公務員期刊網 精選范文 公司網絡安全方案范文

公司網絡安全方案精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的公司網絡安全方案主題范文,僅供參考,歡迎閱讀并收藏。

公司網絡安全方案

第1篇:公司網絡安全方案范文

關鍵詞:網絡工程;安全防護技術;思考

引言

網絡信息技術的快速普及應用極大地提高了人們的生活和工作效率,但與此同時,由于網絡信息技術自身所具有的開放性、交互性等特征,網絡工程在帶給人們巨大便捷的同時也面臨著日益嚴峻的安全問題。因而如何切實加強網絡工程安全防護,形成和發(fā)展與快速發(fā)展的網絡信息技術相適應的網絡工程安全防護能力,就成為現(xiàn)代社會網絡信息化建設的焦點問題之一。

1網絡工程中存在的主要安全問題

進入新世紀以來,隨著網絡工程的使用進一步走向深層次和綜合化,網絡工程中面臨的安全隱患也進一步加劇,主要表現(xiàn)在以下幾個方面:

1.1云端安全隱患突出

隨著以“互聯(lián)網+”、“云計算”等新興的互聯(lián)網技術的進一步普及應用,各種針對云端的病毒、漏洞等的攻擊也隨之增多,并日益威脅到云端等技術平臺的安全使用,而各種針對云端的網絡攻擊,也給目前逐漸普及應用的云計算等帶來了潛在的危害,例如2011年亞馬遜數(shù)據中心發(fā)生的宕機事故,直接導致大量業(yè)務中斷,而時隔一年之后,亞馬遜的云計算平臺數(shù)據中心再次發(fā)生宕機事故,導致Heroku、Reddit和Flipboard等知名網站和信息服務商受到嚴重影響,而這也已經是過去一年半里亞馬遜云計算平臺發(fā)生的第五次宕機事故,而隨著云計算等的進一步普及,云端安全隱患也將進一步突出。

1.2網絡安全攻擊事件頻發(fā)

網絡安全攻擊事件頻發(fā)是近年來網絡工程所遭遇的最為顯著和嚴重的安全問題之一,數(shù)據顯示,僅在2015年,全球就發(fā)生的各種網絡安全攻擊事件就超過了一萬件次,直接經濟損失高達兩千億美元,例如2015年5月27日,美國國家稅務總局遭遇黑客襲擊,超過十萬名美國納稅人的信息被盜取,直接經濟損失高達5000萬美元;2015年12月1日,香港偉易達公司遭遇黑客襲擊,導致全球超過500萬名消費者的資料被泄露,可以想見,隨著未來網絡技術的快速發(fā)展,網絡安全保護的形勢還將進一步嚴峻化。

1.3移動設備及移動支付的安全問題加劇

隨著互聯(lián)網技術的飛速發(fā)展,現(xiàn)代社會已經逐漸進入到了“無現(xiàn)金”時代,移動設備的進一步普及以及移動支付的出現(xiàn)使得人們的日常消費活動更為便捷,但與此同時,各種移動支付和移動設備的安全問題也隨之開始浮出水面,目前來看,移動支付過程匯總所面臨的安全問題主要體現(xiàn)在兩個方面:一是利用移動終端進行支付的過程中面臨著較大的安全風險,如操作系統(tǒng)風險、木馬植入等,二是現(xiàn)有的移動支付的主要驗證手段為短信驗證,這種驗證方式較為單一且安全系數(shù)較差,這些都是許多用戶對移動支付說“不”的原因之一。據中國支付清算協(xié)會的《2016年移動支付報告》顯示,移動支付的安全問題仍是未來移動支付所面臨的和需要應對的核心問題,如何進一步強化移動支付的安全“盾牌”,仍將是未來移動支付長遠發(fā)展的現(xiàn)實挑戰(zhàn)之一。

1.4網絡黑客的頻繁攻擊

網絡黑客是目前網絡工程所面臨的安全問題的根源之一,可以說,如前所述的各種網絡安全問題有很多都來源于網絡黑客攻擊,近年來,隨著網絡黑客技術的不斷發(fā)展,網絡黑客對全球網絡工程的破壞性攻擊也越來越多,且逐漸呈現(xiàn)出從傳統(tǒng)互聯(lián)網領域向工控領域進行發(fā)展以及黑客活動政治化等趨勢,例如今年年初美國總統(tǒng)大選就曾遭遇過網絡黑客的攻擊,所幸此次大選并未受到實質性影響。

2網絡工程安全防護技術提升的路徑分析

隨著“互聯(lián)網+”戰(zhàn)略的實施以及網絡安全被上升到了國家安全的高度,加強網絡工程的安全防護已經被提高到了一個前所未有的高度。而網絡工程安全防護的提升則可以說是一項較為復雜的系統(tǒng)性工程,除了要在資金、人力、管理等方面上繼續(xù)下功夫以外,還必須要將加強網絡工程安全防護技術的創(chuàng)新與改進放在一個關鍵的位置上,不斷強化網絡工程安全防護系數(shù)。

2.1合理使用防火墻技術

防火墻是網絡工程安全防護中所使用的常規(guī)性的網絡安全防護技術之一,也是目前主要應用于防護計算機系統(tǒng)安全漏洞的主要技術手段。一般來說,防火墻是一種位于內部網絡與外部網絡之間的網絡安全系統(tǒng),同時具有訪問控制、內容過濾、防病毒、NAT、IPSECVPN、SSLVPN、帶寬管理、負載均衡、雙機熱備等多種功能,因此在利用防火墻技術來加強網絡工程安全防護時,首先必須選擇口碑良好、有市場的防火墻產品如NGFW4000、NGFW4000-UF等等,利用防火墻來進行可靠的信息過濾,另一方面,需要對防火墻進行定期升級,確保防火墻的始終處于最新版本,切實利用防火墻技術來提高網絡工程安全防護系數(shù)。圖1防火墻工作原理模型圖

2.2加強網絡工程病毒防護體系建設

計算機病毒是網絡工程所面臨著的主要安全問題之一,因此有效加強網絡工程的病毒防護體系尤其關鍵。眾所周知,計算機病毒往往具有傳染性強、傳播方式多樣、破壞性大且徹底清除的難度較高等特點,因而一旦感染很有可能導致一個局域網中的所有計算機都受到影響,尤其是在網絡工程的使用環(huán)境中,一旦感染計算機病毒將很可能導致其他的相關計算機癱瘓,這就需要企業(yè)不僅要在殺毒軟件、防火墻技術的更新等方面下足功夫,更重要的是要努力建立起多層次、立體化的病毒防護體系,同時努力搭建起便捷智能化的計算機病毒立體化管理系統(tǒng),對整個系統(tǒng)中用戶設備進行集中式的安全管理,切實提升對計算機病毒的防護效率,嚴格確保計算機不受病毒的侵染。

2.3搭配反垃圾郵件系統(tǒng)

隨著互聯(lián)網技術的快速發(fā)展,電子郵件已經成為互聯(lián)網信息時代下最受歡迎的通訊方式之一,但與此同時越來越多的垃圾郵件的出現(xiàn)也日漸困擾著人們的正常工作,垃圾郵件不僅占用了人們的寶貴的精力和時間,更重要的是它有可能給企業(yè)帶來嚴重的損失,我國是世界上的垃圾郵件大國之一,每年垃圾郵件的接收在全球位居前列,為此,不斷提升網絡工程的安全防護需要同時搭配有先進成熟的反垃圾郵件系統(tǒng),有效搭建企業(yè)內部的“郵箱防護墻”,確保企業(yè)內外部的郵件安全。

2.4強化網絡數(shù)據信息加密技術使用

針對當前網絡數(shù)據信息頻繁泄露的現(xiàn)實情況,加強網絡工程安全防護技術必須要努力強化網絡數(shù)據信息加密技術的使用,在實際使用過程中,可以通過對網絡工程中的相關軟件、網絡數(shù)據庫等進行加密處理,提高和強化網絡數(shù)據信息加密技術的普及使用。

3總結

總之,加強網絡工程安全防護是一項較為復雜的系統(tǒng)性工程,需要涉及到方方面面的技術條件乃至相應的管理、人力物力等方面的投入,更為重要的是,需要經過系統(tǒng)的分析從而將這些技術手段有機結合起來,使之形成一個系統(tǒng),從而更好地在網絡工程安全防范中發(fā)揮整體合力,有效提高網絡工程安全防范實效。

參考文獻:

[1]鄭邦毅,蔡友芬.網絡工程安全防護技術的探討[J].電子技術與軟件工程,2016.

[2]謝超亞.網絡工程中的安全防護技術的思考[J].信息化建設,2015.

[3]陳健,唐彥儒.關于網絡工程中的安全防護技術的思考[J].價值工程,2015.

[4]彭海琴.關于網絡工程中的安全防護技術的思考[J].電子技術與軟件工程,2014.

第2篇:公司網絡安全方案范文

――獲獎感言

甘肅天梭信息安全技術有限公司(簡稱天梭)是一家專門從事網絡和網絡信息安全產品以及相關技術應用、咨詢的專業(yè)服務公司。公司擁有多名經驗豐富的行業(yè)技術顧問和技術專家,致力于網絡信息安全的推廣、咨詢、方案集成等相關服務。公司宗旨是以專業(yè)的技術、優(yōu)質的服務快速響應網絡以及網絡安全的需求和技術發(fā)展,著重于政府、企業(yè)、高校、證券、金融等行業(yè)的信息安全問題。針對各行業(yè)背景的需求,不斷開發(fā)、完善安全應用系統(tǒng),建立高效專業(yè)的服務體系,協(xié)助客戶規(guī)劃、制定和實施全方位的安全方案,面向各行業(yè)客戶提供專業(yè)的技術支持和個性化服務。

天梭的核心產品涉及Web應用防火墻,專利級Web入侵異常檢測技術,對Web應用實施全面、深度防御,能夠有效識別、阻止日益盛行的Web應用黑客攻擊 (如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等)。

Web弱點掃描器:以Web漏洞風險為導向,通過對Web應用(包括Web2.0、JavaScript、Flash等)進行深度遍歷,以安全風險管理為基礎,支持各類web應用程序的掃描。

智能流量管理系統(tǒng):作為業(yè)界領先的應用優(yōu)化與流量管控解決方案,Maxnet AOS以DPI( Deep Packet Inspect,深度包檢測)和DFI (Deep/Dynamic Flow Inspection,深度流行為檢測)技術為核心,結合帶寬自動分配算法、令牌桶算法、隨機公平隊列等技術, 能夠全面識別和控制包括P2P、VoIP、視頻流媒體、HTTP、網絡游戲、數(shù)據庫及中間件等在內的多種應用,提供虛擬帶寬通道劃分、 最大帶寬限制、保證帶寬、帶寬租借、應用優(yōu)先級、Per-IP帶寬控制、Per-Net帶寬控制、隨機公平隊列等一系列帶寬管理功能,為用戶提供主動式、智能化、可視化的帶寬管理服務,為用戶應用優(yōu)化與帶寬管控、流量管理以及網絡規(guī)劃提供科學的依據。

數(shù)據庫安全審計系統(tǒng):運維審計與風險控制系統(tǒng)是一種符合4A(認證Authentication、賬號Account、授權Authorization、審計Audit)統(tǒng)一安全管理平臺方案并且被加固的高性能抗網絡攻擊設備,具備很強安全防范能力。作為進入內部網絡的一個檢查點,它能夠攔截非法訪問和惡意攻擊,對不合法命令進行阻斷,過濾掉所有對目標設備的非法訪問行為。

第3篇:公司網絡安全方案范文

為了明天的安全

由于近年通信及網絡技術的發(fā)展速度太快,這迫使很多企業(yè)采取一個較為被動的態(tài)勢來規(guī)劃其安全策略,很多時候只能是“頭痛醫(yī)頭、腳痛醫(yī)腳”,IT系統(tǒng)哪里出現(xiàn)安全問題,就在哪里增添一件有關的安全產品,經過一段時間累積后,IT系統(tǒng)管理人員便需要面對一堆零散、不一定具備互操作性的安全設備,這不但增加管理工作的難度及擁有總成本(TCO),同時不能保證安全策略沒有漏洞。

Check Point 北亞區(qū)總裁曾志銘表示,企業(yè)在2007年必需部署一個具備中央管理能力的體系結構,把以前各自為政的安全產品整合起來,同時通過自動實時升級能力,把各個組件及時更新,確保它們能提供“零時間差距保護”。用戶逐漸要求安全設備供應商提供這種一應俱全、具備體系結構的安全保護,因此市場會進入一個鞏固期,大型安全設備廠商的數(shù)目將由多于10個減少至屈指可數(shù)。

企業(yè)也需要把安全保護的覆蓋面從協(xié)助網絡/系統(tǒng)設施抵御攻擊,擴展至保護企業(yè)的數(shù)據層,防止數(shù)據不會因故意及無意的行為而泄漏,一個實例就是為移動電腦部署一個全方位的磁盤加密保護,確保其數(shù)據不會被盜竊或丟失。曾志銘表示,數(shù)據安全已經成為日益倍受關注的問題,例如60%的信息盜竊是源于設備遺失或被偷去,在2005年2月至2006年5月期間,有超過8400萬名美國人的個人信息被泄漏。

鑒于上述兩大市場發(fā)展趨勢,Check Point把其2007年發(fā)展方針定為“PURE 安全”,力爭為客戶做到四方面到位:P (Protected)―保護基礎設施及數(shù)據; U ( Unified)―提供一個確保高度可管理及可擴展的體系結構; R(Reliable)―確保企業(yè)具備高生產力及業(yè)務持續(xù)性;E (Extensible) 滿足今天及明天的安全需要。

全新的統(tǒng)一威脅管理

為了給中型公司及大企業(yè)的區(qū)域辦事處提供全方位、多層次的安全保護,抵御間諜軟件、病毒、網絡攻擊等互聯(lián)網威脅,Check Point日前強力推出一個名為UTM-1的全新統(tǒng)一威脅管理(UTM)設備系列。

UTM-1安全設備是精心設計的解決方案,它融合了Check Point在企業(yè)安全的千錘百煉經驗,體現(xiàn)了為企業(yè)提供統(tǒng)一安全體系結構的方針。UTM-1的部署方法十分簡便,它支持集中化控制功能,降低管理多個地點的安全保護的復雜性。

“我們推出UTM-1全新系統(tǒng)的目的,是為了讓中型公司及部門級辦公地點也能用到Check Point的企業(yè)級安全方案,在一個特別為它們設計的平臺享用各種安全優(yōu)點及提高生產力?!盋heck Point首席執(zhí)行官Gil Shwed表示,“UTM-1令Check Point的產品陣容更為完善,能為不同規(guī)模的網絡提供優(yōu)化方案:VPN-1 Power適用于要求最為嚴格的大型網絡;VPN-1 Edge UTM適用于遠程/分支辦公地點,同時適用于小型公司,現(xiàn)在推出的UTM-1高度靈活,是中等規(guī)模網絡的理想方案?!?/p>

第4篇:公司網絡安全方案范文

目前,企業(yè)信息系統(tǒng)中的威脅主要來源于外部因素,隨著社會的快速發(fā)展,在激烈的市場競爭中信息占有非常重要的位置,有很多不法分子會想方設法的利用各種手段竊取企業(yè)信息,最終獲得經濟效益。還存在部分企業(yè)在與對手競爭中為占取有利位置會采取不正當手段獲取對方企業(yè)信息,最終達到擊敗對方的目的。目前在國內黑客人侵企業(yè)網絡的主要手段有直接進攻企業(yè)信息系統(tǒng)和傳播病毒兩種。

二、當前企業(yè)信息化建設中完善信息安全的對策

(一)樹立正確安全意識企業(yè)在信息化發(fā)展的進程中,應意識到企業(yè)信息的安全問題與企業(yè)發(fā)展之間存在的關聯(lián)性。一旦企業(yè)的重要信息被竊取或外泄,企業(yè)機密被泄漏,對企業(yè)所造成的打擊是非常巨大的,同時也給競爭對手創(chuàng)造了有利的機會。因此樹立正確的安全意識對于企業(yè)是非常重要的這樣才能為后面的工作打下良好的基礎。

(二)選擇安全性能高的防護軟件雖然任何軟件都是有可以破解方法的,但是對于安全性能高的軟件而言,其破解的困難性也隨之增加,所以企業(yè)在選擇安全軟件時應盡量選擇安全性能高的,不要為節(jié)省企業(yè)開支而選擇性能差的防護軟件,如果出現(xiàn)問題其造成的損失價值會遠遠的大于軟件價格。

(三)加強企業(yè)內部信息系統(tǒng)管理首先,對于企業(yè)信息系統(tǒng)安全而言,無論是使用哪種安全軟件都會遭到攻擊和破解,所以在安全防御中信息技術并不能占據主體,而管理才是信息安全系統(tǒng)的主體。因此建立合理、規(guī)范的信息安全管理體質對于企業(yè)而言是非常重要的,只有合理、規(guī)范的管理信息,才能為系統(tǒng)安全打下良好的基礎。其次,建立安全風險評價機制。企業(yè)的信息系統(tǒng)并不是在同一技術和時間下所建設的,在日常的操作和管理過程中,任何系統(tǒng)都是會存在不同的優(yōu)勢和劣勢的因此企業(yè)應對自身的信息系統(tǒng)做安全風險評估,根據系統(tǒng)的不同找出影響系統(tǒng)安全的漏洞和因素,并制定出詳細的應對策略。

(四)加強網絡安全管理意識首先,網絡安全管理部門應樹立正確的網絡安全觀念,加強對網絡安全的維護,在企業(yè)人員培訓中加入對人員的網絡安全培訓,從而使企業(yè)工作人員自覺提升安全防范意識,擺脫傳統(tǒng)的思維模式,突破網絡認識誤區(qū)。加強對對網絡黑客尤其是未成年人黑客的網絡道德和法律教育,提高他們的法律意識,從而使他們自覺遵守網絡使用的法律法規(guī)。其次,應當利用合理有效的方式普及對全體員工有關于網絡法律法規(guī)及網絡知識的教育,以提高他們的網絡安全意識。

(五)網絡的開放性使得網絡不存在絕對的安全,所以一勞永逸的安全保護策略也是不存在的由此可以看出,企業(yè)實施的網絡安全策隨著網絡問題的升級而發(fā)展的,具有動態(tài)特征。因此企業(yè)制定的策略要在符合法律法規(guī)的基礎上,通過網絡信息技術的支持,并根據網絡發(fā)展狀況、策略執(zhí)行情以及突發(fā)事件處理能力進行相應的調整與更新,這樣才能確保安全策略的有效性。此外企業(yè)還應綜合分析地方網絡安全需求,進一步制定更加完善的網絡安全防護體系,以減少網絡安全存在的風險,保證信息化網絡的安全性。絕大部分的企業(yè)信息被竊取都是不法分子通過網絡進行的,因此必須加強企業(yè)的網絡管理,才能確保企業(yè)信息系統(tǒng)在安全的狀態(tài)下運行。針對信息安全的種類和等級制定出行之有效的方案,并提前制定出如果發(fā)生了特定的信息安全事故企業(yè)應采取哪種應對方案。當企業(yè)信息安全危機發(fā)生時,企業(yè)應快速成立處理小組,根據信息安全危機的處理步驟和管理預案,做好危機處理工作,避免出現(xiàn)由于不當處置而導致的連鎖危機的發(fā)生。另外,還應在企業(yè)內部做好信息安全的培訓和教育工作,提高信息安全的管理意識,提高工作人員對安全危機事件的處理能力。

三、結語

第5篇:公司網絡安全方案范文

【關鍵詞】電力;信息網絡;網絡安全;防范對策

在當前計算機網絡技術和信息系統(tǒng)的高速發(fā)展下,電力系統(tǒng)對信息系統(tǒng)的依賴性也隨之增加,信息網絡已成為我們日常工作中重要的一部分。這體現(xiàn)了社會信息化發(fā)展趨勢。在現(xiàn)有電力信息網絡平臺下,做好安全防范機制是不可缺少的,電力企業(yè)要狠抓信息網絡安全的維護,消除潛在性的信息網絡安全事故隱患。因此,需針對信息網絡安全防范提出切實可行的防控對策,從而提升信息網絡安全標準。

1電力信息網絡的需求性

當前,隨之時代的進步,區(qū)別于早期的紙質文件及辦公流程,如今的電力系統(tǒng)更多的運用了基于信息網絡的信息系統(tǒng)進行各類業(yè)務的處理,從營銷業(yè)務使用的電力營銷系統(tǒng)、電能量計費系統(tǒng)到企業(yè)管理用到的OA協(xié)同辦公系統(tǒng)、人力資源管理系統(tǒng)以及生產業(yè)務用的GIS系統(tǒng)、生產管理系統(tǒng)等等,幾乎所有的業(yè)務都有著相對應的信息系統(tǒng),電力系統(tǒng)資源及流程的整合基本都依靠著信息系統(tǒng)來進行處理和管控。在此基礎下,對于信息網絡建設的要求也不斷提升。信息網絡建設工作的開展應具有多面性,對網絡的穩(wěn)定性、擴展性、安全性都要有所考慮,這些都是提高網絡建設的關鍵,也是提高電力企業(yè)自身管理水平的基礎。

2電力信息網路安全的重要性

由于當前電力系統(tǒng)對于信息系統(tǒng)非常依賴,各個業(yè)務領域都有對應的信息系統(tǒng),所以承載著信息系統(tǒng)的信息網絡的安全方面將非常的重要,而信息網絡自身的脆弱性又導致了信息網絡容易被攻破的風險很高。管理、營銷的安全隱患可能導致企業(yè)信息泄露或是客戶信息泄露,在生產業(yè)務方面,在電力系統(tǒng)生產工作的各個環(huán)節(jié)中,如變電、發(fā)電、輸電、用電及配電等環(huán)節(jié),信息網絡都起著極其重要的作用,無論是系統(tǒng)保護、調節(jié)、控制還是系統(tǒng)通信,都少不了信息網絡的參與,如果在生產方面出現(xiàn)網絡安全問題,輕則造成系統(tǒng)癱瘓、無法操作等,嚴重的可造成設備故障或者電網停電等。所以當下電力系統(tǒng)的信息網絡安全維護變得非常重要,要保證信息的完整性、機密性以及信息系統(tǒng)的高效性,確保信息不被丟失、篡改和損壞,這些都是提高電力信息網絡運行效率的關鍵,對電力系統(tǒng)的穩(wěn)定運行具有重要性意義。

3風險因素分析

3.1信息網絡自身的脆弱性

信息網絡本身存在著脆弱性,在信息的輸入、處理、交換、傳輸、存儲以及輸出的過程中信息容易出現(xiàn)被破壞、篡改、偽造、竊取以及存儲介質的損壞等情況;通信光纜的易損壞也很容易信息網絡的中斷;以及操作系統(tǒng)、數(shù)據庫、通信協(xié)議等環(huán)節(jié)存在的漏洞都是普遍的安全隱患。

3.2信息安全意識的薄弱

在很多企業(yè)來說,由于對信息網絡本身不夠了解,很多職工對信息安全上的意識非常薄弱,比如個人終端賬戶能不用密碼就不用密碼;信息系統(tǒng)賬戶能用簡單密碼就不用復雜密碼;內網終端能共享文件、打印機就不用U盤;殺毒軟件安裝后從來不做掃描;能使用賬戶密碼登陸系統(tǒng)就不用KEY身份認證等等。

3.3其他外力因素

計算機病毒和網絡攻擊造成的威脅;電磁泄露、雷擊、火災等環(huán)境安全構成的威脅;設備故障或工作人員誤操作從而導致的事故等。

4防范對策討論

4.1加強管理方案

我們要知道,沒有任何設備和技術能夠保證信息網絡的安全。在任何企業(yè)中,管理制度和標準都是非常重要的,所以我們首先要制定好對于電力信息網絡相關的一系列管理標準及制度并嚴格執(zhí)行。信息網絡管理部門應做好事故預想、應急預案;保證網絡設備有著后備應急資源;定期組織應急演練,提高對信息網絡突發(fā)事件的響應能力及處理能力。而其他的業(yè)務部門也需要定期進行信息網絡安全方面的知識培訓,提高自我信息網絡安全意識。

4.2網絡架構的優(yōu)化

可以通過構建A、B兩路通信通道,利用物理隔離和需求切換來提升信息網絡的安全性以及穩(wěn)定性。對重要站所或辦公大樓建設第二路由,能很好的消除各類因外力事件造成的網絡中斷事故。利用防火墻進行邊界防護,作為網絡安全中的重要防護措施,防火墻在網絡的建設中都是必不可少的。實行“網絡隔離”,把內網(這里定義為電力系統(tǒng)內部的綜合數(shù)據網、調度數(shù)據網等)和外網(定位為英特網)之間添加物理隔離裝置,而互聯(lián)網的出口統(tǒng)一至省電力公司一級,地市級公司及各分公司統(tǒng)一從省電力公司出口訪問互聯(lián)網,外網應用系統(tǒng)與內網相關系統(tǒng)的訪問(例如支付寶預交電費等業(yè)務)必須通過隔離裝置及防火墻進行。

4.3建立訪問控制

引入網絡準入控制系統(tǒng),目前比較主流的控制系統(tǒng)有聯(lián)軟科技準入控制系統(tǒng)(UniNAC),利用此系統(tǒng)配置網絡準入控制:從接入層對訪問的用戶進行授權控制,根據用戶身份嚴格控制用戶對內部網絡訪問范圍,確保企業(yè)內網資源安全;通過身份認證的用戶還必須通過終端完整性檢查,查看連入系統(tǒng)的補丁、防病毒等功能是否已及時升級,是否具有潛在安全隱患;對通過身份認證但未滿足終端安全檢查的終端不予以網絡接入,并強制隔離,提示用戶安裝相關補丁、殺毒軟件和安全設置等;對U盤、移動硬盤等移動存儲設備的訪問進行認證管控。

4.4信息網絡安全事件響應力

我們電力企業(yè)強調的是“安全第一,預防為主”,但是前邊提到過,網絡的安全是沒有100%的防范可能的,在上面提出的防范策略的基礎上,我們還要提升對可能產生的信息網絡安全事件進行處理的響應能力。(1)建立一套合理的響應機制,并安排好處理問題所需的資源以及人員配置。(2)要定期對各信息系統(tǒng)以及重要資料進行備份,并做異地存儲,要做到隨時對信息網絡及系統(tǒng)進行恢復。(3)先查出事件原因,然后提出控制措施,在分析事件的處理辦法。(4)待事件完全處理完畢后,事件已清除或者控制后,恢復網絡運行以及系統(tǒng)或數(shù)據備份的恢復,并做好相關記錄。

5結論

總之,電力系統(tǒng)信息網絡的發(fā)展是動態(tài)的,隨著電力企業(yè)自身的發(fā)展和計算機信息網絡的發(fā)展而不斷變化著,不能一層不變的維持現(xiàn)有的信息網絡安全維護方案,在現(xiàn)有的信息網絡安全方案下,還應該定期調整安全策略,進行安全評估,改進安全方案。我們要跟上時代的步伐,建設更為先進的信息網絡安全維護平臺,最大限度的保障電力信息網絡的安全,充分發(fā)揮電力信息網絡在電力系統(tǒng)中的各種作用,構建信息化的電力企業(yè)發(fā)展方向。

參考文獻

[1]宋宏艷.淺析電力信息網絡安全防范措施[J].科技創(chuàng)新與應用,2014(17).

[2]張文晉.實現(xiàn)電力企業(yè)信息化建設的途徑和思路分析[J].科技創(chuàng)業(yè)家,2013(16).

[3]趙亮.物聯(lián)網和云計算對等級測評的影響探究[J].信息安全與技術,2013(03).

[4]馬文,江翰,彭秋霞.電力信息安全基線自動化核查[J].云南電力技術,2013(01).

第6篇:公司網絡安全方案范文

目前,互聯(lián)網惡意軟件已經成為社會的公害,成為企業(yè)安全暢通上網的絆腳石。對于企業(yè)而言,間諜軟件、垃圾郵件等網絡威脅已經到了無法忍受的地步,一些間諜軟件通過“打開網頁即裝載”的方式潛藏進電腦,幾乎是防不勝防,甚至成為一些網絡釣魚、竊取賬戶資金的幫兇。

僅僅是垃圾郵件和惡意程序就足以令企業(yè)的電腦資源消耗殆盡,既浪費了大量的系統(tǒng)、硬盤、內存和網絡資源,又降低了公司的經營效率。

軟件+硬件+服務

靠傳統(tǒng)的手法解決網絡安全問題,已漸漸行不通了,尋求行之有效的安全解決方案,成為社會交給廣大防病毒廠商的一份責任。專注于網絡安全軟件及服務領域的趨勢科技在現(xiàn)在這個變幻莫測的網絡環(huán)境下,面對在巨大經濟利益驅使下的病毒和惡意軟件制造者的嚴重挑釁,一改業(yè)界以“產品導入方式解決網絡安全問題”作法,第一次明確提出以客戶需求為導向的安全立體解決方案,該方案既包括軟件,也包括硬件,同時還有服務。

在這個“軟件+硬件+服務”安全立體解決方案中,軟件、硬件和服務各司其職,從不同層面解決用戶在安全實踐中的問題,給用戶提供一個完善的安全保護體系。

EPS Solution Day

對此,趨勢科技最近在北京、上海和廣州等地舉辦了“EPS Solution Day”大型解決方案日巡展活動,在活動中趨勢科技表示,監(jiān)控、強制、防護和恢復是趨勢科技企業(yè)安全防護策略的四個環(huán)節(jié)。在這四個環(huán)節(jié)當中,趨勢科技將全方位的解決方案和安全服務無縫整合在一起,監(jiān)測潛在威脅、實施統(tǒng)一的安全策略、預防惡意威脅傳播和修復被感染設備。

EPS是“軟件+硬件+服務”三位一體解決方案的結構框架和理念基礎。在巡展中,國家計算機病毒應急中心主任張健表示,趨勢科技所提出的“軟件+硬件+服務”一攬子式的解決方案,扭轉了“產品導入方式解決網絡安全問題”所造成的“頭痛醫(yī)頭,腳痛醫(yī)腳”弊病,切重解決安全問題的本質和要害,為飽受安全困擾的用戶指明了方向,代表了安全產業(yè)未來的發(fā)展趨勢。

軟硬兼施

作為傳統(tǒng)的安全軟件廠商,趨勢科技開發(fā)出許多業(yè)界有名的安全軟件,包括OfficeScan和ScanMail等,這些軟件靈活、廣泛地部署在用戶的關鍵服務器當中,保護著企業(yè)的關鍵業(yè)務。

趨勢科技并沒有局限于安全軟件,而是前瞻性地看到硬件設備在網絡當中的地位和作用,尤其是在網關位置,硬件設備更能發(fā)揮高效、穩(wěn)定的優(yōu)勢,繼趨勢科技網絡病毒墻NVW之后,趨勢科技又全力打造了大中型企業(yè)的網關訊息安全設備(IMSA)、互聯(lián)網網關安全設備(IWSA)和中小企業(yè)InterScan網關安全設備(IGSA)等高性能網關設備,幫助用戶在網絡的入口處高效率地過濾網絡威脅。

第7篇:公司網絡安全方案范文

關鍵詞 信息安全;PKI;CA;VPN

1 引言

隨著計算機網絡的出現(xiàn)和互聯(lián)網的飛速發(fā)展,企業(yè)基于網絡的計算機應用也在迅速增加,基于網絡信息系統(tǒng)給企業(yè)的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用PKI技術來解決這些問題已經成為當前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中,以某公司為例進行說明。

2 信息系統(tǒng)現(xiàn)狀

2.1 信息化整體狀況

1)計算機網絡

某公司現(xiàn)有計算機500余臺,通過內部網相互連接,根據公司統(tǒng)一規(guī)劃,通過防火墻與外網互聯(lián)。在內部網絡中,各計算機在同一網段,通過交換機連接。

2)應用系統(tǒng)

經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環(huán)節(jié),包括各種應用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網絡的進一步完善,計算機應用也由數(shù)據分散的應用模式轉變?yōu)閿?shù)據日益集中的模式。

2.2 信息安全現(xiàn)狀

為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發(fā)揮了很大的作用。

3 風險與需求分析

3.1 風險分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結論:

(1)經營管理對計算機應用系統(tǒng)的依賴性增強,計算機應用系統(tǒng)對網絡的依賴性增強。計算機網絡規(guī)模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統(tǒng)的正常運行對網絡安全提出了更高的要求。

(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據,這些數(shù)據大多集中在公司總部數(shù)據中心,因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證,加強對數(shù)據的備份,并運用技術手段,提高數(shù)據的機密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:

(1)系統(tǒng)性不強,安全防護僅限于網絡安全,系統(tǒng)、應用和數(shù)據的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統(tǒng)和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數(shù)據備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據的丟失和泄露。

當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統(tǒng)的。

針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現(xiàn)實的狀況。

美國聯(lián)邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關的規(guī)章制度、技術規(guī)范,也沒有選用有關的安全服務。不能充分發(fā)揮安全產品的效能。

(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。

已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統(tǒng)的互聯(lián)網出口進行嚴格限制,原有的防火墻將成為企業(yè)內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。

網絡信息系統(tǒng)的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統(tǒng)主管部門和運營、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設的初期,在規(guī)劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。

3.2 需求分析

如前所述,某公司信息系統(tǒng)存在較大的風險,信息安全的需求主要體現(xiàn)在如下幾點:

(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網絡,也需要做好系統(tǒng)、應用、數(shù)據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。

(2)網絡規(guī)模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機網絡安全面臨更大的挑戰(zhàn),原有的產品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術規(guī)范的建設,使安全防范的各項工作都能夠有序、規(guī)范地進行。

(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。

4 設計原則

安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。

4.1 標準化原則

本方案參照信息安全方面的國家法規(guī)與標準和公司內部已經執(zhí)行或正在起草標準及規(guī)定,使安全技術體系的建設達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎。

4.2 系統(tǒng)化原則

信息安全是一個復雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。

4.3 規(guī)避風險原則

安全技術體系的建設涉及網絡、系統(tǒng)、應用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網絡的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術體系建設必須面對的最大風險。本規(guī)劃特別考慮規(guī)避運行風險問題,在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時,優(yōu)先保證透明化,從提供通用安全基礎服務的要求出發(fā),設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接。

4.4 保護投資原則

由于信息安全理論與技術發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區(qū)域的安全技術系統(tǒng),配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規(guī)劃、建設新的安全子系統(tǒng)或投入新的安全設施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術體系,發(fā)揮更好的效能,而不是排斥或拋棄。

4.5 多重保護原則

任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。

4.6 分步實施原則

由于某公司應用擴展范圍廣闊,隨著網絡規(guī)模的擴大及應用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。

5 設計思路及安全產品的選擇和部署

信息安全防范應做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網絡、系統(tǒng)、應用、數(shù)據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。

網絡與信息安全防范體系模型

信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產品和解決方案的調查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。

5.1網絡安全基礎設施

證書認證系統(tǒng)無論是企業(yè)內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng),建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現(xiàn)以下目標:

身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認對方的身份。

數(shù)據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。

數(shù)據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據。

5.2 邊界防護和網絡的隔離

VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數(shù)據傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng),可以為企業(yè)構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸?shù)拿襟w,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據,用以代替專線方式,實現(xiàn)移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監(jiān)控,為網絡提供高效、穩(wěn)定地安全保護。

集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。

5.3 安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網絡的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。

5.4 桌面安全防護

對企業(yè)信息安全的威脅不僅來自企業(yè)網絡外部,大量的安全威脅來自企業(yè)內部。很早之前安全界就有數(shù)據顯示,近80%的網絡安全事件,是來自于企業(yè)內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務欺騙等,因此,對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。

3)文件加密系統(tǒng)

文件加密應用系統(tǒng)保證了數(shù)據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數(shù)據的安全性。

5.5 身份認證

身份認證是指計算機及網絡系統(tǒng)確認操作者身份的過程?;赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內置的密碼算法實現(xiàn)對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系,從而實現(xiàn)上述身份認證、授權與訪問控制、安全審計、數(shù)據的機密性、完整性、抗抵賴性的總體要求。

6 方案的組織與實施方式

網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。

因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:

(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業(yè)公司的安全服務,提高應對重大安全事件的能力。

(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區(qū)、分階段實施的方式。

(4)在方案實施的同時,加強規(guī)章制度、技術規(guī)范的建設,使信息安全的日常工作進一步制度化、規(guī)范化。

7 結論

第8篇:公司網絡安全方案范文

1.1移動終端的硬件平臺飽受威脅。當前,移動終端的硬件平臺普遍缺乏驗證機制與保護機制,以至于部分模塊固件被不發(fā)入侵者肆意篡改,加之終端內部的通信接口未形成集聚完整性與機密性的保護機制,導致移動終端內傳出的信息被黑客竊聽,對其基本安全性造成極大威脅。

1.2由于4G無線系統(tǒng)包含著許多種類,但操作系統(tǒng)的安全性卻相對匱乏,因而出現(xiàn)了許多漏洞,而且這些漏洞具有公開性特征。

1.34G無線系統(tǒng)的移動終端具備支持多種無線應用的功能,例如電子郵件、電子商務等。假使這些無線應用本身在程序方面存在著漏洞或安全隱患,同樣會對4G無線通信的網絡安全性造成極大威脅。

二、提升4G無線通信網絡安全性的主要策略

由于有線網絡和無線網絡在基本特性方面存在著較大差異,因此在設計無線通信的網絡安全方案時,應當充分考慮其兼容性、安全性以及效率性等因素,從而最大限度提升4G無線通信的網絡安全性。

2.1研發(fā)與利用加固型操作系統(tǒng)

為了規(guī)避安全問題,在選擇操作系統(tǒng)時,應選擇滿足TMP需求的操作系統(tǒng),能夠支持遠程驗證、區(qū)域隔離以及混合訪問控制等操作。

2.2采取硬件物理保護措施

通過加大無線通信測試平臺硬件的集成度,減少存在攻擊威脅的接口數(shù)量,并適當增加電壓、電流以及溫度,以此方式達到檢測電路的目標,以防采取物理檢測措施時被攻擊。此外,針對TPM和全球用戶識別卡中的相關數(shù)據,還應當根據安全級別進行銷毀處理。

2.3不斷加固硬件平臺

把中國移動互聯(lián)網可信應用平臺視作網絡安全問題基本防護對象,除了對其進行全方位檢測以及可信啟動之外,還應予以存儲保護等安全措施。同時,由于4G無線通信的核心網是TD-SCDMA,盡管不對稱管制、起步晚以及備受懷疑等主客觀因素對其發(fā)展產生了一定的影響,但TD-SCDMA的整體發(fā)展趨勢十分明朗,同時還取得了較大成功。而隨著TD-LTE的不斷推行與普及,其發(fā)展事態(tài)已遠遠超過TD-SCDMA,全球范圍內TD-LTE的商用網絡總數(shù)已達到13個,其發(fā)展與應用必定會成為大勢所趨。

2.4提升通信服務效率

由于無線通信的網絡資源有限,為了提升網絡資源的可靠性、安全性與有效性,首先應當控制安全協(xié)議的信息交互總數(shù),確保安全信息的精準性與短小性。其次,控制移動終端的任務數(shù)量,針對4G無線通信的網絡終端制定明確的標準,要求其計算能力具備明顯的非對稱性。最后,針對處于閑置狀態(tài)的移動終端,必須加以有效利用,從而實現(xiàn)預計算、預認證的目標。

三、結束語

第9篇:公司網絡安全方案范文

關鍵詞:船舶計算機網絡系統(tǒng)網絡安全管理

1引言

進入二十一世紀以來,隨著船舶自動化和信息化程度不斷提高,船舶計算機網絡系統(tǒng)及其應用得到了迅速發(fā)展。越來越多的新造船舶采用計算機網絡技術將船舶輪機監(jiān)控系統(tǒng)、航海駕駛智能化系統(tǒng)、船舶管理信息系統(tǒng)(SMIS)等應用納入一個統(tǒng)一的網絡系統(tǒng),實現(xiàn)船岸管控一體化。

在我司近幾年建造的4萬噸級以上的油輪上,普遍安裝了計算機局域網。一方面,計算機網絡用于傳輸船上動力裝置監(jiān)測系統(tǒng)與船舶航行等實時數(shù)據;另一方面,計算機網絡用于船舶管理信息系統(tǒng)(功能包括船舶機務、采購、海務、安全、體系管理與油輪石油公司檢查管理)并通過網絡中船舶通訊計算機實現(xiàn)船岸間的數(shù)據交換,實現(xiàn)船岸資源共享,有利于岸基他船舶管理人員對船舶的監(jiān)控與業(yè)務指導。前者屬于實時系統(tǒng)應用,后者屬于船舶日常管理系統(tǒng)應用,在兩種不同類型的網絡應用(子網)之間采用網關進行隔離。目前,船舶計算機網絡系統(tǒng)采用的硬件設備和軟件系統(tǒng)相對簡單,因此,船舶計算機網絡的安全基礎比較薄弱。隨著船齡的不斷增長,船上計算機及網絡設備逐漸老化;并且,船上沒有配備專業(yè)的人員負責計算機網絡和設備的運行維護和管理工作,所以船舶計算機及網絡的技術狀況比較差,影響各類系統(tǒng)的正常使用與船岸數(shù)據的交換。究其原因,除了網絡設備和網絡線路故障問題之外,大多數(shù)問題是因各類病毒與管理不善等原因所引起的。

2船舶計算機網絡架構

目前在船舶上普遍采用工業(yè)以太網,船舶局域網大多采用星型結構。

有些船舶已經在所有船員房間布設了局域網網線,而有些船舶只是在高級船員房間布設了計算機局域網網線。圖表1是一艘30萬噸超級油輪(VLCC)的計算機局域網結構圖。

圖表2 是 船舶計算機網絡拓撲結構圖。其中,局域網服務器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);網關采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交換機采用D-LINK DES-1024D快速以太網交換機(10/100M 自適應,工作在二層應用層級)。

3船舶計算機網絡系統(tǒng)的安全問題

2005年以來,有很多的船舶管理公司推進實施船舶管理信息系統(tǒng)。對于遠洋船舶來說,船上需要安裝使用船舶管理信息系統(tǒng)的船舶版軟件。大多數(shù)的船舶版軟件都是采用客戶端/服務器兩層架構,高級船員的辦公計算機作為客戶端,通過聯(lián)網使用船舶管理信息系統(tǒng)。船上的船舶管理信息系統(tǒng)通過電子郵件(一般采用AMOS MAIL或Rydex電子郵件)與岸基的船舶管理信息系統(tǒng)交換數(shù)據,實現(xiàn)船、岸船舶數(shù)據庫的數(shù)據同步。

根據了解,目前船舶計算機網絡最主要的問題(也是最突出的現(xiàn)狀)是安全性和可用性達不到船舶管理信息系統(tǒng)運行使用的基本要求。船舶管理信息系統(tǒng)數(shù)據庫服務器與郵件服務器之間,以及船員的辦公計算機與船舶管理信息系統(tǒng)數(shù)據庫服務器之間經常無法聯(lián)通。經過上船檢查發(fā)現(xiàn),影響船舶計算機網絡系統(tǒng)正常運行的主要原因是計算機病毒。大多數(shù)船舶的辦公計算機采用微軟操作系統(tǒng),一方面沒有打補丁,另一方面尚未采取有效的防病毒措施,比如沒有安裝單機版或網絡版防病毒軟件。有些船舶雖然安裝了防病毒軟件,但是因為不能及時進行防毒軟件升級和病毒庫更新,所以無法查殺新病毒或新的變種病毒等,從而失去防病毒作用。經過調查分析,船上計算機病毒的主要來源是:(1)在局域網中的計算機上使用了帶有病毒的光盤、優(yōu)盤、移動硬盤等存儲介質;(2)將帶有病毒的筆記本電腦接入了船上的局域網;(3)在局域網中的計算機上安裝有無線上網卡,通過無線上網(沿海航行或??扛劭跁r)引入了病毒/蠕蟲/木馬/惡意代碼等。

為了解決上述問題,有的企業(yè)在船舶辦公計算機上安裝了硬盤保護卡;也有一些企業(yè)在船舶辦公計算機上安裝了“一鍵恢復”軟件;另外還有企業(yè)開始在船舶計算機網絡系統(tǒng)中安裝部署專業(yè)的安全管理系統(tǒng)軟件和網絡版防病毒軟件。

若要從根本上增強船舶計算機網絡系統(tǒng)的安全性和可用性,則需要考慮以下條件的限制:(1)船上的計算機網絡架構在出廠時已經固定,除非船舶正在建造或者進廠修理,否則,凡是處于運營狀態(tài)的船舶,不可能立即為船舶管理信息系統(tǒng)專門建設一個物理上獨立的計算機局域網。(2)限于資金投入和船上安裝場所等原因,船上的計算機網絡設備或設施在短期內也不可能無限制按需增加。(3)從技術管理的角度看,在現(xiàn)階段,船舶仍不可能配備具有專業(yè)水平的網絡人員對計算機網絡系統(tǒng)進行管理。(4)因衛(wèi)星通信通道和通信費用等原因,遠洋船舶的辦公計算機操作系統(tǒng)(微軟Windows 系列)不可能從因特網下載補丁和打補??;船舶局域網中的防病毒軟件和病毒庫不可能及時升級和更新??傮w上看,解決船舶計算機網絡安全方面的問題,與陸地上確實有許多不同之處。

4船舶計算機網絡系統(tǒng)的安全需求分析

為提高船舶計算機網絡系統(tǒng)的可用性,即船舶計算機網絡系統(tǒng)任何一個組件發(fā)生故障,不管它是不是硬件,都不會導致網絡、系統(tǒng)、應用乃至整個網絡系統(tǒng)癱瘓,為此需要增強船舶計算機網絡系統(tǒng)的可靠性、可恢復性和可維護性。其中:(1)可靠性是指針對船舶上的溫度、濕度、有害氣體等環(huán)境,提高網絡設備和線路的技術要求,有關的設計方案在船舶建造和船舶修理時進行實施和實現(xiàn)。(2)可恢復性,是指船舶計算機網絡中任一設備或網段發(fā)生故障而不能正常工作時,依靠事先的設計,網絡系統(tǒng)自動將故障進行隔離。(3)可維護性,是指通過對船舶計算機網絡系統(tǒng)和網絡的在線管理,及時發(fā)現(xiàn)異常情況,使問題或故障能夠得到及時處理。

研究解決船舶計算機網絡系統(tǒng)安全管理問題,必須考慮現(xiàn)實的條件和實現(xiàn)的成本。總的原則是:方案簡潔、技術成熟;經濟性好、實用性強;易于實施、便于維護。因此,在盡量利用現(xiàn)有設備和設施、擴充或提高計算機及網絡配置、增加必要的安全管理系統(tǒng)軟件、嚴格控制增加設備的前提下,通過采用邏輯域劃分、病毒防殺、補丁管理、網絡準入、外設接口管理、終端應用軟件管理和移動存儲介質管理等手段,以解決船舶計算機網絡系統(tǒng)最主要的安全問題。

在對船舶計算機網絡采取安全防護技術措施的同時,還需要制定船舶計算機網絡系統(tǒng)安全管理制度;定制船舶計算機網絡系統(tǒng)安全策略和安全管理框架;對船員進行計算機及網絡系統(tǒng)安全知識教育,增強船員遵守公司制定的計算機網絡安全管理規(guī)定的意識和自覺性。

(1)加強船舶計算機病毒的防護,建立全面的多層次的防病毒體系,防止病毒的攻擊;

(2)采用專用的設備和設施實現(xiàn)船舶安全策略的強制執(zhí)行,配合防毒軟件的部署與應用;

(3)加強船舶計算機網絡管理,通過桌面管理工具實現(xiàn)船舶計算機網絡運行的有效控制;

(4)制定相關的網絡安全防護策略,以及網絡安全事件應急響應與恢復策略,在正常預防網絡安全事件的同時,做好應對網絡安全事件的準備。

5船舶計算機網絡系統(tǒng)安全管理要求

5.1確定船舶網絡系統(tǒng)安全管理目標

基于以上對船舶計算機網絡系統(tǒng)安全問題和可用性需求的分析,我們認為解決網絡系統(tǒng)安全問題的最終目標是:

通過船舶計算機網絡系統(tǒng)安全管理制度的制定,安全策略和安全管理框架的開發(fā),定制開發(fā)和部署適合船舶計算機網絡系統(tǒng)特點的安全管理系統(tǒng),確保船舶計算機網絡系統(tǒng)安全可靠的運行和受控合法的使用,滿足船舶管理信息系統(tǒng)正常運行、業(yè)務運營和日常管理的需要。

通過實施船舶計算機網絡系統(tǒng)安全技術措施,達到保護網絡系統(tǒng)的可用性,保護網絡系統(tǒng)服務的連續(xù)性,防范網絡資源的非法訪問及非授權訪問,防范人為的有意或無意的攻擊與破壞,保護船上的各類信息通過局域網傳輸過程中的安全性、完整性、及時性,防范計算機病毒的侵害,實現(xiàn)系統(tǒng)快速恢復,確保船舶計算機網絡的安全運行和有效管理??傮w上從五方面考慮:

(1)針對管理級安全,建立一套完整可行的船舶計算機網絡系統(tǒng)安全管理制度,通過有效的貫徹實施和檢查考核,實現(xiàn)網絡系統(tǒng)的安全運行管理與維護;

(2)針對應用級安全,加強船舶計算機網絡防病毒、防攻擊、漏洞管理、數(shù)據備份、數(shù)據加密、身份認證等,采用適合的安全軟硬件,建設安全防護體系;

(3)針對系統(tǒng)級安全,加強對服務器、操作系統(tǒng)、數(shù)據庫的運行監(jiān)測,加強系統(tǒng)補丁的管理,通過雙機(或兩套系統(tǒng))的形式保證核心系統(tǒng)運行,當發(fā)生故障時,能及時提供備用系統(tǒng)和恢復;

(4)針對網絡級安全,保證船舶計算機網絡設備、網絡線路的運行穩(wěn)定,對核心層的網絡設備和線路提供雙路的冗余;

(5)針對物理級安全,保證船舶計算機網絡系統(tǒng)數(shù)據的安全和系統(tǒng)及時恢復,加強信息和數(shù)據的備份和各類軟件介質的管理。

5.2網絡系統(tǒng)安全配置原則

船舶計算機網絡系統(tǒng)是一套移動的計算機網絡系統(tǒng),沒有專業(yè)的安全管理人員,缺乏專業(yè)的安全管理能力;船舶數(shù)量多,船舶計算機網絡系統(tǒng)規(guī)模小和相對比較簡潔,因此,不能按照企業(yè)網絡的安全管理體系來構建船舶計算機網絡系統(tǒng)的安全管理體系,必須制定經濟實用的網絡安全設計原則。

需求、風險、代價平衡的原則

對船舶計算機網絡系統(tǒng)進行切合實際的分析與設計,對系統(tǒng)可能面臨的威脅或可能承擔的風險提出定性、定量的分析意見,并制定相應的規(guī)范和措施,確定系統(tǒng)的安全策略。

綜合性、整體性、系統(tǒng)性原則

船舶計算機網絡系統(tǒng)安全是一個比較復雜的系統(tǒng)工程,從網絡系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現(xiàn),又要加大管理的力度,制定具體措施。安全措施主要包括:行政法律手段、各種管理制度以及專業(yè)技術措施。

易于操作、管理和維護性原則

在現(xiàn)階段,船舶上不可能配備專業(yè)的計算機系統(tǒng)安全管理員,采用的安全措施和系統(tǒng)應保證易于安裝、實施、操作、管理和維護,并盡可能不降低對船舶計算機網絡系統(tǒng)功能和性能的影響。

可擴展性、適應性及靈活性原則

船舶計算機網絡安全管理系統(tǒng)必須組件化或模塊化,便于部署;安全策略配置靈活,具有較強的適應性,能夠適應各種船舶的計算機網絡系統(tǒng)復雜多樣的現(xiàn)狀;安全管理系統(tǒng)必須具有較好的可擴展性,便于未來進行安全功能的擴展。

標準化、分步實施、保護投資原則

依照計算機系統(tǒng)安全方面的有關法規(guī)與行業(yè)標準和企業(yè)內部的標準及規(guī)定,使安全技術體系的建設達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎。限于計算機系統(tǒng)安全理論與技術發(fā)展的歷史原因和企業(yè)自身的資金能力,對不同情況的船舶要分期、分批建設一些整體的或區(qū)域的安全技術系統(tǒng),配置相應的設施。因此,依據保護系統(tǒng)安全投資效益的基本原則,在合理規(guī)劃、建設新的網絡安全系統(tǒng)或投入新的網絡安全設施的同時,對現(xiàn)有網絡安全系統(tǒng)應采取完善、整合的辦法,使其納入總體的網絡安全技術體系,發(fā)揮更好的效能,而不是排斥或拋棄。

5.3網絡安全管理的演進過程

建立、健全船舶計算機網絡系統(tǒng)安全管理體系,首先要建立一個合理的管理框架,要從整體和全局的視角,從信息系統(tǒng)的管理層面進行整體安全建設,并從信息系統(tǒng)本身出發(fā),通過對船上信息資產的分析、風險分析評估、網絡安全需求分析、安全策略開發(fā)、安全體系設計、標準規(guī)范制定、選擇安全控制措施等步驟,從整個網絡安全管理體系上來提出安全解決方案。

船舶計算機網絡系統(tǒng)安全管理體系的建設須按適當?shù)某绦蜻M行,首先應根據自身的業(yè)務性質、組織特征、資產狀況和技術條件定義ISMS的總體方針和范圍,然后在風險分析的基礎上進行安全評估,同時確定信息安全風險管理制度,選擇控制目標,準備適用性聲明。船舶計算機網絡系統(tǒng)安全管理體系的建立應遵循PDCA的過程方法,必須循序漸進,不斷完善,持續(xù)改進。

6建立健全船舶計算機網絡安全管理制度

針對船舶計算機及網絡系統(tǒng)的安全,需要制定相關法規(guī),結合技術手段實現(xiàn)網絡系統(tǒng)安全管理。制度和流程制定主要包括以下幾個方面:

制定船舶計算機及網絡系統(tǒng)安全工作的總體方針、政策性文件和安全策略等,說明機構安全工作的總體目標、范圍、方針、原則、責任等;

對安全管理活動中的各類管理內容建立安全管理制度,以規(guī)范安全管理活動,約束人員的行為方式;

對要求管理人員或操作人員執(zhí)行的日常管理操作,建立操作規(guī)程,以規(guī)范操作行為,防止操作失誤;

形成由安全政策、安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系;

由安全管理團隊定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。

7 總結

對于船舶計算機網絡安全按作者的經驗可以針對不同類型、不同情況的具體船舶,可以結合實際需要和具體條件采取以下解決方案:

1.對于正在建造的船舶和準備進廠修理的船舶,建議按照較高級別的計算機網絡安全方案進行實施,全面加固船舶計算機及網絡的可靠性、可恢復性和可維護性,包括配置冗余的網絡設備和建設備用的網絡線路。

2.對于正在營運的、比較新的船舶,建議按照中等級別的計算機網絡安全方案進行實施,若條件允許,則可以增加專用的安全管理服務器設備,更新或擴充升級原有的路由器或交換機。

3.對于其它具備計算機局域網、船齡比較長的船舶,建議按照較低級別的計算機網絡安全方案進行實施,不增加專用的安全管理服務器設備,主要目標解決計算機網絡防病毒問題。

4.對于不具備計算機局域網的老舊船舶,可以進一步簡化安全問題解決方案,著重解決船舶管理信息系統(tǒng)服務器或單機的防病毒問題,以確保服務器或單機上的系統(tǒng)能夠正常運行使用。

參考文獻: