網絡安全等級保護解決方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全等級保護解決方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全等級保護解決方案范文
1.1安全風險評估應用模型三階段。
在電子政務系統設的實施過程,主要分為規劃與設計階段、建設與實施階段、運行與管理階段等三個階段。其中,安全風險分析主要作用于規劃與設計階段,安全等級評估主要作用于建設與施工階段,安全檢查評估主要作用于運行與管理階段。安全風險分析,主要是利用風險評估工具對系統的安全問題進行分析。對于信息資產的風險等級的確定,以及其風險的優先控制順序,可以通過根據電子政務系統的需求,采用定性和定量的方法,制定相關的安全保障方案。安全等級評估,主要由自評估和他評估兩種評估方式構成。被評估電子政務系統的擁有者,通過結合其自身的力量和相關的等級保護標準,進行安全等級評估的方式,稱為自評估。而他評估則是指通過第三方權威專業評估機構,依據已頒布的標準或法規進行評估。通過定期或隨機的安全等級評估,掌握系統動態、業務調整、網絡威脅等動向,能夠及時預防和處理系統中存在的安全漏洞、隱患,提高系統的防御能力,并給予合理的安全防范措施等。若電子政務網絡系統需要進行較大程度上的更新或變革,則需要重新對系統進行安全等級評估工作。安全檢查評估,主要是在對漏洞掃描、模擬攻擊,以及對安全隱患的檢查等方面,對電子政務網絡系統的運行狀態進行監測,并給予解決問題的安全防范措施。
1.2安全風險分析的應用模型。
在政府網絡安全風險評估工作中,主要是借助安全風險評測工具和第三方權威機構,對安全風險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此,本文重點要講述的是安全風險分析的應用模型。在安全風險分析的應用模型中,著重需要考慮到的是其主要因素、基本流程和專家評判法。
(1)主要因素。
在資產上,政府的信息資源不但具有經濟價值,還擁有者重要的政治因素。因此,要從關鍵和敏感度出發,確定信息資產。在不足上,政府電子政務網絡系統,存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務網絡系統受到來自內、外部的威脅。在影響上,可能致使信息資源泄露,嚴重時造成重大的資源損失。
(2)基本流程。
根據安全需求,確定政府電子政務網絡系統的安全風險等級和目標。根據政府電子政務網絡系統的結構和應用需求,實行區域和安全邊界的劃分。識別并估價安全區域內的信息資產。識別與評價安全區域內的環境對資產的威脅。識別與分析安全區域內的威脅所對應的資產或組織存在的薄弱點。建立政府電子政務網絡系統的安全風險評估方法和安全風險等級評價原則,并確定其大小與等級。結合相關的系統安全需求和等級保護,以及費用應當與風險相平衡的原則,對風險控制方法加以探究,從而制定出有效的安全風險控制措施和解決方案。
(3)專家評判法。
在建設政府電子政務網絡系統的前期決策中,由于缺少相關的數據和資料,因此,可以通過專家評判的方法,為政府電子政務網絡系統提供一個大概的參考數值和結果,作為決策前期的基礎。在安全區域內,根據網絡拓撲結構(即物理層、網絡層、系統層、應用層、數據層、用戶層),應用需求和安全需求劃分的安全邊界和安全區域,建立起風險值計算模型。通過列出從物理層到用戶層之間結構所存在的薄弱點,分析其可能為資產所帶來的影響,以及這些薄弱點對系統薄弱環節外部可能產生的威脅程度大小,進而通過安全風險評估專家進行評判,得到系統的風險值及排序。在不同的安全層次中,每個薄弱環節都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法,能夠幫助計算出特定安全區域下的資產在這些薄弱環節中的風險值。
2結語
第2篇:網絡安全等級保護解決方案范文
總的來講,我們目前對信息系統的安全保障工作處在初級階段,主要表現在信息系統安全建設和管理的目標不明確,信息安全保障工作的重點不突出,信息安全監管體系尚待完善。為了實施信息系統的安全保護,我國制定頒布了《計算機信息系統安全保護等級劃分準則》(GB17859-1999)和《信息技術安全技術信息技術安全性評估準則》(GB/T18336-2001)等基本標準,隨后又制定了一系列相關的國家標準,對信息等級保護工作的定級、建設、測評、安全管理等進行規范。信息安全等級保護制度一個很重要的思想就是對各領域的重要信息系統依照其對國家的重要程度進行分類分級,針對不同的安全等級采取不同的保護措施,以此來指導不同領域的信息安全工作[1]。99年頒布的《等級劃分準則》對計算機信息系統安全保護能力劃分了五個等級[2],保護能力隨著安全保護等級的增高,逐漸增強。第一級為用戶自主保護級。使用戶具備自主安全保護的能力。第二級為系統審計保護級。在繼承前面安全級別安全功能的基礎上,需要創建和維護訪問的審計跟蹤記錄。第三級為安全標記保護級。在繼承前面安全級別安全功能的基礎上,要求依據訪問安全級別限制訪問權限。第四級為結構化保護級。繼承前面安全級別安全功能的基礎上,劃分安全保護機制為兩部分,關鍵部分和非關鍵部分,對關鍵部分訪問者直接控制訪問對象的存取。第五級為訪問驗證保護級。按要求增設訪問驗證的功能,負責訪問者對所有訪問對象的訪問活動進行仲裁。
2.企業信息安全等級保護的實施流程
在實施企業信息安全等級保護流程時,主要得工作可以分為信息系統定級、規劃與設計和實施、等級評估與改進三個主要的階段。
2.1信息系統定級
系統定級是根據整個系統要求達到的防護水平,確定信息系統和各個子系統的安全防護等級。需要由專業人員評估企業的信息系統、各種軟硬件設備及企業業務支撐的各個環節,根據其重要性和復雜性劃分為各個子系統,描述子系統的組成和邊界,以此確定總系統和子系統的安全等級。2.2安全規劃和設計安全規劃和設計是根據系統定級的結果,對信息系統及其子系統制定全套的安全防護解決方案,并根據方案選取相應的軟、硬件防護產品進行具體實施的階段,這個階段的工作主要可以歸納為以下三個方面的內容:
2.2.1系統對象的分類劃分及相應保護框架的確立。
企業需要對信息系統進行保護對象進行分類和劃分,建立起一個企業信息系統保護的框架,根據系統功能的差異和安全要求不同對系統進行分域、分級防護。
2.2.2選擇安全措施并根據需要進行調整。
在確定了企業信息系統及各個子系統的安全等級以后,根據需要選擇相應的等級安全要求。根據對系統評估的結果,確定出主系統、子系統和各保護對象的安全措施,并根據項目實施過程中的需要進行適當的調整。
2.2.3安全措施規劃和安全方案實施。
確定需要的安全措施以后,定制相應安全解決方案和運維管理方案,以此為依據采購必要的安全保護軟、硬件及安全服務。
2.3實施、等級評估和改進[4]
依照此前確定的安全措施和解決方案,在企業中進行方案實施。實施完畢之后,對照“信息安全等級保護”相關標準,評估所部署的方案是否達到了預想的防護要求,如果評估未能通過,則需對部分安全方案進行改進后再進行評估,直至符合等級保護要求。
3.企業信息安全等級保護體系的主要內容
3.1安全體系設計的原則及設計目標
信息系統安全體系的設計需要按照合規可行、全局均衡、體系化和動態發展原則,達到并實現“政策合規、資源可控、數據可信、持續發展”的生存管理與安全運維目的。系統安全等級保護體系的技術指標,可以分為信息技術測評指標和非信息技術測評指標兩類。所以整個安全等級保護體系應包含基本技術措施和基本管理措施兩個組成部分。
3.2基本技術措施
3.2.1物理安全
物理安全是信息系統安全的基礎,物理安全主要內容包括環境安全(防火、防水、防雷擊等)、設備和介質的防盜竊、防破壞等方面。
3.2.2網絡安全
網絡是若干網絡設備組成的可用于數據傳輸的網絡環境,是信息系統安全運行的基礎設施。對于內網未通過準許聯到外網的行為,可以使用終端安全管理系統來檢測。對登錄網絡設備和服務器的用戶進行基本的身份識別,使網絡最基本具備基本的防護能力。[5]
3.2.3主機安全
主機安全主要是指服務器和終端系統層面的安全風險。主機的安全風險主要包括兩個方面:一是操作系統的脆弱性,二是來自系統配置管理和使用過程。可以通過建立一套完善安全審計系統實現系統層、網絡層以及應用層的安全審計。
3.2.4應用系統安全
應用系統是提供給用戶真正可使用的功能,是以物理層、網絡層和主機層為基礎的,是用戶與系統底層的接口。應用安全首先要考慮身份驗證、通訊加密、信息保護和抗抵賴性等安全風險,對應用系統方面應關注系統資源控制、應用代碼安全、系統安全審計和系統容錯等內容,一般需要通過安全審計系統和專業的安全服務來實現。
3.2.5數據安全
數據是指用戶真正的數據,信息系統數據安全所面臨的主要風險包括:數據遭到盜竊;數據被惡意刪除或篡改。在考慮數據安全方案時,除了使用從物理層到應用層的各種層次的安全產品,更重要的是考慮對數據的實時備份。目前主要使用數據庫技術來保證數據私密性和完整性,制定好數據存儲與備份方案,來完成日常的數據備份與恢復。這部分工作可以考慮引入專業安全服務。
3.3基本管理措施
3.3.1安全管理制度
安全管理制度的制定、、審核和修訂等工作,需要在信息安全領導小組的統籌下,按照安全工作的總體方案,根據系統應用安全的實際情況,組織相關人員進行,并進行定期的審核和修訂。
3.3.2安全管理機構
要根據要求建立專門的安全職能部門,配置專門的安全管理人員,并對安全管理人員進行日常活動的監督指導。同時要對安全職能部門進行全面的設計,內容包括的人員和崗位的配置、日常工作流程、與其他部門的溝通和合作、系統安全的審核和檢查等方面。
3.3.3人員安全管理
人員的入職、離職、績效考核、業務培訓等環節都要考慮安全因素。對第三方人員管理上也要考慮安全風險。
3.3.4系統建設過程管理
要在系統建設的各個階段貫徹系統安全等級保護體系的思想和內容。主要是對系統建設從方案設計、采購、開發、實施、測試驗收、交付到系統備案、安全測評等環節進行全流程的監控,對所有涉及安全保護的方面提出具體要求。
3.3.5系統運行和維護管理
信息系統運維安全管理涉包括日常管理、安全事件處置、應急預案管理和安管中心等幾方面內容,可以是內部人員管理維護,也可以根據需要采用內部人員和專業安全廠商相結合的方式。
4.總結
第3篇:網絡安全等級保護解決方案范文
關鍵詞:微機監測;鐵路信號;設備安全
Abstract: with the rapid development of railway transportation, all parts of the country a new high-speed rail railway. Speed is improved, the safety problem can not be ignored. To ensure the safety of train operation process, signal information requires the railway throughout the correct. Console through signal equipment will be operating instructions to train, so as to ensure the overall operation of the railway. In this paper, network security protection of railway signal computer detection system to conduct a comprehensive analysis.
Keywords: railway signal microcomputer monitoring; equipment safety;
中圖分類號:F530.3 文獻標識碼:A 文章編號:
1 微機監測系統網絡安全防護現狀
目前的微機監測系統一般都是三層次的網絡結構,既由車站、領工區(車間)、電務段三級構成的計算機網絡,電務段和領工區的管理人員可以通過微機監測網直接看到所轄各站信號設備和戰場運作狀況。目前網絡遭受病毒侵襲的主要途徑有:生產已經網絡化,網絡上任何一點感染病毒后,如不及時處理,容易全網蔓延;隨著移動存儲設備越來越廣泛的使用,病毒通過移動設備感染的機率大大增加。一機多用,如某臺終端機既用于調看生產監控,又兼作辦公機;其他遭受惡意攻擊等非正常感染病毒。
現階段微機監測系統采取的網絡安全防護措施包括以下幾個方面。
1)要求把站機、終端機上的I/0接口,如光驅、歟驅、USB插口等用標簽加封,并在主板BIOS里修改相應項屏蔽設備端口,杜絕在站機、終端機上進行與業務無關的作業。
2)微機檢測安全服務器,站機、終端機,安裝有MCAFEE網絡版防毒軟件或瑞星單機版殺毒軟件,但沒有建立專用的防病毒服務器,病毒庫的更新不及時,單機版的軟件只有維護人員到站上才能更新。
3)清理非法接入局域網的計算機,查清有無一機多用甚至多網的可能,并對非法接人的計算機進行屏蔽。
2 現有系統存在的安全問題及改進的主要參考原則
設計新的網絡安全防護系統,應確保運行數據的完整性、可用性、可控性、可審查性。安全系統的改進可參考以下幾個原則。
1)體系化設計原則。通過分析網絡系統的層次關系.提出科學的安全體系和安全構架,從中分析出存在的各種安全風險,充分利用現有投資,并合理運用當今主流的安全防護技術和手段,最大限度地解決網絡中可能存在的安全問題。
2)全局性、均衡性、綜合性設計原則。從網絡整體建設角度出發,提供一個具有相當高度,可擴展性強的安全防護解決方案,應均衡考慮各種安全措施的效果,提供具有最優性價比的網絡安全防護解決方案。
3)可行性、可靠性、可審查性原則。可行性是設計網絡安全防護方案的根本,它將直接影響到網絡通信平臺的暢通,可靠性是安全系統和網絡通信平臺正常運行的保證,可審查性是對出現的安全問題提供依據與手段。
4)分步實施原則。分級管理,分步實施。
3 系統改進可采取的的主要措施
維護管理方面我們可以做好以下幾點改進。
1)微機監測增設防病毒服務器,定期升級服務器病毒庫,將病毒入侵機率降至最低。安裝防火墻,對連接網絡中的計算機進行統一管理,確保網絡安全。
2)科學處理補丁和病毒之間的矛盾。安裝補丁時,應經過慎重的論證測試,可行在開發系統上進行測試,確保安全的前提下,再進行補丁安裝,因為有些補丁可能與現行的操作系統發生沖突,進而影響整個系統的穩定性。
3)在生產網上組建VPN,創建一個安全的私有鏈接。
同時,為保證系統的安全管理 ,避免人為的安全威脅,應根據運行工作的重要程度劃分系統的安全等級,根據確定的安全等級確定該系統的管理范圍和安全措施。對機房實行安全分區控制,根據工作人員權限限定其工作區域。機房的出入管理可以采取先進的證件識別或安裝自動識別登記系統,采用磁卡,身份證等手段對工作人員進行識別、登記、管理。根據職責分離和多人負責的原則,確定工作系統人員的操作范圍和管理,制定嚴格的操作規程。針對工作調動或離職人員要及時調整相應授權。
4 可采用的網絡安全新技術
建立完善的微機監測系統網絡安全防護系統,需要現有網絡安全防護系統的基礎上,充分考慮防火墻、入侵檢測/防護、漏洞掃描、防病毒系統等安全機制。由于網絡技術的不斷飛速發展,傳統的防護技術已經不能適應復雜多變的新型網絡環境,必須采用安全有效的網絡安全新技術才能防患于未然,提高整個微機監測網絡的安全性。可采用的新型網絡安全技術包括以下幾種。
1)鏈路負載均衡技術。鏈路負載均衡技術是建立在多鏈路網絡結構上的一種網絡流量管理技術。它針對不同鏈路的網絡流量,通信質量以及訪問路徑的長短等諸多因素,對訪問產生的徑路流量所使用的鏈路進行調度和選擇。可最大限度的擴展和利用鏈路的帶寬,當某一鏈路發生故障中斷時,可以自動將其訪問流量分配給其它尚在工作的鏈路,避免IPS鏈路上的單點故障。
2)IPS入侵防御系統。網絡入侵防御系統作為一種在線部署的產品,提供主動的,實時的防護,其設計目的旨在準確檢測網絡異常流量,自動應對各類攻擊性的流量,不將攻擊流量放進內部網絡。
3)上網行為管理系統。上網行為管理系統能夠提供全面的互聯網控制管理,并能實現基于用戶和各種網絡協議的帶寬控制管理。實時監控整個網絡使用情況。
4)網絡帶寬管理系統。對整個網絡狀況進行細致管理,提高網絡使用效率,實現對關鍵人員使用網絡的保障,對關鍵應用性能的保護,對非關鍵應用性能的控制。可根據業務需求和應用自身需求進行帶寬分配。
5)防毒墻。傳統的計算機病毒防范是在需要保護的計算機內部建立反病毒系統,隨著網絡病毒的日益嚴重和各種網絡威脅的侵害,需要將病毒在通過服務器后企業內部網關之前予以過濾,防毒墻就滿足了這一需求。防毒墻是集成了強大的網絡殺毒機制,網絡層狀態包過濾,敏感信息的加密傳輸,和詳盡靈活的日志審計等多種安全技術于一身的硬件平臺。在毀滅性病毒和蠕蟲病毒進入網絡前進行全面掃描,適用于各種復雜的網絡拓撲環境。
5 結束語
通過本文的分析,可以看出,我國鐵路信號微機監測系統的應用得到了初步的效果,但是隨著我國鐵路系統的繼續發展,網絡安全是我們不得不考慮的問題,而且隨著網絡安全問題的越來越多,對我國鐵路信號微機監測系統的安全性要求就越高,因此,在未來的發展過程中,我們需要進一步提升鐵路信號微機監測系統的安全等級,只有這樣才能促進我國鐵路信號系統的安全,提升我國鐵路信號系統的繼續發展。
參考文獻
[1]劉琦.鐵路信號安全維護及監控系統設計思路及應用[J].安防科技,2011,03.
第4篇:網絡安全等級保護解決方案范文
(中國電子科技集團公司第二十研究所,陜西 西安 710068)
【摘 要】隨著信息化水平的不斷提高,各單位對其依賴程度前所未有的加大,然而隨著各種攻擊技術的發展,沒有防御的系統則顯得不堪一擊。針對此,每個單位信息系統的安全運行都相應的加大了信息安全的關注與投入。鑒于此,研究不同等級的信息系統所需的安全措施就變得很有意義。主要說明了信息系統的不同等級及其安全防護水平。
關鍵詞 信息化;風險;等級保護;安全
1 信息化發展背景
1.1 全球背景
信息化是充分利用信息技術,開發利用信息資源,促進信息交流和知識共享,提高經濟增長質量,推動經濟社會發展轉型的歷史進程。隨著信息技術發展,信息化對經濟社會發展的影響更加深刻。信息資源日益成為重要生產要素、無形資產和社會財富。與此同時,信息安全的重要性也與日俱增,成為各國面臨的共同挑戰。
1.2 我國目標
我國信息化發展戰略概括為:以信息化促進工業化,以工業化帶動信息化,走出中國特色的信息化道路。信息化是當今世界發展的大趨勢,是推動經濟社會變革的重要力量。到2020年,我國信息化發展的戰略目標是:綜合信息基礎設施基本普及,信息技術自主創新能力顯著增強,信息產業結構全面優化,國家信息安全保障水平大幅提高,國民經濟和社會信息化取得明顯成效,新型工業化發展模式初步確立,國家信息化發展的制度環境和政策體系基本完善,國民信息技術應用能力顯著提高,為邁向信息社會奠定堅實基礎。
2 等級保護標準及其具體范圍
信息安全等級保護是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
2.1 美國可信計算機安全評價標準
美國可信計算機安全評價標準(Trusted Computer System Evaluation Criteria,TCSEC),該標準是世界范圍內計算機系統安全評估的第一個正式標準,具有劃時代的意義。該準則于1970年由美國國防科學委員會提出,并于1985年12月由美國國防部公布。TCSEC最初只是軍用標準,后來延至民用領域。TCSEC將計算機系統的安全劃分為4個等級、7個級別。
D類安全等級:D類安全等級只包括D1一個級別。D1的安全等級最低。
C類安全等級:該類安全等級能夠提供審計的保護,并為用戶的行動和責任提供審計能力。C類安全等級可劃分為C1和C2兩類。
B類安全等級:B類安全等級可分為B1、B2和B3三類。B類系統具有強制性保護功能。
A類安全等級:A系統的安全級別最高。目前,A類安全等級只包含A1一個安全類別。A1系統的顯著特征是,系統的設計者必須按照一個正式的設計規范來分析系統。
2.2 歐洲的安全評價標準
歐洲的安全評價標準ITSEC(Information Technology Security Evaluation Criteria)是英國、法國、德國和荷蘭制定的IT安全評估準則,是歐洲多國安全評價方法的綜合產物,應用領域為軍隊、政府和商業。該標準將安全概念分為功能與評估兩部分。功能準則從F1~F10共分10級。1~5級對應于TCSEC的D到A。F6至F10級分別對應數據和程序的完整性、系統的可用性、數據通信的完整性、數據通信的保密性以及機密性和完整性的網絡安全。
與TCSEC不同,它并不把保密措施直接與計算機功能相聯系,而是只敘述技術安全的要求,把保密作為安全增強功能。另外,TCSEC把保密作為安全的重點,而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(不滿足品質)到E6級(形式化驗證)的7個安全等級,對于每個系統,安全功能可分別定義。
2.3 我國計算機信息系統安全保護等級劃分準則
我國根據世界范圍內信息安全及計算機系統安全評估等技術的發展,并結合我國自身情況,制定并頒發了我國計算機信息系統安全保護等級劃分準則(GB 17859-1999),在該準則中將信息系統分為下面五個等級:
第一級:用戶自主保護級;
第二級:系統審計保護級;
第三級:安全標記保護級;
第四級:結構化保護級;
第五級:訪問驗證保護級。
3 風險分析和安全保護措施
3.1 漏洞、威脅、風險
在實際中,計算機信息系統在確定保護等級之前,首先要對該計算機信息系統進行風險分析。風險是構成安全基礎的基本觀念,風險是丟失需要保護的資產的可能性。如果沒有風險就不需要安全。威脅是可能破壞信息系統環境安全的行動或事件。漏洞是各種攻擊可能的途徑。風險是威脅和漏洞的綜合結果。沒有漏洞的威脅沒有風險,沒有威脅的漏洞也沒有風險。識別風險除了識別漏洞和威脅之外,還應考慮已有的策略和預防措施。識別漏洞應尋找系統和信息的所有入口及分析如何通過這些入口訪問系統和信息。識別威脅是對目標、動機及事件的識別。一旦對漏洞、威脅以及預防措施進行了識別,就可確定該計算機信息系統的風險。綜合這些信息,開發相應的風險管理項目。風險永遠不可能完全去除,風險必須管理。
風險分析是對需要保護的資產及其受到的潛在的安全威脅的鑒別過程。風險是威脅和漏洞的組合。正確的風險分析是保證計算機信息系統的網絡環境及其信息安全及其重要的一步。風險分析始于對需要保護的資產(物理資源、知識資源、時間資源、信譽資源等)的鑒別以及對資產威脅的潛在攻擊源的分析。采用等級保護策略可以有效的降低各種資產受危害的潛在代價以及由于采取安全措施付出的操作代價。一個性能良好的安全系統結構和安全系統平臺,可以以低的安全代價換取高的安全強度。
3.2 一種保護重要秘密安全的方法
在具體實施過程中,根據計算機信息系統不同的安全等級要求,制定不同的等級保護策略,用最小的代價來保證計算機信息系統安全。在一些重要情況下,為了確保安全與萬無一失,都必須由兩人或多人同時參與才能生效,這時就需要將秘密分給多人掌管,并且必須有一定數目的掌管秘密的相關人員同時到場才能恢復這一秘密。針對這種特別重大和及其敏感的信息可采用秘密分割門限方案來確保安全。
設秘密m被分成n個部分的信息,每一部分信息稱為一個子密鑰,由一個參與者持有,使得:
①由k(k<n)個或多于k個參與者所持有的部分信息可重構該消息m;
②由少于k個參與者所持有的部分信息無法重構消息m;
稱這種方案為(k,n)秘密分割門限方案,k稱為方案的門限值。
如果一個參與者或一組未經授權的參與者在猜測秘密m時,并不比局外人猜測該秘密m時有優勢。
③由少于k個參與者所持有的部分信息得不到秘密m的任何信息。
則稱這個方案是完整的,即(k,n)秘密分割門限方案是完整的。
其中最具代表性和廣泛應用的門限方案是基于中國剩余定理的門限方案。
通過這種秘密分割的方法就能達到秘密多人共享,多人共同掌管的局面,確保該信息安全。這種方案也可以用于特別的(下轉第73頁)(上接第78頁)重要部位和場所的出入控制等方面。
3.3 具體措施
針對企業信息系統,應當健全針對各單位或業務部門在日常工作中產生和接觸的信息的敏感程度不同,區分等級,分門別類,堅持積極防御、綜合防范,探索和把握信息化與信息安全的內在規律,主動應對信息安全挑戰,力爭做到辦公方便與安全保密同時兼顧,實現信息化與信息安全協調發展,保證企業信息安全。
加強信息安全風險評估工作。建設和完善信息安全監控體系,提高對網絡安全事件應對和防范能力,防止有害信息傳播。高度重視信息安全應急處置工作,健全完善信息安全應急指揮和安全通報制度,不斷完善信息安全應急處置預案。從實際出發,促進資源共享,重視災難備份建設,增強信息基礎設施和重要信息系統的抗毀能力和災難恢復能力。
4 結束語
隨著信息安全事件的頻繁曝光,信息安全越來越受到人們的重視。為此,越來越多的工作人員投身到安全領域的研究之中。然而當今的現狀卻是各種各樣的不安全事件層出不窮,各類攻擊及其變種也在不斷發展。所有的這些就要求我們必須更加努力地投入到工作中去。不僅要針對一些已經出現且危害較大的一些安全問題提出相應的解決方案,還應該站在安全領域的前沿,積極地投身去防御各種可能會引發安全問題的漏洞及脆弱點。只有這樣我們才能更好地保障人們放心的使用信息技術的發展帶來的便捷。
參考文獻
[1]胡道元,閔京華.網絡安全[M].清華大學出版社,2007.
[2]baike.baidu.com/view/488431.htm.TCSEC全稱與安全等級分類[OL].
[3]baike.baidu.com/view/488448.htm.ITSEC[OL].
[4]楊波.現代秘密學[M].2版.清華大學出版社,2007.
[5]baike.baidu.com/view/21730.htm#sub5031999.CC國際通用標準[OL].
第5篇:網絡安全等級保護解決方案范文
論文摘要:互聯網技術給我們帶來很大的方便,同時也帶來了許多的網絡安全隱患,諸如陷門、網絡數據竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網絡安全隱患一直都威脅著我們。計算機網絡信息管理工作面臨著巨大的挑戰,如何在計算機網絡這個大環境之下,確保其安全運行,完善安全防護策略,已經成為了相關工作人員最亟待解決的問題之一。該文首先分析了計算機網絡信息管理工作中的安全問題,其次,從多個方面就如何有效加強計算機網絡信息安全防護進行了深入的探討,具有一定的參考價值。
1概述
互聯網技術給我們帶來很大的方便,同時也帶來了許多的網絡安全隱患,諸如陷門、網絡數據竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網絡安全隱患一直都威脅著我們。為了確保計算機網絡信息安全,特別是計算機數據安全,目前已經采用了諸如服務器、通道控制機制、防火墻技術、入侵檢測之類的技術來防護計算機網絡信息安全管理,即便如此,仍然存在著很多的問題,嚴重危害了社會安全。計算機網絡信息管理工作面臨著巨大的挑戰,如何在計算機網絡這個大環境之下,確保其安全運行,完善安全防護策略,已經成為了相關工作人員最亟待解決的問題之一。
2計算機網絡信息管理工作中的安全問題分析
計算機網絡的共享性、開放性的特性給互聯網用戶帶來了較為便捷的信息服務,但是也使得計算機網絡出現了一些安全問題。在開展計算機網絡信息管理工作時,應該將管理工作的重點放在網絡信息的和訪問方面,確保計算機網絡系統免受干擾和非法攻擊。
2.1安全指標分析
(1)保密性
通過加密技術,能夠使得計算機網絡系統自動篩選掉那些沒有經過授權的終端操作用戶的訪問請求,只能夠允許那些已經授權的用戶來利用和訪問計算機網絡信息數據。
(2)授權性
用戶授權的大小與其能夠在計算機網絡系統中能夠利用和訪問的范圍息息相關,我們一般都是采取策略標簽或者控制列表的形式來進行訪問,這樣做的目的就在于能夠有效確保計算機網絡系統授權的正確性和合理性。
(3)完整性
可以通過散列函數或者加密的方法來防治非法信息進入計算機網絡信息系統,以此來確保所儲存數據的完整性。
(4)可用性
在計算機網絡信息系統的設計環節,應該要確保信息資源具有可用性,在突然遇到攻擊的時候,能夠及時使得各類信息資源恢復到正常運行的狀態。
(5)認證性
為了確保權限所有者和權限提供者都是同一用戶,目前應用較為廣泛的計算機網絡信息系統認證方式一般有兩種,分別是數據源認證和實體性認證兩種,這兩種方式都能夠得到在當前技術條件支持。
2.2計算機網絡信息管理中的安全性問題
大量的實踐證明,計算機網絡信息管理中存在的安全性問題主要有兩種類型,第一種主要針對計算機網絡信息管理工作的可用性和完整性,屬于信息安全監測問題;第二種主要針對計算機網絡信息管理工作的抗抵賴性、認證性、授權性、保密性,屬于信息訪問控制問題。
(1)信息安全監測
有效地實施信息安全監測工作,可以在最大程度上有效消除網絡系統脆弱性與網絡信息資源開放性二者之間的矛盾,能夠使得網絡信息安全的管理人員及時發現安全隱患源,及時預警處理遭受攻擊的對象,然后再確保計算機網絡信息系統中的關鍵數據能夠得以恢復。
(2)信息訪問控制問題
整個計算機網絡信息管理的核心和基礎就是信息訪問控制問題。信息資源使用方和擁有方在網絡信息通信的過程都應該有一定的訪問控制要求。換而言之,整個網絡信息安全防護的對象應該放在資源信息的和個人信息的儲存。
3如何有效加強計算機網絡信息安全防護
(1)高度重視,完善制度
根據單位環境與特點制定、完善相關管理制度。如計算機應用管理規范、保密信息管理規定、定期安全檢查與上報等制度。成立領導小組和工作專班,完善《計算機安全管理制度》、《網絡安全應急預案》和《計算機安全保密管理規定》等制度,為規范管理夯實了基礎。同時,明確責任,強化監督。嚴格按照保密規定,明確涉密信息錄入及流程,定期進行安全保密檢查,及時消除保密隱患,對檢查中發現的問題,提出整改時限和具體要求,確保工作不出差錯。此外,加強培訓,廣泛宣傳。有針對性組織開展計算機操作系統和應用軟件、網絡知識、數據傳輸安全和病毒防護等基本技能培訓,利用每周學習日集中收看網絡信息安全知識講座,使信息安全意識深入人心。 (2)合理配置,注重防范
第一,加強病毒防護。單位中心機房服務器和各基層單位工作端均部署防毒、殺毒軟件,并及時在線升級。嚴格區分訪問內、外網客戶端,對機房設備實行雙人雙查,定期做好網絡維護及各項數據備份工作,對重要數據實時備份,異地儲存。同時,嚴格病毒掃描。針對網絡傳輸、郵件附件或移動介質的方式接收的文件,有可能攜帶病毒的情況,要求接收它們之前使用殺毒軟件進行病毒掃描。第二,加強強弱電保護。在所有服務器和網絡設備接入端安裝弱電防雷設備,在所有弱電機房安裝強電防雷保護器,保障雷雨季節主要設備的安全運行。第三,加強應急管理。建立應急管理機制,完善應急事件出現時的事件上報、初步處理、查實處理、責任追究等措施,并定期開展進行預演,確保事件發生時能夠從容應對。第四,加強“兩個隔離”管理。即內、外網物理徹底隔離和通過防火墻進行“邊界隔離”,通過隔離實現有效防護外來攻擊,防止內、外網串聯。第五,嚴格移動存儲介質應用管理。對單位所有的移動存儲介質進行登記,要求使用人員嚴格執行《移動存儲介質管理制度》,杜絕外來病毒的入侵和泄密事件的發生。同時,嚴格安全密碼管理。所有工作用機設置開機密碼,且密碼長度不得少于8位,定期更換密碼。第六,嚴格使用桌面安全防護系統。每臺內網計算機都安裝了桌面安全防護系統,實現了對計算機設備軟、硬件變動情況的適時監控。第七,嚴格數據備份管理。除了信息中心對全局數據定期備份外,要求個人對重要數據也定期備份,把備份數據保存在安全介質上。
(3)堅持以信息安全等級保護工作為核心
把等級保護的相關政策和技術標準與自身的安全需求深度融合,采取一系列有效措施,使等級保護制度在全局得到有效落實,有效的保障業務信息系統安全。
第一,領導高度重視,組織保障有力。單位領導應該高度重視信息化和信息安全工作,成立專門的信息中心,具體負責等級保護相關工作,統籌全局的信息安全工作。建立可靠的信息安全基礎設施,重點強化第二級信息系統的合規建設,加強了信息系統的運維管理,對重要信息系統建立了災難備份及應急預案,有效提高了系統的安全防護水平。
第二,完善措施,保障經費。一是認真組織開展信息系統定級備案工作。二是組織開展信息系統等級測評和安全建設整改。三是開展了信息安全檢查活動。對信息安全、等級保護落實情況進行了檢查。
第三,建立完善各項安全保護技術措施和管理制度,有效保障重要信息系統安全。一是對網絡和系統進行安全區域劃分。按照《信息系統安全等級保護基本要求》,提出了“縱向分層、水平分區、區內細分”的網絡安全區域劃分原則,對網絡進行了認真梳理、合理規劃、有效調整。二是持續推進病毒治理和桌面安全管理。三是加強制度建設和信息安全管理。本著“預防為主,建章立制,加強管理,重在治本”的原則,堅持管理與技術并重的原則,對信息安全工作的有效開展起到了很好的指導和規范作用。
(4)采用專業性解決方案保護網絡信息安全
大型的單位,如政府、高校、大型企業由于網絡信息資源龐大,可以采用專業性解決方案來保護網絡信息安全,諸如銳捷網絡門戶網站保護解決方案。銳捷網絡門戶網站保護解決方案能提供從網絡層、應用層到web層的全面防護;其中防火墻、ids分別提供網絡層和應用層防護,ace對web服務提供帶寬保障;而方案的主體產品銳捷webguard(wg)進行web攻擊防御,方案能給客戶帶來的價值:
防網頁篡改、掛馬
許多大型的單位作為公共信息提供者,網頁被篡改、掛馬將造成不良社會影響,降低單位聲譽。目前客戶常用的防火墻、ids/ ips、網頁防篡改,無法解決通過80端口、無特征庫、針對動態頁面的web攻擊。webguard ddse深度解碼檢測引擎有效防御sql注入、跨站腳本等。
高性能,一站式保護各院系網站
對于大型單位客戶,往往擁有眾多部門,而并非所有大型單位都將各部門網站統一管理。各部門網站技術運維能力相對較弱,經常成為攻擊重點。webguard利用高性能多核架構,提供并行處理。支持在網絡出口部署,一站式保護各部門網站。
“零配置”運行,簡化部署
webguard針對用戶,集成默認配置模板,支持“零配置”運行。一旦上線,即可防護絕大多數攻擊。后續用戶可以根據網絡情況,進行優化策略。避免同類產品常見繁瑣配置,毋須客戶具備專業的安全技能,即可擁有良好的體驗。
滿足合規性檢查要求
繼08年北京奧運、09年國慶60周年后,10年上海世博會、廣州亞運會先后舉行。在重大活動前后,各級主管單位和公安部門,紛紛發文,要求針對網站安全采取措施。webguard恰好能很好的滿足合規性檢查的需求,幫助用戶順利通過檢查。
4結束語
新時期的計算機網絡信息管理工作正向著系統化、集成化、多元化的方向發展,但是網絡信息安全問題日益突出,值得我們大力關注,有效加強計算機網絡信息安全防護是極為重要的,具有較大的經濟價值和社會效益。
參考文獻:
[1]段盛.企業計算機網絡信息管理系統可靠性探討[j].湖南農業大學學報:自然科學版,2000(26):134-136.
[2]李曉琴.張卓容.醫院計算機網絡信息管理的設計與應用[j].醫療裝備,2003.(16):109-113.
[3]李曉紅.婦幼保健信息計算機網絡管理系統的建立與應用[j].中國婦幼保健,2010(25):156-158.
[4]羅宏儉.計算機網絡信息技術在公路建設項目管理中的應用[j].交通科技,2009.(1):120-125.
[5] bace rebecca.intrusion detection[m].macmillan technical publishing,2000.
第6篇:網絡安全等級保護解決方案范文
2010年4月21日,第十一屆中國信息安全大會在北京新世紀日航飯店隆重召開。本次會議由中國電子信息產業發展研究院主辦,中國計算機報承辦,并得到了工業和信息化部信息安全協調司、中國計算機學會計算機安全專業委員會和國家計算機病毒應急處理中心的大力支持和指導。本次大會繼續保持了歷年大會的綜合性、前沿性、權威性等特點,知名的信息安全專家、廠商代表等共聚一堂,圍繞“融合安全?風險識別”這一業界關注熱點,共同探討了信息安全產業發展及技術創新等議題。
完善信息安全保障體系
經過20多年的演進,我國信息安全產業已經從萌芽期逐漸過渡到快速發展期。隨著信息化的發展,信息安全的問題應該說更加突出,一方面,國民經濟和社會都越來越依賴信息系統,通信、交通、能源、金融等一些重要行業都離不開網絡和信息系統,網絡信息系統一旦出現大的問題可能直接影響國民經濟和社會的正常運轉;另一方面,我們的網絡信息系統也并不安全,病毒、黑客攻擊、各種惡意代碼對系統正常運行產生了嚴重的影響。由于我們國家的信息化建設還處在快速的發展階段,因此信息安全形勢不容樂觀。
工業和信息化部信息安全協調司司長趙澤良在會上表示,隨著信息化的發展,信息安全問題更加突出。面對日益復雜的信息安全形勢,要堅持積極防御、綜合防范的方針,著重做好五方面的工作:一是大力加強信息安全的統籌協調;二是抓緊完善相應的信息安全法律法規和規章制度建設;三是大力加強政府信息系統、重要信息系統的安全防護工作;四是大力加強信息安全的教育和人才培養工作;五是大力發展信息安全技術和產業。
中國電子信息產業發展研究院黨委書記洪京一在大會上指出,中國信息安全產業近年來得到了快速的發展,這一方面源于從中央到各級地方政府的廣泛重視,另一方面還源于我國有一批積極進取的信息安全創新企業。正是由于產業界持續的技術創新,再加上信息安全領域高水平研究機構和專家隊伍不遺余力的推動,才使得一大批新技術、新產品、新方法和新概念能夠在近幾年的產業發展中得以不斷地涌現。
洪京一認為,當前我們面臨著信息產業更新換代、迅猛發展的新形勢,網絡技術、計算機技術日新月異。隨著網絡的快速發展,網絡應用類別越來越多,物聯網、云計算、三網融合、移動互聯網、手機支付等新興應用給我們帶來了技術層面和業務層面的全新變革。隨之而來的應用復雜度和風險也越來越高。我們必須通過完善的安全保障手段,讓這些新興技術更好地為我所用。
中國科學院信息安全國家重點實驗室教授翟起濱表示,隨著時間的推移,所有的一切都要連接到云上,所有的客戶都需要讓云提供服務,每臺服務器都需要與云計算結合,網絡時代的各種通信協議和專有設備都將被顛覆。現在各國都在建立自己的云計算發展計劃,我國既要跟上這種信息革命的步伐,也要有自己的思維,不能一味地追求云。如何基于我國的實際國情,打造合適的云服務體系,是需要產業界共同關注和研究的問題。
嚴格推進等級保護制度
面對日益嚴峻的安全問題,等級保護制度的嚴格開展和實施已經愈發受到各界的關注。近年來,隨著國家強制要求建立等級保護基礎性標準,社會各界對等級保護政策及其具體實施給予高度的關注。
目前,在國內有關專家、企業的支持下,公安部和全國安全生產標準化委員會以及公安部的行業標準委員會組織制訂了一系列等級保護工作的標準。這些等級保護標準的出臺,為我國全面開展信息安全等級保護工作提供了重要的依據,也為等級保護工作提出了一個總體目標,有關行業部門可以在國家標準的基礎之上制訂出臺行業標準規范,比如說電信行業、電力行業、證券行業等。本次大會上,公安部網絡安全保衛局郭啟全處長對等級保護的重要性和目前的開展情況進行了介紹。郭啟全表示,我們信息安全等級保護工作從2006年正式推動以來,已經完成了從基礎調查到行業試點再到部署定級等一系列工作。有關部門通過定級已經把我國的幾萬個重要系統梳理了出來,其中包括了幾十個行業部門的500個大系統。這些跨省聯網的大系統就是我們下一步要進行安全建設整改、等級測評以及國家重點支持的目標。
今后三年信息安全等級保護工作的重點將圍繞安全管理制度建設、技術措施建設和等級測評等工作展開,有效提高信息系統安全管理水平。開展等級保護工作需要實現的目標將從以下五個方面體現:一是單位管理水平明顯提高,二是信息系統的防范能力明顯增強,三是信息系統安全隱患和安全事故明顯減少,四是有效保障信息化健康發展,五是有效維護國家、社會秩序和公共利益。
從實際應用的角度出發,郭啟全認為各單位、各部門應該按照以下工作流程去開展今后三年的工作:第一,制訂行業的安全整改工作規劃,對安全整改工作進行整體部署,目前已經有十幾個部委大規模地開始培訓和部署工作,還有一些重要行業正在研究,需要抓緊部署;第二,開展安全現狀分析,從管理和技術兩個方面確定安全建設整改的需求;第三,確定安全保護策略,制訂系統整改方案;第四,按照方案進行安全建設整改;第五,進行安全自查和等級測評,發現問題進一步整改。
多種保護模式融合
在網絡融合、業務融合以后,企業中的信息應用模式出現了變化。業務融合以后的數據流量模型與傳統的模型相比有很大的變化,高度集中的數據中心改變了傳統的數據流量分布模型,大規模的應用都需要通過數據中心來對外提供服務,在這種情況下,流量是從分散走向高度的集中。在業務層面,除了傳統的數據中心業務以外,以語音、視頻為代表的多媒體業務,以微博、社區為代表的Web2.0應用也在逐漸多樣化。另外,網絡的邊界也在變得模糊,當存儲、計算、網絡等資源高度集中時,安全的邊界已經不像原來想象得那么簡單了。這種情況下,新的安全防護模型在做安全防護的時候,一定要考慮融合于網絡,并且進行深度的虛擬化,以網絡做支撐,將現有的安全部署方式、安全部署的經驗合理部署到企業的實際營運過程中去。
本次大會上,H3C公司展現了其多層次融合的整體化安全解決方案,通過多種安全技術減少企業在安全建設上的資金投入,從而降低企業的運營成本,提高企業IT投入有效性。據H3C安全產品線規劃設計部經理孫松兒介紹,這套解決方案的核心就是面向安全的網絡設計,更關注網絡安全層次化的部署,強調網絡和安全的融合。
融合安全類產品正在成為網關發展的主流趨勢,實現全網的安全防護會是這一類產品的重要發展方向。不過由于各大行業應用情況不一樣,所以用戶個性化需求也會日趨強烈。在本次大會上,藍盾信息安全技術股份有限公司提出的模塊化UTM解決方案收到了廣泛關注,該方案可以解決傳統方案存在的問題,包括設備過多、資源浪費、部署比較復雜、管理成本比較高、無法抵御混合式攻擊等難題。通過模塊化方式,網關產品可以實現功能高度集成,減少設備投資,同時部署非常簡單。
除了傳統的安全防護模式,本次大會針對當前流行的電子商務安全和網絡訪問安全也進行了針對性的討論。確保電子商務收付款機制安全能夠提高消費者對網上交易的信心。聯款通公司在大會上闡釋了保障在線支付服務安全的重要意義。在網絡威脅與日俱增的環境中,聯款通公司始終憑借專業的服務能力,通過先進的技術手段,改善著消費者對網上交易的信心。聯款通行政總裁陳永祥表示:“通過我們的網關可以處理零售、電話、互聯網交易等多種在線支付,而且這個支付網關隨著全球電子商務的發展,其功能越來越強大,我們可以處理不同的客戶付款類別,不同收單銀行以及不同的語言,這些都有效地幫助了企業開展線上業務。”
第7篇:網絡安全等級保護解決方案范文
為了深入貫徹學習關于網絡安全系列重要講話精神,積極響應中央網信辦、工業和信息化部、公安部等六部門聯合的《關于印刷國家網絡安全宣傳周活動方案的通知》的要求,9月24日,由杭州市政府、中國信息化推進聯盟、浙江經濟理事會主辦,杭州市拱墅區政府、中國信息化推進聯盟協同創新專委會、浙江乾冠信息安全研究院承辦的2016第二屆中國網絡安全協同創新高峰論壇?杭州峰會在美麗的西子湖畔召開。
峰會上,來自中央網信辦、公安部、中科院及國家有關部門的領導、專家就如何學習貫徹關于網絡安全和信息化的系列講話精神、網絡安全面臨的嚴峻復雜形勢、網絡安全管理的方針政策、網絡安全體系建設的策略建議和實踐案例等進行了研討交流。
本刊摘取部分專家精彩觀點,以饗讀者。
建設整體信息安全保密體系
楊國勛認為,當前的信息安全問題不容小覷,特別是政府及金融、能源等關鍵信息基礎設施的安全保障問題。應該強化關鍵信息基礎設施安全,進而大力推動重要領域整體信息安保體系建設。
但是,信息安全既沒有絕對的安全,也沒有永久的安全,因此,整體信息的安全防護也不可能一勞永逸,徹底管住。所以,在實際操作中,我們應該是在有效安全的前提下,以發展促安全。
那么,如何做到有效防護?第一,要明確消除可預見的整體安防的薄弱點和空白點。要按照對雙方的重要性及損害的嚴重程度分類評估,來判定做還是不做。如果是有可預見的薄弱點,就不能做。第二,要創新安防的思路、方法、路線圖。現實中,我們經常會遇到“又要馬兒跑、又要馬兒不吃草”的問題,信息安全也是這樣的問題,又要安全,又要擴大應用。在這種情況下,我們需要創新,需要從另外的角度來分析和思考。比如風險管理,不僅要分析對自己的重要性,也要分析對敵方的重要性;出了事情,要分析對自己的影響,也要分析對敵方的影響;比如法制管理,用法制的威懾力,使他不敢造次,不敢隨便地對你進行攻擊。第三,要有科學、合理、可持續的實施方案。
互聯網+下的工業安全技術
在演講中,何積豐提及了工業控制系統的三個安全目標:一是通信可控,要能直觀觀察、監控、管理通信數據,僅能保證專有協議的數據傳輸,禁止其他通信;二是區域隔離,要能防止局部控制網絡問題擴散導致全局癱瘓,要在關鍵數據通道上部署網絡隔離;三是報警追蹤,要能及時發現網絡安全問題,確定故障點,記錄報警事件,為故障分析提供依據。
對于工業控制系統的安全防御策略,何積豐提出了五道防線,分別是:第三方商用防火墻,聯合安全網關,工業PC安全防護,現場設備控制防護,安全可靠的現場設備。可以采取的具體措施也有五條:去中心化、智能下移、異構冗余,分布協同、蜜罐技術。
何積豐認為,未來幾年,工業控制系統安全發展趨勢將朝著以下幾方面發展:一是隨著硬件元器件的可靠性越來越高及冗余技術的使用,安全問題的矛盾主要集中于軟件,軟件安全性面臨嚴峻形勢;二是工控信息安全標準需求強烈,標準制定工作亟需全面推進;三是隨著自動化系統IT化,傳統邊界防護難以滿足工業控制環境;四是行業內尚未形成氣候,需要整合自動化與信息安全公司優勢,帶動產業全面發展;五是工控安全防護技術迅速發展并在局部開始試點,距離大規模部署和應用有一定差距。
深化國家網絡安全等級保護制度,全力保衛關鍵信息基礎設施安全
陳廣勇除匯報了公安部在網絡安全方面的一些工作情況和應對措施之外,還給重要行業部門開展網絡安全工作和信息安全企業提出了一些建議。
他建議,重要行業部門開展網絡安全工作要統籌規劃行業安全工作,以網絡安全等級保護工作為抓手,以信息通報為平臺,以全面加強安全管理和技術防范為重點,以提高網絡安全保障能力為目標,全力構建本行業網絡安全綜合防御體系。
針對信息安全企業,他建議,第一是要緊密圍繞國家網絡安全重大舉措來開展經營活動,包括及時跟蹤了解國家法律、政策、標準和重大舉措;有針對性地制定具有行業特點的產品研發戰略、技術創新,著重解決云、大、物、移以及工業控制系統的安全風險,制定相應的整體解決方案;第二是要積極參與和跟進信息安全標準的規范研究工作;第三是要全力支撐國家網絡安全重點工作,做好技術儲備和技術創新,信息安全企業要積極參與網絡安全信息通報預警、智慧城市的網絡安全管理、新技術、新應用推廣等國家有較大投入的方面;第四是要加強規劃、科學布局,企業要做好長遠的戰略規劃,努力成為既能提供整體的網絡安全解決方案,也能提供高質量的咨詢服務能力的綜合服務提供商。
擬態防御,協同眾測促進網絡安全創新
演講中,葛培勤指出了當今網絡安全的五個特點:一是網絡安全是整體的不是割裂的,二是網絡安全是動態的不是靜態的,三是網絡安全是開放的而不是封閉的,四是網絡安全是相對的而不是絕對的,五是網絡安全是共同的而不是孤立的。他進而指出:網絡防護需要靠大家共同協防,網絡檢測需要靠大家一起發現問題,網絡管理需要大家齊抓共管,網絡應急需要靠大家一起處置/恢復,網絡演練需要靠大家共同參與,網絡安全需要靠廣大人民。
他講到,近年來,針對傳統13類產品以外的信息安全產品層出不窮,如APT網絡監控類、工控安全類、生物識別類、認證類、安全芯片類、大數據分析類、物聯網安全等等,而創新產品測評與統一認證,將加快這些創新產品進入實際應用。國家信息技術安全研究中心與中國信息安全中心協商一致,最近將與多家測評機構進一步溝通協商,一是在測評規范上采取一定的措施,如鼓勵采用未國標開展試點示范,采用參考行標擴大使用范圍,采用多家眾測形成測試用例,同時借鑒國外相關技術標準等方法,加快形成創新產品的基本測評用例和增強測試用例,采取結果導向、問題導向、目標導向理念,開展基于漏洞分析挖掘的產品測評,并對相對成熟的創新類產品、專家評審和審批后發放統一的認證證書。眾測活動需要嚴格的管理措施來保證測評中的“7性”,組織方必須周密組織,公開公平公正地開展工作,保證測評的嚴肅性、嚴謹性。
跨維―深度聚焦網安生態
徐平說,在整個網絡信息化發展過程中,乾冠信息安全研究院主要解決網絡安全中第一公里和最后一公里的問題,其中的第一公里小到一個單位,大到國家互聯網的出入口。乾冠信息安全研究院致力于通過時空跨維和深度聚焦,來形成一個比較完整的針對安全威脅的體系化的解決方案。
如何發現并分析處理數據安全,需要業界廠家形成合力,利用大數據驅動構建一個安全管理的平臺。這也是研究院積極參與構建中國網絡安全協同創新共同體、網絡安全態勢感知生態矩陣的初衷,即借助平臺化的方式,用平臺+服務、平臺+產品、平臺+合作伙伴等模式,來為用戶提供整體的服務。平臺矩陣將從三個層面提供防御保護:遠程防御、云防御和安全設備。
他坦言,對安全威脅的一些未來的預測,是乾冠信息安全研究院下一步要重點突破的方向。
安全理念更新引領網絡安全創新
演講伊始,邵國安就指出:現在很多層面對于網絡安全的本質和核心的理解是比較模糊的。理念決定行動,但是若理念都錯了,談何正確的行動?
他講道,網絡安全要從以下五個方面來加以考慮:一是網絡邊界的安全,二是網絡防護,三是終端安全,四是應用安全,五是數據安全,每個層面都有不同的安全要求,是一個扇型的安全保障體系。
交通運輸網絡安全風險與策略
李璐瑤認為,不管是從事信息化還是從事信息安全的,都必須先了解它的業態,才能來進行風險權重的評價。交通行業,很好地體現了大數據的強大特征:廣泛性、海量性、有價性。也正因此,交通領域成為了可能遭到重點攻擊的目標,一定要采取有效措施,加強安全防護。
此外,她也認為就各級政府而言,要集中對政府網站、政務郵箱、重要業務、公務終端、互聯網出口這五類系統進行安全防護。
提升風險自主發現處置能力的探索實踐
第8篇:網絡安全等級保護解決方案范文
關鍵詞:校園網;網絡安全;網絡管理
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)35-2453-02
Campus Network Security System Construction
CHEN Yan
(Yongzhou Vocational and Technical College Hunan Province,Yonzhou 425006,China)
Abstract: The campus network security system construction be discussed from technology and management in this article. In technology, the security classification be divided by the different applications of campus network, thus, the network security system should be designed to meet the application requirements of each region. In management, it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management, so the security management of network will be improved.
Key words: campus network; network security; network management
1 引言
校園網絡作為信息化校園的重要組成部分,在全國各高校大規模展開,已近十年的歷程。校園網的建設重點已從最初單純的網絡硬件鋪設,簡單的Internet接入,小規模離散的應用,發展到大規模成系統的網絡應用。近年隨著網絡技術的快速發展,網絡應用日益普及,學校的教學和管理對校園網的依賴程度不斷加大。網絡的脆弱性,使得依賴于網絡的教學與管理面臨著安全威脅,網絡安全成了校園網建設的焦點問題。構建安全的校園網并不是簡單的堆砌網絡安全技術或安全產品,它不僅涉及到技術層面,也涉及到非技術層面。本文似從技術和管理兩個層面來探討如何構建安全的校園網絡系統。
2 校園網的特點及安全現狀分析
校園網有著自己鮮明的特點:一是大規模、高速網絡環境,主要表現為用戶數據龐大、地域分布的多校區網絡和快速局域網技術;二是復雜的應用和業務類型,主要表現為公共服務、科研應用、教學輔助、學生管理、行政管理、教學管理和普通上網應用等;三是活躍的、不同使用水平的網絡用戶群體,即有普通的用戶群、又有管理用戶群,還有網絡相關專業的學生用戶群,他們網絡應用目的不同,對網絡的熟悉程度不同;三是大量的非正版軟件和電子資源;五是開放的環境和寬松的安全管理體制;六有限的資金投入。這些特點使得校園網既不像Internet那樣毫無限制,又不像電子商務企業那樣為強化安全與保密而嚴加管理和控制。
校園網的上述特點,使得校園網一方面要面臨一般企業網絡所必須面對的各種安全威脅,如:普遍存在的計算機系統漏洞產生的各種安全隱患;計算機蠕蟲、木馬、病毒泛濫,對用戶主機、應用系統和網絡運行構成的嚴重威脅;外來的攻擊、入侵等惡意行為、垃圾信息和不良信息的傳播行為等。另一方面校園網又不得不應付來自內部的安全威脅,如內部用戶的攻擊行為,對網絡資源的濫用行為等等。
3 校園網安全需求分析
在校園網的安全設計中,必須考慮到校園網的上述特殊性。不能將整個校園網作為單一的安全區域,必須根據不同的應用類型、不同的服務對象將校園網劃分為具有不同安全等級的區域,并針對這些區域進行專門的安全設計。一般來說,我們可以將校園網分為:學生網絡、教學管理網絡、公共應用服務網絡、網絡管理系統和分校區網絡等幾個部分。下面對這些網絡的安全需求進行分析。
3.1 Internet連通性的安全需求
Internet連通性是校園網最重要的功能,一方面要滿足內部用戶的Internet訪問要求,另一方面又要對外Web服務、電子郵件服務和FTP服務等公共服務。而Internet卻是攻擊和威脅的重要來源,阻斷所有不能接受的訪問流量是最基本的安全需求,同時保持對來自Internet的網絡攻擊的檢測能力,是防范求知攻擊的必然要求。與內部用戶的上網需求相比,校網園對外的公共服務應該受到更好的安全保護,在設計時必須給予重點考慮。
3.2 學生網絡的安全需求
學生網絡兩大特點:一是用戶數量多數據流量大,學生是P2P(peer-to-peer)應用的熱衷者,而P2P應用則是網絡帶寬的“殺手”,2006年我院對擁有1100多用戶的學生網絡進行了一項測試,使用一款“P2P終結者”軟件來屏蔽P2P數據包,結果網絡出口總流量驟降一半,據此可以估算有50%網絡帶寬被P2P軟件所消耗。事實上這個估算是保守的,有研究表明,P2P流量取代了HTTP流量成為Internet流量的主體,占Internet中總流量的60%~70%,占最后一公里接入網流量的80%[1];二是用戶類型復雜,2007年我院的一次問卷調查表明,85%以上的學生缺乏網絡安全意識,近5%的學生用戶偶爾嘗試過網絡攻擊,近0.2%的學生在研究網絡攻擊技術,他們是內部攻擊的主要來源,也是最主要的病毒源和木馬源。因此在進行網絡安全考慮時,首先要對來自學生網絡的帶寬進行限制,以保證網絡資源的合理分配;其次要約束學生網絡對校園網關鍵服務的訪問,盡最大努力過濾其運行特定應用程序的能力;同時還需要加強對網絡流量嗅探和中間人攻擊(MITM)的防范能力,以減少學生相互間的攻擊。
3.3 教學管理網絡的安全需求
鑒于教學管理數據的安全性需求高,教學管理網絡與學生網絡絕對不能位于同一個信任級別,應該有更高的安全需求,給予保護并與校園網絡的其他部分進行隔離。主要有以下三項安全措施,一是設置防火墻實施訪問控制;二是設置入侵檢測系統進行網絡安全監測;三是強化論證,雖然加密所有教學管理應用程序太過繁重,但是對于某些關鍵系統(會計和學生記錄)應該要求強認證。
3.4 網絡管理系統的安全需求
網絡管理系統負責整個校園網的通暢和安全管理工作,確保網絡管理系統的安全是非常重要的工作,因此應該設置防火墻將管理網絡與校園網的其它部分進行隔離加以保護。
3.5 分校區網絡連接的安全需求
分校區和遠程用戶都需要直接訪問校園網內部的服務,出于資金考慮,多數的分校網絡都沒有專線連通,部分學校嘗試無線通信,實際情況看來,其保密性和穩定性都不高。比較經濟實用的解決方案就是,使用虛擬專用網(VPN)技術穿過廣域網(WAN)。
4 校園網結構的安全設計
基于上述校園網安全的分析,我們可以設計出如圖1所示的安全校園網絡系統。
4.1 校園網邊界安全設計
Internet接入是校園網最基本的業務需求,與Internet相比,校園網內部自然是一塊相對單純的可信任安全區域,為保證校園網內部的安全性和校園網公共服務的可訪問性,需在校園網邊界進行如下安全設置。
一是設置防火墻:防火墻首先要提供入網級的訪問控制功能,以有效地阻斷來自Internet的非法訪問;其次要提供虛擬專用網(VPN)功能,借助廣域網實現遠程分校區網絡的安全連接,使得訪問遠程校園網絡,如同訪問本地網絡一個方便安全,在保證安全性的同時還可以節省出專線費用;最后還應具備網絡地址轉換功能(NAT),使得Internet用戶可以訪問校園網內部的公共服務。二是設置AAA認證服務器,提供對用戶身份認證、安全管理、安全責任跟蹤和計費等功能。三是設置網絡入侵檢測系統(NIDS),同時可在邊界路由器上啟用NetFlow功能,以加強對非法入侵和惡意攻擊行為的檢測和發現能力,為網絡管理員提供網絡異常事件的處理能力。
4.2 學生網絡的安全設計
從前面的校園網業務需求的安全性分析可知,校園網內部并非鐵板一塊,不同的業務需求對安全性的要求是不同的,相對來說學生網絡的安全級別最低。針對學生網絡用戶數量龐大、用戶類型的復雜性的特點,主要可采取以下安全措施:一是為保證網絡資源的合理有效分配,必須進行網絡流量限制;二是在交換機處提供必要的第二層安全控制,以減少網絡流量嗅探攻擊,中間人攻擊(Man-in-the-middle-attacks,簡稱:MITM攻擊);三是在不同學生網段的路由器上設置無狀態ACL,以實現數據過濾。后兩項措施可以緩解學生系統之間的相互攻擊。總體上講,學生網絡的安全防護功能是相當弱的,主要的安全防護功能落在了學生主機上,因此必須加強網絡安全教育,提高學生的安全防范意識和能力。但是較低的安全防護設計卻給學生創造了一個相當寬松的網絡環境。
4.3 教學管理網絡和公共服務網絡的安全設計
教學管理網絡和公共服務網絡的服務器中存在著大量敏感的數據,比如說學生成績和學生注冊信息,它們極易受到來自于Internet及學生網絡的攻擊,因此也就提出了更高的安全需求。對教學管理網絡和公共服務網絡的安全設計,相當于在校網絡的基礎上建立起一個安全性更高的內部網絡。其安全設置類似于校園網與Internet之間的安全設計,如添加防火墻進行訪問控制,增加NIDS進行入侵檢測。從圖中可以看到,對學生網絡來說,它有一道防護屏障,而相對于Internet再說,它受到兩道防護屏障的保護。這是一個合理的安全等級層次。
4.4 管理網絡的安全設計
管理網絡看似類似于行政網管,需要使用防火墻進行保護。但是它有完全不同的業務需求,它負責整個網絡的安全管理,要根據各種校園網絡設備的管理需求,設置允許入站和出站的特定連接。因為它的周圍有許多不可信的網絡,在網絡設備與管理網絡進行數據傳送時,必須保證數據的安全保密性,因此數據傳遞過程中的安全要求較高,在數據通信需要使用SSH/SSL等安全通信協議。對于那些不支持SSH/SSL的網絡設置,只能使用如Telnet之類的明文管理協議,在這種缺乏安全協議的情況下,應該限制可訪問Telnet后臺程序的IP地址,以增加這些網絡設備管理的安全性。
5 校園網安全管理
校園網的安全性不僅僅是一個技術問題,還需要安全管理的支持。安全的校園網絡系統是安全技術與安全管理有機結合的整體,它遵循所謂的“木桶原理”。正如木桶的容積決定于它最短的木板一樣,校園網系統的安全強度等于它最薄弱環節的安全強度。經驗表明,得不到足夠重視的網絡安全管理恰恰是校園網安全系統中最薄弱的一個環節。安全專家們則強調網絡安全靠的是“三分技術,七分管理”。
為加強校園網的管理,需要做好以下四項工作:一是觀念的更新,網絡安全不止是技術部門和專業人員的責任,應該得到學校高層的充分重視,需要所有的網絡用戶的共同遵循安全規則;二是建立網絡安全管理機構,明確權力和負責,從組織機構上保障網絡安全管理的有效實施;三是制訂網絡安全管理制度,明確校園網用戶的權利和義務,使用戶共同遵循校園網使用規則;四是建立完善的安全管理及應急響應機制,以對突發性安全事件做出迅速準確的處理,最大限度地減少損失。
安全事件處理機制的建立往往是校園網安全管理的盲區。與國防、金融等機構比起來校園網的安全級別低,應付安全突發事件的重要性并不是太突出。而且在一般情況下,意外事件發生的幾率不高,應付安全突發事件的必要性也往往被忽視。但是100%安全的網絡是不存在的,如果不能對網絡安全事件做出迅速而準確的響應,就有可能造成重大的損失。事實是,歷史上幾次重大的安全突發事件所造成的惡劣影響,使得各國都非常重視緊急事件響應處理。美國國防部于1989年資助卡內基.梅隆大學建立了世界上第一個計算機緊急響應小組CERT(Computer Emergency Response Team)及其協調中心CC(Coordination Center)。CERT/CC的成立標志著信息安全由傳統的靜態保護手段開始轉變為完善的動態防護機制。此后在20世紀90年代,計算機安全應急處理得到了廣泛而深入的研究。在我國,中國計算機教育與科研網(CERNET)于1999年成立計算機緊急事件響應組織(CCERT),是國內第一個安全事件響應組織;2000年3月,中國計算機網絡應急處理協調中心(CNCERT/CC)成立,該中心在國家因特網應急小組協調辦公室的直接領導下,協調全國范圍內計算機安全事件響應小組的工作,并加強與國際計算機安全組織的交流。
在校園網建設中,借助CERT的理念和研究成果,建立必要的網絡管理和應急響應機制將有利于規范和提高校園網安全管理能力。圖2所示,是一個可行的網絡管理和應急響應機制構建方案,說明如下。
1) 網絡安全的日常管理:在校園網的關鍵部分加強網絡安全的日常管理,使日志檢查、漏洞掃描、系統升級、病毒防御等工作制度化、常規化,盡量減少因管理員疏忽等主觀因素而引起的安全事件。建立責任追究制度,強化網絡管理人員的責任心。
2) 網絡安全應急小組:接收并處理來自用戶的安全突發事件,NetFowl等流量分析的異常報告、入侵檢測系統的入侵警告和日常管理中的安全事件報告。通過分析調查,決定采取相應的應急處理措施,如系統隔離、事件跟蹤、漏洞修補、安全策略調整、系統恢復和統計報告等等。同時為廣大用戶提供各種安全服務,如安全咨詢、安全教育和安全工具等等。
6 小結
網絡安全是當前校園網建設和應用的焦點問題,本文從技術和管理層面深入地討論了安全校園網系統的建設問題。在技術層面上,需要根據校園網應用的不同,劃分不同的安全等級區域,并針對各個區域的應用需求進行安全設計;在管理層面上,特別強調建立網絡安全管理及應急響應機制,保障網絡管理的規范化、制度化,提高網絡安全管理能力。
參考文獻:
[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL]./research/slide1.php,2004.
[2] Convery S.網絡安全體系結構[M].江魁,譯.北京:人民郵電出版社,2005.
[3] 連一峰,戴英俠.計算機應急響應系統體系研究[J].中國科學院研究生院學報,2004,21(2):202-209.
第9篇:網絡安全等級保護解決方案范文
信息,同企業其他資產一樣是種資產,對企業的發展有很大作用。信息以各種形式存在,包括紙質的、電子的、圖像的等。我國信息專家鐘義信認為:“信息是該事物運動的狀態和狀態變化方式的自我表述/自我顯示。”顧名思義,信息安全既保障“信息”的“安全”。關于信息安全,國際標準化組織(ISO)認為:“信息安全是在技術上和管理上為數據處理系統建立的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。我國信息安全專家沈昌祥院士則認為:“信息安全是保護信息和信息系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞,為信息和信息系統提供保密性、完整性、可用性、可控性和不可否認性”。
二、企業信息安全體系設計
2.1企業信息安全體系方案概述
2.1.1信息安全體系設計原則
企業信息安全體系的設計應遵從以下原則:
(1)性能平衡,合理劃分:提高整個系統的“安全低點”的性能,保證各層面能得到均衡防護;按照合理原則劃分為安全等級,分區域、分等級防護。
(2)標準一致,功能互補:在產品技術、產品設備選擇方面,盡可能遵循同一業界標準;充分考慮不同廠商、不同安全產品的功能互補,在進行多層防護時,考慮使用不同廠家的。
(3)統籌規劃,分步實施。
2.1.2信息安全體系框架
網絡安全的實現不是目標,是過程。其過程經歷了安全評估、制訂安全策略、安全培訓、安全技術實施、安全網絡檢測、應急響應和災難恢復等環節,并不斷地螺旋式提高發展,得以實現網絡安全。信息安全體系的三要素:管理、技術和運維。通過一系列的戰略、系統和機制的協調,明確技術實現方法與相關安全操作人員的職責,從而達到安全風險的發現和有效控制,從而改善的安全問題反應速度和恢復能力,增強整體網絡安全能力。管理方面,建立、健全安全組織結構;技術方面,建立分層網絡安全策略;運維方面,通過不同的安全機制,提高網絡安全的能力。
2.2企業信息安全技術體系
2.2.1信息安全技術體系概述
(l)設計原則
分析企業信息網絡安全面臨的主要威脅,實施有針對性的安全技術體系。安全技術體系的總體性要求如下:全面綜合:采用綜合解決方案,體系層次化,具有縱深性。集成統一:有效集成各類管理工具,集中化管理所有IT系統。開放適應:支持各種安全管理標準,能適應組織和環境的變化。
(2)信息安全技術體系框架
通過物理安全、網絡安全、系統安全、應用安全等方面進行建設。具體有以下措施:物理安全防護建設;統一容災備份中心建設;防火墻系統的部署;入侵防護系統的部署;系統安全防護建設;防病毒系統部署;漏洞掃描系統部署;信息審計系統防護。
2.2.2物理安全防護建設
(1)配套設備安全
采用多路供電(市電、動力電、UPS)的方法,多路電源同時接入企業信息系統大樓或主機房及重要信息存儲、收發等重要部門,當市電故障后自動切換至動力電,動力電故障后自動至UPS供電。并且,當下級電源恢復后,應立即自動切換回去。這樣,既保證了安全性,又降低了運行費用。形成一套完整的先進和完善的供電系統及緊急報警系統。供電系統中,會有尖峰、浪涌等不良現象發生,一旦發生,輕則斷電重啟,重則燒毀并引發火災。這種情況下,UPS也無濟于事。為避免對供電質量和造成不安全因素,可以使用電力凈化系統。電源凈化系統不僅保證電源質量,同時還可減少電磁污染,避免信息隨電纜外泄。用多路供電接入企業機房及重要部門,降低了運行成本,又保證了系統的安全。
(2)計算機場地安全
嚴格按照國家標準建設,如國標GB/T2887-2000《電子計算機場地通用規范》、GB9254-1998《信息技術設備的無線電騷擾限值和測量方法》等。《電子計算機場地通用規范》規定了站址選擇條件:計算機場地盡量建在電力、水源充足,自然環境清潔、通信、交通運輸方便的地方;應盡量避開強電磁場的干擾;應盡量遠離強振動源和強噪聲源;應盡量建在建筑物的高層及地下室以及用水設備的下層。規定了溫度、濕度條件并將它分成ABC三級;規定了照明、日志、電磁場干擾具體技術條件;規定了接地、供電、建筑結構條件等。
2.2.3統一容災備份中心建設
無論企業信息系統設計、維護得多科學合理,故障的發生都是不可避免的,因此在設計時都應考慮容災解決方案,即統一容災備份中心建設。基本思路是“數據冗余+異地分布”,即在異地建立和維護一份或多份數據冗余,利用數據的冗余性和地理分散性來提高對災難事件的抵御能力。企業數據容災,存儲是基礎,備份是核心,恢復是關鍵。信息網絡采用本地備份與異地備份的混合方式,以確保數據或系統的安全。通過各種層面的冗余技術,減少單點故障;使用合適的備份技術實現針對各個位置存放的數據的保護、隔離和嚴格訪問,保證數據的一致性、安全性和完整性。包括:存儲磁盤的冗余設計,對系統盤采用RAID1技術,對數據盤采用RAID5技術。數據的冗余備份設計:數據庫數據文件的存放采用基于SAN架構的存儲方案,在保證讀取速度的同時,利用遠程數據鏡像和數據復制技術進行冗余備份,在區域性空難發生時能更大限度保證數據完整和安全。對核心業務的數據庫數據,還可利用SQLServer自帶的數據備份工具進行數據庫文件備份,有效應對文件損壞或人為誤操作帶來的數據風險。對正常業務中關鍵數據或全業務數據進行保護,將主數據庫的數據以邏輯的方式在異地機房建設一個同樣的數據庫,并且實時更新數據,當主數據庫因災損壞或失去,異地數據庫可以及時接管業務,從而達到容災的目的。
三、結論及展望
