網絡安全應急體系精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全應急體系主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全應急體系范文
中圖分類號:TP309 文獻標識碼:A文章編號:1007-9599 (2011) 13-0000-01
Financial Computer Network Security System and Its Application
Huang Cheng,Chen Jiguo
(Postal Savings Bank Of China,Haikou570206,China)
Abstract:Financial activities in the computer more and more widely,and in the process of network financial computer network security has become an important issue.This paper analyzes the financial computer network security system construction and implementation of the depth of the financial network security issues.
Keywords:Financial computer;Integrated services;Network Security System
金融全球化是世界金融發展的必然趨勢。網絡金融和金融網絡化交易,以巨大的力量推動著國際金融的發展。但是網絡金融是一把雙刃劍,它在帶來繁榮與高效的同時也帶來了風險與危機。
一、金融計算機網絡的安全體系分析
從信息即金錢的層面上看,網絡環境下的金融安全威脅主要表現為以下幾個方面:
(一)金融數字化引起的風險。網絡金融的威脅首先來自于其自身的數字化特性。數字信息可以容易地被復制,而且復制所產生的替代品不會因此而降級。
(二)雙向互聯引起的金融信息安全風險。互聯網作為一種商業工具具有若干個突出的特點,這些特點給金融服務機構帶來了新的安全挑戰。其中最突出的是雙向互聯特性。
(三)銀行-客戶互聯的共享風險。目前金融服務機構的產品和服務范圍較以往大大擴展,服務時間也已延長到全天24小時以及全年無間歇,而且提供服務的渠道和途徑已實現多元化,并打破了地域界限。
二、金融計算機綜合業務網絡安全體系需求
(一)安全服務。在商業系統中,機密性也包括隱私性的要求,如銀行中儲戶的個人資料和賬目往來情況等敏感性信息不能被其他人所獲取。在商業數據交換環境中,有兩種基本方法可以提供機密性:(1)路由控制。使用路由控制進行訪問控制,可防止入侵者觀察到敏感數據。一些依賴于系統的機制能夠也可用于機密性保護,受這些機制保護的數據只有在控制失效或者控制被旁路時才可以被讀取。(2)加密。加密和解密提供了從明文流到密文流的一種變換方法,密碼技術通過編碼數據,使數據內容變得難以理解。采取這種信息隱藏方法,可以防止入侵者從數據表示中推出所表示的信息內容或提煉出其他有用信息。
(二)安全機制。通常,電子金融活動的信息安全體系包括基本加密技術、安全認證技術以及安全應用標準與協議3大層次,在此安全體系之上便可以建立電子金融與商務活動的支付體系和各種業務系統。
三、金融計算機綜合業務網絡安全體系設計研究
計算機網絡安全是網絡金融與電子商務活動安全的基礎,一個完整的應用系統應建立在安全的網絡基礎設施之上。網絡安全技術所涉及到如下技術:
(一)加密技術:加密技術是保證網絡金融與商務信息安全的重要手段,許多密碼算法現已成為網絡安全和商務信息安全的基礎。密碼算法利用密鑰來對敏感信息進行加密,從而保證網絡數據的機密性。
(二)防火墻技術:防火墻將內部網絡與外部公網(不可信任的網絡)隔離開來,它建立在通信技術和信息安全技術之上,用于在網絡之間建立一個安全屏障,根據指定的策略對網絡數據進行過濾、分析和審計,并對各種攻擊提供有效的防范。它是企業內部網應用的一項重要技術。
(三)入侵檢測、漏洞檢測技術:入侵檢測、漏洞檢測技術是防范黑客入侵或病毒破壞等網絡攻擊的重要手段之一。
(四)網絡安全標準:網絡金融的一個主要特征是在線金融交易,為了保證在線交易的安全,需要采用各種加密技術和身份認證技術,從而創造一種值得信賴的電子交易環境。
四、金融計算機綜合業務網絡安全體系的實現
(一)安全機制。網絡安全的具體措施有:隔離技術、加密技術、備份技術、日志和審計、身份鑒別、訪問控制、防范計算機病毒技術和防范計算機黑客技術等。
(二)身份鑒別和驗證。系統的安全性常常依賴于對終端用戶身份的正確識別與檢驗,以防止用戶的欺詐行為。對計算機系統的存取訪問也必須根據訪問者的身份加以一定的限制,這些都是最基本的安全要求。
(三)數據傳輸加密及完整性保護。加密技術是保證電子金融與商務信息安全的重要手段,許多密碼算法現已成為網絡安全和商務信息安全的基礎。密碼算法利用密鑰來對敏感信息進行加密,從而保證網絡數據的機密性。通過數字簽名的密碼技術可同時保證網絡數據的完整性和真實性。
(四)數據庫系統安全控制。當系統變得越來越大時,其人員、資源以及安全的管理和維護會變得越來越復雜,也越來越困難。特別是在因特網(Internet)環境中。這就使得數據庫資源和安全管理變得極為重要。
五、金融計算機網絡的安全體系的審計和評估
為堵死安全策略和安全措施之間的缺口,必須從以下3方面對網絡安全狀況進行評估:從企業外部進行評估,考察企業計算機基礎設施中的防火墻;從企業內部進行評估,考察內部網絡系統中的計算機;從應用系統進行評估,考察每臺硬件設備上運行的操作系統。
六、結語
電子金融與商務活動的安全體系包括網絡信息傳輸安全、信息加密技術以及交易的安全,涉及諸如基本加密算法,數字信封、數字簽名等安全認證技術以及各種安全協議等。加強金融計算機網絡的安全體系研究對于金融網絡化的安全性保障有著重要的積極作用。
參考文獻:
[1]熊建宇.網絡金融的特點及安全體系構建[J].科技信息,2010,31
第2篇:網絡安全應急體系范文
【關鍵詞】計算機;實際應用;問題
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。從技術上來說,計算機網絡安全主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、PKI技術等。
一、計算機網絡安全技術
(一)防火墻技術
防火墻是指一個由軟件或硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。當一個網絡接上Internet之后,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。
(二)數據加密技術
與防火墻相比,數據加密技術比較靈活,更加適用于開放的網絡。數據加密主要用于對動態信息的保護,對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密技術分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術
對稱加密是常規的以口令為基礎的技術,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。目前,廣為采用的一種對稱加密方式是數據加密標準DES,DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。
2.非對稱加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。
(三)PKI技術
PKI技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術作為一種相對安全的技術,恰恰成為了電子商務、電子政務、電子事務的密碼技術的首要選擇,在實際的操作過程中他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題,而進一步保護客戶的資料安全。
二、計算機網絡安全存在的問題
(一)互聯網絡的不安全性
1.網絡的開放性
由于現代網絡技術是全開放的,所以在一定程度上導致了網絡面臨著來自多方面的攻擊。這其中可能存在來自物理傳輸線路的攻擊,也有肯那個來自對網絡通信協議的攻擊,也包括來自于本地網絡的用戶,還可以是互聯網上其他國家的黑客等等。
2.網絡的自由性
大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由的上網,和獲取各類信息。這也為了影響網絡安全的一個主要因素。
(二)操作系統存在的安全問題
操作系統作為一個支撐軟件,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。
1.操作系統結構體系的缺陷
操作系統本身有內存管理、CPU管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內存管理的問題,外部網絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是服務器系統立刻癱瘓。
2.操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統可能就會造成崩潰。
3.操作系統不安全的一個原因在于它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上,特別是“打”在一個特權用戶上,黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在。
(三)防火墻的局限性
防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合,使內部網與外部網之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入。
第3篇:網絡安全應急體系范文
關鍵字:計算機病毒,網絡入侵,網絡安全,高校圖書館網絡
隨著信息現代化的飛速發展和互聯網的普及,危害互聯網的因素也越來越多,造成的損失也越來越大。高校圖書館網絡的安全性也同樣受到了嚴峻的考驗。本文通過分析危害高校圖書館網絡安全的幾個因素,提出了高校圖書館網絡安全策略。
1、 高校圖書館網絡安全現狀
由于高校圖書館辦公自動化、數字化以及網絡化的發展,高校圖書館工作的運行模式、業務管理模式以及文獻信息資源的服務對網絡的依賴程度也是越來越大,但是由于它的開放性和共享性導致了網絡安全問題的出現。
大部分高校都是投入了大量資金來構建自己學校圖書館的網絡,購買了大量的設備,投入了大量的人力和物力,但是對網絡安全方面確實的投入確實少的可憐,有的高校雖然配備了專門的網絡管理員,但是網絡管理員還是僅僅停留在了故障修理,配置系統方面。
2、 主要威脅
2.1計算機病毒肆虐
計算機病毒就是指通過某種手段潛伏在計算機存儲介質或程序里,一旦條件被滿足時,就能夠被激活的具有對計算機資源進行破壞作用的一組計算機指令或者程序代碼。計算機病毒主要是通過復制文件、傳送文件、運行程序等操作傳播,在日常的使用中,軟盤、硬盤、光盤和網絡是傳播病毒的主要途經。網絡的普及為病毒的快速傳播創造了便利的條件,近年來出現的多種惡性病毒都是基于網絡進行傳播的。這些計算機網絡病毒破壞性很多,圖書館的計算機系統如果遭到網絡病毒的破壞,輕則系統崩潰、運行癱瘓,重則全部數據庫遭到損毀、數據丟失,比如數據庫中存儲的借書記錄、讀者信息等,這將給圖書館帶來災難性的打擊。
2006年底出現的病毒“熊貓燒香”可謂是人人談之而色變,它給網絡帶來了很嚴重的損失。在2007年初又出現了“熊貓燒香”的變種“金豬拜年”,可見病毒的進化是非常迅速的,并且對系統的破壞力也是難以估計的。
2.2外部入侵猖狂
高校圖書館網絡由于要適應學校的教學和科研的特點,所以是開放的,管理也是比較寬松的,而且也同時具備了網絡信息系統所應有的致命的脆弱性、開放性和易受攻擊性。
由于黑客的目的一般都是竊取機密數據或破壞系統運行,黑客會對高校圖書館網絡設備進行信息轟炸,致使服務中斷,也可能入侵Web或其他文件服務器刪除或篡改數據,致使系統癱瘓甚至完全崩潰,此外黑客還有可能向數字圖書館網絡傳附帶病毒的文件,達到間接破壞的目的,因此黑客的攻擊不僅殺傷力大.而且隱蔽性強。
2.3內部攻擊嚴重
由于使用圖書館網絡的大部分是學生,他們的好奇心都是很重,并且現在各種攻擊手段的教材隨處可見,所以有少數學生就把圖書館網絡作為攻擊的對象。學生選擇攻擊圖書館網絡是因為圖書館網絡對于他們來說是內網,學校的IP地址基本是在學校內部公開的,這樣可以很方便的隱藏學生自己的IP地址,對圖書館網絡進行泛洪等的基本攻擊,并可以很快見到他們攻擊所能帶來的危害。
其次,在內網中根據IP地址很容易找到學校圖書館網絡的網段,這樣就很容易運用ARP欺騙等攻擊手段。現在互聯網上第三方黑客攻擊軟件越來越多,方法也越來越復雜,像IP碎片攻擊、OOB攻擊、WinNuke攻擊等,但是大部分的攻擊手段還是以獲知IP地址為前提,進行網絡攻擊的。
在這樣的情況下,圖書館網絡既要保證網絡的安全運行,同時又要為教學、科研服務,滿足學生學習的需求,是高校圖書館面臨的新課題。其實,來自網絡內部的攻擊威脅是更為嚴重的。
2.4系統的漏洞的威脅
目前,高校圖書館使用的系統軟件主要有Windows NT,Windows 2000 Server,UNIX,Linux等,windows NT和Windows 2000 Server由于系統自身有漏洞,雖然推出了一些針對性的補丁程序,但也不可避免地容易遭到病毒或人為因素的破壞。相比之下UNIX和Linux這兩個系統由于問世后其原代碼一直處于公開狀態,以便大家不斷完善它,又因為它工作在底層,所以安全性較高。由于各高校圖書館使用的管理系統、數據庫不同,開發商對于軟件安全性方面的關心程度也不盡相同。如果系統的開發水平比較高、比較嚴密,在安全性能上考慮的比較周到,防范手段也較為先進,那么其安全性就大;反之,系統本身存在安全隱患,安全性自然就小。
3、 應對策略
3.1病毒的防范
對于圖書館來說病毒可以造成不可估計的危害,所以在管理方面不應該使用盜版軟件,因為盜版軟件很容易帶有病毒,不隨意的下載、上傳、復制和使用未經過微軟認證的軟件。僅僅訪問可靠的網站,下載電子郵件附件是要掃描病毒,并對郵件網頁等進行電子監控,最重要的就是要對數據庫數據隨進行備份。以備萬一發生了不可挽回的破壞時可以恢復數據。
3.2防火墻的應用
防火墻是將內網和外網進行分離,對經過它的網絡數據進行掃描,過濾掉非法數據,從而禁止非授權用戶訪問數據,但是卻允許合法用戶透明地訪問網絡資源。當前防火墻的主要類型:監測型、型、網絡地址轉化—NAT、包過濾型等,應用好防火墻并對防火墻進行正確的設置將對高校圖書館網絡的安全起著十分重要的作用。
3.3安裝補丁程
由于高校圖書館應用得系統軟件存在很多的系統漏洞,所以給系統安裝補丁也是很重要的,有些病毒就是因為系統有漏洞才會對系統造成破壞,如果安裝了補丁程序,就不會對系統產生任何的危險。
3.4對系統進行合理配置
將系統服務不會用到的服務和端口關閉掉也是很有必要的,因為很多黑客可以通過這些系統默認的服務或者打開的一些沒有用的端口侵入高校圖書館網絡,進行為所欲為的破壞性活動。所以關掉不用的服務和端口,是很有效能的防御手段。運用防火墻可以對端口進行操作,建議關閉135、137、139等端口,對于無用的服務在開始菜單—控制面板—管理工具—選擇服務里關閉,對于Windows 2003建議關掉ErrorReporting PrintSpooler、 Background Intelligent Transfer Service、Computer 、WindowsInstaller Windows Management Instrumentation Driver Extensions 、NTLM Security Support Provider 、Network Location Awareness 、Performance Logs and Alerts 、Remote Administration Service 、RemoteRegistryService 、Server 、TCP/IP NetBIOSHelperService 、IndexingService 、NTLM、DHCPClient、SecuritySupportProvider WMIPerformanceAdapter 、Automatic Updates、Browser 服務。
刪除不需要的協議和服務,雖然攻擊者不一定可以同這這些進行攻擊,但是這樣完全是依據了安全規則和標準的操作。在"網絡連接"里,留下基本的Internet協議(TCP/IP),由于需要控制帶寬流量服務,所以要安裝Qos數據包計劃程序。在高級TCP/IP設置里有"NetBIOS"設置"禁用TCP/IP上的NetBIOS(S)"。在高級選項里,使用"Internet連接防火墻",這是windows 2003 自帶的防火墻,盡管沒什么功能,但可以屏蔽端口。
3.5數字簽名
現在數字簽名已經是很成熟的技術,對合法用戶應用數字簽名也是很有力的防范措施,并且數字簽名運用了非對稱的RSA加密這樣既保證了合法用戶的權利,也對非法入侵用戶起到了有效的防范的作用,并可以有效的防范校內學生對高校圖書館的內部攻擊。
4、 結束語
綜上所述,由于高校圖書館網絡存在著嚴重的安全隱患,所以高校必須提高網絡管理員的網絡安全意識和技術水平,準備解決所有已知和未知的問題。目前我國在高校圖書館的管理和服務方面還沒有法律條文,所以各個高校應該制定自己的規章制度,應用制度配合技術手段,在防御上要具有超前意識。并要對用戶驚醒教育和培養,使得合法用戶都能文明運用高校圖書館網絡,只有這樣才能把高校圖書館的網絡安全變被動為主動,以能夠更好的開展圖書館的各項服務工作,并為所有合法用戶提供一個穩定而可靠的環境。
參考文獻
[1]梁世玲,鄧保國.高校圖書館網絡信息安全的風險與對策[J].農業網絡信息,2006(8):53-55.
第4篇:網絡安全應急體系范文
關鍵詞:網絡安全事件;應急響應;聯動系統
一、應急響應的技術特點
網絡安全事件指影響計算機系統與網絡安全的不正當行為。網絡安全事件一般在很短時間內產生,且引起的損失巨大。應對網絡事件關鍵是速度與效率。應急響應(即“Incident Response),指某組織為了應對意外事件發生所做的準備及事件發生后采取的措施。本文網絡安全事件的應急響應則指應急響應組織根據對可能情況的準備,在網絡安全事件發生后,盡快作出正確反應,減少損失或盡快恢復正常運行,追蹤攻擊者,搜集證據直至采取法律措施等行動。網絡安全事件應急響應的對象,又稱應急響應的客體,指:針對計算機與網絡信息的安全事件。除了傳統的針對保密性、完整性和可用性分類外,廣義上應急響應的對象還包括:掃描等違反安全政策的事件。應急響應過程包含三種角色:事件發起者、事件受害者與應急響應的人員。應急響應是被動性的安全體系。它的作用主要表現:1、事先的充分準備;2、事件發生后的采取的抑制、根除和恢復等措施。
(一)入侵檢測
應急響應由事件引發,同時發現事件依靠檢測手段。入侵檢測技術指由系統自動完成的檢測,是目前最主要檢測手段(IDS)。
(二)事件隔離與快速恢復
首先,在檢測基礎上,確定事件類型和攻擊源后,對于安全性、保密性要求高的環境,應及時隔離攻擊源,制止事件影響進一步惡化;其次,對外提供不可中斷服務的環境,如運營平臺、門戶網站等,應急響應過程應側重考慮盡快恢復系統并使之正常運行。這其中涉及事件優先級認定、完整性檢測及域名切換等技術。
(三)網絡追蹤和定位
確定攻擊者網絡地址及輾轉攻擊路徑,在現在的TCP/IP網絡基礎設備上網絡追蹤及定位很困難;新的源地址確認的路由器雖然能夠解決問題,但它與現在網絡隱私保護存在矛盾。
(四)取證技術
取證是一門針對不同情況要求靈活處理的技術,它要求實施者全面、詳細的了解系統、網絡和應用軟件的使用與運行狀態,對人的要求十分的高(這一點與應急響應本身的情況類似)。目前主要的取證對象是各種日志的審計,但并不是絕對的,取證可能來自任何一點蛛絲馬跡。但是在目前的情況下,海量的日志信息為取證造成的麻煩越來越大。
二、網絡安全事件應急響應聯動系統模型
網絡安全事件應急響應聯動系統模型是從應急響應組及協調中心發展起來的一套應急響應聯動體系。它立足于協調地理分布的人力與信息等資源,協同應對網絡安全事件,屬于應急響應組織發展后期的組織形式。聯動含義:1、組織間的協作;2、功能上統一;3、網絡安全策略上聯合。
(一)聯動系統的體系結構
圖1 聯動系統的體系結構
1、應急響應協調中心。是信息共享、交換與分析中心,負責協調體系正常運行,屬于聯動系統的核心。
2、應急響應組。應急響應組以應對網絡安全事件為目標,根據技術力量與資源狀況設置機構,甚至承擔部分協調中心功能。
3、客戶。客戶方應在應急響應組協助下進行風險分析、建立安全政策與設立聯系人員,增強自身主動防御能力及采取合理措施能力。
(二)應急響應協調中心
應急響應組織具備四核心功能:分類、事件響應、公告與反饋;與此同時還具有非核心功能:分析、信息整理、研發、教育及推廣。
圖2 應急響應協調中心機構設置
1、研發。研發部門,也是實驗部門,主要負責研究安全技術與安全工具,以及與網絡相關的技術測試、系統測試、產品測試、漏洞測試等。
2、專家顧問。技術專家對于確定研究與形勢影響很大。法律顧問與客戶、其他應急響應組織的合作及與法律部門、新聞媒體等合作應有法律依據。
3、信息整理與事件跟蹤。體系內的具備ISAC功能機構,該部門承擔著公告、反饋和信息整理的功能,在研發機構協助下實現信息資源(包括漏洞及補丁信息、新聞動態、技術文獻資料、法律法規、公告、安全警報、安全政策、建議等)共享,;還應提供網站資源鏈接,常見問題(FAQ),常用工具,技術論壇與事件及漏洞的上報渠道等。
4、應急響應。是一線應對事件的機構。響應是聯動系統的根本任務,但是聯動系統的響應人員在響應過程中可得到體系援助,使應急響應更及時有效。
5、聯絡。協調應急響應組、應對事件的聯動響應及與客戶聯絡。聯絡中心應具有對應急響應組的約束力,并與該部門承擔應急響應功能。
6、培訓。包括對組織內人員的技術培訓、固定客戶的技術支持與培訓和面向社會的安全培訓三個方面,是保持體系鍵康發展,提高客戶合作能力的機構。
7、公共關系。負責處理應急響應不能回避的與法律組織、媒體、行政部門、科研組織等實體的關系,以及與其他應急響應組織間的聯絡與合作;承擔部分推廣的功能。
8、管理機構。協調中心及聯動系統運作。
(三)聯動系統的功能
聯動系統功能包括兩方面:1、提供安全事件的應急響應服務;2、信息共享、交換與分析。兩功能互相融合、取長補短,使應急響應更加高效、便捷。
1、協調應急響應。在事件響應過程中,響應人員通過網絡或傳真方式向組織報告事件詳細信息,并取得幫助與建議,最終完成響應。依靠資源共享與聯動響應期間各響應組的密切聯系,響應過程中響應人員得到的建議。事件響應結束后,響應人員要完成事件跟蹤報告與總結,并由中心備案。
2、信息共享、交換和分析。信息整理與公告功能是維護網絡安全的主動防線。中心通過對組織的安全信息進行統計分析,找出易發生的安全事件,并以預警信息結合預防建議的形式,遏制類似事件發生;中心在安全信息整理和共享等的貢獻可大提高應急響應質量,對響應人員和客戶方的在線幫助意義重大義。
三、模型其它重要內容
(一)應用應急專線與無線通信手段
在報告事件時,受害者的理想方式:通過網絡,交互性較強。但為防止網絡受到破壞性攻擊、須預先設定緊急聯系手段。對事件的即時報告、意見反饋、協調中心或其它幫助都通過響應人員與中心聯系實現。除應急響應過程中的聯系,客戶報告事件也應在網絡或專用 軟件外擁有應急報告方式,比如傳真、移動電話。
(二)事件并行處理的協調
協調中心須實現為事件開辟聯動空間保證其獨立、高效及可持續。
(三)信息共享與隱私保護以及配套法律建設
聯動系統的本就是實現質信息共享。敏感信息應予以保護,比如客戶聲譽、穩私、機密等。聯動系統的信息共享不是完全共享,而是多級權限的共享。此外取證效力及責任、損失鑒定及量刑等的配套法律建設不完善,聯動系統也應根據實踐建立起自身的規范約束。
(四)異地數據備份與同步和自身的健壯性
應急響應聯動系統要求一定權限的數據由協調中心及應急響應組互為備份。依靠體系地理分布實現數據異地備份,保證數據安全性。
參考文獻:
第5篇:網絡安全應急體系范文
關鍵詞:軍隊計算機網絡;安全防護
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)22-5312-02
隨著信息軍事時代的來臨,“網絡中心戰”、“網絡中心行動”成為當前軍事領域戰爭行動的基本方式。軍隊計算機網絡是實施網絡中心戰、網絡中心行動的關鍵基礎設施,是敵重點攻擊的對象,其安全防護情況直接關系其效能作用的發揮,關系到戰爭的勝負,因此必須認真研究分析其安全形勢,剖析存在問題,采取有力措施,提高安全防護能力。
1軍隊計算機網絡安全形勢分析
1.1形勢的嚴峻性
信息軍事時代,信息安全成為軍隊安全的重中之重。軍隊計算機網絡是承載信息的重要平臺,圍繞網絡展開的信息竊密與反竊密斗爭正愈演愈烈。一些國家和地區利用網絡大肆竊取我軍秘密信息,并綜合盜用黑客、木馬、病毒攻擊及竊取等多種信息作戰手段對我網絡進行破壞,嚴重威脅著國家和軍隊安全。
1.2威脅的多元性
軍隊計算機網絡雖然在物理上與其他網絡隔離,但是由于系統建設規模大、涉及領域廣、組織結構復雜、缺乏嚴密的法規標準,使得軍隊計算機網絡安全防護異常困難,從某種意義上講,計算機網絡上任何一個環節和關節點的被突破,都可能使全網和全系統癱瘓,后果不堪設想。
1.3事件的突發性
計算機網絡安全威脅往往具有潛伏性和不可預測性,對被攻擊方而言安全事件呈現出極強的突發性,被攻擊方往往會喪失寶貴的防御時間,為信息安全事件處置帶來極大的挑戰,計算機網絡安全威脅中的很多事件還沒有被察覺,就已經造成不可預料的損失。目前,計算機芯片、骨干路由器和微機主板等核心技術多數仍由國外進口,一旦敵對勢力在特定的時間激活惡意程序,就可以在我們毫無察覺的情況下瞬間發起攻擊,造成整個系統的癱瘓。
1.4處置的艱巨性
信息化條件下,信息爭奪空間巨大、流動性強,領域不斷拓展,安全隱患不斷增多。而當前部隊部分人員信息安全觀念淡薄;安全防護技術手段落后,針對性應急處置手段缺乏;法規制度不完備,組織安全防護力度差,對部分安全事件防護處置策略缺少相應的規范和力量。軍事網絡失泄密一旦發生,將導致整個網絡震蕩,失密影響范圍廣泛,泄密后果十分嚴重。
2軍隊計算絡安全存在的主要問題
計算機網絡安全保密工作十分重要,目前,我軍計算機網絡安全方面還存在以下問題:
2.1網絡安全防護意識比較淡薄
目前,部隊計算機網絡建設普遍受到高度重視,但是有些單位僅僅看到網絡建設帶來的顯著效益和便利,而對計算機網絡系統安全防護建設同步規劃、同步建設的認識較為短淺。從計算機網絡安全防護系統建設投入看,國外計算機網絡安全防護投入占整體投入的10-20%,我國僅占到2-5%,不足國外的四分之一,軍隊在此方面的投入也明顯不足。同時,受長期和平環境影響,“有密難保、無密可保”的思想意識普遍存在,對網絡安全問題關注不夠,思想意識比較淡薄,影響到計算機網絡整體安全防護建設的發展。
2.2網絡安全防護建設相對滯后
我軍圍繞作戰應用需求,重點加強了光纖傳輸鏈路建設,網絡基礎已經比較配套,但安全防護建設卻明顯滯后。部分單位未對網絡進行防火墻、保密機配套建設;相當數量的終端沒有安裝防病毒系統;入侵檢測沒有完全發揮起作用;安防系統系統建設各自為戰,無法形成整體安全防護體系等,這些都制約了計算機網絡安全防護整體水平的發展。。
2.3網絡安全防護標準尚未健全
當前,我軍陸續頒布了一系列與網絡信息安全相關的法律法規,但在安全保密等級劃分、網絡安全體系規范、網絡安全策略制定、網絡防護手段使用規范等方面仍存在不足。例如,對軍隊網絡安全體系建設標準中部分設備、系統未進行明確;安全防護等級雖已明確,但配套手段還沒有統一進行明確,無法達到最佳防護。同時,制度標準的落實情況也令人堪憂,有令不行、有禁不止的現象隨處可見,這些都對軍用計算機網絡系統帶來了巨大的安全隱患。
2.4網絡核心技術受制于人
雖然近年來我國的信息技術得以飛速發展,但仍沒有擺脫技術落后的局面,特別是計算機芯片、操作系統、路由協調等核心技術仍然沒有擺脫國外的束縛。目前,我軍大多數信息網絡采用的都是微軟的windows系列操作系統和TCP/IP、IPX/SPX等網絡協議,這些系統的共同特點是在設計之初主要考慮了易用性而忽視了系統安全性,使軍事信息網絡自身從建設之初就存在安全隱患。
3加強軍隊計算機網絡安全防護的對策措施
計算機網絡應用與安全防護問題相生相伴,是“矛”和“盾”的關系,信息安全問題將長期存在,不可能徹底避免和消除。為此,必須著眼防患于未然,積極建設計算機網絡安全防護體系,有效提升網絡安全防護能力,確保“非法用戶進不來,秘密信息取不走,網絡平臺摧不垮”。
3.1強化人員安全防護意識
強化軍隊人員的信息安全意識,一是通過大眾傳播媒介,增強信息安全意識,普及信息安全知識,依托信息服務網站開設信息網絡安全知識普及專欄,提高安全防護能力,增強部隊官兵信息安全防范意識。二是積極組織各種專題討論和培訓班,培養信息安全人才,使部隊有計算機網絡安全防護方面的“明白人”。三是要積極開展安全策略研究,明確安全責任,增強人員的責任心,全面提高部隊信息安全防護能力。
3.2建立健全安全管理機制
針對我軍軍事信息網絡安全防護現狀,制定和完善軍隊計算機網絡建設、管理與安全防護機制,確立網絡安全防護工作科學、合理的運行機制。一是配套法規標準。建立健全制度規定,明確各級責任、措施、手段;制定標準規范,明確建設技術體制;規劃安全策略,明確設備系統防護標準,以完善網絡安全法律體系,使信息安全管理走上法制化軌道,確保信息網絡安全有法可依、有章可循。二是建立協調機制。信息安全防護工作涉及多個業務職能部門,加強部門之間的相互協調、相互補充、統一規劃、統一管理,提升整體防護能力。三是組建安全隊伍。建立計算機網絡安全防護中心,明確安全防護機制,建立安全防護組織領導管理機構,明確領導及工作人員,制定管理崗位責任制及有關措施,嚴格內部安全管理機制,并對破壞網絡信息安全的事件進行調查和處理,確保網絡信息的安全。
3.3構建安全技術防護體系
重點加強四個體系建設:一是安全監察體系。建立健全網絡安全監察機制;配套建設計算機網絡入侵檢測、流量分析、行為審計等系統,增強安全事件的融合分析能力;配備安全管理系統,實現對全網安全策略的統一管理和控制;加強安全服務保障體系建設,提供病毒庫升級、補丁分發、安全預警等安全服務,通過各系統的綜合應用,提高網絡的綜合安全分析能力。二是終端防護體系。建立協調管理機制,規范和加強以身份認證、授權管理、責任認定等為主要內容的網絡信任體系建設;強化系統訪問控制,設定用戶訪問權限,防止非法用戶侵入或合法用戶不慎操作所造成的破壞;加強實體鑒別,保證用戶在獲取信息過程中不受干擾、不被假冒,確保用戶終端實體的可信;加強身份認證,為設備、用戶、應用等頒發數字證書,并提供數字簽名、身份驗證、訪問控制等服務,防止非授權接入和訪問;加強終端保護,進行終端操作系統的安全加固,防止非法登錄網絡,保證終端資源的可控;提供病毒防護功能,適時查殺病毒、檢查漏洞;提供主機入侵檢測功能,防止對終端的攻擊行為,從而全面建立終端防護體系,為終端用戶構造一個安全環境。三是安全評估體系。按照軍隊有關防護標準,綜合運用漏洞掃描、取證分析、滲透測試、入侵檢測等系統和手段對網絡進行掃描分析,客觀分析網絡與信息系統所面臨的威脅及其存在的脆弱性,對安全事件可能造成的危害程度進行科學的定性定量分析,并提出有針對性的防護對策和整改措施,全面防范、化解和減少信息安全風險。四是應急響應體系。加強信息安全應急支援隊伍建設,明確應急響應處置方法及原則;充分考慮抗毀性與災難恢復,制定和完善應急處置預案根據安全級別的要求來制定響應策略;建立容災備份設施系統,規范備份制度與流程,對域名系統、網管系統、郵件系統及重要業務系統等重要信息、數據適時進行備份,確保系統崩潰以后能夠在最短時間內快速恢復運行,提高信息網絡的安全性和抗毀性。
3.4發展自主信息安全產業
自主信息產業或信息產品國產化能夠為信息安全提供更高保證。要加強計算機網絡安全保密設備和系統的“軍產化”,“獨立化”建設。為此,應抓好以下幾個方面的工作:一是組織核心技術攻關,如研發自主操作系統、密碼專用芯片和安全處理器等,狠抓技術及系統的綜合集成,以確保軍用計算機信息系統安全。二是加強關鍵技術研究,如密碼技術、鑒別技術、病毒防御技術、入侵檢測技術等,有效提高軍用計算機網絡的安全防護能力。三是尋求監測評估手段,如網絡偵察技術、信息監測技術、風險管理技術、測試評估技術等,構建具有我軍特色、行之有效的計算機網絡安全保密平臺,實現網絡及終端的可信、可管、可控,擺脫網絡安全受制于人的被動局面。
軍隊計算機網絡安全防護涉及要素眾多,是一個系統的整體的過程。在進行防護時,要充分認清計算機網絡安全面臨的嚴峻形勢,認真查找存在的問題,系統整體的采取有針對性的防范措施,從而提高網絡安全防護能力。
參考文獻:
[1]曹旭.計算機網絡安全策略探討[J].計算機安全,2011(21).
[2]劉萍.計算機網絡安全及防范技術探討[J].科技信息,2010(15).
[3]吳世忠,江常青.信息安全保障基礎[M].北京:航空工業出版社,2010.
第6篇:網絡安全應急體系范文
【關鍵詞】電力企業 信息網絡安全體系 隱患分析 防御策略
電力企業的信息安全不僅影響著其自身的網絡信息的化建設進程,也關系著電力生產系統的安全、穩定、經濟、優質運行。所以,強化信息網絡安全管理,確保電力信息網絡的安全性,保證業務操作平臺能夠穩定、可靠的運行具有重要意義。
1 電力信息網絡安全體系
信息網絡安全指的是為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。
2 電力信息網絡安全體系存在的隱患分析
2.1 系統漏洞。電力企業使用的都是微軟所開發的Windows操作系統。由于一個計算機操作系統過于龐大、復雜,所以它不可能第一次性地發現并解決所有存在的各種漏洞和安全問題,這需要在我們的使用當中不斷地被完善。這些長久存在或是剛被披露的漏洞,易造成對企業信息網絡安全的威脅。
2.2 黑客的惡意攻擊。在這些攻擊行為當中,一部分是主動的進行系統破壞或是更改、刪除重要的信息,另一部分是被動的進行監聽,竊取電力企業內部網絡交流信息,導致信息外泄。
2.3 網絡硬件系統不牢固。網絡硬件系統不牢固是一個普遍性的問題。盡管互聯網的硬件系統已經具有了較高的穩定性和安全性,但其仍然存在的脆弱性也不可忽視,比如雷電所引發的硬件故障,各種傳輸過程當中受其他因素影響所出現的信息失真等。
2.4 員工的信息網絡安全意識不健全。電力企業中,許多員工多信息網絡的安全意識還不健全。比如用戶安全意識不強,系統登錄口令過于簡單,或是將賬戶及密碼借給他人使用,盲目地進行資源信息共享,這些帶全安全威脅性的操作都可能會對企業的信息網絡安全帶來隱患。還有的員工長時間占用網絡,大量消耗了網絡資源,增加了企業的網絡通信負擔,導致企業內部的通信與生產效率較低。
2.5 管理人員技術水平低。電力企業作為重要的工業企業,其“重建設,輕管理”的思想是非常明顯的。安全管理體制不合理,導致企業疏于對管理人員的技術培養,最終導致管理人員的技術水平低下,即使網絡安全出現問題,也不能及時修理。
3 加強電力信息網絡安全防御體系的策略
3.1設備安全策略
建立配套的績效管理機制,以促進信息安全運維人員樹立良好意識,提高自身信息網絡管理能力。
建立電網信息安全事故應急處理預案,例如“突況下某某大樓信息系統應急處理預案”,預案所要求的各項信息設備必須作為信息安全重要物資交由信息應急指揮人員保管,相關信息運維人員必須在信息事故發生的第一時間到崗到位、信息預案操作流程必須準確到位,各應急單位要定期進行應急演練,保證在發生信息安全事故之時隊伍能夠拉得出、打得贏。
運用國家電網公司統一的標準化信息安全管理模式,規范日常網絡處理流程,嚴格控制網絡接入程序,對新進網絡施行過程化管理,例如:申請入網人員必須填寫“某公司入網申請單”,并對操作人員嚴格施行信息網絡處理“兩票三制”管理,即:操作票、工作票、交接班制、巡回檢查制、設備定期試驗輪換制,從制度上保證信息網絡安全管理。
成立網絡信息安全組織機構,例如:成立某公司信息安全領導小組,小組成員包括:公司領導層人員、信息安全管理層人員、信息安全網絡技術實施保障人員等,并對各人員工作職責提出具體要求,尤其是必須明確技術實施保障人員的工作要求。
3.2安全技術策略
使用VPN(虛擬隧道)技術。按業務分別建立對應的三層VPN,各VLAN段建立符合實際要求的網絡訪問控制列表,將網絡按部門(樓層)進行分段,對各段網絡配置對應的訪問控制,設置高強度的網絡登錄密碼,保證網絡的安全性。
運用安全審計技術。隨著系統規模的擴展與安全設施的完善,應該引入集中智能的安全審計系統,通過技術手段,實現自動對網絡設備日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計。及時自動分析系統安全事件,實現系統安全運行管理。
病毒防護技術。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺PC機上安裝防病毒軟件客戶端,在服務器上安裝基于服務器的防病毒軟件,在網關上安裝基于網父的防病毒軟件,必須在信息系統的各個環節采用全網全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理。
啟用防火墻技術。防火墻是用于將信任網絡與非信任網絡隔離的一種技術。它通過單一集中的安全檢查點,強制實操相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間,信息的共享、整合與調用,都需要在不同網段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權限合理享用信息資源。
擬局域網技術(VLAN技術)。局域網技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有相同的屬性。由于它是邏輯而不是物理劃分,所以同一個LAN內的各工作站無須放置在同一物理空LAN里,但這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,有助于控制流量、控制廣播風暴、減少設備投資、簡化網絡管理、提高網絡的安全性。
4 結語
總之,供電系統數據網的安全問題不容忽視,要保障其網絡的安全可靠運行,不能僅僅依靠防火墻等單個的系統,而需要仔細考慮系統的安全需求,并將各種安全技術結合在一起,方能生成一個高效、通用、安全的網絡系統。
參考文獻:
[1] 鄺德昌.電力企業信息網絡安全探討[J].信息與電腦(理論版).2011(10).
第7篇:網絡安全應急體系范文
關鍵詞:網絡安全運營管理平臺;數據采集;綜合分析;事件響應
1網絡安全運營問題分析
在監測預警方面,目前網絡安全監測預警主要采用人工的方式開展監測預警工作,在運的安全平臺數據相互獨立,每個角色需同時面向多個界面,網絡安全運維工作量大;不同類型的安全設備、系統產生了大量冗余、誤報的安全數據,安全人員難以實時處理;安全事件獨立分散,無法有效的反映真實的網絡威脅。在響應處置方面,目前各類安全事件主要依賴于人工進行事件響應,包含查看數據、封禁IP、電話反饋、郵件通報等,一次完整的應急響應需在10個以上的場景間切換。現有的應急響應方式已經不能滿足網絡安全對抗日趨頻繁的現實需求,應急響應自動化的需求已經迫在眉睫。在技術分析方面,對安全告警的深度技術分析主要依賴技術人員的個人能力與經驗,且依賴人工的深度分析、溯源反制效率較低,一旦發生分析重心出錯的情況,可能遺漏真正具有價值的攻擊威脅。在協同指揮方面,目前網絡安全設備和系統自動化程度在不斷提高,但事實上還存在多個信息孤島,設備、系統之間缺乏有效的交互,使得內部多個自動化模塊是割裂的、局部的、孤立的,不能構成一個實時的有機統一平臺,導致信息沒有充分共享,進而降低協同聯動效率,無法實現統一的指揮決策。在流程管理方面,目前重點的安全管理流程仍以線下管理為主。常態化安全工作中排查發現的系統漏洞需要人工導出清單,完成漏洞預警單編制后下發排查整改,以表格形式匯總和跟蹤漏洞整改情況;系統上線測試缺乏統一平臺管理測試過程文檔和測試情況,復測驗證需要專人跟蹤閉環,整體工作效率和管控精益度有待提升。
2網絡安全管理平臺的能力需求
通過網絡安全管理平臺的建設將設備、流程和技術進行有機的結合,實現網絡安全集中監控、預警、運維、管理,滿足網絡安全平協同指揮的工作要求,以全局視角統籌協調網絡安全工作。一是網絡安全事件管理集中化,通過對各種網絡設備和安全組件的集中統一管理,將原本一個個分離的信息安全孤島連接成一個有機協作的整體,實現對企業安全策略的制定、設備的統一配置、安全事件的集中管理、安全事故的應急響應以及安全策略的重構,從而有效提高用戶網絡的可管理性和安全水平。二是網絡安全業務流程數字化,以數字化手段建設網絡安全管理體系,滲透到網絡安全業務鏈各個環節和各個層級,實現網絡安全管理流程線上流轉和業務線上管理,實現網絡安全信息高度集成和實時共享。三是網絡安全運營維護自動化,通過安全設備、安全系統數據的批量采集和關聯分析,借助自動化事務調度、自動化安全編排等技術,實現安全態勢自動化監控、運行維護自動化作業、風險隱患自動化預警以及安全事件自動化響應。
3安全運營管理平臺的建設現狀
國內安全廠商在自主研究開發基礎上不斷對國外廠商的SOC產品分析和研究,推出了多種網絡安全管理的概念和產品[1]。安全運營管理平臺建設利用安全智能、機器學習和深度學習等技術,依托SIEM+大數據平臺,實現警報自動分級與資產自動排查、威脅高度可視和智能定位、風險深度挖掘、安全態勢整體感知,打破安全防御孤島,將各個分散的信息源匯聚后進行統一管理,通過關聯分析對風險進行有效的防控。在技術架構體系方面,基于最新的安全運營架構體系構建,實現以SIEM為核心并集成全流量分析模塊、威脅情報模塊和機器學習模塊的新一代SOC架構,提升架構的適應性與靈活性。在安全場景分析方面,在傳統基于規則的設計方法之上,引入了用戶行為分析技術,通過算法引擎深度挖掘用戶的各種異常行為,為識別高級持續威脅攻擊、社會工程等提供有力支撐。在提高安全運營工作效率方面,借鑒SOAR理念,通過SIEM平臺并集成腳本技術,實現安全分析操作與多個工具的自動編排和高度可視化,以及安全處置操作和流程的自動化,提升安全分析人員效率。在協同管理方面,形成多級管理模式,適應集團型安全管理工作的開展,例如:總部、分支機構的架構模式。在可視化方面,通過大數據分析技術,將日常工作匯總,對安全數據進行統一的可視化展現,從全局視角監測安全態勢。
4關鍵技術
4.1平臺架構
網絡安全運營管理平臺作為網絡運營管理的支撐平臺,可將整個安全管理體系納入管理,但其核心還是綜合分析和響應處置兩個功能,其基本架構如圖1所示。平臺的數據采集對象包括網絡設備、安全設備、主機設備、應用/服務等,通過不同的采集方式進行全要素信息采集。分析引擎主要是對大數據分析技術和人工智能技術的應用,對原始數據進行統計分析和學習建模,從網絡安全威脅、用戶行為、脆弱性三個方面發現網絡面臨的風險。對于發現告警事件、應急響應事件,以及活動保障期間事件、作業任務處置流程進行全程閉環管理。
4.2數據采集
網絡安全運營管理平臺建立在各種網絡設備、安全設備、服務器設備、和應用系統所產生的安全數據及事件的基礎上。從各種數據源高效靈活的采集安全數據是進行網絡安全管理的一項重要的基礎工作。安全數據根據涉及的網絡架構、協議、流量、設備、人員、管理機制等因素進行分類[2],網絡安全數據類型見表1。安全數據的類型、內容、格式各不相同,針對每種數據需要有針對性的采集方式對其進行采集,數據采集方式包括主動采集、被動采集、鏡像模式采集等。當原始數據以文件、數據庫等形式存儲在數據數據產生地,通過在數據產生地部署采集的方式,對指定目錄下的文件進行監聽、進行增量讀取,或通過ODBC/JDBC等通信協議獲取數據庫存儲的原始數據。對于支持主動向第三方系統發送數據的數據源,采用Syslog、SNMP、Webservice等方式發送給指定的數據接收者。通過網絡交換設備的鏡像端口,接收來自網絡中傳輸的任何網絡訪問流量。
4.3安全事件綜合分析
網絡安全事件綜合分析通過分析多個事件的之間的聯系,將不同來源的數據、知識關聯起來,發現孤立的事件無法揭示的問題本質,發現攻擊者的真正目的,準確定位攻擊意圖。一些典型的關聯操作如表2所示。事件綜合分析的實現主要依托分析算法與高效的分析引擎設計[3]。
4.響應
當網絡安全事件分析產生告警事件后,就進入到事件的響應處置環節。需要采取有效措施阻止網絡安全事件的進一步擴散,防止網絡內基礎設施破壞和數據篡改、泄露,保障網絡內業務系統安全、穩定和高效地運行。有效的事件響應需要設計合理的事件響應結構,規劃好響應過程中所需要的資源、計劃好實用的技術、編制規范的事件響應流程、并協調好組織中各部門的關系等[4]。事件響應框架如圖2所示。事件響應流程按照PDCERF響應模型可分為準備(prepare)、檢測(detect)、抑制(control)、根除(eradicate)、恢復(recover)和跟蹤(follow)6個階段。6個階段是循環有序的,每個階段到的工作均是為下一階段做準備[5]。事件類型的不同,采用的處置流程、涉及的人員和設備也不相同。事件的響應可以通過人工的方式,也可以根據預設的響應流程自動執行。網絡安全運營中的事件自動化響應通過事先定義好的流程化框架對系統進行監控,一旦達到觸發條件,可以按照預先設置流程,通過多個設備或者服務間的事件協同,實現事件的自動化處置。
5總結與展望
網絡安全運營管理平臺是在原有安全產品的基礎上構建的一體化技術支撐平臺,以綜合分析、響應處置為核心的網絡安全防護能力,在網絡安全運營管理中發揮關鍵作用。而隨著安全數據、應用、場景量的激增,網絡安全運營管理平臺的技術能力也需要不斷的提升。對于用戶而言,網絡安全防護的目標是保障IT資產所承載的業務的可用性、連續性、以及安全性,因此網絡安全運營管理平臺應從以事件核心逐漸向保障業務安全為核心轉變,通過業務建模、分析業務風險,構建面向業務的能力體系。另外,網絡安全運營管理平臺應以更智能的方式處理日益龐大的安全數據、以自動化的響應方式減少人員的工作強度,通過機器學習、人工智能等技術發現數據背后的原因,通過SOAR技術進行編排和自動化響應。
參考文獻
[1]中國信息通信研究院安全研究所、上海斗象科技有限公司.國內網絡安全信息與事件管理類產研究與測試報告[R].北京:2021.
[2]張海霞,喬贊瑞,潘嘯,黃克振,連一峰.網絡安全數據采集關鍵技術研究[J].計算機科學與應用,2021,14(4),832-839.
[3]劉蘭.網絡安全事件管理關鍵技術研究[D].華中科技大學博士學位論文,2007.
[4]吳福懷.網絡安全事件應急響應管理系統設計與實現[D].東南大學工程碩士學位論文,2017.
第8篇:網絡安全應急體系范文
規范網絡秩序,營造良好輿論環境
規范網絡秩序,營造良好輿論環境,是治國理政、定國安邦的大事。指出:“網絡空間是億萬民眾共同的精神家園。網絡空間天朗氣清、生態良好,符合人民利益。網絡空間烏煙瘴氣、生態惡化,不符合人民利益。”的講話,指出了當前網絡空間存在的問題和亟待改善的現象,蘊含著對廣大網民的期待。網絡不是法外之地,同樣需要建立良好的秩序。我們要一手抓正能量傳播,一手抓網絡生態治理,大力培育積極健康、向上向善的網絡空間文化,為廣大網民特別是青少年朋友營造一個風清氣正的網絡生態環境。
建設網絡城市,讓人民群眾有更多獲得感
近年來,國家對互聯網的重視程度前所未有,“互聯網+”、中國制造2025、創新創業、大數據等系列重大政策密集出臺。全面落實國家戰略,促進互聯網向更高目標、更深層次發展,是我們共同的使命和任務。我們要全面落實“寬帶中國”戰略,大力實施“提速降費”行動,創建“全光網”城市,實現全市所有區縣光纖網絡全覆蓋,不斷提升100M光纖接入能力覆蓋城市家庭比例,提升4G網絡服務能力,率先引入5G網絡部署,推進IPv6在LTE網絡中的部署應用。推動區域通信網絡資費改革,鼓勵民營企業參與寬帶建設運營,促進良性競爭,提升寬帶性價比,加強電信資費公示和監測,進一步完善流量跨月不清零、流量轉增等服務,讓用戶享受更多優惠,讓人民群眾有更多獲得感。
堅持多措并舉,強化網絡安全體系化建設
第9篇:網絡安全應急體系范文
1
總則
1.1
編制目的
建立健全本市網絡安全事件應急工作機制,提高應對突發網絡安全事件能力,預防和減少網絡安全事件造成的損失和危害,保護公眾利益,維護國家安全、公共安全和社會秩序,保障城市安全運行。
1.2
編制依據
《中華人民共和國突發事件應對法》、《中華人民共和國網絡安全法》、《突發事件應急預案管理辦法》、《國家網絡安全事件應急預案》、《XX市實施辦法》、《XX市突發公共事件總體應急預案》和《信息安全技術
信息安全事件分類分級指南》(GB/Z
20986—2007)等,編制本預案。
1.3
適用范圍
本預案適用于本市行政區域內發生的網絡安全事件,以及發生在其他地區且有可能影響XX城市安全運行的網絡安全事件的預防和處置工作。其中,有關基礎電信網絡的通信保障和通信恢復等應急處置工作,適用《XX市通信保障應急預案》;有關信息內容安全事件、涉密網絡和系統的網絡安全事件的應對,另行制定預案。
1.4
工作原則
堅持統一領導、分級負責;堅持統一指揮、密切協同、快速反應、科學處置;堅持預防為主,預防與應急相結合;堅持誰主管誰負責、誰運行誰負責,充分發揮各方面力量共同做好網絡安全事件的預防和處置工作。
2
組織體系
2.1
領導機構
市委網絡安全和信息化委員會(以下稱“市委網信委”)負責統籌協調組織本市網絡安全保障工作,對處置本市網絡安全事件實施統一指揮。
2.2
應急聯動機構
市應急聯動中心設在市公安局,作為本市突發事件應急聯動先期處置的職能機構和指揮平臺,履行應急聯動處置較大和一般突發事件、組織聯動單位對特別重大或重大突發事件進行先期處置等職責。各聯動單位在其職責范圍內,負責突發事件應急聯動先期處置工作。
2.3
市應急處置指揮部
發生特別重大、重大網絡安全事件發生,職能部門報市領導決定后,將市委網信委轉為市網絡安全事件應急處置指揮部(以下簡稱“市應急處置指揮部”),統一指揮本市網絡安全事件處置工作。總指揮由市領導確定或由市委網信委負責相關工作的領導擔任,成員由相關部門和單位領導組成,開設位置根據應急處置需要確定。同時,根據情況需要,設置聯絡和處置等專業小組,在市應急處置指揮部的統一指揮下開展工作。
2.4
職能部門
市委網絡安全和信息化委員會辦公室(以下稱“市委網信辦”)作為市委網信委的辦事機構,具體承擔統籌協調組織本市網絡安全事件應對工作,建立健全跨部門聯動處置機制。
2.5
專家咨詢機構
市委網信辦負責組建處置網絡安全事件專家咨詢組,為處置網絡安全事件提供決策咨詢建議和技術支持。
3
預防預警
3.1
預防
各區、各部門、各單位要做好網絡安全事件的風險評估和隱患排查工作,及時采取有效措施,避免和減少網絡安全事件的發生及危害。
3.2
預警分級
網絡安全事件預警等級分為四級:由高到低依次用紅色、橙色、黃色和藍色表示,分別對應發生或可能發生特別重大、重大、較大和一般網絡安全事件。
3.3
預警監測
各區、各部門、各單位按照“誰主管誰負責、誰運行誰負責”的要求,組織對本區域、本單位管理范圍內建設運行的網絡和信息系統開展網絡安全監測工作。各區、各部門、各單位將重要監測信息報市委網信辦,市委網信辦組織開展跨區、跨部門的網絡安全信息共享。
3.4
預警信息
市委網信辦根據危害性和緊急程度,適時在一定范圍內,網絡安全事件預警信息,預警級別可視網絡安全事件的發展態勢和處置進展情況作出調整。其中,紅色、橙色預警信息同時報市委總值班室、市政府總值班室。
預警信息包括事件的類別、預警級別、起始時間、可能影響范圍、警示事項、應采取的措施和時限要求、機關等。
3.5
預警響應
進入預警期后,有關地區和單位立即采取預防措施,檢查可能受到影響的網絡和信息系統,做好相關安全風險的排查和修復工作。加強本地區、本單位網絡與信息系統安全狀況的監測,并將最新情況及時報市委網信辦。市網絡與信息安全應急管理事務中心根據事件性質,通知相關應急處置支撐隊伍處于應急待命狀態,并保障所需的應急設備和網絡資源處于隨時可以調用狀態。同時,加強對全市網絡與信息系統安全狀況的監測,每小時向市委網信辦報告最新情況。
3.6
預警解除
市委網信辦根據實際情況,確定是否解除預警,及時預警解除信息。
4
應急響應
4.1
信息報告
4.1.1發生網絡安全事件的單位必須在半小時內口頭、1小時內書面報告市委網信辦值班室、市應急聯動中心和事發地區網絡安全主管部門。較大以上網絡安全事件或特殊情況,必須立即報告。
4.1.2發生重大網絡安全事件,市委網信辦、市應急聯動中心必須在接報后1小時內口頭、2小時內書面同時報告市委網信委、市委總值班室、市政府總值班室;發生特別重大網絡安全事件或特殊情況,必須立即報告市委網信委、市委總值班室、市政府總值班室。
4.2
響應等級
4.2.1本市處置網絡安全事件應急響應等級分為四級:Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級,分別對應特別重大、重大、較大、一般網絡安全事件。事件的響應等級由市委網信辦判定。
4.2.2發生一般或較大網絡安全事件,由市委網信辦和市應急聯動中心決定響應等級并組織實施;發生重大或特別重大網絡安全事件,由市委網信辦和市應急聯動中心提出處置建議,報市委網信委(或市應急處置指揮部)批準后組織實施。
4.3
應急處置
4.3.1市網絡與信息安全應急管理事務中心應在接報后,立即評估事件影響和可能波及的范圍,研判事件發展態勢,根據需要,組織各專業機構在職責范圍內參與網絡安全事件的先期處置,并向市委網信辦報告現場動態信息。必要時,由市委網信辦牽頭成立由市網絡與信息安全應急管理事務中心、事發單位、主管機構負責人和相關信息安全專家組成的現場處置工作組,具體負責現場應急處置工作。
4.3.2
一般、較大網絡安全事件發生后,事發單位應在第一時間實施即時處置,控制事態發展。市委網信辦會同市應急聯動中心組織協調相關部門、單位和專業機構以及事發地區政府調度所需應急資源,協助事發單位開展應急處置。一旦事態仍不能得到有效控制,由市委網信辦報請市委網信委決定調整應急響應等級和范圍,啟動相應應急措施。必要時,由市委網信委統一指揮網絡安全事件的處置工作。
4.3.3
重大、特別重大網絡安全事件發生后,由市委網信辦會同市應急聯動中心組織事發地區政府和相關專業機構及單位聯動實施先期處置。一旦事態仍不能得到有效控制,視情將市委網信委轉為市應急處置指揮部,統一指揮、協調有關單位和部門實施應急處置。
4.4
技術實施
4.4.1處置小組制訂具體處置建議方案后,組織相關專業機構、事發單位和有關部門進行檢驗,檢驗結果上報市應急處置指揮部。
4.4.2檢驗結果經評估后形成處置正式方案,經批準后由聯絡小組及有關部門按照方案要求,協調、落實所需的應急資源。
4.4.3處置小組根據市應急指揮部下達的指令,實施應急處置。處置手段主要為:
(1)封鎖。對擴散性較強的網絡安全事件,立即切斷其與網絡的連接,保障整個系統的可用性,防止網絡安全事件擴散。
(2)緩解。采取有效措施,緩解網絡安全事件造成的影響,保障系統的正常運行,盡量降低網絡安全事件帶來的損失。
(3)追蹤。對黑客入侵、DOS攻擊等人為破壞,由相關執法部門進行現場取證,并采取一定的技術手段,追蹤對方信息。
(4)消除和恢復。根據事件處置效果,采取相應措施,消除事件影響;及時對系統進行檢查,排除系統隱患,以免再次發生同類型事件,并恢復受侵害系統運行。
4.5
信息
4.5.1一般或較大網絡安全事件信息和輿論引導工作,由市委網信辦負責。
4.5.2重大或特別重大網絡安全事件信息工作,由市政府新聞辦負責,市委網信辦負責輿論引導和提供口徑。
5
后期處置
網絡安全事件處置后,市委網信辦負責會同事發單位和相關部門對網絡安全事件的起因、性質、影響、損失、責任和經驗教訓等進行調查和評估。
6
應急保障
有關部門和市網絡安全重點單位(以下簡稱“重點單位”)要按照職責分工和相關要求,切實做好應對網絡安全事件的人員、物資、通信和經費等保障工作,保證應急處置和救援工作的順利進行。
6.1
機構和人員
各區、各部門、各單位要落實網絡安全工作責任制,把責任落實到具體部門、具體崗位和個人,并建立健全應急工作機制。
各區、各部門、各單位要將網絡安全事件的應急知識列為領導干部和有關人員的培訓內容,加強網絡安全特別是網絡安全應急預案的培訓,提高防范意識及技能。
6.2
物資保障
各相關部門、專業機構、重點單位要根據實際需要,做好網絡與信息系統設備儲備工作,并將儲備物資清單報市委網信辦備案。
6.3
通信保障
市經濟和信息化委員會(市無線電管理局)、市通信管理局等部門要建立無線和有線相結合、基礎電信網絡與機動通信系統相配套的應急通信系統,確保應急處置時通信暢通。
6.4
經費保障
依照市政府有關處置應急情況的財政保障規定執行。
6.5
責任與獎懲
網絡安全事件應急處置工作實行責任追究制。
市委網信辦及有關區和部門對網絡安全事件應急管理工作中做出突出貢獻的先進集體和個人給予表彰和獎勵。
市委網信辦及有關區和部門對不按規定制定預案和組織開展演練,遲報、謊報、瞞報和漏報網絡安全事件重要情況或者在應急管理工作中有其他失職、瀆職行為的,依照相關規定對有關責任人給予處分;構成犯罪的,依法追究刑事責任。
7
附則
7.1
預案解釋
本預案由市委網信辦負責解釋。
7.2
預案修訂
市委網信辦根據實際情況變化,適時評估修訂本預案。
7.3
預案實施
本預案由市委網信辦組織實施。
各區、各部門、各單位根據本預案,制定或修訂本區、本部門、本單位網絡安全事件應急預案,并報市委網信辦備案。
本預案自印發之日起實施。
附
件:
1.
網絡安全事件分類和分級
2.
相關部門和單位職責
3.
名詞術語
4.
網絡和信息系統損失程度劃分說明
附件1
網絡安全事件分類和分級
一、事件分類
網絡安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件等。
1.有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。
2.網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。
3.信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
4.信息內容安全事件是指通過網絡傳播法律法規禁止信息,組織非法串聯、煽動集會游行或炒作敏感問題并危害本市國家安全、社會穩定和公眾利益的事件(另行制定預案應對)。
5.設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。
6.災害性事件是指由自然災害等其他突發事件導致的網絡安全事件。
7.其他事件是指不能歸為以上分類的網絡安全事件。
二、事件分級
網絡安全事件分為四級:特別重大網絡安全事件、重大網絡安全事件、較大網絡安全事件、一般網絡安全事件。
1.符合下列情形之一的,為特別重大網絡安全事件:
(1)重要網絡和信息系統遭受特別嚴重的系統損失,造成系統大面積癱瘓,喪失業務處理能力。
(2)國家重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒,對本市國家安全和社會穩定構成特別嚴重威脅。
(3)其他對本市國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網絡安全事件。
2.符合下列情形之一且未達到特別重大網絡安全事件的,為重大網絡安全事件:
(1)重要網絡和信息系統遭受嚴重的系統損失,造成系統長時間中斷或局部癱瘓,業務處理能力受到極大影響。
(2)國家重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒,對本市國家安全和社會穩定構成嚴重威脅。
(3)其他對本市國家安全、社會秩序、經濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網絡安全事件。
3.符合下列情形之一且未達到重大網絡安全事件的,為較大網絡安全事件:
(1)重要網絡和信息系統遭受較大的系統損失,造成系統中斷,明顯影響系統效率,業務處理能力受到影響。
(2)國家重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒,對本市國家安全和社會穩定構成較嚴重威脅。
(3)其他對本市國家安全、社會秩序、經濟建設和公眾利益構成較嚴重威脅、造成較嚴重影響的網絡安全事件。
4.除上述情形外,對本市國家安全、社會秩序、經濟建設和公眾利益構成一定威脅、造成一定影響的網絡安全事件,為一般網絡安全事件。
附件2
相關部門和單位職責
1.市委網信辦:統籌協調組織本市網絡安全事件應對工作,建立網絡安全保障體系;建立完善本市網絡安全事件監測預警網絡;負責信息網絡安全技術、設備、產品的監督管理。
2.市公安局:負責打擊網絡犯罪,與本市重要信息系統主管部門建立信息通報機制,通報、預警網絡安全情況,監督、檢查、指導計算機信息系統安全保護和非涉密網絡安全等級保護。
3.市通信管理局:負責互聯網信息服務及接入服務單位的審批、備案審查和指導工作;指導、協調本市通信網絡安全事件應急處置。
4.市網絡與信息安全應急管理事務中心:受市委網信辦委托,負責本市各類網絡安全應急資源的管理與調度,提供網絡安全事件應急處置技術支持和服務;負責全市網絡安全應急預案備案管理,組織開展應急技術培訓、應急演練及事件處置善后與評估工作;建設和完善本市網絡安全事件監測預警網絡,本市相應級別的網絡安全事件預警信息;組織運營網絡安全應急技術支撐隊伍和專家隊伍。
5.各區:負責本區自建自管信息系統網絡安全事件的預防、監測、報告和應急處置工作,并配合有關部門做好本行政區域內其他網絡安全事件的處置工作;為處置工作提供必要的后勤保障。
6.其他有關部門、單位:按照“誰主管誰負責、誰運行誰負責”的原則,組織實施和指導本系統、行業的網絡安全事件的預防監測、報告和應急處置工作。
附件3
名詞術語
一、重要網絡和信息系統
所承載的業務與國家安全、社會秩序、經濟建設、公眾利益密切相關的網絡和信息系統。
(參考依據:《信息安全技術
信息安全事件分類分級指南》(GB/Z
20986—2007))
二、重要敏感信息
不涉及國家秘密,但與國家安全、經濟發展、社會穩定以及企業和公眾利益密切相關的信息,這些信息一旦未經授權披露、丟失、濫用、篡改或銷毀,可能造成以下后果:
1.損害國防、國際關系;
2.損害國家財產、公共利益以及個人財產或人身安全;
3.影響國家預防和打擊經濟與軍事間諜、政治滲透、有組織犯罪等;
4.影響行政機關依法調查處理違法、瀆職行為,或涉嫌違法、瀆職行為;
5.干擾政府部門依法公正地開展監督、管理、檢查、審計等行政活動,妨礙政府部門履行職責;
6.危害國家關鍵基礎設施、政府信息系統安全;
7.影響市場秩序,造成不公平競爭,破壞市場規律;
8.可推論出國家秘密事項;
9.侵犯個人隱私、企業商業秘密和知識產權;
10.損害國家、企業、個人的其他利益和聲譽。
(參考依據:《信息安全技術/云計算服務安全指南》(GB/T31167—2014))
附件4
網絡和信息系統損失程度劃分說明
網絡和信息系統損失是指由于網絡安全事件對系統的軟硬件、功能及數據的破壞,導致系統業務中斷,從而給事發組織所造成的損失,其大小主要考慮恢復系統正常運行和消除安全事件負面影響所需付出的代價,劃分為特別嚴重的系統損失、嚴重的系統損失、較大的系統損失和較小的系統損失,說明如下:
1.特別嚴重的系統損失:造成系統大面積癱瘓,使其喪失業務處理能力,或系統關鍵數據的保密性、完整性、可用性遭到嚴重破壞,恢復系統正常運行和消除安全事件負面影響所需付出的代價十分巨大,對于事發組織是不可承受的;
2.嚴重的系統損失:造成系統長時間中斷或局部癱瘓,使其業務處理能力受到極大影響,或系統關鍵數據的保密性、完整性、可用性遭到破壞,恢復系統正常運行和消除安全事件負面影響所需付出的代價巨大,但對于事發組織是可承受的;
