前言:中文期刊网精心挑选了构建网络安全保障体系范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
构建网络安全保障体系范文1
随着信息安全形势的日益严峻,国家对信息安全产业的重视程度日益提高。2000年召开的十五届五中全会将“强化信息网络的安全保障体系”作为信息基础设施建设的一部分。2003年的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)(下文简称27号文)对信息安全保障工作进行了全面部署,并提出“推进信息安全产业发展”。
2004年召开的十六届四中全会已经把信息安全与政治安全、经济安全和文化安全提到同高度。2006年的《2006-2020年国家信息化发展战略》其中将建设国家信息安全保障体系作为战略重点,并明确“促进我国信息安全技术和产业自主发展”。
2011年的《进一步鼓励软件产业和集成电路产业发展的若干政策》(国发[2011]4号)明确提出“完善网络环境下消费者隐私及企业秘密保护制度逐步在各级政府机关和事业单位推广符合安全要求的产品”。
美国组建了网络安全司令部,美国将网络空间安全由“政策”、“计划”提升为国家战略,1998年5月,当时的克林顿政府了第63号总统令(PDD63):《克林顿政府对关键基础设施保护的政策》,成为直至现在美国政府网络空间安全的指导性文档,2011年5月16日,美国白宫网络安全协调员施密特美国首份《网络国际战略》,2012年10月16日,签署了《美国网络行动政策》(PDD21),包括三类行动,网络搜集、网络防御、网络进攻,奥巴马提出到2016年整编成133支网络部队,最近北约网络空间安全框架指出,目前世界上有一百多个国家具备一定的网络作战能力,公开发表网络安全战略的国家多达50多家,党的十七大报告提出:“按照建设信息化军队、打赢信息化战争的战略目标,加快机械化和信息化复合发展,积极开展信息化条件下军事训练。”十报告要求:“坚定不移把信息化作为军队现代化建设发展方向,推动信息化建设加速发展。”网络安全已成为国家安全的重要议题。由于政治、经济、文化、军事等各个领域对信息网络的高度依赖,国家、组织甚至个人都可能通过信息手段威胁国家安全。强调,网络安全和信息化对一个国家很多领域都是牵一发而动全身的,要认清我们面临的形势和任务,充分认识做好工作的重要性和紧迫性,因势而谋,应势而动,顺势而为。指出,没有网络安全就没有国家安全,没有信息化就没有现代化。
2014年7月22日国家互联网信息办公室、工业和信息化部、公安部正在开展联合行动,在全国范同内集中部署打击利用互联网造谣、传谣行为,三部门相关负责人呼吁广大网民共同净化网络环境,不信谣、不传谣,并积极向中国互联网违法和不良信息举报中心等举报机构提供谣言信息线索。
构建网络安全保障体系范文2
目前,信息化已经成为我国各类型企业尤其是中小型企业提高竞争力的有效武器。企业越来越依赖网络开展业务交易,进行内部资源共享和日常沟通。但随着开放程度的增加,存储在网络上的数据也开始暴露给外界,成为恶意攻击的目标。
为了确保只有合适的人才能进入网络,了解企业生产、经营的相关数据,使企业在生产经营中免受恶意攻击,建设企业网络安全已成为中小企业信息化建设的重要课题。
对于中小企业用户来说,信息安全将不再是一项IT技术问题,而已被赋予集成协作、管理策略等更丰富的内涵。对于广大中小企业来说,该如何构建适合自己的网络安全保障体系呢?
企业安全环境分析
安全体系的构建是为了解决企业中所存在或可能存在的安全问题。因此在构建安全保障体系之前,我们应首先了解中小企业所面临的安全问题有哪些。由于中小企业网络系统特有的开放性,其所面临的安全问题主要有以下几个方面:
1.外网安全。外网安全问题主要包括黑客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等,这些已成为目前影响最为广泛的安全威胁。
2.内网安全。最新调查显示,在受调查的企业中,60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了企业生产率,消耗了企业网络资源,同时还会引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密。
3.内部网络之间、内外网络之间的连接安全。随着企业的发展壮大,如何在保证信息共享的情况下,防止重要信息的泄漏,已经成为企业必须考虑的问题。
网络可用性分析
网络可用性是指网络信息可被授权实体访问并按需求使用的特性。今天很多企业的经济效益都与网络的连续可用性、完整息相关。随着越来越多的信息以数字化的格式出现,企业面临着如何以相同或者更少的资源管理迅速增长的信息的挑战。
Dos/DDos这样的网络攻击是最常见的破坏网络可用性的攻击方式。通常,企业可通过部署防火墙、负载均衡设备来保证网络可用性的安全。
系统可用性分析
中小企业网络中的主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络外部的非法访问、恶意入侵和破坏。
系统可用性是指一个系统应确保一项服务或者资源总是可以被访问到的。网络可靠性可以增加系统的整体可用性,用户必须考虑到当某些系统部件出错时,如何保障系统的可用性。
我们可以在环境中设置冗余组件和错误恢复机制,这样当某些组件的错误对系统的可靠性产生不良影响时,就可以通过使用系统冗余,让整个系统的服务仍然可用。
数据机密性分析
对于中小企业网络,保密数据的泄密将直接带来企业商业利益的损失。网络安全系统应保证机密信息在存储与传输时的保密性。
从电子数据产生以来,对于数据保护的需求一直没有发生变化:需要防止数据受到无意或者有意的破坏。最近发生的一系列事件使得数据保护和灾难恢复问题成为人们关注的焦点。越来越多的企业意识到,如果他们的数据中心遭受重大损失,那么恢复数据将需要大量的精力和时间。数据保护解决方案是一系列技术和流程的组合。
访问可控性分析
除了保证机密数据的安全,对关键网络、系统和数据的访问,也必须得到有效控制。这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。
可以说,访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。在今天,访问控制涉及的技术比较广泛,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
网络可管理性分析
可管理性既是观察网络可用性的一个窗口,也是提供可用性的一个工具。企业可以利用网络管理来确定关键性的资源、流量类型与性能级别。网络管理也可以被用来设定设备故障的类别。它可以提供显示网络状态的复杂报告。企业还可以利用对网络的管理来设定,在硬件性能下降时,系统自动采取应对行动的策略。
因此,企业在构建网络安全系统时应包括审计和日志功能,可以对相关重要操作提供可靠而方便的管理和维护。
链接:UTM更能满足中小企业的网络安全需求
网络安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等功能产品组成的。但由于安全产品来自不同的厂商,没有统一的标准,因此安全产品之间无法进行信息交换,形成许多安全孤岛和安全盲区。而企业用户目前急需的是建立一个规范的安全管理平台,对各种安全产品进行统一管理。
此外,面对各种新形式下的安全问题,传统的安全设备已经显得无能为力,例如针对Windows系统和Oracle/SQL Server等数据库的攻击。这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。基于网络传播的病毒、间谍软件、垃圾邮件给互联网用户造成了巨大的损失,层出不穷的即时消息和P2P应用(例如QQ和BT下载)给企业带来许多安全威胁并大大降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时,已经不能满足客户的安全需求。
于是,UTM产品应运而生,并且正在逐步得到市场的认可。UTM安全、管理方便的特点,是安全设备最大的优势,而这往往也是中小企业对产品的主要需求。
构建网络安全保障体系范文3
从安全技术架构来说,网站群的安全问题主要在于网络层、操作系统、数据库的安全。高职院校一般都具备独立的数据中心。以浙江医药高等专科学校为例,目前已建有MIS+S(基本信息安全保障)系统架构,随着硬件驱动已转变为应用驱动,网络信息基础设施和服务都有了大幅度的提升,能够从物理安全、网络安全、系统安全、应用安全四个环节,打造网站群安全防范技术体系,实现动态防御、主机安全、备份和恢复、安全审计、安全测试配置、安全监控,应用分析等目标。
1.1动态防御
网站群安全防范技术体系以往,我们通常利用防火墙、双核心网络设备以及DMZ区来实现应用防护,防范恶意攻击和病毒入侵的能力有限。在网络安全问题日趋严重和复杂的情况下,需要加固原有的网络拓扑结构,增加应用防护系统、统一防恶意代码软件、网络管理系统,与防火墙一起建立动态防御体系。只有为网站群和服务建立访问控制体系,才能将绝大多数攻击阻止在到达攻击目标之前,或攻击者在突破第一道防线后,延缓或阻断其到达攻击目标,最终提升网站群系统的物理安全、网络安全和应用安全。我们将网站群系统所在区域从原DMZ区划分出来,与其他Web应用一起规划为安全级别较高的WebServer服务区域。同时,在该区域部署统一恶意代码防范管理系统,建立安全的病毒防护措施。在核心交换和WebServer服务区域间,通过串联部署方式,增加一台WAF(应用防护系统),起到防护Web应用、漏洞检测作用,确保网站群在内的Web应用完整性。同时,开启硬件防火墙上的网站防篡改、IPS功能、日志功能,建立攻击监控体系,实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源,等)。网站群系统管理员在统一恶意代码防范管理平台上,对网站群主机进行远程控制。包括:远程启动或停止实时监控、手动扫描、实时更新、功能组件配置、设定分组任务或策略,等,以有效阻隔外来病毒入侵及内部病毒清除,有效保障系统安全。众所周知,网络攻击也可以来自于局域网内部,如内网DoS攻击、ARP等病毒攻击。对于内网攻击的防范,通常采取的应对方法有:为内网终端安装病毒防护软件、加强用户病毒查杀意识,在网络设备上划分VLAN进行逻辑隔离、设置ACL访问控制。现阶段,我们还启用硬件防火墙上的IPS、DDoS/DoS内网防护、病毒防御策略等功能来加强防范。同时,利用上网行为管理设备,对内网终端实施安全检查、网络准入控制、行为审计、危险流量封堵、木马病毒查杀等安全防护措施,针对内网攻击事件查看分析用户行为记录并定位,并且依据学校相关规章制度进行处置处理(如《校园网用户守则》、《校园网联网安全保护管理办法》、《校园网系统安全管理制度》,等),提高局域网内部的综合防范能力,减少内网攻击事件的发生。
1.2主机安全
主机安全是网站群系统安全的保障。可以采用双机热备的方式来解决主机冗余问题。但是,由于网站群系统应用的重要性和网络安全的复杂性,为提高主机安全能力,还需要构建主机集群环境,以保障网站群系统的持续运行。目前,高职院校为提高数据中心的利用率和采购运行成本,通常会采用服务器虚拟化软件规划虚拟数据中心。在该环境中,统一存储设备部署在后端,为物理服务器(虚拟主机)提供空间资源,并为前端虚拟机提供数据存储资源;数台高性能服务器作为虚拟主机,随时划分前端虚拟机,并提供虚拟机所需的CPU、内存资源、存储器访问权和网络连接能力,满足各项应用的服务器需求。采用虚拟机(VM)部署网站群双机热备,在降低采购成本的同时,提高了网站群主机的灵活性、冗余保障和容灾迁移能力,保障网站群主机操作系统的安全需求。为了减少网站群所在虚拟主机(物理服务器)的单点故障,实现网站群系统的不间断运行,我们利用vSphere集群功能,在虚拟数据中心内,配置HA(highavailability)高可用集群(如图4所示)。HA允许一个集群中在资源许可的情况下,将一台出现故障的虚拟主机上面的网站群虚拟机切换到集群中另一台虚拟主机上运行(如192.168.0.116和192.168.0.118)。应用业务时间间断由VM系统启动时间、应用启动时间、心跳检测时间构成。
1.3备份和恢复
数据资料是整个网站群系统运作的核心,建立良好的备份和恢复机制,可以在应用系统遭受攻击时,尽快地恢复数据和系统服务。以往,为降低备份容灾成本,会采用纯软件模式,通过编辑脚本文件,连接两台热备服务器,将数据实时复制到另一台服务器上,如果一台服务器出现故障,可以及时切换到另一台服务器,避免了磁盘阵列的单点故障。在网络安全的新形势下,为实现应用数据及业务存储系统的完整性和可靠性,我们在网络拓朴的DMZ区域,接入存储备份一体机(浙江医药高等专科学校采用SymantecBE3600),构建高可用性的存储备份环境。利用其存储空间及备份管理系统,实现有效的异地备份,为网站群的容灾备份提供了进一步的安全保障。通过制定备份策略,选择合适的备份频率,采用完全备份、增量备份、差分备份或按需备份的组合方式,确保及时恢复失败的网站群虚拟机,快速恢复丢失的应用程序服务,全面提升网站群的数据安全及备份恢复能力,避免在各种极端情况下造成的重大损失和恶劣影响。
1.4安全审计
网站群要达到可控性与可审查性,就必须对站点的访问活动进行多层次的记录。安全审计是网站群主机安全和应用安全中的重要环节,审计范围要覆盖到主机上的每个操作系统用户和数据库用户,审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件,及时发现非法入侵行为。以旁路方式部署了一台审计设备,并接入核心交换。审计设备通过对交换机的镜像口进行旁路监听。网站群系统管理员可通过B/S方式使用日志管理综合审计系统,从网络运行维护、数据库安全及系统安全审计等方面,采集所有网站群的数据库访问行为记录,收集客观、实时的分析数据。一旦发生网站群网络信息安全事件,系统管理员可根据网站群用户对数据库系统的所有操作信息,进行准确快速定位,并排除安全隐患。此外,为确保安全审计,还应要求网站群开发人员去除或隐藏程序中的删除日志功能。
1.5安全测试与配置
由于网络安全不是绝对的,因此,在建立技术防范体系后,我们按照《信息安全技术信息系统安全等级保护基本要求》中的第二级基本要求,对网站群的操作系统、数据库和应用系统进行集成测试和配置。主要包括身份鉴别、访问控制、入侵防范、资源控制、数据完整性和保密性,从而确保信息和管理安全。我们采用Centos和Oracle来构建网站群的操作系统和数据库环境,相关配置如下:
1.5.1身份鉴别良好的身份认证体系可防止攻击者假冒合法用户。为此,须对登录操作系统、数据库系统、网站群的用户进行身份标识和鉴别,操作系统和数据库系统管理用户身份标识应具有不易冒用的特点,并确保用户名具有惟一性。因此,我们做了相关配置:编辑操作系统文件etc/login.defs文件,应达到密码定期更换要求。如:PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数PASS_MIN_LEN6#最小密码长度6编辑操作系统文件/etc/pam.d/system-auth文件,应达到密码复杂度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密码最小长度6位和至少包含2数字、至少包含2个特殊字符数编辑操作系统文件etc/pam.d/system-auth文件,采取结束会话、限制非法登录次数和自动退出等措施,实现登录失败处理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#设置密码连续错误6次锁定,锁定时间300s。对于数据库的身份鉴别,我们通过配置Oracle公司提供的验证密码复杂度的函数来实现。对于网站群系统,后台管理用户密码复杂度设置高级别,对密码的长度、大小写、特殊字符都方面都要做要求,同时设置口令有效期。
1.5.2访问控制访问控制更侧重于管理层面,要求操作系统和数据库管理帐号和实际操作都必须为不同人员。我们制定相关岗位职责文件,实现权限分离,责任分离。如:依据安全策略控制用户对资源的访问;实现操作系统和数据库系统用户权限期的分离;限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令;应及时删除多余的、过期的帐户,避免共享帐户的存在。此外,我们对网站群的角色权限进行细分,做到权限相互制约。如超级管理员具有所有功能的操作权限,二级网站管理员只能具有自己站点的操作权限,审计员只能查看安全日志。
1.5.3入侵防范做好入侵防范措施。在操作系统方面,我们遵循最小安装的原则,仅安装需要的组件和应用程序,使得端口和服务实现最小化;通过对安全漏洞的周期检查,设置升级服务器等方式保持系统补丁及时得到更新,从而使绝大多数攻击无效。
1.5.4资源控制系统资源控制主要指终端接入的方式、IP地址范围及登录次数限制。我们做了相关配置。
2网站群安全防范措施
单纯期望某一个安全技术或体系架构就能够全面消除或解决网络安全威胁和风险的想法是不现实的。高职院校网站安全问题突出,还归结于学校对网站安全不重视,网站信息保护意识差,网站日常维护缺失,等。我们只能通过大量实践,在网络安全实战对抗中不断完善,明确责任和义务,建立管理制度和安全制度。管理是网络安全的重要部分,在对网站群部署进行有效的安全风险(安全威胁)识别和评估后,我们还围绕技术层面、组织层面、管理层面、服务层面,完善网站群安全防范措施。建立学校、部门两级运行维护的组织体系,按集中建站、分级管理、制度约束、服务保障的原则,通过统一策划、统一标准、统一资源、统一平台来实现集中建站。按照国家有关规章制度和安全办法(策略),形成制度约束机制,确保网站群在高效、安全、有序的体系下运作。理顺管理体制与职责,构建主站和子站间的垂直管理体系,制定网站群管理办法、建立网站群管理和信息员制度、制定安全规范及操作手册、建立内容管理与审核制度、明确各网站内容管理与运行管理岗位职责、规范工作流程、完善信息等环节,全面做好网站群安全管理工作。通过提升服务管理水平,构建健全的网站群服务体系。我们参考ISO/IEC20000-1采用的PDCA方法论,从规划(P)、实施(D)、检查(C)、改进(A)四个方面着手,根据学校技术、政策和资源等实际环境,加强安全服务管理,确保网站群服务水平。并参考信息安全服务体系,从安全评估服务、安全修复服务、安全保障服务、安全信息服务、安全培训服务、数据恢复服务、产品集成服务八个方面,加强安全服务。
3网站群保障体系构建效果
构建网络安全保障体系范文4
Abstract: Aiming at the network security architecture, make a research and analysis; based on expounding the network security architecture, introduce the content of network security architecture design, and ensure the network security, so as to provide a more stable service for people.
关键词: 网络安全;结构体系;设计要点
Key words: network security;structural system;design points
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2017)03-0080-02
0 引言
信息技术的快速发展,使计算机网络的连接形式变得更加多样化,而网络本身又具有开放性和互联性,终端的分布具有不均匀性,在这样的背景之下,计算机网络在具体运行过程中容易遭受黑客攻击,不仅会影响用于在具体应用过程中的安全性,而且会导致用户的信息发生泄漏,并且会伴随着较为严重的经济损失,因此构建网络安全体系势在必行。
1 网络安全体系结构
一般来说,网络安全体系设计过程分为以下四步:①网络安全策略定义。②网络安全需求分析。③网络安全设计。④网络安全实现。设计模型图如图1所示。
从现代网络的具体应用情况来看,从高级安全需求分析渗入到具体执行上,两者之间存在的一定差距[1]。从高级策略不断发展,最终形成了一个结构和功能复杂的系统,部分组件可能会呈现出不一定特性,将会引起错误的执行需要的安全策略,引起危险的失误和安全漏洞。
1.1 安全策略定义
详细的描述安全策略定义,该过程中的最终目的是能够为网络的正常使用提供有效的支持,同时需要相关研究人员注意的是,在分析网络安全系统过程中,应当与其领域的科学结合,从而使其适应性能够得到进一步提高。例如,操作安全、人员安全、物理安全、社会机制等多项内容。该过程通常依据对企业中存在的风险进行分析,并且需要将高级安全策略和控制作为整个操作的主要依据,最后通过自然语言描述控制文档和网络安全,这也就是我们常说的高级安全策略。
1.2 安全需求分析
安全需求分析是网络安全体系结构设计的第二步,其是上一步高级安全策略形式内容的具体描述。通过大量的实践可以发现,通过形式化完成对高级安全策略的具体描述可以具有诸多优点,主要体现在以下几个方面:通过分析可以全面细致的完成对冲突的检查,同时也可以将高级策略中的模糊描述消除[2]。曾有学者提出,通过行形式化方法对高级安全策略进行处理,并且取得了不错的效果。
2 网络安全设计的具体内容
2.1 设计的目标
现代网络的快速发展与应用,一方面使人们的生活和工作变得更加便利,另一方面也增加了安全隐患,人们在生活与工作中利用网络的同时必须加强对安全问题的思考。随着人们网络安全意识的不断提升,人们在应用网络中,加强了对网络安全设计的研究与分析。
2.2 体系结构设计
安全体系的构建要依据安全需求的具体情况而定,只有这样才能使最终所设计的系统与实际情况相符。在设计过程中,依据OSI模型中各个层之间存在的依赖性,安全方面的需求,从逻辑角度出发,科学的将安全内容细致的分到不同层中。具体内容如下:
①物理层:该层在信息安全上存在的问题主要集中在,物理通量受到非法窃停和干扰等,从而会对物理层的性能造成不良影响。
②链路层:该层的主要作用是确保通过链路层所传送的信息,在传送过程中不会受到外界的截取。在具体操作过程中采用方式为划分局域网、远程网等手段[3]。
③网络层:该层的作用是避免网络服务被非法人员使用,通过网络层的有效控制,使得只有授权的客户才能够享受到相应的服务,通过该方式可以确保网络路由的正确性,提供了网络层的安全性,有效地避免了数据被监听。操作系统,保证资料和访问控制的安全性,同时在操作过程中,要对系统中涉及到的内容进行审计,审计工作要依据相关的标准进行,确保最终审计结果的合理性,有效地避免安全问题的发生。
④应用平台与应用系统。前者指的是应用软件服务,目前比较常见的有数据库、电子邮件服务器等,通过分析不难发现,应用平台中的系统的结构复杂,应用相对说比较繁琐,为了提高应用平台的安全性,通过需要通过多种技术完成,比较常见的技术有SSL;后者的作用就是为用户服务,系统的安全与设计实现两者之间的联系十分紧密。通过科学的方式应用系统,能够为应用平台提供全服务得到相应的保护。
2.3 安全策略的设计与实现
安全策略的设计与实现是网络安全体系结构设计过程中的第一步,该过程的主要目的是确定科学的安全策略。但是,在具体应用中,受各方面因素的影响,计算机网络配置与部门两项内容在具体操作过程中会发生改变,而这种改变通常都是不可控和不可预知的,这也就直接导致了安全需求也会发生改变,并且该变化通常都比较明显,会引起一系列的变化。由此可以判断,网络安全自身并不是静止不变的,因此要不断调整和完善安全策略内容。企业在具体运用过程中要想获取理想的经济收益,就必须要确保具有一个科学的安全策略,并且要按照规范的要求执行。安全策略在企业中的应用,需要能够全面、清楚识别存在风险的资源,并且要依据企业和其所处的具体环境给出合理的环节威胁的具体方法。该策略的核心问题是对系统中的哪一个用户可以访问哪一种资源进行定义,从而避免资源被非法访问而引发安全问题[4]。需要注意的是,需要做好对审计跟踪用户进行定义,同时需要帮助用户对出现的伤害进行识别,并且要及时做出相应的响应,避免危害进一步扩大,造成更大的影响。
安全策略管理要需要包含所有的安全组件。例如,路由器、访问列表、防火墙等,从而构建网络安全策略管理实现的实现模型。目前,网络安全策略管理实现的模型以IETF安全体系框架中的RFC275策略管理为基础,该模型策略管理的应用十分广泛,在整个网络中都所有分布。现阶段,适合所有用户的有网络安全层以及服务网络安全层。策略管理包括的功能有以下几点:策略实现点、策略决定点、策略仓库。网络策略中的每一项信息点都应被存储在策略仓库中,完成对计算机以及网络用户各项内容的研究与分析,各项内容的执行都应当在仓库内完成,确保执行结果的合理性。
策略服务器与策略决定点两者都是对网络进行抽象,成为策略控制信息,再将信息传递给策略执行点。策略实现点接受PAPs中的策略,作为网络或安全设备。公共开放策略服务以TCP作为基础协议进行应答,从而完成PEPs和PDP两者之间策略信息的交换。
3 网络安全的实现
网络安全体系结构中,安全管理运的工作站和服务器上,对网络辅助级和网络及的上的安全,通过对应用级的安全管理来实现。在网络操作者中存在一些身份较为特殊的用户,这些用户的认证主体和授权程序都更为严格。因此,管理人员在具体操作过程中具有更大的功能权限和访问授权,因此为了确保一切操作的安全性,他们的行为和访问等操作都必须要安全,从而确保网络的性能、配置以及存活能力都能够达到要求标准。通过大量实践经验可以发现,企业的网络管理系统的开放性和集中性越高,安全管理的需求也就越急迫[5]。安全网络管理是一个整体方法,网络安全体系结构包含多个领域。在具体操作过程中,记录安全行为对用户以及管理员在网络结构的各项行为都有着严格的要求。
为了确保操作的合理性,网络操作者认证需要在集中管理和执行口令的基础上完成,确保没有获得授权的用户无法访问系统,通过这一方式有效地避免了非法访问的出现。网络操作者授权通过已经认证的身份对用户的访问权限进行认证,判断得到授权的用户可以在系统中的对哪些内容进行访问,实现何种功能。网络管理事物加密起到的作用就是保护网络管理数据的机密性,避免数据被非法人员盗取,通过加密能够对外部和内部都提供高度保护,从而确保网络体系结构的安全。操作者安全远程访问:对IPsec进行合理应用,提供一个VPN,这是一种强制性的解决方案,通过该方案可以为远程操作者提供科学的加密和认证。利用防火墙和VLANs将网络分离开,在管理上要分开进行。在应用通过入侵检测系统锁构成的管理服务器,通过提出管理员存在的不安因素(例如,在运行过程中,服务其妥协和拒绝服务袭击),完成对网络的保护操作。
网络安全体系实现的实例如下:某企业为了确保企业中网络安全采取了以下措施:①构建防火墙。在网关上安装防火墙,分组过滤和ip伪装,监视网络内外的通信,全面掌握企业网络情况。②采用身份验证技术。针对企业中的不同用户设定了不同的访问权限,并且定期对用户的权限进行检查,避免非法访问。③入侵检测技术。④口令管理。每个用户设置口令,定义口令存活期。⑤病毒防护安装杀毒软件,及时查杀服务器和终端;限制共享目录及读写权限;限制网上下载和盗版软件使用。⑤系统管理,及时下载安装系统补丁;设置开机口令;设置屏保口令;删除不用账户。该企业通过以上方式,构建了网络安全体系,确保了企业中网络的安全性。
4 结束语
网络安全体系结构的设计与实现对用户使用网络的安全性会产生直接影响,同时也会对计算机网络安全的健康发展造成影响。在提出网络安全系统设计框架基础上,对网络安全的设计问题进行详细划分,提出了安全体系结构模型和策略管理执行模型的设计与实现。最后合理地将安全体系结构、安全策略管理的实现与网络机制结合,确保了高级安全策略向网络安全机制的合理过渡,推动了网络的健康发展。同时,本文也为网络安全体系结构的设计与实现指明了方向。
参考文献:
[1]梁树军,李玉华,尚展垒.基于访问控制技术的网络安全体系结构研究与设计[J].网络安全技术与应用,2016(05):23-24.
[2]姜.金保工程信息网络安全保障体系设计与实现[J]. 数字技术与应用,2016(05):201.
[3]罗旬,严承华.无线Mesh网络安全体系研究与设计[J].信息网络安全,2015(06):61-66.
构建网络安全保障体系范文5
网络经济下的财务管理创新
1目标的创新
现代网络经济的发展,为企业的生产、经营、业务等环节提出了更高的目标要求,比如网络为企业的客户来源提供了新的方式,也为企业的业务流程带来了新的变化,如何协调企业的财务管理向网络客户资源的转变是企业财务管理的重要问题,如何从企业的传统的经营管理目标中不断调整策略、不断更新思路,以实现对知识经济最大化的综合目标的管理,已成为企业面临网络信息化的客观需求。
2管理模式的创新
网络条件下的财务管理,使得授权的任何人、在任何时间、任何地点来对企业财务活动的相关业务进行分散式或集中式管理,如对企业财务的远程控制、查账、审计、报表处理等,并通过Web来监控对企业财务状况的有效监督,从而提高企业资金的合理调配。
3工作方式的创新
借助于互联网,使得企业财务人员的工作方式发生了新的变化,当财务人员需要工作时,通过网络可以实现在网络上办公、跨区域办公,并通过网络实时查询企业财务信息以及各分支机构的财务状况,并对网络账务进行实时的跟踪和监督。
4财务软件的创新
新的互联网技术的发展,推动企业财务管理软件的更新,以企业人、财、物与产、销、送等环节的一体化发展。比如,利用互联网实现对网上采购、支付、配送查询,以及消费信息反馈等。
网络经济时代下的财务管理发展思路
1更新财务管理理念
网络经济的发展,使得知识成为企业财富的核心要素,企业财务人员必须转变管理理念,充分认识到知识资本的特征和重要意义,理清知识资本在企业面对市场和未来发展中的关系和作用,利用网络平台,积极发掘知识资本的价值,既要为知识资本提供相应的发展条件,又要促进知识资本的快速、持续增长。
2强化网络技术培训
财务人员作为未来企业财务管理的中坚力量,必须加强对自身网络技术的培训和学习,以应对企业财务管理发展的需要,比如学习一些涉及网络安全的知识、利用网络通过企业竞争力的金融工具或者管理投资策略。通过对企业财务相关信息的学习,增强对企业运行过程中的问题和现象进行正确的分析和评估,以规避网络经济下的财务管理风险。
3强化对企业网络业务流程的分析和重组
网络经济为企业的商务活动提供了广阔的平台,以数字化媒介为主的现代财务管理,将信息流、资金流等建立在跨区域发展的物流基础之上,并促进企业重新对企业的价值链进行分析和重组,优化业务流程、降低成本,并从企业竞争中提升自身的综合竞争力。
4建立财务风险预测机制
网络化管理的深入发展,为企业的商业经营活动带来了更多潜在的风险,为此,建立相应的企业财务风险预测机制,加强对财务风险因素的有效监督,通过设置预警指标、阈值以及风险发生概率等,以实现对可能的风险进行及时准确的控制和管理。
5构建网络安全保障体系
构建网络安全保障体系范文6
20多年来,我国互联网发展取得的显著成就中,包括一批技术方面的成就。目前,在世界互联网企业前10强中,我们占了4席。在第二届世界互联网大会期间,我去看了“互联网之光”博览会,来自全球的250多家企业展出的1000多项新技术新成果中,我们也占了不少,这令人高兴。同时,我们也要看到,同世界先进水平相比,同建设网络强国战略目标相比,我们在很多方面还有不小差距,特别是在互联网创新能力、基础设施建设、信息资源共享、产业实力等方面还存在不小差距,其中最大的差距在核心技术上。
互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的“命门”掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。我们要掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,争取在某些领域、某些方面实现“弯道超车”。
核心技术要取得突破,就要有决心、恒心、重心。有决心,就是要树立顽强拼搏、刻苦攻关的志气,坚定不移实施创新驱动发展战略,把更多人力物力财力投向核心技术研发,集合精锐力量,作出战略性安排。有恒心,就是要制定信息领域核心技术设备发展战略纲要,制定路线图、时间表、任务书,明确近期、中期、远期目标,遵循技术规律,分梯次、分门类、分阶段推进,咬定青山不放松。有重心,就是要立足我国国情,面向世界科技前沿,面向国家重大需求,面向国民经济主战场,紧紧围绕攀登战略制高点,强化重要领域和关键环节任务部署,把方向搞清楚,把重点搞清楚。否则,花了很多钱、投入了很多资源,最后南辕北辙,是难以取得成效的。
什么是核心技术?我看,可以从三个方面把握。一是基础技术、通用技术。二是非对称技术、“杀手锏”技术。三是前沿技术、颠覆性技术。在这些领域,我们同国外处在同一条起跑线上,如果能够超前部署、集中攻关,很有可能实现从跟跑并跑到并跑领跑的转变。我国网信领域广大企业家、专家学者、科技人员要树立这个雄心壮志,要争这口气,努力尽快在核心技术上取得新的重大突破。正所谓“日日行,不怕千万里;常常做,不怕千万事”。
我国信息技术产业体系相对完善、基础较好,在一些领域已经接近或达到世界先进水平,市场空间很大,有条件有能力在核心技术上取得更大进步,关键是要理清思路、脚踏实地去干。
第一,正确处理开放和自主的关系。互联网让世界变成了地球村,推动国际社会越来越成为你中有我、我中有你的命运共同体。现在,有一种观点认为,互联网很复杂、很难治理,不如一封了之、一关了之。这种说法是不正确的,也不是解决问题的办法。中国开放的大门不能关上,也不会关上。我们要鼓励和支持我国网信企业走出去,深化互联网国际交流合作,积极参与“一带一路”建设,做到“国家利益在哪里,信息化就覆盖到哪里”。外国互联网企业,只要遵守我国法律法规,我们都欢迎。
现在,在技术发展上有两种观点值得注意。一种观点认为,要关起门来,另起炉灶,彻底摆脱对外国技术的依赖,靠自主创新谋发展,否则总跟在别人后面跑,永远追不上。另一种观点认为,要开放创新,站在巨人肩膀上发展自己的技术,不然也追不上。这两种观点都有一定道理,但也都绝对了一些,没有辩证看待问题。一方面,核心技术是国之重器,最关键最核心的技术要立足自主创新、自立自强。市场换不来核心技术,有钱也买不来核心技术,必须靠自己研发、自己发展。另一方面,我们强调自主创新,不是关起门来搞研发,一定要坚持开放创新,只有跟高手过招才知道差距,不能夜郎自大。
我们不拒绝任何新技术,新技术是人类文明发展的成果,只要有利于提高我国社会生产力水平、有利于改善人民生活,我们都不拒绝。问题是要搞清楚哪些是可以引进但必须安全可控的,哪些是可以引进消化吸收再创新的,哪些是可以同别人合作开发的,哪些是必须依靠自己的力量自主创新的。核心技术的根源问题是基础研究问题,基础研究搞不好,应用技术就会成为无源之水、无本之木。
第二,在科研投入上集中力量办大事。近年来,我们在核心技术研发上投的钱不少,但效果还不是很明显。我看,主要问题是好钢没有用在刀刃上。要围绕国家亟需突破的核心技术,把拳头攥紧,坚持不懈做下去。
第三,积极推动核心技术成果转化。技术要发展,必须要使用。在全球信息领域,创新链、产业链、价值链整合能力越来越成为决定成败的关键。核心技术研发的最终结果,不应只是技术报告、科研论文、实验室样品,而应是市场产品、技术实力、产业实力。核心技术脱离了它的产业链、价值链、生态系统,上下游不衔接,就可能白忙活一场。
科研和经济不能搞成“两张皮”,要着力推进核心技术成果转化和产业化。经过一定范围论证,该用的就要用。我们自己推出的新技术新产品,在应用中出现一些问题是自然的。可以在用的过程中继续改进,不断提高质量。如果大家都不用,就是报一个课题完成报告,然后束之高阁,那永远发展不起来。
第四,推动强强联合、协同攻关。要打好核心技术研发攻坚战,不仅要把冲锋号吹起来,而且要把集合号吹起来,也就是要把最强的力量积聚起来共同干,组成攻关的突击队、特种兵。我们同国际先进水平在核心技术上差距悬殊,一个很突出的原因,是我们的骨干企业没有像微软、英特尔、谷歌、苹果那样形成协同效应。美国有个所谓的“文泰来”联盟,微软的视窗操作系统只配对英特尔的芯片。在核心技术研发上,强强联合比单打独斗效果要好,要在这方面拿出些办法来,彻底摆脱部门利益和门户之见的束缚。抱着宁为鸡头、不为凤尾的想法,抱着自己拥有一亩三分地的想法,形不成合力,是难以成事的。
一些同志关于组建产学研用联盟的建议很好。比如,可以组建“互联网+”联盟、高端芯片联盟等,加强战略、技术、标准、市场等沟通协作,协同创新攻关。可以探索搞揭榜挂帅,把需要的关键核心技术项目张出榜来,英雄不论出处,谁有本事谁就揭榜。在这方面,既要发挥国有企业作用,也要发挥民营企业作用,也可以两方面联手来干。还可以探索更加紧密的资本型协作机制,成立核心技术研发投资公司,发挥龙头企业优势,带动中小企业发展,既解决上游企业技术推广应用问题,也解决下游企业“缺芯少魂”问题。
正确处理安全和发展的关系
网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。我们一定要认识到,古往今来,很多技术都是“双刃剑”,一方面可以造福社会、造福人民,另一方面也可以被一些人用来损害社会公共利益和民众利益。从世界范围看,网络安全威胁和风险日益突出,并日益向政治、经济、文化、社会、生态、国防等领域传导渗透。特别是国家关键信息基础设施面临较大风险隐患,网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击。这对世界各国都是一个难题,我们当然也不例外。
面对复杂严峻的网络安全形势,我们要保持清醒头脑,各方面齐抓共管,切实维护网络安全。
第一,树立正确的网络安全观。理念决定行动。当今的网络安全,有几个主要特点。一是网络安全是整体的而不是割裂的。在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。二是网络安全是动态的而不是静态的。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。三是网络安全是开放的而不是封闭的。只有立足开放环境,加强对外交流、合作、互动、博弈,吸收先进技术,网络安全水平才会不断提高。四是网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼。五是网络安全是共同的而不是孤立的。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。这几个特点,各有关方面要好好把握。
第二,加快构建关键信息基础设施安全保障体系。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。不出问题则已,一出就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。
第三,全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。
维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。感知网络安全态势是最基本最基础的工作。要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来,龙头企业要带头参加这个机制。
有专家反映,在数据开放、信息共享方面存在着部门利益、行业利益、本位思想。这方面,要加强论证,该统的可以统起来,发挥1+1大于2的效应,以综合运用各方面掌握的数据资源,加强大数据挖掘分析,更好感知网络安全态势,做好风险防范。这项工作做好了,对国家、对社会、对企业、对民众都是有好处的。
第四,增强网络安全防御能力和威慑能力。网络安全的本质在对抗,对抗的本质在攻防两端能力较量。要落实网络安全责任制,制定网络安全标准,明确保护对象、保护层级、保护措施。哪些方面要重兵把守、严防死守,哪些方面由地方政府保障、适度防范,哪些方面由市场力量防护,都要有本清清楚楚的账。人家用的是飞机大炮,我们这里还用大刀长矛,那是不行的,攻防力量要对等。要以技术对技术,以技术管技术,做到魔高一尺、道高一丈。
目前,大国网络安全博弈,不单是技术博弈,还是理念博弈、话语权博弈。我们提出了全球互联网发展治理的“四项原则”“五点主张”,特别是我们倡导尊重网络、构建网络空间命运共同体,赢得了世界绝大多数国家赞同。
人才是第一资源。古往今来,人才都是富国之本、兴邦大计。我说过,要把我们的事业发展好,就要聚天下英才而用之。要干一番大事业,就要有这种眼界、这种魄力、这种气度。
“得人者兴,失人者崩。”网络空间的竞争,归根结底是人才竞争。建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。念好了人才经,才能事半功倍。对我国来说,改革开放初期,资本比较稀缺,所以我们出台了很多鼓励引进资本的政策,比如“两免三减半”。现在,资本已经不那么稀缺了,但人才特别是高端人才依然稀缺。我们的脑子要转过弯来,既要重视资本,更要重视人才,引进人才力度要进一步加大,人才体制机制改革步子要进一步迈开。网信领域可以先行先试,抓紧调研,制定吸引人才、培养人才、留住人才的办法。
互联网是技术密集型产业,也是技术更新最快的领域之一。我国网信事业发展,必须充分调动企业家、专家学者、科技人员积极性、主动性、创造性。我早年在正定县工作时,为了向全国一流专家学者借智,专门聘请华罗庚等专家学者给我们县当顾问,有的亲自到正定指导工作。企业家、专家学者、科技人员要有国家担当、社会责任,为促进国家网信事业发展多贡献自己的智慧和力量。各级党委和政府要从心底里尊重知识、尊重人才,为人才发挥聪明才智创造良好条件,营造宽松环境,提供广阔平台。
互联网主要是年轻人的事业,要不拘一格降人才。要解放思想,慧眼识才,爱才惜才。培养网信人才,要下大功夫、下大本钱,请优秀的老师,编优秀的教材,招优秀的学生,建一流的网络空间安全学院。互联网领域的人才,不少是怪才、奇才,他们往往不走一般套路,有很多奇思妙想。对待特殊人才要有特殊政策,不要求全责备,不要论资排辈,不要都用一把尺子衡量。
