前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全建设总结主题范文,仅供参考,欢迎阅读并收藏。
检察机关信息网络安全自主可控的策略分析
(一)完善检察机关信息网络安全自主可控的规范化。检察机关的信息技术具有保密的特点,检察信息化管理中许多管理都应在安全有序的状态下进行信息网络安全自主可控的运作。应将信息网络安全的的自主化管理模式纳入到整个管理的格局之中,如果不及时的使用自主化管理模式,就会使总体的检察机关信息网络在运行时出现紧张的局面,必将会导致检察机关总体管理工作的堵塞。
当网络信息化技术发展到一定阶段的时候,就会暴露出许多信息网络安全管理的问题。与此同时,与其相互配合使用的许多信息管理软件也会出现相应的操作上的问题。建立检察信息网络安全自主保障系统是解决问题的最有效的方法,它使原本由静态的管理模式向动态的信息安全管理模式转变。由此可见,完善的检察信息网络安全自主保障系统通过规范信息安全管理机制,改进检察信息网络安全自主保障系统,促进了队伍更好地建设与发展。
而且对信息网络安全自主可控机制的健康运行起到了很好的促进作用,使检察机关信息网络安全自主可控的管理机制能够快速的、科学的发展。为加强制度的管理和落实,有必要完善检察机关信息系统运行的操作规范,并且定期的总结规章制度的执行落实情况,及时发现漏洞并进行整改。还有必要规范电子论坛、挂网内容等的制度,既鼓励了干警学习网络安全知识,又提升了检察机关的整体素质,还保证了检察机关信息网络运行的畅通和安全。
网络信息化建设的基础性工作是检察机关网络信息技术的开发,而最关键的则是对网络信息的具体运行和安全管理。检察机关网络信息化建设中存在着很多的问题,对网络信息安全自主可控机制多少都会有一些影响。对此,规范网络信息管理是非常有必要的,检察机关对于各类案件、各种工作以及信息安排都必须在网络信息系统上进行传达,使各个部门都能准时、安全的接受。
(二)完善检察机关信息网络安全自主可控的科学化。检察工作的开展与检察机关掌握信息量的多少、优劣和信息技术程度的高低有着直接的关系。随着信息时代的快速发展,大部分的干警对信息化了解越来越少,连最基本的打字、上网都不精通就别说利用信息技术了。这些问题严重的阻碍了信息网络安全建设的步伐。
要想建立新型的工作机制,必须先从思想观念开始更新,将现代化的信息管理理论融入到检察工作之中。必须大力引进精通网络知识的技术型人才,以促进检察干警更新观念,主动学习钻研。如过有必要可以实行全员培训。例如:在各科室开设小的学习环境,发挥本部门骨干的作用,边做边学;或者是在全体部门开设学习环境,定期的邀请专业技术人员来讲解在操作过程中所遇到的疑难问题。在此基础上,还要组织本院的技术骨干走出去,才能引进来更好的创新观念。
在检察机关干警信息网络安全自主可控的工作能力不断提高的基础上,检察机关还必须加大完善基础设施的建设,才能更好地适应信息网络安全工作快速发展的需要。检察机关对信息网络安全的技术投入不能松懈,而且为了满足检察机关自主可控的需求,还应对信息网络安全保障的各项设备进行改造与升级。只有配置先进的局域网设备,才能有效的防止非法技术的入侵。应用了高标准的信息系统以后,使新型的信息管理模式的安全含量更高、更强。
(三)完善检察机关信息网络安全自主可控的高效化。为保证检察工作能够高效的发展,就必须不断的更新办案系统以及信息安全建设。提高信息安全监督,变结果监督为过程监督,变静态监督为动态监督。为有效地预防办案人员在办案过程中不规范的使用信息网络,可以通过局域网进行信息安全自动监督。办公行政管理部门可以在内网上公开信息网络安全督察事项,并对落实、执行不彻底的个人或部门给予相应的告诫或处罚,这样既提高了信息的质量与安全系数,又使检察机关信息网络安全内部监督机制向着良性的方向发展。为了确保检察业务信息的安全,必须研发新的办案软件,使局域网内部也实现联网办公。
与此同时,还要对侦查指挥、讯问监控系统进行开发和升级,以防止秘密的泄露。还应该实现对举报自动受理,探索出一条新的、快速的、安全的、保密的举报受理系统,防止举报信息被外部的非法网络技术入侵、窃取。
完善检察机关信息网络安全自主可控的规范化。检察机关的信息技术具有保密的特点,检察信息化管理中许多管理都应在安全有序的状态下进行信息网络安全自主可控的运作。应将信息网络安全的的自主化管理模式纳入到整个管理的格局之中,如果不及时的使用自主化管理模式,就会使总体的检察机关信息网络在运行时出现紧张的局面,必将会导致检察机关总体管理工作的堵塞。当网络信息化技术发展到一定阶段的时候,就会暴露出许多信息网络安全管理的问题。与此同时,与其相互配合使用的许多信息管理软件也会出现相应的操作上的问题。建立检察信息网络安全自主保障系统是解决问题的最有效的方法,它使原本由静态的管理模式向动态的信息安全管理模式转变。由此可见,完善的检察信息网络安全自主保障系统通过规范信息安全管理机制,改进检察信息网络安全自主保障系统,促进了队伍更好地建设与发展。而且对信息网络安全自主可控机制的健康运行起到了很好的促进作用,使检察机关信息网络安全自主可控的管理机制能够快速的、科学的发展。为加强制度的管理和落实,有必要完善检察机关信息系统运行的操作规范,并且定期的总结规章制度的执行落实情况,及时发现漏洞并进行整改。还有必要规范电子论坛、挂网内容等的制度,既鼓励了干警学习网络安全知识,又提升了检察机关的整体素质,还保证了检察机关信息网络运行的畅通和安全。网络信息化建设的基础性工作是检察机关网络信息技术的开发,而最关键的则是对网络信息的具体运行和安全管理。检察机关网络信息化建设中存在着很多的问题,对网络信息安全自主可控机制多少都会有一些影响。对此,规范网络信息管理是非常有必要的,检察机关对于各类案件、各种工作以及信息安排都必须在网络信息系统上进行传达,使各个部门都能准时、安全的接受。
完善检察机关信息网络安全自主可控的科学化。检察工作的开展与检察机关掌握信息量的多少、优劣和信息技术程度的高低有着直接的关系。随着信息时代的快速发展,大部分的干警对信息化了解越来越少,连最基本的打字、上网都不精通就别说利用信息技术了。这些问题严重的阻碍了信息网络安全建设的步伐。要想建立新型的工作机制,必须先从思想观念开始更新,将现代化的信息管理理论融入到检察工作之中。必须大力引进精通网络知识的技术型人才,以促进检察干警更新观念,主动学习钻研。如过有必要可以实行全员培训。例如:在各科室开设小的学习环境,发挥本部门骨干的作用,边做边学;或者是在全体部门开设学习环境,定期的邀请专业技术人员来讲解在操作过程中所遇到的疑难问题。在此基础上,还要组织本院的技术骨干走出去,才能引进来更好的创新观念。在检察机关干警信息网络安全自主可控的工作能力不断提高的基础上,检察机关还必须加大完善基础设施的建设,才能更好地适应信息网络安全工作快速发展的需要。检察机关对信息网络安全的技术投入不能松懈,而且为了满足检察机关自主可控的需求,还应对信息网络安全保障的各项设备进行改造与升级。只有配置先进的局域网设备,才能有效的防止非法技术的入侵。应用了高标准的信息系统以后,使新型的信息管理模式的安全含量更高、更强。
完善检察机关信息网络安全自主可控的高效化。为保证检察工作能够高效的发展,就必须不断的更新办案系统以及信息安全建设。提高信息安全监督,变结果监督为过程监督,变静态监督为动态监督。为有效地预防办案人员在办案过程中不规范的使用信息网络,可以通过局域网进行信息安全自动监督。办公行政管理部门可以在内网上公开信息网络安全督察事项,并对落实、执行不彻底的个人或部门给予相应的告诫或处罚,这样既提高了信息的质量与安全系数,又使检察机关信息网络安全内部监督机制向着良性的方向发展。为了确保检察业务信息的安全,必须研发新的办案软件,使局域网内部也实现联网办公。与此同时,还要对侦查指挥、讯问监控系统进行开发和升级,以防止秘密的泄露。还应该实现对举报自动受理,探索出一条新的、快速的、安全的、保密的举报受理系统,防止举报信息被外部的非法网络技术入侵、窃取。
信息网络的安全建设关系到了检察机关的未来走势,面对飞速发展的科学技术,只有不断地完善检察机关信息网络安全自主可控的规范化、科学化和高效化,才能使检察事业在新形势下更快的朝着目标迈进。
本文作者:赵连升工作单位:海南省琼海市人民检察院
网络安全的发展经历了三个阶段: 一是防火墙、防病毒与IDS(入侵检测系统)部署的初级阶段。二是随着网络扩大,各种业务从相互独立到共同运营,网络管理中出现的安全域的概念,利用隔离技术把网络分为逻辑的安全区域,并大量使用区域边界防护与脆弱性扫描与用户接入控制技术,此时的安全技术分为防护、监控、审计、认证、扫描等多种体系,纷繁复杂,称为安全建设阶段。三是把各个分离的安全体系统一管理、统一运营,我们称为安全管理阶段,最典型的就是综合性安全运营中心(Security Operation Center)SOC的建设。从这个阶段开始,网络安全开始走上业务安全的新台阶,业务连续性管理BCM(Business Continuity Management)成为业务安全评价的重点。
SOC是安全技术“大集成”过程中产生的,最初是为了解决安全设备的管理与海量安全事件的集中分析而开发的平台,后来由于安全涉及的方面较多,SOC逐渐演化成所有与安全相关的问题集中处理中心:设备管理、配置下发、统一认证、事件分析、安全评估、策略优化、应急反应、行为审计等等。能把全部安全的信息综合分析,统一的策略调度当然是理想的,但是SOC要管理的事如此之多,实现就是大难题。基于不同的理解,市场出现的各种SOC也各取所长,有风险评估为基础的TSOC,有策略管理的NSOC,有审计为主的ASOC,还有干脆是安全日志分析为主的专用平台。
各种SOC特点各异,但都是围绕安全管理的过程来进行的,对应了安全事件管理的事前、事中、事后三个阶段,事前重点是防护措施的部署,排兵布阵;事中是安全的监控与应急响应,对于可以预知的危险可以防护,但对于未知的危险只能是监控,先发现再想办法解决;事后是对安全事件的分析与取证,对于监控中没有报警的事件的事后分析。由此SOC的功能发展延伸为下面三个维度:
安全防护管理: 负责安全网络设备的管理与基础安全体系的运营。是安全事件出现前的各种防护管理,其鲜明的特征就是制定的各种安全策略并下发到相关的安全设备。
监控与应急调度中心: 对安全事件综合分析,根据威胁程度进行预警,并对各种事件做出及时的应对反应。
审计管理平台: 事件的取证与重现、安全合规性审计、数据的统计分析、历史数据的挖掘。安全的审计安全管理的事后“总结”,也是安全防护的依据。如图所示。
关键词:信息安全;检察系统;屏蔽
1. 检察系统信息安全建设现状
检察机关计算机信息网络从2000年开始规划建设,至今已建立了从高检院——省院——市院——县(市、区)院的检察机关三级专线网络。全国检察机关专线业务网络属于涉密业务专网,整个网络和Internet 等非涉密网络实现物理隔离。而在原有二、三级网络系统的建设过程中,基于分步建设、不断完善的总体建设方针,并未对整个网络的安全保密系统建设做统一规划和考虑,随着二、三级网络中应用系统的逐步推广使用,如何有效保障整个网络中涉密信息的生成、传输、存储、访问的安全保密性,就成为现阶段整个系统建设中亟待解决的首要问题。
2. 检察系统信息安全总体设计
2.1. 检察系统信息安全需求分析
基于检察系统计算机业务信息系统的应用与实际情况,在系统的安全保密性上,检察系统的需求总的体现在信息系统安全、网络安全、权限控制和计算机病毒防范、网络物理隔离、安全保密管理六个大的方面。
其需求总体架构如下图所示:
2.2. 检察信息系统中的不安全因素
检察信息系统中的不安全因素主要有以下几个方面:
a. 线路建设不合理。综合布线未按检察系统涉密要求进行建设。
b. 设备选型不达标。采购的信息设备未达到国家规定的密级。
c. 病毒入侵与黑客攻击.未使用的防病毒软件、防火墙等不够专业。
d. 使用人员的不良习惯与非法操作。未进行严格的使用培训。
e. 网络管理与相关制度的不足。管理制度不严格,执行力不强。
2.3. 检察系统信息安全的设计原则
检察信息系统安全设计围绕以下六个方面进行设计:
机密性:确保信息不暴露给未经授权的实体。
完整性:只有得到允许的人才能修改数据,并且安全系统应能判别出数据是否已被篡改。
可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
可控性:可以控制授权范围内的信息流向及行为方式。
可审查性:对出现的网络安全问题提供调查的依据和手段。
抗抵赖性:提供技术手段,防止对关键操作的抵赖。
2.4. 市级检察信息系统安全的拓扑图
3. 检察系统信息安全设计内容
3.1. 综合布线系统实现检察专网全程屏蔽
检察系统的信息线路分为检察专网、政务网和外网,三网独立进行设计。检察专网必须严格按全程屏蔽进行设计和施工,与其他网络在线路上分开设计敷设,从入网接口、核心交换、汇聚交换、桌面交换整个过程涉及的材料都必须达到国家涉密标准。
3.2. 使用的专网设备必须符合国家相应的密级标准
检察专网中使用的硬件设备如接入设备、交换机、入侵检测、防火墙、防毒墙、服务器、磁盘阵列等和软件产品如网络管理软件、安全管理软件、漏洞扫描系统、网络行为管理、邮件系统、审计系统、防病毒软件、桌面管理系统等必须具备国家颁发的相应涉密证书或认证。
3.3. 系统设计
系统设计包括结构设计、硬件设计和软件设计。详见图2。
3.4. 做好权限管理
在国家保密局及高检院的统一规划和指导下,授权省检察院建立基于用户的权限控制系统,确保只有经过系统认证和授权的合法用户才能进入计算机信息系统,使用网络资源和进行业务系统应用。
3.5. 完善数据备份
检察信息系统中的数据十分重要,必须做到本地备份和异地备份。下一级检察机构除做好本地数据备份外,必须将数据传送到上一级检察机关进行异地备份。
3.6. 管理与培训
通过行政管理措施、行政管理机制和软硬件技术相结合,做到事先防范,事后补救的安全保密总体目标。通过安全教育与培训,提高员工的安全意识,主动自觉地利用各种工具去加强安全性。
4. 总结与展望
检察系统的信息安全涉及国家监督和国家公平,随着网络技术的发展,信息安全问题日益巨大的挑战。特别是在屏蔽线路建设、信息隔离、入侵检测、防木马等方面还需进行不断的探索。检察系统的信息安全建设是一个长期的过程,需要在未来发展过程中不断完善和提高,才能为整个检察工作提供安全、可靠、准确、快速的信息服务支持。
参考文献:
[1]《信息安全概论》,石志国编著,清华大学出版社,2007年
关键词:网络信息安全;应对策略;网络攻击
1背景介绍
当今社会的发展和计算网络信息紧密相连。网络信息所涉及的领域非常广,不仅是在民用领域,在国家经济等领域的影响也非常大。网络信息是一把双刃剑,为我们带来巨大利益的同时,我们要应对其产生的不良现象。网络攻击手段繁多,由于其具有开放性,应对较为复杂。当今强化全球计算机网络信息安全技术是世界各国所面临的难题。
2网络信息安全
2.1网络信息安全的含义
计算机网络信息安全,是指计算机网络在运行中保持其软硬件不受外界恶意破坏、盗取或非法访问,从而保持其系统的稳定性。对于不同的使用者,网络安全的意义不同。对于个人,网络安全就是指个人信息、财产、隐私等不遭到泄露或者窃取;对于企业或者国家,网络信息包括了经济、政治等多个领域,要做好网络防护,避免产生巨大损失。
2.2网络信息安全的发展方向
当前市面上存在多种网络安全软硬件产品,还有一些公司针对信息安全推出全面检测产品。在我国的网络信息安全产品非常丰富,其市场竞争也相对激烈。各个厂商都追求服务于信息安全的各个领域,研究出具有更完整的解决方案的产品,这个趋势也预示着计算机网络信息的发展具有广阔的前景。
3网络信息安全技术
3.1防火墙技术
防火墙技术可以隔绝信息请求端和信息反馈端的直接联系,它能够对二者之间所传输的数据包进行抓包检测、分析,把数据库中的不安全信息进行过滤,尽可能对外网的危险地址进行拦截或者屏蔽,从而实现对内网的保护。防火墙技术原理其实就是“包过滤技术”,该技术发展至今已经成为应用最广泛的安全技术,并且使得网络信息安全性提高。
3.2数字加密技术
数字加密技术原理是通过某种算法对信息加密,使其变成“密码”,在传输的的过程即使被窃取也无法被破解,在接收端收到加密信息后,再通过一定算法对信息进行解密,使其变成“明码”。
3.3访问控制技术
网络访问控制技术,主要是限制用户对网络信息的访问,只限定资源对用户可开放,这种技术可以有效保护敏感信息,防止用户对资源进行越权访问。该技术作为网络信息安全保障的核心内容,可以对计算机内系统资源予以最基本的保护,其缺陷是无法阻止已授权资源被访问者故意破坏。多访问控制技术如自主访问控制技术已广泛应用到商业领域。
3.4虚拟专用网技术
虚拟专用技术也就是VPN技术,也是当前最新的网络安全技术。VPV技术作为互联网发展的附属产品,已经广泛地运用到企业当中进行营销或者销售。该技术是利用因特网来模拟安全性较高的局域网,成本低,运行安全。它整合了大量的用户资源,若果在此基础上广泛采用VPN技术,可以有效防止信息泄露,增强访问控制。
3.5安全隔离技术
随着网络技术的发展,各种新型攻击手段越来越多,于是诞生了安全隔离技术。它主要是隔离危险网站或者网络攻击,既可以保证内网信息不泄露,又能实现网络信息的交换。其主要技术包括安全隔离网闸、双网隔离技术。
3.6身份认证技术
身份认证技术是网络安全中一项重要的技术,其地位甚于信息加密技术。这种技术只有认证方可以操作,其他人员无法进行身份伪造。常见的身份认证技术有两种,基于密码的认证和生物特征认证。
4常见的网络安全威胁及应对策略
常见的网络攻击技术包括:拒绝服务攻击;利用型攻击;信息收集攻击;假消息攻击;脚本攻击等,这些攻击技术都是通过修改注册文件来进行的,相应地,可以通过注册表编辑器对修改过的注册文件的键值删除,就能将文件恢复正常;对于当前流行较广的计算机病毒、木马的攻击,可以采用杀毒软件或者防火墙等软件进行监护信息;对于蠕虫病毒,由于其可以不断利用网络漏洞自我复制,所以应当在发现后立刻用防火墙隔离,并分析蠕虫病毒特征修补漏洞。
5网络安全建设
当前我国面临网络信息威胁,相关部门建立了相应机构,完善法律法规,加强危机应对。针对我国当前信息安全保障现状,尤其是关于法律法规不够健全,缺乏高端人才去建设国家级信息安全保障等问题,要同社会各界进行积极合作,解决整体研发能力低下等问题,政府应该做到:加强宏观调控力度;完善政策法规;加大投入,培养高端技术人才;建立网络信息安全技术创新体系等。
6总结与展望
在未来信息时代的发展过程,网络信息安全问题仍会是各个地区面临的重大难题。快速发展的社会对安全的需求也更加多样化,尤其是企业或者国家对于信息技术的依赖性,迫切要求能够尽快治理好网络信息等问题。要将管理和技术系统化,在政府的带动下,逐步建立完善信息安全体系,这不仅是对于经济和政治安全的重要保障,也是增强人民福祉的重要途径。
参考文献:
[1]家庭网络安全防范技术与管理手段探讨[J].吴忠坤.科技信息.2009(15)
[2]全面规划,综合管理,保障信息安全[J].陈禹.科学决策.2007(05)
[3]防火墙技术与网络安全[J].孙晓南.科技信息(学术研究).2008(03)
【关键词】通信网络;因素;技术;建设;措施
1.通信网络安全的内涵
通信网络安全是指信息安全和控制安全。其中国际标准化组织把信息安全定义为信息完整性、可用性、保密性和可靠性。而控制安全是指身份认证、不可否认性、授权和访问控制。通信网络的特点是具有开放性、交互性和分散性,能够为用户提供资源共享、开放、灵活和方便快速的信息传递、交流的方式。
2.通信网络安全的现状
2.1通信网络发展现状
中国互联网络信息中心(CNNIC)的《第27次中国互联网络发展状况统计报告》数据显示,截至2010年12月底,我国网民规模达到4.57亿,较2009年底增加7330万人。我国手机网民规模达3.03亿,而网络购物用户年增长48.6%。Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示,互联网遭受病毒攻击中“浏览器配置被修改”占20.9%。“数据受损或丢失”18%,“系统使用受限”16.1%,“密码被盗”13.1%。通过以上数据显示,可以看出我国的通信网络在飞速发展,而通信网络安全问题日益加剧,通信网络安全建设仍是亟待解决的重点问题。
2.2造成通信网络安全问题的因素
第一,计算机病毒。计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒具有复制性、破坏性和传染性。
第二,黑客攻击。中国互联网络信息中心和国家互联网应急中心的调查报告数据显示,仅在2009年我国就有52%的网民曾遭遇过网络安全事件,而网民处理安全事件所支付的相关费用就达153亿元人民币。网络攻击事件给用户带来了严重的经济损失,其中包括网络游戏、即时通信等账号被盗造成的虚拟财产损失,网银密码、账号被盗造成的财产损失等。产生网络安全事件的主因是黑客恶意攻击。通信网络是基于TCP/IP协议,而TCP/IP协议在设计初期是出于信息资源共享的目的,没有进行安全防护的方面的考虑,因此导致了通信网络自身存在安全隐患,也给黑客提供了可乘之机。
第三,通信网络基础建设存在薄弱环节。例如通信网络相关的软硬件设施存在安全隐患。通信网络运营商为了管理方便,会在一些软硬件系统中留下远程终端的登录控制通道,还有一些通信软件程序在投入市场使用中,缺少安全等级鉴别和防护程序,因此形成了通信网络漏洞,容易被不法分子利用而发起入侵网络系统的攻击,使通信信息遭到窃取、篡改、泄露。另外通讯信息传输信道也存在安全隐患,例如许多通信运营商采取的是普通通信线路,没有安置电磁屏蔽,容易被不法分子利用特殊装置对信息进行窃取。
第四,人为因素造成的通信网络安全问题。通信网络的安全高效运行需要高素质、高专业技术水平的人员,而目前的网络管理人员的安全观念和技术水平还有待提升。
3.解决措施
随着我国通信网络功能的不断完善,在人们日常生活、生产和社会经济发展中起到了越来越重要的作用。因此,通信网络安全建设需要采用有效的措施,消除通信网络的安全隐患,加强对非法入侵的监测、防伪、审查、追踪,保障通信网络信息传递的安全性、可靠性、及时性和完整性,加强和完善通信线路的建立、信息传输全过程的安全防护措施。
3.1完善通信网络基础设施建设
通信网络的物理安全是通信网络安全的基础,通信网络基础设施安全主要包括:保护计算机系统(各种网络服务器)、网络设备和通信链路免受自然灾害、人为破坏和物理手段的攻击,加强对系统帐户的管理、用户的分级管理、用户权限的控制,以及系统关键部位的电磁保护防止电磁泄漏,同时要制定通信网络安全管理制度,避免计算机控制室出现偷窃、破坏活动。
3.2完善通信网络安全的法制体系建设
鉴于通信网络存在安全事件造成巨大经济财产损失,需要制定通信网络安全的法律、法规,这也是打击网络犯罪的重要手段。我国在2009年3月实行了《信息安全条例(部内审议稿)》与《电信设施保护条例(草稿)》,明确了网络与信息系统安全、网络信息服务安全、信息技术产品和服务等内容,而且规范了保障电信设施建设与规划、处理公用设施之间的相邻关系、电信设施保护区的划定、电信设施损坏赔偿制度等方面的内容。进一步完善了通信网络安全的法制体系,也为通信网络安全运行提供了法律依据。
3.3运用网络安全技术,保障通信网络安全
3.3.1保障通信网络安全的技术手段
针对通信网络安全问题,采取的技术手段主要包括以下几种。“身份鉴别”、“网络授权”、“数据保护”、“收发确认”、“保证数据的完整性”、“业务流分析保护”。其中“身份鉴别”是基于身份认证技术,通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。这几种安全防范措施,是系统开始运行到数据传输,以及通讯业务完成全过程的安全防护,能够有效的保障数据传输的安全性、机密性、完整性。
3.3.2保障通信网络安全的技术类型
建构防御系统还需要利用防火墙技术、入侵检测技术、漏洞扫描技术等。
(1)防火墙技术
防火墙技术是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,能够最大限度的阻止网络中的黑客入侵。
(2)入侵检测技术
入侵检测技术是对防火墙技术的补充。防火墙技术虽然能够保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善。依据入侵检测技术而应用的IDS即入侵检测系统,积极主动地对内部攻击、外部攻击和误操作的提供实时保护,IDS能够在网络系统受到危害之前,拦截和响应入侵,提高了信息安全性,同时也能够主动保护网络系统免于计算机病毒、木马以及黑客的攻击。
(3)漏洞扫描技术
由于通信系统自身存在漏洞,需要采用漏洞扫描技术来优化系统设置,针对不同系统软件存在的安全漏洞下载安装补丁程序,能够及时升级网络系统和修改软件设计缺陷,以此提高通信网络系统可靠性、安全性,保障通信网络系统的运行。
4.总结
随着通信网络在全球范围内的飞速发展,人类生活、工作的全部领域都与通信网络息息相关,通信网络提供高效、方便、强大服务功能的同时,其产生通信网络安全问题也给社会经济发展带来了一定的负面影响。因此国家与相关部门要完善法律体系,依据安全技术手段,提高安全防范意识,全方位的增强网络数据的安全、信息的安全、网络系统的安全,促进通信网络的发展。
【参考文献】
关键词:信息安全;网络;校园网
中图分类号:F49文献标识码:A 文章编号:1672-3198(2012)03-0240-01
1 校园网的网络信息安全现状
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续、可靠、正常地运行,使网络服务不中断。网络安全从本质上讲就是网络上信息的安全。目前,校园网的网络安全正面临着严峻挑战。电子邮件系统使得大量垃圾邮件和病毒邮件肆意传播,下载和上传文件在方便师生交流的同时也带来了病毒程序,黑客程序和黑客攻击时有发生,由于安全意识淡薄没有对接入网络的计算机采取基本保护措施造成文档资源流失、泄密等。校园网在提供给广大师生方便快捷的行政办公、教务教学,丰富多彩的数字化校园生活的同时,来自其内部和外部的危险时刻威胁着校园网网络安全。
1.1 校园网网络运行现状
学校园网网络运行以来,对学校的各项工作都起着促进作用。在综合网络信息服务方面,学校力求小而全的网络服务宗旨,从建站以来学校一直重视学校主页建设,不断完善网页设计和服务项目。目前己提供的信息服务模块有上网浏览、学校新闻系统、电子公告系统、校园BBS、留言簿、FTP服务系统、校园邮件系统、校友录系统、影视频道等等。这些平台给学生提供了交流思想、学习、情感、互通有无、反映建议与意见等交流空间。在信息化办公环境方面,校园网的办公系统应用,大大提高办公效率。只要接入校园网的内网,教职员工就可以登录自己的办公账号,进入各自办公系统,针对性很强。但是校园网在提供给广大师生员工方便快捷的同时,也带来了许多安全性的问题。校园网内许多处室由于工作的需要,拥有自己的可以上传文件资料的账号和密码,这就对网络安全埋下了隐患,如有些需要上传的文件没有进行彻底的查毒杀毒就上传到校园网上,成为了病毒传播的源头。每次重大的考试之前,信息技术中心的技术人员都要花费大量的时间进行网内病毒查杀工作,在查杀之后,网络运行情况能够好转一些,但是一段时间以后,问题依旧比较严重,效果甚微,甚至于曾经出现过因为病毒大量密集发包造成个别交换机信息堵塞、网络瘫痪的情况发生,可见,校园网上的病毒泛滥问题已经十分严重,危害之大。
1.2 校园网网络管理现状
学校制定了一系列的规章制度,用于规范校园网网络管理。这些制度对校园网所属的行政领导、政治审查、技术管理和维护、使用规则、信息保密、信息管理、信息等等方面都做出了详细的规定,明确责任范围。学校成立以主管领导为组长的校园网信息领导小组,该领导小组是学校网络信息组织、管理、协调机构。学校党委宣传部负责上网信息的政治审查,学校办公室负责上网信息的保密和统计数据的审查、监督,信息技术中心负责有关信息的技术保障。各部门确定分管信息工作的领导和负责信息工作的信息员,负责收集、整理、编辑、上报信息。学校校园网络设备设施(含子网设备)由学校信息技术中心统一管理和维护。任何部门和个人未经许可,不得打开子网机柜及其他网络设备。用户如发现终端设备或软件出现问题,可报信息技术中心处理。信息技术中心要对网络运行情况进行记录,并对网络系统及网上资源进行严格管理。
2 校园网网络信息安全对策
2.1 访问控制管理
访问控制管理是安全性处理过程,即妨碍或促进用户或系统间的通信,支持各种网络资源,如计算机、Web服务器、路由器或任何其它系统或设备间的相互作用。访问控制的认证过程可以通过登录过程和自主访问控制实现,校验用户并决定他们是否有权访问具有更高安全控制权限的敏感区域和文件的认证级别。
2.2 从软件上着手,设置防火墙
在Internet与校园网内网之间部署了一道防火墙,在内外网之间建立一道安全屏障。其中WWW、FTP、DNS服务器连接在防火墙的DMZ区(非军事区,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信,以保证内网安全),与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。这样通过Internet进来的外网用户只能访问到对外公开的一些服务,既保护内网资源不被外部非授权用户非法访问破坏,也可以阻止内部用户对外部不良资源的使用,并能够对发生在网络中的安全事件进行跟踪和审计。根据校园网安全策略和安全目标,配置防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和原路由器类型的攻击,过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
2.3 从硬件上着手,进行网络版杀毒产品的部署
为了实现在整个局域网内杜绝病毒的感染、传播和发作,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷的实施和管理整个网络的防病毒体系,我们部署了趋势网络版杀毒产品,实现远程安装、智能升级、远程报警、集中管理、分布杀毒等功能。在学校信息技术中心网络部的服务器上安装趋势杀毒软件网络版的系统中心,负责管理全校的主机网点。在各行政、教学单位等多个分支机构分别安装趋势杀毒软件网络版的客户端。安装完趋势杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀病毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本级的查杀毒处理。信息技术中心网络部负责对整个校园网的升级工作,为了安全和管理的方便,由网络部的系统中心定期地、自动地到趋势网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其他的主机网点的客户端,并自动对趋势杀毒软件网络版进行更新。同时,因为只有网络部才有Interact出口,便于整个网络的统一管理。
在网络设备严重匮乏的情况下,目前在信息安全技术方面部署的措施有防火墙和网络版杀毒软件。它们的使用在一定程度上很好地缓解了校园网的安全威胁问题,尤其是病毒泛滥的问题。从部署硬件防火墙和网络版杀毒软件以来,病毒拦截良好,整个校园网内部再也没有发生过因为病毒造成的网络故障导致网络瘫痪问题,基本达到预期的目的效果。
2.4 从管理上着手,细化责任机制
网络安全建设“三分技术,七分管理”,突出了“管理”在网络安全建设中所处的重要地位。校园网网络安全建设中,安全制度的良好实施和执行能从很大程度上保证校园网网络的信息安全。规范和细化各种校园网规章制度,明确各部门的职能和责任,并且严格执行。具体可以包含网络管理工作职责及分工、各个管理层的岗位职责规范(校领导、主任、管理员、维护员等)、校园网网络管理值班制度、校园网使用与管理办法、校园网计算机用户行为规范、校园网信息规范、电子公告版服务管理规定、校园网收费管理办法、校园网保修、检测与维护管理办法、校园网用户责任书、校园网IP地址管理办法、办公邮件管理办法、网站网页管理办法等等,有了各种细致明确的规章制度才能够更好的规范校园网广大用户使用校园网的种种行为。
3 总结
应该看到,学校校园网的网络设备匮乏,也使得一些安全技术没有得到应用。仅有防火墙部署的网络防御功能相对静态,在动态防御方面相对不足,并且,校园网内由于采用操作系统等问题带来的安全漏洞问题,目前的校园网安全部署也没有很好的解决办法。
因此,在条件允许的情况下,可以考虑增加入侵检测系统的部署,根据校园网络特点,将入侵检测引擎接入中心交换机,对来自外部网和校园网内部的各种行为进行实时检测。对于处于高校校园的发展,可以采用光纤线路与网络中心的主楼连接起来。并且,在未来整个校园网内实现无线覆盖以后,还可以为移动的用户提供更加便捷、安全的校园网网络服务。
参考文献
[1]程玮玮,王清贤.防火墙技术原理及其安全脆弱性分析[J].计算机应用,2003,23(10).
[2]孙锐,王纯.信息安全原理及应用[J].第1版.北京:清华大学出版社,2003,(7).
[3]杨义先.网络信息安全与保密[M].第2版.北京:北京邮电大学出版社,2002,(1).
[4]罔宝玉.计算机网络与信息安全[M].第1版.北京:北京邮电大学出版社,2004,(8).
关键词 企业网络安全 网络安全评估 风险评估 面向运行
一、引言
信息安全不是一个孤立静止的概念,信息安全是一个多层面的多因素的综合的动态的过程。在HTP模型中,信息安全建设是从体系建设过程、运行及改进过程、风险评估过程再到体系建设过程的一个循环往复的过程。没有绝对的安全,信息安全的技术是不断的前进的。所以面向企业网络的安全体系建设是一个需要在不断考察企业自身发展环境和安全需求的基础上,通过对现有系统的风险评估,不断改进的过程。整个安全体系统建设,不能一劳永逸,一成不变。因此,引入安全风险评估的概念和方法相当重要,它为企业网络的自身评估提供了良好的手段,是企业网络安全体系不断发展的动力。
二、风险评估的基本步骤和方法
进行风险评估,首先应按照信息系统业务运行流程进行资产识别,明确要保护的资产、资产的位置,并根据估价原则评价资产的重要性。在对资产进行估价时,不仅要考虑资产的市场价格,更重要的是要考虑资产对于信息系统业务的重要性,即根据资产损失所引发的潜在的影响来决定。为确保资产估价的一致性和准确性,信息系统应按照建立一个统一的价值尺度,以明确如何对资产进行赋值。还要注意特定信息资产的价值的时效性和动态性。
其次系统管理员、操作员、安全专家对信息系统进行全面的安全性分析。对系统进行安全性分析的方法包括调查研究、会议座谈、理论分析、进行模拟渗透式攻击等方法,可运用的分析技术包括贝叶斯信任网络法、事件树分析法、软件故障树分析法、危害性与可操作性分析法、Petri网法、寄生电路分析法以及系统影响和危险度分析法。
再次对已采取的安全控制进行确认。
最后,建立风险测量方法及风险等级评价原则,确定风险的大小与等级。按照风险评估的深度,风险评估方法可分为:①基本的风险评估方法:对组织所面临的风险全部采用统一、简单的方法进行评估分析并确定一个安全标准,这种方法仅适用于规模小、构成简单、信息安全要求不是很高的组织;②详细的风险评估方法:对信息系统中所有的部分都进行详细的评估分析;③联合的风险评估方法:先鉴定出一个信息系统中高风险、关键、敏感部分进行详细的评估分析,然后对其他的部分采取基本的评估分析。
在进行风险评估时,可采用定性或定量分析方法。定性评估时并不使用具体的数据表示绝对数值,而是用语言描述表示相对程度。由此得出的评估结果只是风险的相对等级,并不代表风险的绝对大小。
定量风险分析方法要求特别关注资产的价值损失和威胁的量化数据。对于具体环境的某一个安全风险时间发生的概率是安全威胁发生概率与系统脆弱点被利用概率的函数,根据联合概率分布计算公式可得出安全事件L发生概率为PL=TL×VL。其中TL是未考虑资产脆弱点因素的威胁发生的发生概率,VL是资产的脆弱点被威胁利用的概率。
目前风险评估工具存在以下几类:①扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;②人侵监测系统(IDS):用于收集与统计威胁数据;③渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层次漏洞;④主机安全性审计工具:用于分析主机系统配置的安全性;⑤安全管理评价系统:用于安全访谈,评价安全管理措施;⑥风险综合分析系统:在基础数据基础上,定量、综合分析系统的风险,并且提供分类统计、查询、TOPN查询以及报表输出功能;⑦评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库。
三、面向运行的风险评估
由于还没有一个标准的建设程序和规范,因此在国内很少有企业在风险评估的基础上进行系统建设,而且很多情况下选择将网络一次性安装完毕。针对这种情况,我们觉得可以考虑采用面向运行的风险评估的方法,对已经建成的、正在运行的网络进行风险评估,查找问题,然后针对风险点,逐步加以建设完善。在此基础上,可对网络再进行一次风险评估。检查信息系统安全绩效,并为进一步提升安全性能做好准备。对于一个企业来讲,网络可以由多个功能模块组成,包括核心网络、服务器组、广域网、互联网、拨号用户等。
1.企业网络分析
企业园区网络主要包括核心网络、分布层网络、接人层网络、服务器网络等几个部分。各个部分都可能受到来自企业内部的安全威胁。(1)核心网络,核心网络主要实现核心交换功能,主要的威胁为分组窃听。(2)分布层网络,分布层网络为接入设备提供路由、服务质量和访问控制等分布层服务,完成核心网络与接入网络的信息交互,它是针对内部发起攻击的第一道防御。在这个网络中可能存在未授权访问、IP电子欺骗、分组窃听等威胁。(3)接人层网络,接入层网络是为企业内部网络最终用户提供服务。用户设备是网络中最大规模的元素,因此该部分网络可能存在大量的来自内部网络用户的安全威胁。如外来笔记本等不安全机器可接入内部网,对内部网的安全造成威胁,可能造成内部数据的泄露,网络受到恶意攻击;企业内部网上使用的电脑擅自拨号上互联网,造成一机多网,可能感染病毒,受到互联网上用户的攻击;内部网客户端的安全补丁和杀毒软件病毒库没有及时更新,无法有效地防范病毒,因此有病毒泛滥的风险等。(4)服务器网络,服务器网络因为向最终用户提供应用服务,存储大量的企业内部数据,通常会成为内部攻击的主要目标,因此未授权访问、应用层攻击、IP电子欺骗、分组窃听、信任关系利用、端口重定向等威胁时刻存在。
2.确定已经采取的安全控制手段
对于企业园区网应当采取的安全控制手段,在这里我们不做详细讲解。我们要做的就是根据网络安全管理的设计方案,结合上面确定的风险点,进行检查,确定在这些风险点上已经采取的安全控制措施,并确保这些措施切实有效。比如:(1)防火墙设置是否安全;(2)防火墙是否使用NAT地址转换;(3)是否安装入侵监测系统;(4)是否使用电子邮件内容过滤;(5)是否使用RFC2827和1918过滤;(6)拨号用户是否签订安全协议;(7)拨号用户是否进行强身份认证;(8)是否对用户线路采用拨号回送程序和控制措施;(9)是否对拨号上网用户流经关键接口的网络数据包进行监视记录。当然这只是需要确认内容的一小部分。在确认过程中需要做到的是耐心仔细,不放过每一个细节。同时我们应当与各个部门负责人和系统管理员协同工作,以便取得更大的成效。
3.确定风险的等级
我们需要使用一些扫描工具,对内部网络进行扫描,以便建立风险等级评价原则,确定风险的大小与等级。根据扫描结果,我们可以结合已经收集到的大量网络信息,进行认真比较和评估。最后我们可以总结出发现的问题,并提出化解风险的建议。
当然风险是客观存在的,通过风险评估的方法,能够在一个阶段内帮助解决网络安全问题,但并非一劳永逸。我们应该建立风险评估的良性循环机制,定期进行风险评估,以便不断的提升网络安全性能。
一、电子政务建设取得阶段性成效
(一)2014年我县职能部门建立电子政务平台37个,涉及党政、教育、水务、医疗、金融、烟草、公共安全等多个方面。其中电信新开通平台1个,联通开通平台4个,万网工程建设外网平台32个。
(二)移动公司完成了101条信息化专线建设。
二、城乡信息化发展迅速
(一)2014年全县新建基站119个,其中电信在、县城等区域新建基站11个,移动投资1200余万元建设基站61个,联通建设基站47个,覆盖全县所有乡镇。
(二)为推动城乡信息化发展,各通信服务企业纷纷出台城乡优惠政策,通过改造农村宽带、话费优惠、话机促销等方式,促进城乡信息消费,提高城乡信息化程度。其中移动公司投资600余万元,完成63个小区宽带、11个乡镇宽带和25个农村宽带建设。
三、“两化融合”工作进展顺利
(一)为更好进行“大社会”治安管理监控,我县先后完成了21家大社会视频监控项目,对56家煤矿企业进行实时监控。
(二)为做好全县经济运行分析工作,我县将具有行业代表性的32家中小企业纳入省中小企业生产经营运行监测平台进行监测,为全县经济分析提供有效参数。
(三)为更好的服务于企业,提高企业生产、管理、销售信息化水平,2014年我县共为11户企业建立移动信息基站。
四、园区信息化发展机制完善
(一)园区无线宽带建设
无线接入网在公共区域采用最新的802.11n协议标准,实现300mbit/s的高速无线接入,全面实现移动办公。
(二)骨干网建设
1、在有线接入网络上采用pon和ftto接入,实现电话网、电视网、计算机网络的三网融合。
2、在各单位内部采用塑料光纤建设以太局域网,通过千兆路由器上联到园区ip骨干网,从而实现万兆到园区,千兆到大楼,百兆到桌面的高速宽带上网。
3、在园区机房建设汇聚路由器,实现对园区信息输送的汇聚。
(三)电子商务
1、基于建设好的网络承载平台,以园区网站建设为龙头,建设统一的数据交换平台,发展统一的园区电子政务平台,实现“阳光政务”。
2、通过园区网站的建设及与大型电子商务平台的对接,为企业提供高端的电子商务平台,同时嵌入主流物流平台软件,使园区的所有物流情况全部通过电子物流平台实现指令传送和过程监管。
五、信息化安全建设体系完善
(一)贯彻落实手机实名制
积极贯彻工信部手机实名入网相关文件精神,严格要求电信、移动、联通三大电信运行商自9月起执行新用户入网时必须登记实名信息。通过手机实名制的推进,有利于杜绝非法使用手机通讯现象,促进我县的通讯事业健康发展。
(二)园区信息安全建设
1、采用mpls-vpn功能的olt设备,为园区企业提供端到端服务,为建设vpn网络提供极大方便,增强了园区企业内部网络安全性。
2、在园区环形骨干光缆的多物理路由保护下,实现对入驻企业内部网络的多路由保护。
3、在园区汇聚路由器的前端安装硬件防火墙,加强园区企业信息安全。
(三)认真开展通讯行业应急工作
根据省、市、县通讯保障应急工作安排,由我局牵头对县域三大通讯公司进行通讯应急工作检查,重点查看应急预案,车辆配备,应急器材保养等情况,对不符合规范的情况责令整改,要求三大运营商在保障日常通讯的同时,配备专人开展应急通讯工作,维护相关器材,确保在大灾大害等特殊情况下的通讯畅通。
六、2014年工作计划
(一)积极推进企业“两化融合”工作
1、促进园区企业综合信息平台建设,实现信息资源优化配制,节约企业运行成本。
2、选择双星茶业、好牛旺食品公司、同心木业等行业代表企业开展电子商务应用示范,充分发挥其辐射和示范作用。
(二)加快推进电子政务建设工程
推进全县政务外网网络基础设施的改造升级,进一步完善网络结构,打造全县党政机关各部门信息共享、数据交换的政务外网统一平台。
(三)加强信息安全
完善和落实《网络与信息安全应急预案》,提高我县处置网络与安全突发公共事件能力,确保重要计算机信息系统的实体安全、运行安全和数据安全。