网络安全保障方案精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全保障方案主题范文,仅供参考,欢迎阅读并收藏。
第1篇:网络安全保障方案范文
通信网络的概念不仅仅是电话、短信这样简单的活动,随着“互联网+”的进程不断深化,使得现代生活方方面面都逐渐转移到了网络上,通信技术能够实现电子商务、电子政务、金融交易等活动在网络平台以电子货币的形式进行交易,这些交易本身就代表了巨大的资金流动、国家政策、个人隐私以及个人的财产。所以一旦网络防御不到位,当不法分字入侵之时不止会造成网络停止运行,还会造成巨大经济损失。现代的通信网络对于网络的安全保障有着前所未有迫切需求。
1 现代通信网络入侵特点概述
犯罪分子的犯罪技术随着现代化的网络技术发展也水涨船高,这就给维护网络安全带来了难度。分析近几年的网络犯罪,不难发现当前的网络犯罪逐渐显现出周期长、波及范围大、入侵方式不可预期的特点。知己知彼,方能百战不殆,下面就这几方面的犯罪趋势进行分析。
1.1 周期变长
电子技术的发展也使得病毒、木马的编写技术也发生了巨大的变革,这些威胁因素在通信网络中隐藏的时间也变得更长。调查结束显示,病毒、木马的潜伏时间发生了质的变化,从之前几毫秒已经发展到现今以年为单位的潜伏周期。并且隐藏的方式也可谓是无孔不入,一张图片,一个文本,一段视频都能成为病毒的藏身之所。
1.2 波及范围大
网络通信技术不断的更新换代,大大增加信息的传播速度,但同时也无形中使得病毒的扩散更加不易控制,现阶段,一旦病毒被激活就有可能依托现在网络的飞速传输速度,在短时间快速的传播,使大范围的用户受到影响,给通信安全带来巨大影响。
1.3 进攻手段不可预期
现代电子设备类型做种多样,和通信网络相连的除了传统的台式电脑之外还有手机、平板电脑、笔记本电脑等多种更多样的电子设备,这些设备一旦接入了通信网络也就有了被入侵的可能性,也给预防入侵工作带来了不确定性。
2 通信系统的主动防御
由上文分析可见,传统的防御措施无论在时效上还是范围上,都能以适应现代的通信网络需求。这也就是需要网络安全工作者们根据时代的特点,和前沿的科学技术发展出一套新的、切实可行的防御系统。
2.1 强化入侵检测环节
现阶段对于网络完全的防御工作已经不再是以往的被动式防御,现代通信网络安全系统能够通过入侵检测系统更加积极地实行通信网络防御。入侵检测系统能够实时监控网络数据,并且在收集的基础上对数据进行分析操作,判断通信网络中是否暗藏了木马或者病毒,这种积极地防御措施能够有效的进行清查网络中已经存在但未激活的病毒,保护通信网络的正常运行。
2.2 安全保护
传统的网络安全防御技术包括很多,分别是杀毒工具、防火墙、访问控制列表、虚拟专用网等,这些技术单一部署在安全管理系统中时防御能力不足,因此主动防御系统采用积极的防御思想,将这些技术集成在一起,实现网络病毒、木马的查杀,避免网络木马和病毒蔓延,防止大数据应用中心被攻击和感染而扰乱大数据应用中心正常使用。
2.3 系统恢复
通信网络运行和操作过程中,许多网络管理人员容易携带有病毒的U盘、硬盘接人系统,造成网络系统文件受到病毒感染,并且在网络中进行传播,导致通信网络中心中止运行。如果通信网络系统一旦受到威胁,可以采用系统恢复技术,将系统恢复到一个正常的状态。通信网络系统恢复技术包括多种,分别是系统在线备份、增量备份、阶段备份等,具体而言,可以单独或融合使用这些备份技术,备份正常运行的系统。通信网络采用在线增量备份模式,可以定期对信息资源进行增量备份,如果其遭受攻击,可以将信息资源恢复到最新的备份状态,以降低损失。
3 主动防御在通信网络安全保障中的应用
通信网络主动防御网络体系遵循策略、管理和技术相结合的原则。主动防御网络体系是在安全标准规范的指导下进行设计的,规范不仅仅包含通用规范,还包含行业安全规范,即为了通信网络安全保障,制定的适应本行业的相关规范。为了使整改系统的主动防御体系发挥充分作用,必须对应的建立相应的安全服务体系,包括风险评估、安全加固、安全培训、安全巡检、安全应急等。风险评估评估通信网络的整体安全风险。安全加固对现有的通信网络采取适当的加固措施,从而提高网络安全能力。网络安全的保障离不开人员的管理,安全培训对相关人员进行安全培训,提高相关人员的安全管理能力。安全应急是防范网络安全事件是的应急措施,做到有备无患。网络体系的主动防御从三个层面进行,包括终端层主动防御、网络层主动防御、应用层主动防御。其中,应用层主动防御包括安全态势分析与展现,安全策略规划与调整,风险评价与监控和应急响应联动。网络层的主动防御和终端层终端防御都从主动检测和主动响应恢复两个层面来进行主动防御的设计。网络主动防御体系包括主动安全检测、主动响应恢复两大部分,并且能够构成一个基于“检测、响应、恢复”的反馈控制模型,进一步提升对网络攻击的反制能力。其中主动检测包括终端主动检测和网络主动检测,响应和恢复则主要采用现有的安全防护技术手段和产品,如防火墙、防病毒系统、主机管控系统等,通过调整防火墙、主机管理系统等的安全策略,下发病毒查杀特征码,安装系统补丁等方式,实现对网络攻击的反制。
结束语
在这个时代网络通信技术史无前例的方便人们的生活,但也史无前例的将人们的个人隐私、个人财产暴露在了网络之上。在大力发展通信网络技术的同时也要加强对于通信网络的安全建设。现代互联网的发张也催生出一系列的网上办公、网上缴费、网上投票的新型办公、参政形式,由此通信网络的安全运行,不只保护了人民的财产安全,对于社会的正常运行,国家的长治久安都有着极其重要的意义。通信网络的安全和全社会息息相关,也就需要全社会能投入大量的精力,不断完善通信网络的安全,为人民生产生活、国家繁荣昌盛提供有力的保证。
参考文献
[1]梁礼,杨君刚,朱广良,等.基于实时告警的层次化网络安全风险评估方法[J].计算机工程与设计,2013,34(7):2315-2323.
第2篇:网络安全保障方案范文
1网络工程专业学生网络系统安全保障能力培养的现状分析
网络工程专业是依托于计算机科学与技术专业发展起来的。网络工程专业的人才应该具备计算机类专业人才的四大基本能力:计算思维、算法设计与分析、程序设计与实现和系统能力。网络工程专业人才的专业能力可以进一步细化为:网络协议分析设计与实现、网络设备研发能力、网络应用系统设计与开发能力、网络工程设计与实施能力、网络系统管理与维护能力、网络系统安全保障能力等。因此,网络系统安全保障能力是网络工程专业有别于其他计算机类专业的一个重要能力。但在目前的现实情况下,大家对网络工程专业和其他相关专业在专业能力构成上的差异认识不够,很多学校不同专业在网络系统安全保障能力培养方面存在同质化现象。
在专业知识体系上,网络系统安全保障知识领域的核心知识单元应有:信息安全基础、安全模型、加密、认证、数字签名、安全协议、防火墙、入侵检测系统、漏洞检测与防护、安全评估与审计等。从知识体系上来看,网络工程专业中的网络系统安全保障知识基本上是信息安全专业中密码学、网络攻防技术及信息系统安全领域基础知识的综合,具有内容多、涉及面广的特点。另外,目前的知识体系主要从防御角度出发,攻击和渗透的知识还很欠缺。如何在确保知识体系覆盖完整的条件下,突出网络工程专业的特色,是一个尚待深入研究的课题。在课程体系结构上,网络系统安全保障能力对应的网络安全课程,对网络工程、信息安全和信息对抗专业来说是主干课程,而对计算机类其他专业来说,往往是扩展课程;信息安全专业和信息对抗专业一般将其细化为至少4门主干课程,如密码学、网络安全、信息系统安全和信息内容安全。网络工程专业需要强化网络安全课程,并开设相应的扩展课程,以完善网络系统安全保障课程体系的完整性。
教学条件上,在网络与信息安全方面比较突出的国内高校主要以密码学领域的科学研究与人才培养见长,缺少网络系统安全保障的师资,特别是缺少既有工程背景和网络攻防实战经验又有高学术水平的师资,导致一些高校网络安全课程的教学质量不高,甚至无法开设,影响了网络系统安全保障能力的培养。网络系统安全保障不仅有理论性,也具有实践性,许多方法和手段需要在实践过程中认识和领会。一些高校的网络工程专业缺少必要的实验条件,有些仅仅进行加密与解密、VPN、入侵检测或防火墙等方面的简单配置性实验,缺少网络对抗等复杂的综合性实验,致使网络系统安全保障实践环节质量不高,影响学生动手能力的培养。
2网络工程专业学生网络系统安全保障能力构成
网络系统安全保障能力的教育需要以网络系统安全保障知识为载体,通过探讨知识发现问题求解过程,培养学生灵活运用所学知识有效地解决网络系统安全防御、检测、评估、响应等实际问题的能力。计算机类专业培养学生的计算思维、算法思维、程序思维、系统思维、过程思维、数据思维、人机系统思维等思维能力,而网络工程专业还要培养学生的对抗思维、逆向思维、拆解思维、全局思维等网络系统安全保障所特有的思维能力。网络系统安全保障体系是一个复杂系统,必须从复杂系统的观点,采用从定性到定量的综合集成的思想方法,追求整体效能。从系统工程方法论的观点出发,网络系统安全保障不能简单地采用还原论的观点处理,必须遵循“木桶原理”的整体思维,注重整体安全。网络系统安全保障的方法论与数学或计算机科学等学科相比,既有联系又有区别,包括观察、实验、猜想、归纳、类比和演绎推理以及理论分析、设计实现、测试分析等,综合形成了逆向验证的独特方法论。
从不同的角度看网络系统安全保障可以得到不同的内涵和外延。从物理域看,是指网络空间的硬件设施设备安全,要求确保硬件设施设备不扰、破坏和摧毁;从信息域看,重点是确保信息的可用性、机密性、完整性和真实性;从认知域看,主要是关于网络传播的信息内容对国家政治及民众思想、道德、心理等方面的影响;从社会域看,要确保不因网络信息传播导致现实社会出现经济安全事件、民族宗教事件、暴力恐怖事件以及群体性聚集事件等。网络系统安全保障涉及网络协议安全及相关技术研究、网络安全需求分析、方案设计与系统部署、网络安全测试、评估与优化、网络安全策略制订与实施等内容。培养网络系统安全保障能力就是培养学生熟悉信息安全基本理论和常见的网络安全产品的工作原理,掌握主流网络安全产品如防火墙、入侵检测、漏洞扫描、病毒防杀、VPN、蜜罐等工具的安装配置和使用,能够制定网络系统安全策略与措施,部署安全系统,同时具有安全事故预防、监测、跟踪、管理、恢复等方面的能力以及网络安全系统的初步设计与开发能力,以满足企事业单位网络安全方面的实际工作需求。
3网络工程专业学生网络系统安全保障能力课程设置
网络工程专业涉及计算机网络的设计、规划、组网、维护、管理、安全、应用等方面的工程科学和实践问题,其网络安全课程使学生了解网络系统中各种潜在的安全威胁与攻击手段以及针对这些威胁可采用的安全机制与技术。掌握常见的网络安全工具和设备,如防火墙、入侵检测、漏洞扫描等工具的工作原理,学生可以了解网络安全的相关政策法规,并具有网络安全策略与措施制定、安全事故监测等能力。为了保质保量地完成网络工程专业学生的网络系统安全保障能力的培养,可设置相应的主干课程:网络安全技术和网络安全技术实践及扩展课程安全测试与评估技术。课程涉及的核心知识点如表1所示。通过开设安全测试与评估技术,教师引导和培养学生用逆向、对抗和整体思维来学习并思考网络系统安全保障问题。
4培养学生网络系统安全保障的实践和创新能力
实践动手能力是网络系统安全保障能力培养中的重要一环。许多网络信息系统安全保障能力知识点比较难掌握,必须通过实践环节来消化、吸收、巩固和升华,才成为学生自己的技能。为此,我们一方面努力争取解决实验条件,与企业联合共建网络安全教学实验室;另一方面,自主开发实现了一系列的教学演示和实践工具,弥补部分环节难以让学生动手实践的不足。通过完善的实践体系(包括课内实验、综合实验、创新实践、实习及学科竞赛等),培养学生网络系统安全保障的实践和创新能力。课内实验包括安全测试与评估技术课程的信息收集、内部攻击、KaliLinux的安装与使用、Metasploit、缓冲溢出攻击、Shellcode、Web攻击、数据库安全、逆向分析等实验。网络安全技术课程对应的实践课程网络安全技术实践设置了加解密编程、PGP、PKI、VPN服务器和客户端、病毒与恶意代码行为分析、Iptables防火墙、Snort入侵检测、以太网网络监听与反监听、端口扫描、WinPcap编程、Windows和Linux安全配置等实验;另外还设置了两个综合实验——综合防御实验(安全配置、防火墙、入侵检测、事件响应)和综合渗透测试实验(信息收集、缓冲溢出渗透、权限提升、后门安装、日志清除)。在课内实验和综合实验环节采用分工合作、以强带弱、小组整体与个人测试评分相结合等措施,确保让每个学生掌握相应的网络系统安全保障实践能力。目前,我们正积极与网络安全相关企业建设实习和实训基地,开展社会实习和实践,探索利用社会力量培养实践能力的模式。专业实践是一门2学分的创新实践和实习课程。通过专业实践和毕业设计,学生可以根据自己的兴趣选择网络系统安全保障方面的创新实践拓展和深化。一方面,积极鼓励并组织优秀学生参加全国性和地方性的网络安全技能竞赛;另一方面,让高年级的同学参与教师的网络系统安全保障科研项目中来,让学生在竞争与对抗中和解决实际问题过程中增强自己的动手能力和创新能力,培养学生的自主学习能力和研究能力,激发他们的网络系统安全保障创新思维。
5结语
第3篇:网络安全保障方案范文
关键词:一体化;安全域;信息安全
1.引言:
随着全国信息化建设的发展和消防信息化的深入,消防业务应用系统数量和提供服务的用户数不断增加,同时,公安部消防局统一开发的一体化消防业务信息系统逐步在各总队深入推广应用,因此,为保障总队信息系统的稳定可靠运行,总队在部局规划指导下,开展一体化信息系统信息安全保障项目建设,构建设计动态积极安全防御体系,保障全局一体化业务系统稳定可靠地运行。
2.系统特点
一体化消防业务信息系统是公安部消防局根据十一五期间信息化建设项目总体实施方案统一规划设计,根据整体业务进行需求分析研发的信息系统,系统实现了纵贯部局,总队,支队,大队,中队各级,横跨各业务部门的信息资源共享,互联互通。系统以基础数据及公众服务两大平台为建设核心,包含灭火救援指挥系统,消防监督管理系统,部队管理系统,公众服务平台,综合统计分析信息系统五大业务系统。并针对一体化业务平台,提供二次开发接口,保证和其他业务信息系统的衔接。系统采用面向服务的SOA的设计理念,最终实现音频,视频,数据的综合集成,使一体化业务系统能实现互联互通互操作。
系统建设主要依托“金盾工程”,利用“金盾工程”的现有公安网基础网络和信息资源,按照网络应用环境不同,分为公安信息网(以下简称“公安网”)应用系统、互联网应用系统、公安网与互联网同步应用系统。公安网应用系统是指仅在公安网上运行的消防业务信息系统,互联网应用系统是指在非公安网运行的消防业务信息系统。公安网与互联网同步应用系统是指同时在公安网和非公安网开展业务应用、并且相互间有数据交换要求的消防业务信息系统。
根据部局的一体化系统建设指导方案和系统设计架构,总队结合当前实际情况,对一体化消防业务信息系统暂采用混合部署模式,即整个总队的一体化业务系统的应用及服务均部署于总队信息中心,由总队统一规划,统一管理,开展一体化消防业务信息系统体系建设。
3. 系统信息安全管理体系设计
为保证一体化消防业务信息系统的高可用性和高可控性,总队按照武警消防部队信息化建设总体方案的要求,对全总队网络信息安全设备配备及部署进行统一规划、设计,购买相应设备,利用信息安全基础设施和信息系统防护手段,构建与基础网络相适应的信息安全管理体系。
3.1总队信息安全管理体系安全域划分
由于总队内部计算机数量众多,并涉及到公安网,互联网以及政务网多个网络的应用,为便于管理和控制网络广播风暴的发生,应根据计算机所属部门、物理位置、重要性的不同,把局域网划分为多个虚拟子网(VLAN1…VLANn)。根据各VLAN间的安全访问级别不同,实现各VLAN间的安全访问控制。
根据各类软硬件设备提供应用的范围、面向的用户群以及影响面、重要性的不同,站在全局的高度,合理划分安全域,确定安全需求和访问控制策略、安全硬件部署策略。
总队安全域划分:
(1)核心业务处理区:涉及一体化消防业务信息系统中的部分业务系统。该安全域中的业务系统支持本地内网的业务应用,无需与外部实体进行数据或业务的交互。
(2)119接处警系统区:涉及119接处警系统所有应用服务器、数据库服务器、数字录音仪、接处警终端以及其它附属设备。本区域设备支撑119报警的受理、处置、调度、反馈以及灾后数据分析等全流程业务应用,为全内网应用。总队119接处警系统将与一体化消防业务信息系统的灭火救援系统开发数据接口。
(3)特殊业务受理区:涉及一体化消防业务信息系统中部分业务系统,主要是面向移动终端的业务接入,包括灭火救援、消防监督的业务受理系统,特殊业务受理区的受理服务器可以将受理的业务数据“摆渡”到业务处理区进行处理,在得到处理区服务器的反馈后,再将反馈信息回传到移动终端上,完成整个业务处理流程。
(4)特殊业务处理区:涉及灭火救援指挥、消防监督的业务处理系统,实时处理由业务受理平台“摆渡”过来的数据,在处理后反馈给特殊业务受理区的受理服务器。
(5)内网终端区:由内网中的办公终端组成,内网终端区用户可以访问网络中授权访问的业务系统。
(6)内网管理区:将内网中的各类管理服务器置于内网管理中,集中进行安全策略的定制、下发,集中监控各类系统运行状态。主要包括设备管理、终端管理、防病毒管理等。内网管理区由内网中具备相应管理权限的管理员来访问。
3.2信息安全保障体系构成
总队信息系统安全保障技术体系由物理安全、通信网络安全、计算环境安全、数据安全、安全基础支撑和安全管理构成。其中,安全基础支撑为物理安全、网络安全、计算环境安全和数据安全提供支持,安全管理为整个安全保障体系提供全面的管理。
安全基础支撑主要涉及总队一体化系统中的身份认证与授权系统,包括服务器计算机硬件设备以及安全认证网关设备。通过部署身份认证与授权系统及安全认证网关于核心业务处理区,确保总队认证服务及CA系统正常运行,利用数字证书登录访问一体化消防业务信息系统的模式,加强一体化系统的访问控制安全,提高一体化系统的安全级别,是整个系统的基础和支撑,是实现总队信息系统安全保障的共性设施。
数据安全包括数据库入侵检测系统、数据库访问控制系统、数据库审计系统、数据容灾备份系统等,用于保障消防信息系统中的所有数据库安全。
总队通过在涉及到一体化消防业务信息系统的业务区对一体化业务系统数据库部署磁盘阵列以及硬盘自备份和移动存储备份方式,设置全量备份,增量备份策略,执行方式为日备份,周备份,月备份以及临时应急备份,确保一体化系统的数据安全可靠。同时通过部署数据库入侵监测及审计系统,加强系统的数据库安全,确保数据库无故障和稳定运行 。在核心业务信息系统和需要重点保护的信息系统中部署数据审计系统,实时监控数据库各种账户的数据库操作行为(如插入、删除、更新、用户自定义操作等),从而降低数据库安全风险,保护数据库安全。
网络安全包括隔离防火墙、网络入侵检测设备、信息内容审计监控等设备,主要在各级区域网络互连的边界位置进行安全防护和访问控制,对进出网络的数据进行实时的检测与访问控制,以发现异常流量,并进行分析、阻断和报告。
根据安全域划分,总队在各安全域间部署防火墙,并在防火墙上设置相应策略,实现安全域间的访问控制。在核心交换机上部署网络安全审计系统,在网络边界部署一台入侵防护系统,实现对外部流入数据的监测,一旦发现入侵行为及时报警并依据策略进行阻断。同时利用IPS系统的恶意代码防护模块对网络出口处的数据进行恶意代码防护。在核心交换机上利用入侵检测系统针对所要监控流量端口做镜像,实现对流经核心交换机的流量进行监测,一旦发现入侵行为或恶意行为,及时进行报警。
计算环境安全:通过公安网一机两用监控系统以及互联网一机两用监控两套终端安全管理监测系统对安全域内的终端设备进行监测管理及系统补丁集中分发工作,结合部署在公安网和互联网上的防病毒软件系统服务器进行集中控制和病毒防控升级工作,对部署在总队局域网的计算机终端、服务器、及其运行的应用系统进行安全防护。
物理安全包含环境安全,设备安全,介质安全三个方面。通过信息中心机房的门禁系统、防雷设施、防火设施、稳压UPS电源,机房温、湿度监控系统及LED显示,声光报警等多种手段及措施,构筑我总队一体化消防业务信息系统的物理安全防护体系。
安全管理主要指综合安全管理中心,通过集中的安全管理,保障整个安全系统在统一的安全策略指导下运作,通过制定统一的安全管理协议、安全管理接口规范和安全管理数据格式,实现对用户、设备、事件的统一集中管理,实现信息系统中各类安全设备的统一管理,安全服务的实时监控和安全审计,并提供安全策略的实施和维护。
目前,总队通过部署NCC网络监控和BCC业务系监控平台,对安全域的网络设备以及各业务服务器应用,数据库等设置阀值和策略,进行集中管理,通过NCC和BCC进行每日巡检。下一步将通过COSS管理平台并平台的二次开发接口,拟对一体化系统的深入推广应用进行全方位监控管理。
3.3信息安全管理体系应急预案制定演练
信息安全管理体系建设的最终目标是保障一体化业务的正常稳定运行,各类防护措施的应用最大程度的降低了安全风险,但由于各种新的病毒、黑客技术层出不穷,制订完善的应急预案,确保系统遭受安全攻击后的可恢复性就成了系统防御的最后保障。
在应急预案中,应明确从单机故障到全网络瘫痪、从影响个人办公到全单位业务乃至造成重大社会影响的不同级别网络安全事件的定义,逐一制订对应的技术措施和管理、处置、上报机制,明确每一个步骤的责任人、责任单位。在应急预案制订完成后,必须通过至少两到三次的不同级别、层级安全事件应急处置演练进行检验,查找缺陷,完善不足,同时根据单位信息系统建设、应用的发展和网络设备的更新不断进行调整,确保应急预案的最后保障作用。
4.结束语
通过安全技术措施及各类软硬件设备组合构筑一体化消防业务信息系统信息安全管理体系,确保系统稳定运行。但安全事故很多时候不是因为技术原因造成的,二是人们没有认识到信息安全,以至于忽视了安全流程或者躲避技术控制措施,对于各类与外网逻辑隔离或物理隔离的专用网络(如公安网)来说,其源自于内部的网络安全威胁比例更高。因此,建立健全单位内部网络安全管理制度,加强网络安全教育,提升内部人员的信息安全意识就成为了增强内部网络安全管理水平的首选措施。
总队在加强信息化建设过程中必须加强安全保密管理,设置安全保密管理机构,制定严格的安全保密管理制度,采用适当的安全保密管理技术将消防信息系统中的各种安全保密产品进行集成,并加强对涉密人员的管理,形成完整的安全管理体系。同时将各类网路安全技术手段和硬件设备进行有机组合,充分发挥各自的技术特长,以物理安全、通信网络安全、计算环境安全、数据安全、安全基础支撑和安全管理六大模块构成一体化信息安全保障管理体系,并辅之以具有高度可行性和可操作性的应急预案和规范的运维机制,做到网络不断,业务不瘫,数据不丢。
参考文献:
第4篇:网络安全保障方案范文
此次大会由杭州市人民政府、中国网络空间安全协会、浙江省网信办、浙江省公安厅、浙江省经信委、云栖大会组委会指导,中国信息产业商会信息安全产业分会、阿里云计算有限公司、杭州安恒信息技术有限公司主办,浙江省计算机信息系统安全协会、杭州市网络安全协会、北京洋浦伟业科技发展有限公司、飞塔信息科技(北京)有限公司、北京元支点信息安全技术有限公司、北京珊瑚灵御科技有限公司协办。
本届大会以“安若磐石,云之所栖”为主题,以全新的国际视野,洞悉全球云安全发展趋势;围绕“中国网络安全创新分享”这一主题,共同研讨探索适应我国国情的网络安全发展的道路,共商凝聚共识,整合资源的网络安全创新新模式。
大会由公安部第一研究所原所长、计算机安全专委会主任严明主持,并宣读了杭州市委副书记、市政府党组书记、市长张鸿铭对大会发来的贺信。参加本次大会的致辞和重要演讲的嘉宾有,中央网信办网络安全协调局副局长胡啸,浙江省公安厅副厅长石小忠,浙江省经信委总工程师厉敏,中国信息产业商会信息安全产业分会理事长朱胜涛,公安部网络安全保卫局总工程师郭启全,国家信息中心专家委员会副主任、国家信息化专家咨询委员会委员宁家骏等领导和专家。另外,来自全国各地政府机构、公安部门、信息安全科研单位、央企、金融、运营商、互联网、军工各行业信息安全决策人员、信息安全主管、CIO、媒体等1500余人出席了本次大会。
专家论道产业安全
郭启全总工在演讲“加强创新和能力协同 全力保卫国家关键信息基础设施安全”中提到,国家对网络安全提出了新的要求,首先就是要健全和完善国家信息安全等级保护制度,强化关键信息基础设施保护。《网络安全法(草案)》中也提出明确要求,国家实施网络安全等级保护制度。
等级保护在网络安全保障、网络强国建设方面起着至关重要的作用。基础信息网络与重要信息系统面临着日益严峻的威胁与挑战。
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,从2014年3月开始,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入了2.0时代。
全新的《网络安全等级保护基本要求》涵盖了6个部分的内容:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求以及大数据安全扩展要求。
宁家骏指出,开展关键信息基础设施网络安全检查至关重要,安全检查是从涉及国计民生的关键业务入手,理清可能影响关键业务运转的信息系统和工业控制系统,准确掌握关键信息基础设施的安全状况,科学评估面临的网络安全风险,以查促管、以查促防、以查促改、以查促建,同时为构建关键信息基础设施安全保障体系提供基础性数据和参考。
他建议,充分借鉴国外关键基础设施网络安全保护相关法律,分析我国现有立法的不足和主要问题,抓紧建立我国关键基础设施网络安全法律体系,从法律层面明确关键基础设施的定义和范围、界定政府部门的职责、规范运营者何所有者的运营资质要求。同时通过关键基础设施网络安全态势感知、积极稳妥推动关键基础设施相关产品的国产替代、开展安全检查评测督促关键基础设施运营单位加强管理等方案促进我国关键基础设施网络安全与信息化的大发展。
聚焦G20杭州峰会安保
安恒信息CSO刘志乐在演讲中表示,杭州安恒信息技术有限公司作为本次大会网络安保和应急支撑工作的主要技术支撑单位,历经近360天精心准备、投入309位技术骨干参与到G20峰会网络安保任务。通过企业自主知识产权的最新大数据态势感知系统及应急处置工具箱、工控检查工具箱等二十多种产品平台,为G20峰会网络安保构建了全网全程网络安保和应急支撑监测体系、防御体系和服务体系,经过G20峰会全程考验,安恒信息圆满完成为本次峰会相关重要信息系统、关键基础设施、省市两级重要信息系统提供网络安全保障的安保任务。
安恒信息网络安保团队以远程和现场人员安全检测,结合部署基于云与大数据技术的远程安全监测、大会系统现场各重要驻点安全值守、会议安保指挥中心四方互联,多地支撑的形式,为大会召开保驾护航。他以本次峰会核心信息系统为例介绍道,安恒信息安保团队共发现高危以上漏洞438个,共拦截3300万次攻击。经风暴中心分析,攻击来自于41个国家和地区。
DT时代的云计算安全
阿里云安全资深总监肖力表示,云计算时代所面临的安全挑战并不比传统安全所面临的问题要少,甚至于相较之下更加复杂。通过10多年在安全领域的积累,阿里云建立了一支全球顶级的云计算安全团队,有完善的基础设施,并且有更快的安全应急时间,能及时发现高危的安全漏洞信息,用最短时间修复,帮助用户应对安全问题。
据普华永道统计,目前69%的企业正在使用基于云的安全服务,阿里云保护云上37%的数百万的网站,每天防御8亿次各类攻击,每天识别并防御35000个恶意IP,每天防御2000次DDoS攻击。安全从来就不是云平台、用户或者安全厂商某一方的单打独斗。云计算厂商需要建立强大的生态让用户个性化的安全需求能够快速有效的解决,云上客户需要与SaaS服务商和安全厂商的虚拟化产品协同作战,目前阿里云安全生态市场已有包括安恒信息在内的79家生态厂商、168款安全产品。
阿里云首席安全研究员、云盾负责人吴翰清在大会上首次了“阿里云云盾混合云解决方案”,混合云解决方案由阿里云安全团队与数梦工场联合开发、交付,支持公共云、专有云、线下IDC全场景覆盖,让企业拥有与阿里云一样的世界级安全能力与体验效果:包括安全态势感知大屏、海量宽带和快速扩容、大数据安全分析、威胁情报支持和0DAY快速反应能力。
模块化是混合云云盾解决方案的一大体验亮点。阿里云云盾的安全能力和服务,用“可插拔”的模式,模块化输入。用户可以按需购买,按需启用,解决以往线下解决方案不灵活、投入大的缺点。
安恒密盾2.0
安恒密盾安全产品经理杨锦峰做题为“打造你的钉钉移动应用安全之路(密盾2.0)”的演讲。
第5篇:网络安全保障方案范文
第十七届中国信息安全大会陌踩的不同层次重新审视和解读了信息安全。本次大会对信息安全领域优秀的企业、产品以及解决方案等设置了奖项,由《中国计算机报》颁发。其中,安恒信息获得“2016中国网络安全领域重大活动网络安保与应急支撑突出贡献企业”“2016中国云安全领域领军企业”“2016中国数据安全审计领域最具推广价值产品”,以及“2016中国数据库防火墙领域最佳产品奖”四项殊荣。
安恒信息能获得四项奖项充分显示了其在“互联网+”战略下对网络安全行业发展带来了变革并取得了阶段性成果,助力各行业“互联网+”行动计划的安全落地与实施,帮助更多企业拥抱互联网。在具体的成果上,安恒信息在云安全、网络安保方面,均以行业领军的品牌实力服务于各行各业,交出了一份丰富、领先的成绩单。
安恒信息CBO李刚表示,安恒信息能够荣幸得到组委会专家和用户的票选认可,在本届大会中囊括四项重量级大奖,这既是对安恒信息过去持续创新和企业跨越式发展成绩的肯定,也是对安恒信息未来继续深耕国内网络安全前沿技术和对国家、用户提供更加坚强的网安护航的鞭策和要求。
当今社会,信息技术瞬息万变,保持最新技术与行业信息安全环境同步发展至关重要。云计算催生IT安全革命,而专业知识还是没有跟上技术创新的速度,目前缺乏专业的安全专家,保障企业在云中的数据安全。在云计算、云存储之后,云安全越来越被大家关注,在云计算的架构下,云计算开放网络和业务共享场景更加复杂多变,安全性方面的挑战更加严峻。
凭借在行业十年的发展与积累,安恒信息形成了通过云监测、云防护、云审计、云应用四大产品线构建全生命周期的一站式“安恒云”平台,为用户提供全方位、立体式的安全托管服务,帮助用户更快速、更安全、更放心地拥抱云计算和大数据。目前“安恒云”防护模式已在各大云平台成功实践并拥有上千家云客户案例。是政府军工、公检法司、运营商、金融能源、财税审计、教育医疗等行业值得信赖的网络安全首选品牌。安恒信息凭借“玄武盾”、“飞天镜”和“先知”等云安全领域的变革创造优势产品,成为行业用户应对云安全问题最信赖和认可实力品牌。
安恒信息全生命周期的一站式“安恒云”平台,为用户提供全方位、立体式的安全托管服务,帮助用户更快速、更安全、更放心的拥抱云计算和大数据,目前“安恒云”防护模式已在各大云平台成功实践并拥有上千家云客户案例。
目前,云安全技术正在全面从杂乱无章地应对各项威胁,向更加全面彻底的云安全解决方案过渡,但在这个技术趋势方向之外,归根结底的一个基础就是:数据中心,只有建立了强大的计算中心,才能将云安全的体系和技术的价值发挥到最佳,为客户提供更短的防病毒响应时间。毫无疑问,数据中心已经成为了云安全的决胜法宝。
安恒信息自主研发建立的“风暴中心”,基于云技术的网站安全自动化监测及分析预警平台,对公司所有客户的网站实行每天24小时实时监控,一旦发现问题,及时反馈并予以回应。365天对目标进行主动监控系统和攻击预警系统。一方面针对全国数十万个网站做漏洞扫描、可用性监控、篡改监控、木马监控、敏感关键字的主动监控;另一方面安恒信息已在国内大多数省份部署了“攻击监控”设备,当其所监控的网站遭遇黑客攻击,监控设备会及时生成“攻击日志”,并反馈到“风暴中心”,中心收到日志后,立马进行自动化分析处理,了解黑客攻击的持续时间、黑客的IP地址及所使用的攻击手段,并对此次攻击的危害程度做出评估。与此同时,根据危害程度,实施相应的反击预案。
第6篇:网络安全保障方案范文
企业战略集团(ESG)的一项调查显示,IT管理人员认为网络安全是2011年必须优先考虑的问题。不断增长的互联网和内部网络带宽需要更快、更可靠的网络安全系统,以保证所有级别网络环境中的数据安全。“数据安全是一场必须在多条战线上同时进行的战斗,特别是在网络层面。”迈克菲(McAfee)公司副总裁Dan Ryan表示。无论在IT基础设施的哪个层面,安全都是不容忽视的一个问题。正因为如此,网络与安全融合、存储与安全融合的例子越来越多。
随着数据量和业务的不断增加,人们需要访问的设备越来越多,面临的网络安全威胁也越来越多,因此打造端到端的网络安全体系,实现主动的安全性管理,降低业务风险成了数据中心用户的当务之急。“安全无处不在。以后,独立的安全厂商可能会越来越少。博科(Brocade)之所以和迈克菲合作提供广泛的、完全互通的端到端网络安全解决方案,目的是为客户提供更多的选择。”博科公司大中国区总经理卢少文表示。
博科与迈克菲合作的近期目标是,联合设计一套互通的解决方案,以满足企业客户的网络安全需求。联合解决方案主要包括以下内容:博科Netlron MLX系列高性能路由器与迈克菲企业级防火墙和入侵防御技术相结合,为大型企业网络核心进行优化配置,以抵御外来的安全威胁;博科Servering应用交付控制器与可实现负载均衡的迈克菲企业级防火墙技术相结合,提供针对拒绝服务(DoS)和SYN攻击的充分保护,同时提供高性能的、永远在线的、安全的防火墙服务;迈克菲网络访问控制(NAC)解决方案与博科Fastlron CX和Fastlron紧凑型边缘交换机相结合,可确保网络接入层的安全;博科IronView网络管理工具通过基于开放标准的网络管理协议,使网络基础设施能够自动回应由迈克菲网络访问控制、入侵防御和防火墙解决方案生成的安全事件。在完成联合解决方案的设计与包装后,博科与迈克菲将继续在网络管理方面进行深入合作。
EGS分析师Jon Oltsik表示:“不断变化的安全威胁和校园网络的融合促进了网络与安全产品的整合。企业必须让整个网络基础设施时刻保持警惕的状态,以主动应对可能产生的攻击。”在收购网捷之后,博科已经把市场拓展的重点放在了IP网络产品上。博科IP网络产品与迈克菲安全产品集成在一起,构成了从防火墙、入侵检测、预防系统到网络访问控制的完整的安全保障体系,能够保护客户不受恶意活动、数据泄露、网络入侵等各类安全威胁的侵袭。卢少文表示:“安全是一种功能。博科自己不是安全专家,但是为了让客户能随时随地、安全地访问网络服务,博科通过与迈克菲合作的方式,也能够为用户提供高可靠的网络安全解决方案。未来,博科将抱着一种开放的心态,与更多安全厂商合作,为用户提供更多的安全功能选择。”
第7篇:网络安全保障方案范文
论文关键词:金融信息系统;灾备中心;网络;生产中心;安全
0、引言
随着我国金融体制改革的不断深入和金融业的快速发展以及全球经济一体化进程的加快.我国商业银行逐步完成数据集中与新一代综合业务系统的推广.业务自动化处理程度与管理水平进一步提高。从长远发展以及确保其安全、连续、稳定运行等方面考虑.建设金融信息系统灾备中心以保证数据安全和业务连续性是非常必要的.有利于各银行增强抵御金融风险能力、提高金融服务水平、增强国际竞争力。而建设先进、可靠、稳定的网络是业务系统运行的基础,也是为系统提供必要的安全保障。
本文从工程建设的角度.并结合在金融信息系统灾备中心网络运行维护的实际经验,对数据集中程度高、分支机构多的金融单位灾难备份中心网络建设提出了一套切实可行的技术方案。
1、建设目标
金融信息系统灾备中心网络建设目标是构建能够适应金融业务和应用发展要求的高可靠、高性能、可灵活扩展、安全可控的网络公用基础设施。灾备中心网络的服务模型如图1所示。
灾备中心网络建成后。作为系统的备用网络节点,可为业务系统在以灾备中心为辅的运行提供通信服务.同时还应具备与生产中心、灾备中心共同为业务系统的连续性提供保障的能力。
灾备中心网络结构能够满足接替生产中心运行的网络需要.且具备灾难备份保障功能.建设生产中心和灾备中心之间互连的高速数据通道,可用于备份数据的传输,辅以网络切换功能,保障业务运行的连续性.提高整个系统的可用性。
构建面向应用和系统的服务网络.为金融信息系统中的各应用系统提供统一的基础网络服务平台。
根据业务类型、功能要求、安全等级等因素。进行安全域、功能化、层次化和模块化分区,从而构建出满足业务系统要求、且具有一定先进性的数据中心。
构建完善的灾备中心网络安全体系:利用主动防御与被动防范相结合的安全技术。形成从网络边界、内部网络到系统的多层面的整体纵深防御体系,具备信息加密、入侵检测与防范、病毒防护、访问控制、身份认证和安全审计等功能。
部署统一集中的网络管理中心和安全管理中心.能对整个金融信息系统网络和安全状况进行统一的管理和监控。
2、设计原则
(1)高可用性
统一的、标准化的网络架构;结构化、模块化的设计方式:通过高可靠的网络部署(包括链路和设备的冗余,尽量避免单点故障)以提高网络的可用性;采取功能、对象、风险、控制的层次性划分,降低网络故障的影响区域,提高整体网络可用性;选用成熟稳定的网络设备和网络技术。
(2)高安全性
灾备中心系统结构设计必须根据不同应用系统特点和业务数据敏感度实施不同的安全防护措施.确保数据中心各类业务系统的信息安全。
遵循中国人民银行安全规范:制定和实施贯穿整个灾备中心网络的统一安全策略:具备对灾备中心内的服务器、存储设备和用户提供相应的安全防护和控制的能力:网络基础设施自身具备安全防护能力。
(3)高灵活性、高可扩展性
近年来。我国金融信息系统的建设呈现出”数量越来越多、规模越来越大、系统结构越来越复杂、数据安全性要求越来越高、运行责任越来越重大”的特点。因此。灾备中心网络的总体结构设计要具有灵活的扩展性.既要满足今后新系统上线运行的要求。也要满足每个业务系统处理能力的扩展性的要求。
具备网络容量的扩展能力。能满足服务器数量、用户数量和数据流量的增长需求;具备适应上层应用模式变化的能力,既满足现有的应用模式.又能满足多层次的应用模式对网络服务和网络结构的要求;能适应安全策略的变化,可灵活划分安全等级,部署安全措施;符合世界技术发展趋势,能向未来可能采用的技术架构平稳过渡。
(4)便于运行维护和管理
强大的网络管理平台;提供带外管理网络支持,特别为紧急情况下提供增强的管理渠道;相对统一的设备类型和型号;充足完备的网络分析工具;充分考虑灾备中心运维管理流程的需要。
(5)先进性
采用先进的高性能网络产品和相关技术.以满足灾备中心未来5年业务快速发展的需求。
3、解决方案
(1)网络体系结构
根据灾备中心不同的服务功能.灾备中心网络在功能上分为核心交换区、生产区、管理区、MIS服务区、内联接人区、外联接人区、开发,测试区和Internet接人区等区域。灾备中心网络体系结构如图2所示。
(2)灾备中心网络逻辑结构
灾备中心网络的逻辑层次有三层:核心层、分布层和接入层。核心层的主要功能是负责各个分布层数据的高速转发:分布层的主要功能是为接人层提供网络服务:接入层的功能是向最终用户和设备提供接入。分布层和接入层可以根据应用、管理功能和安全要求划分为若干模块。
各个层次的功能是:
核心层是灾备中心内部高速的三层交换骨干.该层不进行终端系统的连接.不实施影响高速交换性能的安全访问控制策略。
分布层作为接入层和核心层的分界层.该层完成的功能包括:区内VLAN问的路由;区内I王’地址或路由区域的汇聚:实施安全访问控制策略。
接人层提供Layer2的网络接入.通过VLAN定义实现接入的隔离。该层具有的主要特点是:根据实际使用情况规划接入端口容量。并具有一定的扩展性;不同功能分区的接人层相对独立;不同类型的接人层应各自分开,连接到对应功能区的分布层:为实施QoS。对数据包进行分类和标记。
各层之间的连接:
上述每一个层次结构内部需要采用冗余的架构来保障该层功能的稳定可靠。
在相邻层次之间.同样需要采用冗余的连接(物理连接或协议)来保障各层次结构之间的稳定可靠。
网络扩展时.核心层和分布层的架构保持不变,接入层可以随接人需要扩展。
物理实现时.分布层和接人层设备可以合并。
(3)灾备中心信息安全体系设计
灾备中心信息安全体系的建设目标是以信息安全标准为依据.建立一套具有统一安全策略、纵深防御能力、监控和审计功能的信息系统平台.具有可持续建设能力的业务系统支撑平台和具有高效率的网络通讯平台。信息安全体系的建设在确保网络通讯畅通的同时最大限度地保护核心业务系统的安全。通过技术、人员、管理等方面的综合建设、保障最终使灾备中心的信息系统达到保密性、完整性、可用性、可控性、抗抵赖性的要求。灾备中心网络的信息安全体系结构如图4所示。
为达到信息安全建设的总体目标.灾备中心信息安全体系分为七个方面:信息系统安全技术和安全服务;基于安全域的纵深防御体系;安全管理体系;安全法规;信息安全技术保障;信息安全策略和审计:信息系统基础设施。七个方面的内容可划分为”四个层面。两个支撑。一个确保”。
第一个层面为信息安全技术和安全服务。在这个层面上描述灾备中心信息安全建设中采用的安全技术手段和实现方法.以及这些技术提供了鉴别、加密、访问控制、完整性、抗抵赖等信息安全服务。从技术实现的角度落实信息安全要求。确保灾备中心信息安全。
第二个层面为基于安全域的纵深防御体系。在这个层面上主要从系统设计的层次描述了贯彻信息安全要求的设计、规划理念.从网络边界安全到内部局域网网络安全以及计算机系统的安全综合考虑。统筹规划。在网络和计算机等相关系统的设计过程中充分考虑信息安全的总体要求。
第三个层面为安全管理。在这个层面上要认真树立信息安全理论中”三分技术。七分管理”科学管理理念,建立符合灾备中心实际的协调、高效、可行的管理制度。把人员管理放在首位。加强以人员教育为主要手段的社会工程学管理。巩固信息安全。同时制定风险管理、安全评估、应急响应和灾难恢复等相关制度。
第四个层面为安全法规和制度。在这个层面上要以国家的有关信息安全的法律、法规、标准为依据.指导灾备中心的信息安全建设.同时落实中国人民银行关于信息安全建设的相关要求。在这个层面还体现了各级领导、信息安全管理部门在信息安全建设中的主导地位和重要作用。信息安全建设要依靠标准、法规、制度,政策,依靠领导关心、指导、协调,依靠所有部门齐心协力、齐抓共管.依靠全体员工同心同德。群策群力才能确保成效。
以上四个层面由低到高描述了信息安全建设的基本思路。
除了四个层面的内容外.信息安全保障、信息安全策略和审计起到支撑作用,保障信息系统建设和稳定运行。信息安全保障主要从技术、人员、工程、管理的角度建立有效的信息安全保障技术和保障制度。依靠准则和标准建设灾备中心的信息系统工程:依靠人员借助技术手段对灾备中心庞大、复杂的信息系统进行操作、运行和维护。为灾备中心的信息安全系统以及各个业务系统提供强有力的技术支持:依靠制度和技术手段对信息安全事件进行有效地发现、分析和处理。信息安全策略和审计主要起到统一规划。加强审计、监督的作用。利用审计手段明确责任,定位责任.巩固信息安全建设。在信息安全的建设和规划中落实”职责分离.最小授权”的信息安全原则。
最终.确保灾备中心整个信息系统的安全、稳定、高效的运行。实现信息安全建设的目标。
4可行性分析
方案分析主要包括网络可靠性分析、网络安全性分析和网络扩展性分析等方面
(1)网络可靠性分析
灾备中心网络的可靠性应能满足业务稳定运行的要求.具体分析如下:
线路的可靠性
灾备中心网络的线路主要包括:灾备中心网络内部连接;灾备中心网络的内联和外联接口等。其中:灾备中心网络由局域网交换机构成.基本上功能相似的一个或一组交换机均与骨干交换机保持2个连接.避免线路的单点故障。内联区提供的广域网接口.针对每个分支行提供2条不同电信运营商的电路.外联接口同样为外联机构提供2条不同电信运营商提供的电路。如采用光纤接入方式的ATM电路,每条ATM电路的可用率为99.9%.因此总体广域网线路的可用率大于99.96%。
网络设备的可靠性
灾备中心网络设备采用中高档设备.关键设备不仅配置冗余电源,还配有冗余的处理模块、冗余的总线等。设备自身具有很高的可靠性。同时,对生产区等关键区域,还采取l:1热备份,进一步提高了整个网络的可靠性.应完全能够满足业务系统对可靠性的要求。
(2)网络安全性分析
为保障灾备中心业务系统的安全.采取了多种网络安全措施。部署了多种网络安全产品。采取了相应的网络安全管理技术手段。主要有:在外联区采用防火墙进行安全隔离.对进出灾备中心的访问进行控制。内部各区域之问也部署防火墙.对内部区域问的数据流向和访问进行较有效的控制:每个区域均部署IDS、漏洞扫描系统,作为主动防御的技术措施,对系统漏洞、数据和访问进行监控:敏感数据采取加密措施.可防止泄密的产生;建立统一的防病毒系统,尽可能将病毒维护减少到可接受的水平;部署认证系统。对用户权限进行必要的管理:建设网络安全监控和安全分析系统.综合监控和分析各种安全设备产生的日志等信息。可比较全面地对网络安全进行管理;集中的审计系统,以从网络、系统和安全等三个层面。对操作行为进行跟踪和记录。减少违规行为产生的危害。这些安全措施。可建立主动和被动相结合的纵深防御体系.对业务系统的安全运行起到积极的保障作用。
(3)网络扩展性分析
网络扩展性主要体现在:
通信容量的扩展
按照方案的配置。连接各分支行和外联机构的接口。可满足每个分支行及外联机构以2条ATM电路接入的要求.平均每条ATM电路的速率不低于2Mbps,在业务量增加后,如总计业务量不超过155Mbps,可逐步扩容PVC带宽满足业务需求。如总计业务量超过155Mbps,可根据需要。增加ATM接口的数量。
支持业务系统的扩展
灾备中心网络采用了以安全域进行分区、在分区内按系统类型进一步划分子区的设计思想。新的业务系统按其安全等级可部署在相应的安全域(区)内,系统(如前置、服务器等)在连接到子区内.基本上不需要改变数据中心网络的结构。因此在这种思想下设计的数据中心具有较强的业务扩展能力。
5、结束语
第8篇:网络安全保障方案范文
一、高度重视,迅速贯彻落实
通过召开专题会议、发送微信通知,及时将上级的文件精神传达给每位干部职工,让全体党员干部充分认识到做好当前网络信息安全保障工作的重要性和必要性,并作为当前的一件头等大事来抓,确保网络安全。
二、强化管理,明确责任
为进一步完善网络信息安全管理机制,严格按照“谁主管谁负责、属地管理”的原则,明确了第一责任人和直接责任人,加强对本单位的内部办公网及其它信息网站的监督管理,防范黑客的入侵。严禁传播、下载、发表一切不利于党和国家的信息资料,坚决制止违纪违规行为发生,确保网络信息安全。按照上级要求,迅速成立了网络安全工作小组,负责网络安全应急工作,组织单位有关方面做好应急处置工作,组织开展局域网络安全信息的汇集、研判,及时向县网信办报告。当发生重大网络安全事件时,能及时做好应急响应相关工作。由办公室负责本区域网络安全事件的监测预警和应急处置工作,分管副局长为网络安全工作小组的副组长,负责办公室。建立了本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好网络信息安全保障职责。
三、信息报告与应急支持
1.积极响应上级领导的有关要求,实时观测本区域网络安全信息,努力做到有效应对网络安全事件,一旦发生重大安全网络事件及时向县网信办报送网络安全事件和风险信息,并及时上报相关部门,积极配合协同做好应急准备工作或处置。
2.积极建立健全本系统、本部门、本行业重大网络安全事件应急响应机制。应急处置时,需要其他部门、行业或技术支撑队伍支持的,一定及时报请县网信办协调,同时配合其他部门尽快解决。
四、细化措施,排除隐患。
办公室将对对全局的网络设备、计算机进行一次细致的排查。检查安装桌面终端安全管理系统和杀毒软件,确保桌面终端安全管理系统注册率和360杀毒软件覆盖率达百分之百。对于在检查中发现的问题或可能存在的安全隐患、安全漏洞和薄弱环节,立即进行整改。进一步完善相关应急预案,落实应急保障条件。杜绝出现违规“自选动作”,遇重大突发敏感事件,一律按统一部署进行报道。各科室要严把网上宣传报道导向关,严格规范稿源,不得违规自采,不得违规转裁稿件,不得擅自篡改标题。严格网上新闻报道审校制度,防止出现低级错误,同时加大了对新闻跟帖的管理,组织本单位网评员积极跟帖。
五、应急值守
1.单位网络安全应急负责人、联系人要保持网络畅通,及时接收风险提示、预警信息和任务要求,并按要求报告相关情况。负责人、联系人名单或联系方式有调整的,及时函告县网信办。
2.值班期间,实行每日“零报告”制度,每日下午17:00前,报送当天本部门网络安全运行情况、受攻击情况和事件情况,一旦发生网络安全事件,立即启动应急预案,迅速应对,有效处置,并按规定程序及时报告有关情况。
六、工作要求
第9篇:网络安全保障方案范文
随着终端的不断智能化,其带来的应用也越来越多,从最初的语音,到丰富的交互式应用如社区、电子商务、支付等。在这样的背景下,作为向用户呈现最终应用的互联网,其所面对的复杂安全威胁也在向传统电信网渗透。
近日,在接受《通信产业报》记者采访时,国家计算机网络应急技术协调处理中心副总工程师杜跃进指出:目前,传统意义上的互联网安全和电信网安全界限已经越来越模糊,电信网络安全的挑战更多地来自于用户端。
运营商要对用户数据安全负责?
杜跃进指出,与传统思路相比,电信网络安全需要同时注重交换网络安全和用户数据安全。
交换网络的安全问题源自于电信网络向NGN的演进。他指出,网络安全应采取新的技术手段,以保证软交换网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于软交换技术选择了IP网作为承载网,网络安全问题尤其突出。
而用户数据安全问题的产生则要归因于网络功能的增强。杜跃进认为,由于基于NGN的多媒体、交互式业务不断增长,用户的隐私保护问题对于电信运营商和互联网服务商来说将是无法回避的,电信运营商和互联网服务商有责任采取多种技术手段,保护用户的账户信息和通信信息的安全。他指出,这些安全保障的实施有两大要点:首先,软交换网须采用必需的安全认证策略保证用户账户信息的安全;同时,无论是用户的账户信息还是用户的通信信息的安全均需要IP网的安全策略作为保证。
交换网络方面的安全新挑战容易理解,但用户数据安全的提法无疑扩大了传统电信网安全保障的责任范围,电信运营商对此持保留意见。中国电信网络资源管理处处长叶薇表示:“尽管用户数据安全问题较为迫切,但目前其尚不在运营商网络安全维护的责任之内,只有当国家政策作出相关要求,或者大规模病毒泛滥严重影响承载网络可用性的情况下,电信运营商才会在网络节点上采用应对手段,进行流量清洗和净化。”
来自用户终端的威胁
尽管用户数据安全的责任归属难以界定,但叶薇承认,电信运营商并不能超然事外。她指出,DDOS、垃圾流量、蠕虫,是当前网络交换和网络应用的三大杀手,而三者滋生的温床都是用户端的僵尸网络集群。其中,DDOS攻击能产生大量非法不可控流量,通过消耗网络资源,造成网络设备性能下降,数据包转发异常,导致网络可用性下降,堪称当前电信运营商核心网面临的最为严酷的安全挑战。
最近一份赛门铁克的网络安全监测报告指出,位于中国的僵尸网络计算机终端数量已经位居全球第二,占全球僵尸网络计算机总量的9%。今年11月底,在中国移动举办的移动互联网研讨会上,来自绿盟科技的演讲者韩永刚也提到,据绿盟科技监测统计,中国目前已经有三百多万个IP地址被僵尸网络所控制。
这使得交换网络安全和用户数据安全正在面对的威胁越来越趋于专业化和多元化。韩永刚举例说:“今年10月,中国电信某城域网就面对了一次僵尸集群发动的DDOS攻击,其网络承受的攻击量从3G增长到5G、6G,电信运营商和安全厂商忙于应付,在之后的调查中发现攻击来源的IP都是僵尸计算机,幕后真凶也无从查起。”
对此,中国电信网络资源管理处高级业务主管王新峰认为:用户终端沦为僵尸网络,其引发的蠕虫病毒、DDOS攻击、垃圾流量工作机理各不相同。“目前中国电信已经开始着手解决,以不同的方法应对。”他说。
王新峰举例表示:垃圾流量主要是由P2P应用、垃圾邮件等业务带来的,这些流量不受运营商控制,其主要问题是占有大量带宽资源,但不能为运营商带来利润。垃圾流量可以采用DPI设备进口控制,在核心网边缘部署DPI设备,将垃圾流量进行整型限流处理,以防对核心网造成不良影响。
而对DDOS攻击已经有成熟的解决方案。王新峰告诉记者:电信运营商应在核心网部署流量清洗中心实施DDOS防御,通过在核心网的国际出口、互联互通出口、省网出口、城域网出口等网络数据的关键出入口部署流量清洗中心,检测进出网络的数据,一旦发现可疑流量,则利用流量牵引技术将这部分流量引流到流量清洗中心,在流量清洗中心将攻击流量过滤,最终将清洁流量回注到网络中。
健全安全保障机制
此外,除了采用多种技术保障交换网络和用户数据的安全外,健全的安全策略和管理机制也将扮演越来越重要的角色。事实上,在2005年由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办,通信产业报社承办的的“2005年中国电信业网络与信息安全研讨会”上,六大电信运营商就曾承诺,其不仅要在技术上不断强化网络安全,更要进一步完善网络信息安全责任制度,健全网络信息安全保障措施,不断提高管理水平。
记者了解到,在网络信息安全方面,电信运营商都设置了相关的应对机制,并分别采取了专门项目小组的形式或各部门设置技术专员的形式。以中国联通为例,其在数据与固定通信业务部和互联网与电子商务业务部均有网络信息安全相关的工作人员。中国联通集团运行维护部传输及配套维护处经理民指出,中国联通一直非常重视交换网络与用户数据安全,同时,联通在信息内容的安全性和健康性方面也严守国家相关规定,坚持以应用及其信息内容的安全、健康为中心,构建绿色网络。而中国电信方面,王新峰表示,网络运行维护事业部的分支部门对网络安全各个层面负责进行监管。
链接电信网络安全新变化
(1)应用安全提上议事日程
过去:强调网络的可靠性和可用性,不强调网上应用的安全;
现在:不仅要强调业务的可用性和可控性,还要强调承载网的可靠性和生存性,而且要保证信息传递的完整性、机密性和不可否认性。
(2)承载网与信令网同等重要
过去:对信令网的安全要求高,一般为独立的信令网,信令网的安全可靠保证了网络的安全;
现在:强调网络融合,信令网与传输网用同一张网进行承载,承载网的安全变得非常重要。
(3)IP技术疏于监控黑客行为
过去:传输采用TDM的专线,用户之间采用面向连接的通道进行通信,其他用户很难插入偷听;
现在:采用IP技术进行通信,由于IP的无连接性,及不对源地址进行认证的特性,黑客容易截取通话,盗用账号,电话骚扰。
(4)DDOS攻击带来挑战
