前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全建设方向主题范文,仅供参考,欢迎阅读并收藏。
关键词:新媒体;意识形态;创新;对策
1新媒体与意识形态安全的关系
新媒体是一个相对的概念,是报刊、广播、电视等传统媒体以后发展起来的新的媒体形态,包括网络媒体、手机媒体、数字电视等。本篇主要指网络新媒体。从哲学上讲新媒体与意识形态安全之间是相辅相成的一个有机整体,保证意识形态安全是新媒体健康发展的前提,新媒体健康发展又促进意识形态安全建设,新媒体是否健康发展,影响着意识形态未来的发展方向。目前我国传统意识形态不断面临来自新媒体的各种挑战,网络成为人们传播信息,舆论的新场地,为了更好的维护意识形态安全发展,必须要加快网络基础设施建设,规范网络环境,强化主流意识形态影响力,积极引导新媒体朝着健康绿色的方向发展。
2新媒体在创新方面对我国意识形态安全的挑战
随着社交网络的不断发展,越来越多的人通过网络这个社交平台了解社会信息动向、表达自己的观点思想,信息网络也在时时刻刻对人类的传统意识发出冲击,意识形态安全面临新挑战。
创新一词英文为innovate,根据牛津字典的解释就是引入新事物、思想或方法。当今我国意识形态安全面对网络冲击,创新能力不足的挑战主要表现在两个方面:第一是我国意识形态安全建设面对新媒体挑战,没有过硬的网络技术,缺乏创新型人才。CNNIC第38次《中国互联网络发展状况统计报告》于8月3日。《报告》显示,截至2016年6月,中国网民规模达7.10亿,互联网普及率达到51.7%,超过全球平均水平3.1个百分点。[1]当今,网络成为人们相互了解的重要途径,网络内容丰富多彩,形式花样繁多,吸引人们眼球,更多的人选择网络沟通交流,网络成为人们舆论生活的新场地。但目前我国创新人才不足,没有过硬的网络核心技术,尚未创立完全属于自己的网络品牌。比如网络主要传播工具-手机分析,苹果手机受到当下很多年轻人的追捧,出现大量“果粉”。据中关村2015-2016年中国手机市场研究年度报告中,2015年度,苹果iPhone 6系列以8.15%的关注比例高居榜首,成为最受用户青睐的产品系列,超过同期上市的很多国产手机。苹果手机之所以比其他产品手机更受欢迎,原因除了安全性能高,手机壳耐摔防水好外,苹果手机主要制造团队善于结合当下人们生活习惯开发出时尚又便捷的手机软件,创新速度特别快,手机功能齐全,得到很多人的青睐。还有知名网络阿里巴巴、百度、360网站、腾讯等,很多也是借用国外技术,仍有许多外资商人控股,长期下去,会使我国意识形态网络安全建设存在安全隐患。第二是快餐式的网络传播,创新动力不足。现代数字网络技术的广泛应用,互联网、移动通信技术等综合信息交流平台大大改变了人们的信息获取方式。当下无论是突发事件还是奥运盛世多数都依靠网络传播,可以说人们日常生活衣、食、住、行等都与网络密不可分。人们每天打开手机、电脑,铺天盖地的信息不断冲击人们的意识价值观,网络信息的这种快餐式的传播,速度快、信息量大,一方面确实对人们生活、工作交流沟通带来便利,另一方面,网络信息内容丰富多彩,人们毫无费力就能得到想要的资源,自主研究思考的机会就少,思想意识也会陷入“疲软”状态,很多人失去创新动力。同时,我们还应该意识到网络信息多源于国外对中国网络的信息的输送,实质是当代很多人在潜移默化的接受外国人的思维模式和生活习惯,网络中对于传统中国文化创新能力低,主流媒体乐于对外国文化宣传,忽视了中国社会主义核心价值的创新和弘扬,影响我国社会主义意识形态安全建设。
3新媒体时代维护我国意识形态安全建设的对策
以上分析表明,当今网络创新能力不足,对我国意识形态安全建设产生了很多不良影响,为了更好维护我国意识形态安全建设,我们要做出相应的解决对策。
意识形态安全建设除了通过传统手段利用新型的视频、动画等把社会正面事件、道德模范人物生动传播,加强舆论创新外,还需要加强创新型人才培养。主席在主持召开中央网络安全和信息化领导小组第一次会议强调建设网络强国,要把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍。"千军易得,一将难求",要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队。[2]维护我国意识形态安全建设,需要过硬的网络核心技术,这就要汇聚网络创新人才。首先可以为更多企业或者个人创业发展提供优惠的政策,提供技术支持,资金支持。同时中国可以设置“诺贝尔网络创新奖”,吸纳优秀网络建设人才,也为网络创新提供动力,为正真有才华的人提供施展才能的平台,将众多优秀人才集聚一起,切磋交流,加强核心技术创新,创立属于中国的网络品牌,更好应对网络冲击,保证我国意识形态安全建设。其次,维护我国意识形态安全建设,需要结合我国传统优秀文化才能更容易被接受认可,在网络中多举办中国文化小知识竞赛,不限性别年龄,人人都可以参加;人们生活离不开网络,我们可以开发推广有关中国文化休闲娱乐软件;可多借用中国传统元素,开发中国动漫视频等;还可以在网络平台中,开通网络专栏,设立网络创业基金,专门鼓励网络核心技术的开发,为网络创业创新发展提供动力。
4小结
网络对我国意识形态的挑战,是一个不断发展的过程,我们要运用坚定的理想信念为指引,自主创新能力为支撑,规范网络平台,确保我国意识形态主导地位,促进新媒体和谐健康发展。
[注释]
[1]中国互联网信息中心:第 38 次中国互联网络发展状况统计告 [EB/OL]. http:///info/media/zcjd/news/201609/t20160914_1449106.shtml.
[2]主持召开网络安全和信息化工作座谈会[N],人民日报,2016.02.20(1).
[参考文献]
[1]王正平,徐铁光.西方网络霸权主义与发展中国家的网络权利[J].思想战线,2011.(2):105-107.
关键词:网络安全;部队;访问控制列表;防火墙;入侵防御系统
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)05-1043-02
Brief Probe into the Question about the Army’s Security of Network
ZHU Wen-long1, YU Hai-ying2
(1.The PLA University of Technology & Science, Nanjing 210007,China;2.The PLA University of Technology & Science, Nanjing 210007, China)
Abstract:The construction of military informationization is a historical topic to our army, and the security of network is the most impor? tant thing in it. Essentially speaking, the network security is really the information security in the internet, and that means the computer us? er can just operate computer upon authorization, so we can guarantee the network’s confidentiality, integrity, availability, authenticity, con? trollability and so on. This paper briefly describes several kinds of network security protection measures, and having assistant function to the network security construction of our army.
Key words: security of network; army; access control list; firewall;intrusion prevention system
克劳塞维茨曾说过:“每个时代均应有其特定的战争”。随着网络技术的高速发展,历史的车轮驶进了信息时代,而信息时代的主要战争形态是信息化战争,信息安全成为制胜的关键因素。怎样在信息化条件下打赢现代化战争已成为时代的课题。大力发展网络化建设,提高网络安全技术已经成为部队的重要课题。
经过几年的努力,计算机网络已广泛应用于部队的日常办公与管理。但由于使用人的技术水平有限或者安全防范意识薄弱等原因,使得部队的网络泄密事件不断发生。提高网络安全技术,强化应用系统功能,为部队建设一套安全可靠的网络体系成为我们思考的方向。下面就计算机网络安全问题介绍已有的几种网络安全措施。
1以太网接入控制与认证机制
1.1安全端口建立访问控制列表
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问,是保证网络安全最重要的核心策略之一,它在以太网交换机的每一个访问端口都配置访问控制列表,即Access Control List(ACL),只有在源MAC地址为访问控制列表中允许接入的终端MAC地址时,才可以继续转发MAC帧,否则该MAC帧将被丢弃。
1.2 802.1X接入控制机制
由于我们有时需要更换动态访问控制列表,所以更重要的是终端MAC地址是可以更改的。如果敌方知道我访问控制列表中的MAC地址,就可以将自己终端MAC地址设为列表中的MAC地址而实现非法接入。针对这一现象我们可以采用802.1X接入控制机制。它需要建立一个鉴别数据库,每一个新接入交换机的终端只有输入用户名和密码,经由以太网交换机鉴别数据库的鉴定为有效后才可以进入访问控制列表。其逻辑图如图1。
在图1中注册数据库中有用户A与用户C及其各自的口令,当用户A、B、C、D接入交换机时,同时启动鉴别机制,而只有A、C才有登陆用户名与口令,输入正确后在访问控制列表中加入MAC A与MAC C,进而可以访问敏感信息资源。对于用户B和C而言,由于注册数据库中并没有其数据记录,因而被禁止访问敏感信息资源。
2防火墙技术
图1
防火墙技术目前已成为部队用于网络安全建设的主要技术支撑,其在我军网络防护中起到了重要作用。防火墙通常位于内网与外网的连接点,强制所有出入内外网的数据流都必须经过此安全系统,是一种对不同网络之间信息传输过程实施监测和控制的设备,在逻辑上,防火墙就是一部隔离器、分析器与限制器,用于保护内网中的信息资源。其提供的服务有:
1)行为控制:不同网段间只允许传输与行为合理的网络资源访问过程相关的信息流。2)服务控制:不同网段间终端只允许传输与特定服务相关的信息流。
3)方向控制:不同网段间只允许传输与由特定网段中终端发起的会话相关的信息流。
4)用户控制:不同网段间只允许传输与授权用户合法访问网络资源相关的信息流。
防火墙分为个人防火墙与网络防火墙,关键技术主要有分组过滤器、电路层网关和应用层网关。由于分组过滤器对信息的发送端和接收端是透明的,因此不需要改变终端访问网络的方式。而且随着有状态分组过滤器的产生,它对于内外与外网件传输的信息流的监控变得更加精确,有状态分组过滤器也成为部队主要的网络安全技术。其逻辑图如如图2:
图2
在图2中,防火墙将网络传输系统分为3个区,分别为命名为信任区,非军事区与非信任区,我们可以对防火墙进行设置,令信任区内网络可以对非军事区以及非信任区内网络进行访问,而非信任区内网络只能对非军事区网络进行访问,不可以访问信任区网络。从而达到对信任区内网络的保护。
3入侵防御系统(Intrusion Prevention System)
随着网络技术的发展,攻击者的攻击工具与手段也日益成熟多样,外网对内网的攻击往往是在内网防火墙访问控制策略所允许的条件下进行的,如通过恶意代码传播控制内网终端从而实行对内网的攻击,这样防火墙就很难进行有效的防御。因此,能对计算机和网络资源的恶意使用行为进行识别和处理的系统――入侵防御系统,就凸显其重要作用。
入侵防御系统主要分为网络入侵防御系统(Network Intrusion Prevention System)和主机防御系统(Host Intrusion Prevention Sys? tem),网络入侵防御系统能够有效的对网络中传输的信息进行检测并对异常信息的传输进行处理,而主机入侵防御系统可以对于主机资源的访问进行监控,对非法访问进行管制。作为防火墙的合理补充,它提高了安全基础结构的完整性,被认为是继防火墙之后的第二道安全闸门。其逻辑图如图3:
图3
在图3中,路由器连接外部网络与内部网络,在外网与内网间接入网络入侵防御系统,使得网络入侵防御系统可以捕获外网流入内网的异常信息,并做出相应的信息反制动作,而在重要终端上安装的主机入侵防御系统,又可以有效地保护重要终端,从而达到相辅相成,协调一致的效果。由此我们也可以看到入侵防御系统发展前景的广泛。就目前来看,在部队中防火墙技术已经相对成熟,应用也比较广泛。但是对于入侵防御系统的应用还不够充分,究其原因,是由于网络入侵防御系统只能对部分网络资源进行保护,并且在处理未知范围内的异常信息处理能力还略有不足,而主机入侵犯防御系统终究只是一个应用程序,属于被动防御,即只有恶意攻击到达终端时才做出反应,而我们更希望的是主动出击,即在恶意程序还没有到达终端之前就将其拦截处理。另外若 对每一个重要终端都安装入侵防御系统,其成本也较大。正是由于其上不足之处,使得入侵防御系统还没有在网路安全中完全得以应用。但相信经过一定的发展与改良,入侵防御系统会成为部队网络安全建设的一道坚固城墙。
4结束语
除以上安全措施外,还有很多方法可以提高我们的网络安全系数。如安装杀毒软件,对需要传递的重要信息进行加密,使用数字签名技术等,都有其独特的优势来进行网络安全防护。但是部队网络安全建设仍是一项重要的需要不断发展研究的课题,尤其是部队的重要信息更是敌对势力想法设法窃取的对象,更加大了我军网络安全的压力。如今的网络安全已经是涵盖了网络级与应用级在内的完整概念,我军需从整体网络管理平台的角度统一建设完整的网络安全体系,加大网路安全研究力度,以大魄力进行整体改革,全面提升全军网络安全能力,为打赢以后可能发生的信息化战争建立坚实的网络基础。
参考文献:
[1]沈鑫剡.计算机网络技术及应用[M].2版.北京:清华大学出版社,2010.
网络安全的发展经历了三个阶段: 一是防火墙、防病毒与IDS(入侵检测系统)部署的初级阶段。二是随着网络扩大,各种业务从相互独立到共同运营,网络管理中出现的安全域的概念,利用隔离技术把网络分为逻辑的安全区域,并大量使用区域边界防护与脆弱性扫描与用户接入控制技术,此时的安全技术分为防护、监控、审计、认证、扫描等多种体系,纷繁复杂,称为安全建设阶段。三是把各个分离的安全体系统一管理、统一运营,我们称为安全管理阶段,最典型的就是综合性安全运营中心(Security Operation Center)SOC的建设。从这个阶段开始,网络安全开始走上业务安全的新台阶,业务连续性管理BCM(Business Continuity Management)成为业务安全评价的重点。
SOC是安全技术“大集成”过程中产生的,最初是为了解决安全设备的管理与海量安全事件的集中分析而开发的平台,后来由于安全涉及的方面较多,SOC逐渐演化成所有与安全相关的问题集中处理中心:设备管理、配置下发、统一认证、事件分析、安全评估、策略优化、应急反应、行为审计等等。能把全部安全的信息综合分析,统一的策略调度当然是理想的,但是SOC要管理的事如此之多,实现就是大难题。基于不同的理解,市场出现的各种SOC也各取所长,有风险评估为基础的TSOC,有策略管理的NSOC,有审计为主的ASOC,还有干脆是安全日志分析为主的专用平台。
各种SOC特点各异,但都是围绕安全管理的过程来进行的,对应了安全事件管理的事前、事中、事后三个阶段,事前重点是防护措施的部署,排兵布阵;事中是安全的监控与应急响应,对于可以预知的危险可以防护,但对于未知的危险只能是监控,先发现再想办法解决;事后是对安全事件的分析与取证,对于监控中没有报警的事件的事后分析。由此SOC的功能发展延伸为下面三个维度:
安全防护管理: 负责安全网络设备的管理与基础安全体系的运营。是安全事件出现前的各种防护管理,其鲜明的特征就是制定的各种安全策略并下发到相关的安全设备。
监控与应急调度中心: 对安全事件综合分析,根据威胁程度进行预警,并对各种事件做出及时的应对反应。
审计管理平台: 事件的取证与重现、安全合规性审计、数据的统计分析、历史数据的挖掘。安全的审计安全管理的事后“总结”,也是安全防护的依据。如图所示。
【关键词】信息安全 管理 控制 构建
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1]郝宏志.企业信息管理师[M].北京:机械工业出版社,2005.
[2]蒋培静.欧美国家如何培养网络安全意识[J].中国教育网络,2008(7):48-49.
作者简介
常胜(1982-),男,回族,天津市人。现为中国市政工程华北设计研究总院有限公司工程师。研究方向为网络安全与服务器规划部署。
【关键词】 网络空间 拒止 威慑
拒止型威慑在于通过指部署强大的防御力量、建立能从攻击中迅速恢复的弹性系统,令对手相信攻击得不到预期收益,从而放弃恶意行动,是美国网络空间威慑战略实施的基础性途径。美国始终高度重视网络空间的防御和恢复能力建设,2008年《国家网络空间安全综合计划》中的12条网络安全倡议中,有10条与防御和恢复有关。《网络威慑战略》文件表明,拒止型威慑的建设应当从增强防御性、弹性和可重建性三个方面着手,具体从四个方面落实。
一、认定和保护核心关键基础设施
五角大楼定义的关键基础设施是“对美国来说至关重要的实际的和虚拟的资产、系统和网络”。美国所依赖的基础设施体系繁杂,软件问题的普遍性意味着美国不可能确保每个系统将都一直免受入侵或损害。因而美国政府“将认定和保卫关键基础设施作为优先选择,从而政府政策和资源将会被优先用于确保特殊系统的安全和关键节点的防御”。
首先,认定核心关键基础设施。2013年白宫颁布的《促进关键基础设施的网络安全建设》表明,“国土资源部应当使用基于风险的方法认定关键基础设施,在关键基础设施领域内发生的网络安全事件很可能会在公众健康、公共安全、经济安全与国家安全等方面产生灾难性影响”。国土安全部最终认定出了一份具有高风险的关键基础设施名单。
其次,通报网络威胁信息。美国国土安全部也努力提高私营部门监测和阻止网络入侵的能力,了解网络攻击可能带来的级联效应。美国正在开发用于保护关键基础设施的新工具,如全球信息栅格、DARPA提出的冲突建模、规划与结果实验方案(COMPOEX)等。
二、共享威胁信息
共享网络威胁信息,可以为防御者提供了理解己方漏洞与对手攻击计划的机会,是拒止型威慑建设的必要步骤。
一方面,促进部门间威胁信息共享。2015年白宫宣布组建网络威胁情报集成中心与国家网络安全和通信集成中心,负责实时的与联邦机构、私营部门共享信息。此外还有“国防工业基础网络安全和信息保障计划”、“增强网络安全服务计划”、“关键基础设施信息保护计划”等机制。2016年白宫表示,国会应当加强立法,允许企业在全国范围内与政府分享网络安全信息。
另一方面,公民隐私问题持续受到关注,随着“棱镜门”事件的发酵,国内对政府借维护国家安全之名随意践踏公民隐私的担忧声音也日渐高涨。因而《网络威慑战略》文件强调,在有关威胁信息共享的立法提案当中,政府必须遵守隐私限制规定,采取措施保护需要共享的个人信息。
三、防御内部威胁
防御内部威胁是拒止型威慑建设的重点方向。维基解密泄露美国政府文件、邮件的事件,以及情报计划泄露等事件,都被认为是内部人员泄密或操作不当造成的。
近年来,美国政府加强重要机密情报的安全防护。2011年美国颁布行政命令“致力于保护机密网络与可靠分享机密信息的结构性改革”,构建了政府内部人员管控与危机防范的机制逐渐建立,成立了高级信息共享和安全防护指导委员会、安全防护执行局和国家内部威胁专案组。在司法部长和国家情报总监的联合领导下,集合了反间谍、信息安全方面的专家以形成政府维度的内部威慑机制,从而威慑、侦测、减轻包括机密情报损害在内的内部威胁。
四、强化政府网络防御
美国网络空间拒止性威慑还着眼于政府自身网络体系。美国认为许多政府的网络非常脆弱,可能成为薄弱环节。为了弥补这些缺陷,美国政府正在提升其网络防御水平,为各部门和机构设定了明确的网络安全目标。同时,美国政府还正在提高政府在网络安全方面的跨部门投资的追溯与监察,以加强投入的效果。同时,美国国防部也强化了军方网络的防护,保护数百万的网络设施和数千个军事飞地的机密信息。美国战略司令部下属的网络司令部与国家安全局、国防信息系统局,共同监控国防部网络的运行,定时提供威胁和漏洞信息。2014年2月,美国国家标准和技术研究院了第一个版本的网络安全框架,参考了全球公认标准帮助有关组织理解、管理网络风险,敦促各个组织执行标准措施,提升其整体网络安全。
综上所述,美国通过认定和保护关键基础设施、促进威胁信息共享、防范内部威胁与加强政府网络防御等四种主要路径,加强国家网络系统面对攻击时的风险抵御能力。可见,美国网络空间的拒止型威慑,在于强化自身实力,“以不变应万变”。
参 考 文 献
[1]吕晶华,《美国网络空间战思想研究》,军事科学出版社,2014年6月。
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。
1安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1设计目标
贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。
1.2设计原则
1.2.1合规性原则
安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。
1.2.2技管结合原则
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
1.2.3实用原则
安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。
1.3设计依据
1.3.1“原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。
2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2“策略”符合风险管理
风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。
风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。
1.3.3“措施”符合P2DR模型
美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。
1.4安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。
“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
2安全保陳方案规划
2.1总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:
边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。
安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2安全域划分
划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。
Z3边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。
2.3.1边界措施选择
在边界上我们建议四种安全措施:
1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。
3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。
4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2策略更新管理
边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。
2.4行为审计体系规划
行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。
2.5安全监控体系规划
监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:
1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。
2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。
3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统
作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:
1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。
2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。
3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。
2.7IT基础设施规划
IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3安全筐理体系规划
在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3_1安全管理标准依据
以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。
3.2安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
3.3安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
3.4安全管理体系的建设具体内容
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。
3.5曰常安全运维3.5.1安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。
3.5.4应急响应计划
通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失
3.6安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4安全规划分期建设路线
信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1主要的工作内容
根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分,网络结构的改造。
2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。
3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。
4.2分期建设规划
4_2.1达标阶段(2015-2017)
1.等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别(一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过(2级3级系统)
7.安全服务:建立定期模式
8.渗透性测试服务(外部+内部)
9.安全加固服务,建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程,建设安全运维管理平台
14.定期安全演练与培训
4.2.2持续改进阶段(2018〜2019)
1.等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4.深度安全服务
5.有针对性安全演练,协调改进管理与技术措施
6.源代码安全审计服务(新上线业务)
7.信息安全管理
8.持续改进运维与应急流程与制度,提高应急反应能力
9.提高运维效率,开拓运维增值模式
5结東语
随着企业信息化程度的不断提高,采用IP技术构建覆盖全国的、技术先进、功能齐全、面向企业内部应用提供服务的综合数据通信网(DCN网),逐步成为企业应用趋势。
目前,省内DCN网络的应用主要包括长途网管系统、七号信令系统、电路调度系统、传输综合网管、本地网管系统、168系统、九七系统、智能网记费、资源管理系统、客服系统、联机计费采集系统、IP综合网管系统、交换接入网综合网管系统、新九七系统等。而随着信息化系统整合,Internet和合作伙伴等也会接入到网络中,随着DCN网络信息资产价值的提高,其重要性和安全问题日益显现出来。整体而言,DCN网络正面临着恶意软件攻击、内部员工误用、黑客入侵破坏等安全威胁,要建立安全的DCN网,必须满足一些前提条件。
安全需求具有明显特点
DCN网络分为两层结构:省干核心层和地市汇聚层。全省共设置了1个省中心节点、若干个地市中心节点。
DCN网络存在的安全问题主要集中在以下几个方面:组网方式随意性很强;网络区域之间边界不清晰,互通控制管理难度大、效果差,攻击容易扩散;安全防护手段部署原则不明确,已有设备也没有很好地发挥作用;网络资源比较分散,关键数据分散管理,部分通信资源无法共享;扩展性差,网络层次不清晰,会导致扩展性问题;非均匀的网络分布。
作为内部支撑业务的“数据通信网”,DCN网络与其他网络的安全需求相比存在着明显的特点。
可用性,可控性需求。作为内部承载网络,DCN网络的可用性需求是最重要的安全需求,由于DCN网络的特点,公共网络那种以扩大资源(带宽、设备处理能力)为主的处理方式很明显不适合DCN网络的具体情况。例如,病毒泛滥,蠕虫传播的情况,由于端接入点不可控,采取很具体的控制手段往往是通过增加资源首先保证可用的方式来解决。但对于DCN网络,由于全网所有节点都在可控范围内,可以方便地采用技术手段和管理手段实现更精细,更有效的可用性管理。
可操作性需求。DCN网络覆盖面广,承载业务系统繁多,情况千差万别,要搞好这个系统的安全建设工作,可操作性是目前需要考虑的一个重要问题,没有可操作性,任何建设方案,建设思路都将流于形式。
面临三大安全威胁
DCN网络中的主要威胁除了物理攻击破坏外,主要包括恶意软件攻击、内部员工误用、黑客入侵破坏等三大类,具体描述如下。
1. 物理攻击和破坏
物理攻击和破坏主要针对DCN的基础平台而言,对基础平台内重要的网络设备、通信链路进行的攻击和破坏,威胁的形式表现为物理临近攻击。威胁的主体包括DCN内部和外部的破坏者,破坏网络设备使之无法正常提供服务;侵占网络链路资源,使DCN网络有限的带宽资源被无目的地浪费等。
2.病毒、蠕虫和恶意代码
这种威胁主要针对DCN的应用。随着计算机技术的发展和网络互联范围的扩大,计算机病毒制造技术也在不断地翻新和发展,传播方式也有了很大的变化。病毒的发作具有高发性、变异性、破坏力强等特点,在短短的时间内可以迅速传播、蔓延,导致计算机网络瘫痪,造成DCN网重要数据的丢失。
与此同时,还出现了许多具有攻击性的黑客程序和其他破坏程序。这些有害的程序都是利用计算机网络的技术进行传播和破坏,使传统的病毒防范技术难以防范,大规模蠕虫病毒对网络资源造成很大的侵占,使系统无法正常支撑业务的运作,严重的将导致整个系统的崩溃。
防范的主要目标是:能够掌握DCN网络、数据中心的资产信息和运行状态,每月提供全省病毒攻击相关安全事件统计数据报告;能够对省属DCN网络、信息系统的漏洞和威胁进行评估,明确当前省属DCN网络和信息系统存在的风险和被病毒攻击的可能性,并及时做好加固工作;能够对省属DCN关键节点网络流量进行监控,对病毒等造成的流量异常进行及时响应,快速定位并隔离病毒源头;能够通过对网络设备和安全设备的日志和告警事件的关联分析,在病毒爆发初期快速定位并隔离病毒源头;能够在接收到安全通告12小时内向各地市安全通告;在病毒爆发时,能够快速定位接入局域网接入位置,提高安全响应时间。
3.垃圾邮件
电子邮件的兴起,实现了方便的信息交互和沟通,也为各种攻击提供了新的传播手段。典型的基于电子邮件的攻击就是垃圾邮件,这些垃圾邮件利用邮箱内的地址簿,自我进行复制和传播,从而在网络内形成大量的邮件风暴,而阻碍了正常邮件的发送,甚至引起网络阻塞,影响其他正常业务数据的交互。
4.内部员工误用、滥用和误操作
内部员工在使用计算机过程中的一些不当行为,很容易使DCN网遭到外来的攻击和破坏。比如,下载一些带有病毒的文件,造成病毒的传播;对业务系统进行误操作,造成业务系统宕机;被植入木马,从而形成跳板去攻击DCN其他网络资源;对数据滥用,造成重要的信息外泄,使重要机密数据被窃取。
一般地,内部员工误用、滥用资源和对设备的误操作,无论是无意的还是有意的,都将给攻击者可乘之机。这种行为会给DCN网带来一些明显的后果:DCN网机密泄漏和关键数据丢失;误操作导致计算机系统瘫痪、影响业务正常运行;误用和滥用导致业务的不稳定、被攻击的可能性增大。
针对此类行为的关键策略是采取集中认证和访问控制、行为审计等措施进行防范,能够建立省中心网络集中认证授权(AAA)管理系统,统一用户的账号口令管理、统一认证,并能够对关键网络设备的访问和操作进行审计等。
5.蓄意破坏
指一些有组织、有预谋的破坏行为。包括采取物理临近攻击,进入DCN网络而获得商业秘密,使机密数据被窃取;针对DCN网络重要网络设备、重要业务服务器进行暴力攻击,影响关键业务的持续运行;针对DCN网络对外提供服务的设备进行拒绝服务攻击,中断其正常服务的提供,对业务的正常开展造成威胁等。
可以采取的措施主要包括:能够在省属DCN关键链路和关键节点有相应冗余措施;能够对省属关键网络设备的访问和操作进行审计;出现安全事件和故障能够快速定位。
6.黑客攻击和非法入侵
指外部黑客对DCN网络进行的强制攻击行为,攻击者往往利用DCN网络的弱点,获取访问权限,并利用访问权限获得对DCN信息资产的控制,从而进行进一步的攻击行为,破坏系统的机密性、完整性和可用性,造成系统的崩溃。
防范攻击的目标为:掌握DCN网络、数据中心的资产信息和运行状态,提供遭受入侵攻击和安全事件相关统计数据报告;对DCN资产的漏洞和威胁进行评估,明确当前DCN存在的风险和被攻击的可能性,并及时做好加固工作;对省公司与集团总部数据中心接口、Internet 出入口处、合作伙伴接入点进行监控,对内部黑客攻击和非常入侵等造成的流量异常进行及时响应,能够快速定位攻击源,及时切断攻击行为;对网络的攻击行为进行记录和审计;能获得最新的漏洞报告,并能在全网。
满足三大前提条件
保证网络安全必须有一定的前提条件,主要包括边界整合和安全域划分、出口规划及控制、业务层面的隔离三个方面。
1. 边界整合和安全域划分
DCN网的边界包括外部边界和内部系统之间的边界。外部边界包括与Internet的接口、上下区域之间的接口,内部边界是指各业务系统之间的边界。
在省层面,与外界的接口原则上由省的统一节点管理,并设置严格的安全控制策略。所有对外接口原则上设置在省公司,在地市公司层面,和其他网络没有连接。在CE层实现MPLS VPN控制。在PE层实现Internet的出入口,在业务网的互联区采用边界防火墙进行隔离。
2.DCN网的Internet出口规划及控制
DCN网络根据业务发展的需要应该进行Internet接口的整合,统一DCN网的互联网出口。在确定Internet接入的情况下,在Internet接口处部署防火墙设备。
而在Internet出口处部署防火墙必须能够做到:采用状态检测的机制实现;对常见应用采用机制,防止反向连接的木马攻击程序;防火墙本身应能实现HA和Load Balance;在DCN网接入Internet接口处,除了采用防火墙这种通用的、常见的措施外,还应采用IPS(入侵防御)技术/产品和防火墙配合使用。
3.DCN承载业务层面的隔离措施
BSS、OSS和MSS在纵向(集团-省公司-地市公司)、跨DCN骨干网的传输上采用MPLS VPN方式针对不同业务系统进行封包,确保在不同的VPN通道中传输不同业务系统。
如果BSS、OSS和MSS系统在横向上同处一个本地网中,则采用路由控制配合其他安全方式来进行安全防护。
4.VPN实现隔离
各地市节点的路由器用作PE(即SPE),组成一个逻辑PE节点(HoPE)。在DCN网络上形成多个这样的逻辑PE,逻辑PE之间通过MP-BGP协议交换VPN路由信息,省中心两台核心路由器设置VPN路由反射器(VRR)。逻辑PE内部,SPE和UPE之间运行扩展的MP-BGP协议,交换本地VPN路由信息。
5.业务系统互访
实现子系统之间受控互访,可以有两种方式:利用BGP MPLS VPN提供了extranet VPN的方式,可以方便地控制不同VPN之间的互访,而且互访受到严格的控制;利用VPN内部的路由器(或者防火墙)做地址过滤、报文过滤等。
完善安全建设思路
针对前面分析的DCN网中主要的三种威胁和三类前提条件,DCN安全建设的主要思路应具体包括以下几个方面。
1. DCN网关键资产保护
DCN网的关键资产就是网络设备(包括交换机、路由器等)和主机系统,为了提供对关键资产的安全保障,目前最有效和安全性最高的就是采用安全加固措施,对重要资产进行安全评估后,进行技术性的加固,才能很好地将数据库安全保障达到最可靠的安全等级。
2.防火墙产品部署
在各个通向其它系统或区域的链路上通过防火墙实现边界保护,控制各个区域间的访问和信息流。防火墙根据实际业务情况依据“一切未明确允许的访问都禁止”的原则详细配置访问策略,只允许授权地址访问,过滤两个区域之间的通信量和堵塞未授权访问。
3.IDS产品部署
采用分级部署方式,在省和地市两级分别部署入侵检测探测器和控制台,实现分级分权的监控和管理。
4.漏洞扫描产品部署
采用分级部署方式,在省公司和地市两级部署无IP地址限制的漏洞扫描设备,实现多级的漏洞扫描,以达到了解整个DCN省网的安全现状。
省网方面,考虑到DCN省网范围需要检测的设备较多,使用一台无IP限制的设备。在省网管中心建立一级远程评估中心,负责DCN省网的脆弱性分析和汇总各个地市的评估数据;地市网方面,则由于各个地市的信息系统规模情况不太一致,在规模较大的地市公司网使用无检测IP限制的设备,与省网形成多级部署。在规模较大地市公司建立二级远程评估中心,负责DCN地市网络的脆弱性评估分析和上报工作
通过IDS产品与漏洞扫描产品的联动操作,可以有效地针对保护资产的脆弱性进行安全防护。
5.防DoS攻击产品部署
在DCN省网骨干和各重要业务系统中采用不同的部署方式,从不同方面进行保护。在骨干网采用旁路流量牵引方式进行部署,主要作用是滤除大部分的攻击流量,减少骨干网络带宽占用,避免网络阻塞,针对于流量型DoS攻击。同时在对外提供服务的重要业务系统出口处串接部署,主要作用是保护内部业务系统完全免受攻击,彻底防御各个层次的DoS,针对于协议缺陷型DoS攻击。
6.流量分析产品部署
通过流量分析产品的部署,能够对整体DCN网络的安全趋势进行预测与跟踪,并针对全网范围内的实时统计数据进行安全方面的数据挖掘,从而有效地对DCN网络的运行情况和安全状况进行监测。在发生网络运行或安全事件时,根据产品内置策略或者管理员指定的方法,第一时间内自动告警,进一步协助管理员分析问题的影响范围。
7.双因素认证、防病毒、补丁管理部署
静态口令存在很多缺陷,容易被人猜测或通过交际工程学等途径获取,输入口令时容易被人窥视和被很多工具破解,通过实施双因素认证,增加第二个物理认证因素,从而使认证的确定性按指数级递增,提升资源保护的安全级别,可防止机密数据、内部应用等重要资源被非法访问。
由于在网络环境下计算机病毒有不可估量的威胁性和破坏力,特别是对于Windows操作系统,比较容易感染病毒,因此病毒的防范也是信息系统安全建设中应该考虑的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术。
在省中心,可以采用一台或多台服务器,安装相应软件后,作为双因素认证服务器、防病毒服务器、补丁管理服务器,实现相应的安全功能,提高DCN网安全性。
建立安全管理中心
对于安全建设而言,主要包括安全组织、安全技术、安全运作、安全策略等方面,单从安全技术而言,太少的安全设备和太多的安全设备一样存在着比较大的问题,特别是安全设备布放多的情况下,产生了大量的告警,使网络变得非常复杂,同时也会使管理人员无所适从。具体框架如图所示。从长远来看,SOC中心的建设成为安全建设的主要发展方向,从而使企业的网络管理向网管中心和安全中心的双中心方向发展。
在安全建设过程中,通常采用不同厂商的安全产品和方案,并引入了相当多异构的安全技术。而来源于防火墙、入侵检测、防病毒等安全设备的事件随着网络的发展,在一个中等规模的网络上就可以形成海量安全事件,这些事件中又存在非常多的误报和重复现象,技术人员在维护网络系统时,不能清楚了解网络系统当前的隐患和状态,分别处理了大量信息工作却效果有限。
【关键词】智能时代;云计算;安全架构
一、前言
当今世界,新一轮的科技革命和产业变革正在持续深入,工业互联网、智能制造、人工智能、大数据、物联网等领域正在加速布局,“智能时代”企业信息系统最显著的变化是虚拟化、数字化一切、软件定义,促使企业信息化的不断发展,公司信息化资产数量日趋增多、系统的关联性和复杂度不断增强,使企业信息安全形势日益严峻,信息安全防护工作面临前所未有的困难和挑战。为了更好监控和保障信息系统运行,及时识别和防范安全风险,同时满足国家和行业监管要求,保证信息安全管理工作的依法合规,企业亟需建立一个全数据、集中管理的企业安全平台,做到事前预警、事中监控、事后分析以及响应,全面的提升信息安全管理与防护水平。
二、智能时代的变化趋势
我们正处在一个变革的时刻,“智能”是这个时代最显著的标志。在今年春天首届世界智能大会上马云提出,智能时代有三个最主要的要素:互联网、大数据、云计算;李彦宏也指出,未来30年推动社会进步的动力,就是智能科技的进步;浪潮董事长孙丕恕表示,智能从实现形式上就是要通过物联网、互联网将企业生产数据、互联网数据和企业自身的管理数据全部打通,实现无边界信息流和大数据分析。由此看来,一个企业走向智能化首先要完成业务在线化和流程服务软件化,然后完成应用软件的SaaS(Software-as-a-Service)化,从而助企业实现智能生产、智能维护、智慧服务。1.安全技术的变化基于云计算、虚拟化、大数据、智能制造、移动办公的持续推进,都是基于企业信息基础架构所实施的,开放式计算环境和更灵活的支持架构,要求安全技术随之匹配发展,才能适应新环境,新技术下的安全需求。中国工程院倪光南院士在《云安全的思考》主题演讲中指出,云安全一定会呈现出多维度、多层次、跨领域、多学科技术交叉等方面的特征。对于云计算的安全保护,需要一个完备体系,从技术、监管、法律三个层面上,形成可感知、可预防的智能云安全体系。2.企业智能架构从应用架构上看,未来的应用都是角色化、场景化的,可连接互联网资源,全员应用,实现移动化和智能化。虚拟化、数字化一切、软件定义促使企业信息架构的变革,以业务为导向和驱动,在企业管理、集成等方向上提供基础共性平台,为企业快速构建和集成应用软件提供基础支持,从而实现工程经验模块化、产品实际协同化、项目流程一体化结构,实现由统一业务层、统一界面构架层、应用系统层、统一工作台面、大数据分析、云计算层组成的一种新模式。在企业IT系统的业务基础机构层面,引入先进的统一软件平台,为上层应用开发提供统一标准,接口和规范,同时基于“平台+组件”的架构实现各类应用的组合和复用,助企业实现数字化转型。3.云架构在人工智能一日千里的时代,云计算已成为产业革新的原动力、新型管理的主平台、人工智能的强载体。在新的云时代,整个社会都在发生数字化的迭代。云成为数字化最重要的基础架构。腾讯董事局主席兼首席执行官马化腾指出:“用云量将成为一个重要的经济指标,能够衡量一个行业数字经济发展程度。”他还表示:“传统企业的未来就是在云端用人工智能处理大数据。”“云+AI”是当前最主流的方向,其核心包括三项核心能力(计算机视觉、智能语音识别、自然语言处理)。在计算机视觉领域实现开放OCR识别、人脸核身、图片处理等多项智能云服务;在智能语音识别领域实现语音转文字、语音合成、声纹识别、情绪识别等功能;在自然语言处理领域,以“数据+算法+系统”为核心,提供毫秒级响应的个性化服务。
三、企业信息安全措施
VMware首席执行官帕特•基辛格表示:“抵御安全攻击,响应速度不是核心,而是如何将支离破碎的安全保护进行更有效的整合,实现安全架构的简化,这才是企业安全转型的关键。”安全技术在智能时代必须跟上发展的变化,“智慧安全”的理念正在深入,着力点从网络系统安全、数据安全深入到业务应用安全等各个层面,AI防火墙、态势感知平台、云安全产品、企业移动化信息安全管理平台、智慧眼监控雷达、业务应用安全审计平台成为保护企业信息安全的前沿技术。1.企业数据的安全阿里巴巴董事局主席马云说:“数据是新能源。”随着数据量的持续增长,应用数量不断增加,数据将成为社会创新的重要驱动力。随着“网络强国战略”、“互联网+”行动计划、大数据战略的推进,网络安全风险和威胁也进入到企业:非对称的业务流量、定制化的应用程序、需要被路由到计算层之外并达到数据中心周边的高流量数据、跨多个虚拟化应用,以及地理上分散的移动应用,都造成数据泄露的机会,随着中央网络安全和信息化领导小组的成立,信息安全已上升到国家安全层面。因此数据保护十分重要,最好的选择是本源的防护,既做到保护数据本源的同时,又能灵活应对各种安全环境的需求。而符合这种要求的安全技术就是基于专业的安全分析模型和大数据管理工具,可准确、高效地感知整个网络的安全状态以及变化趋势,通过企业本地部署安全大数据分析平台,打通云端情报与本地设备的联动,形成情报触发预警,预警触发防护的闭环。对外部的攻击与危害行为可以及时的发现,并采取相应的响应措施,保障企业信息系统安全。2.企业网络安全2016年,在“4.19讲话”中再一次强调网络安全建设的重要性,并提出:“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力,要加快网络立法进程,完善依法监管措施,化解网络风险。此外根据网络安全法相关规定,我们也可以看出,网络安全法在原有信息系统安全等级保护制度的基础上,创新了网络安全等级保护的工作方法,企业的信息安全建设需在原有信息系统安全等级保护制度建设的基础上,将新技术新应用带来的重要信息系统建设诸如云计算、移动互联、物联网、工业控制、大数据等领域的国家关键信息基础设施建设都纳入国家安全等级保护制度进行管理,将风险评估、安全监测、通报预警、应急演练、灾难备份、自主可控等重点措施也纳入了国家网络安全等级保护制度的管理范畴。企业紧跟网络技术的发展,以“智慧安全2.0战略”为指导,将“智慧安全”的核心从网络系统安全、数据安全深入到业务应用安全等各个层面。现在已可以采用AI、机器学习、行为分析等技术手段进行动态分析、静态分析、异常检测、深度解析等手段,更有效地防范未知威胁。3.物联网安全预计到2021年,全球将有超过460亿台设备,传感器和执行器连接在一起,更广阔,更强大和更稳定的物联网时代即将到来,并且最终将给企业带来全新业务方式。物联网(IoT)为企业创新提供了广阔的前景。企业通过监控、分析收集来的数据量,来确保业务的正常发展。其中数据大都是从传感器、应用、门禁系统、配电单元、UPS、发电机和太阳能电池板产生的数据,但随着这些应用的增长,物联网带给企业的安全风险也很大。要应对物联网的安全挑战,企业应从智能设备的离线安全、入网安全、在线安全等维度进行整体安全检测与防护,在云端接入大数据感知威胁和安全态势分析平台,获取威胁情报;在本地端通过减少威胁“检测时间(TTD)”,即减少发生威胁到发现威胁的时间差,缩短检测时间,可有效限制攻击者的操作空间,和最大限度减少损失。①及时更新基础设施和应用,让攻击者无法利用公开的漏洞;②利用集成防御对抗复杂性,采取平衡防御与主动应对的安全控制;③密切监控网络流量(这在网络流量模式可预测性非常高的IoT环境中非常重要);④追踪物联网设备如何接触网络并与其他设备进行交互(例如,如果物联网设备正在扫描其他设备,则可能是表示恶意活动的红色警报)。
四、结论
神州控股董事局主席郭为对未来的预测时说:“云计算将成为未来主流IT运算模式,大数据会成为最重要核心资源;自上而下的创新将是智能时代推动社会进步的主流方式,借助云计算、大数据这两项关键技术实现互联网化、协同化和智能化。”智能是我们这个时代的标志,对于企业信息化来说,它的路很长,首先要完成核心业务在线化和所有的业务流程服务软件化,然后完成应用软件的SaaS(Soft-as-a-Service)化,当企业的核心业务完全建立在互联网上,并有软件SaaS平台驱动,企业才能够向智能化方向演进——低成本积累大数据,并通过数据分析进行商业决策,最终向实时数据分析、实时智能商业决策演进。由此,企业信息智能化任重道远,从现在开始制定适当的安全策略,以此加快IT新趋势的适应能力,在不断采用新技术的过程中建立适合企业的安全管理系统,做到覆盖企业安全运维的所有场景,监视安全威胁,预测安全风险。
参考文献
[1]维克多•迈克热•舍恩伯格.大数据时代:生活、工作与思维的大变革[M].浙江人民出版社.
21世纪,随着计算机和网络通讯技术的变革,数字图书馆的理论与技术迅猛发展,并成为现代图书馆的发展方向。在知识经济时代,信息技术迅速全面地渗入到知识活动的全过程,触发知识的生产、加工、传播、使用等各个环节的深刻变革。数字图书馆的工作重点,正在逐渐向知识传递、知识创新转变,工作定位也从信息管理转变到知识管理,图书馆员也要求向学者化、知识化方向发展。当前,国内外许多学者对数字图书馆的内涵、主要内容、实现机制等方面进行了大量的探讨,取得了不少研究成果。
⒈高职院校数字化图书馆的发展现状
高职院校文献信息资源与重点高校相比累积的就少,特别是它的文献信息典藏和管理要落后于普通本科院校图书馆的整体发展水平。具体情况体现在:
1)文献信息资源储备少,服务得不到满足。目前各个高职院校都有自己的专业设置和相应的人才培养方案,根据这些需求开发馆藏资源,文献资源服务不仅要满足教学方面的需求,而且对于学院的科研工作也应该起到补充辅助作用,图书馆建设的基本方向是社会需求和专业建设需求, 较强的专业性和职业性是绝大多数文献的特点,文献的职业性表现得突出,注重实用性。
2)经费普遍紧张,影响资源到位。我国高职院校目前办学经费大都比较紧张。受到人力、财力等多种因素的限制,图书馆收集的各类文献信息资源也相对有限。教师从事教学、科研所需的较高层次的参考资料特别少。学生在学习过程中,对文献资料、参考信息的需求上也明显要低于普通本科院校。
3)办馆理念定位不高,影响效益到位。高职院校图书馆除了发展资金不足外,还受到体制和服务观念的影响,存在管理水平落后,人员素质偏低等多种缺陷,极大限制了高职院校图书馆的自身建设和可持续发展。
⒉知识库建设
以山东电子职业技术学院为例,该学院图书馆舍总面积10000 平方米,馆藏总量80万余册(其中电子资源30万余册)。馆藏文献分别按学科类别,文献类别和使用要求收藏。1999年开始使用大连博菲特文献管理软件系统,实现了图书馆采访、编目、流通阅览的计算机自动化管理。2004年转为使用深圳ILASII图书管理系统。现设有系统服务器2台,WEB服务器1台,采编、流通借还、期刊等业务处理实现了办公自动化和读者服务网络化。
学院教师一般围绕教学专业课程进行借阅,对所借的图书要求高,大都要求图书馆的专业书籍能够满足其教学参考的要求。学校的学生大都是高考落榜生,对专业的学习兴趣不大,大都偏向于休闲娱乐的书籍,只有部分学生在参加英语和计算机等级考试前,他们才借阅与专业课和考试复习有关的书籍。有一部分学生也会准备研究生入学考试,临毕业前,图书馆的借阅量明显下降。学校行政后勤工作人员主要借阅与其工作性质相关的图书资料,如政治、行政管理及教育管理相关的图书。因此图书馆馆藏资料重点加强教学科研急需的、具有各专业特性、能够取得显著社会效益和经济效益的数据库。
⒊建立数字化图书馆的具体措施
3.1人力资源建设
建设好图书馆,为读者提供高质量的服务,真正实现高校数字图书馆的职能,关键取决于馆员队伍的素质。图书馆专业化人才应当具备图书情报学知识,又要熟练掌握计算机等现代化信息技术,还要有丰富的专业文化知识。具体来看,应具备以下基本的知识和技能。
首先,馆员必须具备熟练的计算机网络技术与开发利用信息资源的能力,以便准确地为读者提供所需信息。还需要掌握其他相关知识技能。主要指公共关系学、管理学等与未来图书馆工作紧密相关的知识和技能。这些知识和技能的内容,随着社会发展和图书馆职能的扩大,其要求会越来越高。相关知识技能的培养和掌握对于专业化人才的成功将起促进作用。
其次,应精通专业知识。作为专业信息工作者,图书馆员应具备信息分类、组织与获取的技能。应精通某些学科的专业知识,达到专家水平并具备一定的学科预测能力,这样才能成为某一特定专业文献信息和相应专业读者之间的中介和纽带,为读者提供广、快、精、准的高质量服务。再次,要具备较强的分析能力,能够及时有效地提出最佳的服务方案。较强的分析能力是要求图书馆管理人员在搜索有关信息时,能够挖掘有价值的直接因素和间接因素,从多个角度对信息进行鉴别、归纳和总结,善于交流,并能独立地提出合理化建议,开展系统的咨询服务。最后,馆员必须具有高度的责任感和严谨细致的工作作风。从事任何一种职业都必须具有强烈的事业心和高度负责的精神。图书馆工作技术性和专业性都很强,复杂、细致而繁琐,稍不认真,就会造成失误。只有具有高度的责任心和严谨细致的工作作风,才能建立一个科学的工作秩序和良好的服务环境。
3.2 网络安全建设
系统和网络是构建数字图书馆的基础,没有系统和网络也就无从谈及数字图书馆。数字图书馆安全首先要谈的是数字图书馆系统及网络的安全。此方面包括设备安全、运行安全和网络安全。设备安全是指数字图书馆系统中的计算机、存储设备、网络设备、通信设备、安全设备等物理保证安全,防止人为和自然的损坏;运行安全是指服务器操作系统及数字图书馆软件运行安全性,防止系统运行软件故障,减少因软件故障导致的系统运行不稳定;网络安全是指服务器之间的协同和信息交换的安全,防止信息泄露,抵御黑客攻击。
首先增加 UPS,防止断电对数据的破坏。其次,使用虚拟网技术,划分不同网络安全区域。在数字图书馆网络中,利用虚拟网技术可实现对内部子网的物理隔离。再次,设置多层防火墙。在图书馆内部网与教育网和校园网之间使用防火墙。这样可以在一定程度上阻止互联网中的黑客攻击,保护图书馆内网的安全。在图书馆内部不同网络安全域间设置防火墙。最后,使用入侵监测系统,及早发现黑客入侵。入侵监测系统是一种比较新的软件系统,能够发现正在进行的攻击,并对攻击进行实时报警,并通过自动修改路由或防火墙的配置来抵制攻击;将复杂的日志文件进行分析,为网络安全管理人员提供有效的结果。