前言:中文期刊网精心挑选了公司网络安全管理办法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
公司网络安全管理办法范文1
关键词:网络结构;数据备份;网络管理
1、宣钢计算机局域网简介
宣钢计算机局域网始建于2002年,网络实现了东、西区通讯中心、公司大楼三个主节点与各子单位二级节点之间千兆互连和百兆到桌面,实现了宣钢公司网络与Internet互连,为收集、了解国内外市场、高新生产技术、先进经营管理方法等信息提供快速、及时的手段。网络上主要运行有:办公自动化(OA)、档案、医保、计量、运销、财物、视频监控、ERP等应用系统。近几年随着宣钢信息化建设的不断发展,网络用户、应用系统不断增加,计算机局域网安全在企业中显得越来越重要了。
2、 宣钢计算机局域网安全现状
2.1物理安全
保证企业局域网内各种设备的物理安全是整个网络安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
2.2网络结构安全
网络结构的安全是整个网络安全的基础。在整个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。网络结构的建立要考虑环境、设备配置与应用情况、网络维护管理、网络应用与业务定位等因素。
2.3病毒的入侵
目前开放的网络病毒具有感染速度快、扩散面广、难于彻底清除、破坏性大特点,它通过共享文件夹、系统漏洞、管理员弱口令、移动设备、垃圾邮件,MSN等方式进行传播。它们的快速传播导致局域网计算机相互感染,直接影响网络的工作,不但降低网络速度,影响工作效率,而且破坏文件系统和网络资源,甚至造成计算机和网络系统的瘫痪。
2.4数据备份系统安全
随着办公自动化(OA)、医保、档案、ERP等系统的深入应用,系统内的服务器担负着宣钢企业的关键应用,存储着重要的信息和数据。因此,建立可靠的网络数据备份系统,保护关键应用的数据安全是网络建设的重要任务,在发生人为、设备或自然灾难的情况下,保证数据不丢失。
2.5网络管理安全
网络管理是网络安全中最重要的部分,责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险,因些加强网络管理、建立健全安全管理是不可缺少的一项。
3、宣钢计算机局域网安全防范策略
3.1物理安全策略
宣钢东、西区通讯中心、公司大楼三个网络核心机房环境、电源及防雷接均满足《建筑与建筑群综合布线系统工程设计规范》的要求。在地板均采用防静电活动地板,保证所有网络设备的导线电缆的连接、管道的连接及检修更换都很方便。空调系统采用爱默生机房专业空调,保证了机房设备能够连续、稳定、可靠的运行。机房供电设备采用艾默生网络UPS不间断电源供电,维护人员可以利用WEB浏览器,通过SNMP卡内置WEB服务器,可实时监测到UPS状态、运行参数和历史告警,保证了机房的供电系统的稳定。
3.2网络结构安全策略
在网络结构上,主干网络采用冗余的环形拓扑结构,使主干链路实现更高的安全性和可用性。Cisco6509作为核心交换机,同时加装了冗余引擎板,当发生故障时,可迅速切换,保证了整个网络的连续运行。接入层交换机与核心交换机采用光纤冗余捆绑连接的方式,线路得到冗余。
在出口防火墙pix525和计费网关之间增加流量管理设备ALLOT AC-802,在东区cisco6509上部署网络分析仪FLUKE,监控东区到总公司,东区到西区的主干链路流量。同时在网络中部署了流量管理系统、防火墙系统、以及IP地址反查追踪技术等系统和技术手段,对外网的攻击和内网的不良行为,进行过滤和实时统计,从技术上严格把关,保证网络安全。
3.3病毒防范策略
在局域网内架设企业网络版的Rising杀毒软件、内网补丁服务器,使得局域网内所有计算机通过安装杀毒软件、定期更新病毒库和及时打补丁等方法对电脑病毒进行全面防治,减少病毒、木马的袭击。同时布署Solarwinds进行相关端口流量等基础数据的分析,及时定位使得病毒发生时,可以快速的定位故障机器,停止故障机器病毒的影响,从而减少病毒对网络的冲击。
3.4数据备份系统安全策略
在局域网中,数据备份应用系统的关键服务器从硬件上采用双机热备份技术,由两台服务器系统和与外接共享磁盘阵列柜及相应的双机热备份软件组成。数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证网络中服务的不间断。普通服务器数据备份在硬件上采用网络存储、磁盘阵列或磁带库等设备,通过SQL Server、Symatec back Exec等专业备份软件,根据不同需求设定备份控制策略,自动地将服务器中数据通过网络备份到网络存储、磁盘阵列或磁带库中,从而保证了网络中数据的可靠性、完整性和安全性。
3.5网络管理安全策略
3.5.1加强领导和职工的安全能力和意识的培训
在网络安全中,人是网络安全中最薄弱的环节,为提高领导和职工网络安全能力和意识,宣钢网络管理部门注重对领导和职工的网络安全知识的培训工作,定期组织对领导和职工进行网络安全知识的培训,通过培训,提高领导和职工的网络安全意识和安全防范能力,减少人为因素对网络安全的影响。
3.5.2制定相关的规程和管理制度
制订了《宣钢网络管理办法》、《宣钢网络用户管理办法》、《宣钢计算机网络与信息系统安全和保密管理办法》等制度对网络系统进行规范管理,并且有针对性的采取措施,按照谁主管、谁负责和预防为主、综合治理、人员防范与技术防范相结合的原则,保证网络系统的安全、可靠、有效运行。
公司网络安全管理办法范文2
【关键词】 IP化网络文本 文本分类 文本聚类 组织框架
一、引言
随着移动运营商网络IP化改造日益深入,运营商内部积累了大量跟IP化网络相关的文本,而如果移动IP化网络文本无法快速、准确地进行分类,将会直接造成网络维护工作无章可循,进而影响到网络的安全性。现有处理移动IP化网络文本的方法一般是采用人工分类归档的方式,这种手工的方法有很多不尽如人意的地方,因此,迫切需要人们研究出相关工具以对大规模的文本信息进行有效的过滤并进行自动分类组织。
本文在基于文本分类[1] [3]、聚类算法的基础上实现了一种建立移动IP化网络文本组织框架的方法,提出了一套完备且可完善的文本组织框架:采用人工聚类与机器聚类相结合的方式得到了一套科学合理的文本组织方法;采用重复分类训练学习过程及定期重复框架聚类过程的方式实现了该套文本组织框架的动态完善;将移动IP化网络文本进行系统化管理,网管人员可随时根据需要从文本库中搜索和查询所需要的文本,获取相关知识。对文本分类聚类模型进行测试,结果显示,多聚类算法得出的第二文本框架与专家分类框架具有很大区分特征[8-11],文本分类的正确率达到了70%以上,基于内容的索引搜索效率很高,提高了文本管理人员查找文本的效率。系统的部署与应用,改变了中国移动在开展IP化过程中缺乏智能化分析系统的现状,提高了网络维护的针对性、主动性和前瞻性。
二、文本分类聚类技术模型设计
2.1 现有文本处理方式存在的问题
现有处理移动IP化网络文本的方法一般是采用人工分类归档的方式,网管人员通过查看一定数量的移动IP化网络文本的全部内容、摘要或关键字根据个人的工作经验、理解预先建立移动IP化网络文本组织框架,然后根据建立的移动IP化网络文本组织框架以及新的移动IP化网络文本中包含的相关内容,对该新文本进行手工分类归档,并通过不定期的检查和整理的方式维护分类归档的移动IP化网络文本。当需要查询IP化网络相关文本时,输入相关搜索特征词,系统从移动IP化网络文本组织框架的相应分类中查询特征词对应的文本,并输出给查询人员。
有上述可见,现有移动IP化网络文本(以下简称为文本)处理方式存在以下缺点:(1)文本组织框架缺乏科学性及一致性。现有的文本处理方式属于粗放式的文档管理方式,文本组织框架以及文档的整理分类完全取决于网管人员的专业知识水平、业务能力及工作态度,分类的方式受个人主观因素影响较大,不同的人有不同的看法,在这样的方式下,很难保证各个网管人员构建的文本组织框架采用统一客观的分类标准,缺乏科学合理性。(2)效率较低,准确率不能保证。人工归档的方式需要消耗较多的时间,尤其在文本数量较大的情况下,不能实现较高的处理效率;并且这种人工归档的分类方式还会受到一些个人因素的影响,如专业知识水平、人为判断的失误等的影响,使得分类准确率不高[2]。(3)不利于网管人员的检索、利用现有文本知识。采用现有的处理方式处理移动IP化网络文本,即网管人员按照自身已经建立的文本组织框架以及阅读文本后的理解来对文本分类,使得不同专业人员的分类方式存在偏差。由于未能采用统一客观的分类标准,从而使得相应的网管人员对该文本的搜索、查询与利用变得十分困难,致使文本知识的利用率低下,而且,检索得到的文本出现重复,也增加了检索所需的时间,浪费了系统资源。
2.2 文本分类聚类模型的设计思路
该模型的主要理论基础是文件聚类和文本分类算法,前者的基础是先把文本进行分词[4]和向量化表示[5] [6],即预处理过程,之后根据一定的聚类算法把具有相似性质的文本归为一类,以此为基础可形成文本组织框架;分类的过程则是在已有文本框架的基础上进行数据的训练过程,形成一定的分类器模型,当有新文本进来时可以自动根据文本内容进行文本分类。具体过程如图1所示。
为了改变目前IP化网络文本管理过程中的不足,本文在对文本挖掘进行较为广泛的探索与研究的基础上,结合人工分类及基于统计方法的文本聚类与文本分类方法,设计了一种面向IP化网络文本挖掘算法模型。该模型充分利用了IP化网络中专业术语较多的特点,通过总结归纳这些术语,形成分词库,抽取文本的特征词[8-11],计算文本特征向量[8-11],实现文本聚类及文本分类算法的应用。
2.3 文本分类聚类模型
对文本数据的建模和处理思路如图2所示。
(1)模型数据源
IP承载网建设与维护相关OA文、维护管理办法、建设文档等。核心网VOIP改造相关OA文、维护管理办法、建设文档等。
(2)模型大致流程
首先为保证所形成的文本组织框架的质量,需要选择精度高、适应性强的聚类算法作为聚类工具,在流程的开始阶段需要进行小样本的数据实验,对K-means[7]、模糊C、蚁群以及层次聚类算法所形成的文本框架进行比较,并结合人工分类框架进行评估,最后选出蚁群算法这种最适合IP化网络安全文本的聚类算法作为后续流程的主要聚类算法。
在选出最优的聚类算法之后开始使用该算法对全部的文本集进行聚类,形成初步的文本组织框架;该框架作为分类的先验知识进行分类的训练形成分类器,训练方法有很多,本文采用了支撑向量机(SVM [6])和KNN[7]两种方法进行训练,通过比较发现前者较优。
分类器形成之后,当有新的文本进来时,分类器会自动根据文本内容对其进行分类,并将文本归入相应的文件夹下。每周一段时间可以结合专家知识对误判率进行计算和评估,如果误判率高于临界值,就说明原来的文本框架已经不再适用于新的文本集,需要对现有的全部文本集进行重新聚类形成新的文本分类框架,这样就实现了文本组织框架的更新和完善过程。基于所形成的文本框架,网络安全维护人员可以进行方便快捷的检索和学习。
(3)模型预期效果
①可优选一种与人工分类结果较为接近的文本聚类算法,可实现大数据量文本的准确聚类;②可对新增文本进行较为准确的分类,减轻网管人员进行文本管理的压力;③可实现对文本的多为搜索,帮忙网管人员更为精确地找到所需要的文本。
三、文本分类聚类技术模型的实现
3.1 文本分类聚类技术模型实现概述
所述的数据输入模块用于采集IP化网络安全文本数据;所述的数据分析模型用于接收数据输入模块传递来的数据,并且对接收到的数据进行挖掘分析,形成四个数据分析子模块;所述的分析结果输出模块用于把数据分析模块分析的结果结合输出要求呈现给输出端;在模型中,所述的移动IP化网络文本数据包括设备指标文本、IP承载网文本、交换设备文本、全网业务文本及安全管理与网管支撑文本;所述的数据分析模块中的四个数据分析子模块分别是:专家处理子模块、多聚类算法子模块、文本分类及文本框架完善子模块和文本组织框架合成模块。具体如图3所示。
本文同时提供上述文本数据分析模型的实现方法,具体步骤如图4所示。
下面结合实例给予说明:
1.数据输入步骤:通过数据输入模块导入IP化网络文本数据,IP化网络文本数据包括集团公司、省公司、地市公司的很多发文、管理办法和不同地方网络维护案例文本及不同部门交流文本数据。
2. 数据分析步骤:
A.专家处理子模块步骤:本文的方法以IP化网络文本数据为基础,先通过专家处理子模块让专家对现有小样本的文本数据进行整理,得出IP化网络文本数据的分类框架。比如框架第一层氛围分为指标类材料、IP承载网类材料、交换设备类材料、全网业务材料、安全管理与网管支撑材料五大类,每一大类都又分为不同子类。如表1所示。
B.多聚类算法处理子模块:通过聚类算法子模块采用不同的聚类算法对小样本的IP化网络文本数据进行分析,得出不同的分类结果;比如通过k-means聚类算法、模糊c均值聚类算法、蚁群聚类算法、层次聚类算法等不同聚类方法进行聚类计算,并输出聚类结果。通过对小数据样本聚类得出的结果作为评价来选出适合IP化网络文本的聚类算法,当遇到大的数据样本时,应用已经选出的聚类算法进行挖掘。比如小样本中蚁群聚类算法结果最为贴近专家分类结果,后面的聚类方法就都采用蚁群聚类算法来进行挖掘。
C.文本组织框架合成模块:把聚类算法子模块输出的分类结果和专家分类结果比对,采用专家分类结果作为文本数据分类的框架,将小样本的专家分类结果作为指导,将和专家分类结果最相近的聚类算法的聚类结果填入专家分类结果中,实现全部文本数据的合理分类。
D.文本分类及文本框架完善子模块:新的文本进来,文本分类及文本框架完善模块会依据现有合理的文本组织通过文本分类算法对新进入的文本进行分类,专家判断错误率到达了多少,如果错误率高于阈值,就会记录为误判,把所有的数据用在阶段最优的算法重新进行聚类计算,然后通过文本组织框架合成模块合成新的文本组织框架;具体的逻辑框架图如图5所示。
3.分析结果输出步骤:在数据分析结果输出模块,用户可以根据自己的需求通过树形框架结构找到自己想要的文本,也可以通过关键词搜索,得到最相关的搜索结果。大大提高对公司现有文本资源的利用效率。
3.2 文本分类聚类技术模型的具体实现
本模型是一种建立移动IP化网络文本组织框架的方法。该方法根据预先设定的样本量建立第一文本组织框架,应用多聚类算法对所述预先设定的样本量进行聚类,选定与所述建立的第一文本组织框架最为相似的聚类算法建立的第二文本组织框架,根据所述第一文本组织框架和所述第二文本组织框架建立文本组织框架。本模型在实现过程中具体流程如图6所示。
步骤1:根据预先设定的样本量建立第一文本组织框架。本步骤中,预先设定的样本量为一定数量的IP化网络文本,本实验中,预先设定的样本量为小样本量,IP化网络领域内的专业技术人员根据已有的专业技术框架、自身的工作过程中积累的经验及对文本的理解来实现IP化网络文本组织框架的制定,比如,根据各文本的文本特征向量[8-11],建立五大类的IP化网络文本组织框架,即文本组织框架包括:指标类材料、IP承载网类材料、交换设备类材料、全网业务材料及安全管理与网管支撑材料,并计算每类对应的分类文本特征向量[8-11]。当然,实际应用中,也可以根据实际的需要,按照文本特征向量[8-11]构造其他类型的IP化网络文本组织框架,比如,将IP化网络文本按照集团公司、省公司、地市公司的发文、管理办法、不同地方网络维护案例文本及不同部门交流文本数据进行划分,构造相应类别的IP化网络文本组织框架。
在模型实现过程中,对于IP化网络文本组织框架下的每个大类,又可以分为不同的子类并设置每个子类对应的子分类文本特征向量[8-11],比如,将IP化承载网类材料分为五大子类,分别为:设备建设方案、日常维护管理办法、安全评估与巡检、省际IP承载网相关文件、网络改造与调整;交换设备类材料分为工程建设方案及管理办法、专项提升活动等子类;全网业务材料分为网络运行维护实施、应急处理与重大故障等子类;安全管理与网管支撑材料分为账号与口令安全管理办法、其他安全管理办法及文件等子类。请参见表2所示的IP化网络文本组织框架示例。
本步骤中,由于专业技术人员具有良好的专业技术水平及丰富的经验,对文本的理解较为全面、准确,使得对文本进行分类的准确性高,描述各个分类的文本特征向量[8-11]恰当、准确性高。从而使得建立的文本组织框架科学性强、可信度高,可作为优选聚类算法的主要依据;同时,由于预先设定的样本数量不会太多,分类、归档所需的时间较少,属于在人工可处理的范围内。
步骤2:应用多聚类算法对预先设定的样本量进行聚类,选定与所述建立的第一文本组织框架最为相似的聚类算法作为优选聚类算法。
该优选聚类算法将在第一文本组织框架已无法进行准确分类的情况下,启动计算,得出第二文本组织框架,用于文本分类。
本步骤中,多聚类算法(文本挖掘算法)包括:k-means[7]聚类算法(k-means Clustering Algorithm)、模糊c均值聚类算法(Fuzzy C-means Clustering Algorithm)、蚁群聚类算法(Ant Colony Optimization Algorithm)、层次聚类算法(Hierarchical Clustering Algorithm)等。各算法及对文本的聚类流程属于现有技术,其详细描述请参见相关技术文献,在此不再累赘。
实际应用中,由于不同的聚类算法对相同数量的样本进行聚类时,其聚类结果可能存在较大的差别,且各聚类算法的聚类结果真实可靠性也无从评估,因而,采用不同的聚类算法将对聚类结果产生实质性的影响。本示例中,通过选用不同的聚类算法对预先设定的相同数量的样本进行聚类,对聚类结果(文本组织框架)与第一步中建立的IP化网络文本组织框架进行比较,选取与人工分类结果的相近程度最好的聚类算法结果对应的聚类算法,作为优选聚类算法。
步骤3:以第一为文本组织框架作为文本分类依据。本步骤中,在得到第一文本组织框架及优选的聚类算法的基础。
步骤4:根据所述文本组织框架,对新文本进行分类。本步骤中,导入IP化网络文本数据后,按照每个样本包含的内容,抽取文本中的关键词,构造各文本的文本特征向量[8-11],以文本组织框架为依据,将新文本的文本特征值与文本组织框架中各类包含的文本特征值进行匹配,将该新文本分类至文本组织框架中相应的类别中。
被分类的样本经过预处理,抽取文本中的特征词[8-11],获取各文本的文本特征向量,与文本组织框架中各子类包含的文本特征向量进行匹配,将各文本分类到文本组织框架中相应的子类;于此同时,抽取新增的部分文本进行人工分类,比较人工分类与自动分类的误差,当误差超过阈值时,启动已选出的优选聚类算法建立的第二文本组织将文本分类,比如,上述示例第二步中,假设蚁群聚类算法对预先设定的样本的算法结果(第二文本组织框架)最为贴近建立的第一文本框架。当误差超过阈值时,重新启动蚁群聚类算法计算第二文本组织框架。
本模型实现过程中,还可以利用文本分类结果,对所建立的文本组织框架进行调整,参见步骤5。
步骤5:从新的文本中,选取一定数量的文本,根据第一文本组织框架进行人工分类;本步骤中,选取的这一定数量的文本,在步骤4中已进行了自动分类,将自动分类结果与人工分类结果进行比较。
步骤6:将自动分类结果与人工分类结果进行比较,如果自动分类结果误差大于预先设定的阈值,启动优选聚类算法,计算新文本组织框架,作为第二文本组织框架,代替第一文本组织框架。本步骤中,预先设定的阈值可以是自动分类结果与人工分类结果中包含的相异的文本个数与人工分类结果包含的文本个数之比。如果没有超出该阈值,表明当前建立的文本组织框架运行良好,可靠性高;如果超出该阈值,需要按照人工分类结果调整文本组织框架中各大类相应子类对应的文本特征向量[8-11],或者重新应用前述优选的聚类算法对所有文本(新旧文本)进行聚类,得到新的文本组织框架,用该新的文本组织框架代替原有的文本组织框架,当自动分类结果误差大于预先设定的阈值时,重新启动优选的聚类算法进行聚类得到新的文本组织框架。
实际应用中,上述对所建立的文本组织框架进行调整,主要是在利用第一文本组织框架对新文本分类时,由于建立的第一文本组织框架是基于有限的样本量,因而,在大样本量的情况下,可能存在一定的分类误差,而且随着样本量的不断增大,其误差可能也越来越大,因而,通过人工评估,当误差超出预先设定的阈值时,可以用前述的优选文本聚类算法结合人工评估结果重新生成文本组织框架,以替换该第一文本组织框架。
当然,在建立文本组织框架后,网管人员就可以利用该文本组织框架进行搜索和查询,获取所需的文本,例如,网管人员可以输入搜索特征词,文本组织框架查询关键词对应的文本特征值[8-11],将该文本特征值所属的搜索结果(文本概述等信息以及文本所属的大类及子类)输出给网管人员,这样,与传统的关键词的搜索方式不同,由于可根据文本特征值进行搜索,搜索情况更接近文本的内容,每个文本可供搜索的内容更多,使用文本搜索更贴近文本内容。
四、测试与分析
通过模块层次图和数据流图的进一步设计,基于VC编程环境,本研究将设计的模型进一步在机器上实现,开发出IP化文本分类组织框架和基于文本内容的搜索。测试结果表明多聚类算法得出的第二文本组织框架与专家分类框架具有很大区分特征[8-11],文本分类的正确率达到了70%以上,基于内容的索引搜索效率很高,提高了文本管理人员查找文本的效率。
4.1 测试系统
对于中国运营商来说,3G的日益临近,网络IP化成为一种不可逆转的趋势。通过对现有网络进行IP化的改造来实现多网融合最终完成3G网络的建设已经成为国内外各大运营商的共识,IP化网络在核心网的比重越来越大。目前,对计算机IP网络的评估已经有一些研究成果及应用系统。但是,针对运营商中IP化网络具体特点,建立科学、可行的安全评估模型但成了摆在中国运营商面前的一个重要的问题,同时也是在地市公司在从事具体维护工作中不得不去思考的一个问题。
目前,对于IP网络的评估方法一般需要一些先验知识,如威胁出现的概率、无形资产赋值等,而准备获得这些数据是存在困难的,为此,已有的模糊、神经网络等方法建立的安全估计模型只能对于局部系统进行评价,且多局限的理论的说明,未能有一些全面的,可行的安全评估模型及可投入使用的评估系统的产生。因此,本产品希望从移动运营商IP化网络的运营实际出发,从技术、管理、安全意识等更加宏观的层面来审视安全评估问题,并依托省网管已经建立的“网络运营支撑平台”,建立基于粗糙集的IP化网络安全评估系统。
对于地市公司公司来说,随着公司网络集中化建设的进行,地市公司对IP网络的维护权限多停留在设备的维护方面,维护行为也多以被动实施为主,往往缺乏对自身网络安全性的科学及客观的把握。为此,该系统所采用的模型也从地市公司IP化网络的具体建设及维护实践出发,采用粗糙集的理论来建立网络的安全模型、采用粗糙集理论来分析网络各项安全因素的轻重关系,输出决策规则,建立IP网络下客户感知及网络质量的共同提升模型,从而建立起一套科学完善的IP网络评估算法,从而为地市公司从事IP化网络的建设和维护提供指导,变被动为主动,全面提升IP化网络建设与维护的有效性。
本文设计的文本挖掘模块作为该系统中重要的一个组成部分,对于IP化安全文的深入挖掘,实现IP化网络的安全保障起着重要的作用。对于粗糙集实现网络安全评估方面因为不是论文的主要内容。因此不作主要描述。本文重点描述了一种面向IP化网络文本挖掘模型在系统中的具体实现。
文本模块从文本导入、文本框架导入、聚类方法选择、文本聚类、文本分类、文本搜索和浏览等方面把模型中的主要功能分别在不同模块中实施。其中聚类方法选择模块中集成了K-means聚类算法、模糊C聚类算法、分层聚类算法和蚁群聚类算法,是模块中的核心部分。系统的模块层次如图7所示。
在系统的模型层次图的基础上,进一步设计研究了系统的数据流图,从数据输入层、数据预处理层、核心算法层、用户使用层等层面围绕文本组织框架为核心全面铺开。找出系统输入、处理、输出过程中的关键数据存储和逻辑处理,理清了内部逻辑的相互关系。系统的数据流图如图8所示。
4.2 系统相关模块的功能说明
在系统实现过程中,主要实现了如下几个模块:IP化网络安全文本数据导入模块、第一文本组织框架处理模块、多聚类算法模块、聚类结果匹配模块、以及文本组织框架生成模块,各模型具体功能如下:(1) IP化网络安全文本数据导入模块:用于导入IP化网络安全文本数据,分别输出至第一文本组织框架处理模块和多聚类算法模块;(2) 第一文本组织框架处理模块:用于对接收的文本进行分类整理,建立第一移动IP化网络文本组织框架,并将建立的第一移动IP化网络文本组织框架信息分别输出至聚类结果匹配模块及文本组织框架生成模块;(3)多聚类算法模块:用于根据预先设置的多聚类算法对接收的文本进行聚类,向聚类结果匹配模块输出聚类结果;(4) 聚类结果匹配模块:用于根据接收的第一移动IP化网络文本组织框架信息匹配来自多聚类算法模块的聚类结果,将与第一文本组织框架最为相似的聚类算法的聚类结果信息输出至文本组织框架生成模块;(5) 文本组织框架生成模块:用于根据接收的第一移动IP化网络文本组织框架信息以及聚类结果信息建立文本组织框架。
IP化网络安全文本数据导入模块、第一文本组织框架处理模块、多聚类算法模块、聚类结果匹配模块、以及文本组织框架生成模块等5模块具体逻辑关系如图9所示。
在实现过程中,该模块可以进一步包括如下可扩展模块:(1)文本分类模块,用于依据文本组织框架生成模块中存储的文本组织框架信息,对来自IP化网络文本数据导入模块的文本进行自动分类。(2)文本组织框架调整模块,用于接收来自文本分类模块的自动分类结果、以及来自第一文本组织框架处理模块对同批量文本的人工分类结果并进行比较,如果自动分类结果误差大于预先设定的阈值,按照人工分类结果调整文本组织框架生成模块存储的文本组织框架信息。(3)搜索和查询模块,用于接收来自外部的搜索关键词,发送至文本组织框架生成模块,将文本组织框架生成模块根据存储的文本组织框架信息查询得到的关键词对应的文本信息进行输出。
系统中各模块相互协同共同完成模型所要求的功能,流程如下:(1)IP化网络文本数据导入模块、第一文本组织框架处理模块、多聚类算法模块、聚类结果匹配模块、以及文本组织框架生成模块,其中,IP化网络文本数据导入模块,用于导入IP化网络文本数据,分别输出至第一文本组织框架处理模块和多聚类算法模块;(2)第一文本组织框架处理模块,主要有领域专家来完成,领域专家通过人工的方式来获取接收的文本信息中包含的关键词,根据关键词构造各文本的文本特征向量[8-11],利用文本特征向量对所述预先设定的样本量的IP化网络文本进行分类整理,建立第一IP化网络文本组织框架,并将建立的第一IP化网络文本组织框架信息分别输出至聚类结果匹配模块及文本组织框架生成模块;(3)多聚类算法处理模块,用于根据预先设置的多聚类算法对接收的文本进行聚类,向聚类结果匹配模块输出聚类结果;聚类结果匹配模块,用于根据接收的第一IP化网络文本组织框架信息匹配来自多聚类算法模块的聚类结果,将与第一文本组织框架最为相似的聚类算法的聚类结果信息输出至文本组织框架生成模块;(4)文本组织框架生成模块,用于根据接收的第一IP化网络文本组织框架信息以及聚类结果信息建立文本组织框架。
4.3 系统相关模块的功能说明
通过移动公司的IP化网络文本测试了本研究设计的功能模块,测试结果显示文本框架与专家分类框架具有很大区分特征,文本分类的正确率达到70%以上,基于内容的索引搜索效率很高,提高了文本管理人员查找文本的效率。
4.3.1 文本聚类测试结果分析
该部分通过文本聚类实现文本框架的形成。系统提供四种聚类方法的实现:K-means[7]、模糊C聚类、层次聚类、蚁群聚类算法;每种聚类之后,都将在下方的显示框中展示聚类的结果,也即文本组织框架。之后通过比较不同聚类的聚类结果,选出最优的聚类算法。
K-means[7]聚类算法可以调整三个参数:聚类数目、最大迭代次数、文档向量维数。现有文本专家聚类分为3类:IP承载网、全网业务、安全管理与网管支撑。
模糊C均值聚类算法可以调整五个参数:聚类数目、误差限、参数m、最大迭代次数、文档向量维数。其中参数m的调整范围为1.5~2.5。如图10所示。
其中K-means[7]聚类算法将文本通过迭代1000次,采用100个特征词提取出文档向量,分出第一类的文本数量为67,第二类的文本数量为2,第三类文本数量为1。如图11所示。
4.3.2 文本分类测试结果分析
该部分暂时无需选择路径,仅采用样本数据实现,因为专家分类文档没有经过聚类算法,提取不出特征值,无法作为分类;此环节耗时较长,可能需2-3分钟,各机器性能不一可能略有差别。
本部分工作的基础是使用上一步骤选取最优的聚类算法对所有文本进行聚类形成合理的文本组织框架并训练形成分类器。分类器形成后,就可以对新进入的文本进行分类,一般分类正确率在70%以上。
图12展示了对实验数据进行分类的结果,对34个文本进行分类,分类正确率达到80%。证明该文本框架所形成的分类器具有较好的分类能力。图中标红的文本本分到了错误的类别中了,其余是被正确分类的文本;分完后可以查看通过上面的选择查看单个文本分类情况,如图13。
4.3.3 文本搜索测试结果分析
本部分是基于前述文本组织框架的文本搜索模块,目前系统可供使用的检索词包括发文单位(集团、省公司、使公司)、文本类别(通知、申请、报告、自查报告、紧急通知等)、文件名(输入要找的关键词,系统将使用该关键词在所有文本的文件名中进行检索)、发文时间等。系统正在实现的功能是基于特征词的检索,在文本分词阶段每一个文本都被分成若干特征词所表示的向量,输入特征词就可以实现基于内容的检索,大大提高了检索的效率和准确度。
其中基于内容的特征词的搜索是一个创新,通过文本训练,提取出所有搜索范围内的文本的特征词,通过特征词的频率来确定不同文本的区别,如100维特征词的训练结果就将不同文本通过挑选出来的100个文本特征词的频率来表示,实现文本的向量化,如果某一特征词在文本中没有出现,则向量这个点上的取值为0。训练后的文本集就形成了一张二维表,一个维度是文本,一个维度是特征词,这个二维表是基于文本内容训练出来的,通过此二维表的特征词来搜索文本比其他几个维度效率更好,效果更好。
如图14所示,搜索范围选择IP化安全管理系统文件夹中的clusters文件夹(因为要基于特征词搜索需要有能提供特征词的文件夹)。
查询得到的文本可直接在检索结果栏中打开阅读。如图15所示。
公司网络安全管理办法范文3
一、信息安全应用研究――以未来项目“工业4.0”为例
信息通信技术渗透至生活和工作的每个领域。数字世界和现实世界的界限日益模糊,同时网络犯罪和网络间谍越来越专业化,传统的预防方式已不足以应对新情况,网络安全挑战越发严峻。特别是斯诺登事件爆发后,网络安全问题引起全球关注。
能否拥有可靠、安全的信息通信技术对德国经济至关重要。德国高技术战略的未来项目“工业4.0”(即“第四次工业革命”项目)具有典型意义。在“工业4.0”中,以往的界限都将消失,生产性信息技术、销售物流、零部件产业、商业信息技术等领域都将联系到一起。因此,信息技术系统将遇到许多新的挑战,病毒将可能攻击生产设备,不够安全的机器有可能被远程操控,给现实世界带来巨大损失。
在“工业4.0”中,设备和产品都将纳入智能的物联网中。这一网络范围越大、越具活力,就越有必要使每个系统(从每个组件到每个产品)都相互区别,明确确定其信息,并保证安全的相互交流。随着网络成为最重要的交流媒介,云计算成为中央系统,服务和人都需要更加安全可靠的身份证明。不仅必须保证交流的安全可靠,而且要在网络攻击情况下保持系统的长效安全可靠。对于德国高科技工业,特别是机械设备制造业的中小企业,采取有力措施应对经济间谍行为对它们的存亡至关重要。面对非法攻击,云端数据也应得到强有力的安全保障。
“工业4.0”中的所有要素,包括人、机器、生产设备、应用程序、产品和服务都会不断产生数据。只有保证数据的实时整合和高效分析才能优化资源和生产链。大数据给企业信息保护和个人隐私保护带来了无法回避的问题,同时也带来了机遇。
“工业4.0”中的工人是灵活的、全球性的和自主的,信息通信技术对于工人也应该灵活多样、更易于使用。这一要求给科研带来了挑战,包括移动网络的通信安全和更加安全的运营方案,例如在生产、维护、运营、物流等领域,移动终端设备如何在移动商务过程中实现更加安全可靠的融合。
二、“网络安全2020”研究议程
德国弗劳恩霍夫协会是欧洲最大的应用研究机构,在德国乃至欧洲信息安全研究中占据重要地位。它对德国国家网络安全研究议程“网络安全2020”提出了7项建议:
1.捍卫数字。
在信息安全这一核心领域,德国必须绝对独立,必须找出灵活的、第三方检测的安全解决方案,作为以信息通信技术为基础的基础设施的信任基石。不仅在信息通信技术这一关键领域,也要在跨领域的重大未来项目(如“工业4.0”和“互联网经济”)的服务中保证德国信息技术的独立。
2.信息安全应用研究。
信息安全研究必须保证实用性。要建立和运行同企业保持紧密合作的应用实验室,针对网络犯罪和网络间谍行为的系统解决方案的可行性进行实际研究和验证。
3.通过设计保护安全。
要保证产品、服务和解决方案在全生命周期的安全性。也就是从最开始就要考虑到安全问题,要促进各个组成系统的融合并明显提高安全性。
4.可由第三方检测。
为获得可信赖的安全,要支持研发新的技术方法,对组件、产品、服务和解决方案在全生命周期的安全性进行检查,并使已达到的安全性具有可证性。
5.通过设计保护隐私。
要同时保护经济、国家和个人隐私,应对网络犯罪和网络间谍行为,特别要考虑个人信息保护的重要意义,如客户信息对于经济发展的重要意义。必须通过适当办法,按照“通过设计保护隐私”原则预防非法网络入侵和信息滥用。
6.了解自身安全情况。
要高效及时地绘制自身安全形势图,使决策者能够就安全情况作出可靠评估,并为负责任、可持续的行为创造前提。
7.人性化的信息安全。
信息安全机制及方法应该人性化,应该具有良好的可用性,使研发人员、信息安全专家和普通人都能完成与安全相关的任务。
三、德国网络安全研究的机遇和需求
1.德国信息安全研究概况。
德国高校和研究机构对信息安全研究作出了杰出贡献,德国企业开展信息安全工作以满足顾客需求。国家自身支持信息安全研究,其重点是不安全环境中的安全研究、网络基础设施保护、嵌入式安全等。自2011年起,有3个信息安全能力研究中心先后成立。但是,德国明显缺乏更加贴近实际的信息安全应用研究,科研发展也没有持续跟上实际发展需求的脚步。在信息安全研究中,新兴应用领域不断产生,能源供应、交通、隐私保护等新兴应用领域引起社会广泛关注。在这些新兴应用领域,对信息安全仍甚少涉及,甚至在自动化、移动系统和云计算领域也缺少贴近实际的解决方案。
2.德国信息安全研究需求――加强应用研究。
“信息安全,德国制造”将为德国科研和经济带来巨大机遇。德国迫切需要使基础研究成果应用于实践,这具有四项重要意义。一是将基础研究成果转化成市场欢迎的产品。这样新兴应用领域才能从这些贴近实际并经过检验的解决方案中直接受益,这样信息安全将不再是障碍,而会在国际市场上为德国企业增彩。二是保护经济和公民。没有哪个生活领域可以脱离信息技术,许多新兴应用领域与信息技术密切相关,重要的基础设施、相互依赖的经济系统都必须通过安全可靠的信息安全系统来保护。三是降低损失。如果企业对信息技术基础设施保护不力,遭到网络攻击的风险就很大,这不仅会带来直接经济损失,还会导致难以估量的名誉损失。四是提升国际竞争力。德国在信息安全基础研究方面享有很高声望,在信息安全、自动化、数据保护、能源供应等领域处于领先地位。鉴于国际信息技术和安全市场不断发展,未来竞争越发激烈,有必要不断促进应用研究,为在国际市场保持领先地位创造必要条件,并在尚未完全发展起来的领域中抢占先机。
四、研发需求
为保持德国的技术和独立,保持德国的创新地位,弗劳恩霍夫协会建议特别关注以下研究主题。
1.云安全。
云计算是信息技术资源的下一次革命,硬件和软件向云端转移将成为新的信息技术范式。借助云计算,企业能够大幅降低成本。由于许多潜在用户对云安全有所顾虑,导致拒绝使用云技术,云安全研究势在必行。其研究重点应包括安全规则建模、用于安全规则建模和可信评测的衡量标准、云端环境的认证信息管理、云计算中心威胁评估模型、安全虚拟环境机制、隐私保护技术、信任与策略管理、固定设备和移动设备通过云设施的安全同步、高度敏感信息的云利用模式和方法、云端恶意软件的识别和处理、云服务供应商审核控制机制等。
2.信息物理融合系统(CPS)。
信息物理融合系统是嵌入式系统,借助传感器或制动器来评估和储存信息,通过网络连接和人机接口实现交流。信息物理融合系统用于数据和信号加工,已广泛应用于航空航天、汽车制造、化工、能源、医疗卫生、生产及自动化、物流、终端服务等领域。随着其性能的增强和联网程度的提高,迫切需要新的技术和方法满足它在安全和保护上的需求。其研究重点包括网络化智能交互技术的安全、特殊密码程序和安全技术、软硬件结合的安全机制、受到攻击时的紧急应对、安全等级标准检测方法、分布式智能传感机制等诸多问题。
3.数据保护和隐私管理。
个人信息非法交易问题日益凸显,许多大公司,如银行和通讯公司,都遭遇到了这样的问题,这不仅损害公司形象,而且导致经济损失。个人信息保护已成为科研与社会的核心话题。
4.能源生产和供应。
能源互联网是极其重要的基础设施,智能电网的发展要求必须注意新的风险。从电力生产者、储存者、电网到终端用户的相互联系,再到管控,智能电网意味着各环节之间存在更多的交流,也会产生更多的未知风险。该领域的研究重点是实现智能电网的建立和保证智能电网的安全。
5.预警系统。
随着网络的发展,各种恶意软件不断出现,信息系统运营者已很难及时告知新的威胁并予以保护。使用信息预警系统及早应对网络意外情况至关重要,在这方面还有很多问题有待解决,例如新兴应用领域预警系统、僵尸网络问题。
6.工业生产和自动化。
工业自动化技术是工业化国民经济良好运行的支柱,信息安全是信息技术融入生产设备的基石。
7.信息技术取证。
网络作案者会留下痕迹。信息技术取证的任务就是发现、确定并分析这些痕迹。主要研究任务包括:研发可针对各种媒体类型自动高效识别禁止内容的程序以及在删除信息后从信息碎片中识别禁止内容的程序;对大数据快速分类以及在大数据中快速自动检索图片和视频内容的办法。
8.交通信息技术安全。
越来越多的汽车功能通过软件实现。汽车联网并且车联网将逐渐对外开放,既会给汽车制造商、供应商和服务商带来许多安全问题,又带来了新市场和新机遇。
9.媒体安全。
数字化媒体涉及影片、音乐、有声读物和电子书,重点要进行版权保护和防操纵保护。
10.网络安全。
网络与日常生活密不可分,人们日益重视网络安全问题。保证交流基础设施的安全意味着保护网络基础设施技术,保护通讯服务的连通性、延伸性和可用性,研发可对攻击和安全漏洞进行识别和分类的支持方法。
11.预防盗版。
对产品、设备和设计的盗版不仅会给企业带来巨大的损失,也会给消费者带来安全和质量隐患,在机械制造和电子技术方面尤其如此。因此急需考虑整个产品研发和产品生命周期内预防盗版的方法和工具。
12.物理嵌入式网络安全。
物理嵌入式网络安全是把物理世界和信息世界联系起来保护两者安全。它意味着免受非法攻击,也意味着面对意外和系统违规操作时提供安全保护。其研究重点在于信息世界和物理世界以及两者间节点的安全保护、信息世界和物理世界相互联系的建立与协调。
13.安全工程学。
许多信息技术产品存在安全缺陷。从产品的设计和研发阶段就开始考虑安全问题并将它延展至产品的整个生命周期,对于企业具有战略性意义。
14.安全的移动系统。
智能手机、平板电脑等移动设备越来越受欢迎,逐渐成为网络攻击目标。如果没有特定的保护措施,移动设备更容易受到攻击,并且其影响范围远大于固定设备。
15.预防旁路攻击和故障攻击。
随着越来越多的事物网络化,旁路攻击明显增加。采取保护措施保证长期的密码信息安全十分必要,这样也可以有效处理潜在攻击。
16.安全管理。
在信息技术应用领域,信息安全管理面临巨大挑战。在云环境、生产基础设施以及由信息系统控制的重要基础实施中急需一体化的安全管理解决方案。研究需求主要包括新兴应用领域和新兴技术领域的风险管理方法、一体化信息安全管理系统、跨组织安全管理办法研究等。
17.可信系统。
公司网络安全管理办法范文4
一、网络安全人才队伍建设的重要性
(一)网络安全人才是保障经济安全的基础
由于信息网络技术的迅速普及, 经济发展与信息技术的发展息息相关, 在生产、分配、消费的每一个环节中都伴随着信息的获取、加工、传输、储存。世界各地的企业利用网络来发现新市场,开拓新产业,在全球范围内加速了商品和服务贸易,有力地促进了全球经济发展。我国各行各业对信息网络系统的依赖程度越来越高, 越来越多的公共服务、商业和经济活动基础设施与互联网相连,这种高度依赖性将使经济变得十分“脆弱”。一旦信息网络系统受到攻击, 不能正常运行或陷入瘫痪时, 就会使整个经济运行陷入危机。而且网络犯罪对各国经济安全造成的危害难以估量,规模庞大的全球黑客产业链和地下经济吞食着各国经济利益。保障经济安全需要加强安全管理,安全管理的关键是网络安全人才的培养和储备。
(二)我国网络空间安全形势非常严峻
根据国家互联网应急中心的数据,中国遭受境外网络攻击的情况日趋严重,主要体现在两个方面:一是网站被境外入侵篡改,二是网站被境外入侵并安插后门。2012年网站被植入后门等隐蔽性攻击事件呈增长态势,网站用户信息成为黑客窃取重点。2012年,国家互联网应急中心共监测发现我国境内52324个网站被植入后门,较2011年月均分别增长213.7%和93.1%。2013年前两个月,境外6747台木马或僵尸网络控制服务器控制了中国境内190万余台主机,境外5324台主机通过植入后门对中国境内11421个网站实施远程控制,我国网络银行和工业控制系统安全受到的威胁显著上升。发起网络攻击的既可能是国家,也可能是、网络犯罪集团、商业机构、个体网民等“非国家行为体”,网络安全威胁日益增加,需要大量的网络信息安全人才应对威胁。
(三)全球已经进入网络战争时代
网络空间正在成为军事战略的重要资源,伴随着世界军事网络的发展步伐,网络技术的军事运用呈现“井喷”之势,“网军”已经整装待命。2009年,网络安全公司麦克菲报告称,全球已经进入网络战争时代。在信息战的大背景下,数千年沿袭下来的“短兵相接”战争局面将不再重要,网络成为实现国家安全利益的重要利器,爆发网络空间冲突的可能性在加大。2010年底,名为“震网”的蠕虫病毒曾袭击了伊朗核设施的电脑网络,这被认为是美国开展网络战的重要实践。2012年伊朗遭受名为“火焰”的网络病毒袭击后,以色列国防部长巴拉克高调宣布将“网络战”作为攻击手段,以色列的证交所、银行也曾多次遭遇来自阿拉伯国家的网络袭击。各国政府迫切需要受过专门训练的人才,对抗网络军事入侵,并维护国家网络安全。
二、我国互联网安全人才队伍建设存在的问题和原因
(一)问题
1、精通信息安全理论和核心技术的尖端人才缺乏
目前,我国网民数量超过5亿,互联网应用规模达到世界第二位,已成为互联网大国。但整体上看,我国难以称得上是互联网强国,在互联网产业的硬件、软件、网络模式等方面均处于劣势,主流产品依赖国外进口,基础信息骨干网络70%—80%设备来自于思科,几乎所有超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科掌握。主流核心产品提供商中,外资企业或外资控制的企业占据主导地位,特别是第一代互联网(IPv4)的13台根服务器主要由美、日、英等国家管理,中国没有自己的根服务器,网络信息安全面临着严重威胁。我国主导信息安全问题较为困难,互联网信息安全防范能力,远低于欧美等发达国家。主流产品对国外公司的依赖源于我国自主研发能力弱,缺乏掌握核心技术的高端互联网产业人才。
2、互联网信息安全人才供需不平衡
国际数据公司的报告显示,到2013年,全球新增的IT工作职位将达到580万个,仅在亚太地区就将新增280万个岗位,其中安全方面的投入和人才需求占有较大的比例。2012年11月底,工信部中国电子信息产业发展研究院数据显示,我国共培养信息安全专业人才约4万多人,与各行业对信息安全人才的实际需求量之间存在50万人的差距。与全球对信息安全人才的需求相比,我国面临着巨大的缺口,网络安全人才需求更为紧迫。高等院校中优秀的信息安全师资力量缺乏,高校对于信息安全教学人才非常渴求,这些现状都反映社会需求与人才供给间还存在着巨大差距,人才问题已经成为当前制约信息安全产业发展的主要瓶颈。
3、信息安全人员综合素质有待提高
任何一种安全产品所能提供的服务都是有限的,也是不全面的,要有效发挥操作系统、应用软件和信息安全产品的安全功能,需要专业信息安全人员的参与,并发挥主要作用。但目前信息安全人员多数为其他岗位人员兼任,且非信息安全专业人才,通常是在进入岗位后根据职能要求,逐步熟悉、掌握信息安全技术知识,虽然具备了一定的信息安全技术与管理能力,但普遍存在安全知识零散、管理不成体系等先天性不足。在当今飞速发展的信息安全领域,非专职信息安全人员在忙于众多事务管理的同时,难以持续关注、跟踪最新的信息安全技术发展趋势和国家、行业的政策、规范、标准等最新要求及实施情况,缺乏知识储备和经验积累,造成缺乏懂技术、会管理和熟悉业务的信息安全人才。
(二)原因
1、信息安全学科人才培养体系还不完善
我国已把信息安全人才培养作为信息安全保障体系的重要支撑部分,尤其把培养高等级人才、扩大硕士博士教学放在重要方面。教育部共批准全国70所高校设置了80个信息安全类本科专业。但是信息安全专业起步较晚,培养体系跟别的学科和行业还有差距,人才培养计划、课程体系和教育体系还不完善,实验条件落后,专业课程内容稍显滞后,专业教师队伍知识结构需不断更新,信息安全人才缺少能力培养。急迫需要国家政策支持信息安全师资队伍、专业院系、学科体系、重点实验室建设。
2、网络信息安全人才认证培训不规范
我国对网络安全人才的培养主要是通过学历教育和认证培训两种方法,网络安全技术人才的培训和认证主要有IT行业的CISP认证、NCSE认证等,培养网络安全员和网络安全工程师。这对弥补基础网络安全人才不足,培养应用型人才较为实用,但IT行业培训和认证常缺乏必要的计算机理论基础和系统性知识,小批量、短期的培训往往形不成规模,仍无法填补网络安全人才的巨大缺口。
3、信息安全组织架构不健全
信息安全是在信息化进程中快速发展起来的,但在信息技术快速发展与信息安全知识快速更新的情况下,由于在政府部门、企事业单位中信息安全组织架构不健全,未能完成信息安全人才的培养与储备。造成当前信息安全人才与实际信息安全工作技能要求的脱节,以及部分领域信息安全人才的缺失,信息安全保障工作难以落地。
4、信息安全人才缺乏激励机制
信息安全保障工作的后台性使信息安全管理人员的工作绩效得不到完整的体现,在实际工作中甚至遇到其他业务管理人员的不理解或不配合,造成真正的人才反而评价不高。由于缺乏有效的激励机制与人才评价机制,挫伤了人才的积极性。
三、网络信息安全人才队伍建设政策建议
(一)制定网络空间安全人才规划
国家制定《互联网空间安全人才战略规划》,明确战略目标和战术目标,增强公众网络行为风险意识,扩大支持国家网络安全人才储备,开发和培养一支国际顶尖的网络安全工作队伍,建立一个安全的数字化中国;启动《国家网络空间安全教育计划》,期望通过国家的整体布局和行动,在信息安全常识普及、正规学历教育、职业化培训和认证三方面开展系统化、规范化的强化工作,来全面提高我国信息安全能力;制定《网络空间安全人才队伍框架》,统一规范网络空间安全人才专业范畴、职业路径,及其岗位能力和资格认证等。
(二)健全网络信息安全组织架构
网络信息安全涉及网络、主机、应用、数据等多方面,管理要素多、专业性强,组织开展信息安全保障工作需要建立一套完整的信息安全组织架构体系。在各级政府机关、企事业单位组织架构中应成立专职的信息安全主管部门,负责编制信息安全规划,指导信息安全建设,制定信息安全总体策略,监督检查信息安全管理与技术防护情况。各业务部门应配备兼职或专职信息安全员,负责本部门业务应用中的信息安全保障工作。同时还应根据不同岗位要求着力培养信息安全人才,特别是懂业务、经验丰富的高端技术与管理人才。
(三)构建网络安全治理体系
构建网络安全治理体系是确保各项规范、标准和制度落地的重要保障。网络安全治理体系包括安全管理体系和安全技术体系。安全管理体系明确各部门在网络安全规划、建设、运行维护和改进完善等阶段的工作任务、要求和责任。安全技术体系根据网络安全涉及的不同环节从网络、主机、数据、应用等方面实施相应的安全技术措施。针对不同岗位要求选择合适的人才,在确保合规性的基础上,根据需求,引入外部力量提供专业化的安全技术支撑,弥补现有人才数量与结构的不足。
(四)推动产学研相结合培养网络安全人才模式
以企业需求为导向,大力推动产学研相结合的培养模式。借助企业中的国家级和部级重点实验室、国家级科研项目等科研平台,使得优秀学生能够随时随地直接参与各类科研项目;让本科生和研究生进入实习实训基地,为培养动手能力很强的一流信息安全人才提供良好条件;将教学任务融入到科研工作之中,以科研项目的形式来建设信息安全本科教育专业实验室。在信息安全实践过程中培养技术人才,培养学生具有较强的综合业务素质、创新与实践能力、法律意识、奉献精神、社会适应能力,形成能够满足各方面需求的信息安全人才就业体系。
(五)形成完整网络安全人才培育体系
要建立并完善以高等学历教育为主,以中等职业教育、业余培训、职业培训和各种认证培训为辅的网络安全人才培养体系。加强信息安全学科的重要性是保障人才培养的第一步,应该把信息安全学科提升为一级学科。政府在认证培训方面加强立法,立法内容应该涉及到认证培训的教学体系和内容,培训时间和考试管理办法,还应该规定哪些岗位的人员必须持什么样的证书,以及接受培训人员的管理等。
(六)加大网络安全人才培养项目投入
1、推动各种网络安全人才计划
从2010年开始,教育部就启动了“卓越工程师教育培养计划”,旨在造就一大批创新能力强、适应经济社会发展需要的高质量各类型工程技术人才。应继续加大在这方面人才计划的投入力度和支持范围。
2、扩大奖学金资助范围
推动“信息安全保障奖学金计划”,选拔优秀网络安全人才纳入资助培养计划,资助信息安全专业的本科生与研究生,并在其毕业后安排至关键岗位工作。建立网络安全“生态系统”概念,人才从娃娃抓起,网络安全要进入中小学教学课程,积极向中小学拓展信息网络安全教育,提升中学生对于网络安全的认知,为选拔网络人才打下坚实基础。
3、营造网络竞争与对抗氛围
政府联合地方部门或企业,举办网络攻防竞赛与对抗演习,通过实战化竞争来甄选、培养、锻炼未来的网络安全精英。主要有4种方式:直接组织的网络公开赛,企业出资赞助的高校网络联赛,军方直接组织网络演习,推出网络快速追踪计划,甄选民间优秀网络人才,以签订商业合同的方式,让网络攻防技能出色的小企业和个人参与其短期项目,从而将民间网络黑客力量也纳入其网络人才队伍。
4、加大互联网安全基础研究投入
目前信息产业正处于技术变革的前沿,大数据时代即将到来,并可能带来新的经济繁荣周期。我国应该加大对信息产业的投入,特别是增加相关基础研究的投入,大力培养互联网信息安全人才,发展具有自主知识产权的软件与计算机硬件研发,创新机制支持新技术应用,为确保我国未来网络信息安全提供技术支撑。
(七)完善激励和培训制度,激发工作积极性
公司网络安全管理办法范文5
1当前国有大型企业信息化管理体系安全现状和差距
1.1信息化管理体系安全现状
当前,一些国有大型企业的信息安全建设,有效保障了内部网络的安全性和保密性,并形成了一套相关信息的安全管理制度,为后续信息系统安全体系的完善和发展奠定了坚实基础。1.1.1安全基础设施和系统信息基础设施的安全是信息安全的基础,目前企业已在物理层、网络层和桌面系统加固与监控这3个方面,建设了一系列网络安全防护设备,完善了企业的信息安全系统。1.1.2安全管理和制度信息安全管理制度是信息安全技术真正发挥作用的保证,企业已将信息安全管理作为信息化管理的主要内容之一,实施信息安全分类管理。在信息分类管理中制定了一系列管理制度、流程和标准,确保信息安全管理的有效和规范。同时,将信息安全管理纳入各项安全管理工作,在财务管理、HES管理等重要业务管理中强化信息安全管理。由此可见,企业在信息化安全建设方面已做出巨大努力,但距离建立一套完整可用的信息安全体系的目标还存在一定差距。
1.2信息化管理体系安全问题的差距
部分企业虽然已经建立了专门的信息安全组织,制定了一些管理制度,部署的信息安全基础设施也能提供基本的网络安全性保障,但信息安全组织还不健全,信息标准的范围和执行力度薄弱,未制定针对信息系统等级保护的相关制度,没有部署上网行为管理系统等安全设备,缺少与信息管理、信息质量管理有关的规范,如各类编码标准,信息质量控制流程等。因此,需要进一步制定、完善统一的信息管理制度和信息标准,依托强有力的技术手段,支撑信息化管理体系,并对标准执行建立相应的监督考核机制。
2企业信息化管理体系安全优化策略
2.1完善信息化制度管理体系
企业的信息化建设要采用制度化管理方法,通过制定企业信息系统相关的安全管理制度,做好服务器和数据库系统的安全管理工作,保障企业珍贵数据资源安全。同时还要加强网络舆情管理、企业机房管理、计算机现场管理及服务器相关管理制度建设,以及通信、网络和信息系统相关应急预案等制度建设,规范网络、服务器管理人员以及终端用户的行为,逐步完善信息化制度管理体系。
2.2建立信息化安全管理体系
信息系统安全建设不仅是安全模块功能的实现,还是一个整合的安全体系。信息安全是保护信息免受各种威胁和损害,确保业务的连续性,使业务风险最小化,投资回报和商业机遇最大化。信息安全是组织的一个业务问题,需要管理层的承诺和支持,还需要企业安全文化和运营流程作保障。
2.3建立信息化流程管理体系
信息安全管理流程首先要提升全体员工的信息安全意识、技能培训和专业教育,然后对信息安全进行风险管理,要进行需求分析、控制实施、运行监控和响应恢复4个步骤,最后是信息安全监督检查和改进,通过检查和改进进一步提升员工的信息安全意识,形成闭环管理,如图1所示。
2.4通过信息化技术支撑管理体系
为保障以安全可靠为核心的信息化管理体系的运行正常,有必要利用信息化技术给其最有效的支撑。2.4.1上网行为管理上网行为管理的主要目的是有效规范员工上网行为,助力构建企业安全、和谐、稳定的生产经营环境,其原则是“事前预防,事后溯源”。事前预防就是要做到事前制订安全防范策略,最大限度保证机密数据和有害信息不由公司网络流向社会。事后溯源就是要记录每台内部计算机与互联网的信息交互内容,发生问题后迅速准确地定位到问题源头,做到有据可查,能追本溯源。2.4.2端点防护建立企业级的端点防护系统,对终端实现安全合规性检查和控制,加强策略管理。使用总体安全策略与本地自定义安全策略相结合的方式,在大规模部署端点防护系统的前提下,提升防病毒等安全管理系统的安装率,促进网络安全的综合治理和改善。2.4.3端点准入控制可采用VRV系统作为端点准入控制的手段。端点准入控制包括对公司内网计算机,也包括由VPN接入的外网计算机。VRV强化了对网络计算机终端状态、行为以及事件的管理,提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能,对它们管理的盲区进行监控,扩展成为一个实时可控的内网管理平台,并能同其他安全设备进行安全集成和报警联动。2.4.4身份认证管理通过加强身份认证管理,实现用户通过使用USBKey实现单点登录,更为方便和安全地访问应用系统,集中实现应用系统用户帐号的电子化流程管理,并与员工HR信息的变化联动,提高应用系统账号管理的时效性,加强账号管理力度,身份认证管理流程如图2所示。2.4.5安全域根据安全需求强度的不同,可将安全域划分为不同层次,要有针对性的采取安全控制和防护策略,针对信息系统网络的网络结构、数据流通模式以及安全防护需求,可将整体网络划分为3个安全域:核心安全域、接入安全域、边界安全域。2.4.6边界隔离网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。跨边界的攻击种类繁多、破坏力强,边界防护解决方案可彻底解决以上问题。企业边界防护方案由防火墙、入侵防御系统、物理隔离网关组成。关键路径上部署独立的具有深度检测防御的IPS(入侵防御系统)。深度检测防御是为了检测计算机网络中违反安全策略的行为。使用IPS系统可以滤出DDOS攻击,间谍软件、BitTorrent数据流、钓鱼攻击等几十类近100万种攻击类型。2.4.7流量控制和审计流量控制和审计方案主要涉及两个方面,一是对流量的深度检测和带宽控制,二是对用户访问的网站进行海量筛查。通过这两个手段在主观或客观上都能防止网络用户的不良行为,避免网络性能和安全性受到负面影响。2.4.8访问控制列表访问控制列表(ACL)是为了阻止部分用户不能访问另一部分用户或者服务而提出的。访问控制列表通常应用于路由器或者三层交换机上,能阻止或允许某些网段的用户访问资源,也能阻止或允许某个用户访问资源。2.4.9网络设备安全管理(1)网络设备登录安全通过用户状态进行存取控制,保证设备控制安全。限制SNMP和Telnet的用户访问。(2)网络设备日志记录对于网络安全,不仅要关注网络的事前防范能力,还要充分考虑事后跟踪能力,在安全事件发生前后,可通过对用户上网端口、时间、访问地的记录,全面追溯用户上网的状态,从而为后期分析提供第一手资料。(3)路由信息安全路由协议的安全管理主要通过路由信息交换的认证来保证。启用PassiveInterface命令后,该接口的网段路由可以照常出去,但该接口不会再收发OSPF协议报文,也就不会再与任何其他路由设备建立邻居关系,从而避免路由泄露。2.4.10专网企业可按照国家保密局、中办机要局要求及国家相关标准建设办公专网,通过验收用于处理国家秘密及以下级别的文件和信息,供企业员工日常办公使用。该网与互联网物理隔离,并利用安全保密设备提高网络和数据传输的安全性,与其他相关企业可采用专线方式单点连接。企业办公专网的网络架构如图3所示。
2.5建立信息化考核评价管理体系
企业信息化流程管理系统评价体系可包含信息化建设有关的基础管理内容及建立在此基础上的资源、信息、程序、过程等要素管理。从信息化过程监控和改善来看,通过考核评价体系建立一组有效描述信息化建设与运行过程情况的信息,帮助公司识别相关技术和管理的不足,逐步改善公司的信息化过程,达到持续改进的目标。
2.6建立信息化队伍管理体系
成立由公司领导班子成员、机关部门、基层单位主要领导组成的信息化领导小组,决策公司信息化建设中的重大问题,指导信息化项目建设;依托公司信息化工作的归口管理部门,负责制订企业信息化发展规划,负责信息化工作的有关政策、管理办法、技术标准和工作规范的制订,并组织实施和检查等工作。同时,注重对企业员工的专业培训,采取激励措施,培养一支高素质阶梯化专业人才队伍。
3结语
公司网络安全管理办法范文6
关键词:中小型企业;信息网络安全;网络安全架构
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中图分类号:TN915.08文献标识码:A文章编号:2095-2104(2013)
1、中小型企业网络安全问题的研究背景
随着企业信息化的推广和计算机网络的成熟和扩大,企业的发展越来越离不开网络,而伴随着企业对网络的依赖性与日俱增,企业网络的安全性问题越来越严重,大量的入侵、蠕虫、木马、后门、拒绝服务、垃圾邮件、系统漏洞、间谍软件等花样繁多的安全隐患开始一一呈现在企业面前。近些年来频繁出现在媒体报道中的网络安全案例无疑是为我们敲响了警钟,在信息网络越来越发达的今天,企业要发展就必须重视自身网络的安全问题。网络安全不仅关系到企业的发展,甚至关乎到了企业的存亡。
2 、中小型企业网络安全的主要问题
2.1什么是网络安全
网络安全的一个通用定义:网络安全是指网络系统中的软、硬件设施及其系统中的数据受到保护,不会由于偶然的或是恶意的原因而遭受到破坏、更改和泄露。系统能够连续、可靠地正常运行,网络服务不被中断。网络安全从本质上说就是网络上的信息安全。广义地说,凡是涉及网络上信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性的相关技术和理论,都是网络安全主要研究的领域。
2.2网络安全架构的基本功能
网络信息的保密性、完整性、可用性、真实性(抗抵赖性)和可控性又被称为网络安全目标,对于任何一个企业网络来讲,都应该实现这五个网络安全基本目标,这就需要企业的网络应用架构具备防御、监测、应急、恢复等基本功能。
2.3中小型企业的主要网络安全问题
中小型企业主要的网络安全问题主要体现在3个方面.
1、木马和病毒
计算机木马和病毒是最常见的一类安全问题。木马和病毒会严重破坏企业业务的连续性和有效性,某些木马和病毒甚至能在片刻之间感染整个办公场所从而导致企业业务彻底瘫痪。与此同时,公司员工也可能通过访问恶意网站、下载未知的资料或者打开含有病毒代码的电子邮件附件等方式,在不经意间将病毒和木马带入企业网络并进行传播,进而给企业造成巨大的经济损失。由此可见,网络安全系统必须能够在网络的每一点对蠕虫、病毒和间谍软件进行检测和防范。这里提到的每一点,包括网络的边界位置以及内部网络环境。
2、信息窃取
信息窃取是企业面临的一个重大问题,也可以说是企业最急需解决的问题。网络黑客通过入侵企业网络盗取企业信息和企业的客户信息而牟利。解决这一问题,仅仅靠在网络边缘位置加强防范还远远不够,因为黑客可能会伙同公司内部人员(如员工或承包商)一起作案。信息窃取会对中小型企业的发展造成严重影响,它不仅会破坏中小型企业赖以生存的企业商誉和客户关系。还会令企业陷入面临负面报道、政府罚金和法律诉讼等问题的困境。
3、业务有效性
计算机木马和病毒并不是威胁业务有效性的唯一因素。随着企业发展与网络越来越密不可分,网络开始以破坏公司网站和电子商务运行为威胁条件,对企业进行敲诈勒索。其中,以DoS(拒绝服务)攻击为代表的网络攻击占用企业网络的大量带宽,使其无法正常处理用户的服务请求。而这一现象的结果是灾难性的:数据和订单丢失,客户请求被拒绝……同时,当被攻击的消息公之于众后,企业的声誉也会随之受到影响。
3如何打造安全的中小型企业网络架构
通过对中小型企业网络存在的安全问题的分析,同时考虑到中小型企业资金有限的情况,我认为打造一个安全的中小型企业网络架构应遵循以下的过程:首先要建立企业自己的网络安全策略;其次根据企业现有网络环境对企业可能存在的网络隐患进行网络安全风险评估,确定企业需要保护的重点;最后选择合适的设备。
3.1建立网络安全策略
一个企业的网络绝不能简简单单的就定义为安全或者是不安全,每个企业在建立网络安全体系的第一步应该是定义安全策略,该策略不会去指导如何获得安全,而是将企业需要的应用清单罗列出来,再针对不同的信息级别给予安全等级定义。针对不同的信息安全级别和信息流的走向来给予不同的安全策略,企业需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。对关键数据的防护要采取包括“进不来、出不去、读不懂、改不了、走不脱”的五不原则。
“五不原则”:
1.“进不来”——可用性: 授权实体有权访问数据,让非法的用户不能够进入企业网。
2.“出不去”——可控性: 控制授权范围内的信息流向及操作方式,让企业网内的商业机密不被泄密。
3.“读不懂”——机密性: 信息不暴露给未授权实体或进程,让未被授权的人拿到信息也看不懂。
4.“改不了”——完整性: 保证数据不被未授权修改。
5.“走不脱”——可审查性:对出现的安全问题提供依据与手段。
在“五不原则”的基础上,再针对企业网络内的不同环节采取不同的策略。
3.2 信息安全等级划分
根据我国《信息安全等级保护管理办法》,我国所有的企业都必须对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。具体划分情况如下:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
因此,中小型企业在构建企业信息网络安全架构之前,都应该根据《信息安全等级保护管理办法》,经由相关部门确定企业的信息安全等级,并依据界定的企业信息安全等级对企业可能存在的网络安全问题进行网络安全风险评估。
3.3 网络安全风险评估
根据国家信息安全保护管理办法,网络安全风险是指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发生所造成的可能性影响。网络安全风险评估就是指依据有关信息安全技术和管理标准,对网络系统的保密性、完整想、可控性和可用性等安全属性进行科学评价的过程。
网络安全风险评估对企业的网络安全意义重大。首先,网络安全风险评估是网络安全的基础工作,它有利于网络安全的规划和设计以及明确网络安全的保障需求;另外,网络安全风险评估有利于网络的安全防护,使得企业能够对自己的网络做到突出防护重点,分级保护。
3.4确定企业需要保护的重点
针对不同的企业,其需要保护的网络设备和节点是不同的。但是企业信息网络中需要保护的重点在大体上是相同的,我认为主要包括以下几点:
1.要着重保护服务器、存储的安全,较轻保护单机安全。
企业的运作中,信息是灵魂,一般来说,大量有用的信息都保存在服务器或者存储设备上。在实际工作中,企业应该要求员工把相关的资料存储在企业服务器中。企业可以对服务器采取统一的安全策略,如果管理策略定义的好的话,在服务器上文件的安全性比单机上要高的多。所以在安全管理中,企业应该把管理的重心放到这些服务器中,要采用一切必要的措施,让员工把信息存储在文件服务器上。在投资上也应着重考虑企业服务器的防护。
2.边界防护是重点。
当然着重保护服务器、存储设备的安全并不是说整体的防护并不需要,相反的边界防护是网络防护的重点。网络边界是企业网络与其他网络的分界线,对网络边界进行安全防护,首先必须明确到底哪些网络边界需要防护,这可以通过网络安全风险评估来确定。网络边界是一个网络的重要组成部分,负责对网络流量进行最初及最后的过滤,对一些公共服务器区进行保护,VPN技术也是在网络边界设备建立和终结的,因此边界安全的有效部署对整网安全意义重大。
3.“”保护。
企业还要注意到,对于某些极其重要的部门,要将其划为,例如一些研发部门。类似的部门一旦发生网络安全事件,往往很难估量损失。在这些区域可以采用虚拟局域网技术或者干脆做到物理隔离。
4.终端计算机的防护。
最后作者还是要提到终端计算机的防护,虽然对比服务器、存储和边界防护,终端计算机的安全级别相对较低,但最基本的病毒防护,和策略审计是必不可少的。
3.5选择合适的网络安全设备
企业应该根据自身的需求和实际情况选择适合的网络安全设备,并不是越贵越好,或者是越先进越好。在这里作者重点介绍一下边界防护产品——防火墙的性能参数的实际应用。
作为网络安全重要的一环,防火墙是在任何整体网络安全建设中都是不能缺少的主角之一,并且几乎所有的网络安全公司都会推出自己品牌的防火墙。在防火墙的参数中,最常看到的是并发连接数、网络吞吐量两个指标.
并发连接数:是指防火墙或服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。由于计算机用户访问页面中有可能包含较多的其他页面的连接,按每个台计算机发生20个并发连接数计算(很多文章中提到一个经验数据是15,但这个数值在集中办公的地方往往会出现不足),假设企业中的计算机用户为500人,这个企业需要的防火墙的并发连接数是:20*500*3/4=7500,也就是说在其他指标符合的情况下,购买一台并发连接数在10000~15000之间的防火墙就已经足够了,如果再规范了终端用户的浏览限制,甚至可以更低。
网络吞吐量:是指在没有帧丢失的情况下,设备能够接受的最大速率。随着Internet的日益普及,内部网用户访问Internet的需求在不断增加,一些企业也需要对外提供诸如WWW页面浏览、FTP文件传输、DNS域名解析等服务,这些因素会导致网络流量的急剧增加,而防火墙作为内外网之间的唯一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。因此,考察防火墙的吞吐能力有助于企业更好的评价其性能表现。这也是测量防火墙性能的重要指标。
吞吐量的大小主要由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。因此,大多数防火墙虽号称100M防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算,因此吞吐量可以达到线性90-95M,才是真正的100M防火墙。
从实际情况来看,中小型企业由于企业规模和人数的原因,一般选择百兆防火墙就已经足够了。
3.6投资回报率
在之前作者曾提到的中小企业的网络特点中资金少是最重要的一个问题。不论企业如何做安全策略以及划分保护重点,最终都要落实到一个实际问题上——企业网络安全的投资资金。这里就涉及到了一个名词——投资回报率。在网络安全的投资上,是看不到任何产出的,那么网络安全的投资回报率该如何计算呢?
首先,企业要确定公司内部员工在使用电子邮件和进行WEB浏览时,可能会违反公司网络行为规范的概率。可以将这个概率称为暴光值(exposure value (EV))。根据一些机构对中小企业做的调查报告可知,通常有25%—30%的员工会违反企业的使用策略,作者在此选择25%作为计算安全投资回报率的暴光值。那么,一个拥有100名员工的企业就有100x 25% = 25名违反者。
下一步,必需确定一个因素——当发现单一事件时将损失多少人民币。可以将它称为预期单一损失(single loss expectancy (SLE))。由于公司中的100个员工都有可能会违反公司的使用规定,因此,可以用这100个员工的平均小时工资作为每小时造成工作站停机的预期单一最小损失值。例如,作者在此可以用每小时10元人民币作为预期单一最小损失值。然后,企业需要确定在一周的工作时间之内,处理25名违规员工带来的影响需要花费多少时间。这个时间可以用每周总工作量40小时乘以暴光值25%可以得出为10小时。这样,就可以按下列公式来计算单一预期损失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企业要确定这样的事情在一年中可能会发生多少次。可以叫它为预期年均损失(annualized loss expectancy (ALE))。这样的损失事件可能每一个星期都会发生,一年有52周,如果除去我国的春节和十一黄金周的两个假期,这意味着一个企业在一年中可能会发生50次这样的事件,可以将它称之为年发生率(annual rate of occurrence (ARO))。预期的年均损失(ALE)就等于年发生率(ARO)乘以预期单一损失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
这就是说,该公司在没有使用安全技术防范措施的情况下,内部员工的违规网络操作行为可能会给公司每年造成12.5万元人民币的损失。从这里就可以知道,如果公司只需要花费10000元人民币来实施一个具体的网络行为监控解决方案,就可能让企业每年减少12.5万元人民币的损失,这个安全防范方案当然是值得去做的。
当然,事实却并不是这么简单的。这是由于安全并不是某种安全技术就可以解决的,安全防范是一个持续过程,其中必然会牵扯到人力和管理成本等因素。而且,任何一种安全技术或安全解决方案并不能保证绝对的安全,因为这是不可能完成的任务。
就拿本例来说,实施这个网络行为监控方案之后,能够将企业内部员工的违规行为,也就是暴光值(EV)降低到2%就已经相当不错了。而这,需要在此安全防范方案实施一段时间之后,例如半年或一年,企业才可能知道实施此安全方案后的最终效果,也就是此次安全投资的具体投资回报率是多少。
有数据表明在国外,安全投入一般占企业基础投入的5%~20%,在国内一般很少超过2%,而网络安全事件不论在国内外都层出不穷,企业可能在安全方面投入了很多,但是仍然频频发生网络安全事故。很多企业的高层管理者对于这个问题都比较头疼。其实网络安全理论中著名的木桶理论,很好的解释了这种现象。企业在信息安全方面的预算不够进而导致了投资报酬不成比例,另外很多企业每年在安全产品上投入大量资金,但是却不关注内部人员的考察、安全产品有效性的审核等安全要素。缺乏系统的、科学的管理体系的支持,也是导致这种结果产生的原因。
