公務員期刊網(wǎng) 精選范文 網(wǎng)絡安全防護體系建設范文

網(wǎng)絡安全防護體系建設精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全防護體系建設主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡安全防護體系建設

第1篇:網(wǎng)絡安全防護體系建設范文

計算機“病毒”與人們常說的生物學病毒具有極為相似的特征,其具有較強的傳染性、破壞性以及潛伏性。計算機的“病毒”一般都會隱藏在計算機系統(tǒng)中的某個文件當中,隨著文件的復制或是傳輸過程進而逐漸發(fā)生蔓延。也正因如此,才會導致2010年伊朗工程系統(tǒng)慘遭侵害,名為“震網(wǎng)”的病毒一時之間攻擊了伊朗國家工程系統(tǒng)的大量文件和數(shù)據(jù),進而對其數(shù)據(jù)的采集和監(jiān)控都造成巨大的影響和威脅。

2計算機網(wǎng)絡安全防護體系應用的主要技術

2.1系統(tǒng)的漏洞掃描技術

任何一臺計算機的網(wǎng)絡系統(tǒng)中都會存在大大小小的網(wǎng)絡漏洞或是缺陷,而這些漏洞一旦被惡意的侵害或是利用,就極有可能對計算機的網(wǎng)絡系統(tǒng)或是網(wǎng)絡的用戶造成不同程度的威脅。因此,為解決計算機網(wǎng)絡用戶這一困擾,降低網(wǎng)絡漏洞的危險性,預防各種可能發(fā)生的網(wǎng)絡侵害,用戶就應設置計算機網(wǎng)絡的定期漏洞掃描,一旦發(fā)現(xiàn)漏洞要及時進行全網(wǎng)的檢測,并及時對其進行修復。

2.2計算機網(wǎng)絡的管理技術

為增強計算機網(wǎng)絡的應用過程的規(guī)范性、提高計算機網(wǎng)絡問題的分析能力和追蹤能力,可以通過網(wǎng)絡身份的認證技術來對當前用戶進行認證,進而有效防止信息的泄露和病毒的侵害。身份認證技術不僅可以有效提升非法用戶對網(wǎng)絡訪問時的難度,還可以在網(wǎng)絡用戶發(fā)生異常操作時對其進行緊急的跟蹤和記錄,大大提高網(wǎng)絡使用的安全性。

2.3設置網(wǎng)絡防火墻的保護技術

所謂防火墻技術是指外網(wǎng)和內網(wǎng)進行通信過程中對網(wǎng)絡訪問實施控制的相關技術。防火墻技術具有較強的安全防護作用,其可以根據(jù)用戶專門設置的網(wǎng)絡保護策略對不同網(wǎng)絡或是網(wǎng)絡之間的訪問、信息的傳輸?shù)刃袨檫M行實時的數(shù)據(jù)監(jiān)控與檢測。當前,我國最常使用的防火墻技術包括三種,分別為包過濾的防火墻技術、地址轉換的防火墻技術以及防火墻的技術。

3建設計算機網(wǎng)絡安全防護體系的思路

根據(jù)當前計算機網(wǎng)絡所面臨的主要威脅和計算機網(wǎng)絡安全防護的相關技術可知,計算機網(wǎng)絡的內部及外部存在著一定風險,因而出現(xiàn)了不可信理念。對此,建立一種新型的網(wǎng)絡安全防護體系已經(jīng)被逐漸提上日程。本文在相關技術的支持下,根據(jù)計算機網(wǎng)絡存在的主要問題和風險構建一個以“網(wǎng)絡信息的保護策略”為核心、以“網(wǎng)絡信息的加密技術”為依據(jù)、以“可信計算保護技術”為前提、以“入侵檢查技術”為基礎的網(wǎng)絡安全防護體系,以期有效增強計算網(wǎng)絡的安全性與可靠性。

3.1網(wǎng)絡信息的保護策略

制定網(wǎng)絡信息的保護策略應主要從四個方面著手。第一,是有關網(wǎng)絡分級的保護策略,該策略包括對管理的規(guī)范、方案的設計、技術的要求以及安全的評價等各項內容,是一套比較完整、符合標準的規(guī)范。第二,是保護網(wǎng)絡安全、落實網(wǎng)絡縱深的防御策略,即根據(jù)網(wǎng)絡信息的安全程度劃分網(wǎng)絡的區(qū)域,嚴格實施區(qū)域邊界的安全保護和密??刂疲M而有效增設網(wǎng)絡縱向的多層部署。第三,實施安全密保的動態(tài)防護,該策略主要是加強對網(wǎng)絡的威脅檢測,進而提高邊界的防護、監(jiān)控等行為的力度,設置相關的應急預案,構建“容災與恢復”的相關機制等。第四,強化計算機內網(wǎng)的安全防空與保護,加大力度提高相關人員的職業(yè)技能與網(wǎng)絡保護的意識,大力推行“強審計”策略的實施,建立健全我國網(wǎng)絡安全的法令法規(guī)。

3.2網(wǎng)絡信息的加密技術

網(wǎng)絡信息的加密技術一直被廣泛應用于網(wǎng)絡信息的傳輸方面,該技術可以有效控制或是阻止信息傳輸過程中他人的截取和對信息的惡意篡改。同時也防止信息被他人看到或是破壞。當前,我國使用最廣泛的網(wǎng)絡協(xié)議就是IP協(xié)議和TCP協(xié)議,然而這兩種協(xié)議也恰恰是兩個網(wǎng)絡的高危漏洞。例如,IP協(xié)議本身就存在許多的漏洞和弊端,其地址可以利用軟件自行設置,這就導致地址的假冒和地址的欺騙兩種類型安全隱患的產生。此外,IP協(xié)議還支持源點指定信息的方式,信息包可以傳送到節(jié)點路由,這也為源路由的攻擊創(chuàng)造了條件。因而設計網(wǎng)絡信息加密的防護機構時,必須要注意以下幾點要求:采用合適的密碼體制、選擇安全、合理的密鑰管理方法、對網(wǎng)絡接口進行數(shù)據(jù)加密、對應用層的數(shù)據(jù)進行加密。該方式下的網(wǎng)絡防護,可以有效抵制黑客和病毒的入侵。

3.3可信計算的保護技術

“可信”就是指實體再完成給定的目標時,總是會與預期的結果相同,同時也強調了行為結果的可預測性、可控制性。而“可信計算”就是指計算機網(wǎng)絡中一的組件,操作的行為在任意條件下都是可預測的,而且還可以很好的阻止不良代碼與其他物理形式的干擾及破壞。當前,可信計算的平臺主要具有如下幾項功能:為用戶建立唯一的身份驗證及權限、確保數(shù)據(jù)儲存以及傳輸?shù)冗^程的機密性和安全性、確保計算機系統(tǒng)硬件以及相關環(huán)境的完整性、提高計算機系統(tǒng)的免疫能力,進而有效組織計算機病毒的入侵或是“黑客”的破壞??尚庞嬎愕钠脚_在建立過程中,是從最初可信性的建立,到后期的硬件平臺建立,再操作系統(tǒng)的應用,這些過程都是主機增加該平臺的可信程度,進而完成信任的傳遞和擴散。這種可信的計算機網(wǎng)絡系統(tǒng),可以確保整個網(wǎng)絡環(huán)境的可信度。

3.4網(wǎng)絡的入侵檢測技術

網(wǎng)絡的入侵檢測技術是指計算機網(wǎng)絡本身自帶的一種防御技術,具有主動性。該技術可以與多種技術相互組合或是相互應用,進而制定出與網(wǎng)絡相互匹配的安全防御系統(tǒng)。入侵檢測技術通常會被分為兩種類型,一類是異常檢測,另一類是濫用監(jiān)測。前者通常都是將統(tǒng)計作為習慣,進而判斷網(wǎng)絡的入侵行為。而后者是根據(jù)網(wǎng)絡的檢測規(guī)則來跟蹤網(wǎng)絡中的入侵行為。該技術的應用主要是針對已知攻擊行為的檢測。例如,攻擊者時常利用PHP程序的漏洞來入侵計算機網(wǎng)絡,或是利用Email、聊天室等植入大量的木馬或是病毒從而瀏覽被入侵者的瀏覽器等。對網(wǎng)絡實施監(jiān)測和入侵監(jiān)測主要的目的是分析用戶的系統(tǒng)活動,審計系統(tǒng)的整個構造進而了解系統(tǒng)的弱點,對系統(tǒng)中存在的異常行為或是模式進行分析和統(tǒng)計,最終評估系統(tǒng)和數(shù)據(jù)信息的完整性。該技術主要是通過收集網(wǎng)絡的相關行為、網(wǎng)絡安全日志、網(wǎng)絡審計的數(shù)據(jù)以及其他網(wǎng)絡的各種信息并對其進行分析,最終獲得計算機系統(tǒng)中的關鍵點信息,檢測網(wǎng)絡系統(tǒng)中是否有違反安全網(wǎng)絡安全策略的行為存在,進而在第一時間為網(wǎng)絡的內部和外部提供安全防護。

4總結

第2篇:網(wǎng)絡安全防護體系建設范文

建立健全廣電網(wǎng)絡安全防御體系

1廣電網(wǎng)絡特征

(1)我國廣電網(wǎng)絡發(fā)展正處于數(shù)字電視及模擬電視轉型階段,且廣電網(wǎng)絡正處于轉型期,除此以外,我國網(wǎng)絡安全投資經(jīng)費遠遠不能夠滿足實際需要;(2)我國網(wǎng)絡管理機制不健全、管理人員專業(yè)技能及綜合素養(yǎng)普遍不高,且我國網(wǎng)絡管理手段大多為管理性能不高的局部管理軟件或網(wǎng)絡設備廠家免費贈送的網(wǎng)絡管理軟件;(3)我國網(wǎng)絡安全與系統(tǒng)建設不成熟,尚處于發(fā)展的低級階段,且安全集中式管理模式基本缺失,這對于我國廣電網(wǎng)絡安全均造成了不少的安全隱患。

2立體網(wǎng)絡安全防御體系結構層次

隨著技術的發(fā)展及廣電網(wǎng)絡安全意識的提高,立體安全防御體系建立被得到深入發(fā)展,這為提高廣電網(wǎng)絡安全防御性能發(fā)揮著巨大的作用。立體安全防御體系主要分為安全管理系統(tǒng)、安全防護系統(tǒng)及安全監(jiān)理系統(tǒng)等三大部分。在整個網(wǎng)絡安全體系中,安全監(jiān)控系統(tǒng)扮演著中樞系統(tǒng)的角色。安全監(jiān)控系統(tǒng)重點功能模塊包括安全策略管理模塊、安全知識庫及報表模塊、用戶權限管理模塊、安全預警管理、安全事件流程管理模塊、風險評估模塊、安全區(qū)域管理模塊、安全資產管理模塊、安全信息監(jiān)控管理模塊、安全事件智能關聯(lián)及分析模塊、安全事件采集模塊、安全知識學習平臺模塊。就防護級別而言,安全防護系統(tǒng)涉及的模塊包括:(1)??乇Wo區(qū)域:多路供配電系統(tǒng)、攻擊防護模塊、空氣調節(jié)及通風控制、數(shù)據(jù)訪問控制、防火及火警探測、系統(tǒng)訪問控制、水患及水浸控制、系統(tǒng)日志控制、物理出入控制、密碼管理控制、定期衛(wèi)生及清潔控制、認證及識別系統(tǒng)、設數(shù)據(jù)訪問控制、備及介質控制;(2)強制保護區(qū)域:不間斷供電系統(tǒng)、攻擊防護模塊、多路供配電系統(tǒng)、漏洞管理和修補、空氣調節(jié)及通風控制、激活業(yè)務控制、防火及火警探測、程序開發(fā)控制、水患及水浸控制、系統(tǒng)更改控制、物理出入控制、病毒防護模塊、數(shù)據(jù)訪問控制、定期衛(wèi)生及清潔控制、系統(tǒng)訪問控制、系統(tǒng)日志控制、設備及介質控制;(3)監(jiān)督保護區(qū)域:多路供配電系統(tǒng)、密鑰管理模塊、空氣調節(jié)及通風控制、攻擊防護模塊、防火及火警探測、漏洞管理和修補、水患及水浸控制、激活業(yè)務控制、物理出入控制、系統(tǒng)更改控制、定期衛(wèi)生及清潔控制、病毒防護模塊、設備及介質控制、數(shù)據(jù)訪問控制、系統(tǒng)訪問控制、系統(tǒng)日志控制;(4)指導保護區(qū):物理出入控制、密碼管理控制、定期衛(wèi)生及清潔控制、漏洞管理和修補、設備及介質控制、激活業(yè)務控制、系統(tǒng)訪問控制、系統(tǒng)更改控制、病毒防護模塊、數(shù)據(jù)訪問控制;(5)一般保護區(qū):系統(tǒng)訪問控制、用戶行為管理模塊、數(shù)據(jù)訪問控制、漏洞管理和修補、病毒防護模塊;(6)安全管理系統(tǒng):安全技術及設備管理、部門與人員組織規(guī)則、安全管理制度等。

工程實例

南京廣電網(wǎng)絡屬于復雜網(wǎng)絡結合體,其涵蓋了三個物理結構,即MSTP傳輸網(wǎng)、IP傳輸網(wǎng)、HFC網(wǎng),且該網(wǎng)絡系統(tǒng)包含的系統(tǒng)及部門眾多。

1安全監(jiān)控系統(tǒng)

南京廣電公司堅持“分級監(jiān)控體系”原則,即公司層面設安全監(jiān)控中心,各部門設子系統(tǒng)監(jiān)控分中心。網(wǎng)絡監(jiān)控系統(tǒng)對網(wǎng)絡系統(tǒng)內各主要鏈路狀態(tài)及主要節(jié)點設備進行實時監(jiān)控,且構建了緊急事件相應流程及自動報警機制,并對管理漏洞、網(wǎng)絡配置及未授權行為進行嚴格檢測,此外,如實保存并審計相關安全事件及異常事件日志(見下圖)。

2安全防護體系

南京廣電公司于安全防護體系之上始終堅持“分級防護“原則。基于信息資產及業(yè)務系統(tǒng)重要性的不同,安全防護體系被劃分為五大保護等級。信息安全等級保護工作應堅持“分類指導、分級負責、分步實施、突出重點”原則;遵循“誰運營-誰負責、誰主管-誰負責”要求。防護體系架構:安全防護體系層次模型被劃分為縱向及橫向兩個層面相結合安全防護體系,該安全防護系統(tǒng)有助于對廣電網(wǎng)絡各系統(tǒng)及系統(tǒng)各層次進行安全全面而系統(tǒng)地把握。就橫向管理體系(見下圖一)而言,考慮的核心在于對安全數(shù)據(jù)進行集中式監(jiān)控及處理,并以等級保護相關規(guī)范為根據(jù),對各系統(tǒng)不同等級安全保護域加以確定;就縱向管理體系(見圖二)而言,考慮的核心在于以系統(tǒng)ISO七層體系模型為參考依據(jù),監(jiān)控并管理各系統(tǒng)各層次。

安全防護體系層次劃分標準:橫向層次標準:劃分橫向層次安全域應該以國家系統(tǒng)等級保護標準格式為依據(jù),并基于企業(yè)系統(tǒng)程度,將廣電網(wǎng)絡定義為五大保護等級,且以保護等級為依據(jù)將網(wǎng)絡體系劃分為安全域;縱向層次標準:縱向層次劃分標準應以ISO七層網(wǎng)絡模型為參考依據(jù),具體劃分標準包括物理層安全防護(環(huán)境安全、設備安全、介質安全)、系統(tǒng)層安全防護、網(wǎng)絡層安全防護、安全管理(安全技術及設備管理、部門及人員組織規(guī)則、安全管理制度)。

第3篇:網(wǎng)絡安全防護體系建設范文

隨著信息化進程的發(fā)展,信息技術與網(wǎng)絡技術的高度融合,現(xiàn)代企業(yè)對信息系統(tǒng)的依賴性與信息系統(tǒng)本身的動態(tài)性、脆弱性、復雜性、高投入性之間的矛盾日趨突顯,如何有效防護信息安全成為了企業(yè)亟待解決的問題之一。目前國內企業(yè)在信息安全方面仍側重于技術防護和基于傳統(tǒng)模式下的靜態(tài)被動管理,尚未形成與動態(tài)持續(xù)的信息安全問題相適應的信息安全防護模式,企業(yè)信息安全管理效益低下;另一方面,資源約束性使企業(yè)更加關注信息安全防護的投入產出效應,最大程度上預防信息安全風險的同時節(jié)省企業(yè)安全建設、維護成本,需要從管理角度上更深入地整合和分配資源。

本文針對現(xiàn)階段企業(yè)信息安全出現(xiàn)的問題,結合項目管理領域的一般過程模型,從時間、任務、邏輯方面界定了系統(tǒng)的霍爾三維結構,構建了標準化的ISM結構模型及動態(tài)運行框架,為信息網(wǎng)絡、信息系統(tǒng)、信息設備以及網(wǎng)絡用戶提供一個全方位、全過程、全面綜合的前瞻性立體防護,并從企業(yè)、政府兩個層面提出了提高整體信息安全防護水平的相關建議。

1 企業(yè)信息安全立體防護體系概述

1.1 企業(yè)信息安全立體防護體系概念

信息安全立體防護體系是指為保障企業(yè)信息的有效性、保密性、完整性、可用性和可控性,提供覆蓋到所有易被威脅攻擊的角落的全方位防護體系。該體系涵蓋了企業(yè)信息安全防護的一般步驟、具體階段及其任務范圍。

1.2 企業(yè)信息安全立體防護體系環(huán)境分析

系統(tǒng)運行離不開環(huán)境。信息產業(yè)其爆炸式發(fā)展的特性使企業(yè)信息安全的防護環(huán)境也相對復雜多變,同時,多樣性的防護需求要求有相適應的環(huán)境與之配套。

企業(yè)信息安全立體防護體系的運行環(huán)境主要包括三個方面,即社會文化環(huán)境、政府政策環(huán)境、行業(yè)技術環(huán)境。社會文化環(huán)境主要指在企業(yè)信息安全方面的社會整體教育程度和文化水平、行為習慣、道德準則等。政府政策環(huán)境是指國家和政府針對于企業(yè)信息安全防護出臺的一系列政策和措施。行業(yè)技術環(huán)境是指信息行業(yè)為支持信息安全防護所開發(fā)的一系列技術與相匹配的管理體制。

1.3 企業(yè)信息安全立體防護體系霍爾三維結構

為平衡信息安全防護過程中的時間性、復雜性和主觀性,本文從時間、任務、邏輯層面建立了企業(yè)信息安全立體防護體系的三維空間結構,如圖1所示。

時間維是指信息安全系統(tǒng)從開始設計到最終實施按時間排序的全過程,由分析建立、實施運行、監(jiān)視評審、保持改進四個基本時間階段組成,并按PDCA過程循環(huán)[5]。邏輯維是指時間維的每一個階段內所應該遵循的思維程序,包括信息安全風險識別、危險性辨識、危險性評估、防范措施制定、防范措施實施五個步驟。任務維是指在企業(yè)信息安全防護的具體內容,如網(wǎng)絡安全、系統(tǒng)安全、數(shù)據(jù)安全、應用安全等。該霍爾三維結構中任一階段和步驟又可進一步展開,形成分層次的樹狀體系。

2 企業(yè)信息安全立體防護體系解釋結構模型

2.1 ISM模型簡介

ISM(Interpretation Structural Model)技術,是美國J·N·沃菲爾德教授于1973年為研究復雜社會經(jīng)濟系統(tǒng)問題而開發(fā)的結構模型化技術。該方法通過提取問題的構成要素,并利用矩陣等工具進行邏輯運算,明確其間的相互關系和層次結構,使復雜系統(tǒng)轉化成多級遞階形式。

2.2 企業(yè)信息安全立體防護體系要素分析

本文根據(jù)企業(yè)信息安全的基本內容,將立體防護體系劃分為如下15個構成要素:

(1) 網(wǎng)絡安全:網(wǎng)絡平臺實現(xiàn)和訪問模式的安全;

(2) 系統(tǒng)安全:操作系統(tǒng)自身的安全;

(3) 數(shù)據(jù)安全:數(shù)據(jù)在存儲和應用過程中不被非授權用戶有意破壞或無意破壞;

(4) 應用安全:應用接入、應用系統(tǒng)、應用程序的控制安全;

(5) 物理安全:物理設備不受物理損壞或損壞時能及時修復或替換;

(6) 用戶安全:用戶被正確授權,不存在越權訪問或多業(yè)務系統(tǒng)的授權矛盾;

(7) 終端安全:防病毒、補丁升級、桌面終端管理系統(tǒng)、終端邊界等的安全;

(8) 信息安全風險管理:涉及安全風險的評估、安全代價的評估等;

(9) 信息安全策略管理:包括安全措施的制定、實施、評估、改進;

(10) 信息安全日常管理:巡視、巡檢、監(jiān)控、日志管理等;

(11) 標準規(guī)范體系:安全技術、安全產品、安全措施、安全操作等規(guī)范化條例;

(12) 管理制度體系:包括配套規(guī)章制度,如培訓制度、上崗制度;

(13) 評價考核體系:指評價指標、安全測評;

(14) 組織保障:包括安全管理員、安全組織機構的配備;

(15) 資金保障:指建設、運維費用的投入。

2.3 ISM模型計算

根據(jù)專家對企業(yè)信息安全立體防護體系中15個構成要素邏輯關系的分析,可得要素關系如表1所示。

對可達矩陣進行區(qū)域劃分和級位劃分,確定各要素所處層次地位。在可達矩陣中找出各個因素的可達集R(Si),前因集A(Si)以及可達集R(Si)與前因集A(Si)的交集R(Si)∩A(Si),得到第一級的可達集與前因集(見表2)。

2.4 企業(yè)信息安全立體防護結構

結合信息安全防護的特點,企業(yè)信息安全立體防護體系15個要素相互聯(lián)系、相互作用,有機地構成遞階有向層級結構模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素,雙向箭頭表示同級影響。

從圖2可以看出,企業(yè)信息安全防護體系內容為四級遞階結構。從下往上,第一層因素從制度層面闡述了企業(yè)信息安全防護,該層的五個因素處于ISM結構的最基層且相互獨立,構成了企業(yè)信息安全立體防護的基礎。第二層因素在基于保障的前提下,確定了企業(yè)為確保信息安全進行管理活動,是進行立體防護的方法和手段;第三層因素是從物理條件、傳輸過程方面揭示了企業(yè)進行信息安全防護可控點,其中物理安全是控制基礎。第四層要素是企業(yè)信息安全的直接需求,作為信息的直接表現(xiàn)形式,數(shù)據(jù)是企業(yè)信息安全立體防護的核心。企業(yè)信息安全防護體系的四級遞階結構充分體現(xiàn)了企業(yè)信息安全防護體系的整體性、層級性、交互性。

圖2 企業(yè)信息安全防護解釋結構模型

2.5 企業(yè)信息安全立體防護過程

企業(yè)信息安全立體防護是一個多層次的動態(tài)過程,它隨著環(huán)境和信息傳遞需求變化而變化。本文在立體防護結構模型的基礎上對企業(yè)信息安全防護結構進行擴展,構建了整體運行框架(見圖3)。

從圖3 中可以看出,企業(yè)信息安全防護過程按分析建立到體系保持改進的四個基本時間階段中有序進行,充分體現(xiàn)出時間維度上的動態(tài)性。具體步驟如下:

(1) 綜合分析現(xiàn)行的行業(yè)標準規(guī)范體系,企業(yè)內部管理流程、人員組織結構和企業(yè)資金實力,建立企業(yè)信息安全防護目標,并根據(jù)需要將安全防護內容進行等級劃分。

(2) 對防護內容進行日常監(jiān)測(包括統(tǒng)計分析其他公司近期發(fā)生的安全事故),形成預警,進而對公司信息系統(tǒng)進行入侵監(jiān)測,判斷其是否潛在威脅。

(3) 若存在威脅,則進一步確定威脅來源,并對危險性進行評估,判斷其是否能通過現(xiàn)有措施解決。

(4) 平衡控制成本和實效性,采取防范措施,并分析其效用,最終形成內部信息防護手冊。

3 分析及對策

3.1 企業(yè)層面

(1) 加強系統(tǒng)整體性。企業(yè)信息安全防護體系的15個構成要素隸屬于一個共同區(qū)域,在同一系統(tǒng)大環(huán)境下運作。資源受限情況下要最大程度地保障企業(yè)信息安全,就必須遵循一切從整體目標出發(fā)的原則,加強信息安全防護的整體布局,在對原有產品升級和重新部署時,應統(tǒng)一規(guī)劃,統(tǒng)籌安排,追求整體效能和投入產出效應。

(2) 明確系統(tǒng)層級性。企業(yè)信息安全防護工作效率的高低很大程度上取決于在各個防護層級上的管理。企業(yè)信息安全防護涉及技術層面防護、策略層面防護、制度層面防護,三個層面互相依存、互相作用,其中制度和保障是基礎,策略是支撐,技術是手段。要有效維護企業(yè)信息安全,企業(yè)就必須正確處理好體系間的縱向關系,在尋求技術支撐的同時,更要立足于管理,加強工作間的協(xié)調,避免重復投入、重復建設。

(3) 降低系統(tǒng)交互性。在企業(yè)信息安全防護體系同級之間,相關要素呈現(xiàn)出了強連接關系,這種交互式的影響,使得系統(tǒng)運行更加復雜。因此需要加快企業(yè)內部規(guī)章制度和技術規(guī)范的建設,界定好每個工作環(huán)節(jié)的邊界,準確定位風險源,并確保信息安全策略得到恰當?shù)睦斫夂陀行?zhí)行,防止在循環(huán)狀態(tài)下風險的交叉影響使防范難度加大。

(4) 關注系統(tǒng)動態(tài)性。信息安全防護是一個動態(tài)循環(huán)的過程,它隨著信息技術發(fā)展而不斷發(fā)展。因此,企業(yè)在進行信息安全防護時,應在時間維度上對信息安全有一個質的認識,準確定位企業(yè)信息安全防護所處的工作階段,限定處理信息安全風險的時間界限,重視不同時間段上的延續(xù)性,并運用恰當?shù)墓ぞ叻椒▉韺︼L險加以識別,辨別風險可能所帶來的危險及其危害程度,做出防范措施,實現(xiàn)企業(yè)信息安全的全過程動態(tài)管理。

3.2 政府層面

企業(yè)信息安全防護不是一個孤立的系統(tǒng),它受制于環(huán)境的變化。良好的社會文化環(huán)境有助于整體安全防護能力主動性的提高,有力的政策是推動企業(yè)信息安全防護發(fā)展的前提和條件,高效的行業(yè)技術反應機制是信息安全防護的推動力。因此在注重企業(yè)層面的管理之外,還必須借助于政府建立一個積極的環(huán)境。

(1) 加強信息安全防護方面的文化建設。一方面,政府應大力宣傳信息安全的重要性及相關政策,提高全民信息安全素質,從道德層面上防止信息安全事故的發(fā)生;另一方面,政府應督促企業(yè)加強信息安全思想教育、職能教育、技能教育、法制教育,從思想上、理論上提高和強化社會信息安全防護意識和自律意識。

(2) 高度重視信息安全及其衍生問題。政府應加快整合和完善現(xiàn)有信息安全方面的法律、法規(guī)、行業(yè)標準,建立多元監(jiān)管模式和長效監(jiān)管機制,保證各項法律、法規(guī)和標準得到公平、公正、有效的實施,為企業(yè)信息安全創(chuàng)造有力的支持。

(3) 加大信息安全產業(yè)投入。政府應高度重視技術人才的培養(yǎng),加快信息安全產品核心技術的自主研發(fā)和生產,支持信息安全服務行業(yè)的發(fā)展。

4 結 語

本文從企業(yè)信息安全防護的實際需求出發(fā),構建企業(yè)信息安全防護基本模型,為企業(yè)信息安全防護工作的落實提供有效指導,節(jié)省企業(yè)在信息安全防護體系建設上的投入。同時針對現(xiàn)階段企業(yè)信息安全防護存在的問題從企業(yè)層面和政府層面提出相關建議。

參考文獻

[1] 中國信息安全產品測評認證中心.信息安全理論與技術[M].北京:人民郵電出版社,2003.

[2] 汪應洛.系統(tǒng)工程[M].3版.北京:高等教育出版社,2003.

[3] 齊峰.COBIT在企業(yè)信息安全管理中的應用實踐[J].計算機應用與軟件,2009,26(10):282?285.

[4] 肖餛.淺議網(wǎng)絡環(huán)境下的企業(yè)信息安全管理[J].標準科學,2010(8):20?23.

第4篇:網(wǎng)絡安全防護體系建設范文

網(wǎng)絡安全是指通過有效手段來保護網(wǎng)絡內的所有軟硬件以及存儲的數(shù)據(jù),避免被偶然的、惡意的原因破壞、更改或泄露,保證網(wǎng)絡能夠穩(wěn)定的提供服務,系統(tǒng)也能夠正常的運行。從廣義來說,任何網(wǎng)絡中數(shù)據(jù)安全保密的屬性都是網(wǎng)絡安全研究的領域。網(wǎng)絡安全的本質就是網(wǎng)絡中的數(shù)據(jù)和信息的安全。網(wǎng)絡安全管理是一種依托網(wǎng)絡管理、網(wǎng)絡安全、人工智能、安全防范等多領域的技術支持,對計算機網(wǎng)絡進行統(tǒng)一監(jiān)控和協(xié)調管理的技術。主要解決在網(wǎng)絡環(huán)境和計算機應用體系中的安全技術和產品的統(tǒng)一管理和協(xié)調問題,從整體上提高網(wǎng)絡防御入侵、抵抗攻擊的能力,確保網(wǎng)絡和系統(tǒng)的完整性、可靠性和可用性。計算機網(wǎng)絡安全管理包括對安全服務、機制和安全相關信息的管理以及管理自身的安全性兩個方面,其過程通常由管理、操作和評估三個階段組成,它涉及的因素很多,如人員、硬件、軟件、數(shù)據(jù)、文檔、法律法規(guī),它在整個網(wǎng)絡安全保護工作中起著十分重要的作用,在整個網(wǎng)絡安全系統(tǒng)中網(wǎng)絡安全技術都必須在正確的管理技術下得到實施。據(jù)有關分析報告指出,在整個網(wǎng)絡安全工作中管理要素占份量高達60%,實體安全要素占20%,法律要素占10%,技術要素占10%。安全管理不完善是網(wǎng)絡安全的重要隱患,例如一些單位或企業(yè)對于網(wǎng)絡安全往往只注重對外部入侵者的防范,而對內部管理重視不足。在實際網(wǎng)絡系統(tǒng)的應用中,既要重視對計算機網(wǎng)絡安全技術的應用,又要注重對計算機網(wǎng)絡系統(tǒng)的安全管理,它們之間相互補充,缺一不可,技術主要側重于防范外部非法用戶的攻擊,管理則側重于內部人為因素的管理。

2公共部門網(wǎng)絡安全管理中的問題

(1)重建設、輕管理,安全管理制度落實不到位

目前公共部門在信息化建設中存在一些不良弊端,往往重視計算機網(wǎng)絡系統(tǒng)設備的選購和建設的過程,然而當網(wǎng)絡系統(tǒng)完成建設后卻不能及時的按照上級相關網(wǎng)絡管理制度,來對設備進行管理維護,缺乏一套有效的、適合本單位的網(wǎng)絡管理制度。

(2)網(wǎng)絡安全管理人才不足

當前計算機技術飛速發(fā)展,對操作和使用計算機設備的人的要求也是越來越高。然而,在計算機網(wǎng)絡體系的建設過程中,相關的專業(yè)人才較少,相關的內部業(yè)務培訓也無法滿足當前信息發(fā)展的要求,在各單位普遍存在網(wǎng)絡管理人員專業(yè)能力不強、素質不高、安全意識薄弱等問題。目前,加強網(wǎng)絡安全管理人才的培養(yǎng)已成為當前計算機網(wǎng)絡體系建設中急需解決的問題之一。

(3)公共部門人員網(wǎng)絡知識水平參差不齊

網(wǎng)絡安全意識淡薄。當下,隨著計算機網(wǎng)絡的普及,越來越多的單位都將本單位的計算機連入了網(wǎng)絡。但是大部分用戶對計算機網(wǎng)絡安全知識不熟悉,對網(wǎng)絡及各種系統(tǒng)大多停留在如何使用的基礎上,對網(wǎng)絡安全防護意識不強。例如,在無保護措施的情況下,隨意共享、傳遞重要文件,甚至少數(shù)人在無意識的情況下將帶有保密信息的計算機、存儲介質連入Internet。

3相關對策

(1)加強思想教育

從思想上構筑網(wǎng)絡安全的防火墻。提高網(wǎng)絡安全防護能力,首先要加強用戶的網(wǎng)絡安全意識,通過在公共部門中宣講學習上級關于網(wǎng)絡安全防護的有關指示精神、政策法規(guī)和一些網(wǎng)絡安全防護知識的教材,引導用戶充分認識到網(wǎng)絡安全防護工作的重要性,學習如何加強網(wǎng)絡安全防護能力的基礎知識,要讓每名工作人員知道在網(wǎng)絡防護工作中自己應該做什么和怎么做。以近些年發(fā)生的網(wǎng)絡安全事件為案例,講述發(fā)生網(wǎng)絡失泄密對部門和個人造成的危害性,進一步增強全體工作人員的遵紀守法、安全保密意識,堅決杜絕危害計算機網(wǎng)絡系統(tǒng)的思想行為。

(2)采取多種技術手段

為信息安全防護提供強有力的技術保障。在網(wǎng)絡安全建設中,要在網(wǎng)絡物理隔離的基礎上,運用防火墻技術、入侵檢測技術、身份認證技術、數(shù)據(jù)加密技術、漏洞掃描技術和防病毒技術及其相應的專業(yè)設備,從技術層面上提升網(wǎng)絡防護能力。對已建設好的各類網(wǎng)絡系統(tǒng),要積極研究和開發(fā)適合的網(wǎng)絡安全管理系統(tǒng),對網(wǎng)絡運行狀態(tài)進行實時監(jiān)控,能夠及時發(fā)現(xiàn)和修復系統(tǒng)存在的漏洞,主動抵御黑客和病毒的侵襲,監(jiān)測網(wǎng)絡中發(fā)生的各種異常情況并進行告警。還要嚴格控制各類接觸網(wǎng)絡人員的訪問權限,備份重要數(shù)據(jù),以便一旦出事,可以迅速恢復。通過對各種網(wǎng)絡防護技術的運用,科學的構建計算機網(wǎng)絡安全防護體系。

(3)注重高科技人才的培養(yǎng)

建立一支具有強大戰(zhàn)斗力的網(wǎng)絡安全防護隊伍。在未來可能遭遇的網(wǎng)絡攻擊中,要避免被侵害,先進的技術和設備是一個因素,但是最終決定結果的因素是人在其中所發(fā)揮的作用。新時期新階段,信息化人才隊伍的建設有了更高的要求,高素質人才是信息建設現(xiàn)代化的關鍵。

(4)加強網(wǎng)絡安全制度建設

使網(wǎng)絡安全防護工作有法可依、有章可循。嚴格按照規(guī)章制度辦事是提升網(wǎng)絡安全防護能力的基礎,在計算機網(wǎng)絡系統(tǒng)建設和使用過程中,把各項規(guī)章制度落實到位,還要具體問題具體分析,結合自己單位實際建立可行的網(wǎng)絡安全管理辦法。尤其是在制度實施過程中,一定要嚴格遵守,一套再科學有效的制度如果無法執(zhí)行,那么就無法對網(wǎng)絡安全建設產生作用。要建立合理的分層管理和責任管理的制度,將具體責任層層明確到具體人身上,對違反了規(guī)定的人要給予嚴厲的處罰,提高違法成本,對心存僥幸的人在心理上起到震懾,杜絕違規(guī)違法操作。同時,隨著信息技術的快速發(fā)展,在制度制定時,要不斷科學的創(chuàng)新、完善和更新現(xiàn)有制度,真正在制度上保障計算機網(wǎng)絡系統(tǒng)的安全。

4總結與展望

第5篇:網(wǎng)絡安全防護體系建設范文

信息安全的總需求是邊界安全、網(wǎng)絡安全、主機安全、終端安全、應用安全和數(shù)據(jù)安全的最終目標,是確保信息機密性、完整性、可用性、可控性和抗抵賴性,以及企業(yè)對信息資源的控制[1]。2009年福建公司開展了等級保護工作,結合今年福建公司安全防護體系建設和等保測評成果,證明信息安全防護重點在于管理?,F(xiàn)代企業(yè)管理實踐也證明,任何工作均是3分技術,7分管理。電網(wǎng)企業(yè)信息安全工作也不例外,技術只是最基本的手段,規(guī)范、科學的管理才是發(fā)展根本的保障[2]。

2信息安全防護體系設計

2.1信息安全防護體系總體框架

在對多種信息安全防護體系進行研究分析后,參照ISO/27001信息安全管理標準,根據(jù)國家電網(wǎng)公司電網(wǎng)信息安全等級保護“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”原則,提出電網(wǎng)企業(yè)的信息安全防護體系框架。電網(wǎng)企業(yè)信息安全防護體系建設可從管理和技術層面進行[3]。該體系框架根據(jù)規(guī)劃設計、開發(fā)測試、實施上線、運行維護、系統(tǒng)使用和廢棄下線6個環(huán)節(jié)的信息系統(tǒng)生命周期特征制定全過程安全管理;從物理、邊界、網(wǎng)絡、主機、終端、應用、數(shù)據(jù)7個方面制定全方位的技術防護措施。

2.2信息安全防護管理體系設計

電網(wǎng)企業(yè)信息安全在信息系統(tǒng)建設、運行、維護、管理的全過程中,任何一個環(huán)節(jié)的疏漏均有可能給信息系統(tǒng)帶來危害。根據(jù)信息系統(tǒng)全生命周期,從規(guī)劃設計、開發(fā)測試、實施上線、運行維護、系統(tǒng)使用和廢棄下線6個環(huán)節(jié),設計覆蓋信息安全管理、運行、監(jiān)督、使用職責的安全管控流程[3-4]。

2.2.1網(wǎng)絡與信息系統(tǒng)安全管理

網(wǎng)絡與信息系統(tǒng)是企業(yè)現(xiàn)代化管理的重點。由于網(wǎng)絡與信息系統(tǒng)的動態(tài)性、復雜性和脆弱性,建立健全的信息安全管理體系已成為了保障網(wǎng)絡與信息系統(tǒng)安全的重要手段。網(wǎng)絡與信息系統(tǒng)的安全管理依照國家電網(wǎng)公司制定的《國家電網(wǎng)公司信息網(wǎng)絡運行管理規(guī)程(試行)》,遵循信息安全等級保護“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”的原則。

2.2.2人員安全管理與崗位職責管理

安全問題的特點為“3分技術、7分管理”,而管理的核心是人,對于人員安全管理與崗位職責管理其主要包含如下管理內容:(1)崗位職責。制定崗位責任書,明確各崗位信息安全責任。(2)持證上崗。安全工作人員持證上崗。(3)保密管理。與員工簽訂保密協(xié)議,并定期進行檢查與考核。(4)安全培訓。對員工進行定期安全培訓。(5)離職管理。對離崗離職人員賬號、權限及信息資產進行清理和移交。

2.2.3全過程安全管理

(1)系統(tǒng)規(guī)劃設計安全管理的主要內容包括:1)分析和確認系統(tǒng)安全需求。2)確定系統(tǒng)安全保護等級并備案。3)制定安全防護方案并進行評審。(2)系統(tǒng)研發(fā)安全管理的主要內容包括:1)制訂研發(fā)安全管理機制,確保開發(fā)全過程信息安全。2)加強開發(fā)環(huán)境安全管理,與實際運行環(huán)境及辦公環(huán)境安全隔離。3)嚴格按照安全防護方案進行安全功能開發(fā)并定期進行審查。4)定期對研發(fā)單位環(huán)境和研發(fā)管理流程進行安全督查。(3)系統(tǒng)實施與上線安全管理的主要內容包括:1)嚴格按照設計方案對網(wǎng)絡、主機、數(shù)據(jù)庫、應用系統(tǒng)等進行安全配置。2)嚴格遵循各項操作規(guī)程,避免誤操作。3)組織安全測評機構進行上線環(huán)境安全測評。4)及時對系統(tǒng)試運行期間發(fā)現(xiàn)的安全隱患進行整改。(4)系統(tǒng)運行維護安全管理的主要內容包括:1)遵循運維安全規(guī)程,執(zhí)行各項運維操作。2)對系統(tǒng)安全運行狀況進行實時監(jiān)控,及時采取預警和應急處置措施。3)定期進行安全風險評估、等級保護測評與整改。4)建立系統(tǒng)漏洞補丁的安全測試、分發(fā)和安裝管理機制。5)根據(jù)數(shù)據(jù)重要性進行數(shù)據(jù)備份,并定期進行恢復測試。(5)系統(tǒng)使用安全管理的主要內容包括:1)終端準入控制,對各種移動作業(yè)、采集、??氐冉K端進行安全測評。2)終端外聯(lián)控制,禁止終端跨網(wǎng)絡接入。3)系統(tǒng)賬號和權限管理,對系統(tǒng)使用人員及其權限進行嚴格管理。4)終端使用管理,防止終端交叉使用、用戶越權訪問等。5)終端數(shù)據(jù)存儲、處理時的安全保護。6)對移動存儲介質的安全管理。7)終端維修管理,由運維機構統(tǒng)一處理。8)終端下線、報廢時的安全管理,對終端數(shù)據(jù)進行安全處理。(6)系統(tǒng)廢棄下線安全管理的主要內容包括:1)評估系統(tǒng)下線對其它系統(tǒng)的安全性影響,制定下線方案并進行評審。2)系統(tǒng)下線前對重要數(shù)據(jù)進行備份和遷移。3)系統(tǒng)下線后對不再使用的數(shù)據(jù)與存儲介質進行銷毀或安全處理。4)系統(tǒng)下線后及時進行備案。

2.2.4系統(tǒng)測試評估安全機制與評價考核

信息系統(tǒng)建成后必須經(jīng)過試運行并對系統(tǒng)的安全性、可靠性和應急措施進行全面測試,測試和試運行通過后方可投入正式運行,信息安全風險評估包括資產評估、威脅評估、脆弱性評估、現(xiàn)有安全措施評估、風險計算和分析、風險決策和安全建議等評估內容。安全管理機制的主要內容包括:事件管理、安全督查、等保管理、備案管理,應急管理等。

3信息安全防護體系

電網(wǎng)企業(yè)信息安全防護體系的設計[5],主要從物理、邊界、網(wǎng)絡、主機、終端、應用、數(shù)據(jù)7個方面進行,遵循環(huán)境分離、安全分域、網(wǎng)絡隔離、終端準入、補丁加固、數(shù)據(jù)分級、安全接入、基線配置、應用審計、密鑰應用等技術原則,輔以相應的技術措施實現(xiàn)全面的安全防護[6]。

3.1物理安全

物理環(huán)境分為室內物理環(huán)境和室外物理環(huán)境,根據(jù)設備部署安裝位置的不同,選擇相應的防護措施。室內機房物理環(huán)境安全需滿足對應信息系統(tǒng)安全等級的等級保護物理安全要求,室外設備物理安全需滿足國家要求。具體安全措施如下:(1)機房分區(qū)、門禁等準入控制。(2)設備物理安全需滿足國家對于防盜、電氣、環(huán)境、噪音、電磁、機械結構、銘牌、防腐蝕、防火、防雷、電源等要求。(3)機柜/機箱應避免可能造成的人身安全隱患,符合安裝設備的技術需求。(4)機柜/機箱外應設有警告標記,并能進行實時監(jiān)控,在遭受破壞時能及時通知監(jiān)控中心。(5)研發(fā)場所分離并采取準入控制

3.2邊界安全

邊界安全防護目標是使邊界的內部不受來自外部的攻擊,同時也用于防止惡意的內部人員跨越邊界對外實施攻擊,或外部人員通過開放接口、隱蔽通道進入內部網(wǎng)絡;在發(fā)生安全事件前期能夠通過對安全日志及入侵檢測事件的分析發(fā)現(xiàn)攻擊企圖,安全事件發(fā)生后可以提供入侵事件記錄以進行審計追蹤。

3.3網(wǎng)絡安全

網(wǎng)絡環(huán)境安全防護的目標是防范惡意人員通過網(wǎng)絡對網(wǎng)絡設備和業(yè)務系統(tǒng)進行攻擊和信息竊取,在安全事件發(fā)生前可以通過集中的日志審計、入侵檢測事件分析等手段,以及對信息內外網(wǎng)網(wǎng)絡、終端以及防護設備等安全狀態(tài)的感知和監(jiān)測,實現(xiàn)安全事件的提前預警;在安全事件發(fā)生后可以通過集中的事件審計系統(tǒng)及入侵檢測系統(tǒng)進行事件追蹤、事件源定位,及時制定相應的安全策略防止事件再次發(fā)生;并能實現(xiàn)事后審計,對惡意行為和操作的追查稽核、探測入侵、重建事件和系統(tǒng)條件,生成問題報告。

3.4主機安全

主機系統(tǒng)安全的目標是采用信息保障技術確保業(yè)務數(shù)據(jù)在進入、離開或駐留服務器時保持可用性、完整性和保密性,采用相應的身份認證、訪問控制等手段阻止未授權訪問,采用主機防火墻、入侵檢測等技術確保主機系統(tǒng)的安全,進行事件日志審核以發(fā)現(xiàn)入侵企圖,在安全事件發(fā)生后通過對事件日志的分析進行審計追蹤,確認事件對主機的損害程度以進行后續(xù)處理。

3.5終端安全

終端安全防護目標是確保智能電網(wǎng)業(yè)務系統(tǒng)終端、信息內外網(wǎng)辦公計算機終端以及接入信息內、外網(wǎng)的各種業(yè)務終端的安全。目前重點終端類型包括:(1)配電網(wǎng)子站終端。(2)信息內、外網(wǎng)辦公計算機終端。(3)移動作業(yè)終端。(4)信息采集類終端。對于各種終端,需要根據(jù)具體終端的類型、應用環(huán)境以及通信方式等選擇適宜的防護措施。

3.6應用安全

按照國家信息安全等級保護的要求,根據(jù)確定的等級,部署身份鑒別及訪問控制、數(shù)據(jù)加密、應用安全加固、應用安全審計、剩余信息保護、抗抵賴、資源控制、等應用層安全防護措施。

3.7數(shù)據(jù)安全

對數(shù)據(jù)的安全防護分為數(shù)據(jù)的災難恢復、域內數(shù)據(jù)接口安全防護和域間數(shù)據(jù)接口安全防護。域內數(shù)據(jù)接口是指數(shù)據(jù)交換發(fā)生在同一個安全域的內部,由于同一個安全域的不同應用系統(tǒng)之間需要通過網(wǎng)絡共享數(shù)據(jù),而設置的數(shù)據(jù)接口;域間數(shù)據(jù)接口是指發(fā)生在不同的安全域間,由于跨安全域的不同應用系統(tǒng)間需要交換數(shù)據(jù)而設置的數(shù)據(jù)接口。

4結束語

第6篇:網(wǎng)絡安全防護體系建設范文

【關鍵詞】 煙草 信息安全 體系 建設

隨著煙草行業(yè)的不斷發(fā)展,企業(yè)對信息化建設的要求越來越高。目前,煙草行業(yè),尤其是以地市級煙草企業(yè)為代表的卷煙銷售終端企業(yè),在信息安全建設上給予的重視越來越高,資金的投入也越來越大,地市級煙草企業(yè)信息安全工作有了保障。

1 信息安全體系規(guī)劃原則

根據(jù)國家和行業(yè)信息安全相關政策和標準,安全體系規(guī)劃與設計工作遵循以下的建設原則:

(1)重點保護原則。針對核心的服務支撐平臺,應采取足夠強度的安全防護措施,確保核心業(yè)務不間斷運行。

(2)靈活性原則。因信息技術日新月異的發(fā)展,而相應的安全標準滯后,應靈活設計相應的防護措施。

(3)責任制原則。安全管理應做到“誰主管,誰負責”,注重安全規(guī)章制度、應急響應的落實執(zhí)行。

(4)實用性原則。以確保信息系統(tǒng)性能和安全為前提,充分利用資源,保障安全運行。

2 信息安全體系管理范圍

以地市級煙草企業(yè)中心機房核心網(wǎng)絡和系統(tǒng)為主,覆蓋市局(公司)、各縣級局(營銷部)、基層專賣管理所等,安全體系包括范圍:應用安全、網(wǎng)絡安全、主機安全、數(shù)據(jù)安全、終端安全等。

3 信息安全體系規(guī)劃框架

按照等級化保護“積極防御、綜合防范”的方針,地市級煙草企業(yè)信息化建設需要進行整體安全體系規(guī)劃設計,全面提高信息安全防護能力。

在綜合評估信息化安全現(xiàn)狀的基礎上,從管理和技術來進行信息安全管理工作。信息安全體系建設思路是:以保護信息系統(tǒng)為核心,嚴格參考等級保護的思路和標準,滿足地市級煙草企業(yè)信息系統(tǒng)在物理層面、網(wǎng)絡層面、系統(tǒng)層面、應用層面和管理層面的安全需求,為各項業(yè)務的開展提供有力保障。信息安全體系框架如圖1所示:

4 信息安全管理體系建設

從實際情況出發(fā),體系包括安全組織機構、安全管理制度、人員安全、安全教育培訓在內的安全管理體系。

4.1 組織機構

由決策機構、管理機構、和執(zhí)行機構三個層面組成信息安全組織機構,并通過合理的組織結構設置、人員配備和工作職責劃分,對信息安全工作實行全方位管理。

4.2 安全制度

信息安全規(guī)章制度是所有與信息安全有關的人員必須共同遵守的行為準則。應從信息安全組織機構和崗位職責、人員管理制度、信息系統(tǒng)管理制度、機房管理制度、網(wǎng)絡管理制度等。

4.3 人員安全

通過管理控制手段,確保單位內部人員以及第三方人員的安全意識,包括人員的崗前安全技能培訓、保密協(xié)議的簽訂等幾個方面。

4.4 安全教育培訓

通過有計劃培訓和教育手段,確保工作人員充分認識信息安全的重要性,具備符合要求的安全意識、知識和技能,提高其進行信息安全防護的主動性、自覺性和能力。

5 信息安全技術體系建設

按照等級保護方法,對信息系統(tǒng)進行安全區(qū)域的劃分,并根據(jù)保護強度來采用相應的安全技術,實行分區(qū)域、分級管理?;A性保護措施實現(xiàn)后,建立地市級煙草企業(yè)的信息安全管理平臺,對地市級煙草企業(yè)整體信息系統(tǒng)的統(tǒng)一安全管理。

5.1 劃分安全區(qū)域

根據(jù)信息化資產屬性,可劃分為服務器區(qū)域、終端區(qū)域。目前,各業(yè)務域的服務器直接連接至核心交換機,無法對各個服務器區(qū)之間劃分明確邊界,在服務器區(qū)和核心交換機之間增加匯聚交換機,服務器經(jīng)過匯聚交換機的匯聚再上聯(lián)至核心交換機。對局域網(wǎng)按照業(yè)務功能區(qū)建立不同的VLAN,分別賦予相應級別的服務訪問權限和安全防護措施。安全域網(wǎng)絡拓撲如圖2示:

一級安全域包括范圍:地市級煙草企業(yè)辦公區(qū)域、縣公司辦公區(qū)域、移動訪問用戶區(qū)域。部署上網(wǎng)行為管理、殺毒軟件等防護措施。二級安全域包括對象:業(yè)務與管理服務器區(qū)域、網(wǎng)站服務器區(qū)域、公共平臺服務器區(qū)(防病毒服務器、網(wǎng)管服務器)等。部署操作系統(tǒng)加固、身份認證、漏洞掃描、文件數(shù)據(jù)加密以及安全審計等措施。三級安全域包括數(shù)據(jù)服務器區(qū)域、存儲備份區(qū)域以及核心交換機、主干路由器等。部署核心交換設備、鏈路冗余備份,加載廣域網(wǎng)路由QOS策略,采用數(shù)據(jù)庫高強度口令訪問等措施。

5.2 保護計算環(huán)境

“云計算”和虛擬化技術的發(fā)展,打破了傳統(tǒng)意義上按物理位置劃分的計算環(huán)境。依照不同的保護等級,分別進行加強用戶身份鑒別、標記和強制訪問控制、系統(tǒng)安全審計、用戶數(shù)據(jù)完整性保護、保密性保護、系統(tǒng)安全監(jiān)測等措施。

5.3 區(qū)域邊界保護

邊界保護是一組功能的集合,包括邊界的訪問控制、包過濾、入侵監(jiān)測、惡意代碼防護以及區(qū)域邊界完整性保護等。在技術上通過防火墻、入侵防護、病毒過濾、終端安全管理等措施來實現(xiàn)保護。

5.4 通信網(wǎng)絡防護

信息系統(tǒng)的互聯(lián)互通是建立在安全暢通的通信網(wǎng)絡基礎之上。通訊網(wǎng)絡的構成主要包括網(wǎng)絡傳輸設備、軟件和通信介質。保護通信網(wǎng)絡的安全措施有:網(wǎng)絡安全監(jiān)控、網(wǎng)絡審計、網(wǎng)絡冗余或備份以及可靠網(wǎng)絡設備接入。一是利用入侵防護系統(tǒng)以及UTM在關鍵的計算環(huán)境邊界,進行安全監(jiān)控,防止非法的訪問;二是對骨干網(wǎng)中的防火墻設備進行配置,制定安全訪問控制策略,設置授信的訪問區(qū)域;啟用安全審計功能,對經(jīng)過防火墻訪問關鍵的IP、系統(tǒng)或數(shù)據(jù)進行記錄、監(jiān)控;通過網(wǎng)閘技術,對不同網(wǎng)絡進行物理隔離。通過VLAN技術對內部網(wǎng)絡進行邏輯隔離。

5.5 數(shù)據(jù)安全防護

建立數(shù)據(jù)安全備份和恢復機制,部署數(shù)據(jù)備份和恢復系統(tǒng),制定相應的數(shù)據(jù)備份與恢復策略,完成對數(shù)據(jù)的自動備份,并建立數(shù)據(jù)恢復機制。建立異地數(shù)據(jù)級災備中心,在系統(tǒng)出現(xiàn)災難事故時,能夠恢復數(shù)據(jù)使系統(tǒng)應用正常運行。

5.6 信息安全平臺

第7篇:網(wǎng)絡安全防護體系建設范文

關鍵詞:計算機網(wǎng)絡;網(wǎng)絡安全;威脅;防范措施

互聯(lián)網(wǎng)一直不平靜,近來鬧得沸沸揚揚的“斯諾登事件”和“棱鏡門”揭示了黑客行為不單是個人所為,還有政府組織背景。筆者無意探討其中的是非曲折,僅結合計算機網(wǎng)絡中的一些的安全威脅及防范措施進行分析和探討。據(jù)《CNCERT互聯(lián)網(wǎng)安全威脅報告》,2013年4月份我國境內感染網(wǎng)絡病毒的終端數(shù)近371萬個;被篡改網(wǎng)站數(shù)量為9020個,其中被篡改政府網(wǎng)站數(shù)量為810個;CNVD收集到系統(tǒng)安全漏洞732個,其中高危漏洞226個,可被利用實施遠程攻擊的漏洞有624個。這里指出了計算機網(wǎng)絡常見的幾大安全威脅:病毒、網(wǎng)絡攻擊、安全漏洞。下面進行討論。

一、網(wǎng)絡安全與主要威脅

1.關于網(wǎng)絡安全。網(wǎng)絡安全是指計算機網(wǎng)絡系統(tǒng)的軟硬件以及系統(tǒng)數(shù)據(jù)處于保護狀態(tài),不因自然因素或人為惡意破壞而導致系統(tǒng)破壞、數(shù)據(jù)被惡意地篡改和泄漏,從而保證計算機系統(tǒng)可以安全、可靠、穩(wěn)定的運行。從該定義可以看出,“棱鏡門”導致全球范圍內難以計數(shù)的計算機系統(tǒng)受到了安全威脅,因為在人們不知不覺中個人信息可能已經(jīng)泄漏出去了。

2.計算機網(wǎng)絡主要威脅。(1)病毒威脅。按照《中華人民共和國計算機信息系統(tǒng)安全保護條例》給出的定義,病毒(Virus)是編寫或插入計算機程序中,具有破壞計算機功能或數(shù)據(jù),影響計算機使用并且可以自我復制的一組計算機指令或程序代碼。計算機病毒可以像生物病毒那樣,通過電腦硬盤、光盤、U盤、網(wǎng)絡等途徑自我復制而大量傳播,也能像生物病毒對待宿主那樣造成巨大破壞,例如幾年前“熊貓燒香”病毒的破壞力人們記憶尤存。(2)木馬威脅。木馬(Trojan)源于希臘傳說特洛伊木馬計的故事。木馬也是一種計算機程序,與病毒不同的是它一般不會自我復制,也不會感染其他文件,而常常偽裝成游戲或對話框吸引用戶下載,一旦進入用戶計算機系統(tǒng)就如同施了特洛伊木馬計那樣,在用戶電腦中破壞、盜取數(shù)據(jù)或者通過遠程操控用戶電腦。可見,木馬的危害不亞于病毒。(3) 黑客攻擊。黑客(Hacker)是指那些利用網(wǎng)絡攻擊技術攻擊計算機網(wǎng)絡中的計算機系統(tǒng)的人。黑客攻擊目標可能是個人電腦,也可能是企業(yè)、政府部門的服務器系統(tǒng),攻擊所要達到的目的可以是獲取商業(yè)機密,進行網(wǎng)絡詐騙、網(wǎng)絡釣魚,也可能懷有某種政治目的而進行破壞,如篡改網(wǎng)站,攻擊政府、企事業(yè)單位的網(wǎng)站而使其癱瘓。(4)安全漏洞。安全漏洞是指計算機系統(tǒng)中存在的可能被黑客利用的缺陷,它包括系統(tǒng)漏洞、應用軟件漏洞、網(wǎng)絡設備漏洞、安全產品漏洞(如防火墻、入侵檢測系統(tǒng)等存在的漏洞)等。漏洞是客觀存在的,而且很難完全避免,這是由計算機系統(tǒng)的復雜性所決定的。但有那么一些漏洞是人為設置的,如軟件后門。(5)操作與管理漏洞。有些計算機用戶操作不當及安全意識較差。例如無意中的操作失誤,口令設置過于簡單,隨意將自己的帳號轉借給他人或者與人共享等。部分集團用戶缺乏嚴密的管理措施,使內部網(wǎng)絡容易受到攻擊,如一些單位的局域網(wǎng)、校園網(wǎng)為了便于資源共享,訪問控制或安全通信方面有所欠缺,采用移動設備無線傳輸數(shù)據(jù)時不經(jīng)過必要的安全檢查,增加了數(shù)據(jù)泄密的幾率。

3.網(wǎng)絡威脅的后果。計算機網(wǎng)絡中的威脅已帶來許多不良影響,比較典型的后果有:一是數(shù)據(jù)丟失,對于失去重要的商業(yè)資料,其經(jīng)濟損失難以估量;二是系統(tǒng)癱瘓,對于一些經(jīng)營性網(wǎng)站將無法提供服務;三是機密失竊,對于推行辦公自動化的部門、單位而言,核心機密失竊不僅意味著巨大經(jīng)濟損失,而且對其以后發(fā)展可能是致命的;四是威脅社會安定,一些政府網(wǎng)站信息資料被篡改及傳播謠言,將對社會穩(wěn)定構成極大威脅。

二、計算機網(wǎng)絡安全防范措施

1.構建網(wǎng)絡安全防護體系。目前,網(wǎng)絡安全的形勢已不單局限于國內、某一部門、單位或個人,“棱鏡門”事件說明網(wǎng)絡安全更需要國際合作。從國內來說網(wǎng)絡安全的法律體系尚不完善,針對網(wǎng)絡犯罪存在一些明顯的不足,例如量刑程度較粗,相比傳統(tǒng)犯罪刑罰偏輕,所以健全法律法規(guī)體系建設是確保網(wǎng)絡安全的基礎。網(wǎng)絡安全防護體系應由網(wǎng)絡安全評估體系、網(wǎng)絡安全服務體系和安全防護結構體系組成。評估體系是對網(wǎng)絡漏洞、管理進行評估;服務體系包括應急服務體系、數(shù)據(jù)恢復服務和安全技術培訓服務;防護結構體系包括病毒防護體系、網(wǎng)絡訪問控制技術、網(wǎng)絡監(jiān)控技術和數(shù)據(jù)保密技術。

2. 網(wǎng)絡安全技術防范措施。(1) 重視安全漏洞的修補。安全漏洞意味著系統(tǒng)存在可預知的不足,既然如此就應當設法彌補漏洞。如系統(tǒng)漏洞、應用軟件漏洞可借漏洞掃描軟件定期掃描找出漏洞,再打足補丁。對于操作系統(tǒng)和應用軟件應該開啟實時更新功能,及時打上補丁或更新軟件。(2)防范病毒。一般可通過安裝防病毒軟件防范病毒攻擊。防病毒軟件有單機版和網(wǎng)絡版兩種類型。單機版可用于個人電腦和局域網(wǎng)內使用,網(wǎng)絡版可用于互聯(lián)網(wǎng)環(huán)境。但需要注意的是,在當今網(wǎng)絡環(huán)境中使用防病毒軟件也只能提供有限度的防護,對于黑客入侵并不總有效,仍需要其他安全防護措施。(3)利用好防火墻技術。防火墻技術實質上是隔離內網(wǎng)與外網(wǎng)的屏障,避免非授權訪問。使用防火墻的關鍵是合理配置,不少人卻忽略了這一點。正確配置方案包括身份驗證、口令驗證級別以及過濾原則等。(4)訪問控制技術。訪問控制就是根據(jù)用戶身份設置不同的訪問權限。通過訪問控制技術可阻止病毒或惡意代碼入侵,減少非授權用戶訪問行為。(5)數(shù)據(jù)加密技術。數(shù)據(jù)加密可有效防止機密失竊,即使數(shù)據(jù)傳輸時被截獲,信息也不會完全泄漏。數(shù)據(jù)加密方法一般可分為對稱加密算法和非對稱加密算法兩種,前者加密與解密的密鑰相同,系統(tǒng)安全性與密鑰安全性關系較大;后者加密與解密密鑰不同,且需要一一對應,安全性更高。(6)其他常用安全技術。如入侵防御技術(IPS)、入侵檢測技術(IDS)、虛擬專用網(wǎng)技術(VPN)、網(wǎng)絡隔離技術等。日常應加強數(shù)據(jù)備份管理,確保數(shù)據(jù)丟失、破壞后可以迅速恢復。

三、結語

計算機網(wǎng)絡已經(jīng)改變了人們的生活方式,也提升了生活質量,但無法忽略的是網(wǎng)絡威脅也始終相伴。通過有效的管理機制、技術防范措施,可以減少網(wǎng)絡威脅所帶來的問題,然而沒有絕對安全的技術,唯有不斷提高安全意識和更新安全技術,才能最大限度地保障網(wǎng)絡安全。

參考文獻:

第8篇:網(wǎng)絡安全防護體系建設范文

關鍵詞:信息安全;信息安全防護;安全管理

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)22-5346-02

隨著網(wǎng)絡信息系統(tǒng)在各行各業(yè)得到廣泛應用,企業(yè)單位辦公自動化程度越來越高,許多企業(yè)開始利用信息化手段來提升自身管理水平,增加競爭力。企業(yè)內部用戶之間實現(xiàn)了“互聯(lián)互通 ,資源共享”,極大地提高了企業(yè)單位的辦事效率和工作效率。但部分企業(yè)卻忽視了整個系統(tǒng)的安全和保密工作,使得系統(tǒng)處于危險之中,而一旦網(wǎng)絡被人攻破,企業(yè)機密的數(shù)據(jù)、資料可能會被盜取、網(wǎng)絡可能會被破壞,給企業(yè)帶來難以預測的損失。因此,企業(yè)網(wǎng)絡安全的建設必須提上日程,并加以有效防范。

1 企業(yè)信息安全防護策略

企業(yè)網(wǎng)絡所面臨的安全威脅既可能來自企業(yè)網(wǎng)內部,又可能來自企業(yè)網(wǎng)外部。所有的入侵攻擊都是從用戶終端上發(fā)起的,往往利用被攻擊系統(tǒng)的漏洞肆意進行破壞。企業(yè)網(wǎng)絡面臨的威脅主要有系統(tǒng)漏洞或后門、計算機病毒感染、惡意攻擊和非法入侵、管理失誤等。

企業(yè)信息安全從本質上講就是企業(yè)網(wǎng)絡信息安全,必須充分了解系統(tǒng)的安全隱患所在,構建科學信息安全防護系統(tǒng)架構,同時提高管理人員的技術水平,落實嚴格的管理制度 ,使得網(wǎng)絡信息能夠安全運行,企業(yè)信息安全防護策略如圖1所示。

2 硬件安全

企業(yè)網(wǎng)硬件實體是指實施信息收集、傳輸、存儲和分發(fā)的計算機及其外部設備和網(wǎng)絡部件。對硬件安全我們應采取以下相應措施:1)盡可能購買國產網(wǎng)絡設備,從根源上防止由于后門造成的威脅;2)使用低輻射計算機設備、屏蔽雙絞線或光纖等傳輸介質,把設備的信息輻射抑制到最低限度,這是防止計算機輻射泄密的根本措施;3)加強對網(wǎng)絡記錄媒體的保護和管理。如對關鍵的記錄媒體要有防拷貝和信息加密措施,對廢棄的光盤、硬盤和存儲介質要有專人銷毀等,廢棄紙質就地銷毀等;4)定期對實體進行安全檢測和監(jiān)控監(jiān)測。特別是對文件服務器、光纜(或電纜)、收發(fā)器、終端及其它外設進行保密檢查,防止非法侵入。

3 信息安全技術

企業(yè)信息的安全必須有安全技術做保障。目前可以采用的安全技術主要有:

3.1 安全隔離技術

安全隔離與信息交換系統(tǒng)(網(wǎng)閘)由內、外網(wǎng)處理單元和安全數(shù)據(jù)交換單元組成。安全數(shù)據(jù)交換單元在內外網(wǎng)主機間按照指定的周期進行安全數(shù)據(jù)的擺渡。從而在保證內外網(wǎng)隔離的情況下,實現(xiàn)可靠、高效的安全數(shù)據(jù)交換,而所有這些復雜的操作均由隔離系統(tǒng)自動完成,用戶只需依據(jù)自身業(yè)務特點定制合適的安全策略既可實現(xiàn)內外網(wǎng)絡進行安全數(shù)據(jù)通信,在保障用戶信息系統(tǒng)安全性的同時,最大限度保證客戶應用的方便性。

3.2 防火墻技術

防火墻通過過濾不安全的服務,可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險;它可以提供對系統(tǒng)的訪問控制,如允許從外部訪問某些主機,同時禁止訪問另外的主機;阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息,如Finger和DNS;防火墻可以記錄和統(tǒng)計通過它的網(wǎng)絡通訊,提供關于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù),根據(jù)統(tǒng)計數(shù)據(jù)來判斷可能的攻擊和探測;防火墻提供制定和執(zhí)行網(wǎng)絡安全策略的手段,它可對企業(yè)內部網(wǎng)實現(xiàn)集中的安全管理,它定義的安全規(guī)則可運用于整個內部網(wǎng)絡系統(tǒng),而無須在內部網(wǎng)每臺機器上分別設立安全策略。

3.3 入侵檢測技術

入侵檢測技術作為一種主動防護技術,可以在攻擊發(fā)生時記錄攻擊者的行為,發(fā)出報警,必要時還可以追蹤攻擊者。它既可以獨立運行,也可以與防火墻等安全技術協(xié)同工作,更好地保護網(wǎng)絡,提高信息安全基礎結構的完整性,被認為是防火墻之后的第二道安全閘門,它在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,最大幅度地保障系統(tǒng)安全。它在網(wǎng)絡安全技術中起到了不可替代的作用,是安全防御體系的一個重要組成部分。

3.4 終端準入防御技術

終端準入防御(EAD,Endpoint Admission Defense)解決方案從控制用戶終端安全接入網(wǎng)絡的角度入手,整合網(wǎng)絡接入控制與終端安全產品,通過安全客戶端、安全策略服務器、網(wǎng)絡設備以及第三方軟件的聯(lián)動,對接入網(wǎng)絡的用戶終端強制實施企業(yè)安全策略,嚴格控制終端用戶的網(wǎng)絡使用行為,有效地加強了用戶終端的主動防御能力,為企業(yè)網(wǎng)絡管理人員提供了有效、易用的管理工具和手段。

3.5 災難恢復策略

災難恢復作為一個重要的企業(yè)信息安全管理體系中的一個重要補救措施,在整個企業(yè)信息安全管理體系中有著舉足輕重的作用。業(yè)界廣泛的經(jīng)驗和教訓說明,災難恢復的成功在于企業(yè)中經(jīng)過良好訓練和預演的人在自己的角色上實施預先計劃的策略,即災難恢復計劃。只有制定快速有效地進行數(shù)據(jù)恢復的策略,才能應對每一種可能出現(xiàn)的數(shù)據(jù)損壞事故。

3.6 其他信息安全技術

當然,信息安全技術還有很多,如防御病毒技術、數(shù)字簽名技術、加密和解密技術、VLAN技術、訪問控制技術等,這些都可以在一定程序上增加網(wǎng)絡的安全性。

4 安全管理

網(wǎng)絡安全管理是企業(yè)管理中一個難點,很多信息化企業(yè)并不十分看重網(wǎng)絡安全,直到重要數(shù)據(jù)丟失產生重大損失才追悔莫及,因此首先在思想上充分重視信息安全,不能抱有一絲僥幸心理。對于安全管理采取的措施主要有:確定每個管理者對用戶授予的權限、制訂機房管理制度、建立系統(tǒng)維護制度、實行多人負責制度、實行有限任期制度、建立人員雇用和解聘制度、實行職責分離制度、建立事件及風險管理中心等。

這些要通過對公司全體員工進行教育培訓,強化規(guī)范操作,重要數(shù)據(jù)作好及時備份 ,從系統(tǒng)的角度促進全體團隊認真執(zhí)行 ,以達到網(wǎng)絡的保障。

5 人員安全意識

企業(yè)信息安全隊伍建設要以領導干部和人員為重點,積極開展面向企業(yè)各層面的保密教育,不斷提高全體員工的信息安全素質。采取的措施主要有:開展領導干部信息安全教育、開展人員保密教育、開展全員保密宣傳教育、推進員工分層次信息安全培訓等。

6 小結

針對目前企業(yè)信息安全面臨的諸多問題,提出基于硬件安全、信息安全技術、安全管理和人員培訓的企業(yè)信息安全整體防護策略。企業(yè)信息安全防護是一個系統(tǒng)工程,必須全方位、科學地合理安排和落實,才能有效地保護企業(yè)的信息安全。

參考文獻:

[1] 曹國飛.企業(yè)網(wǎng)信息化建設保密技術研究[J].科技傳播,2010(9):229.

[2] 王梅,劉永濤.企業(yè)信息安全(保密)培訓的幾點思考[J].中國市場,2010,35(9):117-118.

[3] 趙曉.企業(yè)信息安全防護體系建設[J].科技創(chuàng)新導報,2010,34:255.

第9篇:網(wǎng)絡安全防護體系建設范文

【關鍵詞】電力信息網(wǎng)絡;安全防護;策略

電力系統(tǒng)是個特殊的能源行業(yè),發(fā)電、輸電、配電、用電必須同時完成,其覆蓋面之大,結構之復雜,層次之眾多是任何一個行業(yè)都無法比擬的。電能,像無形的血液日夜由各條脈絡源源不斷地傳輸流動,與國民經(jīng)濟和人民群眾的生活息息相關,電能的安全傳輸直接影響每一個人的生產和生活,而電能的安全傳輸又依賴于電力信息網(wǎng)絡的正常工作。因此,電力信息網(wǎng)絡安全體系的建立具有相當重要的意義。

1、電力調度系統(tǒng)對網(wǎng)絡安全防護體系的要求

近年來,特別是隨著電力市場化進程的加快,電力調度自動化的內涵也有了較大的延伸,由原來單一的EMS系統(tǒng)擴展為EMS、DMS、TMS、廠站自動化、水調自動化、雷電監(jiān)視、故障錄波遠傳、遙測、電力市場技術支持和調度生產管理系統(tǒng)等。電力信息網(wǎng)絡是支持調度自動化系統(tǒng)的重要技術平臺,實時性要求秒級或微秒級。其中發(fā)電報價系統(tǒng)、市場信息等電力市場信息系統(tǒng)由于需要與公網(wǎng)連接,因而還要求做加密和隔離處理。因此,要保障調度自動化的安全運行,就需要信息網(wǎng)絡從應用系統(tǒng)的各個層面出發(fā),按照其不同的安全要求,制定相應的防護策略,形成一整套完善的防護體系。

2、對安全體系建設和完善的幾點思路

2.1對網(wǎng)絡層風險的分析

2.1.1網(wǎng)絡風險來源

(1)網(wǎng)絡中心連通Internet之后,企業(yè)網(wǎng)可能遭受到來自Internet惡意攻擊;(2)在Internet上廣為傳播的網(wǎng)絡病毒將通過Web訪問、郵件、新聞組、網(wǎng)絡聊天以及下載軟件、信息等傳播,感染企業(yè)網(wǎng)內部的服務器、主機;更有一些黑客程序也將通過這種方式進入企業(yè)網(wǎng);(3)企業(yè)網(wǎng)內部連接的用戶很多,很難保證沒有用戶會攻擊企業(yè)的服務器。事實上,來自于內部的攻擊,其成功的可能性要遠遠大于來自于Internet的攻擊,而且內部攻擊的目標主要是獲取企業(yè)的機密信息,其損失要遠遠高于系統(tǒng)破壞。

2.1.2回避風險措施

基于以上風險,在上述兩層網(wǎng)絡結構中,網(wǎng)絡層安全主要解決企業(yè)網(wǎng)絡互聯(lián)時和在網(wǎng)絡通訊層安全問題,需要解決的問題有:

(1)企業(yè)網(wǎng)絡進出口控制(即IP過濾);(2)企業(yè)網(wǎng)絡和鏈路層數(shù)據(jù)加密;(3)安全檢測和報警、防殺病毒。

重點在于企業(yè)網(wǎng)絡本身內部的安全,如果解決了各個企業(yè)網(wǎng)的安全,那么企業(yè)互聯(lián)掃安全只需解決鏈路層的通訊加密。

2.2對網(wǎng)絡進出口的控制

需要對進入企業(yè)內部網(wǎng)進行管理和控制。在每個部門和單位的局域網(wǎng)也需要對進入本局域網(wǎng)進行管理和控制。各網(wǎng)之間通過防火墻或虛擬網(wǎng)段進行分割和訪問權限的控制。同樣需要對內網(wǎng)到公網(wǎng)進行管理和控制。要達到授權用戶可以進出內部網(wǎng)絡,防止非授權用戶進出內部網(wǎng)絡這個基本目標。

對關鍵應用需要進行鏈路層數(shù)據(jù)加密,特別是最核心的決策層的服務系統(tǒng),為決策層提供信息共享,需要有高強度的數(shù)據(jù)加密措施。

2.3安全檢測和報警、防殺病毒

安全檢測是實時對公開網(wǎng)絡和公開服務器進行安全掃描和檢測,及時發(fā)現(xiàn)不安全因素,對網(wǎng)絡攻擊進行報警。這主要是提供一種監(jiān)測手段,保證網(wǎng)絡和服務的正常運行。要實現(xiàn):

(1)及時發(fā)現(xiàn)來自網(wǎng)絡內外對網(wǎng)絡的攻擊行為;(2)詳實地記錄攻擊發(fā)生的情況;(3)當發(fā)現(xiàn)網(wǎng)絡遭到攻擊時,系統(tǒng)必須能夠向管理員發(fā)出報警消息;(4)當發(fā)現(xiàn)網(wǎng)絡遭到攻擊時,系統(tǒng)必須能夠及時阻斷攻擊的繼續(xù)進行;(5)對防火墻進行安全檢測和分析;(6)對Web服務器檢測進行安全檢測和分析;(7)對操作系統(tǒng)檢測進行安全檢測和分析。

需要采用網(wǎng)絡防病毒機制來防止網(wǎng)絡病毒的攻擊和蔓延。嚴格地講,防殺病毒屬于系統(tǒng)安全需求范疇。

2.4對應用系統(tǒng)安全風險的分析

對應用系統(tǒng)的攻擊可以分為2類。

當攻擊者對網(wǎng)絡結構和系統(tǒng)應用模式不了解時,主要通過對應用服務器進行系統(tǒng)攻擊,破壞操作系統(tǒng)或獲取操作系統(tǒng)管理員的權限,再對應用系統(tǒng)進行攻擊,以獲取企業(yè)的重要數(shù)據(jù); 在現(xiàn)在通用的三層結構(數(shù)據(jù)庫服務器—應用服務器—應用客戶端)中,通過對數(shù)據(jù)庫服務器的重點保護,可以防止大多數(shù)攻擊;攻擊者了解了網(wǎng)絡結構和系統(tǒng)應用模式時,可直接通過對應用模式的攻擊,獲取企業(yè)的機密信息,這些攻擊包括:

(1)非法用戶獲取應用系統(tǒng)的合法用戶帳號和口令,訪問應用系統(tǒng);(2)用戶通過系統(tǒng)的合法用戶帳號,利用系統(tǒng)的BUG,訪問其授權范圍以外的信息;(3)攻擊者通過應用系統(tǒng)存在的后門和隱通道(如隱藏的超級用戶帳號、非公開的系統(tǒng)訪問途徑等),訪問應用服務器或數(shù)據(jù)庫服務器;(4)在數(shù)據(jù)傳輸過程中,通過竊聽等方式獲取數(shù)據(jù)包,通過分析、整合,獲取企業(yè)的機密信息。

這類攻擊主要來源于企業(yè)內部,包括通過授權使用應用系統(tǒng)的員工,開發(fā)、維護這些應用系統(tǒng)的員工、開發(fā)商。

2.5將系統(tǒng)后臺管理納入安全管理域

在把注意力集中在前臺應用與客戶之間時,不應忽略和忘記內網(wǎng)的后臺管理工作的安全。后臺管理在不同的網(wǎng)絡應用中有不同的內容。其安全問題主要體現(xiàn)在管理員的身份、管理員的操作權限和管理權的操作記錄。后臺管理的安全漏洞主要是口令的泄露。從安全風險的程度來講,來自管理員的安全風險更大。

3、結束語

電力是關系到國計民生的基礎產業(yè),有很強的信息保密與安全需求。由于自身業(yè)務的需要,實現(xiàn)內部網(wǎng)絡的互通,以及內部網(wǎng)絡與Internet的互通,要求建立一個權限清晰、服務完善、安全到位的網(wǎng)絡。由于不可避免地與外網(wǎng)相連,就必須時刻防備來自外部的黑客、病毒的威脅。為了維護電力信息安全,確保信息網(wǎng)絡系統(tǒng)穩(wěn)定可靠,網(wǎng)絡安全體系建設極為重要。

參考文獻

[1]謝楊.構筑珠海供電分公司網(wǎng)絡安全體系[J].電力信息化,2004,(07).

[2]陳兵,王立松.網(wǎng)絡安全體系結構研究[J].計算機工程與應用,2002,(07).