前言:中文期刊网精心挑选了网络安全加固建设范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全加固建设范文1
关键词:网络安全;风险评估;安全措施
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
频频发生的信息安全事件正在日益引起全球的关注,列举的近年来的网络突发事件,不难发现,强化提升网络安全风险评估意识、强化信息安全保障为当务之急。所谓风险评估,是指网络安全防御中的一项重要技术,它的原理是,根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。完成一个信息安全系统的设计与实施并不足以代表该信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。
2 网络安全风险评估的现状
2.1 风险评估的必要性
有人说安全产品就是保障网络安全的基础,但有了安全产品,不等于用户可以高枕无忧地应用网络。产品是没有生命的,需要人来管理与维护,这样才能最大程度地发挥其效能。病毒和黑客可谓无孔不入,时时伺机进攻。这就更要求对安全产品及时升级,不断完善,实时检测,不断补漏。网络安全并不是仅仅依靠网络安全产品就能解决的,它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。通常,在一个企业中,对安全技术了如指掌的人员不多,大多技术人员停留在对安全产品的一般使用上,如果安全系统出现故障或者黑客攻击引发网络瘫痪,他们将束手无策。这时他们需要的是安全服务。而安全评估,便是安全服务的重要前期工作。网络信息安全,需要不断评估方可安全威胁。
2.2 安全评估的目标、原则及内容
安全评估的目标通常包括:确定可能对资产造成危害的威胁;通过对历史资料和专家的经验确定威胁实施的可能性;对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;准确了解企业网的网络和系统安全现状;明晰企业网的安全需求;制定网络和系统的安全策略;制定网络和系统的安全解决方案;指导企业网未来的建设和投入;通过项目实施和培训,培养用户自己的安全队伍。而在安全评估中必须遵循以下原则:标准性原则、可控性原则、整体性原则、最小影响原则、保密性原则。
安全评估的内容包括专业安全评估服务和主机系统加固服务。专业安全评估服务对目标系统通过工具扫描和人工检查,进行专业安全的技术评定,并根据评估结果提供评估报告。
目标系统主要是主流UNIX及NT系统,主流数据库系统,以及主流的网络设备。使用扫描工具对目标系统进行扫描,提供原始评估报告或由专业安全工程师提供人工分析报告。或是人工检查安全配置检查、安全机制检查、入侵追查及事后取证等内容。而主机系统加固服务是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
系统加固报告服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出加固报告。系统加固报告增强服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。系统加固实施服务选择使用该服务包,必须以选择 ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由专业安全工程师实施加固工作。
3 网络安全风险评估系统
讨论安全评定的前提在于企业已经具有了较为完备的安全策略,这项工作主要检测当前的安全策略是否被良好的执行,从而发现系统中的不安全因素。当前计算机世界应用的主流网络协议是TCP/IP,而该协议族并没有内置任何安全机制。这意味着基于网络的应用程序必须被非常好的保护,网络安全评定的主要目标就是为修补全部的安全问题提供指导。
评定网络安全性的首要工作是了解网络拓扑结构,拓扑描述文档并不总能反映最新的网络状态,进行一些实际的检测是非常必要的。最简单的,可以通过Trackroute工具进行网络拓扑发现,但是一些网络节点可能会禁止Trackroute流量的通过。在了解了网络拓扑之后,应该获知所有计算机的网络地址和机器名。对于可以访问的计算机,还应该了解其正在运行的端口,这可以通过很多流行的端口发现工具实现。当对整个网络的架构获得了足够的认知以后,就可以针对所运行的网络协议和正在使用的端口发现网络层面的安全脆弱点了。通常使用的方法是对协议和端口所存在的安全漏洞逐项进行测试。
安全领域的很多专家都提出边界防御已经无法满足今天的要求,为了提高安全防御的质量,除了在网络边界防范外部攻击之外,还应该在网络内部对各种访问进行监控和管理。企业组织每天都会从信息应用环境中获得大量的数据,包括系统日志、防火墙日志、入侵检测报警等。是否能够从这些信息中有效的识别出安全风险,是风险管理中重要一环。目前的技术手段主要被应用于信息的收集、识别和分析,也有很多厂商开发出了整合式的安全信息管理平台,可以实现所有系统模块的信息整合与联动。
数据作为信息系统的核心价值,被直接攻击和盗取数据将对用户产生极大的危害。正因为如此,数据系统极易受到攻击。对数据库平台来说,应该验证是否能够从远程进行访问,是否存在默认用户名密码,密码的强度是否达到策略要求等。而除了数据库平台之外,数据管理机制也应该被仔细评估。不同级别的备份措施乃至完整的灾难备份机制都应该进行有效的验证,不但要检验其是否存在安全问题,还要确认其有效性。大部分数据管理产品都附带了足够的功能进行安全设定和数据验证,利用这些功能可以很好的完成安全评定工作并有效的与安全策略管理相集成。攻击者的一个非常重要目的在于无需授权访问某些应用,而这往往是获得系统权限和数据的跳板。事实上大部分的安全漏洞都来自于应用层面,这使得应用程序的安全评定成为整个工作体系中相当重要的一个部分。与更加规程化的面向体系底层的安全评定相比,应用安全评定需要工作人员具有丰富的安全知识和坚实的技术技能。
4 结束语
目前我国信息系统安全风险评估工作,在测试数据采集和处理方面缺乏实用的技术和工具的支持,已经成为制约我国风险评估水平的重要因素。需要研究用于评价信息安全评估效用的理论和方法,总结出一套适用于我国国情的信息安全效用评价体系,以保证信息安全风险评估结果准确可靠,可以为风险管理活动提供有价值的参考;加强我国信息安全风险评估队伍建设,促使我国信息安全评估水平得到持续改进。
参考文献:
[1] 陈晓苏,朱国胜,肖道举.TCP/IP协议族的安全架构[N].华中科技大学学报,2001,32-34.
[2] 贾颖禾.国务院信息化工作办公室网络与信息安全组.信息安全风险评估[J].网络安全技术与应用,2004(7),21-24.
[3] 刘恒,信息安全风险评估挑战[R],信息安全风险评估与信息安全保障体系建设研讨会,2004.10.12.
[4] [美]Thomas A Wadlow.网络安全实施方法.潇湘工作室译.北京:人民邮电出版社,2000.
[5] 张卫清,王以群.网络安全与网络安全文化[J].情报杂志,2006(1),40-45
[6] 赵战生,信息安全风险评估[R],第全国计算机学术交流会,2004.7.3.
网络安全加固建设范文2
目前我国网络安全问题因为硬件、软件技术及相关标准的缺失已经非常迫切,有关国家政策和组织机构的确立是最及时的决策和弥补。今年2月份,针对国家网络安全的挑战,中央网络安全和信息化领导小组成立,标志着我国已经将网络安全提到了国家战略的高度,打造一张安全网络已经不是“纸上谈兵”。
网络上的中国安全现状
“中国已经是一个网络大国,但大而不强。”在首都网络安全日“企业级信息安全技术高峰论坛暨中关村信息安全产业联盟移动计算工作组成立仪式”上,国家信息化专家咨询委员会委员汪玉凯表示,网络大而不强有四个标志:中国信息化排名不断下降;宽带建设比较落后;自主创新动力不足,关键技术受制于人;我国不同地区间“数字鸿沟”问题突出。
据权威机构统计的数据显示,目前我国互联网用户已经超过6亿,同时互联网企业的数量和规模正迅猛增长。互联网技术和应用带来的海量数据爆发性增长后,其安全问题逐渐显现,各类网络攻击、信息泄密、网络谣言等网络安全事件频发。诸如中国人寿80万页保单泄露,如家和汉庭等多家商业酒店用户信息泄露、圆通速递快件单信息倒卖等信息泄露事件等;“套餐窃贼”窃取70万用户信息、“支付鬼手”木马侵害手机支付安全、三星Galaxy S4出现高危短信欺诈漏洞、新型诈骗短信威胁移动安全、百度云盘手机版高危漏洞等等。
另一个在网络安全行业闹得沸沸扬扬的是OpenSSL漏洞。目前多数SSL加密网站都是用名为OpenSSL的开源软件包,其漏洞也被业界称之为“心脏出血”。今年4月9日上午,北京大学和清华大学某项网络服务被检测到存在“心脏出血”漏洞,同时也监测到来自北京联通的一个IP针对这些服务进行漏洞探测。360首席运营官谭晓生说,黑客通过“心脏出血”漏洞窃取数据,以64K为单位,一个包一个包地偷。SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。除了PC网站之外,移动互联网同样广受其害。
与此同时,随着“斯诺登事件”的曝光,来自网络空间上的全球争夺战也在打响。美国等大国纷纷加强网络防御,加大在网络空间的部署,国家级网络冲突的风险进一步增加。其次,西方国家频繁启动贸易保护安全壁垒,信息安全也成为中兴、华为等企业进入欧美市场的主要争论焦点。
今年正好是中国全面接入互联网20周年,各有关部门和行业负责人都对互联网20年现象进行了热烈的讨论,其中一个重要问题也是网络安全。工业和信息化部软件与集成电路促进中心主任邱善勤表示,目前我国关键信息系统主要面临设备被控、数据被窃及业务被瘫三类威胁。在美国“金刚”面前,我国的信息化应用系统几乎是“裸奔”状况。
随着信息化和网络化的快速推进,各类网络安全事件的影响程度将逐步加大,经济信息安全问题日益显现,网络安全保障需求也在快速增长。我们迫切需要重视网络安全发展战略,提升网络安全的保障能力,建起一张坚固可靠可信的安全网络。
建立全面的安全网络
2014年纽约时报爆出美国国安局窃取了华为的产品源代码和上千名客户资料,其数据量之大让人吃惊。尽管这些数据造成的损失目前还未有公开的进行统计,但是估计其对华为的后续商业活动必将造成极大的影响。同时通过这一窃密事件,更反映了当前我国企业的网络安全存在极大的漏洞。
在现实生活中,企业因为安全和信息化建设的不同步,造成的安全漏洞比比皆是。据记者了解,目前不少单位已经要求在信息化系统建设时同步进行安全规划与设计,但在随后的详细设计及开发环节就开始“分道扬镳”,从而导致信息系统的安全性与最初的规划设计风牛马不相及,要不就是在市场上随便找些安全产品补补“漏洞”,最终结果是安全规划设计形同虚设。
今年成立的国家网络安全和信息化领导小组提出“网络安全与信息化是一体之双翼”,将安全与信息化提到同等重要的高度上。那么在大型政企信息化建设工作中,如何有效落实“一体双翼”,真正达到“安全”与“信息化”齐头并进的效果?改变现状的有效办法是必须在详细设计及开发环节也要保持“安全”与“业务”的同步,将安全与应用在代码级实现接口,并建立紧密相关的联动机制,从而迫使两者同步推进。
同时,自主信息产业生态环境建设要围绕国家安全需要。特别是在集成电路、核心电子元器件、基础软件等核心关键技术领域取得突破,推动关键信息技术产品的国产化替代,在关系国家安全的重点领域有序开展国产产品和设备的替代工作。
微软今年宣布停止升级windows X P,对中国的信息安全产生严重影响。目前微软希望用户升级到Windows 8,但是如果升级到Windows 8,问题会更为严重。Windows 8跟可信计算严格绑定,所有的可信安全控制权全部由美国接管,改一个代码都要经过微软的认定批准,这会产生非常严重安全的问题。
网络安全加固建设范文3
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(Electronic Commerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
网络安全加固建设范文4
【关键词】气象网络;安全防范;等级保护;入侵防御;审计
1.引言
目前,全省气象宽带网络系统采用SDH点到点专线和VPN组网技术,连接省级中心和17个市级系统、2个管理处及63个县级系统,通过主、备方式来保证线路的可靠稳定性。省局机关地理位置与气象科技园相距约6公里,两端网络系统采用千兆光纤直接相连。通过MPLS VPN和MSTP线路与国家气象信息中心通信,将省级气象数据实时传送到国家气象信息中心。整个宽带网内利用了多种网络技术,如OSPF、BGP、IPSEC VPN、VLAN、STP、策略路由等[1]。
电视会商系统、相关预报系统及其产品、雷达资料、观测资料及办公自动化系统已经在全省气象宽带主干网络系统中传输,随着气象部门各项气象业务的发展,宽带网络系统越来越多的承担着数据收集与交换、资料共享、电视会商等重要业务系统的信息传输任务。随着网络规模逐步扩大,网络信息在逐步开放和共享的同时也来越不安全,各种各样的混合型入侵越来越多,单一的预防模式很难抵御外来的威胁。一旦出现问题将会严重威胁业务的传输和数据的安全,影响气象为防灾减灾服务。
因此如何保护重要气象资料,保障气象网络与互联网、外部网络进行正常通信成为部署气象信息网络安全设备的首要任务。
2.网络安全隐患综合分析及安全现状
2.1 网络安全隐患
国内外的相关资料显示,目前影响网络系统安全的原因主要有四种:非授权访问、信息泄露、拒绝服务、病毒的危害。
现在气象网络规模较大,大量网络设备如交换机、路由器等分布在不同的地方,全面安全管理较困难。网络中的计算机使用大量的操作系统和应用软件,系统或软件的漏洞会导致计算机成为气象网络的被攻击的后门和隐患。计算机病毒是网络安全最大的威胁,网络环境下传播速度快,有着巨大的破坏性,防范查杀较为困难。内部用户对网络资源的滥用,特别是BT等P2P的下载占用了大量的网络带宽,对正常业务的网络需求受到影响。
ARP欺骗攻击、移动存储设备传播的病毒与木马、新型恶意代码的威胁等,都曾严重影响气象网络和信息系统的安全运行。
2.2 网络安全现状
2008年,按照国家信息安全等级保护的相关要求,省气象局启动了信息安全等级保护定级工作,但目前仅完成信息系统定级阶段,安全建设现状与已确定的等级要求间也存在一定差距,这表现在物理安全情况多样;网络安全设施薄弱,网络安全防护不全面;部分人员安全意识淡薄,系统安全防护不到位;安全组织机构尚不健全,安全管理能力有限。
目前宽带网络仅通过部署防火墙实现了最基本的访问控制,对于内部网络攻击、网络异常流量、资源非法访问和网络病毒传播等都缺乏有效的应对手段,难以发现和追踪各类安全入侵事件,给整个网络的安全稳定运行带来极大的隐患。
因此需要进行网络安全检测、评估、整改和加固,同时,还必须从安全管理要求出发,建立健全管理制度、系统建设管理和系统运维管理等基本安全管理措施。
3.网络系统安全的防护策略
3.1 网络安全的需求分析
依照等级保护中要求信息系统与信息安全“同步规划、同步建设、同步投入运行”的三同步原则和安全技术要求,通过对省级网络实际情况进行分析和信息安全建设情况调研,根据省级网络结构,从网络的各层次所带来的风险进行分析,同时结合信息系统安全建设现状,有针对性地为省级信息网络系统提供安全保障,须加强环境、传输、网络、主机、应用、运行管理等方面的安全措施[2]。
3.1.1 物理环境安全需求
主要包括:机房选址、机房建设、区域控制、门禁措施、重点部位监控、电磁泄露发射保护等方面。
3.1.2 网络安全需求
信息系统的很多风险都来自网络,网络防护要求建设全面的网络安全基础设施,能够对进出本安全域的信息和数据进行严格的控制,并能够及时发现和响应各种网络攻击与破坏行为等。
3.1.3 主机安全需求
操作系统安全和数据库系统安全是深层的安全问题,需要建立病毒及恶意代码的预警和响应机制,能及时发现和响应各种病毒及恶意代码的攻击、破坏和信息泄露行为;需要提供技术手段实现操作系统漏洞的及时升级和补丁的安装;需要对用户终端采用技术手段,防治终端的病毒和恶意代码,防止违规外联;需要对安全事件的进行记录,实现对服务器和重要客户端上的每个操作系统用户和数据库用户的安全审计,并进行有效的责任认定等。
3.1.4 应用及数据安全需求
需要建立身份认证机制,保证系统敏感或重要数据的完整性、保密性和抗抵赖性等,需要实现对系统的粗粒度的访问控制和应用的细粒度访问授权。
3.1.5 安全管理需求
信息系统的安全“三分技术、七分管理”,解决信息系统的安全问题不应只从技术方面着手,更应加强安全管理工作。需要建立安全管理组织,制定相关安全管理制度、应急响应计划和应急状态下的安全保障措施等。
3.2 安全防护体系的建构
网络安全加固建设范文5
1)电子商务的概念:电子商务(ElectronicCommerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被****的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
网络安全加固建设范文6
关键字 县级供电企业;信息网络安全;剖析
【中图分类号】TN915.08文献标识码:B文章编号:1673-8500(2013)01-0022-01
县级供电企业信息化建设虽然起步不晚,但由于电网规模的不同导致各地信息化建设层次不齐,随着电力广域网的接入,信息网络的安全问题,成为各县级供电企业目前面临的同样难题,健壮的网络是实现网络安全和业务正常的基础,只有基础层面的网络设备的稳定性、安全性得到了保障,网络的稳定性的实现才成为可能,现以县级供电公司信息网络建设的情况,对网络安全情况进行分析。
1网络建设现状
近年来,县级供电企信息化建设如火如荼,如今硬件环境已经可以满足在信息网络上运行各种系统等应用,实现千兆骨干,百兆到桌面。按照部门、职能、安全重要程度分为许多子网,包括:营销子网、财务子网,办公子网、生产子网、服务器子网等,在核心交换机上为不同子网划分不同的虚拟局域网(vlan)。不同子网分属不同广播域。在应用上,提供文件共享访问,办公自动化、电子邮件等。
2存在问题
随着信息化程度的提高,信息网络的规模不断扩大,网络结构需要进行不断的调整,但在设备安全加固,数据备份、网络安全管理、操作人员安全意识等方面存在一定问题,造成管理吃力,给网络安全埋伏了不利因素,成为急需解决的问题。
3解决办法
3.1制定制度,落实责任。信息网络安全离不开严格的制度和明确的责任分工,为提高网络信息系统整体安全防护能力,强化公司内部信息安全,成立信息安全组织机构,组织机构分为领导小组和工作小组建立切实可行的应急预案和灾难恢复预案,有效预防和正确、快速应对网络及信息安全突发事件,最大限度地减少影响和损失,确保网络系统安全、稳定运行。
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我公司结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全公司人员学习有关网络知识,提高计算机使用水平,确保预防。
3.2网络系统安全管理。
3.2.1网络设备。因地理条件和资金限制,一些县级供电企业网络多为星形结构,超过半数的网络结点不能形成环网,网络运行极不稳定,这是目前县公司一些应用推广的阻碍。对于这种情况,如果资金较少,可以考虑根据地理条件在网内建设小型的环网,尽可能多的将结点环起来。
一些公司核心交换机、防火墙都是单机运行,无备用设备,一旦核心出现故障将会造成公司网络全部瘫痪,与上级公司无法连通,因此增加一台核心交换机和一台防火墙,和设备通过跳线相连,实现双机冗余,互为备用。
3.2.2终端管理。按照国家电网公司要求和省、市公司统一部署安排,信息内网所有计算机统一注册使用桌面安全管理系统,统一安装省公司部署的杀毒软件,每台终端设备都进行实名注册,进行IP+MAC+交换机端口多重绑定,严格控制移动存储设备的接入,确保非法设备无法接入内网,信息内外网实行双网双机,内外网之间完全物理分开,内网计算机不得任何方式接入外网,在信息外网出口安装IPS入侵防御设备,可以实时主动拦截各类黑客攻击和恶意行为,保护信息网络架构免受侵害,阻断非授权用户的使用,降低了不安全因素。
所有计算机在接入信息网络以前必须对所有账号进行处理,不得使用系统默认的用户名,删除不用的账号,禁用来宾用户,所有账号必须设置字母+数字+特殊符号长度在8位以上的密码,并定期更换。
3.2.3分区分域、等级防护。对公司的信息系统分成生产控制大区和管理信息大区,并对所有的业务系统进行等级划分,实现不同安全域之间的独立化和差异化的防护。其中生产控制大区又可以分为控制区和非控制区,调度数据网络作为专用的数据网络,划分为安全区I,它使用不同的网段单独组网,它与安全区II之间采用国家指定部门检测认定的电力专用正向单向隔离装置。WEB服务与管理信息大区之间分别安装硬件防火墙,并严格控制相互之间访问。
3.3数据备份。对数据备份设立了专人管理,负责数据备份系统的日常管理,针对系统情况和备份内容,分别采用了完全备份、增量备份、差分备份和按需备份,关键数据实现了异地备份。备份内容涵盖了生产、营销、管理等所有关键业务。
3.4UPS电源。网络设备在运行中最大的问题是电压不稳,甚至停电。虽然信息机房报在的办公大楼一般都接了双电源,但仍会有不可预知的电源故障会导致局域网中交换机、路由器、服务器和数据存储器等各类设备无法连续正常工作,因此UPS电源是机房中最重要的保障。在局域网的中心机房中,采用10-20kVA中等功率UPS集中供电的方式已被广泛接受。为了有效提高系统可靠性,一般采用双机热备份或并联供电。
3.5防雷系统。要定期测试机房在建设时已经建立了接地线,查看所有网络设备、服务器、机柜都做到了良好的接地和电源电源零线接地。对机房设备也要安装防雷设备,每台交换机都应安装机架式防雷插排和交换机防雷模块,所有电源都更换防雷插座。
3.6人员培训和管理。信息网络的安全归根结底还是要落实到操作人的头上,操作人员安全意识和操作水平提高了,网络安全管理就做到了事半功倍的效果,因此,需要在人员培训方面特别重视,每周五下午进行一次信息安全知识培训,小的从开关机讲起,大到系统安全策略设置,从各方面进行全面指导。通过公司视频会议系统组织观看信息安全方面教育片和安全事例分析。并与各部室及员工签订信息安全责任书,确保责任落到实处。对所有职工发放信息网络使用安全须知,提高员工对信息安全的认知和增强员工遵守信息安全各项规章制度的自觉性。
