网络安全资源范文

时间:2023-10-22 10:18:02

导语:如何才能写好一篇网络安全资源,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全资源

篇1

随着科学技术的迅速发展,我国已步入以网络为支撑核心的信息时代。然而,在科学技术繁荣发展的背后,一系列安全问题也引起了人们的关注,可以说,计算机网络既是社会发展的有效推动力,其自身存在的安全问题也给人们带来了新的挑战,成为当前摆在计算机网络应用面前亟待解决的问题。因此,对计算机网络管理及安全技术进行研究,对其相关内容加以明确十分必要,对于计算机网络的长足、稳定发展和更好地服务社会具有积极的现实意义。

一、计算机网络管理

(一)故障管理分析

一个可靠、稳定的计算机网络是每个用户都希望的,当某个网络部件出现实效情况时,要求网络管理系统能够将故障源迅速排出,并作出及时地处理。通常来讲,故障管理包括检测故障、隔离故障、纠正故障三方面。其中故障检测是以对网络部件状态的相关检测为依据的,一般情况下,错误日志中记录简单的非严重故障,且不需作特别的处理。而对于一些严重故障时,则需要进行报警,即向网络管理操作员发送通知。网络管理应用应以相关信息为依据,来实施警报处理,当遇到较为复杂的网络故障时,网络管理系统应通过一系列的诊断测试来对故障原因加以辨别。

(二)计费管理分析

计费管理是对使用网络资源的记录,其目的在于对网络操作代价和费用的控制与检测。这一管理形式在一些公共网络的应用中表现的尤为重要。通过计费管理可对使用网络资源需要付出的代价与费用进行估算,并对所占用的资源加以明确。同时,网络管理员还可对用户最大使用费用进行规定,从而对用户对网络资源的过多占用进行控制,从而间接促进了网络效率的提高。

(三)配置管理分析

配置管理是计算机网络管理中的重要内容,它对网络进行初始化,并实施网络配置,从而实现网络服务的提供。配置管理是集辨别、定义、控制、监控于一体的管理形式,具备一个网络对象必需的功能,其管理实施的目的在于实现网络性能或某个特定功能的优化。

(四)性能管理分析

性能管理是对系统通信效率、资源运行等性能的相关统计,其性能机制是对被管网络及服务提供的监视与分析。对于性能的分析结果可使得某个诊断测试被处罚或网络重新配置,进而对网络性能进行维护。性能管理对当前被管网络的状态数据信息进行收集于分析,并进行对性能日志的维护与分析。

(五)安全管理分析

安全性向来是计算机网络的薄弱环节,加之用户对于安全性的高要求,使得网络安全管理的受重视程度也来越高,且扮演者越来越重要的角色,其管理的实施主要是应用网络安全技术,来为计算机网络的应用提供有力保障。

二、计算机网络安全影响因素

计算机网络的安全影响因素主要包括以下几个方面:第一,非授权访问。主要指的是对信息资源和网络设备进行的超权限使用或非正常使用;第二,假冒合法用户。主要指的是通过各种欺骗或假冒的非法手段来获取合法的使用权;第三,破坏数据完整性。第四,拒绝服务。当授权实体在进行应有权限访问或紧急操作时出现延迟时,其服务就会被拒绝;第五,病毒威胁。对信息系统进行有意、无意的破坏、修改,或在不能监听和非授权情况下进行数据的修改。随着计算机网络普及率日益提升,人们对计算机网络已形成一定的依赖性,而计算机病毒作为计算机发展的负面产物则对计算机网络的应用构成了严重的影响和威胁。

三、计算机网络管理安全技术

(一)身份认证技术

这一技术是确认通信方身份的过程,即用户在向系统发出服务清楚时,须对自身身份加以证明。通常情况下,身份认证技术以生物技术、电子技术或两种技术相结合的方式来对非授权用户作阻止进入处理。身份认证的常用方法有智能卡技术、基于认证第三方的认证机制、口令认证法等。通常来讲,授权机制是同身份认证相联系的,服务提供方在确认申请服务客户的身份后,就需对其访问动作授予相应权限,从而对客户访问范围进行规定。

(二)防火墙技术

综合性是这一技术的特点,其实质是对网络的出入权限进行控制,迫使全部链接均经过检查,来防止网络受到外界的破坏和干扰。作为一种控制隔离技术,防火墙技术通过在机构网络与不安全网络间相应屏障的设置,来对非法访问作出阻止,或应用防火墙来防止企业网络重要信息的非法输出。通常情况下,企业在企业网与互联网间设置防火墙软件的目的是为了维护企业内部信息系统的安全性,企业信息系统通过选择性的接受来应用来自互联网的访问,它可以禁止或允许一类的具体IP地址实施访问,也可拒绝或接收TCP/IP上某一类具体IP的应用。

(三)加密技术

电子文件具有易传播、易扩散的特点,容易造成信息的失密。为防止这一情况的发生,就需要应用加密技术来对网络中正在传播的电子文件或数据库存储的数据进行保密,从而使得非法借或者不能获悉文件中的内容。现行网络传输中,“双密钥码”加密是通常采用的形式,通信者同时掌握公开密钥和解密密钥,只要解密密钥不泄漏出去,第三者要想破密就存在很大的难度。所以,即使电子文件受到非法截取,其内容也不会被泄漏,从而避免了电子文件自身特性带来的弊端。

(四)入侵检测技术

入侵检测是对面向网络资源和系统资源的未授权行为作出识别与相应,从而对当前网络和系统的安全状况加以明确。入侵检测技术具有监视系统行为与用户、系统配置审计、数据完整性与敏感系统评估、攻击行为识别、统计异常行为、系统相关补丁的自动收集、违反规定行为的审计跟踪、黑客行为记录等功能,从而使系统管理员对可疑访问进行有效地监视、评估与审计。

(五)反病毒技术

计算机病毒的实质是一段破坏性极强的恶意代码,其将自身纳入到程序当中,从而在隐藏自己的同时,进行复制与传播,进而对用户数据与文件造成破坏。在反病毒技术中,存在一种特征值查毒法,通过对病毒样本的获取,来针对其特征值对内存和各个文件进行扫描,即针对性地病毒解除。随着反病毒技术的进一步发展,虚拟机杀毒技术、启发式扫描技术相应出现。其中启发式扫描技术是通过辨别病毒同普通程序的差异,来对每一类病毒特征进行加权,从而使得程序早遇到这类特征时,便会通知杀毒软件实施报警。

篇2

网络资源作为一种特殊的资源,尤其是电信网络资源,在目前我国的优化配置还不够完善,由于网络信息资源的信息量比较大,增长速度也很快,加上信息质量和信息价值的差异比较大,网络信息资源以及其它网络资源都普遍存在无稳定性和无序性,这样也就造成了网络环境的不稳定以及网络安全问题的增加。

首先,要根据资源的特性,确定需要执行作业的资源;再建立执行成本;针对用户需要的资源,运用调度算法执行任务,对资源上部署的资源进行实时监控;收集结果和资源使用、支付记录,将结果返回给用户。实行反复调度和及时进行数据清理都会起到优化网络资源调度流程的作用。

二、优化网络资源配置,提高网络安全性

随着新时期通信网络的不断发展,要想进行通信网络资源配置的优化,就必须从几个方面进行。

首先,利用股权结构的多元化,慢慢分解国有股“一股独大”的现象。如同上文之中提到的我国现阶段存在的电信业重复建设问题,这就是因为国有企业之间的非理性竞争造成的。有相关的研究者表示,民营资本参与国有企业改革,可以帮助实现投资主体的多元化。

其次,强化网络资源的宏观调控与引导,实现通信监管体制的创新。现阶段,我国的电信管理体制关于政策制度以及监管并没有真正的实现分离。鉴于此,为了使得所有的运营企业能够获取公平的竞争环境,电信产业要能够进一步分解政府职能,实现政策制度以及监管职能的有效分解。

然后,建立健全通信网络资源配置的相关法律法规,实现网络建设模式的创新。通过相关的法律法规建设,可以防止垄断的发生,同时创新网络建设模式,利用网络资源的共享机制,能够实现通信网络的统一管理,并有效地解决各家通信网络之间近距离建设以及同沟建设时存在的矛盾。

最后,通信行业属于我国信息化建设的主导力量,间接支撑和引导着我国国民经济的发展。因此,通信行业一定要认清自己的历史任务,电信业要充分发挥自身的作用,树立正确的发展观,各个企业之间要在竞争之中合作发展,为国民经济以及人民群众提供优质的服务。

三、NRM系统在优化网络资源配置中的应用

电信企业网络资源管理系统NRM是网络资源优化配置的一个有效的体系。NRM系统由基础空间资源管理、管线资源管理、网络设备资源管理三个子系统做为系统数据平台,全面掌握资源、快速利用资源、合理优化资源是整个网络资源管理系统的特点。中国电信公司依据“资源众多、分层管理、业务复杂”的特点,采用了这种全新升级的电信网络资源解决方案———NRM系统,通过配置指示,根据被资源管理部所管理的节点资源的状况,为让网络内的功能节点的功能以及处理对象的配置适当,运用节点功能来进行重新配置和控制。

根据被资源管理部所管理的节点资源以及链路资源的状况,判断是否对节点功能配置控制部发出重新配置指示,是否对通道结构控制部发出重新构筑指示,传输指示并作出适当的控制。这种方式使中国电信公司实现了对电信企业基础资源的合理配置和管理,为提高网络的安全性贡献了巨大的力量。

四、结束语

篇3

【关键词】办公自动化 网络 网络安全 病毒

【中图分类号】G434 【文献标识码】A 【文章编号】2095-3089(2012)05-0008-01

1.引言

企业内部办公自动化网络一般是基于TcrilP协议并采用了Internet的通信标准和Web信息流通模式的Intra ̄net,它具有开放性,因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此,企业需要一个更安全的办公自动化网络系统。

2.办公自动化网络常见的安全问题

2.1 病毒感染

随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。

2.2数据破坏

在办公自动化网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵入,黑客基于各种原因侵入网络,其中恶意侵入对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、FAT表、文件目录等;病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件;病毒还可能攻击CMOS,破坏系统CMOS中的数据。第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。

3.网络安全策略

3.1 网络安全预警

3.1.1入侵预警系统中,入侵检测可以分析确定网络中传输的数据包是否经过授权。一旦检测到入侵信息,将发出警告,从而减少对网络的威胁。它把包括网络扫描、互联网扫描、系统扫描、实时监控和第三方的防火墙产生的重要安全数据综合起来,提供内部和外部的分析并在实际网络中发现风险源和直接响应。它提供企业安全风险管理报告,报告集中于重要的风险管理范围,如实时风险、攻击条件、安全漏洞和攻击分析。

3.1.2病毒预警系统通过对所有进出网络的数据包实施不间断的持续扫描,保持全天24小时监控所有进出网络的文件,发现病毒时可立即产生报警信息,通知管理员,并可以通过IP地址定位、端口定位追踪病毒来源,并产生功能强大的扫描日志与报告,记录规定时间内追踪网络所有病毒的活动。

3.2 保护数据安全

对于数据库来说,其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类,入侵保护应主要考虑以下几条原则:物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。

3.3 入侵防范

3.3.1 内外网隔离

在内部办公自动化网络和外网之间,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要,同时也是最有效、最经济的措施之一。

第一层隔离防护措施是路由器。路由器滤掉被屏蔽的IP地址和服务。可以首先屏蔽所有的IP地址,然后有选择地放行一些地址进入办公自动化网络。

第二层隔离防护措施是防火墙。大多数防火墙都有认证机制,无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。

篇4

关键词:路由器 网络安全 NAT

中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2012)10(c)-0002-01

1 软件路由器

伴随互联网的迅速发展,利用路由器实现NAT的方法以解决局域网安全和IP地址短缺问题已经成为一个发展趋势。用普通的个人电脑就可以安装软件路由器,而且设置也很简单,只要了解路由器的工作原理,熟悉Linux/BSD,就完全可以在这个软件路由器的基础之上开发新功能,甚至你自己可以对安装好的Linux/BSD系统直接配置防火墙功能。防火墙是由软件和硬件设备在网内和网外之间,专用网与之间的界面上构造的保护屏障,它的作用是保护内部网免受非法用户的入侵,保护计算机系统不受任何来自“本地”或“远程”病毒的危害,向计算机系统提供双向保护,也防止“本地”系统内的病毒向网络或其他介质扩散。这里安装软件路由器防火墙更符合我们此次构建的目标。

根据操作不同软件路由器可分为基于Windows平台的和基于Linux/BSD平台的。基于Windows平台基本是商业的,常见的有Sygate、Wingate、ISA Server、Winroute 、Firewall等。基于Linux/Unix平台的基本是免费的,常见的有BBIagent、SmoothWall、Ipcop、RouterOS、CoyoteLinux、LRP等。我们直接对Linux/BSD系统直接配置防火墙也属于软件防火墙。他们有共同的特点就是对硬件的要求较低,甚至只需要一台电脑、一个U盘和两块网卡就可以安装出一台很专业的软件防火墙。在一台已经淘汰的486以上的电脑上安装一套免费的防火墙软件,不仅专业还包含NAT功能,又可实现宽带共享,完全可以成为一台出色的宽带路由器,一举两得。

目前常见的硬件宽带路由器,大部分都是用软件来实现的,跟软件路由器是一样的,而且软件路由器一般硬件配置要比硬件的宽带路由器配置高,所以某些情况下速度比硬件路由器的还要快。不同的软件路由器功能不同,绝大部分基于Linux/BSD的免费软件路由器,功能比商业的功能还要强大,稳定性也非常好。

由此,计算机网络的高效办公使得更多的家庭、企业、学校均组建起自己的局域网。但如何使局域网共享外部网络资源,而且能保证局域网内部的信息安全呢?

解决方案如下。

采用由路由器结合硬件防火墙或软件防火墙作为途径转换内外资源的方式,或者采用服务器搭建起内部网络与外部网络间的信息传输桥梁。这两种方式都有各自的局限,路由器硬件对于中小型网络来说比较昂贵,而采用服务器需要对网内计算机逐一配置和调试,这工作对网络管理人员来说比较艰难。为此,我们寻找一个既方便维护又经济的方案,现在我们来揭开谜底—— 通过软件路由器,只需要准备一台普通的计算机就完全能够实现路由器的功能,并使局域网内的计算机可以共享同一条宽带线路或者说共享一个外部IP地址访问互联网,与此同时还可以在互联网和局域网间筑建起一道安全的防火墙。

2 软件路由器安装配置

2.1 软件路由器的配置

(1)先到下载映像文件(网站上有说明下载方法);(2)下载写盘程序,将映像文件写入软盘或U盘;(3)机了连结好两根网线。注意,内网和外网的网线不要接错了;(4)用刚刚做好的启动盘启动机子。启动成功的话,屏幕上最后一行有IP地址(比如:http://192.168.1.1);(5)下载破解软件和相关软件(到FTP上下:网址( ftp://net: );《BBIagent》目录下的《破解文件》;(6)安装《破解文件》下的《jre-1_5_0-beta2-windows-i586》(这是一个JAVA程序SUN的官方网站有下的) ;(7)启动该程序(在“开始”—“运行”):java -jar register.jar -r 192.168.1.1 (register.jar文件在什么位置要指明,比如java -jar D:\register.jar -r 192.168.1.1 D盘根目录下);(8)登录到管理界面,密码初始值为BBIagent(注意大小写);(9)注册时输入(注意,此时要将启动软盘已放在路由器机器中,要写入注册信息,不要写保护):

用户名:abc

EMAIL:

注册号:ABCDEF-a062a7a0-AB3635

单击“注册”,此时软盘应写入注册信息。写完后,单击“关于”,即可看到已注册成功(用户名与EAMIL已变)。用该软件重新启动后,即是一个注册后的版本了;(10)设置软路由上网的方法在网站上有详细介绍。

备注说明:(1)注册了的版本,可以在软盘上保留你的上网账号、密码等,出了问题重新启动机子就可以了。没有注册的无法保留信息,重启后,还要进入管理器中重新设置,拨号上网;(2)《虚拟服务》中的“端口映射”窗口没有保存在启动盘的按钮,要保存端口映射信息,只要在大的空白框上右击鼠标就会弹出菜单;(3)本人运行环境:路由器机子是淘汰的机子:赛扬:1 G 128 MB 网卡两块,内网用8139D外网用8029。

设置路由用的机子:联想学生机WIN98操作系统。

2.2 网内计算机的设置问题

由于路由器端启用了DHCP服务,随后就要对网内的计算机TCP/IP属性进行设置调整,右键单击网上邻居图标打开网络属性窗口,选择其中的“TCP/IP协议”,单击“属性”按钮,在TCP/IP属性设置窗口中勾选“自动获取IP地址”和“自动获取DNS服务器”。在客户端机器登录网络后随机便会获得先前设定范围内的一个IP地址,并在域名解析时使用指定的域名服务器。

2.3 BBIagent路由器的管理

在BBIagent路由器开始工作后,被设定为路由器的电脑是不能对路由器进行管理的,所以我们需要通过Web页面来访问这个路由器电脑,通过路由器远程维护完成管理工作,维护的地址即路由器电脑的IP地址。用户为提高网络内部的安全性还可以根据自己的具体需要进行相应的修改和设置。

2.4 将来软路由器会淘汰硬件路由器吗

软件路由的发展不容小觑,那么以后软路由器会淘汰硬件路由器吗?我认为不会,但软件路由器会逐渐占领更多的硬件路市场,软件路由器还不能淘汰硬件路由器,它们的市场定位不同,而且在高端只有硬件路由器才能胜任,而对于一般的应用,比如网吧、学校、机关等将通过软件路由器获得更高的经济效益。

篇5

关键词:网络安全;数字化校园;虚拟局域网

随着网络的普及以及新应用的出现,信息已经成为一种关键性的战略资源。数字化校园网作为学校信息化建设的基础,引起了教学方法、教学手段、教学工具的重大革新,在教学、科研、管理等方面起着举足轻重的作用。与此同时,校园网络的安全保障就变得十分重要。本文重点阐述了网络安全系统的规划及方案的实施,目的是建立一个完整、立体、多层次的网安全防御体系。

一、数字化校园网安全现状

目前,世界上70%以上的学校都拥有自己的数字化校园网,并将其融入到教学中,但大部分校园网建设都对网络安全有所忽视,逐渐使校园网的安全受到来自内部和外部的威胁与危害。校园网的主要安全问题分为下述几方面:

1.物理层方面安全。由于网络中物理设备的位置不合理、规章制度的不健全及防范措施不科学,导致网络资源受到自然灾害的毁坏、人为或意外事故的破坏,造成了数字化校园网不能够正常的运行。因此,物理层安全问题是需要重视的。

2.未经受权访问。没有经过授权或者假冒合法的用户获得了权限进而访问网络资源,造成获取所需资料、篡改有关数据或利用有关资源从事非法活动的情况。在校园网上,最常见的是盗用合法IP地址,给合法的用户直接带来了经济损失,造成网络冲突,使网络不能够正常工作,严重的甚至造成主机崩溃,影响到整个校园网运行。

3.计算机病毒。互联网现在是病毒肆虐最大的来源,互联网上发现了各色新病毒,感染快、危害严重,而且使用者难以防范。校园网由于计算机用户众多并且水平差距很大,容易感染病毒且消除困难。

4.带宽管理。对于每个学校来说,它的带宽资源都是有限的。而上网人数的急增和各种各样在线游戏的流行使有限的带宽资源不堪重负。由于没有带宽限制和优先级设置,一些重要用户和重要应用得不到必要的带宽保证而影响了正常的教学和科研工作。

二、校园网安全方案的实现

1.网络防火墙的部署。在核心交换机与Internet之间、核心交换机和服务器群之间部署了一道防火墙,进行网络数据流的监控,实现虚拟的网络隔离。在部署防火墙之前,需要对现有网络结构以及网络应用作详细的了解,然后根据网络业务系统的实际需求制订防火墙策略,以便能够在提高网络安全的同时不影响业务系统的性能。通过进行网络拓扑结构的分析,确定防火墙的部署方式以及部署位置;根据实际的应用和安全的要求,划定不同的安全功能区域,并制订各个安全功能区域之间的访问控制策略;制订管理策略,特别是对于防火墙的日志管理、本身安全性管理。

2.路由器的设置。路由器是校园网主要设备之一,其位置在校园网与Internet接入口处。通过对路由器相关设置,可以实现带宽限制,特定访问规则,流量控制等,进一步保证了网络安全。路由器主要功能是对IP地址进行设置,设置要恪守的基本原则如下:路由器的物理网络端口需要有一个IP地址;相邻路由器的相邻端口IP地址在同一网段;同一路由器不同端口在不同网段上,IP地址设置的主要任务是配置端口IP地址;配置广域网线路协议,配置IP地址与物理网络地址如何映射;配置路由;其他设置。

3.三层交换机设置。三层交换机的出现解决了路由器的速度和二层交换机的VLAN间路由的问题,既满足了速度的要求,还可以实现划分VLAN,是目前数字化校园网中必不可少的网络设备。三层交换机通过划分VLAN有效地隔离了局域网的广播风暴,有效地提高了网络管理速度,很好地实现了网络安全。划分VLAN的基本策略从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:(1)基于端口的VLAN部分。这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这种方案只需要管理者对网络设备的交换接口重新分配就可以,不必考虑该端口所连接的设备。(2)基于MAC地址的VLAN划分。MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的,网络管理员可按MAC地址把一些站点划分为一个逻辑子网。(3)基于路由的VLAN划分。路由协议工作在网络层,相应的工作设备有路由器和路由交换机,该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。

建设数字化校园网为信息资源共享提供了有力的工具和手段,将校园中的各PC机、终端设备与局域网相连接,同时与国际互联网连接起来,构建可以满足教学、科研以及管理工作所需的各种环境,及时收集各种反馈信息,为学校的长远发展提供决策依据。

参考文献:

[1]邓尚民,袁玉珍.浅谈对校园网建设中存在问题的几点认识[J].中国远程教育,2000(2).

[2]方欣泽.计算机网络系统集成[M].北京:中国水利电利出版社,2005.

篇6

关键词:办公自动化;网络安全;病毒;黑客

中图分类号:TP317.1 文献标识码:A文章编号:1007-9599 (2010) 01-0000-01

随着计算机网络技术的普及,利用联网实现办公自动化,并将办公自动化应用到政府、军队和各大企业等安全性要求较高的机构已成为一种迫切的需要。所谓办公自动化是指运用微机及相关外设,有效地管理和传输各种信息,以达到提高工作效率的目的。

办公自动化系统的安全包括网络设备、配套设备的安全、数据的安全、通讯的安全、运行环境的安全,还包括网络内部每台计算机的安全、计算机功能的正常发挥等部分。办公自动化网络是一个中小型的局部网络。办公自动化网络系统是自动化无纸办公系统的重要组成部分。在实现联网办公时,由于覆盖面大,使用人员混杂,管理水平各异,往往不能保证公文在网络上安全传输和管理。还有一些人专门在网络上从事信息破坏活动,给国家、企业造成巨大的损失。因此,加强网络安全,防止信息被泄露、修改和非法窃取成为当前网络办公自动化普及与应用迫切需要解决的问题。

一、系统安全威胁因素

1.物理设备威胁:是指偷窃设备、直接读取设备、间谍行为等以直接方式对系统信息造成的威胁。黑客只要侵人办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个网上的所有数据包,对其进行解包分析,从而窃取关键信息;而本网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。

2.线缆连接威胁:包括拨号进入、连线或非连线窃听等方式窃取重要信息。

3.身份鉴别威胁:包括口令被破解、加密算法不周全等漏洞性因素。

4.病毒或编程威胁:病毒袭击己成为计算机系统的最大威胁,一旦某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。此外,有的编程人员为了某种目的,故意编写一段程序代码隐藏在系统中,对系统安全构成威胁。

二、针对以上几方面威胁因素的安全保护

1.物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;

服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。

用户对数据的存取应有明确的授权策略,保证用户只能打开自己权限范围之内的文件。

通过审计和留痕技术避免非法者从系统外取得系统数据或是合法用户为逃避系统预警报告的监督而从系统中取得数据。

客户端安全保护,客户端的安全主要是要求能配合服务器的安全措施,提供身份认证、加密、解密、数字签名和信息完整性验证功能,并通过软件强制实现各客户机口令的定期更换,以防止口令泄漏可能带来的损失。

2.对于病毒和灾难破坏的数据保护来说,最为有效的保护方式有两大类:物理保护和数据备份。要防止病毒和灾难破坏数据,首先要在网络核心设备上设置物理保护措施,包括设置电源冗余模块和交换端口的冗余备份;其次是采用磁盘镜像或磁盘阵列存储数据,避免由于磁盘物理故障造成数据丢失;另外,还要使用其他物理媒体对重要的数据进行备份,包括实时数据备份和定期数据备份,以便数据丢失后及时有效地恢复。

3.要有效地防范非法入侵,应做到内外网隔离、访问控制、内部网络隔离和分段管理。

4.内外网隔离。在内部办公自动化网络和外网之间,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。

第一层隔离防护措施是路由器。路由器滤掉被屏蔽的IP地址和服务。可以首先屏蔽所有的IP地址,然后有选择的放行一些地址进人办公自动化网络。

第二层隔离防护措施是防火墙。大多数防火墙都有认证机制,无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。

三、办公自动化网络系统安全设计原则

由于众多的因素造成了对数据完整性威胁和安全威胁,因此,办公自动化网络系统必须建设一套完整的策略和安全措施来保障整个系统的安全。

1.安全性第一的原则:由于安全性和网络的性能是一对矛盾,两者不能兼得。建议选择前者,以牺牲网络的性能,来换取安全性的增强,但采取的措施应让用户感觉不到网络性能受到的影响。

2.多重保护的原则:任何安全保护措施都可能被攻破。建立一个多重保护系统,各重保护相互补充,当一重保护被攻破时,其它重保护仍可保护信息系统的安全。

3.多层次(OSI参考模型中的逻辑层次)的原则:如在链路层和网络层实施包过滤,在表示层实施加密传送,在应用层设置专用程序代码、运行应用审计软件,在应用层之上启动服务等。

4.多个安全单元的原则:把整个网络的安全性赋予多个安全单元,如路由器、屏蔽子网、网关,形成了多道安全防线。

5.网络分段的原则:网络分段是保证安全的重要措施.网络分。

段可分为物理分段和逻辑分段。网络可通过交换器连接各段,也可把网络分成若干IP子网,各子网通过路由器连接,并在路由器上建立可访问表,来控制各子网的访问。

6.最小授权的原则:对特权(超级)网络要有制约措施,分散权力,以降低灾难程度。

7.综合性原则:计算机网络系统的安全应从物理上、技术上、管理制度上以及安全教育上全面采取措施,相互弥补和完善,尽可能地排除安全漏洞。

参考文献:

[1]李海泉.计算机系统安全技术与方法[M].西安:西安电子科技大学出版社,1991。

[2]陈江东.办公自动化系统的系统分析闭[J].计算机系统应用,1998,10

篇7

【关键词】Zigbee技术;安全管理;无线传感器

引言

煤矿的自然环境非常复杂多变,我国目前已有的煤矿安全生产形势非常严峻,矿难时常发生,造成“以人为本”的生产方式遭受挑战。现有的煤矿人员安全管理系统因为存在效率低、无法有效监测人员状态、矿难发生后无法及时搜救等缺点,已经无法满足日益严格的安全需求,迫切需要对其进行改善。

一、系统组成

根据煤矿具体生产环境和要求,本文提出一种传感器节点识别速度快,能够随时检测环境温度和有毒气体浓度,出现意外时立刻报警的并振动通知井下工作人员的基于zigbee无线传感器网络的煤矿人员安全报警管理系统。

一种基于zigbee无线传感器网络的煤矿人员安全报警管理系统,包括监控中心、矿井口终端设备、至少1个zigbee基站、至少2个传感器节点和至少一个人员节点;其结构图如下图1所示。

图1 基于ZIGBEE技术的煤矿人员安全管理系统结构构成

二、ZIGBEE传感器节点的硬件设计

无线传感器网络是由多传感器节点以Ad-hoc(移动自组网、多跳网络)方式构成的无线网络。其目的是感知、采集和转发网络覆盖的地理区域中的感知对象的各种信息,并发送给上级监控中心。

传感器节点、感知对象(有毒气体、环境温度)、上级监控中心是构成整个系统的最主要部分。传感器节点由电源、传感器元器件、微处理器、存储器、通信部件和软件等几部分组成,其组成结构如下图2所示。

图2 ZIGBEE传感器节点的硬件结构构成

三、 ZIGBEE模块间的通信

在软件设计方面,根据网络各层的通信协议都要注意节能。ZIGBEE模块在进行通信前,都要进行有效的初始化。在初始化过程中,上级监控中心首先发出连接请求,看是否连接成功,若连接成功,则开始进行参数设置,初始化结束后,ZIGBEE模块信息处理流程如图3所示。每当程序设置的定时时间到,传感器节点会主动连接上级监控中心,并向上级监控中心上报检测到的相关信息,传感器节点之间的通信与此类似。

图3 ZIGBEE模块通信流程图

四、 结束语

本文针对现有的煤矿安全管理系统的种种不足提出了一种新型的、以无线传感器网络为基础,并与现有的RFID技术相结合,实现井下的温度、气体浓度等参数目标全面及时的监控与预警。建立起集多种信息的综合性、计算机的交互性、通信的分布性和监控的实时性等技术与一体的煤矿人员安全管理系统。对目前市场上的系统研究有一定的启示作用。

参考文献:

[1]http:///article/article_detail.aspx?aid=10133.

[2]RFID标签阅读器系统防冲突算法的研究。于惠钧,刘晓燕,朱永祥,包装工程。2008,17(7):21-23.

[3]郑增威。若干无线传感器网络路由协议比较研究。计算机工程与设计,2003,24(9):28-31.

作者简介:

杨小庆(1984.10-),女,湖北宜昌人,重庆工商职业学院机电工程学院第二党支部书记;硕士,讲师,研究方向:智能仪器与嵌入式系统。

篇8

刘向明毕业于中国科学技术大学,1993年获得美国得克萨斯州立大学奥斯丁分校物理博士学位,在山石网科主要负责制定产品策略和方向,全面的技术创新以及预研。他拥有10余项国际、国内安全技术专利。在他的带领下,山石网科在今年6月了基于主动检测技术的下一代智能防火墙(iNGFW),将基于威胁的安全转变为基于风险控制的安全。刘向明本年度还著有《揭秘下一代智能防火墙》一书,揭示了下一代智能安全是网络安全发展的重要趋势。

2006年,美国得克萨斯州立大学奥斯丁分校物理学博士,长期浸在网络安全领域并从事高级研发工作的刘向明回到国内和几个同事一起创业。随后,一家名为山石网科的公司很快发展起来,在网络安全市场上稳稳占据了一席之地。山石网科正是刘向明联合创业的公司。而自公司创立开始,刘向明一直担任首席技术官(CTO),把握着公司技术的发展方向。

IT厂商是有技术门槛的,安全厂商的技术门槛更加不低。从某种意义上说,只有在技术创新上保持领先,安全厂商才能在市场上立足。这是因为,用户要选择先进的技术才能最大程度地保障数据中心和系统的安全,否则,一切都无从谈起。

刘向明在网络安全技术领域的耕耘,帮助山石网科以先进的产品为用户提供安全服务。在荣获“2013年度十大CTO”称号之际,他接受了《中国计算机报》记者的独家专访,向本报道出了自己对云数据中心网络安全的理解和该领域的发展趋势。

网络虚拟化带来安全契机

“在传统的数据中心架构中,可以很容易地做一些安全扩展。比如,当数据中心中增加新的服务器时,完全可以通过增加安全设备来控制,因为大家都知道这些新服务器是怎么工作的。但是,在数据中心虚拟化之后,这种做法就行不通了。”谈到数据中心安全,刘向明滔滔不绝。

在刘向明看来,虚拟化变革为数据中心安全带来了前所未有的挑战。这种挑战来自数据中心内部,因为虚拟化完全颠覆了原有的数据中心架构。这种安全挑战也阻碍了用户对云数据中心的接受度。

“这是因为数据中心虚拟化之后,新增的服务器会虚拟化成多个虚拟机,你无法确定新增加的服务器会运行什么业务,所以无法进行有针对性的安全防护。”刘向明告诉记者。

事实上,数据中心虚拟化所带来的安全困境,根本原因在于网络和安全虚拟化的滞后。“在2000年之后的七八年里,我们一直处在服务器虚拟化和存储虚拟化的阶段,在大概四五年前出现了虚拟交换机,两三年前出现了SDN(软件定义网络)。”刘向明认为,数据中心目前正在从计算、存储虚拟化向网络虚拟化过渡。“这将使网络和计算、存储资源一样变成基础架构虚拟化的一部分,而这种变化将给安全带来了新的契机。”

“为什么这么说呢?因为在传统的虚拟化的架构里面,我们经常考虑的是虚拟机安全,很难去找到边界去进行防护。但是当网络虚拟化之后,虚拟网络自然会产生边界,虚拟网络边界安全为云数据中心安全增加了一个着力点。”刘向明说。

当前安全方案四大局限

对于数据中心虚拟化之后的网络安全解决方案,现在通常有两种做法:一种做法是通过软件的方式,在虚拟机的层面进行安全部署;另外一种做法是在数据中心的入口通过一个设备来实现对整个数据中心的安全控制。“但是这就需要一个容量非常大、性能特别高的硬件设备。”刘向明告诉记者,这两种方式适用于不同的应用场景,但是有些时候,这两种解决方案都存在一些不足。

“没有一个解决方案是完美的。在一些场景中,当前的安全解决方案还存在局限性。”刘向明指出,“一是大型的公有云。它的租户数量庞大,流量也大,现有方案的安全定制化不足,每个用户的安全需求是不一样的,如何给这么多用户提供定制化的安全服务是一个挑战。二是弹性拓展。它的挑战在于安全解决方案能否在用户的新业务上线时,动态地为其提供安全服务;在租户数量大规模增加的时候,也能快速为这些租户提供安全服务。三是安全能否基于服务,即在现有的同一个架构上为用户提供更多的安全服务,而不用调整基础架构。四是安全部署与管理的集成问题。在云数据中心中一定有云的管理系统,而安全解决方案必须跟这些管理系统紧密结合,才能为用户提供一套自动化的安全部署方案。”

面对挑战,刘向明始终在进行思考。“你可以想象一下,在机架中是如何做分布式处理的。通过在交换背板上安装不同的板卡来实现各种扩展。但是众所周知,在一个机架中板卡最多也就是几十个,而在云环境中相应的虚拟机可能是几百个甚至上千个。而且,随着虚拟机的迁移,所有的安全部署都要相应做出调整,这也是云数据中心安全的一个难点。”刘向明告诉记者,“所以山石网科正在研究,如何把传统机架中的分布式处理系统扩展到云环境中,打造真正的分布式的云安全。”

未来的弹性安全网络

篇9

儿童安全教育的资源的使用者主要以成人为主,儿童更多的是接受教育和保护的一方,但随着互联网的发展,中国儿童网民上升情况明显,截至2013年6月底,中国网民中小学及以下、初中学历人群的占比分别为11.2%和36.3%,相比2012年底均有所上升,尤其在初中群体中的升幅较为明显。[1]这表示儿童有越来越多的机会直接使用网络安全教育资源。面向儿童设计的安全教育类网站,对儿童来说,他们对网站认知、理解与应用都有着巨大的差异。因此,网站建设必须从使用者的年龄特点、认知情况和接受能力方面出发,根据儿童的认知发展阶段将网站的受众分为学前儿童用户(7岁以下)、小学儿童用户(7~11岁),初高中儿童用户(12岁~成年)[2],根据不同年龄阶段儿童的心理特征和认知特征定位受众,来保证网站的内容、风格和运营等符合受众需求,从而保证用户的忠诚度和粘性,以确保网站的应用价值。国内外以儿童安全教育为主题的,按以上三个年龄层定位受众的网站较少,美国我的宝贝网(MyPreciousKid:www.mypreciouskid.com/),有专门对7岁以下儿童提供安全资讯和产品的服务;全球儿童安全组织———中国(www.safekidschina.org),即全球儿童安全组织中国分支,其使命是降低14岁以下儿童的意外伤害和死亡。

2支持者———家长、社会、政府

面向支持者的安全教育类网站必须考虑支持者的特征。安全教育的目的是保障儿童安全,这不仅仅是教师的任务,家长、社会、甚至政府的参与都是必不可少的。根据支持者定位受众,往往决定了网站的功能定位。支持者普遍对儿童安全教育网站的需求是获取知识功能和交流功能,如“我的宝贝”网会提供论坛服务,在论坛中大量儿童安全教育的文字、图片、视频资料,无疑在内容和形式上都为儿童安全教育做了推广;社会上的组织机构可以提供一定的儿童安全教育资源,需要网站具有资源和在线专业及技术支持的功能;政府可以提供一定的扶植政策,需要网站具有线上与线下互动的功能。例如,美国国家儿童安全理事会(NCSC:www.nationalchildsafetycouncil.org)就是致力于儿童安全的慈善组织,该组织提供300多类儿童安全教育材料,辅以50多个安全顾问,每年为40多个国家,约6000个公共安全机构和超过16000000儿童提供儿童安全资料。

3实施者———教师

篇10

【关键词】安全评估 私网评估 闭环管理

中图分类号:TP317.1 文献标识码:A 文章编号:1006-1010(2016)18-0062-05

1 背景研究

随着网络规模的不断扩大和网络安全事件的逐年增加,手工加辅助工具方式的传统主机风险评估系统虽然目前运用得较广泛,但是这种半自动的方式工作效率不高且操作麻烦,在这种情况下,实现自动化的安全评估系统成为亟待解决的重要问题[1-2]。同时,随着中国电信安全评估检查工作的不断深化开展,越来越多的业务平台纳入到安全评估的检查范围,而各业务平台普遍存在私网资产,针对这些私网资产的安全评估检查工作对于运维人员来说是一个很大的难题[3]。

1.1 问题分析

在当前的电信网络实际运行环境中,开展安全评估工作主要存在以下方面的问题[4]:

(1)待检查的设备数量多,需要人工参与的评估工作量太大,耗费大量的人力资源;

(2)安全运维流程零散杂乱,无电子化的安全运维流程;

(3)系统评估过程中使用的工具多,需要将各安全评估系统临时接入到各个数据业务系统中进行扫描或采用临时打通通路的方式,这种安全评估方式要在日常维护中定期频繁的实施基本上不可行[5];

(4)缺乏统一安全现状呈现,对于设备安全信息现状和系统整体安全情况只是体现在定期报告中,无安全现状的实时呈现[6]。

1.2 解决思路

山东电信前期已建成SOC(Security Operation Center,安全运营中心)网络安全管理平台,它是一个统一的安全管理中心,协调包括安全评估子系统、异常流量监控子系统、攻击溯源子系统等众多第三方安全子系统在内的联动工作。因此,在SOC平台中嵌入一键式安全扫描评估闭环模块,从安全运维的实际需求出发,为管理、运维、监控人员提供统一的安全自评估平台,全面实现安全评估自动化、日常化、全面化和集中化。通过提高安全评估工作效率,实现安全工作融入日常工作,将各种评估手段结合起来以实现全面评估,同时进行集中化的分析汇总与呈现[7]。

2 技术方案设计

2.1 设计目标

以SOC网络安全管理平台为中枢,建立统一的安全评估管理流程,分别面向监控、维护及管理人员,提供集中化统一的安全评估界面,全面助力一键式自助安全评估工作落地。

2.2 技术方案

(1)评估闭环管理模型

如图1所示,一键式自助安全扫描评估以安全风险管理为核心,通过SOC安全管理平台集中化管理,实现对安全资产的自动化扫描评估,从而达到对安全风险的全面管控,并且与电子运维工单系统对接,将评估结果和整改建议通过工单系统通知到相应的维护责任人,及时对安全漏洞进行整改处置,对于暂时无法整改的漏洞需在SOC平台进行备案说明[8]。

通过一键式自助安全扫描评估,配置不同的任务策略和模板,实现以安全资产或业务系统两种不同维度的任务自动下发,并对扫描评估结果进行统一管理与备案。通过“发现-扫描-评估-整改-复查”的闭环评估法则[9],能够快速发现网络中的未知安全资产,全面扫描安全资产漏洞,清晰定性网络安全风险,并给出修复建议和预防措施,同时将漏洞整改流程固化到系统中,从而在自动化安全评估的基础上实现安全自主掌控[10]。

(2)私网安全评估技术

针对防火墙NAT(Network Address Translation,网络地址转换)后的私网资产无法通过网络直接进行访问,导致远程安全评估无法有效开展的技术难题,通过部署安全私网评估,建立L2TP(Layer 2 Tunneling Protocol,第二层通道协议)安全隧道,远程实现对私网资产的安全扫描。

私网安全评估架构如图2所示。其中,针对私网设备无法实现自动扫描的问题,利用部署在私网平台的机,由机与集中平台(SOC平台)建立通讯通道,通过公网穿透打通集中平台(SOC平台)与私网资产的网络层可达性。机接收集中平台(SOC平台)控制机下发的安全评估指令并转发私网资产;私网资产将安全指令反馈数据返回给机;机上报安全评估指令结果给集中平台(SOC平台)控制机进行备案。整个过程采用心跳机制进行保活。

的角色分为:

SOC平台公共(Public Proxy):部署于中心SOC平台内网,与安全评估子系统同一个子网IP网段;

业务平台分布式本地(Local Proxy):直接通过私网日志采集改造,与业务平台NAT不可达资产都是内网网段。

的作用如下:

隧道协商与建立:各业务平台分布式本地主动向中心SOC平台的外网防火墙进行L2TP隧道协商,协商成功后建立起Hub-and-Spoke的L2TP隧道;

数据流通过隧道Push推送与交互:对于安全评估子系统内扫描工具发起的扫描流量,先到达SOC平台公共,由公共将扫描流量封装进已建立好的L2TP隧道,并转发给业务平台分布式本地,本地收到流量后进行隧道解封,还原内层原始IP包头,将原始扫描流量送到NAT不可达资产上。

通过该方法可有效解决防火墙NAT后不可达资产的自动化安全风险评估问题,且不改变现网的组网架构,业务配置变动实现零配置。通过分布在各业务平台的本地与中心SOC平台的公共进行隧道连接,并通过公共与本地之间的交互,实现扫描流量的转发[11]。

(3)扫描器联动调度

一键式安全扫描评估依托于SOC安全管理平台,由SOC平台与众多第三方安全扫描子系统联动进行扫描,可根据实际应用情况进行相应的接口扩展。通过与安全评估子系统联动的高耦合度,实现日常安全评估工作的任务自动化。

SOC平台扫描器联动调度流程如图3所示。

SOC平台调度分为直连扫描调度和私网扫描调度,具体如下:

直连扫描调度是指扫描器与被扫描设备之间网络可达,直接通过SOC平台调度程序向扫描器发起资产扫描请求,扫描器在扫描完成后再向SOC平台反馈扫描结果;

私网扫描调度是指扫描器与被扫描设备之间网络不可达,需要借助私网评估的VPN(Virtual Private Network,虚拟专用网络)隧道建立连接打通网络后,通过公共和本地间IP扫描报文的传递,把扫描器的IP扫描请求报文发送到私网内的被扫描资产,同时把扫描结果应答传递回扫描器,最后再由扫描器将结果反馈到SOC平台集中展现。

具体步骤如下:

步骤1:通过SOC的安全评估任务计划模块,在计划任务配置时设定扫描资产的私网IP地址段与相关联的本地IP地址(本地的IP地址即通过L2TP建立隧道后拨号获得的唯一地址),通过扫描资产+相关联的本地对,解决私网网段地址重叠问题;

步骤2:可通过预先将扫描工具的网关配置为公共地址,在任务执行时将扫描工具的流量牵引到公共上来;

步骤3:公共的网卡设为混杂模式,捕获到该扫描工具的扫描流量,通过已建立好的L2TP隧道,封装报文后通过L2TP隧道转发给本地;

步骤4:本地将L2TP隧道报头拆除,露出内层的原始扫描报文,并将内层扫描报文的源IP地址修改为本地IP,同时在map映射表中记录下这一映射关系,之后将扫描报文转发给被扫描的最终资产;

步骤5:最终资产收到扫描报文后,根据扫描的内容进行响应,将结果回包给本地;

步骤6:本地收到最终资产的扫描结果回包,命中map映射表的映射关系,将报文的目的IP地址还原为扫描工具的IP地址,并封装报文通过L2TP隧道返回给公共;

步骤7:公共收到此报文后将L2TP隧道报头拆除,露出内层的原始扫描结果返回报文,并转发给扫描工具进行结果分析;

步骤8:扫描工具得到扫描结果报文进行分析,将分析结果上传到SOC平台进行结果备案。

3 现网测试效果

利用“一键自助安全评估功能模块”节省了以往人工安全扫描、基线检查的大量时间,并缩短了评估周期,极大地提高了安全评估工作效率。下面是以部门安全管理员的角色执行一次安全巡检、调度整改的闭环使用过程。

3.1 添加扫描评估任务

在“扫描任务管理”菜单下新增扫描评估任务,按系统提示步骤依次输入扫描周期、扫描方式、扫描设备和扫描范围等信息,完成任务的添加,如图4所示。

3.2 扫描评估任务执行

任务添加完成后,系统会根据任务周期定时开始执行扫描任务,任务执行过程中可通过任务状态查看任务是否执行结束,如图5所示。

3.3 评估任务结果查看

任务执行完成后,在漏洞结果管理中可查看到每个资产需要整改的漏洞信息,双击一条漏洞记录可查看到该漏洞的详细信息,包括漏洞名称、漏洞CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)编号、漏洞描述、漏洞解决方案等,并且还能查看到该漏洞每次扫描的历史状态信息,如图6所示。

3.4 漏洞整改与备案

部门管理员根据漏洞的解决方案对相应的资产进行漏洞整改,整改完成后需要在系统上填写漏洞整改说明,完成漏洞的整改备案,如图7所示。

4 结束语

本文通过研究部署并实现一键式自助安全评估,可极大地提高安全评估的效率,从而提升应对威胁的响应速度。在传统评估方式下,完成一套业务平台全方位的安全评估平均时长是8小时,通过一键式自助安全评估项目的实施,完成同样平台的安全评估仅需要1小时,大大减少了人力成本的投入。同时,通过一键式自助安全评估将日常安全评估工作作为一个周期性的工作流程固化到统一安全管理平台中,有针对性地对存在风险的资产进行定制化的安全评估工作,能够进一步提高评估工作的准确性,从而推动并实现安全评估的自动化、日常化、全面化和集中化。

参考文献:

[1] 汪玉凯. 信息安全是国家安全的当务之急[J]. 中国报道, 2014(122): 2.

[2] 国家互联网应急中心. CNCERT互联网安全威胁报告[R]. 2014.

[3] IP网络安全技术编写组. IP网络安全技术[M]. 北京: 人民邮电出版社, 2008.

[4] 李蔚. 业务安全评估初探[J]. 信息安全与通信保密, 2012(8): 113-115.

[5] 陈涛,高鹏,杜雪涛,等. 运营商业务安全风险评估方法研究[J]. 电信工程技术与标准化, 2013(11): 71-75.

[6] 曹永刚. 电信运营商业务网安全风险评估及防范措施探讨[J]. 电信网技术, 2012(2): 41-44.

[7] 何国锋. 电信运营商在大数据时代的信息安全挑战和机遇探析[J]. 互联网天地, 2014(11): 55-58.

[8] 岳荣,李洪. 探讨移动互联网安全风险及端到端的业务安全评估[J]. 电信科学, 2013(8): 74-79.

[9] 周鸣,常霞. 电信移动业务网络风险评估和安全防护[J]. 信息网络安全, 2013(10): 14-16.