时间:2023-09-19 16:27:19
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全体系建设,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
两项规定有利于完善互联网信息安全体系建设,有利于提高互联网公开公正的透明度,有利于推动互联网生态环境的建设,有利于推进互联网业务的快速发展。
2013年7月16日,工业和信息化部《电信和互联网用户个人信息保护规定》和《电话用户真实身份信息登记规定》,并要求于9月1号正式实施。毫无疑问,此举意味着政府决心加强互联网信息安全监管力度,加强对互联网个人信息的保护力度,加强对互联网参与者身份的管理。值得注意的是,随着这两项规定的,实名制再次成为社会备受关注的热点话题。
“实名制就一定能解决网络安全问题吗?”大多数人都会有这样的疑问。网络安全体系建设需要有完善的法律、法规和政策,还要有相应的网络安全防护技术辅助实施。试想,如果让实名制在网络上裸奔,显然是弊大于利。这些年互联网的快速发展,逐渐改变了人们的生活方式,并逐步将人们的日常生活引入网络生活,在这个过程中持续暴露出的网络安全问题最为头疼。实名制引入的目的是净化网络环境,杜绝网络危险因素流入,从而保护网络运行环境的安全,如果能够在此基础上避免实名制可能引发的个人信息安全,显然对网络安全体系建设是件极其有益的事情。
“实名制会引发哪些网络安全问题?”这是大多数人担心的问题。很明显,实名制关系到个人信息安全问题,近年来欺诈信息、垃圾信息的泛滥,有一个重要的原因就是个人信息被有意或无意泄露。这正是实名制引发社会讨论的原因,也是焦点。单纯从技术角度讲,实名制信息保护并不是技术难题,关键还是在于法律、法规和政策的监管,以及社会道德的约束。一般情况下,法律、法规和政策出台滞后于互联网业务的快速发展需求,这是造成实名制不能立即实施的根本原因。因此,没有相应的法律、法规和政策出台,执行实名制显然会存在个人信息保护的安全问题。
工业和信息化部同时这两项规定,就是要从保护个人信息安全角度出台实名制,从而消除上述两个问题对社会的影响。两项规定实质上是从法律、法规、政策和技术角度综合要求网络运营实体和参与者共同遵守互联网法律规章制度,这无疑能够有效净化网络运行环境,提高国内网络的信息安全水平。我国是互联网大国,这两项规定有利于完善互联网信息安全体系建设,有利于提高互联网公开公正的透明度,有利于推动互联网生态环境的建设,有利于推进互联网业务的快速发展。因此,这两项规定的是及时的、必要的,也是亟需的。个人信息保护和实名制将共同推动中国互联网安全体系的建设,促进中国互联网产业的健康快速发展。
信息安全问题与互联网的发展相伴相生,在网络时代,我们一方面要享受到信息爆炸、社交便捷的福利,另一方面也需要应对信息泄露的风险。在医院的内部管理中,信息化建设已经成为一股不可逆转的发展趋势,因此,医院要想利用互联网提高管理效率,优化医疗卫生服务,就应该正视网络体系构建中存在的安全问题,并构建严密可行的管理措施,防范网络安全风险,让医疗信息、管理信息能够更好地服务于患者,确保医院的有效运行。
2医院网络安全体系构建中存在的问题
虽然网络体系的构建是医院信息化管理的必要环节,但是其在安全风险防范方面却依旧漏洞百出,使得医院的网络安全体系建设形同虚设,难以充分发挥其风险控制与防范的实际效果。具体来讲,医院网络安全体系构建中存在的问题如下:第一,医院内部系统对数据的收集与应用效果并不理想,目前多数医院对于网络系统的建设还处于起步阶段,许多数据的收集并不完整,例如电子病历的形成尚处于“模板+标签”阶段,缺乏专业化处理,影响了数据传输与共享效果,各部门之间的信息沟通不畅,“信息孤岛”的状况没有被完全打破。第二,网络安全规划缺乏投入,对信息安全的预期投入严重不足,虽然信息安全问题是医院网络信息系统构建的关键,但是从整体上来看,相关部门对于信息安全体系的构建并不积极,例如在硬件投入中缺乏预算支持,使得硬件设备一旦出现损毁就会造成大量医疗卫生信息的丢失;对软件技术的应用不到位,防火墙、加密系统的建立存在漏洞;各部门对于安全系统的认识存在偏见,在某一科室出现网络安全问题的时候则相互推诿,缺乏有效的追责与监督。第三,网络安全体系构建与实现的方案缺乏有效的落实,任何网络安全问题在没有爆发前往往都显得不那么重要,医院在网络安全体系建设中也存在这种侥幸,对安全规划的设计头头是道,但是到了具体的落实阶段却又推三阻四,影响了网络安全体系建设工作的实效性。
3医院网络安全体系构建与实现的相关对策
医院网络安全体系的构建与实现需要从硬件设备、软件系统、组织管理者三个方面入手。
3.1硬件设备安全的构建与实现
根据信息化管理的技术需要,医院的硬件设备安全管理主要包括以下内容:第一,网络布线。对于医院的信息化建设而言,网络布线不仅影响着系统的信息传递速度,更关系着信息沟通的安全,因此,相关技术人员应采取内外网物理断开的方法,对医院网络系统进行科学布线;考虑到信息安全,对于各楼宇的主干线可以采用光纤和备份光纤相结合的方式;在连接客户端的时候,应做好屏蔽处理,及时排除干扰源,保证信号强度,以及信息数据传递的有效性和完整性。第二,根据《电子信息系统机房设计规范》做好对机房的设计,如根据“电子信息系统机房的耐火等级不能低于2级”等规定做好防火安全管理;根据“主机房气流组织、风口及送回风温差”的相关数据做好防潮工作等,确保主机房能够充分发挥信息存储与传输的功能。第三,服务器、交换机的数据安全,在医院网络安全系统构建中,技术人员应对关键设备的基本性能以及冗余做好分析,并确保系统能时刻运行。为避免停电故障造成信息丢失,医院的服务器应采用不间断电源,并在出现安全故障的时候,自动接入另一个服务器完成信息备份,从而做好“双保险”,提高网络系统运行的持续性和安全性。
3.2软件安全系统的构建与实现
在网络安全系统构建中,系统软件可以通过与硬件设备的交互作用,实现对系统的控制与调度,并连接网络,实现信息的传输与存储。因此,医院在网络安全系统构建与实现中,应该不断完善软件系统,从而确保信息数据的安全。医院在软件安全系统的构建与实现上可以从以下几个方面入手:第一,设置安全口令。软件系统的登录应控制开放程度,利用安全口令对访问者的身份进行确定,在使用软件系统的过程中,口令的设置也应该提高安全系数,避免使用缺省值,保证长度不少于八位,且内容包含字母和数字及至少包含两个特殊字符。此外,为进一步确保软件系统的安全,相关部门的操作人员应对安全口令进行定期更换,提高被破译的难度。第二,安装杀毒软件。在医院的网络系统建设中,内外网的完全物理隔离是不可能的,只要存在接入外网的机会,病毒就会见缝插针对网络系统进行攻击。针对此,医院在网络安全系统构建中应该要求客户机及服务器安装杀毒软件,利用软件对病毒进行甄别与抵御,及时检测违规操作,并对高风险行为做出提示,控制病毒对网络系统的威胁。第三,应用防火墙。目前一些软件公司在技术研发中,对防火墙的设计更加严谨,医院在网络安全系统建设中,应利用方便、快捷的防火墙进行定期扫描,及时检测出危险信息,控制恶意脚本在目标计算机上的执行过程,避免外网攻击的入侵,以及信息的泄露。第四,加强对工作站的安全管理。各个工作站在使用系统的过程中,都应该利用账号、用户权限、网络访问以及文件访问等实行严格管理程序规范进行安全控制,严格监控光驱、软驱,USB接口等外来信息的接入,提高安全管理效果。
3.3组织机构的构建与实现
在医院的网络安全保障系统建设中,工作人员是落实安全措施、执行安全方案的主体。再高端的硬件设备、再完善的软件系统都需要人的操作来发挥作用。因此,医院在网络安全保障体系的建设中,应该将人的因素纳入其中,并确定、尊重其主体地位,利用安全管理制度,提高工作人员构建网络安全保障体系的能力。具体来讲:第一,建立一支强有力的安全管理小组,体现组织管理效果,并在管理小组内部做好明确分工,确保一旦出现安全问题能够迅速做出反应。第二,完善安全制度建设,对于医院网络安全管理人员而言,制度建设是规范其安全行为,提高安全方案执行效果的关键,因此医院应该从多方面做出安全规定,明确管理细则,推动安全管理人员工作的有序开展。第三,规范内部人员网络操作,根据信息安全问题的调查显示,操作者的不规范操作是造成病毒入侵,信息泄露的主要问题。因此,在组织管理中,医院应对内部人员的违规操作进行严格控制。第四,做好应急预案的制定与演练,对出现的信息安全问题应做好各部门的联动,提高应急能力,及时止损。
4结束语
总之,进入到互联网时代,信息化已经成为医院内部管理创新的基本思路,信息化的实现需要网路系统的支持,但是在网络系统构建的过程中,无处不在的安全问题使得医院的信息化建设举步维艰。针对此,医院应该从网络安全系统的建设要点出发,增加对硬件设备的投入,做好软件系统的技术应用,加强组织管理建设,进而完成医院的网络安全体系构建与实现。
参考文献:
[1]张宝伟.医院网络安全体系构建及实现方式分析[J].网络安全技术与应用,2018.
关键词:网络安全教育;网络安全风险;网络安全体系;完善策略
当今社会互联网技术不断的发展进步,人们的生活方式也在网络大量应用的环境中受到了一定程度的影响,世界观、价值观和人生观随之发生变化。互联网给世界、社会甚至是每一个人带来了不同的生活体验方式,也带来了与传统社交方式不同的网络社交新体验。但是,随着网络越来越被人们所认同和使用,网络中存在的安全隐患等问题也开始逐渐增多,如何解决目前网络中存在的安全隐患等问题,是我们当前所要研究的重要课题,也是本文接下来要系统讨论的问题。
一网络对社会的影响
(一)网络的正面影响
对于社会来说,网络是一种新时代的产物,它推动了社会的发展和科学的进步,建立起了一种新的社交模式,有助于帮助人们之间互相交流沟通的便捷和高效化。目前有很多的网络工作者,都试图在网络中进行工作和平等交流。对于年轻人来说,这种社交方式很有利于他们的接受,更有甚者现在已经开启了一种网上教学的新的教学方式,已经逐渐被学生们所认可。另外,由于网络具有传播信息速度快、效率高、时间短的优点,学生可以在一段相同的时间内听取和吸收不同的教育者开展的课程,有利于提高学生与教育者之间的良性互动和信息的高效率交流。同时,对于网络来说,它还具有能够下载储存的功效,学生可以在网上把自己感兴趣的课程下载下来,按照自己的学习方式来进行安排和听课,这种受教育的方式可以极大的满足学生的自学规律,还能够提供全天性、随时性的教育,有利于学生及时补充知识点,充分调动学生学习的积极性,创造良好的学习氛围。
(二)为学生提供了新的受教育途径
网络对社会的正面影响还包括一方面,就是它为学生学习提供新的受教育途径,扩大学生受教育的平台。当前我国虽然已经大力的提倡教学改革,推进九年普及教育,但是仍有很多地方的教育资源不能满足学生的需求。而网络的出现,恰恰可以为学生提供一个新的受教育的平台,使得学生在任何时间地点都能够在网络上接受平等的教育,也可以根据自身的需求来随时学习更高等的教育。这对于很多学生来说是非常棒的体验,也能够极大的促进学生对知识的渴求程度,促进教育体系的完善。
二我国的互联网安全体系建设中存在的问题
网络的应运而生在带给世界和人民便利的同时也带来了相应的隐患和不安全的问题,这些问题已经在一定程度上给人们的生活和社会的安全带了严重的不利影响。而我国的网络安全保障体系的建设工作进展的却不是很完善,无论从管理上、技术研发上还是安全防范意识上面都存在着很多问题亟待解决。
(一)网络安全防范技术水平不高
我国的网络安全防范技术水平落后是我国互联网安全体系建设中存在的重大问题。网络结构本身的复杂性决定了网络系统在操作和运行的时候对技术的依赖程度,而网络安全漏洞的频出也给网络安全带来了不小的安全隐患。而且,我国目前对于网络安全技术方面还没有真正的拥有自身的核心技术手段,对于网络安全技术的研发方面还是主要依靠国外的先进国家的技术引进,而这一客观上的原因就足以造成我国的网络安全体系建设工作注定发展的不会长远。国内的网络安全市场长时间被国外垄断也对未来的国家网络安全性敲响了极大的警钟,如果再不抓紧时间研制国内的核心技术,那么对于未来我国的网络发展而言是极其危险的。
(二)网络安全管理的落后
网络安全管理的落后性也是我国构建安全的网络防范体系中存在的另一个重大问题。我国目前的网络管理方面存在的发展后劲不足的情况,缺乏先进科学的战略决策,同时也没有形成完整的网络安全管理体系,缺少应对网络隐患的紧急处理措施。而且,国家也没有出台相关的法律法规对其进行约束,现有的网络安全管理队伍规模建设的也很小,人员分配不合理,技术手段落后,各部门之间互相推诿导致工作效率低下的问题也屡屡发生。此外,我国的网络安全管理系统还缺乏国家强有力的支持和协调,没有出台法律法规来加以严格管控,也没有大力的培养相应的网络安全管理人才。这就使得我国目前在网络安全管理上极其缺乏相应的高水平管理人才,无法满足日益增长的网络安全防护的需要。
(三)网络安全意识浅淡
网络用户也就是流行用语“网民”一般只侧重于各种应用软件的使用,并不考虑其软件会带来什么问题,更谈不上网络安全意识。而且有很多网民为了自身的利益或者为了自身可以方便使用而采取了一些不正当或者违法的手段来破解网络上的安全密码,以此来进行系统修改、删除重要数据文件等破坏,轻则使企业或个人财产或信息上有所损失,重则可能会涉及企业甚至是国家的机密。
(四)我国的网络安全教育问题严重落后
我国的网络已经逐渐成为学生学习知识、拓展思维的另一个学习交流平台。但是网络有其自身优点的同时还存在着不可避免的缺点。网络中常常会出现很多黄色、血腥、等不良的内容,这种内容往往会严重腐蚀还在建立人生三观的青少年,很可能导致学生在成长的过程中荒废学业、上网成瘾,甚至产生违法犯罪等行为。而且现在网络的监管力度不够,很多学生在上网的时候都不是在教师或者家长的指导下进行的,这就更加容易接触到网络上的不好的内容。
三网络安全教育是解决网络安全问题的重要途径
(一)注重加强培养优秀的网络安全专业人才
注重加强培养优秀的网络安全专业人才是解决我国网络安全教育问题的重要途径之一。从上述的论点中我们可以看出,当前我国存在的网络安全问题主要出现在网络安全技术和网络安全管理方面,而要想解决这两个方面存在的问题,首先要做的就是做好这两方面的人才管理工作,注重培养优秀的网络安全专业的人才。网络的安全教育问题包括网络安全人才方面的管理和网络安全防护技能和意识方面的提高。要想完善我国的网络安全防护体系,首先要做的就是尽快完善网络安全体系的建设、尽快出台相关的法律法规政策、加快网络安全核心技术的研发。同时,建立相关交叉学科的体系网络,培养综合性网络安全技术人才,为国家和社会的网络安全防护体系的建设作出贡献。另外,还要注意网络安全的信息化建设,重点做好师资方面的建设工作,还要严格控制网络人才培养机制的审批流程。培育多元化、多样化的人才结构,充分发挥大学专业的积极作用,适当的利用商业化运行体制,把引入黑客进行网络安全维护作为一种建设网络安全体系的辅助工作。真正的做到物尽其用,并加强与国际相关组织的合作,注重引进国外的先进人才,保障人才结构的合理性。也要实行层次化教育。把眼光放的长远些,在培养人才方面注意多多培养高水平复合型的网络人才。而且还要从我国目前的网络安全人才需求的角度进行考虑,尽可能的培养适合不同层次需要的实用性人才,设立专门的立法司法管理人员、网络安全运行维护人员、网络安全专业研发人员以及网络安全评估人员等等,从各行各业入手促进我国网络安全的正常运转和完善,为国家的网络安全事业做出应有的贡献。此外,还要加大网络安全方面的投入力度,增加资金、人力、物力等方面的投入,改变原有守旧的传统观念,加大对网络安全技术和人才培养方面的投入,充分利用社会资源进行办学教育,尽可能的解决我国网络安全维护中存在的种种问题。
(二)注重加强对网络安全防范意识和专业技能方面的培养
注重加强对网络安全的防范意识和专业技能方面的培养是做好当代社会网络安全建设工作的另一个重要的途径。针对网络信息的安全管理就是要趋利避害,加强网络信息化的管理,努力的在全球网络体系中占据主要的发展战略地位,要看到网络信息迅速发展对国家和社会带来的影响力和问题。同时还要注意在加强网络完全管理体系建设的时候充分利用法律的武器来管理和维护运行,提高网民的安全防范意识,大力宣传有关的网络安全法律法规,用提高法制宣传能力来使人民意识到网络安全防护的重要性,提醒人民一定要严格的遵照法律法规的要求来行使上网的权利。还要加大各大学校内部的网络安全教育讲座工作,努力把网络安全教育工作开展到社会的各个角落,就教学角度而言,要想提高用户的网络安全意识,就要从提高用户对网络安全知识的角度出发,提高用户对自身和他人行为的理解,并能够根据现有的知识进行价值和道德判断。另外,在网络安全的世界中,道德教育也是不可缺少的构建网络安全体系框架的一个重要的组成部分。网络的信息传递虽然拥有方便迅速快捷的特点,但同时它会对人们的思想上产生极大的影响和冲击力,但由于当前我国的相关法律法规建设的不够完善,没有形成完整的法律体系,光靠法律来约束广大的网络用户是远远不够的。所以要想提高网络用户的鉴别能力,提高自身对不良信息的抵御能力,规范用户的上网行为,在通过网络获取便利的同时尽可能的减少网络给人们造成的不良影响,是当前人们所研究的重要问题。所以就要通过道德教育来实现这一点,用道德来强调和教育人们要对自己的行为进行约束,要对自身负责任也要对社会和国家负起相应的责任。
四结语
总而言之,我国的网络安全问题是一直存在的,且它的风险性是极高的,但是同样它也可以得到有效的控制和防范。要想做到这一点,就需要我们加大网络安全的防范意识,完善网络安全方面的法制建设工作,充分调动起相关专家学者研究网络安全方面的技术,形成自身的核心技术,培养大量的专业人才,推动网络安全的稳步法制,共同逐渐我国的网络安全防范体系,维护国家和社会的安定稳步和谐发展。
作者:马闯 单位:成都理工大学
参考文献:
[1] 肖亚龙,刘新春.大学生网络安全教育探析[J].改革与开放.2013(18)
[2] 刘三满.论大学生网络安全教育[J].山西电子技术.2013(04)
[3] 刘恒,沈芳甸.大学生网络安全教育的必要性和应对策略[J].黑龙江史志.2013(15)
关键词:网络系统 互联网 系统架构
面对全球市场化的挑战,企业要实现跨地区、跨行业、跨国经营的战略目标,要把工作重点转向技术创新、管理创新和制度创新上来,信息化是必然的选择。油田的数字化建设为油田的生产经营业务提供安全、稳定、高效、可靠的网络服务目标,把工作重心转移到确保“数字化管理”的网络需要上来,紧紧围绕中国石油规划的计算机局域网改进项目实施,主要从计算机主干网络、网络安全体系、网络数字化管理等方面,提供了强有力的通信信息服务保障。油田的数字化建设对计算机网络的安全性提出了更高的要求。本文分析油田网络安全体系和网络管理。
一、网络系统架构
遵循中国石油局域网建设和运维规范,结合各地油田实际,科学规划,从网络架构、设备配置、系统承载能力、网络带宽等全面构架网络。
网络架构设计。按照核心层、汇聚层、接入层三层架构的设计原则,在主要油气区设置网络汇聚节点,提高网络覆盖面,满足油气生产需要。
网络拓扑结构采用双星型结构。自有电路与社会电路资源结合使用,在链路层面提高了油气区网络的可靠性和安全性。对于主要油气区域的汇聚节点,采用网状组网方式,增加到其他汇聚节点的千兆级电路,提高网络冗余度。
设备配置。主干节点设备采用冗余配置。西安网络核心、各网络汇聚节点及重要三级节点的路由器、交换机,采用双设备冗余配置。用设备与备份设备双机模式工作,在系统或者硬件故障时候应用自动切换,在硬件层面提高主干网络的安全性、可靠性。
网络带宽。油田的数字化管理全面展开,计算机网络的带宽需要按照业务需求进行规划。将网络业务分为生产、办公、住宅三类,逐一预测带宽。将主干网络承载的主要业务生产数据按照其业务层级.从井站、作业区、厂部到公司,逐级分解,明确了主干网络的带宽需求,初步确定了网络核心与各汇聚节点之间采用双2.5Gbps链路互联,三级节点至网络汇聚节点采用1―2个1000Mbps-ff联,核心网络采用双万兆互联的链路方案。为确保链路的可靠性,主要节点之间采用双链路互联。
二、网络安全体系的规划和构建
如何规划和设计好网络安全体系,是油田数字化管理基础网络建设的重中之重,也是支持各种信息化应用系统运行的关键所在。按照中国石油的统一规划,各油田计算机网络,对上,与中国石油总部内部网络互联,对外,可以就地通过电信运营商接入Internet。这样就可以从结构上将网络安全分为内部安全、外部安全进行考虑。油田在打造畅通、可靠的油田计算机主干网络的同时,同步做好网络安全工作,从网络的边界层、核心层、接入层及安全体系等方面进行统筹规划,已初步形成了边界严防护、核心重监控、桌面勤补漏、全网建体系的网络安全管理理念。网络安全性得到加强,非正常应用流量减少90%。在边界层,采用防火墙及IPS技术,实现对来自外网的安全第一级防护;在网络核心层,首次在企业网应用了流量清洗技术,不仅实现了外网第二级安全防护,还实现企业内部各个重要业务及用户之间的流量监测及攻击性数据清洗;在接入层,采用漏洞扫描系统,不定期对敏感业务系统进行扫描和加固,及时发现安全隐患并予以消除;在主干网方面,以建立网络安全体系为核心,加强网络安全管理,初步建立起了主干网的安全评估体系。
1、互联网网络安全。在与互联网的接入部分,按照安全区、信息交换区、互联网接入区三个安全区进行建设,规划两台防火墙,考虑到出口网络万兆升级以及防火墙处理能力,同时为了降低出口网络复杂度,选择自带IPS功能的防火墙,通过防火墙设备完成出口网络
的安全防护和入侵防护功能。防火墙选型上既考虑国内产品自主知识产权的优势、又兼顾国外产品高性能及稳定性好的特点。
2、内网安全。通过对目前业界各类安全技术的跟踪和研究,重点按照搀D层做清洗、桌面做漏洞扫描及加固、全网进行安全体系建设三方面强化内部网络安全建设。核心网络流量监控及清洗。一方面,通过建立流量模型,保障主要业务。在网络核心。采用相对串接、镜像等方式先进的分光技术,部署旁路流量分析监管设备,通过分析网络核心、互联网出口等流量情况,提炼重要业务的特性,建立全网主要业务流量模型,为网络规划建设提供依据。对于P2P等对于网络带宽消耗较大的业务,设定阀值及流量管理规则,使P2P等业务对用户网络访问影响降到最低。另―方面,通过对异常流量的清洗,保障核心业务及网络的安全。针对目前在网络中频繁发生的病毒攻击等行为,选择旁路部署的网络异常流量清洗设备,通过采用策略路由和BGP引流方式实现流量监控与异常流量的清洗,使得网络安全管理变被动为主动、由事后分析到事前防范、由未知到可视。据统计。2010年3月份就成功消除安全事件1600多起,较大提高了网络的稳定性和可靠性。各类安全策略及规则库的及时更新升级,也使得系统能应对各类新的攻击。
3、安全评估建设及桌面漏洞扫描。在网络核心部署漏洞扫描系统,不定期对相关业务网络进行扫描,发现漏洞,及时进行系统加固,减少安全事件的发生,提高网络稳定性。在此基础上。与国家有安全资质的第三方公司合作,开展安全体系建设,逐步建立较为完善的网络安全管理体系。
三、网络管理
经过计算机网络的大规模建设发展,网络运维工作量规模成倍增长,而网络运维人员没有增加,如何高效运维已经成了追在眉睫的问题,通过不断的调研和测试,我们认为目前的网络厂家的专业化网管软件、第三方网管软件、国内的网络软件之中,第三方的较为实用,纵观CA、HP等厂家的系统,Solarwinds成为目前比较适合单位实际,能快速高效部署和运维的一套经济实用的系统。主要实现了以下几个方面的开发和应用:实现对全网的网络设备包括路由器、交换机、防火墙、服务器等的实时监测,涉及CISCO、中兴、H3C、华赛、Junipier、飞塔等多个厂家的产品,监测参数包括CPU、内存、带宽、会话数等;实现对各类故障的实时告警和管理,以短信等方式及时提醒运维人员;实时展现全网拓扑结构,以图形化界面友好展示网络畅通情况;实现对全网设备的配置自动备份,能进行配置比对,方便技术人员分析设备运行情况;量化统计分析网络及设备的可用性等指标;灵活定制各类报表,方便决策分析和统计。通过自定义方式建立起来的资源管理,极大方便了网络基础数据和资料的管理。
四、结论
在近一年多的实际运维中,主干网络未出现中断、出口通畅,网络可用性达到l00%。网络整体服务能力的各项指标明显提高:网页平均打开时间由15ms降低到7ms;主干带宽利用率保持
参考文献
[1] 程泽兵. 构建油田网络安全防护体系的研究[J]. 中国科技信息. 2005(19)
[2] 宋永鑫,李国庆. 油田网络安全初步探讨[J]. 油气田地面工程. 2005(01)
[关键词]网络安全 管理流程 安全体系框架 安全防护策略
中图分类号:TP 文献标识码:A 文章编号:1009-914X(2017)01-0394-01
企业在网络安全方面的整体需求涵盖基础网络、系统运行和信息内容安全、运行维护的多个方面,包括物理安全、网络安全、主机安全、应用安全、网站安全、应急管理、数据安全及备份恢复等内容,这些方方面面的安全需求,也就要求企业要有一流的安全队伍、合理的安全体系框架以及切实可行的安全防护策略。
一、强化安全队伍建设和管理要求
企业要做好、做优网络安全工作,首先要面临的就是组织机构和人才队伍建设问题,因此,专门的网络安全组织机构对每个企业来讲都是必不可少的。在此基础上,企业要结合每季度或者每月的网络安全演练、安全检查等工作成果和反馈意见,持续加强网络安全管理队伍建设,细化安全管理员和系统管理员的安全责任,进一步明确具体的分工安排及责任人,形成清晰的权责体系。同时,在企业网络自查工作部署上,也要形成正式的检查结果反馈意见,并在网络安全工作会议上明确检查的形式、流程及相关的文件和工作记录安排,做到分工明确、责任到人,做到规范化、流程化、痕迹化管理,形成规范的检查过程和完整的工作记录,从而完成管理流程和要求的塑造,为企业后续的网络安全工作提供强劲、持久的源动力和执行力。
二、搭建科学合理的安全体系框架
一般来讲,我国有不少企业的网络安全架构是以策略为核心,以管理体系、技术体系和运维体系共同支撑的一个框架,其较为明显的特点是:上下贯通、前后协同、分级分域、动态管理、积极预防。
上下贯通,就是要求企业整个网络安全工作的引领与落实贯通一致,即企业整体的网络安全方针和策略要在实际的工作中得到贯彻实施;前后协同,就是要求企业得网络安全组织机构和人员,要积极总结实际的工作经验和成果,结合企业当前的网络安全态势,最新的国际、国内安全形势变化,每年对企业的网络安全方针和策略进行不断的修正,达到前后协同的效果。分级分域,就是要求企业要结合自身的网络拓扑架构、各个业务系统及办公系统的安全需求、企业存储及使用的相关数据重要程度、各个系统及服务的使用人员等情况,明确划分每个员工的系统权限、网络权限,对使用人员进行分级管理,并对相关网络及安全设备、服务器等进行分区域管理,针对不同区域的设备设定不同的安全级别。
动态管理,就是要求企业的整体安全策略和方针、每个阶段的安全计划和工作内容,都要紧密跟踪自身的信息化发展变化情况,并要在国内突发或重大安全事件的引导下,适时调整、完善和创新安全管理模式和要求,持续提升、改进和强化技术防护手段,保证网络安全水平与企业的信息化发展水平相适应,与国内的信息安全形势相契合;积极预防就是要求企业在业务系统的开发全过程,包括可研分析、经济效益分析、安全分析、系统规划设计、开工实施、上线运行、维护保障等多个环节上要抱有主动的态度,采取积极的防护措施,不要等到问题发生了再去想对策、想办法,要尽可能的提前评估潜在的安全隐患,并着手落实各种预防性措施,并运用多种监控工具和手段,定期感知企业的网络安全状态,提升网络安全事故的预警能力和应急处置能力。
三、落实切实可行的安全防护策略
在安全策略方面,企业的安全防护策略制定思路可以概括为:依据国家网络安全战略的方针政策、法律法规、制度,按照相关行业标准规范要求,结合自身的安全环境和信息化发展战略,契合最新的安全形势和安全事件,从总体方针和分项策略两个方面进行制定并完善网络安全策略体系,并在后续的工作中,以总方针为指导,逐步建立覆盖网络安全各个环节的网络安全分项策略,作为各项网络安全工作的开展、建立目标和原则。
在网络安全管理体系方面,企业要将上述安全策略、方针所涉及的相关细化目标、步骤、环节形成具体可行的企业管理制度,以制度的形势固化下来,并强化对相关企业领导、安全机构管理人员、业务办公人员的安全形势和常识培训,提高企业从上至下的安全防护能力和安全水平;在运维管理体系建设方面,企业要对每个运维操作进行实时化监控,在不借助第三方监控工具如堡垒机的条件下,要由专人进行监管,以防止运维操作带来的安全隐患,同时,企业也要阶段性的对各个网络设备、业务系统、安全设备等进行安全评估,分析存在的安全漏洞或隐患,制定合理的解决措施,从而形成日常安全运维、定期安全评估、季度安全分析等流程化管理要求和思路。
在技术防护体系建设方面,企业可以参照PPDRR模型,通过“策略、防护、检测、响应、恢复”这五个环节,不断进行技术策略及体系的修正,从而搭建一套纵向关联、横向支撑的架构体系,完成对主机安全、终端安全、应用安全、网络安全、物理安全等各个层面的覆盖,实现技术体系的完整性和完备性。企业常用的技术防护体系建设可以从以下几个方面考虑:
(1)区域边界防护策略:企业可以考虑在各个区域的边界、互联网或者局域网出口部署下一代防火墙、入侵检测与防御设备(如果条件合适,可以考虑选择入侵防御设备)、上网行为管理、防病毒网关等网络安全新技术和新设备,从而对互联网出口或者重要区域边界进行全面的防护,提高内网出入接口的安全保障水平。此外,针对有企业生产网的情况,要对生产网与内网进行物理隔离,并对接入生产网的各种终端设备进行防病毒查收、报备,防止影响生产安全的各种事件发生,保障企业的财产安全。
面对经济全球化和社会信息化的挑战,政府如何通过政务信息化建设,全面提高在未来社会的管理和服务能力,成为社会关注的焦点。党的十七大已经明确宣布信息化在我国建设小康与和谐社会中的战略地位。为进一步转变政府职能,提高行政效率,降低行政成本,某市于本世纪初,就大力推进政府信息化建设,通过推进政府办公自动化建设,以及政府上网工程,基本建成了全市统一的政务网络系统平台,政府门户网站已经建设成网络环境下的“一体化政府”,为公众提供“一站式服务”。基本形成一个行为规范、运转协调、廉洁高效的电子政府雏形。
二、信息安全体系建设
电子政府所涵盖的政务信息系统承载着大量事关政府安全、经济安全和社会稳定的数据和信息,其涉及的众多信息都带有性质,所以信息的安全问题尤其重要。为保证电子政府的信息安全,某市在进行政务网络系统建设之初就对其进行专门的信息安全设计。政务系统的安全涉及软硬件及系统的各个层面,包括设备环境、网络系统、数据系统、防病毒、安全认证等,其中网络系统安全是基本保证。目前某市政务安全系统是利用硬件防火墙对数据访问类型、时间、内容进行监控;对政务内外网系统采取物理隔离措施、访问控制、漏洞扫描等措施;数据系统安全采取了安全数据管理、用户权限的分级管理等措施;并规划了网络系统双线热备、数据异地容灾备份等一系列安全保障。
三、电子政府信息安全问题分析
1.安全技术存在的问题
目前某市已基本建成覆盖全市县区党政机关的政务网络系统,但组成系统所用各种软硬件大多都是国外公司的产品,基本没有自主核心技术的产品;尽管在网络核心采用了国产安全产品,但这些产品在安全技术的通用性、规范化等方面还存在很多不足;建设过程对网络技术上存在的缺陷上认识不足,如电磁泄漏等,使得某市政务网络安全性能标准大大降低。
2.安全管理存在的问题
一直以来,某市政府为了保证政务系统的信息安全,在技术上采取了大量的保障措施,却忽略了更重要的管理体制的建设,使政务系统存在很多管理安全漏洞,若发生安全事故,则难以追查事故源,造成后果的破坏性尤为严重。同时由于互联网信息安全技术快速更新和发展,而从事管理的人员却往往不能进行安全管理所需的技能和资源同步更新,所以某市政务信息安全技术管理方面的人才无论是水平还是数量,都已无法适应目前政府信息安全形势的需要。
3.安全意识存在的问题
几十年来,政府工作人员已经习惯了手工作业,在政务信息的安全问题上还存在认知盲区,安全意识相当淡薄,对网络信息时刻暴露在危险环境下的事实认识不足。虽然政府已经采取了集中学习、培训等很多措施,但就其效果而言并不是十分理想。目前某市政务网络信息安全基本处于被动的封堵漏洞状态,政府工作人员没有形成主动防范安全意识,更无法从根本上提高整个政务网络安全防护能力。
四、解决电子政府信息安全问题的保障策略
1.安全目标
某市政务信息安全的宗旨就是通过在实现信息系统畅通流转的同时充分考虑信息安全,从而确保政府机关能够安全、高效地完成各项职能,主要实现以下安全目标:(1)可用性目标,确保政务系统有效率地运转并使授权用户得到所需信息服务。(2)完整性目标,数据完整性和系统完整性。(3)保密性目标,不向非授权用户暴露私有或者保密信息,某些特定的政务系统和数据,保密性目标是最重要的信息安全目标。(4)可记录性目标,能够如实记录用户操作的全部行为。(5)保障性目标,能够提供并正确实现需要的电子政府功能。
2.解决策略
政务系统的安全性来自于三个方面的有机结合:技术、管理和人员。安全并不仅仅是安全技术的组合运用,而且也有赖于严谨有效的管理和具备足够知识的人员的保障。在信息系统的安全设计上,必须从技术和运行保障两个方面进行考虑。在技术方面,通过在多个层次上进行安全设计,保证数据、通讯和验证的安全。在运行保障方面,通过安全操作系统框架,为信息提供系统运行过程中的安全管理的最佳模式。某市政务信息系统应用的安全策略机制的主要内容:(1)对系统按网络层次采用不同的技术进行保障(2)统一管理权限(3)采用Microsoft安全性操作框架对用户进行有效的管理(4)系统管理与监控系统(5)补丁管理系统(6)防火墙系统(7)防病毒系统(8)容灾备份系统(9)网络系统安全规范的制定。
五、对某市电子政府信息安全体系建设的建议
政务信息安全体系建设是电子政府信息安全体系建设不可缺少的重要组成部分,缺乏安全保障的政务网络系统,就不可能实现真正意义上的电子政府。
2016年4月19日,主持召开网络安全和信息化工作座谈会并发表重要讲话,对党的十以来我国互联网事业、网络安全与信息化建设进行了系统阐释、科学总结,提出了一系列凝聚中国智慧的新思想、新论断,为我国建设网络强国指明了方向。学习贯彻重要讲话精神,我们必须坚持以人民为中心的发展思想,坚持贴近人民群众,积极通过互联网架起与人民群众沟通的桥梁,更好地服务人民、造福人民。
规范网络秩序,营造良好舆论环境
规范网络秩序,营造良好舆论环境,是治国理政、定国安邦的大事。指出:“网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益。”的讲话,指出了当前网络空间存在的问题和亟待改善的现象,蕴含着对广大网民的期待。网络不是法外之地,同样需要建立良好的秩序。我们要一手抓正能量传播,一手抓网络生态治理,大力培育积极健康、向上向善的网络空间文化,为广大网民特别是青少年朋友营造一个风清气正的网络生态环境。
建设网络城市,让人民群众有更多获得感
近年来,国家对互联网的重视程度前所未有,“互联网+”、中国制造2025、创新创业、大数据等系列重大政策密集出台。全面落实国家战略,促进互联网向更高目标、更深层次发展,是我们共同的使命和任务。我们要全面落实“宽带中国”战略,大力实施“提速降费”行动,创建“全光网”城市,实现全市所有区县光纤网络全覆盖,不断提升100M光纤接入能力覆盖城市家庭比例,提升4G网络服务能力,率先引入5G网络部署,推进IPv6在LTE网络中的部署应用。推动区域通信网络资费改革,鼓励民营企业参与宽带建设运营,促进良性竞争,提升宽带性价比,加强电信资费公示和监测,进一步完善流量跨月不清零、流量转增等服务,让用户享受更多优惠,让人民群众有更多获得感。
坚持多措并举,强化网络安全体系化建设
要围绕网络强国建设这一总目标,深入推进行业网络与信息安全保障体系建设,不断提升保障能力与工作水平。要坚持抓建重用,同步推进网络与信息安全技术手段建设,进一步深化基础电信企业安全责任考核,持续开展互联网新技术新业务安全评估,实施打击治理通讯信息诈骗等专项行动,提升行业信息安全保障能力。深入推进网络基础设施安全防护,深化网络安全试点示范,加大对互联网企业网络安全监管力度,突出抓好网络数据和用户个人信息保护。深入开展不良网络信息和网络环境综合治理,完善木马僵尸网络、移动互联网恶意程序等网络威胁专项治理,净化网络环境。提升突发网络安全事件应急能力,指导企业定期组织培训、应急预案评估、网络安全应急演练,做好网络安全支援保障。组织行业网络安全知识技能培养和竞赛,打造本地网络安全人才队伍。
z作者系市通管局副局长、市委网信办副主任(兼){
建立健全广电网络安全防御体系
1广电网络特征
(1)我国广电网络发展正处于数字电视及模拟电视转型阶段,且广电网络正处于转型期,除此以外,我国网络安全投资经费远远不能够满足实际需要;(2)我国网络管理机制不健全、管理人员专业技能及综合素养普遍不高,且我国网络管理手段大多为管理性能不高的局部管理软件或网络设备厂家免费赠送的网络管理软件;(3)我国网络安全与系统建设不成熟,尚处于发展的低级阶段,且安全集中式管理模式基本缺失,这对于我国广电网络安全均造成了不少的安全隐患。
2立体网络安全防御体系结构层次
随着技术的发展及广电网络安全意识的提高,立体安全防御体系建立被得到深入发展,这为提高广电网络安全防御性能发挥着巨大的作用。立体安全防御体系主要分为安全管理系统、安全防护系统及安全监理系统等三大部分。在整个网络安全体系中,安全监控系统扮演着中枢系统的角色。安全监控系统重点功能模块包括安全策略管理模块、安全知识库及报表模块、用户权限管理模块、安全预警管理、安全事件流程管理模块、风险评估模块、安全区域管理模块、安全资产管理模块、安全信息监控管理模块、安全事件智能关联及分析模块、安全事件采集模块、安全知识学习平台模块。就防护级别而言,安全防护系统涉及的模块包括:(1)专控保护区域:多路供配电系统、攻击防护模块、空气调节及通风控制、数据访问控制、防火及火警探测、系统访问控制、水患及水浸控制、系统日志控制、物理出入控制、密码管理控制、定期卫生及清洁控制、认证及识别系统、设数据访问控制、备及介质控制;(2)强制保护区域:不间断供电系统、攻击防护模块、多路供配电系统、漏洞管理和修补、空气调节及通风控制、激活业务控制、防火及火警探测、程序开发控制、水患及水浸控制、系统更改控制、物理出入控制、病毒防护模块、数据访问控制、定期卫生及清洁控制、系统访问控制、系统日志控制、设备及介质控制;(3)监督保护区域:多路供配电系统、密钥管理模块、空气调节及通风控制、攻击防护模块、防火及火警探测、漏洞管理和修补、水患及水浸控制、激活业务控制、物理出入控制、系统更改控制、定期卫生及清洁控制、病毒防护模块、设备及介质控制、数据访问控制、系统访问控制、系统日志控制;(4)指导保护区:物理出入控制、密码管理控制、定期卫生及清洁控制、漏洞管理和修补、设备及介质控制、激活业务控制、系统访问控制、系统更改控制、病毒防护模块、数据访问控制;(5)一般保护区:系统访问控制、用户行为管理模块、数据访问控制、漏洞管理和修补、病毒防护模块;(6)安全管理系统:安全技术及设备管理、部门与人员组织规则、安全管理制度等。
工程实例
南京广电网络属于复杂网络结合体,其涵盖了三个物理结构,即MSTP传输网、IP传输网、HFC网,且该网络系统包含的系统及部门众多。
1安全监控系统
南京广电公司坚持“分级监控体系”原则,即公司层面设安全监控中心,各部门设子系统监控分中心。网络监控系统对网络系统内各主要链路状态及主要节点设备进行实时监控,且构建了紧急事件相应流程及自动报警机制,并对管理漏洞、网络配置及未授权行为进行严格检测,此外,如实保存并审计相关安全事件及异常事件日志(见下图)。
2安全防护体系
南京广电公司于安全防护体系之上始终坚持“分级防护“原则。基于信息资产及业务系统重要性的不同,安全防护体系被划分为五大保护等级。信息安全等级保护工作应坚持“分类指导、分级负责、分步实施、突出重点”原则;遵循“谁运营-谁负责、谁主管-谁负责”要求。防护体系架构:安全防护体系层次模型被划分为纵向及横向两个层面相结合安全防护体系,该安全防护系统有助于对广电网络各系统及系统各层次进行安全全面而系统地把握。就横向管理体系(见下图一)而言,考虑的核心在于对安全数据进行集中式监控及处理,并以等级保护相关规范为根据,对各系统不同等级安全保护域加以确定;就纵向管理体系(见图二)而言,考虑的核心在于以系统ISO七层体系模型为参考依据,监控并管理各系统各层次。
安全防护体系层次划分标准:横向层次标准:划分横向层次安全域应该以国家系统等级保护标准格式为依据,并基于企业系统程度,将广电网络定义为五大保护等级,且以保护等级为依据将网络体系划分为安全域;纵向层次标准:纵向层次划分标准应以ISO七层网络模型为参考依据,具体划分标准包括物理层安全防护(环境安全、设备安全、介质安全)、系统层安全防护、网络层安全防护、安全管理(安全技术及设备管理、部门及人员组织规则、安全管理制度)。
关键词:信息网络安全 网络防御特征 主机防御特征 应用防御特征 数据防御特征
中图分类号:TP309 文献标识码:A 文章编号:1674-098X(2014)07(c)-0045-02
随着计算机和网络技术的不断发展,计算机信息网络已在国家机关、企事业单位、国防军事等多个领域广泛应用,逐渐渗入到人们的生活中并成为相互沟通的重要手段。然而计算机信息网络存在网络环境开放性、网络操作系统漏洞、网络资源共享性、网络系统设计缺陷、黑客恶意攻击等安全隐患,计算机信息网络安全防御问题重要性变得尤为重要[1-2]。本文基于用户网络活动划分防御层,建立起信息网络安全防御的体系模型,并系统分析各层次的网络防御特征,为建立网络安全防护体系提供了理论支撑。
1 信息网络安全防御体系设计
构建信息网络安全防御体系,其目标就是要维护用户网络活动的安全性[4]。根据用户网络活动的层次,可以将网络防御划分为网络防御层、主机防御层、应用防御层和数据防御层等四个方面,在每个防御层模型中,又包括防御功能和防御技术两类划分方法,防御功能分布按照不同防御层特点,采用根据层次、软件功能等类别进行划分,如图1所示。
1.1 网络防御层
网络防御层主要针对信息网络安全防御体系中的网络边界进行防护,按照防护层面的不同,又可分为应用层、传输层和网络层的分层防御功能。防御技术则包括协议分析、模式匹配和包过滤等基本技术。
1.2 主机防御层
主机防御层的防护功能,主要通过主机入侵防御、病毒查杀和防火墙防护等三个层面,并通过各自对应软件实现。主要的防护技术则包括入侵检测、安全审计、访问控制、主动行为防御、特征码查杀和软件防火墙保护等。
1.3 应用防御层
应用防御层的功能主要防范恶意程序植入和篡改应用软件,为此,技术上可通过漏洞利用防护技术和数字签名验证技术来实现。
1.4 数据防御层
数据防御层的防护功能归结到一点为防范非授权用户的非法访问,包括对磁盘分区中文件的访问,以及对数据库文件的访问。防御技术主要包括加密技术、完整性校验技术和备份恢复技术等。
2 网络安全防御特征
2.1 网络防御特征
网络层面可以对通过网络传输的数据包,按照分层的原则进行防御,具体包括网络层、传输层、应用层的分层防御。具体的防御技术包括:包过滤技术、模式匹配技术、协议分析技术等。
网络安全层面从本质上来讲就是网络上的信息安全,其不断发展旨在采取有效的安全措施保护网络信息不被破坏、更改和泄露,保护联网计算机系统免受侵扰[5]。网络上的信息传播方式的多样性、广泛性和难追溯性,使得网络遭受攻击的可能性很大,因此,必须采取一定的安全措施来防止这些恶意攻击。同时,因为网络信息的安全会在很大程度上影响受保护主机和应用系统的安全,故网络安全是信息网络安全防御体系中最重要的组成部分,只有网络安全得到很好的建设,主机和应用安全的建设才能在良好的环境中实施。
2.2 主机防御特征
主机层面主要针对操作系统平台进行安全防御,在操作系统平台上通过防火墙软件、杀毒软件、主动防御软件等实现防御策略。采用的主机防护技术包括:软件防火墙防护、病毒特征码查杀、主动行为防御、访问控制、安全审计等。
主机(包括终端和服务器)是信息系统的重要组成部分,承担着信息的存储和处理工作[6]。由于主机是信息泄露的源头,也是各类攻击的最终目标,因此,主机的安全关系到整个信息系统中信息的安全,主机安全建设是信息系统安全建设的重要内容。
主机层面安全主要涉及操作系统安全和数据库安全,通常是由操作系统自身安全配置、相关安全软件和第三方安全设备来实现的。目前,运行在主机上的主流操作系统有Windows、Linux、Sun Solaris、IBM AIX和HP-UX等。随着网络技术的不断发展和网上应用的不断增多,这些主机上的问题也逐渐暴露出来,一些网络病毒和木马等也随之出现,破坏主机上的数据信息。一般单位中如果将安装这些系统的主机作为服务器的话,上面可能会保存一些单位或部门的关键信息,这就对主机层面安全提出了要求。
2.3 应用防御特征
应用层面主要防范功能用于防御应用程序被恶意程序篡改,及利用应用软件漏洞进行恶意程序的植入。应用层面的安全防御技术可通过数字签名验证技术、漏洞利用防范技术来实现。
应用层面是信息系统最终得以使用的工具,只有通过应用系统用户才能对数据和信息进行各种各样的操作,继网络和主机系统的安全防护之后,应用安全成为信息系统整体防御的又一道防线。应用安全是指信息在应用过程中的安全,也就是信息的使用安全。应用层面的安全目的是要保证信息用户的真实性,信息数据的机密性、完整性、可用性,以及信息用户和信息数据的可审性,以对抗身份假冒、信息窃取、数据篡改、越权访问和事后否认等安全威胁。这就需要对不同的应用安全漏洞进行检测,采取相应的安全措施降低应用的安全风险。对信息系统进行应用安全方面的设计,从总体上来说,是为了确保在软件大规模使用、数量和复杂度增长的前提下,能够及时的发现和修正系统中潜在的安全漏洞,并且能够应对和解决这些漏洞,以降低应用系统的安全风险。应用层面侧重于设计开发出来的系统是否安全。虽然这些安全目标多数都类似于网络安全和主机安全中的内容,但是实现目标的方式有很大不同,应用系统更强调在开发出来的系统中解决这些问题。
2.4 数据防御特征
数据层面的防范主要是防止非授权用户对数据的非法访问。主要的防御措施是通过加密和访问控制实现,控制对数据的访问用户和访问权限,并且在数据存储过程中使用加密技术来保护数据的安全。主要的措施包括三个方面:数据完整性、数据保密性与数据的备份和恢复。
数据层面的安全是计算机信息安全系统的最终目的和核心目标[7]。围绕着计算机系统所采取的许多安全保护措施最终都是为了保证系统中数据在应用、存储、传输和处理等过程中的安全性,以实现数据的机密性、完整性、可控性和不可否认性,并可以进行数据备份和恢复。
3 结语
随着计算机信息网络的不断发展,新的网络安全隐患会不断涌现。建立相应的信息网络安全防御体系模型,研究各层次的网络防御特征,能够从本质上明确安全防御体系建设的目的和目标,为科学制定计算机信息网络防御策略、发展针对性安全防护技术提供理论支撑。
参考文献
[1] 张昱.对计算机网络技术安全与网络防御的分析[J].广东科技,2011(5):51-52.
[2] 杨育红.浅议网络信息安全防御体系建设[J].计算机安全,2011(10):73-75.
[3] 王琪.计算机网络安全技术现状研究[J].计算机安全,2013(7):44-49.
[4] 汪澎萌,张硕,汪兆银.计算机网络安全体系研究[J].信息安全,2012(2):38-40.
[5] 杜芸.网络安全体系及其构建研究[J]. 软件导刊,2013,12(5):137-139.
【 关键词 】 等级保护;烟草企业;信息安全体系
1 等级保护思想
等级保护思想自20世纪80年代在美国产生以来,对信息安全的研究和应用产生着深远的影响。以ITSEC、TCSEC、CC等为代表的一系列安全评估准则相继出台,被越来越多的国家和行业所引入。我国于20世纪80年代末开始研究信息系统安全防护问题,1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),明确规定计算机信息系统实行安全等级保护。至此,等级保护思想开始在我国逐渐盛行。
我国的安全等级保护主要对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。其核心思想就是对信息系统分等级、按标准分类指导,分阶段实施建设、管理和监督,以保障信息系统安全正常运行和信息安全。信息系统的安全等级保护由低到高划分为五级,通过分级分类,以相应的技术和管理为支撑,实现不同等级的信息安全防护。
2 烟草行业引入等级保护思想的意义
烟草行业高度重视等级保护工作,实施信息安全等级保护,能有效地提高烟草行业信息安全和信息系统安全建设的整体水平。
2.1 开展安全等级结构化安全设计
安全等级保护在注重分级的同时,也强调分类、分区域防护。烟草行业虽强调分类、分区域,但存在一定局域性。同时,由于缺少分级准则,差异化保护尚未深化。引入等级保护思想,有助于深化结构化安全设计理念,通过细分类型、划分区域,全面梳理安全风险,明晰防护重点,构建统一的安全体系架构。
2.2 注重全生命周期安全管理
等级保护工作遵循“自主保护、重点保护、同步建设、动态调整”四大基本原则,其“同步建设、动态调整”原则充分体现了全生命周期管理的思想。烟草行业在全建设“同步”思想方面体现不深,未在系统的建设初期将安全需求纳入系统的整体阶段。引入新思想,明确新建系统安全保护要求,提升安全管理效率。
3 等级保护在烟草行业的实施路径
信息安全等级保护工作的内容主要涉及系统定级备案、等级保护建设、风险评估与等级安全测评、安全建设整改。烟草行业推行等级保护工作,其实施路径主要有几条。
3.1 信息系统安全定级
主要包括信息系统识别、信息系统划分、安全等级确定。其中,原有信息系统根据业务信息安全重要性、系统服务安全重要性等方面综合判定,合理定级。
3.2 等级保护安全测评
在等级保护环境下对信息系统重要资产进行风险评估,通过等保测评,发现与等级保护技术、管理要求的不符合项。
3.3 制订等级保护实施方案
依据安全建设总体方案、等级保护不符合项,全面梳理存在问题,分类形成各层级问题清单;并合理评估安全建设整改的难易度,全面有效制订等级保护方案,明确安全整改目标。
3.4 开展安全整改与评估
根据等级保护实施方案开展建设,具体主要包括安全域划分、产品采购与部署、安全策略实施、安全整改加固以及等级保护管理建设等。并不定期开展安全评估,不断巩固信息安全与信息系统安全。
4 基于等级保护的烟草企业信息安全体系建设
根据等级保护工作的实施路径分析得出,等级保护与信息安全体系存在许多共性,有较好的融合度。因此,探索基于等级保护的行业信息安全体系具有深刻意义。
信息安全体系的核心是策略,由管理、技术、运维三部分组成。在等级保护思想的融合下,信息安全体系建设更加注重“分级保护、分类设计、分阶段实施”。根据等级保护思想,烟草行业信息安全体系概述有几点。
4.1 分级保护
烟草行业的信息安全体系以信息系统等级为落脚点,实行系统关联分级,具体分为人员分级、操作权限分级、应用对象分级。首先确定使用对象的范围。对人员实行不同分级,即人员、可信人员、不可信人员等;其次,根据人员分级,划分操作权限,即高权限、特殊权限、中权限、低权限等;最后根据业务信息安全等级和应用服务等级,明确应用系统等级,即一至五级安全等级。通过“人员—操作—应用”的关联链,制订分级准则,从而达到分级保护的目的。
4.2 分类设计
信息安全体系分类设计,主要涉及不同类型、不同区域、不同边界三方面的结构化设计。
4.2.1 类型设计
根据安全等级保护要求以及安全体系特点,分为技术、管理和运维三大类型,并进行类型策略设计。其中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等四部分,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理等四部分。运维要求分为系统运维管理、系统运维评估等两部分。
(1)技术策略注重系统自身安全防护功能以及系统遭损害后的恢复功能两大层面。如主机管理,其中主机管理、身份鉴别、访问控制、安全审计、入侵方法等标准要按级体现;而不同的策略同样也要根据两大层面按需设计。
(2)管理策略注重管理范围全面性、资源配置到位性和运行机制顺畅性。诸如安全管理机构是否明确了机构组成,岗位设置是否合理、人员配置是否到位、沟通运行机制是否顺畅等。
(3)运维策略主要体现运维流程的清晰度、运维监督考核的执行度。诸如系统运维管理是否明确运维流程及运维监督考核指标,诸如重大事件、巡检管理、故障管理等。通过分类设计达到结构化层级要求。
4.2.2 区域设计
区域设计主要指安全域。安全域从不同角度可以进行划分,主要分为横向划分和纵向划分,横向划分按照业务分类将系统划分为各个不同的安全域,如硬件系统部分、软件系统部分等;纵向在各业务系统安全域内部,综合考虑其所处位置或连接以及面临威胁,将它们划分为计算域、用户域和网络域。
烟草行业根据体系建设需要,将采用多种安全域划分方法相结合的方式进行区域划分。
(1)以系统功能和服务对象划分烟草重要信息系统安全域和一般应用系统安全域。采取严格的访问控制措施,防止重要信息系统数据被其它业务系统频繁访问。
(2)以网络区域划分烟草行业信息系统的数据存储区、应用服务区、管理中心、信息系统内网、DMZ区等不同的安全域。数据存储区的安全保护级别要高于应用服务区,DMZ区的安全级别要低于其它所有安全域。
4.2.3 边界设计
要清晰系统、网络、应用等边界,通过区域之间划分,明晰边界安全防护措施。边界设计的理念基于区域设计,在区域划分成不同单元的基础上,实行最小安全边界防护。边界防护本着“知所必需、用所必需、共享必需、公开必需、互联互通必需”的信息系统安全控制管理原则实施。
4.3 分阶段实施
烟草信息安全体系建设要充分体现全生命周期管理思想,从应用系统需求开始,分阶段推进体系建设。
4.3.1 明确安全需求
为保证信息安全体系建设能顺利开展,行业新建系统必须在规划和设计阶段,确定系统安全等级,明确安全需求,并将应用系统的安全需求纳入到项目规划、设计、实施和验证,以避免信息系统后期反复的整改。
4.3.2 加强安全建设
要在系统建设过程中,根据安全等级保护要求,以类型、区域和边界的设计为着力点,全面加强安全环节的监督,及时跟踪安全功能的“盲点”,使在系统建设中充分体现安全总体设计的要求,稳步推进安全体系稳步开展。
4.3.3 健全安全运维机制
自系统进入运维期后,要建立健全安全运维机制。梳理运维工作事项,理顺运维业务流程,并通过制订运维规范、运维质量评价标准、运维考核标准等,规范安全运维管理,提高安全运维执行力,以确保系统符合安全等级要求。
4.3.4 开展全面安全测评
在安全建设阶段,对行业现状要全面诊断评估,尤其是对已定级的信息系统,加强安全测评,形成安全整改方案,并结合安全体系设计框架,按阶段、分步骤落实,注重整改质量与效率,降低安全风险。
4.3.5 落实检查与评估
检查评估必须以安全等保要求为检查内容,充分借助第三方力量,准确评估行业安全管理水平,并及时调整安全保护等级,不断促进行业信息安全工作上台阶。
5 结束语
信息安全体系建设作为一项长期的系统工程,等级保护思想的引入,以其保护理念的先进性和实施路径的可行性,为信息安全体系建设提供了新的思路和方法。烟草行业将在信息安全等级保护工作中切实提高烟草业务核心系统的信息安全,保障行业系统的安全、稳定、优质运行,更好地服务国家和社会。
参考文献
[1] 公安部等.信息安全等级保护管理办法[Z]. 2007-06-22.
[2] 国家烟草专卖局.烟草行业信息安全保障体系建设指南[Z].2008-04-25.
关键词:企业网络安全;网络防御体系;动态安全模型;系统检测
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 07-0000-01
Related Issues of Enterprise Network in Defense Depth System
Lian Qiang
(Henan Sanmenxia Yellow River Pearl Group Co., Ltd.,Information Center,Sanmenxia472000,China)
Abstract:The enterprise information and enable the rapid development of e-commerce enterprise network security is increasingly evident.Based on the analysis of network security situation and the characteristics of corporate networks,network security in compliance with the basic principles and based on recognized standards,proposed a model based on dynamic enterprises and network security defense in depth system.
Keywords:Enterprise network security;Network defense systems;Dynamic security model;System testing
一、引言
网络安全体系结构是从系统的、整体的角度来考虑网络安全问题。参照权威的信息安全标准,围绕企业网络特点,以先进的网络安全理论为指导的,是解决企业网络安全体系问题的必不可少的手段[1,2]。本文正是基于这个思路,力争站在一个统揽全局的层次上,摒弃企业网络的实现细节,抽象网络安全需求,建立一个完善的企业网络安全模型与体系。
二、企业网络动态安全模型
针对一个具体的网络系统,网络活动、网络的系统管理甚至网络体系结构都可能是一个动态的、不断变化的过程,所以,在考虑网络的安全性时,应从被监控网络或系统安全运行的角度,根据实际情况对网络(或系统)实施系统的安全配置。也就是说,网络安全应是一个从网络运行的角度考虑其安全性的动态过程。
这里提出的可自适应网络安全模型P2DR就是这样一个动态的安全模型。其中,安全策略用以描述系统的安全需求以及如何组织各种安全机制来实现系统的安全需求。从基于时间的角度及普遍意义上讲,P2DR模型概括了信息网络安全的各个方面。我们需要根据模型做出自己的定义和阐述,使其符合企业网络安全防御体系的需要。
(1)
公式中Pt表示系统为了保护安全目标而设置各种保护后的防护时间,也可认为是黑客攻击系统所花的时间。Dt表示从攻击开始,系统能够检测到攻击行为指导所花的时间。Rt为发现攻击后,系统能做出足够响应将系统调整到正常状态的时间。如果系统能满足上述公式,即:防护时间Pt大于检测时间Dt加上响应时间Rt,
则认为系统是安全的,因为它在攻击造成危害前就对攻击做出了响应并做出了处理。
(2) ,if
公式中Et表示系统的暴露时间,假定系统的防护时间Pt为0,即系统突然遭到破坏,则希望系统能快速检测到并迅速调整到正常状态,系统的检测时间Dt和响应时间置之和就是系统的暴露时间Et。该时间越小,系统安全性越好。由此,我们可以得出动态网络安全的新概念:及时的检测和响应就是安全。
三、基P2DR模型的企业安全防御体系
根据前面叙述的P2DR动态网络安全模型,针对企业的网络系统,我们可以在对网络系统进行安全评估的基础上制定具体的系统安全策略,借助现有各种网络安全技术和工具,设立多道的安全防线来集成各种可靠的安全机制从而建立完善的多层安全防御体系,以求能够有效地抵御来自系统内外的入侵攻击,达到企业网络系统安全的目的。
(一)以安全策略为中心
企业规程应该简明扼要。规程不应包含技术实施的详细内容,因为这些内容经常更改。设计安全策略时应认真制订计划,以确保所有与安全有关的问题都得到充分重视。
(二)系统预警
预警是防患于未然,因此有效的预警措施对企业网络安全十分重要。对安全漏洞的扫描是系统预警的重要方面。所谓漏洞扫描是指利用扫描程序(scanner)自动检测远端或本地主机安全脆弱点。在网络管理员的手里,扫描程序可以使一些烦琐的安全审计工作得以简化。我们可以将常用的攻击方法集成到漏洞扫描程序中,输出统一格式的结果,这样就可以对系统的抗攻击能力有较为清楚的了解。
(三)系统防护
系绕防护包括系统论证、访问控制、加密传输、数据完整性检查等。防火墙作为一种传统的网络安全产品,其主要功能就是实施访问控制策略。访问控制策略规定了网络不同部分允许的数据流向,还会制定哪些类型的传输是允许的,其它的传输都将被阻塞。加密传输也很重要。由于Internet上数据的时文传输,维修Internet造成了很大的顾虑。随着全球经济一体化趋势的发展,加密是网络防御体系中日益重要的一块,在Internet上构筑虚拟专用网(VPN)是解决加密传输的一种普遍实用的方法。
(四)系统检测
检测包括入侵检测、网络审计和病毒检测,入侵检测和网络审计的功能有很大的重复性,它们可以互为补究。其数据源也可以一次采集,重复利用。入侵检测作为一种动态的监控、预防或抵御系统入侵行为的安全机制,是对传统计算机机制的一种扩充,它的开发应用增大了网络与系统安全的保护纵深,这是因为:现有的各种安全机制都有自己的局限性。
四、结语
本文描述了企业网络的组成与特点,指出了我国企业安全存在的问题。针对这些问题,说明了P2DR动态安全模型,并详细阐述了基于P2DR模型的企业网络安全防御体系,解释了体系各部分的组成和功能。
参考文献:
一、学校信息化建设现状分析
现阶段各高校及中小学都基本普及了校园网络,其中大部分也已开始进行信息系统的建设,以校园一卡通系统、校园安全监控系统、科研管理数据库等为主。 还有一部分开始推行普及整个校园的身份认证系统,提供账号支持师生设备上网。学校的教学和管理工作对信息系统的依赖性也越来越强。
随着网络规模的不断扩大以及对信息系统建设的深入和完善,数据大量产生并持续快速增长,信息系统数据库的规模也在不断扩大,随着其承载的信息量的不断增加,这些信息的安全性也就凸显出来,系统保护和数据防灾就变得愈发重要。
二、威胁学校信息系统数据安全的因素
网络故障、病毒侵害、非法访问、软件设计缺陷、数据库破坏、拒绝服务攻击、系统物理故障、使用人员人为失误、信息泄密、自然灾害等,都可对系统数据可用性、完整性和保密性的进行破坏,从而对信息系统构成威胁,由此而造成的安全后果是难以估量的。
三、学校信息安全管理体系的构建
学校信息系统应用是多方面的,一旦投入使用,就会产生大量的数据,面对来自多方面的威胁,稍有不慎就会造成灾难性后果。所以,建立完善的信息安全管理体系,即Information Security Management System(简称ISMS),势在必行。
1. 构建学校ISMS的方法和目的
针对信息安全在不同网络层次上(物理层、网络层、数据链路层、应用层、用户终端层等)的需要,参照国际标准ISO/IEC27001信息安全管理体系(ISMS),明确信息安全的方针和目标,建立完整的信息安全管理制度和流程,制定完善的安全策略,强化安全技术的应用,采取行之有效的安全防范措施,保证信息系统的安全稳定运行。
2. 安全策略与防范措施
(1)强化安全技术
从安全技术实施上,进行全面的安全漏洞检测和分析,针对检测和分析的结果,完善安全策略,制定防范措施和完整的解决方案。
采用冗余技术 。学校信息网络是运行整个学校业务系统的基础,更是数据处理及转发中心,首先需要通过增加设备及链路的冗余来提高其可靠性,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。
部署网络安全设备。在Internet出口处部署主动入侵防御设备(IPS)及流控设备,开启实时防御和安全过滤,优化网络带宽,构建可视、可控、高效的网络。通过防火墙与IPS的紧密配合,抵御来自校园网内外的各种恶意攻击和病毒传播,确保校园核心业务和核心资源的安全,真正实现校园网络与应用的安全保障。
加强用户终端管理。制定统一且便于管理的终端管理方案,强制准入制度,对特定区域、数据及设备设定访问权限,保证整个网络的安全性和可管理性。根据物理位置、功能区域、业务应用或者管理策略等分VLAN,对需要接入网络的用户与设备进行实名认证,并保证用户帐号的唯一性。同时,部署上网行为管理设备,对校内终端用户的网上行为进行有效监管,降低因终端用户的违法网络行为带来的安全及法规风险。
强化数据安全。建立统一的数据存储中心,增加负载均衡设备及同步磁盘阵列,提高数据库服务器业务连续性及应用服务器负载能力,并针对整个信息系统进行统一定时的D2D2T备份,并结合重复数据删除等技术,提高数据备份效率和数据保留周期。
(2)完善安全管理制度
