公司网络安全建设方案范文
时间:2024-03-18 17:11:10
导语:如何才能写好一篇公司网络安全建设方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
广州某医院拥有专业技术人员1100余人、床位850张、专业学科43个,现已发展成为集医疗、教学、科研、预防、保健、康复功能于一体的、面向海内外开放的综合性现代化医院。随着信息化的发展,该医院的医疗系统也进入了数字化和信息化时代,大型的数字化医疗设备、各种医院管理信息系统和医疗临床信息系统在医院中得到应用。数字化医疗建设,不但使医院的工作流程发生了变化,同时也对医院信息化建设提出了更高的要求。
目前,该医院已应用了HIS、EMR、LIS、PACS等信息系统,涵盖了医院日常工作流程,比如挂号、诊疗、化验、划价、收费等,同时也覆盖医院各个角落,如病房、药房、医疗设备等。随着电子病历、远程医疗的不断发展,病人在就医过程中的信息将越来越多地以数字化的方式保存在医院的医疗信息系统中。
如何保证这些医疗数据的安全性、有效性,是医院信息系统所面临的、不可回避的问题。
2011年底,该医院新大楼建成,华侨医院的信息网络改造项目也同步启动。这次改造不仅要提高网络与信息系统基础设施建设,而且还将信息系统安全建设纳入其中。该医院的信息安全主管人员清醒地认识到:医院信息系统的正常运行,不仅包含网络、主机设备的正常运行,还包括存储在医院应用系统中的各种数据的安全性和可靠性得到保障。
此前,该医院的信息系统已部署了防火墙、入侵检测系统和网络防病毒系统等安全产品。为了此次新大楼的网络安全改造建设,医院邀请产品供应商和业界优秀的公司共同探讨新信息系统的安全建设方案。该医院希望其安全建设方案能够实现以下功能:既要考虑现有系统的安全、有效运行,又要兼顾华侨医院未来五年的信息化发展。
作为该医院原有信息安全产品供应商,北京冠群金辰软件有限公司(简称冠群金辰)也参与了新信息系统的安全建设,并提出针对该医院的安全解决方案建议。
解决之道
冠群金辰认为,该医院现有信息安全系统中的防火墙、防毒墙、IDS和防病毒的防护架构可以保留,但随着医院新大楼投入使用,网络中的终端节点会增多,网络流量将大幅增长,所以,需要对现有防火墙、IDS等系统进行升级,提升现有防护系统的处理能力,以适应网络提速的要求,保障正常的网络业务运行;同时,针对网络中新增的客户端节点,继续部署防病毒系统和终端安全管理系统,以应对越来越复杂的终端安全防护问题。
针对目前医院网站服务器保护的安全盲点,冠群金辰提出了针对Web网站安全建议:使用专业的网站防护系统采用层次化的Web主动防护技术,对医院网站服务器进行有效防护。
实际上,冠群金辰为该医院提出的网络安全整体解决方案涵盖了从边界、网络到主机,多层次的纵深防御体系。该方案在边界通过防火墙、物理隔离设备将非法访问、病毒、入侵攻击等阻挡在网络外部。在网络层面,该解决方案对网络中的流量进行检测,查找正在发生或将要发生的网络攻击,并及时采取措施,比如报警、阻断、记录等。
对于网络安全中常见的病毒、信息泄露等安全威胁,该方案中的防病毒软件和终端安全管理系统为主机系统提供了基本的安全保障。
冠群金辰为此方案提供了KILL系列安全产品,即KILL防火墙、KILL入侵检测系统、KILL上网行为管理系统、KILL防毒墙、KILL网络防病毒系统、KILL终端安全管理系统和KILL Web安全网关,为该医院的网络构筑了一个多层次的安全防护体系。从网络访问控制、流量控制、入侵攻击、病毒查杀、终端准入和Web防护等方面,该方案对该医院的网络提供全面的安全保护。
篇2
数据显示,截至2020年3月,我国43.6%的网民过去半年上网过程中遇到过网络安全问题,其中遭遇个人信息泄露问题占比最高。另有数据显示,以银行为代表的金融机构面临的风险成本最为高昂。
完备的法律无疑是数据安全的最强大屏障。目前,我国网络安全相关法律正在加紧制定。除了《民法总则》规定了对个人信息和数据进行保护外,近年来,我国还出台了《网络安全法》,该法于2017年6月1日起正式施行,是我国第一部全面规范网络空间安全管理方面的基础性法律,以此为基础的《个人信息保护法》(尚在制订中)、《数据安全法》(9月1日施行)等专项法规将陆续实施。
防范和降低网络风险,除了立法制约,还有什么方式和手段?随着数字经济的发展,欧美等国家已充分认识到防范网络安全风险的重要性,随着认识的逐渐成熟,相应的网络安全保险发展迅速。作为风险损失分摊的有效工具,网络安全保险可帮助企业转移潜在的不确定风险。欧美的成熟市场已将网络安全保险产品作为重要的风险管理手段,通过保险产品来分散和转移残余风险,补偿被保险人因网络安全事件所引发的重大经济损失,为涉事方提供恢复和补偿机制,协助其恢复正常运营,提高抵御网络安全事件的“韧性”。
相比国外较为成熟的网络安全保险市场,我国网络安全保险市场仍处于起步阶段。目前国内有人保、国寿、平安、太保在内的大型保险公司和一些再保险公司能够提供网络安全保险的相关产品和承保能力。52021年是“十四五”规划的开局之年,无论是国家还是地方,都在助推数字化转型中的网络安全建设,由此来看,网络安全保险的市场空间巨大。根据慕尼黑再保险的预计,到2025年,全球网络安全保险市场规模将达到约200亿美元。
网络安全保险是对网络空间的不确定性进行承保,保险公司承保前十分注重核保风险评估,这一过程需要大量的准备工作,以此来决定是否承保,并制定合理的价格。在此背景下,如果投保企业想要获得承保资格,以及更优惠的价格,就必须实施有效的网络安全措施。例如被保险人的组织架构、制度体系、技术措施等,这也进一步促使企业重视“内生安全”,全方面提高企业网络风险防范水平,助力企业网络安全建设。
网络安全保险不仅仅是保险公司提供的一个简单的保险产品,还需要提供相应的服务与之匹配。在国外,保险公司会根据投保企业的网络安全风险管理需求,为其提供一揽子、全周期管理方案,包括承保后的风险管理服务,险情出现后的应急响应服务,以及日常网络安全维护等服务。
我国网络安全保险市场尚未成熟,保险公司若仅凭自身资源,无力闭环防范网络风险,更缺乏基于大数据的风险模型设定与资源匹配的行业指导及规范。因此,往往需要再保险公司和科技公司介入,在数据积累、资源整合、技术研发等多方面发挥优势。
篇3
关键词:中小企业;信息安全;防火墙;VPN
1背景目前
我国很多中小企业都开始广泛使用信息化手段提升自身的竞争力,借助信息化,企业可以更有效地管理资源,优化组合,提高企业运营效率,帮助企业更快的了解市场行情,促进企业发展。但与此同时信息安全问题也日益突出,每年企业因信息系统的安全问题而遭受经济损失难以估量。本文针对太仓中小企业网络信息安全现状进行深入调研,走访企业了解企业网络信息安全的配置情况,可能存在的问题,然后根据现有的网络安全技术和手段帮助企业解决问题,以满足企业需求、投入资金少、专业技术管理人员投入少为需求给出解决策略,避免因信息安全问题造成的经济损失。
2中小企业网络信息安全现状研究
经调研分析,目前中小企业大致可以分为两类,一类是国内企业,一类是外企也就是总部在国外,国内有分公司或者工厂。总的来说,所有的中小企业都有自己的计算机网络、典型应用系统如办公自动化系统、信息查询系统、web应用、邮件服务、财务和人事系统等。根据中小企业计算机网络应用特点,一般需要保证数据具有实时性、机密性、安全性、完整性、可用性和不可抵赖性。太仓中小企业众多,光德资企业就有200多家。企业的产品信息、业务数据、销售订单都需要利用信息化系统进行处理,有的甚至需要大数据平台分析处理,那么信息系统的安全性也是尤为突出的一个问题。对太仓中小企业而言,构建一个安全、可靠的IT系统是关系到企业能否适合时代新技术,健康良好快速发展的关键因素之一。太仓众多外企总部都在国外,因此总公司和分公司之间需要经常传输大量的数据,其中包括很多重要甚至机密的数据,对于数据传输的保密性、完整性要求更高。针对这些特点目前中小型企业网络存在的主要安全问题有:
1)弱口令造成信息泄露威胁目前中小企业使用的各类系统较多,包括邮件、ERP、内部OA系统、电子商务系统等。面对众多的系统,员工要设置各类密码,非常麻烦,所以基本都会设置简单的便于记忆的弱口令,而且很多系统都设置相同的密码,长期不对密码进行更改,这样就很容易造成密码泄露,一旦成功入侵企业内部网络,就很容易窃取到密码非法进入系统获取资料。
2)网络病毒威胁中小型企业员工一般都是单独使用计算机,并且所有计算机都可以访问互联网,员工根据自己的情况自行安装防病毒系统,由于员工对病毒预防知识和防病毒软件的使用方法掌握情况不同,如果不能正确安装使用防病毒软件,一台计算机感染病毒很快就传播到企业内部的多台计算机,甚至导致企业内部网络瘫痪。
3)企业主干网络没有划分VLAN中小型企业网络系统中,由于网络规模小,没有专业网络设计维护人员,为了省事和方便,很多企业的系统没有划分VLAN或者没有按要求细化,造成同一广播域中计算机数量过多,容易造成广播风暴和网络带宽严重浪费。
4)无线网络密码泄露无线网络的方便快捷使得它在企业中的应用快速发展起来,一般企业公司都在工作区域安装无线路由器等无线设备,方便公司员工及外来人员进入公司内部网络或者互联网。但由于无线密码设置简单,很容易被破译。互联网上的攻击者可以通过破译无线密码,轻松进入到公司内部网络,从而造成公司信息泄露。
5)移动终端安全隐患随着3G时代的到来,公司企业员工使用移动设备连接公司网络,因此由移动终端设备带来的安全隐患也不可避免。对于企业IT部门而言,移动设备已成为网络安全的一个致命弱点,因为通过电子邮件、彩信、蓝牙等方式传播的病毒很容易对企业内网安全造成危害。
3中小企业网络信息安全解决策略研究
中小企业对信息安全的需求主要是保障公司网站稳定运行、避免商业机密被窃取、企业信息被恶意篡改,因此网络安全解决方案的可用性是中小企业首要考虑的问题,只有网络安全设备正常可用,才能保护企业网络安全。其次,中小企业规模小,资金不足,网络安全管理人才缺乏,安全解决方案的易用性也是企业必须考虑的因素,使用简单有效的方法提高企业网络安全,减少企业在资金、专业管理人才的投入同时又能保障公司网络信息安全。移动互联、大数据、云计算环境下,针对企业各类服务和后台系统建议找专业网络公司托管,这类公司有专业的网关、防火墙、入侵检测系统,能够为企业各类服务提供安全保障,这样中小企业也无需在花大量的资金自己购买这类安全设备、专业人员培训等,大大减轻了公司服务器管理和维护压力。针对目前存在的安全问题,给出以下安全策略:
1)加强企业员工网络安全管理中小企业所有的系统口令包括员工设置登陆口令必须按照操作系统密码复杂性要求设置,至少8位字符,其中要包括字母大写、小写、数字、特殊符号中三种情况以上,由企业系统管理员或者网络管理员设置密码失效时间,规定在一定时间内必须更新密码,用简单切实可行的方法建立第一道安全大门。
2)加强企业网络入侵防范中小企业可以利用防火墙加强企业网络入侵防范,实现企业内外网隔离,主要设置网络边界出口链路带宽要求、数量等情况,IP地址规划对防火墙地址转换的需求。通过防火墙的认证机制,过滤访问网络数据。通过防火墙权限设置,严格审核外网用户的非法登录,定期查看防火墙日志文件,对有攻击性的网络访问行为进行警告。
3)VPN策略一般公司都需要连接互联网,特别是针对太仓德资外企来说与德国总部公司通信安全性是非常重要的,可以采用SSLVPN策略。SSLVPN使用浏览器内建的安全通道封包处理功能,用浏览器连回公司内部SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。中小企业的远程访问环境变化较大,SSLVPN不需要安装客户端软件远程用户,远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。企业可在较短时间内部署完SSLVPN,因此其部署和实施成本较低,其次SSLVPN还提高了平台的灵活性方便扩展应用和增强性能,对中小企业而言可以降低使用成本,最有效地保护投资。
4)无线网络安全策略对于中小企业,建议选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值,指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能。在网络上,针对全部用户使用一致的授权规则,在不会被轻易损坏的位置部署硬件。正确全面使用WEP机制来实现保密目标与共享密钥认证功能,通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本来试图破解密钥流。其次必须在每个客户端和每个AP上实现WEP才能起作用,不使用预先定义的WEP密钥,避免使用缺省选项。密钥由用户来设定,并且能够经常更改,最后要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。
5)移动终端安全策略为了避免移动终端携带病毒连接到企业内网中,确保移动终端如智能手机、ipad、移动笔记本安装杀毒软件、防火墙并定期对移动设备进行系统漏洞补丁和更新,定期扫描杀毒,特别不要随意打开、下载不确定的邮件、链接和彩信,以免中木马病毒。如果一旦中毒,应该立刻断网,进行杀毒或者更新系统,以免木马病毒通过无线网络传播企业内部网络。
4结束语
通过深入太仓中小企业调研,了解企业的网络信息安全现状及存在问题,结合网络信息安全建设方案,从物理安全、计算机硬件软件安全、网络体系结构安全、病毒防范、入侵检查、防火墙配置、信息系统运行维护等方面给出切实可行的网络信息安全建设方案,有针对性对太仓中小企业网络信息安全建设策略研究。参考文献:[1]冯运仿.基于防水墙系统的中小企业信息安全策略[J].安防科技,2006(9):57-58.
[2]周伟.电子商务信息安全技术浅议[J].农业网络信息,2007(4):95-96.
[3]项菲,林山.中小企业信息安全策略研究[J].电脑知识与技术,2009(5):325-326.
[4]赵向梅,杜晓春,侯亚玲.中小企业网络安全问题和策略研究[J].电子测试,2014(6):134-135.
[5]邵琳,刘源.浅谈企业网络安全问题及其对策[J].科技传播,2010(10):207-208.
[6]王锋.关于企业网络安全问题的探讨[J].电脑知识与技术,2010(19):207-208.
[7]刘建伟.企业网络安全问题探讨[J].甘肃科技,2006(5):62-63.
篇4
创业初期:把握机遇走自己的路
1995年,网络开始涉足中国市场,网络安全市场当时在国外也是一个新兴的市场,国内更是一片空白。北京天融信公司的前身――北京天融信技贸有限责任公司在中关村挂牌,成为中国首家网络安全公司。
1996年,随着网络安全产品市场需求量的增大,以及国家对信息网络安全要求的政策出台,国内鼓励厂商自主研发安全产品。天融信紧紧抓住并牢牢把握重要机遇,克服重重困难,推出了我国第一套自主版权的防火墙系统,并被应用于政府的首个网络安全项目、也是当时最大的安全项目――国家统计局600万元安全系统集成项目。就此,这家当时瞄准了防火墙市场的国内安全厂商,开始顺利踏上信息安全之路并进入国产网络安全产品厂商前列。
“我是在1997年11月,一个偶然的机会进入到北京天融信公司的,那时对防火墙还是一无所知,也没有想着在这个公司长远发展下去。因为我的专业是学金属材料专业――计算机模拟计算,只是因为对计算机行业的一点兴趣以及希望有新的机会,能将所从事的研究工作进行转型,便进入了天融信公司。”于海波简单地做了自我介绍。
据记者了解,天融信公司是属于当时将产品尽快推向市场并得到应用最好的企业之一。主要产品是防火墙,该防火墙于1996年6月研制成功,属我国第一套具有自主知识版权的防火墙系统,并通过国家安全部与电子工业部联合主持的技术鉴定,填补了国内空白。国务院信息办在1997年12月还曾将天融信防火墙列为重点安全项目向全国推广。“我当时进入网络安全行业可以说对网络安全的了解是一片空白。”于海波说,“1999年前,我国的信息安全产业基本处于萌芽状态,专业从事信息安全的国内厂商可谓凤毛麟角,防火墙厂商只有天融信等几家,防病毒厂商主要包括瑞星、江民等,用户基本上不知道什么是防火墙、甚至什么是信息安全,信息安全产品以单机版杀毒软件为主”。
可见,早在当年天融信决定进入网络安全行业时,天融信就在技术、研发方面走出了自己的路。随着国内信息安全市场的需求逐渐明确,防病毒、防火墙已经成为信息系统事实上的标准配置产品。防病毒、防火墙、IDS是我国信息安全市场的支柱型产品,入侵检测(IDS)和VPN的需求上升最快,物理隔离网闸、身份认证和安全管理平台的需求也有较大幅度提高。政府上网工程、网上审批工程、电子政务工程和12大“金”字工程的实施,将政府内部网、企业内网、电子商务网与Internet互联是必须的功能,因此防“黑客”入侵攻击是信息安全的重要任务,而内外网边界安全设备的防火墙更成了需求热点。由于市场对防火墙需求强劲,与此配套使用的其他安全类产品自然也“热”起来了,成为新的需求亮点。
成长期:重视渠道和创新,打造民族品牌
2001-2003年,是我国信息安全产业的成长期,国内的信息安全厂商与用户共同成长;主流厂商密切跟踪、学习,并逐步掌握国际最新技术;用户深入了解信息安全技术,国产品牌产品得到认可;多种信息安全产品面世,“联动”成为安全产品走向。
这期间,天融信公司根据各地不断增长的安全需求,也开始了地方分支机构的建设。于海波告诉记者,他曾于2001年初,被派到广州负责分公司建设。从最初的2个人发展到现在的50多人,从最初的几百万销售额发展到2003年的3000多万的销售额。
在整个信息安全产业方面,用户对信息安全的多样化需求、个性化需求,极大地促进了国内安全厂商的发展,同时也使国内厂商逐步掌握了国际最新技术。2000年,国外信息安全产品占据大部分市场份额,但由于是进口产品,不能在国内进行技术上的快速变更满足国内用户的需求,使得更多的用户转向使用国产安全产品。如天融信开发的NGFW3000有很多功能是根据国内用户的需求开发定制的。之后,2002年推出的NGFW4000,创新性地使用了会话检测技术,极大地提高了防火墙的性能以及过滤的内容深度。
随着诸多国内、国际信息安全厂商进入国内市场并加大投入力度以及政府的扶持,国产信息安全产品与品牌得到普遍认可,使国内网络安全市场规模快速增长,年复合增长率平均达到40%左右。到2003年,总体信息安全产品市场规模已经达到20亿人民币。同时从2000年至2003年,天融信公司连续四年市场份额均居国内安全厂商之首,同时还联合多家国内知名安全厂商,共同倡导推广TopSEC联动网络安全解决方案,为用户构造了一个以防火墙为中心的联动的集成防御体系。
2004年,虽然我国的信息安全产业继续快速发展,使国内用户的需求发生了变化,即“需求的整合”。主要表现在:企业的安全建设从“被动防御”向“主动防御”过渡,即企业从发现问题后再修补的“产品叠加型”防御方式向“以风险管理”为核心的主动防御过渡;安全产品从“孤立的产品形式”向“集中管理”过渡。
面对市场和用户需求的变化,天融信的对策首先是围绕“完全你的安全”,打造全线的网络安全产品、全程的专业安全服务和全面的安全解决方案。到目前为止,天融信已经拥有了网络卫士防火墙、网络卫士VPN、网络卫士入侵检测系统、网络卫士过滤网关、TOPSEC安全审计综合分析系统、网络卫士综合管理系统等6大系列近20多款安全产品与安全应用系统,可以充分满足不同用户的应用需求。
于海波认为,信息安全行业是个来不得半点虚假的行业,“水分太多”,一定程度上会误导用户。网络系统安全必须是整体的、动态的。用户可以通过选择优秀的产品和服务构建一个完整的解决方案,要使优秀产品、服务等环节形成整体的安全策略。另外,必须有统一的、动态的安全策略,一个相互联动的、高效的整体安全解决方案,于是天融信全力推出了以“完全你的安全”为基础的全网整体解决方案,从技术、管理、运行三个层面帮助用户搭建一个安全管理、监控、检测、加固、优化、审计、维护安全平台。
结语
篇5
[关键词] 网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(Chip Operating System)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。
2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
(1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
(3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
(4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
3.动态口令身份认证系统
动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。
4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。
通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。
SJW-22网络密码机系统组成
网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。
本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。
中心管理器(软件):是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。
6.安全审计系统
根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。
安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。
汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。
①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。
②监视键盘:在用户指定的时间段内,截获Host Sensor Program用户的所有键盘输入,用户实时控制键盘截获的开始和结束。
③监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或挂断连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:TCP, UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。
单位内网中安全审计系统采集的数据来源于安全计算机,所以应在安全计算机安装主机传感器,保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台,需要安装600个传感器。
7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。
根据网络流量和保护数据的重要程度,选择IDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。
8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。
联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案,应建立在对网络风险分析的基础上,结合系统的实际应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固化为一个模式,用这个模子去套所有的信息系统。
本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、立体的、多层次的网络安全防御体系。
参考文献:
[1]吴若松:新的网络威胁无处不在[J].信息安全与通信保密,2005年12期
[2]唐朝京张权张森强:有组织的网络攻击行为结果的建模[J].信息与电子工程,2003年2期
篇6
据相关人士透露,大数据安全整治将全面对我国大数据信息内容、存储位置、所涉企业进行摸底。同时,对企业采集信息来源开展执法检查,对数据采集的合法性、应用的范围限制等进行确定。
上述人士表示,大数据安全整治检查中一项重点工作是对合法采集内容与非法采集内容进行分类。其中,对于非法采集信息,将进行集中打击、销毁;对合法、合规采集的信息,则纳入保护监管范围。
公安部网络安全保卫局总工程师郭启全在接受《经济参考报》记者采访时表示,大数据安全整治是我国近期正在开展的全国网络安全执法大检查行动中的重要内容,这也是首次将大数据安全纳入检查对象,尤其是针对公民个人信息的保护将是执法的重中之重。
“现阶段大数据安全是网络安全问题中最为突出的,也是与公民个人关系最为紧密的。其不仅会影响国家安全、政治安全、军事安全,还会影响企业商业利益、公民的生命安全。”郭启全说。
当前中国网民规模已达数亿人,大数据的汇集不可避免地加大了公民个人信息和隐私数据信息泄露的风险。这个庞大的网络群体每天在网上买卖商品、缴费、发邮件、聊天、存取资料等等,其中本来很多应是私密信息,但实际上被部分企业或个人采集,甚至关联分析和挖掘出公民个人身份、账户、位置、轨迹等敏感或隐私信息。
郭启全指出,一方面是大数据集中后,给非法势力攻击、窃取大量信息提供了便利,另一方面,则是相关企业打擦边球获得数据,采集公民个人信息,非法对用户精准画像。他举例说,在某平台进行购物,大数据技术会通过人们的网络活动采集信息,如手机用户的身份信息、手机号码、地址、网络搜索痕迹、手机软件的实时定位以及社交动态等。
随着信息涉网量的增加,数据泄露问题就越发明显。数字安全研究公司金雅拓的数据显示,2017年仅上半年被盗数据多达19亿条,已超过2016年全年被盗数据的总量,平均每天有1050万条记录被盗。
“互联网企业未来也可能成为检查的重点对象。”公安部第一研究所副主任,中央网信办网络应急组专家胡光俊表示,因为互联网企业涉及个人信息越来越多,互联网企业将成“关键信息基础设施”的另一种主体存在。
郭启全表示,在对大数据安全本身进行检查的同时,还需把控信息储存硬件、信息通道等信息集聚资产的安全。
目前,为摸底我国相关信息网络安全情况,我国正开展为期半年的网络安全执法大检查,其中就包括全面排要信息系统、关键信息基础设施和大数据安全保护状况,摸清风险,堵塞漏洞,落实责任,深入实施国家网络安全等级保护制度,全面提高网络安全保障能力和防护水平,严厉打击入侵破坏计算机信息系统、侵犯公民个人信息等网络黑产。
胡光俊说,此次检查将借助我国自主研发的D01检查工具箱,可对关键信息基础设施进行快速摸底,包括未管理、无归属的资产与服务,同时进行漏洞的扫描,将本需数天甚至数十天的工作量压缩至数小时内进行,大幅提高效率,实现对风险的精准定位,圈定漏洞影响范围,及时进行通报与处置。
篇7
随着企业信息化程度的不断提高,采用IP技术构建覆盖全国的、技术先进、功能齐全、面向企业内部应用提供服务的综合数据通信网(DCN网),逐步成为企业应用趋势。
目前,省内DCN网络的应用主要包括长途网管系统、七号信令系统、电路调度系统、传输综合网管、本地网管系统、168系统、九七系统、智能网记费、资源管理系统、客服系统、联机计费采集系统、IP综合网管系统、交换接入网综合网管系统、新九七系统等。而随着信息化系统整合,Internet和合作伙伴等也会接入到网络中,随着DCN网络信息资产价值的提高,其重要性和安全问题日益显现出来。整体而言,DCN网络正面临着恶意软件攻击、内部员工误用、黑客入侵破坏等安全威胁,要建立安全的DCN网,必须满足一些前提条件。
安全需求具有明显特点
DCN网络分为两层结构:省干核心层和地市汇聚层。全省共设置了1个省中心节点、若干个地市中心节点。
DCN网络存在的安全问题主要集中在以下几个方面:组网方式随意性很强;网络区域之间边界不清晰,互通控制管理难度大、效果差,攻击容易扩散;安全防护手段部署原则不明确,已有设备也没有很好地发挥作用;网络资源比较分散,关键数据分散管理,部分通信资源无法共享;扩展性差,网络层次不清晰,会导致扩展性问题;非均匀的网络分布。
作为内部支撑业务的“数据通信网”,DCN网络与其他网络的安全需求相比存在着明显的特点。
可用性,可控性需求。作为内部承载网络,DCN网络的可用性需求是最重要的安全需求,由于DCN网络的特点,公共网络那种以扩大资源(带宽、设备处理能力)为主的处理方式很明显不适合DCN网络的具体情况。例如,病毒泛滥,蠕虫传播的情况,由于端接入点不可控,采取很具体的控制手段往往是通过增加资源首先保证可用的方式来解决。但对于DCN网络,由于全网所有节点都在可控范围内,可以方便地采用技术手段和管理手段实现更精细,更有效的可用性管理。
可操作性需求。DCN网络覆盖面广,承载业务系统繁多,情况千差万别,要搞好这个系统的安全建设工作,可操作性是目前需要考虑的一个重要问题,没有可操作性,任何建设方案,建设思路都将流于形式。
面临三大安全威胁
DCN网络中的主要威胁除了物理攻击破坏外,主要包括恶意软件攻击、内部员工误用、黑客入侵破坏等三大类,具体描述如下。
1. 物理攻击和破坏
物理攻击和破坏主要针对DCN的基础平台而言,对基础平台内重要的网络设备、通信链路进行的攻击和破坏,威胁的形式表现为物理临近攻击。威胁的主体包括DCN内部和外部的破坏者,破坏网络设备使之无法正常提供服务;侵占网络链路资源,使DCN网络有限的带宽资源被无目的地浪费等。
2.病毒、蠕虫和恶意代码
这种威胁主要针对DCN的应用。随着计算机技术的发展和网络互联范围的扩大,计算机病毒制造技术也在不断地翻新和发展,传播方式也有了很大的变化。病毒的发作具有高发性、变异性、破坏力强等特点,在短短的时间内可以迅速传播、蔓延,导致计算机网络瘫痪,造成DCN网重要数据的丢失。
与此同时,还出现了许多具有攻击性的黑客程序和其他破坏程序。这些有害的程序都是利用计算机网络的技术进行传播和破坏,使传统的病毒防范技术难以防范,大规模蠕虫病毒对网络资源造成很大的侵占,使系统无法正常支撑业务的运作,严重的将导致整个系统的崩溃。
防范的主要目标是:能够掌握DCN网络、数据中心的资产信息和运行状态,每月提供全省病毒攻击相关安全事件统计数据报告;能够对省属DCN网络、信息系统的漏洞和威胁进行评估,明确当前省属DCN网络和信息系统存在的风险和被病毒攻击的可能性,并及时做好加固工作;能够对省属DCN关键节点网络流量进行监控,对病毒等造成的流量异常进行及时响应,快速定位并隔离病毒源头;能够通过对网络设备和安全设备的日志和告警事件的关联分析,在病毒爆发初期快速定位并隔离病毒源头;能够在接收到安全通告12小时内向各地市安全通告;在病毒爆发时,能够快速定位接入局域网接入位置,提高安全响应时间。
3.垃圾邮件
电子邮件的兴起,实现了方便的信息交互和沟通,也为各种攻击提供了新的传播手段。典型的基于电子邮件的攻击就是垃圾邮件,这些垃圾邮件利用邮箱内的地址簿,自我进行复制和传播,从而在网络内形成大量的邮件风暴,而阻碍了正常邮件的发送,甚至引起网络阻塞,影响其他正常业务数据的交互。
4.内部员工误用、滥用和误操作
内部员工在使用计算机过程中的一些不当行为,很容易使DCN网遭到外来的攻击和破坏。比如,下载一些带有病毒的文件,造成病毒的传播;对业务系统进行误操作,造成业务系统宕机;被植入木马,从而形成跳板去攻击DCN其他网络资源;对数据滥用,造成重要的信息外泄,使重要机密数据被窃取。
一般地,内部员工误用、滥用资源和对设备的误操作,无论是无意的还是有意的,都将给攻击者可乘之机。这种行为会给DCN网带来一些明显的后果:DCN网机密泄漏和关键数据丢失;误操作导致计算机系统瘫痪、影响业务正常运行;误用和滥用导致业务的不稳定、被攻击的可能性增大。
针对此类行为的关键策略是采取集中认证和访问控制、行为审计等措施进行防范,能够建立省中心网络集中认证授权(AAA)管理系统,统一用户的账号口令管理、统一认证,并能够对关键网络设备的访问和操作进行审计等。
5.蓄意破坏
指一些有组织、有预谋的破坏行为。包括采取物理临近攻击,进入DCN网络而获得商业秘密,使机密数据被窃取;针对DCN网络重要网络设备、重要业务服务器进行暴力攻击,影响关键业务的持续运行;针对DCN网络对外提供服务的设备进行拒绝服务攻击,中断其正常服务的提供,对业务的正常开展造成威胁等。
可以采取的措施主要包括:能够在省属DCN关键链路和关键节点有相应冗余措施;能够对省属关键网络设备的访问和操作进行审计;出现安全事件和故障能够快速定位。
6.黑客攻击和非法入侵
指外部黑客对DCN网络进行的强制攻击行为,攻击者往往利用DCN网络的弱点,获取访问权限,并利用访问权限获得对DCN信息资产的控制,从而进行进一步的攻击行为,破坏系统的机密性、完整性和可用性,造成系统的崩溃。
防范攻击的目标为:掌握DCN网络、数据中心的资产信息和运行状态,提供遭受入侵攻击和安全事件相关统计数据报告;对DCN资产的漏洞和威胁进行评估,明确当前DCN存在的风险和被攻击的可能性,并及时做好加固工作;对省公司与集团总部数据中心接口、Internet 出入口处、合作伙伴接入点进行监控,对内部黑客攻击和非常入侵等造成的流量异常进行及时响应,能够快速定位攻击源,及时切断攻击行为;对网络的攻击行为进行记录和审计;能获得最新的漏洞报告,并能在全网。
满足三大前提条件
保证网络安全必须有一定的前提条件,主要包括边界整合和安全域划分、出口规划及控制、业务层面的隔离三个方面。
1. 边界整合和安全域划分
DCN网的边界包括外部边界和内部系统之间的边界。外部边界包括与Internet的接口、上下区域之间的接口,内部边界是指各业务系统之间的边界。
在省层面,与外界的接口原则上由省的统一节点管理,并设置严格的安全控制策略。所有对外接口原则上设置在省公司,在地市公司层面,和其他网络没有连接。在CE层实现MPLS VPN控制。在PE层实现Internet的出入口,在业务网的互联区采用边界防火墙进行隔离。
2.DCN网的Internet出口规划及控制
DCN网络根据业务发展的需要应该进行Internet接口的整合,统一DCN网的互联网出口。在确定Internet接入的情况下,在Internet接口处部署防火墙设备。
而在Internet出口处部署防火墙必须能够做到:采用状态检测的机制实现;对常见应用采用机制,防止反向连接的木马攻击程序;防火墙本身应能实现HA和Load Balance;在DCN网接入Internet接口处,除了采用防火墙这种通用的、常见的措施外,还应采用IPS(入侵防御)技术/产品和防火墙配合使用。
3.DCN承载业务层面的隔离措施
BSS、OSS和MSS在纵向(集团-省公司-地市公司)、跨DCN骨干网的传输上采用MPLS VPN方式针对不同业务系统进行封包,确保在不同的VPN通道中传输不同业务系统。
如果BSS、OSS和MSS系统在横向上同处一个本地网中,则采用路由控制配合其他安全方式来进行安全防护。
4.VPN实现隔离
各地市节点的路由器用作PE(即SPE),组成一个逻辑PE节点(HoPE)。在DCN网络上形成多个这样的逻辑PE,逻辑PE之间通过MP-BGP协议交换VPN路由信息,省中心两台核心路由器设置VPN路由反射器(VRR)。逻辑PE内部,SPE和UPE之间运行扩展的MP-BGP协议,交换本地VPN路由信息。
5.业务系统互访
实现子系统之间受控互访,可以有两种方式:利用BGP MPLS VPN提供了extranet VPN的方式,可以方便地控制不同VPN之间的互访,而且互访受到严格的控制;利用VPN内部的路由器(或者防火墙)做地址过滤、报文过滤等。
完善安全建设思路
针对前面分析的DCN网中主要的三种威胁和三类前提条件,DCN安全建设的主要思路应具体包括以下几个方面。
1. DCN网关键资产保护
DCN网的关键资产就是网络设备(包括交换机、路由器等)和主机系统,为了提供对关键资产的安全保障,目前最有效和安全性最高的就是采用安全加固措施,对重要资产进行安全评估后,进行技术性的加固,才能很好地将数据库安全保障达到最可靠的安全等级。
2.防火墙产品部署
在各个通向其它系统或区域的链路上通过防火墙实现边界保护,控制各个区域间的访问和信息流。防火墙根据实际业务情况依据“一切未明确允许的访问都禁止”的原则详细配置访问策略,只允许授权地址访问,过滤两个区域之间的通信量和堵塞未授权访问。
3.IDS产品部署
采用分级部署方式,在省和地市两级分别部署入侵检测探测器和控制台,实现分级分权的监控和管理。
4.漏洞扫描产品部署
采用分级部署方式,在省公司和地市两级部署无IP地址限制的漏洞扫描设备,实现多级的漏洞扫描,以达到了解整个DCN省网的安全现状。
省网方面,考虑到DCN省网范围需要检测的设备较多,使用一台无IP限制的设备。在省网管中心建立一级远程评估中心,负责DCN省网的脆弱性分析和汇总各个地市的评估数据;地市网方面,则由于各个地市的信息系统规模情况不太一致,在规模较大的地市公司网使用无检测IP限制的设备,与省网形成多级部署。在规模较大地市公司建立二级远程评估中心,负责DCN地市网络的脆弱性评估分析和上报工作
通过IDS产品与漏洞扫描产品的联动操作,可以有效地针对保护资产的脆弱性进行安全防护。
5.防DoS攻击产品部署
在DCN省网骨干和各重要业务系统中采用不同的部署方式,从不同方面进行保护。在骨干网采用旁路流量牵引方式进行部署,主要作用是滤除大部分的攻击流量,减少骨干网络带宽占用,避免网络阻塞,针对于流量型DoS攻击。同时在对外提供服务的重要业务系统出口处串接部署,主要作用是保护内部业务系统完全免受攻击,彻底防御各个层次的DoS,针对于协议缺陷型DoS攻击。
6.流量分析产品部署
通过流量分析产品的部署,能够对整体DCN网络的安全趋势进行预测与跟踪,并针对全网范围内的实时统计数据进行安全方面的数据挖掘,从而有效地对DCN网络的运行情况和安全状况进行监测。在发生网络运行或安全事件时,根据产品内置策略或者管理员指定的方法,第一时间内自动告警,进一步协助管理员分析问题的影响范围。
7.双因素认证、防病毒、补丁管理部署
静态口令存在很多缺陷,容易被人猜测或通过交际工程学等途径获取,输入口令时容易被人窥视和被很多工具破解,通过实施双因素认证,增加第二个物理认证因素,从而使认证的确定性按指数级递增,提升资源保护的安全级别,可防止机密数据、内部应用等重要资源被非法访问。
由于在网络环境下计算机病毒有不可估量的威胁性和破坏力,特别是对于Windows操作系统,比较容易感染病毒,因此病毒的防范也是信息系统安全建设中应该考虑的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术。
在省中心,可以采用一台或多台服务器,安装相应软件后,作为双因素认证服务器、防病毒服务器、补丁管理服务器,实现相应的安全功能,提高DCN网安全性。
建立安全管理中心
对于安全建设而言,主要包括安全组织、安全技术、安全运作、安全策略等方面,单从安全技术而言,太少的安全设备和太多的安全设备一样存在着比较大的问题,特别是安全设备布放多的情况下,产生了大量的告警,使网络变得非常复杂,同时也会使管理人员无所适从。具体框架如图所示。从长远来看,SOC中心的建设成为安全建设的主要发展方向,从而使企业的网络管理向网管中心和安全中心的双中心方向发展。
在安全建设过程中,通常采用不同厂商的安全产品和方案,并引入了相当多异构的安全技术。而来源于防火墙、入侵检测、防病毒等安全设备的事件随着网络的发展,在一个中等规模的网络上就可以形成海量安全事件,这些事件中又存在非常多的误报和重复现象,技术人员在维护网络系统时,不能清楚了解网络系统当前的隐患和状态,分别处理了大量信息工作却效果有限。
篇8
南京翔晟信息技术有限公司所研发的商用密码产品——基于PKI的电子签章具有独立自主的知识产权,完全符合《中华人民共和国电子签名法》等各项法律条文及国家商用密码管理局的各项规定,是在国务院颁布的“中华人民共和国计算机信息系统安全保护条例”和公安部颁布的“计算机信息网络安全保护管理办法”的框架下特制开发的。
南京翔晟的产品已在各互联网领域得到了广泛的运用,目前,公司针对不同行业和领域的特殊性,把产品进行了细化,已有针对性地为广大消费者提出了完美的技术解决方案。
自2009年公司成立以来,公司已成为“江苏省软件”企业,其电子签章产品已在全国近20多个省100多个地级以上城市的电子招投标平台上投入使用,累积了约20多万的终端客户量,并获得广泛好评。
南京翔晟相继获得了《公安部销售许可证书》、《国家保密局检测证书》、《商用密码证书》、《软件产品证书》、《软件企业证书》、《军用信息安全产品资质》、《技术贸易证书》等十多个资质,并取得了十几项专利及著作权。雄厚的软件技术研发实力和卓越周到的服务水平,为我公司的商用密码产品在国内市场的推广和销售打下了坚实的基础。
南京翔晟信息技术有限公司拥有一支勇于创新的研发队伍,凭借着自身雄厚的技术实力、领先的产品性能以及超前的服务意识先后与国内各大行业中的知名软件平台开发商进行紧密合作,先后在各大行业中成功地为客户建立了可靠、安全的电子签章平台系统,不仅节省了客户的办公费用,并且为客户的信息安全建设保驾护航,进一步加速推动了客户的整个信息化建设,提高了整体信息办公系统的效率。
翔晟信息电子签章系统的应用不仅推动电子政务、企业信息化系统信息的安全建设进程,而且也在国内的电子商务网络信息安全建设领域发挥着领先、卓越的产品性能。
除了在全国电子招投标行业广泛运用外,还在全国多家甲级医院的电子病历系统、电子文档管理系统,以及物流、军队、政府、企业系统办公网中得到了实际应用。
篇9
电力企业信息网络安全问题
信息技术在电力企业的推广,给企业的信息安全带来了较大的风险,容易出现操作系统的破坏、信息丢失以及网络瘫痪等问题。总之,电力企业的信息网络安全问题主要包括以下几点。
1.管理安全风险
作为信息安全的关键环节,管理工作的质量直接关系到信息网络的安全。在电力企业的信息网络安全管理中,忽视对网络使用者的有效控制,对用户的使用权限分配不合理,进而出现越权使用的现象。同时,管理人员缺乏一定的安全风险意识,导致出现泄漏企业信息的现象发生,对电力企业的安全稳定运行造成了严重的影影响,且网络使用者的业务水平较低,缺乏足够的安全意识,密码设置强度不高,甚至进行账号的共享,容易出现信息外泄,加之不安全移动存储介质的使用,给网络完全带来了严重的威胁。
2.电脑病毒威胁
电脑病毒是引起电力企业信息网络安全问题的主要原因之一,病毒具有传播快、扩散面积大、破坏性强以及消除难度大的特点。因此,病毒带来的威胁是不可估量的,病毒一旦侵入到计算机,就会传播到各个网络节点,造成信息的阻塞,破坏文件系统和数据系统,致使重点数据丢失、系统瘫痪。
3.人为操作失误
网络用户和管理人员的操作失误也会引起信息网络安全问题,主要是对系统以及软件操作不当,引发安全漏洞。例如,用户授权管理混乱以至于出现越权访问的现象,对系统构成了严重的威胁。
电力企业信息网络安全建设与发展的对策
在信息技术环境下,电力企业要想获得较大的发展,需要加强对信息技术的应用的同时采取有效的措施,保证信息网络的安全,构建完善的信息网络安全体系。
1.加强安全管理
为了保证电力企业信息网络的安全,需要进行安全管理,加强防范,主要从网络设备、信息以及人三个方面着手。
要对网络设备进行安全管理,提高网络设备的保护和防御能力,对各个输入和输出数据进行检测和控制。同时,还要净化网络运行的环境,借助加密和解密及时,避免信息的外泄。此外,还需要按照硬件防火墙等多种防护体系,借助先进的网络监控手段对电力企业的信息网络进行监督和控制,减少网络安全事故的发生。要建立网络安全制度,根据电力企业信息网络发展实际进行安全管理策略的调整,并严格按照管理制度进行规范操作。网络安全制度涉及到多个方面的内容,包括力企业网络建设方案、机房管理制度、检修管理规定、安全保密制度、口令管理制度、信息网络及系统应急预案、用户上网使用手册、系统操作规程、应急响应方案和安全防护记录等一系列的制度和措施,进而实现对系统的层层保护,提高系统运行的安全性和稳定性。
2.对计算机病毒进行防治
计算机病毒对信息网络的威胁是不可估量的。因此,需要加强对病毒的防治,特别是对计算机软件的准入控制、桌面管理客户端和DHCP绑定、防病毒、防连接互联网、补丁自动更新和防非我单位移动介质接入等,避免因为上述不当操作而引起的病毒侵入。这就需要电力企业结合自身的系统特点,采取有效的预防和解决措施。首先,电力企业要安装相应的防病毒软件,建立一个统一部署的防病毒系统,并规定所有进入企业计算机的设备都要安装防病毒客户端,进而对数据进行实时的监测,杜绝病毒的侵害。其次,员工要注意移动存储介质的使用,要将其进行病毒查杀后才使用,并对重点计算机进行专机专人专盘使用,对于涉及机密文件的存储介质要防止在保密区,并设置密码进行保护。此外,信息维护人员要充分利用虚拟子网来防治病毒的扩散,提高网络的安全性,这样在病毒侵袭电脑时,破坏只是发生在本机,不会对整个系统造成影响。
3.构建信息网络安全体系
为了为电力系统的运行提供优良的环境,需要构建电力企业的信息网络安全体系,结合电力系统的运行状况、企业管理以及信息网络事故对企业的危害程度,确定计算机应用系统的安全等级,构建安全体系。在网络安全体系的构建中,需要结合先进的信息安全技术,对故障进行研究,提出优化管理的措施,为系统运行提供不同需求的安全防范措施。
此外,外来人员对系统的恶意攻击也是不可不防的一个环节,这就需要对不必要的端口和服务进行关闭处理,同时部署防火墙和入侵检测系统,降低管理以及培训所需要的时间,保证了网络系统的整体安全。
结束语
篇10
关键词:威胁发现设备;信息安全;安全管控
1引言
随着海南电网有限责任公司信息化建设迅速发展,网络覆盖面不断扩大,主机与终端接入数量日益增加,信息安全形势也变得愈加严峻。近年来,国家对信息安全的重视程度不断加强,同期的信息安全攻击事件也不断爆发,如2015年乌克兰电网遭遇突发停电事故,以色列电力局遭受严重网络攻击等事件,对电网公司信息安全建设敲响了警钟。电网信息安全防护主要包括网络安全防护、主机安全防护和终端安全防护,目前网络和主机由信通公司进行集中运维管理,管理规范,安全程度较高。终端安全防护由各供电局信息技术人员进行管理,由于终端数量较多,基层员工安全意识不足,终端的安全程度层次不齐,是目前安全防护方面的薄弱点。近年来,高级持续性威胁和针对性攻击手段不断出现,其具有抵御传统安全防御、保持长期不被检测到的能力。IT消费化和云计算等技术发展趋势进一步加剧了这些攻击的严重性,削弱了安保的作用,从而使网络更容易遭到攻击。通过对高级持续性威胁恶意软件和隐蔽式攻击者行为的检测和深入分析,威胁发现设备可以检测高级持续性威胁和针对性攻击,并提供可见的报告和情报,大大提升了攻击前的预测能力。
2技术背景
如今,高级持续性攻击使用多阶段方式来窃取重要数据——获取入口点,下载其他恶意软件,打开后门程序访问,找到并危害目标系统,然后上传数据。尽管终端电脑数据危害可快速发生,但从初始入侵到目标数据受到危害通常需要几天或几周的时间。实际发现并完全抑制危害所用的时间可能为几个月。在此期间,企业网络中潜伏着入侵者,其目的是持续危害重要数据,整个过程如图1所示。威胁实施者情报收集外部暂存服务器入口点C&C服务器横向移动感兴趣的数据文件存储数据库高级持续性威胁和针对性攻击已证明可避开标准、网络和端点安全防御的能力。威胁发现设备专门用于检测高级持续性威胁和针对性攻击——在攻击生命周期的各个阶段识别反映高级恶意软件或攻击者活动的恶意内容、通信和行为。威胁发现设备使用3个层面的检测方案来执行初始检测,然后进行模拟和关联,最后通过最终的交叉关联发现隐蔽的高级持续性威胁活动以及其他只有通过长期观察才能发现的隐蔽活动。
3应用效果
采用威胁发现设备监控外部网络与内部网络的流量交互,从3个层面的检测方案来执行初始检测,分别是恶意内容、可疑通信和攻击行为,其中恶意内容检测包含3个方面对包含嵌入文档漏洞的电子邮件、隐蔽强迫下载链接和零日攻击与已知恶意软件进行检测,采用解码与解压缩嵌入文件,对可疑文件进行沙盒模拟,对浏览器漏洞套件检测和对恶意代码扫描等技术;可疑通信检测包含2个方面,分别是针对僵尸病毒、下载软件、数据窃取、蠕虫病毒和混合性威胁的对外连网通信和攻击者实施的后门程序活动进行检测,通过动态列入黑名单、白名单进行的目标分析技术,云计算安全智能防护网络URL信誉和通信行为识别规则技术实现;攻击行为检测包含3个方面,分别是恶意软件活动(传播、下载、发送垃圾邮件等),攻击者活动(扫描、暴力攻击、服务漏洞利用等),数据隐蔽泄露,通过基于规则的启发式分析,对80多种协议和应用程序的使用情况进行识别和分析。在海南电网投入使用以来,月均检测高威胁恶意和攻击行为约80条,高威胁可疑行为约1300条,为海南电网的安全防护体系起到了重大作用,对终端防护工作指明了问题点,大大提高了终端安全管控水平。
4结束语
威胁发现设备对海南电网安全防护水平的提升效果是显著的,能够有效指明安全隐患点和安全类型,随着信息系统不断建设和终端设备的不断增加,现有的威胁发现设备逐渐达到性能极限,因此已针对这个情况,对威胁发现设备进行了采购补充,一定程度上缓解了这个问题,但是如何在不降低安全防护水平的基础上,有效降低设备的运行负荷,是需要进一步思考的问题。另外虽然通过威胁发现设备能够确定安全隐患点,但是由于基层信息技术人才匮乏,现场检查确认隐患设备的工作仍然巨大,如果仅完成高威胁恶意和攻击行为的排查和确认是在运维能力极限范围内,一旦将高威胁可疑行为纳入排查清理范围内,将大大加剧基层运维人员工作压力,如何进一步将高威胁可疑行为进行优化分级是需要研究和思考的工作。
作者:陈习 覃岩岩 王宁 陈 宁 单位:海南电网有限责任公司信息通信分公司
参考文献
[1]陈广山.网络与信息安全技术[J].北京:机械工业出版社,2007
[2]张玉清.网络攻击与防御技术[J].北京:清华大学出版社,2011
[3]吴锐.网络安全技术[J].北京:水利水电出版社,2012
