网络安全防护体系建设范文

时间:2023-09-25 18:14:52

导语:如何才能写好一篇网络安全防护体系建设,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全防护体系建设

篇1

本文阐述了国内烟草企业面对的网络信息安全的主要威胁,分析其网络安全防护体系建设的应用现状,指出其中存在的问题,之后,从科学设定防护目标原则、合理确定网络安全区域、大力推行动态防护措施、构建专业防护人才队伍、提升员工安全防护意识等方面,提出加强烟草企业网络安全防护体系建设的策略,希望对相关工作有所帮助。

关键词:

烟草企业;网络安全防护;体系建设

随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此,越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。

1威胁烟草企业网络信息体系安全的因素

受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。

1.1人为因素

人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。

1.2软硬件因素

网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。

1.3结构性因素

烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。

2烟草企业网络安全防护体系建设现状

烟草企业网络安全防护体系建设,仍然存在着很多不容忽视的问题,亟待引起高度关注。

2.1业务应用集成整合不足

不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。

2.2信息化建设特征不够明显

网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。

2.3安全运维保障能力不足

缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。

3加强烟草企业网络安全防护体系建设的策略

烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。

3.1遵循网络防护基本原则

烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。

3.2合理确定网络安全区域

烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。

3.3大力推行动态防护措施

根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。

3.4构建专业防护人才队伍

人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。

3.5提升员工安全防护意识

技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。

4结语

烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战,以实事求是的态度,大力依托信息网络安全技术,构建更为安全的防护体系,为企业做大做强奠定坚实的基础。

参考文献:

[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).

[2]赖如勤,郭翔飞,于闽.地市烟草信息安全防护模型的构建与应用[J].中国烟草学报,2016(4).

篇2

工业控制系统网络安全防护体系是工业行业现代化建设体系中的重要组成部分,对保证工业安全、稳定、可持续竞争发展具有重要意义。基于此,文章从工业控制系统相关概述出发,对工业控制系统存在的网络安全问题,以及当今工业控制系网络安全防护体系设计的优化进行了分析与阐述,以供参考。

关键词:

工业控制系统;网络安全;防护体系

0引言

工业控制系统是我国工业领域建设中的重要组成部分,在我国现代化工业生产与管理中占有重要地位。随着近年来我国工业信息化、自动化、智能化的创新与发展,工业控制系统呈现出网络化、智能化、数字化发展趋势,并在我国工业领域各行业控制机制中,如能源开发、水文建设、机械制作生产、工业产品运输等得到了广泛应用。因此,在网络安全隐患频发的背景下,对工业控制系统网络安全防护体系的研究与分析具有重要现实意义,已成为当今社会关注的重点内容之一。

1工业控制系统

工业控制系统(IndustrialControlSystem,ICS)是由一定的计算机设备与各种自动化控制组件、工业信息数据采集、生产与监管过程控制部件共同构成且广泛应用与工业生产与管理建设中的一种控制系统总称[1]。工业控制系统体系在通常情况下,大致可分为五个部分,分别为“工业基础设施控制系统部分”、“可编程逻辑控制器/远程控制终端系统部分(PLC/RTU)”、“分布式控制系统部分(DCS)”、“数据采集与监管系统部分(SCADA)”以及“企业整体信息控制系统(EIS)”[2]。近年来,在互联网技术、计算机技术、电子通信技术以及控制技术,不断创新与广泛应用的推动下,工业控制系统已经实现了由传统机械操作控制到网络化控制模式的发展,工业控制系统的结构核心由最初的“计算机集约控制系统(CCS)”转换为“分散式控制系统(DCS)”,并逐渐趋向于“生产现场一体化控制系统(FCS)”的创新与改革发展。目前,随着我国工业领域的高速发展,工业控制系统已经被广泛应用到水利建设行业、钢铁行业、石油化工行业、交通建设行业、城市电气工程建设行业、环境保护等众多领域与行业中,其安全性、稳定性、优化性运行对我国经济发展与社会稳定具有重要影响作用。

2工业控制系统存在的网络安全威胁

2.1工业控制系统本身存在的问题

由于工业控制系统是一项综合性、技术复杂性的控制体系,且应用领域相对较广。因此,在设计与应用过程中对工作人员具有较高的要求,从而导致系统本身在设计或操作中容易出现安全隐患。

2.2外界网络风险渗透问题

目前,工业控制系统网络化设计与应用,已成为时展的必然趋势,在各领域中应用工业控制系统时,对于数据信息的采集、分析与管理,需要工业控制系统与公共网络系统进行一定的链接或远程操控。在这一过程中,工业控制系统的部分结构暴露在公共网络环境中,而目前公共网络环境仍存在一定的网络信息安全问题,这在一定程度上将会导致工业控制系统受到来自网络病毒、网络黑客以及人为恶意干扰等因素的影响,从而出现工业控制系统网络安全问题。例如,“百度百科”网站,通过利用SHODAN引擎进行OpenDirectory搜索时,将会获得八千多个处于公共网络环境下与“工业控制系统”相关的信息,一旦出现黑客或人为恶意攻击,将为网站管理系统带来严重的影响[3]。

2.3OPC接口开放性以及协议漏洞存在的问题

由于工业控制系统中,其网络框架多是基于“以太网”进行构建的,因此,在既定环境下,工业过程控制标准OPC(Ob-jectLinkingandEmbeddingforProcessControl)具有较强的开放性[4]。当对工业控制系统进行操作时,基于OPC的数据采集与传输接口有效网络信息保护举措的缺失,加之OPC协议、TCP/IP协议以及其他专属代码中存在一定的漏洞,且其漏洞易受外界不确定性风险因素的攻击与干扰,从而形成工业控制系统网络风险。

2.4工业控制系统脆弱性问题

目前,我国多数工业控制系统内部存在一定的问题,致使工业控制系统具有“脆弱性”特征,例如,网络配置问题、网络设备硬件问题、网络通信问题、无线连接问题、网络边界问题、网络监管问题等等[5]。这些问题,在一定程度上为网络信息风险因素的发生提供了可行性,从而形成工业控制系统网络安全问题。

3加强工业控制系统网络安全防护体系的建议

工业控制系统网络安全防护体系的构建,不仅需要加强相关技术的研发与利用,同时也需要相关部门(如,设备生产厂家、政府结构、用户等)基于自身实际情况与优势加以辅助,从而实现工业控制系统网络安全防护体系多元化、全方位的构建。

3.1强化工业控制系统用户使用安全防护能力

首先,构建科学且完善的网络防护安全策略:安全策略作为工业控制系统网络安全防护体系设计与执行的重要前提条件,对保证工业控制系统的网络安全性具有重要指导作用。对此,相关工作人员应在结合当今工业控制系统存在的“脆弱性”问题,在依据传统网络安全系统构建策略优势的基础上,有针对性的制定一系列网络防护安全策略,用以保证工业控制系统安全设计、操作、管理、养护维修规范化、系统化、全面化、标准化施行。例如,基于传统网络安全策略——补丁管理,结合工业控制系统实际需求,对工业控制系统核心系统进行“补丁升级”,用以弥补工业控制系统在公共网络环境下存在的各项漏洞危机[6]。在此过程中,设计人员以及相关工作者应通过“试验测验”的方式,为工业控制系统营造仿真应用环境,并在此试验环境中对系统进行反复测验、审核、评价,并对系统核心配置、代码进行备份处理,在保证补丁的全面化升级的同时,降低升级过程中存在的潜在风险。其次,注重工业控制系统网络隔离防护体系的构建:网络隔离防护的构建与执行,对降低工业控制系统外界风险具有重要意义。对此,相关设计与工作人员应在明确认知与掌握工业控制系统网络安全防护目标的基础上,制定相应的网络隔离防护方案,并给予有效应用。通常情况下,工业控制系统设计人员应依据不同领域中工业控制系统类型与应用需求,对系统所需设备进行整理,并依据整理内容进行具体测评与调试,用以保证各结构设备作用与性能的有效发挥,避免出现设备之间搭配与连接不和谐等问题的产生;根据工业控制系统功能关键点对隔离防护区域进行分类与规划(包括工业控制系统内网区域、工业控制系统外部区域、工业控制系统生产操作区域、工业控制系统安全隔离区域等),并针对不同区域情况与待保护程度要求,采用相应的举措进行改善,实现不同风险的不同控制[7]。与此同时,构建合理、有效的物理层防护体系:实践证明,物理层防护体系的构建(物理保护),对工业控制系统网络安全防护具有至关重要的作用,是工业控制系统实现网络安全管理与建设的重要基础项目,也是核心项目,对工业控制和系统网络防护体系整体效果的优化,具有决定性作用。因此,在进行工业控制防护系统网络安全防护体系优化设计时,设计人员以及相关企业应注重对工业控制系统物理层的完善与优化。例如,通过配置企业门禁体系,用以避免外来人员对工业现场的侵害;依据企业特色,配设相应的生产应急设备,如备用发电机、备用操作工具、备用电线、备用油库等,用以避免突发现象导致设计或生产出现问题;通过配置一定的监测管理方案或设施,对系统进行一体化监管,用以及时发现问题(包括自然风险因素、设备生产安全风险因素等)并解决问题,保证工业控制系统运行的优化性。此外,加强互联网渗透与分析防治:设计工作人员为避免工业控制系统互联网渗透安全威胁问题,可通过换位思考的形式,对已经设计的工业控制系统网络安全防护体系进行测评,并从对方的角度进行思考,制定防护对策,用以提升工业控制系统网络安全性。

3.2强化工业控制系统生产企业网络安全防护能力

工业控制系统生产企业,作为工业控制系统的研发者与生产者,应提升自身对工业控制系统网络安全设计的重视程度,从而在生产过程中保证工业控制系统的质量。与此同时,系统生产企业在引进先进设计技术与经验的基础上,强化自身综合能力与开发水平,保证工业控制系统紧跟时展需求,推动工业控制系统不断创新,从根源上降低工业控制系统自身存在安全风险。

3.3加大政府扶持与监管力度

由上述分析可知,工业控制系统在我国各领域各行业中具有广泛的应用,并占据着重要的地位,其安全性、稳定性、创新性、优化性对我国市场经济发展与社会的稳定具有直接影响作用。由此可见,工业控制系统网络安全防护体系的构建,不仅是各企业内部组织结构体系创新建设问题,政府以及社会等外部体系的构建同样具有重要意义。对此,政府以及其他第三方结构应注重自身社会责任的执行,加强对工业控制系统安全防护体系环境的管理与监督,促进工业控制系统安全防护外部体系的构建。例如,通过制定相应的网络安全运行规范与行为惩罚措施,用以避免互联网恶意破坏行为的发生;通过制定行业网络安全防护机制与准则,严格控制工业控制系统等基础设施的网络安全性,加大自身维权效益。

4结论

综上所述,本文针对“工业控制系统网络安全防护体系”课题研究的基础上,分析了工业控制系统以及当今工业控制系统存在的网络安全问题,并在工业控制系统网络安全防护体系设计的基础上,提供了加强工业控制系统网络安全防护体系设计的优化对策,以期对工业控制系统网络安全具有更明确的认知与理解,从而促进我国工业控制系统网络安全防护体系建设的优化发展。

参考文献:

[1]王栋,陈传鹏,颜佳,郭靓,来风刚.新一代电力信息网络安全架构的思考[J].电力系统自动化,2016(2):6-11.

[2]薛训明,杨波,汪飞,郭磊,唐皓辰.烟草行业制丝生产线工业控制系统安全防护体系设计[J].科技展望,2016(14):264-265.

[3]刘凯俊,钱秀槟,刘海峰,赵章界,李智林.首都城市关键基础设施工业控制系统安全保障探索[J].网络安全技术与应用,2016(5):81-86.

[4]罗常.工业控制系统信息安全防护体系在电力系统中的应用研究[J].机电工程技术,2016(12):97-100.

[5]刘秋红.关于构建信息安全防护体系的思考——基于现代计算机网络系统[J].技术与市场,2013(6):314.

[6]孟雁.工业控制系统安全隐患分析及对策研究[J].保密科学技术,2013(4):16-21.

篇3

【 关键词 】 云计算;云安全;等级保护;虚拟化安全

1 引言

自2006年云计算的概念产生以来,各类与云计算相关的服务纷纷涌现,随之而来的就是人们对云安全问题的关注。目前各个运营商、服务提供商以及安全厂商所提的云安全解决方案,大都根据自己企业对云平台安全的理解,结合本企业专长,专注于某一方面的安全。然而,对于用户来说云平台是一个整体,需要构建云平台的整体安全防护体系。

因此,针对云计算中心的安全需求建立信息安全防护体系已经是大势所趋,云安全防护体系的建立,必将使云计算得以更加健康、有序的发展。

2 云计算的安全问题解析

云计算模式当前已得到业界普遍认同,成为信息技术领域新的发展方向。但是,随着云计算的大量应用,云环境的安全问题也日益突出。我们如果不能很好地解决相关的安全管理问题,云计算就会成为过眼“浮云”。在众多对云计算的讨论中,SafeNet的调查非常具有代表性:“对于云计算面临的安全问题,88.5%的企业对云计算安全担忧”。各种调研数据也表明:安全性是用户选择云计算的首要考虑因素。近年来,云安全的概念也有多种层面的解读,本文所指云安全是聚焦于云计算中心的安全问题及其安全防护体系。

2.1 云安全与传统安全技术的关系

云计算引入了虚拟化技术,改变了服务方式,但并没有颠覆传统的安全模式。从这张对比视图中,如图1所示,可以看出,安全的层次划分是大体类似,在云计算环境下,由于虚拟化技术的引入,需要纳入虚拟化安全的防护措施。而在基础层面上,仍然可依靠成熟的传统安全技术来提供安全防护。

如图1所示,云计算安全和传统安全在安全目标、系统资源类型、基础安全技术方面是相同的,而云计算又有其特有的安全问题,主要包括虚拟化安全问题和与云计算分租服务模式相关的一些安全问题。大体上,我们可以把云安全看做传统安全的一个超集,或者换句话说,云安全是传统安全在云计算环境下的继承和发展。

综合前面的讨论,可以推导出一个基本的认识,云计算的模式是革命性的:虚拟化安全、数据安全和隐私保护是云安全的重点和难点,云安全将基于传统安全技术获得发展。

2.2 云计算的安全需求与防护技术

解决安全问题的出发点是风险分析,CSA云安全联盟提出了所谓“七重罪”的云安全重点风险域。

Threat 1: Abuse and Nefarious Use of Cloud Computing(云计算的滥用、恶用、拒绝服务攻击);

Threat 2: Insecure Interfaces and APIs(不安全的接口和API);

Threat 3: Malicious Insiders(恶意的内部员工);

Threat 4: Shared Technology Issues(共享技术产生的问题);

Threat 5: Data Loss or Leakage(数据泄漏);

Threat 6: Account or Service Hijacking(账号和服务劫持);

Threat 7: Unknown Risk Profile(未知的风险场景)。

信息的机密性、完整性和可用性被公认为信息安全的三个重要的基本属性,用户在使用云计算服务时也会从这三个方面提出基本的信息安全需求。

机密性安全需求:要求上传到云端的信息及其处理结果以及所要求的云计算服务具有排他性,只能被授权人访问或使用,不会被非法泄露。

完整性安全需求:要求与云计算相关的数据或服务是完备、有效、真实的,不会被非法操纵、破坏、篡改、伪造,并且不可否认或抵赖。

可用性安全需求:要求网络、数据和服务具有连续性、准时性,不会中断或延迟,以确保云计算服务在任何需要的时候能够为授权使用者正常使用。

根据云计算中心的安全需求,我们会相应得到一个安全防护技术的层次结构:底层是基础设施安全,包括基础平台安全、虚拟化安全和安全管理;中间是数据安全,上层是安全服务层面,还包括安全接入相关的防护技术。

3 等级保护背景下的云安全体系

3.1 等级保护标准与云安全

自1994年国务院147号令开始,信息安全等级保护体系历经近20年的发展,从政策法规、国家标准、到测评管理都建立了完备的体系,自2010年以来,在公安部的领导下,信息安全等级保护落地实施开展得如火如荼,信息安全等级保护已经成为我国信息化建设的重要安全指导方针。

图3表明了等级保护标准体系放发展历程。

尽管引入了虚拟化等新兴技术,运营模式也从出租机房进化到出租虚拟资源,乃至出租服务。但从其本质上看,云计算中心仍然是一类信息系统,需要依照其重要性不同分等级进行保护。云计算中心的安全工作必须依照等级保护的要求来建设运维。此外,云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。

因此,云计算中心防护体系应当是以等级保护为指导思想,从云计算中心的安全需求出发,从技术和管理两个层面全方位保护云计算中心的信息安全;全生命周期保证云计算中心的安全建设符合等保要求;将安全理念贯穿云计算中心建设、整改、测评、运维全过程。建设目标是要满足不同用户不同等保级别的安全要求,做到等保成果的可视化,做到安全工作的持久化。

3.2 云计算中心的安全框架

一个云计算中心的安全防护体系的构建,应以等级保护为系统指导思想,能够充分满足云计算中心的安全需求为目标。根据前面的研究,我们提出一个云计算中心的安全框架,包括传统安全技术、云安全技术和安全运维管理三个层面的安全防护。

云安全框架以云安全管理平台为中心,综合安全技术和管理运维两个方面的手段确保系统的整体安全。在安全技术方面,除了传统的物理安全、网络安全、主机安全、应用安全、数据安全、备份恢复等保障措施,还需要通过虚拟化安全防护技术和云安全服务来应对云计算的新特征所带来的安全要求。

3.3 云安全防护体系架构

在实际的云安全防护体系建设中,首先要在网络和主机等传统的安全设备层面建立基础信息系统安全防护系统。基础信息安全防护体系是以等级保护标准为指导进行构建,符合等级保护标准对相应安全级别的基本安全要求。

在此基础上,通过SOC安全集中管理系统、虚拟安全组件、SMC安全运维管理系统和等保合规管理系统四个安全子系统共同组成云安全管理中心,如图4所示。通过实体的安全技术和虚拟化安全防护技术的协同工作,为云计算中心提供从实体设备到虚拟化系统的全面深度安全防护,同时通过专业的SLC等保合规管理系统来确保云安全体系对于等级保护标准的合规性。

参考文献

[1] 郝斐,王雷,荆继武等.云存储安全增强系统的设计与实现[J].信息网络安全,2012,(03):38-41.

[2] 季一木, 康家邦,潘俏羽等.一种云计算安全模型与架构设计研究[J].信息网络安全,2012,(06):6-8.

[3] 黎水林.基于安全域的政务外网安全防护体系研究[J].信息网络安全,2012,(07):3-5.

[4] 胡春辉.云计算安全风险与保护技术框架分析[J].信息网络安全,2012,(07):87-89.

[5] 王伟,高能,江丽娜.云计算安全需求分析研究[J].信息网络安全,2012,(08):75-78.

[6] 海然.云计算风险分析[J].信息网络安全,2012,(08):94-96.

[7] 孙志丹,邹哲峰,刘鹏.基于云计算技术的信息安全试验系统设计与实现[J].信息网络安全,2012,(12):50-52.

[8] 甘宏,潘丹.虚拟化系统安全的研究与分析[J].信息网络安全,2012,(05):43-45.

[9] 赛迪研究院.关于云计算安全的分析与建议[J].软件与信息服务研究,2011,5(5):3.

[10] 陈丹伟,黄秀丽,任勋益.云计算及安全分析[J].计算机技术与发展,2010,20(2):99.102.

[11] 冯登国,孙悦,张阳.信息安全体系结构[M].清华大学出版社,2008:43-81.

[12] 张水平,李纪真.基于云计算的数据中心安全体系研究与实现[J].计算机工程与设计,2011,12(32):3965.

[13] 质监局,国标委.信息系统安全等级保护基本要求.GB/T 22239—2008:1~51.

[14] 王崇.以“等保”为核心的信息安全管理工作平台设计[J].实践探究,2009,1(5):73.

[15] Devki Gaurav Pal, Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science (IJ-CLOSER) ,2012 ,l.1(2):45~52.

[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http:///guidance/csaguide.v3.0.pdf,2011:30.

作者简介:

白秀杰(1973-),男,硕士,系统分析师;研究方向:云安全技术。

李汝鑫(1983-),男,本科,项目管理师;研究方向:信息安全技术。

篇4

关键词:网络安全;防护机制;烟草公司;互联网

随着Internet技术的不断发展和网络应用技术的普及,网络安全威胁频繁地出现在互联网中。近年来,网络攻击的目的逐渐转变为获取不正当的经济利益。在此种情况下,加强网络安全建设已成为各个企业的迫切需要。烟草公司的网络安全防护机制和安全技术是确保其网络信息安全的关键所在。只有加强防护体系建设和创新安全技术,才能在保证网络安全的前提下,促进烟草公司的发展。

1县级烟草公司网络现面临的威胁

目前,烟草公司计算机网络面临的威胁从主体上可分为对网络信息的威胁、对网络设备的威胁。

1.1人为无意的失误

如果网络的安全配置不合理,则可能会出现安全漏洞,加之用户选择口令时不谨慎,甚至将自己的账号随意转借给他人或与他人共享,进而为网络埋下了安全隐患。

1.2人为恶意的攻击

人为恶意的攻击可分为主动攻击和被动攻击,这两种攻击都会对烟草公司的计算机网络造成较大的破坏,导致机密数据存在泄露的风险。比如,相关操作者未及时控制来自Internet的电子邮件中携带的病毒、Web浏览器可能存在的恶意Java控件等,进而对计算机网络造成巨大的影响。

1.3网络软件的漏洞

对于网络软件而言,会存在一定的缺陷和漏洞,而这些缺陷和漏洞为黑客提供了可乘之机。

1.4自然灾害和恶性事件

该种网络威胁主要是指无法预测的自然灾害和人为恶性事件。自然灾害包括地震、洪水等,人为恶性事件包括恶意破坏、人为纵火等。虽然这些事件发生的概率较低,但一旦发生,则会造成异常严重的后果,必须严以防范。

2构建烟草公司信息网络安全防护体系

要想形成一个完整的安全体系,并制订有效的解决方案,就必须在基于用户网络体系结构、网络分析的基础上开展研究。对于安全体系的构建,除了要建立安全理论和研发安全技术外,还要将安全策略、安全管理等各项内容囊括其中。总体来看,构建安全体系是一项跨学科、综合性的信息系统工程,应从设施、技术、管理、经营、操作等方面整体把握。安全系统的整体框架如图1所示。安全系统的整体框架可分为安全管理框架和安全技术框架。这两个部分既相互独立,又相互融合。安全管理框架包括安全策略、安全组织管理和安全运作管理三个层面;安全技术框架包括鉴别与认证、访问控制、内容安全、冗余与恢复、审计响应五个层面。由此可见,根据烟草公司网络信息安全系统提出的对安全服务的需求,可将整个网络安全防护机制分为安全技术防护、安全管理和安全服务。

2.1安全技术防护机制

在此环节中,旨在将安全策略中的各个要素转化成为可行的技术。对于内容层面而言,必须明确安全策略的保护方向、保护内容,如何实施保护、处理发生的问题等。在此情况下,一旦整体的安全策略形成,经实践检验后,便可大幅推广,这有利于烟草公司整体安全水平的提高。此外,安全技术防护体系也可划分为1个基础平台和4个子系统。在这个技术防护体系中,结合网络管理等功能,可对安全事件等实现全程监控,并与各项技术相结合,从而实现对网络设备、信息安全的综合管理,确保系统的持续可用性。

2.2安全管理机制

依据ISO/IEC17700信息安全管理标准思路及其相关内容,信息安全管理机制的内容包括制订安全管理策略、制订风险评估机制、建设日常安全管理制度等。基于该项内容涉及的管理、技术等各个方面,需各方面资源的大力支持,通过技术工人与管理者的无隙合作,建立烟草公司内部的信息安全防范责任体系。2.3安全服务机制安全服务需结合人、管理、产品与技术等各方面,其首要内容是定期评估整个网络的风险,了解网络当前的安全状况,并根据评估结果调整网络安全策略,从而确保系统的正常运行。此外,还可通过专业培训,进一步促进烟草公司员工安全意识的增强。

3烟草公司的网络信息安全技术

3.1访问控制技术

在烟草公司的网络信息安全技术中,访问控制技术是最重要的一项,其由主体、客体、访问控制策略三个要素组成。烟草公司访问用户的种类多、数量大、常变化,进而增加了授权管理工作的负担。因此,为了避免发生上述情况,直接将访问权限授予了主体,从而便于管理。此外,还应革新并采用基于角色的访问控制模型RBAC。

3.2数字签名技术

在烟草公司,数字签名技术的应用很普遍。数字签名属于一种实现认证、非否认的方法。在网络虚拟环境中,数字签名技术仍然是确认身份的关键技术之一,可完全代替亲笔签名,其无论是在法律上,还是技术上均有严格的保证。在烟草公司的网络安全中应用数字签名技术,可更快地获得发送者公钥。但在这一过程中需要注意,应对发送者私钥严格保密。

3.3身份认证技术

身份认证是指在计算机与网络系统这一虚拟数字环境中确认操作者身份的过程。在网络系统中,用户的所有信息是用一组特定的数据来表示的;而在现实生活中,每个人都有着独一无二的物理身份。如何确保这两种身份的对应性,已成为相关工作者遇到的难题。而采用身份认证技术可很好地解决该难题。该技术主要包括基于随机口令的双因素认证和基于RKI体制的数字证书认证技术等。基于口令的身份认证技术具有使用灵活、投入小等特点,在一些封闭的小型系统或安全性要求较低的系统中非常适用;基于PKI体制的数字证书认证技术可有效保证信息系统的真实性、完整性、机密性等。

4结束语

综上所述,安全是烟草公司网络赖以生存的重要前提,网络安全的最终目标是确保在网络中交换的数据信息不会被删除、篡改、泄露甚至破坏,从而提高系统应用的可控性和保密性。因此,烟草公司必须具备一套行之有效的网络安全防护机制,增强自身网络的整体防御能力,研发网络安全立体防护技术。只有建立完善的信息安全防范体系,才能使烟草公司内部的重要信息资源得到有效保护。

参考文献

[1]张珏,田建学.网络安全新技术[J].电子设计工程,2011,19(12).

篇5

【 关键词 】 指挥信息系统;AP2DR2;安全防护体系;安全管理

Research on The Security Protection Architecture of C4ISR System Based On AP2DR2

Wu Si-gen

(Jiangsu Automation Research Institute JaingsuLianyungang 222006)

【 Abstract 】 This paper firstly introduced the concepts and features of C4ISR System security protection,and then analyzed how to implementate network security in terms of network security strategy and technology.The C4ISR System security protection architecture based on AP2DR2 model is proposed,and disserated the AP2DD2 model is a multilevel and all-wave dynamic defense system.The C4ISR System security protection architecture transforms statics,passive to dynamic,initiative.The security protection architecture ensures effectually the information security of C4ISR System

【 Keywords 】 C4ISR system; AP2DR2; security protection architecture; security management

0 引言

在信息化战争中,指挥信息系统将整个作战空间构成一体化的网络,实现了作战指挥自动化、侦察情报实时化和战场控制数字化,大大提高了军队的作战能力。但是,网络系统特别是无线网络的互连性和开发性不可避免地带来了脆弱性问题,使其容易受到攻击、窃取和利用。在军事斗争中,摧毁和破坏对方的军用信息网络系统,成功地窃取和利用对方的军事信息,就会使其联络中断、指挥控制失灵、协同失调,从而夺取战场信息的控制权,大大削弱对方军队的作战能力。随着战场侦察监视系统日趋完善,大量精确制导武器和电子武器、信息武器将广泛投入作战运用,指挥信息系统安全面临严重威胁。确保指挥信息系统信息安全已经是一件刻不容缓的大事,因此,研究指挥信息系统安全防护体系具有十分重要的战略意义。

1 指挥信息系统安全防护的基本概念和特点

指挥信息系统信息安全是在指挥机构的统一领导下,运用各种技术手段和防护力量,为保护指挥信息系统中各类信息的保密、完整、可用、可控,防止被敌方破坏和利用,而采取的各种措施和进行的相关活动。随着军队建设和未来战争对信息的依赖程度越来越高,指挥信息系统信息安全问题日益突出。

近50年来,信息系统安全经历了通信保密、信息安全和信息保障几个几个重要的发展阶段。图1给出了从通信保密到信息保障的概念发展示意。

通信保密指的是信息在处理、存储、传输和还原的整个过程中通过密码进行保护的技术。它以确保传输信息的机密性和完整性,防止敌方从截获的信号中读取有用信息为目的。通信保密技术经历了从简单到复杂、从早期的单机保密到进入网络时代后的通信网络保密的发展过程。直到现在,加密保护仍是军事通信系统重要防护手段。通信保密的核心是确保信息在传输过程中的机密性。

随着网络技术的发展,信息系统的安全提上了日程,“保密”的概念逐渐从早期的通信保密发展到适应于保护信息系统的信息安全。保密性、完整性、认证性、抵抗赖性以及可用性和可控性成为信息安全的主要内容。其中保密性仍然是信息安全中最重要的特性。随着网络攻防斗争的日趋激烈,信息安全在信息系统中的地位不断提升。信息安全的基本目标是保护信息资源的归属性和完整性,维护信息设备和系统的正常运转,维护正常应用的行为活动。信息的保密性、完整性、可用性、可识别性、可控性和不可抵赖性成为信息安全的主要内容。

“信息保障”首次出现在美国国防部(DOD)1996年12月6日颁布的官方文件DODDirective S-3600.1:Information Operation中[3]。这些文件把“信息保障”定义为“通过确保系统的信息作战行动,包括综合利用保护、探测和反应能力以恢复系统”。信息保障特别是将保障信息安全所必需的“保护(Protection)”、“检测(Detection)”、“响应(Response)”和“恢复(Restoration)”(PDRR)视为信息安全的四个联动的动态环节,从而安全管理工作在一个大的框架下,能够针对薄弱环节,有的放矢,有效防范,围绕安全策略的具体需求有序地组织在一起,架构一个动态的安全防范体系。

信息化条件下,指挥信息系统的安全防护具有几个特点。

1)防护范围广阔。当前,指挥信息系统已经延伸至陆、海、空、天多维空间。横向上,除了传统的情报侦察、通信、指挥控制等领域外,在武器控制、导航定位、战场监控等领域也得到了广泛运用。纵向上,指挥信息系统已经将上至战略指挥机构下至每一个技术单位和作战单元甚至单兵联成一体。从信息安全防护角度看,信息空间的每一个局部、节点都可以成为信息攻击的目标,并进而影响整个系统的信息安全。

2)防护措施综合。未来信息化战争中指挥信息系统信息安全将面临着火力打击、电子侦察、电磁干扰、病毒破坏、网络渗透等越来越多的“硬杀伤”和“软杀伤”威胁,为了确保指挥信息系统信息安全,仅靠某一手段和方法难以到达目的,而必须采取综合一体的防护措施。从安全技术运用来看,除了需要运用传统的防电磁泄漏和信息加密技术外,还必须综合运用防病毒、防火墙、身份识别、访问控制、审计、入侵检验、备份与应急恢复技术;从信息安全管理角度上看,既要重视发挥各种信息安全防护技术手段等“硬件”的作用,又要重视加强对各类信息的安全管理,提高指挥信息系统各类使用和维护人员的信息安全意识和能力,发挥好“软件”的作用。

3)攻防对抗激烈。指挥信息系统是各类军事信息的集散地和信息处理中心,针对其进行的信息攻击,可以到达牵一发而动全身的效果,并且其行动代价小,易于实现,具有较强的可控性。现在和未来军事斗争的需要必将推动以指挥信息系统为目标的信息斗争进一步发展,无论是战时还是平时,在指挥信息系统对抗方面的斗争将更加复杂、激烈。

2 基于AP2DR2模型的安全防护体系

指挥信息系统安全防护体系主要防止指挥信息系统的软、硬件资源受到破坏、信息失泄(窃)或遭受攻击,采取物理、逻辑以及行为管理的方法与措施,以保证指挥信息系统进行可靠运行与数据存储、处理的安全;防止敌对国家利用信息技术对本国的国防信息系统进行窃取、攻击、破坏,包括防止对方利用信息技术窃取国防情报、垄断信息技术、攻击和破坏国防信息系统、夺取战场上的制信息权等。指挥信息系统安全防护体系强调实施多层次防御,在整个信息基础设施的所有层面上实施安全政策、步骤、技术和机制,使得攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。

针对指挥信息系统安全防护,本文提出的AP2DR2(Analysis Policy Protection Detection Response Recovery,简称AP2DR2)动态安全模型是由分析(A)、策略(P)、防护(P)、检测(D)、响应(R)、恢复(R)等要素构成,以人、策略、技术、管理为核心,在技术上围绕风险分析、防护、检测、响应、恢复这五个安全环节,即人要依据政策和策略,运用相应的技术来实施有效的部署和管理,从而实现整体指挥信息系统安全防护。如图2所示。

该模型在整体的安全分析和安全策略的指导下,在综合运用各种防护技术(如加密、防火墙、防病毒、身份认证、安全管理技术等)的同时,利用实时检测技术(如入侵检测、漏洞扫描、审计机制等)了解和评估系统的安全状态,通过实时响应和系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的动态防御的安全体系。AP2DR2动态安全模型重视系统级的整体安全,强调“人、技术和运作”三大因素的相互作用,在指挥信息系统的生命周期内,从技术、管理、过程和人员等方面提出系统的安全需求,指定系统的安全策略,配置合适的安全机制和安全产品,最后对系统的安全防护能力进行评估。防护、监测、响应和灾难恢复组成了一个完整的、动态的安全循环,共同构造一个指挥信息系统网络安全环境。

1) 风险分析

安全是指挥信息系统正常运行的前提,指挥信息系统的安全不单是单点的安全,而是整个指挥信息系统网络的安全,需要从多角度进行立体防护。要防护,就要清楚安全风险来源于何处,这就需要对网络安全进行风险分析,搞清楚指挥信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响。风险分析是信息安全管理的基础,目的是通过合理的步骤,以防止所有对网络安全构成威胁的事件发生。很多风险不是因为技术原因,而是由于管理原因带来的,所以要在掌握指挥信息系统安全测试及风险评估技术的基础上,建立基于管理和技术的面向等级保护的、完整的测评流程及风险评估体系,最后根据风险分析结果,制定安全策略。这是实施指挥信息系统安全建设必须最先解决的问题。

2) 安全策略

安全策略是一系列政策的集合,用来规范对组织资源的管理、保护以及分配,以达到最终安全的目的。安全策略的设计主要是为了防止发生错误行为并确保管理控制能够保持一种良好的状态。指挥信息系统安全策略涵盖面很多,一个信息网络的总体安全策略,可以概括为“实体可信,行为可控,资源可管,事件可查,运行可靠”。安全策略是指挥信息系统防护重要的依据,要掌握海量数据的加密存储和检索技术,保障存储数据的可靠性、机密性和安全访问能力。

3) 系统防护

指挥信息系统安全需要从物理、网络、系统、应用和管理等方面进行多层次的防护。系统防护是进入网络的一个门户,它根据系统可能出现的安全问题采取的一系列技术与管理的预防措施,实行主动实时的防护战略。防护可以预防一些被入侵检测系统漏掉而又企图非授权访问的行为。通过态势感知、风险评估、安全检测等手段对当前网络安全态势进行判断,并依据判断结果实施网络防御的主动安全防护体系的实现方法与技术。通过态势判断,进行系统的实时调整,主动地做出决策,而不是亡羊补牢,事后做决策。

4) 实时检测

实时检测主要包括入侵检测、漏洞扫描、防病毒、日志与审计等,其中最为核心的是入侵检测。入侵检测是通过对行为、安全日志、审计数据进行分析检测,从中发现违反系统安全策略的行为和遭受攻击的迹象,利用主动或被动响应机制对入侵作出反应。入侵检测系统将网络上传输的数据实时捕获下来,检查是否有入侵或可疑活动的发生,一旦发现有入侵或可疑活动的发生,系统将做出实时报警响应。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测最能体现整个模型的动态性,是支持应急响应体系建设的基本要素。

5) 实时响应

实时响应就是对指挥信息系统网络的异常情况做出快速积极的反应。在安全策略指导下,强调以入侵检测为核心的安全防御体系,发现并及时截断入侵、杜绝可疑后门和漏洞,并启动相关报警信息。入侵检测与防火墙、漏洞扫描系统、防病毒系统、网络管理系统等安全产品均应实现联动,这些联动本身就是应急响应的一个组成部分,使得以前相互独立、需要在不同的时间段内完成的入侵检测和应急响应两个阶段有机地融为一体。要掌握有效的恶意代码防范与反击策略,一旦发现恶意代码之后,要迅速提出针对这个恶意代码的遏制手段,要进一步掌握蠕虫、病毒、木马、僵尸网络、垃圾等恶意代码的控制机理,要提供国家层面的网络安全事件应急响应支撑技术。

6) 灾难恢复

最基本的灾难恢复当然是利用备份技术,对数据进行备份是为了保证数据的一致性和完整性,消除系统使用者和操作者的后顾之忧。其最终目标是业务运作能够恢复到正常的、未破坏之前的状态。从防护技术来看,容错设计、数据备份和恢复是保护数据的最后手段。在多种备份机制的基础上,启用应急响应恢复机制实现指挥信息系统的瞬时还原,进行现场恢复及攻击行为的再现,供研究和取证。灾难恢复大大提高了指挥信息系统的可靠性和可用性。

3 结束语

信息化条件下的现代战争中,对指挥信息系统的安全防护是赢得信息优势的基础和重要保障。针对指挥信息系统信息面临的安全威胁,本文提出一种基于AP2DR2模型的指挥信息系统信息安全防护体系,即严密的安全风险分析、正确的安全策略、主动实时的防护和检测、快速积极的响应、及时可靠的恢复,是一个闭环控制、主动防御的、动态的、有效的安全防护体系,保障了指挥信息系统网络的安全。

参考文献

[1] 曹雷等. 指挥信息系统[M]. 北京:国防工业出版社,2012.

[2] 苏锦海,张传富. 指挥信息系统[M]. 北京:电子工业出版社,2010.

[3] 童志鹏. 综合电子信息系统[M]. 北京:国防工业出版社,2010.

[4] 邢启江. 信息时代网络安全体系的建设与管理[J]. 计算机安全,2006,(10):41-43.

[5] 牛自敏. 网络安全体系及其发展趋势综述[J]. 科技广场,2009,11:230-232.

[6] 石志国等. 计算机网络安全教程[M]. 北京:清华大学出版社,2007.

篇6

随着4G通信技术的不断发展和应用,对于新技术革新带来的网络信息安全威胁更加突出。运营商在面对更多的不确定因素及威胁时,如何从网络信息安全管控技术上来提升安全性水平,已经成为运营商提供良好服务质量的迫切难题。为此,文章将从主要安全威胁源展开探讨,并就安全防范策略进行研究。

关键词:

运营商;网络安全;威胁;防护策略

从3G到4G,随着运营商全业务运营模式的不断深入,对支撑网络运行的安全管控工程建设提出更高要求。特别是在应用系统及用户数的不断增加,网络规模不断扩大,面对越来越多的应用设备,其网络安全问题更加突出。2014年携程小米用户信息的泄露,再次聚焦网络信息安全隐患威胁,也使得运营商在管控网络安全及部署系统管理中,更需要从技术创新来满足运维需求。

1运营商面临的主要安全威胁

对于运营商来说,网络规模的扩大、网络用户数的骤升,加之网络分布的更加复杂,对整个网络系统的安全等级也提出更高要求。当前,运营商在加强网络信息安全防护工作中,需要从三个方面给予高度重视:一是来自网络系统升级改造而带来的新威胁。从传统的网络系统平台到今天的4G网络,IMS网络的商业化,对传统网络业务提出新的要求,特别是基于IP的全网业务的开展,无论是终端还是核心网络,都需要从IP化模式实现全面互联。在这个过程中,对于来自网络的威胁将更加分散。在传统运营商网络结构中,其威胁多来自于末端的攻击,而利用IGW网络出口DDoS技术,以及受端网络防护技术就可以实现防范目标,或者在关口通过部署防火墙,来降低来自末端的攻击。但对于未来全面IP化模式,各类网络安全威胁将使得运营商业务层面受到更大范围的攻击,如木马病毒、拒绝服务攻击等等,这些新威胁成为运营商IP技术防范的重点。二是智能化终端设备的增加带来新的隐患。从现代网络通信终端智能化程度来看,终端的安全性已经威胁到网络平台及业务的安全,特别是在不同接入模式、接入速度下,智能终端与相对集中的运营商全业务管理之间的关联度更加紧密,一旦智能化终端存在安全隐患,即将给通信网络平台带来致命威胁。如智能化终端利用对运营商业务系统的集中攻击可以导致运营商服务的中断。同时,作为智能终端本身,因软硬件架构缺乏安全性评测,在网络信息完整性验证上存在缺陷,也可能诱发篡改威胁。如在进行通信中对信息的窃听、篡改,这些安全漏洞也可能引发运营商网络的安全威胁。三是现有安全防护体系及架构存在不安全性风险,特别是云技术的引入,对于传统网络架构来说,在用户数、增值业务骤升过程中,对现有基础设施的不可预知性问题更加复杂。另外,在网络安全标准制定上,由于缺乏对现阶段安全威胁的全面评估,可能导致现有网络体系难以适应新领域、新业务的应用,而带来更多的运行处理故障等问题。

2构建运营商网络安全防护体系和对策

2.1构建网络安全防护统一管控体系

开展网络信息安全防范,要着力从现有运营商网络系统业务类型出发,根据不同功能来实现统一安全管控,促进不同应用系统及管理模式之间的数据安全交互。如对网络运维系统安全管理,对计费系统用户的认证与管理,对经营分析系统的授权与审计管理,对各操作系统数据存储的分散管控等,利用统一的安全管控功能模块来实现集中认证、统一用户管理。对于用户管理,可以实现增删修改,并根据用户岗位性质来明确其角色,利用授权方式来实现对不同角色、不同操作权限的分配和管理;在认证模块,可以通过数字认证、密码校验、动态认证及令牌等方式来进行;在权限管理中,对于用户的权限是通过角色来完成,针对不同用户,从设备用户、用户授权访问等方式来实现同步管理。

2.2引入虚拟化技术来实现集中部署

从网络信息安全管控平台来看,对于传统的管控方案,不能实现按需服务,反而增加了部署成本,降低了设备利用率。为此,通过引入虚拟化技术,部署高性能服务器来完成虚拟的应用服务器,满足不同客户端的访问;对于客户端不需要再部署维护客户端,而是从虚拟服务器维护管理中来实现,由此减少了不必要的维护服务,确保了集中维护的便利性和有效性。另外,针对运营商网络中的多数应用服务器,也可以采用集中部署方式来进行集中管理。

2.3引入RBAC角色访问控制模型

根据角色访问控制模型的构建,可以从安全管控上,利用已知信息来赋予相应的权限,便于正确、快速、有效的实现用户特定角色的授权。同时,在对RBAC模型进行应用中,需要就其权限赋值进行优化,如对层次结构的支持,对不同用户群组、不同用户存在多个岗位的角色优化,对岗位与部门之间的协同优化,对用户岗位与用户权限及其所属岗位角色的继承关系进行优化等等。

2.4融合多种认证方式来实现动态管控

根据不同系统应用需求,在进行认证管理上,可以结合用户登录平台来动态选择。如可以通过数字认证、WindowsKerberos认证、动态令牌等认证方式。当用户端采用插件方式登录时,可以动态配置key证书认证,也可以通过短信认证来发送相应的口令。由于运营商网络应用账户规模较大,在进行系统认证时,为了确保认证账户、密码的有效性、可靠性,通常需要客户端向应用服务器发送请求,请求成功后再向用户端发送认证密码。

2.5做好运营商网络安全维护管理

网络信息安全威胁是客观存在的,而做好网络安全的维护管理工作,从基本维护到安全防护,并从软硬件技术完善上来提升安全水平。如对网络中服务器、操作系统及网络设备进行定期检查和维护,对不同网络安全等级进行有序升级,增加网络硬件加固设备,做好日常网络维护工作。同时,对于安全维护岗位人员,做好网络硬件设备、网络访问控制权限的管理,并对相关的口令及密码进行定期更换,提升安全防护水平。另外,运营商在构建网络安全防护体系上,不仅要关注网络层面及应用层的安全,还要关注用户信息的安全,要将用户信息纳入安全管理重要任务中,切实从短信认证、用户实名制、用户地理信息等个人隐私保护中来保障信息的安全、可靠。

2.6做好网络安全建设与升级管理

随着网络通信新业务的不断发展,对于网络信息安全威胁更加复杂而多样,运营商要着力从新领域,制定有效的安全防护策略,从技术创新上来确保信息安全。一方面做好网络安全策略的优化,从网络业务规划与管理上,制定相应的安全标准,并对各类业务服务器进行全程监管,确保业务从一开始就纳入安全防护体系中;另一方面注重安全技术创新,特别是新的网络安全技术、防御机制的引入,从安全技术手段来实现网络系统的安全运行。

3结语

运营商网络安全防护工作任重道远,在推进配套体系建设上,要从安全维护的标准化、流程化,以及网络安全等级制度完善上,确保各项安全防护工作的有效性。另外,加强对各类网络安全应急预案建设,尤其是建立沟通全国的安全支撑体系,从统一管理、协同防护上来提升运营商的整体安全防护能力。

作者:王树平 东野圣尧 张宇红 单位:泰安联通公司

参考文献:

[1]吴静.关于通信系统风险的研究[J].数字通信,2014(3).

篇7

关键词:网络工程;安全防护技术;思考

引言

网络信息技术的快速普及应用极大地提高了人们的生活和工作效率,但与此同时,由于网络信息技术自身所具有的开放性、交互性等特征,网络工程在带给人们巨大便捷的同时也面临着日益严峻的安全问题。因而如何切实加强网络工程安全防护,形成和发展与快速发展的网络信息技术相适应的网络工程安全防护能力,就成为现代社会网络信息化建设的焦点问题之一。

1网络工程中存在的主要安全问题

进入新世纪以来,随着网络工程的使用进一步走向深层次和综合化,网络工程中面临的安全隐患也进一步加剧,主要表现在以下几个方面:

1.1云端安全隐患突出

随着以“互联网+”、“云计算”等新兴的互联网技术的进一步普及应用,各种针对云端的病毒、漏洞等的攻击也随之增多,并日益威胁到云端等技术平台的安全使用,而各种针对云端的网络攻击,也给目前逐渐普及应用的云计算等带来了潜在的危害,例如2011年亚马逊数据中心发生的宕机事故,直接导致大量业务中断,而时隔一年之后,亚马逊的云计算平台数据中心再次发生宕机事故,导致Heroku、Reddit和Flipboard等知名网站和信息服务商受到严重影响,而这也已经是过去一年半里亚马逊云计算平台发生的第五次宕机事故,而随着云计算等的进一步普及,云端安全隐患也将进一步突出。

1.2网络安全攻击事件频发

网络安全攻击事件频发是近年来网络工程所遭遇的最为显著和严重的安全问题之一,数据显示,仅在2015年,全球就发生的各种网络安全攻击事件就超过了一万件次,直接经济损失高达两千亿美元,例如2015年5月27日,美国国家税务总局遭遇黑客袭击,超过十万名美国纳税人的信息被盗取,直接经济损失高达5000万美元;2015年12月1日,香港伟易达公司遭遇黑客袭击,导致全球超过500万名消费者的资料被泄露,可以想见,随着未来网络技术的快速发展,网络安全保护的形势还将进一步严峻化。

1.3移动设备及移动支付的安全问题加剧

随着互联网技术的飞速发展,现代社会已经逐渐进入到了“无现金”时代,移动设备的进一步普及以及移动支付的出现使得人们的日常消费活动更为便捷,但与此同时,各种移动支付和移动设备的安全问题也随之开始浮出水面,目前来看,移动支付过程汇总所面临的安全问题主要体现在两个方面:一是利用移动终端进行支付的过程中面临着较大的安全风险,如操作系统风险、木马植入等,二是现有的移动支付的主要验证手段为短信验证,这种验证方式较为单一且安全系数较差,这些都是许多用户对移动支付说“不”的原因之一。据中国支付清算协会的《2016年移动支付报告》显示,移动支付的安全问题仍是未来移动支付所面临的和需要应对的核心问题,如何进一步强化移动支付的安全“盾牌”,仍将是未来移动支付长远发展的现实挑战之一。

1.4网络黑客的频繁攻击

网络黑客是目前网络工程所面临的安全问题的根源之一,可以说,如前所述的各种网络安全问题有很多都来源于网络黑客攻击,近年来,随着网络黑客技术的不断发展,网络黑客对全球网络工程的破坏性攻击也越来越多,且逐渐呈现出从传统互联网领域向工控领域进行发展以及黑客活动政治化等趋势,例如今年年初美国总统大选就曾遭遇过网络黑客的攻击,所幸此次大选并未受到实质性影响。

2网络工程安全防护技术提升的路径分析

随着“互联网+”战略的实施以及网络安全被上升到了国家安全的高度,加强网络工程的安全防护已经被提高到了一个前所未有的高度。而网络工程安全防护的提升则可以说是一项较为复杂的系统性工程,除了要在资金、人力、管理等方面上继续下功夫以外,还必须要将加强网络工程安全防护技术的创新与改进放在一个关键的位置上,不断强化网络工程安全防护系数。

2.1合理使用防火墙技术

防火墙是网络工程安全防护中所使用的常规性的网络安全防护技术之一,也是目前主要应用于防护计算机系统安全漏洞的主要技术手段。一般来说,防火墙是一种位于内部网络与外部网络之间的网络安全系统,同时具有访问控制、内容过滤、防病毒、NAT、IPSECVPN、SSLVPN、带宽管理、负载均衡、双机热备等多种功能,因此在利用防火墙技术来加强网络工程安全防护时,首先必须选择口碑良好、有市场的防火墙产品如NGFW4000、NGFW4000-UF等等,利用防火墙来进行可靠的信息过滤,另一方面,需要对防火墙进行定期升级,确保防火墙的始终处于最新版本,切实利用防火墙技术来提高网络工程安全防护系数。图1防火墙工作原理模型图

2.2加强网络工程病毒防护体系建设

计算机病毒是网络工程所面临着的主要安全问题之一,因此有效加强网络工程的病毒防护体系尤其关键。众所周知,计算机病毒往往具有传染性强、传播方式多样、破坏性大且彻底清除的难度较高等特点,因而一旦感染很有可能导致一个局域网中的所有计算机都受到影响,尤其是在网络工程的使用环境中,一旦感染计算机病毒将很可能导致其他的相关计算机瘫痪,这就需要企业不仅要在杀毒软件、防火墙技术的更新等方面下足功夫,更重要的是要努力建立起多层次、立体化的病毒防护体系,同时努力搭建起便捷智能化的计算机病毒立体化管理系统,对整个系统中用户设备进行集中式的安全管理,切实提升对计算机病毒的防护效率,严格确保计算机不受病毒的侵染。

2.3搭配反垃圾邮件系统

随着互联网技术的快速发展,电子邮件已经成为互联网信息时代下最受欢迎的通讯方式之一,但与此同时越来越多的垃圾邮件的出现也日渐困扰着人们的正常工作,垃圾邮件不仅占用了人们的宝贵的精力和时间,更重要的是它有可能给企业带来严重的损失,我国是世界上的垃圾邮件大国之一,每年垃圾邮件的接收在全球位居前列,为此,不断提升网络工程的安全防护需要同时搭配有先进成熟的反垃圾邮件系统,有效搭建企业内部的“邮箱防护墙”,确保企业内外部的邮件安全。

2.4强化网络数据信息加密技术使用

针对当前网络数据信息频繁泄露的现实情况,加强网络工程安全防护技术必须要努力强化网络数据信息加密技术的使用,在实际使用过程中,可以通过对网络工程中的相关软件、网络数据库等进行加密处理,提高和强化网络数据信息加密技术的普及使用。

3总结

总之,加强网络工程安全防护是一项较为复杂的系统性工程,需要涉及到方方面面的技术条件乃至相应的管理、人力物力等方面的投入,更为重要的是,需要经过系统的分析从而将这些技术手段有机结合起来,使之形成一个系统,从而更好地在网络工程安全防范中发挥整体合力,有效提高网络工程安全防范实效。

参考文献:

[1]郑邦毅,蔡友芬.网络工程安全防护技术的探讨[J].电子技术与软件工程,2016.

[2]谢超亚.网络工程中的安全防护技术的思考[J].信息化建设,2015.

[3]陈健,唐彦儒.关于网络工程中的安全防护技术的思考[J].价值工程,2015.

[4]彭海琴.关于网络工程中的安全防护技术的思考[J].电子技术与软件工程,2014.

篇8

【关键词】OA系统 安全评估 安全策略

信息化建设作为国家战略发展的重要内容,保障信息安全是发挥网络系统优势的必然条件。OA系统作为协同办公平台,承担着系统内部信息流的互联互通,而加强对网络系统安全体系的评估是制定安全保障策略的重中之重。

1 OA系统组成及防护设计

从当前互联网发展现状来看,OA系统已经不再局限于某地的协同办公网络,而是基于不同地域下,从企业及下属各机构之间的全局化管理需求上,搭建满足日常办公、业务处理、事务管理等活动的,涵盖公文收发、文件查询、签报处理、会议管理等在内的多元化信息交互平台,从而实现企业办公无纸化、信息化、网络化目标。如图1所示。

从图1所示的OA系统结构来看,主要有基础层、数据库层、业务逻辑层、表示层等四部分组成,并通过各级接口单元来实现不同用户、不用业务的互联互通。

从OA系统管理来看,安全性是运行的关键,而加强对OA系统数据的安全防范,主要从防范破坏、窃听、篡改、伪造等方面,来构建多层级安全防护体系。依据木桶原理,一个应用系统的安全等级是由最低的短板来决定,同样,对于OA系统安全来说,如果存在某一弱项,就会降低系统的整体安全性。为此,在设计OA系统安全防护时,要统筹考虑,要将物理安全、主机安全、应用安排进行综合,来共同制定完善的安全管理保障体系。如在物理安全防护上,要对OA系统内的各类网络硬件设备与其他媒介设施进行有效隔离,减少和降低可能存在的安全风险。利用网络防火墙、网络病毒监测数据库、网络入侵系统等设备来实现有效监控;在对主机系统进行防护上,通过设置漏洞扫描系统等保障其安全性;在对应用系统进行安全防护时,利用证书管理系统来通过证书管理、授权管理等实现安全保障。

2 OA系统安排评估及保障策略构建

提升OA系统的安全防护等级,必然需要从OA系统安全评估中来构建防范策略。随着OA系统应用的不断拓展,面对安全防护体系建设要求也越来越高,各类防范安全攻击手段也不断增强。作为一种动态的防护保障体系,通常需要经历安全策略制定、安全风险评估、系统配置调整和应急预案编制、应急响应和系统数据恢复等流程。

2.1 制定安全策略

安全策略的制定是保障OA系统的基础,也是首项任务。从不同OA系统管理安全目标来说,在制定安全策略上,要确保安全设备、主机设备、服务器系统的连续性和可扩展性。

2.2 做好安全风险评估

风险评估是制定安全策略的前提,也是围绕可能存在的安全威胁,对可能存在的网络攻击行为、网络安全漏洞等进行专门防范的基础。随着OA系统功能的不断拓展,面临的安全风险也更加多样。因此需要从安全风险评估中通过技术手段来进行安全检测。具体评估方法有两种。一种是对单一安全因素进行评估。如对于网络设备、服务器、安全设备、计算机本身进行安全性评估,并从网络设备的使用数量、型号、性能等信息上进行合理部署和优化,利用操作系统安装相应的安全软件,并从补丁库、漏洞库及时更新上来做好各项风险源的检测和控制。针对网络上流行的病毒、木马等恶意代码,可以通过定期升级、备份来进行防范。另一种是整体安全评估,通过综合性安全防范分析软件,从系统安全性等级、系统安全趋势分析、系统安全缺陷等方面进行综合评估,并发现和锁定可能风险源,为下一步构建安全防护体系提供参考。

2.3 优化安全配置数据

通过安全评估,针对可能存在的安全隐患,需要从具体的安全策略制定上来加以优化,来改进系统安全等级。如对于某类风险源,利用设置防范参数来进行过滤和截获。同时,针对病毒库、事件库、安全补丁更新问题,可以从自动升级、人工升级模式设置上来优化;对于各类网络共享端口,通过设置安全口令来进行授权管理;对于系统服务器及其他安全设备,不必要的端口要进行关闭。

2.4 制定安全应急预案

应急预案是在可能存在的安全攻击或自然灾害时所采取的系统化解决防范思路和方法。如对于常见的网络攻击行为,通过应急预案来进行处置,来减少和避免损失,提升网络管理系统安全性。以某意外断电为例,在应急措施编制上,应该对主机系统进行有序断电,在UPS电池耗尽前完成服务器、存储设备、网络设备等系统的关闭;在电力恢复时,应该遵循打开总开关、启动UPS,逐次打开分支开关,启动核心路由器、交换机和网络安全设备,再依次打开各个服务器,对各服务器工作状态进行检查,确保正常启动相应服务。

2.5 应急响应及数据恢复

应急响应是对存在的安全风险及事件进行响应的过程,通常在发生网络异常或告警时,需要对根据预案来进行应急处置。如对于某次网络病毒攻击事件,在应急预案设计上,应该遵循六点:

(1)首先对被感染计算机进行网络隔离;

(2)对该系统硬盘数据进行备份;

(3)判嗖《纠嘈汀⑽:Γ涉及到那些网络端口,并启动杀毒软件对该计算机系统进行全面杀毒处理;

(4)为保障安全,需要对其他服务器系统进行病毒扫描和清除;

(5)对于杀毒软件无法清除的病毒应立即报告,并联系厂商协助解决,针对事态危重问题,要告知相关部门给予协同处理,并病毒语境;

(6)清除完病毒后,重新启动计算机并接入网络系统。应急恢复是在完成安全防范事件后,对原有系统进行启动,并将系统恢复至正常状态。

3 结语

OA系统安全评估及策略的制定,重点在于对可能存在的应急风险进行预案设计和应急响应,并从异常事件处置中总结经验,优化安全策略,确保OA系统处于良好运行状态。

参考文献

[1]陈建新,王金玉,陈禹,程涣青,胡韬.OA网络信息系统的顶层设计方略[J].办公自动化,2014(10).

[2]陈燕,魏鹏飞.办公自动化系统安全控制策略[J].技术与市场,2016(06).

篇9

关键词:大数据;计算机信息安全;企业;防护策略

大数据(bigdata)形成于传统计算机网络技术应用中,并不能将它理解为传统意义中大量数据的集合,而是其中涵盖了更多的数据信息处理技术、传输技术和应用技术。正如国际信息咨询公司Gartner所言“大数据在某些层面已经超越了现有计算机信息技术处理能力范围,它是一种极端信息资源。[1]”正是基于此,社会各个领域行业才应用大数据技术来为计算机信息安全提供防范措施,尤其是企业计算机信息网络,更需要它来构建网络信息防护体系,迎接来自于企业外部不同背景下的不同安全威胁。

1关于企业计算机信息安全防护体系的建设需求

企业计算机系统涉及海量数据和多种关键技术,它是企业正常运营的大脑,为了避免来自于内外因素的干扰,确保企业正常运转,必须为“大脑”建立计算机信息安全防护体系,基于信息安全水平评价目标来确立各项预订指标性能,确保企业计算机系统不会遭遇侵犯威胁,保护重要信息安全。因此企业所希望的安全防护体系建设应该满足以下3项需要。首先,该安全防护体系能够系统的从企业内外部环境、生产及销售业务流程来综合判断和考虑企业计算机信息安全技术、制度及管理相关问题,并同时快速分析出企业在计算机信息管理过程中可能存在的各种安全隐患及危险因素。指出防护体系中所存在的缺陷,并提出相应的防护措施。其次,可以对潜在威胁企业计算机系统的不安定因素进行定性、定量分析,有必要时还要建立全面评价模型来展开分析预测,提出能够确保体系信息安全水平提升的优质方案。第三,可以利用体系评价结果来确定企业信息安全水平与企业规模,同时评价该防护体系能为企业带来多大收益,确保防护体系能与企业所投入发展状况相互吻合。

2大数据环境对企业计算机信息安全建设的影响

大数据环境改变了企业计算机信息安全建设的思路与格局,应该从技术与管理维度两个层面来看这些影响变化。

2.1基于企业计算机信息安全建设的技术维度影响

大数据所蕴含技术丰富,它可以运用分布式并行处理机制来管理企业计算机信息安全。它不仅仅能确保企业信息的可用性与完整性,还能提高信息处理的准确性与传输连续性。因为在大数据背景下,复杂数据类型处理案例比比皆是,必须要避免信息处理过程错误所带来的企业信息资源安全损失,所以应该采取大数据环境技术来展开新的信息处理方式及存储方式,像以Hadoop平台为主的Mapreduce分布式计算就能启动云存储方式,对企业计算机信息进行有效存储、转移和管理,提高其信息安全水平。分布式计算会为企业计算机信息建立大型数据库,或者采用第三方云服务提供商所提供的虚拟平台来管理信息,这种做法可以为企业省下防火墙、数据库、基础性安防技术等等建设环节的大笔成本费用。在信息传递方面,大数据环境主要能够干预企业信息传递,例如为企业计算机系统提供高速不中断的传递功能模块,以确保企业信息传递的完整性与可持续性。在此过程中为了确保企业计算机信息传输的安全可靠,就会基于大数据技术来为企业提供数据加密服务,确保数据传输整个过程都处于安全状态,避免任何信息泄露、被盗取现象的发生。

2.2基于企业计算机信息安全建设的管理维度影响

在大数据环境下,企业计算机信息安全的管理维度影响不容忽视,它体现在人员管理、大数据管理与第三方信息安全等多个方面。在人员管理管理方面,大数据为企业所提供的是由传统集中办公向分散式办公的工作模式转变,它创建了企业自带办公设备BYOD(BringYourOwnDevice),BYOD一方面能有效提高员工积极性,一方面也能为企业购置办公设备节约成本,不过它也能影响到企业计算机的信息安全管理事项,移动设备大幅度降低了企业对计算机系统安全的可控度,可能会难以发现来自于外部黑客及安全漏洞、计算机病毒对系统的入侵,一定程度上增加了信息泄漏的安全隐患。在第三方信息安全管理方面,它可能会对企业信息安全带来巨大影响,因为第三方信息是需要用来进行加工分析的,但它对于企业计算机系统是否能形成保障实际上是难以被企业稳定控制的,所以企业要确切保证第三方信息安全管理的有效性,基于大数据强化企业信息安全水平,利用分权式组织结构来提高企业计算机系统及信息的利用效率,同时也增强大数据之于企业计算机系统的应用实效性。

3基于大数据优化环境下的企业计算机信息安全防护策略

企业计算机信息安全对企业发展至关重要,为其建立安全防护体系首先要明确其信息安全管理是一项动态复杂的系统性工程。企业需要从管理、人员和技术3方面来渗透大数据意识及相关技术理念,为企业计算机系统构筑防线,保护信息安全。

3.1基于管理层面的计算机信息安全防护策略

社会企业其实就是大数据的主要来源,所以企业在对自身计算机信息安全进行保护过程中需要面临可能存在的技术单一、难以满足企业信息安全需求等问题。企业需要基于大数据技术来建立计算机信息安全防护机制,从大数据本身出发,做到对数据的有效收集和合理分析,准确排查安全问题,建立企业计算机信息安全组织机构。本文认为,该计算机信息安全防护策略中应该包含安全运行监管机制、信息安全快速响应机制、信息访问控制机制、信息安全管理机制以及灾难备份机制等等。在面对企业的关键性信息时,应该在计算机系统中设置信息共享圈,尽可能降低外部不相关人员对于某些机密信息的接触可能性,所以在此共享圈中还应该设置信息共享层次安全结构,为信息安全施加“双保险”。另一方面,企业管理层也应该为计算机系统建立信息安全生态体系,一方面为保护管理层信息流通与共享,一方面也希望在大数据环境下实现信息技术的有效交流,为管理层提出企业决策提供有力技术支持。再者,企业应该完善大数据管理制度。首先企业应该明确大数据主要由非结构化和半结构化数据共同组成,所以要明确计算机系统中的所有大数据信息应该通过周密分析与计算才能最终获取,做到对系统中大数据存储、分析、应用与管理等流程的有效规范。举例来说,某些企业在管理存储于云端的第三方信息时,就应该履行与云服务商所签订的第三方协议,在此基础上来为企业自身计算机系统设置单独隔离单元,防止信息泄露现象。另一方面,企业必须实施基于大数据的组织结构扁平化建设,这样也能确保计算机系统信息流转速度无限加快,有效降低企业基层员工与高层管理人员及领导之间的信息交流障碍[2]。

3.2基于人员层面的计算机信息安全防护策略

目前企业人员所应用计算机个人系统已经趋向于移动智能终端化,许多BYOD工作方案纷纷出现。这些工作方案利用智能移动终端连接企业内部网络,可以实现对企业数据库及内部信息的有效访问,这虽然能够提高员工的工作积极性,节约企业购置办公设备成本,但实际上它也间接加大了企业对计算机信息安全的管理难度。具体来说,企业无法跟踪员工的移动终端来监控黑客行踪,无法第一时间发现潜藏病毒对企业计算机系统及内网安全的潜在威胁。因此企业需要针对员工个人来展开大数据背景下的信息流通及共享统计,明确员工在工作进程中信息的实际利用状况。而且企业也应该在基于保护大数据安全的背景下来强化员工信息安全教育,培养他们的信息安全意识,让员工在使用BYOD进行企业内部计算机数据库访问及相关信息共享过程中提前主动做好数据防护工作,辅助企业共同保护内部重要机密信息。

3.3基于安全监管技术层面的计算机信息安全防护策略

在大数据环境中,企业如果仅仅依靠计算机软件来维持信息安全已经无法满足现实安全需求,如果能从安全监管技术层面来提出相应保护方案则要配合大数据相关技术来实施。考虑到企业容易受到高级可持续攻击(AdvancedPersistentThreat)载体的威胁(形成隐藏APT),不易被计算机系统发觉,为企业信息带来不可估量威胁,所以企业应该基于大数据技术来寻找APT在实施网络攻击时所留下的隐藏攻击记录,利用大数据配合计算机系统分析来找到APT攻击源头,从源头遏制它所带来的安全威胁,这种方法在企业已经被证实为可行方案。另外,也可以考虑对企业计算系统中重要信息进行隔离存储,利用较为完整的身份识别来访问企业计算机管理系统。在这里会为每一位员工发放唯一的账号密码,并利用大数据来记录员工在系统中操作的实时动态,监控他们的一切行为。企业要意识到大数据的财富化可能会导致计算机系统大量信息泄露,从而产生内部威胁。所以在大数据背景下,应该为计算机系统建立信息安全模式,利用其智能数据管理来实现系统的安全管理与自我监控,尽可能减少人为操作所带来的不必要失误和信息篡改等安全问题。除此之外,企业也可以考虑建立大数据实时风险模型,对计算机系统中所涉及的所有信息安全事件进行有效管理,协助企业完成预警报告、应急响应以及风险分析,做好对内外部违规、误操作行为的有效审计,提高企业信息安全防护水平[3]。

4总结

现代企业为保护计算机信息数据安全就必须与时俱进,结合大数据环境,利用信息管理、情报、数学模型构建等多种科学理论来付诸实践,分析大数据环境下可能影响到企业信息安全水平的各个因素,最后做出科学合理评价。本文仅仅从较浅角度分析了公司企业在大数据背景下对自身计算机信息安全的相关防护策略,希望为企业安全稳定发展提供有益参考。

参考文献:

[1]尹淋雨.大数据环境下企业信息安全水平综合评价模型研究[D].安徽财经大学,2014:49-51.

[2]雷邦兰,龙张华.基于大数据背景的计算机信息安全及防护研讨[J].网络安全技术与应用,2016(5):56,58.

篇10

为了深入贯彻学习关于网络安全系列重要讲话精神,积极响应中央网信办、工业和信息化部、公安部等六部门联合的《关于印刷国家网络安全宣传周活动方案的通知》的要求,9月24日,由杭州市政府、中国信息化推进联盟、浙江经济理事会主办,杭州市拱墅区政府、中国信息化推进联盟协同创新专委会、浙江乾冠信息安全研究院承办的2016第二届中国网络安全协同创新高峰论坛・杭州峰会在美丽的西子湖畔召开。

峰会上,来自中央网信办、公安部、中科院及国家有关部门的领导、专家就如何学习贯彻关于网络安全和信息化的系列讲话精神、网络安全面临的严峻复杂形势、网络安全管理的方针政策、网络安全体系建设的策略建议和实践案例等进行了研讨交流。

本刊摘取部分专家精彩观点,以飨读者。

建设整体信息安全保密体系

杨国勋认为,当前的信息安全问题不容小觑,特别是政府及金融、能源等关键信息基础设施的安全保障问题。应该强化关键信息基础设施安全,进而大力推动重要领域整体信息安保体系建设。

但是,信息安全既没有绝对的安全,也没有永久的安全,因此,整体信息的安全防护也不可能一劳永逸,彻底管住。所以,在实际操作中,我们应该是在有效安全的前提下,以发展促安全。

那么,如何做到有效防护?第一,要明确消除可预见的整体安防的薄弱点和空白点。要按照对双方的重要性及损害的严重程度分类评估,来判定做还是不做。如果是有可预见的薄弱点,就不能做。第二,要创新安防的思路、方法、路线图。现实中,我们经常会遇到“又要马儿跑、又要马儿不吃草”的问题,信息安全也是这样的问题,又要安全,又要扩大应用。在这种情况下,我们需要创新,需要从另外的角度来分析和思考。比如风险管理,不仅要分析对自己的重要性,也要分析对敌方的重要性;出了事情,要分析对自己的影响,也要分析对敌方的影响;比如法制管理,用法制的威慑力,使他不敢造次,不敢随便地对你进行攻击。第三,要有科学、合理、可持续的实施方案。

互联网+下的工业安全技术

在演讲中,何积丰提及了工业控制系统的三个安全目标:一是通信可控,要能直观观察、监控、管理通信数据,仅能保证专有协议的数据传输,禁止其他通信;二是区域隔离,要能防止局部控制网络问题扩散导致全局瘫痪,要在关键数据通道上部署网络隔离;三是报警追踪,要能及时发现网络安全问题,确定故障点,记录报警事件,为故障分析提供依据。

对于工业控制系统的安全防御策略,何积丰提出了五道防线,分别是:第三方商用防火墙,联合安全网关,工业PC安全防护,现场设备控制防护,安全可靠的现场设备。可以采取的具体措施也有五条:去中心化、智能下移、异构冗余,分布协同、蜜罐技术。

何积丰认为,未来几年,工业控制系统安全发展趋势将朝着以下几方面发展:一是随着硬件元器件的可靠性越来越高及冗余技术的使用,安全问题的矛盾主要集中于软件,软件安全性面临严峻形势;二是工控信息安全标准需求强烈,标准制定工作亟需全面推进;三是随着自动化系统IT化,传统边界防护难以满足工业控制环境;四是行业内尚未形成气候,需要整合自动化与信息安全公司优势,带动产业全面发展;五是工控安全防护技术迅速发展并在局部开始试点,距离大规模部署和应用有一定差距。

深化国家网络安全等级保护制度,全力保卫关键信息基础设施安全

陈广勇除汇报了公安部在网络安全方面的一些工作情况和应对措施之外,还给重要行业部门开展网络安全工作和信息安全企业提出了一些建议。

他建议,重要行业部门开展网络安全工作要统筹规划行业安全工作,以网络安全等级保护工作为抓手,以信息通报为平台,以全面加强安全管理和技术防范为重点,以提高网络安全保障能力为目标,全力构建本行业网络安全综合防御体系。

针对信息安全企业,他建议,第一是要紧密围绕国家网络安全重大举措来开展经营活动,包括及时跟踪了解国家法律、政策、标准和重大举措;有针对性地制定具有行业特点的产品研发战略、技术创新,着重解决云、大、物、移以及工业控制系统的安全风险,制定相应的整体解决方案;第二是要积极参与和跟进信息安全标准的规范研究工作;第三是要全力支撑国家网络安全重点工作,做好技术储备和技术创新,信息安全企业要积极参与网络安全信息通报预警、智慧城市的网络安全管理、新技术、新应用推广等国家有较大投入的方面;第四是要加强规划、科学布局,企业要做好长远的战略规划,努力成为既能提供整体的网络安全解决方案,也能提供高质量的咨询服务能力的综合服务提供商。

拟态防御,协同众测促进网络安全创新

演讲中,葛培勤指出了当今网络安全的五个特点:一是网络安全是整体的不是割裂的,二是网络安全是动态的不是静态的,三是网络安全是开放的而不是封闭的,四是网络安全是相对的而不是绝对的,五是网络安全是共同的而不是孤立的。他进而指出:网络防护需要靠大家共同协防,网络检测需要靠大家一起发现问题,网络管理需要大家齐抓共管,网络应急需要靠大家一起处置/恢复,网络演练需要靠大家共同参与,网络安全需要靠广大人民。

他讲到,近年来,针对传统13类产品以外的信息安全产品层出不穷,如APT网络监控类、工控安全类、生物识别类、认证类、安全芯片类、大数据分析类、物联网安全等等,而创新产品测评与统一认证,将加快这些创新产品进入实际应用。国家信息技术安全研究中心与中国信息安全中心协商一致,最近将与多家测评机构进一步沟通协商,一是在测评规范上采取一定的措施,如鼓励采用未国标开展试点示范,采用参考行标扩大使用范围,采用多家众测形成测试用例,同时借鉴国外相关技术标准等方法,加快形成创新产品的基本测评用例和增强测试用例,采取结果导向、问题导向、目标导向理念,开展基于漏洞分析挖掘的产品测评,并对相对成熟的创新类产品、专家评审和审批后发放统一的认证证书。众测活动需要严格的管理措施来保证测评中的“7性”,组织方必须周密组织,公开公平公正地开展工作,保证测评的严肃性、严谨性。

跨维―深度聚焦网安生态

徐平说,在整个网络信息化发展过程中,乾冠信息安全研究院主要解决网络安全中第一公里和最后一公里的问题,其中的第一公里小到一个单位,大到国家互联网的出入口。乾冠信息安全研究院致力于通过时空跨维和深度聚焦,来形成一个比较完整的针对安全威胁的体系化的解决方案。

如何发现并分析处理数据安全,需要业界厂家形成合力,利用大数据驱动构建一个安全管理的平台。这也是研究院积极参与构建中国网络安全协同创新共同体、网络安全态势感知生态矩阵的初衷,即借助平台化的方式,用平台+服务、平台+产品、平台+合作伙伴等模式,来为用户提供整体的服务。平台矩阵将从三个层面提供防御保护:远程防御、云防御和安全设备。

他坦言,对安全威胁的一些未来的预测,是乾冠信息安全研究院下一步要重点突破的方向。

安全理念更新引领网络安全创新

演讲伊始,邵国安就指出:现在很多层面对于网络安全的本质和核心的理解是比较模糊的。理念决定行动,但是若理念都错了,谈何正确的行动?

他讲道,网络安全要从以下五个方面来加以考虑:一是网络边界的安全,二是网络防护,三是终端安全,四是应用安全,五是数据安全,每个层面都有不同的安全要求,是一个扇型的安全保障体系。

交通运输网络安全风险与策略

李璐瑶认为,不管是从事信息化还是从事信息安全的,都必须先了解它的业态,才能来进行风险权重的评价。交通行业,很好地体现了大数据的强大特征:广泛性、海量性、有价性。也正因此,交通领域成为了可能遭到重点攻击的目标,一定要采取有效措施,加强安全防护。

此外,她也认为就各级政府而言,要集中对政府网站、政务邮箱、重要业务、公务终端、互联网出口这五类系统进行安全防护。

提升风险自主发现处置能力的探索实践