公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全運(yùn)營(yíng)體系范文

網(wǎng)絡(luò)安全運(yùn)營(yíng)體系精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全運(yùn)營(yíng)體系主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全運(yùn)營(yíng)體系

第1篇:網(wǎng)絡(luò)安全運(yùn)營(yíng)體系范文

一、構(gòu)建企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的運(yùn)行機(jī)制

構(gòu)建運(yùn)行機(jī)制,為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)提供保障[1]。第一,構(gòu)建訪問(wèn)機(jī)制,綜合利用強(qiáng)制和自主兩項(xiàng)訪問(wèn)機(jī)制,全面控制外網(wǎng)訪問(wèn),強(qiáng)制訪問(wèn)通過(guò)分配企業(yè)網(wǎng)絡(luò)的屬性,保持屬性的原始狀態(tài),攻擊者不容易篡改數(shù)據(jù)屬性,合理保護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng),決定網(wǎng)絡(luò)安全行為,自主訪問(wèn)主要是以訪問(wèn)權(quán)限為主,為企業(yè)網(wǎng)絡(luò)或賬戶設(shè)置權(quán)限,但是權(quán)限設(shè)置時(shí),會(huì)遺留劃痕或歷史記錄,為木馬攻擊埋下隱患;第二,構(gòu)建審計(jì)機(jī)制,記錄企業(yè)網(wǎng)站的各項(xiàng)行為,生成安全日志,規(guī)劃企業(yè)網(wǎng)絡(luò)的運(yùn)營(yíng)主體,分析網(wǎng)絡(luò)事件,以審計(jì)記錄為基礎(chǔ),可以精確識(shí)別企業(yè)網(wǎng)絡(luò)訪問(wèn)行為是否安全,同時(shí)還可分析企業(yè)網(wǎng)絡(luò)的內(nèi)部環(huán)境,及時(shí)發(fā)現(xiàn)漏洞、威脅,提高企業(yè)網(wǎng)站的安全系數(shù);第三,構(gòu)建識(shí)別機(jī)制,企業(yè)屬于網(wǎng)絡(luò)用戶,在登錄網(wǎng)絡(luò)系統(tǒng)時(shí),需要進(jìn)行嚴(yán)格的身份識(shí)別,常用的識(shí)別機(jī)制包括:口令、密碼或接口,判斷用戶的身份信息,例如:管理者在企業(yè)網(wǎng)絡(luò)系統(tǒng)的后臺(tái),限制登錄口令,劃分用戶等級(jí)身份,用戶在登錄企業(yè)網(wǎng)絡(luò)時(shí),填寫(xiě)信息需要與后臺(tái)設(shè)置完全吻合,驗(yàn)證身份成功后,才可登錄到網(wǎng)絡(luò)系統(tǒng)內(nèi)部,口令識(shí)別具有一定的選擇性,并不是所有企業(yè)網(wǎng)絡(luò)都適應(yīng),因此,在構(gòu)建識(shí)別機(jī)制時(shí),還需根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的實(shí)際,構(gòu)建合理、有效的機(jī)制,提高網(wǎng)絡(luò)系統(tǒng)的安全性。

二、構(gòu)建企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全體系

(一)構(gòu)建網(wǎng)絡(luò)安全體系。網(wǎng)絡(luò)安全體系的構(gòu)建,劃分為四部分,第一,保障外部網(wǎng)絡(luò)安全,外網(wǎng)是企業(yè)網(wǎng)絡(luò)環(huán)境的一部分,在進(jìn)行外網(wǎng)連接時(shí),需要遵循一定的安全標(biāo)準(zhǔn),約束訪問(wèn)行為,保障安全性能,實(shí)行KEY處理,管控內(nèi)網(wǎng)與外網(wǎng)的交互活動(dòng),嚴(yán)格識(shí)別訪問(wèn)信息,排除安全隱患;第二,利用遠(yuǎn)程接入的方式,降低企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn),避免攻擊者分析網(wǎng)絡(luò)路徑,企業(yè)網(wǎng)絡(luò)實(shí)行遠(yuǎn)程保護(hù)時(shí),設(shè)置動(dòng)態(tài)的接入口令,避免單一口令被破譯,加強(qiáng)安全防護(hù);第三,確保無(wú)線覆蓋區(qū)域的安全度,企業(yè)網(wǎng)絡(luò)已經(jīng)實(shí)現(xiàn)無(wú)線運(yùn)行,利用安全協(xié)議,保護(hù)無(wú)線環(huán)境,防止病毒攻擊無(wú)線環(huán)境,進(jìn)入企業(yè)網(wǎng)站;第四,實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò),特別是在入侵檢測(cè)方面,強(qiáng)化安全結(jié)構(gòu),保障網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定和安全,防護(hù)外網(wǎng)攻擊。

(二)構(gòu)建攻擊防護(hù)體系。企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的攻擊,主要體現(xiàn)在病毒、木馬、黑客方面,企業(yè)網(wǎng)絡(luò)中包含大量有價(jià)值的數(shù)據(jù)和信息,成為攻擊對(duì)象,攻擊者的目的是竊取、毀壞數(shù)據(jù),針對(duì)攻擊類(lèi)型,構(gòu)建防護(hù)體系,例如:合理制定防護(hù)方案,控制企業(yè)網(wǎng)絡(luò)運(yùn)行,形成主動(dòng)控制的防護(hù)狀態(tài),充分利用防火墻,開(kāi)啟部分防護(hù)功能,協(xié)助防護(hù)體系監(jiān)控網(wǎng)絡(luò)行為,過(guò)濾外網(wǎng)訪問(wèn)中的不安全程序,有效保護(hù)企業(yè)網(wǎng)絡(luò),避免數(shù)據(jù)泄漏,穩(wěn)定企業(yè)網(wǎng)絡(luò)運(yùn)行[2]。防護(hù)體系的構(gòu)建可以直接保護(hù)網(wǎng)絡(luò)安全系統(tǒng),確保企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全運(yùn)行的環(huán)境。

三、企業(yè)網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建的技術(shù)

企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建,建立在防護(hù)技術(shù)的基礎(chǔ)上,體現(xiàn)綜合效益。由于企業(yè)網(wǎng)絡(luò)的開(kāi)放性,導(dǎo)致企業(yè)網(wǎng)絡(luò)系統(tǒng)較容易受到病毒、黑客攻擊,丟失企業(yè)數(shù)據(jù),影響企業(yè)網(wǎng)絡(luò)的安全運(yùn)行,分析構(gòu)建企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的技術(shù),如下:

(一)數(shù)據(jù)保護(hù)技術(shù)。數(shù)據(jù)保護(hù)技術(shù)是企業(yè)網(wǎng)絡(luò)安全構(gòu)建的基礎(chǔ),主要分為三類(lèi),如:(1)保護(hù)數(shù)據(jù)庫(kù),在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)內(nèi),加裝組件,作用于安全層,支持企業(yè)數(shù)據(jù)安全;(2)備份保護(hù),備份企業(yè)數(shù)據(jù),實(shí)行硬件保護(hù),一旦企業(yè)網(wǎng)絡(luò)系統(tǒng)受到攻擊,利用備份數(shù)據(jù),及時(shí)恢復(fù)數(shù)據(jù)運(yùn)行,避免企業(yè)運(yùn)營(yíng)受阻;(3)利用容錯(cuò)保護(hù)的方式,篩選關(guān)鍵信息,備份關(guān)鍵數(shù)據(jù),即使部分?jǐn)?shù)據(jù)被篡改或刪除,也可通過(guò)容錯(cuò)恢復(fù),保持?jǐn)?shù)據(jù)完整性。

(二)病毒防護(hù)技術(shù)。分析企業(yè)網(wǎng)絡(luò)受病毒影響的類(lèi)型,提出病毒防護(hù)技術(shù)。系統(tǒng)規(guī)劃防病毒技術(shù),構(gòu)建防毒體系,如下圖1,首先安裝防火墻,有效隔企業(yè)網(wǎng)絡(luò)和Internet,解析入侵病毒,時(shí)刻監(jiān)控外部網(wǎng)絡(luò);然后在客戶端安裝殺毒軟件,保護(hù)企業(yè)網(wǎng)絡(luò),殺毒軟件可以根據(jù)病毒入侵路徑,實(shí)行自動(dòng)升級(jí),杜絕病毒入侵,特別是在病毒郵件方面,效果非常明顯,集中掃描傳輸郵件,保護(hù)企業(yè)的網(wǎng)絡(luò)通訊;最后利用防毒墻,過(guò)濾互聯(lián)網(wǎng)病毒,掃描內(nèi)外兩網(wǎng)傳輸?shù)乃行畔ⅲR(shí)別病毒程序,防止病毒植入。

(三)通道安全技術(shù)。企業(yè)網(wǎng)絡(luò)在日常工作中,接受來(lái)自不同IP的訪問(wèn),不論是企業(yè)內(nèi)部,還是來(lái)自外部廣域網(wǎng),都會(huì)存在安全風(fēng)險(xiǎn),因此,利用通道安全技術(shù),實(shí)行訪問(wèn)控制,提高數(shù)據(jù)安全。主要對(duì)數(shù)據(jù)通道實(shí)行加密處理,采用密鑰傳輸,促使傳輸數(shù)據(jù)在通道內(nèi),以密文的形式存在。例如:利用密鑰算法,加密企業(yè)的源頭文件,待文件傳輸?shù)街付ń邮辗綍r(shí),在實(shí)行解密,提高文件在通道中的安全水平,避免攻擊者竊取傳輸中的文件。

四、結(jié)束語(yǔ)

網(wǎng)絡(luò)系統(tǒng)為企業(yè)帶來(lái)效益和便利的同時(shí),隱含運(yùn)營(yíng)風(fēng)險(xiǎn),降低網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)企業(yè)運(yùn)營(yíng)的影響,需要加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全力度,有效防護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)安全,一方面推動(dòng)企業(yè)運(yùn)營(yíng)發(fā)展,另一方面體現(xiàn)網(wǎng)絡(luò)安全系統(tǒng)的優(yōu)勢(shì),發(fā)揮網(wǎng)絡(luò)價(jià)值。因此,深入分析企業(yè)網(wǎng)絡(luò),構(gòu)建安全系統(tǒng),維護(hù)企業(yè)安全系統(tǒng)的高質(zhì)量和高效率,保護(hù)企業(yè)信息。

參考文獻(xiàn):

[1]王松.試論企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的管理[J].科技致富向?qū)В?013(20):102.

[2]孫毅.中小企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理的研究[J].海峽科技與產(chǎn)業(yè),2013(06):35.

第2篇:網(wǎng)絡(luò)安全運(yùn)營(yíng)體系范文

關(guān)鍵詞:通信網(wǎng)絡(luò);安全隱患;管理體系;安全與防護(hù)

中圖分類(lèi)號(hào):TN918.91文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2012) 02-0000-02

Thinking of Communication Network Security and Protection

Li Jian

(Qinhuangdao Branch of China Tietong Group Ltd.,Qinhuangdao066100,China)

Abstract:The rapid development of information technology naturally led to the rapid rise of the communications network,both communications network to provide rare opportunities for development,but also inevitable to the communications network to bring some security risks.This paper discusses the security threats that currently exist on the communication network,in-depth thinking on the communication network security and protection,protection strategies to improve the security of network communications.

Keywords:Communication network;Security risks;Management system;Safety and Protection

一、前言

計(jì)算機(jī)網(wǎng)絡(luò)包括兩個(gè)部分:計(jì)算機(jī)和通信網(wǎng)絡(luò),計(jì)算機(jī)是信源或者終端,通信網(wǎng)絡(luò)則是進(jìn)行數(shù)據(jù)傳輸和交換,它最終實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的資源共享。隨著信息技術(shù)的不斷更新,我國(guó)通信網(wǎng)絡(luò)產(chǎn)業(yè)也在快速發(fā)展。目前,國(guó)內(nèi)的通信網(wǎng)絡(luò)系統(tǒng)覆蓋地域廣闊,設(shè)備復(fù)雜多樣,針對(duì)各種特定類(lèi)型的通信設(shè)備,很多的網(wǎng)管系統(tǒng)基本實(shí)現(xiàn)了使用專(zhuān)用的接口協(xié)議。

信息技術(shù)的快速發(fā)展,自然而然就帶動(dòng)了通信網(wǎng)絡(luò)的快速發(fā)展,隨著國(guó)民經(jīng)濟(jì)信息化進(jìn)程的加快,使得信息技術(shù)得到普及,而各行業(yè)通信網(wǎng)絡(luò)的依賴程度越來(lái)越高。通常,機(jī)遇與挑戰(zhàn)是并存的,一方面給通信網(wǎng)絡(luò)帶來(lái)了發(fā)展機(jī)遇;另一方面又不可避免的給通信網(wǎng)絡(luò)的安全造成一定的挑戰(zhàn)。當(dāng)前,通信網(wǎng)絡(luò)安全問(wèn)題日漸凸顯,如病毒,黑客等等竊取信息的方式也不計(jì)其數(shù),所以如何應(yīng)對(duì)這些通信網(wǎng)絡(luò)出現(xiàn)的安全問(wèn)題,也就是保證網(wǎng)絡(luò)通信的安全性是目前通信工程需要急需解決的難題。

為了維護(hù)網(wǎng)絡(luò)通信的信息系統(tǒng)的正常工作,預(yù)防網(wǎng)絡(luò)安全事故以保證通信網(wǎng)絡(luò)的安全,防范猖狂的網(wǎng)絡(luò)犯罪。需要制定相關(guān)的網(wǎng)絡(luò)通信信息系統(tǒng)的安全防護(hù)策略。

二、通信網(wǎng)絡(luò)安全防護(hù)工作現(xiàn)狀

通信網(wǎng)絡(luò)安全防護(hù)包括:網(wǎng)絡(luò)安全的等級(jí)保護(hù)、網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估和網(wǎng)絡(luò)安全的災(zāi)難備份等,這些都以事前防護(hù)和準(zhǔn)備為主的,最終通過(guò)技術(shù)和管理落實(shí)和改進(jìn)通信網(wǎng)絡(luò)安全的維護(hù)和管理,并且與網(wǎng)絡(luò)安全的重要性及潛在的威脅相適應(yīng),以提高通信網(wǎng)絡(luò)的安全水平,降低重大網(wǎng)絡(luò)安全事件的發(fā)生概率,以“積極防御、綜合防范”為指導(dǎo)方針,以“預(yù)防為主”的原則,關(guān)鍵是進(jìn)行事前預(yù)防保護(hù)。

通信網(wǎng)絡(luò)安全是根據(jù)網(wǎng)絡(luò)特性,通過(guò)相應(yīng)的安全技術(shù)和措施以防止通信網(wǎng)絡(luò)中泄露、破壞或更改了操作系統(tǒng)、軟件、硬件和數(shù)據(jù)等資源,預(yù)防非法用戶竊取服務(wù),以確保通信網(wǎng)絡(luò)的正常運(yùn)行;網(wǎng)絡(luò)通信安全包括設(shè)備安全、用戶識(shí)別安全以及數(shù)據(jù)傳輸安全等內(nèi)容。

國(guó)內(nèi)外對(duì)通信網(wǎng)絡(luò)安全的研究一直在進(jìn)行,國(guó)外很早就進(jìn)行信息網(wǎng)絡(luò)安全研究,研究全面而廣泛。上個(gè)世紀(jì)70年代美國(guó)在網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計(jì)算機(jī)保密模型”的基礎(chǔ)上,制定了“可信計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則”(TCSEC),之后又制定了網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫(kù)方面和系列安全解釋?zhuān)纬闪税踩畔Ⅲw系結(jié)構(gòu)的準(zhǔn)則[3]。安全協(xié)議對(duì)信息安全而言是必不可少的,包括基于狀態(tài)機(jī)、代數(shù)工具和模態(tài)邏輯三種分析方法。而今密碼學(xué)成為網(wǎng)絡(luò)信息安全的重要技術(shù),近年來(lái)各個(gè)國(guó)家和地區(qū)相繼舉辦信息學(xué)及安全密碼學(xué)術(shù)會(huì)議。當(dāng)前研究的熱點(diǎn)是密鑰密碼,而電子商務(wù)的安全性也受到極大關(guān)注,目前處于研究和發(fā)展的階段,加快了密鑰管理及論證理論的研究步伐。國(guó)內(nèi)的信息網(wǎng)絡(luò)安全研究經(jīng)歷了兩個(gè)階段:通信保密和數(shù)據(jù)保護(hù)。目前主要從安全體系結(jié)構(gòu)、現(xiàn)代密碼結(jié)論、安全協(xié)議、信息分析和監(jiān)控等方面提出的系統(tǒng)完整和協(xié)同的通信網(wǎng)絡(luò)安全與防護(hù)的方案。2009年開(kāi)始,國(guó)家的信息化部及工業(yè)計(jì)劃每年對(duì)通信網(wǎng)絡(luò)進(jìn)行安全等級(jí)保護(hù)、通信風(fēng)險(xiǎn)評(píng)估,網(wǎng)絡(luò)通信的災(zāi)難備份等相關(guān)防護(hù)工作。

三、探討通信網(wǎng)絡(luò)中的安全隱患

隨著通信網(wǎng)絡(luò)的一體化和互聯(lián)互通,以及共享資源步伐的加快,通信的安全和保密問(wèn)題就顯得非常重要。

(一)關(guān)于安全管理體系建設(shè)

首先,網(wǎng)絡(luò)安全機(jī)構(gòu)不夠健全,網(wǎng)絡(luò)安全維護(hù)隊(duì)伍還不充實(shí)。目前,非傳統(tǒng)安全問(wèn)題不斷增加,而企業(yè)在進(jìn)行人員素質(zhì)培養(yǎng)、人員的配備及機(jī)構(gòu)的設(shè)置未能很好地適應(yīng)管理工作。其次,未能很好的統(tǒng)籌網(wǎng)絡(luò)安全管理工作,整體性不足。雖然在業(yè)務(wù)發(fā)展中,各運(yùn)營(yíng)企業(yè)相繼建設(shè)了不少的網(wǎng)絡(luò)和系統(tǒng),但沒(méi)有統(tǒng)籌謀劃和監(jiān)督管理,缺乏統(tǒng)一標(biāo)準(zhǔn),運(yùn)營(yíng)企業(yè)各自管理網(wǎng)絡(luò)和系統(tǒng)的安全,因此,必然存在安全隱患。再者,由于缺乏安全技術(shù)手段。網(wǎng)絡(luò)的應(yīng)急處置、預(yù)警監(jiān)控、安全防護(hù)和審計(jì)等技術(shù)水平不高。最后,網(wǎng)絡(luò)安全制度未完善,未能涉及每個(gè)環(huán)節(jié)。安全管理主要集中在運(yùn)行維護(hù)環(huán)節(jié)而忽略其他環(huán)節(jié),最近幾年企業(yè)建設(shè)了不少I(mǎi)T系統(tǒng),但上線前未對(duì)設(shè)備和系統(tǒng)進(jìn)行徹底的安全檢測(cè),同樣帶來(lái)安全隱患。

(二)關(guān)于適應(yīng)形勢(shì)的發(fā)展

運(yùn)營(yíng)企業(yè)未能深入認(rèn)識(shí)到通信網(wǎng)絡(luò)的基礎(chǔ)性以及全局性作用,隨著通信網(wǎng)絡(luò)移動(dòng)化、IP化、智能化的發(fā)展,網(wǎng)絡(luò)安全觀念相對(duì)滯后,傳統(tǒng)的網(wǎng)絡(luò)通信安全意識(shí)仍停在設(shè)備可靠性等物理安全層面上,而對(duì)網(wǎng)絡(luò)攻擊、非法遠(yuǎn)程控制和病毒傳播等威脅意識(shí)仍然不夠,對(duì)通信網(wǎng)絡(luò)安全防護(hù)的投入很少,對(duì)網(wǎng)絡(luò)安全存在僥幸心理。

(三)關(guān)于規(guī)范第三方服務(wù)的管理

運(yùn)營(yíng)企業(yè)在信息和網(wǎng)絡(luò)系統(tǒng)的安全的保障、規(guī)劃的設(shè)計(jì)、建設(shè)集成和網(wǎng)絡(luò)的運(yùn)行維護(hù)等環(huán)節(jié)基本都依賴第三方服務(wù)。但是由于缺乏規(guī)程規(guī)范和制度,運(yùn)營(yíng)企業(yè)對(duì)第三方服務(wù)的管控力度不夠,致使服務(wù)過(guò)程存在較大風(fēng)險(xiǎn)。

(四)防護(hù)措施落實(shí)不到位

目前,網(wǎng)絡(luò)通信防護(hù)內(nèi)容主要是防病毒、防攻擊、防入侵。但是,防護(hù)措施落實(shí)不夠,未能防范和抵御網(wǎng)絡(luò)系統(tǒng)的內(nèi)外部安全風(fēng)險(xiǎn),DDOS攻擊堵塞城域網(wǎng)和IDC的事件時(shí)有發(fā)生;未能及時(shí)升級(jí)軟件,漏洞管理不及時(shí),被保護(hù)主機(jī)或系統(tǒng)會(huì)因?yàn)槁┒丛獾胶诳偷墓?;如果沒(méi)做好不同安全域之間和內(nèi)外網(wǎng)隔離及其訪問(wèn)控制工作,就可能導(dǎo)致不同系統(tǒng)間的非授權(quán)訪問(wèn);服務(wù)器或者系統(tǒng)開(kāi)放不必要的服務(wù)和端口就會(huì)給黑客有機(jī)可乘,通過(guò)遠(yuǎn)程攻擊和入侵;沒(méi)有啟用安全日志或者沒(méi)做好日志審計(jì)工作就會(huì)對(duì)故障的排查及處理,安全事件的還原工作帶來(lái)困難。

(五)關(guān)于網(wǎng)絡(luò)的安全意識(shí)

目前,運(yùn)營(yíng)企業(yè)的網(wǎng)絡(luò)和系統(tǒng)本身安全性不足,存在很多安全漏洞,而運(yùn)營(yíng)企業(yè)本身的內(nèi)部網(wǎng)絡(luò)防范措施不足,太過(guò)依賴邊界安全,因此存在嚴(yán)重的安全隱患。

(六)關(guān)于遠(yuǎn)程維護(hù)管控措施

有的遠(yuǎn)程維護(hù)管理網(wǎng)絡(luò)平臺(tái)本身就有漏洞,而遠(yuǎn)程維護(hù)管理控制的審批的管理、平臺(tái)的管理、日志的審計(jì)以及實(shí)時(shí)的監(jiān)控等措施也不足,因此業(yè)務(wù)系統(tǒng)同時(shí)存在內(nèi)外部的安全隱患。

(七)災(zāi)難備份工作不夠完善

隨著網(wǎng)絡(luò)的集中管控程度的提高,在部分網(wǎng)絡(luò)單元中,還存在同管道、單節(jié)點(diǎn)、單路由等問(wèn)題。

四、關(guān)于網(wǎng)絡(luò)安全的防護(hù)

(一)關(guān)于網(wǎng)絡(luò)安全維護(hù)的新情況和新問(wèn)題

監(jiān)管部門(mén)應(yīng)該加強(qiáng)管理及隨時(shí)研究新技術(shù)帶來(lái)的安全問(wèn)題,為提高工作的有效性和主動(dòng)性,應(yīng)及時(shí)提出相關(guān)的措施。

(二)關(guān)于安全防護(hù)的檢查力度

在傳統(tǒng)的安全防護(hù)檢查的基礎(chǔ)上,需要制訂和完善安全防護(hù)標(biāo)準(zhǔn)以針對(duì)非傳統(tǒng)安全的薄弱環(huán)節(jié)和突出問(wèn)題,深入開(kāi)展風(fēng)險(xiǎn)和安全評(píng)測(cè)。

(三)貫徹落實(shí)各項(xiàng)制度標(biāo)準(zhǔn)

電信監(jiān)管部門(mén)應(yīng)該積極組織開(kāi)展《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》、《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》等制度的學(xué)習(xí)宣傳和貫徹,落實(shí)安全防護(hù)工作。

(四)對(duì)應(yīng)急事件的處理

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全事件發(fā)生頻率將越來(lái)越高,電信監(jiān)管部門(mén)應(yīng)及時(shí)通報(bào)網(wǎng)絡(luò)安全信息,重視重大的網(wǎng)絡(luò)安全事件。

(五)關(guān)于主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)配置方案

基于Intranet體系結(jié)構(gòu)的運(yùn)營(yíng)企業(yè)的網(wǎng)絡(luò)系統(tǒng),同時(shí)兼?zhèn)鋸V域網(wǎng)和局域網(wǎng)的特性,是一個(gè)范圍覆蓋廣且充分利用了Intranet技術(shù)的分布式的計(jì)算機(jī)網(wǎng)絡(luò),面臨的安全隱患很多,應(yīng)安裝核心防護(hù)產(chǎn)品在需要保護(hù)的核心服務(wù)器上,部署中央管理控制臺(tái)在中央安全管理平臺(tái)上,以對(duì)全部的核心防護(hù)產(chǎn)品進(jìn)行統(tǒng)一管理。

(六)關(guān)于網(wǎng)絡(luò)的安全技術(shù)水平

監(jiān)管部門(mén)在網(wǎng)絡(luò)安全工作中應(yīng)重視技術(shù)手段建設(shè),隨時(shí)關(guān)注通信網(wǎng)絡(luò)的發(fā)展趨勢(shì),加強(qiáng)技術(shù)研發(fā),提高運(yùn)營(yíng)企業(yè)的抗擊能力。一直以來(lái),運(yùn)營(yíng)企業(yè)的安身立命需要保證通信網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。隨著信息通信技術(shù)的飛速發(fā)展,通信網(wǎng)絡(luò)所涉及的各種業(yè)務(wù)已經(jīng)滲透到國(guó)家社會(huì)、政治及生活的各個(gè)方面,其地位和作用日趨重要。在新的發(fā)展形勢(shì)下,網(wǎng)絡(luò)的安全穩(wěn)定已經(jīng)成為通信運(yùn)營(yíng)企業(yè)所擔(dān)負(fù)的社會(huì)責(zé)任。

五、結(jié)語(yǔ)

當(dāng)今是信息時(shí)代,掌握了信息就掌握了主動(dòng)權(quán),不管是經(jīng)濟(jì)的發(fā)展還是戰(zhàn)爭(zhēng)的對(duì)抗,信息就是決定一切的先決條件。整個(gè)社會(huì)都在努力追趕信息時(shí)代的步伐,為的就是及時(shí)追隨時(shí)代的步伐,走在信息時(shí)代的最前沿才能掌握發(fā)言權(quán)。

參考文獻(xiàn):

[1]楊朝軍.關(guān)于計(jì)算機(jī)通信網(wǎng)絡(luò)安全與防護(hù)策略的幾點(diǎn)思考[J].應(yīng)用科學(xué)

[2]丁全文.淺談通信網(wǎng)絡(luò)的安全與防護(hù)[J].信息與電腦,2011,5

[3]馮登國(guó).國(guó)內(nèi)外信息安全研究現(xiàn)狀及其發(fā)展趨勢(shì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2001,1:8-13

[4]姜濱,于湛.通信網(wǎng)絡(luò)安全與防護(hù)[J].甘肅科技,2006,12,22

第3篇:網(wǎng)絡(luò)安全運(yùn)營(yíng)體系范文

[關(guān)鍵詞]移動(dòng)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防護(hù)技術(shù)

引言

根據(jù)工信部提供的數(shù)據(jù),截至2018年3月,我國(guó)移動(dòng)互聯(lián)網(wǎng)用戶總數(shù)高達(dá)13.2億,同比增加16.1%,移動(dòng)網(wǎng)絡(luò)用戶數(shù)量的持續(xù)增加,不僅催生了新的經(jīng)濟(jì)業(yè)態(tài),便捷了用戶生活,也誘發(fā)了信息數(shù)據(jù)丟失、泄露等安全問(wèn)題。為保持移動(dòng)網(wǎng)絡(luò)的安全性與穩(wěn)定性,研究團(tuán)隊(duì)與技術(shù)人員需要從安全防護(hù)技術(shù)的角度出發(fā),厘清設(shè)計(jì)需求,強(qiáng)化技術(shù)創(chuàng)新,逐步構(gòu)建起完備的移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系。

1移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)概述

探討移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)構(gòu)成與類(lèi)型,有助于技術(shù)人員形成正確的觀念認(rèn)知,掌握移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)的特點(diǎn),梳理后續(xù)安全防護(hù)技術(shù)的設(shè)計(jì)需求,為安全防護(hù)技術(shù)的科學(xué)應(yīng)用提供方向性引導(dǎo)。隨著移動(dòng)網(wǎng)絡(luò)技術(shù)的日益成熟,移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)逐步完善,可以充分滿足不同場(chǎng)景下的網(wǎng)絡(luò)安全防護(hù)基本要求。具體來(lái)看,現(xiàn)階段移動(dòng)網(wǎng)絡(luò)安全機(jī)制較為健全、完善,形成了網(wǎng)絡(luò)接入安全、網(wǎng)絡(luò)域安全、用戶域安全、應(yīng)用安全等幾個(gè)層級(jí)[1],實(shí)現(xiàn)了移動(dòng)網(wǎng)絡(luò)的傳輸層、服務(wù)層以及應(yīng)用層的有效聯(lián)動(dòng),強(qiáng)化了對(duì)移動(dòng)網(wǎng)絡(luò)入網(wǎng)用戶的身份識(shí)別能力,以更好地提升移動(dòng)通信網(wǎng)絡(luò)的安全防護(hù)能力,相關(guān)技術(shù)構(gòu)成如圖1所示。網(wǎng)絡(luò)接入安全保護(hù)技術(shù)的作用,使得用戶可以通過(guò)身份識(shí)別等方式,快速接入到移動(dòng)網(wǎng)絡(luò)之中,從而規(guī)避無(wú)線鏈路攻擊風(fēng)險(xiǎn),保證網(wǎng)絡(luò)運(yùn)行的安全性,降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。通過(guò)構(gòu)建網(wǎng)絡(luò)安全域安全技術(shù)模塊,對(duì)移動(dòng)網(wǎng)絡(luò)中的數(shù)據(jù)交互路徑采取加密保護(hù)等相關(guān)舉措,可以降低數(shù)據(jù)丟失或者泄露的風(fēng)險(xiǎn)。與其他網(wǎng)絡(luò)不同,移動(dòng)網(wǎng)絡(luò)用戶相對(duì)而言較為固定,用戶群體較為明顯,這種特性使得在移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)應(yīng)用過(guò)程中,可以通過(guò)簽約用戶識(shí)別模塊,形成移動(dòng)實(shí)體/通用簽約用戶識(shí)別模塊(UniversalSubscriberIdentityModule,USIM)安全環(huán)境,實(shí)現(xiàn)移動(dòng)網(wǎng)絡(luò)安全防護(hù)的靈活化、有效化,依托移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù),使得電信運(yùn)營(yíng)商的服務(wù)質(zhì)量顯著提升,更好地滿足不同場(chǎng)景下、不同用戶群體的移動(dòng)網(wǎng)絡(luò)使用需求[2]。隨著5G網(wǎng)絡(luò)的日益成熟,移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù)也需要做出相應(yīng)的轉(zhuǎn)變,通過(guò)形成移動(dòng)通信網(wǎng)絡(luò)安全平臺(tái),實(shí)現(xiàn)硬件系統(tǒng)與軟件系統(tǒng)的聯(lián)動(dòng),構(gòu)建起平臺(tái)式、生態(tài)化的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)機(jī)制,最大限度地保證用戶信息的安全性與有效性。

2移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)設(shè)計(jì)需求

移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)涉及的技術(shù)類(lèi)型較為多元,為有效整合安全防護(hù)技術(shù)資源,技術(shù)人員應(yīng)當(dāng)明確安全防護(hù)技術(shù)需求,在技術(shù)需求導(dǎo)向下,提升移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用的有效性。

2.1移動(dòng)通信網(wǎng)絡(luò)面臨的主要威脅

移動(dòng)通信網(wǎng)絡(luò)在使用過(guò)程中,受到病毒、木馬、垃圾郵件等因素的威脅日益嚴(yán)重,用戶個(gè)人信息數(shù)據(jù)丟失案例逐年上升,網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻。出現(xiàn)這種情況的主要原因在于,移動(dòng)通信網(wǎng)絡(luò)經(jīng)過(guò)多年發(fā)展,其形成以網(wǎng)絡(luò)應(yīng)用服務(wù)為核心,以移動(dòng)終端為平臺(tái)的應(yīng)用場(chǎng)景[3]。這種技術(shù)特性,使得越來(lái)越多的用戶愿意通過(guò)移動(dòng)通信網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的訪問(wèn)。數(shù)據(jù)訪問(wèn)的完成,固然提升了用戶的使用體驗(yàn),但是移動(dòng)通信網(wǎng)絡(luò)在通過(guò)空中接口傳輸數(shù)據(jù)的過(guò)程中,出現(xiàn)數(shù)據(jù)截流或者丟失的概率也相對(duì)較大。移動(dòng)通信網(wǎng)絡(luò)具有較強(qiáng)的開(kāi)放性,用戶可以根據(jù)自身的需要,進(jìn)行網(wǎng)絡(luò)資源的獲取與訪問(wèn),這種開(kāi)放性,無(wú)形之中增加了安全事件的發(fā)生概率。這些移動(dòng)通信網(wǎng)絡(luò)安全威脅要素的存在,勢(shì)必要求技術(shù)人員快速做出思路的轉(zhuǎn)變,通過(guò)技術(shù)創(chuàng)新與優(yōu)化,持續(xù)增強(qiáng)技術(shù)的安全性。

2.2移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)設(shè)計(jì)基本要求

2.2.1基于體系安全的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)為改善移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)能力,有效應(yīng)對(duì)各類(lèi)外部風(fēng)險(xiǎn),避免數(shù)據(jù)竊取或者泄漏等情況的發(fā)生。在移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)工中,需要以平臺(tái)為基礎(chǔ),豐富安全防護(hù)的路徑與場(chǎng)景,基于這種技術(shù)思路,我國(guó)相關(guān)安全技術(shù)團(tuán)隊(duì)提出了平臺(tái)化的解決方案。將移動(dòng)通信網(wǎng)絡(luò)終端作為主要平臺(tái),對(duì)終端實(shí)體設(shè)備與網(wǎng)絡(luò)之間的初始認(rèn)證路徑、認(rèn)證頻次等做出適當(dāng)?shù)恼{(diào)整,形成安全信息的交互,這種平臺(tái)式的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù),不僅可以提升實(shí)際的防護(hù)能力,還在很大程度上降低了移動(dòng)通信安全防護(hù)技術(shù)的應(yīng)用成本,避免了額外費(fèi)用的產(chǎn)生,穩(wěn)步提升了移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)的實(shí)用性與可行性[4]。

2.2.2基于終端安全的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)終端是移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)、交互、使用的重要媒介,基于這種認(rèn)知,技術(shù)人員需要將終端作為安全防護(hù)的重要領(lǐng)域,通過(guò)技術(shù)的創(chuàng)新,打造完備的終端安全防護(hù)機(jī)制體系。例如,目前較為成熟的第三代移動(dòng)通信網(wǎng)絡(luò)的認(rèn)證與密鑰協(xié)商協(xié)議(AuthenticationandKeyAgreement,AKA),其根據(jù)終端特性,設(shè)置了可信計(jì)算安全結(jié)構(gòu),這種安全結(jié)構(gòu)以可信移動(dòng)平臺(tái)、公鑰基礎(chǔ)設(shè)施作為框架,將用戶終端中嵌入敏感服務(wù),形成魯棒性終端安全平臺(tái),從實(shí)踐效果來(lái)看,這種安全認(rèn)證技術(shù)方案,不僅可以識(shí)別各類(lèi)終端攻擊行為,消除各類(lèi)安全風(fēng)險(xiǎn),其技術(shù)原理相對(duì)簡(jiǎn)單,實(shí)現(xiàn)難度較小,在實(shí)踐環(huán)節(jié),表現(xiàn)出明顯的實(shí)踐優(yōu)勢(shì)。

3移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系的構(gòu)建

移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用,要求技術(shù)人員從實(shí)際出發(fā),在做好防護(hù)技術(shù)設(shè)計(jì)需求分析的基礎(chǔ)上,依托現(xiàn)有的技術(shù)手段,建立起完備的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用體系,實(shí)現(xiàn)安全防護(hù)體系的健全與完善。

3.1應(yīng)用可信服務(wù)安全防護(hù)技術(shù)方案

基于移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)設(shè)計(jì)要求,技術(shù)人員應(yīng)當(dāng)將平臺(tái)作為基礎(chǔ),形成以移動(dòng)可信計(jì)算模塊為核心的安全防護(hù)技術(shù)體系。從實(shí)際情況來(lái)看,移動(dòng)可信計(jì)算模塊具有較強(qiáng)的獨(dú)立性,可以為用戶提供可靠的信息安全通道,對(duì)于移動(dòng)通信網(wǎng)絡(luò)終端安裝的各類(lèi)操作軟件進(jìn)行合法性檢測(cè),對(duì)于沒(méi)有獲得授權(quán)的軟件,禁止安裝與運(yùn)行。這種技術(shù)處理方案實(shí)用性較強(qiáng),具備較高的使用價(jià)值。

3.2應(yīng)用安全服務(wù)器防護(hù)技術(shù)方案

為降低移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用難度,技術(shù)人員將安全服務(wù)器納入防護(hù)技術(shù)方案中,通過(guò)安全服務(wù)器,移動(dòng)通信網(wǎng)絡(luò)可以在較短的時(shí)間內(nèi)完成移動(dòng)端軟件完整性評(píng)估與合法性查詢,通過(guò)這種輔助功能,移動(dòng)通信網(wǎng)絡(luò)使用的各類(lèi)硬件、軟件保持在安全運(yùn)行狀態(tài),實(shí)現(xiàn)對(duì)各類(lèi)安全事件的評(píng)估與應(yīng)對(duì),以保證安全防護(hù)成效。在安全服務(wù)器防護(hù)技術(shù)設(shè)置上,技術(shù)人員需要針對(duì)性地做好查詢功能的設(shè)置工作,為移動(dòng)終端提供軟件合法性查詢服務(wù)。這種技術(shù)機(jī)制使得安全服務(wù)器可以對(duì)移動(dòng)終端安裝或者運(yùn)行軟件進(jìn)行系統(tǒng)化查詢。例如,根據(jù)需要,對(duì)安裝或者運(yùn)行軟件的合法性進(jìn)行審查。審查過(guò)程中,終端通過(guò)本地的MTM進(jìn)行查詢,如沒(méi)有獲得查詢結(jié)果,則發(fā)出查詢申請(qǐng),安全服務(wù)器在接受申請(qǐng)后,進(jìn)行系列安全查詢,并將查詢結(jié)果及時(shí)反饋給終端。在安全服務(wù)器使用過(guò)程中,還需要做好升級(jí)工作。例如,加強(qiáng)與軟件提供商的技術(shù)溝通,通過(guò)技術(shù)溝通,做好軟件安全性、合法性信息的生成,實(shí)現(xiàn)軟件的備案。還要持續(xù)提升運(yùn)營(yíng)網(wǎng)絡(luò)的接入網(wǎng)服務(wù)器交互功能,逐步強(qiáng)化移動(dòng)終端完整性的整體性接入能力,保證移動(dòng)終端的安全性與整體性。

3.3應(yīng)用大數(shù)據(jù)下安全防護(hù)技術(shù)方案

大數(shù)據(jù)背景下,移動(dòng)通信安全防護(hù)技術(shù)的應(yīng)用,要求技術(shù)人員從安全監(jiān)測(cè)、安全響應(yīng)、系統(tǒng)恢復(fù)等層面出發(fā),形成完備的安全防護(hù)機(jī)制。在安全監(jiān)測(cè)模塊設(shè)計(jì)環(huán)節(jié),技術(shù)人員通過(guò)入侵監(jiān)測(cè)技術(shù)、網(wǎng)絡(luò)深度過(guò)濾技術(shù)、網(wǎng)絡(luò)抓包技術(shù)得以對(duì)移動(dòng)通信網(wǎng)絡(luò)漏洞開(kāi)展評(píng)估與分析,并根據(jù)評(píng)估結(jié)果,進(jìn)行網(wǎng)絡(luò)安全補(bǔ)丁的下載,從而避免病毒等非法入侵行為的發(fā)生[5]。相應(yīng)安全技術(shù)研發(fā)過(guò)程中,依托殺毒軟件、防火墻等現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)技術(shù)方案,確保移動(dòng)通信網(wǎng)絡(luò)在遭受攻擊后,可以快速響應(yīng),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒的查殺,確保信息數(shù)據(jù)的安全性。要做好網(wǎng)絡(luò)終端數(shù)據(jù)的備份,定期進(jìn)行移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)的備份,一旦出現(xiàn)信息泄露或者網(wǎng)絡(luò)遭受攻擊的情況,讓技術(shù)人員可以通過(guò)備份技術(shù),快速完成數(shù)據(jù)的恢復(fù),將信息泄露的損失降到最低。

第4篇:網(wǎng)絡(luò)安全運(yùn)營(yíng)體系范文

關(guān)鍵詞:電子政務(wù) 外網(wǎng)平臺(tái) 建設(shè)方案 張家口市

張家口市電子政務(wù)外網(wǎng)系統(tǒng)主要承載全市各級(jí)黨政機(jī)關(guān)面向社會(huì)服務(wù)的業(yè)務(wù)協(xié)同、社會(huì)管理、公共服務(wù)、應(yīng)急聯(lián)動(dòng)等應(yīng)用系統(tǒng),滿足市各級(jí)黨政機(jī)關(guān)之間信息傳輸、匯聚及各級(jí)黨政機(jī)關(guān)與公眾、企業(yè)之間信息交換、信息共享和管理服務(wù)的需求。

一、電子政務(wù)外網(wǎng)管理機(jī)構(gòu)

以原市信息中心和原市政府辦公室辦公自動(dòng)化管理中心為基礎(chǔ),建立張家口市政府電子政務(wù)外網(wǎng)管理中心,作為全市電子政務(wù)外網(wǎng)統(tǒng)一的規(guī)劃、設(shè)計(jì)、建設(shè)和管理機(jī)構(gòu)。

電子政務(wù)外網(wǎng)管理中心主要負(fù)責(zé)電子政務(wù)外網(wǎng)的系統(tǒng)支撐體系、應(yīng)用服務(wù)體系、安全保障體系的建設(shè)、運(yùn)行、管理和維護(hù),提供統(tǒng)一互聯(lián)網(wǎng)接入服務(wù),協(xié)調(diào)電子政務(wù)外網(wǎng)各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的建設(shè)和維護(hù)工作。

二、總體設(shè)計(jì)

⒈系統(tǒng)體系結(jié)構(gòu)

張家口市電子政務(wù)外網(wǎng)系統(tǒng)的體系結(jié)構(gòu)如圖1所示。

⒉網(wǎng)絡(luò)結(jié)構(gòu)

根據(jù)河北省公務(wù)外網(wǎng)的建設(shè)目標(biāo)和建設(shè)原則,結(jié)合現(xiàn)有網(wǎng)絡(luò)資源,構(gòu)建市級(jí)橫向及上至省、下達(dá)縣區(qū)的三級(jí)縱向電子政務(wù)外網(wǎng)平臺(tái)。通過(guò)全市統(tǒng)一的電子政務(wù)網(wǎng)絡(luò)傳輸通道,實(shí)現(xiàn)省、市、縣電子政務(wù)外網(wǎng)縱向的互聯(lián)互通;實(shí)現(xiàn)市、縣各橫向部門(mén)的互聯(lián)互通。縣橫向網(wǎng)絡(luò)由屬地

圖1 張家口市電子政務(wù)外網(wǎng)系統(tǒng)體系結(jié)構(gòu)

自行建設(shè)。市直各部門(mén)原則上不再建設(shè)縱向電子政務(wù)外網(wǎng),已建成的縱向外網(wǎng)要逐步整合到市電子政務(wù)外網(wǎng)平臺(tái)上。

電子政務(wù)外網(wǎng)通過(guò)市政府電子政務(wù)外網(wǎng)管理中心實(shí)現(xiàn)與國(guó)際互聯(lián)網(wǎng)安全連接。

張家口市電子政務(wù)外網(wǎng)總體結(jié)構(gòu)如圖2所示。

按照層次化網(wǎng)絡(luò)設(shè)計(jì)思想,把整個(gè)電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)體系結(jié)構(gòu)分為核心層(電子政務(wù)外網(wǎng)管理中心)、匯聚層(市委、市人大、市政府、市政協(xié),軍分區(qū)、20個(gè)縣區(qū)政府中心節(jié)點(diǎn))、接入層(高檢、高法,市直部門(mén),大型企業(yè)、集團(tuán)用戶、駐外機(jī)構(gòu)等)三個(gè)層次。

電子政務(wù)外網(wǎng)是一個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái),部門(mén)與部門(mén)之間是獨(dú)立的,各部門(mén)間的數(shù)據(jù)不能隨意訪問(wèn),建議部門(mén)間嚴(yán)格地隔離和控制。在電子政務(wù)外網(wǎng)建設(shè)中,應(yīng)充分考慮各單位網(wǎng)絡(luò)縱向邏輯上的獨(dú)立性及橫向互訪的安全性。

張家口市電子政務(wù)外網(wǎng)的業(yè)務(wù)需求有如下特點(diǎn):

――在同一物理網(wǎng)絡(luò)上需要承載多個(gè)相對(duì)獨(dú)立的業(yè)務(wù)系統(tǒng);

――不同部門(mén)網(wǎng)絡(luò)地址可能存在重復(fù)使用問(wèn)題;

――各業(yè)務(wù)系統(tǒng)為不同的職能部門(mén)開(kāi)展業(yè)務(wù)提供服務(wù),其數(shù)據(jù)流程和管理方式都存在差異;

――不同業(yè)務(wù)系統(tǒng),需要在同一個(gè)網(wǎng)絡(luò)平臺(tái)上提供差異化服務(wù),如對(duì)帶寬、實(shí)時(shí)性有不同的要求;

――不同業(yè)務(wù)系統(tǒng)之間需要提供安全隔離;

――全網(wǎng)需要對(duì)不同業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一管理。

⒊電子政務(wù)外網(wǎng)縱向隔離和橫向互通

在進(jìn)行MPLS VPN規(guī)劃時(shí),必須解決好縱向網(wǎng)絡(luò)的隔離和橫向網(wǎng)絡(luò)的互通(參見(jiàn)圖3)。

三、資源整合

⒈整合原則

――電子政務(wù)外網(wǎng)系統(tǒng)基于全市統(tǒng)一的平臺(tái)建設(shè)。

――市直各部門(mén)、各縣區(qū)原則上不再建設(shè)縱向外網(wǎng),已建成的要根據(jù)全市統(tǒng)一要求進(jìn)行調(diào)整,適時(shí)逐步整合到統(tǒng)一的電子政務(wù)網(wǎng)絡(luò)傳輸通道上來(lái)。

――電子政務(wù)外網(wǎng)接入,應(yīng)按照安全、保密的統(tǒng)一要求及全市制定的接入規(guī)范進(jìn)行驗(yàn)收,驗(yàn)收合格后,方可接入。

――根據(jù)網(wǎng)絡(luò)建設(shè)實(shí)際情況,適時(shí)逐步進(jìn)行網(wǎng)絡(luò)調(diào)整和優(yōu)化。

――充分利用現(xiàn)有資源,保護(hù)已有投資。

⒉網(wǎng)絡(luò)資源整合

網(wǎng)絡(luò)整合的核心是構(gòu)建全市統(tǒng)一的電子政務(wù)外網(wǎng)傳輸通道。

圖2 張家口市電子政務(wù)外網(wǎng)總體結(jié)構(gòu)

圖3 電子政務(wù)外網(wǎng)縱向隔離和橫向互通示意圖

⒊信息資源整合

外界可訪問(wèn)部分放在隔離區(qū)(DMZ),所有用戶均可訪問(wèn)。

僅電子政務(wù)外網(wǎng)用戶訪問(wèn)的部分,放置在全局共享區(qū),內(nèi)部所有用戶均可訪問(wèn)(如圖4所示)。

⒋網(wǎng)站資源整合

⑴各部門(mén)互聯(lián)網(wǎng)門(mén)戶網(wǎng)站的整合

如果現(xiàn)有門(mén)戶網(wǎng)站沒(méi)有必要放在市電子政務(wù)外網(wǎng)中運(yùn)行,那么該門(mén)戶網(wǎng)站可保持現(xiàn)狀,在省、市、縣政府的門(mén)戶網(wǎng)站中做鏈接,來(lái)增加其訪問(wèn)量和影響力。

如果現(xiàn)有網(wǎng)站必須接入到電子政務(wù)外網(wǎng)平臺(tái),那么可為該網(wǎng)站再分配市電子政務(wù)外網(wǎng)IP地址,其域名和網(wǎng)站物理位置保持不變。

⑵網(wǎng)絡(luò)系統(tǒng)內(nèi)部與外部信息的整合

構(gòu)建統(tǒng)一的網(wǎng)絡(luò)系統(tǒng)內(nèi)部與外部信息平臺(tái),建立全網(wǎng)統(tǒng)一、規(guī)范和完善的政務(wù)網(wǎng)站資源體系,以做到一個(gè)數(shù)據(jù)管理平臺(tái)維護(hù),網(wǎng)內(nèi)網(wǎng)外多個(gè)站點(diǎn);使政府各部門(mén)信息的互聯(lián)互通,共享利用,能充分發(fā)揮各自的信息資源優(yōu)勢(shì),從而逐步實(shí)現(xiàn)電子政務(wù)外網(wǎng)辦公、互聯(lián)網(wǎng)的辦公模式。

圖4 專(zhuān)業(yè)應(yīng)用系統(tǒng)整合結(jié)構(gòu)示意圖

四、信息資源共享體系

⒈目錄服務(wù)體系

全省統(tǒng)一的目錄服務(wù)體系由省統(tǒng)一建立。

⒉數(shù)據(jù)交換體系

電子政務(wù)外網(wǎng)數(shù)據(jù)交換系統(tǒng)總體框架采用“三橫兩縱”的總體框架結(jié)構(gòu)(參見(jiàn)圖5)?!叭龣M”為流程層的流程管理系統(tǒng)、應(yīng)用層的數(shù)據(jù)交換與服務(wù)、數(shù)據(jù)層的應(yīng)用適配器系統(tǒng);“兩縱”為支撐“三橫”的配置管理及監(jiān)控系統(tǒng)和安全支撐系統(tǒng)。

圖5 張家口市電子政務(wù)外網(wǎng)數(shù)據(jù)交換系統(tǒng)總體框架

五、應(yīng)用服務(wù)體系

應(yīng)用服務(wù)體系包括基礎(chǔ)層、組件層、功能層和表現(xiàn)層,它們分別為:政府門(mén)戶網(wǎng)站、公文流轉(zhuǎn)系統(tǒng)、移動(dòng)辦公系統(tǒng)、電子郵件系統(tǒng)、IP電話系統(tǒng)、IP呼叫中心、視頻會(huì)議支撐平臺(tái)、視頻點(diǎn)播系統(tǒng)、應(yīng)急指揮系統(tǒng)及其他業(yè)務(wù)系統(tǒng)。其總體結(jié)構(gòu)如圖6所示。

六、安全保障體系

⒈設(shè)計(jì)原則

張家口市電子政務(wù)外網(wǎng)安全保障體系按照全省統(tǒng)一要求建立,其設(shè)計(jì)遵循以下原則:

――需求、風(fēng)險(xiǎn)、代價(jià)平衡原則;

――標(biāo)準(zhǔn)化、規(guī)范化原則;

――整體性、一致性原則;

――多重保護(hù)原則;

――可管理、易操作性原則;

――可評(píng)價(jià)性原則;

――整體規(guī)劃、分步實(shí)施的原則。

⒉設(shè)計(jì)目標(biāo)

充分利用現(xiàn)有安全技術(shù)手段,解決電子政務(wù)外網(wǎng)安全防護(hù)和安全保密問(wèn)題,解決業(yè)務(wù)應(yīng)用整合和信息共享的支撐問(wèn)題,使電子政務(wù)外網(wǎng)及其承載的業(yè)務(wù)應(yīng)用系統(tǒng)在安全保密的基礎(chǔ)上實(shí)現(xiàn)互聯(lián)互通和信息共享。

⒊安全風(fēng)險(xiǎn)分析

隨著網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍的擴(kuò)大,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也

圖6 業(yè)務(wù)應(yīng)用系統(tǒng)總體結(jié)構(gòu)框架

變得更加嚴(yán)重和復(fù)雜。從物理安全、鏈路安全、網(wǎng)絡(luò)結(jié)構(gòu)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等角度,對(duì)張家口市電子政務(wù)外網(wǎng)系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)分析。

⒋總體安全策略

張家口市電子政務(wù)外網(wǎng)安全保障體系嚴(yán)格遵循以下總體安全策略:

――未經(jīng)允許的訪問(wèn)都要嚴(yán)格禁止;

――允許的訪問(wèn)都要經(jīng)過(guò)認(rèn)證、授權(quán)才能訪問(wèn);

――重要信息在網(wǎng)上傳輸要經(jīng)過(guò)加密措施。

⒌安全保障系統(tǒng)構(gòu)成

網(wǎng)絡(luò)安全保障體系包括物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和安全管理。網(wǎng)絡(luò)安全保障體系結(jié)構(gòu)如圖7所示。

該建設(shè)方案重點(diǎn)描述張家口市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全保障體系的規(guī)劃設(shè)計(jì)和技術(shù)措施。屬于應(yīng)用系統(tǒng)自身的安全保障由“省112工程”各應(yīng)用系統(tǒng)項(xiàng)目組根據(jù)各自需求,進(jìn)行規(guī)劃、組織和實(shí)施。

⒍安全保障措施

網(wǎng)絡(luò)安全保障體系采用劃分全域,盡可能加大保障系數(shù)的措施,來(lái)確保系統(tǒng)的安全。電子政務(wù)外網(wǎng)安全域劃分為:市級(jí)網(wǎng)絡(luò)管理中心局域網(wǎng)安全域、市級(jí)專(zhuān)用城域網(wǎng)接入節(jié)點(diǎn)單位安全域、各區(qū)縣接入節(jié)點(diǎn)的接入網(wǎng)絡(luò)安全域。

七、建設(shè)、維護(hù)與管理

電子政務(wù)外網(wǎng)系統(tǒng)的網(wǎng)絡(luò)運(yùn)行維護(hù)由市政府電子政務(wù)外網(wǎng)管理中心和運(yùn)營(yíng)商共同承擔(dān)。

系統(tǒng)的運(yùn)行管理和監(jiān)控由市政府電子政務(wù)外網(wǎng)管理中心負(fù)責(zé)。

網(wǎng)絡(luò)系統(tǒng)和相應(yīng)設(shè)備通過(guò)招投標(biāo),由中標(biāo)運(yùn)營(yíng)商承建并負(fù)責(zé)維護(hù),要求運(yùn)營(yíng)商設(shè)置專(zhuān)門(mén)的維護(hù)隊(duì)伍,具備“一點(diǎn)業(yè)務(wù)受理”、“一點(diǎn)障礙申告”和“全程技術(shù)服務(wù)”等特性。

運(yùn)營(yíng)商必須指定專(zhuān)職部門(mén)負(fù)責(zé)全市傳輸平臺(tái)的組織調(diào)度,使統(tǒng)一傳輸平臺(tái)的通信質(zhì)量指標(biāo)滿足表1中的要求。

運(yùn)營(yíng)商從以下幾個(gè)方面負(fù)責(zé)統(tǒng)一傳輸平臺(tái)的維護(hù)管理工作:

⑴業(yè)務(wù)功能管理

為電子政務(wù)網(wǎng)絡(luò)量身定做合理的技術(shù)方案。根據(jù)黨政主管部門(mén)業(yè)務(wù)需求調(diào)度縱向傳輸平臺(tái)的傳輸電路,開(kāi)通橫向傳輸平臺(tái)VPN。在承諾的時(shí)限內(nèi)保障業(yè)務(wù)功能端到端全程開(kāi)通,并提供端到端開(kāi)通測(cè)試報(bào)告。

⑵性能管理

對(duì)統(tǒng)一傳輸平臺(tái)整體資源使用情況進(jìn)行實(shí)時(shí)和歷史分析,通過(guò)對(duì)網(wǎng)絡(luò)中所有設(shè)備的利用率和中繼流量進(jìn)行統(tǒng)計(jì)分析,進(jìn)而判斷網(wǎng)絡(luò)是否存在瓶頸,定時(shí)給出性能分析報(bào)告,并提出合理化解決建議和方案。

圖7 網(wǎng)絡(luò)安全保障體系結(jié)構(gòu)

表1 傳輸平臺(tái)的通信質(zhì)量指標(biāo)一覽表序號(hào)項(xiàng)目市級(jí)縣級(jí)

⑶故障管理

運(yùn)營(yíng)商為統(tǒng)一傳輸平臺(tái)提供7×24小時(shí)的網(wǎng)絡(luò)監(jiān)視服務(wù),并通過(guò)功能完善的網(wǎng)管系統(tǒng)做到對(duì)網(wǎng)絡(luò)故障的及時(shí)發(fā)現(xiàn)、定位和排除,保證“電路可用率”和“故障恢復(fù)及時(shí)率”等關(guān)鍵運(yùn)行指標(biāo)。

⑷安全管理

在統(tǒng)一傳輸平臺(tái)的物理層、鏈路層、網(wǎng)絡(luò)層采取各種安全措施來(lái)保障電子政務(wù)網(wǎng)絡(luò)的安全;健全內(nèi)部安全管理和審計(jì)制度,從管理層面保證網(wǎng)絡(luò)系統(tǒng)安全。

參考文獻(xiàn):

第5篇:網(wǎng)絡(luò)安全運(yùn)營(yíng)體系范文

困局形勢(shì)

近幾年中國(guó)移動(dòng)互聯(lián)網(wǎng)發(fā)展非???,每天都有成千上萬(wàn)的APP出現(xiàn),但實(shí)際上這些APP里面有很多不規(guī)范的、惡意的行為。

我們?cè)幚磉^(guò)這樣一個(gè)APP的例子:它實(shí)際上是一個(gè)小的創(chuàng)業(yè)文檔的APP,主要功能是分享一些文檔,完全不需要用戶的聯(lián)系人信息。但是它卻在用戶不知情的情況下偷偷讀取用戶聯(lián)系人信息并上傳。雖然它有明顯的越界行為,但由于當(dāng)下法律依據(jù)不足,就無(wú)法對(duì)這個(gè)APP的制作者進(jìn)行徹底打擊。

第二個(gè)例子是去年6月份出現(xiàn)的斯諾登事件,在這個(gè)事件里讓大家很震驚的是所謂的“金剛”配合美國(guó)的NSA所做的一系列監(jiān)控工作。當(dāng)我們譴責(zé)這種行為的同時(shí),我們也想思考另外一個(gè)問(wèn)題:在涉及到國(guó)家安全方面的問(wèn)題時(shí),美國(guó)的公司能夠完全摒棄相互之間的利益之爭(zhēng),合作并攜手應(yīng)對(duì)國(guó)家的安全問(wèn)題。反過(guò)來(lái),我們是什么情況呢?我們這些年來(lái)在整個(gè)國(guó)家總體部署下,各個(gè)單位和各個(gè)部門(mén)自身網(wǎng)絡(luò)安全的保障能力都在持續(xù)地、不斷地提高,但真正發(fā)生這種大規(guī)模的網(wǎng)絡(luò)安全事件時(shí),實(shí)際上還是各干各的,相互之間沒(méi)有任何的協(xié)作。

我們現(xiàn)在面臨的問(wèn)題是分而有余,合而不足,之所以出現(xiàn)越來(lái)越多的網(wǎng)絡(luò)安全問(wèn)題,當(dāng)然目前我國(guó)在網(wǎng)絡(luò)安全方面的法律體系本身是不健全的。但更重要的是,我國(guó)在整個(gè)網(wǎng)絡(luò)安全保障體系上能力不足,沒(méi)有一個(gè)有效整體的防御體系和規(guī)劃。網(wǎng)絡(luò)安全體系保障的困局導(dǎo)致了我們?cè)诨ヂ?lián)網(wǎng)安全方面治理的困難。

今年上半年我們監(jiān)測(cè)發(fā)現(xiàn),我國(guó)移動(dòng)互聯(lián)網(wǎng)在惡意程序方面,光今年上半年就新增了36.7萬(wàn),和去年同期相比增長(zhǎng)了13%。在這里我們發(fā)現(xiàn)移動(dòng)惡意程序的趨利性越發(fā)明顯,傳播渠道非常廣泛,防不勝防。甚至我們發(fā)現(xiàn)有一個(gè)單個(gè)域名所包含的惡意程序最多達(dá)到了1700多個(gè)。這種惡意程序的改主機(jī)的規(guī)模是非常大的,今年境內(nèi)感染木馬僵尸網(wǎng)絡(luò)的主機(jī)就達(dá)到了262萬(wàn)臺(tái)。

此外涉及到重要單位的漏洞事件越來(lái)越多,而且漏洞出現(xiàn)了以后,不僅每天有增量出現(xiàn),存量也在不斷往前走。像OpenSSL已經(jīng)引起了全世界最大程度的重視,實(shí)際上一直到現(xiàn)在,還有16%沒(méi)有修補(bǔ)。新的風(fēng)險(xiǎn)出現(xiàn),但是原來(lái)的風(fēng)險(xiǎn)始終修補(bǔ)不了,這帶給我們的風(fēng)險(xiǎn)壓力和威脅就會(huì)變得越來(lái)越大。

差距現(xiàn)狀

也就是說(shuō),目前我們面臨著很大的類(lèi)似于保障體系不足的問(wèn)題。跟世界各國(guó)發(fā)達(dá)國(guó)家相比,我們?cè)诰W(wǎng)絡(luò)安全保障方面有哪些差距呢?

事實(shí)上,差距還是很大的。首先是從技術(shù)的角度來(lái)說(shuō),去年有兩件轟動(dòng)世界的事都與中國(guó)有關(guān):一個(gè)是在去年2月份的時(shí)候,美國(guó)了一個(gè)所謂的APT的分析報(bào)告,第二個(gè)就是在6月份的時(shí)候斯諾登的棱鏡事件。從棱鏡事件中我們可以看到,美國(guó)在面臨網(wǎng)絡(luò)安全問(wèn)題的時(shí)候能夠有效協(xié)調(diào)安全廠商、技術(shù)機(jī)構(gòu)、媒體形成常態(tài)化優(yōu)勢(shì),而我們?cè)诩夹g(shù)標(biāo)準(zhǔn)、監(jiān)管機(jī)制和產(chǎn)業(yè)聯(lián)合引導(dǎo)方面仍舊不足,特別是在產(chǎn)業(yè)方面,國(guó)內(nèi)很多安全廠商都希望做大而全的完整的產(chǎn)品線,大家更多是追求商業(yè)模式上的創(chuàng)新,在相關(guān)的技術(shù)方面的投入是非常少的。這樣使得廠商都聚焦在一個(gè)有限的市場(chǎng)上,拼命想分蛋糕,而不是想怎么把蛋糕做大。同質(zhì)競(jìng)爭(zhēng)導(dǎo)致廠商盈利能力越來(lái)越差,整個(gè)技術(shù)創(chuàng)新能力始終提高幅度比較有限。

反過(guò)來(lái),美國(guó)安全產(chǎn)業(yè)總體格局非常完善,在最底層它有非常強(qiáng)大的,全世界都要使用的基礎(chǔ)的信息巨頭,在上面有一系列網(wǎng)絡(luò)安全的產(chǎn)業(yè)聚集和一系列的專(zhuān)業(yè)安全廠商,同時(shí)針對(duì)相應(yīng)的政府的部門(mén),它有一系列的專(zhuān)業(yè)技術(shù)企業(yè),整個(gè)這一系列的企業(yè)最后構(gòu)成了一個(gè)非常完整的網(wǎng)絡(luò)安全的產(chǎn)業(yè)格局。這種體系格局自然而然對(duì)提高它的整體網(wǎng)絡(luò)安全能力就變得非常重要。

從網(wǎng)絡(luò)安全產(chǎn)業(yè)在IT領(lǐng)域的投入來(lái)看,中國(guó)只有1%的比例,而國(guó)外發(fā)達(dá)國(guó)家則遠(yuǎn)超該比例,一般有9%左右。而我國(guó)的安全人才儲(chǔ)備也遠(yuǎn)遠(yuǎn)不足,本來(lái)已經(jīng)很稀缺的一些高精尖的人才,還由于國(guó)內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展空間不足而流失國(guó)外。此外,一些人才也轉(zhuǎn)而進(jìn)入了游戲、移動(dòng)互聯(lián)網(wǎng)等應(yīng)用領(lǐng)域,更令人痛心的是一些人還進(jìn)入了黑色產(chǎn)業(yè)。

工作思路

要想解決整個(gè)國(guó)家網(wǎng)絡(luò)安全保障體系能力提升的問(wèn)題,最重要的一點(diǎn)就是要強(qiáng)調(diào)合作。

這些年我們一直嘗試著和國(guó)內(nèi)相關(guān)的安全企業(yè)、用戶部門(mén)以及信息系統(tǒng)單位和政府部門(mén)合作。通過(guò)這種合作體系我們發(fā)現(xiàn)如果有了一個(gè)很廣泛的合作體系,那么一旦出現(xiàn)大規(guī)模安全事件時(shí),實(shí)際上就有一個(gè)很暢通的渠道,能夠很容易或者相對(duì)迅速地把安全問(wèn)題解決掉。

這些年來(lái)我們覺(jué)得面對(duì)安全問(wèn)題的時(shí)候,一個(gè)非常重要的問(wèn)題是存在著漏洞,如果我們能夠預(yù)先知道漏洞,在這個(gè)漏洞整個(gè)被利用前能夠找到和把它修補(bǔ)起來(lái),自然而然網(wǎng)絡(luò)安全的保障能力就會(huì)有一個(gè)很大的提升。對(duì)于一個(gè)整體的漏洞防御體系來(lái)說(shuō),有一個(gè)好的報(bào)告平臺(tái)非常重要。

我們?cè)?010年成立了一個(gè)CNVD國(guó)家信息漏洞安全平臺(tái),在這個(gè)平臺(tái)中有國(guó)內(nèi)2000多個(gè)白帽子群體加入進(jìn)來(lái),基于這個(gè)平臺(tái)每天都能處置50到100起漏洞事件,建立了和多個(gè)廠家的合作渠道,能夠開(kāi)展持續(xù)有效的監(jiān)督。

互聯(lián)網(wǎng)這些年得到了蓬勃發(fā)展,它是大家一起出于共同的目的和共同的利益,在共同規(guī)則的基礎(chǔ)上一起自愿參與和自主驅(qū)動(dòng),最后實(shí)現(xiàn)了目前這個(gè)大規(guī)模的互聯(lián)網(wǎng)。我們的網(wǎng)絡(luò)安全也可以按照這種發(fā)展體系,大家一起自主自愿自由的來(lái)驅(qū)動(dòng)整個(gè)網(wǎng)絡(luò)安全體系,以一種聯(lián)盟的形式,攜手共建保障我國(guó)網(wǎng)絡(luò)安全自增長(zhǎng)體系。

打造自增長(zhǎng)技術(shù)體系 在技術(shù)的環(huán)節(jié)上,通過(guò)大家一起協(xié)商構(gòu)建大家認(rèn)可的技術(shù)標(biāo)準(zhǔn),把運(yùn)營(yíng)商、互聯(lián)網(wǎng)企業(yè)、用戶部門(mén)一起基于這個(gè)共同的技術(shù)標(biāo)準(zhǔn),把系統(tǒng)結(jié)合起來(lái),擴(kuò)大監(jiān)測(cè)范圍。這樣對(duì)于企業(yè)來(lái)說(shuō)能夠把它的全局態(tài)勢(shì)的破解能力和整個(gè)國(guó)家全局資源進(jìn)行對(duì)接,對(duì)于整個(gè)運(yùn)營(yíng)商來(lái)說(shuō),它落實(shí)監(jiān)管要求和增強(qiáng)自身的防控能力也是非常強(qiáng)的,對(duì)于黨政機(jī)關(guān)其自身的防控需求和能力也會(huì)有一個(gè)提高。

打造自增長(zhǎng)合作體系 在整個(gè)合作體系方面,有條件的運(yùn)營(yíng)商、企業(yè)等都可以加入到我們整個(gè)的協(xié)作體系中一起合作,這樣在出現(xiàn)了問(wèn)題以后,能夠一起在整個(gè)全世界公認(rèn)的CNCERT的理念和價(jià)值觀驅(qū)動(dòng)下快速協(xié)作,把問(wèn)題解決。

打造人才自增長(zhǎng)體系 在人才的體系方面,我們不但要利用高效的體制,還應(yīng)該把整個(gè)社會(huì)力量發(fā)動(dòng)起來(lái),全局性的一起協(xié)作,培養(yǎng)真正有用的、實(shí)踐上需要的網(wǎng)絡(luò)安全人才。

第6篇:網(wǎng)絡(luò)安全運(yùn)營(yíng)體系范文

【關(guān)鍵詞】銀行業(yè)務(wù);網(wǎng)絡(luò)安全;安全防護(hù)

近幾年來(lái),隨著互聯(lián)網(wǎng)技術(shù)和通信技術(shù)的高速發(fā)展,各大銀行網(wǎng)絡(luò)業(yè)務(wù)的競(jìng)爭(zhēng)日益激烈,網(wǎng)絡(luò)結(jié)構(gòu)變得越來(lái)越復(fù)雜,進(jìn)一步凸顯了銀行網(wǎng)絡(luò)安全保障方面存在的問(wèn)題。因此,必須加強(qiáng)對(duì)銀行網(wǎng)絡(luò)安全防護(hù)的統(tǒng)一規(guī)劃和建設(shè),確保銀行網(wǎng)絡(luò)業(yè)務(wù)的正常開(kāi)展和運(yùn)營(yíng),促進(jìn)銀行新型網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展。

1 銀行網(wǎng)絡(luò)安全防護(hù)機(jī)制的構(gòu)建意義

隨著銀行網(wǎng)絡(luò)業(yè)務(wù)規(guī)模的持續(xù)擴(kuò)大,網(wǎng)絡(luò)面臨的安全隱患問(wèn)題也逐漸增多。如何在確保銀行網(wǎng)絡(luò)業(yè)務(wù)可持續(xù)發(fā)展的基礎(chǔ)上完善其安全體系,降低銀行網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)問(wèn)題,成為了網(wǎng)絡(luò)安全領(lǐng)域面臨的重大挑戰(zhàn)。本文旨在解決銀行網(wǎng)絡(luò)業(yè)務(wù)存在安全隱患和威脅的基礎(chǔ)上,形成清晰的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),使其具有良好的身份認(rèn)證策略、訪問(wèn)控制策略和入侵檢測(cè)方法,確保銀行網(wǎng)絡(luò)在正常運(yùn)營(yíng)的前提下?lián)碛休^強(qiáng)的抗病毒、抗攻擊能力。

2 銀行網(wǎng)絡(luò)安全防護(hù)系統(tǒng)體系架構(gòu)設(shè)計(jì)

銀行網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)采用三層架構(gòu)模式,由上到下分別為網(wǎng)絡(luò)核心層、網(wǎng)絡(luò)匯聚層和網(wǎng)絡(luò)接入層。

網(wǎng)絡(luò)核心層:其功能主要是為銀行開(kāi)展網(wǎng)絡(luò)業(yè)務(wù)提供高速率數(shù)據(jù)傳輸和穩(wěn)定的骨干網(wǎng)絡(luò)傳輸結(jié)構(gòu),因此,網(wǎng)絡(luò)核心層必須具有郊區(qū)的可靠性和穩(wěn)定性,以及高速率的網(wǎng)絡(luò)連接技術(shù),以適應(yīng)網(wǎng)絡(luò)情況的實(shí)時(shí)變化。

網(wǎng)絡(luò)匯聚層:網(wǎng)絡(luò)匯聚層是接入多臺(tái)網(wǎng)絡(luò)交換機(jī)的匯聚之處,需要對(duì)來(lái)自下層的全部數(shù)據(jù)通信進(jìn)行處理,同時(shí)將處理結(jié)構(gòu)反饋到網(wǎng)絡(luò)核心層的上行鏈路,由此起到承上啟下的匯聚作用。網(wǎng)絡(luò)匯聚層的設(shè)計(jì)要充分滿足銀行網(wǎng)絡(luò)業(yè)務(wù)增長(zhǎng)的需求,還要進(jìn)一步綜合考慮新興業(yè)務(wù)的擴(kuò)展應(yīng)用。

網(wǎng)絡(luò)接入層:主要為網(wǎng)絡(luò)用戶連接到網(wǎng)絡(luò)提供服務(wù),具有網(wǎng)絡(luò)帶寬共享、網(wǎng)絡(luò)劃分和MAC地址過(guò)濾等功能。網(wǎng)絡(luò)接入層的交換機(jī)端口密度高、價(jià)格成本低,可以考慮采用堆疊式和網(wǎng)管式交換機(jī),其高速端口與匯聚層交換機(jī)連接,普通端口與計(jì)算機(jī)終端連接,從而緩解骨干網(wǎng)絡(luò)的擁塞情況。

3 銀行網(wǎng)絡(luò)安全防護(hù)系統(tǒng)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

圖 1 銀行安全防護(hù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

銀行安全防護(hù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用三層雙星型架構(gòu)模式,這種網(wǎng)絡(luò)架構(gòu)模式的網(wǎng)絡(luò)層次明確,具有高度的安全性、穩(wěn)定性和可擴(kuò)展性。三層結(jié)構(gòu)模式使網(wǎng)絡(luò)層級(jí)功能明晰,以確保網(wǎng)絡(luò)后期建設(shè)維護(hù)操作方便;雙星結(jié)構(gòu)模式可以保證銀行網(wǎng)絡(luò)業(yè)務(wù)通信的實(shí)時(shí)性,同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載均衡和實(shí)時(shí)備份功能。三層雙星型復(fù)合架構(gòu)有利于銀行網(wǎng)絡(luò)業(yè)務(wù)的動(dòng)態(tài)擴(kuò)展,更有利于網(wǎng)絡(luò)安全防護(hù)機(jī)制的順利實(shí)施。銀行安全防護(hù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如上圖1所示。

4 銀行網(wǎng)絡(luò)安全防護(hù)機(jī)制設(shè)計(jì)

4.1 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)的部署主要是防止外界非法人員對(duì)銀行網(wǎng)絡(luò)進(jìn)行攻擊,及時(shí)發(fā)現(xiàn)非法人員的入侵行為,以確保能夠立刻采取網(wǎng)絡(luò)防范措施。在銀行網(wǎng)絡(luò)中的關(guān)鍵部位部署入侵檢測(cè)系統(tǒng),可以實(shí)時(shí)監(jiān)測(cè)流入和流出銀行網(wǎng)絡(luò)的數(shù)據(jù)流量,分析確認(rèn)非法入侵行為,以確保銀行網(wǎng)絡(luò)業(yè)務(wù)的正常開(kāi)展。銀行網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中的入侵檢測(cè)工作流程如圖2所示:

圖2 入侵檢測(cè)系統(tǒng)工作流程圖

4.2 堡壘主機(jī)防御

堡壘主機(jī)的部署主要目的是實(shí)現(xiàn)銀行內(nèi)部辦公人員與外部人員訪問(wèn)銀行內(nèi)部網(wǎng)絡(luò)資源全部都要經(jīng)過(guò)堡壘主機(jī),對(duì)全部操作數(shù)據(jù)信息進(jìn)行實(shí)時(shí)記錄,確保操作行為審計(jì)。

4.3 網(wǎng)絡(luò)防病毒系統(tǒng)

網(wǎng)絡(luò)防病毒系統(tǒng)具有一定區(qū)域范圍內(nèi)實(shí)時(shí)監(jiān)控和殺毒能力的軟件系統(tǒng),具有網(wǎng)絡(luò)病毒隔離、病毒種類(lèi)識(shí)別鑒定、病毒根源實(shí)時(shí)跟蹤等特點(diǎn)。銀行網(wǎng)絡(luò)安全防護(hù)系統(tǒng)采用SOC病毒服務(wù)器,可以實(shí)現(xiàn)企業(yè)級(jí)的防病毒部署安裝,對(duì)終端病毒進(jìn)行統(tǒng)一管理。

4.4 動(dòng)態(tài)口令認(rèn)證系統(tǒng)

動(dòng)態(tài)口令認(rèn)證系統(tǒng)可以實(shí)現(xiàn)網(wǎng)絡(luò)用戶合法身份的認(rèn)證,將發(fā)送給網(wǎng)絡(luò)用戶的密碼和USB Key作為身份認(rèn)證依據(jù),在網(wǎng)絡(luò)設(shè)備中啟用Radius認(rèn)證,同時(shí)實(shí)現(xiàn)口令認(rèn)證服務(wù)器的聯(lián)動(dòng)來(lái)確保網(wǎng)絡(luò)用戶身份的合法性。當(dāng)?shù)顷懙絼?dòng)態(tài)口令認(rèn)證系統(tǒng)時(shí),其口令是隨機(jī)變化的,為了防止網(wǎng)絡(luò)監(jiān)聽(tīng)、數(shù)據(jù)假冒和猜測(cè)等攻擊問(wèn)題,每個(gè)口令只能輸入使用一次。

4.5 漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)是采用掃描漏洞的手段對(duì)本地計(jì)算機(jī)系統(tǒng)的安全情況進(jìn)行檢測(cè),基于安全漏洞數(shù)據(jù)庫(kù)來(lái)發(fā)現(xiàn)系統(tǒng)漏洞,因此,漏洞掃描系統(tǒng)屬于一種滲透攻擊行為。

4.6 漏洞補(bǔ)丁系統(tǒng)

漏洞補(bǔ)丁系統(tǒng)采用的是C/S架構(gòu)模式,客戶端已經(jīng)配置在不同的操作系統(tǒng)中,由此將客戶端與服務(wù)器相互連接,實(shí)現(xiàn)漏洞補(bǔ)丁的自動(dòng)下載功能。

4.7 數(shù)據(jù)庫(kù)安全設(shè)計(jì)

數(shù)據(jù)庫(kù)安全指的是對(duì)數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)信息進(jìn)行有效保護(hù),防止數(shù)據(jù)信息遭到非法竊取和泄露。在銀行網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中,數(shù)據(jù)庫(kù)與操作行為的安全性是相互結(jié)合的,當(dāng)網(wǎng)絡(luò)用戶登錄到系統(tǒng)之后,系統(tǒng)會(huì)對(duì)應(yīng)不同網(wǎng)絡(luò)的權(quán)限進(jìn)行角色確認(rèn),才能允許用戶登錄到數(shù)據(jù)庫(kù)系統(tǒng)中,同時(shí),用戶存取數(shù)據(jù)庫(kù)中的資源權(quán)限也要經(jīng)過(guò)操作安全性檢測(cè)后才能允許進(jìn)行,以最大限度確保了系統(tǒng)數(shù)據(jù)庫(kù)的安全。

5 結(jié)論

綜上所述,本文提出的銀行網(wǎng)絡(luò)安全防護(hù)系統(tǒng)可以創(chuàng)建統(tǒng)一管理的網(wǎng)絡(luò)對(duì)外接口,確保對(duì)銀行網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)的高效管理和內(nèi)部資源共享,切實(shí)提高銀行內(nèi)部網(wǎng)絡(luò)訪問(wèn)的可信度,降低網(wǎng)絡(luò)安全威脅事故的發(fā)生率。

參考文獻(xiàn):

[1]于順森.探討銀行計(jì)算機(jī)網(wǎng)絡(luò)安全管理[J].信息與電腦(理論版),2013(02).

[2]王曉姝.商業(yè)銀行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析[J].中國(guó)新通信,2013(09).

[3]田雷年.銀行無(wú)線網(wǎng)絡(luò)組網(wǎng)及安全研究[J].中國(guó)新通信,2013(10).

第7篇:網(wǎng)絡(luò)安全運(yùn)營(yíng)體系范文

【關(guān)鍵詞】網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊;建設(shè)與規(guī)劃;校園網(wǎng)

1、網(wǎng)絡(luò)現(xiàn)狀

揚(yáng)州Z校擁有多個(gè)互聯(lián)網(wǎng)出口線路,分別是電信100M、電信50M、網(wǎng)通100M、聯(lián)通1G和校園網(wǎng)100M。Z校擁有多個(gè)計(jì)算環(huán)境,網(wǎng)絡(luò)核心區(qū)是思科7609的雙核心交換機(jī)組,確保了Z校校園骨干網(wǎng)絡(luò)的可用性與高冗余性;數(shù)據(jù)中心是由直連在核心交換機(jī)上的眾多服務(wù)器組成;終端區(qū)分別是教學(xué)樓、院系樓、實(shí)驗(yàn)、實(shí)訓(xùn)樓和圖書(shū)館大樓。此外,還有一個(gè)獨(dú)立的無(wú)線校園網(wǎng)絡(luò)。Z校網(wǎng)絡(luò)信息安全保障能力已經(jīng)初具規(guī)模,校園網(wǎng)絡(luò)中已部署防火墻、身份認(rèn)證、上網(wǎng)行為管理、web應(yīng)用防火墻等設(shè)備。原拓?fù)浣Y(jié)構(gòu)見(jiàn)圖1。

2、安全威脅分析

目前,Z校網(wǎng)絡(luò)安全保障能力雖然初具規(guī)模,但是,在信息安全建設(shè)方面仍然面臨諸多的問(wèn)題,如,網(wǎng)絡(luò)中缺乏網(wǎng)管與安管系統(tǒng)、對(duì)網(wǎng)絡(luò)中的可疑情況,沒(méi)有分析、響應(yīng)和處理的手段和流程、無(wú)法了解網(wǎng)絡(luò)的整體安全狀態(tài),風(fēng)險(xiǎn)管理全憑感覺(jué)等等,以上種種問(wèn)題表明,Z校需要對(duì)網(wǎng)絡(luò)安全進(jìn)行一次全面的規(guī)劃,以便在今后的網(wǎng)絡(luò)安全工作中,建立一套有序、高效和完善的網(wǎng)絡(luò)安全體系。

2.1安全設(shè)備現(xiàn)狀

Z校部署的網(wǎng)絡(luò)安全防護(hù)設(shè)備較少。在校區(qū)的互聯(lián)網(wǎng)出口處,部署了一臺(tái)山石防火墻,在WEB服務(wù)器群前面部署了一臺(tái)WEB應(yīng)用防火墻。

2.2外部網(wǎng)絡(luò)安全威脅

互聯(lián)網(wǎng)出現(xiàn)的網(wǎng)絡(luò)威脅種類(lèi)繁多,外部網(wǎng)絡(luò)威脅一般是惡意入侵的網(wǎng)絡(luò)黑客。此類(lèi)威脅以炫技、惡意破壞、敲詐錢(qián)財(cái)、篡改數(shù)據(jù)等為目的,對(duì)內(nèi)網(wǎng)中的各種網(wǎng)絡(luò)設(shè)備發(fā)起攻擊,網(wǎng)絡(luò)中雖然有一些基礎(chǔ)的防護(hù),但是,黑客們只要找到漏洞,就會(huì)利用內(nèi)網(wǎng)用戶作跳板進(jìn)行攻擊,最終攻破內(nèi)網(wǎng)。此類(lèi)攻擊隨機(jī)性強(qiáng)、方向不確定、復(fù)雜度不斷提高、破壞后果嚴(yán)重[1]。

2.3內(nèi)部網(wǎng)絡(luò)安全威脅

內(nèi)部惡意入侵的主體是學(xué)生,還有一些網(wǎng)絡(luò)安全意識(shí)薄弱的教職工。Z校學(xué)生眾多,學(xué)生們可能本著好奇、試驗(yàn)、炫技或者惡意破壞等目的,入侵學(xué)校網(wǎng)絡(luò)[2]。Z校某些教職工也可能瀏覽掛馬網(wǎng)站或者點(diǎn)擊來(lái)歷不明的郵件,照成網(wǎng)絡(luò)堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造,以提升鏈路穩(wěn)定性,提高網(wǎng)絡(luò)的服務(wù)能力為出發(fā)點(diǎn),Z校在安全改造實(shí)施中,應(yīng)滿足如下的安全建設(shè)需求1)提升鏈路的均衡性和利用率:Z校網(wǎng)絡(luò)出口與CERNET、Internet互聯(lián),選擇了與電信和聯(lián)通兩家運(yùn)營(yíng)商合作。利用現(xiàn)有網(wǎng)絡(luò)出口鏈路資源,提升網(wǎng)絡(luò)訪問(wèn)速度,最大化保障校園網(wǎng)內(nèi)部用戶的網(wǎng)絡(luò)使用滿意度,同時(shí)又要合理節(jié)約鏈路成本,均衡使用各互聯(lián)網(wǎng)出口鏈路,是網(wǎng)絡(luò)安全建設(shè)的首要需求。2)實(shí)現(xiàn)關(guān)鍵設(shè)備的冗余性:互聯(lián)網(wǎng)邊界的下一代防火墻設(shè)備為整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備,均以NAT模式或者路由模式部署,承載了整個(gè)校園網(wǎng)的業(yè)務(wù)處理,任何一個(gè)設(shè)備出現(xiàn)問(wèn)題將直接導(dǎo)致業(yè)務(wù)不能夠連續(xù)運(yùn)行,無(wú)任何備份措施,只能替換或者跳過(guò)出故障的設(shè)備,且只能以手工方式完成切換,無(wú)論從響應(yīng)的及時(shí)性,還是從保障業(yè)務(wù)連續(xù)性的角度,都存在很大的延遲,為此需要將互聯(lián)網(wǎng)出口的下一代防火墻設(shè)備進(jìn)行雙機(jī)冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設(shè)備數(shù)量較多,需要對(duì)所有安全設(shè)備進(jìn)行統(tǒng)一日志收集、查詢工作,傳統(tǒng)單臺(tái)操作單臺(tái)部署的方式運(yùn)維效率低下,所以需要專(zhuān)業(yè)集中監(jiān)控、配置、管理的安全設(shè)備,統(tǒng)一對(duì)眾多安全設(shè)備進(jìn)行集中監(jiān)控、策略統(tǒng)一調(diào)度、統(tǒng)一升級(jí)備份和審計(jì)。

4、解決方案

網(wǎng)絡(luò)安全建設(shè)是一個(gè)長(zhǎng)期的項(xiàng)目,不可能一蹴而就,一步到位,網(wǎng)絡(luò)安全過(guò)程建設(shè)中,在利用學(xué)校原有設(shè)備的基礎(chǔ)上,在資金、技術(shù)成熟的條件下,逐步實(shí)施。Z校網(wǎng)絡(luò)安全建設(shè)規(guī)劃分為短期建設(shè)和長(zhǎng)期建設(shè)兩部分。

4.1短期網(wǎng)絡(luò)建設(shè)規(guī)劃

4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設(shè)計(jì)主線,從安全的角度分析各業(yè)務(wù)系統(tǒng)可能存在的安全隱患,根據(jù)應(yīng)用系統(tǒng)的特點(diǎn)和安全評(píng)估是數(shù)據(jù),劃分不同安全等級(jí)的區(qū)域[3]。通過(guò)安全區(qū)域的劃分,明確網(wǎng)絡(luò)邊界,形成清晰、簡(jiǎn)潔的網(wǎng)絡(luò)架構(gòu),實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)之間嚴(yán)格的訪問(wèn)安全互聯(lián),有效的實(shí)現(xiàn)網(wǎng)絡(luò)之間,各業(yè)務(wù)系統(tǒng)之間的隔離和訪問(wèn)控制。本次短期網(wǎng)絡(luò)建設(shè),把整個(gè)網(wǎng)絡(luò)劃分為邊界安全防護(hù)區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入?yún)^(qū)域、服務(wù)器集群區(qū)域和無(wú)線訪問(wèn)控制區(qū)域。4.1.2部署設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見(jiàn)圖2,從圖2可以看出,出口區(qū)域,互聯(lián)網(wǎng)邊界處的防火墻設(shè)備是整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備,以NAT模式或者路由模式部署,無(wú)任何備份措施,為此需要再引入一臺(tái)同型號(hào)的防火墻設(shè)備,實(shí)現(xiàn)雙機(jī)冗余部署。同理,原城市熱點(diǎn)認(rèn)證網(wǎng)關(guān)和行為管理設(shè)備需要再各補(bǔ)充一臺(tái),組成雙機(jī)冗余方案。安全管理區(qū)域根據(jù)學(xué)校預(yù)算,部署幾臺(tái)安全設(shè)備。首先,部署一臺(tái)堡壘機(jī),建立集中、主動(dòng)的安全運(yùn)維管控模式,降低人為安全風(fēng)險(xiǎn);其次,部署一臺(tái)入侵檢測(cè)設(shè)備(IDS),實(shí)時(shí)、主動(dòng)告警黑客攻擊、蠕蟲(chóng)、網(wǎng)絡(luò)病毒、后門(mén)木馬、D.o.S等惡意流量,防止在出現(xiàn)攻擊后無(wú)數(shù)據(jù)可查;再部署一臺(tái)漏洞掃描設(shè)備,對(duì)網(wǎng)絡(luò)內(nèi)部的設(shè)備進(jìn)行漏洞掃描,找出存在的安全漏洞,根據(jù)漏洞掃描報(bào)告與安全預(yù)警通告,制定安全加固實(shí)施方案,以保證各系統(tǒng)功能的正常性和堅(jiān)固性;最后,部署一臺(tái)安全審計(jì)設(shè)備(SAS),實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)的監(jiān)控。服務(wù)器集群區(qū)域,除了原有的WEB防火墻外,再部署一臺(tái)入侵防護(hù)設(shè)備(IPS),攔截網(wǎng)絡(luò)病毒、黑客攻擊、后門(mén)木馬、蠕蟲(chóng)、D.o.S等惡意流量,保護(hù)Z校的信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害,防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)[4]。

4.2長(zhǎng)期網(wǎng)絡(luò)建設(shè)規(guī)劃

網(wǎng)絡(luò)安全的防護(hù)是動(dòng)態(tài)的、整體的,病毒傳播、黑客攻擊也不是靜態(tài)的。在網(wǎng)絡(luò)安全領(lǐng)域,不存在一個(gè)能完美的防范任何攻擊的網(wǎng)絡(luò)安全系統(tǒng)。在網(wǎng)絡(luò)中添加再多的網(wǎng)絡(luò)安全設(shè)備也不可能解決所有網(wǎng)絡(luò)安全方面的問(wèn)題。想要構(gòu)建一個(gè)相對(duì)安全的網(wǎng)絡(luò)系統(tǒng),需要建立一套全方位的,從檢測(cè)、控制、響應(yīng)、管理、保護(hù)到容災(zāi)備份的安全保障體系。目前,網(wǎng)絡(luò)安全體系化建設(shè)結(jié)合重點(diǎn)設(shè)備保護(hù)的策略,再配合第三方安全廠商的安全服務(wù)是網(wǎng)絡(luò)安全建設(shè)的優(yōu)選。4.2.1網(wǎng)絡(luò)體系化建設(shè)體系化建設(shè)指通過(guò)分析網(wǎng)絡(luò)的層次關(guān)系、安全需要和動(dòng)態(tài)實(shí)施過(guò)程,建立一個(gè)科學(xué)的安全體系和模型,再根據(jù)安全體系和模型來(lái)分析網(wǎng)絡(luò)中存在的各種安全隱患,對(duì)這些安全隱患提出解決方案,最大程度解決網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)。體系化建設(shè)需要從網(wǎng)絡(luò)安全的組織體系、技術(shù)體系和管理體系三方面著手,建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構(gòu),包括崗位設(shè)置、人員錄用、離崗、考核等[5];技術(shù)體系分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)運(yùn)維管理、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等;管理體系側(cè)重于制度的梳理,包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動(dòng)的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設(shè)計(jì)網(wǎng)絡(luò)體系化建設(shè)要以組織體系為基礎(chǔ),以管理體系為保障,以技術(shù)體系為支撐[6],全局、均衡的考慮面臨的安全風(fēng)險(xiǎn),采取不同強(qiáng)度的安全措施,提出最佳解決方案。具體流程見(jiàn)圖3。體系化建設(shè)以風(fēng)險(xiǎn)評(píng)估為起點(diǎn),安全體系為核心,安全指導(dǎo)為原則,體系建設(shè)為抓手,組織和制定安全實(shí)施策略和防范措施,在建設(shè)過(guò)程中不斷完善安全體系結(jié)構(gòu)和安全防御體系,全方位、多層次滿足安全需求。

5、結(jié)語(yǔ)

從整個(gè)信息化安全體系來(lái)說(shuō),安全是技術(shù)與管理的一個(gè)有機(jī)整體,僅僅借助硬件產(chǎn)品進(jìn)行的安全防護(hù)是不完整的、有局限的。安全問(wèn)題,是從設(shè)備到人,從服務(wù)器上每個(gè)服務(wù)程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產(chǎn)品的綜合問(wèn)題,每一個(gè)環(huán)節(jié),都是邁向網(wǎng)絡(luò)安全的步驟之一。文中的研究思路、解決方案,對(duì)兄弟院校的網(wǎng)絡(luò)安全建設(shè)和改造有參考價(jià)值。

參考文獻(xiàn):

[1]王霞.數(shù)字化校園中網(wǎng)絡(luò)與信息安全問(wèn)題及其解決方案[J].科技信息,2012.7:183-184

[2]黃智勇.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2011.11:2-3

[3]徐奇.校園網(wǎng)的安全信息安全體系與關(guān)鍵技術(shù)研究[D].上海:上海交通大學(xué),2009.5:1-4

[4]張旭輝.某民辦高校網(wǎng)絡(luò)信息安全方案的設(shè)計(jì)與實(shí)現(xiàn)[D].西安:西安電子科技大學(xué),2015.10:16-17

[5]陳堅(jiān).高校校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題分析及解決方案設(shè)計(jì)[D]長(zhǎng)春:長(zhǎng)春工業(yè)大學(xué),2016.3:23-31

第8篇:網(wǎng)絡(luò)安全運(yùn)營(yíng)體系范文

關(guān)鍵詞:企業(yè);內(nèi)網(wǎng);安全防護(hù)

中圖分類(lèi)號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 11-0000-01

Talking on How to Build Enterprise Intranet Security System

Chen Kankan

(Fuzhou Local Taxation Bureau Foreign Tax Bureau,Fuzhou350000,China)

Abstract:At present,China has been into the Internet age,is inseparable from development and construction of network system.However,because too many companies rely on network functions,and ignore the network environment information system operating risks,resulting in unnecessary losses.This will be the construction of corporate Intranetsecurity risks and protection system of the establishment of strategies to analyze and explain the problem to improve network efficiency and security applications.

Keywords:Enterprise;Intranet;Security

隨著商業(yè)競(jìng)爭(zhēng)全球化的發(fā)展趨勢(shì),企業(yè)若想得到長(zhǎng)遠(yuǎn)發(fā)展,必須不斷拓展業(yè)務(wù)并提高客戶滿意度,同時(shí)加強(qiáng)對(duì)運(yùn)營(yíng)成本的控制。隨著信息化時(shí)代的到來(lái),很多企業(yè)依賴網(wǎng)絡(luò)開(kāi)拓市場(chǎng),加強(qiáng)與客戶、合作商之間的溝通效率。但是應(yīng)該認(rèn)識(shí)到,電子商務(wù)作為一把雙刃劍,既給企業(yè)帶來(lái)發(fā)展便利、提高綜合競(jìng)爭(zhēng)力,同時(shí)也給企業(yè)內(nèi)部及外部帶來(lái)安全隱患,甚至對(duì)企業(yè)發(fā)展產(chǎn)生不利,對(duì)企業(yè)的運(yùn)營(yíng)成本、盈利水平及客戶滿意度等均產(chǎn)生負(fù)面影響。

一、網(wǎng)絡(luò)環(huán)境下企業(yè)發(fā)展面臨的安全隱患

(一)物理環(huán)境影響。在物理環(huán)境中,涉及到計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)安全等問(wèn)題,其中對(duì)企業(yè)網(wǎng)絡(luò)安全產(chǎn)生影響的主要因素為:輻射、靜電、硬件故障、自然災(zāi)害等,以及偷竊、盜用等人為因素。另外,除了光纜以外的通信介質(zhì)都存在不同程度的電磁輻射,而計(jì)算機(jī)入侵者就可以通過(guò)利用電磁輻射,對(duì)各種協(xié)議分析儀或者信道檢測(cè)器等竊聽(tīng),通過(guò)對(duì)信息的分析,能輕易得到用戶口令、賬號(hào)、ID等重要安全信息。

(二)黑客攻擊與非法入侵。黑客通過(guò)非法入侵及惡意攻擊等行為,對(duì)企業(yè)用戶的網(wǎng)絡(luò)使用及商務(wù)活動(dòng)產(chǎn)生破壞。黑客已經(jīng)成為當(dāng)前互聯(lián)網(wǎng)業(yè)務(wù)以及企業(yè)輔助工作中最嚴(yán)重的安全問(wèn)題之一。黑客攻擊與非法入侵主要對(duì)企業(yè)產(chǎn)生以下影響:組織計(jì)算機(jī)系統(tǒng)的正常使用;通過(guò)向企業(yè)發(fā)送垃圾信息,堵塞網(wǎng)絡(luò)正常通信;植入木馬等病毒,并對(duì)企業(yè)重要數(shù)據(jù)進(jìn)行監(jiān)控、復(fù)制、刪除或者毀壞。無(wú)論是出于什么目的的黑客入侵,最終都可能導(dǎo)致企業(yè)無(wú)法正常工作、數(shù)據(jù)損壞等問(wèn)題。

(三)網(wǎng)絡(luò)協(xié)議安全隱患。網(wǎng)絡(luò)協(xié)議中多采用tcp/ip協(xié)議,目前設(shè)計(jì)的目標(biāo)是互聯(lián)、互通與互操作,而缺乏對(duì)安全的重視,同時(shí)由于網(wǎng)絡(luò)處于完全公開(kāi)狀況下,造成協(xié)議中存在諸多安全隱患。

二、構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的有效策略

(一)加強(qiáng)防火墻技術(shù)。防火墻主要由硬件設(shè)備與軟件設(shè)備組合而成,是企業(yè)或者網(wǎng)絡(luò)計(jì)算機(jī)與外界溝通的渠道,對(duì)于外部用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)產(chǎn)生限制,并對(duì)內(nèi)部用戶的訪問(wèn)網(wǎng)絡(luò)權(quán)利實(shí)現(xiàn)管理。防火墻主要分為內(nèi)部防火墻與外部防火墻兩部分,其中內(nèi)部防火墻用于控制內(nèi)部各部門(mén)的子網(wǎng)之間通信安全;外部防火墻則用于隔離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò),又是溝通內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通信橋梁。

另外,放置防火墻的位置也十分重要,一般建議使用出口路由器替換防火墻,可在路由形式下開(kāi)展工作,以實(shí)現(xiàn)出口網(wǎng)關(guān)工作模式。這種模式可有效確保內(nèi)部開(kāi)放服務(wù)器與路由器自身安全,并將內(nèi)部開(kāi)放服務(wù)集中在DMZ區(qū)的隔離,在規(guī)則配置方面則實(shí)現(xiàn)差異化配置,簡(jiǎn)化了網(wǎng)絡(luò)拓?fù)?,便于及時(shí)監(jiān)測(cè)網(wǎng)絡(luò)故障。

(二)重視網(wǎng)絡(luò)安全預(yù)警。在現(xiàn)代化企業(yè)網(wǎng)絡(luò)安全預(yù)警系統(tǒng)中,主要分為入侵預(yù)警與病毒預(yù)警。一方面,入侵預(yù)警系統(tǒng)中的入侵檢查工作可對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)的授權(quán)進(jìn)行確認(rèn),如果檢測(cè)到入侵信號(hào),將會(huì)及時(shí)發(fā)出警報(bào),避免網(wǎng)絡(luò)威脅問(wèn)題產(chǎn)生。通過(guò)入侵預(yù)警系統(tǒng),可以對(duì)網(wǎng)絡(luò)、系統(tǒng)等實(shí)現(xiàn)掃描,并綜合實(shí)時(shí)監(jiān)控與防火墻產(chǎn)生的安全數(shù)據(jù),提供內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的實(shí)時(shí)分析,對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn)源產(chǎn)生直接響應(yīng),并提供企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理報(bào)告,報(bào)告中應(yīng)包含實(shí)時(shí)風(fēng)險(xiǎn)、安全漏洞、攻擊條件等內(nèi)容的分析。通過(guò)入侵告警報(bào)告,可對(duì)入侵信息起到提示作用,并分析入侵趨勢(shì),最終確定網(wǎng)絡(luò)是否在安全環(huán)境下運(yùn)行。另一方面,病毒預(yù)警系統(tǒng)可對(duì)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包實(shí)現(xiàn)全天24小時(shí)監(jiān)控及持續(xù)掃描,一旦發(fā)現(xiàn)病毒立即發(fā)出報(bào)警信號(hào),通知網(wǎng)絡(luò)管理人員,并通過(guò)IP地址定位及端口定位等手段跟蹤病毒來(lái)源,同時(shí)產(chǎn)生掃描日志和報(bào)告,實(shí)現(xiàn)網(wǎng)絡(luò)病毒跟蹤。

(三)強(qiáng)化入侵防御系統(tǒng)(IPS)。入侵防御系統(tǒng)(IPS)通過(guò)深度感知及監(jiān)測(cè)數(shù)據(jù)流量,可實(shí)現(xiàn)對(duì)惡意攻擊的阻斷,對(duì)濫用報(bào)文現(xiàn)象限流,以確保網(wǎng)絡(luò)帶寬資源,如果發(fā)現(xiàn)攻擊行為,立即發(fā)出響應(yīng),主動(dòng)切斷連接。在部署形式上,IPS主要以串聯(lián)方式接入,當(dāng)監(jiān)測(cè)到攻擊時(shí),會(huì)在攻擊擴(kuò)散到網(wǎng)絡(luò)之前阻止,及時(shí)終止通信。因此,IPS技術(shù)更符合企業(yè)內(nèi)網(wǎng)安全建設(shè)。

(四)充分利用數(shù)字加密與數(shù)字簽名。由于網(wǎng)絡(luò)安全很難做到完全控制,因此在企業(yè)內(nèi)網(wǎng)中可采用一系列加密手段,尤其對(duì)重要文件實(shí)現(xiàn)加密存儲(chǔ),如重要郵件的發(fā)送及文件傳輸?shù)?,也可?shí)現(xiàn)文件加密或者數(shù)字簽名,以確保數(shù)據(jù)安全性。數(shù)據(jù)加密技術(shù)是當(dāng)前保護(hù)數(shù)據(jù)傳輸安全與存儲(chǔ)安全的有效方法之一,可實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)數(shù)據(jù)、口令、文件及控制信息的保護(hù),避免信息被非法用戶閱讀、操作或者修改,防止非授權(quán)用戶入網(wǎng)。

(五)定期備份數(shù)據(jù)。在企業(yè)網(wǎng)絡(luò)安全防護(hù)體系中,應(yīng)按照規(guī)定及時(shí)采取定期備份數(shù)據(jù)處理,完善應(yīng)用程序與系統(tǒng)軟件,并對(duì)備份的存儲(chǔ)介質(zhì)加強(qiáng)安全保護(hù)。一般數(shù)據(jù)應(yīng)采取每天備份的形式,而應(yīng)用程序與系統(tǒng)軟件由于一般變化不大,可每周或者每月進(jìn)行備份。對(duì)于整個(gè)企業(yè)網(wǎng)絡(luò)系統(tǒng)的備份頻率主要由信息系統(tǒng)讀寫(xiě)與修改的情況決定。如果計(jì)算機(jī)系統(tǒng)中的操作參數(shù)或者安全控制參數(shù)等發(fā)生改變,應(yīng)對(duì)整個(gè)系統(tǒng)進(jìn)行重新備份。對(duì)于已經(jīng)備份好的資料應(yīng)注意維護(hù)與保存,內(nèi)部審計(jì)師也應(yīng)加強(qiáng)對(duì)其存放的檢查工作,并對(duì)存放場(chǎng)所的安全可靠性進(jìn)行評(píng)價(jià)。

由上可見(jiàn),企業(yè)通過(guò)網(wǎng)絡(luò)安全防護(hù)體系的建立,提高安全防范意識(shí),有效保障信息系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性、完整性,確保數(shù)據(jù)傳輸在快捷、安全的環(huán)境下運(yùn)行,同時(shí)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全性的提高,也需要管理人員及用戶等多方面的努力,主觀因素與客觀因素缺一不可。

參考文獻(xiàn):

[1]別玉玉.企業(yè)網(wǎng)絡(luò)安全防護(hù)策略之"人工層"策略[J].硅谷,2010,17

[2]孫樂(lè).某科技企業(yè)網(wǎng)絡(luò)防病毒系統(tǒng)的設(shè)計(jì)與實(shí)施[J].北京郵電大學(xué):軟件工程,2008

[3]徐茂或.防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用[J].魅力中國(guó),2009,28

第9篇:網(wǎng)絡(luò)安全運(yùn)營(yíng)體系范文

前言:隨著信息技術(shù)的高速發(fā)展,互聯(lián)網(wǎng)越來(lái)越被人們所重視,從農(nóng)業(yè)到工業(yè)再到高科技產(chǎn)業(yè)各行各業(yè)都在使用互聯(lián)網(wǎng)參與行業(yè)生存與競(jìng)爭(zhēng)。企業(yè)對(duì)網(wǎng)絡(luò)的依存度越來(lái)越高,網(wǎng)絡(luò)在企業(yè)中所處的位置也越來(lái)越重要,系統(tǒng)中存儲(chǔ)著維系企業(yè)生存與競(jìng)爭(zhēng)的重要資產(chǎn)-------企業(yè)信息資源。但是,諸多因素威脅著計(jì)算機(jī)系統(tǒng)的正常運(yùn)轉(zhuǎn)。如,自然災(zāi)害、人員的誤操作等,不僅會(huì)造成系統(tǒng)信息丟失甚至完全癱瘓,而且會(huì)給企業(yè)造成無(wú)法估量的損失。因此,企業(yè)必須有一套完整的安全管理措施,以確保整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常、高效、安全地運(yùn)行。本文就影響醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全的因素、存在的安全隱患及其應(yīng)對(duì)策略三個(gè)方面進(jìn)行了做了論述。

一、醫(yī)院網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)及其原因

1.自然因素:

1.1病毒攻擊

因?yàn)獒t(yī)院網(wǎng)絡(luò)同樣也是連接在互聯(lián)網(wǎng)上的一個(gè)網(wǎng)絡(luò),所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒(méi)有太大破壞的,而有些卻是能造成系統(tǒng)崩潰的高危險(xiǎn)病毒。病毒一方面會(huì)感染大量的機(jī)器,造成機(jī)器“罷工“并成為感染添另一方面會(huì)大量占用網(wǎng)絡(luò)帶寬,阻塞正常流量,形成拒絕服務(wù)攻擊。我們清醒地知道,完全避免所有終端上的病毒是不可能的,但要盡量減少病毒爆發(fā)造成的損失和恢復(fù)時(shí)延是完全可能的。但是由于一些工作人員的疏忽,使得醫(yī)院網(wǎng)絡(luò)被病毒攻擊的頻率越來(lái)越高,所以病毒的攻擊應(yīng)該引起我們的關(guān)注。

1.2軟件漏洞

任何的系統(tǒng)軟件和應(yīng)用軟件都不能是百分之百的無(wú)缺陷和無(wú)漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進(jìn)行竊取機(jī)密信息和破壞信息的首選途徑。針對(duì)固有的安全漏洞進(jìn)行攻擊,主要在以下幾個(gè)方面:

1.2.1、協(xié)議漏洞。例如,IMAP和POP3協(xié)議一定要在Unix根目錄下運(yùn)行,攻擊者利用這一漏洞攻擊IMAP破壞系統(tǒng)的根目錄,從而獲得超級(jí)用戶的特權(quán)。

1.2.2、緩沖區(qū)溢出。很多系統(tǒng)在不檢查程序與緩沖區(qū)之間變化的情況下,就接受任何長(zhǎng)度的數(shù)據(jù)輸入,把溢出部分放在堆棧內(nèi),系統(tǒng)仍照常執(zhí)行命令。攻擊者就利用這一漏洞發(fā)送超出緩沖區(qū)所能處理的長(zhǎng)度的指令,來(lái)造成系統(tǒng)不穩(wěn)定狀態(tài)。

1.2.3、口令攻擊。例如,Unix系統(tǒng)軟件通常把加密的口令保存在一個(gè)文件中,而該文件可通過(guò)拷貝或口令破譯方法受到入侵。因此,任何不及時(shí)更新的系統(tǒng),都是容易被攻擊的。

2、人為因素:

2.1操作失誤

操作員安全配置不當(dāng)造成的安全漏洞,用戶安全意識(shí)不強(qiáng).用戶口令選擇不慎.用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。這種情況在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)使用初期較常見(jiàn),隨著網(wǎng)絡(luò)管理制度的建立和對(duì)使用人員的培訓(xùn),此種情況逐漸減少.對(duì)網(wǎng)絡(luò)安全己不構(gòu)成主要威脅。

2.2惡意攻擊

這是醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類(lèi)。此類(lèi)攻擊又可以分為以下兩種:一種是主動(dòng)攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類(lèi)是被動(dòng)攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下.進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信急。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。網(wǎng)絡(luò)黑客和計(jì)算機(jī)病毒對(duì)企業(yè)網(wǎng)絡(luò)(內(nèi)聯(lián)網(wǎng))和公網(wǎng)安全構(gòu)成巨大威脅,每年企業(yè)和網(wǎng)絡(luò)運(yùn)營(yíng)商都要花費(fèi)大量的人力和物力用于這方而的網(wǎng)絡(luò)安全防范,因此防范人為的惡意攻擊將是醫(yī)院網(wǎng)絡(luò)安全工作的重點(diǎn)。

二、構(gòu)建安全的網(wǎng)絡(luò)體系結(jié)構(gòu)

1.設(shè)計(jì)網(wǎng)絡(luò)安全體系的原則

1.1、體系的安全性:設(shè)計(jì)網(wǎng)絡(luò)安全體系的最終目的是為保護(hù)信息與網(wǎng)絡(luò)系統(tǒng)的安全所以安全性成為首要目標(biāo)。要保證體系的安全性,必須保證體系的完備性和可擴(kuò)展性。

1.2、系統(tǒng)的高效性:構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運(yùn)行,如果安全影響了系統(tǒng)的運(yùn)行,那么就需要進(jìn)行權(quán)衡了,必須在安全和性能之間選擇合適的平衡點(diǎn)。網(wǎng)絡(luò)系統(tǒng)的安全體系包含一些軟件和硬件,它們也會(huì)占用網(wǎng)絡(luò)系統(tǒng)的一些資源。因此,在設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)必須考慮系統(tǒng)資源的開(kāi)銷(xiāo),要求安全防護(hù)系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)轉(zhuǎn)。

1.3、體系的可行性:設(shè)計(jì)網(wǎng)絡(luò)安全體系不能純粹地從理論角度考慮,再完美的方案,如果不考慮實(shí)際因素,也只能是一些廢紙。設(shè)計(jì)網(wǎng)絡(luò)安全體系的目的是指導(dǎo)實(shí)施,如果實(shí)施的難度太大以至于無(wú)法實(shí)施,那么網(wǎng)絡(luò)安全體系本身也就沒(méi)有了實(shí)際價(jià)值。

1.4、體系的可承擔(dān)性:網(wǎng)絡(luò)安全體系從設(shè)計(jì)到實(shí)施以及安全系統(tǒng)的后期維護(hù)、安全培訓(xùn)等各個(gè)方面的工作都要由企業(yè)來(lái)支持,要為此付出一定的代價(jià)和開(kāi)銷(xiāo)如果我們付出的代價(jià)比從安全體系中獲得的利益還要多,那么我們就不該采用這個(gè)方案。所以,在設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí),必須考慮企業(yè)的業(yè)務(wù)特點(diǎn)和實(shí)際承受能力,沒(méi)有必要按電信級(jí)、銀行級(jí)標(biāo)準(zhǔn)來(lái)設(shè)計(jì)這四個(gè)原則,可以簡(jiǎn)單的歸納為:安全第一、保障性能、投入合理、考慮發(fā)展。

2、網(wǎng)絡(luò)安全體系的建立

網(wǎng)絡(luò)安全體系的定義:網(wǎng)絡(luò)安全管理體系是一個(gè)在網(wǎng)絡(luò)系統(tǒng)內(nèi)結(jié)合安全技術(shù)與安全管理,以實(shí)現(xiàn)系統(tǒng)多層次安全保證的應(yīng)用體系。網(wǎng)絡(luò)系統(tǒng)完整的安全體系統(tǒng)物理安全性主要是指從物理上保證系統(tǒng)中各種硬件設(shè)備的安全可靠,確保應(yīng)用系統(tǒng)正常運(yùn)行。主要包括以下幾個(gè)方面:

(1)防止非法用戶破壞系統(tǒng)設(shè)備,干擾系統(tǒng)的正常運(yùn)行。

(2)防止內(nèi)部用戶通過(guò)物理手段接近或竊取系統(tǒng)設(shè)備,非法取得其中的數(shù)據(jù)。

(3)為系統(tǒng)關(guān)鍵設(shè)備的運(yùn)行提供安全、適宜的物理空間,確保系統(tǒng)能夠長(zhǎng)期、穩(wěn)定和高效的運(yùn)行。例如:中心機(jī)房配置溫控、除塵設(shè)備等。

網(wǎng)絡(luò)安全性主要包括以下幾個(gè)方面:

(1)限制非法用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)和破壞系統(tǒng)數(shù)據(jù),竊取傳輸線路中的數(shù)據(jù)。

(2)確保對(duì)網(wǎng)絡(luò)設(shè)備的安全配置。對(duì)網(wǎng)絡(luò)來(lái)說(shuō),首先要確保網(wǎng)絡(luò)設(shè)備的安全配置,保證非授權(quán)用戶不能訪問(wèn)任意一臺(tái)計(jì)算機(jī)、路由器和防火墻。

(3)網(wǎng)絡(luò)通訊線路安全可靠,抗干擾。屏蔽性能好,防止電磁泄露,減

少信號(hào)衰減。

(4)防止那些為網(wǎng)絡(luò)通訊提供頻繁服務(wù)的設(shè)備泄露電磁信號(hào),可以在該設(shè)備上增加信號(hào)干擾器,對(duì)泄露的電磁信號(hào)進(jìn)行干擾,以防他人順利接收到泄露的電磁信號(hào)。

應(yīng)用安全性主要是指利用通訊基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)和先進(jìn)的應(yīng)用安全控制技術(shù),對(duì)應(yīng)用系統(tǒng)中的數(shù)據(jù)進(jìn)行安全保護(hù),確保能夠在數(shù)據(jù)庫(kù)級(jí)、文檔/記錄級(jí)、段落級(jí)和字段級(jí)限制非法用戶的訪問(wèn)。

另外,對(duì)存放重要數(shù)據(jù)的計(jì)算機(jī)(服務(wù)器、用戶機(jī))應(yīng)使用安全等級(jí)較高的操作系統(tǒng),利用操作系統(tǒng)的安全特性。

三、網(wǎng)絡(luò)安全的技術(shù)實(shí)現(xiàn)

1、防火墻技術(shù)

在外部網(wǎng)絡(luò)同內(nèi)部網(wǎng)絡(luò)之間應(yīng)設(shè)置防火墻設(shè)備。通過(guò)防火墻過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù),對(duì)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為進(jìn)行控制和阻斷,封鎖某些禁止的業(yè)務(wù),記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)。對(duì)網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測(cè)和告警。防火墻可分為包過(guò)濾型、檢測(cè)型、型等,應(yīng)根據(jù)不同的需要安裝不同的防火墻。

2、劃分并隔離不同安全域

根據(jù)不同的安全需求、威脅,劃分不同的安全域。采用訪問(wèn)控制、權(quán)限控制的機(jī)制,控制不同的訪問(wèn)者對(duì)網(wǎng)絡(luò)和設(shè)備的訪問(wèn),防止內(nèi)部訪問(wèn)者對(duì)無(wú)權(quán)訪問(wèn)區(qū)域的訪問(wèn)和誤操作。

我們可以按照網(wǎng)絡(luò)區(qū)域安全級(jí)別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域,即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域,在這兩大區(qū)域之間需要進(jìn)行安全隔離。在關(guān)鍵服務(wù)器區(qū)域內(nèi)部,也同樣需要按照安全級(jí)別的不同進(jìn)行進(jìn)一步安全隔離。

劃分并隔離不同安全域要結(jié)合網(wǎng)絡(luò)系統(tǒng)的安防與監(jiān)控需要,與實(shí)際應(yīng)用環(huán)境、工作業(yè)務(wù)流程和機(jī)構(gòu)組織形式密切結(jié)合起來(lái)。

3、防范病毒和外部入侵

防病毒產(chǎn)品要定期更新升級(jí),定期掃描。在不影響業(yè)務(wù)的前提下,關(guān)閉系統(tǒng)本身的弱點(diǎn)及漏洞并及時(shí)打上最新的安全補(bǔ)丁。防毒除了通常的工作站防毒外,email防毒和網(wǎng)關(guān)式防毒己經(jīng)越來(lái)越成為消除病毒源的關(guān)鍵。還應(yīng)使用掃描器軟件主動(dòng)掃描,進(jìn)行安全性檢查,找到漏洞并及時(shí)修補(bǔ),以防黑客攻擊。

醫(yī)院網(wǎng)管可以在CISCO路由設(shè)備中,利用CISCOIOS操作系統(tǒng)的安全保護(hù),設(shè)置用戶口令及ENABLE口令,解決網(wǎng)絡(luò)層的安全問(wèn)題,可以利用UNIX系統(tǒng)的安全機(jī)制,保證用戶身份、用戶授權(quán)和基于授權(quán)的系統(tǒng)的安全,:對(duì)各服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)設(shè)立訪問(wèn)權(quán)限,同時(shí)利用UNIX的安全文件,例如/etc/hosts.equiv文件等,限制遠(yuǎn)程登錄主機(jī),以防非法用戶使用TELNET、FTP等遠(yuǎn)程登錄工具,進(jìn)行非法入侵。

4、備份和恢復(fù)技術(shù)

備份是保證系統(tǒng)安全最基本、最常用的手段。采取數(shù)據(jù)的備份和恢復(fù)措施,有些重要數(shù)據(jù)還需要采取異地備份措施,防止災(zāi)難性事故的發(fā)生。

5、加密和認(rèn)證技術(shù)

加密可保證信息傳輸?shù)谋C苄浴⑼暾?、抗抵賴等,是一個(gè)非常傳統(tǒng),但又非常有效的技術(shù)。加密技術(shù)主要用于網(wǎng)絡(luò)安全傳輸、公文安全傳輸、桌面安全防護(hù)、可視化數(shù)字簽名等方面。

6、實(shí)時(shí)監(jiān)測(cè)

采取信息偵聽(tīng)的方式尋找未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試和違規(guī)行為,包括網(wǎng)絡(luò)系統(tǒng)的掃描、預(yù)警、阻斷、記錄、跟蹤等,從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)系統(tǒng)作為對(duì)付電腦黑客最有效的技術(shù)手段,具有實(shí)時(shí)、自適應(yīng)、主動(dòng)識(shí)別和響應(yīng)等特征。

7、PKI技術(shù)

公開(kāi)密鑰基礎(chǔ)設(shè)施(PKI)是通過(guò)使用公開(kāi)密鑰技術(shù)和數(shù)字證書(shū)來(lái)確保系統(tǒng)網(wǎng)絡(luò)安全并負(fù)責(zé)驗(yàn)證數(shù)字證書(shū)持有者身份的一種體系。PKI可以提供的服務(wù)包括:認(rèn)證服務(wù),保密(加密),完整,安全通信,安全時(shí)間戳,小可否認(rèn)服務(wù)(抗抵賴服務(wù)),特權(quán)管理,密鑰管理等。