前言:中文期刊网精心挑选了当前网络安全形势范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
当前网络安全形势范文1
[关键词]网络安全 管理流程 安全体系框架 安全防护策略
中图分类号:TP 文献标识码:A 文章编号:1009-914X(2017)01-0394-01
企业在网络安全方面的整体需求涵盖基础网络、系统运行和信息内容安全、运行维护的多个方面,包括物理安全、网络安全、主机安全、应用安全、网站安全、应急管理、数据安全及备份恢复等内容,这些方方面面的安全需求,也就要求企业要有一流的安全队伍、合理的安全体系框架以及切实可行的安全防护策略。
一、强化安全队伍建设和管理要求
企业要做好、做优网络安全工作,首先要面临的就是组织机构和人才队伍建设问题,因此,专门的网络安全组织机构对每个企业来讲都是必不可少的。在此基础上,企业要结合每季度或者每月的网络安全演练、安全检查等工作成果和反馈意见,持续加强网络安全管理队伍建设,细化安全管理员和系统管理员的安全责任,进一步明确具体的分工安排及责任人,形成清晰的权责体系。同时,在企业网络自查工作部署上,也要形成正式的检查结果反馈意见,并在网络安全工作会议上明确检查的形式、流程及相关的文件和工作记录安排,做到分工明确、责任到人,做到规范化、流程化、痕迹化管理,形成规范的检查过程和完整的工作记录,从而完成管理流程和要求的塑造,为企业后续的网络安全工作提供强劲、持久的源动力和执行力。
二、搭建科学合理的安全体系框架
一般来讲,我国有不少企业的网络安全架构是以策略为核心,以管理体系、技术体系和运维体系共同支撑的一个框架,其较为明显的特点是:上下贯通、前后协同、分级分域、动态管理、积极预防。
上下贯通,就是要求企业整个网络安全工作的引领与落实贯通一致,即企业整体的网络安全方针和策略要在实际的工作中得到贯彻实施;前后协同,就是要求企业得网络安全组织机构和人员,要积极总结实际的工作经验和成果,结合企业当前的网络安全态势,最新的国际、国内安全形势变化,每年对企业的网络安全方针和策略进行不断的修正,达到前后协同的效果。分级分域,就是要求企业要结合自身的网络拓扑架构、各个业务系统及办公系统的安全需求、企业存储及使用的相关数据重要程度、各个系统及服务的使用人员等情况,明确划分每个员工的系统权限、网络权限,对使用人员进行分级管理,并对相关网络及安全设备、服务器等进行分区域管理,针对不同区域的设备设定不同的安全级别。
动态管理,就是要求企业的整体安全策略和方针、每个阶段的安全计划和工作内容,都要紧密跟踪自身的信息化发展变化情况,并要在国内突发或重大安全事件的引导下,适时调整、完善和创新安全管理模式和要求,持续提升、改进和强化技术防护手段,保证网络安全水平与企业的信息化发展水平相适应,与国内的信息安全形势相契合;积极预防就是要求企业在业务系统的开发全过程,包括可研分析、经济效益分析、安全分析、系统规划设计、开工实施、上线运行、维护保障等多个环节上要抱有主动的态度,采取积极的防护措施,不要等到问题发生了再去想对策、想办法,要尽可能的提前评估潜在的安全隐患,并着手落实各种预防性措施,并运用多种监控工具和手段,定期感知企业的网络安全状态,提升网络安全事故的预警能力和应急处置能力。
三、落实切实可行的安全防护策略
在安全策略方面,企业的安全防护策略制定思路可以概括为:依据国家网络安全战略的方针政策、法律法规、制度,按照相关行业标准规范要求,结合自身的安全环境和信息化发展战略,契合最新的安全形势和安全事件,从总体方针和分项策略两个方面进行制定并完善网络安全策略体系,并在后续的工作中,以总方针为指导,逐步建立覆盖网络安全各个环节的网络安全分项策略,作为各项网络安全工作的开展、建立目标和原则。
在网络安全管理体系方面,企业要将上述安全策略、方针所涉及的相关细化目标、步骤、环节形成具体可行的企业管理制度,以制度的形势固化下来,并强化对相关企业领导、安全机构管理人员、业务办公人员的安全形势和常识培训,提高企业从上至下的安全防护能力和安全水平;在运维管理体系建设方面,企业要对每个运维操作进行实时化监控,在不借助第三方监控工具如堡垒机的条件下,要由专人进行监管,以防止运维操作带来的安全隐患,同时,企业也要阶段性的对各个网络设备、业务系统、安全设备等进行安全评估,分析存在的安全漏洞或隐患,制定合理的解决措施,从而形成日常安全运维、定期安全评估、季度安全分析等流程化管理要求和思路。
在技术防护体系建设方面,企业可以参照PPDRR模型,通过“策略、防护、检测、响应、恢复”这五个环节,不断进行技术策略及体系的修正,从而搭建一套纵向关联、横向支撑的架构体系,完成对主机安全、终端安全、应用安全、网络安全、物理安全等各个层面的覆盖,实现技术体系的完整性和完备性。企业常用的技术防护体系建设可以从以下几个方面考虑:
(1)区域边界防护策略:企业可以考虑在各个区域的边界、互联网或者局域网出口部署下一代防火墙、入侵检测与防御设备(如果条件合适,可以考虑选择入侵防御设备)、上网行为管理、防病毒网关等网络安全新技术和新设备,从而对互联网出口或者重要区域边界进行全面的防护,提高内网出入接口的安全保障水平。此外,针对有企业生产网的情况,要对生产网与内网进行物理隔离,并对接入生产网的各种终端设备进行防病毒查收、报备,防止影响生产安全的各种事件发生,保障企业的财产安全。
当前网络安全形势范文2
【关键词】校园网络;安全问题;对策
随着互联网的普及和推广,网络逐渐成为人们生产生活中不可或缺的工具,网络也改变了传统校园教学和管理模式,在学校各个领域得到了深入推广和普及。同时,在校园网络快速普及的过程中,校园网络安全问题也受到了越来越多人的注意。如今,校园网络安全直接对学校正常教学活动和管理工作产生了严重威胁,它可以造成巨大的经济损失和难以挽回的损害,可以说,提高校园网络安全是当前教育部门必须认真面对的问题,而针对校园网络安全问题提出有效应对措施,无疑具有十分重要的现实意义。
1、当前校园网络主要安全问题
当前,学校计算机网络主要安全问题可以分为两类,一类是对网络产生威胁的安全,包括对网络信道、网络操作系统以及网络功能进行攻击和损害;另一类是网络信息泄密、窃取等,例如非法盗用网络数据、恶意入侵非授权网站等。这两类网络安全问题都会产生严重的后果。
1.1网络自身安全问题
1.1.1网络物理设备的安全
网络物理设备安全是指外力因素对网络的破坏和影响,例如火灾、山体滑坡、水灾、设备失盗、线路破损以及天气因素影响等,都会对网络正常运转产生致命威胁。这也是网络安全需要认真面对的问题。在校园局域网内,由于网络覆盖区域相对较小,只要指定完善的安全管理制度,做好安全防范措施,就能够有效提高网络设备和机房的安全水平。
1.1.2软件系统平台的安全
系统安全,是指网络系统正常运转的可靠性。目前,尚没有绝对安全的网络系统可用,但是我们针对现有网络系统进行升级改造,提高其安全配置和防范登记,加强网络使用规范等来提高网络系统安全性。因此,首先要选择最可靠的运行系统,其次要严格规范网络使用行为,保证一切操作符合安全管理制度规定;最后要针对网络使用者操作权限加强管理,合理分配不同用户的操作权限,将人为操作失误控制在最低水平。
1.2网络中信息的安全
1.2.1不良信息威胁
借助互联网便捷的信息传播功能,不健康信息可以在网络上大肆蔓延,严重污染网络环境。例如各种黄色、暴力和成人不良信息影响青少年健康成长的案例时有发生。虽然政府部门对此制定了严格的管理办法,但是依然诸多安全隐患,对青少年的成长造成了巨大的威胁。
1.2.2计算机病毒
计算机病毒是互联网的主要敌人。病毒传播途径和方式十分多样化,例如可以通过数据下载、电子邮件、网页等方式传播和扩散,使得电脑病毒防不胜防。随着科技的不断进步,计算机病毒的传播方式也在不断发生变化,其的防范技术要求日益提高。任何信息工具和电脑配件都可能成为病毒传播和寄生对象——互联网、U盘、光盘等,传统的病毒防范技术已难以有效控制病毒的扩散和蔓延。
1.2.3应用系统的安全
应用系统的安全涉及面很广,以目前Intemet上应用最为广泛的E-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的,因此一套详尽的测试软件是必须的。但是应用系统是不断发展且应用类型是不断增加的,其结果是安全漏洞也是不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。
应用的安全性涉及到信息、数据的安全性:信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。对于有些特别重要的信息需要对内部进行保密的(比如学校学生成绩、学生档案、教师档案、学校财务等重要信息)可以考虑在应用级进行加密。
1.2.4加强网络安全管理
加强管理是提高网络安全性主要手段和途径。当前,不少互联网用户安全意识较弱,违反安全管理操作行为十分普遍,随意将自己的登录账号和密码给他人使用,或者在网络上传输保密信息等,这些行为都增大的网络安全风险,稍有不慎即会造成严重的网络安全事故。
网络一旦遇到恶意攻击或者其他安全威胁时,就不能进行安全评估和预警。同时,安全事故发生后,计算机也不能搜集和追踪网络黑客的攻击路径信息和数据,为开展网络安全管理造成了巨大的困难。因此,在日常工作中要对站点访问活动进行多层次的记录,提高对非法访问行为的识别度。要创新网络安全管理制度,重新评估当前网络安全形势并制定行之有效的应对措施,因此,最保险的做法是采取“制度+方案”的管理手段。
2、校园网络安全对策
2.1网络设备安全对策
首先要提高计算机网络物理安全,这是最基本的工作要求,由于这类安全措施比较常见,本文不再赘述。
2.1.1环境安全
对系统所在环境的安全保护包括设备的防盗、电源保护如配制UPS电源,保证系统和设备的正常工作等等。
2.1.2媒体安全
包括媒体数据的安全及媒体本身的安全。在网络的安全方面,主要考虑两个层次,一是优化网络结构,二是整个网络系统的安全。
2.2网络软件系统平台安全对策
2.2.1制订严格的管理制度
用户授权实施细则、口令及帐户管理规范、权限管理制度。
2.2.2配备相应的安全设备
在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、最有效、最经济的措施之一。
2.3网络中信息安全对策
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,计算机病毒的防范是网络安全性建设中重要的一环。具体而言,磁盘分区格式为NTFS,它的安全性比FAT32格式要好;安装完操作系统后,要打好漏洞补丁;安装好病毒防火墙,并且支持实时检测的,同时要经常升级病毒代码库;文件夹和磁盘的安全选项千万不要开完全共享,都开只读共享,可以在一定程度上防止网络病毒的人侵;不要安装来历不明的程序,防止被木马控制,不要轻易打开来历不明的电子邮件;将重要的数据经常备份,存放在安全的盘中或者是其他媒介中;对学校服务器的安全日志进行备份;经常对各种资源采取备份,最便捷的方法就是录制光盘;经常对存贮设备进行常规检查,尽可能早发现隐藏的问题。
3、结束语
总体而言,校园网络安全管理工作是一项系统、艰巨的任务,不能将网络安全寄托在单个杀毒软件或者防火墙上,而是要综合考虑网络安全形势,充分利用各种安全技术,打造一个多技术、高效安全的网络安全系统,营造一个健康的校园网络环境空间。
参考文献
当前网络安全形势范文3
(一)境外信息安全威胁已然显现
棱镜门事件折射出美国通过国内高科技公司实施全球网络空间霸权的战略图谋,为我国金融业敲响警钟。是国外对中国金融信息的窃取仅次于军事情报,我国金融业核心软硬件多为国外企业产品,使得我国金融信息系统容易被国外掌控,为行业信息安全埋下隐患。服务外包对国外厂商依赖度较高,加大了风险控制难度,敏感信息、核心技术泄密的可能性增加。我国对外政治经济摩擦不断增多,金融改革持续推进,竞争进一步激烈,金融机构数据中心遭受境外黑客攻击的可能性大大增加。例如,2013年11月29日,“中国煤炭银行”官网被黑,其官网称此次事件系日本金融财阀勾结国内金融集团所为。
(二)互联网舆情威胁不容忽视
互联网是广大网民获取信息资源、表达诉求最便捷和最有效的平台。微博客、网络社区、论坛等网络舆论平台飞速发展,成为社会舆论的发动机。网络舆论与摘要:我国金融业信息化进程不断加速,国内外信息安全环境深刻变化,金融机构须定期判断和分析国内外信息安全形势,不断提高风险防范水平。本文分析了当前金融业面临的信息安全形势,并从完善信息安全组织机制、夯实信息安全基础、强化互联网风险防范等角度提出应对策略和建议。关键词:金融业;信息安全;安全威胁;形势分析;应对策略传统媒体相互呼应,将迅速形成风险扩散的“蝴蝶效应”,放大信息安全风险。一旦金融机构局部的信息安全风险被网络聚焦、放大,会加大风险控制与事件处置的难度。此外,一些组织或个人出于竞争、报复或利益的目的,通过互联网关于金融机构的不实信息,营造“伪舆论”。还有一些小摩擦或小纠纷,由于没有得到及时察觉和合理处置,引发网民围观,形成网络热点事件。这些不仅会严重影响金融机构声誉,还会给整个行业带来不良社会影响,甚至造成巨额经济损失,实力相对较小的微型金融机构可能面临倒闭风险。
(三)互联网金融使信息安全形势更趋复杂
2013年中国互联网金融出现了快速发展势头,被称为中国互联网金融元年,各大互联网企业巨头纷纷进军互联网金融,推出“余额宝”、“微银行”、“京宝贝”等金融产品和服务。面对激烈竞争,传统金融机构积级调整战略介入其中。互联网金融为金融业带来新的发展机遇的同时,同样引入了信息安全风险和威胁。除具有传统金融业经营过程中存在的流动性风险、市场风险和利率风险外,互联网金融还存有信息技术导致的平台风险、技术风险、系统安全风险和基于虚拟金融服务的业务风险,且风险诱因更加复杂、风险扩散传播速度更快。移动互联网发展和智能手机的普及使互联网金融随处可及,互联网金融活动突破了时间和空间的局限,将成为网络钓鱼、黑客攻击的新目标,金融业面临信息安全形式更趋复杂。
二、新形势下金融业信息安全应对策略
(一)完善信息安全工作的组织机制
组织机制是保障信息安全最基础、最有效的长效机制,金融机构要基于当前信息安全形势和监管部门要求,进一步完善信息安全工作的组织机制。
1.明确不同部门和岗位的信息安全职责。当前,保障信息安全已不是一个或几个部门的责任,而是机构内所有部门、全体员工共同的职责。金融机构要明确业务部门、内控部门与技术部门共担信息安全风险的责任,将信息安全保障纳入到各岗位职责中,将信息安全工作作为一项重要的日常工作,努力形成全员参与信息安全保障的局面。
2.严格信息安全责任追究。按照“谁主管,谁负责;谁使用,谁负责”的原则,落实信息安全问责制,把信息安全风险的防范、识别、消除纳入业绩考核范畴,使所有员工意识到信息安全责任重于天。
3.提高制度的执行力。建立健全制度落实的规范流程和监督检查机制,关注各流程、环节之间的衔接性,实现部门自控与机构内控相结合。及时发现和解决制度执行中的问题,保证制度的有效落实,维护制度的严肃性和权威性。
(二)夯实信息安全基础,提升风险防范水平
信息安全工作涉及内容较多,内外部的信息安全威胁不断发生变化,信息安全保障和风险防范不可能一蹴而就,而是一项不断建设、持续完善的工程。金融机构应根据机构现状和内外部安全形势,科学制定机构信息安全发展规划,有重点、有层次推进机构信息安全工作,不断提升信息安全防范水平。
1.切实落实国家信息安全等级保护和信息系统分级保护工作。按照国家有关等级保护和分级保护的管理规范和技术标准开展等级保护和分级保护工作,严格遵照安全等级划分标准确定机构计算机网络和信息系统的安全等级,并按相应等级具体要求,建设安全设施、建立安全制度、落实安全责任,接受公安机关、保密部门、国家密码工作部门对信息安全等级保护工作的监督、指导,保障信息系统安全。
2.稳步推进信息产品国产化进程。“棱镜门”事件后,信息安全国产化进程加快,金融业要牢牢把握国产化机遇期,以安全生产为底线,按照“推广成熟、扩大基本成熟、试点逐步成熟、攻关不成熟”的策略,稳步推进金融业信息技术国产化进程,逐步实现信息安全产品、关键设备、核心系统、系统等国有产品替换。加强人才队伍建设和培养,提高自主运维能力和水平,逐渐减少对国外企业外包服务的依赖。
3.安全管理与技术防护并重。综合使用多种安全机制,将不同安全机制的保护效果有机结合,安全管理与技术防护双管齐下,相互配合,形成完整的立体防护体系。金融机构要摒弃“重技术,轻管理”的认识误区,突出安全管理在信息安全保障体系中的重要性,增强技术防护体系的效率和效果,弥补当前技术不能完全解决的安全缺陷,实现最佳的保护效果。
4.完善灾备体系建设和管理。灾备体系是保障金融业务连续性的重要防线,是维护信息系统和网络安全的重要措施。金融机构要把灾备中心建设规划提升到国家信息安全战略高度予以重视,扎实做好机构灾备中心布局规划和灾备建设工作。定期研究、评估当前灾备中心布局,对存在的问题及时进行整改。对于核心业务系统,要实现应用级备份,保证突发事件发生时可及时恢复业务运营。确保备份数据的有效性,定期对冗余备份系统、备份介质进行深度可用性验证。
5.加强人员操作行为管理,防范操作风险。从风险防范角度进一步完善网络和信息系统的操作流程,加强操作流程管理和审查,实现人员操作事前能控制、事中可监控、事后有审计,使风险防范从“管住人”进一步发展到“管住行为”。善于运用技术手段加强对操作风险防控,达到从管理和技术两个方面防范技术人员操作风险的目标,确保操作零风险。
6.提高机房设施保障水平。计算机机房是信息中心的核心部位,除承载机构的重要网络和信息系统外,还有空调、消防、防雷等保障机房设备安全稳定运行的机房设施。要加强机房设施的监测和风险评估工作,确保UPS供配电子系统、机房空调子系统、防雷接地子系统、设备监控子系统、机柜微环境子系统、安全消防子系统等机房设施健康运转,为机房这个“躯体”提供充足的“氧气“和“血液”,保障作为“器官”的各信息系统正常运行。将机房设施安全放在同网络和信息系统安全同等重要地位,发现风险隐患及时整改,勿将本应发挥安全保障功能的机房设施变成风险易发区域。
7.重视应急演练工作,提高应对突发事件的能力和水平。全面评估信息安全风险,建立风险全覆盖的应急预案体系和应急演练常态化工作机制。根据风险的等级和影响程度,合理确定单项演练、综合演练、跨部门演练、跨地域演练等不同类型演练的组合,具备应对不同类型风险的应急处置能力。依据风险的变化和应急演练效果完善应急预案,不断提高应急预案的可操作性。坚持在演练中锻炼队伍,持续提高人员的风险意识和突发事件的响应处置能力。
(三)强化互联网风险防控工作
1.加强互联网舆情监测,妥善处置网络热点事件。完善互联网舆情监测系统,加强人才队伍建设,建立网络舆情摘报和热点专报制度,及时掌控舆情动态,尽早发现各种形式“伪舆论”,避免形成网络热点事件,影响正常的金融秩序。重视信息和舆论引导工作,做到未雨绸缪、预防在先。完善舆情热点事件处置机制和流程,做到反应快速、判断准确、处置合理,充分发挥传统媒体与网络媒体的协同作用,对网络舆情进行正面引导和回应,将不利影响控制在最小范围内。
当前网络安全形势范文4
关键词可控网络系统;控制中心;身份认证;访问控制;边界控制
中图分类号 TP393 DOI:10.3969/j.issn.1672-9722.2016.03.021
1引言
随着网络规模的不断增加、网络设备的多样化和网络拓扑结构的复杂度不断增加,对网络安全提出了新的挑战,传统的网络管理已经不能适应当前网络安全形势的变化。针对当前网络中的安全威胁,为了解决传统网络安全技术功能单一,被动防护的问题,可控网络理论的研究逐渐兴起。可控网络理论是以网络控制论为核心理论,是以实现网络安全性为控制目标的网络安全控制理论[1]。接入控制是对节点接入网络及节点的访问权限进行控制,是信息网络安全的基础。因此,对可控网络中的接入控制进行研究,实现对网络节点的接入功能动态可控,对增强网络的安全性具有重要意义。
2可控网络中的接入控制系统
2.1相关理论知识
可控网络理论是在网络控制论的指导下的各种有关网络安全控制的理论,它以解决网络安全问题为着眼点,以网络安全性能为目标,整合集成现有的各种网络安全技术,构建高效的、科学合理的网络安全控制体系[2]。基于可控网络理论,通过反馈控制,实现网络安全性指标的网络系统,称为可控网络系统。可控网络系统的显著特点是通过施加一定的作用,使得网络的状态和行为在能够预期和把握的范围内。为了实现真正的网络安全,网络必须具有对用户行为高度的控制和管理能力,能够实现网络行为状态的监测、网络行为结果的评估和网络异常行为的控制,形成对网络行为的反馈闭环控制,提高网络安全防护能力[3]。接入控制是可控网络安全的第一道防线,包括边界控制、身份认证和访问控制三个方面。通过边界控制实现对内部网络(以下简称内网)与外部网络(以下简称外网)通信的管控以及对内网接入终端的控制,防止外网非法用户访问内网、内网用户访问非授权资源以及非法终端接入内网;通过身份认证,检查用户身份是否真实可信,防止非法人员违规操作获得不当利益;通过访问控制设计不同力度的访问控制策略,对进入可控网络中的用户的资源访问权限进行监督和限制。三者之间功能相辅相成能够有效地杜绝外界网络的安全入侵、非法用户的违规操作和合法用户的越权操作,确保了网络的安全性。
2.2接入控制系统的组成与功能
接入控制主要由安全控制中心、交换传输设备、互连网资源以及主机组成,如图1所示。安全控制中心是可控网络的核心,主要由日志审计服务器、大数据分析服务器、边界控制服务器、身份认证服务器、访问控制管理模块以及各种相应功能的服务器组成,其主要功能是对接入控制中的异常认证行为和访问行为进行动态、实时管控,确保系统的安全性与稳定性。边界控制服务通过设置相应的过滤规则对访问内网的用户及通信数据进行控制,从而达到保护内网中存在安全漏洞的网络服务的目的,同时实施安全策略对网络通信进行访问控制、防止内部网信息暴露;同时能够限制内网中的用户对外网的非授权访问。通过设定交换机端口、绑定网卡MAC地址和IP地址等手段对接入子网的终端进行限定,以此来限定内网的边界。身份认证服务通过相应的认证协议对可控网络中的用户进行身份的鉴别,从而确保非法用户被拒绝于应用服务之外。身份认证的本质是被验证者与验证者之间执行多次信息协商后,由验证者确认被验证者的身份是否真实可信,防止非法人员违规操作获得不当利益。访问控制服务通过相应的访问控制策略对网络中通过认证用户的访问权限进行判定,从而解决内部合法用户的安全威胁,作为可控网络的第二道防线,访问控制主要解决“合法用户在系统中对各类资源以何种权限访问”的问题。
3接入控制结构
可控网络系统一般包括施控部分、被控部分、控制单元及反馈单元四部分。当网络节点接入可控网络系统进行资源访问时,节点的接入请求会受到外界信息的干扰,主要是非法分子的攻击和系统入侵;同时节点访问网络资源时,也会受到扰动,主要为内部安全威胁。通过对网络异常行为进行分析将结果通过反馈单元传给控制者和控制子网,控制者和控制子网针对异常行为通过控制单元实施网络主动防御控制,从而形成网络控制闭环,达到主动防御控制目的[4]。可控网络中的接入控制系统主要由信息采集节点、中间控制节点和安全控制中心组成,具体如图2所示。施控部分的主要功能是根据反馈回路中的反馈信息对网络中的异常行为进行分析、处理,并实施调控。在接入控制系统中,安全控制中心属于施控部分。控制中心通过大数据分析、日志审计及入侵检查等服务器对终端的接入控制行为进行分析、判断,并将处理结果通过控制回路发送给被控部分。被控部分的主要功能是将网络中的行为通过反馈单元发送给施控部分,并根据控制单元的控制信息对异常行为进行处理。在接入控制中,信息采集节点及网络资源与行为属于被控部分。信息采集节点将终端的接入控制行为通过安全接口反馈给控制中心,并根据控制单元的处理信息进行相应的响应。控制单元的主要功能是对控制信息进行传输,同时对网络异常行为进行处理,使得网络系统向安全可控状态转变。控制单元包括各种控制作用和控制通道。控制作用在某种意义上可以说是按一定目标对受控系统在状态空间中的各种可能状态进行选择,使系统的运动达到或趋近这些被选择的状态[5]。因此,没有选择的目标就没有控制。控制通道是控制信息得以流通的各种控制结构、控制方式和传输介质的组合,它可以是物理的组合,也可以是逻辑的组合。在控制通道上,控制信息从施控部分传递到被控部分,属于前向通道。反馈单元的主要功能是针对一定目标对受控系统的状态进行监测、分析和报告,使施控系统能够及时做出响应。接入控制系统在反馈作用的影响下,能够监视系统处于何种状态。反馈单元包括反馈作用和反馈通道。反馈通道由各种信息采集和分析设备、信息反馈和决策系统等组成。在反馈通道上,反馈信息从被控部分传递到施控部分,属于反向通道。
4接入控制的工作过程
接入控制要经过边界控制、身份认证和访问控制三道流程后,才能确定用户能否访问应用资源,具体流程如图3所示。当用户提出访问请求后,首先要判断访问请求来自内网用户还是外网用户。当访问请求来自内网用户时,首先判断用户访问的资源是否为外网资源;若为外网资源,则边界控制服务器根据过滤规则库判断该请求能否通过,用户是否具有访问外网的权限;若为内网资源,身份认证服务器根据认证规则库进行用户身份认证,判断用户是否合法;用户通过身份认证后进入应用系统,访问控制器根据访问控制策略库进行访问权限控制,判断用户是否具有访问资源的权限。当访问请求来自外网用户时,则边界控制服务器根据过滤规则库判断该请求能否通过,用户是否具有访问内网的权限;当用户通过边界控制服务器认证后进入内网,身份认证服务器根据认证规则库进行用户身份认证,判断用户是否合法;用户通过身份认证后进入应用系统,访问控制器根据访问控制策略库进行访问权限控制,判断用户是否具有访问资源的权限;只有当所有的接入控制都通过后,用户才能进行应用资源的访问。当接入控制某个环节出现问题时,安全控制中心会根据反馈单元的信息对异常行进行分析和处理,并通过控制单元对相应节点进行调控[6]。
5接入控制模型
5.1身份认证模型
身份认证模型一般由用户、认证服务器、控制中心以及数据库存服务器组成,如图4所示。身份认证模型一般包括注册与认证两个阶段。注册阶段主要完成用户与认证服务器身份标识的选择、密钥的分发(针对基于密钥的身份认证)。用户将能够证明自己身份的信息,通过加密等手段传递给认证服务器,认证服务器将用户注册信息存储在数据库存服务器中用于下步的认证,并将注册结果返回给用户。认证阶段主要完成用户与认证服务器之间的身份认证[7]。用户和服务器根据注册信息以及采用的身份认证协议进行单向或双向的身份认证。控制中心通过反馈通道采集用户身份认证行为,并通过大数据分析对异常身份认证行为进行分析处理,通过控制通道将处理结果通过控制通道传递给身份认证服务器。综述所述,身份认证的结构控制如图5所示。当受控对象根据认证协议和认证信息执行身份认证服务时,控制单元能够采集受控对象信息以及认证服务,通过控制中心进行大数据分析后,将控制结果通过控制回路反馈给受控对象,同时将控制信息反馈给执行单元,执行单元根据控制信息和认证协议进行认证服务处理,完成认证回路。
5.2访问控制模型
访问控制模型一般由主体、客体、控制中心、访问控制器以及规则数据库组成,如图6所示。访问控制器包括执行部件和授权部件两大部分[8]。执行部件根据访问规则和授权关系实现对主体访问客体的控制,它要验证访问的有效性和合法性,记录访问事件,杜绝非法访问;授权部件根据控制策略选择访问控制类型,根据不同的控制类型与方式建立和维护访问规则和授权关系,包括能力表、访问表等,并将它们保存在数据库中。主体不能绕过访问控制器直接存取客体。主体在必要的时候,可携带访问令牌,该令牌由授权部件核发,并经过完整性、真实性保护,提交访问请求时,它由执行部件验证。一般情况下,访问令牌具有时效性。控制中心通过反馈通道采集用户访问行为,并通过大数据分析对异常访问行为进行分析处理,通过控制通道将处理结果通过控制通道传递给访问控制器。综上所述,访问控制的控制结构如图7所示。访问控制器的授权部件属于控制单元,它根据系统的控制策略、主体的访问请求和被控对象的信息,针对不同的控制方式形成访问能力表(针对自主访问控制下的主体)、访问控制表(针对自主访问控制下的客体)和访问控制规则(针对强制访问控制与基于角色的访问控制),并传递给作为执行单元的执行部件执行。同时,控制单元还可建立被控对象的安全标记(用于强制访问控制),也可根据主体的访问请求核发访问令牌,这些控制信息均属于前馈控制信息流。在具体执行访问控制时,受控对象向执行单元提交安全标记或访问令牌,执行单元根据访问控制表或控制规则实施具体的访问控制,并将访问事件记录在案,反馈给控制单元。客体所在系统的日志信息也会被反馈给控制单元,由控制单元根据反馈信息做出访问权限的调整[9]。
5.3边界控制模型
边界控制可以分为外网边界控制和内网边界控制。外网边界控制通常作用于内网与外网之间,明确哪些数据包能够离开或者进入内网,防止其到达目的主机[10]。内网边界控制主要作用于内网终端上,明确哪些终端能够接入内网,防止未授权终端接入内网。外网边界控制模型一般由内网、外网、控制中心、边界控制服务和相应的过滤规则组成,如图8所示。边界控制服务器根据需求设置相应的过滤规则,进入或离开内网的数据包应根据规则进行相应判断,符合过滤规则的数据才能进行转发。控制中心通过反馈通道采集用户边界服务行为,并通过大数据分析对异常边界服务行为进行分析处理,通过控制通道将处理结果通过控制通道传递给边界控制器。边界控制器中的执行部件根据过滤规则和控制信息实现对内网和外网数据通信的控制。综上所述,外网边界控制的控制结构如图9所示。当受控对象根据过滤规则执行外网边界控制服务时,控制单元能够采集受控对象信息以及边界服务,通过控制中心进行大数据分析后,将控制结果通过控制回路反馈给受控对象,同时将控制信息反馈给执行单元,执行单元根据控制信息和过滤规则进行边界服务处理,完成边界控制回路。内网边界控制主要作用于用户终端。边界控制服务器根据交换机端口、终端IP地址以及MAC地址对用户终端接入内网权限进行判定。控制中心通过反馈通道能够采集终端接入子网的接入行为,并进行大数据分析和风险评估,边界控制服务器根据自身设定的规则和控制中心处理结果对终端接入子网的行为进行控制。
6结语
当前网络安全形势范文5
2014年是中国全面接入国际互联网的第20年,从1996年1月中国公用计算机互联网(CHINANET)全国骨干网建成并提供服务开始,中国互联网进入了快速增长阶段。1997年11月,中国互联网络信息中心(CNNIC)第一次《中国互联网络发展状况统计报告》,当时全国共有上网计算机29.9万台,上网用户数62万人,CN下注册的域名4066个,WWW站点约1500个。而2013年CNNIC的报告显示,中国网民规模已突破6亿人,其中通过手机上网的网民占80%;国内域名总数1844万个,网站近400万家,中国互联网发展成果斐然。
20年时间,中国互联网已成为国际互联网最大的组成部分,并且在开发技术与社会普及水平上都取得了巨大进步。接入方式的多元便捷,获得信息更加及时、畅通,丰富的网络终端产品等技术进步加快了网络的普及。互联网的发展重点已从技术手段转向传播方式,互联网技术与社会文化相互作用,成为推动中国社会进步的战略性基础设施,网民总数的增长使得社会更加丰富和多元,人们在生活、工作和娱乐活动中的相互关系与组织协作方式都在发生着改变。这一切又不断加快了整个社会对于互联网的认同与接受。
互联网正在深刻地影响与改变着当代中国。经济方面,在线消费、贸易、理财等业务蓬勃发展,全球十大互联网企业中我国有3家,2013年网络购物用户达到3亿,电子商务交易规模突破10万亿元。互联网为中国不断催生新行业、创造新机会,全国信息消费整体规模达到2.2万亿元,带动了诸多传统产业再次繁荣。在政治与公共事务方面,互联网加快了政府信息化进程,提高了服务速度与质量,完善了公共关系管理,推进了社会言论的开放与民主法治化进程。
当前网络安全形势范文6
当前,网络空间的广度和深度不断拓展、安全对抗日趋激烈,传统的安全思维模式和安全技术已经无法有效满足政企客户安全防护的需要,新的安全理念、新的安全技术不断涌现,当前的网络安全正处在一个转型升级的上升期。
启明星辰表示,面对安全威胁,没有人能够独善其身;进行安全防护,没有人能够独自承担。面对复杂严峻的网络安全形势,安全业界需要开放、连接和协同。只有开放才能将不同的安全技术连接到一起,借助连接构建起协同的安全防御体系、形成合力,而通过协同又反过来进一步促进开放。对于政企用户,SOC安管平台是实现网络安全整体、系统、动态防御的最佳连接器。一直以来,SOC安管平台就致力于将政企客户网络内部各种离散的安全设备和系统,以及各种安全要素信息连接成为一个整体,面向各级安全运维管理人员,实现全网集中化监测、审计、预警、响应与报告,进而实现人、设备、数据之间的相互连接。
但由于受传统思维模式影响,传统的SOC安管平台厂商更多地习惯于单打独斗,试图单凭自身的力量为用户提供完备的安全威胁分析能力,从而导致用户价值交付受到影响。启明星辰表示,未来SOC安管平台的发展大势必然是开放、连接、协同。
因此,启明星辰正式启动了“泰合团计划”,向在安全威胁分析领域具有独特优势的广大安全厂商开放泰合SOC安管平台的南向和北向数据接口。“泰合团计划”的宗旨是:本着平等协作、互利共赢的原则,以泰合SOC安管平台为依托,连接业界优秀的安全威胁分析能力,共同为政企客户交付安全价值。
启明星辰副总裁、泰合负责人张颖表示:“我们打破的是能力的孤岛,突破人在能力上的局限,让整个信息安全的能力变得更强。然后为我们的客户提供更好的方案,所以说我们享受做连接的过程,这可以把我们的能力展示出去,其实理论上SOC就是一个连接体。”在问及泰合更希望与什么样的伙伴合作时,泰合产品总监叶蓬说:“我们更希望在某个细分领域,与具有很强分析能力的公司,或者与掌握大量数据,尤其是拥有互联网数据的公司合作,实现互利共赢。还希望与一些创新型的公司,具有十分精准的定位、专业的分析能力的创新型公司合作。”
