網絡安全運營體系建設范文
時間:2023-10-09 17:31:06
導語:如何才能寫好一篇網絡安全運營體系建設,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
【關鍵詞】電子政務 信息安全 體系建設
當前我國交通電子政務實施過程的兩大矛盾的解決,依賴于安全、穩定、可靠的交通運輸電子政務平臺信息安全保障體系。對于電子政務平臺實施過程中所面臨的信息安全保障問題,我國早在2003年9月頒發的《關于加強信息安全保障工作的意見》中明確提出了建立等級保護制度和風險管理體系的要求。2004年11月,公安部等國家四部委聯合推出信息安全等級保護要求、測評準則和實施指南,為政務領域進一步建立政務信息系統風險管理體系提供了技術基礎和指導。交通運輸部也于2008年12月頒布的《交通運輸電子政務網絡及業務應用系統建設技術指南》中對交通電子政務平臺的安全保障體系作了詳細的技術規范。
隨著交通政府機構的信息安全基礎建設日趨完善,建立一套信息安全管理平臺,既滿足電子政務平臺的開放性和可訪問性,又保證電子政務平臺的安全性,也日益迫切。交通電子政務信息安全保障體系可從以下幾個角度進行充分構建:
1信息安全保障體系及其基本要求
信息安全保障體系是基于PKI體系而開發的為多個應用系統提供統一認證、訪問控制、應用審計和遠程接入的應用安全網關系統,它可以將不同地理位置、不同基礎設施(主機、網絡設備和安全設備等)中分散且海量的安全信息進行樣式化、匯總、過濾和關聯分析,形成基于基礎設施與域的統一等級的威脅與風險管理,并依托安全知識庫和工作流程驅動,對威脅與風險進行響應和處理。信息安全保障體系的基本要求主要體現在以下幾個方面:
1)保密性。主要體現在誰能擁有信息,如何保證秘密和敏感信息僅為授權者享有。
2)完整性。主要體現在擁有的信息是否正確以及如何保證信息從真實的信源發往真實的信宿,傳輸、存儲、處理中未被刪改、增添、替換。
3)可用性。主要體現在信息和信息系統是否能夠使用以及如何保證信息和信息系統隨時可為授權者提供服務而不被非授權者濫用。
4)可控性。主要體現在是否能夠監控管理信息和系統以及如何保證信息和信息系統的授權認證和監控管理。
5)不可否認性。主要體現在信息行為人為信息行為承擔責任,保證信息行為人不能否認其信息行為。
總之,信息安全保障體系的基本要求主要從技術和管理兩個層面得以實現。技術層面在實現信息資源的公開性、共享性和可訪問性的同時,通過主機安全、網絡安全、物理安全、數據安全和應用安全等技術要素保障信息的安全性。管理層面則可通過安全管理機制、安全管理制度、人員安全管理、系統建設管理以及系統運營管理等規范化機制得以保障信息的安全性。
2交通電子政務平臺信息安全保障體系的構建
交通電子政務平臺的信息安全保障體系,應該由組織體系、技術體系、運營體系、策略體系和保障對象體系等共同組成。
2.1安全組織體系。政府高度重視交通運輸信息化工作的同時,堅持把“積極防御,綜合防范”放在優先位置,首先要求成立專門的信息安全領導小組。信息安全領導小組可由交通主管領導擔任領導小組組長主管信息安全工作,下設信息安全工作組,各管理部門負責人、業務部門負責人為成員。
2.2安全技術體系。交通電子政務平臺的安全技術體系可搭建專業的安全管理運營中心,并從基礎設施安全和應用安全兩個方面去搭建安全技術支撐體系。
2.3安全運營體系。交通電子政務的安全運營體系一般可由安全體系推廣與落實、項目建設的安全管理、安全風險管理與控制和日常安全運行與維護四個部分組成。安全運營體系是一個完整的過程體系,在交通電子政務平臺的整個過程中,正常的運作流程,其信息流遵循自上而下的流程,即交通上級部門根據電子政務平臺信息安全需求的目標、規劃和控制要求做計劃,下級交通部門根據計劃進行執行、檢查和改進。而若交通電子政務平臺其安全性出現威脅,影響正常的運作流程時,此時信息流則遵循自下而上的逆向過程,下級交通部門向上級部門報送安全事件,上級部門根據其安全事件進行分析、總結和改進。
2.4安全策略體系。網絡安全策略是為了保護網絡不受來自網絡內外的各種危害而采取的防范措施的總和,因此信息安全策略是信息安全保障體系建設和實施的指導和依據,全面科學的安全策略體系應貫穿信息安全保障體系建設的始終。安全策略體系,主要包含安全政策體系、安全組織體系、安全技術體系和安全運行體系四個方面的要素,在采用各種安全技術控制措施的同時,必須制訂層次化的安全策略,完善安全管理組織機構和人員配備,提高安全管理人員的安全意識和技術水平,完善各種安全策略和安全機制,利用多種安全技術實施和網絡安全管理實現對網絡的多層保護,減小網絡受到攻擊的可能性,防范網絡安全事件的發生,提高對安全事件的反應處理能力,并在網絡安全事件發生時盡量減少事件造成的損失。
篇2
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2電信網絡安全面臨的形勢及問題
2.1互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
3.5系統、數據庫漏洞掃描
系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。
參考文獻
[1]信息產業部電信管理局.電信網絡與信息安全管理[M].北京:人民郵電出版社,2004.
[2]陳綱.保障電信網絡安全的五項措施[N].通信產業報,2003-9-28.
篇3
隨著4G通信技術的不斷發展和應用,對于新技術革新帶來的網絡信息安全威脅更加突出。運營商在面對更多的不確定因素及威脅時,如何從網絡信息安全管控技術上來提升安全性水平,已經成為運營商提供良好服務質量的迫切難題。為此,文章將從主要安全威脅源展開探討,并就安全防范策略進行研究。
關鍵詞:
運營商;網絡安全;威脅;防護策略
從3G到4G,隨著運營商全業務運營模式的不斷深入,對支撐網絡運行的安全管控工程建設提出更高要求。特別是在應用系統及用戶數的不斷增加,網絡規模不斷擴大,面對越來越多的應用設備,其網絡安全問題更加突出。2014年攜程小米用戶信息的泄露,再次聚焦網絡信息安全隱患威脅,也使得運營商在管控網絡安全及部署系統管理中,更需要從技術創新來滿足運維需求。
1運營商面臨的主要安全威脅
對于運營商來說,網絡規模的擴大、網絡用戶數的驟升,加之網絡分布的更加復雜,對整個網絡系統的安全等級也提出更高要求。當前,運營商在加強網絡信息安全防護工作中,需要從三個方面給予高度重視:一是來自網絡系統升級改造而帶來的新威脅。從傳統的網絡系統平臺到今天的4G網絡,IMS網絡的商業化,對傳統網絡業務提出新的要求,特別是基于IP的全網業務的開展,無論是終端還是核心網絡,都需要從IP化模式實現全面互聯。在這個過程中,對于來自網絡的威脅將更加分散。在傳統運營商網絡結構中,其威脅多來自于末端的攻擊,而利用IGW網絡出口DDoS技術,以及受端網絡防護技術就可以實現防范目標,或者在關口通過部署防火墻,來降低來自末端的攻擊。但對于未來全面IP化模式,各類網絡安全威脅將使得運營商業務層面受到更大范圍的攻擊,如木馬病毒、拒絕服務攻擊等等,這些新威脅成為運營商IP技術防范的重點。二是智能化終端設備的增加帶來新的隱患。從現代網絡通信終端智能化程度來看,終端的安全性已經威脅到網絡平臺及業務的安全,特別是在不同接入模式、接入速度下,智能終端與相對集中的運營商全業務管理之間的關聯度更加緊密,一旦智能化終端存在安全隱患,即將給通信網絡平臺帶來致命威脅。如智能化終端利用對運營商業務系統的集中攻擊可以導致運營商服務的中斷。同時,作為智能終端本身,因軟硬件架構缺乏安全性評測,在網絡信息完整性驗證上存在缺陷,也可能誘發篡改威脅。如在進行通信中對信息的竊聽、篡改,這些安全漏洞也可能引發運營商網絡的安全威脅。三是現有安全防護體系及架構存在不安全性風險,特別是云技術的引入,對于傳統網絡架構來說,在用戶數、增值業務驟升過程中,對現有基礎設施的不可預知性問題更加復雜。另外,在網絡安全標準制定上,由于缺乏對現階段安全威脅的全面評估,可能導致現有網絡體系難以適應新領域、新業務的應用,而帶來更多的運行處理故障等問題。
2構建運營商網絡安全防護體系和對策
2.1構建網絡安全防護統一管控體系
開展網絡信息安全防范,要著力從現有運營商網絡系統業務類型出發,根據不同功能來實現統一安全管控,促進不同應用系統及管理模式之間的數據安全交互。如對網絡運維系統安全管理,對計費系統用戶的認證與管理,對經營分析系統的授權與審計管理,對各操作系統數據存儲的分散管控等,利用統一的安全管控功能模塊來實現集中認證、統一用戶管理。對于用戶管理,可以實現增刪修改,并根據用戶崗位性質來明確其角色,利用授權方式來實現對不同角色、不同操作權限的分配和管理;在認證模塊,可以通過數字認證、密碼校驗、動態認證及令牌等方式來進行;在權限管理中,對于用戶的權限是通過角色來完成,針對不同用戶,從設備用戶、用戶授權訪問等方式來實現同步管理。
2.2引入虛擬化技術來實現集中部署
從網絡信息安全管控平臺來看,對于傳統的管控方案,不能實現按需服務,反而增加了部署成本,降低了設備利用率。為此,通過引入虛擬化技術,部署高性能服務器來完成虛擬的應用服務器,滿足不同客戶端的訪問;對于客戶端不需要再部署維護客戶端,而是從虛擬服務器維護管理中來實現,由此減少了不必要的維護服務,確保了集中維護的便利性和有效性。另外,針對運營商網絡中的多數應用服務器,也可以采用集中部署方式來進行集中管理。
2.3引入RBAC角色訪問控制模型
根據角色訪問控制模型的構建,可以從安全管控上,利用已知信息來賦予相應的權限,便于正確、快速、有效的實現用戶特定角色的授權。同時,在對RBAC模型進行應用中,需要就其權限賦值進行優化,如對層次結構的支持,對不同用戶群組、不同用戶存在多個崗位的角色優化,對崗位與部門之間的協同優化,對用戶崗位與用戶權限及其所屬崗位角色的繼承關系進行優化等等。
2.4融合多種認證方式來實現動態管控
根據不同系統應用需求,在進行認證管理上,可以結合用戶登錄平臺來動態選擇。如可以通過數字認證、WindowsKerberos認證、動態令牌等認證方式。當用戶端采用插件方式登錄時,可以動態配置key證書認證,也可以通過短信認證來發送相應的口令。由于運營商網絡應用賬戶規模較大,在進行系統認證時,為了確保認證賬戶、密碼的有效性、可靠性,通常需要客戶端向應用服務器發送請求,請求成功后再向用戶端發送認證密碼。
2.5做好運營商網絡安全維護管理
網絡信息安全威脅是客觀存在的,而做好網絡安全的維護管理工作,從基本維護到安全防護,并從軟硬件技術完善上來提升安全水平。如對網絡中服務器、操作系統及網絡設備進行定期檢查和維護,對不同網絡安全等級進行有序升級,增加網絡硬件加固設備,做好日常網絡維護工作。同時,對于安全維護崗位人員,做好網絡硬件設備、網絡訪問控制權限的管理,并對相關的口令及密碼進行定期更換,提升安全防護水平。另外,運營商在構建網絡安全防護體系上,不僅要關注網絡層面及應用層的安全,還要關注用戶信息的安全,要將用戶信息納入安全管理重要任務中,切實從短信認證、用戶實名制、用戶地理信息等個人隱私保護中來保障信息的安全、可靠。
2.6做好網絡安全建設與升級管理
隨著網絡通信新業務的不斷發展,對于網絡信息安全威脅更加復雜而多樣,運營商要著力從新領域,制定有效的安全防護策略,從技術創新上來確保信息安全。一方面做好網絡安全策略的優化,從網絡業務規劃與管理上,制定相應的安全標準,并對各類業務服務器進行全程監管,確保業務從一開始就納入安全防護體系中;另一方面注重安全技術創新,特別是新的網絡安全技術、防御機制的引入,從安全技術手段來實現網絡系統的安全運行。
3結語
運營商網絡安全防護工作任重道遠,在推進配套體系建設上,要從安全維護的標準化、流程化,以及網絡安全等級制度完善上,確保各項安全防護工作的有效性。另外,加強對各類網絡安全應急預案建設,尤其是建立溝通全國的安全支撐體系,從統一管理、協同防護上來提升運營商的整體安全防護能力。
作者:王樹平 東野圣堯 張宇紅 單位:泰安聯通公司
參考文獻:
[1]吳靜.關于通信系統風險的研究[J].數字通信,2014(3).
篇4
【關鍵詞】網絡安全;網絡攻擊;建設與規劃;校園網
1、網絡現狀
揚州Z校擁有多個互聯網出口線路,分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環境,網絡核心區是思科7609的雙核心交換機組,確保了Z校校園骨干網絡的可用性與高冗余性;數據中心是由直連在核心交換機上的眾多服務器組成;終端區分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外,還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規模,校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。
2、安全威脅分析
目前,Z校網絡安全保障能力雖然初具規模,但是,在信息安全建設方面仍然面臨諸多的問題,如,網絡中缺乏網管與安管系統、對網絡中的可疑情況,沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態,風險管理全憑感覺等等,以上種種問題表明,Z校需要對網絡安全進行一次全面的規劃,以便在今后的網絡安全工作中,建立一套有序、高效和完善的網絡安全體系。
2.1安全設備現狀
Z校部署的網絡安全防護設備較少。在校區的互聯網出口處,部署了一臺山石防火墻,在WEB服務器群前面部署了一臺WEB應用防火墻。
2.2外部網絡安全威脅
互聯網出現的網絡威脅種類繁多,外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的,對內網中的各種網絡設備發起攻擊,網絡中雖然有一些基礎的防護,但是,黑客們只要找到漏洞,就會利用內網用戶作跳板進行攻擊,最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。
2.3內部網絡安全威脅
內部惡意入侵的主體是學生,還有一些網絡安全意識薄弱的教職工。Z校學生眾多,學生們可能本著好奇、試驗、炫技或者惡意破壞等目的,入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件,照成網絡堵塞甚至癱瘓。
3、安全改造需求分析
本次安全改造,以提升鏈路穩定性,提高網絡的服務能力為出發點,Z校在安全改造實施中,應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率:Z校網絡出口與CERNET、Internet互聯,選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源,提升網絡訪問速度,最大化保障校園網內部用戶的網絡使用滿意度,同時又要合理節約鏈路成本,均衡使用各互聯網出口鏈路,是網絡安全建設的首要需求。2)實現關鍵設備的冗余性:互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備,均以NAT模式或者路由模式部署,承載了整個校園網的業務處理,任何一個設備出現問題將直接導致業務不能夠連續運行,無任何備份措施,只能替換或者跳過出故障的設備,且只能以手工方式完成切換,無論從響應的及時性,還是從保障業務連續性的角度,都存在很大的延遲,為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設備數量較多,需要對所有安全設備進行統一日志收集、查詢工作,傳統單臺操作單臺部署的方式運維效率低下,所以需要專業集中監控、配置、管理的安全設備,統一對眾多安全設備進行集中監控、策略統一調度、統一升級備份和審計。
4、解決方案
網絡安全建設是一個長期的項目,不可能一蹴而就,一步到位,網絡安全過程建設中,在利用學校原有設備的基礎上,在資金、技術成熟的條件下,逐步實施。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。
4.1短期網絡建設規劃
4.1.1短期部署規劃以安全區域的劃分為設計主線,從安全的角度分析各業務系統可能存在的安全隱患,根據應用系統的特點和安全評估是數據,劃分不同安全等級的區域[3]。通過安全區域的劃分,明確網絡邊界,形成清晰、簡潔的網絡架構,實現各業務系統之間嚴格的訪問安全互聯,有效的實現網絡之間,各業務系統之間的隔離和訪問控制。本次短期網絡建設,把整個網絡劃分為邊界安全防護區域、核心交換區域、安全管理區域、辦公接入區域、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2,從圖2可以看出,出口區域,互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備,以NAT模式或者路由模式部署,無任何備份措施,為此需要再引入一臺同型號的防火墻設備,實現雙機冗余部署。同理,原城市熱點認證網關和行為管理設備需要再各補充一臺,組成雙機冗余方案。安全管理區域根據學校預算,部署幾臺安全設備。首先,部署一臺堡壘機,建立集中、主動的安全運維管控模式,降低人為安全風險;其次,部署一臺入侵檢測設備(IDS),實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量,防止在出現攻擊后無數據可查;再部署一臺漏洞掃描設備,對網絡內部的設備進行漏洞掃描,找出存在的安全漏洞,根據漏洞掃描報告與安全預警通告,制定安全加固實施方案,以保證各系統功能的正常性和堅固性;最后,部署一臺安全審計設備(SAS),實時監控網絡環境中的網絡行為、通信內容,實現對網絡信息數據的監控。服務器集群區域,除了原有的WEB防火墻外,再部署一臺入侵防護設備(IPS),攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量,保護Z校的信息系統和網絡架構免受侵害,防止操作系統和應用程序損壞或宕機[4]。
4.2長期網絡建設規劃
網絡安全的防護是動態的、整體的,病毒傳播、黑客攻擊也不是靜態的。在網絡安全領域,不存在一個能完美的防范任何攻擊的網絡安全系統。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統,需要建立一套全方位的,從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前,網絡安全體系化建設結合重點設備保護的策略,再配合第三方安全廠商的安全服務是網絡安全建設的優選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程,建立一個科學的安全體系和模型,再根據安全體系和模型來分析網絡中存在的各種安全隱患,對這些安全隱患提出解決方案,最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手,建立統一的安全保障體系。組織體系著眼于人員的組織架構,包括崗位設置、人員錄用、離崗、考核等[5];技術體系分為物理安全、網絡安全、主機安全、系統運維管理、應用安全、數據安全及備份恢復等;管理體系側重于制度的梳理,包括信息安全工作的總體方針、規范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎,以管理體系為保障,以技術體系為支撐[6],全局、均衡的考慮面臨的安全風險,采取不同強度的安全措施,提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點,安全體系為核心,安全指導為原則,體系建設為抓手,組織和制定安全實施策略和防范措施,在建設過程中不斷完善安全體系結構和安全防御體系,全方位、多層次滿足安全需求。
5、結語
從整個信息化安全體系來說,安全是技術與管理的一個有機整體,僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題,是從設備到人,從服務器上每個服務程序到Web防火墻、入侵防御系統、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題,每一個環節,都是邁向網絡安全的步驟之一。文中的研究思路、解決方案,對兄弟院校的網絡安全建設和改造有參考價值。
參考文獻:
[1]王霞.數字化校園中網絡與信息安全問題及其解決方案[J].科技信息,2012.7:183-184
[2]黃智勇.網絡安全防護系統設計與實現[D].成都:電子科技大學,2011.11:2-3
[3]徐奇.校園網的安全信息安全體系與關鍵技術研究[D].上海:上海交通大學,2009.5:1-4
[4]張旭輝.某民辦高校網絡信息安全方案的設計與實現[D].西安:西安電子科技大學,2015.10:16-17
[5]陳堅.高校校園網網絡安全問題分析及解決方案設計[D]長春:長春工業大學,2016.3:23-31
篇5
關鍵詞:交通運輸;態勢感知;網絡安全;入侵檢測
中圖分類號:U111 文獻標識碼:A 文章編號:1006―7973(2017)06-0026-02
在四一九網絡安全和信息化工作座談會上提出“要以信息化推進國家治理體系和治理能力現代化,統籌發展電子政務,構建一體化在線服務平臺,分級分類推進新型智慧城市建設,打通信息壁壘,構建全國信息資源共享體系,利用信息化手段感知社會態勢、暢通溝通渠道、輔助科學建設”,2016年12月27日,國務院全文刊發了《“十三五”國家信息化規劃》“十大任務”中的最后一項,健全網絡安全保障體系,提出“全天候全方位感知網絡安全態勢”,再次強調了態勢感知的重要性。
交通運輸行業是國家經濟社會發展的先行官,在交通運輸發展方面具有極其重要的作用。而交通信息化的發展對國家的戰略實施、行業及現代化治理方面具有關鍵的輔助作用。面對“十三五”期新形勢、新要求,“要以國家信息化戰略為引領,強化信息化頂層設計,實現行業重要信息系統的互聯互通;要結合行業轉型升級發展要求,推進信息技術與行業管理和服務的深度融合;要大力促進大數據發展應用,深化政府與企業間合作,共同打造交通信息服務產業新生態;要加強新技術應用,強化網絡與信息安全保障體系建設。”
1 國內互聯網安全背景
目前國內的信息化水平迅速提高,為了跟上時代的步伐,傳統行業迅速轉型,導致信息化的消費也在逐年提高。為了保證信息化水平繼續逐年穩步提高,則必須有充分的網絡安全防護作為保障。2013年以來,我國互聯網安全的整體態勢主要表現在三個方面:一是網絡總體情況比較穩定,但類似于域名系統等薄弱環節仍然需要改進,無法對拒絕服務攻擊和安全漏洞進行有效的防御。二是移動互聯網快速發展,導致移動互聯網的惡意APP迅速增多,生態污染問題亟待解決。三是來自病毒、蠕蟲、木馬和僵尸的威脅,頻繁的惡意程序傳播活動將使用戶上網面臨的感染惡意程序風險加大。
近年來,根據國家互聯網應急中心的安全數據分析,web端的安全形勢同樣令人堪憂。公家互聯網安裝狀況報告年報顯示,政府網站、金融行業、媒體、旅游以及網上交易網站最容易遭受不法分子攻擊,而安全漏洞往往是實施攻擊的必要條件。不法分子通過入侵網站違規信息,首先會導致政府在公眾面前的形象遭受損失,更重要的是政治風險無法避免。
2 交通運輸行業信息安全體系構建
網絡安全監測預警項目正是基于“監測+響應”的理念進行功能設計的,能夠全面、有效、及時的向各單位提供安全預警和應急服務。交通運輸行業信息化建設發展是以行業信息化重點工程和示范試點工程為依托,努力實現交通運輸信息化的上下貫通、左右連通和內外融通,促進現代綜合交通運輸體系發展。交通運輸行業有很多重要的大型數據網絡平臺如路網監測、救助信息、運營管理、物聯網監控、智能交通管控等,這些大型網絡數據平臺的安全運維是關系到行業穩定發展和國計民生的重要環節,必須保障其安全穩定。
因此,必須利用先進的網絡安全態勢感知策略積極構建行業信息安全體系,通過“防護+監測+響應”來全方位保障網絡平臺安全已經成為必行趨勢。本文就行業搭建態勢感知網絡平臺相關的內容進行了系統分析,對其主要技術架構建議如下:
2.1 建設目標及原則
(1)建設目標。首先需要對網絡的骨干節點進行實時監測,一旦發現惡意的入侵行為或者木馬、蠕蟲等病毒傳播,系統需要立即發出警報并推送給用戶;在系統未遭受攻擊時,可以對系統進行安全漏洞掃描,一旦發現薄弱環節,同樣需要推送給用戶。隨著系統的不斷完善,可以對多個重點系統進行完善的保護,確保入侵行為無法奏效;同時需要對已經阻止的入侵行為進行分析,收集并整理出易受攻擊的時間段及系統,有策略的加強局部安全防護。通過態勢感知系統的布置,可以對入侵行為進行有效的防護并對網絡的整體安全狀況有充分的了解、為今后的信息安全策略提供有效的基礎性依據。
(2)建設原則。一是系統完整性原則,一旦安全體系建設不完整,致使不法分子有可乘之機,導致前功盡棄。二是系統實用性原則,確保系統的有效性及可用性。三是安全目標與效率、投入之間的平衡原則。四是系統動態發展原則,安全防范體系的建設必須不斷完善和升級發展。五是利舊原則,盡量通過采集已有設備數據信息完成態勢分析。
2.2 架構總覽
系統分為分析交互、大數據分析和數據采集三層。如下圖1所示:
(1) 數據采集層。使用部署在網絡骨干的引擎,監控Web服務系統的漏洞、安全事件、系統配置問題、木馬、病毒等安全威脅,并對威脅進行采集收集。數據采集模塊采集到的各類數據可以劃分為兩種類型,第一種為高頻數據,也稱大數據,通過高速數據總線收集,其主要特點為高速、海量、異構,大數據主要包含性能及系統狀態數據,此外還包括日志、事件、流數據等;第二種為低頻數據,通過低頻數據總線進行采集,低頻數據主要包括配置信息、資產信息、漏洞信息、人員信息和威脅情報等。
除此之外,數據類型還可以根據采集位置區分,一種是采集于內網的內部數據,通常包含網絡安全數據、員工審計信息、漏洞信息等,另一種數據采集與互聯網出口,稱之為外部數據,一般包含外部威脅等信息。
(2)大數據處理層。該模塊可以Σ杉到的海量數據進行系統的分類,將其轉換為有結構的大數據集。對于不能轉換為結構化的數據需要添加相應的索引,最終將兩種數據儲存起來以便分析交互層進行分析。
(3)分析交互層。分析交互成主要由五個模塊組成,分別為安全監測、態勢分析、漏洞預警、事件跟蹤及知識情報模塊。可以對采集數據進行科學系統的分析,最終轉換為有價值的信息。①安全監測。安全監測模塊對系統整體的安全防護起到支撐作用,可以對網絡上的重點系統、重點人員及重點目標進行專項監測。于此同時還可以對網絡及系統的狀況進行整體監測,如web篡改、病毒入侵、流量告警等威脅信息。該模塊不僅可以對外部系統威脅信息進行監測,如果有內部組織或人員對外部網絡進行攻擊,同樣可以進行監測并警告。同時,系統還具有智能過濾功能,對不重要的入侵及攻擊事件進行過濾篩選,以便減輕服務器及維護人員的負擔。模塊最終分析形成的分析報表可以對一定時間段內的安全事件進行對比分析,可以讓使用者對系統安全進行直觀的了解。②態勢分析。態勢分析模塊包含兩大方面,第一是宏觀分析,可以從宏觀方面分析整互聯網總體信息安全狀態,對整個網絡的安全威脅進行宏觀展示;第二是微觀分析,可以對重點系統及人員進行詳盡的分析,并展示重點目標的威脅態勢和web安全態勢等。③漏洞預警。漏洞預警模塊通過對系統數據全面的檢測,可以提前發現系統存在的各種弱點,包括各類網頁及配置漏洞,發現漏洞以后可以提前預警并協助用戶對漏洞進行防護,對可能遭受的威脅進行提前感知。④事件分析。事件分析模塊可以對已發生的安全事件進行匯總并分析,協助使用者找出重點威脅事件、重點對象及攻擊源頭。分析方法通常為異常服務分析、攻擊者分析和三元組分析。其中三元組分析是通過對攻擊事件的源IP、目的IP和事件行為進行統計分析。同時,系統應當支持分析提供異常服務和參與對外攻擊的主機,支持分析挖掘疑似攻擊人員相關信息。
3 結語
綜上所述,應用態勢感知理念搭建起來的安全架構具有提前預知入侵、降低入侵危害等特性,行業內各大型數據網絡平臺和管理單位可以結合自身情況搭建與之相適應的態勢感知系統來應對可能面臨的入侵威脅,確保網絡及信息系統平穩運行,努力實現行業和國家《“十三五”國家信息化規劃》的宏偉目標。
參考文獻:
[1]劉旭東.關于網絡安全趨勢態勢感知的預警技術分析[J].科技創業月刊,2016,(29)
[2]彭毅.基于多傳感的網絡安全態勢感知系統框架結構[J]網絡安全技術與應用,2016,(12)
[3]張翼鵬.分析網絡安全態勢感知系統結構[J].通訊世界,2017,(1)
篇6
關鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
篇7
關鍵詞:商業銀行 網絡安全 網絡風險
1 城市商業銀行網絡安全建設現狀
銀行的信息與網絡安全建設與銀行的整個電子化、信息化和網絡化密切相關,把金融風險監管現代化和金融電子化、信息化和網絡化風險的監管密切結合起來,是搞好銀行與阿絡安全建設的根本思路。目前城市商業銀行信息化安全的觀念對于網絡與系統的虛擬世界的“行為與內容的監管”和“大范圍的網絡環境的安全問題”,考慮較少。
1.1銀行網絡行為和內容的安全情況
銀行網絡的安全問題實際是銀行風險監管的問題,銀行風險監管既要檢查銀行和客戶人員在現實世界中的人與銀行業務相關的行為結果,又要檢查網絡虛擬世界中用戶、系統和的行為,實際上要對銀行監管實行監管現代化的建設和銀行信息化實行監管。
1.2銀行業務運營信息化安全情況
主要涉及銀行價值管理信息系統、資源管理信息系統、銀行產品服務管理信息系統等。對于這些業務信息系統,由于銀行系統有高度的安全意識銀行系統的安全工作開展的較早,制定了相關的標準和規范,進行了安全規劃與實施等。
1.3銀行網絡系統安全情況
當前銀行網絡系統安全問題重要表現在數據大集中后的安全,其特點是數據服務大集中,前置通信中心強大的和眾多本地與遠端終端的中心體系結構。
應該看到,電子化在給銀行帶來利益的同時,也給銀行帶來了新的安全問題。原因主要有三個:伴隨金融體制改革的深入、對外開放的擴大,金融風險迅速增大;當前計算機應用日益廣泛、日趨網絡化,系統的安全性漏洞也隨之增加;計算機知識日益普及,金融網絡向國際化發展,計算機犯罪技術在不斷提高。
2 銀行網絡安全重點關注的方面
目前銀行用戶關注的信息化安全問題主要是客戶隱私、用戶權益、信息內容安全和客戶可信接入銀行網等問題:
全面整合銀行信息化安全建設,在此基礎上建立銀行信息安全保障、應急和監管系統。
以安全觀點再度審核銀行應用數據大集中的安全建設問題、專網與公網的隔離安全建設、銀行外包服務安全建設、安全檢測、監控、審計、追蹤和定位系統建設、制定安全應急標準與安全應急培訓。
3 安全風險分析
我們可以參考國際標準化組織ISO開放系統互聯(OSI)模型,將整個銀行系統的安全風險統一劃分成五個層次,即物理層安全、網絡層安全、操作系統層安全、應用層安全以及管理層安全。
3.1物理層安全風險分析。物理層安全包括通信線路的安全,物理設備的安全,機房的安全等。
3.2網絡層安全風險分析。網絡層安全包括網絡層身份認證,網絡資源的訪問控制,數據傳輸的保密和完整性,遠程接入的安全,路由系統的安全等。
a數據傳輸風險分析。表現在重要業務數據泄漏、重要數據被破壞等,如果沒有專門的軟件或硬件對數據進行控制,所有的廣域網通信都將不受限制地進行傳輸,因此任何一個對通信進行監測的人都可以對通信數據進行截取
b網絡邊界風險分析。主要表現于銀行業務系統安全和互聯網出口的安全。
c網絡設備的安全風險。由于銀行專用網絡系統中使用大量的網絡設備,如交換機、路由器等,使得這些設備的自身安全性也會直接關系的銀行系統和各種網絡應用的正常運轉。
3.3系統層的安全風險。主要表現在兩方面:一是操作系統本身的安全漏洞和隱患;二是對操作系統的錯誤配置。
3.4應用層安全風險分析。應用層安全是用戶采用的應用軟件和數據庫的安全性,包括數據庫軟件、Web服務、電子郵件系統、域名服務系統、業務應用軟件,以及其他網絡服務系統(如Telnet、FTP等)。
3.5管理層安全風險分析
管理層安全包括安全技術和設備的管理,安全管理制度的制定,部門和人員的組織規劃等。要建立完備的安全網絡最終要靠人來實現,因此管理是整個網絡安全中最為重要的一環。因此我們有必要認真的分析管理所帶來的安全風險,并采取相應的安全措施。
4 安全方案總體設計
4.1網絡安全建設原則
網絡安全建設是一個系統工程,銀行網絡安全體系建設應按照“統一規劃、統籌安排,統一標準、相互配套”的原則進行,采用先進的“平臺化”建設思想,避免重復投入、建設,充分考慮整體和局部的利益,堅持近期目標與遠期目標相結合。
在實際實施中還要按照系列基本原則進行:系統性原則;簡單性原則;實時、連續、安全統一原則;需求、風險、代價平衡原則;實用與先進相互結合的原則;方便與安全相互統一原則;全面防護、突出重點原則;分層、分區原則;整體規劃、分布實施原則;責任明確,分級管理,聯合防護原則。
4.2網絡安全建設目標
我們對于銀行網絡系統安全建設的目標為:采用防護、檢測、反應、恢復四方面行之有效的安全措施,建立一個全方位并易于管理的安全體系,確保銀行網絡系統安全可靠的運行
a系統級安全目標。保證操作系統、數據庫管理系統的安全補丁不斷升級、安全設置正確,防止計算機終端、服務器感染通過軟盤、光盤、網絡、電子郵件及其它網絡途徑傳播的計算機病毒。
b網絡級安全目標。保證內外網之間、內部網不同網絡安全域之間的安全隔離和有效的訪問控制,保證系統業務敏感信息網絡傳輸中的機密性、完整性,保證網絡攻擊和網絡安全漏洞及時發現、告警,網絡安全狀況不斷改善,以及保證銀行網絡系統網絡傳輸系統的高可靠性:主要指線路、設備的備份、冗余等。
c應用級別安全目標。防止本地用戶和遠程用戶的非授權訪問、越權訪問和身份假冒,保證各種服務系統的正常運轉。
d管理級安全目標。對安全軟硬件設備(如防殺病毒軟件、入侵檢測軟件、安全MPN設備、防火墻設備)和安全策略、安全狀況能夠集中統一管理、監控、審計和響應,保證安全責任分解到人、出現問題有跡可尋,加強管理制度和管理體系建設。
4.3整體安全設計概述
整體安全設計要最大限度保障業務系統、辦公系統的安全,做到安全性和方便性的統一。
a數據庫服務器是業務系統中最重要的數據庫部分,它保存了所有業務交易相關的各種帳務數據,因此必須對它們實行有限訪問控制防護——配置雙機熱備防火墻系統。
b由于辦公機器眾多、員工的安全防范意識較差,需要與互聯網接入,又要直接接入OA辦公、決策等系統,因此,辦公機器應受到高度關注。
c由于網絡中設備、主機數量眾多,應此使用日志審計系統收集全網中的安全設備、服務器的日志,進行歸檔、分析,及時發現系統中發生的安全時間,起到事后審計的安全機制。
篇8
【關鍵詞】現代企業 網絡經濟 影響
一、引言
隨著信息技術的發展,其在現代企業的應用程度不斷加深,網絡經濟隨之產生,在網絡環境中,市場經濟體系以及信用體系建設發生了較大的改變,經濟貿易活動中有了更新的交易和結算方式,現代企業的運營管理效率也獲得了極大的提高,但與此同時,網絡安全問題也隨之出現。網絡經濟環境中,經濟主題的生產、交換、分配、消費等經濟活動對互聯網絡的依賴性較強,所以,W絡經濟對現代企業的有著巨大的影響,充分利用網絡經濟,對于現代企業的發展有著重要的意義。
二、網絡經濟對現代企業的影響分析
(一)對企業內部管理的影響
網絡經濟對企業內部管理的影響體現在多個方面,從宏觀角度而言,隨著信息技術的應用,企業的內部的信息溝通和監督效率獲得了極大的提高,從微觀角度來看,企業內部多個方面的工作也逐漸趨于完善。如隨著信息技術的應用,企業財會工作會發生較大的變化,主要表現為數據處理集中化、自動化。隨著信息技術的應用程度不斷加深,許多會計信息處理工作有計算機完成,與傳統手工會計工作業務處理工作相比,利用計算機網絡系統,企業可以在短時間內處理大量信息。而且信息技術的應用,有助于企業內部控制程序化。隨著信息技術的應用程度不斷加深,企業內部控制的內涵和外延也會發生一定的變化,如在傳統財會業務開展過程中,會計人員往往需要對憑證、賬簿以及財務報表進行一一核查,才能確保會計信息的正確性,但是隨著網絡技術的應用,利用相應的計算機軟件,可以對各類財會信息進行高效處理,而且出現差錯的幾率也明顯降低,整個企業的財會工作更加的智能化。
(二)對企業營銷活動的影響
市場營銷是現代企業推廣產品以及提升經濟效益的重要舉措,而在網絡經濟環境下,企業的營銷活動發生了很大的變化,企業的營銷效果有了顯著的提升,但是,企業之間的競爭也變得更加的劇烈。隨著網絡經濟的發展,消費者的購買活動發生了很大的變化,產品選擇更加地自由和多元,所以,企業對市場變化的反應也會更加地靈敏,通過網絡平臺,產品生產企業可以和消費者進行直接交流,在產品的輸出以及產品信息的反饋方面更加地迅速和直接,在網絡經濟環境下,企業的營銷活動更加地直接,并更加具有針對性。互聯網的出現,放大了口碑分享的價值,改變了消費者的態度,重構了消費者的行為。例如,QQ、微信、陌陌等社交媒體的出現,為消費者評論信息的傳播提供了更多的傳播渠道,借助這些新渠道,企業產品的正面和負面信息在極短的時間內,形成幾何倍數的傳播。其他消費者會根據購買者對產品的描述和使用感受,決定自己的購買意向,如果產品物有所值,那么購后評價則會消除消費者的購后失衡感,反之則不然,從而對企業的營銷活動產生極大的影響。
(三)網絡安全問題突出
互聯網的主要特點之一是虛擬性,網絡經濟在推動企業快速發展的同時,也同樣帶來了很多安全隱患。這些隱患主要表現在以下幾個方:第一,信息安全風險。調查表明,在網絡交易活動中,很多用戶的個人信息會被泄露,而且步不法分子還會通過其它各種渠道獲取用戶的各類信息,然后以此為基礎實施詐騙,很多網絡交易活動參與者的個人財產都遭受了較大的損失。第二,信用風險。在發展網絡經濟業務中,交易雙方主要通過互聯網交易平臺開展交易活動,通常情況下,交易雙方不會見面,無法像傳統交易中那樣彼此雙方有較為深入的了解,所以,一旦某一方不講信用,另一方的利益則很可能受損。第三,操作風險。首先,第三方支付已成為典型的網絡經濟模式,而且,隨著智能手機的普及,已由互聯網支付逐漸轉為移動支付,人們不僅僅可以通過網絡銀行或電話銀行實現遠程支付,而且可以通過手機銀行、藍牙以及紅外技術完成支付活動,但是,在享受新科技的同時,一些用戶由于操作不熟練而而引發風險。
三、網絡經濟環境下推動企業發展策略探究
(一)進一步完善企業內部管理工作
在信息環境下,為了更好地做好企業內部控制工作,企業必須加強信息化建設,在建立內部控制體系的過程中,必須密切聯系企業實際經營情況。企業必須定期對企業信息網路系統進行檢查和維護,一些特別重要的數據信息必須進行備份處理,而且要做好相關設備的防火、防潮工作,而且,技術人員在進行網絡系統檢修維護時,必須得到上級領導的審批和確認,這樣可以有效防止程序被篡改。在信息化建設過程中,還應該做到監控與操作分離,強化系統內部的相互制約,降低風險。職責分離作為內部控制的一個重要組成部分。為了強化系統的內部控制,可以在系統內分設操作和監控兩個崗位,對同一筆業務進行多方備份。一旦主管人員或審計人員對一些數據產生懷疑時,就可以利用監控人員備份的原始數據進行分析調查、查明真偽。系統分析、計算機操作、程序設計、數據輸入等職務應當分離,系統操作、管理和維護人員這三種不相容職務應當分離,互不兼任。信息系統各個工作人員要明確職責分工,要制定崗位責任制度,每個崗位都要得到一定的授權,并用密碼進行控制。對操作密碼要加強管理,指定專人負責定期更換操作密碼。
篇9
一、信息化建設發展情況
(一)組織管理工作不斷加強。認識的高度決定工作的力度。我局高度重視組織各股、室、處及司法所的信息化建設,并成立了信息化工作領導小組,負責全系統信息化領導工作,下設辦公室,負責全系統信息化工作的組織、協調和管理,各股室根據各自職能,具體承擔相關的信息化工作推進職責。并制定了電子政務管理制度,門戶網站管理制度,局域網使用管理制度,信息編輯、審核、和更新制度,設備使用及維護制度等,為信息化建設的規范運行提供了制度保障。
(二)硬件建設投入力度不斷加大。自2009年開始,我局按照信息化建設要求,加大信息化建設資金的投入,購置更新辦公電腦,保證局機關的日常工作的開展。同時,添置了配套使用的傳真機、掃描儀、打印機、專線電話機等現代化辦公設備,形成了與省市司法行政專網、區政府機關協同辦公網、互聯網的聯通與使用的格局。同時為各司法所配齊辦公電腦、打印機、數碼照像機等辦公設備,達到了信息化建設的高標準配置。
(三)做好網絡安全及設備維護。依據國家有關信息系統管理辦法和技術規范,認真抓好了電子政務內網(黨政網)及局域網的安全保密體系建設,做到了物理隔離和專機專用,安裝了防病毒系統、建設網絡信息安全監控系統,做到軟件及時升級、打補丁、更新病毒庫。使電子政務內網(黨政網)、互聯網可管可控,達到了網絡安全保密要求。全年無失泄密事件,無重要數據丟失現象發生。
二、信息化建設遇到的問題
1、平臺過多,不便操作。司法行政系統信息化建設工作涉及司法行政基層工作信息管理平臺、刑釋解教人員信息管理系統、政法專網等多個平臺,不同的信息必須通過不同的平臺進行報送,一方面是需要切換平臺,重新登錄,實際操作多有不便,另一方面是各種信息要求報送時間不統一,過于分散,不便操作。
2、資源無法共享,造成工作不便。目前我們的司法行政專網雖已建立但無法實現與監獄,公安等部門的資源共享,嚴重制約了司法行政工作的有效開展。
3、平臺復雜,操作困難。辦公人員對即將到來的信息化社會沒有充分的思想準備,對其在司法行政發展進程中所處的地位沒有充分了解,工作比較被動。目前基層司法所的隊伍還有待壯大,現有的部分工作人員年齡比較大,對于電腦操作方面幾乎沒有經驗,學習起來也十分困難,加上網絡平臺比較復雜,操作起來難度較大。
4、多個運營商,維護成本高。市局與我局局機關之間的聯絡采用的電信運營商,我局局機關與鄉鎮司法所之間的聯系采用的是移動運營商,多個運營商同時使用造成了運行成本高,運營商之間互相推諉,處理問題效率不高,此外,多邊繳費,維護成本也過高。
三、信息化建設有關建議
1、加強宣傳,提高認識。要加強信息化建設重要性的宣傳,使全系統人員充分認識信息化建設是推進司法行政事業發展的有效途徑和必然選擇,是提高司法行政工作質量和效率,降低辦公成本的便捷途徑,是進一步提高決策水平,更好地為民眾服務,加強內外部監督的有效手段。
2、整合各平臺,提高利用率。平臺多、難操作,建議將各個平臺整合到一起,盡量將報送各種信息的時間集中到一起,在一個系統中就能集中完成對各種信息的報送工作,這樣不僅提高了系統的利用率,也提高了司法行政系統的工作效率。
篇10
【關鍵詞】通信網絡;因素;技術;建設;措施
1.通信網絡安全的內涵
通信網絡安全是指信息安全和控制安全。其中國際標準化組織把信息安全定義為信息完整性、可用性、保密性和可靠性。而控制安全是指身份認證、不可否認性、授權和訪問控制。通信網絡的特點是具有開放性、交互性和分散性,能夠為用戶提供資源共享、開放、靈活和方便快速的信息傳遞、交流的方式。
2.通信網絡安全的現狀
2.1通信網絡發展現狀
中國互聯網絡信息中心(CNNIC)的《第27次中國互聯網絡發展狀況統計報告》數據顯示,截至2010年12月底,我國網民規模達到4.57億,較2009年底增加7330萬人。我國手機網民規模達3.03億,而網絡購物用戶年增長48.6%。Research艾瑞市場咨詢根據公安部公共信息網絡安全監察局統計數據顯示,互聯網遭受病毒攻擊中“瀏覽器配置被修改”占20.9%。“數據受損或丟失”18%,“系統使用受限”16.1%,“密碼被盜”13.1%。通過以上數據顯示,可以看出我國的通信網絡在飛速發展,而通信網絡安全問題日益加劇,通信網絡安全建設仍是亟待解決的重點問題。
2.2造成通信網絡安全問題的因素
第一,計算機病毒。計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。計算機病毒具有復制性、破壞性和傳染性。
第二,黑客攻擊。中國互聯網絡信息中心和國家互聯網應急中心的調查報告數據顯示,僅在2009年我國就有52%的網民曾遭遇過網絡安全事件,而網民處理安全事件所支付的相關費用就達153億元人民幣。網絡攻擊事件給用戶帶來了嚴重的經濟損失,其中包括網絡游戲、即時通信等賬號被盜造成的虛擬財產損失,網銀密碼、賬號被盜造成的財產損失等。產生網絡安全事件的主因是黑客惡意攻擊。通信網絡是基于TCP/IP協議,而TCP/IP協議在設計初期是出于信息資源共享的目的,沒有進行安全防護的方面的考慮,因此導致了通信網絡自身存在安全隱患,也給黑客提供了可乘之機。
第三,通信網絡基礎建設存在薄弱環節。例如通信網絡相關的軟硬件設施存在安全隱患。通信網絡運營商為了管理方便,會在一些軟硬件系統中留下遠程終端的登錄控制通道,還有一些通信軟件程序在投入市場使用中,缺少安全等級鑒別和防護程序,因此形成了通信網絡漏洞,容易被不法分子利用而發起入侵網絡系統的攻擊,使通信信息遭到竊取、篡改、泄露。另外通訊信息傳輸信道也存在安全隱患,例如許多通信運營商采取的是普通通信線路,沒有安置電磁屏蔽,容易被不法分子利用特殊裝置對信息進行竊取。
第四,人為因素造成的通信網絡安全問題。通信網絡的安全高效運行需要高素質、高專業技術水平的人員,而目前的網絡管理人員的安全觀念和技術水平還有待提升。
3.解決措施
隨著我國通信網絡功能的不斷完善,在人們日常生活、生產和社會經濟發展中起到了越來越重要的作用。因此,通信網絡安全建設需要采用有效的措施,消除通信網絡的安全隱患,加強對非法入侵的監測、防偽、審查、追蹤,保障通信網絡信息傳遞的安全性、可靠性、及時性和完整性,加強和完善通信線路的建立、信息傳輸全過程的安全防護措施。
3.1完善通信網絡基礎設施建設
通信網絡的物理安全是通信網絡安全的基礎,通信網絡基礎設施安全主要包括:保護計算機系統(各種網絡服務器)、網絡設備和通信鏈路免受自然災害、人為破壞和物理手段的攻擊,加強對系統帳戶的管理、用戶的分級管理、用戶權限的控制,以及系統關鍵部位的電磁保護防止電磁泄漏,同時要制定通信網絡安全管理制度,避免計算機控制室出現偷竊、破壞活動。
3.2完善通信網絡安全的法制體系建設
鑒于通信網絡存在安全事件造成巨大經濟財產損失,需要制定通信網絡安全的法律、法規,這也是打擊網絡犯罪的重要手段。我國在2009年3月實行了《信息安全條例(部內審議稿)》與《電信設施保護條例(草稿)》,明確了網絡與信息系統安全、網絡信息服務安全、信息技術產品和服務等內容,而且規范了保障電信設施建設與規劃、處理公用設施之間的相鄰關系、電信設施保護區的劃定、電信設施損壞賠償制度等方面的內容。進一步完善了通信網絡安全的法制體系,也為通信網絡安全運行提供了法律依據。
3.3運用網絡安全技術,保障通信網絡安全
3.3.1保障通信網絡安全的技術手段
針對通信網絡安全問題,采取的技術手段主要包括以下幾種。“身份鑒別”、“網絡授權”、“數據保護”、“收發確認”、“保證數據的完整性”、“業務流分析保護”。其中“身份鑒別”是基于身份認證技術,通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。這幾種安全防范措施,是系統開始運行到數據傳輸,以及通訊業務完成全過程的安全防護,能夠有效的保障數據傳輸的安全性、機密性、完整性。
3.3.2保障通信網絡安全的技術類型
建構防御系統還需要利用防火墻技術、入侵檢測技術、漏洞掃描技術等。
(1)防火墻技術
防火墻技術是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障,能夠最大限度的阻止網絡中的黑客入侵。
(2)入侵檢測技術
入侵檢測技術是對防火墻技術的補充。防火墻技術雖然能夠保護內部網絡不受外部網絡的攻擊,但它對內部網絡的一些非法活動的監控不夠完善。依據入侵檢測技術而應用的IDS即入侵檢測系統,積極主動地對內部攻擊、外部攻擊和誤操作的提供實時保護,IDS能夠在網絡系統受到危害之前,攔截和響應入侵,提高了信息安全性,同時也能夠主動保護網絡系統免于計算機病毒、木馬以及黑客的攻擊。
(3)漏洞掃描技術
由于通信系統自身存在漏洞,需要采用漏洞掃描技術來優化系統設置,針對不同系統軟件存在的安全漏洞下載安裝補丁程序,能夠及時升級網絡系統和修改軟件設計缺陷,以此提高通信網絡系統可靠性、安全性,保障通信網絡系統的運行。
4.總結
隨著通信網絡在全球范圍內的飛速發展,人類生活、工作的全部領域都與通信網絡息息相關,通信網絡提供高效、方便、強大服務功能的同時,其產生通信網絡安全問題也給社會經濟發展帶來了一定的負面影響。因此國家與相關部門要完善法律體系,依據安全技術手段,提高安全防范意識,全方位的增強網絡數據的安全、信息的安全、網絡系統的安全,促進通信網絡的發展。
【參考文獻】
