前言:中文期刊网精心挑选了网络安全防控体系范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全防控体系范文1
关键词:网络空间;安全防护;安全体系;建设
中图分类号:TP309 文献标识码:A
随着信息技术的迅猛发展及推广应用,网络信息已成为各行各业管理控制的神经中枢,近期发现的勒索病毒又一次敲响了网络安全的警钟,因此,网络空间安全体系建设已成为影响单位发展乃至社会稳定的重大课题。
一、网络空间面临的主要安全威胁
近年来,网络空间安全得到高度重视,将其设为一级学科、颁发《中华人民共和国网络安全法》《国家网络空间安全战略》《网络空间国际合作战略》等,这也说明网络空间面临的安全威胁越来越严峻,具体来说,主要包括以下4个方面。
一是安防技术总体滞后。网络空间攻击与防护自从网络诞生以来就一直存在,但安全防护技术总是在出现了新的漏洞、新的攻击方法后,再研究有效的应对之策。目前网络空间安全防护体系基本上是基于已知的攻击手段和常规攻击流程构建的,以被动防御策略为主,通过封堵端口、修补漏洞、边界防护等方法实现,因此,安防技术的滞后性给网络空间安全防护体系的构建带来了技术上的现实威胁。
二是安防设备可控性差。目前我们使用的网络空间软硬件系统、标准规范大多靠国外引进,90%以上的CPU和存储单元、95%以上的系统软件和应用软件、85%以上网络交换元器件都采用国外产品或基于国外开发平台研制。据国家互联网应急中心抽样监测,2016年,中国境内有1699万余台主机被黑客利用作为木马或僵尸网络受控端,境内约1.7万个网站被篡改、8.2万余个网站被植入后门程序,监测到1Gbps以上DDoS攻击事件日均452起。这一系列数字表明,安防设备可控性已成为日益严峻的安全威胁。
三是安防机构机制不全。我国2014年2月成立网络安全和信息化领导小组,积极推动网络安全防护管理体系的构建。即将于2017年6月1日起施行的《中华人民共和国网络安全法》,对国家网信部门、国务院电信主管部门、公安部门和其他有关机关的职责进行了明确,但总体上看,安全保密联管、网络安全联防和信息安全联控的工作机制也还没有完全建立,同时,信息系统重建设轻安全、重使用轻防护等现象在一定程度上还存在。
四是安防责任意识不强。在日常应用中将用户密码设置为简单数字、或者设置与用户名同名,通过即时通信工具发送用户密码,用户密码在某些共享空间中明码存放等现象时常存在;在非密级互联网交流平台谈论敏感信息的事件也经常发生。同时,信息服务提供商的安全意识也不强,2016年12月雅虎先后证实总共超过15亿用户信息遭窃取。因此,无论是普通用户,还是系统设计、运维管理人员,都存在安全意识不强的问题,自以为信息系统的日常使用出不了安全问题。
二、强力推进技术与装备体系自主可控
目前我们的网络信息系统绝大多数是基于国外软硬件产品构建,是否安全难以掌控,必须强力推进自主可控相关工作。
一是加快自主可控安全技术与装备的研发。在研制桌面计算机、服务器、手持式、便携式终端等软硬件装备的基础上,统一规划构建网络空间安全自主可控技术产品规范,研制防火墙、路由器、无线接入、证书分发、入侵检测、舆情监控、防病毒软件、安全操作系统、安全数据库管理系统等软硬件产品,真正构建成体系的网络空间安全自主可控产品体系,实现从被动防护到主动防护、从静态防护到动态防护、从局域防护到全域防护的转变。
二是通过示范试点强力推广应用。信息技术产品具有很高的技术应用创新性与很强的用户体验性,长期处于实验室验证阶段,难以促进产品的优化完善,真正好的信息技术产品都是用出来的,只有投放市场接受用户的体验,才有可能出现这样那样的问题。因此,应将研制出来的产品在一定范围内积极组织示范试点,研发单位动态跟进,不断优化升级,不断修改完善。对于重要的信息系统,应在全自主、高可信的基础上构建更加安全可靠的保底手段。
三是在实际应用中优化完善自主可控技术与装备体系。要实现真正有效的安全防护,仅靠几个产品是不太可能的,而是要从技术研究、装备应用两方面入手构建体系化安全防护。在技术研究方面,应从物理安全、网络安全、主机安全、应用安全、数据安全、安全支撑出发,分等级构建相应的技品、参数配置策略、技术实现方案、应急处置预案等;在装备应用方面,依据信息系统的重要程度及遭到破坏后的影响程度,明确提出装备使用具体要求,使用户在病毒与木马查杀、入侵检测、防火墙、访问控制等系统的使用中,能做到设备与设备之间优化配合、安全策略不断优化,真正发挥自主可控技术与装备的作用。
三、不断强化运维与监管体系集约高效
通过系统监控、用户申报、在线支持等多种技术手段接收、处理各类安全事件,通过风险评估、监察预警、攻击测试、应急响应、安全审计、检查评比、强制整改等方式,不断加强对网络空间安全体系的监督管理。
一是强化制度管理和全员安全教育。运维和监管都离不开制度的约束,在国家立法、行业规章等方面已有一些网络空间安全管理措施规定,但对于一个具体的单位或应用系统,还有必要制定更为详细具体、针对性更强的制度措施,并定期有计划地开展全员安全教育,让全体人员知晓哪些操作能做、哪些不能做,在运维人员自我监督、相互监督的基础上,不断完善专业监管体系。
二是强化内部管控和各项技术手段运用。大多数网络空间安全事件来自于内部,既要依靠各项规章制度管理和约束,又要将各类网络空间安全技术手段和软硬件设备进行有机组合,形成有效的结构化立体安全运维监管体系,使网络空间安全运维监管在技术上做到有效监测、即时发现、主动防御,并具备安全事件追踪能力,才能真正震慑各种内部及外部人员的不安全行为。
三是强化人才培养和网络攻防演习演训。真正要确保网络空间安全运维与安全监管,人才是根本保证,网络空间安全在技术上高新尖的特点,使得人才的价值更为突出。建设高素质的网络空间安全防护队伍,既是社会发展的必然要求,也是网络空间安全的现实需要。因此,国务院学位委员会、教育部于2015年增设网络空间安全一级学科,加快推进网络空间安全高层次人才培养。总的来说,要坚持科学筹划、整体部署、突出重点、集约高效,把握网络空间领域人才成长特点规律,积极创新网络空间安全人才队伍培养模式,优化网络空间安全人才知识能力结构和培养目标,建立良好的网络攻防演习演训机制,努力培养一批会管理、懂技术的高素质网络空间安全专业人才。
参考文献
[1]王伟光.网络空间安全视角下我国信息安全战略理论构建与实现路径分析[J].电子技术与软件工程,2015(3):229-230.
[2]周季礼,黄朝辉.2014我国周边国家网络和信息安全建设大扫描[J].中国信息安全,2015(1):86-98.
[3]徐晓军.军工企业信息安全面临的形势及对策探讨[J].网络安全技术与应用,2015(6):11-12.
网络安全防控体系范文2
关键词:大数据;网络安全体系;构建
随着近年来网络信息技术的快速发展,基于互联网技术基础上的信息化应用更加普遍和深入。大数据技术和方法作为信息技术在数据信息处理领域的应用,给数据信息的处理和使用提供了便捷强化了网络信息技术的价值和功能。但在实际的应用过程中发现,安全性问题是对于大数据积极功能的发挥而言,拥有安全的网络环境至关重要,尤其是在当前信息传播范围普遍扩展的情况下,如何保障数据资源的安全性成为各方高度关注的问题。
一、大数据背景下网络系统安全体系的框架及功能
在大数据框架内,相关主体所面临的数据安全威胁主要是高级持续性威胁(AdvancedPersistentThreat,APT)。所谓的APT是指黑客为了窃取核心数据资料,而针对特定网络用户所发动的攻击性或侵袭性行为,是为了达到某种商业目的而采取的非法行为。对于大数据用户来说,要想有效地防控APT,就需要构建更加全面的大数据分析系统来及时发现可能存在的安全性问题。首先,从框架层面来看,为了有效应对APT攻击,网络系统安全体系的框架主要包括网络系统安全防护、网络系统安全检测和网络系统安全防御三部分内容,实现对网络系统安全问题的有效防范与抵御。其次,从功能层面来看,网络系统安全体系能够全面地检测出网络系统中出现的异常行为的计算机运行流程,识别网络中传输的密文中所存在的异常流量文件,进而高效地预防信息被窃取,同时,该体系还能够对用户的虚拟机进行监视,从而有效识别长期潜伏的APT攻击,提升网络运行的效果。
二、大数据背景下网络系统安全体系的具体构建
网络系统安全体系可以进一步分解为安全防护、安全检测和主动防御三个方面,这些系统的设计也是大数据背景下网络系统安全体系构建需要遵循的策略。
(一)网络系统安全防护设计
网络系统安全防护设计主要是通过计算机安全防护级别的设定来限制计算机用户的访问权利,从而将那些存在威胁性因素的内容隔离出来。在实际的设计过程中,系统会根据相应的标准对内部现有的资源进行安全防护级别的划分,并赋予相应级别用户的访问权限,确保数据的安全。换而言之,网络系统安全防护设计的主要目的在于借助加密和数据访问权限的设置,来对数据进行差异化的管理,防范APT的产生。
(二)网络系统安全检测设计
网络系统安全检测设计主要是通过宽时间域数据关联分析和宽应用域事件关联分析来保证安全系统中集成入侵检测系统的实时运行。同时,在针对计算机核心服务器检测的过程中,会通过蜜罐技术等技术手段来建立时刻监控旁路诱骗的机制,实现对系统内可能存在的潜在攻击进行诱惑、捕捉,及时发现和消除安全患。在网络系统安全检测设计中,最关键的技术性手段在于宽时间域数据关联分析和宽应用域事件关联分析,而宽时间域数据关联分析是从较长的时间跨度内对APT攻击可疑行为进行全面的记录,据此进行数据方面的深度分析,更加精准地掌握APT的相关信息,并对其进行有效的网络识别,确保网络的安全运行。
(三)网络系统主动防御设计
在网络安全体系中,仅仅识别和防范APT供给是不够的,当发现真正的攻击行为产生以后,要系统应当及时采取相应的应对策略,确保网络系统安全,而这就是网络系统主动防御设计的功能。在网络系统受到攻击或者疑似攻击时,系统会从全网的视角出发对海量的网络数据信息进行筛查,从而捕捉到APT攻击的相关信息,并对攻击问题进行诊断,进而构建APT攻击反情报体系,实现主动防御的目的。
三、大数据背景下网络安全体系的具体应用
网络安全体系构建的主要目的在于实际应用,并且体系构建的持续完善需要通过应用效果的反馈得以进行。因此,在关注大数据背景下网络安全体系构建的同时,要注意对具体应用情况的分析和总结,为体系的不断发展提供可靠的支持。
(一)网络安全体系在攻击溯源方面的应用网络安全攻击溯源技术是大数据背景下网络安全体系中的基本组成部分,也是确保网络安全体系运行效果的有效途径。网络攻击的分析主要是从关键内核结构诊断、文件、进程等方面入手对围绕整个系统和网络流量进行辅分析。同时,安全体系中的安全攻击描述模型会根据大数据系统反馈的信息进行相关模型的构建,并针对模型分析结果快速构建相应的关联性分析结果,从而便于更准确地识别和定位攻击点,为接下来的安全体系防范措施的更新提供强有力的支持。
(二)网络安全体系在数据分析方面的应用大数据背景下的网络安全体系包含庞大的数据收集、分析功能,为大数据技术的深入应用提供必要的信息支持。一般而言,在网络运行过程中,系统会产生大量包括访问网站在内的各类系统日志,这些信息是对用户真实使用情况的记录,能够为网络行为决策提供翔实的信息支持。在网络安全体系中,针对日志类数据分析功能的子系统可以对各类系统日志进行深入的信息分析和数据价值挖掘,从而输出能够为设计人员或者决策人员所理解的数据分析结果,从而实现数据的最大化利用。并且,在网络安全体系框架内,数据的存储、传输和使用等均在一个安全的环境下实现,从而避免了数据遭受窃取、篡改等非法入侵性威胁。
网络安全防控体系范文3
关键词:职业岗位;项目化;四维一体模式;教材建设
中图分类号:G642 文献标识码:A
Abstract:The course of firewall technology is a core curriculum in information security and related professions in Higher Vocational Colleges,carrying responsibilities and tasks to be network security manager.It is particularly important to develop a project oriented practice textbook on the basis of professional post demand.It was proposed a model based on four dimensional integration about the development of firewall technology project in this paper.It was proved that the students can enhance network security professional skills through this textbook.
Keywords:professional post;project;four dimensional integrated model;textbook construction
1 引言(Introduction)
伴随着网络安全问题的出现,国家机关单位、行业、企业、事业单位等都在局域网网络安全建设方面投入了防火墙设备以提高网络安全性能。高职教育直接为社会经济发展提供高技能型人才[1],尤其是为地方经济建设服务。因此网络安全类专业培养熟悉网络安全设备方面的人才需求量日益增加。防火墙技术课程是国家高职院校专业标准中计算机网络技术、信息安全技术专业的核心技术课程,是培养专业核心技能的专业课程[2,3],且开设学校与面向的学生广泛,课程教材建设尤为重要。王永红[4,5]等提出理实一体化教材建设思想,采用“五个”对接理念进行优质教材建设。
2 教材建设的依据(The basis of textbook construction )
社会经济发展区域势态不同,行业、企业需求不一样,不同省份、区域的高职院校在专业建设方面的投入各不相同,因此教材建设存在显著差异。对于实训环境欠缺的院校,防火墙技术课程注重理论和软件防火墙的模拟操作。因此目前已经出版发行的主流防火墙技术教材,主要是基于软件防火墙应用及防火墙工作原理介绍网络安全策略,重原理轻实践,尤其是缺乏市场主流硬件防火墙配置与管理方面的实践内容。对于实训环境较好的院校,其地方经济活跃,行业、企业信息化程度高,对硬件防火墙的需求能力旺盛,因此该区域的高职院校防火墙技术课程旨在培养学生对软、硬件防火墙的操作配置的实践能力,实现防火墙设备与交换机、路由器等网络设备的互联互通,进而达到企业网络安全系统集成的技能要求,注重行业企业岗位职责需求,同时掌握防火墙技术所需的理论知识,以够用为原则。
本教材改革传统防火墙技术内容编排体系,根据《防火墙技术》课程核心技能要求和网络安全技术岗位技能要求(如图1所示),依据网络安全管理与防控过程的工作逻辑选取并组织内容体系。选取技术方法常用、内容实用,结合市场主流防火墙技术应用案例,对企业安全案例进行典型化修改、提升和拓展,嵌入省部级信息安全职业技能大赛赛项内容。按项目设计工作任务,由简单到复杂,螺旋进阶,组织内容体系。由背景需求引导解决问题方法,分析设备选型,规划网络拓朴并进行设备配置,最终进行项目测试、撰写测试分析报告。采用理论(与技能赛点匹配,与实践操作对应链接)+实践(仿真与实操结合)的框架结构,突出防火墙技术技能训练。
3 《防火墙技术》教材建设的依据(The basis of textbook construction on firewall technology)
3.1 吻合课程标准,突出网络安全防控能力训练
《防火墙技术》为专业课程体系中的专业核心技能训练模块课程,课程设置对应网络安全防控能力训练,与网络安全管理员岗位的防火墙技术应用技能匹配。教材紧贴课程标准开发与建设,符合岗位职业技能需求。
3.2 融合行业企业项目及技能大赛内容,动态更新
教材建设既与企业项目工程实战紧密相关,通过消化吸收企业真实工程项目,对企业真实案例进行典型化修改并融入到教材内容中,通过毕业生网络安全管理工作实践反馈,再吸收行业新技术、新案例,保证技术内容覆盖深度和广度。另一方面嵌入省部级技能大赛,将省部级大学生技能大赛赛点以任务形式融入教材内容中,通过各个技能点对应的任务提高学生职业技能,更好地参加省部级技能大赛、创新训练大赛、创业大赛等项目。
3.3 项目载体,基于任务难易进行进阶设计
教材内容应用实践部分,采用项目化方式将企业项目与技能大赛技能点进行消化吸收,按照学生思维“从简单到复杂”的方式组织项目,开展“任务驱动、赛项融合、防控一体,企业生产实践一体化”教学模式,将课程逐级递增项目难度,最后实现网络安全系统综合实训内容。
4 教材开发(The development of textbook)
防火墙技术项目化教程采用四维一体开发模式。(1)采用项目化实战维度。突出实训内容,构建信息安全技术专业核心课程教学资源库建设,按照行业、企业需求,对网络安全技术职业岗位进行调研并归纳出岗位对应的典型工作任务,开发出防火墙技术课程对应的教学资源及配套教材。(2)采用网络安全工程生命周期维度。教材开发遵循网络安全工程生命周期开发,先从基础网络配置,在网络互联互通基础上进行防火墙安全设备配置,实现网络安全策略部署。(3)采用省部级技能大赛维度。嵌入省部级信息安全技术方面的职业技能大赛赛项内容。教材内容涵盖省部级信息安全技术赛项中防火墙技术技能点、防火墙与网络互联设备综合技能点,以任务形式开展技能点训练,并定期进行更新,极大的提高了教学效果和教学质量。(4)采用综合管理技能训练维度。每个项目里面设立项目综合实训,将企业真实项目引入,阶段性的引入综合管理技能。分项目完成后设立综合实训项目:网络安全系统综合实训,将防火墙与交换机、路由器等网络系统进行系统化集成,如图2所示。
开发的实战项目如表1所示。
5 结论(Conclusion)
《防火墙技术项目化教程》是信息安全技术专业、计算机网络技术专业的核心教材,是2014江苏省现代职业教育技术课题中高职衔接课程资源建设核心成果之一,经过实践教学应用,教材使用效果好。教材建设是专业内涵建设的一部分,特别是专业核心课程的教材建设,需要综合考虑企业、行业的需求,人才培养职业能力、实训环境、省职业技能大赛需求等方面,切实提升专业内涵建设。
参考文献(References)
[1] 李敏等.高职工学结合特色教材建设的探索与实践――以机械类专业“基于工作过程系统化”教材开发为例.哈尔滨职业技术学院学报,2015(1):56-57.
[2] 刘静,杨正校.基于太仓市产业集群的电子商务发展研究.苏州市职业大学学报,2014(25):31-35.
[3] 杨正校,刘静.基于产业集群的中小企业移动电子商务研究-以太仓市为例[J].软件2014,09(35):86-90.
[4] 王诗瑶,王永红.基于“理实一体化”的《计算机网络技术》教材建设研究.开封教育学院学报,2015(35):112-113.
[5] 王永红,王诗瑶.基于五个“对接”的优质教材建设思考与实践[J].计算机教育,2015(12):94-97.
作者简介:
网络安全防控体系范文4
关键词:互联网金融;在线支付;风险因素;应对策略
随着在线购物现象的不断发展,互联网金融在线支付变得越来越常见,而其存在的风险因素则容易被忽视,由于互联网金融在线支付涉及的金额和人数众多,一旦出现风险因素,则会带来较大的损失,甚至引发一系列的社会问题。从当前我国互联网金融在线支付的发展情况来看,其风险因素主要有网络安全风险、信用风险、市场风险、政策变动风险等。这些风险因素的存在将在很大程度上威胁互联网金融在线支付的发展,因此必须要对其进行全面的分析,以事实有效的应对策略。
1.互联网金融在线支付的主要风险因素
1.1网络安全风险
网络安全是各种在线支付顺利运行的重要保障和基础,随着我国现代信息技术的不断发展,维护网络安全的措施不断得以完善,但是随着互联网金融交易数量的不断增多,网络安全事故频发,对金融在线支付造成了较大的威胁。对互联网金融支付而言,一旦出现网络安全风险因素,将在极大程度上影响我国整个在线交易环境,所造成的损失也难以估量。因此,网络安全风险将成为互联网金融在线支付所面临的首要风险。
1.2信用风险
信息不对称在互联网交易中普遍存在,由此产生了道德风险和逆向选择,使互联网金融在线支付存在着巨大的潜在风险隐患。同时,我国的信用体系建设相对落后,社会信用水平较低,不管是商家还是消费者都存在违背信用原则的行为,因此使得互联网金融在线支付的潜在风险具有不断扩大的趋势。同时,在互联网双方进行交易的过程中,缺乏基本的信用等级评价和信息采集工作,现有的资料和政策难以对双方的信用进行全面有效的评价,因此会在很大程度上损害交易双方的利益,使得互联网金融在线支付存在的风险不断加大。
1.3市场风险
在互联网交易过程中包含了买卖双方和网络支付机构,从买卖双方与支付机构之间的相互关系来看,可以合并为网络支付机构与网络支付服务两个部分。因此,互联网金融在线制度服务商构成了卖方的市场,而互联网金融在线支付的用户构成了买方市场。因此,在整个互联网金融在线支付市场中,也存在价格、竞争、分销等诸多方面的风险。这也将成为影响我国互联网金融在线支付的重要风险因素。
2.互联网金融在线支付风险的主要应对策略
2.1加强网络安全预警和防范
在互联网金融在线支付风险控制的过程中,首先要全面加强网络安全预警和防范,一方面,要建立风险预警机制,对互联网金融在线支付过程及其风险因素进行全面的分析,实现对各项风险的分类和汇总,分析其主要的特点,并对风险因素的未来发展趋势进行准确的预测。另一方面,要不断完善网络安全防范系统,从硬件设备、软件设备等方面出发,优化互联网金融在线支付环境,加强对各种安全漏洞的检查和监测,一旦出现风险隐患,将及时对其进行识别和判断。同时要制定和实施动态化的网络安全预警和防范机制,为互联网金融在线支付风险防控提供有效的保障。
2.2推进社会信用体系建设
全面加强信用体系建设不仅是互联网金融在线支付风险控制的重要需求,更是整个经济社会发展的迫切要求之一。一方面,要依托我国信用体系建设的政策趋势,加强对互联网金融交易双方之间各项资格审查的力度,对其进行严格的身份验证,有效监督各项交易行为,将信息不对称带来的不良影响控制在最低水平,通过诚信体系的建设全面推进互联网金融支付的安全性。另一方面,互联网在线交易的过程中必须要充分引入第三方机构交易平台,以委托的形式加强对交易双方的限制,使其能够主动践行信用标准,并对违反互联网交易诚信的一方进行严格的惩罚,加大违反诚信原则的成本,提升互联网金融支付过程中的安全性。
2.3有效预测和应对市场变动
市场的发展和变动具有不确定性,因此使得互联网金融在线支付的发展存在较大的风险性。因此,提升对市场变动的预测和应对能力是全面强化互联网金融在线制度风险控制能力的关键。其一,要对交易市场的历史数据进行全面的分析,在此基础上对市场发展变动的趋势进行准确的预测,并制定互联网金融在线支付的风险安全防范策略,将各项风险因素扼杀在摇篮中。其二,在市场变动较为频繁时,要在现有的风险防控策略的基础上制定和实施后备方案,以降低支付风险损失为原则,甚至要暂停互联网金融在线支付,以便于全面降低各项风险因素及其损失。
总结
全面加强对各项风险的识别和防控是互联网金融在线支付顺利发展的关键性保障。从当前的情况来看,只有从加强网络安全预警和防范、推进社会信用体系建设、有效预测和应对市场变动、遵守相关的政策法律等方面出发,才能够对我国互联网金融在线支付风险进行全面有效的识别和应对,以此实现其健康顺利运行。
参考文献:
[1]程嗣权.网络在线支付中存在的安全风险与对策[J].科技资讯,2016(35)
[2]文艺.基于互联网金融背景下第三方资金支付风险与监管对策研究[J].财经界(学术版),2016(15)
网络安全防控体系范文5
随着信息时代的到来,计算机网络技术取得了巨大的发展与进步,目前已被广泛的应用到了社会生活的各个领域中,在促进人类社会快速发展的同时也带来了许多的网络安全问题。并且随着对计算机网络技术应用程度的不断加深,其所面临的危险性也越来越大。本文对计算机网络安全技术进行了简要的介绍,就导致计算机网络出现安全问题的主要因素展开了深入的研究工作,结合本次研究就提出了一些针对性的应对措施。
【关键词】计算机 网络 安全技术 问题 措施
随着计算机网络在人们日常生活当中的应用愈发普遍,网络安全问题也变得越来越严重。鉴于计算机网络系统所具备的共享性、开放性、复杂性等特点均会引发网络安全问题的出现,致使网络系统极易遭受攻击、破坏,届时数据信息安全也将面临着巨大的威胁挑战。因此就针对计算机网络安全技术所存在着问题展开具体分析有着一定的现实意义,应当引起人们的重视与思考,据此,下文提出了一些提高计算机网络安全的应对策略,希望能够对预防计算机网络安全发挥一定的作用。
1 概述
由内容方面来分析,计算机网络安全问题主要包括了硬件和软件两个方面。但若要具体分析起来,便较为复杂。计算机设备在不接入网络环境的情况下,通常仅会发生部分较为简单的程序故障亦或是系统设置方面的问题,这些问题解决起来均较为简便。但是,一旦将计算机设备连入到了互联网后,因为互联网本身所具备的共享性、开放性等特点致使计算机设备所能够获取到的信息咨询以几何倍数增加,其随时都有可能会遭受到病毒攻击。同时,在接入到网络资源当中的打印机、存储器、系统程序、各类文件、软件系统、硬件设备等均存在着发生安全问题的可能性。由定义上来分析,计算机网络安全则重点是指针对数据所展开的管理及保护工作所采用的技术手段。
2 引发计算机网络安全威胁的主要因素
2.1 TCP/IP协议较为脆弱
互联网的基础即为TCP/IP协议,这一协议在建立之初并未充分考虑到网络系统的安全性,同时因为TCP/IP协议是面向公众完全公开的,因此任何人都可完全了解其具体内容,因此掌握了其系统架构特点便可通过其自身内部便存在的安全缺陷来开展网络攻击行为,因而这一方面因素是导致计算机网络面临安全威胁的一项根本原因。
2.2 软件系统存在漏洞
无论是哪一种计算机操作系统亦或是网络软件均不能够确保完全没有任何漏洞隐患,因此基于这一特点也就导致计算机设备随时都面临着被攻击的风险,因此这也就致使计算机设备无时无刻都处在十分危险的环境当中,一旦连入到互联网中,便将会直接成为被攻击的目标。
2.3 网络结构不安全性
互联网是一种网间网的技术形式,网络体系庞大。在人们利用一台计算机设备与另一局域网当中的主机障碍通信联系之时,往往其互相间的数据传输要经过多个机器设备的多重转发,若攻击者采用了一台在用户数据流传输路径上的主机,它便能够获取到用户的数据信息。
2.4 计算机病毒
计算机病毒本身是一种程序系统,它利用在各个极端及设备间的传播扩散来破坏网络安全,计算机病毒传播的方式是利用对病毒程序的复制,来使之存在于计算机系统的某文件系统当中来实现病毒传播的。计算机病毒的特点主要就包括了以下几点:极强的感染性、特定的触发形式、巨大的破坏性与一定的潜伏性。
3 提高计算机网络安全的具体措施
3.1 设置防火墙
在安全防护工作中,计算机网络安全方面普遍采取的是防火墙措施,也就是利用各网络系统之间的访问限制,来避免外部用户采用非法手段对计算机网络采取网络攻击。具体的防火墙构建流程为:
(1)修改Linux内核,使其可具备有路由记录功能;
(2)在Linux系统中安装双项网卡,同时合理设置路由。为避免Linux系统出现自行检测功能缺失现象,可在加载程序文件/etc/lilo.conf文件之中设置:append=“ether=irq0,io-port0,eth0 ether=irql,io-portl,ethl”;
(3)在路由记录基础上建立包过滤防火墙软件;
(4)编译Linux内核程序,并作出如下命令设置:
cd/usr/src/linux
make config
make dep
make clean
make zlilo
最终引导系统,促使系统可建立起新的内核程序。
3.2 采取身份认证与加密
通常来说,在各种安全防护方面均会采用一定的加密技术手段,然而一般所较常采用的单纯数字加密方式较易被破解,因此应当采用数字与字母所互相组合的方式来进行加密处理,以提高密码破解难度,确保系统的安全性;另外,在密码保护当中也应当具备有着清醒的认识,可应用目前较为先进的指纹识别、图像扫描甚至是虹膜识别技术,来对系统进行多重安全防护。
3.3 搭建虚拟专用网络
虚拟专用网络技术即为在公共网络当中构建出一个专用网络系统。这一网络系统并非是完全独立存在的网络系统,其仅是在逻辑层面上的一个专用网络,仍是公网的一个构成部分,是基于一定的通信协议基础上,借助于互联网在远程客户机与企业内网间搭建起一条多协议的专用虚拟线路,其虚拟性主要体现在采用互联网IP协议,可构建起基于IP协议的虚拟专用网络,能够实现对远程客户机和企业内联网间利用专用网络系统来展开秘密通信操作。
3.4 应用病毒防控技术
对于网络系统的设计病毒防控是必须要面对的一项问题。病毒在网络环境当中不仅传播速度快,而且危害程度巨大。同时在多任务、多线程的网络系统当中病毒传播还存在着高度的不确定性,进而便会导致网络病毒防控难度大大提高。当前在应对这一问题时最为有效的措施即为购买商业化的病毒防御一体化解决方案,加强技术与管理两方面的改进,要确保整体网络实现对病毒防范的集中式、统一化管理,病毒预防软件要能够定期自动更新并安装到相应的计算机设备当中。
4 结束语
总而言之,针对系统的安全性展开相关的设计工作是一项牵涉全局的工作内容,在开展具体的设计工作之时必须要将其中的核心内容与关键环节予以重点考虑。在加强计算机网络安全技术的过程中,便应当针对有可能导致计算机网络安全的各方面因素展开深入的分析与探究工作,进而来提出一些具有实践可操作性的解决措施,以促使计算机网络的安全级别能够得以不断提升。
参考文献
[1]马道京.浅析计算机网络安全存在问题及其防范措施[J].无线互联科技,2016(08).
[2]R利,梁红杰.计算机网络安全中的防火墙技术应用研究[J].电脑知识与技术,2014(16).
网络安全防控体系范文6
关键词:信息安全;管理体系;PKI/CA;MPLSVPN;基线
在供电企业现代信息技术广泛运用生产经营、综合管理之中,实现资源和信息共享,为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程,木桶原理可以很好地诠释信息安全,一个企业安全不取决于最强项,而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设,才能有效提高企业信息安全,才能为企业生产、经营保驾护航。
1基层供电信息安全现状
基层供电企业信息安全建设方面,在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。
1.1管理制度不健全,制度多重化
信息安全制度建设方面较为被动,大多数都是现实之中出现某一问题,然后一个相关制度,制度修修补补。同一类问题有时出现不同管理规定里,处理办法不一,甚至发生冲突。原有信息安全管理制度宽泛,操作性较差。信息系统建设渠道不同,未提前进行信息安全方面考虑,管理职责不明,导致部分信息安全工作开始不顺畅。
1.2安全区域划分不明,网络架构不清晰
基层供电企业系统建设主要由上级推广系统和自建系统,系统建设时候相当部分系统未充分考虑系统,特别是业务部门自建系统更甚。网络建设需要什么就连接什么,存在服务器、终端、外联区域不明显,网络架构不清晰。
1.3未建立一体化安全防护体系
从近些年已经发生的各类信息安全事件来看,内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足,存在网络带宽滥用;终端接入没有相应准入控制,不满足网络安全需求用户接入办公网络,网络环境安全构成极大风险;内部人员对核心服务器和网络设备未建立统一内部控制机制;移动介质未实施注册制管理等问题。
1.4未建立行之有效设备基线标准
网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求,在设备和系统中常常保留有默认缺省安全配置项,这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时,没有统一基线标准,没有对设备和系统进行相应基线加固,企业存在潜在风险。1.5信息安全意识较差,技术水平参差不齐企业信息安全认识存在认识上误区,常常认为我们有较强信息安全保护设备,外部不易攻破内部,事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等,这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新,未取得专门信息安全专业人员资质,处理问题能力表现参差不齐。
2必要性
信息安全为国家安全重要组成部门,电力企业信息安全为国家信息安全的重要元素,电网安全事关国计民生。2014年2月,国家成立中央网络安全和信息化领导小组,将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件,前几年发生伊朗核电站“震网”病毒(Stuxnet病毒)网络攻击,其中一个关键问题就是利用移动介质摆渡来进行攻击,造成设备瘫痪,这一系列信息安全事件都事关国家安全,因此人人都要有信息安全意识。首先要防止企业机密数据(财务、人资、投资、客户等)泄漏;其次,保持数据真实性和完整性,错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失;最后,信息的可用性,防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统如失效,不能得到及时有效恢复,会造成重大损失。建立严格的访问控制,前面数据分级时有制定数据的“所有者”及给敏感数据进行分级,按照分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限;权限分离原则是将不同的工作职能分开,只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为,提高工作效率,保护企业有限网络资源应用于主要生产经营上来。
3特点探析
通过我们对基层供电企业在信息安全存在问题及必要性来看,主要是管理制度、网络信息安全技术、人员意识等方面存在问题,有以下特点。
3.1管理制度方面
常说信息安全“三方技术、七分管理”,制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度,基层供电企业遵照执行,可以根据各单位具体情况进一步细化,让管理制度落地。从企业总体信息安全方针到具体专业制度管理上,实现全网一体化,规范化。
3.2网络信息安全技术方面
上级专业主管部门,站在企业高度,制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划,分布实施,最终实现企业网络信息安全防控一体化。
3.3信息安全意识培养方面
企业员工信息安全意识培养是个长期的过程,不是通过一次两次培训就能解决的,采取形式多样化方式来培养员工安全意识,可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员,要让他们养成按照制度办事习惯,用户需要申请某项资源,严格按照制度执行,填写相应资源申请,有时候领导打招呼也要按照制度流程来执行。长此以往,人人都会知道自己该做什么,不该做什么,该怎么做,企业信息安全意识就会得到极大提高。
3.4专业技术人员水平方面
信息安全技术日新月异,不学习就落后,不断收集信息安全方面信息,共同讨论相关话题,建立相应培训机制,专业人员实行持证上岗,提升专业人员实际解决问题能力,有效提高人员专业素养,成为企业信息安全方面专家。
4实施和开展
从2009年开始,先后进行一系列信息安全建设,涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面,整体提高基层供电企业信息安全状况。
4.1信息安全制度建设
2010年开始信息安全体系ISO27001、27002建设,结合企业情况,形成30个信息安全相关文件,涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平,先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设,基层供电企业有章可循,全网信息安全依据统一,明确短板情况。
4.2建设一体化网络与信息安全防控
首先依据电监会5号文件要求,网络架构按照三层四区原则进行部署建设,生产实时控制大区(Ⅰ、Ⅱ区)与信息管理大区(Ⅲ、Ⅳ区)之间采用国家强制认证单向数据隔离装置进行强制隔离,网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区,在综合数据网上,利用MPLSVPN,根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统,构建企业员工在企业数字身份认证系统,已建成系统进行未采用PKI登陆系统,进行相应改造结合PKI/CA系统,采用PKI登陆,在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求,进行互联网统一出口,部署统一互联网防控设备,建立统一上网行为管理策略,规范员工上网行为,合理使用有限互联网资源,审计员工上网日志,以备不时之需。建立企业统一病毒防护系统,实现病毒软件统一安装,病毒库自动更新,防护策略统一下发,定期统计病毒分布情况,同时作为终端接入内网必备选项,对终端病毒态势比较严重用户进行督促整改,有效防止病毒在企业内部蔓延,进一步进化内网环境。建立统一网络边界安全防护,在企业内网边界合理部署防火墙、IPS、UTM,并将其产生日志发送到统一安全管理平台,进行日志管理分析,展现企业内部信息安全态势,预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证,建设统一桌面管理,所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网,系统启用强制安全策略,终端采用采用DHCP,用户不能自动修改IP地址,在DHCP服务器上实现IP与MAC地址及人员绑定,杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行,不满足要求用户,自动重定向到指定网站进行安全合规性检查,满足要求后自动接入内网,强制所有用户采用统一网络安全准入规则。实行移动介质注册制,极大提高终端安全性,有效保护企业信息资产。建立内部运维控制机制,实现4A统一安全管理,认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池,按照用户需求,提交相应申请材料,授权访问特定设备和资源,并对用户访问行为全程记录审计。
5结语
