時間:2023-06-05 09:55:06
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全審計,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1.基層央行信息安全審計主要內容
1.1計算機場地審計
基層央行的信息安全審計工作的主要內容包括對計算機場地的管理,檢查計算機場地是否設置在本行的辦公樓當中,計算機場地所在位置以及所在樓層設計的科學性與合理性是否得到保障;檢查計算機場地墻立面、頂棚是否存在滲水現象與漏水現象,場地結構與計算機場地裝修所使用材料是否存在一定的防火性,防火性能夠滿足正常標準;計算機場地中的門、窗防護性能是否良好,并且檢查在門、窗位置是否堆放易燃易爆物品或者其他物品,物品堆放是否存在風險;關鍵的設備設施是否做好相應的物理接觸控制工作。
1.2業務網資源與結構的審計
業務網資源、結構與互聯網之間是否進行標準的物理隔離工作;拓撲結構是否規范、是否清晰,網絡連接線路是否按照相應的連接標準展開;在進行核心網絡設備備份時,使用的備份方法是否科學合理,備份工作是否能夠實現網絡運行的連續性;如果在進行備份時,使用雙機熱備份形式,那么需要檢查自動切換裝置的是否正常有效;網絡設備設施是否能夠滿足工作需求;網絡設備設施是否存在老化嚴重問題;是否與上級部門之間構建良好通信機制,通信信號是否良好;如果使用雙線路通信方式,那么需要檢查運營商選用情況;網絡寬帶的租用是否合理;服務質量保障配置是否有效;服務質量保障配置是否規范。
2.基層央行信息安全審計難點分析
2.1制度落實不到位
第一,相關安全制度內容缺乏完善性,并沒有結合實際情況做好調整與修訂工作。隨著科學信息技術的不斷提升,人們生活水平的不斷提高,對信息安全等有了更高的要求。但是相關工作人員并沒有意識到相關制度的重要作用,并且自身管理工作沒有及時完成,出現制度與管理工作脫節問題產生。第二,因為許多工作人員并沒意識到管理制度落實,對信息安全的重要作用。導致許多工作人員并不明確自身的權利與責任,各項工作無法及時完成,基層央行信息安全無法得到保障。
2.2硬件投入不足
第一,計算機機房的運行環境較差,許多基層央行計算機機房建設時間較長,基礎設施不足,現有的基礎設備無法滿足各項業務需求與安全需求。第二,軟件設施與硬件設施更新較慢,因為近年來計算機信息安全受到更多重視,所以有關部門中針對基層央行信息安全工作推行安全管理軟件。但是由于本身的計算機設備配置較低,無法與先進的安全管理軟件相匹配,從而為基層央行的信息安全審計工作造成影響,同時信息安全存在一定隱患。
3.基層央行信息安全審計有效對策
3.1落實規章制度
基層央行信息安全審計工作想要順利展開,同時發揮自身的作用,需要將各項制度落在實處。具體可以從以下幾點展開:第一,基層央行的領導者與管理者需要意識到規章制度對信息安全審計工作的重要作用,結合銀行實際情況,對現有規章制度進行完善,并且將其貫穿在整個信息安全審計工作中,保證各項信息安全審計工作能夠在規章制度的有效監管之下展開。第二,積極向有關工作人員宣傳規章制度的重要作用,使各個工作人員能夠具備較強的信息安全管理意識,積極主動參與到信息安全審計工作中,為保證信息安全提供更多動力。第三,基層央行的工作人員需要明確掌握國家有關法律法規與本行的規章制度,認真對待各環節信息安全審計工作,保證規章制度的權威性。
3.2加強硬件投入力度
基層央行需要加強硬件投入力度,保證信息安全審計工作的順利展開,同時保證信息安全。具體可以從以下幾點展開:第一,需要加大基層央行的資金投入力度,對計算機機房與場地環境進行改善。如果在資金條件允許的情況下,需要對計算機機房進行重新構建,為計算機運行營造良好環境。與此同時,需要保障計算機硬件設施與軟件設施相匹配,保證網絡安全運行的穩定性與安全性。第二,如果資金投入有限,那么需要對現有資源進行科學合理利用。及時更新計算機系統,其中需要及時對較為關鍵且重要的應用系統計算機進行完善與更新,保證關鍵計算機的安全運行。同時需要加強對計算機系統運行的監督與檢測,在最大程度上避免風險的產生。
3.3構建運維平臺
針對基層央行信息安全設計工作,需要構建技術支持中心,對信息系統的運維工作進行統一監督管理與指導,形成各部門之間的應急聯動機制。在構建在線服務中心時,可以對內聯網絡進行充分利用,基層用戶可以隨時隨地提出自身的看法與需求,這樣技術工作人員可以根據用戶的反饋給出相應解決措施,提升工作質量與工作效率。在內聯網中構建技術支持平臺,各個技術工作人員需要做好常見問題以及運維事件的紀錄與分析工作等。與此同時,需要為行內全體員工營造良好交流環境,創造技術維護交流平臺。利用該平臺,進行故障的自動化處理,在最大程度上避免人為操作,進一步實現運維工作的智能化與自動化。結合集中業務的具體情況,構建以預防為主的工作形式。向前移動業務系統運維的重心,積極主動預防,將信息安全審計工作作為重點內容,構建運維平臺與日常監督體系,使信息系統的穩定性與安全性得到保障。
3.4制定應急預案
構建科學合理的信息安全應急預案,對基層央行信息安全審計工作具有重要作用。盡量避免并降低網絡系統發生故障對行內各項業務工作造成影響。加強熱備份體系的構建,要特別注意局域網線路的熱備份以及核心路由器等的熱備份。第一,全部重要的業務系統需要進行雙機備份;第二,計算機系統當中的各個軟件,比如,應用軟件、數據庫軟件等都需要展開相應備份工作。在進行備份工作時,需要保證備份數據信息的完整性與最新,同時需要做好備份切換演練工作。第三,需要對業務數據進行集中異地備份,安置專門數據備份設備,盡量對行內的各個業務工作數據展開備份工作;第四,需要實現電力供應備份,在進行電力供應備份時需要對雙回路發電機等充分利用。如果在各方面條件允許下,基層行科技機構需要對各個業務部門的數據備份工作提供幫助,采用不同的備份方式,對數據信息進行備份,保證數據信息安全性。保證基層央行信息安全審計工作人員能夠明確自身的權利與責任,及時做好自身工作。在展開各項審計工作時,需要保證工作人員始終在現場。與此同時,需要做好設備維護工作與網絡系統維護工作,定期做好設備維護與保養工作。做好備份設備的主備份線路與預備備份線路的檢測,積極與通訊運營商之間進行交流與溝通,確保信息系統的安全穩定運行,提高基層央行的應急水平。
3.5加強風險識別工作
針對計算機協管工作人員以及業務操作工作人員等需要加強培訓宣傳工作,保證每個工作人員能夠具備較強計算機操作能力,促使全行工作人員能夠具備較強信息安全管理意識。要對計算機信息安全產品的功能與價值進行充分利用,構建聯動體系。加強風險識別工作,具體可以從以下幾點展開:第一,針對行內的不同業務,比如,辦公業務、資金業務等需要設計不同的VLAN。采用不同的訪問控制措施,實現分道傳輸。并在此前提下,對防病毒系統、入侵檢測系統、移動存儲介質管理系統等的作用與價值進行科學合理利用。借助桌面安全管理系統、運維監控軟件以及網管軟件,做到對各環節工作與安全管理工作的監督與管理。通過多系統的聯動體系構建,可以及時發現基層央行信息中存在的風險,及時發現系統中存在的故障。在進行計算機系統檢查工作時,需要將各項檢查工作落實到工作人員身上,保證工作人員明確自身的工作任務。做好對計算機系統的安全檢查工作,這樣計算機在出現問題時,能夠及時追查到相應工作人員。檢查工作需要定期展開,切勿形式化,使央行信息安全得到保障。與此同時,如果在檢查工作中發現風險或者問題,需要立即采取整改措施,追究相應責任,將風險因素扼殺在搖籃當中,避免并降低損失的產生。
3.6做好教育培訓工作
基層央行信息安全審計工作的順利展開離不開工作人員的支持。同時工作人員需要具備較強的專業技能與綜合素養,各部門之間需要做好協調與配合工作,保證信息安全審計工作的順利進行。做好工作人員的教育培訓工作,構建高素質審計隊伍。具體可以從以下幾點展開:第一,要重視科技部門的人員結構設置,需要在保證科技人員基本素質的前提下,逐漸對工作人員進行科學合理配置。要認識到科技部門,在信息安全審計工作中發揮的重要作用。第二,基層央行需要結合自身實際發展情況與業務情況,對本行內的科技協管工作人員以及科技工作人員加強技術培訓工作。要尤其重視信息安全知識的傳授與網絡安全知識的傳授等。第三,需要為科技部門以及其他工作人員提供學習新知識與新技術的機會,對于基層央行科技工作人員的考核工作需要采取強制性措施,需要每一位工作人員每年積極參與到技術考核工作中,對工作人員的專業能力以及技術水平等進行檢驗,保證各個工作人員能夠具備較強專業能力與綜合素養,在信息安全審計工作中充分發揮自身作用。針對考核不通過的工作人員,可以為其提供補考機會,同時需要對該工作人員的日常工作情況等進行調查,核查該工作人員工作態度是否端正。其他工作人員需要針對自身薄弱環節,進行學習與完善。第四,需要針對工作人員的工作制定相應的激勵機制,促使每一位工作人員可以端正工作態度,及時為信息安全審計工作貢獻出自身力量,實現基層央行的更好發展。
結束語
綜上所述,在社會經濟快速發展背景下,基層央行的信息安全審計工作受到越來越多人重視。所以,為使信息安全得到保障,需要相關工作人員肩負起自身責任。構建完善的管理制度等,保證各項管理制度能夠貫穿在整個信息安全審計工作中,促使各項信息安全審計工作能夠順利進行。
參考文獻:
[1]崔文瑞,劉世芳,黑維廣,付江.基層央行信息安全管理現狀及風險分析[J].金融科技時代,2018(01):62-64.
[2]蔣貴斌.新互聯網技術與基層央行工作深度融合的探析與思考[J].時代金融,2017(36):320-321.
【 關鍵詞 】 管控;校園網;信息安全;安全策略;安全審計
Research on Campus Network Management and Control of Information Security
Wu Shao-jia Liao Li
(Zhaoqing Radio & Television University Guangdong Zhaoqing 526060)
【 Abstract 】 Protection of campus network security is the focus and key points on the information work, As the ongoing in-depth information security management and monitoring processes, The problems of Potential Network Information Security is exposed, You can construction out the strategy of security applies to campus Information Network System, and take effective measures solution its security problem, Improves the network operation level , Supply the information and data protection with safety measure of reached the security requirements and construction target for campus network.
【 Keywords 】 management and control; campus network; information security ; security strategy; security audit
0 引言
數字校園是推進實現我國教育信息化的重點建設目標之一,數字信息化應用在我國教育現代化的進程中起到了強大的推動力。校園網是學校數字信息化建設重要的基礎設施,是學校實現數字信息化的重要組成平臺,在教學支持服務、教學教務管理、科學研究、行政管理和校內外信息交流等許多方面都起到了重大作用。許多學校的工作已經完全通過信息網絡系統來運轉,隨著信息化建設規模的擴大深入以及計算機信息網絡技術的不斷擴展和增強,在校園網中潛在威脅安全問題暴露無遺,校園網絡安全的形勢日益嚴峻。如何保障學校內部重要信息的安全,使得重要數據信息不被竊取,是學校信息安全工作當前要面臨的首要挑戰。
1 校園網信息安全需求
隨著校園網應用的深入,校園網上各種信息數據急劇增加,結構性不斷提高,用戶對網絡性能要求的不斷提高,網絡信息安全成為網絡技術發展中一個極其關鍵的任務。校園網信息安全的需求概括有四個方面。
(1)用戶安全:用戶安全分成管理員用戶安全和業務用戶安全。
(2)網絡硬環境安全 :網絡連接安全,校園網中的子網與其他網絡連接的網絡安全,各個專用的業務子網的安全。
(3)網絡軟環境安全:即校園網的應用環境安全。
(4)傳輸安全:數據的傳輸安全,主要是指校園網內部的傳輸安全、校園網與公網(教科網)之間的數據傳輸安全以及校園網與分校區之間的數據傳輸安全。
校園網絡系統通常只是在校內使用的教學辦公網絡,是一個相對封閉的局域網系統,可不考慮外來的入侵行為,所面臨的風險大多始于內部,包括來自學校內部人員的威脅、非授權訪問、冒充合法用戶、破壞數據的完整性、數據篡改、泄漏與丟失等。眾多不同的安全技術和產品,在技術上缺乏完善的綜合管理平臺進行統一協調管理;而在管理上則欠缺良好的安全管理體制和策略,這就直接導致了整個安全體系的薄弱,造成網絡整體安全防御能力下降,無法真正達到安全要求和建設目標。因此,使用訪問控制及內外網的隔離,使用內部網不同網絡安全域的隔離及訪問控制,使用網絡安全檢測。解決校園網信息安全問題的重要方法,是在校園內網中采用不同的安全產品和技術構建多層次的安全防范體系,并在這個體系中部署信息安全審計措施以監督信息系統,發現和追查信息系統中潛在的安全問題,彌補其它安全產品對信息安全管控的不足。
2 管控信息安全的策略
信息安全是高技術的對抗,信息安全問題是要通過大力發展信息安全高技術來解決。但同時必須清醒地認識到,要高效地解決信息系統的安全問題,除了從技術上下功夫外,還得依靠配套的安全管理措施來實現。一定要部署校園網安全審計與監控體系配套管理措施,對信息安全審計工作必須要堅持管理與技術并重的原則,建立和完善信息安全配套管理制度和規范,加強管理落實責任,注重通過加強管理彌補技術上的不足。
首先要建立相對獨立的學校信息安全審計機構,明確管理組織內各個角色所承擔的具體審計職能。在一個審計機構中具體應當包括幾種角色。
(1)系統管理員:系統管理員主要負責對審計系統的配置和系統運行狀況的維護。
1.1網絡安全
網絡安全主要通過硬件防火墻及防病毒系統來實現。硬件防火墻可以將整個網絡有效分隔為內部網絡、外部網絡以及中立區,通過對每個區域配置不同的安全級別,可以保證核心業務系統的安全。防病毒系統用于保護整個網絡避免受到病毒的入侵。
1.2數據安全
數據安全包括數據備份恢復、數據庫安全管理、訪問控制以及系統數據加密。數據存儲以及關鍵應用服務器均按照硬件冗余和數據備份方式配置。數據庫系統通過數據庫權限控制、身份認證、審計以及檢查數據完整性和一致性加以保護。訪問控制通過劃分不同的VLAN以及設置訪問控制列表,對主機之間的訪問進行控制。系統數據加密考慮備份數據及傳輸數據進行加密,保證系統專有信息的安全及保護。
2系統現狀
2.1現有系統構成
目前,路政分局路網管理系統劃分為六大區域,即辦公網區域、遠程接入設備區域、視頻會議終端區域、控制室接入區域、服務器區域以及核心網絡設備區域,如圖1所示。
2.2安全防護現狀
在機房及監控室設置了防靜電地板、溫濕度表、門禁系統、不間斷電源系統等,從物理上保護信息安全。在政務外網出口處部署了防火墻系統,實現辦公終端區域、路網管理業務區及市政務外網3個區域之間的邏輯隔離,防止非授權人員的分發訪問,保證業務系統的正常運行。在廣域網(如中國聯通IP專網、中國電信CD-MA)與路政分局內部局域網之間部署了防火墻系統,實現分局內部局域網與廣域網之間的邏輯隔離,防止來自外部人員的非法探測與攻擊,保證內網安全。在內網中部署網絡版防病毒系統、網頁防篡改系統、入侵檢測設備以及漏洞掃描系統,用于防御病毒、木馬等惡意代碼的傳播,保障重要WEB服務器數據的完整性和可靠性,及時發現內網中的安全隱患,有效地防止內部人員的故意犯罪。建立全網統一身份認證及授權系統,確保用戶身份的安全性和可靠性,并在此基礎上實現了全面靈活的用戶授權管理。
2.3存在風險
(1)內部終端主機未設置監控與審計,將出現非法外聯等非授權訪問控制事件。(2)內網未部署安全審計系統,無法控制用戶上網行為、重要業務系統及重要數據庫系統。(3)內網出口處未部署應用層攻擊檢測與阻斷設備,應用層不可避免會受到各種攻擊。
3信息安全加固方案
3.1信息安全要求
路政分局路網管理系統必須按照國標《信息安全技術信息系統安全等級保護基本要求》(GB/T22239)中二級安全等級防護要求。第二級安全保護能力要求:應能夠防護系統免受來自外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、一般的自然災難、以及其他相當危害程度的威脅所造成的重要資源損害,能夠發現重要的安全漏洞和安全事件,在系統遭到損害后,能夠在一段時間內恢復部分功能。
3.2實施方案
根據路政分局的實際安全需求,參照等級保護的相關要求,通過采用安全審計技術、內網管理技術以及入侵保護技術,加固現有網絡安全,以保障路政分局業務的持續正常運行,如圖2路所示。(1)安全審計系統安全審計系統對系統運維信息、上網行為、數據圖2路政分局路網管理系統構成圖(加固)庫操作行為、網絡流量進行審計,并實現日志的統一保存。(2)內網安全管理系統內網安全管理系統在產品安裝部署前保證所有終端與策略管理中心通過TCP/IP協議可以互聯互通。策略管理中心部署在路政分局路網管理系統和OA系統業務系統的安全管理區域。安全部署在內部網絡所有終端設備以及移動設備上。內網安全管理系統不僅能對內網終端進行身份認證和安全檢查,防止內網終端非法外聯行為,還能實現對內部終端用戶行為進行審計。(3)入侵保護系統入侵保護系統部署在電子政務外網出口防火墻、遠程接入防火墻與路網管理系統核心交換機與之間,防御來自政務外網、中國聯通IP網、中國電信CD-MA網絡的基于應用層的各種攻擊。入侵保護系統高度融合高性能、高安全性、高可靠性和易操作性等特性,具備深度入侵防御、精細流量控制,以及全面用戶上網行為監管等3大功能。
4結語
各縣區、各部門要把信息安全和保密工作列入重要議事日程,加強領導,落實責任,完善措施,切實抓緊抓好。要按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,健全信息安全和保密責任制,把責任落實到具體部門、具體崗位和個人。一是各級行政機關要明確一名主管領導,負責本單位信息系統安全和保密管理工作,根據國家法律和有關要求,結合實際組織制訂信息安全和保密管理制度、防護措施,協調處理本單位重大信息安全和泄密事件。二是各級行政機關要指定一個機構具體承擔信息安全和保密管理工作,負責組織落實本單位信息安全和保密管理制度,加強防護手段建設,開展信息安全、保密教育和監督檢查等。三是行政機關中的各內設機構都要指定一位安全觀念強、富有責任心、懂安全防護技術的工作人員擔任專職或兼職信息系統安全員,負責日常督促、檢查、指導工作。四是建立健全崗位信息安全和保密責任制度,明確信息安全和保密責任。
二、強化教育培訓,提高安全意識和防護意識
各縣區、各部門要認真組織信息安全和保密基本技能培訓,開展信息安全和保密形勢分析、典型安全分析和警示教育,并做到經常化、制度化。要把信息安全和保密教育作為工作人員上崗、干部培訓、業務學習的重要內容,提高安全和保密意識,使主動做好信息安全和保密工作成為每個工作人員的自覺行動,把信息安全防護基本技能作為應知應會內容納入工作考核范圍,并作為考核干部的重要依據。加快研究建立行政機關工作人員信息安全技能考試制度,逐步做到工作人員持證上崗。當前,要針對存在的突出問題,深入學習宣傳信息安全“五禁止”規定:一是禁止將信息系統接入國際互聯網及其他公共信息網絡;二是禁止在計算機與非計算機之間交叉使用U盤等移動存儲設備;三是禁止在沒有防護措施的情況下將國際互聯網等公共信息網絡上的數據拷貝到信息系統;四是禁止計算機、移動存儲設備與非計算機、非移動存儲設備混用;五是禁止使用具有無線互聯功能的設備處理信息。行政機關及其工作人員要切實遵守信息安全和保密管理各項規定,做到令行禁止,杜絕安全隱患。
三、完善安全措施和手段,夯實安全工作基礎
一是加強對信息、人員、場所和設備的管理。嚴格執行保密要害部門、要害部位管理制度;嚴格執行人員管理和資格審查制度;嚴格執行計算機、設備登記管理和定期檢查制度;嚴格執行計算機、信息系統軟件和維護服務提供者資質審查及監管制度。
二是實行計算機配置管理和安全審計。加快對辦公用計算機和移動存儲設備實行配置管理,統一編號、統一標志、統一登記;對辦公用計算機逐步加裝安全審計工具,定期進行安全審計。信息安全主管部門要會同有關部門和單位抓緊制訂行政機關辦公用計算機配置指南、安全使用規范和安全審計辦法。
三是規范電子文檔的管理。統一電子文檔命名規則,根據文件內容在文件名中標明密級、類別,便于識別和管理。建立并保留電子文檔的創建、復制、傳遞,電子文檔必須在信息系統中存儲、處理,復制和傳遞電子文檔要嚴格按照同等密級紙質文件的有關規定進行。逐步采用加密技術手段對電子文檔的存儲和傳輸進行保護。
四是加快信息安全防護設施建設。行政機關在規劃建設政府信息系統時,要嚴格遵循同步規劃、同步建設、同步運行的原則,按照國家有關法律法規和標準同步規劃、設計、建設、運行、管理信息安全防護設施。要將信息安全防護設施建設、運行、維護、檢查和管理費用納入預算,保證資金落實。項目審批部門要將擬建政府信息系統是否具備信息安全防護設施作為重要審核內容。政府信息系統建成后,必須經保密工作部門審批后方可投入使用。
五是切實增強政府業務網絡安全保障能力。政府業務網絡是政府信息系統的重要組成部分,是推行電子政務的重要基礎,必須采取切實有效的安全措施。要加快建立健全以身份認證、訪問控制、安全審計、責任認定、病毒防護等為主要內容的網絡安全體系,完善網絡安全技術防護手段。抓緊制訂網絡對接、信息交換、安全技術及運行管理標準規范,實行嚴格的網絡接入審批制度。行政機關要督促、指導業務網絡管理單位完善相應的辦法,保證網絡安全運行。
六是嚴格信息技術產品的采購管理。按照政府采購法和有關政策要求,行政機關要帶頭使用國產信息技術產品和服務,確保信息系統安全可控。其中,辦公用計算機、公文處理軟件、信息安全產品等應使用國產產品,信息安全服務應選擇有相應資質的國內廠商,因特殊原因必須選用國外信息技術產品和信息安全服務的,應進行安全審查,并報本單位主管信息安全工作的領導同志批準。政府信息系統、保密要害部門和部位使用信息技術產品及服務,必須嚴格執行國家有關保密規定和標準。政府信息系統以及關系國家安全的重要信息系統的數據中心,災難備份中心不得設立在境外,原則上不得接受在線遠程服務。
四、做好信息安全檢查工作,依法追究責任
摘要:從系統的、整體的、動態的角度,參照國家對主機審計產品的技術要求和對部分主機審計軟件的了解,結合實際的終端信息安全管理需求,從體系架構、安全策略管理、審計主機范圍、主機行為監控、綜合審計及處理措施等方面提出主機審計系統的設計思想,達到對終端用戶的有效管理和控制。
關鍵詞:網絡;安全審計;主機審計;系統設計
1引言
隨著網絡與信息系統的廣泛使用,網絡與信息系統安全問題逐漸成為人們關注的焦點。
網與因特網之間一般采取了物理隔離的安全措施,在一定程度上保證了內部網絡的安全性。然而,網絡安全管理人員仍然會對所管理網絡的安全狀況感到擔憂,因為整個網絡安全的薄弱環節往往出現在終端用戶。網絡安全存在著“木桶”效應,單個用戶計算機的安全性不足時刻威脅著整個網絡的安全[1]。如何加強對終端用戶計算機的安全管理成為一個急待解決的問題。
本文從系統的、整體的、動態的角度,參照國家對安全審計產品的技術要求和對部分主機審計軟件的了解,結合實際的信息安全管理需求,討論主機審計系統的設計,達到對終端用戶的有效管理和控制。
2安全審計概念。
計算機網絡信息系統中信息的機密性、完整性、可控性、可用性和不可否認性,簡稱“五性”,安全審計是這“五性”的重要保障之一[2]。
凡是對于網絡信息系統的薄弱環節進行測試、評估和分析,以找到極佳途徑在最大限度保障安全的基礎上使得業務正常運行的一切行為和手段,都可以叫做安全審計[3]。
傳統的安全審計多為“日志記錄”,注重事后的審計,強調審計的威懾作用和安全事件的可核查性。隨著國家信息安全政策的改變,美國首先在信息保障技術框架(IATF)中提出在信息基礎設置中進行所謂“深層防御策略(Defense2in2DepthStrategy)”,對安全審計系統提出了參與主動保護和主動響應的要求[4]。這就是現代網絡安全審計的雛形,突破了以往“日志記錄”
等淺層次的安全審計概念,是全方位、分布式、多層次的強審計概念,符合信息保障技術框架提出的保護、檢測、反應和恢復(PDRR)動態過程的要求,在提高審計廣度和深度的基礎上,做到對信息的主動保護和主動響應。
3主機審計系統設計。
安全審計從技術上分為網絡審計、數據庫審計、主機審計、應用審計和綜合審計。主機審計就是獲取、記錄被審計主機的狀態信息和敏感操作,并從已有的主機系統審計記錄中提取信息,依據審計規則分析判斷是否有違規行為。
一般網絡系統的主機審計多采用傳統的審計,系統的主機審計應采用現代綜合審計,做到對信息的主動保護和主動響應。因此,網絡的主機審計在設計時就應該全方位進行考慮。
3.1體系架構。
主機審計系統由控制中心、受控端、管理端等三部分組成。管理端和控制中心間為B/S架構,管理端通過瀏覽器訪問控制中心。對于管理端,其操作系統應不限于Windows,瀏覽器也不是只有IE。管理端地位重要,應有一定保護措施,同時管理端和控制中心的通訊應有安全保障,可考慮隔離措施和SHTTP協議。
主機審計能夠分不同的角色來使用,至少劃分安全策略管理員、審計管理員、系統管理員。
安全策略管理員按照制定的監控審計策略進行實施;審計管理員負責定期審計收集的信息,根據策略判斷用戶行為(包括三個管理員的行為)是否違規,出審計報告;系統管理員負責分配安全策略管理員和審計管理員的權限。三員的任何操作系統有相應記錄,對系統的操作互相配合,同時互相監督,既方便管理,又保證整個監控體系和系統本身的安全。控制中心是審計系統的核心,所有信息都保存在控制中心。因此,控制中心的操作系統和數據庫最好是國內自己研發的。控制中心的存儲空間到一定限額時報警,提醒管理員及時備份并刪除信息,保證審計系統能夠采集新的信息。
3.2安全策略管理。
不同的安全策略得到的審計信息不同。安全策略與管理策略緊密掛鉤,體現安全管理意志。在審計系統上實施安全策略前,應根據安全管理思想,結合審計系統能夠實現的技術途徑,制定詳細的安全策略,由安全員按照安全策略具體實施。如安全策略可以分部門、分小組制定并執行。安全策略越完善,審計越徹底,越能反映主機的安全狀態。
主機審計的安全策略由控制中心統一管理,策略發放采取推拉結合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。當安全策略發生更改時,控制中心可以及時將策略發給受控端。但是,當受控端安裝了防火墻時,推送方式將受阻,安全策略發送不到受控端。由受控端向控制中心定期拉策略,可以保證受控端和控制中心的通訊不會因為安裝個人防火墻或其他認證保護措施而中斷。聯網主機(服務器、聯網PC機)通過網絡接收控制中心的管理策略向控制中心傳遞審計信息。單機(桌面PC或筆記本)通過外置磁介質(如U盤、移動硬盤)接收控制中心管理策略。審計信息存放在主機內,由管理員定期通過外置磁介質將審計信息傳遞給控制中心。所有通訊采用SSL加密方式傳輸,確保數據在傳輸過程中不會被篡改或欺騙。
為了防止受控端脫離控制中心管理,受控端程序應由安全員統一安裝在受控主機,并與受控主機的網卡地址、IP地址綁定。該程序做到不可隨意卸載,不能隨意關閉審計服務,且不影響受控端的運行性能。受控端一旦安裝受控程序,只有重裝操作系統或由安全員卸載,才能脫離控制中心的管理。聯網時自動將信息傳到控制中心,以保證審計服務不會被繞過。
3.3審計主機范圍。
信息系統中的主機有聯網主機、單機等。常用操作系統包括Windows98,Windows2000,WindowsXP,Linux,Unix等。主機審計系統的受控端支持裝有不同操作系統的聯網主機、單機等,實現使用同一軟件解決聯網機、單機、筆記本的審計問題。
根據國家有關規定,信息系統劃分為不同安全域。安全域可通過劃分虛擬網實現,也可通過設置安全隔離設備(如防火墻)實現。主機審計系統應考慮不同安全域中主機的管理和控制,即能夠對不同網段的受控端和安裝了防火墻的受控端進行控制并將信息收集到控制中心,以便統一進行審計。同時能給出簡單網絡拓撲,為管理人員提供方便。
3.4主機行為監控。
一般計算機使用人員對計算機軟硬件尤其是信息安全知識了解不多,不清楚計算機的安全狀態。主機審計系統的受控端軟件應具有主機安全狀態自檢功能,主要用于檢查終端的安全策略執行情況,包括補丁安裝、弱口令、軟件安裝、殺毒軟件安裝等,形成檢查報告,讓使用人員對本機的安全狀況有一個清楚的認識,從而有針對性地采取措施。自檢功能可由使用人員自行開啟或關閉。檢查報告上傳給控制中心。
主機審計系統對使用受控端主機人員的行為進行限制、監控和記錄,包括對文檔的修改、拷貝、打印的監控和記錄,撥號上網行為的監控和記錄,各種外置接口的禁止或啟用(并口、串口、USB接口等),對USB設備進行分類管理,如USB存儲設備(U盤,活動硬盤)、USB輸入設備(USB鍵盤、鼠標)、USB2KEY以及自定義設備。通過分類和靈活設置,增強實用性,對受控主機添加和刪除設備進行監控和記錄,對未安裝受控端的主機接入網絡拒絕并報警,防止非法主機的接入。
主機審計系統對接入計算機的存儲介質進行認證、控制和報警。做到經過認證的合法介質可以從主機拷貝信息;未通過認證的非法介質只能將信息拷入主機內,不能從主機拷出信息到介質內,否則產生報警信息,防止信息被有意或者無意從存儲設備(尤其是移動存儲設備)泄漏出去。在認證時,把介質分類標識為非密、秘密、機密。當合法介質從主機拷貝信息時,判斷信息密級(國家有關部門規定,信息必須有密級標識),拒絕低密級介質拷貝高密級信息。
在認證時,把移動介質編號,編號與使用人員對應。移動介質接入主機操作時記錄下移動介質編號,以便審計時介質與人對應。信息被拷貝時會自動加密存儲在移動介質上,加密存儲在移動介質上的信息也只能在裝有受控端的主機上讀寫,讀寫時自動解密。認證信息只有在移動介質被格式化時才能清除,否則無法刪除。有防止系統自動讀取介質內文檔的功能,避免移動介質接在計算機上(無論是合法還是非法計算機)被系統自動將所有文檔讀到計算機上。
3.5綜合審計及處理措施。
要達到綜合審計,主機審計系統需要通過標準接口對多種類型、多個品牌的安全產品進行管理,如主機IDS、主機防火墻、防病毒軟件等,將這些安全產品的日志、安全事件集中收集管理,實現日志的集中分析、審計與報告。同時,通過對安全事件的關聯分析,發現潛在的攻擊征兆和安全趨勢,確保任何安全事件、事故得到及時的響應和處理。把主機上一個個原本分離的網絡安全產品聯結成一個有機協作的整體,實現主機安全管理過程實時狀態監測、動態策略調整、綜合安全審計、數據關聯處理以及恰當及時的威脅響應,從而有效提升用戶主機的可管理性和安全水平,為整體安全策略制定和實施提供可靠依據。
系統的安全隱患可以從審計報告反映出來,因此審計系統的審計報告是很重要的。審計報告應將收集到的所有信息綜合審計,按要求顯示并打印出來,能用圖形說明問題,能按標準格式(WORD、HTML、文本文件等)輸出。但是,審計信息數據多,直接將收集的信息分類整理形成的報告不能很好的說明問題,還應配合審計員的人工分析。這些信息可以由審計員定期從控制中心數據庫備份恢復。備份的數據自動加密,恢復時自動解密。審計信息也可以刪除,但是刪除操作只能由審計員發起,經安全員確認后才執行,以保證審計信息的安全性、完整性。
審計系統發現問題的修復措施一般有打補丁、停止服務、升級或更換程序、去除特洛伊等后門程序、修改配置和權限、專門的解決方案等。為了保證所有主機都能得到有效地處理,通過控制中心統一向受控端發送軟件升級包、軟件補丁。發送時針對不同版本操作系統,由受控端自行選擇是否自動執行。因為有些軟件升級包、軟件補丁與應用程序有沖突,會影響終端用戶的工作。針對這種情況,只能采取專門的解決方案。
在復雜的網絡環境中,一個網往往由不同的操作系統、服務器,防火墻和入侵檢測等眾多的安全產品組成。網絡一旦遭受攻擊后,專業人員會把不同日志系統里的日志提取出來進行分析。不同系統的時間沒有經過任何校準,會不必要地增加日志分析人員的工作量。系統應提供全網統一的時鐘服務,將控制中心設置為標準時間,受控端在接收管理的同時,與控制中心保持時間同步,實現審計系統的時間一致性,從而提供有效的入侵檢測和事后追查機制。
4結束語
系統的終端安全管理是一個非常重要的問題,也是一個復雜的問題,涉及到多方面的因素。本文從體系架構、安全策略管理、審計主機范圍、主機行為監控、綜合審計及處理措施等方面提出主機審計系統的設計思想,旨在與廣大同行交流,共同推進主機審計系統的開發和研究,最終開發出一個全方位的符合系統終端安全管理需求的系統。
參考文獻:
[1]網絡安全監控平臺技術白皮書。北京理工大學信息安全與對抗技術研究中心,2005.
研究院的安全服務主要包含四大獨立服務:安全服務、監測服務、睿眼通和信息安全應急響應指揮平臺。服務內容主要包括以下幾個方面:
首先是安全咨詢。以“業務需求管理”為核心出發點,依托ISO27001、ISO17799等國際信息安全標準和法規及行業規范,融合自上而下的指導方針、管理策略、業務流程運行規則、系統操作指南,建立信息安全管理體系。
其次是安全培訓。安全培訓旨在提高客戶的信息安全意識和技能,為最大程度上提高客戶的整體安全防衛意識和安全防衛技能,真正把信息安全管理體系落到實處,提供強力有效的技術支撐保障。
再次是安全評估。對信息資產所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性評估,為客戶信息安全管理體系策劃提供基礎。
最后是安全加固。結合等級保護國家政策及行業規范,通過現場調研,合理使用安全加固工具等為客戶提供安全加固服務,主要提供主機加固、系統加固、數據庫加固、應用服務器加固、應用加固等服務,安全補丁、安全策略調優、配置優化等服務。
七大監測服務主要包括下幾個方面:
第一,“睿眼”外網安全監測預警服務平臺是一套軟硬件一體化監測平臺,以大數據技術為依托,集成了Web漏洞掃描檢測技術、采用遠程監測對外網網站提供7×24小時實時安全監測服務。通過對網站的不間斷監測服務及時發現威脅,從而提升網站的安全防護能力和網站服務質量,并通過安全監測平臺的事件跟蹤功能建立起一種長效的安全保障機制。
第二,“睿眼”移動安全監測預警服務平臺,為政府和企事業單位搭建一個應用App統一存放、統一管理、統一安全監測的AppStroe平臺,通過此平臺進一步提升用戶辦事體驗,同時方便國家、省部級對下級單位進行移動App管理和統計。
第三,“睿眼”內網安全監測預警服務平臺,基于對內網網絡系統安全運行的考慮,平臺提供對內網的實時安全監測、分析和預警功能。
睿眼通
睿眼通是七大監測預警服務平臺提供給客戶的一款智能移動終端,基于客戶對信息安全情況的即時需求,以七大監測預警服務平臺監測結果為主線,可以成為客戶處理信息安全問題、了解安全狀態趨勢、掌握最新安全資訊的貼心助手,隨時隨地了解網站及信息系統等的整體運行情況。
信息安全應急響應指揮平臺
應急響應指揮平臺通過各大監測預警服務平臺實時監測結果,對告警的安全故障或安全威脅,以最短的時間進行故障排查定位和應急處理。
安全產品
公司安全產品包括堡壘主機系統、系統安全加固、審計系統和信息共享管理系統。
(1)堡壘主機系統。堡壘主機是一種被加固的可以防御進攻的計算機,具備堅強的安全防護能力。堡壘主機系統軟件扮演著看門者的職責,所有對網絡設備和服務器的請求都要從這扇大門經過。
(2)系統安全加固。系統安全加固V1.0產品是軟硬件相結合的產品,通過硬件USB-KEY,提高了服務器系統的安全性,克服單純使用軟件防護的局限性;軟件部分包括服務器操作系統安全增強軟件、服務器安全,以及統一安全管理平臺軟件。
(3)審計系統
①日志審計系統。日志審計系統一方面可以集中收集、長時間存放所有的記錄日志,避免日志遭到惡意篡改或刪除而在安全事件發生時無據可查的狀況發生,另一方面日志審計系統強大的日志審計功能可以為組織審計人員提供日志實時監控、高效檢索、審計報表等日志審計手段,從而使原本不可能完成的海量日志審計工作可以在短時間內輕松完成,大大減少信息部門的工作量。
②網絡安全審計系統。網絡安全審計系統主要通過旁路監視并記錄對數據庫服務器的各類操作行為,通過對各類網絡行為的分析,實時地、智能地監控審計,并將審計數據存儲,以便日后進行查詢、分析,實現對整個網絡環境內的操作訪問行為的監控和審計。
模式。
關鍵詞: 網絡安全 數據庫 審計技術
隨著科技信息化技術的迅速發展,各類網絡應用系統也融入日常工作生活中,網絡作為各項網絡應用的基礎凸顯出其重要性,網絡安全管理是保障網絡正常運行的重要工作,在網絡安全管理中除了通過設備和配置實現安全防護,對于各種操作行為的安全審計不可忽視,合理運用網絡安全審計技術相當于為網絡開啟“監視系統”,不僅能實現實時監控,對出現的高風險行為及時警示提醒,同時完成設定時間段內的操作行為存檔以備分析取證,更重要的是系統中積累的歷史數據通過統計和分析,能夠為管理者提供真實準確的網絡健康報告,為未來建設規劃提供依據,在長航局網絡建設中運用到網絡安全審計技術。
網絡安全審計技術概況
在國家出臺的信息安全等級保護標準中對網絡安全審計提出明確要求,包括對網絡設備、安全設備、服務器、應用系統、數據庫系統以及相關設備進行安全審計。網絡安全審計技術主要可分為日志審計、網絡審計和主機審計,通過啟用硬件設備和軟件系統的日志接口,獲取系統廣播的日志信息;對于核心網絡設備,通過旁路模式開啟數據鏡像端口或直接串聯在網絡中,獲取網絡數據包進行解析;對于用戶行為審計可通過安裝客戶端,直接獲取用戶行為信息。
在實際使用中,根據網絡管理需要運用相應手段獲取必要的審計信息,在長航局網絡管理中對網絡設備、安全設備、重要服務器、重要應用系統、重要數據庫系統的安全審計是重點,未采取安裝客戶端方式獲取用戶行為信息。
網絡安全審計技術實際運用
在長航局網絡中網絡安全審計主要包括:網絡設備日志和操作過程記錄、安全設備日志和操作過程記錄、重要服務器日志、重要應用系統日志及操作痕跡、重要數據庫系統日志及操作痕跡。
1、網絡設備和安全設備安全審計
網絡設備主要包括出口路由器、核心交換機、匯聚交換機和接入交換機,除部分接入交換機外,大部分網絡設備屬于可管理網絡設備,進入網絡設備配置模式,配置只讀權限用戶,啟用SNMP功能,不同廠商設備略有不同。將需要管理的網絡設備添加到網絡中安全審計系統中,就可以獲取到網絡設備發送的SNMP數據包,安全審計系統會對收到的數據包按照事件等級進行分類,以便查詢。
網絡安全設備種類較多,如防火墻、入侵防護設備、防病毒網關、VPN設備、行為管理設備、流量控制設備等,根據各個廠商設備的設置,開啟對應的SNMP功能,添加到網絡中安全審計系統中操作和網絡設備類似,需要注意的是串聯在網絡中的設備應設置允許SNMP數據包通過。安全設備通過安全策略和監控功能實現對網絡安全保障,其監控信息實時更新,數據量較大,應根據需求確定需要記錄的監控信息。
部分安全審計系統能夠通過其登錄管理網絡設備和安全設備,并且記錄下用戶的操作痕跡,通過指派權限,設備管理員對對應設備的操作能夠直觀的展現出現,以便出現故障時分析查找問題。
2、服務器、應用系統及數據庫安全審計
服務器由于硬件類別不同(如小型機、PC服務器、刀片服務器),安裝的操作系統不同(如Windows、Linux),用途不同(如單機、集群、服務器虛擬化),開啟SNMP功能方式有所不同,應根據具體情況進行操作。開啟SNMP功能的服務器按照安全審計系統對于類別登記并納入管理。
應用系統類別也比較多,基于不同平臺、中間件定制開發的系統各不相同,應按照其提供的手冊或通過開發人員溝通,開放日志接口,納入安全審計系統管理。
數據庫主要分為Orcale、MSSQL、DB2等幾類,有統一規范的操作方法,按照對應數據庫類別的操作方法,將其納入安全審計系統,實現對數據庫查詢、讀寫、會話情況的記錄和審計。
對服務器、應用系統、數據庫的操作行為安全審計一般通過設置所在網絡設備數據鏡像接口方式實現。同樣,部分安全審計系統能夠通過遠程登錄方式去管理服務器及應用系統、數據庫系統,記錄下用戶的操作痕跡,通過指派權限,設備管理員對對應被管理對象的操作能夠直觀的展現出現,以便出現故障時分析查找問題。
3、安全審計設備管理
按照網絡結構特點,安全審計設備(系統)部署到合適的位置,數量有可能是一臺或多臺,超過一臺時應根據其特點進行功能分工,接入方式以旁路為主。配置好網絡后,登錄管理安全審計設備,除添加各個被管理對象外,應對各類事件按照重要程度定義好級別或閥值,設置報警相關配置,定義好報表模板和報送方式,形成周期性報表以便保存和分析用。對于審計設備自身管理也應嚴格權限,按照管理需要分配不同類別管理權限,同時按照設備存儲空間設置合理記錄保存周期,或定期導出存儲的記錄。
網絡安全審計參考模式
綜合網絡安全審計技術在實際中的運用方式方法,可以列出網絡安全審計的使用參考模式,如圖1所示。
對網絡設備、安全設備、服務器、應用系統、數據庫系統等相關對象可以通過開啟日志功能管理。
通過獲取網絡數據包,可以深入記錄分析更多行為操作。
對網絡安全設備的分權限管理實現事件定級、分類、報警、形成統計分析報表。
圖1
[論文摘要]通過對電力系統計算機網絡存在的網絡安全問廈的分析,提出相應的安全對策,并介紹應用于電力系統計算機網絡的網絡安全技術。
[論文關鍵詞】電力信息安全策略
在全球信息化的推動下,計算機信息網絡作用不斷擴大的同時,信息網絡的安全也變得日益重要,一旦遭受破壞,其影響或損失也十分巨大,電力系統信息安全是電力系統安全運行和對社會可靠供電的保障,是一項涉及電網調度自動化、繼電保護及安全裝置、廠站自動化、配電網自動化、電力負荷控制、電力營銷、信息網絡系統等有關生產、經營和管理方面的多領域、復雜的大型系統工程。應結合電力工業特點,深入分析電力系統信息安全存在的問題,探討建立電力系統信息安全體系,保證電網安全穩定運行,提高電力企業社會效益和經濟效益,更好地為國民經濟高速發展和滿足人民生活需要服務。
研究電力系統信息安全問題、制定電力系統信息遭受內部外部攻擊時的防范與系統恢復措施等信息安全戰略是當前信息化工作的重要內容。
一、電力系統的信息安全體系
信息安全指的是為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。
信息安全涉及的因素有,物理安全、信息安全、網絡安全、文化安全。
作為全方位的、整體的信息安全體系是分層次的,不同層次反映了不同的安全問題。
信息安全應該實行分層保護措施,有以下五個方面,
①物理層面安全,環境安全、設備安全、介質安全,②網絡層面安全,網絡運行安全,網絡傳輸安全,網絡邊界安全,③系統層面安全,操作系統安全,數據庫管理系統安全,④應用層面安全,辦公系統安全,業務系統安全,服務系統安全,⑤管理層面安全,安全管理制度,部門與人員的組織規則。
二、電力系統的信息安全策略
電力系統的信息安全具有訪問方式多樣,用戶群龐大、網絡行為突發性較高等特點。信息安全問題需從網絡規劃設計階段就仔細考慮,并在實際運行中嚴格管理。為了保障信息安全,采取的策略如下:
(一)設備安全策略
這是在企業網規劃設計階段就應充分考慮安全問題。將一些重要的設備,如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空,并有明顯標記,防止意外損壞。對于終端設備,如工作站、小型交挾機、集線器和其它轉接設備要落實到人,進行嚴格管理。
(一)安全技術策略
為了達到保障信息安全的目的,要采取各種安全技術,其不可缺少的技術層措施如下:
1.防火墻技術。防火墻是用于將信任網絡與非信任網絡隔離的一種技術,它通過單一集中的安全檢查點,強制實糟相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間,信息的共享、整合與調用,都需要在不同網段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權限合理享用信息資源。
2.病毒防護技術。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端,在服務器上安裝基于服務器的防病毒軟件,在網關上安裝基于網關的防病毒軟件。必須在信息系統的各個環節采用全網全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理,建立較完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虛擬局域網技術(VLAN技術)。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含1組有著相同需求的計算機工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個LAN內的各工作站無須放置在同一物理空間里,既這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,有助于控制流量、控制廣播風暴、減少設備投資、簡化網絡管理、提高網絡的安全性。
4.數據與系統備份技術。電力企業的數據庫必須定期進行備份,按其重要程度確定數據備份等級。配置數據備份策略,建立企業數據備份中心,采用先進災難恢復技術,對關鍵業務的數據與應用系統進行備份,制定詳盡的應用數據備份和數據庫故障恢復預案,并進行定期預演。確保在數據損壞或系統崩潰的情況下能快速恢復數據與系統,從而保證信息系統的可用性和可靠性。
5.安全審計技術。隨著系統規模的擴展與安全設施的完善,應該引入集中智能的安全審計系統,通過技術手段,實現自動對網絡設備日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計,及時自動分析系統安全事件,實現系統安全運行管理。
6.建立信息安全身份認證體系。CA是CertificateAuthority的縮寫,即證書授權。在電子商務系統中,所有實體的證書都是由證書授權中心(CA中心)分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統就其實質來說,是一個典型的電子商務系統,它必須保證交易數據安全。在電力市場技術支持系統中,作為市場成員交易各方的身份確認、物流控制、財務結算、實時數據交換系統中,均需要權威、安全的身份認證系統。在電力系統中,電子商務逐步擴展到電力營銷系統、電力物質采購系統、電力燃料供應系統等許多方面。因此,建立全國和網、省公司的cA機構,對企業員工上網用戶統一身份認證和數字簽名等安全認證,對系統中關鍵業務進行安全審計,并開展與銀行之間、上下級CA機構之間、其他需要CA機構之間的交叉認證的技術研究及試點工作。
(三)組織管理策略
信息安全是技術措施和組織管理措施的統一,“三分技術、七分管理”。據統計,在所有的計算機安全事件中,屬于管理方面的原因比重高達70%以上。沒有管理,就沒有安全。再好的第三方安全技術和產品,如果沒有科學的組織管理配合,都會形同虛設。
1.安全意識與安全技能。通過普及安全知識的培訓,可以提高電力企業職員安全知識和安全意識,使他們具備一些基本的安全防護意識和發現解決某些常見安全問題的能力。通過專業安全培訓提高操作維護者的安全操作技能,然后再配合第三方安全技術和產品,將使信息安全保障工作得到提升。
2.安全策略與制度。電力企業應該從企業發展角度對整體的信息安全工作提供方針性指導,制定一套指導性的、統一的安全策略和制度。沒有標準,無法衡量信息的安全,沒有法規,無從遵循信息安全的制度,沒有策略,無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化,是法規與管理的接口和信息安全得以實現的重要保證。
3.安全組織與崗位。電力企業的組織體系應實行“統一組織、分散管理”的方式,建立一個有效、獨立的信息安全部門作為企業的信息安全管理機構,全面負責企業范圍內的信息安全管理和維護工作。安全崗位是信息系統安全管理機構,根據系統安全需要設定的負責某一個或某幾個安全事務的職位,崗位在系統內部可以是具有垂直領導關系的若干層次的一個序列。這樣在全企業范圍內形成信息安全管理的專一工作,使各級信息技術部門也因此會很好配合信息安全推行工作。
網絡的出現使人類的生活方式發生了巨大的變化,使人類的生活更為便捷,更為舒適。另外互聯網的出現還提高了信息傳輸速度,擴大了信息傳輸范圍,但我們在享受網絡帶來的信息傳遞的便利的同時,必須注意網絡信息安全,防范網絡詐騙,增強網絡信息安全意識,做好網絡信息保密工作,避免發生信息泄露事件。基于此,本文主要從內網和外網兩個方面對網絡信息保密技術進行研究。
關鍵詞:
信息安全;互聯網;保密技術
0引言
在當前信息社會中,如何確保信息傳輸的安全已經成為人們關注的焦點。為了避免信息非法竊取事件的發生,人們必須要具有強烈的信息安全意識,掌握基本的網絡信息保密技術,做好信息傳輸的保密工作,從而確保信息傳輸安全。當前比較常見的兩種網絡信息保密技術為:(1)內網網絡信息保密技術;(2)外網網絡信息保密技術,本論文將從這兩個方面展開深入的研究。
1內網網絡信息保密技術
內網指的是單位、機構或者組織的局域網,內網網絡信息保密技術主要依靠于內網信息管理終端來實現對各種內網信息傳遞的管理,避免出現信息非法竊取的情況。內網網絡信息保密技術主要用于軍工單位信息保密工作中。
1.1內網信息泄露的原因
造成內網信息泄露的原因主要有:一是單位內部人員將單位局域網連接密碼泄露給非法分子,為非法分子進入內網提供了極為便利的條件;二是單位內部人員盜取單位內保密信息,并通過郵件或者U盤向外界傳遞;三是非法分子非法侵入到單位局域網中,獲取局域網服務器中的保密信息;四是非法分子通過散布網絡病毒或者網絡木馬造成單位局域網癱瘓,非法竊取局域網中的信息。
1.2安全管理技術
安全管理技術是一種比較常見的內網信息保密技術,其出現的背景為:網絡應用的范圍不斷擴大,網絡信息管理設備的不斷復雜,網絡信息管理任務的增加,網絡故障發生率的驟然升高,單位內網出現運行瓶頸,無法及時發現運行問題以及運行故障。安全管理技術實施目的就是提高單位內網的運行性能,提高單位內網管理水平,確保單位內網信息傳遞的安全。安全管理技術所包含的內容包括:一是信息復制、打印、傳遞的管理,避免打印泄密、郵遞泄密以及拷貝泄密情況的出現;二是內網服務器數據的保密,為不同級別的管理員設置不同通信密碼,做好內網服務器的隔離;三是內網使用的管理,對內網用戶身份進行登記和審查,對內網接入站點進行登記和審查等。
1.3安全評估技術
和安全管理技術相同,安全評估技術也屬于一種內網信息保密技術。現在網絡環境越來越復雜,一種安全保護產品是無法完成整個內網信息傳遞保密的,需要結合多種信息安全保密產品,在整個內網運行過程中,進行動態的信息保護。確保內網信息傳遞安全的一種有效方法就是信息安全評估,其主要功能就是客觀、科學、有效的對內網信息傳遞過程進行評估,發現內網信息傳遞過程中存在的安全隱患,及時消滅這些隱患。內網信息安全評估主要包括以下幾個方面:一是信息安全風險評估,其主要工作就是找出內網信息傳遞安全問題產生的根源,從而提出能夠從根本上解決內網信息傳遞風險的方法,是安全評估技術的核心,是一種優化內網運行的方法;二是信息對抗可能性評估;三是非法攻擊可能性評估;四是信息安全等級劃定;五是信息安全隱患評估;六是信息安全脆弱性評估。
1.4安全審計技術
除了上述兩種內網信息保密技術外,在當前內網信息保密工作中,安全審計技術也具有較為廣泛的應用,其主要對內網服務器的安全性能進行評估。記錄內網發生的安全事件,同時對其進行處理或者是再現事件發生的過程,這些工作的完成需要安全審計系統的幫助,安全審計系統還能定位內網受到攻擊的具置或者是內網運行錯誤產生的具體地點,發現破壞內網信息安全的根本原因。除了上述幾種功能外,安全審計系統還具有如下作用:一是能夠提供可供安全員分析的內網管理數據,幫助安全員尋找信息安全事件發生的根源,同時協助安全員制定信息保密策略;二是能夠提供可供安全員進行故障分析的內網運行日志,協助安全員發現內網運行漏洞以及非法入侵人員;三是根據安全員的指示記錄各種安全事件。
2外網網絡信息保密技術
外網網絡信息保密技術主要為了防范外部網絡對內網的攻擊,外網網絡信息保密技術設計的前提假設為內網安全,所有的網絡入侵和攻擊都來自于外網,當前,使用較多的幾種外網網絡信息保密技術包括:
2.1安全掃描技術
利用遠程網絡檢測技術來對TCP/IP文件傳輸協議中不同服務器端口進行檢測的技術就是安全掃描技術,通過安全掃描技術可以獲得各種服務器運行信息,例如服務器是否具有FIP目錄等,匿名登錄是否有效等。
2.2匿名通信技術
將網絡通信中實體之間的聯系以及實體地址進行隱藏,使非法入侵者無法獲得實體物理地址以及詳細的信息傳遞內容的一種網絡安全技術就是匿名通信技術。這種技術開發的前提假設為網絡外人員是無法獲得網絡實體之間通信信息,無法發現網絡實體的通信過程以及網絡實體的具置。實體之間通信的安全都由鏈路級保證,也就是說實體之間發生的通信行為都是真實的,傳遞的信息都是可靠的。
2.3網絡隔離技術
隨著網絡入侵手段的多樣性,科學家對傳統網絡安全技術進行了改造,結合了多種網絡信息保障技術,重新設計了一種網絡信息安全保障技術——信息隔離技術,其能夠從多個方面確保網絡信息傳遞的安全。
2.4入侵檢測技術
和其他網絡信息安全技術相比,這種技術涉及范圍更廣,網絡信息傳遞過程的多個方面都有所涉及,技術開發人員除了要掌握基本的網絡信息安全保障技術外,還要了解網絡信息通信過程,網絡數據庫設計方法以及服務器的基本結構。入侵檢測技術除了能夠對各種入侵行為進行分辨,還能夠根據當前網絡發展背景進行技術的更新,異常行為檢測以及系統誤用檢測是兩種基本的入侵檢測方法,其處理的主要是各種復雜的入侵行為、入侵數據。
2.5虛擬專網技術
正如其名稱所示,虛擬專網技術具有專用網絡的作用,但從本質上將,其并不是一種專用網絡,只是一種為了確保保密信息通信安全設置的虛擬網絡。在公共通信網絡中連接保密信息傳輸的輸入端和輸出端,保密信息通過虛擬專網中的虛擬通道進行傳遞,傳輸的數據都需要進行加密處理,實現信息傳遞的雙重保護。利用虛擬專網可以實現內網數據庫使用的授權,授權者可以獲取授權范圍內的內網數據。虛擬專網技術實現的關鍵就是虛擬通道的建立,而這主要依靠隧道技術,利用基本的網絡信息傳遞設備在某種信息傳遞協議的基礎上實現另一種通信協議數據傳遞的技術就是隧道技術,隧道技術可以實現不同傳輸協議數據包或者數據幀等形式的信息的傳遞。
2.6防火墻技術
在當前網絡信息傳遞過程中,使用最廣泛的一種通信協議就是TCP/IP協議,這種協議設計的前提條件為信息傳遞環境可信,不存在網絡入侵,沒有考慮信息傳遞的安全性。為了彌補該協議的不足,計算機工程技術人員開發了防火墻技術,阻止網絡入侵者對內網的侵犯,避免發生用戶計算機或者是網絡服務器感染木馬或者病毒等現象。防火墻實現了內網和外網的隔離,對不同網絡之間通問進行管理,避免非法入侵現象的發生。防火墻技術的關鍵是就是設計一套安全有效的內網訪問規則,既要滿足用戶信息共享的需求,又要對非法入侵進行檢測和隔離,同時對內網運行環境進行實時監測。防火墻的作用主要包括以下幾個方面:一是檢測網絡攻擊行為;二是對網絡攻擊行為進行警告;三是記錄各種非法入侵活動;四是管理網絡訪問和信息傳遞行為;五是對接受信息的安全性進行檢查。
3結語
和傳統信息保密工作有所不同,在網絡時代,信息保密工作主要指的是網絡信息保密工作,工作內容更為多樣化,工作科技含量更高,所面臨的工作對象更為復雜,內網信息保密技術和外網信息保密技術是當前最為常用的兩種信息保密技術,其中包含了多方面的內容,例如網絡信息安全評估技術、網絡安全信息審計技術、防火墻技術、虛擬內網技術等,這是網絡信息安全的保障。
作者:王芳 單位:武警總部通信總站
參考文獻:
[1]張慶凱.計算機網絡安全存在的問題及對策[J].電子技術與軟件工程,2016.
2017年是藍盾股份上市五周年以來銳意創新、碩果滿載的一年。作為智慧安全領導者,藍盾股份持續推進“大安全”產業發展戰略,依靠“內生+外延”雙輪提供的強勁驅動,在網絡安全行業進行積極地前沿探索,不僅業務板塊得到了迅速發展和擴張,經營亦連年取得耀眼佳績。
6月28日,2017藍盾股份新產品會在北京隆重舉行。本次會以“智慧安全 御見未來”為主題,藍盾股份副董事長兼總裁柯宗貴、高級副總裁韓煒和業界專家齊聚一堂,共同探討網絡和信息安全面臨的挑戰與對策,揭開未來智慧安全的神秘面紗。
近年來,藍盾股份將“智慧安全”的理念融入到產品研發設計中,緊密結合用戶需求和用戶體驗,研發著力點從網絡系統安全、數據安全深入到業務應用安全等各個層面,堅持技術創新,深化安全技術內涵,不斷打造精品。本次會上,藍盾AI防火墻、藍盾態勢感知平臺、藍盾云安全產品、藍盾企業移動信息化安全管理平臺(藍盾S-EMM)、藍盾新微智慧眼監控雷達(BDS-100智慧眼)、藍盾業務應用安全審計平臺等六款智慧安全重磅產品及解決方案悉數登場亮相,發力信息安全行業最前沿實踐。
據悉,藍盾AI防火墻是通過機器學習模型快速判定安全威脅的新一代智能防火墻;藍盾態勢感知平臺利用大數據技術實現實時評估整體網絡的安全態勢;藍盾云安全產品可形成完整的云內網絡和通信安全、設備和計算安全、應用和數據安全解決方案;藍盾企業移動信息化安全管理系統使業務單位能夠輕松應對各類應用場景的安全問題;藍盾新微智慧眼移動目標監控雷達可全天候對目標進行跟蹤和識別;藍盾業務應用安全審計平臺實現了對業務操作行為的實時監管、操作留痕,對違規操作的預警預測和追溯倒查。
本次會中亮相的產品,代表了信息安全領域的前沿技術,全面詮釋了“智慧安全 御見未來”的真諦。同時,本次會是一次全面了解中國網絡與信息安全現狀、聆聽網絡安全從業者洞察c感知的重要良機。
柯宗貴表示,藍盾股份將繼續圍繞“大安全”產業發展戰略,通過投資參股更多技術領先、行業經驗豐富的公司,連結協同網絡安全、軍工安全、互聯網安全三大方向的技術價值、渠道價值、品牌價值及行業應用價值;通過持續的自主研發、技術合作及投資并購,構建更為完整的“大安全”產業生態版圖。
目前,藍盾股份已形成安全產品、安全方案、安全服務、安全運營“四位一體”聯動發展的經營模式,并不斷推進全線安全產品的高性能化和國際化,將“云計算安全、大數據安全、移動安全、工控安全”等新興技術應用安全提升到新的戰略高度,尤其是加強云安全及云解決方案能力的構建與輸出,引入硅谷“機器學習”等一系列前沿技術,打造高精尖“藍盾”技術名片。
【關鍵詞】校園網 安全管理 網絡安全審計
在計算機與網絡迅速發展的當代,互聯網已經為人類做出了不可小覷的貢獻,尤其是在教學方面,教師已經習慣運用信息化手段來教學,但是就在互聯網盛行的時代,出現了很多負面的非法信息,這使學生的人生觀以及價值觀都受到了影響,更有甚者非法站點介入了校園內部的網站,竊取了某些信息,將其泄漏出去,使學生的學習以及教師的工作受到了嚴重的影響。由此看來,規范校園網絡使用行為,保證校園網絡能夠健康、穩定地運行是目前我國大多數學校應該重視的問題。
1 校園網網絡管理現狀
從我國大部分校園網絡使用情況來看,校園網絡中出現了以下幾種狀況:
(1)首先校園內部網絡使用者沒有經過嚴格的用前培訓,因此有很多校園內部使用者都會對校園網絡產生供給威脅;
(2)校園外部互聯網接入內部,校園內部網絡出現了很多的病毒,同時也受到了攻擊性的威脅;
(3)很多來自外部的移動終端以及計算機帶來了很大的隱患;
(4)網絡上不良信息以及垃圾郵件對校園網絡產生的威脅。
2 校園網網絡安全審計的功能及內容
2.1 網絡安全審計
其指的是依照制定的策略,使用審計工具,來對用戶以及系統活動進行記錄,并分析數據等,以此來審查網絡的安全,避免出現一些人為錯誤,這樣就能夠掌握系統是否有漏洞,對資源進行科學、合理地調配,保證系統能夠健康、穩定地運行。
2.2 網絡安全審計的要點
在管理校園網的過程中,對網絡的審計內容主要包括以下這么幾點:
2.2.1 實時審計
也就是說對正在發生的網絡行為進行監督,爭取能夠在第一時間內將非法操作以及不良網站進行封堵,或者報警,監督的內容不僅包括上網時間、下載文件的類型,還有上網流量等。
2.2.2 日志審計
將網絡運行的日志記錄下來,全面管理操作系統的運行日志和數據訪問日志,并對其進行分析和處理。
2.2.3 內容審計
此審計也可以在實時審計以及日志審計當中使用,審計聊天、發帖以及電子郵件中的信息。實時審計主要是對信息的出入口進行嚴密的監測,分析和對比信息中的關鍵字,對非法文字或者敏感字段進行報警,在這些工作進行的過程中,將整個過程記錄在日志當中,以此作為審查的原始材料。
2.2.4 實時跟蹤
這是對那些進發生并且有追溯、挽回可能的活動信息進行實時跟蹤,將之后的活動信息記錄下來,以便追溯非法行為或者犯罪行為。
3 網絡安全審計在校園網安全管理中的作用
網絡安全管理中最為重要的一部分就是網絡安全審計,這可以幫助校園維護網絡安全穩定運行,師生上網行為得以規范等工作更加順利地進行。
(1)網絡安全審計在過濾URL地址等關鍵字之后,既能阻止不良網站中的不良信息接入校園網絡,與此同時能夠使網絡得以很大程度的保護,保護其不受外來網絡中病毒的侵害,使系統中最基本的安全能夠達到相應的標準。除此之外,因為日志審計能夠保存系統運行過程當中的相關信息和日志,因此就能夠在事后進行查詢,將內部攻擊的可能性降到最低,并且能夠使潛在的隱患得以震懾。
(2)實時審計能夠有效規范校內師生上網過程中的審計內容,監督并阻止教職工利用職務之便或者上班時間濫用網絡資源,阻止學生不規范上網的行為,將校園網的有效資源的價值發揮到最大限度。
(3)內容審計能夠將關鍵詞與敏感詞有效地阻止在外,避免了垃圾郵件,以及不良信息在校園網絡中擴散,這樣一來就能夠對校園網絡中的犯罪行為實施有效監控,使學校的名譽不被破壞。
(4)系統分析哪些有價值的日志信息,能夠使系統管理員及時發現并修復系統中隱藏的漏洞,除此之外,系統運行統計日志能夠將系統性能中存在的問題反應出來,使系統管理員有了觀察、處理網絡系統的工具。如此一來,對網絡性能實施及時調整,為關鍵應用提供充足的資源,還能使系統管理員具有針對性地進行系統維護,這對提高工作效率有很大的幫助。
(5)有效追查已經發生,但還有可能挽回的行為,不僅能夠追溯違法犯罪的行為,還能夠追溯系統性能的好與壞,這對追查已發生行為具有非常重要的意義。
4 結語
近年來,互聯網的飛度發展,使校園有了更加豐富的教學資源,給教師帶來了便利的辦公方式和多種多樣的教學手段,讓學生們的課余生活更加精彩,但是卻也給校園網絡帶來了很大隱患。因為校園網用戶多、規模大、使用者的活躍度較高等特點,所以非常難管理,但是因為其涉及到教師與學生的日常工作與學習中,所以對其進行嚴格管理也是極其重要的一項工作。使用校園網絡安全系統,能夠使網絡監控效率得以提高,所以說在學校具體的使用中,應該根據校園網的實際情況,對其設計科學的審計計策,讓審計內容變得多樣化,爭取使校園網的有效資源的價值發揮到最大限度。
參考文獻
[1]楊克領.IDS技術及其在校園安全管理中的應用[J].商丘師范學院學報,2014(09).
關鍵詞:防護體系;醫院信息系統;立體安全
現如今,醫院已經可以采用電子信息技術實現對整個醫院各個環節的覆蓋,其中包括設備物資管理、HIS、PASS、LIS、PACS、醫療統計分析,全面覆蓋管理、研究、護理、醫療、教學、后勤等,在遠程醫療、合作醫療的條件下,醫院信息系統無法脫離網絡的客觀因素來實現操作。而在復雜、龐大的網絡結構背景下,如何保證醫院的信息系統能在安全穩定的環境下展開有序的運行,是醫療服務正常開展的重要前提與保障,并且醫院信息系統的安全性也關系到患者和醫院的隱私、是維護患者和醫院基本權益的重要基礎。我們要引起高度的重視。
1 醫院信息系統立體安全防護系統的設計需求
在醫院運行信息系統的過程中,具有良好的安全手段、安全管理、安全策略、安全環境等良好的特性,所以在開放的網絡背景下,醫院信息系統的安全問題主要是由于黑客等人為的故意入侵與破壞,造成數據泄露、醫院信息系統配置問題等隱患。針對這樣的安全風險,我們主要通過建立科學合理的安全防護體系來確保其正常運行,可以分為以下4個環節:網絡安全、物理級安全、系統級安全、應用級安全。安全管理標準和制度是整個信息系統防護體系的中心任務。對數據安全起到多角度、多方位、多層次的立體防護。
2 醫院信息系統立體安全防護系統的設計構想
為了更好的應對上訴提到的安全風險,我們應該建立安全可靠的安全防護體系,堅持以多角度、多方位為體系設計的基本原則,制定網絡安全策略、應用安全策略、系統安全策略、安全管理策略等,更好的完善整個防護體系。在等級保護的作用指引下,應該采用P2DR(防護、響應、檢測)安全模型作為系統建設和安全規劃的基本方針和思路。防護體系根據事中檢測、事前防護、時候審計等作為根本指導策略。
3 醫院信息系統立體安全防護系統的全面設計
3.1物理層安全 物理安全主要包括物理訪問控制、防破壞、電磁防護、物理位置選擇、防火、防潮、溫濕度控制、防雷擊、防盜竊、防水電力供應等。
3.2網絡層面的安全防護 關于網絡層面的安全防護控制主要內容有訪問安全控制、入侵防范、結構安全、惡意代碼防范、網絡防備防護等。其中通過幾個方面進行具體的操作:
3.2.1劃分安全區域 對安全區域的劃分主要包括以下幾項基本原則:結構簡化原則、立體防護原則、業務保障原則、生命周期原則、等級保護原則。
3.2.2對邊界訪問進行控制 在網絡體系中,對個區域的邊界訪問進行控制是很有效的防護手段,主要是對醫院信息防護系統的各個邊界進行安全防護措施,例如部署防火墻、運行入侵檢測系統、隔離網閘、對vlan進行劃分等高級別的網絡控制手段。
3.2.3開展網絡審計 在開展信息系統網絡維護的過程中,在交換機的旁邊布置網絡審計和網絡監控系統,對網絡流量數據展開相應的網絡審計,與此同時,將其他網絡設備的監控數據收集起來共同為整個防護體系提供檢測數據。
3.2.4開展網絡入侵防范措施 交換機是信息系統的核心設備,可以在交換機的旁邊部開展對網絡入侵的檢測測試系統。將計算機網絡收集的信息進行具體全面的檢測與分析,一旦發現有安全隱患的行為就要及時進行處理。例如木馬、病毒、間諜軟件、蠕蟲、可以代碼等。同時在發現嚴重危險信號時應該馬上報警。
3.3對主機層的安全防護 對主機層面進行安全防護的內容主要包括訪問控制、入侵防護、身份鑒別、安全審計、資源控制、對惡意代碼防護等。我們具體介紹下其中幾個方面的防護內容。
3.3.1身份鑒別 為了更好的提高網絡防護的性能要求,保證運行的穩定性和安全性,我們對主機系統采用身份鑒別的方式加以鞏固,相關的步驟為:首先對網絡操作的用戶進行身份識別,確保用戶名不重復的登陸。然后根據口令要求,采用長度高于8位數、3種不同字符的口令。最后,如果登陸失敗,應該立即關鍵會話窗口,并對關鍵的主機系統進行重新驗證。
3.3.2主機入侵防護 通過掃描、檢測等多種手段對有可能出現的主機入侵情況進行防護,在操作過程中應該注意以最小安裝為基本原則,降低在服務和程序中可能出現的漏洞。
3.4應用層的防護
3.4.1安全審計 對應用層進行安全審計主要是針對業務管理系統來說的,業務管理與應用應該和信息安全系統相聯系起來。將應用功能和審計功能放在同等重要的位置上。可以對醫院里一些比較重大的事情發生時間、發生情況、主要人物等進行相關的記錄和描述。并且做好相應的保護措施,禁止非法修改、刪除等[1-3]。信息系統可以對收集到的數據進行分析、統計、查詢等操作。審計系統要對每個具體的事件狀態進行安全審計,確保數據庫的穩定性。
3.4.2通信的完整 可以通過加密的方式對整個信息的傳輸過程進行保護,可以采用密碼機等相關的防護措施來確保數據遠程交換的完整性。
4 結束語
要完善醫院信息系統的安全防護體系是醫院開展正常工作的重要保障與條件,但是面對復雜多變的網絡環境,信息系統還存在很多的安全隱患需要我們及時的進行維護與改善,除了加強相應的技術手段外,還要建立安全的信息管理體系對信息系統進行全面的管理,加強規范化的操作手段,要提升技術與管理的相互合作、相互協調性,確保信息系統的穩定性。
參考文獻:
[1]劉金長,賴征田,楊成月,等.面向智能電網的信息安全防護體系建設[J].電力信息化,2013(09).
