網(wǎng)絡(luò)安全運(yùn)營(yíng)體系建設(shè)范文

時(shí)間:2023-10-09 17:31:06

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇網(wǎng)絡(luò)安全運(yùn)營(yíng)體系建設(shè),這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公文云整理的十篇范文,供你借鑒。

網(wǎng)絡(luò)安全運(yùn)營(yíng)體系建設(shè)

篇1

【關(guān)鍵詞】電子政務(wù) 信息安全 體系建設(shè)

當(dāng)前我國(guó)交通電子政務(wù)實(shí)施過(guò)程的兩大矛盾的解決,依賴于安全、穩(wěn)定、可靠的交通運(yùn)輸電子政務(wù)平臺(tái)信息安全保障體系。對(duì)于電子政務(wù)平臺(tái)實(shí)施過(guò)程中所面臨的信息安全保障問(wèn)題,我國(guó)早在2003年9月頒發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》中明確提出了建立等級(jí)保護(hù)制度和風(fēng)險(xiǎn)管理體系的要求。2004年11月,公安部等國(guó)家四部委聯(lián)合推出信息安全等級(jí)保護(hù)要求、測(cè)評(píng)準(zhǔn)則和實(shí)施指南,為政務(wù)領(lǐng)域進(jìn)一步建立政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)管理體系提供了技術(shù)基礎(chǔ)和指導(dǎo)。交通運(yùn)輸部也于2008年12月頒布的《交通運(yùn)輸電子政務(wù)網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)技術(shù)指南》中對(duì)交通電子政務(wù)平臺(tái)的安全保障體系作了詳細(xì)的技術(shù)規(guī)范。

隨著交通政府機(jī)構(gòu)的信息安全基礎(chǔ)建設(shè)日趨完善,建立一套信息安全管理平臺(tái),既滿足電子政務(wù)平臺(tái)的開(kāi)放性和可訪問(wèn)性,又保證電子政務(wù)平臺(tái)的安全性,也日益迫切。交通電子政務(wù)信息安全保障體系可從以下幾個(gè)角度進(jìn)行充分構(gòu)建:

1信息安全保障體系及其基本要求

信息安全保障體系是基于PKI體系而開(kāi)發(fā)的為多個(gè)應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證、訪問(wèn)控制、應(yīng)用審計(jì)和遠(yuǎn)程接入的應(yīng)用安全網(wǎng)關(guān)系統(tǒng),它可以將不同地理位置、不同基礎(chǔ)設(shè)施(主機(jī)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等)中分散且海量的安全信息進(jìn)行樣式化、匯總、過(guò)濾和關(guān)聯(lián)分析,形成基于基礎(chǔ)設(shè)施與域的統(tǒng)一等級(jí)的威脅與風(fēng)險(xiǎn)管理,并依托安全知識(shí)庫(kù)和工作流程驅(qū)動(dòng),對(duì)威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理。信息安全保障體系的基本要求主要體現(xiàn)在以下幾個(gè)方面:

1)保密性。主要體現(xiàn)在誰(shuí)能擁有信息,如何保證秘密和敏感信息僅為授權(quán)者享有。

2)完整性。主要體現(xiàn)在擁有的信息是否正確以及如何保證信息從真實(shí)的信源發(fā)往真實(shí)的信宿,傳輸、存儲(chǔ)、處理中未被刪改、增添、替換。

3)可用性。主要體現(xiàn)在信息和信息系統(tǒng)是否能夠使用以及如何保證信息和信息系統(tǒng)隨時(shí)可為授權(quán)者提供服務(wù)而不被非授權(quán)者濫用。

4)可控性。主要體現(xiàn)在是否能夠監(jiān)控管理信息和系統(tǒng)以及如何保證信息和信息系統(tǒng)的授權(quán)認(rèn)證和監(jiān)控管理。

5)不可否認(rèn)性。主要體現(xiàn)在信息行為人為信息行為承擔(dān)責(zé)任,保證信息行為人不能否認(rèn)其信息行為。

總之,信息安全保障體系的基本要求主要從技術(shù)和管理兩個(gè)層面得以實(shí)現(xiàn)。技術(shù)層面在實(shí)現(xiàn)信息資源的公開(kāi)性、共享性和可訪問(wèn)性的同時(shí),通過(guò)主機(jī)安全、網(wǎng)絡(luò)安全、物理安全、數(shù)據(jù)安全和應(yīng)用安全等技術(shù)要素保障信息的安全性。管理層面則可通過(guò)安全管理機(jī)制、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理以及系統(tǒng)運(yùn)營(yíng)管理等規(guī)范化機(jī)制得以保障信息的安全性。

2交通電子政務(wù)平臺(tái)信息安全保障體系的構(gòu)建

交通電子政務(wù)平臺(tái)的信息安全保障體系,應(yīng)該由組織體系、技術(shù)體系、運(yùn)營(yíng)體系、策略體系和保障對(duì)象體系等共同組成。

2.1安全組織體系。政府高度重視交通運(yùn)輸信息化工作的同時(shí),堅(jiān)持把“積極防御,綜合防范”放在優(yōu)先位置,首先要求成立專門的信息安全領(lǐng)導(dǎo)小組。信息安全領(lǐng)導(dǎo)小組可由交通主管領(lǐng)導(dǎo)擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng)主管信息安全工作,下設(shè)信息安全工作組,各管理部門負(fù)責(zé)人、業(yè)務(wù)部門負(fù)責(zé)人為成員。

2.2安全技術(shù)體系。交通電子政務(wù)平臺(tái)的安全技術(shù)體系可搭建專業(yè)的安全管理運(yùn)營(yíng)中心,并從基礎(chǔ)設(shè)施安全和應(yīng)用安全兩個(gè)方面去搭建安全技術(shù)支撐體系。

2.3安全運(yùn)營(yíng)體系。交通電子政務(wù)的安全運(yùn)營(yíng)體系一般可由安全體系推廣與落實(shí)、項(xiàng)目建設(shè)的安全管理、安全風(fēng)險(xiǎn)管理與控制和日常安全運(yùn)行與維護(hù)四個(gè)部分組成。安全運(yùn)營(yíng)體系是一個(gè)完整的過(guò)程體系,在交通電子政務(wù)平臺(tái)的整個(gè)過(guò)程中,正常的運(yùn)作流程,其信息流遵循自上而下的流程,即交通上級(jí)部門根據(jù)電子政務(wù)平臺(tái)信息安全需求的目標(biāo)、規(guī)劃和控制要求做計(jì)劃,下級(jí)交通部門根據(jù)計(jì)劃進(jìn)行執(zhí)行、檢查和改進(jìn)。而若交通電子政務(wù)平臺(tái)其安全性出現(xiàn)威脅,影響正常的運(yùn)作流程時(shí),此時(shí)信息流則遵循自下而上的逆向過(guò)程,下級(jí)交通部門向上級(jí)部門報(bào)送安全事件,上級(jí)部門根據(jù)其安全事件進(jìn)行分析、總結(jié)和改進(jìn)。

2.4安全策略體系。網(wǎng)絡(luò)安全策略是為了保護(hù)網(wǎng)絡(luò)不受來(lái)自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和,因此信息安全策略是信息安全保障體系建設(shè)和實(shí)施的指導(dǎo)和依據(jù),全面科學(xué)的安全策略體系應(yīng)貫穿信息安全保障體系建設(shè)的始終。安全策略體系,主要包含安全政策體系、安全組織體系、安全技術(shù)體系和安全運(yùn)行體系四個(gè)方面的要素,在采用各種安全技術(shù)控制措施的同時(shí),必須制訂層次化的安全策略,完善安全管理組織機(jī)構(gòu)和人員配備,提高安全管理人員的安全意識(shí)和技術(shù)水平,完善各種安全策略和安全機(jī)制,利用多種安全技術(shù)實(shí)施和網(wǎng)絡(luò)安全管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的多層保護(hù),減小網(wǎng)絡(luò)受到攻擊的可能性,防范網(wǎng)絡(luò)安全事件的發(fā)生,提高對(duì)安全事件的反應(yīng)處理能力,并在網(wǎng)絡(luò)安全事件發(fā)生時(shí)盡量減少事件造成的損失。

篇2

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性,按照網(wǎng)絡(luò)對(duì)象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)安全等幾個(gè)方面;廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個(gè)基本層面,在這個(gè)基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面,幾個(gè)層面結(jié)合在一起才能夠?yàn)橛脩籼峁┮粋€(gè)整體的安全體驗(yàn)。

電信運(yùn)營(yíng)商都比較重視網(wǎng)絡(luò)安全的建設(shè),針對(duì)網(wǎng)絡(luò)特點(diǎn)、業(yè)務(wù)特點(diǎn)建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國(guó)電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年,原中國(guó)電信意識(shí)到網(wǎng)絡(luò)安全的重要性,并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門,著力建立中國(guó)電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中,包括組織體系、策略體系和保障的機(jī)制,依據(jù)組織保障策略引導(dǎo)、保障機(jī)制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的突飛猛進(jìn),單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此,建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺(tái),也就是SOC平臺(tái),形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系,以完成中國(guó)電信互聯(lián)網(wǎng)的安全保障工作。這個(gè)系統(tǒng)通過(guò)幾個(gè)模塊協(xié)同工作,來(lái)完成對(duì)網(wǎng)絡(luò)安全事件的監(jiān)控,完成對(duì)網(wǎng)絡(luò)安全工作處理過(guò)程中的支撐,還包括垃圾郵件獨(dú)立處理的支持系統(tǒng)。

然而,網(wǎng)絡(luò)安全是相對(duì)的。網(wǎng)絡(luò)開(kāi)放互聯(lián)、設(shè)備引進(jìn)、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等,造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開(kāi)放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中,安全問(wèn)題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看,隨著攻擊技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊工具的獲得越來(lái)越容易,對(duì)網(wǎng)絡(luò)發(fā)起攻擊變得容易;而運(yùn)營(yíng)商網(wǎng)絡(luò)分布越來(lái)越廣泛,這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞,容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看,業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等,也是威脅網(wǎng)絡(luò)安全的因素。

2電信網(wǎng)絡(luò)安全面臨的形勢(shì)及問(wèn)題

2.1互聯(lián)網(wǎng)與電信網(wǎng)的融合,給電信網(wǎng)帶來(lái)新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送,信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離,完全由運(yùn)營(yíng)商控制,電信用戶無(wú)法進(jìn)入。這種機(jī)制有效地避免了電信用戶非法進(jìn)入網(wǎng)絡(luò)控制系統(tǒng),保障了網(wǎng)絡(luò)安全。IP電話引入后,需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通,電信網(wǎng)的信令網(wǎng)不再獨(dú)立于業(yè)務(wù)網(wǎng)。IP電話的實(shí)現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上,TCP/IP協(xié)議面臨的所有安全問(wèn)題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號(hào)碼不在IP包中傳送,一旦出現(xiàn)不法行為,無(wú)論是運(yùn)營(yíng)商還是執(zhí)法機(jī)關(guān),確認(rèn)這些用戶的身份需要費(fèi)一番周折,加大了打擊難度。

2.2新技術(shù)、新業(yè)務(wù)的引入,給電信網(wǎng)的安全保障帶來(lái)不確定因素

NGN的引入,徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運(yùn)營(yíng)商帶來(lái)的好處是顯而易見(jiàn)的,但從網(wǎng)絡(luò)安全方面看,如果采取的措施不當(dāng),NGN的引入可能會(huì)增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外,3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入,都有可能給電信網(wǎng)的安全帶來(lái)不確定因素。特別是隨著寬帶接入的普及,用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強(qiáng),每一個(gè)用戶都有能力對(duì)網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制,組成僵尸網(wǎng)絡(luò)群,其拒絕服務(wù)攻擊的破壞力將可能十分巨大。

2.3運(yùn)營(yíng)商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合,網(wǎng)絡(luò)出現(xiàn)重大事故時(shí)難以迅速恢復(fù)

目前,我國(guó)電信領(lǐng)域基本形成了有效的競(jìng)爭(zhēng)格局。但由于改革的配套措施還不盡完備,電信市場(chǎng)多運(yùn)營(yíng)商條件下的監(jiān)管措施還不配套,給電信網(wǎng)絡(luò)安全帶來(lái)了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面,原來(lái)由行業(yè)主管部門對(duì)電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè),現(xiàn)在由各運(yùn)營(yíng)企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè),行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問(wèn)題,不同運(yùn)營(yíng)商之間的網(wǎng)絡(luò)能否互相支援配合就存在問(wèn)題。

2.4相關(guān)法規(guī)尚不完善,落實(shí)保障措施缺乏力度

當(dāng)前我國(guó)《電信法》還沒(méi)有出臺(tái),《信息安全法》還處于研究過(guò)程中,與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備,且缺乏操作性。在規(guī)范電信運(yùn)營(yíng)企業(yè)安全保障建設(shè)方面,也缺乏法律依據(jù)。運(yùn)營(yíng)企業(yè)為了在競(jìng)爭(zhēng)中占據(jù)有利地位,更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開(kāi)發(fā)、市場(chǎng)份額和投資回報(bào),把經(jīng)濟(jì)效益放在首位,網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運(yùn)行維護(hù)管理等相對(duì)滯后。

3電信網(wǎng)絡(luò)安全防護(hù)的對(duì)策思考

強(qiáng)化電信網(wǎng)絡(luò)安全,應(yīng)做到主動(dòng)防護(hù)與被動(dòng)監(jiān)控、全面防護(hù)與重點(diǎn)防護(hù)相結(jié)合,著重考慮以下幾方面。

3.1發(fā)散性的技術(shù)方案設(shè)計(jì)思路

在采用電信行業(yè)安全解決方案時(shí),首先需要對(duì)關(guān)鍵資源進(jìn)行定位,然后以關(guān)鍵資源為基點(diǎn),按照發(fā)散性的思路進(jìn)行安全分析和保護(hù),并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個(gè)統(tǒng)一規(guī)范的安全系統(tǒng),使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全要基于以下幾點(diǎn)考慮:控制不同的訪問(wèn)者對(duì)網(wǎng)絡(luò)和設(shè)備的訪問(wèn);劃分并隔離不同安全域;防止內(nèi)部訪問(wèn)者對(duì)無(wú)權(quán)訪問(wèn)區(qū)域的訪問(wèn)和誤操作。可以按照網(wǎng)絡(luò)區(qū)域安全級(jí)別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域,即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域,在這兩大區(qū)域之間需要進(jìn)行安全隔離。同時(shí),應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和監(jiān)控需要,與實(shí)際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機(jī)構(gòu)組織形式進(jìn)行密切結(jié)合,在系統(tǒng)中建立一個(gè)完善的安全體系,包括企業(yè)級(jí)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、入侵檢測(cè)和防御,系統(tǒng)訪問(wèn)控制,網(wǎng)絡(luò)入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強(qiáng)系統(tǒng)的總體可控性。

3.3網(wǎng)絡(luò)層方案配置

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺(tái)專用的安全工作站安裝入侵檢測(cè)產(chǎn)品,將工作站直接連接到主干交換機(jī)的監(jiān)控端口(SPANPort),用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包,并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個(gè)網(wǎng)卡并分別連接到多個(gè)子網(wǎng)的入侵檢測(cè)工作站進(jìn)行相應(yīng)的監(jiān)測(cè)。

3.4主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)配置方案

由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu),兼呈局域網(wǎng)和廣域網(wǎng)的特性,是一個(gè)充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計(jì)算機(jī)網(wǎng)絡(luò),它面臨的安全性威脅來(lái)自于方方面面。每一個(gè)需要保護(hù)的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護(hù)產(chǎn)品進(jìn)行防范,并在中央安全管理平臺(tái)上部署中央管理控制臺(tái),對(duì)全部的核心防護(hù)產(chǎn)品進(jìn)行中央管理。

3.5系統(tǒng)、數(shù)據(jù)庫(kù)漏洞掃描

系統(tǒng)和數(shù)據(jù)庫(kù)的漏洞掃描對(duì)電信行業(yè)這樣的大型網(wǎng)絡(luò)而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購(gòu)買其他的系統(tǒng)/數(shù)據(jù)庫(kù)漏洞掃描工具。

參考文獻(xiàn)

[1]信息產(chǎn)業(yè)部電信管理局.電信網(wǎng)絡(luò)與信息安全管理[M].北京:人民郵電出版社,2004.

[2]陳綱.保障電信網(wǎng)絡(luò)安全的五項(xiàng)措施[N].通信產(chǎn)業(yè)報(bào),2003-9-28.

篇3

隨著4G通信技術(shù)的不斷發(fā)展和應(yīng)用,對(duì)于新技術(shù)革新帶來(lái)的網(wǎng)絡(luò)信息安全威脅更加突出。運(yùn)營(yíng)商在面對(duì)更多的不確定因素及威脅時(shí),如何從網(wǎng)絡(luò)信息安全管控技術(shù)上來(lái)提升安全性水平,已經(jīng)成為運(yùn)營(yíng)商提供良好服務(wù)質(zhì)量的迫切難題。為此,文章將從主要安全威脅源展開(kāi)探討,并就安全防范策略進(jìn)行研究。

關(guān)鍵詞:

運(yùn)營(yíng)商;網(wǎng)絡(luò)安全;威脅;防護(hù)策略

從3G到4G,隨著運(yùn)營(yíng)商全業(yè)務(wù)運(yùn)營(yíng)模式的不斷深入,對(duì)支撐網(wǎng)絡(luò)運(yùn)行的安全管控工程建設(shè)提出更高要求。特別是在應(yīng)用系統(tǒng)及用戶數(shù)的不斷增加,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,面對(duì)越來(lái)越多的應(yīng)用設(shè)備,其網(wǎng)絡(luò)安全問(wèn)題更加突出。2014年攜程小米用戶信息的泄露,再次聚焦網(wǎng)絡(luò)信息安全隱患威脅,也使得運(yùn)營(yíng)商在管控網(wǎng)絡(luò)安全及部署系統(tǒng)管理中,更需要從技術(shù)創(chuàng)新來(lái)滿足運(yùn)維需求。

1運(yùn)營(yíng)商面臨的主要安全威脅

對(duì)于運(yùn)營(yíng)商來(lái)說(shuō),網(wǎng)絡(luò)規(guī)模的擴(kuò)大、網(wǎng)絡(luò)用戶數(shù)的驟升,加之網(wǎng)絡(luò)分布的更加復(fù)雜,對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全等級(jí)也提出更高要求。當(dāng)前,運(yùn)營(yíng)商在加強(qiáng)網(wǎng)絡(luò)信息安全防護(hù)工作中,需要從三個(gè)方面給予高度重視:一是來(lái)自網(wǎng)絡(luò)系統(tǒng)升級(jí)改造而帶來(lái)的新威脅。從傳統(tǒng)的網(wǎng)絡(luò)系統(tǒng)平臺(tái)到今天的4G網(wǎng)絡(luò),IMS網(wǎng)絡(luò)的商業(yè)化,對(duì)傳統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)提出新的要求,特別是基于IP的全網(wǎng)業(yè)務(wù)的開(kāi)展,無(wú)論是終端還是核心網(wǎng)絡(luò),都需要從IP化模式實(shí)現(xiàn)全面互聯(lián)。在這個(gè)過(guò)程中,對(duì)于來(lái)自網(wǎng)絡(luò)的威脅將更加分散。在傳統(tǒng)運(yùn)營(yíng)商網(wǎng)絡(luò)結(jié)構(gòu)中,其威脅多來(lái)自于末端的攻擊,而利用IGW網(wǎng)絡(luò)出口DDoS技術(shù),以及受端網(wǎng)絡(luò)防護(hù)技術(shù)就可以實(shí)現(xiàn)防范目標(biāo),或者在關(guān)口通過(guò)部署防火墻,來(lái)降低來(lái)自末端的攻擊。但對(duì)于未來(lái)全面IP化模式,各類網(wǎng)絡(luò)安全威脅將使得運(yùn)營(yíng)商業(yè)務(wù)層面受到更大范圍的攻擊,如木馬病毒、拒絕服務(wù)攻擊等等,這些新威脅成為運(yùn)營(yíng)商IP技術(shù)防范的重點(diǎn)。二是智能化終端設(shè)備的增加帶來(lái)新的隱患。從現(xiàn)代網(wǎng)絡(luò)通信終端智能化程度來(lái)看,終端的安全性已經(jīng)威脅到網(wǎng)絡(luò)平臺(tái)及業(yè)務(wù)的安全,特別是在不同接入模式、接入速度下,智能終端與相對(duì)集中的運(yùn)營(yíng)商全業(yè)務(wù)管理之間的關(guān)聯(lián)度更加緊密,一旦智能化終端存在安全隱患,即將給通信網(wǎng)絡(luò)平臺(tái)帶來(lái)致命威脅。如智能化終端利用對(duì)運(yùn)營(yíng)商業(yè)務(wù)系統(tǒng)的集中攻擊可以導(dǎo)致運(yùn)營(yíng)商服務(wù)的中斷。同時(shí),作為智能終端本身,因軟硬件架構(gòu)缺乏安全性評(píng)測(cè),在網(wǎng)絡(luò)信息完整性驗(yàn)證上存在缺陷,也可能誘發(fā)篡改威脅。如在進(jìn)行通信中對(duì)信息的竊聽(tīng)、篡改,這些安全漏洞也可能引發(fā)運(yùn)營(yíng)商網(wǎng)絡(luò)的安全威脅。三是現(xiàn)有安全防護(hù)體系及架構(gòu)存在不安全性風(fēng)險(xiǎn),特別是云技術(shù)的引入,對(duì)于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)來(lái)說(shuō),在用戶數(shù)、增值業(yè)務(wù)驟升過(guò)程中,對(duì)現(xiàn)有基礎(chǔ)設(shè)施的不可預(yù)知性問(wèn)題更加復(fù)雜。另外,在網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定上,由于缺乏對(duì)現(xiàn)階段安全威脅的全面評(píng)估,可能導(dǎo)致現(xiàn)有網(wǎng)絡(luò)體系難以適應(yīng)新領(lǐng)域、新業(yè)務(wù)的應(yīng)用,而帶來(lái)更多的運(yùn)行處理故障等問(wèn)題。

2構(gòu)建運(yùn)營(yíng)商網(wǎng)絡(luò)安全防護(hù)體系和對(duì)策

2.1構(gòu)建網(wǎng)絡(luò)安全防護(hù)統(tǒng)一管控體系

開(kāi)展網(wǎng)絡(luò)信息安全防范,要著力從現(xiàn)有運(yùn)營(yíng)商網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)類型出發(fā),根據(jù)不同功能來(lái)實(shí)現(xiàn)統(tǒng)一安全管控,促進(jìn)不同應(yīng)用系統(tǒng)及管理模式之間的數(shù)據(jù)安全交互。如對(duì)網(wǎng)絡(luò)運(yùn)維系統(tǒng)安全管理,對(duì)計(jì)費(fèi)系統(tǒng)用戶的認(rèn)證與管理,對(duì)經(jīng)營(yíng)分析系統(tǒng)的授權(quán)與審計(jì)管理,對(duì)各操作系統(tǒng)數(shù)據(jù)存儲(chǔ)的分散管控等,利用統(tǒng)一的安全管控功能模塊來(lái)實(shí)現(xiàn)集中認(rèn)證、統(tǒng)一用戶管理。對(duì)于用戶管理,可以實(shí)現(xiàn)增刪修改,并根據(jù)用戶崗位性質(zhì)來(lái)明確其角色,利用授權(quán)方式來(lái)實(shí)現(xiàn)對(duì)不同角色、不同操作權(quán)限的分配和管理;在認(rèn)證模塊,可以通過(guò)數(shù)字認(rèn)證、密碼校驗(yàn)、動(dòng)態(tài)認(rèn)證及令牌等方式來(lái)進(jìn)行;在權(quán)限管理中,對(duì)于用戶的權(quán)限是通過(guò)角色來(lái)完成,針對(duì)不同用戶,從設(shè)備用戶、用戶授權(quán)訪問(wèn)等方式來(lái)實(shí)現(xiàn)同步管理。

2.2引入虛擬化技術(shù)來(lái)實(shí)現(xiàn)集中部署

從網(wǎng)絡(luò)信息安全管控平臺(tái)來(lái)看,對(duì)于傳統(tǒng)的管控方案,不能實(shí)現(xiàn)按需服務(wù),反而增加了部署成本,降低了設(shè)備利用率。為此,通過(guò)引入虛擬化技術(shù),部署高性能服務(wù)器來(lái)完成虛擬的應(yīng)用服務(wù)器,滿足不同客戶端的訪問(wèn);對(duì)于客戶端不需要再部署維護(hù)客戶端,而是從虛擬服務(wù)器維護(hù)管理中來(lái)實(shí)現(xiàn),由此減少了不必要的維護(hù)服務(wù),確保了集中維護(hù)的便利性和有效性。另外,針對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)中的多數(shù)應(yīng)用服務(wù)器,也可以采用集中部署方式來(lái)進(jìn)行集中管理。

2.3引入RBAC角色訪問(wèn)控制模型

根據(jù)角色訪問(wèn)控制模型的構(gòu)建,可以從安全管控上,利用已知信息來(lái)賦予相應(yīng)的權(quán)限,便于正確、快速、有效的實(shí)現(xiàn)用戶特定角色的授權(quán)。同時(shí),在對(duì)RBAC模型進(jìn)行應(yīng)用中,需要就其權(quán)限賦值進(jìn)行優(yōu)化,如對(duì)層次結(jié)構(gòu)的支持,對(duì)不同用戶群組、不同用戶存在多個(gè)崗位的角色優(yōu)化,對(duì)崗位與部門之間的協(xié)同優(yōu)化,對(duì)用戶崗位與用戶權(quán)限及其所屬崗位角色的繼承關(guān)系進(jìn)行優(yōu)化等等。

2.4融合多種認(rèn)證方式來(lái)實(shí)現(xiàn)動(dòng)態(tài)管控

根據(jù)不同系統(tǒng)應(yīng)用需求,在進(jìn)行認(rèn)證管理上,可以結(jié)合用戶登錄平臺(tái)來(lái)動(dòng)態(tài)選擇。如可以通過(guò)數(shù)字認(rèn)證、WindowsKerberos認(rèn)證、動(dòng)態(tài)令牌等認(rèn)證方式。當(dāng)用戶端采用插件方式登錄時(shí),可以動(dòng)態(tài)配置key證書(shū)認(rèn)證,也可以通過(guò)短信認(rèn)證來(lái)發(fā)送相應(yīng)的口令。由于運(yùn)營(yíng)商網(wǎng)絡(luò)應(yīng)用賬戶規(guī)模較大,在進(jìn)行系統(tǒng)認(rèn)證時(shí),為了確保認(rèn)證賬戶、密碼的有效性、可靠性,通常需要客戶端向應(yīng)用服務(wù)器發(fā)送請(qǐng)求,請(qǐng)求成功后再向用戶端發(fā)送認(rèn)證密碼。

2.5做好運(yùn)營(yíng)商網(wǎng)絡(luò)安全維護(hù)管理

網(wǎng)絡(luò)信息安全威脅是客觀存在的,而做好網(wǎng)絡(luò)安全的維護(hù)管理工作,從基本維護(hù)到安全防護(hù),并從軟硬件技術(shù)完善上來(lái)提升安全水平。如對(duì)網(wǎng)絡(luò)中服務(wù)器、操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備進(jìn)行定期檢查和維護(hù),對(duì)不同網(wǎng)絡(luò)安全等級(jí)進(jìn)行有序升級(jí),增加網(wǎng)絡(luò)硬件加固設(shè)備,做好日常網(wǎng)絡(luò)維護(hù)工作。同時(shí),對(duì)于安全維護(hù)崗位人員,做好網(wǎng)絡(luò)硬件設(shè)備、網(wǎng)絡(luò)訪問(wèn)控制權(quán)限的管理,并對(duì)相關(guān)的口令及密碼進(jìn)行定期更換,提升安全防護(hù)水平。另外,運(yùn)營(yíng)商在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系上,不僅要關(guān)注網(wǎng)絡(luò)層面及應(yīng)用層的安全,還要關(guān)注用戶信息的安全,要將用戶信息納入安全管理重要任務(wù)中,切實(shí)從短信認(rèn)證、用戶實(shí)名制、用戶地理信息等個(gè)人隱私保護(hù)中來(lái)保障信息的安全、可靠。

2.6做好網(wǎng)絡(luò)安全建設(shè)與升級(jí)管理

隨著網(wǎng)絡(luò)通信新業(yè)務(wù)的不斷發(fā)展,對(duì)于網(wǎng)絡(luò)信息安全威脅更加復(fù)雜而多樣,運(yùn)營(yíng)商要著力從新領(lǐng)域,制定有效的安全防護(hù)策略,從技術(shù)創(chuàng)新上來(lái)確保信息安全。一方面做好網(wǎng)絡(luò)安全策略的優(yōu)化,從網(wǎng)絡(luò)業(yè)務(wù)規(guī)劃與管理上,制定相應(yīng)的安全標(biāo)準(zhǔn),并對(duì)各類業(yè)務(wù)服務(wù)器進(jìn)行全程監(jiān)管,確保業(yè)務(wù)從一開(kāi)始就納入安全防護(hù)體系中;另一方面注重安全技術(shù)創(chuàng)新,特別是新的網(wǎng)絡(luò)安全技術(shù)、防御機(jī)制的引入,從安全技術(shù)手段來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

3結(jié)語(yǔ)

運(yùn)營(yíng)商網(wǎng)絡(luò)安全防護(hù)工作任重道遠(yuǎn),在推進(jìn)配套體系建設(shè)上,要從安全維護(hù)的標(biāo)準(zhǔn)化、流程化,以及網(wǎng)絡(luò)安全等級(jí)制度完善上,確保各項(xiàng)安全防護(hù)工作的有效性。另外,加強(qiáng)對(duì)各類網(wǎng)絡(luò)安全應(yīng)急預(yù)案建設(shè),尤其是建立溝通全國(guó)的安全支撐體系,從統(tǒng)一管理、協(xié)同防護(hù)上來(lái)提升運(yùn)營(yíng)商的整體安全防護(hù)能力。

作者:王樹(shù)平 東野圣堯 張宇紅 單位:泰安聯(lián)通公司

參考文獻(xiàn):

[1]吳靜.關(guān)于通信系統(tǒng)風(fēng)險(xiǎn)的研究[J].數(shù)字通信,2014(3).

篇4

【關(guān)鍵詞】網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊;建設(shè)與規(guī)劃;校園網(wǎng)

1、網(wǎng)絡(luò)現(xiàn)狀

揚(yáng)州Z校擁有多個(gè)互聯(lián)網(wǎng)出口線路,分別是電信100M、電信50M、網(wǎng)通100M、聯(lián)通1G和校園網(wǎng)100M。Z校擁有多個(gè)計(jì)算環(huán)境,網(wǎng)絡(luò)核心區(qū)是思科7609的雙核心交換機(jī)組,確保了Z校校園骨干網(wǎng)絡(luò)的可用性與高冗余性;數(shù)據(jù)中心是由直連在核心交換機(jī)上的眾多服務(wù)器組成;終端區(qū)分別是教學(xué)樓、院系樓、實(shí)驗(yàn)、實(shí)訓(xùn)樓和圖書(shū)館大樓。此外,還有一個(gè)獨(dú)立的無(wú)線校園網(wǎng)絡(luò)。Z校網(wǎng)絡(luò)信息安全保障能力已經(jīng)初具規(guī)模,校園網(wǎng)絡(luò)中已部署防火墻、身份認(rèn)證、上網(wǎng)行為管理、web應(yīng)用防火墻等設(shè)備。原拓?fù)浣Y(jié)構(gòu)見(jiàn)圖1。

2、安全威脅分析

目前,Z校網(wǎng)絡(luò)安全保障能力雖然初具規(guī)模,但是,在信息安全建設(shè)方面仍然面臨諸多的問(wèn)題,如,網(wǎng)絡(luò)中缺乏網(wǎng)管與安管系統(tǒng)、對(duì)網(wǎng)絡(luò)中的可疑情況,沒(méi)有分析、響應(yīng)和處理的手段和流程、無(wú)法了解網(wǎng)絡(luò)的整體安全狀態(tài),風(fēng)險(xiǎn)管理全憑感覺(jué)等等,以上種種問(wèn)題表明,Z校需要對(duì)網(wǎng)絡(luò)安全進(jìn)行一次全面的規(guī)劃,以便在今后的網(wǎng)絡(luò)安全工作中,建立一套有序、高效和完善的網(wǎng)絡(luò)安全體系。

2.1安全設(shè)備現(xiàn)狀

Z校部署的網(wǎng)絡(luò)安全防護(hù)設(shè)備較少。在校區(qū)的互聯(lián)網(wǎng)出口處,部署了一臺(tái)山石防火墻,在WEB服務(wù)器群前面部署了一臺(tái)WEB應(yīng)用防火墻。

2.2外部網(wǎng)絡(luò)安全威脅

互聯(lián)網(wǎng)出現(xiàn)的網(wǎng)絡(luò)威脅種類繁多,外部網(wǎng)絡(luò)威脅一般是惡意入侵的網(wǎng)絡(luò)黑客。此類威脅以炫技、惡意破壞、敲詐錢財(cái)、篡改數(shù)據(jù)等為目的,對(duì)內(nèi)網(wǎng)中的各種網(wǎng)絡(luò)設(shè)備發(fā)起攻擊,網(wǎng)絡(luò)中雖然有一些基礎(chǔ)的防護(hù),但是,黑客們只要找到漏洞,就會(huì)利用內(nèi)網(wǎng)用戶作跳板進(jìn)行攻擊,最終攻破內(nèi)網(wǎng)。此類攻擊隨機(jī)性強(qiáng)、方向不確定、復(fù)雜度不斷提高、破壞后果嚴(yán)重[1]。

2.3內(nèi)部網(wǎng)絡(luò)安全威脅

內(nèi)部惡意入侵的主體是學(xué)生,還有一些網(wǎng)絡(luò)安全意識(shí)薄弱的教職工。Z校學(xué)生眾多,學(xué)生們可能本著好奇、試驗(yàn)、炫技或者惡意破壞等目的,入侵學(xué)校網(wǎng)絡(luò)[2]。Z校某些教職工也可能瀏覽掛馬網(wǎng)站或者點(diǎn)擊來(lái)歷不明的郵件,照成網(wǎng)絡(luò)堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造,以提升鏈路穩(wěn)定性,提高網(wǎng)絡(luò)的服務(wù)能力為出發(fā)點(diǎn),Z校在安全改造實(shí)施中,應(yīng)滿足如下的安全建設(shè)需求1)提升鏈路的均衡性和利用率:Z校網(wǎng)絡(luò)出口與CERNET、Internet互聯(lián),選擇了與電信和聯(lián)通兩家運(yùn)營(yíng)商合作。利用現(xiàn)有網(wǎng)絡(luò)出口鏈路資源,提升網(wǎng)絡(luò)訪問(wèn)速度,最大化保障校園網(wǎng)內(nèi)部用戶的網(wǎng)絡(luò)使用滿意度,同時(shí)又要合理節(jié)約鏈路成本,均衡使用各互聯(lián)網(wǎng)出口鏈路,是網(wǎng)絡(luò)安全建設(shè)的首要需求。2)實(shí)現(xiàn)關(guān)鍵設(shè)備的冗余性:互聯(lián)網(wǎng)邊界的下一代防火墻設(shè)備為整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備,均以NAT模式或者路由模式部署,承載了整個(gè)校園網(wǎng)的業(yè)務(wù)處理,任何一個(gè)設(shè)備出現(xiàn)問(wèn)題將直接導(dǎo)致業(yè)務(wù)不能夠連續(xù)運(yùn)行,無(wú)任何備份措施,只能替換或者跳過(guò)出故障的設(shè)備,且只能以手工方式完成切換,無(wú)論從響應(yīng)的及時(shí)性,還是從保障業(yè)務(wù)連續(xù)性的角度,都存在很大的延遲,為此需要將互聯(lián)網(wǎng)出口的下一代防火墻設(shè)備進(jìn)行雙機(jī)冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設(shè)備數(shù)量較多,需要對(duì)所有安全設(shè)備進(jìn)行統(tǒng)一日志收集、查詢工作,傳統(tǒng)單臺(tái)操作單臺(tái)部署的方式運(yùn)維效率低下,所以需要專業(yè)集中監(jiān)控、配置、管理的安全設(shè)備,統(tǒng)一對(duì)眾多安全設(shè)備進(jìn)行集中監(jiān)控、策略統(tǒng)一調(diào)度、統(tǒng)一升級(jí)備份和審計(jì)。

4、解決方案

網(wǎng)絡(luò)安全建設(shè)是一個(gè)長(zhǎng)期的項(xiàng)目,不可能一蹴而就,一步到位,網(wǎng)絡(luò)安全過(guò)程建設(shè)中,在利用學(xué)校原有設(shè)備的基礎(chǔ)上,在資金、技術(shù)成熟的條件下,逐步實(shí)施。Z校網(wǎng)絡(luò)安全建設(shè)規(guī)劃分為短期建設(shè)和長(zhǎng)期建設(shè)兩部分。

4.1短期網(wǎng)絡(luò)建設(shè)規(guī)劃

4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設(shè)計(jì)主線,從安全的角度分析各業(yè)務(wù)系統(tǒng)可能存在的安全隱患,根據(jù)應(yīng)用系統(tǒng)的特點(diǎn)和安全評(píng)估是數(shù)據(jù),劃分不同安全等級(jí)的區(qū)域[3]。通過(guò)安全區(qū)域的劃分,明確網(wǎng)絡(luò)邊界,形成清晰、簡(jiǎn)潔的網(wǎng)絡(luò)架構(gòu),實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)之間嚴(yán)格的訪問(wèn)安全互聯(lián),有效的實(shí)現(xiàn)網(wǎng)絡(luò)之間,各業(yè)務(wù)系統(tǒng)之間的隔離和訪問(wèn)控制。本次短期網(wǎng)絡(luò)建設(shè),把整個(gè)網(wǎng)絡(luò)劃分為邊界安全防護(hù)區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入?yún)^(qū)域、服務(wù)器集群區(qū)域和無(wú)線訪問(wèn)控制區(qū)域。4.1.2部署設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見(jiàn)圖2,從圖2可以看出,出口區(qū)域,互聯(lián)網(wǎng)邊界處的防火墻設(shè)備是整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備,以NAT模式或者路由模式部署,無(wú)任何備份措施,為此需要再引入一臺(tái)同型號(hào)的防火墻設(shè)備,實(shí)現(xiàn)雙機(jī)冗余部署。同理,原城市熱點(diǎn)認(rèn)證網(wǎng)關(guān)和行為管理設(shè)備需要再各補(bǔ)充一臺(tái),組成雙機(jī)冗余方案。安全管理區(qū)域根據(jù)學(xué)校預(yù)算,部署幾臺(tái)安全設(shè)備。首先,部署一臺(tái)堡壘機(jī),建立集中、主動(dòng)的安全運(yùn)維管控模式,降低人為安全風(fēng)險(xiǎn);其次,部署一臺(tái)入侵檢測(cè)設(shè)備(IDS),實(shí)時(shí)、主動(dòng)告警黑客攻擊、蠕蟲(chóng)、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量,防止在出現(xiàn)攻擊后無(wú)數(shù)據(jù)可查;再部署一臺(tái)漏洞掃描設(shè)備,對(duì)網(wǎng)絡(luò)內(nèi)部的設(shè)備進(jìn)行漏洞掃描,找出存在的安全漏洞,根據(jù)漏洞掃描報(bào)告與安全預(yù)警通告,制定安全加固實(shí)施方案,以保證各系統(tǒng)功能的正常性和堅(jiān)固性;最后,部署一臺(tái)安全審計(jì)設(shè)備(SAS),實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)的監(jiān)控。服務(wù)器集群區(qū)域,除了原有的WEB防火墻外,再部署一臺(tái)入侵防護(hù)設(shè)備(IPS),攔截網(wǎng)絡(luò)病毒、黑客攻擊、后門木馬、蠕蟲(chóng)、D.o.S等惡意流量,保護(hù)Z校的信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害,防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)[4]。

4.2長(zhǎng)期網(wǎng)絡(luò)建設(shè)規(guī)劃

網(wǎng)絡(luò)安全的防護(hù)是動(dòng)態(tài)的、整體的,病毒傳播、黑客攻擊也不是靜態(tài)的。在網(wǎng)絡(luò)安全領(lǐng)域,不存在一個(gè)能完美的防范任何攻擊的網(wǎng)絡(luò)安全系統(tǒng)。在網(wǎng)絡(luò)中添加再多的網(wǎng)絡(luò)安全設(shè)備也不可能解決所有網(wǎng)絡(luò)安全方面的問(wèn)題。想要構(gòu)建一個(gè)相對(duì)安全的網(wǎng)絡(luò)系統(tǒng),需要建立一套全方位的,從檢測(cè)、控制、響應(yīng)、管理、保護(hù)到容災(zāi)備份的安全保障體系。目前,網(wǎng)絡(luò)安全體系化建設(shè)結(jié)合重點(diǎn)設(shè)備保護(hù)的策略,再配合第三方安全廠商的安全服務(wù)是網(wǎng)絡(luò)安全建設(shè)的優(yōu)選。4.2.1網(wǎng)絡(luò)體系化建設(shè)體系化建設(shè)指通過(guò)分析網(wǎng)絡(luò)的層次關(guān)系、安全需要和動(dòng)態(tài)實(shí)施過(guò)程,建立一個(gè)科學(xué)的安全體系和模型,再根據(jù)安全體系和模型來(lái)分析網(wǎng)絡(luò)中存在的各種安全隱患,對(duì)這些安全隱患提出解決方案,最大程度解決網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)。體系化建設(shè)需要從網(wǎng)絡(luò)安全的組織體系、技術(shù)體系和管理體系三方面著手,建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構(gòu),包括崗位設(shè)置、人員錄用、離崗、考核等[5];技術(shù)體系分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)運(yùn)維管理、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等;管理體系側(cè)重于制度的梳理,包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動(dòng)的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設(shè)計(jì)網(wǎng)絡(luò)體系化建設(shè)要以組織體系為基礎(chǔ),以管理體系為保障,以技術(shù)體系為支撐[6],全局、均衡的考慮面臨的安全風(fēng)險(xiǎn),采取不同強(qiáng)度的安全措施,提出最佳解決方案。具體流程見(jiàn)圖3。體系化建設(shè)以風(fēng)險(xiǎn)評(píng)估為起點(diǎn),安全體系為核心,安全指導(dǎo)為原則,體系建設(shè)為抓手,組織和制定安全實(shí)施策略和防范措施,在建設(shè)過(guò)程中不斷完善安全體系結(jié)構(gòu)和安全防御體系,全方位、多層次滿足安全需求。

5、結(jié)語(yǔ)

從整個(gè)信息化安全體系來(lái)說(shuō),安全是技術(shù)與管理的一個(gè)有機(jī)整體,僅僅借助硬件產(chǎn)品進(jìn)行的安全防護(hù)是不完整的、有局限的。安全問(wèn)題,是從設(shè)備到人,從服務(wù)器上每個(gè)服務(wù)程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產(chǎn)品的綜合問(wèn)題,每一個(gè)環(huán)節(jié),都是邁向網(wǎng)絡(luò)安全的步驟之一。文中的研究思路、解決方案,對(duì)兄弟院校的網(wǎng)絡(luò)安全建設(shè)和改造有參考價(jià)值。

參考文獻(xiàn):

[1]王霞.數(shù)字化校園中網(wǎng)絡(luò)與信息安全問(wèn)題及其解決方案[J].科技信息,2012.7:183-184

[2]黃智勇.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2011.11:2-3

[3]徐奇.校園網(wǎng)的安全信息安全體系與關(guān)鍵技術(shù)研究[D].上海:上海交通大學(xué),2009.5:1-4

[4]張旭輝.某民辦高校網(wǎng)絡(luò)信息安全方案的設(shè)計(jì)與實(shí)現(xiàn)[D].西安:西安電子科技大學(xué),2015.10:16-17

[5]陳堅(jiān).高校校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題分析及解決方案設(shè)計(jì)[D]長(zhǎng)春:長(zhǎng)春工業(yè)大學(xué),2016.3:23-31

篇5

關(guān)鍵詞:交通運(yùn)輸;態(tài)勢(shì)感知;網(wǎng)絡(luò)安全;入侵檢測(cè)

中圖分類號(hào):U111 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006―7973(2017)06-0026-02

在四一九網(wǎng)絡(luò)安全和信息化工作座談會(huì)上提出“要以信息化推進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化,統(tǒng)籌發(fā)展電子政務(wù),構(gòu)建一體化在線服務(wù)平臺(tái),分級(jí)分類推進(jìn)新型智慧城市建設(shè),打通信息壁壘,構(gòu)建全國(guó)信息資源共享體系,利用信息化手段感知社會(huì)態(tài)勢(shì)、暢通溝通渠道、輔助科學(xué)建設(shè)”,2016年12月27日,國(guó)務(wù)院全文刊發(fā)了《“十三五”國(guó)家信息化規(guī)劃》“十大任務(wù)”中的最后一項(xiàng),健全網(wǎng)絡(luò)安全保障體系,提出“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”,再次強(qiáng)調(diào)了態(tài)勢(shì)感知的重要性。

交通運(yùn)輸行業(yè)是國(guó)家經(jīng)濟(jì)社會(huì)發(fā)展的先行官,在交通運(yùn)輸發(fā)展方面具有極其重要的作用。而交通信息化的發(fā)展對(duì)國(guó)家的戰(zhàn)略實(shí)施、行業(yè)及現(xiàn)代化治理方面具有關(guān)鍵的輔助作用。面對(duì)“十三五”期新形勢(shì)、新要求,“要以國(guó)家信息化戰(zhàn)略為引領(lǐng),強(qiáng)化信息化頂層設(shè)計(jì),實(shí)現(xiàn)行業(yè)重要信息系統(tǒng)的互聯(lián)互通;要結(jié)合行業(yè)轉(zhuǎn)型升級(jí)發(fā)展要求,推進(jìn)信息技術(shù)與行業(yè)管理和服務(wù)的深度融合;要大力促進(jìn)大數(shù)據(jù)發(fā)展應(yīng)用,深化政府與企業(yè)間合作,共同打造交通信息服務(wù)產(chǎn)業(yè)新生態(tài);要加強(qiáng)新技術(shù)應(yīng)用,強(qiáng)化網(wǎng)絡(luò)與信息安全保障體系建設(shè)?!?/p>

1 國(guó)內(nèi)互聯(lián)網(wǎng)安全背景

目前國(guó)內(nèi)的信息化水平迅速提高,為了跟上時(shí)代的步伐,傳統(tǒng)行業(yè)迅速轉(zhuǎn)型,導(dǎo)致信息化的消費(fèi)也在逐年提高。為了保證信息化水平繼續(xù)逐年穩(wěn)步提高,則必須有充分的網(wǎng)絡(luò)安全防護(hù)作為保障。2013年以來(lái),我國(guó)互聯(lián)網(wǎng)安全的整體態(tài)勢(shì)主要表現(xiàn)在三個(gè)方面:一是網(wǎng)絡(luò)總體情況比較穩(wěn)定,但類似于域名系統(tǒng)等薄弱環(huán)節(jié)仍然需要改進(jìn),無(wú)法對(duì)拒絕服務(wù)攻擊和安全漏洞進(jìn)行有效的防御。二是移動(dòng)互聯(lián)網(wǎng)快速發(fā)展,導(dǎo)致移動(dòng)互聯(lián)網(wǎng)的惡意APP迅速增多,生態(tài)污染問(wèn)題亟待解決。三是來(lái)自病毒、蠕蟲(chóng)、木馬和僵尸的威脅,頻繁的惡意程序傳播活動(dòng)將使用戶上網(wǎng)面臨的感染惡意程序風(fēng)險(xiǎn)加大。

近年來(lái),根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的安全數(shù)據(jù)分析,web端的安全形勢(shì)同樣令人堪憂。公家互聯(lián)網(wǎng)安裝狀況報(bào)告年報(bào)顯示,政府網(wǎng)站、金融行業(yè)、媒體、旅游以及網(wǎng)上交易網(wǎng)站最容易遭受不法分子攻擊,而安全漏洞往往是實(shí)施攻擊的必要條件。不法分子通過(guò)入侵網(wǎng)站違規(guī)信息,首先會(huì)導(dǎo)致政府在公眾面前的形象遭受損失,更重要的是政治風(fēng)險(xiǎn)無(wú)法避免。

2 交通運(yùn)輸行業(yè)信息安全體系構(gòu)建

網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警項(xiàng)目正是基于“監(jiān)測(cè)+響應(yīng)”的理念進(jìn)行功能設(shè)計(jì)的,能夠全面、有效、及時(shí)的向各單位提供安全預(yù)警和應(yīng)急服務(wù)。交通運(yùn)輸行業(yè)信息化建設(shè)發(fā)展是以行業(yè)信息化重點(diǎn)工程和示范試點(diǎn)工程為依托,努力實(shí)現(xiàn)交通運(yùn)輸信息化的上下貫通、左右連通和內(nèi)外融通,促進(jìn)現(xiàn)代綜合交通運(yùn)輸體系發(fā)展。交通運(yùn)輸行業(yè)有很多重要的大型數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)如路網(wǎng)監(jiān)測(cè)、救助信息、運(yùn)營(yíng)管理、物聯(lián)網(wǎng)監(jiān)控、智能交通管控等,這些大型網(wǎng)絡(luò)數(shù)據(jù)平臺(tái)的安全運(yùn)維是關(guān)系到行業(yè)穩(wěn)定發(fā)展和國(guó)計(jì)民生的重要環(huán)節(jié),必須保障其安全穩(wěn)定。

因此,必須利用先進(jìn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知策略積極構(gòu)建行業(yè)信息安全體系,通過(guò)“防護(hù)+監(jiān)測(cè)+響應(yīng)”來(lái)全方位保障網(wǎng)絡(luò)平臺(tái)安全已經(jīng)成為必行趨勢(shì)。本文就行業(yè)搭建態(tài)勢(shì)感知網(wǎng)絡(luò)平臺(tái)相關(guān)的內(nèi)容進(jìn)行了系統(tǒng)分析,對(duì)其主要技術(shù)架構(gòu)建議如下:

2.1 建設(shè)目標(biāo)及原則

(1)建設(shè)目標(biāo)。首先需要對(duì)網(wǎng)絡(luò)的骨干節(jié)點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)測(cè),一旦發(fā)現(xiàn)惡意的入侵行為或者木馬、蠕蟲(chóng)等病毒傳播,系統(tǒng)需要立即發(fā)出警報(bào)并推送給用戶;在系統(tǒng)未遭受攻擊時(shí),可以對(duì)系統(tǒng)進(jìn)行安全漏洞掃描,一旦發(fā)現(xiàn)薄弱環(huán)節(jié),同樣需要推送給用戶。隨著系統(tǒng)的不斷完善,可以對(duì)多個(gè)重點(diǎn)系統(tǒng)進(jìn)行完善的保護(hù),確保入侵行為無(wú)法奏效;同時(shí)需要對(duì)已經(jīng)阻止的入侵行為進(jìn)行分析,收集并整理出易受攻擊的時(shí)間段及系統(tǒng),有策略的加強(qiáng)局部安全防護(hù)。通過(guò)態(tài)勢(shì)感知系統(tǒng)的布置,可以對(duì)入侵行為進(jìn)行有效的防護(hù)并對(duì)網(wǎng)絡(luò)的整體安全狀況有充分的了解、為今后的信息安全策略提供有效的基礎(chǔ)性依據(jù)。

(2)建設(shè)原則。一是系統(tǒng)完整性原則,一旦安全體系建設(shè)不完整,致使不法分子有可乘之機(jī),導(dǎo)致前功盡棄。二是系統(tǒng)實(shí)用性原則,確保系統(tǒng)的有效性及可用性。三是安全目標(biāo)與效率、投入之間的平衡原則。四是系統(tǒng)動(dòng)態(tài)發(fā)展原則,安全防范體系的建設(shè)必須不斷完善和升級(jí)發(fā)展。五是利舊原則,盡量通過(guò)采集已有設(shè)備數(shù)據(jù)信息完成態(tài)勢(shì)分析。

2.2 架構(gòu)總覽

系統(tǒng)分為分析交互、大數(shù)據(jù)分析和數(shù)據(jù)采集三層。如下圖1所示:

(1) 數(shù)據(jù)采集層。使用部署在網(wǎng)絡(luò)骨干的引擎,監(jiān)控Web服務(wù)系統(tǒng)的漏洞、安全事件、系統(tǒng)配置問(wèn)題、木馬、病毒等安全威脅,并對(duì)威脅進(jìn)行采集收集。數(shù)據(jù)采集模塊采集到的各類數(shù)據(jù)可以劃分為兩種類型,第一種為高頻數(shù)據(jù),也稱大數(shù)據(jù),通過(guò)高速數(shù)據(jù)總線收集,其主要特點(diǎn)為高速、海量、異構(gòu),大數(shù)據(jù)主要包含性能及系統(tǒng)狀態(tài)數(shù)據(jù),此外還包括日志、事件、流數(shù)據(jù)等;第二種為低頻數(shù)據(jù),通過(guò)低頻數(shù)據(jù)總線進(jìn)行采集,低頻數(shù)據(jù)主要包括配置信息、資產(chǎn)信息、漏洞信息、人員信息和威脅情報(bào)等。

除此之外,數(shù)據(jù)類型還可以根據(jù)采集位置區(qū)分,一種是采集于內(nèi)網(wǎng)的內(nèi)部數(shù)據(jù),通常包含網(wǎng)絡(luò)安全數(shù)據(jù)、員工審計(jì)信息、漏洞信息等,另一種數(shù)據(jù)采集與互聯(lián)網(wǎng)出口,稱之為外部數(shù)據(jù),一般包含外部威脅等信息。

(2)大數(shù)據(jù)處理層。該模塊可以Σ杉到的海量數(shù)據(jù)進(jìn)行系統(tǒng)的分類,將其轉(zhuǎn)換為有結(jié)構(gòu)的大數(shù)據(jù)集。對(duì)于不能轉(zhuǎn)換為結(jié)構(gòu)化的數(shù)據(jù)需要添加相應(yīng)的索引,最終將兩種數(shù)據(jù)儲(chǔ)存起來(lái)以便分析交互層進(jìn)行分析。

(3)分析交互層。分析交互成主要由五個(gè)模塊組成,分別為安全監(jiān)測(cè)、態(tài)勢(shì)分析、漏洞預(yù)警、事件跟蹤及知識(shí)情報(bào)模塊??梢詫?duì)采集數(shù)據(jù)進(jìn)行科學(xué)系統(tǒng)的分析,最終轉(zhuǎn)換為有價(jià)值的信息。①安全監(jiān)測(cè)。安全監(jiān)測(cè)模塊對(duì)系統(tǒng)整體的安全防護(hù)起到支撐作用,可以對(duì)網(wǎng)絡(luò)上的重點(diǎn)系統(tǒng)、重點(diǎn)人員及重點(diǎn)目標(biāo)進(jìn)行專項(xiàng)監(jiān)測(cè)。于此同時(shí)還可以對(duì)網(wǎng)絡(luò)及系統(tǒng)的狀況進(jìn)行整體監(jiān)測(cè),如web篡改、病毒入侵、流量告警等威脅信息。該模塊不僅可以對(duì)外部系統(tǒng)威脅信息進(jìn)行監(jiān)測(cè),如果有內(nèi)部組織或人員對(duì)外部網(wǎng)絡(luò)進(jìn)行攻擊,同樣可以進(jìn)行監(jiān)測(cè)并警告。同時(shí),系統(tǒng)還具有智能過(guò)濾功能,對(duì)不重要的入侵及攻擊事件進(jìn)行過(guò)濾篩選,以便減輕服務(wù)器及維護(hù)人員的負(fù)擔(dān)。模塊最終分析形成的分析報(bào)表可以對(duì)一定時(shí)間段內(nèi)的安全事件進(jìn)行對(duì)比分析,可以讓使用者對(duì)系統(tǒng)安全進(jìn)行直觀的了解。②態(tài)勢(shì)分析。態(tài)勢(shì)分析模塊包含兩大方面,第一是宏觀分析,可以從宏觀方面分析整互聯(lián)網(wǎng)總體信息安全狀態(tài),對(duì)整個(gè)網(wǎng)絡(luò)的安全威脅進(jìn)行宏觀展示;第二是微觀分析,可以對(duì)重點(diǎn)系統(tǒng)及人員進(jìn)行詳盡的分析,并展示重點(diǎn)目標(biāo)的威脅態(tài)勢(shì)和web安全態(tài)勢(shì)等。③漏洞預(yù)警。漏洞預(yù)警模塊通過(guò)對(duì)系統(tǒng)數(shù)據(jù)全面的檢測(cè),可以提前發(fā)現(xiàn)系統(tǒng)存在的各種弱點(diǎn),包括各類網(wǎng)頁(yè)及配置漏洞,發(fā)現(xiàn)漏洞以后可以提前預(yù)警并協(xié)助用戶對(duì)漏洞進(jìn)行防護(hù),對(duì)可能遭受的威脅進(jìn)行提前感知。④事件分析。事件分析模塊可以對(duì)已發(fā)生的安全事件進(jìn)行匯總并分析,協(xié)助使用者找出重點(diǎn)威脅事件、重點(diǎn)對(duì)象及攻擊源頭。分析方法通常為異常服務(wù)分析、攻擊者分析和三元組分析。其中三元組分析是通過(guò)對(duì)攻擊事件的源IP、目的IP和事件行為進(jìn)行統(tǒng)計(jì)分析。同時(shí),系統(tǒng)應(yīng)當(dāng)支持分析提供異常服務(wù)和參與對(duì)外攻擊的主機(jī),支持分析挖掘疑似攻擊人員相關(guān)信息。

3 結(jié)語(yǔ)

綜上所述,應(yīng)用態(tài)勢(shì)感知理念搭建起來(lái)的安全架構(gòu)具有提前預(yù)知入侵、降低入侵危害等特性,行業(yè)內(nèi)各大型數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)和管理單位可以結(jié)合自身情況搭建與之相適應(yīng)的態(tài)勢(shì)感知系統(tǒng)來(lái)應(yīng)對(duì)可能面臨的入侵威脅,確保網(wǎng)絡(luò)及信息系統(tǒng)平穩(wěn)運(yùn)行,努力實(shí)現(xiàn)行業(yè)和國(guó)家《“十三五”國(guó)家信息化規(guī)劃》的宏偉目標(biāo)。

參考文獻(xiàn):

[1]劉旭東.關(guān)于網(wǎng)絡(luò)安全趨勢(shì)態(tài)勢(shì)感知的預(yù)警技術(shù)分析[J].科技創(chuàng)業(yè)月刊,2016,(29)

[2]彭毅.基于多傳感的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架結(jié)構(gòu)[J]網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016,(12)

[3]張翼鵬.分析網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)[J].通訊世界,2017,(1)

篇6

關(guān)鍵詞信息安全;PKI;CA;VPN

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來(lái)了更大的經(jīng)濟(jì)效益,但隨之而來(lái)的安全問(wèn)題也在困擾著用戶,在2003年后,木馬、蠕蟲(chóng)的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力,使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬(wàn)變的市場(chǎng),企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問(wèn)題,而其內(nèi)部的管理問(wèn)題、效率問(wèn)題、考核問(wèn)題、信息傳遞問(wèn)題、信息安全問(wèn)題等,又時(shí)刻在制約著自己,企業(yè)采用PKI技術(shù)來(lái)解決這些問(wèn)題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。

在下面的描述中,以某公司為例進(jìn)行說(shuō)明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺(tái),通過(guò)內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過(guò)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計(jì)算機(jī)在同一網(wǎng)段,通過(guò)交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過(guò)多年的積累,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目,基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析

通過(guò)對(duì)我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:

(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對(duì)數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過(guò)對(duì)現(xiàn)有的信息安全體系的分析,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:

(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的,主要工作集中于網(wǎng)絡(luò)安全,對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證,對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問(wèn)都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部,并且是通過(guò)網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對(duì)外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對(duì)信息安全造成威脅,并且可以各種更加方便的手段對(duì)信息安全造成威脅,比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問(wèn)服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過(guò)80%的信息安全隱患是來(lái)自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過(guò)程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒(méi)有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì),存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級(jí)。

已購(gòu)買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性,擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期,在規(guī)劃的過(guò)程中,就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。

4設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮,既注重技術(shù)的實(shí)現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動(dòng),都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行,這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問(wèn)題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí),優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí),對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問(wèn)題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性,尋求安全、風(fēng)險(xiǎn)、開(kāi)銷的平衡,采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費(fèi)用開(kāi)支。

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終,如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對(duì)的,需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡,通過(guò)對(duì)某公司信息化和信息安全現(xiàn)狀的分析,對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過(guò)與計(jì)算機(jī)專業(yè)公司接觸,初步確定了本次安全項(xiàng)目的內(nèi)容。通過(guò)本次安全項(xiàng)目的實(shí)施,基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書(shū)認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái),都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開(kāi)密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問(wèn)題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過(guò)建設(shè)證書(shū)認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái),能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):

身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)對(duì)方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書(shū)加密來(lái)完成。

數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。

不可抵賴性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),通過(guò)數(shù)字簽名來(lái)完成,數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過(guò)安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開(kāi)放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開(kāi)辟一條隧道,使得合法的用戶可以安全的訪問(wèn)企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過(guò)濾技術(shù),可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問(wèn)監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開(kāi)放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書(shū)認(rèn)證機(jī)構(gòu),所有下一級(jí)的組織和個(gè)人的證書(shū)由上一級(jí)的組織負(fù)責(zé)認(rèn)證,而最上一級(jí)的組織(根證書(shū))之間相互認(rèn)證,整個(gè)信任關(guān)系基本是樹(shù)狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來(lái)自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來(lái)自于企業(yè)內(nèi)部。同時(shí),由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等,因此,對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個(gè)整體,是針對(duì)客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無(wú)縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章,或是打開(kāi)文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開(kāi)計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中,加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程?;赑KI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲(chǔ)用戶的密鑰或數(shù)字證書(shū),利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書(shū)管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過(guò)程,也為本方案的實(shí)施提供了借鑒。

圖3

因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專業(yè)公司的安全服務(wù),提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí),加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個(gè)方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

也希望通過(guò)本方案的實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來(lái)自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。

篇7

關(guān)鍵詞:商業(yè)銀行 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)風(fēng)險(xiǎn)

1 城市商業(yè)銀行網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀

銀行的信息與網(wǎng)絡(luò)安全建設(shè)與銀行的整個(gè)電子化、信息化和網(wǎng)絡(luò)化密切相關(guān),把金融風(fēng)險(xiǎn)監(jiān)管現(xiàn)代化和金融電子化、信息化和網(wǎng)絡(luò)化風(fēng)險(xiǎn)的監(jiān)管密切結(jié)合起來(lái),是搞好銀行與阿絡(luò)安全建設(shè)的根本思路。目前城市商業(yè)銀行信息化安全的觀念對(duì)于網(wǎng)絡(luò)與系統(tǒng)的虛擬世界的“行為與內(nèi)容的監(jiān)管”和“大范圍的網(wǎng)絡(luò)環(huán)境的安全問(wèn)題”,考慮較少。

1.1銀行網(wǎng)絡(luò)行為和內(nèi)容的安全情況

銀行網(wǎng)絡(luò)的安全問(wèn)題實(shí)際是銀行風(fēng)險(xiǎn)監(jiān)管的問(wèn)題,銀行風(fēng)險(xiǎn)監(jiān)管既要檢查銀行和客戶人員在現(xiàn)實(shí)世界中的人與銀行業(yè)務(wù)相關(guān)的行為結(jié)果,又要檢查網(wǎng)絡(luò)虛擬世界中用戶、系統(tǒng)和的行為,實(shí)際上要對(duì)銀行監(jiān)管實(shí)行監(jiān)管現(xiàn)代化的建設(shè)和銀行信息化實(shí)行監(jiān)管。

1.2銀行業(yè)務(wù)運(yùn)營(yíng)信息化安全情況

主要涉及銀行價(jià)值管理信息系統(tǒng)、資源管理信息系統(tǒng)、銀行產(chǎn)品服務(wù)管理信息系統(tǒng)等。對(duì)于這些業(yè)務(wù)信息系統(tǒng),由于銀行系統(tǒng)有高度的安全意識(shí)銀行系統(tǒng)的安全工作開(kāi)展的較早,制定了相關(guān)的標(biāo)準(zhǔn)和規(guī)范,進(jìn)行了安全規(guī)劃與實(shí)施等。

1.3銀行網(wǎng)絡(luò)系統(tǒng)安全情況

當(dāng)前銀行網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題重要表現(xiàn)在數(shù)據(jù)大集中后的安全,其特點(diǎn)是數(shù)據(jù)服務(wù)大集中,前置通信中心強(qiáng)大的和眾多本地與遠(yuǎn)端終端的中心體系結(jié)構(gòu)。

應(yīng)該看到,電子化在給銀行帶來(lái)利益的同時(shí),也給銀行帶來(lái)了新的安全問(wèn)題。原因主要有三個(gè):伴隨金融體制改革的深入、對(duì)外開(kāi)放的擴(kuò)大,金融風(fēng)險(xiǎn)迅速增大;當(dāng)前計(jì)算機(jī)應(yīng)用日益廣泛、日趨網(wǎng)絡(luò)化,系統(tǒng)的安全性漏洞也隨之增加;計(jì)算機(jī)知識(shí)日益普及,金融網(wǎng)絡(luò)向國(guó)際化發(fā)展,計(jì)算機(jī)犯罪技術(shù)在不斷提高。

2 銀行網(wǎng)絡(luò)安全重點(diǎn)關(guān)注的方面

目前銀行用戶關(guān)注的信息化安全問(wèn)題主要是客戶隱私、用戶權(quán)益、信息內(nèi)容安全和客戶可信接入銀行網(wǎng)等問(wèn)題:

全面整合銀行信息化安全建設(shè),在此基礎(chǔ)上建立銀行信息安全保障、應(yīng)急和監(jiān)管系統(tǒng)。

以安全觀點(diǎn)再度審核銀行應(yīng)用數(shù)據(jù)大集中的安全建設(shè)問(wèn)題、專網(wǎng)與公網(wǎng)的隔離安全建設(shè)、銀行外包服務(wù)安全建設(shè)、安全檢測(cè)、監(jiān)控、審計(jì)、追蹤和定位系統(tǒng)建設(shè)、制定安全應(yīng)急標(biāo)準(zhǔn)與安全應(yīng)急培訓(xùn)。

3 安全風(fēng)險(xiǎn)分析

我們可以參考國(guó)際標(biāo)準(zhǔn)化組織ISO開(kāi)放系統(tǒng)互聯(lián)(OSI)模型,將整個(gè)銀行系統(tǒng)的安全風(fēng)險(xiǎn)統(tǒng)一劃分成五個(gè)層次,即物理層安全、網(wǎng)絡(luò)層安全、操作系統(tǒng)層安全、應(yīng)用層安全以及管理層安全。

3.1物理層安全風(fēng)險(xiǎn)分析。物理層安全包括通信線路的安全,物理設(shè)備的安全,機(jī)房的安全等。

3.2網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析。網(wǎng)絡(luò)層安全包括網(wǎng)絡(luò)層身份認(rèn)證,網(wǎng)絡(luò)資源的訪問(wèn)控制,數(shù)據(jù)傳輸?shù)谋C芎屯暾?,遠(yuǎn)程接入的安全,路由系統(tǒng)的安全等。

a數(shù)據(jù)傳輸風(fēng)險(xiǎn)分析。表現(xiàn)在重要業(yè)務(wù)數(shù)據(jù)泄漏、重要數(shù)據(jù)被破壞等,如果沒(méi)有專門的軟件或硬件對(duì)數(shù)據(jù)進(jìn)行控制,所有的廣域網(wǎng)通信都將不受限制地進(jìn)行傳輸,因此任何一個(gè)對(duì)通信進(jìn)行監(jiān)測(cè)的人都可以對(duì)通信數(shù)據(jù)進(jìn)行截取

b網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)分析。主要表現(xiàn)于銀行業(yè)務(wù)系統(tǒng)安全和互聯(lián)網(wǎng)出口的安全。

c網(wǎng)絡(luò)設(shè)備的安全風(fēng)險(xiǎn)。由于銀行專用網(wǎng)絡(luò)系統(tǒng)中使用大量的網(wǎng)絡(luò)設(shè)備,如交換機(jī)、路由器等,使得這些設(shè)備的自身安全性也會(huì)直接關(guān)系的銀行系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。

3.3系統(tǒng)層的安全風(fēng)險(xiǎn)。主要表現(xiàn)在兩方面:一是操作系統(tǒng)本身的安全漏洞和隱患;二是對(duì)操作系統(tǒng)的錯(cuò)誤配置。

3.4應(yīng)用層安全風(fēng)險(xiǎn)分析。應(yīng)用層安全是用戶采用的應(yīng)用軟件和數(shù)據(jù)庫(kù)的安全性,包括數(shù)據(jù)庫(kù)軟件、Web服務(wù)、電子郵件系統(tǒng)、域名服務(wù)系統(tǒng)、業(yè)務(wù)應(yīng)用軟件,以及其他網(wǎng)絡(luò)服務(wù)系統(tǒng)(如Telnet、FTP等)。

3.5管理層安全風(fēng)險(xiǎn)分析

管理層安全包括安全技術(shù)和設(shè)備的管理,安全管理制度的制定,部門和人員的組織規(guī)劃等。要建立完備的安全網(wǎng)絡(luò)最終要靠人來(lái)實(shí)現(xiàn),因此管理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)。因此我們有必要認(rèn)真的分析管理所帶來(lái)的安全風(fēng)險(xiǎn),并采取相應(yīng)的安全措施。

4 安全方案總體設(shè)計(jì)

4.1網(wǎng)絡(luò)安全建設(shè)原則

網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)工程,銀行網(wǎng)絡(luò)安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排,統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則進(jìn)行,采用先進(jìn)的“平臺(tái)化”建設(shè)思想,避免重復(fù)投入、建設(shè),充分考慮整體和局部的利益,堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。

在實(shí)際實(shí)施中還要按照系列基本原則進(jìn)行:系統(tǒng)性原則;簡(jiǎn)單性原則;實(shí)時(shí)、連續(xù)、安全統(tǒng)一原則;需求、風(fēng)險(xiǎn)、代價(jià)平衡原則;實(shí)用與先進(jìn)相互結(jié)合的原則;方便與安全相互統(tǒng)一原則;全面防護(hù)、突出重點(diǎn)原則;分層、分區(qū)原則;整體規(guī)劃、分布實(shí)施原則;責(zé)任明確,分級(jí)管理,聯(lián)合防護(hù)原則。

4.2網(wǎng)絡(luò)安全建設(shè)目標(biāo)

我們對(duì)于銀行網(wǎng)絡(luò)系統(tǒng)安全建設(shè)的目標(biāo)為:采用防護(hù)、檢測(cè)、反應(yīng)、恢復(fù)四方面行之有效的安全措施,建立一個(gè)全方位并易于管理的安全體系,確保銀行網(wǎng)絡(luò)系統(tǒng)安全可靠的運(yùn)行

a系統(tǒng)級(jí)安全目標(biāo)。保證操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)的安全補(bǔ)丁不斷升級(jí)、安全設(shè)置正確,防止計(jì)算機(jī)終端、服務(wù)器感染通過(guò)軟盤、光盤、網(wǎng)絡(luò)、電子郵件及其它網(wǎng)絡(luò)途徑傳播的計(jì)算機(jī)病毒。

b網(wǎng)絡(luò)級(jí)安全目標(biāo)。保證內(nèi)外網(wǎng)之間、內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域之間的安全隔離和有效的訪問(wèn)控制,保證系統(tǒng)業(yè)務(wù)敏感信息網(wǎng)絡(luò)傳輸中的機(jī)密性、完整性,保證網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)安全漏洞及時(shí)發(fā)現(xiàn)、告警,網(wǎng)絡(luò)安全狀況不斷改善,以及保證銀行網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)傳輸系統(tǒng)的高可靠性:主要指線路、設(shè)備的備份、冗余等。

c應(yīng)用級(jí)別安全目標(biāo)。防止本地用戶和遠(yuǎn)程用戶的非授權(quán)訪問(wèn)、越權(quán)訪問(wèn)和身份假冒,保證各種服務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)。

d管理級(jí)安全目標(biāo)。對(duì)安全軟硬件設(shè)備(如防殺病毒軟件、入侵檢測(cè)軟件、安全MPN設(shè)備、防火墻設(shè)備)和安全策略、安全狀況能夠集中統(tǒng)一管理、監(jiān)控、審計(jì)和響應(yīng),保證安全責(zé)任分解到人、出現(xiàn)問(wèn)題有跡可尋,加強(qiáng)管理制度和管理體系建設(shè)。

4.3整體安全設(shè)計(jì)概述

整體安全設(shè)計(jì)要最大限度保障業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)的安全,做到安全性和方便性的統(tǒng)一。

a數(shù)據(jù)庫(kù)服務(wù)器是業(yè)務(wù)系統(tǒng)中最重要的數(shù)據(jù)庫(kù)部分,它保存了所有業(yè)務(wù)交易相關(guān)的各種帳務(wù)數(shù)據(jù),因此必須對(duì)它們實(shí)行有限訪問(wèn)控制防護(hù)——配置雙機(jī)熱備防火墻系統(tǒng)。

b由于辦公機(jī)器眾多、員工的安全防范意識(shí)較差,需要與互聯(lián)網(wǎng)接入,又要直接接入OA辦公、決策等系統(tǒng),因此,辦公機(jī)器應(yīng)受到高度關(guān)注。

c由于網(wǎng)絡(luò)中設(shè)備、主機(jī)數(shù)量眾多,應(yīng)此使用日志審計(jì)系統(tǒng)收集全網(wǎng)中的安全設(shè)備、服務(wù)器的日志,進(jìn)行歸檔、分析,及時(shí)發(fā)現(xiàn)系統(tǒng)中發(fā)生的安全時(shí)間,起到事后審計(jì)的安全機(jī)制。

篇8

【關(guān)鍵詞】現(xiàn)代企業(yè) 網(wǎng)絡(luò)經(jīng)濟(jì) 影響

一、引言

隨著信息技術(shù)的發(fā)展,其在現(xiàn)代企業(yè)的應(yīng)用程度不斷加深,網(wǎng)絡(luò)經(jīng)濟(jì)隨之產(chǎn)生,在網(wǎng)絡(luò)環(huán)境中,市場(chǎng)經(jīng)濟(jì)體系以及信用體系建設(shè)發(fā)生了較大的改變,經(jīng)濟(jì)貿(mào)易活動(dòng)中有了更新的交易和結(jié)算方式,現(xiàn)代企業(yè)的運(yùn)營(yíng)管理效率也獲得了極大的提高,但與此同時(shí),網(wǎng)絡(luò)安全問(wèn)題也隨之出現(xiàn)。網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境中,經(jīng)濟(jì)主題的生產(chǎn)、交換、分配、消費(fèi)等經(jīng)濟(jì)活動(dòng)對(duì)互聯(lián)網(wǎng)絡(luò)的依賴性較強(qiáng),所以,W絡(luò)經(jīng)濟(jì)對(duì)現(xiàn)代企業(yè)的有著巨大的影響,充分利用網(wǎng)絡(luò)經(jīng)濟(jì),對(duì)于現(xiàn)代企業(yè)的發(fā)展有著重要的意義。

二、網(wǎng)絡(luò)經(jīng)濟(jì)對(duì)現(xiàn)代企業(yè)的影響分析

(一)對(duì)企業(yè)內(nèi)部管理的影響

網(wǎng)絡(luò)經(jīng)濟(jì)對(duì)企業(yè)內(nèi)部管理的影響體現(xiàn)在多個(gè)方面,從宏觀角度而言,隨著信息技術(shù)的應(yīng)用,企業(yè)的內(nèi)部的信息溝通和監(jiān)督效率獲得了極大的提高,從微觀角度來(lái)看,企業(yè)內(nèi)部多個(gè)方面的工作也逐漸趨于完善。如隨著信息技術(shù)的應(yīng)用,企業(yè)財(cái)會(huì)工作會(huì)發(fā)生較大的變化,主要表現(xiàn)為數(shù)據(jù)處理集中化、自動(dòng)化。隨著信息技術(shù)的應(yīng)用程度不斷加深,許多會(huì)計(jì)信息處理工作有計(jì)算機(jī)完成,與傳統(tǒng)手工會(huì)計(jì)工作業(yè)務(wù)處理工作相比,利用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),企業(yè)可以在短時(shí)間內(nèi)處理大量信息。而且信息技術(shù)的應(yīng)用,有助于企業(yè)內(nèi)部控制程序化。隨著信息技術(shù)的應(yīng)用程度不斷加深,企業(yè)內(nèi)部控制的內(nèi)涵和外延也會(huì)發(fā)生一定的變化,如在傳統(tǒng)財(cái)會(huì)業(yè)務(wù)開(kāi)展過(guò)程中,會(huì)計(jì)人員往往需要對(duì)憑證、賬簿以及財(cái)務(wù)報(bào)表進(jìn)行一一核查,才能確保會(huì)計(jì)信息的正確性,但是隨著網(wǎng)絡(luò)技術(shù)的應(yīng)用,利用相應(yīng)的計(jì)算機(jī)軟件,可以對(duì)各類財(cái)會(huì)信息進(jìn)行高效處理,而且出現(xiàn)差錯(cuò)的幾率也明顯降低,整個(gè)企業(yè)的財(cái)會(huì)工作更加的智能化。

(二)對(duì)企業(yè)營(yíng)銷活動(dòng)的影響

市場(chǎng)營(yíng)銷是現(xiàn)代企業(yè)推廣產(chǎn)品以及提升經(jīng)濟(jì)效益的重要舉措,而在網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境下,企業(yè)的營(yíng)銷活動(dòng)發(fā)生了很大的變化,企業(yè)的營(yíng)銷效果有了顯著的提升,但是,企業(yè)之間的競(jìng)爭(zhēng)也變得更加的劇烈。隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展,消費(fèi)者的購(gòu)買活動(dòng)發(fā)生了很大的變化,產(chǎn)品選擇更加地自由和多元,所以,企業(yè)對(duì)市場(chǎng)變化的反應(yīng)也會(huì)更加地靈敏,通過(guò)網(wǎng)絡(luò)平臺(tái),產(chǎn)品生產(chǎn)企業(yè)可以和消費(fèi)者進(jìn)行直接交流,在產(chǎn)品的輸出以及產(chǎn)品信息的反饋方面更加地迅速和直接,在網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境下,企業(yè)的營(yíng)銷活動(dòng)更加地直接,并更加具有針對(duì)性。互聯(lián)網(wǎng)的出現(xiàn),放大了口碑分享的價(jià)值,改變了消費(fèi)者的態(tài)度,重構(gòu)了消費(fèi)者的行為。例如,QQ、微信、陌陌等社交媒體的出現(xiàn),為消費(fèi)者評(píng)論信息的傳播提供了更多的傳播渠道,借助這些新渠道,企業(yè)產(chǎn)品的正面和負(fù)面信息在極短的時(shí)間內(nèi),形成幾何倍數(shù)的傳播。其他消費(fèi)者會(huì)根據(jù)購(gòu)買者對(duì)產(chǎn)品的描述和使用感受,決定自己的購(gòu)買意向,如果產(chǎn)品物有所值,那么購(gòu)后評(píng)價(jià)則會(huì)消除消費(fèi)者的購(gòu)后失衡感,反之則不然,從而對(duì)企業(yè)的營(yíng)銷活動(dòng)產(chǎn)生極大的影響。

(三)網(wǎng)絡(luò)安全問(wèn)題突出

互聯(lián)網(wǎng)的主要特點(diǎn)之一是虛擬性,網(wǎng)絡(luò)經(jīng)濟(jì)在推動(dòng)企業(yè)快速發(fā)展的同時(shí),也同樣帶來(lái)了很多安全隱患。這些隱患主要表現(xiàn)在以下幾個(gè)方:第一,信息安全風(fēng)險(xiǎn)。調(diào)查表明,在網(wǎng)絡(luò)交易活動(dòng)中,很多用戶的個(gè)人信息會(huì)被泄露,而且步不法分子還會(huì)通過(guò)其它各種渠道獲取用戶的各類信息,然后以此為基礎(chǔ)實(shí)施詐騙,很多網(wǎng)絡(luò)交易活動(dòng)參與者的個(gè)人財(cái)產(chǎn)都遭受了較大的損失。第二,信用風(fēng)險(xiǎn)。在發(fā)展網(wǎng)絡(luò)經(jīng)濟(jì)業(yè)務(wù)中,交易雙方主要通過(guò)互聯(lián)網(wǎng)交易平臺(tái)開(kāi)展交易活動(dòng),通常情況下,交易雙方不會(huì)見(jiàn)面,無(wú)法像傳統(tǒng)交易中那樣彼此雙方有較為深入的了解,所以,一旦某一方不講信用,另一方的利益則很可能受損。第三,操作風(fēng)險(xiǎn)。首先,第三方支付已成為典型的網(wǎng)絡(luò)經(jīng)濟(jì)模式,而且,隨著智能手機(jī)的普及,已由互聯(lián)網(wǎng)支付逐漸轉(zhuǎn)為移動(dòng)支付,人們不僅僅可以通過(guò)網(wǎng)絡(luò)銀行或電話銀行實(shí)現(xiàn)遠(yuǎn)程支付,而且可以通過(guò)手機(jī)銀行、藍(lán)牙以及紅外技術(shù)完成支付活動(dòng),但是,在享受新科技的同時(shí),一些用戶由于操作不熟練而而引發(fā)風(fēng)險(xiǎn)。

三、網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境下推動(dòng)企業(yè)發(fā)展策略探究

(一)進(jìn)一步完善企業(yè)內(nèi)部管理工作

在信息環(huán)境下,為了更好地做好企業(yè)內(nèi)部控制工作,企業(yè)必須加強(qiáng)信息化建設(shè),在建立內(nèi)部控制體系的過(guò)程中,必須密切聯(lián)系企業(yè)實(shí)際經(jīng)營(yíng)情況。企業(yè)必須定期對(duì)企業(yè)信息網(wǎng)路系統(tǒng)進(jìn)行檢查和維護(hù),一些特別重要的數(shù)據(jù)信息必須進(jìn)行備份處理,而且要做好相關(guān)設(shè)備的防火、防潮工作,而且,技術(shù)人員在進(jìn)行網(wǎng)絡(luò)系統(tǒng)檢修維護(hù)時(shí),必須得到上級(jí)領(lǐng)導(dǎo)的審批和確認(rèn),這樣可以有效防止程序被篡改。在信息化建設(shè)過(guò)程中,還應(yīng)該做到監(jiān)控與操作分離,強(qiáng)化系統(tǒng)內(nèi)部的相互制約,降低風(fēng)險(xiǎn)。職責(zé)分離作為內(nèi)部控制的一個(gè)重要組成部分。為了強(qiáng)化系統(tǒng)的內(nèi)部控制,可以在系統(tǒng)內(nèi)分設(shè)操作和監(jiān)控兩個(gè)崗位,對(duì)同一筆業(yè)務(wù)進(jìn)行多方備份。一旦主管人員或?qū)徲?jì)人員對(duì)一些數(shù)據(jù)產(chǎn)生懷疑時(shí),就可以利用監(jiān)控人員備份的原始數(shù)據(jù)進(jìn)行分析調(diào)查、查明真?zhèn)巍O到y(tǒng)分析、計(jì)算機(jī)操作、程序設(shè)計(jì)、數(shù)據(jù)輸入等職務(wù)應(yīng)當(dāng)分離,系統(tǒng)操作、管理和維護(hù)人員這三種不相容職務(wù)應(yīng)當(dāng)分離,互不兼任。信息系統(tǒng)各個(gè)工作人員要明確職責(zé)分工,要制定崗位責(zé)任制度,每個(gè)崗位都要得到一定的授權(quán),并用密碼進(jìn)行控制。對(duì)操作密碼要加強(qiáng)管理,指定專人負(fù)責(zé)定期更換操作密碼。

篇9

一、信息化建設(shè)發(fā)展情況

(一)組織管理工作不斷加強(qiáng)。認(rèn)識(shí)的高度決定工作的力度。我局高度重視組織各股、室、處及司法所的信息化建設(shè),并成立了信息化工作領(lǐng)導(dǎo)小組,負(fù)責(zé)全系統(tǒng)信息化領(lǐng)導(dǎo)工作,下設(shè)辦公室,負(fù)責(zé)全系統(tǒng)信息化工作的組織、協(xié)調(diào)和管理,各股室根據(jù)各自職能,具體承擔(dān)相關(guān)的信息化工作推進(jìn)職責(zé)。并制定了電子政務(wù)管理制度,門戶網(wǎng)站管理制度,局域網(wǎng)使用管理制度,信息編輯、審核、和更新制度,設(shè)備使用及維護(hù)制度等,為信息化建設(shè)的規(guī)范運(yùn)行提供了制度保障。

(二)硬件建設(shè)投入力度不斷加大。自2009年開(kāi)始,我局按照信息化建設(shè)要求,加大信息化建設(shè)資金的投入,購(gòu)置更新辦公電腦,保證局機(jī)關(guān)的日常工作的開(kāi)展。同時(shí),添置了配套使用的傳真機(jī)、掃描儀、打印機(jī)、專線電話機(jī)等現(xiàn)代化辦公設(shè)備,形成了與省市司法行政專網(wǎng)、區(qū)政府機(jī)關(guān)協(xié)同辦公網(wǎng)、互聯(lián)網(wǎng)的聯(lián)通與使用的格局。同時(shí)為各司法所配齊辦公電腦、打印機(jī)、數(shù)碼照像機(jī)等辦公設(shè)備,達(dá)到了信息化建設(shè)的高標(biāo)準(zhǔn)配置。

(三)做好網(wǎng)絡(luò)安全及設(shè)備維護(hù)。依據(jù)國(guó)家有關(guān)信息系統(tǒng)管理辦法和技術(shù)規(guī)范,認(rèn)真抓好了電子政務(wù)內(nèi)網(wǎng)(黨政網(wǎng))及局域網(wǎng)的安全保密體系建設(shè),做到了物理隔離和專機(jī)專用,安裝了防病毒系統(tǒng)、建設(shè)網(wǎng)絡(luò)信息安全監(jiān)控系統(tǒng),做到軟件及時(shí)升級(jí)、打補(bǔ)丁、更新病毒庫(kù)。使電子政務(wù)內(nèi)網(wǎng)(黨政網(wǎng))、互聯(lián)網(wǎng)可管可控,達(dá)到了網(wǎng)絡(luò)安全保密要求。全年無(wú)失泄密事件,無(wú)重要數(shù)據(jù)丟失現(xiàn)象發(fā)生。

二、信息化建設(shè)遇到的問(wèn)題

1、平臺(tái)過(guò)多,不便操作。司法行政系統(tǒng)信息化建設(shè)工作涉及司法行政基層工作信息管理平臺(tái)、刑釋解教人員信息管理系統(tǒng)、政法專網(wǎng)等多個(gè)平臺(tái),不同的信息必須通過(guò)不同的平臺(tái)進(jìn)行報(bào)送,一方面是需要切換平臺(tái),重新登錄,實(shí)際操作多有不便,另一方面是各種信息要求報(bào)送時(shí)間不統(tǒng)一,過(guò)于分散,不便操作。

2、資源無(wú)法共享,造成工作不便。目前我們的司法行政專網(wǎng)雖已建立但無(wú)法實(shí)現(xiàn)與監(jiān)獄,公安等部門的資源共享,嚴(yán)重制約了司法行政工作的有效開(kāi)展。

3、平臺(tái)復(fù)雜,操作困難。辦公人員對(duì)即將到來(lái)的信息化社會(huì)沒(méi)有充分的思想準(zhǔn)備,對(duì)其在司法行政發(fā)展進(jìn)程中所處的地位沒(méi)有充分了解,工作比較被動(dòng)。目前基層司法所的隊(duì)伍還有待壯大,現(xiàn)有的部分工作人員年齡比較大,對(duì)于電腦操作方面幾乎沒(méi)有經(jīng)驗(yàn),學(xué)習(xí)起來(lái)也十分困難,加上網(wǎng)絡(luò)平臺(tái)比較復(fù)雜,操作起來(lái)難度較大。

4、多個(gè)運(yùn)營(yíng)商,維護(hù)成本高。市局與我局局機(jī)關(guān)之間的聯(lián)絡(luò)采用的電信運(yùn)營(yíng)商,我局局機(jī)關(guān)與鄉(xiāng)鎮(zhèn)司法所之間的聯(lián)系采用的是移動(dòng)運(yùn)營(yíng)商,多個(gè)運(yùn)營(yíng)商同時(shí)使用造成了運(yùn)行成本高,運(yùn)營(yíng)商之間互相推諉,處理問(wèn)題效率不高,此外,多邊繳費(fèi),維護(hù)成本也過(guò)高。

三、信息化建設(shè)有關(guān)建議

1、加強(qiáng)宣傳,提高認(rèn)識(shí)。要加強(qiáng)信息化建設(shè)重要性的宣傳,使全系統(tǒng)人員充分認(rèn)識(shí)信息化建設(shè)是推進(jìn)司法行政事業(yè)發(fā)展的有效途徑和必然選擇,是提高司法行政工作質(zhì)量和效率,降低辦公成本的便捷途徑,是進(jìn)一步提高決策水平,更好地為民眾服務(wù),加強(qiáng)內(nèi)外部監(jiān)督的有效手段。

2、整合各平臺(tái),提高利用率。平臺(tái)多、難操作,建議將各個(gè)平臺(tái)整合到一起,盡量將報(bào)送各種信息的時(shí)間集中到一起,在一個(gè)系統(tǒng)中就能集中完成對(duì)各種信息的報(bào)送工作,這樣不僅提高了系統(tǒng)的利用率,也提高了司法行政系統(tǒng)的工作效率。

篇10

【關(guān)鍵詞】通信網(wǎng)絡(luò);因素;技術(shù);建設(shè);措施

1.通信網(wǎng)絡(luò)安全的內(nèi)涵

通信網(wǎng)絡(luò)安全是指信息安全和控制安全。其中國(guó)際標(biāo)準(zhǔn)化組織把信息安全定義為信息完整性、可用性、保密性和可靠性。而控制安全是指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問(wèn)控制。通信網(wǎng)絡(luò)的特點(diǎn)是具有開(kāi)放性、交互性和分散性,能夠?yàn)橛脩籼峁┵Y源共享、開(kāi)放、靈活和方便快速的信息傳遞、交流的方式。

2.通信網(wǎng)絡(luò)安全的現(xiàn)狀

2.1通信網(wǎng)絡(luò)發(fā)展現(xiàn)狀

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第27次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》數(shù)據(jù)顯示,截至2010年12月底,我國(guó)網(wǎng)民規(guī)模達(dá)到4.57億,較2009年底增加7330萬(wàn)人。我國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)3.03億,而網(wǎng)絡(luò)購(gòu)物用戶年增長(zhǎng)48.6%。Research艾瑞市場(chǎng)咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計(jì)數(shù)據(jù)顯示,互聯(lián)網(wǎng)遭受病毒攻擊中“瀏覽器配置被修改”占20.9%。“數(shù)據(jù)受損或丟失”18%,“系統(tǒng)使用受限”16.1%,“密碼被盜”13.1%。通過(guò)以上數(shù)據(jù)顯示,可以看出我國(guó)的通信網(wǎng)絡(luò)在飛速發(fā)展,而通信網(wǎng)絡(luò)安全問(wèn)題日益加劇,通信網(wǎng)絡(luò)安全建設(shè)仍是亟待解決的重點(diǎn)問(wèn)題。

2.2造成通信網(wǎng)絡(luò)安全問(wèn)題的因素

第一,計(jì)算機(jī)病毒。計(jì)算機(jī)病毒(Computer Virus)在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義,病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒具有復(fù)制性、破壞性和傳染性。

第二,黑客攻擊。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心和國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的調(diào)查報(bào)告數(shù)據(jù)顯示,僅在2009年我國(guó)就有52%的網(wǎng)民曾遭遇過(guò)網(wǎng)絡(luò)安全事件,而網(wǎng)民處理安全事件所支付的相關(guān)費(fèi)用就達(dá)153億元人民幣。網(wǎng)絡(luò)攻擊事件給用戶帶來(lái)了嚴(yán)重的經(jīng)濟(jì)損失,其中包括網(wǎng)絡(luò)游戲、即時(shí)通信等賬號(hào)被盜造成的虛擬財(cái)產(chǎn)損失,網(wǎng)銀密碼、賬號(hào)被盜造成的財(cái)產(chǎn)損失等。產(chǎn)生網(wǎng)絡(luò)安全事件的主因是黑客惡意攻擊。通信網(wǎng)絡(luò)是基于TCP/IP協(xié)議,而TCP/IP協(xié)議在設(shè)計(jì)初期是出于信息資源共享的目的,沒(méi)有進(jìn)行安全防護(hù)的方面的考慮,因此導(dǎo)致了通信網(wǎng)絡(luò)自身存在安全隱患,也給黑客提供了可乘之機(jī)。

第三,通信網(wǎng)絡(luò)基礎(chǔ)建設(shè)存在薄弱環(huán)節(jié)。例如通信網(wǎng)絡(luò)相關(guān)的軟硬件設(shè)施存在安全隱患。通信網(wǎng)絡(luò)運(yùn)營(yíng)商為了管理方便,會(huì)在一些軟硬件系統(tǒng)中留下遠(yuǎn)程終端的登錄控制通道,還有一些通信軟件程序在投入市場(chǎng)使用中,缺少安全等級(jí)鑒別和防護(hù)程序,因此形成了通信網(wǎng)絡(luò)漏洞,容易被不法分子利用而發(fā)起入侵網(wǎng)絡(luò)系統(tǒng)的攻擊,使通信信息遭到竊取、篡改、泄露。另外通訊信息傳輸信道也存在安全隱患,例如許多通信運(yùn)營(yíng)商采取的是普通通信線路,沒(méi)有安置電磁屏蔽,容易被不法分子利用特殊裝置對(duì)信息進(jìn)行竊取。

第四,人為因素造成的通信網(wǎng)絡(luò)安全問(wèn)題。通信網(wǎng)絡(luò)的安全高效運(yùn)行需要高素質(zhì)、高專業(yè)技術(shù)水平的人員,而目前的網(wǎng)絡(luò)管理人員的安全觀念和技術(shù)水平還有待提升。

3.解決措施

隨著我國(guó)通信網(wǎng)絡(luò)功能的不斷完善,在人們?nèi)粘I睢⑸a(chǎn)和社會(huì)經(jīng)濟(jì)發(fā)展中起到了越來(lái)越重要的作用。因此,通信網(wǎng)絡(luò)安全建設(shè)需要采用有效的措施,消除通信網(wǎng)絡(luò)的安全隱患,加強(qiáng)對(duì)非法入侵的監(jiān)測(cè)、防偽、審查、追蹤,保障通信網(wǎng)絡(luò)信息傳遞的安全性、可靠性、及時(shí)性和完整性,加強(qiáng)和完善通信線路的建立、信息傳輸全過(guò)程的安全防護(hù)措施。

3.1完善通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)

通信網(wǎng)絡(luò)的物理安全是通信網(wǎng)絡(luò)安全的基礎(chǔ),通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全主要包括:保護(hù)計(jì)算機(jī)系統(tǒng)(各種網(wǎng)絡(luò)服務(wù)器)、網(wǎng)絡(luò)設(shè)備和通信鏈路免受自然災(zāi)害、人為破壞和物理手段的攻擊,加強(qiáng)對(duì)系統(tǒng)帳戶的管理、用戶的分級(jí)管理、用戶權(quán)限的控制,以及系統(tǒng)關(guān)鍵部位的電磁保護(hù)防止電磁泄漏,同時(shí)要制定通信網(wǎng)絡(luò)安全管理制度,避免計(jì)算機(jī)控制室出現(xiàn)偷竊、破壞活動(dòng)。

3.2完善通信網(wǎng)絡(luò)安全的法制體系建設(shè)

鑒于通信網(wǎng)絡(luò)存在安全事件造成巨大經(jīng)濟(jì)財(cái)產(chǎn)損失,需要制定通信網(wǎng)絡(luò)安全的法律、法規(guī),這也是打擊網(wǎng)絡(luò)犯罪的重要手段。我國(guó)在2009年3月實(shí)行了《信息安全條例(部?jī)?nèi)審議稿)》與《電信設(shè)施保護(hù)條例(草稿)》,明確了網(wǎng)絡(luò)與信息系統(tǒng)安全、網(wǎng)絡(luò)信息服務(wù)安全、信息技術(shù)產(chǎn)品和服務(wù)等內(nèi)容,而且規(guī)范了保障電信設(shè)施建設(shè)與規(guī)劃、處理公用設(shè)施之間的相鄰關(guān)系、電信設(shè)施保護(hù)區(qū)的劃定、電信設(shè)施損壞賠償制度等方面的內(nèi)容。進(jìn)一步完善了通信網(wǎng)絡(luò)安全的法制體系,也為通信網(wǎng)絡(luò)安全運(yùn)行提供了法律依據(jù)。

3.3運(yùn)用網(wǎng)絡(luò)安全技術(shù),保障通信網(wǎng)絡(luò)安全

3.3.1保障通信網(wǎng)絡(luò)安全的技術(shù)手段

針對(duì)通信網(wǎng)絡(luò)安全問(wèn)題,采取的技術(shù)手段主要包括以下幾種?!吧矸蓁b別”、“網(wǎng)絡(luò)授權(quán)”、“數(shù)據(jù)保護(hù)”、“收發(fā)確認(rèn)”、“保證數(shù)據(jù)的完整性”、“業(yè)務(wù)流分析保護(hù)”。其中“身份鑒別”是基于身份認(rèn)證技術(shù),通過(guò)身份認(rèn)證技術(shù)可以保障信息的機(jī)密性、完整性、不可否認(rèn)性及可控性等功能特性。這幾種安全防范措施,是系統(tǒng)開(kāi)始運(yùn)行到數(shù)據(jù)傳輸,以及通訊業(yè)務(wù)完成全過(guò)程的安全防護(hù),能夠有效的保障數(shù)據(jù)傳輸?shù)陌踩?、機(jī)密性、完整性。

3.3.2保障通信網(wǎng)絡(luò)安全的技術(shù)類型

建構(gòu)防御系統(tǒng)還需要利用防火墻技術(shù)、入侵檢測(cè)技術(shù)、漏洞掃描技術(shù)等。

(1)防火墻技術(shù)

防火墻技術(shù)是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障,能夠最大限度的阻止網(wǎng)絡(luò)中的黑客入侵。

(2)入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是對(duì)防火墻技術(shù)的補(bǔ)充。防火墻技術(shù)雖然能夠保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊,但它對(duì)內(nèi)部網(wǎng)絡(luò)的一些非法活動(dòng)的監(jiān)控不夠完善。依據(jù)入侵檢測(cè)技術(shù)而應(yīng)用的IDS即入侵檢測(cè)系統(tǒng),積極主動(dòng)地對(duì)內(nèi)部攻擊、外部攻擊和誤操作的提供實(shí)時(shí)保護(hù),IDS能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前,攔截和響應(yīng)入侵,提高了信息安全性,同時(shí)也能夠主動(dòng)保護(hù)網(wǎng)絡(luò)系統(tǒng)免于計(jì)算機(jī)病毒、木馬以及黑客的攻擊。

(3)漏洞掃描技術(shù)

由于通信系統(tǒng)自身存在漏洞,需要采用漏洞掃描技術(shù)來(lái)優(yōu)化系統(tǒng)設(shè)置,針對(duì)不同系統(tǒng)軟件存在的安全漏洞下載安裝補(bǔ)丁程序,能夠及時(shí)升級(jí)網(wǎng)絡(luò)系統(tǒng)和修改軟件設(shè)計(jì)缺陷,以此提高通信網(wǎng)絡(luò)系統(tǒng)可靠性、安全性,保障通信網(wǎng)絡(luò)系統(tǒng)的運(yùn)行。

4.總結(jié)

隨著通信網(wǎng)絡(luò)在全球范圍內(nèi)的飛速發(fā)展,人類生活、工作的全部領(lǐng)域都與通信網(wǎng)絡(luò)息息相關(guān),通信網(wǎng)絡(luò)提供高效、方便、強(qiáng)大服務(wù)功能的同時(shí),其產(chǎn)生通信網(wǎng)絡(luò)安全問(wèn)題也給社會(huì)經(jīng)濟(jì)發(fā)展帶來(lái)了一定的負(fù)面影響。因此國(guó)家與相關(guān)部門要完善法律體系,依據(jù)安全技術(shù)手段,提高安全防范意識(shí),全方位的增強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)的安全、信息的安全、網(wǎng)絡(luò)系統(tǒng)的安全,促進(jìn)通信網(wǎng)絡(luò)的發(fā)展。

【參考文獻(xiàn)】