网络与信息安全保障方案范例6篇

前言:中文期刊网精心挑选了网络与信息安全保障方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。

网络与信息安全保障方案

网络与信息安全保障方案范文1

关键词 电力调度 二次系统 安全防护 等级保护 信息安全保障

1 引言

近年来,通信和电力行业的软硬件技术都取得了快速发展,各级供电企业每年都会投入大量资源进行技术改造。由于县级电力调度自动化系统自身条件和业务的特殊性,二次系统信息安全保障方案需要根据其特点进行更加有针对性和可操作性的方案设计。为保障县级电力系统的安全、稳定、经济运行,根据相关国家法规和电力企业规定,本文结合工程实践提出切实可行的电力调度自动化系统二次系统信息安全保障方案,并介绍实施过程。

2 电力调度自动化系统信息安全风险分析

县级电力调度自动化系统结构较为简单,它的二次系统业务系统较少,一般包含电力调度自动化系统、电力调度数据网络、相连厂站端的RTU(或综合自动化后台)等。SCADA系统业务运行必须获取变电站RTU发送的实时数据,对电力调度数据网络的信息安全保障要求较高。

与省调、地调相比,县级调度无论电网规模和管辖范围都小得多。县级电网中变电站往往分布在各乡镇,距离调度中心存在较远的距离,厂站设备涉及厂家众多,其中不少还比较陈旧。同时县级电网公司缺乏调度自动化专业技术人员。相比省调和地调,县级调度在设计电力调度自动化系统二次系统信息安全保障方案需要关注这些特殊情况造成的相应信息安全风险。

根据对电力调度自动化系统的危害程度从高到低,我们分析它面临的信息安全风险主要有以下几类:

(1)旁路控制

对电力调度自动化系统的危害程度最高的是旁路控制(By-Pass Control 简称BPC)。在二次系统遭遇BPC 危害时,可能被控对电力调度自动化系统内的一个或多个变电站传送非法控制指令,导致电力系统事故或瓦解。

(2)系统信息完整性破坏

在二次系统内非授权修改电力调度系统配置、程序或敏感数据,可能导致电力系统事故或瓦解。这种风险可能来自外部人员有意破坏,也可能是内部工作人员无意误操作。

(3)违反授权

在管理中未能严格制度和操作规程,操作员利用授权身份或设备进行非授权操作,也许不会立即造成系统事故,但会留下巨大的安全隐患。

(4)工作人员的随意行为

电力调度自动化系统中的各个子系统和软硬件设备都设置有严格的操作授权和授权口令(或认证卡)。在日常工作中一些工作人员为了便于记忆,共用授权口令、使用弱口令、允许他人使用自己授权口令等行为。也包括系统管理员未能正确配置访问控制规则等操作失误。

3 信息安全保障方案设计

3.1 按照4级安全防护等级设计电力调度自动化系统二次系统

(1)对用户登录系统功能界面采用授权口令或安全密钥进行身份验证。在工程实践中,我们发现目前最安全的本地登录身份验证系统为人脸识别系统。

(2)在SCADA 系统与Web服务器之间安装电力专用单向安全隔离网闸,隔离生产大区与管理大区间的数据通信。在Web服务器与OA网络边界安装硬件防火墙。

(3)安装电力专用纵向加密认证装置对同属生产大区内的远程数据通信进行纵向安全认证,具有远控功能的SCADA系统应当逐步改造支持电力纵向数字证书实现加密认证。

(4)对设备机房要采取防火、二次防雷等技术手段,使用电磁屏蔽机柜、电磁屏蔽机房等进行电磁防护。

3.2 系统内各功能主机安全加固

在县级电力调度自动化系统二次系统中的各功能主机普遍采用通用型操作系统,为保障系统稳定性、安全性必须进行主机加固。安全加固必须由有经验的系统管理员通过人工的方式进行的,加固操作前应该做好充分的风险规避和跟踪记录,以确保系统的可用性。加固的内容主要包含以下方面:增强管理员口令及系统策略;关闭不必要的操作系统内置系统服务;开启系统审计;限制远程登录;安装软件系统补丁;防病毒措施。

4 人员培训和持续运行信息安全保障方案

我们在信息安全保障方案实施过程中强调“三分技术,七分管理”。方案的实施首先要从技术上满足文献[1-6]中规定的安全防护等级的要求。其次通过制定完善的灾备预案、管理制度和进行有成效的人员培训计划提高工作人员的信息安全意识和技术水平。这样就可以避免电力调度自动化系统二次系统绝大多数信息安全事故。

跟随信息安全技术的发展,信息系统面临的安全风险总在不断变化中。在县级供电企业中做信息安全保障一个非常重要的工作是建立行之有效的人员培训计划,要每年持续的进行信息安全的相关培训。

5 结束语

本文的信息安全保障方案是对县供电公司已在运行中的电力调度自动化系统二次系统进行针对性的方案设计。整个方案对现有的软硬件环境和网络环境不用做较大修改,工程实施对正在运行的调度系统影响较小,对工程实施过程有明确的操作指引。工程实施的步骤清晰、难度降低,效果显著。工程实施后续的运行维护可以由县供电公司自动化班根据运维手册和灾备预案进行,保障能力强且运维成本较小。

参考文献:

[1]国务院.中华人民共和国计算机信息系统安全防护条例(国务院147 号文).

[2]国家经济贸易委员会.电网和电厂计算机监控系统及调度数据网络安全防护的规定(原国家经贸委[2002]第30 号令).

[3]公安部.信息安全等级保护管理办法(公通字[2007]43 号令).

[4]国家电力监管委员会.电力二次系统安全防护规定[s],2005.

网络与信息安全保障方案范文2

档案是当今社会信息的主要来源,也是其社会信息价值的最终体现。当今电子档案在档案事业的发展中占据着十分重要的位置。本文简要介绍了档案的开放与应用现状,分析了信息安全的重要意义,指出了当前档案开放和信息安全存在的相关问题,并提出了相应的解决方案。

关键词:

档案开放;信息安全;保障体系

人类文明发展有文字之后,档案便开始了漫长的保存与利用过程。档案的开放和安全保障是信息保存和开展相关工作的重要保障。目前,档案的开放和信息的保护遭到多方面的干扰,电子档案的兴起更对信息安全提出了更高的要求。因此,加强档案安全利用是档案部门需要重点研究和建设的项目。

一、档案开放与信息安全的必要性

档案开放是顺应市场经济发展的必然,是政府实施“信息公开”制度和“政务上网工程”的要求。档案开放能够推动民主政治的实现,并能推动其发展。档案信息必须附着于不同的载体上,在保存过程中遇到破坏在所难免,而因此造成的信息的丢失对社会的影响非常大。另外,随着信息时代的发展,档案管理电子化,即电子档案的普遍应用,网络开放性更是威胁着档案信息的安全使用。无论是从自然环境还是社会人文环境来看,加强档案信息安全的研究和保护都刻不容缓。

二、档案开放利用的现状

目前,我国档案信息资源的开放程度仍然较低,开放的档案仅占国家档案保存总量的28%。首先,外部环境的巨大变动严重威胁保存档案的硬件设备。其次,网络安全直接影响着电子档案的安全。在虚拟的网络环境里,黑客、病毒等的恶意篡改和攻击严重毁坏了档案的完整性和准确性。网络一旦瘫痪,所有的信息可能会消失殆尽。另外,信息安全的相关法规存在漏洞、执行能力差,安全管理上工作细致性不足,风险评估体系和水平不足。

三、档案开放与信息安全的辩证关系

作为档案工作的核心和最终目的,档案开放必须有严格的工作标准和规定。档案工作者利用多种渠道获得相关信息,进行统一的加工整理形成档案,交给档案使用人员同时加以保存。非保密档案可以依法向社会和人民大众公开,提供给民众参与社会化服务与政策的机会,保障知情权的行使。档案的开放极大地促进了信息的共享和资源的高效利用,能有效地促进相关工作的顺利进行。在档案的开放过程中,信息的安全保护相当关键。档案的开放极大地促进了信息的共享和资源的高效利用,但在档案的开放过程中,信息安全保障是现阶段高校档案不容忽视的一项工作。档案具有历史性、真实性和唯一性,一旦损毁,势必给社会造成难以挽回的重大损失,影响档案工作的发展。因此,如何健康安全地开放档案是档案工作的关键。

四、档案安全保障措施及防范体系

(一)建立完善的法律法规

当前,我国涉及档案安全的法规主要是信息安全和保密管理。它可以帮助档案开放工作健康、科学地发展。但针对信息安全重点建设的等级保护、风险评估、应急响应等内容在法规里仍是空白,这阻碍着档案信息安全系统的完善和对信息的保护。因此,必须建设完整的法律法规体系,加强档案部门工作人员的法律意识和责任感,保障法规的执行力度。同时,针对电子档案的法规也需建设和完善起来,以指导和规范电子档案的安全使用。

(二)加强档案基础环境建设

对于实体档案,如纸质、胶片、磁带档案要严格控制材料的选择,并根据不同的环境需求分开保存,分别配备相应的库房设备。电子档案的保存硬件设备即服务器、终端、存储设备和网络设备。这需要保证设备的物理条件,相关单位需定期检修保障设备的正常运行。电子档案安全更重要的环节是网络的安全保障,网络的安全管理、漏洞检测和病毒查杀都需要网络安全技术的保障。

(三)加强安全技术能力建设

1.实体档案信息安全保障技术。主要有保存技术和修复技术。保存技术重点对库房的环境建设和装帧技术展开。修复技术用于解决在档案的保存、利用过程中受不可抗外力作用,如纸张老化、胶片断折、光盘磨损等。加固技术、去酸去污技术,修裱技术都是常用的修复技术。电子档案安全保障技术就是从系统安全,数据安全,网络安全,用户安全等角度进行安全保护。2.档案信息安全保障手段。通过安全审计保障系统安全;利用数据加密技术、备份技术、应急响应技术保障数据安全;利用防病毒技术、防火墙技术、漏洞扫描技术保障网络安全;利用身份认证、权限控制技术保障用户安全。3.档案信息安全保障措施。对档案管理人员进行安全教育是保障信息安全的重要措施。首先,应该大力推广信息安全观。将个人电脑设定防毒措施,加强资料备份观念。防止在档案信息公开的过程中无意带入电脑病毒。档案部门需要在档案服务器上安装杀毒工具,建立起基本的防毒安全环境。在工作过程中,养成重要资料备份的习惯,将档案信息备份到服务器中,并备份到光盘或磁盘中。另外,制定文件信息安全防护和应急计划,定期进行修订。

(四)完善档案安全管理体系建设

档案的管理工作是真正实现档案安全的重要部分。好的管理思想和制度,负责的管理人员和到位的工作程序是保障档案信息安全的灵魂。建立起档案信息安全组织体系,设立信息安全管理部门,规划组织,明确职责。制定档案信息安全保障工作的整体规划确立明确的目标,拟定长期规划。同时加强管理制度的执行力度,成立安全工作领导小组,定期对档案信息进行检查。

(五)大力推广应用电子档案

从安全角度来看,电子档案较传统纸质档案有较大的安全性。首先,电子文件对环境条件、气候条件耐受性较高,不易被破坏,因此较安全。第二,在文件保管使用的整个环节都可以凭借高科技手段加以安全保护。第三,影响电子文件信息安全所需智力、技术、设备、环境等条件较高。第四,我们一直在不懈努力大幅度提高电子文件的安全技术研发功效,努力杜绝文件信息泄露的可能性。档案开发利用与信息安全保障本身存在很大矛盾。公布档案信息不可避免面临很多未知因素,本身对于档案安全就是一种挑战。要达到双赢的效果,就必须从软硬件环境、法律法规、安全技术、管理体系、行业标准、人才培养等方面进行研究。档案信息安全保障工作是档案工作的保障,也是档案应用工作的生命线。当今社会,传统档案与电子档案并存,必须在完善传统档案安全保障理论的基础上研究电子档案。建立完善的安全保障体系必须从保存环境、法律法规、管理体系等方面着手研究。

参考文献:

[1]尹振芳.浅析档案开放利用的安全保障[J].网友世界,2013(7):18-19.

[2]吴新丽.论电子档案开放利用中信息安全保障存在的问题与对策[J].青年与社会,2014(2):150.

[3]陈振.档案开放利用与信息安全保障研究[C].山东大学,2009.

[4]曲照言.论电子档案开放利用中信息安全保障存在的问题与对策[J].数字化用户,2014(10):105.

[5]肖寒.企业电子档案开放与信息安全措施[J].环球市场信息导报,2013(12):65.

网络与信息安全保障方案范文3

 

随着云计算、大数据等新兴技术的不断发展,企业信息化、智能化程度、网络化、数字化程度越来越高,人类社会进入到以大数据为主要特征的知识文明时代。大数据是企业的重要财富,正在成为企业一种重要的生产资料,成为企业创新、竞争、业务提升的前沿。大数据正在成为企业未来业务发展的重要战略方向,大数据将引领企业实现业务跨越式发展;同时,由此带来的信息安全风险挑战前所未有,远远超出了传统意义上信息安全保障的内涵,对于众多大数据背景下涉及的信息安全问题,很难通过一套完整的安全产品和服务从根本上解决安全隐患。

 

自2008年国际综合性期刊《Nature》发表有关大数据(Big Data)的专刊以来,面向各应用领域的大数据分析更成为各行业及信息技术方向关注的焦点。大数据的固有特征使得传统安全机制和方法显示出不足。本文系统分析了大数据时代背景下的企业信息系统存在的主要信息安全脆弱性、信息安全威胁以及信息安全风险问题,并有针对性地提出相应的信息安全保障策略,为大数据背景下的企业信息安全保障提供一定指导的作用。

 

1 大数据基本内涵

 

大数据(Big Data),什么是大数据,目前还没有形成统一的共识。网络企业普遍将大数据定义为数据量与数据类型复杂到在合理时间内无法通过当前的主流数据库管理软件生成、获取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等的大型数据集。大数据具有4V特征(Volume,Varity,Value,Velocity),即数据量大、数据类型多、数据价值密度低、数据处理速度快。

 

2011年麦肯锡咨询公司了《大数据:下一个创新、竞争和生产力的变革领域》[1]的研究报告,引起了信息产业界的广泛关注。美国谷歌公司(Google)、国际商业机器公司(IBM)、美国易安信公司(EMC)、脸书(Facebook)等公司相继开始了大数据应用、分析、存储、管理等相关技术的研究,并推出各自的大数据解决框架、方案以及产品。例如,阿帕奇软件基金会(Apache)组织推出的Hadoop大数据分析框架,谷歌公司推出的BigTable、GFS(Google File System)、MapReduce等技术框架等,这些研究成果为随后的大数据应用迅猛发展提供了便利的条件。2012年3月,美国奥巴马总统了2亿美元的“Big Data Initiative”(大数据研究和发展计划),该计划涉及能源、国防、医疗、基础科学等领域的155个项目种类,该计划极大地推动了大数据技术的创新与应用,标志着奥巴马政府将大数据战略从起初的政策层提升到国家战略层。

 

同时,我国对大数据的认识、应用及相关技术服务等也在不断提高,企业界一致认同大数据在降低企业经营运营成本、提升管理层决策效率、提高企业经济效益等方面具有广阔的应用前景,相继大数据相关战略文件,同时国家组织在民生、国防等重要领域投入大量的人力物力进行相关技术研究与创新实践。

 

中国移动通信公司在已有的云计算平台基础上,开展了大量大数据应用研究,力图将数据信息转化为商业价值,促进业务创新。例如,通过挖掘用户的移动互联网行为特征,助力市场决策;利用信令数据支撑终端、网络、业务平台关联分析,优化网络质量。商业银行也相继开展了经融大数据研究,提升银行的竞争力。例如,通过对用户数据分析开展信用评估,降低企业风险;从细粒度的级别进行客户数据分析,为不同客户提供个性化的产品与服务,提升银行的服务效率。总而言之,大数据正在带来一场颠覆性的革命,将会推动整个社会取得全面进步。

 

2 大数据安全研究现状

 

在大数据计算和分析过程中,安全是不容忽视的。大数据的固有特征对现有的安全标准、安全体系架构、安全机制等都提出了新的挑战。目前对大数据完整性的研究主要包括两方面,一是对数据完整性的检测;二是对完整性被破坏的数据的恢复。在完整性检测方面,数据量的增大使传统的MD5、SHA1等效率较低的散列校验方法不再适用,验证者也无法将全部数据下载到本地主机后再进行验证。

 

面向大数据的高效隐私保护方法方面,高效、轻量级的数据加密已有多年研究,虽然可用于大数据加密,但加密后数据不具可用性。保留数据可用性的非密码学的隐私保护方法因而得到了广泛的研究和应用。这些方法包括数据随机化、k-匿名化、差分隐私等。

 

这些方法在探究隐私泄漏的风险、提高隐私保护的可信度方面还有待深入,也不能适应大数据的海量性、异构性和时效性。在隐私保护下大数据的安全计算方面,很多应用领域中的安全多方计算问题都在半诚实模型中得到了充分的研究,采用的方法包括电路赋值(Circuit Evaluation)、遗忘传输(Oblivious Transfer)、同态加密等。通过构造零知识证明,可以将半诚实模型中的解决方法转换到恶意模型中。而在多方参与、涉及大量数据处理的计算问题,目前研究的主要缺陷是恶意模型中方法的复杂度过高,不适应多方参与、多协议执行的复杂网络环境。

 

企业大数据技术是指大数据相关技术在企业的充分应用,即对企业业务、生产、监控、监测等信息系统在运行过程中涉及的海量数据进行抽取、传输、存储、处理,管理、分析挖掘、应用决策以及销毁等,实现大数据对企业效率的提升、效益的增值以及风险的预测等。

 

企业的大数据类型通常主要包括业务经营数据即客户信息数据、企业的生产运营与管理数据以及企业的设备运行数据等,即客户信息数据、员工信息数据、财务数据、物资数据、系统日志、设备监测数据、调度数据、检修数据、状态数据等。企业大数据具有3V、3E特征[2],3V即数据体量大(Volume)、数据类型多(Varity)与数据速度快(Velocity),3E即数据即能量(Energy)、数据即交互(Exchange)与数据即共情(Empathy)。

 

3 大数据时代企业信息安全漏洞与风险并存

 

大数据时代,大数据在推动企业向着更为高效、优质、精准的服务前行的同时,其重要性与特殊性也给企业带来新的信息安全风险与挑战。如何针对大数据的重要性与特殊性构建全方位多层次的信息安全保障体系,是企业发展中面临的重要课题。大数据背景下,结合大数据时代的企业工作模式,企业可能存在的信息安全风险主要表现在以下三个方面:

 

(1)企业业务大数据信息安全风险:由于缺乏针对大数据相关的政策法规、标准与管理规章制度,导致企业对客户信息大数据的“开放度”难以掌握,大数据开放和隐私之间难以平衡;企业缺乏清晰的数据需求导致数据资产流失的风险;企业数据孤岛,数据质量差可用性低,导致数据无法充分利用以及数据价值不能充分挖掘的风险;大数据安全能力和防范意识差,大数据人才缺乏导致大数据分析、处理等工作难以开展的风险;管理技术和架构相对滞后,导致数据泄露的风险。

 

(2)企业基础设施信息安全风险:2010年,震网病毒[3]通过网络与预制的系统漏洞对伊朗核电站发起攻击,导致伊朗浓缩铀工程的部分离心机出现故障,极大的延缓了伊朗核进程。从此开启了世界各国对工业控制系统安全的重视与管控。对于生产企业,工业生产设备是企业的命脉,其控制系统的安全性必须得到企业的高度重视。随着物理设备管理控制系统与大数据采集系统在企业的不断应用,监控与数据采集系统必将成为是物理攻击的重点方向,越来越多的安全问题随之出现。

 

设备“接入点”范围的不断扩大,传统的边界防护概念被改变; 2013年初,美国工业控制系统网络紧急响应小组(ICS-CERT)预警,发现美国两家电厂的发电控制设备在2012年10月至12月期间感染了USB设备中的恶意软件。该软件能够远程控制开关闸门、旋转仪表表盘、大坝控制等重要操作,对电力设备及企业安全造成了极大的威胁。

 

(3)企业平台信息安全风险: 应用层安全风险主要是指网络给用户提供服务所采用的应用软件存在的漏洞所带来的安全风险,包括: Web服务、邮件系统、数据库软件、域名系统、路由与交换系统、防火墙及网管系统、业务应用软件以及其他网络服务系统等;操作系统层的安全风险主要是指网络运行的操作系统存在的漏洞带来的安全风险,例如Windows NT、UNIX、Linux系列以及专用操作系统本身安全漏洞,主要包括访问控制、身份认证、系统漏洞以及操作系统的安全配置等;网络层安全风险主要指网络层身份认证,网络资源的访问控制,数据传输的保密性与完整性、路由系统的安全、远程接入、域名系统、入侵检测的手段等网络信息漏洞带来的安全性。

 

4 企业大数据信息安全保障策略

 

针对大数据时代下企业可能存在的信息安全漏洞与风险,本文从企业的网络边界信息安全保障、应用终端信息安全保障、应用平台信息安全保障、网络安全信息安全保障、数据安全信息安全保障等多方面提出如下信息安全保障策略,形成具有层次特性的企业信息安全保障体系,提升大数据时代下的企业信息安全保障能力。

 

4.1企业系统终端——信息安全保障策略

 

对企业计算机终端进行分类,依照国家信息安全等级保护的要求实行分级管理,根据确定的等级要求采取相应的安全保障策略。企业拥有多种类型终端设备,对于不同终端,根据具体终端的类型、通信方式以及应用环境等选择适宜的保障策略。确保移动终端的接入安全,移动作业类终端严格执行企业制定的办公终端严禁“内外网机混用”原则,移动终端接入内网需采用软硬件相结合的加密方式接入。配子站终端需配置安全模块,对主站系统的参数设置指令和控制命令采取数据完整性验证和安全鉴别措施,以防范恶意操作电气设备,冒充主站对子站终端进行攻击。

 

4.2企业网络边界——信息安全保障策略

 

企业网络具有分区分层的特点,使边界不受外部的攻击,防止恶意的内部人员跨越边界对外实施攻击,在不同区的网络边界加强安全防护策略,或外部人员通过开放接口、隐蔽通道进入内部网络。在管理信息内部,审核不同业务安全等级与网络密级,在网络边界进行相应的隔离保护。按照业务网络的安全等级、实时性需求以及用途等评价指标,采用防火墙隔离技术、协议隔离技术、物理隔离技术等[4]对关键核心业务网络进行安全隔离,实现内部网与外部网访问资源限制。

 

4.3企业网络安全——信息安全保障策略

 

网络是企业正常运转的重要保障,是连接物理设备、应用平台与数据的基础环境。生产企业主要采用公共网络和专用网络相结合的网络结构,专用网络支撑企业的生产管理、设备管理、调度管理、资源管理等核心业务,不同业务使用的专用网络享有不同安全等级与密级,需要采取不同的保障策略。网络弹性是指基础网络在遇到突发事件时继续运行与快速恢复的能力。采用先进的网络防护技术,建立基础网一体化感知、响应、检测、恢复与溯源机制,采取网络虚拟化、硬件冗余、叠加等方法提高企业网络弹性与安全性;对网络基础服务、网络业务、信息流、网络设备等基础网络环境采用监控审计、安全加固、访问控制、身份鉴别、备份恢复、入侵检测、资源控制等措施增强网络环境安全防护;在企业网络中,重要信息数据需要安全通信。针对信息数字资源的安全交换需求,构建企业的业务虚拟专用网。在已有基础网络中采用访问控制、用户认证、信息加密等相关技术,防止企业敏感数据被窃取,采取建立数据加密虚拟网络隧道进行信息传输安全通信机制。

 

4.4企业应用系统平台——信息安全保障策略

 

应用系统平台安全直接关系到企业各业务应用的稳定运行,对应用平台进行信息安全保障,可以有效避免企业业务被阻断、扰乱、欺骗等破坏行为,本文建议给每个应用平台建立相应的日志系统,可以对用户的操作记录、访问记录等信息进行归档存储,为安全事件分析提供取证与溯源数据,防范内部人员进行异常操作。企业应用平台的用户类型多样,不同的应用主体享有不同的功能与应用权限,考虑到系统的灵活性与安全性,采用基于属性权限访问控制[5]、基于动态和控制中心访问权限控制[6]、基于域访问权限控制[7]、基于角色访问控制等访问控制技术;确保企业应用平台系统安全可靠,在应用平台上线前,应邀请第三方权威机构对其进行信息安全测评,即对应用平台系统进行全面、系统的安全漏洞分析与风险评估[8],并制定相应的信息安全保障策略。

 

4.5企业大数据安全——信息保障策略

 

大数据时代下,大数据是企业的核心资源。企业客户数据可能不仅包含个人的隐私信息,而且还包括个人、家庭的消费行为信息,如果针对客户大数据不妥善处理,会对用户造成极大的危害,进而失信于客户。目前感知大数据(数据追踪溯源)、应用大数据(大数据的隐私保护[9]与开放)、管控大数据(数据访问安全、数据存储安全)等问题,仍然制约与困扰着大数据的发展。大数据主要采用分布式文件系统技术在云端存储,在对云存储环境进行安全防护的前提下,对关键核心数据进行冗余备份,强化数据存储安全,提高企业大数据安全存储能力。为了保护企业数据的隐私安全、提高企业大数据的安全性的同时提升企业的可信度,可采用数据分享、分析、时进行匿名保护已经隐私数据存储加密保护措施来加强企业数据的隐私安全,对大数据用户进行分类与角色划分,严格控制、明确各角色数据访问权限,规范各级用户的访问行为,确保不同等级密级数据的读、写操作,有效抵制外部恶意行为,有效管理云存储环境下的企业大数据安全。

 

5 结束语

 

随着信息技术的快速革新,数据正以惊人的速度积累,大数据时代已经来临了;智能终端和数据传感器成为大数据时代的数据主要来源。大数据在推动企业不断向前发展给企业提供了更多机遇的同时,也给企业的应用创新与转型发展带来了新的信息安全威胁、信息安全漏洞以及信息安全风险。传统的信息安全保障策略已经无法满足大数据时代的信息安全保障需求。怎样做好企业大数据信息安全保障、加强信息安全防护、建设相关法律法规将是大数据时代长期研究的问题。

网络与信息安全保障方案范文4

关键词:独立学院 校园网 网络安全 信息安全

中图分类号:G64 文献标识码:A

文章编号:1004-4914(2010)05-108-02

独立学院是近几年发展起来的一种新的高等教育院校,虽然这些院校成立的时间不是很长,但是其发展速度却很快。独立学院除了校园和基本教学设施以外,其校园网也发展起来了。目前,独立学院在尽情享受校园网所带来的方便与高效的同时,也面临着信息安全的严峻考验,校园网信息安全问题已经成为当前各独立学院网络建设中不可忽视的首要问题。信息安全是独立学院信息化建设的根本保证,通过制定独立学院校园网信息安全策略,来保障校园网的数据安全具有现实的紧迫性和重要性。构建以安全意识为核心、以安全技术为支撑、以安全服务为落实、以安全管理为重要手段的安全防范体系是校园信息安全的保障。{1}

一、独立学院校园网信息安全的现状

随着独立学院校园网络的不断扩建和升级,网络规模日益庞大,校园网络中的信息安全隐患也越来越多。目前高校校园网信息安全存在的问题具体体现在以下几个方面:

1.计算机信息系统比较脆弱,网络与信息系统的应急处理能力不强,防护水平不高。

2.高水平的信息安全技术人才和管理人才缺乏,关键技术整体上还比较落后,安全保障预警和检测方面的工作基本没有开展,保护、应急和恢复等方面的工作还不够深入与完善。

3.信息安全管理制度和标准缺乏权威性。

4.因资金等原因造成一些信息系统安全保障的必要设施短缺。

5.信息安全管理观念薄弱,相关人员特别是一些负责人员的信息安全意识不强。

6.信息安全保障管理机构和组织队伍不健全,制约着信息安全保障工作的进一步开展,也制约着信息安全保障能力的进一步提升。{2}

二、独立学院校园网信息安全急待解决的问题

许多独立学院校园网是从局域网发展来的,由于意识与资金方面的原因,他们在安全方面往往没有太多的设置,包括一些独立学院在内,常常只是在内部网与互联网之间放一个防火墙就了事了,有的甚至什么也不放,直接就面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等,这些安全隐患发生任何一事对整个网络都将是致命性的。{3}因此,校园网的网络安全需求是全方位的,具体来说,包括以下几个部分:

1.网络病毒的防范。在网络中,病毒已从存储介质(软、硬、光盘)的感染发展为网络通信和电子邮件的感染上来。其传播速度极快、破坏力更强,据统计,一个新病毒从一台计算机出发仅六个小时就能感染全球互联网机器。网络一旦被病毒侵入而发作,将会对重要数据的安全、网络环境的正常运行带来严重的危害。所以,防止计算机病毒是计算机网络安全工作的重要环节。

2.网络安全隔离。为了各行业间、部门之间加强业务联系,以及信息化建设都需要网络和网络之间互联,交流信息、信息共享,这给学校的工作带来极大的便利,同时也给有意、无意的黑客或破坏者带来了充分的施展空间。所以网络之间进行有效的安全隔离是必须的。

3.网络监控措施。网间隔离起边缘区保护作用,无法防备内部不满者攻击行为。往往内部来的攻击比外部攻击更具有致命性。在不影响网络的正常运行的情况下,增加内部网络监控机制可以做到最大限度的网络资源保护。从网络监控中得到统计信息来确定网络安全规范及安全风险评估。

4.网络安全漏洞。校园网拥有Www、邮件、数据库等服务器,还有重要的教学服务器,对于非专业人员来说,无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞。因此,需要借助第三方软件来解决此安全隐患、并提出相应的安全解决方案。

5.数据备份和恢复。数据是整个网络的核心,其安全性非常重要。设备可以替换,数据一旦被破坏或丢失,其损失几乎可以用灾难来衡量。所以,做一套完整的数据备份和恢复措施是校园网迫切需要的。

6.有害信息过滤。许多校园网经过多年的建设,已发展成为较复杂的网络,网络中的应用较多,电脑数量达到几千台;校园内不仅电教室、电子阅览室、办公室的电脑能上网,学生宿舍和家属楼的电脑电信宽带也能上网。对于这种大、中型的校园网络,要实施网络有害信息的过滤,必须采用一套完整的网络管理和信息过滤相结合的系统,实现对整个校园内电脑访问互联网进行有害信息过滤管理。

7.网络安全服务。许多学校缺少网络管理人员,日常网络的维护量大,特别在网络安全方面暂时没有配备专职专业的系统安全管理员,同时在网络规划建设初期时,对整体的网络安全考虑较少,投资有限。因此,为确保整个网络的安全有效运行,有必要对整个网络进行全面的安全性分析和研究,制定出一套满足网络实际安全需要的,切实可行的安全管理和设备配备方案。如将网络的日常安全维护和设备配备外包给专业的网络安全服务和设备提供商,可以在短时间内实现对网络安全的要求,同时解决专业人士缺乏的现状,并且在由网络安全专业公司提供服务的同时,培养自己的队伍,最终完成自己对学校网络的安全管理。{4}

三、构建独立学院校园网信息安全管理体系

安全管理是安全防范体系中具体落实的手段,它贯穿于整个网络安全防范体系中。独立学院校园网的安全管理应当保障计算机网络设备和配套设施的安全,保障信息的安全及运行环境的安全。校园网的所有工作人员及用户必须遵守《中国教育和科研计算机网络安全管理》协议,接受并配合国家有关部门及学校依法进行的监督检查。整体而言,高校应加强安全管理工作,增强学生的安全意识,并逐步建立健全安全管理规章制度。

1.落实安全职责。在校办及各系部配备专职的信息安全管理人员,落实建立信息安全责任制度和工作章程,负责并保证组织内部的信息安全。管理人员必须做到及时进行漏洞修补、软件定期升级和安全系统定期巡检,保证对网络的监控和管理。

2.制定科学的信息安全策略。信息安全策略是指在一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。它包括严格的管理、先进的技术和相关的法律。信息安全策略决定采用何种方式和手段来保证网络系统的安全。即首先清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。

3.集中进行监控和管理。严格规范上网场所的管理,集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认,而且合法用户的上网行为也要受到统一的监控。上网行为的日志文件要集中保存在中心服务器上,扫描日志文件确保其准确性和安全性。

4.重要数据的及时备份与恢复。在实际的网络运行环境中,数据备份与恢复是非常重要的。尽管从预防、防护、加密、检测等方面加强了安全措施,但任何人也不能保证网络系统不会出现安全故障。因此,应该对重要数据进行备份,保障数据的完整性。与此同时,还必须充分考虑遭遇火灾和系统硬件故障时的数据恢复,在数据容量较大时需考虑采用磁带介质备份和异地备份,并重点对应用区域中的关键服务器提供数据备份和恢复机制。

5.使用规范的网络协议。要建立一个安全有效的校园网必须使用规范的网络协议,只有使用规范的网络协议才能有效地进行网络通信,便于以后的扩展和维护。

6.加强信息安全教育,构建良好的校园文化氛围。我们应利用多种形式进行信息安全教育:其一是利用行政手段,通过各种会议进行信息安全教育;其二是利用教育手段,通过信息安全学术研讨会、安全知识竞赛、安全知识讲座等进行信息安全教育;其三是利用学校传播媒介、舆论工具等手段,通过校刊、校报、校园网络、广播、宣传栏等进行信息安全教育。信息安全是高校实现教育信息化的头等大事,除先进的安全技术、完善的安全管理外,良好的校园文化氛围也是保证高校信息安全工作顺利开展的前提。

参考文献:

1.李欣.高校校园网络安全探索[J].中国现代教育装备,2007(1):45~47

2.高爱乃.基于校园网的信息安全系统[J].中国科技信息,2006(9):191、196

3.王绍卜.企业信息安全研究与策略[J].商场现代化,2006(465):87―88

4.李秀英,蔡自兴.浅析网络信息安全技术[J].企业技术开发,2006(1):6―8

5.彭绍平.关于我国网络信息安全的思考[J].图书馆工作与研究,2007(4):84―86

网络与信息安全保障方案范文5

一、学校信息化建设现状分析

现阶段各高校及中小学都基本普及了校园网络,其中大部分也已开始进行信息系统的建设,以校园一卡通系统、校园安全监控系统、科研管理数据库等为主。 还有一部分开始推行普及整个校园的身份认证系统,提供账号支持师生设备上网。学校的教学和管理工作对信息系统的依赖性也越来越强。

随着网络规模的不断扩大以及对信息系统建设的深入和完善,数据大量产生并持续快速增长,信息系统数据库的规模也在不断扩大,随着其承载的信息量的不断增加,这些信息的安全性也就凸显出来,系统保护和数据防灾就变得愈发重要。

二、威胁学校信息系统数据安全的因素

网络故障、病毒侵害、非法访问、软件设计缺陷、数据库破坏、拒绝服务攻击、系统物理故障、使用人员人为失误、信息泄密、自然灾害等,都可对系统数据可用性、完整性和保密性的进行破坏,从而对信息系统构成威胁,由此而造成的安全后果是难以估量的。

三、学校信息安全管理体系的构建

学校信息系统应用是多方面的,一旦投入使用,就会产生大量的数据,面对来自多方面的威胁,稍有不慎就会造成灾难性后果。所以,建立完善的信息安全管理体系,即Information Security Management System(简称ISMS),势在必行。

1. 构建学校ISMS的方法和目的

针对信息安全在不同网络层次上(物理层、网络层、数据链路层、应用层、用户终端层等)的需要,参照国际标准ISO/IEC27001信息安全管理体系(ISMS),明确信息安全的方针和目标,建立完整的信息安全管理制度和流程,制定完善的安全策略,强化安全技术的应用,采取行之有效的安全防范措施,保证信息系统的安全稳定运行。

2. 安全策略与防范措施

(1)强化安全技术

从安全技术实施上,进行全面的安全漏洞检测和分析,针对检测和分析的结果,完善安全策略,制定防范措施和完整的解决方案。

采用冗余技术 。学校信息网络是运行整个学校业务系统的基础,更是数据处理及转发中心,首先需要通过增加设备及链路的冗余来提高其可靠性,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。

部署网络安全设备。在Internet出口处部署主动入侵防御设备(IPS)及流控设备,开启实时防御和安全过滤,优化网络带宽,构建可视、可控、高效的网络。通过防火墙与IPS的紧密配合,抵御来自校园网内外的各种恶意攻击和病毒传播,确保校园核心业务和核心资源的安全,真正实现校园网络与应用的安全保障。

加强用户终端管理。制定统一且便于管理的终端管理方案,强制准入制度,对特定区域、数据及设备设定访问权限,保证整个网络的安全性和可管理性。根据物理位置、功能区域、业务应用或者管理策略等分VLAN,对需要接入网络的用户与设备进行实名认证,并保证用户帐号的唯一性。同时,部署上网行为管理设备,对校内终端用户的网上行为进行有效监管,降低因终端用户的违法网络行为带来的安全及法规风险。

强化数据安全。建立统一的数据存储中心,增加负载均衡设备及同步磁盘阵列,提高数据库服务器业务连续性及应用服务器负载能力,并针对整个信息系统进行统一定时的D2D2T备份,并结合重复数据删除等技术,提高数据备份效率和数据保留周期。

(2)完善安全管理制度

网络与信息安全保障方案范文6

1网络工程专业学生网络系统安全保障能力培养的现状分析

网络工程专业是依托于计算机科学与技术专业发展起来的。网络工程专业的人才应该具备计算机类专业人才的四大基本能力:计算思维、算法设计与分析、程序设计与实现和系统能力。网络工程专业人才的专业能力可以进一步细化为:网络协议分析设计与实现、网络设备研发能力、网络应用系统设计与开发能力、网络工程设计与实施能力、网络系统管理与维护能力、网络系统安全保障能力等[1]。因此,网络系统安全保障能力是网络工程专业有别于其他计算机类专业的一个重要能力。但在目前的现实情况下,大家对网络工程专业和其他相关专业在专业能力构成上的差异认识不够,很多学校不同专业在网络系统安全保障能力培养方面存在同质化现象。在专业知识体系上,网络系统安全保障知识领域的核心知识单元应有:信息安全基础、安全模型、加密、认证、数字签名、安全协议、防火墙、入侵检测系统、漏洞检测与防护、安全评估与审计等。从知识体系上来看,网络工程专业中的网络系统安全保障知识基本上是信息安全专业中密码学、网络攻防技术及信息系统安全领域基础知识的综合,具有内容多、涉及面广的特点。另外,目前的知识体系主要从防御角度出发,攻击和渗透的知识还很欠缺。如何在确保知识体系覆盖完整的条件下,突出网络工程专业的特色,是一个尚待深入研究的课题。在课程体系结构上,网络系统安全保障能力对应的网络安全课程,对网络工程、信息安全和信息对抗专业来说是主干课程,而对计算机类其他专业来说,往往是扩展课程;信息安全专业和信息对抗专业一般将其细化为至少4门主干课程,如密码学、网络安全、信息系统安全和信息内容安全。网络工程专业需要强化网络安全课程,并开设相应的扩展课程,以完善网络系统安全保障课程体系的完整性。教学条件上,在网络与信息安全方面比较突出的国内高校主要以密码学领域的科学研究与人才培养见长,缺少网络系统安全保障的师资,特别是缺少既有工程背景和网络攻防实战经验又有高学术水平的师资,导致一些高校网络安全课程的教学质量不高,甚至无法开设,影响了网络系统安全保障能力的培养。网络系统安全保障不仅有理论性,也具有实践性,许多方法和手段需要在实践过程中认识和领会。一些高校的网络工程专业缺少必要的实验条件,有些仅仅进行加密与解密、VPN、入侵检测或防火墙等方面的简单配置性实验,缺少网络对抗等复杂的综合性实验,致使网络系统安全保障实践环节质量不高,影响学生动手能力的培养。

2网络工程专业学生网络系统安全保障能力构成

网络系统安全保障能力的教育需要以网络系统安全保障知识为载体,通过探讨知识发现问题求解过程,培养学生灵活运用所学知识有效地解决网络系统安全防御、检测、评估、响应等实际问题的能力。计算机类专业培养学生的计算思维、算法思维、程序思维、系统思维、过程思维、数据思维、人机系统思维等思维能力,而网络工程专业还要培养学生的对抗思维、逆向思维、拆解思维、全局思维等网络系统安全保障所特有的思维能力。网络系统安全保障体系是一个复杂系统,必须从复杂系统的观点,采用从定性到定量的综合集成的思想方法,追求整体效能。从系统工程方法论的观点出发,网络系统安全保障不能简单地采用还原论的观点处理,必须遵循“木桶原理”的整体思维,注重整体安全。网络系统安全保障的方法论与数学或计算机科学等学科相比,既有联系又有区别,包括观察、实验、猜想、归纳、类比和演绎推理以及理论分析、设计实现、测试分析等,综合形成了逆向验证的独特方法论。从不同的角度看网络系统安全保障可以得到不同的内涵和外延。从物理域看,是指网络空间的硬件设施设备安全,要求确保硬件设施设备不扰、破坏和摧毁;从信息域看,重点是确保信息的可用性、机密性、完整性和真实性;从认知域看,主要是关于网络传播的信息内容对国家政治及民众思想、道德、心理等方面的影响;从社会域看,要确保不因网络信息传播导致现实社会出现经济安全事件、民族宗教事件、暴力恐怖事件以及群体性聚集事件等。网络系统安全保障涉及网络协议安全及相关技术研究、网络安全需求分析、方案设计与系统部署、网络安全测试、评估与优化、网络安全策略制订与实施等内容。培养网络系统安全保障能力就是培养学生熟悉信息安全基本理论和常见的网络安全产品的工作原理,掌握主流网络安全产品如防火墙、入侵检测、漏洞扫描、病毒防杀、VPN、蜜罐等工具的安装配置和使用,能够制定网络系统安全策略与措施,部署安全系统,同时具有安全事故预防、监测、跟踪、管理、恢复等方面的能力以及网络安全系统的初步设计与开发能力,以满足企事业单位网络安全方面的实际工作需求。

3网络工程专业学生网络系统安全保障能力课程设置

网络工程专业涉及计算机网络的设计、规划、组网、维护、管理、安全、应用等方面的工程科学和实践问题,其网络安全课程使学生了解网络系统中各种潜在的安全威胁与攻击手段以及针对这些威胁可采用的安全机制与技术。掌握常见的网络安全工具和设备,如防火墙、入侵检测、漏洞扫描等工具的工作原理,学生可以了解网络安全的相关政策法规,并具有网络安全策略与措施制定、安全事故监测等能力。为了保质保量地完成网络工程专业学生的网络系统安全保障能力的培养,可设置相应的主干课程:网络安全技术和网络安全技术实践及扩展课程安全测试与评估技术。课程涉及的核心知识点。通过开设安全测试与评估技术,教师引导和培养学生用逆向、对抗和整体思维来学习并思考网络系统安全保障问题。

4培养学生网络系统安全保障的实践和创新能力

实践动手能力是网络系统安全保障能力培养中的重要一环。许多网络信息系统安全保障能力知识点比较难掌握,必须通过实践环节来消化、吸收、巩固和升华,才成为学生自己的技能。为此,我们一方面努力争取解决实验条件,与企业联合共建网络安全教学实验室;另一方面,自主开发实现了一系列的教学演示和实践工具,弥补部分环节难以让学生动手实践的不足。通过完善的实践体系(包括课内实验、综合实验、创新实践、实习及学科竞赛等),培养学生网络系统安全保障的实践和创新能力。课内实验包括安全测试与评估技术课程的信息收集、内部攻击、KaliLinux的安装与使用、Metasploit、缓冲溢出攻击、Shellcode、Web攻击、数据库安全、逆向分析等实验。网络安全技术课程对应的实践课程网络安全技术实践设置了加解密编程、PGP、PKI、VPN服务器和客户端、病毒与恶意代码行为分析、Iptables防火墙、Snort入侵检测、以太网网络监听与反监听、端口扫描、WinPcap编程、Windows和Linux安全配置等实验;另外还设置了两个综合实验——综合防御实验(安全配置、防火墙、入侵检测、事件响应)和综合渗透测试实验(信息收集、缓冲溢出渗透、权限提升、后门安装、日志清除)。在课内实验和综合实验环节采用分工合作、以强带弱、小组整体与个人测试评分相结合等措施,确保让每个学生掌握相应的网络系统安全保障实践能力。目前,我们正积极与网络安全相关企业建设实习和实训基地,开展社会实习和实践,探索利用社会力量培养实践能力的模式。专业实践是一门2学分的创新实践和实习课程。通过专业实践和毕业设计,学生可以根据自己的兴趣选择网络系统安全保障方面的创新实践拓展和深化。一方面,积极鼓励并组织优秀学生参加全国性和地方性的网络安全技能竞赛;另一方面,让高年级的同学参与教师的网络系统安全保障科研项目中来,让学生在竞争与对抗中和解决实际问题过程中增强自己的动手能力和创新能力,培养学生的自主学习能力和研究能力,激发他们的网络系统安全保障创新思维。

5结语