前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的企業(yè)網絡安全建設實踐主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:企業(yè)網絡;信息安全;安全方案構建
1 企業(yè)計算機網絡安全方案的構建意義
目前,我國大中型企業(yè)信息化建設中的關鍵部分就是信息安全建設,解決信息安全問題有利于企業(yè)信息化建設工作的全面推進。企業(yè)信息安全建設的最終目的是要真正做到“防患于未然”,信息安全的有效性建設能夠控制企業(yè)信息化建設的總體成本,為企業(yè)節(jié)約大量資金,實現資源優(yōu)化配置。企業(yè)計算機網絡安全建設工作要始終堅持等級保護理念,才能促進企業(yè)信息安全建設工作的穩(wěn)步實施,保證企業(yè)信息管理系統(tǒng)的建設符合行業(yè)標準和政策規(guī)定,全面提升企業(yè)在激烈的市場競爭中的競爭力。
2 企業(yè)計算機網絡安全的弱點和威脅
2.1 信息安全弱點
信息安全弱點與企業(yè)信息資源密切相關,信息安全弱點的暴露很有可能導致企業(yè)資產的嚴重損失。但是,信息安全弱點本身并不會為企業(yè)帶來損失,只是在特定的環(huán)境下被非法者利用后才會造成企業(yè)資產損失,例如,企業(yè)信息系統(tǒng)開發(fā)過程中的脆弱性問題,管理員的管理措施問題等,這些信息安全弱點都為非法攻擊者提供了非法入侵的可能。
2.2 信息安全威脅
信息安全威脅指的是對企業(yè)資產構成潛在性的破壞因素,信息安全威脅的產生包括人為因素和自然環(huán)境因素。信息安全威脅可能是偶然發(fā)生的事件,也有可能是人為蓄意制造的時間,包括信息泄露、信息篡改等,這些事件都會導致企業(yè)信息的可用性、完整性和保密性遭到破壞,屬于對企業(yè)信息的惡意攻擊。
2.3 網絡安全事件
由于網絡特有的開放性特點,造成了非法攻擊、黑客入侵、病毒傳播等海量安全事件發(fā)生,信息安全領域對于網絡安全的研究也日益重視。根據大量網絡安全事件分析來看,企業(yè)信息管理系統(tǒng)的應用設計存在著諸多缺陷和弊端,給情報機構的非法入侵提供了極大的可能性。由此,內容分級制度、脆弱性檢測技術、智能分析技術已經廣泛應用于企業(yè)信息系統(tǒng)開發(fā)過程中。
3 企業(yè)計算機網絡安全存在的主要問題
⑴企業(yè)分部采用寬帶撥號上網的方式與企業(yè)總部實現通信傳輸,這種落后的網絡通信方式難以保證數據傳輸的安全性。企業(yè)信息安全級別較高的部門通過互聯網實現數據傳輸的過程中,沒有采取任何數據加密措施,非常容易造成數據信息的泄露和篡改,同時,企業(yè)信息管理系統(tǒng)的操作應用沒有設置明確的管理人員,導致其他非法用戶也可以入侵到企業(yè)內部網絡中,對服務器數據進行竊取和篡改。以上兩種網絡安全問題都容易造成企業(yè)重要數據的泄露,甚至給企業(yè)帶來不看估計的損失。
⑵隨著企業(yè)網絡規(guī)模的日益擴大,在網絡邊界如果仍然采用路由器連接企業(yè)內部網絡和外部網絡,已經無法適應飛速發(fā)展的網絡互連技術。企業(yè)雖然可以在網絡邊界的路由器中設置訪問控制策略,但是仍然存在來自互聯網的各種非法攻擊、IP地址攻擊、ARP協議欺騙等問題,這表明了企業(yè)需要一善可靠的防火墻設備,來對企業(yè)網絡的數據傳輸提供有效控制和保護。
⑶由于互聯網技術的飛速發(fā)展,為企業(yè)提供了豐富的信息資源,除了企業(yè)日常運營需要使用網絡資源,其他工作人員也有可能通過網絡獲取信息資源,例如使用迅雷、BT等軟件下載視音頻信息等,網絡下載會占用企業(yè)大部分帶寬資源,嚴重的會導致系統(tǒng)管理員無法對網絡終端的訪問情況進行有效管理,或者某一個計算機終端因下載感染病毒而引發(fā)ARP欺騙。
⑷隨著互聯網應用的日益普及,木馬病毒的廣泛傳播,企業(yè)員工計算機使用水平參差不齊,不能保證對網絡中的有害信息進行有效識別,由此導致了木馬病毒在企業(yè)內部網絡的感染和傳播。因此,需要定期對企業(yè)數據傳輸的原始數據流進行病毒查殺和威脅分析,以此起到有害信息過濾的作用,使流入企業(yè)內部網絡的數據信息能夠安全可靠,真正降低企業(yè)信息安全風險。同時,企業(yè)可以采用網關防病毒產品,在企業(yè)內部網絡與外部網絡處進行隔離保護,當木馬病毒出現時可以被攔截在企業(yè)內部網絡之外,為企業(yè)提供可靠的安全邊界保護。
4 企業(yè)計算機網絡安全方案的構建實施
企業(yè)總部需要與企業(yè)分部,以及其他合作企業(yè)之間實現數據傳輸與交換,企業(yè)派往外地出差的員工也需要通過遠程網絡訪問企業(yè)總部內網的信息管理系統(tǒng),因此,不同用戶企業(yè)總部內部網絡的訪問有著不同需求,企業(yè)必須具有安全可靠、性能較高、成本較低的網絡接入方式。由于企業(yè)分部大部分與企業(yè)總部不在一個城市,在企業(yè)總部與企業(yè)分部之間鋪設光纜線路是極為不現實的;如果租用專用光纖網絡通信線路,高額的租賃費用會嚴重增加企業(yè)運營發(fā)展的經濟負擔;如果將企業(yè)總部內部網絡的應用服務器映射在網關位置,雖然能夠方面用戶遠程訪問企業(yè)內部信息管理系統(tǒng),但會給企業(yè)網絡帶來巨大的安全隱患。本文基于以上分析,本文選擇利用VPN技術(虛擬局域網)在企業(yè)內部網絡出口處,虛擬設置一條網絡專線,以此將企業(yè)總部與企業(yè)分部網絡進行有效連接,形成一個規(guī)模較大的局域網,真正實現了用戶遠程訪問和接入。VPN技術不僅能夠滿足異地用戶對企業(yè)總部網絡信息管理系統(tǒng)的訪問需求,而且充分保證了用戶訪問的安全性,避免了單點登錄技術對企業(yè)整個網絡構成的安全威脅。
企業(yè)在部署上網行為管理設備(SINFOR M5X00-AC)時,應該開啟VPN功能,在企業(yè)總部內部網絡的邊界防火墻設備中進行端口映射,同時在企業(yè)分部網絡中安裝上網行為管理設備,并且與企業(yè)總部的上網行為管理設備共同利用VPN技術建立虛擬專用網絡,在對數據信息進行加密后在互聯網上傳輸。企業(yè)在構建虛擬專用網絡時,只要在任何一端的連接管理設置中輸入對方網絡地址,VPN設備就可以自動進行虛擬局域網組建,網絡中的任何計算機終端都可以通過虛擬專用網實現數據傳輸與共享。如果還有其他分部需要加入到虛擬局域網中,則可以通過輸入加密的訪問WAN扣地址實現。需要注意的是,已將連通的虛擬局域網的內網網段不能完全相同。
企業(yè)在部署上網行為管理設備時,由于訪問控制策略是信息安全策略的核心部分,也是對網絡中數據傳輸的關鍵保護措施,由此,需要對接入企業(yè)總部網絡的用戶進行身份認證,根據不同用戶的身份授予不同權限,再利用配置邏輯隔離服務器實現不同用戶身份對不同應用服務器的接入,從而對企業(yè)內部網絡中的業(yè)務信息管理系統(tǒng)進行訪問和使用。同時,安全級別為五級的QoS安全機制能夠為企業(yè)不同信息系統(tǒng)提供相應的安全服務保障,并且可以按照業(yè)務類別劃分優(yōu)先級別,重要的數據信息將會獲得優(yōu)先傳輸的權限。對用戶訪問權限的細致劃分可以限制非法用戶對網絡資源的訪問和使用,防止非法用戶入侵企業(yè)內部網絡進行破壞性操作,直接對接入企業(yè)內部網絡的各項訪問應用進行管控,真正提高了企業(yè)網絡系統(tǒng)的安全性。
在企業(yè)內部網絡部署應用安全產品過程中,需要綜合考慮如何完成安全產品的部署策略,才能使安全產品的性能充分發(fā)揮,同時,企業(yè)內部網絡還可以將不同的安全產品集成應用,使其發(fā)揮最大功能,充分提高企業(yè)信息管理系統(tǒng)的安全性和可靠性。
本文基于信息安全等級指導思想下,對企業(yè)內部網絡存在的問題進行了分析,并提出了良好的解決方案,包括防火墻的部署、入侵檢測設備的部署、上網行為管理設備的部署、防毒墻的部署、企業(yè)版殺毒軟件的部署等。
5 結論
綜上所述,本文在網絡信息安全等級保護理念下,將企業(yè)內部網絡的安全防護的有效性作為最終目標,對企業(yè)網絡信息安全存在的風險進行深入分析,結合企業(yè)實際情況,提出了企業(yè)計算機網絡安全設計方案,保障了企業(yè)總部內部網絡與分部網絡之間數據傳輸通信的安全性和可靠性。
[參考文獻]
[1]李正忠.電力企業(yè)信息安全網絡建設原則與實踐[J].中國新通信,2013,09:25-27.
[2]王迅.電信企業(yè)計算機網絡安全構建策略分析[J].科技傳播,2013,07:217+209.
[3]陳瑋.企業(yè)無線網絡移動辦公的安全接入問題分析[J].信息通信,2013,03:239.
關鍵詞:企業(yè)信息安全;網絡安全;計算機網絡;防火墻;防病毒
網絡的普及和蔓延已經深入到日常生活的方方面面,一個不能忽略的問題也伴隨著網絡的普及滲入到人們的生活中,那就是網絡安全問題。2017年5月一種名為“WannaCry”的勒索病毒全球范圍內爆發(fā),傳播速度之快已經對全球網絡安全構成了嚴重威脅。據權威機構研究顯示,中國每年遭受600億美元的網絡損失,位居亞洲第一。目前在國內,網絡安全威脅的行業(yè)范疇眾多,如教育、醫(yī)療、企業(yè)、電力、能源、交通、政府等組織及機構均是網絡安全的保障范圍。
現階段的網絡安全已經不是單個組織、單一個人的防范行為,而是隨著整個社會對信息安全的意識的覺醒形成的一個完整的網絡安全產業(yè)。隨著企業(yè)網絡安全意識的提高,網絡安全市場的規(guī)模也在逐年增長,伴隨的安全產品和安全解決方案也是層出不窮,作為一般企業(yè)如何結合企業(yè)自身需求建立完善的網絡安全策略,形成一個符合自身情況的網絡安全方案是本文要討論的重點。
1網絡安全概述
隨著網絡技術的普及和蔓延,越來越多的企業(yè)都開始通過網絡技術構建企業(yè)內部的信息平臺,將企業(yè)的業(yè)務數據信息化以提升企業(yè)的綜合實力,借助網絡技術加速企業(yè)的發(fā)展在行業(yè)內取得技術上對的領先優(yōu)勢。其業(yè)務運營越來越依賴于對計算機應用系統(tǒng),而計算機應用系統(tǒng)是建立在完善的技術網絡環(huán)境中的。隨著計算機網絡規(guī)模不斷擴大,網絡結構日益復雜,對計算機網絡的運維水平有著較大的挑戰(zhàn)。而近年來的網絡攻擊事件頻出,企業(yè)的信息安全防范意識也提高到了日常運維的日程中來了。從網絡安全的管控模型來分析,網絡安全一般采用動態(tài)的防御過程,一般要在安全事件發(fā)生的前、中和后均采用合理的技術方案,而網絡安全管理流程則會在整個網絡運營流程中起作用。企業(yè)的網絡管理人員已經將網絡安全納入企業(yè)的IT規(guī)劃發(fā)展的整體范疇,全面覆蓋企業(yè)信息平臺的各個層面,對整個網絡及應用的安全防范通盤考慮。
從網絡安全的發(fā)展歷程來說,是由于網絡自身的發(fā)展引發(fā)的安全問題才使得網絡安全技術誕生了,目前而言有網絡的地方就存在網絡安全隱患。像黑客攻擊、病毒入侵之類的網絡安全事件,都是利用計算機網絡作為主要的傳播途徑,其時間的發(fā)生頻率可以說和信息的傳播速度一樣快,這也是網絡安全的特點之一。除此之外,像非法用戶的訪問和操作,用戶信息的非法截取和更改,惡意軟件入侵和攻擊等都是現今普遍存在于計算機網絡的安全事件。顯然,其所帶來的危害也是讓每一位計算機用戶有著深刻的體會,例如:因為某種病毒讓操作系統(tǒng)運行不穩(wěn)定,導致文件系統(tǒng)中的數據損壞無法訪問和讀寫,甚至導致磁盤、計算機、網絡等硬件的損壞,造成極大的經濟損失。
由于企業(yè)的網絡環(huán)境建設過程一般歷經了數年甚至數十年,網絡中接人的設備數量和種類眾多,網絡中的應用和內部系統(tǒng)也繁多。再加上,一般要求企業(yè)的網絡運行是7*24小時不間斷作業(yè)運行,其產生的數據往往巨大,其中不乏大量的敏感信息。這樣的網絡環(huán)境,必然給惡意代碼、病毒程序、網絡攻擊等惡意的攻擊事件留下了隱患,可以毫不客氣地說企業(yè)的網絡環(huán)境往往是危機四伏。
2網絡安全實踐
2.1網絡安全誤區(qū)案例分析
目前針對網絡安全事件頻繁發(fā)作,不少企業(yè)采購了相關的安全產品并配合了相關的安全措施,但是缺乏對網絡安全框架的理解存在不少誤區(qū),主要有以下幾個方面。
1)部署網絡防火墻就萬事大吉了
防火墻主要原理是過濾封包與控制存取,因此對非法存取與篡改封包及DoS攻擊等網絡攻擊模式是極其有效的,對于網絡隔離和周邊的安全防護效果明顯。顯然如果攻擊行為繞開防火墻,或是將應用層的攻擊程序隱藏在正常的封包內,防火墻就失效了,這是由于大多數防火墻是工作在W絡層,并且其原理是“防外不防內”,對內部網絡的訪問不進行任何處理,顯然這種原理就成為了安全隱患和漏洞。
2)定期更新殺毒軟件就能夠保護系統(tǒng)不受病毒侵擾
顯然安裝殺毒軟件是避免系統(tǒng)被病毒破壞的主要手段之一,但是這僅僅只能對已知病毒進行查殺,對于未知病毒顯然缺乏事先預防的能力。
3)病毒只會在萬維網中傳播
雖然目前萬維網是病毒傳播的主要途徑,但是對于企業(yè)內部網絡可能會通過u盤、刻錄光盤、郵件、企業(yè)協同系統(tǒng)等從外部帶人病毒,因此只要計算機運行了,就要需要做好防范病毒措施。
4)為了避免病毒感染只要設置文件屬性為只讀即可
通常操作系統(tǒng)的shell調用可以提供將文件的讀寫屬性設置為只讀,但是對于黑客來說完全可以用程序做反向操作,即將文件屬性改為讀寫,并可以接管文件的控制權。
5)將敏感信息隔離于企業(yè)門戶之外
不少企業(yè)都采用了網絡隔離裝置,控制外部對企業(yè)內部網絡的訪問,甚至完全隔離任何數據的讀寫均禁止。但是對于內部的安全管理疏于防范,導致某些賬戶或權限被外部竊取,最后網絡敏感數據從內部流出,甚至導致內部網絡癱瘓,系統(tǒng)無法正常運行。
顯然上述誤區(qū)都是因為網絡管理員的思想局限在某些單一的網絡場景導致的,缺乏全局的網絡安全意識和合理的網絡安全規(guī)劃策略的指導。
2.2案例分析
針對上述誤區(qū),本文將以一個虛擬的公司網絡環(huán)境展開案例分析,設計一個全局的網絡防范框架。一般企業(yè)網絡按服務器類型劃分包括:AAA服務器、內部DNS服務器、FTP服務器、HTTP服務器等服務器。按職能部門劃分包括:經理辦公室、市場部、財政部、系統(tǒng)集成部、軟件部以及前臺接待部,一般各部門的網絡會做隔離,另外對于財務部的網絡只有經理辦公室有權限訪問其他部門不能訪問,而前臺接待部的網絡作為企業(yè)門戶不能訪問公司內部網絡,只能通過外網訪問。
根據上述基本網絡需求,在網絡安全架構設計上還應考慮Intemet的安全性,以及網絡隱私及專有性等一些因素,如NAT、VPN等。綜合分析,一個完整的企業(yè)網絡安全建設需求應該包括如下建設需求:1)網絡基礎設施建設;21網絡基礎的連通即訪問規(guī)劃;3)信息的訪問控制;4)全網網絡安全管理需求;5)各層次的網絡攻防控制;6)各層次應用及系統(tǒng)的病毒防范;7)企業(yè)內部的跨部門的信息安全;8)敏感信息及網絡安全控制。
根據上述基本網絡需求,可以建立一個如圖1所示的網絡拓撲結構。
上圖中的拓撲結構滿足一般性的企業(yè)網絡環(huán)境,包括服務器網絡及網絡隔離,各個職能部門的網絡、計算機及辦公設備,以及防范外部的防火墻設備,還包括各個層次的網絡交換機等網絡設備。
一般性的場景是根據圖1中的網絡拓撲設計,根據企業(yè)的實際網絡規(guī)劃考慮企業(yè)網絡建設的安全需求,在網絡建設的基礎上進行安全改造,目的是保證企業(yè)各種設計信息的安全性,提高企業(yè)網絡系統(tǒng)運行的穩(wěn)定性,避免設計文檔、圖紙的外泄和丟失。對于客戶端的計算機的保護一般是通過軟件或安全流程進行保護,記錄用戶對客戶端計算機中關鍵目錄和文件的操作,使企業(yè)有手段對用戶在客戶端計算機的使用情況進行追蹤,防范外來計算機的侵入而造成破壞。通過網絡的改造,使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監(jiān)控和管理。一般采用以下安全手段:1)在現有網絡中加入網絡安全設備設施;2)lP地址規(guī)劃及管理;3)安裝防火墻體系;4)劃分VLAN控制內網安全;5)建立VPN(虛擬專用網絡)確保數據安全;6)提供網絡殺毒服務器;7)加強企業(yè)對網絡資源的管理;8)做好訪問控制權限配置;9)做好對網絡設備訪問的權限。
一般情況下在企業(yè)的網絡環(huán)境中,會由ISP供應商提供公網的人口,而本文的重點為安全問題,因此采用虛擬的公網入口。目前IPv6技術還不是很成熟,IPv4地址依舊廣泛應用于企業(yè)內部網絡,因此公司內部使用IPv4的私有地址網段,假設公司內部共擁有800部終端,所以由172.28.0.0/22網絡段劃分,ip地址和VLAN規(guī)劃如下表1。
根據上表1的規(guī)劃依舊滿足了連通性和VLAN的控制劃分,在圖1中的規(guī)劃建立經理辦公室和財務部的VPN就保證了隔離性。再在服務器集群中安裝專門的防病毒服務器,監(jiān)管所有計算機的防病毒程序,防止病毒人侵。根據一般安全權限控制還需建立專用的AAA服務器,保證認證(Authentication):、授權(Authorization)和審計(Accounting)。最后,圖l中IDS(IntrusionDetection Systems)即“入侵檢測系統(tǒng)”,用戶可以根據企業(yè)安全需求設置一組安全策略,IDS可以對網絡中的計算C、軟件、磁盤、網絡等新設備監(jiān)控運行狀態(tài),根據運行狀態(tài)預測各種網絡攻擊事件,從而起到網絡安全的防范作用,IDS也是根據安監(jiān)事件的事前、事中和事后的動態(tài)過程設計的模型。
關鍵詞:關鍵詞:計算機網絡技術;電力企業(yè);網絡安全管理
中圖分類號:TP39 文獻標識碼:A 文章編號:
1. 目前電力企業(yè)網絡安全管理存在的問題
網絡安全管理存在以下三個問題:
(1)麻痹大意,網絡安全意識淡?。喝绻芾硪庾R的欠缺,管理機構的不健全,管理制度的不完善和管理技術的不先進等因素。目前各個員工都配有辦公電腦,但是使用者安全防范意識和防范病毒能力比較差。企業(yè)的規(guī)章制度還不夠完善,還不能夠有效的規(guī)范和約束員工的上網行為。
(2)人為的惡意攻擊:這是計算機網絡所面臨的最大威脅,黑客攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。
(3)網絡軟件的漏洞和“后門”:網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”洞開,其造成的后果將不堪設想。
2. 電力企業(yè)網絡安全管理的主要技術
在計算機網絡中,如何對網絡信息載體及信息的處理、傳輸、存儲、訪問提供安全保護以及如何防止非法授權的使用或篡改都是當前網絡安全領域研究的關鍵問題。本文作者通過實踐經驗,從訪問控制、防火墻、網絡隔離、入侵檢測等電力企業(yè)現行的幾種重要技術,從技術層面出發(fā),對電力企業(yè)網絡安全管理進行探討。
2.1 訪問控制
訪問控制指的是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用。訪問控制通常用于系統(tǒng)管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。
訪問控制主要實現以下功能:
1. 防止非法的主體進入受保護的網絡資源。2. 允許合法用戶訪問受保護的網絡資源。 3. 防止合法的用戶對受保護的網絡資源進行非授權的訪問。
2.2 防火墻
防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.它是一種計算機硬件和軟件的結合,使Internet 與Internet 之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入。
防火墻作為計算機網絡安全的屏障,主要實現以下功能:防火墻對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執(zhí)行。防火墻還可以禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
因此,防火墻的集中安全管理及與安全策略的有機結合能對網絡安全性能起到較強作用。
2.3 網絡隔離
主要是指把兩個或兩個以上可路由的網絡(如:TCP/IP)通過不可路由的協議(如:IPX/SPX、NetBEUI等)進行數據交換而達到隔離目的。由于其原理是采用了不同的協議,因此也被稱為協議隔離。網絡隔離技術是近些年來出現的計算機網絡安全管理技術,它能解決重要單位及要害部門對信息安全性的突出需求。作為網絡安全體系中不可缺少的重要環(huán)節(jié)和防止非法入侵、阻擋網絡攻擊的一種簡單而行之有效的手段,它在電力企業(yè)信息安全的連網工作以及信息安全方面起到重要的作用。但由于網絡隔離技術比較復雜,目前仍處于發(fā)展階段。
2.4 入侵檢測
入侵檢測是一種對網絡系統(tǒng)的運行狀態(tài)進行監(jiān)視,發(fā)現各種攻擊企圖、攻擊行為或者攻擊結果,以保證系統(tǒng)資源的機密性、完整性與可用性的技術。入侵檢測的作用就在于及時地發(fā)現各種攻擊以及攻擊企圖并作出反應。
入侵檢測是防火墻的合理補充,幫助系統(tǒng)對付網絡攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監(jiān)測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
3. 結束語
總之,計算機網絡給人們帶來了巨大的便利的同時,也存在著安全隱患,網絡的安全形勢日趨嚴峻。加強網絡安全建設,是關系到單位整體形象和利益的大問題。目前在各單位的網絡中都存儲著大量的保密信息、資料,各個方面的工作都是利用網絡來完成的,一旦網絡安全方面出現問題,造成信息的丟失、篡改、破壞或竊用,都將帶來難以彌補的巨大損失。
因此,利用網絡安全管理技術,可以對電力企業(yè)現有的一些業(yè)務和網絡進行優(yōu)化,提高性能,降低成本。
參考文獻:
[1]信息安全學,機械工業(yè)出版社周學廣著
[2]計算機網絡安全基礎科學出版社馮元著
[3]網絡安全手冊清華大學出版社哈頓穆格著
【關鍵詞】主動誘騙 電力網絡安全 提升策略 設計 實現
最近十幾年,計算機網絡技術獲得了快速發(fā)展,其應用范圍涉及政治軍事、教育、經濟金融、社會服務等行業(yè)之中,通過計算機網絡信息系統(tǒng),給人們提供了便利的生活、工作環(huán)境,從而實現現代化、高效化、共享化的社會發(fā)展環(huán)境。與此同時,網絡信息系統(tǒng)在程序設計、自身建設以及操作過程等因素的影響下極易出現各種漏洞或者病毒,這將導致各種重要數據信息出現各種不可預測的復雜風險,若相關機密信息或者個人信息泄漏則將會造成嚴重的經濟損失。
電力企業(yè)作為我國社會、經濟發(fā)展的重要支柱產業(yè),其自身擁有豐富的網絡信息資源,而且電力系統(tǒng)的很多工作都與網絡存在著密切關聯,在高風險的網絡信息系統(tǒng)中,我國電力系統(tǒng)網絡信息系統(tǒng)如何確保信息資源的安全性一直都是我們密切關注的問題。在本文研究中,筆者將深入分析常規(guī)網絡信息系統(tǒng)入侵的方式以及目前我國電力系統(tǒng)中存在的網絡安全風險,同時探討分析入侵檢測技術在電力系統(tǒng)網絡安全維護中的意義和具體應用途徑。
1 計算機網絡信息系統(tǒng)入侵方式
1.1 病毒攻擊
計算機病毒是一種可實現自我復制的計算機程序,其主要是用于特定系統(tǒng)資源目標的破壞,通過拒絕服務等方式來破壞數據的完整性。病毒攻擊具有一定的潛伏性、隱蔽性、寄生性、傳染性,目前病毒攻擊主要是通過FTP 文件下載、網頁瀏覽、電子郵件或者BBS等對信息系統(tǒng)實施攻擊。
1.2 身份攻擊
計算機身份攻擊主要是利用網絡服務需要對用戶身份進行確認過程中存在的漏洞來進行欺騙、竊取合法用戶的身份進行網絡攻擊目標系統(tǒng)。身份攻擊主要是通過口令攻擊、漏洞攻擊、收集信息攻擊等等。身份攻擊竊取信息資源主要是采取試探方式,如:通過掃描漏洞、掃描賬戶、ping以及端口與嗅探網絡等方式對系統(tǒng)漏洞、權限以及服務進行探測,并使用公開協議和工具對網絡系統(tǒng)主機中存儲的信息資源進行竊取,同時還可以捕捉信息系統(tǒng)的漏洞,為后續(xù)攻擊提供支持。若網絡信息系統(tǒng)遭到身份攻擊,其可能導致整個網絡系統(tǒng)癱瘓、崩潰,從而導致用戶遭受重大損失。
1.3 防火墻攻擊
對于網絡信息系統(tǒng)來說,防火墻的抗攻擊能力一般比較強,因而不易被攻破。但是,在防火墻的設計和實現中仍然存在一定的缺陷問題,這是導致防火墻被攻擊的主要原因。
1.4 拒絕服務攻擊
拒絕服務攻擊可稱為 DoS(Denial of Service),在攻擊時攻擊主體將一定序列和數量的資源上傳至網絡中,并令其大量恢復要求信息運行于服務器中,這樣導致系統(tǒng)資源及網絡寬帶被不良消耗,從而導致網絡系統(tǒng)無法實現正常訪問,嚴重時可能導致出現死機、癱瘓等現象。
2 電力系統(tǒng)計算機網絡中存在的網絡安全風險
隨著我國電力信息網絡系統(tǒng)的廣泛應用,電力系統(tǒng)在實現信息化發(fā)展的同時,網絡信息系統(tǒng)的安全性則成為其正常運行的重要保障,因此在電力企業(yè)中一般都是將信息管理系統(tǒng)與生產控制系統(tǒng)進行分離,希望能夠通過這種方法來避免各種外在因素對生產網絡系統(tǒng)造成影響。
不管是管理網絡系統(tǒng)還是生產控制網絡系統(tǒng)的安全風險,除了系統(tǒng)和軟件漏洞或者人為、物理破壞等因素影響之外,各種入侵、病毒等網絡攻擊也是引起上述電力系統(tǒng)數據丟失或數據錯誤的主要原因之一,從而極大的降低了電力網絡信息系統(tǒng)數據的保密性與完整性。因此,為了預防電力系統(tǒng)遭受網絡攻擊而造成嚴重損失,必須進一步加強電力系統(tǒng)的網絡安全建設工作。
3 入侵檢測技術的概念、系統(tǒng)結構及應用程序
3.1 什么是入侵檢測
關于入侵檢測的定義,主要利用相關技術對用戶的操作行為、數據傳輸、安全日志以及其它網絡信息進行操作,經檢測發(fā)現有對網絡系統(tǒng)進行非法進入或者攻擊的行為并對其采取應對反應的整個過程。
入侵檢測系統(tǒng)屬于是一種建立在對上述行為實施檢測并完成相應功能的獨立入侵檢測系統(tǒng)。其中涵蓋內容主要分為非法訪問行為、系統(tǒng)外部入侵兩類,其目的是為了報告、處理計算機信息網絡異常操作行為的一種保護計算機信息安全的技術手段。在實踐應用中與防火墻配合使用可形成一個強大的網絡護盾,從而極大降低了計算機網絡中存在的入侵安全事件。
3.2 入侵檢測系統(tǒng)的系統(tǒng)結構
對于企業(yè)信息網絡進行入侵檢測時,首先需要對入侵檢測系統(tǒng)總體結構進行一系列部署,主要功能是對企業(yè)信息網絡管理信息區(qū)域進行入侵檢測,具有部署結構詳見圖1。
入侵檢測系統(tǒng)一般可以分為四個主要組成部分,即:數據收集、數據分析、數據響應以及數據結果處理。企業(yè)網絡信息系統(tǒng)實現入侵檢測的過程主要是通過對數據模塊在網絡中抓取相關數據包,之后再對所抓取的數據進行處理分析、標記,最后將抓取的數據傳輸給數據響應模塊。數據響應模塊作為整個入侵檢測最核心的部分,其主要功能是對所抓取數據進行詳細分析、匹配,在此過程中若發(fā)現存在異常數據事件,數據響應模塊則將異常數據傳交給數據結果處理模塊處理。
3.3 入侵檢測技術在計算機網絡安全維護中的應用
3.3.1 信息收集
在入侵檢測過程中信息收集需要在所有網段中部署一個或者多個IDS,根據應用對象不同的網絡結構形式而采取不同的數據采集連接方式,例如:若應用對象的網段用交換式為集線器相連,則可以將IDS 系統(tǒng)鏈接在交換機核心芯片上的調試端口上,然后再將入侵檢測系統(tǒng)置于交換機內部或者防火墻內部等相關數據流的關鍵入口、出口處,這樣便可收集所有進入、輸出數據信息。另外還需要在計算機網絡系統(tǒng)中的其它不同關鍵點收集相關信息,尤其是一些薄弱環(huán)節(jié),對于可疑行為或者判斷入侵行為進行標識。
3.3.2 信息分析
信息分析主要是將上階段收集數據信息通過模式匹配、異常發(fā)現分析模式來進行分析,以此來發(fā)現其中存在的異常行為,同時將異常報告發(fā)送至管理器。
在設計信息分析模塊時,設計者應該對應用對象計算機系統(tǒng)的各種系統(tǒng)漏洞、網絡協議有深入的研究,根據掌握的情況而制定完整的安全策略和安全規(guī)則庫,同時分別建立異常檢測模型和濫用檢測模型,這樣可以IDS自己模擬信息分析過程,并有效識別、確定具有一定特征的異?;蛘吖粜袨?,并將分析結果形成報警信息及時發(fā)送至控制管理中心。
3.3.3 信息響應
IDS的核心任務就是對計算機入侵行為作出及時、有效響應。信息響應的過程需要在數據分析基礎上對本地網段實施檢測,并查找出隱藏于數據包中的惡意入侵行為,對于發(fā)現的入侵行為給予及時響應。信息響應主要包含:記錄現場(即:記錄整個會話、事件日志)、查看實時會話并通報其他控制臺、網絡引擎進行告警并告知控制臺、SNMP trap、發(fā) E-mail給安全管理員等等,之后便及時采取安全響應行為,例如:終止入侵連接行為、執(zhí)行特定用戶響應程序、調整網絡設備配置等等。
3.3.4 入侵檢測技術和防火墻的結合應用
防火墻屬于是一種周邊安全機制,其雖然能夠對網絡層、應用層訪問行為進行控制,但是對于內部網絡的非法訪問則無法起到有效的監(jiān)控。因此,在計算機系統(tǒng)安全維護中需要將入侵檢測技術與防火墻進行協同應用,進而形成一個相對有效的安全防護體系。
4 入侵檢測技術在電力系統(tǒng)信息內網中的運用分析
4.1 入侵檢測技術的實踐運用
入侵檢測系統(tǒng)安裝的關鍵步驟是科學、合理部署檢測器和控制臺。對于電力系統(tǒng)企業(yè)網絡特點,筆者認為可以先在內部路由器與內部網絡連接處部署一個監(jiān)測器,這樣可以有效監(jiān)測各種異常入侵行為;另外也可根據企業(yè)需要對其中某些重要的服務器、工作站按照基于主機的入侵檢測軟件,進而對重要的服務器、工作站實現有效保護。
入侵檢測系統(tǒng)運行過程中,入侵檢測在提供實時檢測時還需與管理員進行“實時”配合,系統(tǒng)安全管理員一方面需要做好處理各種警報事件的處理準備工作;另一方面對于入侵檢測系統(tǒng)所發(fā)出的警報進行準確的判斷,并給予正確的處理,同時決定是否繼續(xù)監(jiān)視入侵者收集證據或者關閉系統(tǒng)等等,只有系統(tǒng)安全管理員處理得當才能夠真正發(fā)揮入侵檢測系統(tǒng)的作用。
4.2 入侵檢測技術安全體系的運行分析
計算機網絡安全中運用防火墻雖然是被動防御,入侵檢測系統(tǒng)是實時監(jiān)控防御,但是計算機網絡安全系統(tǒng)(其中涵蓋單一主機自身的安全防御體系)是需要進行整體協同運作的。
目前,我國電力系統(tǒng)中的主機與網絡設備都具備完整的安全審計功能,因此入侵檢測系統(tǒng)可以直接利用系統(tǒng)網絡日志文件來作為信息數據的主要來源,當入侵檢測系統(tǒng)發(fā)現可疑訪問行為而需要其它主機或者防火墻采取及時的保護措施時,其可以及時通知防火墻對可疑IP地址發(fā)送的數據包進行有效過濾。
從網絡安全技術角度來分析,計算機網絡安全維護涉及的范圍較為廣泛,其中主要包括:操作系統(tǒng)、安全掃描、身份認證、信息加密、安全審計、災難恢復、入侵檢測、防火墻等的安全維護。在計算機網絡安全維護中運用入侵檢測系統(tǒng)和防火墻只能形成一個相對的安全防御體系,為了進一步增加網絡系統(tǒng)安全防御有效性,同時還需要在整個系統(tǒng)運行過程中運用多種技術手段來完善安全體系的防御功能,如:向IDS添加新攻擊方式、升級防火墻、定期查找漏洞或者風險評估、配置掃描器等等措施。
對于電力系統(tǒng)計算機網絡信息安全的維護,任何的機械防御體系都不能絕對保證計算機網絡信息系統(tǒng)的安全,因此我們還需要切實提升電力系統(tǒng)企業(yè)網絡管理員的技術水平、及時升級網絡防御系統(tǒng)、密切關注網絡安全發(fā)展形勢,只有這樣才能夠有效提升電力系統(tǒng)計算機網絡安全防御的水平及能力,保障電力系統(tǒng)計算機網絡的信息安全。
5 入侵檢測技術在電力系統(tǒng)網絡安全維護中的意義
隨著現代網絡信息技術在我國電力系統(tǒng)中的普及應用,標準化、開放性以及互聯性已經成為現代電力企業(yè)網絡信息系統(tǒng)發(fā)展的必然趨勢,而在很大程度上也增加了電力系統(tǒng)對網絡信息系統(tǒng)的依賴性,而網絡信息系統(tǒng)的安全問題也逐漸引起了人們的高度關注。在信息全球化的影響下,我國電力系統(tǒng)為了能夠提高自身的管理與生產效率,我們需要加強與外界信息進行不斷交流,而開發(fā)性的網絡環(huán)境也增加了電力網絡信息系統(tǒng)遭受網絡攻擊的風險性。由于電力系統(tǒng)關系國民的生計問題,因此必須將電力系統(tǒng)網絡信息安全作為一個重要的戰(zhàn)略問題來研究。
目前,在我國電力系統(tǒng)的網絡安全維護中已經普遍開始使用入侵檢測技術。入侵檢測技術對于從源頭上抑制入侵方面獨具高效性,現已成為我國電力系統(tǒng)網絡安全維護系統(tǒng)中的一個重要的部分。電力系統(tǒng)計算機網絡安全維護中的入侵檢測技術,其貫穿于整個電力系統(tǒng)計算機安全維護中的每一個階段中的每一項內容中,因此做好入侵檢測技術,實現電力系統(tǒng)計算機網絡入侵檢測技術的標準化、規(guī)范化運作,可保障入侵檢測技術為電力系統(tǒng)計算機網絡安全維護創(chuàng)造應有的實效。
6 結語
對于網絡不良入侵行為的影響,一般是采取主動的防御措施防范網絡入侵行為,入侵檢測技術可以有效實現實時動態(tài)監(jiān)控網絡非法入侵行為,因此廣泛應用于各種不同環(huán)境中并發(fā)揮著關鍵性作用。隨著現代計算機網絡技術的不斷進步,電力系統(tǒng)的網絡信息資源的安全問題則日益凸顯,在我國電力系統(tǒng)的網絡安全維護中運用入侵檢測技術,實現防患于未然,將任何的攻擊入侵行為影響扼殺在萌芽狀態(tài),進而有效控制了不良攻擊實踐的發(fā)生與擴大,進而為電力網絡信息系統(tǒng)提供一個高效、可靠、優(yōu)質的運行環(huán)境,這對于電力系統(tǒng)的網絡信息安全來說具有十分重要的意義。
參考文獻
[1]唐亮.電力系統(tǒng)計算機網絡信息安全的防護[J].供用電,2010(01).
[2]王池華.入侵檢測技術在網絡安個中的應用與研究[J].計算機安全,2009(06).
[3]劉立兵.淺談計算機網絡在電力系統(tǒng)的應用及安全性[J].科技信息,2010(03).
[4]劉明.試析計算機網絡入侵檢測技術及其安全防范[J].計算機與網絡,2011(01).
[5]王春艷,史海成.網絡安全維護中入侵檢測技術的有效應用[J].企業(yè)導報,2012(22).
【關鍵詞】船岸網絡;信息安全;航運企業(yè)
0引言
一些航運企業(yè)已開始實施“數字化+互聯網”戰(zhàn)略,船舶運營參數及管理量化指標被轉移至信息更加透明的互聯網平臺,船舶所有人可以通過互聯網平臺隨時隨地查看船舶動態(tài)。航運企業(yè)將船舶全權委托給第三方船舶管理公司管理,并通過互聯網平臺監(jiān)控船舶動態(tài)。這種管理模式帶來一個全新的課題:船岸網絡信息化程度越高,信息系統(tǒng)遭受攻擊導致數據泄露的風險越大。近年來已發(fā)生多起船員個人信息泄露導致的詐騙案件。這些個人信息泄露的源頭是船舶管理公司的信息系統(tǒng)。信息泄露會給個人造成損失,而信息系統(tǒng)遭受病毒攻擊則會給航運企業(yè)造成巨大損失。因此,信息安全對航運企業(yè)而言極為重要。
1船岸網絡管理現狀
船岸網絡技術的發(fā)展非常迅速,特別是海上衛(wèi)星通信服務商提供的海上高速網絡在資費下降后極大地提高了船舶與管理方、服務供應商、租船人和船舶所有人/經營人之間的信息交換頻率。海上高速網絡的普及給信息安全帶來更大的隱患。網絡沒有物理界限,任何具有網絡攻防知識并熟悉船舶扁平化網絡架構的人或組織都可以通過Shodan搜索引擎獲得相關信息,對船岸網絡實施遠程攻擊。通過對衛(wèi)星通信服務商IP地址段批量掃描發(fā)現:眾多安裝VSAT、FBB設備的船舶未加安全措施就向公網開放了21/80/445/3389等弱口令TCP、UDP端口;供應商為節(jié)約成本、方便遠程維護管理,將Cobham、KVHCommBox、Inmarsat、Marlink等產品內建的管理后臺映射到外網;絕大部分船舶沒有配置專業(yè)的硬件防火墻,岸基管理人員缺乏專業(yè)技能,最終導致船舶網絡安全得不到保障。
要做好船岸網絡安全工作,首先要了解船岸網絡設備運行機制和原理。船舶內網GPS、ECDIS、主機監(jiān)控系統(tǒng)服務器等多網卡設備既通過串口總線和CANBUS、MODBUS等協議控制舵機、智能電站及壓載水調平系統(tǒng)等設備,又通過網卡和SNMP、NMEA等協議進行網絡通信,從而形成了一個可以網絡遠程控制的船舶物聯網。由于某些船用通信協議存在設計缺陷,例如NMEA0183協議通過明文傳輸,缺乏加密、身份認證和校驗機制,為實施網絡攻擊制造了機會――攻擊者只需遠程更改一兩個字符就可以命令船舶轉向。
2常見的網絡攻擊方式
廣義上對船岸網絡的攻擊主要有兩類:(1)無目標的攻擊。岸基或船舶內網操作系統(tǒng)和第三方軟件漏洞是潛在受攻擊目標之一,攻擊者利用0day漏洞進行廣撒網式的無差別化攻擊,近幾年馬士基航運集團和中遠海運集運北美公司遭遇的網絡攻擊屬于此類。(2)有針對性的攻擊。攻擊者將某船岸信息系統(tǒng)設定為滲透目標,利用專門開發(fā)的繞過技術和工具躲避網絡防御機制(如震網病毒事件),實施多步驟攻擊,其破壞程度較無目標的攻擊更大。
有針對性攻擊又分為以下6種類型:
(1)主動攻擊。攻擊者主動攻擊網絡安全防線。主動攻擊的方式為修改或創(chuàng)建錯誤的數據流,主要攻擊形式有假冒、重放、篡改消息和使網絡拒絕服務等。
(2)被動攻擊。攻擊者監(jiān)視相關信息流以獲得某些信息。被動攻擊基于網絡跟蹤通信鏈路或系統(tǒng),用秘密抓取數據的木馬程序代替系統(tǒng)部件。
(3)物理攻擊。未被授權者在物理上接入網絡、系統(tǒng)或設備,以達到修改、收集信息或使網絡拒絕訪問的目的。
(4)內部攻擊。被授權修改信息安全處理系統(tǒng),或具有直接訪問信息安全處理系統(tǒng)權力的內部人員,主動傳播非法獲取的信息。
(5)邊界攻擊。網絡邊界由路由器、防火墻、入侵檢測系統(tǒng)(IDS)、虛擬專用網(VPN、DMZ)和被屏蔽的子網等硬件和軟件組成。硬件的操作系統(tǒng)與其他軟件一樣存在安全漏洞,攻擊者可利用操作系統(tǒng)漏洞,繞過已知安全協議達到攻擊的目的。
(6)持續(xù)性威脅。商業(yè)間諜組織可能會通過“釣魚手法”進行攻擊。如以“某某船公司2020中期戰(zhàn)略企劃書”為關鍵詞投放電子誘餌,通過文檔追蹤工具進行精準定位,誘騙受害人打開附件或點擊郵件鏈接從而入侵或破壞其信息系統(tǒng)。
3船岸網絡中易受攻擊的系統(tǒng)
船岸網絡中易受攻擊的系統(tǒng)有綜合船橋和電子海圖系統(tǒng)、配載儀和船舶維修保養(yǎng)系統(tǒng)、主機遙控和能效系統(tǒng)、保安限制區(qū)域閉路電視監(jiān)控系統(tǒng)和各重點艙室門禁系統(tǒng)、乘員服務和管理系統(tǒng)、面向船員娛樂的公共網絡系統(tǒng)、船岸網絡通信系統(tǒng)、計算機操作系統(tǒng)及常用軟件等。
4船舶網絡安全配置建議
(1)禁用公網IP,使用URA系統(tǒng)遠程管理。
(2)修改系統(tǒng)默認密碼并使用高強度密碼。
(3)將船岸網絡操作系統(tǒng)和第三方軟件補丁、病毒特征庫升級至最新版本。
(4)對工控網絡、辦公網絡、娛樂網絡實施網絡隔離和訪問控制。
(5)通過策略制定公用電腦進程白名單,禁用USB接口。
(6)向船員普及網絡安全風險防范知識。
(7)要求設備供應商提供必要的網絡安全事件應對措施。
(8)不過度依賴遠程網絡監(jiān)控技術,增加現場勘查頻率。
5網絡攻擊事件的處置步驟
(1)風險識別。定義相關人員的崗位和職責,確保在日常管理中能夠及時發(fā)現可疑風險。
(2)事件預防。制定風險控制流程和應急計劃,降低網絡風險,防范網絡攻擊。
(3)事件發(fā)現。檢查已確認的網絡攻擊事件,評估損失并制定后續(xù)恢復方案。(4)事件恢復。制定計劃使系統(tǒng)恢復正常運行。
(5)免疫措施。制定措施避免類似網絡攻擊事件再次發(fā)生。
6網絡信息安全團隊崗位職責
航運企業(yè)應設立信息安全官(CISO)崗位,其職責為:建立船岸網絡安全團隊并管理成員,牽頭制定全面的船舶網絡安全應急保護計劃(CSP),以持續(xù)保障船岸網絡安全。團隊成員崗位職責如下:
(1)對船舶VSAT/FBB設備端口映射及防火墻規(guī)則進行審核、分發(fā)、監(jiān)控,熟悉Infinity、XchangeBox等通信管理系統(tǒng)的后臺設置,監(jiān)控船岸網絡的可疑流量。
(2)對船岸內網信息設備和辦公電腦軟硬件及時更新維護,熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等軟件操作知識。
(3)定期優(yōu)化單船拓撲結構和更新船岸網絡病毒特征庫和漏洞補丁庫,不斷完善船岸網絡信息事故應急預案。
(4)收集供應商技術文件并集中存儲,向設備和服務供應商提交并跟蹤審核通導信息類設備保修工單(如KVH、Marlink、GEE、OneNet等)。
(5)跟蹤記錄新造船FBB、銥星移動通信系統(tǒng)、VSAT和船載物聯網設備安裝調試情況,審核通信類費用憑證。
(6)具備防火墻、路由器、入侵檢測系統(tǒng)、交換機的豐富知識,MacOS、Windows、Linux等3大操作系統(tǒng)及域控、數據庫的基礎知識,并能熟練使用SQL、CrystalReports提取分析數據。
(7)參與船岸網絡的設計開發(fā)和信息系統(tǒng)的迭代開發(fā),提出必要的安全策略規(guī)范要求。
(8)具備妥善監(jiān)控并處理網絡安全事件的能力和獨立撰寫網絡安全事件調查報告的能力,并提出改進措施。
7船岸網絡信息安全管理目標
船岸網絡信息安全問題從根本上說是人的問題,如何在制度上讓人遵守規(guī)則,如何在技術上減少或避免人為惡意攻擊,這是船岸網絡信息安全組織架構設計的目標。船岸網絡信息安全組織架構設計的總體目標可定義為:針對船岸網絡和信息安全需要,構建系統(tǒng)的網絡安全技術和信息防護策略及措施,通過制度管理和技術防范來規(guī)范員工行為,達到網絡和信息資產安全可控的目的,最終達到“外人進不來、進來看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全總監(jiān)的基本職責是建立船岸網絡和信息安全團隊并確保團隊成員各司其職。團隊成員既包括企業(yè)內部的計算機安全專家,也包括企業(yè)外部的資深律師、會計師、技術專家等。
8經驗交流
網絡信息安全對于大部分人而言比較陌生。在實踐中,大部分航運企業(yè)由總裁辦(行政事務部)或保密部門負責網絡信息安全,而網絡信息安全職能又隸屬話語權不高的IT部門,最終導致企業(yè)網絡信息安全工作進展遲滯,制度實施緩慢。因此,建議由公司領導牽頭,技術保障部門負責具體實施。有條件的航運公司應該定期針對船岸網絡信息系統(tǒng)進行安全演習并配置網絡信息安全設備,以便當船岸網絡信息系統(tǒng)被攻擊時,能夠迅速作出應急反應,盡快恢復網絡系統(tǒng),盡可能挽回損失。此外,在員工手冊、船員上船協議中應該賦予航運公司相關職能部門通過技術手段來防止內部威脅的權力,打擊隱蔽性較強的涉及船岸網絡的職務犯罪。
以某航運企業(yè)為例,2018年初由公司領導牽頭與某船級社聯合成立了船岸網絡信息安全專項課題組,針對公司船岸網絡的特殊性制定了一套通用船舶網絡安全管理體系,并在超大型集裝箱船試行《船舶網絡信息安全實施指南(征求意見稿)》和相關配套制度,如《船舶網絡信息資產管理辦法》《船舶VSAT、局域網及防火墻設置規(guī)范》《船舶網絡信息安全員崗位職責》《船員網絡信息安全應知手冊》等。此外,還對試點船舶就域控服務器(解決內網信息審計問題)、KMS激活服務器(解決操作系統(tǒng)、辦公軟件授權問題)、自建CA授權機構頒發(fā)數字證書(解決SHA256數據加密問題)、某開源局域網遠程管理軟件以及等級保護一體機硬件部署(解決病毒庫、補丁庫離線升級問題)等項目進行技術驗證,為下一步推廣應用船岸網絡信息安全課題研究成果奠定了良好基礎。
【論文關鍵詞】電子商務 旅游管理 對策
【論文摘要】隨著我國旅游的發(fā)展,旅游業(yè)和電子商務結合過程中出現了諸多問題,本文研究當前旅游業(yè)中電子商務的應用現狀,分析其存在的主要問題,如旅游電子商務系統(tǒng)功能簡單、公眾對網絡安全缺乏信心、以及電子商務人才匱乏等。并針對上述問題提出相關建議,以期提高我國旅游總體水平、提高我國旅游企業(yè)競爭實力。
近年來,隨著人們生活水平的提高,對高級生活質量心理訴求的發(fā)展,旅游業(yè)規(guī)模正在逐年迅速增長。與此同時,全球旅游電子商務連續(xù)5年以35%以上的速度增長,一度占到全球電子商務總額的20%以上。在這樣的背景下,研究我國旅游業(yè)電子商務的應用有著典型的意義。
1 旅游業(yè)電子商務發(fā)展的背景
1.1 旅游電子商務的概念:電子商務泛指一切通過電子方式開展的貿易活動。旅游電子商務是指在全球范圍內通過各種現代信息技術尤其是信息化網絡所進行并完成的各種旅游相關的商務活動、交易活動、金融活動和綜合服務活動。
1.2 旅游電子商務的特點:旅游業(yè)是典型的信息密集型和信息依托型產業(yè),是最適合應用電子商務系統(tǒng)、提高顧客服務水平的行業(yè)之一。在旅游業(yè)中應用電子商務,可以為游客提供更加個性化、人性化的服務。旅游電子商務具有三個特性,即聚合性、有形性、服務性。網絡時代,電子商務營運成本低、用戶范圍廣、無時空限制、能同用戶直接交流。這無疑能提高顧客滿意度,賦予旅游業(yè)無限的生機和活力。
1.3 旅游電子商務的現狀:在歐美發(fā)達國家,旅游電子商務已經取得了巨大的成效,是整個電子商務領域最大、最突出的部分。我國旅游電子商務還處在初級階段,與發(fā)達國家相比還存在較大差距。國內網民登錄旅游網站僅限于攜程、E龍旅行網幾個大型網站,網民在網上旅游預訂也局限于機票、酒店的預定。目前,我國旅游業(yè)應用電子商務的總體水平很低,信息服務能力有限,國際競爭力較弱。
2 旅游電子商務存在的問題
2.1 旅游企業(yè)不重視:大多數旅行社包括一些知名旅行社都認為,目前大多數消費者依然憑借傳統(tǒng)的服務方式選擇旅游公司,因而忽視了應用電子商務系統(tǒng)所能帶來的潛在收益。從成本角度考慮,建設電子商務網站需要較大支出以購買相關軟硬件設備、引進人才,但是相應的回報卻難以保障。從實施角度,電子商務是新生事物,旅游公司沒有相關經驗和人才,不清楚如何著手開展電子商務。
2.2 旅游網站信息匱乏:很多旅游企業(yè)即便建設了網站,網站上也只是進行一些諸如景點、旅游路線、旅游知識等介紹性的描述,還沒有充分利用電子商務在商家與顧客之間架起“直通橋”,也不能提供全面的、專業(yè)的、實用的一整套的旅游服務,不能盡顯網上旅游的無限魅力。旅游網站功能非常簡單,具體表現在以下幾個方面:網站功能簡單,內容更新不及時,搜索功能差,網絡廣告形式單一,虛擬社區(qū)沒有發(fā)揮應有的作用:網站不能給瀏覽者的留言予以及時回復。
2.3 旅游企業(yè)人才缺乏:目前,旅游網站信息構建所需的硬件和軟件都已比較成熟。旅游網站的建設、運營和管理涉及多方面的知識,從業(yè)人員不但要具備較高的網絡技術、電子商務知識,同時還應具備旅游專業(yè)知識、市場營銷及管理等方面的知識。事實上,現在缺乏既熟悉電子商務又精通旅游業(yè)務的復合型人才。正是由于人才的缺乏,致使旅游公司的電子商務不能順利開展和發(fā)展壯大。
2.4 公眾對網絡安全缺乏信心:目前,影響網上交易的阻力之一就是安全問題。電腦病毒和非法闖入等均構成對電子商務網絡系統(tǒng)的威脅。很多用戶不愿意進行網上支付是因為擔心網絡安全沒有保證,以致自己的信用卡等資料被網絡黑客竊取造成損失。除此之外,就是網上做交易需要進行一系列的用戶認證程序,用戶大量的隱私被暴露在網上,這使得越來越重視隱私權的公眾不愿意進行網上交易。目前,在線的網上支付尚未真正解決,仍大量沿用“網上交易,網下支付”的支付模式。
2.5 電子商務信用安全有待加強:盡管電子商務發(fā)展迅速,但是普及率還有待加強。據調查,目前我國有網購行為的網民還局限于年輕人,廣大的有經濟實力的中年人并沒有發(fā)展起來,除了一部分人不會使用電腦以外,更大的原因是因為人們對電子商務信用的顧慮。如旅游公司景點描述不符,旅游團隊組成夸大宣傳,紀念品以次充好等。如何保證旅游公司在網絡上的宣傳所述屬實,如何保證旅游公司本身的信用,成為進一步開拓旅游網絡市場的問題。
3 旅游電子商務發(fā)展對策
3.1 領導作用,專人負責:旅游企業(yè)想在當今信息化社會立足,就必須明確開展電子商務的決心。企業(yè)領導要足夠重視,起到模范帶頭作用,領導全公司開展電子商務,制定負責人管理電子商務質量。開展電子商務不能局限于建立網站,更要宏觀規(guī)劃統(tǒng)籌全局,保證電子商務質量管理有效進行。包括旅游電子商務網站策劃、旅游電子商務網站建設、旅游電子商務網站運營與維護、網絡營銷和網絡支付、做好電子商務盈利模式分析。
3.2 統(tǒng)籌全局,加強合作:首先,積極加強與酒店旅館、旅游景點、特產經銷商、銀行和交通部門等部門合作,保證商流、物流、資金流、信息流和游客流這“五流”順暢運行。酒店旅館、旅游景點、特產經銷商、銀行和交通部門可以推行電子票務、電子消費券。其次,積極加強與交通部門的合作,推行電子票務(機票、車票、船票等),搶占市場份額。電子票務的出現可以提高供需雙方的效率,節(jié)約印票、取送票的成本。此外,還得加強與銀行合作,解決網上安全支付問題。
3.3 校企合作,引進人才:旅游企業(yè)開展電子商務需要的許多負責網站日常建設與維護的工作都是這些學生學過的專業(yè)課程,優(yōu)秀的學生們是能夠勝任的。企業(yè)可以挑選一些優(yōu)秀的電子商務專業(yè)學生,負責網頁設計及內容更新等工作,進而負責系統(tǒng)設計和開發(fā)工作。同時,可在學校里聘請一些知名的教授或者熟諳前沿知識、有影響力的教師學者指導。還可以和學校開展“校企合作,任務教學”活動,在課堂上安排實際任務,這樣學生學習也有的放矢,企業(yè)也可以從各個項目中獲利。
3.4 加強網絡安全建設:網上交易能否做到保密和安全將直接關系到買賣雙方的利益,安全問題是推廣電子商務的關鍵。企業(yè)自身首先要加強安全保護措施,如從事電子商務的旅游網站要安裝確實有效的防火墻,防止“黑客”攻擊,保障網民的隱私權和財產安全,使游客對網絡安全有信心,敢打開頁面,敢在網上支付。電子商務已經逐漸成為世界經濟的新熱點,其安全性的措施隨著信息化的深入而要求越來越高,必須同步升級,不斷改進。
3.5 加強網絡信用保障:從政府角度,需要為旅游業(yè)應用電子商務建立必要的法制條件,近期中國人民銀行《非金融機構支付服務管理辦法》的和執(zhí)行就有效地規(guī)范和改善了旅游企業(yè)網上支付信用。我們需要更多的法律法規(guī),除此以外,網絡信用的保障還需要第三方認證機構的支持。比較權威的相關機構,如銀行、電子商務平臺都可以發(fā)起網絡信用聯盟,從宏觀和微觀兩方面著手來建立旅游電子商務信用評價體系,有效評估并定時公開旅游企業(yè)的信用,以保證旅游電子商務業(yè)內信用。
綜上,我國旅游業(yè)若能迎接信息化時代的機遇與挑戰(zhàn),努力適應網絡時代的變革,利用電子商務為消費者提供更滿意的旅游服務,實現旅游業(yè)管理創(chuàng)新、經營創(chuàng)新和市場創(chuàng)新,通過旅游電子商務的實施,必將提高公司的競爭實力,促進旅游業(yè)的新飛躍。
參考文獻
[1] 章素華.北京城郊型鄉(xiāng)村旅游產品開發(fā)研究[J],價值工程,2010,(29):1-2
自從電力行業(yè)組織機構重組和區(qū)域重新劃分之后,廠網拆分以及三網融合,數據打擊眾等多種IT應用出現,不僅要求電廠,電網用戶內部網絡的互聯互通,還要求二者開放更多的外界網絡端口。這種網絡端口開放使用使得電力行業(yè)的信息安全問題由原來的僅限于內部事件,專變?yōu)楝F在來自外界的攻擊將越來越多,原有的網絡安全設計很難滿足這種變化。
作為內蒙古自冶區(qū)唯一獨資大型電力企業(yè),內蒙古電力資產總額348億元,所屬單位29個,員工28000人。近年來內蒙古電力的信息化建設取得了快速的發(fā)展,目前已建起覆蓋內蒙古所有12家供電企業(yè)及相關單位的寬帶IP數據廣域網。該網絡以省公司信息中心、包頭供電局為核心節(jié)點,其他單位就近接入核心節(jié)點,主干帶寬為622M,二級節(jié)點到主干帶寬為155M,并采用千兆網絡來構建城域網。
隨著內蒙古電力信息網絡業(yè)務的進一步推進和發(fā)展,網絡安全建設成為重點。來自外部網絡的病毒和進攻不斷增加,特別是大規(guī)模網絡蠕蟲病毒的泛濫,為內蒙古電力原有的安全設備造成了不小壓力。特別是全網的網絡層和應用層的安全問題更是安全改造的重點。
為了加強并鞏固廣域網的信息安全,同時避免將來擴展和部署網絡的復雜性,Juniper公司對內蒙古電力公司數據中心網絡平臺的可靠運行進行了全面評測,并進一步分析出存在的安全隱患。通過部署Juniper公司的ISG系列防火墻與IDP的最佳組合,把網絡攻擊有效地控制在小型的局域網范圍內,確保了信息網絡的正常運轉。解決全網的網絡層和應用層安全防護問題。
根據安全域部署安全網關:ISG+IDP是最佳組合,內蒙古電力網絡安全一期建設將全網劃分為核心交換區(qū)、IDC應用區(qū)、辦公區(qū)、Internet區(qū)等區(qū)域。此次Juniper公司采用安全網關/防火墻系統(tǒng)核心節(jié)點防火墻部署來對企業(yè)網絡的所有不用安全域互聯接口進行安全控制,包括Internet進出口控制,廣域網進出口控制以及IDC進出口控制。內蒙古電力網絡安全一期建設的主安全域的劃分主要通過安全網管以及入侵檢測防御系統(tǒng)(IDP)實現。
根據Juniper對電力系統(tǒng)實際需求的分析并結合內蒙古電力對二次系統(tǒng)地相關建設要求,Juniper公司提供的方案中采用了千兆安全網關/防火墻系列產品:ISGl000、ISG2000與IDP,ISGl000/2000是代表全球最先進網絡安全技術的產品,最有價值的優(yōu)勢在于其卓越的實際環(huán)境性能,穩(wěn)定性以及與IDP硬件集成的特性,能夠全面適應電網安全發(fā)展的需要。JuniperISG系列防火墻將訪問控制(Fw)和入侵保護(IDP)功能無縫集成在一個安全平臺上,很好的平衡了兩者之間的關系,并優(yōu)化網絡結構,方便網絡運維,有效保護用戶的投資。ISG 1000和ISG 2000集成了最佳的深層檢測防火墻、VPN和DoS解決方案,齊全的高密端口布局,體現了軟硬兼施、內外統(tǒng)一、應用靈活、集中管理等多種設計優(yōu)點。能夠為關鍵的高流量網絡分段提供安全可靠的連接以及網絡層和應用層保護。同時Juniper公司的IDP產品可在網絡和應用層攻擊產生任何損害前有效識別并終止它們,從而最大限度的減少與入侵相關的時間和成本。
內蒙古電力通過架設Juni―per防火墻產品,對全網的網絡層和應用層提供了進一步的安全保護,隔離把網絡攻擊有效地控制在小型的局域網范圍內,降低了網絡面臨的各種潛在安全威脅,極大地提高了主干網的信息安全防護水平,并有效保護了業(yè)務的安全和連續(xù)進行,以及信息網絡的正常運轉。內蒙古電力IT信息部門相關負責人表示:“我們選擇Juniper網絡公司的防火墻產品是因為其防火墻產品擁有高可靠性,為我們主干網日益增長的安全管理問題提供了最好的解決方案,使內蒙古電力的信息安全防護水平得到了進一步的加強。未來我們還會考慮繼續(xù)采用Juniper的其它安全產品,進一步加固內蒙古電力全網的安全水平?!?/p>
CAeTrust身份識別和訪問管理(IAM)套件
eTrust IAM是一套全面的、集成化的、模塊化的解決方案,在SC雜志的評獎中,它獲得了醫(yī)療衛(wèi)生類最佳安全解決方案獎(US Excellence)。eTrust Network Forensics可捕捉原始網絡數據,并使用高級證據分析技術來識別網絡入侵、內部數據盜竊和安全策略違規(guī)等行為。 SafeNet DRM Fusion Toolkit4TV是第一個為廣播電視許可和保護而設計的產品,并且支持所有主要和開放的廣播數字版權管理標準。DRM Fusion Toolkit4TV能夠為廣播移動內容和服務提供保護,避免未授權的使用和分發(fā)。為了采用移動電視保護解決方寨,運營商不得不依賴一個特殊廠商。另外,運營商不再需要版權客戶端軟件,就能夠向用戶提供標準和現成的聽筒。標準支持包括DVB-18Crypt和第一個OMABCAST智能卡詳細標準。
通過提供內容和服務保護以及版權管理功能,DRM FuSin Toolkit4TV提供了整體解決方案,運營商和服務供應商能夠無縫集成到他們的廣播提供平臺上,向市場提供令人興奮的新移動電視服務。DRM Fusion Toolkit4TV利用在移動電視保護領域的專業(yè)技術,并且為BT Movio提供了第一個安全的DRM廣播移動電視解決方案。該解決方案作為SafeNet現有DRM Fusion Toolkit產品的附加模塊向客戶提供,因此,運營商能啦應用針對移動音樂,視頻和電視的整體解決方案。
SonicWALL互聯網防火墻與VPN安全設備
SonicWALL互聯網防火墻VPN安壘設備支持各種安全應用,并能提供功能強大的防火墻和VPN性能。SonicWALl,設備基于壘狀態(tài)榆測防火墻技術,及一個設計用來確保VPN使能應用最大性能的專用安全處理器。以對防火墻、VPN、入侵防護、防病毒、內容過濾及獲獎壘球管理系統(tǒng)(GMS)的綜合支持,IT管理員可在安全、可靠地連接至其分支機構與遠程雇員時,放心地用SonicWALL來保護其網絡的安全。
另外,SonicWAIL公司的SSL卸載器還能無縫集成至一個內容交換環(huán)境中,并在優(yōu)化web應用性能的同時提供可靠的安全。
SonicWALL系列互聯網安全設備可提供對互聯網威脅的高級防護。它們包括經ICSA認證的深度包檢測防火墻、用于遠程訪問的IPSecVPN、IP地址管理特性以及對SonicWALI。增值安壘服務的支持等。
UTM-l具有高度集成、經實踐檢驗的安全功能,包括防 火墻、入侵防御、防病毒、防間諜軟件、網絡應用防病毒、VoIP安全、即時通訊(IM)、二層隔離網絡安全(P2P blocking)、Web過濾、URIL過濾以及實現安壘的站點到站點和遠程接八連接。
業(yè)內可靠的防火墻技術,能強勁的IPSecVPN,可實現保護數百種應用程序和協議;功括的SSL遠程接入,無須添加硬件配置;集成的入侵防御功能;網關防病毒,適用重要通訊協議;直觀的硬件設置、診斷和恢復工具;網絡應用防火墻和反間諜軟件保護。
Websense Web Security Ecosystem
Websense Web SecurRy Ecosystem是網絡安壘技術的集大成者,能夠提供增強的安全保護,簡化Websense Web安全解決方案在企業(yè)環(huán)境中的部署。Websense Web SecurityEcosystem整合了世界一流的安壘和網絡技術,包括:網關、網絡訪問控制、安壘事件管理、身份管理和設備平臺。通過無縫集成40多個不同的技術解決方案,Websense Web SecurityEcosystem可以幫助企業(yè)識別和減少基于Web的成脅和漏洞。
JUNOS 7.0軟件不僅提供功能強火的操作系統(tǒng),還提供豐富的IP業(yè)務工具包。JUNOS軟件可提供無與倫比的IP可靠性和安全性,可確保可預測的高教IP基礎設施。利用這個穩(wěn)定的可用網絡,客戶能夠靈活地分割流量、創(chuàng)建獨特的應用環(huán)境、或部署可創(chuàng)收的IP業(yè)務。JUNOS軟件在全球最大的1P網絡中經過生產驗證,能夠幫助客戶將IP基礎設施轉變成服務供應商獲得持續(xù)經濟成功的重要途徑。
模塊化:JUNOS軟件采用模塊化的軟件設計,提供卓越的故障恢復能力并確保能夠簡單地集成IPv6等新功能;
路由專業(yè)技術:Juniper網絡公司在IP路由方面的專業(yè)技術可全面補充增強用于生產的路由協議;
基于標準:嚴格遵守路由和MPLS行業(yè)標準以及協議平穩(wěn)重啟等可用性機制,為客戶提高穩(wěn)定性并降低運行復雜性。
安全性:JUNOS軟件結合了智能數據包處理功能和卓越的性能,為客戶提供了一個強有力的IP安全性工具包;
豐富的業(yè)務;無論是個人用戶,企業(yè)客戶或服務供應商,JUNOS IP業(yè)務系列使客戶能夠為各種類型的最終用戶提供有保證的體驗。
安氏終端安全管理解決方案TerminaI Guard
安氏著眼干企業(yè)安全管理中最為薄弱的終端管理的環(huán)節(jié),推出了Terminal Guard,該產品實現了以集中管理為基礎的終端保護,以資產管理為核心的管理系統(tǒng),它從企業(yè)內終端安全出發(fā),核心思想是集中管理和強制,提供了基于browser/serve和client/server相結合的全面終端安全管理解決方案。
Symantec Endpoint Protection
Symantec Endpoint Protection是賽門鐵克多年以來市場領先的企業(yè)級防病毒的最新產品,在單一中整合了賽門鐵克防病毒與高級威脅防護,為用戶提供前所未有的防護,抵御各種惡意軟件,從而保護便攜式電腦、臺式機和服務器的安壘。為了保護用戶抵御當前威脅和未來新興威脅,Symantec Endpoint Protection納入了主動防護技術,自動分折應用行為和網絡溝通,從而檢測并主動攔截威脅。用戶可獲得單一解決方案,集成了防病毒、反間諜軟件、防火墻、基于主機和網絡的入侵防護方案以及應用和設備控制,并十分易于部署和管理。
Symantec Endpoint Protection通過整合賽門鐵克屢獲殊榮的技術,包括Sygate、Whole Security和Veritas,降低了與管理多重端點安全產品相關的管理成本。同時,賽門鐵克全球智能網絡、8家賽門鐵克安全響應中心、4家賽門鐵克安全運營中心、1.2億個系統(tǒng)和部署干180個國家的4萬多個傳感器也將為其提供支持。卡巴斯基7.O單機版
卡巴斯基7.0單機版產品中,包含卡巴斯基互聯網安全套裝7.O單機版與卡巴斯基反病毒軟件7.0單機版兩款,以此來滿足不同用戶的信息安壘需求。
卡巴斯基實驗室在7.0反病毒軟件單機版這個新品中還賦予了三重保護防御技術,即基于特征碼的精確病毒查殺、主動防御和啟發(fā)式分析器。
基于特征碼的精確病毒查殺,自動更新反病毒數據庫;啟發(fā)式分析器,前攝行為分析;主動防御,實時行為分析。以上三項技術獨特結合可以達到準確、高效防御的效果,使用戶的計算機安全達到前所未有的高度。
金山毒霸2007殺毒套裝
1.針對中國特有的盜號木馬、流氓軟件、蠕蟲病毒絞殺更徹底;
2.防堵黑客漏洞治標治本;
3.流行蠕蟲病毒終身免疫首創(chuàng)流行病毒免疫器;
4.7×24小時壘天候主動實時升級.反應更迅速;每周l 7次以上病毒庫主動更新-按月更新各種功能。
江民KV2008
KV2008采用了新一代智能分級高速殺毒引擎,占用系統(tǒng)資源少,掃描速度得到了大幅提升,同時KV2008新增了三大技術和五項新功能,可有效防殺超過40萬種的計算機病毒、木馬、網頁惡意腳本、后門黑客程序等惡意代碼以及絕大部分未知病毒。
江民KV2008三大技術包括強大的“自我保護’反病毒技術,系統(tǒng)災難一鍵恢復技術以及雙核引擎優(yōu)化技術?!白晕冶Wo”技術采用窗口保護以及進程保護,可以有效避免病毒關閉殺毒軟件進程,確保殺毒軟件自身安壘。
系統(tǒng)災難一鍵恢復技術可以在系統(tǒng)崩潰無法進入的情況下,一鍵恢復系統(tǒng).無論是惡性病毒破壞或是電瞄用戶誤刪除系統(tǒng)文件,都可以輕松還原到無毒狀態(tài)或正常狀態(tài)。
雙核引攀優(yōu)化技術,對KV2008基于雙核和多核處理器進行了全面優(yōu)化,掃描病毒時,雙核或多核處理器同時啟用多線程多硬盤數據進行掃描,使掃描速度得到r大幅提升。趨勢科技中小企業(yè)無?隴安全解決方案v3.6
除了對Vista的支持以外,CSM3.6與上一代版本一樣,針對目前日益猖撅的Web威脅提供了集成的防間諜軟件保護、消除rootkit、封鎖僵尸網絡攻擊.從而提供了可別抗傳統(tǒng)與新型惡意程序的主動式防御。
趨勢科技CSM3.6攜“10247'’(1站式整合防護、0成本管理平臺、24*7安全防護)的特點,延續(xù)了過去容易安裝與使用的特性。讓客戶隨時獲得完整的保護。
CSM3.6特別針對中小企業(yè)的安全需求而設計,因此具備了中小企業(yè)專屬的安全防護產品與單一步驟安裝部署的便利性,可以一次部署、統(tǒng)一更新,而且通過單一管理界面就可以保護PC和服務器免受多種威脅。
綠盟冰之網絡入侵檢測系統(tǒng)
綠盟冰之眼網絡入檢測系統(tǒng)(ICEYE Network In- trumon Detection System,簡稱:ICEYE NIDS)是對防火墻的有效補充,實時檢測網絡流量.監(jiān)控各種網絡行為,對違反安壘策略的流量及時報警和防護,實現從事前警告、事中防護到事后取證的一體化解決方案。
入侵檢測:對黑客攻擊(緩沖區(qū)溢出、SQL注入、暴力猜測、拒絕服務、掃描探測、非授權訪問等)、蠕蟲病毒、木馬后門、間諜軟件、僵尸網絡等進行實時檢測及報警,并通過與防火墻聯動、TCP Killer、發(fā)送郵件、控制臺顯示、日志數據庫記錄、打印機輸出、運行用戶自定義命令等方式進行動態(tài)防護。
行為監(jiān)控:對網絡流量進行監(jiān)控,對P2P下載、IM即時通訊、網絡游戲、網絡流媒體等嚴重濫用網絡資源的事件提供告警和記錄。
流量分析:對網絡進行流量分析,實時統(tǒng)計出當前網絡中的各種報文流量。
聯想網御UTM以USE(Uniform Secure Engine)統(tǒng)一安全引擎為基礎,優(yōu)化傳統(tǒng)引擎。抽象數據模型、構造統(tǒng)一絮構,有效地將防火墻、VPN、防病毒、IPS、反垃圾郵件、Web內容過濾等多類安全引擎集成為統(tǒng)一的安全引擎,提供了卓越的功能和檢測能力。
Power V UTM系列產品采用聯想網御獨創(chuàng)的VSP通用安全平臺,將系統(tǒng)平臺分為通用控制平面、數據平面、系統(tǒng)服務平面和硬件抽象平面,系統(tǒng)功能與資源管理分別工作在不同的空間平面。
聯想網御UTM在集群設計中采用了MRP(Multi-LayersRedundant Protoc01)多重冗余協議,支持鏈路聚合、雙機熱備、負載均衡等功能。最高支持32臺的設備集群和負載均德,具備會話表同步功能,為用戶提了無與倫比的高可靠性。
東軟NetEye異常流量分析與響應系統(tǒng)(Ntars)
主要用于骨干網絡的監(jiān)控檢測和分析,通過對骨干網絡流量信息和系統(tǒng)信息的收集,采用多種方法進行分析、檢測,實時監(jiān)控、檢測骨干劂絡中DoS/DDoS攻擊、蠕蟲病毒、垃圾郵件及其他網絡異常事件,提取異常特征,井啟動報警和響應系統(tǒng)進行過濾、阻斷和防御。
啟明星辰泰合信息安全運營中心(簡稱:TSOC)是國內目前應用最廣泛的安全管理平臺類產品,在政府、金融、能源、運營商、大企業(yè)等行業(yè)均實現規(guī)模部署。
啟明星辰TSOC采用成熟的瀏覽器/服務器/數據庫架構,由“五個中心、五個功能模塊”組成。五個中心為漏洞評估中心、網絡管理中心、事件/流量監(jiān)控中心、安全預警與風險管理中心以及響應管理中心。五個功能模塊為資產管理、策略配置管理、自身系統(tǒng)維護管理、用戶管理、安全知阻管理。
“應用為本、開放融合”是扁明星辰泰合信息安壘運營中心的核心體現,具備壘面性,開放性和實用性三大突出特點。思科安全監(jiān)控、分析和響應系統(tǒng)(MARs)
思科安全監(jiān)控分析和響應系統(tǒng)(MARS)是一個高性能、可擴展的威脅管理、監(jiān)控和防御設備系列,將傳統(tǒng)安全事件監(jiān)控與網絡智能、上下文關聯、因素分析,異常流量檢測、熱點識別和自動防御功能相結合,可幫助客戶更為高效地使用網絡和安全設備。通過結合這些功能,思科安MARS可幫助公司準確識別和消除網絡攻擊,且保持網絡的安全策略符合性。
集中監(jiān)控、集中事件庫、數據減少、及時攻擊防御、高度可擴展的部署、充分利用已有投資進行防御、先進的報告功能、端到端網絡感知等。
天融信“銀河”