網絡安全防護體系建設范文
時間:2023-09-25 18:14:52
導語:如何才能寫好一篇網絡安全防護體系建設,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
本文闡述了國內煙草企業面對的網絡信息安全的主要威脅,分析其網絡安全防護體系建設的應用現狀,指出其中存在的問題,之后,從科學設定防護目標原則、合理確定網絡安全區域、大力推行動態防護措施、構建專業防護人才隊伍、提升員工安全防護意識等方面,提出加強煙草企業網絡安全防護體系建設的策略,希望對相關工作有所幫助。
關鍵詞:
煙草企業;網絡安全防護;體系建設
隨著信息化的逐步發展,國內煙草企業也愈加重視利用網絡提高生產管理銷售水平,打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此,越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。
1威脅煙草企業網絡信息體系安全的因素
受各種因素影響,煙草企業網絡信息體系正遭受到各種各樣的威脅。
1.1人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊,這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2軟硬件因素
網絡安全設備投資方面,行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位,但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發展迅速,超出防火墻屏蔽能力等,都使企業安全防護網絡遭受嚴重威脅。
1.3結構性因素
煙草企業現有的網絡安全防護體系結構,多數采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產生干擾。利用系統存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網絡使用者因系統過于復雜而導致錯誤操作,都可能造成網絡安全問題。
2煙草企業網絡安全防護體系建設現狀
煙草企業網絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1業務應用集成整合不足
不少煙草企業防護系統在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協同性,安全防護信息沒有實現跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2信息化建設特征不夠明顯
網絡安全防護體系建設是現代煙草企業的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合,對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協調,致使在信息化建設中,業務、管理、技術“三位一體”的要求并未落到實處,影響了網絡安全防護的效果。
2.3安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業信息化建設的各個環節,加上企業信息化治理模式構建不成熟等原因,制約了企業安全綜合防范能力與運維保障體系建設的整體效能,導致在網絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網站等反復侵襲。
3加強煙草企業網絡安全防護體系建設的策略
煙草企業應以實現一體化數字煙草作為建設目標,秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則,始終堅持兩級主體、協同建設和項目帶動的模式,按照統一架構、安全同步、統一平臺的技術規范,才能持續推動產業發展同信息化建設和諧共生。
3.1遵循網絡防護基本原則
煙草企業在建設安全防護網絡時,應明白建設安全防護網絡的目標與原則,清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分,不同區域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網絡邊界更為明確,相互之間更為信任。要對已出現的安全問題進行認真分析,并歸類統計,大的問題盡量拆解細分,類似的問題歸類統一,從而將復雜問題具體化,降低網絡防護工作的難度。對企業內部網絡來說,應以功能為界限來劃分,以劃分區域為安全防護區域。同時,要不斷地完善安全防護體系建設標準,打破不同企業之間網絡安全防護體系的壁壘,實現信息資源更大程度上的互聯互通,從而有效地提升自身對網絡威脅的抵御力。
3.2合理確定網絡安全區域
煙草企業在使用網絡過程中,不同的區域所擔負的角色是不同的。為此,內部網絡,在設計之初,應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時,對生產、監管、流通、銷售等各個環節,要根據其業務特點強化對應的網絡使用管理制度,既能實現網絡安全更好防護,也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態度,根據企業實際情況,以現有的網絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3大力推行動態防護措施
根據網絡入侵事件可知,較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業在構建網絡安全防護體系時,應根據不同的威脅形式確定相應的防護技術,且系統要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業所遭受的網絡威脅進行分析,確定系統存在哪些漏洞、留有什么隱患,實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制,在系統遭受重大網絡威脅而癱瘓時,確保在最短的時間內恢復系統的基本功能,為后期確定問題原因與及時恢復系統留下時間,并且確保企業業務的開展不被中斷,不會為企業帶來很大的經濟損失。另外,還應大力提倡煙草企業同專業信息防護企業合作,構建病毒防護戰略聯盟,為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。
3.4構建專業防護人才隊伍
人才是網絡安全防護體系的首要資源,缺少專業性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強,既要熟知信息安全防護技術,也要對煙草企業生產全過程了然于胸,并熟知國家政策法規等制度。因此,煙草企業要大力構建專業的網絡信息安全防護人才隊伍,要采取定期選送、校企聯訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業現有信息安全防護人員的能力素質,也要積極同病毒防護企業、專業院校和科研院所合作,引進高素質專業技術人才,從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。
3.5提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心,統一對企業網絡安全防護系統進行管理培訓,各部門、各環節也要設立相應崗位,負責本崗位的網絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監督下,都要在網絡使用制度的規則框架中,杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育,提升其網絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規地使用信息網絡。
4結語
煙草企業管理者必須清醒認識到,利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨,絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰,以實事求是的態度,大力依托信息網絡安全技術,構建更為安全的防護體系,為企業做大做強奠定堅實的基礎。
參考文獻:
[1]楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術,2012(5).
[2]賴如勤,郭翔飛,于閩.地市煙草信息安全防護模型的構建與應用[J].中國煙草學報,2016(4).
篇2
工業控制系統網絡安全防護體系是工業行業現代化建設體系中的重要組成部分,對保證工業安全、穩定、可持續競爭發展具有重要意義。基于此,文章從工業控制系統相關概述出發,對工業控制系統存在的網絡安全問題,以及當今工業控制系網絡安全防護體系設計的優化進行了分析與闡述,以供參考。
關鍵詞:
工業控制系統;網絡安全;防護體系
0引言
工業控制系統是我國工業領域建設中的重要組成部分,在我國現代化工業生產與管理中占有重要地位。隨著近年來我國工業信息化、自動化、智能化的創新與發展,工業控制系統呈現出網絡化、智能化、數字化發展趨勢,并在我國工業領域各行業控制機制中,如能源開發、水文建設、機械制作生產、工業產品運輸等得到了廣泛應用。因此,在網絡安全隱患頻發的背景下,對工業控制系統網絡安全防護體系的研究與分析具有重要現實意義,已成為當今社會關注的重點內容之一。
1工業控制系統
工業控制系統(IndustrialControlSystem,ICS)是由一定的計算機設備與各種自動化控制組件、工業信息數據采集、生產與監管過程控制部件共同構成且廣泛應用與工業生產與管理建設中的一種控制系統總稱[1]。工業控制系統體系在通常情況下,大致可分為五個部分,分別為“工業基礎設施控制系統部分”、“可編程邏輯控制器/遠程控制終端系統部分(PLC/RTU)”、“分布式控制系統部分(DCS)”、“數據采集與監管系統部分(SCADA)”以及“企業整體信息控制系統(EIS)”[2]。近年來,在互聯網技術、計算機技術、電子通信技術以及控制技術,不斷創新與廣泛應用的推動下,工業控制系統已經實現了由傳統機械操作控制到網絡化控制模式的發展,工業控制系統的結構核心由最初的“計算機集約控制系統(CCS)”轉換為“分散式控制系統(DCS)”,并逐漸趨向于“生產現場一體化控制系統(FCS)”的創新與改革發展。目前,隨著我國工業領域的高速發展,工業控制系統已經被廣泛應用到水利建設行業、鋼鐵行業、石油化工行業、交通建設行業、城市電氣工程建設行業、環境保護等眾多領域與行業中,其安全性、穩定性、優化性運行對我國經濟發展與社會穩定具有重要影響作用。
2工業控制系統存在的網絡安全威脅
2.1工業控制系統本身存在的問題
由于工業控制系統是一項綜合性、技術復雜性的控制體系,且應用領域相對較廣。因此,在設計與應用過程中對工作人員具有較高的要求,從而導致系統本身在設計或操作中容易出現安全隱患。
2.2外界網絡風險滲透問題
目前,工業控制系統網絡化設計與應用,已成為時展的必然趨勢,在各領域中應用工業控制系統時,對于數據信息的采集、分析與管理,需要工業控制系統與公共網絡系統進行一定的鏈接或遠程操控。在這一過程中,工業控制系統的部分結構暴露在公共網絡環境中,而目前公共網絡環境仍存在一定的網絡信息安全問題,這在一定程度上將會導致工業控制系統受到來自網絡病毒、網絡黑客以及人為惡意干擾等因素的影響,從而出現工業控制系統網絡安全問題。例如,“百度百科”網站,通過利用SHODAN引擎進行OpenDirectory搜索時,將會獲得八千多個處于公共網絡環境下與“工業控制系統”相關的信息,一旦出現黑客或人為惡意攻擊,將為網站管理系統帶來嚴重的影響[3]。
2.3OPC接口開放性以及協議漏洞存在的問題
由于工業控制系統中,其網絡框架多是基于“以太網”進行構建的,因此,在既定環境下,工業過程控制標準OPC(Ob-jectLinkingandEmbeddingforProcessControl)具有較強的開放性[4]。當對工業控制系統進行操作時,基于OPC的數據采集與傳輸接口有效網絡信息保護舉措的缺失,加之OPC協議、TCP/IP協議以及其他專屬代碼中存在一定的漏洞,且其漏洞易受外界不確定性風險因素的攻擊與干擾,從而形成工業控制系統網絡風險。
2.4工業控制系統脆弱性問題
目前,我國多數工業控制系統內部存在一定的問題,致使工業控制系統具有“脆弱性”特征,例如,網絡配置問題、網絡設備硬件問題、網絡通信問題、無線連接問題、網絡邊界問題、網絡監管問題等等[5]。這些問題,在一定程度上為網絡信息風險因素的發生提供了可行性,從而形成工業控制系統網絡安全問題。
3加強工業控制系統網絡安全防護體系的建議
工業控制系統網絡安全防護體系的構建,不僅需要加強相關技術的研發與利用,同時也需要相關部門(如,設備生產廠家、政府結構、用戶等)基于自身實際情況與優勢加以輔助,從而實現工業控制系統網絡安全防護體系多元化、全方位的構建。
3.1強化工業控制系統用戶使用安全防護能力
首先,構建科學且完善的網絡防護安全策略:安全策略作為工業控制系統網絡安全防護體系設計與執行的重要前提條件,對保證工業控制系統的網絡安全性具有重要指導作用。對此,相關工作人員應在結合當今工業控制系統存在的“脆弱性”問題,在依據傳統網絡安全系統構建策略優勢的基礎上,有針對性的制定一系列網絡防護安全策略,用以保證工業控制系統安全設計、操作、管理、養護維修規范化、系統化、全面化、標準化施行。例如,基于傳統網絡安全策略——補丁管理,結合工業控制系統實際需求,對工業控制系統核心系統進行“補丁升級”,用以彌補工業控制系統在公共網絡環境下存在的各項漏洞危機[6]。在此過程中,設計人員以及相關工作者應通過“試驗測驗”的方式,為工業控制系統營造仿真應用環境,并在此試驗環境中對系統進行反復測驗、審核、評價,并對系統核心配置、代碼進行備份處理,在保證補丁的全面化升級的同時,降低升級過程中存在的潛在風險。其次,注重工業控制系統網絡隔離防護體系的構建:網絡隔離防護的構建與執行,對降低工業控制系統外界風險具有重要意義。對此,相關設計與工作人員應在明確認知與掌握工業控制系統網絡安全防護目標的基礎上,制定相應的網絡隔離防護方案,并給予有效應用。通常情況下,工業控制系統設計人員應依據不同領域中工業控制系統類型與應用需求,對系統所需設備進行整理,并依據整理內容進行具體測評與調試,用以保證各結構設備作用與性能的有效發揮,避免出現設備之間搭配與連接不和諧等問題的產生;根據工業控制系統功能關鍵點對隔離防護區域進行分類與規劃(包括工業控制系統內網區域、工業控制系統外部區域、工業控制系統生產操作區域、工業控制系統安全隔離區域等),并針對不同區域情況與待保護程度要求,采用相應的舉措進行改善,實現不同風險的不同控制[7]。與此同時,構建合理、有效的物理層防護體系:實踐證明,物理層防護體系的構建(物理保護),對工業控制系統網絡安全防護具有至關重要的作用,是工業控制系統實現網絡安全管理與建設的重要基礎項目,也是核心項目,對工業控制和系統網絡防護體系整體效果的優化,具有決定性作用。因此,在進行工業控制防護系統網絡安全防護體系優化設計時,設計人員以及相關企業應注重對工業控制系統物理層的完善與優化。例如,通過配置企業門禁體系,用以避免外來人員對工業現場的侵害;依據企業特色,配設相應的生產應急設備,如備用發電機、備用操作工具、備用電線、備用油庫等,用以避免突發現象導致設計或生產出現問題;通過配置一定的監測管理方案或設施,對系統進行一體化監管,用以及時發現問題(包括自然風險因素、設備生產安全風險因素等)并解決問題,保證工業控制系統運行的優化性。此外,加強互聯網滲透與分析防治:設計工作人員為避免工業控制系統互聯網滲透安全威脅問題,可通過換位思考的形式,對已經設計的工業控制系統網絡安全防護體系進行測評,并從對方的角度進行思考,制定防護對策,用以提升工業控制系統網絡安全性。
3.2強化工業控制系統生產企業網絡安全防護能力
工業控制系統生產企業,作為工業控制系統的研發者與生產者,應提升自身對工業控制系統網絡安全設計的重視程度,從而在生產過程中保證工業控制系統的質量。與此同時,系統生產企業在引進先進設計技術與經驗的基礎上,強化自身綜合能力與開發水平,保證工業控制系統緊跟時展需求,推動工業控制系統不斷創新,從根源上降低工業控制系統自身存在安全風險。
3.3加大政府扶持與監管力度
由上述分析可知,工業控制系統在我國各領域各行業中具有廣泛的應用,并占據著重要的地位,其安全性、穩定性、創新性、優化性對我國市場經濟發展與社會的穩定具有直接影響作用。由此可見,工業控制系統網絡安全防護體系的構建,不僅是各企業內部組織結構體系創新建設問題,政府以及社會等外部體系的構建同樣具有重要意義。對此,政府以及其他第三方結構應注重自身社會責任的執行,加強對工業控制系統安全防護體系環境的管理與監督,促進工業控制系統安全防護外部體系的構建。例如,通過制定相應的網絡安全運行規范與行為懲罰措施,用以避免互聯網惡意破壞行為的發生;通過制定行業網絡安全防護機制與準則,嚴格控制工業控制系統等基礎設施的網絡安全性,加大自身維權效益。
4結論
綜上所述,本文針對“工業控制系統網絡安全防護體系”課題研究的基礎上,分析了工業控制系統以及當今工業控制系統存在的網絡安全問題,并在工業控制系統網絡安全防護體系設計的基礎上,提供了加強工業控制系統網絡安全防護體系設計的優化對策,以期對工業控制系統網絡安全具有更明確的認知與理解,從而促進我國工業控制系統網絡安全防護體系建設的優化發展。
參考文獻:
[1]王棟,陳傳鵬,顏佳,郭靚,來風剛.新一代電力信息網絡安全架構的思考[J].電力系統自動化,2016(2):6-11.
[2]薛訓明,楊波,汪飛,郭磊,唐皓辰.煙草行業制絲生產線工業控制系統安全防護體系設計[J].科技展望,2016(14):264-265.
[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關鍵基礎設施工業控制系統安全保障探索[J].網絡安全技術與應用,2016(5):81-86.
[4]羅常.工業控制系統信息安全防護體系在電力系統中的應用研究[J].機電工程技術,2016(12):97-100.
[5]劉秋紅.關于構建信息安全防護體系的思考——基于現代計算機網絡系統[J].技術與市場,2013(6):314.
[6]孟雁.工業控制系統安全隱患分析及對策研究[J].保密科學技術,2013(4):16-21.
篇3
【 關鍵詞 】 云計算;云安全;等級保護;虛擬化安全
1 引言
自2006年云計算的概念產生以來,各類與云計算相關的服務紛紛涌現,隨之而來的就是人們對云安全問題的關注。目前各個運營商、服務提供商以及安全廠商所提的云安全解決方案,大都根據自己企業對云平臺安全的理解,結合本企業專長,專注于某一方面的安全。然而,對于用戶來說云平臺是一個整體,需要構建云平臺的整體安全防護體系。
因此,針對云計算中心的安全需求建立信息安全防護體系已經是大勢所趨,云安全防護體系的建立,必將使云計算得以更加健康、有序的發展。
2 云計算的安全問題解析
云計算模式當前已得到業界普遍認同,成為信息技術領域新的發展方向。但是,隨著云計算的大量應用,云環境的安全問題也日益突出。我們如果不能很好地解決相關的安全管理問題,云計算就會成為過眼“浮云”。在眾多對云計算的討論中,SafeNet的調查非常具有代表性:“對于云計算面臨的安全問題,88.5%的企業對云計算安全擔憂”。各種調研數據也表明:安全性是用戶選擇云計算的首要考慮因素。近年來,云安全的概念也有多種層面的解讀,本文所指云安全是聚焦于云計算中心的安全問題及其安全防護體系。
2.1 云安全與傳統安全技術的關系
云計算引入了虛擬化技術,改變了服務方式,但并沒有顛覆傳統的安全模式。從這張對比視圖中,如圖1所示,可以看出,安全的層次劃分是大體類似,在云計算環境下,由于虛擬化技術的引入,需要納入虛擬化安全的防護措施。而在基礎層面上,仍然可依靠成熟的傳統安全技術來提供安全防護。
如圖1所示,云計算安全和傳統安全在安全目標、系統資源類型、基礎安全技術方面是相同的,而云計算又有其特有的安全問題,主要包括虛擬化安全問題和與云計算分租服務模式相關的一些安全問題。大體上,我們可以把云安全看做傳統安全的一個超集,或者換句話說,云安全是傳統安全在云計算環境下的繼承和發展。
綜合前面的討論,可以推導出一個基本的認識,云計算的模式是革命性的:虛擬化安全、數據安全和隱私保護是云安全的重點和難點,云安全將基于傳統安全技術獲得發展。
2.2 云計算的安全需求與防護技術
解決安全問題的出發點是風險分析,CSA云安全聯盟提出了所謂“七重罪”的云安全重點風險域。
Threat 1: Abuse and Nefarious Use of Cloud Computing(云計算的濫用、惡用、拒絕服務攻擊);
Threat 2: Insecure Interfaces and APIs(不安全的接口和API);
Threat 3: Malicious Insiders(惡意的內部員工);
Threat 4: Shared Technology Issues(共享技術產生的問題);
Threat 5: Data Loss or Leakage(數據泄漏);
Threat 6: Account or Service Hijacking(賬號和服務劫持);
Threat 7: Unknown Risk Profile(未知的風險場景)。
信息的機密性、完整性和可用性被公認為信息安全的三個重要的基本屬性,用戶在使用云計算服務時也會從這三個方面提出基本的信息安全需求。
機密性安全需求:要求上傳到云端的信息及其處理結果以及所要求的云計算服務具有排他性,只能被授權人訪問或使用,不會被非法泄露。
完整性安全需求:要求與云計算相關的數據或服務是完備、有效、真實的,不會被非法操縱、破壞、篡改、偽造,并且不可否認或抵賴。
可用性安全需求:要求網絡、數據和服務具有連續性、準時性,不會中斷或延遲,以確保云計算服務在任何需要的時候能夠為授權使用者正常使用。
根據云計算中心的安全需求,我們會相應得到一個安全防護技術的層次結構:底層是基礎設施安全,包括基礎平臺安全、虛擬化安全和安全管理;中間是數據安全,上層是安全服務層面,還包括安全接入相關的防護技術。
3 等級保護背景下的云安全體系
3.1 等級保護標準與云安全
自1994年國務院147號令開始,信息安全等級保護體系歷經近20年的發展,從政策法規、國家標準、到測評管理都建立了完備的體系,自2010年以來,在公安部的領導下,信息安全等級保護落地實施開展得如火如荼,信息安全等級保護已經成為我國信息化建設的重要安全指導方針。
圖3表明了等級保護標準體系放發展歷程。
盡管引入了虛擬化等新興技術,運營模式也從出租機房進化到出租虛擬資源,乃至出租服務。但從其本質上看,云計算中心仍然是一類信息系統,需要依照其重要性不同分等級進行保護。云計算中心的安全工作必須依照等級保護的要求來建設運維。此外,云安全還需要考慮虛擬化等新的技術和運營方式所帶來的安全問題。
因此,云計算中心防護體系應當是以等級保護為指導思想,從云計算中心的安全需求出發,從技術和管理兩個層面全方位保護云計算中心的信息安全;全生命周期保證云計算中心的安全建設符合等保要求;將安全理念貫穿云計算中心建設、整改、測評、運維全過程。建設目標是要滿足不同用戶不同等保級別的安全要求,做到等保成果的可視化,做到安全工作的持久化。
3.2 云計算中心的安全框架
一個云計算中心的安全防護體系的構建,應以等級保護為系統指導思想,能夠充分滿足云計算中心的安全需求為目標。根據前面的研究,我們提出一個云計算中心的安全框架,包括傳統安全技術、云安全技術和安全運維管理三個層面的安全防護。
云安全框架以云安全管理平臺為中心,綜合安全技術和管理運維兩個方面的手段確保系統的整體安全。在安全技術方面,除了傳統的物理安全、網絡安全、主機安全、應用安全、數據安全、備份恢復等保障措施,還需要通過虛擬化安全防護技術和云安全服務來應對云計算的新特征所帶來的安全要求。
3.3 云安全防護體系架構
在實際的云安全防護體系建設中,首先要在網絡和主機等傳統的安全設備層面建立基礎信息系統安全防護系統。基礎信息安全防護體系是以等級保護標準為指導進行構建,符合等級保護標準對相應安全級別的基本安全要求。
在此基礎上,通過SOC安全集中管理系統、虛擬安全組件、SMC安全運維管理系統和等保合規管理系統四個安全子系統共同組成云安全管理中心,如圖4所示。通過實體的安全技術和虛擬化安全防護技術的協同工作,為云計算中心提供從實體設備到虛擬化系統的全面深度安全防護,同時通過專業的SLC等保合規管理系統來確保云安全體系對于等級保護標準的合規性。
參考文獻
[1] 郝斐,王雷,荊繼武等.云存儲安全增強系統的設計與實現[J].信息網絡安全,2012,(03):38-41.
[2] 季一木, 康家邦,潘俏羽等.一種云計算安全模型與架構設計研究[J].信息網絡安全,2012,(06):6-8.
[3] 黎水林.基于安全域的政務外網安全防護體系研究[J].信息網絡安全,2012,(07):3-5.
[4] 胡春輝.云計算安全風險與保護技術框架分析[J].信息網絡安全,2012,(07):87-89.
[5] 王偉,高能,江麗娜.云計算安全需求分析研究[J].信息網絡安全,2012,(08):75-78.
[6] 海然.云計算風險分析[J].信息網絡安全,2012,(08):94-96.
[7] 孫志丹,鄒哲峰,劉鵬.基于云計算技術的信息安全試驗系統設計與實現[J].信息網絡安全,2012,(12):50-52.
[8] 甘宏,潘丹.虛擬化系統安全的研究與分析[J].信息網絡安全,2012,(05):43-45.
[9] 賽迪研究院.關于云計算安全的分析與建議[J].軟件與信息服務研究,2011,5(5):3.
[10] 陳丹偉,黃秀麗,任勛益.云計算及安全分析[J].計算機技術與發展,2010,20(2):99.102.
[11] 馮登國,孫悅,張陽.信息安全體系結構[M].清華大學出版社,2008:43-81.
[12] 張水平,李紀真.基于云計算的數據中心安全體系研究與實現[J].計算機工程與設計,2011,12(32):3965.
[13] 質監局,國標委.信息系統安全等級保護基本要求.GB/T 22239—2008:1~51.
[14] 王崇.以“等保”為核心的信息安全管理工作平臺設計[J].實踐探究,2009,1(5):73.
[15] Devki Gaurav Pal, Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science (IJ-CLOSER) ,2012 ,l.1(2):45~52.
[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http:///guidance/csaguide.v3.0.pdf,2011:30.
作者簡介:
白秀杰(1973-),男,碩士,系統分析師;研究方向:云安全技術。
李汝鑫(1983-),男,本科,項目管理師;研究方向:信息安全技術。
篇4
關鍵詞:網絡安全;防護機制;煙草公司;互聯網
隨著Internet技術的不斷發展和網絡應用技術的普及,網絡安全威脅頻繁地出現在互聯網中。近年來,網絡攻擊的目的逐漸轉變為獲取不正當的經濟利益。在此種情況下,加強網絡安全建設已成為各個企業的迫切需要。煙草公司的網絡安全防護機制和安全技術是確保其網絡信息安全的關鍵所在。只有加強防護體系建設和創新安全技術,才能在保證網絡安全的前提下,促進煙草公司的發展。
1縣級煙草公司網絡現面臨的威脅
目前,煙草公司計算機網絡面臨的威脅從主體上可分為對網絡信息的威脅、對網絡設備的威脅。
1.1人為無意的失誤
如果網絡的安全配置不合理,則可能會出現安全漏洞,加之用戶選擇口令時不謹慎,甚至將自己的賬號隨意轉借給他人或與他人共享,進而為網絡埋下了安全隱患。
1.2人為惡意的攻擊
人為惡意的攻擊可分為主動攻擊和被動攻擊,這兩種攻擊都會對煙草公司的計算機網絡造成較大的破壞,導致機密數據存在泄露的風險。比如,相關操作者未及時控制來自Internet的電子郵件中攜帶的病毒、Web瀏覽器可能存在的惡意Java控件等,進而對計算機網絡造成巨大的影響。
1.3網絡軟件的漏洞
對于網絡軟件而言,會存在一定的缺陷和漏洞,而這些缺陷和漏洞為黑客提供了可乘之機。
1.4自然災害和惡性事件
該種網絡威脅主要是指無法預測的自然災害和人為惡性事件。自然災害包括地震、洪水等,人為惡性事件包括惡意破壞、人為縱火等。雖然這些事件發生的概率較低,但一旦發生,則會造成異常嚴重的后果,必須嚴以防范。
2構建煙草公司信息網絡安全防護體系
要想形成一個完整的安全體系,并制訂有效的解決方案,就必須在基于用戶網絡體系結構、網絡分析的基礎上開展研究。對于安全體系的構建,除了要建立安全理論和研發安全技術外,還要將安全策略、安全管理等各項內容囊括其中。總體來看,構建安全體系是一項跨學科、綜合性的信息系統工程,應從設施、技術、管理、經營、操作等方面整體把握。安全系統的整體框架如圖1所示。安全系統的整體框架可分為安全管理框架和安全技術框架。這兩個部分既相互獨立,又相互融合。安全管理框架包括安全策略、安全組織管理和安全運作管理三個層面;安全技術框架包括鑒別與認證、訪問控制、內容安全、冗余與恢復、審計響應五個層面。由此可見,根據煙草公司網絡信息安全系統提出的對安全服務的需求,可將整個網絡安全防護機制分為安全技術防護、安全管理和安全服務。
2.1安全技術防護機制
在此環節中,旨在將安全策略中的各個要素轉化成為可行的技術。對于內容層面而言,必須明確安全策略的保護方向、保護內容,如何實施保護、處理發生的問題等。在此情況下,一旦整體的安全策略形成,經實踐檢驗后,便可大幅推廣,這有利于煙草公司整體安全水平的提高。此外,安全技術防護體系也可劃分為1個基礎平臺和4個子系統。在這個技術防護體系中,結合網絡管理等功能,可對安全事件等實現全程監控,并與各項技術相結合,從而實現對網絡設備、信息安全的綜合管理,確保系統的持續可用性。
2.2安全管理機制
依據ISO/IEC17700信息安全管理標準思路及其相關內容,信息安全管理機制的內容包括制訂安全管理策略、制訂風險評估機制、建設日常安全管理制度等。基于該項內容涉及的管理、技術等各個方面,需各方面資源的大力支持,通過技術工人與管理者的無隙合作,建立煙草公司內部的信息安全防范責任體系。2.3安全服務機制安全服務需結合人、管理、產品與技術等各方面,其首要內容是定期評估整個網絡的風險,了解網絡當前的安全狀況,并根據評估結果調整網絡安全策略,從而確保系統的正常運行。此外,還可通過專業培訓,進一步促進煙草公司員工安全意識的增強。
3煙草公司的網絡信息安全技術
3.1訪問控制技術
在煙草公司的網絡信息安全技術中,訪問控制技術是最重要的一項,其由主體、客體、訪問控制策略三個要素組成。煙草公司訪問用戶的種類多、數量大、常變化,進而增加了授權管理工作的負擔。因此,為了避免發生上述情況,直接將訪問權限授予了主體,從而便于管理。此外,還應革新并采用基于角色的訪問控制模型RBAC。
3.2數字簽名技術
在煙草公司,數字簽名技術的應用很普遍。數字簽名屬于一種實現認證、非否認的方法。在網絡虛擬環境中,數字簽名技術仍然是確認身份的關鍵技術之一,可完全代替親筆簽名,其無論是在法律上,還是技術上均有嚴格的保證。在煙草公司的網絡安全中應用數字簽名技術,可更快地獲得發送者公鑰。但在這一過程中需要注意,應對發送者私鑰嚴格保密。
3.3身份認證技術
身份認證是指在計算機與網絡系統這一虛擬數字環境中確認操作者身份的過程。在網絡系統中,用戶的所有信息是用一組特定的數據來表示的;而在現實生活中,每個人都有著獨一無二的物理身份。如何確保這兩種身份的對應性,已成為相關工作者遇到的難題。而采用身份認證技術可很好地解決該難題。該技術主要包括基于隨機口令的雙因素認證和基于RKI體制的數字證書認證技術等。基于口令的身份認證技術具有使用靈活、投入小等特點,在一些封閉的小型系統或安全性要求較低的系統中非常適用;基于PKI體制的數字證書認證技術可有效保證信息系統的真實性、完整性、機密性等。
4結束語
綜上所述,安全是煙草公司網絡賴以生存的重要前提,網絡安全的最終目標是確保在網絡中交換的數據信息不會被刪除、篡改、泄露甚至破壞,從而提高系統應用的可控性和保密性。因此,煙草公司必須具備一套行之有效的網絡安全防護機制,增強自身網絡的整體防御能力,研發網絡安全立體防護技術。只有建立完善的信息安全防范體系,才能使煙草公司內部的重要信息資源得到有效保護。
參考文獻
[1]張玨,田建學.網絡安全新技術[J].電子設計工程,2011,19(12).
篇5
【 關鍵詞 】 指揮信息系統;AP2DR2;安全防護體系;安全管理
Research on The Security Protection Architecture of C4ISR System Based On AP2DR2
Wu Si-gen
(Jiangsu Automation Research Institute JaingsuLianyungang 222006)
【 Abstract 】 This paper firstly introduced the concepts and features of C4ISR System security protection,and then analyzed how to implementate network security in terms of network security strategy and technology.The C4ISR System security protection architecture based on AP2DR2 model is proposed,and disserated the AP2DD2 model is a multilevel and all-wave dynamic defense system.The C4ISR System security protection architecture transforms statics,passive to dynamic,initiative.The security protection architecture ensures effectually the information security of C4ISR System
【 Keywords 】 C4ISR system; AP2DR2; security protection architecture; security management
0 引言
在信息化戰爭中,指揮信息系統將整個作戰空間構成一體化的網絡,實現了作戰指揮自動化、偵察情報實時化和戰場控制數字化,大大提高了軍隊的作戰能力。但是,網絡系統特別是無線網絡的互連性和開發性不可避免地帶來了脆弱性問題,使其容易受到攻擊、竊取和利用。在軍事斗爭中,摧毀和破壞對方的軍用信息網絡系統,成功地竊取和利用對方的軍事信息,就會使其聯絡中斷、指揮控制失靈、協同失調,從而奪取戰場信息的控制權,大大削弱對方軍隊的作戰能力。隨著戰場偵察監視系統日趨完善,大量精確制導武器和電子武器、信息武器將廣泛投入作戰運用,指揮信息系統安全面臨嚴重威脅。確保指揮信息系統信息安全已經是一件刻不容緩的大事,因此,研究指揮信息系統安全防護體系具有十分重要的戰略意義。
1 指揮信息系統安全防護的基本概念和特點
指揮信息系統信息安全是在指揮機構的統一領導下,運用各種技術手段和防護力量,為保護指揮信息系統中各類信息的保密、完整、可用、可控,防止被敵方破壞和利用,而采取的各種措施和進行的相關活動。隨著軍隊建設和未來戰爭對信息的依賴程度越來越高,指揮信息系統信息安全問題日益突出。
近50年來,信息系統安全經歷了通信保密、信息安全和信息保障幾個幾個重要的發展階段。圖1給出了從通信保密到信息保障的概念發展示意。
通信保密指的是信息在處理、存儲、傳輸和還原的整個過程中通過密碼進行保護的技術。它以確保傳輸信息的機密性和完整性,防止敵方從截獲的信號中讀取有用信息為目的。通信保密技術經歷了從簡單到復雜、從早期的單機保密到進入網絡時代后的通信網絡保密的發展過程。直到現在,加密保護仍是軍事通信系統重要防護手段。通信保密的核心是確保信息在傳輸過程中的機密性。
隨著網絡技術的發展,信息系統的安全提上了日程,“保密”的概念逐漸從早期的通信保密發展到適應于保護信息系統的信息安全。保密性、完整性、認證性、抵抗賴性以及可用性和可控性成為信息安全的主要內容。其中保密性仍然是信息安全中最重要的特性。隨著網絡攻防斗爭的日趨激烈,信息安全在信息系統中的地位不斷提升。信息安全的基本目標是保護信息資源的歸屬性和完整性,維護信息設備和系統的正常運轉,維護正常應用的行為活動。信息的保密性、完整性、可用性、可識別性、可控性和不可抵賴性成為信息安全的主要內容。
“信息保障”首次出現在美國國防部(DOD)1996年12月6日頒布的官方文件DODDirective S-3600.1:Information Operation中[3]。這些文件把“信息保障”定義為“通過確保系統的信息作戰行動,包括綜合利用保護、探測和反應能力以恢復系統”。信息保障特別是將保障信息安全所必需的“保護(Protection)”、“檢測(Detection)”、“響應(Response)”和“恢復(Restoration)”(PDRR)視為信息安全的四個聯動的動態環節,從而安全管理工作在一個大的框架下,能夠針對薄弱環節,有的放矢,有效防范,圍繞安全策略的具體需求有序地組織在一起,架構一個動態的安全防范體系。
信息化條件下,指揮信息系統的安全防護具有幾個特點。
1)防護范圍廣闊。當前,指揮信息系統已經延伸至陸、海、空、天多維空間。橫向上,除了傳統的情報偵察、通信、指揮控制等領域外,在武器控制、導航定位、戰場監控等領域也得到了廣泛運用。縱向上,指揮信息系統已經將上至戰略指揮機構下至每一個技術單位和作戰單元甚至單兵聯成一體。從信息安全防護角度看,信息空間的每一個局部、節點都可以成為信息攻擊的目標,并進而影響整個系統的信息安全。
2)防護措施綜合。未來信息化戰爭中指揮信息系統信息安全將面臨著火力打擊、電子偵察、電磁干擾、病毒破壞、網絡滲透等越來越多的“硬殺傷”和“軟殺傷”威脅,為了確保指揮信息系統信息安全,僅靠某一手段和方法難以到達目的,而必須采取綜合一體的防護措施。從安全技術運用來看,除了需要運用傳統的防電磁泄漏和信息加密技術外,還必須綜合運用防病毒、防火墻、身份識別、訪問控制、審計、入侵檢驗、備份與應急恢復技術;從信息安全管理角度上看,既要重視發揮各種信息安全防護技術手段等“硬件”的作用,又要重視加強對各類信息的安全管理,提高指揮信息系統各類使用和維護人員的信息安全意識和能力,發揮好“軟件”的作用。
3)攻防對抗激烈。指揮信息系統是各類軍事信息的集散地和信息處理中心,針對其進行的信息攻擊,可以到達牽一發而動全身的效果,并且其行動代價小,易于實現,具有較強的可控性。現在和未來軍事斗爭的需要必將推動以指揮信息系統為目標的信息斗爭進一步發展,無論是戰時還是平時,在指揮信息系統對抗方面的斗爭將更加復雜、激烈。
2 基于AP2DR2模型的安全防護體系
指揮信息系統安全防護體系主要防止指揮信息系統的軟、硬件資源受到破壞、信息失泄(竊)或遭受攻擊,采取物理、邏輯以及行為管理的方法與措施,以保證指揮信息系統進行可靠運行與數據存儲、處理的安全;防止敵對國家利用信息技術對本國的國防信息系統進行竊取、攻擊、破壞,包括防止對方利用信息技術竊取國防情報、壟斷信息技術、攻擊和破壞國防信息系統、奪取戰場上的制信息權等。指揮信息系統安全防護體系強調實施多層次防御,在整個信息基礎設施的所有層面上實施安全政策、步驟、技術和機制,使得攻破一層或一類保護的攻擊行為無法破壞整個信息基礎設施。
針對指揮信息系統安全防護,本文提出的AP2DR2(Analysis Policy Protection Detection Response Recovery,簡稱AP2DR2)動態安全模型是由分析(A)、策略(P)、防護(P)、檢測(D)、響應(R)、恢復(R)等要素構成,以人、策略、技術、管理為核心,在技術上圍繞風險分析、防護、檢測、響應、恢復這五個安全環節,即人要依據政策和策略,運用相應的技術來實施有效的部署和管理,從而實現整體指揮信息系統安全防護。如圖2所示。
該模型在整體的安全分析和安全策略的指導下,在綜合運用各種防護技術(如加密、防火墻、防病毒、身份認證、安全管理技術等)的同時,利用實時檢測技術(如入侵檢測、漏洞掃描、審計機制等)了解和評估系統的安全狀態,通過實時響應和系統災難備份恢復、關鍵系統冗余設計等方法,構造多層次、全方位和立體的動態防御的安全體系。AP2DR2動態安全模型重視系統級的整體安全,強調“人、技術和運作”三大因素的相互作用,在指揮信息系統的生命周期內,從技術、管理、過程和人員等方面提出系統的安全需求,指定系統的安全策略,配置合適的安全機制和安全產品,最后對系統的安全防護能力進行評估。防護、監測、響應和災難恢復組成了一個完整的、動態的安全循環,共同構造一個指揮信息系統網絡安全環境。
1) 風險分析
安全是指揮信息系統正常運行的前提,指揮信息系統的安全不單是單點的安全,而是整個指揮信息系統網絡的安全,需要從多角度進行立體防護。要防護,就要清楚安全風險來源于何處,這就需要對網絡安全進行風險分析,搞清楚指揮信息系統現有以及潛在的風險,充分評估這些風險可能帶來的威脅和影響。風險分析是信息安全管理的基礎,目的是通過合理的步驟,以防止所有對網絡安全構成威脅的事件發生。很多風險不是因為技術原因,而是由于管理原因帶來的,所以要在掌握指揮信息系統安全測試及風險評估技術的基礎上,建立基于管理和技術的面向等級保護的、完整的測評流程及風險評估體系,最后根據風險分析結果,制定安全策略。這是實施指揮信息系統安全建設必須最先解決的問題。
2) 安全策略
安全策略是一系列政策的集合,用來規范對組織資源的管理、保護以及分配,以達到最終安全的目的。安全策略的設計主要是為了防止發生錯誤行為并確保管理控制能夠保持一種良好的狀態。指揮信息系統安全策略涵蓋面很多,一個信息網絡的總體安全策略,可以概括為“實體可信,行為可控,資源可管,事件可查,運行可靠”。安全策略是指揮信息系統防護重要的依據,要掌握海量數據的加密存儲和檢索技術,保障存儲數據的可靠性、機密性和安全訪問能力。
3) 系統防護
指揮信息系統安全需要從物理、網絡、系統、應用和管理等方面進行多層次的防護。系統防護是進入網絡的一個門戶,它根據系統可能出現的安全問題采取的一系列技術與管理的預防措施,實行主動實時的防護戰略。防護可以預防一些被入侵檢測系統漏掉而又企圖非授權訪問的行為。通過態勢感知、風險評估、安全檢測等手段對當前網絡安全態勢進行判斷,并依據判斷結果實施網絡防御的主動安全防護體系的實現方法與技術。通過態勢判斷,進行系統的實時調整,主動地做出決策,而不是亡羊補牢,事后做決策。
4) 實時檢測
實時檢測主要包括入侵檢測、漏洞掃描、防病毒、日志與審計等,其中最為核心的是入侵檢測。入侵檢測是通過對行為、安全日志、審計數據進行分析檢測,從中發現違反系統安全策略的行為和遭受攻擊的跡象,利用主動或被動響應機制對入侵作出反應。入侵檢測系統將網絡上傳輸的數據實時捕獲下來,檢查是否有入侵或可疑活動的發生,一旦發現有入侵或可疑活動的發生,系統將做出實時報警響應。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和支持。入侵檢測最能體現整個模型的動態性,是支持應急響應體系建設的基本要素。
5) 實時響應
實時響應就是對指揮信息系統網絡的異常情況做出快速積極的反應。在安全策略指導下,強調以入侵檢測為核心的安全防御體系,發現并及時截斷入侵、杜絕可疑后門和漏洞,并啟動相關報警信息。入侵檢測與防火墻、漏洞掃描系統、防病毒系統、網絡管理系統等安全產品均應實現聯動,這些聯動本身就是應急響應的一個組成部分,使得以前相互獨立、需要在不同的時間段內完成的入侵檢測和應急響應兩個階段有機地融為一體。要掌握有效的惡意代碼防范與反擊策略,一旦發現惡意代碼之后,要迅速提出針對這個惡意代碼的遏制手段,要進一步掌握蠕蟲、病毒、木馬、僵尸網絡、垃圾等惡意代碼的控制機理,要提供國家層面的網絡安全事件應急響應支撐技術。
6) 災難恢復
最基本的災難恢復當然是利用備份技術,對數據進行備份是為了保證數據的一致性和完整性,消除系統使用者和操作者的后顧之憂。其最終目標是業務運作能夠恢復到正常的、未破壞之前的狀態。從防護技術來看,容錯設計、數據備份和恢復是保護數據的最后手段。在多種備份機制的基礎上,啟用應急響應恢復機制實現指揮信息系統的瞬時還原,進行現場恢復及攻擊行為的再現,供研究和取證。災難恢復大大提高了指揮信息系統的可靠性和可用性。
3 結束語
信息化條件下的現代戰爭中,對指揮信息系統的安全防護是贏得信息優勢的基礎和重要保障。針對指揮信息系統信息面臨的安全威脅,本文提出一種基于AP2DR2模型的指揮信息系統信息安全防護體系,即嚴密的安全風險分析、正確的安全策略、主動實時的防護和檢測、快速積極的響應、及時可靠的恢復,是一個閉環控制、主動防御的、動態的、有效的安全防護體系,保障了指揮信息系統網絡的安全。
參考文獻
[1] 曹雷等. 指揮信息系統[M]. 北京:國防工業出版社,2012.
[2] 蘇錦海,張傳富. 指揮信息系統[M]. 北京:電子工業出版社,2010.
[3] 童志鵬. 綜合電子信息系統[M]. 北京:國防工業出版社,2010.
[4] 邢啟江. 信息時代網絡安全體系的建設與管理[J]. 計算機安全,2006,(10):41-43.
[5] 牛自敏. 網絡安全體系及其發展趨勢綜述[J]. 科技廣場,2009,11:230-232.
[6] 石志國等. 計算機網絡安全教程[M]. 北京:清華大學出版社,2007.
篇6
隨著4G通信技術的不斷發展和應用,對于新技術革新帶來的網絡信息安全威脅更加突出。運營商在面對更多的不確定因素及威脅時,如何從網絡信息安全管控技術上來提升安全性水平,已經成為運營商提供良好服務質量的迫切難題。為此,文章將從主要安全威脅源展開探討,并就安全防范策略進行研究。
關鍵詞:
運營商;網絡安全;威脅;防護策略
從3G到4G,隨著運營商全業務運營模式的不斷深入,對支撐網絡運行的安全管控工程建設提出更高要求。特別是在應用系統及用戶數的不斷增加,網絡規模不斷擴大,面對越來越多的應用設備,其網絡安全問題更加突出。2014年攜程小米用戶信息的泄露,再次聚焦網絡信息安全隱患威脅,也使得運營商在管控網絡安全及部署系統管理中,更需要從技術創新來滿足運維需求。
1運營商面臨的主要安全威脅
對于運營商來說,網絡規模的擴大、網絡用戶數的驟升,加之網絡分布的更加復雜,對整個網絡系統的安全等級也提出更高要求。當前,運營商在加強網絡信息安全防護工作中,需要從三個方面給予高度重視:一是來自網絡系統升級改造而帶來的新威脅。從傳統的網絡系統平臺到今天的4G網絡,IMS網絡的商業化,對傳統網絡業務提出新的要求,特別是基于IP的全網業務的開展,無論是終端還是核心網絡,都需要從IP化模式實現全面互聯。在這個過程中,對于來自網絡的威脅將更加分散。在傳統運營商網絡結構中,其威脅多來自于末端的攻擊,而利用IGW網絡出口DDoS技術,以及受端網絡防護技術就可以實現防范目標,或者在關口通過部署防火墻,來降低來自末端的攻擊。但對于未來全面IP化模式,各類網絡安全威脅將使得運營商業務層面受到更大范圍的攻擊,如木馬病毒、拒絕服務攻擊等等,這些新威脅成為運營商IP技術防范的重點。二是智能化終端設備的增加帶來新的隱患。從現代網絡通信終端智能化程度來看,終端的安全性已經威脅到網絡平臺及業務的安全,特別是在不同接入模式、接入速度下,智能終端與相對集中的運營商全業務管理之間的關聯度更加緊密,一旦智能化終端存在安全隱患,即將給通信網絡平臺帶來致命威脅。如智能化終端利用對運營商業務系統的集中攻擊可以導致運營商服務的中斷。同時,作為智能終端本身,因軟硬件架構缺乏安全性評測,在網絡信息完整性驗證上存在缺陷,也可能誘發篡改威脅。如在進行通信中對信息的竊聽、篡改,這些安全漏洞也可能引發運營商網絡的安全威脅。三是現有安全防護體系及架構存在不安全性風險,特別是云技術的引入,對于傳統網絡架構來說,在用戶數、增值業務驟升過程中,對現有基礎設施的不可預知性問題更加復雜。另外,在網絡安全標準制定上,由于缺乏對現階段安全威脅的全面評估,可能導致現有網絡體系難以適應新領域、新業務的應用,而帶來更多的運行處理故障等問題。
2構建運營商網絡安全防護體系和對策
2.1構建網絡安全防護統一管控體系
開展網絡信息安全防范,要著力從現有運營商網絡系統業務類型出發,根據不同功能來實現統一安全管控,促進不同應用系統及管理模式之間的數據安全交互。如對網絡運維系統安全管理,對計費系統用戶的認證與管理,對經營分析系統的授權與審計管理,對各操作系統數據存儲的分散管控等,利用統一的安全管控功能模塊來實現集中認證、統一用戶管理。對于用戶管理,可以實現增刪修改,并根據用戶崗位性質來明確其角色,利用授權方式來實現對不同角色、不同操作權限的分配和管理;在認證模塊,可以通過數字認證、密碼校驗、動態認證及令牌等方式來進行;在權限管理中,對于用戶的權限是通過角色來完成,針對不同用戶,從設備用戶、用戶授權訪問等方式來實現同步管理。
2.2引入虛擬化技術來實現集中部署
從網絡信息安全管控平臺來看,對于傳統的管控方案,不能實現按需服務,反而增加了部署成本,降低了設備利用率。為此,通過引入虛擬化技術,部署高性能服務器來完成虛擬的應用服務器,滿足不同客戶端的訪問;對于客戶端不需要再部署維護客戶端,而是從虛擬服務器維護管理中來實現,由此減少了不必要的維護服務,確保了集中維護的便利性和有效性。另外,針對運營商網絡中的多數應用服務器,也可以采用集中部署方式來進行集中管理。
2.3引入RBAC角色訪問控制模型
根據角色訪問控制模型的構建,可以從安全管控上,利用已知信息來賦予相應的權限,便于正確、快速、有效的實現用戶特定角色的授權。同時,在對RBAC模型進行應用中,需要就其權限賦值進行優化,如對層次結構的支持,對不同用戶群組、不同用戶存在多個崗位的角色優化,對崗位與部門之間的協同優化,對用戶崗位與用戶權限及其所屬崗位角色的繼承關系進行優化等等。
2.4融合多種認證方式來實現動態管控
根據不同系統應用需求,在進行認證管理上,可以結合用戶登錄平臺來動態選擇。如可以通過數字認證、WindowsKerberos認證、動態令牌等認證方式。當用戶端采用插件方式登錄時,可以動態配置key證書認證,也可以通過短信認證來發送相應的口令。由于運營商網絡應用賬戶規模較大,在進行系統認證時,為了確保認證賬戶、密碼的有效性、可靠性,通常需要客戶端向應用服務器發送請求,請求成功后再向用戶端發送認證密碼。
2.5做好運營商網絡安全維護管理
網絡信息安全威脅是客觀存在的,而做好網絡安全的維護管理工作,從基本維護到安全防護,并從軟硬件技術完善上來提升安全水平。如對網絡中服務器、操作系統及網絡設備進行定期檢查和維護,對不同網絡安全等級進行有序升級,增加網絡硬件加固設備,做好日常網絡維護工作。同時,對于安全維護崗位人員,做好網絡硬件設備、網絡訪問控制權限的管理,并對相關的口令及密碼進行定期更換,提升安全防護水平。另外,運營商在構建網絡安全防護體系上,不僅要關注網絡層面及應用層的安全,還要關注用戶信息的安全,要將用戶信息納入安全管理重要任務中,切實從短信認證、用戶實名制、用戶地理信息等個人隱私保護中來保障信息的安全、可靠。
2.6做好網絡安全建設與升級管理
隨著網絡通信新業務的不斷發展,對于網絡信息安全威脅更加復雜而多樣,運營商要著力從新領域,制定有效的安全防護策略,從技術創新上來確保信息安全。一方面做好網絡安全策略的優化,從網絡業務規劃與管理上,制定相應的安全標準,并對各類業務服務器進行全程監管,確保業務從一開始就納入安全防護體系中;另一方面注重安全技術創新,特別是新的網絡安全技術、防御機制的引入,從安全技術手段來實現網絡系統的安全運行。
3結語
運營商網絡安全防護工作任重道遠,在推進配套體系建設上,要從安全維護的標準化、流程化,以及網絡安全等級制度完善上,確保各項安全防護工作的有效性。另外,加強對各類網絡安全應急預案建設,尤其是建立溝通全國的安全支撐體系,從統一管理、協同防護上來提升運營商的整體安全防護能力。
作者:王樹平 東野圣堯 張宇紅 單位:泰安聯通公司
參考文獻:
[1]吳靜.關于通信系統風險的研究[J].數字通信,2014(3).
篇7
關鍵詞:網絡工程;安全防護技術;思考
引言
網絡信息技術的快速普及應用極大地提高了人們的生活和工作效率,但與此同時,由于網絡信息技術自身所具有的開放性、交互性等特征,網絡工程在帶給人們巨大便捷的同時也面臨著日益嚴峻的安全問題。因而如何切實加強網絡工程安全防護,形成和發展與快速發展的網絡信息技術相適應的網絡工程安全防護能力,就成為現代社會網絡信息化建設的焦點問題之一。
1網絡工程中存在的主要安全問題
進入新世紀以來,隨著網絡工程的使用進一步走向深層次和綜合化,網絡工程中面臨的安全隱患也進一步加劇,主要表現在以下幾個方面:
1.1云端安全隱患突出
隨著以“互聯網+”、“云計算”等新興的互聯網技術的進一步普及應用,各種針對云端的病毒、漏洞等的攻擊也隨之增多,并日益威脅到云端等技術平臺的安全使用,而各種針對云端的網絡攻擊,也給目前逐漸普及應用的云計算等帶來了潛在的危害,例如2011年亞馬遜數據中心發生的宕機事故,直接導致大量業務中斷,而時隔一年之后,亞馬遜的云計算平臺數據中心再次發生宕機事故,導致Heroku、Reddit和Flipboard等知名網站和信息服務商受到嚴重影響,而這也已經是過去一年半里亞馬遜云計算平臺發生的第五次宕機事故,而隨著云計算等的進一步普及,云端安全隱患也將進一步突出。
1.2網絡安全攻擊事件頻發
網絡安全攻擊事件頻發是近年來網絡工程所遭遇的最為顯著和嚴重的安全問題之一,數據顯示,僅在2015年,全球就發生的各種網絡安全攻擊事件就超過了一萬件次,直接經濟損失高達兩千億美元,例如2015年5月27日,美國國家稅務總局遭遇黑客襲擊,超過十萬名美國納稅人的信息被盜取,直接經濟損失高達5000萬美元;2015年12月1日,香港偉易達公司遭遇黑客襲擊,導致全球超過500萬名消費者的資料被泄露,可以想見,隨著未來網絡技術的快速發展,網絡安全保護的形勢還將進一步嚴峻化。
1.3移動設備及移動支付的安全問題加劇
隨著互聯網技術的飛速發展,現代社會已經逐漸進入到了“無現金”時代,移動設備的進一步普及以及移動支付的出現使得人們的日常消費活動更為便捷,但與此同時,各種移動支付和移動設備的安全問題也隨之開始浮出水面,目前來看,移動支付過程匯總所面臨的安全問題主要體現在兩個方面:一是利用移動終端進行支付的過程中面臨著較大的安全風險,如操作系統風險、木馬植入等,二是現有的移動支付的主要驗證手段為短信驗證,這種驗證方式較為單一且安全系數較差,這些都是許多用戶對移動支付說“不”的原因之一。據中國支付清算協會的《2016年移動支付報告》顯示,移動支付的安全問題仍是未來移動支付所面臨的和需要應對的核心問題,如何進一步強化移動支付的安全“盾牌”,仍將是未來移動支付長遠發展的現實挑戰之一。
1.4網絡黑客的頻繁攻擊
網絡黑客是目前網絡工程所面臨的安全問題的根源之一,可以說,如前所述的各種網絡安全問題有很多都來源于網絡黑客攻擊,近年來,隨著網絡黑客技術的不斷發展,網絡黑客對全球網絡工程的破壞性攻擊也越來越多,且逐漸呈現出從傳統互聯網領域向工控領域進行發展以及黑客活動政治化等趨勢,例如今年年初美國總統大選就曾遭遇過網絡黑客的攻擊,所幸此次大選并未受到實質性影響。
2網絡工程安全防護技術提升的路徑分析
隨著“互聯網+”戰略的實施以及網絡安全被上升到了國家安全的高度,加強網絡工程的安全防護已經被提高到了一個前所未有的高度。而網絡工程安全防護的提升則可以說是一項較為復雜的系統性工程,除了要在資金、人力、管理等方面上繼續下功夫以外,還必須要將加強網絡工程安全防護技術的創新與改進放在一個關鍵的位置上,不斷強化網絡工程安全防護系數。
2.1合理使用防火墻技術
防火墻是網絡工程安全防護中所使用的常規性的網絡安全防護技術之一,也是目前主要應用于防護計算機系統安全漏洞的主要技術手段。一般來說,防火墻是一種位于內部網絡與外部網絡之間的網絡安全系統,同時具有訪問控制、內容過濾、防病毒、NAT、IPSECVPN、SSLVPN、帶寬管理、負載均衡、雙機熱備等多種功能,因此在利用防火墻技術來加強網絡工程安全防護時,首先必須選擇口碑良好、有市場的防火墻產品如NGFW4000、NGFW4000-UF等等,利用防火墻來進行可靠的信息過濾,另一方面,需要對防火墻進行定期升級,確保防火墻的始終處于最新版本,切實利用防火墻技術來提高網絡工程安全防護系數。圖1防火墻工作原理模型圖
2.2加強網絡工程病毒防護體系建設
計算機病毒是網絡工程所面臨著的主要安全問題之一,因此有效加強網絡工程的病毒防護體系尤其關鍵。眾所周知,計算機病毒往往具有傳染性強、傳播方式多樣、破壞性大且徹底清除的難度較高等特點,因而一旦感染很有可能導致一個局域網中的所有計算機都受到影響,尤其是在網絡工程的使用環境中,一旦感染計算機病毒將很可能導致其他的相關計算機癱瘓,這就需要企業不僅要在殺毒軟件、防火墻技術的更新等方面下足功夫,更重要的是要努力建立起多層次、立體化的病毒防護體系,同時努力搭建起便捷智能化的計算機病毒立體化管理系統,對整個系統中用戶設備進行集中式的安全管理,切實提升對計算機病毒的防護效率,嚴格確保計算機不受病毒的侵染。
2.3搭配反垃圾郵件系統
隨著互聯網技術的快速發展,電子郵件已經成為互聯網信息時代下最受歡迎的通訊方式之一,但與此同時越來越多的垃圾郵件的出現也日漸困擾著人們的正常工作,垃圾郵件不僅占用了人們的寶貴的精力和時間,更重要的是它有可能給企業帶來嚴重的損失,我國是世界上的垃圾郵件大國之一,每年垃圾郵件的接收在全球位居前列,為此,不斷提升網絡工程的安全防護需要同時搭配有先進成熟的反垃圾郵件系統,有效搭建企業內部的“郵箱防護墻”,確保企業內外部的郵件安全。
2.4強化網絡數據信息加密技術使用
針對當前網絡數據信息頻繁泄露的現實情況,加強網絡工程安全防護技術必須要努力強化網絡數據信息加密技術的使用,在實際使用過程中,可以通過對網絡工程中的相關軟件、網絡數據庫等進行加密處理,提高和強化網絡數據信息加密技術的普及使用。
3總結
總之,加強網絡工程安全防護是一項較為復雜的系統性工程,需要涉及到方方面面的技術條件乃至相應的管理、人力物力等方面的投入,更為重要的是,需要經過系統的分析從而將這些技術手段有機結合起來,使之形成一個系統,從而更好地在網絡工程安全防范中發揮整體合力,有效提高網絡工程安全防范實效。
參考文獻:
[1]鄭邦毅,蔡友芬.網絡工程安全防護技術的探討[J].電子技術與軟件工程,2016.
[2]謝超亞.網絡工程中的安全防護技術的思考[J].信息化建設,2015.
[3]陳健,唐彥儒.關于網絡工程中的安全防護技術的思考[J].價值工程,2015.
[4]彭海琴.關于網絡工程中的安全防護技術的思考[J].電子技術與軟件工程,2014.
篇8
【關鍵詞】OA系統 安全評估 安全策略
信息化建設作為國家戰略發展的重要內容,保障信息安全是發揮網絡系統優勢的必然條件。OA系統作為協同辦公平臺,承擔著系統內部信息流的互聯互通,而加強對網絡系統安全體系的評估是制定安全保障策略的重中之重。
1 OA系統組成及防護設計
從當前互聯網發展現狀來看,OA系統已經不再局限于某地的協同辦公網絡,而是基于不同地域下,從企業及下屬各機構之間的全局化管理需求上,搭建滿足日常辦公、業務處理、事務管理等活動的,涵蓋公文收發、文件查詢、簽報處理、會議管理等在內的多元化信息交互平臺,從而實現企業辦公無紙化、信息化、網絡化目標。如圖1所示。
從圖1所示的OA系統結構來看,主要有基礎層、數據庫層、業務邏輯層、表示層等四部分組成,并通過各級接口單元來實現不同用戶、不用業務的互聯互通。
從OA系統管理來看,安全性是運行的關鍵,而加強對OA系統數據的安全防范,主要從防范破壞、竊聽、篡改、偽造等方面,來構建多層級安全防護體系。依據木桶原理,一個應用系統的安全等級是由最低的短板來決定,同樣,對于OA系統安全來說,如果存在某一弱項,就會降低系統的整體安全性。為此,在設計OA系統安全防護時,要統籌考慮,要將物理安全、主機安全、應用安排進行綜合,來共同制定完善的安全管理保障體系。如在物理安全防護上,要對OA系統內的各類網絡硬件設備與其他媒介設施進行有效隔離,減少和降低可能存在的安全風險。利用網絡防火墻、網絡病毒監測數據庫、網絡入侵系統等設備來實現有效監控;在對主機系統進行防護上,通過設置漏洞掃描系統等保障其安全性;在對應用系統進行安全防護時,利用證書管理系統來通過證書管理、授權管理等實現安全保障。
2 OA系統安排評估及保障策略構建
提升OA系統的安全防護等級,必然需要從OA系統安全評估中來構建防范策略。隨著OA系統應用的不斷拓展,面對安全防護體系建設要求也越來越高,各類防范安全攻擊手段也不斷增強。作為一種動態的防護保障體系,通常需要經歷安全策略制定、安全風險評估、系統配置調整和應急預案編制、應急響應和系統數據恢復等流程。
2.1 制定安全策略
安全策略的制定是保障OA系統的基礎,也是首項任務。從不同OA系統管理安全目標來說,在制定安全策略上,要確保安全設備、主機設備、服務器系統的連續性和可擴展性。
2.2 做好安全風險評估
風險評估是制定安全策略的前提,也是圍繞可能存在的安全威脅,對可能存在的網絡攻擊行為、網絡安全漏洞等進行專門防范的基礎。隨著OA系統功能的不斷拓展,面臨的安全風險也更加多樣。因此需要從安全風險評估中通過技術手段來進行安全檢測。具體評估方法有兩種。一種是對單一安全因素進行評估。如對于網絡設備、服務器、安全設備、計算機本身進行安全性評估,并從網絡設備的使用數量、型號、性能等信息上進行合理部署和優化,利用操作系統安裝相應的安全軟件,并從補丁庫、漏洞庫及時更新上來做好各項風險源的檢測和控制。針對網絡上流行的病毒、木馬等惡意代碼,可以通過定期升級、備份來進行防范。另一種是整體安全評估,通過綜合性安全防范分析軟件,從系統安全性等級、系統安全趨勢分析、系統安全缺陷等方面進行綜合評估,并發現和鎖定可能風險源,為下一步構建安全防護體系提供參考。
2.3 優化安全配置數據
通過安全評估,針對可能存在的安全隱患,需要從具體的安全策略制定上來加以優化,來改進系統安全等級。如對于某類風險源,利用設置防范參數來進行過濾和截獲。同時,針對病毒庫、事件庫、安全補丁更新問題,可以從自動升級、人工升級模式設置上來優化;對于各類網絡共享端口,通過設置安全口令來進行授權管理;對于系統服務器及其他安全設備,不必要的端口要進行關閉。
2.4 制定安全應急預案
應急預案是在可能存在的安全攻擊或自然災害時所采取的系統化解決防范思路和方法。如對于常見的網絡攻擊行為,通過應急預案來進行處置,來減少和避免損失,提升網絡管理系統安全性。以某意外斷電為例,在應急措施編制上,應該對主機系統進行有序斷電,在UPS電池耗盡前完成服務器、存儲設備、網絡設備等系統的關閉;在電力恢復時,應該遵循打開總開關、啟動UPS,逐次打開分支開關,啟動核心路由器、交換機和網絡安全設備,再依次打開各個服務器,對各服務器工作狀態進行檢查,確保正常啟動相應服務。
2.5 應急響應及數據恢復
應急響應是對存在的安全風險及事件進行響應的過程,通常在發生網絡異常或告警時,需要對根據預案來進行應急處置。如對于某次網絡病毒攻擊事件,在應急預案設計上,應該遵循六點:
(1)首先對被感染計算機進行網絡隔離;
(2)對該系統硬盤數據進行備份;
(3)判嗖《糾嘈汀⑽:Γ涉及到那些網絡端口,并啟動殺毒軟件對該計算機系統進行全面殺毒處理;
(4)為保障安全,需要對其他服務器系統進行病毒掃描和清除;
(5)對于殺毒軟件無法清除的病毒應立即報告,并聯系廠商協助解決,針對事態危重問題,要告知相關部門給予協同處理,并病毒語境;
(6)清除完病毒后,重新啟動計算機并接入網絡系統。應急恢復是在完成安全防范事件后,對原有系統進行啟動,并將系統恢復至正常狀態。
3 結語
OA系統安全評估及策略的制定,重點在于對可能存在的應急風險進行預案設計和應急響應,并從異常事件處置中總結經驗,優化安全策略,確保OA系統處于良好運行狀態。
參考文獻
[1]陳建新,王金玉,陳禹,程渙青,胡韜.OA網絡信息系統的頂層設計方略[J].辦公自動化,2014(10).
[2]陳燕,魏鵬飛.辦公自動化系統安全控制策略[J].技術與市場,2016(06).
篇9
關鍵詞:大數據;計算機信息安全;企業;防護策略
大數據(bigdata)形成于傳統計算機網絡技術應用中,并不能將它理解為傳統意義中大量數據的集合,而是其中涵蓋了更多的數據信息處理技術、傳輸技術和應用技術。正如國際信息咨詢公司Gartner所言“大數據在某些層面已經超越了現有計算機信息技術處理能力范圍,它是一種極端信息資源。[1]”正是基于此,社會各個領域行業才應用大數據技術來為計算機信息安全提供防范措施,尤其是企業計算機信息網絡,更需要它來構建網絡信息防護體系,迎接來自于企業外部不同背景下的不同安全威脅。
1關于企業計算機信息安全防護體系的建設需求
企業計算機系統涉及海量數據和多種關鍵技術,它是企業正常運營的大腦,為了避免來自于內外因素的干擾,確保企業正常運轉,必須為“大腦”建立計算機信息安全防護體系,基于信息安全水平評價目標來確立各項預訂指標性能,確保企業計算機系統不會遭遇侵犯威脅,保護重要信息安全。因此企業所希望的安全防護體系建設應該滿足以下3項需要。首先,該安全防護體系能夠系統的從企業內外部環境、生產及銷售業務流程來綜合判斷和考慮企業計算機信息安全技術、制度及管理相關問題,并同時快速分析出企業在計算機信息管理過程中可能存在的各種安全隱患及危險因素。指出防護體系中所存在的缺陷,并提出相應的防護措施。其次,可以對潛在威脅企業計算機系統的不安定因素進行定性、定量分析,有必要時還要建立全面評價模型來展開分析預測,提出能夠確保體系信息安全水平提升的優質方案。第三,可以利用體系評價結果來確定企業信息安全水平與企業規模,同時評價該防護體系能為企業帶來多大收益,確保防護體系能與企業所投入發展狀況相互吻合。
2大數據環境對企業計算機信息安全建設的影響
大數據環境改變了企業計算機信息安全建設的思路與格局,應該從技術與管理維度兩個層面來看這些影響變化。
2.1基于企業計算機信息安全建設的技術維度影響
大數據所蘊含技術豐富,它可以運用分布式并行處理機制來管理企業計算機信息安全。它不僅僅能確保企業信息的可用性與完整性,還能提高信息處理的準確性與傳輸連續性。因為在大數據背景下,復雜數據類型處理案例比比皆是,必須要避免信息處理過程錯誤所帶來的企業信息資源安全損失,所以應該采取大數據環境技術來展開新的信息處理方式及存儲方式,像以Hadoop平臺為主的Mapreduce分布式計算就能啟動云存儲方式,對企業計算機信息進行有效存儲、轉移和管理,提高其信息安全水平。分布式計算會為企業計算機信息建立大型數據庫,或者采用第三方云服務提供商所提供的虛擬平臺來管理信息,這種做法可以為企業省下防火墻、數據庫、基礎性安防技術等等建設環節的大筆成本費用。在信息傳遞方面,大數據環境主要能夠干預企業信息傳遞,例如為企業計算機系統提供高速不中斷的傳遞功能模塊,以確保企業信息傳遞的完整性與可持續性。在此過程中為了確保企業計算機信息傳輸的安全可靠,就會基于大數據技術來為企業提供數據加密服務,確保數據傳輸整個過程都處于安全狀態,避免任何信息泄露、被盜取現象的發生。
2.2基于企業計算機信息安全建設的管理維度影響
在大數據環境下,企業計算機信息安全的管理維度影響不容忽視,它體現在人員管理、大數據管理與第三方信息安全等多個方面。在人員管理管理方面,大數據為企業所提供的是由傳統集中辦公向分散式辦公的工作模式轉變,它創建了企業自帶辦公設備BYOD(BringYourOwnDevice),BYOD一方面能有效提高員工積極性,一方面也能為企業購置辦公設備節約成本,不過它也能影響到企業計算機的信息安全管理事項,移動設備大幅度降低了企業對計算機系統安全的可控度,可能會難以發現來自于外部黑客及安全漏洞、計算機病毒對系統的入侵,一定程度上增加了信息泄漏的安全隱患。在第三方信息安全管理方面,它可能會對企業信息安全帶來巨大影響,因為第三方信息是需要用來進行加工分析的,但它對于企業計算機系統是否能形成保障實際上是難以被企業穩定控制的,所以企業要確切保證第三方信息安全管理的有效性,基于大數據強化企業信息安全水平,利用分權式組織結構來提高企業計算機系統及信息的利用效率,同時也增強大數據之于企業計算機系統的應用實效性。
3基于大數據優化環境下的企業計算機信息安全防護策略
企業計算機信息安全對企業發展至關重要,為其建立安全防護體系首先要明確其信息安全管理是一項動態復雜的系統性工程。企業需要從管理、人員和技術3方面來滲透大數據意識及相關技術理念,為企業計算機系統構筑防線,保護信息安全。
3.1基于管理層面的計算機信息安全防護策略
社會企業其實就是大數據的主要來源,所以企業在對自身計算機信息安全進行保護過程中需要面臨可能存在的技術單一、難以滿足企業信息安全需求等問題。企業需要基于大數據技術來建立計算機信息安全防護機制,從大數據本身出發,做到對數據的有效收集和合理分析,準確排查安全問題,建立企業計算機信息安全組織機構。本文認為,該計算機信息安全防護策略中應該包含安全運行監管機制、信息安全快速響應機制、信息訪問控制機制、信息安全管理機制以及災難備份機制等等。在面對企業的關鍵性信息時,應該在計算機系統中設置信息共享圈,盡可能降低外部不相關人員對于某些機密信息的接觸可能性,所以在此共享圈中還應該設置信息共享層次安全結構,為信息安全施加“雙保險”。另一方面,企業管理層也應該為計算機系統建立信息安全生態體系,一方面為保護管理層信息流通與共享,一方面也希望在大數據環境下實現信息技術的有效交流,為管理層提出企業決策提供有力技術支持。再者,企業應該完善大數據管理制度。首先企業應該明確大數據主要由非結構化和半結構化數據共同組成,所以要明確計算機系統中的所有大數據信息應該通過周密分析與計算才能最終獲取,做到對系統中大數據存儲、分析、應用與管理等流程的有效規范。舉例來說,某些企業在管理存儲于云端的第三方信息時,就應該履行與云服務商所簽訂的第三方協議,在此基礎上來為企業自身計算機系統設置單獨隔離單元,防止信息泄露現象。另一方面,企業必須實施基于大數據的組織結構扁平化建設,這樣也能確保計算機系統信息流轉速度無限加快,有效降低企業基層員工與高層管理人員及領導之間的信息交流障礙[2]。
3.2基于人員層面的計算機信息安全防護策略
目前企業人員所應用計算機個人系統已經趨向于移動智能終端化,許多BYOD工作方案紛紛出現。這些工作方案利用智能移動終端連接企業內部網絡,可以實現對企業數據庫及內部信息的有效訪問,這雖然能夠提高員工的工作積極性,節約企業購置辦公設備成本,但實際上它也間接加大了企業對計算機信息安全的管理難度。具體來說,企業無法跟蹤員工的移動終端來監控黑客行蹤,無法第一時間發現潛藏病毒對企業計算機系統及內網安全的潛在威脅。因此企業需要針對員工個人來展開大數據背景下的信息流通及共享統計,明確員工在工作進程中信息的實際利用狀況。而且企業也應該在基于保護大數據安全的背景下來強化員工信息安全教育,培養他們的信息安全意識,讓員工在使用BYOD進行企業內部計算機數據庫訪問及相關信息共享過程中提前主動做好數據防護工作,輔助企業共同保護內部重要機密信息。
3.3基于安全監管技術層面的計算機信息安全防護策略
在大數據環境中,企業如果僅僅依靠計算機軟件來維持信息安全已經無法滿足現實安全需求,如果能從安全監管技術層面來提出相應保護方案則要配合大數據相關技術來實施。考慮到企業容易受到高級可持續攻擊(AdvancedPersistentThreat)載體的威脅(形成隱藏APT),不易被計算機系統發覺,為企業信息帶來不可估量威脅,所以企業應該基于大數據技術來尋找APT在實施網絡攻擊時所留下的隱藏攻擊記錄,利用大數據配合計算機系統分析來找到APT攻擊源頭,從源頭遏制它所帶來的安全威脅,這種方法在企業已經被證實為可行方案。另外,也可以考慮對企業計算系統中重要信息進行隔離存儲,利用較為完整的身份識別來訪問企業計算機管理系統。在這里會為每一位員工發放唯一的賬號密碼,并利用大數據來記錄員工在系統中操作的實時動態,監控他們的一切行為。企業要意識到大數據的財富化可能會導致計算機系統大量信息泄露,從而產生內部威脅。所以在大數據背景下,應該為計算機系統建立信息安全模式,利用其智能數據管理來實現系統的安全管理與自我監控,盡可能減少人為操作所帶來的不必要失誤和信息篡改等安全問題。除此之外,企業也可以考慮建立大數據實時風險模型,對計算機系統中所涉及的所有信息安全事件進行有效管理,協助企業完成預警報告、應急響應以及風險分析,做好對內外部違規、誤操作行為的有效審計,提高企業信息安全防護水平[3]。
4總結
現代企業為保護計算機信息數據安全就必須與時俱進,結合大數據環境,利用信息管理、情報、數學模型構建等多種科學理論來付諸實踐,分析大數據環境下可能影響到企業信息安全水平的各個因素,最后做出科學合理評價。本文僅僅從較淺角度分析了公司企業在大數據背景下對自身計算機信息安全的相關防護策略,希望為企業安全穩定發展提供有益參考。
參考文獻:
[1]尹淋雨.大數據環境下企業信息安全水平綜合評價模型研究[D].安徽財經大學,2014:49-51.
[2]雷邦蘭,龍張華.基于大數據背景的計算機信息安全及防護研討[J].網絡安全技術與應用,2016(5):56,58.
篇10
為了深入貫徹學習關于網絡安全系列重要講話精神,積極響應中央網信辦、工業和信息化部、公安部等六部門聯合的《關于印刷國家網絡安全宣傳周活動方案的通知》的要求,9月24日,由杭州市政府、中國信息化推進聯盟、浙江經濟理事會主辦,杭州市拱墅區政府、中國信息化推進聯盟協同創新專委會、浙江乾冠信息安全研究院承辦的2016第二屆中國網絡安全協同創新高峰論壇?杭州峰會在美麗的西子湖畔召開。
峰會上,來自中央網信辦、公安部、中科院及國家有關部門的領導、專家就如何學習貫徹關于網絡安全和信息化的系列講話精神、網絡安全面臨的嚴峻復雜形勢、網絡安全管理的方針政策、網絡安全體系建設的策略建議和實踐案例等進行了研討交流。
本刊摘取部分專家精彩觀點,以饗讀者。
建設整體信息安全保密體系
楊國勛認為,當前的信息安全問題不容小覷,特別是政府及金融、能源等關鍵信息基礎設施的安全保障問題。應該強化關鍵信息基礎設施安全,進而大力推動重要領域整體信息安保體系建設。
但是,信息安全既沒有絕對的安全,也沒有永久的安全,因此,整體信息的安全防護也不可能一勞永逸,徹底管住。所以,在實際操作中,我們應該是在有效安全的前提下,以發展促安全。
那么,如何做到有效防護?第一,要明確消除可預見的整體安防的薄弱點和空白點。要按照對雙方的重要性及損害的嚴重程度分類評估,來判定做還是不做。如果是有可預見的薄弱點,就不能做。第二,要創新安防的思路、方法、路線圖。現實中,我們經常會遇到“又要馬兒跑、又要馬兒不吃草”的問題,信息安全也是這樣的問題,又要安全,又要擴大應用。在這種情況下,我們需要創新,需要從另外的角度來分析和思考。比如風險管理,不僅要分析對自己的重要性,也要分析對敵方的重要性;出了事情,要分析對自己的影響,也要分析對敵方的影響;比如法制管理,用法制的威懾力,使他不敢造次,不敢隨便地對你進行攻擊。第三,要有科學、合理、可持續的實施方案。
互聯網+下的工業安全技術
在演講中,何積豐提及了工業控制系統的三個安全目標:一是通信可控,要能直觀觀察、監控、管理通信數據,僅能保證專有協議的數據傳輸,禁止其他通信;二是區域隔離,要能防止局部控制網絡問題擴散導致全局癱瘓,要在關鍵數據通道上部署網絡隔離;三是報警追蹤,要能及時發現網絡安全問題,確定故障點,記錄報警事件,為故障分析提供依據。
對于工業控制系統的安全防御策略,何積豐提出了五道防線,分別是:第三方商用防火墻,聯合安全網關,工業PC安全防護,現場設備控制防護,安全可靠的現場設備。可以采取的具體措施也有五條:去中心化、智能下移、異構冗余,分布協同、蜜罐技術。
何積豐認為,未來幾年,工業控制系統安全發展趨勢將朝著以下幾方面發展:一是隨著硬件元器件的可靠性越來越高及冗余技術的使用,安全問題的矛盾主要集中于軟件,軟件安全性面臨嚴峻形勢;二是工控信息安全標準需求強烈,標準制定工作亟需全面推進;三是隨著自動化系統IT化,傳統邊界防護難以滿足工業控制環境;四是行業內尚未形成氣候,需要整合自動化與信息安全公司優勢,帶動產業全面發展;五是工控安全防護技術迅速發展并在局部開始試點,距離大規模部署和應用有一定差距。
深化國家網絡安全等級保護制度,全力保衛關鍵信息基礎設施安全
陳廣勇除匯報了公安部在網絡安全方面的一些工作情況和應對措施之外,還給重要行業部門開展網絡安全工作和信息安全企業提出了一些建議。
他建議,重要行業部門開展網絡安全工作要統籌規劃行業安全工作,以網絡安全等級保護工作為抓手,以信息通報為平臺,以全面加強安全管理和技術防范為重點,以提高網絡安全保障能力為目標,全力構建本行業網絡安全綜合防御體系。
針對信息安全企業,他建議,第一是要緊密圍繞國家網絡安全重大舉措來開展經營活動,包括及時跟蹤了解國家法律、政策、標準和重大舉措;有針對性地制定具有行業特點的產品研發戰略、技術創新,著重解決云、大、物、移以及工業控制系統的安全風險,制定相應的整體解決方案;第二是要積極參與和跟進信息安全標準的規范研究工作;第三是要全力支撐國家網絡安全重點工作,做好技術儲備和技術創新,信息安全企業要積極參與網絡安全信息通報預警、智慧城市的網絡安全管理、新技術、新應用推廣等國家有較大投入的方面;第四是要加強規劃、科學布局,企業要做好長遠的戰略規劃,努力成為既能提供整體的網絡安全解決方案,也能提供高質量的咨詢服務能力的綜合服務提供商。
擬態防御,協同眾測促進網絡安全創新
演講中,葛培勤指出了當今網絡安全的五個特點:一是網絡安全是整體的不是割裂的,二是網絡安全是動態的不是靜態的,三是網絡安全是開放的而不是封閉的,四是網絡安全是相對的而不是絕對的,五是網絡安全是共同的而不是孤立的。他進而指出:網絡防護需要靠大家共同協防,網絡檢測需要靠大家一起發現問題,網絡管理需要大家齊抓共管,網絡應急需要靠大家一起處置/恢復,網絡演練需要靠大家共同參與,網絡安全需要靠廣大人民。
他講到,近年來,針對傳統13類產品以外的信息安全產品層出不窮,如APT網絡監控類、工控安全類、生物識別類、認證類、安全芯片類、大數據分析類、物聯網安全等等,而創新產品測評與統一認證,將加快這些創新產品進入實際應用。國家信息技術安全研究中心與中國信息安全中心協商一致,最近將與多家測評機構進一步溝通協商,一是在測評規范上采取一定的措施,如鼓勵采用未國標開展試點示范,采用參考行標擴大使用范圍,采用多家眾測形成測試用例,同時借鑒國外相關技術標準等方法,加快形成創新產品的基本測評用例和增強測試用例,采取結果導向、問題導向、目標導向理念,開展基于漏洞分析挖掘的產品測評,并對相對成熟的創新類產品、專家評審和審批后發放統一的認證證書。眾測活動需要嚴格的管理措施來保證測評中的“7性”,組織方必須周密組織,公開公平公正地開展工作,保證測評的嚴肅性、嚴謹性。
跨維―深度聚焦網安生態
徐平說,在整個網絡信息化發展過程中,乾冠信息安全研究院主要解決網絡安全中第一公里和最后一公里的問題,其中的第一公里小到一個單位,大到國家互聯網的出入口。乾冠信息安全研究院致力于通過時空跨維和深度聚焦,來形成一個比較完整的針對安全威脅的體系化的解決方案。
如何發現并分析處理數據安全,需要業界廠家形成合力,利用大數據驅動構建一個安全管理的平臺。這也是研究院積極參與構建中國網絡安全協同創新共同體、網絡安全態勢感知生態矩陣的初衷,即借助平臺化的方式,用平臺+服務、平臺+產品、平臺+合作伙伴等模式,來為用戶提供整體的服務。平臺矩陣將從三個層面提供防御保護:遠程防御、云防御和安全設備。
他坦言,對安全威脅的一些未來的預測,是乾冠信息安全研究院下一步要重點突破的方向。
安全理念更新引領網絡安全創新
演講伊始,邵國安就指出:現在很多層面對于網絡安全的本質和核心的理解是比較模糊的。理念決定行動,但是若理念都錯了,談何正確的行動?
他講道,網絡安全要從以下五個方面來加以考慮:一是網絡邊界的安全,二是網絡防護,三是終端安全,四是應用安全,五是數據安全,每個層面都有不同的安全要求,是一個扇型的安全保障體系。
交通運輸網絡安全風險與策略
李璐瑤認為,不管是從事信息化還是從事信息安全的,都必須先了解它的業態,才能來進行風險權重的評價。交通行業,很好地體現了大數據的強大特征:廣泛性、海量性、有價性。也正因此,交通領域成為了可能遭到重點攻擊的目標,一定要采取有效措施,加強安全防護。
此外,她也認為就各級政府而言,要集中對政府網站、政務郵箱、重要業務、公務終端、互聯網出口這五類系統進行安全防護。
提升風險自主發現處置能力的探索實踐
