前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全技術(shù)防護體系主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:網(wǎng)絡(luò)安全;防護機制;煙草公司;互聯(lián)網(wǎng)
隨著Internet技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)應(yīng)用技術(shù)的普及,網(wǎng)絡(luò)安全威脅頻繁地出現(xiàn)在互聯(lián)網(wǎng)中。近年來,網(wǎng)絡(luò)攻擊的目的逐漸轉(zhuǎn)變?yōu)楂@取不正當(dāng)?shù)慕?jīng)濟利益。在此種情況下,加強網(wǎng)絡(luò)安全建設(shè)已成為各個企業(yè)的迫切需要。煙草公司的網(wǎng)絡(luò)安全防護機制和安全技術(shù)是確保其網(wǎng)絡(luò)信息安全的關(guān)鍵所在。只有加強防護體系建設(shè)和創(chuàng)新安全技術(shù),才能在保證網(wǎng)絡(luò)安全的前提下,促進煙草公司的發(fā)展。
1縣級煙草公司網(wǎng)絡(luò)現(xiàn)面臨的威脅
目前,煙草公司計算機網(wǎng)絡(luò)面臨的威脅從主體上可分為對網(wǎng)絡(luò)信息的威脅、對網(wǎng)絡(luò)設(shè)備的威脅。
1.1人為無意的失誤
如果網(wǎng)絡(luò)的安全配置不合理,則可能會出現(xiàn)安全漏洞,加之用戶選擇口令時不謹(jǐn)慎,甚至將自己的賬號隨意轉(zhuǎn)借給他人或與他人共享,進而為網(wǎng)絡(luò)埋下了安全隱患。
1.2人為惡意的攻擊
人為惡意的攻擊可分為主動攻擊和被動攻擊,這兩種攻擊都會對煙草公司的計算機網(wǎng)絡(luò)造成較大的破壞,導(dǎo)致機密數(shù)據(jù)存在泄露的風(fēng)險。比如,相關(guān)操作者未及時控制來自Internet的電子郵件中攜帶的病毒、Web瀏覽器可能存在的惡意Java控件等,進而對計算機網(wǎng)絡(luò)造成巨大的影響。
1.3網(wǎng)絡(luò)軟件的漏洞
對于網(wǎng)絡(luò)軟件而言,會存在一定的缺陷和漏洞,而這些缺陷和漏洞為黑客提供了可乘之機。
1.4自然災(zāi)害和惡性事件
該種網(wǎng)絡(luò)威脅主要是指無法預(yù)測的自然災(zāi)害和人為惡性事件。自然災(zāi)害包括地震、洪水等,人為惡性事件包括惡意破壞、人為縱火等。雖然這些事件發(fā)生的概率較低,但一旦發(fā)生,則會造成異常嚴(yán)重的后果,必須嚴(yán)以防范。
2構(gòu)建煙草公司信息網(wǎng)絡(luò)安全防護體系
要想形成一個完整的安全體系,并制訂有效的解決方案,就必須在基于用戶網(wǎng)絡(luò)體系結(jié)構(gòu)、網(wǎng)絡(luò)分析的基礎(chǔ)上開展研究。對于安全體系的構(gòu)建,除了要建立安全理論和研發(fā)安全技術(shù)外,還要將安全策略、安全管理等各項內(nèi)容囊括其中??傮w來看,構(gòu)建安全體系是一項跨學(xué)科、綜合性的信息系統(tǒng)工程,應(yīng)從設(shè)施、技術(shù)、管理、經(jīng)營、操作等方面整體把握。安全系統(tǒng)的整體框架如圖1所示。安全系統(tǒng)的整體框架可分為安全管理框架和安全技術(shù)框架。這兩個部分既相互獨立,又相互融合。安全管理框架包括安全策略、安全組織管理和安全運作管理三個層面;安全技術(shù)框架包括鑒別與認(rèn)證、訪問控制、內(nèi)容安全、冗余與恢復(fù)、審計響應(yīng)五個層面。由此可見,根據(jù)煙草公司網(wǎng)絡(luò)信息安全系統(tǒng)提出的對安全服務(wù)的需求,可將整個網(wǎng)絡(luò)安全防護機制分為安全技術(shù)防護、安全管理和安全服務(wù)。
2.1安全技術(shù)防護機制
在此環(huán)節(jié)中,旨在將安全策略中的各個要素轉(zhuǎn)化成為可行的技術(shù)。對于內(nèi)容層面而言,必須明確安全策略的保護方向、保護內(nèi)容,如何實施保護、處理發(fā)生的問題等。在此情況下,一旦整體的安全策略形成,經(jīng)實踐檢驗后,便可大幅推廣,這有利于煙草公司整體安全水平的提高。此外,安全技術(shù)防護體系也可劃分為1個基礎(chǔ)平臺和4個子系統(tǒng)。在這個技術(shù)防護體系中,結(jié)合網(wǎng)絡(luò)管理等功能,可對安全事件等實現(xiàn)全程監(jiān)控,并與各項技術(shù)相結(jié)合,從而實現(xiàn)對網(wǎng)絡(luò)設(shè)備、信息安全的綜合管理,確保系統(tǒng)的持續(xù)可用性。
2.2安全管理機制
依據(jù)ISO/IEC17700信息安全管理標(biāo)準(zhǔn)思路及其相關(guān)內(nèi)容,信息安全管理機制的內(nèi)容包括制訂安全管理策略、制訂風(fēng)險評估機制、建設(shè)日常安全管理制度等?;谠擁梼?nèi)容涉及的管理、技術(shù)等各個方面,需各方面資源的大力支持,通過技術(shù)工人與管理者的無隙合作,建立煙草公司內(nèi)部的信息安全防范責(zé)任體系。2.3安全服務(wù)機制安全服務(wù)需結(jié)合人、管理、產(chǎn)品與技術(shù)等各方面,其首要內(nèi)容是定期評估整個網(wǎng)絡(luò)的風(fēng)險,了解網(wǎng)絡(luò)當(dāng)前的安全狀況,并根據(jù)評估結(jié)果調(diào)整網(wǎng)絡(luò)安全策略,從而確保系統(tǒng)的正常運行。此外,還可通過專業(yè)培訓(xùn),進一步促進煙草公司員工安全意識的增強。
3煙草公司的網(wǎng)絡(luò)信息安全技術(shù)
3.1訪問控制技術(shù)
在煙草公司的網(wǎng)絡(luò)信息安全技術(shù)中,訪問控制技術(shù)是最重要的一項,其由主體、客體、訪問控制策略三個要素組成。煙草公司訪問用戶的種類多、數(shù)量大、常變化,進而增加了授權(quán)管理工作的負(fù)擔(dān)。因此,為了避免發(fā)生上述情況,直接將訪問權(quán)限授予了主體,從而便于管理。此外,還應(yīng)革新并采用基于角色的訪問控制模型RBAC。
3.2數(shù)字簽名技術(shù)
在煙草公司,數(shù)字簽名技術(shù)的應(yīng)用很普遍。數(shù)字簽名屬于一種實現(xiàn)認(rèn)證、非否認(rèn)的方法。在網(wǎng)絡(luò)虛擬環(huán)境中,數(shù)字簽名技術(shù)仍然是確認(rèn)身份的關(guān)鍵技術(shù)之一,可完全代替親筆簽名,其無論是在法律上,還是技術(shù)上均有嚴(yán)格的保證。在煙草公司的網(wǎng)絡(luò)安全中應(yīng)用數(shù)字簽名技術(shù),可更快地獲得發(fā)送者公鑰。但在這一過程中需要注意,應(yīng)對發(fā)送者私鑰嚴(yán)格保密。
3.3身份認(rèn)證技術(shù)
身份認(rèn)證是指在計算機與網(wǎng)絡(luò)系統(tǒng)這一虛擬數(shù)字環(huán)境中確認(rèn)操作者身份的過程。在網(wǎng)絡(luò)系統(tǒng)中,用戶的所有信息是用一組特定的數(shù)據(jù)來表示的;而在現(xiàn)實生活中,每個人都有著獨一無二的物理身份。如何確保這兩種身份的對應(yīng)性,已成為相關(guān)工作者遇到的難題。而采用身份認(rèn)證技術(shù)可很好地解決該難題。該技術(shù)主要包括基于隨機口令的雙因素認(rèn)證和基于RKI體制的數(shù)字證書認(rèn)證技術(shù)等?;诳诹畹纳矸菡J(rèn)證技術(shù)具有使用靈活、投入小等特點,在一些封閉的小型系統(tǒng)或安全性要求較低的系統(tǒng)中非常適用;基于PKI體制的數(shù)字證書認(rèn)證技術(shù)可有效保證信息系統(tǒng)的真實性、完整性、機密性等。
4結(jié)束語
綜上所述,安全是煙草公司網(wǎng)絡(luò)賴以生存的重要前提,網(wǎng)絡(luò)安全的最終目標(biāo)是確保在網(wǎng)絡(luò)中交換的數(shù)據(jù)信息不會被刪除、篡改、泄露甚至破壞,從而提高系統(tǒng)應(yīng)用的可控性和保密性。因此,煙草公司必須具備一套行之有效的網(wǎng)絡(luò)安全防護機制,增強自身網(wǎng)絡(luò)的整體防御能力,研發(fā)網(wǎng)絡(luò)安全立體防護技術(shù)。只有建立完善的信息安全防范體系,才能使煙草公司內(nèi)部的重要信息資源得到有效保護。
參考文獻(xiàn)
[1]張玨,田建學(xué).網(wǎng)絡(luò)安全新技術(shù)[J].電子設(shè)計工程,2011,19(12).
建立健全廣電網(wǎng)絡(luò)安全防御體系
1廣電網(wǎng)絡(luò)特征
(1)我國廣電網(wǎng)絡(luò)發(fā)展正處于數(shù)字電視及模擬電視轉(zhuǎn)型階段,且廣電網(wǎng)絡(luò)正處于轉(zhuǎn)型期,除此以外,我國網(wǎng)絡(luò)安全投資經(jīng)費遠(yuǎn)遠(yuǎn)不能夠滿足實際需要;(2)我國網(wǎng)絡(luò)管理機制不健全、管理人員專業(yè)技能及綜合素養(yǎng)普遍不高,且我國網(wǎng)絡(luò)管理手段大多為管理性能不高的局部管理軟件或網(wǎng)絡(luò)設(shè)備廠家免費贈送的網(wǎng)絡(luò)管理軟件;(3)我國網(wǎng)絡(luò)安全與系統(tǒng)建設(shè)不成熟,尚處于發(fā)展的低級階段,且安全集中式管理模式基本缺失,這對于我國廣電網(wǎng)絡(luò)安全均造成了不少的安全隱患。
2立體網(wǎng)絡(luò)安全防御體系結(jié)構(gòu)層次
隨著技術(shù)的發(fā)展及廣電網(wǎng)絡(luò)安全意識的提高,立體安全防御體系建立被得到深入發(fā)展,這為提高廣電網(wǎng)絡(luò)安全防御性能發(fā)揮著巨大的作用。立體安全防御體系主要分為安全管理系統(tǒng)、安全防護系統(tǒng)及安全監(jiān)理系統(tǒng)等三大部分。在整個網(wǎng)絡(luò)安全體系中,安全監(jiān)控系統(tǒng)扮演著中樞系統(tǒng)的角色。安全監(jiān)控系統(tǒng)重點功能模塊包括安全策略管理模塊、安全知識庫及報表模塊、用戶權(quán)限管理模塊、安全預(yù)警管理、安全事件流程管理模塊、風(fēng)險評估模塊、安全區(qū)域管理模塊、安全資產(chǎn)管理模塊、安全信息監(jiān)控管理模塊、安全事件智能關(guān)聯(lián)及分析模塊、安全事件采集模塊、安全知識學(xué)習(xí)平臺模塊。就防護級別而言,安全防護系統(tǒng)涉及的模塊包括:(1)??乇Wo區(qū)域:多路供配電系統(tǒng)、攻擊防護模塊、空氣調(diào)節(jié)及通風(fēng)控制、數(shù)據(jù)訪問控制、防火及火警探測、系統(tǒng)訪問控制、水患及水浸控制、系統(tǒng)日志控制、物理出入控制、密碼管理控制、定期衛(wèi)生及清潔控制、認(rèn)證及識別系統(tǒng)、設(shè)數(shù)據(jù)訪問控制、備及介質(zhì)控制;(2)強制保護區(qū)域:不間斷供電系統(tǒng)、攻擊防護模塊、多路供配電系統(tǒng)、漏洞管理和修補、空氣調(diào)節(jié)及通風(fēng)控制、激活業(yè)務(wù)控制、防火及火警探測、程序開發(fā)控制、水患及水浸控制、系統(tǒng)更改控制、物理出入控制、病毒防護模塊、數(shù)據(jù)訪問控制、定期衛(wèi)生及清潔控制、系統(tǒng)訪問控制、系統(tǒng)日志控制、設(shè)備及介質(zhì)控制;(3)監(jiān)督保護區(qū)域:多路供配電系統(tǒng)、密鑰管理模塊、空氣調(diào)節(jié)及通風(fēng)控制、攻擊防護模塊、防火及火警探測、漏洞管理和修補、水患及水浸控制、激活業(yè)務(wù)控制、物理出入控制、系統(tǒng)更改控制、定期衛(wèi)生及清潔控制、病毒防護模塊、設(shè)備及介質(zhì)控制、數(shù)據(jù)訪問控制、系統(tǒng)訪問控制、系統(tǒng)日志控制;(4)指導(dǎo)保護區(qū):物理出入控制、密碼管理控制、定期衛(wèi)生及清潔控制、漏洞管理和修補、設(shè)備及介質(zhì)控制、激活業(yè)務(wù)控制、系統(tǒng)訪問控制、系統(tǒng)更改控制、病毒防護模塊、數(shù)據(jù)訪問控制;(5)一般保護區(qū):系統(tǒng)訪問控制、用戶行為管理模塊、數(shù)據(jù)訪問控制、漏洞管理和修補、病毒防護模塊;(6)安全管理系統(tǒng):安全技術(shù)及設(shè)備管理、部門與人員組織規(guī)則、安全管理制度等。
工程實例
南京廣電網(wǎng)絡(luò)屬于復(fù)雜網(wǎng)絡(luò)結(jié)合體,其涵蓋了三個物理結(jié)構(gòu),即MSTP傳輸網(wǎng)、IP傳輸網(wǎng)、HFC網(wǎng),且該網(wǎng)絡(luò)系統(tǒng)包含的系統(tǒng)及部門眾多。
1安全監(jiān)控系統(tǒng)
南京廣電公司堅持“分級監(jiān)控體系”原則,即公司層面設(shè)安全監(jiān)控中心,各部門設(shè)子系統(tǒng)監(jiān)控分中心。網(wǎng)絡(luò)監(jiān)控系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)內(nèi)各主要鏈路狀態(tài)及主要節(jié)點設(shè)備進行實時監(jiān)控,且構(gòu)建了緊急事件相應(yīng)流程及自動報警機制,并對管理漏洞、網(wǎng)絡(luò)配置及未授權(quán)行為進行嚴(yán)格檢測,此外,如實保存并審計相關(guān)安全事件及異常事件日志(見下圖)。
2安全防護體系
南京廣電公司于安全防護體系之上始終堅持“分級防護“原則?;谛畔①Y產(chǎn)及業(yè)務(wù)系統(tǒng)重要性的不同,安全防護體系被劃分為五大保護等級。信息安全等級保護工作應(yīng)堅持“分類指導(dǎo)、分級負(fù)責(zé)、分步實施、突出重點”原則;遵循“誰運營-誰負(fù)責(zé)、誰主管-誰負(fù)責(zé)”要求。防護體系架構(gòu):安全防護體系層次模型被劃分為縱向及橫向兩個層面相結(jié)合安全防護體系,該安全防護系統(tǒng)有助于對廣電網(wǎng)絡(luò)各系統(tǒng)及系統(tǒng)各層次進行安全全面而系統(tǒng)地把握。就橫向管理體系(見下圖一)而言,考慮的核心在于對安全數(shù)據(jù)進行集中式監(jiān)控及處理,并以等級保護相關(guān)規(guī)范為根據(jù),對各系統(tǒng)不同等級安全保護域加以確定;就縱向管理體系(見圖二)而言,考慮的核心在于以系統(tǒng)ISO七層體系模型為參考依據(jù),監(jiān)控并管理各系統(tǒng)各層次。
安全防護體系層次劃分標(biāo)準(zhǔn):橫向?qū)哟螛?biāo)準(zhǔn):劃分橫向?qū)哟伟踩驊?yīng)該以國家系統(tǒng)等級保護標(biāo)準(zhǔn)格式為依據(jù),并基于企業(yè)系統(tǒng)程度,將廣電網(wǎng)絡(luò)定義為五大保護等級,且以保護等級為依據(jù)將網(wǎng)絡(luò)體系劃分為安全域;縱向?qū)哟螛?biāo)準(zhǔn):縱向?qū)哟蝿澐謽?biāo)準(zhǔn)應(yīng)以ISO七層網(wǎng)絡(luò)模型為參考依據(jù),具體劃分標(biāo)準(zhǔn)包括物理層安全防護(環(huán)境安全、設(shè)備安全、介質(zhì)安全)、系統(tǒng)層安全防護、網(wǎng)絡(luò)層安全防護、安全管理(安全技術(shù)及設(shè)備管理、部門及人員組織規(guī)則、安全管理制度)。
本文闡述了國內(nèi)煙草企業(yè)面對的網(wǎng)絡(luò)信息安全的主要威脅,分析其網(wǎng)絡(luò)安全防護體系建設(shè)的應(yīng)用現(xiàn)狀,指出其中存在的問題,之后,從科學(xué)設(shè)定防護目標(biāo)原則、合理確定網(wǎng)絡(luò)安全區(qū)域、大力推行動態(tài)防護措施、構(gòu)建專業(yè)防護人才隊伍、提升員工安全防護意識等方面,提出加強煙草企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè)的策略,希望對相關(guān)工作有所幫助。
關(guān)鍵詞:
煙草企業(yè);網(wǎng)絡(luò)安全防護;體系建設(shè)
隨著信息化的逐步發(fā)展,國內(nèi)煙草企業(yè)也愈加重視利用網(wǎng)絡(luò)提高生產(chǎn)管理銷售水平,打造信息化時代下的現(xiàn)代煙草企業(yè)。但享受網(wǎng)絡(luò)帶來便捷的同時,也正遭受到諸如病毒、木馬等網(wǎng)絡(luò)威脅給企業(yè)信息安全方面帶來的影響。因此,越來越多的煙草企業(yè)對如何強化網(wǎng)絡(luò)安全防護體系建設(shè)給予了高度關(guān)注。
1威脅煙草企業(yè)網(wǎng)絡(luò)信息體系安全的因素
受各種因素影響,煙草企業(yè)網(wǎng)絡(luò)信息體系正遭受到各種各樣的威脅。
1.1人為因素
人為的無意失誤,如操作員安全配置不當(dāng)造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。人為的惡意攻擊,這是計算機網(wǎng)絡(luò)所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網(wǎng)絡(luò)正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2軟硬件因素
網(wǎng)絡(luò)安全設(shè)備投資方面,行業(yè)在防火墻、網(wǎng)管設(shè)備、入侵檢測防御等網(wǎng)絡(luò)安全設(shè)備配置方面處于領(lǐng)先地位,但各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫、軟件存在漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標(biāo)。曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡(luò)內(nèi)部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設(shè)想。另外,各種新型病毒發(fā)展迅速,超出防火墻屏蔽能力等,都使企業(yè)安全防護網(wǎng)絡(luò)遭受嚴(yán)重威脅。
1.3結(jié)構(gòu)性因素
煙草企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全防護體系結(jié)構(gòu),多數(shù)采用的是混合型結(jié)構(gòu),星形和總線型結(jié)構(gòu)重疊并存,相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網(wǎng)絡(luò)使用者因系統(tǒng)過于復(fù)雜而導(dǎo)致錯誤操作,都可能造成網(wǎng)絡(luò)安全問題。
2煙草企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè)現(xiàn)狀
煙草企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè),仍然存在著很多不容忽視的問題,亟待引起高度關(guān)注。
2.1業(yè)務(wù)應(yīng)用集成整合不足
不少煙草企業(yè)防護系統(tǒng)在建設(shè)上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應(yīng)鏈上的協(xié)同性,安全防護信息沒有實現(xiàn)跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務(wù)決策,影響了信息化建設(shè)的整體效率。缺乏對網(wǎng)絡(luò)安全防護體系建設(shè)的頂層設(shè)計,致使信息化建設(shè)未能形成整體合力。
2.2信息化建設(shè)特征不夠明顯
網(wǎng)絡(luò)安全防護體系建設(shè)是現(xiàn)代煙草企業(yè)的重要標(biāo)志,但如基礎(chǔ)平臺的集成性、基礎(chǔ)設(shè)施的集約化、標(biāo)準(zhǔn)規(guī)范體系化等方面的建設(shè)工作都較為滯后。主營煙草業(yè)務(wù)沒有同信息化建設(shè)高度契合,對影響企業(yè)發(fā)展的管理制度、業(yè)務(wù)需求、核心數(shù)據(jù)和工作流程等關(guān)鍵性指標(biāo),缺乏宏觀角度上的溝通協(xié)調(diào),致使在信息化建設(shè)中,業(yè)務(wù)、管理、技術(shù)“三位一體”的要求并未落到實處,影響了網(wǎng)絡(luò)安全防護的效果。
2.3安全運維保障能力不足
缺乏對運維保障工作的正確認(rèn)識,其尚未完全融入企業(yè)信息化建設(shè)的各個環(huán)節(jié),加上企業(yè)信息化治理模式構(gòu)建不成熟等原因,制約了企業(yè)安全綜合防范能力與運維保障體系建設(shè)的整體效能,導(dǎo)致在網(wǎng)絡(luò)威脅的防護上較為被動,未能做到主動化、智能化分析,導(dǎo)致遭受病毒、木馬、釣魚網(wǎng)站等反復(fù)侵襲。
3加強煙草企業(yè)網(wǎng)絡(luò)安全防護體系建設(shè)的策略
煙草企業(yè)應(yīng)以實現(xiàn)一體化數(shù)字煙草作為建設(shè)目標(biāo),秉承科學(xué)頂層設(shè)計、合理統(tǒng)籌規(guī)劃、力爭整體推進的原則,始終堅持兩級主體、協(xié)同建設(shè)和項目帶動的模式,按照統(tǒng)一架構(gòu)、安全同步、統(tǒng)一平臺的技術(shù)規(guī)范,才能持續(xù)推動產(chǎn)業(yè)發(fā)展同信息化建設(shè)和諧共生。
3.1遵循網(wǎng)絡(luò)防護基本原則
煙草企業(yè)在建設(shè)安全防護網(wǎng)絡(luò)時,應(yīng)明白建設(shè)安全防護網(wǎng)絡(luò)的目標(biāo)與原則,清楚網(wǎng)絡(luò)使用的性質(zhì)、主要使用人員等基本情況。并在邏輯上對安全防護網(wǎng)絡(luò)進行合理劃分,不同區(qū)域的防御體系應(yīng)具有針對性,相互之間邏輯清楚、調(diào)用清晰,從而使網(wǎng)絡(luò)邊界更為明確,相互之間更為信任。要對已出現(xiàn)的安全問題進行認(rèn)真分析,并歸類統(tǒng)計,大的問題盡量拆解細(xì)分,類似的問題歸類統(tǒng)一,從而將復(fù)雜問題具體化,降低網(wǎng)絡(luò)防護工作的難度。對企業(yè)內(nèi)部網(wǎng)絡(luò)來說,應(yīng)以功能為界限來劃分,以劃分區(qū)域為安全防護區(qū)域。同時,要不斷地完善安全防護體系建設(shè)標(biāo)準(zhǔn),打破不同企業(yè)之間網(wǎng)絡(luò)安全防護體系的壁壘,實現(xiàn)信息資源更大程度上的互聯(lián)互通,從而有效地提升自身對網(wǎng)絡(luò)威脅的抵御力。
3.2合理確定網(wǎng)絡(luò)安全區(qū)域
煙草企業(yè)在使用網(wǎng)絡(luò)過程中,不同的區(qū)域所擔(dān)負(fù)的角色是不同的。為此,內(nèi)部網(wǎng)絡(luò),在設(shè)計之初,應(yīng)以安全防護體系、業(yè)務(wù)操作標(biāo)準(zhǔn)、網(wǎng)絡(luò)使用行為等為標(biāo)準(zhǔn)對區(qū)域進行劃分。同時,對生產(chǎn)、監(jiān)管、流通、銷售等各個環(huán)節(jié),要根據(jù)其業(yè)務(wù)特點強化對應(yīng)的網(wǎng)絡(luò)使用管理制度,既能實現(xiàn)網(wǎng)絡(luò)安全更好防護,也能幫助企業(yè)實現(xiàn)更為科學(xué)的管控與人性化的操作。在對煙草企業(yè)網(wǎng)絡(luò)安全區(qū)域進行劃分時,不能以偏概全、一蹴而就,應(yīng)本著實事求是的態(tài)度,根據(jù)企業(yè)實際情況,以現(xiàn)有的網(wǎng)絡(luò)安全防護為基礎(chǔ),有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3大力推行動態(tài)防護措施
根據(jù)網(wǎng)絡(luò)入侵事件可知,較為突出的問題有病毒更新?lián)Q代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業(yè)在構(gòu)建網(wǎng)絡(luò)安全防護體系時,應(yīng)根據(jù)不同的威脅形式確定相應(yīng)的防護技術(shù),且系統(tǒng)要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業(yè)所遭受的網(wǎng)絡(luò)威脅進行分析,確定系統(tǒng)存在哪些漏洞、留有什么隱患,實現(xiàn)入侵實時監(jiān)測和系統(tǒng)動態(tài)防護。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡(luò)應(yīng)急機制,在系統(tǒng)遭受重大網(wǎng)絡(luò)威脅而癱瘓時,確保在最短的時間內(nèi)恢復(fù)系統(tǒng)的基本功能,為后期確定問題原因與及時恢復(fù)系統(tǒng)留下時間,并且確保企業(yè)業(yè)務(wù)的開展不被中斷,不會為企業(yè)帶來很大的經(jīng)濟損失。另外,還應(yīng)大力提倡煙草企業(yè)同專業(yè)信息防護企業(yè)合作,構(gòu)建病毒防護戰(zhàn)略聯(lián)盟,為更好地實現(xiàn)煙草企業(yè)網(wǎng)絡(luò)防護效果提供堅實的技術(shù)支撐。
3.4構(gòu)建專業(yè)防護人才隊伍
人才是網(wǎng)絡(luò)安全防護體系的首要資源,缺少專業(yè)性人才的支撐,再好的信息安全防護體系也形同虛設(shè)。煙草企業(yè)網(wǎng)絡(luò)安全防護的工作專業(yè)性很強,既要熟知信息安全防護技術(shù),也要對煙草企業(yè)生產(chǎn)全過程了然于胸,并熟知國家政策法規(guī)等制度。因此,煙草企業(yè)要大力構(gòu)建專業(yè)的網(wǎng)絡(luò)信息安全防護人才隊伍,要采取定期選送、校企聯(lián)訓(xùn)、崗位培訓(xùn)等方式,充分挖掘內(nèi)部人力資源,提升企業(yè)現(xiàn)有信息安全防護人員的能力素質(zhì),也要積極同病毒防護企業(yè)、專業(yè)院校和科研院所合作,引進高素質(zhì)專業(yè)技術(shù)人才,從而為企業(yè)更好地實現(xiàn)信息安全防護效果打下堅實的人才基礎(chǔ)。
3.5提升員工安全防護意識
技術(shù)防護手段效果再好,員工信息安全防護意識不佳,系統(tǒng)也不能取得好的效果。煙草企業(yè)要設(shè)立專門的信息管理培訓(xùn)中心,統(tǒng)一對企業(yè)網(wǎng)絡(luò)安全防護系統(tǒng)進行管理培訓(xùn),各部門、各環(huán)節(jié)也要設(shè)立相應(yīng)崗位,負(fù)責(zé)本崗位的網(wǎng)絡(luò)使用情況。賬號使用、信息、權(quán)限確定等,都要置于信息管理培訓(xùn)中心的制約監(jiān)督下,都要在網(wǎng)絡(luò)使用制度的規(guī)則框架中,杜絕違規(guī)使用網(wǎng)絡(luò)、肆意泄露信息等現(xiàn)象的發(fā)生。對全體員工開展網(wǎng)絡(luò)安全教育,提升其網(wǎng)絡(luò)安全防護意識,使其認(rèn)識到安全防護體系的重要性,從而使每個人都能依法依規(guī)地使用信息網(wǎng)絡(luò)。
4結(jié)語
煙草企業(yè)管理者必須清醒認(rèn)識到,利用信息網(wǎng)絡(luò)加快企業(yè)升級換代、建設(shè)一流現(xiàn)代化煙草企業(yè)是行業(yè)所向、大勢所趨,絕不能因為網(wǎng)絡(luò)存在安全威脅而固步自封、拒絕進步。但也要關(guān)注信息化時代下網(wǎng)絡(luò)安全帶來的挑戰(zhàn),以實事求是的態(tài)度,大力依托信息網(wǎng)絡(luò)安全技術(shù),構(gòu)建更為安全的防護體系,為企業(yè)做大做強奠定堅實的基礎(chǔ)。
參考文獻(xiàn):
[1]楊波.基于安全域的煙草工業(yè)公司網(wǎng)絡(luò)安全防護體系研究[J].計算機與信息技術(shù),2012(5).
[2]賴如勤,郭翔飛,于閩.地市煙草信息安全防護模型的構(gòu)建與應(yīng)用[J].中國煙草學(xué)報,2016(4).
1相關(guān)概念介紹
大數(shù)據(jù)主要指處理數(shù)據(jù)的技術(shù)類型之一,大數(shù)據(jù)時代下,數(shù)據(jù)種類不僅局限于文字,還包括圖片、視頻和音頻等。隨著人們用網(wǎng)頻率的增加,產(chǎn)生了海量的數(shù)據(jù)信息。此時需要計算機具備高效的處理能力,以便及時找出網(wǎng)絡(luò)信息安全問題。網(wǎng)絡(luò)安全問題主要指大數(shù)據(jù)環(huán)境下,人們用網(wǎng)過程受到網(wǎng)絡(luò)漏洞的影響,或者遭遇病毒入侵、黑客攻擊等,網(wǎng)絡(luò)安全問題種類較多,需要合理選擇信息安全技術(shù),才能保證信息安全。
2影響計算機網(wǎng)絡(luò)安全的重要因素
2.1人為操作
用戶使用計算機展開相應(yīng)操作過程,通常會產(chǎn)生大量的數(shù)據(jù)信息,信息的傳輸需要正確的操作流程。部分使用者操作過程,存在較強的主觀意識。在我國諸多的網(wǎng)絡(luò)用戶當(dāng)中,部分人員對計算機安全知識掌握程度不高,因此實際操作過程難以使用正確的操作流程,運用信息安全技術(shù)等。同時,對于網(wǎng)絡(luò)的安全問題存在不當(dāng)認(rèn)識,產(chǎn)生錯誤操作,以上因素都可導(dǎo)致信息安全隱患的發(fā)生。
2.2系統(tǒng)漏洞
人們使用計算機過程,常在其中安裝大量軟件,使用網(wǎng)站查找信息。部分軟件、網(wǎng)頁等在研發(fā)過程,由于各種因素,導(dǎo)致其中存在著不同程度的安全漏洞。一旦漏洞被不法分子侵入,就會導(dǎo)致用戶信息被泄露。如:黑客利用系統(tǒng)漏洞,獲取他人信息,散播虛假信息,實施詐騙行為,不但威脅使用者的信息安全,而且還致使其產(chǎn)生嚴(yán)重的經(jīng)濟損失。同時,系統(tǒng)漏洞也常常被病毒識別,入侵網(wǎng)絡(luò)系統(tǒng),對系統(tǒng)造成破壞的同時,威脅網(wǎng)絡(luò)安全,造成系統(tǒng)癱瘓。
2.3病毒攻擊
病毒為導(dǎo)致網(wǎng)絡(luò)安全問題的因素之一,其具有較強的傳播能力,并且破壞力大,能隨用戶拷貝數(shù)據(jù)信息、下載文件、安裝軟件等行為傳播,不但傳播途徑多,而且影響范圍廣。當(dāng)病毒入侵系統(tǒng)之后,就會導(dǎo)致原有數(shù)據(jù)受到損壞,系統(tǒng)無法正確運行,為使用者造成巨大損失。
2.4黑客攻擊
大數(shù)據(jù)環(huán)境,網(wǎng)絡(luò)中存在的數(shù)據(jù)種類多樣化、數(shù)量大。網(wǎng)絡(luò)黑客會借助數(shù)據(jù)信息的便利,通過主動入侵以及無意識入侵等形式,入侵計算機系統(tǒng)。其中有意識入侵主要是有計劃性地入侵企業(yè)或者個人計算機系統(tǒng)當(dāng)中,盜取、篡改、刪除價值數(shù)據(jù)信息;無意識入侵通常不會對計算機使用過程造成影響。但是無論哪種入侵方式,都會對網(wǎng)絡(luò)信息的安全性產(chǎn)生影響。此外,黑客還可利用網(wǎng)絡(luò)協(xié)議IP、服務(wù)器等盜取用戶信息,對計算機系統(tǒng)造成攻擊,導(dǎo)致網(wǎng)絡(luò)用戶重要數(shù)據(jù)或者資料信息等被盜取,對網(wǎng)絡(luò)安全造成嚴(yán)重威脅。
2.5自然因素
計算機系統(tǒng)主要由硬件設(shè)備和軟件組成,其中硬件設(shè)備面臨自然環(huán)境產(chǎn)生的意外情況應(yīng)對能力較弱,因此,當(dāng)計算機使用過程遭遇自然災(zāi)害,如:火災(zāi)、地震等不可抗力因素時,也會導(dǎo)致內(nèi)部數(shù)據(jù)被破壞、丟失等,產(chǎn)生信息安全風(fēng)險。
3計算機網(wǎng)絡(luò)安全性提升常用技術(shù)
3.1網(wǎng)址轉(zhuǎn)換
在網(wǎng)絡(luò)安全保護方面,常使用網(wǎng)址轉(zhuǎn)換這一技術(shù)形式,主要是將私有地址以及合法地址等加以轉(zhuǎn)化,雖然此技術(shù)不具備防火墻以及服務(wù)器等功能,但是,可將網(wǎng)絡(luò)內(nèi)存中的拓?fù)浣Y(jié)構(gòu)加以隱藏,進而完成網(wǎng)址轉(zhuǎn)換,可規(guī)避服務(wù)系信息的泄露問題,防止其受到外網(wǎng)攻擊。常規(guī)而言,網(wǎng)址轉(zhuǎn)換過程,可借助防火墻、路由器等進行,主要分為靜態(tài)地址與動態(tài)地址的轉(zhuǎn)換。其中在對靜態(tài)地址轉(zhuǎn)換過程,可將其內(nèi)部地址重新轉(zhuǎn)換為外部地址,這類方法適合應(yīng)用在外服務(wù)器當(dāng)中,由于其具備私有地址,在技術(shù)應(yīng)用過程,需要對網(wǎng)絡(luò)訪問進行嚴(yán)格控制,保證系統(tǒng)安全。對動態(tài)地址的轉(zhuǎn)換過程,常適合應(yīng)用在不同的計算機當(dāng)中,能夠?qū)⑵鋬?nèi)部多個地址同時轉(zhuǎn)化為相對的外部動態(tài)地址。
3.2設(shè)置防火墻
應(yīng)用防火墻能夠在一定程度上提升網(wǎng)絡(luò)的安全性,同時,其還具備記錄功能,能將網(wǎng)絡(luò)中存在的異常訪問問題隨時記錄,實現(xiàn)對網(wǎng)絡(luò)安全的隨時監(jiān)控,保證系統(tǒng)穩(wěn)定運行。使用此技術(shù),通常將防火墻設(shè)置于網(wǎng)絡(luò)邊界位置,借助各種類型網(wǎng)絡(luò)訪問規(guī)則的設(shè)置,實現(xiàn)對內(nèi)網(wǎng)信息安全的保護。在防火墻類型的選擇方面,需要保證其具備網(wǎng)址轉(zhuǎn)換這一功能,保證使用時能夠滿足各類網(wǎng)址的轉(zhuǎn)換需求。在設(shè)置防火墻環(huán)節(jié),需要重點對其網(wǎng)絡(luò)邊界加以考慮,防止應(yīng)用過程受到邊界限制。防火墻安裝結(jié)束之后,需要結(jié)合網(wǎng)絡(luò)安全問題,找出容易受到的網(wǎng)絡(luò)攻擊形式,逐漸更新與完善。合理設(shè)置防火墻,提高其網(wǎng)絡(luò)安全防護功能。此外,在設(shè)置防火墻過程,還需秉承“小授權(quán)”這一原則,關(guān)注設(shè)置規(guī)則以及順序,保證安裝工作能夠順利進行。
3.3數(shù)據(jù)加密
大數(shù)據(jù)下產(chǎn)生的各類數(shù)據(jù),在網(wǎng)絡(luò)安全防護過程,需要使用加密技術(shù),對數(shù)據(jù)信息進行處理,提升其傳輸過程的安全性。此技術(shù)在運用過程,主要是將數(shù)據(jù)信息變?yōu)榧用艿奈募?,以此形式完成傳輸,待?shù)據(jù)順利到達(dá)目的地之后,重新使用此技術(shù)將文件信息解密并還原。加密技術(shù)應(yīng)用環(huán)節(jié)主要使用“公鑰”、“私鑰”兩種類型技術(shù)。在使用“私鑰”技術(shù)進行加密時,主要是利用對稱形式的編碼技術(shù),又稱為加密算法,使用同一個密鑰對傳輸數(shù)據(jù)加密,此密鑰能同時應(yīng)用在加密以及解密環(huán)節(jié),為典型的對稱加密,能實現(xiàn)標(biāo)準(zhǔn)算法的數(shù)據(jù)加密。利用此技術(shù),不但簡單便捷,而且還能提升計算機的運算速度,但同時也存在相應(yīng)弊端,算法自身相對復(fù)雜,可能導(dǎo)致使用時存在安全隱患,因此,使用此技術(shù),需要保證密鑰自身的安全性。在使用“公鑰”技術(shù)進行加密時,此類技術(shù)兼具“私有”、“公開”兩種密鑰形式,并且以上兩種密鑰為一組。傳輸數(shù)據(jù)過程若使用“私有”密鑰進行加密,那么在解密過程,需要“公開”密鑰進行配合,才能順利將數(shù)據(jù)解密。同樣道理,當(dāng)傳輸環(huán)節(jié)使用“公開”密鑰,則解密過程需要使用“私有”密鑰。由于使用過程“加密”和“解密”算法不同,也被稱作“非對稱”性算法。此技術(shù)應(yīng)用過程,由于公開密鑰具有良好的保密性功能,可防止用戶之間相互交換密鑰,但是應(yīng)用技術(shù)過程計算量較大,在加密和解密過程耗時較長,因此,可將其應(yīng)用在少量數(shù)據(jù)的傳輸環(huán)節(jié)。無論使用哪種加密方式,都能提升網(wǎng)絡(luò)信息的安全,在實際運用過程,可按照系統(tǒng)對安全性能的要求,合理選擇加密技術(shù)。此外,為進一步提升數(shù)據(jù)傳輸過程的安全,還可將兩種技術(shù)加以融合,提高數(shù)據(jù)傳輸和加密效率。
4大數(shù)據(jù)視域下提升計算機網(wǎng)絡(luò)安全的幾點方法
4.1完善安全監(jiān)管制度
網(wǎng)絡(luò)安全性的提升需要用戶、監(jiān)管部門等多方參與,才可實現(xiàn)。完善監(jiān)管制度,高效管理網(wǎng)絡(luò)安全問題為重要手段之一。監(jiān)管部門需結(jié)合用戶常見的安全問題,制定出針對性的監(jiān)管標(biāo)準(zhǔn),使用網(wǎng)絡(luò)安全技術(shù),保證網(wǎng)絡(luò)安全。同時,建立信息安全責(zé)任機制,按照網(wǎng)絡(luò)信息涉及不同領(lǐng)域,科學(xué)劃分,全方位保護數(shù)據(jù)安全。提高安全監(jiān)管力度,為用戶提供優(yōu)質(zhì)的用網(wǎng)空間。
4.2提高安全防護意識
人們所處大數(shù)據(jù)時代,可能受到信息安全威脅,導(dǎo)致個人信息被非法使用、盜取或者販賣等,對用戶利益造成嚴(yán)重威脅。然而,用戶的網(wǎng)絡(luò)安全意識缺乏是導(dǎo)致網(wǎng)絡(luò)安全的重要原因之一,所以要提升網(wǎng)絡(luò)安全,還需從用戶角度出發(fā),提升其安全用網(wǎng)意識,積極學(xué)習(xí)網(wǎng)絡(luò)安全常識。如:在網(wǎng)絡(luò)環(huán)境中不輕信他人,不隨意泄露自身信息到未知平臺,不隨意點擊鏈接,下載非法軟件等。此外,還應(yīng)不斷學(xué)習(xí)網(wǎng)絡(luò)操作常識,掌握安全知識,定期請專業(yè)人員對自身計算機系統(tǒng)安全展開評估,一旦發(fā)現(xiàn)問題,及時修復(fù),防止使用過程產(chǎn)生安全風(fēng)險。
4.3健全防護體系
完善的信息安全防護體系可有效提升網(wǎng)絡(luò)的安全性能。在防護體系中需要重點體現(xiàn)出以下內(nèi)容:第一,防病毒體系的建立,如:可在計算機內(nèi)安裝殺毒軟件,配合防火墻的設(shè)置,全面對網(wǎng)絡(luò)安全加以管理;定期對計算機狀態(tài)進行檢測,找出系統(tǒng)問題,及時解決。第二,防黑客體系的建立,大數(shù)據(jù)下,產(chǎn)生的數(shù)據(jù)漏洞種類較多,為黑客攻擊用戶計算機提供更多途徑,因此在防范黑客的過程中,需要掌握黑客常用的攻擊方式,合理選擇應(yīng)對策略,保證安全體系的預(yù)防具備科學(xué)性和針對性。如:開發(fā)軟件專門記錄黑客的攻擊行為,將數(shù)據(jù)信息記錄,為安全防護工作提供依據(jù)。
現(xiàn)在,網(wǎng)絡(luò)信息逐漸實現(xiàn)了共享,在共享網(wǎng)絡(luò)信息的過程中,能夠為人們的交流提供便利,但是,各種病毒在網(wǎng)絡(luò)中出現(xiàn),導(dǎo)致了網(wǎng)絡(luò)信息的泄露,給人們的生活和生產(chǎn)帶來很大的麻煩,使網(wǎng)絡(luò)信息的安全存在著隱患。所以,建立完善的企業(yè)網(wǎng)絡(luò)安全防護體系是十分必要的。現(xiàn)在,卷煙企業(yè)要想促進自身的額發(fā)展,就必須針對企業(yè)內(nèi)部對網(wǎng)絡(luò)應(yīng)用的特點,使企業(yè)內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)得以優(yōu)化,通過完善網(wǎng)絡(luò)的安全技術(shù),實現(xiàn)網(wǎng)絡(luò)安全體系的完善。
1卷煙企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險分析
1.1運用網(wǎng)絡(luò)進行出口比較頻繁,導(dǎo)致網(wǎng)絡(luò)的管理存在難度
卷煙企業(yè)要借助網(wǎng)絡(luò)進行出口,所以,要面對各個地區(qū)不同的用戶,這就導(dǎo)致卷煙企業(yè)內(nèi)部在管理方面存在著很大的缺陷。現(xiàn)在,卷煙企業(yè)內(nèi)部使用網(wǎng)絡(luò)的力度越來越大,大多數(shù)的業(yè)務(wù)是運用網(wǎng)絡(luò)的,而且業(yè)務(wù)人員只是在網(wǎng)絡(luò)上交流,具有很強的流動性特點,在網(wǎng)絡(luò)上還沒有建立和完善相關(guān)的網(wǎng)絡(luò)行為規(guī)范,這就導(dǎo)致了各類人員在網(wǎng)絡(luò)上傳播信息,導(dǎo)致卷煙企業(yè)內(nèi)部的服務(wù)器受到病毒的侵襲,使企業(yè)的網(wǎng)絡(luò)安全遭到破壞。
1.2物理層邊界的設(shè)置具有模糊性特點
現(xiàn)在,很多企業(yè)都在發(fā)展信息化建設(shè),很多公司的網(wǎng)絡(luò)是連接在一起的,這就導(dǎo)致了企業(yè)網(wǎng)絡(luò)的物理層之間沒有清晰的界限?,F(xiàn)在電子商務(wù)發(fā)展越來越快,企業(yè)都會借助網(wǎng)絡(luò)進行交易,導(dǎo)致企業(yè)之間的信息共享程度越來越高,企業(yè)能夠在很高的權(quán)限下完成交易。這就導(dǎo)致了卷煙企業(yè)內(nèi)部的網(wǎng)絡(luò)范圍工程了一個邏輯便捷,在使用防火墻的過程中就會受到很多的限制,導(dǎo)致防火墻不能夠及時地將病毒清除。
1.3卷煙企業(yè)的入侵審計和防護體系還存在缺陷
現(xiàn)在,互聯(lián)網(wǎng)發(fā)展的速度非常快,出現(xiàn)了各類網(wǎng)絡(luò)攻擊現(xiàn)象,而且計算機病毒每天都在更新和升級,計算機病毒的破壞范圍越來越廣,破壞能力也越來越強,病毒傳播的速度日益加快,病毒在網(wǎng)絡(luò)中傳播的形式也是多樣的,讓卷煙企業(yè)不能夠及時采取措施防范,導(dǎo)致企業(yè)內(nèi)部的網(wǎng)絡(luò)安全受到嚴(yán)重的威脅。卷煙企業(yè)還沒有制定完善的入侵審計和防御體系,不能夠運用智能化分析的方法,建立病毒的防御功能,而且卷煙企業(yè)的網(wǎng)絡(luò)對病毒的檢測能力是比較差的,沒有建立統(tǒng)一的網(wǎng)絡(luò)安全防護的規(guī)范,安全管理措施還沒有全面地落實。
2建立卷煙企業(yè)網(wǎng)絡(luò)安全防護體系
2.1卷煙企業(yè)網(wǎng)絡(luò)安全防護體系的建立目標(biāo)
應(yīng)該分析卷煙企業(yè)網(wǎng)絡(luò)安全體系建立的目標(biāo),分清企業(yè)網(wǎng)絡(luò)主要的使用人員,分析網(wǎng)絡(luò)使用的性質(zhì),結(jié)合這些因素,對企業(yè)的網(wǎng)絡(luò)進行有邏輯性的劃分,在對不同領(lǐng)域的網(wǎng)絡(luò)設(shè)計不同的防御體系,從而能夠完善對網(wǎng)絡(luò)邊界的控制,建立完善的安全防御體系,使網(wǎng)絡(luò)之間能夠建立信任。將卷煙企業(yè)內(nèi)部出現(xiàn)的網(wǎng)絡(luò)安全問題加以劃分,將大型的以及較為復(fù)雜的問題轉(zhuǎn)化成簡單的問題,從而能夠簡化卷煙企業(yè)網(wǎng)絡(luò)安全問題的處理。對企業(yè)內(nèi)部的網(wǎng)絡(luò)使用,按照功能進行劃分,從而能夠按照區(qū)域進行網(wǎng)絡(luò)安全的治理,而且還要建立完善的網(wǎng)絡(luò)體系,從而能夠確保卷煙企業(yè)能夠?qū)W(wǎng)絡(luò)安全的管理進行規(guī)劃和設(shè)計。
2.2卷煙企業(yè)應(yīng)該科學(xué)的劃分網(wǎng)絡(luò)安全區(qū)域
卷煙企業(yè)內(nèi)部的網(wǎng)絡(luò)應(yīng)該根據(jù)使用網(wǎng)絡(luò)的行為、安全防護體系以及業(yè)務(wù)操作將網(wǎng)絡(luò)的使用分成不同的區(qū)域。現(xiàn)在,卷煙企業(yè)在使用網(wǎng)絡(luò)時,不同的區(qū)域關(guān)注的內(nèi)容也是不同的,所以,在對企業(yè)的網(wǎng)絡(luò)使用區(qū)域進行劃分的過程中,需要針對企業(yè)內(nèi)部不同的業(yè)務(wù)強化網(wǎng)絡(luò)使用的管理,不僅僅要使企業(yè)能夠借助網(wǎng)絡(luò)進行銷售,而且要分析企業(yè)內(nèi)部的網(wǎng)絡(luò)區(qū)域劃分是否是科學(xué)的。卷煙企業(yè)內(nèi)部對網(wǎng)絡(luò)使用的劃分不能夠按照單一的方法進行,應(yīng)該結(jié)合企業(yè)的實際情況,采取多元化的方法,從而能夠更加清晰地分析出卷煙企業(yè)內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)的實際要求。
2.3卷煙企業(yè)應(yīng)該根據(jù)自己使用網(wǎng)絡(luò)的情況,建立入侵檢測的動態(tài)防護技術(shù)
現(xiàn)在,網(wǎng)絡(luò)技術(shù)發(fā)展越來越快,卷煙企業(yè)在發(fā)展的過程中受到網(wǎng)絡(luò)病毒的威脅,網(wǎng)絡(luò)入侵的形式也越來越多元化,各類新的病毒不斷地出現(xiàn),所以,在卷煙企業(yè)內(nèi)部應(yīng)該根據(jù)病毒的形式建立完善的防護體系,應(yīng)該對實際的網(wǎng)絡(luò)應(yīng)用分析的基礎(chǔ)上,找出網(wǎng)絡(luò)應(yīng)用中最容易出現(xiàn)的漏洞,從而建立入侵檢測和動態(tài)保護功能。卷煙企業(yè)可以建立備份恢復(fù)功能,也可以定期對網(wǎng)絡(luò)使用的風(fēng)險進行分析,建立網(wǎng)絡(luò)風(fēng)險的應(yīng)急機制,從而能夠防止病毒的進一步入侵。在使用網(wǎng)絡(luò)系統(tǒng)時,如果發(fā)現(xiàn)企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)已經(jīng)受到了病毒的入侵,那么,就要應(yīng)用到備份恢復(fù)機制,使企業(yè)的網(wǎng)絡(luò)設(shè)計可以及時地恢復(fù),使企業(yè)的網(wǎng)絡(luò)運行不被中斷,不影響企業(yè)的業(yè)務(wù)進行。
論文關(guān)鍵詞:網(wǎng)絡(luò):安全技術(shù);管理措施
1前言
隨著企業(yè)科學(xué)管理水平的提高.企業(yè)管理信息化越來越受到企業(yè)的重視.企業(yè)ERP(企業(yè)資源計劃)系統(tǒng)、企業(yè)電子郵局系統(tǒng)和OA辦公自動化系統(tǒng)等先進的管理系統(tǒng)都進入企業(yè)并成為企業(yè)重要的綜合管理系統(tǒng)。企業(yè)局域網(wǎng)與國際互聯(lián)網(wǎng)(Internet)聯(lián)接,形成一個內(nèi)、外部信息共享的網(wǎng)絡(luò)平臺。這種連接方式使得企業(yè)局域網(wǎng)在給內(nèi)部用戶帶來工作便利的同時.也面臨著外部環(huán)境——國際互聯(lián)網(wǎng)的種種危險。如病毒,黑客、垃圾郵件、流氓軟件等給企業(yè)內(nèi)部網(wǎng)的安全和性能造成極大地沖擊如何更有效地保護企業(yè)重要的信息數(shù)據(jù)、提高企業(yè)局域網(wǎng)系統(tǒng)的安全性已經(jīng)成為我們必須解決的一個重要問題
2網(wǎng)絡(luò)安全及影響網(wǎng)絡(luò)安全的因素
網(wǎng)絡(luò)安全一直都是困擾企業(yè)用戶的一道難題.影響企業(yè)局域網(wǎng)的穩(wěn)定性和安全性的因素是多方面的,主要表現(xiàn)在以下幾個方面:
2.1外網(wǎng)安全。駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅
2.2內(nèi)網(wǎng)安全最新調(diào)查顯示.在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)對網(wǎng)絡(luò)的不正當(dāng)使用,降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)局域網(wǎng)絡(luò)資源、并引入病毒和間諜.或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機密
2.3內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全。隨著企業(yè)的發(fā)展壯大,逐漸形成了企業(yè)總部、各地分支機構(gòu)、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構(gòu)、移動辦公人員的信息共享安全,既要保證信息的及時共享.又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題各地機構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運作
3企業(yè)局域網(wǎng)安全方案
為了更好的解決上述問題.確保網(wǎng)絡(luò)信息的安全,企業(yè)應(yīng)建立完善的安全保障體系該體系應(yīng)包括網(wǎng)絡(luò)安全技術(shù)防護和網(wǎng)絡(luò)安全管理兩方面網(wǎng)絡(luò)安全技術(shù)防護主要側(cè)重于防范外部非法用戶的攻擊和企業(yè)重要數(shù)據(jù)信息安全.網(wǎng)絡(luò)安全管理則側(cè)重于內(nèi)部人員操作使用的管理.采用網(wǎng)絡(luò)安全技術(shù)構(gòu)筑防御體系的同時,加強網(wǎng)絡(luò)安全管理這兩方面相互補充,缺一不可。
3.1企業(yè)的網(wǎng)絡(luò)安全技術(shù)防護體系
包括入侵檢測系統(tǒng)、安全訪問控制、漏洞掃描、病毒防護、防火墻、接入認(rèn)證、電子文檔保護和網(wǎng)絡(luò)行為監(jiān)控。
1)入侵檢測系統(tǒng)。在企業(yè)局域網(wǎng)中構(gòu)建一套完整立體的主動防御體系.需要同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)首先.在校園網(wǎng)比較重要的網(wǎng)段中放置基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品.不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包.如果數(shù)據(jù)包與入侵檢測系統(tǒng)中的某些規(guī)則吻合.就會發(fā)出警報或者直接切斷網(wǎng)絡(luò)的連接其次.在重要的主機上(如W WW服務(wù)器,E—mail服務(wù)器,FTP服務(wù)器)安裝基于主機的入侵檢測系統(tǒng).對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審
計日志進行智能分析和判斷.如果其中主體活動十分可疑.入侵檢測系統(tǒng)就會采取相應(yīng)措施
2)安全訪問控制系統(tǒng)針對企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的安全威脅。必須建立整體的、卓有成效的安全策略.尤其是在訪問控制的管理與技術(shù)方面需要制定相應(yīng)的策略.以保護系統(tǒng)內(nèi)的各種資源不遭到自然與人為的破壞.維護局域網(wǎng)的安全
3)漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)層安全問題的方法是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具.利用優(yōu)化系統(tǒng)配置和打補丁等各種方式.最大可能地彌補最新的安全漏洞并消除安全隱患.
4)病毒防護系統(tǒng)。企業(yè)局域網(wǎng)防病毒工作主要包括預(yù)防計算機病毒侵入、檢測侵入系統(tǒng)的計算機病毒、定位已侵入系統(tǒng)的計算機病毒、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來源。校園網(wǎng)需建立統(tǒng)一集中的病毒防范體系.特別是針對重要的網(wǎng)段和服務(wù)器.要進行徹底堵截.
5)防火墻系統(tǒng)。防火墻在企業(yè)局域網(wǎng)與Internet之間執(zhí)行訪問控制策略.決定哪些內(nèi)部站點允許外界訪問和允許訪問外界.從而保護內(nèi)部網(wǎng)免受非法用戶的入侵在外部路由器上設(shè)置一個包過濾防火墻,它只讓與屏蔽子網(wǎng)中的服務(wù)器、E—mail服務(wù)器、信息服務(wù)器有關(guān)的數(shù)據(jù)包通過。其他所有類型的數(shù)據(jù)包都被丟棄.從而把外界Internet對屏蔽子網(wǎng)的訪問限制在特定的服務(wù)器的范圍內(nèi).
6)接入認(rèn)證系統(tǒng)對計算機終端實行實名制度.固定IP、綁定MAC地址.結(jié)合企業(yè)門戶、辦公系統(tǒng)等管理業(yè)務(wù)系統(tǒng)的實施實行機終端接入準(zhǔn)入制度.未經(jīng)過安全認(rèn)證的計算機不能接人企業(yè)局域網(wǎng)絡(luò)
7)電子文檔保護系統(tǒng)。企業(yè)重要信息整個生命周期(信息過程、信息操作過程、信息傳輸過程、信息存儲過程、信息銷毀過程)得到全程透明加密保護,保證只用合法的用戶才能通過認(rèn)證、授權(quán)訪問涉密文件。非法用戶無法在信息的產(chǎn)生到銷毀過程的任何環(huán)節(jié)竊取、拷貝、打印、另存、涉密文件,阻斷一切可能的泄密路徑.有效防護各種主動、被動泄密事件的發(fā)生。
8)網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)網(wǎng)絡(luò)行為監(jiān)控是指系統(tǒng)管理員根據(jù)網(wǎng)絡(luò)安全要求和企業(yè)的有關(guān)行政管理規(guī)定.對內(nèi)網(wǎng)用戶進行管理的一種技術(shù)手段.主要用于監(jiān)控企業(yè)內(nèi)部敏感文件訪問情況和敏感文件操作情況以及禁止工作人員在上班時間上網(wǎng)聊天、玩游戲、瀏覽違禁網(wǎng)站等。
3.2企業(yè)局域網(wǎng)安全管理措施
有了先進完善的網(wǎng)絡(luò)安全技術(shù)保護體系.如果日常的安全管理跟不上.同樣也不能保證企業(yè)網(wǎng)絡(luò)的“高枕無憂”:可以說規(guī)劃制定一套完整的安全管理措施是網(wǎng)絡(luò)安全技術(shù)保護體系的補充.它會幫助校正企業(yè)網(wǎng)絡(luò)管理上的一些常見但是有威脅性的漏洞。它主要包括以下內(nèi)容: 1)隨著企業(yè)局域網(wǎng)的不斷應(yīng)用.應(yīng)當(dāng)同步規(guī)劃網(wǎng)絡(luò)安全體系的技術(shù)更新同時.為了避免在緊急情況下.預(yù)先制定的安全體系無法發(fā)揮作用時.應(yīng)考慮采用何種應(yīng)急方案的問題應(yīng)急方案應(yīng)該事先制訂并貫徹到企業(yè)各部門.事先做好多級的安全響應(yīng)方案.才能在企業(yè)網(wǎng)絡(luò)遇到毀滅性破壞時將損失降低到最低.并能盡快恢復(fù)網(wǎng)絡(luò)到正常狀態(tài);2)扎實做好網(wǎng)絡(luò)安全的基礎(chǔ)防護工作:①服務(wù)器應(yīng)當(dāng)安裝干凈的操作系統(tǒng).不需要的服務(wù)一律不裝.同時要重視網(wǎng)絡(luò)終端的安全配置.防止它們成為黑客和病毒的跳板:②遵循“用戶權(quán)限最小化”的網(wǎng)絡(luò)配置原則.設(shè)置重要文件的訪問權(quán)限.關(guān)閉不必要的端口,專用主機只開專用功能等;③下載安裝最新的操作系統(tǒng)、應(yīng)用軟件和升級補丁對系統(tǒng)進行完整性檢查.定期檢查用戶的脆弱口令.并通知用戶盡快修改:④制定完整的系統(tǒng)數(shù)據(jù)備份計劃.并嚴(yán)格實施,確保系統(tǒng)數(shù)據(jù)庫的可靠性和完整性:3)對各類惡意攻擊要有積極的響應(yīng)措施制定詳盡的入侵應(yīng)急措施以及匯報制度。發(fā)現(xiàn)入侵跡象.盡力定位入侵者的位置,如有必要。斷開網(wǎng)絡(luò)連接在服務(wù)主機不能繼續(xù)服務(wù)的情況下.應(yīng)該有能力從備份磁盤中恢復(fù)服務(wù)到備份主機上; 4)建立完善的日志監(jiān)控措施,加強日志記錄.以報告網(wǎng)絡(luò)的異常以及跟蹤入侵者的蹤跡;(5)制定并貫徹安全管理制度。如制定計算機安全管理制度、機房管理制度、管理員網(wǎng)絡(luò)維護管理制度等.約束普通用戶等網(wǎng)絡(luò)訪問者.督促管理員很好地完成自身的工作,增強大家的網(wǎng)絡(luò)安全意識.防止因粗心大意或不貫徹制度而導(dǎo)致安全事故.尤其要注意制度的監(jiān)督貫徹執(zhí)行.否則就形同虛設(shè)。
網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,為人們的生活帶來了很多方便,被廣泛應(yīng)用于各個領(lǐng)域和行業(yè)中,但是在網(wǎng)絡(luò)運行過程中,會面臨很多安全威脅,對網(wǎng)絡(luò)安全造成了很大影響。為了應(yīng)對網(wǎng)絡(luò)安全威脅,保證網(wǎng)絡(luò)運行的正常和平穩(wěn),必須以防火墻為核心,構(gòu)建完善的網(wǎng)絡(luò)安全防護體系,為網(wǎng)絡(luò)技術(shù)提供可靠的應(yīng)用環(huán)境。充分發(fā)揮出其應(yīng)用優(yōu)勢和作用。文章分析了網(wǎng)絡(luò)安全面臨的主要威脅,指出了防火墻的重要作用,并對其進行了分類,對以防火墻為基礎(chǔ)的網(wǎng)絡(luò)安全防火方法進行了分析討論。
【關(guān)鍵詞】
防火墻;網(wǎng)絡(luò)安全;主要威脅;分類;防護方法
防火墻的構(gòu)成包括硬件設(shè)備和軟件技術(shù)兩部分,其主要作用是在不同網(wǎng)絡(luò)之間形成一層屏障,通過對傳輸信息的篩選及判別,對訪問權(quán)限進行限制,避免出現(xiàn)非法入侵現(xiàn)象,以此來保證網(wǎng)絡(luò)安全。防火墻主要是由服務(wù)訪問規(guī)則、驗證工具、過濾網(wǎng)以及應(yīng)用網(wǎng)關(guān)四部分組成,在這四部分的的協(xié)同作用下,能夠最大限度的保證網(wǎng)絡(luò)運行安全。隨著網(wǎng)絡(luò)計算機技術(shù)的迅速發(fā)展,以防火墻為基礎(chǔ),結(jié)合其他安全防護技術(shù)構(gòu)建網(wǎng)絡(luò)安全防護體系,已經(jīng)成為應(yīng)用網(wǎng)絡(luò)技術(shù)的必然要求,對營造安全、有序的網(wǎng)絡(luò)環(huán)境具有重要意義。
1.網(wǎng)絡(luò)安全面臨的主要威脅
網(wǎng)絡(luò)技術(shù)在飛速發(fā)展的同時,也面臨著不同方面的安全威脅,對威脅因素進行總結(jié),可以將其分為人為失誤、惡意攻擊以及系統(tǒng)漏洞三種。
1.1人為失誤
網(wǎng)絡(luò)系統(tǒng)的運行需要專業(yè)技術(shù)人員來操作完成,但是因為系統(tǒng)的復(fù)雜性以及技術(shù)人員的個人原因,經(jīng)常出現(xiàn)操作不當(dāng)或者操作失誤,導(dǎo)致密碼或者信息泄露;技術(shù)人員設(shè)置的密碼以及口令比較簡單,外人很容易便能破解,網(wǎng)絡(luò)安全度較低;人員管理比較混亂,經(jīng)常出現(xiàn)多人使用相同的賬號,訪問權(quán)限劃分不清,相關(guān)責(zé)任得不到落實。
1.2惡意攻擊
網(wǎng)上信息資源豐富,很多內(nèi)容都涉及到個人、企業(yè)以及國家的機密,一些不法分子為了達(dá)到某種目的,獲取其中的信息,便對網(wǎng)絡(luò)系統(tǒng)進行惡意攻擊或者非法入侵,造成信息泄露,對用戶造成了嚴(yán)重的損失。除此之外,一些系統(tǒng)軟件中會帶有木馬病毒,用戶在安裝之后,所用計算機便會遭到木馬病毒攻擊,不利于網(wǎng)絡(luò)安全,自身信息安全得不到保證。
1.3系統(tǒng)漏洞
系統(tǒng)漏洞是系統(tǒng)不夠完善造成的,這是在對網(wǎng)絡(luò)系統(tǒng)進行設(shè)計時無法避免的問題。網(wǎng)絡(luò)技術(shù)不可能是完美無缺的,并且其發(fā)展更新速度較快,很難實現(xiàn)系統(tǒng)與技術(shù)的同步更新,網(wǎng)絡(luò)系統(tǒng)在使用過程中便會逐漸暴露出很多不足之處,出現(xiàn)各種漏洞,這些漏洞給了不法分子可乘之機,嚴(yán)重威脅了網(wǎng)絡(luò)安全。
2.防火墻的重要作用及其分類
2.1防火墻的重要作用
基于網(wǎng)絡(luò)安全所面臨的眾多威脅,經(jīng)過科研人員的長期研究開發(fā),逐漸形成了以防火墻為核心的網(wǎng)絡(luò)安全防護體系,在保證網(wǎng)絡(luò)運行安全方面發(fā)揮了重要作用。通過將防火墻應(yīng)用于因特網(wǎng)中,在對內(nèi)部網(wǎng)絡(luò)形成保護的同時,還能夠加強對內(nèi)部系統(tǒng)的控制,除此之外還可以對內(nèi)部信息進行加密。首先,利用防火墻可以提高內(nèi)部網(wǎng)絡(luò)的安全系數(shù),通過在防火墻中設(shè)置訪問權(quán)限以及用戶識別,能夠依據(jù)相關(guān)指令對外來訪問人員進行審核,對外部信息進行篩選,可以更好的抵御外來攻擊,保證內(nèi)部網(wǎng)絡(luò)免受非法入侵,形成有效的保護作用。同時,防火墻作為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間保護屏障,能夠?qū)?nèi)在網(wǎng)點訪問進行限制,根據(jù)其安全運行的要求,將一些非必要訪問過濾掉,加強了對內(nèi)部系統(tǒng)的控制,能夠有效保證網(wǎng)絡(luò)安全。并且利用防火墻可以對內(nèi)部網(wǎng)絡(luò)信息進行加密,通過設(shè)置訪問權(quán)限對訪問人員進行限制,再結(jié)合各種加密技術(shù)形成全面保護,更好的抵御不法分子以及病毒木馬的入侵,避免內(nèi)部網(wǎng)絡(luò)信息發(fā)生泄密現(xiàn)象。
2.2防火墻的分類
防火墻包括很多種類,以應(yīng)用屬性為分類標(biāo)準(zhǔn),可以將其分為地址轉(zhuǎn)化型、包過濾型、監(jiān)測型以及型四種,不同種類的防火墻工作原理是不一樣的,要進行具體分析。地址轉(zhuǎn)化性防火墻的技術(shù)核心是偽裝IP,通過利用公共IP將臨時IP、外部IP等進行轉(zhuǎn)化,將真實IP隱藏起來,進而完成信息傳輸過程,防治IP地址被人跟蹤。包過濾型防火墻是利用網(wǎng)絡(luò)數(shù)據(jù)的分包特征,對其數(shù)據(jù)信息進行篩選、過濾,以包為單位完成數(shù)據(jù)傳輸,能夠加強對數(shù)據(jù)傳輸?shù)目刂疲乐钩霈F(xiàn)惡意信息。監(jiān)測型防火墻最大的特點是主動性和靈活性,能夠?qū)W(wǎng)絡(luò)系統(tǒng)運行情況進行實時監(jiān)測,可以及時發(fā)現(xiàn)異?,F(xiàn)象并進行迅速反應(yīng),具有較強的安全防護能力,能夠主動阻斷網(wǎng)絡(luò)攻擊。型防火墻是在包過濾防火墻的基礎(chǔ)上發(fā)展而來的,兩者的最大區(qū)別是所作用的網(wǎng)絡(luò)層次不同,分別作用與應(yīng)用層與網(wǎng)絡(luò)層,利用型防火墻大大提高了網(wǎng)絡(luò)安全防護能力,對抵御網(wǎng)絡(luò)攻擊具有重要作用。
3.以防火墻為基礎(chǔ)的網(wǎng)絡(luò)安全防護方法
在以防火墻為基礎(chǔ)構(gòu)建網(wǎng)絡(luò)安全防護體系的時候,需要將其分別應(yīng)用于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)中,從不同角度以及層面保證網(wǎng)絡(luò)安全,除此之外還需要針對其中的不足之處進行優(yōu)化改善,以便更好的發(fā)揮出其技術(shù)優(yōu)勢。
3.1應(yīng)用于內(nèi)部網(wǎng)絡(luò)中
在內(nèi)部網(wǎng)路應(yīng)用防火墻時,其位安裝位置通常情況下都是選在Web入口處的,能夠?qū)ν鈦硇畔⒁约霸L問人員進行識別、篩選,然后根據(jù)系統(tǒng)設(shè)定的標(biāo)準(zhǔn)和權(quán)限,對外來信息以及訪問人員進行限制,使用戶在規(guī)定的權(quán)限內(nèi)、按照所對應(yīng)的訪問路徑進行訪問,進而實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的控制,使內(nèi)部網(wǎng)絡(luò)更加有條不紊的運行,能夠有效避免出現(xiàn)系統(tǒng)漏洞。通過防火墻可以根據(jù)內(nèi)網(wǎng)行為特性對其進行識別、認(rèn)證,進而按照連接規(guī)則進行準(zhǔn)確連接,保證了連接的正確性以及有序性;同時還能對訪問請求進行記錄,以此為依據(jù)生成安全策略,實現(xiàn)對內(nèi)網(wǎng)運行的集中化管理和控制,使內(nèi)網(wǎng)按照公共策略服務(wù)運行,降低風(fēng)險出現(xiàn)概率。
3.2應(yīng)用于外部網(wǎng)絡(luò)中
將防火墻應(yīng)用于外部網(wǎng)絡(luò)時,必須保證能夠?qū)ν獠烤W(wǎng)絡(luò)所有行為活動進行監(jiān)控。對于外部網(wǎng)絡(luò)來說,防火墻就像是一把打開內(nèi)網(wǎng)的鑰匙,只有獲取防火墻的授權(quán)時候,外部網(wǎng)絡(luò)才能夠與內(nèi)部網(wǎng)絡(luò)實現(xiàn)連接并進行訪問,當(dāng)發(fā)現(xiàn)外部網(wǎng)絡(luò)出現(xiàn)非法入侵的時候,防火墻可以斷絕內(nèi)網(wǎng)與其聯(lián)系。在防火墻的阻隔保護作用下,外部網(wǎng)絡(luò)是無法輕易進入到內(nèi)部網(wǎng)絡(luò)的,利用防火墻對外網(wǎng)行為進行監(jiān)視并生成日志,當(dāng)外網(wǎng)想要進入內(nèi)網(wǎng)時,可以對日志進行分析來判斷其是否帶有攻擊性,進而決定內(nèi)網(wǎng)是否對外網(wǎng)開放,以此來保證內(nèi)部網(wǎng)絡(luò)的安全。
3.3防火墻的優(yōu)化措施
因為防火墻在網(wǎng)絡(luò)安全防護中所表現(xiàn)出的巨大優(yōu)勢,以及所發(fā)揮出的重要作用,已經(jīng)成為網(wǎng)絡(luò)安全防護體系的重要組成部分,為了更好的將其加以利用,需要對防火墻進行技術(shù)優(yōu)化和創(chuàng)新,為網(wǎng)絡(luò)安全提供更加可靠的保證。首先應(yīng)該在保證防火墻基本功能的基礎(chǔ)上,降低技術(shù)成本,避免其超過網(wǎng)絡(luò)威脅的損失成本;其次是要強化防火墻自身安全,規(guī)范配置設(shè)計,深入研究防火墻的運行實質(zhì),手動更改防護參數(shù),排除防火墻自帶的漏洞;最后要構(gòu)建防火墻平臺,加強對防火墻的管控力度,使其運行更加規(guī)范、有序,提高其應(yīng)用性能。
4.結(jié)束語
隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展以及其應(yīng)用優(yōu)勢,在未來的發(fā)展中其應(yīng)用范圍必將會進一步擴大,保證網(wǎng)絡(luò)安全是一項非常重要且必要的工作。因為防火墻在網(wǎng)絡(luò)安全防護中的所發(fā)揮出的巨大作用,必須加大研究開發(fā)力度,以防火墻為基礎(chǔ)構(gòu)建網(wǎng)絡(luò)安全防護體系,通過將其應(yīng)用于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)中,并不斷進行優(yōu)化完善,充分發(fā)揮出其價值和作用,加強對網(wǎng)絡(luò)數(shù)據(jù)信息的保護,提高網(wǎng)絡(luò)系統(tǒng)的安全系數(shù),為用戶提供更加可靠、放心的網(wǎng)路環(huán)境,為網(wǎng)絡(luò)技術(shù)的健康、穩(wěn)定發(fā)展提供有力保障。
作者:汪小芝 單位:四川城市職業(yè)學(xué)院
參考文獻(xiàn)
[1]高婷.基于防火墻屏障的網(wǎng)絡(luò)防范技術(shù)探究[J].硅谷,2012(23):17-17.
關(guān)鍵詞:網(wǎng)絡(luò)安全;設(shè)計原則;策略
隨著云計算在網(wǎng)絡(luò)中的出現(xiàn),網(wǎng)絡(luò)安全系統(tǒng)建設(shè)問題是各種Internet服務(wù)提供商非常重視的問題,由于網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計工程具有整體性和動態(tài)性的顯著特征,本文進行網(wǎng)絡(luò)安全系統(tǒng)設(shè)計所采用的網(wǎng)絡(luò)層安全防護技術(shù)主要包括:網(wǎng)絡(luò)層防火墻技術(shù)、入侵檢測IDS技術(shù)、漏洞檢測技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、實時監(jiān)控與恢復(fù)、安全事件緊急響應(yīng)體系等。這些安全防護技術(shù)可以有效地保障網(wǎng)絡(luò)網(wǎng)絡(luò)基礎(chǔ)和結(jié)構(gòu)。除了網(wǎng)絡(luò)層的安全防護技術(shù)外,在應(yīng)用層也采用了安全防護技術(shù),主要通過設(shè)計應(yīng)用層安全防護架構(gòu)實現(xiàn),此防護安全架構(gòu)分成若干個不同的層次,它的特點主要體現(xiàn)在多層次、多方面、立體型的層次結(jié)構(gòu)??傮w來說,這個應(yīng)用層安全防護架構(gòu)由安全策略指導(dǎo)、安全標(biāo)準(zhǔn)規(guī)范、安全防范技術(shù)、安全管理保障等幾個部分組成。這種應(yīng)用層的防護體系主要保障網(wǎng)絡(luò)用戶各項業(yè)務(wù)方面的安全。因此,網(wǎng)絡(luò)應(yīng)該建立實施完善的網(wǎng)絡(luò)層安全防護措施的同時再設(shè)計實施基于Web應(yīng)用的應(yīng)用層安全防護,從根本上全面和有效的保障用戶系統(tǒng)和用戶業(yè)務(wù)的安全性。
一、安全體系設(shè)計原則
專業(yè)性和規(guī)范性設(shè)計原則,在網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)中,網(wǎng)絡(luò)攻擊技術(shù)和網(wǎng)絡(luò)防御技術(shù)是網(wǎng)絡(luò)信息安全的一對矛盾體,兩種技術(shù)從不同的角度不斷地對網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)的安全提出了很大挑戰(zhàn),專業(yè)技術(shù)人員只有掌握了這兩種技術(shù)才能對網(wǎng)絡(luò)系統(tǒng)的安全有全面的認(rèn)識,才能提供有效的安全技術(shù)、產(chǎn)品和服務(wù),這就需要相關(guān)專業(yè)技術(shù)人才具有很強的專業(yè)性,并能長期的進行網(wǎng)絡(luò)網(wǎng)絡(luò)安全技術(shù)研究并積累經(jīng)驗,從而系統(tǒng)、全面和深入地為用戶提供服務(wù)。
本次網(wǎng)絡(luò)的安全體系所涉及的所有網(wǎng)絡(luò)安全的概念、系統(tǒng)定義和體系思想等都是參考目前國內(nèi)和國際有關(guān)網(wǎng)絡(luò)安全的專業(yè)規(guī)范制定的,均符合相關(guān)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),這樣可以充分確保網(wǎng)絡(luò)安全體系設(shè)計的技術(shù)深度和專業(yè)性。
綜合性和整體性安全性設(shè)計原則,實踐證明,一個較好的安全措施往往是多種有效的方法進行恰當(dāng)綜合應(yīng)用的結(jié)果,因為在網(wǎng)絡(luò)網(wǎng)絡(luò)中包括個人、設(shè)備、軟件、數(shù)據(jù)和策略等這些環(huán)節(jié)都具有一定的地位和影響作用,只有從網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)綜合整體的角度去看待、分析和設(shè)計,才能取得最有效和可行性強的安全措施。因此,網(wǎng)絡(luò)網(wǎng)絡(luò)安全設(shè)計必須遵循綜合性和整體性安全設(shè)計原則,并根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)網(wǎng)絡(luò)安全體系結(jié)構(gòu)。
需求風(fēng)險和代價互相平衡的設(shè)計原則,在當(dāng)今的互聯(lián)網(wǎng)環(huán)境下,對任何一個網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)來說,要在各個方面保證其絕對安全基本上是難以實現(xiàn)的,當(dāng)然絕對的網(wǎng)絡(luò)安全也不一定是必需的。在對網(wǎng)絡(luò)的安全設(shè)計中,采用了需求、風(fēng)險和代價互相平衡的設(shè)計原則,即在設(shè)計時要求對網(wǎng)絡(luò)的任務(wù)、性能、結(jié)構(gòu)、可靠性和可維護性等方面進行實際研究,并對網(wǎng)絡(luò)可能面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析方法,然后再制定安全設(shè)計的規(guī)范和措施,具體包括以下方面的安全設(shè)計原則。
一致性安全設(shè)計原則,網(wǎng)絡(luò)安全系統(tǒng)設(shè)計的一致性原則主要是指網(wǎng)絡(luò)網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)網(wǎng)絡(luò)的生命周期同時存在,制定的網(wǎng)絡(luò)安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)系統(tǒng)的安全需求相一致。網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計及實施計劃、網(wǎng)絡(luò)測試、驗收、運行等方面都有相應(yīng)的一致性的安全內(nèi)容及措施。
易操作性安全設(shè)計原則,網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計采用了易操作性原則,因為措施需要人為去完成,如果安全設(shè)計措施過于復(fù)雜,對技術(shù)人員的要求過高,那么本身就降低了安全性。而且安全設(shè)計措施的采用不能影響系統(tǒng)的正常運行。
可擴展性安全設(shè)計原則,網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計采用了可擴展性原則,因為在進行安全系統(tǒng)設(shè)計時,必須要考慮到網(wǎng)絡(luò)系統(tǒng)的性質(zhì)、規(guī)模和結(jié)構(gòu)等多方面發(fā)生變化的可能性,為網(wǎng)絡(luò)系統(tǒng)擴充留下相當(dāng)?shù)娜哂喽?。并且,在安全防護體系思想的指導(dǎo)下,網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計和實施都可以采取更新的安全技術(shù)和更換性能更強的網(wǎng)絡(luò)產(chǎn)品,或者可以通過網(wǎng)絡(luò)拓?fù)涞臄U充來對網(wǎng)絡(luò)的安全功能進行擴展。
多重保護安全設(shè)計原則,網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計也采用了多重保護的安全設(shè)計原則,因為互聯(lián)網(wǎng)的復(fù)雜程度越來越高,任何安全措施都不可能保證網(wǎng)絡(luò)的絕對安全,都是有可能被攻破的??茖W(xué)的方法是設(shè)計一個多重保護的網(wǎng)絡(luò)系統(tǒng),實現(xiàn)針對網(wǎng)絡(luò)層和應(yīng)用層的保護相互補充,可以有效保證當(dāng)其中一層安全保護被攻破時,另外一層的保護仍可確保網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)信息的安全。
可管理性安全設(shè)計原則,網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計,往往會由于網(wǎng)絡(luò)管理內(nèi)部的管理制度不完善,或者職責(zé)劃分的不明確的問題導(dǎo)致在設(shè)計時采取的安全設(shè)計技術(shù)和安全設(shè)備不能很好地發(fā)揮安全保護的作用。網(wǎng)絡(luò)采用的可管理的安全設(shè)計原則是建立一個動態(tài)的、可控的安全體系結(jié)構(gòu),保證網(wǎng)絡(luò)管理人員在一套合理的安全規(guī)范的指導(dǎo)下可以完全管理網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)的安全。這樣就可以有效地保證對安全設(shè)備和安全技術(shù)進行利用與管理,使得整個網(wǎng)絡(luò)網(wǎng)絡(luò)的安全性是可控制和可管理的。
業(yè)務(wù)連續(xù)性安全設(shè)計原則,網(wǎng)絡(luò)的安全設(shè)計保證了其業(yè)務(wù)的連續(xù)性,網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實現(xiàn)不可避免地會涉及到原有的業(yè)務(wù)系統(tǒng),業(yè)務(wù)連續(xù)性安全設(shè)計原則要求新增加的安全系統(tǒng)不會影響原有網(wǎng)絡(luò)系統(tǒng)的安全性、完整性、保密性和可用性,有效保證網(wǎng)絡(luò)所有業(yè)務(wù)的連續(xù)性。
動態(tài)性安全設(shè)計原則,通過網(wǎng)絡(luò)的安全問題顯示計算機網(wǎng)絡(luò)安全的發(fā)展是動態(tài)的,這就要求對其實施的相應(yīng)的防御體系也是動態(tài)的。隨計算機網(wǎng)絡(luò)的脆弱性特別是WEB應(yīng)用脆弱性的改變和黑客的計算機網(wǎng)絡(luò)攻擊技術(shù)的不斷發(fā)展和變化,在進行網(wǎng)絡(luò)的安全系統(tǒng)設(shè)計時應(yīng)該及時并不斷地完善和改進網(wǎng)絡(luò)系統(tǒng)的安全防護措施。
二、安全設(shè)計策略
網(wǎng)絡(luò)作為大量數(shù)據(jù)信息集中的中心,有著不同的承載數(shù)據(jù)的對象,通過對網(wǎng)絡(luò)的安全分析,在網(wǎng)絡(luò)中傳輸?shù)牟煌臄?shù)據(jù)類型和服務(wù)對象所遇到的網(wǎng)絡(luò)安全威脅也不一樣,因此,針對不同網(wǎng)絡(luò)安全威脅所采用相應(yīng)的安全防范措施也不盡相同,比如:針對在網(wǎng)絡(luò)中托管的服務(wù)器經(jīng)常受到系統(tǒng)漏洞和非授權(quán)連接等威脅,通常采用部署網(wǎng)絡(luò)層防火墻、身份認(rèn)證和漏洞掃描的安全設(shè)計策略,根據(jù)網(wǎng)絡(luò)中的不同對象受到的不同網(wǎng)絡(luò)安全威脅的實際情況確定了相應(yīng)的安全措施。
針對網(wǎng)絡(luò)的實際情況,在網(wǎng)絡(luò)層和應(yīng)用層實施網(wǎng)絡(luò)安全系統(tǒng)設(shè)計的時候有針對性的采用高效的安全設(shè)計策略,同時采用多層防御的方法,通過對網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整和網(wǎng)絡(luò)網(wǎng)絡(luò)產(chǎn)品部署,并輔助以配置安全策略服務(wù)和結(jié)合安全管理手段,最終在網(wǎng)絡(luò)層和應(yīng)用層形成系統(tǒng)的、動態(tài)的、可持續(xù)的安全防御體系。而且在網(wǎng)絡(luò)安全產(chǎn)品選型時要遵守以下策略。
在網(wǎng)絡(luò)安全產(chǎn)品選型時,需要廠家可以提供客戶化支持的網(wǎng)絡(luò)產(chǎn)品。只有這樣才能保證網(wǎng)絡(luò)系統(tǒng)的安全是可以用戶化的,才能有針對性的為用戶的應(yīng)用和企業(yè)的業(yè)務(wù)提供安全保證。網(wǎng)絡(luò)網(wǎng)絡(luò)安全產(chǎn)品可以隨時根據(jù)企業(yè)用戶的需求進行相應(yīng)的改進,從而更加適合企業(yè)用戶的實際需要。
需要網(wǎng)絡(luò)產(chǎn)品廠家可以提供本地化服務(wù)的產(chǎn)品。只有這樣才能保證遇到問題時能夠以最快的速度提供應(yīng)急響應(yīng)的服務(wù),從而有效的實現(xiàn)對企業(yè)用戶應(yīng)用和企業(yè)業(yè)務(wù)的服務(wù)保證。
在選擇網(wǎng)絡(luò)網(wǎng)絡(luò)產(chǎn)品時除了必須通過國家主管部門和權(quán)威機構(gòu)的評測外,還需要通過專業(yè)評測機構(gòu)以及網(wǎng)絡(luò)行業(yè)用戶的評測。
在選擇產(chǎn)品時需要符合相應(yīng)的國際和國內(nèi)的相關(guān)標(biāo)準(zhǔn),尤其是國內(nèi)相關(guān)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。比如國內(nèi)的安全等級標(biāo)準(zhǔn)、安全漏洞標(biāo)準(zhǔn),網(wǎng)絡(luò)安全標(biāo)準(zhǔn)以及國際安全標(biāo)準(zhǔn)。
目前,政府網(wǎng)站系統(tǒng)在安全策略的配置、補丁的及時更新、網(wǎng)絡(luò)安全產(chǎn)品的部署、防病毒軟件的升級方面還存在一些問題,加上政府網(wǎng)站數(shù)據(jù)備份意識薄弱,必然給網(wǎng)站運行帶來很大的安全隱患?;诨ヂ?lián)網(wǎng)架構(gòu)的政府網(wǎng)站,安全防護體系的建立引起國家安全部門和有關(guān)安全專家格外關(guān)注,解決政府網(wǎng)站的安全運營已經(jīng)刻不容緩。但是,政府網(wǎng)站在紛紛尋找保護自己的“軟衛(wèi)甲”時,容易操之過急,還沒有做系統(tǒng)的設(shè)計規(guī)劃就匆忙動手,結(jié)果必然達(dá)不到理想效果。政府采購中門戶網(wǎng)站的安全項目招標(biāo)比例逐年增加,在招標(biāo)前一定要從現(xiàn)狀出發(fā),制定出一套好的策略規(guī)劃。
政府網(wǎng)站
6大安全隱患
目前我國政府網(wǎng)站的擁有率已經(jīng)達(dá)到較高的水平,其中國家部委單位政府網(wǎng)站的擁有率為96.1%,省級、地市級、縣級三級政府網(wǎng)站擁有率分別為90.3%、94.9%和77.7%。由于某些部門對政府網(wǎng)站安全缺乏足夠認(rèn)識,許多地方政府網(wǎng)站的安全防護體系建設(shè)都十分脆弱,其應(yīng)急響應(yīng)能力也很薄弱。面對漏洞信息的分析和處理缺乏必要的認(rèn)識和判別,這無異于將重要信息暴露于外。正如很多業(yè)內(nèi)專家所指出的那樣: 網(wǎng)頁頻遭篡改暴露出了政府網(wǎng)站重形式、輕安全的問題。
我國90%以上的政府網(wǎng)站存在各種各樣的安全漏洞,很多網(wǎng)站都曾受到過黑客的攻擊和計算機病毒的侵害,給國家造成了較大的損失。政府網(wǎng)站安全主要存在以下幾方面問題:
1. 政府網(wǎng)站的網(wǎng)絡(luò)與信息安全防護能力仍處于“初級階段”,尚未形成科學(xué)、完整、高效、統(tǒng)一的網(wǎng)站安全保障體系。目前,許多網(wǎng)站的政務(wù)信息應(yīng)用系統(tǒng)處于“不設(shè)防”狀態(tài)。
2. 目前政府網(wǎng)站的安全防護要么完全沒有部署安全產(chǎn)品,要么僅靠幾個安全設(shè)備來“維持”安全,沒有形成多個安全產(chǎn)品兼容、聯(lián)動、動態(tài)的防護體系。
3. 目前政府網(wǎng)站的安全是只重視“局部”,輕視“全局”防護,沒有從網(wǎng)站的物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、病毒防治、冗余備份等安全防護體系來整體規(guī)劃部署。
4. 大多數(shù)政府網(wǎng)站缺少安全管理體系,安全意識薄弱,職責(zé)不到位,沒有安全應(yīng)急流程和預(yù)案,導(dǎo)致發(fā)現(xiàn)安全問題時不能及時、有效地解決。
5. 大多數(shù)政府網(wǎng)站沒有通過實施“電子政務(wù)信息安全等級保護”來綜合考慮網(wǎng)站的安全防護體系,缺乏網(wǎng)站的安全風(fēng)險與評估體系。
6. 目前大多數(shù)政府網(wǎng)站缺乏自主創(chuàng)新的國產(chǎn)核心安全產(chǎn)品和安全防護體系解決方案。
防止“病從口入”
政務(wù)信息防護體系包含安全性防護、保密性防護、完整性防護、可信性防護和健康性防護等方面。
政府網(wǎng)站是各級人民政府在國際互聯(lián)網(wǎng)上政府信息和提供在線服務(wù)的綜合平臺,不僅體現(xiàn)了各級人民政府為人民服務(wù)的宗旨,更代表著政府的形象。政府網(wǎng)站的安全防護體系與其他信息安全防護相比,有其自身的特點。
1. 網(wǎng)站的信息加載和安全防護。
網(wǎng)站信息需要不時更新,由于信息加載人員是基于互聯(lián)網(wǎng)上網(wǎng),因此采用VPN接入、CA證書以及權(quán)限限制等安全技術(shù),保證信息加載過程中信息的完整性。信息加載人員還應(yīng)嚴(yán)格按照網(wǎng)站信息采集、編校、審核和報送工作流程,執(zhí)行國家有關(guān)計算機網(wǎng)絡(luò)運行安全、保密規(guī)定,嚴(yán)禁信息、有害信息上網(wǎng),按照“先審查,后; 誰,誰負(fù)責(zé)”的原則,確保信息的真實性和合法性。
2. 網(wǎng)站的Web服務(wù)器安全防護。
網(wǎng)站的前臺服務(wù)器需要通過安全技術(shù)手段實現(xiàn)同后臺數(shù)據(jù)庫的邏輯隔離; 服務(wù)器可以采用多臺硬件服務(wù)器,實現(xiàn)負(fù)載均衡和相互備份的功能。服務(wù)器的操作系統(tǒng)安全等級高低依次為Unix、Linux和Windows,采用安全的Web服務(wù)器(Apache、Tomcat、IIS等)進行網(wǎng)站信息,還應(yīng)在服務(wù)器上安裝網(wǎng)頁防篡改系統(tǒng)等安全產(chǎn)品,確保網(wǎng)站正常、安全、穩(wěn)定地運行。
3. 網(wǎng)站的應(yīng)用系統(tǒng)安全防護。
網(wǎng)站的應(yīng)用包括郵件、視頻、信息報送、在線訪談、信息公開、網(wǎng)上申報審批等,應(yīng)用系統(tǒng)的安全防護也是比較重要的。應(yīng)用軟件的安全性要保證運行穩(wěn)定可靠,有較好的容錯性,應(yīng)用軟件應(yīng)該經(jīng)過充分測試,不會由于誤操作而出現(xiàn)系統(tǒng)崩潰的現(xiàn)象。還要注意加強應(yīng)用系統(tǒng)產(chǎn)品化的采購和使用,這樣可以確保網(wǎng)站應(yīng)用的安全可靠。
4. 網(wǎng)站的運行維護管理安全防護。
當(dāng)網(wǎng)站的安全技術(shù)手段和措施到位后,網(wǎng)站的管理就顯得特別重要。要保障網(wǎng)站的日常運維,充分發(fā)揮安全技術(shù)人員的主觀能動性,定期檢查安全技術(shù)和措施有沒有發(fā)揮作用,存在哪些安全漏洞和隱患,以及如何解決等一系列問題。政府部門應(yīng)定期進行網(wǎng)站安全的風(fēng)險評估,加強應(yīng)急預(yù)案的演練,防患于未然。
P2DR
動態(tài)防護模型
政府網(wǎng)站系統(tǒng)應(yīng)在最危險的地方設(shè)防,并時刻采取相應(yīng)的檢測機制,及時修補和加固安全漏洞。這種安全防護思想就是“動態(tài)安全防護體系”,由此提出了P2DR模型: Policy(安全策略)、Protection(防護)、Detection(檢測)、Response(響應(yīng))。
P2DR模型由防護、檢測和響應(yīng)組成一個完整、動態(tài)的安全循環(huán),在安全策略的指導(dǎo)下保證網(wǎng)站信息系統(tǒng)的安全,P2DR安全模型的特點就是動態(tài)性和基于時間的特性。
Policy: “安全策略”是P2DR安全模型的核心,所有的防護、檢測、響應(yīng)都是依據(jù)安全策略實施的,企業(yè)安全策略為安全管理提供管理方向和支持手段。策略體系的建立包括安全策略的制訂、評估、執(zhí)行,制定可行的安全策略取決于對網(wǎng)絡(luò)信息系統(tǒng)的了解程度。
Protection: 防護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實現(xiàn)的,主要有防火墻、加密、認(rèn)證等方法。
Detection: 在P2DR模型中,“檢測”是非常重要的一個環(huán)節(jié),“檢測”是動態(tài)響應(yīng)和加強防護的依據(jù),它也是強制落實安全策略的有力工具,通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)和網(wǎng)站系統(tǒng),來發(fā)現(xiàn)新的威脅和弱點,并通過循環(huán)反饋來及時做出有效的響應(yīng)。網(wǎng)站的安全風(fēng)險是實時存在的,所以我們檢測的對象應(yīng)該主要針對構(gòu)成安全風(fēng)險的兩個部分: 系統(tǒng)自身的脆弱性及外部威脅。
Response: “緊急響應(yīng)”在網(wǎng)站安全系統(tǒng)中占有最重要的地位,是解決潛在安全問題最有效的辦法。從某種意義上講,安全問題就是要解決緊急響應(yīng)和異常處理問題。要解決好緊急響應(yīng)問題,就要制定好緊急響應(yīng)的方案,做好緊急響應(yīng)方案中的一切準(zhǔn)備工作。
安全防護體系
策略規(guī)劃
根據(jù)網(wǎng)站群系統(tǒng)安全防護需要,應(yīng)從物理安全、系統(tǒng)平臺、系統(tǒng)安全、應(yīng)用安全和內(nèi)容安全等方面進行相關(guān)安全策略的規(guī)劃。
物理安全防護
這里主要是指放置政府網(wǎng)站各種設(shè)備和線路的機房環(huán)境要求,它是建立網(wǎng)站安全防護體系的基礎(chǔ)。機房的空調(diào)、UPS、監(jiān)控系統(tǒng)、通信線路、布線系統(tǒng)等基礎(chǔ)設(shè)施都必須符合國家有關(guān)標(biāo)準(zhǔn)和安全要求,政府網(wǎng)站的安全防護體系才會有很好的“安全根基”。選購網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及服務(wù)器和各類終端時,建議要盡量選用國產(chǎn)化技術(shù)和國內(nèi)公司的產(chǎn)品,特別是具有自主知識產(chǎn)權(quán)的安全產(chǎn)品。
系統(tǒng)平臺安全防護
政府網(wǎng)站群平臺系統(tǒng)采用三層結(jié)構(gòu)技術(shù)體系設(shè)計,三層結(jié)構(gòu)技術(shù)將整體應(yīng)用劃分成表現(xiàn)層、業(yè)務(wù)邏輯層、數(shù)據(jù)層。每一層相對獨立,能夠有效地實現(xiàn)安全性、可移植性、擴展性。通過采用三層結(jié)構(gòu)有效地保證各個應(yīng)用層面的可伸縮性。政府網(wǎng)站系統(tǒng)平臺要求較高的安全性設(shè)計,要從數(shù)據(jù)傳輸層安全、數(shù)據(jù)存儲安全、聯(lián)機事務(wù)處理安全、網(wǎng)絡(luò)結(jié)構(gòu)安全等方面進行通盤考慮。使用傳輸層加密協(xié)議、CA認(rèn)證管理、聯(lián)機事務(wù)處理布局、多層防火墻結(jié)構(gòu)聯(lián)合部署的方式來最大程度地保證“政府網(wǎng)站群平臺系統(tǒng)”的安全性防護。
系統(tǒng)安全防護
系統(tǒng)的安全性防護包括操作系統(tǒng)安全性、數(shù)據(jù)庫系統(tǒng)的安全性、服務(wù)器的安全性、應(yīng)用軟件的安全性等,應(yīng)采用主流、安全、標(biāo)準(zhǔn)、可靠的網(wǎng)絡(luò)操作系統(tǒng),從而全面、穩(wěn)妥管理和保護操作系統(tǒng)安全。充分利用大型數(shù)據(jù)庫的安全管理保護機制,實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全; 還應(yīng)定期升級操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全補丁。
應(yīng)用安全防護
政府網(wǎng)站群是在統(tǒng)一的應(yīng)用平臺進行信息,對于應(yīng)用服務(wù)器,應(yīng)采用集群(Cluster)、高可用(HA)系統(tǒng)和負(fù)載均衡等措施,提高整體性能和可靠性,在Web層、應(yīng)用層、數(shù)據(jù)層消除單點故障??赏ㄟ^應(yīng)用層系統(tǒng)管理員的用戶管理、權(quán)限分配、口令管理、臨時賦權(quán)實現(xiàn)各類各級用戶安全訪問體系。管理員通過應(yīng)用系統(tǒng)日志管理實現(xiàn)安全調(diào)查、追蹤和安全評估,以此增強網(wǎng)站應(yīng)用安全性,確保安全的信息訪問和提升網(wǎng)站效率,保障Web服務(wù)應(yīng)用、郵件、視頻、信息報送、在線訪談等政府網(wǎng)站應(yīng)用系統(tǒng)的安全運行。
內(nèi)容安全防護
信息內(nèi)容安全性防護通常包括訪問控制、身份認(rèn)證系統(tǒng)、數(shù)據(jù)備份、網(wǎng)頁防篡改等。合理授權(quán)是政府網(wǎng)站群管理的核心,政府機關(guān)需要對不同的權(quán)屬人員采取不同的授權(quán)。 政府網(wǎng)站需建立統(tǒng)一規(guī)范的信息采集、審核和程序,未經(jīng)審核的信息不得上網(wǎng),加強對網(wǎng)上互動欄目的安全監(jiān)管和維護,確保政府網(wǎng)站安全穩(wěn)定地運行。
常用技術(shù)選擇
在政府網(wǎng)站的安全防護技術(shù)手段中,通常會采用網(wǎng)絡(luò)防火墻、入侵檢測(IDS)、防病毒系統(tǒng)和殺毒網(wǎng)關(guān)、漏洞掃描、防垃圾郵件、網(wǎng)頁防篡改系統(tǒng)、CA認(rèn)證等系統(tǒng)。
雙機熱備的防火墻系統(tǒng)采用IP包過濾、應(yīng)用、地址轉(zhuǎn)換、訪問控制等手段提高防御網(wǎng)絡(luò)黑客攻擊的能力,防火墻系統(tǒng)應(yīng)當(dāng)具備完善的日志記錄和分析功能。
網(wǎng)絡(luò)入侵檢測系統(tǒng)主動監(jiān)視和審計網(wǎng)絡(luò)異常情況,并對網(wǎng)絡(luò)入侵檢測系統(tǒng)的入侵模式規(guī)則庫進行及時更新或者升級,網(wǎng)絡(luò)入侵檢測系統(tǒng)和防火墻系統(tǒng)要能產(chǎn)生聯(lián)動效應(yīng)。
計算機病毒防治系統(tǒng)和殺毒網(wǎng)關(guān) 通過控制信息的出入口,防止病毒入侵并對已經(jīng)入侵的病毒及時進行檢測和清除,病毒防治系統(tǒng)應(yīng)當(dāng)具備定期掃描功能和實時檢測功能。
網(wǎng)絡(luò)設(shè)備及主機漏洞掃描系統(tǒng)通過定期掃描主要網(wǎng)絡(luò)設(shè)備和主機增強安全管理能力,并對掃描系統(tǒng)的漏洞及弱點規(guī)則庫進行及時更新或者升級。
郵件過濾系統(tǒng) 對不同性質(zhì)的非法郵件和可疑郵件做相應(yīng)的處理,封堵垃圾郵件和郵件炸彈,防止惡意使用者利用服務(wù)器大量轉(zhuǎn)發(fā)不良郵件。
網(wǎng)站安全系統(tǒng)防止網(wǎng)絡(luò)黑客對頁面的非法篡改,并使網(wǎng)站具備應(yīng)急恢復(fù)的能力。
CA數(shù)字認(rèn)證系統(tǒng) 加強信息的安全治理,分層規(guī)定網(wǎng)站工作人員的信息維護權(quán)限等。
鏈接一
多層面的政府網(wǎng)站安全防護體系
政府網(wǎng)站應(yīng)當(dāng)從管理、制度、技術(shù)等多層面建立嚴(yán)密可靠的網(wǎng)站安全防護體系。
(1) 建立信息安全管理責(zé)任制,即上網(wǎng)信息的采集、和更新,嚴(yán)格執(zhí)行保密規(guī)定,妥善處理公開與保密的關(guān)系,做到“上網(wǎng)不,不上網(wǎng)”。
(2) 完善各種規(guī)章制度,制定病毒檢查網(wǎng)絡(luò)、安全漏洞監(jiān)測制度、信息審核登記制度、信息監(jiān)視、賬號使用登記和操作權(quán)限管理制度等各項制度,達(dá)到消除安全隱患的目的。
(3)定期對網(wǎng)站進行風(fēng)險評估,制定科學(xué)的事故應(yīng)急預(yù)案、從而盡可能地縮短緊急事故的恢復(fù)時間,減少損失和影響; 同時需建立和完善網(wǎng)站安全運維的應(yīng)急響應(yīng)機制。
(4)在政府網(wǎng)站安全建設(shè)資金有保障的情況下,要盡可能采用先進的技術(shù)、產(chǎn)品和安全策略以及“立體”的網(wǎng)站安全解決方案。
(5)從技術(shù)層面防范病毒侵?jǐn)_和黑客攻擊,增強服務(wù)器安全管理員和網(wǎng)站安全員的責(zé)任意識和技術(shù)能力,堅持7 (天)×24(小時)專職值班,對網(wǎng)站定期檢查,及時發(fā)現(xiàn)安全隱患、及時上報和處理,保證網(wǎng)站的安全運行。建立網(wǎng)站數(shù)據(jù)備份系統(tǒng),定期備份網(wǎng)站重要數(shù)據(jù),從而進一步保障政府網(wǎng)站的信息安全。
鏈接二
政府網(wǎng)站安全防護體系建設(shè)原則
連續(xù)性防護原則
安全防護應(yīng)考慮安全的動態(tài)特性,應(yīng)提供定期的連續(xù)性安全服務(wù),以保障網(wǎng)站應(yīng)用系統(tǒng)的長期安全。
規(guī)范性防護原則
安全防護的實施必須由專業(yè)的安全服務(wù)人員依照規(guī)范的操作流程進行,對操作過程和結(jié)果要有相應(yīng)的記錄,提供完整的服務(wù)報告,提供安全應(yīng)急預(yù)案。
保密性防護原則
對安全防護過程中獲知的網(wǎng)站政務(wù)系統(tǒng)信息均屬秘密信息,不得泄露給第三方單位或個人,不得利用這些信息進行任何侵害政府網(wǎng)站的行為。
完整性防護原則
完整性防護主要是政府網(wǎng)站信息被篡改、丟失等風(fēng)險,要保證網(wǎng)站重要數(shù)據(jù)庫系統(tǒng)的安全,實現(xiàn)數(shù)據(jù)的保密性、完整性和有效性; 確保政府網(wǎng)站數(shù)據(jù)安全的完整性備份。
可信性防護原則
可信性防護是針對政府網(wǎng)站使用不同的終端類型和平臺形式制定出一系列完整規(guī)范,例如個人電腦(包括臺式和移動)、服務(wù)器、網(wǎng)站的網(wǎng)絡(luò)與應(yīng)用軟件等,使政府網(wǎng)站運行在“可信網(wǎng)絡(luò)架構(gòu)”中。