网络安全运营体系建设范文
发布时间:2023-10-09 17:42:59
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇网络安全运营体系建设范例,将为您的写作提供有力的支持和灵感!
篇1
信息产业部在北京隆重举行第38届世界电信日暨首届世界信息社会日纪念大会。围绕世界电信日主题“让全球网络更安全”,信息产业部副部长奚国华在讲话中呼吁社会各界携起手来,保障网络与信息安全,为建立一个和谐、文明、繁荣的信息社会而共同努力。
奚国华指出,国际电联今年确定的世界电信日主题“让全球网络更安全”,具有鲜明的时代特色和很强的现实意义。当前,在全球范围内,计算机病毒、各种有害信息、系统安全漏洞和网络违法犯罪等网络与信息安全问题日渐突出。如何保障信息网络的安全可靠运行,已成为世界各国政府主管部门、企业界和广大用户共同面临的一个严峻挑战。中国政府对网络和信息安全问题给予了密切关注和高度重视,制定并实施了国家信息安全战略,在加强网络安全事件监测、完善协调处置机制、开展网络安全技术研究、建设网络安全应急体系等方面做了大量工作,基础信息网络和重要信息系统的安全防护能力显著增强。今年2月份,信息产业部还启动了以“倡导网络文明、构建和谐环境”为主题的“阳光绿色网络工程”系列活动,在净化网络环境和促进网络文明方面起到了积极作用。
奚国华强调,信息产业部将进一步树立和落实科学发展观,按照建设社会主义和谐社会的要求,坚决打击网络犯罪,切实维护网络与信息安全,为推进信息社会建设提供坚实保障。
——坚持网络发展与网络安全两手抓,推动信息通信业的和谐、有序、健康发展。网络安全是信息社会健康发展的基本前提,要像重视网络发展那样重视网络安全,以发展促安全、以安全保发展。一方面,要继续加大信息通信基础设施建设力度,积极推进信息技术的广泛应用和信息资源的开发利用,以满足社会日益增长的信息通信需求;另一方面,针对各种网络安全问题,采取切实有效的对策措施,不断提高防范和保障能力,创造一个放心、安全的网络应用环境,使网络能够更好地服务于人们的工作和生活。
——树立和落实社会主义荣辱观,构建健康和谐的网络环境。信息产业部将以社会主义荣辱观为指导,继续组织开展“阳光绿色网络工程”,倡导网络文明,推进网络文明建设和网络诚信体系建设,努力形成政府、企业、行业组织和社会公众共同参与的治理机制。电信运营企业,包括ISP、ICP、SP等各类增值服务经营企业,要强化社会责任意识,依法经营,文明办网,以形式多样、健康向上的业务占领网络阵地,积极参与和培育健康、和谐的网络空间。中国互联网协会等行业组织要加大宣传力度,积极开展各种健康向上、丰富多彩的网络文化活动,组织开发绿色上网产品,帮助广大网民提高自我保护的能力。广大网民应当知荣辱、明善恶,遵纪守法、文明上网,自觉抵制各种不良信息的侵蚀,并积极向有关部门举报不文明行为,共同努力,形成健康向上的网络文明风尚。
篇2
两项规定有利于完善互联网信息安全体系建设,有利于提高互联网公开公正的透明度,有利于推动互联网生态环境的建设,有利于推进互联网业务的快速发展。
2013年7月16日,工业和信息化部《电信和互联网用户个人信息保护规定》和《电话用户真实身份信息登记规定》,并要求于9月1号正式实施。毫无疑问,此举意味着政府决心加强互联网信息安全监管力度,加强对互联网个人信息的保护力度,加强对互联网参与者身份的管理。值得注意的是,随着这两项规定的,实名制再次成为社会备受关注的热点话题。
“实名制就一定能解决网络安全问题吗?”大多数人都会有这样的疑问。网络安全体系建设需要有完善的法律、法规和政策,还要有相应的网络安全防护技术辅助实施。试想,如果让实名制在网络上裸奔,显然是弊大于利。这些年互联网的快速发展,逐渐改变了人们的生活方式,并逐步将人们的日常生活引入网络生活,在这个过程中持续暴露出的网络安全问题最为头疼。实名制引入的目的是净化网络环境,杜绝网络危险因素流入,从而保护网络运行环境的安全,如果能够在此基础上避免实名制可能引发的个人信息安全,显然对网络安全体系建设是件极其有益的事情。
“实名制会引发哪些网络安全问题?”这是大多数人担心的问题。很明显,实名制关系到个人信息安全问题,近年来欺诈信息、垃圾信息的泛滥,有一个重要的原因就是个人信息被有意或无意泄露。这正是实名制引发社会讨论的原因,也是焦点。单纯从技术角度讲,实名制信息保护并不是技术难题,关键还是在于法律、法规和政策的监管,以及社会道德的约束。一般情况下,法律、法规和政策出台滞后于互联网业务的快速发展需求,这是造成实名制不能立即实施的根本原因。因此,没有相应的法律、法规和政策出台,执行实名制显然会存在个人信息保护的安全问题。
工业和信息化部同时这两项规定,就是要从保护个人信息安全角度出台实名制,从而消除上述两个问题对社会的影响。两项规定实质上是从法律、法规、政策和技术角度综合要求网络运营实体和参与者共同遵守互联网法律规章制度,这无疑能够有效净化网络运行环境,提高国内网络的信息安全水平。我国是互联网大国,这两项规定有利于完善互联网信息安全体系建设,有利于提高互联网公开公正的透明度,有利于推动互联网生态环境的建设,有利于推进互联网业务的快速发展。因此,这两项规定的是及时的、必要的,也是亟需的。个人信息保护和实名制将共同推动中国互联网安全体系的建设,促进中国互联网产业的健康快速发展。
篇3
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
一、电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
二、电信网络安全面临的形势及问题
2.1互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
三、电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
篇4
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2电信网络安全面临的形势及问题
2.1互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4主机、操作系统、数据库配置方案
篇5
据中国互联网络信息中心的调查报告,2009年我国网民规模达到3.84亿人,普及率达28.9%,网民规模较2008年底增长8600万人,年增长率为28.9%。中国互联网呈现出前所未有的发展与繁荣。
然而,在高速发展的背后,我们不能忽视的是互联网安全存在的极大漏洞,期盼互联网增长的不仅有渴望信息的网民,也有心存不善的黑客,不仅有滚滚而来的财富,也有让人猝不及防的损失。此次发生的政府网站篡改事件、百度被攻击事件已经给我们敲响了警钟:“重视互联网安全刻不容缓!”
显然,互联网以其网络的开放性、技术的渗透性、信息传播的交互性而广泛渗透到各个领域,有力地促进了经济社会的发展。但同时,网络信息安全问题日益突出,如不及时采取积极有效的应对措施,必将影响我国信息化的深入持续发展,对我国经济社会的健康发展带来不利影响。进一步加强网络安全工作,创建一个健康、和谐的网络环境,需要我们深入研究,落实措施。
首先,要深刻认识网络安全工作的重要性和紧迫性。党的十七大指出,要大力推进信息化与工业化的融合。推进信息化与工业化融合发展,对网络安全必须有新的要求。信息化发展越深入,经济社会对网络的应用性越强,保证网络安全就显得越重要,要求也更高。因此,政府各级主管部门要从战略高度认识网络安全的重要性、紧迫性,始终坚持一手抓发展,一手抓管理。在加强互联网发展,深入推动信息化进程的同时,采取有效措施做好网络安全各项工作,着力构建一个技术先进、管理高效、安全可靠的网络信息安全保障体系。
第二,要进一步完善网络应急处理协调机制。网络安全是一项跨部门、跨行业的系统工程,涉及政府部门、企业应用部门、行业组织、科研院校等方方面面,各方面要秉承共建共享的理念,建立起运转灵活、反应快速的协调机制,形成合力有效应对各类网络安全问题。特别是,移动互联网安全防护体系建设包含网络防护、重要业务系统防护、基础设施安全防护等多个层面,包含外部威胁和内部管控、第三方管理等多个方位的安全需求,因此应全面考虑不同层面、多个方位的立体防护策略。
第三,要着力加强网络安全队伍建设和技术研究。要牢固树立人才第一观念,为加强网络管理提供坚实的人才保障和智力支持。要发挥科研院所和高校的优势,积极支持网络安全学科专业和培训机构的建设,努力培养一支管理能力强、业务水平高、技术素质过硬的复合型队伍。不断加强创新建设,是有效提升网络安全水平的基础,要加强相关技术,特别是关键核心技术的攻关力度,积极研究制订和推动出台有关扶持政策,有效应对网络安全面临的各种挑战。
第四,要进一步加强网络安全国际交流与合作。在立足我国国情,按照政府主导、多方参与、民主决策、透明高效的互联网管理原则的基础上,不断增强应急协调能力,进一步加强网络安全领域的国际交流与合作,推动形成公平合理的国际互联网治理新格局,共同营造和维护良好的网络环境。
篇6
中图分类号TP393 文献标识码A 文章编号 1674-6708(2011)34-0184-02
随着国内教育水平的不断提高,互联网在中学校园中逐渐普及,互联网的规模在逐渐膨胀,网络用户也在迅速的增加,校园网络也从最初的科研、教育试验网过渡为科研、教育和服务并重并带有营运性质的网络角色。当下,信息化教育的进程发展迅速,信息化网络教育对教学具有一定程度的辅助作用,所以校园网作为学校数字化信息教学的重要传输载体,在中学校园的信息化建设中占据着举足轻重的作用。但是在这建设过程中,由于技术和运营等方面的问题,出现了重技术而轻安全管理的局面。数据的安全、信息的安全都迫切的需要保障,如何建立行之有效的校园网络信息安全保障系统和管理制度,是摆在我们面前的实质性问题。
1 校园网络对安全保障的需求
以我校为例,在我校现有的网络建设规模下,已经满足学生们对互联网知识的求索和对学习方面的辅助要求,那么在校园网络日益被教师和学生信赖的同时,在安全保障方面,也提出了更高的需求。
1)业务应用方面
校园网建设的根本目的是要满足广大师生对各种信息的需求,比如说,要满足教务管理、办公自动化、图书馆信息管理等校园自身的信息系统需求;要为学生提供一个优秀的学习环境、方式以及方法,扩大师生的知识面,从而提高学生的整体素质水平。因此,我们大力开展网络远程教育、网上视频等网络服务,因此,校园网络在安全方面的需求逐渐显露出来,我们必须对信息源加以保护,对网络服务进行有效的管理和监控,才能尽可量的减少风险。
2)用户群体方面
中学校园网络面向的使用群体主要是青少年,学生们日益依赖网络来获取学习信息,以丰富知识和课余生活,为了避免学生们接受不良的网络信息,校园网络的安全就显得尤为重要。
2 校园网络存在的安全问题
2.1 恶意破坏
网络的恶意破坏,主要体现在网络系统和网络设备破坏方面。系统的破坏主要是利用黑客攻击技术对校园的网络系统进行攻击,比如校园的网站主页被篡改,恶意诋毁学校形象,向服务器发送大量的信息致使服务器瘫痪以及各种非法信息的传输等;在设备方面,主要是学校的路由器、交换机、工作站和服务器等硬件设备,由于设备分布广,相对来说较难管理。
2.2 非法访问
在非法访问方面,主要是来源于学校的内部,部分学生可能以投机取巧的心态通过非正常的手段获取习题答案,导致正常的教学测验有失公平。
2.3 不良信息的传播
鉴于目前互联网上信息的纷繁复杂,质量也是良莠不齐,一些违背社会意义和法律法规的信息会对学生的三观造成极大的影响,青少年正值心理成长期,如果没有安全保障系统对网络信息进行过滤,对学生的成长是十分不利的。
2.4 病毒的危害
网络病毒由于其破坏性大、传播速度快而被大家深恶痛绝,特别是校园网络连接广域网以后,病毒入侵对安全的威胁逐步加大,学生们在下载和接受邮件的过程中就有可能轻易的被病毒攻击。
2.5 口令的入侵
关于口令方面,因为其涉及到学生隐私及费用等问题,而更加需要安全保护,为了方便使用和管理,每位学生和老师都有相应的口令账号和密码,给予相应的权限,为了防止超越权限的访问和费用转嫁的现象,避免管理混乱,在口令方面要加以安保措施。
3 校园网络安全保障体系的建设
面对以上种种亟待解决的问题,构建校园网络安全体系势在必行,我们可以从以下几方面入手建设:
1)安全技术体系建设
(1)安全防护体系的建设
安全防护体系是校园网络安全的技术核心所在,通过信息系统的系统层、应用层和网络层等技术,实现访问控制和识别认证,要及时更新最新的杀毒软件,进行定期自动的系统补丁更新、安全扫描、查杀病毒、清理不良插件等安全措施。要加大对不良网站以及弹出窗口的屏蔽力度。
(2)应急恢复体系的建设
应急恢复系统的建设是非常必要的,要在安全防护机制失效的情况下,应急处理和恢复灾难数据,及时的确保系统恢复正常的工作状态,以减少被破坏的程度。主要运用到WEB主页自动恢复、HA、数据备份、安全审计和数据恢复等办法。
2)安全管理体系建设
(1)增强信息安全意识
要在校园里对师生进行网络安全知识教育,设立网络安全周,通过宣传海报、辩论、答题、讲座等途径提高大家的网络安全意识,加快对信息人才的大力培养,督促师生们对自我的网络信息安全予以自律。
(2)安全组织体系建立
要建立一支以网络安全保障为主要工作内容的安保队伍,包括负责人、网络管理员等,成立安全座谈小组,发现问题及时汇报、及时解决。
(3)安全管理制度建设
要制定一套行之有效的安全管理制度,是一项繁杂的工作,需要从多方面入手,在互联网应用上,第一要建立校园网络统一的管理平台,让教师与学生利用唯一账号进行网络的访问,实现一号通登陆,特别是对无线网用户的登陆认证,要重点管理;学生计算机教室利用微软的域管理模式进行统一管理,第二要运用组策略对学生的计算机操作进行有效的管理与控制,并严厉禁止教学以外的所用程序运行;第三,封闭USB端口的使用,严格的杜绝与控制病毒的传播源;第四在出口处使用流量控制设备,对学生的上网时间、登陆网站进行有效控制,并且对整合校园网BT下载的流量进行策略控制,保证网络的高效安全,在出口防火墙中也进行安全性设置防止来自互联网的各种攻击;最后在内部的楼层交换机中进行网关绑定,有效的杜绝ARP病毒的攻击。
总结来说,校园网络为师生和学校管理带来了前所未有的便利条件,但与此同时带来的信息安全问题是不容忽视的,我们必须要树立起安全防范意识,制定相关的预警和保障系统,建立和完善网络信息安全组织体系,健全相关的网络使用规章制度,用先进的安全技术和高度负责的技术保障队伍,来确保校园网络的安全性,这不仅是对学校负责,更是对广大学生的爱护和高度的关心,我们要不断的加强校园网络安全的管理,为师生们提供更好的工作和学习的平台。
篇7
一.加强交通档案管理信息化建设
(一)建立网络档案系统
在系统内建设数字化综合应用平台。建立健全内部服务网和公众服务网,发挥网站的作用,使档案网站成为宣传档案工作、开展档案信息服务的窗口。促进档案现行文件信息化的标准建设,根据系统建设需求,采购必要的硬件设备,为系统提供硬件基础。提高档案管理软件的技术和应用水平,为保证档案信息交换、实现档案信息资源共享创造条件。制定相应的策略、保障档案资源的原始性、安全性、可靠性。
(二)加强电子文件的管理是做好档案信息化建设的关键
1.电子文件归档所涉及的问题更加广泛,受制约因素多,仅靠档案部门独家很难完成,应采取电子文件形成部门、档案部门、计算机与信息管理部门三结合的方法。三个部门的职能应用于相互渗透,扬长避短,发挥各自的优势,在电子文件归档中集成一体,共同形成质量较好的电子文档。
2.电子文件的载体稳定性差,易损坏,随着计算机信息管理网的建立与发展,越来越多的重要文件被传输上网。上网前,又按着信息管理部门的统一要求进行了文件格式的转换,在一定程度上保证了数据的可靠性和通用性,对那些未输送到计算机信息管理网上的具有保存价值的电子文档,应由电子文件形成部门编目整理,也利用网络技术向档案部门传输,可以借助信息管理网络在各业务管理机构与档案部门之间开通电子文件归档专递网线,建立依附在信息管理网上的归档专用子系统。
3.解决好档案电子文件的保存问题。以化学磁性材料为载体的电子文件,从理论上讲能够长期保存。因为它的信息读出是无接触式的,不存在磨损。电子文件记录在介质层上的信息被密封在塑料保护层内,不怕外界磁场的影响,不会直接受到空气中的灰尘、水份及有害气体的侵害。但是,由于电子文件形成的时间短,缺乏实际贮存的验证。所以,电子文件中原始信息的长期保存问题是有待档案工作者进行深入研究和探讨的重要课题。
4.做好档案归档电子文件的技术处理工作,实施电子文件管理战略。新型文件材料的归档势在必行,这就要求档案工作者必须深入到现行文件工作领域,对产生的大量电子文件的接收、处置乃至存储工作进行指导,保护电子文件的原始信息,了解文件信息重新组合的来龙去脉。也就是说,通过采取技术处理,将已归档的电子文件改为“只读性”文件,即只能读不能写的不可更改的文件,从而识别和保护电子文件的原始结构,保证电子文件的可靠性,使之与纸质文件一样发挥社会效用。
二.加强交通信息化安全保障体系建设及其基本要求
信息安全保障体系是基于PKI体系而开发的为多个应用系统提供统一认证、访问控制、应用审计和远程接入的应用安全网关系统,它可以将不同地理位置、不同基础设施(主机、网络设备和安全设备等)中分散且海量的安全信息进行样式化、汇总、过滤和关联分析,形成基于基础设施与域的统一等级的威胁与风险管理,并依托安全知识库和工作流程驱动,对威胁与风险进行响应和处理。信息安全保障体系的基本要求主要体现在以下几个方面:
1)保密性
主要体现在谁能拥有信息,如何保证秘密和敏感信息仅为授权者享有。
2)可用性
主要体现在信息和信息系统是否能够使用以及如何保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。
3)完整性
主要体现在拥有的信息是否正确以及如何保证信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增添、替换。
4)可控性
主要体现在是否能够监控管理信息和系统以及如何保证信息和信息系统的授权认证和监控管理。
5)不可否认性
主要体现在信息行为人为信息行为承担责任,保证信息行为人不能否认其信息行为。
三.交通信息化人才队伍建设
这是交通信息化成功之本,对其他各个要素的发展速度和质量起着决定性的作用。在“信息化”的时代的今天,信息技术快速发展,掀起了以数字革命为特征的信息技术浪潮,改变了人们的时间和空间的概念以及思维方式。信息技术的快速发展和广泛应用,对经济和社会的发展产生了深远的影响。档案管理工作也不例外,同样需要现代化。目前,我国各级交通管理部门也纷纷加强信息技术建设。加强信息化条件下的档案管理工作,是适应时代和社会发展的必然选择,是加快交通信息化管理的客观要求,也是提高服务水平的唯一途径。
四.交通信息化建设安全策略
1.安全策略体系
网络安全策略是为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和,因此信息安全策略是信息安全保障体系建设和实施的指导和依据,全面科学的安全策略体系应贯穿信息安全保障体系建设的始终。安全策略体系,主要包含安全政策体系、安全组织体系、安全技术体系和安全运行体系四个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护,减小网络受到攻击的可能性,防范网络安全事件的发生,提高对安全事件的反应处理能力,并在网络安全事件发生时尽量减少事件造成的损失。
2.安全运营体系
交通电子政务的安全运营体系一般可由安全体系推广与落实、项目建设的安全管理、安全风险管理与控制和日常安全运行与维护四个部分组成。安全运营体系是一个完整的过程体系,在交通信息化建设的整个过程中,正常的运作流程,其信息流遵循自上而下的流程,即交通上级部门根据电子政务平台信息安全需求的目标、规划和控制要求做计划,下级交通部门根据计划进行执行、检查和改进。而若其安全性出现威胁,影响正常的运作流程时,此时信息流则遵循自下而上的逆向过程,下级交通部门向上级部门报送安全事件,上级部门根据其安全事件进行分析、总结和改进。
3.安全组织体系
政府高度重视交通运输信息化工作的同时,坚持把“积极防御,综合防范”放在优先位置,首先要求成立专门的信息安全领导小组。信息安全领导小组可由交通主管领导担任领导小组组长主管信息安全工作,下设信息安全工作组,各管理部门负责人、业务部门负责人为成员。
五.结语
总之,交通信息化建设安全保障体系的基本要求主要从技术和管理两个层面得以实现。技术层面在实现信息资源的公开性、共享性和可访问性的同时,通过主机安全、网络安全、物理安全、数据安全和应用安全等技术要素保障信息的安全性。管理层面则可通过安全管理机制、安全管理制度、人员安全管理、系统建设管理以及系统运营管理等规范化机制得以保障信息的安全性。
篇8
中图分类号:TP277 文献标识码:A 文章编号:1007-9416(2015)04-0111-01
1 云计算的认识及发展
对于云计算这个概念的解释有很多种,在如今,云计算被普遍认为是在互联网的基础上的相关服务的叠加,应用和交互模式,通过互联网这个平台向用户提供动态的,易扩展的,虚拟化的资源。近几年,云计算的发展十分迅速,它的应用也十分的广泛,主要有云服务,云计算,云存储,云安全这几个方面。除了应用到基础的互联网技术中去,云计算也渐渐地出现在城市安防系统的建设中来了,在城市安防体系中发挥着越来越重要的作用。
2 云计算在城市安防体系中的重要性
通俗的来讲,云计算作为一种刚刚发展起来的新事物,它所具有的优势显而易见,它在整个IT行业中也扮演着重要的角色。随着网络化的普及与深入,将云计算应用到城市安防体系建设中去,已经是城市安防体系建设的首要技术革新任务。从现实意义上来讲,传统的城市安防系统与云计算是很难融合的,但是,随着社会经济水平的发展和网络化的普及,城市安防体系与云计算的融合逐渐变为了可能。近年来,随着相关技术研发部门的不断探讨,“视频监控即服务”这一概念频频出现在大众的视野。它涵盖了“安防运营服务”模式,安防系统设备,安防管理应用软件的全部。
此外,为了发挥城市安防系统的作用,确保城市安防系统的可用性,这就要求城市安防系统不能放过城市中的任何信息,并且能够根据收集到的信息,删繁就简,提取有价值的信息。但是,传统意义上的城市安防系统往往难以筛选这些信息。因此,如何有效地筛选信息,通过云计算这个平台,也可以很好的解决。
3 云计算在城市安防体系中的应用
3.1 虚拟化技术在城市安防体系中的应用
虚拟化技术在云计算中占有重要的地位,它服务于整个IT行业的各个环节。它包含了一套完整的软硬件系统。在现今城市安防体系建设中,得到了广泛的应用于发展。通俗意义上讲,虚拟化就是将城市安全管理数据采用虚拟化的计算服务平台进行规划和整合,尽可能的服务于安防建设,城市安全建设的成本大幅降低,保证安全信息资源的使用率。例如,关于“平安重庆“这一城市建设项目中,对于城市安防体系的建设主要也是采用了云计算中的虚拟化技术,主要运用网络技术,收集整合相关安全信息资源,为联动类公安应急防控系统、通讯网络安全、安全管理审计以及授权管理等等提供服务,更加便捷有效地实现城市安全管理,促进城市的安全发展。
3.2 云存储与文件系统在城市安防体系建设中的应用
云存储就是采用网络计算机的空间存储能力对于城市安全防护体系建设的相关资源加以存放,在资源的共享与使用下,都是通过网络信息技术,便捷地实行管理与规划,充分地凸显出云计算的作用与功能。例如,也是在平安重庆这一城市建设项目中,就是运用网络有弹性的网络存储空间,将这一空间使用技术形成专有的产业链,将信息技术糅合到城市建设的产业链中,促进相关产业的融合发展,在城市安全防护建设的资源共享上依靠的完全是发达的电子信息技术,形成更加便捷安全的管理系统。
3.3 云计算时效性在城市安防体系建设中的体现
云计算的时效性也是网络的主要特点,对于城市安防资源的采集,以及数据的整合方面都是非常的迅速的,各项资源的与传达也十分迅猛,各城市之间的信息交流与总结,都会通过云计算这种模式快速的分析汇总,对于管理应用人员来说,这会带来相当大的便捷。卫士通网络信息技术在城市建设安全建设中使用比较广泛的,在平安重庆的建设中就是充分利用网络技术的迅速与便捷,真正意义上实现城市的平安管理。
3.4 云计算智能化在城市安防建设中的体现
在安防体系建设中实现云计算的应用,本身就是技术上的突破,由于计算机技术的特殊性与技能性,使得安防管理更加趋于智能化的方向,确实在一定程度上降低了管理成本,其实这也在侧面上提高了我国对相关工作人员的技术技能要求,以适应飞速发展的社会,满足社会需求。
现代信息技术日趋成熟,云计算的应用也在不断完善,随着时代的进步,云计算在城市规划与建设中的使用范围将不断扩大,对于城市安防体系基于云计算的应用也将会得到广泛的实践与推广,因此,在城市安防建设中一定要正确认识云计算的功用与意义,把握时代的发展契机,充分发挥云计算在城市安防建设中的重大作用。
参考文献
[1]由内而发卫士通信息防泄力保网络安全无误[J].计算机与网络,2008(10).
篇9
服务器是整个专用网络的核心支撑之一,不仅运行着多种保障专用通信网络正常运行的网络管理服务与系统,还存储了大量的网络共享信息资源。这就使得拒绝服务攻击成为针对服务器的网络威胁之一。使用必要的安全防范技术,降低或消除网络中拒绝服务攻击出现的概率对于确保网络的安全稳定运行具有重要意义。
(2)病毒
病毒具有传播速度快、爆发迅猛、数据或系统破坏力大等特点,一旦专用通信网络中出现病毒,不仅会影响到整个网络内用户的网络使用,还有可能造成网络内信息资源的严重破坏。使用多种病毒检测与防治技术来增强网络用户和网络节点的安全性同样具有重要意义。
二、专用通信网络资源信息管理体系建设
通信网络的畅通与稳定,需要从技术和管理两方面着手,建立可控的信息安全体系结构和完善的网络管理体系。
(1)技术体系建设
专用通信网络可以分为物理层、系统层、网络层以及应用层等几个层面,每一层均具有其结构和功能特点,针对这些特点可以采用适当的安全防护技术来保障网络内信息的安全。物理层涉及的主要内容为保障各硬件设备的可靠性、安全性以及防灾防干扰能力,可以从两方面着手:建立线路或设备备份机制,确保出现设备故障时可以及时切换服务设备,如为核心设备提供不间断电源保障等;提升和进一步完善网络设备的运营环境,如及时查看和调整网络机房内的温湿度等。
系统层涉及的主要内容为保护操作系统的安全性,具体而言,一方面要做好访问控制管理,及时修复系统漏洞;另一方面要做好系统的安全配置。网络层涉及的主要内容为网络信息的安全,如网络资源的访问控制、数据传输的完整性与保密性控制、网络层用户身份认证等。应用层涉及的主要内容为网络用户信息资源使用安全防护。如用户终端系统的安全防护、基于网络数据的应用控制以及用户数据传输安全性和可靠性控制等。
(2)管理体系建设
提升专用网络资源信息管理效果除了建立技术防护体系外,关键在于增强网络信息安全队伍建设,建立健全网络信息管理制度等方面。
1.确保信息资源的安全与完整,这需要通过安全管理规章制度来规范网络用户的行为,规范各项信息业务的操作与使用。制度是一切管理的基础。如建立网络保障制度、病毒防治制度、网络使用规范、数据信息安全保密制度等。
2.强化网络管理与组织体系,明确安全队伍中各人员的工作职能,做好通信网络管理知识培训,确保网络信息资源安全相关工作的稳健开展。
3.规范网络使用规程,将安全、保密以及规范落实到具体的工作环节。如电子设备入网管理、存储功能设备的网络资源读取管理、外来数据传输操作规程、UPS电源的操作规范等。
篇10
徐晓阳:电信运营商网络IP化是电信网络的发展趋势。IP网络是基于统计复用技术的共享网络,IP技术的优势在于简单高效,但由于IP技术设计当初没有考虑安全问题,基于IP技术的运营商网络面临多种安全挑战,可以归结为保密性、完整性、可用性三大类安全风险,保密性方面主要是共享网络存在信息泄漏的风险。完整性方面主要是信息被窜改的风险;可用性是电信运营商最为关注的安全问题,电信网络作为一个基础网络,是承载用户业务的基础,一旦网络的可用性无法保证,则直接导致运营商经济收益和信誉的损失。
《通信产业报》:如何探测电信网络中的安全隐患?
徐晓阳:与软件系统的白盒测试和黑盒测试类似,对电信网络的安全隐患探测也可分为白盒探测和黑盒探测两种方式。白盒探测主要是网络安全工程师对电信网络的网络架构、路由交换设备协议功能的设计、业务主机的系统配置、业务系统的程序编码等多方面进行分析评估和安全审核,发现安全隐患,最终形成安全评估报告。黑盒探测通过模拟黑客行为对电信网络进行渗透测试,发现网络的安全漏洞,形成系统安全修复建议报告。
《通信产业报》:如何通过建立多级安全机制,从整体上提升电信运营商网络安全水平?
徐晓阳:信息安全的目标就是保护有可能被侵犯或破坏的机密信息不被外界非法操作者控制,要求达到:保密性、完整性、可用性、可控性等目标。电信运营商网络可分为生产网和支撑网两大类,不同类型的网络,其安全需求侧重点有所不同,对于生产网,如公众互联网,可用性和可控性为首要安全目标,而机密性完整性则处于次要位置,运营商首要任务是保证网络的可用性,而机密性和完整性则由客户利用加密传输、CA安全论证等应用层安全技术来保障,要达到网络的可用性则首要条件是网络的流量是可知可控的,采用访问控制机制(防火墙)、深度包检测(DPI)技术来实现;对于支撑网,如DCN网,保密性和完整性为首要安全目标,主要采用VPN技术、安全域划分、终端安全防护等安全机制来解决。
《通信产业报》:如何维护DCN网络安全?
篇11
“永恒之蓝”事件回溯
2017年4月期间,微软以及国内的主要安全公司都已经提示客户升级微软的相关补丁修复“永恒之蓝”漏洞,部分IPS技术提供厂商也提供了IPS规则阻止利用“永恒之蓝“的网络行为;(预警提示)
2017年5月12日下午,病毒爆发;(开始)
2017年5月12日爆发后几个小时,大部分网络安全厂商包括360企业安全、安天、亚信安全、深信服等均发出防护通告,提醒用户关闭445等敏感端口;(围堵)
2017年5月13日,微软总部决定公开已停服的XP特别安全补丁;国内瑞星、360企业安全、腾讯、深信服、蓝盾等均推出病毒免疫工具,用于防御永恒之蓝病毒;(补漏)
2017年5月13日晚,来自英国的网络安全工程师分析了其行为,注册了MalwareTech域名,使勒索蠕虫攻击暂缓了攻击的脚步;(分析)
2017年5月15日,厂商陆续“文件恢复”工具,工作机制本质上是采用“删除文件”恢复原理/机制,即恢复“非粉碎性删除文件”;(删除文件恢复)
2017年5月20日,阿里云安全团队推出“从内存中提取私钥”的方法,试图解密加密文件;生效的前提是中毒后电脑没重启、中毒后运行时间不能过长(否则会造成粉碎性文件删除);(侥幸解密恢复)
2017年5月20日之后,亚信安全等网络安全公司推出基于该病毒行为分析的病毒防护工具,用于预防该病毒变种入侵;(未知变种预防)
2017年6月2日,国内网络安全企业找到了简单灵活的、可以解决类似网络攻击(勒索病毒)方法的防护方案,需要进一步软件开发。
事件处理显示我国网络安全能力提升
(一)网络安全产业有能力应对这次“永恒之蓝”勒索蠕虫事件
早在4月15日,NSA泄漏“永恒之蓝”利用工具,国内不少主力网络安全企业就针对勒索软件等新安全威胁进行了技术和产品的准备,例如深信服等部分企业就提取了“永恒之蓝”的防护规则,并部分升级产品,还有部分企业识别并提前向客户和社会了预警信息,例如,在这次事件爆发时,亚信安全等网络安全企业保证了客户的“零损失”。
事件发生后,国内网络安全企业积极行动,各主要网络安全企业都进行了紧急动员,全力应对WannaCry/Wcry等勒索病毒及其种的入侵,帮助受到侵害的客户尽快恢复数据和业务,尽量减少损失。同时,也积极更新未受到侵害客户的系统和安全策略,提高其防护能力。360企业安全集团、安天等公司及时病毒防范信息,并持续更新补丁工具。此次“永恒之蓝” 勒索蠕虫被迅速遏制,我国网络安全企业发挥了重要作用,帮助客户避免被病毒侵害而遭受损失,帮助受到感染的客户最大限度地减少损失。
(二)网络安全防护组织架构体系科学、组织协调得力
随着《中国人民共和国网络安全法》的颁布实施,我国已经初步建立了一个以网信部门负责统筹协调和监督管理,以工信、公安、保密等其他相关部门依法在各自职责范围内负责网络安全保护和监督管理工作的管理体系。既统筹协调、又各自分工,我国的网络安全管理体系在应对此次事件中发挥了重要作用。
依照相关法律规范,在有关部门指导下,众多网信企业与国家网络安全应急响应机构积极协同,快速开展威胁情报、技术方案、通道、宣传资源、客户服务等方面的协作,有效地遏制住了事态发展、减少了损失。
安全事件暴露出的问题
(一)网络安全意识不强,对安全威胁(漏洞)重视不够
4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一个攻击框架和多个Windows 漏洞利用工具。攻击者利用这些漏洞可以远程获取 Windows 系统权限并植入后门。
针对此次泄露的漏洞,微软提前了安全公告 MS17-010,修复了泄露的多个 SMB 远程命令执行漏洞。国内网络安全厂商也提前了针对此次漏洞的安全公告和安全预警。但是国内大部分行业及企事业单位并没有给予足够的重视,没有及时对系统打补丁,导致“永恒之蓝”大范围爆发后,遭受到“永恒之蓝”及其变种勒索软件的攻击,数据被挟持勒索,业务被中断。
在服务过程中发现,大量用户没有“数据备份”的习惯,这些用户遭受“永恒之蓝”攻击侵入后,损失很大。
(二)安全技术有待提高(安全攻防工具)
继2016年8月份黑客组织 Shadow Brokers 放出第一批 NSA“方程式小组”内部黑客工具后,2017年4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一个攻击框架和多个Windows 漏洞利用工具。攻击者利用这些漏洞可以远程获取 Windows 系统权限并植入后门。
目前,我国在网络安全攻防工具方面的研发与欧美国家相比还存在较大差距,我国在网络安全漏洞分析、安全防护能力上需进一步加强。勒索蠕虫入侵一些行业和单位表明不少单位的安全运维水平较低。
实际上,防御这次勒索蠕虫攻击并不需要特别的网络安全新技术,各单位只需要踏踏实实地做好网络安全运维工作就可以基本避免受到侵害。具体而言,各单位切实落实好安全管理的基础性工作――漏洞闭环管理和防火墙或网络核心交换设备策略最小化就可以基本防御此次安全事件。
在漏洞管理中运用系统论的观点和方法,按照时间和工作顺序,通过引入过程反馈机制,实现整个管理链条的闭环衔接。也就是运用PDCA的管理模式,实现漏洞管理中,计划、实施、检查、改进各工作环节的衔接、叠加和演进。要尽力避免重发现、轻修复的情况出现。及时总结问题处置经验,进行能力和经验积累,不断优化安全管理制度体系,落实严格、明确的责任制度。需要从脆弱性管理的高度,对系统和软件补丁、配置缺陷、应用系统问题、业务逻辑缺陷等问题进行集中管理。通过这些规范、扎实的工作,切实地提升安全运维能力。
基础工作做到位,防护能力确保了,可以有效避免大量网络安全事件。
对提升网络安全防护能力的建议
(一)完善隔离网的纵深防御,内网没有免死金牌!
这次事件的爆发也反映出不少行业和单位的网络安全管理意识陈旧落后。部分决策者和运维管理人员盲目地认为网络隔离是解决安全问题最有效的方式,简单地认为只要采取了隔离方案就可以高枕无忧。一些单位在内网中没有设置有效的网络安全防护手段,一旦被入侵,内网可谓千疮百孔、一泻千里。部分单位的内网甚至还缺乏有效的集中化管理手段和工具,对于网络设备、网络拓扑、数据资产等不能够实现有效的统一管理,这给系统排查、业务恢复、应急响应都带来了很大的困难,也大幅度地增加了响应时间和响应成本。这次事件中一些使用网络隔离手段的行业损失惨重,这种情况需要高度警醒。
在4・19重要讲话中专门指出:“‘物理隔离’防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。”
一定要破除“物理隔离就安全”的迷信。随着IT新技术的不断涌现和信息化的深入发展,现实中的网络边界越来越模糊,业务应用场景越来越复杂,IT 系统越来越庞大,管理疏忽、技术漏洞、人为失误等都可能被利用,有多种途径和方法突破隔离网的边界阻隔。网络隔离不是万能的,不能一隔了之,隔离网依然需要完善其纵深防御体系。
在网络安全建设和运营中,一定要坚持实事求是的科学精神。在全社会,特别是在政府、重点行业的企事业单位各级领导应树立正确的网络安全观仍是当今重要的紧迫工作。
(二)强化协同协作,进一步发挥国家队的作用
面对日益复杂的网络空间安全威胁,需要建立体系化的主动防御能力,既有全网安全态势感知和分析能力,又有纵深的响应和对抗能力。动态防御、整体防御才能有效地应对未知的安全威胁。体系化能力建设的关键在于协同和协作,协同协作不仅仅是在网络安全厂商之间、网信企业之间、网络安全厂商与客户之间、网信企业与专业机构之间,国家的相关部门也要参与其中。国家的相关专业机构,如国家互联网应急中心(CNCERT)等应在其中承担重要角色。
在安全事件初期,各种信息比较繁杂,并可能存在不准确的信息。建议国家信息安全应急响应机构作为国家队的代表,在出现重大安全事件时,积极参与并给出一个更独立、权威的解决方案,必要时可以购买经过验证的第三方可靠解决方案,通过多种公众信息平台,免费提供给社会,以快速高效地应对大规模的网络攻击事件。
(三)进一步加强网络安全意识建设和管理体系建设
三分技术、七分管理、十二分落实。安全意识和责任制度是落的基本保障。
加强网络安全检查机制。加强对国家关键基础设施的安全检查,特别是可能导致大规模安全事件的高危安全漏洞的检查。定期开展网络安全巡检,把网络安全工作常态化。把安全保障工作的重心放在事前,强化网络安全运营的理念和作业体系,把网络安全保障融入到日常工作和管理之中。
采用科学的网络安全建设模型和工具,做好顶层设计,推进体系化和全生命周期的网络安全建设与运营。尽力避免事后打补丁式的网络安全建设模式,把动态发展、整体的网络安全观念落实到信息化规划、建设和运营之中。
安全建设不要仅考虑产品,同时要重视制度、流程和规范的建设,并要加强人的管理和培训。
加强网络安全意识教育宣传。通过互联网、微信、海报、报刊等各种形式的宣传,加强全民网络安全意识教育的普及与重视。在中小学普及网络安全基础知识和意识教育。借助“国家网络安全宣传周”等重大活动,发动社会资源进行全民宣传教育,让“网络安全为人民、网络安全靠人民”的思想深入人心。
(四)进一步加强整体能力建设
切实落实“4・19讲话”精神,加快构建关键信息基础设施安全保障体系,建立全天候全方位感知网络安全态势的国家能力与产业能力,增强网络安全防御能力和威慑能力。不仅要建立政府和企业网络安全信息共享机制,同时要积极推进企业之间的网络安全信息共享,探索产业组织在其中能够发挥的积极作用。
加强网络安全核心技术攻关。针对大型网络安全攻击,开发具有普适性的核心网络安全关键技术,例如可以有效防御各类数据破坏攻击(数据删除、数据加密、数据修改)的安全技术。
完善国家网络安全产业结构。按照国家网络安全战略方针、战略目标,加强网络某些安全产品(安全检测、数据防护等)的研发。
加强网络安全高端人才培养。加强网络安全高端人才培养,特别是网络安全管理、技术专家培养,尤其是网络安全事件分析、网络安全应急与防护,密码学等高级人才的培养。
加强网络安全攻防演练。演练优化安全协调机制,提高安全技能和安全应急响应效率。
篇12
车联网信息安全隐患已非个案。国家层面也在积极推动、探索汽车行业与信息安全交叉领域的安全规范及标准建设。2016年11月正式出台的《中华人民共和国网络安全法》明确要求网络运营者(车厂、车联网运营者)应“采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性”。
这意味着国家层面已经意识、关注并不断推动车联网信息安全的防御体系建设,通过加合国世界车辆法规协调论坛(简称WP29),积极参与联合国汽车信息安全法律法规的起草、修订工作。作为中国受邀单位,东软集团也由网络安全事业部物联网研发中心主任陈静相作为代表,出席于今年3月1日在美国召开的ISO和SAE联合工作组第二次会议。
汽车安全防护意识抬头
目前,汽车行业ISO标准体系已明确汽车功能安全规范,但并未做强制性推行。2016年,WP29就着手拟定汽车信息安全相关草案,计划将其作为一个国际交通系统必须遵守的强制性法律法规推出。
“东软之所以能作为中方代表参与其中,是因为我们在汽车电子行业以及安全领域有了近20年的积累。在将安全与车联网相关联并量产的实际能力方面东软有一定优势。”东软集团副总裁兼网络安全事业部总经理杨纪文表示,他们是想通过自身的一些积累,在推动汽车安全领域无论是国内标准还是国际标准的过程中贡献力量。
WP29推国际交通系统强制性法规,这对国内企业触动极大,同时也将影响智能网联汽车、无人驾驶汽车未来的市场格局。作为中方代表参与WP29国际法规建设,尤其是联合国汽车信息安全标准建设的具体工作,陈静相也坦诚压力。
“一方面,国内车厂此前在汽车信息安全方面普遍没有太多涉猎和积累,而我们参与提案的内容对现有产业格局会产生影响,势必会有阻力,这是难点一;另一方面,在汽车信息安全技术维度,欧洲主导加密技术,美国更注重整个管理流程、周期上的安全规范,东软如何代表国内汽车行业群体,把握好技术的主导方向,同时也要考虑将区域市场中的一些技术需求反映到国际汽车组织中,这是难点二。”
由东软集团股份有限公司、公安部第三研究所、长安集团、中国电子科技集团公司第十五研究所、中国信息安全认证中心、中国软件测评中心、恩智浦(中国)、长安汽车股份有限公司、奇瑞汽车股份有限公司等共同组成的车载信息安全产业联盟(Automotive Cybersecurity Industry Alliance,缩写:ACIA)2016年正式在京成立,该联盟正式对外了《车载信息安全技术标准白皮书》。东软集团也同期了国内首款车载信息安全产品――东软S-Car整体解决方案。
而东软也一直积极与国内各个车厂进行沟通,希望借此打消国内汽车厂商对现阶段的测试部署是否符合未砉际标准的顾虑,并希望凭借自身的努力,在真正的汽车安全行业标准落地后,保证前期介入制定的各项标准能够切实为汽车厂商提供应用支撑、提升安全防护。
深耕车载信息安全
陈静相介绍说,车载信息安全分为终端安全和网络安全两部分,与传统安全有着巨大差异。“这是一条更艰难的道路。”陈静相表示,“车载信息安全系统对车辆的操作性、实时性要求非常高,其所涉及到的技术难度是从量变到质变的过程。”例如,车载信息系统在加入安全元素之后,在流量的传输上也将带来更大成本,同时,车载信息安全系统需要做双向认证,在车辆每次断网再连网时,需要再做一次安全部署。而车载实时操作系统内存非常有限,传统的算法在其上无法直接运行,这一切无疑都是一个巨大挑战。
而汽车行业对设备的性能也有着异常严苛的要求。陈静相举例说明,宝马汽车在测试一款即将在欧洲车型上装配的收音机部件时,甚至派出工程师坐着样车环绕欧洲开了好几圈,测试收音机在不同地区不同频段是否会出现细微吱吱声,并随时记录以便改进。
对此,东软选择的技术路线是由内而外,通过在汽车底层网络中构建、部署汽车智能信息安全系统的方式来提升整个车联网系统的安全防御能力。
篇13
税务系统广域网络概况
税务系统广域网络是金税工程的基础设施,由税务总局至各省级、地市级至所属区县级税务局的四级树状广域网络构成:
核心网络――核心网络采用光技术的宽带IP高速网,其拓扑结构为双星结构,分为主干层和接入层。核心网络采用POS技术组建。
省级网络规划――每一个省级税务机关独立组网,采用双星或星形结构,形成自己独立的管理域和路由域。
接入层网络规划――根据运营商提供的各类接入业务的资费情况及其特点,将分别采用不同的接入设计方案,如以太、SDH、DDN/FR、PSTN/ISDN、xDSL、VPN等。
业务专网与互联网通过防火墙实现逻辑隔离,并要求只在总局及省一级设置出口。
广域网间的访问关系如下:总局与各省级单位间可自由互访,其它单位按行政隶属关系实现总局、省级局、地市级局至区县局的访问(跨级别单位间的互访需经过一级或多级路由转发实现),跨行政隶属关系不能进行互访。
项目需求分析
本次税务系统广域网络防火墙系统建设的目标是通过在各地税务系统之间以及税务系统同其它合作单位连接处采用防火墙技术,防止外部网络对各个地市本地税务系统数据的非法使用和访问,监控整个网络数据过程。有效防止来自外部的攻击行为。限制对内部资源和系统的访问范围。通过在税务系统广域网络系统中设置防火墙的安全措施将达到以下目标:
1、保护基于税务系统广域网络的业务不间断的正常运作。包括构成税务系统网络的所有设施、系统、以及系统所处理的数据(信息)。
2、保证税务系统网络安全可靠的运行。
3、实现系统安全及数据安全。
4、税务系统的重要信息在可控的范围内传播,即有效的控制信息传播的范围,防止重要信息泄露给外部的组织或人员。
5、实现税务系统广域网络节点间边界的接入安全。
6、在用户和资源之间进行严格的访问控制(通过身份认证,访问控制)。
7、建立一套数据审计、记录的安全管理机制(网络数据采集,审计)。
8、融合技术手段和行政手段,形成全局的安全管理。
安全方案
面对上述这些风险,设计者根据各个税务局域网中具有不同安全要求的区域的安全策略可设置为不同的安全域。在省以上各个局域网内部可建立不同的安全域,保证安全风险的隔离:数据中心安全域,对数据中心进行专门安全保护;网络安全管理中心安全域,对网络安全管理中心进行集中安全保护;CA中心安全域,对CA、AA、KMC系统进行集中安全保护;其它业务安全域,对各个税务单位的应用业务领域进行安全分割和保护。同时选用了方正信息安全技术有限公司的方正FG系列防火墙为主构筑整个网络的安全体系。
* 安全性:方正FG系列防火墙提供一整套访问控制/防护的安全策略,既最大限度的保证税务系统广域网络系统的安全性,同时保证防火墙系统本身的安全性
* 高效性:该防火墙系统的实施能够最大限度保证税务系统广域网络系统的运行效率。
* 高可靠性:产品采用软件、硬件结合的形式,保证系统长期稳定、安全运行;方正防火墙系统的实施不影响税务系统广域网络系统的正常运行与可靠性,同时系统本身必须是可靠的。
* 可扩充性:采用模块化设计方式,方便产品升级、功能增强、调整系统结构。
* 可管理性:采用基于windows平台GUI模式进行管理,方便各种安全策略设置,且支持可授权的集中管理。
