時間:2023-09-20 16:56:41
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全的解決方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
信息技術的發展為人類的進步提供了強大的動力。人們在享受信息技術帶來的巨大成就時,也會受到相應的安全威脅。“斯諾登事件”的曝光,讓人們突然發現,無論是企業、組織抑或是個體,幾乎都是裸地暴露在互聯網上。“震網”的曝光,讓那些已經實現物理隔離的工業控制系統管理者也感到陣陣寒意。信息安全越來越受到重視,在我國已經上升到國家安全的層面。
隨著越來越多傳統的安全產品和安全技術被廣泛應用,網絡安全級別也得到了相應提升。但是,新型安全事件日益增多,因此造成的經濟損失也呈上升之勢。其中,很重要的一個原因是傳統的安全產品側重于邊界接口的防御和終端安全的防護,而缺乏對網絡內部的整體安全管理。另外,私接設備、私改IP、私搭亂建對網絡安全管理也是一種困擾。
北京艾科網信科技有限公司(以下簡稱艾科網信)提供創新的ID網絡安全管理系統可徹底解決上述安全難題。
在此嚴峻的網絡安全形勢下,艾科網信董事長寧輝表示:“8年前,我本著對網絡安全事業的熱忱與一行人員創立艾科網信。多年來,艾科網信為各領域提供了大量的網絡安全解決方案。作為國內一家專業的網絡安全服務提供商,艾科網信將竭盡所能,為中國的網絡安全事業盡一份力,致力為用戶提供更加優質的網絡安全系統。”
艾科網信成立于2007年,秉承“誠信、合作、共贏”的企業宗旨,著力于“創新更安全”的研究方向,結合中國實際的網絡情況和安全態勢,創新地提出了實名制網絡管理解決方案,實現了用戶、IP、終端的有機關聯,為管理和審計提供了新的模式。艾科網信還提出了“內網規范管理”的理念,以實名管理為基礎,實現按人、按角色規劃安全策略,結合信息技術等級保護的相關技術標準,開創性地研發出實名制準入控制系統。在“震網”事件之后,針對網絡和工業控制系統的可視化技術成了艾科網信發展的重點。艾科網信把接入網絡中的所有設備均納入管理員的管理視野,并能準確地告知管理員這些設備的位置,哪些設備有異常等,在第一時間為管理員有效地洞悉網絡整體安全情況提供相關的數據和視圖。
為了更好地為客戶提供優秀的網絡安全管理解決方案和優質的技術服務,艾科網信在廣州、上海、寧波、成都設立了辦事處,并建設了覆蓋全國的渠道和機構,其強大的研發團隊、精良的銷售體系和完善的售后保障解除了用戶的后顧之憂。
艾科網信還可為多個行業提供專用解決方案,如政府部門網絡準入解決方案、電力行業信息網解決方案、電信運營商統一IP管理解決方案、金融行業統一認證解決方案、大型企業網絡可視化和準入控制解決方案、醫療行業防非法統方和網絡準入解決方案,并得到了政府行業、電力行業,像國家電網和南方電網,以及電信運營商等用戶的認可。
企業戰略集團(ESG)的一項調查顯示,IT管理人員認為網絡安全是2011年必須優先考慮的問題。不斷增長的互聯網和內部網絡帶寬需要更快、更可靠的網絡安全系統,以保證所有級別網絡環境中的數據安全。“數據安全是一場必須在多條戰線上同時進行的戰斗,特別是在網絡層面。”邁克菲(McAfee)公司副總裁Dan Ryan表示。無論在IT基礎設施的哪個層面,安全都是不容忽視的一個問題。正因為如此,網絡與安全融合、存儲與安全融合的例子越來越多。
隨著數據量和業務的不斷增加,人們需要訪問的設備越來越多,面臨的網絡安全威脅也越來越多,因此打造端到端的網絡安全體系,實現主動的安全性管理,降低業務風險成了數據中心用戶的當務之急。“安全無處不在。以后,獨立的安全廠商可能會越來越少。博科(Brocade)之所以和邁克菲合作提供廣泛的、完全互通的端到端網絡安全解決方案,目的是為客戶提供更多的選擇。”博科公司大中國區總經理盧少文表示。
博科與邁克菲合作的近期目標是,聯合設計一套互通的解決方案,以滿足企業客戶的網絡安全需求。聯合解決方案主要包括以下內容:博科Netlron MLX系列高性能路由器與邁克菲企業級防火墻和入侵防御技術相結合,為大型企業網絡核心進行優化配置,以抵御外來的安全威脅;博科Servering應用交付控制器與可實現負載均衡的邁克菲企業級防火墻技術相結合,提供針對拒絕服務(DoS)和SYN攻擊的充分保護,同時提供高性能的、永遠在線的、安全的防火墻服務;邁克菲網絡訪問控制(NAC)解決方案與博科Fastlron CX和Fastlron緊湊型邊緣交換機相結合,可確保網絡接入層的安全;博科IronView網絡管理工具通過基于開放標準的網絡管理協議,使網絡基礎設施能夠自動回應由邁克菲網絡訪問控制、入侵防御和防火墻解決方案生成的安全事件。在完成聯合解決方案的設計與包裝后,博科與邁克菲將繼續在網絡管理方面進行深入合作。
EGS分析師Jon Oltsik表示:“不斷變化的安全威脅和校園網絡的融合促進了網絡與安全產品的整合。企業必須讓整個網絡基礎設施時刻保持警惕的狀態,以主動應對可能產生的攻擊。”在收購網捷之后,博科已經把市場拓展的重點放在了IP網絡產品上。博科IP網絡產品與邁克菲安全產品集成在一起,構成了從防火墻、入侵檢測、預防系統到網絡訪問控制的完整的安全保障體系,能夠保護客戶不受惡意活動、數據泄露、網絡入侵等各類安全威脅的侵襲。盧少文表示:“安全是一種功能。博科自己不是安全專家,但是為了讓客戶能隨時隨地、安全地訪問網絡服務,博科通過與邁克菲合作的方式,也能夠為用戶提供高可靠的網絡安全解決方案。未來,博科將抱著一種開放的心態,與更多安全廠商合作,為用戶提供更多的安全功能選擇。”
電視臺給予網絡安全相當高的重視程度,是因為電視節目播出的安全性和信息的保密性是電視臺的追求和目標。電視臺的網絡信息極其關鍵,它掌控電視臺的存亡。要使電視節目安全播出,電視臺網絡安全不容忽視。廣播電視臺在傳播信息時,信息傳輸速度和質量的提高往往會依靠計算機技術,然而,計算機技術的網絡風險極大,信息容易外泄或遭受竊取。隨著時代的發展,電視臺網絡安全遇到了極大的挑戰和機遇,提高網絡的安全性義不容緩,網絡安全建設是一個龐大的建設。
2電視臺網絡安全的重要性以及網絡安全的問題
2.1電視臺網絡安全的重要性。在廣播電視臺的發展中,互聯網與信息技術是必不可少的。然而,互聯網的快速發展以及信息技術的迅速提升使之出現了網絡安全問題,隨之也成為廣播電視臺極其重視的問題。對于廣播電視臺來說,網絡安全是極為重要的,對其能否正常運行有著重大的意義。相應的工作人員都應給予網絡安全高度重視,了解其重要性。第一,電視臺網絡安全是數據信息傳輸時的保障,是處理信息時的安全保障,保障信息不外泄或被竊取。第二,提高電視臺處理信息的速度和提升其能力,都以網絡安全為基礎,提高互聯網應用能力也以網絡安全為保障。第三,網絡安全的穩定,電視臺的信息與數據才能得到保護并有效地處理。因此,為了保護電視臺信息不被竊取等外部攻擊,管理者必須采取相應措施來加強建設網絡安全,推動電視臺與廣播的發展。2.2電視臺網絡安全的問題。電視臺網絡安全的問題不容忽視,更是亟待解決的一大問題。首先,在網絡硬件系統中占有重要地位的信息系統硬件在保護網絡安全和信息安全的過程中起到了主要的作用。然而,現如今大多數信息系統硬件的安全系數較低,存在著極大的安全隱患。一些只為了追求網絡信息的數量,而忽略了信息建設是否安全,導致許多地方的網絡技術沒有人監管,而給病毒有了可乘之機,使得病毒在網絡上瘋狂繁殖。病毒可以控制電腦、破壞電腦,以及攻擊特定的服務器,導致局域網的總臺遭受癱瘓。無孔不入的病毒帶來的毀滅性是強大的,網絡安全受到嚴峻的挑戰。其次,物理運行環境的好壞也影響著網絡安全的問題。如果計算機在惡劣的物理環境下運行,比如在發生雷電、火災的情況下,計算機就不能正常運行,設備也會受到損壞而發生故障。
3電視臺網絡安全解決對策
3.1加強網絡安全技術。第一,設置防火墻。防火墻是保障網絡安全的重要渠道,它能防止黑客以及一些不良信息入侵電視臺的網絡,能提高電視臺網絡防御能力,確保電視臺信息數據得到安全的保障。第二,使用防毒軟件。使用防毒、殺毒軟件也是保障網絡安全的重要手段之一。防毒軟件能有效地阻擋病毒的入侵,具有較強的防毒功能。根據當地電視臺的實際情況安裝相適應的防毒軟件,能有效地加強網絡的安全性,防止病毒入侵摧毀網絡系統設備。第三,使用密碼技術。在如今信息傳輸和數據通信的時代下,密碼技術是不可缺少的。密碼技術能有效地防御信息外泄,保護網絡的安全。密碼技術對數據信息進行加密,運用信息解密和加密數據的方法來保障數據信息的安全。因此,廣播電視臺應對密碼技術重視起來,引進密碼技術并靈活地使用密碼技術于處理電視臺信息數據的過程中。3.2進行網絡安全檢測。在發送網絡信息之前,需對其進行檢測和檢查工作,并提前對信息進行監察以保障網絡系統的安全性,這就是安全檢測。廣播電視臺的信息之所以很復雜,是因為其數據來源范圍大,而這就會導致電視臺網絡安全受到威脅。為了數據信息能安全存放,這就需要引進安全檢測,防御信息處于危險的環境中,加強電視臺的網絡安全。3.3建立虛擬專有網絡。擁有優越的技術,促進虛擬專有網絡的發展。虛擬專有網絡在電視臺網絡安全發展中起到了一個重要的作用。現實網絡在虛擬專有網絡的掩護和保護之下,能夠有效地提高電視臺網絡的安全性,減少網絡攻擊電視臺的頻率。因此,廣播電視臺應把虛擬專有網絡投入應用當中。3.4加強安全管理,提高管理水平。電視臺網絡安全的管理工作非常重要,強大的安全管理能極大提高網絡的安全性。物理層面的安全管理是物理層面的網絡安全問題的必經之路,是因為物理層面既是獨特的,又是獨立的,而信息處理和交換的層面即指物理層。因此,廣播電視臺應高度重視物理層面的安全管理,根據不同的情況建立不同的物理層面,做好物理層面的隔離工作,符合網絡安全需求,使電視臺網絡安全得到提升。管理水平的高低也給廣播電視臺網絡安全帶來不同的影響。因此,建立一支高素質、懂技術、善于管理的員工隊伍是極其重要的。對外引進人才,對內加強崗位、員工培訓,適當激勵員工發展,這樣才能壯大隊伍,才能變得強大。擁有一支強大的員工隊伍,我們才能為新時代的電視臺提供更有效的網絡安全建設服務。3.5政策上的積極有力的支持。建設電視臺網絡安全不僅僅只是為了宣傳系統,還為造福百姓而努力著。但改造有線電視網絡安全以及整體轉換數字電視需要很多的財力、精力,需要政府部門的配合與支持。只有政府部門給予積極的支持,才能營造出一個良好的環境。轉換數字電視這項偉大的工程建設需要政府部門給予資金上的大力支持和理解,政府在政策和經濟上一并支持,才能有利于電視臺網絡安全的發展。
4總結
總而言之,新時代電視臺的網絡安全不容忽視。由于網絡信息數量增長迅速和快速的信息傳播速度,電視臺網絡安全受到威脅是不可避免的。電視臺的節目信息會遭到外泄,甚至被竊取,導致于電視臺無法進行正常運作。當信息傳輸渠道被破壞時,傳輸時間會增長,那么電視播放質量就會下降。而一些黑客還會篡改或者摧毀信息,使得電視臺網絡安全遭受嚴重的危害。因此,相關工作人員一定要認識到網絡安全的重要性和嚴峻性,加強網絡安全技術,采取相關的網絡安全解決對策,推動新時代電視臺網絡安全的發展。
作者:圖亞 單位:新疆博爾塔拉蒙古自治州精河縣電視臺
參考文獻:
[1]何雄彪.電視臺網絡安全解決方案的分析[J].決策與信息旬刊,2015(5):106.
[2]劉海蕓.廣播電視臺業務網絡網間安全方案設計[J].聲屏世界,2016(s1):45-47.
[3]楊璞.智能手機泄密風險分析及安全保密技術解決方案研究[J].網絡安全技術與應用,2015(4):138-139.
[4]程琦.計算機網絡信息安全影響因素與防范解析[J].網絡安全技術與應用,2016(2):6.
在通信展上,亨通推出一系列新品,其中有涉及信息通信安全的優網科技大數據、安全、通信軟件解決方案和量子保密通信行業級解決方案,海洋業務板塊的海底觀測系統以及江河湖泊水質監測系統解決方案,以及軌道交通通信的高鐵無線覆蓋解決方案等。
亨通之所以能在本屆展會上在多個領域推出一批新產品,是因為其多元化、全產業鏈的發展思路。
近年來,亨通立足光通信主業、突破產業關鍵核心技術,不斷完善“光棒-光纖-光纜-光器件-光網絡”的光纖通信全產業鏈。與此同時,亨通瞄準產業尖端前沿,不斷延伸產業鏈,調整結構,轉型升級,積極拓展互聯網+發展新空間,布局量子通信產業,進入寬帶接入網、智慧社區、通信工程的建設運營,并構建大數據應用及網絡安全等業務體系,“形成‘產品+平臺+服務’的綜合服務模式。”亨通光電總經理尹紀成表示。
布局網絡安全
網絡安全是當下互聯網領域最突出的問題,受到人們的廣泛關注,也是本屆通信展上一項重要的展示內容。而在這一背景下,亨通適時推出了優網科技大數據、安全、通信軟件解決方案和量子保密通信行業級解決方案這兩套保障網絡信息安全的解決方案。
據了解,優網科技大數據、安全、通信軟件解決方案包括用于通信網絡維護的綜合性能監控解決方案、重點場景保障解決方案、客服支撐解決方案,用于網絡安全領域的信息安全態勢感知解決方案、網絡安全態勢感知解決方案、大數據云防護解決方案、云安全防護解決方案及運營,用于大數據運營的大數據平臺解決方案、互聯網綜合服務平臺解決方案等一系列的維護、安全、大數據解決方案,為通信、互聯網等數據運營提供全方位的支撐。
今年8月份,亨通光電與安徽問天量子科技股份有限公司共同投資設立江蘇亨通問天量子信息研究院有限公司,雙方強強聯合、優勢互補,積極布局量子通信產業,加快啟動量子網絡建設,并在本屆展會上推出了政務網解決方案、電力調度保密通信解決方案、數據中心信息安全解決方案等一系列量子保密通信解決方案,為通信及互聯網的信息安全保駕護航。
聚焦高鐵通信
國內高鐵建設正加快推進,乘客對于乘坐高鐵時手機上網和通話的需求量逐漸增加,因此運營商在高鐵沿線的基站建設方面將進一步加大投資力度。
據了解,高鐵沿線無線信號覆蓋主要依靠沿線的通信基站,為高鐵列車提供無線信號。由于高鐵列車的運行速度較快,導致基站的密集程度高,投資費用較高。同時,在大部分偏遠地區,高鐵沿線基站僅用于列車信號覆蓋,功能單一,并且用戶量少,運營商的投資收益率低,資金回收周期長。
針對現有情況,亨通推出高鐵無線覆蓋解決方案,為客戶提供建設效率高、投資費用低、運維便捷的產品和方案。據介紹,該方案采用銅合金導體作為主要供電電纜,可選配1-144芯光纖,能夠同時為高鐵沿線基站提供電力和通信接入服務。銅合金導體相比傳統銅芯電纜產品,產品施工難度低,相同重量長度更長,抗強風能力好,同時由于導體采用銅合金導體,無法回收利用,具有防盜效果。高鐵無線覆蓋解決方案采用100V-600V可變直流電遠程集中供電,通過鐵路信源站取電后,能夠雙向輻射,最遠可滿足8個基站的供電需求。因此減少了用戶的取電費用和協調難度。在基站端僅需要配置對應的終端設備即可完成快速建站,節約用戶建站時間,降低客戶無形建設成本。
目前,亨通的高鐵無線覆蓋解決方案已經在蘭新線鐵路中大范圍使用,為客戶提供了更優質的產品和解決方案。
深耕海洋業務
海洋板塊是亨通近兩年頗為重視的業務板塊,同時也是今年上半年營業收入增幅最大的業務之一。據亨通2016年上半年報告,亨通海洋電力通信產品營收2.43億元,同比增長249.12%。
在本屆通信展上,亨通重點推出了海底觀測系統以及江河湖泊水質監測系統解決方案。
海底觀測系統是主要基于海底光電纜構建的具備觀測和數據采集、供能和數據傳輸、交互式程控制,數據管理和分析等功能的軟硬件集成系統,實現對海底地殼深部、海底界面到海水水體及海面的大范圍、全天候、綜合性、長期、連續、實時的高分辨率和高精度的觀測。而在系統中起到關鍵作用的就是構成整個系統核心的接駁盒以及SIIM基站等節點設備。
第一,企業內部的順利運行離不開管理機制的制約,電力企業引進信息網絡技術也存在同樣的道理。電力信息網絡安全技術缺乏相應的管理制度規劃,整體系統不夠完善,無法與電力企業建立內在聯系,使得電力企業信息網絡安全技術無法發揮其作用。第二,信息網絡安全技術的優點使各個行業爭相追捧,電力企業因看重信息網絡技術的特點,加以引進,但是并未從全面的角度考慮其劣勢,對于信息網絡安全缺乏控制意識。開放性的網絡給企業內部帶來不安全因素,而電力企業并未意識到安全隱患,缺乏全面考慮信息網絡技術的意識。第三,因電力企業缺乏控制信息網絡技術的安全意識,所以沒有采取有效阻止的措施,沒有配備相應的安全設施,基本設施不齊全,就無法保障電力信息網絡的安全。第四,信息網絡技術自身加強了安全系統的保障,采取相應的安全措施,電力企業引入信息網絡技術后,信息網絡技術的安全措施沒有與電力企業的機制有效結合,并且其內部的安全系統對于電力企業并不適用。第五,用過騰訊軟件的人們都了解,一個賬號在同一臺電腦登陸不需要再次驗證,只需要輸入密碼,而同樣的賬號換一臺計算機,就需要先進行身份驗證,這樣提高了網絡信息的安全性。如果電力企業的信息網絡技術使用這樣的身份安全驗證,就可以在一定程度上減少企業安全隱患。
2信息網絡安全的影響因素
2.1受互聯網大趨勢影響
電力網絡信息技術建立在互聯信息網絡的基礎上,現代網絡信息發展迅猛,影響信息安全的因素也越來越多,例如攻擊各類網站的黑客數量激增,網站自身的防火墻系統不夠完善,致使互聯信息網絡的大環境存在安全隱患,因此電力企業內部會受到影響。
2.2電力企業自身缺乏安全防范意識
在互聯信息網絡整體存在安全隱患的環境里,電力企業內部并未采取措施應對。首先電力企業內部計算機自身的防火墻系統不夠完善,存在很多漏洞,對病毒和黑客的入侵沒有起到防護作用。其次,電力企業的日常信息網絡數據從不加以備份,涉及到重要的信息資源并未得到安全保護,電力企業對網絡信息安全沒有相應的管理和規劃,這些導致電力網絡安全有許多不安全因素。
3電力信息網絡安全的解決方案
3.1電力企業自身采取安全措施
針對以上問題,電力企業應該關注自身的網絡信息安全。針對計算機的系統加以改進,完善防火墻技術,這是保證信息安全的先決條件。電力企業應該購進前進的設備,做好自身安全防護武裝。例如,引進信息監測技術,這項技術可以防范計算機病毒和黑客的入侵。電力企業還要規范信息管理,企業內部的數據是關鍵信息,存在不安全因素的也是這些數據,因此,電力企業應該加強管理,數據應該及時備份,有備無患。加強電力企業員工素質培訓也是解決方案之一。定期為管理電力網絡的工作人員培訓,加強教育,使其認識到網絡信息的重要性,工作的內容嚴格按照企業的規章條例,也有助于加強電力網絡信息的安全性。
3.2互聯信息網絡大方向
隨著網絡信息時代的不斷進步,使用網絡的人群數目迅速增加,網絡可以互通遠隔千里的信息,網絡的開放性逐漸增大,不安全性也隨之增大。網絡安全應該得到各大網站和專業人士的高度重視,各大網站應該彌補網站漏洞,專業技術人員應該創新出新型安全軟件,拯救互聯信息網絡。依存在互聯信息網絡大環境下的電力企業信息網絡安全,也可以得到緩解和解決。
4結束語
[關鍵詞] 石油企業 信息安全 安全策略 解決方案
石油企業要提高競爭力,信息化水平是一個重要因素。而信息安全的風險隨著企業信息化水平的不斷提高而增加。沒有可靠的信息安全保障,就沒有企業的安全生產運營,就會極大地降低企業在石油行業內的競爭優勢和生存空間。要保證信息安全,就必須首先制定相應的安全策略,然后依據該策略結合企業的實際需要選定具體的解決方案,全面構筑企業的信息安全體系,防止各種不安全因素帶來的信息安全隱患,做到防患于未然。
所謂信息安全是指信息的保密性、完整性、實用性和可靠性,即在信息的使用和存儲過程中,防止因偶然事件或人為因素造成信息被破壞或泄露,也就是要保障信息的有效性。
一、石油企業預防人為因素的方案
企業信息安全的防范不單純是一個技術問題,而是一個綜合性的問題,其中最重要的因素就是人的因素。在人的因素中,有些是無意的:如信息管理員、操作員安全配置不當造成的安全漏洞;企業內部終端用戶安全意識不強,用戶口令選擇不慎,或是將自己的帳號隨意轉借他人或與別人共享等;也有些是黑客的惡意攻擊,如以各種方式破壞信息的有效性和完整性;或在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息等。這些攻擊均可對信息安全造成極大的危害。對于這類人為因素,必須首先建立石油信息安全領導小組,設立安全領導小組辦公室,由企業負責人直接擔任組長,并逐級確立信息安全責任人,并且對信息中心的管理員、操作員,進行必要的定期的信息安全教育,明確崗位職責、權限,簽訂崗前責任狀,以提高全員信息安全防范意識。同時制定信息安全制度,并采取相應的措施以防止信息安全漏洞。
二、石油企業內部技術防范的方案
從技術角度看,信息安全的防范包括:
(一)設備及環境安全
設備和環境的安全主要涉及到由于自然災害、人為因素造成的數據丟失,比如地震、電力故障、火災、洪水、盜竊等。它們給企業的數據帶來潛在的威脅,因此對于信息安全級別較高的企業,應建設完善的容災備份系統。容災備份系統一般由兩個數據中心構成:主中心和備份中心。通過異地數據備份,實時地將主中心數據拷貝至備份中心存儲系統中,使主中心存儲數據與備份中心數據完全保持一致。這種在線備份出現故障后系統數據恢復時間短,安全性好,但對資源的占用率比較高,投入成本也大;還有一種離線備份,即把數據定期備份到移動存儲器或光盤上,然后異地保存,離線備份方式恢復時間比較長,但投資較少。企業應根據自身信息化建設的程度及企業對信息安全的要求以及資金投入情況,決定容災備份系統的規模和等級。
(二)系統運行安全
隨著企業信息化的發展,信息系統的連續穩定運行越來越重要。一旦系統中斷,將會給企業的工作帶來混亂,而數據一旦丟失,后果將是災難性的。為保證信息系統的連續穩定運行,應采用雙機熱備解決方案。這種系統有兩個服務器組成:主服務器和從服務器。主服務器將從服務器的硬盤視為自己的一個外部磁盤設備,由專用數據鏈路擔負著傳輸鏡像數據的任務,同時也為從服務器監視主服務器提供了途徑。主服務器系統可以象對本地硬盤一樣訪問從服務器上的硬盤。從服務器不僅鏡像著主服務器的硬盤數據,而且還實時監測主服務器,一旦發現主服務器故障,會自動接替主服務器工作。
(三)數據庫安全
在數據庫系統中,由于數據大量集中存放,且為眾多用戶共享,安全性問題更為突出。解決數據庫安全的措施要從數據庫軟件本身和數據備份兩個方面考慮。
1、利用軟件本身所具有的性能進行安全保護大型數據庫為開發者提供了有效的安全性控制策略,一般會在數據訪問的安全性和監督用戶的登錄進行有效的控制,同時又兼顧用戶在使用數據時對速度的要求。大型數據庫中的安全性是依靠分層解決的,它的安全措施是級級層層設置的,做到層層設防。第一層是注冊和用戶許可,保護對服務器的基本存取;第二層是存取控制,對不同用戶設定不同的權限,使數據庫得到最大限度的保護;第三層是增加限制數據存取的視圖和存儲過程,在數據庫與用戶之間建立一道屏障。
2、利用硬件備份系統進行安全保護備份系統不僅是保證數據庫安全,同時也是保證網絡系統安全的一種重要手段,為了保證數據安全,需要對數據庫進行及時快速的備份。備份系統的服務器的應用較為簡單,配置不要求很高,甚至可以和其他一些應用共用一臺服務器,而備份軟件和磁帶庫是備份系統的關鍵。
三、石油企業網絡運行安全的方案
網絡安全問題是信息安全問題的核心,應采取全方位的、動態和靜態相結合的方案解決網絡安全問題。影響網絡安全的要素包括:網絡邊界安全,操作系統安全,應用服務器安全,內部網安全,網絡防病毒。影響網絡安全的因素可以通過以下安全產品來防范:
(一)防火墻的應用
防火墻在企業內部網和外網之間設置了一道有效屏障,保護網絡邊界并防止黑客入侵。防火墻作為單一的關口,在此關口能檢查、審核、加解密和認證進入網絡的數據。
(二)漏洞檢測系統的應用
漏洞檢測系統又稱系統掃描、風險評估。漏洞檢測就是模擬黑客的攻擊手段對被檢測系統(包括各種操作系統、網絡和應用服務器)進行掃描,然后提交安全漏洞報告,并給出解決漏洞的方法,從而保證網絡邊界安全、操作系統安全、應用服務器安全和內部網安全。
(三)網絡防病毒產品的應用
隨著網絡的不斷發展,信息共享、信息交換越來越多,因此感染病毒的機會更大。在企業網絡內一旦有一臺主機感染病毒很快就會傳播到整個網絡,甚至對企業造成很大的經濟損失。因此防病毒已成為網絡安全的重要課題。對于可以登錄外網的終端計算機可以采用購買網絡版殺毒軟件,提前預防、實時監控和殺毒。對于僅能登錄內網的終端計算機,企業應當購買專業單機版殺毒軟件,并在內網定期單機版殺毒軟件的離線更新包。
以上是動態的網絡安全策略,對于靜態的網絡安全策略,可以從網絡的結構設計方面提高網絡的安全性。對于一些安全要求比較高的部門,如財務部門,可以建立專門的局域網與互聯網及企業內部網進行物理隔離;還可以通過冗余設計來提高網絡的可靠性,例如:鏈路冗余、模塊冗余、設備冗余及路由冗余。
(四)訪問控制安全的應用
訪問控制功能是對企業綜合信息系統的內容進行訪問權限的限制。對于有些只對企業內部或合作單位開放的信息,應該設置訪問控制,只有得到用戶名和密碼的用戶才能訪問這些內容。可以通過配置路由器來實現這部分的功能。
另一方面,是企業不同部門對網絡權限要求不同的問題。各應用系統設計和選購時應該考慮如何保障各部門的安全,保證安全保密性級別高的部門在網絡上運行的各類業務不受未授權員工的損害。在構建網絡時應用VLAN技術和第三層交換技術,可在同一個基礎物理網絡上實現員工網絡、財務網絡、領導網絡和部門網絡的邏輯分隔,從而提高整個信息系統的安全性。
(五)信息存儲安全
網絡的發展,加上多媒體應用,使得數據呈幾何級數激增。傳統的以服務器為中心的存儲網絡架構面對源源不斷的數據流已顯得力不從心,嚴重的會導致數據崩潰。為了存儲安全,以服務器為中心的數據存儲模式必須向以數據為中心的數據存儲模式轉化。為了解決這個實際問題,可以采用網絡存儲技術,網絡存儲技術是一種特殊的專用數據存儲服務器,內嵌系統軟件,可提供跨平臺文件共享功能,完全以數據為中心,將存儲設備與服務器徹底分離,集中管理數據,從而有效釋放帶寬,大大提高了網絡整體性能,也可有效降低成本,保護企業的投入,將數據崩潰降低到最低限度。
去年開始,安全市場始終處于激烈競爭狀態:越來越多的網絡廠商,甚至是PC廠商都紛紛加入戰局。一時間,各種安全方案PK四起,傳統安全廠商倍感壓力。最終誰才是引領未來的主流?根據IDC的預測,2006~2008年將會成為安全市場中具有決定意義的三年。在全球范圍內,安全產業很可能會經歷一次大洗牌。事實上,在過去的一年里,國內外眾多的安全廠商幾乎都經歷了一個大的調整。
伴隨著這股產業大潮,是眾多國內外專業安全廠商和網絡廠商在中國市場的逐鹿態勢。如果說2006屬于生存年的話,2007更像是發展年。而2007年對于Radware來說則更是一個安全年,同時2007年也將成為公司成長過程中一個重要的具有里程碑意義的年份。
市場定位
進入中國市場之初Radware由于一直貫徹重技術,輕品牌的原則,并不為眾多用戶所熟知,但是由于其過硬的技術和卓越的產品性能,已經取得了一定的市場影響力。
Radware公司北中國區總經理趙軍表示:“新的一年,新的市場定位,對我們來說是一個機遇也是一個非常大的挑戰,這個挑戰就是我們市場定位的改變,Radware不再只是一個傳統的網絡交換機的生產廠商或者一個只是簡單意義上的負載均衡廠商。我們是提供智能應用的企業。不管是網絡安全還是網絡交換都是針對獲得運用信息,讓應用更安全,更可靠,具備高可用性、高安全性和高性能,這是公司不懈努力的一個目標。2007年度的主題是智能應用解決方案,公司產品會從傳統的獲得均衡的網絡交換市場,做到應用安全的市場。這是Radware今年的市場定位,我們致力于提供完全基于應用的和傳統IP技術的解決方案,通過公司APSolute 解決方案,實現市場領先的技術特點。”
Radware作為一家在負載均衡和傳統的交換機領域的領導廠商,把專注的方向擴展滲透到了應用安全領域。這不僅僅因為產品的核心技術都是對IP的一個包容,對安全危機高度的感知,更是由于Radware的技術能夠看到一個IP包的更深層次的應用,所以能提供一些傳統網絡安全的包括防火墻、IP聯動式解決方案等所不能解決的一個解決方案。這是2007年公司的市場定位,也是一個非常大的挑戰,一個市場形象很細微的變化,所產生的影響將是非常巨大的。
技術優勢
首先,Radware的產品在防DoS攻擊方面,如行為模式分析方面具有非常強的競爭優勢。它具有非常高的精確度和極低的誤判率。眾所周知,行為模式在我們的想象中都很簡單,只是對流量進行一些分析和學習,然后進行一些設置,但當這些流量變大的時候,所需要的設置就遠遠超過了這個設置。Radware通過給上海電信,武漢電信的維調獲得了用戶很高的評價,用戶感覺到Radware解決方案的誤判率非常低,而精確度非常高。
其次,Radware為用戶提拱的解決方案是一個完整的攻擊防范解決方案,主要基于傳統的IPS攻擊、病毒攻擊和黑客攻擊的技術理解基礎上。
最后,就是對流量的管理。Radware針對異常流量做一些分析與管理,把運營商、企業用戶很頭痛的流量如P2P下載等全部解決掉。
“對Radware的安全產品我們有八個字的總結,第一個是智能,基于行為模式的分析使得我們具備非常高的智能性;第二個是快速,NP處理器強大性能的交換體現,來完成整個功能;第三個叫做有效,通過我們整體的配合,通過深層次的檢測手段,真正地去幫助用戶;第四個叫做整合,通過吸收各廠商的優勢,為用戶提供最完美的解決方案。”無論是領導層還是一線的技術顧問,都對Radware的解決方案充滿了自豪。
10月27日,綠盟科技Security+2016金融信息安全峰會在京召開,金融行業技術主管與綠盟科技網絡安全專家齊聚一堂,共同探討“互聯網+”形式下金融網絡安全運維新技術、新趨勢。綠盟科技副總裁李晨作了題為“企業安全的變革與實踐”的主題報告,綠盟科技的技術專家、攻防專家等也分別就網絡安全運營、安全開發實踐做了相關分享。
建立金融信息安防體系刻不容緩
“互聯網+金融”成為傳統金融行業轉型“觸電”的新模式,新形式下的數據安全狀況變得越發嚴重,金融行業已經淪為數據泄密的重災區,再次給人們敲響數據安全的警鐘,其中直接由于純粹是信息安全技術缺失所導致的風險案例不勝枚舉。麥肯錫公司在其的《中國銀行業創新系列報告》中指出,2015年年底,中國互聯網金融的市場規模達到12萬-15萬億元,占GDP的近20%。互聯網金融用戶人數已經超過5億,這樣龐大的用戶群和涉及面,如果信息安全事件愈演愈烈甚至失控,將會對國家和社會造成不可估量的損失,互聯網金融信息安全已經刻不容緩。
目前,金融企業內部IT系統更為復雜化,外包合作使內部風險管理更加復雜,BYOD(攜帶自己的設備辦公)使企業信息資產無處不在,大數據使核心資產淹沒在之中難以識別,云計算打破了傳統的網絡邊界防護。李晨指出,企業安全威脅也在逐漸升級,正在從以蠕蟲病毒、拒絕服務攻擊、溢出類漏洞攻擊、注入等Web攻擊為主的傳統威脅升級到以0Day攻擊、多態及變形等逃避技術、多階段組合攻擊、有組織的定向攻擊為主要手段的新一代威脅,企業安全運維面臨更多的新的挑戰。與會專家再次呼吁,建立金融信息安全防御體系刻不容緩。
綠盟科技智慧安全2.0戰略應運而生
信息安全行業專家綠盟科技積極應對,幫助銀行、保險等各類企業實現變革,助力金融智能安全運營防線的構建,綠盟科技智慧安全2.0戰略應運而生。
綠盟科技智慧安全2.0戰略是一個企業整體運營的升級換代過程,它幫助企業安全防護真正做到智能、敏捷和可運營。該方案包含綠盟云、安全態勢感知解決方案、云計算安全解決方案以及下一代威脅防御解決方案。李晨表示,態勢感知使安全耳聰目明、軟件定位給安全運維帶來敏捷應變、縱深防御帶來彈性和生存能力。它緊緊圍繞用戶需求,大力提升線上也就是云中的安全能力,打通技術、產品和服務、解決方案、交付運營等各個環節,構建真正的智能安全防御系統。
同時,綠盟科技可協助客戶建立企業安全應急響應中心(SRC),幫助企業建立和維護自主可控的自有業務漏洞收集平臺,從而避免漏洞在第三方平臺上暴露。通過SRC的運維數據積累,企業建立貼合自有業務的漏洞知識庫來提升安全團隊技術能力,并且通過SRC可與白帽子直接建立長期的信任互贏關系,幫助企業更從容地面對安全威脅。
數據安全歷來是企業信息安全工作的“最高使命”。綠盟科技適時推出了數據泄露防護系統,基于數據存在的三種形態(存儲、使用、傳輸),對數據生命周期中的各種泄密途徑進行全方位的監查和防護,保證了敏感數據泄露行為事前能被發現,事中能被攔截和監查,事后能被追溯。
綠盟科技金融事業部資深安全顧問從安全開發的角度出發,以生命周期的架構對現有系統開發過程中涉及到的安全操作進行了概括,強調將安全設計、安全編碼、安全測試以及安全事件響應的傳統安全技術和活動融入產品需求分析、架構設計、開發實現、內部測試、第三方測試和人員知識傳遞等開發生命周期的典型階段。
綠盟科技深耕于專業領域,目前已與超過千余家金融機構建立商業合作,為其提供專業的安全產品、服務與解決方案。未來,綠盟科技將繼續專注研究,實現技術突破和創新,在網絡安全防護、保護關鍵信息基礎設施安全等方便持續發力。
關鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀
2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析
3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
來自IDC的《2016年全球IT行業預測報告》顯示,67%的CEO表示,到2017年底時,全數字化轉型將成為公司的戰略核心。到2019年,75%的制造價值鏈將采用互聯的流程、資產、產品和服務來提高響應能力和工作效率;到2018年,全球將有220億部物聯網設備。
企業希望能夠迅速采取行動,以便能夠充分利用新的機遇,但數字化轉型對網絡的依賴,使安全風險也同步加速。
羈絆
71% 的高管認為對網絡安全的擔憂正在阻礙其組織內的創新,近 40% 的高管表示,他們曾因網絡安全問題停止過任務關鍵型計劃。
以上數據來自思科對1014名財務和業務部門的企業高管所進行的一份調查,這些企業遍布澳大利亞、巴西、加拿大、中國、法國、德國、印度、日本、英國和美國10個國家。
如果缺乏有效的網絡安全戰略,公司的創新和增長也將會受到影響, 因為這會阻礙數字產品和業務模式的發展。
數字化時代,安全威脅的攻擊面越來越廣、威脅源越來越多,攻擊的復雜度也日益提高。應對安全風險的產品越來越多,安全的解決方案越來越碎片化。市場調研公司ZK Research的一項調查顯示,企業目前平均采用32個安全廠商的設備。然而,防御的效果真的是越多產品的疊加就越好嗎?
“企業級用戶為了解決一種新型威脅,通常的做法是會采用一款新的安全產品來加強防御。隨著威脅數量日益增多,所部署的安全產品數量也不斷增多。企業級用戶面臨的整體復雜性不斷攀升,可管理性卻在不斷下降,調用某款安全產品的效率也隨之降低。”思科大中華區安全業務總經理莊敬賢解釋道,“隨著企業級用戶部署的安全產品數量的增加,能夠提供給用戶的防御力和其構成的復雜性之間存在一個安全有效性的缺口。”
突圍
“65%的CEO提到他們的風險管理方法是落后的。” 來自Gartner全球主管研究部門的高級副總裁Peter Sondergaard表示。在控制因安全產品數量增加而造成的復雜性的同時,如何讓每一款安全產品本身的安全能力得到有效提升,讓網絡安全的防御力與設備復雜性之間的安全有效性缺口得以彌合?
對此,Peter也給出了解決建議,“為了應對每天都會出現的新的安全漏洞,企業應該對檢測和響應進行更多的投入,從之前的90%防御+10%檢測/響應過渡到60%防御+40%檢測/響應。”
這與思科的安全理念不謀而合。“思科有一個全局架構的理念,在攻擊之前、攻擊中和攻擊后的每一個環節都能夠把我們對安全的理念通過技術來實現。”思科全球副總裁、大中華區首席技術官曹圖強說。
過去3年,思科投入了幾十億美元進行收購,整合與研發了與有效安全相關的產品。思科CEO羅卓克(Chuck Robbins)在接管思科的第一年完成了15次收購,其中4次的收購對象是安全公司。目前,思科專門負責網絡安全的人員有5000人。
思科未來的目標是希望做到防御力跟復雜性成正比,彌補安全有效性缺口的解決方案包括集成化、整合化和自動化三個環節。
[關鍵詞] 三山島金礦; 網絡安全; 技術方案
[中圖分類號] TP393 [文獻標識碼] A [文章編號] 1673 - 0194(2013)04- 0085- 02
1 三山島金礦網絡情況背景
隨著我礦數字化礦山的發展,我們已經建成了千兆辦公網和千兆工業網,互聯網客戶端已超過700臺,通過互聯網,任何一個單位的數據資料的傳輸和存取都變得方便、快捷,但同時也面對上網帶來的數據安全的新挑戰和新危險:即移動用戶、異地員工和內部人員的安全訪問。
2 原有網絡系統狀態
為了確保我礦的網絡安全,我們部署了各種網絡設備,包括思科asa5520防火墻、kaspersky殺毒軟件。雖然部署了各種網絡安全設備,但是我礦的網絡仍然經常出現一些安全問題。這是因為目前網絡安全風險已經從網絡層上升到應用層,而我們所部署的網絡安全設備基本上都只能針對網絡層的安全威脅進行分析和阻斷,對于內容安全防護還是比較薄弱。所以新的網絡威脅需要更全面的解決方案。
3 目前存在的安全問題
3.1 來自HTTP的病毒和間諜軟件讓人防不勝防
客戶端在通過HTTP訪問網頁時,會不經意感染內嵌在網頁中的病毒、間諜軟件。或者由于瀏覽器的漏洞或者由于瀏覽器的安全級別設置得太低,而使得病毒、間諜軟件以ActiveX控件的形式自動非法安裝到用戶計算機中。造成用戶系統運行不正常,機密數據丟失,甚至在不知情的情況下成為了犯罪分子的工具和跳板。
3.2 來自郵件的病毒和間諜軟件讓人難以防范
自從互聯網上出現第一封病毒郵件以來,郵件就被當作病毒傳播的主要途徑之一。因為疏忽而打開陌生人發來的郵件而導致感染病毒的案例屢見不鮮。更有甚者,有些病毒和間諜軟件利用郵件客戶端的漏洞,即時客戶不打開附件僅僅只是預覽也有可能被感染。一旦感染了病毒和間諜軟件,用戶的計算機或者企業的網絡就像犯罪分子敞開了大門,由此引發的一系列后果隨之而來。
3.3 潛在威脅分析
外部——網絡系統與互聯網有直接通道,雖然中間有防火墻驗證訪問的合法性,但仍會受到來自互聯網以HTTP、SMTP、FTP等數據流為載體的潛在病毒的威脅。
內部——局域網中的工作站及文件服務器都會受到病毒的感染,病毒的攻擊方式多種多樣,有通過局域網傳播、傳統介質(光盤、軟盤等)傳播等等,一旦受到感染,便會迅速傳播,會給日常的工作和學習帶來極大的威脅。
4 解決方案
4.1 主動防御
部署安信華Anchiva-A500安全防病毒網關。
防病毒網關的工作原理是按照事先規定好的配置和規則,監測并過濾所有通向外部網和從外部網傳來的信息,只允許授權的數據通過,防病毒網關還應該能夠記錄有關的聯接來源、服務器提供的通信量以及試圖闖入者的任何企圖,以方便管理員的監測和跟蹤。
通過在網關部署防毒產品,可以提高企業整體的防毒效能、減少資源占用。對染毒郵件、帶有ActiveX、JavaScript病毒的網頁以及通過FTP方式傳輸的文件進行“主動防御”,不讓這些不受歡迎的東西進入企業的網絡。
4.2 邊界防護和網絡隔離
部署深信服SSL7150、SSL3150 VPN設備。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全地訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
4.3 上網行為管理
部署新網程網絡督察。
通過部署新網程網絡督察,利用其內置的危險插件和惡意腳本過濾等創新技術過濾掛馬網站的訪問、封堵不良網站等,從源頭上切斷病毒、木馬的潛入,再結合終端安全強度檢查與網絡準入、DOS防御、ARP欺騙防護等多種安全手段,實現立體式安全護航,確保組織安全上網。
4.4 網絡物理隔離
部署聯想網御網閘。
三山島金礦目前有辦公網與工業網兩大網絡體系,從網絡安全性方面考慮,工業網不得直接或間接地與互聯網或其他公共信息網絡相連,必須實行物理隔離。
安全隔離與信息交換系統架構主要由內網主機系統、外網主機系統和隔離交換矩陣3部分構成。內網主機系統與內網相連,外網主機系統與外網相連,內/外網主機系統分別負責內外網信息的獲取和協議分析,隔離交換矩陣根據安全策略完成信息的安全檢測,內外網絡之間的安全交換。整個系統具備以下技術特性:
多網絡隔離的體系結構,通過專用硬件完成兩側信息的“擺渡”。
被隔離網絡之間任何時刻不產生物理連接。
內/外網主機系統之間沒有網絡協議邏輯連接,通過隔離交換矩陣的全部是應用層數據,也就是OSI模型的7層協議全部斷開。
數據交換方式完全私有,不具備可編程性。
統一安全引擎:對隔離交換報文進行全文數據還原,對用戶登錄、命令請求、文本系統、協議格式等實施深度檢測和過濾,并支持對特定應用協議標簽的檢測控制;
智能黑白名單:針對文件名、命令、域名等內用進行嚴格控制,創建黑名單和白名單任務策略,攔截各種非法數據報文,保證數據的安全性;
針對數據庫和文件數據,通過訪問用戶身份識別,保證數據不被非法訪問和傳遞;
針對不同用戶操作,系統提供了分級別管理機制, 根據最小化用戶權限的原則,使不同用戶管理配置不同的任務,最大程度保障用戶使用的安全。
5 結 語
目前三山島金礦已有思科asa5520防火墻、安信華Anchiva-A500安全防病毒網關、新網程網絡督察、kaspersky殺毒軟件、深信服VPN與聯想網御網閘。
通過現在的網絡安全平臺,可以防止員工接收惡意軟件,也可以避免內部員工往外傳播病毒,避免許多法律糾紛,可以提高網絡安全水平,給員工提供純凈的網絡辦公環境,提供異地安全登陸信息內網提高工作效率,節約成本,使三山島金礦的網絡安全水平領先于同行業水平,提升了公司的整體形象,促進了三山島金礦數字化礦山的建設。
主要參考文獻
[1] 周學廣,等. 信息安全學[M]. 北京:機械工業出版社,2003.
APT攻擊、零日攻擊令企業手足無措;大數據、云計算對計算機的處理性能提出更高要求;BYOD使企業網絡安全邊界變得模糊……面對諸多挑戰,企業對網絡安全問題無論多么強調都不為過。正如奇虎360公司總裁齊向東在接受本報記者采訪時所強調的那樣:“當前,用戶面臨的一切安全威脅都因為互聯網而起,因此所有安全廠商的防護策略都要轉到互聯網思路上來。”
分析網民行為和習慣
在信息安全領域,最火爆、最有人氣的地方,也是黑客肆虐的場所。今天,黑客傾向于對社交網絡、搜索引擎和一些門戶網站進行攻擊,從中獲得更多利益。因此Web安全越來越成為安全廠商和企業用戶關注的重點,很多安全廠商開始涉足Web安全領域。
“雖然很多廠商都做Web安全,但是每個廠商的立足點不同。例如殺毒軟件廠商做Web安全主要是針對網絡內容的安全防護,防火墻廠商做Web安全主要是從過濾的角度來考慮問題。”在接受本報記者采訪時,Blue Coat北亞區高級產品經理申強稱,安全廠商原本的主打業務決定了其在看待Web安全問題時的視角不同。在傳統防火墻、殺毒軟件、UTM中加入Web元素,對于防病毒、反垃圾郵件、查殺木馬能夠起到一定作用,但是對于當前日益流行的惡意網絡攻擊則很難起作用。
網絡攻擊手段和技術的日新月異,要求我們必須改變Web安全防御的思路。從互聯網公司起家的Blue Coat提出了另一種思路。“Blue Coat的解決方案基于網民的互聯網行為分析。通過分析網民使用互聯網的行為和習慣,能夠映射出黑客的攻擊鏈是怎樣的,他們通過怎樣的體系架構構建惡意網絡。”申強表示,“Blue Coat的客戶包括運營商、企業用戶和家庭用戶,收集的數據來自各類客戶端設備,讓我們能夠以這個全新的視角看待Web安全。”
基于這種思路,在今年的RSA大會上,Blue Coat提出了負日防御解決方案,并且引起了不小的轟動。據了解,Blue Coat在全球有7500萬個數據來源,通過跟蹤位于全球的500多個惡意網絡及其3000多臺服務器,Blue Coat的負日防御引擎對黑客的動向進行實時追蹤和密切監控,從而在其發起攻擊時第一時間采取積極主動的攔截措施。
Web安全是大趨勢
Web安全問題已經引起用戶的重視,但是對于如何加強Web安全防護,大多數企業并不了解,很多企業認為只要部署了防火墻、殺毒軟件和IPS/IDS,并且及時更新就可以高枕無憂了。但事實上,對于來自Web的動態攻擊、APT攻擊等,“老三樣”構建起來的安全體系仍有漏洞存在。因此,Web安全防護的市場前景被安全廠商廣泛看好。申強甚至認為,未來Web安全領域將形成一個內部的生態系統。“Web安全是大勢所趨,安全廠商都將開展跟Web安全相關的業務。在這個生態系統中,不同的安全廠商將憑借自身優勢起到不同的作用,而Blue Coat的價值就是把Web安全的價值鏈串聯起來。”
此外,由于Web安全的重要性,它將成為企業安全基礎架構中不可或缺的一部分。很多大型IT巨頭和用戶都希望將不同的安全產品融合在一起,聯合多個廠商構建新一代的信息安全生態系統。對此,申強認為,這對于長期深耕某一領域的企業而言是非常好的機遇,有利于他們更好地發展其產品和技術。
申強認為,在這個大的生態系統中,獨立安全廠商要想融入整體的安全架構中,需要從三方面著手:一是使用業界標準的安全接口;二是將產品和服務以云的方式提供給客戶,“企業可以忽略產品的后臺基礎架構,將不同產品和服務整合在一起”;三是提供虛擬化解決方案,因為“虛擬化解決方案讓用戶可以以很低的成本將各種安全解決方案跟其他IT解決方案很好地結合在一起”。在他看來,盡管很多安全廠商并不是大的IT巨頭,但是它們可以憑借專注和專業構建自己的核心競爭力,抓住與IT巨頭合作的機遇,成為其信息安全生態系統中不可或缺的一顆“螺絲釘”。
