時間:2023-09-14 17:44:33
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù),希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
關(guān)鍵詞:網(wǎng)絡(luò)信息安全;應(yīng)急響應(yīng);聯(lián)動系統(tǒng)
隨著互聯(lián)網(wǎng)對各個領(lǐng)域的滲透,我國的網(wǎng)絡(luò)安全防護(hù)任務(wù)越來越重。從20世紀(jì)90年代至今網(wǎng)絡(luò)信息安全可分為4個階段的發(fā)展過程,即通信安全、計算機(jī)安全、網(wǎng)絡(luò)安全、內(nèi)容安全。在這4個階段中,前兩個發(fā)展階段屬于運(yùn)行安全方面―OPSEC。而對于網(wǎng)絡(luò)基礎(chǔ)設(shè)施與信息的保護(hù)則稱之為物理安全―PHYSEC。隨著網(wǎng)絡(luò)的發(fā)展,隨后又提出了內(nèi)容安全―CONTSEC,其目的是為了解決信息利用方面的安全問題。為了應(yīng)對日益增加的網(wǎng)絡(luò)安全事件,網(wǎng)絡(luò)安全對抗必須進(jìn)一步的細(xì)化以及升級。在此背景下,應(yīng)急響應(yīng)聯(lián)動系統(tǒng)的建立尤為重要,因為通過系統(tǒng)的建立,可以提高政府對各種網(wǎng)絡(luò)安全事件的解決能力,減少和預(yù)防網(wǎng)絡(luò)安全事件造成的損失和危害。因此目前對應(yīng)急響應(yīng)及聯(lián)動系統(tǒng)的基礎(chǔ)理論、框架構(gòu)建、技術(shù)操作方面的研究尤為重要。
1 應(yīng)急響應(yīng)的基本內(nèi)容
1.1 應(yīng)急響應(yīng)系統(tǒng)的建立
為應(yīng)對網(wǎng)絡(luò)安全事件發(fā)生,事前準(zhǔn)備工作或事后有效措施的實施便是應(yīng)急響應(yīng)系統(tǒng)建立的目的。應(yīng)急響應(yīng)系統(tǒng)包含5個步驟。
(1)管理。即組織對事情發(fā)生前后人員之間的職能劃分。
(2)準(zhǔn)備。對于各種網(wǎng)絡(luò)安全事件提前制定的一些應(yīng)急預(yù)案措施。
(3)響應(yīng)。網(wǎng)絡(luò)安全事件發(fā)生后進(jìn)行,系統(tǒng)對事件進(jìn)行安全檢測有效防止系統(tǒng)信息進(jìn)一步遭到破壞,并對已受到破壞的數(shù)據(jù)進(jìn)行恢復(fù)。
(4)分析。為各種安全事件的應(yīng)急預(yù)案提供調(diào)整的依據(jù),提高防御能力。
(5)服務(wù)。通過對各種資源的整合為應(yīng)急響應(yīng)對計算機(jī)運(yùn)行安全提供更多的有力的保障。
1.2 應(yīng)急響應(yīng)系統(tǒng)建立必須遵循的原則
(1)規(guī)范化原則。為能保證應(yīng)急響應(yīng)系統(tǒng)有效策略的實施,各個組織都應(yīng)該建立相應(yīng)的文檔描述。任何組織應(yīng)急響應(yīng)系統(tǒng)應(yīng)該有清晰和完全的文檔。并有相關(guān)的規(guī)章條例保證系統(tǒng)的有效運(yùn)行。組織成員作為應(yīng)急響應(yīng)系統(tǒng)的服務(wù)者必須遵守相關(guān)的條例,也可以寫入工作職責(zé)來保證系統(tǒng)的有效運(yùn)行。
(2)動態(tài)性原則。信息安全無時無刻不在發(fā)生變化,因此各種安全事件的復(fù)雜性使得應(yīng)急響應(yīng)策略的制定更加具有難度。為了完善應(yīng)急響應(yīng)策略就必須注重信息安全的動態(tài)性原則,并對策略實時作出相應(yīng)調(diào)整。
(3)信息共享原則。應(yīng)急響應(yīng)過程中,系統(tǒng)會提供大量可能與安全事件無關(guān)的信息,如果提高應(yīng)急響應(yīng)系統(tǒng)中重要信息被發(fā)現(xiàn)的可能性,在信息提取過程中,信息共享是應(yīng)急響應(yīng)的關(guān)鍵,應(yīng)該考慮將信息共享的對象與內(nèi)容進(jìn)行篩選,交叉分析。
(4)整體性原則。作為一個系統(tǒng)體系應(yīng)急響應(yīng)的策略具有整體性、全局性,應(yīng)該在所有的互聯(lián)網(wǎng)范中進(jìn)行安全防護(hù),不放過任何一點的細(xì)節(jié),因為一點點的疏漏都會導(dǎo)致全網(wǎng)的癱瘓。整個應(yīng)急響應(yīng)策略體系除了要從技術(shù)層面考慮問題也要從管理方面著手,因為管理問題而導(dǎo)致的安全事件更為嚴(yán)重。因此,制定管理方法時要投入更多的精力來進(jìn)行統(tǒng)籌安排,既要完善管理方法,也要注重技術(shù)層面。
(5)現(xiàn)實可行性原則。通過判斷應(yīng)急響應(yīng)策略是否合理性來衡量是否在線上具有可行性。
(6)指導(dǎo)性原則。應(yīng)急響應(yīng)系統(tǒng)體系中的策略并非百分之百的解決方案,ψ櫓而言,它只是對于處理網(wǎng)絡(luò)安全事件方法進(jìn)行一定的指導(dǎo),而對整個組織工作也只是提供全局性的指導(dǎo)。
2 應(yīng)急響應(yīng)系統(tǒng)體系的總體框架
如果對應(yīng)急響應(yīng)系統(tǒng)體系進(jìn)行劃分,可以將其劃分為兩個中心和兩個組。
(1)兩個中心。應(yīng)急響應(yīng)中心與信息共享分析中心。應(yīng)急響應(yīng)系統(tǒng)體系的關(guān)鍵是信息共享分析中心。它主要負(fù)責(zé)的是對中心收集來的各級組織的信息進(jìn)行交換和共享,并對整個網(wǎng)絡(luò)作出預(yù)警或者事件的跟蹤,并對收集來的信息進(jìn)行整理。而應(yīng)急響應(yīng)中心的任務(wù)則是對系統(tǒng)體系預(yù)案進(jìn)行管理,通過對信息共享分析中心各種信息安全事件的分類分析并進(jìn)行應(yīng)急響應(yīng)。
(2)兩個組。應(yīng)急管理組及專業(yè)應(yīng)急組。應(yīng)急組對整個事件進(jìn)行全局性指導(dǎo),并協(xié)調(diào)各個機(jī)構(gòu),指導(dǎo)各個組織成員對事件進(jìn)行應(yīng)急策略的制定。在各類安全事件發(fā)生的過程中,應(yīng)急響應(yīng)與救援處于一個重要的環(huán)節(jié),而專業(yè)應(yīng)急組是環(huán)節(jié)的關(guān)鍵,是實現(xiàn)信息安全保障的核心。通過應(yīng)急組的響應(yīng)迅速使網(wǎng)絡(luò)系統(tǒng)得到恢復(fù)。
3 應(yīng)急響應(yīng)的層次
“八方威脅,六面防護(hù),四位一體,應(yīng)急響應(yīng)”這句話形容的則是應(yīng)急響應(yīng)體系的整個工作過程。
(1)“八方威脅”是指應(yīng)急響應(yīng)系統(tǒng)中的網(wǎng)絡(luò)安全事件。而根據(jù)事件的危害程度對其進(jìn)行編號的話,1類為有害程度最輕的事件,8類則最為嚴(yán)重,儼然一場網(wǎng)絡(luò)戰(zhàn)爭。而且一般的安全事件都不是單獨(dú)發(fā)生的,通常許多事件都是緊密聯(lián)系環(huán)環(huán)相扣。
(2)“六面防護(hù)”防護(hù)是指技術(shù)層面的防御,主要是風(fēng)險評估、等級保護(hù)、入侵檢測、網(wǎng)絡(luò)監(jiān)審、事件跟蹤和預(yù)防6個方面。
(3)“四位一體” 主要是指各個小組的組織保障體系,如應(yīng)急組、專業(yè)組、組織協(xié)調(diào)機(jī)構(gòu)、專家顧問組。
(4)應(yīng)急響應(yīng)。應(yīng)急響應(yīng)系統(tǒng)的核心為應(yīng)急響應(yīng)的實施功能。應(yīng)急響應(yīng)系統(tǒng)通過對網(wǎng)絡(luò)安全事件的目標(biāo)進(jìn)行分類并分析,通過對事件的判斷進(jìn)行事件分級,制定具體的預(yù)案或措施,并有通過各個小組進(jìn)行信息實施,并有技術(shù)組對系統(tǒng)進(jìn)行恢復(fù)重建和應(yīng)急管理,保證目標(biāo)的信息系統(tǒng)安全。
4 應(yīng)急響應(yīng)體系的周期性
通過應(yīng)急響應(yīng)系統(tǒng)的工作,分析應(yīng)急響應(yīng)聯(lián)動系統(tǒng)在網(wǎng)絡(luò)安全事件中可能具有生命周期性。網(wǎng)絡(luò)安全事件的生命周期從風(fēng)險分析開始,一般的風(fēng)險分析包括網(wǎng)絡(luò)風(fēng)險評估和資源損失評估等。對風(fēng)險分析進(jìn)行正確有效的分析有利于高效率的應(yīng)急響應(yīng)。為了這一階段響應(yīng)過程的順利進(jìn)行,需要制訂安全政策以及各種應(yīng)急響應(yīng)優(yōu)先權(quán)的各種規(guī)定。安全工具與系統(tǒng)、網(wǎng)絡(luò)配置工具,使網(wǎng)絡(luò)的安全性與可用性兩者之間處于平衡狀態(tài)。在檢測階段,通過各種手段收集信息,利用系統(tǒng)特征或IDS工具來預(yù)測安全事件的發(fā)生。之后響應(yīng)階段,利用各種手段抑制、消除安全事件并進(jìn)行有利反擊。最后在恢復(fù)階段對受到攻擊的對象進(jìn)行恢復(fù),使其恢復(fù)到事件發(fā)生之前。網(wǎng)絡(luò)安全事件的周期性更全面,更實際地概括了應(yīng)急響應(yīng)系統(tǒng)的工作過程。
5 應(yīng)急響應(yīng)體系的聯(lián)動性
(1)“六面防護(hù)”的聯(lián)動。 首先由風(fēng)險評估對網(wǎng)絡(luò)安全事件作出安全評估并確定其“威脅”等,再由等級保護(hù)進(jìn)行措施制定,對其入侵的主體進(jìn)行入侵檢測確定威脅漏洞所在,再通過網(wǎng)絡(luò)監(jiān)審發(fā)現(xiàn)安全事件并進(jìn)行事件跟蹤再由事件跟蹤對其事件進(jìn)行分析,并通過預(yù)防對響應(yīng)策略進(jìn)行調(diào)整,并分析防御的有效性。
(2)“四位一體”的聯(lián)動。聯(lián)動的主要目的是為了應(yīng)急響應(yīng)系統(tǒng)的有效運(yùn)行,因此應(yīng)急組、專業(yè)組、組織協(xié)調(diào)機(jī)構(gòu)、專家顧問組之間就要努力做好協(xié)調(diào)工作。組織協(xié)調(diào)機(jī)構(gòu)主要負(fù)責(zé)總體的協(xié)調(diào)工作,應(yīng)急組與專家顧問組主要負(fù)責(zé)對網(wǎng)絡(luò)安全事件的應(yīng)急處理工作,同時應(yīng)急組還承擔(dān)著對突發(fā)的安全事件進(jìn)行信息收集,分析以及信息上報的工作,并對組織協(xié)調(diào)機(jī)構(gòu)提出的相關(guān)事件的應(yīng)急預(yù)案或者保護(hù)措施進(jìn)行執(zhí)行的工作。
(3)應(yīng)急響應(yīng)的聯(lián)動。作為應(yīng)急響應(yīng)系統(tǒng)的核心,應(yīng)急響應(yīng)實施功能通過信息,在應(yīng)急預(yù)案或保護(hù)措施實施過程中,對事件的發(fā)展情況、處理進(jìn)程進(jìn)行全程跟蹤。尤其是在事后對事件進(jìn)行跟蹤分析,從而進(jìn)行恢復(fù)重建,排除事件對系統(tǒng)產(chǎn)生的威脅。除了對事件進(jìn)行全程跟蹤外,作為核心,還應(yīng)對相關(guān)的應(yīng)急資源進(jìn)行協(xié)調(diào),做好應(yīng)急管理工作。
關(guān)鍵詞:高校;網(wǎng)絡(luò)安全建設(shè);思考
1引言
網(wǎng)絡(luò)安全,指的是計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全,不僅包括網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的硬件、軟件環(huán)境安全,也包括網(wǎng)絡(luò)傳輸?shù)馁Y源、數(shù)據(jù)等信息安全[1]。網(wǎng)絡(luò)安全不僅關(guān)系到我們每一個公民,更是事關(guān)國家安全的重要問題。高校作為培養(yǎng)當(dāng)代大學(xué)生的主要陣地,在網(wǎng)絡(luò)安全建設(shè)及教育方面更是肩負(fù)著重要的責(zé)任。面對信息泄露等校園網(wǎng)絡(luò)安全問題以及日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢,如何保障高校網(wǎng)絡(luò)安全建設(shè)的穩(wěn)步推進(jìn),已經(jīng)成為重中之重。
2網(wǎng)絡(luò)安全建設(shè)存在的問題
高校網(wǎng)絡(luò)安全建設(shè)存在一些問題,主要有以下幾點。(1)網(wǎng)絡(luò)安全專業(yè)人員不足目前高校已基本上實現(xiàn)校園網(wǎng)絡(luò)全覆蓋。有成千上萬的網(wǎng)絡(luò)計算機(jī),但與之配套的網(wǎng)絡(luò)安全管理員卻嚴(yán)重不足,甚至沒有專職的網(wǎng)絡(luò)安全管理員[2]。而且大部分網(wǎng)絡(luò)安全管理人員沒有接受過系統(tǒng)化的崗前培訓(xùn),安全責(zé)任意識單薄,專業(yè)素養(yǎng)不夠高,網(wǎng)絡(luò)安全專業(yè)人員及其技能都存在嚴(yán)重不足。(2)師生網(wǎng)絡(luò)安全意識不強(qiáng)高校網(wǎng)絡(luò)的使用主體為本校師生,群體龐大,且大部分高校未開展系統(tǒng)、全面、全覆蓋的網(wǎng)絡(luò)安全主題教育,導(dǎo)致用戶群體網(wǎng)絡(luò)安全防范意識不強(qiáng)。部分教師在使用計算機(jī)時對病毒防護(hù)、密碼保護(hù)、漏洞修復(fù)等基礎(chǔ)網(wǎng)絡(luò)安全操作無意識,使得計算機(jī)很容易被入侵而造成數(shù)據(jù)及資源丟失[3]。一些學(xué)生在面對復(fù)雜的網(wǎng)絡(luò)環(huán)境時,由于獵奇心理及感情用事,可能會采用一些諸如“翻墻”等威脅高校網(wǎng)絡(luò)安全的行為或者網(wǎng)絡(luò)暴力等激進(jìn)行為。(3)網(wǎng)絡(luò)安全防護(hù)體系不完善截止到目前,很多高校尚未認(rèn)識到加強(qiáng)網(wǎng)絡(luò)安全管理的重要性,缺乏一套完善的網(wǎng)絡(luò)安全防護(hù)體系。領(lǐng)導(dǎo)重視不夠,未形成專門的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組;資金投入不足,無法購買各類網(wǎng)絡(luò)安全防護(hù)設(shè)備;管理制度不完善,無應(yīng)急預(yù)案等;技術(shù)防護(hù)手段不足,缺少各類必須的技術(shù)防護(hù)手段;網(wǎng)絡(luò)安全人員不足,未設(shè)置網(wǎng)絡(luò)安全技術(shù)專崗等。這些都是當(dāng)前高校網(wǎng)絡(luò)安全面臨的突出問題。
3加強(qiáng)高校網(wǎng)絡(luò)安全建設(shè)的對策
3.1網(wǎng)絡(luò)安全防護(hù)體系
高校網(wǎng)絡(luò)安全建設(shè)應(yīng)以人員組織為基礎(chǔ),以管理制度為依據(jù),以技術(shù)防護(hù)為手段,三管齊下,切實保障好高校的網(wǎng)絡(luò)及信息安全。
3.1.1人員組織體系自上而下,建立起管理決策層、組織協(xié)調(diào)層、落實執(zhí)行層的三層架構(gòu)人員組織體系。管理決策層統(tǒng)一領(lǐng)導(dǎo)網(wǎng)絡(luò)安全工作,研究制定網(wǎng)絡(luò)安全發(fā)展規(guī)劃,決策網(wǎng)絡(luò)安全建設(shè)中的重大事項等。組織協(xié)調(diào)層統(tǒng)一協(xié)調(diào)學(xué)校網(wǎng)絡(luò)安全建設(shè)工作,負(fù)責(zé)網(wǎng)絡(luò)安全及運(yùn)行保障項目的建設(shè)、改造、升級、維護(hù)等方面,負(fù)責(zé)制度與人員隊伍建設(shè)等。落實執(zhí)行層負(fù)責(zé)具體工作的落地執(zhí)行。
3.1.2管理規(guī)范體系規(guī)范化是制度化的最高形式,是一種非常有效和嚴(yán)謹(jǐn)?shù)墓芾矸绞健M晟频墓芾硪?guī)范體系是保障網(wǎng)絡(luò)安全的法律基礎(chǔ),是通過建立標(biāo)準(zhǔn)規(guī)范來約束用戶行為的制度。其實現(xiàn)的過程就是規(guī)范管理的過程。管理規(guī)范體系包括網(wǎng)絡(luò)安全責(zé)任制、網(wǎng)絡(luò)安全管理規(guī)范、應(yīng)急響應(yīng)機(jī)制、網(wǎng)絡(luò)安全通報制度等方面的內(nèi)容。(1)網(wǎng)絡(luò)安全責(zé)任制按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)”的原則,明確網(wǎng)絡(luò)安全工作責(zé)任主體,各部門應(yīng)有專人專崗負(fù)責(zé)網(wǎng)絡(luò)安全具體工作,細(xì)化網(wǎng)絡(luò)安全各關(guān)鍵崗位安全管理責(zé)任,簽訂安全責(zé)任書,建立安全責(zé)任體系,形成網(wǎng)絡(luò)安全工作長效機(jī)制。(2)網(wǎng)絡(luò)安全管理規(guī)范建立健全網(wǎng)絡(luò)安全管理制度,明確信息系統(tǒng)管理、數(shù)據(jù)管理、信息管理、網(wǎng)站、微信、微博和移動應(yīng)用管理、電子郵件管理、交互式欄目管理等的管理規(guī)范,使所有的網(wǎng)絡(luò)安全活動都有規(guī)范可依,有制度約束。(3)應(yīng)急響應(yīng)機(jī)制制定完善網(wǎng)絡(luò)安全應(yīng)急預(yù)案、明確應(yīng)急處置流程、處置權(quán)限、落實應(yīng)急技術(shù)支撐隊伍,強(qiáng)化技能訓(xùn)練,強(qiáng)化技能訓(xùn)練。至少一年兩次開展網(wǎng)絡(luò)應(yīng)急演練。通過模擬網(wǎng)絡(luò)安全事故現(xiàn)場環(huán)境,提高應(yīng)急處置能力。(4)網(wǎng)絡(luò)安全通報制度定期開展安全檢查,全面、細(xì)致地排查安全隱患,并定期對檢查結(jié)果進(jìn)行通報,督促相關(guān)部門落實整改。如通過《網(wǎng)絡(luò)安全簡報》、《信息化簡報》等手段,通報各業(yè)務(wù)系統(tǒng)漏洞掃描、數(shù)據(jù)備份、日志審計、數(shù)據(jù)庫審計等各項安全指標(biāo),督促相關(guān)部門做好網(wǎng)絡(luò)安全責(zé)任落實。
3.1.3技術(shù)防護(hù)體系網(wǎng)絡(luò)安全及運(yùn)行保障是一項系統(tǒng)工程,對系統(tǒng)的過程要素、組織結(jié)構(gòu)和結(jié)構(gòu)功能進(jìn)行分析,主要分為預(yù)警層次、檢測層次、保護(hù)層次、響應(yīng)層次四個層級。預(yù)警層次主要是發(fā)現(xiàn)問題、記錄問題和預(yù)警問題。檢測層次主要是發(fā)現(xiàn)服務(wù)器存在的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞,形成完整的安全風(fēng)險報告,幫助安全人員查漏補(bǔ)缺,防范風(fēng)險于未然[4]。保護(hù)層次是對網(wǎng)絡(luò)運(yùn)行的實時保護(hù),包括拒絕服務(wù)、入侵檢測、流量分析、數(shù)據(jù)防泄露等。響應(yīng)層次是對安全事件進(jìn)行及時的響應(yīng),包括數(shù)據(jù)庫審計、安全監(jiān)管、安全服務(wù)等。
3.2網(wǎng)絡(luò)安全宣傳教育
維護(hù)高校網(wǎng)絡(luò)安全是全校師生共同的責(zé)任,維護(hù)網(wǎng)絡(luò)安全不僅需要學(xué)校的防護(hù)體系,更需要廣大師生的共同參與,網(wǎng)絡(luò)安全這道防線才能筑得牢固。因此,在制定完善的網(wǎng)絡(luò)安全防護(hù)體系的基礎(chǔ)上,更要通過定期的安全培訓(xùn)、知識講座和學(xué)術(shù)交流,使全校師生不斷增強(qiáng)網(wǎng)絡(luò)安全意識,掌握網(wǎng)絡(luò)安全知識,并有效提升各類網(wǎng)絡(luò)安全事件的風(fēng)險防范能力,進(jìn)一步營造一個安全、健康、文明、和諧的網(wǎng)絡(luò)環(huán)境。
4結(jié)束語
高校網(wǎng)絡(luò)安全體系的建設(shè)是一個數(shù)據(jù)龐大、層次復(fù)雜、多點防御的工程,涉及到人員組織體系、管理規(guī)范體系、技術(shù)防護(hù)體系等多個層面。其建設(shè)的完成不是一蹴而就的,需要從全局進(jìn)行總體規(guī)劃,分步實施,才能實現(xiàn)高校網(wǎng)絡(luò)安全管理的最終目標(biāo)[5]。
參考文獻(xiàn)
[1]王喬平.淺談對網(wǎng)絡(luò)安全的認(rèn)識.信息系統(tǒng)工程,2019(07):78
[2]李佳霖.高校網(wǎng)絡(luò)安全管理的現(xiàn)狀及對策.通訊世界,2019,26(05):17-18
[3]文理卓,李東宸,鄭憲,董石.淺析高校網(wǎng)絡(luò)安全管理及對策探討.中國管理信息化,2019,22(14):153-154
[4]梁藝軍.高校Web網(wǎng)站安全防護(hù)策略.中國教育網(wǎng)絡(luò),2015(02):57-58
關(guān)鍵詞:計算機(jī)網(wǎng)絡(luò);安全隱患;應(yīng)急響應(yīng)技術(shù)
1 計算機(jī)網(wǎng)絡(luò)安全的含義
計算機(jī)網(wǎng)絡(luò)安全從廣義上是指網(wǎng)絡(luò)系統(tǒng)的軟硬件及其數(shù)據(jù)不受偶然的或惡意的破壞,系統(tǒng)能連續(xù)正常地運(yùn)行,并能有效制止非法和有害信息的傳播,能維護(hù)道德和國家的利益、法規(guī)。狹義的網(wǎng)絡(luò)安全是指通過各種計算機(jī)、網(wǎng)絡(luò)、密碼和信息等技術(shù)保護(hù)網(wǎng)絡(luò)中信息傳輸、交換、存儲的保密性、完整性,并能有效控制不良信息的傳播。
2 計算機(jī)網(wǎng)絡(luò)存在安全隱患的原因
2.1 操作系統(tǒng)存在漏洞
由于操作系統(tǒng)具有集成與擴(kuò)散兩種功能,并且功能結(jié)構(gòu)十分復(fù)雜,因此在操作使用過程中難免會出現(xiàn)漏洞,這就必須不定期進(jìn)行相應(yīng)的升級完善才能有效彌補(bǔ)本身的漏洞。任何系統(tǒng)都會面臨漏洞的威脅,沒有任何一種補(bǔ)丁程序可以把操作系統(tǒng)本身的漏洞擋住。
2.2 網(wǎng)絡(luò)協(xié)議(TCP/IP)漏洞
網(wǎng)絡(luò)協(xié)議的漏洞包括自身協(xié)議的漏洞和協(xié)議服務(wù)上的漏洞兩種。攻擊者通過對網(wǎng)絡(luò)協(xié)議的四個層次的漏洞進(jìn)行攻擊,分為:數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。在數(shù)據(jù)鏈路層中,網(wǎng)絡(luò)中的每臺計算機(jī)都處于一個網(wǎng)絡(luò)節(jié)點上,而它們所發(fā)送的數(shù)據(jù)包卻共用一個通信通道,攻擊者可以修改信道并將錯誤的數(shù)據(jù)包發(fā)往信道中的每個節(jié)點。此外,在網(wǎng)絡(luò)層,還可以通過電子郵件服務(wù)的方式傳播病毒;在傳輸層,攻擊者還可以通過防火墻的漏洞或者在它關(guān)閉時,對系統(tǒng)進(jìn)行破壞;在應(yīng)用層,使用TFTP服務(wù)時盜用用戶名和口令,對計算機(jī)進(jìn)行各種破壞活動。
2.3 計算機(jī)網(wǎng)絡(luò)病毒的傳播
病毒的存在,大大威脅到了網(wǎng)絡(luò)的安全,并影響著計算機(jī)使用者的正常工作生活。首先,網(wǎng)絡(luò)病毒的破壞力極強(qiáng),蠕蟲與木馬病毒會影響系統(tǒng)的運(yùn)行速度,有些病毒會破壞系統(tǒng)導(dǎo)致系統(tǒng)癱瘓,導(dǎo)致重要文件的丟失,甚至使硬件造成損失。其次,病毒有很強(qiáng)的自我繁殖功能,可以通過復(fù)制程序的代碼和指令再對其進(jìn)行更改,從而達(dá)到破壞計算機(jī)網(wǎng)絡(luò)的目的。最后,病毒的隱蔽性極強(qiáng),往往需要依靠反病毒軟件與防火墻來發(fā)掘。
2.4 黑客的攻擊
一些不法分子掌握相關(guān)計算機(jī)網(wǎng)絡(luò)的知識與經(jīng)驗,通過計算機(jī)網(wǎng)絡(luò)謀取經(jīng)濟(jì)利益,網(wǎng)絡(luò)“黑客”通過利用網(wǎng)絡(luò)的安全漏洞,利用網(wǎng)絡(luò)自由性強(qiáng)的特點,非法侵入他人的計算機(jī)網(wǎng)絡(luò)系統(tǒng),給其他合法用戶造成了極大的損失。
3 計算機(jī)應(yīng)急響應(yīng)技術(shù)的分類
3.1 防火墻技術(shù)
現(xiàn)在的防火墻主要分為嵌入式防火墻、硬件防火墻、軟件防火墻等幾種類型。防火墻是通過在外部網(wǎng)和內(nèi)部網(wǎng)之間建立屏障來保護(hù)內(nèi)網(wǎng)免受非法用戶入侵,以及通過對內(nèi)網(wǎng)的模塊等級劃分,分別按照不同的保護(hù)等級設(shè)置用戶與密碼,來應(yīng)對各種漏洞攻擊。此外,防火墻還能夠通過其自身的監(jiān)控功能,記錄訪問的身份,及時對非法的用戶進(jìn)行安全預(yù)警。
3.2 入侵檢測系統(tǒng)
這個系統(tǒng)通過對非法用戶的入侵行為進(jìn)行檢測,達(dá)到識別分析的目的。通過系統(tǒng)內(nèi)部的事件生成器、分析器、數(shù)據(jù)庫和響應(yīng)單元,可以有效起到對計算機(jī)網(wǎng)絡(luò)的檢測作用。通過檢測,可以有效并及時的防范病毒入侵,漏洞攻擊,避免因此造成數(shù)據(jù)丟失等不良后果。入侵檢測系統(tǒng)通過對異常行為的檢測,對用戶信息進(jìn)行檢測,可以起到防止病毒入侵、數(shù)據(jù)丟失等的作用。入侵檢測技術(shù)與防火墻相比更加主動,它整合了入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)控這三項功能,此外,更加智能全面的對入侵進(jìn)行了防御,保護(hù)方式更加直接。
3.3 數(shù)字加密技術(shù)
數(shù)字加密技術(shù)是通過對所要保護(hù)的信息進(jìn)行加密,將所要傳達(dá)的信息轉(zhuǎn)換成為其他非法用戶難以解密的信息來進(jìn)行傳遞,在非法用戶盜取了相關(guān)信息后,仍然無法解密,因此無法獲得真正的信息系統(tǒng)。此項技術(shù)主要應(yīng)用在商業(yè)金融領(lǐng)域,許多跨國公司在海外所設(shè)立的分公司的局域網(wǎng)之間信息的傳遞過程就需要進(jìn)行數(shù)字加密技術(shù)來進(jìn)行保護(hù),在許多國際貿(mào)易的訂單信息中應(yīng)用的也較為廣泛。
3.4 防病毒軟件
保護(hù)網(wǎng)絡(luò)安全離不開防病毒的軟件,這些軟件的功能集中表現(xiàn)在病毒的查殺、監(jiān)測、預(yù)防、以及聯(lián)網(wǎng)查殺等方面。然而,預(yù)防與查殺手段在提高的同時,相關(guān)的各種計算機(jī)病毒也同樣在日益增加,并變得更加復(fù)雜。其對網(wǎng)絡(luò)安全所造成的傷害也是更加嚴(yán)重。因此,當(dāng)網(wǎng)絡(luò)管理員發(fā)現(xiàn)系統(tǒng)存在病毒威脅時,就要立即對其進(jìn)行清除并找到病毒存在的位置進(jìn)行徹底的清除,通過了解系統(tǒng)的感染程度進(jìn)行補(bǔ)救,這就需要防病毒軟件的幫助,因此,保障網(wǎng)絡(luò)安全離不開防病毒軟件。
4 結(jié)語
通過對計算機(jī)網(wǎng)絡(luò)的安全隱患原因及其應(yīng)急響應(yīng)技術(shù)的分析與總結(jié),可以發(fā)現(xiàn)如今的網(wǎng)絡(luò)安全問題是普遍存在于廣泛的用戶群中,其所產(chǎn)生的安全漏洞與隱患問題已經(jīng)威脅到了人們正常的工作與生活。因此,對計算機(jī)網(wǎng)絡(luò)安全問題的防范與維護(hù)已經(jīng)不僅僅是一個技術(shù)層面的問題,而是上升到了對網(wǎng)絡(luò)管理員,廣大網(wǎng)絡(luò)參與者所負(fù)擔(dān)的責(zé)任問題。由于經(jīng)濟(jì)與社會的不斷發(fā)展進(jìn)步,網(wǎng)絡(luò)已經(jīng)成為生活中必不可少的一部分,就更加要求我們通過各種措施來對其進(jìn)行應(yīng)急響應(yīng)。
[參考文獻(xiàn)]
關(guān)鍵詞 計算機(jī);網(wǎng)絡(luò);安全管理
中圖分類號 TP393 文獻(xiàn)標(biāo)識碼 A 文章編號 1673-9671-(2013)011-0177-01
隨著互聯(lián)網(wǎng)技術(shù)、信息化技術(shù)的快速發(fā)展,給我們的生活帶來了很多的便利,但同時也造成了一些安全的問題。濫用他人內(nèi)部網(wǎng)絡(luò)資源、利用互聯(lián)網(wǎng)、傳遞非法信息、各種互聯(lián)網(wǎng)攻擊行為等計算機(jī)網(wǎng)絡(luò)安全問題日益嚴(yán)重。而計算機(jī)信息技術(shù)網(wǎng)絡(luò)只有實現(xiàn)了良好的安全管理,才可以將其應(yīng)有的作用全部發(fā)揮出來,如果不能實現(xiàn)安全管理,那么必然會給網(wǎng)絡(luò)用戶造成危害,甚至還會對國家安全造成嚴(yán)重的影響。本文就計算機(jī)網(wǎng)絡(luò)安全管理的技術(shù)與方法進(jìn)行探討。
1 計算機(jī)網(wǎng)絡(luò)安全隱患
1.1 操作系統(tǒng)的不完善
操作系統(tǒng)具有擴(kuò)散性和集成性等特點,結(jié)構(gòu)復(fù)雜,體系龐大。但是不管操作系統(tǒng)是如何的完美,如何的成熟,它都會面臨著安全漏洞的威脅,有了這些漏洞,病毒和黑客就可以入侵操作系統(tǒng),而這些安全漏洞沒有任何一種補(bǔ)丁程序能夠完全根治,都需要進(jìn)行不定時的操作系統(tǒng)升級,才能夠?qū)⒉僮飨到y(tǒng)不完善這個問題克服掉。
1.2 網(wǎng)絡(luò)管理員的防范意識和技術(shù)水平不高
目前由一些計算機(jī)網(wǎng)絡(luò)管理員沒有經(jīng)過系統(tǒng)化的計算機(jī)知識培訓(xùn),技術(shù)水平還達(dá)不到要求,且責(zé)任心不強(qiáng),工作馬馬虎虎,在實際工作中,由于不仔細(xì)、不用心就造成了很多人為管理問題。如給予網(wǎng)絡(luò)用戶過大權(quán)限,沒有按照網(wǎng)絡(luò)用戶的類型來劃分不同的權(quán)限登記,沒有限制和預(yù)防一些潛在的安全隱患,缺乏實時的計算機(jī)監(jiān)控機(jī)制,甚至還會出現(xiàn)低級的網(wǎng)絡(luò)管理錯誤,使得計算機(jī)網(wǎng)絡(luò)系統(tǒng)極易受到攻擊。
1.3 病毒的廣泛傳播
計算機(jī)網(wǎng)絡(luò)安全的最大隱患就是病毒,它具有破壞性、傳染性、隱秘性等特點,不依靠防火墻和反病毒軟件很難發(fā)現(xiàn),計算機(jī)一旦感染上如木馬程序和蠕蟲病毒之類的病毒,那么往往就會導(dǎo)致計算機(jī)系統(tǒng)反應(yīng)速度大幅度降低,喪失部分?jǐn)?shù)據(jù)和功能,甚至還有可能造成丟失掉計算機(jī)內(nèi)的重要文件,造成系統(tǒng)的崩潰和計算機(jī)硬件設(shè)備的損壞。
2 計算機(jī)網(wǎng)絡(luò)安全管理的重要內(nèi)涵與內(nèi)容
一般來說,計算機(jī)網(wǎng)絡(luò)安全管理都具有生命周期性,應(yīng)包括應(yīng)急響應(yīng)、安全檢查與稽核、安全意識的技術(shù)培訓(xùn)和教育、安全原則和安全目標(biāo)的確定、安全工程的運(yùn)行和測試、安全工程的實施監(jiān)理、風(fēng)險分析、安全工程的實施、安全產(chǎn)品與安全技術(shù)的選型與測試、需求分析、安全實施領(lǐng)域的確定、安全體系、安全策略等,這些構(gòu)成了網(wǎng)絡(luò)信息安全的一個完整生命周期,經(jīng)過安全檢查和稽核之后,又開始孕育下一個生命周期,周而復(fù)始,不斷上升、不斷往復(fù)。黑客水平在提高,信息技術(shù)在發(fā)展,那么相應(yīng)的安全技術(shù)、安全體系、安全策略也要隨之實現(xiàn)動態(tài)調(diào)整,使整個計算機(jī)網(wǎng)絡(luò)系統(tǒng)都隨時處于一個動態(tài)過程中,不斷進(jìn)步、不斷完善、不斷更新。
3 如何有效加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全管理
3.1 防病毒軟件
采用防病毒軟件,如卡巴斯基、金山毒霸、360安全衛(wèi)士、瑞星殺毒軟件之類的能夠?qū)π虏《具M(jìn)行及時更新、聯(lián)網(wǎng)查殺、預(yù)防,還可以實時監(jiān)測病毒、實時查殺病毒,保護(hù)用戶計算機(jī)系統(tǒng)數(shù)據(jù)安全,提高全方位的網(wǎng)絡(luò)安全保護(hù)。現(xiàn)在計算機(jī)病毒越來越高級,越來越復(fù)雜,嚴(yán)重威脅到地震數(shù)據(jù)存儲設(shè)備的安全,一旦發(fā)現(xiàn)地震數(shù)據(jù)存儲設(shè)備感染了病毒,就應(yīng)該采用防病毒軟件進(jìn)行實時防范,掃描出病毒所在位置,對地震數(shù)據(jù)存儲設(shè)備的感染程度進(jìn)行徹底地檢查,將病毒徹底、完全地清除掉,從而保障地震數(shù)據(jù)存儲設(shè)備的安全性。如360安全衛(wèi)士基于人工智能算法,獨(dú)具“自學(xué)習(xí)、自進(jìn)化”優(yōu)勢,秒殺新生木馬病毒,助力360殺毒獲得AV-C國際評測查殺率第一,實時捕捉病毒威脅,預(yù)防效果更出色。全新架構(gòu)進(jìn)一步減少對系統(tǒng)資源的占用,性能提升30%以上,電腦輕快不卡機(jī)。智能引擎調(diào)度技術(shù)升級,可選同時開啟小紅傘和BitDefender兩大知名反病毒引擎,雙劍合璧查殺監(jiān)控更凌厲。同時,隔離沙箱為用戶提供百毒不侵的安全體驗,運(yùn)行風(fēng)險程序不感染真實系統(tǒng),新增“斷網(wǎng)模式”保護(hù)隱私不側(cè)漏。
3.2 從制度出發(fā),加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全管理
1)成立了計算機(jī)網(wǎng)絡(luò)安全管理領(lǐng)導(dǎo)小組,落實了計算機(jī)安全管理員,明確了領(lǐng)導(dǎo)小組和管理員的職責(zé),構(gòu)建了計算機(jī)網(wǎng)絡(luò)安全管理體系。
2)在網(wǎng)絡(luò)改造升級過程中,嚴(yán)格按要求實行管理網(wǎng)段與業(yè)務(wù)網(wǎng)段分離,杜絕業(yè)務(wù)用機(jī)上因特網(wǎng)。
3)局域網(wǎng)計算機(jī)上安裝防病毒軟件,建立了防病毒體系,同步升級,定期掃描。
4)全面淘汰一些配置較差的電腦,全部使用單位下發(fā)的性能好的計算機(jī),確保不能因為計算機(jī)硬件的故障而出現(xiàn)重大事故。
5)全面安裝防火設(shè)備,在機(jī)房,安裝了防火報警器,購置了滅火器材,消除一切可能引發(fā)火災(zāi)等不安全隱患。
6)加強(qiáng)計算機(jī)應(yīng)用管理,按照“單位統(tǒng)一管理,分部門保管使用”的辦法,指定計算機(jī)負(fù)責(zé)人,并按權(quán)限設(shè)置了開機(jī)密碼與網(wǎng)絡(luò)密碼。
7)嚴(yán)格執(zhí)行“雙重備份、異地保存”的數(shù)據(jù)備份制度,確保數(shù)據(jù)安全。
3.3 加強(qiáng)外聯(lián)網(wǎng)絡(luò)安全防護(hù)
目前外聯(lián)的方式可以通過藍(lán)牙系統(tǒng)、紅外線系統(tǒng)、無線網(wǎng)卡、PCMCIA、有線網(wǎng)卡、USB端口等一系列措施進(jìn)行互聯(lián),應(yīng)該在終端就對非法網(wǎng)絡(luò)行為進(jìn)行阻斷,這是最為安全、最為有效的防護(hù)措施。因此,應(yīng)該屏蔽不明端口,對計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)通過終端安全管理系統(tǒng)來固定設(shè)置,一旦發(fā)現(xiàn)有那些非法的客戶端企圖連接網(wǎng)絡(luò),那么應(yīng)該將非法的客戶端進(jìn)行網(wǎng)絡(luò)屏蔽或者阻斷。筆者建議建立一套身份認(rèn)證系統(tǒng)(基于PKI體系),進(jìn)而實現(xiàn)訪問控制、數(shù)據(jù)加密。同時,將CA認(rèn)證系統(tǒng)和認(rèn)證網(wǎng)關(guān)部署在重要服務(wù)器區(qū)附近,并且使得二者實現(xiàn)聯(lián)動,促使實現(xiàn)傳輸通道的加密功能和用戶的安全訪問控制。
參考文獻(xiàn)
[1]羅平,李強(qiáng).網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系研究[J].農(nóng)業(yè)網(wǎng)絡(luò)信息,2011,02:111-114.
[2]陳丹.計算機(jī)網(wǎng)絡(luò)安全隱患與應(yīng)急響應(yīng)技術(shù)[J].辦公自動化,2011,10:153-157.
[3]王瑞剛.網(wǎng)絡(luò)與信息安全事件應(yīng)急響應(yīng)體系層次結(jié)構(gòu)與聯(lián)動研究[J].計算機(jī)應(yīng)用與軟件,2011,10:120-125.
在“十一五”863計劃中,包含有很多應(yīng)用,比如通信技術(shù)和信息安全。《國家中長期科技發(fā)展規(guī)劃綱要》(簡稱《綱要》)對信息產(chǎn)業(yè)及現(xiàn)代服務(wù)業(yè)提出了四點發(fā)展思路,其中第四點是以發(fā)展高可信網(wǎng)絡(luò)為重點,開發(fā)網(wǎng)絡(luò)信息安全技術(shù)及相關(guān)產(chǎn)品,建立信息安全技術(shù)保障體系,具備防范各種信息安全突發(fā)事件的技術(shù)能力。
另一個綱領(lǐng)性文件是《2006―2020國家信息化發(fā)展戰(zhàn)略》(簡稱《戰(zhàn)略》),《戰(zhàn)略》提出了九項戰(zhàn)略重點。其中,第八項是建設(shè)國家信息安全保障體系,圍繞網(wǎng)絡(luò)安全涉及的內(nèi)容,全面加強(qiáng)國家信息安全保障體系建設(shè),建立和完善信息安全登記保護(hù)制度,重點保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定的重要信息系統(tǒng)。同時,還將加強(qiáng)信息安全風(fēng)險評估工作,建設(shè)和完善信息安全監(jiān)控體系,提高對網(wǎng)絡(luò)安全事件應(yīng)對和防范能力,從實際出發(fā),促進(jìn)資源共享,重視災(zāi)難備份建設(shè),增強(qiáng)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的抗毀能力和災(zāi)難恢復(fù)能力。這些是我們在安排863計劃的核心指導(dǎo)方針,是指導(dǎo)性的文件。
在經(jīng)典的網(wǎng)絡(luò)模型中,有六個重要要素:分析、安全策略、保護(hù)、檢測、響應(yīng)、恢復(fù)。圍繞著經(jīng)典的網(wǎng)絡(luò)安全模型,圍繞著《綱要》和《戰(zhàn)略》可以看出,863重點安排在八項技術(shù)上:第一是安全測評評估技術(shù);第二是安全存儲系統(tǒng)技術(shù);第三是主動實時防護(hù)模型與技術(shù);第四是網(wǎng)絡(luò)安全事件監(jiān)控技術(shù);第五是惡意代碼防范與應(yīng)急響應(yīng)技術(shù);第六是數(shù)據(jù)備份與可再生技術(shù);第七是可信計算平臺項目;第八是UTM與網(wǎng)絡(luò)安全管理。
安全測評評估技術(shù)
風(fēng)險分析的重點將放在安全測評評估技術(shù)上。它的戰(zhàn)略目標(biāo)是掌握網(wǎng)絡(luò)、信息系統(tǒng)安全測試及風(fēng)險評估技術(shù),建立完整的、面向等級保護(hù)的測評流程及風(fēng)險評估體系。這一點和過去不一樣,過去做測評是沒有強(qiáng)調(diào)等級保護(hù)的。
國家中長期發(fā)展戰(zhàn)略已經(jīng)明確提出,要按照等級保護(hù)的原則來做,所以測評也是要服務(wù)于這一點。其主要創(chuàng)新點和切入點在于:首先提出適應(yīng)等級保護(hù)和分級測評機(jī)制的通用信息系統(tǒng)與信息技術(shù)產(chǎn)品測評模型;適應(yīng)不同的級別要有不同的測評方法,這個分級要符合登記保護(hù)體制;重點放在通用產(chǎn)品,要建成一個標(biāo)準(zhǔn)的方法;要建立統(tǒng)一的測評信息庫和知識庫,測評要有統(tǒng)一的背景,制定相關(guān)的國家技術(shù)標(biāo)準(zhǔn);要提出面向大規(guī)模網(wǎng)絡(luò)與復(fù)雜信息系統(tǒng)安全風(fēng)險分析的模型與方法,尤其安全風(fēng)險分析,重點面向大規(guī)模復(fù)雜網(wǎng)絡(luò),因為復(fù)雜網(wǎng)絡(luò)要分析的要素很多,態(tài)勢也很強(qiáng),這是我們追求的創(chuàng)新點;要建立基于管理和技術(shù)的風(fēng)險評估流程,測試風(fēng)險評估面臨的威脅和不安全因素。此外,因為保證信息安全不只是技術(shù),管理不到位也會帶來風(fēng)險,所以風(fēng)險評估應(yīng)該把技術(shù)和管理都包括在內(nèi),要制定定性和定量的測度指標(biāo)體系。
安全存儲系統(tǒng)技術(shù)
安全策略的重點應(yīng)放在安全存儲技術(shù)上。安全存儲系統(tǒng)產(chǎn)品很多,從安全角度來看,它的戰(zhàn)略目標(biāo)有兩點:一個是機(jī)密性的安全,要掌握海量數(shù)據(jù)的加密存儲和檢索技術(shù),保障存儲數(shù)據(jù)的機(jī)密性和安全訪問能力;另一個是安全自身要可靠,要掌握高可靠海量存儲技術(shù),保障海量存儲系統(tǒng)中數(shù)據(jù)的可靠性。創(chuàng)新點在于,應(yīng)提出海量分布式數(shù)據(jù)存儲設(shè)備的高性能加密與存儲訪問方法,提出數(shù)據(jù)自毀機(jī)理。
加密是容易的,要對海量信息加密,影響當(dāng)然是有的,但是應(yīng)該不是很明顯,這就對我們算法的效率提出了很高的要求。一旦數(shù)據(jù)出現(xiàn)被非授權(quán)訪問,應(yīng)該產(chǎn)生數(shù)據(jù)自毀,或者被別人破解時有自我保護(hù)能力。我們提出海量存儲器的高性能密文數(shù)據(jù)檢索手段,檢索就要有規(guī)律,但加密的基本思路就是要把它無規(guī)則化,讓它根本看不到規(guī)則,所以我們應(yīng)找到一個折中的方法:什么樣的加密可以支持檢索,又具備一定的安全強(qiáng)度。
為此,我們提出了基于冗余的高可靠存儲系統(tǒng)的故障監(jiān)測、透明切換與處理、數(shù)據(jù)一致性保護(hù)方面的新模型預(yù)實現(xiàn)手段。雙備份是比較簡單的,問題在于實時切換,我們現(xiàn)在是整體的切換,如果切換非常頻繁,就會出現(xiàn)一些誤報警的情況。尤其當(dāng)數(shù)據(jù)多備份的時候,就會有數(shù)據(jù)一致性的問題,為此我們提出信息安全的數(shù)據(jù)組織方法,提出基于主動防御的存儲安全技術(shù)。如果不能完全自動備份,可以有兩種選擇:一種是局部冗余,哪些是重要信息,它在整個系統(tǒng)中不會出現(xiàn)太大的問題;另外一個是數(shù)據(jù)在相對分散的情況下,怎么能盡可能弱相關(guān)。檢索要更加智能,要能判斷訪問是不是非授權(quán)訪問,這里面要有一定的能力,而不是簡單的存儲。
主動實時防護(hù)模型與技術(shù)
防護(hù)強(qiáng)調(diào)的是主動實時防護(hù)模型與技術(shù)。它的戰(zhàn)略目標(biāo)是通過掌握態(tài)勢感知、風(fēng)險評估、安全檢測等手段來對當(dāng)前安全態(tài)勢進(jìn)行判斷,并依據(jù)判斷結(jié)果實施網(wǎng)絡(luò)主動防御的主動安全防護(hù)體系的實現(xiàn)方法與技術(shù)。當(dāng)通過態(tài)勢判斷出某個地方出現(xiàn)網(wǎng)絡(luò)安全事件,別的地方就要跟著調(diào)整。特別是隨著風(fēng)險評估,某地方出現(xiàn)威脅,我們要提高風(fēng)險防護(hù),這被稱為主動防護(hù)戰(zhàn)略。創(chuàng)新點提出主動防護(hù)的新模型、新技術(shù)、新方法,現(xiàn)在這方面并不是很成熟,還要提出基于態(tài)勢感知模型、風(fēng)險模型,做主動實時協(xié)同防護(hù)機(jī)制和方法。
第二個是要提出網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行特征和惡意行為特征的自動分析與提取方法。根據(jù)分析才能監(jiān)控特征,判斷現(xiàn)在是不是處于安全狀態(tài),不同的系統(tǒng)可能有不同的需求,應(yīng)該具有提取能力,然后監(jiān)控,通過監(jiān)控來判斷現(xiàn)在出現(xiàn)的情況。要有提出可組合與可變安全等級的安全防護(hù)技術(shù),可能在某種狀態(tài)下,需要做級別的變化,我們采取一系列各種各樣的安全手段,如果某種風(fēng)險不存在,可以把安全手段降低,就可以提高運(yùn)行效率,這方面應(yīng)該提供相應(yīng)的技術(shù)。
網(wǎng)絡(luò)安全事件監(jiān)控技術(shù)
監(jiān)測的重點是網(wǎng)絡(luò)安全事件監(jiān)控技術(shù)。戰(zhàn)略目標(biāo)重點放在國家層面考慮,要掌握保障基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)安全運(yùn)行的能力,支持多網(wǎng)融合下的大規(guī)模安全事件的監(jiān)控與分析技術(shù),提高網(wǎng)絡(luò)安全危機(jī)處理的能力。三網(wǎng)融合也是勢在必行,不同網(wǎng)的狀態(tài)融合起來就對監(jiān)測提出了要求。主要創(chuàng)新點在于,要提出網(wǎng)絡(luò)數(shù)據(jù)獲取接口標(biāo)準(zhǔn),并且提出網(wǎng)絡(luò)流量海量性與分析系統(tǒng)計算能力不匹配的應(yīng)對方法。
一般而言,網(wǎng)絡(luò)帶寬增長每六個月翻一番,我們國家是每七八個月翻一番。計算機(jī)運(yùn)行速度按照摩爾定律每18個月翻一番,這導(dǎo)致計算機(jī)處理能力越來越快。我們提出多通道綜合檢測和協(xié)同分析模型與技術(shù),要建立大規(guī)模惡意代碼傳播演變的可視化展示手段。一旦惡意代碼傳播演變了,要有一個跟蹤的態(tài)勢,能在地圖上不斷發(fā)現(xiàn)蠕蟲、病毒。提出蜜罐的攻擊誘惑與自身隱蔽方法,現(xiàn)在的研究比較成熟,人類在防范,攻擊者也尋找新的攻擊誘惑。提出網(wǎng)絡(luò)安全態(tài)勢分析指標(biāo)體系,建立基于復(fù)雜網(wǎng)絡(luò)行為建模與模擬的網(wǎng)絡(luò)安全態(tài)勢的分析與預(yù)測體系。
這個態(tài)勢怎么來的,要有一個指標(biāo)體系,我們通過對指標(biāo)體系的分析,通過重要的端口,或者某種協(xié)議的監(jiān)測,把這些指數(shù)綜合起來,計算當(dāng)前態(tài)勢。當(dāng)每個事件出現(xiàn),如果不采取措施,將來會變成什么樣?這需要有復(fù)雜網(wǎng)絡(luò)的模擬網(wǎng)絡(luò),模擬網(wǎng)絡(luò)對復(fù)雜行為建模提出要求,模擬節(jié)點不是幾萬、幾十萬,至少幾百萬量級才能做出判斷,這樣才能真正做到預(yù)測。現(xiàn)在做到的只是預(yù)警,一個事態(tài)出現(xiàn)到形成規(guī)模不到10分鐘,如果僅僅是預(yù)警,根本來不及采取措施。
惡意代碼防范與應(yīng)急響應(yīng)技術(shù)
響應(yīng)的相應(yīng)重點應(yīng)該放在惡意代碼防范與應(yīng)急響應(yīng)技術(shù)上,其戰(zhàn)略目標(biāo)是掌握有效的惡意代碼防范與反擊策略。一旦發(fā)現(xiàn)惡意代碼之后,要迅速提出針對這個惡意代碼的遏制手段,要提供國家層面的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)支撐技術(shù)。其主要創(chuàng)新點在于,提出對蠕蟲、病毒、木馬、僵尸網(wǎng)絡(luò)、垃圾郵件等惡意代碼的控制機(jī)理。
比如,面對沖擊波時,用戶只有靠打補(bǔ)丁,如果用戶沒有打補(bǔ)丁,病毒就會通過網(wǎng)絡(luò)不斷傳播,這時我們就要把這個端口封鎖住。我們要研究每個問題,而且要建立惡意代碼攻擊的追蹤、取證及遏制機(jī)制,提出支持遏制手段的惡意代碼可控性的特征分析及提取技術(shù)。我們不是對惡意代碼的判斷特征識取,我們需要找出惡意代碼特征,判斷惡意代碼是否存在,還要找出對于什么樣的特征可以利用哪些手段去遏制它。
數(shù)據(jù)備份與可再生技術(shù)
數(shù)據(jù)備份與可生存性技術(shù)是圍繞災(zāi)難恢復(fù)來做的。這主要是提供用于第三方實施數(shù)據(jù)災(zāi)難備份的模型與方法,為建設(shè)通用災(zāi)難備份中心提供理論依據(jù)與技術(shù)手段,建立網(wǎng)絡(luò)與信息系統(tǒng)生存性和抗毀性,提高網(wǎng)絡(luò)與信息系統(tǒng)的可靠性。比如我建立一套系統(tǒng),如果系統(tǒng)重要,就建立一個應(yīng)急系統(tǒng)做備份。但是這不適合第三方,現(xiàn)在有一些第三方是服務(wù)隊伍,需要熟悉原來系統(tǒng)什么樣,按照原來系統(tǒng)來做。
怎么能夠做第三方呢?這里面創(chuàng)新點是提出源數(shù)據(jù)存儲結(jié)構(gòu)無關(guān)的數(shù)據(jù)遠(yuǎn)程備份及快速恢復(fù)模型、機(jī)制、方法與技術(shù)。現(xiàn)在,一個系統(tǒng)建完后,你必須掌握系統(tǒng)結(jié)構(gòu),為你的數(shù)據(jù)庫系統(tǒng)再建一個數(shù)據(jù)庫系統(tǒng),這樣你的數(shù)據(jù)才能保存起來。但是出現(xiàn)增量怎么辦?是不是因為增加一個記錄而全部備份呢?答案是否定的,因為大系統(tǒng)從頭到尾備份需要3天。如果說傳增量,那邊沒有一模一樣的系統(tǒng)也無法把增量去。因此能不能做到結(jié)構(gòu)無關(guān)?我們提出基于關(guān)鍵服務(wù)的網(wǎng)絡(luò)與信息系統(tǒng)容錯、容侵和容災(zāi)模型。如果我的系統(tǒng)資源足夠多,入侵者通過連接攻擊我的線程空間,但是我線程空間足夠大。如果系統(tǒng)徹底垮了,我就換一個系統(tǒng)。而且我們還要提出網(wǎng)絡(luò)與信息系統(tǒng)自適應(yīng)生存機(jī)理與可恢復(fù)模型,提出故障感知模型與異常檢測方法,圍繞這一點要建立可生存性及抗毀性分析仿真和評測方法。
可信計算平臺項目
網(wǎng)絡(luò)如果采用可信的方法,比如硬件有改動,通過信息來驗證,整個系統(tǒng)是可靠、不會被攻擊的,這樣應(yīng)用系統(tǒng)都不會被病毒侵入。Vista對這一點是一個重大的推動。對網(wǎng)絡(luò)安全模型提出一個技術(shù)性模型,應(yīng)該要有一個可信計算平臺做整體的支撐。戰(zhàn)略目標(biāo)是掌握基于自主專利與標(biāo)準(zhǔn)的可信平臺模塊、硬件、軟件支撐、應(yīng)用安全軟件、測評等一批核心技術(shù),主導(dǎo)我國可信計算平臺的跨越發(fā)展。
我國在可信計算方面介入特別早,但現(xiàn)在沒有形成一個特別好的體系,只有盡早地提出一個標(biāo)準(zhǔn)體系,我國的產(chǎn)業(yè)才能沖上來。其主要創(chuàng)新點在于提出可信計算平臺信任鏈建立和擴(kuò)展方式,包括可信引導(dǎo)、可信度量、可信網(wǎng)絡(luò)連接、遠(yuǎn)程平臺證明等。從互操作和安全評估兩個角度出發(fā),建立可信計算標(biāo)準(zhǔn)體系。
UTM與網(wǎng)絡(luò)安全管理
隨著水利信息化工作的不斷推進(jìn),電子政務(wù),水利公共信息載體,數(shù)字水利,以及水資源管理體系等信息化結(jié)果的出現(xiàn),有利的推進(jìn)了水利現(xiàn)代化的運(yùn)行。網(wǎng)絡(luò)平臺是信息構(gòu)建和信息化成果使用的重要媒介,充分的表現(xiàn)出了IT的實際價值。在互聯(lián)網(wǎng)飛速發(fā)展的現(xiàn)在,網(wǎng)絡(luò)進(jìn)攻的方式也逐漸增多,信息體系所承受的安全風(fēng)險也逐漸增加,怎樣保證網(wǎng)絡(luò)信息的安全是現(xiàn)在水利信息化進(jìn)程中急需要處理的問題之一。
1 水利網(wǎng)絡(luò)信息安全的實際狀況
最近幾年,水利部門根據(jù)水利工作的實際狀況,在對治水經(jīng)驗和實際操作進(jìn)行總結(jié)的過程中,提出要轉(zhuǎn)變過去的水利發(fā)展道路,堅持走可持續(xù)發(fā)展水利道路,建立水利現(xiàn)代化的發(fā)展道路。隨著水利事業(yè)的不斷發(fā)展和變革,水利信息化構(gòu)建也取得了一定的成績,逐漸轉(zhuǎn)變成為水利現(xiàn)代化的主要力量。根據(jù)國家防汛抗旱指揮系統(tǒng)中的一期工程城市水資源的監(jiān)控管理,水利電子政務(wù)的相關(guān)項目和大型灌區(qū)信息化試點等重要工程的順利完成,水利信息化基礎(chǔ)設(shè)備也在不斷的健全,對業(yè)務(wù)的使用能力也在逐漸加強(qiáng)。防汛抗旱,城市水資源的監(jiān)控管理,水利電子政務(wù)和全國水土保持監(jiān)管信息體系等業(yè)務(wù)也開始應(yīng)用到實際生活中。在水利信息化基礎(chǔ)構(gòu)建和業(yè)務(wù)不斷拓展的過程中,相關(guān)的保證水利信息化安全的體系也逐漸形成。
2 強(qiáng)化水利網(wǎng)絡(luò)信息安全的解決措施
網(wǎng)絡(luò)和信息的安全隱患問題,使得水利信息化的發(fā)展受到阻礙,所以要及時的進(jìn)行預(yù)防,綜合治理和科學(xué)管理,逐漸增加信息的安全性,加強(qiáng)其中的保護(hù)能力,保證水利信息化的持續(xù)運(yùn)行。
2.1 加強(qiáng)信息安全管理
信息安全規(guī)劃包含了技術(shù)、管理和相關(guān)法律等多個層面的問題,是穩(wěn)定網(wǎng)絡(luò)安全、物理安全、資料安全和使用安全的關(guān)鍵因素。信息安全規(guī)劃不但依賴于信息化的管理,還是信息化形成的重要力量。在信息安全管理的過程中,信息系統(tǒng)安全構(gòu)建和管理要更加具有系統(tǒng)性、整體性和目標(biāo)性。
2.1.1 以信息化規(guī)劃為基礎(chǔ),構(gòu)建信息化建設(shè)
信息安全是在信息化規(guī)劃的基礎(chǔ)上,對信息安全進(jìn)行系統(tǒng)的整理,是信息化發(fā)展的主要力量。信息安全規(guī)劃不但要對信息化發(fā)展的實際情況進(jìn)行深入的分析和研究,更好的發(fā)現(xiàn)信息化中存在的安全隱患,還要根據(jù)信息化規(guī)劃以及信息化發(fā)展的主要戰(zhàn)略和思路,有效的處理信息安全的問題。
2.1.2 構(gòu)建信息安全系統(tǒng)
信息安全規(guī)劃需要從技術(shù)安全、組織安全、戰(zhàn)略安全等方面入手,構(gòu)建相關(guān)的信息安全系統(tǒng),從而更好的保證信息化的安全。
2.2 日常的運(yùn)維管理
2.2.1 注重網(wǎng)絡(luò)的安全監(jiān)控
網(wǎng)絡(luò)的飛速發(fā)展使得水利網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)安全關(guān)系更加緊密。所以,注重互聯(lián)網(wǎng)安全監(jiān)控,從而及時的采取相關(guān)的安全防護(hù)措施,是現(xiàn)在日常安全管理工作中的主要內(nèi)容。
2.2.2 安全狀態(tài)研究
網(wǎng)絡(luò)信息安全是處于不斷變化的過程中,需要定時對網(wǎng)絡(luò)安全環(huán)境進(jìn)行整體的分析,這樣不但可以發(fā)現(xiàn)其中的問題,還可以及時的采取相關(guān)的措施進(jìn)行改正。安全態(tài)勢主要是利用網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全設(shè)備和安全管理工具等策略來進(jìn)行信息的處理,通過統(tǒng)計和分析,綜合評價網(wǎng)絡(luò)系統(tǒng)的安全性,并且對發(fā)展的狀態(tài)進(jìn)行判斷。
2.2.3 信息安全風(fēng)險評估
風(fēng)險評估是信息安全管理工作中的重要部分。通過進(jìn)行風(fēng)險評估,可以及時的發(fā)現(xiàn)信息安全中的問題,并且找到積極有效的解決措施。安全風(fēng)險評估的主要方法是:(1)對被評估的主要信息進(jìn)行確定;(2)通過本地審計、人員走訪、現(xiàn)場觀看、文檔審閱、脆弱性掃描等方法,對評估范圍中的網(wǎng)絡(luò)、使用和主機(jī)等方面的安全技術(shù)和信息進(jìn)行管理;(3)對取得的信息資料進(jìn)行綜合的分析,判別被評估信息資產(chǎn)中存在的主要問題和風(fēng)險;(4)從管理體制、管理措施、系統(tǒng)脆弱性判別、威脅研究、漏洞和現(xiàn)有技術(shù)等方面,根據(jù)風(fēng)險程度的不同,分析和管理相關(guān)的安全問題;(5)根據(jù)上面的分析結(jié)果,建立相關(guān)的信息安全風(fēng)險評估報告。
2.2.4 應(yīng)急響應(yīng)
所謂的應(yīng)急響應(yīng)就是信息安全保護(hù)的最后一道屏障,主要是為了盡量的減少和控制信息安全所造成的嚴(yán)重影響,進(jìn)行及時的響應(yīng)和修復(fù)。應(yīng)急響應(yīng)包含了前期應(yīng)急準(zhǔn)備和后期應(yīng)急響應(yīng)兩個部分。前期應(yīng)急準(zhǔn)備主要有預(yù)警預(yù)防制度、組織指導(dǎo)系統(tǒng)、應(yīng)急響應(yīng)過程、應(yīng)急團(tuán)隊、應(yīng)急器械、技術(shù)支持、費(fèi)用支持等應(yīng)急措施,并且定時進(jìn)行應(yīng)急演練等。后期應(yīng)急措施主要有檢查病毒、系統(tǒng)防護(hù)、阻斷后門等問題,對網(wǎng)絡(luò)服務(wù)進(jìn)行限制或關(guān)閉以及事后的恢復(fù)系統(tǒng)等工作。通過兩個部分的不斷配合,才能更好的發(fā)揮應(yīng)急響應(yīng)的重要作用。
2.3 教育培養(yǎng)
人是信息安全的主要力量,其中的知識構(gòu)造和使用能力對信息安全工作有著重要的影響。強(qiáng)化信息安全管理人員的專業(yè)素養(yǎng),及時的進(jìn)行信息安全教育,提升人們的信息安全意識,從而有效的減少信息安全問題的出現(xiàn)。
3 總結(jié)
隨著社會經(jīng)濟(jì)的不斷發(fā)展,信息系統(tǒng)中的安全問題也逐漸增多。因此需要不斷的加強(qiáng)信息安全管理工作,對于網(wǎng)絡(luò)信息安全管理中的問題進(jìn)行深入的研究,找到具有針對性的解決措施,從而保證水利信息化的健康發(fā)展。
關(guān)鍵詞:計算機(jī)網(wǎng)絡(luò);安全隱患;應(yīng)急響應(yīng)技術(shù)
中圖分類號:TP393.0 文獻(xiàn)標(biāo)識碼:B DoI: 10.3969/j.issn.1003-6970.2012.05.053
Computer Network Security and Emergency Response Technology
LI Gang
(Xinjiang Vocational and Technical College of Communications, Urumqi 831401, China)
【Abstract】The development of computer network, the Internet ’s boundary is more and more large. Internet information for human life has brought great convenience, but the network itself is open, free and interconnection of network, which led to the inevitable safe hidden trouble. Serious damage to the interests of the majority of Internet users. Therefore, to improve the network security becomes more important. This paper analyzes the computer network security risks, and aimed at these problems, put forward the corresponding emergency response technology.
【Key words】Computer network; Security; Emergency response technology
0 引 言
全球化時代的到來,信息技術(shù)的日新月異,這已是人類社會不可回避的現(xiàn)實,計算機(jī)網(wǎng)絡(luò)正是在這個背景下應(yīng)運(yùn)而生。伴隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展,其具有開放性、自由性、互聯(lián)性特點的同時,也容易遭受病毒、黑客等形式的攻擊。因此,計算機(jī)網(wǎng)絡(luò)的安全與否已成為了一個亟待解決的重要問題。網(wǎng)絡(luò)只有具有了完備的安全措施,才能發(fā)揮它應(yīng)有的作用,否則可能會給網(wǎng)絡(luò)用戶帶來一定的危害,嚴(yán)重的甚至可能會影響國家安全[1]。不論是企業(yè)的內(nèi)部網(wǎng)還是局域網(wǎng)或者廣域網(wǎng),都會存在人為的和網(wǎng)絡(luò)本身的安全隱患。這就需要我們針對不同的情況采取不同的應(yīng)對技術(shù),只有這樣才能真正保證網(wǎng)絡(luò)運(yùn)行的安全、可靠、保密、通暢。
1 計算機(jī)網(wǎng)絡(luò)安全的含義
計算機(jī)網(wǎng)絡(luò)安全其實質(zhì)就是要保證網(wǎng)絡(luò)上各種信息的安全,它涵蓋的領(lǐng)域非常廣泛。現(xiàn)在的網(wǎng)絡(luò)上存在著各種各樣的安全隱患,這對計算機(jī)網(wǎng)絡(luò)的良性發(fā)展產(chǎn)生了極大的障礙[2]。計算機(jī)網(wǎng)絡(luò)安全從廣義上分析:凡是和網(wǎng)絡(luò)信息的安全性、保密性、真實性相關(guān)的理論和技術(shù)都屬于網(wǎng)絡(luò)安全的研究領(lǐng)域。因此,網(wǎng)絡(luò)安全的廣義定義是指網(wǎng)絡(luò)系統(tǒng)的軟硬件及其數(shù)據(jù)不受偶然的或惡意的破壞,系統(tǒng)能連續(xù)正常地運(yùn)行,并能有效防止非法和有害信息的傳播,能維護(hù)道德和國家的利益、法規(guī)。狹義的網(wǎng)絡(luò)安全即指網(wǎng)絡(luò)上的信息安全。它側(cè)重于信息的安全性和保密性,防止攻擊者利用系統(tǒng)中存在的各種網(wǎng)絡(luò)安全漏洞,竊取、毀壞網(wǎng)絡(luò)上的信息等有損網(wǎng)絡(luò)合法用戶的權(quán)益。因此,狹義的網(wǎng)絡(luò)安全是指通過各種計算機(jī)、網(wǎng)絡(luò)、密碼和信息等技術(shù)保護(hù)網(wǎng)絡(luò)中信息傳輸、交換、存儲的保密性、完整性,并能有效控制不良信息的傳播。
2 計算機(jī)網(wǎng)絡(luò)的安全隱患
計算機(jī)網(wǎng)絡(luò)開放性和自由性的特點,已導(dǎo)致越來越多的網(wǎng)絡(luò)合法用戶的個人信息和重要數(shù)據(jù)被非法占用、利用,這反映出當(dāng)今網(wǎng)絡(luò)的安全隱患非常嚴(yán)重,筆者分析認(rèn)為,主要有以下幾方面原因構(gòu)成。
2.1 操作系統(tǒng)的不完善
操作系統(tǒng)體系龐大,結(jié)構(gòu)復(fù)雜,具有集成性和擴(kuò)散性的特點。操作系統(tǒng)需要不定時的進(jìn)行升級,才能有效彌補(bǔ)本身的漏洞。不論多么成熟、完美的操作系統(tǒng),都會一直面臨著漏洞的威脅。沒有任何一種補(bǔ)丁程序可以把操作系統(tǒng)本身的漏洞擋住。只有勤于對操作系統(tǒng)進(jìn)行升級,才能有效防止操作系統(tǒng)自身的不完善[3]。操作系統(tǒng)是由網(wǎng)絡(luò)管理員進(jìn)行維護(hù)的,管理員通常會預(yù)設(shè)一些免費(fèi)口令,這也會人為的對操作系統(tǒng)形成安全隱患。以上兩種情況都會導(dǎo)致這樣的操作系統(tǒng)在接入互聯(lián)網(wǎng)時容易遭受到黑客和病毒的攻擊。
2.2 網(wǎng)絡(luò)協(xié)議(TCP/IP)漏洞
網(wǎng)絡(luò)協(xié)議的漏洞分為兩種:一是自身協(xié)議的漏洞;二是協(xié)議服務(wù)上的漏洞。網(wǎng)絡(luò)協(xié)議分為數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層四個層次結(jié)構(gòu)。攻擊者會尋找這四個層次的漏洞進(jìn)行攻擊。在數(shù)據(jù)鏈路層中,網(wǎng)絡(luò)中的計算機(jī),每一臺機(jī)器都處于一個網(wǎng)絡(luò)節(jié)點上,它們所發(fā)送的數(shù)據(jù)包都占用同一個通信通道,攻擊者可以通過對信道的修改,把錯誤的數(shù)據(jù)包發(fā)往信道中的每個節(jié)點[4]。數(shù)據(jù)包在發(fā)送的過程中,攻擊者可以替換原來的數(shù)據(jù)包,先偽裝起來看似和平常的數(shù)據(jù)包沒有區(qū)別,沒有立刻進(jìn)行破壞活動,而是隱藏了起來。攻擊者通過匿名的方式,耗用系統(tǒng)中的資源,通過電子郵件服務(wù)的方式,傳播病毒,在TFTP服務(wù)中,盜用用戶名和口令,對計算機(jī)進(jìn)行各種破壞活動;攻擊者還可以通過防火墻的漏洞或者在它關(guān)閉時,對系統(tǒng)進(jìn)行破壞。
2.3 病毒的廣泛傳播
一旦計算機(jī)感染上病毒之后,一般都會造成系統(tǒng)速度變慢,如蠕蟲病毒和木馬程序等,會使計算機(jī)的運(yùn)行速度大幅降低。而有些嚴(yán)重的病毒甚至?xí)斐上到y(tǒng)的崩潰,導(dǎo)致存儲在計算機(jī)內(nèi)的部分重要文件丟失,更嚴(yán)重的是可能還會導(dǎo)致計算機(jī)的硬件損壞。病毒已經(jīng)成為了計算機(jī)網(wǎng)絡(luò)安全的最大隱患。病毒是程序編制人員在計算機(jī)網(wǎng)絡(luò)程序中所插入的一些具有破壞功能的程序,它可以使計算機(jī)網(wǎng)絡(luò)喪失部分功能和數(shù)據(jù),并影響計算機(jī)網(wǎng)絡(luò)的運(yùn)行。病毒具有自我繁殖性,它可以復(fù)制程序的代碼和指令,通過更改這些代碼和指令達(dá)到破壞計算機(jī)網(wǎng)絡(luò)的目的。病毒如果不依靠反病毒軟件或防火墻是很難發(fā)現(xiàn)的,它具有隱秘性、傳染性、破壞性等特點。所以,采取有力措施防止其危害,對于計算機(jī)網(wǎng)絡(luò)的安全有著極其重要的作用。
2.4 網(wǎng)絡(luò)管理員的技術(shù)水平和防范意識不高
現(xiàn)在許多網(wǎng)絡(luò)管理員并沒有進(jìn)過正規(guī)的教育,他們的職責(zé)感和技術(shù)水平都沒有達(dá)到一個合格網(wǎng)絡(luò)管理員所應(yīng)具備的素質(zhì),這往往表現(xiàn)在實際的工作中,會出現(xiàn)許多不合理的人為管理失誤。如有的管理員不能及時對潛在的安全隱患加以預(yù)防和限制,對于網(wǎng)絡(luò)用戶給予了過大的權(quán)限,這些做法都極易給計算機(jī)網(wǎng)絡(luò)帶來巨大的危害。還有一些網(wǎng)絡(luò)管理員他們不對網(wǎng)絡(luò)系統(tǒng)進(jìn)行調(diào)試和檢測,缺乏實時的監(jiān)控機(jī)制,即使在已運(yùn)行多年的網(wǎng)絡(luò)系統(tǒng)中,也經(jīng)常會出現(xiàn)各種低級的錯誤,導(dǎo)致網(wǎng)絡(luò)系統(tǒng)漏洞百出,極易受到攻擊。
2.5 黑客的攻擊
黑客是對計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的安全造成威脅的另一個重要因素。現(xiàn)在的計算機(jī)網(wǎng)絡(luò)受到黑客的攻擊頻率越來越高,這已催生了一種新的行業(yè)的誕生,里面蘊(yùn)含著巨大的經(jīng)濟(jì)利益。只要擁有一定的計算機(jī)和網(wǎng)絡(luò)技術(shù)能力的人都能利用計算機(jī)網(wǎng)絡(luò)來謀取經(jīng)濟(jì)利益。黑客利用計算機(jī)網(wǎng)絡(luò)存在的安全漏洞非法侵入他人的計算機(jī)網(wǎng)絡(luò)系統(tǒng),這給合法的網(wǎng)絡(luò)用戶造成了極大的經(jīng)濟(jì)損失。黑客針對計算機(jī)網(wǎng)絡(luò)的自由性、開放性的特點,利用自身的專業(yè)知識,使計算機(jī)網(wǎng)絡(luò)的管理工作難上加難。世界上發(fā)生的黑客攻擊事件層出不窮,如俄羅斯黑客攻擊美國政府網(wǎng)等,這種通過非法侵入他國的網(wǎng)絡(luò)系統(tǒng),獲取重要的情報信息的做法,造成美國大量的情報外泄,給美國政府帶來了巨大的壓力。
3 計算機(jī)應(yīng)急響應(yīng)技術(shù)
計算機(jī)網(wǎng)絡(luò)應(yīng)急響應(yīng)技術(shù)是一門綜合性極強(qiáng)的學(xué)科,它對技術(shù)的要求非常高,必須能夠?qū)ν话l(fā)事件能進(jìn)行及時的反饋、分析、處理并進(jìn)行跟蹤。這門學(xué)科幾乎涉及所有有關(guān)計算機(jī)安全的知識和技能。概括起來主要可以分為以下幾類。
3.1 防火墻技術(shù)
防火墻技術(shù)的應(yīng)用大大減低了計算機(jī)網(wǎng)絡(luò)安全的隱患,現(xiàn)在的防火墻主要有嵌入式防火墻、硬件防火墻、軟件防火墻等幾種類型。應(yīng)用防火墻技術(shù)可以有效保護(hù)網(wǎng)絡(luò)內(nèi)部的安全。合理配置防火墻可以過濾如電子郵件等一些不安全的因素,可以防止IP地址指定、綁定、欺騙,還可以對內(nèi)部網(wǎng)與外部網(wǎng)進(jìn)行隔離,使內(nèi)部網(wǎng)上的信息不能隨意流向外部網(wǎng)。雖然,使用了防火墻技術(shù)在一定程度上會降低網(wǎng)絡(luò)的速度,但相比它所換來的網(wǎng)絡(luò)安全是非常值得的。
防火墻在外部網(wǎng)和內(nèi)部網(wǎng)之間建立了一道屏障,一方面它可以保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,實現(xiàn)有效隔離。另一方面,它還可以通過對內(nèi)部網(wǎng)絡(luò)的各模塊進(jìn)行劃分,以確定每個模塊的保護(hù)等級,通過設(shè)置口令、密碼和身份認(rèn)證等方式保證網(wǎng)絡(luò)運(yùn)行的安全。防火墻的網(wǎng)絡(luò)監(jiān)控功能把所有的訪問歷史記錄下來,一旦發(fā)現(xiàn)非法用戶的不安全行為就會預(yù)警。可以毫不夸張的說,在應(yīng)急響應(yīng)諸多技術(shù)中,防火墻技術(shù)的合理應(yīng)用,是最可靠、最安全,同時也是經(jīng)濟(jì)效益最高的技術(shù)。
3.2 入侵檢測系統(tǒng)
所謂入侵檢測系統(tǒng)其實就是對非法用戶的入侵行為進(jìn)行檢測的軟件。它具有識別、分析、評估的功能。通過系統(tǒng)內(nèi)部的事件生成器、分析器、數(shù)據(jù)庫和響應(yīng)單元,可以有效起到對計算機(jī)網(wǎng)絡(luò)的檢測作用。入侵檢測系統(tǒng)通過對異常行為的檢測,對用戶信息進(jìn)行檢測,可以起到防止病毒入侵、數(shù)據(jù)丟失等的作用。相比防火墻技術(shù),入侵檢測技術(shù)是一種積極主動的防護(hù)技術(shù),它不同于防火墻技術(shù)的被動防御,整合了入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)控這三項功能,并具有智能化和全面化的特點,形成了一個主動的保護(hù)方式。網(wǎng)絡(luò)管理員可以通過入侵檢測系統(tǒng)所提供的各種數(shù)據(jù),進(jìn)行合理分析,并制定出更加全面的網(wǎng)絡(luò)安全方案。
3.3 數(shù)字加密技術(shù)
所謂數(shù)字加密技術(shù),是對網(wǎng)絡(luò)內(nèi)要保護(hù)的信息進(jìn)行特殊編碼,把信息轉(zhuǎn)變成無法使非法用戶識別的信息。這樣即使網(wǎng)絡(luò)內(nèi)信息被非法用戶盜取,也無法識別信息的內(nèi)容。這種技術(shù)現(xiàn)在主要應(yīng)用在商業(yè)領(lǐng)域和金融系統(tǒng)中,如國際貿(mào)易中各種訂單的詳情等。目前,許多跨國公司隨著企業(yè)國際化程度的進(jìn)一步加深,在世界許多國家和地區(qū)都建立了分公司或者分支機(jī)構(gòu),這些機(jī)構(gòu)都擁有自己的局域網(wǎng)。分支機(jī)構(gòu)在和總公司的聯(lián)絡(luò)中,為了防止信息的泄露,必須對信息進(jìn)行加密,使局域網(wǎng)與互聯(lián)網(wǎng)連接時,信息的安全能夠得到充分的保證。
3.4 訪問控制技術(shù)
對計算機(jī)網(wǎng)絡(luò)的訪問,必須對其進(jìn)行有效控制,以過濾非法用戶,減少網(wǎng)絡(luò)安全隱患。首先,利用數(shù)字簽名技術(shù)可以有效保證數(shù)據(jù)的完整性,能夠鑒別數(shù)據(jù)是否偽造、冒充和篡改等問題,對用戶的身份和消息進(jìn)行認(rèn)證、核查。其次,建立訪問網(wǎng)絡(luò)所必須遵循的規(guī)則,這種規(guī)則對每個用戶都起到了約束作用,每個網(wǎng)絡(luò)用戶都必須無條件的遵循。這些原則包括入網(wǎng)的步驟、授權(quán)的方式、控制的策略、訪問的形式和安全等級的劃分等。
3.5 防病毒軟件
防病毒軟件的使用也能提供全面的網(wǎng)絡(luò)安全保護(hù)功能。如360安全衛(wèi)士、金山毒霸,卡巴斯基等軟件可以幫助用戶更有效地保護(hù)數(shù)據(jù)。網(wǎng)絡(luò)防病毒軟件主要體現(xiàn)在病毒查殺、病毒實時監(jiān)測、對新病毒的預(yù)防、聯(lián)網(wǎng)查殺,及時更新等方面。隨著計算機(jī)技術(shù)的日益發(fā)展,計算機(jī)病毒也變的愈來愈復(fù)雜、高級,對計算機(jī)網(wǎng)絡(luò)構(gòu)成了極大的威脅。網(wǎng)絡(luò)管理員一旦發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)感染了病毒,應(yīng)立即使用防病毒軟件進(jìn)行清理,對非法用戶進(jìn)行刪除,并徹底檢查系統(tǒng)的感染程度,掃描出病毒所在位置,完全、徹底地將病毒清除,只有這樣才能使得計算機(jī)網(wǎng)絡(luò)的安全性得到保障。
3.6 網(wǎng)絡(luò)追蹤技術(shù)
計算機(jī)網(wǎng)絡(luò)追蹤技術(shù)是指通過收集網(wǎng)絡(luò)內(nèi)每一臺計算機(jī)的相關(guān)信息,分析出侵入事件,確定并鎖定攻擊網(wǎng)絡(luò)計算機(jī)的IP地址,找到入侵源的手段。這種技術(shù)主要是通過攻擊者在整個網(wǎng)絡(luò)里的活動軌跡來分析和處理。計算機(jī)網(wǎng)絡(luò)的追蹤技術(shù)可以分為兩種:一是主動的追蹤技術(shù),這主要指的是計算機(jī)網(wǎng)絡(luò)通過一些特殊的現(xiàn)象,來定位攻擊者攻擊行為的起始位置,這樣能更好地制定有針對性的防護(hù)措施。二是被動的追蹤技術(shù),它的理論基礎(chǔ)是根據(jù)計算機(jī)網(wǎng)絡(luò)的不同狀態(tài),它會表現(xiàn)出不同的網(wǎng)絡(luò)數(shù)據(jù)特征。因此,記錄下在各個時間段,同一個時間點,網(wǎng)絡(luò)各節(jié)點受攻擊的軌跡,來確定未來可能受攻擊的位置。
4 結(jié) 語
計算機(jī)網(wǎng)絡(luò)的安全已越來越引起人們的關(guān)注,計算機(jī)網(wǎng)絡(luò)安全問題,不僅是一個技術(shù)問題,更是一個責(zé)任意識問題。未來社會的發(fā)展離不開網(wǎng)絡(luò),因此,為保證計算機(jī)網(wǎng)絡(luò)的安全,應(yīng)采用各種可能的安全策略和應(yīng)急響應(yīng)技術(shù)。同時,,網(wǎng)絡(luò)管理員作為計算機(jī)網(wǎng)絡(luò)安全最直接的負(fù)責(zé)人也應(yīng)該建立起高度的責(zé)任意識,為建立一個良好的網(wǎng)絡(luò)環(huán)境而努力。
參考文獻(xiàn)
[1] 趙紅言,許柯,許杰,趙緒民.計算機(jī)網(wǎng)絡(luò)安全及防范技術(shù)[J].陜西師范大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2007,(2).
[2] 夏丹丹,李剛,程夢夢,于亮.入侵檢測系統(tǒng)綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,(1).
關(guān)鍵詞:網(wǎng)絡(luò)安全;安全管理;安全技術(shù);防火墻;機(jī)房
隨著計算機(jī)網(wǎng)絡(luò)的逐步普及,計算機(jī)的網(wǎng)絡(luò)安全已成為計算機(jī)網(wǎng)絡(luò)成長路上的焦點,氣象局機(jī)房計算機(jī)網(wǎng)絡(luò)所存儲、傳輸、處理的信息的重要性較高,可能會受到網(wǎng)絡(luò)上各種各樣不安全因素的侵?jǐn)_,造成數(shù)據(jù)丟失、篡改、惡意增加、計算機(jī)系統(tǒng)無法正常工作乃至全面癱瘓的后果,嚴(yán)重破壞機(jī)房工作,造成經(jīng)濟(jì)損失。因此,我們應(yīng)該重視機(jī)房計算機(jī)網(wǎng)絡(luò)安全問題,通過各種計算機(jī)網(wǎng)絡(luò)安全技術(shù),保護(hù)在通信網(wǎng)絡(luò)中傳輸交換和存儲的信息的完整性、機(jī)密性和真實性,及早做好防護(hù)措施,盡量減少損失。
一、機(jī)房計算機(jī)網(wǎng)絡(luò)安全管理
1、物理安全物理安全是保證計算機(jī)信息系統(tǒng)中各種設(shè)備安全的前提。物理安全是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施等。避免遭到地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞。
(1)場地安全要求氣象信息中心機(jī)房是氣象局業(yè)務(wù)運(yùn)行的心臟,對出入的內(nèi)、外部人員應(yīng)嚴(yán)格控制,限制非相關(guān)人員進(jìn)入機(jī)房。在中心機(jī)房的設(shè)計上,要考慮減少無關(guān)人員進(jìn)入機(jī)房的機(jī)會,在整座辦公樓中,中心機(jī)房最好不要建在比較潮濕的底層和易受侵入的頂層。
(2)防盜與防火機(jī)房應(yīng)采取比其它部門更嚴(yán)密的防盜措施,除加固門窗外,可安裝視頻監(jiān)視系統(tǒng)。防火方面,主要措施有安全隔離、安裝火災(zāi)報警系統(tǒng)、裝備專用滅火器、滅火工具及輔助設(shè)備如應(yīng)急燈等。要嚴(yán)格執(zhí)行機(jī)房環(huán)境和設(shè)備維護(hù)的各項規(guī)章制度,加強(qiáng)對火災(zāi)隱患部位的檢查,制定滅火應(yīng)急計劃并對所屬人員進(jìn)行培訓(xùn)。
(3)電源與接地電源是計算機(jī)系統(tǒng)正常工作的重要因素。機(jī)房內(nèi)的計算機(jī)系統(tǒng)都應(yīng)接插在具有保護(hù)裝置的不間斷電源設(shè)備上,防止電源中斷、電壓瞬變、沖擊等異常狀況,避免因電造成的服務(wù)器損壞。
2、網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理體系構(gòu)建是以安全策略為核心,以安全技術(shù)作為支撐,以安全管理作為落實手段,完善安全體系賴以生存的大環(huán)境。其目標(biāo)是確保計算機(jī)網(wǎng)絡(luò)的持續(xù)正常運(yùn)行,并在計算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行出現(xiàn)異常現(xiàn)象時能及時響應(yīng)和排除故障。
(1)建立嚴(yán)格制度。制訂網(wǎng)絡(luò)建設(shè)方案、機(jī)房管理制度、各類人員職責(zé)分工、安全保密規(guī)定、口令管理制度、網(wǎng)絡(luò)安全指南、用戶上網(wǎng)使用手冊、系統(tǒng)操作規(guī)程、應(yīng)急響應(yīng)方案、安全防護(hù)記錄一系列的制度用以保證網(wǎng)絡(luò)的核心部門高安全、高可靠地運(yùn)作。
從內(nèi)到外,層層落實,動態(tài)管理,適應(yīng)新的網(wǎng)絡(luò)需求,如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展,調(diào)整網(wǎng)絡(luò)的安全管理策略。
(2) 加強(qiáng)網(wǎng)絡(luò)技術(shù)的培訓(xùn)。網(wǎng)絡(luò)安全是一門綜合性的技術(shù),網(wǎng)絡(luò)管理人員必須不斷地學(xué)習(xí)新的網(wǎng)絡(luò)知識,掌握新的網(wǎng)絡(luò)產(chǎn)品的功能,了解網(wǎng)絡(luò)病毒、密碼攻擊、分組、IP欺騙、拒絕服務(wù)、端口攻擊等多樣化的攻擊手段,才能更好地管理好網(wǎng)絡(luò)。
(3) 加強(qiáng)用戶的安全意識。網(wǎng)絡(luò)安全最大的威脅是網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)安全知識的缺乏,必須加強(qiáng)用戶的安全意識,引導(dǎo)用戶自覺安裝防病毒軟件,打補(bǔ)丁,自動更新操作系統(tǒng),對不熟悉的軟件不要輕易安裝。
所以,安全管理貫穿整個安全防范體系,是安全防范體系的核心,代表了安全防范體系中人的因素。
安全管理更主要的是對安全技術(shù)和安全策略的管理。用戶的安全意識是信息系統(tǒng)是否安全的決定因素,除了在網(wǎng)絡(luò)中心部署先進(jìn)的網(wǎng)絡(luò)結(jié)構(gòu)和功能強(qiáng)大的安全工具外,從制度上、應(yīng)用上和技術(shù)上加強(qiáng)網(wǎng)絡(luò)安全管理。構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系,是現(xiàn)代化機(jī)房的必然趨勢,圖1為一個完整的體系架構(gòu)。
二、相關(guān)網(wǎng)絡(luò)安全技術(shù)
1、 防火墻技術(shù)網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù),究竟應(yīng)該在哪些地方部署防火墻是一個很重要的問題。
首先,應(yīng)該安裝防火墻的位置是內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵;其次,如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng),則應(yīng)該在防火墻之下設(shè)置網(wǎng)關(guān)級防毒。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。通常,防火墻的安全性問題對用戶來說,保守的方法是選擇一個通過多家權(quán)威認(rèn)證機(jī)構(gòu)測試的產(chǎn)品。其二是使用不當(dāng)。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。
2、人侵檢測系統(tǒng)采用入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在人侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達(dá)到限制這些活動,以保護(hù)系統(tǒng)的安全。在外聯(lián)網(wǎng)絡(luò)中采用人侵檢測技術(shù),最好采用混合入侵檢測,在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng),則會構(gòu)架成一套完整立體的主動防御體系。
關(guān)鍵詞:金融服務(wù);外匯管理;網(wǎng)絡(luò)安全
中圖分類號:F830.92 文獻(xiàn)標(biāo)識碼:B 文章編號:1674-0017-2016(12)-0098-03
一、引言
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。
近年來,利用網(wǎng)絡(luò)漏洞實施網(wǎng)絡(luò)攻擊,造成金融信息泄漏、金融服務(wù)中斷的事件屢見不鮮。2015年我國金融行業(yè)遭受網(wǎng)站仿冒頁面10.62萬余個,占總量的59%,發(fā)生數(shù)據(jù)外泄事件33起,被盜數(shù)據(jù)77605972項,遭遇1Gbit/s以上的DDos(分布式拒絕服務(wù))攻擊近38萬次,金融領(lǐng)域已成為網(wǎng)絡(luò)安全防護(hù)的重點。
基層外匯局承擔(dān)著轄區(qū)外匯管理改革和相關(guān)外匯服務(wù)的職能,信息化應(yīng)用和網(wǎng)絡(luò)規(guī)劃較早,現(xiàn)所有業(yè)務(wù)受理、數(shù)據(jù)監(jiān)測統(tǒng)計都依托系統(tǒng)和網(wǎng)絡(luò)開展。近年來,系統(tǒng)經(jīng)過了多次升級完善,但網(wǎng)絡(luò)未進(jìn)行較大改進(jìn),已經(jīng)無法滿足新時期網(wǎng)絡(luò)安全的要求,急需采取措施防范風(fēng)險。本文通過分析當(dāng)前基層骨干網(wǎng)絡(luò)存在的安全問題,研究安全網(wǎng)絡(luò)應(yīng)具有的特性,提出安全防控的建議,旨在建立安全可信的網(wǎng)絡(luò)環(huán)境,確保基礎(chǔ)網(wǎng)絡(luò)和關(guān)鍵信息系y的安全運(yùn)行。考慮到網(wǎng)絡(luò)自有信息的敏感性,本文對網(wǎng)絡(luò)產(chǎn)品型號、參數(shù)配置等信息進(jìn)行了屏蔽。
二、基層骨干網(wǎng)絡(luò)基本情況
(一)基層骨干網(wǎng)絡(luò)的定義及作用。基層骨干網(wǎng)絡(luò)是指國家外匯管理局(以下簡稱“總局”)和各省分局之間,通過租用運(yùn)營商線路,形成的獨(dú)立的、專用的網(wǎng)絡(luò)。區(qū)別于公共互聯(lián)網(wǎng)以及人民銀行分行到總行、分行到中心支行的網(wǎng)絡(luò),專門承載外匯局各業(yè)務(wù)系統(tǒng)和內(nèi)部門戶的基礎(chǔ)支撐網(wǎng)絡(luò)。骨干網(wǎng)絡(luò)涵蓋終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備和運(yùn)營商線路等硬件,各類操作系統(tǒng)、數(shù)據(jù)庫、中間件、安全防護(hù)等軟件,獨(dú)立IP地址、權(quán)限管理和運(yùn)維應(yīng)急手冊等相關(guān)制度。
(二)基層骨干網(wǎng)絡(luò)的歷史和現(xiàn)狀。20世紀(jì)90年代我國互聯(lián)網(wǎng)應(yīng)用初期,分局與總局之間采用撥號上網(wǎng)的方式互聯(lián),2000年分局申請了與總局的幀中繼專線。
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和外匯局信息化要求的提高,2003年底,為了實現(xiàn)骨干網(wǎng)全網(wǎng)提速,支持新興的網(wǎng)絡(luò)應(yīng)用,全面提高網(wǎng)絡(luò)可用性、穩(wěn)定性和可靠性,在總局的統(tǒng)一部署下,對分局骨干網(wǎng)絡(luò)進(jìn)行了擴(kuò)容改造。改造后的骨干網(wǎng)繼續(xù)采用原有的星型拓?fù)浣Y(jié)構(gòu),分局增加了1臺路由器,通過租用電信運(yùn)營商2條專用鏈路,與總局核心路由器直連。制定了分局IP地址管理規(guī)范,和總局上聯(lián)的路由設(shè)備及分局服務(wù)器使用外匯局網(wǎng)段的IP地址,PC終端部分保留外匯局的IP地址,作為人民銀行的一個虛擬網(wǎng)絡(luò)管理,其余終端使用人民銀行的局域網(wǎng)絡(luò)和網(wǎng)段的IP地址,并通過地址映射訪問分局服務(wù)器和總局網(wǎng)絡(luò)。外匯局基層骨干網(wǎng)絡(luò)雛形基本形成。
2008年為進(jìn)一步優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),總局為分局骨干網(wǎng)絡(luò)新增了2臺交換機(jī)和1臺路由器。將原來與總局連接的2條捆綁2M鏈路拆分,將其中1條連接到新增的路由器上,重新部署動態(tài)路由協(xié)議,使得拆分后的2條鏈路實現(xiàn)熱備和負(fù)載均衡。2臺新增交換機(jī)通過堆疊方式互聯(lián),并分別與原有的及新增的路由器連接,另一邊連接分局內(nèi)部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)方面,分局與轄內(nèi)中心支局使用人民銀行廣域網(wǎng)連接,與轄內(nèi)商業(yè)銀行使用人民銀行金融城域網(wǎng)實現(xiàn)互聯(lián)。至此基層骨干網(wǎng)絡(luò)構(gòu)建完成,一直沿用至今。
三、基層骨干網(wǎng)絡(luò)安全特性研究
(一)總體來說,安全的網(wǎng)絡(luò)要遵循以下幾個原則。1.平衡分析原則。絕對安全的網(wǎng)絡(luò)是不存在的,也沒有存在的必要。在設(shè)計網(wǎng)絡(luò)時,要綜合考慮需求、風(fēng)險和實現(xiàn)代價這三方面的因素,平衡三者之間的關(guān)系,確定最優(yōu)的方案。
2.網(wǎng)絡(luò)安全原則。網(wǎng)絡(luò)安全體系應(yīng)當(dāng)包括安全防護(hù)、安全監(jiān)測和安全恢復(fù)三個方面,能對各類安全威脅進(jìn)行及時防護(hù),第一時間發(fā)現(xiàn)并阻止對系統(tǒng)造成的攻擊和在安全措施失效時及時進(jìn)行應(yīng)急處置和內(nèi)容恢復(fù),減少帶來的損失。
3.高可用性原則。網(wǎng)絡(luò)是基礎(chǔ)環(huán)境,通過其上運(yùn)行的各類系統(tǒng)和應(yīng)用實現(xiàn)價值。因此網(wǎng)絡(luò)要滿足應(yīng)用提出的穩(wěn)定性、可靠性和方便性等要求。
4.可發(fā)展性原則。整體規(guī)劃設(shè)計要綜合考慮網(wǎng)絡(luò)規(guī)模的升級改造,網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化調(diào)整,要求網(wǎng)絡(luò)能適應(yīng)規(guī)模及安全需求在一定時間和范圍的變化,具有可發(fā)展性,容易進(jìn)行調(diào)整和升級改造。
安全的基層骨干網(wǎng)絡(luò)應(yīng)通過應(yīng)用當(dāng)前最新的網(wǎng)絡(luò)技術(shù)和產(chǎn)品,設(shè)計合理的網(wǎng)絡(luò)結(jié)構(gòu),滿足當(dāng)前外匯業(yè)務(wù)系統(tǒng)需求并預(yù)留足夠的可擴(kuò)展性,在兼顧方便高效的同時,符合網(wǎng)絡(luò)信息安全的要求。
安全的基層骨干網(wǎng)絡(luò)要具備以下特性。
1.網(wǎng)絡(luò)結(jié)構(gòu)合理,功能區(qū)域明確,網(wǎng)間邊界清晰。
2.采用必要的線路和設(shè)備冗余,避免單點故障,提高整體網(wǎng)絡(luò)的可用性。
3.對網(wǎng)絡(luò)中的IP地址進(jìn)行合理規(guī)劃,采用訪問控制和身份認(rèn)證等手段,防止未經(jīng)授權(quán)的用戶和終端接入內(nèi)部網(wǎng)絡(luò)。
4.構(gòu)建運(yùn)行維護(hù)及應(yīng)急響應(yīng)等管理機(jī)制。
四、基層骨干網(wǎng)絡(luò)安全防控建議
(一)按功能分區(qū)優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。為了確保合理的網(wǎng)絡(luò)結(jié)構(gòu),骨干網(wǎng)絡(luò)應(yīng)按照功能劃分為三個區(qū)域。骨干網(wǎng)絡(luò)上聯(lián)區(qū)域(以下簡稱“上聯(lián)區(qū)域”)、分局局域網(wǎng)服務(wù)器區(qū)域(以下簡稱“服務(wù)器區(qū)域”)和分局局域網(wǎng)終端區(qū)域(以下簡稱“終端區(qū)域”)。所有區(qū)域采用設(shè)備冗余和鏈路冗余的方法,防止發(fā)生單點故障。最外層部署核心路由器,一端通過運(yùn)營商線路和總局網(wǎng)絡(luò)相連,另一端通過防火墻和里層核心交換機(jī)相連接,核心交換機(jī)的另一端分別與分局局域網(wǎng)中的服務(wù)器區(qū)域和終端區(qū)域相連。
(二)拆分鏈路,調(diào)整與總局互聯(lián)方式。總局兩地三中心廣域網(wǎng)的主體結(jié)構(gòu),采用光傳輸線路,分別是生產(chǎn)中心與同城備份中心基于裸光纖的鏈路、生產(chǎn)中心與災(zāi)備中心基于SDH的鏈路、災(zāi)備中心與同城備份中心基于SDH的鏈路,形成底層數(shù)據(jù)的光傳輸環(huán)狀主干網(wǎng)絡(luò)。
基層骨干網(wǎng)絡(luò)與總局的互聯(lián)方式需要調(diào)整,首先由原來租用單一線路運(yùn)營商的2條SDH專用鏈路改為租用兩家線路運(yùn)營商各1條SDH專用鏈路,提高線路可用性。其次調(diào)整互聯(lián)目的地,原來2條線路均接入生產(chǎn)中心,新的骨干網(wǎng)絡(luò)1條線路接入生產(chǎn)中心,另1條線路連接災(zāi)備中心,兩條鏈路互為備份。當(dāng)連接生產(chǎn)中心的線路出現(xiàn)故障時,分局網(wǎng)絡(luò)通過連接災(zāi)備中心的線路,經(jīng)過總局環(huán)狀廣域網(wǎng)與生產(chǎn)中心連通。該調(diào)整,既保證了與生產(chǎn)中心的鏈路冗余,又實現(xiàn)了與災(zāi)備中心的互聯(lián),在滿足安全要求的同時,節(jié)約了成本。
(三)從管理和技術(shù)入手,構(gòu)建網(wǎng)絡(luò)安全。安全的網(wǎng)絡(luò)要擁有合理的網(wǎng)絡(luò)結(jié)構(gòu),有效的安全防護(hù)策略和完備的日常管理。基層骨干網(wǎng)絡(luò)主要從結(jié)構(gòu)優(yōu)化、身份認(rèn)證、訪問控制、杜絕單點故障、安全產(chǎn)品選擇和運(yùn)維保障等方面構(gòu)建安全的網(wǎng)絡(luò)。
結(jié)構(gòu)優(yōu)化:基層骨干網(wǎng)絡(luò)按照功能進(jìn)行分區(qū),與人民銀行內(nèi)部網(wǎng)絡(luò)實現(xiàn)分離,分局終端統(tǒng)一部署在人民銀行網(wǎng)段,網(wǎng)絡(luò)結(jié)構(gòu)清晰明確,便于安全防護(hù)。
身份認(rèn)證:采用固定IP地址對接入網(wǎng)絡(luò)中的終端進(jìn)行身份標(biāo)識,通過MAC物理地址綁定的功能實現(xiàn)身份認(rèn)證,當(dāng)終端發(fā)起上網(wǎng)請求時,首先判斷其IP地址和MAC物理地址是否匹配,匹配的情況下,終端才被容許接入網(wǎng)絡(luò)。同時,關(guān)閉交換機(jī)中不使用的端口,防止其它非法計算機(jī)和用戶接入網(wǎng)絡(luò)。
訪問控制:對網(wǎng)絡(luò)中的IP地址進(jìn)行分組,根據(jù)訪問需要,制定組與組之間的訪問策略,容許滿足條件的訪問,防止條件外的非法訪問,禁止各分局之間的直接訪問。同時關(guān)閉網(wǎng)絡(luò)設(shè)備的PING、TELNET、FTP、SNMP等高危服務(wù),嚴(yán)禁協(xié)議數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)以外的數(shù)據(jù)在網(wǎng)絡(luò)中傳遞。
杜絕單點故障:基層骨干網(wǎng)絡(luò)應(yīng)采取雙機(jī)熱備模式,即網(wǎng)絡(luò)中配置雙路由器、雙通信鏈路、多交換機(jī)和雙防火墻。每個節(jié)點由原來單一的設(shè)備改造為兩臺同型號設(shè)備,分別定位為主備設(shè)備,主備設(shè)備間要實現(xiàn)互聯(lián),主設(shè)備發(fā)生故障時,備設(shè)備要在規(guī)定時間內(nèi)接管主設(shè)備的任務(wù),提供不間斷的網(wǎng)絡(luò)服務(wù)。
安全產(chǎn)品選擇:基層骨干網(wǎng)絡(luò)在關(guān)鍵設(shè)備上均應(yīng)采用我國自主研發(fā)產(chǎn)品取代現(xiàn)有的國外設(shè)備。
運(yùn)維保障:構(gòu)建運(yùn)維保障長效機(jī)制,從管理的角度實現(xiàn)網(wǎng)絡(luò)安全。編制《分局信息安全管理辦法》、《系統(tǒng)運(yùn)行維護(hù)制度》、《應(yīng)急預(yù)案》、《網(wǎng)絡(luò)設(shè)備用戶手冊》等文檔。內(nèi)容涵蓋網(wǎng)絡(luò)日常巡檢、安全風(fēng)險評估和應(yīng)急響應(yīng)等,具有詳細(xì)的操作流程和實施步驟,并在日常工作中嚴(yán)格執(zhí)行。
參考文獻(xiàn)
[1]李偉.網(wǎng)絡(luò)安全實用技術(shù)標(biāo)準(zhǔn)教程[M].北京:清華大學(xué)出版社,2005。
[2]朱萍.計算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].科技資訊.2016,(2):29-30。
[3]王世偉,曹磊,羅天雨.再論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全.中國圖書館學(xué)報,2016,(4):4-28。
[4]楊晨.信息時代下計算機(jī)網(wǎng)絡(luò)安全技術(shù)初探[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014,(1):108-109。
[5]宋欣蔚.計算機(jī)網(wǎng)絡(luò)可靠性研究[J].信息與電腦:理論版,2016,(6):158-159。
The Study on the Backbone Network of SAFE Branches
Based on the Perspective of Security
WANG Mengyang
(Xi’an Branch PBC,Xi’an Shaanxi 710075)
【關(guān)鍵詞】動態(tài)自治 網(wǎng)絡(luò)安全管理
計算機(jī)技術(shù)的不斷更新帶動了網(wǎng)絡(luò)的發(fā)展壯大,如今社會各行各業(yè)都和網(wǎng)絡(luò)接軌,帶來了信息通訊的極大便利,也帶來了相當(dāng)嚴(yán)重的安全隱患。利用計算機(jī)和網(wǎng)絡(luò)實施犯罪的行為不斷增多,給個人乃至集體都造成了重大的損失。在當(dāng)前的網(wǎng)絡(luò)安全管理體系下,只能在某種程度上解決一些常見的網(wǎng)絡(luò)防御問題,對一些有針對性的問題甚至攻擊,還難以應(yīng)對。本文所闡述的構(gòu)建動態(tài)自治的網(wǎng)絡(luò)安全管理體系,是一種可以滿足了全網(wǎng)安全要求并且具有動態(tài)的可變化的特點的全新體系,可針對實際情況進(jìn)行有效的應(yīng)對,將網(wǎng)絡(luò)信息進(jìn)行集中管理,保證能夠及時響應(yīng)并處理安全管理事件。
1 動態(tài)自治網(wǎng)絡(luò)安全管理體系的定義
動態(tài)自治網(wǎng)絡(luò)安全管理體系的實質(zhì)就是構(gòu)建一種動態(tài)的,能夠靈活自主應(yīng)對安全問題的網(wǎng)絡(luò)。它之所以具有動態(tài)性是因為當(dāng)該體系接入網(wǎng)絡(luò)系統(tǒng)后,能夠自動變?yōu)檎麄€網(wǎng)絡(luò)的一部分。它的安全管理系統(tǒng)是將處于同一個網(wǎng)絡(luò)管理系統(tǒng)管理下的所有安全設(shè)備和節(jié)點集合起來統(tǒng)一管理。制定一致的策略以保證所有設(shè)備都能夠遵循并實施。動態(tài)自治網(wǎng)絡(luò)只是一個相對的概念,它的動態(tài)性是相對于整個網(wǎng)絡(luò)來說的,而它的自治性體現(xiàn)在整個系統(tǒng)的設(shè)備和節(jié)點與網(wǎng)絡(luò)安全管理系統(tǒng)相互聯(lián)系并一起構(gòu)成了一個可控的網(wǎng)絡(luò)。
2 構(gòu)建動態(tài)自治的網(wǎng)絡(luò)安全管理的必要性
科學(xué)技術(shù)的高速發(fā)展帶動了計算機(jī)的普及應(yīng)用和網(wǎng)絡(luò)的更新?lián)Q代,人們的觀念也在隨之不斷變化。因此只是依靠一種單純的靜態(tài)網(wǎng)絡(luò)安全管理系統(tǒng),已經(jīng)無法滿足要求越來越苛刻的用戶們了。從主觀方面來說,人們需要一個更加完善的能夠進(jìn)行自治的動態(tài)網(wǎng)絡(luò)安全管理體系,來幫助彌補(bǔ)操作系統(tǒng)的不足以及保護(hù)用戶的隱私信息。從客觀角度來說,目前的網(wǎng)絡(luò)技術(shù)和計算機(jī)技術(shù)所打下的基礎(chǔ)已經(jīng)達(dá)到一定的程度,適合建立起一種動態(tài)自治的網(wǎng)絡(luò)安全管理構(gòu)架。因此,動態(tài)自治的網(wǎng)絡(luò)安全管理體系應(yīng)運(yùn)而生。這種體系與過去的傳統(tǒng)網(wǎng)絡(luò)安全管理系統(tǒng)相比,具有處理問題更加靈活、收集信息更加全面、相對于主操作系統(tǒng)更加獨(dú)立的諸多特點。它還具有廣泛應(yīng)用性,能夠很好地適用于多種不同類型的網(wǎng)絡(luò);它的實用價值極高,對于不同用戶的各種要求都能達(dá)到最大限度的滿足;同時它的安全性更有保障,因為它并不是依靠某個單一的軟件或獨(dú)立系統(tǒng)去進(jìn)行整個網(wǎng)絡(luò)的安全保障與日常維護(hù)。并且當(dāng)網(wǎng)絡(luò)安全出現(xiàn)問題時,它會立刻聯(lián)合主操作電腦,共同實施防御策略。動態(tài)自治的網(wǎng)絡(luò)安全管理體系要比平常的普通網(wǎng)絡(luò)具有更多的優(yōu)越性,比如它的動態(tài)性主動防御的能力;出現(xiàn)安全問題時,能夠快速的調(diào)動整個網(wǎng)絡(luò)的資源,表現(xiàn)出了非凡的聯(lián)動性和積極的防御性。動態(tài)自治的網(wǎng)絡(luò)安全管理體系還能對內(nèi)部所得到的信息進(jìn)行有針對性的分級分層次的保護(hù),真正地實現(xiàn)了獨(dú)立自主的網(wǎng)絡(luò)安全體系,不再盲目依賴于任何一種單一的殺毒軟件或系統(tǒng)防御。這也是它為何更能滿足人們對于實現(xiàn)安全快速和綠色健康網(wǎng)絡(luò)的要求的原因。
3 影響網(wǎng)絡(luò)安全管理的因素
(1)一些未經(jīng)過授權(quán)的非法訪問,有些甚至?xí)俺浜戏ㄓ脩魜磉M(jìn)行不正當(dāng)?shù)脑L問。未經(jīng)授權(quán)就是超越了自身權(quán)限,不正當(dāng)?shù)刈x取網(wǎng)絡(luò)公共信息甚至是私人信息;冒充合法用戶則是利用欺騙的手段來獲取正當(dāng)用戶的使用權(quán)限,進(jìn)而非法侵害用戶自身及他人的權(quán)益,進(jìn)而占用甚至搶奪更多的網(wǎng)絡(luò)資源,這是一種嚴(yán)重的違法行為。
(2)有目的有計劃地對一些數(shù)據(jù)進(jìn)行刪改甚至破壞,有時會未經(jīng)系統(tǒng)統(tǒng)一就進(jìn)行流量分析。刪改和破壞數(shù)據(jù)是以蓄意破壞為目的,將所涉及到的信息進(jìn)行隨意修改和刪除,會給用戶造成極大的損失;流量分析則是在未經(jīng)系統(tǒng)授權(quán)或者同意的情況下,自行分析觀察網(wǎng)絡(luò)的信息流,從中篩取有用的信息,進(jìn)而非法獲取利益。
(3)網(wǎng)絡(luò)接入遭到拒絕和病毒木馬的惡意侵入。當(dāng)用戶擁有正常訪問權(quán),卻在訪問時未能獲取應(yīng)有的信息資源,一般被稱為網(wǎng)絡(luò)接入遭到拒絕,是用戶自己被網(wǎng)絡(luò)拒絕服務(wù);而病毒木馬的惡意侵入是由于黑客的蓄意破壞,人為植入病毒或者木馬程序,導(dǎo)致用戶的私人信息泄密甚至丟失,整個計算機(jī)系統(tǒng)也會因中毒而無法正常工作。
4 動態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)
(1)要從全網(wǎng)全局的宏觀角度出發(fā)考慮,對整個網(wǎng)絡(luò)的安全狀況進(jìn)行詳細(xì)正確的分析評估,進(jìn)而對現(xiàn)有的網(wǎng)絡(luò)資源進(jìn)行有效地整合,這樣才能有針對性地實施網(wǎng)絡(luò)安全防御措施。同時通過制定相對應(yīng)的響應(yīng)策略以使網(wǎng)絡(luò)安全管理系統(tǒng)能夠自動地完成對網(wǎng)絡(luò)內(nèi)一切設(shè)備資源的響應(yīng)與安全問題的處理。
(2)要以高度的自治方式來保證網(wǎng)絡(luò)的自主性和開放性,真正實現(xiàn)網(wǎng)絡(luò)安全管理系統(tǒng)的自我完善。只有當(dāng)網(wǎng)絡(luò)系統(tǒng)具有很高的安全性時,才能有效保證任何接入網(wǎng)絡(luò)的信息和資源都會受到切實的保護(hù)。
(3)對實施接入控制的策略進(jìn)行詳細(xì)有效的分類管理,既要保證所構(gòu)建的網(wǎng)絡(luò)安全管理體系具有自治性和動態(tài)性,又要實現(xiàn)全網(wǎng)絡(luò)的擴(kuò)展管理,能夠保證最大限度地連接網(wǎng)絡(luò)內(nèi)的一切設(shè)備資源,同時通過管理接入控制的方式來確保網(wǎng)絡(luò)安全的方法也為增加網(wǎng)絡(luò)安全管理體系的動態(tài)性提供了必要的幫助。
5 動態(tài)自治的網(wǎng)絡(luò)安全管理體系的基本模型
建立動態(tài)自治的網(wǎng)絡(luò)安全管理模型是為了保證所有接入網(wǎng)絡(luò)的設(shè)備和資源的安全性,用戶在接入網(wǎng)絡(luò)的過程中,其信息和資源能夠得到一定的安全保證。通過使用類似的系統(tǒng)模型,規(guī)避接入網(wǎng)絡(luò)的過程中可能帶來的風(fēng)險,進(jìn)一步確保整體網(wǎng)絡(luò)的安全可靠性。常見的網(wǎng)絡(luò)安全管理模型是一個動態(tài)的自治的網(wǎng)絡(luò),它是多種不同的網(wǎng)絡(luò)產(chǎn)品的集合體,通過內(nèi)部協(xié)議以相互協(xié)調(diào),共同構(gòu)成虛擬的網(wǎng)絡(luò)環(huán)境。盡管內(nèi)部成分復(fù)雜,但也要對其自身的安全策略和安全分析進(jìn)行統(tǒng)一管理。同時,從全局宏觀角度出發(fā),為了使網(wǎng)絡(luò)內(nèi)的相關(guān)設(shè)備能夠?qū)崿F(xiàn)統(tǒng)一管理,統(tǒng)一配置,就要通過自治來使得網(wǎng)絡(luò)按照既定的策略進(jìn)行工作。自治還包括網(wǎng)絡(luò)應(yīng)急預(yù)案和緊急響應(yīng)處理。經(jīng)過以上的一系列的管理流程,對整個網(wǎng)絡(luò)內(nèi)的資源設(shè)備進(jìn)行統(tǒng)一配置,最終使網(wǎng)絡(luò)系統(tǒng)的安全性大大提高。然后在保證安全性的基礎(chǔ)上,對網(wǎng)絡(luò)內(nèi)的安全設(shè)備和相關(guān)系統(tǒng)進(jìn)行集中管理。這是為了在配置相關(guān)安全節(jié)點的參數(shù)時,能夠使資源的利用率達(dá)到最大,同時也有利于網(wǎng)絡(luò)自身的更新配置,以達(dá)到動態(tài)的管理模式。另外,網(wǎng)絡(luò)中的應(yīng)急響應(yīng)流程應(yīng)該具有一致性,它主要是指網(wǎng)絡(luò)中的安全事故處理流程要與響應(yīng)程序的流程一致,以保證處理問題的及時性和有效性。
動態(tài)自治的網(wǎng)絡(luò)安全管理體系模型還要滿足以下三個方面的要求:
(1)網(wǎng)絡(luò)體系要具備高度的擴(kuò)展性,建立網(wǎng)絡(luò)架構(gòu)以保證能對各種安全資源進(jìn)行統(tǒng)一的管理。要及時了解市場上最新的安全技術(shù)和設(shè)備,在建立時為其保留相應(yīng)的接口。這樣有利于網(wǎng)絡(luò)自身的更新配置,進(jìn)一步保證網(wǎng)絡(luò)的實時性。
(2)網(wǎng)絡(luò)體系應(yīng)具有高度的可控性,建立網(wǎng)絡(luò)架構(gòu)不僅要對接入網(wǎng)絡(luò)內(nèi)的所有設(shè)備進(jìn)行統(tǒng)一配置,同時還要具有信息收集和資源優(yōu)化的能力。對于網(wǎng)絡(luò)中安全設(shè)備在運(yùn)行過程中產(chǎn)生的一系列的配置信息及安全信息等數(shù)據(jù),要及時保存并進(jìn)行分析。這樣也有利于用戶全面地掌握網(wǎng)絡(luò)體系的安全狀況。
(3)網(wǎng)絡(luò)體系應(yīng)擁有良好的操作性,保證網(wǎng)絡(luò)在其應(yīng)用的范圍內(nèi),實現(xiàn)相關(guān)設(shè)備的安全維護(hù)和配置的綜合管理。系統(tǒng)的動態(tài)自治安全管理模型可以分成狀態(tài)監(jiān)控、系統(tǒng)管理、策略管理等三個部分。其中策略管理以及系統(tǒng)管理主要是作為系統(tǒng)的支持部分,狀態(tài)監(jiān)控作為了應(yīng)用系統(tǒng)的部分 。
6 總結(jié)
隨著科學(xué)技術(shù)的發(fā)展和計算機(jī)的普及,互聯(lián)網(wǎng)技術(shù)已經(jīng)融入了千家萬戶。隨之產(chǎn)生的網(wǎng)絡(luò)安全和信息保護(hù)等問題越來越受到人們的重視。動態(tài)自治的網(wǎng)絡(luò)安全管理體系作為一種新的網(wǎng)絡(luò)安全管理技術(shù),其動態(tài)自治的網(wǎng)絡(luò)安全管理方式能夠從全局角度出發(fā),對整個網(wǎng)絡(luò)進(jìn)行分析和評估,有效地管理網(wǎng)絡(luò),將安全風(fēng)險降低至最小,確保用戶的信息和數(shù)據(jù)能夠得到更好的保護(hù)。動態(tài)自治的網(wǎng)絡(luò)安全管理系統(tǒng)重點用于信息數(shù)據(jù)的處理,通過對動態(tài)控制機(jī)制的接入,安全策略重新的部署和響應(yīng),使系統(tǒng)有效地避免了更多的風(fēng)險。
參考文獻(xiàn)
[1]吳多萬.動態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)論析[J].計算機(jī)光盤軟件與應(yīng)用.2012,(6).
[2]胡琳.基于動態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)論析[J].煤炭技術(shù).2013,(10).
[3]周毅超.動態(tài)自治的網(wǎng)絡(luò)安全管理構(gòu)架論析[J].科學(xué)與財富.2011,(9).
[4]劉蘭.一種動態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)[J].廣東技術(shù)師范學(xué)院學(xué)報.2010,(3).
關(guān)鍵詞:互聯(lián)網(wǎng)金融 信息安全 信息技術(shù)風(fēng)險 防控措施
中圖分類號:F830.2 文獻(xiàn)標(biāo)識碼:A
文章編號:1004-4914(2015)09-175-01
我國互聯(lián)網(wǎng)信息安全形勢嚴(yán)峻,特別是大數(shù)據(jù)和云計算等新技術(shù)的發(fā)展,使互聯(lián)網(wǎng)金融業(yè)務(wù)面臨更加嚴(yán)峻的挑戰(zhàn),支付寶漏洞、P2P平臺黑客攻擊、網(wǎng)銀木馬病毒等風(fēng)險事件頻發(fā),而當(dāng)前互聯(lián)網(wǎng)金融支撐保障體系的發(fā)展速度遠(yuǎn)遠(yuǎn)落后于互聯(lián)網(wǎng)金融業(yè)務(wù)運(yùn)營的發(fā)展,信息安全成為保障互聯(lián)網(wǎng)金融創(chuàng)新發(fā)展的重中之重。
一、互聯(lián)網(wǎng)金融面臨的信息技術(shù)風(fēng)險
互聯(lián)網(wǎng)金融是建立在互聯(lián)網(wǎng)大數(shù)據(jù)和云計算框架上的。互聯(lián)網(wǎng)金融的云計算(或稱金融云)是利用云計算的模型構(gòu)成原理,將各金融機(jī)構(gòu)的信息系統(tǒng)架構(gòu)轉(zhuǎn)移到端;或是利用互聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)中心互聯(lián)互通,形成高效的數(shù)據(jù)共享機(jī)制;或利用云計算服務(wù)提供商的云網(wǎng)絡(luò),將金融產(chǎn)品、新聞、服務(wù)到云網(wǎng)絡(luò)中,提升企業(yè)整體工作效率,優(yōu)化業(yè)務(wù)流程,降低運(yùn)營成本,為客戶提供更便捷的金融服務(wù)。但支撐互聯(lián)網(wǎng)金融的大數(shù)據(jù)、云計算等新技術(shù)發(fā)展還不成熟,云計算又是一個開放的網(wǎng)絡(luò)環(huán)境,安全機(jī)制尚不完善;同時,第三方支付、P2P等互聯(lián)網(wǎng)金融新業(yè)態(tài)還處于起步階段,安全管理水平較低。因此,互聯(lián)網(wǎng)在帶來金融創(chuàng)新的同時,也帶來了新的風(fēng)險。
1.數(shù)據(jù)安全問題。主要體現(xiàn)在三個方面,一是后臺數(shù)據(jù)庫安全問題。大數(shù)據(jù)由于擁有龐大的數(shù)據(jù)庫,一旦數(shù)據(jù)遭到竊取、泄露、非法篡改,將對個人隱私、客戶權(quán)益、人身安全構(gòu)成威脅,犯罪分子可以通過對大數(shù)據(jù)的收集分析,有機(jī)會獲得更精準(zhǔn)有用的信息,因此,后臺數(shù)據(jù)庫安全要解決核心數(shù)據(jù)資源面臨的“越權(quán)使用、權(quán)限濫用、權(quán)限盜用”等安全威脅;二是數(shù)據(jù)傳輸安全,數(shù)據(jù)在傳輸過程中數(shù)據(jù)傳輸安全;三是數(shù)據(jù)容災(zāi)備份,大數(shù)據(jù)對數(shù)據(jù)的容災(zāi)機(jī)制要求比較高。
2.網(wǎng)絡(luò)安全風(fēng)險。與傳統(tǒng)商業(yè)銀行有著獨(dú)立性很強(qiáng)的通信網(wǎng)絡(luò)不同,互聯(lián)網(wǎng)金融企業(yè)處于開放式的網(wǎng)絡(luò)通信系統(tǒng)中,TCP/IP協(xié)議自身的安全性面臨較大非議。另外,互聯(lián)網(wǎng)金融交易平臺需要在三個層面保障安全,安全環(huán)境檢測、安全控件的加載以及用戶賬戶口令認(rèn)證,但當(dāng)前的密鑰管理與加密技術(shù)并不完善,這就導(dǎo)致互聯(lián)網(wǎng)金融體系很容易遭受計算機(jī)病毒以及網(wǎng)絡(luò)黑客的攻擊。一旦遭遇黑客攻擊,互聯(lián)網(wǎng)金融的正常運(yùn)作會受到影響,危及消費(fèi)者的資金安全和個人信息安全。
3.安全應(yīng)急技術(shù)薄弱。在信息技術(shù)發(fā)展迅猛的當(dāng)下,互聯(lián)網(wǎng)金融企業(yè)自身所具備的安全故障恢復(fù)機(jī)制以及所需的安全保障技術(shù)儲備仍具有一定的局限性和薄弱性。面對Web應(yīng)用漏洞以及已經(jīng)造成的危害,企業(yè)自身的技術(shù)團(tuán)隊力量及資源不足以提供所需的安全響應(yīng)支撐,使得在出現(xiàn)突發(fā)安全事故的情況下,企業(yè)不能及時作出安全應(yīng)急響應(yīng),迅速進(jìn)行運(yùn)營恢復(fù),深入解決安全問題,從而最大程度的降低整體安全風(fēng)險及提高信息系統(tǒng)的安全等級。
二、互聯(lián)網(wǎng)金融信息安全風(fēng)險防控措施
針對上述風(fēng)險,保障互聯(lián)網(wǎng)金融信息安全應(yīng)當(dāng)從以下幾個方面入手。
1.嚴(yán)格遵照金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)要求加強(qiáng)信息系統(tǒng)安全防護(hù)。加強(qiáng)信息安全等級保護(hù)工作的組織領(lǐng)導(dǎo),認(rèn)真梳理信息系統(tǒng),科學(xué)合理定級,備案。按照不同等級采取相應(yīng)的安全防護(hù)措施,并制定合理的安全策略。適時進(jìn)行相關(guān)信息系統(tǒng)威脅分析和相互依賴分析,積極開展信息系統(tǒng)等級保護(hù)測評工作。通過制定配套的管理規(guī)范、技術(shù)標(biāo)準(zhǔn)、技術(shù)手段,以此來加強(qiáng)信息安全管理水平。
2.加強(qiáng)數(shù)據(jù)安全管理。可以通過數(shù)字證書等安全認(rèn)證機(jī)制和傳輸加密機(jī)制來保障數(shù)據(jù)傳輸安全。如采用SSL加密技術(shù)對數(shù)據(jù)進(jìn)行加密。SSL采用RC4、MD5以及RSA等加密算法,運(yùn)行在TCP/IP層之上、應(yīng)用層之下,為應(yīng)用程序提供加密數(shù)據(jù)通道,加密和解密需要發(fā)送方和接受方通過交換密鑰來實現(xiàn),因此,所傳送的數(shù)據(jù)不容易被網(wǎng)絡(luò)黑客截獲和解密,最大限度地保證了客戶信息的安全和資金流向的安全。而在數(shù)據(jù)備份方面,可以采用服務(wù)器集群及異地?zé)醾浼夹g(shù),保障平臺的高性能和高可用性。異地?zé)醾浼夹g(shù)是指硬盤放在磁盤陣列柜里面,兩臺服務(wù)器與磁盤陣列柜連接,共用里面的資料,當(dāng)一臺服務(wù)器出現(xiàn)問題時會自動切換到另一臺服務(wù)器,既確保了數(shù)據(jù)備份安全,又保障了使用效率。
3.加強(qiáng)網(wǎng)絡(luò)安全防護(hù)。在系統(tǒng)安全和數(shù)據(jù)通訊層面采取措施,通過網(wǎng)絡(luò)安全協(xié)議、電子簽名等,如建立反釣魚機(jī)制,解決電子支付安全問題,大力推廣可靠電子簽名應(yīng)用。將電子簽名向供應(yīng)鏈融資、網(wǎng)絡(luò)微貸、P2P、眾籌等其他業(yè)務(wù)形態(tài)中推廣;積極選用國產(chǎn)廠商自主可控的網(wǎng)絡(luò)信息系統(tǒng);部署網(wǎng)絡(luò)安全防護(hù)產(chǎn)品,如部署防火墻保障網(wǎng)絡(luò)邊界訪問安全,部署防病毒系統(tǒng)實時進(jìn)行病毒檢測與防護(hù);部署漏洞掃描系統(tǒng),主動進(jìn)行威脅、脆弱性分析與安全檢測;部署入侵檢測系統(tǒng),攔截黑客攻擊,加強(qiáng)防入侵能力,加固邊界安全等。
4.增強(qiáng)信息安全風(fēng)險防范意識,提升風(fēng)險事件應(yīng)急處置能力。始終將信息安全工作放在首位,進(jìn)一步完善風(fēng)險管理控制體系,定期對系統(tǒng)進(jìn)行風(fēng)險評估,加強(qiáng)防御手段。制定和不斷完善應(yīng)急預(yù)案,提高金融網(wǎng)絡(luò)系統(tǒng)應(yīng)對突發(fā)事件的能力,有效、快速、合理地應(yīng)對突發(fā)事件,最大程度地減少信息安全事件造成的損失和影響,保障金融業(yè)務(wù)的連續(xù)運(yùn)行。
參考文獻(xiàn):
[1] 姚文平.互聯(lián)網(wǎng)金融:即將到來的新金融時代[M].中信出版社,2014
[2] 周小娟.我國互聯(lián)網(wǎng)金融面臨的風(fēng)險及應(yīng)對措施[J].時代經(jīng)貿(mào),2013,22(1):111-113
[3] 陳子永.互聯(lián)網(wǎng)金融風(fēng)險與防范[J].商,2013,21(1):166-168
2007年新年伊始,在幾乎所有的IT廠商都在做著新年的規(guī)劃時,信息安全廠商趨勢科技最早打響了新年的第一槍――在風(fēng)景如畫的海濱城市廈門舉行2007年渠道大會。來自全國各地的400多名經(jīng)銷商、系統(tǒng)集成商在“沖浪藍(lán)海 服務(wù)領(lǐng)航”主題的感召下,開始了新年的探索之路。
“服務(wù)”形成差異化
“在網(wǎng)絡(luò)安全領(lǐng)域,產(chǎn)品同質(zhì)化現(xiàn)象日趨嚴(yán)重,這就是紅海,我們靠什么與競爭對手拉開差距?”趨勢科技中國區(qū)總經(jīng)理葉偉倫在主題演講這樣詢問在座的經(jīng)銷商。“只能靠服務(wù)。”他說,“服務(wù)將是未來網(wǎng)絡(luò)安全的主旋律,網(wǎng)絡(luò)安全已經(jīng)進(jìn)入一個新的階段, 它已不僅僅局限于殺毒,越來越多的安全問題需要安全廠商提供好的服務(wù)和咨詢。”
回顧2006年,中國網(wǎng)絡(luò)信息安全領(lǐng)域可謂風(fēng)云變換,病毒、木馬、僵尸網(wǎng)絡(luò)以及各種釣魚攻擊不斷花樣翻新,黑客的攻擊目標(biāo)也從單純的顯擺變得有目的性地盜取信息資源。幾乎所有的信息安全廠商都看到了這種新的變化,都推出了各種各樣的新技術(shù)和新產(chǎn)品,一時間,信息安全市場在技術(shù)尚未完全成熟的情況下,就迅速進(jìn)入了完全競爭的狀態(tài)。
葉偉倫認(rèn)為,網(wǎng)絡(luò)安全用戶需要廠商的三種能力:可信賴的品牌、在中國市場的長期投入以及良好的服務(wù)能力,這種服務(wù)不僅包括病毒爆發(fā)時的快速響應(yīng)服務(wù),還包括專家咨詢服務(wù),這是廠商打造差異化競爭優(yōu)勢的三個基本條件。
從2006年開始,趨勢科技宣布全面向服務(wù)轉(zhuǎn)型,推出了一系列服務(wù)產(chǎn)品。2006年9月,趨勢科技聯(lián)合國家計算機(jī)病毒應(yīng)急中心、上海電信、神州泰岳和網(wǎng)域科技,共同建立了趨勢科技MOC防病毒監(jiān)測中心,推出安全專家值守服務(wù),將“防毒外包”的安全服務(wù)理念傳遞給用戶。加上之前推出的中國區(qū)病毒中心(China TrendLabs)、技術(shù)支持中心和售前服務(wù)等幾個部分,形成了一套完整的服務(wù)體系。
服務(wù)差異化也為趨勢科技贏得了良好的業(yè)績:2006年,趨勢科技的硬件防毒墻產(chǎn)品NVW及網(wǎng)關(guān)類銷售收入增長超過了50%,軟件產(chǎn)品增長30%,而各種服務(wù)產(chǎn)品的增長更是超過了80%!
幫助渠道向服務(wù)轉(zhuǎn)型
“2007年,趨勢科技最主要的任務(wù),就是幫助渠道轉(zhuǎn)型,通過渠道,將安全服務(wù)傳遞到最終用戶中。”葉偉倫說。
