前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全及等级保护主题范文,仅供参考,欢迎阅读并收藏。
关键词:等级保护;网络安全;信息安全;安全防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)19-4433-03
随着我国国际地位的不断提高和经济的持续发展,我国的网络信息和重要信息系统面临越来越多的威胁,网络违法犯罪持续大幅上升,计算机病毒传播和网络非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木马间谍程序、网络钓鱼技术、黑客病毒技术等技术进行网络诈骗、网络盗窃、网络赌博等违法犯罪,给用户造成严重损失,因此,维护网络信息安全的任务非常艰巨、繁重,加强网络信息安全等级保护建设刻不容缓。
1 网络信息安全等级保护
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络信息安全等级保护体系包括技术和管理两大部分,如图1所示,其中技术要求分为数据安全、应用安全、网络安全、主机安全、物理安全五个方面进行建设。
图1 等级保护基本安全要求
1) 物理安全
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。
2) 主机安全
主机系统安全是计算机设备(包括服务器、终端/工作站等)在操作系统及数据库系统层面的安全;通过部署终端安全管理系统(TSM),准入认证网关(SACG),以及专业主机安全加固服务,可以实现等级保护对主机安全防护要求。
3) 网络安全
网络是保障信息系统互联互通基础,网络安全防护重点是确保网络之间合法访问,检测,阻止内部,外部恶意攻击;通过部署统一威胁管理网关USG系列,入侵检测/防御系统NIP,Anti-DDoS等网络安全产品,为合法的用户提供合法网络访问,及时发现网络内部恶意攻击安全威胁。
4) 应用安全
应用安全就是保护系统的各种应用程序安全运行,包括各种基本应用,如:消息发送、web浏览等;业务应用,如:电子商务、电子政务等;部署的文档安全管理系统(DSM),数据库审计UMA-DB,防病毒网关AVE等产品。并且通过安全网关USG实现数据链路传输IPSec VPN加密,数据灾备实现企业信息系统数据防护,降低数据因意外事故,或者丢失给造成危害。
5) 数据安全
数据安全主要是保护用户数据、系统数据、业务数据的保护;通过对所有信息系统,网络设备,安全设备,服务器,终端机的安全事件日志统一采集,分析,输出各类法规要求安全事件审计报告,制定标准安全事件应急响应工单流程。
2 应用实例
近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,某医院的核心系统按照等级保护三级标准建设信息系统安全体系,全面保护医院内网系统与外网系统的信息安全。
医院网络的安全建设核心内容是将网络进行全方位的安全防护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护;通过安全域划分,实现对不同系统的差异防护,并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异,各自可能具有不同的安全防护需求,因此需要将不同特性的系统进行归类划分安全域,并明确各域边界,分别考虑防护措施。经过梳理后的医院网络信息系统安全区域划分如图2所示,外网是一个星型的快速以太交换网,核心为一台高性能三层交换机,下联内网核心交换机,上联外网服务器区域交换机和DMZ隔离区,外联互联网出口路由器,内网交换机向下连接信息点(终端计算机),外网核心交换机与内网核心交换机之间采用千兆光纤链路,内网交换机采用百兆双绞线链路下联终端计算机,外网的网络安全设计至关重要,直接影响到等级保护系统的安全性能。
图 2 医院网络信息系统安全区域划分图
2.1外网网络安全要求
系统定级为3级,且等级保护要求选择为S3A2G3,查找《信息系统安全等级保护基本要求》得到该系统的具体技术要求选择,外网网络安全要求必须满足如下要求:边界完整性检查(S3) 、入侵防范(G3) 、结构安全(G3) 、访问控制(G3) 、安全审计(G3) 、恶意代码防范(G3) 和网络设备防护(G3) 。
2.2网络安全策略
根据对医院外网机房区域安全保护等级达到安全等级保护3级的基本要求,制定相应的网络安全策略
1) 网络拓扑结构策略
要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。要采取一定的技术措施,监控网络中存在的安全隐患、脆弱点。并利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
2) 访问控制策略
访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够连入内部网络,那些用户能够通过哪种方式登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
3) 网络入侵检测策略
系统中应该设置入侵检测策略,动态地监测网络内部活动并做出及时的响应。
4) 网络安全审计策略
系统中应该设置安全审计策略,收集并分析网络中的访问数据,从而发现违反安全策略的行为。
5) 运行安全策略
运行安全策略包括:建立全网的运行安全评估流程,定期评估和加固网络设备及安全设备。
2.3网络安全设计
根据对医院外网安全保护等级达到安全等级保护3级的基本要求,外网的网络安全设计包括网络访问控制,网络入侵防护,网络安全审计和其他安全设计。
1) 网络访问控制
实现以上等级保护的最有效方法就是在外网中关键网络位置部署防火墙类网关设备,采用一台天融信网络卫士猎豹防火墙、一台CISCO公司的PIX515和一台网络卫士入侵防御系统TopIDP。
①外网互联网边界防火墙:在局域网与互联网边界之间部署CISCO公司的PIX515百兆防火墙,该防火墙通过双绞线连接核心交换区域和互联网接入区域,对外网的互联网接入提供边界防护和访问控制。
②对外服务区域边界防火墙:对外服务区域与安全管理区域边界部署一台千兆防火墙(天融信NGFW4000-UF),该防火墙通过光纤连接核心交换机和对外服务区域交换机,通过双绞线连接区域内服务器,对其他区域向对外服务区域及安全管理区域的访问行为进行控制,同时控制两个区域内部各服务器之间的访问行为。
③网络入侵防御系统:在托管机房区域边界部署一台网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,为托管机房区域提供边界防护和访问控制。
2) 网络入侵防护
外网局域网的对外服务区域,防护级别为S2A2G2,重点要实现区域边界处入侵和攻击行为的检测,因此在局域网的内部区域边界部署网络入侵检测系统(天融信网络入侵防御系统TopIDP);对于外网托管机房的网站系统,防护级别为S3A2G3,由于其直接与互联网相连,不仅要实现区域边界处入侵和攻击行为的检测,还要能够有效防护互联网进来的攻击行为,因此在托管机房区域边界部署网络入侵防御系统(启明星辰天阗NS2200)。
①网络入侵防御系统:在托管机房区域边界部署一台采用通明模式的网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,其主要用来防御来自互联网的攻击流量。
②网络入侵检测系统:在外网的核心交换机上部署一台千兆IDS系统,IDS监听端口类型需要和核心交换机对端的端口类型保持一致;在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至IDS监听端口;IDS用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行检测。
3) 网络安全审计
信息安全审计管理应该管理最重要的核心网络边界,在外网被审计对象不仅仅包括对外服务区域中的应用服务器和安全管理区域的服务器等的访问流量,还要对终端的互联网访问行为进行审计;此外重要网络设备和安全设备也需要列为审计和保护的对象。
由于终端的业务访问和互联网访问都需要在网络设备产生访问流量,因此在外网的核心交换机上部署网络行为审计系统(天融信网络行为审计TopAudit),交换机必需映射一个多对一抓包端口,网络审计引擎通过抓取网络中的数据包,并对抓到的包进行分析、匹配、统计,从而实现网络安全审计功能。
①在外网的核心交换机上部署一台千兆网络安全审计系统,监听端口类型需要和核心交换机对端的端口类型保持一致,使用光纤接口;
②在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至网络安全审计系统的监听端口;
③网络安全审计系统用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行安全审计;
④开启各区域服务器系统、网络设备和安全设备的日志审计功能。
4) 其他网络安全设计
其他网络安全设计包括边界完整性检查,恶意代码防范,网络设备防护,边界完整性检查等。
①边界完整性检查:在托管机房的网络设备上为托管区域服务器划分独立VLAN,并制定严格的策略,禁止其他VLAN的访问,只允许来自网络入侵防御系统外部接口的访问行为;对服务器系统进行安全加固,提升系统自身的安全访问控制能力;
②恶意代码防范:通过互联网边界的入侵防御系统对木马类、拒绝服务类、系统漏洞类、webcgi类、蠕虫类等恶意代码进行检测和清除;部署服务器防病毒系统,定期进行病毒库升级和全面杀毒,确保服务器具有良好的防病毒能力。
③网络设备防护:网络设备为托管机房单位提供,由其提供网络设备安全加固服务,应进行以下的安全加固:开启楼层接入交换机的接口安全特性,并作MAC绑定; 关闭不必要的服务(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服务等), 登录要求和帐号管理, 其它安全要求(如:禁止从网络启动和自动从网络下载初始配置文件,禁止未使用或空闲的端口等)。
3 结束语
信息安全等级保护是实施国家信息安全战略的重大举措,也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据,在实行安全防护系统建设的过程中,应当按照等级保护的思想和基本要求进行建设,根据分级、分域、分系统进行安全建设的思路,针对一个特定的信息系统(医院信息管理系统)为例,提出全面的等级保护技术建设方案,希望能够为用户的等级保护建设提出参考。
参考文献:
[1] 徐宝海.市县级国土资源系统信息网络安全体系建设探讨[J].中国管理信息化,2014(4).
[2] 李光辉.全台网信息安全保障体系初探[J].电脑知识与技术,2013(33).
【关键词】气象网络;安全防范;等级保护;入侵防御;审计
1.引言
目前,全省气象宽带网络系统采用SDH点到点专线和VPN组网技术,连接省级中心和17个市级系统、2个管理处及63个县级系统,通过主、备方式来保证线路的可靠稳定性。省局机关地理位置与气象科技园相距约6公里,两端网络系统采用千兆光纤直接相连。通过MPLS VPN和MSTP线路与国家气象信息中心通信,将省级气象数据实时传送到国家气象信息中心。整个宽带网内利用了多种网络技术,如OSPF、BGP、IPSEC VPN、VLAN、STP、策略路由等[1]。
电视会商系统、相关预报系统及其产品、雷达资料、观测资料及办公自动化系统已经在全省气象宽带主干网络系统中传输,随着气象部门各项气象业务的发展,宽带网络系统越来越多的承担着数据收集与交换、资料共享、电视会商等重要业务系统的信息传输任务。随着网络规模逐步扩大,网络信息在逐步开放和共享的同时也来越不安全,各种各样的混合型入侵越来越多,单一的预防模式很难抵御外来的威胁。一旦出现问题将会严重威胁业务的传输和数据的安全,影响气象为防灾减灾服务。
因此如何保护重要气象资料,保障气象网络与互联网、外部网络进行正常通信成为部署气象信息网络安全设备的首要任务。
2.网络安全隐患综合分析及安全现状
2.1 网络安全隐患
国内外的相关资料显示,目前影响网络系统安全的原因主要有四种:非授权访问、信息泄露、拒绝服务、病毒的危害。
现在气象网络规模较大,大量网络设备如交换机、路由器等分布在不同的地方,全面安全管理较困难。网络中的计算机使用大量的操作系统和应用软件,系统或软件的漏洞会导致计算机成为气象网络的被攻击的后门和隐患。计算机病毒是网络安全最大的威胁,网络环境下传播速度快,有着巨大的破坏性,防范查杀较为困难。内部用户对网络资源的滥用,特别是BT等P2P的下载占用了大量的网络带宽,对正常业务的网络需求受到影响。
ARP欺骗攻击、移动存储设备传播的病毒与木马、新型恶意代码的威胁等,都曾严重影响气象网络和信息系统的安全运行。
2.2 网络安全现状
2008年,按照国家信息安全等级保护的相关要求,省气象局启动了信息安全等级保护定级工作,但目前仅完成信息系统定级阶段,安全建设现状与已确定的等级要求间也存在一定差距,这表现在物理安全情况多样;网络安全设施薄弱,网络安全防护不全面;部分人员安全意识淡薄,系统安全防护不到位;安全组织机构尚不健全,安全管理能力有限。
目前宽带网络仅通过部署防火墙实现了最基本的访问控制,对于内部网络攻击、网络异常流量、资源非法访问和网络病毒传播等都缺乏有效的应对手段,难以发现和追踪各类安全入侵事件,给整个网络的安全稳定运行带来极大的隐患。
因此需要进行网络安全检测、评估、整改和加固,同时,还必须从安全管理要求出发,建立健全管理制度、系统建设管理和系统运维管理等基本安全管理措施。
3.网络系统安全的防护策略
3.1 网络安全的需求分析
依照等级保护中要求信息系统与信息安全“同步规划、同步建设、同步投入运行”的三同步原则和安全技术要求,通过对省级网络实际情况进行分析和信息安全建设情况调研,根据省级网络结构,从网络的各层次所带来的风险进行分析,同时结合信息系统安全建设现状,有针对性地为省级信息网络系统提供安全保障,须加强环境、传输、网络、主机、应用、运行管理等方面的安全措施[2]。
3.1.1 物理环境安全需求
主要包括:机房选址、机房建设、区域控制、门禁措施、重点部位监控、电磁泄露发射保护等方面。
3.1.2 网络安全需求
信息系统的很多风险都来自网络,网络防护要求建设全面的网络安全基础设施,能够对进出本安全域的信息和数据进行严格的控制,并能够及时发现和响应各种网络攻击与破坏行为等。
3.1.3 主机安全需求
操作系统安全和数据库系统安全是深层的安全问题,需要建立病毒及恶意代码的预警和响应机制,能及时发现和响应各种病毒及恶意代码的攻击、破坏和信息泄露行为;需要提供技术手段实现操作系统漏洞的及时升级和补丁的安装;需要对用户终端采用技术手段,防治终端的病毒和恶意代码,防止违规外联;需要对安全事件的进行记录,实现对服务器和重要客户端上的每个操作系统用户和数据库用户的安全审计,并进行有效的责任认定等。
3.1.4 应用及数据安全需求
需要建立身份认证机制,保证系统敏感或重要数据的完整性、保密性和抗抵赖性等,需要实现对系统的粗粒度的访问控制和应用的细粒度访问授权。
3.1.5 安全管理需求
信息系统的安全“三分技术、七分管理”,解决信息系统的安全问题不应只从技术方面着手,更应加强安全管理工作。需要建立安全管理组织,制定相关安全管理制度、应急响应计划和应急状态下的安全保障措施等。
3.2 安全防护体系的建构
此次大会由杭州市人民政府、中国网络空间安全协会、浙江省网信办、浙江省公安厅、浙江省经信委、云栖大会组委会指导,中国信息产业商会信息安全产业分会、阿里云计算有限公司、杭州安恒信息技术有限公司主办,浙江省计算机信息系统安全协会、杭州市网络安全协会、北京洋浦伟业科技发展有限公司、飞塔信息科技(北京)有限公司、北京元支点信息安全技术有限公司、北京珊瑚灵御科技有限公司协办。
本届大会以“安若磐石,云之所栖”为主题,以全新的国际视野,洞悉全球云安全发展趋势;围绕“中国网络安全创新分享”这一主题,共同研讨探索适应我国国情的网络安全发展的道路,共商凝聚共识,整合资源的网络安全创新新模式。
大会由公安部第一研究所原所长、计算机安全专委会主任严明主持,并宣读了杭州市委副书记、市政府党组书记、市长张鸿铭对大会发来的贺信。参加本次大会的致辞和重要演讲的嘉宾有,中央网信办网络安全协调局副局长胡啸,浙江省公安厅副厅长石小忠,浙江省经信委总工程师厉敏,中国信息产业商会信息安全产业分会理事长朱胜涛,公安部网络安全保卫局总工程师郭启全,国家信息中心专家委员会副主任、国家信息化专家咨询委员会委员宁家骏等领导和专家。另外,来自全国各地政府机构、公安部门、信息安全科研单位、央企、金融、运营商、互联网、军工各行业信息安全决策人员、信息安全主管、CIO、媒体等1500余人出席了本次大会。
专家论道产业安全
郭启全总工在演讲“加强创新和能力协同 全力保卫国家关键信息基础设施安全”中提到,国家对网络安全提出了新的要求,首先就是要健全和完善国家信息安全等级保护制度,强化关键信息基础设施保护。《网络安全法(草案)》中也提出明确要求,国家实施网络安全等级保护制度。
等级保护在网络安全保障、网络强国建设方面起着至关重要的作用。基础信息网络与重要信息系统面临着日益严峻的威胁与挑战。
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,从2014年3月开始,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入了2.0时代。
全新的《网络安全等级保护基本要求》涵盖了6个部分的内容:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求以及大数据安全扩展要求。
宁家骏指出,开展关键信息基础设施网络安全检查至关重要,安全检查是从涉及国计民生的关键业务入手,理清可能影响关键业务运转的信息系统和工业控制系统,准确掌握关键信息基础设施的安全状况,科学评估面临的网络安全风险,以查促管、以查促防、以查促改、以查促建,同时为构建关键信息基础设施安全保障体系提供基础性数据和参考。
他建议,充分借鉴国外关键基础设施网络安全保护相关法律,分析我国现有立法的不足和主要问题,抓紧建立我国关键基础设施网络安全法律体系,从法律层面明确关键基础设施的定义和范围、界定政府部门的职责、规范运营者何所有者的运营资质要求。同时通过关键基础设施网络安全态势感知、积极稳妥推动关键基础设施相关产品的国产替代、开展安全检查评测督促关键基础设施运营单位加强管理等方案促进我国关键基础设施网络安全与信息化的大发展。
聚焦G20杭州峰会安保
安恒信息CSO刘志乐在演讲中表示,杭州安恒信息技术有限公司作为本次大会网络安保和应急支撑工作的主要技术支撑单位,历经近360天精心准备、投入309位技术骨干参与到G20峰会网络安保任务。通过企业自主知识产权的最新大数据态势感知系统及应急处置工具箱、工控检查工具箱等二十多种产品平台,为G20峰会网络安保构建了全网全程网络安保和应急支撑监测体系、防御体系和服务体系,经过G20峰会全程考验,安恒信息圆满完成为本次峰会相关重要信息系统、关键基础设施、省市两级重要信息系统提供网络安全保障的安保任务。
安恒信息网络安保团队以远程和现场人员安全检测,结合部署基于云与大数据技术的远程安全监测、大会系统现场各重要驻点安全值守、会议安保指挥中心四方互联,多地支撑的形式,为大会召开保驾护航。他以本次峰会核心信息系统为例介绍道,安恒信息安保团队共发现高危以上漏洞438个,共拦截3300万次攻击。经风暴中心分析,攻击来自于41个国家和地区。
DT时代的云计算安全
阿里云安全资深总监肖力表示,云计算时代所面临的安全挑战并不比传统安全所面临的问题要少,甚至于相较之下更加复杂。通过10多年在安全领域的积累,阿里云建立了一支全球顶级的云计算安全团队,有完善的基础设施,并且有更快的安全应急时间,能及时发现高危的安全漏洞信息,用最短时间修复,帮助用户应对安全问题。
据普华永道统计,目前69%的企业正在使用基于云的安全服务,阿里云保护云上37%的数百万的网站,每天防御8亿次各类攻击,每天识别并防御35000个恶意IP,每天防御2000次DDoS攻击。安全从来就不是云平台、用户或者安全厂商某一方的单打独斗。云计算厂商需要建立强大的生态让用户个性化的安全需求能够快速有效的解决,云上客户需要与SaaS服务商和安全厂商的虚拟化产品协同作战,目前阿里云安全生态市场已有包括安恒信息在内的79家生态厂商、168款安全产品。
阿里云首席安全研究员、云盾负责人吴翰清在大会上首次了“阿里云云盾混合云解决方案”,混合云解决方案由阿里云安全团队与数梦工场联合开发、交付,支持公共云、专有云、线下IDC全场景覆盖,让企业拥有与阿里云一样的世界级安全能力与体验效果:包括安全态势感知大屏、海量宽带和快速扩容、大数据安全分析、威胁情报支持和0DAY快速反应能力。
模块化是混合云云盾解决方案的一大体验亮点。阿里云云盾的安全能力和服务,用“可插拔”的模式,模块化输入。用户可以按需购买,按需启用,解决以往线下解决方案不灵活、投入大的缺点。
安恒密盾2.0
安恒密盾安全产品经理杨锦峰做题为“打造你的钉钉移动应用安全之路(密盾2.0)”的演讲。
信息安全是当前的一个热门话题。究其原因,其一是人们意识的提高,开始关心自己的和客户的信息安全了,其二就是当前普遍存在的问题是信息不安全。
数据显示,全球每年由于安全事件的损失高达数百亿美元,而这些安全事件中,由于管理缺乏所致的比例高达70%。
目前,保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。而我们日常提及信息安全时,多是在技术相关的领域,例如IDS技术、Firewall技术、Anti-Virus技术、加密技术、CA认证技术等等。
其实,在安全领域,技术提供商在培育市场,同时国家的法律法规、有专门的部门在研究和制定推广相关政策和标准的同时,必须划分一个可以分级管理的区域,以实现信息安全认证和管理的需要。
分级而治
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
当前,我国计算机信息系统的建设和使用正向互联互通、信息共享的方向发展,特别是电子政务的快速发展,对信息系统的安全保护工作提出了前所未有的强烈需求。重要信息系统使用单位可根据其信息化建设工作的重要程度和自身安全需求,确定安全等级,选择符合该级别要求的安全产品,并按照相关建设和管理的标准规范进行安全建设和安全管理。实行信息安全产品分级认证,有利于建立长效机制,保证信息安全工作稳固、持久地进行;也有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调。
实行信息安全产品分级认证是推行等级保护的关键问题,对信息系统的安全建设起着至关重要的作用,关系到我国的基础信息网络和重要信息系统是否足以应对相应级别的安全隐患。等级保护体系建立后,既要“一手要抓发展”,又要“一手要抓安全”,必须具备有效的、持续性的验证方法,确保信息系统在不断发展的同时保证符合安全等级要求,因此,开展分级认证是实行等级保护的一项重要具体措施。
策略为先
根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,信息和信息系统的安全保护等级共分五级:
第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
在2006年3月颁布的规则(试行)中,国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。第一级依照国家管理规范和技术标准进行自主保护;第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;第三级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查;第四级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查;第五级依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。
同时,对于信息安全事件,也将实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后,分等级按照预案响应和处置。
网络安全分级是重点
目前,相对于单一安全产品而言,网络安全的控制认证更具备管理的挑战性。目前,在网络技术的不断发展中,NGN已经成为电信网络和互联网共同演进的方向,但同时也不可避免地成为网络安全问题的主角。NGN内容涵盖广泛,除了广义的多业务运营外,多种接入技术、复杂的智能终端,以及IP承载网的缺陷和运营商不断变化的组织结构都给网络安全带来了更大的威胁。虽然NGN在世界范围内仍没有大范围商用的案例,但是作为通信业的新亮点,从现在开始设计完善的安全分级防护体系,防患于未然是完全必要的。
目前,在NGN网络中,运营商必须保证提供的各种业务的安全,可以把NGN系统设备,各种业务服务器归属于不同的安全域,不同的安全域对应为不同的安全等级,安全等级的划分保证了高级别安全域的系统设备与低等级系统的安全隔离。等级高的安全域可以访问低等级的安全域,低等级的安全域不能直接访问高等级的安全域,如果要访问,必须经过严格的状态检测。 通常有如下两种手段。
MPLSVPN保证核心网安全
通过采用MPLSVPN技术可以让开放的IP网络具有类似TDM的安全性。采用该技术构建相对独立的VPN网络。这种方法可以在NGN的核心网络使用,将整个IP网络分成几个不同的隔离空间:公共网络、ISP、ASP、用户网络、业务子网等,使得非MPLSVPN内的用户无法访问到NGN网络中的设备,从而保证NGN网络的安全。
IPSec保证接入安全
NGN网络和用户终端的信息包括控制信息和媒体信息。控制信息涉及的协议有H.248、MGCP、SIP和H.323。为了防止未授权的实体利用这些协议建立非法呼叫或干涉合法呼叫,需要对这些协议的传输建立安全机制。目前在IP网络中广泛推荐的是IPSec,用它对协议的传输提供安全保护。
1.1技术层面
在技术层面,针对广泛的计算机网络系统的安全威胁,可以采取相应的应对措施.首先,设置防火墙是一般企业进行网络防御的基本措施,也是维护网络安全的重要措施.防火墙的试着一般是进行访问尺度的控制,将不可访问的IP进行阻挡,放行允许访问的IP,这样的方式可以有效的避免不安全的IP和软件的侵入和攻击.其次,在企业网络中设置关键部位的入侵检测系统也是十分有效的方式,对于网络中存在的异常行为进线检测并发出报警信息,不仅能够检测到网络入侵和攻击,还能检测企业内网之间的攻击,在很大程度上弥补了防火墙的不足和功能缺陷,更好的为企业进行网络攻击的防御.除了以上所说的系统防护之外,还有相关的物理隔离与信息交换系统,此系统可以将影响到局域网安全的VLAN进行隔离,阻挡了其与企业内网和外网之间的信息传递,这样的系统技术效果优于防火墙和入侵检测系统.在操作系统安全当中,对于很多不需要使用的端口,可以关掉.对于病毒的防护一般常常采用杀毒软件和系统检测软件相结合的方式,对系统整体的病毒进行查杀和漏洞扫描,时时保证网络运行的安全性,保证系统能够安全的运行,系统漏洞能够及时的更新并得到弥补.对于企业内部没有得到安全认证的移动设备进行监控,违反企业网络使用相关制度的操作也进行严加控制,将违法的监控设备进行相关的隔离,进行更多的网络隔离度保障,全面确保网络安全.技术方面的加强除了以上系统上的防患方法,通过网络反病毒能力的提高实现病毒和恶意攻击的防护之外,还应当研发并完善高安全的网络操作系统,研发网络系统的操作更加人性化和高安全性能的网络操作系统,做到系统软硬件之间更加完善的配合.
1.2管理层面
计算机网络系统的安全管理,除了技术层面上的完善之外,还要加强管理层面的建设.对于计算机安全保护法律、法规的力度也是十分重要的,只有做到技术防范与相关法律法规的双项管理,才能保证计算机网络安全效果更好的实现.计算机网络的安全管理,首先要建立安全管理机构,加强计算机网络的立法和执法管理,进行相应的计算机用户的安全教育,提高计算机用户的道德意识和安全意识,防止计算机犯罪行为的发生,还可以更好的预防计算机黑客的攻击,计算机网路安全管理能力的加强也是十分重要的.计算机安全法、犯罪法、数据保护法等的教育和普及也是很重要的.维护计算机网络和系统的安全,进行更多的计算机安全教育让使用人员更好的进行使用之外,还应当建立相关的维护和管理制度,对于计算机的使用进行严格的管理、控制,对资料、机房等都应当设有专门的安全保护方案,进行严格的分工管理和等级管理制度,将企业内部的计算机使用严格的控制起来,保证计算机网络的全面安全.
2计算机网络安全防范体系的建立
企业要加强计算机网络安全管理能力,最好的办法就是建立计算机网络安全防范体系,完善的安全管理体系是保证计算机网络安全的有效手段和措施,从全局的观念入手,进行企业计算机网络系统的全面监督和控制,这样的方式可以起到最佳的效果,要实现计算机网络系统全面的安全维护,建立完善的网络安全体系是非常有必要的.计算机网络安全防范体系的建立是企业信息化发展的未来趋势,是计算机网络安全环境创造的重要措施,企业要实现信息化和现代化的管理,就必须建立完善的计算机网络安全防范体系,以确保计算机网络环境受到全面的监控和管理,全面杜绝安全隐患的产生.计算机网络安全防范系统的建立,有很多值得注意的方面,要结合企业的实际情况进行相应的计算机系统是设计,构建适合企业自身需求的信息安全和网络防御系统,以下就安全防御系统建立需要注意的几点进行具体的讨论与介绍:首先,企业网络应当进行相应的分区,例如企业的生产专用网络要与企业其他专用网络进行相应的隔离,这样是为了防止其中一个专用网络受到病毒感染或者攻击时,其他专用网络不会受到影响和牵连,将外部攻击和威胁可能造成的伤害降至最低.其次,在网络防范系统的建立中还应当注意企业信息安全等级的划分,对于企业的机密信息和重要信息应当进行特别设置,进行信息不同重要程度的划分是为了设置不同的信息使用权限,进行重要信息更多的安全防护,使用不用的安全区域对不同安全等级的信息进行相应的安全管理和设置.同时,在计算机网络安全系统建设中,相应的防火墙以、物理隔离以及入侵检测等系统技术防护措施要坚持使用,用于保证企业系统的正常运行.还有,企业内部的网络流量也应当有相应的规章和要求,进行流量的使用限制,保证企业内部网络的畅通和稳定.最后,对于企业内部的系统使用应当进行相应的授权和控制,只有正规的授权管理,才能保证企业内部信息使用的更多安全,企业内部系统能够更加正常稳定的运行.总而言之,要实现企业计算机网络安全系统的建立,加强企业网络安全的管理能力,除了实现计算机网络防护软件和硬件设施的完善管理,实现技术管理与行政管理的资额调和做之外,还应当建立层次分明的网络保护系统防范体系,对于企业的网络安全系统应当结构应当形成结构完整、由核心到各层次的完美配合,内外之间的严格限定和系统保护措施的完善执行,加强企业的层次网络保护机制建设,将企业网络进行内网和外网的隔离,进行专用网络的隔离,进行安全等级的设置等,并结合先进的网络防护技术和完善的计算机网络管理措施,进行企业计算机网络有层次、有规范的管理,实现计算机网络安全系统安全系数的全面提升.
3结语
后来,使用小
>> 防自杀·360°防火墙 双料防火墙保安全 浅谈校园局域网构筑防火墙 360智慧防火墙 利用ACL打造“免费”防火墙 校园网防火墙设计 防火墙网络安全刍议 网络安全防火墙 网络安全与防火墙 防火墙安全技术探讨 筑起消防安全“防火墙” 防火墙网络安全研究 浅析防火墙安全及效能 安全超市普查.防火墙篇 局域网防火墙技术分析及典型配置 挑战局域网,ARP防火墙也无奈 防火墙在组建局域网中的应用 局域网一定要安装防火墙等 Vista防火墙也能防进防出 防火墙在企业网中的应用 常见问题解答 当前所在位置:l下载尝鲜吧。
超简单,傻瓜式安装
软件的安装没有特别之处,只是在安装快要结束的时候,由于要安装网络协议和驱动,网络会暂时的断开,安装结束就会恢复。
之后,软件会自动对电脑上的软件进行安全检查,包括入侵检测,修改系统中那些不安全的默认网络设置(见图1)。够简单吧?
关键词:财税部门 网络 信息安全 调查研究
中图分类号:TP3 文献标识码:A 文章编号:1672-3791(2014)02(a)-0035-02
随着财政、地税和国资业务的不断应用和发展,我局的财税网络已从最初的纯内部系统的局域网,逐步扩大到上联省财政厅、省地税局,下联各税务分局、各乡镇财政所的三级纵向网络;从财税系统内部网络,逐步扩大到各预算单位、非税执收单位、各银行和工商国税社保等数据共享交换部门的横向互联互通的开放型网络。开放型的网络,对于我们的财税工作带来便捷的同时,也使我们的信息安全面临严峻的考验。如何有效的建设和管理我局的财税网络,提高系统的可靠性、安全性和完整性,确保网络与信息安全,是我们要考虑的首要问题。
1 我局网络与信息安全建设现状
在网络设备和架构方面:我局的财税内部网络以一台思科4006三层交换机为核心(如图1所示),通过三台防火墙将整个网络划分为服务器区、内联区、办公区和外联区。服务器区主要为各类财政、地税和国资信息系统服务器,通过一台防火墙进行安全防护;内联区为连接省财政厅、省地税局、各基层分局、便民中心和部分银行区域;外联区通过百兆防火墙连接财务专网、政务网等,并增设一道防火墙,用以通过VPN设备接入我局内部网络的二级行政事业单位(如图1)。
在信息安全制度和管理方面:一是信息安全组织机构健全,成立以局长为组长的网络与信息安全领导小组,设立单位专职信息安全员且设置AB岗。二是制度建设较为完备,制定出台了《计算机机房管理制度》等制度,并实现《计算机网络与信息安全管理责任状》的全覆盖签订。三是信息安全防护管理较为规范。通过双主机方式实现因特网和内网的物理隔离,部署防火墙、入侵检测系统和漏洞扫描等系统,定期对安全产品进行巡检和开展应急演练等工作。
2 网络与信息安全风险分析
尽管我局的网络与信息安全建设在近几年扎实有效推进,但由于财政、地税和国资业务的迅速发展,对网络的性能和扩展性要求越来越高,再加上核心设备比较陈旧,现有资源濒于耗尽,来自各方面的网络与信息安全风险形势严峻。
2.1 来自设备环境方面的风险
一是核心设备存在单点故障且使用年限已久。核心交换机、内网防火墙和服务器防火墙都是单机单链路配置,任何上述设备的故障都会导致整个网络崩溃。部分核心设备使用年限已久,远远超出维保期限,出现故障概率较大。二是核心设备性能和扩展性存在严重瓶颈。核心交换机思科 4006购置于2003年,整体性能已无法承受我局系统业务处理的需求。三是网络机房UPS供电和温湿度环境方面的风险。我局网络机房均为单路UPS供电和单台空调控温,未配备环境监控系统,一旦出现故障,将会延误处理。
2.2 来自网络结构方面的风险
目前内联和外联单位均接在同一个防火墙下,与内网未严格隔离,不少银行单位更是直接与核心交换机直连,给我局内网安全构成严重的安全威胁。
一是来自政务网等外联单位的风险。目前我局网络与政务网、国税、社保、便民中心和市内11家银行均有专网互联,由于网络设备资源问题,甚至有部分银行临时接在了核心交换机上,这些外联单位对我局的网络安全带来较大的风险。二是来自财务专网接入单位的风险。因国库集中支付和乡镇财务管理的需要,我局财务专网延伸到了各行政事业单位和乡镇财办,专网点数达100多个,这些专网接入单位的终端计算机等同于我局内网终端计算机,可通过核心交换机访问我局服务器资源,但由于其分散在各个部门和乡镇,给我们的管理带来较大的困难。三是来自VPN拨号接入单位的风险。为解决专网建设成本高的问题,我局于2009年购置天融信SSL VPN设备,作为部分二级行政事业单位的财务专网接入,该设备一旦出现故障,将直接影响通过该设备接入单位的系统应用,存在较大的单点风险。
2.3 来自网络管理方面的风险
一是操作人员安全意识和技术缺乏带来的风险。操作人员对于信息安全没有太多的认识和技能,有的甚至认为网络与信息安全仅仅是技术部门的事,于己无关。二是制度不完善和执行不到位带来的风险。由于信息技术的不断发展,出现了很多新技术和新产品,容易出现制度文件的漏洞和执行不到位情况。三是技术防护策略不严密带来的风险。我局在网络安全方面投入了较多的设备,如防火墙、VPN、防病毒软件,IDS等,但这些产品的功能比较分散,形成了相互没有关联的、隔离的安全孤岛,相互之间没有有效统一的管理调度机制,从而使其应用效能无法得到充分的发挥。
3 网络与信息安全建设的对策与措施
针对我局的网络现状和存在的上述网络与信息安全风险,提出如下对策和措施,以全面提升我局的网络与信息安全整体保障水平。
3.1 加强安全宣传和培训,提升防范意识和技术能力
(1)加强全员宣传培训,增强防范意识和责任意识。进一步加强网络与信息安全知识的宣传和培训,完善培训机制、拓展培训内容、丰富培训和宣传的方式,使系统广大干部掌握常见的网络与信息安全知识和防范技能,提高信息安全问题的处置能力。
(2)加强网络技术人员培养和激励,提升专业技术能力和工作积极性。如果没有专业技术人员进行安全策略配置、日常监控管理,安全产品即使再多再先进,也只能是一种摆设,技术人员的水平高低将直接影响一个单位的网络防护能力,因此,需要进一步加强专业技术人员的引进和培养,使其掌握较强的专业技能。同时,由于专业技术人员工作的特殊性,需要其经常牺牲休息时间加班加点进行系统调试和配置优化等工作,有必要进一步完善针对技术人员的激励制度,以增加其工作的积极性。
3.2 加强网络规划和投入,提升系统自身免疫能力
针对我局网络设备和架构现状,我们提出如下改造目标:消除核心设备单点故障,实现核心交换设备的虚拟化,架设千兆基础的主干网络,合理划分安全等级区域,满足可预期内视频等各种高数据流量信号的网络运行要求,提高网络总体运行水平和故障应对能力(见图2)。
通过加大硬件设备的投入,并整合利用现有资源,对整个内网网络作如下改造(改造后的网络拓扑如图2所示):根据各区域安全防护级别不同,分别设置核心区、外联区、内联区、服务器区和办公区等区域。一是在核心区新购置2台核心交换机(含防火墙模块)做虚拟化方案,替代原有的思科4006交换机,消除核心设备单点故障;同时在该区域部署IDS、IPS、漏洞扫描和桌面终端管理平台等安全产品。二是在外联区新购置2台千兆防火墙通过双机热备作为外联区防火墙,并在网闸的配合下,隔离外联单位,新增一台VPN设备做双机热备。三是在办公区新购置4台二层交换机作为机关大院各楼宇的汇聚层交换机,实现主干网络的千兆架构。通过合理的规划、设备的投入和安全产品的整合,建立一个完整的、立体的、多层次的网络安全防御体系,进一步提升网络系统自身的免疫能力。
3.3 加强制度建设和执行,建立信息安全运维体系
信息安全防护“三分靠技术,七分靠管理”,再好的信息安全防护系统,如果没有好的管理制度、管理策略和运维体系相配套,也是形同虚设。
一是建立健全网络安全制度体系。要针对网络与信息安全的薄弱环节、关键环节和容易忽视的环节,制定、修改和完善具有较强操作性的制度,通过制度来强化信息安全。建立健全机房安全、系统运行、人员管理、密码口令、网络通信、数据管理等网络与信息安全管理制度,提高安全防范水平。
二是建立网络安全管理联动机制。实行网络安全管理的“三级联动模式”,即计算机使用人员、分局计算机管理员和市局专业技术人员三者联动,充分发挥分局计算机管理员作用,使其做好所在单位的网络与信息安全日常维护工作,缩短计算机和网络故障的处理时间。
三是强化日常维护和监督管理。加强网络设备的日常运行维护,定期开展设备保养,对设备运行中存在的隐患及时了解和掌握,排除存在的不安全因素和故障,变运行维护工作由“事后救火”为“日常保健”。加强网络与信息安全的日常监督管理,定期或不定期的开展网络巡查,及时发现干部职工在网络与信息安全方面的违规行为,防微杜渐,变“事后处理”为“事先预防”。
3.4 加强等级保护定级和整改,全面提升系统安全等级
开展等级保护工作,对于进一步完善我局信息安全制度体系,规范信息安全管理,增强信息系统安全保护的整体性、针对性具有非常重要的意义。
一是合理划分信息系统等级。针对我局各类信息系统种类多的特点,根据不同信息系统的业务类型、应用或服务范围和系统结构等基本情况,合理确定信息系统的安全等级并向公安机关备案。
二是认真做好等级保护测评和整改工作。根据公安部门备案审核结果,选择具有国家相关资质的测评机构,对我局的信息系统进行等保测评,并根据测评结果进行整改落实。
三是定期开展自查和接受公安部门检查。定期对信息系统安全状况、安全保护制度及措施落实情况开展自查和接受检查,对未达到相应等级保护要求的,及时进行整改。通过信息安全等级保护工作,全面提升我局的信息安全保障能力和整体水平。
参考文献
[1] 高长永.计算机网络安全问题及其防范措施[J].网络安全技术与应用,2013(11).
关键词:漏洞;检测;计算机信息系统安全
中图分类号:G203
基于全面的扫描检测,计算机信息安全管理工作者可以直观的了解系统内的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网站风险等级。此外,由于计算机信息安全系统问题是综合性、多元化的问题,包括系统安全、数据安全等。全方位解决网站漏洞问题,需要完善的管理机制与技术保障。
1 信息系统安全等级保护概述
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。信息系统安全漏洞指计算机系统存在可以利用的一个缺陷或者一个弱点,它能破坏计算机信息安全系统,威胁系统正常运营。据统计,有超过80%的计算机信息安全系统存在网站安全漏洞,严重威胁计算机信息系统内部重要信息的保密。信息系统安全检测是一项为了防止计算机信息安全系统被非法入侵,对Web网站进行的授权漏洞检测和安全防御工作。通过对系统内部的各种漏洞进行有效检测,将很大程度上确保网站的安全运行。
2 计算机信息系统安全工作重要性
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
计算机在日趋进步的现代化生活中,愈来愈占据着日常生活和工作中不可或缺的地位。计算机系统内部的数据也显得尤为重要。加强信息系统安全工作这一内容不可忽视。除了外部网络环境中各类病毒、黑客等不安全因素可以对计算机系统内部做出干扰和破坏,内部维护和使用人员在工作中的操作不当和不规范使用,同样可以导致计算机系统内部数据的混乱和丢失。诸如这类或那样的问题,计算机系统不能正常运行会严重影响人们的生活和工作,为人们带来不便。反之,加强对计算机信息系统安全的保护工作可以更好的方便人们的工作和生活,将人们生活和工作质量提上更高的一层。
3 计算机信息系统防护策略
(1)强化信息系统管理,明确安全管理范围和任务,确保信息持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性;
(2)全面落实上级公司下发的各项方案要求,实行信息内外网完全隔离,杜绝一机两用,确保内外网出口安全;
(3)建立信息安全管理职责和管理措施,加强信息系统运行全过程管理,提高全员信息系统安全意识;
(4)设置防止非法进入及越权访问的安全机制,防止网络黑客利用网络设备和协议的安全漏洞进行网络攻击和信息窃取;
(5)对公司内部重要和敏感信息实行加密传输和存储,对门户网站页面建立防护机制和措施,确保信息系统安全管理;
(6)进一步统一思想、提高认识、狠抓落实,全面推进现场标准化作业,夯实安全生产管理基础;
(7)是认真开展定期和不定期网络安全检查工作,加强安全生产管理,做到责任落实、措施有力、监督到位;
(8)加强电网运行监控,对重载、重要设备和老旧设备设施、重点部位进行红外线测温工作,及时消除隐患缺陷,确保电网安全稳定运行;
(9)建立安全管理制度体系。制定《网络管理制度》、《网络与信息安全管理制度》、《计算机内外网管理规定》等一整套计算机管理制度和规定,工作中严格执行,形成了计算机网络安全的制度保障;
(10)抽调公司业务骨干,组建网络与安全工作小组,负责公司所有计算机的管理,明确各部门负责人是网络安全管理第一责任人,并对重要的或的岗位签定《保密工作责任书》;
(11)对公司每台计算机都安装了包括防火墙、入侵检测、漏洞扫描、杀毒软件等防病毒系统,软件及时升级,要求公司干部增强病毒防范意识,定期检测和杀毒;
(12)对能上外网的部室上互联网的计算机只设一个独立IP,与内网进行绝对物理隔离;
(13)实行数据本地备份机制和异地容灾备份,确保各类数据安全。
4 计算器信息系统安全工作其他建议
4.1 强化计算机信息系统安全意识:由专业技术人员进行安全维护
由于部分计算机系统是交予外包开发,而计算机系统程序的开发人员不具备丰富的安全编程经验,极易造成漏洞产生。
4.2 定期进行计算机信息系统安全检测
通过国内最全的计算机系统漏洞检测库,强大的蜜罐集群检测系统,第一时间为高危漏洞提供修复建议以及完整的解决方案。
4.3 实时监控计算机信息系统安全状况
目前越来越多的黑客利用计算机系统自身存在的安全漏洞进入站点进行挂码等操作,甚至破坏、篡改、删除站内文件。对计算机系统,特别是盈利企业的正常运营带来了极大的影响。在此推荐运用计算机信息系统安全漏洞检测工具,利用它们,我们可以提前发现计算机系统存在的安全漏洞,并进行针对性操作以避免由此带来的计算机信息系统安全隐患。对于进行过计算机系统优化操作的站点来讲,计算机系统挂马有可能影响计算机系统打开速度、内容以及功能结构。这些都是影响计算机系统排名的重要因素,计算机系统因此被K也不无可能。
5 结束语
计算机安全系统一旦被挂马,将会在各种搜索引擎的结果中被拦截,客户桌面客户端的杀毒软件会阻断用户访问并报警,将会导致网站访问量急剧下滑及用户数据被窃取的后果。网站设计者在设计网站时,一般将大多数精力都花在考虑满足用户应用,如何实现业务等方面,而很少考虑网站开发过程中所存在的安全漏洞,这些漏洞在不关注信息系统安全的用户眼里几乎不可见,在正常的网站访问过程中,这些漏洞也不会被察觉。但对于别有用心的攻击者而言,这些漏洞很可能会对计算机系统带来致使的伤害。
新兴技术应用范围日益拓展,网络犯罪技术方式不断革新,网络安全损失日趋严重,计算机信息系统安全威胁将持续加大。因此,在未来势必要完善信息安全策略,加强对网络安全技术研发和人员培养来确保系统安全。
参考文献:
[1]龚奕.计算机网络安全问题和对策研究[J].软件导刊,2009(02).
[2]刘阳.浅谈计算机网络安全问题[J].科教文汇(下旬刊),2009(02).
[3]周.计算机网络安全的防范策略分析[J].电脑知识与技术,2009(05).
[4]卢鹏.计算机网络安全及其防护策略探析[J].硅谷,2009(12).
一、网络安全制度建设的必要性
1、制度建设是网络安全建设的根基
无论是电信网还是互联网,都植根于一定的制度环境之中。制度环境是一系列基本的经济、政治、社会及法律规则的集合,它是制定生产、交换以及分配规则的基础。在这些规则中,支配经济活动、产权和合约权利的基本法则和政策构成了经济制度环境。在一定的制度环境下,存在着一系列的制度安排。制度安排可以理解为游戏规则,不同的游戏规则导致人们不同的激励反应和不同的权衡取舍。
社会主义市场经济的建立为调整人们之间的关系构建了最广泛的制度环境,它作为经济活动的外生变量是人们无法选定的既成事实,但对于具体的制度安排,人们可以随着生产力的发展而不断做出相应的调整。电信网和互联网作为代表信息社会最先进的生产力组成部分,已逐渐渗透到社会的各个领域,在未来的军事对抗和经济竞争中,因网络的崩溃而造成全部或局部的失败,已成为时刻面临的威胁。这在客观上要求建立与之相适应的生产关系,也就是能促进网络安全有效运行的一系列制度安排。
网络安全可分为电信网络的安全可靠性、互联网的安全可靠性和信息安全三个层次。具体包括网络服务的可用性(Availability)、网络信息的保密性(Confi-dentiality)和网络信息的完整性(Integrality)。技术保障、管理保障和法律保障是网络安全运营的三项重要措施。只有从制度安排上保障网络的安全性即网络的可用性,才能在技术层面和管理层面上保障网络信息的保密性和完整性,才能使杀毒软件、防火墙、加密技术、身份验证、存取控制、数据完整性、安全协议等发挥其最大的效力。
2、网络的外部性客观上要求必须进行制度建设
网络产业具有很强的外部性特征。从经济学角度看,通过市场机制自身对经济活动外部性的克服主要是通过三个方面进行的。一是组织一个足够大的经济实体,即一体化经济组织来将外部成本或收益内部化;二是通过界定并保护产权而使市场交易达到帕累托最优;三是以社会制裁的道德力量规范负的外部性及其行为。
首先,电信网和互联网等网络产业不同于制造业,其面临的外部性不可能通过一体化效应来使外部成本或外部收益内部化。网络的正的外部性与负的外部性都主要通过麦特卡尔夫定律(Metcalfe’s Law)表现出来。麦特卡尔夫定律表明:网络价值同网络用户数量的平方成正比(即N个联结能创造N2的效益)。随着网络用户的增加,无论是技术知识等正面信息还是网络病毒及扰乱社会政治经济秩序等负面信息都呈几何级数扩散,其扩散范围之广、速度之快、对经济社会发展影响之深刻都是前所未有的。网络自身对国界、民族及地域的超越,使通过一体化来解决外部性问题成本极大。
其次,通过界定和清晰产权,不能解决电信网及互联网等网络产业的外部性问题。科斯定理(Coase’sLaw)对外部性的解决是建立在产权明确界定并受到法律有效保护这一基础之上的。而电信网和互联网作为一种公共资源,使每个人都可以自主地在网络上和获取信息,这种对公共资源均等使用的权力,使市场机制无法在这一领域充分发挥作用,而必须通过政府的制度建设克服人们对公共资源的滥用。
最后,以道德力量来建立电信网及互联网的安全体系几乎是不可能的。网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。网络空间秩序企图通过伦理道德、个人自律和对共同利益的维护和驱动来实现,几乎像现实世界没有国防、司法制度就可以保障一个国家的安全和社会的稳定一样不可想象。因此,只有通过制度建设,才能真正建立起对电信网及互联网安全有效运行的保护屏障。
3、信息安全要求政府必须建立网络空间秩序 从网络信息安全的角度看,绝对的网络自由是不存在的。那种认为网络空间创造了一种比以往任何文明所创造的世界更友善、更公正的新文明,从而使任何人可以在任何时间、地点自由发表自己的意见和主张,实践证明是不可能的。电信网和互联网不仅是重要的通信媒体,而且是各种信息特别是知识和娱乐信息的宝库,它既给人类社会的发展带来了巨大的福利,同时也向人们打开了一个潘多拉的盒子,而中立的技术无法对危害网络信息安全的行为进行根本性的抑制。因此,靠网络参与主体的自律和技术手段是不可能代替法律等制度安排来实现对网络参与者有效的规制的。基于信息安全的考虑,政府对电信网和互联网进行管制也就成为国家立法的重要内容。
二、我国网络安全在制度建设上存在的主要问题
网络安全的本质在于促进和维持社会发展与经济繁荣。因此,围绕着网络安全问题,各国都进行了一系列的制度建设,从而使技术层面和管理层面的安全设置更好地发挥其安全保障作用。
目前除了网络黑客的攻击和其他的网络犯罪危及我国的网络安全外,最大的风险是我国网络自身缺乏一整套完整严密的制度安排,从而使网络自身缺少一层制度屏障,降低了网络自身的免疫力。这种制度缺失主要体现在以下几个方面:
1、网络安全缺少最基本的法律保护层
电信网络作为国家信息化的基础设施,在保障网络与信息安全上担负着重要的责任。随着互联网的普及、IP业务的发展,电信网、互联网和有线电视网逐渐走向融合,如何保障电信网络信息服务的安全,将电信网络建成真正安全、可靠的网络,是网络信息社会亟待解决的重要问题之一。
市场经济的典型特征是政府通过一系列制度安排来规范市场主体的经济行为。电信法是网络安全最基本的保护层,也是网络安全技术得以发挥作用的制度安排。而在电信市场,我国政企合一的电信管理体制使电信法至今仍处于难产状态。早在1956年我国就组织起草过电信法,几上几下之后,最终未能修成正果。上世纪90年代中期,政府再一次启动电信法的起草工作,千呼万唤的电信法到2000年也只是出台了《电信管理条例》。2001年又开始了新一轮电信法的起草工作。电信法是保障网络安全的最基本的制度安排,法律制度的缺失使政府无法公平公正地调整利益冲突各方的关系。有数据显示从1998年开始,上报到信息产业部的互联互通恶性案件达540起,至少影响到l亿人次的用户使用,造成10亿元的直接损失和20亿
元的间接损失①。在全国范围内,由于恶性竞争而砍电缆、锯铁塔等破坏通信设施的恶性事件屡禁不止,严重影响了网络安全与畅通。除了物理性破坏之外,更多的情况则是在通信软件上做手脚或者恶意修改信令,对竞争对手经营的电信业务进行各种形式的限呼、拦截,造成了网间接通率偏低甚至完全中断。1999年,兰州市电信公司采用恶性竞争手段使本市27万手机用户打不通固定电话。目前,阻碍互联互通的情况已经从几年前的直接挥大刀砍电缆、互联中继不足、整个省不通IP卡等现象,转化为落地拦截、掉线、噪音等更为隐蔽的技术手段,甚至出现了主导运营商不再对一个局向或者一个号段全部进行干扰拦截的方式,而是针对个别用户特别是高端用户直接进行拦截干扰,手段更为有效和隐蔽。对于这些影响网络安全的无序竞争,来自体系内的监管力量发挥的作用一直相当有限。出台电信法的呼声越来越高。随着我国在WTO中电信承诺表的兑现,国外电信运营商及外资的进入,会使竞争更加激烈。允许竞争但却缺乏竞争规则,会使无序的恶性竞争愈演愈烈,这一切都使网络随时面临着瘫痪的可能。因此,没有法律制度的网络运行是网络最大的安全隐患。
2、制度摩擦使网络存在安全隐患
如果一国的制度安排有利于基于网络交易的电子商务市场容量最大化,有利于网络安全运营及经济效率的提高,那么就可以说该国具有高的制度资本。不利于网络市场交易的制度,则使交易的成本变高,这种成本通常被称为“制度成本”。当然,制度成本不仅仅指在网络市场交易发生过程中实际要支付的成本,也包括由于制度障碍而根本无法进行或选择放弃的市场交易所带来的机会成本,这种机会成本包括“本来可深化的市场”因制度障碍而只能半途而废的情况,以及市场勉强得到发展的情况。根据国际惯例,广播和电视网络都属于电信。有史以来,欧洲多数国家和日本的广播电视业都归口国家邮电部直接管理,美国则由联邦通信委员会统一归口管理,国际电信联盟(ITU)也设有广播电视分支机构。世界公认的电信定义就是“利用有线、无线,电磁和光的设备,发射、传输、接收任何语音、图像、数据、符号、信号”。但是由于我国某些历史原因,广播电视属于意识形态重要宣传机构,不能划归信息产业部,使网络电视(IPTV)之类的新业务难以发展,并使不同网络之间由于管理归口问题而纷争不断,人为阻断网络运行的情况时有发生。
3、制度资本投入不足导致网络安全运行成本较高
网络互联互通是一道世界难题,各国电信引入多家竞争机制以后,原来由一家公司完成一次通信服务现在改为多家来共同完成。网络的全程全网性使运营商之间形成既竞争又合作的关系。因此,各国都通过电信法等一系列制度安排及相应的管制机构来协调各运营商之间的行为和利益关系。在我国,竞争规则等一系列制度安排的缺失,导致网络安全运营成本较高。目前,RSA信息安全公司了一项新的指数来反映网络的不安全程度,即“互联网不安全指数”(Inter-net Insecurity Index)。计数方法从1到10,显示每年的互联网不安全程度。例如互联网不安全指数从2002年的5上升到2003年6.5,说明网络安全运行状况越来越令人担忧。这一指数是从网络安全受到威胁的间接角度来衡量网络安全的,笔者认为若直接从安全角度来衡量网络安全,则网络安全指数(S)最大化主要取决于以下变量的投入及其组合关系:网络安全的制度资本(I)、技术强度(T)、管制水平(R)、资本投入量(K)和人力资本状况㈣,并与以上各变量投入呈正相关关系。其函数关系式可写成:
S=(I,T,R,K,L)
在技术强度、资本投入和人力资本既定的条件下,网络安全指数大小主要取决于制度资本的投入和管制水平的高低。与互联网相关的法律制度的健全是保障网络安全的最基本的制度资本。而制度资本投入滞后于网络的快速扩展和纵深延伸,致使我国网络安全运行成本相对较高。制度资本的投入应建立最有利于促进市场交易发生、尽量使交易成本最低、保证网络安全运营的一系列法律规章制度。当一国的制度机制不利于市场交易时,人们相当一部分技术投入、资本投入和人力资本投入等都是为了对冲制度成本而没有形成社会经济效益。例如,联通公司与移动公司用户互发短信的结算争议,电信公司出售“手机休息站”设备拦截移动手机业务量,全国手机与固定电话互通结算问题,用户驻地网纠纷,全国电话卡出售与结算矛盾等问题此起彼伏、接连不断。制度成本过高致使我国为获得同样的网络安全要投入更多的技术和人力物力财力。
三、完善我国网络安全制度建设的建议
公用电信网是国家信息网的基础,其安全方面的某一弱点可能把其他部分都置于风险之中。网络遭到重大破坏,除了对社会和国家经济造成重大损失外,还可能使国家安全受到威胁,因此,各国都非常重视加强对公用电信网的安全管理。
1、尽快完善以电信法为核心的一系列制度建设
国际上,特别是美国、英国等西方发达国家从20世纪70年代中期就开始高度关注网络与信息安全问题,经过30多年的发展,在理论研究、产品开发、标准制定、保障体系建设、安全意识教育和人才培养等方面都取得了许多实用性成果。自1973年世界上第一部保护计算机安全法问世以来,各国与有关国际组织相继制定了一系列的网络安全法规。我国已经颁布的网络法规主要有:《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等。与网络安全相关的一系列制度建设是保障网络安全运营的第一道防护屏障,也是最基本的制度保障。而电信法又是保障网络安全运营的基础中的基础。在我国由于电信法至今仍未出台,也就无法从法律制度的角度来规范电信网、互联网等网络参与者的行为。电信法的难产,暴露了我国新旧体制转轨中制度建设的滞后性,使我国电信网和互联网处于不设防的状态,从而对网络安全运营构成致命威胁。并使微观经济主体要损耗掉比市场制度健全的国家更多的人力物力和财力,才能对冲阻碍市场交易的制度成本。因此,尽快完善以电信法为核心的一系列制度建设,是市场经济制度的必然要求,也是在国际互联网中布设保证国内网络安全的一道安全防线。
2、建立不同层级的网络安全保护制度
制定“国家网络安全计划”,建立有效的国家信息安全管理体系。例如,美国已将信息安全战略纳入国家安全的整体战略之中;美国的空间战略以强化部门协调和强化政府协调的互动合作而适应网络社会的需求和特点,其网络空间战略是一个全社会共同参与、实施的战略。我国要充分研究和分析国家在信息领域的利益和所面临的内外部威胁,结合我国国情制定的计划
要能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系,并投入足够的资金加强关键基础设施的信息安全保护。网络安全的制度安排和保护是分为不同层级的。要重点保护以电信网为代表的基础信息网络和关系信息安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。信息安全领域中,密级分类、等级保护就是把信息资产分为不同等级,根据信息资产不同的重要等级,采取不同的制度安排及相应的技术措施进行防护。这样就可以在投入有限的情况下,确保网络及信息的安全性。
3、各种制度安排要随着网络的发展而不断深化
一个好的制度安排必须具有激励机制,推动生产力的快速发展,而不是阻碍生产力的发展与科学技术的进步。网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。一旦一国缺乏自主创新的网络安全策略和手段,国家的信息就有可能完全被葬送。例如,为适应电信飞速发展的要求,美国电信法几次修改,欧洲大部分国家也都是立法在先改革在后。因为一个成熟的社会,在涉及国计民生和千家万户的越来越重要的网络领域,没有完善的法律制度约束是不可能稳步发展的。我国电信领域出现的许多问题都与制度安排有关。由于没有完善的制度环境,企业明显违规,政府束手无策。即使已有了较完善的制度安排,各种制度安排也还要随着网络的发展而不断深化。正如制度经济学家道格拉斯・诺思所言:“制度安排的发展才是主要的改善生产效率和要素市场的历史原因”②。从长远来看,在电信网和国际互联网中,决定一国网络安全运营的最基本的要素是其制度资本,即制度机制是否更有利于网络社会的网络安全。
总之,关于网络安全问题,需要政府和各部门从上到下充分重视,并从国家政策、法律规范、技术保障和公众意识等方面来设置防线。必须在社会主义市场经济体制框架内进行各种制度安排,即建立游戏规则,才能不断降低阻碍市场交易的制度成本。这种制度资本投资的增加,将会在既定的管制水平、资本投入量和人力资本条件下,挖掘出网络安全技术的最大潜力,建立安全指数较高的网络世界。
注释:
①赵平:“河南互联互通问题铁幕调查,要如何保卫钱袋”,《中国经营报》2004年3月19日。
②道格拉斯・诺思(Douglass North):《制度变迁与经济增长》,引自盛洪主编:《现代制度经济学(上卷)》,第290页,北京大学出版社2003年版。
参考文献:
①盛洪主编:《现代制度经济学(上卷)》,北京大学出版社2003年版。
②李 娜:“世界各国有关互联网信息安全的立法和管制”,《世界电信》2002年第6期。
③吴瑞坚:“我国互联网信息政府管制制度探析”,《探求》2004年第3期。