網(wǎng)絡安全防護管理辦法范文

時間:2023-12-26 18:00:51

導語:如何才能寫好一篇網(wǎng)絡安全防護管理辦法,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

網(wǎng)絡安全防護管理辦法

篇1

關鍵詞:煤炭企業(yè);網(wǎng)絡信息安全;問題;對策

引言:當前煤炭企業(yè)對網(wǎng)絡安全威脅很難開展有效的監(jiān)測,無法實現(xiàn)主動防御,只能處于一種被動防護狀態(tài),這無疑將會給煤炭企業(yè)引入極大的網(wǎng)絡安全風險。煤炭企業(yè)上到領導下到普通職員,均對網(wǎng)絡信息安全問題抱有僥幸的心理,覺得一般不會出大的問題,從而缺少積極的防范措施,使得煤炭企業(yè)當前在應對實際的網(wǎng)絡安全威脅時不能有效的進行監(jiān)測和防護。

一、關于煤炭企業(yè)當前面臨的網(wǎng)絡信息安全問題的分析

(1)煤炭企業(yè)員工的網(wǎng)絡信息安全意識比較淡薄

當前很多煤炭企業(yè)對自身所處的網(wǎng)絡信息安全現(xiàn)狀依然缺少正確、完整的認識,他們企業(yè)管理者覺得煤炭企業(yè)信息化的水平不高,接入互聯(lián)網(wǎng)的終端和用戶比較少,因此企業(yè)的網(wǎng)絡信息安全問題并不會給煤炭企業(yè)造成一定的威脅。另外,煤炭企業(yè)的管理層缺少對企業(yè)網(wǎng)絡信息安全的有效支持,使得實際投入到企業(yè)網(wǎng)絡和信息安全建設中的資金遠遠達不到應有的要求。

(2)煤炭企業(yè)內(nèi)部網(wǎng)絡信息系統(tǒng)的防護能力比較薄弱

從目前看來,依然存在一些煤炭企業(yè)缺少復雜的網(wǎng)絡信息系統(tǒng)部署結(jié)構(gòu),已有的設備性能和配置也比較落后。在實際的網(wǎng)絡系統(tǒng)部署中缺少有效的安全防護技術和手段,不能有效監(jiān)測到網(wǎng)絡安全的威脅,只能一直處于被動防護的狀態(tài)。由于煤炭企業(yè)內(nèi)部大多使用的還是比較老舊的操作系統(tǒng),這些舊的終端設備本身就存在著大量的系統(tǒng)漏洞,很容易遭到黑客的攻擊。當各個系統(tǒng)或軟件廠商在網(wǎng)上修補漏洞的補丁時,很多煤炭企業(yè)員工和用戶由于對這些網(wǎng)絡安全問題缺少正確的認識,無法意識到這些系統(tǒng)和軟件漏洞會給煤炭企業(yè)本身帶來的安全威脅,使得企業(yè)內(nèi)部網(wǎng)絡終端設備很難全部完成漏洞的修補。

(3)煤炭企業(yè)缺乏有效的網(wǎng)絡安全防范體系

調(diào)查發(fā)現(xiàn),當前很多煤炭企業(yè)的網(wǎng)絡信息安全管理較為混亂,沒有形成一套科學完整的網(wǎng)絡安全防范體系和機制。煤炭企業(yè)雖然制定了一些有關于網(wǎng)絡信息安全的管理制度和工作方法,但是依然缺乏有效的網(wǎng)絡安全威脅監(jiān)測和應對方法,對于已有的網(wǎng)絡安全管理辦法也很難嚴格的去執(zhí)行,不能達到預期的網(wǎng)絡安全防護效果。另外,對于煤炭企業(yè)員工本身缺少有效的約束管理辦法,大多數(shù)時候只能依靠員工本身的自律能力,沒能從企業(yè)網(wǎng)絡安全管理制度和辦法上建立起一種行之有效的防范措施。

二、煤炭企業(yè)防范網(wǎng)絡信息安全的對策

(1)加強企業(yè)內(nèi)部網(wǎng)絡信息安全管理

煤炭企業(yè)要想提高企業(yè)本身的網(wǎng)絡安全防護能力,首先必須改變企業(yè)當前固有的網(wǎng)絡安全管理方法,各個部門都需要制定出適合自己部門業(yè)務系統(tǒng)的網(wǎng)絡安全防護管理機制和體系。煤炭企業(yè)必須加強企業(yè)內(nèi)部自身的管理,為企業(yè)制定一套完整的網(wǎng)絡安全審計體系,能夠及時的發(fā)現(xiàn)潛在的安全威脅,并有效的追蹤到問題責任人。煤炭企業(yè)的網(wǎng)絡安全防護能力的強弱還需要根據(jù)企業(yè)員工網(wǎng)絡安全意識的強弱來判斷,因此在煤炭企業(yè)實際的運營當中,必須加大對企業(yè)網(wǎng)絡安全技術培訓和教育的投入。在煤炭企業(yè)中,網(wǎng)絡信息安全相關知識的培訓、教育以及宣傳非常重要,尤其要加強企業(yè)員工對網(wǎng)絡安全意識的培養(yǎng),認識到網(wǎng)絡安全對企業(yè)發(fā)展的重要性。要想讓煤炭企業(yè)能夠具備足夠的網(wǎng)絡安全知識和應急響應能力,就必須對企業(yè)員工開展定期的網(wǎng)絡安全知識培訓,從而不斷維持煤炭企業(yè)較高的網(wǎng)絡信息安全水平。

(2)引入先進的安全防護技術

除了剛剛提到的煤炭企業(yè)要加強企業(yè)內(nèi)部網(wǎng)絡信息安全管理之外,最為重要的就是煤炭企業(yè)必須要引入先進的網(wǎng)絡安全防護技術。如果企業(yè)沒有這些先進的安全防護技術,那么煤炭企業(yè)的網(wǎng)絡信息安全管理做的再好也沒有用,因為攻擊者將能夠直接不費吹之力拿下企業(yè)的整個網(wǎng)絡系統(tǒng),令企業(yè)面臨巨大的經(jīng)濟或聲譽損失。當前隨著攻擊者的攻擊手段不斷提高,網(wǎng)絡安全防護技術也在不斷地取得發(fā)展,因此煤炭企業(yè)必須要選擇先進的安全防護技術來保護企業(yè)系統(tǒng)免受侵害。

首先,煤炭企業(yè)必須要給企業(yè)內(nèi)部所有的辦公終端安裝網(wǎng)絡版的防病毒軟件,如此一來煤炭企業(yè)便可以實現(xiàn)對企業(yè)辦公終端的集中式管理,使得企業(yè)的系統(tǒng)管理員能夠及時的了解到當前網(wǎng)絡環(huán)境中每個節(jié)點的網(wǎng)絡安全狀態(tài),從而可以實現(xiàn)對企業(yè)辦公終端的有效監(jiān)管。此外,煤炭企業(yè)必須要在系統(tǒng)網(wǎng)絡之間部署防火墻,避免攻擊者通過非法的技術手段訪問企業(yè)內(nèi)部網(wǎng)絡,從而有效保護企業(yè)內(nèi)部網(wǎng)絡的安全。防火墻技術能夠?qū)崿F(xiàn)煤炭企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡的有效隔離,所有來自煤炭企業(yè)外部網(wǎng)絡的訪問都需要經(jīng)過防火墻的檢查,從而提高企業(yè)內(nèi)部網(wǎng)絡的安全性。除此之外,煤炭企業(yè)還必須引入數(shù)據(jù)加密技術,來有效提高企業(yè)內(nèi)部系統(tǒng)和數(shù)據(jù)的保密性,避免企業(yè)內(nèi)部的機密數(shù)據(jù)被攻擊者竊取或遭內(nèi)部員工的泄露。機密數(shù)據(jù)在發(fā)送之前會被發(fā)送者使用密鑰進行加密處理得到密文,然后密文會通過傳輸介質(zhì)傳送給接收者,接收者在拿到密文之后,需要利用密鑰對密文進行解密處理得到原始的機密數(shù)據(jù)。這樣一來便保證了數(shù)據(jù)信息的機密性,從而避免機密數(shù)據(jù)被黑客竊取給煤炭企業(yè)帶來經(jīng)濟損失。

篇2

一、高校校園網(wǎng)絡存在的問題

1.信息安全危機四伏

目前校園網(wǎng)絡處于內(nèi)憂外患的境地。從外部環(huán)境來看,信息網(wǎng)絡安全總體情況不太樂觀,互聯(lián)網(wǎng)地下經(jīng)濟促使病毒泛濫,病毒變種迅速得難以控制,多種技術配合進行攻擊欺騙,移動介質(zhì)蠕蟲傳染后下載木馬程序頻繁;從內(nèi)部環(huán)境來看,安全意識薄弱使得網(wǎng)絡攻擊更加猖獗,學校學生或扮演黑客角色或感染病毒發(fā)展僵尸網(wǎng)絡。網(wǎng)絡在學校里被用得很充分,特別是一些新的應用,更是在校園網(wǎng)中層出不窮。

2.網(wǎng)絡信息安全意識淡薄

在網(wǎng)絡技術普及以后,網(wǎng)絡安全受到的威脅系數(shù)增大。由于師生安全意識薄弱,對安全、技術一無所知的人比比皆是。這種狀況直接構(gòu)成了高校網(wǎng)絡安全的隱患。有些校園網(wǎng)絡用戶從未安裝殺毒軟件,或者裝后就沒有再升級,往往在機器中毒后才急忙找對策。還有不少校園網(wǎng)用戶,對于賬號或是郵件密碼的設定不重視,黑客要入侵計算機、破譯不費吹灰之力。正是由于校園用戶群體對網(wǎng)絡安全不夠重視, 因而不能充分認識到網(wǎng)絡安全遭到威脅后所帶來的嚴重后果。

3.網(wǎng)絡安全防護系統(tǒng)不完善, 保護措施不力

很多高校對計算機網(wǎng)絡建設普遍存在重技術、輕安全、輕管理的問題,對網(wǎng)絡安全所需的軟件、硬件設施上投入嚴重不足。并且很多高校沒有專門的管理機構(gòu), 沒有定期對師生進行安全防護教育的管理部門, 安全防護職責不明確,一遇到問題就互相埋怨, 推脫責任。另外,由于辦學經(jīng)費緊張不能持續(xù)投入大量資金改善網(wǎng)絡安全的軟、硬件設施,也使得加強高校網(wǎng)絡安全的措施無法到位。

二、高校校園網(wǎng)網(wǎng)絡安全體系的構(gòu)建

1.配置安全的系統(tǒng)服務器平臺

安全的系統(tǒng)服務器是網(wǎng)絡安全的基點,利用系統(tǒng)本地安全策略構(gòu)建一個相對安全的防護林,對于校園網(wǎng)來說至關重要。具體措施包括:設置禁用,構(gòu)建第一道防線;設置IIS,構(gòu)建第二道防線;運用掃描程序,堵住安全漏洞;封鎖端口,全面構(gòu)建防線。

2.技術保證

目前,網(wǎng)絡安全的技術主要包括殺毒軟件、防火墻技術、身份驗證、存取控制、數(shù)據(jù)的完整性控制和安全協(xié)議等內(nèi)容。技術保證包括以下一些技術措施。

(1)防火墻是校園網(wǎng)信息安全保障的核心點,它負責校園網(wǎng)中最根本的信息服務系統(tǒng)的安全。通過部署防火墻,實施嚴格的數(shù)據(jù)流監(jiān)控,同時在防火墻和服務系統(tǒng)上做較為詳細的日志記錄,為安全事件的事后取證工作提供依據(jù)。

(2)訪問控制是網(wǎng)絡安全防范和保護的最主要措施之一,其主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問。用戶的入網(wǎng)訪問控制采用用戶口令的識別與驗證,以保證其唯一性。當用戶進入網(wǎng)絡后,網(wǎng)絡系統(tǒng)就賦予其一定的訪問權(quán)限,用戶只能在其權(quán)限內(nèi)進行操作。

3.網(wǎng)絡安全管理規(guī)范

(1)建立并嚴格執(zhí)行規(guī)章制度。高校網(wǎng)絡安全防護方面發(fā)生問題都與管理者水平、管理制度是否完善有著極大的關系, 因此必須提高管理者的管理水平, 建立和完善管理體制, 不斷創(chuàng)造新的管理辦法, 做到嚴格按照安全管理制度進行規(guī)范操作, 以防信息被破壞甚至丟失。

(2)應急響應。在發(fā)現(xiàn)新病毒或因系統(tǒng)安全漏洞威脅網(wǎng)絡安全時,安全網(wǎng)絡要及時向用戶發(fā)出安全通告,并提供各種補丁程序以便下載。另外,還要做好計算機系統(tǒng)、網(wǎng)絡、應用軟件及各種資料數(shù)據(jù)的備份,并建立備份數(shù)據(jù)庫系統(tǒng)。

4.用戶教育

學校要加強網(wǎng)絡安全管理意識,強化網(wǎng)絡道德、網(wǎng)絡心理、網(wǎng)絡安全和法制教育,在師生的思想上、心理上安裝防火墻,抵御來自校園網(wǎng)外部的攻擊;要使廣大師生員工都能意識到維護校園網(wǎng)絡安全的重要性和緊迫感,并且自覺遵守有關網(wǎng)絡安全的法律法規(guī),從而自覺地維護校園網(wǎng)絡安全;要安排師生參加安全技術培訓,提高遵守相關安全制度的自覺性,增強整體安全防范能力。

三、結(jié)語

校園網(wǎng)絡是學校的重要基礎設施之一,其安全防范體系是一個動態(tài)的、不斷發(fā)展的綜合運行機制。我們必須全方位考慮各種不安全因素,制訂合理的技術方案和管理制度,以保證校園網(wǎng)絡高效可靠的運行。

參考文獻:

[1]吳國新,吉逸.計算機網(wǎng)絡[M].北京:高等教育出版社,2008.

[2]喬正洪,葛武滇.計算機網(wǎng)絡技術與應用[M].北京:清華大學出版社,2008.

篇3

【關鍵詞】電力二次自動化系統(tǒng);安全防護;設計

1 引言

電力企業(yè)作為提供生產(chǎn)和生活能源的單位,其對對國民經(jīng)濟的可持續(xù)發(fā)展和人民生活水平的提高具有十分重要的意義。隨著我國社會主義現(xiàn)代化經(jīng)濟的快速發(fā)展,全國各地對電力的需求量變得越來越大,社會對電力的依賴程度越來越高。因此,如何保障電力供應的安全問題就成為我國社會廣泛關注的問題,對電力二次系統(tǒng)安全問題也提出了更高的要求。

2 電力二次自動化系統(tǒng)安全防護的概述

近年來,由于我國電網(wǎng)規(guī)模的迅速擴張,二次系統(tǒng)安全防護工作也加快了進度,電力企業(yè)的二次系統(tǒng)更加依賴于計算機技術和網(wǎng)絡。隨著電網(wǎng)二次自動化系統(tǒng)的實施,逐步實現(xiàn)了地和縣的調(diào)動,500KV和220KV變電站的生產(chǎn)控制區(qū)業(yè)務系統(tǒng)都接入了調(diào)動數(shù)據(jù)網(wǎng)和相應調(diào)度數(shù)據(jù)網(wǎng)邊界的安全防護。2011年某水電站無故全廠停機造成電網(wǎng)瞬間缺電80萬仟瓦引起電網(wǎng)大面積停電。其根源估計是廠內(nèi)MIS系統(tǒng)與電站的控制系統(tǒng)無任何防護措施的互連,引起有意或無意的控制操作導致停機。此次事件說明隨著系統(tǒng)運用的普遍,電網(wǎng)規(guī)模的擴張使得二次自動化系統(tǒng)的規(guī)模越來越大,這就意味著二次系統(tǒng)安全風險的提高,需要進一步完善相關的管理辦法。細化電力二次自動化,可將其劃分為管理信息大區(qū)和生產(chǎn)控制大區(qū)。而管理信息大區(qū)和生產(chǎn)控制大區(qū)又可分為許多小區(qū),各區(qū)之間相互聯(lián)系、相互促進。

3 電力二次自動化系統(tǒng)存在的主要安全問題

由于電力信息系統(tǒng)會劃分成多個子系統(tǒng),并且要將其與計算機網(wǎng)絡系統(tǒng)相掛鉤。由于數(shù)據(jù)庫的資源共享,病毒的傳播渠道就增加,傳播更迅速、范圍更廣。病毒甚至可以從內(nèi)部局域網(wǎng)傳播到網(wǎng)內(nèi)的任何一臺計算機上,并大力破壞子系統(tǒng),致使其癱瘓,嚴重影響了自動化系統(tǒng)的正常運營和工作效率。除此之外,電力二次自動化系統(tǒng)還存在以下幾個問題:首先,管理區(qū)和生產(chǎn)區(qū)之間數(shù)據(jù)會相互交叉;其次,沒有完善和統(tǒng)一的認證機制,對病毒的入侵也沒有檢測預警機制;然后,缺乏漏洞掃描和審計手段,其接入存在安全隱患;最后,病毒代碼更新速度慢,對病毒代碼的防治不到位。電力二次系統(tǒng)主要安全風險如表1所示;

4 電力二次自動化系統(tǒng)安全防護的主要目標

電力二次自動化系統(tǒng)主要指的是各級電力監(jiān)控系統(tǒng)、電廠管理信息系統(tǒng)、調(diào)度數(shù)據(jù)網(wǎng)絡(SPDnet)和各級電網(wǎng)管理信息系統(tǒng)(MIS)、電力通信系統(tǒng)以及電力數(shù)據(jù)通信網(wǎng)絡(SPTnet)等共同構(gòu)成的十分復雜而龐大系統(tǒng)。目前,我國的電力企業(yè)二次系統(tǒng)對于網(wǎng)絡的依賴程度已經(jīng)變得越來越高度非常高,同外部邊界網(wǎng)絡的聯(lián)系十分緊密,通過實際情況的研究發(fā)現(xiàn),我國電力網(wǎng)絡安全面臨的最大安全隱患不是來自控制系統(tǒng)本身,而是來自和控制系統(tǒng)相連的外部網(wǎng)絡?,F(xiàn)在我國網(wǎng)絡的主要威脅包括網(wǎng)絡黑客攻擊和計算機蠕蟲病毒等,電力二次自動化系統(tǒng)安全防護工作的重點應該是通過各種方式抵御黑客和病毒對系統(tǒng)發(fā)錢的惡意攻擊和破壞,從而保護電網(wǎng)抵御集團式攻擊,對電廠監(jiān)控系統(tǒng)與調(diào)度數(shù)據(jù)的網(wǎng)絡安全進行保護,防止電力系統(tǒng)因其攻擊而發(fā)生故障問題。

安全防護要做到的目標包括,第一,要防止由于外部邊界遭受攻擊和侵入引起的一次系統(tǒng)故障和二次系統(tǒng)崩潰;第二,要防止那些未經(jīng)授權(quán)用戶訪問系統(tǒng),同時防止侵入非法獲取信息和重大的非法操作;第三,電力二次自動系統(tǒng)安全防護要保證網(wǎng)絡專用,增加各分區(qū)邊界橫向安全物理隔離設備,縱向邏輯隔離設備和數(shù)據(jù)的加密;第四,電力公司要加強對內(nèi)部人員的工作行為和工作職責的規(guī)范,對電力公司調(diào)度中心的整體安全管理水平進行提高。

5 電力二次自動化系統(tǒng)安全防護設計

二次自動化系統(tǒng)的安全防護主要包括兩個方面:一方面是對硬件配置的防護,要實現(xiàn)外網(wǎng)的入侵檢測、內(nèi)外網(wǎng)的有效隔離;另一方面是對系統(tǒng)軟件的設計中的防護,對二次自動化系統(tǒng)軟件在設計時就要滿足安全防護的需要,要求在面對外網(wǎng)入侵事件時,主系統(tǒng)不會遭到入侵者的破壞,保證入侵者無法截獲實時系統(tǒng)的信息。鑒于對軟件的安全性高要求,必須要設置嚴格的多級權(quán)限管理,才能保證軟件設計和操作的安全。

5.1 電力二次自動化系統(tǒng)防護的網(wǎng)絡平臺安全性設計

一個系統(tǒng)的實時運行離不開網(wǎng)絡平臺,網(wǎng)絡平臺的應用支撐著系統(tǒng)各節(jié)點的程序安全運行和實時數(shù)據(jù)分流等功能,網(wǎng)絡平臺的性能優(yōu)劣直接影響到系統(tǒng)運行是否可靠。很多實時監(jiān)控系統(tǒng)的網(wǎng)絡平臺都是由各個廠家自主研發(fā)的,一般都是基于多種通用的網(wǎng)絡協(xié)議,如TCP/IP等研發(fā)而成,這種設計對安全性的考慮還遠遠不夠。因此,為加強電力網(wǎng)絡平臺的安全性要保證軟件具有以下幾種功能:首先,軟件雖然應用通用網(wǎng)絡協(xié)議,但是要將節(jié)點的IP地址、MAC地址與CPU標示號進行充分利用綁定,對網(wǎng)管軟件做預先定置,對只經(jīng)過配置的節(jié)點才允許運行網(wǎng)絡平臺程序;其次,要預先定制遠程撥號節(jié)點,只有預先設定的才允許進人實時監(jiān)控系統(tǒng);第三,在網(wǎng)絡平臺數(shù)據(jù)流要采用多種方式,提高安全可靠性,避免數(shù)據(jù)丟失。

5.2 電力二次自動化系統(tǒng)防護的權(quán)限控制設計

電力二次自動化安全防護系統(tǒng)設計時必須要對權(quán)限進行控制,要對能夠訪問的權(quán)限內(nèi)容進行設置,可如圖1所示電力二次系統(tǒng)安全防護總體框架可通過這樣的循環(huán)管理模式來加強其內(nèi)部的安全性和可靠性。例如,數(shù)據(jù)庫訪問、參數(shù)設計和web瀏覽等。

不同的系統(tǒng)節(jié)點和工作組、進程權(quán)限等要根據(jù)實際情況進行設置,從而增加多重保護措施,反正非法用戶入侵等。

6 結(jié)束語

綜上所述,電力二次自動化系統(tǒng)安全防護工作是一個系統(tǒng)的工程,只有保證電力二次系統(tǒng)不受非法用戶的入侵,高效的維護電力系統(tǒng)安全,才能保證的電力企業(yè)安全健康的運行與發(fā)展,從而滿足我國社會生產(chǎn)和生活對電力的需求。

參考文獻:

[1]李苗.關于電力二次自動化系統(tǒng)安全防護設計的相關探討[J].中國電業(yè)(技術版),2012(3).

篇4

本文重點在結(jié)合信息安全等級的要求與IDS本身結(jié)構(gòu)的優(yōu)缺點,對信息安全策略進行分析,構(gòu)建滿足五級信息安全保護能力的入侵檢測系統(tǒng)。

關鍵詞:入侵檢測,信息安全

1.信息安全等級

信息安全等級保護是我國信息安全保障工作的綱領性文件(《國家信息化領導小組關于加強信息安全保障工作的意見》)(中辦發(fā)[2003]27號)提出的重要工作任務[1],其基本原理是,不同的信息系統(tǒng)有不同的重要性,在決定信息安全保護措施時,必須綜合平衡安全成本和風險。

2007年6月,公安部的《信息安全等級保護管理辦法》規(guī)定,根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度,其遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等,其安全等級由低到高劃分為五級,其等級劃分原則如表1.1所示:

表1.1 安全等級劃分原則

不同安全等級的信息系統(tǒng)應該具備相應的基本安全保護能力,其中第四級安全保護能力是應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊,嚴重的自然災害,以及其他相當維護程度的威脅所造成的資源損害,能夠發(fā)現(xiàn)安全漏洞和安全相關事件,在系統(tǒng)遭到損害后,能夠迅速恢復所有功能;第五級安全保護能力是在第四級安全的安全保護能力的基礎上,由訪問控制監(jiān)視器實行訪問驗證,采用形式化技術驗證相應的安全保護能力確實得到實現(xiàn)。

2.IDS主要功能

入侵檢測:通過對行為、安全日志、審計數(shù)據(jù)或其他網(wǎng)絡上可以獲得的信息進行操作,檢測到對系統(tǒng)的闖入或者闖入的企圖[2]。(國標GB/T 18336)

入侵檢測系統(tǒng)的主要功能:

檢測并分析用戶和系統(tǒng)的活動,查找非法用戶和合法用戶的越權(quán)操作;檢查系統(tǒng)配置和漏洞,并提示管理員修補漏洞。(由安全掃描系統(tǒng)完成)、評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性;識別已知的攻擊行為;統(tǒng)計分析異常行為;操作系統(tǒng)日志管理,并識別違反安全策略的用戶活動等;

成功的入侵檢測系統(tǒng),應該達到的效果:可以使系統(tǒng)管理員時刻了解網(wǎng)絡系統(tǒng)(軟件和硬件)的任何變更,能給網(wǎng)絡安全策略的制定提供依據(jù);管理配置簡單,使非專業(yè)人員非常容易地獲得網(wǎng)絡安全。入侵檢測的規(guī)模還應根據(jù)網(wǎng)絡規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,能及時作出響應,包括切斷網(wǎng)絡連接、記錄事件和報警等。

圖2.1入侵檢測系統(tǒng)結(jié)構(gòu)圖

3.IDS類別

由于IDS的模型多樣化,IDS的類別也表現(xiàn)出較為復雜的情況,但是當前通常將入侵檢測按照分析方法和數(shù)據(jù)來源來進行分類[3]。

3.1按照分析方法(檢測方法)

異常檢測模型(Anomaly Detection):首先總結(jié)正常操作應該具有的特征(用戶輪廓),當用戶活動與正常行為有重大偏離時即被認為是入侵。

誤用檢測模型(MisuseDetection):收集非正常操作的行為特征,建立相關的特征庫,當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時,系統(tǒng)就認為這種行為是入侵。

3.2按照數(shù)據(jù)來源

基于主機的IDS:系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機,保護的目標也是系統(tǒng)運行所在的主機;檢測的目標主要是主機系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件,檢測系統(tǒng)可以運行在被檢測的主機或單獨的主機上。

圖3.1基于主機的IDS結(jié)構(gòu)圖

基于網(wǎng)絡的IDS:系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡傳輸?shù)臄?shù)據(jù)包,保護的是網(wǎng)絡的運行;根據(jù)網(wǎng)絡流量、協(xié)議分析、單臺或多臺主機的審計數(shù)據(jù)檢測入侵。

圖3.2 基于網(wǎng)絡的IDS結(jié)構(gòu)圖

探測器由過濾器、網(wǎng)絡接口引擎器以及過濾規(guī)則決策器構(gòu)成,探測器的功能是按一定的規(guī)則從網(wǎng)絡上獲取與安全事件相關的數(shù)據(jù)包,傳遞給分析引擎器進行安全分析判斷[4]。

分析引擎器將從探測器上接收到的包并結(jié)合網(wǎng)絡安全數(shù)據(jù)庫進行分析,把分析的結(jié)果傳遞給配置構(gòu)造器。

配置構(gòu)造器按分析引擎器的結(jié)果構(gòu)造出探測器所需要的配置規(guī)則。

分布式IDS:

傳統(tǒng)的集中式IDS的基本模型是在網(wǎng)絡的不同網(wǎng)段放置多個探測器收集當前網(wǎng)絡狀態(tài)的信息,然后將這些信息傳送到中央控制臺進行處理分析。

分布式結(jié)構(gòu)采用了本地主體處理本地事件,中央主體負責整體分析的模式。

3.3 IDS的局限性

對于大規(guī)模的分布式攻擊,中央控制臺的負荷將會超過其處理極限,這種情況會造成大量信息處理的遺漏,導致漏警率的增高[5]。

多個探測器收集到的數(shù)據(jù)在網(wǎng)絡上的傳輸會在一定程度上增加網(wǎng)絡負擔,導致網(wǎng)絡系統(tǒng)性能的降低[6]。

由于網(wǎng)絡傳輸?shù)臅r延問題,中央控制臺處理的網(wǎng)絡數(shù)據(jù)包中所包含的信息只反映了探測器接收到它時網(wǎng)絡的狀態(tài),不能實時反映當前網(wǎng)絡狀態(tài)[7]。

4.五級安全防護能力IDS構(gòu)建

根據(jù)公安部《信息安全等級保護管理辦法》,五級安全防護能力需要具備四級安全防護的漏洞發(fā)現(xiàn)和入侵檢測能力,同時需要由訪問控制監(jiān)視器實現(xiàn)對訪問的及時驗證,保證杜絕未授權(quán)用戶的非法訪問。

與此同時,如何解決因為網(wǎng)絡時延而導致的數(shù)據(jù)分析的延后,以及解決探測器在網(wǎng)絡傳輸中造成的網(wǎng)絡負擔,提高網(wǎng)絡系統(tǒng)性能的同時保證中央控制臺的高效運轉(zhuǎn),是當前IDS需要重點研究的問題。

當前IDS的結(jié)構(gòu)中入侵檢測和數(shù)據(jù)安全審計是兩個不同的模塊,入侵檢測系統(tǒng)將檢測數(shù)據(jù)提交給安全審計模塊,對入侵行為的確認是由安全審計模塊進行的[8]。因此在成本可接受的范圍內(nèi),如果將審計模塊和檢測模塊結(jié)合,并且將分布式IDS的每一個檢測終端都由一個獨立處理單元來進行基本的檢測,只將較為復雜的數(shù)據(jù)提交給中央控制臺,這樣即減輕了網(wǎng)絡傳輸?shù)膲毫?,也有利于中央控制臺更加高效運轉(zhuǎn)。將每一個獨立處理單元命名為一個agent,每個agent的結(jié)構(gòu)如下圖所示:

5.結(jié)束語

本文介紹了信息安全等級的分類依據(jù),在對IDS系統(tǒng)的類別和局限性進行分析的基礎上,對滿足五級信息安全防護能力的入侵檢測系統(tǒng)進行了基本構(gòu)建,探討通過對分布式IDS終端處理單元的結(jié)構(gòu)和防范策略進行調(diào)整,研究對IDS存在主要問題的處理策略。

參考文獻

[1] 高永強,羅世澤.網(wǎng)絡安全技術與應用大典[M].北京:人民郵電出版社,2003:15-16.

[2] 盛思源,戰(zhàn)守義,石耀斌.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)[J].計算機工程,2003,28(3).

[3] 胡振昌.網(wǎng)絡入侵檢測原理與技術[M].北京:北京理工大學出版社,2006

[4] 唐正軍,李建華.入侵檢測技術[M].北京:清華大學出版,2004.

[5] 程伯良,周洪波,鐘林輝.基于異常與誤用的入侵檢測系統(tǒng)[J].計算機工程與設計.2007,28(14)

[6] 胥小波,蔣琴琴.基于混沌粒子群的IDS告警聚類算法[J].通信學報.2013,34(3)

篇5

關鍵詞:工業(yè)控制系統(tǒng);信息安全防護技術;問題;策略

1研究工業(yè)控制系統(tǒng)信息安全防護技術的重要性

工業(yè)控制系統(tǒng)是信息化與工業(yè)化的有效融合形成的。目前自動化、計算機及互聯(lián)網(wǎng)技術的影響下,逐步形成了管理與控制的一體化,增加了工業(yè)控制系統(tǒng)的開放性,擴大了運行的范圍,因此,需要信息安全防護體系來做好保障。當前,很多工業(yè)性的基礎設施的控制系統(tǒng)缺乏防護性的措施和保障,工業(yè)控制系統(tǒng)的信息安全問題日益突出,互聯(lián)網(wǎng)在遭受病毒攻擊的時候影響大、范圍廣,造成的損失不可估量。要防止此類問題的頻發(fā),就要建立安全防護體系,滿足現(xiàn)代工業(yè)控制系統(tǒng)的發(fā)展要求。做好工業(yè)控制系統(tǒng)的信息安全的防護技術工作,樹立安全屏障。

2工業(yè)控制系統(tǒng)中信息安全防護技術中存在的問題

工業(yè)控制系統(tǒng)中信息安全的防護技術刻不容緩,涉及眾多領域和重點工程,目前的工業(yè)控制系統(tǒng)仍然存在一些信息安全的風險性問題,主要有以下3個方面。(1)針對工業(yè)控制系統(tǒng)及其關鍵基礎設施的攻擊增多。工業(yè)控制系統(tǒng)雖然都會有一定的安全防護體系,但是互聯(lián)網(wǎng)中病毒的種類較多,且危害性大,病毒在攻擊的時候,能夠以驚人的方式增加并且導致系統(tǒng)迅速地癱瘓,增加了工業(yè)控制系統(tǒng)的風險性,傳統(tǒng)的病毒攻擊是漫無目的的,但是針對工業(yè)控制系統(tǒng)及其關鍵基礎設施的攻擊,是具有特定目標的,旨在獲取系統(tǒng)中的敏感信息,或者讓設施癱瘓導致無法運行。(2)工業(yè)控制系統(tǒng)產(chǎn)業(yè)生態(tài)的良性發(fā)展的產(chǎn)業(yè)鏈有待完善。工業(yè)控制系統(tǒng)還是采用傳統(tǒng)的管理辦法,在新技術和新設備的應用之后,隨著技術的不斷發(fā)展,大數(shù)據(jù)的應用,需要建立更加完善的產(chǎn)業(yè)生態(tài)系統(tǒng),才能保證工業(yè)控制系統(tǒng)的良性運行,也是后期需解決的問題。(3)工業(yè)控制系統(tǒng)和設備存在一些高危安全漏洞。工業(yè)控制系統(tǒng)和設備大量暴露在互聯(lián)網(wǎng)上,也已成為各國工業(yè)信息安全的重要威脅和軟肋。在互聯(lián)網(wǎng)上工業(yè)控制系統(tǒng)數(shù)量增幅尤其明顯,增速超過了全球平均水平,工業(yè)互聯(lián)網(wǎng)的發(fā)展具有新安全挑戰(zhàn),包括工業(yè)互聯(lián)網(wǎng)平臺的安全、工業(yè)互聯(lián)網(wǎng)設備和控制層面的安全、工業(yè)大數(shù)據(jù)安全、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡層面的安全等。安全服務能力亟待提升,安全服務市場占有率較低。

3工業(yè)控制系統(tǒng)中信息安全防護技術的有效策略

工業(yè)控制系統(tǒng)中信息安全存在諸多風險,必須要快速地建立和完善安全防護技術,同時要基于安全需求原則,先進成熟技術原則、分級保護原則、縱深防御原則、動態(tài)調(diào)整原則來進行構(gòu)建,提高工業(yè)控制系統(tǒng)的安全技術防護能力、管理能力、安全運維的能力,保障工業(yè)信息安全,針對上文中提出的各項風險性問題,必須予以針對性的解決,主要有以下幾個方面的策略。(1)加強工業(yè)控制系統(tǒng)及其關鍵基礎設施的安全風險評估。加強工業(yè)控制系統(tǒng)及其關鍵基礎設施的安全風險評估是確保工業(yè)控制系統(tǒng)信息安全的前提。識別危害是安全風險評估的重要組成部分,安全風險評估能夠為企業(yè)提供詳細的數(shù)據(jù)基礎,評估在不同環(huán)境、不同條件、不同時期的安全的危險性,并確定危害的程度,從而做出與之相匹配的防護措施。督促相關企業(yè)建立信息安全防護體系,落實信息安全防護技術和管理措施。安全評估設施包括防火墻,防病毒系統(tǒng)等各種新型的技術,對工業(yè)控制系統(tǒng)的安全策略配置和管理進行有效的前提預測和評估,檢測目前的信息安全的防護措施是否到位,從而降低系統(tǒng)被侵襲的風險,在遇到病毒攻擊的時候,能夠迅速地做出反應,保證數(shù)據(jù)信息的安全,實現(xiàn)防護舉措。(2)注重網(wǎng)絡安全防護的技術性操作。在網(wǎng)絡安全防護中,注重技術性的操作和方法,網(wǎng)絡設備要有足夠的空間和余地進行大規(guī)模的數(shù)據(jù)操作和分析處理,尤其是在業(yè)務高峰期階段,實現(xiàn)順利銜接和調(diào)整,注重終端與服務器之間的銜接,實現(xiàn)路由控制的安全的訪問路徑,注重邊界訪問,訪問要在合理的控制之下,實現(xiàn)網(wǎng)絡接入,對于那些不明的用戶訪問要快速地攔截,并迅速定位和查找,建立報警系統(tǒng),發(fā)生嚴重的入侵事件能夠快速地回應。(3)注重應用安全和數(shù)據(jù)安全。應用安全防護中,提供訪問控制的功能,配置訪問的控制策略,依據(jù)訪問控制的程序運行進行登記,設置訪問權(quán)限,嚴格控制操作,保護應用的安全運行。數(shù)據(jù)安全的防護中,要注重數(shù)據(jù)的完整性、保密性、備份和恢復等,在數(shù)據(jù)傳輸?shù)倪^程中,有貫穿全過程的監(jiān)管系統(tǒng),檢測數(shù)據(jù)是否成功傳輸,是否受到損壞等,發(fā)生錯誤時能夠及時地保存數(shù)據(jù),在日常的工作中,注重每天備份數(shù)據(jù)的習慣,保證工業(yè)控制系統(tǒng)的數(shù)據(jù)的完整保護。(4)健全安全風險管理體系。健全安全風險的管理體系,是確保工業(yè)控制系統(tǒng)順利運行的有效保障。建立和完善安全管理制度,制定工業(yè)控制系統(tǒng)的安全保障制度和安全策略,明確系統(tǒng)內(nèi)的安全工作的權(quán)責,完善體系就是要針對日常工作中出現(xiàn)的安全問題進行記錄,并將普遍性的問題納入到安全保障管理制度中,督促人員遵守,使操作行為規(guī)范化,建立章程和操作流程,構(gòu)建全面的管理制度和體系。設置安全管理的專門機構(gòu),明確各流程的負責人,以及工業(yè)控制系統(tǒng)總體運營的負責人,成立職能部門,并且制定相關的規(guī)范,通過量化各流程的安全系數(shù),事故發(fā)生率,納入到負責人的考核中,以此在增加負責人的重要安全意識,注重安全防范。(5)增強信息技術人員的安全防護素質(zhì)。嚴格規(guī)范人員安全的管理,從其招聘、錄用到入職都進行嚴格仔細的審查,對應的技術崗位要有專業(yè)的資格證書,關鍵崗位要注意系統(tǒng)運行的保密性,增加工作人員的保密意識,定期地對人員開展專業(yè)技能的培訓和職業(yè)道德培訓,尤其是要對工作人員的安全認知進行考核,按照規(guī)定執(zhí)行,建立獎懲措施,以此來激勵工作人員投入更多的熱情在安全防護工作上。(6)完善系統(tǒng)建設和運維管理。完善系統(tǒng)建設的管理,在系統(tǒng)的設計和建設階段,就要充分地考慮后期的安全防護措施,進行總體的規(guī)劃,并且協(xié)調(diào)相關的專家人員,專業(yè)技術人員,一線的工作人員進行商討。根據(jù)各方提供的資料意見進行整合,完善在設計和建設階段的安全防護措施,并同相關部門進行協(xié)調(diào),實現(xiàn)互聯(lián)互通。做好系統(tǒng)的運維管理措施,在工業(yè)控制系統(tǒng)中,存在多個技術設備,系統(tǒng)運行,網(wǎng)絡安全等方面的運營,需要專業(yè)的技術人員定期地對此開展維護工作,進行優(yōu)化和升級,發(fā)現(xiàn)系統(tǒng)在運營過程中存在的問題,及時地修復,避免因為小問題的發(fā)生而導致了系統(tǒng)的事故發(fā)生,后期的維護也是保證系統(tǒng)穩(wěn)定運行的有效保障。(7)搭建工業(yè)控制系統(tǒng)漏洞檢測公共技術平臺。要搭建公共技術平臺記性檢測,建立國家級工業(yè)控制系統(tǒng)的數(shù)字仿真測試環(huán)境,通過實驗室測評、現(xiàn)場評估、滲透測試等方式,對工業(yè)控制系統(tǒng)進行脆弱性評估,建立系統(tǒng)的漏洞檢測和管理的平臺,建立漏洞檢測的數(shù)據(jù)庫,實現(xiàn)資源共享。(8)提高我國的自主創(chuàng)新能力,研發(fā)核心技術,替代國外產(chǎn)品。關鍵基礎設施及其控制系統(tǒng)的信息技術還是依靠國外進口,因此必須加強高端的通用芯片,操作系統(tǒng)等技術的創(chuàng)新,給予國內(nèi)企業(yè)大量的優(yōu)惠政策和財政支持,研發(fā)信息技術裝備,大型的SCADA等控制設備和系統(tǒng),逐步替代國外產(chǎn)品,實現(xiàn)國內(nèi)的首用。(9)提升安全服務能力,增加安全服務市場占有率。對于進一步做好工業(yè)信息安全工作,要繼續(xù)對行業(yè)企業(yè)深入開展安全檢查評估,要構(gòu)建全國的工業(yè)信息安全態(tài)勢感知網(wǎng)絡,要推進國家應急資源庫的建設,要健全風險共享和信息通報的體系,要完善安全共能力,要強化產(chǎn)學研用合作等。

篇6

一、前言

計算機網(wǎng)絡迅速的發(fā)展,人類已經(jīng)現(xiàn)實信息全球化。但因為計算機網(wǎng)絡具有開放性、互連性、多樣性等特點,造成網(wǎng)絡容易受到攻擊。具體的攻擊有許多方面,不但有來自黑客的攻擊,還有其他諸如計算機病毒等方式的攻擊。所以,網(wǎng)絡的安全措施就變得特別重要,唯有針對每種不同的攻擊或威脅采取的不同方法,對網(wǎng)絡信息的可靠性、安全性和保密性才能有保障。

不管是發(fā)達國家,還是發(fā)展中國家包括我國,黑客活動猖獗,他們無孔不入,給社會造成了巨大的危害。盡管我們正在廣泛地應用所有復雜的軟件技術,例如服務器、侵襲探嗅器、防火墻、通道控制機制來防止網(wǎng)絡被人侵。但是,在各種文化和物質(zhì)享受的同時,網(wǎng)絡安全威脅日益嚴重,例如黑客的侵襲、數(shù)據(jù)竊賊、病毒者,更嚴重的系統(tǒng)內(nèi)部的泄密都時刻要求我們確保網(wǎng)絡上重要數(shù)據(jù)的安全性、網(wǎng)絡信息的安全性。

二、網(wǎng)絡主要安全隱患現(xiàn)狀分析

20世紀60年代因特網(wǎng)發(fā)展起來了計算機網(wǎng)絡應用技術,以因特網(wǎng)為代表的網(wǎng)絡,現(xiàn)在己經(jīng)發(fā)展成全球共享的信息網(wǎng)絡資源,成為人們生活中不可缺少的一部分。網(wǎng)絡不但改變了人們的生活、學習方式和生產(chǎn),還對人們的思維方式產(chǎn)生了影響。網(wǎng)絡系統(tǒng)的軟件、硬件和系統(tǒng)中的數(shù)據(jù)受到保護被稱為網(wǎng)絡安全,不因為惡意的或者偶然的原因而遭受到更改、泄露、破壞,系統(tǒng)能連續(xù)可靠地正常運行,網(wǎng)絡服務不中途斷掉。網(wǎng)絡上的信息安全是網(wǎng)絡安全的本質(zhì)。

從廣義上來講,一旦關系到網(wǎng)絡上信息的完整性、可用性、真實性和保密性可控性的相關技術和理論都是網(wǎng)絡安全的研究范疇。隨著公司網(wǎng)絡應用的不斷增大,企業(yè)內(nèi)部網(wǎng)遭到了病毒肆虐帶來了一定的安全隱患,網(wǎng)絡安全風險也變得越來越復雜和嚴重。原來的由單個計算機安全事故引起的損害有可能傳播到其他主機和系統(tǒng),引起大范圍的損失和癱瘓,再加上對安全控制機制的缺乏和對網(wǎng)絡安全政策及防護意識的認識,致使這些風險不斷加深。網(wǎng)絡面臨的主要威脅主要來自以下面幾方面:

(一)黑客的攻擊

隨著網(wǎng)絡的發(fā)展黑客技術漸漸被越來越多的人發(fā)展和掌握,如今,世界上共有20多萬個黑客網(wǎng)站,這些網(wǎng)站對一些攻擊軟件的使用和攻擊方法以及系統(tǒng)的一些漏洞都有介紹,所以站點、系統(tǒng)遭受攻擊的可能性變得越來越大。特別是現(xiàn)在針對網(wǎng)絡犯罪特別有效的跟蹤手段和反擊還很缺乏,黑客攻擊的隱蔽性變得更好,“殺傷力”強,是網(wǎng)絡安全的主要威脅。

據(jù)報道,全世界每20秒就會發(fā)生一起黑客事件,僅美國自己每年為此遭到的經(jīng)濟損失就高達數(shù)百億美元。2011年5月,我國被惡意篡改的網(wǎng)站數(shù)量為8513個,其中政府網(wǎng)站.gov.cn被篡改的數(shù)量就有826個;12年1到5月,全國有遭到“黑客”入侵的網(wǎng)站有5萬多個。

(二)計算機病毒的入侵

在計算機的運行中,因為編程者在計算機程序中,插入了破壞計算機正常運行的數(shù)據(jù)、命令、程序,讓計算機不能繼續(xù)正常運行指的就是所謂的計算機病毒,給用戶帶來很大的影響。

計算機病毒具有以下特點:

(1)破壞性;

(2)潛伏性;

(3)傳染性;

(4)可執(zhí)行性;

(5)可處發(fā)現(xiàn);

(6)針對性;

(7)隱蔽性。

計算機病毒在本質(zhì)上表現(xiàn)為一種能夠自我復制的指令和程序,它擁有很大的破壞性,嚴重的能夠使計算機信息系統(tǒng)的崩潰。近年來,由于網(wǎng)絡和計算機的普及,給計算機病毒了提供滋長的空間給計算機網(wǎng)絡安全造成嚴重威脅。

(三)計算機操作系統(tǒng)的漏洞

因特網(wǎng)的開放性和共享性讓網(wǎng)上信息安全存在一定的先天不足,因為其賴以生存的TCP/IP協(xié)議族,缺乏相應的安全機制,而且因特網(wǎng)最初的設計思想是此網(wǎng)不會因為局部發(fā)生故障而影響整體的信息傳輸,對安全問題基本沒有考慮,所以它在服務質(zhì)量、安全可靠、方便性和寬帶等方面存在著不適應性。計算機操作系統(tǒng)可以被看成是一個復雜的軟件程序,雖然研究人員與開發(fā)在設計時做到思維縝密,但隨著時代的進步、技術的完善,都不可避免的存在那樣或這樣的漏洞。現(xiàn)在,I/O管理計算機操作系統(tǒng)中存在的最大的漏洞是,這種漏洞會成為黑客攻擊的對象,對網(wǎng)絡安全造成影響。

三、網(wǎng)絡安全防護的主要應對技術措施

網(wǎng)絡具有用戶群龐大、網(wǎng)絡行為突發(fā)性較高、訪問方式多樣的特點。網(wǎng)絡安全問題需從網(wǎng)絡規(guī)劃階段制定每種方案,且在實際運行中加強管理。為保障網(wǎng)絡信息的安全和網(wǎng)絡系統(tǒng)的正常運行,要從各個方面采取措施,因為攻擊可能隨時發(fā)生,系統(tǒng)有可能隨時被攻破,所以對網(wǎng)絡的安全采取防范措施是極其必要的。常用的防范措施有以下幾種。

(一)硬件系統(tǒng)的安全防護

硬件的安全問題有兩種:一種是設置安全,是一種物理安全。在設備上進行必要的設置(如交換機、服務器的密碼等),避免黑客獲得硬件設備的遠程控制權(quán)指的是安全設置安全。防止人為破壞或意外事件具體的物理設備指的是物理安全,例如交換機、機柜、線路、路由器、服務器等。機柜與機房的鑰匙要妥善管理,不能讓不相關人員進人機房,特別是網(wǎng)絡中心機房,以免遭到人為的蓄意破壞。需要采取嚴格的安全管理措施,例如加載嚴格的訪問列表、口令加密、對一些漏洞端口禁止訪問等。

(二)防火墻技術措施

在網(wǎng)絡訪問中,有效攔截外部網(wǎng)絡對內(nèi)部網(wǎng)絡的非法行為,可以有效保障計算機系統(tǒng)安全的互聯(lián)網(wǎng)設備指的就是防火墻。防火墻在網(wǎng)絡數(shù)據(jù)傳輸?shù)倪^程中,起到了較好的保護作用,首先入侵者必須穿越防火墻的安全防線,才能接觸目標計算機。用戶能把防火墻配置成多種不同的保護級別,防火墻可以依據(jù)個人設定的信息來檢測且決定網(wǎng)絡通信是否被允許,同時,對網(wǎng)絡的運行狀態(tài)還可進行監(jiān)控。防火墻技術的普及和應用,在很大程度上可以阻止黑客的入侵,給網(wǎng)絡安全帶來保障。系統(tǒng)固有的破壞工具和漏洞給黑客的攻擊帶來方便,造成安全隱患的一個重要因素是不完善的安全管理。當發(fā)現(xiàn)新的漏洞時,管理人員需認真分析危險程度,且立即采取補救措施。雖然對系統(tǒng)已經(jīng)進行了維護,對軟件進行了升級或更新,但因為防火墻和路由器的過濾規(guī)則太過復雜,系統(tǒng)有可能出現(xiàn)新的漏洞。所以,及時、有效地改變管理才可以很大程度的降低系統(tǒng)所承受的風險。

(三)漏洞的修補

一旦系統(tǒng)中存在漏洞,就會給計算機帶來威脅,在許多上市的軟件中,都存在著缺陷以及漏洞,利用這些軟件漏洞,黑客入侵到用戶的計算中去,對用戶的正常使用計算機產(chǎn)生影響。所以,廠家應該時刻注意更新軟件,軟件相關補丁,需要下載安裝360安全衛(wèi)士等相關軟件。用戶需及時下載進行補丁安裝來,修復軟件漏洞。

(四)加強網(wǎng)絡安全管理

加強網(wǎng)絡安全管理,確保有一套完整的規(guī)章制度和管理體制,同時,對計算機安全管理制度的建設要加強。要實行崗位責任制與專人負責制。加強網(wǎng)絡相關技術人員安全知識教育,對技術員和網(wǎng)絡管理員的職業(yè)道德與專業(yè)操作能力要不斷加強。對企業(yè)計算機網(wǎng)絡的安全,各企業(yè)需要與相關技術人員簽訂保密協(xié)議,根據(jù)公司的規(guī)定,做好數(shù)據(jù)備份。人為因素對計算機網(wǎng)絡安全有著重要的影響。所以,給相關人員做好安全知識教育,對加強網(wǎng)絡安全更有利。鼓勵相關人員持證上崗,對相關人員的教育培訓機制加強,定期給有關人員進行繼續(xù)培訓和教育,培養(yǎng)他們良好的學習習慣,持續(xù)更新自己所擁有的知識,加強他們的知識儲備,并強化實踐學習。

四、結(jié)束語

計算機網(wǎng)絡已成為人們生活娛樂、工作學習中的重要組成部分,人們的生活質(zhì)量和工作效率與網(wǎng)絡的安全問題有直接影響。所以,計算機網(wǎng)絡的安全防護措施就顯得特別重要,此文從計算機網(wǎng)絡的幾個方面出發(fā):介紹了集中安全防護措施,建議用戶對不同的應用目的和網(wǎng)絡結(jié)構(gòu),使用不同的保障措施,來提高網(wǎng)絡的穩(wěn)定性與安全性。

此外,因為黑客攻擊手段的變化與信息量的擴張,很難在長時間范圍內(nèi)確保計算機網(wǎng)絡的安全。所以,我們需要讓網(wǎng)絡的硬件設備及時升級且提升防護策略技術,來形成持續(xù)的安全保障,讓計算機網(wǎng)絡安全穩(wěn)定。

我國的網(wǎng)絡發(fā)展迅猛,但網(wǎng)站安全建設卻處于初級階段,多數(shù)網(wǎng)站或多或少的存在著安全漏洞,很易遭到“黑客”攻擊,并且一旦受到破壞,恢復起來比較困難,所以網(wǎng)絡安全已經(jīng)受到政府的高度重視。在《刑法》中明確規(guī)定了對非法人侵重要領域計算機信息系統(tǒng)行為將受到刑事處罰。公安部頒布了《計算機網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》。相信通過民族電腦事業(yè)的發(fā)展與政府的重視,加上技術人員認真負責的工作,智能化犯罪將會得到有效控制,國家信息安全一定會在現(xiàn)代電子技術的支撐下得到有效的保障。(來源:《消費電子》雜志 編選:)

篇7

[關鍵詞]專用網(wǎng)絡 信息安全 權(quán)限劃分 集中管理

[中圖分類號]C931.6 [文獻標識碼]B [文章編號]1672-5158(2013)06-0319-01

1、前言

伊犁河是一條跨境內(nèi)陸河流,伊犁河建管局承擔伊犁河流域內(nèi)的水利、水電工程建設、管理、運營任務。在當前和平與發(fā)展的國際形勢下,抓緊時間搞好伊犁河流域水利建設項目,是促進伊犁地區(qū)經(jīng)濟發(fā)展,保證國家安全和利益的大事。

伊犁河建管局自2001年開始在伊犁河進行水利工程建設,隨著建設項目增多,組織機構(gòu)健全,工作人員增加,管理工作呈現(xiàn)點多、線長、面廣的特點,管理機構(gòu)分布在烏魯木齊市、伊寧市、伊寧縣、鞏留縣、察布查爾縣境內(nèi),建設過程中管理工作涉及到多方面的單位和人員,從而加大了建設管理的難度。在這種情況下,應用計算機信息網(wǎng)絡技術建設伊犁河建管局專用信息網(wǎng)絡(即:現(xiàn)有辦公內(nèi)網(wǎng)),是各項建設管理工作得以正常、高效開展的必備條件。

2、專用信息網(wǎng)絡現(xiàn)狀及存在的問題

2,1現(xiàn)狀

伊犁河建管局專用信息網(wǎng)絡于2006年明建成,由于專用信息網(wǎng)絡是為全局運行管理服務的,全網(wǎng)獨立運行,與互聯(lián)網(wǎng)沒有設置接口。目前,內(nèi)網(wǎng)通訊系統(tǒng)、遠控系統(tǒng)、水情系統(tǒng)、綜合管理系統(tǒng)、辦公系統(tǒng)、網(wǎng)站系統(tǒng)、郵件系統(tǒng)等業(yè)務應用均在此專用信息網(wǎng)中運行,其中部分系統(tǒng)處理、流轉(zhuǎn)著信息和單位內(nèi)部重要的工作信息,對這些信息和重要工作信息的保護措施是采用防火墻做邏輯隔離。

2.2 存在的問題

1)伊犁河建管局現(xiàn)有專用信息網(wǎng)絡是一張非網(wǎng)絡,在此網(wǎng)絡上運行有信息,這是不符合BMB-16《涉及國家秘密的信息系統(tǒng)分保護管理辦法》中規(guī)定的“不涉及國家秘密的信息系統(tǒng)不得處理國家秘密信息”;

2)伊犁河建管局現(xiàn)有專用信息網(wǎng)絡的安全防護技術措施,不符合BMB-17《涉及國家秘密的信息系統(tǒng)分級保護技術要求》中規(guī)定的“信息系統(tǒng)與非信息系統(tǒng)之間,要求物理隔離;信息在遠距離傳送時,要求加密傳送;信息系統(tǒng)中的信息應有相應的密級標識,所有信息通信時應安全可控等等”;

3)伊犁河建管局現(xiàn)有專用信息網(wǎng)絡所涉及的用戶面太廣,如:內(nèi)部人員、設計單位、監(jiān)理單位、施工單位,這些用戶都可以接人到現(xiàn)有網(wǎng)絡并能訪問內(nèi)部網(wǎng)站,易造成信息和內(nèi)部重要工作信息外泄的風險;

4)伊犁河建管局現(xiàn)有專用信息網(wǎng)絡運行的應用系統(tǒng),沒有做分類分級的防護控制,內(nèi)部用戶也未做分類分級的角色劃分,從而導致信息和內(nèi)部重要工作信息所能接觸到的人數(shù)眾多,易造成信息和內(nèi)部重要工作信息外泄的風險;

5)伊犁河建管局現(xiàn)有專用信息網(wǎng)絡內(nèi)部,沒有統(tǒng)一身份認證和行為審計系統(tǒng),在出現(xiàn)信息和內(nèi)部重要工作信息外泄事件時,難以取證和追查;

6)伊犁河建管局現(xiàn)有專用信息網(wǎng)絡內(nèi)部,工作終端使用沒有單一化,部分終端存在一機多用(即用于內(nèi)網(wǎng)辦公,又用于外網(wǎng)訪問互聯(lián)網(wǎng)),易造成內(nèi)部信息外泄到互聯(lián)網(wǎng)上。

伊犁河建管局現(xiàn)有專用信息網(wǎng)絡,還存在一些其他的問題,在此就不——贅述了,針對上述存在的問題,局領導和信息管理者應該重視起來,拿出相應的解決辦法,消除存在的問題,使此專用信息網(wǎng)絡更好地服務于生產(chǎn)管理,更好地服務于信息保密工作。

3、解決方案

以國家相關標準和規(guī)范為依據(jù),結(jié)合伊犁河建管局專用信息網(wǎng)絡現(xiàn)狀和實際工作需要,在綜合分析的基礎上給出如下解決方案,供局領導決策:

按照非網(wǎng)的方式對現(xiàn)有專用信息網(wǎng)絡進行安全改造,使其具備一定等級的安全防護功能,其組網(wǎng)示意圖如圖1所示。通過本次安全改造,最終將實現(xiàn)專用信息網(wǎng)絡上的網(wǎng)絡接人安全、終端安全、信息安全,并通過本次安全改造,規(guī)范專用信息網(wǎng)絡內(nèi)用戶的上網(wǎng)行為,增強專用信息網(wǎng)絡內(nèi)用戶的安全防護意識及能力。

專用信息網(wǎng)絡是一張相對獨立的網(wǎng)絡,這張網(wǎng)絡不與任何網(wǎng)絡(尤其是互聯(lián)網(wǎng))有著物理連接,將專用信息網(wǎng)絡劃分成三個安全區(qū)域,即服務器安全區(qū)域、安全管理安全區(qū)域、用戶終端安全區(qū)域,三個區(qū)域之間安全級別由高到低,依次為:服務器安全區(qū)域、安全管理安全區(qū)域、用戶終端安全區(qū)域。因?qū)S眯畔⒕W(wǎng)絡上的信息還是有需要提供給外部網(wǎng)絡使用,同時外部網(wǎng)絡上有些信息還是有需要提供專用網(wǎng)絡使用,這是實際需求,從安全的角度出發(fā),將在每個用戶終端安全區(qū)域部署1臺中轉(zhuǎn)機,實現(xiàn)圖1所示的手動信息交換(可通過U盤、光盤等移動存儲介質(zhì))。

終端安全管理是一個復雜的問題,通常一個組織中的終端地理位置分散,用戶水平參差不齊,承載業(yè)務不同,安全需求各異,這就決定了終端安全建設的復雜性和多元性,要根據(jù)終端用戶的接入位置、所屬部門、業(yè)務需要等條件來選擇和執(zhí)行適當?shù)陌踩芾聿呗?,既不能搞一刀切,也不能對用戶放任自流,缺乏控管。顯然局部的、簡單的、被動的防護不足以解決問題,要想解決終端安全問題,需要建立統(tǒng)一管理的終端安全整體防護系統(tǒng),全面管理終端安全。終端安全管理還要符合安全等級保護的要求,根據(jù)不同的安全等級保護的要求制定切合實際的終端安全管理的制度,必須克服兩種極端的錯誤認識:終端安全管理越嚴格越好;終端安全管理不好部署,容易得罪領導和同事,因此放任自流。

4、應用效果

伊犁河建管局信息系統(tǒng)實現(xiàn)以下效果:

1)對操作系統(tǒng),非法用戶“進不來”

系統(tǒng)通過在硬件USBKey中存儲用戶身份識別的唯一標識,對用戶登錄系統(tǒng)進行身份認證,使得系統(tǒng)登錄與硬件Key緊密捆綁,實現(xiàn)了非法用戶“進不來”系統(tǒng)。

2)對有效信息,非法用戶“拿不走”

系統(tǒng)通過四級用戶權(quán)限管理、自主和強制雙重存取控制,以及存儲設備安全管理,防止了越權(quán)操作、非法訪問文件和一切移動存儲設備如軟盤、移動硬盤、優(yōu)盤等的非法文件拷貝,實現(xiàn)了非法用戶“拿不走”有效信息。

3)對有效信息,非法用戶“看不懂”

系統(tǒng)通過加密存儲數(shù)據(jù)和程序代碼,防止了敏感明文信息的外泄,實現(xiàn)了非法用戶“讀不懂”有效信息。加、解密過程對用戶透明,無須對現(xiàn)有的應用平臺進行任何的改動;加、解密過程動態(tài)進行,保證了硬盤上任何時刻存放的敏感數(shù)據(jù)都是密文,即使是意外斷電,也不會導致明文信息的外泄。

4)非法用戶作案后“跑不了”

系統(tǒng)通過嚴密審計跟蹤受控資源的使用情況,實現(xiàn)了非法用戶只要作案,一定“跑不了”,便于追查責任事故。

5)被保護設備“不怕丟”

系統(tǒng)通過硬件Key保存用戶身份識別標識、用戶權(quán)限信息、文件密級信息以及加密密鑰,使得你若沒有Key是無法從終端設備獲得有效信息的,實現(xiàn)了被保護設備“不怕丟”。

5、結(jié)束語

信息安全防護技術的實現(xiàn)是在現(xiàn)有專用信息網(wǎng)絡上進行的,為了減少實施對現(xiàn)有應用的影響,采用分步驟分階段的實施思路。應將專用信息網(wǎng)用戶終端安全防護作為整個網(wǎng)絡安全防護的重點,做好終端“堵漏、防毒、筑墻”工作,部署終端安全管理系統(tǒng),配置可信終端。只有這樣,才能從源頭上、根本上保障專用信息網(wǎng)的信息安全。

參考文獻

篇8

關鍵詞:中小型企業(yè);信息網(wǎng)絡安全;網(wǎng)絡安全架構(gòu)

Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.

Keywords: small and medium-sized enterprises; network security; network security architecture

中圖分類號:TN915.08文獻標識碼:A文章編號:2095-2104(2013)

1、中小型企業(yè)網(wǎng)絡安全問題的研究背景

隨著企業(yè)信息化的推廣和計算機網(wǎng)絡的成熟和擴大,企業(yè)的發(fā)展越來越離不開網(wǎng)絡,而伴隨著企業(yè)對網(wǎng)絡的依賴性與日俱增,企業(yè)網(wǎng)絡的安全性問題越來越嚴重,大量的入侵、蠕蟲、木馬、后門、拒絕服務、垃圾郵件、系統(tǒng)漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現(xiàn)在企業(yè)面前。近些年來頻繁出現(xiàn)在媒體報道中的網(wǎng)絡安全案例無疑是為我們敲響了警鐘,在信息網(wǎng)絡越來越發(fā)達的今天,企業(yè)要發(fā)展就必須重視自身網(wǎng)絡的安全問題。網(wǎng)絡安全不僅關系到企業(yè)的發(fā)展,甚至關乎到了企業(yè)的存亡。

2 、中小型企業(yè)網(wǎng)絡安全的主要問題

2.1什么是網(wǎng)絡安全

網(wǎng)絡安全的一個通用定義:網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)中的軟、硬件設施及其系統(tǒng)中的數(shù)據(jù)受到保護,不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統(tǒng)能夠連續(xù)、可靠地正常運行,網(wǎng)絡服務不被中斷。網(wǎng)絡安全從本質(zhì)上說就是網(wǎng)絡上的信息安全。廣義地說,凡是涉及網(wǎng)絡上信息的保密性、完整性、可用性、真實性(抗抵賴性)和可控性的相關技術和理論,都是網(wǎng)絡安全主要研究的領域。

2.2網(wǎng)絡安全架構(gòu)的基本功能

網(wǎng)絡信息的保密性、完整性、可用性、真實性(抗抵賴性)和可控性又被稱為網(wǎng)絡安全目標,對于任何一個企業(yè)網(wǎng)絡來講,都應該實現(xiàn)這五個網(wǎng)絡安全基本目標,這就需要企業(yè)的網(wǎng)絡應用架構(gòu)具備防御、監(jiān)測、應急、恢復等基本功能。

2.3中小型企業(yè)的主要網(wǎng)絡安全問題

中小型企業(yè)主要的網(wǎng)絡安全問題主要體現(xiàn)在3個方面.

1、木馬和病毒

計算機木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴重破壞企業(yè)業(yè)務的連續(xù)性和有效性,某些木馬和病毒甚至能在片刻之間感染整個辦公場所從而導致企業(yè)業(yè)務徹底癱瘓。與此同時,公司員工也可能通過訪問惡意網(wǎng)站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式,在不經(jīng)意間將病毒和木馬帶入企業(yè)網(wǎng)絡并進行傳播,進而給企業(yè)造成巨大的經(jīng)濟損失。由此可見,網(wǎng)絡安全系統(tǒng)必須能夠在網(wǎng)絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。這里提到的每一點,包括網(wǎng)絡的邊界位置以及內(nèi)部網(wǎng)絡環(huán)境。

2、信息竊取

信息竊取是企業(yè)面臨的一個重大問題,也可以說是企業(yè)最急需解決的問題。網(wǎng)絡黑客通過入侵企業(yè)網(wǎng)絡盜取企業(yè)信息和企業(yè)的客戶信息而牟利。解決這一問題,僅僅靠在網(wǎng)絡邊緣位置加強防范還遠遠不夠,因為黑客可能會伙同公司內(nèi)部人員(如員工或承包商)一起作案。信息竊取會對中小型企業(yè)的發(fā)展造成嚴重影響,它不僅會破壞中小型企業(yè)賴以生存的企業(yè)商譽和客戶關系。還會令企業(yè)陷入面臨負面報道、政府罰金和法律訴訟等問題的困境。

3、業(yè)務有效性

計算機木馬和病毒并不是威脅業(yè)務有效性的唯一因素。隨著企業(yè)發(fā)展與網(wǎng)絡越來越密不可分,網(wǎng)絡開始以破壞公司網(wǎng)站和電子商務運行為威脅條件,對企業(yè)進行敲詐勒索。其中,以DoS(拒絕服務)攻擊為代表的網(wǎng)絡攻擊占用企業(yè)網(wǎng)絡的大量帶寬,使其無法正常處理用戶的服務請求。而這一現(xiàn)象的結(jié)果是災難性的:數(shù)據(jù)和訂單丟失,客戶請求被拒絕……同時,當被攻擊的消息公之于眾后,企業(yè)的聲譽也會隨之受到影響。

3如何打造安全的中小型企業(yè)網(wǎng)絡架構(gòu)

通過對中小型企業(yè)網(wǎng)絡存在的安全問題的分析,同時考慮到中小型企業(yè)資金有限的情況,我認為打造一個安全的中小型企業(yè)網(wǎng)絡架構(gòu)應遵循以下的過程:首先要建立企業(yè)自己的網(wǎng)絡安全策略;其次根據(jù)企業(yè)現(xiàn)有網(wǎng)絡環(huán)境對企業(yè)可能存在的網(wǎng)絡隱患進行網(wǎng)絡安全風險評估,確定企業(yè)需要保護的重點;最后選擇合適的設備。

3.1建立網(wǎng)絡安全策略

一個企業(yè)的網(wǎng)絡絕不能簡簡單單的就定義為安全或者是不安全,每個企業(yè)在建立網(wǎng)絡安全體系的第一步應該是定義安全策略,該策略不會去指導如何獲得安全,而是將企業(yè)需要的應用清單羅列出來,再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略,企業(yè)需要制定合理的安全策略及安全方案來確保網(wǎng)絡系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。對關鍵數(shù)據(jù)的防護要采取包括“進不來、出不去、讀不懂、改不了、走不脫”的五不原則。

“五不原則”:

1.“進不來”——可用性: 授權(quán)實體有權(quán)訪問數(shù)據(jù),讓非法的用戶不能夠進入企業(yè)網(wǎng)。

2.“出不去”——可控性: 控制授權(quán)范圍內(nèi)的信息流向及操作方式,讓企業(yè)網(wǎng)內(nèi)的商業(yè)機密不被泄密。

3.“讀不懂”——機密性: 信息不暴露給未授權(quán)實體或進程,讓未被授權(quán)的人拿到信息也看不懂。

4.“改不了”——完整性: 保證數(shù)據(jù)不被未授權(quán)修改。

5.“走不脫”——可審查性:對出現(xiàn)的安全問題提供依據(jù)與手段。

在“五不原則”的基礎上,再針對企業(yè)網(wǎng)絡內(nèi)的不同環(huán)節(jié)采取不同的策略。

3.2 信息安全等級劃分

根據(jù)我國《信息安全等級保護管理辦法》,我國所有的企業(yè)都必須對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。具體劃分情況如下:

第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。

第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。

第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。

第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。

第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。

因此,中小型企業(yè)在構(gòu)建企業(yè)信息網(wǎng)絡安全架構(gòu)之前,都應該根據(jù)《信息安全等級保護管理辦法》,經(jīng)由相關部門確定企業(yè)的信息安全等級,并依據(jù)界定的企業(yè)信息安全等級對企業(yè)可能存在的網(wǎng)絡安全問題進行網(wǎng)絡安全風險評估。

3.3 網(wǎng)絡安全風險評估

根據(jù)國家信息安全保護管理辦法,網(wǎng)絡安全風險是指由于網(wǎng)絡系統(tǒng)所存在的脆弱性,因人為或自然的威脅導致安全事件發(fā)生所造成的可能性影響。網(wǎng)絡安全風險評估就是指依據(jù)有關信息安全技術和管理標準,對網(wǎng)絡系統(tǒng)的保密性、完整想、可控性和可用性等安全屬性進行科學評價的過程。

網(wǎng)絡安全風險評估對企業(yè)的網(wǎng)絡安全意義重大。首先,網(wǎng)絡安全風險評估是網(wǎng)絡安全的基礎工作,它有利于網(wǎng)絡安全的規(guī)劃和設計以及明確網(wǎng)絡安全的保障需求;另外,網(wǎng)絡安全風險評估有利于網(wǎng)絡的安全防護,使得企業(yè)能夠?qū)ψ约旱木W(wǎng)絡做到突出防護重點,分級保護。

3.4確定企業(yè)需要保護的重點

針對不同的企業(yè),其需要保護的網(wǎng)絡設備和節(jié)點是不同的。但是企業(yè)信息網(wǎng)絡中需要保護的重點在大體上是相同的,我認為主要包括以下幾點:

1.要著重保護服務器、存儲的安全,較輕保護單機安全。

企業(yè)的運作中,信息是靈魂,一般來說,大量有用的信息都保存在服務器或者存儲設備上。在實際工作中,企業(yè)應該要求員工把相關的資料存儲在企業(yè)服務器中。企業(yè)可以對服務器采取統(tǒng)一的安全策略,如果管理策略定義的好的話,在服務器上文件的安全性比單機上要高的多。所以在安全管理中,企業(yè)應該把管理的重心放到這些服務器中,要采用一切必要的措施,讓員工把信息存儲在文件服務器上。在投資上也應著重考慮企業(yè)服務器的防護。

2.邊界防護是重點。

當然著重保護服務器、存儲設備的安全并不是說整體的防護并不需要,相反的邊界防護是網(wǎng)絡防護的重點。網(wǎng)絡邊界是企業(yè)網(wǎng)絡與其他網(wǎng)絡的分界線,對網(wǎng)絡邊界進行安全防護,首先必須明確到底哪些網(wǎng)絡邊界需要防護,這可以通過網(wǎng)絡安全風險評估來確定。網(wǎng)絡邊界是一個網(wǎng)絡的重要組成部分,負責對網(wǎng)絡流量進行最初及最后的過濾,對一些公共服務器區(qū)進行保護,VPN技術也是在網(wǎng)絡邊界設備建立和終結(jié)的,因此邊界安全的有效部署對整網(wǎng)安全意義重大。

3.“”保護。

企業(yè)還要注意到,對于某些極其重要的部門,要將其劃為,例如一些研發(fā)部門。類似的部門一旦發(fā)生網(wǎng)絡安全事件,往往很難估量損失。在這些區(qū)域可以采用虛擬局域網(wǎng)技術或者干脆做到物理隔離。

4.終端計算機的防護。

最后作者還是要提到終端計算機的防護,雖然對比服務器、存儲和邊界防護,終端計算機的安全級別相對較低,但最基本的病毒防護,和策略審計是必不可少的。

3.5選擇合適的網(wǎng)絡安全設備

企業(yè)應該根據(jù)自身的需求和實際情況選擇適合的網(wǎng)絡安全設備,并不是越貴越好,或者是越先進越好。在這里作者重點介紹一下邊界防護產(chǎn)品——防火墻的性能參數(shù)的實際應用。

作為網(wǎng)絡安全重要的一環(huán),防火墻是在任何整體網(wǎng)絡安全建設中都是不能缺少的主角之一,并且?guī)缀跛械木W(wǎng)絡安全公司都會推出自己品牌的防火墻。在防火墻的參數(shù)中,最??吹降氖遣l(fā)連接數(shù)、網(wǎng)絡吞吐量兩個指標.

并發(fā)連接數(shù):是指防火墻或服務器對其業(yè)務信息流的處理能力,是防火墻能夠同時處理的點對點連接的最大數(shù)目,它反映出防火墻設備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力,這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)。由于計算機用戶訪問頁面中有可能包含較多的其他頁面的連接,按每個臺計算機發(fā)生20個并發(fā)連接數(shù)計算(很多文章中提到一個經(jīng)驗數(shù)據(jù)是15,但這個數(shù)值在集中辦公的地方往往會出現(xiàn)不足),假設企業(yè)中的計算機用戶為500人,這個企業(yè)需要的防火墻的并發(fā)連接數(shù)是:20*500*3/4=7500,也就是說在其他指標符合的情況下,購買一臺并發(fā)連接數(shù)在10000~15000之間的防火墻就已經(jīng)足夠了,如果再規(guī)范了終端用戶的瀏覽限制,甚至可以更低。

網(wǎng)絡吞吐量:是指在沒有幀丟失的情況下,設備能夠接受的最大速率。隨著Internet的日益普及,內(nèi)部網(wǎng)用戶訪問Internet的需求在不斷增加,一些企業(yè)也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務,這些因素會導致網(wǎng)絡流量的急劇增加,而防火墻作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道,如果吞吐量太小,就會成為網(wǎng)絡瓶頸,給整個網(wǎng)絡的傳輸效率帶來負面影響。因此,考察防火墻的吞吐能力有助于企業(yè)更好的評價其性能表現(xiàn)。這也是測量防火墻性能的重要指標。

吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡,及程序算法的效率決定,尤其是程序算法,會使防火墻系統(tǒng)進行大量運算,通信量大打折扣。因此,大多數(shù)防火墻雖號稱100M防火墻,由于其算法依靠軟件實現(xiàn),通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻,由于采用硬件進行運算,因此吞吐量可以達到線性90-95M,才是真正的100M防火墻。

從實際情況來看,中小型企業(yè)由于企業(yè)規(guī)模和人數(shù)的原因,一般選擇百兆防火墻就已經(jīng)足夠了。

3.6投資回報率

在之前作者曾提到的中小企業(yè)的網(wǎng)絡特點中資金少是最重要的一個問題。不論企業(yè)如何做安全策略以及劃分保護重點,最終都要落實到一個實際問題上——企業(yè)網(wǎng)絡安全的投資資金。這里就涉及到了一個名詞——投資回報率。在網(wǎng)絡安全的投資上,是看不到任何產(chǎn)出的,那么網(wǎng)絡安全的投資回報率該如何計算呢?

首先,企業(yè)要確定公司內(nèi)部員工在使用電子郵件和進行WEB瀏覽時,可能會違反公司網(wǎng)絡行為規(guī)范的概率??梢詫⑦@個概率稱為暴光值(exposure value (EV))。根據(jù)一些機構(gòu)對中小企業(yè)做的調(diào)查報告可知,通常有25%—30%的員工會違反企業(yè)的使用策略,作者在此選擇25%作為計算安全投資回報率的暴光值。那么,一個擁有100名員工的企業(yè)就有100x 25% = 25名違反者。

下一步,必需確定一個因素——當發(fā)現(xiàn)單一事件時將損失多少人民幣??梢詫⑺Q為預期單一損失(single loss expectancy (SLE))。由于公司中的100個員工都有可能會違反公司的使用規(guī)定,因此,可以用這100個員工的平均小時工資作為每小時造成工作站停機的預期單一最小損失值。例如,作者在此可以用每小時10元人民幣作為預期單一最小損失值。然后,企業(yè)需要確定在一周的工作時間之內(nèi),處理25名違規(guī)員工帶來的影響需要花費多少時間。這個時間可以用每周總工作量40小時乘以暴光值25%可以得出為10小時。這樣,就可以按下列公式來計算單一預期損失值:

25x ¥10 x 10/ h = ¥2500 (SLE)

最后,企業(yè)要確定這樣的事情在一年中可能會發(fā)生多少次??梢越兴鼮轭A期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個星期都會發(fā)生,一年有52周,如果除去我國的春節(jié)和十一黃金周的兩個假期,這意味著一個企業(yè)在一年中可能會發(fā)生50次這樣的事件,可以將它稱之為年發(fā)生率(annual rate of occurrence (ARO))。預期的年均損失(ALE)就等于年發(fā)生率(ARO)乘以預期單一損失(SLE):

¥2500 x 50 = ¥125,000 (ALE)

這就是說,該公司在沒有使用安全技術防范措施的情況下,內(nèi)部員工的違規(guī)網(wǎng)絡操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道,如果公司只需要花費10000元人民幣來實施一個具體的網(wǎng)絡行為監(jiān)控解決方案,就可能讓企業(yè)每年減少12.5萬元人民幣的損失,這個安全防范方案當然是值得去做的。

當然,事實卻并不是這么簡單的。這是由于安全并不是某種安全技術就可以解決的,安全防范是一個持續(xù)過程,其中必然會牽扯到人力和管理成本等因素。而且,任何一種安全技術或安全解決方案并不能保證絕對的安全,因為這是不可能完成的任務。

就拿本例來說,實施這個網(wǎng)絡行為監(jiān)控方案之后,能夠?qū)⑵髽I(yè)內(nèi)部員工的違規(guī)行為,也就是暴光值(EV)降低到2%就已經(jīng)相當不錯了。而這,需要在此安全防范方案實施一段時間之后,例如半年或一年,企業(yè)才可能知道實施此安全方案后的最終效果,也就是此次安全投資的具體投資回報率是多少。

有數(shù)據(jù)表明在國外,安全投入一般占企業(yè)基礎投入的5%~20%,在國內(nèi)一般很少超過2%,而網(wǎng)絡安全事件不論在國內(nèi)外都層出不窮,企業(yè)可能在安全方面投入了很多,但是仍然頻頻發(fā)生網(wǎng)絡安全事故。很多企業(yè)的高層管理者對于這個問題都比較頭疼。其實網(wǎng)絡安全理論中著名的木桶理論,很好的解釋了這種現(xiàn)象。企業(yè)在信息安全方面的預算不夠進而導致了投資報酬不成比例,另外很多企業(yè)每年在安全產(chǎn)品上投入大量資金,但是卻不關注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素。缺乏系統(tǒng)的、科學的管理體系的支持,也是導致這種結(jié)果產(chǎn)生的原因。

篇9

關鍵詞 電力調(diào)度 二次系統(tǒng) 安全防護 等級保護 信息安全保障

1 引言

近年來,通信和電力行業(yè)的軟硬件技術都取得了快速發(fā)展,各級供電企業(yè)每年都會投入大量資源進行技術改造。由于縣級電力調(diào)度自動化系統(tǒng)自身條件和業(yè)務的特殊性,二次系統(tǒng)信息安全保障方案需要根據(jù)其特點進行更加有針對性和可操作性的方案設計。為保障縣級電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟運行,根據(jù)相關國家法規(guī)和電力企業(yè)規(guī)定,本文結(jié)合工程實踐提出切實可行的電力調(diào)度自動化系統(tǒng)二次系統(tǒng)信息安全保障方案,并介紹實施過程。

2 電力調(diào)度自動化系統(tǒng)信息安全風險分析

縣級電力調(diào)度自動化系統(tǒng)結(jié)構(gòu)較為簡單,它的二次系統(tǒng)業(yè)務系統(tǒng)較少,一般包含電力調(diào)度自動化系統(tǒng)、電力調(diào)度數(shù)據(jù)網(wǎng)絡、相連廠站端的RTU(或綜合自動化后臺)等。SCADA系統(tǒng)業(yè)務運行必須獲取變電站RTU發(fā)送的實時數(shù)據(jù),對電力調(diào)度數(shù)據(jù)網(wǎng)絡的信息安全保障要求較高。

與省調(diào)、地調(diào)相比,縣級調(diào)度無論電網(wǎng)規(guī)模和管轄范圍都小得多。縣級電網(wǎng)中變電站往往分布在各鄉(xiāng)鎮(zhèn),距離調(diào)度中心存在較遠的距離,廠站設備涉及廠家眾多,其中不少還比較陳舊。同時縣級電網(wǎng)公司缺乏調(diào)度自動化專業(yè)技術人員。相比省調(diào)和地調(diào),縣級調(diào)度在設計電力調(diào)度自動化系統(tǒng)二次系統(tǒng)信息安全保障方案需要關注這些特殊情況造成的相應信息安全風險。

根據(jù)對電力調(diào)度自動化系統(tǒng)的危害程度從高到低,我們分析它面臨的信息安全風險主要有以下幾類:

(1)旁路控制

對電力調(diào)度自動化系統(tǒng)的危害程度最高的是旁路控制(By-Pass Control 簡稱BPC)。在二次系統(tǒng)遭遇BPC 危害時,可能被控對電力調(diào)度自動化系統(tǒng)內(nèi)的一個或多個變電站傳送非法控制指令,導致電力系統(tǒng)事故或瓦解。

(2)系統(tǒng)信息完整性破壞

在二次系統(tǒng)內(nèi)非授權(quán)修改電力調(diào)度系統(tǒng)配置、程序或敏感數(shù)據(jù),可能導致電力系統(tǒng)事故或瓦解。這種風險可能來自外部人員有意破壞,也可能是內(nèi)部工作人員無意誤操作。

(3)違反授權(quán)

在管理中未能嚴格制度和操作規(guī)程,操作員利用授權(quán)身份或設備進行非授權(quán)操作,也許不會立即造成系統(tǒng)事故,但會留下巨大的安全隱患。

(4)工作人員的隨意行為

電力調(diào)度自動化系統(tǒng)中的各個子系統(tǒng)和軟硬件設備都設置有嚴格的操作授權(quán)和授權(quán)口令(或認證卡)。在日常工作中一些工作人員為了便于記憶,共用授權(quán)口令、使用弱口令、允許他人使用自己授權(quán)口令等行為。也包括系統(tǒng)管理員未能正確配置訪問控制規(guī)則等操作失誤。

3 信息安全保障方案設計

3.1 按照4級安全防護等級設計電力調(diào)度自動化系統(tǒng)二次系統(tǒng)

(1)對用戶登錄系統(tǒng)功能界面采用授權(quán)口令或安全密鑰進行身份驗證。在工程實踐中,我們發(fā)現(xiàn)目前最安全的本地登錄身份驗證系統(tǒng)為人臉識別系統(tǒng)。

(2)在SCADA 系統(tǒng)與Web服務器之間安裝電力專用單向安全隔離網(wǎng)閘,隔離生產(chǎn)大區(qū)與管理大區(qū)間的數(shù)據(jù)通信。在Web服務器與OA網(wǎng)絡邊界安裝硬件防火墻。

(3)安裝電力專用縱向加密認證裝置對同屬生產(chǎn)大區(qū)內(nèi)的遠程數(shù)據(jù)通信進行縱向安全認證,具有遠控功能的SCADA系統(tǒng)應當逐步改造支持電力縱向數(shù)字證書實現(xiàn)加密認證。

(4)對設備機房要采取防火、二次防雷等技術手段,使用電磁屏蔽機柜、電磁屏蔽機房等進行電磁防護。

3.2 系統(tǒng)內(nèi)各功能主機安全加固

在縣級電力調(diào)度自動化系統(tǒng)二次系統(tǒng)中的各功能主機普遍采用通用型操作系統(tǒng),為保障系統(tǒng)穩(wěn)定性、安全性必須進行主機加固。安全加固必須由有經(jīng)驗的系統(tǒng)管理員通過人工的方式進行的,加固操作前應該做好充分的風險規(guī)避和跟蹤記錄,以確保系統(tǒng)的可用性。加固的內(nèi)容主要包含以下方面:增強管理員口令及系統(tǒng)策略;關閉不必要的操作系統(tǒng)內(nèi)置系統(tǒng)服務;開啟系統(tǒng)審計;限制遠程登錄;安裝軟件系統(tǒng)補??;防病毒措施。

4 人員培訓和持續(xù)運行信息安全保障方案

我們在信息安全保障方案實施過程中強調(diào)“三分技術,七分管理”。方案的實施首先要從技術上滿足文獻[1-6]中規(guī)定的安全防護等級的要求。其次通過制定完善的災備預案、管理制度和進行有成效的人員培訓計劃提高工作人員的信息安全意識和技術水平。這樣就可以避免電力調(diào)度自動化系統(tǒng)二次系統(tǒng)絕大多數(shù)信息安全事故。

跟隨信息安全技術的發(fā)展,信息系統(tǒng)面臨的安全風險總在不斷變化中。在縣級供電企業(yè)中做信息安全保障一個非常重要的工作是建立行之有效的人員培訓計劃,要每年持續(xù)的進行信息安全的相關培訓。

5 結(jié)束語

本文的信息安全保障方案是對縣供電公司已在運行中的電力調(diào)度自動化系統(tǒng)二次系統(tǒng)進行針對性的方案設計。整個方案對現(xiàn)有的軟硬件環(huán)境和網(wǎng)絡環(huán)境不用做較大修改,工程實施對正在運行的調(diào)度系統(tǒng)影響較小,對工程實施過程有明確的操作指引。工程實施的步驟清晰、難度降低,效果顯著。工程實施后續(xù)的運行維護可以由縣供電公司自動化班根據(jù)運維手冊和災備預案進行,保障能力強且運維成本較小。

參考文獻:

[1]國務院.中華人民共和國計算機信息系統(tǒng)安全防護條例(國務院147 號文).

[2]國家經(jīng)濟貿(mào)易委員會.電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護的規(guī)定(原國家經(jīng)貿(mào)委[2002]第30 號令).

[3]公安部.信息安全等級保護管理辦法(公通字[2007]43 號令).

[4]國家電力監(jiān)管委員會.電力二次系統(tǒng)安全防護規(guī)定[s],2005.

篇10

結(jié)合當前工作需要,的會員“桑妮”為你整理了這篇2021年第一季度政府網(wǎng)站信息內(nèi)容自查整改情況匯報范文,希望能給你的學習、工作帶來參考借鑒作用。

【正文】

一、總體情況

(一)政府網(wǎng)站運行情況。2021年第一季度,對照國辦新標準,我區(qū)對“北京市石景山區(qū)人民政府”石景山區(qū)政府門戶網(wǎng)站內(nèi)容建設情況進行了全面自查,對發(fā)現(xiàn)問題及時組織整改。主要針對站內(nèi)搜索、移動適配、創(chuàng)新服務以及政務新媒體互動更新不及時、未進行留言回復等情況加強自查整改工作。加強節(jié)日期間政府網(wǎng)站和政務新媒體安全值守工作,安排人員24小時值守,并針對頁面顯示流暢、斷鏈錯鏈、功能訪問等情況進行檢查,未發(fā)現(xiàn)問題。

(二)網(wǎng)民留言辦理情況。2021年第一季度統(tǒng)計數(shù)據(jù):政民互動共接訴38件,已辦結(jié)35件。并定期來信選登和受理留言統(tǒng)計情況。

(三)政府網(wǎng)站功能優(yōu)化情況。做好政府網(wǎng)站政府英文版門戶網(wǎng)站和政務新媒體內(nèi)容建設,不斷提高政策知曉度,擴大政策推廣面積。推進政府門戶網(wǎng)站與政務新媒體融合發(fā)展。繼續(xù)推進政府網(wǎng)站集約化工作,推進政府網(wǎng)站、政務新媒體和在線政務服務平臺的數(shù)據(jù)融通、服務集約,推動“網(wǎng)上政府”向“掌上政府”發(fā)展。

(四)政府網(wǎng)站創(chuàng)新發(fā)展情況。1.政府英文版門戶網(wǎng)站正式上線。進一步優(yōu)化面向外資企業(yè)和外國人的服務水平,借力2022年冬奧會契機和冬奧組委駐地優(yōu)勢資源,提升石景山區(qū)國際形象和影響力。2.推進政務公開向新媒體平臺延伸。上線石景山區(qū)政務公開新媒體平臺,對照政務公開重點內(nèi)容設置了機構(gòu)職能、簡政放權(quán)等8大模塊,以及最新公開、意見征集等8個展示欄目,全面涵蓋政府政務公開信息,便于公民、法人或者其他組織依法獲取石景山區(qū)政府信息。截至目前,政務公開新媒體平臺已公開信息8110條。3.下發(fā)政務新媒體備案通知。對全區(qū)70余家政務新媒體新增、變更、注銷等操作提出新的要求。促進政務新媒體規(guī)范化管理。

(五)政府網(wǎng)站規(guī)范管理情況。根據(jù)《北京市人民政府辦公廳關于貫徹落實〈政府網(wǎng)站發(fā)展指引〉的實施意見》(京政辦發(fā)〔2017〕51號)中對政府網(wǎng)站域名等的要求,對政府門戶網(wǎng)站功能設計指標進行全面排查。石景山區(qū)政府門戶網(wǎng)站首頁增加“EN”標識,與石景山區(qū)政府英文版門戶網(wǎng)站建立鏈接。通過向全區(qū)各單位廣泛征集意見,完成制訂《石景山區(qū)英文版門戶網(wǎng)站建設管理辦法》,進一步規(guī)范區(qū)政府英文版門戶網(wǎng)站建設與管理,保障區(qū)政府英文版門戶網(wǎng)站安全、高效運行。

(六)網(wǎng)站安全保障情況。為完善政府網(wǎng)站安全保障機制,采取技術和管理兩手抓的方式,部署防火墻、Web應用防火墻、抗DDOS、防篡改系統(tǒng)、集中病毒防護系統(tǒng)等安全設備,技術上加強網(wǎng)站對抗各類命令注入、SQL注入、跨站腳本等網(wǎng)絡攻擊的能力;同時建立網(wǎng)絡安全突發(fā)事件應急保障體系等安全防護體系,明確安全工作策略,規(guī)范運維操作,鞏固技術防護效果,達到加強我區(qū)政務網(wǎng)站安全防護能力的目標。

二、下一步工作部署