網絡安全培訓核心技術范文

時間:2023-12-21 17:18:51

導語:如何才能寫好一篇網絡安全培訓核心技術,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

網絡安全培訓核心技術

篇1

網絡安全博弈中,設定參與人是網絡系統和黑客,網絡系統的純戰略是防守和不防守,黑客的純戰略是攻擊和不攻擊。網絡系統防守時能防御到黑客的攻擊概率為e(0<<e<<1),在防守到攻擊后一定能對攻擊者做出相應的懲罰。為了研究網絡系統和黑客之間的博弈,本出如下假設:局中人集合:{網絡系統,黑客}局中人策略空間:網絡系統的策略空間為{放守,不防守};黑客的策略空間為{攻擊,不攻擊}局中人收益:黑客如攻擊成功,收益為a,黑客攻擊如碰到防守,網絡系統對黑客進行懲罰的收益為e•b,網絡系統的防御成本為c,網絡系統的懲罰成本為d。則當黑客攻擊且網絡系統防守時,黑客的收益為-e•b,網絡系統的收益為e•b-c-d-(1-e)a;當黑客攻擊且網絡系統不防守時,黑客的收益為a,網絡系統的收益的-a;當黑客不攻擊且網絡系統防守時,網絡系統成本為-c,黑客的收益為0;當黑客不攻擊且網絡系統不防守時,網絡系統收益為0,黑客收益為0。根據以上假設,參與人同時選擇或非同時選擇,但后行動者不知前行動者采用了什么具體行動,因此此問題為靜態博弈,參與人對另一參與人的特征、策略空間及收益函數都有了準確信息,因此為完全信息博弈,綜合而來此問題涉及黑客攻擊與網絡系統防御的完全信息靜態博弈,其相應的收益矩陣見表。假設網絡系統以概率p進行防守,則不防守的概率就是1-p;q為黑客的攻擊概率,則不攻擊的概率為1-q。下面就來討論混合戰略的納什均衡問題。

2攻防博弈模型的求解

在給定的網絡系統以概率p進行防守時,黑客攻擊q=1的期望收益F(p,1)和黑客不攻擊q=0的期望收益F(p,0)分別為。由(4)式可知,當網絡系統防守概率大于a/a+eb時,不攻擊是黑客的最優策略;當網絡系統的防守概率小于a/a+eb時,攻擊是黑客的最優策略;當網絡的防守概率等于a/a+eb時,黑客攻擊和不攻擊都具有相同的效果。同理,在給定黑客以概率q進行攻擊時,網絡系統防守p=1的期望收益F(1,q)和網絡系統不防守的p=0的期望收益F(0,q)分別為。由(8)式可知,當黑客的攻擊概率小于c/eb+ea-d時,網絡系統的最優選擇是不防守;當黑客的攻擊概率大于c/eb+ea-d時,網絡系統的最優選擇是防守;當黑客的攻擊概率是c/eb+ea-d時,防守和不防守具有相同的概率。

3攻防成本的博弈分析

下面對混合納什均衡進行深入的分析:

3.1網絡系統的防守概率(9)式說明網絡系統的防守概率p*是a的單調增函數,即p*隨a的增大而增大,p*隨a的減少而減少。這可以解釋為黑客的攻擊收益越大,則相對應的網絡系統損失越大,網絡系統的防守概率越高;黑客的攻擊收益越小,則相對應的網絡系統損失越小,網絡系統的防守概率越低。(10)式說明網絡系統的防守概率p*是eb的單調減函數,即p*隨eb的增大而減少。這可以理解為黑客得到防御系統的懲罰收益越大,則相應的對黑客的威懾越大,網絡系統的防守概率越小。把eb分開來看,當eb為定值時,e值越小則b值越大,這說明防守成功的概率越低,則相應的應加大懲罰值。

3.2黑客的攻擊概率是由網絡系統的防守成本c、網絡系統對黑客的懲罰值eb、網絡系統成功防御到黑客攻擊所減少的損失值ea、網絡系統的懲罰成本d所決定的。由黑客的攻擊概率q*可知,q與c成正比、與eb+ea-d成反比。q與c成正比,即在其他條件不變的情況下,防守的成本c越小,黑客攻擊概率越小;這可以解釋為:防守成本c越小,網絡系統防守的就越多,那么被黑客攻擊的概率就會越少。q與eb+ea-d成反比,即當c一定時,防守系統對黑客的懲罰收益越大,網絡系統成功防御到黑客攻擊所減少的損失值越大,網絡系統的懲罰成本越小,則黑客的攻擊概率越小。分開來看,q與eb、ea均成反比,與d成正比;即防守系統對黑客的懲罰收益越大,則給黑客的威懾越大,黑客的攻擊概率越低;防守系統成功防御到黑客攻擊所減少的損失值越大,也就是防御系統內部的防御信息越重要,防御系統就越會加大防御,黑客的攻擊概率就越低;防守系統的懲罰成本越大,則防守方實際所得的收益越小,黑客的攻擊概率越大。q與ea、eb均成反比,則當a、b是定值時,q與e成反比;又由于q與c成正比,則當其他條件不變時,e與c成反比。從而可知網絡系統防御的成功率越高,網絡系統的防御成本就越低,即增加網絡系統的防御成功率可以降低網絡系統的防御成本。由q與c成正比、q與eb成反比可知,若使黑客的攻擊概率越小,則最好使網絡系統的防御成本越低,對網絡系統黑客的懲罰值越大。但目前由于網絡系統的復雜性,防御成本很難降下來,因此就可以加大懲罰力度。這也說明了在網絡安全方面懲罰機制和防御機制同樣重要。

4網絡安全治理建議

由以上網絡安全攻防博弈分析可知,網絡安全是由網絡的防守成本、網絡系統對黑客的懲罰值、黑客的攻擊收益值、網絡系統的懲罰成本所決定的。對這些方面,特提出如下建議:

4.1加大取證技術建設。網絡安全的取證技術既是防御系統的根基,也是懲罰體系的根基。比如取證技術的典型蜜罐技術,它通過設置陷阱取證記錄攻擊源和攻擊方法,在防御方面根據記錄到的攻擊源和攻擊方法,得出相應的應對策略,然后給防火墻和入侵檢測系統加入相應的策略,以應對后面的攻擊;在懲罰方面以記錄的攻擊源和攻擊方法作為證據,運用法律等相關手段對攻擊者做出相應的懲罰。取證工作做不好,面對新型的攻擊,防御和懲罰就都不可能執行下去。

4.2加大防御技術建設,使防御系統廉價,做好防御系統普及工作。防御系統價格越低,防御普及率才會越高,安全性才會越好。加大對網絡內各個部位核心技術的掌握(一些重要部門的內部網絡最好全部運用自己的技術),防御的成功率才會較高,防御系統的成本才會大大減少。比如國內電腦基本都用微軟的操作系統,核心交換機大部分用思科的設備,打印機基本都用HP等國外設備。只要這些設備廠商開啟后門,網絡將無安全可言。內部技術不掌握,防御總是處于被動之中,投資再高,實際效果也不會大。目前網絡系統內很多設備的核心技術都不在自己的掌握下,因此軍工等一些重要情報部門內部網絡最好不要接入到Internet網。防御系統方面可以建立各層防御體系,電腦開發免費的取證審計系統,使每個用戶都有監督自己電腦的方式。其他網絡的各個部件也要建立自己的取證審計系統,方便網絡管理員對網絡其他部件的監控管理工作。

4.3加大網絡懲罰機制建設和懲罰力度,降低懲罰成本。網絡安全方面的懲罰方式很多,比如法律懲罰、網絡反攻等。針對目前國內嚴峻的網絡安全問題,應該完善網絡安全法規,做到有法可依,執法必嚴,違法必究,使執行的成本大大減少,這樣就能對黑客給予足夠的威懾,有效降低攻擊概率。比如圖書館網絡系統面對黑客的攻擊時,只要對黑客的懲罰相比黑客獲得的利益越大,理性的黑客就越不敢攻擊。懲罰可以根據國家的立法進行,比如發現某些公司運用自己的產品進行犯罪牟利時,就可以根據相應的法律措施給予懲罰。國家間的網絡犯罪,可以在全世界成立一個集體的組織比如聯合國,建立相應的法規,對國與國之間的網絡攻擊給予嚴厲的懲罰。二戰后以美國為首的西方國家,就建立了聯合國國際機構,對一些國際間的違規事務進行處理,比如成立原子彈不擴散條約,以避免對世界毀滅性的傷害。美國作為聯合國的五大常任理事國之一,如果想維護世界的網絡安全,也需要對最近出現的斯諾登“棱鏡門”事件等,給出相應的說明或解決方法,這樣才能更好地帶頭制定和實施相應的懲罰制度,以維護世界的網絡安全。對于國家間的網絡攻擊,當聯合國的法律懲罰難以實施時,也可以發展網絡反攻懲罰技術,在國家內部建立起強大的網絡部隊,給予別國巨大的威懾,以減少網絡戰爭。只要攻擊方法發展起來、攻擊成本降低,實施反擊更加容易,給另一個國家的懲罰相對于其獲得的收益越大,就會給想攻擊的國家帶來足夠大的威懾,這樣理性的國家就越不敢攻擊。

篇2

關鍵詞:醫院;信息化建設;計算機網絡安全;管理與維護

一、影響醫院計算機網絡安全的因素

(一)我國信息技術水平的限制

近年來,隨著科學技術的進步,使得我國在信息技術方面取得了較大的發展,但仍然沒有完全掌握計算機的核心技術,很多的數據模塊加密技術以及防火墻技術等都需要借鑒國際上的先進經驗。就醫院而言,目前仍有部分醫院采用WindowsXP系統,而微軟公司已經不再為這一系統提供官方的服務支持,這使得WindowsXP系統雖然可以正常運行,但在這一系統中,會存在較多的安全漏洞,這些漏洞會對醫院計算網絡的安全帶來較大的威脅。

(二)網絡病毒帶來的影響

網絡病毒是影響醫院計算網絡安全的重要因素之一,網絡病毒具有較強的傳播性和破壞性,往往一臺計算機感染上網絡病毒,便會造成整個醫院系統中的計算機都會受到影響,進而會對醫院計算機網絡安全帶來較大的危害。目前,隨著網絡病毒的升級換代,使其更具隱秘性,一旦操作不規范,便會很容易導致計算機染上網絡病毒,而且網絡病毒還具有較強的寄生性和潛伏能力,很難對其進行徹底的查殺,這使得網絡病毒的危害較大,會對醫院的計算機網絡帶來十分不利的影響。

(三)網絡黑客帶來的影響

除了網絡病毒之外,網絡黑客也是影響醫院計算機網絡安全的重要因素之一。黑客自計算機得到應用之后便已經存在,多年來一直是影響計算機網絡安全的重要隱患。網絡黑客會為了滿足自身的利益需求,而利用先進的計算機網絡技術破壞他人的計算機網絡系統,進而竊取他人的重要信息,既包括商業機密、個人隱私,也包括銀行和網銀賬號密碼等,這會使計算機用戶蒙受較大的損失。對于醫院而言,一旦計算機網絡遭到黑客的攻擊,如果不能提前做好防范措施,會導致醫院的大量信息數據丟失或遭到破壞,進而給醫院造成較大的損失,并且大量患者醫療數據的丟失或者被損壞,也會給患者帶來較大的危害。

(四)用戶缺乏安全意識

計算機用戶缺乏安全意識,也會造成計算網絡安全風險。由于部分計算機用戶為了方便,往往會采用較為簡單的賬號的密碼,甚至是多個賬戶公用一個口令,這種錯誤的操作方式會造成比較嚴重的計算網絡安全隱患。另外,還有一些用戶在使用移動設備過程中,由于缺乏安全意識,往往沒經過徹底的殺毒便直接應用,這很容易造成計算機染上病毒。除此之外,計算機用戶缺乏安全意識,對網絡上的釣魚鏈接缺乏有效的辨別能力,一旦受釣魚鏈接的誘惑,點擊這些鏈接,也會造成計算機染上病毒。

二、醫院信息化建設中計算機網絡安全管理維護的具體措施

(一)制定完善的醫院計算機管理制度

提升醫院信息化建設過程中的計算機網絡安全,要先要注重建立健全計算機管理制度,通過完善的管理制度來降低網絡安全事故的發生幾率。為此,醫院應成立專門計算機網絡安全管理部門,并將醫院計算機網絡安全責任由該部門負責。由計算機網絡安全管理部門根據醫院的實際情況制定相關管理制度,并且要求醫院全體人員嚴格遵守。除此之外,還應建立定期的網絡安全培訓機制,定期對醫院的全體人員進行計算機網絡安全方面的培訓,通過培訓幫助醫院人員掌握規范的計算機操作技術,加強其安全防范意識和處理計算機網絡安全風險的能力。醫院工作人員也應嚴格要求自己,規范操作計算機,在應用計算機的過程中,要注重定期進行病毒的查殺,要做到不登錄外網,避免醫院的計算機網絡遭到病毒的入侵。要經常更換口令,并且注重提升口令的復雜程度,增加口令被破譯的難度。

(二)定期修補漏洞和查殺病毒

目前,我們所使用的網絡安全防護軟件主要有防火墻以及殺毒軟件等。通過應用防火墻,可以有效攔截外來的病毒的入侵;通過應用殺毒軟件,可以對計算機中已經存在的病毒進行查殺,進而起到保護計算機網絡安全的作用。因此,計算機用戶應注重定期對計算殺毒軟件以及防火墻進行更新升級,并定期應用殺毒軟件對計算機中的病毒進行查殺。與此同時,在計算機的使用過程中,要及時修補計算機中的漏洞,及時下載補丁對計算機中的漏洞進行修復,避免網絡病毒或者黑客利用計算機漏洞入侵計算機。

(三)使用加密技術加強權限管理

應用加密技術,可以有效提升計算機網絡的安全性,進而降低數據信息被盜取的幾率。與此同時,要注重加強對自身網絡的權限管理,嚴禁未經授權的人員登錄醫院的計算機。在醫院與外界進行遠程醫療會診時,可以使用專用的通道,這樣可以有效提升網絡的安全性。除此之外,相關部門應加大對醫院計算機網絡安全重要性的宣傳力度,進而提升人們的網絡安全意識,這樣可以使醫院計算機網絡得到多方面的管理和維護。

三、結束語

醫院的計算機網絡安全,不僅關乎著醫院的正常運轉,而且也關乎著患者的人身生命安全,因此,在醫院的信息化建設過程中,必須注重對計算機網絡安全的管理與維護,保障患者的信息安全。

參考文獻

篇3

[關鍵詞]高校;數據中心;信息安全

我國近二十年來信息化建設飛速發展,各個行業對信息系統的依賴程度都在提高,信息化、數字化已經成為現代社會一個非常明顯的進步標志。目前,信息技術在高校建設應用范圍也越來越廣,數據中心作為高校辦學核心技術所在更是早就向數字化和信息化發展,由此導致信息系統的安全問題越來越突出,所以數據中心的信息安全建設日趨重要,以此提高數據中心對信息風險的防范能力。

1高校數據中心信息安全建設的重要性及隱患

高校數據中心是保障校內多個應用系統安全運行,保證學生身份認證和管理、日常辦公、人事管理、財務管理、圖書資料管理、教務選課等工作的前提條件,另外數據中心內存有學校各種重要的資料和關鍵的數據。保證這些資料數據的安全,保障各應用系統的安全運行是數據中心的一項重要職責,所以進行數據中心信息安全建設是確保高校數據安全的必然選擇,其根本出發點和歸宿是為了保證數據中心信息不丟失或者被盜[1]。然而,隨著互聯網技術日新月異的發展,數據中心存在安全隱患。這些安全隱患除了來自管理制度的不健全外,有來自于現有網絡各種攻擊技術手段,未被授權的訪問可能會導致數據整體性和私密性遭到破壞,還有一些數據中心內部的操作,如新業務系統上線,系統升級等帶來的網絡宕機。各種安全產品、安全技術的簡單堆砌并不能保證數據中心的安全,所以只有在安全策略的指導下,建立有機的、智能化的安全防范體系,才能有效地保障校園數據中心的關鍵業務和關鍵數據的安全[2]。

2高校數據中心信息安全建設的主要內容

2.1高校數據中心信息安全建設的主要技術手段

高校數據中心信息安全建設的主要技術手段有:防火墻、防病毒系統、入侵防御、漏洞掃描、CA認證、數據備份與容災、個人桌面控制系統、監控與審計系統、不間斷電源系統等。這些手段聯合起來才可以確保組建成一個較為堅固的安全運行環境。

2.1.1防火墻

防火墻是信息安全體系中最重要的設備之一,對高校數據中心來說,它可以為內部辦公的局域網以及外部網絡提供安全屏障。它對流經的網絡通信進行監測掃描,只有選擇指定的網絡應用協議才可以通過。另外,防火墻還強化了網絡安全策略的配置和管理,對經過它的各種訪問進行記錄并做出日志,利用它提供的網絡使用數據統計情況,當有可疑的訪問發生時,能自動進行報警。我們還可以通過防火墻對內部網絡進行劃分,實現對內部網中的重點網段的隔離(如服務器的DMZ區),從而防止局部重點網絡安全出現問題對全局網絡造成傷害。

2.1.2防病毒系統、入侵防御、漏洞掃描

計算機病毒傳播途徑多,同時具有非授權性、隱蔽性、傳染性、潛伏性、破壞性、可觸發性等多重特點,殺傷力極大,不但能攻擊系統數據區、文件和內存,而且還能干擾系統、堵塞網絡等,單憑防火墻是無法保證數據中心的信息安全的,因此,部署防病毒系統、入侵檢測(防御)、漏洞掃描是很有必要的。我們在網絡中部署網絡殺毒軟件,定期對內網中所有服務器和客戶端進行殺毒,并實時更新病毒庫。還需要在網絡入口處部署入侵防御系統,阻止各種嘗試性闖入、偽裝攻擊、系統滲透、泄露、拒絕服務和惡意使用等各種手段的入侵。部署漏洞掃描系統就是每天定期掃描網絡和操作系統中可能存在的漏洞,并立即告警,及時打補丁,把各種攻擊消滅在萌芽狀態。

2.1.3CA認證系統(身份認證、數據傳輸加密、電子簽名、電子公章、時間戳等)

為數據中心信息的安全考慮,尤其是機密數據的電子政務系統必須采用CA認證。CA認證可以解決網絡環境中可信的身份認證,并且可以解決信息機密性、信息完整性、身份認證實體性、行為不可否認性、授權有效性等問題。只有本人憑電子鑰匙經過CA認證后才能登錄系統訪問機密數據,數據也只有經過CA加密才能在網絡中傳輸,數據的接收方也必須經過CA認證,所有操作必須經過電子簽名并加蓋時間戳。這樣,通過CA認證,數據中心中的數據的安全系數就得到了極大的提高。

2.1.4數據備份與容災

為了提高服務器的安全性和持續穩定運行,在大多數模式下可以建立服務器集群,就是集群中所有的計算機擁有一個共同的名稱,這樣集群內任何一個系統上運行的服務可被所有的網絡客戶所使用。另外要建立容災備份系統,這是對數據做好保護至關重要的,也是保證提供正常服務的最后一道防線。一旦有影響數據安全的情況發生,可以在最短的時間內恢復受損的數據。備份的方法也很多,有手動備份、自動備份、LAN備份、雙機熱備等。對于海量的空間數據,在資金許可的情況下,還可以考慮利用廣域網進行數據遠程異地備份,建立容災中心,來確保數據的安全。

2.2高校數據中心信息安全的制度建設

想要建設成供任何一個系統,除了要配置較為完善的技術設備、軟件支持外,還要建立一個與之適用的完善、合理的規章制度。高校數據中心信息安全的制度建設過程中,必須成立校內的信息安全小組,他們的主要任務就是從整體上規范安全建設,制定數據標準,貫徹執行和完善信息安全的規章制度,并且對日常工作進行認真檢查、監督和指導。在實際工作中要認真研究各種相關制度,不斷的對當前制度進行更新和完善,進一步確保信息數據的安全。

2.3高校數據中心信息安全建設的其他方面

數據中心的信息安全建設除了要建設各種軟件防護系統、制定完善的制度外,安全管理也是其中一個非常重要的部分。安全管理貫穿整個安全防范體系,是安全防范體系的核心。代表了安全防范體系中人的因素。為了保障數據中心信息的安全,必須要進行安全操作培訓工作,而這一工作的重要前提就是做好數據中心的安全管理工作。再好的技術如果沒有能夠落實到位,其高水平無法真正發揮作用。所以,建設高效的數據中心信息安全系統,必須要將安全管理落實到位。安全管理不僅包括行政意義上的安全管理,更主要的是對安全技術和安全策略的管理,使用者的安全意識是信息系統是否安全的決定因素,因此對校園數據中心用戶的安全培訓和安全服務是整個安全體系中重要、不可或缺的一部分。具體實施的時候,首先對所有相關工作人員進行安全知識培訓,要求所有相關人員對數據中心的安全有一個最充分全面的認識,從而在實際工作中更加主動、積極的去關注系統安全、信息安全,盡早消除各種隱患因素[3]。

3對目前高校數據中心信息安全建設的建議

3.1建立信息安全框架及安全組織機構

高校應建立信息安全框架,即制定系統安全保障方案,實施安全宣傳教育、安全監管和安全服務。在大多數高校,網絡信息管理中心是信息安全的主管部門和技術支持部門,身兼管理和技術兩項職能,但學校往往賦予網絡中心的只有技術支持的職能,沒有真正意義上的管理職能,出現安全事故只解決技術問題,遺留的很多問題得不到明確的解決。因此,高校還應該建立專門負責信息安全管理的組織機構,該組織機構由學校主要領導負責,并由技術部門和管理部門的人員構成,其中包括網絡中心的負責人,并由網絡中心負責各部門間的協調和聯絡,制定安全政策和策略以及一系列體現安全政策的規章制度并監督執行,真正的發揮這類機構的作用。另外應該重視網絡中心的人員配置情況,引進高層次的技術人才和管理人才,分別負責網絡建設、管理和維護、信息資源建設、信息安全治理等工作,做到分工明確、責任到人,這樣才能切實地提高數據中心的信息安全。

3.2加強信息安全的思想認識培養,樹立信息安全意識

網絡信息管理中心要充分發揮其管理職能,與學校保衛處、學工部、校團委等相關部門協調配合,積極在全校范圍內開展有關信息安全的宣傳活動,邀請信息安全方面的專家對師生、員工進行安全培訓,定期舉行關于信息安全的學術報告,將一些信息安全的實際案例放到中心、校園網站等等,加強對師生、員工的安全教育,將安全意識擴展為一種氛圍,努力提高和強化校內的信息安全觀念意識,確立信息安全管理的基本思想與策略,加快信息安全人才的培養。這就從強制性的安全策略轉換為自主接受的安全策略文化,當然這也是實現信息安全目標的基本前提。

3.3確保信息安全得到成熟有效的技術保證,定期進行信息安全審核和評估

環境的不斷變化決定了信息安全工作的性質是長期的、無盡頭的,因此要求使用的安全產品在技術上必須是成熟的、有效的。對于高校數據中心信息安全,從技術角度來說,主要涉及到網絡通信系統的保密與安全、操作系統與數據庫平臺的安全、應用軟件系統的安全等三個方面。所以必須對網絡系統進行科學的安全分析,結合具體應用,將上述三個方面密切結合,在網絡信息系統中建立了一整套安全機制,實現從外到內的安全防護。另外,必須定期的對學校的信息安全過程進行嚴格的審核,并對學校的信息安全進行新的風險分析和風險評估,制定適合現狀的信息安全策略。

4結語

校園數據中心是校園信息系統的核心樞紐,數據中心的信息安全保障體系應是一個包含安全政策法規、標準規范、組織管理、技術保障、基礎設施、人才培養的多層次、全方位的系統。,充分利用現代社會先進的安全保護技術和高水平的安全管理技術對數據中心進行全面改造和升級,真正提高高校數據中心信息安全系數,同時,積極促進行業整體信息化應用水平的全面提高,為信息化發展保駕護航。

參考文獻

[1]顧瑞,張珍義,盧加元.高校數據中心的安全問題研究[J].中國教育信息化:高職教育,2008(11):59-60.

[2]王英峰.談高校數據中心信息安全建設[J].中國教育信息化:高職教育,2008(21):61-62.

篇4

關鍵詞 物聯網;安全問題;解決對策

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)83-0200-02

隨著互聯網技術、網絡通信技術、RFID(射頻識別)技術的不斷發展,物聯網的應用范圍和相關研究得到了不斷的拓展,在很大程度上促進了物聯網技術的不斷發展。物聯網的概念起源于1999年的麻省理工學院(MIT)的Auto-ID實驗室,并在2005年的國際電信聯盟會議上正式提出了物聯網的概念。由于物聯網具有可靠傳輸、全面感知、智能處理等重要特征,因此被譽為繼計算機、互聯網、移動通信網之后的又一次信息產業浪潮,但在物聯網快速發展的同時,物聯網的安全問題卻帶來了越來越多的挑戰,目前已經成為制約物聯網發展的核心問題之一。

1 物聯網的概念與安全需求

物聯網是指借助紅外感應器、激光掃描器、RFID(射頻識別)、GPS(全球定位系統)、傳感器節點等信息傳感設備,按照約定的協議,把任何物品與互聯網相連接,進行信息交換和通信,以實現智能化識別、定位、跟蹤、監控和管理等功能的一種網絡。目前,在全球范圍內都興起了物聯網建設的浪潮,中國也適時的提出了物聯網建設的戰略規劃,并將其上升到國家戰略層面,將其確定為國家“十二五”規劃中七大戰略新興產業之一,并加以重點推進。

對于現代信息技術的發展,只有在能夠保證隱私信息不被泄露,并且能夠提供完善的安全保護措施前提時,才能被廣大用戶接受和使用。物聯網技術的發展和廣泛應用,同樣需要有完善的安全管理策略作為保障,因此安全問題已經成為制約物聯網發展的關鍵問題。

由物聯網的概念我們可以認識到,物聯網作為一個新型的系統,能夠實現現實世界與虛擬世界的實時交互,但它仍舊同互聯網保持著十分緊密的聯系,可以是在互聯網基礎上更加深入的發展,具有信息處理的智能化、信息傳輸的無線化和數據感知的隨時性等特征,物聯網的用戶端在任何物品與物品之間得可以實現有效的應用,進行相關信息的傳遞等服務。眾所周知,互聯網環境下本身就存在著大量的安全隱患,而物聯網又是以無線網絡和傳感網為核心技術的,這就給物聯網的應用和發展帶來了更多的安全隱患,使物聯網所面臨的安全問題更加嚴峻。

從整體上,隨著移動互聯網技術的發展,其安全維護措施也在不斷完善當中,因此為物聯網的安全管理奠定了一定的基礎,但是不同于傳統的網絡,物聯網的安全問題在很大程度上是由于感知網絡和應用平臺在集成時形成的。要想真正解決物聯網的安全問題,不僅要對移動網絡中的各種安全問題采取相應的應對措施,還需要針對物聯網在發展中出現的新問題、新情況,增強特殊安全問題解決的針對性。尤其是隨著物聯網應用范圍的越來越廣泛,物聯網的安全管理水平,與整個國家的經濟和安全都息息相關,技術人員不斷加大科研的投入力度,深入研究和探討物聯網在應用過程中可能面臨的各種安全問題,對物聯網的安全管理體系進行不斷的完善和發展,這已經成為當前一項十分緊迫的任務。

2 物聯網中的安全問題分析

物聯網具有三大特征:全面感知、可靠傳遞和智能處理。利用RFID、傳感器、二維碼等隨時隨地獲取物體的信息,實現全面感知;通過無線網絡與互聯網的融合,將物體的信息實時準確地可靠地傳遞給用戶;利用云計算、數據挖掘以及模糊識別等人工智能技術,對海量的數據和信息進行分析和處理,對物體實施智能化的控制。但就在物聯網不斷發展的背后,不可忽略其在安全管理中面對的各種問題和挑戰,信息安全和網絡安全已經成為物聯網發展過程中必須考慮的核心問題。

2.1 感知層中的安全問題

物聯網感知層中的任務是全面感知外界信息,通過各類傳感器、RFID裝置、全球定位系統、掃描儀、攝像頭等設備對各種原始信息進行收集,其中可能存在的安全問題主要有:1)由于物聯網中的信息經常是通過無線網絡的平臺進行傳輸的,因此信息可能存在被截獲或破解的安全風險問題;2)傳感智能節點容易受多侵襲;3)傳感網的節點可能受到來自于網絡的DOS攻擊,嚴重時甚至會造成傳感網系統的嚴重破壞。

2.2 傳輸層中的安全問題

物聯網傳輸層的主要職能是要把在感知層中收集到的各種信息可靠、安全地傳輸到物聯網的信息處理層,并對信息進行相應的處理,但由于信息在傳輸過程中,可能需要通過一個乃至多個不同架構的網絡才能實現信息的交接,這時就難免就會存在一定的安全隱患,可以說,互聯網中存在的安全問題都有可能傳導至物聯網傳輸層,并造成更嚴重的安全隱患。例如,跨異構網絡的網絡攻擊、DOS攻擊、DDOS攻擊、假冒攻擊、中間人攻擊等。

2.3 處理層中的安全問題

物聯網的處理層需要對接收到的信息進行處理,判斷各類信息的真實性、安全性和意圖。在信息的處理過程中,既有操作性的指令數據,也有一般性的數據,需要尤為注意的是那些惡意指令和錯誤指令,那有可能是攻擊者的破壞行為。因此,在信息的處理過程中不可避免的會面對以下安全問題:終端數量多,提供的信息量大,來不及對信息進行判別;設備從網絡中邏輯丟失;智能設備出現故障,導致工作效率下降;非法入侵者的人為破壞;無法實現災難控制并從災難中恢復等。

3 物聯網安全問題的解決對策

3.1 技術性措施

3.1.1 節點安全措施

為了保證物聯網設備在遭受破壞的情況下而不至于使系統遭受致命性的打擊,可以采取以下幾點有針對性的安全措施:1)在物聯網網絡的關鍵位置配備冗余傳感器,這樣可以實現特殊情況下的網絡自愈;2)限制網絡的發包速度和同一數據包的重傳次數;3)在通信前對節點與節點之間進行身份認證。

3.1.2 傳輸安全措施

在物聯網內部,為了保障內部通信的安全,應當使用密鑰管理機制。一方面,在通信時可以建立一個臨時會話密鑰,而認證性使用對稱密碼的認證方案需要預置節點間的共享密鑰;另一方面,應當建立端到端密鑰協商機制、密鑰管理機制、端到端認證機制和機密性算法選取機制等。

3.1.3 其他技術措施

在技術上,除了要采取節點安全和傳輸安全措施外,還應當重點考慮以下措施:1)對傳輸層的惡意指令進行分析,采取預防措施,建立災難恢復機制;2)做好病毒的檢測和網絡入侵的防控工作;3)秘密文件和移動設備文件應當采取備份措施;4)密文查詢、挖掘與安全相關的數據、安全多方計算、安全云計算技術等;

3.2 非技術措施

在對物聯網中的安全問題進行解決和維護時,除了要結合物聯網的特征和存在問題的類型采取一系列的技術性措施外,還應當從管理、教育、安全風險評估等角度采取一系列的非技術措施,對物聯網中可能出現的安全問題做好預防工作,提高用戶的安全意識。首先,物聯網的相關部門要制定嚴格的管理制度,明確物聯網安全管理中的職責和權利,規范相關人員的工作行為,避免安全管理工作上的失誤和疏漏;其次,應當有針對性的對用戶進行安全培訓,讓用戶充分認識到物聯網信息安全的重要性,懂得如何對各種安全問題進行預防和解決;再次,要懂得對物聯網的安全風險進行評估和態勢分析,定量和定性的評價網絡運行狀態,進行實時監測和預警。

4 結論

綜上所述,隨著物聯網的深入發展,必將會給我們的生活、學習和工作帶來極大的便利,促進社會經濟的更好發展,但是物聯網技術的應用同樣存在著安全性的問題,如果處理不好可能會造成很多不必要的損失。由于物聯網所具有的分布廣泛性、節點移動性、網絡異構性、業務應用復雜性等特征,物聯網安全問題的解決也變得相對復雜,我們在力發展物聯網的同時,只有對其安全問題與解決對策的給予更夠的重視,加大相關研究的力度,才能確保物聯網的健康、可持續發展。

參考文獻

[1]彭勇,謝豐,郭曉靜,等.物聯網安全問題對策研究[J].信息網絡安全,2011(10):4-6.

[2]呂方興.物聯網面臨的主要安全問題[J].科技視界,2012(19):1671-68.

[3]楊文祥.物聯網安全問題分析與相關措施探討[J].中國信息界,2012(5):57-58.

篇5

[關鍵詞] 信息安全保障體系; 中國石油; 企業

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 09. 054

[中圖分類號] TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2012)09- 0089- 02

1 信息安全保障體系概述

信息安全保障(Information Assurance,IA)來源于1996年美國國防部DoD指令5-3600.1(DoDD5-3600.1)。其發展經歷了通信安全、計算機安全、信息安全直至現在的信息安全保障。內容包括保護(Protection)、檢測(Detection)、響應(Response)、恢復(Recovery) 4個環節,即PDRR模型。

信息安全保障體系分為人員體系、技術體系和管理體系3個層面,人員體系包括安全人員的崗位與職責、全體工作人員的安全管理兩部分。技術體系由本地計算環境、區域邊界、網絡基礎設施及支撐性基礎設施組成。管理體系包括建立完善的信息安全管理體系、構建自上而下的各級信息安全管理組織架構、制定信息安全方針與信息安全策略及完善信息安全管理制度4個板塊。通過縱深防御的多層防護,多處設置保護機制,抵御通過內部或外部從多點向信息系統發起的攻擊,將信息系統的安全風險降低到可以接受的程度。

2 國外信息安全保障體系建設

美國的信息化程度全球最高,在信息技術的主導權和網絡上的話語權等方面占據先天優勢,他們在信息安全保障體系建設以及政策支持方面也走在全球的前列。美國政府先后了一系列政策戰略報告,將信息安全由“政策”、“計劃”上升到“國家戰略”及“國際戰略”的高度。美國國土安全局是美國信息安全管理的最高權力機構,其他負責信息安全管理和執行的機構有國家安全局、聯邦調查局、國防部、商務部等,主要根據相應的方針和政策結合自己部門的情況實施信息安全保障工作。

其他國家也都非常重視信息安全保障工作。構建可信的網絡,建設有效的信息安全保障體系,實施切實可行的信息安全保障措施已經成為世界各國信息化發展的主要需求。信息化發展比較好的發達國家,如俄、德、日等國家都已經或正在制定自己的信息安全發展戰略和發展計劃,確保信息安全沿著正確的方向發展,在信息安全領域不斷進行著積極有益的探索。

3 國內信息安全保障體系建設

我國信息化安全保障體系建設相對于發達國家起步較晚,2003年9月,中央提出要在5年內建設中國信息安全保障體系。2006年9月,“十一五”發展綱要提出科技“支撐發展”的重要思想,提出要提高我國信息產業核心技術自主開發能力和整體水平,初步建立有中國特色的信息安全保障體系。2007年7月20日,“全國重要信息系統安全等級保護定級工作電視電話會議”召開,標志著信息安全等級保護工作在全國范圍內的開展與實施。2011年3月《我國國民經濟和社會發展十二五規劃綱要》明確提出加強網絡與信息安全保障工作。通過一系列的文件要求,不斷完善與提升我國的信息安全體系,強調信息安全的重要性。

我國信息安全保障體系建設主要包括:① 加快信息安全立法、建立信息安全法制體系,做到有法可依,有法必依。② 建立國家信息安全組織管理體系,加強國家職能,建立職能高效、職責分工明確的行政管理和業務組織體系,建立信息安全標準和評價體系。③ 建立國家信息安全技術保障體系,使用科學技術,實施安全的防護保障。④ 在技術保障體系下,建設國家信息安全保障基礎設施。⑤ 建立國家信息安全經費保障體系,加大信息安全投入。⑥ 高度重視人才培養,建立信息安全人才培養機制。

我國通過近幾年的努力,信息安體保障體系取得了長足發展,2002年成立了全國信息安全標準化技術委員會,不斷完善信息安全標準。同時在互聯網管理、信息安全測評認證、信息安全等級保護工作等方面取得了實質性進展,但CPU芯片、操作系統與數據庫、網關軟件仍大多依賴進口,受制于人。

4 企業信息安全保障體系建設

中國石油集團公司信息化建設在我國大型企業中處于領先地位,在國資委歷年信息化評比中,都名列前茅,“十一五”期間,公司將企業信息安全保障體系建設納入信息化整體規劃中,并逐步實施。其中涉及管理類項目3個,控制類項目3個,技術類項目5個。

管理類項目包括信息安全組織完善、信息安全運行能力建設、風險評估能力建設3個項目。信息安全組織完善是指完善信息安全的決策、管理與技術服務組織,合理配置崗位并明確職責,建立完備的管理流程,為信息安全建設與運行提供組織保障。信息安全運行能力建設內容包括建立統一、完備的信息安全運行維護流程及組織IT運行維護人員信息安全技能培訓,較快形成基本的信息安全運行能力。風險評估能力建設是指通過建立風險評估規范及實施團隊,提高信息安全風險自評估能力和風險管理能力,強化保障體系的有效性。

信息安全控制類項目涉及信息安全制度與標準完善、基礎設施安全配置規范開發、應用系統安全合規性實施3個項目。信息安全制度與標準完善包括:① 初步構建了制度和標準體系,了《信息系統安全管理辦法》及系統定級實施辦法。② 建立和完善了信息系統安全管理員制度,開展了信息安全培訓。③ 跟蹤國家信息安全等級保護政策,開展信息系統安全測評方法研究等,規范了信息系統安全管理流程,提升安全運行能力。基礎設施安全配置規范開發目標是制定滿足安全域和等級保護要求的信息技術基礎設施安全配置規范,提高信息技術基礎設施的安全防護能力。應用系統安全合規性實施是提供專業的信息安全指導與服務,支持國家等級保護、中國石油內部控制等制度的實施,使信息化建設與應用滿足合規性要求。

信息安全技術類項目由身份管理與認證、網絡安全域實施、桌面安全管理、系統災難恢復、信息安全運行中心5個項目組成。身份管理與認證是指建成集中身份管理與統一認證平臺,實現關鍵和重要系統的用戶身份認證,提高用戶身份管理效率,保證系統訪問的安全性。網絡安全域包括廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3項內容。廣域網邊界防護是指將全國各地的中國石油單位的互聯網集中統一到16個區域網絡中心,員工受控訪問互聯網資源,并最終實現實名制上網。廣域網域間與數據中心防護項目指建立。區域間訪問與防護標準、數據中心防護標準。廣域網域內防護將分離其他網絡并制定訪問策略,完善域內安全監控手段和技術,規范域內防護標準。桌面安全管理項目包括防病毒、補丁分發、端點準入、后臺管理、電子文檔保護和信息安全等級保護綜合管理6個子系統。系統災難恢復包括:① 對數據中心機房進行了風險評估,提出了風險防范和改進措施。② 對已上線的18個信息系統進行業務影響分析,確定了災難恢復關鍵指標。③ 制定整體的災備策略和災難恢復系統方案。信息安全運行中心旨在形成安全監控信息匯總樞紐和信息安全事件協調處理中心,提高對信息安全事件的預警和響應能力。

5 存在問題及建議

中國石油作為國資委超大型企業和能源工業龍頭企業,集團領導和各級領導,一貫重視信息安全工作,在落實等級保護制度,加強信息安全基礎設施建設,深入開展信息安全戰略、策略研究等方面,都取得的豐碩成果,值得其他企業借鑒。公司在信息安全保障體系建設中還存在以下問題:

(1) 信息安全組織體系不夠健全,不能較好地落實安全管理責任制。目前,部分二級單位沒有獨立的信息部門,更沒有負責安全體系建設、運行和管理的專職機構,安全的組織保障職能分散在各個部門,兼職安全管理員有責無權的現象普遍存在,制約了中國石油信息安全保障體系建設的發展。需強制建立從上至下完善的管理體系,明確直屬二級單位的信息部門建設,崗位設定、人員配備滿足對信息系統管理的需求。