網絡安全運營體系精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全運營體系主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全運營體系范文
一、構建企業網絡安全系統的運行機制
構建運行機制,為企業網絡安全系統提供保障[1]。第一,構建訪問機制,綜合利用強制和自主兩項訪問機制,全面控制外網訪問,強制訪問通過分配企業網絡的屬性,保持屬性的原始狀態,攻擊者不容易篡改數據屬性,合理保護企業網絡系統,決定網絡安全行為,自主訪問主要是以訪問權限為主,為企業網絡或賬戶設置權限,但是權限設置時,會遺留劃痕或歷史記錄,為木馬攻擊埋下隱患;第二,構建審計機制,記錄企業網站的各項行為,生成安全日志,規劃企業網絡的運營主體,分析網絡事件,以審計記錄為基礎,可以精確識別企業網絡訪問行為是否安全,同時還可分析企業網絡的內部環境,及時發現漏洞、威脅,提高企業網站的安全系數;第三,構建識別機制,企業屬于網絡用戶,在登錄網絡系統時,需要進行嚴格的身份識別,常用的識別機制包括:口令、密碼或接口,判斷用戶的身份信息,例如:管理者在企業網絡系統的后臺,限制登錄口令,劃分用戶等級身份,用戶在登錄企業網絡時,填寫信息需要與后臺設置完全吻合,驗證身份成功后,才可登錄到網絡系統內部,口令識別具有一定的選擇性,并不是所有企業網絡都適應,因此,在構建識別機制時,還需根據企業網絡系統的實際,構建合理、有效的機制,提高網絡系統的安全性。
二、構建企業網絡系統的安全體系
(一)構建網絡安全體系。網絡安全體系的構建,劃分為四部分,第一,保障外部網絡安全,外網是企業網絡環境的一部分,在進行外網連接時,需要遵循一定的安全標準,約束訪問行為,保障安全性能,實行KEY處理,管控內網與外網的交互活動,嚴格識別訪問信息,排除安全隱患;第二,利用遠程接入的方式,降低企業網絡風險,避免攻擊者分析網絡路徑,企業網絡實行遠程保護時,設置動態的接入口令,避免單一口令被破譯,加強安全防護;第三,確保無線覆蓋區域的安全度,企業網絡已經實現無線運行,利用安全協議,保護無線環境,防止病毒攻擊無線環境,進入企業網站;第四,實時監測網絡,特別是在入侵檢測方面,強化安全結構,保障網絡傳輸的穩定和安全,防護外網攻擊。
(二)構建攻擊防護體系。企業網絡安全系統的攻擊,主要體現在病毒、木馬、黑客方面,企業網絡中包含大量有價值的數據和信息,成為攻擊對象,攻擊者的目的是竊取、毀壞數據,針對攻擊類型,構建防護體系,例如:合理制定防護方案,控制企業網絡運行,形成主動控制的防護狀態,充分利用防火墻,開啟部分防護功能,協助防護體系監控網絡行為,過濾外網訪問中的不安全程序,有效保護企業網絡,避免數據泄漏,穩定企業網絡運行[2]。防護體系的構建可以直接保護網絡安全系統,確保企業內部網絡數據安全運行的環境。
三、企業網絡安全系統構建的技術
企業網絡安全系統的構建,建立在防護技術的基礎上,體現綜合效益。由于企業網絡的開放性,導致企業網絡系統較容易受到病毒、黑客攻擊,丟失企業數據,影響企業網絡的安全運行,分析構建企業網絡安全系統的技術,如下:
(一)數據保護技術。數據保護技術是企業網絡安全構建的基礎,主要分為三類,如:(1)保護數據庫,在網絡數據庫內,加裝組件,作用于安全層,支持企業數據安全;(2)備份保護,備份企業數據,實行硬件保護,一旦企業網絡系統受到攻擊,利用備份數據,及時恢復數據運行,避免企業運營受阻;(3)利用容錯保護的方式,篩選關鍵信息,備份關鍵數據,即使部分數據被篡改或刪除,也可通過容錯恢復,保持數據完整性。
(二)病毒防護技術。分析企業網絡受病毒影響的類型,提出病毒防護技術。系統規劃防病毒技術,構建防毒體系,如下圖1,首先安裝防火墻,有效隔企業網絡和Internet,解析入侵病毒,時刻監控外部網絡;然后在客戶端安裝殺毒軟件,保護企業網絡,殺毒軟件可以根據病毒入侵路徑,實行自動升級,杜絕病毒入侵,特別是在病毒郵件方面,效果非常明顯,集中掃描傳輸郵件,保護企業的網絡通訊;最后利用防毒墻,過濾互聯網病毒,掃描內外兩網傳輸的所有信息,識別病毒程序,防止病毒植入。
(三)通道安全技術。企業網絡在日常工作中,接受來自不同IP的訪問,不論是企業內部,還是來自外部廣域網,都會存在安全風險,因此,利用通道安全技術,實行訪問控制,提高數據安全。主要對數據通道實行加密處理,采用密鑰傳輸,促使傳輸數據在通道內,以密文的形式存在。例如:利用密鑰算法,加密企業的源頭文件,待文件傳輸到指定接收方時,在實行解密,提高文件在通道中的安全水平,避免攻擊者竊取傳輸中的文件。
四、結束語
網絡系統為企業帶來效益和便利的同時,隱含運營風險,降低網絡風險對企業運營的影響,需要加強網絡系統的安全力度,有效防護企業內部網絡安全,一方面推動企業運營發展,另一方面體現網絡安全系統的優勢,發揮網絡價值。因此,深入分析企業網絡,構建安全系統,維護企業安全系統的高質量和高效率,保護企業信息。
參考文獻:
[1]王松.試論企業計算機網絡安全的管理[J].科技致富向導,2013(20):102.
[2]孫毅.中小企業內部網絡安全管理的研究[J].海峽科技與產業,2013(06):35.
第2篇:網絡安全運營體系范文
關鍵詞:通信網絡;安全隱患;管理體系;安全與防護
中圖分類號:TN918.91文獻標識碼:A文章編號:1007-9599 (2012) 02-0000-02
Thinking of Communication Network Security and Protection
Li Jian
(Qinhuangdao Branch of China Tietong Group Ltd.,Qinhuangdao066100,China)
Abstract:The rapid development of information technology naturally led to the rapid rise of the communications network,both communications network to provide rare opportunities for development,but also inevitable to the communications network to bring some security risks.This paper discusses the security threats that currently exist on the communication network,in-depth thinking on the communication network security and protection,protection strategies to improve the security of network communications.
Keywords:Communication network;Security risks;Management system;Safety and Protection
一、前言
計算機網絡包括兩個部分:計算機和通信網絡,計算機是信源或者終端,通信網絡則是進行數據傳輸和交換,它最終實現計算機網絡的資源共享。隨著信息技術的不斷更新,我國通信網絡產業也在快速發展。目前,國內的通信網絡系統覆蓋地域廣闊,設備復雜多樣,針對各種特定類型的通信設備,很多的網管系統基本實現了使用專用的接口協議。
信息技術的快速發展,自然而然就帶動了通信網絡的快速發展,隨著國民經濟信息化進程的加快,使得信息技術得到普及,而各行業通信網絡的依賴程度越來越高。通常,機遇與挑戰是并存的,一方面給通信網絡帶來了發展機遇;另一方面又不可避免的給通信網絡的安全造成一定的挑戰。當前,通信網絡安全問題日漸凸顯,如病毒,黑客等等竊取信息的方式也不計其數,所以如何應對這些通信網絡出現的安全問題,也就是保證網絡通信的安全性是目前通信工程需要急需解決的難題。
為了維護網絡通信的信息系統的正常工作,預防網絡安全事故以保證通信網絡的安全,防范猖狂的網絡犯罪。需要制定相關的網絡通信信息系統的安全防護策略。
二、通信網絡安全防護工作現狀
通信網絡安全防護包括:網絡安全的等級保護、網絡安全的風險評估和網絡安全的災難備份等,這些都以事前防護和準備為主的,最終通過技術和管理落實和改進通信網絡安全的維護和管理,并且與網絡安全的重要性及潛在的威脅相適應,以提高通信網絡的安全水平,降低重大網絡安全事件的發生概率,以“積極防御、綜合防范”為指導方針,以“預防為主”的原則,關鍵是進行事前預防保護。
通信網絡安全是根據網絡特性,通過相應的安全技術和措施以防止通信網絡中泄露、破壞或更改了操作系統、軟件、硬件和數據等資源,預防非法用戶竊取服務,以確保通信網絡的正常運行;網絡通信安全包括設備安全、用戶識別安全以及數據傳輸安全等內容。
國內外對通信網絡安全的研究一直在進行,國外很早就進行信息網絡安全研究,研究全面而廣泛。上個世紀70年代美國在網絡安全技術基礎理論研究成果“計算機保密模型”的基礎上,制定了“可信計算機系統安全評估準則”(TCSEC),之后又制定了網絡系統數據庫方面和系列安全解釋,形成了安全信息體系結構的準則[3]。安全協議對信息安全而言是必不可少的,包括基于狀態機、代數工具和模態邏輯三種分析方法。而今密碼學成為網絡信息安全的重要技術,近年來各個國家和地區相繼舉辦信息學及安全密碼學術會議。當前研究的熱點是密鑰密碼,而電子商務的安全性也受到極大關注,目前處于研究和發展的階段,加快了密鑰管理及論證理論的研究步伐。國內的信息網絡安全研究經歷了兩個階段:通信保密和數據保護。目前主要從安全體系結構、現代密碼結論、安全協議、信息分析和監控等方面提出的系統完整和協同的通信網絡安全與防護的方案。2009年開始,國家的信息化部及工業計劃每年對通信網絡進行安全等級保護、通信風險評估,網絡通信的災難備份等相關防護工作。
三、探討通信網絡中的安全隱患
隨著通信網絡的一體化和互聯互通,以及共享資源步伐的加快,通信的安全和保密問題就顯得非常重要。
(一)關于安全管理體系建設
首先,網絡安全機構不夠健全,網絡安全維護隊伍還不充實。目前,非傳統安全問題不斷增加,而企業在進行人員素質培養、人員的配備及機構的設置未能很好地適應管理工作。其次,未能很好的統籌網絡安全管理工作,整體性不足。雖然在業務發展中,各運營企業相繼建設了不少的網絡和系統,但沒有統籌謀劃和監督管理,缺乏統一標準,運營企業各自管理網絡和系統的安全,因此,必然存在安全隱患。再者,由于缺乏安全技術手段。網絡的應急處置、預警監控、安全防護和審計等技術水平不高。最后,網絡安全制度未完善,未能涉及每個環節。安全管理主要集中在運行維護環節而忽略其他環節,最近幾年企業建設了不少IT系統,但上線前未對設備和系統進行徹底的安全檢測,同樣帶來安全隱患。
(二)關于適應形勢的發展
運營企業未能深入認識到通信網絡的基礎性以及全局性作用,隨著通信網絡移動化、IP化、智能化的發展,網絡安全觀念相對滯后,傳統的網絡通信安全意識仍停在設備可靠性等物理安全層面上,而對網絡攻擊、非法遠程控制和病毒傳播等威脅意識仍然不夠,對通信網絡安全防護的投入很少,對網絡安全存在僥幸心理。
(三)關于規范第三方服務的管理
運營企業在信息和網絡系統的安全的保障、規劃的設計、建設集成和網絡的運行維護等環節基本都依賴第三方服務。但是由于缺乏規程規范和制度,運營企業對第三方服務的管控力度不夠,致使服務過程存在較大風險。
(四)防護措施落實不到位
目前,網絡通信防護內容主要是防病毒、防攻擊、防入侵。但是,防護措施落實不夠,未能防范和抵御網絡系統的內外部安全風險,DDOS攻擊堵塞城域網和IDC的事件時有發生;未能及時升級軟件,漏洞管理不及時,被保護主機或系統會因為漏洞遭到黑客的攻擊;如果沒做好不同安全域之間和內外網隔離及其訪問控制工作,就可能導致不同系統間的非授權訪問;服務器或者系統開放不必要的服務和端口就會給黑客有機可乘,通過遠程攻擊和入侵;沒有啟用安全日志或者沒做好日志審計工作就會對故障的排查及處理,安全事件的還原工作帶來困難。
(五)關于網絡的安全意識
目前,運營企業的網絡和系統本身安全性不足,存在很多安全漏洞,而運營企業本身的內部網絡防范措施不足,太過依賴邊界安全,因此存在嚴重的安全隱患。
(六)關于遠程維護管控措施
有的遠程維護管理網絡平臺本身就有漏洞,而遠程維護管理控制的審批的管理、平臺的管理、日志的審計以及實時的監控等措施也不足,因此業務系統同時存在內外部的安全隱患。
(七)災難備份工作不夠完善
隨著網絡的集中管控程度的提高,在部分網絡單元中,還存在同管道、單節點、單路由等問題。
四、關于網絡安全的防護
(一)關于網絡安全維護的新情況和新問題
監管部門應該加強管理及隨時研究新技術帶來的安全問題,為提高工作的有效性和主動性,應及時提出相關的措施。
(二)關于安全防護的檢查力度
在傳統的安全防護檢查的基礎上,需要制訂和完善安全防護標準以針對非傳統安全的薄弱環節和突出問題,深入開展風險和安全評測。
(三)貫徹落實各項制度標準
電信監管部門應該積極組織開展《互聯網網絡安全應急預案》、《通信網絡安全防護管理辦法》等制度的學習宣傳和貫徹,落實安全防護工作。
(四)對應急事件的處理
隨著網絡技術的發展,網絡安全事件發生頻率將越來越高,電信監管部門應及時通報網絡安全信息,重視重大的網絡安全事件。
(五)關于主機、操作系統、數據庫配置方案
基于Intranet體系結構的運營企業的網絡系統,同時兼備廣域網和局域網的特性,是一個范圍覆蓋廣且充分利用了Intranet技術的分布式的計算機網絡,面臨的安全隱患很多,應安裝核心防護產品在需要保護的核心服務器上,部署中央管理控制臺在中央安全管理平臺上,以對全部的核心防護產品進行統一管理。
(六)關于網絡的安全技術水平
監管部門在網絡安全工作中應重視技術手段建設,隨時關注通信網絡的發展趨勢,加強技術研發,提高運營企業的抗擊能力。一直以來,運營企業的安身立命需要保證通信網絡的安全穩定運行。隨著信息通信技術的飛速發展,通信網絡所涉及的各種業務已經滲透到國家社會、政治及生活的各個方面,其地位和作用日趨重要。在新的發展形勢下,網絡的安全穩定已經成為通信運營企業所擔負的社會責任。
五、結語
當今是信息時代,掌握了信息就掌握了主動權,不管是經濟的發展還是戰爭的對抗,信息就是決定一切的先決條件。整個社會都在努力追趕信息時代的步伐,為的就是及時追隨時代的步伐,走在信息時代的最前沿才能掌握發言權。
參考文獻:
[1]楊朝軍.關于計算機通信網絡安全與防護策略的幾點思考[J].應用科學
[2]丁全文.淺談通信網絡的安全與防護[J].信息與電腦,2011,5
[3]馮登國.國內外信息安全研究現狀及其發展趨勢[J].網絡安全技術與應用,2001,1:8-13
[4]姜濱,于湛.通信網絡安全與防護[J].甘肅科技,2006,12,22
第3篇:網絡安全運營體系范文
[關鍵詞]移動網絡;網絡安全;防護技術
引言
根據工信部提供的數據,截至2018年3月,我國移動互聯網用戶總數高達13.2億,同比增加16.1%,移動網絡用戶數量的持續增加,不僅催生了新的經濟業態,便捷了用戶生活,也誘發了信息數據丟失、泄露等安全問題。為保持移動網絡的安全性與穩定性,研究團隊與技術人員需要從安全防護技術的角度出發,厘清設計需求,強化技術創新,逐步構建起完備的移動網絡安全防護技術體系。
1移動通信網絡安全防護技術概述
探討移動通信網絡安全防護技術構成與類型,有助于技術人員形成正確的觀念認知,掌握移動通信網絡安全防護的特點,梳理后續安全防護技術的設計需求,為安全防護技術的科學應用提供方向性引導。隨著移動網絡技術的日益成熟,移動通信網絡安全防護技術逐步完善,可以充分滿足不同場景下的網絡安全防護基本要求。具體來看,現階段移動網絡安全機制較為健全、完善,形成了網絡接入安全、網絡域安全、用戶域安全、應用安全等幾個層級[1],實現了移動網絡的傳輸層、服務層以及應用層的有效聯動,強化了對移動網絡入網用戶的身份識別能力,以更好地提升移動通信網絡的安全防護能力,相關技術構成如圖1所示。網絡接入安全保護技術的作用,使得用戶可以通過身份識別等方式,快速接入到移動網絡之中,從而規避無線鏈路攻擊風險,保證網絡運行的安全性,降低網絡安全風險。通過構建網絡安全域安全技術模塊,對移動網絡中的數據交互路徑采取加密保護等相關舉措,可以降低數據丟失或者泄露的風險。與其他網絡不同,移動網絡用戶相對而言較為固定,用戶群體較為明顯,這種特性使得在移動通信網絡安全防護應用過程中,可以通過簽約用戶識別模塊,形成移動實體/通用簽約用戶識別模塊(UniversalSubscriberIdentityModule,USIM)安全環境,實現移動網絡安全防護的靈活化、有效化,依托移動網絡安全防護技術,使得電信運營商的服務質量顯著提升,更好地滿足不同場景下、不同用戶群體的移動網絡使用需求[2]。隨著5G網絡的日益成熟,移動網絡安全防護技術也需要做出相應的轉變,通過形成移動通信網絡安全平臺,實現硬件系統與軟件系統的聯動,構建起平臺式、生態化的移動通信網絡安全防護機制,最大限度地保證用戶信息的安全性與有效性。
2移動通信網絡安全防護技術設計需求
移動通信網絡安全防護技術涉及的技術類型較為多元,為有效整合安全防護技術資源,技術人員應當明確安全防護技術需求,在技術需求導向下,提升移動通信網絡安全防護技術應用的有效性。
2.1移動通信網絡面臨的主要威脅
移動通信網絡在使用過程中,受到病毒、木馬、垃圾郵件等因素的威脅日益嚴重,用戶個人信息數據丟失案例逐年上升,網絡安全形勢日益嚴峻。出現這種情況的主要原因在于,移動通信網絡經過多年發展,其形成以網絡應用服務為核心,以移動終端為平臺的應用場景[3]。這種技術特性,使得越來越多的用戶愿意通過移動通信網絡進行數據的訪問。數據訪問的完成,固然提升了用戶的使用體驗,但是移動通信網絡在通過空中接口傳輸數據的過程中,出現數據截流或者丟失的概率也相對較大。移動通信網絡具有較強的開放性,用戶可以根據自身的需要,進行網絡資源的獲取與訪問,這種開放性,無形之中增加了安全事件的發生概率。這些移動通信網絡安全威脅要素的存在,勢必要求技術人員快速做出思路的轉變,通過技術創新與優化,持續增強技術的安全性。
2.2移動通信網絡安全防護技術設計基本要求
2.2.1基于體系安全的移動通信網絡安全防護為改善移動通信網絡安全防護能力,有效應對各類外部風險,避免數據竊取或者泄漏等情況的發生。在移動通信網絡安全防護工中,需要以平臺為基礎,豐富安全防護的路徑與場景,基于這種技術思路,我國相關安全技術團隊提出了平臺化的解決方案。將移動通信網絡終端作為主要平臺,對終端實體設備與網絡之間的初始認證路徑、認證頻次等做出適當的調整,形成安全信息的交互,這種平臺式的移動通信網絡安全防護技術,不僅可以提升實際的防護能力,還在很大程度上降低了移動通信安全防護技術的應用成本,避免了額外費用的產生,穩步提升了移動通信網絡安全防護的實用性與可行性[4]。
2.2.2基于終端安全的移動通信網絡安全防護終端是移動通信網絡數據存儲、交互、使用的重要媒介,基于這種認知,技術人員需要將終端作為安全防護的重要領域,通過技術的創新,打造完備的終端安全防護機制體系。例如,目前較為成熟的第三代移動通信網絡的認證與密鑰協商協議(AuthenticationandKeyAgreement,AKA),其根據終端特性,設置了可信計算安全結構,這種安全結構以可信移動平臺、公鑰基礎設施作為框架,將用戶終端中嵌入敏感服務,形成魯棒性終端安全平臺,從實踐效果來看,這種安全認證技術方案,不僅可以識別各類終端攻擊行為,消除各類安全風險,其技術原理相對簡單,實現難度較小,在實踐環節,表現出明顯的實踐優勢。
3移動網絡安全防護技術體系的構建
移動通信網絡安全防護技術的應用,要求技術人員從實際出發,在做好防護技術設計需求分析的基礎上,依托現有的技術手段,建立起完備的移動通信網絡安全防護技術應用體系,實現安全防護體系的健全與完善。
3.1應用可信服務安全防護技術方案
基于移動通信網絡安全防護技術設計要求,技術人員應當將平臺作為基礎,形成以移動可信計算模塊為核心的安全防護技術體系。從實際情況來看,移動可信計算模塊具有較強的獨立性,可以為用戶提供可靠的信息安全通道,對于移動通信網絡終端安裝的各類操作軟件進行合法性檢測,對于沒有獲得授權的軟件,禁止安裝與運行。這種技術處理方案實用性較強,具備較高的使用價值。
3.2應用安全服務器防護技術方案
為降低移動通信網絡安全防護技術的應用難度,技術人員將安全服務器納入防護技術方案中,通過安全服務器,移動通信網絡可以在較短的時間內完成移動端軟件完整性評估與合法性查詢,通過這種輔助功能,移動通信網絡使用的各類硬件、軟件保持在安全運行狀態,實現對各類安全事件的評估與應對,以保證安全防護成效。在安全服務器防護技術設置上,技術人員需要針對性地做好查詢功能的設置工作,為移動終端提供軟件合法性查詢服務。這種技術機制使得安全服務器可以對移動終端安裝或者運行軟件進行系統化查詢。例如,根據需要,對安裝或者運行軟件的合法性進行審查。審查過程中,終端通過本地的MTM進行查詢,如沒有獲得查詢結果,則發出查詢申請,安全服務器在接受申請后,進行系列安全查詢,并將查詢結果及時反饋給終端。在安全服務器使用過程中,還需要做好升級工作。例如,加強與軟件提供商的技術溝通,通過技術溝通,做好軟件安全性、合法性信息的生成,實現軟件的備案。還要持續提升運營網絡的接入網服務器交互功能,逐步強化移動終端完整性的整體性接入能力,保證移動終端的安全性與整體性。
3.3應用大數據下安全防護技術方案
大數據背景下,移動通信安全防護技術的應用,要求技術人員從安全監測、安全響應、系統恢復等層面出發,形成完備的安全防護機制。在安全監測模塊設計環節,技術人員通過入侵監測技術、網絡深度過濾技術、網絡抓包技術得以對移動通信網絡漏洞開展評估與分析,并根據評估結果,進行網絡安全補丁的下載,從而避免病毒等非法入侵行為的發生[5]。相應安全技術研發過程中,依托殺毒軟件、防火墻等現有的網絡安全防護技術方案,確保移動通信網絡在遭受攻擊后,可以快速響應,實現對網絡病毒的查殺,確保信息數據的安全性。要做好網絡終端數據的備份,定期進行移動通信網絡數據的備份,一旦出現信息泄露或者網絡遭受攻擊的情況,讓技術人員可以通過備份技術,快速完成數據的恢復,將信息泄露的損失降到最低。
第4篇:網絡安全運營體系范文
關鍵詞:電子政務 外網平臺 建設方案 張家口市
張家口市電子政務外網系統主要承載全市各級黨政機關面向社會服務的業務協同、社會管理、公共服務、應急聯動等應用系統,滿足市各級黨政機關之間信息傳輸、匯聚及各級黨政機關與公眾、企業之間信息交換、信息共享和管理服務的需求。
一、電子政務外網管理機構
以原市信息中心和原市政府辦公室辦公自動化管理中心為基礎,建立張家口市政府電子政務外網管理中心,作為全市電子政務外網統一的規劃、設計、建設和管理機構。
電子政務外網管理中心主要負責電子政務外網的系統支撐體系、應用服務體系、安全保障體系的建設、運行、管理和維護,提供統一互聯網接入服務,協調電子政務外網各個業務應用系統的建設和維護工作。
二、總體設計
⒈系統體系結構
張家口市電子政務外網系統的體系結構如圖1所示。
⒉網絡結構
根據河北省公務外網的建設目標和建設原則,結合現有網絡資源,構建市級橫向及上至省、下達縣區的三級縱向電子政務外網平臺。通過全市統一的電子政務網絡傳輸通道,實現省、市、縣電子政務外網縱向的互聯互通;實現市、縣各橫向部門的互聯互通。縣橫向網絡由屬地
圖1 張家口市電子政務外網系統體系結構
自行建設。市直各部門原則上不再建設縱向電子政務外網,已建成的縱向外網要逐步整合到市電子政務外網平臺上。
電子政務外網通過市政府電子政務外網管理中心實現與國際互聯網安全連接。
張家口市電子政務外網總體結構如圖2所示。
按照層次化網絡設計思想,把整個電子政務外網的網絡體系結構分為核心層(電子政務外網管理中心)、匯聚層(市委、市人大、市政府、市政協,軍分區、20個縣區政府中心節點)、接入層(高檢、高法,市直部門,大型企業、集團用戶、駐外機構等)三個層次。
電子政務外網是一個統一的網絡平臺,部門與部門之間是獨立的,各部門間的數據不能隨意訪問,建議部門間嚴格地隔離和控制。在電子政務外網建設中,應充分考慮各單位網絡縱向邏輯上的獨立性及橫向互訪的安全性。
張家口市電子政務外網的業務需求有如下特點:
――在同一物理網絡上需要承載多個相對獨立的業務系統;
――不同部門網絡地址可能存在重復使用問題;
――各業務系統為不同的職能部門開展業務提供服務,其數據流程和管理方式都存在差異;
――不同業務系統,需要在同一個網絡平臺上提供差異化服務,如對帶寬、實時性有不同的要求;
――不同業務系統之間需要提供安全隔離;
――全網需要對不同業務系統進行統一管理。
⒊電子政務外網縱向隔離和橫向互通
在進行MPLS VPN規劃時,必須解決好縱向網絡的隔離和橫向網絡的互通(參見圖3)。
三、資源整合
⒈整合原則
――電子政務外網系統基于全市統一的平臺建設。
――市直各部門、各縣區原則上不再建設縱向外網,已建成的要根據全市統一要求進行調整,適時逐步整合到統一的電子政務網絡傳輸通道上來。
――電子政務外網接入,應按照安全、保密的統一要求及全市制定的接入規范進行驗收,驗收合格后,方可接入。
――根據網絡建設實際情況,適時逐步進行網絡調整和優化。
――充分利用現有資源,保護已有投資。
⒉網絡資源整合
網絡整合的核心是構建全市統一的電子政務外網傳輸通道。
圖2 張家口市電子政務外網總體結構
圖3 電子政務外網縱向隔離和橫向互通示意圖
⒊信息資源整合
外界可訪問部分放在隔離區(DMZ),所有用戶均可訪問。
僅電子政務外網用戶訪問的部分,放置在全局共享區,內部所有用戶均可訪問(如圖4所示)。
⒋網站資源整合
⑴各部門互聯網門戶網站的整合
如果現有門戶網站沒有必要放在市電子政務外網中運行,那么該門戶網站可保持現狀,在省、市、縣政府的門戶網站中做鏈接,來增加其訪問量和影響力。
如果現有網站必須接入到電子政務外網平臺,那么可為該網站再分配市電子政務外網IP地址,其域名和網站物理位置保持不變。
⑵網絡系統內部與外部信息的整合
構建統一的網絡系統內部與外部信息平臺,建立全網統一、規范和完善的政務網站資源體系,以做到一個數據管理平臺維護,網內網外多個站點;使政府各部門信息的互聯互通,共享利用,能充分發揮各自的信息資源優勢,從而逐步實現電子政務外網辦公、互聯網的辦公模式。
圖4 專業應用系統整合結構示意圖
四、信息資源共享體系
⒈目錄服務體系
全省統一的目錄服務體系由省統一建立。
⒉數據交換體系
電子政務外網數據交換系統總體框架采用“三橫兩縱”的總體框架結構(參見圖5)。“三橫”為流程層的流程管理系統、應用層的數據交換與服務、數據層的應用適配器系統;“兩縱”為支撐“三橫”的配置管理及監控系統和安全支撐系統。
圖5 張家口市電子政務外網數據交換系統總體框架
五、應用服務體系
應用服務體系包括基礎層、組件層、功能層和表現層,它們分別為:政府門戶網站、公文流轉系統、移動辦公系統、電子郵件系統、IP電話系統、IP呼叫中心、視頻會議支撐平臺、視頻點播系統、應急指揮系統及其他業務系統。其總體結構如圖6所示。
六、安全保障體系
⒈設計原則
張家口市電子政務外網安全保障體系按照全省統一要求建立,其設計遵循以下原則:
――需求、風險、代價平衡原則;
――標準化、規范化原則;
――整體性、一致性原則;
――多重保護原則;
――可管理、易操作性原則;
――可評價性原則;
――整體規劃、分步實施的原則。
⒉設計目標
充分利用現有安全技術手段,解決電子政務外網安全防護和安全保密問題,解決業務應用整合和信息共享的支撐問題,使電子政務外網及其承載的業務應用系統在安全保密的基礎上實現互聯互通和信息共享。
⒊安全風險分析
隨著網絡規模和應用范圍的擴大,網絡安全風險也
圖6 業務應用系統總體結構框架
變得更加嚴重和復雜。從物理安全、鏈路安全、網絡結構安全、系統安全、應用安全及管理安全等角度,對張家口市電子政務外網系統進行安全風險分析。
⒋總體安全策略
張家口市電子政務外網安全保障體系嚴格遵循以下總體安全策略:
――未經允許的訪問都要嚴格禁止;
――允許的訪問都要經過認證、授權才能訪問;
――重要信息在網上傳輸要經過加密措施。
⒌安全保障系統構成
網絡安全保障體系包括物理安全、系統安全、網絡安全、應用安全和安全管理。網絡安全保障體系結構如圖7所示。
該建設方案重點描述張家口市電子政務外網網絡安全保障體系的規劃設計和技術措施。屬于應用系統自身的安全保障由“省112工程”各應用系統項目組根據各自需求,進行規劃、組織和實施。
⒍安全保障措施
網絡安全保障體系采用劃分全域,盡可能加大保障系數的措施,來確保系統的安全。電子政務外網安全域劃分為:市級網絡管理中心局域網安全域、市級專用城域網接入節點單位安全域、各區縣接入節點的接入網絡安全域。
七、建設、維護與管理
電子政務外網系統的網絡運行維護由市政府電子政務外網管理中心和運營商共同承擔。
系統的運行管理和監控由市政府電子政務外網管理中心負責。
網絡系統和相應設備通過招投標,由中標運營商承建并負責維護,要求運營商設置專門的維護隊伍,具備“一點業務受理”、“一點障礙申告”和“全程技術服務”等特性。
運營商必須指定專職部門負責全市傳輸平臺的組織調度,使統一傳輸平臺的通信質量指標滿足表1中的要求。
運營商從以下幾個方面負責統一傳輸平臺的維護管理工作:
⑴業務功能管理
為電子政務網絡量身定做合理的技術方案。根據黨政主管部門業務需求調度縱向傳輸平臺的傳輸電路,開通橫向傳輸平臺VPN。在承諾的時限內保障業務功能端到端全程開通,并提供端到端開通測試報告。
⑵性能管理
對統一傳輸平臺整體資源使用情況進行實時和歷史分析,通過對網絡中所有設備的利用率和中繼流量進行統計分析,進而判斷網絡是否存在瓶頸,定時給出性能分析報告,并提出合理化解決建議和方案。
圖7 網絡安全保障體系結構
表1 傳輸平臺的通信質量指標一覽表序號項目市級縣級
⑶故障管理
運營商為統一傳輸平臺提供7×24小時的網絡監視服務,并通過功能完善的網管系統做到對網絡故障的及時發現、定位和排除,保證“電路可用率”和“故障恢復及時率”等關鍵運行指標。
⑷安全管理
在統一傳輸平臺的物理層、鏈路層、網絡層采取各種安全措施來保障電子政務網絡的安全;健全內部安全管理和審計制度,從管理層面保證網絡系統安全。
參考文獻:
第5篇:網絡安全運營體系范文
困局形勢
近幾年中國移動互聯網發展非常快,每天都有成千上萬的APP出現,但實際上這些APP里面有很多不規范的、惡意的行為。
我們曾處理過這樣一個APP的例子:它實際上是一個小的創業文檔的APP,主要功能是分享一些文檔,完全不需要用戶的聯系人信息。但是它卻在用戶不知情的情況下偷偷讀取用戶聯系人信息并上傳。雖然它有明顯的越界行為,但由于當下法律依據不足,就無法對這個APP的制作者進行徹底打擊。
第二個例子是去年6月份出現的斯諾登事件,在這個事件里讓大家很震驚的是所謂的“金剛”配合美國的NSA所做的一系列監控工作。當我們譴責這種行為的同時,我們也想思考另外一個問題:在涉及到國家安全方面的問題時,美國的公司能夠完全摒棄相互之間的利益之爭,合作并攜手應對國家的安全問題。反過來,我們是什么情況呢?我們這些年來在整個國家總體部署下,各個單位和各個部門自身網絡安全的保障能力都在持續地、不斷地提高,但真正發生這種大規模的網絡安全事件時,實際上還是各干各的,相互之間沒有任何的協作。
我們現在面臨的問題是分而有余,合而不足,之所以出現越來越多的網絡安全問題,當然目前我國在網絡安全方面的法律體系本身是不健全的。但更重要的是,我國在整個網絡安全保障體系上能力不足,沒有一個有效整體的防御體系和規劃。網絡安全體系保障的困局導致了我們在互聯網安全方面治理的困難。
今年上半年我們監測發現,我國移動互聯網在惡意程序方面,光今年上半年就新增了36.7萬,和去年同期相比增長了13%。在這里我們發現移動惡意程序的趨利性越發明顯,傳播渠道非常廣泛,防不勝防。甚至我們發現有一個單個域名所包含的惡意程序最多達到了1700多個。這種惡意程序的改主機的規模是非常大的,今年境內感染木馬僵尸網絡的主機就達到了262萬臺。
此外涉及到重要單位的漏洞事件越來越多,而且漏洞出現了以后,不僅每天有增量出現,存量也在不斷往前走。像OpenSSL已經引起了全世界最大程度的重視,實際上一直到現在,還有16%沒有修補。新的風險出現,但是原來的風險始終修補不了,這帶給我們的風險壓力和威脅就會變得越來越大。
差距現狀
也就是說,目前我們面臨著很大的類似于保障體系不足的問題。跟世界各國發達國家相比,我們在網絡安全保障方面有哪些差距呢?
事實上,差距還是很大的。首先是從技術的角度來說,去年有兩件轟動世界的事都與中國有關:一個是在去年2月份的時候,美國了一個所謂的APT的分析報告,第二個就是在6月份的時候斯諾登的棱鏡事件。從棱鏡事件中我們可以看到,美國在面臨網絡安全問題的時候能夠有效協調安全廠商、技術機構、媒體形成常態化優勢,而我們在技術標準、監管機制和產業聯合引導方面仍舊不足,特別是在產業方面,國內很多安全廠商都希望做大而全的完整的產品線,大家更多是追求商業模式上的創新,在相關的技術方面的投入是非常少的。這樣使得廠商都聚焦在一個有限的市場上,拼命想分蛋糕,而不是想怎么把蛋糕做大。同質競爭導致廠商盈利能力越來越差,整個技術創新能力始終提高幅度比較有限。
反過來,美國安全產業總體格局非常完善,在最底層它有非常強大的,全世界都要使用的基礎的信息巨頭,在上面有一系列網絡安全的產業聚集和一系列的專業安全廠商,同時針對相應的政府的部門,它有一系列的專業技術企業,整個這一系列的企業最后構成了一個非常完整的網絡安全的產業格局。這種體系格局自然而然對提高它的整體網絡安全能力就變得非常重要。
從網絡安全產業在IT領域的投入來看,中國只有1%的比例,而國外發達國家則遠超該比例,一般有9%左右。而我國的安全人才儲備也遠遠不足,本來已經很稀缺的一些高精尖的人才,還由于國內網絡安全產業發展空間不足而流失國外。此外,一些人才也轉而進入了游戲、移動互聯網等應用領域,更令人痛心的是一些人還進入了黑色產業。
工作思路
要想解決整個國家網絡安全保障體系能力提升的問題,最重要的一點就是要強調合作。
這些年我們一直嘗試著和國內相關的安全企業、用戶部門以及信息系統單位和政府部門合作。通過這種合作體系我們發現如果有了一個很廣泛的合作體系,那么一旦出現大規模安全事件時,實際上就有一個很暢通的渠道,能夠很容易或者相對迅速地把安全問題解決掉。
這些年來我們覺得面對安全問題的時候,一個非常重要的問題是存在著漏洞,如果我們能夠預先知道漏洞,在這個漏洞整個被利用前能夠找到和把它修補起來,自然而然網絡安全的保障能力就會有一個很大的提升。對于一個整體的漏洞防御體系來說,有一個好的報告平臺非常重要。
我們在2010年成立了一個CNVD國家信息漏洞安全平臺,在這個平臺中有國內2000多個白帽子群體加入進來,基于這個平臺每天都能處置50到100起漏洞事件,建立了和多個廠家的合作渠道,能夠開展持續有效的監督。
互聯網這些年得到了蓬勃發展,它是大家一起出于共同的目的和共同的利益,在共同規則的基礎上一起自愿參與和自主驅動,最后實現了目前這個大規模的互聯網。我們的網絡安全也可以按照這種發展體系,大家一起自主自愿自由的來驅動整個網絡安全體系,以一種聯盟的形式,攜手共建保障我國網絡安全自增長體系。
打造自增長技術體系 在技術的環節上,通過大家一起協商構建大家認可的技術標準,把運營商、互聯網企業、用戶部門一起基于這個共同的技術標準,把系統結合起來,擴大監測范圍。這樣對于企業來說能夠把它的全局態勢的破解能力和整個國家全局資源進行對接,對于整個運營商來說,它落實監管要求和增強自身的防控能力也是非常強的,對于黨政機關其自身的防控需求和能力也會有一個提高。
打造自增長合作體系 在整個合作體系方面,有條件的運營商、企業等都可以加入到我們整個的協作體系中一起合作,這樣在出現了問題以后,能夠一起在整個全世界公認的CNCERT的理念和價值觀驅動下快速協作,把問題解決。
打造人才自增長體系 在人才的體系方面,我們不但要利用高效的體制,還應該把整個社會力量發動起來,全局性的一起協作,培養真正有用的、實踐上需要的網絡安全人才。
第6篇:網絡安全運營體系范文
【關鍵詞】銀行業務;網絡安全;安全防護
近幾年來,隨著互聯網技術和通信技術的高速發展,各大銀行網絡業務的競爭日益激烈,網絡結構變得越來越復雜,進一步凸顯了銀行網絡安全保障方面存在的問題。因此,必須加強對銀行網絡安全防護的統一規劃和建設,確保銀行網絡業務的正常開展和運營,促進銀行新型網絡業務的發展。
1 銀行網絡安全防護機制的構建意義
隨著銀行網絡業務規模的持續擴大,網絡面臨的安全隱患問題也逐漸增多。如何在確保銀行網絡業務可持續發展的基礎上完善其安全體系,降低銀行網絡面臨的風險問題,成為了網絡安全領域面臨的重大挑戰。本文旨在解決銀行網絡業務存在安全隱患和威脅的基礎上,形成清晰的網絡拓撲結構,使其具有良好的身份認證策略、訪問控制策略和入侵檢測方法,確保銀行網絡在正常運營的前提下擁有較強的抗病毒、抗攻擊能力。
2 銀行網絡安全防護系統體系架構設計
銀行網絡安全防護系統的基礎網絡采用三層架構模式,由上到下分別為網絡核心層、網絡匯聚層和網絡接入層。
網絡核心層:其功能主要是為銀行開展網絡業務提供高速率數據傳輸和穩定的骨干網絡傳輸結構,因此,網絡核心層必須具有郊區的可靠性和穩定性,以及高速率的網絡連接技術,以適應網絡情況的實時變化。
網絡匯聚層:網絡匯聚層是接入多臺網絡交換機的匯聚之處,需要對來自下層的全部數據通信進行處理,同時將處理結構反饋到網絡核心層的上行鏈路,由此起到承上啟下的匯聚作用。網絡匯聚層的設計要充分滿足銀行網絡業務增長的需求,還要進一步綜合考慮新興業務的擴展應用。
網絡接入層:主要為網絡用戶連接到網絡提供服務,具有網絡帶寬共享、網絡劃分和MAC地址過濾等功能。網絡接入層的交換機端口密度高、價格成本低,可以考慮采用堆疊式和網管式交換機,其高速端口與匯聚層交換機連接,普通端口與計算機終端連接,從而緩解骨干網絡的擁塞情況。
3 銀行網絡安全防護系統網絡拓撲設計
圖 1 銀行安全防護網絡拓撲結構圖
銀行安全防護網絡拓撲結構采用三層雙星型架構模式,這種網絡架構模式的網絡層次明確,具有高度的安全性、穩定性和可擴展性。三層結構模式使網絡層級功能明晰,以確保網絡后期建設維護操作方便;雙星結構模式可以保證銀行網絡業務通信的實時性,同時實現網絡負載均衡和實時備份功能。三層雙星型復合架構有利于銀行網絡業務的動態擴展,更有利于網絡安全防護機制的順利實施。銀行安全防護網絡拓撲結構如上圖1所示。
4 銀行網絡安全防護機制設計
4.1 入侵檢測系統
入侵檢測系統的部署主要是防止外界非法人員對銀行網絡進行攻擊,及時發現非法人員的入侵行為,以確保能夠立刻采取網絡防范措施。在銀行網絡中的關鍵部位部署入侵檢測系統,可以實時監測流入和流出銀行網絡的數據流量,分析確認非法入侵行為,以確保銀行網絡業務的正常開展。銀行網絡安全防護系統中的入侵檢測工作流程如圖2所示:
圖2 入侵檢測系統工作流程圖
4.2 堡壘主機防御
堡壘主機的部署主要目的是實現銀行內部辦公人員與外部人員訪問銀行內部網絡資源全部都要經過堡壘主機,對全部操作數據信息進行實時記錄,確保操作行為審計。
4.3 網絡防病毒系統
網絡防病毒系統具有一定區域范圍內實時監控和殺毒能力的軟件系統,具有網絡病毒隔離、病毒種類識別鑒定、病毒根源實時跟蹤等特點。銀行網絡安全防護系統采用SOC病毒服務器,可以實現企業級的防病毒部署安裝,對終端病毒進行統一管理。
4.4 動態口令認證系統
動態口令認證系統可以實現網絡用戶合法身份的認證,將發送給網絡用戶的密碼和USB Key作為身份認證依據,在網絡設備中啟用Radius認證,同時實現口令認證服務器的聯動來確保網絡用戶身份的合法性。當登陸到動態口令認證系統時,其口令是隨機變化的,為了防止網絡監聽、數據假冒和猜測等攻擊問題,每個口令只能輸入使用一次。
4.5 漏洞掃描系統
漏洞掃描系統是采用掃描漏洞的手段對本地計算機系統的安全情況進行檢測,基于安全漏洞數據庫來發現系統漏洞,因此,漏洞掃描系統屬于一種滲透攻擊行為。
4.6 漏洞補丁系統
漏洞補丁系統采用的是C/S架構模式,客戶端已經配置在不同的操作系統中,由此將客戶端與服務器相互連接,實現漏洞補丁的自動下載功能。
4.7 數據庫安全設計
數據庫安全指的是對數據庫系統中的數據信息進行有效保護,防止數據信息遭到非法竊取和泄露。在銀行網絡安全防護系統中,數據庫與操作行為的安全性是相互結合的,當網絡用戶登錄到系統之后,系統會對應不同網絡的權限進行角色確認,才能允許用戶登錄到數據庫系統中,同時,用戶存取數據庫中的資源權限也要經過操作安全性檢測后才能允許進行,以最大限度確保了系統數據庫的安全。
5 結論
綜上所述,本文提出的銀行網絡安全防護系統可以創建統一管理的網絡對外接口,確保對銀行網絡業務數據的高效管理和內部資源共享,切實提高銀行內部網絡訪問的可信度,降低網絡安全威脅事故的發生率。
參考文獻:
[1]于順森.探討銀行計算機網絡安全管理[J].信息與電腦(理論版),2013(02).
[2]王曉姝.商業銀行網絡安全風險分析[J].中國新通信,2013(09).
[3]田雷年.銀行無線網絡組網及安全研究[J].中國新通信,2013(10).
第7篇:網絡安全運營體系范文
【關鍵詞】網絡安全;網絡攻擊;建設與規劃;校園網
1、網絡現狀
揚州Z校擁有多個互聯網出口線路,分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環境,網絡核心區是思科7609的雙核心交換機組,確保了Z校校園骨干網絡的可用性與高冗余性;數據中心是由直連在核心交換機上的眾多服務器組成;終端區分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外,還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規模,校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。
2、安全威脅分析
目前,Z校網絡安全保障能力雖然初具規模,但是,在信息安全建設方面仍然面臨諸多的問題,如,網絡中缺乏網管與安管系統、對網絡中的可疑情況,沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態,風險管理全憑感覺等等,以上種種問題表明,Z校需要對網絡安全進行一次全面的規劃,以便在今后的網絡安全工作中,建立一套有序、高效和完善的網絡安全體系。
2.1安全設備現狀
Z校部署的網絡安全防護設備較少。在校區的互聯網出口處,部署了一臺山石防火墻,在WEB服務器群前面部署了一臺WEB應用防火墻。
2.2外部網絡安全威脅
互聯網出現的網絡威脅種類繁多,外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的,對內網中的各種網絡設備發起攻擊,網絡中雖然有一些基礎的防護,但是,黑客們只要找到漏洞,就會利用內網用戶作跳板進行攻擊,最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。
2.3內部網絡安全威脅
內部惡意入侵的主體是學生,還有一些網絡安全意識薄弱的教職工。Z校學生眾多,學生們可能本著好奇、試驗、炫技或者惡意破壞等目的,入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件,照成網絡堵塞甚至癱瘓。
3、安全改造需求分析
本次安全改造,以提升鏈路穩定性,提高網絡的服務能力為出發點,Z校在安全改造實施中,應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率:Z校網絡出口與CERNET、Internet互聯,選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源,提升網絡訪問速度,最大化保障校園網內部用戶的網絡使用滿意度,同時又要合理節約鏈路成本,均衡使用各互聯網出口鏈路,是網絡安全建設的首要需求。2)實現關鍵設備的冗余性:互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備,均以NAT模式或者路由模式部署,承載了整個校園網的業務處理,任何一個設備出現問題將直接導致業務不能夠連續運行,無任何備份措施,只能替換或者跳過出故障的設備,且只能以手工方式完成切換,無論從響應的及時性,還是從保障業務連續性的角度,都存在很大的延遲,為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設備數量較多,需要對所有安全設備進行統一日志收集、查詢工作,傳統單臺操作單臺部署的方式運維效率低下,所以需要專業集中監控、配置、管理的安全設備,統一對眾多安全設備進行集中監控、策略統一調度、統一升級備份和審計。
4、解決方案
網絡安全建設是一個長期的項目,不可能一蹴而就,一步到位,網絡安全過程建設中,在利用學校原有設備的基礎上,在資金、技術成熟的條件下,逐步實施。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。
4.1短期網絡建設規劃
4.1.1短期部署規劃以安全區域的劃分為設計主線,從安全的角度分析各業務系統可能存在的安全隱患,根據應用系統的特點和安全評估是數據,劃分不同安全等級的區域[3]。通過安全區域的劃分,明確網絡邊界,形成清晰、簡潔的網絡架構,實現各業務系統之間嚴格的訪問安全互聯,有效的實現網絡之間,各業務系統之間的隔離和訪問控制。本次短期網絡建設,把整個網絡劃分為邊界安全防護區域、核心交換區域、安全管理區域、辦公接入區域、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2,從圖2可以看出,出口區域,互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備,以NAT模式或者路由模式部署,無任何備份措施,為此需要再引入一臺同型號的防火墻設備,實現雙機冗余部署。同理,原城市熱點認證網關和行為管理設備需要再各補充一臺,組成雙機冗余方案。安全管理區域根據學校預算,部署幾臺安全設備。首先,部署一臺堡壘機,建立集中、主動的安全運維管控模式,降低人為安全風險;其次,部署一臺入侵檢測設備(IDS),實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量,防止在出現攻擊后無數據可查;再部署一臺漏洞掃描設備,對網絡內部的設備進行漏洞掃描,找出存在的安全漏洞,根據漏洞掃描報告與安全預警通告,制定安全加固實施方案,以保證各系統功能的正常性和堅固性;最后,部署一臺安全審計設備(SAS),實時監控網絡環境中的網絡行為、通信內容,實現對網絡信息數據的監控。服務器集群區域,除了原有的WEB防火墻外,再部署一臺入侵防護設備(IPS),攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量,保護Z校的信息系統和網絡架構免受侵害,防止操作系統和應用程序損壞或宕機[4]。
4.2長期網絡建設規劃
網絡安全的防護是動態的、整體的,病毒傳播、黑客攻擊也不是靜態的。在網絡安全領域,不存在一個能完美的防范任何攻擊的網絡安全系統。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統,需要建立一套全方位的,從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前,網絡安全體系化建設結合重點設備保護的策略,再配合第三方安全廠商的安全服務是網絡安全建設的優選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程,建立一個科學的安全體系和模型,再根據安全體系和模型來分析網絡中存在的各種安全隱患,對這些安全隱患提出解決方案,最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手,建立統一的安全保障體系。組織體系著眼于人員的組織架構,包括崗位設置、人員錄用、離崗、考核等[5];技術體系分為物理安全、網絡安全、主機安全、系統運維管理、應用安全、數據安全及備份恢復等;管理體系側重于制度的梳理,包括信息安全工作的總體方針、規范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎,以管理體系為保障,以技術體系為支撐[6],全局、均衡的考慮面臨的安全風險,采取不同強度的安全措施,提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點,安全體系為核心,安全指導為原則,體系建設為抓手,組織和制定安全實施策略和防范措施,在建設過程中不斷完善安全體系結構和安全防御體系,全方位、多層次滿足安全需求。
5、結語
從整個信息化安全體系來說,安全是技術與管理的一個有機整體,僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題,是從設備到人,從服務器上每個服務程序到Web防火墻、入侵防御系統、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題,每一個環節,都是邁向網絡安全的步驟之一。文中的研究思路、解決方案,對兄弟院校的網絡安全建設和改造有參考價值。
參考文獻:
[1]王霞.數字化校園中網絡與信息安全問題及其解決方案[J].科技信息,2012.7:183-184
[2]黃智勇.網絡安全防護系統設計與實現[D].成都:電子科技大學,2011.11:2-3
[3]徐奇.校園網的安全信息安全體系與關鍵技術研究[D].上海:上海交通大學,2009.5:1-4
[4]張旭輝.某民辦高校網絡信息安全方案的設計與實現[D].西安:西安電子科技大學,2015.10:16-17
[5]陳堅.高校校園網網絡安全問題分析及解決方案設計[D]長春:長春工業大學,2016.3:23-31
第8篇:網絡安全運營體系范文
關鍵詞:企業;內網;安全防護
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 11-0000-01
Talking on How to Build Enterprise Intranet Security System
Chen Kankan
(Fuzhou Local Taxation Bureau Foreign Tax Bureau,Fuzhou350000,China)
Abstract:At present,China has been into the Internet age,is inseparable from development and construction of network system.However,because too many companies rely on network functions,and ignore the network environment information system operating risks,resulting in unnecessary losses.This will be the construction of corporate Intranetsecurity risks and protection system of the establishment of strategies to analyze and explain the problem to improve network efficiency and security applications.
Keywords:Enterprise;Intranet;Security
隨著商業競爭全球化的發展趨勢,企業若想得到長遠發展,必須不斷拓展業務并提高客戶滿意度,同時加強對運營成本的控制。隨著信息化時代的到來,很多企業依賴網絡開拓市場,加強與客戶、合作商之間的溝通效率。但是應該認識到,電子商務作為一把雙刃劍,既給企業帶來發展便利、提高綜合競爭力,同時也給企業內部及外部帶來安全隱患,甚至對企業發展產生不利,對企業的運營成本、盈利水平及客戶滿意度等均產生負面影響。
一、網絡環境下企業發展面臨的安全隱患
(一)物理環境影響。在物理環境中,涉及到計算機硬件、網絡設備、數據安全等問題,其中對企業網絡安全產生影響的主要因素為:輻射、靜電、硬件故障、自然災害等,以及偷竊、盜用等人為因素。另外,除了光纜以外的通信介質都存在不同程度的電磁輻射,而計算機入侵者就可以通過利用電磁輻射,對各種協議分析儀或者信道檢測器等竊聽,通過對信息的分析,能輕易得到用戶口令、賬號、ID等重要安全信息。
(二)黑客攻擊與非法入侵。黑客通過非法入侵及惡意攻擊等行為,對企業用戶的網絡使用及商務活動產生破壞。黑客已經成為當前互聯網業務以及企業輔助工作中最嚴重的安全問題之一。黑客攻擊與非法入侵主要對企業產生以下影響:組織計算機系統的正常使用;通過向企業發送垃圾信息,堵塞網絡正常通信;植入木馬等病毒,并對企業重要數據進行監控、復制、刪除或者毀壞。無論是出于什么目的的黑客入侵,最終都可能導致企業無法正常工作、數據損壞等問題。
(三)網絡協議安全隱患。網絡協議中多采用tcp/ip協議,目前設計的目標是互聯、互通與互操作,而缺乏對安全的重視,同時由于網絡處于完全公開狀況下,造成協議中存在諸多安全隱患。
二、構建企業網絡安全防護體系的有效策略
(一)加強防火墻技術。防火墻主要由硬件設備與軟件設備組合而成,是企業或者網絡計算機與外界溝通的渠道,對于外部用戶對內部網絡的訪問產生限制,并對內部用戶的訪問網絡權利實現管理。防火墻主要分為內部防火墻與外部防火墻兩部分,其中內部防火墻用于控制內部各部門的子網之間通信安全;外部防火墻則用于隔離外部網絡與內部網絡,又是溝通內部網絡與外部網絡的通信橋梁。
另外,放置防火墻的位置也十分重要,一般建議使用出口路由器替換防火墻,可在路由形式下開展工作,以實現出口網關工作模式。這種模式可有效確保內部開放服務器與路由器自身安全,并將內部開放服務集中在DMZ區的隔離,在規則配置方面則實現差異化配置,簡化了網絡拓撲,便于及時監測網絡故障。
(二)重視網絡安全預警。在現代化企業網絡安全預警系統中,主要分為入侵預警與病毒預警。一方面,入侵預警系統中的入侵檢查工作可對網絡傳輸數據的授權進行確認,如果檢測到入侵信號,將會及時發出警報,避免網絡威脅問題產生。通過入侵預警系統,可以對網絡、系統等實現掃描,并綜合實時監控與防火墻產生的安全數據,提供內部網絡與外部網絡的實時分析,對發現的風險源產生直接響應,并提供企業網絡安全風險管理報告,報告中應包含實時風險、安全漏洞、攻擊條件等內容的分析。通過入侵告警報告,可對入侵信息起到提示作用,并分析入侵趨勢,最終確定網絡是否在安全環境下運行。另一方面,病毒預警系統可對網絡發出的數據包實現全天24小時監控及持續掃描,一旦發現病毒立即發出報警信號,通知網絡管理人員,并通過IP地址定位及端口定位等手段跟蹤病毒來源,同時產生掃描日志和報告,實現網絡病毒跟蹤。
(三)強化入侵防御系統(IPS)。入侵防御系統(IPS)通過深度感知及監測數據流量,可實現對惡意攻擊的阻斷,對濫用報文現象限流,以確保網絡帶寬資源,如果發現攻擊行為,立即發出響應,主動切斷連接。在部署形式上,IPS主要以串聯方式接入,當監測到攻擊時,會在攻擊擴散到網絡之前阻止,及時終止通信。因此,IPS技術更符合企業內網安全建設。
(四)充分利用數字加密與數字簽名。由于網絡安全很難做到完全控制,因此在企業內網中可采用一系列加密手段,尤其對重要文件實現加密存儲,如重要郵件的發送及文件傳輸等,也可實現文件加密或者數字簽名,以確保數據安全性。數據加密技術是當前保護數據傳輸安全與存儲安全的有效方法之一,可實現對內網數據、口令、文件及控制信息的保護,避免信息被非法用戶閱讀、操作或者修改,防止非授權用戶入網。
(五)定期備份數據。在企業網絡安全防護體系中,應按照規定及時采取定期備份數據處理,完善應用程序與系統軟件,并對備份的存儲介質加強安全保護。一般數據應采取每天備份的形式,而應用程序與系統軟件由于一般變化不大,可每周或者每月進行備份。對于整個企業網絡系統的備份頻率主要由信息系統讀寫與修改的情況決定。如果計算機系統中的操作參數或者安全控制參數等發生改變,應對整個系統進行重新備份。對于已經備份好的資料應注意維護與保存,內部審計師也應加強對其存放的檢查工作,并對存放場所的安全可靠性進行評價。
由上可見,企業通過網絡安全防護體系的建立,提高安全防范意識,有效保障信息系統運行的穩定性、可靠性、完整性,確保數據傳輸在快捷、安全的環境下運行,同時企業網絡系統安全性的提高,也需要管理人員及用戶等多方面的努力,主觀因素與客觀因素缺一不可。
參考文獻:
[1]別玉玉.企業網絡安全防護策略之"人工層"策略[J].硅谷,2010,17
[2]孫樂.某科技企業網絡防病毒系統的設計與實施[J].北京郵電大學:軟件工程,2008
[3]徐茂或.防火墻技術在企業網絡中的應用[J].魅力中國,2009,28
第9篇:網絡安全運營體系范文
前言:隨著信息技術的高速發展,互聯網越來越被人們所重視,從農業到工業再到高科技產業各行各業都在使用互聯網參與行業生存與競爭。企業對網絡的依存度越來越高,網絡在企業中所處的位置也越來越重要,系統中存儲著維系企業生存與競爭的重要資產-------企業信息資源。但是,諸多因素威脅著計算機系統的正常運轉。如,自然災害、人員的誤操作等,不僅會造成系統信息丟失甚至完全癱瘓,而且會給企業造成無法估量的損失。因此,企業必須有一套完整的安全管理措施,以確保整個計算機網絡系統正常、高效、安全地運行。本文就影響醫院計算機網絡安全的因素、存在的安全隱患及其應對策略三個方面進行了做了論述。
一、醫院網絡安全存在的風險及其原因
1.自然因素:
1.1病毒攻擊
因為醫院網絡同樣也是連接在互聯網上的一個網絡,所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的,而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器,造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬,阻塞正常流量,形成拒絕服務攻擊。我們清醒地知道,完全避免所有終端上的病毒是不可能的,但要盡量減少病毒爆發造成的損失和恢復時延是完全可能的。但是由于一些工作人員的疏忽,使得醫院網絡被病毒攻擊的頻率越來越高,所以病毒的攻擊應該引起我們的關注。
1.2軟件漏洞
任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊,主要在以下幾個方面:
1.2.1、協議漏洞。例如,IMAP和POP3協議一定要在Unix根目錄下運行,攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄,從而獲得超級用戶的特權。
1.2.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下,就接受任何長度的數據輸入,把溢出部分放在堆棧內,系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令,來造成系統不穩定狀態。
1.2.3、口令攻擊。例如,Unix系統軟件通常把加密的口令保存在一個文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時更新的系統,都是容易被攻擊的。
2、人為因素:
2.1操作失誤
操作員安全配置不當造成的安全漏洞,用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見,隨著網絡管理制度的建立和對使用人員的培訓,此種情況逐漸減少.對網絡安全己不構成主要威脅。
2.2惡意攻擊
這是醫院計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。網絡黑客和計算機病毒對企業網絡(內聯網)和公網安全構成巨大威脅,每年企業和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范,因此防范人為的惡意攻擊將是醫院網絡安全工作的重點。
二、構建安全的網絡體系結構
1.設計網絡安全體系的原則
1.1、體系的安全性:設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性,必須保證體系的完備性和可擴展性。
1.2、系統的高效性:構建網絡安全體系的目的是能保證系統的正常運行,如果安全影響了系統的運行,那么就需要進行權衡了,必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件,它們也會占用網絡系統的一些資源。因此,在設計網絡安全體系時必須考慮系統資源的開銷,要求安全防護系統本身不能妨礙網絡系統的正常運轉。
1.3、體系的可行性:設計網絡安全體系不能純粹地從理論角度考慮,再完美的方案,如果不考慮實際因素,也只能是一些廢紙。設計網絡安全體系的目的是指導實施,如果實施的難度太大以至于無法實施,那么網絡安全體系本身也就沒有了實際價值。
1.4、體系的可承擔性:網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由企業來支持,要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多,那么我們就不該采用這個方案。所以,在設計網絡安全體系時,必須考慮企業的業務特點和實際承受能力,沒有必要按電信級、銀行級標準來設計這四個原則,可以簡單的歸納為:安全第一、保障性能、投入合理、考慮發展。
2、網絡安全體系的建立
網絡安全體系的定義:網絡安全管理體系是一個在網絡系統內結合安全技術與安全管理,以實現系統多層次安全保證的應用體系。網絡系統完整的安全體系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠,確保應用系統正常運行。主要包括以下幾個方面:
(1)防止非法用戶破壞系統設備,干擾系統的正常運行。
(2)防止內部用戶通過物理手段接近或竊取系統設備,非法取得其中的數據。
(3)為系統關鍵設備的運行提供安全、適宜的物理空間,確保系統能夠長期、穩定和高效的運行。例如:中心機房配置溫控、除塵設備等。
網絡安全性主要包括以下幾個方面:
(1)限制非法用戶通過網絡遠程訪問和破壞系統數據,竊取傳輸線路中的數據。
(2)確保對網絡設備的安全配置。對網絡來說,首先要確保網絡設備的安全配置,保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。
(3)網絡通訊線路安全可靠,抗干擾。屏蔽性能好,防止電磁泄露,減
少信號衰減。
(4)防止那些為網絡通訊提供頻繁服務的設備泄露電磁信號,可以在該設備上增加信號干擾器,對泄露的電磁信號進行干擾,以防他人順利接收到泄露的電磁信號。
應用安全性主要是指利用通訊基礎設施、應用系統和先進的應用安全控制技術,對應用系統中的數據進行安全保護,確保能夠在數據庫級、文檔/記錄級、段落級和字段級限制非法用戶的訪問。
另外,對存放重要數據的計算機(服務器、用戶機)應使用安全等級較高的操作系統,利用操作系統的安全特性。
三、網絡安全的技術實現
1、防火墻技術
在外部網絡同內部網絡之間應設置防火墻設備。通過防火墻過濾進出網絡的數據,對進出網絡的訪問行為進行控制和阻斷,封鎖某些禁止的業務,記錄通過防火墻的信息內容和活動。對網絡攻擊進行監測和告警。防火墻可分為包過濾型、檢測型、型等,應根據不同的需要安裝不同的防火墻。
2、劃分并隔離不同安全域
根據不同的安全需求、威脅,劃分不同的安全域。采用訪問控制、權限控制的機制,控制不同的訪問者對網絡和設備的訪問,防止內部訪問者對無權訪問區域的訪問和誤操作。
我們可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。在關鍵服務器區域內部,也同樣需要按照安全級別的不同進行進一步安全隔離。
劃分并隔離不同安全域要結合網絡系統的安防與監控需要,與實際應用環境、工作業務流程和機構組織形式密切結合起來。
3、防范病毒和外部入侵
防病毒產品要定期更新升級,定期掃描。在不影響業務的前提下,關閉系統本身的弱點及漏洞并及時打上最新的安全補丁。防毒除了通常的工作站防毒外,email防毒和網關式防毒己經越來越成為消除病毒源的關鍵。還應使用掃描器軟件主動掃描,進行安全性檢查,找到漏洞并及時修補,以防黑客攻擊。
醫院網管可以在CISCO路由設備中,利用CISCOIOS操作系統的安全保護,設置用戶口令及ENABLE口令,解決網絡層的安全問題,可以利用UNIX系統的安全機制,保證用戶身份、用戶授權和基于授權的系統的安全,:對各服務器操作系統和數據庫設立訪問權限,同時利用UNIX的安全文件,例如/etc/hosts.equiv文件等,限制遠程登錄主機,以防非法用戶使用TELNET、FTP等遠程登錄工具,進行非法入侵。
4、備份和恢復技術
備份是保證系統安全最基本、最常用的手段。采取數據的備份和恢復措施,有些重要數據還需要采取異地備份措施,防止災難性事故的發生。
5、加密和認證技術
加密可保證信息傳輸的保密性、完整性、抗抵賴等,是一個非常傳統,但又非常有效的技術。加密技術主要用于網絡安全傳輸、公文安全傳輸、桌面安全防護、可視化數字簽名等方面。
6、實時監測
采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發現系統遭受的攻擊傷害。網絡實時監測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征。
7、PKI技術
公開密鑰基礎設施(PKI)是通過使用公開密鑰技術和數字證書來確保系統網絡安全并負責驗證數字證書持有者身份的一種體系。PKI可以提供的服務包括:認證服務,保密(加密),完整,安全通信,安全時間戳,小可否認服務(抗抵賴服務),特權管理,密鑰管理等。
