導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全體系解決方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：電子政務(wù)；信息安全； OA ERP

1.背景

隨著電子政府的飛速發(fā)展，在帶來辦公便利的同事，也使政務(wù)信息面臨前所未有的網(wǎng)絡(luò)信息安全的威脅。電子政務(wù)系統(tǒng)一旦發(fā)生信息被竊取，網(wǎng)絡(luò)癱瘓，將癱瘓政府職能的履行，對政府職能部門以及社會公眾產(chǎn)生嚴(yán)重的危害。

2.系統(tǒng)安全現(xiàn)狀

根據(jù)省電子政務(wù)內(nèi)外網(wǎng)的建設(shè)目標(biāo)和建設(shè)原則，充分利用現(xiàn)有網(wǎng)絡(luò)資源，充分整合市政府原有的辦公資源網(wǎng)，公務(wù)外網(wǎng)， 將原辦公系統(tǒng)整合到統(tǒng)一的辦公業(yè)務(wù)資源平臺上。將辦公業(yè)務(wù)資源網(wǎng)與公務(wù)外網(wǎng)、互聯(lián)網(wǎng)實施物理隔離，公務(wù)外網(wǎng)與國際互聯(lián)網(wǎng)實施邏輯隔離。

電子政務(wù)的網(wǎng)絡(luò)平臺，承載多個業(yè)務(wù)單位系統(tǒng)數(shù)據(jù)傳輸，核心交換區(qū)應(yīng)具有良好的安全可控性，實現(xiàn)各業(yè)務(wù)網(wǎng)絡(luò)的安全控制。由于安全防護(hù)為整個網(wǎng)絡(luò)提供NET、防火墻、VPN、IDS、上網(wǎng)行為管理、防病毒、防垃圾郵件等功能，因此，政府建立辦公業(yè)務(wù)資源網(wǎng)的工程雖是非涉密網(wǎng)，但安全保密仍然是工程建設(shè)的重點內(nèi)容。存在的問題如下圖：

圖2.1

(1)缺乏統(tǒng)一的訪問控制平臺，各系統(tǒng)分別管理所屬的系統(tǒng)資源，隨著用戶數(shù)增加，權(quán)限管理愈發(fā)復(fù)雜，系統(tǒng)安全難以得到充分保障；

(2)缺乏集中統(tǒng)一的訪問審計，無法進(jìn)行綜合分析，因此不能及時發(fā)現(xiàn)入侵行為；

(3)缺乏統(tǒng)一的權(quán)限管理，各應(yīng)用系統(tǒng)有一套獨(dú)立的授權(quán)管理，隨著用戶數(shù)據(jù)量的增多，角色定義的日益復(fù)雜，用戶授權(quán)的任務(wù)越來越重;

(4)缺乏統(tǒng)一內(nèi)部安全規(guī)范。為了保證生產(chǎn)、辦公系統(tǒng)的穩(wěn)定運(yùn)行，總部及各部門制定了大量的安全管理規(guī)定，這些管理規(guī)定的執(zhí)行和落實與標(biāo)準(zhǔn)的制定初衷存在一定距離。

3.網(wǎng)絡(luò)與信息安全平臺設(shè)計方案

3.1設(shè)計思路

信息保障強(qiáng)調(diào)信息系統(tǒng)整個生命周期的防御和恢復(fù)，同時安全問題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。由此形成了包括預(yù)警、保護(hù)、檢測、反應(yīng)和恢復(fù)五個環(huán)節(jié)的信息保障概念，即信息保障的WPDRR模型。

3.2 安全體系設(shè)計方案

綜合安全體系結(jié)構(gòu)主要考慮安全對象和安全機(jī)制，安全對象主要有網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)庫安全、信息安全、設(shè)備安全、信息介質(zhì)安全和計算機(jī)病毒防治等。目前，政府網(wǎng)絡(luò)中心安全設(shè)計主要包括：信息安全基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)。

3.3.1信息安全基礎(chǔ)設(shè)施設(shè)計方案

信息安全基礎(chǔ)設(shè)施總體設(shè)計方案架構(gòu)如下圖：

圖3.1 信息安全基礎(chǔ)設(shè)施設(shè)計方案

基于PKI/PMI的信任體系和授權(quán)體系提供了基本PKI數(shù)字證書認(rèn)證機(jī)制的試題身份鑒別服務(wù)，建立全系統(tǒng)范圍一致的新人基準(zhǔn)，為整個政府信息化提供支撐。

網(wǎng)絡(luò)病毒防治服務(wù)體系采取單機(jī)防病毒和網(wǎng)絡(luò)防病毒兩類相結(jié)合的形式來實施。網(wǎng)絡(luò)防病毒用來檢測網(wǎng)絡(luò)各節(jié)點病毒入侵情況，保護(hù)網(wǎng)絡(luò)操作系統(tǒng)不受病毒破壞。作為網(wǎng)絡(luò)防病毒的補(bǔ)充，在終端部署單機(jī)反病毒軟件，實現(xiàn)動態(tài)防御與靜態(tài)殺毒相結(jié)合，有效防止病毒入侵。

邊界訪問采取防火墻和網(wǎng)閘來實施。網(wǎng)閘可以切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)；對靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元；內(nèi)部用戶通過嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)。可以根據(jù)需求采取不同的方案。

3.3.2網(wǎng)絡(luò)安全防護(hù)體系設(shè)計方案

圖3.2 網(wǎng)絡(luò)安全防護(hù)體系設(shè)計方案

由于網(wǎng)絡(luò)是承載各種應(yīng)用系統(tǒng)的載體，因而網(wǎng)絡(luò)系統(tǒng)的安全是十分重要的，必須從訪問控制、入侵檢測、安全掃描、安全審計、VPN等方面來進(jìn)行網(wǎng)絡(luò)安全設(shè)計。

在應(yīng)用層，根據(jù)網(wǎng)絡(luò)的業(yè)務(wù)和服務(wù)，采用身份認(rèn)證技術(shù)、防病毒技術(shù)、網(wǎng)站監(jiān)控與恢復(fù)系統(tǒng)以及對各種應(yīng)用服務(wù)的安全性增強(qiáng)配置服務(wù)來保障網(wǎng)絡(luò)系統(tǒng)在應(yīng)用層的安全。

在應(yīng)用系統(tǒng)的開發(fā)過程中，要充分考慮到系統(tǒng)安全，采用先進(jìn)的身份認(rèn)證和加密技術(shù)，為整個系統(tǒng)提供一套完整的安全身份認(rèn)證機(jī)制，以確保每個用戶在合法的授權(quán)范圍內(nèi)對系統(tǒng)進(jìn)行相應(yīng)的操作。

3.3.3 災(zāi)難備份系統(tǒng)設(shè)計方案

災(zāi)難備份是為在生產(chǎn)中心現(xiàn)場整體發(fā)生癱瘓故障時，備份中心以適當(dāng)方式接管工作，從而保證業(yè)務(wù)連續(xù)性的一種解決方案。

備份中心具備與主中心相似的網(wǎng)絡(luò)環(huán)境，例如光纖，E3/T3，ATM，確保數(shù)據(jù)的實時備份；具備日常維護(hù)條件；與主中心相距足夠安全的距離。

當(dāng)災(zāi)難情況發(fā)生，可以立即在備份中心的備份服務(wù)器上重新啟動主中心應(yīng)用系統(tǒng)，依靠實時備份數(shù)據(jù)恢復(fù)主中心業(yè)務(wù)。

4.網(wǎng)絡(luò)架構(gòu)

針對辦公業(yè)務(wù)資源網(wǎng)和公務(wù)外網(wǎng)既要相互隔離又有數(shù)據(jù)交互的特點，在兩網(wǎng)之間部署網(wǎng)閘；為了分別保證兩網(wǎng)的安全，在核心交換區(qū)分別進(jìn)行防火墻的部署，在核心交換區(qū)和應(yīng)用服務(wù)器區(qū)分別部署IDS；建立智能安全管理中心，在辦公業(yè)務(wù)資源、公務(wù)外網(wǎng)部署流量檢測系統(tǒng)，于公務(wù)外網(wǎng)設(shè)置流量清洗系統(tǒng)，抗DDOS攻擊。在系統(tǒng)安全方面部署防病毒系統(tǒng)，另外公務(wù)外網(wǎng)部署了Web應(yīng)用防火墻、網(wǎng)頁防篡改系統(tǒng)。通過安全集成在辦公業(yè)務(wù)資源、公務(wù)外網(wǎng)各部署一套網(wǎng)絡(luò)管理平臺系統(tǒng)和安全管理平臺系統(tǒng)。為防止外來終端接入對內(nèi)部網(wǎng)絡(luò)安全的影響，將引入終端準(zhǔn)入產(chǎn)品。

5.電子政務(wù)公務(wù)外網(wǎng)安全設(shè)計總結(jié)

綜上所述，根據(jù)市政府網(wǎng)絡(luò)中心功能需求，我們在網(wǎng)絡(luò)中心建立入侵監(jiān)測系統(tǒng)、防火墻系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)管理系統(tǒng)。在通過一系列技術(shù)手段對電子政務(wù)網(wǎng)絡(luò)防護(hù)的同事，加強(qiáng)了安全管理手段。實現(xiàn)技術(shù)和行政雙重方式來維護(hù)整個系統(tǒng)的安全，在通過對網(wǎng)絡(luò)使用人員、管理人員進(jìn)行信息安全知識培訓(xùn)，有效的發(fā)揮了網(wǎng)絡(luò)安全防護(hù)效果，達(dá)到了放牧目的。

參考文獻(xiàn)：

[1]龔儉.計算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[M].東南大學(xué)出版社.     

[2]閆宏生,等.計算機(jī)網(wǎng)絡(luò)安全與防護(hù)[M].電子工業(yè)出版社.

篇2

* 從時間來看，網(wǎng)絡(luò)安全設(shè)計及解決方案往往只考慮事前防范，缺乏必要的事后追蹤及審計能力，時間層面上并沒有端到端考慮;

* 從空間來看，往往側(cè)重于考慮對來自外網(wǎng)的黑客防御，對于內(nèi)部的安全控制缺乏必要手段，空間層面沒有端到端考慮;

* 從網(wǎng)路層面來看，往往側(cè)重于業(yè)務(wù)層的安全，對網(wǎng)絡(luò)層和用戶層的安全缺乏必要關(guān)注。

IP信息網(wǎng)全面安全防護(hù)要求

從完整的安全角度來看，安全的威脅包括基礎(chǔ)網(wǎng)絡(luò)資源本身以及承載的數(shù)據(jù)兩個方面，而對安全的保障也應(yīng)該是一個從發(fā)送端到接收端的完整的端到端的安全防護(hù)模型

華為“i3安全”體系架構(gòu)

面對當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，作為“全業(yè)務(wù)和可管理網(wǎng)路”的倡導(dǎo)者、實踐者和領(lǐng)先者，華為公司以其長期的網(wǎng)絡(luò)實踐，先進(jìn)的網(wǎng)絡(luò)理念認(rèn)為在當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)環(huán)境下，需要對傳統(tǒng)的狹義網(wǎng)絡(luò)安全理念進(jìn)行重大變革，基于對當(dāng)前網(wǎng)絡(luò)發(fā)展需求的研究，開拓性地提出“i3安全”解決方案，即時間、空間、網(wǎng)絡(luò)層次三個緯度端到端集成安全體系架構(gòu)，給產(chǎn)業(yè)界和用戶一個完整清晰的網(wǎng)絡(luò)安全導(dǎo)航圖。

華為i3 安全 三維度端到端集成安全體系架構(gòu):

* i－intelligence（智能），integrated（集成），individuality（個性化）;

* 3－時間、空間及網(wǎng)絡(luò)層次三個維度的端到端（ End to End）;

* 安全－所有IP信息網(wǎng)絡(luò)的安全架構(gòu)。

網(wǎng)絡(luò)層次端到端安全理念

* 網(wǎng)絡(luò)層:保障網(wǎng)絡(luò)路由，網(wǎng)絡(luò)地址等基礎(chǔ)網(wǎng)絡(luò)的安全

* 用戶接入層:確保合法的用戶接入，訪問合法的網(wǎng)絡(luò)范圍，并保障用戶信息的隔離等用戶接入網(wǎng)絡(luò)的安全

* 業(yè)務(wù)層:保證用戶訪問內(nèi)容的合法性與安全性。

華為的“i3安全” 集成安全架構(gòu)針對傳統(tǒng)網(wǎng)絡(luò)在用戶層防范比較薄弱的缺陷，采取了大量的增強(qiáng)措施，如用戶接入認(rèn)證、地址防盜用、訪問控制等能力。

華為“i3安全”解決方案

針對安全的不同方面華為提出了相應(yīng)的解決方案，并將這些解決方案與網(wǎng)絡(luò)各層次設(shè)備進(jìn)行有機(jī)的融合，從而為用戶提供全面的端到端的集成安全服務(wù)。作為華為完整的安全體系，其網(wǎng)絡(luò)層次、時間、空間三個緯度是融合在一起密不可分的，并且體現(xiàn)在各層次的網(wǎng)絡(luò)設(shè)備中。華為路由器、以太網(wǎng)交換機(jī)、WLAN、EAS以太網(wǎng)接入服務(wù)器及Eudemon安全網(wǎng)關(guān)等基礎(chǔ)網(wǎng)絡(luò)設(shè)備提供全面的集成安全特性，并提供iTellin CAMS安全策略服務(wù)系統(tǒng)。

篇3

銳捷網(wǎng)絡(luò)基于多年行業(yè)網(wǎng)絡(luò)規(guī)劃和建設(shè)的經(jīng)驗,以及在網(wǎng)絡(luò)準(zhǔn)入安全方面深入的研究和成熟的應(yīng)用,應(yīng)對現(xiàn)有的行業(yè)網(wǎng)絡(luò)安全的挑戰(zhàn),推出了GSN全局安全網(wǎng)絡(luò)解決方案,采用用戶身份管理體系、端點安全防護(hù)體系和網(wǎng)絡(luò)通信防護(hù)體系三道防線的構(gòu)筑,實現(xiàn)了網(wǎng)絡(luò)安全的戰(zhàn)略縱深,確保了企業(yè)的網(wǎng)絡(luò)安全。

為了實現(xiàn)傳統(tǒng)網(wǎng)絡(luò)設(shè)備與專業(yè)安全系統(tǒng)的統(tǒng)一聯(lián)動,銳捷網(wǎng)絡(luò)GSN全局安全解決方案融合軟硬件于一體,通過軟件與硬件的聯(lián)動、計算機(jī)領(lǐng)域與網(wǎng)絡(luò)領(lǐng)域的結(jié)合,幫助用戶實現(xiàn)全局安全。

GSN是一套由軟件和硬件聯(lián)動的解決方案,它由后臺的管理系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、入侵檢測設(shè)備以及安全客戶端共同構(gòu)成。

第一道防線――

用戶身份管理體系

用戶身份認(rèn)證體系是GSN的第一道防線,也是整個方案的基礎(chǔ)防線,利用針對每個入網(wǎng)用戶的網(wǎng)絡(luò)準(zhǔn)入權(quán)限控制,捍衛(wèi)整個網(wǎng)絡(luò)安全體系。

GSN采用了基于802.1X協(xié)議和Radius協(xié)議的身份驗證體系,通過與安全智能交換機(jī)的聯(lián)動,實現(xiàn)對用戶訪問網(wǎng)絡(luò)的身份的控制。

通過嚴(yán)格的多元素(IP、MAC、硬盤ID、認(rèn)證交換機(jī)IP、認(rèn)證交換機(jī)端口、用戶名、密碼、數(shù)字證書)綁定措施,確保接入用戶身份的合法性。

在辦公區(qū)存在不同的業(yè)務(wù)終端PC,需要區(qū)分其訪問權(quán)限的情況下,GSN可以依照用戶身份,限制不同用戶的訪問權(quán)限,讓用戶在接入網(wǎng)絡(luò)后,只能訪問自己權(quán)限之內(nèi)的服務(wù)器,網(wǎng)絡(luò)區(qū)域等。

第二道防線――

端點安全管理體系

端點安全管理體系是GSN的第二道防線,用于加強(qiáng)第一道防線的管理的精細(xì)度,應(yīng)用于入網(wǎng)的各個客戶端PC機(jī),針對現(xiàn)有的客戶端PC機(jī)管理的常見問題,提供有效的管理功能。

非法外聯(lián)將會嚴(yán)重影響企業(yè)網(wǎng)絡(luò)的完整性,給信息安全造成重大隱患。GSN通過銳捷安全認(rèn)證客戶端與SMP系統(tǒng)的Syslog組件聯(lián)動,進(jìn)行對內(nèi)網(wǎng)客戶端PC連接互聯(lián)網(wǎng)行為的日志記錄,將用戶的用戶名、IP地址、MAC地址,用戶客戶端PC的硬盤序列號等多項內(nèi)容全部記錄下來,可以精確地定位到是哪個用戶、哪個客戶端PC在進(jìn)行互聯(lián)網(wǎng)的訪問,讓用戶無法抵賴非法外連行為。

針對常見的采用Modem進(jìn)行撥號外聯(lián)上網(wǎng)的方式,GSN解決方案提供了相應(yīng)的監(jiān)控和處理功能。用戶在進(jìn)行撥號操作時,GSN會將其內(nèi)網(wǎng)連接斷開,并向用戶提出警告,同時也會干預(yù)用戶的撥號過程,使撥號失敗。

運(yùn)行服務(wù)器方式較為隱蔽,不容易被發(fā)現(xiàn)和定位。GSN通過對PC客戶端運(yùn)行進(jìn)程的檢查,能夠立即定位服務(wù)器進(jìn)程,對用戶進(jìn)行警告并采取斷網(wǎng)等相關(guān)措施。

軟件黑白名單控制要求客戶端PC必備的軟件如防病毒軟件,以及不允許安裝的軟件如游戲軟件等,其管理措施可以通過GSN的軟件黑白名單控制功能實現(xiàn)。GSN的黑白名單功能可提供基于多個層面的檢測和控制。

通過對軟件安裝情況、進(jìn)程運(yùn)行情況、注冊表修改情況以及后臺服務(wù)運(yùn)行情況的監(jiān)控,可以對軟件的安裝和使用情況有一個詳細(xì)的了解。

同時,可依照企業(yè)的相關(guān)規(guī)定進(jìn)行處理。例如禁止運(yùn)行聊天軟件,就可以對聊天軟件進(jìn)行檢測,如果檢測到聊天軟件,則對用戶進(jìn)行提醒或者處理,如禁止其上網(wǎng),直到客戶端PC卸載或關(guān)閉聊天軟件等。

操作系統(tǒng)補(bǔ)丁/軟件強(qiáng)制更新。不安裝補(bǔ)丁的操作系統(tǒng)很可能成為網(wǎng)絡(luò)安全的漏洞,而未及時安裝補(bǔ)丁的軟件也可能成為別有用心的人發(fā)動攻擊的一個平臺。

由于安全問題的不斷涌現(xiàn),防病毒軟件的殺毒引擎和病毒庫的及時更新就顯得十分重要。

而不定期的重要應(yīng)用軟件的補(bǔ)丁,也會對業(yè)務(wù)系統(tǒng)乃至整個網(wǎng)絡(luò)的正常運(yùn)行起到關(guān)鍵的作用。如SQL Server軟件不安裝Service-Pack的情況下,很可能招致嚴(yán)重的蠕蟲病毒攻擊。

針對防病毒軟件和其他重要業(yè)務(wù)軟件的更新,GSN系統(tǒng)采用基于軟件黑白名單機(jī)制和客戶端PC修復(fù)、隔離機(jī)制共同實現(xiàn)。

目前GSN針對業(yè)界主流的十多種防病毒軟件進(jìn)行聯(lián)動檢測,支持對防病毒軟件的安裝/運(yùn)行狀態(tài)、病毒庫版本和引擎版本信息進(jìn)行檢測。

針對統(tǒng)一的重要軟件更新包下發(fā),可采用GSN的服務(wù)器主動推送的方式進(jìn)行。此措施可針對所有或某一組、某一個在線的客戶端PC進(jìn)行,統(tǒng)一下發(fā)更新包。而離線的客戶端PC將在上線之后收到更新包?？梢罂蛻舳薖C必須打上指定補(bǔ)丁后才能夠入網(wǎng)。

第三道防線――

網(wǎng)絡(luò)通信防護(hù)體系

網(wǎng)絡(luò)通信防護(hù)體系是針對前兩道防線的重要補(bǔ)充,一旦出現(xiàn)無法通過端點安全體系進(jìn)行有效處理的安全事件時,基于網(wǎng)絡(luò)安全探針――IDS提供的事件監(jiān)控,對網(wǎng)絡(luò)安全進(jìn)行保證,有效幫助用戶實現(xiàn)“無人值守”的全局安全網(wǎng)絡(luò)。

ARP欺騙的防護(hù)。面對在等行業(yè)的局域網(wǎng)絡(luò)中時常出現(xiàn)的ARP欺騙,GSN能夠通過三層網(wǎng)關(guān)設(shè)備、安全智能交換機(jī)以及客戶端Su軟件的聯(lián)動,實現(xiàn)對ARP欺騙的三重立體防御。

采用銳捷網(wǎng)絡(luò)的可信任ARP(Trusted ARP)專利技術(shù),實現(xiàn)三層網(wǎng)關(guān)設(shè)備和客戶端PC之間的聯(lián)動的可信任的ARP關(guān)系,從而保證了用戶與網(wǎng)關(guān)通信的正常。

在安全智能交換機(jī)上結(jié)合用戶認(rèn)證信息,則能夠?qū)崿F(xiàn)基于端口的ARP報文合法性檢查,基于深度檢測的硬件訪問控制列表,將所有ARP欺騙報文全部過濾,從而徹底阻止ARP欺騙的發(fā)生。

聯(lián)動的網(wǎng)絡(luò)安全事件處理

入侵檢測系統(tǒng)IDS可以監(jiān)控網(wǎng)絡(luò)中流量的情況,并針對異常的流量發(fā)起預(yù)警。IDS匯報上來的信息包含源、目的IP,但這些信息對網(wǎng)絡(luò)管理人員處理安全事件來說,并沒有太大的意義。

因為處理網(wǎng)絡(luò)安全事件一定要追根溯源,定位到機(jī)器甚至定位到人,方能徹底解決,僅僅提供IP地址是不夠的。GSN體系中的安全事件聯(lián)動解決了這個問題。

IDS作為網(wǎng)絡(luò)通信的探針,對網(wǎng)絡(luò)的流量進(jìn)行旁路監(jiān)聽,并隨時向安全策略平臺SMP上報發(fā)生的安全事件,解析IDS上報的安全事件,并通過GSN體系中每個用戶的信息來將安全事件定位到人,并根據(jù)IDS與GSN共享的事件庫,對安全事件給出建議的處理方法,或者通過預(yù)先定制好的策略來對安全事件進(jìn)行自動的處理,這就解決了在IDS檢測到安全事件后,難處理的問題。

通過RG-SMP安全管理平臺、RG-IDS入侵檢測設(shè)備、安全智能交換機(jī)和Su客戶端的聯(lián)動,實現(xiàn)了對網(wǎng)絡(luò)安全事件的檢測、分析、處理一條龍服務(wù)?；趪?yán)格的身份驗證,可以方便地將網(wǎng)絡(luò)安全事件定位到人,并自動通知和處理。

GSN針對安全事件的處理方式可以定制,管理員可在綜合評估網(wǎng)內(nèi)安全形勢的情況下,對不同等級的安全事件做出不同程度的處理。

篇4

關(guān)鍵詞信息安全；PKI；CA；VPN

1引言

隨著計算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何提高自身核心競爭力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計算機(jī)500余臺，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計算機(jī)網(wǎng)絡(luò)的安全，某公司實施了計算機(jī)網(wǎng)絡(luò)安全項目，基于當(dāng)時對信息安全的認(rèn)識和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險與需求分析3.1風(fēng)險分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營管理對計算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機(jī)網(wǎng)絡(luò)和計算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。

(2)計算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析，也可以看出：隨著計算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。

目前實施的安全方案是基于當(dāng)時的認(rèn)識進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內(nèi)部人員可以直接對重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。

美國聯(lián)邦調(diào)查局(FBI)和計算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個動態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險評估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險評估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運(yùn)用風(fēng)險評估、風(fēng)險管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險，信息安全的需求主要體現(xiàn)在如下幾點：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項防范工作，應(yīng)對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時，對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時，其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性，尋求安全、風(fēng)險、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開支。

5設(shè)計思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對的，需要在風(fēng)險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現(xiàn)狀的分析，對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計算機(jī)專業(yè)公司接觸，初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺，都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺，能夠通過這個安全平臺實現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認(rèn)自己的行為，確保通信方對自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù)，可以對多種網(wǎng)絡(luò)對象進(jìn)行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證，而最上一級的組織(根證書)之間相互認(rèn)證，整個信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對企業(yè)機(jī)密和專利信息的竊取、財務(wù)欺騙等，因此，對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進(jìn)行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?；赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中，除了工程的實施外，還應(yīng)重視以下各項工作：

(1)在初步進(jìn)行風(fēng)險分析基礎(chǔ)上，方案實施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險評估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對性和投資的回報。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

(4)在方案實施的同時，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

也希望通過本方案的實施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風(fēng)險降到最低水平。

篇5

【關(guān)鍵詞】網(wǎng)絡(luò)安全；防火墻；VPN；VLAN

一、引言

隨著電力施工企業(yè)信息化發(fā)展的不斷深入，企業(yè)對信息系統(tǒng)的依賴程度越來越高，信息與網(wǎng)絡(luò)安全直接影響到企業(yè)生產(chǎn)、經(jīng)營及管理活動，甚至直接影響企業(yè)未來發(fā)展。企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大、信息接入點增多、分布范圍廣，使信息接入點管控難度大。企業(yè)信息與網(wǎng)絡(luò)安全面臨各類威脅，筆者以構(gòu)建某電力施工企業(yè)信息與網(wǎng)絡(luò)安全體系為例，從信息安全管理、技術(shù)實施方面進(jìn)行闡述與分析，建立一套比較完整信息化安全保障體系，保障業(yè)務(wù)應(yīng)用的正常運(yùn)行。

二、企業(yè)網(wǎng)絡(luò)安全威脅問題分析

1.企業(yè)網(wǎng)絡(luò)通信設(shè)備存的安全漏洞威脅，網(wǎng)絡(luò)非法入侵者可以采用監(jiān)聽數(shù)據(jù)、嗅探數(shù)據(jù)、截取數(shù)據(jù)等方式收集信息，利用拒絕服務(wù)攻擊、篡改數(shù)據(jù)信息等方式對合法用戶進(jìn)行攻擊。

2.非法入侵用戶對網(wǎng)絡(luò)系統(tǒng)的知識結(jié)構(gòu)非常清楚，包括企業(yè)外部人員、企業(yè)內(nèi)部熟悉網(wǎng)絡(luò)技術(shù)的工作人員，利用內(nèi)部網(wǎng)絡(luò)進(jìn)行惡意操作。非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡(luò)主要采用非法授權(quán)訪問對企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行惡意操作，以達(dá)到竊取商業(yè)機(jī)密的目的；獨(dú)占網(wǎng)絡(luò)資源的方式，非業(yè)務(wù)數(shù)據(jù)流（如P2P文件傳輸與即時通訊等）消耗了大量帶寬，輕則影響企業(yè)業(yè)務(wù)無法正常運(yùn)作，重則致使企業(yè)IT系統(tǒng)癱瘓，對內(nèi)部網(wǎng)絡(luò)系統(tǒng)造成損壞。

3.惡意病毒程序和代碼包括計算機(jī)病毒、蠕蟲、間諜軟件、邏輯復(fù)制炸彈和一系列未經(jīng)授權(quán)的程序代碼和軟件系統(tǒng)。病毒感染可能造成網(wǎng)絡(luò)通信阻塞、文件系統(tǒng)破壞，系統(tǒng)無法提供服務(wù)甚至重要數(shù)據(jù)丟失。病毒的傳播非常迅速；蠕蟲是通過計算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓；間諜軟件在用戶不知情的情況下進(jìn)行非法安裝，并把截獲的機(jī)密信息發(fā)送給第三者。

4.隨著企業(yè)信息化平臺、一體化系統(tǒng)投入運(yùn)行，大量重要數(shù)據(jù)和機(jī)密信息都需要通過內(nèi)部局域網(wǎng)和廣域網(wǎng)來傳輸，信息被非法截取、篡改而造成數(shù)據(jù)混亂和信息錯誤的幾率加大；當(dāng)非法入侵者以不正當(dāng)?shù)氖侄潍@得系統(tǒng)授權(quán)后。可以對企業(yè)內(nèi)部網(wǎng)絡(luò)的信息資源執(zhí)行非法操作，包括篡改數(shù)據(jù)信息、復(fù)制數(shù)據(jù)信息、植入惡意代碼、刪除重要信息等，甚至竊取用戶的個人隱私信息，阻止合法用戶的正常使用，造成破壞和損失。保護(hù)信息資源，保證信息的傳遞成為企業(yè)信息安全中重要的一環(huán)。

三、企業(yè)信息與網(wǎng)絡(luò)安全策略

結(jié)合電力施工企業(yè)業(yè)務(wù)廣范圍大特點，提出一套側(cè)重網(wǎng)絡(luò)準(zhǔn)入控制的信息安全解決方案，保障企業(yè)網(wǎng)絡(luò)信息安全。

1.遠(yuǎn)程接入VPN安全解決方案

施工企業(yè)擁有多個項目部，地域范圍廣，項目部、出差人員安全訪問企業(yè)信息系統(tǒng)是企業(yè)信息化的要求，確保網(wǎng)絡(luò)連接間保密性是必要的。采用SSL VPN安全網(wǎng)關(guān)旁路部署在網(wǎng)絡(luò)內(nèi)部，通過設(shè)置用戶級別、權(quán)限來屏蔽非授權(quán)用戶的訪問。訪問內(nèi)部網(wǎng)絡(luò)資源的移動、項目用戶先到SSL VPN上進(jìn)行認(rèn)證，根據(jù)認(rèn)證結(jié)果分配相應(yīng)權(quán)限，實現(xiàn)對內(nèi)部資源的訪問控制。

2.邊界安全解決方案

在系統(tǒng)互聯(lián)網(wǎng)出口部署防火墻（集成防病毒和網(wǎng)絡(luò)安全監(jiān)控模塊）和IPS設(shè)備，同時通過防火墻和IPS將企業(yè)內(nèi)部網(wǎng)、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開，并通過制定相應(yīng)的安全規(guī)則，以實現(xiàn)各區(qū)域不同級別、不同層次的安全防護(hù)。邊界防護(hù)建立以防火墻為核心，郵件、WEB網(wǎng)關(guān)設(shè)備、IDS及IPS等設(shè)備為輔的邊界防護(hù)體系。

（1）通過防火墻在網(wǎng)絡(luò)邊界建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流以及對外屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，控制非法訪問、增強(qiáng)網(wǎng)絡(luò)信息保密性、記錄和統(tǒng)計網(wǎng)絡(luò)數(shù)據(jù)并對非法入侵報警提示等，達(dá)到保障計算機(jī)網(wǎng)絡(luò)安全的目的。

（2）在防火墻上開啟防病毒模塊，可以在網(wǎng)關(guān)處阻止病毒、木馬等威脅的傳播，保護(hù)網(wǎng)絡(luò)內(nèi)部用戶免受侵害，改變了原有被動等待病毒感染的防御模式，實現(xiàn)網(wǎng)絡(luò)病毒的主動防御，切斷病毒在網(wǎng)絡(luò)邊界傳遞的通道。

（3）以入侵防御系統(tǒng)IPS應(yīng)用層安全設(shè)備，作為防火墻的重要補(bǔ)充，很好的解決了應(yīng)用層防御安全威脅，通過在線部署，IPS可以檢測并直接阻斷惡意流量。

（4）將上網(wǎng)行為管理設(shè)備置于核心交換機(jī)與防火墻之間。通過對在線用戶狀態(tài)、Web訪問內(nèi)容、外發(fā)信息、網(wǎng)絡(luò)應(yīng)用、帶寬占用情況等進(jìn)行實時監(jiān)控，在上網(wǎng)行為管理設(shè)備上設(shè)置不同的策略，阻擋P2P應(yīng)用，釋放網(wǎng)絡(luò)帶寬，有效地解決了內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的安全使用和管理問題。

3.內(nèi)網(wǎng)安全解決方案

內(nèi)網(wǎng)安全是網(wǎng)絡(luò)安全建設(shè)的重點，由于內(nèi)網(wǎng)節(jié)點數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因，也是安全建設(shè)的難點。

（1）主要利用構(gòu)建虛擬局域網(wǎng)VLAN技術(shù)來實現(xiàn)對內(nèi)部子網(wǎng)的物理隔離。通過在交換機(jī)上劃分VLAN可以將整個網(wǎng)絡(luò)劃分為幾個不同的廣播域，將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的VLAN段內(nèi)，實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離，防止影響一個網(wǎng)段的安全事故透過整個網(wǎng)絡(luò)傳播，限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

（2）建立企業(yè)門戶系統(tǒng)，用戶的訪問控制部署統(tǒng)一的用戶認(rèn)證服務(wù)，實現(xiàn)單點登錄功能，統(tǒng)一存儲所有應(yīng)用系統(tǒng)的用戶認(rèn)證信息，而授權(quán)等操作則由各應(yīng)用系統(tǒng)完成，即統(tǒng)一存儲、分布授權(quán)。

（3）系統(tǒng)軟件部署安全、漏洞更新，定期對系統(tǒng)進(jìn)行安全更新、漏洞掃描，自動更新Windows操作系統(tǒng)和Office、Exchange Server以及SQL Server等安全、漏洞補(bǔ)丁。安裝網(wǎng)絡(luò)版的防病毒軟件，定期更新最新病毒定義文件，制定統(tǒng)一的策略，客戶端定期從病毒服務(wù)器下載安裝新的病毒定義文件，有效減少了病毒的影響；配置郵件安全網(wǎng)關(guān)系統(tǒng)，為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實現(xiàn)郵件內(nèi)容過濾等功能，有效地從網(wǎng)絡(luò)層到應(yīng)用層保護(hù)郵件服務(wù)器不受各種形式的網(wǎng)絡(luò)攻擊。

4.數(shù)據(jù)中心安全解決方案

作為數(shù)據(jù)交換最頻繁、資源最密集的地方，數(shù)據(jù)中心出現(xiàn)任何安全防護(hù)上的疏漏必將導(dǎo)致不可估量的損失，因此數(shù)據(jù)中心安全解決方案十分重要。

（1）構(gòu)建網(wǎng)絡(luò)鏈接從鏈路層到應(yīng)用層的多層防御體系。由交換機(jī)提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離，并提供對DDoS和多種畸形報文攻擊的防御。IPS可以針對應(yīng)用流量做深度分析與檢測能力，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對網(wǎng)絡(luò)應(yīng)用層的保護(hù)。

（2）建立數(shù)據(jù)備份和異地容災(zāi)方案，建立了完善的數(shù)據(jù)備份體系，保證數(shù)據(jù)崩潰時能夠?qū)崿F(xiàn)數(shù)據(jù)的完全恢復(fù)。同時在異地建立一個備份站點，通過網(wǎng)絡(luò)以異步的方式，把主站點的數(shù)據(jù)備份到備份站點，利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對災(zāi)難性事件的抵御能力。

5.安全信息管理與培訓(xùn)

（1）網(wǎng)絡(luò)管理是計算機(jī)網(wǎng)絡(luò)安全重要組成部分，在組織架構(gòu)上，應(yīng)采用虛擬團(tuán)隊的模式，成立了相關(guān)信息安全管理小組。從決策、監(jiān)督和具體執(zhí)行三個層面為網(wǎng)絡(luò)信息安全工作提供保障。建立規(guī)范嚴(yán)謹(jǐn)?shù)墓芾碇贫?，制定相?yīng)的規(guī)范、配套制度能保證規(guī)范執(zhí)行到位，保障了網(wǎng)絡(luò)信息安全工作的“有章可循，有據(jù)可查”。主要涉及：安全策略管理、業(yè)務(wù)流程管理、應(yīng)用軟件開發(fā)管理、操作系統(tǒng)管理、網(wǎng)絡(luò)安全管理、應(yīng)急備份措施、運(yùn)行流程管理、場所管理、安全法律法規(guī)的執(zhí)行等。

（2）人員素質(zhì)的高低對信息安全方面至關(guān)重要；提高人員素質(zhì)的前提就是加強(qiáng)培訓(xùn)，特別加強(qiáng)是對專業(yè)信息人員的培訓(xùn)工作。

四、結(jié)束語

該企業(yè)信息與網(wǎng)絡(luò)安全體系建設(shè)以技術(shù)、管理的安全理念為核心，從組織架構(gòu)的建設(shè)、安全制度的制定、先進(jìn)安全技術(shù)的應(yīng)用三個層面，構(gòu)建一個多層次、全方位網(wǎng)絡(luò)防護(hù)體系。在統(tǒng)一的安全策略基礎(chǔ)上，利用安全產(chǎn)品間的分工協(xié)作，并針對局部關(guān)鍵問題點進(jìn)行安全部署，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中管理，達(dá)到提升網(wǎng)絡(luò)對安全威脅的整體防御能力。

參考文獻(xiàn)

篇6

這家成立剛剛兩年的公司再一次填補(bǔ)了我國在工業(yè)控制系統(tǒng)（下稱“工控系統(tǒng)”）網(wǎng)絡(luò)安全風(fēng)險評估領(lǐng)域缺乏有效工具和方法的空白。

近年來，國內(nèi)外發(fā)生的越來越多的工控網(wǎng)絡(luò)安全事件，用慘重的經(jīng)濟(jì)損失和被危及的國家安全警示我們：工業(yè)控制網(wǎng)絡(luò)安全正在成為網(wǎng)絡(luò)空間對抗的主戰(zhàn)場和反恐新戰(zhàn)場。 匡恩網(wǎng)絡(luò)總裁孫一桉說，預(yù)計匡恩網(wǎng)絡(luò)在今年可以實現(xiàn)可信和自主控制，形成―個基于可信計算的安全體系。

隨著“中國制造2025”和“互聯(lián)網(wǎng)+”在各個領(lǐng)域的深度滲透和廣泛推進(jìn)，我們期待出現(xiàn)基于智能化、網(wǎng)絡(luò)化的新的經(jīng)濟(jì)發(fā)展形態(tài)。而這個目標(biāo)的實現(xiàn)，離不開自主可控的工控系統(tǒng)，離不開我國工控網(wǎng)絡(luò)安全行業(yè)的健康快速發(fā)展和像匡恩網(wǎng)絡(luò)這樣專注于智能工業(yè)網(wǎng)絡(luò)安全解決方案的高科技創(chuàng)新企業(yè)。

近日，就我國工控網(wǎng)絡(luò)安全的行業(yè)現(xiàn)狀和產(chǎn)業(yè)發(fā)展等相關(guān)問題，《中國經(jīng)濟(jì)周刊》記者專訪了匡恩網(wǎng)絡(luò)總裁孫一桉。

匡恩網(wǎng)絡(luò)是工控安全行業(yè)最強(qiáng)的技術(shù)力量

《中國經(jīng)濟(jì)周刊》：在國內(nèi)工控網(wǎng)絡(luò)安全行業(yè)，匡恩網(wǎng)絡(luò)是規(guī)模最大、實力最強(qiáng)的企業(yè)之一，匡恩網(wǎng)絡(luò)在發(fā)展工控網(wǎng)絡(luò)安全產(chǎn)業(yè)方面有哪些優(yōu)勢？

孫一桉：匡恩網(wǎng)絡(luò)作為中國的工控安全民營企業(yè)，源于中國，扎根于中國，對中國工控網(wǎng)絡(luò)安全行業(yè)有自己的見解和應(yīng)對之道。

首先，匡恩網(wǎng)絡(luò)匯聚了網(wǎng)絡(luò)安全、工控系統(tǒng)等領(lǐng)域的優(yōu)秀人才，是國內(nèi)安全界普遍認(rèn)可的工控網(wǎng)絡(luò)安全領(lǐng)域技術(shù)實力最強(qiáng)、規(guī)模最大的一支技術(shù)力量。

其次，匡恩網(wǎng)絡(luò)擁有完全自主知識產(chǎn)權(quán)的安全檢測和防護(hù)技術(shù)，國際領(lǐng)先，填補(bǔ)國內(nèi)空白，申請和取得了發(fā)明專利30余項和著作權(quán)30余項。

再就是，以“4+1”防護(hù)理念為指導(dǎo)思想，匡恩網(wǎng)絡(luò)已完成3大系列、12條產(chǎn)品線，成為國內(nèi)首家以全產(chǎn)品線和服務(wù)覆蓋工控網(wǎng)絡(luò)全業(yè)務(wù)領(lǐng)域的高技術(shù)創(chuàng)新公司;獨(dú)創(chuàng)了從設(shè)備檢測、安全服務(wù)到威脅管理、監(jiān)測審計再到智能保護(hù)的全生命周期自主可控的解決方案。

“四個安全性”加“時間持續(xù)性”缺一不可

《中國經(jīng)濟(jì)周刊》：我們了解到，您提出了“4+1”工控網(wǎng)絡(luò)安全防護(hù)理念，這一理念應(yīng)該如何理解，對匡恩網(wǎng)絡(luò)的產(chǎn)品研發(fā)有什么意義？

孫一桉：匡恩網(wǎng)絡(luò)在實踐探索中創(chuàng)新性地提出了“4+1”的立體化工控安全防護(hù)理念。

第一是結(jié)構(gòu)安全性，包括網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化和防護(hù)類設(shè)備的部署;第二是本體安全性，主要關(guān)注工控系統(tǒng)中設(shè)備自身的安全性;第三是行為安全性，工控系統(tǒng)對行為的判斷、處理原則和入侵容忍度與信息系統(tǒng)不同，要根據(jù)工控系統(tǒng)的行業(yè)特點，判斷系統(tǒng)內(nèi)部發(fā)起的行為是否具有安全隱患，系統(tǒng)外部發(fā)起的行為是否具有安全威脅，并采取相應(yīng)的機(jī)制;第四是基因安全性，實現(xiàn)工控安全設(shè)備基礎(chǔ)軟硬件的自主可控、安全可信，并進(jìn)一步將可信平臺植入到工業(yè)控制設(shè)備上;最后是時間持續(xù)性，即安全的持續(xù)管理與運(yùn)維，在持續(xù)的對抗中保障安全。 在“4?29首都網(wǎng)絡(luò)安全日”博覽會上，匡恩網(wǎng)絡(luò)推出的部分保護(hù)類產(chǎn)品。

綜上，四個安全性加時間持續(xù)性，就構(gòu)成了我們的工控安全防護(hù)體系。

匡恩網(wǎng)絡(luò)已實現(xiàn)全系列產(chǎn)品自主可控

《中國經(jīng)濟(jì)周刊》：工控網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵就是自主可控?？锒骶W(wǎng)絡(luò)在這方面是如何布局并逐步推進(jìn)的？

孫一桉：匡恩網(wǎng)絡(luò)是做工業(yè)控制網(wǎng)絡(luò)安全的，行業(yè)涉及國家關(guān)鍵基礎(chǔ)設(shè)施、制造、軍隊軍工等重大領(lǐng)域，所以我們從一開始就在硬件和軟件方面全部堅持自主研發(fā)，所有的解決方案都是自主開發(fā)，也申請了大量的專利和知識產(chǎn)權(quán)保護(hù)，目前已做到了全系列十幾款產(chǎn)品的自主可控，是國內(nèi)同類廠商中的佼佼者。下一步，我們將把自己開發(fā)的硬件、軟件全部納入可信計算體系。我們可以保證任何篡改、植入的系統(tǒng)都不能在我們的環(huán)境下運(yùn)行。預(yù)計匡恩網(wǎng)絡(luò)在今年可以實現(xiàn)可信和自主控制，形成一個基于可信計算的安全體系。

工控系統(tǒng)的特點是行業(yè)差異化大、投資大

《中國經(jīng)濟(jì)周刊》：許多業(yè)內(nèi)人士表示，工控網(wǎng)絡(luò)安全是一個很大的市場，也是將來能出現(xiàn)大公司的行業(yè)。關(guān)于這個市場，目前工控網(wǎng)絡(luò)安全主要針對或服務(wù)的是哪些行業(yè)？

孫一桉： 工控網(wǎng)絡(luò)安全的市場應(yīng)從三個層次去看。

第一，工控網(wǎng)絡(luò)安全本身。我國制造業(yè)、基礎(chǔ)設(shè)施的規(guī)模非常大，它們在安全方面的花費(fèi)有一個固定的比例。

第二，更大范圍內(nèi)的大安全的概念。工業(yè)網(wǎng)絡(luò)安全也是生產(chǎn)安全的一部分，在大安全概念中的市場就更廣泛了，涉及到與功能安全相結(jié)合、數(shù)據(jù)安全相結(jié)合等，而不僅僅是網(wǎng)絡(luò)安全。 匡恩網(wǎng)絡(luò)推出的虛擬電子沙盤，展示智能制造等六大行業(yè)解決方案。

第三，做安全一方面是為了保護(hù)、防御系統(tǒng)安全，另一方面也是為了提高生產(chǎn)力，所以，在此基礎(chǔ)上衍生出了工控系統(tǒng)本身智能化的提升和生產(chǎn)力的提高?？锒骶W(wǎng)絡(luò)的定位是從“工控的安全”做到“安全的工控”。這個過程當(dāng)然不是一蹴而就，我們先要解決工控系統(tǒng)的網(wǎng)絡(luò)安全，之后再擴(kuò)大到大安全的概念，最后再擴(kuò)大到工業(yè)智能化，以安全為基因的智能化生產(chǎn)和智能化服務(wù)。

我們自2015年成立匡恩網(wǎng)絡(luò)智能工業(yè)安全研究院以來，就已經(jīng)突破了傳統(tǒng)的、簡單的工業(yè)網(wǎng)絡(luò)安全的概念，在新能源和智能制造等領(lǐng)域開始布局新的產(chǎn)品，今年會有一系列新的產(chǎn)品。隨后我們還會再進(jìn)一步擴(kuò)大范圍。

之前的一兩年我們著重做平臺建設(shè)。工控系統(tǒng)的特點是行業(yè)差異化太大，我們投入巨大的研發(fā)力量，做了一個適應(yīng)性非常好的平臺。這些前期的工作現(xiàn)在已經(jīng)開花結(jié)果了，我們針對各個行業(yè)的特點做行業(yè)解決方案，提供定制化服務(wù)。目前覆蓋的行業(yè)主要包括能源電力、軌道交通、石油石化、智能制造等，凡是智能化水平比較高的工業(yè)和制造業(yè)企業(yè)都是我們的客戶。也包括基礎(chǔ)設(shè)施如燃?xì)?、水、電、軌道交通、高鐵、航空、港口等。今后我們還要繼續(xù)拓展行業(yè)范圍，比如防疫站、醫(yī)院，未來也會關(guān)注更多的物聯(lián)網(wǎng)終端。

工控安全市場只開發(fā)了冰山一角

《中國經(jīng)濟(jì)周刊》：工控網(wǎng)絡(luò)安全的需求這么大，您估計國內(nèi)市場有多大規(guī)模？

孫一桉：我一直都不認(rèn)為工控網(wǎng)絡(luò)安全是整體信息安全的一個細(xì)分市場，它更像是傳統(tǒng)信息安全領(lǐng)域的平行市場，市場規(guī)模非常大。但是這個市場的成長，從大家認(rèn)識到開始采用再到大量采用，跳躍性很強(qiáng)，需要一個比較長的培養(yǎng)過程。

這種跳躍是由幾個原因造成的：一、這個市場更大程度上是一個事件驅(qū)動、政策驅(qū)動的市場，是跳躍性的。二、行業(yè)進(jìn)入門檻非常高。不管是匡恩網(wǎng)絡(luò)還是華為、思科，要進(jìn)入一個新行業(yè)，都要經(jīng)過一個很長時間的試點和適應(yīng)階段，而且在此期間看不到效益。但一個小小的試點，隨之而來的可能就是復(fù)制性很強(qiáng)的、爆炸性的市場。

現(xiàn)在我們所做的點點滴滴，只是未來更大的市場的冰山一角。盡管我們2015年相比2014年有10倍的增長，今年預(yù)計還會有大幅增長，但這并不是我們最看重的。在工控安全市場爆發(fā)點來臨之前，我們要做的，就是全力以赴地練內(nèi)功，做品牌，做產(chǎn)品，讓用戶的認(rèn)可度和滿意度不斷提升。

我們與傳統(tǒng)信息安全廠商主要還是合作關(guān)系，我們做工業(yè)控制網(wǎng)絡(luò)安全，介于信息安全和工業(yè)控制之間。這是一個新生態(tài)，我們在努力適應(yīng)并融入這個新的生態(tài)圈。

專家點評

北京中安國發(fā)信息技術(shù)研究院院長、信息安全應(yīng)急演練關(guān)鍵技術(shù)研究中心主任張勝生：我國工控安全保障需要從業(yè)務(wù)安全需求出發(fā)

在“兩化融合”“工業(yè)4.0”和“中國制造2025”的大背景下，隨著信息化的推進(jìn)和工業(yè)化進(jìn)程的加速，越來越多的計算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)，在為工業(yè)生產(chǎn)帶來極大推動作用的同時，也帶來了工控系統(tǒng)的安全及泄密問題。我國工控系統(tǒng)及設(shè)備的安全保護(hù)水平明顯偏低，長期以來沒有得到關(guān)注，如系統(tǒng)終端平臺安全防護(hù)弱點，系統(tǒng)配置和軟件安全漏洞、工控協(xié)議安全問題、私有協(xié)議的安全問題、隱藏的后門和未知漏洞、TCP/IP自身的安全問題、用戶權(quán)限控制的接入、網(wǎng)絡(luò)安全邊界防護(hù)，以及內(nèi)部非法人員、密鑰管理、當(dāng)前國際復(fù)雜環(huán)境等，存在各種網(wǎng)絡(luò)安全的風(fēng)險和漏洞。

篇7

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理；防護(hù)；防火墻

中圖分類號：TP393.08文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2011)14-3302-02

隨著企業(yè)信息化進(jìn)程的不斷發(fā)展，網(wǎng)絡(luò)已成為提高企業(yè)生產(chǎn)效率和企業(yè)競爭力的有力手段。目前，石化企業(yè)網(wǎng)絡(luò)各類系統(tǒng)諸如ERP系統(tǒng)、原油管理信息系統(tǒng) 、電子郵件系統(tǒng) 以及OA協(xié)同辦公系統(tǒng)等都相繼上線運(yùn)行，信息化的發(fā)展極大地改變了企業(yè)傳統(tǒng)的管理模式，實現(xiàn)了企業(yè)內(nèi)的資源共享。與此同時，網(wǎng)絡(luò)安全問題日益突出，各種針對網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊層出不窮，病毒威脅無處不在。

因此，了解網(wǎng)絡(luò)安全，做好防范措施，保證系統(tǒng)安全可靠地運(yùn)行已成為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基本職能，也是企業(yè)本質(zhì)安全的重要一環(huán)。

1 石化企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

石化企業(yè)局域網(wǎng)一般包含Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)，通過內(nèi)部網(wǎng)相互連接，經(jīng)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計算機(jī)處在同一網(wǎng)段或通過Vlan（虛擬網(wǎng)絡(luò)）技術(shù)把企業(yè)不同業(yè)務(wù)部門相互隔離。

2 企業(yè)網(wǎng)絡(luò)安全概述

企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分，網(wǎng)絡(luò)安全系統(tǒng)所要防范的不僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問。企業(yè)網(wǎng)絡(luò)安全隱患主要如下：

1) 操作系統(tǒng)本身存在的安全問題

2) 病毒、木馬和惡意軟件的入侵

3) 網(wǎng)絡(luò)黑客的攻擊

4) 管理及操作人員安全知識缺乏

5) 備份數(shù)據(jù)和存儲媒體的損壞

針對上述安全隱患，可采取安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理；配置好防火墻過濾策略，及時安裝系統(tǒng)安全補(bǔ)??；在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、入侵檢測系統(tǒng)，配置網(wǎng)絡(luò)安全隔離系統(tǒng)等。

3 網(wǎng)絡(luò)安全解決方案

一個網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包含許多方面，主要為物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等。

3.1 物理安全

物理安全主要指環(huán)境、場地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計劃等，包括機(jī)房環(huán)境安全、通信線路安全、設(shè)備安全、電源安全。

主要考慮：自然災(zāi)害、物理損壞和設(shè)備故障；選用合適的傳輸介質(zhì)；供電安全可靠及網(wǎng)絡(luò)防雷等。

3.2 網(wǎng)絡(luò)安全

石化企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等，并與企業(yè)系統(tǒng)內(nèi)部的上、下級機(jī)構(gòu)網(wǎng)絡(luò)及Internet互連。

3.2.1 VLAN技術(shù)

VLAN即虛擬局域網(wǎng)。是通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。

借助VLAN技術(shù)，可將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地LAN一樣方便。一般分為：基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

3.2.2 防火墻技術(shù)

1) 防火墻體系結(jié)構(gòu)

① 雙重宿主主機(jī)體系結(jié)構(gòu)

防火墻的雙重宿主主機(jī)體系結(jié)構(gòu)是指一臺雙重宿主主機(jī)作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的任務(wù)。

② 被屏蔽主機(jī)體系結(jié)構(gòu)

被屏蔽主機(jī)體系結(jié)構(gòu)是指通過一個單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，強(qiáng)迫所有的外部主機(jī)與一個堡壘主機(jī)相連，而不讓其與內(nèi)部主機(jī)相連。

③ 被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為使用兩個屏蔽路由器，位于堡壘主機(jī)的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個屏蔽路由器。

2) 企業(yè)防火墻應(yīng)用

① 企業(yè)網(wǎng)絡(luò)體系中的三個區(qū)域

邊界網(wǎng)絡(luò)。此網(wǎng)絡(luò)通過路由器直接面向Internet，通過防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)。

網(wǎng)絡(luò)。即DMZ，將用戶連接到Web服務(wù)器或其他服務(wù)器，Web服務(wù)器通過內(nèi)部防火墻連接到內(nèi)部網(wǎng)絡(luò)。

內(nèi)部網(wǎng)絡(luò)。連接各個內(nèi)部服務(wù)器（如企業(yè)OA服務(wù)器，ERP服務(wù)器等）和內(nèi)部用戶。

② 防火墻及其功能

在企業(yè)網(wǎng)絡(luò)中，常常有兩個不同的防火墻:防火墻和內(nèi)部防火墻。雖然任務(wù)相似，但側(cè)重點不同，防火墻主要提供對不受信任的外部用戶的限制，而內(nèi)部防火墻主要防止外部用戶訪問內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶非授權(quán)的操作。

在以上3個區(qū)域中，雖然內(nèi)部網(wǎng)絡(luò)和DMZ都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分，但他們的安全級別不同，對于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般禁止所有來自Internet用戶的訪問；而企業(yè)DMZ區(qū)，限制則沒有那么嚴(yán)格。

3.2.3 VPN技術(shù)

VPN(Virtual Private Network)虛擬專用網(wǎng)絡(luò)，一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間就好像架設(shè)了一條專線，但它并不需要真正地去鋪設(shè)光纜之類的物理線路。

企業(yè)用戶采用VPN技術(shù)來構(gòu)建其跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，與Internet進(jìn)行隔離，控制內(nèi)網(wǎng)與Internet的相互訪問。VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，將對外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對外訪問。

3.3 應(yīng)用系統(tǒng)安全

企業(yè)應(yīng)用系統(tǒng)安全包括兩方面。一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制，對安全相關(guān)操作進(jìn)行審核等。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、Web、FTP服務(wù)、E-MAIL等

病毒防護(hù)是企業(yè)應(yīng)用系統(tǒng)安全的重要組成部分，企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時，應(yīng)全方位地布置企業(yè)防毒產(chǎn)品。

在網(wǎng)絡(luò)骨干接入處，安裝防毒墻，對主要網(wǎng)絡(luò)協(xié)議（SMTP、FTP、HTTP）進(jìn)行殺毒處理；在服務(wù)器上安裝單獨(dú)的服務(wù)器殺毒產(chǎn)品，各用戶安裝網(wǎng)絡(luò)版殺毒軟件客戶端；對郵件系統(tǒng)，可采取安裝專用郵件殺毒產(chǎn)品。

4 結(jié)束語

該文從網(wǎng)絡(luò)安全及其建設(shè)原則進(jìn)行了論述，對企業(yè)網(wǎng)絡(luò)安全建設(shè)的解決方案進(jìn)行了探討和總結(jié)。石化企業(yè)日新月異，網(wǎng)絡(luò)安全管理任重道遠(yuǎn)，網(wǎng)絡(luò)安全已成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質(zhì)安全。加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，確保網(wǎng)絡(luò)安全運(yùn)行勢在必行。

參考文獻(xiàn)：

[1] 王達(dá). 路由器配置與管理完全手冊――H3C篇[M]. 武漢:華中科技大學(xué)出版社,2010．

[2] 王文壽. 網(wǎng)管員必備寶典――網(wǎng)絡(luò)安全[M]. 北京:清華大學(xué)出版社,2007．

篇8

關(guān)鍵詞:網(wǎng)絡(luò)安全;醫(yī)院網(wǎng)絡(luò);防火墻

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)26-7364-02

Hospital-based Network Security Solutions

SUN Ping-bo

(Department of Information, Changhai Hospital, Shanghai 200433, China)

Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.

Key words: network security; the hospital network; firewall

隨著科學(xué)技術(shù)的發(fā)展和信息時代的來臨,幾乎所有的醫(yī)院都建立了信息網(wǎng)絡(luò),實現(xiàn)了信息資源的網(wǎng)絡(luò)共享。但在具體建設(shè)這個醫(yī)院網(wǎng)絡(luò)平臺時中,往往都只重視怎樣迅速把平臺搭建起來和能夠馬上投入使用,而忽視了在醫(yī)院網(wǎng)絡(luò)平臺建設(shè)過程中信息安全的建設(shè),包括如何保障醫(yī)療業(yè)務(wù)的正常進(jìn)行、患者及醫(yī)生信息的合法訪問,如何使醫(yī)院網(wǎng)絡(luò)平臺免受黑客、病毒、惡意軟件和其它不良意圖的攻擊已經(jīng)成為急需解決的問題。

1 醫(yī)院網(wǎng)絡(luò)安全解決方案的設(shè)計

1.1網(wǎng)絡(luò)方案的模型

本文研究的醫(yī)院網(wǎng)絡(luò)安全解決方案是采用基于主動策略的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng),它的主導(dǎo)思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架。P2DR模型最早是由ISS公司提出的動態(tài)安全模型的代表性模型,它主要包含4個部分:安全策略(Policy)、防護(hù)(Protection)、檢測(Detection)和響應(yīng)(Response)。

安全策略是P2DR安全模型的核心。在整體安全策略的控制和指導(dǎo)下,運(yùn)用防護(hù)工具(防火墻、操作系統(tǒng)身份認(rèn)證、加密等)對網(wǎng)絡(luò)進(jìn)行安全防護(hù);利用檢測工具(如漏洞掃描、入侵檢測系統(tǒng)等等)了解和評估系統(tǒng)的安全狀態(tài),檢測針對系統(tǒng)的攻擊行為;通過適當(dāng)?shù)姆磻?yīng)機(jī)制將系統(tǒng)的安全狀態(tài)提升到最優(yōu)狀態(tài)。這個過程是一個動態(tài)的、不斷循環(huán)的過程,檢測到的威脅將作為響應(yīng)和加強(qiáng)防護(hù)的依據(jù),防護(hù)加強(qiáng)后,將繼續(xù)進(jìn)行檢測過程,依次循環(huán)下去,從而達(dá)到網(wǎng)絡(luò)安全性不斷增強(qiáng)的目的[1]。

根據(jù)對網(wǎng)絡(luò)安全的技術(shù)分析和設(shè)計目標(biāo),醫(yī)院網(wǎng)絡(luò)安全解決方案要解決7個實現(xiàn)的技術(shù)問題,分別是:數(shù)據(jù)檢測,入侵行為控制,行為分析,行為記錄,服務(wù)模擬,行為捕獲和數(shù)據(jù)融合。醫(yī)院網(wǎng)絡(luò)安全解決方案以P2DR模型為基礎(chǔ),合理利用主動防御技術(shù)和被動防御技術(shù)來構(gòu)建動態(tài)安全防御體系,根據(jù)現(xiàn)有安全措施和工具,在安全策略的基礎(chǔ)上,提出基于主動策略的醫(yī)院網(wǎng)絡(luò)安全方案模型,如圖1所示。

醫(yī)院網(wǎng)絡(luò)安全解決方案模型入侵檢測監(jiān)視網(wǎng)絡(luò)的異常情況,當(dāng)發(fā)現(xiàn)有可疑行為或者入侵行為時,將監(jiān)測結(jié)果通知入侵行為控制,并將可疑行為數(shù)據(jù)傳給服務(wù)模擬;服務(wù)模擬在入侵行為控制的監(jiān)控下向可疑行為提供服務(wù),并調(diào)用行為捕獲對系統(tǒng)所有活動作嚴(yán)格和詳細(xì)的記錄;數(shù)據(jù)融合定期地從行為記錄的不同數(shù)據(jù)源提取數(shù)據(jù),按照統(tǒng)一數(shù)據(jù)格式整理、融合、提煉后,一發(fā)給行為分析,對可疑行為及入侵行為作進(jìn)一步分析,同時通知入侵行為控制對入侵行為進(jìn)行控制,并提取未知攻擊特征通過入侵行為控制對入侵檢測知識庫進(jìn)行更新,將新的模式添加進(jìn)去。

1.2 防火墻隔離的設(shè)計

防火墻技術(shù)是醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)中使用最廣泛的一項網(wǎng)絡(luò)安全技術(shù)。它的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)入被保護(hù)的內(nèi)部網(wǎng)絡(luò),通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。在醫(yī)院網(wǎng)絡(luò)中,既有允許被內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)同時訪問的一些應(yīng)用服務(wù)器(如醫(yī)療費(fèi)用查詢系統(tǒng)、專家號預(yù)約系統(tǒng)、病情在線咨詢系統(tǒng)等),也有只允許醫(yī)院網(wǎng)絡(luò)內(nèi)部之間進(jìn)行通信,不可以外部網(wǎng)絡(luò)訪問的內(nèi)部網(wǎng)絡(luò)[2]。因此,對應(yīng)用服務(wù)器和內(nèi)部網(wǎng)絡(luò)應(yīng)該采用不同的安全策略。

本文研究的醫(yī)院網(wǎng)絡(luò)安全解決方案采用的是屏蔽子網(wǎng)結(jié)構(gòu)的防火墻配置。將應(yīng)用服務(wù)器放置在屏蔽子網(wǎng)機(jī)構(gòu)中的DMZ區(qū)域內(nèi),由外部防火墻保護(hù),內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的用戶都可以訪問該區(qū)域。內(nèi)部網(wǎng)絡(luò)除了外部防火墻的保護(hù)外。還采用堡壘主機(jī)(服務(wù)器)對內(nèi)部網(wǎng)絡(luò)進(jìn)行更加深一些層的保護(hù)。通過核心交換機(jī)的路由功能將想要進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包路由到服務(wù)器中,由包過濾原則。過濾一些內(nèi)部網(wǎng)絡(luò)不應(yīng)看到的網(wǎng)站信息等。內(nèi)部路由器將所有內(nèi)部用戶到因特網(wǎng)的訪問均路由到服務(wù)囂,服務(wù)器進(jìn)行地址翻譯。為這些用戶提供服務(wù).以此屏蔽內(nèi)部網(wǎng)絡(luò)。這種結(jié)構(gòu)使得應(yīng)用服務(wù)器與內(nèi)部網(wǎng)絡(luò)采用不同級別的安全策略,既實現(xiàn)醫(yī)院網(wǎng)絡(luò)的需求,也保護(hù)醫(yī)院網(wǎng)絡(luò)的安全。防火墻系統(tǒng)結(jié)構(gòu)設(shè)計如圖2所示。

雖然防火墻系統(tǒng)能夠為醫(yī)院的網(wǎng)絡(luò)提供很多安全方面的保障,但并不能夠解決全部安全問題。因此,醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)還采取了其他的網(wǎng)絡(luò)安全技術(shù)和手段來確保醫(yī)院網(wǎng)絡(luò)的安全。

1.3 醫(yī)療業(yè)務(wù)數(shù)據(jù)的捕獲

如果本文研究的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)不能捕獲到任何數(shù)據(jù),那它將是一堆廢物。只有捕獲到數(shù)據(jù),我們才能利用這些數(shù)據(jù)研究攻擊者的技術(shù)、工具和動機(jī)。本文設(shè)計的醫(yī)院安全系統(tǒng)實現(xiàn)了三層數(shù)據(jù)捕獲,即防火墻日志、嗅探器捕獲的網(wǎng)絡(luò)數(shù)據(jù)包、管理主機(jī)系統(tǒng)日志。

其中,嗅探器記錄各種進(jìn)出醫(yī)院內(nèi)管理網(wǎng)的數(shù)據(jù)包內(nèi)容,嗅探器可以用各種工具,如Ethereal等,我們使用了Tcpdump。記錄的數(shù)據(jù)以Tcpdump日志的格式進(jìn)行存儲,這些數(shù)據(jù)不僅以后可用通過Tcpreplay進(jìn)行回放,也可以在無法分析數(shù)據(jù)時,發(fā)送給別的研究人員進(jìn)行分析。

防火墻和嗅探器捕獲的是網(wǎng)絡(luò)數(shù)據(jù),還需要捕獲發(fā)生有管理主機(jī)上的所有系統(tǒng)和用戶活動。對于windows系統(tǒng),可以借助第三方應(yīng)用程序來記錄系統(tǒng)日志信息?，F(xiàn)在大多數(shù)的攻擊者都會使用加密來與被黑系統(tǒng)進(jìn)行通信。要捕獲擊鍵行為,需要從管理主機(jī)中獲得,如可以通過修改系統(tǒng)庫或者開發(fā)內(nèi)核模塊來修改內(nèi)核從而記錄下攻擊者的行為。

2 醫(yī)院網(wǎng)絡(luò)安全解決方案的實現(xiàn)

2.1 防火墻系統(tǒng)的布置

本文研究的醫(yī)院防火墻系統(tǒng)采用的是屏蔽子網(wǎng)結(jié)構(gòu),在該結(jié)構(gòu)中,采用Quidway SecPath 1000F硬件防火墻與外部網(wǎng)絡(luò)直接相連,通過核心交換機(jī)Quidway S6506R將屏蔽子網(wǎng)結(jié)構(gòu)中的DMZ區(qū)域和內(nèi)部網(wǎng)絡(luò)連接起來,DMZ區(qū)域中的各種應(yīng)用的服務(wù)器都采用的是IBM xSeries 346,其中一臺作為堡壘主機(jī)使用。這臺堡壘主機(jī)起到的就是服務(wù)器的作用。防火墻根據(jù)管理員設(shè)定的安全規(guī)則保護(hù)內(nèi)部網(wǎng)絡(luò),提供完善的安全設(shè)置,通過高性能的醫(yī)院網(wǎng)絡(luò)核心進(jìn)行訪問控制。

2.2 醫(yī)療業(yè)務(wù)數(shù)據(jù)捕獲的實現(xiàn)

本文研究的數(shù)據(jù)捕獲主要從三層進(jìn)行數(shù)據(jù)捕獲。我們在網(wǎng)橋下運(yùn)行如下命令進(jìn)行捕獲:

TCPDUMP -c 10 Ci eth1 -s 0 Cw /log

為了不讓攻擊者知道我們在監(jiān)視他在主機(jī)上的活動,我們采用Sebek來實現(xiàn)我們的目標(biāo)。Sebek是個隱藏的記錄攻擊者行為的內(nèi)核補(bǔ)丁。一旦在主機(jī)上安裝了Sebek的客戶端,它就在系統(tǒng)的內(nèi)核級別運(yùn)行,記錄的數(shù)據(jù)并不是記錄在本地硬盤上,而是通過UDP數(shù)據(jù)包發(fā)送到遠(yuǎn)程服務(wù)器上,入侵者很難發(fā)現(xiàn)它的存在。

醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)數(shù)據(jù)捕獲是由內(nèi)核模塊來完成的,本文研究使用這個模塊獲得主機(jī)內(nèi)核空間的訪問,從而捕獲所有read()的數(shù)據(jù)。Sebek替換系統(tǒng)調(diào)用表的read()函數(shù)來實現(xiàn)這個功能,這個替換的新函數(shù)只是簡單的調(diào)用老read()函數(shù),并且把內(nèi)容拷貝到一個數(shù)據(jù)包緩存,然后加上一個頭,再把這個數(shù)據(jù)包發(fā)送到服務(wù)端。替換原來的函數(shù)就是改變系統(tǒng)調(diào)用表的函數(shù)指針。

本文通過配置參數(shù)決定了Sebek收集什么樣的信息,發(fā)送信息的目的地。以下就是一個linux配置文件的實例:

INTERFACE="eth0" //設(shè)定接口

DESTINATION_IP="172.17.1.2" //設(shè)定遠(yuǎn)程服務(wù)器IP

DESTINATION_MAC="00:0C:29:I5:96:6E" //設(shè)定遠(yuǎn)程服務(wù)器MAC

SOURCE_PORT=1101 //設(shè)定源地址UDP端口

DESTINATION_PORT=1101 //設(shè)定目標(biāo)地址UDP端口

MAGIC_VALUE=XXXXX //如果同一網(wǎng)段有多個客戶端,則設(shè)定相同的數(shù)值

KEYSTOKE_ONLY=1 //是否只記錄鍵擊記錄

3 結(jié)束語

該文對醫(yī)院網(wǎng)絡(luò)安全的解決方案進(jìn)行了較深入的研究,但該系統(tǒng)采用的技術(shù)也不能說是完善的,一方面因為它們也在不斷發(fā)展中,另一方面是因為設(shè)計者的水平有局限。比如醫(yī)院網(wǎng)絡(luò)的數(shù)據(jù)捕獲技術(shù),它本身就是一個十分復(fù)雜的技術(shù)問題,解決的手段也是多樣的。

參考文獻(xiàn):

篇9

關(guān)鍵詞：電信；網(wǎng)絡(luò)安全；技術(shù)防護(hù)

從20世紀(jì)90年代至今，我國電信行業(yè)取得了跨越式發(fā)展，電信固定網(wǎng)和移動網(wǎng)的規(guī)模均居世界第一，網(wǎng)絡(luò)的技術(shù)水平也居世界前列。電信已經(jīng)深入到人類生活的方方面面，和日常生活的結(jié)合越來越緊密。電信網(wǎng)的安全狀況直接影響這些基礎(chǔ)設(shè)施的正常運(yùn)行。加強(qiáng)電信網(wǎng)絡(luò)的安全防護(hù)工作，是一項重要的工作。筆者結(jié)合工作實際，就電信網(wǎng)絡(luò)安全及防護(hù)工作做了一些思考。

1 電信網(wǎng)絡(luò)安全及其現(xiàn)狀

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運(yùn)營商內(nèi)部網(wǎng)絡(luò)安全等幾個方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個基本層面，在這個基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個層面結(jié)合在一起才能夠為用戶提供一個整體的安全體驗。

電信運(yùn)營商都比較重視網(wǎng)絡(luò)安全的建設(shè)，針對網(wǎng)絡(luò)特點、業(yè)務(wù)特點建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年，原中國電信意識到網(wǎng)絡(luò)安全的重要性，并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門，著力建立中國電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中，包括組織體系、策略體系和保障的機(jī)制，依據(jù)組織保障策略引導(dǎo)、保障機(jī)制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的突飛猛進(jìn)，單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此，建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺，也就是SOC平臺，形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系，以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作，來完成對網(wǎng)絡(luò)安全事件的監(jiān)控，完成對網(wǎng)絡(luò)安全工作處理過程中的支撐，還包括垃圾郵件獨(dú)立處理的支持系統(tǒng)。

然而，網(wǎng)絡(luò)安全是相對的。網(wǎng)絡(luò)開放互聯(lián)、設(shè)備引進(jìn)、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等，造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中，安全問題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看，隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具的獲得越來越容易，對網(wǎng)絡(luò)發(fā)起攻擊變得容易；而運(yùn)營商網(wǎng)絡(luò)分布越來越廣泛，這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看，業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡(luò)安全的因素。

2 電信網(wǎng)絡(luò)安全面臨的形勢及問題

2.1 互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離，完全由運(yùn)營商控制，電信用戶無法進(jìn)入。這種機(jī)制有效地避免了電信用戶非法進(jìn)入網(wǎng)絡(luò)控制系統(tǒng)，保障了網(wǎng)絡(luò)安全。IP電話引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨(dú)立于業(yè)務(wù)網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上，TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現(xiàn)不法行為，無論是運(yùn)營商還是執(zhí)法機(jī)關(guān)，確認(rèn)這些用戶的身份需要費(fèi)一番周折，加大了打擊難度。

2.2 新技術(shù)、新業(yè)務(wù)的引入，給電信網(wǎng)的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運(yùn)營商帶來的好處是顯而易見的，但從網(wǎng)絡(luò)安全方面看，如果采取的措施不當(dāng)，NGN的引入可能會增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外，3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入，都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強(qiáng)，每一個用戶都有能力對網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡(luò)群，其拒絕服務(wù)攻擊的破壞力將可能十分巨大。

2.3 運(yùn)營商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)出現(xiàn)重大事故時難以迅速恢復(fù)

目前，我國電信領(lǐng)域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運(yùn)營商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡(luò)安全帶來了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面，原來由行業(yè)主管部門對電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，現(xiàn)在由各運(yùn)營企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè)，行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問題，不同運(yùn)營商之間的網(wǎng)絡(luò)能否互相支援配合就存在問題。

2.4 相關(guān)法規(guī)尚不完善，落實保障措施缺乏力度

當(dāng)前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運(yùn)營企業(yè)安全保障建設(shè)方面，也缺乏法律依據(jù)。運(yùn)營企業(yè)為了在競爭中占據(jù)有利地位，更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場份額和投資回報，把經(jīng)濟(jì)效益放在首位，網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運(yùn)行維護(hù)管理等相對滯后。

3 電信網(wǎng)絡(luò)安全防護(hù)的對策思考

強(qiáng)化電信網(wǎng)絡(luò)安全，應(yīng)做到主動防護(hù)與被動監(jiān)控、全面防護(hù)與重點防護(hù)相結(jié)合，著重考慮以下幾方面。

3.1 發(fā)散性的技術(shù)方案設(shè)計思路

在采用電信行業(yè)安全解決方案時，首先需要對關(guān)鍵資源進(jìn)行定位，然后以關(guān)鍵資源為基點，按照發(fā)散性的思路進(jìn)行安全分析和保護(hù)，并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2 網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全要基于以下幾點考慮：控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問；劃分并隔離不同安全域；防止內(nèi)部訪問者對無權(quán)訪問區(qū)域的訪問和誤操作?？梢园凑站W(wǎng)絡(luò)區(qū)域安全級別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進(jìn)行安全隔離。同時，應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和監(jiān)控需要，與實際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機(jī)構(gòu)組織形式進(jìn)行密切結(jié)合，在系統(tǒng)中建立一個完善的安全體系，包括企業(yè)級的網(wǎng)絡(luò)實時監(jiān)控、入侵檢測和防御，系統(tǒng)訪問控制，網(wǎng)絡(luò)入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強(qiáng)系統(tǒng)的總體可控性。

3.3 網(wǎng)絡(luò)層方案配置

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品，將工作站直接連接到主干交換機(jī)的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進(jìn)行相應(yīng)的監(jiān)測。

3.4 主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫配置方案

由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu)，兼呈局域網(wǎng)和廣域網(wǎng)的特性，是一個充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計算機(jī)網(wǎng)絡(luò)，它面臨的安全性威脅來自于方方面面。每一個需要保護(hù)的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護(hù)產(chǎn)品進(jìn)行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護(hù)產(chǎn)品進(jìn)行中央管理。

3.5 系統(tǒng)、數(shù)據(jù)庫漏洞掃描

系統(tǒng)和數(shù)據(jù)庫的漏洞掃描對電信行業(yè)這樣的大型網(wǎng)絡(luò)而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購買其他的系統(tǒng)/數(shù)據(jù)庫漏洞掃描工具。

參考文獻(xiàn)

篇10

[關(guān)鍵詞]企業(yè)信息 網(wǎng)絡(luò)安全體系

一、企業(yè)信息網(wǎng)絡(luò)安全現(xiàn)狀概述

進(jìn)入21世紀(jì)后,隨著國內(nèi)信息化程度的快速提高,信息網(wǎng)絡(luò)信息安全越來越多受到關(guān)注,信息網(wǎng)絡(luò)安全產(chǎn)品和廠商短短幾年內(nèi)大量涌現(xiàn)。但是,令人擔(dān)憂的是,雖然眾多的產(chǎn)品和廠商都以信息網(wǎng)絡(luò)安全的概念在提供服務(wù),但其中包含的實際技術(shù)和內(nèi)容卻千差萬別。這樣的情況,一方面對市場和用戶形成了誤導(dǎo),不利于解決用戶的實際信息網(wǎng)絡(luò)安全問題,造成投資浪費(fèi);另一方面也不利于創(chuàng)造良性的競爭環(huán)境,阻遏了信息網(wǎng)絡(luò)安全市場的發(fā)展。

鑒于此,有必要對信息網(wǎng)絡(luò)安全進(jìn)行成體系的理論探討,形成統(tǒng)一的共識和標(biāo)準(zhǔn),這樣才能讓信息網(wǎng)絡(luò)安全產(chǎn)品和廠商真正滿足用戶的需求,解決用戶的實際問題,推動國家信息化的發(fā)展。

二、信息網(wǎng)絡(luò)安全問題的本質(zhì)探討

1.信息網(wǎng)絡(luò)安全問題的形成原因

信息網(wǎng)絡(luò)安全問題的提出跟國家信息化的進(jìn)程息息相關(guān),信息化程度的提高,使得內(nèi)部信息網(wǎng)絡(luò)具備了以下三個特點:

(1)隨著ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)的普及,單位的日程運(yùn)轉(zhuǎn)對內(nèi)部信息網(wǎng)絡(luò)的依賴程度越來越高,信息網(wǎng)絡(luò)已經(jīng)成了各個單位的生命線,對信息網(wǎng)絡(luò)穩(wěn)定性、可靠性和可控性提出高度的要求。

(2)內(nèi)部信息網(wǎng)絡(luò)由大量的終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成,形成了統(tǒng)一有機(jī)的整體,任何一個部分的安全漏洞或者問題,都可能引發(fā)整個網(wǎng)絡(luò)的癱瘓,對信息網(wǎng)絡(luò)各個具體部分尤其是數(shù)量巨大的終端可控性和可靠性提出前所未有的要求。

(3)由于生產(chǎn)和辦公系統(tǒng)的電子化,使得內(nèi)部網(wǎng)絡(luò)成為單位信息和知識產(chǎn)權(quán)的主要載體,傳統(tǒng)的對信息的控制管理手段不再使用,新的信息管理控制手段成為關(guān)注的焦點。

上述三個問題,都是依賴于信息網(wǎng)絡(luò),與信息網(wǎng)絡(luò)的安全緊密相連的,信息網(wǎng)絡(luò)安全受到廣泛的高度重視也就不以為奇。

2.信息網(wǎng)絡(luò)安全問題的威脅模型

相對于信息網(wǎng)絡(luò)安全概念,傳統(tǒng)意義上的網(wǎng)絡(luò)安全更加為人所熟知和理解,事實上,從本質(zhì)來說,傳統(tǒng)網(wǎng)絡(luò)安全考慮的是防范互聯(lián)網(wǎng)對信息網(wǎng)絡(luò)的攻擊,即可以說是互聯(lián)網(wǎng)安全,包括傳統(tǒng)的防火墻、入侵檢察系統(tǒng)和VPN都是基于這種思路設(shè)計和考慮的?；ヂ?lián)網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的,威脅都來自于外部網(wǎng)絡(luò),其途徑主要通過內(nèi)互聯(lián)網(wǎng)邊界出口。所以,在互聯(lián)網(wǎng)安全的威脅模型假設(shè)下,只要將網(wǎng)絡(luò)邊界處的安全控制措施做好,就可以確保整個網(wǎng)絡(luò)的安全。

而信息網(wǎng)絡(luò)安全的威脅模型與互聯(lián)網(wǎng)安全模型相比,更加全面和細(xì)致,它即假設(shè)信息網(wǎng)絡(luò)中的任何一個終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的,威脅既可能來自互聯(lián)網(wǎng),也可能來自信息網(wǎng)絡(luò)的任何一個節(jié)點上。所以,在信息網(wǎng)絡(luò)安全的威脅模型下,需要對內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點和參與者的細(xì)致管理,實現(xiàn)一個可管理、可控制和可信任的信息網(wǎng)絡(luò)。由此可見,相比于互聯(lián)網(wǎng)安全,企業(yè)的信息網(wǎng)絡(luò)安全具有以下特點:

(1)要求建立一種更加全面、客觀和嚴(yán)格的信任體系和安全體系;

(2)要求建立更加細(xì)粒度的安全控制措施,對計算機(jī)終端、服務(wù)器、網(wǎng)絡(luò)和使用者都進(jìn)行更加具有針對性的管理;

(3)要求對信息進(jìn)行生命周期的完善管理。

三、現(xiàn)有信息網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)分析

自從信息網(wǎng)絡(luò)安全概念提出到現(xiàn)在,有眾多的廠商紛紛自己的信息網(wǎng)絡(luò)安全解決方案,由于缺乏標(biāo)準(zhǔn),這些產(chǎn)品和技術(shù)各不相同,但是總結(jié)起來,應(yīng)該包括監(jiān)控審計類、桌面管理類、文檔加密類、文件加密類和磁盤加密類等。下面分別對這些產(chǎn)品和技術(shù)類型的特性做了簡單的分析和說明。

1.監(jiān)控審計類

監(jiān)控審計類產(chǎn)品是最早出現(xiàn)的信息網(wǎng)絡(luò)安全產(chǎn)品, 50%以上的信息網(wǎng)絡(luò)安全廠商推出的信息網(wǎng)絡(luò)安全產(chǎn)品都是監(jiān)控審計類的。監(jiān)控審計類產(chǎn)品主要對計算機(jī)終端訪問網(wǎng)絡(luò)、應(yīng)用使用、系統(tǒng)配置、文件操作,以及外設(shè)使用等提供集中監(jiān)控和審計功能,并可以生成各種類型的報表。

監(jiān)控審計產(chǎn)品一般基于協(xié)議分析、注冊表監(jiān)控和文件監(jiān)控等技術(shù),具有實現(xiàn)簡單和開發(fā)周期短的特點,能夠在信息網(wǎng)絡(luò)發(fā)生安全事件后,提供有效的證據(jù),實現(xiàn)事后審計的目標(biāo)。監(jiān)控審計類產(chǎn)品的缺點是不能做到事情防范,不能從根本上實現(xiàn)提高信息網(wǎng)絡(luò)的可控性和可管理性。

2.桌面管理類

桌面管理類產(chǎn)品主要針對計算機(jī)終端實現(xiàn)一定的集中管理控制策略,包括外設(shè)管理、應(yīng)用程序管理、網(wǎng)絡(luò)管理、資產(chǎn)管理以及補(bǔ)丁管理等功能,這類型產(chǎn)品通常跟監(jiān)控審計產(chǎn)品有類似的地方,也提供了相當(dāng)豐富的審計功能,

桌面監(jiān)控審計類產(chǎn)品除了使用監(jiān)控審計類產(chǎn)品的技術(shù)外,還可能需要對針對Windows系統(tǒng)使用鉤子技術(shù),對資源進(jìn)行控制,總體來說,技術(shù)難度也不是很大。桌面監(jiān)控審計類產(chǎn)品實現(xiàn)了對計算機(jī)終端資源的有效管理和授權(quán),其缺點不能實現(xiàn)對信息網(wǎng)絡(luò)信息數(shù)據(jù)提供有效的控制。

3.文檔加密類

文檔加密類產(chǎn)品也是信息網(wǎng)絡(luò)安全產(chǎn)品中研發(fā)廠商相對較多的信息網(wǎng)絡(luò)安全產(chǎn)品類型,其主要解決特定格式主流文檔的權(quán)限管理和防泄密問題,可以部分解決專利資料、財務(wù)資料、設(shè)計資料和圖紙資料的泄密問題。

文檔加密技術(shù)一般基于文件驅(qū)動和應(yīng)用程序的API鉤子技術(shù)結(jié)合完成,具有部署靈活的特點。但是,因為文檔加密技術(shù)基于文件驅(qū)動鉤子、臨時文件和API鉤子技術(shù),也具有軟件兼容性差、應(yīng)用系統(tǒng)適應(yīng)性差、安全性不高以及維護(hù)升級工作量大的缺點。

4.文件加密類

文件加密類產(chǎn)品類型繁多,有針對單個文件加密,也有針對文件目錄的加密,但是總體來說,基本上是提供了一種用戶主動的文件保護(hù)措施。

文件加密類產(chǎn)品主要基于文件驅(qū)動技術(shù),不針對特定類型文檔,避免了文檔加密類產(chǎn)品兼容性差等特點,但是由于其安全性主要依賴于使用者的喜好和習(xí)慣,難以實現(xiàn)對數(shù)據(jù)信息的強(qiáng)制保護(hù)和控制。

5.磁盤加密類

磁盤加密類產(chǎn)品在磁盤驅(qū)動層對部分或者全部扇區(qū)進(jìn)行加密,對所有文件進(jìn)行強(qiáng)制的保護(hù),結(jié)合用戶或者客戶端認(rèn)證技術(shù),實現(xiàn)對磁盤數(shù)據(jù)的全面保護(hù)。

磁盤加密技術(shù)由于基于底層的磁盤驅(qū)動和內(nèi)核驅(qū)動技術(shù),具有技術(shù)難度高、研發(fā)周期長的特點。此外,由于磁盤加密技術(shù)對于上層系統(tǒng)、數(shù)據(jù)和應(yīng)用都是透明的,要實現(xiàn)比較好的效果,必須結(jié)合其他信息網(wǎng)絡(luò)安全管理控制措施。

四、構(gòu)建完整的信息網(wǎng)絡(luò)安全體系

從前面的介紹可以看出,上述的信息網(wǎng)絡(luò)安全產(chǎn)品,都僅僅解決了信息網(wǎng)絡(luò)安全部分的問題,并且由于其技術(shù)的限制,存在各自的缺點。事實上,要真正構(gòu)建一個可管理、可信任和可控制的信息網(wǎng)絡(luò)安全體系,應(yīng)該統(tǒng)一規(guī)劃,綜合上述各種技術(shù)的優(yōu)勢,構(gòu)建整體一致的信息網(wǎng)絡(luò)安全管理平臺。

根據(jù)上述分析和信息網(wǎng)絡(luò)安全的特點,一個整體一致的信息網(wǎng)絡(luò)安全體系,應(yīng)該包括身份認(rèn)證、授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計四個方面,并且,這四個方面應(yīng)該是緊密結(jié)合、相互聯(lián)動的統(tǒng)一平臺,才能達(dá)到構(gòu)建可信、可控和可管理的安全信息網(wǎng)絡(luò)的效果。

身份認(rèn)證是信息網(wǎng)絡(luò)安全管理的基礎(chǔ),不確認(rèn)實體的身份,進(jìn)一步制定各種安全管理策略也就無從談起。信息網(wǎng)絡(luò)的身份認(rèn)證,必須全面考慮所有參與實體的身份確認(rèn),包括服務(wù)器、客戶端、用戶和主要設(shè)備等。其中,客戶端和用戶的身份認(rèn)證尤其要重點關(guān)注,因為他們具有數(shù)量大、環(huán)境不安全和變化頻繁的特點。

授權(quán)管理是以身份認(rèn)證為基礎(chǔ)的,其主要對內(nèi)部信息網(wǎng)絡(luò)各種信息資源的使用進(jìn)行授權(quán),確定“誰”能夠在那些“計算機(jī)終端或者服務(wù)器”使用什么樣的“資源和權(quán)限”。授權(quán)管理的信息資源應(yīng)該盡可能全面,應(yīng)該包括終端使用權(quán)、外設(shè)資源、網(wǎng)絡(luò)資源、文件資源、服務(wù)器資源和存儲設(shè)備資源等。

數(shù)據(jù)保密是信息網(wǎng)絡(luò)信息安全的核心,其實質(zhì)是要對信息網(wǎng)絡(luò)信息流和數(shù)據(jù)流進(jìn)行全生命周期的有效管理,構(gòu)建信息和數(shù)據(jù)安全可控的使用、存儲和交換環(huán)境,從而實現(xiàn)對信息網(wǎng)絡(luò)核心數(shù)據(jù)的保密和數(shù)字知識產(chǎn)權(quán)的保護(hù)。由于信息和數(shù)據(jù)的應(yīng)用系統(tǒng)和表現(xiàn)方式多種多樣,所以要求數(shù)據(jù)保密技術(shù)必須具有通用性和應(yīng)用無關(guān)性。

監(jiān)控審計是信息網(wǎng)絡(luò)安全不可缺少的輔助部分,可以實現(xiàn)對信息網(wǎng)絡(luò)安全狀態(tài)的實時監(jiān)控,提供信息網(wǎng)絡(luò)安全狀態(tài)的評估報告,并在發(fā)生信息網(wǎng)絡(luò)安全事件后實現(xiàn)有效的取證。

需要再次強(qiáng)調(diào)的是,上述四個方面,必須是整體一致的,如果只簡單實現(xiàn)其中一部分,或者只是不同產(chǎn)品的簡單堆砌,都難以建立和實現(xiàn)有效信息網(wǎng)絡(luò)安全管理體系。