。对于产业控制和网络安全建设的总体规划,应该保护事务网络和管理网络的界限,并且在划分网络层次结构的同时,根据各信息系统的功能,将与管理系统有密切关系的系统划分为控制层,将系统数据并连接外部网络时系统分为电源管理系统等生产管理层,软件系统与管理系统的数据交流较少,企业管理中其他企业管理软件,如智能物流系统的数据交换较多的软件系统,在网络边界处配置入侵防御和防火墙安全产品,实时分析链接的传输数据,阻断链接隐藏的威胁。
1.6边界网络屏障设置
警戒保护并在相关控制系统中读取的所有数据通过网络屏障确保系统的安全。我公司拥有两个DCS系统,一个是加工品水泥生产线的DCS系统,另一个是起到外部控制作用的DCS系统,公司的两个工业控制系统的外部数据传输链接的出口端增加了产业防火墙。所有的管理系统都要通过防火墙来通讯外部数据。进行管理防止系统中未授权的程序和未知存储介质的运行,白色命名单系统由非系统管理者随意使用USB接口或随意复制或安装各种软件,对生产主机进行安全管理、提高设备运行能力,确保各生产业务系统的安全运行。对于安全区域边界设计内容包括警戒保护和入侵预防等,恶意代码和安全审计。对于正在运行的工业无线网络,无线AP或无线路由器由上述端口控制,例如在访问防火墙端口时,以工业防火墙为边界进行逻辑隔离,实现网络区域的有效隔离。从实施网络安全保护的角度分析了安全计算环境,安全计算环境的设计主要内容如下,首先是安全监控,由于工业控制系统的运行环境越来越复杂,新技术和新设备的广泛应用,对环境保护计算具有重要意义。利用数据库协议的分析和控制技术,可以达到阻塞危险命令、控制访问行为等目的。保护数据库运行安全。由安全管理中心建立的安全管理中心具有以下功能,基于工控系统安全管理平台,对登录人员进行动态认证。并且组织安全管理人员和监理人员的授权,实行统一调配管理,其次,还要进行安全监督管理;确认相应人员的身份并监督其工作,如工作日志和门禁等进行安全管理,最后通过集中管理和数据和信息的收集和分析,了解系统运行的安全状态,并采取设施安全防护措施。
2网络运行控制及具体实施
根据上述总体安全策略的要求,我们的办公网络和管理网络被划分为VLAN,VLAN将办公网络和管理网络隔离开来,我们还建造了办公室和机械宿舍,建筑细节如下,公司所使用的防火墙是可以将新的入侵防御系统与网络病毒过滤和杀灭相结合。根据实际管理和控制原则,各子网在网络区域内组织地址区域,避免广播风造成公司网络整体瘫痪,并确定网络故障点。从网络层面分为办公网络和工业控制网络,在两个网络隔离边界上设置网关,在网络隔离的基础上实现数据交换。公司从管理网读取DCS系统数据,并增加双向控制体系。我们公司有两套DCS系统,一个是水泥生产线的DCS系统,另一个是为了余热发电的DCS系统。在配套系统中增加Moxa工业基地的交换机,对工业行为进行审查,通过镜像流动对整个网络进行流量审计和检查,建立专用作业控制运输管理区并通过产业防火墙隔离,设置主机白名单和漏洞扫描,确保网络安全和安全,除上述建设内容外,我公司将根据融合管理体系建立公司的机械住宅和网络布局完善是实现网络化和工业控制的必要手段,具体情况如下:公司已经建立了标准控制网络,并且要求机房独立连接接地网,在静电地板下用10毫米宽的铜箔设置屏蔽网格,确保整个机房连接良好,设置传感器系统,安装恒温系统和自动灭火系统,建立完整的同环检测平台,确保机房不断供电和火灾警报,公司的两个机房采用远程自动备份系统和自动备份服务器系统和软件数据,并可在网络空间发生灾难后迅速恢复,设置网络管理软件。主要是网络扫描,远程监控和警报管理。微信警告,支持网络管理多个资产许可证,便于网络管理,公司客房内多种通信专用线和联合线的双轨连接,确保公司网络实时正常运行,防止专用线路故障导致整个公司网络的瘫痪[4-5]。
3结束语
近年来,水泥企业信息化和智能化建设发展迅速,各企业纷纷实施信息化建设竞争,抓住了智能制造发展的制高点,信息化是水泥企业信息化建设的必由之路,对企业管理,企业生产和节能降耗都产生了很大的效果。但是对于网络的运行控制和安全保障已成为水泥厂发展中的智能制造问题。企业在改造后,公司网络系统运行稳定,网络不会出现由于间断而影响业务和生产,也不会发生系统或服务器中毒事件,各信息系统运行稳定。防火墙和防火墙形成的保护体系运行稳定,预防外部多次的网络入侵攻击和病毒。企业的网络系统结构具有良好的扩展性和安全性,在企业实施不同的信息化项目时,可以更加便利鲜明地将新系统配置在网络结构中,提高系统的线上效率和稳定运行。
参考文献
[1]杨永恩,张国恒.水泥厂工控及网络安全防护建设[J].水泥工程,2019(03):56-59.
[2]金世尧,刘俊.工业互联网在局域网中的安全问题剖析[J].科技风,2021(13):95-96.
[3]李杺恬,郭翔宇,宁黄江,李世斌.区块链技术在工业互联网中的应用及网络安全风险分析[J].工业技术创新,2021,08(02):37-42.
[4]樊佩茹,李俊,王冲华,张雪莹,郝志强.工业互联网供应链安全发展路径研究[J].中国工程科学,2021,23(02):56-64.
关键词:风电企业;信息网络安全;防护体系
1 风电企业信息网络规划和安全需求
1.1 风电企业信息网络规划
一般情况下,风电公司本部均设在远离下属风电场的城市中,下属风电场只做为单纯的生产单元,以国电云南新能源公司为例,本部设在昆明,在云南省拥有多个地州上的风电场,各项工作点多面广、战线长,为有效提高公司管理效率,已建成全省范围安全可靠信息传输网络。本部与各风电场通过ISP提供的专线连接,项目部、外地出差、临时办公机构也能通过INTERNET网以VPN方式联入公司网络,基本满足公司日常管理和安全生产的需要。
图1
1.2风电企业信息网络安全需求分析
从图1可以看出,一般现在风电场的网络不仅要满足管理的日常信息化需求,还要满足于电网交换信息的需求,所以风电场的网络安全任务就是要符合国家和集团的有关电力二次安全规定。严格执行“安全分区、网络专用、横向隔离、纵向认证”的要求,以防范对电网和风电场计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障其安全、稳定、经济运行。
2 风电企业信息网络安全防护体系建设
2.1 网络安全原则
根据国家电监办安全[2012]157号文《关于印发风电、光伏和燃气电厂二次系统安全防护技术规定(试行)的通知》的相关要求,风电场的网络二次安全防护基本原则是以下几点:
2.1.1 安全分区:按照《电力二次系统安全防护规定》,将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理性,重点保护生产控制以及直接影响电力生产运行的系统。
2.1.2 网络专用:电力调度数据网是与生产控制大区相连接的专用网络,发电厂段的电力数据网应当在专用通道上使用独立的网络设备组网,物理上与发电厂其他管理网络和外部公共信息网络安全隔离。
2.1.3 横向隔离:在生产控制大区域管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向隔离装置。
2.1.4 纵向认证:发电厂生产控制大区与调度数据网的纵向连接处应设置经国家指定部门检测认证的电力专用加密认证装置,实现双向身份认证、数据加密和访问控制。
2.2 安全部署方案
风电场业务系统较为繁多,根据相关规定,我们对风电场的业务系统基本分区见表1:
根据划分结果,我们针对不同的分区之间设定了防护方案,部署示意图如图2:
2.2.1生产控制大区与管理信息大区边界安全防护:目前公司从生产控制大区内接出的数据只有风电场监控系统,部署了一套珠海鸿瑞生产的Hrwall-85M-II单比特百兆网闸,保证他们之间的数据是完全单向的由生产控制大区流向管理信息大区。
2.2.2控制区与非控制区边界安全防护:在风电场监控系统与风功率预测系统、状态监测系统等进行信息交换的网络边界处安装了防火墙和符合电网规定的正方向隔离装置。
2.2.3系统间的安全防护:风电场同属控制区的各监控系统之间采用了具有访问控制功能的防火墙进行逻辑隔离。
2.2.4纵向边界防护:风电场生产控制大区系统与调度端系统之间采用了符合国家安全检测认证的电力专用纵向加密认证装置,并配有加密认证网关及相应设施,与调度段实现双向身份认证、数据和访问控制。
2.2.5与本部网络边界安全防护:风电场监控系统与生产厂家、公司SIS系统之间进行数据交换,均采用了符合国家和集团规定的单向单比特隔离网闸。同时禁止厂商以任何方式远程直接接入风电场网络。
2.3 防病毒措施
从某种意义上说,防止病毒对网络的危害关系到整个系统的安全。防病毒软件要求覆盖所有服务器及客户端。对关键服务器实时查毒,对于客户端定期进行查毒,制定查毒策略,并备有查杀记录。病毒防护是调度系统与网络必须的安全措施。病毒的防护应该覆盖所有生产控制大区和管理信息大区的主机与工作站。特别在风电场要建立独立的防病毒中心,病毒特征码要求必须以离线的方式及时更新。
2.4 其他安全防护措施
2.4.1 数据与系统备份。对风电场SIS系统和MIS系统等关键应用的数据与应用系统进行备份,确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。
2.4.2 主机防护。主机安全防护主要的方式包括:安全配置、安全补丁、安全主机加固。
安全配置:通过合理地设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站, 严格管理系统及应用软件的安装与使用。
安全补丁:通过及时更新系统安全补丁,消除系统内核漏洞与后门。
主机加固:安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。
3 建立健全安全管理的工作体系
安全防护工作涉及企业的建设、运行、检修和信息化等多个部门,是跨专业的系统性工作,加强和规范管理是确实保障电力二次系统的重要措施,管理到位才能杜绝许多不安全事件的发生。因此建立健全安全管理的工作体系,第一是要建立完善的安全管理制度,第二是要明确各级的人员的安全职责。
参考文献
[1]李艳.水电企业信息网络安全防护体系建设探讨[J].信息安全,2012(9).
关键词:地市烟草;网络安全;技术;管理
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2014) 02-0000-02
烟草行业自1985年有了第一台计算机以来,经过20多年行业信息化工作者孜孜不倦的努力,行业的信息化建设工作取得了长足的发展,建立了涵盖行业各个方面工作的完备的信息网络,为行业工作的便捷开展提供了可靠的信息化助力,为“卷烟上水平”做出了应有的贡献。但不可否认的是,在信息化建设之初,由于经验的缺乏及技术的限制,没有形成一个具有远见性及科学性,能与行业整体业务发展战略紧密融合的信息网络安全建设战略,导致多年来行业信息网络安全建设工作缺乏统一的导向和组织,虽然各省烟草公司都制定并出台了计算机网络建设与管理规范,指导各地市的信息网络建设,但因为制度出台时间较短,及网络改造需要流程与时间,可以说目前各地市网络安全建设水平仍不够理想,信息网络安全建设发展至今,越来越多的困难与矛盾开始逐渐凸显。
一、地市烟草公司信息网络安全建设现状
地市烟草信息网络是构成全省烟草信息网络的个体,因此地市信息网络安全建设水平便直接关系全省信息网络建设水平,是构成全省信息网络安全建设的一环,就像构成木桶的一板,依据管理学上“木桶效应”的短板理论,木桶的盛水量由构成木桶的最短的一板决定,当有一个地市信息网络安全建设水平大大低于平均水平,就将大大拉低全省烟草信息网络整体安全防护水平。可以说全省烟草的信息网路安全建设必将是环环相扣的,一环均不得松懈,一环均不得落后。
地市信息网络安全建设关系到全行业主干的网络的安全与稳定,而信息网络环境的复杂性、多变性以及系统的脆弱性、开放性和易受攻击性,决定了信息网络安全威胁的客观存在。当行业人员在享受着信息网络给日常办公带来便利性的同时,信息网络安全问题也日渐突出,信息网络安全建设形势日益严峻。结合地市烟草实际情况分析总结(某地市烟草信息网络安全结构图如下),以及笔者日常的实际工作体会,主要可以总结出当前地市烟草信息网络安全建设还主要存在着以下几方面问题:
(一)将信息网络安全建设理解为单纯的安全设备采购
经过多年的信息化网络安全建设投入,一种简单的理念容易令一些行业信息化工作从业者产生误解,即所谓的信息网络安全建设就是网络安全设备的采购,只要网络安全设备采购部署到位,信息网络安全便高枕无忧,从一定角度来说,这种观点并没有错误,随着信息技术的发展,日益先进强大的网络安全设备层出不穷,人性化的操作界面也使得设备使用与配置变得不再困难,对信息网络安全起到很好的保障。各地市烟草公司也在逐年增加着安全设备的采购数量,网络安全随着安全设备的增加看起来已经不再是问题。但实际情况是这样吗?在实际情况中我们仍然会发现,地市烟草在重视网络安全设备采购的时却较为忽视对网络安全设备采购的前期规划,导致亟需网络设备没有得到采购,或者采购的安全设备没有得到很好的实施。造成重复投资及资产浪费的局面,同时设备上线实施后期的运行维护及更新升级,随着时间的流逝,人为的懈怠与忽视,都导致购买的安全设备没有起到最大的作用。
(二)信网络安全建设偏重技术钻研,忽略日常管理
信息网络安全不能完全依赖技术手段来解决,更多的需要从信息安全日常管理上入手,毕竟信息网络的使用者是人,只有对人的管理到位,才能保证在技术手段搭建的网络安全保障平台下不出现人为操作引发的漏洞。当前地市信息化工作从业者在对信息安全技术钻研方面投以了很大的热情,但对信息网络安全日常管理方面却显得无能为力,或者说掌控能力还不够,虽然制定并颁布了涵盖网络安全各方面的信息化制度,但相关制度却没有得到很好的贯彻执行,很多制度名存实亡,而行业各级员工良好信息网络安全使用习惯始终没有得到养成,信息安全问责机制得不到很好实施,同时而信息中心作为相关信息安全管理制度的制定者,受限于部门职能及自身管理水平所限,导致对制度执行的监督管理能力低下。而在信息网络安全管理不力的情况下,致使再强大的技术防护都无法避免管理缺失形成的隐患。
(三)信息网络安全建设重视对外防护,忽视对内防护
当前网络安全建设更多的针对外来攻击的防护,而忽视对内的安全防护,更多的是在网络边界搭设安全设备抵御从外部而来的非法入侵及非法访问,而针对内部终端用户的审计及跟踪则较为缺失。根据统计结果标明,99.9%的网络安全事件来源于网络内部,而只有0.1%安全事件来自于外部,绝大多网络安全事件来自于以内部客户端为跳板进行的网络攻击。当企业内部存在有恶意的攻击者,他们就能较好的规避防火墙等安全设备的安全策略,并把安全策略转向对于他们有利的一面,对内部网络进行攻击。同时外部的黑客,也能通过木马,能让内部用户运行他们指定的程序,操纵主机,窃取数据,这些都源于当前的信息网络建设对来自网络内部攻击防护较为薄弱,同时对内部网络准入控制把控力度做得较为不足,虽部署有桌面终端管理系统,但在相应策略部署上,没有及时到位,而该系统特殊的技术阻断方式,也在一定程度容易导致其阻断率无法达到100%。
(四)网络安全建设应急机制不健全
目前地市信息网络安全建设更多的是重视的日常安全巡检等日常检查工作,但是对网络突发事件的应急处置则较为欠缺,地市网络安全建设应急机制建立不健全,缺乏相应网络事故应急预案及相关演练,对突况的应变不熟练,导致出现突发的网络安全事故时则会变得手忙脚乱,无法很好应对突发事件带来的异常,促使事故造成的损失愈发严重,同时没有良好的容灾备份机制,一旦信息安全事故发生,是否能快速有效的恢复关键数据成为疑问。
二、针对当前网络安全建设现状的一些建议
针对当前地市烟草信息网络安全建设过程中存在的问题,通过一定的分析总结,参照最新的技术规范及管理理念,以及上级的制度规定,我们试提出以下几条改进建议,以达到全面提升信息网络安全建设实用性、科学性、全面性、稳定性的效果,具体如下:
(一)加强网络安全设备采购的前期规划及合理配置实用
网络安全设备的采购应加强前期规划及需求分析工作,不能无目的,无原则的一味追求高新设备,当前的现状是各地市对网络安全的设备采购均存在着档次及匹配性问题,存在过大及追高的弊病,形成投资浪费,同时由于项目管控能力较弱,前期规划不足,购置的设备在配置实施后等不到很好的使用,或起不到原先预想的效果。因此要加强项目前期规划,做好需求调研与需求分析工作,对网络安全设备应起到的效果及采购设备级别有准确的预估,加强采购项目的整体实施管控,并重点关注设备采购后的实施上线工作,做好安全策略的制定和部署,要充分利用设备、活用设备,充分达到应起的效用,在设备正式上线运行后,要做好安全防护策略的及时更新与修订,作好安全设备的日常巡检工作,保证安全设备始终发挥作用,而不是上线运行一段时间后就闲置不管。通过对购置网络安全设备活用、善用,提升资产投资价值,搭建坚固稳妥信息网络安全环境,促进信息网络安全建设的实用性。
(二)建立完善的信息网络安全日常管理体系
加强网络安全建设的日常管理工作,应以培养员工的良好的网络安全习惯为工作重点。所谓信息网络安全建设“三分技术,七分管理”,管理到位,信息网络安全建设也将事半功倍。一味单纯的依靠技术进行网络安全防护,而管理上存在漏洞,再强大的技术也将一无所用。好的技术,加上完善严密的管理,才能确保信息网络安全、坚固、稳妥。因此要注重建立完善信息安全管理保障体系,加强安全监管和信息安全等级保护工作,要对网络设备的安全性和信息安全专用产品实行强制认证。同时在加强对员工日常信息安全理念培训的同时,要与接入网内的计算机终端使用者签订信息安全责任状,树立“谁使用、谁负责”、“谁管理、谁负责”的信息安全理念,严格落实信息安全责任制,确保员工不敢轻易触碰信息安全底限,养成良好信息网路安全使用习惯。通过建立全面多级信息网络安全管理体系,增进信息网络建设的科学性。
(三)加强信息网络安全建设对内防护工作
地市公司目前均在互联网出口及边界架设了硬件防火墙等安全设备,但由于防火墙的特殊技术架构,其对内部通过防火墙外部的数据是不进行检测的,这就导致黑客可以利用内网主机上的后门程序,建立隐蔽信道,攻破防火墙,因此其在抵御外部攻击上起到较好作用,但面对来自网络内部的攻击就显得束手无策,针对这一情况,在进行信息网络安全建设的同时,应重点加强信息网络安全的内部防护工作,而加强对客户端的上网行为审计及网络准入控制,就成了加强信息网络内部安全建设的必然选择。客户端接入网络的同时,通过对其安全状况及授权情况进行检测,只有安全状况符合要求,得到合理授权的客户端才能正常接入办公网络。应在互联网出口处,防火墙之前,部署上网行为管理设备,对客户端出互联网的数据进行检测及筛选,降低客户端进行危险的互联网访问,感染病毒,遭受攻击的分险。通过加强信息网络安全建设的内部防护,提升信息网络安全的全面性。
(四)加强信息网路安全建设应急机制建设及演练
要加强信息网络安全建设的应急机制建设,加强应急预案的实施演练,增强对网络安全突发事件的应急处理能力。每年应进行定期仿真度高的应急方案演练,模拟网络安全事故发生时可能发生的情况,进行针对性演习。在方案演练前,要做好演练前期的方案策划,演练过程的完全记录,演练过后的总结分析工作。并以此来不断改进现有的应急预案。同时应做好容灾备份工作,进行关键网络设备的冗余配置及重要数据库的备份工作,确保发生突发事件后,能够及时进行网络及数据恢复工作,将突发事件带来的影响降到最低,不过多的影响正常办公业务的开展,确保信息网络安全的稳定性。
四、结束语
烟草是个比较特殊的行业,在专卖体制下实行“统一领导?垂直管理?垄断经营”,处于一种行政限产型的垄断状态。行业的特殊性要求我们必须克服特殊体制带来的缺陷,高效的开展行业信息化建设工作。地市信息网络安络,作为全省信息网络的组成部分,其信息安全建设水平决定了全省信息网络安全性与稳定性,其重要性不言而喻,只有重视信息网络安全建设,重视当前信息网络安全建设过程中发现的问题,通过科学的规划,合理的布局,周密的实施,去逐渐改变当前的不利局面,才能确保信息网络安全建设的科学性、全面性、稳定性与实用性,确保日常信息网络的平稳运转,为全行业的快速发展提供稳定强大的信息化助力!
参考文献:
[1]福建省烟草公司.计算机网络建设与管理规范[Z].2012.
[2]卢昱,王宇.信息网络安全控制[M].北京:国防工业出版社,2011.
关键词:网络安全;防护机制;烟草公司;互联网
随着Internet技术的不断发展和网络应用技术的普及,网络安全威胁频繁地出现在互联网中。近年来,网络攻击的目的逐渐转变为获取不正当的经济利益。在此种情况下,加强网络安全建设已成为各个企业的迫切需要。烟草公司的网络安全防护机制和安全技术是确保其网络信息安全的关键所在。只有加强防护体系建设和创新安全技术,才能在保证网络安全的前提下,促进烟草公司的发展。
1县级烟草公司网络现面临的威胁
目前,烟草公司计算机网络面临的威胁从主体上可分为对网络信息的威胁、对网络设备的威胁。
1.1人为无意的失误
如果网络的安全配置不合理,则可能会出现安全漏洞,加之用户选择口令时不谨慎,甚至将自己的账号随意转借给他人或与他人共享,进而为网络埋下了安全隐患。
1.2人为恶意的攻击
人为恶意的攻击可分为主动攻击和被动攻击,这两种攻击都会对烟草公司的计算机网络造成较大的破坏,导致机密数据存在泄露的风险。比如,相关操作者未及时控制来自Internet的电子邮件中携带的病毒、Web浏览器可能存在的恶意Java控件等,进而对计算机网络造成巨大的影响。
1.3网络软件的漏洞
对于网络软件而言,会存在一定的缺陷和漏洞,而这些缺陷和漏洞为黑客提供了可乘之机。
1.4自然灾害和恶性事件
该种网络威胁主要是指无法预测的自然灾害和人为恶性事件。自然灾害包括地震、洪水等,人为恶性事件包括恶意破坏、人为纵火等。虽然这些事件发生的概率较低,但一旦发生,则会造成异常严重的后果,必须严以防范。
2构建烟草公司信息网络安全防护体系
要想形成一个完整的安全体系,并制订有效的解决方案,就必须在基于用户网络体系结构、网络分析的基础上开展研究。对于安全体系的构建,除了要建立安全理论和研发安全技术外,还要将安全策略、安全管理等各项内容囊括其中。总体来看,构建安全体系是一项跨学科、综合性的信息系统工程,应从设施、技术、管理、经营、操作等方面整体把握。安全系统的整体框架如图1所示。安全系统的整体框架可分为安全管理框架和安全技术框架。这两个部分既相互独立,又相互融合。安全管理框架包括安全策略、安全组织管理和安全运作管理三个层面;安全技术框架包括鉴别与认证、访问控制、内容安全、冗余与恢复、审计响应五个层面。由此可见,根据烟草公司网络信息安全系统提出的对安全服务的需求,可将整个网络安全防护机制分为安全技术防护、安全管理和安全服务。
2.1安全技术防护机制
在此环节中,旨在将安全策略中的各个要素转化成为可行的技术。对于内容层面而言,必须明确安全策略的保护方向、保护内容,如何实施保护、处理发生的问题等。在此情况下,一旦整体的安全策略形成,经实践检验后,便可大幅推广,这有利于烟草公司整体安全水平的提高。此外,安全技术防护体系也可划分为1个基础平台和4个子系统。在这个技术防护体系中,结合网络管理等功能,可对安全事件等实现全程监控,并与各项技术相结合,从而实现对网络设备、信息安全的综合管理,确保系统的持续可用性。
2.2安全管理机制
依据ISO/IEC17700信息安全管理标准思路及其相关内容,信息安全管理机制的内容包括制订安全管理策略、制订风险评估机制、建设日常安全管理制度等。基于该项内容涉及的管理、技术等各个方面,需各方面资源的大力支持,通过技术工人与管理者的无隙合作,建立烟草公司内部的信息安全防范责任体系。2.3安全服务机制安全服务需结合人、管理、产品与技术等各方面,其首要内容是定期评估整个网络的风险,了解网络当前的安全状况,并根据评估结果调整网络安全策略,从而确保系统的正常运行。此外,还可通过专业培训,进一步促进烟草公司员工安全意识的增强。
3烟草公司的网络信息安全技术
3.1访问控制技术
在烟草公司的网络信息安全技术中,访问控制技术是最重要的一项,其由主体、客体、访问控制策略三个要素组成。烟草公司访问用户的种类多、数量大、常变化,进而增加了授权管理工作的负担。因此,为了避免发生上述情况,直接将访问权限授予了主体,从而便于管理。此外,还应革新并采用基于角色的访问控制模型RBAC。
3.2数字签名技术
在烟草公司,数字签名技术的应用很普遍。数字签名属于一种实现认证、非否认的方法。在网络虚拟环境中,数字签名技术仍然是确认身份的关键技术之一,可完全代替亲笔签名,其无论是在法律上,还是技术上均有严格的保证。在烟草公司的网络安全中应用数字签名技术,可更快地获得发送者公钥。但在这一过程中需要注意,应对发送者私钥严格保密。
3.3身份认证技术
身份认证是指在计算机与网络系统这一虚拟数字环境中确认操作者身份的过程。在网络系统中,用户的所有信息是用一组特定的数据来表示的;而在现实生活中,每个人都有着独一无二的物理身份。如何确保这两种身份的对应性,已成为相关工作者遇到的难题。而采用身份认证技术可很好地解决该难题。该技术主要包括基于随机口令的双因素认证和基于RKI体制的数字证书认证技术等。基于口令的身份认证技术具有使用灵活、投入小等特点,在一些封闭的小型系统或安全性要求较低的系统中非常适用;基于PKI体制的数字证书认证技术可有效保证信息系统的真实性、完整性、机密性等。
4结束语
综上所述,安全是烟草公司网络赖以生存的重要前提,网络安全的最终目标是确保在网络中交换的数据信息不会被删除、篡改、泄露甚至破坏,从而提高系统应用的可控性和保密性。因此,烟草公司必须具备一套行之有效的网络安全防护机制,增强自身网络的整体防御能力,研发网络安全立体防护技术。只有建立完善的信息安全防范体系,才能使烟草公司内部的重要信息资源得到有效保护。
参考文献
[1]张珏,田建学.网络安全新技术[J].电子设计工程,2011,19(12).
关键词:网络、安全、VPN、加密技术、防火墙技术
1绪论
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。
2方案目标
本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求。
需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点:
1.采用多层防卫手段,将受到侵扰和破坏的概率降到最低;
2.提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;
3.提供恢复被破坏的数据和系统的手段,尽量降低损失;
4.提供查获侵入者的手段。
网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。
3安全需求
可用性:授权实体有权访问数据
机密性:信息不暴露给未授权实体或进程
完整性:保证数据不被未授权修改
可控性:控制授权范围内的信息流向及操作方式
可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
险分析
网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
5解决方案
5.1设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
1.大幅度地提高系统的安全性和保密性;
2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分步实施原则:分级管理分步实施。
5.2安全策略
针对上述分析,我们采取以下安全策略:
1.采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。超级秘书网
2.采用各种安全技术,构筑防御系统,主要有:
(1)防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
(2)NAT技术:隐藏内部网络信息。
(3)VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。
(4)网络加密技术(Ipsec):采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
(5)认证:提供基于身份的认证,并在各种认证机制中可选择使用。
(6)多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。
(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
3.实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。
4.建立分层管理和各级安全管理中心。
5.3防御系统
我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。
参考文献:
[1]雷震甲.网络工程师教程.[M].北京:清华大学出版社,2004
一、网络安全人才队伍建设的重要性
(一)网络安全人才是保障经济安全的基础
由于信息网络技术的迅速普及, 经济发展与信息技术的发展息息相关, 在生产、分配、消费的每一个环节中都伴随着信息的获取、加工、传输、储存。世界各地的企业利用网络来发现新市场,开拓新产业,在全球范围内加速了商品和服务贸易,有力地促进了全球经济发展。我国各行各业对信息网络系统的依赖程度越来越高, 越来越多的公共服务、商业和经济活动基础设施与互联网相连,这种高度依赖性将使经济变得十分“脆弱”。一旦信息网络系统受到攻击, 不能正常运行或陷入瘫痪时, 就会使整个经济运行陷入危机。而且网络犯罪对各国经济安全造成的危害难以估量,规模庞大的全球黑客产业链和地下经济吞食着各国经济利益。保障经济安全需要加强安全管理,安全管理的关键是网络安全人才的培养和储备。
(二)我国网络空间安全形势非常严峻
根据国家互联网应急中心的数据,中国遭受境外网络攻击的情况日趋严重,主要体现在两个方面:一是网站被境外入侵篡改,二是网站被境外入侵并安插后门。2012年网站被植入后门等隐蔽性攻击事件呈增长态势,网站用户信息成为黑客窃取重点。2012年,国家互联网应急中心共监测发现我国境内52324个网站被植入后门,较2011年月均分别增长213.7%和93.1%。2013年前两个月,境外6747台木马或僵尸网络控制服务器控制了中国境内190万余台主机,境外5324台主机通过植入后门对中国境内11421个网站实施远程控制,我国网络银行和工业控制系统安全受到的威胁显著上升。发起网络攻击的既可能是国家,也可能是、网络犯罪集团、商业机构、个体网民等“非国家行为体”,网络安全威胁日益增加,需要大量的网络信息安全人才应对威胁。
(三)全球已经进入网络战争时代
网络空间正在成为军事战略的重要资源,伴随着世界军事网络的发展步伐,网络技术的军事运用呈现“井喷”之势,“网军”已经整装待命。2009年,网络安全公司麦克菲报告称,全球已经进入网络战争时代。在信息战的大背景下,数千年沿袭下来的“短兵相接”战争局面将不再重要,网络成为实现国家安全利益的重要利器,爆发网络空间冲突的可能性在加大。2010年底,名为“震网”的蠕虫病毒曾袭击了伊朗核设施的电脑网络,这被认为是美国开展网络战的重要实践。2012年伊朗遭受名为“火焰”的网络病毒袭击后,以色列国防部长巴拉克高调宣布将“网络战”作为攻击手段,以色列的证交所、银行也曾多次遭遇来自阿拉伯国家的网络袭击。各国政府迫切需要受过专门训练的人才,对抗网络军事入侵,并维护国家网络安全。
二、我国互联网安全人才队伍建设存在的问题和原因
(一)问题
1、精通信息安全理论和核心技术的尖端人才缺乏
目前,我国网民数量超过5亿,互联网应用规模达到世界第二位,已成为互联网大国。但整体上看,我国难以称得上是互联网强国,在互联网产业的硬件、软件、网络模式等方面均处于劣势,主流产品依赖国外进口,基础信息骨干网络70%—80%设备来自于思科,几乎所有超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科掌握。主流核心产品提供商中,外资企业或外资控制的企业占据主导地位,特别是第一代互联网(IPv4)的13台根服务器主要由美、日、英等国家管理,中国没有自己的根服务器,网络信息安全面临着严重威胁。我国主导信息安全问题较为困难,互联网信息安全防范能力,远低于欧美等发达国家。主流产品对国外公司的依赖源于我国自主研发能力弱,缺乏掌握核心技术的高端互联网产业人才。
2、互联网信息安全人才供需不平衡
国际数据公司的报告显示,到2013年,全球新增的IT工作职位将达到580万个,仅在亚太地区就将新增280万个岗位,其中安全方面的投入和人才需求占有较大的比例。2012年11月底,工信部中国电子信息产业发展研究院数据显示,我国共培养信息安全专业人才约4万多人,与各行业对信息安全人才的实际需求量之间存在50万人的差距。与全球对信息安全人才的需求相比,我国面临着巨大的缺口,网络安全人才需求更为紧迫。高等院校中优秀的信息安全师资力量缺乏,高校对于信息安全教学人才非常渴求,这些现状都反映社会需求与人才供给间还存在着巨大差距,人才问题已经成为当前制约信息安全产业发展的主要瓶颈。
3、信息安全人员综合素质有待提高
任何一种安全产品所能提供的服务都是有限的,也是不全面的,要有效发挥操作系统、应用软件和信息安全产品的安全功能,需要专业信息安全人员的参与,并发挥主要作用。但目前信息安全人员多数为其他岗位人员兼任,且非信息安全专业人才,通常是在进入岗位后根据职能要求,逐步熟悉、掌握信息安全技术知识,虽然具备了一定的信息安全技术与管理能力,但普遍存在安全知识零散、管理不成体系等先天性不足。在当今飞速发展的信息安全领域,非专职信息安全人员在忙于众多事务管理的同时,难以持续关注、跟踪最新的信息安全技术发展趋势和国家、行业的政策、规范、标准等最新要求及实施情况,缺乏知识储备和经验积累,造成缺乏懂技术、会管理和熟悉业务的信息安全人才。
(二)原因
1、信息安全学科人才培养体系还不完善
我国已把信息安全人才培养作为信息安全保障体系的重要支撑部分,尤其把培养高等级人才、扩大硕士博士教学放在重要方面。教育部共批准全国70所高校设置了80个信息安全类本科专业。但是信息安全专业起步较晚,培养体系跟别的学科和行业还有差距,人才培养计划、课程体系和教育体系还不完善,实验条件落后,专业课程内容稍显滞后,专业教师队伍知识结构需不断更新,信息安全人才缺少能力培养。急迫需要国家政策支持信息安全师资队伍、专业院系、学科体系、重点实验室建设。
2、网络信息安全人才认证培训不规范
我国对网络安全人才的培养主要是通过学历教育和认证培训两种方法,网络安全技术人才的培训和认证主要有IT行业的CISP认证、NCSE认证等,培养网络安全员和网络安全工程师。这对弥补基础网络安全人才不足,培养应用型人才较为实用,但IT行业培训和认证常缺乏必要的计算机理论基础和系统性知识,小批量、短期的培训往往形不成规模,仍无法填补网络安全人才的巨大缺口。
3、信息安全组织架构不健全
信息安全是在信息化进程中快速发展起来的,但在信息技术快速发展与信息安全知识快速更新的情况下,由于在政府部门、企事业单位中信息安全组织架构不健全,未能完成信息安全人才的培养与储备。造成当前信息安全人才与实际信息安全工作技能要求的脱节,以及部分领域信息安全人才的缺失,信息安全保障工作难以落地。
4、信息安全人才缺乏激励机制
信息安全保障工作的后台性使信息安全管理人员的工作绩效得不到完整的体现,在实际工作中甚至遇到其他业务管理人员的不理解或不配合,造成真正的人才反而评价不高。由于缺乏有效的激励机制与人才评价机制,挫伤了人才的积极性。
三、网络信息安全人才队伍建设政策建议
(一)制定网络空间安全人才规划
国家制定《互联网空间安全人才战略规划》,明确战略目标和战术目标,增强公众网络行为风险意识,扩大支持国家网络安全人才储备,开发和培养一支国际顶尖的网络安全工作队伍,建立一个安全的数字化中国;启动《国家网络空间安全教育计划》,期望通过国家的整体布局和行动,在信息安全常识普及、正规学历教育、职业化培训和认证三方面开展系统化、规范化的强化工作,来全面提高我国信息安全能力;制定《网络空间安全人才队伍框架》,统一规范网络空间安全人才专业范畴、职业路径,及其岗位能力和资格认证等。
(二)健全网络信息安全组织架构
网络信息安全涉及网络、主机、应用、数据等多方面,管理要素多、专业性强,组织开展信息安全保障工作需要建立一套完整的信息安全组织架构体系。在各级政府机关、企事业单位组织架构中应成立专职的信息安全主管部门,负责编制信息安全规划,指导信息安全建设,制定信息安全总体策略,监督检查信息安全管理与技术防护情况。各业务部门应配备兼职或专职信息安全员,负责本部门业务应用中的信息安全保障工作。同时还应根据不同岗位要求着力培养信息安全人才,特别是懂业务、经验丰富的高端技术与管理人才。
(三)构建网络安全治理体系
构建网络安全治理体系是确保各项规范、标准和制度落地的重要保障。网络安全治理体系包括安全管理体系和安全技术体系。安全管理体系明确各部门在网络安全规划、建设、运行维护和改进完善等阶段的工作任务、要求和责任。安全技术体系根据网络安全涉及的不同环节从网络、主机、数据、应用等方面实施相应的安全技术措施。针对不同岗位要求选择合适的人才,在确保合规性的基础上,根据需求,引入外部力量提供专业化的安全技术支撑,弥补现有人才数量与结构的不足。
(四)推动产学研相结合培养网络安全人才模式
以企业需求为导向,大力推动产学研相结合的培养模式。借助企业中的国家级和部级重点实验室、国家级科研项目等科研平台,使得优秀学生能够随时随地直接参与各类科研项目;让本科生和研究生进入实习实训基地,为培养动手能力很强的一流信息安全人才提供良好条件;将教学任务融入到科研工作之中,以科研项目的形式来建设信息安全本科教育专业实验室。在信息安全实践过程中培养技术人才,培养学生具有较强的综合业务素质、创新与实践能力、法律意识、奉献精神、社会适应能力,形成能够满足各方面需求的信息安全人才就业体系。
(五)形成完整网络安全人才培育体系
要建立并完善以高等学历教育为主,以中等职业教育、业余培训、职业培训和各种认证培训为辅的网络安全人才培养体系。加强信息安全学科的重要性是保障人才培养的第一步,应该把信息安全学科提升为一级学科。政府在认证培训方面加强立法,立法内容应该涉及到认证培训的教学体系和内容,培训时间和考试管理办法,还应该规定哪些岗位的人员必须持什么样的证书,以及接受培训人员的管理等。
(六)加大网络安全人才培养项目投入
1、推动各种网络安全人才计划
从2010年开始,教育部就启动了“卓越工程师教育培养计划”,旨在造就一大批创新能力强、适应经济社会发展需要的高质量各类型工程技术人才。应继续加大在这方面人才计划的投入力度和支持范围。
2、扩大奖学金资助范围
推动“信息安全保障奖学金计划”,选拔优秀网络安全人才纳入资助培养计划,资助信息安全专业的本科生与研究生,并在其毕业后安排至关键岗位工作。建立网络安全“生态系统”概念,人才从娃娃抓起,网络安全要进入中小学教学课程,积极向中小学拓展信息网络安全教育,提升中学生对于网络安全的认知,为选拔网络人才打下坚实基础。
3、营造网络竞争与对抗氛围
政府联合地方部门或企业,举办网络攻防竞赛与对抗演习,通过实战化竞争来甄选、培养、锻炼未来的网络安全精英。主要有4种方式:直接组织的网络公开赛,企业出资赞助的高校网络联赛,军方直接组织网络演习,推出网络快速追踪计划,甄选民间优秀网络人才,以签订商业合同的方式,让网络攻防技能出色的小企业和个人参与其短期项目,从而将民间网络黑客力量也纳入其网络人才队伍。
4、加大互联网安全基础研究投入
目前信息产业正处于技术变革的前沿,大数据时代即将到来,并可能带来新的经济繁荣周期。我国应该加大对信息产业的投入,特别是增加相关基础研究的投入,大力培养互联网信息安全人才,发展具有自主知识产权的软件与计算机硬件研发,创新机制支持新技术应用,为确保我国未来网络信息安全提供技术支撑。
(七)完善激励和培训制度,激发工作积极性
信息技术的迅猛发展极大地促进了网络在企业的普及应用,当今的企业必须采用能够充分利用结合优秀的传统方法及连网计算的新业务模式,来获得竞争优势。对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各企业必须独立确定需要多高级别的安全,以及哪种安全能最有效地满足其特殊业务需求。这些问题仅靠安全解决方案是无法完成的,而是企业安全管理必须解决的问题。企业邮箱是公司架设的服务于公司内网用户的企业级邮箱。
1 网络安全管理系统的应用
公司通过使用莱恩塞克内网安全管理系统和金山毒霸网络版的配合使用,将公司整个网络设备对病毒的查、杀、防列入到网络管理体系当中。
1.1网络安全系统的需求分析
企业网络安全管理涉及的需求有诸多方面,仅就计算机网络系统集中管理、网络数据存储与备份管理,两方面进行说明。
1.1.1计算机网络系统集中管理
实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。
通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。
通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。
1.1.2 网络数据存储备份管理
互联网与信息技术的蓬勃发展,在提高了各个行业企业日常业务运营效率的同时,也极大增加了企业内部的数据负担。随着Internet、Intranet及Extranet等网络数据量的指数级增长、以及数据类型的不断丰富,企业IT管理人员面临着系统应用数据完整性、安全性、可用性等方面的严峻挑战。他们必须能够确保企业数据得到有效的保护,并在故障出现时迅速准确的予以恢复,以最大限度减小企业可能的损失,实现业务的持续、正常运转。
1.2 网络安全系统的功能
系统投入使用以来,有效地解决了公司信息部门多年以来实际工作中遇到的网络管理难题,系统实现了对局域网内的所有设备的数量、型号以及配置的统计,还对突发故障及时报警和诊断,对最新病毒、黑客攻击进行报警判断并作出有效的控制,对软件的远程自动分发和恢复安装功能,通过分发使网内的各个终端计算机实时的进行系统升级以及防毒软件的日常升级需求。
1.3 网络安全系统的应用成果
对于近期危害严重的网络arp病毒一旦局域网内的计算机感染此病毒,由于此病毒通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量导致网络瘫痪以往我们发现此类故障后只能现场查看网内每台机器来排查此病毒费时费力工作效率大大降低,现在通过金山毒霸网络版的病毒日志可以有效地得知病毒来源予以查杀,对于无法杀除病毒的机器通过莱恩塞克内网安全管理端对ip地址和MAC地址绑定功能控制交换机端口,禁止感染病毒的计算机进入网络,使网络中病毒的传播范围达到最小,把损失降到最低,还可以对内网机器准确的定位,有效杜绝了内部人员未经允许修改自己机器的ip地址,导致其它人员的ip地址被盗用,危险时会使网络内重要的服务器因ip地址被占用而停止服务的危险隐患。在信息中心利用管理软件得远程指导、远程维护功能可以对网内计算机操作人员的违规操作进行有效的监视,如上网、运行非法软件、记入到网络日志,并快速的提出警告。如果哪台机器感染病毒,迅速报警并采取措施。对于远程计算机的监视和控制就像操作自己的计算机一样,避免了跑路,提高效率。在信息中心可以统一向各计算机用户批量快速发送软件的升级补丁,发送信息,节省了人力,物力。
2 企业邮箱的应用
邮件系统,在办公自动化的今天,尤其显得重要。对于许多企业来说,离开了E-mail,工作已经不能顺畅的开展了。目前许多企业通过租用的外部邮箱系统的方式来解决邮件通讯问题。但租用的外部邮箱系统,除了需要花费昂贵的租金外,还不易于管理,同时在邮件安全、提高办公效率等都遇到了瓶颈。而拥有可靠的邮件系统是现代企业顺利发展的必要基础配置,也利于企业进一步提高自身形象。概括起来讲,企业邮箱达到的主要指标如下:
1)实现内外网络分离;
2)邮箱访问速度极快,内网用户文件上传下载文件速度可达10兆每秒;
3)邮箱拥有的公共地址簿,使用户使用邮箱时,方便得查找目的用户,提高了邮箱的使用效;
4)邮箱全部注册用户以真实身份进行注册,用户名称也使用真实姓名的英文拼写,防止了匿名内外网用户对网络安全的破坏,方便了管理员对网络安全的监控;
5)远程管理方便,管理员可以随时在互联网上对邮箱进行管理,提高了管理的效率;
6)邮箱正式运行后较稳定,邮件收发正确率,文件传输正确率100%,稳定运行时间95%以上。
4 结论
总的来说,一个具有主动性的网络安全模型是以一个良好的安全策略为起点的。之后需要确保这个安全策略可以被彻底贯彻执行。最后,由于移动办公用户的存在,企业和网络经常处在变化中,需要时刻比那些黑客、蠕虫、恶意员工以及各种互联网罪犯提前行动。要做到先行一步,应该时刻具有主动性的眼光并在第一时刻更新的安全策略,同时要确保系统已经安装了足够的防护产品,来阻止黑客的各种进攻尝试。虽然安全性永远都不是百分之百的,但这样做足可以使企业网络处于优势地位。
参考文献
[1]广域网与局域网.
[2]TCP/IP实用技术指南.
[3]网络分析与设计.
[4]计算机网络安全与加密技术.
[5]莱恩塞克内网安全管理使用手册.
[6]Winmail server技术使用手册.
当今世界,人们仅依靠使用已有的各种安全产品和技术去应对复杂多变的信息安全事件已经相当困难,因此,对于面对安全管理难题的CSO来说,只能选择技术的联合。
信息安全问题的日益复杂,使传统的、将多种安全设备简单堆叠的防护方式很难达到既定的目标。人们逐渐清晰地认识到,安全防护需要一个综合、动态、各单元安全产品间互联、互动、互操作的整体。
在这种背景下,能提供对网络安全设备进行集中管理与配置、对网络安全状况进行检测与控制等功能,并能提高网络运行效率、降低管理成本、实现网络安全可视化管理的安全管理平台已逐渐成为当前社会研究和应用的热点。
需求之殇
网络与信息安全事件的特点在于:突发、多样和不可预知性,往往在短时间内就造成巨大损失。这种特点决定了在信息安全领域,防御要比攻击难得多。防御方需要掌握更全面的系统、软件和网络等知识,甚至要求防御方本身也具有网络攻击的知识和相关经验,达到“知己知彼”的能力和“魔高一尺,道高一丈”的境界。这样高的要求决定了防御方不仅要有很高的技术水平,更需要充分利用所有人力、物力、信息、技术等资源,团结起来应对安全事件。
由于目前各类安全产品和技术的管理复杂性较高,安全本身又具有“木桶效应”,所以如何降低安全管理难度、提高安全管理效率已经成为安全保障中急需要解决的重大问题。因此,无论是最终用户,还是专业技术人员,在进行安全管理时,都需要一种具备能够快捷方便地发现安全事件、及时预警定位、快速响应联动的综合管理系统。当前,网络系统的安全不能仅靠几件相互孤立的安全产品来保证,而需要通过综合使用多种安全产品,配置多种防护技术,构建一套安全体系来实现。但是,由于各种网络安全设备的配置和管理日趋复杂,管理工作也变得越来越困难,于是,安全管理平台就应运而生。
管理之痛
安管平台通过统一的管理中心调用各网络安全产品,对整个网络安全状况进行检测和控制,以提高网络的安全性、可用性和可靠性,在整体上提高网络运行的效率,降低管理成本。安管平台在安全防护系统中起到承上启下作用,是安全产品和安全策略之间的纽带。对于安全管理人员而言,安管平台能够搜集网络中所有安全产品的数据信息,并对这些数据进行汇总和分析处理,把处理后的信息(包括报警信息、历史数据、统计信息等)反馈给安全管理人员。这些信息不是单个设备的信息,而是整个系统的综合安全运行信息。
从市场供应来看,目前国际上安全管理的主流市场仍旧由IBM、Symantec等国际知名公司占据;国内安管市场处于逐步发展阶段,还没有形成激烈竞争的态势,但由于国内安全需求与应用的复杂性,国内安全管理厂商反而因销售价格、更能适合国内用户的应用环境等优势,而在此领域将有较大的发展空间。
最新预测表明:国内2005到2007年,网络安全资源综合管理平台软件产品市场份额约分别为1.5亿、3.2亿和7.5亿人民币,其每年100%以上的增长速度远大于其他网络安全产品的增长率,这也从一个侧面反映出我国对网络安全资源综合管理平台软件的迫切需求。安管平台产品已成为我国网络安全市场的一个重要组成部分。
【关键词】电力公司;网络运行;安全管理;网络运维
0.引言
确保信息网络的运行,属于每一位信息化工作人员一直追求的目标,可是怎样才可以将目前的网络建设好、维护好成为了大家最为烦恼的事情。网络运行的安全管理维护是一项及其漫长的历程,可是随着网络覆盖率不断攀升,业务系统的不断扩大,反而导致很多人出现了困惑,一直在为网络管理付出努力,怎样才能真正的将网络管理建设良好成为了大家共同思考的一个话题。
1.网络运维安全管理的实施背景
由于电力公司业务的不断拓展、管理的不断细分,使得网络覆盖率不断扩大,规模不断攀升,网络管理内部的各项设施以及系统均在成倍递增,在网络运行的安全管理当中,很多问题逐渐显露出来,这直接危害到网络运行的安全。
1.1网络运行故障率较高
近几年来,网络运行的故障率出现上升现象,其根本原因主要有两方面:
首先,网络建设时针对网络运行管理并没有一个统一的规定,很多网络管理到了后期运行阶段越发不适应发展的需求。
其次,平时的管理过于散漫,各部门为了达到业务的需求,往往会忽略网络资源的科学配比,对于网络配比较为随意,这样无形中加大了网络运行故障率的上升。
1.2故障处理率较低
网络运行的故障处理率较低的根本原因在于网络配置没有一个统一的规定,主要体现在以下两点:
首先,网络运行的故障率具有个性化,技术人员在对下级进行排故障指导时,花费了过多的时间去问询网络配置的基本信息,因此错过了处理问题的最好时间。
其次,故障解决方案通常只适合事发机构,无法进行推广、共享,无法从本质上提升网络运行的质量。
1.3规范化管理的程度较低
电力公司的网络运行在出现故障、监控以及变更、设备管理以及配置备份,均缺乏一个长期规范的管理,主要依靠网络管理人员的技术以及责任感,维护人员只是扮演一个救火员的工作。相对比而言,在管理方面依旧具有较大的差距。
因此,电力公司网络运行的配置需要一个统一的思路、统一的规范、统一的模式,来实现电力公司网络运行安全管理的自动化、明朗化、统一化,也就是将网络配置更加规范化。
2.电力公司网络系统运维安全管理工作具有哪些问题
(1)运维管理的工作人员通常身兼数职,既要负责项目的建设,还要负责运维的管理,这样很容易出现偏技术、轻管理;偏项目、轻运维的现象发生。
(2)运维管理的流程无法达到规范,解决问题时过于随意,在处理问题的过程中记录不详细,设备以及系统运维的账目漏洞较多。
鉴于以上原因,可以试着将运维部门的项目建设重担卸掉,创建一个单独的信息网络系统运维管理部门,严格遵守运维管理的制度,通过电力公司的信息网络综合管理部门,提升运维故障的效率以及定位速度,积极的处理运维问题,提升运维的服务质量。
3.确保网络运行安全管理的主要技术方法
3.1合理设置防火墙
设置防火墙的理念是为了不至于计算机网络的信息泄露出去,它针对网内、往外的通讯设施采取强制性的访问控制,以此来维护计算机的网络安全。它对于网络的传输数据进行安全排查,对计算机的网络运行执行监控。一个完善的防火墙可以有效的阻隔危害计算机用户的信息,为影响电脑的危害性因素提前打好预防针。
3.2入侵检测技术
合理的配置网络防火墙可以很好的提升计算机网络的安全,有效降低网络风险,这不但要通过防火墙来实现,还应当通过网络入侵检测技术来进行,由于网络里的入侵病毒自身可能就处于网络内部,而且再好的“预防针”也有出现漏洞的时候,这样就很容易让入侵者钻了空子。并且,防火墙自身并没有检测功能,所以入侵检测是一项必不可少的技术。
3.3安全扫描技术
通常来讲,我们可以把网络安全的扫描技术当做是防火墙以及入侵检测技术的配套工具,通过它们的相互配合,可以提升网络的安全性能。运用网络安全扫描技术可以将一些网络存在的安全漏洞检测出来,进一步提升了网络运行的安全。
3.4身份认证技术
身份认证技术主要使用在互联网当中,很多通讯都需要进行客户的身份认证,以此为准则为客户开启私人的互联空间。
3.5虚拟专用网技术
虚拟专用网是一项可以将处在异地的两个网络透过因特网构成相互的链接,并不是为其建立了一个专用通道,通常将此类运用公共网络形成的异地网络链接被称之为虚拟专用网。
3.6访问控制技术
访问控制技术是针对不同客户对于信息资源设置的访问限制,是有效预防合法用户超越范围的运用信息资源的一种约束方法,目前运用的两种访问限制分别是强制访问限制以及自主访问限制,可以透过访问控制表来进行客户的分类、资源的分类以及安全标签的分类,合理的实现信息资源以及客户的访问控制。
3.7隐藏IP技术
IP地址对于用户的计算机网络安全危害很大,很多网络黑客都是透过特殊的网络探寻到用户的IP地址,之后对其发起网络病毒攻势。隐藏IP是指透过用户服务器上网,预防网络黑客探寻到自己的IP。
4.结束语
在现代社会里,计算机的技术发展的非常迅速,而造成网络安全的因素也逐渐增多,未来对于计算机网络安全来讲,或许要面临的问题更加复杂。但是,只要我们可以将防范措施统一化、提升技术和管理,就一定可以为计算机网络安全创造一个良好的环境。 [科]
【参考文献】
[1]陈丽君.浅谈计算机网络安全管理[A].2007中国科协年会——通信与信息发展高层论坛论文集[C].2007.
关键词:通信网络;安全性;分析
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)20-4680-02
Analysis of Enhancing Communication Network Security Technology
LIU Wei-hong ,YANG Hai-ying
(Communications Companies in Henan Nanyang Oilfield , Nanyang 473132,China)
Abstract: Since the beginning of the new century, network technology has been developed and applied rapidly, it gives people's production and life brought great convenience, but also implied some potential security threats. In this paper, the relevant content of the communication network security are analyzed, this paper puts forward some improving communication network security measures, so as to provide reference for promoting the healthy development of network security.
Key words: network security; analysis
随着网络通信和人们的日常生活联系的越来越紧密,网络运营商保障通信网络的安全直接关系到用户的切身利益。在生活中通信无处不在,它已经全面地渗入到社会、政治、经济以及日常生活的各个角落,并发挥着不可替代的重要作用,这些都要求通信网络具有良好的安全稳定性,只有以安全稳定性为前提,通信网络才能更好地发挥作用,促进社会的发展进步。
1 通信网络安全的相关内容
当前而言,在通信领域对通信网络安全的理解上存在一定的差异,而总体上看,它是通过相应的技术措施、组织机构与制度、人员以及外界环境的共同作用,最大限度地保证通信网络可以稳定运行,完成其所承担的任务,在这一过程中要能够保证网络通信不会被非法利用、受到监控以及恶意攻击等。所有围绕这些工作而开展的活动共同构成了通信网络安全工作。
在对通信网络进行分类时,按照性质来划分,可将通信网络安全问题划分为传统安全问题与非传统安全问题。传统通信网络安全是因通信网络结构、路由网络组织、信息业务关系、线路与端口配置以及抵御破坏等所面临的问题。它主要包括通信网络的拓扑结构、单节点单路由所出现的问题。这些问题在传统通信网络中具有普遍性,主要是通过在设计、搭建以及运行过程中进行优化来将问题予以解决。非传统通信网络安全是因外部环境中存在的,利用不正当的手段对通信网络存在的缺陷、漏洞等进行非法利用、探测以及恶意攻击等不正当行为。这类的通信网络安全问题是由于网络外界环境发起的主观破坏,对通信网络实施的趋利性恶意攻击,而这样的通信网络安全同样不容忽视,主要包括非法利用、探测以及恶意破坏等。如对宽带进行非法私自接入、移动通信盗号以及呼叫号码的隐藏修改等,利用木马程序对互联网发起攻击以及对无线电通信等实施的劫持干扰等恶意破坏,这些行为都会给用户造成巨大的影响,通信网络运营商必须要积极主动应对,切实保护好用户的通信隐私与通信安全。当前在面临日益突出的通信网络安全问题时,通信网络运营商面对的是机遇与挑战并存的格局。一方面,人们高度关注通信网络存在的安全问题,将使市场对网络安全产品的需求量持续增长,而通信运营商具有得天独厚的网络基础资源。另一方面,用户在选择通信网络服务时,也会对运营商的通信网络安全建设进行观察,优选安全稳定的运营商为自己服务。因此,加强通信网络安全建设是为用户提供优质服务的前提条件和基础。通信网络运营商要真正意识和领悟到强化网络安全的重要意义,全面提升通信服务水平。
2 通信网络安全防护原则
在进行通信网络安全建设方面,要切实按照国家的相关要求严格执行,在网络安全工作中要采取积极防御的措施,进行全方位的防护,分级进行保护等。运营商要具有主动防护意识、对关键系统进行重点保护,出现网络安全问题后要快速响应、积极处置,最大限度地保障通信网络安全稳定。
具体而言,当有通信网络安全问题出现时,通信网络运营商要积极应对避免给自己带来被动的形势,这也需要通信网络运营商在平时的工作中就应当对通信网络安全保障系统进行检验维护,并积极开展定期和不定期的网络安全测试评估,将测试评估中发现的问题进行分类汇总,研究具体的处置办法为日后类似故障的处理提供良好的借鉴,将安全隐患消灭在萌芽状态。由于通信网络运营商承担着巨量的通信网络单元管理,如果对全部的通信网络单元都采取最高级别的安全防御,这将会造成巨大的资源消耗,在实践中也没有这个必要。通信网络运营商要将安全工作的重点集中在主干网络节点以及肩负重要作用的核心网络单元上,必须确保这些重要位置的安全稳定,因为它们是保证全网安全稳定畅通的核心。在实践中,出现通信网络安全问题在所难免,当问题出现后通信网络运营商要快速响应及时处理,将事件的影响降到最低程度。要做好这项工作需要在问题没有发生前就应当对各类可能出现的问题进行事前分析,编制与之相应的处置方案,这样当问题出现后不会手足无措。同时,还要定期开展演练活动,平时考虑的充分一些遇到紧急情况就从容一些。预案在编制完成后也要因时因地及时进行调整不断更新,使预案始终保持良好的可执行性。提升通信网络安全性尽可能避免安全事件的出现是企业努力的方向,但绝对不出现安全问题是不实际的,关键是在出现问题时,通信网络运营商要能够在最短的时间里解决问题,给用户提供优质的通信服务。
3 提升通信网络安全性的措施
要真正保证通信网络的安全,需要认真做好以下几个方面的工作。
首先,要注重从技术手段上对通信网络从设计、搭建到运营后的维护工作进行全程的保障,采用成熟稳定的技术。也要对通信网络安全保护设备的配备进行落实,加强各项网络安全检测,做好病毒防护的各项措施。在通信网络投入到运营后,要注重相应资源的投入力度,要构建起完备有效的安全保证体系,使通信网络运营商能够管控好网络运营安全。在针对互联网网络时,对出现的异常流量要进行实时监测,提早做好网络病毒入侵和攻击的准备,同时要对网络存在的漏洞进行及时检测修复,以保证自身网络系统的安全稳定性。
其次,要对相关的制度流程进行规范。需要制定出通信网络安全指导文件,明确相关的各项安全策略,通信网络运营商要严格依据指导文件对各项指标进行检查,让实际工作的开展做到有据可依,有据可查,一旦出现问题可以及时查找到导致问题的根源,便于问题的及时解决。对于在通信网络安全检查中发现的问题,要依据指导文件对相关责任人进行追究,严格执行相应的处罚。同样对于在通信网络安全工作中有突出贡献的个人和集体也应当进行相应的激励。在这些管理活动中要充分利用好信息化工具,提高管理效率,要实现日常管理工作的便捷、适用、高效。
第三,通信网络安全需要有完整的组织机构来保障。就通信网络运营商而言,网络安全问题与内部、外部都有很大关系。内部涉及网络的建设规划、设备的采购、建造与运维等各个职能部门;外部则与行业管理部门、合作方等有着紧密的联系。通过在公司建立起专门的通信网络安全组织机构来协调网络安全管理,这样才能保证网络安全各项工作有条不紊地开展。
第四,要强化通信网络安全人才的培养。构建起专业化的网络安全保障队伍,通过在企业设置相应的管理工作岗位,对各个层级的部门进行网络安全管控,在执行过程中要严格落实安全目标责任制。同时,要广泛地开展通信网络安全教育,使公司的全体成员从思想上建立起网络安全意识,公司的每一个成员对网络安全都肩负着各自的责任,在工作中要时刻注意自己的行为是否会给网络安全带来隐患,这就需要公司要定期地组织员工进行安全培训和演练等活动,不断提升公司员工的网络安全意识以及基本的安全防护措施等。
最后,要确保通信网络的安全,需要创建起优良的外界环境条件。这就需要构建良好的社会氛围,提升全民素质,对那些破坏通信网络安全的行为要予以坚决打击,让非法行为无处藏身。同时,与通信网络有关的各个组织和部门在网络安全方面要进一步加强协调和沟通,采取积极防御的策略,不给违法行为以可乘之机,有效制止危险源。也要在全社会大力宣传通信网络安全的防范措施,让全体民众强化安全意识,使自己的通信隐私和安全不受侵犯。
4 结束语
由于技术的不断革新,通信网络的绝对安全是不可能的,只有切实做好安全防御进行重点防护,出现问题时快速响应积极处理才能使通信网络处于良好的运行状态。未来的通信网络安全不仅需要网络运营商的技术投入,同时也需要用户给予更多的关注和监督,这样也一定程度的促进整个通信网络安全的进步。
参考文献:
[1] 安桢,张锐.通信网络安全探析及应对策略分析[J].中国新通信,2013(17).
[2] 马广字,陈利军.打造全新的通信网络安全防护体系[J].电信技术,2010(6).
本文通过对不同电子商务强度的公司做网络安全投资回报计算,进而在经济性的基础上,对采用各种主要措施来加强网络安全技术防范进行评价,从而帮助企业在投资网络安全上做有效选择,此研究无论从理论上还是实践上都具有重要的现实意义。
[关键词] 投资 网络安全 经济性
笔者所在公司的计算机网络经常会遇到各种各样的安全问题,主要包括病毒感染、恶意攻击和疏忽大意。公司内部建立了一个局域网,有400多台电脑通过一个服务器与外网连接,同时,公司有自己的OA系统和正式对外信息的网站,这些都对网络系统的安全性提出了较高要求。
几年来,我在管理公司整个网络系统安全的过程中,在为地税系统做安全服务时,参照研究了国内外一些主要从事电子商务网站的经验(主要是阿里巴巴网站和CISCO公司),并根据本企业实际情况和经常发生的安全问题,采取了一些较为适用的安全防范措施。在不断的选用和比较中,我对投资网络安全所带来的经济回报有了一定的认识。
事实上,许多企业都愿意采用一个相对通用的方案来评价在网络安全活动和过程中的投资行为,一般是由一个专门的部门用多年时间来搜集数据,然后帮助企业形成一个结构良好的通用的投资回报分析报告。处理这些通用数据需要一些步骤,如下所示:
1.分析潜在经济影响
2.明确电子商务强度
3.检验安全成本
4.计算一个通用的安全投资回报
一、分析潜在经济影响
对于病毒和入侵,企业一般面临三种类型的经济性影响――直接性经济影响、短期性经济影响和长期性经济影响。据国家公安部公共信息网络安全监察局的调查结果显示,2005年5月~2006年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。
对于一个以网络为支撑的、单一业务的企业,恶意攻击给其带来的经济性影响如表1所示。
表 1
来源: 《公安部公共信息网络安全监察局》
在提交公司的调研报告上,我参照研究了《计算机经济》上的数据,如表2所示。如果针对恶意攻击,企业没有采用足够的安全防护,那些能够预测到发生的平均经济影响。可以看出,对电子商务技术依赖的越多,恶意攻击所带来的负面经济影响就越大(表中节点数是指连接到网络上的设备)。
表2
来源:《计算机经济》
表中的结果是过去五年的历史数据所做的平均值,主要包括清除被恶意代码感染系统的成本,黑客攻击和入侵的恢复成本,收入损失和员工生产率降低。我公司属于低强度电子商务公司,有500个节点,从2005年、2006年两年的各种安全技术、设备的使用对比中发现:恶意攻击给我公司带来的经济影响要相对小于表2提供的数据,但如果算上短期经济影响,基本符合了数值取向。阿里巴巴网站算是一家高强度电子商务公司,由于其具备网上实时交易的特性,所以它的安全等级要求极高,而根据该公司曾提及的蠕虫病毒等网络攻击给其带来的损失来看,要远大于表2提供数据。
二、明确电子商务的强度
在明确一家企业电子商务强度的时候,需要考虑的、能支持该公司电子商务强度的因素如下:
1.信息系统员工岗位是否多样化
2.是否有合适的电子商务软件
3.是否有自己的网站、有多条互联网接入
4.是否用信息技术支持电子通信
5.是否有基于网络的B2B、B2C交易
6.是否通过网站进行电子数据交换
7.是否支持通过直接拨号与供应商、消费者进行电子数据交换
三、安全成本有哪些
花费在安全方面的IT预算很难确定标准。近来大部分的研究表明,多数企业在安全方面花费不足2%的IT预算。在企业内,系统的可用性、数据的完整性和保密性都极度重要,国内有些专家呼吁,企业应花费其IT预算总额的5%用于安全。
事实上,安全方面的预算支出常常是一个经验值,通过一些基础数据,逐步摸索出一个相对经济的安全防范成本。安全防范的成本可以被划分为许多子类,而且不同的企业差异也很大。
四、计算一个通用的安全投资回报
当要计算安全投资回报时,一定要考虑使用一些变量。首先应该考虑的是耗费在安全方面的资金量。其次,明确当前的威胁水平,或者至少是知道当前的威胁大概什么样。最后,还有法律、法规和安全的要求,这需要不同类型的组织采取一些有效措施来保护信息免受攻击。为达到合法、合规的目的,这些组织就需要花费成本,也许会超过平衡点,以此来帮助企业告知当前威胁水平(这点,我们企业经常会接到哈尔滨市网络安全管理局定期的网络病毒报告)。
在电子商务企业中,恶意攻击对潜在的经济影响是相当大的,这也增加企业对安全产品和相关人员的需求。
五、总结
如果能够相对清晰地计算你的投资回报,这将有利于你在网络安全方面做正确的决定,将拥有一个安全的基础来进行信息共享,可以通过电子商务来增加你的收入,可以通过提高人员效率来增加企业利润。
参考文献:
[1]张宽海:《电子商务概论》,机械工业出版社,2003年
[2]丘晓理:《部属安全的无线局域网络》,摘自《计算机世界――技术与应用》,2006年第37期
