网络安全应急响应服务范文

时间:2023-09-14 17:50:43

导语:如何才能写好一篇网络安全应急响应服务,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全应急响应服务

篇1

关键词:网络安全事件;应急响应;联动系统

一、应急响应的技术特点

网络安全事件指影响计算机系统与网络安全的不正当行为。网络安全事件一般在很短时间内产生,且引起的损失巨大。应对网络事件关键是速度与效率。应急响应(即“Incident Response),指某组织为了应对意外事件发生所做的准备及事件发生后采取的措施。本文网络安全事件的应急响应则指应急响应组织根据对可能情况的准备,在网络安全事件发生后,尽快作出正确反应,减少损失或尽快恢复正常运行,追踪攻击者,搜集证据直至采取法律措施等行动。网络安全事件应急响应的对象,又称应急响应的客体,指:针对计算机与网络信息的安全事件。除了传统的针对保密性、完整性和可用性分类外,广义上应急响应的对象还包括:扫描等违反安全政策的事件。应急响应过程包含三种角色:事件发起者、事件受害者与应急响应的人员。应急响应是被动性的安全体系。它的作用主要表现:1、事先的充分准备;2、事件发生后的采取的抑制、根除和恢复等措施。

(一)入侵检测

应急响应由事件引发,同时发现事件依靠检测手段。入侵检测技术指由系统自动完成的检测,是目前最主要检测手段(IDS)。

(二)事件隔离与快速恢复

首先,在检测基础上,确定事件类型和攻击源后,对于安全性、保密性要求高的环境,应及时隔离攻击源,制止事件影响进一步恶化;其次,对外提供不可中断服务的环境,如运营平台、门户网站等,应急响应过程应侧重考虑尽快恢复系统并使之正常运行。这其中涉及事件优先级认定、完整性检测及域名切换等技术。

(三)网络追踪和定位

确定攻击者网络地址及辗转攻击路径,在现在的TCP/IP网络基础设备上网络追踪及定位很困难;新的源地址确认的路由器虽然能够解决问题,但它与现在网络隐私保护存在矛盾。

(四)取证技术

取证是一门针对不同情况要求灵活处理的技术,它要求实施者全面、详细的了解系统、网络和应用软件的使用与运行状态,对人的要求十分的高(这一点与应急响应本身的情况类似)。目前主要的取证对象是各种日志的审计,但并不是绝对的,取证可能来自任何一点蛛丝马迹。但是在目前的情况下,海量的日志信息为取证造成的麻烦越来越大。

二、网络安全事件应急响应联动系统模型

网络安全事件应急响应联动系统模型是从应急响应组及协调中心发展起来的一套应急响应联动体系。它立足于协调地理分布的人力与信息等资源,协同应对网络安全事件,属于应急响应组织发展后期的组织形式。联动含义:1、组织间的协作;2、功能上统一;3、网络安全策略上联合。

(一)联动系统的体系结构

图1  联动系统的体系结构

1、应急响应协调中心。是信息共享、交换与分析中心,负责协调体系正常运行,属于联动系统的核心。

2、应急响应组。应急响应组以应对网络安全事件为目标,根据技术力量与资源状况设置机构,甚至承担部分协调中心功能。

3、客户。客户方应在应急响应组协助下进行风险分析、建立安全政策与设立联系人员,增强自身主动防御能力及采取合理措施能力。

(二)应急响应协调中心

应急响应组织具备四核心功能:分类、事件响应、公告与反馈;与此同时还具有非核心功能:分析、信息整理、研发、教育及推广。

图2 应急响应协调中心机构设置

1、研发。研发部门,也是实验部门,主要负责研究安全技术与安全工具,以及与网络相关的技术测试、系统测试、产品测试、漏洞测试等。

2、专家顾问。技术专家对于确定研究与形势影响很大。法律顾问与客户、其他应急响应组织的合作及与法律部门、新闻媒体等合作应有法律依据。

3、信息整理与事件跟踪。体系内的具备ISAC功能机构,该部门承担着公告、反馈和信息整理的功能,在研发机构协助下实现信息资源(包括漏洞及补丁信息、新闻动态、技术文献资料、法律法规、公告、安全警报、安全政策、建议等)共享,;还应提供网站资源链接,常见问题(FAQ),常用工具,技术论坛与事件及漏洞的上报渠道等。

4、应急响应。是一线应对事件的机构。响应是联动系统的根本任务,但是联动系统的响应人员在响应过程中可得到体系援助,使应急响应更及时有效。

5、联络。协调应急响应组、应对事件的联动响应及与客户联络。联络中心应具有对应急响应组的约束力,并与该部门承担应急响应功能。

6、培训。包括对组织内人员的技术培训、固定客户的技术支持与培训和面向社会的安全培训三个方面,是保持体系键康发展,提高客户合作能力的机构。

7、公共关系。负责处理应急响应不能回避的与法律组织、媒体、行政部门、科研组织等实体的关系,以及与其他应急响应组织间的联络与合作;承担部分推广的功能。

8、管理机构。协调中心及联动系统运作。

(三)联动系统的功能

联动系统功能包括两方面:1、提供安全事件的应急响应服务;2、信息共享、交换与分析。两功能互相融合、取长补短,使应急响应更加高效、便捷。

1、协调应急响应。在事件响应过程中,响应人员通过网络或传真方式向组织报告事件详细信息,并取得帮助与建议,最终完成响应。依靠资源共享与联动响应期间各响应组的密切联系,响应过程中响应人员得到的建议。事件响应结束后,响应人员要完成事件跟踪报告与总结,并由中心备案。

2、信息共享、交换和分析。信息整理与公告功能是维护网络安全的主动防线。中心通过对组织的安全信息进行统计分析,找出易发生的安全事件,并以预警信息结合预防建议的形式,遏制类似事件发生;中心在安全信息整理和共享等的贡献可大提高应急响应质量,对响应人员和客户方的在线帮助意义重大义。

三、模型其它重要内容

(一)应用应急专线与无线通信手段

在报告事件时,受害者的理想方式:通过网络,交互性较强。但为防止网络受到破坏性攻击、须预先设定紧急联系手段。对事件的即时报告、意见反馈、协调中心或其它帮助都通过响应人员与中心联系实现。除应急响应过程中的联系,客户报告事件也应在网络或专用 软件外拥有应急报告方式,比如传真、移动电话。

(二)事件并行处理的协调

协调中心须实现为事件开辟联动空间保证其独立、高效及可持续。

(三)信息共享与隐私保护以及配套法律建设

联动系统的本就是实现质信息共享。敏感信息应予以保护,比如客户声誉、稳私、机密等。联动系统的信息共享不是完全共享,而是多级权限的共享。此外取证效力及责任、损失鉴定及量刑等的配套法律建设不完善,联动系统也应根据实践建立起自身的规范约束。

(四)异地数据备份与同步和自身的健壮性

应急响应联动系统要求一定权限的数据由协调中心及应急响应组互为备份。依靠体系地理分布实现数据异地备份,保证数据安全性。

参考文献:

篇2

关键词 应急响应;保障措施;网络安全;安全事件

中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)15-0196-01

迄今为止,网络信息安全问题不断变更,给社会的发展带来了严重的影响,在经历了通讯安全、计算机安全、网络安全和内容安全四个过程后,重要网络基础设施及信息的保护已经受到国家的高度关注,并成为国家安全战略的重要组成部分,目前,网络信息安全问题备受人们关注,面对网络和系统日趋复杂,解决网络安全事件成为应急响应体系建设的重点工作。

1 应急响应的基本内容

当前,应急响应主要包括应急响应、信息安全事件和应急响应体系的总体架构三个方面的内容。

1)应急响应是指一个组织在各种安全事件发生前后所采取的准备工作及相应的紧急措施,应急响应主要是为了保护网络基础设施的安全性,降低网络的脆弱性和缩短网络攻击事件发生后对相关信息的破坏时间和恢复时间。

2)信息安全事件,即信息系统、服务或网络的某种不安全状态。而信息安全事件就是导致信息资产丢失或损坏的一种信息安全事故,且其损坏的发生具有一定的特殊性。当然,信息安全事件的发生也具有因果性、必然性、偶然性、规律性等特点,因此也就是说信息安全事件的发生是可以通过相应的措施进行相关事件的预防,而应急响应则是事件发生后减少损失的一个重要手段。

3)应急响应体系的总体架构,而应急响应体系由两个中心和两个组组合而成。而两个中心只要是指信息共享与分析中心和应急响应中心,其两个组则由应急管理组和专业应急组组成。其中,作为处于系统最高层的应急响应指挥协调中心,主要负责协调体系、维护信息共享与分析中心平台、管理协调各个应急响应组,并且也是系统联动的控制中心。而信息共享主要负责与组织进行信息共享和交换,它是整个架构的核心。应急响应中心包含了整个体系的核心任务,即信息安全事件的分类、预案管理及应急响应等。作为整个体系和联动运作的总协调机构应急管理组,其主要包括:技术研发与策略制定组和专家咨询组等。专业应急组直接对安全事件实施响应的联动措施。

2 应急响应体系的层次结构

对与应急响应体系的层次结构,主要是针对在具体的应急响应工作中,相关应急响应体系的层次结构对安全事件的处理,以此体现层次结构在应急响应体系中的作用,对此,基于动态对等网层次结构中的网络预警模型展开相应的研究。这里主要以DPOH模型为例,这种DPOH模型广泛分布于受保护网络中,由自治节点构建而成的层次化对等覆盖网体系。DPOH模型主要是提供底层的分布式协作和数据共享框架,从而使得各类异构防护设施能够接入到一个自适应的全局安全防护体系中,因此具有跨安全域的数据共享和相应的对等协作能力,为此,可以有效地执行协同检测和防护任务。

DPOH模型主要是为了保护规模较大的网络环境的安全而构建的,其重点是对恶意代码实施协同检测和防护而构建的。其包括层次化对等结构、数据分布式共享和动态自适应协作等

特点。

其层次化对等结构具有鲁棒性、可拓展性和可管理性优点。在DPOH模型中具有控制中心、任务协调中心和安全三类核心节点角色,然而三种角色又有各自不同的权限,自上而下形成控制中心群体和任务组两层对等覆盖网体系,使得层次化和对等有机结合在一起。

而对于数据分布式共享,DPOH模型将NIDS、防火墙安全网关等设施通过协议注册到相关的安全节点,将异构报警源生成的报警数据通过XML技术进行一致化处理,然后再由DHT分布式消息共享机制发到整个网络安全防护体系中。对此,DPOH模型还可以整合各类异构网络安全防护设施的数据资源,从而实现了安全报警消息的分析式存储和查询机制,并对分布式网络入侵和攻击行为进行关联分析和协调检测,从而明确入侵意图,为深层次信息提供了基本的支撑。

针对动态适应协作,DPOH模型提供了其机制的底层支持,主要体现在以下两点。

1)预警模型可以完全摆脱节点物理拓扑的约束对网络安全资源进行调整分配。

2)当安全节点处于模型底层,并由控制中心根据所需资源,然后动态地组织任务组覆盖网,在任务组只占必要的资源的同时实现多任务并行处理。

3 应急响应体系的联动

应急响应体系的联动包含技术防御层的联动、组织保障层的联动、响应实施层的联动和以事件为中心的层间联动。对此,应急响应体系的联动主要体现于各层内实体和层间实体的联动,若没有实体间的联动,其功能就无法进行发挥。所以,实体间的联动是十分重要的。而层级结构图越园,表明其实体间的联系就越紧密,其活跃度就更高。由外而内,区域逐渐变小,而其功能越来越复杂,各层间的联动活跃度也就越高。

对于无大规模的网络攻击或者网络战争的发生,其联动是最少的。在技术防御层中的六个实体间的联动是通过彼此间的因果关系传递的,而组织保障层中的四个实体间的联动在同种形式下是十分紧密的,其信息的传递可通过双向传递或者点与点直接传递,对于响应实施层内的六个功能在通常情况下实体联动可表现为一体。

4 结束语

在目前网络飞速的发展中,由于各种因素的影响所造成的网络漏洞较多,网络信息安全事件的发生给人们,尤其是事业单位造成了很大的困扰,而应急响应防御体系中的一道重要的防线,是网络信息安全的可靠保障。急响应体系的建立其工程十分复杂,应该为此加强安全措施的联动,并全面了解层次结构,才能解决主要的问题,才能进一步完善应急响应体系。保证各类信息的安全。

参考文献

[1]王瑞刚.网络与信息安全事件应急响应体系层次结构与联动研究[J].计算机应用与软件,2011,28(10):117-119.

[2]王茹.安全信息管理(SIM)风险管理的研究与实现[D].北京邮电大学,2010.

[3]胡文龙.蜜网的数据融合与关联分析的研究与实现[D].北京邮电大学,2009.

篇3

1总则

1.1编制目的

为保障XX市医疗保障局网络和信息安全,提高应对网络安全事件的能力,预防和减少网络安全事件造成的损失和危害,进一步完善网络安全事件应急处置机制,制定本预案。

1.2编制依据

《中华人民共和国网络安全法》、《国家网络安全事件应急预案》、《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)、《信息安全事件管理指南》(GB/Z20985-2007)、《应急预案编制导则》(GBA29639-2013)、《信息技术服务运行维护第3部分:应急响应规范》(GBA28827.3-2012)等相关规定。

1.3工作原则

强化监测,主动防御。强化网络和信息安全防护意识,加强日常安全检测,积极主动防御,做到安全风险早发现。

明确分工,落实责任。加强网络和信息安全组织体系建设,明确网络安全应急工作权责,健全安全信息通报机制,做到安全风险早通报。

快速响应,有效处置。加强日常监管和运维,强化人力、物资、技术等基础资源储备,增强应急响应能力,做到安全问题早处置。

1.4适用范围

本预案适用于市医疗保障局网络和信息安全事件应急工作。

2事件分级与监测预警

2.1事件分类

网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件。

(1)有害程序事件。包括:计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

(2)网络攻击事件。包括:拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

(3)信息破坏事件。包括:信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

(4)信息内容安全事件。指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

(5)设备设施故障。包括:软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

(6)灾害性事件。指由自然灾害等其他突发事件导致的网络安全事件。

(7)其他事件。指除以上所列事件之外的网络安全事件。

2.2事件分级

按照事件性质、严重程度、可控性和影响范围等因素,将市医疗保障局网络和信息安全事件划分为四级:Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级,分别对应特别重大、重大、较大和一般安全应急事件。

(1)Ⅰ级(特别重大)。局网络和信息系统发生全局性瘫痪,事态发展超出控制能力,产生特别严重的社会影响或损害的安全事件。

(2)Ⅱ级(重大)。局网络与信息系统发生大规模瘫痪,对社会造成严重损害,需要局各科室(单位)协同处置应对的安全事件。

(3)Ⅲ级(较大)。局部分网络和信息系统瘫痪,对社会造成一定损害,事态发展在掌控之中的安全事件。

(4)Ⅳ级(一般)。局网络与信息系统受到一定程度的损坏,对社会不构成影响的安全事件。

2.3预警监测

有关科室(单位)应加强日常预警和监测,必要时应启动应急预案,同时向局网络安全和信息化领导小组(以下简称“领导小组”)通报情况。收到或发现预警信息,须及时进行技术分析、研判,根据问题的性质、危害程度,提出安全预警级别。

(1)对发生或可能发生的Ⅳ级安全事件,及时消除隐患避免产生更为严重的后果。

(2)对发生或可能发生的Ⅲ级安全事件,迅速组织技术力量,研判风险,消除影响,并将处置情况和结果报领导小组,由领导小组预警信息。

(3)对发生和可能发生的Ⅱ级安全事件,应迅速启动应急预案,召开应急工作会议,研究确定事件等级,研判事件产生的影响和发展趋势,组织技术力量进行应急处置,并将处置情况报领导小组,由领导小组预警信息。

(4)对于发生和可能发生的Ⅰ级安全事件,迅速启动应急预案,由领导小组向省医疗保障局、市委网络安全和信息化委员会办公室、市公安局通报,并在省级有关部门的指挥下开展应急处置工作,预警信息由省级有关部门。

3应急处置

3.1网页被篡改时处置流程

(1)网页由主办网站的科室(单位)负责随时密切监视显示内容。

(2)发现非法篡改时,通知技术单位派专人处理,并作好必要记录,确认清除非法信息后,重新恢复网站访问。

(3)保存有关记录及日志,排查非法信息来源。

(4)向领导小组汇报处理情况。

(5)情节严重时向公安部门报警。

3.2遭受攻击时处置流程

(1)发现网络被攻击时,立即将被攻击的服务器等设备断网隔离,并及时向领导小组通报情况。

(2)进行系统恢复或重建。

(3)保持日志记录,排查攻击来源和攻击路径。

(4)如果不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。

3.3病毒感染处置流程

(1)发现计算机被感染上病毒后,将该机从网络上隔离。

(2)对该设备的硬盘进行数据备份。

(3)启用杀病毒软件对该机器进行杀毒处理工作。

(4)必要时重新安装操作系统。

3.4软件系统遭受攻击时处置流程

(1)重要的软件系统应做异地存储备份。

(2)遭受攻击时,应及时采取相应措施减少或降低损害,必要时关停服务,断网隔离,并立即向领导小组报告。

(3)网络安全人员排查问题,确保安全后重新部署系统。

(4)检查日志等资料,确定攻击来源。

(5)情况严重时,应保留记录资料并立即向公安部门报警。

3.5数据库安全紧急处置流程

(1)主要数据库系统应做双机热备,并存于异地。

(2)发生数据库崩溃时,立即启动备用系统。

(3)在备用系统运行的同时,尽快对故障系统进行修复。

(4)若两主备系统同时崩溃,应立即向领导小组报告,并向软硬件厂商请求支援。

(5)系统恢复后,排查原因,出具调查报告。

3.6网络中断处置流程

(1)网络中断后,立即安排人员排查原因,寻找故障点。

(2)如属线路故障,重新修复线路。

(3)如是路由器、交换机配置问题,应迅速重新导入备份配置。

(4)如是路由器、交换机等网络设备硬件故障,应立即使用备用设备,并调试通畅。

(5)如故障节点属电信部门管辖范围,立即与电信维护部门联系,要求修复。

3.7发生火灾处置流程

(1)首先确保人员安全,其次确保核心信息资产的安全,条件允许的情况下再确保一般信息资产的安全。

(2)及时疏散无关人员,拨打119报警电话。

(3)现场紧急切断电源,启动灭火装置。

(4)向领导小组报告火灾情况。

4调查与评估

(1)网络和信息安全事件应急处置结束后,由相关科室(单位)自行组织调查的,科室(单位)对事件产生的原因、影响以及责任认定进行调查,调查报告报领导小组。

(2)网络和信息安全事件应急处置结束后,对按照规定需要成立调查组的事件,由领导小组组织成立调查组,对事件产生的原因、影响及责任认定进行调查。

(3)网络和信息安全事件应急处置结束后,对产生社会影响且由省级有关部门进行调查的,按照省级有关部门的要求配合进行事件调查。

5附则

篇4

关键词:APPDRR;校园网络;安全对策

中图分类号:TP393.08

1 探究网络安全需求

1.1 业务安全需求

在网络安全和通畅的情况下,才可以对学校中财务系统、办公系统、教务学生管理以及教学活动正常的开展。防止Dos等攻击而造成的性能丧失或者服务瘫痪的现象。

1.2 物理安全需求

在校园网络中的较多物理设施需要和有关的安全规范相符,例如:中心机房、硬件防火墙、路由器、交换机、服务器等。还需要按照有关的管理范围限制系统管理员、数据库管理员以及机房管理人员的权限。

1.3 数据安全需求

数据安全需求具体包含:抗抵赖性、数据完整性、数据机密性。其中所涉及到的数据机密性所指的是,不可以被进程、实体或者非授权者加以利用,在机密性中还会存在泄漏的特点。信息数据按照安全级别包含:机密、内部、公开等三个级别。公开性质的信息是Internet用户可以对其访问的,内部的信息只可以被校内学生和教职工进行访问,机密的信息只是小部分的授权用户有使用权限。数据的完整性方面需要将主动威胁有所抵制,从而确保接收者的信息接收和信息发送初期是统一的,保证信息真实有效。抗抵赖性是发送人员不可以在发送之后否认消息的发送内容[1]。

2 APPDRR的校园网络安全对策

校园网络安全是动态的系统,新问题会接连出现,解决方案会随着问题的出现而改善。APPDRR这一方案能够完善的解决校园网络安全问题,其主要的构成部分为:故障恢复与事件响应、监控与检测、防御系统、安全策略的制定以及风险的评估与分析。

2.1 风险分析

想要开展APPDRR,风险分析是第一组成部分,进行风险的分析能够保证其他组成部分的顺畅开展,在校园网络中所存在的风险为几大部分:(1)控制和非法访问。控制是机制和策略的有效融合,可以访问限定的资源。系统若认证非法访问的情况下,会顺利的进入到系统的内部对数据资源随意使用。(2)病毒。校园中拥有着较多的学生和教职工,网络用户十分复杂。在加上对电脑与智能手机应用方面不断增多,更加增添了网络拓扑结构的复杂性。仅仅是一项细节部位受到的病毒的干扰,也会快速、大范围的传播。(3)Dos攻击。Dos主要是通过有效的服务请求去占用较多的服务资源,继而对用户指令不能够应用服务器进行处理,最后会造成服务器的瘫痪现象。

2.2 安全策略

对安全风险确定之后,就需要按照安全的需要拟定出相应的安全策略。在APPDRR当中安全策略是核心成分,APPDRR具体创建了四大防线,分别为:故障恢复、实时响应、监控与检测、防护。

2.3 安全防护

(1)核心层的网络设备中能够应用URPF御DDOS攻击,同时和OTP动态形式下的一次性密码进行结合,验证出用户身份。只要将服务开启,通过安全设计的路由协议,验证协议,利用SSH、SNMP等拥有安全性较强的管理协议,就能够开展端口限速控制接入层的交换机。(2)防火墙在Internet入口处设置。防火墙涉及到的双主动模式具有一定的可靠性,不管是在网络地址的转换模式还是路由模式,都能够配置为主动的备份防火墙和防火墙,能够有效的共享数据流。所体现的双主动模式能够确保两台防火墙可以有50%的分担能力,可以合理的利用资源,能够延续防火墙的使用期限。

2.4 安全监控和检测

想要将安全策略落实,一定要进行安全检测,检测的具体对象包含两种,其一为系统外部的入侵威胁,其二为系统自身的脆弱性。对系统自身的脆弱性有几种检测措施:(1)入侵检测。在外部中的入侵检测具体是利用计算机系统,以及计算机网络当中的小部分重点开展信息分析和信息收集,在收集的过程中搜寻能否存在不符合安全策略的迹象和行为。分析监视系统活动和用户能否和安全策略分析相符,比较已经知道的活动攻击模式数据库,同时充分的识别异常的情况。严格的监控关键的数据是否完整。还需要审计操作系统的日志,以此来正确的识别异常的行为[2]。(2)检测系统自身脆弱性:1)漏洞的扫描系统。在漏洞数据库中会产生漏洞扫描,会针对应用终端和服务器开展安全弱脆性的系统检测,对系统漏洞能够及时发现。漏洞具体包含:MAIL类、缓冲区溢出、WEB应用漏洞以及Windows系统漏洞等。后台的管理扫描系统提倡通过管理系统,在漏洞扫描服务器中安装服务器端。2)防病毒的部署。对于防病毒策略的实现,需要将集中安装实现,将策略的管理统一开展。将趋势科技中央控管产品TMCM在后台的管理区防病毒服务器中详细的部署,此管理软件可以将防病毒软件,开展系统化的管理和监控。针对客户监控区的终端系统,以及后台管理层中的监控区域的病毒防护,可以应用OfficeScan方案。其高效和升级的实时防护以及统一管理模式,可以合理的确保应用人员的应用安全[3]。3)操作系统补丁方面的管理系统。若操作系统存在漏洞,应用极为优质的管理措施和软件都不能够产生效用,基本上在校园网络中所产生的安全隐患,具体的原因都是由于计算机或者业务服务器中缺失系统补丁的及时更新,所以在校园网中需要配置专业的补丁管理系统。SMS系统是提倡应用的系统,该系统可以较好的配置Microsoft的更新,能够让校园网当中所使用的计算机和服务器,都可以在暴露安全弱点之前被发现[4]。

2.5 应急实时的响应

应急实时响应是在网络安全隐患发生之后的有效应对方式,能够有效的解决安全性问题,是较为完善的处理手段。若产生安全隐患,需要及时的开展应急的预案,为的是在较短时间内,将危害性降低到最小的程度[5]。

3 总结

根据以上的论述,应用APPDRR的前瞻性随着动态校园网络的形成,不断的得以体现。并且,有必要将管理和技术有效的融合在一起,让教师和学生都拥有着一定的网络风险意识,建立健全的“防火墙”,用规范的行为正确的进行电脑的使用以及保证上网的良好习惯。要力求用信息技术维护校园网络安全,让师生能够在一定程度上开展优质的网络体验。

参考文献:

[1]黄昌伟,万伟蹈,吴洪强.基于APPDRR的校园网络安全模型研究[J].江西教育学院学报,2013,12(09):123-125.

[2]林日.信息化背景下的校园网络安全问题与对策[J].福建教育学院学报,2013,11(06):146-150.

[3]曾松.浅谈中职学校数字化校园网络的安全问题及对策[J].福建电脑,2013,14(02):188-190.

[4]夏龄,周德荣,舒涛.校园网络的安全及对策初探[J].西南民族大学学报:自然科学版,2013,6(03):146-157.

[5]宋帆,杨晓兰.北邮校园网学籍、成绩管理信息系统安全对策探讨[J].管理信息系统,2013,5(04):176-179.

篇5

为了能够有效地保护网络安全,保护计算机用户免受病毒的侵害,应该不断提高互联网的应急响应技术来保护网络的安全。计算机网络安全应急响应技术是一门综合性技术学科,它具有智能性的特点,对于一些突发安全事件能够及时地进行响应、跟踪和处理。因此,它的技术要求也是非常高的,主要体现在以下几个方面:

1.1操作系统加固优化技术

操作系统是电脑网络与服务的基础,其安全稳定地运行取决于操作系统环境是否安全可靠。关于操作系统的加固优化,主要可以通过两种方法来实现:

(1)对操作系统进行不断的完善,操作人员不断通过自我学习,发现操作系统当中的漏洞,当发现漏洞的时候一定要进行及时地修正。

(2)要不断完善现有的操作系统,加强对重要文件和进程的监控和管理,不断加强操作系统的稳定性和安全性。

1.2网络的诱骗和陷阱

网络的陷阱和诱骗技术是一种新型的网络安全防护技术,它主要通过设计一些有明显弱点的系统,来引诱病毒或者是黑客攻击者。通过诱惑黑客攻击者的入侵方式和行为,设定一个控制范围,了解黑客所使用的攻击方式和攻击技术,然后追踪其来源,对其不法行为进行记录。这种防护方式的优点主要有两个方面:第一,它能够有效地防止黑客的攻击行为,增加黑客攻击者的入侵难度,从而更好地做好防御工作。第二,它可以通过跟踪和记录黑客的行为,记录黑客的犯罪证据,对这种行为进行有效地打击。

1.3网络的追踪技术

计算机网络追踪技术主要是对每一台主机的信息进行采集获取,确定攻击者的lP地址是什么,进而找到相应的防护措施。这种网络的追踪技术的核心特点就是它对计算机网络中的所用主机进行确认,在这个基础上,对主机的数据进行采集、分析以及处理,然后将入侵者在网络中活动的轨迹串联起来进行追踪。这样的技术能够有效地对病毒入侵者进行追踪分析,从而更好的防护电脑网络。网络追踪技术主要分类两个方面:第一个是主动追踪技术,它主要包括的是对信息进行隐形工作,例如,在HTTP的返回工作中加入特殊标记的内容,这些内容要进行一系列的技术处理,保证攻击者不容易察觉,同时,在网络当中可以通过这些隐形标记来追踪网络攻击者,确认他们的攻击途径。第二种是被动式的追踪技术,这种被动式的追踪技术主要通过网络数据的不断变化而找出攻击对象的。它的理论依据就是,计算机网络连接不同,网络连接的相关特征数据也会有所不同。通过对这些产生不同节点的网络标识进行记录,找出攻击者的攻击轨道和攻击轨迹,继而进行追踪。

1.4斗防火墙技术

防火墙技术实际上是一种计算机网络与局域网之间的一个把关者,通过建立这样一所把关门,可以有效地保护局域网的安全,避免病毒或者黑客的侵入。在目前的互联网技术上来讲,防火墙是计算机网络安全防护当中最为基础和相对安全的一个防护措施,它可以在不改变计算机网络系统的情况之下,对电脑实施一定的保护措施,因此防火墙是一种最为普遍、应用最为广泛的应急技术。一般的计算机用户可以将其安装到电脑内,从而对计算机网络实施安全保护功能,其实用性非常大。

1.5计算机防止病毒影响技术

由于现在电脑技术不断更新换代,网络病毒的技术也变得更急复杂,对于电脑的攻击也更加猛烈。因此,很多用户都会在电脑的主机上安装相应的杀毒软件,防止病毒的入侵。而在功能上来讲,计算机病毒软件主要分为两种类型,一种是网络的防病毒软件以及单机的杀毒软件,网络的防毒软件主要是检测互联网是否存在病毒,一旦有病毒进入计算机网络的时候,网络防毒软件就会自动检测出来并且提示用户删除该病毒;而单机杀毒软件则是我们常用的杀毒软件,主要是用户安装在电脑上通过网络的检测来进行电脑的全面检查,发现有病毒的话可以立即进行清除。

1.6石取证技术

网络的取证技术是对计算机系统当中的数据进行识别、收集以及保护。计算机的取证主要包括物理取证和信息取证两个方面。

(1)物理取证技术。主要是指在计算机当中寻找原始记录的一种技术。在进行物理取证的时候,最重要的是要保证证据不被破坏。而物理取证技术也能够很好地做到这一点,它的主要特点就是对证据进行无损备份,对于一些删除了的文件能够进行恢复。

(2)信息取证技术,信息取证技术是在经过物理取证技术之后,对获得的原始文件和数据进行技术分析。

2结束语

篇6

关键词 气象信息网络;现状;网络安全;安全策略;内蒙古通辽

中图分类号 P49 文献标识码 A 文章编号 1007-5739(2012)10-0051-01

计算机网络在经济和生活各个领域的迅速普及和发展给人们带来前所未有的方便快捷,人们通过网络互通联系,进行各种商业活动。随着计算机网络的不断发展,通辽市气象信息网络也得到了很大的发展和改进,形成了内部独有的网络特点,使气象数据的传输、资源共享都在网络上得以实现,为实现“公共气象、安全气象、资源气象”发挥了不可替代的作用。但是网络互联性、开放性、共享性、复杂性又暴露了脆弱性和不稳定性,使得网络安全问题变得越来越突出[1]。气象数据的定时传输及数据的准确性和及时性特点,对气象信息网络安全性的重要性提出更高要求。该文针对通辽市气象现有网络结构及安全性进行分析,并提出相应的解决方案。

1 通辽市气象信息网络现状

通辽市气象信息网络既有内部的局域网又有广域网(系统内部业务网),还有外网(因特网)、卫星网。广域网采用网状拓扑结构,内部局域网采用星型拓扑(同一层楼)和树型拓扑(不同楼层)结构互相连接,有和气象局以及所属旗县气象局SDH(电信、网通)专线、与通辽东部人工降雨指挥中心相连城域网、接收亚洲—4号卫星的CMAcast卫星接收系统、Internet网互联的复杂网络。网络的安全非常重要,一旦网络遭到破坏,将影响气象业务工作的正常运行。随着气象现代化业务的快速推进,全方位分析通辽市网络安全并提出解决方案显得尤为重要。

2 通辽市信息网络安全分析及控制策略

通辽市气象信息网络是个庞大的系统,其安全方面存在的风险包括管理安全风险、网络安全风险、应用安全风险。面对存在的风险要采取各项解决方案,以应对网络故障,保证网络安全畅通。

2.1 管理安全控制策略

网络安全既讲究技术层面的防御,也必须注意管理方面的问题,需要网络管理员及时发现问题、解决问题,为网络安全制订一整套安全制度、网络使用规程、通信机房安全管理制度、网络的日常维护制度和应急措施。严格按照规章制度执行,同时也进行人员安全管理,加强对网络管理人员的安全教育和技术培训,增强管理人员的安全意识,提高管理人员的诚信和道德水平,以及对应急事件的处理能力。

2.2 网络安全控制策略

通辽市气象信息网存在复杂性、多样性、不稳定性,气象数据在网上传输存在传输风险、病毒入侵风险。为避免这些风险,在网络上添加硬件防火墙(金山FVR),管理和配置好局域网防火墙是十分必要的。因为防火墙是不同网段之间信息的出入口,能够根据网络安全策略,有效记录用户因特网活动,暴露用户点,防火墙是网络安全策略检查站,具有较强的抗攻击能力,能有效地保护各级气象部门局域网络的安全[2]。但是只有防火墙是不够的,防火墙不能防备全部的威胁,也不能防范所有病毒的入侵,在公共网络安全方面,木马和僵尸病毒依然对网络安全构成直接威胁,2011年国家互联网应急中心共发现近500万个境内主机IP地址感染木马和僵尸程序,较2009年大幅增加。因此,在网络上的每个工作站安装金山毒霸套装杀毒软件,就能及时发现计算机系统及应用软件的漏洞,进行扫描修复,组件升级加固系统,关闭计算机不必要的应用程序,清理插件,打开“网页监控”功能,防止恶意木马利用漏洞入侵计算机[3]。做好移动硬盘、U盘等即插即用设备使用前的扫描和杀毒工作,关键计算机禁用即插即用设备。构建多层次、多方位的防毒策略,建立网络防病毒安全体系[4]。安全机制更加缜密,将保证网络上的每个工作站有序运行。

为保证通辽市气象信息网安全、可靠、持续运行,业务内部网必须通过路由器来实现,网络管理员在路由器上配置访问列表来进行跨子网段的授权访问,从而提高内部网络访问的安全性。路由器采用博达公司BD7208路由器,其具有提供包括声音、视频和数据传输在内的综合服务,具有QoS功能;虚拟子网的解决方案和虚拟子网间通信的安全问题,网络的扩展能力和对多厂商、多协议的支持能力。所属旗县气象局采用博达公司BD2600路由器,支持多协议,三网无缝合一,节约大量成本。另外,该路由器还支持3G网络,在网络断开时,用3G自动切换,保证传输数据的及时性、完整性、可靠性,解决网络的不稳定隐患。

2.3 应用安全控制策略

通辽市信息网具有卫星数据资料接收系统、视频会商系统、台站天气实传输检测系统、内蒙古气象局综合信息系统、Notes邮件系统、各种业务数据传输系统等,每天网络都肩负庞大的数据传输任务。数据传输存在风险,一旦遭到破坏,网络就可能瘫痪,造成不可估量的损失,应用安全就成网络重中之重。

应单独建立一个数据服务器(IBM),实现数据的存储、共享功能。数据服务器安装Windows 2003 Server系统,在数据服务器上进行以下安全设置:建立有效用户,设置口令,进行身份认证,防止非法用户登陆使用数据服务器。关闭不需要的端口和部分服务,可以减轻系统负担,关闭默认共享空间连接,通过设置磁盘权限、安装防火墙杀毒软件等一系列措施保护数据,保证有效用户合理使用数据服务器。

3 结语

随着气象事业的不断发展,存储和分发的数据种类增加,信息量成几何指数迅猛增长,各类气象数据传输实效要求也越来越高[5-6]。响应快捷、运转高效是对气象信息网络提出的新要求,网络安全防护策略及解决方案是动态变化的,随着网络周期变化而拓展,网络安全工作任重而道远,为加强气象信息系统的抗干扰性能,保证信息的完整性、可控性和不可否认性,提高网络的安全管理水平与技术保护能力,构建一个网络与信息安全防范体系显得尤为重要。

4 参考文献

[1] 王鑫,蒋华.网络环境下的计算机病毒及其防范技术[J].计算机与数字工程,2008,36(2):88-90

[2] 邱奕炜,邓肖任,詹利群.气象部门网络安全威胁与对策探讨[J].气象研究与应用,2009,30(S1):237-238.

[3] 王会品,张涛.无线网络技术在气象信息服务中的应用[J].气象与环境学报,2009,25(2):54-56.

[4] 尚卫红.不断提高气象为新农村建设服务能力[J].沙漠与绿洲气象,2008,2(B8):141-144.

篇7

关键词:企业局域网;安全;管理制度

近年来,随着企业管理水平的提高,企业管理信息化越来越受到企业的重视。企业ERP系统、企业电子邮局系统和协同办公自动化系统等先进的管理系统都进入企业并成为企业重要的综合管理系统。这种连接方式使得企业局域网在给内部用户带来工作便利的同时,也面临着外部环境的种种危险。如病毒、黑客、垃圾邮件、流氓软件等给企业内部网的安全和性能造成极大地冲击如何更有效地保护企业重要的信息数据、提高企业局域网系统的安全性已经成为我们必须解决的一个重要问题。

一、网络安全及影响网络安全的因素

影响企业局域网的稳定性和安全性的因素是多方面的,主要表现在以下两个方面:

1、外网安全。黑客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。

2、内网安全。企业员工利用网络处理私人事务和其他对网络的不正当使用,降低了生产率、消耗企业局域网络资源、并引入病毒和间谍软件,或者使得不法员工可以通过网络泄漏企业机密。

二、企业局域网安全方案

为了更好的解决上述问题,确保网络信息的安全,企业应建立完善的安全保障体系该体系,包括网络安全技术防护和网络安全管理两方面网络安全技术防护主要侧重于防范外部非法用户的攻击和企业重要数据信息安全。网络安全管理则侧重于内部人员操作使用的管理。采用网络安全技术构筑防御体系的同时,加强网络安全管理这两方面相互补充,缺一不可。

1、企业的网络安全技术防护体系

主要包括入侵检测系统、漏洞扫描系统、病毒防护、防火墙、认证系统和网络行为监控等几大安全系统。

1)入侵检测系统。在企业局域网中构建一套完整立体的主动防御体系,同时采用基于网络和基于主机的入侵检测系统,在重要的服务器上(如WEB服务器,邮件服务器,协同办公服务器等)安装基于主机的入侵检测系统,对该主机的网络实时连接以及系统审计日志进行智能分析和判断,如果其中主体活动十分可疑,入侵检测系统就会采取相应措施。

2)漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。

3)病毒防护系统。企业局域网防病毒工作主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。校园网需建立统一集中的病毒防范体系。特别是针对重要的网段和服务器。要进行彻底堵截。

4)防火墙系统。防火墙在企业局域网与Internet之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受非法用户的入侵在外部路由器上设置一个包过滤防火墙,它只允许与屏蔽子网中的应用服务器有关的数据包通过,其他所有类型的数据包都被丢弃,从而把外界网络对屏蔽子网的访问限制在特定的服务器的范围内,保证内部网络的安全。

5)认证系统。比如网络内应使用固定IP、绑定MAC地址;结合企业门户、办公系统等管理业务系统的实施实行机终端接入准入制度,未经过安全认证的计算机不能接人企业局域网络。

6)网络行为监控系统。网络行为监控是指系统管理员根据网络安全要求和企业的有关行政管理规定对内网用户进行管理的一种技术手段,主要用于监控企业内部敏感文件访问情况和敏感文件操作情况以及禁止工作人员在上班时间上网聊天、玩游戏、浏览违禁网站等。

2、企业局域网安全管理措施

虽然先进完善的网络安全技术保护体系,如果日常的安全管理跟不上,同样也不能保证企业网络的绝对安全,一套完整的安全管理措施是必不可缺少的。

1)为了避免在紧急情况下预先制定的安全体系无法发挥作用时,应考虑采用何种应急方案的问题应急方案应该事先制订并贯彻到企业各部门,事先做好多级的安全响应方案,才能在企业网络遇到毁灭性破坏时将损失降低到最低,并能尽快恢复网络到正常状态;

2)对各类恶意攻击要有积极的响应措施,并制定详尽的入侵应急措施以及汇报制度。发现入侵迹象,尽力定位入侵者的位置,如有必要,断开网络连接在服务主机不能继续服务的情况下,应该有能力从备份磁盘中恢复服务到备份主机上。

3)扎实做好网络安全的基础防护工作,建立完善的日志监控措施,加强日志记录,以报告网络的异常以及跟踪入侵者的踪迹。

篇8

“谁都不愿意也不敢在奥运期间出现问题。因此除了奥组委,一些跟奥运紧密相关的客户如电信、电力、甚至是金融行业,对于网络安全的问题也是非常紧张。在这种情况下,众多网络安全厂商纷纷推出‘奥运保障计划’来做大市场。”参加了几次奥运安全保障计划的互联网实验室执行总裁刘兴亮分析。

唤醒网络安全市场

“奥运前期,我们每天都要定时向好几个与奥运会相关的政府接口进行信息通报,奥运开幕后,现在是几乎每个小时都要通报。当然这一切都是为了防止奥运会期间,可能出现针对奥运而来的黑客恐怖袭击和计算机网络病毒。” 北京一网络厂商的张姓工程师说。

据这名张姓工程师说,此前不久,由奥组委和相关部门牵头,几乎所有重要的网络安全厂商刚参与了两次大规模的攻防演练:一部分人对网络发动攻击,有的假扮黑客,有的则在网络上散发大量的未知病毒,造成网络攻击的现象。而另一部分人则启动响应机制,构建防御体系,迅速处理危机。

对此刘兴亮分析说,这样的演练实质上就是对应急机制的检测。 无论是演练,还是在奥运期间的实际运作,从流程上来讲,跟平时处理突发事件基本相同,不同的是要“快”,比平时的响应速度要更快。不是改变流程,而是加速流程,争取把对奥运的影响降到最低。

对于黑客和病毒的防范,厂商的策略一直都属于被动防范,就是当问题出现时,集中火力去解决问题。但面对奥运这样的重点项目,他们前期则需要确定防范重点,并且有针对性地设计工作流程。

正是缘于奥运对网络安全的高度重视,大大刺激了对网络安全重要性的唤醒。“以前他们有任何问题都是工程师跟我们联系,现在都是处长或是经理直接跟我们联系。”北京瑞星客户部总经理王建峰说。

刘兴亮说:“在这种情况下,网络安全厂商如趋势、瑞星、金山、江民启明星辰、绿盟等网络安全厂商都纷纷都推出‘奥运保障计划’来做大市场。”

市场规模亟待扩张

网络安全本来是非常重要的,但市场的整体规模一直不是很大,市场中的企业规模也比其他行业小。奥运对网络安全的高度重视,无疑激发了这个市场的需求。比如金融企业,在奥运期间是全面向全球用户提供金融服务,如果服务不能正常运转,不仅企业的信誉受到打击,而且还会有很严重的政治影响。

与此同时,奥组委和奥运相关的业务组织也大量采购网络安全厂商的软件、硬件和服务。进一步刺激了网络安全市场的需求。

“临近奥运时,来自电力、电信、金融、门户网站、相关政府部门的客户不断地向我们提出网络安全保障计划的需求。如有的客户向我们征询网络部署的方案,有的请我们去评估网络的安全性,也有些客户要求我们提供针对性的人员培训。”王建峰在谈起奥运期间网络安全市场时兴奋地说道。

趋势科技北方区技术经理罗海龙也告诉记者:“他们的工程师仅在今年6月、7月就两次对客户的系统进行了全面检查,同时针对客户的系统进行弱点分析,制定加固或调整方案。现在奥运期的重点就是突发事件的处理。”

据悉,为了及时应付随时可能发生的突发事件,趋势科技还为客户提供一项特殊的“未知威胁保障服务”,主要针对企业用户在日常安全防护中遇到的未知威胁,提供完整的主动解决方案,自动进行高危可疑文件的判断和比对,做到提早发现问题提早解决问题,并提供可跟踪的报告。

更难能可贵地是,奥运把平时在网络安全市场上的竞争对手们,团结了起来。刘兴亮告诉记者,现在中国的网络安全厂商们全部都紧密合作,一切都以确保奥运的网络安全为唯一目标。

■记者观察:“后奥运”商机

在奥运期间,不管是被奥组委选中产品的网络安全厂商还是主动为奥组委服务的网络安全厂商,除了尽责任和义务外,也有一个商业的考虑,那就是争抢后奥运网络安全市场的蛋糕。

据悉,北京瑞星就在预算方面制定了对奥运网络安全支持没有封顶的措施,而且全公司高级别的专家、工程师都在全力配合奥运网络安全项目。

像这样在奥运期间,网络安全厂商们在全力服务好奥组委、服务好跟奥运密切相关的大行业客户,以及贴近这些大用户的同时,也在向大用户证明了自己的价值。毕竟奥组委以及大量跟奥运密切相关的企业在后奥运时代也有大量的安全需求。

未雨绸缪,网络安全厂商是有这个考虑的。通过网络安全厂商的的服务在帮助客户避免奥运期间危机的同时,也让客户更了解相关的产品和服务。

篇9

 

为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。

 

1安全规划的目标和思路

 

贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。

 

基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。

 

1.1设计目标

 

贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。

 

1.2设计原则

 

1.2.1合规性原则

 

安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。

 

1.2.2技管结合原则

 

信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

 

1.2.3实用原则

 

安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。

 

1.3设计依据

 

1.3.1“原则”符合法规要求

 

依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。

 

2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。

 

1.3.2“策略”符合风险管理

 

风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。

 

风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。

 

1.3.3“措施”符合P2DR模型

 

美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。

 

检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。

 

1.4安全规划体系架构

 

在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。

 

“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。

 

“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。

 

2安全保陳方案规划

 

2.1总体设计

 

贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:

 

边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。

 

行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。

 

安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。

 

公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。

 

IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。

 

2.2安全域划分

 

划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。

 

Z3边界防护体系规划

 

边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。

 

2.3.1边界措施选择

 

在边界上我们建议四种安全措施:

 

1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。

 

3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。

 

4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。

 

2.3.2策略更新管理

 

边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。

 

2.4行为审计体系规划

 

行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。

 

行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。

 

2.5安全监控体系规划

 

监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:

 

1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。

 

2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。

 

3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。

 

安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统

 

作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:

 

1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。

 

2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。

 

3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。

 

2.7IT基础设施规划

 

IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。

 

IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。

 

3安全筐理体系规划

 

在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。

 

3_1安全管理标准依据

 

以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。

 

3.2安全管理体系的建设目标

 

通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。

 

3.3安全管理建设指导思想

 

各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”

 

3.4安全管理体系的建设具体内容

 

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。

 

贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。

 

通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。

 

3.5曰常安全运维3.5.1安全风险评估

 

安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。

 

3.5.2网络管理与安全管理

 

网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。

 

3.5.3备份与容灾管理

 

贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。

 

3.5.4应急响应计划

 

通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失

 

3.6安全人员管理

 

信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。

 

安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。

 

其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理

 

主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。

 

4安全规划分期建设路线

 

信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。

 

4.1主要的工作内容

 

根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:

 

1.网络优化改造:主要是安全域的划分,网络结构的改造。

 

2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。

 

3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。

 

4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。

 

4.2分期建设规划

 

4_2.1达标阶段(2015-2017)

 

1.等保建设

 

2.信任体系:网络审计、运维审计、日志审计

 

3.身份鉴别(一次口令)

 

4.监控平台:入侵检测、流量监测、木马监测

 

5.安全管理平台建设

 

6.等保测评通过(2级3级系统)

 

7.安全服务:建立定期模式

 

8.渗透性测试服务(外部+内部)

 

9.安全加固服务,建立服务器安全底线

 

10.信息安全管理

 

11.落实安全管理细则文件制定

 

12.落实安全运维与应急处理流程

 

13.完善IT服务流程,建设安全运维管理平台

 

14.定期安全演练与培训

 

4.2.2持续改进阶段(2018〜2019)

 

1.等保建设

 

2.完善信息安全防护体系

 

3.提升整体防护能力

 

4.深度安全服务

 

5.有针对性安全演练,协调改进管理与技术措施

 

6.源代码安全审计服务(新上线业务)

 

7.信息安全管理

 

8.持续改进运维与应急流程与制度,提高应急反应能力

 

9.提高运维效率,开拓运维增值模式

 

5结東语

篇10

研究院的安全服务主要包含四大独立服务:安全服务、监测服务、睿眼通和信息安全应急响应指挥平台。服务内容主要包括以下几个方面:

首先是安全咨询。以“业务需求管理”为核心出发点,依托ISO27001、ISO17799等国际信息安全标准和法规及行业规范,融合自上而下的指导方针、管理策略、业务流程运行规则、系统操作指南,建立信息安全管理体系。

其次是安全培训。安全培训旨在提高客户的信息安全意识和技能,为最大程度上提高客户的整体安全防卫意识和安全防卫技能,真正把信息安全管理体系落到实处,提供强力有效的技术支撑保障。

再次是安全评估。对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性评估,为客户信息安全管理体系策划提供基础。

最后是安全加固。结合等级保护国家政策及行业规范,通过现场调研,合理使用安全加固工具等为客户提供安全加固服务,主要提供主机加固、系统加固、数据库加固、应用服务器加固、应用加固等服务,安全补丁、安全策略调优、配置优化等服务。

七大监测服务主要包括下几个方面:

第一,“睿眼”外网安全监测预警服务平台是一套软硬件一体化监测平台,以大数据技术为依托,集成了Web漏洞扫描检测技术、采用远程监测对外网网站提供7×24小时实时安全监测服务。通过对网站的不间断监测服务及时发现威胁,从而提升网站的安全防护能力和网站服务质量,并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制。

第二,“睿眼”移动安全监测预警服务平台,为政府和企事业单位搭建一个应用App统一存放、统一管理、统一安全监测的AppStroe平台,通过此平台进一步提升用户办事体验,同时方便国家、省部级对下级单位进行移动App管理和统计。

第三,“睿眼”内网安全监测预警服务平台,基于对内网网络系统安全运行的考虑,平台提供对内网的实时安全监测、分析和预警功能。

睿眼通

睿眼通是七大监测预警服务平台提供给客户的一款智能移动终端,基于客户对信息安全情况的即时需求,以七大监测预警服务平台监测结果为主线,可以成为客户处理信息安全问题、了解安全状态趋势、掌握最新安全资讯的贴心助手,随时随地了解网站及信息系统等的整体运行情况。

信息安全应急响应指挥平台

应急响应指挥平台通过各大监测预警服务平台实时监测结果,对告警的安全故障或安全威胁,以最短的时间进行故障排查定位和应急处理。

安全产品

公司安全产品包括堡垒主机系统、系统安全加固、审计系统和信息共享管理系统。

(1)堡垒主机系统。堡垒主机是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。堡垒主机系统软件扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。

(2)系统安全加固。系统安全加固V1.0产品是软硬件相结合的产品,通过硬件USB-KEY,提高了服务器系统的安全性,克服单纯使用软件防护的局限性;软件部分包括服务器操作系统安全增强软件、服务器安全,以及统一安全管理平台软件。

(3)审计系统

①日志审计系统。日志审计系统一方面可以集中收集、长时间存放所有的记录日志,避免日志遭到恶意篡改或删除而在安全事件发生时无据可查的状况发生,另一方面日志审计系统强大的日志审计功能可以为组织审计人员提供日志实时监控、高效检索、审计报表等日志审计手段,从而使原本不可能完成的海量日志审计工作可以在短时间内轻松完成,大大减少信息部门的工作量。

②网络安全审计系统。网络安全审计系统主要通过旁路监视并记录对数据库服务器的各类操作行为,通过对各类网络行为的分析,实时地、智能地监控审计,并将审计数据存储,以便日后进行查询、分析,实现对整个网络环境内的操作访问行为的监控和审计。