公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全法范文

網(wǎng)絡(luò)安全法精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全法主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全法

第1篇:網(wǎng)絡(luò)安全法范文

看點一:不得出售個人信息

根據(jù)中國互聯(lián)網(wǎng)協(xié)會的《2019中國網(wǎng)民權(quán)益保護調(diào)查報告》,84%的網(wǎng)民曾親身感受到由于個人信息泄露帶來的不良影響。從2019年下半年到今年上半年的一年間,我國網(wǎng)民因垃圾信息、詐騙信息、個人信息泄露等遭受的經(jīng)濟損失高達915億元。近年來,警方查獲曝光的大量案件顯示,公民個人信息的泄露、收集、轉(zhuǎn)賣,已經(jīng)形成了完整的黑色產(chǎn)業(yè)鏈。

網(wǎng)絡(luò)安全法作出專門規(guī)定:網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的,其提供者應(yīng)當(dāng)向用戶明示并取得同意;網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息;任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息,并規(guī)定了相應(yīng)法律責(zé)任。

中國傳媒大學(xué)網(wǎng)絡(luò)法與知識產(chǎn)權(quán)研究中心主任王四新表示,網(wǎng)絡(luò)安全法作為網(wǎng)絡(luò)領(lǐng)域的基礎(chǔ)性法律聚焦個人信息泄露,不僅明確了網(wǎng)絡(luò)產(chǎn)品服務(wù)提供者、運營者的責(zé)任,而且嚴厲打擊出售販賣個人信息的行為,對于保護公眾個人信息安全,將起到積極作用。

看點二:嚴厲打擊網(wǎng)絡(luò)詐騙

個人信息的泄露是網(wǎng)絡(luò)詐騙泛濫的重要原因。詐騙分子通過非法手段獲取個人信息,包括姓名、電話、家庭住址等詳細信息后,再實施精準詐騙,令人防不勝防。今年以來輿論關(guān)注的山東兩名大學(xué)生遭電信詐騙死亡案、清華大學(xué)教授遭電信詐騙案,都是因為信息泄露之后的精準詐騙造成。

除了嚴防個人信息泄露,網(wǎng)絡(luò)安全法針對層出不窮的新型網(wǎng)絡(luò)詐騙犯罪還規(guī)定:任何個人和組織不得設(shè)立用于實施詐騙,傳授犯罪方法,制作或者銷售違禁物品、管制物品等違法犯罪活動的網(wǎng)站、通訊群組,不得利用網(wǎng)絡(luò)與實施詐騙,制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。

中國政法大學(xué)傳播法研究中心副主任朱巍表示,無論網(wǎng)絡(luò)詐騙花樣如何翻新,都是通過即時聊天工具、搜索平臺、網(wǎng)絡(luò)平臺、電子郵件等渠道實施和傳播的。這些規(guī)定,不僅對詐騙個人和組織起到震懾作用,更明確了互聯(lián)網(wǎng)企業(yè)不可推卸的責(zé)任。

看點三:以法律形式明確網(wǎng)絡(luò)實名制

垃圾評論充斥論壇,一言不合就惡意辱罵,更有甚者唯恐天下不亂傳播制造謠言一段時間以來,種種亂象充斥著虛擬的網(wǎng)絡(luò)空間。隨著網(wǎng)絡(luò)實名制概念的提出,有人拍手稱快,也有人表示擔(dān)憂。

網(wǎng)絡(luò)安全法以法律的形式對網(wǎng)絡(luò)實名制作出規(guī)定:網(wǎng)絡(luò)運營者為用戶辦理網(wǎng)絡(luò)接入、域名注冊服務(wù),辦理固定電話、移動電話等入網(wǎng)手續(xù),或者為用戶提供信息、即時通訊等服務(wù),應(yīng)當(dāng)要求用戶提供真實身份信息。用戶不提供真實身份信息的,網(wǎng)絡(luò)運營者不得為其提供相關(guān)服務(wù)。

王四新表示,網(wǎng)絡(luò)是虛擬的,但使用網(wǎng)絡(luò)的人是真實的。事實上,現(xiàn)在很多網(wǎng)絡(luò)平臺都開始實行前臺資源、后臺實名的原則,讓每個人使用互聯(lián)網(wǎng)時,既有隱私,也增強責(zé)任意識和自我約束。這一規(guī)定能否落到實處的關(guān)鍵在于,網(wǎng)絡(luò)服務(wù)提供商要落實主體責(zé)任,加強審核把關(guān)。

看點四:重點保護關(guān)鍵信息基礎(chǔ)設(shè)施

物理隔離防線可被跨網(wǎng)入侵,電力調(diào)配指令可被惡意篡改,金融交易信息可被竊取這些信息基礎(chǔ)設(shè)施的安全隱患,不出問題則已,一出就可能導(dǎo)致交通中斷、金融紊亂、電力癱瘓等問題,具有很大的破壞性和殺傷力。

網(wǎng)絡(luò)安全法專門單列一節(jié),對關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全進行明確規(guī)定,指出國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護。

中國信息安全研究院副院長左曉棟表示,信息化的深入推進,使關(guān)鍵信息基礎(chǔ)設(shè)施成為社會運轉(zhuǎn)的神經(jīng)系統(tǒng)。保障這些關(guān)鍵信息系統(tǒng)的安全,不僅僅是保護經(jīng)濟安全,更是保護社會安全、公共安全乃至國家安全。保護國家關(guān)鍵信息基礎(chǔ)設(shè)施是國際慣例,此次以法律的形式予以明確和強調(diào),非常及時而且必要。

看點五:懲治攻擊破壞我國關(guān)鍵信息基礎(chǔ)設(shè)施的境外組織和個人

2019年國家網(wǎng)信辦曾披露數(shù)據(jù)顯示,我國一直是網(wǎng)絡(luò)攻擊的受害國,每個月有1萬多個網(wǎng)站被篡改,80%的政府網(wǎng)站受到過攻擊,這些網(wǎng)絡(luò)攻擊主要來自美國。

網(wǎng)絡(luò)安全法規(guī)定,境外的個人或者組織從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關(guān)鍵信息基礎(chǔ)設(shè)施的活動,造成嚴重后果的,依法追究法律責(zé)任;國務(wù)院公安部門和有關(guān)部門并可以決定對該個人或者組織采取凍結(jié)財產(chǎn)或者其他必要的制裁措施。

左曉棟表示,網(wǎng)絡(luò)空間的主權(quán)不僅包括對我國自己的關(guān)鍵信息基礎(chǔ)設(shè)施進行保護的權(quán)利,同時包括抵御外來侵犯的權(quán)利。當(dāng)今世界各國紛紛采取各種措施防范自己的網(wǎng)絡(luò)空間不受外來侵犯,采取一切手段包括軍事手段保護其信息基礎(chǔ)設(shè)施的安全。網(wǎng)絡(luò)安全法作出這一規(guī)定,不僅符合國際慣例,而且表明了我們維護國家網(wǎng)絡(luò)主權(quán)的堅強決心。

看點六:重大突發(fā)事件可采取網(wǎng)絡(luò)通信管制

現(xiàn)實社會中,出現(xiàn)重大突發(fā)事件,為確保應(yīng)急處置、維護國家和公眾安全,有關(guān)部門往往會采取交通管制等措施。網(wǎng)絡(luò)空間也不例外。

網(wǎng)絡(luò)安全法中,對建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警與應(yīng)急處置制度專門列出一章作出規(guī)定,明確了發(fā)生網(wǎng)絡(luò)安全事件時,有關(guān)部門需要采取的措施。特別規(guī)定:因維護國家安全和社會公共秩序,處置重大突發(fā)社會安全事件的需要,經(jīng)國務(wù)院決定或者批準,可以在特定區(qū)域?qū)W(wǎng)絡(luò)通信采取限制等臨時措施。

第2篇:網(wǎng)絡(luò)安全法范文

關(guān)鍵詞:網(wǎng)絡(luò)安全;信息;法律

網(wǎng)絡(luò)技術(shù)的持續(xù)完善以及信息技術(shù)的持續(xù)發(fā)展直接影響到了我們的日常生活,這方面我們對于信息的掌握,通過研究可以看出網(wǎng)絡(luò)技術(shù)以及信息技術(shù)對于社會發(fā)展來說是特別重要的,極大的促進了我們國家現(xiàn)代化的發(fā)展?,F(xiàn)階段我們國家安全戰(zhàn)略明確了網(wǎng)絡(luò)信息安全的重要性。

一、信息經(jīng)濟時代的特點以及網(wǎng)絡(luò)時代的特點

(一)信息時代的新趨勢信息經(jīng)濟是將產(chǎn)業(yè)信息化以及信息產(chǎn)業(yè)化進行有效的聯(lián)系,金額促進兩者之間的互動以及互相影響、互相促進以及共同發(fā)展,這把高新技術(shù)當(dāng)作物質(zhì)基礎(chǔ),進而推展出高新經(jīng)濟。信息經(jīng)濟和工業(yè)經(jīng)濟以及農(nóng)業(yè)經(jīng)濟有著一定的聯(lián)系,信息經(jīng)濟表示這個國家或者是地區(qū)國民生產(chǎn)總值中和信息有著緊密聯(lián)系的經(jīng)濟活動的比重,比重超過生產(chǎn)總值的一半的時候,信息經(jīng)濟將會占據(jù)一個主導(dǎo)的地位,這樣也就顯示出進入了信息社會。(二)信息化的發(fā)展以及網(wǎng)絡(luò)經(jīng)濟的發(fā)展由于全球一體化的持續(xù)深入,信息化涉及到的范圍越來越廣,信息技術(shù)的發(fā)展直接影響到了信息化的發(fā)展。在國際上以及在我們國家內(nèi)部,數(shù)字化技術(shù)、寬帶化技術(shù)、智能化技術(shù)以及綜合化技術(shù)和網(wǎng)絡(luò)化技術(shù)的持續(xù)進步,使得通信技術(shù)和計算機技術(shù)以及電視技術(shù)進行了有效的聯(lián)系,通過互相作用進而進行融合,通過融合以及綜合,進而產(chǎn)生一個較大的信息網(wǎng)絡(luò),這個比較大的信息網(wǎng)絡(luò)涉及到的內(nèi)容是比較多的,包括電信網(wǎng)、廣播電視網(wǎng)和因特網(wǎng)。

二、信息時代以及網(wǎng)絡(luò)時代所存在的網(wǎng)絡(luò)安全問題

由于互聯(lián)網(wǎng)技術(shù)的持續(xù)進步以及互聯(lián)網(wǎng)技術(shù)的廣泛使用,網(wǎng)絡(luò)的影響力越來越大,現(xiàn)階段直接影響到了我們的思維以及日常生活,并且對于企業(yè)來說也起到了比較積極的作用。由于企業(yè)信息網(wǎng)絡(luò)建設(shè)的持續(xù)進步,進而使得企業(yè)效益持續(xù)增加。不過,信息經(jīng)濟的發(fā)展和農(nóng)業(yè)經(jīng)濟的發(fā)展以及工業(yè)經(jīng)濟的發(fā)展存在差別,通過對于計算機技術(shù)以及電信技術(shù)的聯(lián)系進而成立一種新型的信息系統(tǒng)以及信息網(wǎng)絡(luò)、通過分析能夠看出,網(wǎng)絡(luò)安全對于信息產(chǎn)業(yè)來說是特別重要的,直接影響到了整個宏觀經(jīng)濟環(huán)境。

三、成立一個符合國家信息安全戰(zhàn)略需求的法律體系

(一)成立有效的立法框架,建立國家網(wǎng)絡(luò)信息安全法,對于網(wǎng)絡(luò)安全法律法規(guī)體系框架的建立,需要政府部門以及有關(guān)的管理部門和人民群眾這樣的網(wǎng)絡(luò)安全管理主體,不僅需要確保人們的人身權(quán)、隱私權(quán)以及知識產(chǎn)權(quán),并且需要充分分配相關(guān)的網(wǎng)絡(luò)經(jīng)營管理機構(gòu)。進而落實相關(guān)的責(zé)任以及權(quán)利,這樣也有助于對于信息的獲取、傳輸以及處理?,F(xiàn)階段管理和發(fā)展聯(lián)系比較密切,所以通過對于現(xiàn)階段法律法規(guī)的研究,進而確定出比較完整、比較全面的網(wǎng)絡(luò)信息安全法,不僅可以確保信息的安全以及網(wǎng)絡(luò)的安全和知識產(chǎn)權(quán)的安全,也可以確保能夠提供更加可靠的信息服務(wù)。(二)增強對于網(wǎng)絡(luò)信息安全法的建設(shè)力度,補充法律法規(guī)體系中所存在的不足,并且需要及時的改善現(xiàn)階段我們國家網(wǎng)絡(luò)安全法律法規(guī)體系所存在的問題,通過對于法律法規(guī)的修訂以及對于法律法規(guī)的補充,進而使得網(wǎng)絡(luò)安全法律法規(guī)體系更加完整。在法律方面需要增強對于所存在問題的完善立法,在制度方面,需要增加對于網(wǎng)絡(luò)安全的監(jiān)控,并且需要重視通信協(xié)助、信息安全產(chǎn)品管理、網(wǎng)絡(luò)信息安全管理以及網(wǎng)絡(luò)信息之間的聯(lián)系,這樣可以有效的增加法律法規(guī)的可操作性。(三)增強法律體系中的管理和技術(shù)的聯(lián)系。技術(shù)是網(wǎng)絡(luò)信息安全立法的基礎(chǔ),管理可以使得網(wǎng)絡(luò)信息安全法律能夠有效的被執(zhí)行。技術(shù)和管理之間有著緊密的聯(lián)系,并且存在一定的制約作用。首先就是安全立法需要高于技術(shù),如此才可以防止出現(xiàn)網(wǎng)絡(luò)犯罪。當(dāng)建立我們國家網(wǎng)絡(luò)信息安全立法依稀的時候需要明確計算機信息技術(shù)的重要性,并且需要建立有著高技術(shù)含量的網(wǎng)絡(luò)安全體系,現(xiàn)階段在建立網(wǎng)絡(luò)安全法律法規(guī)體系的時候計算機網(wǎng)絡(luò)安全標準是特別重要的。

四、結(jié)語

在解決網(wǎng)絡(luò)安全問題的時候,現(xiàn)階段所存在的東西以及還在理論之中的方案都會存在一定的問題,很難確保是完美無瑕的。由于時間的流逝,即使解決了現(xiàn)階段的問題,還會有新的問題產(chǎn)生,所以,對于信息網(wǎng)絡(luò)安全保障體系的建設(shè),是一個無休止的過程,這會是一個重要的信息經(jīng)濟時代的話題。

[參考文獻]

[1]楊詠婕.個人信息的私法保護研究[D].吉林大學(xué),2013.

第3篇:網(wǎng)絡(luò)安全法范文

電子商務(wù)是計算機技術(shù)快速發(fā)展的產(chǎn)物,和傳統(tǒng)的商務(wù)模式不同,電子商務(wù)是集安全技術(shù)網(wǎng)絡(luò)技術(shù)以及數(shù)字通信技術(shù)與一身的新型商務(wù)模式,它具有信息性、互動性、傳播性等特點。隨著電子商務(wù)的快速發(fā)展,其面臨的網(wǎng)絡(luò)安全問題日益突出,形勢不容樂觀,網(wǎng)絡(luò)安全問題現(xiàn)已成為了阻礙電子商務(wù)繼續(xù)前進的重要障礙。因此,對當(dāng)前的電子商務(wù)發(fā)展面臨的網(wǎng)絡(luò)安全問題進行分析和探討,同時提出可行性的處理建議就顯得尤為重要。對當(dāng)前電子商務(wù)發(fā)展面臨的網(wǎng)絡(luò)安全問題進行初步的分析,依據(jù)分析結(jié)果探討一種安全的、可行的實現(xiàn)電子商務(wù)的途徑。

[關(guān)鍵詞]

電子商務(wù);電子商務(wù)環(huán)境;網(wǎng)絡(luò)安全;發(fā)展對策

一、電子商務(wù)概念及特點概述

電子商務(wù)簡單來說可以概括為兩個方面:一是電子方式,二是貿(mào)易活動,電子商務(wù)是指借助信息網(wǎng)絡(luò)的方式來完成商務(wù)貿(mào)易活動的綜合性的服務(wù)行為,電子商務(wù)以其成本低、方便、快捷等優(yōu)點深受人們的喜愛,且發(fā)展速度十分快。

隨著電子商務(wù)的快速發(fā)展,電子商務(wù)逐漸對消費者的消費觀念、消費行為甚至是國際消費市場都產(chǎn)生了重要的影響。電子商務(wù)具有時效性強、成本低、方便等優(yōu)點,所以發(fā)展速度十分驚人。

總結(jié)電子商務(wù)的功能主要有下述幾個方面:廣告宣傳、商品買賣、意見征詢、在線支付等等。其中廣告宣傳指的是電子商務(wù)可在Internet廣告宣傳信息,消費者可通過檢索工具找到其所需的商品廣告信息。相較于其他的廣告手段來說,電子商務(wù)的廣告宣傳方式成本更低,且形式自由、更為方便;商品買賣是指商家及消費者可通過電子商務(wù)在線完成商品買賣活動;意見征詢是指商家可充分利用電子商務(wù)來收集消費者的信息及對銷售服務(wù)的反饋意見;在線支付是指消費者和商家可通過信用卡帳號進行在線支付,在線支付能夠有效幫助買賣雙方節(jié)省不必要的手續(xù)開銷。

總結(jié)電子商務(wù)的特點主要有下述幾個方面:安全性、商務(wù)性、服務(wù)性等等。商務(wù)性是電子商務(wù)的基礎(chǔ)特性,同時也是電子商務(wù)的本質(zhì);服務(wù)性是電子商務(wù)活動是否可以正常、有序進行的關(guān)鍵,目前很多的電子商務(wù)公司均能為消費者提供系統(tǒng)性的服務(wù);安全性是電子商務(wù)活動的核心特性,若消費者對電子商務(wù)活動缺乏安全性,則他們就會放棄網(wǎng)上購買行為,隨著電子商務(wù)的發(fā)展,電子商務(wù)的安全性更應(yīng)該得到重視,這也是本文的選題意義所在。

二、電子商務(wù)的網(wǎng)絡(luò)安全性要求分析

1、身份認證的要求

為確保電子商務(wù)的網(wǎng)絡(luò)安全,電子商務(wù)系統(tǒng)首先應(yīng)建立健全的身份認證系統(tǒng),同時確保此類身份認證信息均為有效。當(dāng)前的電子商務(wù)市場存在信息失真的現(xiàn)象,致使很多消費者對電子商務(wù)失去信心,因此進行身份認證就顯得尤為重要,建立健全的身份認證系統(tǒng)能夠有效避免不必要的法律糾紛,增強消費者及潛在消費者對電子商務(wù)市場的信賴感。

2、交易信息的保密性要求

為進一步確保為確保電子商務(wù)的網(wǎng)絡(luò)安全,電子商務(wù)系統(tǒng)還應(yīng)及時對消費者的信息做嚴格的保密處理。以免消費者的信息泄漏,使消費者蒙受損失或遭到騷擾,此外,還應(yīng)注意避免信息惡意攻擊。

2.3 數(shù)據(jù)完整性要求

電子商務(wù)系統(tǒng)的數(shù)據(jù)完整指的是數(shù)據(jù)庫的原有數(shù)據(jù)及當(dāng)前數(shù)據(jù)應(yīng)保持統(tǒng)一。電子商務(wù)系統(tǒng)的數(shù)據(jù)完整能夠使電子商務(wù)活動的公正性得到保障,因此電子商務(wù)交易活動的數(shù)據(jù)資料不允許被篡改。

三、電子商務(wù)發(fā)展面臨的網(wǎng)絡(luò)安全問題分析

1、信息安全問題

電子商務(wù)發(fā)展面臨的信息安全問題主要表現(xiàn)在一些不法分子利用非正規(guī)的手段非法獲取用戶的個人信息,致使用戶的信息被泄漏,從而使用戶蒙受損失。此外,一些不法分子還通過非正規(guī)的途徑對其截獲的信息數(shù)據(jù)進行隨意的更改,使信息失真從而致使用戶無法正常完成電子商務(wù)活動。

2、服務(wù)器的安全問題

電子商務(wù)的服務(wù)器存儲了很多商家及軟件的信息,甚至一些服務(wù)器上還存儲有一些商家的重要的保密信息資料,因此加強對服務(wù)器的安全監(jiān)管刻不容緩。當(dāng)前電子商務(wù)的服務(wù)器的安全問題主要體現(xiàn)在下述幾個方面:不法分子通過向服務(wù)器傳送大量的無效請求來損耗服務(wù)器的可用資源,從而使服務(wù)器癱瘓無法繼續(xù)正常工作;通過一些安全漏洞如操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、軟件等等,借助特定的網(wǎng)絡(luò)數(shù)據(jù)請求來阻斷服務(wù)器的正常工作,使之奔潰、癱瘓。

3、安全協(xié)議問題

雖然電子商務(wù)已經(jīng)實現(xiàn)了全球化的發(fā)展,但是安全協(xié)議問題卻未能得到同步的發(fā)展。電子商務(wù)安全協(xié)議還未擁有全球性的統(tǒng)一的標題,這樣就易導(dǎo)致區(qū)域、甚至國際性的電子商務(wù)活動受到限制。除此之外,電子商務(wù)的安全協(xié)議問題還表現(xiàn)為防御黑客的攻擊的能力薄弱等。

4、病毒防御問題

隨著電子商務(wù)的快速發(fā)展,各種網(wǎng)絡(luò)病毒也隨之增加,十多年間的時間互聯(lián)網(wǎng)新型病毒發(fā)生了翻天覆地的變化,一些新型的病毒可直接通過網(wǎng)絡(luò)進行傳播,甚至許多病毒還可借助網(wǎng)絡(luò)進行快速傳播,給用戶和商家造成了不可估量的損失。

5、平臺的自然物理威脅問題

電子商務(wù)是借助網(wǎng)絡(luò)環(huán)境進行傳輸?shù)?,因此一些電子商?wù)也會受到一些來自平臺的自然物理問題的威脅。如因網(wǎng)絡(luò)設(shè)備自然老化致使傳輸速度變慢等自然物理因素難以預(yù)料,此類問題將直接威脅到電子商務(wù)的信息安全問題。除此之外,一些人為因素如惡意刪除信息數(shù)據(jù)、惡意破壞商務(wù)系統(tǒng)硬等等也會使電子商務(wù)企業(yè)蒙受損失。

此外,不法分子還可以通過串音、搭線以及電磁輻射等方式來獲取商家的信息,而這些行為都會對企業(yè)造成無法估量的損失。

6、交易身份認證問題

一些不法分子利用網(wǎng)絡(luò)技術(shù)盜取某些用戶的數(shù)據(jù)信息,利用合法用戶的身份來進行違法犯罪行為,或者借助虛假的用戶信息來騙取資金。上述的這些案例均為不法分子通過盜取某些用戶的數(shù)據(jù)信息來進行違法犯罪行為,可見交易身份認證問題為電子商務(wù)網(wǎng)絡(luò)系統(tǒng)中的重要性。

四、電子商務(wù)網(wǎng)絡(luò)安全問題對策研究

1、進一步完善電子商務(wù)網(wǎng)絡(luò)安全法律法規(guī)

當(dāng)前,我國關(guān)于電子商務(wù)網(wǎng)絡(luò)安全的法律法規(guī)還比較少,致使一些網(wǎng)絡(luò)犯罪行為未能及時被定罪。為規(guī)范電子商務(wù)市場,進一步完善電子商務(wù)網(wǎng)絡(luò)安全法律法規(guī)就顯得至關(guān)重要。相對于其他的法律法規(guī),網(wǎng)絡(luò)犯罪行為由于具有取證困難等特點致使電子商務(wù)網(wǎng)絡(luò)安全法律法規(guī)難以立法。所以,相對于其他的法律法規(guī)來說,電子商務(wù)網(wǎng)絡(luò)安全法律法規(guī)的立法需要更多的時間。

進一步完善電子商務(wù)網(wǎng)絡(luò)安全法律法規(guī)要求有關(guān)部門要依據(jù)網(wǎng)絡(luò)犯罪行為的特點,建立起一個制度完備、協(xié)調(diào)統(tǒng)一的網(wǎng)絡(luò)犯罪法律法規(guī)處理體系,從而為網(wǎng)絡(luò)安全犯罪行為的處理提供法律依據(jù)。

此外,和國外的發(fā)達國家相比,我國的電子商務(wù)的基礎(chǔ)設(shè)施建設(shè)比較落后,我國的電子商務(wù)信息基礎(chǔ)設(shè)備投入存在明顯不足的現(xiàn)象,我國在信息基礎(chǔ)設(shè)施建設(shè)方面落后于其他國家,致使很多電子商務(wù)企業(yè)喪失應(yīng)有的機遇和挑戰(zhàn),使網(wǎng)絡(luò)安全問題未能得到良好的保障,除了進一步完善電子商務(wù)網(wǎng)絡(luò)安全法律法規(guī),還應(yīng)加強對電子商務(wù)的基礎(chǔ)設(shè)施的建設(shè)。

2、加強對網(wǎng)絡(luò)病毒的查殺

網(wǎng)絡(luò)病毒的存在無疑給電子商務(wù)造成了很大的威脅,對于計算機網(wǎng)絡(luò)病毒,應(yīng)以預(yù)防為主,查殺為輔。加強對病毒的預(yù)防應(yīng)從對計算機軟硬件的系統(tǒng)檢測入手,借助相關(guān)的殺毒軟件來進行病毒的查殺,對于重要的數(shù)據(jù)文件應(yīng)及時做備份處理,已經(jīng)感染病毒的文件應(yīng)做隔離處理,以免造成病毒的二次感染。

一旦計算機感染網(wǎng)絡(luò)病毒,首先要做的事情就是查殺病毒同時恢復(fù)系統(tǒng),查殺病毒的過程中應(yīng)盡量找出病毒的來源,應(yīng)避免在清除病毒的過程中誤刪重要的文件。

3、防火墻的應(yīng)用

眾所周知,防火墻現(xiàn)已成為重要的網(wǎng)絡(luò)安全防護設(shè)備。應(yīng)用防火墻的目的是通過設(shè)立一個控制關(guān)卡來控制用戶訪問,最終達到阻止不法分子侵入網(wǎng)絡(luò)的目的,防火墻的應(yīng)用能夠有效避免內(nèi)部網(wǎng)絡(luò)設(shè)備免遭破壞,從而保證電子商務(wù)網(wǎng)絡(luò)的安全性。

4、引入數(shù)據(jù)加密技術(shù)

電子商務(wù)中引入數(shù)據(jù)加密技術(shù)也是保證其網(wǎng)絡(luò)安全的重要手段。當(dāng)電子商務(wù)中引入數(shù)據(jù)加密技術(shù)時,一旦有不法分子惡意攻擊,由于對方?jīng)]有密鑰,就會因為未能得到文件的原始數(shù)據(jù)而無法實現(xiàn)獲取文件的目的,除了違法分子外,其他人可通過密鑰解密而獲取真實的數(shù)據(jù)。數(shù)據(jù)加密技術(shù)有效地增強了電子商務(wù)網(wǎng)絡(luò)的安全性,使不法分子即使竊取文件后也無法正常使用文件,然而數(shù)據(jù)加密技術(shù)也存在一定的局限性,如不法分子可能可以憑借破譯密鑰的方式來獲取密鑰。

因此,為使數(shù)據(jù)加密技術(shù)的安全性得到更有力的保障,還應(yīng)建立一套完善的、系統(tǒng)的密鑰管理體系。這就要求有關(guān)部門要加強對工作人員的專業(yè)素質(zhì)培訓(xùn),同時適當(dāng)?shù)卦黾用荑€的長度。通常來說,密鑰的長度越長,其安全性也越高,然而加密和解密密匙所花費的時間也就相對比較長,這樣一來就會使數(shù)據(jù)傳輸?shù)乃俣仁艿接绊懀虼嗣艹椎木唧w長度應(yīng)依據(jù)具體的電子商務(wù)的內(nèi)容及安全級別來進行具體設(shè)置。

5、企業(yè)加強自身管理

企業(yè)加強自身的安全管理是解決其網(wǎng)絡(luò)安全問題的另一重點。企業(yè)加強自身的安全管理要求電子商務(wù)企業(yè)應(yīng)將網(wǎng)絡(luò)安全問題作為其工作的重中之重,各個部門安全工作的展開均應(yīng)以電子商務(wù)安全問題為基礎(chǔ)。此外,企業(yè)還應(yīng)加強對其工作人員的信息安全素質(zhì)鍛煉,通過系列的培訓(xùn)工作來喚起員工的網(wǎng)絡(luò)安全意識。雖然說相關(guān)的電子商務(wù)網(wǎng)絡(luò)安全的法律法規(guī)在某一方面來說能夠有效解決電子商務(wù)網(wǎng)絡(luò)的安全問題,但是成熟、完善的電子商務(wù)系統(tǒng)管理還需要通過企業(yè)自身以及有關(guān)的操作人員來保證其正常的運行,因此電子商務(wù)網(wǎng)絡(luò)安全實現(xiàn)的關(guān)鍵仍然是人,電子商務(wù)網(wǎng)絡(luò)安全得以保證需要有大量的熟知電子商務(wù)信息技術(shù)的復(fù)合型人才,企業(yè)應(yīng)加強對此類電子商務(wù)人才的培養(yǎng),形成一支專業(yè)素質(zhì)強的電子商務(wù)隊伍。

五、結(jié)束語

電子商務(wù)的發(fā)展從某一方面來說為全球商務(wù)發(fā)展的趨勢指明了方向,電子商務(wù)的迅猛發(fā)展給世界的政治、經(jīng)濟及法律到帶來了深遠的影響,因此電子商務(wù)的網(wǎng)絡(luò)安全問題也變得愈加重要。成熟的電子商務(wù)一定有可靠、安全的網(wǎng)絡(luò)系統(tǒng),只有安全的電子商務(wù)網(wǎng)絡(luò)才能獲取消費者的信賴和支持。

加強電子商務(wù)的網(wǎng)絡(luò)安全管理應(yīng)從多個方面出發(fā),盡快完善成熟的電子商務(wù)法律法規(guī)體系,進一步強化電子商務(wù)系統(tǒng)的完善及行業(yè)的穩(wěn)定發(fā)展,為電子商務(wù)的發(fā)展建立一個良好、安全、穩(wěn)定的環(huán)境,使電子商務(wù)得以健康發(fā)展。

參考文獻:

[1]吳洋.電子商務(wù)安全方法研究[D].天津:天津大學(xué),2006

[2]張兵.網(wǎng)絡(luò)經(jīng)濟下的稅收流失問題及其對策[J].財會研究,2008,(22)

[3]王越等.信息系統(tǒng)與安全對抗理論[M].北京:北京理工大學(xué)出版社,2006,(1)

[4]甘悅.淺議電子商務(wù)信息安全體系的構(gòu)建[J].西北成人教育學(xué)報,2007,(2)

[5]劉錦萍.電子商務(wù)環(huán)境中的ERP[J].商業(yè)經(jīng)濟,2005,(01)

[6]李艷.電子商務(wù)信息安全策略研究[J].甘肅科技,2005,(6)

[7]姜火文.電子商務(wù)安全策略探討[J].商場現(xiàn)代化,2007,(36)

[8]常連定,趙剛.我國電子商務(wù)發(fā)展存在的問題及應(yīng)對策略[J].科技情報開發(fā)與經(jīng)濟,2005,(10)

[9]成衛(wèi)青,龔儉.網(wǎng)絡(luò)安全評估[J].計算機工程,2003,(2)

[10]王滔,劉亞錚,陳浩.湖南移動手機支付系統(tǒng)在電子商務(wù)中的應(yīng)用[J].企業(yè)技術(shù)開發(fā),2007,(02)

[11]周明,黃元江,李建設(shè).電子商務(wù)中的安全技術(shù)研究[J].株洲工學(xué)院學(xué)報,2005,(1)

[12]肖德琴.電子商務(wù)安全保密技術(shù)與應(yīng)用[M].華南理工大學(xué)出版社,2003,(9)

[13]張丹.電子商務(wù)中安全問題的分析及其安全策略[J].商場現(xiàn)代化,2008,(05)

[14]張娟.電子商務(wù)網(wǎng)絡(luò)安全技術(shù)探究[J].甘肅科技縱橫,2005,(4)

[15]胡明.電子商務(wù)安全技術(shù)的分析與研究[J].商場現(xiàn)代化,2008,(32)

[16]趙乃真.電子商務(wù)技術(shù)與應(yīng)用[M].北京:中國鐵道出版社,2003

[17]牛榮.電子商務(wù)信息安全[J].商場現(xiàn)代化,2008,(1)

[18]袁紅清,黃惠琴.面向電子商務(wù)企業(yè)信息化模型的構(gòu)建[J].經(jīng)濟師,2000,(10)

第4篇:網(wǎng)絡(luò)安全法范文

關(guān)鍵詞:網(wǎng)絡(luò)安全;風(fēng)險評估;方法

1網(wǎng)絡(luò)安全風(fēng)險概述

1.1網(wǎng)絡(luò)安全風(fēng)險

網(wǎng)絡(luò)最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網(wǎng)絡(luò)用戶提供傳輸以及網(wǎng)絡(luò)服務(wù)等功能,網(wǎng)絡(luò)安全主要包括無線網(wǎng)絡(luò)安全和有線網(wǎng)絡(luò)安全。從無線網(wǎng)絡(luò)安全方面來看,無線網(wǎng)絡(luò)安全主要是保證使用者進行網(wǎng)絡(luò)通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸?shù)陌踩珕栴}都是當(dāng)前研究的重要課題,由于無線網(wǎng)絡(luò)在數(shù)據(jù)存儲和傳輸?shù)倪^程之中有著相當(dāng)嚴重的局限性,其在安全方面面臨著較大的風(fēng)險,如何對這些風(fēng)險進行預(yù)防直接關(guān)乎著使用者的切身利益。想要對無線網(wǎng)絡(luò)安全進行全面正確的評估,單純的定量分析法已經(jīng)不能夠滿足當(dāng)前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結(jié)合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當(dāng)前無線網(wǎng)絡(luò)的安全風(fēng)險值。而對于有線網(wǎng)絡(luò),影響其安全風(fēng)險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準確的數(shù)值。

1.2網(wǎng)絡(luò)安全的目標

網(wǎng)絡(luò)安全系統(tǒng)最重要的核心目標便是安全。在網(wǎng)絡(luò)漏洞日益增多的今天,如何對網(wǎng)絡(luò)進行全方位無死角的漏洞安全排查便顯得尤為重要。在網(wǎng)絡(luò)安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網(wǎng)絡(luò)安全評估的工作效率,盡最大可能減少每個環(huán)節(jié)所帶來的網(wǎng)絡(luò)安全風(fēng)險,從而保證網(wǎng)絡(luò)的合理安全運行。1.3風(fēng)險評估指標在本論文的分析過程之中,主要對風(fēng)險評估劃分了三個系統(tǒng)化的指標,即網(wǎng)絡(luò)層指標體系、網(wǎng)絡(luò)傳輸風(fēng)險指標體系以及物理安全風(fēng)險指標體系,在各個指標體系之中,又分別包含了若干個指標要素,最終形成了一個完整的風(fēng)險評估指標體系,進而避免了資源的不必要浪費,最終達到網(wǎng)絡(luò)安全的評估標準。

2網(wǎng)絡(luò)安全風(fēng)險評估的方法

如何對網(wǎng)絡(luò)風(fēng)險進行評估是當(dāng)前備受關(guān)注的研究課題之一。筆者結(jié)合了近幾年一些學(xué)者在學(xué)術(shù)期刊和論文上的意見進行了全面的分析,結(jié)合網(wǎng)絡(luò)動態(tài)風(fēng)險的特點以及難點問題,最終在確定風(fēng)險指標系統(tǒng)的基礎(chǔ)上總結(jié)出了以下幾種方法,最終能夠保證網(wǎng)絡(luò)信息安全。

2.1網(wǎng)絡(luò)風(fēng)險分析

作為網(wǎng)絡(luò)安全第一個環(huán)節(jié)也是最為重要的一個環(huán)節(jié),網(wǎng)絡(luò)風(fēng)險分析的成敗直接決定了網(wǎng)絡(luò)安全風(fēng)險評估的成敗。對于網(wǎng)絡(luò)風(fēng)險進行分析,不單單要涉及指標性因素,還有將許多不穩(wěn)定的因素考慮在內(nèi),全面的徹底的分析網(wǎng)絡(luò)安全問題發(fā)生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內(nèi)外部因素全部考慮在內(nèi),對網(wǎng)絡(luò)資產(chǎn)有一個大致的判斷,并借此展開深層次的分析和研究。

2.2風(fēng)險評估

在網(wǎng)絡(luò)安全風(fēng)險評估之中,可以說整個活動的核心便是風(fēng)險評估了。網(wǎng)絡(luò)風(fēng)險的突發(fā)性以及并發(fā)性相對其他風(fēng)險較高,這便進一步的體現(xiàn)了風(fēng)險評估工作的重要性。在進行風(fēng)險評估的過程之中,我們主要通過對風(fēng)險誘導(dǎo)因素進行定量和定性分析,在此分析的基礎(chǔ)上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風(fēng)險評估工作的效率以及安全性。在進行風(fēng)險評估的過程之中,要充分結(jié)合當(dāng)前網(wǎng)絡(luò)所處的環(huán)境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結(jié)合,最終完成整個風(fēng)險評估工作。

2.3安全風(fēng)險決策與監(jiān)測

在進行安全風(fēng)險決策的過程之中,對信息安全依法進行管理和監(jiān)測是保證網(wǎng)絡(luò)風(fēng)險安全的前提。安全決策主要是根據(jù)系統(tǒng)實時所面對的具體狀況所進行的風(fēng)險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當(dāng)前的網(wǎng)絡(luò)安全系統(tǒng)的穩(wěn)定,從而最終保證風(fēng)險評估得以平穩(wěn)進行。而對于安全監(jiān)測,網(wǎng)絡(luò)風(fēng)險評估的任何一個過程都離不開安全檢測的運行。網(wǎng)絡(luò)的不確定性直接決定了網(wǎng)絡(luò)安全監(jiān)測的必要性,在系統(tǒng)更新?lián)Q代中,倘若由于一些新的風(fēng)險要素導(dǎo)致整個網(wǎng)絡(luò)的安全評估出現(xiàn)問題,那么之前的風(fēng)險分析和決策對于后面的管理便已經(jīng)毫無作用,這時候網(wǎng)絡(luò)監(jiān)測所起到的一個作用就是實時判斷網(wǎng)絡(luò)安全是否產(chǎn)生突發(fā)狀況,倘若產(chǎn)生了突發(fā)狀況,相關(guān)決策部門能夠第一時間的進行策略調(diào)整。因此,網(wǎng)絡(luò)監(jiān)測在整個工作之中起到一個至關(guān)重要的作用。

3結(jié)語

網(wǎng)絡(luò)安全風(fēng)險評估是一個復(fù)雜且完整的系統(tǒng)工程,其本質(zhì)性質(zhì)決定了風(fēng)險評估的難度。在進行網(wǎng)絡(luò)安全風(fēng)險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風(fēng)險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發(fā)狀況都能夠及時的反映和對付,最終確保整個網(wǎng)絡(luò)安全的平穩(wěn)運行。

參考文獻

[1]程建華.信息安全風(fēng)險管理、評估與控制研究[D].吉林大學(xué),2008.

[2]李志偉.信息系統(tǒng)風(fēng)險評估及風(fēng)險管理對策研究[D].北京交通大學(xué),2010.

[3]孫文磊.信息安全風(fēng)險評估輔助管理軟件開發(fā)研究[D].天津大學(xué),2012.

[4]劉剛.網(wǎng)絡(luò)安全風(fēng)險評估、控制和預(yù)測技術(shù)研究[D].南京理工大學(xué),2014.

第5篇:網(wǎng)絡(luò)安全法范文

關(guān)鍵詞:網(wǎng)絡(luò);安全;數(shù)據(jù)包;防火墻;入侵防御;防病毒網(wǎng)關(guān)

網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀

目前我們使用各種網(wǎng)絡(luò)安全技術(shù)保護計算機網(wǎng)絡(luò),以降低惡意軟件和各種攻擊給企業(yè)帶來的風(fēng)險。使用的網(wǎng)絡(luò)安全技術(shù)大致可以分為四類:

1. 數(shù)據(jù)包層保護:如路由器的訪問控制列表和無狀態(tài)防火墻;

2. 會話層保護:如狀態(tài)檢測防火墻;

3. 應(yīng)用層保護:如防火墻和入侵防御系統(tǒng);

4. 文件層保護:如防病毒網(wǎng)關(guān)系統(tǒng)。

在表-1中對四類網(wǎng)絡(luò)安全技術(shù)進行了比較,并且評估各種技術(shù)涉及的協(xié)議,安全機制,以及這些技術(shù)對網(wǎng)絡(luò)性能的影響。

表-1 網(wǎng)絡(luò)安全技術(shù)的比較

數(shù)據(jù)包過濾保護

數(shù)據(jù)包過濾保護是目前應(yīng)用最廣的控制網(wǎng)絡(luò)訪問的一種方式。這種技術(shù)的原理很簡單:通過比較數(shù)據(jù)包頭的基本信息來確定數(shù)據(jù)包是否允許通過。Cisco IOS的訪問控制列表(ACL)是應(yīng)用最廣泛的一種包過濾工具。Linux操作系統(tǒng)中的IPChains也是一種常用的包過濾工具。

對于某些應(yīng)用協(xié)議,在傳輸數(shù)據(jù)時,需要服務(wù)器和客戶端協(xié)商一個隨機的端口。例如FTP,RPC和H323.包過濾設(shè)備不能保護此類協(xié)議。為了保證此類應(yīng)用的數(shù)據(jù)包通過包過濾設(shè)備,需要在訪問控制列表上打開一個比較大的"漏洞",這樣也就消弱了包過濾系統(tǒng)的保護作用。

狀態(tài)檢測防火墻

會話層的保護技術(shù)通過追蹤客戶端和服務(wù)器之間的會話狀態(tài)來控制雙向的數(shù)據(jù)流。狀態(tài)檢測防火墻記錄會話狀態(tài)信息,而且安全策略是也是對會話狀態(tài)的允許或拒絕。對于基于面向連接的TCP協(xié)議應(yīng)用程序,狀態(tài)檢測防火墻提供更豐富的安全策略:

1. 直接丟棄來自客戶端/服務(wù)器的數(shù)據(jù)包;

2. 向客戶端,或服務(wù)器,或者雙方發(fā)送RST包,從而關(guān)閉整個TCP連接;

3. 提供基本的QoS功能。

狀態(tài)檢測防火墻能夠監(jiān)測到客戶端和服務(wù)器之間的動態(tài)端口的協(xié)商,從而能夠控制動態(tài)協(xié)議的數(shù)據(jù)流。 例如,對于FTP協(xié)議,狀態(tài)檢測防火墻通過監(jiān)測控制會話中的協(xié)商動態(tài)端口的命令,從而控制它的數(shù)據(jù)會話的數(shù)據(jù)傳輸。

應(yīng)用層保護

為了實現(xiàn)應(yīng)用層保護,需要兩個重要的技術(shù):應(yīng)用層協(xié)議分析器和內(nèi)容匹配技術(shù)。應(yīng)用層保護技術(shù)通過應(yīng)用層協(xié)議分析器分析數(shù)據(jù)流的,從而過濾掉應(yīng)用。目前,安全設(shè)備廠商提供多種安全產(chǎn)品提供應(yīng)用層保護技術(shù),其中部署比較廣泛的產(chǎn)品有:入侵防御系統(tǒng)、Proxy防火墻。

1.入侵檢測

入侵檢測技術(shù)是一種主動保護自己免受黑客攻擊的一種新型網(wǎng)絡(luò)安全技術(shù)。入侵檢測技術(shù)不但可以幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,而且擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高了信息安全結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的苦干關(guān)鍵點收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,它在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。此外,它還可以彌補防火墻的不足,為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相應(yīng)的防護手段,是網(wǎng)絡(luò)安全中極其重要的部分。

入侵防御系統(tǒng)根據(jù)網(wǎng)絡(luò)流量的IP地址,網(wǎng)絡(luò)協(xié)議和應(yīng)用層的分析和檢測決定是否允許或拒絕網(wǎng)絡(luò)訪問。入侵防御系統(tǒng)接受數(shù)據(jù)包后,需要重組數(shù)據(jù)包,分析應(yīng)用協(xié)議的命令和原語,然后發(fā)現(xiàn)可疑的網(wǎng)絡(luò)攻擊的特征碼。如果監(jiān)測到網(wǎng)絡(luò)攻擊的特征碼,則執(zhí)行預(yù)定策略的動作。這些動作可以是入侵日志,中斷連接,或者禁止特定的應(yīng)用協(xié)議的某些行為(例如,禁止使用MSN傳輸文件)。

2. 防火墻

防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻。這種防火墻通過一種技術(shù)參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后,就好像是 源于防火墻外部網(wǎng)卡一樣,從而可以達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認為是最安全的防火墻。它的核心技術(shù)就是服務(wù)器技術(shù)。

防火墻在網(wǎng)絡(luò)中客戶端訪問網(wǎng)絡(luò)服務(wù)屏蔽客戶端和服務(wù)器之間的直接通信。首先客戶端和防火墻建立連接,并且防火墻和遠程服務(wù)器建立連接。然后防火墻轉(zhuǎn)發(fā)雙方發(fā)送的數(shù)據(jù)。

防火墻和入侵防御系統(tǒng)都需要具有分片重組和TCP包重組功能,并且能夠丟棄異常網(wǎng)絡(luò)層數(shù)據(jù)包。這些異常的數(shù)據(jù)包可能被用于隱藏網(wǎng)絡(luò)入侵。應(yīng)用層安全產(chǎn)品具有理解應(yīng)用協(xié)議的命令和原語的能力,這能夠使應(yīng)用層安全產(chǎn)品監(jiān)測到異常的應(yīng)用層內(nèi)容。然而這些產(chǎn)品卻受限于它們支持的應(yīng)用層協(xié)議。對于常用的防火墻,僅支持一般的互聯(lián)網(wǎng)協(xié)議,如HTTP,F(xiàn)TP,EMAIL,TELNET,RLOGIN等。入侵防御系統(tǒng)支持更廣泛的應(yīng)用協(xié)議。

防火墻和入侵防御系統(tǒng)通過分析應(yīng)用協(xié)議,可以監(jiān)測某些病毒和木馬。例如,入侵防御系統(tǒng)通過分析EMAIL中的主體,附件文件名,以及附件的文件類型來監(jiān)測某些已知的病毒。但是應(yīng)用層安全保護不能進行文件層面,更深入的監(jiān)測。文件層的安全監(jiān)測可以發(fā)現(xiàn)更多的惡意代碼。

現(xiàn)今有許多應(yīng)用程序是以網(wǎng)頁應(yīng)用服務(wù)(Web Application)方式呈現(xiàn)的,所使用的HTTP端口。此外,許多軟件開發(fā)人員已經(jīng)懂得在開發(fā)應(yīng)用程序時透過這些端口,以規(guī)避狀態(tài)檢測防火墻的阻擋。狀態(tài)檢測防火墻把透過這兩個端口傳輸?shù)姆?wù)?當(dāng)成WWW服務(wù),因此無法?解并控制在網(wǎng)絡(luò)上使用的應(yīng)用程序。

第6篇:網(wǎng)絡(luò)安全法范文

論文摘要:隨著計算機技術(shù)和通信技術(shù)的發(fā)展,計算機網(wǎng)絡(luò)正變得日益重要,已經(jīng)滲透到各行業(yè)的生產(chǎn)管理、經(jīng)營管理等各個領(lǐng)域。因此,認清網(wǎng)絡(luò)的脆弱性和存在的潛在威脅,并采取強有力的防范措施,對于保障計算機網(wǎng)絡(luò)的安全、可靠、正常運行具有十分重要的意義。本文分析了對網(wǎng)絡(luò)安全建設(shè)造成威脅的諸多原因,并在技術(shù)及管理方面提出了相應(yīng)的防范對策。

隨著計算機網(wǎng)絡(luò)的不斷發(fā)展,信息全球化已成為人類發(fā)展的現(xiàn)實。但由于計算機網(wǎng)絡(luò)具有多樣性、開放性、互連性等特點,致使網(wǎng)絡(luò)易受攻擊。具體的攻擊是多方面的,有來自黑客的攻擊,也有其他諸如計算機病毒等形式的攻擊。因此,網(wǎng)絡(luò)的安全措施就顯得尤為重要,只有針對各種不同的威脅或攻擊采取必要的措施,才能確保網(wǎng)絡(luò)信息的保密性、安全性和可靠性。

1威脅計算機網(wǎng)絡(luò)安全的因素

計算機網(wǎng)絡(luò)安全所面臨的威脅是多方面的,一般認為,目前網(wǎng)絡(luò)存在的威脅主要表現(xiàn)在:

1.1非授權(quán)訪問

沒有預(yù)先經(jīng)過同意,就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪問,如有意避開系統(tǒng)訪問控制機制,對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用,或擅自擴大權(quán)限,越權(quán)訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。

1.2信息泄漏或丟失

指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失,它通常包括:信息在傳輸中丟失或泄漏(如"黑客"利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析,推出有用信息,如用戶口令、賬號等重要信息)、信息在存儲介質(zhì)中丟失或泄漏、通過建立隱蔽隧道等竊取敏感信息等。

1.3破壞數(shù)據(jù)完整性

以非法手段竊得對數(shù)據(jù)的使用權(quán),刪除、修改、插入或重發(fā)某些重要信息,以取得有益于攻擊者的響應(yīng);惡意添加、修改數(shù)據(jù),以干擾用戶的正常使用。

1.4拒絕服務(wù)攻擊

它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾,改變其正常的作業(yè)流程,執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。

1.5利用網(wǎng)絡(luò)傳播病毒

通過網(wǎng)絡(luò)傳播計算機病毒,其破壞性大大高于單機系統(tǒng),而且用戶很難防范。

2網(wǎng)絡(luò)安全建設(shè)方法與技術(shù)

網(wǎng)絡(luò)具有訪問方式多樣、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高的特點。網(wǎng)絡(luò)安全問題要從網(wǎng)絡(luò)規(guī)劃階段制定各種策略,并在實際運行中加強管理。為保障網(wǎng)絡(luò)系統(tǒng)的正常運行和網(wǎng)絡(luò)信息的安全,需要從多個方面采取對策。攻擊隨時可能發(fā)生,系統(tǒng)隨時可能被攻破,對網(wǎng)絡(luò)的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。

2.1計算機病毒防治

大多數(shù)計算機都裝有殺毒軟件,如果該軟件被及時更新并正確維護,它就可以抵御大多數(shù)病毒攻擊。定期地升級軟件是很重要的。在病毒入侵系統(tǒng)時,對于病毒庫中已知的病毒或可疑程序、可疑代碼,殺毒軟件可以及時地發(fā)現(xiàn),并向系統(tǒng)發(fā)出警報,準確地查找出病毒的來源。大多數(shù)病毒能夠被清除或隔離。再有,對于不明來歷的軟件、程序及陌生郵件,不要輕易打開或執(zhí)行。感染病毒后要及時修補系統(tǒng)漏洞,并進行病毒檢測和清除。

2.2防火墻技術(shù)

防火墻是控制兩個網(wǎng)絡(luò)間互相訪問的一個系統(tǒng)。它通過軟件和硬件相結(jié)合,能在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間構(gòu)造起一個"保護層",網(wǎng)絡(luò)內(nèi)外的所有通信都必須經(jīng)過此保護層進行檢查與連接,只有授權(quán)允許的通信才能獲準通過保護層。防火墻可以阻止外界對內(nèi)部網(wǎng)絡(luò)資源的非法訪問,也可以控制內(nèi)部對外部特殊站點的訪問,提供監(jiān)視Internet安全和預(yù)警的方便端點。當(dāng)然,防火墻并不是萬能的,即使是經(jīng)過精心配置的防火墻也抵擋不住隱藏在看似正常數(shù)據(jù)下的通道程序。根據(jù)需要合理的配置防火墻,盡量少開端口,采用過濾嚴格的WEB程序以及加密的HTTP協(xié)議,管理好內(nèi)部網(wǎng)絡(luò)用戶,經(jīng)常升級,這樣可以更好地利用防火墻保護網(wǎng)絡(luò)的安全。

2.3入侵檢測

攻擊者進行網(wǎng)絡(luò)攻擊和入侵的原因,在于計算機網(wǎng)絡(luò)中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置,比如操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、TCP/IP協(xié)議、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備等幾個方面。如果網(wǎng)絡(luò)系統(tǒng)缺少預(yù)警防護機制,那么即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò),侵入到關(guān)鍵的主機,并從事非法的操作,我們的網(wǎng)管人員也很難察覺到。這樣,攻擊者就有足夠的時間來做他們想做的任何事情。

基于網(wǎng)絡(luò)的IDS,即入侵檢測系統(tǒng),可以提供全天候的網(wǎng)絡(luò)監(jiān)控,幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事件,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。IDS可以分析網(wǎng)絡(luò)中的分組數(shù)據(jù)流,當(dāng)檢測到未經(jīng)授權(quán)的活動時,IDS可以向管理控制臺發(fā)送警告,其中含有詳細的活動信息,還可以要求其他系統(tǒng)(例如路由器)中斷未經(jīng)授權(quán)的進程。IDS被認為是防火墻之后的第二道安全閘門,它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)聽,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。

2.4安全漏洞掃描技術(shù)

安全漏洞掃描技術(shù)可以自動檢測遠程或本地主機安全性上的弱點,讓網(wǎng)絡(luò)管理人員能在入侵者發(fā)現(xiàn)安全漏洞之前,找到并修補這些安全漏洞。安全漏洞掃描軟件有主機漏洞掃描,網(wǎng)絡(luò)漏洞掃描,以及專門針對數(shù)據(jù)庫作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫的更新,操作系統(tǒng)的漏洞隨時都在,只有及時更新才能完全的掃描出系統(tǒng)的漏洞,阻止黑客的入侵。

2.5數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù),被譽為信息安全的核心,最初主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文,然后再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權(quán)人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。

2.6安全隔離技術(shù)

面對新型網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)和高安全網(wǎng)絡(luò)的特殊需求,全新安全防護理念"安全隔離技術(shù)"應(yīng)運而生。它的目標是,在確保把有害攻擊隔離在可信網(wǎng)絡(luò)之外,并保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下,完成網(wǎng)絡(luò)間信息的安全交換。隔離概念的出現(xiàn)是為了保護高安全度網(wǎng)絡(luò)環(huán)境。

2.7黑客誘騙技術(shù)

黑客誘騙技術(shù)是近期發(fā)展起來的一種網(wǎng)絡(luò)安全技術(shù),通過一個由網(wǎng)絡(luò)安全專家精心設(shè)置的特殊系統(tǒng)來引誘黑客,并對黑客進行跟蹤和記錄。這種黑客誘騙系統(tǒng)通常也稱為蜜罐(Honeypot)系統(tǒng),其最重要的功能是特殊設(shè)置的對于系統(tǒng)中所有操作的監(jiān)視和記錄,網(wǎng)絡(luò)安全專家通過精心的偽裝使得黑客在進入到目標系統(tǒng)后,仍不知曉自己所有的行為已處于系統(tǒng)的監(jiān)視之中。為了吸引黑客,網(wǎng)絡(luò)安全專家通常還在蜜罐系統(tǒng)上故意留下一些安全后門來吸引黑客上鉤,或者放置一些網(wǎng)絡(luò)攻擊者希望得到的敏感信息,當(dāng)然這些信息都是虛假信息。這樣,當(dāng)黑客正為攻入目標系統(tǒng)而沾沾自喜的時候,他在目標系統(tǒng)中的所有行為,包括輸入的字符、執(zhí)行的操作都已經(jīng)為蜜罐系統(tǒng)所記錄。有些蜜罐系統(tǒng)甚至可以對黑客網(wǎng)上聊天的內(nèi)容進行記錄。蜜罐系統(tǒng)管理人員通過研究和分析這些記錄,可以知道黑客采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平,通過分析黑客的網(wǎng)上聊天內(nèi)容還可以獲得黑客的活動范圍以及下一步的攻擊目標,根據(jù)這些信息,管理人員可以提前對系統(tǒng)進行保護。同時在蜜罐系統(tǒng)中記錄下的信息還可以作為對黑客進行起訴的證據(jù)。

2.8網(wǎng)絡(luò)安全管理防范措施

對于安全領(lǐng)域存在的問題,應(yīng)采取多種技術(shù)手段和措施進行防范。在多種技術(shù)手段并用的同時,管理工作同樣不容忽視。規(guī)劃網(wǎng)絡(luò)的安全策略、確定網(wǎng)絡(luò)安全工作的目標和對象、控制用戶的訪問權(quán)限、制定書面或口頭規(guī)定、落實網(wǎng)絡(luò)管理人員的職責(zé)、加強網(wǎng)絡(luò)的安全管理、制定有關(guān)規(guī)章制度等等,對于確保網(wǎng)絡(luò)的安全、可靠運行將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略包括:確定安全管理等級和安全管理范圍;指定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。

參考文獻

[1]張琳,黃仙姣.淺談網(wǎng)絡(luò)安全技術(shù)[J].電腦知識與技術(shù),2006(11)

[2]盧云燕.網(wǎng)絡(luò)安全及其防范措施[J],科技情報開發(fā)與經(jīng)濟,2006(10)

第7篇:網(wǎng)絡(luò)安全法范文

【關(guān)鍵詞】SDN;網(wǎng)絡(luò)安全;OPENFLOW;虛擬資源池

引言

在傳統(tǒng)網(wǎng)絡(luò)安全的設(shè)計思路下,網(wǎng)絡(luò)安全設(shè)備作為一個富功能設(shè)備,往往部署在網(wǎng)絡(luò)的邊界節(jié)點,防火墻實現(xiàn)基本的包過濾機制和狀態(tài)化監(jiān)控,另外為了防止應(yīng)用層的攻擊和滲透,往往在防火墻之后還需要部署入侵防御系統(tǒng)、VPN設(shè)備、抗DDOS設(shè)備等多個不同的功能實體,以網(wǎng)絡(luò)邊緣進行安全加固。該方式雖然較為可靠,但增加了網(wǎng)絡(luò)部署的難度,同時減弱了網(wǎng)絡(luò)的靈活性,不利于現(xiàn)有業(yè)務(wù)的調(diào)整和業(yè)務(wù)的遷移。

1傳統(tǒng)網(wǎng)絡(luò)的缺陷

(1)多種安全設(shè)備采用不同模式接入網(wǎng)絡(luò)邊緣,如防火墻[1]往往采用二層透明模式橋接在三層鏈路中,或者采用三層旁觀的方式實現(xiàn)引流對流量進行過濾;而IPS/IDS設(shè)備則往往采用流量鏡像的方式旁路部署于網(wǎng)絡(luò)邊緣鏈路,上網(wǎng)行為管理設(shè)備則采用二層透明模式對WEB協(xié)議報文進行過濾或者采用的方式對內(nèi)部員工流量實現(xiàn)HTTP/HTTPS流量重定向和,多種不同類型的安全設(shè)備的部署大大增加了網(wǎng)絡(luò)的復(fù)雜性,同時也不易于管理和配置。(2)另外一方面,在部署安全設(shè)備的同時還需要考慮網(wǎng)絡(luò)的冗余性和穩(wěn)定性,因此需要考慮多種不同類型安全設(shè)備的高可靠性技術(shù),比如防火墻的主備冗余切換、串聯(lián)設(shè)備的硬件BYPASS功能等,以及實現(xiàn)這些功能和性能的協(xié)議設(shè)計。而不同廠家的設(shè)備實現(xiàn)這類功能的協(xié)議往往不一致,這也增加了網(wǎng)絡(luò)設(shè)計和維護的復(fù)雜性。

2SDN架構(gòu)介紹

2.1SDN技術(shù)南向接口控制層是SDN的思想所在[2],控制層負責(zé)對網(wǎng)絡(luò)所有的物理資源進行探測、監(jiān)控和管理,包括對物理層的設(shè)備資源進行探測和向上層應(yīng)用提供抽象化的網(wǎng)絡(luò)資源調(diào)用。在整個SDN的網(wǎng)絡(luò)架構(gòu)中,控制層作為物理層和應(yīng)用層之間的樞紐,南向需要對整個網(wǎng)絡(luò)的物理資源能夠發(fā)現(xiàn)、管控、查詢,對轉(zhuǎn)發(fā)器進行調(diào)用;北向則需要對物理設(shè)備抽象化,為應(yīng)用層提供網(wǎng)絡(luò)的整體資源。南向接口的核心技術(shù)就是對網(wǎng)絡(luò)物理層設(shè)備的探測和調(diào)度管理:包括從鏈路探測、遍歷全網(wǎng)的資源信息;通過對網(wǎng)絡(luò)拓撲的監(jiān)測發(fā)現(xiàn)、控制網(wǎng)絡(luò)物理拓撲和邏輯拓撲的變化,以及變化產(chǎn)生的信息更新;根據(jù)業(yè)務(wù)需求制定流表的轉(zhuǎn)發(fā)策略,并對轉(zhuǎn)發(fā)器的轉(zhuǎn)發(fā)進行控制;控制器對轉(zhuǎn)發(fā)器的實質(zhì)控制是通過表項下發(fā)實現(xiàn)的。圖1展示了SDN交換機[3]的結(jié)構(gòu)及工作原理。2.2SDN技術(shù)北向接口控制層北向接口的核心技術(shù)是將網(wǎng)絡(luò)的物理資源抽象化,使得業(yè)務(wù)只能請求抽象化的網(wǎng)絡(luò)資源,而不必對使用的網(wǎng)絡(luò)資源的物理結(jié)構(gòu)進行設(shè)計和規(guī)劃。業(yè)務(wù)的申請和網(wǎng)絡(luò)資源的調(diào)用可以通過軟件編程來實現(xiàn),利用編程向控制器發(fā)出請求,從而對全網(wǎng)絡(luò)的資源進行分配??刂破魍ㄟ^北向接口獲得業(yè)務(wù)請求,接口的形式與業(yè)務(wù)需求應(yīng)該是強相關(guān)的,不同的業(yè)務(wù)種類導(dǎo)致了種類繁多的接口標準。一個成熟的、標準化的泛用性接口必須面向全網(wǎng)用戶,提供各種類型的業(yè)務(wù),滿足各類應(yīng)用的需求,實現(xiàn)對網(wǎng)絡(luò)資源的統(tǒng)一調(diào)度和高效利用。目前比較主流的接口標準是RESTAPI[4~5],而RESTAPI為發(fā)揮其優(yōu)勢應(yīng)該具有可尋址性強、接口無狀態(tài)、注重關(guān)聯(lián)性、接口統(tǒng)一特點。2.3SDN業(yè)務(wù)資源編排層SDN的應(yīng)用層通過控制層感知抽象化的網(wǎng)絡(luò)資源,并根據(jù)業(yè)務(wù)需求用軟件編程來調(diào)度控制器,從而獲取資源并對資源進行編排。SDN技術(shù)的優(yōu)勢在于可以通過軟件來輔助實現(xiàn)現(xiàn)在網(wǎng)絡(luò)中部分硬件系統(tǒng)的功能,如防火墻、負載均衡等。以“硬件虛擬化”的方式使得網(wǎng)絡(luò)結(jié)構(gòu)更清晰:將應(yīng)用與物理資源之間,因為效率低下需要通過硬件輔助的軟件完全軟件化,提供網(wǎng)絡(luò)的快速部署、智能化感知、自動化運作等特性;通過控制器南向接口感知、調(diào)度網(wǎng)絡(luò);通過控制器北向接口獲取業(yè)務(wù)需求;通過編程實現(xiàn)網(wǎng)絡(luò)的虛擬化,構(gòu)建業(yè)務(wù)和物理資源的關(guān)聯(lián),實現(xiàn)業(yè)務(wù)的全面開放。

3SDN應(yīng)用方向

3.1流量控制SDN通過開放的接口使用戶能夠?qū)C合數(shù)據(jù)網(wǎng)、調(diào)度數(shù)據(jù)網(wǎng)等通信承載網(wǎng)絡(luò)的流量直接進行管控。管理員可以根據(jù)需求自定義流規(guī)則,以對不同的流量進行差異化的控制、管理和監(jiān)測。3.2集中控制控制器可以感知全網(wǎng)資源信息,提供網(wǎng)絡(luò)的物理拓撲和邏輯拓撲信息,根據(jù)集中的業(yè)務(wù)需求對資源調(diào)度進行全局優(yōu)化,實現(xiàn)流量工程和負載均衡等高級應(yīng)用。3.3QoS設(shè)置SDN基于業(yè)務(wù)需求定制流表的轉(zhuǎn)發(fā)策略,能夠為不同類型的數(shù)據(jù)流提供不同的Qos策略,對網(wǎng)絡(luò)資源的編排進行全局優(yōu)化。同時也能夠基于不同于傳統(tǒng)數(shù)據(jù)網(wǎng)架構(gòu)的方式實現(xiàn)流量調(diào)度和QoS功能,提高網(wǎng)絡(luò)服務(wù)質(zhì)量和業(yè)務(wù)連續(xù)性。3.4可編程性控制器提供開放的接口,允許動態(tài)的網(wǎng)絡(luò)編程,通過業(yè)務(wù)資源編排和控制層的北向接口實現(xiàn)業(yè)務(wù)的擴展和二次開發(fā)。3.5應(yīng)用設(shè)置通過軟件編程將防火墻、負載均衡等設(shè)備虛擬化,SDN可以對網(wǎng)絡(luò)服務(wù)重新定義。應(yīng)用程序通過控制器感知全網(wǎng)資源信息,并利用編程實現(xiàn)靈活的系統(tǒng)調(diào)用,提供各種類型的網(wǎng)絡(luò)服務(wù)。

4基于SDN的網(wǎng)絡(luò)安全實現(xiàn)

SDN架構(gòu)可以通過南北向接口實現(xiàn)更為簡潔高效的流量調(diào)度和安全防護,通過北向接口和業(yè)務(wù)資源編排層完成業(yè)務(wù)與網(wǎng)絡(luò)功能的邏輯生成,通過南向接口完成流表的下發(fā)和流量的轉(zhuǎn)發(fā),從而實現(xiàn)傳統(tǒng)的網(wǎng)絡(luò)功能。采用SDN架構(gòu)可以完成網(wǎng)絡(luò)安全防護功能實體的上移,將防火墻、抗DDOS設(shè)備、IPS、WEB防火墻等功能實體采用SDN控制器內(nèi)的內(nèi)置功能模塊實現(xiàn)相應(yīng)的功能,該部分內(nèi)置功能模塊采用軟件方式部署在Linux服務(wù)器或者基于x86架構(gòu)的服務(wù)器上,采用軟件圖形界面的方式實現(xiàn)安全策略的制定和生成。而在網(wǎng)絡(luò)邊緣的交換機上,通過采用混合式設(shè)備(支持傳統(tǒng)二三層功能及OPENFLOW協(xié)議棧),可以靈活地區(qū)分需要多種不同的流量,包括可以直接穿越網(wǎng)絡(luò)邊緣的可信任流量、需要通過安全設(shè)備進行過濾的流量,同時采用這種網(wǎng)絡(luò)架構(gòu),由于各個功能模塊集中部署在SDN控制器內(nèi),針對不同的業(yè)務(wù)流量,可以靈活地定制需要使用那些功能模塊對流量實現(xiàn)過濾,在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下,實現(xiàn)針對不同業(yè)務(wù)流量分類分級地進行流量過濾需要涉及到大量的網(wǎng)絡(luò)配置和變動,部署周期長且配置難度大。本節(jié)中將展示其中一個典型的互聯(lián)網(wǎng)出口的業(yè)務(wù)場景,并采用SDN架構(gòu)實現(xiàn)業(yè)務(wù)的過濾和流量調(diào)度。如圖2所示,內(nèi)部局域網(wǎng)核心交換機作為內(nèi)部局域網(wǎng)的核心交換機,通過靜態(tài)路由或者動態(tài)路由協(xié)議將出口流量上傳至出口核心交換機,出口核心交換機采用混合式交換機,同時支持OPENFLOW協(xié)議和傳統(tǒng)的二層、三層協(xié)議棧,包括以太網(wǎng)協(xié)議、VRRP、生成樹協(xié)議、802.1q等以及OSPF、BGP等路由協(xié)議,出口核心交換機作為邊界設(shè)備,負責(zé)把需要進行流量過濾的業(yè)務(wù)通過OPENFLOW的安全隧道引流至SDN控制器內(nèi),由SDN控制器對該部分業(yè)務(wù)流量進行安全防護,實現(xiàn)防火墻、IPS、抗DDOS設(shè)備等各種安全功能,SDN控制器再將通過過濾后的流量轉(zhuǎn)發(fā)至互聯(lián)網(wǎng)出換機。該圖中的邊緣路由器用于OPENFLOW安全隧道的建立,同時該路由器與出換機建立BGP鄰居,通過BGP路由靈活地實現(xiàn)過濾后流量的路由選路。

5總結(jié)與展望

第8篇:網(wǎng)絡(luò)安全法范文

關(guān)鍵詞:高校網(wǎng);網(wǎng)絡(luò)安全;解決辦法;防火墻

網(wǎng)絡(luò)目前已進入高速發(fā)展的階段,在人們的日常生活中無處不在。高校網(wǎng)目前在各大院校中均已建設(shè)并且得以使用??梢哉f高校網(wǎng)的應(yīng)用為工作效率的提高、信息處理速度的提升以及資源的共享起到了無法比擬的作用。但是與此同時,高校網(wǎng)的安全問題也引起了人們的重視,本文就高校網(wǎng)的現(xiàn)狀做了淺析,并由此提出了相應(yīng)的防范對策,從而確保高校網(wǎng)的安全運行。

1.現(xiàn)階段高校網(wǎng)的網(wǎng)絡(luò)安全問題

1.1各種計算機病毒的侵犯。計算機病毒已經(jīng)成為影響高校網(wǎng)安全運行的主要因素,其對計算機網(wǎng)絡(luò)的破壞程度是不容忽視的。病毒主要是對計算機文件系統(tǒng)以及系統(tǒng)軟件進行破壞,對網(wǎng)絡(luò)進行不同程度的侵犯和破壞,一般情況下會影響到網(wǎng)絡(luò)的運行,但是重則則可以影響整個高校網(wǎng)的教學(xué)以及辦公環(huán)境,會對部分設(shè)備進行破壞,從而致使整個高校網(wǎng)處于癱瘓狀態(tài)。病毒將網(wǎng)絡(luò)傳播作為載體,其在傳播速度、傳播范圍以及破壞程度上與以往的單機病毒是不能相比的。

1.2未經(jīng)過授權(quán)的訪問。一些人出于某種原因?qū)ζ湮唇?jīng)過授權(quán)的信息利用非法手段進行訪問。高校網(wǎng)內(nèi)對存在的諸多系統(tǒng)(如食堂卡管理系統(tǒng)、教學(xué)檔案管理系統(tǒng)、考試成績管理系統(tǒng)等等)是實行用戶憑用戶名和密碼登陸的,這樣的運行方式主要是為了確保系統(tǒng)中數(shù)據(jù)的真實性以及完整性。然而有些人處于不同的目的,利用高校網(wǎng)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及管理上的一些漏洞,對訪問權(quán)限進行非法的獲得,從而進入高校網(wǎng)的管理系統(tǒng),對信息進行惡意修改、刪除、信息等可恥的行為。這使得高校網(wǎng)內(nèi)部數(shù)據(jù)招到了惡意的修改,從而很難確保數(shù)據(jù)的真實性、可靠性和完整性。

1.3網(wǎng)絡(luò)中硬件設(shè)備存在的隱患。在大型網(wǎng)絡(luò)建設(shè)中,計算機硬件數(shù)量龐大,單位個體較多,計算機個體、交換機、UPS、辦公設(shè)備等諸多元素存在質(zhì)量隱患,如果單獨個體出現(xiàn)死機或者出現(xiàn)故障,損失不會太大,一旦服務(wù)器、交換機、UPS等出現(xiàn)故障,那后果可以說是不堪設(shè)想。、

1.4安全防護軟件的設(shè)備隱患。當(dāng)今的網(wǎng)絡(luò)安全防護軟件種類眾多,但要是提及比較好的軟件,那費用也是可想而知的,每天必須的病毒庫升級讓人很是反感,不過不這樣安全又得不到保障,即使是天天更新,日日提防,也難免百密一疏。計算機就是計算機,軟件也就是一款軟件,肯定要有它不完美的地方,萬一漏洞出現(xiàn),被病毒或是黑客利用,打擊也是毀滅性的。

2.高校網(wǎng)絡(luò)安全解決辦法

2.1軟硬件安全的解決辦法。在整個網(wǎng)絡(luò)中,網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)設(shè)備和設(shè)施、網(wǎng)絡(luò)介質(zhì)等的安全是最為基本的。應(yīng)該使其免受自然災(zāi)害、人為失誤、人為破壞、計算機犯罪等的損壞。機房或系統(tǒng)中樞的組建和搭設(shè)應(yīng)該遵照:GB2887-89《計算機站場地安全要求》、GB2887-89《計算機站場地技術(shù)條件》以及GB50173-93《電子計算機機房設(shè)計規(guī)范》的要求。

2.2登陸訪問權(quán)限安全的解決辦法。網(wǎng)絡(luò)安全的保護和防范主要對策即為安全訪問控制權(quán)限,是指網(wǎng)絡(luò)資源不會被他人非法訪問和使用。其中包括:人為訪問控制、網(wǎng)絡(luò)登錄安全權(quán)限控制、目錄安全級別高低控制、文件屬性安全控制、服務(wù)器安全級別控制、計算機端口控制、計算機節(jié)點控制、病毒的消殺控制、信息日志的控制以及不良信息過濾的控制等。出于對高校網(wǎng)絡(luò)的特點的考慮,網(wǎng)絡(luò)安全權(quán)限訪問的控制極為重要,比如對VPN的訪問的控制要尤為加強。VPN即為虛擬專用網(wǎng),其是VLAN和遠程工作站的集成體。說白了就是在IP通道中實施加密,然后實現(xiàn)網(wǎng)絡(luò)協(xié)議包和私有包在INT網(wǎng)上的傳輸,從而實現(xiàn)在WAN上的各個LAN的不同協(xié)議的虛擬連接。這種連接是處于操作系統(tǒng)的防火墻的保護之外的,其對內(nèi)網(wǎng)的安全構(gòu)成了嚴重的威脅,所以,應(yīng)該避免分配VPN用戶訪問的全部權(quán)限,可以針對登陸控制權(quán)限列表來限制VPN用戶的訪問級別,只分配給用戶所需的登錄權(quán)限級別就可以了,例如登陸郵件服務(wù)器或自動化辦公服務(wù)器等的網(wǎng)絡(luò)資源權(quán)限,如此就可以有效地保護網(wǎng)絡(luò)的安全。

2.3防火墻在網(wǎng)絡(luò)安全解決辦法中的作用。眾所周知,防火墻是網(wǎng)絡(luò)安全非常奏效的安全模式之一。防火墻是一種把內(nèi)網(wǎng)、外網(wǎng)隔離的技術(shù)手段,普遍應(yīng)用在計算機安全領(lǐng)域。在高校網(wǎng)絡(luò)安全建設(shè)中是不可或缺,舉足輕重的,更是一道網(wǎng)絡(luò)安全的保護網(wǎng),防火墻往往被安裝在內(nèi)網(wǎng)和外網(wǎng)連接的節(jié)點上,它把外網(wǎng)和內(nèi)網(wǎng)隔離開來,在兩者之間搭建一道檢測過濾的系統(tǒng),這樣只有安全且被選擇的協(xié)議包才能經(jīng)過防火墻,不但加強了網(wǎng)絡(luò)安全,也使內(nèi)網(wǎng)的結(jié)構(gòu)隱藏起來,從而達到不使信息外露的目的,還可以通過追查日志等信息提供詳細的網(wǎng)絡(luò)狀況的報告,以便確保網(wǎng)絡(luò)環(huán)境更加安全。

2.4安裝病毒防護系統(tǒng)并且定期更新病毒庫。在互聯(lián)網(wǎng)高速發(fā)展的今天,病毒傳播已經(jīng)從單一形式向多元化發(fā)展,集木馬、攻擊系統(tǒng)、攻擊內(nèi)存等為一身的“超級病毒”。它不但會變種傳播,而且傳播方式多種多樣,依賴載體也是變化無窮,如電子郵件、互聯(lián)網(wǎng)頁、下載文件、U盤、光存儲等,真可謂是防不勝防啊。在網(wǎng)絡(luò)中只要有一臺單機中毒,可能病毒就會在全網(wǎng)中迅速傳播,致使整個網(wǎng)絡(luò)癱瘓。這會給高校網(wǎng)絡(luò)帶來極大的麻煩,結(jié)局可能會不可收拾。所以在網(wǎng)絡(luò)中建立病毒防護系統(tǒng)是非常必要且刻不容緩的,還要定期對服務(wù)器和傳輸終端進行檢查。如能實現(xiàn)定期升級病毒庫、遠程安裝及報警、集中規(guī)劃管理并查殺等多功能一起進行,這樣會使病毒無處藏身,也會使整個高校網(wǎng)絡(luò)的安全系數(shù)提高。

2.5建立用戶認證體制和上網(wǎng)管理系統(tǒng)。用戶認證系統(tǒng)必須讓用戶實名制注冊,當(dāng)用戶上網(wǎng)時,網(wǎng)絡(luò)隨時可以檢測到用戶的身份,這樣會避免人為的刻意濫用網(wǎng)絡(luò)資源和故意毀壞網(wǎng)絡(luò)安全。網(wǎng)絡(luò)管理系統(tǒng)則會通過認證方式來確認用戶是否安全登錄和認證,區(qū)別于計算機系統(tǒng)中自帶的登錄系統(tǒng),安全性更高,更可靠。

2.6數(shù)據(jù)備份及恢復(fù)。高校網(wǎng)絡(luò)中,每臺計算機中的信息都非常重要,針對這個事實,我們要做到有備無患,防范于未來,一旦出現(xiàn)不可挽回的局面,數(shù)據(jù)恢復(fù)會帶 來意想不到的效果。

2.7用戶安全知識的增強。高校網(wǎng)絡(luò)應(yīng)用的主體為學(xué)生和老師,他們普遍文化水平和自身素質(zhì)較高。在高信息化時代,發(fā)送E-MAIL、網(wǎng)絡(luò)聊天、下載文件和歌曲等行為非常普遍,也比較時尚。不過,網(wǎng)絡(luò)知安全防范意識的薄弱卻是不爭的事實。這樣,就需要對網(wǎng)絡(luò)的主體使用者進行網(wǎng)絡(luò)安全教育與培訓(xùn),使整個主體人群通過培訓(xùn)在網(wǎng)絡(luò)安全防范意識方面有所增強,提高安全防范技能。還要及時病毒預(yù)警,督促大家修補安全漏洞,防患于未然。

2.8在校園內(nèi)建立網(wǎng)絡(luò)安全管理體制。在校園網(wǎng)中的用戶相對較多,人群也比較集中,在實施了硬件網(wǎng)絡(luò)安全技術(shù)的前提下,加強網(wǎng)絡(luò)安全的管理也是不錯的辦法,切實可行的網(wǎng)絡(luò)安全制度會約束每個人的上網(wǎng)行為。大學(xué)生的文化素質(zhì)較高,黑紙白字的規(guī)章制度對其規(guī)范和管理的力度不大不小,會加強學(xué)生自身的安全意識和道德規(guī)范。從而使高校網(wǎng)絡(luò)的安全水平提高到一個新的檔次。

3.結(jié)束語

綜合了以上對高校網(wǎng)絡(luò)安全的現(xiàn)狀、看法以及解決方案。校園信息化、校園網(wǎng)絡(luò)的建設(shè)都是基石,建立和諧的高科技化網(wǎng)絡(luò)環(huán)境和信息化的教育體系是重要組成部分?,F(xiàn)代化的教育方法和高科技的技術(shù)手段相結(jié)合,才能實現(xiàn)及網(wǎng)絡(luò)資源共享、遠程教學(xué)、網(wǎng)絡(luò)教學(xué)與一身的高校網(wǎng)絡(luò)系統(tǒng),而網(wǎng)絡(luò)安全是重要保障,為其保駕護航。最后,高校網(wǎng)絡(luò)應(yīng)重視安全策略,增加組織管理及人員的培訓(xùn)。共同搞好校園網(wǎng)絡(luò)的安全管理工作,保障網(wǎng)絡(luò)安全防范體系,更好的為廣大師生服務(wù)。

參考文獻:

[1]董學(xué)森.多校區(qū)校園網(wǎng)絡(luò)的資源共享與管理[J].電腦知識與技術(shù),2006(5);200-202

[2]金琦.校園網(wǎng)的建設(shè)和管理[J]。網(wǎng)絡(luò)應(yīng)用,2007(7).

[3]孟祥宏.淺談高校校園網(wǎng)的安全及對策[J].內(nèi)蒙古師范大學(xué)學(xué)報,2004,17(11).

[4]陳文冠,曹亮,陳興華.高校校園網(wǎng)信息安全的研究[J].科技管理研究,2007,(2).

第9篇:網(wǎng)絡(luò)安全法范文

一、防守技戰(zhàn)法概述

為了順利完成本次護網(wǎng)行動任務(wù),切實加強網(wǎng)絡(luò)安全防護能力,XXXX設(shè)立HW2019領(lǐng)導(dǎo)組和工作組,工作組下設(shè)技術(shù)組和協(xié)調(diào)組。護網(wǎng)工作組由各部門及各二級單位信息化負責(zé)人組成,由股份公司副總裁擔(dān)任護網(wǎng)工作組的組長。

為提高護網(wǎng)工作組人員的安全防護能力,對不同重要系統(tǒng)進行分等級安全防護,從互聯(lián)網(wǎng)至目標系統(tǒng),依次設(shè)置如下三道安全防線:

第一道防線:集團總部互聯(lián)網(wǎng)邊界防護、二級單位企業(yè)互聯(lián)網(wǎng)邊界防護。

第二道防線:廣域網(wǎng)邊界防護、DMZ區(qū)邊界防護。

第三道防線:目標系統(tǒng)安全域邊界防護、VPN。

根據(jù)三道防線現(xiàn)狀,梳理出主要防護內(nèi)容,包括但不限于:梳理對外的互聯(lián)網(wǎng)應(yīng)用系統(tǒng),設(shè)備和安全措施,明確相關(guān)責(zé)任人,梳理網(wǎng)絡(luò)結(jié)構(gòu),重要的或需要重點保護的信息系統(tǒng)、應(yīng)用系統(tǒng)與各服務(wù)器之間的拓撲結(jié)構(gòu),網(wǎng)絡(luò)安全設(shè)備及網(wǎng)絡(luò)防護情況, SSLVPN和IPSECVPN接入情況。集團廣域網(wǎng)、集團專線邊界,加強各單位集團廣域網(wǎng)、集團專線邊界防護措施,無線網(wǎng)邊界,加強對無線WIFI、藍牙等無線通信方式的管控,關(guān)閉不具備安全條件及不必要開啟的無線功能。

結(jié)合信息化資產(chǎn)梳理結(jié)果,攻防演習(xí)行動安全保障小組對集團信息化資產(chǎn)及重點下屬單位的網(wǎng)絡(luò)安全狀況進行安全風(fēng)險評估和排查,確認薄弱環(huán)節(jié)以便進行整改加固。

二、 防守技戰(zhàn)法詳情

2.1 第一道防線--互聯(lián)網(wǎng)邊界及二級單位防護技戰(zhàn)法

2.1.1 安全感知防御、檢測及響應(yīng)

構(gòu)建從“云端、邊界、端點”+“安全感知”的防御機制。相關(guān)防護思路如下:

防御能力:是指一系列策略集、產(chǎn)品和服務(wù)可以用于防御攻擊。這個方面的關(guān)鍵目標是通過減少被攻擊面來提升攻擊門檻,并在受影響前攔截攻擊動作。

檢測能力:用于發(fā)現(xiàn)那些逃過防御網(wǎng)絡(luò)的攻擊,該方面的關(guān)鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失。檢測能力非常關(guān)鍵,因為企業(yè)應(yīng)該假設(shè)自己已處在被攻擊狀態(tài)中。

響應(yīng)能力:系統(tǒng)一旦檢測到入侵,響應(yīng)系統(tǒng)就開始工作,進行事件處理。響應(yīng)包括緊急響應(yīng)和恢復(fù)處理,恢復(fù)處理又包括系統(tǒng)恢復(fù)和信息恢復(fù)。

2.1.2 安全可視及治理

l 全網(wǎng)安全可視

結(jié)合邊界防護、安全檢測、內(nèi)網(wǎng)檢測、管理中心、可視化平臺,基于行為和關(guān)聯(lián)分析技術(shù),對全網(wǎng)的流量實現(xiàn)全網(wǎng)應(yīng)用可視化,業(yè)務(wù)可視化,攻擊與可疑流量可視化,解決安全黑洞與安全洼地的問題。

l 動態(tài)感知

采用大數(shù)據(jù)、人工智能技術(shù)安全,建立了安全態(tài)勢感知平臺,為所有業(yè)務(wù)場景提供云端的威脅感知能力。通過對邊界網(wǎng)絡(luò)流量的全流量的感知和分析,來發(fā)現(xiàn)邊界威脅。通過潛伏威脅探針、安全邊界設(shè)備、上網(wǎng)行為感系統(tǒng),對服務(wù)器或終端上面的文件、數(shù)據(jù)與通信進行安全監(jiān)控,利用大數(shù)據(jù)技術(shù)感知數(shù)據(jù)來發(fā)現(xiàn)主動發(fā)現(xiàn)威脅。

2.1.3 互聯(lián)網(wǎng)及二級單位的區(qū)域隔離

在互聯(lián)網(wǎng)出口,部署入侵防御IPS、上網(wǎng)行為管理,提供網(wǎng)絡(luò)邊界隔離、訪問控制、入侵防護、僵尸網(wǎng)絡(luò)防護、木馬防護、病毒防護等。

在廣域網(wǎng)接入?yún)^(qū)邊界透明模式部署入侵防御系統(tǒng),針對專線接入流量進行控制和過濾。

辦公網(wǎng)區(qū)應(yīng)部署終端檢測和響應(yīng)/惡意代碼防護軟件,開啟病毒防護功能、文件監(jiān)測,并及時更新安全規(guī)則庫,保持最新狀態(tài)。

服務(wù)器區(qū)部署防火墻和WEB應(yīng)用防火墻,對數(shù)據(jù)中心威脅進行防護;匯聚交換機處旁路模式部署全流量探針,對流量進行監(jiān)測并同步至態(tài)勢感知平臺;部署數(shù)據(jù)庫審計系統(tǒng),進行數(shù)據(jù)庫安全審計。

在運維管理區(qū),部署堡壘機、日志審計、漏洞掃描設(shè)備,實現(xiàn)單位的集中運維審計、日志審計和集中漏洞檢查功能。

2.1.3.1 互聯(lián)網(wǎng)出口處安全加固

互聯(lián)網(wǎng)出口處雙機部署了因特網(wǎng)防火墻以及下一代防火墻進行出口處的防護,在攻防演練期間,出口處防火墻通過對各類用戶權(quán)限的區(qū)分,不同訪問需求,可以進行精確的訪問控制。通過對終端用戶、分支機構(gòu)不同的權(quán)限劃分保障網(wǎng)絡(luò)受控有序的運行。

對能夠通過互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)的網(wǎng)絡(luò)對象IP地址進行嚴格管控,將網(wǎng)段內(nèi)訪問IP地址段進行細化,盡量落實到個人靜態(tài)IP。

開啟精細化應(yīng)用控制策略,設(shè)置多條應(yīng)用控制策略,指定用戶才可以訪問目標業(yè)務(wù)系統(tǒng)應(yīng)用,防止出現(xiàn)因為粗放控制策略帶來的互聯(lián)網(wǎng)訪問風(fēng)險。

對所有通過聯(lián)網(wǎng)接入的用戶IP或IP地址段開啟全面安全防護策略,開啟防病毒、防僵尸網(wǎng)絡(luò)、防篡改等防護功能。

通過對全網(wǎng)進行訪問控制、明確權(quán)限劃分可以避免越權(quán)訪問、非法訪問等情況發(fā)生,減少安全事件發(fā)生概率。

護網(wǎng)行動開始之前,將防火墻所有安全規(guī)則庫更新到最新,能夠匹配近期發(fā)生的絕大部分已知威脅,并通過SAVE引擎對未知威脅進行有效防護。

攻防演練期間,通過互聯(lián)網(wǎng)訪問的用戶需要進行嚴格的認證策略和上網(wǎng)策略,對上網(wǎng)用戶進行篩選放通合法用戶阻斷非法用戶,同時對于非法url網(wǎng)站、風(fēng)險應(yīng)用做出有效管控。根據(jù)企業(yè)實際情況選擇合適流控策略,最后對于所有員工的上網(wǎng)行為進行記錄審計。

攻防演練期間,需要將上網(wǎng)行為管理設(shè)備的規(guī)則庫升級到最新,避免近期出現(xiàn)的具備威脅的URL、應(yīng)用等在訪問時對內(nèi)網(wǎng)造成危害。

2.1.3.2 DMZ區(qū)應(yīng)用層安全加固

當(dāng)前網(wǎng)絡(luò)內(nèi),DMZ區(qū)部署了WEB應(yīng)用防火墻對應(yīng)用層威脅進行防護,保證DMZ區(qū)域內(nèi)的網(wǎng)站系統(tǒng)、郵件網(wǎng)關(guān)、視頻會議系統(tǒng)的安全

攻防演練期間,為了降低用從互聯(lián)網(wǎng)出口處訪問網(wǎng)站、郵件、視頻的風(fēng)險,防止攻擊手通過互聯(lián)網(wǎng)出口訪問DMZ區(qū),進行頁面篡改、或通過DMZ區(qū)訪問承載系統(tǒng)數(shù)據(jù)的服務(wù)器區(qū)進行破壞,需要設(shè)置嚴格的WEB應(yīng)用層防護策略,保證DMZ區(qū)安全。

通過設(shè)置WEB用用防護策略,提供OWASP定義的十大安全威脅的攻擊防護能力,有效防止常見的web攻擊。(如,SQL注入、XSS跨站腳本、CSRF跨站請求偽造)從而保護網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟損失、名譽損失等問題。

2.2 第二道防線-數(shù)據(jù)中心防護技戰(zhàn)法

總部數(shù)據(jù)中心從防御層面、檢測層面、響應(yīng)層面及運營層面構(gòu)建縱深防御體系。在現(xiàn)有設(shè)備的基礎(chǔ)上,解決通號在安全建設(shè)初期單純滿足合規(guī)性建設(shè)的安全能力,缺乏完善的主動防御技術(shù)和持續(xù)檢測技術(shù)帶來的風(fēng)險。主要解決思路如下:

1、基于安全風(fēng)險評估情況,夯實基礎(chǔ)安全架構(gòu)

通過持續(xù)性的風(fēng)險評估,進行安全架構(gòu)的升級改造,縮小攻擊面、減少風(fēng)險暴露時間。包括:安全域改造、邊界加固、主機加固等內(nèi)容。

2、加強持續(xù)檢測和快速響應(yīng)能力,進一步形成安全體系閉環(huán)

針對內(nèi)網(wǎng)的資產(chǎn)、威脅及風(fēng)險,進行持續(xù)性檢測;基于威脅情報驅(qū)動,加強云端、邊界、端點的聯(lián)動,實現(xiàn)防御、檢測、響應(yīng)閉環(huán)。

3、提升企業(yè)安全可視與治理能力,讓安全了然于胸

基于人工智能、大數(shù)據(jù)技術(shù),提升全網(wǎng)安全風(fēng)險、脆弱性的可視化能力,大幅度提升安全運維能力,以及應(yīng)急響應(yīng)和事件追溯能力。

2.2.1 邊界防御層面

原有的邊界防護已較完善,無需進行架構(gòu)變動,只需要確保防御設(shè)備的策略有效性和特征庫的及時更新。針對目標系統(tǒng),通過在目標系統(tǒng)接入交換機和匯聚交換機之間透明部署一臺下一代防火墻,實現(xiàn)目標系統(tǒng)的針對性防護,防止服務(wù)器群內(nèi)部的橫向威脅。

下一代防火墻除基本的ACL訪問控制列表的方法予以隔離以外,針對用戶實施精細化的訪問控制、應(yīng)用限制、帶寬保證等管控手段。通號業(yè)務(wù)系統(tǒng)中存在對外的網(wǎng)站、業(yè)務(wù)等,因此需要對WEB應(yīng)用層進行有效防護,通過下一代防火墻提供SQL注入、跨站腳本、CC攻擊等檢測與過濾,避免Web服務(wù)器遭受攻擊破壞;支持外鏈檢查和目錄訪問控制,防止Web Shell和敏感信息泄露,避免網(wǎng)頁篡改與掛馬,滿足通號Web服務(wù)器深層次安全防護需求。

根據(jù)現(xiàn)有網(wǎng)絡(luò),核心交換區(qū)部署了應(yīng)用性能管理系統(tǒng),攻防演練期間,需要對應(yīng)用性能管理系統(tǒng)進行實時關(guān)注,應(yīng)用出現(xiàn)異常立即上報,并定位責(zé)任人進行處置,保證網(wǎng)絡(luò)性能穩(wěn)定,流暢運行。

核心交換機雙機部署了兩臺防火墻,物理上旁路部署,邏輯上通過引流所有流量都經(jīng)過防火墻,通過防火墻對服務(wù)器區(qū)和運維管理區(qū)提供邊界訪問控制能力,進行安全防護。

攻防演練期間,核心交換區(qū)防火墻進行策略調(diào)優(yōu),對訪問服務(wù)器區(qū)和運維管理區(qū)的流量數(shù)據(jù)進行嚴格管控,對訪問服務(wù)器區(qū)內(nèi)目標系統(tǒng)請求進行管控;防止安全威脅入侵運維管理區(qū),對整體網(wǎng)絡(luò)的安全及運維進行破壞,獲取運維權(quán)限。

攻防演練期間,在各分支機構(gòu)的邊界,通過對各類用戶權(quán)限的區(qū)分,各分支機構(gòu)的不同訪問需求,可以進行精確的訪問控制。通過對終端用戶、分支機構(gòu)不同的權(quán)限劃分保障網(wǎng)絡(luò)受控有序的運行。

專線接入及直連接入分支通過廣域網(wǎng)接入?yún)^(qū)的路由器-下一代防火墻-上網(wǎng)行為管理-核心交換機-服務(wù)器區(qū)的路徑進行訪問,因此通過完善下一代防火墻防護策略,達到安全加固的目的。

通過對全網(wǎng)進行訪問控制、明確權(quán)限劃分可以避免越權(quán)訪問、非法訪問等情況發(fā)生,減少安全事件發(fā)生概率。

攻防演練前,需要對下一代防火墻的各類規(guī)則庫、防護策略進行更新和調(diào)優(yōu)。

2.2.2 端點防御層面

服務(wù)器主機部署終端檢測響應(yīng)平臺EDR,EDR基于多維度的智能檢測技術(shù),通過人工智能引擎、行為引擎、云查引擎、全網(wǎng)信譽庫對威脅進行防御。

終端主機被入侵攻擊,導(dǎo)致感染勒索病毒或者挖礦病毒,其中大部分攻擊是通過暴力破解的弱口令攻擊產(chǎn)生的。EDR主動檢測暴力破解行為,并對發(fā)現(xiàn)攻擊行為的IP進行封堵響應(yīng)。針對Web安全攻擊行為,則主動檢測Web后門的文件。針對僵尸網(wǎng)絡(luò)的攻擊,則根據(jù)僵尸網(wǎng)絡(luò)的活躍行為,快速定位僵尸網(wǎng)絡(luò)文件,并進行一鍵查殺。

進行關(guān)聯(lián)檢測、取證、響應(yīng)、溯源等防護措施,與AC產(chǎn)品進行合規(guī)認證審查、安全事件響應(yīng)等防護措施,形成應(yīng)對威脅的云管端立體化縱深防護閉環(huán)體系。

2.3 第三道防線-目標系統(tǒng)防護技戰(zhàn)法

本次攻防演練目標系統(tǒng)為資金管理系統(tǒng)及PLM系統(tǒng),兩個系統(tǒng)安全防護思路及策略一致,通過APDRO模型及安全策略調(diào)優(yōu)達到目標系統(tǒng)從技術(shù)上不被攻破的目的。

2.3.1 網(wǎng)絡(luò)層面

在網(wǎng)絡(luò)層面為了防止來自服務(wù)器群的橫向攻擊,同時針對業(yè)務(wù)系統(tǒng)進行有針對性的防護,通過部署在目標系統(tǒng)邊界的下一代防火墻對這些業(yè)務(wù)信息系統(tǒng)提供安全威脅識別及阻斷攻擊行為的能力。

同時通過增加一臺VPN設(shè)備單獨目標系統(tǒng),確保對目標系統(tǒng)的訪問達到最小權(quán)限原則。

子公司及辦公樓訪問目標系統(tǒng),需要通過登錄新建的護網(wǎng)專用VPN系統(tǒng),再進行目標系統(tǒng)訪問,并通過防火墻實現(xiàn)多重保障機制。

系統(tǒng)多因子認證構(gòu)建

為了保證攻防演練期間管理人員接入資金管理系統(tǒng)的安全性,接入資金管理系統(tǒng)時,需要具備以下幾項安全能力:一是用戶身份的安全;二是接入終端的安全;三是數(shù)據(jù)傳輸?shù)陌踩?;四是?quán)限訪問安全;五是審計的安全;六是智能終端訪問業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全性。

因此需要對能夠接入資金管理系統(tǒng)的用戶進行統(tǒng)一管理,并且屏蔽有風(fēng)險訪問以及不可信用戶;使用專用SSL VPN對資金管理系統(tǒng)進行資源;為需要接入資金管理系統(tǒng)的用戶單獨創(chuàng)建SSL VPN賬號,并開啟短信認證+硬件特征碼認證+賬戶名密碼認證,屏蔽所有不可信任用戶訪問,對可信用戶進行強管控。

對接入的可信用戶進行強管控認證仍會存在訪問風(fēng)險,因此需要邊界安全設(shè)備進行邊界安全加固。

系統(tǒng)服務(wù)器主機正常運行是業(yè)務(wù)系統(tǒng)正常工作的前提,服務(wù)器可能會面臨各類型的安全威脅,因此需要建設(shè)事前、事中、事后的全覆蓋防護體系:

l 事前,快速的進行風(fēng)險掃描,幫助用戶快速定位安全風(fēng)險并智能更新防護策略;

l 事中,有效防止了引起網(wǎng)頁篡改問題、網(wǎng)頁掛馬問題、敏感信息泄漏問題、無法響應(yīng)正常服務(wù)問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統(tǒng)掃描等攻擊;

l 事后,對服務(wù)器外發(fā)內(nèi)容進行安全檢測,防止攻擊繞過安全防護體系、數(shù)據(jù)泄漏問題。

同時,為了保證安全威脅能夠及時被發(fā)現(xiàn)并處置,因此需要構(gòu)建一套快速聯(lián)動的處理機制:本地防護與整體網(wǎng)絡(luò)聯(lián)動、云端聯(lián)動、終端聯(lián)動,未知威脅預(yù)警與防護策略,實時調(diào)優(yōu)策略;深度解析內(nèi)網(wǎng)未知行為,全面安全防護;周期設(shè)備巡檢,保障設(shè)備穩(wěn)定健康運行;云端工單跟蹤,專家復(fù)審,周期性安全匯報;通過關(guān)聯(lián)全網(wǎng)安全日志、黑客行為建模,精準預(yù)測、定位網(wǎng)絡(luò)中存在的高級威脅、僵尸主機,做到實時主動響應(yīng)。

在業(yè)務(wù)系統(tǒng)交換機與匯聚交換機之間部署下一代防火墻,根據(jù)資產(chǎn)梳理中收集到的可信用戶IP、端口號、責(zé)任人等信息,在下一代防火墻的訪問控制策略中開啟白名單,將可信用戶名單添加到白名單中,白名單以外的任何用戶訪問業(yè)務(wù)系統(tǒng)都會被拒絕,保證了區(qū)域內(nèi)的服務(wù)器、設(shè)備安全。

2.3.2 應(yīng)用層面

下一代防火墻防病毒網(wǎng)關(guān)的模塊可實現(xiàn)各個安全域的流量清洗功能,清洗來自其他安全域的病毒、木馬、蠕蟲,防止各區(qū)域進行交叉感染;

下一代防火墻基于語義分析技術(shù)提供標準語義規(guī)范識別能力,進一步還原異變的web攻擊;應(yīng)用AI人工智能,基于海量web攻擊特征有效識別未知的web威脅?;贏I構(gòu)建業(yè)務(wù)合規(guī)基線,基于廣泛的模式學(xué)習(xí)提取合規(guī)的業(yè)務(wù)操作邏輯,偏離基線行為的將會被判定為web威脅,提升web威脅識別的精準度。

下一代防火墻以人工智能SAVE引擎為WEB應(yīng)用防火墻的智能檢測核心,輔以云查引擎、行為分析等技術(shù),使達到高檢出率效果并有效洞悉威脅本質(zhì)。威脅攻擊檢測、多維度處置快速響應(yīng),有效解決現(xiàn)有信息系統(tǒng)安全問題。

目前通號服務(wù)器區(qū)安全建設(shè)存在以下問題一是以邊界防護為核心,缺乏以整體業(yè)務(wù)鏈視角的端到端的整體動態(tài)防護的思路;二以本地規(guī)則庫為核心,無法動態(tài)有效檢測已知威脅;三是沒有智能化的大數(shù)據(jù)分析能力,無法感知未知威脅;四是全網(wǎng)安全設(shè)備之間的數(shù)據(jù)不能共享,做不到智能聯(lián)動、協(xié)同防御。

在保留傳統(tǒng)安全建設(shè)的能力基礎(chǔ)上,將基于人工智能、大數(shù)據(jù)等技術(shù),按照“業(yè)務(wù)驅(qū)動安全”的理念,采用全網(wǎng)安全可視、動態(tài)感知、閉環(huán)聯(lián)動、軟件定義安全等技術(shù),建立涵蓋數(shù)據(jù)安全、應(yīng)用安全、終端安全等的“全業(yè)務(wù)鏈安全”。

為了保證訪問資金管理系統(tǒng)訪問關(guān)系及時預(yù)警及安全可視化,需要將訪問目標系統(tǒng)的所有流量進行深度分析,及時發(fā)現(xiàn)攻擊行為。

在在業(yè)務(wù)系統(tǒng)交換機旁路部署潛伏威脅探針,對訪問資金管理系統(tǒng)的所有流量進行采集和初步分析,并實時同步到安全態(tài)勢感知平臺進行深度分析,并將分析結(jié)果通過可視化界面呈現(xiàn)。

2.3.3 主機層面

下一代防火墻通過服務(wù)器防護功能模塊的開啟,可實現(xiàn)對各個區(qū)域的Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器等服務(wù)器的安全防護。防止黑客利用業(yè)務(wù)代碼開發(fā)安全保障不利,使得系統(tǒng)可輕易通過Web攻擊實現(xiàn)對Web服務(wù)器、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題;

下一代防火墻通過風(fēng)險評估模塊對服務(wù)器進行安全體檢,通過一鍵策略部署的功能WAF模塊的對應(yīng)策略,可幫助管理員的實現(xiàn)針對性的策略配置;

利用下一代防火墻入侵防御模塊可實現(xiàn)對各類服務(wù)器操作系統(tǒng)漏洞(如:winserver2003、linux、unix等)、應(yīng)用程序漏洞(IIS服務(wù)器、Apache服務(wù)器、中間件weblogic、數(shù)據(jù)庫oracle、MSSQL、MySQL等)的防護,防止黑客利用該類漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應(yīng)用層攻擊獲取服務(wù)器權(quán)限、使服務(wù)器癱瘓導(dǎo)致服務(wù)器、存儲等資源被攻擊的問題;

針對系統(tǒng)的服務(wù)器主機系統(tǒng)訪問控制策略需要對服務(wù)器及終端進行安全加固,加固內(nèi)容包括但不限于:限制默認帳戶的訪問權(quán)限,重命名系統(tǒng)默認帳戶,修改帳戶的默認口令,刪除操作系統(tǒng)和數(shù)據(jù)庫中過期或多余的賬戶,禁用無用帳戶或共享帳戶;根據(jù)管理用戶的角色分配權(quán)限,實現(xiàn)管理用戶的權(quán)限分離,僅授予管理用戶所需的最小權(quán)限;啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問;加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。

通過終端檢測響應(yīng)平臺的部署,監(jiān)測服務(wù)器主機之間的東西向流量,開啟定時查殺和漏洞補丁、實時文件監(jiān)控功能,限制服務(wù)器主機之間互訪,及時進行隔離防止服務(wù)器主機實現(xiàn)并橫向傳播威脅。并且通過攻擊鏈舉證進行攻擊溯源。

2.4 攻防演練-檢測與響應(yīng)技戰(zhàn)法

2.4.1 預(yù)警分析

通過7*24小時在線的安全專家團隊和在線安全監(jiān)測與預(yù)警通報平臺,即可對互聯(lián)網(wǎng)業(yè)務(wù)進行統(tǒng)一監(jiān)測,統(tǒng)一預(yù)警。云端專家7*24小時值守,一旦發(fā)現(xiàn)篡改、漏洞等常規(guī)安全事件,即可實時進行處置。對于webshell、后門等高階事件,可以及時升級到技術(shù)分析組進行研判,一旦確認,將會實時轉(zhuǎn)交應(yīng)急響應(yīng)組進行處置。

監(jiān)測與相應(yīng)組成員實時監(jiān)控安全檢測類設(shè)備安全告警日志,并根據(jù)攻擊者特征分析入侵事件,記錄事件信息,填寫文件并按照流程上報。

若同一來源IP地址觸發(fā)多條告警,若觸發(fā)告警時間較短,判斷可能為掃描行為,若告警事件的協(xié)議摘要中存在部分探測驗證payload,則確認為漏洞掃描行為,若協(xié)議摘要中出現(xiàn)具有攻擊性的payload,則確認為利用漏洞執(zhí)行惡意代碼。

若告警事件為服務(wù)認證錯誤,且錯誤次數(shù)較多,認證錯誤間隔較小,且IP地址為同一IP地址,則判斷為暴力破解事件;若錯誤次數(shù)較少,但超出正常認證錯誤頻率,則判斷為攻擊者手工嘗試弱口令。

2.4.2 應(yīng)急處置

應(yīng)急處置組對真實入侵行為及時響應(yīng),并開展阻斷工作,協(xié)助排查服務(wù)器上的木馬程序,分析攻擊者入侵途徑并溯源。

安全事件的處置步驟如下:

(1)根據(jù)攻擊者入侵痕跡及告警詳情,判斷攻擊者的入侵途徑。

(2)排查服務(wù)器上是否留下后門,若存在后門,在相關(guān)責(zé)任人的陪同下清理后門。

(3)分析攻擊者入侵之后在服務(wù)器上的詳細操作,并根據(jù)相應(yīng)的安全事件應(yīng)急處置措施及操作手冊展開應(yīng)對措施。

(4)根據(jù)排查過程中的信息進行溯源。

(5)梳理應(yīng)急處置過程,輸出安全建議。