前言:中文期刊网精心挑选了网络安全防护体系建设范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全防护体系建设范文1
现在企业很多商业业务、商业活动和财务管理系统协同工作等,都需要借助计算机网络进行。如果没有网络安全性的保障,就会发生系统延迟、拒绝服务、程序错误、数据篡改等现象,甚至很多情况下会发生木马病毒的侵蚀。过去企业数据是以文本文件的形式存在,虽然处理和操作不具有便捷性,但是能够起到保密性和可靠性的作用。计算机网络时代财务数据流能够实现财务数据的快速传递,但是在数据传输的过程中安全性难以得到有效的保障。所以在企业数据信息管理的过程中需要有保密性和可靠性的保障,维护企业的商业机密。其次,网络交易渠道容易发生数据信息丢失或损坏,交易双方的信息结果发生差异的现象时有发生,严重影响了企业数据的精准性。所以企业急需完整性的交易信息凭证,避免交易信息的篡改或者删除,保证交易双方数据的一致性[1]。
2企业网络面临的安全风险
2.1物理安全风险
近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。
2.2入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2.3管理安全的风险
企业网络与信息的安全需要有效的安全管理措施作为制度体系保障,但是企业经常由于管理的疏忽,造成严重的网络信息安全风险。具体管理安全的风险主要表现在以下几个方面:企业没有健全和完善的网络安全管理制度,难以落实安全追责;技术人员的操作技术能力缺陷,导致操作混乱;缺乏网络信息安全管理的意识,没有健全的网络信息安全培训体系等。
3构建企业网络安全防护体系
3.1加强规划、预防和动态管理
首先,企业需要建立完善的网络信息安全防护体系,保证各项安全措施都能够满足国家信息安全的标准和要求。对自身潜在的信息安全风险进行统筹规划,针对性的展开安全防护系统的设计。其次,企业应该加强对安全防护系统建设的资金投入,建立适合自己网络信息应用需求的防护体系,并且定期进行安全系统的维护和升级。最后,加强预防与动态化的管理,要制定安全风险处理的应急预案,有效降低网络信息安全事故的发生。并且根据网络信息动态的变化,采取动态化的管理措施,将网络与信息安全风险控制在可接受的范围。
3.2合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。
首先,根据业务需求,可以将企业网络分为两部分:外网和內网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
3.3信息安全技术的应用
(1)防火墙技术
防火墙主要的作用是对不安全的服务进行过滤和拦截,对企业网络的信息加强访问限制,提高网络安全防护。例如,企业的信息数据库只能在企业内部局域网网络的覆盖下才能浏览操作,域外访问操作会被禁止。并且防火墙可以有效记录使用过的统计数据,对可能存在的攻击、侵入行为精心预测预警,最大限度地保障了企业内部网络系统的安全。随着业务模式的不断发展,简单的业务(端口)封堵已经不能适应动态的业务需要,需要采用基于内容的深度检测技术对区域间的业务流进行过滤。并借助于大数据分析能力对异常业务流进行智能分析判断。
(2)终端准入防御技术
终端准入防御技术主要是以用户终端作为切入点,对网络的接入进行控制,利用安全服务器、安全网络设备等联动,对接入网络的用户终端强制实施企业安全策略,实时掌控用户端的网络信息操作行为,提高用户端的风险主动防御能力。
4结束语
综上所述,计算机网络有效提高了企业业务工作的效率,实现企业计算机网络数据库中的数据分类、整理、资源的共享。但是,系统数据的保密、安全方面还存在技术上的一些欠缺,经常会发生数据被非法侵入和截取的现象,造成了严重的数据安全风险。企业应该科学分析网络与信息安全风险类型,加强规划、预防利用防火墙技术、终端准入防御技术等,提高企业网络与信息安全防护效率。
参考文献
[1]戴华秀.移动互联网时代信息安全应对策略分析[J].科技与创新,2016,(1):36.
网络安全防护体系建设范文2
关键词 计算机网络;安全防护;关键技术
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)15-0065-01
计算机网络是现代数字信息传输与存储的主要通道之一,随着其在日常应用中的深入,基于网络的信息安全问题越来越多,针对网络信息的信息窃取与泄露事件时有发生,因此建立完善可用的计算机网络安全防护体系显得日趋重要。为提供高效可靠的安全防护性能,诸多安全防护技术被应用到计算机网络,如数据加密与签名认证、主动防御技术、网络访问控制技术、防火墙技术等。这些技术在某些方面具有良好的应用效果,但是存在一定的应用局限性。为提升计算机网络的适应性、动态性和灵活性,必须应用多种相互匹配的安全防护技术构成安全防护体系,为计算机网络提供足够的安全防护措施。
1 计算机网络安全防护体系
传统的计算机网络安全防护更多集中在网络运行过程的安全防护技术应用,但是随着网络攻击手段的演变与增加,传统的防火墙技术、数据加密技术、用户身份认证技术等安全防护手段已经无法满足应用需求,针对计算机网络的安全防护开始从被动防御向主动防御转变,由单独安全防护技术应用向网络安全防护体系建设发展。综合来看,计算机网络安全防护体系主要由三部分内容构成:网络安全评估部分、安全防护相关技术部分以及网络安全服务部分。每一部分中又包含若干具体的网络安全防护措施,他们共同作用向计算机网络提供安全防护服务。计算机网络的安全防护体系结构图如图1所示。
2 计算机网络安全防护体系中的关键技术
2.1 系统漏洞扫描
任何计算机网络中都不可避免的存在漏洞或缺陷,这些漏洞或缺陷一旦被恶意利用即有可能对计算机网络以及网络中的用户造成安全威胁。为解决和预防因漏洞所带来的安全问题,要定期对计算机网络进行漏洞扫描和漏洞修复。
2.2 网络访问与应用管理技术
为增强网络应用的规范性,同时提升网络安全问题发生后的追溯与分析能力,可以使用身份认证技术对网络用户进行身份认证,并为用户分配对应的网络操作权限。这一方面可以提升非法用户访问网络的难度,另一方面还可以对网络用户的异常操作行为进行记录与追踪。
2.3 防火墙技术
防火墙技术是一种内网与外网通信过程中的网络访问控制技术。该技术可以按照用户设定的安全防护策略对不同网络之间的信息传输与网络访问等行为进行监控与数据检查,以确认网络运行是否正常,数据通信是否被允许。目前常用的防火墙技术有包过滤防火墙、地址转换防火墙以及防火墙等三种。
其中,包过滤防火墙技术会对网络中传输的数据包进行地址审查,确认数据传输域发送地址是否可信任,若地址不可信则滤除该信息的接收与发送操作;地址转换防火墙技术可以将内网的IP地址转换为外网的IP地址,从而隐藏通信终端的真实地址,避免外网与内网终端之间建立直接通信连接;防火墙技术使用服务器技术将通信双方的通信数据进行接收与转发,使得客户端与网络服务器之间的数据通信需要经过两次通路才能够实现,这样便提升了内网的安全性。
2.4 入侵检测技术
入侵检测技术是一种主动防御技术,该技术可以应用多种相关技术制定与网络环境相匹配的安全规则,并利用该规则对从网络中获取的数据信息进行分析,进而对网络的运行状态进行监控,判断网络中是否存在安全威胁。入侵检测技术根据检测数据的类型可以分为异常检测与滥用监测两种。前者以用户的统计行为习惯作为特征参量来辨认网络中是否存在入侵行为,该技术是一种自适应技术,可用于对未知攻击行为进行检测与防御;后者则是以网络信息检测规则来判断是否存在入侵行为,由于该技术是基于规则而实现的,因而其主要用于对已知的攻击类型与攻击行为进行检测与防御。
2.5 数据加密与数字签名技术
数据加密技术主要用于防止数据在计算机网络传输过程中产生的信息泄露或窃取,其根据加密数据应用类型不同可以分为传输加密、存储加密以及完整性验证等三种。
在传输加密中,端加密技术可以将需要传输的明文数据信息转变为密文信息,该信息只有使用与之相匹配的解密算法和解密密钥才能够恢复成为正确的明文信息,线路加密技术可以对信息传输的路径进行加密,使数据的传输路径得到安全保护。
在存储加密中,数据加密算法可以将需要存储的信息转换为密文信息,该密文信息在需要存取时需要进行用户身份验证与权限审查,只有合法用户在其权限范围内才能够对数据进行相应的操作。
在数据完整性验证中,数据中包含了发件人、收件人以及数据相关内容的验证与鉴别信息,在验证数据完整性时需要数据使用对象按照相应的验证参数进行特征验证,确认信息是否完整或受到篡改。数字签名技术在数据完整性验证中具有非常重要的应用意义。
2.6 其他网络安全服务
为构成一个完整有效的网络安全服务体系,除了上述安全防护技术外,还应该在网络中提供应急保障服务,以确保出现安全问题时能够尽量减小问题所造成的影响,最短时间内将网络恢复到正常运行状态。这就要求一方面要建立和完善应急服务体系,如双系统待机等,保证一条网络出现问题时可以及时切换到备用网络;另一方面要建立和完善数据恢复体系,如服务器双热备份等,保证网络服务器出现数据损毁或缺失时能够存在备用数据库将其恢复。此外,科学规范的网络安全使用培训也是非常有必要的,其可以降低人为因素所带来的网络安全威胁。
参考文献
[1]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011,39(1).
网络安全防护体系建设范文3
【关键词】企业数据网;信息安全;防护
计算机网络的发展日理万机,“地球村”的实现早已不是梦想,人类的生活越来越离不开网络,受自身开放性和共享性等特征的影响,网络极易受黑客、病毒、恶意软件等侵害,因此网络数据信息的安全防护十分关键。企业的数据网包含企业内部的全部数据信息,对企业的正常运转起着决定性作用,因此企业的数据网安全防护体系的建立是企业健康发展的核心。
一、企业监测攻击行为的系统现状
就目前而言,网络攻击行为的技术特征主要为拒绝服务、恶意软件的安装、利用计算机网络的脆弱性伪装欺骗、内部攻击、高低级CGI攻击等,企业对于这些攻击行为的检测存在一些不足。第一,企业缺乏解决大型集体攻击情况方案,攻击者的技术不断提高,企业的安全防护技术没有及时跟上脚步;第二,目前的网络攻击检测系统有待完善,通常攻击者会利用更改信息或重新编码等欺骗手段来获取攻击检测系统的通行;第三,网络设备趋于复杂多样化,相应的检测攻击行为的系统就必须及时更新技术手段以适应外部日新月异的环境;第四,攻击行为检测系统的自行反应活动会给自身带来一定困扰,影响自身的工作效应,因为它一般与防火墙的工作互相配合,一旦其发现有入侵行为时就会将所有网络攻击者的IP数据包过滤掉,若同一个攻击者冒充大批不一样的IP来虚拟进攻,那么检测系统就将实质上并没有产生进攻的IP过滤掉,导致新的拒绝服务访问产生;第五,IDS自身存在一些安全漏洞,如果对IDS进行入侵并且取得成功,那么就会致使报警无效,攻击者的后台行为就没有记录下来,所以系统应当结合多种安全产品以形成联合防护机制。
二、网络安全防护体系实现策略
企业建立了基础的防护体系,其中包囊防火墙、攻击行为检测系统、病毒防范、集中认证、终端管理、漏洞扫描、安全数据库等,而随着企业网络完全防护体系建设的不断深入开展,对于安全建设的要求仅靠安全基础层的防护无法达到,如何使现有的安全设备的功效发挥出来、使安全的管理与安全防护技术完美结合以及如何快速有效地发现并解决漏洞和攻击行为等安全隐患是我们急需解决的问题。就企业数据网安全防护系统的现状,得出企业需要从网络安全防护和数据安全防护两方面来建设网络安全防护体系。
网络安全防护策略为建立全面的网络拓扑;建立边缘防火墙、网络防火墙、主机防火墙等多重防火墙;改进VPN技术的功能;加大对漏洞的扫描力度;加强安全检测仪对网络数据的检测和审计功能。
数据安全的防护策略为利用可靠的操作系统来操纵全部服务器以保证数据的完整性;开通SSL加密通道、使用为通信进行加密的软件、应用内容监控的软件以阻止内部人员查看非法网页来确保数据的保密性;数据即使遭到破坏也能通过备份的数据来恢复,因此系统设备应该将所有数据都储存到一个专门的容量大、不再工作时所有的网络连接都能中断、质量可靠且用户信息及口令都有安全保密的服务器中,确保整个系统能够安全、正常运转。
三、企业数据网安全防护体系的实现
(一)安全管理系统建设的内容
1.日志审计的管理
在安全管理区增添日志审计系统来审计网管中心、短信中心以及智能网的日志,该系统需要负责审计所有日志的核心服务器、负责收集网管中心本地运行日志的服务器、记录网管中心本地的安全访问网关以记录管理员的操作日志并将其发到审计日志的核心服务器上的服务器。
2.安全事件监控系统
扩充现有的安全信息库,添加安全事件统一监控模块以及自主扫描漏洞管理系统,与当下的资产管理模块相结合,形成全面动态的安全威胁管理以及安全漏洞管理系统。
3.账号口令的管理
账号口令管理系统以萨班斯法案对审计信息化的要求作为方向,建立一个智能化、自动化的账号和口令管理的信息平台。在安全管理服务区内增加两台服务器,以备后用,保障网管中心账号的集中管理。
4.日志的保存
日志的保存期限是半年,要提供3T的储存空间。储存设备应当达到既能将日志直接通过网络全部备份保存起来,又能直接连接到服务器上以提供日志审计系统在线保存日志的功能的双重目的。
(二)完善安全基础设施
1.优化安全域
首先,要调整安全服务区,把同安全管理有关的服务器转至安全管理服务区,上述所添加的服务器也集中布置在该区域。安全服务区的划分居于核心交换机6509上,添设一台防火墙并与6509相连接,还要增设一台24口的百兆交换机来接替。此外,在网络入口可以设立能够过滤网络传输过程中的病毒的设备。
其次,在VPN接入区的防火墙可以更新为提供硬件加速功能的VPN高性能防火墙。
再者,将于核心交换机6509上独立划分的信令检测VLAN由原有的接入到网管网络转变为接入到信令检测系统,并且在信令检测系统的接口处增设一台IDS用来对该区域的网络攻击行为进行检测。
最后,尽管两台防火墙已经在网管网络和数据业务系统的接口处增设,但是对于攻击行为仍旧难以及时发现,所以要增设一台具备两个监听口的攻击行为检测设备,接口接入交换机上,将管理口接到安全管理区域以便统一管理。
2.完善入侵检测系统
随着技术的不断更近以及网络的日益复杂,防火墙的诸多漏洞逐渐暴露出来,防火墙的缺陷可以由网络入侵检测系统来提供后续帮助,因此开发出完善的入侵检测系统尤为重要,它可以为网络安全提供具体、及时的入侵检测和相关的防护措施,例如,断开网络连接、记录下入侵证据、跟踪入侵行踪等。该系统具有以下几点优点:检测无访问权限的非法入侵行为;系统出现故障不会对正常的业务运行产生影响;不会影响服务器等主机的内存、磁盘等空间资源的使用;安装简便。同时,该系统也有一些不足之处:该系统只能检测与它直接相连的网段的网络包;对某些必须经过大量计算和分析的入侵难以检测出;有传输回大量数据到分析系统中的可能等。
3.保证终端安全
由于现阶段的LANDESK系统不能自主分发和管理补丁,并且没有桌面安全管理的功能,所以要升级该软件至安全套件,自动查杀修复漏洞,为桌面安全提供保障。
(三)服务器性能管理系统
在安全管理服务区增设性能管理的服务器以对性能数据进行分析、处理和保存。安装性能管理门户到该服务器上,该门户要统一标准,以用户为对象,以浏览器为基础。可以在各服务器上装置监控用来保存系统的各项性能和可利用的信息,传输至管理服务器上。
四、总结
经济社会的发展趋向网络信息化,是社会现代化进程的主要标志。由于网络的开放性和共享性等自带特征的存在,网络信息安全犯罪事件也在不断上升,对数据网的入侵技术手段也在不断变更,对于企业来说,无疑是其信息化发展的障碍物,因此,健全企业数据网安全防护体系迫在眉睫。网络的安全防护问题并非易事,某项技术的成功研发或某个制度的颁布并不能起到遏制作用,必须将网络安全技术、网络安全管理等结合起来,才能解决网络安全问题。
参考文献
[1]乔伟.企业数据网安全防护体系的研究与实现[M].计算机科学与技术,2009.
[2]唐晓兰,刘中临,刘嘉勇.一种基于知识库的行为特征检测模型[J].信息安全与通信保密,2012(02).
[3]罗丽华.上海电力数据网络安全系统建设[J].中国电机工程学全电力通信专业委员第5届学术会议论文,2009(11).
[4]张明浩.计算机病毒防范艺术[J].科技信息,2007(04).
网络安全防护体系建设范文4
关键词:医院信息标准化建设;网络安全;管理体系
由于信息化技术的日益发展,很多医疗信息系统都在发展过程中进行了优化,大大推动了医疗诊断技术水平的提升,使诊断工作更为精细化,有效提升了员工绩效水平和医疗工作的整体品质。与此同时,其复杂性也在日益提高,使得医院安全问题凸显,同时面临多种恶意软件入侵,对医院网络产生了重大的负面影响。因此,在技术水平达标的同时,还需要人工操作来确保网络的安全。2018年4月,国务院印发《国务院关于推进“推进互联网在线医药卫生”发展的意见》,提出各类医疗机构今年要逐步完善和继续完善“互联网医疗卫生体系”,发展在线医疗,提高医院管理水平。通过《国务院关于推进“推进互联网在线医药卫生”发展的意见》宣告了“互联网医疗健康”安全时代的正式到来。以国家标准2.0级网络防护工程为指导,遵循“一个中心、三个防护”防护工程的基本理念,从安全信息管理服务中心体系建设工作开始,并初步构建了医院网络安全三级防护管理体系,以有效迎接新网络时代的安全管理挑战,确保“互联网健康”,医院安全信息化体系建设稳步健康有序发展。
1医院信息标准化建设中网络安全管理体系建设的重要原因探析
患者只需在线注册、就诊、付款、入住和离开医院即可完成医疗流程。此外,信息化体系建设还可以有效提高医务人员的日常工作效率,降低医务人员的劳动强度,为患者及时提供便捷高质量的基本医疗健康服务。从各级医院的财务角度看,医院财务信息化体系建设不仅可以有效提高各级医院财务管理水平,密切各直属科室之间的协作关系,为加强医院医务档案管理进行信息化、财务管理和物资管理工作创造条件,降低医院的商业保险和运营成本,提高医院的整体效益。网络安全管理体系主要是广泛指负责管理网络系统安全管理策略、安全动态计算网络环境、安全网络区域活动限制和安全网络通信等网络安全防护机制的管理平台或服务区域。过去,医院率先采取了“被动防御”安全战略,并针对安全网络威胁不断采取了安全防护控制措施,缺乏安全统一规划和安全集中管理。安全信息资源综合使用管理效率低,对安全威胁的监测反应慢,难以建立形成有效的安全威胁防护管理体系。随着我国医院安全信息化体系建设的不断发展,各种新信息技术的不断推广和医院互联网服务的不断普及,医院必然需要自主开发一套能够适应当前网络健康管理时代的网络安全管理系统。
2医院信息标准化建设中网络安全管理体系建设遇到的问题
2.1缺乏统一标准和依据
医院信息化建设具有高度的系统性和复杂性,需要各部门密切配合,对医院进行统一规划,明确每一步的建设目标。但是,从医院信息化建设的现状来看,对医院的实际发展缺乏重视,在投入之前没有充分考虑到医院的长远发展目标。另外,信息化建设没有统一的规则,影响了信息化建设的工作,对新项目的实施也有一定的影响,造成了资源的浪费。
2.2网络安全性较低
医院的网络安全的问题往往是高度复杂动态的,将对医院领导和安全系统运营人员产生重要直接影响。此外,还有一些新型网络安全病毒和一些黑客在网络安全应用方面的潜在问题。虽然很多大型医院都已经采取了一些相应的技术措施手段来彻底解决这些安全问题,但由于医疗软件技术能力较差、技术水平不过关等因素,并没有有效地解决这些网络安全上的问题。
3网络安全管理体系建设原则
从医院建设安全网络管理信息中心的总体目标要求出发,在国家标准2.0级网络防护的技术指导下,结合自身医院网络安全管理工作实践经验,医院首先明确了以下网络安全管理原则:①安全管理与网络技术支持并重,同时合理规划医院建设安全管理体系和网络技术支持能力,用安全管理体系建设指导网络技术支持能力体系建设,用网络技术支持能力建设确保安全管理体系的有效实施。②集中控制安全能力和分散安全管理权限,整合安全人力资源,提高安全管理效率,注重员工建立准确识别和有效消除快速安全网络威胁的管理能力;通过集中的人力资源综合管理和权力控制,分散对上级行政部门权力的管理限制,以及通过依靠集中审计行政能力控制来有效降低医院员工违法越权的安全风险。基于上述安全原则,医院已已经开始对公司现有的医院网络安全保障管理能力系统和网络技术支持管理能力体系进行不断改造和升级完善。
4网络安全管理体系建设标准
建立安全管理中心的前提是医院应有一套合法、兼容、可行的安全管理体系。通过验证基本2.0级防护要求,结合医院自身的安全管理经验,并将实施能力作为重要标准考虑在内,建立2.0级安全管理体系框架,以确保管理体系的管理方向和可行性。为便于实施,医院将管理体系文件分为4个层次。一级安全文件根据有关国家安全法律法规、相关安全行业政策法规和公立医院安全管理要求,确定医院总体上的网络安全保障政策和发展策略,在此基础上研究构建公立医院第三级安全网络管理体系,定义全球安全要求,并在安保管理、人员管理、资产管理、安保大楼管理和维护以及应急支持管理的组织中建立安全标准。辅助文档中的信息总量,更新和调整物理安全要求、政策和政策,以应用于特定领域。二级安全操作和维护系统,规定了适用于文件安全系统维护和维护管理第一级操作和操作的安全要求,并规定了操作和禁止规则。三级规范文件要求是具体的企业工作人员操作管理规范,以便于确保操作人员的实际操作管理效果能够满足您的预期,并减少故障和其他行为造成的潜在安全风险。例如,确定您的服务器安全技术增强(windowsserversecuritymanual)的项目操作步骤和项目实施经验效果,并及时制定技术要求以便于确保您的服务器安全满足特定项目安全要求,并制定安全增强管理体系安全增强基础的各项相关技术要求。四级文件是用于数据筛选、跟踪和分析的安全操作管理记录,为了减少操作和维护人员的工作量,提高时尚管理的效率,节省纸张,医院开始尝试非常规检查表。四层文件管理体系四级文件管理体系有效提高了人民医院安全生产管理体系的工作灵活性和市场适应性:第一层体系决定了整体网络安全政策和策略以及其他体系制定的方向。二级管理体系手册侧重于对个别具体管理问题的有效管理,根据实际需要进行制定,具有较强的基本相关性和实际适用性,确保一级管理体系的基本灵活性和实际适应性;第三方操作手册特别注重管理细节和长期实施,可根据长期实施管理效果反复迭替换代,这些都是我们确保一级管理体系长期实施管理效果的最终重要目的;四级注册表格针对医院在建立管理体系时,特别注重对人员安全风险的管理和控制,建立持续改进管理体系的能力。成立了“网络和信息安全委员会”,作为主要决策机构。根据网络标准2.0要求,管理员职位分为3个职能:系统管理员、审核管理员和安全管理员。医院和外部员工通过一系列系统文件进行标准化。合同检查员工的安全日常行为,并初步确定合同员工的安全和财产保密管理责任;同时提出关于修订企业管理体系目标评审和上层建筑管理要求的具体要求,建立促进管理体系建设持续完善改进的长效机制,确保稳定性,实施安全管理体系的灵活性和能力,并明确各级修订和审查体系文件的要求。
5网络安全技术能力建设
在安全维护管理体系中心建设的基础上,医院已经开始研究建设安全技术管理能力,以便于满足安全维护管理系统中心的要求。医院作为一个安全系统管理区域,安全维护管理系统中心负责系统的安全管理操作、维护和监督管理。因此,建立安全维护管理体系中心的主要目标是建立一个完全具有高度完善集中控制管理能力的安全维护管理域。安全维护管理区域主应负责执行包括收集和管理综合安全管理数据、运行安全设备以及安全维护和监督管理整个医院网络的安全任务,为整个医院网络过程提供必要的医院网络安全基础硬件设施和安全维护服务,以及足够的自我保护能力,以确保自身在网络中的安全,避免对重要的安全、审计和管理服务造成损害。由于原有医院网管区域具有一定的集中控制能力,医院在现有网管区域的基础上,采用以下方式完成安全管理建设技术能力。
5.1终端网络保护
前端计算机通信系统的网络终端担保是整个网络敏感区域的一个核心。其终端主要是连接内联网和连接外联网之间的网络连接,负责从敏感区的核心节点发送数据,仅易受攻击。因此,通常可以为每个主机66学术论坛/AcademicForum系统部署一个安全网络管理文件系统。为了提高主机服务器系统的网络安全级别。可以从根本上对来自网络连接终端的安全攻击进行免疫,并在它们已经进入安全下一阶段之前预先阻止。
5.2区域网络运维安全设计
(1)建立检测网络安全漏洞的系统。通过自动部署互联网络检测安全漏洞,检测中心系统人员可以24h时间扫描和自动检测指定区域内的互联网。对系统性能进行安全特性评估,实现技术、管理、安全防护的有效集成。为全球用户同时使用各种区域性的网络服务降低安全风险,并提供强有力的网络技术支持。(2)创建审核和运维系统。通过对网络安全管理设备、网络安全管理设备、应用管理系统、安全事件等网络日志相关信息数据进行全面的网络日志相关信息分析收集和日志相关性信息分析,管理者不仅可以通过搜索和实时分析日常网络使用中的记录,正确维护日志数据,定义日志审核设备,方便员工随时查看,并随时跨平台监控整个数据中心的安全状态。(3)建立完整的微观分析和深度流量跟踪系统。通过自动建立完整的用户微观数据分析和用户深度风险流量检测跟踪分析系统,可以实时部署专门的高标准风险流量检测分析平台,准确快速收集用户流量,进行深度恢复和全面分析。为了在大量会话流量中快速发现这些隐藏的整个会话进程行为,挖掘这些可能使其隐藏的潜在危险,提供会话进程的所有数据审计处理能力,并不断提高其进程追踪和对攻击源的预测能力。
5.3整合现有安全资源
医院将在保障自身安全和区域安全管理的基础上,转移现有的保障功能,包括资源,非病毒系统、维持和平行动管理系统和安全系统纳入安全管理领域。此外,通过研究在服务区内设立专用安全通道和具体的基础设施安全设施,优化全市安全设施功能整合,注重安全设施综合利用,减少不必要的安全设备,提高安全设备维护和安全系统运行效率,完成对全市现有安全防护体系的综合优化。
5.4优化集中控制
在完善现行安全监管制度的基础上,该院先后研发了航站楼和门诊部的安全监控和安全管理系统,为弥补医院现有综合门诊终端保障体系的不足,对医院基础设施进行集中控制和建设,以及医院管理系统的现有背景操作和系统维护,抗病毒防御系统与医院客户犯罪风险检查系统密切配合。因此,集中审计和宣传系统完成了建立集中管理和维护系统进行审计和宣传的任务。预防和控制覆盖整个医院网络的信息资源。
6医院构建网络安全管理体系
为有效适应未来最严峻的网络安全发展形势,医院还对各级应急保障体系进行了修订。新的应急支持系统由两部分组成:综合计划和专项计划。总体实施计划详细规定了医院应急救援支持的主要组织职能结构,确定了医院事件预警分类管理标准,并详细规定了事件预警和应急响应工作程序、物资供应支持、培训和其他一般工作规定:为特定类型的紧急情况和医院系统的关键系统制定详细的应急和应急方案服务按照“目标选择、非目标选择、综合规划”的医院应急救援管理机制可以确保,使医院应急系统人员在统一系统的技术指导下,能够有效应对网络上的各种突发事件。以安全网络管理中心为工作起点,对信息网络保护系统进行了升级,提高了风险信息的准确性,与公立医院安全信息网络资源管理、网络资源安全风险管理及威胁有关,建立安全网络。然后,在发展安全管理能力的基础上,围绕“响应性”完善安全运行体系建设,提高响应速度和应对网络安全威胁的能力。在技术上,尝试将连接机制引入安全体系,开发建设“主动防护、动态防护、全局防护、精确防护”的网络安全防护体系,紧跟医院信息“医疗卫生互联网”建设步伐在网络时代,促进了医院网络安全建设的发展。
参考文献:
[1]胡列伦,李倩.医院信息化建设中网络安全保护研究[J].中国宽带,2021(07):31.
[2]龚克.分析医院信息化建设中网络安全保护方案设计[J].数码设计(上),2021,10(06):18.
[3]詹振坤.医院信息化建设中计算机网络安全管理与维护工作思考[J].无线互联科技,2021,18(10):25-26.
[4]巫新玲,李文侠.人工智能下医院网络安全信息化的建设路径探索[J].大众标准化,2021(11):182-184.
[5]廖文韬.医院信息化建设中的网络安全体系建构[J].电脑编程技巧与维护,2021(07):163-164.
[6]刘小洲,黄桂新,张武军,等.现代医院管理制度下的医院信息化建设推进机制探讨[J].现代医院,2018,18(03):368-371.
[7]姜涛.宁夏医科大学总医院医院集团信息化建设优化[D].银川:宁夏大学,2014.
[8]谢言.国家扶贫开发工作重点县中医医院信息化建设现状调查及影响因素分析[D].武汉:湖北中医药大学,2013.
[9]张宇.医院信息化建设改革实证研究[D].南昌:南昌大学,2012.
网络安全防护体系建设范文5
关键词:电力二次系统;安全防护体系;安全区;措施
中图分类号:TM727 文献标识码:A 文章编号:1007-0079(2014)33-0180-02
随着电网自动化、计算机网络及通信技术的飞速发展,电力系统自动化、信息化水平迅速提高。同时,电力调度系统的业务也不断丰富,很多系统存在着相互之间的数据业务交换,这些对系统的网络安全问题提出了更高的要求,电力二次系统的安全防护也变得更加重要和严峻起来。[1]为此,针对调度系统二次安全防护,相继出台了原国家电监会第5号令《电力二次系统安全防护规定》以及《电力二次系统安全防护总体方案》等指导性文件从政策和技术的层面明确了电力调度部门信息安全建设的具体措施。
为保障地区电网安全、稳定运行,抵御黑客、病毒、恶意代码等通过各种形式对电力二次系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪,依据相关政策文件,结合地区电网实际情况,设计和制定了地区调度控制中心二次系统安全防护方案。
一、电力二次系统安全防护体系
1.二次系统安全防护的相关原则
电力调度二次系统安全防护包括调度端、变电站内及纵向安全防护,按照国家电力监管委员会《电力二次系统安全防护规定》,电力二次系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护主要针对网络系统和基于网络的电力生产控制系统,重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统及重要数据的安全,同时有效抵御外部的恶意攻击,防止发生电力二次系统安全事件或由此导致的一次系统事故、大面积停电事故,达到保障电网安全稳定运行的目的。[2,3]
“安全分区”是电力二次系统安全防护体系的结构基础,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(又称安全区I)和非控制区(又称安全区II),管理信息大区可以分为生产管理区(又称安全区III)和管理信息区(又称安全区IV);“网络专用”,是指生产大区的数据网络必须使用专网――电力调度数据网,其中电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区;“横向隔离”,是指在控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离;“纵向认证”是指采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度控制中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。[4,5]
电力二次系统安全防护的基本原则是,系统中安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠的自身安全防护措施,不得与安全等级较低的系统直接连接。
2.二次系统中安全区的划分
从横向角度看,为强化安全区的隔离,采用不同强度的网络安全设备,使得各安全区中的业务系统得到有效保护。安全区I与安全区II之间采用硬件防火墙进行隔离;生产控制大区与管理信息大区之间采用电力专用隔离装置进行隔离,并且限制数据业务的流向;从安全区I、安全区II去往安全区III单向传输信息必须采用正向隔离装置,由安全区III去往安全区I、安全区II的单向传输信息必须采用反向隔离装置。安全区III与安全区IV之间采用硬件防火墙进行隔离。[6]
安全区I中的业务系统或其功能模块的典型特征为:是电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用电力调度数据网络或专用通道,是安全防护的重点与核心。典型业务系统包括能量管理系统、广域相量测量系统、配电自动化系统、变电站自动化系统等。
安全区II中的业务系统或其功能模块的典型特征为:是电力生产的必要环节,在线运行但不具备控制功能,使用电力调度数据网络,与控制区中的业务系统或其功能模块联系紧密。典型业务系统包括调度员培训模拟系统、水库调度自动化系统、电能量计量系统等。
安全区III中的业务系统或其功能模块的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,可不使用电力调度数据网络,与调度控制中心工作人员桌面终端直接相关,与安全区IV的办公自动化系统关系密切。
安全区IV中的业务系统或其功能模块的典型特征为:实现电力信息管理和办公自动化功能,使用电力数据通信网络,业务系统的访问界面主要为桌面终端,包括办公自动化系统和管理信息系统等。[6]
二、地区电力二次系统安全防护体系
1.二次系统现有业务
某地调现有自动化系统包括:南瑞OPEN2000调度自动化系统、南瑞OPEN3000调度自动化系统、北京煜邦电能量计量采集系统、北京殷图变电站图像监控系统、电力调度运行管理系统(OMS)等。
其中,南瑞OPEN2000调度自动化系统SCADA部分于2000年7月投入运行,该系统在电网调度、运方、负荷预测等方面发挥着重要的作用。南瑞OPEN3000自动化系统是于2010年6月正式投入运行,实现了对地区电网的可靠运行控制,保证了地区电网监视、控制手段的完好,确保了地区电网的安全、稳定运行。北京煜邦电能量采集系统主要实现地调所有无人值班变电站的电能量信息、瞬时量信息的采集功能,完成变电站电能量数据的采集与处理、母线平衡计算、报表统计、线损统计分析等。北京殷图变电站图像监控系统实现了无人值班变电站空间范围内的建筑安全、防火、防盗,保障了站内输变电设备的正常运行,并在事故时保持与主站的图像通信。电力调度运行管理系统(OMS)涵盖了电网调度、运方、继保、自动化等各专业,是地调管理与生产的重要组成部分。
其中,OPEN2000调度自动化系统、OPEN3000调度自动化系统、电能量计量采集系统、变电站图像监控系统等均为独立建设的自动化系统,同时均开通了Web浏览业务。
2.二次系统安全防护的实施
依据电力二次系统安全防护方案,结合地区电网实际情况,电力二次系统划分为三个安全区。安全区I为内网,安全区III、安全区IV为外网,内网和外网之间通过电力二次系统专用安全隔离装置保证了内网和外网之间的安全程度很高的可控通信。
安全区I的网络边界通过电力通信专用网与三级数据网进行通信。安全区I的数据通过汇聚交换机和安全隔离装置实现与安全区III实时Web的通信。
安全区III的网络边界通过电力通信专用网与三级数据网进行通信,同时通过防火墙过滤与安全区IV的通信,安全区III的主要业务是电力市场模拟系统、开放了Web浏览业务的各系统等。安全区IV直接面向广域网,通过防火墙过滤与安全区III的通信,主要业务包括信息通信中心OA系统。
电力二次系统安全防护的实施选用的相关主要网络设备包括:
(1)安全隔离装置。通过部署安全隔离装置保证安全区I的网络安全性,使得整个二次系统网络的规划完全符合电力二次系统安全防护方案的部署要求,保证电力二次系统的安全性。
(2)华为网络交换机。为适应对电力二次系统的安全分区的改造,在安全区I布置了一台二层交换机,在安全区III布置了一台三层核心交换机,通过部署这两台交换机起到了分区隔离、专网专用的作用。同时,也是将安全区III和安全区IV划分清楚的重要措施。
(3)天融信防火墙。通过在安全区III、安全区IV之间部署国产防火墙,起到报文过滤的作用,保证安全区III的相对安全性。
(4)瑞星企业防病毒套件。为了进一步保证安全区III的安全稳定运行,在安全区III安装瑞星企业防病毒软件,增加安全区III的防病毒的能力。
3.二次系统安全防护设备的部署
正向隔离装置涉及到的业务为安全区I内EMS系统的实时通信、报表同步和负荷预测文本传输。其中EMS系统运行在主备网络结构上,主要的通信通过A网进行,实时通信和报表同步通过同一条链路实现。为了完成EMS系统的应用改造,通过在安全区I的华为S3025C二层交换机上划分一个单独的VLAN与正向隔离装置内网口的通信;外网直接接入安全区III的核心交换机华为S6502的专用于安全隔离装置的VLAN接口上。对于安全区I与安全区III的通信,安全区I的华为S3025C交换机与安全隔离装置相连的方式为普通二层交换机的连接方式,而安全区III与安全隔离装置外网的连接是基于路由的模式,需要配置MAC绑定和ARP报文通信。
反向隔离装置涉及到的业务为:安全区IV负荷预测计划信息文本反向传入安全区I内的EMS工作站。对于安全区I与安全区IV的通信,安全区I华为S3025C交换机与安全隔离装置相连的方式,相当于普通二层交换机的连接方式,而安全区IV与安全隔离装置外网的连接是基于路由的模式,需要配置MAC绑定和ARP报文通信。
在不改变安全区IV的网络通信环境,维持现有的工作状况下,将相关的系统划分到安全III区,接入到华为S6502网络核心交换机,基于不影响安全区IV原有网络通信环境的原则,防火墙运行在路由模式下应用地址转换规则,可以将安全区III和安全区IV的网段完全划分开来。
三、二次系统安全防护的有效措施
病毒防护是实时系统与数据网络的安全措施之一,病毒的防护应该覆盖所有安全区I、III、IV的主机与工作站。安全区I的病毒特征码要求必须以离线的方式及时更新。
主机安全防护主要的方式包括:安全配置、安全补丁和安全主机加固。安装主机加固软件,强制访问符合定义的主机安全策略,防止主机权限被滥用。通过及时更新系统安全补丁,消除系统内核漏洞与后门。
通过合理设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站,严格管理系统及应用软件的安装与使用。定期对关键应用的数据与应用系统进行备份,确保数据损坏及系统崩溃情况下快速恢复数据与系统的可用性。[4]
纵向安全防护体系的建设,可以完善电力二次系统的安全防护体系,避免出现安全防护中的“木桶现象”。纵向加密认证是安全防护核心的纵向防线,其具体实现是通过专用的电力加密认证网关来实现,目的是通过采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护[7]。
四、结语
地区电力调度控制中心电力二次系统的安全运行是地区电网安全运行的重要保证,根据电力调度控制中心电力二次系统的实际情况,严格按照“安全分区、网络专用、横向隔离、纵向认证”的电力二次系统安全防护总体原则,设计、制订并实施了地区电力调度控制中心二次系统安全防护方案,就二次系统安全防护设备的部署以及防护方案的具体实施进行了详细的叙述,结合行之有效的各种措施,有力保障了电力二次系统的安全运行。
同时,鉴于电力二次系统安全防护工程是一个长期的动态工程,二次系统的安全防护体系要在实施过程中根据生产实际需要不断加以修正和完善,以满足政策和文件中对电力二次系统安全防护所要求的系统性原则和螺旋上升的周期性原则。
参考文献:
[1]谢善益,梁智强.电力二次系统安全防护设备技术[M].北京:中国电力出版社,2012.
[2]陈霖.浅谈地区电网二次系统的安全防护[J].江西电力,2005,
29(3):10-12.
[3]张建庭,朱辉强.电力二次系统安全防护体系建设要点浅析[J].信息通信,2012,(6):279.
[4]周小燕,杨宏宇,崔恒志,等.地区电力调度中心二次系统安全防护[J].江苏电机工程,2005,24(2):50-52.
[5]臧琦,邹倩,郭娟莉,等.电网调度自动化二次系统安全防护实践[J].电子设计工程,2011,19(20):47-49.
网络安全防护体系建设范文6
关键词:信息 安全
1.现状分析
当前海口航标处信息化网络主要分为海事内网(简称内网)与互联网(简称外网),内网与外网之间通过网闸设备实现物理隔离,外网安全设备主要有防火墙、上网行为管理设备;内网安全设备主要是防火墙设备。内网、外网均有网络版杀毒软件中心。在整个网络体系中,已经在互联网出口边界部署防火墙、网闸等安全设备,但是网络安全防护是一个体系,在网络终端防护、全网安全监控等方面还比较薄弱,主要体现在以下几个方面:
(1)网络没有安全区域划分。由于缺乏网络安全区域划分,在内网中,办公用户与业务服务器之间访问没有任何控制措施。业务服务器是重要数据存储区域,需要加强该区域数据保护。
(2)缺乏网络准入防护。内网中没有部署网络准入系统,对于外来用户,只要获取到IP地址,就可以访问内网业务服务器,为了保证内网用户,业务服务器的安全,需要对外来用户进行准入控制,分配访问权限,入网安全检查。只有合格的用户终端才能访问内网。
(3)缺乏网络检测系统。对于整个内网中用户相互之间的访问行为、用户与服务器之间的访问行为,不能有效实时监控,当内网中用户终端之间存在相互感染,没有任何网络预警措施。
(4)服务器或者用户终端漏洞无法检测。内网中没有部署补丁服务器,内部用户也没有及时自动打补丁,导致各个用户终端存在着系统漏洞,业务服务器也没有及时更新操作系统补丁,也存在很大的网络风险。
2.安全需求分析
当前网络安全需求主要有以下几个方面:
(1)建立有效的安全区域防护。根据航标处本身网络系统实际安全需求,进行合理的安全域划分和分区域安全防护设计、实施,通过一定的技术手段,对区域内和区域间的流量行为进行逻辑隔离和防护,对恶意代码和黑客入侵进行阻隔,保护区域间的安全。
(2)部署终端安全管理系统。终端安全管理系统对内部网络的终端电脑进行统一管理和策略下发,以达到通过技术手段对终端电脑的操作行为和运行状态的可控、可管,防止终端用户随意接入网络和任意操作而造成的数据泄密事故的发生。
(3)针对全网实现可行的行为分析。通过此次安全系统的建设,对全网流行为进行全方位、多视角、细粒度的实时监测、统计分析、查询、追溯、可视化分析展示等。有效管理和发现流量的异常波动行为,并能及时发出预警机制。
(4)部署安全审计系统。内网中可能存在内部系统维护人员对业务应用系统的越权访问、违规操作,损害业务系统的运行安全,或者员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生。因此为了能够有效发现违反安全策略的事件并实时告警、记录、定位,最终实现追踪溯源,需要部署网络安全审计系统。
(5)战略发展要求。信息系统安全已上升到国家战略层面,为此,应加强信息安全建设,有效提高信息安全保障能力和水平,以保障和促进信息化健康有序发展。
3.建设方案
(1)建设目标。按照处信息化整体规划方向,结合信息安全现状,参照当前主流网络安全、信息安全技术,建设一个安全可靠、可扩展、可管理运维的一体化信息安全防护支撑系统,同时建立一套有效、可持续性的信息安全管理流程与制度。
(2)建设内容。航标处安全防护体系建设项目包含以下内容。检测防御类系统:防火墙系统、网络入侵防护系统、网络入侵检测系统;安全评估类系统:漏洞扫描系统;安全监管类系统:安全审计系统、堡垒机系统、企业安全管理系统;终端管理系统: 终端安全管理软件。
(3)方案详细设计。
①网络拓扑图如图1。
②具体设计内容
・防火墙系统
在内网服务器群区出口处部署一台防火墙设备,桥接模式部署,实现内网服务器群区与其他区域之间逻辑隔离,保护内网服务器免受其他区域不安全终端电脑的感染。
・入侵防护系统
在内网服务器群区域出口处串接部署一台网络入侵防护系统,针对日趋复杂的应用安全威胁和混合型网络攻击,适应攻防的最新发展,准确监测网络异常流量,自动应对各层面安全隐患,第一时间将安全威胁阻隔在服务器群区域外部。
・入侵检测系统
网络入侵监测系统旁路部署在核心交换区域核心交换机上,通过核心网络镜像,把所通过核心的所有网络访问进行监测,检测与智能分析系统对于病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL注入、XSS、网站挂马、异常流量等恶性攻击行为有非常准确高效的检测效果,并通过简单易懂的去技术化语言帮助用户分析威胁,对威胁进行有效处理。
・安全审计系统
安全审计系统旁路部署在核心交换区,通过核心网络镜像,把所通过该汇聚的所有网络访问进行审计。基于网络行为、数据流内容等多个层次,实现对用户上网行为的精细化审计;支持“零管理”技术从实时升级系统到报表系统,从审计告警到日志备份,所有管理员需要日常进行的操作均可由系统定时自动后台运行。系统提供全面的事件日志信息的备份、恢复、清除、归并等功能;并提供基于时间、IP地址、用户、事件类别等条件的检索功能;
・堡垒机系统
安全审计系统堡垒机旁路部署在安全管理上,通过运维管理人员通过访问该系统进行单点访问操作系统、数据库等,通过该设备进行运维管理与审计,有效管控内部人员操作的安全隐患、第三方维护人员安全隐患、高权限账号滥用等所带来的风险。实现自然人对资源的统一授权,同时授权人员的运维操作进行记录、分析、展现,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强内部业务操作行为监管。
4.预计效果分析
通过对航标处网络系统安全防护现状的充分分析,结合业务系统的实际安全需求,对整个网络系统进行安全区域划分,实现区域之间相互访问控制,重点对外网区、内网服务器区、核心交换区进行安全防护建设,分别从网络安全、数据安全、终端安全三个方面进行网络安全规划,部署网络安全管理区,完善安全管理制度,在整个航标处网络系统中建立一体化安全防护体系。具体效果如下:
(1)安全区域划分。对整个航标处网络系统进行安全区域划分,实现业务系统区、访问用户、互联网出口、核心交换区之间相互访问可以权限控制。通过安全区域划分,为提升整个安全防护水准提供基础。
(2)提升网络安全防护水平。通过在外网区、业务服务器区部署防火墙、入侵防护系统等设备,提升互联网出口防护水平,保护业务服务器免受黑客入侵。
