时间:2023-09-20 16:56:41
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全的解决方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
信息技术的发展为人类的进步提供了强大的动力。人们在享受信息技术带来的巨大成就时,也会受到相应的安全威胁。“斯诺登事件”的曝光,让人们突然发现,无论是企业、组织抑或是个体,几乎都是裸地暴露在互联网上。“震网”的曝光,让那些已经实现物理隔离的工业控制系统管理者也感到阵阵寒意。信息安全越来越受到重视,在我国已经上升到国家安全的层面。
随着越来越多传统的安全产品和安全技术被广泛应用,网络安全级别也得到了相应提升。但是,新型安全事件日益增多,因此造成的经济损失也呈上升之势。其中,很重要的一个原因是传统的安全产品侧重于边界接口的防御和终端安全的防护,而缺乏对网络内部的整体安全管理。另外,私接设备、私改IP、私搭乱建对网络安全管理也是一种困扰。
北京艾科网信科技有限公司(以下简称艾科网信)提供创新的ID网络安全管理系统可彻底解决上述安全难题。
在此严峻的网络安全形势下,艾科网信董事长宁辉表示:“8年前,我本着对网络安全事业的热忱与一行人员创立艾科网信。多年来,艾科网信为各领域提供了大量的网络安全解决方案。作为国内一家专业的网络安全服务提供商,艾科网信将竭尽所能,为中国的网络安全事业尽一份力,致力为用户提供更加优质的网络安全系统。”
艾科网信成立于2007年,秉承“诚信、合作、共赢”的企业宗旨,着力于“创新更安全”的研究方向,结合中国实际的网络情况和安全态势,创新地提出了实名制网络管理解决方案,实现了用户、IP、终端的有机关联,为管理和审计提供了新的模式。艾科网信还提出了“内网规范管理”的理念,以实名管理为基础,实现按人、按角色规划安全策略,结合信息技术等级保护的相关技术标准,开创性地研发出实名制准入控制系统。在“震网”事件之后,针对网络和工业控制系统的可视化技术成了艾科网信发展的重点。艾科网信把接入网络中的所有设备均纳入管理员的管理视野,并能准确地告知管理员这些设备的位置,哪些设备有异常等,在第一时间为管理员有效地洞悉网络整体安全情况提供相关的数据和视图。
为了更好地为客户提供优秀的网络安全管理解决方案和优质的技术服务,艾科网信在广州、上海、宁波、成都设立了办事处,并建设了覆盖全国的渠道和机构,其强大的研发团队、精良的销售体系和完善的售后保障解除了用户的后顾之忧。
艾科网信还可为多个行业提供专用解决方案,如政府部门网络准入解决方案、电力行业信息网解决方案、电信运营商统一IP管理解决方案、金融行业统一认证解决方案、大型企业网络可视化和准入控制解决方案、医疗行业防非法统方和网络准入解决方案,并得到了政府行业、电力行业,像国家电网和南方电网,以及电信运营商等用户的认可。
企业战略集团(ESG)的一项调查显示,IT管理人员认为网络安全是2011年必须优先考虑的问题。不断增长的互联网和内部网络带宽需要更快、更可靠的网络安全系统,以保证所有级别网络环境中的数据安全。“数据安全是一场必须在多条战线上同时进行的战斗,特别是在网络层面。”迈克菲(McAfee)公司副总裁Dan Ryan表示。无论在IT基础设施的哪个层面,安全都是不容忽视的一个问题。正因为如此,网络与安全融合、存储与安全融合的例子越来越多。
随着数据量和业务的不断增加,人们需要访问的设备越来越多,面临的网络安全威胁也越来越多,因此打造端到端的网络安全体系,实现主动的安全性管理,降低业务风险成了数据中心用户的当务之急。“安全无处不在。以后,独立的安全厂商可能会越来越少。博科(Brocade)之所以和迈克菲合作提供广泛的、完全互通的端到端网络安全解决方案,目的是为客户提供更多的选择。”博科公司大中国区总经理卢少文表示。
博科与迈克菲合作的近期目标是,联合设计一套互通的解决方案,以满足企业客户的网络安全需求。联合解决方案主要包括以下内容:博科Netlron MLX系列高性能路由器与迈克菲企业级防火墙和入侵防御技术相结合,为大型企业网络核心进行优化配置,以抵御外来的安全威胁;博科Servering应用交付控制器与可实现负载均衡的迈克菲企业级防火墙技术相结合,提供针对拒绝服务(DoS)和SYN攻击的充分保护,同时提供高性能的、永远在线的、安全的防火墙服务;迈克菲网络访问控制(NAC)解决方案与博科Fastlron CX和Fastlron紧凑型边缘交换机相结合,可确保网络接入层的安全;博科IronView网络管理工具通过基于开放标准的网络管理协议,使网络基础设施能够自动回应由迈克菲网络访问控制、入侵防御和防火墙解决方案生成的安全事件。在完成联合解决方案的设计与包装后,博科与迈克菲将继续在网络管理方面进行深入合作。
EGS分析师Jon Oltsik表示:“不断变化的安全威胁和校园网络的融合促进了网络与安全产品的整合。企业必须让整个网络基础设施时刻保持警惕的状态,以主动应对可能产生的攻击。”在收购网捷之后,博科已经把市场拓展的重点放在了IP网络产品上。博科IP网络产品与迈克菲安全产品集成在一起,构成了从防火墙、入侵检测、预防系统到网络访问控制的完整的安全保障体系,能够保护客户不受恶意活动、数据泄露、网络入侵等各类安全威胁的侵袭。卢少文表示:“安全是一种功能。博科自己不是安全专家,但是为了让客户能随时随地、安全地访问网络服务,博科通过与迈克菲合作的方式,也能够为用户提供高可靠的网络安全解决方案。未来,博科将抱着一种开放的心态,与更多安全厂商合作,为用户提供更多的安全功能选择。”
电视台给予网络安全相当高的重视程度,是因为电视节目播出的安全性和信息的保密性是电视台的追求和目标。电视台的网络信息极其关键,它掌控电视台的存亡。要使电视节目安全播出,电视台网络安全不容忽视。广播电视台在传播信息时,信息传输速度和质量的提高往往会依靠计算机技术,然而,计算机技术的网络风险极大,信息容易外泄或遭受窃取。随着时代的发展,电视台网络安全遇到了极大的挑战和机遇,提高网络的安全性义不容缓,网络安全建设是一个庞大的建设。
2电视台网络安全的重要性以及网络安全的问题
2.1电视台网络安全的重要性。在广播电视台的发展中,互联网与信息技术是必不可少的。然而,互联网的快速发展以及信息技术的迅速提升使之出现了网络安全问题,随之也成为广播电视台极其重视的问题。对于广播电视台来说,网络安全是极为重要的,对其能否正常运行有着重大的意义。相应的工作人员都应给予网络安全高度重视,了解其重要性。第一,电视台网络安全是数据信息传输时的保障,是处理信息时的安全保障,保障信息不外泄或被窃取。第二,提高电视台处理信息的速度和提升其能力,都以网络安全为基础,提高互联网应用能力也以网络安全为保障。第三,网络安全的稳定,电视台的信息与数据才能得到保护并有效地处理。因此,为了保护电视台信息不被窃取等外部攻击,管理者必须采取相应措施来加强建设网络安全,推动电视台与广播的发展。2.2电视台网络安全的问题。电视台网络安全的问题不容忽视,更是亟待解决的一大问题。首先,在网络硬件系统中占有重要地位的信息系统硬件在保护网络安全和信息安全的过程中起到了主要的作用。然而,现如今大多数信息系统硬件的安全系数较低,存在着极大的安全隐患。一些只为了追求网络信息的数量,而忽略了信息建设是否安全,导致许多地方的网络技术没有人监管,而给病毒有了可乘之机,使得病毒在网络上疯狂繁殖。病毒可以控制电脑、破坏电脑,以及攻击特定的服务器,导致局域网的总台遭受瘫痪。无孔不入的病毒带来的毁灭性是强大的,网络安全受到严峻的挑战。其次,物理运行环境的好坏也影响着网络安全的问题。如果计算机在恶劣的物理环境下运行,比如在发生雷电、火灾的情况下,计算机就不能正常运行,设备也会受到损坏而发生故障。
3电视台网络安全解决对策
3.1加强网络安全技术。第一,设置防火墙。防火墙是保障网络安全的重要渠道,它能防止黑客以及一些不良信息入侵电视台的网络,能提高电视台网络防御能力,确保电视台信息数据得到安全的保障。第二,使用防毒软件。使用防毒、杀毒软件也是保障网络安全的重要手段之一。防毒软件能有效地阻挡病毒的入侵,具有较强的防毒功能。根据当地电视台的实际情况安装相适应的防毒软件,能有效地加强网络的安全性,防止病毒入侵摧毁网络系统设备。第三,使用密码技术。在如今信息传输和数据通信的时代下,密码技术是不可缺少的。密码技术能有效地防御信息外泄,保护网络的安全。密码技术对数据信息进行加密,运用信息解密和加密数据的方法来保障数据信息的安全。因此,广播电视台应对密码技术重视起来,引进密码技术并灵活地使用密码技术于处理电视台信息数据的过程中。3.2进行网络安全检测。在发送网络信息之前,需对其进行检测和检查工作,并提前对信息进行监察以保障网络系统的安全性,这就是安全检测。广播电视台的信息之所以很复杂,是因为其数据来源范围大,而这就会导致电视台网络安全受到威胁。为了数据信息能安全存放,这就需要引进安全检测,防御信息处于危险的环境中,加强电视台的网络安全。3.3建立虚拟专有网络。拥有优越的技术,促进虚拟专有网络的发展。虚拟专有网络在电视台网络安全发展中起到了一个重要的作用。现实网络在虚拟专有网络的掩护和保护之下,能够有效地提高电视台网络的安全性,减少网络攻击电视台的频率。因此,广播电视台应把虚拟专有网络投入应用当中。3.4加强安全管理,提高管理水平。电视台网络安全的管理工作非常重要,强大的安全管理能极大提高网络的安全性。物理层面的安全管理是物理层面的网络安全问题的必经之路,是因为物理层面既是独特的,又是独立的,而信息处理和交换的层面即指物理层。因此,广播电视台应高度重视物理层面的安全管理,根据不同的情况建立不同的物理层面,做好物理层面的隔离工作,符合网络安全需求,使电视台网络安全得到提升。管理水平的高低也给广播电视台网络安全带来不同的影响。因此,建立一支高素质、懂技术、善于管理的员工队伍是极其重要的。对外引进人才,对内加强岗位、员工培训,适当激励员工发展,这样才能壮大队伍,才能变得强大。拥有一支强大的员工队伍,我们才能为新时代的电视台提供更有效的网络安全建设服务。3.5政策上的积极有力的支持。建设电视台网络安全不仅仅只是为了宣传系统,还为造福百姓而努力着。但改造有线电视网络安全以及整体转换数字电视需要很多的财力、精力,需要政府部门的配合与支持。只有政府部门给予积极的支持,才能营造出一个良好的环境。转换数字电视这项伟大的工程建设需要政府部门给予资金上的大力支持和理解,政府在政策和经济上一并支持,才能有利于电视台网络安全的发展。
4总结
总而言之,新时代电视台的网络安全不容忽视。由于网络信息数量增长迅速和快速的信息传播速度,电视台网络安全受到威胁是不可避免的。电视台的节目信息会遭到外泄,甚至被窃取,导致于电视台无法进行正常运作。当信息传输渠道被破坏时,传输时间会增长,那么电视播放质量就会下降。而一些黑客还会篡改或者摧毁信息,使得电视台网络安全遭受严重的危害。因此,相关工作人员一定要认识到网络安全的重要性和严峻性,加强网络安全技术,采取相关的网络安全解决对策,推动新时代电视台网络安全的发展。
作者:图亚 单位:新疆博尔塔拉蒙古自治州精河县电视台
参考文献:
[1]何雄彪.电视台网络安全解决方案的分析[J].决策与信息旬刊,2015(5):106.
[2]刘海芸.广播电视台业务网络网间安全方案设计[J].声屏世界,2016(s1):45-47.
[3]杨璞.智能手机泄密风险分析及安全保密技术解决方案研究[J].网络安全技术与应用,2015(4):138-139.
[4]程琦.计算机网络信息安全影响因素与防范解析[J].网络安全技术与应用,2016(2):6.
在通信展上,亨通推出一系列新品,其中有涉及信息通信安全的优网科技大数据、安全、通信软件解决方案和量子保密通信行业级解决方案,海洋业务板块的海底观测系统以及江河湖泊水质监测系统解决方案,以及轨道交通通信的高铁无线覆盖解决方案等。
亨通之所以能在本届展会上在多个领域推出一批新产品,是因为其多元化、全产业链的发展思路。
近年来,亨通立足光通信主业、突破产业关键核心技术,不断完善“光棒-光纤-光缆-光器件-光网络”的光纤通信全产业链。与此同时,亨通瞄准产业尖端前沿,不断延伸产业链,调整结构,转型升级,积极拓展互联网+发展新空间,布局量子通信产业,进入宽带接入网、智慧社区、通信工程的建设运营,并构建大数据应用及网络安全等业务体系,“形成‘产品+平台+服务’的综合服务模式。”亨通光电总经理尹纪成表示。
布局网络安全
网络安全是当下互联网领域最突出的问题,受到人们的广泛关注,也是本届通信展上一项重要的展示内容。而在这一背景下,亨通适时推出了优网科技大数据、安全、通信软件解决方案和量子保密通信行业级解决方案这两套保障网络信息安全的解决方案。
据了解,优网科技大数据、安全、通信软件解决方案包括用于通信网络维护的综合性能监控解决方案、重点场景保障解决方案、客服支撑解决方案,用于网络安全领域的信息安全态势感知解决方案、网络安全态势感知解决方案、大数据云防护解决方案、云安全防护解决方案及运营,用于大数据运营的大数据平台解决方案、互联网综合服务平台解决方案等一系列的维护、安全、大数据解决方案,为通信、互联网等数据运营提供全方位的支撑。
今年8月份,亨通光电与安徽问天量子科技股份有限公司共同投资设立江苏亨通问天量子信息研究院有限公司,双方强强联合、优势互补,积极布局量子通信产业,加快启动量子网络建设,并在本届展会上推出了政务网解决方案、电力调度保密通信解决方案、数据中心信息安全解决方案等一系列量子保密通信解决方案,为通信及互联网的信息安全保驾护航。
聚焦高铁通信
国内高铁建设正加快推进,乘客对于乘坐高铁时手机上网和通话的需求量逐渐增加,因此运营商在高铁沿线的基站建设方面将进一步加大投资力度。
据了解,高铁沿线无线信号覆盖主要依靠沿线的通信基站,为高铁列车提供无线信号。由于高铁列车的运行速度较快,导致基站的密集程度高,投资费用较高。同时,在大部分偏远地区,高铁沿线基站仅用于列车信号覆盖,功能单一,并且用户量少,运营商的投资收益率低,资金回收周期长。
针对现有情况,亨通推出高铁无线覆盖解决方案,为客户提供建设效率高、投资费用低、运维便捷的产品和方案。据介绍,该方案采用铜合金导体作为主要供电电缆,可选配1-144芯光纤,能够同时为高铁沿线基站提供电力和通信接入服务。铜合金导体相比传统铜芯电缆产品,产品施工难度低,相同重量长度更长,抗强风能力好,同时由于导体采用铜合金导体,无法回收利用,具有防盗效果。高铁无线覆盖解决方案采用100V-600V可变直流电远程集中供电,通过铁路信源站取电后,能够双向辐射,最远可满足8个基站的供电需求。因此减少了用户的取电费用和协调难度。在基站端仅需要配置对应的终端设备即可完成快速建站,节约用户建站时间,降低客户无形建设成本。
目前,亨通的高铁无线覆盖解决方案已经在兰新线铁路中大范围使用,为客户提供了更优质的产品和解决方案。
深耕海洋业务
海洋板块是亨通近两年颇为重视的业务板块,同时也是今年上半年营业收入增幅最大的业务之一。据亨通2016年上半年报告,亨通海洋电力通信产品营收2.43亿元,同比增长249.12%。
在本届通信展上,亨通重点推出了海底观测系统以及江河湖泊水质监测系统解决方案。
海底观测系统是主要基于海底光电缆构建的具备观测和数据采集、供能和数据传输、交互式程控制,数据管理和分析等功能的软硬件集成系统,实现对海底地壳深部、海底界面到海水水体及海面的大范围、全天候、综合性、长期、连续、实时的高分辨率和高精度的观测。而在系统中起到关键作用的就是构成整个系统核心的接驳盒以及SIIM基站等节点设备。
第一,企业内部的顺利运行离不开管理机制的制约,电力企业引进信息网络技术也存在同样的道理。电力信息网络安全技术缺乏相应的管理制度规划,整体系统不够完善,无法与电力企业建立内在联系,使得电力企业信息网络安全技术无法发挥其作用。第二,信息网络安全技术的优点使各个行业争相追捧,电力企业因看重信息网络技术的特点,加以引进,但是并未从全面的角度考虑其劣势,对于信息网络安全缺乏控制意识。开放性的网络给企业内部带来不安全因素,而电力企业并未意识到安全隐患,缺乏全面考虑信息网络技术的意识。第三,因电力企业缺乏控制信息网络技术的安全意识,所以没有采取有效阻止的措施,没有配备相应的安全设施,基本设施不齐全,就无法保障电力信息网络的安全。第四,信息网络技术自身加强了安全系统的保障,采取相应的安全措施,电力企业引入信息网络技术后,信息网络技术的安全措施没有与电力企业的机制有效结合,并且其内部的安全系统对于电力企业并不适用。第五,用过腾讯软件的人们都了解,一个账号在同一台电脑登陆不需要再次验证,只需要输入密码,而同样的账号换一台计算机,就需要先进行身份验证,这样提高了网络信息的安全性。如果电力企业的信息网络技术使用这样的身份安全验证,就可以在一定程度上减少企业安全隐患。
2信息网络安全的影响因素
2.1受互联网大趋势影响
电力网络信息技术建立在互联信息网络的基础上,现代网络信息发展迅猛,影响信息安全的因素也越来越多,例如攻击各类网站的黑客数量激增,网站自身的防火墙系统不够完善,致使互联信息网络的大环境存在安全隐患,因此电力企业内部会受到影响。
2.2电力企业自身缺乏安全防范意识
在互联信息网络整体存在安全隐患的环境里,电力企业内部并未采取措施应对。首先电力企业内部计算机自身的防火墙系统不够完善,存在很多漏洞,对病毒和黑客的入侵没有起到防护作用。其次,电力企业的日常信息网络数据从不加以备份,涉及到重要的信息资源并未得到安全保护,电力企业对网络信息安全没有相应的管理和规划,这些导致电力网络安全有许多不安全因素。
3电力信息网络安全的解决方案
3.1电力企业自身采取安全措施
针对以上问题,电力企业应该关注自身的网络信息安全。针对计算机的系统加以改进,完善防火墙技术,这是保证信息安全的先决条件。电力企业应该购进前进的设备,做好自身安全防护武装。例如,引进信息监测技术,这项技术可以防范计算机病毒和黑客的入侵。电力企业还要规范信息管理,企业内部的数据是关键信息,存在不安全因素的也是这些数据,因此,电力企业应该加强管理,数据应该及时备份,有备无患。加强电力企业员工素质培训也是解决方案之一。定期为管理电力网络的工作人员培训,加强教育,使其认识到网络信息的重要性,工作的内容严格按照企业的规章条例,也有助于加强电力网络信息的安全性。
3.2互联信息网络大方向
随着网络信息时代的不断进步,使用网络的人群数目迅速增加,网络可以互通远隔千里的信息,网络的开放性逐渐增大,不安全性也随之增大。网络安全应该得到各大网站和专业人士的高度重视,各大网站应该弥补网站漏洞,专业技术人员应该创新出新型安全软件,拯救互联信息网络。依存在互联信息网络大环境下的电力企业信息网络安全,也可以得到缓解和解决。
4结束语
[关键词] 石油企业 信息安全 安全策略 解决方案
石油企业要提高竞争力,信息化水平是一个重要因素。而信息安全的风险随着企业信息化水平的不断提高而增加。没有可靠的信息安全保障,就没有企业的安全生产运营,就会极大地降低企业在石油行业内的竞争优势和生存空间。要保证信息安全,就必须首先制定相应的安全策略,然后依据该策略结合企业的实际需要选定具体的解决方案,全面构筑企业的信息安全体系,防止各种不安全因素带来的信息安全隐患,做到防患于未然。
所谓信息安全是指信息的保密性、完整性、实用性和可靠性,即在信息的使用和存储过程中,防止因偶然事件或人为因素造成信息被破坏或泄露,也就是要保障信息的有效性。
一、石油企业预防人为因素的方案
企业信息安全的防范不单纯是一个技术问题,而是一个综合性的问题,其中最重要的因素就是人的因素。在人的因素中,有些是无意的:如信息管理员、操作员安全配置不当造成的安全漏洞;企业内部终端用户安全意识不强,用户口令选择不慎,或是将自己的帐号随意转借他人或与别人共享等;也有些是黑客的恶意攻击,如以各种方式破坏信息的有效性和完整性;或在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息等。这些攻击均可对信息安全造成极大的危害。对于这类人为因素,必须首先建立石油信息安全领导小组,设立安全领导小组办公室,由企业负责人直接担任组长,并逐级确立信息安全责任人,并且对信息中心的管理员、操作员,进行必要的定期的信息安全教育,明确岗位职责、权限,签订岗前责任状,以提高全员信息安全防范意识。同时制定信息安全制度,并采取相应的措施以防止信息安全漏洞。
二、石油企业内部技术防范的方案
从技术角度看,信息安全的防范包括:
(一)设备及环境安全
设备和环境的安全主要涉及到由于自然灾害、人为因素造成的数据丢失,比如地震、电力故障、火灾、洪水、盗窃等。它们给企业的数据带来潜在的威胁,因此对于信息安全级别较高的企业,应建设完善的容灾备份系统。容灾备份系统一般由两个数据中心构成:主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。这种在线备份出现故障后系统数据恢复时间短,安全性好,但对资源的占用率比较高,投入成本也大;还有一种离线备份,即把数据定期备份到移动存储器或光盘上,然后异地保存,离线备份方式恢复时间比较长,但投资较少。企业应根据自身信息化建设的程度及企业对信息安全的要求以及资金投入情况,决定容灾备份系统的规模和等级。
(二)系统运行安全
随着企业信息化的发展,信息系统的连续稳定运行越来越重要。一旦系统中断,将会给企业的工作带来混乱,而数据一旦丢失,后果将是灾难性的。为保证信息系统的连续稳定运行,应采用双机热备解决方案。这种系统有两个服务器组成:主服务器和从服务器。主服务器将从服务器的硬盘视为自己的一个外部磁盘设备,由专用数据链路担负着传输镜像数据的任务,同时也为从服务器监视主服务器提供了途径。主服务器系统可以象对本地硬盘一样访问从服务器上的硬盘。从服务器不仅镜像着主服务器的硬盘数据,而且还实时监测主服务器,一旦发现主服务器故障,会自动接替主服务器工作。
(三)数据库安全
在数据库系统中,由于数据大量集中存放,且为众多用户共享,安全性问题更为突出。解决数据库安全的措施要从数据库软件本身和数据备份两个方面考虑。
1、利用软件本身所具有的性能进行安全保护大型数据库为开发者提供了有效的安全性控制策略,一般会在数据访问的安全性和监督用户的登录进行有效的控制,同时又兼顾用户在使用数据时对速度的要求。大型数据库中的安全性是依靠分层解决的,它的安全措施是级级层层设置的,做到层层设防。第一层是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。
2、利用硬件备份系统进行安全保护备份系统不仅是保证数据库安全,同时也是保证网络系统安全的一种重要手段,为了保证数据安全,需要对数据库进行及时快速的备份。备份系统的服务器的应用较为简单,配置不要求很高,甚至可以和其他一些应用共用一台服务器,而备份软件和磁带库是备份系统的关键。
三、石油企业网络运行安全的方案
网络安全问题是信息安全问题的核心,应采取全方位的、动态和静态相结合的方案解决网络安全问题。影响网络安全的要素包括:网络边界安全,操作系统安全,应用服务器安全,内部网安全,网络防病毒。影响网络安全的因素可以通过以下安全产品来防范:
(一)防火墙的应用
防火墙在企业内部网和外网之间设置了一道有效屏障,保护网络边界并防止黑客入侵。防火墙作为单一的关口,在此关口能检查、审核、加解密和认证进入网络的数据。
(二)漏洞检测系统的应用
漏洞检测系统又称系统扫描、风险评估。漏洞检测就是模拟黑客的攻击手段对被检测系统(包括各种操作系统、网络和应用服务器)进行扫描,然后提交安全漏洞报告,并给出解决漏洞的方法,从而保证网络边界安全、操作系统安全、应用服务器安全和内部网安全。
(三)网络防病毒产品的应用
随着网络的不断发展,信息共享、信息交换越来越多,因此感染病毒的机会更大。在企业网络内一旦有一台主机感染病毒很快就会传播到整个网络,甚至对企业造成很大的经济损失。因此防病毒已成为网络安全的重要课题。对于可以登录外网的终端计算机可以采用购买网络版杀毒软件,提前预防、实时监控和杀毒。对于仅能登录内网的终端计算机,企业应当购买专业单机版杀毒软件,并在内网定期单机版杀毒软件的离线更新包。
以上是动态的网络安全策略,对于静态的网络安全策略,可以从网络的结构设计方面提高网络的安全性。对于一些安全要求比较高的部门,如财务部门,可以建立专门的局域网与互联网及企业内部网进行物理隔离;还可以通过冗余设计来提高网络的可靠性,例如:链路冗余、模块冗余、设备冗余及路由冗余。
(四)访问控制安全的应用
访问控制功能是对企业综合信息系统的内容进行访问权限的限制。对于有些只对企业内部或合作单位开放的信息,应该设置访问控制,只有得到用户名和密码的用户才能访问这些内容。可以通过配置路由器来实现这部分的功能。
另一方面,是企业不同部门对网络权限要求不同的问题。各应用系统设计和选购时应该考虑如何保障各部门的安全,保证安全保密性级别高的部门在网络上运行的各类业务不受未授权员工的损害。在构建网络时应用VLAN技术和第三层交换技术,可在同一个基础物理网络上实现员工网络、财务网络、领导网络和部门网络的逻辑分隔,从而提高整个信息系统的安全性。
(五)信息存储安全
网络的发展,加上多媒体应用,使得数据呈几何级数激增。传统的以服务器为中心的存储网络架构面对源源不断的数据流已显得力不从心,严重的会导致数据崩溃。为了存储安全,以服务器为中心的数据存储模式必须向以数据为中心的数据存储模式转化。为了解决这个实际问题,可以采用网络存储技术,网络存储技术是一种特殊的专用数据存储服务器,内嵌系统软件,可提供跨平台文件共享功能,完全以数据为中心,将存储设备与服务器彻底分离,集中管理数据,从而有效释放带宽,大大提高了网络整体性能,也可有效降低成本,保护企业的投入,将数据崩溃降低到最低限度。
去年开始,安全市场始终处于激烈竞争状态:越来越多的网络厂商,甚至是PC厂商都纷纷加入战局。一时间,各种安全方案PK四起,传统安全厂商倍感压力。最终谁才是引领未来的主流?根据IDC的预测,2006~2008年将会成为安全市场中具有决定意义的三年。在全球范围内,安全产业很可能会经历一次大洗牌。事实上,在过去的一年里,国内外众多的安全厂商几乎都经历了一个大的调整。
伴随着这股产业大潮,是众多国内外专业安全厂商和网络厂商在中国市场的逐鹿态势。如果说2006属于生存年的话,2007更像是发展年。而2007年对于Radware来说则更是一个安全年,同时2007年也将成为公司成长过程中一个重要的具有里程碑意义的年份。
市场定位
进入中国市场之初Radware由于一直贯彻重技术,轻品牌的原则,并不为众多用户所熟知,但是由于其过硬的技术和卓越的产品性能,已经取得了一定的市场影响力。
Radware公司北中国区总经理赵军表示:“新的一年,新的市场定位,对我们来说是一个机遇也是一个非常大的挑战,这个挑战就是我们市场定位的改变,Radware不再只是一个传统的网络交换机的生产厂商或者一个只是简单意义上的负载均衡厂商。我们是提供智能应用的企业。不管是网络安全还是网络交换都是针对获得运用信息,让应用更安全,更可靠,具备高可用性、高安全性和高性能,这是公司不懈努力的一个目标。2007年度的主题是智能应用解决方案,公司产品会从传统的获得均衡的网络交换市场,做到应用安全的市场。这是Radware今年的市场定位,我们致力于提供完全基于应用的和传统IP技术的解决方案,通过公司APSolute 解决方案,实现市场领先的技术特点。”
Radware作为一家在负载均衡和传统的交换机领域的领导厂商,把专注的方向扩展渗透到了应用安全领域。这不仅仅因为产品的核心技术都是对IP的一个包容,对安全危机高度的感知,更是由于Radware的技术能够看到一个IP包的更深层次的应用,所以能提供一些传统网络安全的包括防火墙、IP联动式解决方案等所不能解决的一个解决方案。这是2007年公司的市场定位,也是一个非常大的挑战,一个市场形象很细微的变化,所产生的影响将是非常巨大的。
技术优势
首先,Radware的产品在防DoS攻击方面,如行为模式分析方面具有非常强的竞争优势。它具有非常高的精确度和极低的误判率。众所周知,行为模式在我们的想象中都很简单,只是对流量进行一些分析和学习,然后进行一些设置,但当这些流量变大的时候,所需要的设置就远远超过了这个设置。Radware通过给上海电信,武汉电信的维调获得了用户很高的评价,用户感觉到Radware解决方案的误判率非常低,而精确度非常高。
其次,Radware为用户提拱的解决方案是一个完整的攻击防范解决方案,主要基于传统的IPS攻击、病毒攻击和黑客攻击的技术理解基础上。
最后,就是对流量的管理。Radware针对异常流量做一些分析与管理,把运营商、企业用户很头痛的流量如P2P下载等全部解决掉。
“对Radware的安全产品我们有八个字的总结,第一个是智能,基于行为模式的分析使得我们具备非常高的智能性;第二个是快速,NP处理器强大性能的交换体现,来完成整个功能;第三个叫做有效,通过我们整体的配合,通过深层次的检测手段,真正地去帮助用户;第四个叫做整合,通过吸收各厂商的优势,为用户提供最完美的解决方案。”无论是领导层还是一线的技术顾问,都对Radware的解决方案充满了自豪。
10月27日,绿盟科技Security+2016金融信息安全峰会在京召开,金融行业技术主管与绿盟科技网络安全专家齐聚一堂,共同探讨“互联网+”形式下金融网络安全运维新技术、新趋势。绿盟科技副总裁李晨作了题为“企业安全的变革与实践”的主题报告,绿盟科技的技术专家、攻防专家等也分别就网络安全运营、安全开发实践做了相关分享。
建立金融信息安防体系刻不容缓
“互联网+金融”成为传统金融行业转型“触电”的新模式,新形式下的数据安全状况变得越发严重,金融行业已经沦为数据泄密的重灾区,再次给人们敲响数据安全的警钟,其中直接由于纯粹是信息安全技术缺失所导致的风险案例不胜枚举。麦肯锡公司在其的《中国银行业创新系列报告》中指出,2015年年底,中国互联网金融的市场规模达到12万-15万亿元,占GDP的近20%。互联网金融用户人数已经超过5亿,这样庞大的用户群和涉及面,如果信息安全事件愈演愈烈甚至失控,将会对国家和社会造成不可估量的损失,互联网金融信息安全已经刻不容缓。
目前,金融企业内部IT系统更为复杂化,外包合作使内部风险管理更加复杂,BYOD(携带自己的设备办公)使企业信息资产无处不在,大数据使核心资产淹没在之中难以识别,云计算打破了传统的网络边界防护。李晨指出,企业安全威胁也在逐渐升级,正在从以蠕虫病毒、拒绝服务攻击、溢出类漏洞攻击、注入等Web攻击为主的传统威胁升级到以0Day攻击、多态及变形等逃避技术、多阶段组合攻击、有组织的定向攻击为主要手段的新一代威胁,企业安全运维面临更多的新的挑战。与会专家再次呼吁,建立金融信息安全防御体系刻不容缓。
绿盟科技智慧安全2.0战略应运而生
信息安全行业专家绿盟科技积极应对,帮助银行、保险等各类企业实现变革,助力金融智能安全运营防线的构建,绿盟科技智慧安全2.0战略应运而生。
绿盟科技智慧安全2.0战略是一个企业整体运营的升级换代过程,它帮助企业安全防护真正做到智能、敏捷和可运营。该方案包含绿盟云、安全态势感知解决方案、云计算安全解决方案以及下一代威胁防御解决方案。李晨表示,态势感知使安全耳聪目明、软件定位给安全运维带来敏捷应变、纵深防御带来弹性和生存能力。它紧紧围绕用户需求,大力提升线上也就是云中的安全能力,打通技术、产品和服务、解决方案、交付运营等各个环节,构建真正的智能安全防御系统。
同时,绿盟科技可协助客户建立企业安全应急响应中心(SRC),帮助企业建立和维护自主可控的自有业务漏洞收集平台,从而避免漏洞在第三方平台上暴露。通过SRC的运维数据积累,企业建立贴合自有业务的漏洞知识库来提升安全团队技术能力,并且通过SRC可与白帽子直接建立长期的信任互赢关系,帮助企业更从容地面对安全威胁。
数据安全历来是企业信息安全工作的“最高使命”。绿盟科技适时推出了数据泄露防护系统,基于数据存在的三种形态(存储、使用、传输),对数据生命周期中的各种泄密途径进行全方位的监查和防护,保证了敏感数据泄露行为事前能被发现,事中能被拦截和监查,事后能被追溯。
绿盟科技金融事业部资深安全顾问从安全开发的角度出发,以生命周期的架构对现有系统开发过程中涉及到的安全操作进行了概括,强调将安全设计、安全编码、安全测试以及安全事件响应的传统安全技术和活动融入产品需求分析、架构设计、开发实现、内部测试、第三方测试和人员知识传递等开发生命周期的典型阶段。
绿盟科技深耕于专业领域,目前已与超过千余家金融机构建立商业合作,为其提供专业的安全产品、服务与解决方案。未来,绿盟科技将继续专注研究,实现技术突破和创新,在网络安全防护、保护关键信息基础设施安全等方便持续发力。
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
来自IDC的《2016年全球IT行业预测报告》显示,67%的CEO表示,到2017年底时,全数字化转型将成为公司的战略核心。到2019年,75%的制造价值链将采用互联的流程、资产、产品和服务来提高响应能力和工作效率;到2018年,全球将有220亿部物联网设备。
企业希望能够迅速采取行动,以便能够充分利用新的机遇,但数字化转型对网络的依赖,使安全风险也同步加速。
羁绊
71% 的高管认为对网络安全的担忧正在阻碍其组织内的创新,近 40% 的高管表示,他们曾因网络安全问题停止过任务关键型计划。
以上数据来自思科对1014名财务和业务部门的企业高管所进行的一份调查,这些企业遍布澳大利亚、巴西、加拿大、中国、法国、德国、印度、日本、英国和美国10个国家。
如果缺乏有效的网络安全战略,公司的创新和增长也将会受到影响, 因为这会阻碍数字产品和业务模式的发展。
数字化时代,安全威胁的攻击面越来越广、威胁源越来越多,攻击的复杂度也日益提高。应对安全风险的产品越来越多,安全的解决方案越来越碎片化。市场调研公司ZK Research的一项调查显示,企业目前平均采用32个安全厂商的设备。然而,防御的效果真的是越多产品的叠加就越好吗?
“企业级用户为了解决一种新型威胁,通常的做法是会采用一款新的安全产品来加强防御。随着威胁数量日益增多,所部署的安全产品数量也不断增多。企业级用户面临的整体复杂性不断攀升,可管理性却在不断下降,调用某款安全产品的效率也随之降低。”思科大中华区安全业务总经理庄敬贤解释道,“随着企业级用户部署的安全产品数量的增加,能够提供给用户的防御力和其构成的复杂性之间存在一个安全有效性的缺口。”
突围
“65%的CEO提到他们的风险管理方法是落后的。” 来自Gartner全球主管研究部门的高级副总裁Peter Sondergaard表示。在控制因安全产品数量增加而造成的复杂性的同时,如何让每一款安全产品本身的安全能力得到有效提升,让网络安全的防御力与设备复杂性之间的安全有效性缺口得以弥合?
对此,Peter也给出了解决建议,“为了应对每天都会出现的新的安全漏洞,企业应该对检测和响应进行更多的投入,从之前的90%防御+10%检测/响应过渡到60%防御+40%检测/响应。”
这与思科的安全理念不谋而合。“思科有一个全局架构的理念,在攻击之前、攻击中和攻击后的每一个环节都能够把我们对安全的理念通过技术来实现。”思科全球副总裁、大中华区首席技术官曹图强说。
过去3年,思科投入了几十亿美元进行收购,整合与研发了与有效安全相关的产品。思科CEO罗卓克(Chuck Robbins)在接管思科的第一年完成了15次收购,其中4次的收购对象是安全公司。目前,思科专门负责网络安全的人员有5000人。
思科未来的目标是希望做到防御力跟复杂性成正比,弥补安全有效性缺口的解决方案包括集成化、整合化和自动化三个环节。
[关键词] 三山岛金矿; 网络安全; 技术方案
[中图分类号] TP393 [文献标识码] A [文章编号] 1673 - 0194(2013)04- 0085- 02
1 三山岛金矿网络情况背景
随着我矿数字化矿山的发展,我们已经建成了千兆办公网和千兆工业网,互联网客户端已超过700台,通过互联网,任何一个单位的数据资料的传输和存取都变得方便、快捷,但同时也面对上网带来的数据安全的新挑战和新危险:即移动用户、异地员工和内部人员的安全访问。
2 原有网络系统状态
为了确保我矿的网络安全,我们部署了各种网络设备,包括思科asa5520防火墙、kaspersky杀毒软件。虽然部署了各种网络安全设备,但是我矿的网络仍然经常出现一些安全问题。这是因为目前网络安全风险已经从网络层上升到应用层,而我们所部署的网络安全设备基本上都只能针对网络层的安全威胁进行分析和阻断,对于内容安全防护还是比较薄弱。所以新的网络威胁需要更全面的解决方案。
3 目前存在的安全问题
3.1 来自HTTP的病毒和间谍软件让人防不胜防
客户端在通过HTTP访问网页时,会不经意感染内嵌在网页中的病毒、间谍软件。或者由于浏览器的漏洞或者由于浏览器的安全级别设置得太低,而使得病毒、间谍软件以ActiveX控件的形式自动非法安装到用户计算机中。造成用户系统运行不正常,机密数据丢失,甚至在不知情的情况下成为了犯罪分子的工具和跳板。
3.2 来自邮件的病毒和间谍软件让人难以防范
自从互联网上出现第一封病毒邮件以来,邮件就被当作病毒传播的主要途径之一。因为疏忽而打开陌生人发来的邮件而导致感染病毒的案例屡见不鲜。更有甚者,有些病毒和间谍软件利用邮件客户端的漏洞,即时客户不打开附件仅仅只是预览也有可能被感染。一旦感染了病毒和间谍软件,用户的计算机或者企业的网络就像犯罪分子敞开了大门,由此引发的一系列后果随之而来。
3.3 潜在威胁分析
外部——网络系统与互联网有直接通道,虽然中间有防火墙验证访问的合法性,但仍会受到来自互联网以HTTP、SMTP、FTP等数据流为载体的潜在病毒的威胁。
内部——局域网中的工作站及文件服务器都会受到病毒的感染,病毒的攻击方式多种多样,有通过局域网传播、传统介质(光盘、软盘等)传播等等,一旦受到感染,便会迅速传播,会给日常的工作和学习带来极大的威胁。
4 解决方案
4.1 主动防御
部署安信华Anchiva-A500安全防病毒网关。
防病毒网关的工作原理是按照事先规定好的配置和规则,监测并过滤所有通向外部网和从外部网传来的信息,只允许授权的数据通过,防病毒网关还应该能够记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。
通过在网关部署防毒产品,可以提高企业整体的防毒效能、减少资源占用。对染毒邮件、带有ActiveX、JavaScript病毒的网页以及通过FTP方式传输的文件进行“主动防御”,不让这些不受欢迎的东西进入企业的网络。
4.2 边界防护和网络隔离
部署深信服SSL7150、SSL3150 VPN设备。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全地访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
4.3 上网行为管理
部署新网程网络督察。
通过部署新网程网络督察,利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。
4.4 网络物理隔离
部署联想网御网闸。
三山岛金矿目前有办公网与工业网两大网络体系,从网络安全性方面考虑,工业网不得直接或间接地与互联网或其他公共信息网络相连,必须实行物理隔离。
安全隔离与信息交换系统架构主要由内网主机系统、外网主机系统和隔离交换矩阵3部分构成。内网主机系统与内网相连,外网主机系统与外网相连,内/外网主机系统分别负责内外网信息的获取和协议分析,隔离交换矩阵根据安全策略完成信息的安全检测,内外网络之间的安全交换。整个系统具备以下技术特性:
多网络隔离的体系结构,通过专用硬件完成两侧信息的“摆渡”。
被隔离网络之间任何时刻不产生物理连接。
内/外网主机系统之间没有网络协议逻辑连接,通过隔离交换矩阵的全部是应用层数据,也就是OSI模型的7层协议全部断开。
数据交换方式完全私有,不具备可编程性。
统一安全引擎:对隔离交换报文进行全文数据还原,对用户登录、命令请求、文本系统、协议格式等实施深度检测和过滤,并支持对特定应用协议标签的检测控制;
智能黑白名单:针对文件名、命令、域名等内用进行严格控制,创建黑名单和白名单任务策略,拦截各种非法数据报文,保证数据的安全性;
针对数据库和文件数据,通过访问用户身份识别,保证数据不被非法访问和传递;
针对不同用户操作,系统提供了分级别管理机制, 根据最小化用户权限的原则,使不同用户管理配置不同的任务,最大程度保障用户使用的安全。
5 结 语
目前三山岛金矿已有思科asa5520防火墙、安信华Anchiva-A500安全防病毒网关、新网程网络督察、kaspersky杀毒软件、深信服VPN与联想网御网闸。
通过现在的网络安全平台,可以防止员工接收恶意软件,也可以避免内部员工往外传播病毒,避免许多法律纠纷,可以提高网络安全水平,给员工提供纯净的网络办公环境,提供异地安全登陆信息内网提高工作效率,节约成本,使三山岛金矿的网络安全水平领先于同行业水平,提升了公司的整体形象,促进了三山岛金矿数字化矿山的建设。
主要参考文献
[1] 周学广,等. 信息安全学[M]. 北京:机械工业出版社,2003.
APT攻击、零日攻击令企业手足无措;大数据、云计算对计算机的处理性能提出更高要求;BYOD使企业网络安全边界变得模糊……面对诸多挑战,企业对网络安全问题无论多么强调都不为过。正如奇虎360公司总裁齐向东在接受本报记者采访时所强调的那样:“当前,用户面临的一切安全威胁都因为互联网而起,因此所有安全厂商的防护策略都要转到互联网思路上来。”
分析网民行为和习惯
在信息安全领域,最火爆、最有人气的地方,也是黑客肆虐的场所。今天,黑客倾向于对社交网络、搜索引擎和一些门户网站进行攻击,从中获得更多利益。因此Web安全越来越成为安全厂商和企业用户关注的重点,很多安全厂商开始涉足Web安全领域。
“虽然很多厂商都做Web安全,但是每个厂商的立足点不同。例如杀毒软件厂商做Web安全主要是针对网络内容的安全防护,防火墙厂商做Web安全主要是从过滤的角度来考虑问题。”在接受本报记者采访时,Blue Coat北亚区高级产品经理申强称,安全厂商原本的主打业务决定了其在看待Web安全问题时的视角不同。在传统防火墙、杀毒软件、UTM中加入Web元素,对于防病毒、反垃圾邮件、查杀木马能够起到一定作用,但是对于当前日益流行的恶意网络攻击则很难起作用。
网络攻击手段和技术的日新月异,要求我们必须改变Web安全防御的思路。从互联网公司起家的Blue Coat提出了另一种思路。“Blue Coat的解决方案基于网民的互联网行为分析。通过分析网民使用互联网的行为和习惯,能够映射出黑客的攻击链是怎样的,他们通过怎样的体系架构构建恶意网络。”申强表示,“Blue Coat的客户包括运营商、企业用户和家庭用户,收集的数据来自各类客户端设备,让我们能够以这个全新的视角看待Web安全。”
基于这种思路,在今年的RSA大会上,Blue Coat提出了负日防御解决方案,并且引起了不小的轰动。据了解,Blue Coat在全球有7500万个数据来源,通过跟踪位于全球的500多个恶意网络及其3000多台服务器,Blue Coat的负日防御引擎对黑客的动向进行实时追踪和密切监控,从而在其发起攻击时第一时间采取积极主动的拦截措施。
Web安全是大趋势
Web安全问题已经引起用户的重视,但是对于如何加强Web安全防护,大多数企业并不了解,很多企业认为只要部署了防火墙、杀毒软件和IPS/IDS,并且及时更新就可以高枕无忧了。但事实上,对于来自Web的动态攻击、APT攻击等,“老三样”构建起来的安全体系仍有漏洞存在。因此,Web安全防护的市场前景被安全厂商广泛看好。申强甚至认为,未来Web安全领域将形成一个内部的生态系统。“Web安全是大势所趋,安全厂商都将开展跟Web安全相关的业务。在这个生态系统中,不同的安全厂商将凭借自身优势起到不同的作用,而Blue Coat的价值就是把Web安全的价值链串联起来。”
此外,由于Web安全的重要性,它将成为企业安全基础架构中不可或缺的一部分。很多大型IT巨头和用户都希望将不同的安全产品融合在一起,联合多个厂商构建新一代的信息安全生态系统。对此,申强认为,这对于长期深耕某一领域的企业而言是非常好的机遇,有利于他们更好地发展其产品和技术。
申强认为,在这个大的生态系统中,独立安全厂商要想融入整体的安全架构中,需要从三方面着手:一是使用业界标准的安全接口;二是将产品和服务以云的方式提供给客户,“企业可以忽略产品的后台基础架构,将不同产品和服务整合在一起”;三是提供虚拟化解决方案,因为“虚拟化解决方案让用户可以以很低的成本将各种安全解决方案跟其他IT解决方案很好地结合在一起”。在他看来,尽管很多安全厂商并不是大的IT巨头,但是它们可以凭借专注和专业构建自己的核心竞争力,抓住与IT巨头合作的机遇,成为其信息安全生态系统中不可或缺的一颗“螺丝钉”。