前言:中文期刊网精心挑选了网络安全运营体系建设范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全运营体系建设范文1
1.1网络升级改造引入安全新威胁
随着电信网络的全面IP化,原来互联网中才会存在的安全威胁被引入到电信网络中,如木马程序、僵尸程序、拒绝服务攻击等。在IP技术和传统电信网相融合的过程中,又出现了具有电信网特点的新安全威胁,例如利用IP技术针对电信网业务层面的攻击。
1.2移动终端的智能化存安全隐患
智能终端的接入方式多种多样、接入速度越来越宽带化,使得智能终端与通信网络的联系更加紧密。智能终端的安全性已严重威胁着电信网络和业务的安全,随着运营商全业务运营的不断深入,以前分散的业务支撑系统逐步融合集成,但核心网和业务网之间的连接通常采用直连的方式,安全防护措施相对薄弱。在智能终端处理能力不断提升的今天,如果终端经由核心网发起针对业务系统的攻击,将会带来巨大的安全威胁。另一方面,智能终端平台自身也面临着严峻的安全考验,其硬件架构缺乏完整性验证机制,导致模块容易被攻击篡改,并且模块之间的接口缺乏对机密性、完整性的保护,在此之上传递的信息容易被篡改和窃听。凭借智能终端高效的计算能力和不断扩展的网络带宽,终端本身的安全漏洞很可能转化为对运营商网络的安全威胁。
1.3安全防护体系建设相对滞后
随着云计算云服务、移动支付的引入和发展,给运营商现有的基础网络架构及其安全带来了不可预知的风险。新兴的电信增值业务规模不断扩大,用户数量不断增加,因此更易受到网络的攻击、黑客的入侵。新技术新业务在带来营收增长的同时,也带来了越来越多的安全威胁因素和越来越复杂的网络安全问题,使得运营商对新业务安全管控的难度越来越大。面对新技术新业务带来的风险,行业安全标准的制定相对滞后,现阶还不能够对威胁安全的因素做出一个全面客观的评估,因此也就谈不上制定相应的风险防范应对措施,并且业界对新领域的安全防护经验不够丰富,当出现重大威胁网络安全事件的时候,对故障的响应处理能力还有待商榷。
2电信运营商网络安全防护措施
2.1加强网络安全的维护工作
面对网络信息安全存在的挑战,基础安全维护工作是根本,运营商需要做好安全保障和防护工作,并在实践中不断加强和完善。对网络中各类系统、服务器、网络设备进行加固,定期开展安全防护检查,实现现有网络安全等级的提升。安全维护人员在日常工作中也必须按照规定严格控制网络维护设备的访问控制权限,加强网络设备账号口令及密码的管理,提高网络安全防护能力。
2.2加强新兴领域的安全建设
云计算、移动互联网等新技术新业务的发展,带来了复杂的网络信息安全问题,为了加强对新兴领域的安全管理,运营商需要从新领域安全策略的制定和安全手段的创新两方面着手。
2.2.1加强安全策略的制定
应对新技术新业务的挑战,对全网安全需要重新规划和管理,建立与之匹配的安全标准、安全策略作为行动指导,并形成对服务提供商的监控监管。在新业务规划时,安全规划要保持同步,从业务设计开始就应将安全因素植入,尽量早发现漏洞、弥补漏洞。
2.2.2加强安全手段的创新
新技术的发展让传统网络的安全系统和防御机制难以满足日益复杂的安全防护需求,需要有新的安全防御手段与之抗衡。因此集监控分析、快速处置为一体的云安全等新的技术手段就值得我们去不断研究,并进行商用部署。
2.3加强安全防护管理体系的建设
做好管理体系的建设,首先需要制定配套的规章制度。网络信息的安全,必须以行之有效的安全规章制度作保证。需明确安全管理的范围,确定安全管理的等级,把各项安全维护工作流程化、标准化,让安全管理人员和安全维护人员明确自身的职责,从而有效地实施安全防护措施和网络应急响应预案,提高运营商整体的安全防护能力。其次需要建立纵向上贯穿全国的安全支撑体系。随着网络的聚合程度越来越高,省份之间的耦合程度越来越密,全国就是一张密不可分的网。因此需建立全国一体化的、统一调度管理的安全管理支撑体系。当出现攻击时集团、省、市三级安全支撑队伍能联动起来,做到应对及时有效。
3结束语
网络安全运营体系建设范文2
就我国而言,在政府和行业企业的双重推动下,信息化建设和信息通信产业发展取得了巨大的成就,信息通信网络已经成为继水、电、燃气之外的关键国家基础设施,而且信息和网络在国家政治、经济、文化、军事等方面的战略性地位日益突出。但与此同时,我们看到网络空间安全威胁形态日趋复杂,相关利益主体也日趋多元,而且网络空间安全与传统政治、经济、军事安全紧密结合、相互转化。于是我们发现,网络安全事件频发,网络违法犯罪行为猖獗,新技术新业务快速发展引发的新型网络安全问题不断增加。
如工业和信息化部副部长尚冰所指出的,随着网络的IP化、宽带化、智能化以及新技术新业务新业态的快速发展,网络安全问题更加复杂,形势依然严峻。网络攻击、信息窃取、病毒传播等安全事件和违法犯罪活动多发频发,社会各界和广大用户要求加强电信用户信息保护的呼声日益强烈,通信网络仍然存在一些安全隐患和薄弱环节,核心技术与关键资源的自主可控能力不强,网络安全方面的高精尖人才还比较缺乏,全社会网络安全意识仍有待进一步提高。
两大安全热点
根据2012年中国计算机网络安全年会所的信息,近年来,移动互联网已经成为信息产业中发展最快、创新最活跃的领域,移动互联网安全也已经成为当下的热点领域之一。
宽带无线通信技术的演进和移动智能终端的普及为移动互联网的发展注入了强大的动力。移动支付、基于移动用户位置信息的服务等各类创新应用不断涌现,极大的丰富了用户的业务体验。移动智能终端、应用软件和软件商店的紧密结合,构成移动互联网独特的业务运营模式,深刻的影响着用户的消费习惯和产业格局。与此同时,移动互联网和智能终端的安全问题也备受关注。一方面互联网上原有的恶意程序传播、远程控制、网络攻击等传统网络安全威胁向移动互联网快速蔓延。另一方面移动互联网终端与用户利益密切相关,恶意吸费、用户信息窃取、诱骗欺诈、网络攻击等恶意行为的影响和危害十分突出。
为什么移动互联网会成为“罪魁祸首”呢?工业和信息化部通信保障局副局长熊四皓在大会上做了如下分析。最基本的一点是,作为移动通信和互联网融合的产物,移动互联网安全依然没有可靠保证,其可信可管问题目前还无法从根本上解决。而且移动智能终端、操作系统和应用系统一直处于不断地发展演进当中,自身安全和相关安全产业走向成熟还有很长的路。还有,智能终端存储和计算能力以及与之对应的宽带无线网络的空中接口资源都非常有限,这使得安全防护的可扩展性大大降低。
除了移动互联网安全,云计算的安全问题也备受关注。与移动互联网安全不同的是,云计算面临更多的信任性的安全问题而不是技术性问题。消费者或者企业对于云计算的担心是“我们的数据放在第三方云服务提供商那里是否安全?获取信息的过程是否安全?”的确,对于信息社会而言,“信息”是至关重要的。另一方面,云计算中的数据对于数据所有者以外的其他用户云计算用户是保密的,但是对于提供云计算的第三方服务提供商而言确实毫无秘密可言。这就像普通老百姓不能监听别人的电话,但是在电信公司则可以随时监听任何电话。所有这些潜在的危险,是政府机构、商业机构乃至普通消费者在选择云计算服务、特别是国外机构提供的云计算服务时,不得不考虑的一个现实问题。
诚信体系缺失
不管形势如何变化,我国政府对网络安全问题一直非常重视,也实施了一系列卓有成效的举措。比如,工业和信息化部近几年出台了《通信网络安全防护管理办法》、《公共互联网网络安全应急预案》等一系列部门规章和政策性文件,制订颁布了40多项网络安全行业标准,基本建立了通信网络安全管理制度框架,并建立了网络安全分级响应机制。
同时,工业和信息化部对进一步做好网络安全工作对信息通信行业提出五点要求:一是要进一步提高对网络安全工作重要性、紧迫性、复杂性的认识,牢固树立安全发展的理念,切实增强紧迫感和危机意识,落实安全责任和防范措施,加大人力物力投入,扎实有效地开展工作,为党的“十”胜利召开提供有力保障。二是基础运营企业、广大互联网企业以及网络安全企业,要本着“积极防御、综合防范”的原则,着眼于应对不断升级的网络安全威胁,大力加强网络安全防护和应急能力建设,及时消除安全威胁和隐患,持续开展网络安全环境治理,切实提高网络安全防护水平。三是加强核心技术攻关和自主创新,加强网络安全技术手段研发和建设工作,加快网络安全管理和技术人才队伍建设。四是全行业要在做好通信网络安全工作的基础上,发挥技术和业务优势,积极为各级党委、政府以及金融、交通、能源等重要信息系统提供网络安全技术支撑,服务国家经济社会发展,服务国家信息化建设。五是要深入推进网络安全国内、国际交流与合作,树立合作共赢意识,积极参与网络安全技术和业务交流,借鉴有益经验,共同应对网络安全威胁和挑战。
网络安全运营体系建设范文3
棉花监测系统网络支撑平台是提供信息数据传输、交换、储存、处理、共享、的综合业务平台,通过构建数据处理中心、数据处理分中心(国家发改委价格监测中心)、国家棉花市场监测系统信息中心以及国家棉花市场监测系统总公司的网络、计算机、配套设备、运行环境,实现信息的处理、共享、传输和备份,以满足系统运行的各方面功能要求。
1.在基础平台建设的同时开展全面、有效的安全体系规划和建设;2.选用最可靠最稳定的安全产品构建安全防御系统;3.在最大限度保障安全运行的同时,又兼顾良好的运行效率;4.全面兼顾安全技术、业务运维流程和人员在信息安全保障中的积极协调作用;5.有效监控全网的安全情况,快速发现可能的安全隐患和异常行为;6.实现7×24×365的安全运行状态监控与安全运行维护处理;7.建立完善的应急响应机制和流程;8.在短短两个月时间内高效率、高质量地完成所有的工作。
一套平台 两种思想 三个系统
国家棉花市场监测系统安全建设和保障工作涉及到安全体系规划、安全系统集成、安全运维管理、信息安全专业服务、高端安全管理咨询、日常安全支持以及安全值守服务等众多内容。安全建设工作千头万绪,安全保护对象庞大复杂,安全管理要求苛刻严格,对安全保障体系的规划和设计提出了非常高的要求。
针对安全建设和管理需求,太极组织了大量的安全专家认真、深入地分析了国家棉花市场监测系统可能面临的各类安全问题,参照ISO17799等安全管理国际标准,结合太极多年在安全领域的经验,提出了解决方案。太极与相关合作伙伴紧密合作,针对国家棉花市场监测系统的安全设计和建设可以总结为:建设一套集中的安全运行管理平台,融合两种核心的安全建设思想,建立三个不同角度的信息安全子系统。
一个平台,是指通过部署安全运行管理中心产品建立国家棉花市场监测系统的集中安全运行管理平台。通过对网络中各种网络安全设备和安全软件的集中管理和监控,把一个个原本分离的网络安全孤岛联结成有机协作互动的一个整体,并自动实现对安全事件的处理,从而实现网络安全管理过程中的实时状态监测,动态策略调整,综合安全审计以及恰当及时的威胁响应,从而有效提升网络的可管理性和安全服务水平。
两种思想是指动态信息安全风险管理体系建设思想和构建信息安全纵深防御体系建设思想。
动态信息安全体系思想的根本目的,是要保障安全系统设计具备良好的动态建设过程和安全可扩展性,促进建立易扩展的信息安全保障体系。纵深防御思想是保障安全系统设计的广度和深度,促进建立全面综合、高效安全的网络安全保障体系。其在广度上要求从网络架构、网络设备、操作系统、应用系统、数据库系统等各个层面考虑安全系统建设;在深度上要求分层次,由外而内,从网络边界、内部网络、核心服务器乃至桌面PC各个层面考虑安全防御功能的建设。其核心体现就是进行合理的网络安全域规划,实现安全事件影响范围的有效控制。
本次项目,太极协助国家棉花市场监测系统规划了完善的动态信息安全风险管理体系的建设,包括三大信息安全体系安全功能技术体系、安全服务支持体系、安全管理咨询体系。
优点多多
系统的安全规划、建设和运营管理解决方案,覆盖了信息系统的整个生命周期;充分重视业务安全管理,将传统分立的安全产品管理进行有效整合;提出了安全运行管理中心解决方案,实现了安全产品和管理的集中统一;将安全监控和安全维护有机结合,实现闭环管理,提高了安全管理效率;将各种安全设备所报告的安全事件汇总在一起进行关联分析,消除安全事件的误报和重复报警,并推断问题根源,给出该事件的解决建议。
应用效果与收益
安全运行管理中心的部署,实现了分散的、异构的安全产品的集中管理,高效提炼和分析海量的安全信息和各类报警事件;实现了安全事件的闭环处理;实现了信息安全的“可控、可见和可管理”,协助国家棉花市场监测系统迈向信息安全管理乃至IT管理的新台阶。
用户评议
国家棉花市场监测系统由于其特殊性和重要性,安全是第一重要的因素。我们在进行项目建设过程中对安全产品提供商和安全集成服务商进行了严格的选择,我们在项目建设中采用了最好的产品、最严格的管理、最优秀的集成商和最高效的服务来确保网站的安全。
网络安全运营体系建设范文4
关键词:高校图书馆 无线安全 体系建设 问题与现象 措施与策略
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)11-0194-01
1 关于高校图书馆的无线体系及无线安全建设
(1)什么是高校图书馆的无线体系。近几年来,我国的网络技术与计算机技术不断发展,诞生许多新的产物,高校图书馆无线体系就是其中之一,高校图书馆利用互联网上现有的图书资源,对其进行整合与共享,形成网络图书馆,充分利用网上图书资源,方便高校学生的读书需求,利用无线技术,更能将这种网络优势发挥出来。但是互联网作为公共平台,会存在信息丢失盗窃的现象,所以现如今对高校图书馆的主要任务是建设安全性的高校图书馆无线体系,保护图书馆与学生的信息与网络安全。
(2)我国无线网络技术的发展现状分析。随着我国改革开发程度的不断加深,网络信息技术已经全面融入到人们的生活中了,并且在网络技术进步的同时,无线技术的开发运用随之进步,嵌入式的无线软件与硬件在网络用户中广泛传播,通过编程将无线路由器与网络运营商的官方软件应用于个人计算机中,大大方便了网络用户的使用,解放了网络用户受网线的拘束,是网络发展的一个里程碑。
2 分析高校图书馆无线无线安全中存在的问题与现象
(1)互联网本身存在着威胁无线体系的安全隐患。互联网本身作为一个用户交流体验平台,是开放式的交流系统,本身的安全防护系统很薄弱,对现有的互联网威胁很难起到根本性的作用。互联网的网络协议在设计时的目的只是为了进行更方便的用户体验,而对互联网本身的安全方面考虑不全面。随着网络技术的快速发展,网络协议的漏洞也随之显现出来,互联网的用户急剧增加,导致对互联网用户本身的身份难以确定,导致互联网用户的信息丢失,严重的还造成了经济损失,无线技术依附于互联网技术,互联网技术的开放性与危险性导致无线技术存在着安全隐患。
(2)高校图书馆本身的无线安全防护技术不全面。现如今在国际上存在各种各样的无线安全防护技术与手段,我国也在积极的引进这类技术。我国高校图书馆无线安全技术不全面,缺少在无线连接方面的安全防护技术,在查杀高校图书馆无线系统本身的漏洞技术方面也存在着不足。由于近几年来互联网学生的急剧增多,导致高校图书馆的无线系统安全技术不足,影响了正常的学生体验,对高校图书馆的系统破坏很大。
(3)对图书馆内部的安全管理制度不健全。在我国高校图书馆的无线安全防护体系中,对技术的重视超过对安全意识的重视,对高校图书馆无线安全进行制度管理的重要性缺乏相应的理解和重视,导致了高校图书馆无线安全管理制度不够完善,从而造成在图书馆管理上出现漏洞,引发一系列的系统安全问题。在我国高校图书馆中出现制度方面的问题有两点,一是无线安全管理制度不完善,我国高校图书馆无线安全管理制度远远不够健全,安全防护技术缺乏严格相应的安全防护管理制度与之相配套。二是对图书馆下属员工缺少安全意识的培训机构,导致图书馆工作人员对无线安全意识淡泊,缺乏应有的无线网络安全知识。
3 探究高校图书馆无线安全体系建设的策略
(1)要强化高校图书馆无线安全防护意识。现如今我国的高校图书馆无线网络安全防护手段多偏向于技术方面,而忽略了对图书馆管理人员与广大学生学生的安全防护意识的强化。强化安全意识一直以来都是安全建设的重要手段与步骤,高校图书馆为广大学生提供了广泛的图书体验。强大有力的无线安全防护技术系统固然有着重要的作用,但是也需要管理人员敏锐的安全意识来配合使用,所以高校图书馆应该对下属的工作管理人员进行定期的无线网络安全意识培训工作,提高工作管理人员的安全意识,更好的利用高校图书馆的无线网络安全体系进行防范危险,为广大学生更好的使用图书馆做出贡献。
(2)对高校图书馆无线网络安全制度规程的完善与优化。稳定的无线网络安全体系必须要有健全的管理制度作为保证,由专门的管理机构进行安全管理,对图书馆下属员工制定有效的管理制度,在执行过程中严格遵守规章制度,这样才能使高校图书馆的无线安全体系建设工作可靠性大大增强。高校图书馆应该设立专门的技术部门负责图书馆内部的无线安全管理与维护,并建立安全意识培训班,对图书馆管理人员和学生读者进行安全意识的培训和强化工作,与此同时图书馆的安全技术人员也应不断更新自身无线安全技术的使用,使得无线安全技术达到与国际同步的水平,健全安全管理制度有利于对图书馆管理人员与学生形成制度上的约束,推动无线网络安全管理建设。
4 结语
在高校图书馆的建设中引入无线网络技术,是高校图书馆建设的一个里程碑,对于学生用户来说,无线技术解放了网线的拘束,让图书馆无处不在。而对与学校来说,高校图书馆的无线网络安全管理问题是一项难题,需要全面健全图书馆无线网络安全制度,保证制度对于图书馆的管理优化,因此在高校图书馆的无线网络建设过程中,需要不断进行探索,根据图书馆自身情况进行改革。
参考文献
[1]周华生.高校图书馆无线安全隐患及对策[J].江西图书馆学刊,2005年03期.
[2]刘芳.高校图书馆在高校素质教育中的地位和作用[J].科技情报开发与经济,2006年02期.
网络安全运营体系建设范文5
关键词:机场管理;信息化;运行效率;网络安全
中图分类号:F270 文献标识码:A 文章编号:1009-2374(2013)15-0146-02
1 概述
进入21世纪,信息化程度越来越高,网络越来越普及,特别是网络的接入,让我们重新对网络安全问题的可靠度和安全性能方面进行一定的考虑,其中机场信息化程度在我国航天航空领域应用越来越广泛,如何广泛地、实时地、准确地应用机载电子产品的信息化程度,而且充分地保证其安全性能,信息的准确性,我们需要从全面而系统地认知其产品的稳定性,加强机场的安全监察,机场的信息化程度带来的各种弊端以及漏洞。例如机载产品的耐环境影响能力,产品的稳定性和安全性能都是重中之重的安全考虑角度,设备的安全性,使得设备的可操作性更强,故障水平也相应降低,其可靠度增强,现行机场网络安全存在一定的漏洞,常常出现出票机出不来票,出票有误,飞机起飞时间和到终点时间,飞机中途故障、加油等等,这些使得机场信息不能及时传给乘客,造成一定的人员拥挤,顾客存在一定的抱怨,因此也影响机场的效率,加强机场网络安全,促进机场行业信息化发展,是现行机场的当务之急,有必要提升机场的信息化程度。本文将系统的研究机场的网络安全性,全面地促进机场信息化程度的发展。
2 机场网络信息化设计
机场网络的安全是保证飞机正常运行的保障,也是保证顾客的利益所在,网络的安全如今越来越重视,网络的安全性让顾客更加全面地了解该个机场的境况,更加透明化,使得机场的体制更加健全。机场的信息化程度在我国主要应用在航空航天领域,航空航天领域对机场信息化的要求很高,要求其可靠度、安全性能极限值度均需满足我国航空航天相关要求,保证信息的及时、准确无误。如何保证机场的信息化程度较高,机场的网络安全性指数较高,使其在恶劣环境条件下依然能够保持良好的性能指标,抗外界环境因素影响的能力,就需要对机场信息化系统进行全面而系统的设计和研究,从设计加工源头出发。其机场信息化安全设计见表1:
机场的网络安全保障了机场信息化程度的发展,对于网络信息化的安全性分析方法包括功能危险性分析(对功能进行系统、综合的检查,识别这些功能的失效状态,并根据严重程度对失效状态进行分类)、初步安全性分析(用于完成失效状态清单以及相应安全性要求)、故障树分析(是自上而下的分析技术)。这些分析通过依次展开更详细(即更低层次)的设计层次向下进行。通过这些安全性验证方法,全面而系统地保证系统的安全可靠性、安全性能、稳定性能。
3 机场信息化建设
机场企业是需要密切和外部进行联系的企业,机场企业需要支持与客户、合作伙伴和员工的信息共享和业务运作,将企业的各业务系统逐步整合进来,自动将信息给相关管理者和内部成员企业并实现互动,并在业务条件成熟时,和客户、供应商以及其他合作伙伴建立联系,其具体建设内容包括见表2:
一、信息化组织建设 包括组织标准化制定,集中管理模式建设、联邦式管理模式建设。
二、基础设施标准化建设 包括建立技术标准、完善PDS和机房建设、网络建设、数据中心建设、系统管理平台建设、安全体系建设、数据整合等。
三、业务支持系统建设 存储和交换标准、办公自动化系统、企业信息门户一期、财务系统一体化、
人力资源管理、设备管理系统。
四、扩展支持系统建设 商务智能、知识管理系统、客户关系管理系统、项目管理系统、采购管理系统、企业信息门户二期。
加强机场网络安全建设,促进机场行业信息化程度的提高,需要一个阶段、一个阶段的相互促进相互协调,不断的完善,达到设计的要求,机场安全信息化程度的提高是机场设计中的重中之重,有必要提升机场的信息化
程度。
4 结语
通过对我国机场行业的调查和研究,发现提高管理水平是机场行业一个普遍的发展目标,但我国目前机场的信息化程度相对较差,而从未来机场运营的发展来看,又迫切需要借助信息化手段提高机场的整体运行效率。机场信息化包括运营信息化和管理信息化。运营信息化主要以飞机从起飞到降落和旅客从出发到到达为主导的运营信息化。这些决定了机场行业的信息化目前建设的重点是管理信息化。现行机场网络安全存在一定的漏洞,常常出现出票机出不来票,出票有误,飞机起飞时间和到终点时间不能保证,飞机中途故障、加油等等,这些使得机场信息不能及时传给乘客,造成一定的人员拥挤,顾客存在一定的抱怨,因此也影响机场的效率,加强机场网络安全,促进机场行业信息化发展,是现行机场的当务之急,有必要提升机场的信息化程度。
参考文献
[1]吴文钊.企业信息化行动纲领——中国企业信息化方法论[M].北京:机械工业出版社,2003.
[2]朱战备,孟凡强,范晓虹.IT规划[M].北京:机械工业出版社,2004.
[3]周伟.企业信息系统规划步骤及方法探讨[D].西南财经大学,2003.
网络安全运营体系建设范文6
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
