時間:2023-09-13 17:14:34
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全建設解決方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】網絡;安全;方案
【中圖分類號】G412.65 【文章標識碼】B 【文章編號】1326-3587(2012)11-0091-02
一、前言
近來,隨著信息化的發展和普及,危害網絡安全的事情時常發生。例如,越權訪問、病毒泛濫、網上隨意信息,甚至發表不良言論。這些問題需要我們引起足夠的重視,規劃并建設一個方便、高效、安全、可控的信息系統成為當前系統建設的重要工作。
信息系統安全建設項目,應該嚴格按照網絡和信息安全工程學的理論來實施;嚴格按照信息安全工程的規律辦事,做到“安全規劃前瞻、行業需求明確、技術手段先進、工程實施規范、管理措施得力、系統效率明顯”,因此,將按照信息安全工程學的理論指導實施用戶信息網絡系統安全項目的建設,從政策法規、組織體系、技術標準、體系架構、管理流程等方面入手,按照科學規律與方法論,從理論到實踐、從文檔到工程實施等方面,著手進行研究、開發與實施。
信息系統安全建設是一項需要進行長期投入、綜合研究、從整體上進行運籌的工程。該工程學主要從下列幾個方面入手來構造系統安全:
1、對整個信息系統進行全面的風險分析與評估,充分了解安全現狀;
2、根據評估分析報告,結合國家及行業標準,進行安全需求分析;
3、根據需求分析結果,制定統一的安全系統建設策略及解決方案;
4、根據解決方案選擇相應的產品、技術及服務商,實施安全建設工程;
5、在安全建設工程實施后期,還要進行嚴格的稽核與檢查。
二、安全系統設計要點
有些用戶對網絡安全的認識存在一些誤區:認為網絡運行正常,業務可以正常使用,就認為網絡是安全的,是可以一直使用的;網絡安全幾乎全部依賴于所安裝的防火墻系統和防病毒軟件,認為只要安裝了這些設備,網絡就安全了;他們沒有認識到網絡安全是動態的、變化的,不可能僅靠單一安全產品就能實現。所以,我們必須從網絡安全可能存在的危機入手,分析并提出整體的網絡安全解決方案。
1、建設目標。
通過遼寧地區網絡及應用安全項目的建設目標來看,構建一個安全、高效的網絡及應用安全防護體系,充分保障業務系統穩定可靠地運行勢在必行。
2、設計思想。
一個專業的網絡及應用安全解決方案必須有包含對網絡及應用安全的整體理解。它包括理論模型和眾多項目案例實施的驗證。該方案模型應是參照國際、國內標準,集多年的研發成果及無數項目實施經驗提煉出來的,同時方案需要根據這個理論模型及眾多的專業經驗幫助客戶完善對其業務系統安全的認識,最終部署安全產品和實施安全服務以保證客戶系統的安全。
為什么要實施安全體系?
內因,也就是根本原因,是因為其信息有價值,網絡健康高效的運行需求迫切。客戶的信息資產值越來越大,信息越來越電子化、網絡化,越來越容易泄漏、篡改和丟失,為了保護信息資產不減值,網絡行為正常、穩定,必須要適當的保護,因此要有安全投入。
其次才是我們耳熟能詳的外因,如遭受攻擊。當前在網絡信息領域中,入侵的門檻已經越來越低(攻擊條件:簡單化;攻擊方式:工具化;攻擊形式:多樣化;攻擊后果:嚴重化;攻擊范圍:內部化;攻擊動機:目的化;攻擊人群:低齡化和低層次化),因此當入侵者采用技術方式攻擊,客戶必須采用安全技術防范。隨著我國安全技術的逐步深入研究,已經把各種抽象的安全技術通過具體的安全產品和安全服務體現了出來。
時間和空間是事物的兩個根本特性,即一經一緯構成了一個立體的整體概念,安全系統的設計也可以這么理解。
從時間角度部署安全系統,如圖一,基于時間的防御模型。
該模型的核心思想是從時間方面考慮,以入侵者成功入侵一個系統的完整步驟為主線,安全方案的設計處處與入侵者爭奪時間,趕在入侵者前面對所保護的系統進行安全處理。在入侵前,對入侵的每一個時間階段,即下一個入侵環節進行預防處理。也就是說,與入侵者賽跑,始終領先一步。
從空間角度部署安全系統,如圖二,基于空間的防御模型。
一個具體的網絡系統可以根據保護對象的重要程度(信息資產值的大小)及防護范圍,把整個保護對象從網絡空間角度劃分成若干層次,不同層次采用具有不同特點的安全技術,其突出的特點是對保護對象“層層設防、重點保護”。
一個基本的網絡系統按防護范圍可以分為邊界防護、區域防護、節點防護、核心防護四個層次。
邊界防護是指在一個系統的邊界設立一定的安全防護措施,具體到系統中邊界一般是兩個不同邏輯或物理的網絡之間,常見的邊界防護產品有防火墻等。
區域防護相較于邊界是一個更小的范圍,指在一個重要區域設立的安全防護措施,常見的區域防護產品有網絡入侵檢測系統等。
節點防護范圍更小,一般具體到一臺服務器或主機的防護措施,它主要是保護系統的健壯性,消除系統的漏洞,常見的節點防護產品主機監控與審計系統。
核心防護的作用范圍最小但最重要,它架構在其它網絡安全體系之上,能夠保障最核心的信息系統安全,常見的核心防護產品有身份認證系統、數據加密、數據備份系統等。
3、設計原則。
1) 實用性。
以實際業務系統需求為基礎,充分考慮未來幾年的發展需要來確定系統規模。以平臺化、系統化來構造安全防護體系,各安全功能模塊以組件方式擴展。
2) 標準化。
安全體系設計、部署符合國家 相關標準,各安全產品之間實現無縫連接,確實不能實現的必需采用其他技術手段予以解決,并與內部的網絡平臺兼容,使安全體系的設備能夠方便的接入到現有網絡系統中。
1.1部署入侵網絡檢測系統入侵網絡檢測系統是通過對計算機網絡或計算機系統的關鍵點信息進行收集與分析,從而發現是否有被攻擊或違反安全策略的跡象,協助系統管理員進行安全管理或對系統所收到的攻擊采取相應的對策。
1.2漏洞掃描系統的建立對服務器、工作站以及交換機等關鍵網絡設備的檢查其必須要采用當前最為先進的漏洞掃描系統,同時定期對上述關鍵網絡設備進行檢查,并對檢測的報告進行分析,從而為網絡的安全提供保障。
1.3培養網絡安全人才網絡安全人才的培養是一個很重要的問題。在我國,專門從事網絡安全問題的部門、單位比較少,技術人員十分缺乏,并且網絡人員以及網絡管理人員網絡安全意識比較淡薄,缺乏必備的安全知識。所以,我國急切需要培養大量的網絡安全人才,并提高他們的網絡安全意識和學習必備的安全知識。只有這樣,我國才能在網絡安全領域的研發、產業發展、人才培養等方面更快發展,縮小和國外的,是我國的網絡更加的安全,國家更加的安全。
1.4大力發展自主性網絡安全產業大力開發有自主知識產權的網絡安全產品可以有效提高網絡安全性能,是徹底擺脫進口設備的有效途徑,自己掌握關鍵技術是大力發展自主性網絡安全產業的關鍵。通過加大對網絡安全技術網絡安全技術研究開發與研究的投人,可以使網絡安全技術水平得到進一步的提高。
2網絡安全的發展趨勢
隨著我國當前網絡技術的飛速發展,原來的采用單點疊加方式的網絡防護手段已經不能抵御當前混合型的網絡威脅。因此,構建考慮局部安全、智能安全和全局安全的一個安全體系,以此為廣大的網絡用戶提供更為全方位和多層次的立體防護體系,是當前做好網絡安全建設的一個重要的理念,同時也是網絡安全未來發展趨勢。
2.1網絡安全技術的融合發展在網絡普及率不斷提高的情況下,網絡所面臨的威脅也日益加劇。傳統的以單一防護的方式已經成為過去。因此,只有通過技術的融合,建立更加智能化、集中化的管理體系,成為未來網絡安全的必然。未來網絡的規模會越來越龐大和復雜,網絡層的安全和暢通已經不能僅僅依靠傳統的網絡安全設備來保證,因此整體的安全解決方案開始融合以終端準入解決方案為代表的網絡管理軟件。終端準入解決方案為網絡安全提供了有效保障,幫助用戶實現了更加主動的安全防護,實現了更加高效、便捷地網絡管理目標,全面推動了網絡整體安全體系建設的進程。
2.2網絡主動防御的發展網絡主動防御的理念已經被提出來很多年了,但是和其他理論一樣,在其發展的時候遇到了很多阻礙。所謂的網絡主動防御,其實質就是通過對指定程序或者是線程方面的行為,并按照事先設定的規則,從而判斷該行為是否是屬于病毒或者是比較危險的程序,以此對其進行清除。通過主動防御可有效的提高系統整體的安全策略,并推進整個互聯網絡的智能化的建設。該產品在現階段的發展中還不夠成熟,但是未來隨著技術的進步,該技術會更為完善,從而成為未來互聯網的發展趨勢。
3結語
《美軍2013財年信息技術與網絡安全項目的預算需求》中闡述了國防部信息環境、聯合信息環境、加固網絡、數據中心的建設、購買設備、企業級服務與信息技術管理、網絡安全、信息技術投資計劃、人力建設、電磁頻譜等十個方面的建設需求,其中的五個方面則是重中之重。
美國國防部2013財年的信息技術預算需求大約為370億美元,比2012財年的預算略微減少。這些資金被投資到6000多個遍布全球的軍事基地,支持3個部、40多個局以及戰場上的獨特需求與任務。下面詳細介紹美軍2013財年信息技術和網絡安全建設的五大發展重點。
五大發展重點
從《美軍2013財年信息技術與網絡安全項目的預算需求》可以發現,美軍2013財年信息技術和網絡安全建設的重點放在聯合信息環境、數據中心、企業化服務、網絡安全和加固網絡等五個方面。
聯合信息環境
聯合信息環境是一個單一、安全、可靠、高效和靈活的指揮、控制、通信和計算機計劃,可被聯合部隊的任務合作伙伴在幾乎所有軍事行動、梯隊和環境中廣泛使用。美軍2013財年聯合信息環境建設的目標主要有兩個:一是使國防部更有效、更安全、更好地彌補弱點,更好地應對網絡威脅;二是簡化、集成信息系統,實現信息系統的標準化、自動化,減少國防部信息技術基礎設施的相關費用。
國防部的信息主管正在指揮著聯合信息環境相關計劃的實施,也同聯合參謀部、各軍種及國防部其他部門互相合作,以更快速地全面實現國防部信息技術現代化。國防部正在使用情報委員會的信息技術現代化手段來輔助聯合信息環境計劃。一個由來自國防部專家組成的小組正在構思實現途徑,制定實現計劃與項目時間表,并進行經費預算。在2013財年,美軍強調項目必須集成網絡安全,從操作系統的配置到系統進入控制,到全方位防御系統,到網絡入侵探測與診斷。
美軍將繼續通過國防信息系統局的Forge.mil與RACE軟件開發環境,以及通過與研發平臺匹配的集成測試與安全評估能力,加速平臺的研發、質量控制、網絡安全評估。
數據中心
美軍非常重視信息技術標準建設,目前國防部的信息主管在軍種與國防信息局的配合下為數據中心建立設計的標準,堅持非保密網絡、保密網絡、物理隔絕網絡、加密隔絕網絡都執行同樣標準。這種標準網絡建設,再加之更多的信息服務,使國防部數據中心的數量相應減少。
美軍2013財年重點將現有數據中心合并為三類數據中心:第一類為核心數據中心,用于國防部各部門都可以使用的信息服務與應用,以及用于國防部與工業部門、公眾交互的對外服務與應用;第二類為地區性數據中心,主要用于滿足終端用戶的信息服務與應用需求;第三類為部署在戰場前方的前方數據中心,此類數據中心很靈活,可以存放地區性與全局性的服務與信息,適合各種任務情況,速度更快,網絡可靠性更好。
這些數據中心的服務器將普遍高度虛擬化,這樣可以更靈活地加入新的信息服務,提供最大的使用效率。
企業化服務
目前,國防部的信息主管正在同五角大樓的高層領導一起合作,以確保對信息技術投資進行企業化管理,使一些信息中心靈活地交付信息能力與解決方案。
此外,在實施企業化方案的過程中,美軍也在不斷解決有時出現的框架結構等方面的問題。例如,國防信息主管辦公室為國防部起草了“云計算”戰略,并將與軍事部門、國防信息系統局以及其他部門與生產廠家一起合作來實施該戰略,以更好地優化未來的信息基礎設施與應用。
網絡安全
2013財年信息技術與網絡安全項目預算中,大約34億美元用于國防網絡安全,與2012財年基本相當,主要用以消除信息、信息系統與網絡已知的脆弱性,使國防部與國家更好地應對網絡威脅。
美軍2013財年制定了網絡安全工作的五個重要目標:第一個目標是當面對強敵發起網絡戰的時候,國防部信息基礎設施用戶,包括國防部的合作伙伴,擁有可靠的關鍵信息與信息基礎設施;第二個目標是確保與任務需要的任何伙伴之間實現快速、安全的信息共享,而且信息足夠豐富,對于執行任務是有效的;第三個目標是保護美軍重要、保密的信息;第四個目標是確保任務指揮官可以隨時進入網絡空間;第五個目標是確保國防部采用的技術具有靈活性。
重構國防部的網絡是聯合信息環境的核心支柱之一,以使國防部擁有一個統一的、滿足不同安全需求的聯合網絡體系。目前,美軍正在制定這種聯合信息環境要素的工程技術細節與體系結構細節。這將提供更加統一的網絡防御,并將使網絡司令部可以通過計算機掌握全局,防止黑客入侵在網絡中蔓延,提高聯合作戰的互操作性與相互依賴性。
加固網絡
加固網絡主要有以下內容。
可靠的兼容性評估解決方案美軍在2012年購買了一種名為“可靠的兼容性評估解決方案”的商業工具,使用這種工具可以掃描計算機的漏洞,然后做出報告并進行修復。這種工具正在進行最終測試,將于2013年夏天部署,預計各部門將在未來18個月部署與應用。
基于主機的安全系統
目前,美軍國防部在每一臺與非保密網絡、保密網絡連接的電腦上安裝“基于主機的安全系統”工具。這種工具可以發現并報告漏洞,防止某些類型的網絡入侵,探測到其他入侵并作出反應,提高了國防部網絡加固、態勢感知、網絡入侵探測、診斷與反應能力。2013財年申請的網絡安全資金繼續用于部署與保障新的“基于主機的安全系統”,以更好地加固計算機,提供持續自動監督計算機配置的能力,更好地改善國防部人員與設備身份管理能力。
公鑰基礎設施身份識別
美軍網絡加固工作的另一個關鍵部分是去除網絡匿名。美軍計劃在國防部非保密網絡中使用公鑰基礎設施身份識別,2012年美軍完成向50萬人公鑰基礎設施身份識別,2013年3月份美軍將使用這些身份證。這不僅可以幫助美軍改善信息使用責任制,也可以與政府各部門合作,使跨部門共享更加安全信息。
值得信任國防系統/供應鏈風險管理 美軍認識到盡管先進的商業技術可以為國防部帶來眾多好處,但是也為國外惡意分子通過插入惡意程序來獲取、改變數據,截取、阻止通信并危及供應鏈安全提供了機會。為了應對這些風險,國防部正在使值得信任國防系統/供應鏈風險管理制度化,同時國防部也正在與其他部門合作研究管理關鍵基礎設施中防范供應鏈風險的方法。
國防工業基地網絡安全與信息確保項目 由國防部信息主管監督的國防工業基地網絡安全與信息確保項目是國防部另一個重要成果。該項目為政府一工業部門的合作伙伴關系提供網絡安全方面的標準,也為網絡安全提供一種系統方法,包括政府間保密威脅信息的共享、工業部門數據的共享、搶救與修復策略的共享、網絡入侵損害評估。盡管不能徹底消除威脅,但是這一項目增強了每個國防工業基地參與者消除風險的能力,進一步保護了在國防工業基地保密網絡上存儲或傳輸信息的安全。
美軍在項目進程中積累的經驗
信息技術采辦的標準化為美軍節約大量經費
為了解決由于國防部“煙囪式”信息體系(“煙囪式”信息體系是指數據直接從各個數據源被直接抓取到目的地,中間不留任何縫隙)而產生的問題,美軍重點改革國防部3個核心過程:提需求、預算與采辦。
國防部信息主管辦公室與主管軍官的辦公室緊密合作制定一種靈活、快捷的采辦程序,美軍通過企業化軟件計劃,10年期間總共節省了30億美元。美軍的信息體系戰略與路線圖強調了將購買硬件、軟件與服務作為提高效率的主要手段。通過共享國防部中各個組織的購買協議,美軍大大減少了中介的數量,進一步優化、理順了信息技術采購過程。可以說,正是由于美軍注重信息技術與設備從需求、預算到采辦的全程合作與規范,才大大縮減了經費開支。
智能網絡入侵監測系統將提高美軍的網絡防御能力
美軍明確提出要通過“可靠的兼容性評估解決方案”、“基于主機的安全系統”等5項工作來提高其加固網絡、態勢感知、網絡入侵探測、診斷與反應能力。美軍計劃未來幾年逐步從“可靠的兼容性評估解決方案”與“基于主機的安全系統”來收集關于國防部每臺計算機的配置信息,并使用這些信息自動生成可供各級指揮官使用的任務風險數值。指揮官可以使用這些信息與風險數值來修復漏洞,更好地了解到底哪些任務存在漏洞。這些智能入侵監測系統的應用將會大大縮短美軍監測網絡入侵的時間,提高美軍應對網絡入侵的反應效率。
聯合信息環境將為美軍提供一體化平臺
【關鍵詞】校園網 網絡安全 解決方案
1 安全現狀
校園網是學校基礎設施,用于教學、科研、管理和對外交流等。校園網的安全情況有學校工作起至關重要的作用,其安全與否直接影響學生工作的質量高低。校園網建設之初,學校對這一塊的重視力度不大,隨著科技發展和教學辦公的信息化,校園網受到的網絡攻擊變多,校園網安全問題也開始多樣,加上學校安全意識和管理方面的原因,校園網的事故不斷發生,安全受到極大的威脅。隨著學校的發展和對網絡管理的重視,科技促使校園網規模擴大,復雜性也在增加,學校網絡用戶對校園網的性能要求在提升,網絡安全已經成為校園網發展建設的關鍵任務。
2 關鍵技術
2.1 防火墻技術
校園網安全問題,需要設置一個高級訪問控制設備,以此組成防火墻系統,將其部署在幾個不同的網絡當中,內外網絡信息必須從這個系統經過,因此可以利用防火墻攔截不安全信息,并對想要進入校園網的信息進行訪問控制,保證校園網絡的安全。
2.2 VPN技術
VPN指虛擬專用網絡,是在建立私有和安全的通道,建立起自身網絡和遠程用戶的安全連接。VPN是W絡不斷擴展中一個完整的組成部分,在網絡元素不斷擴展的時代,VPN技術能夠保證校園網的安全性。利用VPN技術給兩個或多個網絡連接提供一條加密的隧道。這樣,利用校園網這個共有網絡傳輸的通信是隱藏的,保證安全性。
2.3 入侵檢測技術
入侵檢測技術也是一項安全技術,主要是網絡邊界的防護,雖然防火墻在安全方面有著重要作用。它部署在網絡的各個關鍵點,但從安全技術和理論上看,防火墻是不能夠避免入侵行為的。在這種形勢下,利用入侵檢測技術十分必要,檢測防火墻在防護中遺漏的入侵行為,發現網絡出現安全問題的原因,提高校園網的整體安全性。
2.4 設備冗余
校園網是一個比較公開,并且多種類型用戶的網絡系統,系統故障很常見,這時就需要利用冗余設備,以此來減少系統故障時間,保證校園網系統的可靠性。冗余是重要組成部分,和其他安全技術和措施不同,它不能直接緩解網絡攻擊和處理漏洞問題,但如果沒有部署冗余設計,其他的安全技術和措施是不能發揮作用的,不能防范和抵御已知和未知的威脅和攻擊,也不能夠保證系統的安全。因而,在合適的位置部署冗余設計,是校園網安全的重要措施之一。設置冗余設備,保證其他技術的正常工作,使校園網更加安全、可靠和穩定,同時也能夠為保護機制的建立爭取時間。
3 安全措施
校園網安全問題是當前重要的一個問題,采取有效措施進行病毒和不良信息的入侵,能夠保證學校網絡環境的安全。
3.1 虛擬隔離
對于校園網內部環境的安全,應該利用VLAM技術進行虛擬隔離,給不同的區域不同的安全隔離,使不同等級的網絡劃分開,即使病毒進入一個區域,也不能任意妄為,擴散到其他區域,導致全網絡的癱瘓。
3.2 病毒查殺
校園網的安全問題,病毒查殺是重要解決措施,在網絡中安裝防毒軟件,能夠過濾和查殺網絡中可能存在的病毒,保證網絡數據安全,同時也加強互聯網連入業務的監控管理。
4 解決方案
校園使用用戶多,不同用戶需求不同,因而要制定相應措施,緩解網絡攻擊。
4.1 工作人員
校園網使用中,由于用戶很多,所以要對使用者提出要求。本系統和公共系統以及業務處理系統的服務器都可以進行訪問。但設計到部門的資源,特別是安全實施方案,不允許其他部門的用戶進行訪問,所以需要系統服務器、公共系統服務器和業務處理的路由都加入自身網絡。
4.2 內部服務器
對于系統內部服務器要提出要求,允許服務器通用,允許其他部門用戶訪問,但不能夠訪問服務器安全實施方案,部門內部的服務器要由自身管理,在連接校園網后,要加強服務器安全管理,統一給學校網絡中心管理。
4.3 公共服務器網段
公共服務器網段是開放的,將公共服務器的路由分發給允許訪問的用戶,在這個過程中,要注意的是個別部門對公共服務器的攻擊,進而控制公共服務器,達到訪問其他網絡的行為。
5 管理方案
校園網具有自身獨特的特點,以前,“外部網絡是”網絡安全建設的核心,現在轉成了“內部網絡”。其內部建設面臨挑戰,所以加強校園網安全管理十分重要。怎樣應對內部網絡安全威脅,不僅是已知威脅,還有未知威脅,組織攻擊手段在內網中的運行,保證校園網的安全。
5.1 終端管理
校園網的威脅,多來自學生。所以,校園網要利用終端管理是保證網絡安全。利用內網介入控制,對上網行為進行檢測,實現對外接或移動存儲空間的監控,利用身份認證技術,保證檢測到具體個人。
5.2 用戶管理
校園網安全管理中,應該制定管理制度和技術措施等,在制度中明確校園網用過的責任和義務,以此提供他們在使用網絡時的安全意識,這樣也能夠在校園網安全事故發生時,及時有效的做出處理。學生在使用校園網時,可以根據自身情況簽訂入網協議,這樣才能使學生用戶了解學生的網絡安全管理制度,對他們的用網行為起制約作用。另外,還需要對校園網安全管理者進行專業技能培訓,使他們能夠有能力應對校園網安全問題。
6 結語
校園網安全是學校教學和辦公的保證,目前很多學校網絡環境還沒有得到很快完善,在網絡安全上還存在一定缺陷,學校要采取各種措施和安全保護技術,例如病毒隔離技術、防火墻技術和VPN技術等等,從管理和技術上解決校園網安全問題,致力于給學校提供一個良好的網絡環境。
參考文獻
[1]林玉梅.高校校園網絡安全防護方案的設計與實施[D].華僑大學,2015(04).
[2]李春曉.校園網網絡技術安全技術及解決方案分析[J].電子測試,2013(09).
[3]張俊芳.高校校園網升級改造方案的設計與實現[D].華南理工大學,2014(06).
北京冠群金辰軟件有限公司(簡稱冠群金辰)成立于1998年,是擁有完全自主知識產權的網絡安全產品、服務與解決方案的提供商。冠群金辰的KILL品牌誕生于1989年,是國內第一款防病毒軟件。目前,公司擁有KILL防毒墻、KILL網絡防病毒系統、KILL木馬防御和安全預警等六大類系列安全產品。冠群金辰公司為企業提供基于深層防御體系建立的整體安全解決方案與服務。
冠群金辰的KILL防毒墻、KILL網絡防病毒等安全產品就已經在一個覆蓋全省的三級環保安全項目中全面部署,KILL防毒墻等安全產品擁有的領先技術、優越性能和冠群金辰公司完善的服務體系已得到了用戶的認可與肯定。
某國家級環保信息建設項目是國家環保系統在“十一五”期間的重點項目,是國家整體建設減排工程的重要項目之一。該信息系統貫穿于部、省、市、縣四級,將面臨來自物理環境威脅、網絡攻擊、病毒和惡意代碼、內外部人員、管理缺陷等各方面的風險,因此,按照國家要求和業務重要性,建立安全保障體系是非常必要的。
依據國家信息安全標準體系和信息安全等級保護體系的要求,該項目的安全建設要從組成信息系統安全的五個方面對信息系統進行安全控制,既保護系統安全性,又保護信息的安全性,還要符合環保業務的實際需要。同時,該項目的建設還必須遵循以下原則:同步建設原則,綜合防范、適度安全原則,重點保護原則,技術與管理并重原則,避免重復建設原則,可擴展原則。
為此,環保相關部門組織行業專家對該項目進行研討、論證,確定了該信息項目的整體安全防護系統,通過對信息系統進行較嚴格的安全控制,防止來自內部和外部的攻擊;確保存儲、傳輸和處理的信息的保密性、完整性和可用性;通過對人員、法規、機構、制度、規程等方面采取較嚴格的管理措施,確保技術的安全控制達到預期的目標。
該信息系統的安全解決方案包括防火墻、防病毒網關、主頁防篡改系統、漏洞掃描、入侵檢測、審計系統等安全產品,實現了國家三級信息系統安全保護的建設要求。
最終,冠群金辰與IBM、啟明星辰等行業領先的公司一起成為該項目的安全產品供應商,冠群金辰公司的KILL防毒墻(KSG-V)從眾多競爭產品中脫穎而出成功入圍,成為防病毒網關產品的唯一入圍品牌,彰顯了KILL防毒墻的強大技術實力。
KILL防毒墻(KSG-V)是冠群金辰自主研發的病毒過濾網關,是專為企業級用戶設計的安全產品,可全面防范計算機病毒傳播、阻斷蠕蟲攻擊、控制網絡非法流量。其防病毒、防蠕蟲、防垃圾郵件三大自有技術多年以來一直在國內處于領先地位。
KILL防毒墻可以部署在網絡邊界和內部網絡邊界處,對惡意代碼進行檢測和清除,通過對HTTP、FTP、SMTP、POP3等協議進行病毒過濾,保護公眾訪問服務區服務器免受病毒侵入;阻止間諜軟件回傳;過濾并阻斷病毒在內部網的傳播。
在環保系統安全方案中,KILL將部署在部、各省網絡邊界處,對進出的網絡流量進行惡意代碼的檢測和清除。在內外網邊界處,KILL防毒墻可有效阻止惡意代碼對內網的入侵;在內網不同網段之間,KILL防毒墻可攔截木馬和惡意代碼在內網的傳播,同時還可以有效地過濾敏感信息,保護企業內部的信息資產安全。
KILL防毒墻還可以做到集中管理,在全網形成多層次的管理系統。通過集中管理平臺可有效管理網絡中近百臺網關設備,并下發定制的安全策略,形成全網統一的安全策略,既為用戶節省了人力,又降低了管理的成本。
(訊)網絡空間在2015年新頒布的《國家安全法》中被正式確定為國家第五疆域,與傳統的海、陸、空、天并駕齊驅,網絡安全建設上升至戰略高度。“十三五”期間,網絡安全建設已確定性成為政府投入重點,并將在未來五年步入建設高峰期。在信息安全投入現狀較低的情況下,未來千億增量空間正逐步被打開。目前,國家對于信息安全建設工作的意愿和目標明確,自2014年起可以看到,政府的支持政策就連續不斷出臺,政策力度逐步遞升。2016年,在頂層設計的逐步完成后,“十三五”期間信息安全有望在政府監督和指導下,正式步入建設項目實施兌現期。當下,我國的信息安全投入僅占IT總投入的1-3%,遠低于發達國家8%-12%的水平,按10%的平均水平匡算,我國信息安全市場已具備千億市場空間等待挖掘。
未來隨著信息安全建設周期的開始,在政府相關支持政策的持續高壓下(短期《網絡安全法》值得期待),各行業領域對信息安全的需求釋放,使得信息安全行業整體增速上升到一個新的臺階,從原來的15%-20%提升為20%-30%,成為行業新業態。在此過程中,黨政軍方面的需求將成為增速的主引擎。根據CCID預計,未來三年我國信息安全市場將保持25%左右的高速增長,2019年信息安全市場規模將達到約合396億元。而在信息安全行業快速發展的過程中,由于軍政領域國家涉密信息最多,對信息安全的保護等級始終最高,我們認為該領域將成為拉動信息安全需求增長的主力軍。與此同時,考慮到當前國家意志在需求拉動中的關鍵作用,以及《網絡安全法》等法律細則尚未出臺,企業級客戶合規需求尚未啟動的背景下,黨政軍方面需求有望率先快速增長(預計未來兩到三年黨政軍細分領域需求增速將超過行業平均增速,達到30%-40%),成為拉動我國信息安全行業步入高速增長周期的第一級驅動力。
細分市場上我們認為,隨著信息竊取數量快速增長,經濟代價加大,信息安全防護需求等級將逐漸提升,高端的信息加密細分市場將迎來春天。隨著政府、軍隊、金融和能源等關鍵領域數據泄露次數爆發式增加,信息安全需求等級逐漸提升,普通的網絡防護已不再能滿足高安全等級的要求,能夠對數據源頭進行加密的產品在這些重點領域需求快速提升。預計密碼產品整體市場增速未來三年有望保持30%-40%超越行業平均增速的高水平狀態。信息行業整體上,我們則認為行業將呈現集中度逐步提升的狀態,綜合廠商競爭優勢將會越來越明顯。目前,由于所面臨的網絡攻擊方式多樣,企業對于全方位的信息安全防護需求明顯。而出于對企業成本及自身數據保密性的考慮,能提供完整軟硬件解決方案的綜合廠商將更能獲得合作的機會。因此,我們認為目前國內正處于不斷完善自身產業鏈的龍頭型企業未來將會更具競爭力,在品牌、研發、技術、產品、客戶上獲得更大優勢并進一步拉開與后面企業的差距,占領更多市場份額。
在傳統安全應用領域之外,云計算、移動互聯網等新應用領域的興起帶來了對安全的新需求,這些藍海市場未來前景廣闊,空間巨大,未來將成為企業爭奪的新焦點。目前,云計算已成為IT領域未來的必然趨勢,我國云服務也正快速增長。但云服務產生的數據所有權和管理權的分離使得安全疑慮成為其大規模商用的最大桎梏。憑借安全需求在云計算中的特殊地位,未來云安全有望跟隨云計算實現快速發展。據計世資訊預測,2017年中國云計算市場規模將突破800億大關,復合增速達80%以上。而我國的云安全市場2017預計將達到41億美元的市場規模。移動安全領域,由于手機在移動辦公、移動支付、物聯網中逐漸起到的控制終端作用,承載信息價值量快速提升,安全需求隨之擴大形成新興的藍海市場。目前根據細分市場規模測算,移動端信息安全市場容量已達27億,并將以每年30%的速度增長,成為安全企業爭奪的新焦點。
投資策略:首先,信息安全將在“十三五”期間快速邁入建設高峰期,信息安全市場千億市場空間有待挖掘。其次,隨著信息安全建設周期開啟,行業整體增速有望提升至20%~30%。黨政軍方面的需求將增長最快,成為拉動我國信息安全行業的主引擎。再次,細分市場上高端信息加密產品將隨著信息安全需求等級的提升,迎來結構性機會。整體行業則有望集中度提升,綜合廠商競爭優勢將逐漸明顯。最后,云計算、移動互聯網領域對安全的新需求,有望為信息安全行業帶來廣闊新市場。因此,我們建議從以下四個路徑把握投資機會,盡享“十三五”期間信息安全行業即將帶來的饕餮盛宴:重點推薦啟明星辰、立思辰、優炫軟件。(來源:中泰證券 文/李振亞 編選:中國電子商務研究中心)
企業通過對自身海量數據的挖掘、分析和應用,可以有效地掌握市場規律和用戶需求,從而形成獨特的競爭優勢。不過,關鍵數據一旦泄露,不僅競爭優勢不復存在,還會使得企業陷入經營管理的危機,而更為嚴重的是個人用戶的隱私將受到直接威脅。
既然數據泄露的破壞力如此之大,那么已有的防護體系是否能夠做到有效防護呢?答案是否定的。已有的防護體系,如防火墻、IPS、IDS、WAF、防病毒以及漏洞掃描只能對已知漏洞和已知木馬進行防護,而對于“零日攻擊”、“APT攻擊”、“合法人的惡意違規”以及“SQL注入攻擊”則顯得相形見絀和無能為力。在這種情況下,攻擊者可以輕而易舉的利用未知的漏洞和0day漏洞來控制合法用戶的終端,從而竊取機密數據。
綜合來看,要想從根本上解決數據安全問題,還需要建立數據庫安全的整體解決方案。而在這一領域,杭州漢領信息走在了行業的前列。
專注數據安全
漢領信息一直致力于數據庫安全整體解決方案的產品研發和市場推廣。公司從無到有、從弱到強,目前已成為一家專業的新型數據庫應用安全領導廠商和數據庫安全整體解決方案提供商,并且其產品已廣泛應用于政府、運營商、金融、教育、醫療、企業信息防護等眾多行業和領域。
4月28日,在北京展覽館舉辦的第三屆“首都網絡安全日”網絡與信息安全博覽會中,杭州漢領信息科技有限公司了“下一代數據庫應用安全防御系統(NGDAP)”。憑借其高度優化的軟硬件體系結構,NGDAP對數據庫行為、數據庫接入、SQL注入和APT攻擊等能進行有效的控制和防護。
向SQL注入說再見
眾所周知,基礎信息網絡和重要信息系統安全防護能力不強、企業內部的惡意違規和誤操作,以及第三方運維和開發人員留取的后門程序等技術安全風險因素和人為惡意攻擊的存在,使得數據庫安全乃至信息安全問題頻發。
在眾多安全問題中,SQL注入問題尤為嚴重。一方面,一旦SQL注入攻擊成功,不僅能得到數據庫的各種信息,還有可能得到服務器的管理權限,可謂破壞力極強;另一方面,又因為其廣泛存在、手段隱蔽、特征不可窮舉以及攻擊手段及工具平民化的特征,使得長期以來SQL注入攻擊問題無法得到切實解決。
而這個問題,隨著“下一代數據庫應用安全防御系統(NGDAP)”的迎刃而解。NGDAP突破了基于規則庫安全防護體系的技術壁壘。采用流會話技術對業務SQL語句的關鍵字、邏輯關系等特征自動采樣學習,并結合高性能的SQL語義分析計算,構建對應的SQL語法樹,完成模態數據建模。從而對未知威脅進行高效、及時、精準的預警和阻斷。
NGDAP通過白模型鑒別的非常態阻斷模式,對請求數據進行標準化處理,然后將處理后的數據進行規則匹配,合法請求將被傳遞到真實的數據庫當中,而其他所有的SQL請求則會立即被阻斷,系統發出攻擊告警,并形成記錄日志。通過這個過程,NGDAP能輕松的在源頭成功遏制SQL注入攻擊問題。
就像杭州漢領信息科技有限公司副總所說的那樣,“是時候向SQL注入優雅而堅定的說再見了”。
不僅是SQL注入
數據安全威脅除了來自SQL注入攻擊之外,還來自網頁木馬、網頁后臺程序以及系統、業務Oday和數據庫漏洞引起的拖庫。
NGDAP采用串聯的方式部署在用戶業務系統與數據庫服務器之間,并通過網絡、行為、準入和業務防火墻的設置,將安全威脅阻斷在數據庫之外,從而從根本上解決三層業務系統訪問的安全威脅。
對此,NGDAP在數據安全防護領域的優勢得以彰顯:串聯部署,獨創無感知ByPass技術;徹底解決零日攻擊、APT攻擊、SQL注入攻擊、網頁木馬、后門程序等手段對數據庫數據造成的威脅;直觀并實時掌握業務系統安全狀況;完成對海量數據的安全過濾。
另外,NGDAP還適用于Oracle 、DB2 、SQL Server 、InforMIX 、SYBASE、Mysql六大數據庫等多種場景的數據安全維護。
這次能評選為2012 年度中國信息安全優秀服務獎,我公司感到非常高興與榮幸,感謝評委組對我公司的厚愛與信任,感謝客戶對我公司信息安全服務的認可。我們將繼續努力做到更好,為信息安全建設保駕護航。
――獲獎感言
甘肅天梭信息安全技術有限公司(簡稱天梭)是一家專門從事網絡和網絡信息安全產品以及相關技術應用、咨詢的專業服務公司。公司擁有多名經驗豐富的行業技術顧問和技術專家,致力于網絡信息安全的推廣、咨詢、方案集成等相關服務。公司宗旨是以專業的技術、優質的服務快速響應網絡以及網絡安全的需求和技術發展,著重于政府、企業、高校、證券、金融等行業的信息安全問題。針對各行業背景的需求,不斷開發、完善安全應用系統,建立高效專業的服務體系,協助客戶規劃、制定和實施全方位的安全方案,面向各行業客戶提供專業的技術支持和個性化服務。
天梭的核心產品涉及Web應用防火墻,專利級Web入侵異常檢測技術,對Web應用實施全面、深度防御,能夠有效識別、阻止日益盛行的Web應用黑客攻擊 (如SQL注入、釣魚攻擊、表單繞過、緩沖區溢出、CGI掃描、目錄遍歷等)。
Web弱點掃描器:以Web漏洞風險為導向,通過對Web應用(包括Web2.0、JavaScript、Flash等)進行深度遍歷,以安全風險管理為基礎,支持各類web應用程序的掃描。
智能流量管理系統:作為業界領先的應用優化與流量管控解決方案,Maxnet AOS以DPI( Deep Packet Inspect,深度包檢測)和DFI (Deep/Dynamic Flow Inspection,深度流行為檢測)技術為核心,結合帶寬自動分配算法、令牌桶算法、隨機公平隊列等技術, 能夠全面識別和控制包括P2P、VoIP、視頻流媒體、HTTP、網絡游戲、數據庫及中間件等在內的多種應用,提供虛擬帶寬通道劃分、 最大帶寬限制、保證帶寬、帶寬租借、應用優先級、Per-IP帶寬控制、Per-Net帶寬控制、隨機公平隊列等一系列帶寬管理功能,為用戶提供主動式、智能化、可視化的帶寬管理服務,為用戶應用優化與帶寬管控、流量管理以及網絡規劃提供科學的依據。
數據庫安全審計系統:運維審計與風險控制系統是一種符合4A(認證Authentication、賬號Account、授權Authorization、審計Audit)統一安全管理平臺方案并且被加固的高性能抗網絡攻擊設備,具備很強安全防范能力。作為進入內部網絡的一個檢查點,它能夠攔截非法訪問和惡意攻擊,對不合法命令進行阻斷,過濾掉所有對目標設備的非法訪問行為。
數據庫弱點掃描系統:該產品融合了權威數據庫安全專家數年的安全經驗與技術積累,是全球首創、擁有自主知識產權、專門用于掃描數據庫弱點的產品, 能夠掃描幾百種不當的數據庫配置或者潛在漏洞,具有強大的發現弱口令及數據庫潛藏木馬的功能。
網絡安全是一項動態的、整體的系統工程,由安全的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個組件組成,一個單獨的組件是無法確保信息系統安全性的。天梭采取多種措施保障網絡安全,包括應用防病毒技術,建立全面的網絡防病毒體系;應用安全網關系統,控制訪問權限,實現網絡安全集中管理;應用入侵檢測防護技術保護主機資源,防止內外網攻擊;應用安全漏洞掃描技術主動探測網絡安全漏洞,進行定期網絡安全評估與安全加固;應用Web防護系統,實現網絡安全可靠的運行;應用安全審計系統,防護重點內部應用系統,對方問行為進行細粒度審計;應用內容管理系統主動過濾非法內容,提供健康、安全的網絡環境;應用網絡安全緊急相應體系,防范安全突發事件。
【關鍵詞】網絡;安全;技術防范;對策
【中圖分類號】TP393.08 【文獻標識碼】B 【文章編號】1672-5158(2013)01―0445―02
引言
近年來,隨著經濟社會的快速發展,互聯網得到快速增長,互聯網的應用領域不斷擴張,已經從傳統領域拓展到非傳統領域,而且影響力越來越大。據中國互聯網絡信息中心(CNNIC)近期的《中國互聯網絡發展狀況統計報告》顯示:截至2012年12月底,手機網民數量為4.2億,中國網民數達到5.64億,全年新增網民5090萬人,普及率為42.1%;微博用戶規模為3.09億,較2011年底增長了5873萬。域名總數為1341萬個,其中“.CN”域名總數為751萬,“.中國”域名總數為28萬。中國網站總數(即網站的域名注冊者在中國境內的網站數)回升至268萬個(去年底只有183萬)。網絡安全從大的方面講,關系國家安全、社會穩定;從小的方面講,網絡安全涉及個人信息安全、財產安全,因此,積極研究探討適應新形勢發展要求的網絡安全方案,對確保網絡安全,提升網絡服務質量具有十分重要的現實意義。
1 加強網絡安全的現實意義
隨著信息化技術的不斷發展,網絡已經成為一種聯通各地、各個領域的重要基礎設施,計算機網絡的發展為人們的生產、生活、工作帶來了極大便利,拉近了全球的距離。但在看到網絡給人們帶來便捷的同時,還要清醒地認識到網絡作為一個面向公眾的開放系統,如果網絡安全意識不強、網絡安全防范措施不力,就會產生網絡安全隱患。特別是隨著信息網絡技術的飛速發展,網絡得到廣泛普及和應用,應用層次不斷深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,已經被行政部門、金融機構、企業廣泛應用,網絡在這些領域的廣泛應用,也進―步加大了網絡安全的風險。如何保持網絡的穩定安全,防止諸如黑客攻擊、非正常入侵等安全問題的發生,是一項重要任務。
由于網絡系統結構復雜、涉及終端眾多、系統開放,網絡系統面臨的威脅和風險比較多,歸納起來主要來自外部的人為影響和自然環境的影響,這些威脅有的是對網絡設備的安全運行存在威脅,有的是對網絡中的信息安全存在威脅。這些威脅的集中起來主要有:非法授權訪問,假冒合法用戶,病毒破壞,線路竊聽,黑客入侵,干擾系統正常運行,修改或刪除數據等。這些威脅一旦成為現實,將對網絡系統產生致命的影響,嚴重的可能會導致系統癱瘓,傳輸信息被非法獲取和傳播,會給相關機構和網絡用戶造成不可挽回的損失。
在網絡快速發展的新形勢下,全面加強網絡安全建設,提升網絡安全等級,對確保和維護網絡用戶利益,維護單位整體形象都具有十分重要我。特別是在當前,終端用戶往往會在終端中存儲大量的信息資料,工作手段也越來越依賴于網絡,一旦網絡安全方面出現問題,造成信息的丟失或不能及時流通,或者被篡改、增刪、破壞或竊用,都將帶來難以彌補的巨大損失,因此,積極研究探索與網絡發展同步的網絡安全解決方案,全面加強網絡安全建設,是各級網絡管理部門及用戶的重要職責,必須要高度重視,扎實推進。
2 信息系統安全威脅與風險分析
認真分析信鼠系統安全威脅與存在的風險,是進行風險管理、制定網絡安全方案的前提和基礎。通過進行有效的系統安全威脅與風險分析,可以幫助相關機構和用戶選擇合作的控制措施來降低風險。
2.1 物理安全風險分析
網絡物理安全是整個網絡系統安全的前提,相關的物理安全風險主要有:地震、水災、火災等環境事故造成整個系統毀滅;電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失;設備被盜、被毀造成數據丟失或信息泄漏;電磁輻射可能造成數據信息被竊取或偷閱;報警系統的設計不足可能造成原本可以防止但實際發生了的事故。
2.2 鏈路傳輸風險分析
網絡安全不僅是入侵者到企業內部網上進行攻擊、竊取或其它破壞,他們完全有可能在傳輸線路上安裝竊聽裝置,竊取你在網上傳輸的重要數據,再通過一些技術讀出數據信息,造成泄密或者做一些篡改來破壞數據的完整性;以上種種不安全因素都對網絡構成嚴重的安全危脅。
2.3 網絡結構的安全風險分析
來自與公網互聯的安全危脅,基于Internet公網的開放性、國際性與自由性,內部網絡將面臨更加嚴重的安全危脅。一些黑客會制造病毒透過網絡進行傳播,還會影響到與本系統網絡有連接的外單位網絡;影響所及,還可能涉及法律、金融等安全敏感領域。
內部網絡與系統外部網互聯安全威脅。如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施,內部網絡容易造到來自外網一些不懷好意的入侵者的攻擊。入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等信息,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息。惡意攻擊,入侵者通過發送大量PING包對內部網重要服務器進行攻擊,使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。
內部局域網的安全威脅。據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。比如內部人員故意泄漏內部網絡的網絡結構;安全管理員有意透露其用戶名及口令;內部不懷好意員工編些破壞程序在內部網上傳播或者內部人員通過各種方式盜取他人信息傳播出去。這些都將對網絡安全構成嚴重威脅。
2.4 系統的安全風險分析
系統的安全往往歸結于操作系統的安全性,決定于網絡操作系統、應用系統的安全性。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,系統本身必定存在安全漏洞。這些安全漏洞都將存在重大安全隱患。但是從實際應用上,系統的安全程度跟對其進行安全配置及系統的應用面有很大關系,操作系統如果沒有采用相應的安全配置,則其是漏洞百出,掌握一般攻擊技術的人都可能入侵得手。因此,必須要高度重視系統的安全風險,科學進行系統安全配置,從而有效降低系統風險。
2.5 應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用,檢測安全漏洞,采取相應的安全措施,降低應用的安全風險。比如由于資源共享、使用電子郵件系統、受病毒侵害、數據信息被非法竊取,篡改等,這些都是應用層面應當防范的安全風險。
2.6 管理的安全風險分析
內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。機房存在惡意的入侵者,內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統的弱點。利用網絡開些小玩笑,甚至破壞。一些網絡系統管理由于責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
3 網絡安全解決方案
可以通過配置諸如:標識、密鑰管理、安全管理、系統保護、鑒別、授權、訪問控制、抗抵賴、受保護通信、入侵檢測與抑制、完整性證明、恢復安全狀態、病毒檢測與根除等技術類安全控制來有效防止給定類型的風險與威脅;通過建立相關的安全管理機制,實現管理在的安全控制;通過建立一整套嚴謹的控制指南,實現操作類的安全控制,從而實現信息系統安全控制。
3.1 做好物理防護
保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。要嚴格按照相關標準建設網絡,防止人為降低建設標準。確保設備安全,采取有力措施搞好防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。
3.2 確保系統安全
要認真判斷網絡拓撲結構是否合理;線路是否有冗余;路由是否冗余,防止單點失敗等。工行網絡在設計時,比較好的考慮了這些因素,可以說網絡結構是比較合理的、比較安全的。對于操作系統要盡可能采用安全性較高的網絡操作系統并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件,對使用權限進行嚴格限制;加強口令字的使用,增加口令復雜程度、不要使用與用戶身份有關的、容易猜測的信息作為口令,并及時給系統打補丁、系統內部的相互調用不對外公開。通過配備操作系統安全掃描系統對操作系統進行安全性掃描,發現其中存在的安全漏洞,并有針對性地進行對網絡設備重新配置或升級。在應用系統安全上,應用服務器盡量不要開放一些沒有經常用的協議及協議端口號。充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息做記錄,為事后審查提供依據。
3.3 突出網絡安全
網絡安全是整個安全解決方案的重中之重,要從訪問控制、通信保密、入侵檢測、網絡安全掃描系統、防病毒等方面,采取切實可行的對策措施,確保網絡安全。要嚴格落實《用戶授權實施細則》、《口令字及帳戶管理規范》、《權限管理制度》、《安全責任制度》等安全管理制度。設置虛擬子網,各子網間不能實現互訪,實現初級訪問控制。設置高等級防火墻,通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制。利用防火墻并經過嚴格配置,可以阻止各種不安全訪問通過防火墻,從而降低安全風險。但是,網絡安全不可能完全依靠防火墻單一產品來實現,網絡安全是個整體的,必須配相應的安全產品,作為防火墻的必要補充。入侵檢測系統就是最好的安全產品,入侵檢測系統是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄,并按制定的策略實行響應(阻斷、報警、發送E-mail)。建立網絡掃描系統,對網絡系統中的所有操作系統進行安全性掃描,檢測操作系統存在的安全漏洞,并產生報表,并自動進行相關修復。通過預防病毒技術、檢測病毒技術、殺毒技術,實施反病毒措施,防止病毒進入網絡進行傳播擴散。
3.4 確保應用安全
應用是信息系統安全應當關注的重要內容,要通過規范用戶的行為,來實現應用安全。要嚴格控制內部員工對網絡共享資源的使用,尤其要限制共享資源的濫用,在內部子網中一般不隨意開放共享目錄,否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶,在共享時也必須加上必要的口令認證機制,即只有通過口令的認證才允許訪問數據。雖然說用戶名加口令的機制不是很安全,但對一般用戶而言,還是起到一定的安全防護,即使有刻意破解者,只要口令設得復雜些,也得花費相當長的時間。適當配置資源控制,要精心設置訪問權限,并拒絕未經授權人員的登錄,減少有意或無意的案例漏洞。對數據庫服務器中的數據庫必須做安全備份,通過網絡備份系統,可以對數據庫進行遠程備份存儲。
信息社會入侵威脅與日俱增
群眾呼聲,
少花錢多辦事,
還要一體化解決諸問題。
網關安全系統向何處去?
是孤膽英雄還是團隊作戰?
我們還需要更加冷靜思索
如何真正滿足用戶的安全需求,是擺在信息安全廠商面前的一個難題。盡管各個廠家前仆后繼,技術路線層出不窮,但鮮有成功者。究竟UTM趨勢如何,我們不妨來看兩個觀點的PK。
防火墻、入侵檢測、防病毒俗稱網絡安全“老三樣”,長期以來一直作為標準安全產品,在實現網絡安全從無到有的過程中發揮了重要作用。
但是,隨著技術不斷進步,用戶對于網絡安全的投入產出比要求越來越高,希望在構建、部署和維護網絡安全系統的過程中能盡量少花錢多辦事,能一步到位解決常見的安全威脅。
正方:
一、用戶不斷要求降低安全投資成本
構建安全系統是一件非常復雜的過程,用戶需要投入大量財力、物力和精力,除網絡信息安全涉及的技術門檻高、產品昂貴的因素之外,主要原因在于大部分安全產品如防火墻、VPN、IPS、防病毒等功能單一,每個設備買之前都需要貨比三家,購買總價高。為了集中管理、存儲日志或者及時更新產品,可能還需要為各家不同的產品分配策略服務器、日志服務器或更新服務器,這些附加的投入會隨著安全產品的引進而成倍增加。可見,對用戶來說,非常迫切希望降低在安全建設上的投入,希望能省時、省心、省力地完成安全建設。
二、用戶不斷要求增強安全防范能力
相當一段時間內,對PPDR模型的理解被簡化為IDS聯動,這從側面反應了用戶對安全效果的不滿:防火墻有控制能力但不能做深度檢查,IDS可以檢查應用安全但沒有控制能力。單一功能安全設備的防范效果肯定是有限的,用戶不滿意是正常的。隨著防垃圾郵件、防釣魚欺騙等更多安全設備的出現,用戶對安全設備的整合、聯動的需求更加強烈,只有做到真正的融合和互動,才能進行全面的安全過濾和防范。
三、用戶不斷要求提高安全運維效率
首先,大部分網絡安全系統是在原有的信息系統基礎上增加的,在增加的安全設備與原有網絡設備、安全設備之間都可能遇到產品兼容性問題,在部署實施中會相互沖突,安全設備越多,沖突的機會就越多,這在客觀上增加了部署實施的難度。有時,個別安全設備可能導致系統驗收推遲幾個月。
其次,每個安全設備都有一套自己的配置管理方法,因此,很多用戶要求廠家派人安裝調試,包括配置安全策略,自己基本不改動。眾所周知,安全策略必須根據實際情況不斷調整,如果固定不變,系統的安全保障效果肯定會打折扣。
最后,在安裝調試完成后,如果設備出現問題,用戶還需要聯系不同廠商來解決,有時甚至需要協調相關的幾家廠商同時到場分析解決,非常復雜。
可見,從安全系統運行維護的角度看,在不犧牲功能、性能的前提下,用戶希望安全設備越少越好。
四、技術不斷發展趨向深度協同安全
防火墻、IDS、防病毒技術經過多年發展,現在已經逐漸成熟并穩定下來,開始相互滲透,相互補充。近兩年,出現了一個明顯的趨勢:防火墻、IDS、防病毒甚至內容過濾廠商分別從自有產品出發,通過增加不同的安全功能模塊發展UTM。實際上,這主要得益于硬件技術的發展。為了解決深度檢查大量耗費CPU資源,除ASIC加速芯片外,一批新的硬件解決方案出現了,如Seaway、Bivil、RMI、Cavium、Sensory、IDT、TARARI,這些硬件能大幅度加速內容匹配,使UTM從概念變成了可用的產品。
反過來,從UTM定義可以看出,UTM集中了多種安全功能,但這些安全功能不一定同時應用,可以只使用某一個功能。因此,可以預測,將來,UTM完全有可能取代防火墻、網絡入侵檢測等單一功能的安全產品。
綜上所述,不論是從用戶需求來看,還是從技術發展和技術支撐來看,UTM作為網絡安全整體解決方案的重要組成部分,是必要的,也是可行的,是網關安全發展的必然趨勢。這從IDC的調查報告中也可以得出同樣的結論。
反方:
百煉成鋼困難重重
一、防火墻胖瘦之爭由來已久
防火墻是胖(功能多)好還是瘦(功能少)好,一直是業界不斷爭論的問題。首先,防火墻到底該不該胖,一種觀點認為防火墻作為訪問控制設備,不宜集成太多功能,否則容易不穩定。另外一種觀點認為防火墻在做好訪問控制的基礎上,應該加入如IDS、內容過濾等安全功能模塊,從而提高防火墻使用價值;其次,胖防火墻到底應該集成哪些安全功能,特別是防病毒功能,爭論很大;最后,如果防火墻胖了,性能能否保證?不論是理論分析還是過去的大量實踐都表明,如果沒有特別的硬件支持,性能確實無法接受。
二、各廠商前仆后繼鮮有成功
盡管防火墻胖瘦之爭一直存在,出于市場競爭的需要,也隨著技術的不斷發展,國內外主流防火墻廠商大多都嘗試過擴充防火墻的功能。比如:加入內容過濾、IDS、防病毒等功能,希望最終做成UTM,但是,真正能做成的很少,分析原因主要有以下三點:
?防火墻廠商對于抗攻擊、訪問控制技術非常熟練,但對于內容過濾、防病毒等技術并不熟悉。
關鍵詞:病毒;防護;安全體系;架構設計
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2014)11-2494-03
隨著信息技術與網絡技術的不斷發展,計算機病毒已發展成為危害企業正常運行的一大問題。根據美國《金融時報》報道,現在平均每20秒就發生一次入侵計算機網絡的事件,超過三分之一的互聯網被攻破。國內百分之八十的網絡存在安全隱患,百分之二十的網站有嚴重安全問題。計算機病毒不僅會造成人力資源與物質資源的浪費,還會隨著病毒的傳播演化,形成一個社會化問題,對社會穩定與國家安全構成了極大的威脅。因此,從計算機病毒特點出發,利用已有的安全體系研究方法,對計算機病毒的防護架構展開分析與設計,不僅能夠增強企業的自我防護能力,而且對病毒在整個社會范圍內的肆意傳播起到有力的制約作用,具有十分重要的意義。
1 計算機病毒特點
研究表明[1],對當前網絡安全危害最大的威脅為計算機病毒,它將會造成網絡通信阻塞、文件系統破壞、甚至重要數據丟失等嚴重后果,給企業與個人帶來重大的財產損失。為了更為清晰地認識與理解計算機病毒帶來的安全風險,我們首先對計算機病毒的特點展開剖析。一般而言,計算機病毒會附著在宿主程序的可執行文件中,隨著宿主程序的運行開始執行病毒程序,并且它們具有自我繁殖與網絡繁殖功能,在不斷傳播的過程中加劇破壞程度。傳統的計算機病毒具有以下特征:(1)可以感染可執行代碼的程序或文件;(2)能夠通過網絡進行病毒傳播;(3)會造成引導失敗或破壞扇區,引發硬盤的格式化;(4)消耗計算機內存,減緩計算機運行速度;(5)躲避防毒軟件,具有較強的隱蔽性。
隨著計算機病毒的不斷發展,傳統的計算機病毒威脅也日趨復雜化與智能化,其對網絡安全造成的危害也在不斷加大,我們將這種新型的威脅稱為混合型威脅[2]。混合型威脅綜合了病毒傳播與多種黑客技術,能夠自動發現與利用系統漏洞,并通過系統漏洞進行病毒的快速傳播與感染。與傳統病毒相比,具有混合型威脅特性的病毒具有以下特征:(1)傳播速度更快,混合型威脅病毒傳播速度極快,通常在幾個小時甚至幾分鐘內感染整個網絡,致使網絡癱瘓;(2)侵入性與隱蔽性更強,混合型威脅病毒引入了自動化的漏洞發現與利用技術,使其更容易侵入計算機,并具有很強的隱蔽性;(3)破壞程度更大,混合型威脅病毒能夠智能地利用計算機漏洞,且伴隨著木馬程序,在傳播過程中形成大規模的DDOS攻擊,破壞性與危害性得到進一步提升。2001年7月爆發的紅色代碼(Code Red)就是該類病毒的典型代表,其集成了多種黑客技術,例如病毒傳播、漏洞掃描、漏洞攻擊、DDOS攻擊等,給互聯網用戶帶來了極大的沖擊。2009年爆發的震網(Stuxnet)病毒[3]則主要針對伊朗的核設施實施攻擊,該病毒同時利用微軟和西門子公司產品的7個最新漏洞,可以繞過安全產品的檢測在短期內不被發現。即使被發現之后三年之久,“震網”病毒仍然困擾著軍事戰略家、計算機安全專家、政治決策者和廣大民眾。
由此可見,計算機病毒防護是企業網絡安全亟需解決的首要問題,如何構建合理的計算機病毒防護架構,增強計算機系統和網絡系統的安全性已成為人們關注的焦點。
2 企業安全體系中的病毒防護架構設計
2.1 企業安全體系內容
企業安全體系是指企業在進行信息采集、信息傳播、信息處理、信息存儲和信息運用過程中,能夠保證信息安全性、完整性、可用性、真實性和可控性等方面的基礎設施與保障措施[4]。企業安全體系內容主要包括三個方面,即人員、制度和技術,三者既相互聯系又相互制約,形成了一個不可分割的整體,具體描述如下:
1) 人員。人員是企業安全體系中最薄弱的環節,根據信息安全防護鏈分析,人通常是造成企業信息泄露和信息丟失的主要因素。因此,企業安全體系首先解決的威脅不是外部,而是企業內部人員的安防意識與安防能力,加大企業員工的信息安全教育,傳授信息安全技巧,培養信息安全綜合防護能力,是構建企業安全體系的基礎。
2) 制度。制度是企業從日常的工作出發,制定相應的規范與規章,制約企業人員進行安全防護。因此,企業安全體系必須加強規章制度的制定與實施,明確安防責任人,規定安防控制措施與獎懲措施。例如,制定《企業系統安全管理規定》、《企業應急處理管理規定》、《企業數據安全規范管理方法》、《企業密碼體制管理辦法》、《企業病毒防護手冊》等一系列規章制度。此外,企業還需加大監管力度,以制度為依據約束與管理員工,完善企業安全體系建設。
3) 技術。技術是企業安全體系的核心與基本保障,只有建立一套安全穩定的信息安全技術體系,才能夠保證企業信息化辦公的安全運行。此處的安全技術主要包括身份鑒別技術、病毒防護技術、訪問審計技術、網絡安全技術、數據加密技術等一系列信息安全技術,同時,企業還需要訂購與部署一些相關安全產品,例如企業網絡防火墻、病毒防護軟件、VPN設備、入侵檢測設備等。
2.2 企業病毒威脅分析
根據企業安全管理的實際情況,我們可以對病毒威脅劃分類型,從而為病毒防護架構設計提供技術支撐。
企業病毒威脅大致可以分為邊界威脅、內網威脅、數據威脅以及遠程接入威脅四類,具體描述如下:
1) 邊界威脅。邊界是指企業內部網絡與互聯網等外部網絡之間的銜接區域,如果病毒防護措施不理想,病毒很容易通過邊界區域進入企業的內部網絡,對企業造成極大的危害,因此,邊界威脅是企業信息安全建設面臨的首要威脅。
2) 內網威脅。內部威脅是指病毒對企業內部網絡節點造成的威脅,主要包括系統漏洞威脅、Web服務漏洞威脅、僵尸病毒威脅、木馬威脅、惡意代碼威脅、僵尸代碼威脅等。由于企業內部節點數目眾多、病毒威脅多樣,因此,內網威脅很難實現全面與有效防護。
3) 數據威脅。數據威脅是指病毒對企業內部的數據庫造成的威脅。由于企業的數據中心是企業內部信息傳輸與交換最為密集的地方,一旦遭到攻擊將會對企業帶來巨大的損失,因此,數據威脅是企業信息安全建設必須重點考慮的一項威脅。
4) 遠程接入威脅。由于現代化的企業一般會建立異地分支機構,在總部與分支建立網絡連接時大都采用具有保密性的網絡連接技術,例如VPN技術。病毒對該類加密技術也會產生一定的威脅,當遠程接入的VPN遭到病毒攻擊,企業內部網絡將會產生較大的損失,因此,該類威脅也是企業信息安全建設必須考慮的一項重要威脅。
2.3 病毒防護架構設計
根據企業安全體系主要內容,針對病毒對企業帶來的各類威脅,該文提出了一種新型的病毒防護架構,如圖2所示。
企業病毒防護架構包括縱向的防護內容與橫向的威脅類型。針對不同的威脅類型,在“人員―制度―技術”三個不同的層面進行分析與研討,并給出相應的解決方案。該防護架構具體描述如下:
a)邊界―人員:組織邊界網絡管理人員進行專業培訓,使其掌握邊界網絡的病毒防護知識,熟練邊界網絡防護設備的操作與應用。
b)內網―人員:組織全體員工進行病毒預防知識培訓,加強病毒防護意識,減少木馬、蠕蟲等病毒進入內網的潛在危險。
c)數據―人員:組織數據管理人員進行病毒防護培訓,使其掌握數據庫入侵知識、病毒攻擊手段以及應急處理方法等多種防護技能,熟練防護設備的操作與應用。
d)遠程接入―人員:組織負責遠程接入的管理人員進行專業培訓,掌握針對VPN連接的加密體制、用戶權限管理方法、病毒攻擊手段以及應急處理方法。
e)邊界―制度:建立企業邊界網絡管理規章制度,明確值班人員的工作職責、病毒防護手冊、獎懲制度,約束網絡管理人員行為,減少失誤,確保邊界網絡安全。
f)內部―制度:建立企業員工的病毒防護制度,建立監督機構,依據規章制度規范企業員工的病毒防護措施。
g)數據―制度:建立企業數據中心管理規定,明確數據管理人員的工作職責、病毒防護措施以及應急處理方法,按照制度規范各項操作。
h)遠程接入―制度:建立遠程接入管理規定,規范遠程接入操作,減少因操作失誤造成的病毒侵入與攻擊。
i)邊界―技術:針對邊界病毒威脅,企業應該對安全設備集成AV防護模塊,或者部署硬件防病毒墻,從而可以有效阻止病毒侵入內網,而且在網絡邊界應增加URL過濾功能,對一些已知的病毒載體網站(掛馬網站或不健康的網站)進行地址過濾,減少病毒隱患。
j)內網―技術:針對內網威脅,應建立兩級病毒防護機制,即企業級的病毒防護中心與個人版的病毒防護系統。企業級的病毒防護中心負責整個網絡的病毒防護,為個人提供殺毒軟件更新服務;個人的病毒防護系統則利用殺毒軟件、軟件防火墻進行病毒防護,且定時更新軟件系統,做到個人計算機系統、軟件應用等實時防護。
k)數據―技術:針對數據威脅,應在數據中心建立硬件防火墻,對安全信任網絡與非安全網絡進行隔離,并且設置針對DDOS攻擊與病毒攻擊的防御軟件與設備,例如,殺毒軟件、具有高性能檢測引擎的入侵防御系統等,具體的防護技術可以詳見參考文獻[5]。
l)遠程接入―技術:針對遠程接入威脅,應加強VPN連接的用戶訪問權限管理,減少無關人員的侵入與破壞,并且加入防病毒軟件,監測連接的安全性。
與傳統的計算機病毒防護架構不同,該文提出的防護架構更為合理,其不僅局限于局部的技術架構,而且關注了更為高層的制度與人員的安全防護能力,為企業全面推進病毒安全防護體系建設提供可靠指導。
3 結束語
隨著計算機病毒的復雜性、智能性與危害性不斷提高,企業病毒防護能力已發展成為企業信息化建設中的一個重要問題。該文首先對計算機病毒的特點與發展趨勢展開分析,隨后利用企業安全體系內容(人員,制度,技術),結合企業潛在的病毒威脅,提出了病毒防護框架及其相應的解決方法。該框架能夠有效指導企業病毒防護建設,為企業的網絡利用及信息化辦公提供保障。
參考文獻:
[1] 周子英.某集團網絡信息安全體系的構建[J].計算機應用與軟件, 2009, 26(12):273-277.
[2] 趙聰.完善網絡安全體系,全面提升信息網絡病毒防護水平[J].天津科技,2009,36(4):82-84.
[3] Robert McMillan.Siemens: Stuxnet worm hit industrial systems[R].ComputerWorld,Septemper 14, 2010.
關鍵詞:計算機網絡;信息管理;安全防護
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)18-4389-02
1概述
互聯網技術給我們帶來很大的方便,同時也帶來了許多的網絡安全隱患,諸如陷門、網絡數據竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網絡安全隱患一直都威脅著我們。為了確保計算機網絡信息安全,特別是計算機數據安全,目前已經采用了諸如服務器、通道控制機制、防火墻技術、入侵檢測之類的技術來防護計算機網絡信息安全管理,即便如此,仍然存在著很多的問題,嚴重危害了社會安全。計算機網絡信息管理工作面臨著巨大的挑戰,如何在計算機網絡這個大環境之下,確保其安全運行,完善安全防護策略,已經成為了相關工作人員最亟待解決的問題之一。
2計算機網絡信息管理工作中的安全問題分析
計算機網絡的共享性、開放性的特性給互聯網用戶帶來了較為便捷的信息服務,但是也使得計算機網絡出現了一些安全問題。在開展計算機網絡信息管理工作時,應該將管理工作的重點放在網絡信息的和訪問方面,確保計算機網絡系統免受干擾和非法攻擊。
2.1安全指標分析
(1)保密性
通過加密技術,能夠使得計算機網絡系統自動篩選掉那些沒有經過授權的終端操作用戶的訪問請求,只能夠允許那些已經授權的用戶來利用和訪問計算機網絡信息數據。
(2)授權性
用戶授權的大小與其能夠在計算機網絡系統中能夠利用和訪問的范圍息息相關,我們一般都是采取策略標簽或者控制列表的形式來進行訪問,這樣做的目的就在于能夠有效確保計算機網絡系統授權的正確性和合理性。
(3)完整性
可以通過散列函數或者加密的方法來防治非法信息進入計算機網絡信息系統,以此來確保所儲存數據的完整性。
(4)可用性
在計算機網絡信息系統的設計環節,應該要確保信息資源具有可用性,在突然遇到攻擊的時候,能夠及時使得各類信息資源恢復到正常運行的狀態。
(5)認證性
為了確保權限所有者和權限提供者都是同一用戶,目前應用較為廣泛的計算機網絡信息系統認證方式一般有兩種,分別是數據源認證和實體性認證兩種,這兩種方式都能夠得到在當前技術條件支持。
2.2計算機網絡信息管理中的安全性問題
大量的實踐證明,計算機網絡信息管理中存在的安全性問題主要有兩種類型,第一種主要針對計算機網絡信息管理工作的可用性和完整性,屬于信息安全監測問題;第二種主要針對計算機網絡信息管理工作的抗抵賴性、認證性、授權性、保密性,屬于信息訪問控制問題。
(1)信息安全監測
有效地實施信息安全監測工作,可以在最大程度上有效消除網絡系統脆弱性與網絡信息資源開放性二者之間的矛盾,能夠使得網絡信息安全的管理人員及時發現安全隱患源,及時預警處理遭受攻擊的對象,然后再確保計算機網絡信息系統中的關鍵數據能夠得以恢復。
(2)信息訪問控制問題
整個計算機網絡信息管理的核心和基礎就是信息訪問控制問題。信息資源使用方和擁有方在網絡信息通信的過程都應該有一定的訪問控制要求。換而言之,整個網絡信息安全防護的對象應該放在資源信息的和個人信息的儲存。
3如何有效加強計算機網絡信息安全防護
(1)高度重視,完善制度
根據單位環境與特點制定、完善相關管理制度。如計算機應用管理規范、保密信息管理規定、定期安全檢查與上報等制度。成立領導小組和工作專班,完善《計算機安全管理制度》、《網絡安全應急預案》和《計算機安全保密管理規定》等制度,為規范管理夯實了基礎。同時,明確責任,強化監督。嚴格按照保密規定,明確涉密信息錄入及流程,定期進行安全保密檢查,及時消除保密隱患,對檢查中發現的問題,提出整改時限和具體要求,確保工作不出差錯。此外,加強培訓,廣泛宣傳。有針對性組織開展計算機操作系統和應用軟件、網絡知識、數據傳輸安全和病毒防護等基本技能培訓,利用每周學習日集中收看網絡信息安全知識講座,使信息安全意識深入人心。
(2)合理配置,注重防范
第一,加強病毒防護。單位中心機房服務器和各基層單位工作端均部署防毒、殺毒軟件,并及時在線升級。嚴格區分訪問內、外網客戶端,對機房設備實行雙人雙查,定期做好網絡維護及各項數據備份工作,對重要數據實時備份,異地儲存。同時,嚴格病毒掃描。針對網絡傳輸、郵件附件或移動介質的方式接收的文件,有可能攜帶病毒的情況,要求接收它們之前使用殺毒軟件進行病毒掃描。第二,加強強弱電保護。在所有服務器和網絡設備接入端安裝弱電防雷設備,在所有弱電機房安裝強電防雷保護器,保障雷雨季節主要設備的安全運行。第三,加強應急管理。建立應急管理機制,完善應急事件出現時的事件上報、初步處理、查實處理、責任追究等措施,并定期開展進行預演,確保事件發生時能夠從容應對。第四,加強“兩個隔離”管理。即內、外網物理徹底隔離和通過防火墻進行“邊界隔離”,通過隔離實現有效防護外來攻擊,防止內、外網串聯。第五,嚴格移動存儲介質應用管理。對單位所有的移動存儲介質進行登記,要求使用人員嚴格執行《移動存儲介質管理制度》,杜絕外來病毒的入侵和泄密事件的發生。同時,嚴格安全密碼管理。所有工作用機設置開機密碼,且密碼長度不得少于8位,定期更換密碼。第六,嚴格使用桌面安全防護系統。每臺內網計算機都安裝了桌面安全防護系統,實現了對計算機設備軟、硬件變動情況的適時監控。第七,嚴格數據備份管理。除了信息中心對全局數據定期備份外,要求個人對重要數據也定期備份,把備份數據保存在安全介質上。
(3)堅持以信息安全等級保護工作為核心
把等級保護的相關政策和技術標準與自身的安全需求深度融合,采取一系列有效措施,使等級保護制度在全局得到有效落實,有效的保障業務信息系統安全。
第一,領導高度重視,組織保障有力。單位領導應該高度重視信息化和信息安全工作,成立專門的信息中心,具體負責等級保護相關工作,統籌全局的信息安全工作。建立可靠的信息安全基礎設施,重點強化第二級信息系統的合規建設,加強了信息系統的運維管理,對重要信息系統建立了災難備份及應急預案,有效提高了系統的安全防護水平。
第二,完善措施,保障經費。一是認真組織開展信息系統定級備案工作。二是組織開展信息系統等級測評和安全建設整改。三是開展了信息安全檢查活動。對信息安全、等級保護落實情況進行了檢查。
第三,建立完善各項安全保護技術措施和管理制度,有效保障重要信息系統安全。一是對網絡和系統進行安全區域劃分。按照《信息系統安全等級保護基本要求》,提出了“縱向分層、水平分區、區內細分”的網絡安全區域劃分原則,對網絡進行了認真梳理、合理規劃、有效調整。二是持續推進病毒治理和桌面安全管理。三是加強制度建設和信息安全管理。本著“預防為主,建章立制,加強管理,重在治本”的原則,堅持管理與技術并重的原則,對信息安全工作的有效開展起到了很好的指導和規范作用。
(4)采用專業性解決方案保護網絡信息安全
大型的單位,如政府、高校、大型企業由于網絡信息資源龐大,可以采用專業性解決方案來保護網絡信息安全,諸如銳捷網絡門戶網站保護解決方案。銳捷網絡門戶網站保護解決方案能提供從網絡層、應用層到Web層的全面防護;其中防火墻、IDS分別提供網絡層和應用層防護,ACE對Web服務提供帶寬保障;而方案的主體產品銳捷WebGuard(WG)進行Web攻擊防御,方案能給客戶帶來的價值:
防網頁篡改、掛馬
許多大型的單位作為公共信息提供者,網頁被篡改、掛馬將造成不良社會影響,降低單位聲譽。目前客戶常用的防火墻、IDS/ IPS、網頁防篡改,無法解決通過80端口、無特征庫、針對動態頁面的Web攻擊。WebGuard DDSE深度解碼檢測引擎有效防御SQL注入、跨站腳本等。
高性能,一站式保護各院系網站
對于大型單位客戶,往往擁有眾多部門,而并非所有大型單位都將各部門網站統一管理。各部門網站技術運維能力相對較弱,經常成為攻擊重點。WebGuard利用高性能多核架構,提供并行處理。支持在網絡出口部署,一站式保護各部門網站。
“零配置”運行,簡化部署
WebGuard針對用戶,集成默認配置模板,支持“零配置”運行。一旦上線,即可防護絕大多數攻擊。后續用戶可以根據網絡情況,進行優化策略。避免同類產品常見繁瑣配置,毋須客戶具備專業的安全技能,即可擁有良好的體驗。
滿足合規性檢查要求
繼08年北京奧運、09年國慶60周年后,10年上海世博會、廣州亞運會先后舉行。在重大活動前后,各級主管單位和公安部門,紛紛發文,要求針對網站安全采取措施。WebGuard恰好能很好的滿足合規性檢查的需求,幫助用戶順利通過檢查。
4結束語
新時期的計算機網絡信息管理工作正向著系統化、集成化、多元化的方向發展,但是網絡信息安全問題日益突出,值得我們大力關注,有效加強計算機網絡信息安全防護是極為重要的,具有較大的經濟價值和社會效益。
參考文獻:
[1]段盛.企業計算機網絡信息管理系統可靠性探討[J].湖南農業大學學報:自然科學版,2000(26):134-136.
[2]李曉琴.張卓容.醫院計算機網絡信息管理的設計與應用[J].醫療裝備,2003.(16):109-113.
[3]李曉紅.婦幼保健信息計算機網絡管理系統的建立與應用[J].中國婦幼保健,2010(25):156-158.
[4]羅宏儉.計算機網絡信息技術在公路建設項目管理中的應用[J].交通科技,2009.(1):120-125.
[5] Bace Rebecca.Intrusion Detection[M].Macmillan Technical Publishing,2000.
