网络安全运营体系建设范文

时间:2023-10-09 17:31:06

导语:如何才能写好一篇网络安全运营体系建设,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全运营体系建设

篇1

【关键词】电子政务 信息安全 体系建设

当前我国交通电子政务实施过程的两大矛盾的解决,依赖于安全、稳定、可靠的交通运输电子政务平台信息安全保障体系。对于电子政务平台实施过程中所面临的信息安全保障问题,我国早在2003年9月颁发的《关于加强信息安全保障工作的意见》中明确提出了建立等级保护制度和风险管理体系的要求。2004年11月,公安部等国家四部委联合推出信息安全等级保护要求、测评准则和实施指南,为政务领域进一步建立政务信息系统风险管理体系提供了技术基础和指导。交通运输部也于2008年12月颁布的《交通运输电子政务网络及业务应用系统建设技术指南》中对交通电子政务平台的安全保障体系作了详细的技术规范。

随着交通政府机构的信息安全基础建设日趋完善,建立一套信息安全管理平台,既满足电子政务平台的开放性和可访问性,又保证电子政务平台的安全性,也日益迫切。交通电子政务信息安全保障体系可从以下几个角度进行充分构建:

1信息安全保障体系及其基本要求

信息安全保障体系是基于PKI体系而开发的为多个应用系统提供统一认证、访问控制、应用审计和远程接入的应用安全网关系统,它可以将不同地理位置、不同基础设施(主机、网络设备和安全设备等)中分散且海量的安全信息进行样式化、汇总、过滤和关联分析,形成基于基础设施与域的统一等级的威胁与风险管理,并依托安全知识库和工作流程驱动,对威胁与风险进行响应和处理。信息安全保障体系的基本要求主要体现在以下几个方面:

1)保密性。主要体现在谁能拥有信息,如何保证秘密和敏感信息仅为授权者享有。

2)完整性。主要体现在拥有的信息是否正确以及如何保证信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增添、替换。

3)可用性。主要体现在信息和信息系统是否能够使用以及如何保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。

4)可控性。主要体现在是否能够监控管理信息和系统以及如何保证信息和信息系统的授权认证和监控管理。

5)不可否认性。主要体现在信息行为人为信息行为承担责任,保证信息行为人不能否认其信息行为。

总之,信息安全保障体系的基本要求主要从技术和管理两个层面得以实现。技术层面在实现信息资源的公开性、共享性和可访问性的同时,通过主机安全、网络安全、物理安全、数据安全和应用安全等技术要素保障信息的安全性。管理层面则可通过安全管理机制、安全管理制度、人员安全管理、系统建设管理以及系统运营管理等规范化机制得以保障信息的安全性。

2交通电子政务平台信息安全保障体系的构建

交通电子政务平台的信息安全保障体系,应该由组织体系、技术体系、运营体系、策略体系和保障对象体系等共同组成。

2.1安全组织体系。政府高度重视交通运输信息化工作的同时,坚持把“积极防御,综合防范”放在优先位置,首先要求成立专门的信息安全领导小组。信息安全领导小组可由交通主管领导担任领导小组组长主管信息安全工作,下设信息安全工作组,各管理部门负责人、业务部门负责人为成员。

2.2安全技术体系。交通电子政务平台的安全技术体系可搭建专业的安全管理运营中心,并从基础设施安全和应用安全两个方面去搭建安全技术支撑体系。

2.3安全运营体系。交通电子政务的安全运营体系一般可由安全体系推广与落实、项目建设的安全管理、安全风险管理与控制和日常安全运行与维护四个部分组成。安全运营体系是一个完整的过程体系,在交通电子政务平台的整个过程中,正常的运作流程,其信息流遵循自上而下的流程,即交通上级部门根据电子政务平台信息安全需求的目标、规划和控制要求做计划,下级交通部门根据计划进行执行、检查和改进。而若交通电子政务平台其安全性出现威胁,影响正常的运作流程时,此时信息流则遵循自下而上的逆向过程,下级交通部门向上级部门报送安全事件,上级部门根据其安全事件进行分析、总结和改进。

2.4安全策略体系。网络安全策略是为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和,因此信息安全策略是信息安全保障体系建设和实施的指导和依据,全面科学的安全策略体系应贯穿信息安全保障体系建设的始终。安全策略体系,主要包含安全政策体系、安全组织体系、安全技术体系和安全运行体系四个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护,减小网络受到攻击的可能性,防范网络安全事件的发生,提高对安全事件的反应处理能力,并在网络安全事件发生时尽量减少事件造成的损失。

篇2

狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。

电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。

然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。

2电信网络安全面临的形势及问题

2.1互联网与电信网的融合,给电信网带来新的安全威胁

传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。

2.2新技术、新业务的引入,给电信网的安全保障带来不确定因素

NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。

2.3运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复

目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。

2.4相关法规尚不完善,落实保障措施缺乏力度

当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。

3电信网络安全防护的对策思考

强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。

3.1发散性的技术方案设计思路

在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。

3.2网络层安全解决方案

网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。

3.3网络层方案配置

在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。

3.4主机、操作系统、数据库配置方案

由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。

3.5系统、数据库漏洞扫描

系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。

参考文献

[1]信息产业部电信管理局.电信网络与信息安全管理[M].北京:人民邮电出版社,2004.

[2]陈纲.保障电信网络安全的五项措施[N].通信产业报,2003-9-28.

篇3

随着4G通信技术的不断发展和应用,对于新技术革新带来的网络信息安全威胁更加突出。运营商在面对更多的不确定因素及威胁时,如何从网络信息安全管控技术上来提升安全性水平,已经成为运营商提供良好服务质量的迫切难题。为此,文章将从主要安全威胁源展开探讨,并就安全防范策略进行研究。

关键词:

运营商;网络安全;威胁;防护策略

从3G到4G,随着运营商全业务运营模式的不断深入,对支撑网络运行的安全管控工程建设提出更高要求。特别是在应用系统及用户数的不断增加,网络规模不断扩大,面对越来越多的应用设备,其网络安全问题更加突出。2014年携程小米用户信息的泄露,再次聚焦网络信息安全隐患威胁,也使得运营商在管控网络安全及部署系统管理中,更需要从技术创新来满足运维需求。

1运营商面临的主要安全威胁

对于运营商来说,网络规模的扩大、网络用户数的骤升,加之网络分布的更加复杂,对整个网络系统的安全等级也提出更高要求。当前,运营商在加强网络信息安全防护工作中,需要从三个方面给予高度重视:一是来自网络系统升级改造而带来的新威胁。从传统的网络系统平台到今天的4G网络,IMS网络的商业化,对传统网络业务提出新的要求,特别是基于IP的全网业务的开展,无论是终端还是核心网络,都需要从IP化模式实现全面互联。在这个过程中,对于来自网络的威胁将更加分散。在传统运营商网络结构中,其威胁多来自于末端的攻击,而利用IGW网络出口DDoS技术,以及受端网络防护技术就可以实现防范目标,或者在关口通过部署防火墙,来降低来自末端的攻击。但对于未来全面IP化模式,各类网络安全威胁将使得运营商业务层面受到更大范围的攻击,如木马病毒、拒绝服务攻击等等,这些新威胁成为运营商IP技术防范的重点。二是智能化终端设备的增加带来新的隐患。从现代网络通信终端智能化程度来看,终端的安全性已经威胁到网络平台及业务的安全,特别是在不同接入模式、接入速度下,智能终端与相对集中的运营商全业务管理之间的关联度更加紧密,一旦智能化终端存在安全隐患,即将给通信网络平台带来致命威胁。如智能化终端利用对运营商业务系统的集中攻击可以导致运营商服务的中断。同时,作为智能终端本身,因软硬件架构缺乏安全性评测,在网络信息完整性验证上存在缺陷,也可能诱发篡改威胁。如在进行通信中对信息的窃听、篡改,这些安全漏洞也可能引发运营商网络的安全威胁。三是现有安全防护体系及架构存在不安全性风险,特别是云技术的引入,对于传统网络架构来说,在用户数、增值业务骤升过程中,对现有基础设施的不可预知性问题更加复杂。另外,在网络安全标准制定上,由于缺乏对现阶段安全威胁的全面评估,可能导致现有网络体系难以适应新领域、新业务的应用,而带来更多的运行处理故障等问题。

2构建运营商网络安全防护体系和对策

2.1构建网络安全防护统一管控体系

开展网络信息安全防范,要着力从现有运营商网络系统业务类型出发,根据不同功能来实现统一安全管控,促进不同应用系统及管理模式之间的数据安全交互。如对网络运维系统安全管理,对计费系统用户的认证与管理,对经营分析系统的授权与审计管理,对各操作系统数据存储的分散管控等,利用统一的安全管控功能模块来实现集中认证、统一用户管理。对于用户管理,可以实现增删修改,并根据用户岗位性质来明确其角色,利用授权方式来实现对不同角色、不同操作权限的分配和管理;在认证模块,可以通过数字认证、密码校验、动态认证及令牌等方式来进行;在权限管理中,对于用户的权限是通过角色来完成,针对不同用户,从设备用户、用户授权访问等方式来实现同步管理。

2.2引入虚拟化技术来实现集中部署

从网络信息安全管控平台来看,对于传统的管控方案,不能实现按需服务,反而增加了部署成本,降低了设备利用率。为此,通过引入虚拟化技术,部署高性能服务器来完成虚拟的应用服务器,满足不同客户端的访问;对于客户端不需要再部署维护客户端,而是从虚拟服务器维护管理中来实现,由此减少了不必要的维护服务,确保了集中维护的便利性和有效性。另外,针对运营商网络中的多数应用服务器,也可以采用集中部署方式来进行集中管理。

2.3引入RBAC角色访问控制模型

根据角色访问控制模型的构建,可以从安全管控上,利用已知信息来赋予相应的权限,便于正确、快速、有效的实现用户特定角色的授权。同时,在对RBAC模型进行应用中,需要就其权限赋值进行优化,如对层次结构的支持,对不同用户群组、不同用户存在多个岗位的角色优化,对岗位与部门之间的协同优化,对用户岗位与用户权限及其所属岗位角色的继承关系进行优化等等。

2.4融合多种认证方式来实现动态管控

根据不同系统应用需求,在进行认证管理上,可以结合用户登录平台来动态选择。如可以通过数字认证、WindowsKerberos认证、动态令牌等认证方式。当用户端采用插件方式登录时,可以动态配置key证书认证,也可以通过短信认证来发送相应的口令。由于运营商网络应用账户规模较大,在进行系统认证时,为了确保认证账户、密码的有效性、可靠性,通常需要客户端向应用服务器发送请求,请求成功后再向用户端发送认证密码。

2.5做好运营商网络安全维护管理

网络信息安全威胁是客观存在的,而做好网络安全的维护管理工作,从基本维护到安全防护,并从软硬件技术完善上来提升安全水平。如对网络中服务器、操作系统及网络设备进行定期检查和维护,对不同网络安全等级进行有序升级,增加网络硬件加固设备,做好日常网络维护工作。同时,对于安全维护岗位人员,做好网络硬件设备、网络访问控制权限的管理,并对相关的口令及密码进行定期更换,提升安全防护水平。另外,运营商在构建网络安全防护体系上,不仅要关注网络层面及应用层的安全,还要关注用户信息的安全,要将用户信息纳入安全管理重要任务中,切实从短信认证、用户实名制、用户地理信息等个人隐私保护中来保障信息的安全、可靠。

2.6做好网络安全建设与升级管理

随着网络通信新业务的不断发展,对于网络信息安全威胁更加复杂而多样,运营商要着力从新领域,制定有效的安全防护策略,从技术创新上来确保信息安全。一方面做好网络安全策略的优化,从网络业务规划与管理上,制定相应的安全标准,并对各类业务服务器进行全程监管,确保业务从一开始就纳入安全防护体系中;另一方面注重安全技术创新,特别是新的网络安全技术、防御机制的引入,从安全技术手段来实现网络系统的安全运行。

3结语

运营商网络安全防护工作任重道远,在推进配套体系建设上,要从安全维护的标准化、流程化,以及网络安全等级制度完善上,确保各项安全防护工作的有效性。另外,加强对各类网络安全应急预案建设,尤其是建立沟通全国的安全支撑体系,从统一管理、协同防护上来提升运营商的整体安全防护能力。

作者:王树平 东野圣尧 张宇红 单位:泰安联通公司

参考文献:

[1]吴静.关于通信系统风险的研究[J].数字通信,2014(3).

篇4

【关键词】网络安全;网络攻击;建设与规划;校园网

1、网络现状

扬州Z校拥有多个互联网出口线路,分别是电信100M、电信50M、网通100M、联通1G和校园网100M。Z校拥有多个计算环境,网络核心区是思科7609的双核心交换机组,确保了Z校校园骨干网络的可用性与高冗余性;数据中心是由直连在核心交换机上的众多服务器组成;终端区分别是教学楼、院系楼、实验、实训楼和图书馆大楼。此外,还有一个独立的无线校园网络。Z校网络信息安全保障能力已经初具规模,校园网络中已部署防火墙、身份认证、上网行为管理、web应用防火墙等设备。原拓扑结构见图1。

2、安全威胁分析

目前,Z校网络安全保障能力虽然初具规模,但是,在信息安全建设方面仍然面临诸多的问题,如,网络中缺乏网管与安管系统、对网络中的可疑情况,没有分析、响应和处理的手段和流程、无法了解网络的整体安全状态,风险管理全凭感觉等等,以上种种问题表明,Z校需要对网络安全进行一次全面的规划,以便在今后的网络安全工作中,建立一套有序、高效和完善的网络安全体系。

2.1安全设备现状

Z校部署的网络安全防护设备较少。在校区的互联网出口处,部署了一台山石防火墙,在WEB服务器群前面部署了一台WEB应用防火墙。

2.2外部网络安全威胁

互联网出现的网络威胁种类繁多,外部网络威胁一般是恶意入侵的网络黑客。此类威胁以炫技、恶意破坏、敲诈钱财、篡改数据等为目的,对内网中的各种网络设备发起攻击,网络中虽然有一些基础的防护,但是,黑客们只要找到漏洞,就会利用内网用户作跳板进行攻击,最终攻破内网。此类攻击随机性强、方向不确定、复杂度不断提高、破坏后果严重[1]。

2.3内部网络安全威胁

内部恶意入侵的主体是学生,还有一些网络安全意识薄弱的教职工。Z校学生众多,学生们可能本着好奇、试验、炫技或者恶意破坏等目的,入侵学校网络[2]。Z校某些教职工也可能浏览挂马网站或者点击来历不明的邮件,照成网络堵塞甚至瘫痪。

3、安全改造需求分析

本次安全改造,以提升链路稳定性,提高网络的服务能力为出发点,Z校在安全改造实施中,应满足如下的安全建设需求1)提升链路的均衡性和利用率:Z校网络出口与CERNET、Internet互联,选择了与电信和联通两家运营商合作。利用现有网络出口链路资源,提升网络访问速度,最大化保障校园网内部用户的网络使用满意度,同时又要合理节约链路成本,均衡使用各互联网出口链路,是网络安全建设的首要需求。2)实现关键设备的冗余性:互联网边界的下一代防火墙设备为整个网络安全改造的核心设备,均以NAT模式或者路由模式部署,承载了整个校园网的业务处理,任何一个设备出现问题将直接导致业务不能够连续运行,无任何备份措施,只能替换或者跳过出故障的设备,且只能以手工方式完成切换,无论从响应的及时性,还是从保障业务连续性的角度,都存在很大的延迟,为此需要将互联网出口的下一代防火墙设备进行双机冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全设备数量较多,需要对所有安全设备进行统一日志收集、查询工作,传统单台操作单台部署的方式运维效率低下,所以需要专业集中监控、配置、管理的安全设备,统一对众多安全设备进行集中监控、策略统一调度、统一升级备份和审计。

4、解决方案

网络安全建设是一个长期的项目,不可能一蹴而就,一步到位,网络安全过程建设中,在利用学校原有设备的基础上,在资金、技术成熟的条件下,逐步实施。Z校网络安全建设规划分为短期建设和长期建设两部分。

4.1短期网络建设规划

4.1.1短期部署规划以安全区域的划分为设计主线,从安全的角度分析各业务系统可能存在的安全隐患,根据应用系统的特点和安全评估是数据,划分不同安全等级的区域[3]。通过安全区域的划分,明确网络边界,形成清晰、简洁的网络架构,实现各业务系统之间严格的访问安全互联,有效的实现网络之间,各业务系统之间的隔离和访问控制。本次短期网络建设,把整个网络划分为边界安全防护区域、核心交换区域、安全管理区域、办公接入区域、服务器集群区域和无线访问控制区域。4.1.2部署设计网络拓扑结构见图2,从图2可以看出,出口区域,互联网边界处的防火墙设备是整个网络安全改造的核心设备,以NAT模式或者路由模式部署,无任何备份措施,为此需要再引入一台同型号的防火墙设备,实现双机冗余部署。同理,原城市热点认证网关和行为管理设备需要再各补充一台,组成双机冗余方案。安全管理区域根据学校预算,部署几台安全设备。首先,部署一台堡垒机,建立集中、主动的安全运维管控模式,降低人为安全风险;其次,部署一台入侵检测设备(IDS),实时、主动告警黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,防止在出现攻击后无数据可查;再部署一台漏洞扫描设备,对网络内部的设备进行漏洞扫描,找出存在的安全漏洞,根据漏洞扫描报告与安全预警通告,制定安全加固实施方案,以保证各系统功能的正常性和坚固性;最后,部署一台安全审计设备(SAS),实时监控网络环境中的网络行为、通信内容,实现对网络信息数据的监控。服务器集群区域,除了原有的WEB防火墙外,再部署一台入侵防护设备(IPS),拦截网络病毒、黑客攻击、后门木马、蠕虫、D.o.S等恶意流量,保护Z校的信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机[4]。

4.2长期网络建设规划

网络安全的防护是动态的、整体的,病毒传播、黑客攻击也不是静态的。在网络安全领域,不存在一个能完美的防范任何攻击的网络安全系统。在网络中添加再多的网络安全设备也不可能解决所有网络安全方面的问题。想要构建一个相对安全的网络系统,需要建立一套全方位的,从检测、控制、响应、管理、保护到容灾备份的安全保障体系。目前,网络安全体系化建设结合重点设备保护的策略,再配合第三方安全厂商的安全服务是网络安全建设的优选。4.2.1网络体系化建设体系化建设指通过分析网络的层次关系、安全需要和动态实施过程,建立一个科学的安全体系和模型,再根据安全体系和模型来分析网络中存在的各种安全隐患,对这些安全隐患提出解决方案,最大程度解决网络存在的安全风险。体系化建设需要从网络安全的组织体系、技术体系和管理体系三方面着手,建立统一的安全保障体系。组织体系着眼于人员的组织架构,包括岗位设置、人员录用、离岗、考核等[5];技术体系分为物理安全、网络安全、主机安全、系统运维管理、应用安全、数据安全及备份恢复等;管理体系侧重于制度的梳理,包括信息安全工作的总体方针、规范、策略、安全管理活动的管理制度和操作、管理人员日常操作、管理的操作规程。4.2.2体系化设计网络体系化建设要以组织体系为基础,以管理体系为保障,以技术体系为支撑[6],全局、均衡的考虑面临的安全风险,采取不同强度的安全措施,提出最佳解决方案。具体流程见图3。体系化建设以风险评估为起点,安全体系为核心,安全指导为原则,体系建设为抓手,组织和制定安全实施策略和防范措施,在建设过程中不断完善安全体系结构和安全防御体系,全方位、多层次满足安全需求。

5、结语

从整个信息化安全体系来说,安全是技术与管理的一个有机整体,仅仅借助硬件产品进行的安全防护是不完整的、有局限的。安全问题,是从设备到人,从服务器上每个服务程序到Web防火墙、入侵防御系统、抗拒绝服务系统、漏洞扫描、传统防火墙等安全产品的综合问题,每一个环节,都是迈向网络安全的步骤之一。文中的研究思路、解决方案,对兄弟院校的网络安全建设和改造有参考价值。

参考文献:

[1]王霞.数字化校园中网络与信息安全问题及其解决方案[J].科技信息,2012.7:183-184

[2]黄智勇.网络安全防护系统设计与实现[D].成都:电子科技大学,2011.11:2-3

[3]徐奇.校园网的安全信息安全体系与关键技术研究[D].上海:上海交通大学,2009.5:1-4

[4]张旭辉.某民办高校网络信息安全方案的设计与实现[D].西安:西安电子科技大学,2015.10:16-17

[5]陈坚.高校校园网网络安全问题分析及解决方案设计[D]长春:长春工业大学,2016.3:23-31

篇5

关键词:交通运输;态势感知;网络安全;入侵检测

中图分类号:U111 文献标识码:A 文章编号:1006―7973(2017)06-0026-02

在四一九网络安全和信息化工作座谈会上提出“要以信息化推进国家治理体系和治理能力现代化,统筹发展电子政务,构建一体化在线服务平台,分级分类推进新型智慧城市建设,打通信息壁垒,构建全国信息资源共享体系,利用信息化手段感知社会态势、畅通沟通渠道、辅助科学建设”,2016年12月27日,国务院全文刊发了《“十三五”国家信息化规划》“十大任务”中的最后一项,健全网络安全保障体系,提出“全天候全方位感知网络安全态势”,再次强调了态势感知的重要性。

交通运输行业是国家经济社会发展的先行官,在交通运输发展方面具有极其重要的作用。而交通信息化的发展对国家的战略实施、行业及现代化治理方面具有关键的辅助作用。面对“十三五”期新形势、新要求,“要以国家信息化战略为引领,强化信息化顶层设计,实现行业重要信息系统的互联互通;要结合行业转型升级发展要求,推进信息技术与行业管理和服务的深度融合;要大力促进大数据发展应用,深化政府与企业间合作,共同打造交通信息服务产业新生态;要加强新技术应用,强化网络与信息安全保障体系建设。”

1 国内互联网安全背景

目前国内的信息化水平迅速提高,为了跟上时代的步伐,传统行业迅速转型,导致信息化的消费也在逐年提高。为了保证信息化水平继续逐年稳步提高,则必须有充分的网络安全防护作为保障。2013年以来,我国互联网安全的整体态势主要表现在三个方面:一是网络总体情况比较稳定,但类似于域名系统等薄弱环节仍然需要改进,无法对拒绝服务攻击和安全漏洞进行有效的防御。二是移动互联网快速发展,导致移动互联网的恶意APP迅速增多,生态污染问题亟待解决。三是来自病毒、蠕虫、木马和僵尸的威胁,频繁的恶意程序传播活动将使用户上网面临的感染恶意程序风险加大。

近年来,根据国家互联网应急中心的安全数据分析,web端的安全形势同样令人堪忧。公家互联网安装状况报告年报显示,政府网站、金融行业、媒体、旅游以及网上交易网站最容易遭受不法分子攻击,而安全漏洞往往是实施攻击的必要条件。不法分子通过入侵网站违规信息,首先会导致政府在公众面前的形象遭受损失,更重要的是政治风险无法避免。

2 交通运输行业信息安全体系构建

网络安全监测预警项目正是基于“监测+响应”的理念进行功能设计的,能够全面、有效、及时的向各单位提供安全预警和应急服务。交通运输行业信息化建设发展是以行业信息化重点工程和示范试点工程为依托,努力实现交通运输信息化的上下贯通、左右连通和内外融通,促进现代综合交通运输体系发展。交通运输行业有很多重要的大型数据网络平台如路网监测、救助信息、运营管理、物联网监控、智能交通管控等,这些大型网络数据平台的安全运维是关系到行业稳定发展和国计民生的重要环节,必须保障其安全稳定。

因此,必须利用先进的网络安全态势感知策略积极构建行业信息安全体系,通过“防护+监测+响应”来全方位保障网络平台安全已经成为必行趋势。本文就行业搭建态势感知网络平台相关的内容进行了系统分析,对其主要技术架构建议如下:

2.1 建设目标及原则

(1)建设目标。首先需要对网络的骨干节点进行实时监测,一旦发现恶意的入侵行为或者木马、蠕虫等病毒传播,系统需要立即发出警报并推送给用户;在系统未遭受攻击时,可以对系统进行安全漏洞扫描,一旦发现薄弱环节,同样需要推送给用户。随着系统的不断完善,可以对多个重点系统进行完善的保护,确保入侵行为无法奏效;同时需要对已经阻止的入侵行为进行分析,收集并整理出易受攻击的时间段及系统,有策略的加强局部安全防护。通过态势感知系统的布置,可以对入侵行为进行有效的防护并对网络的整体安全状况有充分的了解、为今后的信息安全策略提供有效的基础性依据。

(2)建设原则。一是系统完整性原则,一旦安全体系建设不完整,致使不法分子有可乘之机,导致前功尽弃。二是系统实用性原则,确保系统的有效性及可用性。三是安全目标与效率、投入之间的平衡原则。四是系统动态发展原则,安全防范体系的建设必须不断完善和升级发展。五是利旧原则,尽量通过采集已有设备数据信息完成态势分析。

2.2 架构总览

系统分为分析交互、大数据分析和数据采集三层。如下图1所示:

(1) 数据采集层。使用部署在网络骨干的引擎,监控Web服务系统的漏洞、安全事件、系统配置问题、木马、病毒等安全威胁,并对威胁进行采集收集。数据采集模块采集到的各类数据可以划分为两种类型,第一种为高频数据,也称大数据,通过高速数据总线收集,其主要特点为高速、海量、异构,大数据主要包含性能及系统状态数据,此外还包括日志、事件、流数据等;第二种为低频数据,通过低频数据总线进行采集,低频数据主要包括配置信息、资产信息、漏洞信息、人员信息和威胁情报等。

除此之外,数据类型还可以根据采集位置区分,一种是采集于内网的内部数据,通常包含网络安全数据、员工审计信息、漏洞信息等,另一种数据采集与互联网出口,称之为外部数据,一般包含外部威胁等信息。

(2)大数据处理层。该模块可以Σ杉到的海量数据进行系统的分类,将其转换为有结构的大数据集。对于不能转换为结构化的数据需要添加相应的索引,最终将两种数据储存起来以便分析交互层进行分析。

(3)分析交互层。分析交互成主要由五个模块组成,分别为安全监测、态势分析、漏洞预警、事件跟踪及知识情报模块。可以对采集数据进行科学系统的分析,最终转换为有价值的信息。①安全监测。安全监测模块对系统整体的安全防护起到支撑作用,可以对网络上的重点系统、重点人员及重点目标进行专项监测。于此同时还可以对网络及系统的状况进行整体监测,如web篡改、病毒入侵、流量告警等威胁信息。该模块不仅可以对外部系统威胁信息进行监测,如果有内部组织或人员对外部网络进行攻击,同样可以进行监测并警告。同时,系统还具有智能过滤功能,对不重要的入侵及攻击事件进行过滤筛选,以便减轻服务器及维护人员的负担。模块最终分析形成的分析报表可以对一定时间段内的安全事件进行对比分析,可以让使用者对系统安全进行直观的了解。②态势分析。态势分析模块包含两大方面,第一是宏观分析,可以从宏观方面分析整互联网总体信息安全状态,对整个网络的安全威胁进行宏观展示;第二是微观分析,可以对重点系统及人员进行详尽的分析,并展示重点目标的威胁态势和web安全态势等。③漏洞预警。漏洞预警模块通过对系统数据全面的检测,可以提前发现系统存在的各种弱点,包括各类网页及配置漏洞,发现漏洞以后可以提前预警并协助用户对漏洞进行防护,对可能遭受的威胁进行提前感知。④事件分析。事件分析模块可以对已发生的安全事件进行汇总并分析,协助使用者找出重点威胁事件、重点对象及攻击源头。分析方法通常为异常服务分析、攻击者分析和三元组分析。其中三元组分析是通过对攻击事件的源IP、目的IP和事件行为进行统计分析。同时,系统应当支持分析提供异常服务和参与对外攻击的主机,支持分析挖掘疑似攻击人员相关信息。

3 结语

综上所述,应用态势感知理念搭建起来的安全架构具有提前预知入侵、降低入侵危害等特性,行业内各大型数据网络平台和管理单位可以结合自身情况搭建与之相适应的态势感知系统来应对可能面临的入侵威胁,确保网络及信息系统平稳运行,努力实现行业和国家《“十三五”国家信息化规划》的宏伟目标。

参考文献:

[1]刘旭东.关于网络安全趋势态势感知的预警技术分析[J].科技创业月刊,2016,(29)

[2]彭毅.基于多传感的网络安全态势感知系统框架结构[J]网络安全技术与应用,2016,(12)

[3]张翼鹏.分析网络安全态势感知系统结构[J].通讯世界,2017,(1)

篇6

关键词信息安全;PKI;CA;VPN

1引言

随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中,以某公司为例进行说明。

2信息系统现状2.1信息化整体状况

1)计算机网络

某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。

图1

2)应用系统

经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3风险与需求分析3.1风险分析

通过对我们信息系统现状的分析,可得出如下结论:

(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:

(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。

(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。

已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。

3.2需求分析

如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:

(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。

(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。

4设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。

4.1标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。

4.2系统化原则

信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。

4.3规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。

4.4保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。

4.5多重保护原则

任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。

4.6分步实施原则

由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。

5设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。

图2网络与信息安全防范体系模型

信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:

身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。

数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。

5.2边界防护和网络的隔离

VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3安全电子邮件

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。

5.4桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。

5.5身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。

图3

因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:

(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。

(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。

(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。

7结论

本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。

也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。

篇7

关键词:商业银行 网络安全 网络风险

1 城市商业银行网络安全建设现状

银行的信息与网络安全建设与银行的整个电子化、信息化和网络化密切相关,把金融风险监管现代化和金融电子化、信息化和网络化风险的监管密切结合起来,是搞好银行与阿络安全建设的根本思路。目前城市商业银行信息化安全的观念对于网络与系统的虚拟世界的“行为与内容的监管”和“大范围的网络环境的安全问题”,考虑较少。

1.1银行网络行为和内容的安全情况

银行网络的安全问题实际是银行风险监管的问题,银行风险监管既要检查银行和客户人员在现实世界中的人与银行业务相关的行为结果,又要检查网络虚拟世界中用户、系统和的行为,实际上要对银行监管实行监管现代化的建设和银行信息化实行监管。

1.2银行业务运营信息化安全情况

主要涉及银行价值管理信息系统、资源管理信息系统、银行产品服务管理信息系统等。对于这些业务信息系统,由于银行系统有高度的安全意识银行系统的安全工作开展的较早,制定了相关的标准和规范,进行了安全规划与实施等。

1.3银行网络系统安全情况

当前银行网络系统安全问题重要表现在数据大集中后的安全,其特点是数据服务大集中,前置通信中心强大的和众多本地与远端终端的中心体系结构。

应该看到,电子化在给银行带来利益的同时,也给银行带来了新的安全问题。原因主要有三个:伴随金融体制改革的深入、对外开放的扩大,金融风险迅速增大;当前计算机应用日益广泛、日趋网络化,系统的安全性漏洞也随之增加;计算机知识日益普及,金融网络向国际化发展,计算机犯罪技术在不断提高。

2 银行网络安全重点关注的方面

目前银行用户关注的信息化安全问题主要是客户隐私、用户权益、信息内容安全和客户可信接入银行网等问题:

全面整合银行信息化安全建设,在此基础上建立银行信息安全保障、应急和监管系统。

以安全观点再度审核银行应用数据大集中的安全建设问题、专网与公网的隔离安全建设、银行外包服务安全建设、安全检测、监控、审计、追踪和定位系统建设、制定安全应急标准与安全应急培训。

3 安全风险分析

我们可以参考国际标准化组织ISO开放系统互联(OSI)模型,将整个银行系统的安全风险统一划分成五个层次,即物理层安全、网络层安全、操作系统层安全、应用层安全以及管理层安全。

3.1物理层安全风险分析。物理层安全包括通信线路的安全,物理设备的安全,机房的安全等。

3.2网络层安全风险分析。网络层安全包括网络层身份认证,网络资源的访问控制,数据传输的保密和完整性,远程接入的安全,路由系统的安全等。

a数据传输风险分析。表现在重要业务数据泄漏、重要数据被破坏等,如果没有专门的软件或硬件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取

b网络边界风险分析。主要表现于银行业务系统安全和互联网出口的安全。

c网络设备的安全风险。由于银行专用网络系统中使用大量的网络设备,如交换机、路由器等,使得这些设备的自身安全性也会直接关系的银行系统和各种网络应用的正常运转。

3.3系统层的安全风险。主要表现在两方面:一是操作系统本身的安全漏洞和隐患;二是对操作系统的错误配置。

3.4应用层安全风险分析。应用层安全是用户采用的应用软件和数据库的安全性,包括数据库软件、Web服务、电子邮件系统、域名服务系统、业务应用软件,以及其他网络服务系统(如Telnet、FTP等)。

3.5管理层安全风险分析

管理层安全包括安全技术和设备的管理,安全管理制度的制定,部门和人员的组织规划等。要建立完备的安全网络最终要靠人来实现,因此管理是整个网络安全中最为重要的一环。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。

4 安全方案总体设计

4.1网络安全建设原则

网络安全建设是一个系统工程,银行网络安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。

在实际实施中还要按照系列基本原则进行:系统性原则;简单性原则;实时、连续、安全统一原则;需求、风险、代价平衡原则;实用与先进相互结合的原则;方便与安全相互统一原则;全面防护、突出重点原则;分层、分区原则;整体规划、分布实施原则;责任明确,分级管理,联合防护原则。

4.2网络安全建设目标

我们对于银行网络系统安全建设的目标为:采用防护、检测、反应、恢复四方面行之有效的安全措施,建立一个全方位并易于管理的安全体系,确保银行网络系统安全可靠的运行

a系统级安全目标。保证操作系统、数据库管理系统的安全补丁不断升级、安全设置正确,防止计算机终端、服务器感染通过软盘、光盘、网络、电子邮件及其它网络途径传播的计算机病毒。

b网络级安全目标。保证内外网之间、内部网不同网络安全域之间的安全隔离和有效的访问控制,保证系统业务敏感信息网络传输中的机密性、完整性,保证网络攻击和网络安全漏洞及时发现、告警,网络安全状况不断改善,以及保证银行网络系统网络传输系统的高可靠性:主要指线路、设备的备份、冗余等。

c应用级别安全目标。防止本地用户和远程用户的非授权访问、越权访问和身份假冒,保证各种服务系统的正常运转。

d管理级安全目标。对安全软硬件设备(如防杀病毒软件、入侵检测软件、安全MPN设备、防火墙设备)和安全策略、安全状况能够集中统一管理、监控、审计和响应,保证安全责任分解到人、出现问题有迹可寻,加强管理制度和管理体系建设。

4.3整体安全设计概述

整体安全设计要最大限度保障业务系统、办公系统的安全,做到安全性和方便性的统一。

a数据库服务器是业务系统中最重要的数据库部分,它保存了所有业务交易相关的各种帐务数据,因此必须对它们实行有限访问控制防护——配置双机热备防火墙系统。

b由于办公机器众多、员工的安全防范意识较差,需要与互联网接入,又要直接接入OA办公、决策等系统,因此,办公机器应受到高度关注。

c由于网络中设备、主机数量众多,应此使用日志审计系统收集全网中的安全设备、服务器的日志,进行归档、分析,及时发现系统中发生的安全时间,起到事后审计的安全机制。

篇8

【关键词】现代企业 网络经济 影响

一、引言

随着信息技术的发展,其在现代企业的应用程度不断加深,网络经济随之产生,在网络环境中,市场经济体系以及信用体系建设发生了较大的改变,经济贸易活动中有了更新的交易和结算方式,现代企业的运营管理效率也获得了极大的提高,但与此同时,网络安全问题也随之出现。网络经济环境中,经济主题的生产、交换、分配、消费等经济活动对互联网络的依赖性较强,所以,W络经济对现代企业的有着巨大的影响,充分利用网络经济,对于现代企业的发展有着重要的意义。

二、网络经济对现代企业的影响分析

(一)对企业内部管理的影响

网络经济对企业内部管理的影响体现在多个方面,从宏观角度而言,随着信息技术的应用,企业的内部的信息沟通和监督效率获得了极大的提高,从微观角度来看,企业内部多个方面的工作也逐渐趋于完善。如随着信息技术的应用,企业财会工作会发生较大的变化,主要表现为数据处理集中化、自动化。随着信息技术的应用程度不断加深,许多会计信息处理工作有计算机完成,与传统手工会计工作业务处理工作相比,利用计算机网络系统,企业可以在短时间内处理大量信息。而且信息技术的应用,有助于企业内部控制程序化。随着信息技术的应用程度不断加深,企业内部控制的内涵和外延也会发生一定的变化,如在传统财会业务开展过程中,会计人员往往需要对凭证、账簿以及财务报表进行一一核查,才能确保会计信息的正确性,但是随着网络技术的应用,利用相应的计算机软件,可以对各类财会信息进行高效处理,而且出现差错的几率也明显降低,整个企业的财会工作更加的智能化。

(二)对企业营销活动的影响

市场营销是现代企业推广产品以及提升经济效益的重要举措,而在网络经济环境下,企业的营销活动发生了很大的变化,企业的营销效果有了显著的提升,但是,企业之间的竞争也变得更加的剧烈。随着网络经济的发展,消费者的购买活动发生了很大的变化,产品选择更加地自由和多元,所以,企业对市场变化的反应也会更加地灵敏,通过网络平台,产品生产企业可以和消费者进行直接交流,在产品的输出以及产品信息的反馈方面更加地迅速和直接,在网络经济环境下,企业的营销活动更加地直接,并更加具有针对性。互联网的出现,放大了口碑分享的价值,改变了消费者的态度,重构了消费者的行为。例如,QQ、微信、陌陌等社交媒体的出现,为消费者评论信息的传播提供了更多的传播渠道,借助这些新渠道,企业产品的正面和负面信息在极短的时间内,形成几何倍数的传播。其他消费者会根据购买者对产品的描述和使用感受,决定自己的购买意向,如果产品物有所值,那么购后评价则会消除消费者的购后失衡感,反之则不然,从而对企业的营销活动产生极大的影响。

(三)网络安全问题突出

互联网的主要特点之一是虚拟性,网络经济在推动企业快速发展的同时,也同样带来了很多安全隐患。这些隐患主要表现在以下几个方:第一,信息安全风险。调查表明,在网络交易活动中,很多用户的个人信息会被泄露,而且步不法分子还会通过其它各种渠道获取用户的各类信息,然后以此为基础实施诈骗,很多网络交易活动参与者的个人财产都遭受了较大的损失。第二,信用风险。在发展网络经济业务中,交易双方主要通过互联网交易平台开展交易活动,通常情况下,交易双方不会见面,无法像传统交易中那样彼此双方有较为深入的了解,所以,一旦某一方不讲信用,另一方的利益则很可能受损。第三,操作风险。首先,第三方支付已成为典型的网络经济模式,而且,随着智能手机的普及,已由互联网支付逐渐转为移动支付,人们不仅仅可以通过网络银行或电话银行实现远程支付,而且可以通过手机银行、蓝牙以及红外技术完成支付活动,但是,在享受新科技的同时,一些用户由于操作不熟练而而引发风险。

三、网络经济环境下推动企业发展策略探究

(一)进一步完善企业内部管理工作

在信息环境下,为了更好地做好企业内部控制工作,企业必须加强信息化建设,在建立内部控制体系的过程中,必须密切联系企业实际经营情况。企业必须定期对企业信息网路系统进行检查和维护,一些特别重要的数据信息必须进行备份处理,而且要做好相关设备的防火、防潮工作,而且,技术人员在进行网络系统检修维护时,必须得到上级领导的审批和确认,这样可以有效防止程序被篡改。在信息化建设过程中,还应该做到监控与操作分离,强化系统内部的相互制约,降低风险。职责分离作为内部控制的一个重要组成部分。为了强化系统的内部控制,可以在系统内分设操作和监控两个岗位,对同一笔业务进行多方备份。一旦主管人员或审计人员对一些数据产生怀疑时,就可以利用监控人员备份的原始数据进行分析调查、查明真伪。系统分析、计算机操作、程序设计、数据输入等职务应当分离,系统操作、管理和维护人员这三种不相容职务应当分离,互不兼任。信息系统各个工作人员要明确职责分工,要制定岗位责任制度,每个岗位都要得到一定的授权,并用密码进行控制。对操作密码要加强管理,指定专人负责定期更换操作密码。

篇9

一、信息化建设发展情况

(一)组织管理工作不断加强。认识的高度决定工作的力度。我局高度重视组织各股、室、处及司法所的信息化建设,并成立了信息化工作领导小组,负责全系统信息化领导工作,下设办公室,负责全系统信息化工作的组织、协调和管理,各股室根据各自职能,具体承担相关的信息化工作推进职责。并制定了电子政务管理制度,门户网站管理制度,局域网使用管理制度,信息编辑、审核、和更新制度,设备使用及维护制度等,为信息化建设的规范运行提供了制度保障。

(二)硬件建设投入力度不断加大。自2009年开始,我局按照信息化建设要求,加大信息化建设资金的投入,购置更新办公电脑,保证局机关的日常工作的开展。同时,添置了配套使用的传真机、扫描仪、打印机、专线电话机等现代化办公设备,形成了与省市司法行政专网、区政府机关协同办公网、互联网的联通与使用的格局。同时为各司法所配齐办公电脑、打印机、数码照像机等办公设备,达到了信息化建设的高标准配置。

(三)做好网络安全及设备维护。依据国家有关信息系统管理办法和技术规范,认真抓好了电子政务内网(党政网)及局域网的安全保密体系建设,做到了物理隔离和专机专用,安装了防病毒系统、建设网络信息安全监控系统,做到软件及时升级、打补丁、更新病毒库。使电子政务内网(党政网)、互联网可管可控,达到了网络安全保密要求。全年无失泄密事件,无重要数据丢失现象发生。

二、信息化建设遇到的问题

1、平台过多,不便操作。司法行政系统信息化建设工作涉及司法行政基层工作信息管理平台、刑释解教人员信息管理系统、政法专网等多个平台,不同的信息必须通过不同的平台进行报送,一方面是需要切换平台,重新登录,实际操作多有不便,另一方面是各种信息要求报送时间不统一,过于分散,不便操作。

2、资源无法共享,造成工作不便。目前我们的司法行政专网虽已建立但无法实现与监狱,公安等部门的资源共享,严重制约了司法行政工作的有效开展。

3、平台复杂,操作困难。办公人员对即将到来的信息化社会没有充分的思想准备,对其在司法行政发展进程中所处的地位没有充分了解,工作比较被动。目前基层司法所的队伍还有待壮大,现有的部分工作人员年龄比较大,对于电脑操作方面几乎没有经验,学习起来也十分困难,加上网络平台比较复杂,操作起来难度较大。

4、多个运营商,维护成本高。市局与我局局机关之间的联络采用的电信运营商,我局局机关与乡镇司法所之间的联系采用的是移动运营商,多个运营商同时使用造成了运行成本高,运营商之间互相推诿,处理问题效率不高,此外,多边缴费,维护成本也过高。

三、信息化建设有关建议

1、加强宣传,提高认识。要加强信息化建设重要性的宣传,使全系统人员充分认识信息化建设是推进司法行政事业发展的有效途径和必然选择,是提高司法行政工作质量和效率,降低办公成本的便捷途径,是进一步提高决策水平,更好地为民众服务,加强内外部监督的有效手段。

2、整合各平台,提高利用率。平台多、难操作,建议将各个平台整合到一起,尽量将报送各种信息的时间集中到一起,在一个系统中就能集中完成对各种信息的报送工作,这样不仅提高了系统的利用率,也提高了司法行政系统的工作效率。

篇10

【关键词】通信网络;因素;技术;建设;措施

1.通信网络安全的内涵

通信网络安全是指信息安全和控制安全。其中国际标准化组织把信息安全定义为信息完整性、可用性、保密性和可靠性。而控制安全是指身份认证、不可否认性、授权和访问控制。通信网络的特点是具有开放性、交互性和分散性,能够为用户提供资源共享、开放、灵活和方便快速的信息传递、交流的方式。

2.通信网络安全的现状

2.1通信网络发展现状

中国互联网络信息中心(CNNIC)的《第27次中国互联网络发展状况统计报告》数据显示,截至2010年12月底,我国网民规模达到4.57亿,较2009年底增加7330万人。我国手机网民规模达3.03亿,而网络购物用户年增长48.6%。Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示,互联网遭受病毒攻击中“浏览器配置被修改”占20.9%。“数据受损或丢失”18%,“系统使用受限”16.1%,“密码被盗”13.1%。通过以上数据显示,可以看出我国的通信网络在飞速发展,而通信网络安全问题日益加剧,通信网络安全建设仍是亟待解决的重点问题。

2.2造成通信网络安全问题的因素

第一,计算机病毒。计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒具有复制性、破坏性和传染性。

第二,黑客攻击。中国互联网络信息中心和国家互联网应急中心的调查报告数据显示,仅在2009年我国就有52%的网民曾遭遇过网络安全事件,而网民处理安全事件所支付的相关费用就达153亿元人民币。网络攻击事件给用户带来了严重的经济损失,其中包括网络游戏、即时通信等账号被盗造成的虚拟财产损失,网银密码、账号被盗造成的财产损失等。产生网络安全事件的主因是黑客恶意攻击。通信网络是基于TCP/IP协议,而TCP/IP协议在设计初期是出于信息资源共享的目的,没有进行安全防护的方面的考虑,因此导致了通信网络自身存在安全隐患,也给黑客提供了可乘之机。

第三,通信网络基础建设存在薄弱环节。例如通信网络相关的软硬件设施存在安全隐患。通信网络运营商为了管理方便,会在一些软硬件系统中留下远程终端的登录控制通道,还有一些通信软件程序在投入市场使用中,缺少安全等级鉴别和防护程序,因此形成了通信网络漏洞,容易被不法分子利用而发起入侵网络系统的攻击,使通信信息遭到窃取、篡改、泄露。另外通讯信息传输信道也存在安全隐患,例如许多通信运营商采取的是普通通信线路,没有安置电磁屏蔽,容易被不法分子利用特殊装置对信息进行窃取。

第四,人为因素造成的通信网络安全问题。通信网络的安全高效运行需要高素质、高专业技术水平的人员,而目前的网络管理人员的安全观念和技术水平还有待提升。

3.解决措施

随着我国通信网络功能的不断完善,在人们日常生活、生产和社会经济发展中起到了越来越重要的作用。因此,通信网络安全建设需要采用有效的措施,消除通信网络的安全隐患,加强对非法入侵的监测、防伪、审查、追踪,保障通信网络信息传递的安全性、可靠性、及时性和完整性,加强和完善通信线路的建立、信息传输全过程的安全防护措施。

3.1完善通信网络基础设施建设

通信网络的物理安全是通信网络安全的基础,通信网络基础设施安全主要包括:保护计算机系统(各种网络服务器)、网络设备和通信链路免受自然灾害、人为破坏和物理手段的攻击,加强对系统帐户的管理、用户的分级管理、用户权限的控制,以及系统关键部位的电磁保护防止电磁泄漏,同时要制定通信网络安全管理制度,避免计算机控制室出现偷窃、破坏活动。

3.2完善通信网络安全的法制体系建设

鉴于通信网络存在安全事件造成巨大经济财产损失,需要制定通信网络安全的法律、法规,这也是打击网络犯罪的重要手段。我国在2009年3月实行了《信息安全条例(部内审议稿)》与《电信设施保护条例(草稿)》,明确了网络与信息系统安全、网络信息服务安全、信息技术产品和服务等内容,而且规范了保障电信设施建设与规划、处理公用设施之间的相邻关系、电信设施保护区的划定、电信设施损坏赔偿制度等方面的内容。进一步完善了通信网络安全的法制体系,也为通信网络安全运行提供了法律依据。

3.3运用网络安全技术,保障通信网络安全

3.3.1保障通信网络安全的技术手段

针对通信网络安全问题,采取的技术手段主要包括以下几种。“身份鉴别”、“网络授权”、“数据保护”、“收发确认”、“保证数据的完整性”、“业务流分析保护”。其中“身份鉴别”是基于身份认证技术,通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。这几种安全防范措施,是系统开始运行到数据传输,以及通讯业务完成全过程的安全防护,能够有效的保障数据传输的安全性、机密性、完整性。

3.3.2保障通信网络安全的技术类型

建构防御系统还需要利用防火墙技术、入侵检测技术、漏洞扫描技术等。

(1)防火墙技术

防火墙技术是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,能够最大限度的阻止网络中的黑客入侵。

(2)入侵检测技术

入侵检测技术是对防火墙技术的补充。防火墙技术虽然能够保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善。依据入侵检测技术而应用的IDS即入侵检测系统,积极主动地对内部攻击、外部攻击和误操作的提供实时保护,IDS能够在网络系统受到危害之前,拦截和响应入侵,提高了信息安全性,同时也能够主动保护网络系统免于计算机病毒、木马以及黑客的攻击。

(3)漏洞扫描技术

由于通信系统自身存在漏洞,需要采用漏洞扫描技术来优化系统设置,针对不同系统软件存在的安全漏洞下载安装补丁程序,能够及时升级网络系统和修改软件设计缺陷,以此提高通信网络系统可靠性、安全性,保障通信网络系统的运行。

4.总结

随着通信网络在全球范围内的飞速发展,人类生活、工作的全部领域都与通信网络息息相关,通信网络提供高效、方便、强大服务功能的同时,其产生通信网络安全问题也给社会经济发展带来了一定的负面影响。因此国家与相关部门要完善法律体系,依据安全技术手段,提高安全防范意识,全方位的增强网络数据的安全、信息的安全、网络系统的安全,促进通信网络的发展。

【参考文献】