互联网安全管理精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的互联网安全管理主题范文，仅供参考，欢迎阅读并收藏。

第1篇：互联网安全管理范文

【 关键词 】 “互联网+”时代；网络安全；管理策略；安全体系

On Network Security Policy Analysis and Management Strategy in the “Internet +” Era

Cai Wei

（China Nonferrous Mining Group Co.， Ltd Beijing 100029）

【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat， puts forward the construction of network security situational awareness， intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning， active defense， real-time response to the three basic strategies.

【 Keywords 】 “internet +” era； network security； management strategy； security system

1 引言

当今社会已经进入到了“互联网+”时代，网络安全与我们的生活息息相关，密不可分。网络信息安全对于国家、社会、企业、生活的各个领域以及个人都有十分重要的作用和意义。目前，在网络应用的深入和技术频繁升级的同时，非法访问、恶意攻击等安全威胁也在不断推陈出新。防火墙、VNP、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在互联网络中得到了广泛应用。随着大规模网络的部署和应用领域的迅速拓展，网络安全的重要性越来越受到人们的关注，但同时网络安全的脆弱性也引起了人们的重视，网络安全问题随时随地都有可能发生。近年来，国外一些组织曾多次对中国企业、政府等网站进行过大规模的网络攻击，网络安全已渗入到社会生活的各个方面，提高网络安全防护能力，研究网络安全管理策略是一项十分紧迫而有意义的课题。

2 “互联网+”时代网络安全

互联网本身在软硬件方面存在着“先天”的漏洞，“互联网+”时代的到来让这只大网的规模急剧扩大，尽管在网络安全防护方面采取了很多有效性措施，然而网络信息所具有的高无形价值、低复制成本、低传播成本和强时效性的特点造成了各种各样的安全隐患，安全成为了互联网络的重要属性。

2.1 内涵

“互联网+”是指依托互联网基础平台，利用移动互联网、 云计算、大数据技术等新一代信息技术与各行业的跨界融合，发挥互联网在生产要素配置中的优化和集成作用，实现产业转型、业务拓展和产品创新的新模式。互联网对其他行业的深入影响和渗透，正改变着人们的生成、生活方式，互联网+传统集市造就了淘宝，互联网+传统百货公司造就了京东，互联网+传统银行造就了支付宝，互联网+传统交通造就了快的、滴滴。随着“互联网+”时代的到来，迫切需要“网络安全+”的保护，否则，互联网发展的越快遭遇重大损失的风险越大，失去了安全，“互联网+”就会成为沙中之塔。在国家战略的推动下，互联网产业规模的成长空间还很巨大，网络安全，刻不容缓。

2.2 主要内容

“互联网+”不仅仅是互联网移动了、泛在了、与传统行业对接了，更加入了无所不在的计算、数据、知识，给网络安全带来了巨大的挑战和风险。网络安全泛指网络系统的硬件、软件及其系统上的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄漏，系统连续可靠正常地运行，网络服务不被中断。从内容上看，“互联网+时代”的网络安全大致包括四个方面：（1）网络实体安全主要是以网络机房的物理条件、物理环境及设施、计算机硬件、附属设备及网络传输线路的安装及配置等为主；（2）软件安全主要是保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等；（3）数据安全主要是保护数据不被非法存取，确保其完整性、一致性、机密性等；（4）管理安全主要是网络运行过程中对突发事件的安全处理等，包括采取安全分析技术、建立安全管理制度、开展安全审计、进行风险分析等。

2.3 基本要求

网络安全包括五个基本要求：机密性、完整性、可用性、可控性与可审查性。（1）机密性是指保证网络信息不被非授权用户得到，即使得到也无法知晓信息内容，通过访问控制、加密变换等方式阻止非授权用户获知信息内容；（2）完整性是指网络在利用、传输、贮存等过程中不被篡改、丢失、缺损等，以及网络安全处理方法的正确性；（3）可用性是指网络中的各类资源在授权人需要的时候，可以立即获得；（4）可控性是指能够对网络系统实施安全监控，做到能够控制授权范围内的信息流向、传播及行为方式，控制网络资源的使用方式；（5）可审查性是指对出现的安全问题能够提供调查的依据和手段，使系统内发生的与安全有关的行为均有说明性记录可查。

3 “互联网+”时代网络安全分析

3.1 特征分析

近年来，无论是在军事还是在民用信息领域中都出现了一个趋势：以网络为中心，各行各业与互联网紧密相关，即进入了“互联网+”时代。各类组织、机构的行为对网络的依赖程度越来越大，以网络为中心的趋势导致了两个显著的特征：一是互联网络的重要性；二是互联网络的脆弱性。

网络的重要性体现在现代人类社会中的诸多要素对互联网络的依赖。就像人们离不开水、电、电话一样，人们也越来越离不开网络，而且越是发达的地区，对网络的依赖程度就越大。尤其是随着重要基础设施的高度信息化，直接影响国家利益及安全的许多关键基础设施已实现网络化，与此同时，这些社会的“命脉”和“核心”控制系统也面临着更大的威胁，一旦上述基础设施的网络系统遭受攻击而失灵，可能造成一个地区，甚至是一个国家社会功能的部分或者是完全瘫痪。

网络的脆弱性体现在这些重要的网络中，每时每刻都会面临恶意攻击、病毒传播、错误操作、随机失效等安全威胁，而且这些威胁所导致的损失，也随着人们对网络依赖程度的日益增高而变得越来越难以控制。互联网最初基本上是一个不设防的网络空间，其采用的TCP/IP、SNMP等协议的安全性很脆弱。它强调开放性和共享性，本身并不为用户提供高度的安全保护。互联网络系统的脆弱性，使其容易受到致命的攻击。事实上，目前我国与互联网相连的大部分网络管理中心都遭受过境内外黑客的攻击或入侵，其中银行、金融和证券机构是黑客攻击的重点。

3.2 现状分析

《2013年中国网民信息安全状况研究报告》指出：整体上，我国网络安全环境不容客观，手机短信安全、应用软件安全、计算机终端安全和各类服务器安全状况不尽人意。

从数量规模上看，中国已是网络大国，但从防护和管理能力上看，还不是网络强国，网络安全形势十分严峻复杂。2015年2月，中国互联网信息中心《第35次中国互联网络发展状况统计报告》显示，随着“互联网+”时代的到来，2014年中国网民规模6.49亿，手机网民数量5.57亿，网站总数3350000，国际出口带宽达4118G，中国大陆31个省、直辖市、自治区中网民数量超过千万规模的达25个。

从应用范围上，“互联网+”时代的到来使得庞大的网络群体带领中国进入了“低头阅读”时代，“微博客账号12 亿，微信日均发送160 亿条，QQ 日均发送60 亿条，新浪微博、腾讯微博日均发帖2.3 亿条，手机客户端日均启动20 亿次”的数据体现了中国网民的特征。

从网络安全发展趋势上看，网络规模急剧扩大，增加了网络安全漏洞的可能性；多个行业领域加入互联网，增加了网络安全控制的难度和风险；移动智能互联设备作为互联网的末端延伸，增加了网络攻击的新目标；互联网经济规模的跃升，增加了网络管理的复杂性。

3.3 威胁分析

互联网络安全威胁主要来自于几个方面：一是计算机网络系统遭受病毒感染和破坏。计算机网络病毒呈现出异常活跃的态势，我国约73%的计算机用户曾感染病毒，且病毒的破坏性较大；二是电脑黑客活动猖獗。网络系统具有致命的脆弱性、易受攻击性和开放性，我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入；三是网络基础设施自身的缺陷。各类硬件设施本身存在漏洞和安全隐患，各类网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。国内与网络有关的各类违法行为以每年30%的速度递增，来自于外部的黑客攻击、病毒入侵和基于多IP的恶意攻击持续不断。

从网络安全威胁对象上看，主要是应用软件、新型智能终端、移动互联设备、路由器和各类网站。2015年瑞星公司的《瑞星2014年中国信息安全报告》显示，新增病毒的总体数量依然呈上涨趋势，挂马网站及钓鱼网站屡禁不止。新增手机病毒上涨迅速，路由器安全、NFC支付安全、智能可穿戴设备等是当前网络安全最为薄弱的环节。

从网络安全状态上看，仅2014年，总体网民中有46.3%的网民遭遇过网络安全问题，在安全事件中，电脑或手机中病毒或木马、账号或密码被盗情况最为严重，分别达到26.7%和25.9%，在网上遭遇到消费欺诈比例为12.6%。2015年2月境内感染网络病毒的终端数为2210000，境内被篡改网站数量近10000个，3月电信网内遭受DDOS攻击流量近18000TB。2015年5月底短短几天，就有支付宝、网易、Uber等互联网龙头接连出现故障，这是海外黑客针对中国APT攻击的冰山一角。

从网络安全防护技术上看，一方面，安全问题层出不穷，技术日趋复杂。另一方面，安全问题的迅速发展和网络规模的迅速扩大，给安全解决方案带来极大的挑战，方案本身的研发周期和用户部署周期的影响，导致安全解决方案在处理实际问题时普遍存在强滞后性、弱通用性和弱有效性的特点。更为重要的是现有安全解决方案通常只能针对特定的安全问题，用户需要不断增加部署新的安全解决方案以应对网络安全的发展。

4 “互联网+”时代网络安全管理体系

安全是“互联网+”时展的核心问题，网络安全管理至关重要，在“互联网+”模式提出之后，如何守卫网络安全将成其发展的关键。“互联网+”时代更需要建立一个完整的网络安全防护体系，提高各网络设备、系统之间的协同性和关联性，使网络安全防护体系由静态到动态，由被动到主动，提高网络安全处置的自适应性和实时反应能力，增强入侵检测的阻断能力，从而达到全面系统安全管控的效果。

4.1 基于监测预警建立网络安全态势感知体系

在现有基础上，通过互联网安全态势评价指标，分级分层部料数据采集和感知分析系统，构建互联网安全态势感知体系。评价指标包括网络运行基础型指标，网络脆弱性指标、网络威胁指标三类。其中运行基础指标包括基础网络性能、基础网络流量和网络设备负载等；网络脆弱性指标包括关键网络设备性能指数、重要系统的状态参数、终端服务器运行状态等；网络威胁指标包括攻击事件、攻击类型、病毒传播速度、染毒终端数量等。为了有效地获取各类统计分析数据，需要在重要的节点和核心区域部署数据采集和感知分析系统，对网络中的应用终端、大型核心服务器等关键数据进行采集，如网络运行状态数据、病毒感染数据、骨干网络流量数据、服务器病毒攻击数据等，通过对采集数据的分析，形成分类、分级的网络安全态势，通过对数据的实时关联分析动态获取网络安全态势，构建一体联动的态势感知体系。

4.2 基于主动防御建立网络安全入侵检测体系

在现有入侵防御能力基础上，重点建设主动防御、网络蜜罐、流量清洗等系统，构建网络安全入侵检测体系。一是建设主动防御系统。利用启发式检测和入侵行为分析技术构建主动防御系统，部署于各类各级网络管理终端和核心服务器上，通过对未知网络威胁、病毒木马进行检测和查杀，主动检测系统漏洞和安全配置，形成上下联动、多级一体的安全防护能力。二是建设网络蜜罐系统。利用虚拟化和仿真等技术拓展和丰富网络蜜罐系统，实现攻击诱捕和蜜罐数据管理，在重要节点、网站和业务专网以上节点部署攻击诱捕系统，有针对性地设置虚假目标，诱骗实施方对其攻击，并记录详细的攻击行为、方法和访问目标等数据，通过对诱捕攻击数据分析，形成联动防御体系。三是建设流量清洗系统，包括流量监测和过滤分系统。在核心交换区域和网络管理中心部署流量检测分系统，及时发现网络中的攻击流量和恶意流量。在核心骨干节点部署流量过滤分系统，在网络攻击发生时，按照设置的过滤规则，自动过滤恶意攻击流量，确保正常的数据流量，从数据链路层阻止恶意攻击对网络的破坏。

4.3 基于实时响应建立网络安全应急管控体系

在现有应急响应机制基础上，通过进一步加强广域网络、系统设备和各类用户终端的控制，构建应急管控体系。一是加强多级、多类核心网络的控制。依托网络管理系统、流量监测系统以及流量清洗系统对骨干网络进行实时监控，实时掌控不同方向、不同区域、不同领域的网络流量分布情况、网络带宽占用情况，便于有效应对各类突况。二是加强网络安全事件的控制。特别是对影响网络运行的病毒传播扩散、恶意攻击导致网络瘫痪以及对各类网络的非法攻击等行为，要能在第一时间进行预警和处置。三是建立健全应急管控机制。对于不同类型的网络安全威胁，明确相关的职能部门及必要的防范措施，避免出现网络安全问题时“无人问津”的情况，确保网络安全处理的时效性。

5 结束语

时代赋予了互联网新的职能，互联网在给我们的生活带来便利的同时也威胁着人们的安全，必须着重研究和建立新的网络安全管理体制并制定相应的应对策略。网络安全策略不能停留在被动的封堵漏洞状态，也远远不是防毒软件和防火墙等安全产品的简单堆砌就能够解决的，网络安全需要形成一套主动防范、积极应对的可信、可控网络体系，从根本上提高网络与信息安全的监管、恢复和抗击、防护、响应等能力，对于个人、企业、社会甚至国家利益和安全都具有十分重要的现实意义。

参考文献

[1] 吴贺君.我国互联网安全现状及发展趋势[J].长春师范学院学报，2011（12）.

[2] 陈君.互联网信息安全的“中国设计”[J].今日中国（中文版），2014（06）.

[3] 周潜之.加强网络安全管理刻不容缓[N].光明日报，2014（01）.

[4] 罗佳妮.完善互联网信息安全保障机制的思考[J].新闻传播，2013（09）.

[5] 胡凌.网络安全、隐私与互联网的未来[J].中外法学，2012（02）.

[6] 中国互联网信息中心.2013年中国网民信息安全状况研究报告[R].2013（09）.

[7] 娜，刘鹏飞.2015中国互联网展望[J].新媒在线，2015（03）.

[8] 熊励，王国正.移动互联网安全，一道绕不过去的坎[J].社会观察，2014（05）.

[9] 喻国明.移动互联网时代的网络安全：趋势与对策[J].国明视点，2015（02）.

[10] 蔡志伟.融合网络行为监测与控制技术研究[D].理工大学硕士论文，2011（06）.

[11] 周鹏.大数据时代网络安全的防护[J].网络安全技术与应用，2015（04）.

第2篇：互联网安全管理范文

摘要：文章认为互联网数据中心面临的主要安全威胁包括侵入攻击、拒绝服务攻击和分布式拒绝服务攻击、蠕虫病毒等。在数据中心网络安全建设和管理中，文章建议从网络架构、安全设备、安全管理多方面保障互联网数据中心安全。具体手段上建议采取网络多层多区域设计原则，建立安全边界，实施不同等级的安全措施和防护办法，以形成多层次的网络架构；部署多方面的网络安全设备，形成全方位一体化安全防护体系；制订健全的安全管理和运维制度，建设系统的安全管理体系。

关键词：互联网数据中心；网络架构；安全威胁；安全技术；安全管理

Abstract:Security threats for data centers include intrusion, denial of service, distributed denial of service, and worms. In this paper, we suggest that research into data center security should focus on network architecture, security equipment, and security management. We suggest ways of securing a data center, including building an architecture based on multilayers and multizones, establishing secure borders, and using different levels of security and different protective measures. We also suggest deploying a wide range of network security devices and formulating security management and operation and maintenance rules.

Key words:Internet data center; network architecture; security threats; security management.

互联网数据中心是企业数据、应用大集中以及企业IT应用对互联网服务提供模式的依赖的集中体现，是以机房和网络资源为依托，以专业化技术支撑队伍为基础，为各类用户提供各种资源出租以及相关增值服务，并定期向用户收取相应服务费用的一种电信级服务。互联网数据中心提供的主要业务包括主机托管、资源出租、系统维护、管理服务，以及其他支撑、运行服务等，需要具有完善的设备、专业化的管理和完善的应用级服务能力。

近十年来，随着互联网的高速发展和企业用户对数据中心依赖的增长，互联网数据中心的需求向着更大容量、更高能力、超大规模、多种业务模式和运营模式同时存在的方向升级。就近年来多次大型互联网数据中心服务中断事故的社会影响来看，构建具有更高可靠性和服务能力的互联网数据中心，成为其发展的一个重要诉求。

网络作为连接数据中心IT组件、实现外部访问的唯一实体，构建坚实的网络基础设施、构建网络与安全相融合的互联网数据中心平台将为互联网数据中心业务提供非常重要的保障。

本文介绍互联网数据中心网络架构主要特征和多层设计原则，分析互联网数据中心面临的主要安全威胁，对其安全规划和部署实施提出方案建议[1-8]。

1 互联网数据中心网络

多层设计原则

从本质上说，互联网数据中心网络多层设计原则是划分区域、划分层次、各自负责安全防御任务，即将复杂的数据中心内部网络和主机元素按一定的原则分为多个层次多个部分，形成良好的逻辑层次和分区。

数据中心用户的业务可分为多个子系统，彼此之间会有数据共享、业务互访、数据访问控制与隔离的需求，根据业务相关性和流程需要，需要采用模块化设计，实现低耦合、高内聚，保证系统和数据的安全性、可靠性、灵活扩展性、易于管理，把用户的整个IT系统按照关联性、管理等方面的需求划分为多个业务板块系统，而每个系统有自己单独的核心交换，服务器，安全边界设备等，逐级访问控制，并采用不同等级的安全措施和防护手段。

互联网数据中心网络可同时从3个方面划分层次和区域：

(1)根据内外部分流原则分层。

(2)根据业务模块隔离原则分区。

(3)根据应用分层次访问原则来分级。

1.1 分层

根据内外部分流原则，数据中心网络可分为4层：互联网接入层、汇聚层、业务接入层和运维管理层。

最常见的数据中心网络分层如图1所示。

互联网接入层配置核心路由器实现与互联网的互联，对互联网数据中心内网和外网的路由信息进行转换和维护，并连接汇聚层的各汇聚交换机，形成数据中心的网络核心。

汇聚层配置汇聚交换机实现向下汇聚业务接入层各业务区的接入交换机，向上与核心路由器互联。部分流量管理设备、安全设备部署在该层。大客户或重点业务可直接接入汇聚层交换机。

业务接入层通过接入交换机接入各业务区内部的各种服务器设备、网络设备等。

运维管理层一般独立成网，与业务网络进行隔离，通过运维管理层的接入及汇聚交换机连接管理子系统各种设备。

1.2 分区

第3篇：互联网安全管理范文

安全评估管理规定

第一条为规范开展互联网新闻信息服务新技术新应用安全评估工作，维护国家安全和公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》《互联网新闻信息服务管理规定》，制定本规定。

第二条国家和省、自治区、直辖市互联网信息办公室组织开展互联网新闻信息服务新技术新应用安全评估，适用本规定。

本规定所称互联网新闻信息服务新技术新应用(以下简称“新技术新应用”)，是指用于提供互联网新闻信息服务的创新性应用(包括功能及应用形式)及相关支撑技术。

本规定所称互联网新闻信息服务新技术新应用安全评估(以下简称“新技术新应用安全评估”)，是指根据新技术新应用的新闻舆论属性、社会动员能力及由此产生的信息内容安全风险确定评估等级，审查评价其信息安全管理制度和技术保障措施的活动。

第三条互联网新闻信息服务提供者调整增设新技术新应用，应当建立健全信息安全管理制度和安全可控的技术保障措施，不得、传播法律法规禁止的信息内容。

第四条国家互联网信息办公室负责全国新技术新应用安全评估工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内新技术新应用安全评估工作。

国家和省、自治区、直辖市互联网信息办公室可以委托第三方机构承担新技术新应用安全评估的具体实施工作。

第五条鼓励支持新技术新应用安全评估相关行业组织和专业机构加强自律，建立健全安全评估服务质量评议和信用、能力公示制度，促进行业规范发展。

第六条互联网新闻信息服务提供者应当建立健全新技术新应用安全评估管理制度和保障制度，按照本规定要求自行组织开展安全评估，为国家和省、自治区、直辖市互联网信息办公室组织开展安全评估提供必要的配合，并及时完成整改。

第七条有下列情形之一的，互联网新闻信息服务提供者应当自行组织开展新技术新应用安全评估，编制书面安全评估报告，并对评估结果负责：

(一)应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的；

(二)新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社会动员能力发生重大变化的。

国家互联网信息办公室适时新技术新应用安全评估目录，供互联网新闻信息服务提供者自行组织开展安全评估参考。

第八条互联网新闻信息服务提供者按照本规定第七条自行组织开展新技术新应用安全评估，发现存在安全风险的，应当及时整改，直至消除相关安全风险。

按照本规定第七条规定自行组织开展安全评估的，应当在应用新技术、调整增设应用功能前完成评估。

第九条互联网新闻信息服务提供者按照本规定第八条自行组织开展新技术新应用安全评估后，应当自安全评估完成之日起10个工作日内报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估。

第十条报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估，报请主体为中央新闻单位或者中央新闻宣传部门主管的单位的，由国家互联网信息办公室组织开展安全评估；报请主体为地方新闻单位或者地方新闻宣传部门主管的单位的，由省、自治区、直辖市互联网信息办公室组织开展安全评估；报请主体为其他单位的，经所在地省、自治区、直辖市互联网信息办公室组织开展安全评估后，将评估材料及意见报国家互联网信息办公室审核后形成安全评估报告。

第十一条互联网新闻信息服务提供者报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估，应当提供下列材料，并对提供材料的真实性负责：

(一)服务方案(包括服务项目、服务方式、业务形式、服务范围等)；

(二)产品(服务)的主要功能和主要业务流程，系统组成(主要软硬件系统的种类、品牌、版本、部署位置等概要介绍)；

(三)产品(服务)配套的信息安全管理制度和技术保障措施；

(四)自行组织开展并完成的安全评估报告；

(五)其他开展安全评估所需的必要材料。

第十二条国家和省、自治区、直辖市互联网信息办公室应当自材料齐备之日起45个工作日内组织完成新技术新应用安全评估。

国家和省、自治区、直辖市互联网信息办公室可以采取书面确认、实地核查、网络监测等方式对报请材料进行进一步核实，服务提供者应予配合。

国家和省、自治区、直辖市互联网信息办公室组织完成安全评估后，应自行或委托第三方机构编制形成安全评估报告。

第十三条新技术新应用安全评估报告载明的意见认为新技术新应用存在信息安全风险隐患，未能配套必要的安全保障措施手段的，互联网新闻信息服务提供者应当及时进行整改，直至符合法律法规规章等相关规定和国家强制性标准相关要求。在整改完成前，拟调整增设的新技术新应用不得用于提供互联网新闻信息服务。

服务提供者拒绝整改，或整改后未达法律法规规章等相关规定和国家强制性标准相关要求，而导致不再符合许可条件的，由国家和省、自治区、直辖市互联网信息办公室依据《互联网新闻信息服务管理规定》第二十三条的规定，责令服务提供者限期改正；逾期仍不符合许可条件的，暂停新闻信息更新；《互联网新闻信息服务许可证》有效期届满仍不符合许可条件的，不予换发许可证。

第十四条组织开展新技术新应用安全评估的相关单位和人员应当对在履行职责中知悉的国家秘密、商业秘密和个人信息严格保密，不得泄露、出售或者非法向他人提供。

第十五条国家和省、自治区、直辖市互联网信息办公室应当建立主动监测管理制度，对新技术新应用加强监测巡查，强化信息安全风险管理，督导企业主体责任落实。

第十六条互联网新闻信息服务提供者未按照本规定进行安全评估，违反《互联网新闻信息服务管理规定》的，由国家和地方互联网信息办公室依法予以处罚。

第4篇：互联网安全管理范文

科学技术的进步推动了移动互联网技术的发展，移动互联网被广泛应用于生产和生活中的同时，也面临着一些发展问题，在信息传输和应用方面存在较大的安全问隐患，必须针对移动互联网应用中的问题制定有效的对策，加强信息的安全管理。本文结合移动互联网应用过程中暴露的安全问题，提出了移动互联网信息安全管理策略。

【关键词】

移动互联网；信息安全；策略探讨

中国移动互联网发展于2005年，目前以WAP为主要的信息传输方式。在国内移动互联网产品不断完善的过程中，用户的上网速度和上网体验发生了重大的改变，多种通信产品成为移动互联网应用的主流。移动互联网用户将信息交换作为重要业务，因此信息交换的安全性成为人们的关注的热点。针对目前移动互联网产品应用中的安全问题，必须制定有效的防护措施，保证信息安全。近几年我国电力行业保持着较快的发展速度，作为国民经济的基础产业，电力产业也取得了很大的成绩，发电机容量和发电量居世界第二位。随着我国国民经济的快速发展和人民生活水平的不断提高，对电力的依赖程度也越来越高。电力需求与国民经济密切相关，电力弹性系数反映了用电增长速度与国民经济增长速度的相对关系。

1移动互联网与电力建设背景分析

随着电网基础和分布式发电技术的改革，现代化输电和配电将体现出智能化特点，最大限度地节约能源，新能源技术也将重新定义人类新生活，其中移动互联网作为重要的纽带将电网技术和多种智能终端设备联系起来，为了人们的生活提供了便利。中国是全球最具活力的新兴市场，随着移动互联网的发展，智能设备成为人们生活的伴侣，近年来电力开发行业将移动互联网应用到电力建设中，很大程度上促进了电网建设的加速，电工产业不断优化升级。另外，在移动互联网兴起的过程中，电力开发生产技术不断发展，电力企业的营销模式也将发生巨大的转变。目前4G网络引领移动互联网发展，移动APP为电力生产带来了便利，以电力建设中的焊接工作为例，微信、QQ、拍照、微摄影、WPSOffice办公平台、备忘录等智能APP功能在焊接工作中的作用日益重要，有利于办公平台的优化，移动互联网成为计划、任务、进度管理、会议通知、质量管理等的重要工具。为了拍出高清图片，焊接人员更新智能拍照软件，记录焊接的影像资料，通过微信、QQ群在线交流，在施工过程中，充分应用WPSOffice办公平台软件，在施工现场查阅焊接规程、技能考核等文件，将智能终端作为迷你办公室，很大程度上提高了管理水平。移动互联网的发展带动信息消费的增长，信息消费的发展空间更加广阔，以电子商务和移动互联网信息的消费迅速增长，电力开发企业借助这一发展优势，将其作为发展就会促进产业进步。

2移动互联网主要信息安全问题

2.1移动APP在电力应用中的问题

随着智能电网建设进度的加快，很多智能型移动APP被应用于电力建设中，其中有管理方面的软件，也有用户端的缴费软件，层出不穷的第三方软件为人们的生活提供了便利，同时也暴露出一定的安全问题。例如移动APP恶意读取用户位置信息、泄露企业管理计划、云端数据丢失等，移动APP的安全问题也成为人们关注的热点，电力规划和建设过程中必须保障数据安全，维护用户利益。

2.2运营模式引起的安全问题

移动互联网产品应用过程中，将多种信息交换业务作为核心，成为互联网中重要的运营模式，传统运营商将网络作为核心，运营商和移动互联网有着本质的区别[1]。当今社会有很多丰富的个性化服务进入移动互联网中，例如手机广告、视频、APP等。同时移动互联网可以为用户提供多种增值服务，体现出鲜明的产品特色，多种业务内容也成为移动互联网业务发展的重点，因此不同个性化服务的供应商成为移动互联网快速发展的直接动力，但是在发展过程中也暴露出一些问题，例如供应商为了获取更高的经济效益，将一些骚扰广告和不健康内容添加到WAP网站上，用户误点击后将会收取一定的费用，在违背社会道德的同时，逐渐演变为严重的产业问题和社会问题。

2.3由IP引起的安全问题

与传统的多级和多层通信网络不同，移动互联网应用扁平化网络技术，将IP化作为网络核心，但是IP网络本身具有较大的安全漏洞，自身也存在着较大的安全威胁。在网络信息技术不断发展和普及的过程中，安全问题也受到广泛关注，多种网络攻击逐渐成为公众网络的主要危害，作为承载网络的核心部分也必将受到较大的影响。在核心网架构上，移动互联网的管理信息、用户信息和控制信息将会同步传输，终端用户可以随时访问核心网，将会把核心网暴露在用户端。在这种网络环境下，运营商的核心网络和业务网络中不断出现严重的安全问题，例如2009年5月19日晚9点左右，华南地区出现大面积网络故障，不仅网络连接出现问题，而且用户的信息安全也受到严重的威胁，专家分析后确认该问题由DNS的零日溢出引起的，对DNS进行大量的查询请求导致DNS服务器出现DDOS攻击，运营商的DNS出现问题。互联网应用过程中DNS服务器出现较多DDOS攻击，形式也逐渐多样化，例如利用缓冲区溢出、应用较大流量堵塞带宽、伪造的DNS服务器发送大量的查询请求等。网络技术应用的同时，移动互联网向全IP化发展，原来只在互联网上出现的安全问题现已逐渐转移到移动互联网上。

2.4智能终端引起的安全问题

目前移动互联网在网络接入方面表现出鲜明的多样化特征，不仅仅应用一种网络接入方式，用户可以按照需求采取多种接入方法，随时都可以进行移动互联网访问。针对手机用户而言，上网的粘性和上网时长不断增加，因此手机网络也表现出常态化特征，用户在使用手机的过程中实现了碎片化沟通，信息类应用逐渐向娱乐和商务方向发展。与传统网络用户不同的是，移动互联网应用多种形式的终端设备，传统用户终端一般包括通信网的所中附属设备，而移动互联网全部应用智能终端。在移动互联网能不断完善和成熟的过程中，移动智能终端也逐渐表现出多样化的特点，智能终端也因此成为安全问题频发的部分，安全风险不断加大，移动智能终端在推动移动数据业务进步的同时，很多用户都将面临着信息安全问题。另外，移动智能终端表现出多样化和开放化特点的同时，信息交换的安全风险加大，在移动互联网发展的过程中，移动企业一直处于市场发展的主导地位，企业的发展重点依旧是移动智能终端的研究和探索，因此一定给你智能终端的安全性很容易被企业忽视，与移动智能终端相关的安全问题也会逐渐暴露[2]。例如，收集APP会恶意设置吸费部分或者不健康内容的连接，手机上网规模不断增大的同时，手机使用过程中的安全问题也将逐渐明显。移动互联网的开发软件层出不穷，收集第三方软件的研究人员也不断增多，在商业发展需求不断提高的同时，应用软件逐渐增多，但是目前在第三方软件的控制管理方面还存在缺陷，无法保障信息安全。例如有些手机软件恶意读取用户位置信息和短信内容，给用户信息安全带来了较大的威胁[3]。

3移动互联网信息安全策略

3.1完善信息安全法规建设

结合国内目前的情况来看，在互联网信息安全管理方面，立方层次较低，不同的层次见还存在一定的协调问题，目前已有的移动互联网法律还有待完善，将现有的法律应用于移动互联网建设中将会缺乏一定的科学性和权威性。目前，移动互联网接入过程中面临着较大的问题，移动互联网行业还没有施行手机实名制的法律，因此在移动互联网应用的过程中缺乏针对性的法律，无法对网民的行为构成有力的约束，也不能保护人们的信息安全。法律是移动互联网进行有效管控的保障。在完善法律法规的过程中，需要结合实际已发系诶套用户和移动互联网运营企业之间的关系，避免两者出现较大的业务矛盾。为了建立科学有效的移动互联网法律体系，必须结合国内的发展现状，勇于借鉴国外的方法，将信息安全和移动互联网安全独立开，针对独立额部分建立针对性的法律法规。结合国内移动互联网发展的实际情况，移动互联网安全管理过程中的立法工作需要从以下三个方面着手：①完善手机实名制制度，加大隐私保护力度；②建立信息安全法，不断完善与当今移动互联网信息安全相关的法规；③不断加强对互联网管理和移动互联网管理的监督。

3.2加快移动互联网信息安全机构建设

严格的立法是政府对移动互联进行监督管理的重要依据，结合国家移动互联网的发展形势，必须经信息安全管理和移动互联网安全管理分开。针对国内网络监督管理机构建设，需要通信网络的优势对移动互联网发展目标进行统一规划，为信息安全的管理和监督提供有利的依据[4]。针对国家级信息安全管理机构而言，必须在互联网信息安全管理的过程中切实负起责任，彻底改变信息安全制度制定过程中的问题。国家在建立统一的安全管理机构时，以法制建设为依托，设置专家咨询委员会，专家咨询委员会作为参谋机构的同时，对安全信息管理提供合理的建议。

3.3完善移动终端管理方案

移动终端管理过程中，重点需要加大对安全技术的研究力度，将注意力集中到移动互联网手机安全技术方面。同时协调不同管理机构之间的关系，构建科学严谨的管理链条，完善安全管理部门的监督政策，公安部门加大查处力度，完善与司法环节相关的法规。用户应用手机的过程中，必须具有较高的安全意识，政府加强对用户的安全教育，同时对第三方软件商家进行有力的监督。企业单位不断加强内部保密机制，对文件进行严格管理。

4结束语

移动互联网不断发展的过程中，用户将重点放在智能产品的功能上，信息安全一直存在较大的安全隐患，为了保证移动互联网健康稳定发展，必须针对具体问题制定有效的对策。本文从移动互联网中暴露的安全问题出发，提出了信息安全保障的策略，可以为移动互联网信息安全建设提供就借鉴。

作者：徐晨 倪舜 单位：嘉兴市恒光电力建设有限责任公司华创分公司 国网浙江省电力公司嘉兴供电公司

参考文献

[1]罗军舟，吴文甲，杨明，等.移动互联网：终端、网络与服务[J].计算机学报，2011，34（11）：202.

[2]陈遥，夏亮亮，谭辉，等.移动互联网环境下终端与服务器安全交互的研究[J].南京信息工程大学学报，2015，7（5）：142.

第5篇：互联网安全管理范文

【关键词】云计算模式 移动互联网 网络安全

移动互联网与传统的网络相比，更加具有便捷性、即时性和身份识别等优势，但是同时也存在着很多的缺点，比如处理速度慢、可操作性有限。在云计算模式的大力推广下，移动互联网日渐和云计算模式相结合，加快了网络信息的传送。但是在此情境下，互联网安全问题变得层出不穷。

1 云计算应用模式下移动互联网主要安全问题

将云计算模式应用到移动互联网信息传输过程中，在很大程度上加快了信息的存储和传送，但是云计算模式下互联网的安全问题变得更加严峻，使得移动互联网频繁出现安全问题，严重影响着企业和用户的运作，这需要我们对此加以重视。

1.1 数据管理方式引发的安全问题

云计算应用模式下，客户每时每刻通过互联网对数据进行访问和识别管理，当用户将自身数据委托应用行使功能访问权限时，云计算模式应用商就取得了优先访问权限。在很多情况下，云计算应用模式不能够用充足的证据和手段让客户信赖。甚至有些时候，用户怀疑数据被盗卖给竞争对手，用户习惯、隐私遭泄露，企业没有及时删除不必要的数据。

另一方面，由于移动终端与用户的联系程度较为密切，这使得在信息泄露过程中信息泄露速度更快。云计算模式下，用户受到监听、监视的比率变得更大。移动互联网用户缺乏安全意识，冰毒传播更加快速和多样，使得攻击性加大，风险性提高。云计算应用模式下，“移动”“自动”业务也成为互联网竞相追逐的对象，要想真正实现互联网业务发展，信息数据不被滥用，并且获得商业利益，这是互联网安全所面临的挑战。

此外，随着互联网信息传播手段的多样化，互联网传播更加变得即时性和便捷性。目前就现在的信息传播条件来看，互联网主要利用一些新兴的信息传播设备，比如微博和博客、QQ、微信等来实现信息传送，在很多情况下还可能采用群组消息发送，即时传播。引入云计算后，互联网安全更加变得复杂化，在解决起来也难度较大。云计算应用模式下移动互联网数据传播变得更加多样化，监控难度也相继加大。

1.2 虚拟化运行引发的安全问题

在云计算应用模式下，互联网资源通过租借、虚拟的方式提供给用户，虚拟资源根据实际与实质资源相绑定。在云计算中，各大用户是相互绑定的，其中一方的软件存在漏洞，就会被另一方所闯入访问，云平台软件存在安全漏洞。之前，网络上曾经对一个软件Mac版本中的攻击现象做了大量的报道。黑客网络通过利用网站漏洞，在Mac主机上执行恶意代码使得主机数据遭受到严重的损害，之后，客户端也被无故攻克。此后，虚拟网络、虚拟机也产生特别多的问题。在此情况下，云计算平台只有真正将用户数据和其他企业数据分开，才能够赢得用户对虚拟化数据的信任，促进移动互联网虚拟信息安全。

虚拟化存储是移动互联网的一大进步，能够实现存储空间的无限增大。虚拟化存储是通过将存储系统、子系统从应用程序、网站中抽离出来，实现独立的数据系统管理，网络存储。存储虚拟化技术将空间存储设备进行统一管理， 屏蔽存储设备硬件的特殊性，只保留其统一的运作特性，从而能够更加集中、方便管理。采用虚拟化存储，在很多情况下，一些应用为了达到更大程度的拓展性、经济性和可用性，在管理运行中一般采用多租模式，这就使得数据可能与其他用户混合使用，在之间的使用中，漏洞发生更加频繁。在云计算环境中，数据残留对泄露信息加快了速度，因此，我们要尽可能实现虚拟空间被释放内存、消除痕迹后分配给其他用户使用。

1.3 服务模式引发的安全问题

云计算服务模式引发的安全问题更加值得企业重视。云计算目前正在朝着IT行业发展，服务商技术更加具有专业化。云计算服务商在给别人提供服务的同时，也需要自身购买服务源，实现为其他企业提供服务。这就使得云服务在无形中间接联系了多个服务提供商，在运行过程中变得更加复杂和多变，风险系数大大增加。在各大企业中，由于其发展需求不同，用户要求也各不相同，在此情况下，云计算服务势必需要提供各种不同类型的安全服务，以便适应不同企业的发展层次。

2 风险评估面临的挑战

2.1 云计算安全标准应该面向更高层次

云计算安全标准不仅应保证企业信息安全，更应该支持用户实现安全管理需求。在很多时候，云计算安全应当在更高层次上了解用户的使用情况，信息需求，能够广泛收集数据，展开合法调查等。目前，云计算涉及到商业模式虽然已经比比皆是，但是仍旧存在很多的安全隐患，运作起来不是特别的熟练和成熟，责任鉴定界限不明确，可能在管理上存在冲突。安全目标的设定在更高层次上我们应该将其设置为可验证、实现、测量的目标。另外在信息的收集上应该多角度和多手段，范围要尽量广泛。

2.2 云计算安全标准应更加灵活方便

在传统方式中，云计算是通过分析系统结构的弱点和威胁来对其进行评估，进而确定安全风险的等级；而云计算为其提供了一个好的评估方式。它通过租用其他服务商的基础设施和软件服务，进行选用。在此形势下，我们要重视云计算多边参与的特点，提高云服务的安全计算能力和水平。

2.3 云计算安全标准应规定相应方法和程序

云计算安全标准离不开相应的方法和程序，云计算在一定的程序和方法下才能更好的提供安全标准，进行更好的测量。用户通过服务商提供正确执行的证据，来验证服务，实现云计算安全标准测量。因此，在互联网安全问题上需要正确方法的指引。

目前，移动互联网安全问题存在着严峻的挑战，云计算应用模式下，安全问题更加变得尤为突出。要想真正处理好移动互联网安全问题，需要相关部门进一步的努力。我们要着眼于世界发展的潮流，密切关注移动互联网安全处理问题，争取实现云计算应用更好更快发展。

参考文献

[1]张云勇，陈清金，潘松柏.云计算安全关键技术[J].电信科学，2010（8）

[2]中国通信标准化协会，移动环境下云安全技术研究[Z].2012

[3]房秉毅，张云勇，吴俊，徐雷.云计算引用模式下移动互联网安全问题浅析[J].研究与开发，2013（3）.

第6篇：互联网安全管理范文

【关键词】信息安全威胁 智能终端安全 接入网安全 终端业务安全 移动支付 移动广告安全 BYOD

[Abstract] Developmental status of mobile Internet and its security threat were summarized. Security development trend of mobile Internet was analyzed and corresponding proposals to guarantee information security of mobile Internet were presented.

[Key words]information security threat smart terminal security access network security terminal service security mobile payment mobile advertisement security Bring Your Own Device

1 引言

近年来，随着移动智能终端迅速普及和移动应用的多样性变化，极大地促进了我国移动互联网的发展。截至2014年12月，中国移动互联网用户数量已达5.57亿，中国网民中使用移动智能终端作为主要上网设备的人数占比已超过85%，通过移动终端接入互联网的比例继续增高。移动互联网是移动通信和互联网融合的产物，随着移动通信、智能终端操作系统、终端芯片等技术的进步，移动互联网在满足用户基本通信和信息获取需求的同时，正在向移动支付、金融、社交、交通、医疗等领域扩展，促进了移动应用的多样化发展。2014年，Google Play应用商店和iOS应用商店中应用总量分别达到143万款和121万款。移动互联网不断拓展出创新应用与服务，改变了传统的互联网格局和发展模式，也改变了传统行业的业务模式，改变了人们的生活和工作方式，给市场带来持续的增长。

随着移动互联网的飞速发展，网络与信息安全问题日益凸显，移动智能终端安全事件层出不穷，移动恶意应用肆意泛滥，个人隐私窃取、资费消耗等安全问题时有发生，严重影响移动互联网的健康发展。因而需要进一步规范移动互联网的发展，加强对移动互联网的治理。

2 移动互联网的安全问题

伴随着移动互联网用户的快速增长、智能终端和移动应用更加丰富和多样化，移动互联网安全问题将更加突出，安全形势更为严峻。移动互联网作为移动智能终端、互联网和移动通信融合的产物，不可避免地继承了传统互联网和移动通信网的脆弱性；移动互联网由于智能终端和移动应用的多样性，移动用户访问网络的模式和使用习惯与传统网络时代有很大差别，移动互联网所面临的安全问题不是传统互联网和移动通信网安全问题的简单叠加。移动互联网面临的安全问题可以从智能终端、接入网和应用及业务等方面进行分析。

2.1 智能终端安全问题

随着移动通信、智能终端操作系统、集成电路等领域技术的快速进步，智能终端的通信、计算、存储等能力迅速得到提升，对于人们来说智能终端已不再局限于通信和娱乐，已经广泛应用于人们工作和生活的各个领域，如办公、金融、支付、社交等，逐渐成为网络边界。同时，智能终端存储了大量的个人隐私和敏感信息，很容易成为攻击对象，出现比传统计算机更严峻的安全问题，损害用户权益，甚至威胁国家安全。智能终端面临的安全问题主要有以下3类。

（1）终端漏洞威胁。智能终端的操作系统、应用软件、固件等都有可能存在漏洞，恶意攻击者可以利用这些漏洞对终端进行攻击。终端操作系统，特别是市场占有率超过70%的安卓系统，呈现出显著的碎片化现象。终端操作系统的与更新往往是由各个终端厂商独立完成的，每个终端厂商都会根据自己的软硬件设计，对原生的安卓操作系统进行或多或少的定制化开发。因此，即便是安卓系统的原始开发者Google公司，也无法掌控所有终端系统的漏洞修复与版本更新，这就使得终端操作系统的安全性面临更加复杂的挑战。终端漏洞会降低智能终端的安全性，导致严重的安全问题，如经济损失、隐私泄露等。

（2）恶意应用威胁。木马病毒等恶意软件是计算机时代的主要安全威胁，随着移动互联网的发展和智能终端的普及，恶意应用威胁也开始向移动互联网领域发展。恶意应用带来的安全问题主要包括恶意扣费、隐私窃取、远程控制、恶意传播、资源消耗、系统破坏、诱骗诈取和流氓行为等。2014年Android平台新增的恶意程序中，资费消耗类占比高达74.3%，给用户造成了严重的经济损失；其次为隐私窃取，隐私窃取虽然不直接构成经济损失，但它会给用户的手机埋下安全隐患，一旦危机爆发，危害程度更高。

（3）恶意骚扰威胁，如诈骗、垃圾短信和邮件等。诈骗和垃圾短信已成为移动互联网中的一大问题，相比于传统互联网的诈骗和垃圾信息，移动号码的唯一性将导致诈骗和垃圾信息的传播更准确、更便捷，也更具欺骗性。

2.2 接入网安全问题

随着移动互联网的发展，其网络边界也越来越模糊，传统互联网的安全域划分、等级保护等安全机制在移动互联网中不再完全适用，移动互联网的网络侧面临新的安全威胁。移动互联网增加了无线接入和大量移动智能终端设备，网络攻击者可以通过破解空中接入协议非法访问网络，对空中接口传递的信息进行监听和窃取。另外，移动互联网中IP化的电信设备、信令和协议存在各种可能被利用的软硬件漏洞，攻击者可以利用这些漏洞对移动互联网进行攻击。并且，由于IP协议的开放性和移动智能终端的移动性，使得伪造和隐藏网络地址相对容易，这给实时定位和溯源网络攻击变得相对困难。作为移动互联网主要管道的LTE网络，其本身也存在着尚未解决的安全问题，如用户隐私泄露、特殊场景下安全机制考虑不足等。

2.3 业务安全问题

移动互联网承载的业务多种多样，不再只是传统的语音、短信服务；同时又引入了更多的业务平台，网络结构更加复杂，端到端的业务安全防护难度加大，业务系统被非法访问、隐私数据和敏感信息遭泄露、垃圾和不良信息传播等安全风险更高。另外，移动办公、金融支付等业务对安全有着更高的要求，目前虽然发展迅速但还没有统一的业务安全标准和体系。移动互联网业务常见的威胁主要有非法数据访问、非法业务访问、业务盗用滥用、隐私敏感信息泄露、SQL注入、拒绝服务攻击、垃圾和不良信息传播等。

另一方面，移动互联网出现了越来越多的与云计算结合的业务，随着云服务的推广，大量的用户个人信息、企业业务数据将在云计算平台上集中存储和管理，云计算服务存在公共租赁、虚拟化等特性，将给移动互联网带来新的安全问题，如用户和企业数据泄露等。同时，云服务平台上用户和企业数据的使用缺乏监管，这些数据有可能在用户和企业不知情的情况下被非法使用。

3 移动互联网安全发展趋势

移动互联网安全是一个复杂的系统性问题，涉及终端设备、移动网络和业务应用等各个方面，当前移动互联网安全出现一些新的趋势，恶意应用、移动支付、移动广告、BYOD安全风险持续增长。

3.1 恶意应用持续增长并向底层渗透

据CNCERT的数据显示，2014年我国智能终端恶意应用持续增长，恶意样本已从2011年的6 000余例发展到95万例，其中安卓系统上的恶意应用占据主流。其中恶意吸费应用增长尤其迅猛，其采用恶意应用传播与人工诈骗相结合的方式，形成了完整的黑色利益链条，给智能终端用户带来了严重的经济损失。据智能终端安全厂商统计，2014年被感染恶意程序的Android用户累计达3.19亿人次，较2012年和2013年分别增长了5.17倍和2.17倍。根据移动互联网恶意代码描述规范，智能终端恶意应用主要分为8类，包括恶意扣费、隐私窃取、远程控制、恶意传播、资源消耗、系统破坏、诱骗诈取和流氓行为。

此外，恶意应用正加速向Linux内核驱动层渗透，并不断增加破解难度。一是恶意代码在自我保护和加密技术上有了新的突破；各类加固技术的推出，在保护部分应用开发者利益的同时也被用作躲避病毒查杀的方案。二是代码混淆技术进一步发展，代码乱序、字符串处理使得无法对恶意应用进行逆向分析。三是恶意代码加固方式越来越深入系统底层，出现了Java和so注入、动态库加壳、动态加载dex和内存加载dex等方式。随着互联网的发展，黑客视线正逐渐由传统互联网转移至移动互联网，恶意应用也逐步向Linux内核驱动层渗透，恶意应用攻击和感染的方式不断增加，使移动互联网面临更严峻的安全挑战。

3.2 移动支付风险持续增长

中国互联网网络信息中心（CNNIC）的数据显示，截至2014年12月底，中国网民规模达6.49亿，其中手机网民规模达5.57亿，同比增长11.4%，占总网民数的85.8%。手机支付用户规模达到2.17亿，同比增长了73.2%，占手机网民总量的39%。可见，手机支付用户的增长速度远远高于网民总规模的增长速度和手机网民规模的增长速度。移动支付的时代已经到来，移动支付是互联网竞争的下一个主战场。据数据统计结果显示，截至2014年12月，有支付风险的用户占比超过20%。继银行卡支付，PC端网上支付之后，中国消费者已经快速进入了移动支付时代。不过，由于智能终端系统的某些安全问题，移动支付安全一直受到智能终端安全漏洞和各类恶意应用的威胁。此外，无论智能终端还是传统PC端网上支付的重要验证途径和消费通知途径也是各类诈骗短信攻击的目标。因此，尽管目前所有的移动支付产品都非常重视支付的安全性，但移动支付的安全性问题仍然存在很多隐患。移动支付的风险主要来自支付类恶意应用、不明Wi-Fi网络环境、支付应用本身漏洞、验证短信不安全等方面。

3.3 移动广告安全风险初现

随着智能终端的迅速普及，以移动互联网为载体的移动广告迎来了迅猛发展，根据艾媒咨询《2014―2015年中国移动广告平台行业观察报告》的数据显示，2014年中国移动广告平台市场整体规模为275.6亿元，同比增长137.38%，2015年将达到564.9亿元。面对移动广告市场的迅速发展，移动广告数量也呈现出暴增趋势。根据AVL移动安全团队统计，2014年广告件数量达到500多万个，较2011年增长了250倍左右。移动广告市场的快速增长导致国内涌现出上百家移动广告平台，通过在移动应用中集成广告插件，收取广告主的展示费来盈利。这些广告平台大小不一，良莠不齐，提供的广告插件没有统一的行业标准，并且缺乏行业监管，给移动互联网安全带来了一定的风险和隐患。移动广告存在的安全风险主要有广告插件存在恶意代码或漏洞，自动下载恶意应用软件、收集用户隐私敏感信息、传播垃圾和不良信息等。

3.4 BYOD带来安全隐患

BYOD（Bring Your Own Device）指携带自己的设备办公，这些设备包括个人电脑、手机、平板电脑等（而更多的情况指手机或平板电脑这样的移动智能终端设备）。BYOD允许员工使用自己的设备进行办公，该模式可以为企业节约办公成本、提高办公效率。同时，BYOD 的应用也给大多数企业带来新的挑战，个人应用和企业应用并存使得企业数据存在非授权访问和泄露的风险。用户在企业外部网络使用移动终端可能会被恶意程序感染，并且在接入企业内部网络时迅速传播同时进行数据窃取或者网络破坏，严重时甚至导致网络瘫痪。此外，用户在安装非企业内部应用时也可能因内嵌恶意程序给企业网络带来潜伏式的攻击，如恶意程序刻意搜集企业内部信息，当用户利用BYOD设备进入外部网络时，将可能造成企业内部数据泄漏。

4 移动互联网安全对策

针对移动互联网面临的新的安全挑战，有必要采取积极有效地应对措施。

一是完善移动互联网相关的法律法规和标准，加强移动互联网的安全管理和日常监督监测，落实安全责任。目前，我国还没有专门针对移动互联网信息安全的法律法规明确界定移动互联网各方的职责范围、责任主体。同时移动互联网业务涉及领域众多，存在多个部门对移动互联网进行监管及职责交叉等问题。因此，需要制定针对移动互联网的法律法规，在法律层面界定移动互联网使用者、接入服务商、业务提供商、监管者的权利和义务，加强应用商店、终端厂商的安全管理和日常监督监测，落实安全责任。另外，由于多部门分头管理移动互联网，在移动互联网恶意行为判定、隐私窃取、业务安全等方面存在标准不统一或是缺乏相应的安全标准的问题。为此，需要针对移动互联网面对的新的安全问题，特别是移动支付、移动广告、BYOD等新的业务，分析安全需求，制定相应的国家和行业标准规范，为移动互联网的安全检测、监督提供统一科学的规范依据。

二是推广权威第三方移动应用签名认证，确保应用开发者、渠道和检测机构可溯源。建立移动应用数字签名与认证机制是实现应用软件可追溯体系和移动互联网可信应用环境的重要技术手段。移动应用软件开发者使用第三方认证证书进行开发者签名，确保应用来源的可追溯；移动应用软件检测机构对应用软件进行安全检测，检测合格后进行检测机构签名，确保检测结果的可信性；移动应用商店对上架应用软件进行渠道签名，确保应用下载渠道可追溯；移动智能终端通过操作系统内置应用签名验签软件对即将要安装的应用软件签名情况进行验证，并将识别到的开发者信息、安全检测情况、流通渠道等信息真实地呈现给用户，为用户下载、安装安全可信应用软件提供指引。

三是加强对移动互联网安全新技术和产品服务的研究和投入。针对移动互联网新的安全挑战，有必要采取积极有效地应对措施，研究新的安全威胁的解决方案，如支持研发针对采用加固技术的恶意代码的检测方法、移动支付和移动广告安全解决方案、BYOD安全管理系统解决方案等，并将解决方案转化为相应的标准，提高整个行业信息安全水平。支持建立移动互联网安全漏洞库，通过建立移动互联网漏洞收集、分析、通报和面向应用的工作机制，开始为政府部门、产业界及社会提供移动互联网信息安全漏洞分析和风险评估服务，以提高移动互联网安全防护能力。

5 结束语

随着移动互联网的快速发展，移动恶意应用也变得复杂多变，其检测也变得越来越困难；同时，移动支付和移动广告的安全风险持续增长，BYOD发展也给移动互联网带来新的安全问题。针对新的安全挑战，有必要采取积极有效地应对措施。为保障移动互联网安全，需要制订完善的与移动互联网安全相关的法律法规和标准，建立移动应用数字签名与认证机制，加强对移动互联网安全新技术和产品服务的研究和投入等。同时，加强移动互联网产业各方的协作，建立科学合理的移动互联网安全防护机制，确保移动互联网安全有序的发展。

参考文献：

[1] 中国互联网信息中心. 第35次中国互联网络发展状况统计报告[Z]. 2015.

[2] 中国互联网信息中心. 第34次中国互联网络发展状况统计报告[Z]. 2014.

[3] 国家互联网应急中心. 2014年中国互联网网络安全报告[Z]. 2015.

[4] 国家互联网应急中心. 2013年中国互联网网络安全报告[Z]. 2014.

[5] 国家互联网应急中心. 2012年中国互联网网络安全报告[Z]. 2013.

[6] 国家互联网应急中心. 2011年中国互联网网络安全报告[Z]. 2012.

[7] 艾媒咨询. 2014―2015年中国移动广告行业研究报告[Z]. 2015.

[8] 潘娟，袁广翔. 移动智能终端安全威胁及应对措施[J]. 移动通信， 2015，39（5）： 21-25.

第7篇：互联网安全管理范文

1 移动互联网的安全现状

自由开放的移动网络带来巨大信息量的同时，也给运营商带来了业务运营成本的增加，给信息的监管带来了沉重的压力。同时使用户面临着经济损失、隐私泄露的威胁和通信方面的障碍。移动互联网由于智能终端的多样性，用户的上网模式和使用习惯与固网时代很不相同，使得移动网络的安全跟传统固网安全存在很大的差别，移动互联网的安全威胁要远甚于传统的互联网。

⑴移动互联网业务丰富多样，部分业务还可以由第三方的终端用户直接运营，特别是移动互联网引入了众多手机银行、移动办公、移动定位和视频监控等业务，虽然丰富了手机应用，同时也带来更多安全隐患。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。

⑵移动互联网是扁平网络，其核心是IP化，由于IP网络本身存在安全漏洞，IP自身带来的安全威胁也渗透到了移动专业提供论文写作和写作论文的服务，欢迎光临dylw.net互联网。在网络层面，存在进行非法接入网络，对数据进行机密性破坏、完整性破坏；进行拒绝服务攻击，利用各种手段产生数据包造成网络负荷过重等等，还可以利用嗅探工具、系统漏洞、程序漏洞等各种方式进行攻击。

⑶随着通信技术的进步，终端也越来越智能化，内存和芯片处理能力也逐渐增强，终端上也出现了操作系统并逐步开放。随着智能终端的出现，也给我们带来了潜在的威胁：非法篡改信息，非法访问，或者通过操作系统修改终端中存在的信息，产生病毒和恶意代码进行破坏。

综上所述，移动互联网面临来自三部分安全威胁：业务应用的安全威胁、网络的安全威胁和移动终端的安全威胁。

2 移动互联网安全应对策略

2010年1月工业和信息化部了《通信网络安全防护管理办法》第11号政府令，对网络安全管理工作的规范化和制度化提出了明确的要求。客户需求和政策导向成为了移动互联网安全问题的新挑战，运营商需要紧紧围绕“业务”中心，全方位多层次地部署安全策略，并有针对性地进行安全加固，才能打造出绿色、安全、和谐的移动互联网世界。

2.1 业务安全

移动互联网业务可以分为3类：第一类是传统互联网业务在移动互联网上的复制；第二类是移动通信业务在移动互联网上的移植，第三类是移动通信网与互联网相互结合，适配移动互联网终端的创新业务。主要采用如下措施保证业务应用安全：

⑴提升认证授权能力。业务系统应可实现对业务资源的统一管理和权限分配，能够实现用户账号的分级管理和分级授权。针对业务安全要求较高的应用，应提供业务层的安全认证方式，如双因素身份认证，通过动态口令和静态口令结合等方式提升网络资源的安全等级，防止机密数据、核心资源被非法访问。

⑵健全安全审计能力。业务系统应部署安全审计模块，对相关业务管理、网络传输、数据库操作等处理行为进行分析和记录，实施安全设计策略，并提供事后行为回放和多种审计统计报表。

⑶加强漏洞扫描能力。在业务系统中部署漏洞扫描和防病毒系统，定期对主机、服务器、操作系统、应用控件进行漏洞扫描和安全评估，确保拦截来自各方的攻击，保证业务系统可靠运行。

⑷增强对于新业务的检查和控制，尤其是针对于“移动商店”这种运营模式，应尽可能让新业务与安全规划同步，通过SDK和业务上线要求等将安全因素植入。

2.2 网络安全

移动互联网的网络架构包括两部分：接入网和互联网。前者即移动通信网，由终端设备、基站、移动通信网络和网关组成；后者主要涉及路由器、交换机和接入服务器等设备以及相关链路。网络安全也应从以上两方面考虑。

⑴接入网的网络安全。移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全，3G以及未来LTE技术的安全保护机制有比较全面的考虑，3G网络的无线空口接入采用双向认证鉴权，无线空口采用加强型加密机制，增加抵抗恶意攻击的安全特性等机制，大大增强了移动互联网的接入安全能力。针对Wi-Fi接入安全，Wi-Fi的标准化组织IEEE使用安全机制更完善的802.11i标准，用AES算法替专业提供论文写作和写作论文的服务，欢迎光临dylw.net代了原来的RC4，提高了加密鲁棒性，弥补了原有用户认证协议的安全缺陷。针对需重点防护的用户，可以采用VPDN、SSLVPN的方式构建安全网络，实现内网的安全接入。

⑵承载网网络及边界网络安全。1）实施分域安全管理，根据风险级别和业务差异划分安全域，在不同的安全边界，通过实施和部署不同的安全策略和安防系统来完成相应的安全加固。移动互联网的安全区域可分为Gi域、Gp域、Gn域、Om域等。2）在关键安全域内部署人侵检测和防御系统，监视和记录用户出入网络的相关操作，判别非法进入网络和破坏系统运行的恶意行为，提供主动化的信息安全保障。在发现违规模式和未授权访问等恶意操作时，系统会及时作出响应，包括断开网络连接、记录用户标识和报警等。3）通过协议识别，做好流量监测。依据控制策略控制流量，进行深度检测识别配合连接模式识别，把客户流量信息捆绑在安全防护系统上，进行数据筛选过滤之后把没有病毒的信息再传输给用户。拦截各种威胁流量，可以防止异常大流量冲击导致网络设备瘫痪。4）加强网络和设备管理，在各网络节点安装防火墙和杀毒系统实现更严格的访问控制，以防止非法侵人，针对关键设备和关键路由采用设置4A鉴权、ACL保护等加固措施。

2.3 终端安全

移动互联网的终端安全包括传统的终端防护手段、移动终端的保密管理、终端的准入控制等。

⑴加强移动智能终端进网管理。移动通信终端生产企业在申请入网许可时，要对预装应用软件及提供者 进行说明，而且生产企业不得在移动终端中预置含有恶意代码和未经用户同意擅自收集和修改用户个人信息的软件，也不得预置未经用户同意擅自调动终端通信功能、造成流量耗费、费用损失和信息泄露的软件。

⑵不断提高移动互联网恶意程序的样本捕获和监测处置能力，建设完善相关技术平台。移动通信运营企业应具备覆盖本企业网内的监测处置能力。

⑶安装安全客户端软件，屏蔽垃圾短信和骚扰电话，监控异常流量。根据软件提供的备份、删除功能，将重要数据备份到远程专用服务器，当用户的手机丢失时可通过发送短信或其他手段远程锁定手机或者远程删除通信录、手机内存卡文件等资料，从而最大限度避免手机用户的隐私泄露。

⑷借鉴目前定期PC操作系统漏洞的做法，由指定研究机构跟踪国内外的智能终端操作系统漏洞信息，定期官方的智能终端漏洞信息，建设官方智能终端漏洞库。向用户宣传智能终端安全相关知识，鼓励安装移动智能终端安全软件，在终端厂商的指导下及时升级操作系统、进行安全配置。

3 从产业链角度保障移动互联网安全

对于移动互联网的安全保障，需要从整体产业链的角度来看待，需要立法机关、政府相关监管部门、通信运营商、设备商、软件提供商、系统集成商等价值链各方共同努力来实现。

⑴立法机关要紧跟移动互联网的发展趋势，加快立法调研工作，在基于实践和借鉴他国优秀经验的基础上，尽快出台国家层面的移动互联网信息安全法律。在法律层面明确界定移动互联网使用者、接入服务商、业务提供者、监管者的权利和义务，明确规范信息数据的采集、保存和利用行为。同时，要加大执法力度，严专业提供论文写作和写作论文的服务，欢迎光临dylw.net厉打击移动互联网信息安全违法犯罪行为，保护这一新兴产业持续健康发展。

⑵进一步加大移动互联网信息安全监管力度和处置力度。在国家层面建立一个强有力的移动互联网监管专门机构，统筹规划，综合治理，形成“事前综合防范、事中有效监测、事后及时溯源”的综合监管和应急处置工作体系；要在国家层面建立移动互联网安全认证和准入制度，形成常态化的信息安全评估机制，进行统一规范的信息安全评估、审核和认证；要建立网络运营商、终端生产商、应用服务商的信息安全保证金制度，以经济手段促进其改善和弥补网络运营模式、终端安全模式、业务应用模式等存在的安全性漏洞。

⑶运营商、网络安全供应商、手机制造商等厂商，要从移动互联网整体建设的各个层面出发，分析存在的各种安全风险，联合建立一个科学的、全局的、可扩展的网络安全体系和框架。综合利用各种安全防护措施，保护各类软硬件系统安全、数据安全和内容安全，并对安全产品进行统一的管理，包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。建立安全应急系统，做到防患于未然。移动互联网的相关设备厂商要加强设备安全性能研究，利用集成防火墙或其他技术保障设备安全。

⑷内容提供商要与运营商合作，为用户提供加密级业务，并把好内容安全之源，采用多种技术对不合法内容和垃圾信息进行过滤。软件提供商要根据用户的需求变化，提供整合的安全技术产品，要提高软件技术研发水平，由单一功能的产品防护向集中统一管理的产品类型过渡，不断提高安全防御技术。

⑸普通用户要提高安全防范意识和技能，加装手机防护软件并定期更新，对敏感数据采取防护隔离措施和相关备份策略，不访问问题站点、不下载不健康内容。

4 结束语

解决移动互联网安全问题是一个复杂的系统工程，在不断提高软、硬件技术水平的同时，应当加快互联网相关标准、法规建设步伐，加大对互联网运营监管力度，全社会共同参与进行综合防范，移动互联网的安全才会有所保障。

[参考文献]

第8篇：互联网安全管理范文

一波三折

1996-1997年IPv6诞生以后，很多国家都发起了下一代互联网研究计划，想在新的网络空间里掌握更多的主动权。

但那时，我国互联网技术发展落后，所以没有机会申请大量IP地址，加上国际上没有大规模用IPv6组网的经验。面对IPv6海量地址空间带来挑战和困难，我国错失了掌握IPv6发展主动权的机会。

鉴于从IPv4到IPv6发展是个改朝换代的机会，据吴建平介绍，当时众多院士写信呼吁政府发起下一代互联网研究计划，经过两年的调研和论证，国务院批复了八个部委向国家申请的启动中国下一代互联网示范工程的计划，经过五年完成了第一阶段的工作。包括运营商、设备制造商以及应用软件的开发商等全国几百个单位参加了这个工程，20亿元国家拨款和30亿元自筹，总投资差不多50亿元。经过五年的时间，在2008年建成了当时全球最大的IPv6示范网，开发攻克了一批互联网IPv6关键技术。

那时还制定了发展路线图，分为三个阶段。第一阶段是准备阶段，是在2010年之前。第二阶段是过渡阶段，是2011-2015年。第三阶段是完成阶段，是在2016年以后。

“第一阶段我们完成得比较漂亮，在国际上处于领先地位，但是第二个阶段那五年进展不尽如人意，目前我们还处于思考和追赶的阶段。”吴建平表示。

随着IPv4地址在全球的分配殆尽，从2013年开始，全球的IPv6网络呈现一个比较大的发展趋势。从2012―2015年，全世界IPv6流量增长了十倍，人们预计2018年IPv6流量将会超出IPv4。

最近IETF在新的RFC标准中要求停止新设备和新扩展协议兼容IPv4，希望未来新协议全部在IPv6基础上进行优化，这就使得IPv6的发展进入了一个快车道。

但在全球互联网IPv6用户数量的统计结果上，中国IPv6发展还是不尽如人意。数据显示，比利时是第一名，美国是第三名，他们的用户比例都达到了30%到50%，日本也有15%的用户，基础设施比较落后的印度也有11%的用户。而中国排名却不靠前，只有7%的互联网用户。

三方面直击痛点

吴建平表示，国家的政策一直是持续鼓励IPv6发展，但在落实过程中却出现了很多的问题。

今年，国家也两个文件关于部署IPv6，一是2016年3月的“十三五”规划，要求超前部署下一代互联网全面向互联网协议IPv6过渡。另一个是2016年7月份，国家信息化发展战略纲要中指出，要加快下一代互联网大规模商用。

吴建平形象地比喻，我们国家的IPv6发展是起个大早、赶个晚集，并从三个方面直击痛点。

首先，我国互联网发展起步比较晚，导致我国互联网技术落后。而技术落后，申请地址就会受限、短缺，地址短缺就会造成用私有地址出口转换成公有地址。众所周知，地址转换会降低网络效率，使互联网带宽低、延迟大、速度慢。一方面是基础投资不够，一方面是地址转换产生了很重要的阻力。国内用户养成了即使有公有地址也不一定使用的习惯。

其次，互联网发展缺乏国际竞争。谷歌、Facebook这些世界顶级的互联网提供商，大量的迁移到IPv6上。但我们国家的信息提供商s没办法深层次访问网站。运营商和信息提供商互相之间存在抱怨，运营商抱怨信息提供商没有信息服务，用户没有访问资源，信息服务商抱怨你运营用户过少，发展的资源没人用。

最后，国家互联网安全监管措施成本和代价很高。将整个网络从IPv4迁移到IPv6需要重建，而且IPv6本身有端到端的加密功能，这使得我国的安全管理和监控有很多困难。

两点建议解决安全问题

互联网安全问题是困扰世界的一大难题。前段时间，美国就出现一次大规模断网事件。Twitter、Paypal、Spotify等多个常用的美国网站被迫中断服务，一半以上美国网站遭到黑客黑手。

近些年，美国对安全问题也非常关注，了一系列计划和行动纲要，并寄希望与全球合作来攻关互联网安全问题。

而究竟为什么会出现这么多互联网安全问题？

吴建平提出三点。首先是源地址不做认证。源地址不认证，路由会产生很多问题，DDoS攻击也是由于源地址。其次，大规模的域名劫持和假冒。当你访问一个域名时，突然跳转到你不希望去的网站，这些都是由于域名劫持产生的。最后，主干网上信息路由被劫持，这对运营商有相当大的危害，网络很难搞通。

针对互联网安全问题，吴建平表示，网络空间安全已经成为国家重要的战略需求，掌握互联网核心技术是解决网络空间安全问题的“命门”，同时给出了两点建议。

首先，要解决高水平的人才问题，要靠两条腿走路。一方面培养一些黑客来解决互联网安全问题，另一方面加大高层次的人才培养，去设计安全的互联网。

其次，解决网络空间安全核心技术问题，要以IPv6为基础，增加路由源地址验证和二维网络控制，使网络更加安全、可信。同时不仅将技术用于专网，也要应用在公有互联网上。

“基于IPv6源地址验证的安全可信下一代互联网体系结构，是拓展网络空间和解决网络空间安全问题的重要发展机遇。”吴建平表示。

IPv6特征

IPv6地址长度为128位，地址空间增大了2的96次方倍。

灵活的IP报文头部格式， 提高了网络的整体吞吐量。使用一系列固定格式的扩展头部取代了IPv4中可变长度的选项字段。IPv6中选项部分的出现方式也有所变化，使路由器可以简单路过选项而不做任何处理，加快了报文处理速度。

IPv6简化了报文头部格式，字段只有8个，加快报文转发，提高了吞吐量。

提高安全性。身份认证和隐私权是IPv6的关键特性。

第9篇：互联网安全管理范文

[关键词]企业信息 网络安全体系

一、企业信息网络安全现状概述

进入21世纪后,随着国内信息化程度的快速提高,信息网络信息安全越来越多受到关注,信息网络安全产品和厂商短短几年内大量涌现。但是,令人担忧的是,虽然众多的产品和厂商都以信息网络安全的概念在提供服务,但其中包含的实际技术和内容却千差万别。这样的情况,一方面对市场和用户形成了误导,不利于解决用户的实际信息网络安全问题,造成投资浪费;另一方面也不利于创造良性的竞争环境,阻遏了信息网络安全市场的发展。

鉴于此,有必要对信息网络安全进行成体系的理论探讨,形成统一的共识和标准,这样才能让信息网络安全产品和厂商真正满足用户的需求,解决用户的实际问题,推动国家信息化的发展。

二、信息网络安全问题的本质探讨

1.信息网络安全问题的形成原因

信息网络安全问题的提出跟国家信息化的进程息息相关,信息化程度的提高,使得内部信息网络具备了以下三个特点:

(1)随着ERP、OA和CAD等生产和办公系统的普及,单位的日程运转对内部信息网络的依赖程度越来越高,信息网络已经成了各个单位的生命线,对信息网络稳定性、可靠性和可控性提出高度的要求。

(2)内部信息网络由大量的终端、服务器和网络设备组成,形成了统一有机的整体,任何一个部分的安全漏洞或者问题,都可能引发整个网络的瘫痪,对信息网络各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。

(3)由于生产和办公系统的电子化,使得内部网络成为单位信息和知识产权的主要载体,传统的对信息的控制管理手段不再使用,新的信息管理控制手段成为关注的焦点。

上述三个问题,都是依赖于信息网络,与信息网络的安全紧密相连的,信息网络安全受到广泛的高度重视也就不以为奇。

2.信息网络安全问题的威胁模型

相对于信息网络安全概念,传统意义上的网络安全更加为人所熟知和理解,事实上,从本质来说,传统网络安全考虑的是防范互联网对信息网络的攻击,即可以说是互联网安全,包括传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。互联网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内互联网边界出口。所以,在互联网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。

而信息网络安全的威胁模型与互联网安全模型相比,更加全面和细致,它即假设信息网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自互联网,也可能来自信息网络的任何一个节点上。所以,在信息网络安全的威胁模型下,需要对内部网络中所有组成节点和参与者的细致管理,实现一个可管理、可控制和可信任的信息网络。由此可见,相比于互联网安全,企业的信息网络安全具有以下特点:

(1)要求建立一种更加全面、客观和严格的信任体系和安全体系;

(2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理;

(3)要求对信息进行生命周期的完善管理。

三、现有信息网络安全产品和技术分析

自从信息网络安全概念提出到现在,有众多的厂商纷纷自己的信息网络安全解决方案,由于缺乏标准,这些产品和技术各不相同,但是总结起来,应该包括监控审计类、桌面管理类、文档加密类、文件加密类和磁盘加密类等。下面分别对这些产品和技术类型的特性做了简单的分析和说明。

1.监控审计类

监控审计类产品是最早出现的信息网络安全产品, 50%以上的信息网络安全厂商推出的信息网络安全产品都是监控审计类的。监控审计类产品主要对计算机终端访问网络、应用使用、系统配置、文件操作,以及外设使用等提供集中监控和审计功能,并可以生成各种类型的报表。

监控审计产品一般基于协议分析、注册表监控和文件监控等技术,具有实现简单和开发周期短的特点,能够在信息网络发生安全事件后,提供有效的证据,实现事后审计的目标。监控审计类产品的缺点是不能做到事情防范,不能从根本上实现提高信息网络的可控性和可管理性。

2.桌面管理类

桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略,包括外设管理、应用程序管理、网络管理、资产管理以及补丁管理等功能,这类型产品通常跟监控审计产品有类似的地方,也提供了相当丰富的审计功能,

桌面监控审计类产品除了使用监控审计类产品的技术外,还可能需要对针对Windows系统使用钩子技术,对资源进行控制,总体来说,技术难度也不是很大。桌面监控审计类产品实现了对计算机终端资源的有效管理和授权,其缺点不能实现对信息网络信息数据提供有效的控制。

3.文档加密类

文档加密类产品也是信息网络安全产品中研发厂商相对较多的信息网络安全产品类型,其主要解决特定格式主流文档的权限管理和防泄密问题,可以部分解决专利资料、财务资料、设计资料和图纸资料的泄密问题。

文档加密技术一般基于文件驱动和应用程序的API钩子技术结合完成,具有部署灵活的特点。但是,因为文档加密技术基于文件驱动钩子、临时文件和API钩子技术,也具有软件兼容性差、应用系统适应性差、安全性不高以及维护升级工作量大的缺点。

4.文件加密类

文件加密类产品类型繁多,有针对单个文件加密,也有针对文件目录的加密,但是总体来说,基本上是提供了一种用户主动的文件保护措施。

文件加密类产品主要基于文件驱动技术,不针对特定类型文档,避免了文档加密类产品兼容性差等特点,但是由于其安全性主要依赖于使用者的喜好和习惯,难以实现对数据信息的强制保护和控制。

5.磁盘加密类

磁盘加密类产品在磁盘驱动层对部分或者全部扇区进行加密,对所有文件进行强制的保护,结合用户或者客户端认证技术,实现对磁盘数据的全面保护。

磁盘加密技术由于基于底层的磁盘驱动和内核驱动技术,具有技术难度高、研发周期长的特点。此外,由于磁盘加密技术对于上层系统、数据和应用都是透明的,要实现比较好的效果,必须结合其他信息网络安全管理控制措施。

四、构建完整的信息网络安全体系

从前面的介绍可以看出,上述的信息网络安全产品,都仅仅解决了信息网络安全部分的问题,并且由于其技术的限制,存在各自的缺点。事实上,要真正构建一个可管理、可信任和可控制的信息网络安全体系,应该统一规划,综合上述各种技术的优势,构建整体一致的信息网络安全管理平台。

根据上述分析和信息网络安全的特点,一个整体一致的信息网络安全体系,应该包括身份认证、授权管理、数据保密和监控审计四个方面,并且,这四个方面应该是紧密结合、相互联动的统一平台,才能达到构建可信、可控和可管理的安全信息网络的效果。

身份认证是信息网络安全管理的基础,不确认实体的身份,进一步制定各种安全管理策略也就无从谈起。信息网络的身份认证,必须全面考虑所有参与实体的身份确认,包括服务器、客户端、用户和主要设备等。其中,客户端和用户的身份认证尤其要重点关注,因为他们具有数量大、环境不安全和变化频繁的特点。

授权管理是以身份认证为基础的,其主要对内部信息网络各种信息资源的使用进行授权,确定“谁”能够在那些“计算机终端或者服务器”使用什么样的“资源和权限”。授权管理的信息资源应该尽可能全面,应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。

数据保密是信息网络信息安全的核心,其实质是要对信息网络信息流和数据流进行全生命周期的有效管理,构建信息和数据安全可控的使用、存储和交换环境,从而实现对信息网络核心数据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样,所以要求数据保密技术必须具有通用性和应用无关性。

监控审计是信息网络安全不可缺少的辅助部分,可以实现对信息网络安全状态的实时监控,提供信息网络安全状态的评估报告,并在发生信息网络安全事件后实现有效的取证。

需要再次强调的是,上述四个方面,必须是整体一致的,如果只简单实现其中一部分,或者只是不同产品的简单堆砌,都难以建立和实现有效信息网络安全管理体系。