網絡安全應急響應服務范文
時間:2023-09-14 17:50:43
導語:如何才能寫好一篇網絡安全應急響應服務,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
一、應急響應的技術特點
網絡安全事件指影響計算機系統與網絡安全的不正當行為。網絡安全事件一般在很短時間內產生,且引起的損失巨大。應對網絡事件關鍵是速度與效率。應急響應(即“Incident Response),指某組織為了應對意外事件發生所做的準備及事件發生后采取的措施。本文網絡安全事件的應急響應則指應急響應組織根據對可能情況的準備,在網絡安全事件發生后,盡快作出正確反應,減少損失或盡快恢復正常運行,追蹤攻擊者,搜集證據直至采取法律措施等行動。網絡安全事件應急響應的對象,又稱應急響應的客體,指:針對計算機與網絡信息的安全事件。除了傳統的針對保密性、完整性和可用性分類外,廣義上應急響應的對象還包括:掃描等違反安全政策的事件。應急響應過程包含三種角色:事件發起者、事件受害者與應急響應的人員。應急響應是被動性的安全體系。它的作用主要表現:1、事先的充分準備;2、事件發生后的采取的抑制、根除和恢復等措施。
(一)入侵檢測
應急響應由事件引發,同時發現事件依靠檢測手段。入侵檢測技術指由系統自動完成的檢測,是目前最主要檢測手段(IDS)。
(二)事件隔離與快速恢復
首先,在檢測基礎上,確定事件類型和攻擊源后,對于安全性、保密性要求高的環境,應及時隔離攻擊源,制止事件影響進一步惡化;其次,對外提供不可中斷服務的環境,如運營平臺、門戶網站等,應急響應過程應側重考慮盡快恢復系統并使之正常運行。這其中涉及事件優先級認定、完整性檢測及域名切換等技術。
(三)網絡追蹤和定位
確定攻擊者網絡地址及輾轉攻擊路徑,在現在的TCP/IP網絡基礎設備上網絡追蹤及定位很困難;新的源地址確認的路由器雖然能夠解決問題,但它與現在網絡隱私保護存在矛盾。
(四)取證技術
取證是一門針對不同情況要求靈活處理的技術,它要求實施者全面、詳細的了解系統、網絡和應用軟件的使用與運行狀態,對人的要求十分的高(這一點與應急響應本身的情況類似)。目前主要的取證對象是各種日志的審計,但并不是絕對的,取證可能來自任何一點蛛絲馬跡。但是在目前的情況下,海量的日志信息為取證造成的麻煩越來越大。
二、網絡安全事件應急響應聯動系統模型
網絡安全事件應急響應聯動系統模型是從應急響應組及協調中心發展起來的一套應急響應聯動體系。它立足于協調地理分布的人力與信息等資源,協同應對網絡安全事件,屬于應急響應組織發展后期的組織形式。聯動含義:1、組織間的協作;2、功能上統一;3、網絡安全策略上聯合。
(一)聯動系統的體系結構
圖1 聯動系統的體系結構
1、應急響應協調中心。是信息共享、交換與分析中心,負責協調體系正常運行,屬于聯動系統的核心。
2、應急響應組。應急響應組以應對網絡安全事件為目標,根據技術力量與資源狀況設置機構,甚至承擔部分協調中心功能。
3、客戶。客戶方應在應急響應組協助下進行風險分析、建立安全政策與設立聯系人員,增強自身主動防御能力及采取合理措施能力。
(二)應急響應協調中心
應急響應組織具備四核心功能:分類、事件響應、公告與反饋;與此同時還具有非核心功能:分析、信息整理、研發、教育及推廣。
圖2 應急響應協調中心機構設置
1、研發。研發部門,也是實驗部門,主要負責研究安全技術與安全工具,以及與網絡相關的技術測試、系統測試、產品測試、漏洞測試等。
2、專家顧問。技術專家對于確定研究與形勢影響很大。法律顧問與客戶、其他應急響應組織的合作及與法律部門、新聞媒體等合作應有法律依據。
3、信息整理與事件跟蹤。體系內的具備ISAC功能機構,該部門承擔著公告、反饋和信息整理的功能,在研發機構協助下實現信息資源(包括漏洞及補丁信息、新聞動態、技術文獻資料、法律法規、公告、安全警報、安全政策、建議等)共享,;還應提供網站資源鏈接,常見問題(FAQ),常用工具,技術論壇與事件及漏洞的上報渠道等。
4、應急響應。是一線應對事件的機構。響應是聯動系統的根本任務,但是聯動系統的響應人員在響應過程中可得到體系援助,使應急響應更及時有效。
5、聯絡。協調應急響應組、應對事件的聯動響應及與客戶聯絡。聯絡中心應具有對應急響應組的約束力,并與該部門承擔應急響應功能。
6、培訓。包括對組織內人員的技術培訓、固定客戶的技術支持與培訓和面向社會的安全培訓三個方面,是保持體系鍵康發展,提高客戶合作能力的機構。
7、公共關系。負責處理應急響應不能回避的與法律組織、媒體、行政部門、科研組織等實體的關系,以及與其他應急響應組織間的聯絡與合作;承擔部分推廣的功能。
8、管理機構。協調中心及聯動系統運作。
(三)聯動系統的功能
聯動系統功能包括兩方面:1、提供安全事件的應急響應服務;2、信息共享、交換與分析。兩功能互相融合、取長補短,使應急響應更加高效、便捷。
1、協調應急響應。在事件響應過程中,響應人員通過網絡或傳真方式向組織報告事件詳細信息,并取得幫助與建議,最終完成響應。依靠資源共享與聯動響應期間各響應組的密切聯系,響應過程中響應人員得到的建議。事件響應結束后,響應人員要完成事件跟蹤報告與總結,并由中心備案。
2、信息共享、交換和分析。信息整理與公告功能是維護網絡安全的主動防線。中心通過對組織的安全信息進行統計分析,找出易發生的安全事件,并以預警信息結合預防建議的形式,遏制類似事件發生;中心在安全信息整理和共享等的貢獻可大提高應急響應質量,對響應人員和客戶方的在線幫助意義重大義。
三、模型其它重要內容
(一)應用應急專線與無線通信手段
在報告事件時,受害者的理想方式:通過網絡,交互性較強。但為防止網絡受到破壞性攻擊、須預先設定緊急聯系手段。對事件的即時報告、意見反饋、協調中心或其它幫助都通過響應人員與中心聯系實現。除應急響應過程中的聯系,客戶報告事件也應在網絡或專用 軟件外擁有應急報告方式,比如傳真、移動電話。
(二)事件并行處理的協調
協調中心須實現為事件開辟聯動空間保證其獨立、高效及可持續。
(三)信息共享與隱私保護以及配套法律建設
聯動系統的本就是實現質信息共享。敏感信息應予以保護,比如客戶聲譽、穩私、機密等。聯動系統的信息共享不是完全共享,而是多級權限的共享。此外取證效力及責任、損失鑒定及量刑等的配套法律建設不完善,聯動系統也應根據實踐建立起自身的規范約束。
(四)異地數據備份與同步和自身的健壯性
應急響應聯動系統要求一定權限的數據由協調中心及應急響應組互為備份。依靠體系地理分布實現數據異地備份,保證數據安全性。
參考文獻:
篇2
關鍵詞 應急響應;保障措施;網絡安全;安全事件
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2014)15-0196-01
迄今為止,網絡信息安全問題不斷變更,給社會的發展帶來了嚴重的影響,在經歷了通訊安全、計算機安全、網絡安全和內容安全四個過程后,重要網絡基礎設施及信息的保護已經受到國家的高度關注,并成為國家安全戰略的重要組成部分,目前,網絡信息安全問題備受人們關注,面對網絡和系統日趨復雜,解決網絡安全事件成為應急響應體系建設的重點工作。
1 應急響應的基本內容
當前,應急響應主要包括應急響應、信息安全事件和應急響應體系的總體架構三個方面的內容。
1)應急響應是指一個組織在各種安全事件發生前后所采取的準備工作及相應的緊急措施,應急響應主要是為了保護網絡基礎設施的安全性,降低網絡的脆弱性和縮短網絡攻擊事件發生后對相關信息的破壞時間和恢復時間。
2)信息安全事件,即信息系統、服務或網絡的某種不安全狀態。而信息安全事件就是導致信息資產丟失或損壞的一種信息安全事故,且其損壞的發生具有一定的特殊性。當然,信息安全事件的發生也具有因果性、必然性、偶然性、規律性等特點,因此也就是說信息安全事件的發生是可以通過相應的措施進行相關事件的預防,而應急響應則是事件發生后減少損失的一個重要手段。
3)應急響應體系的總體架構,而應急響應體系由兩個中心和兩個組組合而成。而兩個中心只要是指信息共享與分析中心和應急響應中心,其兩個組則由應急管理組和專業應急組組成。其中,作為處于系統最高層的應急響應指揮協調中心,主要負責協調體系、維護信息共享與分析中心平臺、管理協調各個應急響應組,并且也是系統聯動的控制中心。而信息共享主要負責與組織進行信息共享和交換,它是整個架構的核心。應急響應中心包含了整個體系的核心任務,即信息安全事件的分類、預案管理及應急響應等。作為整個體系和聯動運作的總協調機構應急管理組,其主要包括:技術研發與策略制定組和專家咨詢組等。專業應急組直接對安全事件實施響應的聯動措施。
2 應急響應體系的層次結構
對與應急響應體系的層次結構,主要是針對在具體的應急響應工作中,相關應急響應體系的層次結構對安全事件的處理,以此體現層次結構在應急響應體系中的作用,對此,基于動態對等網層次結構中的網絡預警模型展開相應的研究。這里主要以DPOH模型為例,這種DPOH模型廣泛分布于受保護網絡中,由自治節點構建而成的層次化對等覆蓋網體系。DPOH模型主要是提供底層的分布式協作和數據共享框架,從而使得各類異構防護設施能夠接入到一個自適應的全局安全防護體系中,因此具有跨安全域的數據共享和相應的對等協作能力,為此,可以有效地執行協同檢測和防護任務。
DPOH模型主要是為了保護規模較大的網絡環境的安全而構建的,其重點是對惡意代碼實施協同檢測和防護而構建的。其包括層次化對等結構、數據分布式共享和動態自適應協作等
特點。
其層次化對等結構具有魯棒性、可拓展性和可管理性優點。在DPOH模型中具有控制中心、任務協調中心和安全三類核心節點角色,然而三種角色又有各自不同的權限,自上而下形成控制中心群體和任務組兩層對等覆蓋網體系,使得層次化和對等有機結合在一起。
而對于數據分布式共享,DPOH模型將NIDS、防火墻安全網關等設施通過協議注冊到相關的安全節點,將異構報警源生成的報警數據通過XML技術進行一致化處理,然后再由DHT分布式消息共享機制發到整個網絡安全防護體系中。對此,DPOH模型還可以整合各類異構網絡安全防護設施的數據資源,從而實現了安全報警消息的分析式存儲和查詢機制,并對分布式網絡入侵和攻擊行為進行關聯分析和協調檢測,從而明確入侵意圖,為深層次信息提供了基本的支撐。
針對動態適應協作,DPOH模型提供了其機制的底層支持,主要體現在以下兩點。
1)預警模型可以完全擺脫節點物理拓撲的約束對網絡安全資源進行調整分配。
2)當安全節點處于模型底層,并由控制中心根據所需資源,然后動態地組織任務組覆蓋網,在任務組只占必要的資源的同時實現多任務并行處理。
3 應急響應體系的聯動
應急響應體系的聯動包含技術防御層的聯動、組織保障層的聯動、響應實施層的聯動和以事件為中心的層間聯動。對此,應急響應體系的聯動主要體現于各層內實體和層間實體的聯動,若沒有實體間的聯動,其功能就無法進行發揮。所以,實體間的聯動是十分重要的。而層級結構圖越園,表明其實體間的聯系就越緊密,其活躍度就更高。由外而內,區域逐漸變小,而其功能越來越復雜,各層間的聯動活躍度也就越高。
對于無大規模的網絡攻擊或者網絡戰爭的發生,其聯動是最少的。在技術防御層中的六個實體間的聯動是通過彼此間的因果關系傳遞的,而組織保障層中的四個實體間的聯動在同種形式下是十分緊密的,其信息的傳遞可通過雙向傳遞或者點與點直接傳遞,對于響應實施層內的六個功能在通常情況下實體聯動可表現為一體。
4 結束語
在目前網絡飛速的發展中,由于各種因素的影響所造成的網絡漏洞較多,網絡信息安全事件的發生給人們,尤其是事業單位造成了很大的困擾,而應急響應防御體系中的一道重要的防線,是網絡信息安全的可靠保障。急響應體系的建立其工程十分復雜,應該為此加強安全措施的聯動,并全面了解層次結構,才能解決主要的問題,才能進一步完善應急響應體系。保證各類信息的安全。
參考文獻
[1]王瑞剛.網絡與信息安全事件應急響應體系層次結構與聯動研究[J].計算機應用與軟件,2011,28(10):117-119.
[2]王茹.安全信息管理(SIM)風險管理的研究與實現[D].北京郵電大學,2010.
[3]胡文龍.蜜網的數據融合與關聯分析的研究與實現[D].北京郵電大學,2009.
篇3
1總則
1.1編制目的
為保障XX市醫療保障局網絡和信息安全,提高應對網絡安全事件的能力,預防和減少網絡安全事件造成的損失和危害,進一步完善網絡安全事件應急處置機制,制定本預案。
1.2編制依據
《中華人民共和國網絡安全法》、《國家網絡安全事件應急預案》、《信息安全技術信息安全事件分類分級指南》(GB/Z20986-2007)、《信息安全事件管理指南》(GB/Z20985-2007)、《應急預案編制導則》(GBA29639-2013)、《信息技術服務運行維護第3部分:應急響應規范》(GBA28827.3-2012)等相關規定。
1.3工作原則
強化監測,主動防御。強化網絡和信息安全防護意識,加強日常安全檢測,積極主動防御,做到安全風險早發現。
明確分工,落實責任。加強網絡和信息安全組織體系建設,明確網絡安全應急工作權責,健全安全信息通報機制,做到安全風險早通報。
快速響應,有效處置。加強日常監管和運維,強化人力、物資、技術等基礎資源儲備,增強應急響應能力,做到安全問題早處置。
1.4適用范圍
本預案適用于市醫療保障局網絡和信息安全事件應急工作。
2事件分級與監測預警
2.1事件分類
網絡安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件。
(1)有害程序事件。包括:計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。
(2)網絡攻擊事件。包括:拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。
(3)信息破壞事件。包括:信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
(4)信息內容安全事件。指通過網絡傳播法律法規禁止信息,組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。
(5)設備設施故障。包括:軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。
(6)災害性事件。指由自然災害等其他突發事件導致的網絡安全事件。
(7)其他事件。指除以上所列事件之外的網絡安全事件。
2.2事件分級
按照事件性質、嚴重程度、可控性和影響范圍等因素,將市醫療保障局網絡和信息安全事件劃分為四級:Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級,分別對應特別重大、重大、較大和一般安全應急事件。
(1)Ⅰ級(特別重大)。局網絡和信息系統發生全局性癱瘓,事態發展超出控制能力,產生特別嚴重的社會影響或損害的安全事件。
(2)Ⅱ級(重大)。局網絡與信息系統發生大規模癱瘓,對社會造成嚴重損害,需要局各科室(單位)協同處置應對的安全事件。
(3)Ⅲ級(較大)。局部分網絡和信息系統癱瘓,對社會造成一定損害,事態發展在掌控之中的安全事件。
(4)Ⅳ級(一般)。局網絡與信息系統受到一定程度的損壞,對社會不構成影響的安全事件。
2.3預警監測
有關科室(單位)應加強日常預警和監測,必要時應啟動應急預案,同時向局網絡安全和信息化領導小組(以下簡稱“領導小組”)通報情況。收到或發現預警信息,須及時進行技術分析、研判,根據問題的性質、危害程度,提出安全預警級別。
(1)對發生或可能發生的Ⅳ級安全事件,及時消除隱患避免產生更為嚴重的后果。
(2)對發生或可能發生的Ⅲ級安全事件,迅速組織技術力量,研判風險,消除影響,并將處置情況和結果報領導小組,由領導小組預警信息。
(3)對發生和可能發生的Ⅱ級安全事件,應迅速啟動應急預案,召開應急工作會議,研究確定事件等級,研判事件產生的影響和發展趨勢,組織技術力量進行應急處置,并將處置情況報領導小組,由領導小組預警信息。
(4)對于發生和可能發生的Ⅰ級安全事件,迅速啟動應急預案,由領導小組向省醫療保障局、市委網絡安全和信息化委員會辦公室、市公安局通報,并在省級有關部門的指揮下開展應急處置工作,預警信息由省級有關部門。
3應急處置
3.1網頁被篡改時處置流程
(1)網頁由主辦網站的科室(單位)負責隨時密切監視顯示內容。
(2)發現非法篡改時,通知技術單位派專人處理,并作好必要記錄,確認清除非法信息后,重新恢復網站訪問。
(3)保存有關記錄及日志,排查非法信息來源。
(4)向領導小組匯報處理情況。
(5)情節嚴重時向公安部門報警。
3.2遭受攻擊時處置流程
(1)發現網絡被攻擊時,立即將被攻擊的服務器等設備斷網隔離,并及時向領導小組通報情況。
(2)進行系統恢復或重建。
(3)保持日志記錄,排查攻擊來源和攻擊路徑。
(4)如果不能自行處理或屬嚴重事件的,應保留記錄資料并立即向公安部門報警。
3.3病毒感染處置流程
(1)發現計算機被感染上病毒后,將該機從網絡上隔離。
(2)對該設備的硬盤進行數據備份。
(3)啟用殺病毒軟件對該機器進行殺毒處理工作。
(4)必要時重新安裝操作系統。
3.4軟件系統遭受攻擊時處置流程
(1)重要的軟件系統應做異地存儲備份。
(2)遭受攻擊時,應及時采取相應措施減少或降低損害,必要時關停服務,斷網隔離,并立即向領導小組報告。
(3)網絡安全人員排查問題,確保安全后重新部署系統。
(4)檢查日志等資料,確定攻擊來源。
(5)情況嚴重時,應保留記錄資料并立即向公安部門報警。
3.5數據庫安全緊急處置流程
(1)主要數據庫系統應做雙機熱備,并存于異地。
(2)發生數據庫崩潰時,立即啟動備用系統。
(3)在備用系統運行的同時,盡快對故障系統進行修復。
(4)若兩主備系統同時崩潰,應立即向領導小組報告,并向軟硬件廠商請求支援。
(5)系統恢復后,排查原因,出具調查報告。
3.6網絡中斷處置流程
(1)網絡中斷后,立即安排人員排查原因,尋找故障點。
(2)如屬線路故障,重新修復線路。
(3)如是路由器、交換機配置問題,應迅速重新導入備份配置。
(4)如是路由器、交換機等網絡設備硬件故障,應立即使用備用設備,并調試通暢。
(5)如故障節點屬電信部門管轄范圍,立即與電信維護部門聯系,要求修復。
3.7發生火災處置流程
(1)首先確保人員安全,其次確保核心信息資產的安全,條件允許的情況下再確保一般信息資產的安全。
(2)及時疏散無關人員,撥打119報警電話。
(3)現場緊急切斷電源,啟動滅火裝置。
(4)向領導小組報告火災情況。
4調查與評估
(1)網絡和信息安全事件應急處置結束后,由相關科室(單位)自行組織調查的,科室(單位)對事件產生的原因、影響以及責任認定進行調查,調查報告報領導小組。
(2)網絡和信息安全事件應急處置結束后,對按照規定需要成立調查組的事件,由領導小組組織成立調查組,對事件產生的原因、影響及責任認定進行調查。
(3)網絡和信息安全事件應急處置結束后,對產生社會影響且由省級有關部門進行調查的,按照省級有關部門的要求配合進行事件調查。
5附則
篇4
關鍵詞:APPDRR;校園網絡;安全對策
中圖分類號:TP393.08
1 探究網絡安全需求
1.1 業務安全需求
在網絡安全和通暢的情況下,才可以對學校中財務系統、辦公系統、教務學生管理以及教學活動正常的開展。防止Dos等攻擊而造成的性能喪失或者服務癱瘓的現象。
1.2 物理安全需求
在校園網絡中的較多物理設施需要和有關的安全規范相符,例如:中心機房、硬件防火墻、路由器、交換機、服務器等。還需要按照有關的管理范圍限制系統管理員、數據庫管理員以及機房管理人員的權限。
1.3 數據安全需求
數據安全需求具體包含:抗抵賴性、數據完整性、數據機密性。其中所涉及到的數據機密性所指的是,不可以被進程、實體或者非授權者加以利用,在機密性中還會存在泄漏的特點。信息數據按照安全級別包含:機密、內部、公開等三個級別。公開性質的信息是Internet用戶可以對其訪問的,內部的信息只可以被校內學生和教職工進行訪問,機密的信息只是小部分的授權用戶有使用權限。數據的完整性方面需要將主動威脅有所抵制,從而確保接收者的信息接收和信息發送初期是統一的,保證信息真實有效。抗抵賴性是發送人員不可以在發送之后否認消息的發送內容[1]。
2 APPDRR的校園網絡安全對策
校園網絡安全是動態的系統,新問題會接連出現,解決方案會隨著問題的出現而改善。APPDRR這一方案能夠完善的解決校園網絡安全問題,其主要的構成部分為:故障恢復與事件響應、監控與檢測、防御系統、安全策略的制定以及風險的評估與分析。
2.1 風險分析
想要開展APPDRR,風險分析是第一組成部分,進行風險的分析能夠保證其他組成部分的順暢開展,在校園網絡中所存在的風險為幾大部分:(1)控制和非法訪問。控制是機制和策略的有效融合,可以訪問限定的資源。系統若認證非法訪問的情況下,會順利的進入到系統的內部對數據資源隨意使用。(2)病毒。校園中擁有著較多的學生和教職工,網絡用戶十分復雜。在加上對電腦與智能手機應用方面不斷增多,更加增添了網絡拓撲結構的復雜性。僅僅是一項細節部位受到的病毒的干擾,也會快速、大范圍的傳播。(3)Dos攻擊。Dos主要是通過有效的服務請求去占用較多的服務資源,繼而對用戶指令不能夠應用服務器進行處理,最后會造成服務器的癱瘓現象。
2.2 安全策略
對安全風險確定之后,就需要按照安全的需要擬定出相應的安全策略。在APPDRR當中安全策略是核心成分,APPDRR具體創建了四大防線,分別為:故障恢復、實時響應、監控與檢測、防護。
2.3 安全防護
(1)核心層的網絡設備中能夠應用URPF御DDOS攻擊,同時和OTP動態形式下的一次性密碼進行結合,驗證出用戶身份。只要將服務開啟,通過安全設計的路由協議,驗證協議,利用SSH、SNMP等擁有安全性較強的管理協議,就能夠開展端口限速控制接入層的交換機。(2)防火墻在Internet入口處設置。防火墻涉及到的雙主動模式具有一定的可靠性,不管是在網絡地址的轉換模式還是路由模式,都能夠配置為主動的備份防火墻和防火墻,能夠有效的共享數據流。所體現的雙主動模式能夠確保兩臺防火墻可以有50%的分擔能力,可以合理的利用資源,能夠延續防火墻的使用期限。
2.4 安全監控和檢測
想要將安全策略落實,一定要進行安全檢測,檢測的具體對象包含兩種,其一為系統外部的入侵威脅,其二為系統自身的脆弱性。對系統自身的脆弱性有幾種檢測措施:(1)入侵檢測。在外部中的入侵檢測具體是利用計算機系統,以及計算機網絡當中的小部分重點開展信息分析和信息收集,在收集的過程中搜尋能否存在不符合安全策略的跡象和行為。分析監視系統活動和用戶能否和安全策略分析相符,比較已經知道的活動攻擊模式數據庫,同時充分的識別異常的情況。嚴格的監控關鍵的數據是否完整。還需要審計操作系統的日志,以此來正確的識別異常的行為[2]。(2)檢測系統自身脆弱性:1)漏洞的掃描系統。在漏洞數據庫中會產生漏洞掃描,會針對應用終端和服務器開展安全弱脆性的系統檢測,對系統漏洞能夠及時發現。漏洞具體包含:MAIL類、緩沖區溢出、WEB應用漏洞以及Windows系統漏洞等。后臺的管理掃描系統提倡通過管理系統,在漏洞掃描服務器中安裝服務器端。2)防病毒的部署。對于防病毒策略的實現,需要將集中安裝實現,將策略的管理統一開展。將趨勢科技中央控管產品TMCM在后臺的管理區防病毒服務器中詳細的部署,此管理軟件可以將防病毒軟件,開展系統化的管理和監控。針對客戶監控區的終端系統,以及后臺管理層中的監控區域的病毒防護,可以應用OfficeScan方案。其高效和升級的實時防護以及統一管理模式,可以合理的確保應用人員的應用安全[3]。3)操作系統補丁方面的管理系統。若操作系統存在漏洞,應用極為優質的管理措施和軟件都不能夠產生效用,基本上在校園網絡中所產生的安全隱患,具體的原因都是由于計算機或者業務服務器中缺失系統補丁的及時更新,所以在校園網中需要配置專業的補丁管理系統。SMS系統是提倡應用的系統,該系統可以較好的配置Microsoft的更新,能夠讓校園網當中所使用的計算機和服務器,都可以在暴露安全弱點之前被發現[4]。
2.5 應急實時的響應
應急實時響應是在網絡安全隱患發生之后的有效應對方式,能夠有效的解決安全性問題,是較為完善的處理手段。若產生安全隱患,需要及時的開展應急的預案,為的是在較短時間內,將危害性降低到最小的程度[5]。
3 總結
根據以上的論述,應用APPDRR的前瞻性隨著動態校園網絡的形成,不斷的得以體現。并且,有必要將管理和技術有效的融合在一起,讓教師和學生都擁有著一定的網絡風險意識,建立健全的“防火墻”,用規范的行為正確的進行電腦的使用以及保證上網的良好習慣。要力求用信息技術維護校園網絡安全,讓師生能夠在一定程度上開展優質的網絡體驗。
參考文獻:
[1]黃昌偉,萬偉蹈,吳洪強.基于APPDRR的校園網絡安全模型研究[J].江西教育學院學報,2013,12(09):123-125.
[2]林日.信息化背景下的校園網絡安全問題與對策[J].福建教育學院學報,2013,11(06):146-150.
[3]曾松.淺談中職學校數字化校園網絡的安全問題及對策[J].福建電腦,2013,14(02):188-190.
[4]夏齡,周德榮,舒濤.校園網絡的安全及對策初探[J].西南民族大學學報:自然科學版,2013,6(03):146-157.
[5]宋帆,楊曉蘭.北郵校園網學籍、成績管理信息系統安全對策探討[J].管理信息系統,2013,5(04):176-179.
篇5
為了能夠有效地保護網絡安全,保護計算機用戶免受病毒的侵害,應該不斷提高互聯網的應急響應技術來保護網絡的安全。計算機網絡安全應急響應技術是一門綜合性技術學科,它具有智能性的特點,對于一些突發安全事件能夠及時地進行響應、跟蹤和處理。因此,它的技術要求也是非常高的,主要體現在以下幾個方面:
1.1操作系統加固優化技術
操作系統是電腦網絡與服務的基礎,其安全穩定地運行取決于操作系統環境是否安全可靠。關于操作系統的加固優化,主要可以通過兩種方法來實現:
(1)對操作系統進行不斷的完善,操作人員不斷通過自我學習,發現操作系統當中的漏洞,當發現漏洞的時候一定要進行及時地修正。
(2)要不斷完善現有的操作系統,加強對重要文件和進程的監控和管理,不斷加強操作系統的穩定性和安全性。
1.2網絡的誘騙和陷阱
網絡的陷阱和誘騙技術是一種新型的網絡安全防護技術,它主要通過設計一些有明顯弱點的系統,來引誘病毒或者是黑客攻擊者。通過誘惑黑客攻擊者的入侵方式和行為,設定一個控制范圍,了解黑客所使用的攻擊方式和攻擊技術,然后追蹤其來源,對其不法行為進行記錄。這種防護方式的優點主要有兩個方面:第一,它能夠有效地防止黑客的攻擊行為,增加黑客攻擊者的入侵難度,從而更好地做好防御工作。第二,它可以通過跟蹤和記錄黑客的行為,記錄黑客的犯罪證據,對這種行為進行有效地打擊。
1.3網絡的追蹤技術
計算機網絡追蹤技術主要是對每一臺主機的信息進行采集獲取,確定攻擊者的lP地址是什么,進而找到相應的防護措施。這種網絡的追蹤技術的核心特點就是它對計算機網絡中的所用主機進行確認,在這個基礎上,對主機的數據進行采集、分析以及處理,然后將入侵者在網絡中活動的軌跡串聯起來進行追蹤。這樣的技術能夠有效地對病毒入侵者進行追蹤分析,從而更好的防護電腦網絡。網絡追蹤技術主要分類兩個方面:第一個是主動追蹤技術,它主要包括的是對信息進行隱形工作,例如,在HTTP的返回工作中加入特殊標記的內容,這些內容要進行一系列的技術處理,保證攻擊者不容易察覺,同時,在網絡當中可以通過這些隱形標記來追蹤網絡攻擊者,確認他們的攻擊途徑。第二種是被動式的追蹤技術,這種被動式的追蹤技術主要通過網絡數據的不斷變化而找出攻擊對象的。它的理論依據就是,計算機網絡連接不同,網絡連接的相關特征數據也會有所不同。通過對這些產生不同節點的網絡標識進行記錄,找出攻擊者的攻擊軌道和攻擊軌跡,繼而進行追蹤。
1.4斗防火墻技術
防火墻技術實際上是一種計算機網絡與局域網之間的一個把關者,通過建立這樣一所把關門,可以有效地保護局域網的安全,避免病毒或者黑客的侵入。在目前的互聯網技術上來講,防火墻是計算機網絡安全防護當中最為基礎和相對安全的一個防護措施,它可以在不改變計算機網絡系統的情況之下,對電腦實施一定的保護措施,因此防火墻是一種最為普遍、應用最為廣泛的應急技術。一般的計算機用戶可以將其安裝到電腦內,從而對計算機網絡實施安全保護功能,其實用性非常大。
1.5計算機防止病毒影響技術
由于現在電腦技術不斷更新換代,網絡病毒的技術也變得更急復雜,對于電腦的攻擊也更加猛烈。因此,很多用戶都會在電腦的主機上安裝相應的殺毒軟件,防止病毒的入侵。而在功能上來講,計算機病毒軟件主要分為兩種類型,一種是網絡的防病毒軟件以及單機的殺毒軟件,網絡的防毒軟件主要是檢測互聯網是否存在病毒,一旦有病毒進入計算機網絡的時候,網絡防毒軟件就會自動檢測出來并且提示用戶刪除該病毒;而單機殺毒軟件則是我們常用的殺毒軟件,主要是用戶安裝在電腦上通過網絡的檢測來進行電腦的全面檢查,發現有病毒的話可以立即進行清除。
1.6石取證技術
網絡的取證技術是對計算機系統當中的數據進行識別、收集以及保護。計算機的取證主要包括物理取證和信息取證兩個方面。
(1)物理取證技術。主要是指在計算機當中尋找原始記錄的一種技術。在進行物理取證的時候,最重要的是要保證證據不被破壞。而物理取證技術也能夠很好地做到這一點,它的主要特點就是對證據進行無損備份,對于一些刪除了的文件能夠進行恢復。
(2)信息取證技術,信息取證技術是在經過物理取證技術之后,對獲得的原始文件和數據進行技術分析。
2結束語
篇6
關鍵詞 氣象信息網絡;現狀;網絡安全;安全策略;內蒙古通遼
中圖分類號 P49 文獻標識碼 A 文章編號 1007-5739(2012)10-0051-01
計算機網絡在經濟和生活各個領域的迅速普及和發展給人們帶來前所未有的方便快捷,人們通過網絡互通聯系,進行各種商業活動。隨著計算機網絡的不斷發展,通遼市氣象信息網絡也得到了很大的發展和改進,形成了內部獨有的網絡特點,使氣象數據的傳輸、資源共享都在網絡上得以實現,為實現“公共氣象、安全氣象、資源氣象”發揮了不可替代的作用。但是網絡互聯性、開放性、共享性、復雜性又暴露了脆弱性和不穩定性,使得網絡安全問題變得越來越突出[1]。氣象數據的定時傳輸及數據的準確性和及時性特點,對氣象信息網絡安全性的重要性提出更高要求。該文針對通遼市氣象現有網絡結構及安全性進行分析,并提出相應的解決方案。
1 通遼市氣象信息網絡現狀
通遼市氣象信息網絡既有內部的局域網又有廣域網(系統內部業務網),還有外網(因特網)、衛星網。廣域網采用網狀拓撲結構,內部局域網采用星型拓撲(同一層樓)和樹型拓撲(不同樓層)結構互相連接,有和氣象局以及所屬旗縣氣象局SDH(電信、網通)專線、與通遼東部人工降雨指揮中心相連城域網、接收亞洲—4號衛星的CMAcast衛星接收系統、Internet網互聯的復雜網絡。網絡的安全非常重要,一旦網絡遭到破壞,將影響氣象業務工作的正常運行。隨著氣象現代化業務的快速推進,全方位分析通遼市網絡安全并提出解決方案顯得尤為重要。
2 通遼市信息網絡安全分析及控制策略
通遼市氣象信息網絡是個龐大的系統,其安全方面存在的風險包括管理安全風險、網絡安全風險、應用安全風險。面對存在的風險要采取各項解決方案,以應對網絡故障,保證網絡安全暢通。
2.1 管理安全控制策略
網絡安全既講究技術層面的防御,也必須注意管理方面的問題,需要網絡管理員及時發現問題、解決問題,為網絡安全制訂一整套安全制度、網絡使用規程、通信機房安全管理制度、網絡的日常維護制度和應急措施。嚴格按照規章制度執行,同時也進行人員安全管理,加強對網絡管理人員的安全教育和技術培訓,增強管理人員的安全意識,提高管理人員的誠信和道德水平,以及對應急事件的處理能力。
2.2 網絡安全控制策略
通遼市氣象信息網存在復雜性、多樣性、不穩定性,氣象數據在網上傳輸存在傳輸風險、病毒入侵風險。為避免這些風險,在網絡上添加硬件防火墻(金山FVR),管理和配置好局域網防火墻是十分必要的。因為防火墻是不同網段之間信息的出入口,能夠根據網絡安全策略,有效記錄用戶因特網活動,暴露用戶點,防火墻是網絡安全策略檢查站,具有較強的抗攻擊能力,能有效地保護各級氣象部門局域網絡的安全[2]。但是只有防火墻是不夠的,防火墻不能防備全部的威脅,也不能防范所有病毒的入侵,在公共網絡安全方面,木馬和僵尸病毒依然對網絡安全構成直接威脅,2011年國家互聯網應急中心共發現近500萬個境內主機IP地址感染木馬和僵尸程序,較2009年大幅增加。因此,在網絡上的每個工作站安裝金山毒霸套裝殺毒軟件,就能及時發現計算機系統及應用軟件的漏洞,進行掃描修復,組件升級加固系統,關閉計算機不必要的應用程序,清理插件,打開“網頁監控”功能,防止惡意木馬利用漏洞入侵計算機[3]。做好移動硬盤、U盤等即插即用設備使用前的掃描和殺毒工作,關鍵計算機禁用即插即用設備。構建多層次、多方位的防毒策略,建立網絡防病毒安全體系[4]。安全機制更加縝密,將保證網絡上的每個工作站有序運行。
為保證通遼市氣象信息網安全、可靠、持續運行,業務內部網必須通過路由器來實現,網絡管理員在路由器上配置訪問列表來進行跨子網段的授權訪問,從而提高內部網絡訪問的安全性。路由器采用博達公司BD7208路由器,其具有提供包括聲音、視頻和數據傳輸在內的綜合服務,具有QoS功能;虛擬子網的解決方案和虛擬子網間通信的安全問題,網絡的擴展能力和對多廠商、多協議的支持能力。所屬旗縣氣象局采用博達公司BD2600路由器,支持多協議,三網無縫合一,節約大量成本。另外,該路由器還支持3G網絡,在網絡斷開時,用3G自動切換,保證傳輸數據的及時性、完整性、可靠性,解決網絡的不穩定隱患。
2.3 應用安全控制策略
通遼市信息網具有衛星數據資料接收系統、視頻會商系統、臺站天氣實傳輸檢測系統、內蒙古氣象局綜合信息系統、Notes郵件系統、各種業務數據傳輸系統等,每天網絡都肩負龐大的數據傳輸任務。數據傳輸存在風險,一旦遭到破壞,網絡就可能癱瘓,造成不可估量的損失,應用安全就成網絡重中之重。
應單獨建立一個數據服務器(IBM),實現數據的存儲、共享功能。數據服務器安裝Windows 2003 Server系統,在數據服務器上進行以下安全設置:建立有效用戶,設置口令,進行身份認證,防止非法用戶登陸使用數據服務器。關閉不需要的端口和部分服務,可以減輕系統負擔,關閉默認共享空間連接,通過設置磁盤權限、安裝防火墻殺毒軟件等一系列措施保護數據,保證有效用戶合理使用數據服務器。
3 結語
隨著氣象事業的不斷發展,存儲和分發的數據種類增加,信息量成幾何指數迅猛增長,各類氣象數據傳輸實效要求也越來越高[5-6]。響應快捷、運轉高效是對氣象信息網絡提出的新要求,網絡安全防護策略及解決方案是動態變化的,隨著網絡周期變化而拓展,網絡安全工作任重而道遠,為加強氣象信息系統的抗干擾性能,保證信息的完整性、可控性和不可否認性,提高網絡的安全管理水平與技術保護能力,構建一個網絡與信息安全防范體系顯得尤為重要。
4 參考文獻
[1] 王鑫,蔣華.網絡環境下的計算機病毒及其防范技術[J].計算機與數字工程,2008,36(2):88-90
[2] 邱奕煒,鄧肖任,詹利群.氣象部門網絡安全威脅與對策探討[J].氣象研究與應用,2009,30(S1):237-238.
[3] 王會品,張濤.無線網絡技術在氣象信息服務中的應用[J].氣象與環境學報,2009,25(2):54-56.
[4] 尚衛紅.不斷提高氣象為新農村建設服務能力[J].沙漠與綠洲氣象,2008,2(B8):141-144.
篇7
關鍵詞:企業局域網;安全;管理制度
近年來,隨著企業管理水平的提高,企業管理信息化越來越受到企業的重視。企業ERP系統、企業電子郵局系統和協同辦公自動化系統等先進的管理系統都進入企業并成為企業重要的綜合管理系統。這種連接方式使得企業局域網在給內部用戶帶來工作便利的同時,也面臨著外部環境的種種危險。如病毒、黑客、垃圾郵件、流氓軟件等給企業內部網的安全和性能造成極大地沖擊如何更有效地保護企業重要的信息數據、提高企業局域網系統的安全性已經成為我們必須解決的一個重要問題。
一、網絡安全及影響網絡安全的因素
影響企業局域網的穩定性和安全性的因素是多方面的,主要表現在以下兩個方面:
1、外網安全。黑客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。
2、內網安全。企業員工利用網絡處理私人事務和其他對網絡的不正當使用,降低了生產率、消耗企業局域網絡資源、并引入病毒和間諜軟件,或者使得不法員工可以通過網絡泄漏企業機密。
二、企業局域網安全方案
為了更好的解決上述問題,確保網絡信息的安全,企業應建立完善的安全保障體系該體系,包括網絡安全技術防護和網絡安全管理兩方面網絡安全技術防護主要側重于防范外部非法用戶的攻擊和企業重要數據信息安全。網絡安全管理則側重于內部人員操作使用的管理。采用網絡安全技術構筑防御體系的同時,加強網絡安全管理這兩方面相互補充,缺一不可。
1、企業的網絡安全技術防護體系
主要包括入侵檢測系統、漏洞掃描系統、病毒防護、防火墻、認證系統和網絡行為監控等幾大安全系統。
1)入侵檢測系統。在企業局域網中構建一套完整立體的主動防御體系,同時采用基于網絡和基于主機的入侵檢測系統,在重要的服務器上(如WEB服務器,郵件服務器,協同辦公服務器等)安裝基于主機的入侵檢測系統,對該主機的網絡實時連接以及系統審計日志進行智能分析和判斷,如果其中主體活動十分可疑,入侵檢測系統就會采取相應措施。
2)漏洞掃描系統。解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況,僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不現實的。解決的方案是,尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。
3)病毒防護系統。企業局域網防病毒工作主要包括預防計算機病毒侵入、檢測侵入系統的計算機病毒、定位已侵入系統的計算機病毒、防止病毒在系統中的傳染、清除系統中已發現的病毒和調查病毒來源。校園網需建立統一集中的病毒防范體系。特別是針對重要的網段和服務器。要進行徹底堵截。
4)防火墻系統。防火墻在企業局域網與Internet之間執行訪問控制策略,決定哪些內部站點允許外界訪問和允許訪問外界,從而保護內部網免受非法用戶的入侵在外部路由器上設置一個包過濾防火墻,它只允許與屏蔽子網中的應用服務器有關的數據包通過,其他所有類型的數據包都被丟棄,從而把外界網絡對屏蔽子網的訪問限制在特定的服務器的范圍內,保證內部網絡的安全。
5)認證系統。比如網絡內應使用固定IP、綁定MAC地址;結合企業門戶、辦公系統等管理業務系統的實施實行機終端接入準入制度,未經過安全認證的計算機不能接人企業局域網絡。
6)網絡行為監控系統。網絡行為監控是指系統管理員根據網絡安全要求和企業的有關行政管理規定對內網用戶進行管理的一種技術手段,主要用于監控企業內部敏感文件訪問情況和敏感文件操作情況以及禁止工作人員在上班時間上網聊天、玩游戲、瀏覽違禁網站等。
2、企業局域網安全管理措施
雖然先進完善的網絡安全技術保護體系,如果日常的安全管理跟不上,同樣也不能保證企業網絡的絕對安全,一套完整的安全管理措施是必不可缺少的。
1)為了避免在緊急情況下預先制定的安全體系無法發揮作用時,應考慮采用何種應急方案的問題應急方案應該事先制訂并貫徹到企業各部門,事先做好多級的安全響應方案,才能在企業網絡遇到毀滅性破壞時將損失降低到最低,并能盡快恢復網絡到正常狀態;
2)對各類惡意攻擊要有積極的響應措施,并制定詳盡的入侵應急措施以及匯報制度。發現入侵跡象,盡力定位入侵者的位置,如有必要,斷開網絡連接在服務主機不能繼續服務的情況下,應該有能力從備份磁盤中恢復服務到備份主機上。
3)扎實做好網絡安全的基礎防護工作,建立完善的日志監控措施,加強日志記錄,以報告網絡的異常以及跟蹤入侵者的蹤跡。
篇8
“誰都不愿意也不敢在奧運期間出現問題。因此除了奧組委,一些跟奧運緊密相關的客戶如電信、電力、甚至是金融行業,對于網絡安全的問題也是非常緊張。在這種情況下,眾多網絡安全廠商紛紛推出‘奧運保障計劃’來做大市場。”參加了幾次奧運安全保障計劃的互聯網實驗室執行總裁劉興亮分析。
喚醒網絡安全市場
“奧運前期,我們每天都要定時向好幾個與奧運會相關的政府接口進行信息通報,奧運開幕后,現在是幾乎每個小時都要通報。當然這一切都是為了防止奧運會期間,可能出現針對奧運而來的黑客恐怖襲擊和計算機網絡病毒。” 北京一網絡廠商的張姓工程師說。
據這名張姓工程師說,此前不久,由奧組委和相關部門牽頭,幾乎所有重要的網絡安全廠商剛參與了兩次大規模的攻防演練:一部分人對網絡發動攻擊,有的假扮黑客,有的則在網絡上散發大量的未知病毒,造成網絡攻擊的現象。而另一部分人則啟動響應機制,構建防御體系,迅速處理危機。
對此劉興亮分析說,這樣的演練實質上就是對應急機制的檢測。 無論是演練,還是在奧運期間的實際運作,從流程上來講,跟平時處理突發事件基本相同,不同的是要“快”,比平時的響應速度要更快。不是改變流程,而是加速流程,爭取把對奧運的影響降到最低。
對于黑客和病毒的防范,廠商的策略一直都屬于被動防范,就是當問題出現時,集中火力去解決問題。但面對奧運這樣的重點項目,他們前期則需要確定防范重點,并且有針對性地設計工作流程。
正是緣于奧運對網絡安全的高度重視,大大刺激了對網絡安全重要性的喚醒。“以前他們有任何問題都是工程師跟我們聯系,現在都是處長或是經理直接跟我們聯系。”北京瑞星客戶部總經理王建峰說。
劉興亮說:“在這種情況下,網絡安全廠商如趨勢、瑞星、金山、江民啟明星辰、綠盟等網絡安全廠商都紛紛都推出‘奧運保障計劃’來做大市場。”
市場規模亟待擴張
網絡安全本來是非常重要的,但市場的整體規模一直不是很大,市場中的企業規模也比其他行業小。奧運對網絡安全的高度重視,無疑激發了這個市場的需求。比如金融企業,在奧運期間是全面向全球用戶提供金融服務,如果服務不能正常運轉,不僅企業的信譽受到打擊,而且還會有很嚴重的政治影響。
與此同時,奧組委和奧運相關的業務組織也大量采購網絡安全廠商的軟件、硬件和服務。進一步刺激了網絡安全市場的需求。
“臨近奧運時,來自電力、電信、金融、門戶網站、相關政府部門的客戶不斷地向我們提出網絡安全保障計劃的需求。如有的客戶向我們征詢網絡部署的方案,有的請我們去評估網絡的安全性,也有些客戶要求我們提供針對性的人員培訓。”王建峰在談起奧運期間網絡安全市場時興奮地說道。
趨勢科技北方區技術經理羅海龍也告訴記者:“他們的工程師僅在今年6月、7月就兩次對客戶的系統進行了全面檢查,同時針對客戶的系統進行弱點分析,制定加固或調整方案。現在奧運期的重點就是突發事件的處理。”
據悉,為了及時應付隨時可能發生的突發事件,趨勢科技還為客戶提供一項特殊的“未知威脅保障服務”,主要針對企業用戶在日常安全防護中遇到的未知威脅,提供完整的主動解決方案,自動進行高危可疑文件的判斷和比對,做到提早發現問題提早解決問題,并提供可跟蹤的報告。
更難能可貴地是,奧運把平時在網絡安全市場上的競爭對手們,團結了起來。劉興亮告訴記者,現在中國的網絡安全廠商們全部都緊密合作,一切都以確保奧運的網絡安全為唯一目標。
■記者觀察:“后奧運”商機
在奧運期間,不管是被奧組委選中產品的網絡安全廠商還是主動為奧組委服務的網絡安全廠商,除了盡責任和義務外,也有一個商業的考慮,那就是爭搶后奧運網絡安全市場的蛋糕。
據悉,北京瑞星就在預算方面制定了對奧運網絡安全支持沒有封頂的措施,而且全公司高級別的專家、工程師都在全力配合奧運網絡安全項目。
像這樣在奧運期間,網絡安全廠商們在全力服務好奧組委、服務好跟奧運密切相關的大行業客戶,以及貼近這些大用戶的同時,也在向大用戶證明了自己的價值。畢竟奧組委以及大量跟奧運密切相關的企業在后奧運時代也有大量的安全需求。
未雨綢繆,網絡安全廠商是有這個考慮的。通過網絡安全廠商的的服務在幫助客戶避免奧運期間危機的同時,也讓客戶更了解相關的產品和服務。
篇9
為了貫徹國家對信息系統安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針,需要全面提高信息安全防護能力。貴州廣電網絡信息系統建設需要進行整體安全體系規劃設計,全面提高信息安全防護能力,創建安全健康的網絡環境,保護國家利益,促進貴州廣電網絡信息化的深入發展。
1安全規劃的目標和思路
貴州廣電網絡目前運營并管理著兩張網絡:辦公網與業務網;其中辦公網主要用于貴州廣電網絡各部門在線辦公,重要的辦公系統為OA系統、郵件系統等;業務網主要提供貴州廣電網絡各業務部門業務平臺,其中核心業務系統為BOSS系統、互動點播系統、安全播出系統、內容集成平臺以及寬帶系統等。
基于對貴州廣電網絡信息系統的理解和國家信息安全等級保護制度的認識,我們認為,信息安全體系是貴州廣電網絡信息系統建設的重要組成部分,是貴州廣電網絡業務開展的重要安全屏障,它是一個包含貴州廣電網絡實體、網絡、系統、應用和管理等五個層面,包括保護、檢測、響應、恢復四個方面,通過技術保障和管理制度建立起來的可靠有效的安全體系。
1.1設計目標
貴州廣電網絡就安全域劃分已經進行的初步規劃,在安全域整改中初見成效,然而,安全系統建設不僅需要建立重要資源的安全邊界,而且需要明確邊界上的安全策略,提高對核心信息資源的保護意識。貴州廣電網絡相關安全管理體系的建設還略顯薄弱,管理細則文件亟需補充,安全管理人員亟需培訓。因此,本次規劃重點在于對安全管理體系以及目前的各個業務系統進行了全面梳理,針對業務系統中安全措施進行了重點分析,綜合貴州廣電網絡未來業務發展的方向,進行未來五年的信息安全建設規劃。
1.2設計原則
1.2.1合規性原則
安全設計要符合國家有關標準、法規要求,符合廣電總局對信息安全系統的等級保護技術與管理要求。良好的信息安全保障體系必然是分為不同等級的,包括對信息數據保密程度分級,對用戶操作權限分級,對網絡安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網絡層、鏈路層等),從而針對不同級別的安全對象,提供全面、可選的安全技術和安全體制,以滿足貴州廣電網絡業務網、辦公網系統中不同層次的各種實際安全需求。
1.2.2技管結合原則
信息安全保障體系是一個復雜的系統工程,涉及人、技術、操作等要素,單靠技術或單靠管理都不可能實現。因此,必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。
1.2.3實用原則
安全是為了保障業務的正常運行,不能為了安全而妨礙業務,同時設計的安全措施要可以落地實現。
1.3設計依據
1.3.1“原則”符合法規要求
依據《中華人民共和國計算機信息系統安全保護條例K國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[20〇3]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術信息系統安全等級保護定級指南》、GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》、《廣播電視安全播出管理規定》(廣電總局62號令)、GDJ038-CATV|有線網絡。
2011《廣播電視播出相關信息系統等級保護基本要求》,對貴州省廣播電視相關信息系統安全建設進行規劃。
1.3.2“策略”符合風險管理
風險管理是基于“資產-價值-漏洞-風險-保障措施”的思想進行保障的。風險評估與管理的理論與方法已經成為國際信息安全的標準。
風險管理是靜態的防護策略,是在對方攻擊之前的自我鞏固的過程。風險分析的核心是發現信息系統的漏洞,包括技術上的、管理上的,分析面臨的威脅,從而確定防護需求,設計防護的措施,具體的措施是打補丁,還是調整管理流程,或者是增加、增強某種安全措施,要根據用戶對風險的可接受程度,這樣就可以與安全建設的成本之間做一個平衡。
1.3.3“措施”符合P2DR模型
美國ISS公司(IntemetSecuritySystem,INC)設計開發的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(Response)四個主要部分,是一個可以隨著網絡安全環境的變化而變化的、動態的安全防御系統。安全策略是整個P2DR模型的中樞,根據風險分析產生的安全策略描述了系統中哪些資源要得到保護,以及如何實現對它們的保護等,策略是模型的核心,所有的防護、檢測和響應都是依據安全策略實施的。
檢測(Detection)、防護(Protection)和響應(Response)三個部分又構成一個變化的、動態的安全防御體系。P2DR模型是在整體的安全策略的控制和指導下,在綜合運用防護工具(如防火墻、身份認證、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統的安全狀態,通過適當的反應將系統調整至“最安全”和“風險最低”的狀態,在安全策略的指導下保證信息系統的安全[3]。
1.4安全規劃體系架構
在進行了規劃“原則”、“策略”、“措施”探討的基礎上,我們設計貴州廣電網絡的安全保障體系架構為“一個中心、兩種手段”。
“一個中心”,以安全管理中心為核心,構建安全計算環境、安全區域邊界和安全通信網絡,確保業務系統能夠在安全管理中心的統一管控下運行,不會進入任何非預期狀態,從而防止用戶的非授權訪問和越權訪問,確保業務系統的安全。
“兩種手段”,是安全技術與安全管理兩種手段,其中安全技術手段是安全保障的基礎,安全管理手段是安全技術手段真正發揮效益的關鍵,管理措施的正確實施同時需要有技術手段來監管和驗證,兩者相輔相成,缺一不可。
2安全保陳方案規劃
2.1總體設計
貴州廣電網絡的安全體系作為信息安全的技術支撐措施,分為五個方面:
邊界防護體系:安全域劃分,邊界訪問控制策略的部署,主要是業務核心資源的邊界,運維人員的訪問通道。
行為審計體系:通過身份鑒別、授權管理、訪問控制、行為曰志等手段,保證用戶行為的合規性。
安全監控體系:監控網絡中的異常,維護業務運行的安全基線,包括安全事件與設備故障,也包括系統漏洞與升級管理。
公共安全輔助:作為整個網絡信息安全的基礎服務系統,包括身份認證系統、補丁管理系統以及漏洞掃描系統等。
IT基礎設施:提供智能化、彈能力的基礎設施,主要的機房的智能化、服務器的虛擬化、存儲的虛擬化等。
2.2安全域劃分
劃分安全域的方法是首先區分網絡功能區域,服務器資源區、網絡連接區、用戶接入區、運維管理區、對外公共服務區;其次是在每個區域中,按照不同的安全需求區分不同的業務與用戶,進一步劃分子區域;最后,根據每個業務應用系統,梳理其用戶到服務器與數據庫的網絡訪問路徑,通過的域邊界或網絡邊界越少越好。
Z3邊界防護體系規劃
邊界包括網絡邊界、安全域邊界、用戶接口邊界(終端與服務器)、業務流邊界,邊界上部署訪問控制措施,是防止非授權的“外部”用戶訪問“里面”的資源,因此分析業務的訪問流向,是訪問控制策略設計的依據。
2.3.1邊界措施選擇
在邊界上我們建議四種安全措施:
1.網絡邊界:與外部網絡的邊界是安全防護的重點,我們建議采用統一安全網關(UTM),從網絡層到應用層的安全檢測,采用防火墻(FW)部署訪問控制策略,采用入侵防御系統(IPS)部署對黑客入侵的檢測,采用病毒網關(AV)部署對病毒、木馬的防范;為了方便遠程運維工作,與遠程辦公實施,在網絡邊界上部署VPN網關,對遠程訪問用戶身份鑒別后,分配內網地址,給予限制性的訪問授權。Web服務的SQL注入、XSS攻擊等。
3.業務流邊界:安全需求等級相同的業務應用采用VLAN隔離,采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離,防止二層廣播,通知可以在發現安全事件時,開啟不同子域的安全隔離。
4.終端邊界:重點業務系統的終端,如運維終端,采用終端安全系統,保證終端上系統的安全,如補丁的管理、黑名單軟件管理、非法外聯管理、移動介質管理等等。
2.3.2策略更新管理
邊界是提高入侵者的攻擊“門檻”的,部署安全策略重點有兩個方面:一是有針對性。允許什么,不允許什么,是明確的;二是動態性。就是策略的定期變化,如訪問者的口令、允許遠程訪問的端口等,變化的周期越短,給入侵者留下的攻擊窗口越小。
2.4行為審計體系規劃
行為審計是指對網絡用戶行為進行詳細記錄,直接的好處是可以為事后安全事件取證提供直接證據,間接的好處乇兩方面:對業務操作的日志記錄,可以在曰后發現操作錯誤、確定破壞行為恢復時提供操作過程的反向操作,最大程度地減小損失;對系統操作的日志記錄,可以分析攻擊者的行為軌跡,從而判斷安全防御系統的漏洞所在,亡羊補牢,可以彌補入侵者下次入侵的危害。
行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網絡行為審計。
2.5安全監控體系規劃
監控體系不僅是網絡安全態勢展示平臺,也是安全事件應急處理的指揮平臺。為了管理工作上的方便,在安全監控體系上做到幾方面的統一:
1.運維與安全管理的統一:業務運維與安全同平臺管理,提高安全事件的應急處理速度。
2.曰常安全運維與應急指揮統一:隨時了解網絡上的設備、系統、流量、業務等狀態變化,不僅是日常運維發現異常的平臺,而且作為安全事件應急指揮的調度平臺,隨時了解安全事件波及的范圍、影響的業務,同時確定安全措施執行的效果。
3.管理與考核的統一:安全運維人員的工作考核就是網絡安全管理的曰常工作與緊急事件的處理到位,在安全事件的定位、跟蹤、處理過程中,就體現了安全運維人員服務的質量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數據。
安全監控措施主要包括安全態勢監控以及安全管理平臺,2.6公共安全輔助系統
作為整個網絡信息安全的基礎服務系統,需要建設公共安全輔助系統:
1.身份認證系統:獨立于所有業務系統之外,為業務、運維提供身份認證服務。
2.補丁管理系統:對所有系統、應用的補丁進行管理,對于通過測試的補丁、重要的補丁,提供主動推送,或強制執行的技術手段,保證網絡安全基線。
3.漏洞掃描系統:對于網絡上設備、主機系統、數據庫、業務系統等的漏洞要及時了解,對于不能打補丁的系統,要確認有其他安全策略進行防護。漏洞掃描分為兩個方面,一是系統本身的漏洞,二是安全域邊界部署了安全措施之后,實際用戶所能訪問到的漏洞(滲透性測試服務)。
2.7IT基礎設施規劃
IT基礎設施是所有網絡業務系統服務的基礎,具備一個優秀的基礎架構,不僅可以快速、靈活地支撐各種業務系統的有效運行,而且可以極大地提高基礎IT資源的利用率,節省資金投入,達到環保的要求。
IT基礎設施的優化主要體現在三個方面:智能機房、服務器虛擬化、存儲虛擬化。
3安全筐理體系規劃
在系統安全的各項建設內容中,安全管理體系的建設是關鍵和基礎,建立一套科學的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網絡股份有限公司安全建設的必要條件和基本保證。
3_1安全管理標準依據
以GBAT22239-2008《信息安全技術信息系統安全等級保護基本要求》中二級、三級安全防護能力為標準,對貴州廣電網絡安全管理體系的建設進行設計。
3.2安全管理體系的建設目標
通過有效的進行貴州廣電網絡的安全管理體系建設,最終要實現的目標是:采取集中控制模式,建立起貴州廣電網絡完整的安全管理體系并加以實施與保持,實現動態的、系統的、全員參與的、制度化的、以預防為主的安全管理模式,從而在管理上確保全方位、多層次、快速有效的網絡安全防護。
3.3安全管理建設指導思想
各種標準體系文件為信息安全管理建設僅僅提供一些原則性的建議,要真正構建符合貴州廣電網絡自身狀況的信息安全管理體系,在建設過程中應當以以下思想作為指導:“信CATV丨有線網絡息安全技術、信息安全產品是信息安全管理的基礎,信息安全管理是信息安全的關鍵,人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導原則,信息安全管理體系是實現信息安全管理最為有效的手段。”
3.4安全管理體系的建設具體內容
GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統的安全管理體系提出了明確的指導和要求。我們應以《基本要求》為標準,結合目前貴州廣電網絡安全管理體系的現狀,對廣電系統的管理機構、管理制度、人員管理、技術手段四個方面進行建設和加強。同時,由于信息安全是一個動態的系統工程,所以,貴州廣電網絡還必須對信息安全管理措施不斷的加以校驗和調整,以使管理體系始終適應和滿足實際情況的需要,使貴州廣電網絡的信息資產得到有效、經濟、合理的保護。
貴州廣電網絡的安全管理體系主要包括安全管理機構、安全管理制度、安全標準規范和安全教育培訓等方面。
通過組建完整的信息網絡安全管理機構,設置安全管理人員,規劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施,制定嚴格的安全管理制度,合理地協調法律、技術和管理三種因素,實現對系統安全管理的科學化、系統化、法制化和規范化,達到保障貴州廣電網絡信息系統安全的目的。
3.5曰常安全運維3.5.1安全風險評估
安全風險評估是建立主動防御安全體系的重要和關鍵環節,這環的工作做好了可以減少大量的安全威脅,提升整個信息系統的對網絡災難的免疫能力;風險評估是信息安全管理體系建立的基礎,是組織平衡安全風險和安全投入的依據,也是信息安全管理體系測量業績、發現改進機會的最重要途徑。
3.5.2網絡管理與安全管理
網絡管理與安全管理的主要措施包括:出入控制、場地與設施安全管理、網絡運行狀態監控、安全設備監控、安全事件監控與分析、提出預防措施。
3.5.3備份與容災管理
貴州廣電網絡主要關鍵業務系統需要雙機本地熱備、數據離線備份措施;其他相關業務應用系統需要數據離線備份措施。
3.5.4應急響應計劃
通過建立應急相應機構,制定應急響應預案,通過建立專家資源庫、廠商資源庫等人力資源措施,通過對應急響應有線網絡ICATV預案不低于一年兩次的演練,可以在發生緊急事件時,做到規范化操作,更快的恢復應用和數據,并最大可能的減少損失
3.6安全人員管理
信息系統的運行是依靠在各級黨政機構工作的人員來具體實施的,他們既是信息系統安全的主體,也是系統安全管理的對象。所以,要確保信息系統的安全,首先應加強人事安全管理。
安全人員應包括:系統安全管理員、系統管理員、辦公自動化操作人員、安全設備操作員、軟硬件維修人員和警衛人員。
其中系統管理員、系統安全管理員必須由不同人員擔當。3.7技術安全管理
主要措施包括:軟件管理、設備管理、備份管理以及技術文檔管理。
4安全規劃分期建設路線
信息安全保障重要的是過程,而不一定是結果,重要的是安全意識的提高,而不一定是安全措施的多少。因此,信息安全建設也應該從保障業務運營為目標,提高用戶自身的安全意識為思路,根據業務應用的模式與規模逐步、分階段建設,同時還要符合國家與廣電總局關于等級保護的技術與管理要求。
4.1主要的工作內容
根據安全保障方案規劃的設計,貴州廣電網絡的信息安全建設分為如下幾個方面的內容:
1.網絡優化改造:主要是安全域的劃分,網絡結構的改造。
2.安全措施部署:邊界隔離措施部署,行為審計系統部署、安全監控體系部署。
3.基礎設施改造:主要是數據大集中、服務器虛擬化、存儲虛擬化。
4.安全運維管理:信息安全管理規范、日常安全運維考核、安全檢查與審計流程、安全應急演練、曰常安全服務等。
4.2分期建設規劃
4_2.1達標階段(2015-2017)
1.等保建設
2.信任體系:網絡審計、運維審計、日志審計
3.身份鑒別(一次口令)
4.監控平臺:入侵檢測、流量監測、木馬監測
5.安全管理平臺建設
6.等保測評通過(2級3級系統)
7.安全服務:建立定期模式
8.滲透性測試服務(外部+內部)
9.安全加固服務,建立服務器安全底線
10.信息安全管理
11.落實安全管理細則文件制定
12.落實安全運維與應急處理流程
13.完善IT服務流程,建設安全運維管理平臺
14.定期安全演練與培訓
4.2.2持續改進階段(2018?2019)
1.等保建設
2.完善信息安全防護體系
3.提升整體防護能力
4.深度安全服務
5.有針對性安全演練,協調改進管理與技術措施
6.源代碼安全審計服務(新上線業務)
7.信息安全管理
8.持續改進運維與應急流程與制度,提高應急反應能力
9.提高運維效率,開拓運維增值模式
5結東語
篇10
研究院的安全服務主要包含四大獨立服務:安全服務、監測服務、睿眼通和信息安全應急響應指揮平臺。服務內容主要包括以下幾個方面:
首先是安全咨詢。以“業務需求管理”為核心出發點,依托ISO27001、ISO17799等國際信息安全標準和法規及行業規范,融合自上而下的指導方針、管理策略、業務流程運行規則、系統操作指南,建立信息安全管理體系。
其次是安全培訓。安全培訓旨在提高客戶的信息安全意識和技能,為最大程度上提高客戶的整體安全防衛意識和安全防衛技能,真正把信息安全管理體系落到實處,提供強力有效的技術支撐保障。
再次是安全評估。對信息資產所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性評估,為客戶信息安全管理體系策劃提供基礎。
最后是安全加固。結合等級保護國家政策及行業規范,通過現場調研,合理使用安全加固工具等為客戶提供安全加固服務,主要提供主機加固、系統加固、數據庫加固、應用服務器加固、應用加固等服務,安全補丁、安全策略調優、配置優化等服務。
七大監測服務主要包括下幾個方面:
第一,“睿眼”外網安全監測預警服務平臺是一套軟硬件一體化監測平臺,以大數據技術為依托,集成了Web漏洞掃描檢測技術、采用遠程監測對外網網站提供7×24小時實時安全監測服務。通過對網站的不間斷監測服務及時發現威脅,從而提升網站的安全防護能力和網站服務質量,并通過安全監測平臺的事件跟蹤功能建立起一種長效的安全保障機制。
第二,“睿眼”移動安全監測預警服務平臺,為政府和企事業單位搭建一個應用App統一存放、統一管理、統一安全監測的AppStroe平臺,通過此平臺進一步提升用戶辦事體驗,同時方便國家、省部級對下級單位進行移動App管理和統計。
第三,“睿眼”內網安全監測預警服務平臺,基于對內網網絡系統安全運行的考慮,平臺提供對內網的實時安全監測、分析和預警功能。
睿眼通
睿眼通是七大監測預警服務平臺提供給客戶的一款智能移動終端,基于客戶對信息安全情況的即時需求,以七大監測預警服務平臺監測結果為主線,可以成為客戶處理信息安全問題、了解安全狀態趨勢、掌握最新安全資訊的貼心助手,隨時隨地了解網站及信息系統等的整體運行情況。
信息安全應急響應指揮平臺
應急響應指揮平臺通過各大監測預警服務平臺實時監測結果,對告警的安全故障或安全威脅,以最短的時間進行故障排查定位和應急處理。
安全產品
公司安全產品包括堡壘主機系統、系統安全加固、審計系統和信息共享管理系統。
(1)堡壘主機系統。堡壘主機是一種被加固的可以防御進攻的計算機,具備堅強的安全防護能力。堡壘主機系統軟件扮演著看門者的職責,所有對網絡設備和服務器的請求都要從這扇大門經過。
(2)系統安全加固。系統安全加固V1.0產品是軟硬件相結合的產品,通過硬件USB-KEY,提高了服務器系統的安全性,克服單純使用軟件防護的局限性;軟件部分包括服務器操作系統安全增強軟件、服務器安全,以及統一安全管理平臺軟件。
(3)審計系統
①日志審計系統。日志審計系統一方面可以集中收集、長時間存放所有的記錄日志,避免日志遭到惡意篡改或刪除而在安全事件發生時無據可查的狀況發生,另一方面日志審計系統強大的日志審計功能可以為組織審計人員提供日志實時監控、高效檢索、審計報表等日志審計手段,從而使原本不可能完成的海量日志審計工作可以在短時間內輕松完成,大大減少信息部門的工作量。
②網絡安全審計系統。網絡安全審計系統主要通過旁路監視并記錄對數據庫服務器的各類操作行為,通過對各類網絡行為的分析,實時地、智能地監控審計,并將審計數據存儲,以便日后進行查詢、分析,實現對整個網絡環境內的操作訪問行為的監控和審計。
