网络安全责任体系精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全责任体系主题范文,仅供参考,欢迎阅读并收藏。
第1篇:网络安全责任体系范文
关键词:网络安全;防火墙;网络管理;VPN
一、 前言
我国的网络安全产业经过十多年的探索和发展已得到长足了发展。特别是近几年来,随着我国互联网的普及以及政府和企业信息化建设步伐的加快,对网络安全的需求也以前所未有的速度迅猛增长,这也是由于网络安全问题的日益突出,促使网络安全企业不断采用最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,也进一步促进了网络安全技术的发展。
二、 企业网络安全系统现状
如果想从根本上克服网络安全问题,我们需要首先分析距真正意义上的网络安全到底存在哪些差距。
就目前而言,企业的网络安全还存在这样或那样的问题,离真正的安全的网络还有不可逾越的差距。
1. 网络安全管理体系不完善,需要通过实施策略对流程进行细化,其它体系也需要按照网络安全管理体系和流程要求不断完善其内容。
2. 涉及网络安全的各个层次,特别是基层人员对网络安全工作的重要性认识不足,必须强化把网络安全作为一项重点工作开展,并对如何开展安全工作和需要做哪些安全工作、达到什么目标有明确要求。
3. 网络安全管理组织不完整,现阶段网络/应用系统的安全工作基本上由各维护单位和人员承担,安全责任相对比较分散,存在一定程度的安全责任无法落实到具体人的现象。
4. 具有普及性的安全教育和培训不足,人员信息安全意识水平不统一。
5. 在物理与环境安全、系统和网络安全管理、系统接入控制方面仍然存在一定差距,在安全策略、安全组织、人员管理、资产分类控制、安全审计方面存在明显不足。
6. 防病毒系统没有实现整体统一,存在防病毒的局部能力不足。
7. 网络/应用系统防护上采取了防火墙等安全产品和硬件冗余等安全措施,但安全产品之间无法实现联动,安全信息无法挖掘,安全防护效果低,投资重复,存在一定程度的安全孤岛现象。另外,安全产品部署不均衡,各个系统部署了多个安全产品,但在系统边界存在安全空白,没有形成纵深的安全防护。
8. 对终端管理没有统一策略,操作系统版本、操作系统补丁等没有统一的标准和管理。
9. 没有应急响应流程和业务持续性计划,发生安全事件后的处理和恢复流程不足,对可能造成的业务中断没有紧急预案。
三、企业网络安全对策
现阶段,为了保证网络的正常运行,可采用以下几种技术方法:
1.防范网络病毒。网络病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。所以,最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
2.设置防火墙。利用防火墙在网络通信时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
3.VPN: 企业规模的扩大,不同分支机构之间的网络连接既要考虑到安全可靠,又同时要考虑到成本问题,所有的网络通讯均使用专线连接固然是安全,但成本因素却是无法回避的问题。因而,安全、廉价的VPN技术应运而生并得到了广泛的应用,通过在网络边界处架设VNP网关,实现企业的分支机构间通过Internet实现安全可靠的低成本连接。
4.采用入侵检测系统。入侵检测系统能够识别出任何不希望有的活动,并限制这些活动,以保护系统的安全。内部局域网采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,构架成一套完整的主动防御体系。
5.建立网络安全监测系统。在网络的www服务器、E-mail服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获网上传输的内容,并将其还原成完整的www、E-mail、FTP、Telnet应用的内容,同时建立保存相应记录的数据库,发现在网络上传输的非法内容,及时向上级安全网管中心报告,予以解决。
6.利用网络监听并维护子网系统安全。对于网络内部的侵袭,可以采用对各个子网建立一个具有一定功能的过滤文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,该软件的主要功能是长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的过滤文件提供备份。
7.安全技术培训
提供层次化的安全专题讲座,包括安全技术基础、各操作系统安全、信息安全管理以及一系列培训。
四、结论
综合以上的分析,我们可以得出一个结论:那就是企业当前所面临的安全形势在变得更加严峻,不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战,从而要求我们的网络安全解决方案集成不同的产品与技术,来针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施,建立完整的企业信息与网络系统的安全防护体系,在安全法律、法规、政策的支持与指导下,通过制定客户化的安全策略采用合适的安全技术和进行制度化的安全管理,保障企业信息与网络系统稳定可靠地运行,确保企业与网络资源受控合法地使用。
参考文献:
[1]卢开澄:《计算机密码学—计算机网络中的数据预安全》(清华大学出版社 1998)
[2]余建斌:《黑客的攻击手段及用户对策》(北京人民邮电出版社 1998)
[3]蔡立军:《计算机网络安全技术》(中国水利水电出版社 2002)
第2篇:网络安全责任体系范文
【关键词】发电企业;网络安全;管理;技术
近些年,随着电力体制改革的逐步深入和信息技术的飞速发展,发电企业对信息系统的依赖性逐渐提高,信息系统在企业生产经营和管理中扮演的角色越来越重要。发电企业通过信息化方式进行生产管理和办公得到了广泛认同,并因此大幅提高了生产效率和管理水平。
其中,网络安全工作的落实情况是企业信息化管理水平的集中体现。作为国家能源行业的一份子,发电企业的信息网络安全尤为重要,保障发电企业的网络安全也是保障国家和社会安全的重要一环。发电企业对于信息化的重视程度也体现在加强自身信息网络安全工作上,网络安全已经成为发电企业安全生产的一项重要内容,不论对于火力、水力、核电、风能、太阳能还是新能源发电企业,网络安全同等重要。
从电力行业信息化的发展现状来看,网络安全工作大致可以分为以下几个方面:网络安全管理、安全防护技术、应急保障和宣传教育等。网络安全管理包括:企业要有网络安全领导责任制、管理机构和信息化网络专责工作人员;网络安全责任制的具体落实以及责任追究机制;人员、信息化经费、信息资产、采购、培训、外包人员等日常安全管理;完整、完善的网络安全管理制度体系;安全监测、硬件冗余、安全审计、补丁管理。安全防护技术包括:防病毒、防篡改、防瘫痪、防攻击、防泄密等安全措施;服务器、防火墙、物理隔离设备等网络安全设备的安全策略和功能有效性;局域网、互联网、无线网络安全措施;和非计算机、移动介质及密码设备的安全防护措施。应急保障工作包括:信息安全事件应急预案、数据备份和恢复演练、应急技术支撑队伍、重大安全事件处置等。宣传教育工作包括:企业日常网络安全培训(包含:企业领导、信息化人员和业务人员)和网络安全管理员专业技术培训。
发电企业已经在网络安全方面取得了很大的成绩,软件正版化率、自主开发软件和国产信息系统的使用率都在逐年提高,国产网络安全防护设备也已经大范围应用在企业网络中。发电企业在取得一些成绩的同时,还需要充分认识到自身的不足之处,很多发电企业认为发电才是自己的主业,对企业信息化不够重视,人员和资金的投入都很少,导致企业网络安全得不到有效的保障,网络安全事件时有发生,这对于企业和国家都是一笔损失。
综上所述,发电企业要从以下几个方面入手,逐步改进并完善网络信息安全工作:企业应该有独立的信息化管理部门,设置专门负责网络安全管理员,明确岗位安全责任制,成立信息化领导小组、信息安全工作小组和招标小组等信息化工作组织机构;定期召开网络安全管理工作会议,商议决策企业信息化工作,强化网络安全;做好企业网络安全规划,按照年度、短期和长期规划来制定,信息安全工作的整体策略及总体规划(方案)需要完善,在今后工作中不断补充、调整与细化;将信息网络安全管理纳入到企业年度工作计划和绩效考核中;每年都要进行定期的信息安全培训和宣传,让员工充分了解和熟知网络安全对于企业的重要性;划分明确的分区界限,根据生产、管理等要素进行分区管理;完善企业网络信息安全管理制度,并落实执行;加强局域网、广域网和对外网站的管理;按照公安部和上级部门的有关要求,进行信息系统安全等级保护备案工作,进行安全风险测评;定期开展网络安全自查工作,并按照检查问题进行相关整改,需要定期开展网络安全自查及整改工作,有条件的企业可以请外面高水平的专家组来企业做安全测评指导,通过这些检查可以及时发现问题,进行有效的整改工作,保障企业信息网络安全,使得员工可以通过信息系统提高生产管理和办公效率;定期进行信息系统数据备份和恢复演练,进一步完善企业的网络与信息安全应急管理体系,保障应急资源的及时到位,进一步制定有针对性的、实用化的专项应急预案,同时预案的演练要实现常态化;设定账户锁定时间、账户锁定阀值、重置账户锁定计数器等安全策略;信息系统管理员需要定期检查补丁更新、防病毒软件和防恶意代码软件工作日志;口令执行策略需要包括:密码必须符合复杂性要求、密码长度最小值、密码短期使用期限、密码长期使用期限、强制密码历史和用可还原的加密来存储密码等安全策略;尽可能采用每个账户和每个人一一对应的关系,避免了账户的重复和共享账户的存在,对于多余的、过期的账户进行定期检查和及时删除;实现操作系统和数据库系统特权用户的权限分离,实现数据库账户独立管理;要有完整的机房进出记录和系统安全维护检查记录;完善备份系统建设;企业应建立长效机制以确保信息安全建设及运行维护经费及时到位,以实现经费投入的常态化;加大信息安全产品的投入力度并尽量采购国内厂家的安全产品,降低对国外产品的依赖程度;对在信息安全岗位及其他敏感岗位工作的人员一定要搞好审查工作,只有符合规定的人员才能上岗,一旦人员离岗必须签署保密承诺书且其权限要及时收回;按照国家有关要求,需要做到所有计算机类产品不安装Windows 8操作系统,并采取措施应对Windows XP停止安全服务;安全防护产品采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况。
不论在哪个行业或领域,安全都是第一位的,而网络安全在涉及国家安全的发电企业更是尤为重要。发电企业要按照“谁主管谁负责,谁运营谁负责”的原则,明确任务,落实责任,加强网络安全工作,保障企业网络与信息系统的安全稳定运行。因为电力属于国家能源行业的重要一环,必须遵循“上网不、不上网”的原则。总之,发电企业面临的网络安全形势是复杂多变的,还有很长的路要走。
参考文献
[1]罗宁.P2P安全问题初探[A].第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C].2002.
[2]祝崇光,姚旺.检察系统信息网络安全的风险评估[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.
[3] 朱修阳. 检察机关专网系统信息网络安全体系初探[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.
[4]曾德贤,李睿.信息网络安全体系及防护[A].第十八次全国计算机安全学术交流会论文集[C].2003.
[5]刘威,刘鑫,杜振华.2010年我国恶意代码新特点的研究[A].第26次全国计算机安全学术交流会论文集[C].2011.
第3篇:网络安全责任体系范文
紧接着,全球最大的中文搜索引擎百度也遭遇攻击,从而导致用户不能正常访问,众多网站最近频遭网络攻击的消息,不禁引起业界及广大网民的深刻反思:“我们的互联网真的安全吗?”
据中国互联网络信息中心的调查报告,2009年我国网民规模达到3.84亿人,普及率达28.9%,网民规模较2008年底增长8600万人,年增长率为28.9%。中国互联网呈现出前所未有的发展与繁荣。
然而,在高速发展的背后,我们不能忽视的是互联网安全存在的极大漏洞,期盼互联网增长的不仅有渴望信息的网民,也有心存不善的黑客,不仅有滚滚而来的财富,也有让人猝不及防的损失。此次发生的政府网站篡改事件、百度被攻击事件已经给我们敲响了警钟:“重视互联网安全刻不容缓!”
显然,互联网以其网络的开放性、技术的渗透性、信息传播的交互性而广泛渗透到各个领域,有力地促进了经济社会的发展。但同时,网络信息安全问题日益突出,如不及时采取积极有效的应对措施,必将影响我国信息化的深入持续发展,对我国经济社会的健康发展带来不利影响。进一步加强网络安全工作,创建一个健康、和谐的网络环境,需要我们深入研究,落实措施。
首先,要深刻认识网络安全工作的重要性和紧迫性。党的十七大指出,要大力推进信息化与工业化的融合。推进信息化与工业化融合发展,对网络安全必须有新的要求。信息化发展越深入,经济社会对网络的应用性越强,保证网络安全就显得越重要,要求也更高。因此,政府各级主管部门要从战略高度认识网络安全的重要性、紧迫性,始终坚持一手抓发展,一手抓管理。在加强互联网发展,深入推动信息化进程的同时,采取有效措施做好网络安全各项工作,着力构建一个技术先进、管理高效、安全可靠的网络信息安全保障体系。
第二,要进一步完善网络应急处理协调机制。网络安全是一项跨部门、跨行业的系统工程,涉及政府部门、企业应用部门、行业组织、科研院校等方方面面,各方面要秉承共建共享的理念,建立起运转灵活、反应快速的协调机制,形成合力有效应对各类网络安全问题。特别是,移动互联网安全防护体系建设包含网络防护、重要业务系统防护、基础设施安全防护等多个层面,包含外部威胁和内部管控、第三方管理等多个方位的安全需求,因此应全面考虑不同层面、多个方位的立体防护策略。
第三,要着力加强网络安全队伍建设和技术研究。要牢固树立人才第一观念,为加强网络管理提供坚实的人才保障和智力支持。要发挥科研院所和高校的优势,积极支持网络安全学科专业和培训机构的建设,努力培养一支管理能力强、业务水平高、技术素质过硬的复合型队伍。不断加强创新建设,是有效提升网络安全水平的基础,要加强相关技术,特别是关键核心技术的攻关力度,积极研究制订和推动出台有关扶持政策,有效应对网络安全面临的各种挑战。
第四,要进一步加强网络安全国际交流与合作。在立足我国国情,按照政府主导、多方参与、民主决策、透明高效的互联网管理原则的基础上,不断增强应急协调能力,进一步加强网络安全领域的国际交流与合作,推动形成公平合理的国际互联网治理新格局,共同营造和维护良好的网络环境。
第五,要加强网络和信息安全战略与规划的研究,针对网络信息安全的薄弱环节,不断完善有关规章制度。如在当前的市场准入中,要求运营商必须承诺信息安全保障措施和信息安全责任,并监督其自觉履行相关义务。还要充分发挥行业自律及社会监督作用,利用行业自律组织完善行业规范、制定行业章程、推广安全技术、倡导网络文明。
第4篇:网络安全责任体系范文
关键词:计算机;信息管理;网络安全;重要性
一、计算机网络安全威胁因素
(一)软件漏洞
计算机的使用中,涉及到各种软件工具,这些软件自身的应用系统可能就存在漏洞,导致将软件安装在电脑中使用时,就会因为软件自身的漏洞造成计算机系统的面临威胁,借助这些软件漏洞,一些网络技术高手就能带入病毒,威胁计算机安全使用。
(二)配置不当
计算机硬件配置对于计算机的网络应用安全也会产生较大影响,如果在计算机中安全的防火墙软件配置存在问题,与计算机不匹配,就会形同虚设,完全不能发挥安全防御功能,还会引发计算机中其他软件使用的安全缺口,导致系统安全受到威胁。
(三)木马病毒
木马病毒是计算机安全威胁中的重要组成部分,这种病毒具有很强的感染性和传播力,一般能够隐藏在相关的程序以及软件中,是一种嵌入式的网络病毒,这类病毒对于相关的计算机功能以及信息数据等都会产生一定的破坏性,可能会导致计算机不能正常操作,还会导致相关数据丢失甚至被篡改,对于计算机信息安全造成的威胁比较大。
二、计算机信息管理在网络安全中的重要性
(一)强化相关人员对于网络信息安全管理的意识和能力
当前,计算机已经成为人们工作、学习和生活中不可或缺的组成部分,在计算机的应用过程中,提升相关人员的安全风险意识和防范能力很有必要,通过计算机信息管理措施开展,能够对于计算机使用中的安全问题提高警惕,加强网络安全管理的重视度,提升计算机操作人员对于网络安全技术的应用能力,帮助他们做好安全防范工作,保证网络安全。还能够对于相关人员进行道德操守的约束和限制,避免出现利益诱惑导致的网络安全隐患。
(二)规范计算机信息管理技术应用
在计算机网络安全管理中,需要用到计算机信息管理技术,相对来说,信息安全管理的范畴比较大,其中包含了很多病毒防御技术、防火墙技术、加密技术等,还包含系统监测技术、扫描技术、系统管理技术等,在计算机信息管理的过程中应该避免单一的分析问题,而应该是综合开展问题分析,通过层次化和细致的问题分析,构建完善的计算机安全体系,在这一体系下开展相关的网络访问和控制。所以在系统开发的时候需要创建一个稳定的工作环境,做好风险控制,在出现意外时能够有效使用预备方案来应对,将安全威胁降到最低。所以说,计算机信息管理能够促进相关安全管理技术的规范操作和使用,还能不断推动计算机信息安全管理技术的完善和发展,推动技术创新。
三、计算机信息管理在网络安全中作用发挥的对策
(一)完善信息安全管理制度,确保信息安全管理成效
针对当前的网络信息安全问题,要做好计算机信息管理工作,首先要建立网络信息安全制度。成立网络安全和信息化领导小组,建立网络与信息安全管理规章制度,完善网络安全管理规范、信息系统使用规范等文件,制定信息系统应急预案,落实信息安全等级保护制度。制定《信息系统、信息设备和保密设施设备管理制度》《涉密事件报告和查处等各项保密制度》等制度,严格执行网上信息收集、编辑、审核、加载、更新、反馈等责任制度规定;建立分工协作、责任明确、严肃考核问责的网络信息安全责任体系,进一步引导相关人员提高网络与信息安全防范意识。只有切实做到网络信息安全工作警钟常鸣、常抓不懈,才能确保网络与信息安全日常安全管理效益,保证涉密机构的信息安全,提升信息安全管理成效。
(二)注重技术应用和创新,促进安全威胁有效解决
目前,针对计算机信息管理研发的相关安全防护和抵御技术正在不断发展更新中,为应对网络安全威胁提供了有效的技术支持,针对计算机信息管理,必须要落实技术保障,搭建“稳定器”。统一购置涉密存储设备,内网计算机100%安装自动升级的杀毒软件和桌面防护系统,并为杀毒软件配备专门服务器,保证24小时正常运转;与电信公司联合开展电信端设备检查,每月组织信息人员对网络设备运行、重要数据备份、病毒查杀等情况进行维护,发现问题及时整改消除,提高网络信息系统的安全保障能力。针对计算机信息安全管理工作,相关部门要高度重视,并指定兼职网络安全员负责日常网络安全维护工作,制定印发《公司文明上网规范》,树立“网络信息安全无小事”的理念,在服务器和服务器之间设置经公安部认证的防火墙,设立内部和外部两套网络,成立网络与信息安全领导小组,积极组织全体员工干部职工参加有关网络与信息安全视频培训,坚持实时查看监测、跟踪维护和计算机应用操作技术服务,对计算机病毒、有害电子邮件设置整套的防范措施,构筑一道网络信息安全“防火墙”。通过强化问题导向,提出整改建议。通过巡察、检查、自查,摸清和掌握松桃队信息网络系统安全运行现状及存在的薄弱环节,认真梳理潜在隐患,提出具体的整改建议,及时报告,扎实推进网络安全工作。计算机信息管理是保障网络安全的基本手段,目前的网络安全威胁比较多,形式和内容都越来越多样化,威胁因素越来越复杂化,网络安全警钟要长鸣,针对网络安全问题,强化信息管理工作开展,创新技术应用,不断完善管理制度,强化安全自查,做好安全培训很重要。
第5篇:网络安全责任体系范文
关键词:信息化;网络安全;企业;解决方案
0 引言
现代企业信息化网络是基于内部传输网和Internet网络的互联网络,由于公众网络是一个相对开放的平台,网络接入比较复杂,挂接的相关点比较多,网络一旦接入公众网络,对于一些网络安全比较敏感的数据,传输的安全性就比较弱,比较危险。本文将重点分析企业网络系统安全性方面以及业务系统安全性方面存在的问题。
1 企业信息化网络存在的安全隐患
1.1 Windows系统的安全隐患
Windows的安全机制不是外加的,而是建立在操作系统内部的,可以通过一定的系统参数、权限等设置使文件和其他资源免受不良用户的威胁(破坏、非法的编辑等等)。例如设置系统时钟,对用户账号、用户权限及资源权限的合理分配等。
由于Windows系统的复杂性,以及系统的生存周期比较短,系统中存在大量已知和未知的漏洞。一些国际上的安全组织已经公示了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。例如,Windows所采用的存储数据库和加密机制可导致一系列安全隐患:NT把用户信息和加密口令保存于NTRegistry的SAM文件即安全账户管理(securityAccounts Management)数据库中,由于采用的算法的原因,NT口令比较脆弱,容易被破译。能解码SAM数据库并能破解口令的工具有:PWDump和NTCrack。这些工具可以很容易在Internet上得到。黑客可以利用这些工具发现漏洞而破译―个或多个DomainAdministrator帐户的口令,并且对NT域中所有主机进行破坏活动。
1.2 路由和交换设备的安全隐患
路由器是企业网络的核心部件,它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备的目的。
1.3 数据库系统的安全隐患
一般的现代化企业信息系统包含着多套数据库系统。数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发展而不断深化。如何保证和加强数据库系统的安全性和保密性对于企业的正常、安全运行至关重要。
我们将企业数据库系统分成两个部分:一部分是数据库,按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS),它为用户及应用程序提供数据访问,同时对数据库进行管理,维护等多种功能。
数据库系统的安全隐患有如下特点:涉及到信息在不同程度上的安全,即客体具有层次性和多项性;在DBMS中受到保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上,即客体逻辑结构与物理结构的分离;客体之间的信息相关性较大,应该考虑对特殊推理攻击的防范。
2 企业信息化网络安全策略的体系
网络安全策略为网络安全提供管理指导和支持。企业应该制定一套清晰的指导方针,并通过在组织内对网络安全策略的和保持来证明对网络安全的支持与承诺。
2.1 安全策略系列文档结构
(1)最高方针
最高方针,属于纲领性的安全策略主文档,陈述本策略的目的、适用范围、网络安全的管理意图、支持目标以及指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。安全策略的其他部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。
(2)技术规范和标准
技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序应遵守的安全配置和管理技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。它向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
(3)管理制度和规定
管理制度和规定包括各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,必须具有可操作性,而且必须得到有效推行和实施。它向上遵照最高方针,向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。
(4)组织机构和人员职责
安全管理组织机构和人员的安全职责,包括安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工工作时的具体职责依照,此部分必须具有可操作性,而目必须得到有效推行和实施。
(5)用户协议
用户签署的文档和协议,包括安全管理人员、网络和系统管理员安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中遵守安全规定的承诺,也作为违背安全时处罚的依据。
2.2 策略体系的建立
目前的企业普遍缺乏完整的安全策略体系,没有将政府高层对于网络安全的重视体现在正式的、成文的、可操作的策略和规定上。企业应当建立策略体系,制定安全策略系列文档。建议按照上面所描述的策略文档结构,建立起安全策略文档体系。
建议策略编制原则为建立一个统一的、体系完整的企业安全策略体系,内容覆盖企业中的所有网络、部门、人员、地点和分支机构。鉴于企业中的各个机构业务情况和网络现状差别很大,因此在整体的策略框架和体系下,允许各个机构根据各自情况,对策略体系中的管理制度、操作流程、用户协议、组织和人员职责进行细化。但细化后的策略文档必须依照企业统一制定的策略文档中的规定,不允许发生违背和矛盾,其要求的安全程度只能持平或提高,不允许下降。
2.3 策略的有效和执行
安全策略系列文档制定后,必须和有效执行。和执行过程中除了要得到企业高层领导的大力支持和推动外,还必须要有合适的、可行的和推动手段,同时在和执行前对每个本员要进行与其相关部分的充分培训,保证每个人员都了解与其相关部分的内容。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到企业许多部门和绝大多数人,可能需要改变工作方式和流程,所以推行起
来阻力会相当大;同时安全策略本身存在的缺陷,包括不切实际的、太过复杂和繁琐的、规定有缺欠的情况等,都会导致整体策略难以落实。
3 企业信息化网络安全技术总体解决方案
参考以上所论述的,结合现有网络安全核心技术,本文认为,企业信息化网络总体的安全技术解决方案将围绕着企业信息化网络的物理层、网络层、系统层、应用层和安全服务层搭建整体的解决方案,企业信息化网络建设将着重从边界防护、系统加固、认证授权、数据加密、集中管理五个方面进行,在企业信息化网络中重点部署防火墙、入侵检测、漏洞扫描、网络防病毒、VPN五大子系统,并通过统一的平台进行集中管理,从而实现企业信息化网络安全既定的目标。
3.1 防火墙系统的引入
通过防火墙系统的引入,利用防火墙“边界隔离+访问控制”的功能,实现对进出企业网的访问控制,特别是针对内网服务器资源的访问,进行重点监控,可以提高企业网的网络层面安全。防火墙子系统能够与入侵检测子系统进行联动,当入侵检测系统对网络中的数据包进行细粒度检测,发现异常,并通知防火墙时,防火墙会自动生成安全策略,将访问源阻断在防火墙之外。
3.2 入侵检测子系统的引入
入侵检测系统用于实时检测针对重要网络资源的网络攻击行为,它会对企业网内异常的访问及数据包发出报警,以便企业的网络管理人员及时采取有效的措施,防范重要的信息资产遭到破坏。同时,可在入侵检测探测器与防火墙之间建立互动响应体系,当探测器检测到攻击行为时,向防火墙发出指令,防火墙根据入侵检测系统上报的信息,自动生成动态规则,对发出异常访问及数据包的源地址给予阻断。入侵检测和防火墙相互配合,能够共同提高企业网整体网络层面的安全性,两个系统共同构成了企业网的边界防护体系。
3.3 网络防病毒子系统的引入
防病毒子系统用于实时查杀各种网络病毒,可防范企业网遭到病毒的侵害。企业应在内部部署网关级、服务器级、邮件级,以及个人主机级的病毒防护。从整体上提高系统的容灾能力,提升企业网整体网络层面的安全性。
3.4 漏洞扫描子系统的引入
漏洞扫描子系统能定期分析网络系统存在的安全隐患,把隐患消灭在萌牙状态。针对企业网络中存在众多类型的操作系统、数据库系统,运行着营销系统、财务系统、客户信息系统、人力资源系统等重要的应用,如何确保各类应用系统的稳定和众多信息资产的安全,是企业信息化网络中需要重点关注的问题。通过漏洞扫描子系统对操作系统、数据库、网络设备的扫描,定期提交漏洞及弱点报告,可大大提高企业网整体系统层面的安全性。该系统与病毒防范系统一起构成了企业网的系统加固平台。
3.5 数据加密子系统的引入
通过对企业网重要数据的加密,确保数据在网络中以密文的方式被传递,可以有效防范攻击者通过侦听网络上传输的数据,窃取企业的重要数据,或以此为基础实施进一步的攻击,从而提高了企业网整体应用层面的安全性。
第6篇:网络安全责任体系范文
1计算机网络安全的主要威胁
现代远程教育培训是伴随着网络技术和多媒体技术的飞速发展而产生的一种新的教育模式,现代远程教育培训的发展将大大加大延伸现有学校或单位的教育功能,优化资源利用,扩大教育供给,满足教育需求,对实现教育的平等化和顺应知识经济时展需要及终身教育体系的构建都具有十分重要的现实意义[2]。但是,在远程教育培训网络中,网络的很多安全隐患也被带到了服务器、网络机房与教室:黑客的恶意攻击、网络病毒的传播、有用数据的泄漏或丢失、非法用户的未授权访问、数据的完整性被破坏、学习者与老师之间的交互得不到保障等都极大地破坏了远程教育培训网络的正常开展。归结起来,远程教育培训网络中存在的安全隐患主要有以下几个方面:
1.1计算机病毒
计算机病毒已成为很多黑客入侵的先导,是目前威胁网络安全的祸首。它的侵入在严重的情况下会使网络系统瘫痪,重要数据无法访问甚至丢失。1.2管理者与使用者的失误如网络管理人员安全配置不当造成的安全漏洞;不合理地设定资源访问控制,一些资源就有可能被偶然或故意地破坏;学员安全意识不强,用户口令选择过于简单或容易破译,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁[3]。
1.3黑客的恶意攻击
黑客是网络上的一个复杂群体,他们以发现和攻击网络操作系统的漏洞和缺陷为乐趣,是网络面临的主要威胁。黑客的攻击和计算机犯罪就属于这一类,此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息,这种仅窃听而不破坏网络传输信息的侵犯者被称为消极侵犯者。这两种攻击均可对计算机网络造成极大的危害,并导致重要数据的泄漏[2]。
因此,面对网络安全方面的种种威胁,应该充分认识远程教育培训网络中安全工作的重要性。因为人们的生活越来越信息化,所以网络的安全也越来越受到更多的关注。网络危险无处不在,这需要我们随时保持警惕,不断学习网络技术,与之进行长期斗争。
2远程教育培训网络安全问题的分析和处理方案
2.1网络安全问题分析
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、心理学、信息论等多种学科的综合性技术。网络安全是指网络系统资源和信息资源不受自然和人为有害因素的威胁和破坏。具体而言,网络安全要做到保护个人隐私,控制对网络资源的访问,保证信息在网络上传输的保密性、完整性和真实性。在远程教育培训中网络安全问题主要集中在以下几个方面:
2.1.1网络安全意识淡薄,没有严格的安全管理制度
“网络安全无小事”,这就要求我们的管理员、教师、学员给予足够的重视,进行相应的学习,提高使用网络的安全意识。而目前由于教学网络中的服务器开放程度很高,基本没有访问限制,由此导致服务器被攻击、侵入、丢失重要数据文件、邮件泄露的情况屡见不鲜。
2.1.2网络安全投入资金不足,相应配套设施缺乏
由于很多学校或者单位用于网络建设的经费不足,有限的经费主要投在网络应用建设上,对于网络安全建设没有比较系统的投入,根本无法抵挡现今网络上五花八门的病毒攻击,尽管如此也要保证24h提供各种文字、声音、视频等服务,网络服务器处在一个非常开放的状态,简陋的安全体系基本没有有效的预警手段和防范措施[4]。
2.1.3内部网络管理混乱
一般来讲,大多数学校或单位都会安排特定的网络教室或者通过办公室计算机接入远程教育培训网,供学员和教职工进行学习。这在很大程度上缓解了部分学员由于没有条件上网而导致无法获取足够教辅资料的矛盾。但是,由于缺乏统一的管理软件和监控、日志系统,绝大多数机房的登记管理制度存在漏洞,上网用户的身份无法唯一识别;另外,有些机房为了管理上的方便安装了还原卡,关机后启动即恢复到初始状态,从而在安全管理上形成了漏洞,无法按照安全部门的要求保留上机和上网日志;更有甚者绕开统一管理和国家相关部门的监管,存在极大的安全隐患。
2.2相应的解决方法
2.2.1设计安全的网络拓扑结构
一般来讲远程教育培训网的结构比较简单,基本都是将E-mail、Web、FTP等应用服务器连接在内部网络(以下简称内网)上,在拓扑结构上,需要通过合理设置策略,将服务器群通过交换机与防火墙的DMZ区接入Internet,构筑服务器系统安全的第一道防线。在内网通过虚拟局域网的划分(VLAN),减少广播流量,释放带宽给用户应用;并且含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露重要信息的可能性。
2.2.2配备完整系统的网络安全设备
一般来讲,在内部网络和外网接口处配置统一的网络安全控制和监管设备即可将绝大多数外部攻击拒之门外。另外,远程教育培训网络由于需要传输图片、音频、视频等数据,对网络带宽的需求也很大,广大学员用户也需要高带宽、高速度的服务,因此配置安全设备既要考虑到功能,同时也必须考虑性能,将配置安全设备后对网络性能的影响尽可能地降到最低[5]。
3基于互联网的远程教育培训系统安全体系的实现
3.1分析需要解决的问题
远程网络教育成为传统教育最有力的补充,也成为了当今各大院校或单位积极建设推进的教育方式,但随着教育网络应用的扩大,其安全风险也变得更加严重和复杂,不安全的网络环境会给求知者带来诸多烦恼和不便。在考虑安全系统功能之前,应针对远程教育培训的网络应用系统特点,详细地分析系统可能出现的安全问题,并确定系统存在的安全漏洞和安全威胁,一般应考虑以下的安全问题:
3.1.1如何预防病毒
一旦染上病毒,轻则使各种服务器运行速度变慢,重则感染整个网络,使网络系统崩溃停止,所有的服务器数据遭到破坏,造成极大的损失。
3.1.2未经授权的访问
一些不拥有访问权限的人访问一些重要的信息,甚至进行恶意更改,例如修改网站的主页、查看并修改财务数据、修改考生的成绩、档案等。
3.1.3信息泄密
用户口令泄密、邮件内容泄密、网上考试的考题泄密等。
3.1.4网络服务无法使用
比如拒绝服务攻击使网络主机崩溃;大量的垃圾邮件使邮件服务器无法正常工作;网络操作系统本身存在的漏洞和缺陷导致黑客轻易地入侵等。
3.2提出解决方案
针对上述远程教育培训系统中存在的安全隐患,提出其中的一些解决方案:
3.2.1安全管理体系
大多数的外部安全问题是由内部管理不善、配置不当和不必要的信息泄露引起的。因此,建立组织的部门的网络安全体系是解决网络安全的首要任务,加强对网络安全体系的研究,应采用信息系统安全工程方法,形成完善的安全体系,才不会遗漏任何威胁因素,避免安全漏洞和隐患。以下将从管理和技术两个方面对高校网络系统的安全体系作进一步论述。管理方面。从全局管理角度来看,要制订全局的安全管理策略,从用户管理角度来看,要实现统一的用户角色划分策略。从资源管理角度来看,要实现资源的分布配置和统一的资源目录管理。从技术管理角度来看,要实现安全的配置和管理。但是,安全的网络系统首先必须有健全的安全管理体系作保障。安全管理体系包括组织机构,安全管理制度,安全责任体系等。技术方面。除了加强对网络系统的安全管理,我们要注意使用的安全产品在技术上是否成熟、有效,在使用安全产品时还应该采取合理的安全策略,以规避系统安全风险,减小所带来的损失。其中的安全策略和防范措施包括网络系统安全配置,系统自身安全,安全审计,数据保护和网络数据备份。
3.2.2身份认证机制
在远程教育培训环境中,网络安全就是指网络信息安全,所谓信息安全,即未经授权的信息不会被浏览;未经授权,信息不会被篡改或破坏。所以身份认证是网络安全中最重要的组成部分,也是安全体系的基础。较为常用的身份认证技术是基于静态口令的身份认证技术,该技术的特点是简单、易用,在一定的安全程度上可以进行有效的用户身份认证;也可以通过数字矩阵、USB-KEY或者手机短信模式进行身份认证。
3.2.3实施访问控制
基于Internet的远程教学系统的用户大致可分为三类:教师用户、学习者用户以及管理员,不同用户所能见到的内容、所拥有的权限是不同的。因此,为了保障信息不被越权访问,应加强访问控制工作,按用户类别进行注册,记录用户相关信息。同时,对系统中的资源也应进行分类,实行多级管理。
3.2.4注意防范“病毒”入侵
当前Internet已成为计算机病毒传播的重要途径,而为了丰富教学系统的资源从网上下载一些软件又在所难免,因此身处Internet的远程教学系统应建立多层次的“病毒”防范体系,采取及时升级杀毒软件,定时运行杀毒软件查找“病毒”,重点防范要害部位,对重要信息进行备份等措施。
第7篇:网络安全责任体系范文
[关键词]电子政务;服务型政府
提高公共事业管理的服务范围和水平将直接影响我国行政改革目标的实现,直接影响我国服务型政府的构建。随着计算机技术和网络化进程的日益普及与提高,公众对公共事业管理实现电子政务的要求也越来越迫切,利用先进的技术来提高政府各个部门的工作效率已逐步成为全社会的共识。就商洛而言,近年来,全市电子政务工作取得长足发展,但还存在一些问题。
一、商洛市电子政务发展中存在的问题
商洛市委政府高度重视电子政务建设,总体提出以信息化带动工业化、以工业化促进信息化的发展战略。与发达地区相比,商洛市电子政务发展方面还存在一些问题,离互联治理的阶段目标尚存在一定差距。
1、电子政务区域发展不平衡问题依然突出。总体而言,电子政务建设在中央、省级等层面的发展相对迅速,而在市县级以下相对薄弱,政府信息化向“最后一公里”的延伸仍需大力推进。同时,电子政务发展存在普遍的区域不平衡问题。此外,在电子政务的规划方面,在战略层面的规划基础上需要更加注重在核心数据、重点业务层面上的规划。
2、电子政务基础建设的投入力度还需进一步加强。欧洲国家电子政务准备度指数高的重要原因是这些国家重视在基础设施和连通性方面的投资。如瑞典的互联网普及率为74.9%,美国的互联网普及率为68.8%。韩国在电子政务调查全球排名中迅速提升也得益于其位居世界第一的80%的互联网普及率。《2012年陕西省互联网发展报告》,截至2012年12月底,陕西省网民规模达到1551万人,网民普及率升至41.5%;商洛在这方面是近六、七年才兴起的基础建设还有待于加强。
3、电子政务的规范化和标准化需要进一步加强。规范化和标准化是电子政府系统实现信息共享、业务协同的基础。我国制定了《电子政务标准体系》(2005),并了《电子政务标准化指南》(2005)从工程管理、网络建设、信息共享、支撑技术和信息安全5个方面指导我国电子政务建设。此外,《中华人民共和国电子政务法(专家建议稿)》(2009),表明我国电子政务标准化体系和立法体系正在逐步完善,但客观而言,我国电子政务的标准化程度仍然不够,标准指标设计上相对宽泛,尚需各部门针对电子政务实际进一步细化,从而进一步提升其操作性。此外,电子政务安全认证体系尚需逐步健全。
4、重建设、轻维护的现象依然存在。电子政务工作依然存在“重建设、轻维护”、“重技术、轻管理”等现象,对运维工作重视程度依然不够。在电子政务成熟的国家,运维资金一般占到电子政务资金总投入的75%以上,而我国80%的资金都投入到了电子政务的建设中,比较而言对运维工作的重视和投入方面还需进一步加强。
5、电子政务的效能评估方面还需进一步加强。如欧盟出台《2007-2010年提升电子政务效率和效能的关键行动计划》作为指导欧盟提升电子政务效率效能的里程碑式文件。我国对电子政务的效能评估、监督考核体系的建设刚刚起步,构建低成本、集约化、见实效的电子政务体系必须要有有效的评估和监督体系作为支撑。基于此,进一步加强信息基础设施建设,进一步完善电子政务标准规范体系及安全防护体系建设,多渠道促进电子政务的均衡发展等将是今后一段时期电子政务发展的重点环节。
二、商洛电子政务发展的主要目标
2013年至今后的几年,商洛电子政务要以“两网(电子政务内、外网)、一站(政务网站)、两平台(市、县区电子政务统一平台服务于市、县、镇、村四级区域)、一公开(政府信息公开)”为重点,以服务政务工作为核心,以深化应用和注重成效为主线,进一步转变电子政务发展方式,健全电子政务体制机制,完善电子政务网络设施,强化政府网站建设管理,积极推进政府信息公开,大力推进电子政务应用,全面提高我市政务信息化工作水平,促进服务型政府、责任政府、法治政府和廉洁政府建设。主要目标要达到:
1.网络覆盖到村。电子政务内、外网覆盖市、县两级,县级以下电子政务外网通过互联网逐步延伸至镇、村,实现省、市、县、镇、村网络互联互通。
2.建设应用并进。电子政务基础设施建设不断发展,市、县两级电子政务统一平台全部建成,两级平台服务于市、县、镇、村四级区域。政府协同办公系统等一大批应用系统建设顺利推进,业务协同能力不断增强。电子政务应用成效明显,主要业务信息共享率平均达到20%以上。
3.网站升质提档。开展网站绩效评估,提高网站服务能力。打造网络问政平台,推进政府网站政民互动。提高政府网站建设水平,政务网站建设率达95%以上。
4.信息公开及时。信息公开内容丰富,质量较高,信息公开的主动性、及时性和准确性进一步增强。涉及重点领域的信息公开深入推进。
5.安全保障有力。电子政务信息安全管理制度普遍建立,信息安全基础设施不断发展,软硬件安全产品应用不断加强,技术服务能力明显加强,应用支撑服务能力明显提高。
三、商洛电子政务发展的具体措施
(一)加强电子政务网络基础设施建设
1、全力推进电子政务内外网升级改造。科学制定电子政务内、外网建设计划,强力推进电子政务骨干网升级改造,进一步提高应用支撑和资源整合能力,为互联互通和资源共享奠定基础。加强商洛市电子政务内外网的建设和管理。
2、快速推进市级信息化基础资源综合服务平台建设。坚持统一平台、整合资源、有序推进、确保安全的建设原则,落实统一、安全、节约、高效的建设要求,统筹推进市级基础资源综合服务平台建设。
3、完成县级电子政务统一平台建设任务。按照全市电子政务建设总体目标和互联互通、信息交换和资源共享的总体要求,进一步加强县级电子政务统一平台建设管理。
4、加快市县两级城域网建设。完成市级城域网建设任务。
5、优化行政中心办公大楼电子政务网络环境。完善互联网接入方式,增加互联网双链路接入,为行政中心办公大楼单位日常办公提供更加便捷、高效的服务。
(二)进一步加强政府网站建设管理,推动电子政务应用工作
1、加强政府网站建设。完成市政府门户网站升级改造。认真做好各项应用系统的研发,进一步完善市、县政府门户网站建设力度,市、县区政府部门单位网站建设率力争达到100%。
2、组织开展网上访谈活动,加强政民互动。推进政府网站政民互动服务发展,建立健全公众意见及问题的受理、处理及反馈工作机制,实现网上、领导信箱、在线访谈等互动栏目的制度化和规范化,注重民意收集与信息反馈,保障人民的知情权、参与权、表达权、监督权。
3、做好全市政府网站绩效评估工作。开展全市政府网站绩效评估和考核,强化以信息公开、网上办事、政民互动、内容维护、运行维护、网站建设、信息保障为重要指标的网站绩效评估体系建设,全面提高政府网站建设质量和服务水平。
4、加强政府网站管理。制定出台《商洛市政府网站建设和管理规范》,加强网站建设管理的指导和技术服务,促进全市政府网站健康发展。
(三)强化政务信息网络安全保障能力
1、建立健全信息安全责任制,形成多层次完备的安全责任体系。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,明确领导,落实责任,各司其职,建立和健全网络与信息安全保障体系。
2、加强电子政务网络接入设备备案管理、安全审计和电子文档管理,实现接入终端和设备的统一管理,保障电子政务网络信息安全。制定完善电子公文管理、公文传输系统专用设备管理等相关制度,严格上网信息审查,做到信息不上网、上网信息不。
3、加快推广数字证书认证,加强以密码技术为基础的信息保护和网络信任体系建设,规范以身份认证、授权管理和责任认定等为主要内容的网络信任体系。建立政务信息安全通报制度,建立健全信息安全责任制,形成多层次完备的安全责任体系。
4、建立完善信息安全监控系统,实现动态网络资源管理、监控,优化资源配置,提高对网络攻击、病毒入侵、网络失泄密的防范和管理能力。
5、加强运行维护制度建设,健全电子政务网络及重要应用系统的运行维护体系、应急响应机制和预案,实现运行维护管理流程化、制度化、规范化。
(四)进一步加强政务信息化宣传培训
1、大力开展电子政务相关知识的宣传普及,采取集中培训、在岗培训等多种形式,有计划、分层次地抓好公务员和国家机关工作人员信息化、公文网上传输和网上办公业务的学习培训,使公务员和国家机关工作人员熟悉和掌握网上办公流程和操作方法,确保公文电子传输和网上办公工作的顺利推进,提高信息化意识和应用技能。
2、加大对政务信息化管理干部和技术人员的培训。开展电子政务平台建设应用、数据网络管理、政府信息公开、网络安全等业务培训,开展多种形式的业务交流和电子政务应用操作技能竞赛活动,提高全市信息化管理队伍整体素质。
3、广泛宣传政务信息化建设的目标任务等,调动全市干部群众关心支持和积极参与信息化建设,营造信息化建设的良好氛围。
第8篇:网络安全责任体系范文
随着互联网信息技术的迅猛发展,大学生网民比例的不断攀升,高校网络安全教育在构建“平安校园”,保障人才培养目标实现等方面的重要性日益凸显。本文通过分析当前高校大学生面临的主要网络安全威胁,网络安全教育普遍存在的问题,通过总结仰恩大学富有实效性的大学生网络安全教育,提出了通过“警校共建”模式创新大学生网络安全教育的途径。
关键词:
大学生;网络安全教育;警校共建
随着信息技术的不断发展和广泛应用,网络更是深入到大学生学习生活的方方面面。根据教育部2012年高校学生思想政治状况滚动调查显示,73.1%的学生获取社会信息最主要的渠道是“网络”“搜索信息、查阅资料”“了解新闻”和“聊天或交友”在学生“通过网络主要进行的活动”中占据前三位。微博在学生中的影响进一步扩大,59.9%的大学生使用微博①。正是因为大学生与网络的高度黏合,国内不法分子及国外敌对势力充分利用网络,对大学生施行网络诈骗,进行思想文化渗透。如何在思想活跃的青年大学生群体中开展扎实有效的网络安全教育,增强大学生的网络安全素养,使其树立正确的网络安全观,保护其利益不受或少受侵害,维护校园安全稳定,是高校思想政治工作和校园安全工作中一个常谈常新的重要课题。
一、大学生使用网络面临的主要安全威胁
大学生由于生理、心理等因素,世界观、人生观、价值观尚处于逐步形成期,对事物的善恶美丑、是非真假判断未能正确把握。而网络世界犹如万花筒,网络信息技术神秘莫测,众多信息内容似是而非,对于绝大多数大学生来说,置身其中面临着多方面的安全威胁。
(一)从网络安全认知角度看。
大学生由于对网络安全认知不到位,使用网络容易受到两个方面的侵害:一是硬件使用上,有的学生的手机或电脑不懂或没有安装有效防御和杀毒软件,存在较大安全漏洞,浏览钓鱼网站等被安装插件或感染病毒,留下安全隐患;有的学生使用移动设备,随意接入端口,没有采取杀毒等必要的防护措施,导致木马、病毒在多个网络终端传播,个人信息在不经意间被盗取;二是软件使用上,一方面相较中学时期,大学自主学习的时间较为宽裕,有的学生没有明确的学习规划,脱离了父母的监管,自身又缺乏自制力,深受网络游戏、BBS、各类新奇网站等的吸引,陷入网络泥潭不能自拔;另外一方面互联网上海量的内容,纷繁复杂、良莠不齐,涉毒、涉黄、涉赌、暴力等信息充斥,如何鉴别真假、好坏,避免受不法分子诱惑,掉入网络诈骗陷阱等,严重危害大学生的健康成长。
(二)从法律安全意识角度看。
随着信息技术的快速发展,互联网用户的迅速增长,我国互联网法律法规不断完善,对网络安全方方面面从法律法规层面逐步进行了规范。对于频繁使用互联网的大学生来说,由于互联网法律法规意识淡薄,在使用网络过程中,有的受利益驱使使用病毒盗取数据贩卖;有的随意转发微博、微信虚假、造谣信息;有的因为意见相左,发帖对个人或组织进行攻击诽谤;有的利用互联网组织黄赌毒活动;有的利用翻墙,浏览并传播境外敌对势力的不良信息。这些大学生因为不了解互联网法律法规基本常识,触犯法律,为自己的不懂法付出惨重的代价,身心受到了极大伤害。
二、网络安全教育存在的主要问题
随着高校信息化建设的加快,互联网在高校得到普及运用,但因为网络引起的校园贷致死事件,网络购物受骗事件,网络暴力事件频发,这些都显示高校网络安全教育仍然存在着许多问题。
(一)对网络安全教育重视程度不够。
虽然大学生网络安全教育日渐提上高校工作的议事日程,但却未能根本上打开该项工作局面,主要是没有从根本上处理好两个关系。一是没有处理好网络安全教育与育人目标的关系。有的高校对网络安全教育在顺利实现育人目标中所扮演的角色认识不到位,没有从根本上意识到提高学生网络素养是学校德育工作的应有之意。一个符合经济社会发展需求的人才、合格的社会主义建设者和接班人除了要有扎实的理论基础、过硬的专业技能,更需要具备较高的安全素养。这也是高校培养的人才能否为经济社会发展做出贡献和做出多大贡献的重要影响因素;二是没有处理好网络安全教育与其他教育教学活动的关系。导致网络安全教育被边缘化。有的高校认为网络安全教育可以通过思想政治理论课程、计算机基础知识课程予以替代,开展网络安全教育甚至停留在应对上级文件要求的层面,网络安全教育时间被学校其他教育教学活动挤占,处于边缘化的境地。
(二)网络安全教育体制机制不够健全。
开展系统性的富有成效的大学生网络安全教育离不开良好的体制机制。虽然一些高校建立了大学生网络安全教育工作体制机制,但仍然存在诸多问题。一是管理体制不够健全。虽然成立了大学生网络安全工作领导小组,但由于规章制度、措施保障等不够到位,没有打通宣传、学生、网络、保卫、教学单位彼此间的壁垒,加之职责分工不够明确,导致工作开展困难重重,打折扣、拖拉、推脱、应付,甚至不落实等情况时有出现,领导小组没能发挥应有的作用;二是运行机制不够顺畅。没有形成自己的网络安全教育体系,工作开展存在力量分散,各自为阵,头痛医头,脚痛医脚等现象,对教育的内容、时间安排、教师教学等没有统筹规划,按计划、分步骤实施。有的高校仅仅停留在开展简单的宣传活动层面。
(三)网络安全教育内容、方式方法因循守旧。
网络信息技术发展突飞猛进,网络终端设备更新更是日新月异。轰动全球的“维基揭秘”和“棱镜”②等网络安全事件警醒我们,网络安全教育开展要切实取得实效,就必须紧跟时展潮流,不仅要创新教育的方式方法,更要与时俱进地及时改变教育的具体内容。在教学过程中,有的高校注重计算机基础应用,忽略网络安全教育这一模块;有的高校忽视了当前最大的网络终端智能手机的安全运用教育;有的高校则停留在理论层面,缺乏实践教学环节,教学效果无法保证。在宣传教育中,有的高校则简单的进行横幅宣传、主题班会宣讲、传单分发等,形式单一、内容呆板,无法吸引广大学生主动积极参与。
三、构筑网络安全教育体系的探索
创新大学生网络安全教育体系,切实从思想上筑牢大学生网络安全防线,增强网络素养,是保障人才培养质量的根本需要。2015年4月,仰恩大学与泉州市公安局共同举行“警校共建”启动仪式,拉开警校共建助推“平安校园”创建的帷幕。大学生网络安全教育作为“平安校园”创建的一个重要组成部分,正式纳入共建活动。双方经过一年多的合作建设,探索出了一套符合大学生网络安全教育的新方法。
(一)加强顶层设计,建立运行高效的管理机制。
仰恩大学将大学生网络安全教育纳入学校议事日程,建立领导、制度、责任“三大机制”。一是建立齐抓共管的领导机制。成立以分管校领导为组长的大学生网络安全教育领导小组,并将泉州市公安局网安支队有关负责人吸纳进来,对学校网络安全教育工作进行统筹规划,形成分管校领导负总责,党委宣传部、教务部、学生事务部、现代教育技术中心、治安处(泉州市公安局洛江分局派驻机构)、保卫处等单位协同抓的工作格局,进一步明确了分工职责;二是建立层层落实的责任机制。学校与二级学院、各职能部门负责人签订网络安全目标管理责任书,对年度网络安全教育管理责任进行层层分解落实。同时,建立了安全责任与绩效工资、评优评先相挂钩的考核机制;三是建立警校协调联动工作机制。成立由公安局网安部门,学校党委宣传部、教务部、学生事务部、现代教育技术中心、治安处、保卫处等构成的法制与安全教研室,制定相关规章制度,承担组建专业师资队伍,编定网络安全教育教材,研判网络安全工作形势,分析网络安全教育成效,开展科学研究探索网络安全教育的新路径、新方法等。
(二)加强网络安全教育平台和队伍建设。
一是开设《大学生安全教育》课程,让零散的、单一的、随意的网络安全教育变得规范化、制度化和系统化。仰恩大学在大一新生中开设该课程,坚持网络安全教育从“新”抓起,力争将学生面临的网络安全威胁程度降到最低。网络安全教育作为该课程的模块之一纳入其中。课程共16个课时,设定1个学分,作为必修课纳入到人才培养课程体系,进行统一的教学管理。同时,为确保学生学习效果,搭建了相应的师资队伍和实践平台。依托法制与安全教研室,组建相应的网络安全教育专兼职结合的教师队伍,自编与时俱进、符合学生需求的网络安全教育教材。聘请来自网安、国保等警务部门的优秀干警为兼职教师,配合承担《大学生安全教育》课中互联网管理反网络诈骗、网络舆情管理、计算机网络安全、心理预防与疏导、法制教育等教学模块的授课任务。授课教师采取“1+1”的模式,即一名校内理论基础扎实的专业教师+一名来自警营的优秀干警共同为学生授课,协调配合,相得益彰。校内专业教师充分发挥了理论教学的优势;优秀干警丰富的“新鲜”的实践经验对理论进行鲜活的运用,增强的授课的效果。这样有效破解了目前众多高校承担网络安全教育的教师实务经验不足,教学内容无法跟上行业前沿,相关网络安全知识欠缺,导致授课效果无法保证的突出问题。挂牌成立实践教学基地,辅助校内课程教学,在洛江公安分局网安大队建立教学实践基地。利用周末、寒暑假等时间点,分批次带领学生到实践教学基地体验学习。在近两年暑期,一批的学生以暑期社会实践的形式参与到教学实践基地所在警营的工作生活中,了解基层警营文化,参与网安警务工作,不仅进一步强化了自身的网络安全意识和法治意识,而且以学生的视角向社会各界传递了基层警营的满满正能量。2015年,仰恩大学警营暑期社会实践基地入选为福建省第三批省级暑期社会实践基地。二是加强学校网安警务室建设。在“警校共建”活动的推动下,省内首个“高校网安警务室”———泉州市公安局洛江分局仰恩大学网安警务室建设得到加强,进一步发挥了其在大学生网络安全教育中的作用。泉州市公安局洛江分局派驻专职网安民警和安全员,除了积极开展联网备案、安全技术指导、案件线索协查、网络安全培训等工作,还定期为师生开展互联网安全主宣传咨询活动,强化对校园网络舆情监控和各类不稳定因素的掌控,并与学校党委宣传部、网络中心、学生事务部等单位负责网络安全的工作人员组成网络安全工作小组协同开展工作,做到提前预警、有效处置。三是成立网络舆情引导工作站。与泉州市公安局洛江分局共建舆情引导工作站,并组建了由党员教师、学生为骨干的网络舆情工作队伍,下设网络舆情收集、网络评论,网络文化作品创作等小组,并以课时补助、勤工俭学补助、创新学分认定等形式为工作开展提供保障。该工作站在学校党委宣传部与网安警务室的双重指导下,根据学校网络安全教育总体规划开展工作,对涉校、涉生的较为敏感性、不实的校园网络舆情信息进行收集、报送,对形成的网络舆情进行正面有效的引导,对网络安全常识进行形象化的生动传播。
(三)创新宣传教育形式
充分利用校内宣传阵地,统筹传统媒体和新媒体、线上和线下宣传,做到校园网、校报、校广播电视中心、新媒体中心等协同发力,全方位、多角度宣传,做到网络安全教育宣传全年不断线,重要时间节点有加强。学校除了利用校园网、校报、校广播电视中心、宣传栏等传统宣传阵地开展网络安全教育,还搭建新媒体平台,开设网络安全教育官方微信、微博平台、QQ空间等大学生极为活跃的平台,将宣传网络安全教育的软文、公益短视频等与其他文化创意作品结合推送到移动终端,让学生随时随地都能如春风化雨般不知不觉的接受教育。同时还着力拓展这些平台的校园服务,增强学生与平台的黏性,吸引学生关注平台内容,促使推送的内容的宣传效果最大化。在新生入学、“双十一”、就业实习、寒暑假前等时间节点,通过线上线下集中开展了网络安全专项教育,提高学生的网络安全意识和自我保护能力。
四、结语
大学生网络安全教育是高校是维护学校安全稳定,创建“平安校园”,实现育人根本目标的需要。仰恩大学以“警校共建”为抓手,协同推进大学生网络安全教育,在具体的实践中得到了检验,对于提升大学生网络安全知识、意识、能力具有积极的效果,为当前高校在网络安全教育中普遍面临的问题提供了一条有效解决的路径。
作者:陈章祧 单位:仰恩大学
注释:
第9篇:网络安全责任体系范文
关键词:安全审计;数据挖据;日志分析
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-0000-0c
Research of the Network Security Audit System Based on Data Mining
(Department of Information and Electronic, Hangzhou polytechnic, Hangzhou 311400, China)
Abstract: In this paper, network security audit was studied as a data analysis process, logs in the network environment is the important data source, some main data mining techniques was considered such as Preprocess, Association, Sequential, Classification, Clustering, a basic structure of network security audit system was proposed and the algorithms for audit data mining was discussed.
Key words: security audit; data mining; log analysis
随着信息化建设的飞速发展,金融机构、政府部门、公安国防等含有大量敏感数据的机构对信息系统的依赖性越来越高,除了采用身份认证和授权管理技术对非法用户和非法操作进行屏蔽外,对这些数据的合法操作同样有可能导致安全事故的发生,比如泄密、恶意删除、操作失误等。为此,基于操作日志的风险预警和责任认定体系的研究正成为信息安全领域的一个研究热点。据IDC统计,2007-2011年,国内风险管理解决方案市场以22.4%的复合增长率快速增长。
现有的责任认定主要通过安全审计来实现。安全审计除了能够监控来自网络内部和外部的用户活动,对与安全相关活动的信息进行识别、记录、存储和分析,并对突发事件进行报警和响应之外,还能通过对系统事件的记录,为事后处理提供重要依据,为网络犯罪行为及泄密行为提供取证基础。同时,通过对安全事件的不断收集与积累并且加以分析,能有选择性和针对性地对其中的对象进行审计跟踪,即事后分析及追查取证,以保证系统的安全。
在TCSEC和CC等安全认证体系中,网络安全审计的功能都被放在首要位置。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度,是一个安全的网络必须支持的功能特性[1]。
本文以安全审计领域中的数据挖掘应用为研究视角,以操作日志为数据对象,给出了基于多源日志数据挖据的网络安全审计系统的基本架构,并对研究过程中的几个关键技术点进行了分析。
1 系统架构
目前安全审计系统中普遍采用的特征检测的方法是由安全专家预先定义出一系列特征模式来识别异常操作。这种方法的问题是模式库得不到及时的更新,这样在安全审计的过程中系统不能自适应地识别出新型异常,使误报警和漏报警问题不断发生。此外,一方面随着网络应用的普及,网络数据流量急剧增加,另一方面有些审计记录本身包含了大量的无关信息,于是,数据过载与检测速度过慢的问题也不无出现。
数据挖掘本身是一项通用的知识发现技术,其目的是要从海量数据中提取出我们所感兴趣的数据信息(知识)。这恰好与当前网络安全审计的现实相吻合。目前,操作系统的日益复杂化和网络数据流量的急剧膨胀,导致了安全审计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息,人们希望能够对其进行更高抽象层次的分析,以便更好地利用这些数据。将数据挖掘技术应用于对审计数据的分析可以从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,抽象出有利于进行判断和比较的特征模型。根据这些特征间量模型和行为描述模型,可以由计算机利用相应的算法判断出当前网络行为的性质。
基于数据挖据的网络安全审计系统的基本架构如下图1所示。
图1 系统架构
系统由ETL、数据仓库、元数据引擎、OLAP引擎、专家知识库、数据挖掘模型、应用接口等部分组成。ETL系统将异构、分散的审计数据日志抽取并清洗后送入数据仓库;数据仓库根据不同的数据分析特点采用星型或雪花型模式存储多维数据模型;元数据引擎负责定制与维护规范的ETL规则定义、数据仓库模型定义及业务流程定义;OLAP引擎通过MDX(Multi Dimensional Expression,多维查询表达式)语句分析器响应用户查询操作,分析器接收客户端提交的MDX语句,并对该MDX语句进行语法和语义分析,然后按照预先定义的多维数据模型转换成相应的SQL(结构化查询语句)语句,最终从关系型数据库中获取有关的数据。如果需要获取的数据已经在缓存中,则直接从缓存中获取。专家知识库记录了典型案例和审计规则,根据知识库中的规则,责任分析模型应用数据挖掘相关算法对数据进行分析,当某用户的行为与知识库中定义的异常规则相一致时,通过应用接口层给出警报信息,当出现与知识库中的任何规则都不匹配的异常规则时,利用聚类和分类挖掘技术将这些知识添加到知识库中。这样可以通过不断修改知识库来发现未知攻击或已知攻击的变种。
2 关键技术分析
2.1 多源日志处理
在信息化建设过程中,由于各业务系统建设和实施数据管理系统的阶段性、技术性以及其它经济和人为因素等影响,操作系统、网络设备、安全设备的使用日益复杂化,这导致产生了大量异构、分散的安全审计数据,包括操作系统日志、安全设备日志、网络设备日志以及应用系统日志等,这给数据分析与决策支持带来了困难。解决方案是对异质异构日志数据格式进行转换,同时使用事件合并机制对系统间相似数据进行合并,并与各案例库和各日志库一起为责任认定系统提供数据服务,为责任认定提供依据。文献2对多源日志数据的采集、范化、分析、过滤、聚类、归并等过程进行了综述,并提出了相应的算法和实例。
2.2 审计数据仓库构建
数据仓库存储模型与传统的业务数据库系统有着本质的区别,数据库技术在存储模型建设方面强调数据模型的规范性和高效存储能力,而数据仓库技术在存储模型建设方面强调数据查询的方便性和快速响应能力。目前通常采用的数据仓库存储模型有:星型模型,雪花模型[3]。星型模型将一个事实表放在中间,周围是有数据相关的维表,事实表是星型模式的核心,数据量很大。维表是事实的附属表,数据量比较小,它提供了事实表中每一条记录的描述性信息。在星型模式中,每个维只用一个表来表示,每个维表包含一组属性,从而造成了一定程度的冗余。为了避免这些冗余数据占用过大的空间,可以用多个维表来表示一个层次复杂的维,从而把数据进一步分解到附加的表中。这种规范化了的星型模式称为雪花模式。虽然雪花模式减少了数据冗余,节省了存储空间,但由于执行查询时需要进行更多的连接操作,降低了浏览的性能。在审计数据仓库中,由于浏览操作的实时性和频繁性,星型模型更为适用。
2.3 数据挖据算法应用
在安全审计中,运用数据挖掘技术,可以利用统计、分类、聚类、关联、序列分析、群集分析等方法,对网络日志中大量的数据进行深层次分析和研究,揭示其本来的特征和内在的联系,使它们转化为网络安全检测所需要的更直接、更有用的信息。
1) 分类与预测算法:分类要解决的问题是为一个事件或对象归类。在使用上,既可以用来分析已有的数据,也可以用它来预测未来的数据。安全审计可以看作是一个分类问题:我们希望能把每一个审计记录分类到可能的类别中,正常或某种特定的入侵或操作异常。一般来讲,分类根据系统特征进行,关键就是选择正确的系统特征,大多数时候还需要根据经验和实验效果确定一个合理的阀值。
2) 关联分析:关联规则挖掘是指发现大量数据中项集之间有意义的相关联系。关联规则可以从海量的日志数据集中发现不同字段之间存在的关系,这些联系反映了用户的某些操作在一段时间内频繁出现的条件,清楚地反映了用户的行为模式。利用关联规则算法挖掘出合法用户的历史正常行为模式,将当前的行为模式与历史正常行为模式进行比较,从而可以分析出用户的潜在异常行为。文献4即根据网络审计日志实时更新的特点,提出了一种基于深度优先生成树的关联规则挖掘的改进算法FIDF,改变了候选项集的产生顺序,提高了审计日志数据关联规则挖掘的效率,确保了入侵检测系统的实时性和准确性。
3) 聚类技术:聚类就是将数据对象分组成多个类或者簇,划分的原则是在同一个类(簇)中的对象之间具有较高的相似度,而不同类(簇)中的对象差别较大。在网络安全审计中,聚类模式的常规做法是通过分析网络资源的受访问情况以及访问次序,来找到用户间相似的浏览模式,并进行安全性识别。文献5针对聚类应用在日志分析中存在的主要问题,从聚类算法的选择标准、改进方向、性能分析3个方面探讨了典型聚类算法k-means算法的研究成果。
3 结束语
本文将网络安全审计与责任分析视为一种数据分析的过程,以网络环境中大量的安全责任日志数据为分析对象,综合运用数据挖掘中的预处理、关联、序列、分类、聚类等技术,提出了网络安全审计系统的基本架构,重点对适用于审计数据挖据的相关算法进行了应用分析。
参考文献:
[1] 张旭东.内网安全审计系统及审计数据挖掘研究[D].浙江工业大学,2007.
[2] 刘成山,张秀君,刘怀亮.多源日志的数据挖掘方法研究[J].情报杂志, 2009(3):154-156.
[3] Inmon, W H.数据仓库[M].4版.北京:机械工业出版社,2006.
