導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全防護(hù)體系建設(shè)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

本文闡述了國內(nèi)煙草企業(yè)面對的網(wǎng)絡(luò)信息安全的主要威脅，分析其網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的應(yīng)用現(xiàn)狀，指出其中存在的問題，之后，從科學(xué)設(shè)定防護(hù)目標(biāo)原則、合理確定網(wǎng)絡(luò)安全區(qū)域、大力推行動態(tài)防護(hù)措施、構(gòu)建專業(yè)防護(hù)人才隊伍、提升員工安全防護(hù)意識等方面，提出加強(qiáng)煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的策略，希望對相關(guān)工作有所幫助。

關(guān)鍵詞：

煙草企業(yè)；網(wǎng)絡(luò)安全防護(hù)；體系建設(shè)

隨著信息化的逐步發(fā)展，國內(nèi)煙草企業(yè)也愈加重視利用網(wǎng)絡(luò)提高生產(chǎn)管理銷售水平，打造信息化時代下的現(xiàn)代煙草企業(yè)。但享受網(wǎng)絡(luò)帶來便捷的同時，也正遭受到諸如病毒、木馬等網(wǎng)絡(luò)威脅給企業(yè)信息安全方面帶來的影響。因此，越來越多的煙草企業(yè)對如何強(qiáng)化網(wǎng)絡(luò)安全防護(hù)體系建設(shè)給予了高度關(guān)注。

1威脅煙草企業(yè)網(wǎng)絡(luò)信息體系安全的因素

受各種因素影響，煙草企業(yè)網(wǎng)絡(luò)信息體系正遭受到各種各樣的威脅。

1.1人為因素

人為的無意失誤，如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。人為的惡意攻擊，這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一種是被動攻擊，他是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取與破譯等行為獲得重要機(jī)密信息。

1.2軟硬件因素

網(wǎng)絡(luò)安全設(shè)備投資方面，行業(yè)在防火墻、網(wǎng)管設(shè)備、入侵檢測防御等網(wǎng)絡(luò)安全設(shè)備配置方面處于領(lǐng)先地位，但各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫、軟件存在漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的，一般不為外人所知，一旦被破解，其造成的后果將不堪設(shè)想。另外，各種新型病毒發(fā)展迅速，超出防火墻屏蔽能力等，都使企業(yè)安全防護(hù)網(wǎng)絡(luò)遭受嚴(yán)重威脅。

1.3結(jié)構(gòu)性因素

煙草企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系結(jié)構(gòu)，多數(shù)采用的是混合型結(jié)構(gòu)，星形和總線型結(jié)構(gòu)重疊并存，相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞和“后門”，黑客就可以利用病毒等入侵開展攻擊，或者，網(wǎng)絡(luò)使用者因系統(tǒng)過于復(fù)雜而導(dǎo)致錯誤操作，都可能造成網(wǎng)絡(luò)安全問題。

2煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)現(xiàn)狀

煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)，仍然存在著很多不容忽視的問題，亟待引起高度關(guān)注。

2.1業(yè)務(wù)應(yīng)用集成整合不足

不少煙草企業(yè)防護(hù)系統(tǒng)在建設(shè)上過于單一化、條線化，影響了其縱向管控上的集成性和橫向供應(yīng)鏈上的協(xié)同性，安全防護(hù)信息沒有實(shí)現(xiàn)跨部門、跨單位、跨層級上的交流，相互之間不健全的信息共享機(jī)制，滯后的信息資源服務(wù)決策，影響了信息化建設(shè)的整體效率。缺乏對網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的頂層設(shè)計，致使信息化建設(shè)未能形成整體合力。

2.2信息化建設(shè)特征不夠明顯

網(wǎng)絡(luò)安全防護(hù)體系建設(shè)是現(xiàn)代煙草企業(yè)的重要標(biāo)志，但如基礎(chǔ)平臺的集成性、基礎(chǔ)設(shè)施的集約化、標(biāo)準(zhǔn)規(guī)范體系化等方面的建設(shè)工作都較為滯后。主營煙草業(yè)務(wù)沒有同信息化建設(shè)高度契合，對影響企業(yè)發(fā)展的管理制度、業(yè)務(wù)需求、核心數(shù)據(jù)和工作流程等關(guān)鍵性指標(biāo)，缺乏宏觀角度上的溝通協(xié)調(diào)，致使在信息化建設(shè)中，業(yè)務(wù)、管理、技術(shù)“三位一體”的要求并未落到實(shí)處，影響了網(wǎng)絡(luò)安全防護(hù)的效果。

2.3安全運(yùn)維保障能力不足

缺乏對運(yùn)維保障工作的正確認(rèn)識，其尚未完全融入企業(yè)信息化建設(shè)的各個環(huán)節(jié)，加上企業(yè)信息化治理模式構(gòu)建不成熟等原因，制約了企業(yè)安全綜合防范能力與運(yùn)維保障體系建設(shè)的整體效能，導(dǎo)致在網(wǎng)絡(luò)威脅的防護(hù)上較為被動，未能做到主動化、智能化分析，導(dǎo)致遭受病毒、木馬、釣魚網(wǎng)站等反復(fù)侵襲。

3加強(qiáng)煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的策略

煙草企業(yè)應(yīng)以實(shí)現(xiàn)一體化數(shù)字煙草作為建設(shè)目標(biāo)，秉承科學(xué)頂層設(shè)計、合理統(tǒng)籌規(guī)劃、力爭整體推進(jìn)的原則，始終堅持兩級主體、協(xié)同建設(shè)和項目帶動的模式，按照統(tǒng)一架構(gòu)、安全同步、統(tǒng)一平臺的技術(shù)規(guī)范，才能持續(xù)推動產(chǎn)業(yè)發(fā)展同信息化建設(shè)和諧共生。

3.1遵循網(wǎng)絡(luò)防護(hù)基本原則

煙草企業(yè)在建設(shè)安全防護(hù)網(wǎng)絡(luò)時，應(yīng)明白建設(shè)安全防護(hù)網(wǎng)絡(luò)的目標(biāo)與原則，清楚網(wǎng)絡(luò)使用的性質(zhì)、主要使用人員等基本情況。并在邏輯上對安全防護(hù)網(wǎng)絡(luò)進(jìn)行合理劃分，不同區(qū)域的防御體系應(yīng)具有針對性，相互之間邏輯清楚、調(diào)用清晰，從而使網(wǎng)絡(luò)邊界更為明確，相互之間更為信任。要對已出現(xiàn)的安全問題進(jìn)行認(rèn)真分析，并歸類統(tǒng)計，大的問題盡量拆解細(xì)分，類似的問題歸類統(tǒng)一，從而將復(fù)雜問題具體化，降低網(wǎng)絡(luò)防護(hù)工作的難度。對企業(yè)內(nèi)部網(wǎng)絡(luò)來說，應(yīng)以功能為界限來劃分，以劃分區(qū)域為安全防護(hù)區(qū)域。同時，要不斷地完善安全防護(hù)體系建設(shè)標(biāo)準(zhǔn)，打破不同企業(yè)之間網(wǎng)絡(luò)安全防護(hù)體系的壁壘，實(shí)現(xiàn)信息資源更大程度上的互聯(lián)互通，從而有效地提升自身對網(wǎng)絡(luò)威脅的抵御力。

3.2合理確定網(wǎng)絡(luò)安全區(qū)域

煙草企業(yè)在使用網(wǎng)絡(luò)過程中，不同的區(qū)域所擔(dān)負(fù)的角色是不同的。為此，內(nèi)部網(wǎng)絡(luò)，在設(shè)計之初，應(yīng)以安全防護(hù)體系、業(yè)務(wù)操作標(biāo)準(zhǔn)、網(wǎng)絡(luò)使用行為等為標(biāo)準(zhǔn)對區(qū)域進(jìn)行劃分。同時，對生產(chǎn)、監(jiān)管、流通、銷售等各個環(huán)節(jié)，要根據(jù)其業(yè)務(wù)特點(diǎn)強(qiáng)化對應(yīng)的網(wǎng)絡(luò)使用管理制度，既能實(shí)現(xiàn)網(wǎng)絡(luò)安全更好防護(hù)，也能幫助企業(yè)實(shí)現(xiàn)更為科學(xué)的管控與人性化的操作。在對煙草企業(yè)網(wǎng)絡(luò)安全區(qū)域進(jìn)行劃分時，不能以偏概全、一蹴而就，應(yīng)本著實(shí)事求是的態(tài)度，根據(jù)企業(yè)實(shí)際情況，以現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)為基礎(chǔ)，有針對性地進(jìn)行合理的劃分，才能取得更好的防護(hù)效果。

3.3大力推行動態(tài)防護(hù)措施

根據(jù)網(wǎng)絡(luò)入侵事件可知，較為突出的問題有病毒更新?lián)Q代快、入侵手段與形式日趨多樣、病毒防護(hù)效果滯后等。為此，煙草企業(yè)在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系時，應(yīng)根據(jù)不同的威脅形式確定相應(yīng)的防護(hù)技術(shù)，且系統(tǒng)要能夠隨時升級換代，從而提升總體防護(hù)力。同時，要定期對煙草企業(yè)所遭受的網(wǎng)絡(luò)威脅進(jìn)行分析，確定系統(tǒng)存在哪些漏洞、留有什么隱患，實(shí)現(xiàn)入侵實(shí)時監(jiān)測和系統(tǒng)動態(tài)防護(hù)。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡(luò)應(yīng)急機(jī)制，在系統(tǒng)遭受重大網(wǎng)絡(luò)威脅而癱瘓時，確保在最短的時間內(nèi)恢復(fù)系統(tǒng)的基本功能，為后期確定問題原因與及時恢復(fù)系統(tǒng)留下時間，并且確保企業(yè)業(yè)務(wù)的開展不被中斷，不會為企業(yè)帶來很大的經(jīng)濟(jì)損失。另外，還應(yīng)大力提倡煙草企業(yè)同專業(yè)信息防護(hù)企業(yè)合作，構(gòu)建病毒防護(hù)戰(zhàn)略聯(lián)盟，為更好地實(shí)現(xiàn)煙草企業(yè)網(wǎng)絡(luò)防護(hù)效果提供堅實(shí)的技術(shù)支撐。

3.4構(gòu)建專業(yè)防護(hù)人才隊伍

人才是網(wǎng)絡(luò)安全防護(hù)體系的首要資源，缺少專業(yè)性人才的支撐，再好的信息安全防護(hù)體系也形同虛設(shè)。煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)的工作專業(yè)性很強(qiáng)，既要熟知信息安全防護(hù)技術(shù)，也要對煙草企業(yè)生產(chǎn)全過程了然于胸，并熟知國家政策法規(guī)等制度。因此，煙草企業(yè)要大力構(gòu)建專業(yè)的網(wǎng)絡(luò)信息安全防護(hù)人才隊伍，要采取定期選送、校企聯(lián)訓(xùn)、崗位培訓(xùn)等方式，充分挖掘內(nèi)部人力資源，提升企業(yè)現(xiàn)有信息安全防護(hù)人員的能力素質(zhì)，也要積極同病毒防護(hù)企業(yè)、專業(yè)院校和科研院所合作，引進(jìn)高素質(zhì)專業(yè)技術(shù)人才，從而為企業(yè)更好地實(shí)現(xiàn)信息安全防護(hù)效果打下堅實(shí)的人才基礎(chǔ)。

3.5提升員工安全防護(hù)意識

技術(shù)防護(hù)手段效果再好，員工信息安全防護(hù)意識不佳，系統(tǒng)也不能取得好的效果。煙草企業(yè)要設(shè)立專門的信息管理培訓(xùn)中心，統(tǒng)一對企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行管理培訓(xùn)，各部門、各環(huán)節(jié)也要設(shè)立相應(yīng)崗位，負(fù)責(zé)本崗位的網(wǎng)絡(luò)使用情況。賬號使用、信息、權(quán)限確定等，都要置于信息管理培訓(xùn)中心的制約監(jiān)督下，都要在網(wǎng)絡(luò)使用制度的規(guī)則框架中，杜絕違規(guī)使用網(wǎng)絡(luò)、肆意泄露信息等現(xiàn)象的發(fā)生。對全體員工開展網(wǎng)絡(luò)安全教育，提升其網(wǎng)絡(luò)安全防護(hù)意識，使其認(rèn)識到安全防護(hù)體系的重要性，從而使每個人都能依法依規(guī)地使用信息網(wǎng)絡(luò)。

4結(jié)語

煙草企業(yè)管理者必須清醒認(rèn)識到，利用信息網(wǎng)絡(luò)加快企業(yè)升級換代、建設(shè)一流現(xiàn)代化煙草企業(yè)是行業(yè)所向、大勢所趨，絕不能因為網(wǎng)絡(luò)存在安全威脅而固步自封、拒絕進(jìn)步。但也要關(guān)注信息化時代下網(wǎng)絡(luò)安全帶來的挑戰(zhàn)，以實(shí)事求是的態(tài)度，大力依托信息網(wǎng)絡(luò)安全技術(shù)，構(gòu)建更為安全的防護(hù)體系，為企業(yè)做大做強(qiáng)奠定堅實(shí)的基礎(chǔ)。

參考文獻(xiàn)：

［1］楊波.基于安全域的煙草工業(yè)公司網(wǎng)絡(luò)安全防護(hù)體系研究［J］.計算機(jī)與信息技術(shù),2012(5).

［2］賴如勤,郭翔飛,于閩.地市煙草信息安全防護(hù)模型的構(gòu)建與應(yīng)用［J］.中國煙草學(xué)報,2016(4).

篇2

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系是工業(yè)行業(yè)現(xiàn)代化建設(shè)體系中的重要組成部分，對保證工業(yè)安全、穩(wěn)定、可持續(xù)競爭發(fā)展具有重要意義。基于此，文章從工業(yè)控制系統(tǒng)相關(guān)概述出發(fā)，對工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問題，以及當(dāng)今工業(yè)控制系網(wǎng)絡(luò)安全防護(hù)體系設(shè)計的優(yōu)化進(jìn)行了分析與闡述，以供參考。

關(guān)鍵詞：

工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；防護(hù)體系

0引言

工業(yè)控制系統(tǒng)是我國工業(yè)領(lǐng)域建設(shè)中的重要組成部分，在我國現(xiàn)代化工業(yè)生產(chǎn)與管理中占有重要地位。隨著近年來我國工業(yè)信息化、自動化、智能化的創(chuàng)新與發(fā)展，工業(yè)控制系統(tǒng)呈現(xiàn)出網(wǎng)絡(luò)化、智能化、數(shù)字化發(fā)展趨勢，并在我國工業(yè)領(lǐng)域各行業(yè)控制機(jī)制中，如能源開發(fā)、水文建設(shè)、機(jī)械制作生產(chǎn)、工業(yè)產(chǎn)品運(yùn)輸?shù)鹊玫搅藦V泛應(yīng)用。因此，在網(wǎng)絡(luò)安全隱患頻發(fā)的背景下，對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的研究與分析具有重要現(xiàn)實(shí)意義，已成為當(dāng)今社會關(guān)注的重點(diǎn)內(nèi)容之一。

1工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)（IndustrialControlSystem，ICS）是由一定的計算機(jī)設(shè)備與各種自動化控制組件、工業(yè)信息數(shù)據(jù)采集、生產(chǎn)與監(jiān)管過程控制部件共同構(gòu)成且廣泛應(yīng)用與工業(yè)生產(chǎn)與管理建設(shè)中的一種控制系統(tǒng)總稱[1]。工業(yè)控制系統(tǒng)體系在通常情況下，大致可分為五個部分，分別為“工業(yè)基礎(chǔ)設(shè)施控制系統(tǒng)部分”、“可編程邏輯控制器/遠(yuǎn)程控制終端系統(tǒng)部分（PLC/RTU）”、“分布式控制系統(tǒng)部分（DCS）”、“數(shù)據(jù)采集與監(jiān)管系統(tǒng)部分（SCADA）”以及“企業(yè)整體信息控制系統(tǒng)（EIS）”[2]。近年來，在互聯(lián)網(wǎng)技術(shù)、計算機(jī)技術(shù)、電子通信技術(shù)以及控制技術(shù)，不斷創(chuàng)新與廣泛應(yīng)用的推動下，工業(yè)控制系統(tǒng)已經(jīng)實(shí)現(xiàn)了由傳統(tǒng)機(jī)械操作控制到網(wǎng)絡(luò)化控制模式的發(fā)展，工業(yè)控制系統(tǒng)的結(jié)構(gòu)核心由最初的“計算機(jī)集約控制系統(tǒng)（CCS）”轉(zhuǎn)換為“分散式控制系統(tǒng)（DCS）”，并逐漸趨向于“生產(chǎn)現(xiàn)場一體化控制系統(tǒng)（FCS）”的創(chuàng)新與改革發(fā)展。目前，隨著我國工業(yè)領(lǐng)域的高速發(fā)展，工業(yè)控制系統(tǒng)已經(jīng)被廣泛應(yīng)用到水利建設(shè)行業(yè)、鋼鐵行業(yè)、石油化工行業(yè)、交通建設(shè)行業(yè)、城市電氣工程建設(shè)行業(yè)、環(huán)境保護(hù)等眾多領(lǐng)域與行業(yè)中，其安全性、穩(wěn)定性、優(yōu)化性運(yùn)行對我國經(jīng)濟(jì)發(fā)展與社會穩(wěn)定具有重要影響作用。

2工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全威脅

2.1工業(yè)控制系統(tǒng)本身存在的問題

由于工業(yè)控制系統(tǒng)是一項綜合性、技術(shù)復(fù)雜性的控制體系，且應(yīng)用領(lǐng)域相對較廣。因此，在設(shè)計與應(yīng)用過程中對工作人員具有較高的要求，從而導(dǎo)致系統(tǒng)本身在設(shè)計或操作中容易出現(xiàn)安全隱患。

2.2外界網(wǎng)絡(luò)風(fēng)險滲透問題

目前，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化設(shè)計與應(yīng)用，已成為時展的必然趨勢，在各領(lǐng)域中應(yīng)用工業(yè)控制系統(tǒng)時，對于數(shù)據(jù)信息的采集、分析與管理，需要工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)系統(tǒng)進(jìn)行一定的鏈接或遠(yuǎn)程操控。在這一過程中，工業(yè)控制系統(tǒng)的部分結(jié)構(gòu)暴露在公共網(wǎng)絡(luò)環(huán)境中，而目前公共網(wǎng)絡(luò)環(huán)境仍存在一定的網(wǎng)絡(luò)信息安全問題，這在一定程度上將會導(dǎo)致工業(yè)控制系統(tǒng)受到來自網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客以及人為惡意干擾等因素的影響，從而出現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題。例如，“百度百科”網(wǎng)站，通過利用SHODAN引擎進(jìn)行OpenDirectory搜索時，將會獲得八千多個處于公共網(wǎng)絡(luò)環(huán)境下與“工業(yè)控制系統(tǒng)”相關(guān)的信息，一旦出現(xiàn)黑客或人為惡意攻擊，將為網(wǎng)站管理系統(tǒng)帶來嚴(yán)重的影響[3]。

2.3OPC接口開放性以及協(xié)議漏洞存在的問題

由于工業(yè)控制系統(tǒng)中，其網(wǎng)絡(luò)框架多是基于“以太網(wǎng)”進(jìn)行構(gòu)建的，因此，在既定環(huán)境下，工業(yè)過程控制標(biāo)準(zhǔn)OPC（Ob-jectLinkingandEmbeddingforProcessControl）具有較強(qiáng)的開放性[4]。當(dāng)對工業(yè)控制系統(tǒng)進(jìn)行操作時，基于OPC的數(shù)據(jù)采集與傳輸接口有效網(wǎng)絡(luò)信息保護(hù)舉措的缺失，加之OPC協(xié)議、TCP/IP協(xié)議以及其他專屬代碼中存在一定的漏洞，且其漏洞易受外界不確定性風(fēng)險因素的攻擊與干擾，從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)風(fēng)險。

2.4工業(yè)控制系統(tǒng)脆弱性問題

目前，我國多數(shù)工業(yè)控制系統(tǒng)內(nèi)部存在一定的問題，致使工業(yè)控制系統(tǒng)具有“脆弱性”特征，例如，網(wǎng)絡(luò)配置問題、網(wǎng)絡(luò)設(shè)備硬件問題、網(wǎng)絡(luò)通信問題、無線連接問題、網(wǎng)絡(luò)邊界問題、網(wǎng)絡(luò)監(jiān)管問題等等[5]。這些問題，在一定程度上為網(wǎng)絡(luò)信息風(fēng)險因素的發(fā)生提供了可行性，從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題。

3加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的建議

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建，不僅需要加強(qiáng)相關(guān)技術(shù)的研發(fā)與利用，同時也需要相關(guān)部門（如，設(shè)備生產(chǎn)廠家、政府結(jié)構(gòu)、用戶等）基于自身實(shí)際情況與優(yōu)勢加以輔助，從而實(shí)現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系多元化、全方位的構(gòu)建。

3.1強(qiáng)化工業(yè)控制系統(tǒng)用戶使用安全防護(hù)能力

首先，構(gòu)建科學(xué)且完善的網(wǎng)絡(luò)防護(hù)安全策略：安全策略作為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計與執(zhí)行的重要前提條件，對保證工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性具有重要指導(dǎo)作用。對此，相關(guān)工作人員應(yīng)在結(jié)合當(dāng)今工業(yè)控制系統(tǒng)存在的“脆弱性”問題，在依據(jù)傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建策略優(yōu)勢的基礎(chǔ)上，有針對性的制定一系列網(wǎng)絡(luò)防護(hù)安全策略，用以保證工業(yè)控制系統(tǒng)安全設(shè)計、操作、管理、養(yǎng)護(hù)維修規(guī)范化、系統(tǒng)化、全面化、標(biāo)準(zhǔn)化施行。例如，基于傳統(tǒng)網(wǎng)絡(luò)安全策略——補(bǔ)丁管理，結(jié)合工業(yè)控制系統(tǒng)實(shí)際需求，對工業(yè)控制系統(tǒng)核心系統(tǒng)進(jìn)行“補(bǔ)丁升級”，用以彌補(bǔ)工業(yè)控制系統(tǒng)在公共網(wǎng)絡(luò)環(huán)境下存在的各項漏洞危機(jī)[6]。在此過程中，設(shè)計人員以及相關(guān)工作者應(yīng)通過“試驗測驗”的方式，為工業(yè)控制系統(tǒng)營造仿真應(yīng)用環(huán)境，并在此試驗環(huán)境中對系統(tǒng)進(jìn)行反復(fù)測驗、審核、評價，并對系統(tǒng)核心配置、代碼進(jìn)行備份處理，在保證補(bǔ)丁的全面化升級的同時，降低升級過程中存在的潛在風(fēng)險。其次，注重工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離防護(hù)體系的構(gòu)建：網(wǎng)絡(luò)隔離防護(hù)的構(gòu)建與執(zhí)行，對降低工業(yè)控制系統(tǒng)外界風(fēng)險具有重要意義。對此，相關(guān)設(shè)計與工作人員應(yīng)在明確認(rèn)知與掌握工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)目標(biāo)的基礎(chǔ)上，制定相應(yīng)的網(wǎng)絡(luò)隔離防護(hù)方案，并給予有效應(yīng)用。通常情況下，工業(yè)控制系統(tǒng)設(shè)計人員應(yīng)依據(jù)不同領(lǐng)域中工業(yè)控制系統(tǒng)類型與應(yīng)用需求，對系統(tǒng)所需設(shè)備進(jìn)行整理，并依據(jù)整理內(nèi)容進(jìn)行具體測評與調(diào)試，用以保證各結(jié)構(gòu)設(shè)備作用與性能的有效發(fā)揮，避免出現(xiàn)設(shè)備之間搭配與連接不和諧等問題的產(chǎn)生；根據(jù)工業(yè)控制系統(tǒng)功能關(guān)鍵點(diǎn)對隔離防護(hù)區(qū)域進(jìn)行分類與規(guī)劃（包括工業(yè)控制系統(tǒng)內(nèi)網(wǎng)區(qū)域、工業(yè)控制系統(tǒng)外部區(qū)域、工業(yè)控制系統(tǒng)生產(chǎn)操作區(qū)域、工業(yè)控制系統(tǒng)安全隔離區(qū)域等），并針對不同區(qū)域情況與待保護(hù)程度要求，采用相應(yīng)的舉措進(jìn)行改善，實(shí)現(xiàn)不同風(fēng)險的不同控制[7]。與此同時，構(gòu)建合理、有效的物理層防護(hù)體系：實(shí)踐證明，物理層防護(hù)體系的構(gòu)建（物理保護(hù)），對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)具有至關(guān)重要的作用，是工業(yè)控制系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全管理與建設(shè)的重要基礎(chǔ)項目，也是核心項目，對工業(yè)控制和系統(tǒng)網(wǎng)絡(luò)防護(hù)體系整體效果的優(yōu)化，具有決定性作用。因此，在進(jìn)行工業(yè)控制防護(hù)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系優(yōu)化設(shè)計時，設(shè)計人員以及相關(guān)企業(yè)應(yīng)注重對工業(yè)控制系統(tǒng)物理層的完善與優(yōu)化。例如，通過配置企業(yè)門禁體系，用以避免外來人員對工業(yè)現(xiàn)場的侵害；依據(jù)企業(yè)特色，配設(shè)相應(yīng)的生產(chǎn)應(yīng)急設(shè)備，如備用發(fā)電機(jī)、備用操作工具、備用電線、備用油庫等，用以避免突發(fā)現(xiàn)象導(dǎo)致設(shè)計或生產(chǎn)出現(xiàn)問題；通過配置一定的監(jiān)測管理方案或設(shè)施，對系統(tǒng)進(jìn)行一體化監(jiān)管，用以及時發(fā)現(xiàn)問題（包括自然風(fēng)險因素、設(shè)備生產(chǎn)安全風(fēng)險因素等）并解決問題，保證工業(yè)控制系統(tǒng)運(yùn)行的優(yōu)化性。此外，加強(qiáng)互聯(lián)網(wǎng)滲透與分析防治：設(shè)計工作人員為避免工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)滲透安全威脅問題，可通過換位思考的形式，對已經(jīng)設(shè)計的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系進(jìn)行測評，并從對方的角度進(jìn)行思考，制定防護(hù)對策，用以提升工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全性。

3.2強(qiáng)化工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)網(wǎng)絡(luò)安全防護(hù)能力

工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)，作為工業(yè)控制系統(tǒng)的研發(fā)者與生產(chǎn)者，應(yīng)提升自身對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計的重視程度，從而在生產(chǎn)過程中保證工業(yè)控制系統(tǒng)的質(zhì)量。與此同時，系統(tǒng)生產(chǎn)企業(yè)在引進(jìn)先進(jìn)設(shè)計技術(shù)與經(jīng)驗的基礎(chǔ)上，強(qiáng)化自身綜合能力與開發(fā)水平，保證工業(yè)控制系統(tǒng)緊跟時展需求，推動工業(yè)控制系統(tǒng)不斷創(chuàng)新，從根源上降低工業(yè)控制系統(tǒng)自身存在安全風(fēng)險。

3.3加大政府扶持與監(jiān)管力度

由上述分析可知，工業(yè)控制系統(tǒng)在我國各領(lǐng)域各行業(yè)中具有廣泛的應(yīng)用，并占據(jù)著重要的地位，其安全性、穩(wěn)定性、創(chuàng)新性、優(yōu)化性對我國市場經(jīng)濟(jì)發(fā)展與社會的穩(wěn)定具有直接影響作用。由此可見，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建，不僅是各企業(yè)內(nèi)部組織結(jié)構(gòu)體系創(chuàng)新建設(shè)問題，政府以及社會等外部體系的構(gòu)建同樣具有重要意義。對此，政府以及其他第三方結(jié)構(gòu)應(yīng)注重自身社會責(zé)任的執(zhí)行，加強(qiáng)對工業(yè)控制系統(tǒng)安全防護(hù)體系環(huán)境的管理與監(jiān)督，促進(jìn)工業(yè)控制系統(tǒng)安全防護(hù)外部體系的構(gòu)建。例如，通過制定相應(yīng)的網(wǎng)絡(luò)安全運(yùn)行規(guī)范與行為懲罰措施，用以避免互聯(lián)網(wǎng)惡意破壞行為的發(fā)生；通過制定行業(yè)網(wǎng)絡(luò)安全防護(hù)機(jī)制與準(zhǔn)則，嚴(yán)格控制工業(yè)控制系統(tǒng)等基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全性，加大自身維權(quán)效益。

4結(jié)論

綜上所述，本文針對“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系”課題研究的基礎(chǔ)上，分析了工業(yè)控制系統(tǒng)以及當(dāng)今工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問題，并在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計的基礎(chǔ)上，提供了加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計的優(yōu)化對策，以期對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全具有更明確的認(rèn)知與理解，從而促進(jìn)我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的優(yōu)化發(fā)展。

參考文獻(xiàn)：

[1]王棟,陳傳鵬,顏佳,郭靚,來風(fēng)剛.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動化,2016(2):6-11.

[2]薛訓(xùn)明,楊波,汪飛,郭磊,唐皓辰.煙草行業(yè)制絲生產(chǎn)線工業(yè)控制系統(tǒng)安全防護(hù)體系設(shè)計[J].科技展望,2016(14):264-265.

[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)安全保障探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(5):81-86.

[4]羅常.工業(yè)控制系統(tǒng)信息安全防護(hù)體系在電力系統(tǒng)中的應(yīng)用研究[J].機(jī)電工程技術(shù),2016(12):97-100.

[5]劉秋紅.關(guān)于構(gòu)建信息安全防護(hù)體系的思考——基于現(xiàn)代計算機(jī)網(wǎng)絡(luò)系統(tǒng)[J].技術(shù)與市場,2013(6):314.

[6]孟雁.工業(yè)控制系統(tǒng)安全隱患分析及對策研究[J].保密科學(xué)技術(shù),2013(4):16-21.

篇3

【 關(guān)鍵詞 】 云計算；云安全；等級保護(hù)；虛擬化安全

1 引言

自2006年云計算的概念產(chǎn)生以來，各類與云計算相關(guān)的服務(wù)紛紛涌現(xiàn)，隨之而來的就是人們對云安全問題的關(guān)注。目前各個運(yùn)營商、服務(wù)提供商以及安全廠商所提的云安全解決方案，大都根據(jù)自己企業(yè)對云平臺安全的理解，結(jié)合本企業(yè)專長，專注于某一方面的安全。然而，對于用戶來說云平臺是一個整體，需要構(gòu)建云平臺的整體安全防護(hù)體系。

因此，針對云計算中心的安全需求建立信息安全防護(hù)體系已經(jīng)是大勢所趨，云安全防護(hù)體系的建立，必將使云計算得以更加健康、有序的發(fā)展。

2 云計算的安全問題解析

云計算模式當(dāng)前已得到業(yè)界普遍認(rèn)同，成為信息技術(shù)領(lǐng)域新的發(fā)展方向。但是，隨著云計算的大量應(yīng)用，云環(huán)境的安全問題也日益突出。我們?nèi)绻荒芎芎玫亟鉀Q相關(guān)的安全管理問題，云計算就會成為過眼“浮云”。在眾多對云計算的討論中，SafeNet的調(diào)查非常具有代表性：“對于云計算面臨的安全問題，88.5%的企業(yè)對云計算安全擔(dān)憂”。各種調(diào)研數(shù)據(jù)也表明：安全性是用戶選擇云計算的首要考慮因素。近年來，云安全的概念也有多種層面的解讀，本文所指云安全是聚焦于云計算中心的安全問題及其安全防護(hù)體系。

2.1 云安全與傳統(tǒng)安全技術(shù)的關(guān)系

云計算引入了虛擬化技術(shù)，改變了服務(wù)方式，但并沒有顛覆傳統(tǒng)的安全模式。從這張對比視圖中，如圖1所示，可以看出，安全的層次劃分是大體類似，在云計算環(huán)境下，由于虛擬化技術(shù)的引入，需要納入虛擬化安全的防護(hù)措施。而在基礎(chǔ)層面上，仍然可依靠成熟的傳統(tǒng)安全技術(shù)來提供安全防護(hù)。

如圖1所示，云計算安全和傳統(tǒng)安全在安全目標(biāo)、系統(tǒng)資源類型、基礎(chǔ)安全技術(shù)方面是相同的，而云計算又有其特有的安全問題，主要包括虛擬化安全問題和與云計算分租服務(wù)模式相關(guān)的一些安全問題。大體上，我們可以把云安全看做傳統(tǒng)安全的一個超集，或者換句話說，云安全是傳統(tǒng)安全在云計算環(huán)境下的繼承和發(fā)展。

綜合前面的討論，可以推導(dǎo)出一個基本的認(rèn)識，云計算的模式是革命性的：虛擬化安全、數(shù)據(jù)安全和隱私保護(hù)是云安全的重點(diǎn)和難點(diǎn)，云安全將基于傳統(tǒng)安全技術(shù)獲得發(fā)展。

2.2 云計算的安全需求與防護(hù)技術(shù)

解決安全問題的出發(fā)點(diǎn)是風(fēng)險分析，CSA云安全聯(lián)盟提出了所謂“七重罪”的云安全重點(diǎn)風(fēng)險域。

Threat 1： Abuse and Nefarious Use of Cloud Computing（云計算的濫用、惡用、拒絕服務(wù)攻擊）；

Threat 2： Insecure Interfaces and APIs（不安全的接口和API）；

Threat 3： Malicious Insiders（惡意的內(nèi)部員工）；

Threat 4： Shared Technology Issues（共享技術(shù)產(chǎn)生的問題）；

Threat 5： Data Loss or Leakage（數(shù)據(jù)泄漏）；

Threat 6： Account or Service Hijacking（賬號和服務(wù)劫持）；

Threat 7： Unknown Risk Profile（未知的風(fēng)險場景）。

信息的機(jī)密性、完整性和可用性被公認(rèn)為信息安全的三個重要的基本屬性，用戶在使用云計算服務(wù)時也會從這三個方面提出基本的信息安全需求。

機(jī)密性安全需求：要求上傳到云端的信息及其處理結(jié)果以及所要求的云計算服務(wù)具有排他性，只能被授權(quán)人訪問或使用，不會被非法泄露。

完整性安全需求：要求與云計算相關(guān)的數(shù)據(jù)或服務(wù)是完備、有效、真實(shí)的，不會被非法操縱、破壞、篡改、偽造，并且不可否認(rèn)或抵賴。

可用性安全需求：要求網(wǎng)絡(luò)、數(shù)據(jù)和服務(wù)具有連續(xù)性、準(zhǔn)時性，不會中斷或延遲，以確保云計算服務(wù)在任何需要的時候能夠為授權(quán)使用者正常使用。

根據(jù)云計算中心的安全需求，我們會相應(yīng)得到一個安全防護(hù)技術(shù)的層次結(jié)構(gòu)：底層是基礎(chǔ)設(shè)施安全，包括基礎(chǔ)平臺安全、虛擬化安全和安全管理；中間是數(shù)據(jù)安全，上層是安全服務(wù)層面，還包括安全接入相關(guān)的防護(hù)技術(shù)。

3 等級保護(hù)背景下的云安全體系

3.1 等級保護(hù)標(biāo)準(zhǔn)與云安全

自1994年國務(wù)院147號令開始，信息安全等級保護(hù)體系歷經(jīng)近20年的發(fā)展，從政策法規(guī)、國家標(biāo)準(zhǔn)、到測評管理都建立了完備的體系，自2010年以來，在公安部的領(lǐng)導(dǎo)下，信息安全等級保護(hù)落地實(shí)施開展得如火如荼，信息安全等級保護(hù)已經(jīng)成為我國信息化建設(shè)的重要安全指導(dǎo)方針。

圖3表明了等級保護(hù)標(biāo)準(zhǔn)體系放發(fā)展歷程。

盡管引入了虛擬化等新興技術(shù)，運(yùn)營模式也從出租機(jī)房進(jìn)化到出租虛擬資源，乃至出租服務(wù)。但從其本質(zhì)上看，云計算中心仍然是一類信息系統(tǒng)，需要依照其重要性不同分等級進(jìn)行保護(hù)。云計算中心的安全工作必須依照等級保護(hù)的要求來建設(shè)運(yùn)維。此外，云安全還需要考慮虛擬化等新的技術(shù)和運(yùn)營方式所帶來的安全問題。

因此，云計算中心防護(hù)體系應(yīng)當(dāng)是以等級保護(hù)為指導(dǎo)思想，從云計算中心的安全需求出發(fā)，從技術(shù)和管理兩個層面全方位保護(hù)云計算中心的信息安全；全生命周期保證云計算中心的安全建設(shè)符合等保要求；將安全理念貫穿云計算中心建設(shè)、整改、測評、運(yùn)維全過程。建設(shè)目標(biāo)是要滿足不同用戶不同等保級別的安全要求，做到等保成果的可視化，做到安全工作的持久化。

3.2 云計算中心的安全框架

一個云計算中心的安全防護(hù)體系的構(gòu)建，應(yīng)以等級保護(hù)為系統(tǒng)指導(dǎo)思想，能夠充分滿足云計算中心的安全需求為目標(biāo)。根據(jù)前面的研究，我們提出一個云計算中心的安全框架，包括傳統(tǒng)安全技術(shù)、云安全技術(shù)和安全運(yùn)維管理三個層面的安全防護(hù)。

云安全框架以云安全管理平臺為中心，綜合安全技術(shù)和管理運(yùn)維兩個方面的手段確保系統(tǒng)的整體安全。在安全技術(shù)方面，除了傳統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、備份恢復(fù)等保障措施，還需要通過虛擬化安全防護(hù)技術(shù)和云安全服務(wù)來應(yīng)對云計算的新特征所帶來的安全要求。

3.3 云安全防護(hù)體系架構(gòu)

在實(shí)際的云安全防護(hù)體系建設(shè)中，首先要在網(wǎng)絡(luò)和主機(jī)等傳統(tǒng)的安全設(shè)備層面建立基礎(chǔ)信息系統(tǒng)安全防護(hù)系統(tǒng)?；A(chǔ)信息安全防護(hù)體系是以等級保護(hù)標(biāo)準(zhǔn)為指導(dǎo)進(jìn)行構(gòu)建，符合等級保護(hù)標(biāo)準(zhǔn)對相應(yīng)安全級別的基本安全要求。

在此基礎(chǔ)上，通過SOC安全集中管理系統(tǒng)、虛擬安全組件、SMC安全運(yùn)維管理系統(tǒng)和等保合規(guī)管理系統(tǒng)四個安全子系統(tǒng)共同組成云安全管理中心，如圖4所示。通過實(shí)體的安全技術(shù)和虛擬化安全防護(hù)技術(shù)的協(xié)同工作，為云計算中心提供從實(shí)體設(shè)備到虛擬化系統(tǒng)的全面深度安全防護(hù)，同時通過專業(yè)的SLC等保合規(guī)管理系統(tǒng)來確保云安全體系對于等級保護(hù)標(biāo)準(zhǔn)的合規(guī)性。

參考文獻(xiàn)

[1] 郝斐，王雷，荊繼武等.云存儲安全增強(qiáng)系統(tǒng)的設(shè)計與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012，（03）：38-41.

[2] 季一木， 康家邦，潘俏羽等.一種云計算安全模型與架構(gòu)設(shè)計研究[J].信息網(wǎng)絡(luò)安全，2012，（06）：6-8.

[3] 黎水林.基于安全域的政務(wù)外網(wǎng)安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全，2012，（07）：3-5.

[4] 胡春輝.云計算安全風(fēng)險與保護(hù)技術(shù)框架分析[J].信息網(wǎng)絡(luò)安全，2012，（07）：87-89.

[5] 王偉，高能，江麗娜.云計算安全需求分析研究[J].信息網(wǎng)絡(luò)安全，2012，（08）：75-78.

[6] 海然.云計算風(fēng)險分析[J].信息網(wǎng)絡(luò)安全，2012，（08）：94-96.

[7] 孫志丹，鄒哲峰，劉鵬.基于云計算技術(shù)的信息安全試驗系統(tǒng)設(shè)計與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012，（12）：50-52.

[8] 甘宏，潘丹.虛擬化系統(tǒng)安全的研究與分析[J].信息網(wǎng)絡(luò)安全，2012，（05）：43-45.

[9] 賽迪研究院.關(guān)于云計算安全的分析與建議[J].軟件與信息服務(wù)研究，2011，5（5）：3.

[10] 陳丹偉，黃秀麗，任勛益.云計算及安全分析[J].計算機(jī)技術(shù)與發(fā)展，2010，20（2）：99.102.

[11] 馮登國，孫悅，張陽.信息安全體系結(jié)構(gòu)[M].清華大學(xué)出版社，2008：43-81.

[12] 張水平，李紀(jì)真.基于云計算的數(shù)據(jù)中心安全體系研究與實(shí)現(xiàn)[J].計算機(jī)工程與設(shè)計，2011，12（32）：3965.

[13] 質(zhì)監(jiān)局，國標(biāo)委.信息系統(tǒng)安全等級保護(hù)基本要求.GB/T 22239—2008：1～51.

[14] 王崇.以“等保”為核心的信息安全管理工作平臺設(shè)計[J].實(shí)踐探究，2009，1（5）：73.

[15] Devki Gaurav Pal， Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science （IJ-CLOSER） ，2012 ，l.1（2）：45～52.

[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http：///guidance/csaguide.v3.0.pdf，2011：30.

作者簡介：

白秀杰（1973-），男，碩士，系統(tǒng)分析師；研究方向：云安全技術(shù)。

李汝鑫（1983-），男，本科，項目管理師；研究方向：信息安全技術(shù)。

篇4

關(guān)鍵詞：網(wǎng)絡(luò)安全；防護(hù)機(jī)制；煙草公司；互聯(lián)網(wǎng)

隨著Internet技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)應(yīng)用技術(shù)的普及，網(wǎng)絡(luò)安全威脅頻繁地出現(xiàn)在互聯(lián)網(wǎng)中。近年來，網(wǎng)絡(luò)攻擊的目的逐漸轉(zhuǎn)變?yōu)楂@取不正當(dāng)?shù)慕?jīng)濟(jì)利益。在此種情況下，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)已成為各個企業(yè)的迫切需要。煙草公司的網(wǎng)絡(luò)安全防護(hù)機(jī)制和安全技術(shù)是確保其網(wǎng)絡(luò)信息安全的關(guān)鍵所在。只有加強(qiáng)防護(hù)體系建設(shè)和創(chuàng)新安全技術(shù)，才能在保證網(wǎng)絡(luò)安全的前提下，促進(jìn)煙草公司的發(fā)展。

1縣級煙草公司網(wǎng)絡(luò)現(xiàn)面臨的威脅

目前，煙草公司計算機(jī)網(wǎng)絡(luò)面臨的威脅從主體上可分為對網(wǎng)絡(luò)信息的威脅、對網(wǎng)絡(luò)設(shè)備的威脅。

1.1人為無意的失誤

如果網(wǎng)絡(luò)的安全配置不合理，則可能會出現(xiàn)安全漏洞，加之用戶選擇口令時不謹(jǐn)慎，甚至將自己的賬號隨意轉(zhuǎn)借給他人或與他人共享，進(jìn)而為網(wǎng)絡(luò)埋下了安全隱患。

1.2人為惡意的攻擊

人為惡意的攻擊可分為主動攻擊和被動攻擊，這兩種攻擊都會對煙草公司的計算機(jī)網(wǎng)絡(luò)造成較大的破壞，導(dǎo)致機(jī)密數(shù)據(jù)存在泄露的風(fēng)險。比如，相關(guān)操作者未及時控制來自Internet的電子郵件中攜帶的病毒、Web瀏覽器可能存在的惡意Java控件等，進(jìn)而對計算機(jī)網(wǎng)絡(luò)造成巨大的影響。

1.3網(wǎng)絡(luò)軟件的漏洞

對于網(wǎng)絡(luò)軟件而言，會存在一定的缺陷和漏洞，而這些缺陷和漏洞為黑客提供了可乘之機(jī)。

1.4自然災(zāi)害和惡性事件

該種網(wǎng)絡(luò)威脅主要是指無法預(yù)測的自然災(zāi)害和人為惡性事件。自然災(zāi)害包括地震、洪水等，人為惡性事件包括惡意破壞、人為縱火等。雖然這些事件發(fā)生的概率較低，但一旦發(fā)生，則會造成異常嚴(yán)重的后果，必須嚴(yán)以防范。

2構(gòu)建煙草公司信息網(wǎng)絡(luò)安全防護(hù)體系

要想形成一個完整的安全體系，并制訂有效的解決方案，就必須在基于用戶網(wǎng)絡(luò)體系結(jié)構(gòu)、網(wǎng)絡(luò)分析的基礎(chǔ)上開展研究。對于安全體系的構(gòu)建，除了要建立安全理論和研發(fā)安全技術(shù)外，還要將安全策略、安全管理等各項內(nèi)容囊括其中。總體來看，構(gòu)建安全體系是一項跨學(xué)科、綜合性的信息系統(tǒng)工程，應(yīng)從設(shè)施、技術(shù)、管理、經(jīng)營、操作等方面整體把握。安全系統(tǒng)的整體框架如圖1所示。安全系統(tǒng)的整體框架可分為安全管理框架和安全技術(shù)框架。這兩個部分既相互獨(dú)立，又相互融合。安全管理框架包括安全策略、安全組織管理和安全運(yùn)作管理三個層面；安全技術(shù)框架包括鑒別與認(rèn)證、訪問控制、內(nèi)容安全、冗余與恢復(fù)、審計響應(yīng)五個層面。由此可見，根據(jù)煙草公司網(wǎng)絡(luò)信息安全系統(tǒng)提出的對安全服務(wù)的需求，可將整個網(wǎng)絡(luò)安全防護(hù)機(jī)制分為安全技術(shù)防護(hù)、安全管理和安全服務(wù)。

2.1安全技術(shù)防護(hù)機(jī)制

在此環(huán)節(jié)中，旨在將安全策略中的各個要素轉(zhuǎn)化成為可行的技術(shù)。對于內(nèi)容層面而言，必須明確安全策略的保護(hù)方向、保護(hù)內(nèi)容，如何實(shí)施保護(hù)、處理發(fā)生的問題等。在此情況下，一旦整體的安全策略形成，經(jīng)實(shí)踐檢驗后，便可大幅推廣，這有利于煙草公司整體安全水平的提高。此外，安全技術(shù)防護(hù)體系也可劃分為1個基礎(chǔ)平臺和4個子系統(tǒng)。在這個技術(shù)防護(hù)體系中，結(jié)合網(wǎng)絡(luò)管理等功能，可對安全事件等實(shí)現(xiàn)全程監(jiān)控，并與各項技術(shù)相結(jié)合，從而實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備、信息安全的綜合管理，確保系統(tǒng)的持續(xù)可用性。

2.2安全管理機(jī)制

依據(jù)ISO/IEC17700信息安全管理標(biāo)準(zhǔn)思路及其相關(guān)內(nèi)容，信息安全管理機(jī)制的內(nèi)容包括制訂安全管理策略、制訂風(fēng)險評估機(jī)制、建設(shè)日常安全管理制度等。基于該項內(nèi)容涉及的管理、技術(shù)等各個方面，需各方面資源的大力支持，通過技術(shù)工人與管理者的無隙合作，建立煙草公司內(nèi)部的信息安全防范責(zé)任體系。2.3安全服務(wù)機(jī)制安全服務(wù)需結(jié)合人、管理、產(chǎn)品與技術(shù)等各方面，其首要內(nèi)容是定期評估整個網(wǎng)絡(luò)的風(fēng)險，了解網(wǎng)絡(luò)當(dāng)前的安全狀況，并根據(jù)評估結(jié)果調(diào)整網(wǎng)絡(luò)安全策略，從而確保系統(tǒng)的正常運(yùn)行。此外，還可通過專業(yè)培訓(xùn)，進(jìn)一步促進(jìn)煙草公司員工安全意識的增強(qiáng)。

3煙草公司的網(wǎng)絡(luò)信息安全技術(shù)

3.1訪問控制技術(shù)

在煙草公司的網(wǎng)絡(luò)信息安全技術(shù)中，訪問控制技術(shù)是最重要的一項，其由主體、客體、訪問控制策略三個要素組成。煙草公司訪問用戶的種類多、數(shù)量大、常變化，進(jìn)而增加了授權(quán)管理工作的負(fù)擔(dān)。因此，為了避免發(fā)生上述情況，直接將訪問權(quán)限授予了主體，從而便于管理。此外，還應(yīng)革新并采用基于角色的訪問控制模型RBAC。

3.2數(shù)字簽名技術(shù)

在煙草公司，數(shù)字簽名技術(shù)的應(yīng)用很普遍。數(shù)字簽名屬于一種實(shí)現(xiàn)認(rèn)證、非否認(rèn)的方法。在網(wǎng)絡(luò)虛擬環(huán)境中，數(shù)字簽名技術(shù)仍然是確認(rèn)身份的關(guān)鍵技術(shù)之一，可完全代替親筆簽名，其無論是在法律上，還是技術(shù)上均有嚴(yán)格的保證。在煙草公司的網(wǎng)絡(luò)安全中應(yīng)用數(shù)字簽名技術(shù)，可更快地獲得發(fā)送者公鑰。但在這一過程中需要注意，應(yīng)對發(fā)送者私鑰嚴(yán)格保密。

3.3身份認(rèn)證技術(shù)

身份認(rèn)證是指在計算機(jī)與網(wǎng)絡(luò)系統(tǒng)這一虛擬數(shù)字環(huán)境中確認(rèn)操作者身份的過程。在網(wǎng)絡(luò)系統(tǒng)中，用戶的所有信息是用一組特定的數(shù)據(jù)來表示的；而在現(xiàn)實(shí)生活中，每個人都有著獨(dú)一無二的物理身份。如何確保這兩種身份的對應(yīng)性，已成為相關(guān)工作者遇到的難題。而采用身份認(rèn)證技術(shù)可很好地解決該難題。該技術(shù)主要包括基于隨機(jī)口令的雙因素認(rèn)證和基于RKI體制的數(shù)字證書認(rèn)證技術(shù)等。基于口令的身份認(rèn)證技術(shù)具有使用靈活、投入小等特點(diǎn)，在一些封閉的小型系統(tǒng)或安全性要求較低的系統(tǒng)中非常適用；基于PKI體制的數(shù)字證書認(rèn)證技術(shù)可有效保證信息系統(tǒng)的真實(shí)性、完整性、機(jī)密性等。

4結(jié)束語

綜上所述，安全是煙草公司網(wǎng)絡(luò)賴以生存的重要前提，網(wǎng)絡(luò)安全的最終目標(biāo)是確保在網(wǎng)絡(luò)中交換的數(shù)據(jù)信息不會被刪除、篡改、泄露甚至破壞，從而提高系統(tǒng)應(yīng)用的可控性和保密性。因此，煙草公司必須具備一套行之有效的網(wǎng)絡(luò)安全防護(hù)機(jī)制，增強(qiáng)自身網(wǎng)絡(luò)的整體防御能力，研發(fā)網(wǎng)絡(luò)安全立體防護(hù)技術(shù)。只有建立完善的信息安全防范體系，才能使煙草公司內(nèi)部的重要信息資源得到有效保護(hù)。

參考文獻(xiàn)

［1］張玨，田建學(xué).網(wǎng)絡(luò)安全新技術(shù)［J］.電子設(shè)計工程，2011，19（12）.

篇5

【 關(guān)鍵詞 】 指揮信息系統(tǒng)；AP2DR2；安全防護(hù)體系；安全管理

Research on The Security Protection Architecture of C4ISR System Based On AP2DR2

Wu Si-gen

（Jiangsu Automation Research Institute JaingsuLianyungang 222006）

【 Abstract 】 This paper firstly introduced the concepts and features of C4ISR System security protection，and then analyzed how to implementate network security in terms of network security strategy and technology.The C4ISR System security protection architecture based on AP2DR2 model is proposed，and disserated the AP2DD2 model is a multilevel and all-wave dynamic defense system.The C4ISR System security protection architecture transforms statics，passive to dynamic，initiative.The security protection architecture ensures effectually the information security of C4ISR System

【 Keywords 】 C4ISR system； AP2DR2； security protection architecture； security management

0 引言

在信息化戰(zhàn)爭中，指揮信息系統(tǒng)將整個作戰(zhàn)空間構(gòu)成一體化的網(wǎng)絡(luò)，實(shí)現(xiàn)了作戰(zhàn)指揮自動化、偵察情報實(shí)時化和戰(zhàn)場控制數(shù)字化，大大提高了軍隊的作戰(zhàn)能力。但是，網(wǎng)絡(luò)系統(tǒng)特別是無線網(wǎng)絡(luò)的互連性和開發(fā)性不可避免地帶來了脆弱性問題，使其容易受到攻擊、竊取和利用。在軍事斗爭中，摧毀和破壞對方的軍用信息網(wǎng)絡(luò)系統(tǒng)，成功地竊取和利用對方的軍事信息，就會使其聯(lián)絡(luò)中斷、指揮控制失靈、協(xié)同失調(diào)，從而奪取戰(zhàn)場信息的控制權(quán)，大大削弱對方軍隊的作戰(zhàn)能力。隨著戰(zhàn)場偵察監(jiān)視系統(tǒng)日趨完善，大量精確制導(dǎo)武器和電子武器、信息武器將廣泛投入作戰(zhàn)運(yùn)用，指揮信息系統(tǒng)安全面臨嚴(yán)重威脅。確保指揮信息系統(tǒng)信息安全已經(jīng)是一件刻不容緩的大事，因此，研究指揮信息系統(tǒng)安全防護(hù)體系具有十分重要的戰(zhàn)略意義。

1 指揮信息系統(tǒng)安全防護(hù)的基本概念和特點(diǎn)

指揮信息系統(tǒng)信息安全是在指揮機(jī)構(gòu)的統(tǒng)一領(lǐng)導(dǎo)下，運(yùn)用各種技術(shù)手段和防護(hù)力量，為保護(hù)指揮信息系統(tǒng)中各類信息的保密、完整、可用、可控，防止被敵方破壞和利用，而采取的各種措施和進(jìn)行的相關(guān)活動。隨著軍隊建設(shè)和未來戰(zhàn)爭對信息的依賴程度越來越高，指揮信息系統(tǒng)信息安全問題日益突出。

近50年來，信息系統(tǒng)安全經(jīng)歷了通信保密、信息安全和信息保障幾個幾個重要的發(fā)展階段。圖1給出了從通信保密到信息保障的概念發(fā)展示意。

通信保密指的是信息在處理、存儲、傳輸和還原的整個過程中通過密碼進(jìn)行保護(hù)的技術(shù)。它以確保傳輸信息的機(jī)密性和完整性，防止敵方從截獲的信號中讀取有用信息為目的。通信保密技術(shù)經(jīng)歷了從簡單到復(fù)雜、從早期的單機(jī)保密到進(jìn)入網(wǎng)絡(luò)時代后的通信網(wǎng)絡(luò)保密的發(fā)展過程。直到現(xiàn)在，加密保護(hù)仍是軍事通信系統(tǒng)重要防護(hù)手段。通信保密的核心是確保信息在傳輸過程中的機(jī)密性。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，信息系統(tǒng)的安全提上了日程，“保密”的概念逐漸從早期的通信保密發(fā)展到適應(yīng)于保護(hù)信息系統(tǒng)的信息安全。保密性、完整性、認(rèn)證性、抵抗賴性以及可用性和可控性成為信息安全的主要內(nèi)容。其中保密性仍然是信息安全中最重要的特性。隨著網(wǎng)絡(luò)攻防斗爭的日趨激烈，信息安全在信息系統(tǒng)中的地位不斷提升。信息安全的基本目標(biāo)是保護(hù)信息資源的歸屬性和完整性，維護(hù)信息設(shè)備和系統(tǒng)的正常運(yùn)轉(zhuǎn)，維護(hù)正常應(yīng)用的行為活動。信息的保密性、完整性、可用性、可識別性、可控性和不可抵賴性成為信息安全的主要內(nèi)容。

“信息保障”首次出現(xiàn)在美國國防部（DOD）1996年12月6日頒布的官方文件DODDirective S-3600.1：Information Operation中[3]。這些文件把“信息保障”定義為“通過確保系統(tǒng)的信息作戰(zhàn)行動，包括綜合利用保護(hù)、探測和反應(yīng)能力以恢復(fù)系統(tǒng)”。信息保障特別是將保障信息安全所必需的“保護(hù)（Protection）”、“檢測（Detection）”、“響應(yīng)（Response）”和“恢復(fù)（Restoration）”（PDRR）視為信息安全的四個聯(lián)動的動態(tài)環(huán)節(jié)，從而安全管理工作在一個大的框架下，能夠針對薄弱環(huán)節(jié)，有的放矢，有效防范，圍繞安全策略的具體需求有序地組織在一起，架構(gòu)一個動態(tài)的安全防范體系。

信息化條件下，指揮信息系統(tǒng)的安全防護(hù)具有幾個特點(diǎn)。

1）防護(hù)范圍廣闊。當(dāng)前，指揮信息系統(tǒng)已經(jīng)延伸至陸、海、空、天多維空間。橫向上，除了傳統(tǒng)的情報偵察、通信、指揮控制等領(lǐng)域外，在武器控制、導(dǎo)航定位、戰(zhàn)場監(jiān)控等領(lǐng)域也得到了廣泛運(yùn)用?？v向上，指揮信息系統(tǒng)已經(jīng)將上至戰(zhàn)略指揮機(jī)構(gòu)下至每一個技術(shù)單位和作戰(zhàn)單元甚至單兵聯(lián)成一體。從信息安全防護(hù)角度看，信息空間的每一個局部、節(jié)點(diǎn)都可以成為信息攻擊的目標(biāo)，并進(jìn)而影響整個系統(tǒng)的信息安全。

2）防護(hù)措施綜合。未來信息化戰(zhàn)爭中指揮信息系統(tǒng)信息安全將面臨著火力打擊、電子偵察、電磁干擾、病毒破壞、網(wǎng)絡(luò)滲透等越來越多的“硬殺傷”和“軟殺傷”威脅，為了確保指揮信息系統(tǒng)信息安全，僅靠某一手段和方法難以到達(dá)目的，而必須采取綜合一體的防護(hù)措施。從安全技術(shù)運(yùn)用來看，除了需要運(yùn)用傳統(tǒng)的防電磁泄漏和信息加密技術(shù)外，還必須綜合運(yùn)用防病毒、防火墻、身份識別、訪問控制、審計、入侵檢驗、備份與應(yīng)急恢復(fù)技術(shù)；從信息安全管理角度上看，既要重視發(fā)揮各種信息安全防護(hù)技術(shù)手段等“硬件”的作用，又要重視加強(qiáng)對各類信息的安全管理，提高指揮信息系統(tǒng)各類使用和維護(hù)人員的信息安全意識和能力，發(fā)揮好“軟件”的作用。

3）攻防對抗激烈。指揮信息系統(tǒng)是各類軍事信息的集散地和信息處理中心，針對其進(jìn)行的信息攻擊，可以到達(dá)牽一發(fā)而動全身的效果，并且其行動代價小，易于實(shí)現(xiàn)，具有較強(qiáng)的可控性?，F(xiàn)在和未來軍事斗爭的需要必將推動以指揮信息系統(tǒng)為目標(biāo)的信息斗爭進(jìn)一步發(fā)展，無論是戰(zhàn)時還是平時，在指揮信息系統(tǒng)對抗方面的斗爭將更加復(fù)雜、激烈。

2 基于AP2DR2模型的安全防護(hù)體系

指揮信息系統(tǒng)安全防護(hù)體系主要防止指揮信息系統(tǒng)的軟、硬件資源受到破壞、信息失泄（竊）或遭受攻擊，采取物理、邏輯以及行為管理的方法與措施，以保證指揮信息系統(tǒng)進(jìn)行可靠運(yùn)行與數(shù)據(jù)存儲、處理的安全；防止敵對國家利用信息技術(shù)對本國的國防信息系統(tǒng)進(jìn)行竊取、攻擊、破壞，包括防止對方利用信息技術(shù)竊取國防情報、壟斷信息技術(shù)、攻擊和破壞國防信息系統(tǒng)、奪取戰(zhàn)場上的制信息權(quán)等。指揮信息系統(tǒng)安全防護(hù)體系強(qiáng)調(diào)實(shí)施多層次防御，在整個信息基礎(chǔ)設(shè)施的所有層面上實(shí)施安全政策、步驟、技術(shù)和機(jī)制，使得攻破一層或一類保護(hù)的攻擊行為無法破壞整個信息基礎(chǔ)設(shè)施。

針對指揮信息系統(tǒng)安全防護(hù)，本文提出的AP2DR2（Analysis Policy Protection Detection Response Recovery，簡稱AP2DR2）動態(tài)安全模型是由分析（A）、策略（P）、防護(hù)（P）、檢測（D）、響應(yīng)（R）、恢復(fù)（R）等要素構(gòu)成，以人、策略、技術(shù)、管理為核心，在技術(shù)上圍繞風(fēng)險分析、防護(hù)、檢測、響應(yīng)、恢復(fù)這五個安全環(huán)節(jié)，即人要依據(jù)政策和策略，運(yùn)用相應(yīng)的技術(shù)來實(shí)施有效的部署和管理，從而實(shí)現(xiàn)整體指揮信息系統(tǒng)安全防護(hù)。如圖2所示。

該模型在整體的安全分析和安全策略的指導(dǎo)下，在綜合運(yùn)用各種防護(hù)技術(shù)（如加密、防火墻、防病毒、身份認(rèn)證、安全管理技術(shù)等）的同時，利用實(shí)時檢測技術(shù)（如入侵檢測、漏洞掃描、審計機(jī)制等）了解和評估系統(tǒng)的安全狀態(tài)，通過實(shí)時響應(yīng)和系統(tǒng)災(zāi)難備份恢復(fù)、關(guān)鍵系統(tǒng)冗余設(shè)計等方法，構(gòu)造多層次、全方位和立體的動態(tài)防御的安全體系。AP2DR2動態(tài)安全模型重視系統(tǒng)級的整體安全，強(qiáng)調(diào)“人、技術(shù)和運(yùn)作”三大因素的相互作用，在指揮信息系統(tǒng)的生命周期內(nèi)，從技術(shù)、管理、過程和人員等方面提出系統(tǒng)的安全需求，指定系統(tǒng)的安全策略，配置合適的安全機(jī)制和安全產(chǎn)品，最后對系統(tǒng)的安全防護(hù)能力進(jìn)行評估。防護(hù)、監(jiān)測、響應(yīng)和災(zāi)難恢復(fù)組成了一個完整的、動態(tài)的安全循環(huán)，共同構(gòu)造一個指揮信息系統(tǒng)網(wǎng)絡(luò)安全環(huán)境。

1） 風(fēng)險分析

安全是指揮信息系統(tǒng)正常運(yùn)行的前提，指揮信息系統(tǒng)的安全不單是單點(diǎn)的安全，而是整個指揮信息系統(tǒng)網(wǎng)絡(luò)的安全，需要從多角度進(jìn)行立體防護(hù)。要防護(hù)，就要清楚安全風(fēng)險來源于何處，這就需要對網(wǎng)絡(luò)安全進(jìn)行風(fēng)險分析，搞清楚指揮信息系統(tǒng)現(xiàn)有以及潛在的風(fēng)險，充分評估這些風(fēng)險可能帶來的威脅和影響。風(fēng)險分析是信息安全管理的基礎(chǔ)，目的是通過合理的步驟，以防止所有對網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。很多風(fēng)險不是因為技術(shù)原因，而是由于管理原因帶來的，所以要在掌握指揮信息系統(tǒng)安全測試及風(fēng)險評估技術(shù)的基礎(chǔ)上，建立基于管理和技術(shù)的面向等級保護(hù)的、完整的測評流程及風(fēng)險評估體系，最后根據(jù)風(fēng)險分析結(jié)果，制定安全策略。這是實(shí)施指揮信息系統(tǒng)安全建設(shè)必須最先解決的問題。

2） 安全策略

安全策略是一系列政策的集合，用來規(guī)范對組織資源的管理、保護(hù)以及分配，以達(dá)到最終安全的目的。安全策略的設(shè)計主要是為了防止發(fā)生錯誤行為并確保管理控制能夠保持一種良好的狀態(tài)。指揮信息系統(tǒng)安全策略涵蓋面很多，一個信息網(wǎng)絡(luò)的總體安全策略，可以概括為“實(shí)體可信，行為可控，資源可管，事件可查，運(yùn)行可靠”。安全策略是指揮信息系統(tǒng)防護(hù)重要的依據(jù)，要掌握海量數(shù)據(jù)的加密存儲和檢索技術(shù)，保障存儲數(shù)據(jù)的可靠性、機(jī)密性和安全訪問能力。

3） 系統(tǒng)防護(hù)

指揮信息系統(tǒng)安全需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等方面進(jìn)行多層次的防護(hù)。系統(tǒng)防護(hù)是進(jìn)入網(wǎng)絡(luò)的一個門戶，它根據(jù)系統(tǒng)可能出現(xiàn)的安全問題采取的一系列技術(shù)與管理的預(yù)防措施，實(shí)行主動實(shí)時的防護(hù)戰(zhàn)略。防護(hù)可以預(yù)防一些被入侵檢測系統(tǒng)漏掉而又企圖非授權(quán)訪問的行為。通過態(tài)勢感知、風(fēng)險評估、安全檢測等手段對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢進(jìn)行判斷，并依據(jù)判斷結(jié)果實(shí)施網(wǎng)絡(luò)防御的主動安全防護(hù)體系的實(shí)現(xiàn)方法與技術(shù)。通過態(tài)勢判斷，進(jìn)行系統(tǒng)的實(shí)時調(diào)整，主動地做出決策，而不是亡羊補(bǔ)牢，事后做決策。

4） 實(shí)時檢測

實(shí)時檢測主要包括入侵檢測、漏洞掃描、防病毒、日志與審計等，其中最為核心的是入侵檢測。入侵檢測是通過對行為、安全日志、審計數(shù)據(jù)進(jìn)行分析檢測，從中發(fā)現(xiàn)違反系統(tǒng)安全策略的行為和遭受攻擊的跡象，利用主動或被動響應(yīng)機(jī)制對入侵作出反應(yīng)。入侵檢測系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時捕獲下來，檢查是否有入侵或可疑活動的發(fā)生，一旦發(fā)現(xiàn)有入侵或可疑活動的發(fā)生，系統(tǒng)將做出實(shí)時報警響應(yīng)。入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和支持。入侵檢測最能體現(xiàn)整個模型的動態(tài)性，是支持應(yīng)急響應(yīng)體系建設(shè)的基本要素。

5） 實(shí)時響應(yīng)

實(shí)時響應(yīng)就是對指揮信息系統(tǒng)網(wǎng)絡(luò)的異常情況做出快速積極的反應(yīng)。在安全策略指導(dǎo)下，強(qiáng)調(diào)以入侵檢測為核心的安全防御體系，發(fā)現(xiàn)并及時截斷入侵、杜絕可疑后門和漏洞，并啟動相關(guān)報警信息。入侵檢測與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)等安全產(chǎn)品均應(yīng)實(shí)現(xiàn)聯(lián)動，這些聯(lián)動本身就是應(yīng)急響應(yīng)的一個組成部分，使得以前相互獨(dú)立、需要在不同的時間段內(nèi)完成的入侵檢測和應(yīng)急響應(yīng)兩個階段有機(jī)地融為一體。要掌握有效的惡意代碼防范與反擊策略，一旦發(fā)現(xiàn)惡意代碼之后，要迅速提出針對這個惡意代碼的遏制手段，要進(jìn)一步掌握蠕蟲、病毒、木馬、僵尸網(wǎng)絡(luò)、垃圾等惡意代碼的控制機(jī)理，要提供國家層面的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)支撐技術(shù)。

6） 災(zāi)難恢復(fù)

最基本的災(zāi)難恢復(fù)當(dāng)然是利用備份技術(shù)，對數(shù)據(jù)進(jìn)行備份是為了保證數(shù)據(jù)的一致性和完整性，消除系統(tǒng)使用者和操作者的后顧之憂。其最終目標(biāo)是業(yè)務(wù)運(yùn)作能夠恢復(fù)到正常的、未破壞之前的狀態(tài)。從防護(hù)技術(shù)來看，容錯設(shè)計、數(shù)據(jù)備份和恢復(fù)是保護(hù)數(shù)據(jù)的最后手段。在多種備份機(jī)制的基礎(chǔ)上，啟用應(yīng)急響應(yīng)恢復(fù)機(jī)制實(shí)現(xiàn)指揮信息系統(tǒng)的瞬時還原，進(jìn)行現(xiàn)場恢復(fù)及攻擊行為的再現(xiàn)，供研究和取證。災(zāi)難恢復(fù)大大提高了指揮信息系統(tǒng)的可靠性和可用性。

3 結(jié)束語

信息化條件下的現(xiàn)代戰(zhàn)爭中，對指揮信息系統(tǒng)的安全防護(hù)是贏得信息優(yōu)勢的基礎(chǔ)和重要保障。針對指揮信息系統(tǒng)信息面臨的安全威脅，本文提出一種基于AP2DR2模型的指揮信息系統(tǒng)信息安全防護(hù)體系，即嚴(yán)密的安全風(fēng)險分析、正確的安全策略、主動實(shí)時的防護(hù)和檢測、快速積極的響應(yīng)、及時可靠的恢復(fù)，是一個閉環(huán)控制、主動防御的、動態(tài)的、有效的安全防護(hù)體系，保障了指揮信息系統(tǒng)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

[1] 曹雷等. 指揮信息系統(tǒng)[M]. 北京：國防工業(yè)出版社，2012.

[2] 蘇錦海，張傳富. 指揮信息系統(tǒng)[M]. 北京：電子工業(yè)出版社，2010.

[3] 童志鵬. 綜合電子信息系統(tǒng)[M]. 北京：國防工業(yè)出版社，2010.

[4] 邢啟江. 信息時代網(wǎng)絡(luò)安全體系的建設(shè)與管理[J]. 計算機(jī)安全，2006，（10）：41-43.

[5] 牛自敏. 網(wǎng)絡(luò)安全體系及其發(fā)展趨勢綜述[J]. 科技廣場，2009，11：230-232.

[6] 石志國等. 計算機(jī)網(wǎng)絡(luò)安全教程[M]. 北京：清華大學(xué)出版社，2007.

篇6

隨著4G通信技術(shù)的不斷發(fā)展和應(yīng)用，對于新技術(shù)革新帶來的網(wǎng)絡(luò)信息安全威脅更加突出。運(yùn)營商在面對更多的不確定因素及威脅時，如何從網(wǎng)絡(luò)信息安全管控技術(shù)上來提升安全性水平，已經(jīng)成為運(yùn)營商提供良好服務(wù)質(zhì)量的迫切難題。為此，文章將從主要安全威脅源展開探討，并就安全防范策略進(jìn)行研究。

關(guān)鍵詞：

運(yùn)營商；網(wǎng)絡(luò)安全；威脅；防護(hù)策略

從3G到4G，隨著運(yùn)營商全業(yè)務(wù)運(yùn)營模式的不斷深入，對支撐網(wǎng)絡(luò)運(yùn)行的安全管控工程建設(shè)提出更高要求。特別是在應(yīng)用系統(tǒng)及用戶數(shù)的不斷增加，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，面對越來越多的應(yīng)用設(shè)備，其網(wǎng)絡(luò)安全問題更加突出。2014年攜程小米用戶信息的泄露，再次聚焦網(wǎng)絡(luò)信息安全隱患威脅，也使得運(yùn)營商在管控網(wǎng)絡(luò)安全及部署系統(tǒng)管理中，更需要從技術(shù)創(chuàng)新來滿足運(yùn)維需求。

1運(yùn)營商面臨的主要安全威脅

對于運(yùn)營商來說，網(wǎng)絡(luò)規(guī)模的擴(kuò)大、網(wǎng)絡(luò)用戶數(shù)的驟升，加之網(wǎng)絡(luò)分布的更加復(fù)雜，對整個網(wǎng)絡(luò)系統(tǒng)的安全等級也提出更高要求。當(dāng)前，運(yùn)營商在加強(qiáng)網(wǎng)絡(luò)信息安全防護(hù)工作中，需要從三個方面給予高度重視：一是來自網(wǎng)絡(luò)系統(tǒng)升級改造而帶來的新威脅。從傳統(tǒng)的網(wǎng)絡(luò)系統(tǒng)平臺到今天的4G網(wǎng)絡(luò)，IMS網(wǎng)絡(luò)的商業(yè)化，對傳統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)提出新的要求，特別是基于IP的全網(wǎng)業(yè)務(wù)的開展，無論是終端還是核心網(wǎng)絡(luò)，都需要從IP化模式實(shí)現(xiàn)全面互聯(lián)。在這個過程中，對于來自網(wǎng)絡(luò)的威脅將更加分散。在傳統(tǒng)運(yùn)營商網(wǎng)絡(luò)結(jié)構(gòu)中，其威脅多來自于末端的攻擊，而利用IGW網(wǎng)絡(luò)出口DDoS技術(shù)，以及受端網(wǎng)絡(luò)防護(hù)技術(shù)就可以實(shí)現(xiàn)防范目標(biāo)，或者在關(guān)口通過部署防火墻，來降低來自末端的攻擊。但對于未來全面IP化模式，各類網(wǎng)絡(luò)安全威脅將使得運(yùn)營商業(yè)務(wù)層面受到更大范圍的攻擊，如木馬病毒、拒絕服務(wù)攻擊等等，這些新威脅成為運(yùn)營商IP技術(shù)防范的重點(diǎn)。二是智能化終端設(shè)備的增加帶來新的隱患。從現(xiàn)代網(wǎng)絡(luò)通信終端智能化程度來看，終端的安全性已經(jīng)威脅到網(wǎng)絡(luò)平臺及業(yè)務(wù)的安全，特別是在不同接入模式、接入速度下，智能終端與相對集中的運(yùn)營商全業(yè)務(wù)管理之間的關(guān)聯(lián)度更加緊密，一旦智能化終端存在安全隱患，即將給通信網(wǎng)絡(luò)平臺帶來致命威脅。如智能化終端利用對運(yùn)營商業(yè)務(wù)系統(tǒng)的集中攻擊可以導(dǎo)致運(yùn)營商服務(wù)的中斷。同時，作為智能終端本身，因軟硬件架構(gòu)缺乏安全性評測，在網(wǎng)絡(luò)信息完整性驗證上存在缺陷，也可能誘發(fā)篡改威脅。如在進(jìn)行通信中對信息的竊聽、篡改，這些安全漏洞也可能引發(fā)運(yùn)營商網(wǎng)絡(luò)的安全威脅。三是現(xiàn)有安全防護(hù)體系及架構(gòu)存在不安全性風(fēng)險，特別是云技術(shù)的引入，對于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)來說，在用戶數(shù)、增值業(yè)務(wù)驟升過程中，對現(xiàn)有基礎(chǔ)設(shè)施的不可預(yù)知性問題更加復(fù)雜。另外，在網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定上，由于缺乏對現(xiàn)階段安全威脅的全面評估，可能導(dǎo)致現(xiàn)有網(wǎng)絡(luò)體系難以適應(yīng)新領(lǐng)域、新業(yè)務(wù)的應(yīng)用，而帶來更多的運(yùn)行處理故障等問題。

2構(gòu)建運(yùn)營商網(wǎng)絡(luò)安全防護(hù)體系和對策

2.1構(gòu)建網(wǎng)絡(luò)安全防護(hù)統(tǒng)一管控體系

開展網(wǎng)絡(luò)信息安全防范，要著力從現(xiàn)有運(yùn)營商網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)類型出發(fā)，根據(jù)不同功能來實(shí)現(xiàn)統(tǒng)一安全管控，促進(jìn)不同應(yīng)用系統(tǒng)及管理模式之間的數(shù)據(jù)安全交互。如對網(wǎng)絡(luò)運(yùn)維系統(tǒng)安全管理，對計費(fèi)系統(tǒng)用戶的認(rèn)證與管理，對經(jīng)營分析系統(tǒng)的授權(quán)與審計管理，對各操作系統(tǒng)數(shù)據(jù)存儲的分散管控等，利用統(tǒng)一的安全管控功能模塊來實(shí)現(xiàn)集中認(rèn)證、統(tǒng)一用戶管理。對于用戶管理，可以實(shí)現(xiàn)增刪修改，并根據(jù)用戶崗位性質(zhì)來明確其角色，利用授權(quán)方式來實(shí)現(xiàn)對不同角色、不同操作權(quán)限的分配和管理；在認(rèn)證模塊，可以通過數(shù)字認(rèn)證、密碼校驗、動態(tài)認(rèn)證及令牌等方式來進(jìn)行；在權(quán)限管理中，對于用戶的權(quán)限是通過角色來完成，針對不同用戶，從設(shè)備用戶、用戶授權(quán)訪問等方式來實(shí)現(xiàn)同步管理。

2.2引入虛擬化技術(shù)來實(shí)現(xiàn)集中部署

從網(wǎng)絡(luò)信息安全管控平臺來看，對于傳統(tǒng)的管控方案，不能實(shí)現(xiàn)按需服務(wù)，反而增加了部署成本，降低了設(shè)備利用率。為此，通過引入虛擬化技術(shù)，部署高性能服務(wù)器來完成虛擬的應(yīng)用服務(wù)器，滿足不同客戶端的訪問；對于客戶端不需要再部署維護(hù)客戶端，而是從虛擬服務(wù)器維護(hù)管理中來實(shí)現(xiàn)，由此減少了不必要的維護(hù)服務(wù)，確保了集中維護(hù)的便利性和有效性。另外，針對運(yùn)營商網(wǎng)絡(luò)中的多數(shù)應(yīng)用服務(wù)器，也可以采用集中部署方式來進(jìn)行集中管理。

2.3引入RBAC角色訪問控制模型

根據(jù)角色訪問控制模型的構(gòu)建，可以從安全管控上，利用已知信息來賦予相應(yīng)的權(quán)限，便于正確、快速、有效的實(shí)現(xiàn)用戶特定角色的授權(quán)。同時，在對RBAC模型進(jìn)行應(yīng)用中，需要就其權(quán)限賦值進(jìn)行優(yōu)化，如對層次結(jié)構(gòu)的支持，對不同用戶群組、不同用戶存在多個崗位的角色優(yōu)化，對崗位與部門之間的協(xié)同優(yōu)化，對用戶崗位與用戶權(quán)限及其所屬崗位角色的繼承關(guān)系進(jìn)行優(yōu)化等等。

2.4融合多種認(rèn)證方式來實(shí)現(xiàn)動態(tài)管控

根據(jù)不同系統(tǒng)應(yīng)用需求，在進(jìn)行認(rèn)證管理上，可以結(jié)合用戶登錄平臺來動態(tài)選擇。如可以通過數(shù)字認(rèn)證、WindowsKerberos認(rèn)證、動態(tài)令牌等認(rèn)證方式。當(dāng)用戶端采用插件方式登錄時，可以動態(tài)配置key證書認(rèn)證，也可以通過短信認(rèn)證來發(fā)送相應(yīng)的口令。由于運(yùn)營商網(wǎng)絡(luò)應(yīng)用賬戶規(guī)模較大，在進(jìn)行系統(tǒng)認(rèn)證時，為了確保認(rèn)證賬戶、密碼的有效性、可靠性，通常需要客戶端向應(yīng)用服務(wù)器發(fā)送請求，請求成功后再向用戶端發(fā)送認(rèn)證密碼。

2.5做好運(yùn)營商網(wǎng)絡(luò)安全維護(hù)管理

網(wǎng)絡(luò)信息安全威脅是客觀存在的，而做好網(wǎng)絡(luò)安全的維護(hù)管理工作，從基本維護(hù)到安全防護(hù)，并從軟硬件技術(shù)完善上來提升安全水平。如對網(wǎng)絡(luò)中服務(wù)器、操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備進(jìn)行定期檢查和維護(hù)，對不同網(wǎng)絡(luò)安全等級進(jìn)行有序升級，增加網(wǎng)絡(luò)硬件加固設(shè)備，做好日常網(wǎng)絡(luò)維護(hù)工作。同時，對于安全維護(hù)崗位人員，做好網(wǎng)絡(luò)硬件設(shè)備、網(wǎng)絡(luò)訪問控制權(quán)限的管理，并對相關(guān)的口令及密碼進(jìn)行定期更換，提升安全防護(hù)水平。另外，運(yùn)營商在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系上，不僅要關(guān)注網(wǎng)絡(luò)層面及應(yīng)用層的安全，還要關(guān)注用戶信息的安全，要將用戶信息納入安全管理重要任務(wù)中，切實(shí)從短信認(rèn)證、用戶實(shí)名制、用戶地理信息等個人隱私保護(hù)中來保障信息的安全、可靠。

2.6做好網(wǎng)絡(luò)安全建設(shè)與升級管理

隨著網(wǎng)絡(luò)通信新業(yè)務(wù)的不斷發(fā)展，對于網(wǎng)絡(luò)信息安全威脅更加復(fù)雜而多樣，運(yùn)營商要著力從新領(lǐng)域，制定有效的安全防護(hù)策略，從技術(shù)創(chuàng)新上來確保信息安全。一方面做好網(wǎng)絡(luò)安全策略的優(yōu)化，從網(wǎng)絡(luò)業(yè)務(wù)規(guī)劃與管理上，制定相應(yīng)的安全標(biāo)準(zhǔn)，并對各類業(yè)務(wù)服務(wù)器進(jìn)行全程監(jiān)管，確保業(yè)務(wù)從一開始就納入安全防護(hù)體系中；另一方面注重安全技術(shù)創(chuàng)新，特別是新的網(wǎng)絡(luò)安全技術(shù)、防御機(jī)制的引入，從安全技術(shù)手段來實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

3結(jié)語

運(yùn)營商網(wǎng)絡(luò)安全防護(hù)工作任重道遠(yuǎn)，在推進(jìn)配套體系建設(shè)上，要從安全維護(hù)的標(biāo)準(zhǔn)化、流程化，以及網(wǎng)絡(luò)安全等級制度完善上，確保各項安全防護(hù)工作的有效性。另外，加強(qiáng)對各類網(wǎng)絡(luò)安全應(yīng)急預(yù)案建設(shè)，尤其是建立溝通全國的安全支撐體系，從統(tǒng)一管理、協(xié)同防護(hù)上來提升運(yùn)營商的整體安全防護(hù)能力。

作者：王樹平 東野圣堯 張宇紅 單位：泰安聯(lián)通公司

參考文獻(xiàn)：

[1]吳靜.關(guān)于通信系統(tǒng)風(fēng)險的研究[J].數(shù)字通信，2014(3).

篇7

關(guān)鍵詞：網(wǎng)絡(luò)工程；安全防護(hù)技術(shù)；思考

引言

網(wǎng)絡(luò)信息技術(shù)的快速普及應(yīng)用極大地提高了人們的生活和工作效率，但與此同時，由于網(wǎng)絡(luò)信息技術(shù)自身所具有的開放性、交互性等特征，網(wǎng)絡(luò)工程在帶給人們巨大便捷的同時也面臨著日益嚴(yán)峻的安全問題。因而如何切實(shí)加強(qiáng)網(wǎng)絡(luò)工程安全防護(hù)，形成和發(fā)展與快速發(fā)展的網(wǎng)絡(luò)信息技術(shù)相適應(yīng)的網(wǎng)絡(luò)工程安全防護(hù)能力，就成為現(xiàn)代社會網(wǎng)絡(luò)信息化建設(shè)的焦點(diǎn)問題之一。

1網(wǎng)絡(luò)工程中存在的主要安全問題

進(jìn)入新世紀(jì)以來，隨著網(wǎng)絡(luò)工程的使用進(jìn)一步走向深層次和綜合化，網(wǎng)絡(luò)工程中面臨的安全隱患也進(jìn)一步加劇，主要表現(xiàn)在以下幾個方面：

1.1云端安全隱患突出

隨著以“互聯(lián)網(wǎng)+”、“云計算”等新興的互聯(lián)網(wǎng)技術(shù)的進(jìn)一步普及應(yīng)用，各種針對云端的病毒、漏洞等的攻擊也隨之增多，并日益威脅到云端等技術(shù)平臺的安全使用，而各種針對云端的網(wǎng)絡(luò)攻擊，也給目前逐漸普及應(yīng)用的云計算等帶來了潛在的危害，例如2011年亞馬遜數(shù)據(jù)中心發(fā)生的宕機(jī)事故，直接導(dǎo)致大量業(yè)務(wù)中斷，而時隔一年之后，亞馬遜的云計算平臺數(shù)據(jù)中心再次發(fā)生宕機(jī)事故，導(dǎo)致Heroku、Reddit和Flipboard等知名網(wǎng)站和信息服務(wù)商受到嚴(yán)重影響，而這也已經(jīng)是過去一年半里亞馬遜云計算平臺發(fā)生的第五次宕機(jī)事故，而隨著云計算等的進(jìn)一步普及，云端安全隱患也將進(jìn)一步突出。

1.2網(wǎng)絡(luò)安全攻擊事件頻發(fā)

網(wǎng)絡(luò)安全攻擊事件頻發(fā)是近年來網(wǎng)絡(luò)工程所遭遇的最為顯著和嚴(yán)重的安全問題之一，數(shù)據(jù)顯示，僅在2015年，全球就發(fā)生的各種網(wǎng)絡(luò)安全攻擊事件就超過了一萬件次，直接經(jīng)濟(jì)損失高達(dá)兩千億美元，例如2015年5月27日，美國國家稅務(wù)總局遭遇黑客襲擊，超過十萬名美國納稅人的信息被盜取，直接經(jīng)濟(jì)損失高達(dá)5000萬美元；2015年12月1日，香港偉易達(dá)公司遭遇黑客襲擊，導(dǎo)致全球超過500萬名消費(fèi)者的資料被泄露，可以想見，隨著未來網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全保護(hù)的形勢還將進(jìn)一步嚴(yán)峻化。

1.3移動設(shè)備及移動支付的安全問題加劇

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，現(xiàn)代社會已經(jīng)逐漸進(jìn)入到了“無現(xiàn)金”時代，移動設(shè)備的進(jìn)一步普及以及移動支付的出現(xiàn)使得人們的日常消費(fèi)活動更為便捷，但與此同時，各種移動支付和移動設(shè)備的安全問題也隨之開始浮出水面，目前來看，移動支付過程匯總所面臨的安全問題主要體現(xiàn)在兩個方面：一是利用移動終端進(jìn)行支付的過程中面臨著較大的安全風(fēng)險，如操作系統(tǒng)風(fēng)險、木馬植入等，二是現(xiàn)有的移動支付的主要驗證手段為短信驗證，這種驗證方式較為單一且安全系數(shù)較差，這些都是許多用戶對移動支付說“不”的原因之一。據(jù)中國支付清算協(xié)會的《2016年移動支付報告》顯示，移動支付的安全問題仍是未來移動支付所面臨的和需要應(yīng)對的核心問題，如何進(jìn)一步強(qiáng)化移動支付的安全“盾牌”，仍將是未來移動支付長遠(yuǎn)發(fā)展的現(xiàn)實(shí)挑戰(zhàn)之一。

1.4網(wǎng)絡(luò)黑客的頻繁攻擊

網(wǎng)絡(luò)黑客是目前網(wǎng)絡(luò)工程所面臨的安全問題的根源之一，可以說，如前所述的各種網(wǎng)絡(luò)安全問題有很多都來源于網(wǎng)絡(luò)黑客攻擊，近年來，隨著網(wǎng)絡(luò)黑客技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)黑客對全球網(wǎng)絡(luò)工程的破壞性攻擊也越來越多，且逐漸呈現(xiàn)出從傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域向工控領(lǐng)域進(jìn)行發(fā)展以及黑客活動政治化等趨勢，例如今年年初美國總統(tǒng)大選就曾遭遇過網(wǎng)絡(luò)黑客的攻擊，所幸此次大選并未受到實(shí)質(zhì)性影響。

2網(wǎng)絡(luò)工程安全防護(hù)技術(shù)提升的路徑分析

隨著“互聯(lián)網(wǎng)+”戰(zhàn)略的實(shí)施以及網(wǎng)絡(luò)安全被上升到了國家安全的高度，加強(qiáng)網(wǎng)絡(luò)工程的安全防護(hù)已經(jīng)被提高到了一個前所未有的高度。而網(wǎng)絡(luò)工程安全防護(hù)的提升則可以說是一項較為復(fù)雜的系統(tǒng)性工程，除了要在資金、人力、管理等方面上繼續(xù)下功夫以外，還必須要將加強(qiáng)網(wǎng)絡(luò)工程安全防護(hù)技術(shù)的創(chuàng)新與改進(jìn)放在一個關(guān)鍵的位置上，不斷強(qiáng)化網(wǎng)絡(luò)工程安全防護(hù)系數(shù)。

2.1合理使用防火墻技術(shù)

防火墻是網(wǎng)絡(luò)工程安全防護(hù)中所使用的常規(guī)性的網(wǎng)絡(luò)安全防護(hù)技術(shù)之一，也是目前主要應(yīng)用于防護(hù)計算機(jī)系統(tǒng)安全漏洞的主要技術(shù)手段。一般來說，防火墻是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，同時具有訪問控制、內(nèi)容過濾、防病毒、NAT、IPSECVPN、SSLVPN、帶寬管理、負(fù)載均衡、雙機(jī)熱備等多種功能，因此在利用防火墻技術(shù)來加強(qiáng)網(wǎng)絡(luò)工程安全防護(hù)時，首先必須選擇口碑良好、有市場的防火墻產(chǎn)品如NGFW4000、NGFW4000-UF等等，利用防火墻來進(jìn)行可靠的信息過濾，另一方面，需要對防火墻進(jìn)行定期升級，確保防火墻的始終處于最新版本，切實(shí)利用防火墻技術(shù)來提高網(wǎng)絡(luò)工程安全防護(hù)系數(shù)。圖1防火墻工作原理模型圖

2.2加強(qiáng)網(wǎng)絡(luò)工程病毒防護(hù)體系建設(shè)

計算機(jī)病毒是網(wǎng)絡(luò)工程所面臨著的主要安全問題之一，因此有效加強(qiáng)網(wǎng)絡(luò)工程的病毒防護(hù)體系尤其關(guān)鍵。眾所周知，計算機(jī)病毒往往具有傳染性強(qiáng)、傳播方式多樣、破壞性大且徹底清除的難度較高等特點(diǎn)，因而一旦感染很有可能導(dǎo)致一個局域網(wǎng)中的所有計算機(jī)都受到影響，尤其是在網(wǎng)絡(luò)工程的使用環(huán)境中，一旦感染計算機(jī)病毒將很可能導(dǎo)致其他的相關(guān)計算機(jī)癱瘓，這就需要企業(yè)不僅要在殺毒軟件、防火墻技術(shù)的更新等方面下足功夫，更重要的是要努力建立起多層次、立體化的病毒防護(hù)體系，同時努力搭建起便捷智能化的計算機(jī)病毒立體化管理系統(tǒng)，對整個系統(tǒng)中用戶設(shè)備進(jìn)行集中式的安全管理，切實(shí)提升對計算機(jī)病毒的防護(hù)效率，嚴(yán)格確保計算機(jī)不受病毒的侵染。

2.3搭配反垃圾郵件系統(tǒng)

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，電子郵件已經(jīng)成為互聯(lián)網(wǎng)信息時代下最受歡迎的通訊方式之一，但與此同時越來越多的垃圾郵件的出現(xiàn)也日漸困擾著人們的正常工作，垃圾郵件不僅占用了人們的寶貴的精力和時間，更重要的是它有可能給企業(yè)帶來嚴(yán)重的損失，我國是世界上的垃圾郵件大國之一，每年垃圾郵件的接收在全球位居前列，為此，不斷提升網(wǎng)絡(luò)工程的安全防護(hù)需要同時搭配有先進(jìn)成熟的反垃圾郵件系統(tǒng)，有效搭建企業(yè)內(nèi)部的“郵箱防護(hù)墻”，確保企業(yè)內(nèi)外部的郵件安全。

2.4強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)信息加密技術(shù)使用

針對當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)信息頻繁泄露的現(xiàn)實(shí)情況，加強(qiáng)網(wǎng)絡(luò)工程安全防護(hù)技術(shù)必須要努力強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)信息加密技術(shù)的使用，在實(shí)際使用過程中，可以通過對網(wǎng)絡(luò)工程中的相關(guān)軟件、網(wǎng)絡(luò)數(shù)據(jù)庫等進(jìn)行加密處理，提高和強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)信息加密技術(shù)的普及使用。

3總結(jié)

總之，加強(qiáng)網(wǎng)絡(luò)工程安全防護(hù)是一項較為復(fù)雜的系統(tǒng)性工程，需要涉及到方方面面的技術(shù)條件乃至相應(yīng)的管理、人力物力等方面的投入，更為重要的是，需要經(jīng)過系統(tǒng)的分析從而將這些技術(shù)手段有機(jī)結(jié)合起來，使之形成一個系統(tǒng)，從而更好地在網(wǎng)絡(luò)工程安全防范中發(fā)揮整體合力，有效提高網(wǎng)絡(luò)工程安全防范實(shí)效。

參考文獻(xiàn)：

[1]鄭邦毅,蔡友芬.網(wǎng)絡(luò)工程安全防護(hù)技術(shù)的探討[J].電子技術(shù)與軟件工程，2016.

[2]謝超亞.網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)的思考[J].信息化建設(shè)，2015.

[3]陳健,唐彥儒.關(guān)于網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)的思考[J].價值工程，2015.

[4]彭海琴.關(guān)于網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)的思考[J].電子技術(shù)與軟件工程，2014.

篇8

【關(guān)鍵詞】OA系統(tǒng) 安全評估 安全策略

信息化建設(shè)作為國家戰(zhàn)略發(fā)展的重要內(nèi)容，保障信息安全是發(fā)揮網(wǎng)絡(luò)系統(tǒng)優(yōu)勢的必然條件。OA系統(tǒng)作為協(xié)同辦公平臺，承擔(dān)著系統(tǒng)內(nèi)部信息流的互聯(lián)互通，而加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)安全體系的評估是制定安全保障策略的重中之重。

1 OA系統(tǒng)組成及防護(hù)設(shè)計

從當(dāng)前互聯(lián)網(wǎng)發(fā)展現(xiàn)狀來看，OA系統(tǒng)已經(jīng)不再局限于某地的協(xié)同辦公網(wǎng)絡(luò)，而是基于不同地域下，從企業(yè)及下屬各機(jī)構(gòu)之間的全局化管理需求上，搭建滿足日常辦公、業(yè)務(wù)處理、事務(wù)管理等活動的，涵蓋公文收發(fā)、文件查詢、簽報處理、會議管理等在內(nèi)的多元化信息交互平臺，從而實(shí)現(xiàn)企業(yè)辦公無紙化、信息化、網(wǎng)絡(luò)化目標(biāo)。如圖1所示。

從圖1所示的OA系統(tǒng)結(jié)構(gòu)來看，主要有基礎(chǔ)層、數(shù)據(jù)庫層、業(yè)務(wù)邏輯層、表示層等四部分組成，并通過各級接口單元來實(shí)現(xiàn)不同用戶、不用業(yè)務(wù)的互聯(lián)互通。

從OA系統(tǒng)管理來看，安全性是運(yùn)行的關(guān)鍵，而加強(qiáng)對OA系統(tǒng)數(shù)據(jù)的安全防范，主要從防范破壞、竊聽、篡改、偽造等方面，來構(gòu)建多層級安全防護(hù)體系。依據(jù)木桶原理，一個應(yīng)用系統(tǒng)的安全等級是由最低的短板來決定，同樣，對于OA系統(tǒng)安全來說，如果存在某一弱項，就會降低系統(tǒng)的整體安全性。為此，在設(shè)計OA系統(tǒng)安全防護(hù)時，要統(tǒng)籌考慮，要將物理安全、主機(jī)安全、應(yīng)用安排進(jìn)行綜合，來共同制定完善的安全管理保障體系。如在物理安全防護(hù)上，要對OA系統(tǒng)內(nèi)的各類網(wǎng)絡(luò)硬件設(shè)備與其他媒介設(shè)施進(jìn)行有效隔離，減少和降低可能存在的安全風(fēng)險。利用網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)病毒監(jiān)測數(shù)據(jù)庫、網(wǎng)絡(luò)入侵系統(tǒng)等設(shè)備來實(shí)現(xiàn)有效監(jiān)控；在對主機(jī)系統(tǒng)進(jìn)行防護(hù)上，通過設(shè)置漏洞掃描系統(tǒng)等保障其安全性；在對應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)時，利用證書管理系統(tǒng)來通過證書管理、授權(quán)管理等實(shí)現(xiàn)安全保障。

2 OA系統(tǒng)安排評估及保障策略構(gòu)建

提升OA系統(tǒng)的安全防護(hù)等級，必然需要從OA系統(tǒng)安全評估中來構(gòu)建防范策略。隨著OA系統(tǒng)應(yīng)用的不斷拓展，面對安全防護(hù)體系建設(shè)要求也越來越高，各類防范安全攻擊手段也不斷增強(qiáng)。作為一種動態(tài)的防護(hù)保障體系，通常需要經(jīng)歷安全策略制定、安全風(fēng)險評估、系統(tǒng)配置調(diào)整和應(yīng)急預(yù)案編制、應(yīng)急響應(yīng)和系統(tǒng)數(shù)據(jù)恢復(fù)等流程。

2.1 制定安全策略

安全策略的制定是保障OA系統(tǒng)的基礎(chǔ)，也是首項任務(wù)。從不同OA系統(tǒng)管理安全目標(biāo)來說，在制定安全策略上，要確保安全設(shè)備、主機(jī)設(shè)備、服務(wù)器系統(tǒng)的連續(xù)性和可擴(kuò)展性。

2.2 做好安全風(fēng)險評估

風(fēng)險評估是制定安全策略的前提，也是圍繞可能存在的安全威脅，對可能存在的網(wǎng)絡(luò)攻擊行為、網(wǎng)絡(luò)安全漏洞等進(jìn)行專門防范的基礎(chǔ)。隨著OA系統(tǒng)功能的不斷拓展，面臨的安全風(fēng)險也更加多樣。因此需要從安全風(fēng)險評估中通過技術(shù)手段來進(jìn)行安全檢測。具體評估方法有兩種。一種是對單一安全因素進(jìn)行評估。如對于網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、計算機(jī)本身進(jìn)行安全性評估，并從網(wǎng)絡(luò)設(shè)備的使用數(shù)量、型號、性能等信息上進(jìn)行合理部署和優(yōu)化，利用操作系統(tǒng)安裝相應(yīng)的安全軟件，并從補(bǔ)丁庫、漏洞庫及時更新上來做好各項風(fēng)險源的檢測和控制。針對網(wǎng)絡(luò)上流行的病毒、木馬等惡意代碼，可以通過定期升級、備份來進(jìn)行防范。另一種是整體安全評估，通過綜合性安全防范分析軟件，從系統(tǒng)安全性等級、系統(tǒng)安全趨勢分析、系統(tǒng)安全缺陷等方面進(jìn)行綜合評估，并發(fā)現(xiàn)和鎖定可能風(fēng)險源，為下一步構(gòu)建安全防護(hù)體系提供參考。

2.3 優(yōu)化安全配置數(shù)據(jù)

通過安全評估，針對可能存在的安全隱患，需要從具體的安全策略制定上來加以優(yōu)化，來改進(jìn)系統(tǒng)安全等級。如對于某類風(fēng)險源，利用設(shè)置防范參數(shù)來進(jìn)行過濾和截獲。同時，針對病毒庫、事件庫、安全補(bǔ)丁更新問題，可以從自動升級、人工升級模式設(shè)置上來優(yōu)化；對于各類網(wǎng)絡(luò)共享端口，通過設(shè)置安全口令來進(jìn)行授權(quán)管理；對于系統(tǒng)服務(wù)器及其他安全設(shè)備，不必要的端口要進(jìn)行關(guān)閉。

2.4 制定安全應(yīng)急預(yù)案

應(yīng)急預(yù)案是在可能存在的安全攻擊或自然災(zāi)害時所采取的系統(tǒng)化解決防范思路和方法。如對于常見的網(wǎng)絡(luò)攻擊行為，通過應(yīng)急預(yù)案來進(jìn)行處置，來減少和避免損失，提升網(wǎng)絡(luò)管理系統(tǒng)安全性。以某意外斷電為例，在應(yīng)急措施編制上，應(yīng)該對主機(jī)系統(tǒng)進(jìn)行有序斷電，在UPS電池耗盡前完成服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等系統(tǒng)的關(guān)閉；在電力恢復(fù)時，應(yīng)該遵循打開總開關(guān)、啟動UPS，逐次打開分支開關(guān)，啟動核心路由器、交換機(jī)和網(wǎng)絡(luò)安全設(shè)備，再依次打開各個服務(wù)器，對各服務(wù)器工作狀態(tài)進(jìn)行檢查，確保正常啟動相應(yīng)服務(wù)。

2.5 應(yīng)急響應(yīng)及數(shù)據(jù)恢復(fù)

應(yīng)急響應(yīng)是對存在的安全風(fēng)險及事件進(jìn)行響應(yīng)的過程，通常在發(fā)生網(wǎng)絡(luò)異?；蚋婢瘯r，需要對根據(jù)預(yù)案來進(jìn)行應(yīng)急處置。如對于某次網(wǎng)絡(luò)病毒攻擊事件，在應(yīng)急預(yù)案設(shè)計上，應(yīng)該遵循六點(diǎn)：

（1）首先對被感染計算機(jī)進(jìn)行網(wǎng)絡(luò)隔離；

（2）對該系統(tǒng)硬盤數(shù)據(jù)進(jìn)行備份；

（3）判嗖《糾嘈汀⑽：Γ涉及到那些網(wǎng)絡(luò)端口，并啟動殺毒軟件對該計算機(jī)系統(tǒng)進(jìn)行全面殺毒處理；

（4）為保障安全，需要對其他服務(wù)器系統(tǒng)進(jìn)行病毒掃描和清除；

（5）對于殺毒軟件無法清除的病毒應(yīng)立即報告，并聯(lián)系廠商協(xié)助解決，針對事態(tài)危重問題，要告知相關(guān)部門給予協(xié)同處理，并病毒語境；

（6）清除完病毒后，重新啟動計算機(jī)并接入網(wǎng)絡(luò)系統(tǒng)。應(yīng)急恢復(fù)是在完成安全防范事件后，對原有系統(tǒng)進(jìn)行啟動，并將系統(tǒng)恢復(fù)至正常狀態(tài)。

3 結(jié)語

OA系統(tǒng)安全評估及策略的制定，重點(diǎn)在于對可能存在的應(yīng)急風(fēng)險進(jìn)行預(yù)案設(shè)計和應(yīng)急響應(yīng)，并從異常事件處置中總結(jié)經(jīng)驗，優(yōu)化安全策略，確保OA系統(tǒng)處于良好運(yùn)行狀態(tài)。

參考文獻(xiàn)

[1]陳建新，王金玉，陳禹，程渙青，胡韜.OA網(wǎng)絡(luò)信息系統(tǒng)的頂層設(shè)計方略[J].辦公自動化，2014（10）.

[2]陳燕，魏鵬飛.辦公自動化系統(tǒng)安全控制策略[J].技術(shù)與市場，2016（06）.

篇9

關(guān)鍵詞：大數(shù)據(jù)；計算機(jī)信息安全；企業(yè)；防護(hù)策略

大數(shù)據(jù)（bigdata）形成于傳統(tǒng)計算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用中，并不能將它理解為傳統(tǒng)意義中大量數(shù)據(jù)的集合，而是其中涵蓋了更多的數(shù)據(jù)信息處理技術(shù)、傳輸技術(shù)和應(yīng)用技術(shù)。正如國際信息咨詢公司Gartner所言“大數(shù)據(jù)在某些層面已經(jīng)超越了現(xiàn)有計算機(jī)信息技術(shù)處理能力范圍，它是一種極端信息資源。[1]”正是基于此，社會各個領(lǐng)域行業(yè)才應(yīng)用大數(shù)據(jù)技術(shù)來為計算機(jī)信息安全提供防范措施，尤其是企業(yè)計算機(jī)信息網(wǎng)絡(luò)，更需要它來構(gòu)建網(wǎng)絡(luò)信息防護(hù)體系，迎接來自于企業(yè)外部不同背景下的不同安全威脅。

1關(guān)于企業(yè)計算機(jī)信息安全防護(hù)體系的建設(shè)需求

企業(yè)計算機(jī)系統(tǒng)涉及海量數(shù)據(jù)和多種關(guān)鍵技術(shù)，它是企業(yè)正常運(yùn)營的大腦，為了避免來自于內(nèi)外因素的干擾，確保企業(yè)正常運(yùn)轉(zhuǎn)，必須為“大腦”建立計算機(jī)信息安全防護(hù)體系，基于信息安全水平評價目標(biāo)來確立各項預(yù)訂指標(biāo)性能，確保企業(yè)計算機(jī)系統(tǒng)不會遭遇侵犯威脅，保護(hù)重要信息安全。因此企業(yè)所希望的安全防護(hù)體系建設(shè)應(yīng)該滿足以下3項需要。首先，該安全防護(hù)體系能夠系統(tǒng)的從企業(yè)內(nèi)外部環(huán)境、生產(chǎn)及銷售業(yè)務(wù)流程來綜合判斷和考慮企業(yè)計算機(jī)信息安全技術(shù)、制度及管理相關(guān)問題，并同時快速分析出企業(yè)在計算機(jī)信息管理過程中可能存在的各種安全隱患及危險因素。指出防護(hù)體系中所存在的缺陷，并提出相應(yīng)的防護(hù)措施。其次，可以對潛在威脅企業(yè)計算機(jī)系統(tǒng)的不安定因素進(jìn)行定性、定量分析，有必要時還要建立全面評價模型來展開分析預(yù)測，提出能夠確保體系信息安全水平提升的優(yōu)質(zhì)方案。第三，可以利用體系評價結(jié)果來確定企業(yè)信息安全水平與企業(yè)規(guī)模，同時評價該防護(hù)體系能為企業(yè)帶來多大收益，確保防護(hù)體系能與企業(yè)所投入發(fā)展?fàn)顩r相互吻合。

2大數(shù)據(jù)環(huán)境對企業(yè)計算機(jī)信息安全建設(shè)的影響

大數(shù)據(jù)環(huán)境改變了企業(yè)計算機(jī)信息安全建設(shè)的思路與格局，應(yīng)該從技術(shù)與管理維度兩個層面來看這些影響變化。

2.1基于企業(yè)計算機(jī)信息安全建設(shè)的技術(shù)維度影響

大數(shù)據(jù)所蘊(yùn)含技術(shù)豐富，它可以運(yùn)用分布式并行處理機(jī)制來管理企業(yè)計算機(jī)信息安全。它不僅僅能確保企業(yè)信息的可用性與完整性，還能提高信息處理的準(zhǔn)確性與傳輸連續(xù)性。因為在大數(shù)據(jù)背景下，復(fù)雜數(shù)據(jù)類型處理案例比比皆是，必須要避免信息處理過程錯誤所帶來的企業(yè)信息資源安全損失，所以應(yīng)該采取大數(shù)據(jù)環(huán)境技術(shù)來展開新的信息處理方式及存儲方式，像以Hadoop平臺為主的Mapreduce分布式計算就能啟動云存儲方式，對企業(yè)計算機(jī)信息進(jìn)行有效存儲、轉(zhuǎn)移和管理，提高其信息安全水平。分布式計算會為企業(yè)計算機(jī)信息建立大型數(shù)據(jù)庫，或者采用第三方云服務(wù)提供商所提供的虛擬平臺來管理信息，這種做法可以為企業(yè)省下防火墻、數(shù)據(jù)庫、基礎(chǔ)性安防技術(shù)等等建設(shè)環(huán)節(jié)的大筆成本費(fèi)用。在信息傳遞方面，大數(shù)據(jù)環(huán)境主要能夠干預(yù)企業(yè)信息傳遞，例如為企業(yè)計算機(jī)系統(tǒng)提供高速不中斷的傳遞功能模塊，以確保企業(yè)信息傳遞的完整性與可持續(xù)性。在此過程中為了確保企業(yè)計算機(jī)信息傳輸?shù)陌踩煽?，就會基于大?shù)據(jù)技術(shù)來為企業(yè)提供數(shù)據(jù)加密服務(wù)，確保數(shù)據(jù)傳輸整個過程都處于安全狀態(tài)，避免任何信息泄露、被盜取現(xiàn)象的發(fā)生。

2.2基于企業(yè)計算機(jī)信息安全建設(shè)的管理維度影響

在大數(shù)據(jù)環(huán)境下，企業(yè)計算機(jī)信息安全的管理維度影響不容忽視，它體現(xiàn)在人員管理、大數(shù)據(jù)管理與第三方信息安全等多個方面。在人員管理管理方面，大數(shù)據(jù)為企業(yè)所提供的是由傳統(tǒng)集中辦公向分散式辦公的工作模式轉(zhuǎn)變，它創(chuàng)建了企業(yè)自帶辦公設(shè)備BYOD（BringYourOwnDevice），BYOD一方面能有效提高員工積極性，一方面也能為企業(yè)購置辦公設(shè)備節(jié)約成本，不過它也能影響到企業(yè)計算機(jī)的信息安全管理事項，移動設(shè)備大幅度降低了企業(yè)對計算機(jī)系統(tǒng)安全的可控度，可能會難以發(fā)現(xiàn)來自于外部黑客及安全漏洞、計算機(jī)病毒對系統(tǒng)的入侵，一定程度上增加了信息泄漏的安全隱患。在第三方信息安全管理方面，它可能會對企業(yè)信息安全帶來巨大影響，因為第三方信息是需要用來進(jìn)行加工分析的，但它對于企業(yè)計算機(jī)系統(tǒng)是否能形成保障實(shí)際上是難以被企業(yè)穩(wěn)定控制的，所以企業(yè)要確切保證第三方信息安全管理的有效性，基于大數(shù)據(jù)強(qiáng)化企業(yè)信息安全水平，利用分權(quán)式組織結(jié)構(gòu)來提高企業(yè)計算機(jī)系統(tǒng)及信息的利用效率，同時也增強(qiáng)大數(shù)據(jù)之于企業(yè)計算機(jī)系統(tǒng)的應(yīng)用實(shí)效性。

3基于大數(shù)據(jù)優(yōu)化環(huán)境下的企業(yè)計算機(jī)信息安全防護(hù)策略

企業(yè)計算機(jī)信息安全對企業(yè)發(fā)展至關(guān)重要，為其建立安全防護(hù)體系首先要明確其信息安全管理是一項動態(tài)復(fù)雜的系統(tǒng)性工程。企業(yè)需要從管理、人員和技術(shù)3方面來滲透大數(shù)據(jù)意識及相關(guān)技術(shù)理念，為企業(yè)計算機(jī)系統(tǒng)構(gòu)筑防線，保護(hù)信息安全。

3.1基于管理層面的計算機(jī)信息安全防護(hù)策略

社會企業(yè)其實(shí)就是大數(shù)據(jù)的主要來源，所以企業(yè)在對自身計算機(jī)信息安全進(jìn)行保護(hù)過程中需要面臨可能存在的技術(shù)單一、難以滿足企業(yè)信息安全需求等問題。企業(yè)需要基于大數(shù)據(jù)技術(shù)來建立計算機(jī)信息安全防護(hù)機(jī)制，從大數(shù)據(jù)本身出發(fā)，做到對數(shù)據(jù)的有效收集和合理分析，準(zhǔn)確排查安全問題，建立企業(yè)計算機(jī)信息安全組織機(jī)構(gòu)。本文認(rèn)為，該計算機(jī)信息安全防護(hù)策略中應(yīng)該包含安全運(yùn)行監(jiān)管機(jī)制、信息安全快速響應(yīng)機(jī)制、信息訪問控制機(jī)制、信息安全管理機(jī)制以及災(zāi)難備份機(jī)制等等。在面對企業(yè)的關(guān)鍵性信息時，應(yīng)該在計算機(jī)系統(tǒng)中設(shè)置信息共享圈，盡可能降低外部不相關(guān)人員對于某些機(jī)密信息的接觸可能性，所以在此共享圈中還應(yīng)該設(shè)置信息共享層次安全結(jié)構(gòu)，為信息安全施加“雙保險”。另一方面，企業(yè)管理層也應(yīng)該為計算機(jī)系統(tǒng)建立信息安全生態(tài)體系，一方面為保護(hù)管理層信息流通與共享，一方面也希望在大數(shù)據(jù)環(huán)境下實(shí)現(xiàn)信息技術(shù)的有效交流，為管理層提出企業(yè)決策提供有力技術(shù)支持。再者，企業(yè)應(yīng)該完善大數(shù)據(jù)管理制度。首先企業(yè)應(yīng)該明確大數(shù)據(jù)主要由非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)共同組成，所以要明確計算機(jī)系統(tǒng)中的所有大數(shù)據(jù)信息應(yīng)該通過周密分析與計算才能最終獲取，做到對系統(tǒng)中大數(shù)據(jù)存儲、分析、應(yīng)用與管理等流程的有效規(guī)范。舉例來說，某些企業(yè)在管理存儲于云端的第三方信息時，就應(yīng)該履行與云服務(wù)商所簽訂的第三方協(xié)議，在此基礎(chǔ)上來為企業(yè)自身計算機(jī)系統(tǒng)設(shè)置單獨(dú)隔離單元，防止信息泄露現(xiàn)象。另一方面，企業(yè)必須實(shí)施基于大數(shù)據(jù)的組織結(jié)構(gòu)扁平化建設(shè)，這樣也能確保計算機(jī)系統(tǒng)信息流轉(zhuǎn)速度無限加快，有效降低企業(yè)基層員工與高層管理人員及領(lǐng)導(dǎo)之間的信息交流障礙[2]。

3.2基于人員層面的計算機(jī)信息安全防護(hù)策略

目前企業(yè)人員所應(yīng)用計算機(jī)個人系統(tǒng)已經(jīng)趨向于移動智能終端化，許多BYOD工作方案紛紛出現(xiàn)。這些工作方案利用智能移動終端連接企業(yè)內(nèi)部網(wǎng)絡(luò)，可以實(shí)現(xiàn)對企業(yè)數(shù)據(jù)庫及內(nèi)部信息的有效訪問，這雖然能夠提高員工的工作積極性，節(jié)約企業(yè)購置辦公設(shè)備成本，但實(shí)際上它也間接加大了企業(yè)對計算機(jī)信息安全的管理難度。具體來說，企業(yè)無法跟蹤員工的移動終端來監(jiān)控黑客行蹤，無法第一時間發(fā)現(xiàn)潛藏病毒對企業(yè)計算機(jī)系統(tǒng)及內(nèi)網(wǎng)安全的潛在威脅。因此企業(yè)需要針對員工個人來展開大數(shù)據(jù)背景下的信息流通及共享統(tǒng)計，明確員工在工作進(jìn)程中信息的實(shí)際利用狀況。而且企業(yè)也應(yīng)該在基于保護(hù)大數(shù)據(jù)安全的背景下來強(qiáng)化員工信息安全教育，培養(yǎng)他們的信息安全意識，讓員工在使用BYOD進(jìn)行企業(yè)內(nèi)部計算機(jī)數(shù)據(jù)庫訪問及相關(guān)信息共享過程中提前主動做好數(shù)據(jù)防護(hù)工作，輔助企業(yè)共同保護(hù)內(nèi)部重要機(jī)密信息。

3.3基于安全監(jiān)管技術(shù)層面的計算機(jī)信息安全防護(hù)策略

在大數(shù)據(jù)環(huán)境中，企業(yè)如果僅僅依靠計算機(jī)軟件來維持信息安全已經(jīng)無法滿足現(xiàn)實(shí)安全需求，如果能從安全監(jiān)管技術(shù)層面來提出相應(yīng)保護(hù)方案則要配合大數(shù)據(jù)相關(guān)技術(shù)來實(shí)施?？紤]到企業(yè)容易受到高級可持續(xù)攻擊（AdvancedPersistentThreat）載體的威脅（形成隱藏APT），不易被計算機(jī)系統(tǒng)發(fā)覺，為企業(yè)信息帶來不可估量威脅，所以企業(yè)應(yīng)該基于大數(shù)據(jù)技術(shù)來尋找APT在實(shí)施網(wǎng)絡(luò)攻擊時所留下的隱藏攻擊記錄，利用大數(shù)據(jù)配合計算機(jī)系統(tǒng)分析來找到APT攻擊源頭，從源頭遏制它所帶來的安全威脅，這種方法在企業(yè)已經(jīng)被證實(shí)為可行方案。另外，也可以考慮對企業(yè)計算系統(tǒng)中重要信息進(jìn)行隔離存儲，利用較為完整的身份識別來訪問企業(yè)計算機(jī)管理系統(tǒng)。在這里會為每一位員工發(fā)放唯一的賬號密碼，并利用大數(shù)據(jù)來記錄員工在系統(tǒng)中操作的實(shí)時動態(tài)，監(jiān)控他們的一切行為。企業(yè)要意識到大數(shù)據(jù)的財富化可能會導(dǎo)致計算機(jī)系統(tǒng)大量信息泄露，從而產(chǎn)生內(nèi)部威脅。所以在大數(shù)據(jù)背景下，應(yīng)該為計算機(jī)系統(tǒng)建立信息安全模式，利用其智能數(shù)據(jù)管理來實(shí)現(xiàn)系統(tǒng)的安全管理與自我監(jiān)控，盡可能減少人為操作所帶來的不必要失誤和信息篡改等安全問題。除此之外，企業(yè)也可以考慮建立大數(shù)據(jù)實(shí)時風(fēng)險模型，對計算機(jī)系統(tǒng)中所涉及的所有信息安全事件進(jìn)行有效管理，協(xié)助企業(yè)完成預(yù)警報告、應(yīng)急響應(yīng)以及風(fēng)險分析，做好對內(nèi)外部違規(guī)、誤操作行為的有效審計，提高企業(yè)信息安全防護(hù)水平[3]。

4總結(jié)

現(xiàn)代企業(yè)為保護(hù)計算機(jī)信息數(shù)據(jù)安全就必須與時俱進(jìn)，結(jié)合大數(shù)據(jù)環(huán)境，利用信息管理、情報、數(shù)學(xué)模型構(gòu)建等多種科學(xué)理論來付諸實(shí)踐，分析大數(shù)據(jù)環(huán)境下可能影響到企業(yè)信息安全水平的各個因素，最后做出科學(xué)合理評價。本文僅僅從較淺角度分析了公司企業(yè)在大數(shù)據(jù)背景下對自身計算機(jī)信息安全的相關(guān)防護(hù)策略，希望為企業(yè)安全穩(wěn)定發(fā)展提供有益參考。

參考文獻(xiàn)：

[1]尹淋雨.大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型研究[D].安徽財經(jīng)大學(xué),2014:49-51.

[2]雷邦蘭,龍張華.基于大數(shù)據(jù)背景的計算機(jī)信息安全及防護(hù)研討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(5):56,58.

篇10

為了深入貫徹學(xué)習(xí)關(guān)于網(wǎng)絡(luò)安全系列重要講話精神，積極響應(yīng)中央網(wǎng)信辦、工業(yè)和信息化部、公安部等六部門聯(lián)合的《關(guān)于印刷國家網(wǎng)絡(luò)安全宣傳周活動方案的通知》的要求，9月24日，由杭州市政府、中國信息化推進(jìn)聯(lián)盟、浙江經(jīng)濟(jì)理事會主辦，杭州市拱墅區(qū)政府、中國信息化推進(jìn)聯(lián)盟協(xié)同創(chuàng)新專委會、浙江乾冠信息安全研究院承辦的2016第二屆中國網(wǎng)絡(luò)安全協(xié)同創(chuàng)新高峰論壇?杭州峰會在美麗的西子湖畔召開。

峰會上，來自中央網(wǎng)信辦、公安部、中科院及國家有關(guān)部門的領(lǐng)導(dǎo)、專家就如何學(xué)習(xí)貫徹關(guān)于網(wǎng)絡(luò)安全和信息化的系列講話精神、網(wǎng)絡(luò)安全面臨的嚴(yán)峻復(fù)雜形勢、網(wǎng)絡(luò)安全管理的方針政策、網(wǎng)絡(luò)安全體系建設(shè)的策略建議和實(shí)踐案例等進(jìn)行了研討交流。

本刊摘取部分專家精彩觀點(diǎn)，以饗讀者。

建設(shè)整體信息安全保密體系

楊國勛認(rèn)為，當(dāng)前的信息安全問題不容小覷，特別是政府及金融、能源等關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障問題。應(yīng)該強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全，進(jìn)而大力推動重要領(lǐng)域整體信息安保體系建設(shè)。

但是，信息安全既沒有絕對的安全，也沒有永久的安全，因此，整體信息的安全防護(hù)也不可能一勞永逸，徹底管住。所以，在實(shí)際操作中，我們應(yīng)該是在有效安全的前提下，以發(fā)展促安全。

那么，如何做到有效防護(hù)？第一，要明確消除可預(yù)見的整體安防的薄弱點(diǎn)和空白點(diǎn)。要按照對雙方的重要性及損害的嚴(yán)重程度分類評估，來判定做還是不做。如果是有可預(yù)見的薄弱點(diǎn)，就不能做。第二，要創(chuàng)新安防的思路、方法、路線圖。現(xiàn)實(shí)中，我們經(jīng)常會遇到“又要馬兒跑、又要馬兒不吃草”的問題，信息安全也是這樣的問題，又要安全，又要擴(kuò)大應(yīng)用。在這種情況下，我們需要創(chuàng)新，需要從另外的角度來分析和思考。比如風(fēng)險管理，不僅要分析對自己的重要性，也要分析對敵方的重要性；出了事情，要分析對自己的影響，也要分析對敵方的影響；比如法制管理，用法制的威懾力，使他不敢造次，不敢隨便地對你進(jìn)行攻擊。第三，要有科學(xué)、合理、可持續(xù)的實(shí)施方案。

互聯(lián)網(wǎng)+下的工業(yè)安全技術(shù)

在演講中，何積豐提及了工業(yè)控制系統(tǒng)的三個安全目標(biāo)：一是通信可控，要能直觀觀察、監(jiān)控、管理通信數(shù)據(jù)，僅能保證專有協(xié)議的數(shù)據(jù)傳輸，禁止其他通信；二是區(qū)域隔離，要能防止局部控制網(wǎng)絡(luò)問題擴(kuò)散導(dǎo)致全局癱瘓，要在關(guān)鍵數(shù)據(jù)通道上部署網(wǎng)絡(luò)隔離；三是報警追蹤，要能及時發(fā)現(xiàn)網(wǎng)絡(luò)安全問題，確定故障點(diǎn)，記錄報警事件，為故障分析提供依據(jù)。

對于工業(yè)控制系統(tǒng)的安全防御策略，何積豐提出了五道防線，分別是：第三方商用防火墻，聯(lián)合安全網(wǎng)關(guān)，工業(yè)PC安全防護(hù)，現(xiàn)場設(shè)備控制防護(hù)，安全可靠的現(xiàn)場設(shè)備。可以采取的具體措施也有五條：去中心化、智能下移、異構(gòu)冗余，分布協(xié)同、蜜罐技術(shù)。

何積豐認(rèn)為，未來幾年，工業(yè)控制系統(tǒng)安全發(fā)展趨勢將朝著以下幾方面發(fā)展：一是隨著硬件元器件的可靠性越來越高及冗余技術(shù)的使用，安全問題的矛盾主要集中于軟件，軟件安全性面臨嚴(yán)峻形勢；二是工控信息安全標(biāo)準(zhǔn)需求強(qiáng)烈，標(biāo)準(zhǔn)制定工作亟需全面推進(jìn)；三是隨著自動化系統(tǒng)IT化，傳統(tǒng)邊界防護(hù)難以滿足工業(yè)控制環(huán)境；四是行業(yè)內(nèi)尚未形成氣候，需要整合自動化與信息安全公司優(yōu)勢，帶動產(chǎn)業(yè)全面發(fā)展；五是工控安全防護(hù)技術(shù)迅速發(fā)展并在局部開始試點(diǎn)，距離大規(guī)模部署和應(yīng)用有一定差距。

深化國家網(wǎng)絡(luò)安全等級保護(hù)制度，全力保衛(wèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全

陳廣勇除匯報了公安部在網(wǎng)絡(luò)安全方面的一些工作情況和應(yīng)對措施之外，還給重要行業(yè)部門開展網(wǎng)絡(luò)安全工作和信息安全企業(yè)提出了一些建議。

他建議，重要行業(yè)部門開展網(wǎng)絡(luò)安全工作要統(tǒng)籌規(guī)劃行業(yè)安全工作，以網(wǎng)絡(luò)安全等級保護(hù)工作為抓手，以信息通報為平臺，以全面加強(qiáng)安全管理和技術(shù)防范為重點(diǎn)，以提高網(wǎng)絡(luò)安全保障能力為目標(biāo)，全力構(gòu)建本行業(yè)網(wǎng)絡(luò)安全綜合防御體系。

針對信息安全企業(yè)，他建議，第一是要緊密圍繞國家網(wǎng)絡(luò)安全重大舉措來開展經(jīng)營活動，包括及時跟蹤了解國家法律、政策、標(biāo)準(zhǔn)和重大舉措；有針對性地制定具有行業(yè)特點(diǎn)的產(chǎn)品研發(fā)戰(zhàn)略、技術(shù)創(chuàng)新，著重解決云、大、物、移以及工業(yè)控制系統(tǒng)的安全風(fēng)險，制定相應(yīng)的整體解決方案；第二是要積極參與和跟進(jìn)信息安全標(biāo)準(zhǔn)的規(guī)范研究工作；第三是要全力支撐國家網(wǎng)絡(luò)安全重點(diǎn)工作，做好技術(shù)儲備和技術(shù)創(chuàng)新，信息安全企業(yè)要積極參與網(wǎng)絡(luò)安全信息通報預(yù)警、智慧城市的網(wǎng)絡(luò)安全管理、新技術(shù)、新應(yīng)用推廣等國家有較大投入的方面；第四是要加強(qiáng)規(guī)劃、科學(xué)布局，企業(yè)要做好長遠(yuǎn)的戰(zhàn)略規(guī)劃，努力成為既能提供整體的網(wǎng)絡(luò)安全解決方案，也能提供高質(zhì)量的咨詢服務(wù)能力的綜合服務(wù)提供商。

擬態(tài)防御，協(xié)同眾測促進(jìn)網(wǎng)絡(luò)安全創(chuàng)新

演講中，葛培勤指出了當(dāng)今網(wǎng)絡(luò)安全的五個特點(diǎn)：一是網(wǎng)絡(luò)安全是整體的不是割裂的，二是網(wǎng)絡(luò)安全是動態(tài)的不是靜態(tài)的，三是網(wǎng)絡(luò)安全是開放的而不是封閉的，四是網(wǎng)絡(luò)安全是相對的而不是絕對的，五是網(wǎng)絡(luò)安全是共同的而不是孤立的。他進(jìn)而指出：網(wǎng)絡(luò)防護(hù)需要靠大家共同協(xié)防，網(wǎng)絡(luò)檢測需要靠大家一起發(fā)現(xiàn)問題，網(wǎng)絡(luò)管理需要大家齊抓共管，網(wǎng)絡(luò)應(yīng)急需要靠大家一起處置/恢復(fù)，網(wǎng)絡(luò)演練需要靠大家共同參與，網(wǎng)絡(luò)安全需要靠廣大人民。

他講到，近年來，針對傳統(tǒng)13類產(chǎn)品以外的信息安全產(chǎn)品層出不窮，如APT網(wǎng)絡(luò)監(jiān)控類、工控安全類、生物識別類、認(rèn)證類、安全芯片類、大數(shù)據(jù)分析類、物聯(lián)網(wǎng)安全等等，而創(chuàng)新產(chǎn)品測評與統(tǒng)一認(rèn)證，將加快這些創(chuàng)新產(chǎn)品進(jìn)入實(shí)際應(yīng)用。國家信息技術(shù)安全研究中心與中國信息安全中心協(xié)商一致，最近將與多家測評機(jī)構(gòu)進(jìn)一步溝通協(xié)商，一是在測評規(guī)范上采取一定的措施，如鼓勵采用未國標(biāo)開展試點(diǎn)示范，采用參考行標(biāo)擴(kuò)大使用范圍，采用多家眾測形成測試用例，同時借鑒國外相關(guān)技術(shù)標(biāo)準(zhǔn)等方法，加快形成創(chuàng)新產(chǎn)品的基本測評用例和增強(qiáng)測試用例，采取結(jié)果導(dǎo)向、問題導(dǎo)向、目標(biāo)導(dǎo)向理念，開展基于漏洞分析挖掘的產(chǎn)品測評，并對相對成熟的創(chuàng)新類產(chǎn)品、專家評審和審批后發(fā)放統(tǒng)一的認(rèn)證證書。眾測活動需要嚴(yán)格的管理措施來保證測評中的“7性”，組織方必須周密組織，公開公平公正地開展工作，保證測評的嚴(yán)肅性、嚴(yán)謹(jǐn)性。

跨維―深度聚焦網(wǎng)安生態(tài)

徐平說，在整個網(wǎng)絡(luò)信息化發(fā)展過程中，乾冠信息安全研究院主要解決網(wǎng)絡(luò)安全中第一公里和最后一公里的問題，其中的第一公里小到一個單位，大到國家互聯(lián)網(wǎng)的出入口。乾冠信息安全研究院致力于通過時空跨維和深度聚焦，來形成一個比較完整的針對安全威脅的體系化的解決方案。

如何發(fā)現(xiàn)并分析處理數(shù)據(jù)安全，需要業(yè)界廠家形成合力，利用大數(shù)據(jù)驅(qū)動構(gòu)建一個安全管理的平臺。這也是研究院積極參與構(gòu)建中國網(wǎng)絡(luò)安全協(xié)同創(chuàng)新共同體、網(wǎng)絡(luò)安全態(tài)勢感知生態(tài)矩陣的初衷，即借助平臺化的方式，用平臺+服務(wù)、平臺+產(chǎn)品、平臺+合作伙伴等模式，來為用戶提供整體的服務(wù)。平臺矩陣將從三個層面提供防御保護(hù)：遠(yuǎn)程防御、云防御和安全設(shè)備。

他坦言，對安全威脅的一些未來的預(yù)測，是乾冠信息安全研究院下一步要重點(diǎn)突破的方向。

安全理念更新引領(lǐng)網(wǎng)絡(luò)安全創(chuàng)新

演講伊始，邵國安就指出：現(xiàn)在很多層面對于網(wǎng)絡(luò)安全的本質(zhì)和核心的理解是比較模糊的。理念決定行動，但是若理念都錯了，談何正確的行動？

他講道，網(wǎng)絡(luò)安全要從以下五個方面來加以考慮：一是網(wǎng)絡(luò)邊界的安全，二是網(wǎng)絡(luò)防護(hù)，三是終端安全，四是應(yīng)用安全，五是數(shù)據(jù)安全，每個層面都有不同的安全要求，是一個扇型的安全保障體系。

交通運(yùn)輸網(wǎng)絡(luò)安全風(fēng)險與策略

李璐瑤認(rèn)為，不管是從事信息化還是從事信息安全的，都必須先了解它的業(yè)態(tài)，才能來進(jìn)行風(fēng)險權(quán)重的評價。交通行業(yè)，很好地體現(xiàn)了大數(shù)據(jù)的強(qiáng)大特征：廣泛性、海量性、有價性。也正因此，交通領(lǐng)域成為了可能遭到重點(diǎn)攻擊的目標(biāo)，一定要采取有效措施，加強(qiáng)安全防護(hù)。

此外，她也認(rèn)為就各級政府而言，要集中對政府網(wǎng)站、政務(wù)郵箱、重要業(yè)務(wù)、公務(wù)終端、互聯(lián)網(wǎng)出口這五類系統(tǒng)進(jìn)行安全防護(hù)。

提升風(fēng)險自主發(fā)現(xiàn)處置能力的探索實(shí)踐