前言:中文期刊网精心挑选了网络安全情况报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全情况报告范文1
市委网信办:
根据《市委网络安全和信息化委员会办公室关于开展网络数据安全和个人信息保护专项治理的通知》要求,我局高度重视,召开专题会议,安排专人和科室负责,制定我市商务系统数据安全和个人信息保护专项治理工作方案,现将专项治理情况报告如下:
一、专项治理范围及具体内容
对全局范围内的应用系统、网站、电脑终端、电子邮件及个人电子信息等方面进行专项治理。一是应用系统及网站。重点排查处理、存储公众和个人信息及重要业务数据的服务器、存储设备等。检查日常运维制度落实情况,排查服务器操作系统、数据库、中间件等系统软件和应用软件的漏洞修复、补丁安装情况,排查服务器账号、访问日志及安全日志,确保无异常登录,并杜绝使用弱口令、默认口令、通用口令等。二是电脑终端。排查个人电脑终端是否安装杀毒软件,是否定期更新病毒库并查杀病毒、木马等恶意程序。三是电子邮件。按照上级文件要求,禁止使用互联网免费邮箱传输、存储工作信息,因此各科室需排查使用互联网免费邮箱(如qq邮箱、163邮箱等)处理工作信息的情况,若存在,应立即清理数据和注销账号。四是个人电子信息。排查本单位采集、处理、存储、应用、废弃个人信息的情况。排查涉及个人信息管理的应用系统、网站、服务器、数据库等各环节管理制度和防护措施的有效性。排查在互联网个人信息时,是否进行脱敏处理,不能把完整的身份证号码、手机号码等出来,明确个人信息防护责任和措施,确保个人信息安全。
二、专项治理结果
通过此次专项治理活动对全局应用系统及网站排查情况、电脑终端排查情况、电子邮件排查情况、个人电子信息排查情况、是否存在重要数据丢失、泄露或大量个人信息泄露的情况、自查发现的问题及整改情况等六部分内容进行自查,未发现存在重要数据丢失、泄露或大量个人信息泄露的情况。
网络安全情况报告范文2
第一章
总
则
第一条
为明确网络安全事故责任主体(以下简称“责任主体”),追究网络安全事故的责任,结合医院实际情况,制定本制度。责任主体的范围包括科室或个人等。
第二条
负责追究责任主体事故责任的单位或个人统称为责任追究主体,主要为卫计部门网络安全领导小组和蒲窝镇卫生院网络安全工作领导小组。
第三条
本制度适用于蒲窝镇卫生院所有科室,各科室根据本制度落实具体网络安全工作。
第四条
网络安全事故责任认定实行“谁主管谁负责、谁使用谁负责”的原则。
第五条
发生网络安全事故后,应根据安全事件造成的影响及相关责任主体的态度,作出如下处理:
(一)
批评教育。包括责令责任主体检查、诫勉谈话等;
(二)
书面检查。责令责任主体向主管领导作出书面检查;
(三)
通报批评。在卫健系统范围内对责任主体发文通报,责令整改;
(四)
一般处理。降低或扣除责任主体的月薪补贴,将事故写入月度或年度考核中;
(五)
严肃处理。追究网络安全事故发生负有领导责任的负责人的管理责任,发生严重网络安全事故的,对相关责任人处以罚款、责令其赔偿事故损失、通报批评、降职处理、直至开除。
(六)
报警处理。严重损坏社会或国家利益的,上报当地公安部门处理。
第六条
责任追究应当坚持公平公正、有责必究、过罚相当、教育与惩戒相结合的原则。
第二章
责任追究范围和适用
第七条
责任主体有下列行为之一者,应对其进行批评教育或责令作出书面检查:
(一)
发生一般或较大安全事件,未按要求上报的;
(二)
未按规定落实相关网络安全管理制度及技术规范,且未导致安全事件发生的;
(三)
发生重大安全事件后,对调查工作配合不力的。
第八条
责任主体有下列行为之一者,应当责令其作出书面检查或通报批评:
(一)
发生重大安全事件,未按要求上报的;
(二)
未按规定落实相关网络安全管理制度技术规范,导致一般或较大安全事件发生的;
(三)
发生重大或特别重大安全事件,且发生安全事件后处理及时,未对医院财产或声誉造成影响的;
(四)
经过批评教育或责令作出书面检查后,仍不按规定落实相关网络安全管理制度及技术规范的;
(五)
发生特别重大安全事件后,对调查工作配合不力的。
第九条
责任主体有下列行为之一者,应当予以通报批评或一般处理:
(一)
发生特别重大安全事件,未按要求上报的;
(二)
发生重大或特别重大安全事件,且发生安全事件后处理不及时,给医院财产或声誉带来一定影响的;
(三)
发生特别重大安全事件后,对调查工作不配合的。
第十条
责任主体有下列行为之一者,应当予严肃处理,情况十分严重者应报警处理:
(一)
发生重大或特别重大安全事件造成后果严重并刻意隐瞒或谎报,造成恶劣影响的;
(二)
未按规定落实相关网络安全管理制度及技术规范导致发生重大或特别重大安全事件,且发生安全事件后处理不及时,给医院财产或声誉带来恶劣影响的;
(三)
发生安全事件后销毁证据、弄虚作假的。
第十一条
对应追究责任主体责任而敷衍结案、弄虚作假的,应当对责任追究主体通报批评。
第十二条
有下列情形之一者,不追究责任主体的责任:
(一)
因不可抗力导致发生的网络安全事故;
(二)
有充分证据证明完全落实了相关安全要求,由未知原因导致网络安全事故发生的。
第十三条
责任主体主动承认过错并及时修补管理或技术漏洞,减少损失、挽回影响,态度非常好的,应当予以从轻或减轻责任追究。
第三章
责任追究程序和实施
第十四条
责任追究过程采用层层负责制,下级责任追究主体对上级责任追究主体负责。
第十五条
责任追究程序包括调查、对调查报告审核、作出责任追究决定等。
第十六条
对网络安全事故的调查和对事故责任的初步定性由医院网络安全工作领导小组及医院网络安全工作领导小组办公室负责,并对调查报告进行审核。
第十七条
调查报告的审核重点:
(一)
事故的事实是否清楚;
(二)
证据是否确实、充分;
(三)
性质认定是否准确;
(四)
责任划分是否明确。
第十八条
责任追究决定:
(一)
对责任主体作出批评教育、责令作出书面检查、通报批评时,由医院网络安全工作领导小组直接决定。
(二)
对责任主体作出一般处理、严肃处理时,由责任主体所在科室或上级部门网络安全工作领导小组安全办公室、人事、主管部门共同作出决定,并报网络安全工作领导小组审批通过后执行。
第十九条
对责任主体的追究决定由人事、财务、相对应的主管部门、网络安全工作领导小组办公室等职能部门分别负责实施。
第四章
附
则
第二十条
本制度解释权归属蒲窝镇卫生院医院网络安全工作领导小组办公室。
第二十一条
本制度自之日起执行。
网络安全情况报告范文3
一、网络安全检查工作组织开展情况
(一)组织开展情况
我局高度重视网络安全工作,成立了由主要领导任组长,分管领导任副组长,各科室、局属各单位负责人为组员的网络安全领导小组,领导小组下设办公室。召开了由分管领导、各科室、局属各单位负责人参加的会议,对上级文件进行了认真学习,对自查工作做了周密部署,确定了自查任务和人员分工,真正做到了领导到位、机构到位、人员到位、责任到位。为确保网络安全工作顺利开展,我局要求全体职工充分认识网络安全工作的重要性,认真学习网络安全知识,都能按照网络安全的各种规定,正确使用计算机网络和各类信息系统。
(二)所梳理的关键信息基础设施情况
经过认真检查和核对,我局所属范围内不存在关键信息基础设施。
二、关键信息基础设施确定情况
在此次检查中,经过认真检查和核对,我局所属范围内不存在关键信息基础设施。
三、2016年网络安全主要工作情况
网络安全管理方面,我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
技术防护方面,为计算机系统安装正牌的防病毒软件和防火墙,对计算机病毒、有害电子邮件采取有效防范,一旦发生网络信息安全事故应立即报告相关方面并及时进行协调处理。
应急管理方面,对突发网络信息安全事故可快速安全地处理。
宣传教育方面,根据我局实际情况,加大对上级精神的宣传力度,职工信息安全意识得到有效提高。
四、检查发现的主要问题和面临的威胁分析
通过这次自查,我们也发现了当前存在的一些问题:
1、很多职工网络安全意识不强,日常运维缺乏主动性和自觉性。
2、专业技术人员较少,网络安全知识、技术、经验欠缺。
3、规章制度尚不完善,未能涉及到网络安全的所有方面。
五、改进措施和整改效果
(一)改进措施
针对自查过程中发现的问题,结合我局实际情况,在以下几个方面进行整改:
1、进一步加强对职工和网络工作人员的安全意识教育,提高做好安全工作的主动性和自觉性,增强对网络安全的防范意识。
2、多参加相关部门和专业机构举办的网络安全技术培训,增强安全防范意识和应对能力,提高工作人员的水平和能力,提高网络安全管理水平。
3、创新工作机制,完善网络安全制度,同时安排专人,密切监测,及时发现网络安全隐患。
(二)整改效果
通过组织职工参加相关部门和专业机构举办的网络安全技术培训,加强了对职工和网络工作人员的安全意识教育,增强了网络安全的防范意识,提高工作人员的水平和能力,提高网络安全管理水平。
六、关于加强网络安全工作的意见和建议
网络安全情况报告范文4
5月22日,国家互联网信息办公室消息,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该制度规定,关系国家安全和公共利益的重要技术产品和服务,应通过网络安全审查。同月,出于对信息安全考虑,中央政府采购网《中央国家机关政府采购中心重要通知》,要求所有计算机类产品不允许安装Windows 8操作系统。
这是2013年6月“美国斯诺登事件”曝光以来,信息网络安全工作被我国政府提到一个新的国家战略高度上的又一体现。此前的2月27日,中央网络安全和信息化领导小组宣告成立。亲自担任组长,并在领导小组第一次会议上指出“没有网络安全,就没有国家安全”。这彰显出中国最高领导层在保障网络安全、维护国家利益、推动信息化发展方面的决心。
信息网络安全工作既是一项技术工作,又是一项管理工作,要做到技术手段和日常管理相结合。
五方面完善
鉴于信息网络安全的重要性,我认为,安全管理要从如下五个方面进行完善,并不断提高人们对于网络安全重要性的认识。
第一,信息网络安全要进行顶层架构设计。设计信息网络安全的顶层架构,要从总体上把握好信息网络安全工作。通过信息网络安全的顶层设计,形成信息网络安全策略的制定、运营的执行、监管控制和反馈的闭环体系,建立统一的信息网络安全指标,规划信息网络安全职能和服务,特别要涵盖身份识别与访问、安全路径和设施、数据安全等。
第二,突出信息网络安全工作重点。信息网络安全工作的突出重点和目的是保护数据资源安全。在数据收集、处理和应用的整个生命周期,防止数据资源的丢失以及非法窃取,设计数据级安全解决方案,与信息系统建设同步进行数据访问和权限管理,对数据使用进行全过程管理和控制,包括数据的非法或非正常查阅、复制、篡改、删除等。
第三,重视信息网络安全组织和团队建设。建立强有力的信息网络安全组织和团队,从组织上保证信息网络安全工作体系落实到位。建立信息网络安全专职队伍,构建专门的信息网络安全事件响应团队,负责建立信息网络安全技术基准、例外情况的正式批准、制定安全策略和指南、信息网络安全事件的采集分析处理和响应等工作。
第四,建立全面的信息网络安全报告沟通制度和惩戒机制。建立专门的信息网络安全门户、信息网络安全教育网页,正式的信息网络安全年度报告,每月、每季度对内信息网络安全报告,对信息网络安全事件及时反馈沟通。对违反信息网络安全规定、造成信息网络安全事故的事件进行警示。加强信息网络安全宣传教育,全面提高员工的信息网络安全意识。
第五,要定期开展内部模拟攻击测试和应急响应演练。在企业内部定期开展网络模拟攻击测试,测验员工安全意识和防范能力,检测各种隐患漏洞,通过快速反馈和响应,提高信息网络安全的应急响应水平。
三措施应对
在信息网络安全的建设中,除了要有完善的管理制度外,还要有强大的安全技术的支持。鉴于目前的网络安全状况,企业应重点做好三个方面的工作。
一是对网络行为要实施信息网络安全实时动态监管,实时阻止非法访问行为。
在信息网络安全工作中,监管处于核心位置,除了要管好自家的“门”外,更要对进入“门”内的各种访问行为进行实时监管。成立专门的计算机安全应急响应小组。该小组一方面跟踪研究业界最新的安全动态,并实施最新的信息网络安全防御技术等;另一方面综合应用DNS(域名服务器)收集、防火墙、IPS(入侵防御系统)、用户行为建模等工具,7×24小时不间断地对公司网络中的各种“例外行为”进行监管。
国内企业的大部分信息网络安全事件是由于计算机病毒或木马导致信息和数据失泄密,因此很强调“门卫”的作用。但仅仅重视“门卫”的预防而忽视对内网行为的实时监管,结果会让非法访问者一旦突破“门卫”进入企业内网,非法访问者可以做任何事情而没有人过问。对企业网中的一切访问行为进行实时动态的监控,能实现更全面的信息网络安全监管,只要有不合规的行为就可能在最短的时间内被发现并被阻止。
二是注重信息网络安全系统的自学习能力,加强系统防御、发现和修复的能力建设。
随着IT技术的飞速发展,企业网络面临越来越多的攻击风险。新技术的不断应用,导致攻击的手段和方式也越来越隐蔽、越来越不易被发现。2012年Verizo数据泄露报告中,对企业网络遭受恶意攻击导致数据丢失甚至系统瘫痪,以及对发现攻击并修复漏洞、恢复系统运行等所需要的时间做了统计,从统计数据中可以看出,受攻击能够在几分钟、几个小时内就导致企业数据的外泄甚至系统瘫痪,而企业要发现这些攻击并有效阻止这些攻击则需要数周甚至数月的时间。这就让企业的网络、系统、信息长时间处于危险状态,而且旧的漏洞被修复后攻击者又会发现并利用新的漏洞,导致信息网络安全人员疲于应付。
因此,企业需要有效利用信息网络安全工具和手段,加强“防御-发现-修复”过程的自学习和自修复能力。即通过综合开展有针对性监控,有效利用数据丢失预防(DLP)、DDOS(分布式拒绝服务攻击)缓解、恶意软件/代码高级检测、DNS域名系统记录和分析、数据包捕获/检测(DPI)、远程调查分析等工具,对各种行为数据进行分析处理,对网络中的各种行为习惯进行自学习,在出现异常情况时采用全自动和人工干预的方式,“即时”控制异常行为。这相对于发现漏洞、等待修复的传统方式,在时间上有了数量级的提高。同时,企业要不定期地通过实施实际的攻击来检验网络的自学习和自修复能力,不断优化完善防御、发现和修复系统的自学习能力,并将相关优化建议直接应用到防御、发现和修复系统,提高防御、发现和修复系统的能力,形成良性循环。
三是有效应用“身份”安全的边界支持信息系统应用。
IT新技术的快速发展和应用,对传统的安全域隔离提出了挑战。一方面,云计算让“安全域”的边界越来越模糊。另一方面,BYOD(携带自己的设备办公)的移动应用让终端的管理越来越难。
云计算和传统方式相比具有很多优势。但它的方便性和易用性也导致了企业网络中不同的安全域逐步模糊了边界,尤其是企业采用了“公有云”服务后,“安全域”已经无法界定清楚。而WIFI、3G、4G技术的发展,使员工越来越愿意使用PAD、智能手机等智能终端随时随地处理办公业务,众多终端通过不同的方式接入企业网络,终端的管控越来越难,而且智能终端的便携性也同样面临容易丢失等问题。
因此,在当前的云计算和移动互联网环境下,“身份”是安全域的一个新边界,也是企业信息网络安全进行精细度控制的基准点。国内外基于“身份”的安全体系已经比较成熟,目前国内外基于“身份”的安全体系已经从CA(证书认证)发展到了4A(账号、认证、授权、审计),国内各大银行网银系统的U盾就是典型的基于“身份”的4A应用,核心思想就是通过数字证书确保使用者身份的唯一性。但是,不论CA还是4A,一般都要求使用存储了数字证书的“U盾”作为身份的唯一标识。
网络安全情况报告范文5
关键词:新型DPI;网络安全态势感知;网络流量采集
经济飞速发展的同时,科学技术也在不断地进步,网络已经成为当前社会生产生活中不可或缺的重要组成部分,给人们带来了极大的便利。与此同时,网络系统也遭受着一定的安全威胁,这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代,无论是国家还是企业、个人,在网络系统中均存储着大量重要的信息,网络系统一旦出现安全问题将会造成极大的损失。
1基本概念
1.1网络安全态势感知
网络安全态势感知是对网络安全各要素进行综合分析后,评估网络安全整体情况,对其发展趋势进行预测,最终以可视化系统展示给用户,同时给出相应的统计报表和风险应对措施。网络安全态势感知包括五个方面1:(1)网络安全要素数据采集:借助各种检测工具,对影响网络安全性的各类要素进行检测,采集获取相应数据;(2)网络安全要素数据理解:对各种网络安全要素数据进行分析、处理和融合,对数据进一步综合分析,形成网络安全整体情况报告;(3)网络安全评估:对网络安全整体情况报告中各项数据进行定性、定量分析,总结当前的安全概况和安全薄弱环节,针对安全薄弱环境提出相应的应对措施;(4)网络安全态势预测:通过对一段时间的网络安全评估结果的分析,找出关键影响因素,并预测未来这些关键影响因素的发展趋势,进而预测未来的安全态势情况以及可以采取的应对措施。(5)网络安全态势感知报告:对网络安全态势以图表统计、报表等可视化系统展示给用户。报告要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施。
1.2DPI技术
DPI(DeepPacketInspection)是一种基于数据包的深度检测技术,针对不同的网络传输协议(例如HTTP、DNS等)进行解析,根据协议载荷内容,分析对应网络行为的技术。DPI技术广泛应用于网络流量分析的场景,比如网络内容分析领域等。DPI技术应用于网络安全态势感知领域,通过DPI技术的应用识别能力,将网络安全关注的网络攻击、威胁行为对应的流量进行识别,并形成网络安全行为日志,实现网络安全要素数据精准采集。DPI技术发展到现在,随着后端业务应用的多元化,对DPI系统的能力也提出了更高的要求。传统DPI技术的实现主要是基于知名协议的端口、特征字段等作为识别依据,比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等协议特征的识别、基于源IP、目的IP、源端口和目的端口的五元组特征识别。但是随着互联网应用的发展,越来越多的应用采用加密手段和私有协议进行数据传输,网络流量中能够准确识别到应用层行为的占比呈现越来越低的趋势。在当前网络应用复杂多变的背景下,很多网络攻击行为具有隐蔽性,比如数据传输时采用知名网络协议的端口,但是对传输流量内容进行定制,传统DPI很容易根据端口特征,将流量识别为知名应用,但是实际上,网络攻击行为却“瞒天过海”,绕过基于传统DPI技术的IDS、防火墙等网络安全屏障,在互联网上肆意妄为。新型DPI技术在传统DPI技术的基础上,对流量的识别能力更强。基本实现原理是对接入的网络流量根据网络传输协议、内容、流特征等多元化特征融合分析,实现网络流量精准识别。其目的是为了给后端的态势感知系统提供准确的、可控的数据来源。新型DPI技术通过对流量中传输的不同应用的传输协议、应用层内容、协议特征、流特征等进行多维度的分析和打标,形成协议识别引擎。新型DPI的协议识别引擎除了支持标准、知名应用协议的识别,还可以对应用层进行深度识别。
2新型DPI技术在网络安全态势感知领域的应用
新型DPI技术主要应用于数据采集和数据理解环节。在网络安全要素数据采集环节,应用新型DPI技术,可以实现网络流量的精准采集,避免安全要素数据采集不全、漏采或者多采的现象。在网络安全要素数据理解环节,在对数据进行分析时,需要基于新型DPI技术的特征知识库,提供数据标准的说明,帮助态势感知应用可以理解这些安全要素数据。新型DPI技术在进行网络流量分析时主要有以下步骤,(1)需要对攻击威胁的流量特征、协议特征等进行分析,将特征形成知识库,协议识别引擎加载特征知识库后,对实时流量进行打标,完成流量识别。这个步骤需要确保获取的特征是有效且准确的,需要基于真实的数据进行测试统计,避免由于特征不准确误判或者特征不全面漏判的情况出现。有了特征库之后,(2)根据特征库,对流量进行过滤、分发,识别流量中异常流量对应的攻击威胁行为。这个步骤仍然要借助于协议识别特征知识库,在协议识别知识库中记录了网络异常流量和攻击威胁行为的映射关系,使得系统可以根据异常流量对应的特征库ID,进而得出攻击威胁行为日志。攻击威胁行为日志包含捕获时间、攻击者IP和端口、被攻击者IP和端口、攻击流量特征、攻击流量的行为类型等必要的字段信息。(3)根据网络流量进一步识别被攻击的灾损评估,同样是基于协议识别知识库中行为特征库,判断有哪些灾损动作产生、灾损波及的数据类型、数据范围等。网络安全态势感知的分析是基于步骤2产生的攻击威胁行为日志中记录的流量、域名、报文和恶意代码等多元数据入手,对来自互联网探针、终端、云计算和大数据平台的威胁数据进行处理,分析不同类型数据中潜藏的异常行为,对流量、域名、报文和恶意代码等安全元素进行多层次的检测。针对步骤1的协议识别特征库,可以采用两种实现技术:分别是协议识别特征库技术和流量“白名单”技术。
2.1协议识别特征库
在网络流量识别时,协议识别特征库是非常重要的,形成协议识别特征库主要有两种方式。一种是传统方式,正向流量分析方法。这种方法是基于网络攻击者的视角分析,模拟攻击者的攻击行为,进而分析模拟网络流量中的流量特征,获取攻击威胁的流量特征。这种方法准确度高,但是需要对逐个应用进行模拟和分析,研发成本高且效率低下,而且随着互联网攻击行为的层出不穷和不断升级,这种分析方法往往存在一定的滞后性。第二种方法是近年随着人工智能技术的进步,逐渐应用的智能识别特征库。这种方法可以基于威胁流量的流特征、已有网络攻击、威胁行为特征库等,通过AI智能算法来进行训练,获取智能特征库。这种方式采用AI智能识别算法实现,虽然在准确率方面要低于传统方式,但是这种方法可以应对互联网上层出不穷的新应用流量,效率更高。而且随着特征库的积累,算法本身具备更好的进化特性,正在逐步替代传统方式。智能特征库不仅仅可以识别已经出现的网络攻击行为,对于未来可能出现的网络攻击行为,也具备一定的适应性,其适应性更强。这种方式还有另一个优点,通过对新发现的网络攻击、威胁行为特征的不断积累,完成样本库的自动化更新,基于自动化更新的样本库,实现自动化更新的流量智能识别特征库,进而实现AI智能识别算法的自动升级能力。为了确保采集流量精准,新型DPI的协议识别特征库具备更深度的协议特征识别能力,比如对于http协议能够实现基于头部信息特征的识别,包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等头部信息,对于https协议,也能够实现基于SNI的特征识别。对于目前主流应用,支持识别的应用类型包括网络购物、新闻、即时消息、微博、网络游戏、应用市场、网络视频、网络音频、网络直播、DNS、远程控制等,新型DPI的协议特征识别库更为强大。新型DPI的协议识别特征库在应用时还可以结合其他外部知识库,使得分析更具目的性。比如通过结合全球IP地址库,实现对境外流量定APP、特定URL或者特定DNS请求流量的识别,分析其中可能存在的跨境网络攻击、安全威胁行为等。
2.2流量“白名单”
在网络流量识别时也同时应用“流量白名单”功能,该功能通过对网络访问流量规模的统计,对流量较大的、且已知无害的TOPN的应用特征进行提取,同时将这些特征标记为“流量白名单”。由于“流量白名单”中的应用往往对应较高的网络流量规模,在网络流量识别时,可以优先对流量进行“流量白名单”特征比对,比对成功则直接标记为“安全”。使用“流量白名单”技术,可以大大提高识别效率,将更多的分析和计算能力留给未知的、可疑的流量。流量白名单通常是域名形式,这就要求新型DPI技术能够支持域名类型的流量识别和过滤。随着https的广泛应用,也有很多流量较大的白名单网站采用https作为数据传输协议,新型DPI技术也必须能够支持https证书类型的流量识别和过滤。流量白名单库和协议识别特征库对网络流量的处理流程参考下图1:
3新型DPI技术中数据标准
安全态势感知系统在发展中,从各个厂商独立作战,到现在可以接入不同厂商的数据,实现多源数据的融合作战,离不开新型DPI技术中的数据标准化。为了保证各个厂商采集到的安全要素数据能够统一接入安全态势感知系统,各厂商通过制定行业数据标准,一方面行业内部的安全数据采集、数据理解达成一致,另一方面安全态势感知系统在和行业外部系统进行数据共享时,也能够提供和接入标准化的数据。新型DPI技术中的数据标准包括三个部分,第一个部分是控制指令部分,安全态势感知系统发送控制指令,新型DPI在接收到指令后,对采集的数据范围进行调整,实现数据采集的可视化、可定制化。同时不同的厂商基于同一套控制指令,也可以实现不同厂商设备之间指令操作的畅通无阻。第二个部分是安全要素数据部分,新型DPI在输出安全要素数据时,基于统一的数据标准,比如HTTP类型的数据,统一输出头域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常见头部和头部关键内容。对于DNS类型的数据,统一输出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通过定义数据描述文件,对输出字段顺序、字段说明进行描述。针对不同的协议数据,定义各自的数据输出标准。数据输出标准也可以从业务应用角度进行区分,比如针对网络攻击行为1定义该行为采集到安全要素数据的输出标准。第三个部分是内容组织标准,也就是需要定义安全要素数据以什么形式记录,如果是以文件形式记录,标准中就需要约定文件内容组织形式、文件命名标准等,以及为了便于文件传输,文件的压缩和加密标准等。安全态势感知系统中安全要素数据标准构成参考下图2:新型DPI技术的数据标准为安全态势领域各类网络攻击、异常监测等数据融合应用提供了基础支撑,为不同领域厂商之间数据互通互联、不同系统之间数据共享提供便利。
4新型DPI技术面临的挑战
目前互联网技术日新月异、各类网络应用层出不穷的背景下,新型DPI技术在安全要素采集时,需要从互联网流量中,将网络攻击、异常流量识别出来,这项工作难度越来越大。同时随着5G应用越来越广泛,万物互联离我们的生活越来越近,接入网络的终端类型也多种多样,针对不同类型终端的网络攻击也更为“个性化”。新型DPI技术需要从规模越来越大的互联网流量中,将网络安全相关的要素数据准确获取到仍然有很长的路要走。基于新型DPI技术,完成网络态势感知系统中的安全要素数据采集,实现从网络流量到数据的转化,这只是网络安全态势感知的第一步。网络安全态势感知系统还需要基于网络安全威胁评估实现从数据到信息、从信息到网络安全威胁情报的完整转化过程,对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估,网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测,实现全貌还原攻击事件、攻击者意图,客观评估攻击投入和防护效能,为威胁溯源提供必要的线索。
5结论
网络安全情况报告范文6
以下是《通信网络安全防护监督管理办法(征求意见稿)》全文:
为切实履行通信网络安全管理职责,提高通信网络安全防护水平,依据《中华人民共和国电信条例》,工业和信息化部起草了《通信网络安全防护监督管理办法(征求意见稿)》,现予以公告,征求意见。请于2009年9月4日前反馈意见。
联系地址:北京西长安街13号工业和信息化部政策法规司(邮编:100804)
电子邮件:wangxiaofei@miit.gov.cn
附件:《通信网络安全防护监督管理办法(征求意见稿)》
通信网络安全防护监督管理办法
(征求意见稿)
第一条(目的依据)为加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条(适用范围)中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或域名解析服务器,为域名持有者提供域名注册或权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或被非法控制等以及通信网络中传输、存储、处理的数据信息丢失、泄露或被非法篡改等而开展的相关工作。
第三条(管辖职责)中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调、监督和检查,建立健全通信网络安全防护体系,制订通信网络安全防护标准。
省、自治区、直辖市通信管理局(以下简称“通信管理局”)依据本办法的规定,对本行政区域内通信网络安全防护工作进行指导、协调、监督和检查。
工业和信息化部和通信管理局统称“电信管理机构”。
第四条(责任主体)通信网络运行单位应当按照本办法和通信网络安全防护政策、标准的要求开展通信网络安全防护工作,对本单位通信网络安全负责。
第五条(方针原则)通信网络安全防护工作坚持积极防御、综合防范的方针,实行分级保护的原则。
第六条(同步要求)通信网络运行单位规划、设计、新建、改建通信网络工程项目,应当同步规划、设计、建设满足通信网络安全防护标准要求的通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
已经投入运行的通信网络安全保障设施没有满足通信网络安全防护标准要求的,通信网络运行单位应当进行改建。
通信网络安全保障设施的规划、设计、新建、改建费用,应当纳入本单位建设项目预算。
第七条(分级保护要求)通信网络运行单位应当按照通信网络安全防护标准规定的方法,对本单位已正式投入运行的通信网络进行单元划分,将各通信网络单元按照其对国家和社会经济发展的重要程度由低到高分别划分为一级、二级、三级、四级、五级。
通信网络单元的分级结果应由接受其备案的电信管理机构组织专家进行评审。
通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别。通信网络运行单位调整通信网络单元的划分和级别的,应当按照前款规定重新进行评审。
第八条(备案要求1)通信网络运行单位应当按照下列规定在通信网络投入运行后30日内将通信网络单元向电信管理机构备案:
(一)基础电信业务经营者集团公司直接管理的通信网络单元,向工业和信息化部备案;基础电信业务经营者各省(自治区、直辖市)子公司、分公司负责管理的通信网络单元,向当地通信管理局备案。
(二)增值电信业务经营者的通信网络单元,向电信业务经营许可证的发证机构备案。
(三)互联网域名服务提供者的通信网络单元,向工业和信息化部备案。
第九条(备案要求2)通信网络运行单位办理通信网络单元备案,应当提交以下信息:
(一)通信网络单元的名称、级别、主要功能等。
(二)通信网络单元责任单位的名称、联系方式等。
(三)通信网络单元主要负责人的姓名、联系方式等。
(四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号、关键设施位址等。
前款规定的备案信息发生变化的,通信网络运行单位应当自变更之日起15日内向电信管理机构变更备案。
第十条(备案审核)电信管理机构应当自收到通信网络单元备案申请后20日内完成备案信息审核工作。备案信息真实、齐全、符合规定形式的,应当予以备案;备案信息不真实、不齐全或者不符合规定形式的,应当通知备案单位补正。
第十一条(符合性评测要求)通信网络运行单位应当按照通信网络安全防护标准的要求,落实与通信网络单元级别相适应的安全防护措施,并自行组织进行符合性评测。评测方法应当符合通信网络安全防护标准的有关规定。
三级及三级以上通信网络单元,应当每年进行一次符合性评测;二级通信网络单元,应当每两年进行一次符合性评测。通信网络单元的级别调整后,应当及时重新进行符合性评测。
符合性评测结果及整改情况或者整改计划应当于评测结束后30日内报送通信网络单元的备案机构。
第十二条(风险评估要求)通信网络运行单位应当对通信网络单元进行经常性的风险评估,及时消除重大网络安全隐患。风险评估方法应当符合通信网络安全防护标准的有关规定。
三级及三级以上通信网络单元,应当每年进行一次风险评估;二级通信网络单元,应当每两年进行一次风险评估;国家重大活动举办前,三级及三级以上通信网络单元应当进行风险评估。
风险评估结果及隐患处理情况或者处理计划应当于风险评估结束后30日内上报通信网络单元的备案机构。
第十三条(灾难备份要求)通信网络运行单位应当按照通信网络安全防护标准的要求,对通信网络单元的重要线路、设备、系统和数据等进行备份。
第十四条(演练要求)通信网络运行单位应当定期或不定期组织演练检验通信网络安全防护措施的有效性,并参加电信管理机构组织开展的演练。
第十五条(监测要求)通信网络运行单位应当对本单位通信网络的安全状况进行自主监测,按照通信网络安全防护标准建设和运行通信网络安全监测系统。
通信网络运行单位的监测系统应当按照电信管理机构的要求,与电信管理机构的监测系统互联。
第十六条(CNCERT职责)工业和信息化部委托国家计算机网络应急技术处理协调中心建设和运行互联网网络安全监测系统。
第十七条(安全服务规范)通信网络运行单位委托其他单位进行安全评测、评估、监测等工作的,应当加强对受委托单位的管理,保证其服务符合通信网络安全防护标准及有关法律、法规和政策的要求。
第十八条(监督检查)电信管理机构应当根据本办法和通信网络安全防护政策、标准,对通信网络运行单位开展通信网络安全防护工作的情况进行监督检查。
第十九条(检查措施)电信管理机构有权采取以下措施对通信网络安全防护工作进行监督检查:
(一)查阅通信网络运行单位的符合性评测报告和风险评估报告。
(二)查阅通信网络运行单位的有关文档和工作记录。
(三)向通信网络运行单位工作人员询问了解有关情况。
(四)查验通信网络运行单位的有关设施。
(五)对通信网络进行技术性分析和测试。
(六)采用法律、行政法规规定的其他检查方式。
第二十条(委托检查)电信管理机构可以委托网络安全检测专业机构开展通信网络安全检测活动。
第二十一条(配合检查的义务)通信网络运行单位对电信管理机构及其委托的专业机构依据本办法开展的监督检查和检测活动应当予以配合,不得拒绝、阻挠。
第二十二条(规范检查单位)电信管理机构及其委托的专业机构对通信网络安全防护工作进行监督检查和检测,不得影响通信网络的正常运行,不得收取任何费用,不得要求接受监督检查的单位购买指定品牌或者指定生产、销售单位的安全软件、设备或者其他产品。
第二十三条(规范检查人员)电信管理机构及其委托的专业机构的监督检查人员应当忠于职守、坚持原则,不得泄漏监督检查工作中知悉的国家秘密、商业秘密、技术秘密和个人隐私。
第二十四条(对专业机构的要求)电信管理机构委托的专业机构进行检测时,应当书面记录检查的对象、时间、地点、内容、发现的问题等,由检查单位和被检查单位相关负责人签字盖章后,报委托方。
第二十五条(罚则1)违反本办法第六条、第七条、第八条、第九条、第十一条、第十二条、第十三条、第十四条、第十五条、第十七条、第二十一条规定的,由电信管理机构责令改正,给予警告,并处5000元以上3万元以下的罚款。
第二十六条(罚则2)未按照通信网络安全防护标准落实安全防护措施或者存在重大网络安全隐患的,由电信管理机构责令整改,并对整改情况进行监督检查。拒不改正的,由电信管理机构给予警告,并处1万元以上3万元以下的罚款。
