前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全事件主题范文,仅供参考,欢迎阅读并收藏。
关键词:网络信息安全;应急响应;联动系统
随着互联网对各个领域的渗透,我国的网络安全防护任务越来越重。从20世纪90年代至今网络信息安全可分为4个阶段的发展过程,即通信安全、计算机安全、网络安全、内容安全。在这4个阶段中,前两个发展阶段属于运行安全方面―OPSEC。而对于网络基础设施与信息的保护则称之为物理安全―PHYSEC。随着网络的发展,随后又提出了内容安全―CONTSEC,其目的是为了解决信息利用方面的安全问题。为了应对日益增加的网络安全事件,网络安全对抗必须进一步的细化以及升级。在此背景下,应急响应联动系统的建立尤为重要,因为通过系统的建立,可以提高政府对各种网络安全事件的解决能力,减少和预防网络安全事件造成的损失和危害。因此目前对应急响应及联动系统的基础理论、框架构建、技术操作方面的研究尤为重要。
1 应急响应的基本内容
1.1 应急响应系统的建立
为应对网络安全事件发生,事前准备工作或事后有效措施的实施便是应急响应系统建立的目的。应急响应系统包含5个步骤。
(1)管理。即组织对事情发生前后人员之间的职能划分。
(2)准备。对于各种网络安全事件提前制定的一些应急预案措施。
(3)响应。网络安全事件发生后进行,系统对事件进行安全检测有效防止系统信息进一步遭到破坏,并对已受到破坏的数据进行恢复。
(4)分析。为各种安全事件的应急预案提供调整的依据,提高防御能力。
(5)服务。通过对各种资源的整合为应急响应对计算机运行安全提供更多的有力的保障。
1.2 应急响应系统建立必须遵循的原则
(1)规范化原则。为能保证应急响应系统有效策略的实施,各个组织都应该建立相应的文档描述。任何组织应急响应系统应该有清晰和完全的文档。并有相关的规章条例保证系统的有效运行。组织成员作为应急响应系统的服务者必须遵守相关的条例,也可以写入工作职责来保证系统的有效运行。
(2)动态性原则。信息安全无时无刻不在发生变化,因此各种安全事件的复杂性使得应急响应策略的制定更加具有难度。为了完善应急响应策略就必须注重信息安全的动态性原则,并对策略实时作出相应调整。
(3)信息共享原则。应急响应过程中,系统会提供大量可能与安全事件无关的信息,如果提高应急响应系统中重要信息被发现的可能性,在信息提取过程中,信息共享是应急响应的关键,应该考虑将信息共享的对象与内容进行筛选,交叉分析。
(4)整体性原则。作为一个系统体系应急响应的策略具有整体性、全局性,应该在所有的互联网范中进行安全防护,不放过任何一点的细节,因为一点点的疏漏都会导致全网的瘫痪。整个应急响应策略体系除了要从技术层面考虑问题也要从管理方面着手,因为管理问题而导致的安全事件更为严重。因此,制定管理方法时要投入更多的精力来进行统筹安排,既要完善管理方法,也要注重技术层面。
(5)现实可行性原则。通过判断应急响应策略是否合理性来衡量是否在线上具有可行性。
(6)指导性原则。应急响应系统体系中的策略并非百分之百的解决方案,ψ橹而言,它只是对于处理网络安全事件方法进行一定的指导,而对整个组织工作也只是提供全局性的指导。
2 应急响应系统体系的总体框架
如果对应急响应系统体系进行划分,可以将其划分为两个中心和两个组。
(1)两个中心。应急响应中心与信息共享分析中心。应急响应系统体系的关键是信息共享分析中心。它主要负责的是对中心收集来的各级组织的信息进行交换和共享,并对整个网络作出预警或者事件的跟踪,并对收集来的信息进行整理。而应急响应中心的任务则是对系统体系预案进行管理,通过对信息共享分析中心各种信息安全事件的分类分析并进行应急响应。
(2)两个组。应急管理组及专业应急组。应急组对整个事件进行全局性指导,并协调各个机构,指导各个组织成员对事件进行应急策略的制定。在各类安全事件发生的过程中,应急响应与救援处于一个重要的环节,而专业应急组是环节的关键,是实现信息安全保障的核心。通过应急组的响应迅速使网络系统得到恢复。
3 应急响应的层次
“八方威胁,六面防护,四位一体,应急响应”这句话形容的则是应急响应体系的整个工作过程。
(1)“八方威胁”是指应急响应系统中的网络安全事件。而根据事件的危害程度对其进行编号的话,1类为有害程度最轻的事件,8类则最为严重,俨然一场网络战争。而且一般的安全事件都不是单独发生的,通常许多事件都是紧密联系环环相扣。
(2)“六面防护”防护是指技术层面的防御,主要是风险评估、等级保护、入侵检测、网络监审、事件跟踪和预防6个方面。
(3)“四位一体” 主要是指各个小组的组织保障体系,如应急组、专业组、组织协调机构、专家顾问组。
(4)应急响应。应急响应系统的核心为应急响应的实施功能。应急响应系统通过对网络安全事件的目标进行分类并分析,通过对事件的判断进行事件分级,制定具体的预案或措施,并有通过各个小组进行信息实施,并有技术组对系统进行恢复重建和应急管理,保证目标的信息系统安全。
4 应急响应体系的周期性
通过应急响应系统的工作,分析应急响应联动系统在网络安全事件中可能具有生命周期性。网络安全事件的生命周期从风险分析开始,一般的风险分析包括网络风险评估和资源损失评估等。对风险分析进行正确有效的分析有利于高效率的应急响应。为了这一阶段响应过程的顺利进行,需要制订安全政策以及各种应急响应优先权的各种规定。安全工具与系统、网络配置工具,使网络的安全性与可用性两者之间处于平衡状态。在检测阶段,通过各种手段收集信息,利用系统特征或IDS工具来预测安全事件的发生。之后响应阶段,利用各种手段抑制、消除安全事件并进行有利反击。最后在恢复阶段对受到攻击的对象进行恢复,使其恢复到事件发生之前。网络安全事件的周期性更全面,更实际地概括了应急响应系统的工作过程。
5 应急响应体系的联动性
(1)“六面防护”的联动。 首先由风险评估对网络安全事件作出安全评估并确定其“威胁”等,再由等级保护进行措施制定,对其入侵的主体进行入侵检测确定威胁漏洞所在,再通过网络监审发现安全事件并进行事件跟踪再由事件跟踪对其事件进行分析,并通过预防对响应策略进行调整,并分析防御的有效性。
(2)“四位一体”的联动。联动的主要目的是为了应急响应系统的有效运行,因此应急组、专业组、组织协调机构、专家顾问组之间就要努力做好协调工作。组织协调机构主要负责总体的协调工作,应急组与专家顾问组主要负责对网络安全事件的应急处理工作,同时应急组还承担着对突发的安全事件进行信息收集,分析以及信息上报的工作,并对组织协调机构提出的相关事件的应急预案或者保护措施进行执行的工作。
(3)应急响应的联动。作为应急响应系统的核心,应急响应实施功能通过信息,在应急预案或保护措施实施过程中,对事件的发展情况、处理进程进行全程跟踪。尤其是在事后对事件进行跟踪分析,从而进行恢复重建,排除事件对系统产生的威胁。除了对事件进行全程跟踪外,作为核心,还应对相关的应急资源进行协调,做好应急管理工作。
接连不断的蠕虫病毒使当前安全技术和措施的有效性再次受到质疑。尽管安全是世界上所有机构的头等大事之一,安全攻击事件的数量仍然是逐年攀升,造成的危害一次比一次大。在最近的数年中,大量的投资被用于阻击安全事件的发生,但只有少数公司确保了它们网络的安全。
特别值得一提的是,为了满足用户和业务的需求,时刻保持竞争优势,企业不得不持续扩张网络体系。然而,很多人可能不知道,网络的每一次扩张,即便是一台新计算机、一台新服务器以及软件应用平台,都将给病毒、蠕虫、黑客留下可乘之机,为企业网络带来额外的安全风险。同时,纯病毒时代已经一去不复返,几年前占据着新闻头条的计算机病毒事件在今天看来已经不是什么新闻,取而代之的是破坏程度呈几何增长的新型病毒。这种新型病毒被称为混合型病毒,这种新病毒结合了传统电子邮件病毒的破坏性和新型的基于网络的能力,能够快速寻找和发现整个企业网络内存在的安全漏洞,并进行进一步的破坏,如拒绝服务攻击,拖垮服务器,攻击计算机或系统的薄弱环节。在这种混合型病毒时代,单一的依靠软件安全防护已开始不能满足客户的需求。
网络安全不只是软件厂商的事
今年上半年,网络安全软件及服务厂商——趋势科技与网络业界领导厂商——思科系统公司在北京共同宣布签署了为企业提供综合性病毒和蠕虫爆发防御解决方案的合作协议。该协议进一步扩展了双方此前针对思科网络准入控制(NAC)计划建立的合作关系,并将实现思科网络基础设施及安全解决方案与趋势科技防病毒技术、漏洞评估和病毒爆发防御能力的结合。
根据合作协议,思科首先将在思科IOS路由器、思科Catalyst交换机和思科安全设备中采用的思科入侵检测系统(IDS)软件中添加趋势科技的网络蠕虫和病毒识别码技术。此举将为用户提供高级的网络病毒智能识别功能和附加的实时威胁防御层,以抵御各种已知和未知的网络蠕虫的攻击。
“在抵御网络蠕虫、防止再感染、漏洞和系统破坏的过程中,用户不断遭受业务中断的损失,这导致了对更成熟的威胁防御方案需求的增长。”趋势科技创始人兼首席执行官张明正评论说,“传统的方法已无法满足双方客户的需求。”
“现在的网络安全已不是单一的软件防护,而是扩充到整个网络的防治。”思科全球副总裁杜家滨在接受记者采访时表示:“路由器和交换机应该是保护整个网络安全的,如果它不安全,那它就不是路由器。从PC集成上来看,网络设备应该能自我保护,甚至实现对整个网络安全的保护。”
业界专家指出,防病毒与网络基础设施结合,甚至融入到网络基础架构中,这是网络安全的发展潮流,趋势科技和思科此次合作引领了这一变革,迈出了安全发展史上里程碑式的重要一步。
“软”+“硬”=一步好棋
如果细细品味这次合作的话,我们不难发现这是双方的一步好棋,两家公司都需要此次合作。
作为网络领域的全球领导者,思科一直致力于推动网络安全的发展并独具优势。自防御网络(Self-Defending Network,SDN)计划是思科于今年3月推出的全新的安全计划,它能大大提高网络发现、预防和对抗安全威胁的能力。思科网络准入控制(NAC)计划则是SDN计划的重要组成部分,它和思科的其他安全技术一起构成了SDN的全部内涵。
SDN是一个比较全面、系统的计划,但是它缺乏有效的病毒防护功能。随着网络病毒的日见猖獗,该计划防毒功能的欠缺日益凸显。趋势科技领先的防毒安全解决方案正是思科安全体系所亟需的。
趋势科技作为网络安全软件及服务厂商,以卓越的前瞻和技术革新能力引领了从桌面防毒到网络服务器和网关防毒的潮流。趋势科技的主动防御的解决方案是防毒领域的一大创新,其核心是企业安全防护战略(EPS)。EPS一反过去被动地以防毒软件守护的方式,将主动预防和灾后重建的两大阶段纳入整个防卫计划当中,并将企业安全防护策略延伸至网络的各个层次。
“如果此次与思科合作的不是趋势科技,我们恐怕连觉都睡不好。”张明正的戏言无不透露出趋势科技对此次合作的迫切性和重要性。
更让张明正高兴的是,通过此次合作,趋势科技大大扩充了渠道。“我们的渠道重叠性很小。”张明正表示。而此次“1+1<2”的低成本产品集成将使这次合作发挥更大的空间。
网络安全路在何方?
如今,虽然业界有形形的安全解决方案,网络安全的形势却不断恶化。究其原因,主要是由于现在的网络威胁形式越来越多,攻击手段越来越复杂,呈现出综合的多元化的特征。
【关键词】 网络安全 态势评估 关键技术
引言:随着科学技术水平的提高,信息技术、网络技术的应用日渐广泛,但网络安全事故频发,严重影响着各领域健康、稳定与有序发展,经过研究,虽然提出了网络安全设备,但未能有效解决安全问题。为了提高我国网络安全建设的质量,本文重点探讨了网络安全态势评估中涉及的技术。
一、网络安全态势评估的概况
在先进技术支持下,网络在各个领域的应用日渐普遍,信息化、数字化与先进化特点愈加显著,网络虽然提高了生产效率、改善了生活质量,但其具有一定的特殊性,即:在实际应用过程中,潜在的计算机网络安全风险不容忽视,一旦不法分子对其进行利用,不仅会直接损坏个人的利益,还会威胁社会及国家的安稳。近几年,网络黑客、病毒、木马等不断涌现,计算机网络安全问题愈加严峻,在人们安全防范意识不断增强基础,对网络安全、可靠与稳定等提出了更好的要求,为了满足其需要,网络安全态势评估得到了相关人员的高度关注。网络安全态势评估主要是判断网络中潜在的风险,通过对各风险因素的分析,以此明确了网络信息的价值、网络系统的安全及其安全防范措施等,在合理、科学与全面评判后,从而掌握了网络安全态势。在实践过程中,具体的流程有监测、观察、理解、反馈与决策等,借助数据感知组件,采集与整理监测数据,以此为态势评估依据,如果察觉其中异常,则报告相应的安全事件,此后经评估分类与分析,模拟建模,再者,借助网络的实时性,评估数据情况,在可靠数据支持下,判断网络安全态势是否支持,如果结果为支持,则可以对态势类型进行确定,反之,则要持续监测,最后,结合网络安全态势类型及数据模型特点,预测态势演变,并给予针对性的解决方案。
二、网络安全态势评估的关键技术
1、数据融合技术。网络安全态势评估中最为关键的技术便是数据融合技术,它主要是由三部分构成的,分别为数据级、功能级与决策级。第一个级别的优点为提高了数据精度,特别是在细节数据方面,优势显著,但其缺点不容忽视,主要表现为受计算机内存及处理速度影响,导致其处理数据量较大;第二个级别实现了对不同级别的融合,第三个级别所融合的数据量相对较少,并且具有明显的抽象性与模糊性,因此,降低了数据精度。对于计算机网络而言,其安全系统、设备功能等各方面均具有差异性,因此,对描述网络安全事件的数据格式要求各异,为了保证各系统与设备间的有效联系,需要构建适合的环境,其中涉及的重要技术之一便是数据融合技术,在此技术支持下,实现了对数据的有效提炼、压缩与融合,从而保证了网络安全态势评估工作的有序、科学与高效开展,进而利于此项工作目标的达成,即:风险识别与跟踪等[1]。
2、计算技术。网络安全态势评估中涉及诸多的数学计算,为了有效处理态势评估数据,需要设置相应的数值,但此时各数据具有动态性与多变性,主要是其与网络安全事件发生频率、网络资产价值、网络性能等均有关,同时,为了全面呈现网络的安全性与风险性,要求各数据应具备实时性、直接型与快速性等特点,进而监管凭借此数据,才能够全方位了解网络安全情况。为了科学控制各数值范围,需要充分发挥计算技术的作用,待数值范围确定后,变化幅度较大,并接近临近值,则表示网络存在安全风险。
3、扫描技术。网络安全态势评估主要是借助扫描技术实现的,通过对网络的实时监控,采集了相关的数据信息,在此基础上,评定其安全性,进而有效防范了各类攻击。此技术的扫描对象主要有系统主机、网络漏洞及信息通道等,待扫描结束后,记忆、判断数据信息,了解其是否满足ICMP的要求,并借助错误IP数据包,评估目标的反馈情况,同时此技术也实现了对内部交互信息的监测,保证了各数据的安全,再者,它也有效预防了网络黑客攻击,实现了对计算机系统及时维护[2]。
4、其他技术。可视化技术主要是借助图像信息,展现所采集的数据信息,在计算机显示器上呈现直观的图形,此后,管理者便于掌握其变化规律,从而提高了数据处理与分析的准确性与科学性。但此技术的应用也存在局限性,主要表现为关键数据信息提取难度较大。预测技术的内容包括因果、时序及定性预测等,在网络安全态势评估数据及处理经验基础上,预测网络安全态势发展[3]。
总结:综上所述,网络安全态势评估对网络、计算机应用提供了可靠的保障,为了充分发挥其作用,需要了解网络安全现状,并明确其评估流程,同时要积极融合各种先进技术,相信,在先进技术支持下,态势评估成效将更加显著。
参 考 文 献
[1]姚东.基于流的大规模网络安全态势感知关键技术研究[D].信息工程大学,2013.
关键词:事业单位;网络安全等级保护;部署建议
0引言
网络安全等级保护制度是保障各事业单位网络安全的重要方法,通过进行网络安全分级保护,可以高效解决目前事业单位所面临的网络安全问题,按照“重点优先”的思想,将资源有的放矢地投入到网络安全建设中,有助于快速夯实网络安全等级保护的基础。
1网络安全等级保护定义
网络安全等级保护是指对单位内的秘密信息和专有信息以及可以公开的信息进行分级保护,对信息系统中的防火墙进行分级设置,对产生的网络安全事件建立不同的响应机制。这种保护制度共分为五个级别:自主保护、指导保护、监督保护、强制保护、专控保护。不同的信息拥有不同的机密性,就会有相应的安全保护机制。近期,网络安全等级保护制度2.0国家标准正式,这对加强网络安全保卫工作、提升网络能力具有重大意义。
2网络安全等级保护现状分析
按照新的网络安全等级保护要求,绝大多数单位在网络安全技术和管理方面存在差距和盲点,网络安全保障体系仍需完善。主要表现在以下几个方面:(1)网络安全管理工作有待进一步加强在网络安全管理制度方面存在不够完善,对信息资产管理、服务外包管理等缺乏网络安全方面有关要求。未建立体系化的内部操作规程,而且对网络安全管理和技术人员专业技能培训相对较少,网络安全等级保护的定级、备案及测评等未开展。运维工作的部分操作不规范,随意性较强,对网络、系统安全稳定运行造成风险。(2)网络架构存在安全隐患和较为明显的脆弱性有的内网连接,虽部署了防火墙进行网络访问控制,但是部分防火墙缺乏安全配置及管理,访问控制策略不严格,同时某些单位内部网络也缺乏分区和边界控制措施,无法限制非授权用户接入内网和授权用户滥用授权违规外联外网的行为,部分单位发现终端跨接内外网的现象,导致整个单位的内网存在“一点接入,访问全网,攻击全网”的安全风险。(3)主机计算环境抵御攻击能力较低主机服务器未及时更新系统安全补丁,导致存在比如MS17-010(永恒之蓝)、弱口令等高危漏洞;部分服务器未部署防病毒软件、病毒库未更新,没有恶意代码防范措施,部分单位的终端感染木马病毒,一旦被利用,可能导致内部服务器主机大面积感染恶意程序等事件发生。(4)应用系统安全防范措施缺失有的运行在内网应用系统,存在高风险安全漏洞;在应用系统身份鉴别、数据完整性、保密性保护等方面存在策略配置不足问题,结合其他安全风险,会带来系统服务安全、数据安全等较严重的安全问题。(5)数据安全保护能力不足有的未对专网的重要数据进行分级分类管理,数据安全保护措施缺失,专网中的数据库普遍存在弱口令、远程代码执行漏洞等高危安全漏洞,极易被攻击利用,大量的业务数据和敏感信息存在较高的安全风险。(6)物理安全基础保障欠缺有的机房未对进出人员进行鉴别登记,易造成机房遭受恶意人员破坏,存在安全风险。有的机房未部署门禁系统,未安装防盗报警系统等进行盗窃防护。
3网络安全等级保护部署建议
3.1构建等保系统框架
根据安全等级保护的总体思想,提出如图1的网络安全管理体系架构。“总体安全策略”处于网络安全管理体系的最高层级,是单位网络安全管理体系的首要指导策略。“安全管理组织框架”位于网络安全管理体系的第二层,负责建立该单位网络安全管理组织框架。它既确保了信息系统运行时资料不会被泄露,也塑造了一个能稳定运行信息系统的管理体系,保证网络安全管理活动的有效开展。“安全管理制度框架”位于网络安全管理体系的第三层,分别从安全管理机构及岗位职责、信息系统的硬件设备的安全管理、系统建设管理、安全运行管理、安全事件处置和应急预案管理等方面提出规范的安全管理要求。网络安全管理体系的第四层描述的是如何进行规范配置和具体的操作流程以及如何对运行活动进行记录。从日常安全管理活动的执行出发,对主要安全管理活动的具体配置、操作流程、执行规范等各种各样的安全管理活动做出具体操作指示,指导安全管理工作的具体执行[1]。
3.2划分安全域
根据安全等级保护系统总体架构,重新划分网络安全域。各安全域安全管理策略应遵循统一的基本要求,具体如下:(1)保证关键网络设备的业务处理能力满足高峰期业务需求,通过网络拓扑结构设计,避免存在网络单点故障。(2)部署高效的防火墙设备,防止包括DDOS在内的各类网络攻击;在通信网络中部署IPS、入侵检测系统、监控探针等,监视各种网络攻击行为。(3)在关键位置部署数据库审计系统,对数据库重要配置、操作、更改进行审计记录。(4)对于每一个访问网络的用户将会进行身份验证,确保配置管理的操作只有被赋予权限的网络管理员才能进行[2]。(5)部署流量检测设备,通过Flow采集技术,建立流量图式基线,根据应用情况控制和分配流量。(6)增加除口令以外的技术措施,实现双因素认证[3]。(7)如需远程管理网络设备和安全设备,应采用加密方式,避免身份鉴别信息在网络传输过程中被窃取。(8)能够及时有效阻断接入网络的非授权设备。
3.3控制安全边界
基于部署的网络安全软硬件设备,设置相应的安全规则,从而实现对安全边界的控制管理。主要安全策略包括:(1)互联网区域应用安全:必须经过边界防火墙的逻辑隔离和安全访问控制。(2)专网区域应用安全:对于访问身份和访问权限有明显界定,必须经过边界防火墙的逻辑隔离和安全访问控制,其他区域和用户都不允许直接访问。(3)互联网区域数据安全:只允许外部应用域的应用服务器访问,其他区域用户不能直接访问。对数据域的访问受到访问身份和访问权限的约束,必须经边界防火墙的逻辑隔离和安全访问控制。(4)专网区域数据安全:只允许内部应用域的应用服务器访问,其他区域和用户都不允许直接访问。要访问也必须具有受信的访问身份和访问权限。(5)互联网区域和专网区域交互安全:对于内外部之间的信息交互,采用数据摆渡和应用协议相结合的方式进行,严格控制双网之间存在TCP/IP协议以及其他网络协议的连接。(6)开发测试安全:开发测试域作为非信任区域,要求只能在受限的前提下进行网络访问,必须经过边界防火墙的逻辑隔离和安全访问控制。(7)密码应用安全:所有涉及密码应用的网络安全设备,所采用的密码算法必须为国密算法。(8)统一安全管理:防火墙、IDS、IPS、防病毒网关、网络安全审计和数据库安全审计系统的日志统一发送到安全管理区的安全管理平台进行分析。(9)终端安全管理:办公设备统一部署终端安全管理系统,并能够有效管理终端安全配置,准入控制、防病毒功能,以及系统补丁升级。(10)设备知识产权:所涉及网络安全设备的,必须是具有国产知识产权。
4总结
网络安全等级保护工作事关重大,它是一个系统工程,需要各级人员多方面的协调合作。只有尽快补齐安全防护短板,才能切实提高一个单位的安全支撑能力、安全检测能力、安全防护能力、应急响应能力和容灾恢复能力,从而更好地保障一个单位网络安全建设的可持续发展。
参考文献
[1]欧阳莎茜.运用大数据制定园区安全环保用电策略的实例分析[D].西南交通大学,2017.
【关键词】信息安全;影响因素;安全措施
1、引言
随着计算机网络的出现和互联网飞速发展,烟草企业基于网络信息系统也在迅速增加,现已运行的信息系统有生产经营决策管理系统、网上交易系统、工商营销协同系统、烟叶生产经营管理系统、公文远程传输系统、专卖准运证管理系统、专卖证件统计报送系统、数字仓储系统、用友财务管理系统、MES、ERP等。基于网络信息系统给企业的经营管理带来高效和便捷,但随之而来网络安全问题也在困扰着终端用户。木马、蠕虫等病毒传播使企业信息安全状况进一步恶化,这对企业信息安全管理工作提出了更高的要求。
2、信息系统应用所带来的网络安全问题
在烟草企业信息化发展的今天,计算机网络得到了广泛应用。互联网的开放性以及其他因素导致了网络环境下的信息系统存在很多安全问题,这些安全隐患主要可以归结为以下几点:
2.1物理安全
计算机网络物理安全是指人为对网络的损害,最常见的是企业的外来施工人员由于对地下电缆走向不了解,容易造成光缆电缆被破坏,引起网络安全故障;另外计算机用户由于缺乏相关的硬件知识,人为地非正常操作电脑,容易引起网络不安全事件发生。
2.2访问控制安全
网络安全系统的最外层防线就是网络用户登录,但是随着企业内部计算机连接的日益广泛,内部访问与外部远程访问技术的日益开放,计算机用户的访问控制安全越来越薄弱,容易造成计算机用户重要资料泄露等安全事故。
2.3数据传输安全
对于缺少安全防患的计算机用户来说,在实现计算机数据交互的过程中,数据保密是很容易被侵犯的。特别是随着黑客攻击手段的不断更新、升级,计算机用户的数据传输安全面临着极大地威胁。
2.4病毒隐患
只要有程序,就有可能存在补丁,甚至安全工具和系统工具本身也可能存在安全的漏洞。几乎每天都有新的病毒被发现,甚至有不法者恶意传播病毒,导致病毒与杀毒大战不断升级,计算机病毒成为网络安全的一个长久隐患。
2.5移动存储介质的风险
U盘、移动硬盘等移动存储介质使用非常普遍,大量企业秘密信息通过移动介质存储传播。移动介质不受控,管理难度大,形成泄密隐患;另一方面外来人员带来移动存储介质接入企业内网不受限制,存在着恶意复制企业信息或将计算机病毒、间谍软件等恶意程序传入内网的安全风险。
3、信息安全防御体系设计原则
重视信息安全工作。技术先进、管理高效、安全可靠的信息安全防御体系是信息系统运维的一个重要防御。安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则,在各级信息中心指导下,对企业信息安全工作进行系统部署和推进,避免重复投入、重复建设,充分考虑整体和局部的利益。
3.1标准化原则
构建信息安全防御体系要按照国家法规、标准、烟草行业标准及规定执行,使安全技术体系建设达到标准化、规范化的要求,为拓展、升级和集中统一管理打好基础。
3.2系统化原则
信息安全防御体系是一个复杂的系统工程,从信息系统各层次、安全防范各阶段全面地进行设计,既注重技术实现,又要加大管理力度,以形成系统化解决方案。
3.3规避风险原则
信息安全防御体系建设涉及网络、系统、应用等方方面面,任何改造,都可能影响现有网络畅通或者在用系统连续、稳定运行,这是安全技术体系建设必须面对的最大风险。在规划设计与应用系统衔接的基础时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
3.4保护投资原则
由于信息安全理论与技术发展的历史原因和企业自身的资金能力,分期、分批建设一些整体的或区域的安全技术系统。保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
3.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可以保护其信息安全。
4、构建信息安全防御体系
4.1做好信息系统风险评估
贯彻落实《烟草行业信息安全防御体系建设指南》,构建“组织机制、规章制度、技术架构”三位一体的信息安全防御体系,必须做到信息安全工作与信息化建设同步规划、同步建设、协调发展。
俗话说:三分技术,七分管理。信息安全设备是网络安全建设的防护基础,网络安全管理将使得网络安全产品能真正发挥作用。烟草企业首先要构建以信息管理部门专业技术人员为核心,以各部门系统管理员、系统操作员为辅助的三级管理运维体系。将信息安全技术和管理二者有机地结合起来,消除网络技术壁垒。其次优化企业局域网资源,实现网络设备的全网监控管理,进一步提升网络统一性及网络安全管理水平。
4.2采取各种安全技术,实现不同安全防护策略
企业信息系统应采用各种安全技术,构筑信息安全防御体系。采用的主要安全技术有:
(1) 防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
(2) VLAN及ACL技术:企业内网的各类交换机上配置VLAN,实现对交换机设备管理、交换机设备间三层互联管理、各类应用业务的业务VLAN管理和相互间访问控制。
(3) VPN:虚拟专用网(VPN)是企业内网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接,为厂家远程维护企业信息系统提供网络连接服务。
(4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
(5)端点准入访问控制:采用H3C的EAD端点准入访问控制系统,它是基于用户名和密码身份与接入主机的MAC地址、IP地址、所在VLAN、接入交换机IP、交换机端口号等信息进行绑定认证,增强身份认证的安全性,确保只有合法用户和客户端设备才可访问企业局域网。防止人为私改IP地址,造成IP地址冲突现象的发生。
(6) 企业级的防病毒系统:采用企业级的网络防病毒服务器,安装正版杀毒软件,对病毒实现全面的防护。同时采用漏洞扫描技术,对内网中主机及时更新漏洞补丁,保证信息系统尽量在最优的状况下运行。
(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
(8)CA安全体系:采用国家局推荐CA认证产品,建立行业二级CA认证体系。通过基于数字证书的身份认证、访问控制、权限管理等技术措施,实现高强度的身份认证和责任认定机制;保证数据的完整性和保密性,确保用户来源和行为的真实性和不可否认性。
(9)加强信息安全教育:信息系统运维、操作人员要认识到信息安全的重要性和必要性,加强信息安全理论、技能培训学习,纠正日常工作中不规范行为,防御系统安全、稳定运行。
(10)加强企业外来人员上网管理:严格管理企业外来人员上网行为,防止外来人员笔记本电脑、移动存储介质任意接入企业内网,恶意复制企业信息或将病毒、间谍软件等恶意程序传入内网的安全风险。
总之,只要将信息安全设备和信息技术人员二者紧密结合起来,发挥企业信息技术人员主观能动性,就能将网络隐患消灭在萌芽状态。
参考文献
[1]蔡立军,《计算机网络安全技术》,中国水利水电出版社,2002年6月,第1版
关键词: 《网络信息安全》 课程改革 实践
1.引言
计算机网络的出现和发展,极大地改变了现代人的生产和生活方式,给人类带来全新现代文明的同时也给网络上的信息安全带来了很大威胁,《网络信息安全》应运而生。网络信息安全作为一门新兴的学科,没有严格规范的研究内容,同时又和其他很多学科存在交叉和重复,在高校教学中如何讲授好这门课程,使学生通过学习这门课程,能在日常生活中把在这门课程中学到的知识应用到实践中去,是我们必须思考的一个问题。我们针对《网络信息安全》课程的特点,从多个方面进行了教学思考和实践。
2.网络信息安全教学现状
《网络信息安全》是一门综合性科学,涉及数学、通信技术、密码技术和计算机技术等诸多学科的长期知识积累和最新发展成果,同时还涉及社会问题和法律问题。其涵盖的内容广泛,技术和方法更新速度较快,学习的预备知识要求较高。课程有如下特点:知识更新快,涉及面广;课程的预备知识要求较高,前导专业课程多;实践性强;实验具有破坏性;缺乏系统性。因此,网络信息安全课程要取得很好的教学效果,需要根据时间、学生对象、实验条件等因素,设计相应的教学实施计划。教师在教学过程中能够在教材内容留有的发挥空间中充分展现自己的智慧和才华,即做到教学内容源于教材内容,精于教材内容,为更好地完成教学计划服务。
当前的社会要求高校毕业生不仅要具备扎实的理论水平,而且要具有一定的实际动手与解决问题的能力。分析现行的教学模式,我们发现目前该课程存在下列问题:教材内容已经落后于网络的发展,学生丧失了学习的兴趣;重课堂教学,轻实验教学的教学方法与现代教育教学手段不相适应,并且大部分试验还是以演示为主,学生亲自动手实践的机会较少,导致许多新的技术和方法无法得到应用。
3.《网络信息安全》课程改革与创新
针对前面提到的现行教学模式存在的问题,我们在实际教学的过程中对该课程的教学进行了大胆的改革与创新。
3.1精心选择教材,优化教学内容。
选择教材时要根据学生实际情况,根据课程教学大纲的要求,结合培养目标,选择适合自己学生情况的教材,同时在教学过程中还要对其去粗取精,精心设计教学内容。网络信息安全教学内容的安排应该不拘泥于知识体系的完整,更要具有针对性和实用性;紧跟时代,关注网络上的各种安全事件及相应的安全技术;在教学过程中重视培养学生的职业岗位技能和素质,以适应学生毕业后的就业需求,使学生达到学则能用、学则会用的目的。比如关于一些安全的法律法规的问题,可以把《今日说法》栏目的一些关于网络安全事件的案例引用到课堂,让学生感知这些知识离自己很近,就在身边。
3.2激发学习兴趣。
兴趣是最好的老师,目前的学生具有强烈的好奇心。因此,教师必须使用科学的教学方法提高学生的兴趣,培养学生的钻研精神,把被动的“要我学”转换为主动的“我要学”。在课堂教学中,开展课堂讨论,活跃课堂气氛,使学生在良好、互动的教学环境中取得很好的学习效果。比如在讲授密码学时,可以启发学生的思维,以小组讨论的方式来讨论什么密码最安全,并做实际演示,使学生能够建立“密码学”的概念,鼓励学生自己动手编写一个加密小程序,体会建立一个安全密码的重要性。教师应充分利用现在的网络资源,实时地给学生布置一些需要上网查找,求知的作业,扩展学生的知识面。
3.3实例教学和实时演示相结合。
利用网络平台和多媒体手段,在进行计算机网络教学时利用案例进行实时教学。在网络信息安全课程教学实践中,教师边讲边操作,可避免单纯地理论说教,能使学生有豁然开朗的感受。比方说在讲授关于操作系统漏洞的修补时,教师可以实际利用网络上没有给操作系统打安全补丁的计算机进行攻击,成功地使用仿真黑客攻击软件修改该计算机的密码,使学生真正体会网络安全的重要性,从抽象的概念上升到形象上的认识。对于一些不方便演示的实时攻击等内容,可以在备课时制作成教学录像,使理论知识立体化、形象化,提高学生的兴趣,鼓励学生自己把学习的过程记录下来。
3.4搭建网络安全实验平台。
网络信息安全实践性很强,讲授这门课程不能像其它概论课程那样去“灌输”,必须抓好实验、实践教学环节,注重学生实际动手操作能力的培养和训练,按照认识论的观点组织和开展教学。教师可以针对每一理论内容设计单独的实验,也可以将相关章节的内容综合在一起,设计一个综合实验。比如可选实验项目有:漏洞扫描,口令破解,信息截获,密码算法,病毒防范,VPN与密码机的配置,防火墙的配置与使用,入侵检测系统的使用和安全策略的编写,等等。由于综合实验包含了较多的实验内容和较大的工作量,教师可采用分组开设实验的形式,使学生有组织、按计划完成实验。组织和计划的内容包括:确定实验完成的计划进度表;明确每位组员要完成的工作;定期组织组员讨论实验中遇到的问题,并共同确定解决方案;及时与指导老师联系,获得指导,等等。这样可以避免学生在实验过程中的孤立性和被动性,使学生可以通过相互交流讨论开拓视野,提高动手动脑的兴趣,同时能锻炼他们的组织能力、交流能力和协作能力。对于多数学校的实验条件来说,实验室活动能演练小型模拟实验。教师对有兴趣的学生,组织相关方面的课外活动,有利于他们对课堂内容的掌握和深化。这些活动主要有:同网络安全专业公司联系,建立多样化的实习基地;鼓励学生参加网络安全方面的竞赛活动;组织学生对最近发生的网络安全实践进行讨论分析。
熟练使用网络工具、掌握网络管理、测试和网络安全技术在计算机网络专业课程教学中有着非常重要的地位。比如讲授网上购物、电子支付安全时,学生不理解如何进行电子支付,那么可以安排学生从自己的需要出发,亲自完成一次网上安全购物的模拟实训操作;在讲授密码系统的四个组成部分时,学生对其中的概念性内容听起来感到很枯燥,理解也比较困难。为解决这个问题,教师可以通过实训方法让学生用白纸亲自动手制作最简单的10×10的密码卡。由易到难,由简至繁,由浅而深。这样学生不仅能了解密码卡的制作原理,加深对基本概念的理解,而且能起到举一反三的效果,进一步懂得密码系统的原理。帮助学生获得现实网络环境中多点之间关系的直接概念和网络安全现象,完成各种关于网络安全的操作、管理和安全的学习任务,对于学生理解网络信息安全抽象概念,架构整体网络安全方案及网络安全的防范都大有益处。
3.5研究创新实验,丰富教学内容。
研究创新型实验要求学生综合应用多门课程的知识,针对某些有创意的想法,在教师指导下完成设计和实现工作,帮助学生提高创新意识和创造能力。创新提高型实验内容来源于教师的科研项目、学生的自主科研选题、社会实践活动和企事业应用需求,实验内容是不断变化的。如基于图像内容的半易损数字水印的研究与应用、敏感信息过滤系统设计、病毒扫描引擎设计与实现、IPv6环境下的网络信息安全问题的研究等。
3.6大作业任务驱使。
为了充分调动学生的学习主动性和学习能力,激发学生的求知欲望,教师可以在学生了解了基本的网络信息安全概述之后,布置一个大作业(大约在学期中),让学生分组研究,不限制研究内容(只要是和网络信息安全相关的课题都可以去研究)。在以后讲课的过程中,教师可逐渐地把和课程相关的比较有研究价值的知识点传授给学生,这样学生可以根据自己的兴趣收集资料。在学期末拿出一部分时间让学生来讲解自己研究的课题,这样不但能提高学生的求知欲望,扩大知识面,而且能锻炼学生的组织能力、协同合作能力和讲解能力。
4.结语
信息安全是国家信息化健康发展的基础,是国家安全的重要组成部分,这就要求高校能够更好地培养信息安全方面的应用型人才。针对瞬息万变的网络时代,教师对学生的网络信息安全教育,应该注重的不仅仅是传授知识,更应把如何培养学生的综合素质放在首位。如何充分调动学生的主观能动性,使他们具备积极主动的获取知识的能力,这才是我们持续不断的努力方向。
参考文献:
[1]张常有,杨子光,王玉梅.浅议高校网络安全课程的教学与实践[J].太原大学教育学院学报,2007,(3).
[2]俞研,兰少华.计算机网络安全课程教学的探索与研究[J].计算机教育,2008,(18).
关键词:计算机网络;信息系统;安全管理
近几年来,伴随着网络技术的快速发展,网络信息化在给人们带来种种的方便同时,我们也正受到日益严重的来自网络的安全威胁。我们要以影响计算机网络安全的主要因素为突破口,重点分析防范各种不利于计算机网络正常运行的措施,从而全面了解影响计算机网络安全的情况。
1 影响计算机网络信息系统安全的因素
1.1 自然环境导致的安全问题
物理安全是保护计算机网络设备、设施等。避免遭到地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。例如:电源是计算机系统正常工作的重要因素。机房内的计算机系统都应接插在具有保护装置的不间断电源设备上,防止电源中断、电压瞬变、冲击等异常状况。
1.2 网络软件的漏洞
系统漏洞是指系统软、硬件存在安全方面的脆弱性,系统漏洞的存在导致非法用户入侵系统或未经授权获得访问权限,造成信息篡改和泄露、拒绝服务或系统崩溃等问题。网络漏洞会影响到很大范围的软硬件设备,包括操作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。
换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。
这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。
1.3 人为原因导致的安全问题
人为的无意失误对网络计算机系统造成的威胁,包括:操作员安全配置不当造成的安全漏洞;不合理地设定资源访问控制;用户将自己的账号随意转借他人或与别人共享等等。此外还有人为地恶意攻击,这是计算机网络所面临的最大威胁,它以各种方式有选择地破坏信息的有效性和完整性,并对其进行更改使它失效,或者故意添加一些有利于自己的信息,起到信息误导的作用。
1.4 计算机病毒
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。那可能给社会造成灾难性的后果。计算机病毒将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后,轻则使系统上作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
2 维护计算机网络信息系统安全的技术
2.1 网络加密技术
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密技术是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原。
加密技术包括两个元素:算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字(密钥)结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解密的一种算法。
在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。网络加密技术提供的安全功能或服务主要包括:访问控制;无连接完整性;数据起源认证;抗重放攻击;机密性;有限的数据流机密性。
2.2 防火墙技术
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。
防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,其二是使用不当,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
2.3 操作系统安全内核技术
操作系统安全加固技术,是一项利用安全内核来提升操作系统安全水平的技术,其核心是在操作系统的核心层重构操作系统的权限访问模型,实现真正的强制访问控制。操作系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。
在具体的功能应用上,主要是从以下三个方面来实现系统内核加固技术:第一、强制访问控制MAC,分为两部分,一是基于用户对文件的访问控制,二是基于进程对文件的访问控制;第二、进程保护机制,在进程操作访问界面上,判断内存中的进程及其用户的标记,来判断是否有权限让该用户终止该进程;第三、三权分立管理,将系统的超级管理员分成安全管理员、审计管理员、系统管理员三个部分,安全管理员负责系统权限的分配,审计管理员负责安全事件的统计分析,为其他管理员制定安全策略提供依据;系统管理员则通过被授予的权限进行日常操作,如安装指定软件、网站建设等。
2.4 入侵检测技术
入侵检测系统(Intrusion Detection System,简称IDS)是由硬件和软件组成的,用来检测系统或者网络以发现可能的入侵或攻击的系统。入侵检测系统通过定时的检测,检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式,监视与安全有关的活动。
根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。
3 计算机网络信息系统安全的管理策略
3.1 建立安全小组
安全策略的创建往往需要一个团队的协同工作,以保证所制定的策略是全面的、切合实际的、能够有效实施的、性能优良的。把来自公司不同部门的人组成一个小组或团队的另一个理由是当团队中的某些成员意见分歧时,能够进行充分的讨论,以得到一个较好的解决问题的办法。这样的效果远远好于从营销、销售或开发方面得到的信息更完善。
安全计划小组应该包含那些来自企业不同部门不同专业的人们,IT 小组成员,系统和计算机管理员,都应出现在团队当中。从不同部门来的有责任心有代表性的人之间应该保持联系方面和协商渠道的通畅。
3.2 网络安全管理策略
安全管理队伍的建设。在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。
同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP 地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP 地址资源统一管理、统一分配。
对于盗用IP 资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
参考文献:
[1] 李淑芳.网络安全浅析[J].维普资讯,2006(2).
[2] 袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2002.
关键词:广播电视监测网;网络;安全
随着广播电视数字化、网络化的迅速发展,广播电视监测工作由过去靠人工的传统落后手段转变为网络化、自动化的方式,监测网的建成使监测工作发生了飞跃式的变化,提高了信息反馈速度,丰富了监测信息内容,拓展了监测业务类型,扩大了监测地理范围,大大提高了广播电视监测的综合监测能力。但是,随着网络规模的扩大,监测网的复杂性和风险性也在不断增加。业务的发展对网络性能的要求也在不断提高,如何运用先进技术方案保障监测网络安全而高效地运转已经成为我们面临的重要工作。
1 监测网网络结构特点
网络规模大、系统复杂、专业性强,通常由一个或多个局域网系统及数个地理位置分散的远程无人值守遥控站点组成分布式广域网系统。
多种通信方式并存,监测网系统的通信建立倚赖于当地的通信条件,造成系统具有多种接入方式。
软件开发基于J2EE平台,软件体系多采用C/S架构。
2 风险性分析
目前,广播电视监测网主要面临以下问题:
2.1缺乏完整的安全体系
广播电视监测网建设是根据总体规划,分步实施的,系统往往边运行边扩展规模。这种情况造成监测网系统建设之初,对系统安全很难进行全面规划。随着网络规模的扩大及应用范围的扩展,网络的脆弱性不断增加,同时,系统配置的更改,软件的升级也造成系统的安全需求不断变化,现有的安全手段将很难胜任。
2.2系统分布方式带来安全的复杂性
监测网系统具有节点分布广,地理位置分散等特点,使得对网络安全状况的集中控制变得困难,带来数据安全的复杂性。不同的环节将需要不同手段的安全方案。
2.3网络本身的安全漏洞
监测系统是一个基于IP的网络系统,采用TCP/IP协议软件,本身在应用、传输时存在较多不安全因素。
3 安全技术方案
鉴于对以上几种风险性因素的分析,根据系统的实际情况,结合考虑需求、风险、成本等因素,在总体规划的基础上制订了既可满足网络系统及信息安全的基本需求,又不造成浪费的解决方案。
3.1网络资源总体规划
实践证明,合理、统一的网络规划对网络维护及安全运行都有极大的好处,有利于保障监测网系统在不断扩展中的可持续性,因此,在监测网建立之初统一进行网络资源的设计,制定合理的IP规划、网络拓扑规划,对各种资源进行统一编码是保障网络安全的第一步。
3.2设备安全配置
对于重要安全设备如交换机、路由器等,需要制定良好的配置管理方案,关闭不必要的设备服务,设置口令、密码,加强设备访问的认证与授权,升级BIOS,限制访问、限制数据包类型等。
3.3操作系统安全方案
操作系统大部分的安全问题归根结底是由于系统管理不善所导致的。解决方案是正确更新使用密码设置、权限设置,正确进行服务器配置。建立健全操作系统安全升级制度,及时下载并安装补丁。
3.4备份方案
为保证监测网的安全稳定运行,对于监测网的核心局域网系统硬件可采用双机热备方案,磁盘阵列、交换机、防火墙等硬件采用双机并行,负载均衡的方式运行,应用服务器、数据库服务器还可互为备份,从而保证不会因某一点出现故障而影响整个系统的正常使用。
3.5病毒防护
监测网系统覆盖的点多面广,防毒系统应采用集中控制多层防护的方案,在监测系统各个网络都分级部署防病毒软件,中心网络对下一级系统进行实时集中病毒监测,定时升级。制定和采用统一的防病毒策略,使得网络中的所有服务器和客户端都能得到相同的防病毒保护。
3.6防火墙系统
监测网系统由于其分布特性往往由多个安全域组成,应加装防火墙,以实现系统内各级网络之间的隔离和访问控制;实现对服务器的安全保护及对远程用户的安全认证与访问权限控制,并实现对专线资源的流量管理控制和防攻击。
3.7应用安全
可采用多种手段保障应用层安全。如:系统日志审核、服务器账户管理、用户登录权限管理、数据定期备份等。
3.8数据传输安全
监测网作为一个广域网主要利用广电光缆或电信线路进行通信,为保证安全性,数据的传输须采取加密措施。具体方案可针对不同通信方式及数据安全级别制定。
4 结束语
网络是一个多样、复杂、动态的系统,单一的安全产品和技术不能够满足网络安全的所有要求,只有各个安全部件相互关联、各种安全措施相互补充,网络安全才能得到保障。同时,任何一个网络的安全目标都不是仅依靠技术手段就能实现的,还应采取措施加强操作人员素质管理,提高值班员责任心。做到管理规范,才能确保监测网安全、高效运行。
参考文献
一、传统知识产权侵权案件的司法管辖
在我国,确定传统知识产权侵权案件管辖法院的法律依据是《民事诉讼法》第29条。根据该条的规定,侵权案件由侵权行为地或者被告住所地法院管辖。这一规定包含了确定侵权案件管辖法院的两个原则,即“侵权行为地法院管辖原则”和“被告住所地法院管辖原则”。这两个原则是并列的,在适用上没有先后顺序之分。具体选择向哪一个法院起诉,完全取决于原告的意愿。原告既可以选择在被告住所地法院起诉,也可以选择在侵权行为地法院起诉。这样规定的目的在于方便当事人进行诉讼,因为僵硬地规定某一管辖权原则优先,有时不利于对当事人权利的保护。
侵权行为地,是指构成侵权行为的法律事实存在地,包括侵权行为实施地和侵权结果发生地。通常情况下,侵权行为实施地与侵权结果发生地是一致的,但也可能不一致。在不一致的情况下,侵权行为实施地法院和侵权结果发生地法院对有关案件享有平行的管辖权。
由于网络空间的特点,与传统侵权案件相比,网络侵权案件司法管辖的确定显得更为复杂,但是不能因此就认为网络已经动摇了传统管辖规则的基础。网络不过是一种现代通信方式,尽管它的出现对传统管辖规则提出了挑战,传统管辖规则仍然对其适用。这是因为网络空间不可能完全脱离现实物理世界而存在:首先,“虚拟空间”是用有形的物质建立起来的,这些物质包括信息高速公路的基础设施、网站主机和用户计算机终端设备等。其次,人际关系、社会矛盾在“虚拟空间”与现实社会之间不存在任何形式的“防火墙”,二者之间完全相互开放[1]。在这个空间里,人们进行着与现实空间不同的交往,它的实现并不以人们的直接交往为前提,而是通过网络这一介质实现。但是它的实现往往又需要相应的现实交往活动作为补充,很显然,除了信息以外,人们不能通过网络传播其他实物。
二、被告住所地法院管辖原则在网络空间的适用
被告住所地不仅是传统侵权行为地域管辖的基础,也是网络知识产权侵权案件地域管辖的重要基础。网络虽然是无国界的,但是通过网络实施侵权行为的人总是位于特定国家的管辖范围之内。网络纠纷的最终解决结果是要侵权人对其行为承担相应的责任,“在网络中比较容易确定的就是人们形形的行为,而行为与地域是脱不开干系的……不可能存在不隶属特定地域的某种行为;即使是虚拟的空间也是如此。事实上,行为在其被实施之际就已经跳开了网络,直接与现实地域发生着联系,法院必须通过多项证据方能找到这种对应关系,只不过有时因为这种关联不甚清晰而需要更为深入的分析和判断”。[2]
而追究侵权行为人的责任,被告住所地法院无疑是比较理想的选择。首先,在被告住所地法院起诉有利于案件的审理和调查取证,因为被告的人身或其他关系在管辖法院控制之下,这对诉讼程序的顺利进行有益;其次,有利于判决结果的执行,由于被告住所地法院对被告的人身、财产等行使着有效控制,一旦案件审结,就可以及时执行,有利于胜诉方实现其债权,使案件最终获得满意解决。
在网络侵权案件中,被告住所地的确认与传统侵权案件并无区别,因为被告住所地的确认与网络的特征没有实质性关联。因此,在网络案件中,被告住所地仍然适用民事诉讼法的有关规定,即自然人被告的住所地是其户籍所在地,户籍所在地与其经常居住地不一致的,则将其经常居住地视为住所地;法人被告的住所地是法人的主要营业地或主要办事机构所在地。
从司法实践上看,被告住所地法院管辖原则适用于网络侵权纠纷的处理一般来说并不存在问题。以北京市第二中级人民法院为例,该院自1999年8月至2002年12月受理域名纠纷案件27件,被告住所地在该院辖区的就有21件,占77.8%。[3]