時間:2023-09-15 17:30:47
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全防護體系,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
現在企業很多商業業務、商業活動和財務管理系統協同工作等,都需要借助計算機網絡進行。如果沒有網絡安全性的保障,就會發生系統延遲、拒絕服務、程序錯誤、數據篡改等現象,甚至很多情況下會發生木馬病毒的侵蝕。過去企業數據是以文本文件的形式存在,雖然處理和操作不具有便捷性,但是能夠起到保密性和可靠性的作用。計算機網絡時代財務數據流能夠實現財務數據的快速傳遞,但是在數據傳輸的過程中安全性難以得到有效的保障。所以在企業數據信息管理的過程中需要有保密性和可靠性的保障,維護企業的商業機密。其次,網絡交易渠道容易發生數據信息丟失或損壞,交易雙方的信息結果發生差異的現象時有發生,嚴重影響了企業數據的精準性。所以企業急需完整性的交易信息憑證,避免交易信息的篡改或者刪除,保證交易雙方數據的一致性[1]。
2企業網絡面臨的安全風險
2.1物理安全風險
近年來,很多現代化企業加大信息建設,一些下屬公司的網絡接入企業總網絡,企業網路物理層邊界限制模糊,而電子商務的業務發展需求要求企業網絡具有共享性,能夠在一定權限下實現網絡交易,這也使得企業內部網絡邊界成為一個邏輯邊界,防火墻在網絡邊界上的設置受到很多限制,影響了防火墻的安全防護作用。
2.2入侵審計和防御體系不完善
隨著互聯網的快速發展,網絡攻擊、計算機病毒不斷變化,其破壞力強、速度快、形式多樣、難以防范,嚴重威脅企業網絡安全。當前,很多企業缺乏完善的入侵審計和防御體系,企業網絡的主動防御和智能分析能力明顯不足,檢查監控效率低,缺乏一致性的安全防護規范,安全策略落實不到位。
2.3管理安全的風險
企業網絡與信息的安全需要有效的安全管理措施作為制度體系保障,但是企業經常由于管理的疏忽,造成嚴重的網絡信息安全風險。具體管理安全的風險主要表現在以下幾個方面:企業沒有健全和完善的網絡安全管理制度,難以落實安全追責;技術人員的操作技術能力缺陷,導致操作混亂;缺乏網絡信息安全管理的意識,沒有健全的網絡信息安全培訓體系等。
3構建企業網絡安全防護體系
3.1加強規劃、預防和動態管理
首先,企業需要建立完善的網絡信息安全防護體系,保證各項安全措施都能夠滿足國家信息安全的標準和要求。對自身潛在的信息安全風險進行統籌規劃,針對性的展開安全防護系統的設計。其次,企業應該加強對安全防護系統建設的資金投入,建立適合自己網絡信息應用需求的防護體系,并且定期進行安全系統的維護和升級。最后,加強預防與動態化的管理,要制定安全風險處理的應急預案,有效降低網絡信息安全事故的發生。并且根據網絡信息動態的變化,采取動態化的管理措施,將網絡與信息安全風險控制在可接受的范圍。
3.2合理劃分安全域
現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同,因此在劃分企業網絡安全域時,應結合業務屬性和網絡管理,不僅要確保企業正常的生產運營,還應考慮網絡安全域劃分是否合理。針對這個問題,企業網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式,充分發揮不同方式的優勢,結合企業網絡管理要求和網絡業務需求,有針對性地進行企業網絡安全域劃分。
首先,根據業務需求,可以將企業網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網,企業網絡可以在外網用戶端和內網之間設置隔離,使外網服務和內網服務分離,隔離各種安全威脅,確保企業內網業務的安全性。其次,按照企業業務系統方式,分別劃分外網和內網安全域,企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網,內網可以分為辦公網、生產網,其中再細分出材料采購網、保管網、辦公管理網等子網,通過合理劃分安全域,確定明確的網絡邊界,明確安全防護范圍和對象目標。最后,按照網絡安全防護等級和系統行為,細分各個子網的安全域,劃分出基礎保障域、服務集中域和邊界接入域。基礎保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備,服務集中域主要用于防護企業網絡的信息系統,包括信息系統內部和系統之間的數據防護,并且按照不同的等級保護要求,可以采用分級防護措施,邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。
3.3信息安全技術的應用
(1)防火墻技術
防火墻主要的作用是對不安全的服務進行過濾和攔截,對企業網絡的信息加強訪問限制,提高網絡安全防護。例如,企業的信息數據庫只能在企業內部局域網網絡的覆蓋下才能瀏覽操作,域外訪問操作會被禁止。并且防火墻可以有效記錄使用過的統計數據,對可能存在的攻擊、侵入行為精心預測預警,最大限度地保障了企業內部網絡系統的安全。隨著業務模式的不斷發展,簡單的業務(端口)封堵已經不能適應動態的業務需要,需要采用基于內容的深度檢測技術對區域間的業務流進行過濾。并借助于大數據分析能力對異常業務流進行智能分析判斷。
(2)終端準入防御技術
終端準入防御技術主要是以用戶終端作為切入點,對網絡的接入進行控制,利用安全服務器、安全網絡設備等聯動,對接入網絡的用戶終端強制實施企業安全策略,實時掌控用戶端的網絡信息操作行為,提高用戶端的風險主動防御能力。
4結束語
綜上所述,計算機網絡有效提高了企業業務工作的效率,實現企業計算機網絡數據庫中的數據分類、整理、資源的共享。但是,系統數據的保密、安全方面還存在技術上的一些欠缺,經常會發生數據被非法侵入和截取的現象,造成了嚴重的數據安全風險。企業應該科學分析網絡與信息安全風險類型,加強規劃、預防利用防火墻技術、終端準入防御技術等,提高企業網絡與信息安全防護效率。
參考文獻
[1]戴華秀.移動互聯網時代信息安全應對策略分析[J].科技與創新,2016,(1):36.
[關鍵詞]網絡安全 管理流程 安全體系框架 安全防護策略
中圖分類號:TP 文獻標識碼:A 文章編號:1009-914X(2017)01-0394-01
企業在網絡安全方面的整體需求涵蓋基礎網絡、系統運行和信息內容安全、運行維護的多個方面,包括物理安全、網絡安全、主機安全、應用安全、網站安全、應急管理、數據安全及備份恢復等內容,這些方方面面的安全需求,也就要求企業要有一流的安全隊伍、合理的安全體系框架以及切實可行的安全防護策略。
一、強化安全隊伍建設和管理要求
企業要做好、做優網絡安全工作,首先要面臨的就是組織機構和人才隊伍建設問題,因此,專門的網絡安全組織機構對每個企業來講都是必不可少的。在此基礎上,企業要結合每季度或者每月的網絡安全演練、安全檢查等工作成果和反饋意見,持續加強網絡安全管理隊伍建設,細化安全管理員和系統管理員的安全責任,進一步明確具體的分工安排及責任人,形成清晰的權責體系。同時,在企業網絡自查工作部署上,也要形成正式的檢查結果反饋意見,并在網絡安全工作會議上明確檢查的形式、流程及相關的文件和工作記錄安排,做到分工明確、責任到人,做到規范化、流程化、痕跡化管理,形成規范的檢查過程和完整的工作記錄,從而完成管理流程和要求的塑造,為企業后續的網絡安全工作提供強勁、持久的源動力和執行力。
二、搭建科學合理的安全體系框架
一般來講,我國有不少企業的網絡安全架構是以策略為核心,以管理體系、技術體系和運維體系共同支撐的一個框架,其較為明顯的特點是:上下貫通、前后協同、分級分域、動態管理、積極預防。
上下貫通,就是要求企業整個網絡安全工作的引領與落實貫通一致,即企業整體的網絡安全方針和策略要在實際的工作中得到貫徹實施;前后協同,就是要求企業得網絡安全組織機構和人員,要積極總結實際的工作經驗和成果,結合企業當前的網絡安全態勢,最新的國際、國內安全形勢變化,每年對企業的網絡安全方針和策略進行不斷的修正,達到前后協同的效果。分級分域,就是要求企業要結合自身的網絡拓撲架構、各個業務系統及辦公系統的安全需求、企業存儲及使用的相關數據重要程度、各個系統及服務的使用人員等情況,明確劃分每個員工的系統權限、網絡權限,對使用人員進行分級管理,并對相關網絡及安全設備、服務器等進行分區域管理,針對不同區域的設備設定不同的安全級別。
動態管理,就是要求企業的整體安全策略和方針、每個階段的安全計劃和工作內容,都要緊密跟蹤自身的信息化發展變化情況,并要在國內突發或重大安全事件的引導下,適時調整、完善和創新安全管理模式和要求,持續提升、改進和強化技術防護手段,保證網絡安全水平與企業的信息化發展水平相適應,與國內的信息安全形勢相契合;積極預防就是要求企業在業務系統的開發全過程,包括可研分析、經濟效益分析、安全分析、系統規劃設計、開工實施、上線運行、維護保障等多個環節上要抱有主動的態度,采取積極的防護措施,不要等到問題發生了再去想對策、想辦法,要盡可能的提前評估潛在的安全隱患,并著手落實各種預防性措施,并運用多種監控工具和手段,定期感知企業的網絡安全狀態,提升網絡安全事故的預警能力和應急處置能力。
三、落實切實可行的安全防護策略
在安全策略方面,企業的安全防護策略制定思路可以概括為:依據國家網絡安全戰略的方針政策、法律法規、制度,按照相關行業標準規范要求,結合自身的安全環境和信息化發展戰略,契合最新的安全形勢和安全事件,從總體方針和分項策略兩個方面進行制定并完善網絡安全策略體系,并在后續的工作中,以總方針為指導,逐步建立覆蓋網絡安全各個環節的網絡安全分項策略,作為各項網絡安全工作的開展、建立目標和原則。
在網絡安全管理體系方面,企業要將上述安全策略、方針所涉及的相關細化目標、步驟、環節形成具體可行的企業管理制度,以制度的形勢固化下來,并強化對相關企業領導、安全機構管理人員、業務辦公人員的安全形勢和常識培訓,提高企業從上至下的安全防護能力和安全水平;在運維管理體系建設方面,企業要對每個運維操作進行實時化監控,在不借助第三方監控工具如堡壘機的條件下,要由專人進行監管,以防止運維操作帶來的安全隱患,同時,企業也要階段性的對各個網絡設備、業務系統、安全設備等進行安全評估,分析存在的安全漏洞或隱患,制定合理的解決措施,從而形成日常安全運維、定期安全評估、季度安全分析等流程化管理要求和思路。
在技術防護體系建設方面,企業可以參照PPDRR模型,通過“策略、防護、檢測、響應、恢復”這五個環節,不斷進行技術策略及體系的修正,從而搭建一套縱向關聯、橫向支撐的架構體系,完成對主機安全、終端安全、應用安全、網絡安全、物理安全等各個層面的覆蓋,實現技術體系的完整性和完備性。企業常用的技術防護體系建設可以從以下幾個方面考慮:
(1)區域邊界防護策略:企業可以考慮在各個區域的邊界、互聯網或者局域網出口部署下一代防火墻、入侵檢測與防御設備(如果條件合適,可以考慮選擇入侵防御設備)、上網行為管理、防病毒網關等網絡安全新技術和新設備,從而對互聯網出口或者重要區域邊界進行全面的防護,提高內網出入接口的安全保障水平。此外,針對有企業生產網的情況,要對生產網與內網進行物理隔離,并對接入生產網的各種終端設備進行防病毒查收、報備,防止影響生產安全的各種事件發生,保障企業的財產安全。
醫院網絡信息安全與醫療衛生服務質量、效率息息相關,因此做好網絡信息安全防護體系建設有助于確保醫療信息安全與信息服務平臺應用,對于進一步提升醫療服務質量至關重要。文章分析了我國醫院網絡信息安全防護體系現狀,并對醫院網絡信息安全防護體系的設計與應用進行了探討,希望能為醫療信息服務改革與創新提供參考。
關鍵詞:
醫院;信息安全;防護體系;設計
醫院作為提供醫療衛生服務的主體,本身的發展關鍵在于做好綜合管理,信息平臺作為進行醫療服務、醫學研究、教學、對外交流宣傳等工作的主要陣地,建設與服務情況直接關系到醫院工作質量與效率,因此建立完善的信息安全防護體系不僅可有效保障信息平臺運作的有效性,同時也可及時消除信息服務過程中出現的各類故障與問題,確保醫院工作順利進行。
1我國醫院網絡信息安全防護體系現狀分析
(1)安全需求。醫院信息網絡安全防護涉及計算機、通信安全、信息安全、密碼、信息論、數論等多種專業知識與技術,計算機信息系統平臺的防護要做好到不因偶然或者故意的外界因素影響系統運行,保障信息的安全,減少信息丟失、受損、更改、泄露等,確保信息提供服務醫療工作的延續性、長期性、可用性與高效性,提升系統運行安全性與可靠性。結合我國信息安全防護規范與醫院醫療信息工作防護需求來看,技術層面上醫院網絡信息安全主要分為三個層次,一是硬件設施安全,包括計算機、網絡交換機、機房、線路、電源等物理設備在內的設備安全,二是數據或應用安全,即軟件安全,保證信息系統相關軟件、程序、數據庫等操作的訪問安全,三是網絡與系統安全,即包括網絡通信、信息交換、信息應用、信息備份、計算機系統等在內的系統平臺免受系統入侵、攻擊等影響。
(2)安全防護現狀。目前國內經濟發達地區的二級醫院與三級醫院基本上已經建立起了HIS系統與局域網,通過與因特網連接構建服務院內醫療工作的信息平臺,信息網絡運行遵照內外網物理隔離形式,因此相對而言運行風險減小,在安全防護方面投入比例相對較低,不過面對越來越進步的醫療需求,實現內外網合一成為必然,有助于構建更為高效的醫療信息共享模式、預防傳染疾病、建立大范圍醫療服務體系等,但是內外網合一將會面臨更多的安全風險與漏洞,因此加強安全防護體系建設迫在眉睫,是保證醫療信息安全與高效管理的必然舉措。醫院信息安全防護體系的建設面臨著來自安全管理、硬件軟件等多方面的風險,目前防護體系建設主要是通過升級硬件、軟件防護確保信息安全,通過加強人員管理與安全管理降低安全風險威脅,對于醫院醫療系統而言,隨著越來越多的信息化醫療設備、儀器、就醫人員等介入信息平臺,安全防護體系建設所面臨的風險與需求也將會越來越大,因此針對醫療信息安全需求做好防護體系的建設與推廣應用是目前進步發展的關鍵。
(3)信息安全建設問題。當前醫院網絡信息安全問題已經成為困擾信息系統平臺運行、應用的瓶頸,為了應對信息網絡時代頻繁的網絡攻擊與信息安全威脅,殺毒軟件、防火墻、入侵檢測技術、信息備份技術、數據庫安全技術等廣泛應用于醫院網絡信息安全建設。上述技術雖然在確保網絡信息安全方面發揮了一定作用,但是同時也存在不足之處,就目前來看,我國醫院網絡信息安全防護體系還存在不少問題。醫院網絡信息安全防護系統使用的硬件、軟件產品因不屬于同一企業,在整合、規劃、管理中容易存在漏洞導致重復建設或者潛在安全風險等問題,影響信息系統安全。信息平臺的構造與使用專業性要求較高,并且設備、軟件需進行專業整合,院內桌面終端的分散與多邊、醫護人員水平高低、使用情況等都直接增加了信息安全防護的難度。目前醫院網絡信息安全防護系統的建設與應用缺乏統一的技術標準與規范,不利于信息技術的整合和信息平臺潛力的挖掘,一定程度上增加安全防護系統構建與應用的難度。網絡信息技術的發展與安全防護本身處于此消彼長的態勢,在制定安全防護策略、構建防護體系時必須做好與時俱進,最大限度的在降低經濟成本的同時提升技術應用效率與效益。
2醫院網絡信息安全防護體系的設計與應用
(1)硬件設施建設。醫院安全防護系統硬件設施建設關鍵要做好核心服務器、交換機、應用計算機、網絡設備等建設,硬件建設優劣直接決定信息服務效果與質量,是確保醫院信息平臺順利運行的關鍵物質基礎,因此為提升防護穩定性與可靠性,加強硬件設施建設勢在必行。硬件設施建設要從設備型號、性能等入手,配合網絡布局規劃、服務需求制定最佳建設方案。以機房設計為例,作為安全防護信息系統的神經中樞,醫院至少要建立兩個A級標準機房作為主機房與備用機房,并對監控間、設備間、空調電源間做好設計,比如空調電源間要做好精密控溫、恒溫恒濕、備用UPS電源等建設,并留有充足的后續設備空間,另外要著重做好消防安全工作。監控間要應用專業的設備環境監控系統及時掌握主機房環境變化,以便在意外發生時做到準確應對。硬件配備方面為滿足醫院工作網絡信息安全防護需求,要配備優質的設備以保證數據訪問效率,利用HIS服務器、PACS服務器等為實現辦公自動化、電子病歷、信息安全管理提供強勁動力;應用混合光纖磁盤陣列、近線存儲等完成海量數據的存儲、交換與備份,并采用核心交換機、光纖寬帶等構件高性能網絡平臺,并在醫院內部配備優質計算機服務終端。網絡布局方面,根據醫院性質做好軍網、醫保專網、內網、外網的聯合建設,內網建設是關鍵部分,要著重加強安全防護建設,并留有網站備份與未來拓展空間,為醫院信息安全管理提供支持與保障。
(2)網絡系統安全建設。醫院信息網絡系統安全威脅主要來自于外部攻擊入侵或者網絡本身缺陷所導致的運行失誤、效率下降、系統崩潰等問題,攻擊入侵包括木馬病毒攻擊、系統漏洞等,因此要著重做好網絡安全防護與系統安全防護。網絡安全防護要根據醫院網絡性質做好內外網融合與統一,保證專網、軍網等介入內網時受到物理防火墻、網閘的有效保護,屏蔽內網信息、運行情況及結構,有效預防、制止非法入侵及破壞行為,并且為了提升防護效果,要盡量配合網絡運行監控系統以達到理想防護效果。系統安全防護需要建立完善的病毒防護體系,處理好系統終端計算機內的病毒、木馬等,建立有效權限制度以達到保護信息、防護內外入侵等行為,可通過采購企業版病毒防護軟件定期更新病毒庫達到自動殺毒維護安全效果;系統內部防護安全與計算機個人網絡終端關系密切,因此要在院內移動終端上增加桌面控制軟件以實施全面安全管理,通過系統補丁分發、端口訪問、安全準入等機制實現防護。
(3)數據應用安全。數據應用安全關鍵要做好數據存儲、訪問、應用安全及信息系統軟件運行安全。數據存儲安全與系統環境、硬件設備、數據庫安全密切相關,因系統漏洞、硬件損毀、數據庫錯誤等造成數據毀壞要通過采取備份、恢復、數據容錯等舉措解決。為保證數據安全性與完整性,要建立數據庫本機與多機備份機制,尤其是核心數據庫要分別建立主、備用服務器,一旦其中之一發生意外立即采取補救措施實現自動切換,尤其是電子病歷要進行專業備份及歸檔,確保數據完整性與可用性。數據訪問安全問題主要以非法用戶訪問、非法篡改數據為主要表現,要完善醫院內部訪問權限與身份準入系統,實現統一授權管理,以減少信息丟失、錯誤等情況。要對數據庫安全環境建設、應用軟件環境建設倍加關注,如lP±IE址的設置、數據庫配置、環境變量設置等,實現統一運行環境與地址綁定,降低安全運行風險。
(4)安全管理制度。醫院內部要做好信息安全管理制度的完善與執行,根據國家政策、行業法規、院內需求積極完善系統及數據應用,確保網絡信息安全防護系統始終維持良性運行狀態,為醫院安全建設奠定基石。要加強網絡安全值班制度建設,配備專業人員監督網絡系統運行,并配備專業監控系統及時處理各類問題與意外,對于問題嚴重者要及時通報技術科室進行維修養護,確保醫院信息系統始終處于24小時監控維護下。值班管理中,要做好系統運行情況記錄,并進行數據備份,確保值班日記連貫、完整,為安全管理提供幫助。院內用戶管理是安全管理另一重點,權限管理中要嚴格管理員權限準入機制,做好院內計算機終端設備的改造,做好院內工作人員專業培訓,以便實現用戶合法、合規訪問系統,減少系統運行與訪問風險,保證信息數據的安全性。
(5)應用實踐。為了確保醫院網絡安全信息防護系統得到有效運行,在實際運營中要增加相應的運維管理系統與安全防護系統達到理想防護效果。比如在主機房設置機房動力與環境監控系統,對機房準入權限、電源供應、通風、控溫、消防等情況進行監控,確保機房始終維持在理想的恒溫、恒濕現狀,電壓、電流、頻率滿足需求,并將變化做好數據記錄監控,為機房高效管理提供保障;在醫院內網設置專門的安全防護系統,以規范約束院內終端用戶操作與應用,避免非法訪問與數據篡改,該系統與院內身份認證系統合作,通過靈活的安全策略實現對內網用戶、終端計算機的安全管理,充分踐行事前預防、事中控制、事后審計的原則,實現安全行為管理;針對電子病歷管理,要建立專門的VERITAS存儲管理系統對病例數據進行存儲、備份與恢復,并根據備份策略做好病程文件的保護與恢復,以確保醫療工作的順利進行。
3結語
綜上所述,醫院網絡安全防護體系的建設與應用有助于降低醫院信息安全風險,提升信息系統可靠性、可用性與安全性,對于提升醫院醫療服務質量與效果有積極意義,可有效減少院內信息系統安全故障、降低安全運行風險,提升系統運行服務質量,對于國內醫療改革進步、創新有重要實用價值。
參考文獻:
[1]胡祎.醫院信息網絡建設中的安全技術體系[J].網絡安全技術與應用,2013(10):59
[2]劉夏娥.醫院信息系統網絡安全體系構造[J].計算機光盤軟件與應用,2013(1):51
關鍵詞:電力企業;信息網網絡安全;層次式防護體系
中圖分類號:TN915.08
網絡信息安全的問題主要包括了網絡系統的硬件、軟件及其系統中重要數據受到保護,受突發或者惡意的因素而遭到破壞、更改、泄露,系統能夠正常地運行,網絡服務不中斷等諸多方面。企業要想做好信息網網絡安全就需要構建一個層次式防護體系,這個防護體系能夠有效的解決企業信息網網絡安全所面臨的各種問題,給企業一個良好的網絡環境。
1 信息網絡安全層次式防護體系的防護模式
結合電力企業的實際情況,按照層次式防護體系的防護模式,可將電力企業的網絡信息安全分為七大模塊,分別是入侵檢測、環境與硬件、防火墻、VPN(虛擬專用網)、隱患掃描、病毒防范、PKI(公開密鑰基礎設施)。
1.1 環境與硬件、防火墻
環境與硬件以及防火墻為層次防護模式的第一、二層,是對系統安全要求比較高的電網運行與安全穩定的控制,還包含了電網調度自動化、繼電保護等實時網絡,使用防火墻隔離網關設備來連接信息網絡,這樣就可以獲取實時的系統數據,不過這樣仍有一個小的缺陷,就是不可能直接或間接的修改實時系統的數據,所有需要采用硬件防火墻互聯的信息網絡與實時網絡之間在物理網絡層的隔離,這樣就能從根本上防護非法用戶的入侵。
另外,也可在信息網的Internet接入口處安裝防火墻,這種防火墻主要防止來自外部的攻擊,而且企業內各機構之間的仍有全面的安全防火墻,目前幾乎所有的電力企業信息網大都建立了這兩層防護措施。不過防火墻對于一些利用合法通道而展開的網絡內部攻擊顯得無能為力。因此,盡管開發防火墻能夠初步具備入侵的檢查功能,但是防火墻作為網關,很容易就成為網絡防護發展的頸瓶,不適合做過多的擴展研究。因此,還需要和層次式防護的第三層入侵檢測等相關工具聯合起來運用,這樣就能提高整個網絡的安全。
1.2 入侵檢測(IDS)
整個防護體系的第三層防護便是入侵檢測,入侵檢測不屬于網絡訪問控制設備,對通訊流量沒有任何限制,采用的是一種通過實時監視網絡資源(系統日志、網絡數據包、文件和用戶獲得的狀態行為),主動分析和尋找入侵行為的跡象,屬于一種動態的安全防護技術。一旦被檢測到入侵情況就會立即進行日志、安全控制操作以及警告等操作,給網絡系統提供內、外部攻擊以及一些失誤進行安全防護。像CA公司的eTrustIntrusionDetection程序就是通過自動檢測網絡數據流中潛在的入侵、攻擊和濫用方式等,為網絡系統提供了先進的網絡保護功能。同時還能在服務器及相關業務受到影響時,按照預先定義好的策略采取相應的措施。
1.3 隱患掃描
防護體系的第四層防護便是隱患掃描,隱患掃描是一個全自動化的網絡安全評估軟件,它以黑客的視角對被檢測的系統進行是否承受攻擊性的安全漏洞以及隱患掃描,同時還能夠查到可能危及網絡或系統安全的弱點,從而提出相應的維修措施,提交詳細的風險評估報告。最可觀的地方在于它能夠先于黑客發現并彌補漏洞,從而防患于未然,能夠預防在安全檢查中暴露出存在網絡系統中的安全隱患,然后配合有效的修改措施,將網絡系統中運行的風險降至最低。
隱患掃描系統的主要應用在不同的場合和時宜,第一,對信息網作出定期的網絡安全自我檢測和評估。網絡管理員能夠定期的進行網絡安全檢查服務,以最大可能限度的消除安全隱患,盡可能的發現漏洞然后進行修補,從而優化資源、提高網絡的運行效率;第二,網絡建設以及網絡改造前后的安全規劃以及成效檢測。配備隱患掃描系統能夠方便的進行安全規劃評估和成效檢測;第三,網絡安全隱患突發后的分析。網絡安全隱患突發后可以通過掃描系統確定網絡被攻擊的漏洞所在,然后幫助修補漏洞,能夠提供盡可能多的資料來方便調查攻擊的來源。第四,重大網絡安全事件發生前的準備,重大網絡安全事件發生以前,掃描系統能夠及時的幫用戶找出網絡中存在的漏洞,并及時將其修補。
1.4 虛擬專用網(VPN)
防護體系的第五層就是虛擬專用網,其主要為電力企業上下級網絡和外出人員訪問企業網絡時提供一條安全、廉價的互聯方式,再加上防火墻和IDS的聯動關系,這就使得VPN的網絡安全性大大的得到保障,VPN的網絡安全性也就得到了保證。不過,目前雖然實現VPN的網絡技術和方式比較多,但不是所有的VPN均可以保證公用網絡平臺傳輸數據的安全性和專用性。一般情況下是在非面向連接的公用IP網絡上建立一個具有邏輯的、點對點的連接方式,這種方式稱之為建立隧道。隨后就可以利用加密技術對隧道傳輸的數據進行加密,這樣就能保證數據只能被發送給指定的接收者,這樣極大的保證了數據的隱私性。
1.5 PKI(公開密鑰基礎設施)
PKI作為防護體系的第六層具有一個廣泛的接收標準,用來保護用戶的應用和數據安全,許多安全應用的安全標準通過PKI都有了適應的安全標準。CA公司的eTrustPKI是個比較普遍的基礎設施,具有許多獨特的特點,如能夠優化企業內部的部署、簡化管理、其擴展性比較好、有可選擇的相關硬件支持。
1.6 對病毒的防范
對病毒的防范是防護體系最后一層,其廣泛的定義在于防范惡意代碼、包括蠕蟲、密碼、邏輯炸彈以及其他未經許可的軟件,防范病毒系統對網關、郵件系統、文件服務器等進行病毒防范,這就要求病毒防范系統做到對病毒代碼的及時更新,并保持對病毒的查殺能力。同時,當防病毒與防火墻一起聯動時,病毒防護系統會自動通知防火墻進行相關修改。
2 對層次式安全防護體系的規范管理
層次式安全防護體系的構建是一個復雜的系統工程,包含了人力、技術、以及操作等幾大要素,在整個防護體系的運行中,最重要是需要規范操作人員的各種專業技術操作,需要建立一道信息安全管理制度來防止安全防護系統在運行過程中因為內部人員出現差錯而導致的各種網絡漏洞和安全隱患,其中建立規范的管理制度應考慮以下幾點:第一,建立對應的事故預防和應急處理方案,每天都要例行檢查備案;第二,制定嚴格的防護系統運行操作制度,對網絡設備、存儲設備以及服務器等重要部件的運行操作制定標準的操作制度,相關工作人員都必須參與進去;第三,強化對工作人員的安全教育和培訓,做好及時的安全工作;第四,建立日志式的管理制度,對每位用戶的操作和行為都以日志的形式記載在案,并進行及時的跟蹤調查和審計工作。
3 結束語
網絡安全防護是一個動態的系統工程,構建網絡安全防護體系能夠有效保護電力企業信息網的安全,其中采取層次式安全防護體系,更是有效的將各個層次安全構建有機的結合在一起,從而提高了整個網絡的安全性。
參考文獻:
[1]黨林.電力企業信息系統數據的安全保護措施分析[J].電子技術與軟件工程,2013(17).
[2]李志茹,張華峰,黨倩.電網企業信息系統安全防護措施的研究與探討[J].電力信息化,2012(04).
關鍵詞:防護體系;醫院信息系統;立體安全
現如今,醫院已經可以采用電子信息技術實現對整個醫院各個環節的覆蓋,其中包括設備物資管理、HIS、PASS、LIS、PACS、醫療統計分析,全面覆蓋管理、研究、護理、醫療、教學、后勤等,在遠程醫療、合作醫療的條件下,醫院信息系統無法脫離網絡的客觀因素來實現操作。而在復雜、龐大的網絡結構背景下,如何保證醫院的信息系統能在安全穩定的環境下展開有序的運行,是醫療服務正常開展的重要前提與保障,并且醫院信息系統的安全性也關系到患者和醫院的隱私、是維護患者和醫院基本權益的重要基礎。我們要引起高度的重視。
1 醫院信息系統立體安全防護系統的設計需求
在醫院運行信息系統的過程中,具有良好的安全手段、安全管理、安全策略、安全環境等良好的特性,所以在開放的網絡背景下,醫院信息系統的安全問題主要是由于黑客等人為的故意入侵與破壞,造成數據泄露、醫院信息系統配置問題等隱患。針對這樣的安全風險,我們主要通過建立科學合理的安全防護體系來確保其正常運行,可以分為以下4個環節:網絡安全、物理級安全、系統級安全、應用級安全。安全管理標準和制度是整個信息系統防護體系的中心任務。對數據安全起到多角度、多方位、多層次的立體防護。
2 醫院信息系統立體安全防護系統的設計構想
為了更好的應對上訴提到的安全風險,我們應該建立安全可靠的安全防護體系,堅持以多角度、多方位為體系設計的基本原則,制定網絡安全策略、應用安全策略、系統安全策略、安全管理策略等,更好的完善整個防護體系。在等級保護的作用指引下,應該采用P2DR(防護、響應、檢測)安全模型作為系統建設和安全規劃的基本方針和思路。防護體系根據事中檢測、事前防護、時候審計等作為根本指導策略。
3 醫院信息系統立體安全防護系統的全面設計
3.1物理層安全 物理安全主要包括物理訪問控制、防破壞、電磁防護、物理位置選擇、防火、防潮、溫濕度控制、防雷擊、防盜竊、防水電力供應等。
3.2網絡層面的安全防護 關于網絡層面的安全防護控制主要內容有訪問安全控制、入侵防范、結構安全、惡意代碼防范、網絡防備防護等。其中通過幾個方面進行具體的操作:
3.2.1劃分安全區域 對安全區域的劃分主要包括以下幾項基本原則:結構簡化原則、立體防護原則、業務保障原則、生命周期原則、等級保護原則。
3.2.2對邊界訪問進行控制 在網絡體系中,對個區域的邊界訪問進行控制是很有效的防護手段,主要是對醫院信息防護系統的各個邊界進行安全防護措施,例如部署防火墻、運行入侵檢測系統、隔離網閘、對vlan進行劃分等高級別的網絡控制手段。
3.2.3開展網絡審計 在開展信息系統網絡維護的過程中,在交換機的旁邊布置網絡審計和網絡監控系統,對網絡流量數據展開相應的網絡審計,與此同時,將其他網絡設備的監控數據收集起來共同為整個防護體系提供檢測數據。
3.2.4開展網絡入侵防范措施 交換機是信息系統的核心設備,可以在交換機的旁邊部開展對網絡入侵的檢測測試系統。將計算機網絡收集的信息進行具體全面的檢測與分析,一旦發現有安全隱患的行為就要及時進行處理。例如木馬、病毒、間諜軟件、蠕蟲、可以代碼等。同時在發現嚴重危險信號時應該馬上報警。
3.3對主機層的安全防護 對主機層面進行安全防護的內容主要包括訪問控制、入侵防護、身份鑒別、安全審計、資源控制、對惡意代碼防護等。我們具體介紹下其中幾個方面的防護內容。
3.3.1身份鑒別 為了更好的提高網絡防護的性能要求,保證運行的穩定性和安全性,我們對主機系統采用身份鑒別的方式加以鞏固,相關的步驟為:首先對網絡操作的用戶進行身份識別,確保用戶名不重復的登陸。然后根據口令要求,采用長度高于8位數、3種不同字符的口令。最后,如果登陸失敗,應該立即關鍵會話窗口,并對關鍵的主機系統進行重新驗證。
3.3.2主機入侵防護 通過掃描、檢測等多種手段對有可能出現的主機入侵情況進行防護,在操作過程中應該注意以最小安裝為基本原則,降低在服務和程序中可能出現的漏洞。
3.4應用層的防護
3.4.1安全審計 對應用層進行安全審計主要是針對業務管理系統來說的,業務管理與應用應該和信息安全系統相聯系起來。將應用功能和審計功能放在同等重要的位置上。可以對醫院里一些比較重大的事情發生時間、發生情況、主要人物等進行相關的記錄和描述。并且做好相應的保護措施,禁止非法修改、刪除等[1-3]。信息系統可以對收集到的數據進行分析、統計、查詢等操作。審計系統要對每個具體的事件狀態進行安全審計,確保數據庫的穩定性。
3.4.2通信的完整 可以通過加密的方式對整個信息的傳輸過程進行保護,可以采用密碼機等相關的防護措施來確保數據遠程交換的完整性。
4 結束語
要完善醫院信息系統的安全防護體系是醫院開展正常工作的重要保障與條件,但是面對復雜多變的網絡環境,信息系統還存在很多的安全隱患需要我們及時的進行維護與改善,除了加強相應的技術手段外,還要建立安全的信息管理體系對信息系統進行全面的管理,加強規范化的操作手段,要提升技術與管理的相互合作、相互協調性,確保信息系統的穩定性。
參考文獻:
[1]劉金長,賴征田,楊成月,等.面向智能電網的信息安全防護體系建設[J].電力信息化,2013(09).
關鍵詞:電力系統、電網調度、防護策略、安全措施
Abstract: this paper mainly on power system of power grid scheduling and automation system of different applications and the safety of its own, real-time, and reliability, the secrecy of the different special requirements. And proposes the dispatching automation system of the importance of safe protection system, in the technical system, should be established in the channel layer data network scheduling special; In the protective measures, should take the necessary technical means, and establish strict safety management rules and regulations, to ensure the safety of dispatching automation system.
Key words: electric power system, power grid scheduling, protection strategy, security measures
中圖分類號:TM76文獻標識碼:A文章編號:
引言
近年來,隨著城鄉電網的改造,電網技術裝備水平不斷提高,使電網調度的現代化程度越來越高,對電網的安全穩定運行起到了極大的促進作用。根據調度自動化系統中各種應用的不同特點,優化電力調度數據網,建立調度系統的安全防護體系具有十分重要的意義。
一、制定安全防護策略的重要性
調度自動化系統的內涵有了較快的延伸,由原來單一的EMS 系統擴展為EMS、DMS、TMS、廠站自動化、水調自動化、雷電監視、故障錄波遠傳、功角遙測、電力市場技術支持系統和調度生產管理系統等。數據網絡是支持調度自動化系統的重要技術平臺,一般要求數據網絡安全可靠,實時性要求在秒級或數秒級,其中發電報價系統、市場信息等電力市場信息系統由于需要與公網連接,因而還要求做加密及隔離處理。
建立調度自動化系統的安全防護體系,首先要制定安全防護策略。應用系統的安全策略位于安全防范的最高一級,是決定系統的安全要素。從大的方面講,安全策略決定了一個系統要達到的安全級別及可以付出的代價;從小的方面講,安全策略的具體規則用于說明哪
些行為是允許的,哪些行為是禁止的。系統是否安全,很大程度上依賴于最初設計時制定的安全策略,因為今后的安全措施,都圍繞這一
策略來選擇和使用,如果在安全策略上出了問題,將會給今后的應用系統帶來安全隱患,從而使將來的安全建設處于十分被動的局面。因
此考慮調度自動化系統的安全,應首先根據系統對安全性、可靠性、實時性、保密性等方面的不同特殊要求,按照國家有關部門的規定,
從應用系統的各個層面出發,制定完善的安全防護策略。
二、數據網絡的安全防護策略
2.1 數據網絡的技術體制
規劃數據網絡技術體制和電力系統安全防護體系,應根據電力生產業務對數據網絡安全性、可靠性、實時性方面的特殊要求,并遵照國家對單位和重要設施在網絡安全方面的有關規定。首先應根據網絡的規模、目的、服務對象、實時程度、安全級別等綜合考慮,確定最基本的網絡技術體制。
從應用和連接方式來看,企業內部網絡有兩類:一類是與公網完全隔離、在鏈路層上建立的企業內部網絡一般稱為專用網絡;另一
類是連接于公網、并利用公網作為通道的企業內部網。第一類網絡除了面臨來自物理層面的安全問題外,主要面臨內部的計算機犯罪問題,如違規或越權使用某些業務、查看修改機密文件或數據庫等,以及從內部發起的對計算機系統或網絡的惡意攻擊。第二類網絡除了具
有上述安全問題外,還要承受來自公網的攻擊和威脅,由于公網上黑客、病毒盛行,網絡安全的攻擊與反攻擊比較集中地體現在公網上。
由于電力調度數據網的服務對象、網絡規模相對固定,并且主要滿足自動化系統對安全性、可靠性、實時性的特殊需求,為調度自動化系統提供端到端的服務,符合建設專網的所有特征,所以電力調度數據網宜在通道層面上建立專網,以實現該網與其他網的有效安全隔離。
目前國家電力數據網同時承載著調度控制業務和管理信息業務,應當在將來通道資源允許的條件下,將現有電力調度數據網上的信
息業務逐步分離出去,改造成為實時控制業務專用的數據網絡。
電力系統中的光纖通信網絡正在加緊建設,采用光纖+SDH+IP 模式容易實現對不同IP應用業務之間的物理隔離,具有較高的傳輸效率,能滿足控制、保護等電力系統的關鍵業務的要求,便于調度部門能對網絡進行有效監控,并便于通信部門對外出租帶寬。因此用光纖+SDH+IP 模式建立調度數據專網是一個適當的選擇,可以很好滿足電力系統的下列要求:數據傳輸的實時性(繼電保護毫秒級,自動化秒級),要求網絡層次簡化;傳輸的連續性,通信負荷基本恒定,需要恒定帶寬;遠方控制的可靠性(遙控、遙調、AGC 等),要求有效隔離;因特網時代的安全防護體系(防黑客、防病毒、防破壞等);網絡拓撲結構必須覆蓋遠離城市的電廠、變電站;充分利用SPDnet 的現有設備,節約大量資金,便于平滑過渡。
2.2 調度專用數據網絡的安全防護措施
調度專用數據網除了傳送EMS 數據外,還傳送電能量計量計費、水調自動化、電力市場信息和調度生產信息(工作票和操作票、發
電計劃和交易計劃、負荷預報、調度報表、運行考核等)。應根據各類應用的不同特點,采用不同的安全防護措施,如EMS 等實時控制業務具有較高的優先級,應該優先保證,生產信息的優先級次之,而電力市場信息須進行加密處理等。
采用調度專用網絡體制使數據網絡在網絡層的的安全得到最大程度的保證。但也不能保證100%的安全,對調度數據專用網絡還必
須做到技術措施和管理制度雙管齊下,才有可能從根本上保障信息和控制系統的安全。
(1) 在管理制度方面,要做到:對全網實施監管,所有與電力調度數據網連接的節點都必須在有效的管理范圍內,保障安全的系統
性和全局性;加強人員管理,建立一支高素質的網絡管理隊伍,防止來自內部的攻擊、越權、誤用及泄密;加強運行管理,建立健全運
行管理及安全規章制度,建立安全聯防制度,將網絡及系統安全作為經常性的工作;聘請網絡安全顧問,跟蹤網絡安全技術。
(2) 在技術措施方面,要做到:在網絡傳輸層,為了保證數據網絡的安全,又能向外傳輸必要的數據,必須堅持調度控制系統與調
度生產系統之間、調度生產管理系統與企業辦公自動化系統(OA/MIS) 之間有效安全隔離,它們之間的信息傳輸只能采用單向傳輸的方式。常采用的措施包括防火墻、專用網關(單向門)、網段選擇器等進行有效隔離;在系統和應用層面,包括計算機防病毒技術、采用安全的操作系統(達B2 級)、應用系統的關鍵軟硬件及關鍵數據的熱備份和冷備份等。防病毒技術和備份措施是通常采用的傳統安全技術,而安全的操作系統是一個新的發展趨勢。
關鍵詞:網絡安全;防護機制;煙草公司;互聯網
隨著Internet技術的不斷發展和網絡應用技術的普及,網絡安全威脅頻繁地出現在互聯網中。近年來,網絡攻擊的目的逐漸轉變為獲取不正當的經濟利益。在此種情況下,加強網絡安全建設已成為各個企業的迫切需要。煙草公司的網絡安全防護機制和安全技術是確保其網絡信息安全的關鍵所在。只有加強防護體系建設和創新安全技術,才能在保證網絡安全的前提下,促進煙草公司的發展。
1縣級煙草公司網絡現面臨的威脅
目前,煙草公司計算機網絡面臨的威脅從主體上可分為對網絡信息的威脅、對網絡設備的威脅。
1.1人為無意的失誤
如果網絡的安全配置不合理,則可能會出現安全漏洞,加之用戶選擇口令時不謹慎,甚至將自己的賬號隨意轉借給他人或與他人共享,進而為網絡埋下了安全隱患。
1.2人為惡意的攻擊
人為惡意的攻擊可分為主動攻擊和被動攻擊,這兩種攻擊都會對煙草公司的計算機網絡造成較大的破壞,導致機密數據存在泄露的風險。比如,相關操作者未及時控制來自Internet的電子郵件中攜帶的病毒、Web瀏覽器可能存在的惡意Java控件等,進而對計算機網絡造成巨大的影響。
1.3網絡軟件的漏洞
對于網絡軟件而言,會存在一定的缺陷和漏洞,而這些缺陷和漏洞為黑客提供了可乘之機。
1.4自然災害和惡性事件
該種網絡威脅主要是指無法預測的自然災害和人為惡性事件。自然災害包括地震、洪水等,人為惡性事件包括惡意破壞、人為縱火等。雖然這些事件發生的概率較低,但一旦發生,則會造成異常嚴重的后果,必須嚴以防范。
2構建煙草公司信息網絡安全防護體系
要想形成一個完整的安全體系,并制訂有效的解決方案,就必須在基于用戶網絡體系結構、網絡分析的基礎上開展研究。對于安全體系的構建,除了要建立安全理論和研發安全技術外,還要將安全策略、安全管理等各項內容囊括其中。總體來看,構建安全體系是一項跨學科、綜合性的信息系統工程,應從設施、技術、管理、經營、操作等方面整體把握。安全系統的整體框架如圖1所示。安全系統的整體框架可分為安全管理框架和安全技術框架。這兩個部分既相互獨立,又相互融合。安全管理框架包括安全策略、安全組織管理和安全運作管理三個層面;安全技術框架包括鑒別與認證、訪問控制、內容安全、冗余與恢復、審計響應五個層面。由此可見,根據煙草公司網絡信息安全系統提出的對安全服務的需求,可將整個網絡安全防護機制分為安全技術防護、安全管理和安全服務。
2.1安全技術防護機制
在此環節中,旨在將安全策略中的各個要素轉化成為可行的技術。對于內容層面而言,必須明確安全策略的保護方向、保護內容,如何實施保護、處理發生的問題等。在此情況下,一旦整體的安全策略形成,經實踐檢驗后,便可大幅推廣,這有利于煙草公司整體安全水平的提高。此外,安全技術防護體系也可劃分為1個基礎平臺和4個子系統。在這個技術防護體系中,結合網絡管理等功能,可對安全事件等實現全程監控,并與各項技術相結合,從而實現對網絡設備、信息安全的綜合管理,確保系統的持續可用性。
2.2安全管理機制
依據ISO/IEC17700信息安全管理標準思路及其相關內容,信息安全管理機制的內容包括制訂安全管理策略、制訂風險評估機制、建設日常安全管理制度等。基于該項內容涉及的管理、技術等各個方面,需各方面資源的大力支持,通過技術工人與管理者的無隙合作,建立煙草公司內部的信息安全防范責任體系。2.3安全服務機制安全服務需結合人、管理、產品與技術等各方面,其首要內容是定期評估整個網絡的風險,了解網絡當前的安全狀況,并根據評估結果調整網絡安全策略,從而確保系統的正常運行。此外,還可通過專業培訓,進一步促進煙草公司員工安全意識的增強。
3煙草公司的網絡信息安全技術
3.1訪問控制技術
在煙草公司的網絡信息安全技術中,訪問控制技術是最重要的一項,其由主體、客體、訪問控制策略三個要素組成。煙草公司訪問用戶的種類多、數量大、常變化,進而增加了授權管理工作的負擔。因此,為了避免發生上述情況,直接將訪問權限授予了主體,從而便于管理。此外,還應革新并采用基于角色的訪問控制模型RBAC。
3.2數字簽名技術
在煙草公司,數字簽名技術的應用很普遍。數字簽名屬于一種實現認證、非否認的方法。在網絡虛擬環境中,數字簽名技術仍然是確認身份的關鍵技術之一,可完全代替親筆簽名,其無論是在法律上,還是技術上均有嚴格的保證。在煙草公司的網絡安全中應用數字簽名技術,可更快地獲得發送者公鑰。但在這一過程中需要注意,應對發送者私鑰嚴格保密。
3.3身份認證技術
身份認證是指在計算機與網絡系統這一虛擬數字環境中確認操作者身份的過程。在網絡系統中,用戶的所有信息是用一組特定的數據來表示的;而在現實生活中,每個人都有著獨一無二的物理身份。如何確保這兩種身份的對應性,已成為相關工作者遇到的難題。而采用身份認證技術可很好地解決該難題。該技術主要包括基于隨機口令的雙因素認證和基于RKI體制的數字證書認證技術等。基于口令的身份認證技術具有使用靈活、投入小等特點,在一些封閉的小型系統或安全性要求較低的系統中非常適用;基于PKI體制的數字證書認證技術可有效保證信息系統的真實性、完整性、機密性等。
4結束語
綜上所述,安全是煙草公司網絡賴以生存的重要前提,網絡安全的最終目標是確保在網絡中交換的數據信息不會被刪除、篡改、泄露甚至破壞,從而提高系統應用的可控性和保密性。因此,煙草公司必須具備一套行之有效的網絡安全防護機制,增強自身網絡的整體防御能力,研發網絡安全立體防護技術。只有建立完善的信息安全防范體系,才能使煙草公司內部的重要信息資源得到有效保護。
參考文獻
[1]張玨,田建學.網絡安全新技術[J].電子設計工程,2011,19(12).
隨著信息化進程的發展,信息技術與網絡技術的高度融合,現代企業對信息系統的依賴性與信息系統本身的動態性、脆弱性、復雜性、高投入性之間的矛盾日趨突顯,如何有效防護信息安全成為了企業亟待解決的問題之一。目前國內企業在信息安全方面仍側重于技術防護和基于傳統模式下的靜態被動管理,尚未形成與動態持續的信息安全問題相適應的信息安全防護模式,企業信息安全管理效益低下;另一方面,資源約束性使企業更加關注信息安全防護的投入產出效應,最大程度上預防信息安全風險的同時節省企業安全建設、維護成本,需要從管理角度上更深入地整合和分配資源。
本文針對現階段企業信息安全出現的問題,結合項目管理領域的一般過程模型,從時間、任務、邏輯方面界定了系統的霍爾三維結構,構建了標準化的ISM結構模型及動態運行框架,為信息網絡、信息系統、信息設備以及網絡用戶提供一個全方位、全過程、全面綜合的前瞻性立體防護,并從企業、政府兩個層面提出了提高整體信息安全防護水平的相關建議。
1 企業信息安全立體防護體系概述
1.1 企業信息安全立體防護體系概念
信息安全立體防護體系是指為保障企業信息的有效性、保密性、完整性、可用性和可控性,提供覆蓋到所有易被威脅攻擊的角落的全方位防護體系。該體系涵蓋了企業信息安全防護的一般步驟、具體階段及其任務范圍。
1.2 企業信息安全立體防護體系環境分析
系統運行離不開環境。信息產業其爆炸式發展的特性使企業信息安全的防護環境也相對復雜多變,同時,多樣性的防護需求要求有相適應的環境與之配套。
企業信息安全立體防護體系的運行環境主要包括三個方面,即社會文化環境、政府政策環境、行業技術環境。社會文化環境主要指在企業信息安全方面的社會整體教育程度和文化水平、行為習慣、道德準則等。政府政策環境是指國家和政府針對于企業信息安全防護出臺的一系列政策和措施。行業技術環境是指信息行業為支持信息安全防護所開發的一系列技術與相匹配的管理體制。
1.3 企業信息安全立體防護體系霍爾三維結構
為平衡信息安全防護過程中的時間性、復雜性和主觀性,本文從時間、任務、邏輯層面建立了企業信息安全立體防護體系的三維空間結構,如圖1所示。
時間維是指信息安全系統從開始設計到最終實施按時間排序的全過程,由分析建立、實施運行、監視評審、保持改進四個基本時間階段組成,并按PDCA過程循環[5]。邏輯維是指時間維的每一個階段內所應該遵循的思維程序,包括信息安全風險識別、危險性辨識、危險性評估、防范措施制定、防范措施實施五個步驟。任務維是指在企業信息安全防護的具體內容,如網絡安全、系統安全、數據安全、應用安全等。該霍爾三維結構中任一階段和步驟又可進一步展開,形成分層次的樹狀體系。
2 企業信息安全立體防護體系解釋結構模型
2.1 ISM模型簡介
ISM(Interpretation Structural Model)技術,是美國J·N·沃菲爾德教授于1973年為研究復雜社會經濟系統問題而開發的結構模型化技術。該方法通過提取問題的構成要素,并利用矩陣等工具進行邏輯運算,明確其間的相互關系和層次結構,使復雜系統轉化成多級遞階形式。
2.2 企業信息安全立體防護體系要素分析
本文根據企業信息安全的基本內容,將立體防護體系劃分為如下15個構成要素:
(1) 網絡安全:網絡平臺實現和訪問模式的安全;
(2) 系統安全:操作系統自身的安全;
(3) 數據安全:數據在存儲和應用過程中不被非授權用戶有意破壞或無意破壞;
(4) 應用安全:應用接入、應用系統、應用程序的控制安全;
(5) 物理安全:物理設備不受物理損壞或損壞時能及時修復或替換;
(6) 用戶安全:用戶被正確授權,不存在越權訪問或多業務系統的授權矛盾;
(7) 終端安全:防病毒、補丁升級、桌面終端管理系統、終端邊界等的安全;
(8) 信息安全風險管理:涉及安全風險的評估、安全代價的評估等;
(9) 信息安全策略管理:包括安全措施的制定、實施、評估、改進;
(10) 信息安全日常管理:巡視、巡檢、監控、日志管理等;
(11) 標準規范體系:安全技術、安全產品、安全措施、安全操作等規范化條例;
(12) 管理制度體系:包括配套規章制度,如培訓制度、上崗制度;
(13) 評價考核體系:指評價指標、安全測評;
(14) 組織保障:包括安全管理員、安全組織機構的配備;
(15) 資金保障:指建設、運維費用的投入。
2.3 ISM模型計算
根據專家對企業信息安全立體防護體系中15個構成要素邏輯關系的分析,可得要素關系如表1所示。
對可達矩陣進行區域劃分和級位劃分,確定各要素所處層次地位。在可達矩陣中找出各個因素的可達集R(Si),前因集A(Si)以及可達集R(Si)與前因集A(Si)的交集R(Si)∩A(Si),得到第一級的可達集與前因集(見表2)。
2.4 企業信息安全立體防護結構
結合信息安全防護的特點,企業信息安全立體防護體系15個要素相互聯系、相互作用,有機地構成遞階有向層級結構模型。圖2中自下而上的箭頭表示低一層因素影響高一層因素,雙向箭頭表示同級影響。
從圖2可以看出,企業信息安全防護體系內容為四級遞階結構。從下往上,第一層因素從制度層面闡述了企業信息安全防護,該層的五個因素處于ISM結構的最基層且相互獨立,構成了企業信息安全立體防護的基礎。第二層因素在基于保障的前提下,確定了企業為確保信息安全進行管理活動,是進行立體防護的方法和手段;第三層因素是從物理條件、傳輸過程方面揭示了企業進行信息安全防護可控點,其中物理安全是控制基礎。第四層要素是企業信息安全的直接需求,作為信息的直接表現形式,數據是企業信息安全立體防護的核心。企業信息安全防護體系的四級遞階結構充分體現了企業信息安全防護體系的整體性、層級性、交互性。
圖2 企業信息安全防護解釋結構模型
2.5 企業信息安全立體防護過程
企業信息安全立體防護是一個多層次的動態過程,它隨著環境和信息傳遞需求變化而變化。本文在立體防護結構模型的基礎上對企業信息安全防護結構進行擴展,構建了整體運行框架(見圖3)。
從圖3 中可以看出,企業信息安全防護過程按分析建立到體系保持改進的四個基本時間階段中有序進行,充分體現出時間維度上的動態性。具體步驟如下:
(1) 綜合分析現行的行業標準規范體系,企業內部管理流程、人員組織結構和企業資金實力,建立企業信息安全防護目標,并根據需要將安全防護內容進行等級劃分。
(2) 對防護內容進行日常監測(包括統計分析其他公司近期發生的安全事故),形成預警,進而對公司信息系統進行入侵監測,判斷其是否潛在威脅。
(3) 若存在威脅,則進一步確定威脅來源,并對危險性進行評估,判斷其是否能通過現有措施解決。
(4) 平衡控制成本和實效性,采取防范措施,并分析其效用,最終形成內部信息防護手冊。
3 分析及對策
3.1 企業層面
(1) 加強系統整體性。企業信息安全防護體系的15個構成要素隸屬于一個共同區域,在同一系統大環境下運作。資源受限情況下要最大程度地保障企業信息安全,就必須遵循一切從整體目標出發的原則,加強信息安全防護的整體布局,在對原有產品升級和重新部署時,應統一規劃,統籌安排,追求整體效能和投入產出效應。
(2) 明確系統層級性。企業信息安全防護工作效率的高低很大程度上取決于在各個防護層級上的管理。企業信息安全防護涉及技術層面防護、策略層面防護、制度層面防護,三個層面互相依存、互相作用,其中制度和保障是基礎,策略是支撐,技術是手段。要有效維護企業信息安全,企業就必須正確處理好體系間的縱向關系,在尋求技術支撐的同時,更要立足于管理,加強工作間的協調,避免重復投入、重復建設。
(3) 降低系統交互性。在企業信息安全防護體系同級之間,相關要素呈現出了強連接關系,這種交互式的影響,使得系統運行更加復雜。因此需要加快企業內部規章制度和技術規范的建設,界定好每個工作環節的邊界,準確定位風險源,并確保信息安全策略得到恰當的理解和有效執行,防止在循環狀態下風險的交叉影響使防范難度加大。
(4) 關注系統動態性。信息安全防護是一個動態循環的過程,它隨著信息技術發展而不斷發展。因此,企業在進行信息安全防護時,應在時間維度上對信息安全有一個質的認識,準確定位企業信息安全防護所處的工作階段,限定處理信息安全風險的時間界限,重視不同時間段上的延續性,并運用恰當的工具方法來對風險加以識別,辨別風險可能所帶來的危險及其危害程度,做出防范措施,實現企業信息安全的全過程動態管理。
3.2 政府層面
企業信息安全防護不是一個孤立的系統,它受制于環境的變化。良好的社會文化環境有助于整體安全防護能力主動性的提高,有力的政策是推動企業信息安全防護發展的前提和條件,高效的行業技術反應機制是信息安全防護的推動力。因此在注重企業層面的管理之外,還必須借助于政府建立一個積極的環境。
(1) 加強信息安全防護方面的文化建設。一方面,政府應大力宣傳信息安全的重要性及相關政策,提高全民信息安全素質,從道德層面上防止信息安全事故的發生;另一方面,政府應督促企業加強信息安全思想教育、職能教育、技能教育、法制教育,從思想上、理論上提高和強化社會信息安全防護意識和自律意識。
(2) 高度重視信息安全及其衍生問題。政府應加快整合和完善現有信息安全方面的法律、法規、行業標準,建立多元監管模式和長效監管機制,保證各項法律、法規和標準得到公平、公正、有效的實施,為企業信息安全創造有力的支持。
(3) 加大信息安全產業投入。政府應高度重視技術人才的培養,加快信息安全產品核心技術的自主研發和生產,支持信息安全服務行業的發展。
4 結 語
本文從企業信息安全防護的實際需求出發,構建企業信息安全防護基本模型,為企業信息安全防護工作的落實提供有效指導,節省企業在信息安全防護體系建設上的投入。同時針對現階段企業信息安全防護存在的問題從企業層面和政府層面提出相關建議。
參考文獻
[1] 中國信息安全產品測評認證中心.信息安全理論與技術[M].北京:人民郵電出版社,2003.
[2] 汪應洛.系統工程[M].3版.北京:高等教育出版社,2003.
[3] 齊峰.COBIT在企業信息安全管理中的應用實踐[J].計算機應用與軟件,2009,26(10):282?285.
[4] 肖餛.淺議網絡環境下的企業信息安全管理[J].標準科學,2010(8):20?23.
[摘要] 本文詳細分析了企業內部網現有的安全防護體系存在的問題,提出了一種新的網絡安全防護體系,并闡述了該體系的構架及工作原理。
[關鍵詞] Intranet 網絡安全防護體系 統一安全管理平臺
一、前言
內部網(Intranet)指采用Internet技術建立的企業內部專用網絡。它以TCP/IP協議作為基礎,以Web為核心應用,構成統一和便利的信息交換平臺。內部網在企業信息、銷售服務、提高工作群體的生產力、內部交流與支持、員工的培訓和數據庫開發等方面,發揮著不可缺少的作用。它能夠幫助企業協調內部通訊和提高企業生產力。
但是,隨著Intranet在企業的廣泛應用,內部網的安全問題也得到越來越多的關注,特別是網絡病毒的泛濫、網絡黑客的攻擊、企業信息的泄密等,無不牽動著企業領導敏感的神經。如果沒有一個高效的網絡管理系統對網絡進行管理,保障內部網絡安全有效的運行。將直接影響到企業的正常運作,最終影響到企業的經濟效益和社會效益。
二、現有內部網安全防護體系存在的問題
當前企業內部網普遍采用在網絡出口部署IDS(Intrusion Detection System,入侵檢測系統)和硬件防火墻,在內部網服務器上安裝殺毒、防火墻軟件輔以一定的訪問控制策略并及時更新補丁等多項安全措施相結合的綜合安全防護體系。當發生網絡安全問題時,由于大部分交換機以及路由器不具備或只具備較弱的安全防護功能,只能依靠防火墻來抵御攻擊和入侵,并由IDS 來予以跟蹤。但是這種安全體系存在以下幾個明顯的弱點:
1.隨著網絡流量的持續增長,特別是大型內部網內數據流量的爆炸性增長,單純的依靠在內部網的某一點安裝某一網絡安全設備來進行全網的防護已顯得力不從心,容易發生單點故障,并且造成內部網整體通信的瓶頸。
2.來自于內部的誤操作和濫用對內部網的影響是最為致命的,通常的比例高達70%。當攻擊者與被攻擊者均處于Intranet內部時, 如果攻擊流不經過IDS 的監控點,就不能被IDS 捕獲,此時IDS 無法跟蹤,部署在網絡出口的硬件防火墻則失去了作用,只能靠服務器以及用戶電腦上安裝的防火墻來抵御攻擊。如果此時用戶的攻擊為虛擬IP 攻擊,則網絡管理人員只能依靠將局域網逐片斷開的原始方式逐步地進行故障定位,影響的范圍大,排查的時間長,過程繁瑣。
3.IDS+防火墻的組合模式在進行病毒和攻擊方式識別時需要產品廠家的支持,具有一定的滯后性,對新出現的病毒和攻擊行為基本無能為力,且誤報的情況也是時有發生。
4.啟用基于802.1x 協議的用戶接入認證,能夠保障Intranet用戶接入的合法性,較好地解決IP 地址盜用、用戶私自架設服務器等一系列困擾內部網管理者的問題,但是基于802.1x 協議的系統對于用戶的計算機系統是否安全、用戶是否存在網絡攻擊行為則無法進行判別。
基于以上幾點,最安全的辦法就是采取讓所有接入Intranet的計算機安裝殺毒和防火墻軟件并及時更新補丁。但由于用戶的網絡應用水平參差不齊,作為網絡管理部門,只能督促用戶及時更新操作系統補丁和安裝防火墻及殺毒軟件,而且操作系統或者應用程序的補丁更新方式,若直接從互聯網上更新則比較慢,若在企業內部架設WSUS服務器,則需要用戶修改配置,過程相對復雜很多,用戶會覺得麻煩。無法從技術層面上強制執行,要保證用戶系統的安全和統一非常困難。
以上幾點充分說明了當前Intranet普遍采用的安全體系存在諸多漏洞,已不能很好地滿足日益增長的網絡安全需求。
三、統一安全管理平臺的體系架構及工作原理
1.統一安全管理平臺的架構
構建一個統一的安全管理平臺,用以實現對Intranet內所有網絡設備的統一管理和調配,確保接入Intranet的所有網絡終端設備的安全可信,是在現有網絡安全防護體系的基礎上發展建立的新的網絡安全防護體系設計思想。
統一安全管理平臺系統具體構架(如圖1所示),由三個層面、五個部分組成:
(1)后臺服務層面
身份認證系統——身份認證系統能夠提供嚴格的用戶接入控制,通過準確的身份認證和物理定位來確保接入用戶的可靠性。用戶認證系統針對用戶的入網行為,提供入網控制功能,同時,認證系統還可以實現用戶帳號、用戶IP、用戶MAC、設備IP、設備端口的靜態綁定、動態綁定以及自動綁定,保證用戶入網身份的唯一性。
安全管理平臺——安全管理平臺是安全防護體系的管理與控制中心,是統一安全管理平臺的核心組成部分。通過安全管理平臺,可以對系統內的安全設備與系統安全策略進行管理,實現全系統安全策略的統一配置、分發和管理,并能有效地配置和管理全網安全設備,從而實現全網安全設備的集中管理,起到安全網管的作用。通過統一的技術方法,將系統所有的安全日志、安全事件集中收集管理,實現集中的日志分析、審計與報告。同時通過集中的分析審計,發現潛在的攻擊征兆和安全發展趨勢,確保安全事件、事故得到及時的響應和處理。
安全修復系統——安全修復系統的作用是跟蹤安全漏洞的變化,能夠有效地進行系統補丁、病毒特征碼或者用戶指定應用程序補丁的管理。針對不同的安全策略,點到面地自動強制分發部署補丁程序。
(2)網絡層面
安全聯動設備——安全聯動設備是Intranet中安全策略的實施點,起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。由安全管理平臺提供標準的協議接口,同交換機、路由器、防火墻、IDS等各類網絡設備實現安全聯動。
(3)用戶層面
安全客戶端——安全客戶端是安裝在個人電腦和服務器上的端點保護軟件。安全客戶端負責收集不同用戶的安全軟件的狀態信息,包括對防病毒軟件信息的收集。同時,安全客戶端可以評估操作系統的版本、補丁程度等信息,并且把這些信息傳遞到安全管理平臺,沒有進行適當升級的主機將被隔離到網絡修復區域,從而保障網絡的安全運行。與傳統的解決方案不同,安全客戶端通過對用戶終端設備信息的搜集,可預先識別和防止用戶對網絡的惡意行為,排除潛在的已知和未知的安全風險。
2.統一安全管理平臺的工作原理
統一安全管理平臺的工作原理如圖2所示。
統一安全管理平臺系統實現終端用戶安全準入的工作流程如下:
(1)用戶終端試圖接入網絡時,首先通過安全客戶端上傳用戶信息至用戶認證服務器進行用戶身份認證,非法用戶將被拒絕接入網絡。
(2)合法用戶將被要求進行安全狀態認證,由安全管理平臺驗證補丁版本、病毒庫版本等信息是否合格,不合格用戶將被安全聯動設備隔離到隔離區。
(3)進入隔離區的用戶可以根據企業網絡安全策略,通過安全修復系統安裝系統補丁、升級病毒庫、檢查終端系統信息,直到接入終端符合企業網絡安全策略。
(4)安全狀態合格的用戶將實施由安全管理平臺下發的安全設置,并由安全聯動設備提供基于身份的網絡服務。
四、結束語
保障Intranet安全、有效運行,是一項復雜的系統工程。它既是一個技術問題,但更是一個管理問題,所謂“三分技術,七分管理”。所以,除了采用上述技術措施之外,加強網絡安全的管理:制定有關規章制度;確定安全管理等級和安全管理范圍;制訂有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施;對工作人員結合機房、硬件、軟件、數據和網絡等各個方面的安全問題,進行安全教育,提高工作人員的保密觀念和責任心;加強業務、技術的培訓,提高操作技能等,也將起到十分有效的作用。
參考文獻:
關鍵詞:智能電網;信息安全;三層四區
中圖分類號:TM76 文獻標識碼:A文章編號:1007-9599 (2011) 09-0000-01
Smart Grid Information Security and Network Structure Optimization Research
Liu Shuang1,2
(1.Hubei University of Technology,Wuhan430068,China;2.Chongqing Power Company Jiangjin Power Supply Bureau,Chongqing402260,China)
Abstract:Building safe and reliable electric power data communication network environment,information security has become a regional power system to achieve real-time smart grid data sharing,remote scheduling integrated automation system to run the important technical support.Data in the grid structure of information and communication network exists to summarize security threats such as chaos analysis,combined with three-four districts the power data security architecture,information security and isolation from the power-specific device settings,and construction aspects of anti-virus system,were introduced smart grid data network security architecture model.
Keywords:Smart grid;Information security;Three layer four districts
一、電網數據網絡現存結構混亂問題
在實際電網運行過程中發現,電網數據網絡系統在互聯時廣泛采取只要任何兩套系間有數據信息交換時,就將他們聯接在一起,由于沒有經過系統的規劃設計,一方面使得整個電網數據網絡結構變得混亂復雜,另一方面各成系統的數據網絡結構,使得整個系統網絡結構間沒有形成一個系統完善的網狀互聯結構,系統間相互聯絡點較多,安全邊界問題較為模糊等問題,從而給電網系統數據網絡的安全裝置部署增加了很大困難,即便對某個子系統進行安全裝置配置,也很難顧忌到與系統互聯的其它所有邊界的安全問題,不僅增加了電網系統信息安全網絡構筑的綜合投資,同時混亂的網絡結構,使得在系統中無論采取何種安全部署方案,均不能滿足智能電網數據信息網絡安全可靠性要求。目前,電網數據網絡現存結構典型混亂連接問題如圖1所示:
圖1.電網混亂的數據信息網絡結構
從圖1中可以看出,如監控系統1需要向監控系統2發送數據信息文件,按照電網現有的網絡結構,需要在系統中部署三臺防火墻,但監控系統所需發送文件數據信息必須經過MIS外網系統才能穿上到監控系統中。由于MIS外網系統是一個公共數據交換平臺,數據信息文件在經過MIS系統時,感染病毒的可能性十分大,這樣三臺監控系統防火墻的設置實際上沒有發揮出其應有的功能特性,從而給電網數據信息傳輸帶來巨大的安全威脅。
二、智能電網數據信息安全防護方案
(一)三層四區安全防護體系。按照三層四區的網絡結構體系構筑的智能電網數據信息安全防護體系,即系統安全區Ⅰ與安全區Ⅱ間和安全區III與安全區IV間的電力數據信息隔離手段,采用經有關信息安全部門認定核準的硬件防火墻,用來禁止非法用戶通過E-mail、Web、Telnet等訪問方式訪問網絡系統中的數據信息;安全區Ⅰ(Ⅱ)不得與安全區III進行數據信息的,必須采用專用隔離裝置(包括正向隔離裝置和反向隔離裝置兩類),從安全區Ⅰ(Ⅱ)向安全區Ⅲ單向傳輸數據信息時,須要經過正向隔離裝置進行數據信息安全檢查,同理從安全區Ⅲ向安全區I(Ⅱ)傳輸單向數據信息時,需要采用反向隔離裝置進行數據信息安全檢查。在進行智能電網數據信息安全網絡進行整體防護設計時,要充分考慮系統的實際應用業務需求,結合各隔離裝置的功能特點,從各個層面對整個智能電網數據信息網絡系統實施全方位的保護。以基于三層四區防護原則的智能電網數據信息安全網絡優化結構為例,安全區Ⅰ區為實時控制區、安全區II區為非控制生產區、安全區Ⅲ區為實際業務應用管理區、安全區IV區為電網管理層數據信息區。各區內有自己獨立的區內的數據信息交換機,按照“三層四區”的信息網絡安全防護思想,將智能電網數據信息安全防護系統進行橫向的三層四區安全域劃分,構筑完善系統的信息安全優化網絡。整個數據信息安全防護系統采用電力數據信息專用防火墻和通用防火墻相互組合實現內網和外網間的網絡隔離,并在橫向上實現不同安全區域的安全應用業務系統間數據信息的實時安全傳輸共享。(二)網絡防病毒系統。智能電網數據信息安全網絡由于采取三層四區的安全防護結構體系,因此需要根據不同安全區域按照技術經濟等特性設置三臺防病毒服務器。整個電網數據信息安全網絡防病毒系統采用趨勢防病毒系統軟件。這樣可以通過網絡利用病毒代碼的統一分配和實時更新,從而減少網絡系統工作人員的檢修維護工作量。在信息安全網絡中的所有服務器、工作站、以及客戶管理機上均安裝實時更新的防病毒軟件。通過在網絡中進行病毒安防系統的整體部署,從而切斷網絡系統內部病毒傳播途徑,降低病毒傳播和發作引起整個網絡系統內部的資料皮壞、數據信息丟失等損失。在各安全區對應的應用業務系統的服務器中均安裝相應的病毒客戶端程序,通過網絡與各安全區所安裝的防病毒子系統進行實時數據通信更新。
三、結束語
在對智能電網數據信息安全網絡中存在的安全網絡結構體系混亂現狀進行深入分析和研究的基礎上,提出了按照三層四區的網絡防護原則構筑智能電網數據信息網絡安全防護結構模型。從智能電網實際應用系統需求,分別介紹了信息安全網絡系統中不同安全區域電力數據信息隔離手段和網絡防病毒系統,從而構筑具有綜合性、系統性、安全可靠性、實用性的智能電網數據信息安全網絡防護系統。
參考文獻:
[1]李新葉,苑津莎,戚銀城等.基于Web Services的異構電力MIS信息集成方案[J].中國電力,2005,38(8):71-73
[2]姚顧波.黑客終結:網絡安全完全解決方案[M].北京:電子工業出版社,2003
一、操作系統的安全防護
作為用戶使用計算機和網絡資源的中間界面,操作系統發揮著重要作用,因此,操作系統本身的安全,就成了安全防護當中的一個重要課題。操作系統的安全,通常包含兩層意思,一個方面是操作系統在設計時通過權限訪問控制、信息加密性保護、完整性鑒定等一些機制實現的安全;另一個方面,則是操作系統在使用中,通過一系列的配置,保證操作系統盡量避免由于實現時的缺陷或是應用環境因素產生的不安全因素。只有通過這兩方面的同時努力,才能夠最大可能地建立安全的操作環境。
由于各種入侵和攻擊技術的不斷發展,導致對操作系統的攻擊頻頻發生,例如各類病毒、木馬的肆意傳播、利用系統緩沖區溢出的缺陷攻擊系統、利用TCP/IP缺陷來進行拒絕服務的攻擊等等,都會給系統造成極大的危害。針對這些安全的缺陷,我們可以采取如進行系統服務的安全配置,安裝病毒防護軟件,更新系統的補丁程序,定期備份操作系統等措施來進行預發防范,以彌補系統缺陷的所帶來的安全隱患。另外,在日常運行中,我們還需采取規范系統使用流程、定期更新用戶密碼、刪除用戶日志文件、關閉多余的服務端口等措施,來消除由于用戶使用而引起的不安全因素,減少系統受到有效攻擊的概率。
二、網絡的安全防護
網絡安全,最重要的在于對網絡進行防護,避免造成大的損失,“防范于未然”始終是網絡安全防護的一個重要指導原則,網絡安全被破壞后,雖然能夠亡羊補牢,但是畢竟已經造成了損失。網絡安全防范和保護的主要策略是訪問控制,它的主要任務是保證網絡資源不被非法使用和訪問,它是保證網絡安全最重要的核心策略之一。一般包括入網訪問控制、網絡權限控制、目錄級控制及屬性控制等多種等級。在企業信息網中,我們主要通過設置路由器的基本及擴展訪問控制列表來提供網絡訪問的權限、控制協議和端口的使用、過濾網絡的通信流量等安全手段,另外,防火墻、NET、服務器等安全技術的靈活運用順利實現了企業信息網與銀行、客服等外部網絡的連接,給企業信息網的安全提供了有效的保障。
三、系統信息的安全防護
數據在網絡或計算機中有兩個狀態:存儲狀態和傳輸狀態。在現代網絡系統中,無論在存儲還是傳輸狀態,數據都會受到威脅,安全威脅主要體現在數據的機密性、完整性和有效性。在企業信息網中,數據信息顯得尤為重要,為了防止數據的安全威脅,我們采用了多種安全技術:數據鏡像和數據校驗技術、數據備份和歸檔技術、數據認證技術。
數據的存儲安全主要體現在兩個方面:完整性和有效性。企業信息網為了達到這兩個安全性,在數據的存儲過程中采用了多個安全技術的結合。首先,為了保證數據的有效性,系統采用了雙機熱備、數據鏡像、數據校驗等技術,來提高硬件設備的可用性,減少故障時間;其次,通過制定完整的數據備份及恢復計劃,定期備份數據,使企業信息網數據的冗余度大大提高。另外,數據的歸檔管理使得當災難發生和系統崩潰時,能夠有效而快速地恢復系統,有效地保證了企業數據的完整性。
四、網絡安全的未來
整個社會越來越快的電子化,導致網絡安全行業正在飛速發展中,各種新技術,新思路層出不窮,如Ipsec、VPN逐漸得到廣泛的認可;在未來的TCP/IP協議體系中,IP協議將成為保障系統安全的核心一層;另外,安全產業也正在從原有的防火墻、緊急響應系統、風險評估系統等各個產品獨立為政的情況中走出,各種產品之間相互融合,取長補短,成為了一個完整的網絡安全體系,作為一個新興的研究領域,網絡安全正在孕育著無限的機遇和挑戰,相信在未來的幾年中,網絡安全技術一定會取得長足的發展。
關鍵詞:網絡安全;設計原則;策略
隨著云計算在網絡中的出現,網絡安全系統建設問題是各種Internet服務提供商非常重視的問題,由于網絡安全系統的設計工程具有整體性和動態性的顯著特征,本文進行網絡安全系統設計所采用的網絡層安全防護技術主要包括:網絡層防火墻技術、入侵檢測IDS技術、漏洞檢測技術、網絡防病毒技術、實時監控與恢復、安全事件緊急響應體系等。這些安全防護技術可以有效地保障網絡網絡基礎和結構。除了網絡層的安全防護技術外,在應用層也采用了安全防護技術,主要通過設計應用層安全防護架構實現,此防護安全架構分成若干個不同的層次,它的特點主要體現在多層次、多方面、立體型的層次結構。總體來說,這個應用層安全防護架構由安全策略指導、安全標準規范、安全防范技術、安全管理保障等幾個部分組成。這種應用層的防護體系主要保障網絡用戶各項業務方面的安全。因此,網絡應該建立實施完善的網絡層安全防護措施的同時再設計實施基于Web應用的應用層安全防護,從根本上全面和有效的保障用戶系統和用戶業務的安全性。
一、安全體系設計原則
專業性和規范性設計原則,在網絡網絡系統中,網絡攻擊技術和網絡防御技術是網絡信息安全的一對矛盾體,兩種技術從不同的角度不斷地對網絡網絡系統的安全提出了很大挑戰,專業技術人員只有掌握了這兩種技術才能對網絡系統的安全有全面的認識,才能提供有效的安全技術、產品和服務,這就需要相關專業技術人才具有很強的專業性,并能長期的進行網絡網絡安全技術研究并積累經驗,從而系統、全面和深入地為用戶提供服務。
本次網絡的安全體系所涉及的所有網絡安全的概念、系統定義和體系思想等都是參考目前國內和國際有關網絡安全的專業規范制定的,均符合相關的網絡安全標準和行業標準,這樣可以充分確保網絡安全體系設計的技術深度和專業性。
綜合性和整體性安全性設計原則,實踐證明,一個較好的安全措施往往是多種有效的方法進行恰當綜合應用的結果,因為在網絡網絡中包括個人、設備、軟件、數據和策略等這些環節都具有一定的地位和影響作用,只有從網絡網絡系統綜合整體的角度去看待、分析和設計,才能取得最有效和可行性強的安全措施。因此,網絡網絡安全設計必須遵循綜合性和整體性安全設計原則,并根據規定的安全策略制定出合理的網絡網絡安全體系結構。
需求風險和代價互相平衡的設計原則,在當今的互聯網環境下,對任何一個網絡網絡系統來說,要在各個方面保證其絕對安全基本上是難以實現的,當然絕對的網絡安全也不一定是必需的。在對網絡的安全設計中,采用了需求、風險和代價互相平衡的設計原則,即在設計時要求對網絡的任務、性能、結構、可靠性和可維護性等方面進行實際研究,并對網絡可能面臨的威脅及可能承擔的風險進行定性與定量相結合的分析方法,然后再制定安全設計的規范和措施,具體包括以下方面的安全設計原則。
一致性安全設計原則,網絡安全系統設計的一致性原則主要是指網絡網絡安全問題應與整個網絡網絡的生命周期同時存在,制定的網絡安全體系結構必須與網絡系統的安全需求相一致。網絡系統的安全設計及實施計劃、網絡測試、驗收、運行等方面都有相應的一致性的安全內容及措施。
易操作性安全設計原則,網絡系統的安全設計采用了易操作性原則,因為措施需要人為去完成,如果安全設計措施過于復雜,對技術人員的要求過高,那么本身就降低了安全性。而且安全設計措施的采用不能影響系統的正常運行。
可擴展性安全設計原則,網絡系統的安全設計采用了可擴展性原則,因為在進行安全系統設計時,必須要考慮到網絡系統的性質、規模和結構等多方面發生變化的可能性,為網絡系統擴充留下相當的冗余度。并且,在安全防護體系思想的指導下,網絡安全系統的設計和實施都可以采取更新的安全技術和更換性能更強的網絡產品,或者可以通過網絡拓撲的擴充來對網絡的安全功能進行擴展。
多重保護安全設計原則,網絡系統的安全設計也采用了多重保護的安全設計原則,因為互聯網的復雜程度越來越高,任何安全措施都不可能保證網絡的絕對安全,都是有可能被攻破的。科學的方法是設計一個多重保護的網絡系統,實現針對網絡層和應用層的保護相互補充,可以有效保證當其中一層安全保護被攻破時,另外一層的保護仍可確保網絡系統數據信息的安全。
可管理性安全設計原則,網絡系統的安全設計,往往會由于網絡管理內部的管理制度不完善,或者職責劃分的不明確的問題導致在設計時采取的安全設計技術和安全設備不能很好地發揮安全保護的作用。網絡采用的可管理的安全設計原則是建立一個動態的、可控的安全體系結構,保證網絡管理人員在一套合理的安全規范的指導下可以完全管理網絡網絡系統的安全。這樣就可以有效地保證對安全設備和安全技術進行利用與管理,使得整個網絡網絡的安全性是可控制和可管理的。
業務連續性安全設計原則,網絡的安全設計保證了其業務的連續性,網絡安全系統的設計與實現不可避免地會涉及到原有的業務系統,業務連續性安全設計原則要求新增加的安全系統不會影響原有網絡系統的安全性、完整性、保密性和可用性,有效保證網絡所有業務的連續性。
動態性安全設計原則,通過網絡的安全問題顯示計算機網絡安全的發展是動態的,這就要求對其實施的相應的防御體系也是動態的。隨計算機網絡的脆弱性特別是WEB應用脆弱性的改變和黑客的計算機網絡攻擊技術的不斷發展和變化,在進行網絡的安全系統設計時應該及時并不斷地完善和改進網絡系統的安全防護措施。
二、安全設計策略
網絡作為大量數據信息集中的中心,有著不同的承載數據的對象,通過對網絡的安全分析,在網絡中傳輸的不同的數據類型和服務對象所遇到的網絡安全威脅也不一樣,因此,針對不同網絡安全威脅所采用相應的安全防范措施也不盡相同,比如:針對在網絡中托管的服務器經常受到系統漏洞和非授權連接等威脅,通常采用部署網絡層防火墻、身份認證和漏洞掃描的安全設計策略,根據網絡中的不同對象受到的不同網絡安全威脅的實際情況確定了相應的安全措施。
針對網絡的實際情況,在網絡層和應用層實施網絡安全系統設計的時候有針對性的采用高效的安全設計策略,同時采用多層防御的方法,通過對網絡結構調整和網絡網絡產品部署,并輔助以配置安全策略服務和結合安全管理手段,最終在網絡層和應用層形成系統的、動態的、可持續的安全防御體系。而且在網絡安全產品選型時要遵守以下策略。
在網絡安全產品選型時,需要廠家可以提供客戶化支持的網絡產品。只有這樣才能保證網絡系統的安全是可以用戶化的,才能有針對性的為用戶的應用和企業的業務提供安全保證。網絡網絡安全產品可以隨時根據企業用戶的需求進行相應的改進,從而更加適合企業用戶的實際需要。
需要網絡產品廠家可以提供本地化服務的產品。只有這樣才能保證遇到問題時能夠以最快的速度提供應急響應的服務,從而有效的實現對企業用戶應用和企業業務的服務保證。
在選擇網絡網絡產品時除了必須通過國家主管部門和權威機構的評測外,還需要通過專業評測機構以及網絡行業用戶的評測。
在選擇產品時需要符合相應的國際和國內的相關標準,尤其是國內相關的網絡安全標準。比如國內的安全等級標準、安全漏洞標準,網絡安全標準以及國際安全標準。
