前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的公司网络安全管理方案主题范文,仅供参考,欢迎阅读并收藏。
1企业网络安全需求分析
1.1网络安全概念及特征
网络安全是指为防范网络攻击、侵入、干扰、破坏、窃用及其他意外事故所采取的各种必要措施,以确保信息完整、可用、无泄露,保持网络稳定、安全地运行。其主要特征是保证网络信息的完整性、可用性和机密性[2]。
1.2企业网络安全面临的主要问题
企业网络安全面临的问题归纳如下:(1)网络安全目标不明确。虽然《网络安全法》已于2017年6月1日起施行,但企业对网络安全的重要性依然认识不足,缺乏网络安全规划,没有明确的网络安全目标[3]。(2)网络安全意识不足。从企业的决策者到普通员工并没有充分意识到网络安全的重要性,企业网络安全存在很大隐患。(3)网络安全设施不健全。无论大型企业,还是中小企业,都存在网络安全基础设施投入不足的问题,以致设施陈旧、不完整,面对外部攻击和各种漏洞很容易发生信息丢失、泄露、窃用等现象。(4)缺乏完整的网络安全解决方案。企业网络安全防护呈现碎片化、分散化等特点[4],缺乏系统性、协同性、灵活性,面对万物互联和更高级的威胁,传统防护手段捉襟见肘、防不胜防[5]。
1.3企业网络安全需求
企业因网络安全需要而产生的要求即为企业网络安全需求,这是由企业内部网络因素与外部网络形势共同决定的,内外都不会一成不变,所以企业网络安全需求是一个动态过程,具有时效性。基于此,要准确把握企业网络安全需求,必须对企业网络安全现状进行调查分析,一般而言,企业网络安全主要包括内网安全、边界安全及文件传输安全等方面[6],具体体现在以下几个方面:(1)网络安全策略需求。安全策略的有效性、完整性和实用性是企业网络安全的一个重要需求。目前的企业网络安全策略文档过于简单,而且没有形成完整的体系,对企业网络安全的指导性不足。(2)网络安全组织需求。企业应建立结构完整、职能清晰的网络安全组织机构,负责企业网络安全策略制定、网络安全培训、网络安全运行管理等。(3)网络安全运行管理需求。企业应建立科学高效的运行管理体系,采用实用的运行管理方法,对服务器安全、网络访问可控性、网络监控等进行管理。
2企业网络安全解决方案
2.1企业网络安全方案设计原则
网络安全方案的设计原则旨在指导企业科学合理地设计网络安全方案,避免失于偏颇和“词不达意”,设计原则可以有很多,笔者认为最重要的原则如下:(1)多重防护原则。突破单一防护机制要比突破多重防护机制容易得多。(2)简单适用原则。过于复杂的方案漏洞多,本身就不安全。(3)系统性原则。企业网络安全面对的威胁是多方面的,只专注于一点无法保障网络安全。(4)需求、风险与代价平衡原则。没有任何方案可以做到绝对安全,追求过高的安全性要付出巨大代价,所以要学会取舍,平衡风险与代价。(5)可维护性原则。没有任何系统可以做到无懈可击,要做到能随时调整、升级、扩充。(6)技术与管理相结合原则。在改善安全技术的同时也要加强管理,减少管理漏洞,对于复杂的安全形势,要多做预案,提前防范突发事件。
2.2企业网络安全解决方案
2.2.1网络分域防护方案网络分域防护的原则是落实安全域的防护策略、制定访问控制策略、检查网络边界、分级防护等。从企业网络安全需求及特点出发,将网络组织架构从逻辑上分为互联网域、服务区域、外联域和内网核心区域,如图1所示。互联网域接入互联网服务,服务区域即企业服务器放置区域,外联域接入分公司区域,内网核心区域是指企业内部网络互联的核心设备区域。如此划分的目的是保证具有相同防护需求的网络及系统处于同一安全子域内,便于各个安全子域内部署相应等级的防护策略。2.2.2部署安全网关方案在外网与内网之间设置安全网关(如图1所示),作为企业网络系统的物理屏障,以保护内网安全。安全网关不是单一的防火墙,而是综合了防病毒、入侵检测和防火墙的一体化安全设备。该设备运用统一威胁管理(unifiedthreatmanagement,UTM)概念,将多种安全特性的防护策略整合到统一的管理平台上,按需开启多种功能,其由硬件、软件、网络技术组成。UTM在硬件上可以采用X86、ASIC、NP架构中的一种,X86架构适于百兆网络,若是千兆网络应采用ASIC架构或NP架构。在升级、维护及开发周期方面,NP架构比ASIC架构更有优势。UTM软件上可以集成防病毒、入侵检测、内容过滤、防垃圾邮件、流量管理等多种功能,通过模式匹配实现特征库统一和效率提升。UTM管理结构基于管理分层、功能分级思想,包含集中管理与单机管理的双重管理机制,实现功能设置管理和数据分析能力。
2.2.3部署IPS与IDS方案IPS是入侵防御系统(intrusionpreventionsystem)的英文缩写,用于监视网络或网络设备上的数据传输,发现异常数据可以即时中断传输或进行隔离,先于攻击达成实现防护,与防火墙功能上互补,并支持串行接入模式,采用基于策略的防护方式,用户可以选择最适合策略达到最佳防护效果。IPS部署在服务区域与内网核心区域之间,或核心交换机与内部服务器之间(如图1所示),可实时监测外部数据向内部服务器的传输过程,发现入侵行为即报警、阻断,同时还能精确阻击SQL注入攻击。IDS是入侵检测系统(intrusiondetectionsystem)的英文缩写,能对网络数据传输实时监视,发现可疑报警或采取其他主动反应措施,属于监听设备,其安全策略包括异常入侵检测、误用入侵检测两种方式,可部署在核心交换机上,对进出内网与内部服务器的数据进行监测,如图1所示。
2.2.4部署漏洞扫描系统方案漏洞扫描是基于漏洞数据库,通过扫描检测远程系统或本地系统漏洞行为,与防火墙、IDS配合以提高网络安全性,扫描对象包括网络、主机和数据库。漏洞扫描运用的技术有主机在线扫描、端口扫描、操作系统识别、漏洞监测数据采集、智能端口识别、多重服务检测、系统渗透扫描等。漏洞扫描系统部署方式包括独立式部署和分布式部署。前者适于比较简单的网络结构,例如电子商务、中小企业等;后者适于复杂、分布点多、数据相对分散的网络结构,例如政府、电力行业、金融行业、电信运营商等。图1为采用独立式部署的漏洞扫描系统方案。
论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(SMIS)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(VLCC)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);网关采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交换机采用D-LINK DES-1024D快速以太网交换机(10/100M 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用AMOS MAIL或Rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软Windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。 转贴于
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义ISMS的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循PDCA的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7 总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
广州某医院拥有专业技术人员1100余人、床位850张、专业学科43个,现已发展成为集医疗、教学、科研、预防、保健、康复功能于一体的、面向海内外开放的综合性现代化医院。随着信息化的发展,该医院的医疗系统也进入了数字化和信息化时代,大型的数字化医疗设备、各种医院管理信息系统和医疗临床信息系统在医院中得到应用。数字化医疗建设,不但使医院的工作流程发生了变化,同时也对医院信息化建设提出了更高的要求。
目前,该医院已应用了HIS、EMR、LIS、PACS等信息系统,涵盖了医院日常工作流程,比如挂号、诊疗、化验、划价、收费等,同时也覆盖医院各个角落,如病房、药房、医疗设备等。随着电子病历、远程医疗的不断发展,病人在就医过程中的信息将越来越多地以数字化的方式保存在医院的医疗信息系统中。
如何保证这些医疗数据的安全性、有效性,是医院信息系统所面临的、不可回避的问题。
2011年底,该医院新大楼建成,华侨医院的信息网络改造项目也同步启动。这次改造不仅要提高网络与信息系统基础设施建设,而且还将信息系统安全建设纳入其中。该医院的信息安全主管人员清醒地认识到:医院信息系统的正常运行,不仅包含网络、主机设备的正常运行,还包括存储在医院应用系统中的各种数据的安全性和可靠性得到保障。
此前,该医院的信息系统已部署了防火墙、入侵检测系统和网络防病毒系统等安全产品。为了此次新大楼的网络安全改造建设,医院邀请产品供应商和业界优秀的公司共同探讨新信息系统的安全建设方案。该医院希望其安全建设方案能够实现以下功能:既要考虑现有系统的安全、有效运行,又要兼顾华侨医院未来五年的信息化发展。
作为该医院原有信息安全产品供应商,北京冠群金辰软件有限公司(简称冠群金辰)也参与了新信息系统的安全建设,并提出针对该医院的安全解决方案建议。
解决之道
冠群金辰认为,该医院现有信息安全系统中的防火墙、防毒墙、IDS和防病毒的防护架构可以保留,但随着医院新大楼投入使用,网络中的终端节点会增多,网络流量将大幅增长,所以,需要对现有防火墙、IDS等系统进行升级,提升现有防护系统的处理能力,以适应网络提速的要求,保障正常的网络业务运行;同时,针对网络中新增的客户端节点,继续部署防病毒系统和终端安全管理系统,以应对越来越复杂的终端安全防护问题。
针对目前医院网站服务器保护的安全盲点,冠群金辰提出了针对Web网站安全建议:使用专业的网站防护系统采用层次化的Web主动防护技术,对医院网站服务器进行有效防护。
实际上,冠群金辰为该医院提出的网络安全整体解决方案涵盖了从边界、网络到主机,多层次的纵深防御体系。该方案在边界通过防火墙、物理隔离设备将非法访问、病毒、入侵攻击等阻挡在网络外部。在网络层面,该解决方案对网络中的流量进行检测,查找正在发生或将要发生的网络攻击,并及时采取措施,比如报警、阻断、记录等。
对于网络安全中常见的病毒、信息泄露等安全威胁,该方案中的防病毒软件和终端安全管理系统为主机系统提供了基本的安全保障。
冠群金辰为此方案提供了KILL系列安全产品,即KILL防火墙、KILL入侵检测系统、KILL上网行为管理系统、KILL防毒墙、KILL网络防病毒系统、KILL终端安全管理系统和KILL Web安全网关,为该医院的网络构筑了一个多层次的安全防护体系。从网络访问控制、流量控制、入侵攻击、病毒查杀、终端准入和Web防护等方面,该方案对该医院的网络提供全面的安全保护。
关键词:网络、安全、VPN、加密技术、防火墙技术
1绪论
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。
2方案目标
本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求。
需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点:
1.采用多层防卫手段,将受到侵扰和破坏的概率降到最低;
2.提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;
3.提供恢复被破坏的数据和系统的手段,尽量降低损失;
4.提供查获侵入者的手段。
网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。
3安全需求
可用性:授权实体有权访问数据
机密性:信息不暴露给未授权实体或进程
完整性:保证数据不被未授权修改
可控性:控制授权范围内的信息流向及操作方式
可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
险分析
网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
5解决方案
5.1设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
1.大幅度地提高系统的安全性和保密性;
2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分步实施原则:分级管理分步实施。
5.2安全策略
针对上述分析,我们采取以下安全策略:
1.采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。超级秘书网
2.采用各种安全技术,构筑防御系统,主要有:
(1)防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
(2)NAT技术:隐藏内部网络信息。
(3)VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。
(4)网络加密技术(Ipsec):采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
(5)认证:提供基于身份的认证,并在各种认证机制中可选择使用。
(6)多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。
(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
3.实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。
4.建立分层管理和各级安全管理中心。
5.3防御系统
我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。
参考文献:
[1]雷震甲.网络工程师教程.[M].北京:清华大学出版社,2004
创业初期:把握机遇走自己的路
1995年,网络开始涉足中国市场,网络安全市场当时在国外也是一个新兴的市场,国内更是一片空白。北京天融信公司的前身――北京天融信技贸有限责任公司在中关村挂牌,成为中国首家网络安全公司。
1996年,随着网络安全产品市场需求量的增大,以及国家对信息网络安全要求的政策出台,国内鼓励厂商自主研发安全产品。天融信紧紧抓住并牢牢把握重要机遇,克服重重困难,推出了我国第一套自主版权的防火墙系统,并被应用于政府的首个网络安全项目、也是当时最大的安全项目――国家统计局600万元安全系统集成项目。就此,这家当时瞄准了防火墙市场的国内安全厂商,开始顺利踏上信息安全之路并进入国产网络安全产品厂商前列。
“我是在1997年11月,一个偶然的机会进入到北京天融信公司的,那时对防火墙还是一无所知,也没有想着在这个公司长远发展下去。因为我的专业是学金属材料专业――计算机模拟计算,只是因为对计算机行业的一点兴趣以及希望有新的机会,能将所从事的研究工作进行转型,便进入了天融信公司。”于海波简单地做了自我介绍。
据记者了解,天融信公司是属于当时将产品尽快推向市场并得到应用最好的企业之一。主要产品是防火墙,该防火墙于1996年6月研制成功,属我国第一套具有自主知识版权的防火墙系统,并通过国家安全部与电子工业部联合主持的技术鉴定,填补了国内空白。国务院信息办在1997年12月还曾将天融信防火墙列为重点安全项目向全国推广。“我当时进入网络安全行业可以说对网络安全的了解是一片空白。”于海波说,“1999年前,我国的信息安全产业基本处于萌芽状态,专业从事信息安全的国内厂商可谓凤毛麟角,防火墙厂商只有天融信等几家,防病毒厂商主要包括瑞星、江民等,用户基本上不知道什么是防火墙、甚至什么是信息安全,信息安全产品以单机版杀毒软件为主”。
可见,早在当年天融信决定进入网络安全行业时,天融信就在技术、研发方面走出了自己的路。随着国内信息安全市场的需求逐渐明确,防病毒、防火墙已经成为信息系统事实上的标准配置产品。防病毒、防火墙、IDS是我国信息安全市场的支柱型产品,入侵检测(IDS)和VPN的需求上升最快,物理隔离网闸、身份认证和安全管理平台的需求也有较大幅度提高。政府上网工程、网上审批工程、电子政务工程和12大“金”字工程的实施,将政府内部网、企业内网、电子商务网与Internet互联是必须的功能,因此防“黑客”入侵攻击是信息安全的重要任务,而内外网边界安全设备的防火墙更成了需求热点。由于市场对防火墙需求强劲,与此配套使用的其他安全类产品自然也“热”起来了,成为新的需求亮点。
成长期:重视渠道和创新,打造民族品牌
2001-2003年,是我国信息安全产业的成长期,国内的信息安全厂商与用户共同成长;主流厂商密切跟踪、学习,并逐步掌握国际最新技术;用户深入了解信息安全技术,国产品牌产品得到认可;多种信息安全产品面世,“联动”成为安全产品走向。
这期间,天融信公司根据各地不断增长的安全需求,也开始了地方分支机构的建设。于海波告诉记者,他曾于2001年初,被派到广州负责分公司建设。从最初的2个人发展到现在的50多人,从最初的几百万销售额发展到2003年的3000多万的销售额。
在整个信息安全产业方面,用户对信息安全的多样化需求、个性化需求,极大地促进了国内安全厂商的发展,同时也使国内厂商逐步掌握了国际最新技术。2000年,国外信息安全产品占据大部分市场份额,但由于是进口产品,不能在国内进行技术上的快速变更满足国内用户的需求,使得更多的用户转向使用国产安全产品。如天融信开发的NGFW3000有很多功能是根据国内用户的需求开发定制的。之后,2002年推出的NGFW4000,创新性地使用了会话检测技术,极大地提高了防火墙的性能以及过滤的内容深度。
随着诸多国内、国际信息安全厂商进入国内市场并加大投入力度以及政府的扶持,国产信息安全产品与品牌得到普遍认可,使国内网络安全市场规模快速增长,年复合增长率平均达到40%左右。到2003年,总体信息安全产品市场规模已经达到20亿人民币。同时从2000年至2003年,天融信公司连续四年市场份额均居国内安全厂商之首,同时还联合多家国内知名安全厂商,共同倡导推广TopSEC联动网络安全解决方案,为用户构造了一个以防火墙为中心的联动的集成防御体系。
2004年,虽然我国的信息安全产业继续快速发展,使国内用户的需求发生了变化,即“需求的整合”。主要表现在:企业的安全建设从“被动防御”向“主动防御”过渡,即企业从发现问题后再修补的“产品叠加型”防御方式向“以风险管理”为核心的主动防御过渡;安全产品从“孤立的产品形式”向“集中管理”过渡。
面对市场和用户需求的变化,天融信的对策首先是围绕“完全你的安全”,打造全线的网络安全产品、全程的专业安全服务和全面的安全解决方案。到目前为止,天融信已经拥有了网络卫士防火墙、网络卫士VPN、网络卫士入侵检测系统、网络卫士过滤网关、TOPSEC安全审计综合分析系统、网络卫士综合管理系统等6大系列近20多款安全产品与安全应用系统,可以充分满足不同用户的应用需求。
于海波认为,信息安全行业是个来不得半点虚假的行业,“水分太多”,一定程度上会误导用户。网络系统安全必须是整体的、动态的。用户可以通过选择优秀的产品和服务构建一个完整的解决方案,要使优秀产品、服务等环节形成整体的安全策略。另外,必须有统一的、动态的安全策略,一个相互联动的、高效的整体安全解决方案,于是天融信全力推出了以“完全你的安全”为基础的全网整体解决方案,从技术、管理、运行三个层面帮助用户搭建一个安全管理、监控、检测、加固、优化、审计、维护安全平台。
结语
关键词:计算机网络;网络安全;防御措施
一、计算机网络安全影响因素以及网络安全的特征
(一)计算机网络安全影响因素分析影响计算机网络安全性的因素多种多样。计算机运行过程中所产生的误操作而引起的安全隐患更是数不胜数。例如由于网络安全设置不科学存在漏洞,为及时对漏洞进行修复,或者是系统优化不及时等都会加剧安全问题的威胁。此外,在实践中,由于客户所接网络存在安全漏洞也是导致计算机网络安全问题产生的关键原因。例如,在使用的过程中,不可避免的需要使用到较多的软件,而这些软件则存在着大大小小的漏洞,如果在应用过程中,不法分子一旦利用这些软件漏洞,则客户的隐私信息极易被窃取。此外,计算机网络本身的不安全性,这也是网络安全问题产生的重要原因。影响计算机网络安全的因素也反映在人为攻击中,例如,黑客攻击引起的计算机网络不安全现象,攻击有主动和被动两种类型。各种形式的针对相应利益的攻击,信息盗窃和篡改信息等,都对计算机网络的安全性产生影响。这是主动攻击。被动攻击是在不影响网络正常运行的情况下篡改计算机信息以获得相应的好处。最常见的一种是信息泄漏。
(二)计算机网络安全的特征体现计算机网络安全具有鲜明的特点,主要体现在系统化方面。网络安全系统是确保计算机网络安全的重要基础,并且在不断变化的网络模式下不断更新和完善,网络安全的多元化特征也得到体现。计算机表现内容的多样性,可以确保在技术方向上完善网络安全性,系统中使用了更多的多模式系统和技术来应对这种多样化的特性。此外,计算机网络安全性的特征也从复杂性方面清楚地呈现出来,在计算机网络技术的不断发展过程中,客户端的种类繁多,易受外部因素的影响,威胁了计算机网络的安全,网络安全的复杂性进一步加深。
二、计算机网络安全管理的重要性和防御措施实施
(一)计算机网络安全管理的重要性计算机网络安全管理的发展有其实际需求,加强计算机网络安全管理可以确保信息的安全性和完整性。随着计算机系统的不断完善,计算机网络技术已在许多领域得到应用,并在大屯锡矿的生产、经营和生活中发挥了重要作用。确保计算机网络应用程序的安全性显得尤为重要。只有加强计算机网络安全管理水平,才能保证计算机网络的整体安全,并有助于提高计算机网络安全的整体管理质量水平。
(二)计算机网络安全防御措施实施我认为,计算机网络安全防御措施的实施应结合大屯锡矿的实际工作需要,可以从以下几点加强关注:第一,加强计算机网络的物理防御水平。在开展计算机网络安全防御工作时,必须更加注意物理层的防御。物理层的网络安全问题比较突出,在防御过程中,有必要加强中央机房的安全管理,确保各种硬件设备的安全,提高网络的整体安全水平。大屯锡矿的中央计算机室是大屯锡矿网络的核心,根据现有管理规定,计算机管理员应注意机房的通风和干燥,避免光照,采取适当的防火措施,并配置精密空调以调节室温、湿度,通过UPS调节电源。在物理层面上做好安全管理可以对提高计算机网络的信息安全起到积极作用。其次,STP生成树协议用于将交换机形成为环形网络。此操作可以避免LAN中的单点故障和网络环回,从而提高网络可用性。第二,加强计算机网络安全防护技术。从技术层面上防止计算机网络安全问题的发生更为重要,这也是解决网络安全问题的相对简单的方法。防火墙技术的使用在确保计算机网络应用程序的安全性方面起着重要作用,该技术的应用可以在内部和外部网络之间建立安全网关,从而可以帮助监视网络数据信息,通信量和数据源的传输,实施记录以帮助确保网络信息安全。第三,加强AD域的管理工作。大屯锡矿作为云锡股份公司的二级单位,严格遵守公司的计算机加域管理,认真做好加域计算机各项基本信息的采集,做好相应的台账,对所有加入AD域的计算机安全集中管理,统一安全策略。第四,在日常的工作中,对相关人员进行培训,要求相关人员不得将与机密信息相关的办公自动化设备连接到Internet或其他公共信息网络,不得在机密计算机上安装从外网中下载的软件,不得在机密计算机上使用无线网卡,鼠标,键盘和其他无线设备,并且不要卸载未经授权的安全计算机防病毒软件,主机监视或审核软件等,不得使用非机密的办公室自动化设备来处理机密信息,并且打印机、扫描仪和其他涉密计算机间不使用无线连接。第五,加强网络安全的宣传力度。2019年国家网络安全宣传周的主题是“网络安全为人民,网络安全靠人民”,我作为一名大屯锡矿的计算机管理员,应该对每一名职工做好网络安全的宣传工作,网络并非法外之地,我们要从自己做起,从点滴做起。
三、结语
总之,在计算机网络的实际应用过程中,会受到很多因素的影响,从而导致计算机网络的不安全。这就需要相应的网络安全管理工作,及时有效地应对计算机网络安全问题,并提高计算机网络安全的使用率。只有加强这些基本层别的安全性,我们才能确保计算机网络安全防御的有效性。
参考文献
[1]刘镝,张尼,王笑帝.“沃互联”统一认证方案研究与应用[J].信息通信技术,2016(6):25.
[2]刘瑞红,王利勤.计算机网络安全面临的桎梏及应对策略[J].电脑编程技巧与维护,2016(20):94.
1IMS就是一种融合通信系统体系,其需要进行SIP的应用
从而进行会话对象的提供,这就离不开IMS方案的应用,进行控制策略及其承载策略的更新。这需要保证IMS终端不同应用策略的更新,实现分组域核心网体系的健全,保证核心业务的控制,提升其应用效益。IMS技术的应用更有利于进行网络安全性的提升,并且其具备简单性、灵活性、标准开放性,能够进行网络的有效接入。IMS技术的应用,能够为多媒体业务数据的开展,提供良好的应用平台,从而满足运营商的工作需要,而不是仅仅进行接入技术的应用,其具备良好的集中式架构,是一种具备良好运营效益的商业模式。
2在实际工作中,为了解决通信系统的问题
我们必须防备来自各个方面的安全威胁,针对网络协议的基本模式及其系统弱点进行分析。在实际过程中,攻击者的目标大多是网络的弱点。针对网络及其系统弱点的利用,从而进行敏感数据的操作,进行网络服务的滥用。目前来说,影响IMS网络正常运行的因素是非常多的,比如没有经过授权或者操纵进行的服务。攻击者会通过窃听、伪装、流量分析等进行敏感信息数据的获取或者操纵。这里面也涉及到完整性的威胁,就是攻击者对系统接口的数据进行修改,进行插入、重放或者删除等操纵,进行用户合法权益的侵犯。从而不利于其网络服务的正常开展。于是就出现人为干扰用户传输、控制数据等的情况,导致合法用户无法进行服务的使用。或者滥用特权进行未授权服务的应用。所谓的服务否认,就是用户及其网络不承认曾经发生过的操作。
二、IMS网络安全机制方案的优化
1IMS安全体系的应用,更有利于进行安全威胁的预防。
这里面涉及到一整套的IMS网络安全策略的应用,这需要保证IMS安全体系的健全,保证UE网及其网络应用环节的协调,这涉及到的应用原则是非常多的,其涉及到了接入及其核心网络的安全机制应用。针对其接入的环节,我们需要做好安全及其身份的认证,从而提升其安全机制效益。这就需要进行IMS安全机制的双向认证分析,满足现阶段工作的要求,这涉及到安全联盟的相关英语工作,进行安全保护的提供。目前来说,2G系统存在的安全缺陷是非常多的,比如核心网缺乏标准化的安全解决方案。3G系统着力于进行核心网的IP业务的保护。IMS在核心网的应用中,进行了网络域安全概念的引进。网络域安全是由单个机构所进行管理的网络,在同一安全领域内进行相同安全级别的应用,并且保证其特定安全服务的享有,其需要进行服务的安全性、数据完整性的保证,从而进行重放攻击的防止,满足密码安全机制的应用需要,实现协议安全机制的应用需要。通过对网络域内部实体及其网络域的协调,保证安全性的保护。
2通过对现有IMS安全标准体系的优化
可以保证其解决方案的完善,这涉及到网络及其客户的双向身份认证模式,进行机密性的保护,保证完整性保护方案的应用,进行逐跳安全模式的应用,保证网络实体的通信单独保护,满足运营商的工作要求。这也涉及到A-IMS技术的操作,为了解决实际工作的问题,必须针对其缺点进行分析,从而满足IP网络系统的工作要求,从根本上来说,IP网络自身存在脆弱性,这就导致IMS网络应用过程中的麻烦,导致其网络架构、协议管理等问题的出现。通过对CSCF实体攻击模式的应用,更有利于满足现阶段的工作需要。IP网络会频繁进行拒绝服务的发生,IP网络具备先天脆弱性,从而不利于网络技术的优化。CSCF能够进行管理及其呼叫控制的应用,其面对不同的用户,存在不同的隐患。为了解决实际问题,我们也要进行网络通信协议体系的优化,针对其内部的不安全因素进行分析,针对协议的漏洞、缺陷等进行分析,进行STP协议等的健全,保证UDP承载模式的优化,进行不同数据库的连接优化,这样就可以大大降低其泛洪的影响,这就需要进行完整性保护,避免出现攻击者数据篡改的情况。在实际操作中,攻击对象可以进行用户数据的修改,从而不利于网络用户的认证。
3为了解决上述的安全问题,我们需要进行网络关键实体技术的优化
比如进行CSCF、物理及其安全管理的安全保护,保证IP多媒体子系统的更新,进行STP用户合法性的检验,保证数据的私密性,保证其整体完整性,保证进行STP应用技术的优化。A-IMS的主要网元涉及的知识是非常多的,比如承载管理模式、应用管理模式、策略管理模式、安全管理模式等,通过对安全网元体系的健全,做好A-IMS的集成安全及其统一安全管理是必要的,从而保证其整体安全性的增强,保证IMS网络安全性的提升。通过对双向防火墙的应用,利用入侵检测系统进行网络及其终端的保护。从网络运营这个方面上来说,IMS网络系统安全性的提升,需要做好姿态及其移动安全等环节,实现智能终端的有效操作,进行姿态模式的优化设置,这也需要进行终端操作系统、防火墙情况等的分析。强制终端要求其具备良好的安全等级,目前来说,我们的IMS网络存在诸多的安全隐患,有必要进行通信网络系统安全性方案的更新。
三、结语
关键词:HTP模型;移动平台;安全加固
中图分类号:TM769 文献标识码:A 文章编号:1671-2064(2017)05-0168-02
1 概述
HTP模型[1]是中国IT治理研究中心提出的“以人为本”的信息安全体系模型,其主要结构抽象描述包括[2]:人员与管理(Human and management)、技术与产品(Technology and products)、流程与体系(Process and Framework)。
2 网络架构与技术
通过对电力公司移动交互平台网络架构的分析,总结出网络中存在的安全薄弱点。针对这些薄弱点,在网络架构和技术方面提出如下几点建议。
(1)对信息外网进出口提供更多样的防护措施,并增加备用线路,防止单点故障。建议在信息外网进出口设立统一威胁管理系统(UTM),具体拓扑如图1所示。作为电力公司移动交互平台网络的边界,面临的混合式攻击越来越多,传统的安全解决方案如单一的防火墙功能、入侵检测功能已经无法有效解决这种混合式的攻击威胁,而全面地设立多种独立功能的安全设备往往需要巨大的投资成本,并且设备过多会带来更高的管理成本。统一威胁管理系统将各种安全防护功能集中到一个设备上,在增加安全性的同时,很好的控制了资费成本与管理成本。
(2)在信息外网的支撑服务处增加入侵检测系统(IDS),具体改进拓扑如图2所示。支撑服务作为移动应用的内容提供者,在信息外网中是黑客主要的攻击目标,并且移动应用提供的业务是已知的,所以用户的请求行为是可以预测的,这种情况下使用IDS是非常好的选择。根据对用户业务请求行为的预测,将正常行为与不正常行为归纳建立模型。使用入侵检测系统,采用异常检测和误用检测两种模式相结合的方式对流量进行检测。
(3)在信息外网与信息内网中同时增加安全审计系统。在信息外网使用安全审计,可以对用户访问移动应用服务资源的行为进行安全审计,并且可以对移动应用操作内网数据的行为做详细记录,通过审计系统的日志,不仅可以对潜在威胁进行分析,并且可以提供事故发生的线索做出评估,快速进行故障恢复,提供责任追究的依据。信息内网使用安全审计,可以对内部员工的操作进行管理。审计系统可以成为追踪入侵、恢复系统的直接证据,所以,其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。审计事件的查阅应该受到严格的限制,避免日志被篡改。
(4)在信息内网的数据库服务器处增加数据库防火墙,具体改进拓扑如图10所示。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等,从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。
3 人员管理机制分析
3.1 健全以责任分离和安全考核为原则的用人系统
信息网络安全人员的使用具有一些特殊的要求,必须以安全可靠为最高原则。相应地,应该健全以责任分离和安全考核为原则的用人系统。
一方面,在用人过程中必须坚持责任分离的原则。其具体要求是:(1)明确信息网络安全系统中每个人的职责,要求“谁管理,谁负责”;(2)关键岗位的人员不得再兼任其他职位,严格控制使用兼职人员;(3)重要的任务有两人以上共同完成,避免一个人保管组织所有安全信息;(4)坚持岗位轮换原则,确保一个员工的工作有另一个员工进行审核。
另一方面,信息网络安全人员一旦录用,就要确定其职责范围,对其实施安全考核,重点考核其安全事故发生情况。信息网络安全人员考核不能像一般工作人员那样以年终考核为主,而应加强平时考核以实现日常监控,对其考核时间越短,就越有利于确保安全;而且,不仅考核工作时间内的表现,也考察工作时间外的表现,比如生活作风与非工作行为是否正常等。
3.2 推行以增强意识和战略开发为指导的育人系统
信息网络安全工作是一种长期而艰巨的工作,保密意识贯穿始终,但随着时间的推移,信息网络安全人员难免产生工作倦怠,其“保密之弦”也会出现松弛。因此,国网公司应该不断强化保密意识培训,以形成坚固的信息安全“思想意识防线”。而且,还应该立足信息安全战略规划与开发信息网络安全人员,以长远眼光加强信息网络安全人才培养。
3.3 实施以目标激励和待遇倾斜为特色的留人系统
信息网络安全工作任务重、压力大、内容单调,加上工作环境封闭,容易使信息网络安全人员人心不稳。因此应该通过目标激励,增强他们对自己所从事工作的荣誉感、神圣感和责任感,促使他们安心工作。而且,由于信息网络安全人员作用特殊、责任大、风险高,因此在待遇上应该给予倾斜。
4 结语
本文通过对典型内外网网络安全防护方案的研究与对电力公司移动交互平台网络结构分析,结合典型的HTP网络安全体系模型,针对电力公司移动交互平台网络安全薄弱点,提出关于电力公司移动交互平台网络加固的建议,对电力公司移动交互平台安全提升做了有益的探索。
参考文献
获奖理由
合勤推出的ZyXEL ZyWALL 70 UTM综合网络安全设备系列产品以其产品设计和丰富的功能引起人们的关注。该系列在为企业用户搭建网络安全屏障、打造全方位防护体系的同时,其过硬的技术,前沿的设计水准和极高的产品性价比都充分展示了合勤科技(ZyXEL)在网络安全产品方面所具有的突出市场竞争优势和实力。
性能描述
该防火墙通过高性能一体化设计的防火墙来保护网络的安全,在提高网络效能和企业生产力的同时,可方便地实现远程接入网络,并能通过单一配置界面来进行管理。值得一提的是,站在技术的前沿,ZyXEL ZyWALL 70 UTM系列产品通过扩展ZyWALL Turbo Card,能够增强ZyWALL系列安全性能。该系列产品运用了合勤科技(ZyXEL)独创的ZyNOS操作系统,同时融合了世界著名的卡巴斯基公司的防病毒技术,是能提供整合防火墙、VPN、负载平衡、宽带管理、内容过滤、防病毒、IDP、防垃圾邮件等8项功能的安全平台。这项新技术的运用使得新一代All-in-one网络安全设备能够将原有内容过滤、防病毒、反垃圾邮件和入侵检测等多套系统通过单一设备替代。独家ZyXEL SecuASICTM加速技术,阻挡间谍软件、网页仿冒、病毒和垃圾邮件 IM(Instant Messaging,即时信息)、P2P(Peer-to-Peer)应用程序更细粒度控制,具有极佳的产品性能和全面的安全特性,是一系列非常优秀的8合1 UTM综合网络安全产品。
成功案例
中新药业集团采用ZyXEL网络安全设备配合其搭建全网解决方案。
中新药业采用ZyXEL作为其安全网络融合的网关设备来建立IPSec VPN连接并保证网络通信安全。ZyXEL的产品网络整合能力很强,能够很容易地整合到中新药业的网络环境中。用户无需担心因为有不同厂商的设备在网络中而担心互通问题。ZyXEL产品设计实现了跨区域的企业 ERP 系统网络,使得位处各地的客户端能够安全、方便地访问到中心端的服务器,保证了数据高速、安全地传输。重要的是,这种应用并不需要做过多设置。只要在设备上进行一次设置,就可以让内网用户直接享受到VPN及宽带上网的方便。对最终用户来说,不需要在自己的电脑上做任何改动,最大限度地简化了操作的复杂程度。ZyXEL提供的价值高出了用户的期望。
随着信息化应用的不断深入,网络应用日渐频繁,在不断加快网络融合、提高效率的同时,网络安全事件也呈现出多样化、复杂化的发展态势,面对变化多端的网络攻击,选择到性能优越,功能强大的网络安全产品成为用户的期待。合勤科技(ZyXEL)全线出击,推出的DSL局端及客户端接入设备、路由器设备、网络安全设备、无线局域网接入设备、网络语音电话及以太网交换机等系列产品,为中小企业提供了全方位的宽带网络应用整合解决方案,全面反应出了合勤丰富的产品线和研发实力。
在网络市场日益发展的今天,用户对网络信息的需求量日益增大,因此,网络安全也被用户越来越看重。合勤科技在提高网络系统及设备的安全防御能力及整合性能的基础上,实现安全与网络的深入融合,进而有效地应对网络威胁,为用户带来更全面、体贴的安全应用与感受。
WatchGuard Firebox Peak X8500
获奖理由
对于那些有着高速、大流量网络运行的企业而言,需要可靠、高冗余、可管理流量,并具高端口密度的安全解决方案。这些企业需要配有专家指导和支持的UTM解决方案,简化网络安全管理,满足不断增长的业务需求,而Firebox Peak X8500设备可以很好地满足他们的需求。
Firebox Peak X8500提供全面集成的安全性,将状态包防火墙、VPN、深层应用检测、网关防病毒、入侵防护、防病毒、防间谍软件、防垃圾邮件及URL过滤均整合到了单一设备中,节省了多点方案管理所需的时间和成本。
性能描述
Firebox Peak X8500提供高达2.0 Gbps的防火墙处理能力和600 Mbps的VPN访问量,具有较高性能和较佳可扩展性,即刻提供真正的预防御,集成了强大的安全功能和高级网络特性,提供能满足最苛求网络环境要求的优越整体解决方案。具有8个10/100/1000Gbps以太网端口,支持高速局域网骨干基础设施以及千兆广域网连接。八个端口均可配置为内部、外部或可选,以实现端口利用的最大化。
Firebox Peak X8500将状态包防火墙、虚拟专用网、真正预防御、网关防病毒、入侵预防、防间谍软件、防垃圾邮件和URL过滤等功能集成于一台设备,提供全面的安全防护,同时降低了管理多点解决方案所需的时耗和成本。
Firebox Peak X8500 的智能分层安全(ILS)可即刻提供真正预防御,在发现漏洞和漏洞攻击程序创建和运行之前对新出现的未知威胁进行防御。许多厂商只提供基于攻击特征的防护,而且还需要单独收费。这类解决方案,实际上使其客户在厂商把攻击特征纳入防护软件的新版本之前,仍面临各类新出现的威胁。
Firebox Peak X8500的网络功能可实现资源的智能管理,优化流量,延长网络正常运行时间。多广域网负载共享和接口故障转移提高了性能和可靠性,动态路由、流量管理和优化为关键数据及整个网络通信提供优质网络功能。
Firebox Peak X8500附带的WatchGuard System Manager (WSM)可简化网络安全管理。WSM具有图形用户界面、快速配置向导和智能默认设置,简化了安装过程。WSM还包括全面的日志和报告、交互式实时监控以及拖放式VPN创建功能,无须增加成本。
每项WatchGuard安全服务均与Firebox Peak X8500中内置的预防御配合工作,提供无懈可击的安全防护能力。这些功能与Firebox Peak X8500高度集成,因此无须其他硬件。订购按设备数量而非用户数量计价,因此没有递增成本。所有安全服务均会持续升级,为用户提供最新的防护功能,并通过WSM集中管理,可实时观察所有安全功能的运行。
作为一款针对高端用户的UTM产品,Firebox Peak X8500配置有Firebox Pro、WatchGuard先进的网络安全系统,提供多广域网负载共享和接口故障转移、流量管理和优先级设定、高可用性、动态路由选择。用户可以智能管理资源,并实现顺畅高效的网络运行。
同时WatchGuard独有的全套产品均可升级扩展的特性保护了企业的安全设备投资。只须简单的授权码,就可实现Peak产品系列内的升级,无须花费额外成本购买新的硬件,即可增加容量、提高性能。用户还可以下载授权码,轻松添加强大的防护功能,包括入侵防护、网关防病毒、防间谍软件、防垃圾邮件及URL过滤等。
使用WatchGuard System Manager 8.3,用户可以对该设备实现轻松配置和管理。WatchGuard System Manager 8.3可以提供实时互动的监测、全面的安全日志和报告、基于特征的安全策略管理、拖放式VPN设置和日志管理,简化了IT人员的网络安全操作。
Check Point Safe@Office500系列
获奖理由
Check Point Safe@Office UTM设备能够提供模块化的小型企业安全解决方案,可以根据企业要求,为拥有3~100名用户的办公室提供经济高效的解决方案。Safe@Office 500W采用了Check Point下属SofaWare Technologies公司技术,整合了108Mbps扩展范围无线访问点技术,其无线安全保护与客户热点功能对用户吸引力较大。另外,向导驱动的设置选项能够帮助中小企业快速简单地定制防火墙和VPN设置,使其符合公司安全策略。
性能描述
这款网络安全设备集合了防火墙、VPN、防病毒、入侵防御、通信量模式分析及Web过滤等多种功能。
从功能上看,Safe@Office500系列支持多种附加在线服务,包括防病毒、安全和固件升级。此外,该系列产品拥有内置界面,使得用户可以将安全管理工作外包给可信的第三方。
从技术上看,Safe@Office500基于全新的Check Point Embedded NGX6.0安全软件平台,该平台以Check Point的Firewall-1(r)与VPN-1(r)为基础,集合了多种新增功能。
状态病毒防御保护功能配合高吞吐量网络使用的防病毒扫描功能,可为电子邮件、Web、文档下载或任何其它用户定义的端口提供防病毒保护。企业办公室网络因此可以提高对电脑病毒与“网页仿冒”等攻击的防御能力。
入侵防护运用到Check Point的Application Intelligence技术,能够为网络与应用层提供保护,确保网络不受蠕虫、拒绝服务攻击的破坏,同时对即时信息与对等应用进行安全控制。
企业利用保护热点功能可以管理员工对网络的访问,这包括可设置Web身份鉴别、临时用户账号及RADIUS整合等功能。
企业可以通过使用内置流量监控及数据捕捉工具来控制及监控接收、发出的信息流,确保办公室的宽带连接维持高效的使用率。
上班族和出差员工可以通过该产品全面的VPN功能实现对企业网的远程访问,从而提高其生产力。
该设备的双重WAN、拨号备份、自动故障解决(automatic failover)功能,能提高企业的网络运行能力。TrafficShaper能协助优化信息流量,并确保关键应用能取得所需带宽使用。
成功案例
多伦科技是一家从事软件开发的公司。前段时间,公司网络经常性掉线,甚至出现网络不通或者网络堵塞的现象,换过新的路由问题依然存在。为了保证网络的稳定,多伦公司采用了Check Point公司推出的为中小企业定做的Safe@Office UTM系列设备。
该设备背板整齐排列着电源、复位按钮、管理口、10/100M自适应WAN口、DMZ/WAN2口以及四端口LAN小型交换机,对于小型SOHO办公的企业完全可以省去一台10/100M交换机以节约投资成本。随设备提供的一条标准的5类屏蔽双较线、一套专用设备电源、一张产品光盘以及快速安装手册,完全可以满足用户设备安装调试的需要。
在防病毒方面,Safe@Office设备提供了防病毒功能设置开关。病毒库提供定期自动更新和手动更新两种模式,提供完整的网关型防病毒功能。在防病毒策略设置功能上,系统提供灵活的设置方式,可以满足网络安全管理员结合网络实际应用,在扫描能力和扫描效率上达到平衡。
通过高级设置功能,结合Check Point公司在网络安全方面的成功经验,多伦科技可以对电子邮件中潜在的不安全文件类型进行阻止,对安全的文件类型不须扫描而直接予以通过;对于压缩文件,系统在保证效率的情况下,通过设置最大嵌套层次和最大压缩率来对压缩文件是否扫描进行控制,同时根据管理需要可以采取适当的安全措施。
多伦科技在使用该系统后正常拦截了所有病毒,公司的网络又开始畅通了。公司IT主管查看了公司20多台电脑,都没有中毒迹象,访问速度也提升了不少。
对于小型企业网络而言,也许最大的威胁就是企业所有者对网络安全的认识错误,缺乏保护网络的熟练技能。Check Point Safe@Office UTM设备提供模块化的小型企业安全解决方案,可以根据要求为小型企业网络量身定制,将企业级全状态检测(Stateful Inspection)防火墙保护、网络网关反病毒、IPSecVPN功能与定制选项和易用性结合起来。无需安全专家,用户即可进行设备的安装和配置。
Fortinet千兆级UTM产品FortiGate-1000A
性能描述
美国Fortinet公司的千兆级UTM产品FortiGate-1000A可为大企业提供高性能的解决方案。高可用性(HA)和冗余热插拔电源模块,可以实现对关键业务的不停机操作。并随时可以通过FortiGuard实时响应服务网络,实现攻击特征库更新升级,确保FortiGate 24小时防御最新的病毒、蠕虫、木马和其他攻击。
FortiGate在体系结构设计上做了相应的全面考虑,以硬件设备为平台,集成网络和内容安全。FortiGate的UTM系列产品实际是网络安全平台,是基于ASIC的硬件设备,具有全面实现策略管理、服务质量(QoS)、负载均衡、高可用性和带宽管理等功能。
FortiGate系统采用高级检测技术和独特的网络内容处理技术,集成了多种安全技术于一身, 通过集中的管理平台,构筑完善的安全架构。面对日益增强的混合型攻击的威胁和社会工程陷阱,UTM设备成为用户的重要选择。Fortinet公司的UTM产品能够通过简单的配置和管理,以较低的维护成本为用户提供一个高级别保护的“安全隔离区”。 它检测病毒、蠕虫入侵,阻挡来自邮件的威胁,进行Web 流量过滤。 所有的检测都是在实时状态下进行,不会影响网络性能。FortiGate-1000A支持最新的技术,包括VoIP、IM/P2P, 能抵御间谍软件、网络钓鱼和混合型攻击。该系统无须安装任何用户软件,提高了企业的安全和管理能力。
国内某著名大银行采用了FortiGate-1000A 作为网络系统的安全防毒网关。该产品不仅性能高,而且不会影响网络正常运行,系统工作稳定。防火墙阻断了许多攻击行为,使服务器遭受黑客的攻击减少,用户收到病毒邮件事件也少了很多,还阻止了网络内部的病毒、蠕虫的传播。总之,达到了预期的安全防护效果。
联想网御Power V-5200 UTM防火墙
性能描述
联想网御Power V-5200 UTM防火墙是基于ASIC的硬件系统,在网络网关处提供实时的保护。其ASIC内容处理器,能够在不影响网络性能情况下检测有害的病毒、蠕虫及其他基于内容的安全威胁。
Power V-5200 UTM防火墙集成了防火墙、VPN、入侵检测、内容过滤和流量控制功能, 提供的是一个高性价比、使用方便的而强有力的解决方案。
Power V-5200 UTM防火墙设计使用Power V-5200 机箱,并装有1个或2 个模块(可选), 以提供各种不同的吞吐量、 冗余量和接口要求。
Power V-5200机箱支持冗余热交换式电源模块, 以保证高可用性和不间断的运行。对于可扩展的吞吐量,Power V-5200 UTM机箱具有2个插槽,以适应PM-5201和PM-5202母板式模块,每一种母板模块都装有ASIC内容处理器芯片和提供高性能防火墙、VPN、反病毒、入侵检测、Web过滤、电子邮件内容过滤、流量控制功能以及流量控制功能。每一种母板式模块具有4Gb小型规格尺寸插拔式(SFP)端口和4个10/100/1000M自适应以太网端口。
Power V-5200 UTM防火墙提供细粒化安全防护,能分别对每一组或部门予以设置唯一的策略, 支持独立的安全区和映射到VLAN标签的策略。Power V- 5200UTM于今年3月份正式上市,可在企业、政府机关、电信、金融行业的网络边界处提供实时的安全防护。
该产品可以关闭脆弱窗口, 在网络的边界处阻挡病毒蠕虫入侵网络;可以提高企业的生产力和效率;可以提供安全可靠的系统防御,以及良好的性能和稳定性;可以在老设备上增加新功能,方便老系统的集成和投资保护。
SonicWALL PRO 4100 高速综合UTM
产品描述
SonicWALL PRO 4100是一款将防病毒、防间谍程序、入侵防护、防垃圾邮件、防网络钓鱼以及内容过滤技术集成在一台设备中的高速互联网网关。其核心是一个功能强大的深度包检测引擎,它能实时扫描网络流量,并在恶意威胁入侵网络之前在网关处将其屏蔽。
通过从SonicWALL数据中心自动下载安全更新可实现动态的网络保护,无需管理员干预即可为网络提供对最新威胁的防护。可以提供横跨10个千兆以太网端口的稳健的“可信网络”保护,可提供足够的端口密度来将网络划分成多个域。例如,用户可以用其中的端口来创建单独的LAN或DMZ、第二WAM以及其它定制网络安全域。用户也可以配置一个硬件故障切换端口来获得连续的网络正常运行时间。
对于更复杂的网络部署,PRO 4100可将安全扩展至虚拟及实际连接的无线LAN,从而免受来自企业网内部、联网各部门或数据中心区之间的网络威胁。
通常,远程连接虽能提高员工的生产力,但也会将您的网络暴露于任何可能的威胁下。PRO 4100具有创新的SonicWALL Clean VPN技术,可在移动用户及分支机构连接威胁网络之前对其进行净化。除扫描远程流量中的威胁外,Clean VPN技术还能提供告警,使用户能及时隔离并控制潜在威胁。
PRO 4100以一台设备提供企业级联网、路由及防火墙功能。通过在一台设备中综合采用多种技术,PRO 4100可减少部署时间,使现行操作自动化并提高网络的可靠性。PRO 4100允许在当今高性能及复杂网络环境下进行灵活部署、无缝集成及精细访问控制,用户可以依靠它来获得绝对的网络保护、效率与控制。
这款高速综合安全网关具有功能强大、实时防护、易于部署和操作等优点,可以满足企业级联网、路由及应用层安全防护的需求,价格也比较合理,创新的SonicWALL Clean VPN技术使用户能及时隔离并控制远程接入的潜在威胁。
天融信TopGate网络卫士安全网关
产品描述
天融信TopGate网络卫士安全网关产品是天融信公司基于天融信安全操作系统TOS(Topsec Operating System)和多年网络安全产品研发经验开发,最新推出的集防火墙、VPN、防病毒、防垃圾邮件、内容过滤、抗攻击、流量整形等多种功能于一体的UTM(统一威胁管理)网关。
TopGate网络卫士安全网关是高性能与多功能的完美结合,它采用TOS优秀的模块化设计架构,在提供防火墙、VPN、防病毒、防垃圾邮件、内容过滤、抗攻击、流量整形等功能时,保证了优异的性能。
TopGate同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各种功能融为一体,能够对各种VPN数据进行检查,拦截病毒、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的“Cleaned VPN”服务。