網(wǎng)絡安全建設解決方案范文

時間:2023-09-12 17:19:20

導語:如何才能寫好一篇網(wǎng)絡安全建設解決方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

網(wǎng)絡安全建設解決方案

篇1

[關(guān)鍵詞] 企業(yè)網(wǎng)絡信息安全信息保障

計算機網(wǎng)絡的多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性使聯(lián)入網(wǎng)絡的計算機系統(tǒng)很容易受到黑客、惡意軟件和非法授權(quán)的入侵和攻擊,信息系統(tǒng)中的存儲數(shù)據(jù)暴露無遺,從而使用戶信息資源的安全和保密受到嚴重威脅。目前互聯(lián)網(wǎng)使用TCP/IP協(xié)議的設計原則,只實現(xiàn)簡單的互聯(lián)功能,所有復雜的數(shù)據(jù)處理都留給終端承擔,這是互聯(lián)網(wǎng)成功的因素,但它也暴露出數(shù)據(jù)在網(wǎng)上傳輸?shù)臋C密性受到威脅,任何人都可以通過監(jiān)聽的方法去獲得經(jīng)過自己網(wǎng)絡傳輸?shù)臄?shù)據(jù)。在目前不斷發(fā)生互聯(lián)網(wǎng)安全事故的時候,對互聯(lián)網(wǎng)的安全狀況進行研究與分析已迫在眉睫。

一、 國外企業(yè)信息安全現(xiàn)狀

調(diào)查顯示,歐美等國在網(wǎng)絡安全建設投入的資金占網(wǎng)絡建設資金總額的10%左右,而日韓兩國則是8%。從國際范圍來看,美國等西方國家網(wǎng)絡基礎設施的建設比中國完善,網(wǎng)絡安全建設的起步時間也比中國早,因此發(fā)生的網(wǎng)絡攻擊、盜竊和犯罪問題也比國內(nèi)嚴重,這也致使這些國家的企業(yè)對網(wǎng)絡安全問題有更加全面的認識和足夠的重視,但縱觀全世界范圍,企業(yè)的網(wǎng)絡安全建設步伐仍然跟不上企業(yè)發(fā)展步伐和安全危害的升級速度。

國外信息安全現(xiàn)狀具有兩個特點:

(1)各行業(yè)的企業(yè)越來越認識到IT安全的重要性,并且意識到安全的必要性,并且把它作為企業(yè)的一項重要工作之一。

(2)企業(yè)對于網(wǎng)絡安全的資金投入與網(wǎng)絡建設的資金投入按比例增長,而且各項指標均明顯高于國內(nèi)水平。

二、 國內(nèi)企業(yè)網(wǎng)絡信息安全現(xiàn)狀分析

2005年全國各行業(yè)受眾對網(wǎng)絡安全技術(shù)的應用狀況數(shù)據(jù)顯示,在各類網(wǎng)絡安全技術(shù)使用中,“防火墻”的使用率最高(占76.5%),其次為“防病毒軟件”的應用(占53.1%)。2005年較2004年相比加大了其他網(wǎng)絡安全技術(shù)的投入,“物理隔離”、“路由器ACL”等技術(shù)已經(jīng)得到了應用。防火墻的使用比例較高主要是因為它價格比較便宜、易安裝,并可在線升級等特點。值得注意的是,2005年企事業(yè)單位對“使用用戶名和密碼登陸系統(tǒng)”、“業(yè)務網(wǎng)和互聯(lián)網(wǎng)進行物理隔離”等措施非常重視。其他防范措施的使用也比2004年都提高了一定的比例,對網(wǎng)絡安全和信息的保護意識也越來越高。生物識別技術(shù)、虛擬專用網(wǎng)絡及數(shù)字簽名證書的使用率較低,有相當一部分人不清楚這些技術(shù),還需要一些時間才能得到市場的認可。

根據(jù)調(diào)查顯示,我國在網(wǎng)絡安全建設投入的資金還不到網(wǎng)絡建設資金總額的1%,大幅低于歐美和日韓等國。我國目前以中小型企業(yè)占多數(shù),而中小型企業(yè)由于資金預算有限,基本上只注重有直接利益回報的投資項目,對于網(wǎng)絡安全這種看不到實在回饋的資金投入方式普遍表現(xiàn)出不積極態(tài)度。另外,企業(yè)經(jīng)營者對于安全問題經(jīng)常會抱有僥幸的心理,加上缺少專門的技術(shù)人員和專業(yè)指導,致使國內(nèi)企業(yè)目前的網(wǎng)絡安全建設情況參差不齊,普遍處于不容樂觀的狀況。

三、 企業(yè)網(wǎng)絡信息系統(tǒng)安全對策分析

“三分技術(shù),七分管理”是技術(shù)與管理策略在整個信息安全保障策略中各自重要性的體現(xiàn),沒有完善的管理,技術(shù)就是再先進,也是無濟于事的。以往傳統(tǒng)的網(wǎng)絡安全解決方案是某一種信息安全產(chǎn)品的某一方面的應用方案,只能應對網(wǎng)絡中存在的某一方面的信息安全問題。中國企業(yè)網(wǎng)絡的信息安全建設中經(jīng)常存在這樣一種不正常的現(xiàn)象,就是企業(yè)的整體安全意識普遍不強,信息安全措施單一,無法抵御綜合的安全攻擊。隨著上述網(wǎng)絡安全問題的日益突顯,國內(nèi)網(wǎng)絡的安全需求也日益提高,這種單一的解決方案就成為了信息安全建設發(fā)展的瓶頸。因此應對企業(yè)網(wǎng)絡做到全方位的立體防護,立體化的解決方案才能真正解決企業(yè)網(wǎng)絡的安全問題,立體化是未來企業(yè)網(wǎng)絡安全解決方案的趨勢,而信息保障這一思想就是這一趨勢的體現(xiàn)。信息保障是最近幾年西方一些計算機科學及信息安全專家提出的與信息安全有關(guān)的新概念,也是信息安全領(lǐng)域一個最新的發(fā)展方向。

信息保障是信息安全發(fā)展的新階段,用保障(Assurance)來取代平時我們用的安全一詞,不僅僅是體現(xiàn)了信息安全理論發(fā)展到了一個新階段,更是信息安全理念的一種提升與轉(zhuǎn)變。人們開始認識到安全的概念已經(jīng)不局限于信息的保護,人們需要的是對整個信息和信息系統(tǒng)的保護和防御,包括了對信息的保護、檢測、反應和恢復能力。為了保障信息安全,除了要進行信息的安全保護,還應該重視提高安全預警能力、系統(tǒng)的入侵檢測能力,系統(tǒng)的事件反應能力和系統(tǒng)遭到入侵引起破壞的快速恢復能力。區(qū)別于傳統(tǒng)的加密、身份認證、訪問控制、防火墻、安全路由等技術(shù),信息保障強調(diào)信息系統(tǒng)整個生命周期的防御和恢復,同時安全問題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。由此形成了包括預警、保護、檢測、反應和恢復五個環(huán)節(jié)的信息保障概念。

所以一個全方位的企業(yè)網(wǎng)絡安全體系結(jié)構(gòu)包含網(wǎng)絡的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術(shù)、身份認證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù),在攻擊者和受保護的資源間建立多道嚴密的安全防線,增加了惡意攻擊的難度,并增加審核信息的數(shù)量,同時利用這些審核信息還可以跟蹤入侵者。

參考文獻:

[1]付正:安全――我們共同的責任[J].計算機世界,2006,(19)

[2]李理:解剖您身邊的安全[N].中國計算機報,2006-4-13

篇2

就在全國國稅系統(tǒng)積極進行網(wǎng)絡安全建設時,一種新的SQL 蠕蟲病毒似乎為了對我們的系統(tǒng)進行考驗,侵入了我們國稅系統(tǒng)的網(wǎng)絡。該SQL蠕蟲病毒名為SQLSlammer。

此蠕蟲病毒是一個新的Internet蠕蟲,此病毒利用了微軟MS SQL2000的緩沖區(qū)溢出漏洞,主要攻擊各種版本的Windows操作系統(tǒng)中運行的SQL Server 2000 Server和Microsoft Desktop Engine 2000。SQL的UDP的1434端口主要用于客戶端查詢可用的連接方式,但由于程序上的漏洞,當客戶端發(fā)送超長數(shù)據(jù)包時,將導致緩沖區(qū)溢出,惡意黑客便利用此漏洞在遠程機器上執(zhí)行自己準備好的惡意代碼,將病毒放逐到Internet上。感染病毒的機器將不斷向外發(fā)送這種UDP數(shù)據(jù)報造成網(wǎng)絡堵塞。

SQL病毒的克星

作為全面的網(wǎng)絡安全整體解決方案與服務供應商,冠群金辰針對國稅部門網(wǎng)絡特點推出的網(wǎng)絡安全解決方案成為了幫助廣東國稅部門克制SQL病毒的有效手段。在該方案中,冠群金辰的干將/莫邪入侵檢測軟件(eID)扮演著舉足輕重的作用,它具備完全捕捉SQL蠕蟲病毒的特點,能迅速查到病毒源,并采取果斷措施將其隔離,通知已感染蠕蟲的相關(guān)系統(tǒng)管理員對該服務器進行處理,從而在最短的時間內(nèi)阻止了蠕蟲的傳播和對網(wǎng)絡的影響。冠群金辰的干將/莫邪入侵檢測軟件(eID)解決方案通過自動檢測在網(wǎng)絡數(shù)據(jù)流中潛在入侵、攻擊和濫用方式,提供了主動防御的網(wǎng)絡保護功能。

方案主要功能特點

集中監(jiān)視

網(wǎng)絡管理員可以在本地或遠程集中監(jiān)控運行網(wǎng)絡入侵檢測軟件一臺或者多臺工作站。通過在不同網(wǎng)段上安裝由中央工作站控制的網(wǎng)絡入侵檢測。

遠程管理

遠程用戶可以通過TCP/IP或調(diào)制解調(diào)器連接訪問運行網(wǎng)絡入侵檢測軟件工作站。一旦連接成功,用戶就可以按照網(wǎng)絡入侵檢測軟件管理員定義的許可內(nèi)容,查看和監(jiān)視網(wǎng)絡入侵檢測數(shù)據(jù),修改規(guī)則和生成報告。

入侵日志及分析

網(wǎng)絡入侵檢測軟件提供了一個綜合系統(tǒng)來捕捉信息并進行分析。軟件安裝完畢并指定一個存檔位置后,用戶定義一個可以在檔案文件中記錄任務數(shù)據(jù)的原則。用戶可以使用瀏覽器過濾、排序和查看歸檔信息并創(chuàng)建詳細報表。

網(wǎng)絡訪問控制

網(wǎng)絡入侵檢測軟件以規(guī)則為基礎,定義哪些用戶可以訪問網(wǎng)絡上的特定資源,保證只有授權(quán)用戶才可以訪問網(wǎng)絡資源。

高級防病毒引擎

病毒掃描引擎可以檢測和阻止包含了計算機病毒的網(wǎng)絡數(shù)據(jù)流。它可以防止用戶下載被病毒感染的文件。

全面的攻擊方式庫

網(wǎng)絡入侵檢測軟件可以檢測到網(wǎng)絡中數(shù)據(jù)流中的攻擊方式,即使在進行之中的攻擊也能檢測

信息包嗅探技術(shù)

網(wǎng)絡入侵檢測以秘密的方式運行,使得攻擊者無法感知到??统3T跊]有察覺的情況下被抓獲。

URL限制

字匹配掃描

網(wǎng)絡適用日志

成功應用

篇3

[關(guān)鍵詞]信息安全等級保護分級分域網(wǎng)絡隔離安全防護

1網(wǎng)絡現(xiàn)狀及防護需求

福建省莆田電業(yè)局已構(gòu)建了信息網(wǎng)絡,已經(jīng)穩(wěn)定運行有財務管理、安全生產(chǎn)管理、協(xié)同辦公、電力營銷、ERP等應用系統(tǒng)。隨著國家電網(wǎng)公司“SG186”工程的信息化建設的推進工作,網(wǎng)絡和信息系統(tǒng)情況復雜,迫切需要進行信息安全全面建設。

根據(jù)國家《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》(GB/T22240-2008)、國家《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(GB/T-22239-2008)、《國家電網(wǎng)公司“SG186”工程安全防護總體方案》、《國家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級保護基本要求》、《國家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級保護驗收測評要求(試行)》等文件要求,按照統(tǒng)籌資源,重點保護,適度安全的原則,依據(jù)等級保護定級結(jié)果,采用“二級系統(tǒng)統(tǒng)一成域,三級系統(tǒng)獨立分域”的方法,對信息網(wǎng)絡系統(tǒng)進行分級分域。

2安全防護建設目標

通過項目的實施,按照“層層遞進,縱深防御”的思想,從邊界、網(wǎng)絡、主機、應用四個層次進行安全防護等級保護設計和施工,使莆田電業(yè)局信息系統(tǒng)符合國家和國家電網(wǎng)公司的網(wǎng)絡與信息系統(tǒng)等級保護建設要求。

3實施方法

信息系統(tǒng)分級分域安全防護建設一般分三個階段:

第一階段:合理進行安全域劃分和初步規(guī)劃,針對重要信息進行防護。主要表現(xiàn)在針對業(yè)務安全要求比較高的信息系統(tǒng)如ERP、財務系統(tǒng)域進行防護,以及針對互聯(lián)網(wǎng)出口的應用層防護。

第二階段:針對當前信息網(wǎng)絡狀態(tài),按照等級保護要求進行等級化評估、安全評估和合理定級,全面獲取當前安全現(xiàn)狀以及企業(yè)信息化建設的特殊需求。在評估基礎上,全面從等級保護要求及企業(yè)信息化建設的安全需求出發(fā),合理進行安全方案設計。

第三階段:根據(jù)設計方案,全面開展等級化改造,包括技術(shù)措施和管理措施的完善,建立完整的信息安全體系,并且根據(jù)相關(guān)要求進行運行維護。

4分級分域安全防護方解決方案

信息網(wǎng)絡系統(tǒng)分級分域安全防護建設應當按照國家標準和國家電網(wǎng)公司“SG186”工程相關(guān)規(guī)定的要求完成,通過項目建設實施保障莆田電業(yè)局信息化管理系統(tǒng)的安全運營。

4.1 分級分域設計方案及安全等級建設要求

莆田電業(yè)局信息網(wǎng)絡主要分為兩個部分:信息內(nèi)網(wǎng)和信息外網(wǎng),兩個網(wǎng)絡之間通過強制隔離設備進行隔離。

信息內(nèi)網(wǎng)分級分域及安全等級建設要求:

4.1.1二級系統(tǒng)域

二級系統(tǒng)域是指協(xié)同辦公系統(tǒng)、財務管理系統(tǒng)、安全生產(chǎn)管理系統(tǒng)、人力資源管理系統(tǒng)、企業(yè)門戶、ERP等信息系統(tǒng)

安全建設等級:基于信息系統(tǒng)的整合,所有二級系統(tǒng)統(tǒng)一部署于二級系統(tǒng)域,并根據(jù)國家安全等級保護標準和國家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級保護基本要求等規(guī)范要求,按照安全防護等級二級進行建設。

4.1.2內(nèi)網(wǎng)桌面終端域

信息內(nèi)網(wǎng)桌面終端是用于內(nèi)網(wǎng)業(yè)務操作及內(nèi)網(wǎng)業(yè)務辦公處理,通過對桌面辦公終端按業(yè)務部門或訪問類型進一步進行VLAN區(qū)域細分,實現(xiàn)不同的業(yè)務訪問需求指定訪問控制及其他防護措施,由于桌面終端的安全防護與應用系統(tǒng)不同,將其劃分為獨立區(qū)域進行安全防護。

安全建設等級:按照安全等級二級進行安全建設;

信息外網(wǎng)分級分域及安全等級建設要求:

4.1.3外網(wǎng)應用系統(tǒng)域

需與互聯(lián)網(wǎng)進行數(shù)據(jù)交換的系統(tǒng)統(tǒng)一部署為外網(wǎng)系統(tǒng)域。

安全建設等級:按照安全等級二級進行安全建設;

4.1.4外網(wǎng)桌面終端域

外網(wǎng)桌面終端用于外網(wǎng)業(yè)務辦公及互聯(lián)網(wǎng)訪問,對外網(wǎng)桌面辦公終端按業(yè)務部門或訪問類型進行區(qū)域細分,針對不同業(yè)務訪問需求進行訪問控制及其他防護措施。

安全建設等級:按照安全等級二級進行安全建設;

圖1改造后的網(wǎng)絡拓撲圖

4.2 安全防護部署方案

4.2.1防火墻等級保護部署方案

目前網(wǎng)絡中主要使用防火墻來保證基礎安全。它監(jiān)控可信任網(wǎng)絡和不可信任網(wǎng)絡之間的訪問通道,以防止外部網(wǎng)絡的危險蔓延到內(nèi)部網(wǎng)絡上。

項目在四個域與核心交換機的連接點分別部署了啟明星辰天清漢馬USG-FW-4000D防火墻(見圖1),并進行了相應的配置。

防火墻典型的網(wǎng)絡部署模式包括路由模式和透明模式,本項目中,考慮到防火墻負責轉(zhuǎn)發(fā)各個區(qū)域的用戶訪問,采取透明模式部署。

根據(jù)企業(yè)安全區(qū)域的劃分,部署防火墻對不同區(qū)域之間的網(wǎng)絡流量進行控制,基本原則為:高安全級別區(qū)域可以訪問低安全級別區(qū)域,低安全級別嚴格受控訪問高安全級別區(qū)域,進行如下基本配置策略:

防火墻設置為默認拒絕工作方式,保證所有的數(shù)據(jù)包,如果沒有明確的規(guī)則允許通過,全部拒絕以保證安全;

配置防火墻防DOS/DDOS功能,對Land、Smurf、Fraggle、Ping of death、udp flood等拒絕服務攻擊進行防范;

配置防火墻全面安全防范能力,包括arp欺騙攻擊的防范,提供arp主動反向查詢、tcp報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等。

4.2.2入侵防護系統(tǒng)等級保護部署方案

在傳統(tǒng)的安全解決方案中,防火墻和入侵檢測系統(tǒng)已經(jīng)無法滿足高危網(wǎng)絡的安全需求,互聯(lián)網(wǎng)上流行的蠕蟲、P2P、木馬等安全威脅日益滋長,必須有相應的技術(shù)手段和解決方案來解決對應用層的安全威脅。以入侵防御系統(tǒng)為代表的應用層安全設備作為防火墻的重要補充,很好地解決了應用層防御的問題,并且變革了管理員構(gòu)建網(wǎng)絡防御的方式。通過部署IPS,可以在線檢測并直接阻斷惡意流量。

項目在外網(wǎng)系統(tǒng)部署1臺啟明星辰天清NIPS3060入侵防護系統(tǒng)。

4.2.3服務器換機等級保護部署方案

服務器交換機采用華為QuidwayS9306高端多業(yè)務路由交換機,該產(chǎn)品基于華為公司自主知識產(chǎn)權(quán)的Comware V5操作系統(tǒng),融合了MPLS、IPv6、網(wǎng)絡安全等多種業(yè)務,提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護等多種可靠技術(shù),在提高用戶生產(chǎn)效率的同時,保證了網(wǎng)絡最大正常運行時間,從而降低企業(yè)的總擁有成本。

項目配置兩臺華為QuidwayS9306交換機分別用作內(nèi)網(wǎng)二級系統(tǒng)域和外網(wǎng)應用系統(tǒng)域,配置冗余電源、雙引擎、2塊48端口千兆電口板、1塊48端口SFP千兆光口板卡,保證了服務器換機的安全可靠。

4.2.4終端匯聚交換機等級保護部署方案

終端匯聚交換機采用華為Quidway LS-S5328C交換機,實現(xiàn)信息內(nèi)外網(wǎng)桌面終端域的安全接入。

華為QuidwayLS-S5300系列交換機是華為公司最新開發(fā)的增強型IPv6萬兆以太網(wǎng)交換機,具備業(yè)界盒式交換機最先進的硬件處理能力和豐富的業(yè)務特性。支持最多4個萬兆擴展接口;支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā);出色的安全性、可靠性和多業(yè)務支持能力使其成為網(wǎng)絡匯聚和城域網(wǎng)邊緣設備的第一選擇。

配置2臺桌面終端匯聚交換機分別部署在信息內(nèi)網(wǎng)和信息外網(wǎng)的桌面終端域接口上。

5網(wǎng)絡安全成果分析

福建省莆田電業(yè)局信息網(wǎng)絡系統(tǒng)分級分域安全防護建設項目從邊界、網(wǎng)絡、主機、應用四個層次進行了安全防護等級保護設計及工程實施,對原有網(wǎng)絡、安全設備進行了調(diào)整,實現(xiàn)了安全域的劃分,實現(xiàn)了對關(guān)鍵業(yè)務的安全防護,達到了國家和國家電網(wǎng)公司的網(wǎng)絡與信息系統(tǒng)等級保護建設要求,并通過了國家電網(wǎng)公司等級測評驗收。

參考文獻:

[1] 信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南(GB/T22240-2008)

[2] 信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求(GB/T-22239-2008)

篇4

第二屆國家網(wǎng)絡安全宣傳周近日在北京中華世紀壇如期舉行,本屆宣傳周沿用首屆“共建網(wǎng)絡安全,共享網(wǎng)絡文明”主題。期間,騰訊與啟明星辰聯(lián)合宣布達成戰(zhàn)略合作,并面向企業(yè)市場推出全面的終端安全解決方案――云子可信網(wǎng)絡防病毒系統(tǒng),建立國內(nèi)強強聯(lián)合的企業(yè)安全服務戰(zhàn)略聯(lián)盟,為“互聯(lián)網(wǎng)+”國家戰(zhàn)略落地提供終端安全服務。

安全行業(yè)加速整合

啟明星辰副總裁兼首席戰(zhàn)略官潘柱廷表示:“新時期企業(yè)安全形勢已經(jīng)發(fā)生了巨大變化。企業(yè)防御需求,從合規(guī)性需求向內(nèi)在需求變化,而網(wǎng)絡入侵等安全威脅也越來越體系化、形勢更加嚴峻?!眴⒚餍浅?、騰訊的戰(zhàn)略合作,凸顯中國自主安全技術(shù)聯(lián)盟的實力,符合國家網(wǎng)絡強國的戰(zhàn)略方針。

過去,無論是企業(yè)終端安全,還是用戶終端安全,不同領(lǐng)域內(nèi)的安全廠商雖均有推出自己主打的安全產(chǎn)品,但國內(nèi)的企業(yè)終端安全服務市場分散,行業(yè)整合度不高,企業(yè)終端安全產(chǎn)品在安全防護上大多是孤軍奮戰(zhàn),不同廠商之間難以形成產(chǎn)品聯(lián)動,鮮有及時聯(lián)動的完整的企業(yè)終端安全解決方案;近兩年頻繁發(fā)生的企業(yè)網(wǎng)絡遭受攻擊、用戶數(shù)據(jù)泄露事件,引發(fā)安全廠商對企業(yè)終端安全問題的關(guān)注。

騰訊副總裁馬斌認為,互聯(lián)網(wǎng)化呈現(xiàn)了三個業(yè)態(tài),分別是智能化、數(shù)據(jù)化和實時化,其中最重要的一點就是互聯(lián)網(wǎng)的安全,騰訊認為互聯(lián)網(wǎng)+安全才能更加有效的保證互聯(lián)網(wǎng)化的順利進行。

面對互聯(lián)網(wǎng)的發(fā)展與變化,各行各業(yè)都在進行朝向“互聯(lián)網(wǎng)+”的轉(zhuǎn)型,無論是國家級,企業(yè)級或是個人用戶都在做“互聯(lián)網(wǎng)+”的建設,而在云、管、端的每個層面都需要構(gòu)筑完善,“互聯(lián)網(wǎng)+”要如何才能在安全的生態(tài)環(huán)境下進行是一個重要的課題,啟明星辰首席戰(zhàn)略官潘柱廷表示:“安全在‘互聯(lián)網(wǎng)+’的進程中已經(jīng)不止是‘加’的關(guān)系,而是‘乘’的關(guān)系。”反過來說,如果對網(wǎng)絡安全的問題沒有投入足夠的注意力,那么之前在互聯(lián)網(wǎng)方面的積累可能會變成一種災害,企業(yè)必須提升網(wǎng)絡安全建設水平。

安全廠商需要各抒己長、協(xié)同合作給用戶帶來最好的網(wǎng)絡安全解決方案。啟明星辰首席戰(zhàn)略官潘柱廷表示:“安全廠商不存在什么‘一招鮮’,而是需要做好自己擅長的,而后同其他企業(yè)協(xié)同合作一同完善網(wǎng)絡安全體系?!?/p>

正如啟明星辰副總裁歐陽梅雯所言:“企業(yè)級的市場很大,只有一家供應商是不健康的,只有多家供應商共同為用戶服務,有競爭,有相互合作,也有追趕,才能為用戶提供最健康的生態(tài)環(huán)境。我們希望和友商之間,通過良性競爭的方式讓用戶得到最安全、最實惠、最好的產(chǎn)品?!?/p>

在此背景下,騰訊與啟明星辰的合作秉承“開放、聯(lián)合、共享”的原則,通過開放騰訊安全云庫的能力給啟明星辰,結(jié)合啟明星辰對網(wǎng)絡安全的深層理解和安全產(chǎn)品研發(fā)能力,為國內(nèi)企業(yè)級市場提供安全產(chǎn)品,并希望以此來推動“互聯(lián)網(wǎng)+”的落地與演進。

優(yōu)勢互補

共筑企業(yè)安全生態(tài)圈

據(jù)了解,云子可信結(jié)合了啟明星辰在企業(yè)級市場安全威脅管理方面近20年的深厚技術(shù)沉淀,以及騰訊在終端安全防護領(lǐng)域長達16年的深厚技術(shù)積累,可謂繼承了雙方的“最強基因”。馬斌表示,云子可信是“雙方打破壁壘,實現(xiàn)強強聯(lián)合、優(yōu)勢互補,針對企業(yè)內(nèi)網(wǎng)終端用戶容易遇到的各類問題,提供一整套的完整終端管控安全解決方案?!?/p>

據(jù)了解,通過雙方的技術(shù)結(jié)合,云子可信解決方案打通B端企業(yè)和C端用戶,在全球首創(chuàng)了B端企業(yè)+C端用戶雙向溝通的高效管理模式――全景、全面、高效的全方位管理模式,構(gòu)建了企業(yè)安全的新生態(tài)。

云子可信網(wǎng)絡防病毒系統(tǒng)顛覆了傳統(tǒng)企業(yè)安全防護產(chǎn)品的運營模式,首次采取“安全+管理”的一體化架構(gòu),并融合了騰訊TAV自主研發(fā)殺毒引擎、安全云庫、云引擎等核心技術(shù)優(yōu)勢,以及啟明星辰多年服務企業(yè)安全的運營經(jīng)驗,代表了中國自主企業(yè)安全的最好水平。

根據(jù)雙方達成的戰(zhàn)略協(xié)議,云子可信網(wǎng)絡防病毒系統(tǒng)將由啟明星辰負責產(chǎn)品和渠道運營,而騰訊輸出引擎和云服務等核心技術(shù)。啟明星辰是國內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè),擁有橫跨防火墻/UTM、入侵檢測管理、網(wǎng)絡審計、終端管理、加密認證等技術(shù)領(lǐng)域共計百余個產(chǎn)品型號,同時還是我國規(guī)模最大的國家級網(wǎng)絡安全研究基地。啟明星辰曾完成包括國家發(fā)改委產(chǎn)業(yè)化示范工程,國家科技部863計劃、國家科技支撐計劃等國家級科研項目近百項,擁有豐富的企業(yè)級安全產(chǎn)品設計、開發(fā)經(jīng)驗。

云子可信網(wǎng)絡防病毒系統(tǒng)致力于為企業(yè)級用戶提供終端的全面安全防護,并有以下特色:

云部署模式――云子可信網(wǎng)絡防病毒系統(tǒng)采用了云部署模式,一方面通過檢測特征云的方式,及時更新至病毒特征庫;另一方面,為企業(yè)級用戶提供了云查殺的模式,減少客戶端PC的額外計算開銷,提升用戶的使用體驗。

一鍵安全――云子可信網(wǎng)絡防病毒系統(tǒng)充分考慮了終端安全產(chǎn)品使用習慣,摒棄了復雜的交互界面,提供一鍵式安全防護。

管理+安全――云子可信網(wǎng)絡防病毒系統(tǒng)不僅僅是殺毒軟件,針對企業(yè)內(nèi)網(wǎng)終端用戶容易遇到的各類問題,如機器變慢甚至死機、關(guān)鍵信息泄露、越權(quán)的網(wǎng)絡訪問等,也提供了相應的解決方案。實現(xiàn)了真正意義上的完整終端管控安全解決方案。

此外,云子可信的惡意代碼分析技術(shù)即源于啟明星辰ADLab――多年來一直保持亞洲地區(qū)CVE漏洞數(shù)量領(lǐng)先的地位,在惡意代碼分析技術(shù)方面也有著深厚的技術(shù)積累。

騰訊安全則將全球最大的風險管理數(shù)據(jù)庫――安全云庫開放給云子可信,讓這套終端安全威脅整體解決方案可以為用戶提供強有力的安全檢測能力,避免由于訪問惡意域名導致的各類損失,維護用戶的安全上網(wǎng)環(huán)境。騰訊自主研發(fā)的TAV反病毒引擎對于木馬、病毒、蠕蟲、僵尸程序等均有極高的識別和處理能力,通過云子可信結(jié)合云查殺的虛擬執(zhí)行技術(shù),可以對各類復雜甚至是未知惡意代碼進行完美識別和查殺,同時保證終端用戶的使用體驗。

篇5

[關(guān)鍵詞] 網(wǎng)絡安全防火墻陳舊設備

近年來,隨著網(wǎng)絡的迅速發(fā)展,網(wǎng)絡安全已經(jīng)成為人們?nèi)找骊P(guān)心的問題。目前,網(wǎng)絡面臨的安全威脅大體上分為兩種:一種是對網(wǎng)絡數(shù)據(jù)的威脅;另一種是對網(wǎng)絡設備的威脅。其中,來自外部或內(nèi)部人員的惡意攻擊和入侵是當前因特網(wǎng)所面臨的最大威脅,是電子商務、政府上網(wǎng)工程等順利發(fā)展的最大障礙,也是企業(yè)網(wǎng)絡安全策略最需要解決的問題。目前解決網(wǎng)絡安全問題的最有效辦法是采用防火墻。但是,由于缺乏安全防范意識和對關(guān)鍵的核心技術(shù)掌握不夠,我國的信息安全形勢不容樂觀。黑客的侵擾也是破壞信息安全的主要因素之一。目前,因特網(wǎng)上已有上萬個黑客網(wǎng)站,而且技術(shù)不斷創(chuàng)新,基本的攻擊手法已多達上千種。即使是防衛(wèi)森嚴的美國國防信息系統(tǒng)也頻頻遭受攻擊,并且成功進入率高達63%。中國目前已經(jīng)有幾千萬的網(wǎng)民,信息安全問題已經(jīng)大量出現(xiàn)。信息安全已經(jīng)成為企業(yè),政府部門網(wǎng)絡建設的重中之重。

一、防火墻概述

定義1:防火墻是一種用來加強網(wǎng)絡之間訪問控制的特殊網(wǎng)絡互聯(lián)設備,其實質(zhì)就是限制或允許數(shù)據(jù)的流通。

Internet防火墻是一種網(wǎng)絡安全保障手段,是網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網(wǎng)絡的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護的網(wǎng)絡遭外界因素的干擾和破壞。防火墻用于在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)造一個保護層。所有來自Internet(外部網(wǎng))的傳輸信息或從內(nèi)部網(wǎng)絡發(fā)出的信息都必須穿過防火墻。從邏輯上講,防火墻是分離器、限制器、分析器。防火墻的物理實現(xiàn)方式又有所不同,通常一個防火墻由一套硬件(一個路由器或路由器的組合,一臺主機)和適當?shù)能浖M成。

1.防火墻的主要功能

(1)作為網(wǎng)絡安全策略的焦點。把防火墻作為網(wǎng)絡通信的阻塞點,所有進出網(wǎng)絡的信息都必須通過這個唯一的阻塞點。防火墻為網(wǎng)絡安全起到了把關(guān)的作用,它讓我們把安全防范集中在內(nèi)外網(wǎng)絡連接的阻塞點上。

(2)強化安全策略。因為Internet 每天都有上百萬人在那里收集、交換信息,不可避免會出現(xiàn)個別品德不良或違反規(guī)則的人。防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”,它執(zhí)行站點的安全策略,僅僅容許“認可的”和符合規(guī)則的請求通過。

(3)有效記錄網(wǎng)絡活動。因為所有的傳輸信息都會穿過防火墻,所以,防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡使用的多種信息。

(4)掩蓋內(nèi)部網(wǎng)絡的拓撲結(jié)構(gòu)。防火墻能夠?qū)?nèi)部網(wǎng)絡分為多個網(wǎng)段,限制訪問等等。所以,它可以用來防止對內(nèi)部網(wǎng)絡的惡意探測。。

2.目前防火墻的差異

正如中國的一句俗語所說的“一母生九子,九子各不同”,在這短短的時間內(nèi)涌現(xiàn)出的各種安全設備同樣存在著各種各樣的差異,這些差異主要來源與。

(1)產(chǎn)品采用的核心技術(shù),體系架構(gòu)的不同。

(2)廠商技術(shù)實力的差距。

(3)開發(fā)成本的約束。

(4)生產(chǎn)成本的限制。

(5)產(chǎn)品定位、目標客戶群不同。

由于以上各種限制因素的存在,造成了產(chǎn)品在各個方面形成差距,主要表現(xiàn)在:產(chǎn)品安全性;產(chǎn)品穩(wěn)定性;產(chǎn)品性價比;產(chǎn)品技術(shù)先進性;產(chǎn)品實際應用定位;售后服務支持能力;產(chǎn)品可持續(xù)升級能力。

不同廠商所開發(fā)的防火墻產(chǎn)品或者是同一廠商所提供的不同系列的防火墻產(chǎn)品在各個方面都存在著差異,這些差異可能會構(gòu)成客戶選擇的參考因素。但是與此同時,這些差異也構(gòu)成了產(chǎn)品的不同特點,也就是所謂“尺有所短,寸有所長”。在網(wǎng)絡中充分結(jié)合利用各家產(chǎn)品的優(yōu)點長處,取長補短,則會讓組合方案發(fā)揮出最大效果,實現(xiàn)單一產(chǎn)品所無法達到的性能。

二、企業(yè)信息安全建設現(xiàn)狀

企業(yè)的信息安全建設是一個持續(xù)的、艱巨的過程,它不可能一蹴而就,這就意味著企業(yè)IT主管必須時刻關(guān)注業(yè)內(nèi)最新動態(tài),追蹤熱門技術(shù),保證企業(yè)網(wǎng)絡能夠快速適應當前的反黑形勢。企業(yè)網(wǎng)絡的狀況是在不斷的變化的。業(yè)內(nèi)各安全產(chǎn)品的優(yōu)劣形勢也在變化,所以當年的最佳解決方案在今天看上去往往已經(jīng)不能滿足企業(yè)的需要。企業(yè)IT人員有責任將之快速扭轉(zhuǎn)過來。扭轉(zhuǎn)這種落后局面的方法有很多種,最常見的也是最有效的方法就是“設備替換法”。這種方法關(guān)注于尋求當前最先進同類產(chǎn)品,將網(wǎng)絡已有的陳舊設備簡單替換即可,以求得實現(xiàn)最新技術(shù)在網(wǎng)絡中的運用,達到當前網(wǎng)絡安全的需要。但是,這種方法沒有考慮到陳舊設備的再利用,替換下來的陳舊設備一般而言無法出售,只能閑置或遺棄,造成企業(yè)固定資產(chǎn)的流失浪費。既然升級是不可避免的,而且大多情況下又是非常緊迫的,那么如何進行網(wǎng)絡安全升級改造,達到既不浪費資產(chǎn)又要發(fā)揮出產(chǎn)品最大性能的目的呢?這個問題已經(jīng)成為企業(yè)IT主管的重要考慮課題。

三、解決辦法

1.利用原有設備組成新的防火墻

疊加式防火墻(圖1)將多臺防火墻串聯(lián)在一條鏈路之上(如企業(yè)網(wǎng)絡的出口位置),所有訪問流量都要先后通過多臺不同廠家的防火墻的審計保護,每種防火墻都將按照自己特定的體系結(jié)構(gòu)和安全策略對過往流量進行核查,利用新設備來防范新的網(wǎng)絡攻擊方式。組合后的整個防火墻系統(tǒng)的漏洞集是每臺防火墻漏洞的集的交集,網(wǎng)絡攻擊滲透過整套系統(tǒng)的概率將會大大降低,因此該部署方式能夠充分結(jié)合多臺防火墻在安全、審計方面的多種優(yōu)勢,同時所購買的新設備不用具有舊設備所具有的功能,從而大大節(jié)約了開支,降低了成本。

2.利用原有設備為網(wǎng)絡提供備用防火墻

并行式組合方式(圖2)強調(diào)的是提供整套系統(tǒng)的健壯性,即利用陳舊設備為網(wǎng)絡提供一個并行的防火墻設備。因為每個系統(tǒng)都有自己的平均無故障時間間隔MTBF值,這意味著無論何種設備都很難保證長時間平穩(wěn)地運行,因此,為了保護企業(yè)網(wǎng)絡應用的連續(xù)性和穩(wěn)定性,企業(yè)網(wǎng)管人員可以考慮采用多種防火墻設備并行的部署方式,來獲得較大的MTBF值;除此之外,通過并行部署,企業(yè)網(wǎng)絡出口流量能夠得到大幅度分流,并且可以根據(jù)用戶類型或應用業(yè)務不同而劃分不同的路由,在不同廠家的防火墻上實現(xiàn)針對性的防護措施,從而實現(xiàn)安全性更高的防護體系。但是并行的方式在部署上會有很大難度,里面可能涉及網(wǎng)絡需要改造和調(diào)整,所以采用這種方式的可行性有限。

在上面所論述的方案中,有一點需要特別注意,那就是新舊設備必須是不同種類、不同廠家的產(chǎn)品。其中的原因就是同一生產(chǎn)廠家的產(chǎn)品在技術(shù)原理上往往呈現(xiàn)一種連續(xù)性,類似于人類的“血緣關(guān)系”一樣,這就造成同一生產(chǎn)廠家的產(chǎn)品具備很大的相似性。所以,如果某廠家的某類產(chǎn)品存在某種缺陷的話,那么該廠家的其他同類產(chǎn)品通常也會存在該缺陷;反之亦然,同一生產(chǎn)廠家的產(chǎn)品也會具備相近的優(yōu)點。這樣一來,采用同一生產(chǎn)廠家的多臺防火墻產(chǎn)品進行組合應用所形成的系統(tǒng)擁有與單機完全相同的缺陷,而且轉(zhuǎn)發(fā)處理延遲、系統(tǒng)穩(wěn)定性都回明顯降低,完全失去了實際意義。因而,采用不同生產(chǎn)廠家的防火墻系統(tǒng)是實現(xiàn)高效、穩(wěn)定、健壯的組合系統(tǒng)的最重要的前提條件。

四、結(jié)論

多廠商防火墻系統(tǒng)的組合應用是一種比較高效的解決方案,在企業(yè)資金還不寬裕,而網(wǎng)絡安全形勢又十分嚴峻的情況下,它既可以充分利用現(xiàn)有設備,保護企業(yè)已有的投資,又能實現(xiàn)更為理想的網(wǎng)絡保護效果,可謂是一舉兩得。

參考文獻:

[1]海爾(美)劉成勇等:Internet防火墻與網(wǎng)絡安全[M].北京:機械工業(yè)出版社,1998

[2]張兆信:計算機網(wǎng)絡安全與應用[M].北京:機械工業(yè)出版社,2005

[3]劉淵:因特網(wǎng)防火墻技術(shù)[M].北京:機械工業(yè)出版社,1998

篇6

對于具有開發(fā)性、國際性和自由度的互聯(lián)網(wǎng)在增加應用自由度的同時,也存在著太多太復雜的安全隱患,信息安全令人擔擾。有人這樣說:“如果上網(wǎng),你所受到的安全威脅將增大幾倍;而如果不上網(wǎng),則你所得到的服務將減少幾倍”。因此,可信網(wǎng)絡已經(jīng)成為當前研究的熱點話題。網(wǎng)絡應為科研服務,作為校園網(wǎng)在提高管理效率、促進教科研發(fā)展、方便校園生活的同時,網(wǎng)絡中的各種安全問題也層出不窮,提高IT安全建設和管理水平已成為高校信息化建設中不容忽視的重要工作內(nèi)容。

2 校園網(wǎng)安全面臨的困難

現(xiàn)在大多數(shù)校園網(wǎng)以Windows作為系統(tǒng)平臺,因為其功能太多,太復雜了(Windows操作系統(tǒng)就有上千萬行程序),致使操作系統(tǒng)都不可能做到完全正確,所以其它系統(tǒng)的安全性能都是很難保證的。對于具有更復雜環(huán)境的校園網(wǎng)來說,不但面臨著系統(tǒng)安全及其威脅,而且還具有自已的特殊性。一方面,學生的好奇心強,一些學生社會責任感較輕,喜歡挑戰(zhàn);另一方面,校園網(wǎng)的網(wǎng)絡條件普遍較好,計算機來源又較為復雜,隱蔽的IP地址使之更容易實施網(wǎng)絡攻擊。同時,教育信息化管理中長期形成的“重技術(shù),輕管理”的思想,也使得校園網(wǎng)的安全形勢更加嚴峻。

隨著信息技術(shù)的不斷發(fā)展,病毒傳播的途徑越來越多樣化。對于校園網(wǎng)管理人員而言,還不得不面對大面積的ARP欺騙病毒,這對于用戶群龐大而導致可控性和有序性很差的校園網(wǎng)提出了巨大的挑戰(zhàn),構(gòu)建校園網(wǎng)絡應急響應機制迫在眉睫。

3 校園網(wǎng)應急響應機制的建立

2007年6-7月間,由教育部科技發(fā)展中心主辦、中國教育網(wǎng)絡雜志承辦的“2007教育行業(yè)信息安全大會”在北京等地召開。會議對“高校建立應急響應機制”進行了專題問卷調(diào)查,調(diào)查結(jié)果顯示,66%的高校未建立安全應急響應機制,33%的高校計劃在年內(nèi)建立學校的安全應急響應機制。由此可見還有大部分高校在網(wǎng)絡安全管理方面還需加大力度,僅憑單純的安全產(chǎn)品和簡單的防御技術(shù)是無法抵擋攻擊的,必須依靠應急響應等一套完整的服務管理機制,建立其相應的流程,通過加強學習努力提高隊伍的技術(shù)水平及響應能力,從技術(shù)和管理兩個維度保證網(wǎng)絡安全。

校園網(wǎng)應急響應是指在校園網(wǎng)內(nèi)行使CERT/CC(計算機緊急響應小組及其協(xié)調(diào)中心)的職能,對校園網(wǎng)內(nèi)的各網(wǎng)絡應用部門和用戶提供網(wǎng)絡安全事件的快速響應或技術(shù)支持服務,也對校園網(wǎng)內(nèi)的各接入單位及用戶提供安全事件響應相關(guān)的咨詢服務。校園網(wǎng)應急響應組的主要職能是:對計算機網(wǎng)絡系統(tǒng)的安全事件一是進行緊急反應,盡快恢復系統(tǒng)或網(wǎng)絡的正常運轉(zhuǎn)。二是要使系統(tǒng)和網(wǎng)絡設施所遭受的破壞最小化。三是對影響系統(tǒng)和網(wǎng)絡安全的漏洞及防治措施進行通報,對安全風險進行評估等。

比較完善的網(wǎng)絡安全機制,應包括網(wǎng)絡安全服務、網(wǎng)絡安全管理和用戶安全意識三方面。因此,校園網(wǎng)應急響應組依據(jù)其職責不同分為以下三個安全工作小組。

(1)事件處理工作小組及職能:主要負責安全事件的應急與救援、事件的分析、安全警報的等。主要職能是服務,制定和實施校園網(wǎng)安全策略及網(wǎng)絡安全突發(fā)事件應急響應預案;監(jiān)測網(wǎng)絡運行日常狀態(tài),及時安全公告、安全建議和安全警報,當發(fā)生了安全事件時及時向CERT熱線響應;解答用戶的安全方面的咨詢;定期對網(wǎng)內(nèi)用戶進行風險評估等。

(2)技術(shù)研發(fā)工作小組及職能:主要通過研發(fā),尋求安全漏洞的解決方案,應急處理的信息與技術(shù)支持平臺。主要職能是安全研究,研究內(nèi)容是校園網(wǎng)常用網(wǎng)絡攻擊技術(shù)及防范。

(3)教育培訓工作小組及職能:建立應急處理服務隊伍,通過各種形式的培訓提高全校師生的網(wǎng)絡安全意識,加強師生行為安全。主要職能是宣傳教育,對校園網(wǎng)用戶進行安全知識的教育與網(wǎng)絡安全技術(shù)培訓,使其提高自我保護意識,自覺關(guān)注網(wǎng)絡上最新的病毒和黑客攻擊,自主解決網(wǎng)絡安全問題。

應急響應是全方位的工作,再好的經(jīng)驗也是具有不可復制性,無論建立何種模式的機制,最重要的是要與高校網(wǎng)絡自身特點相結(jié)合,建立有自身特色的應急響應機制并在實踐過程中不斷改進和完善。一個良好的響應機制要技術(shù)力量到位、部門責任明確、合作流程清晰,并遵循可行性、高效率、高效益和低風險的原則。因此我們應通過加強主動性,使安全故障的應急響應能力從報警向預警的道路上邁出堅實的步伐,為從容不迫應對網(wǎng)絡突發(fā)安全事件打下基礎。

篇7

不久前,思科系統(tǒng)公司首席安全官John Stewart稱:“企業(yè)正在安全流程中浪費金錢,使用補丁和使用殺毒軟件,都是不起作用的。”

對此筆者的感想是,在理論上思科公司是可以不使用殺毒軟件、打補丁的方法,用更先進的措施辦法來解決病毒等威脅攻擊的。但我也想用個現(xiàn)實的例子說明一下:晉惠帝御宴,方食肉脯,東撫奏旱荒,饑民多餓死。帝曰:“饑民無谷食,便食這肉脯,也可充腹,何致餓死?”這其實和思科首席安全官的話語有很大程度的相似。

那么,企業(yè)究竟應該如何保證企業(yè)網(wǎng)絡的安全呢?筆者認為應該從以下幾步開始。

第一步:

確定安全策略

首先弄清楚所要保護的對象。公司是否在運行著文件服務器、郵件服務器、數(shù)據(jù)庫服務器?辦公系統(tǒng)有多少客戶端、業(yè)務網(wǎng)段有多少客戶端、公司的核心數(shù)據(jù)有多少,存儲在哪里?目前亞洲地區(qū)仍有相當多的公司,手工將關(guān)鍵數(shù)據(jù)存儲在工作簿或賬簿上。如果貴公司的計算機通常只是用來文字處理,或者是玩游戲,那數(shù)據(jù)可能根本不值得去保護。然而,如果貴公司保存有大量的敏感信息,例如信用卡號碼或者財務往來交易事項,那么貴公司所需要的安全等級將會很高。

一般企業(yè)網(wǎng)絡的應用系統(tǒng),主要有Web、E-mail、OA、MIS、財務系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展,網(wǎng)絡體系結(jié)構(gòu)也會變得越來越復雜,應用系統(tǒng)也會越來越多。從整個網(wǎng)絡系統(tǒng)的管理上來看,既有內(nèi)部用戶,也有外部用戶,因此,整個企業(yè)的網(wǎng)絡系統(tǒng)存在以下兩個方面的安全問題:

1.Internet的安全性:目前互聯(lián)網(wǎng)應用越來越廣泛,黑客與病毒無孔不入,這極大地影響了Internet的可靠性和安全性,保護Internet、加強網(wǎng)絡安全建設已經(jīng)迫在眉捷。

2.企業(yè)內(nèi)網(wǎng)的安全性:企業(yè)內(nèi)部的網(wǎng)絡安全同樣需要重視,存在的安全隱患主要有未授權(quán)的訪問、破壞數(shù)據(jù)完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災難恢復措施等。

第二步:

弄清自身需求

要搞清楚,每年預算多少經(jīng)費用于支付安全策略?可以購買什么?是一個入門級常用的防火墻還是一個擁有多種特性的綜合網(wǎng)關(guān)UTM產(chǎn)品?企業(yè)局域網(wǎng)客戶端的安全需求是什么?有多少臺嚴格的機器?此外,很重要的一步便是在功能性和安全性方面做出選擇。貴公司網(wǎng)絡必須提供的服務有哪些:郵件、網(wǎng)頁還是數(shù)據(jù)庫?該網(wǎng)絡真的需要即時消息么?某些情況下,貴公司擁有什么并不重要,重要的是怎么利用它。相對于將整個預算花在一個“花架子”似的防火墻上,實現(xiàn)多層防御是一個很不錯的策略。盡管如此,我們還是有必要去查看一下整個網(wǎng)絡,并弄清楚如何劃分才會最佳。

針對網(wǎng)絡受到非法攻擊以及病毒爆發(fā),網(wǎng)絡管理員還需做好準備工作:目前的設備能夠做好足夠的日志么?路由器、防火墻或者系統(tǒng)日志服務器能夠告訴我們非法侵入的時間和手段嗎?是否有一個適當位置可以用來恢復?如果受到攻擊的服務器需要擦除并重新配置,能盡可能減少關(guān)鍵數(shù)據(jù)的流失,并快速實現(xiàn)么?

因此,筆者認為,企業(yè)的安全需要可以歸納為以下幾點。

1.基本安全需求

保護企業(yè)網(wǎng)絡中設備的正常運行,維護主要業(yè)務系統(tǒng)的安全,是企業(yè)網(wǎng)絡的基本安全需求。針對企業(yè)網(wǎng)絡的運行環(huán)境,主要包括:網(wǎng)絡正常運行、網(wǎng)絡管理、網(wǎng)絡部署、數(shù)據(jù)庫及其他服務器資料不被竊取、保護用戶賬號口令等個人資料不被泄露、對用戶賬號和口令進行集中管理、對授權(quán)的個人限制訪問功能、分配個人操作等級、進行用戶身份認證、服務器、PC機和Internet/Intranet網(wǎng)關(guān)的防病毒保證、提供靈活高效且安全的內(nèi)外通信服務、保證撥號用戶的上網(wǎng)安全等。

2.關(guān)鍵業(yè)務系統(tǒng)的安全需求

關(guān)鍵業(yè)務系統(tǒng)是企業(yè)網(wǎng)絡應用的核心。關(guān)鍵業(yè)務系統(tǒng)應該具有最高的網(wǎng)絡安全措施,其安全需求主要包括:訪問控制,確保業(yè)務系統(tǒng)不被非法訪問;數(shù)據(jù)安全,保證數(shù)據(jù)庫軟硬系統(tǒng)的整體安全性和可靠性,保證數(shù)據(jù)不被來自網(wǎng)絡內(nèi)部其他子系統(tǒng)(子網(wǎng)段)的破壞;安全預警,對于試圖破壞關(guān)鍵業(yè)務系統(tǒng)的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤,提供非法攻擊的犯罪證據(jù);系統(tǒng)服務器、客戶機以及電子郵件系統(tǒng)的綜合防病毒措施等。

第三步:

制定解決方案

前兩步是不可或缺的部分,不了解自身狀況就無法制定因地制宜的解決方案。解決方案是指定給有具體需求的單位,有大眾性,但無通用性。調(diào)查顯示:近60%的企業(yè)面臨著以防護病毒和惡意行為為主的信息安全需求。

那么,下一步,就是采用何種解決方案的問題。針對防毒解決方案,筆者推薦瑞星公司的幾款產(chǎn)品:瑞星網(wǎng)絡版殺毒軟件企業(yè)版、瑞星防毒墻、瑞星網(wǎng)絡安全預警系統(tǒng)。

這是企業(yè)整體防毒解決方案,主要是為了以下幾個目的。

1. 網(wǎng)絡邊緣防護

防毒墻可以根據(jù)用戶的不同需要,具備針對HTTP、FTP、SMTP和POP3協(xié)議內(nèi)容檢查、清除病毒的能力,同時通過實施安全策略可以在網(wǎng)絡環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強大的防火墻體系,不但可以保護內(nèi)部資源不受外部網(wǎng)絡的侵犯,同時可以阻止內(nèi)部用戶對外部不良資源的濫用。

2. 內(nèi)部網(wǎng)絡行為監(jiān)控和規(guī)范

網(wǎng)絡安全預警系統(tǒng)可對HTTP、SMTP、POP3和基于HTTP協(xié)議的其他應用協(xié)議具有100%的記錄能力,企業(yè)內(nèi)部用戶上網(wǎng)信息識別粒度達到每一個URL請求和每一個URL請求的回應。通過對網(wǎng)絡內(nèi)部網(wǎng)絡行為的監(jiān)控可以規(guī)范網(wǎng)絡內(nèi)部的上網(wǎng)行為,提高工作效率,同時避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡安全隱患。

3. 計算機病毒的監(jiān)控和清除

網(wǎng)絡殺毒軟件是一個專門針對網(wǎng)絡病毒傳播特點開發(fā)的網(wǎng)絡防病毒軟件,可以實現(xiàn)防病毒體系的統(tǒng)一、集中管理,實時掌握了解當前網(wǎng)絡內(nèi)計算機病毒事件,并實現(xiàn)對網(wǎng)絡內(nèi)的所有計算機遠程反病毒策略設置和安全操作。

4. 用控制臺和Web方式管理

通過這兩種方式管理員可以靈活、簡便地根據(jù)自身實際情況設置、修改安全策略,及時掌握了解網(wǎng)絡當前的運行基本信息。

5. 可進行日志分析和報表統(tǒng)計

這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關(guān)信息。此外,報表系統(tǒng)可以自動生成各種形式的攻擊統(tǒng)計報表,形式包括日報表、月報表、年報表等,通過來源分析、目標分析、類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網(wǎng)絡上發(fā)生的各種事件,有助于管理人員提高網(wǎng)絡的安全管理。

6. 功能模塊化組合

篇8

[摘要]計算機網(wǎng)絡安全建設是涉及我國經(jīng)濟發(fā)展、社會發(fā)展和國家安全的重大問題。本文結(jié)合網(wǎng)絡安全建設的全面信息,在對網(wǎng)絡系統(tǒng)詳細的需求分析基礎上,依照計算機網(wǎng)絡安全設計目標和計算機網(wǎng)絡安全系統(tǒng)的總體規(guī)劃,設計了一個完整的、立體的、多層次的網(wǎng)絡安全防御體系。

[關(guān)鍵詞]網(wǎng)絡安全方案設計實現(xiàn)

一、計算機網(wǎng)絡安全方案設計與實現(xiàn)概述

影響網(wǎng)絡安全的因素很多,保護網(wǎng)絡安全的技術(shù)、手段也很多。一般來說,保護網(wǎng)絡安全的主要技術(shù)有防火墻技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)、防病毒技術(shù)、加密技術(shù)、身份認證技術(shù),等等。為了保護網(wǎng)絡系統(tǒng)的安全,必須結(jié)合網(wǎng)絡的具體需求,將多種安全措施進行整合,建立一個完整的、立體的、多層次的網(wǎng)絡安全防御體系,這樣一個全面的網(wǎng)絡安全解決方案,可以防止安全風險的各個方面的問題。

二、計算機網(wǎng)絡安全方案設計并實現(xiàn)

1.桌面安全系統(tǒng)

用戶的重要信息都是以文件的形式存儲在磁盤上,使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率,但同時也造成用戶的信息易受到攻擊,造成泄密。特別是對于移動辦公的情況更是如此。因此,需要對移動用戶的文件及文件夾進行本地安全管理,防止文件泄密等安全隱患。

本設計方案采用清華紫光公司出品的紫光S鎖產(chǎn)品,“紫光S鎖”是清華紫光“桌面計算機信息安全保護系統(tǒng)”的商品名稱。紫光S鎖的內(nèi)部集成了包括中央處理器(CPU)、加密運算協(xié)處理器(CAU)、只讀存儲器(ROM),隨機存儲器(RAM)、電可擦除可編程只讀存儲器(E2PROM)等,以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS(ChipOperatingSystem)、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認證的SmartCOS,其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改,防止非法軟件對S鎖進行操作。

2.病毒防護系統(tǒng)

基于單位目前網(wǎng)絡的現(xiàn)狀,在網(wǎng)絡中添加一臺服務器,用于安裝IMSS。

(1)郵件防毒。采用趨勢科技的ScanMailforNotes。該產(chǎn)品可以和Domino的群件服務器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中,可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件,實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒??赏ㄟ^任何Notes工作站或Web界面遠程控管防毒管理工作,并提供實時監(jiān)控病毒流量的活動記錄報告。ScanMail是NotesDominoServer使用率最高的防病毒軟件。

(2)服務器防毒。采用趨勢科技的ServerProtect。該產(chǎn)品的最大特點是內(nèi)含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響,另一方面使所有服務器的防毒系統(tǒng)可以從單點進行部署,管理和更新。

(3)客戶端防毒。采用趨勢科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡版的客戶端防毒系統(tǒng),使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產(chǎn)品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。

(4)集中控管TVCS。管理員可以通過此工具在整個企業(yè)范圍內(nèi)進行配置、監(jiān)視和維護趨勢科技的防病毒軟件,支持跨域和跨網(wǎng)段的管理,并能顯示基于服務器的防病毒產(chǎn)品狀態(tài)。無論運行于何種平臺和位置,TVCS在整個網(wǎng)絡中總起一個單一管理控制臺作用。簡便的安裝和分發(fā)部署,網(wǎng)絡的分析和病毒統(tǒng)計功能以及自動下載病毒代碼文件和病毒爆發(fā)警報,給管理帶來極大的便利。

3.動態(tài)口令身份認證系統(tǒng)

動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎上,結(jié)合生成動態(tài)口令的特點,加以精心修改,通過十次以上的非線性迭代運算,完成時間參數(shù)與密鑰充分的混合擴散。在此基礎上,采用先進的身份認證及加解密流程、先進的密鑰管理方式,從整體上保證了系統(tǒng)的安全性。

4.訪問控制“防火墻”

單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡部分構(gòu)成,在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,從而構(gòu)成了對網(wǎng)絡安全的重要隱患。本設計方案選用四臺網(wǎng)御防火墻,分別配置在高性能服務器和三個重要部門的局域網(wǎng)出入口,實現(xiàn)這些重要部門的訪問控制。

通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻,通過防火墻將網(wǎng)絡內(nèi)部不同部門的網(wǎng)絡或關(guān)鍵服務器劃分為不同的網(wǎng)段,彼此隔離。這樣不僅保護了單位網(wǎng)絡服務器,使其不受來自內(nèi)部的攻擊,也保護了各部門網(wǎng)絡和數(shù)據(jù)服務器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡的攻擊。如果有人闖進您的一個部門,或者如果病毒開始蔓延,網(wǎng)段能夠限制造成的損壞進一步擴大。

5.信息加密、信息完整性校驗

為有效解決辦公區(qū)之間信息的傳輸安全,可以在多個子網(wǎng)之間建立起獨立的安全通道,通過嚴格的加密和認證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實性和私有性。

SJW-22網(wǎng)絡密碼機系統(tǒng)組成

網(wǎng)絡密碼機(硬件):是一個基于專用內(nèi)核,具有自主版權(quán)的高級通信保護控制系統(tǒng)。

本地管理器(軟件):是一個安裝于密碼機本地管理平臺上的基于網(wǎng)絡或串口方式的網(wǎng)絡密碼機本地管理系統(tǒng)軟件。

中心管理器(軟件):是一個安裝于中心管理平臺(Windows系統(tǒng))上的對全網(wǎng)的密碼機設備進行統(tǒng)一管理的系統(tǒng)軟件。

6.安全審計系統(tǒng)

根據(jù)以上多層次安全防范的策略,安全網(wǎng)的安全建設可采取“加密”、“外防”、“內(nèi)審”相結(jié)合的方法,“內(nèi)審”是對系統(tǒng)內(nèi)部進行監(jiān)視、審查,識別系統(tǒng)是否正在受到攻擊以及內(nèi)部機密信息是否泄密,以解決內(nèi)層安全。

安全審計系統(tǒng)能幫助用戶對安全網(wǎng)的安全進行實時監(jiān)控,及時發(fā)現(xiàn)整個網(wǎng)絡上的動態(tài),發(fā)現(xiàn)網(wǎng)絡入侵和違規(guī)行為,忠實記錄網(wǎng)絡上發(fā)生的一切,提供取證手段。作為網(wǎng)絡安全十分重要的一種手段,安全審計系統(tǒng)包括識別、記錄、存儲、分析與安全相關(guān)行為有關(guān)的信息。

在安全網(wǎng)中使用的安全審計系統(tǒng)應實現(xiàn)如下功能:安全審計自動響應、安全審計數(shù)據(jù)生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。

本設計方案選用“漢邦軟科”的安全審計系統(tǒng)作為安全審計工具。

漢邦安全審計系統(tǒng)是針對目前網(wǎng)絡發(fā)展現(xiàn)狀及存在的安全問題,面向企事業(yè)的網(wǎng)絡管理人員而設計的一套網(wǎng)絡安全產(chǎn)品,是一個分布在整個安全網(wǎng)范圍內(nèi)的網(wǎng)絡安全監(jiān)視監(jiān)測、控制系統(tǒng)。

(1)安全審計系統(tǒng)由安全監(jiān)控中心和主機傳感器兩個部分構(gòu)成。主機傳感器安裝在要監(jiān)視的目標主機上,其監(jiān)視目標主機的人機界面操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡連接情況及共享資源的使用情況。安全監(jiān)控中心是管理平臺和監(jiān)控平臺,網(wǎng)絡管理員通過安全監(jiān)控中心為主機傳感器設定監(jiān)控規(guī)則,同時獲得監(jiān)控結(jié)果、報警信息以及日志的審計。主要功能有文件保護審計和主機信息審計。

①文件保護審計:文件保護安裝在審計中心,可有效的對被審計主機端的文件進行管理規(guī)則設置,包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護進行用戶管理。

②主機信息審計:對網(wǎng)絡內(nèi)公共資源中,所有主機進行審計,可以審計到主機的機器名、當前用戶、操作系統(tǒng)類型、IP地址信息。

(2)資源監(jiān)控系統(tǒng)主要有四類功能。①監(jiān)視屏幕:在用戶指定的時間段內(nèi),系統(tǒng)自動每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結(jié)束。②監(jiān)視鍵盤:在用戶指定的時間段內(nèi),截獲HostSensorProgram用戶的所有鍵盤輸入,用戶實時控制鍵盤截獲的開始和結(jié)束。

③監(jiān)測監(jiān)控RAS連接:在用戶指定的時間段內(nèi),記錄所有的RAS連接信息。用戶實時控制ass連接信息截獲的開始和結(jié)束。當gas連接非法時,系統(tǒng)將自動進行報警或掛斷連接的操作。

④監(jiān)測監(jiān)控網(wǎng)絡連接:在用戶指定的時間段內(nèi),記錄所有的網(wǎng)絡連接信息(包括:TCP,UDP,NetBios)。用戶實時控制網(wǎng)絡連接信息截獲的開始和結(jié)束。由用戶指定非法的網(wǎng)絡連接列表,當出現(xiàn)非法連接時,系統(tǒng)將自動進行報警或掛斷連接的操作。

單位內(nèi)網(wǎng)中安全審計系統(tǒng)采集的數(shù)據(jù)來源于安全計算機,所以應在安全計算機安裝主機傳感器,保證探頭能夠采集進出網(wǎng)絡的所有數(shù)據(jù)。安全監(jiān)控中心安裝在信息中心的一臺主機上,負責為主機傳感器設定監(jiān)控規(guī)則,同時獲得監(jiān)控結(jié)果、報警信息以及日志的審計。單位內(nèi)網(wǎng)中的安全計算機為600臺,需要安裝600個傳感器。

7.入侵檢測系統(tǒng)IDS

入侵檢測作為一種積極主動的安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。從網(wǎng)絡安全的立體縱深、多層次防御的角度出發(fā),入侵檢測理應受到人們的高度重視,這從國際入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。

根據(jù)網(wǎng)絡流量和保護數(shù)據(jù)的重要程度,選擇IDS探測器(百兆)配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機處放置,核心交換機放置控制臺,監(jiān)控和管理所有的探測器因此提供了對內(nèi)部攻擊和誤操作的實時保護,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。

在單位安全內(nèi)網(wǎng)中,入侵檢測系統(tǒng)運行于有敏感數(shù)據(jù)的幾個要害部門子網(wǎng)和其他部門子網(wǎng)之間,通過實時截取網(wǎng)絡上的是數(shù)據(jù)流,分析網(wǎng)絡通訊會話軌跡,尋找網(wǎng)絡攻擊模式和其他網(wǎng)絡違規(guī)活動。

8.漏洞掃描系統(tǒng)

本內(nèi)網(wǎng)網(wǎng)絡的安全性決定了整個系統(tǒng)的安全性。在內(nèi)網(wǎng)高性能服務器處配置一臺網(wǎng)絡隱患掃描I型聯(lián)動型產(chǎn)品。I型聯(lián)動型產(chǎn)品適用于該內(nèi)網(wǎng)這樣的高端用戶,I型聯(lián)動型產(chǎn)品由手持式掃描儀和機架型掃描服務器結(jié)合一體,網(wǎng)管人員就可以很方便的實現(xiàn)了集中管理的功能。網(wǎng)絡人員使用I型聯(lián)動型產(chǎn)品,就可以很方便的對200信息點以上的多個網(wǎng)絡進行多線程較高的掃描速度的掃描,可以實現(xiàn)和IDS、防火墻聯(lián)動,尤其適合于制定全網(wǎng)統(tǒng)一的安全策略。同時移動式掃描儀可以跨越網(wǎng)段、穿透防火墻,實現(xiàn)分布式掃描,服務器和掃描儀都支持定時和多IP地址的自動掃描,網(wǎng)管人員可以很輕松的就可以進行整個網(wǎng)絡的掃描,根據(jù)系統(tǒng)提供的掃描報告,配合我們提供的三級服務體系,大大的減輕了工作負擔,極大的提高了工作效率。

聯(lián)動掃描系統(tǒng)支持多線程掃描,有較高的掃描速度,支持定時和多IP地址的自動掃描,網(wǎng)管人員可以很輕松的對自己的網(wǎng)絡進行掃描和漏洞的彌補。同時提供了Web方式的遠程管理,網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡拓撲結(jié)構(gòu)和添加其他的應用程序就可以輕輕松松的保證了網(wǎng)絡的安全性。另外對于信息點少、網(wǎng)絡環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡隱患掃描II型移動式掃描儀。移動式掃描儀使用靈活,可以跨越網(wǎng)段、穿透防火墻,對重點的服務器和網(wǎng)絡設備直接掃描防護,這樣保證了網(wǎng)絡安全隱患掃描儀和其他網(wǎng)絡安全產(chǎn)品的合作和協(xié)調(diào)性,最大可能地消除安全隱患。

在防火墻處部署聯(lián)動掃描系統(tǒng),在部門交換機處部署移動式掃描儀,實現(xiàn)放火墻、聯(lián)動掃描系統(tǒng)和移動式掃描儀之間的聯(lián)動,保證了網(wǎng)絡安全隱患掃描儀和其他網(wǎng)絡安全產(chǎn)品的合作和協(xié)調(diào)性,最大可能的消除安全隱患,盡可能早地發(fā)現(xiàn)安全漏洞并進行修補,優(yōu)化資源,提高網(wǎng)絡的運行效率和安全性。

三、結(jié)束語

篇9

關(guān)鍵詞:工控;網(wǎng)絡安全;安全建設

1前言

隨著工業(yè)化與信息化的快速發(fā)展以及云、大、物、智、移等新技術(shù)的逐步發(fā)展和深化實踐,制造業(yè)工業(yè)控制系統(tǒng)的應用越來越多,隨之而來的網(wǎng)絡安全威脅的問題日益突出。特別是國家重點行業(yè)例如能源、水利、交通等的工業(yè)控制系統(tǒng)關(guān)系到一個國家經(jīng)濟命脈,工業(yè)控制系統(tǒng)網(wǎng)絡一旦出現(xiàn)特殊情況可能會引發(fā)直接的人員傷亡和財產(chǎn)損失。本文主要以軌道交通行業(yè)CBTC系統(tǒng)業(yè)務的安全建設為例介紹工業(yè)信息安全防護思路,系統(tǒng)闡述了工業(yè)信息安全的發(fā)展背景及重要性,以網(wǎng)絡安全法和工業(yè)基礎設施的相關(guān)法規(guī)和要求等為依據(jù),并結(jié)合傳統(tǒng)工業(yè)控制系統(tǒng)的現(xiàn)狀,從技術(shù)設計和管理系統(tǒng)建設兩個方面來構(gòu)建工控系統(tǒng)網(wǎng)絡安全。

2工業(yè)信息安全概述

2.1工控網(wǎng)絡的特點

工業(yè)控制系統(tǒng)是指各種自動化組件、過程監(jiān)控組件共同構(gòu)成的以完成實時數(shù)據(jù)采集、工業(yè)生產(chǎn)流程監(jiān)測控制的管控系統(tǒng),也可以說工業(yè)控制系統(tǒng)是控制技術(shù)(Control)、計算機技術(shù)(Computer)、通信技術(shù)(Communication)、圖形顯示技術(shù)(CRT)和網(wǎng)絡技術(shù)(Network)相結(jié)合的產(chǎn)物[1]。工控系統(tǒng)網(wǎng)絡安全是指工業(yè)自動控制系統(tǒng)網(wǎng)絡安全,涉及眾多行業(yè)例如電力、水利、石油石化、航天、汽車制造等眾多工業(yè)領(lǐng)域,其中超過60%的涉及國計民生的關(guān)鍵基礎設施(如公路、軌道交通等)都依靠工控系統(tǒng)來實現(xiàn)自動化作業(yè)。

2.2國內(nèi)外工業(yè)安全典型事件

眾所周知,工業(yè)控制系統(tǒng)是國家工業(yè)基礎設施的重要組成部分,近年來由于網(wǎng)絡技術(shù)的快速發(fā)展,使得工控系統(tǒng)正逐漸成為網(wǎng)絡戰(zhàn)的重點攻擊目標,不斷涌現(xiàn)的安全事件也暴露出工控系統(tǒng)網(wǎng)絡安全正面臨著嚴峻的挑戰(zhàn)。(1)美國列車信號燈宕機事件2003年發(fā)生在美國佛羅里達州鐵路服務公司的計算機遭遇震網(wǎng)病毒感染,導致美國東部海岸的列車信號燈系統(tǒng)瞬間宕機,部分地區(qū)的高速環(huán)線停運。這次事件主要是由于感染震網(wǎng)病毒引起的,而這種病毒常被用來定向攻擊基礎(能源)設施,比如國家電網(wǎng)、水壩、核電站等。(2)烏克蘭電網(wǎng)攻擊事件2015年,烏克蘭的首都和西部地區(qū)電網(wǎng)突發(fā)停電,調(diào)查發(fā)現(xiàn)這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站,在電力公司的主控電腦系統(tǒng)里植入了病毒致使系統(tǒng)癱瘓造成停電事故。(3)舊金山輕軌系統(tǒng)遭勒索病毒攻擊事件2016年,黑客攻擊美國舊金山輕軌系統(tǒng),造成上千臺服務器和工作站感染勒索病毒,數(shù)據(jù)全部被加密,售票系統(tǒng)全面癱瘓。其實國內(nèi)也發(fā)生過很多工業(yè)控制系統(tǒng)里面的安全事件,主要也是因為感染勒索病毒引起的。勒索病毒感染了重要業(yè)務系統(tǒng)里面的一些工作站,例如在軌道交通行業(yè)里的典型系統(tǒng):綜合監(jiān)控系統(tǒng)、通信系統(tǒng)和信號系統(tǒng)等,其中大部分是由于移動接入設備的不合規(guī)使用而帶來的風險。從以上事件可以看出,攻擊者要發(fā)動網(wǎng)絡攻擊只需發(fā)送一個普通的病毒就可以達到目的,隨著網(wǎng)絡攻擊事件的頻發(fā)和各種復雜病毒的出現(xiàn),讓我們的工業(yè)系統(tǒng)安全以及公共利益、人民財產(chǎn)安全正遭受著嚴重的威脅。

2.3工控安全參考標準、規(guī)范

作為國家基礎設施的工業(yè)控制系統(tǒng),正面臨著來自網(wǎng)絡攻擊等的威脅,為此針對工控網(wǎng)絡安全,我國制定和了相關(guān)法律法規(guī)來指導網(wǎng)絡安全建設防護工作。其中有國家標準委在2016年10月的《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序》《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡安全可編程序控制器(PLC)第1部分:系統(tǒng)要求》等多項國家標準[2]。同年,工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》,該標準以當前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點,分別從技術(shù)防護和管理設計兩方面來對工業(yè)控制系統(tǒng)的安全防護提出建設防護要求。2017年6月,《網(wǎng)絡安全法》開始實施,網(wǎng)安法從不同的網(wǎng)絡層次規(guī)定了網(wǎng)絡安全的檢測、評估以及防護和管理等要求,促進了我國工業(yè)控制系統(tǒng)網(wǎng)絡安全的發(fā)展。

3工業(yè)控制系統(tǒng)網(wǎng)絡安全分析

軌道交通信號系統(tǒng)(CBTC)是基于通信技術(shù)的列車控制系統(tǒng),該系統(tǒng)依靠通信技術(shù)實現(xiàn)“車地通信”并且實時地傳遞“列車定位”信息[3]。目前CBTC安全建設存在以下問題:(1)網(wǎng)絡邊界無隔離隨著CBTC的集成度越來越高,各個子系統(tǒng)之間的聯(lián)系和數(shù)據(jù)通信也越來越密切,根據(jù)地域一般劃分為控制中心、車站、車輛段和停車場,根據(jù)業(yè)務又劃分為ATO、ATS、CI、DCS等多個子系統(tǒng),各區(qū)域之間沒有做好訪問控制措施,缺失入侵防范和監(jiān)測的舉措。各個子系統(tǒng)之間一般都是互聯(lián)互通的,不同的子系統(tǒng)由于承載的業(yè)務的重要等級不同也是需要對其邊界進行防護的,還有一些安全系統(tǒng)和非安全系統(tǒng)之間也都沒有做隔離。(2)網(wǎng)絡異常查不到針對CBTC系統(tǒng)的網(wǎng)絡入侵行為一般隱蔽性很強,沒有專門的設備去檢測的話很難發(fā)現(xiàn)入侵行為。出現(xiàn)安全事件后沒有審計記錄和追溯的手段,等下次攻擊發(fā)生依然沒有抵抗的能力。沒有對流量進行實時監(jiān)測和記錄,不能及時發(fā)現(xiàn)高級持續(xù)威脅、不能有效應對攻擊、不能及時發(fā)現(xiàn)各種異常操作。(3)工作站、服務器無防護CBTC系統(tǒng)工作站、服務器的大部分采用Windows系列的操作系統(tǒng),還有一部分Linux系列的操作系統(tǒng),系統(tǒng)建設之初基本不會對工作站和服務器的操作系統(tǒng)進行升級,操作系統(tǒng)在使用過程中不斷暴露漏洞,而系統(tǒng)漏洞又無法得到及時的修復,這都會導致工作站和服務器面臨風險。沒有在系統(tǒng)上線前關(guān)閉冗余系統(tǒng)服務,沒有加強系統(tǒng)的密碼策略。除此之外,運維人員可以在調(diào)試過程中在操作站和服務器上安裝與業(yè)務無關(guān)的軟件,也可能會開啟操作系統(tǒng)的遠程功能,上線后也不會關(guān)閉此功能,這些操作都會使得系統(tǒng)配置簡單,更容易受到攻擊。目前在CBTC系統(tǒng)各個區(qū)域部分尚未部署桌管軟件和殺毒軟件,無法對USB等外接設備的接入行為進行管控,隨意使用移動存儲介質(zhì)的現(xiàn)象非常普遍,這種行為極易將病毒、木馬等威脅帶入到生產(chǎn)系統(tǒng)中。(4)運維管理不完善單位內(nèi)安全組織機構(gòu)人員職責不完善,缺乏專業(yè)的人員。沒有針對信號系統(tǒng)成立專門的安全管理部門,未明確相關(guān)業(yè)務部門的安全職責和職員的技能要求,也缺乏專業(yè)安全人才。未形成完整的網(wǎng)絡安全管理制度政策來規(guī)劃安全建設和設計工控系統(tǒng)安全需求。另外將工業(yè)控制系統(tǒng)的運維工作外包給第三方人員后并無相關(guān)的審計和監(jiān)控措施,當?shù)谌竭\維人員進行設備維護時,業(yè)務系統(tǒng)的運營人員不能及時了解第三方運維人員是否存在誤操作行為,一旦發(fā)生事故無法及時準確定位問題原因、影響范圍和責任追究。目前CBTC系統(tǒng)的網(wǎng)絡采用物理隔離,基本可以保證正常生產(chǎn)經(jīng)營。但是管理網(wǎng)接入工控系統(tǒng)網(wǎng)絡后,工控系統(tǒng)網(wǎng)絡內(nèi)部的安全防護措施無法有效抵御來自外部的攻擊和威脅,而且由于與管理網(wǎng)的數(shù)據(jù)安全交互必須在工控網(wǎng)絡邊界實現(xiàn),因此做好邊界保護尤為重要。

4工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系

工控系統(tǒng)信息化建設必須符合國家有關(guān)規(guī)定,從安全層面來看要符合國家級防護的相關(guān)要求,全面規(guī)劃設計網(wǎng)絡安全保障體系,使得工控體系符合相關(guān)安全標準,確保工控安全保障體系的廣度和深度。根據(jù)安全需求建立安全防護體系,通過管理和技術(shù)實現(xiàn)主被動安全相結(jié)合,有效提升了工控業(yè)務系統(tǒng)的安全防護能力。根據(jù)業(yè)務流量和業(yè)務功能特點以及工控系統(tǒng)網(wǎng)絡安全的基本要求來設計不同的項目技術(shù)方案,從技術(shù)角度來識別系統(tǒng)的安全風險,依據(jù)系統(tǒng)架構(gòu)來設計安全加固措施,同時還要按照安全管理的相關(guān)要求建立完善的網(wǎng)絡安全管理制度體系,來確保整體業(yè)務系統(tǒng)的安全有效運行。

4.1邊界訪問控制

考慮到資產(chǎn)的價值、重要性、部署位置、系統(tǒng)功能、控制對象等要素,我們將軌道交通信號系統(tǒng)業(yè)務網(wǎng)絡劃分為多個子安全域,根據(jù)CBTC業(yè)務的重要性、實時性、關(guān)聯(lián)性、功能范圍、資產(chǎn)屬性以及對現(xiàn)場受控設備的影響程度等,將工控網(wǎng)絡劃分成不同的安全防護區(qū)域,所有業(yè)務子系統(tǒng)都必須置于相應的安全區(qū)域內(nèi)。通過采取基于角色的身份鑒別、權(quán)限分配、訪問控制等安全措施來實現(xiàn)工業(yè)現(xiàn)場中的設備登錄控制、應用服務資源訪問的身份認證管理,使得只有獲得授權(quán)的用戶才能對現(xiàn)場設備進行數(shù)據(jù)更新、參數(shù)設定,在控制設備及監(jiān)控設備上運行程序、標識相應的數(shù)據(jù)集合等操作,防止未經(jīng)授權(quán)的修改或刪除等操作。4.2流量監(jiān)測與審計網(wǎng)絡入侵檢測主要用于檢測網(wǎng)絡中的惡意探測和惡意攻擊行為,常見有網(wǎng)絡蠕蟲、間諜和木馬軟件、高級持續(xù)性威脅攻擊、口令暴力破解、緩沖區(qū)溢出等各種深度攻擊行為[4]??梢岳寐┒磼呙柙O備掃描探測操作系統(tǒng)、網(wǎng)絡設備、安全設備、應用系統(tǒng)、中間件、數(shù)據(jù)庫等網(wǎng)絡資產(chǎn)和應用,及時發(fā)現(xiàn)網(wǎng)絡中各種設備和應用的安全漏洞,提出修復和整改建議來保障系統(tǒng)和設備自身的安全性。惡意代碼防護可以檢測、查殺和抵御各種病毒,如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設備來及時發(fā)現(xiàn)識別系統(tǒng)設備是否存在不合理的策略配置、系統(tǒng)配置、環(huán)境參數(shù)配置的問題。另外要加強安全審計管理,通常包括日常運維操作安全審計、數(shù)據(jù)庫訪問審計以及所有設備和系統(tǒng)的日志審計,主要體現(xiàn)在對各類用戶的操作行為進行審計和對重要安全事件進行記錄和審計,審計日志的內(nèi)容需要包括事件發(fā)生的確切時間、用戶名稱、事件的類型、事件執(zhí)行情況說明等。

4.3建立統(tǒng)一監(jiān)測管理平臺

根據(jù)等級保護制度要求規(guī)定,重要等級在第二級以上的信息系統(tǒng)需要在網(wǎng)絡中建立統(tǒng)一集中管理中心,通過統(tǒng)一安全管理平臺能夠?qū)W(wǎng)絡設備、安全設備、各類操作系統(tǒng)等的運行狀況、安全日志、配置策略進行集中監(jiān)測、采集、日志范化和歸并處理,平臺可以呈現(xiàn)CBTC系統(tǒng)中各類設備間的訪問關(guān)系,形成基于網(wǎng)絡訪問關(guān)系、業(yè)務操作指令的工業(yè)控制環(huán)境的行為白名單,從而可以及時識別和發(fā)現(xiàn)未定義的行為以及重要的業(yè)務操作指令的異常行為。可以設置監(jiān)控指標告警閾值,觸發(fā)告警并記錄,對各類報警和日志信息進行關(guān)聯(lián)分析和預警通報。

4.4編制網(wǎng)絡安全管理制度

設立安全專屬職能的管理部門和領(lǐng)導者及管理成員的崗位,制定總體安全方針,指明組織機構(gòu)的總體目標和工作原則。對于安全管理成員的角色設計需按三權(quán)分立的原則來規(guī)劃并落實,必須配備專職的安全成員來指導和管理安全的各方面工作。指派專人來制定安全管理制度,而且制度要經(jīng)過上層組織機構(gòu)評審和正式,保持對下發(fā)制度的定期評審和落實情況的核查。由專人來負責單位內(nèi)人員的招聘錄用工作,對人員的專業(yè)能力、背景及任職資格進行審核和考察,人員錄用時需要跟被錄用人簽訂保密協(xié)議和崗位責任書。編制完善的制度規(guī)范,編制范圍應涵蓋信息系統(tǒng)在規(guī)劃和建設、安全定級與備案、方案設計、開發(fā)與實施、驗收與測試以及完成系統(tǒng)交付的整個生命周期。針對不同系統(tǒng)建設階段分別編制軟件開發(fā)管理規(guī)范、代碼編寫規(guī)范、工程監(jiān)理制度、測試驗收制度,在測試和交付階段記錄和收集各類表單、清單。加強安全運維建設,制定包含物理環(huán)境管理、資產(chǎn)管理、系統(tǒng)設備介質(zhì)管理以及漏洞風險管理等方面的規(guī)范要求,對于機房等辦公區(qū)域的人員進出、設備進出進行記錄和控制,建立資產(chǎn)管理制度規(guī)范系統(tǒng)資質(zhì)的管理與使用行為,保存相關(guān)的資產(chǎn)清單,對各種軟硬件資產(chǎn)做好定期維護,對資產(chǎn)采購、領(lǐng)用和發(fā)放制定嚴格的審批流程。針對漏洞做好風險管理,針對發(fā)現(xiàn)的安全問題采取相關(guān)的應對措施,形成書面記錄和總結(jié)報告。在第三方外包人員管理方面應該與外包運維服務商簽訂第三方運維服務協(xié)議,協(xié)議中應明確外包工作范圍和具體職責。

5結(jié)束語

由于工控系統(tǒng)安全性能不高和頻繁爆發(fā)的網(wǎng)絡安全攻擊的趨勢,近年來我國將網(wǎng)絡安全建設提升到了國家安全戰(zhàn)略的高度,并且制定了相關(guān)的標準、政策、技術(shù)、程序等來積極應對安全風險,業(yè)務主管部門還應進一步強化網(wǎng)絡安全意識,開展網(wǎng)絡安全評估,制定網(wǎng)絡安全策略,提高工控網(wǎng)絡安全水平,確保業(yè)務的安全穩(wěn)定運行。

參考文獻:

[1]石勇,劉巍偉,劉博.工業(yè)控制系統(tǒng)(ICS)的安全研究[J].網(wǎng)絡安全技術(shù)與應用,2008(4).

[2]李?。I(yè)控制系統(tǒng)信息安全管理措施研究[J].自動化與儀器儀表,2014(9).

篇10

摘  要  隨著信息化技術(shù)的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的it技術(shù)構(gòu)建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大,網(wǎng)絡結(jié)構(gòu)日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。信息安全防范應做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應當完備,安全管理應貫穿安全防范活動的始終。     關(guān)鍵詞  信息安全;pki;ca;vpn   1  引言     隨著計算機網(wǎng)絡的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡的計算機應用也在迅速增加,基于網(wǎng)絡信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。     隨著信息化技術(shù)的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的it技術(shù)構(gòu)建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用pki技術(shù)來解決這些問題已經(jīng)成為當前眾多企業(yè)提高自身競爭力的重要手段。     在下面的描述中,以某公司為例進行說明。 2  信息系統(tǒng)現(xiàn)狀 2.1  信息化整體狀況     1)計算機網(wǎng)絡     某公司現(xiàn)有計算機500余臺,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡中,各計算機在同一網(wǎng)段,通過交換機連接。

圖1      2)應用系統(tǒng)     經(jīng)過多年的積累,某公司的計算機應用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié),包括各種應用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡的進一步完善,計算機應用也由數(shù)據(jù)分散的應用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。 2.2  信息安全現(xiàn)狀     為保障計算機網(wǎng)絡的安全,某公司實施了計算機網(wǎng)絡安全項目,基于當時對信息安全的認識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡安全,部署了防火墻、防病毒服務器等網(wǎng)絡安全產(chǎn)品,極大地提升了公司計算機網(wǎng)絡的安全性,這些產(chǎn)品在此后防范網(wǎng)絡攻擊事件、沖擊波等網(wǎng)絡病毒攻擊以及網(wǎng)絡和桌面日常保障等方面發(fā)揮了很大的作用。 3  風險與需求分析 3.1  風險分析     通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:     (1)經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大,網(wǎng)絡結(jié)構(gòu)日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。     (2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證,加強對數(shù)據(jù)的備份,并運用技術(shù)手段,提高數(shù)據(jù)的機密性、完整性和可用性。     通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:     (1)系統(tǒng)性不強,安全防護僅限于網(wǎng)絡安全,系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。 目前實施的安全方案是基于當時的認識進行的,主要工作集中于網(wǎng)絡安全,對于系統(tǒng)和應用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認證,對服務器、網(wǎng)絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。     當時的網(wǎng)絡安全的基本是一種外部網(wǎng)絡安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡內(nèi)部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡信息系統(tǒng)的。     針對外部網(wǎng)絡安全,人們提出了內(nèi)部網(wǎng)絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內(nèi)部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡訪問服務器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡安全的這種信任模型更符合現(xiàn)實的狀況。     美國聯(lián)邦調(diào)查局(fbi)和計算機安全機構(gòu)(csi)等權(quán)威機構(gòu)的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導致了信息被內(nèi)部人員所竊取和破壞。 信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務。不能充分發(fā)揮安全產(chǎn)品的效能。     (2)原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢,存在一定的網(wǎng)絡安全隱患,產(chǎn)品亟待升級。     已購買的網(wǎng)絡安全產(chǎn)品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。     網(wǎng)絡信息系統(tǒng)的安全建設建立在風險評估的基礎上,這是信息化建設的內(nèi)在要求,系統(tǒng)主管部門和運營、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設的初期,在規(guī)劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。 3.2  需求分析     如前所述,某公司信息系統(tǒng)存在較大的風險,信息安全的需求主要體現(xiàn)在如下幾點:     (1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡,也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。     (2)網(wǎng)絡規(guī)模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進行升級或重新部署。     (3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設,使安全防范的各項工作都能夠有序、規(guī)范地進行。     (4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。 4  設計原則     安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。 4.1  標準化原則     本方案參照信息安全方面的國家法規(guī)與標準和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標準及規(guī)定,使安全技術(shù)體系的建設達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎。 4.2  系統(tǒng)化原則     信息安全是一個復雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術(shù)的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。 4.3  規(guī)避風險原則     安全技術(shù)體系的建設涉及網(wǎng)絡、系統(tǒng)、應用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術(shù)體系建設必須面對的最大風險。本規(guī)劃特別考慮規(guī)避運行風險問題,在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時,優(yōu)先保證透明化,從提供通用安全基礎服務的要求出發(fā),設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接。 4.4  保護投資原則     由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應的設施。因此,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃、建設新的安全子系統(tǒng)或投入新的安全設施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。 4.5  多重保護原則     任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。 4.6  分步實施原則     由于某公司應用擴展范圍廣闊,隨著網(wǎng)絡規(guī)模的擴大及應用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。

5  設計思路及安全產(chǎn)品的選擇和部署     信息安全防范應做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。 圖2  網(wǎng)絡與信息安全防范體系模型     信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。 5.1 網(wǎng)絡安全基礎設施     證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺,都必須建立在一個安全可信的網(wǎng)絡之上。目前,解決這些安全問題的最佳方案當數(shù)應用pki/ca數(shù)字認證服務。pki(public key infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡應用提供可靠的安全保障,向用戶提供完整的pki/ca數(shù)字認證服務。通過建設證書認證中心系統(tǒng),建立一個完善的網(wǎng)絡安全認證平臺,能夠通過這個安全平臺實現(xiàn)以下目標:     身份認證(authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認對方的身份。     數(shù)據(jù)的機密性(confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。     數(shù)據(jù)的完整性(integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。     不可抵賴性(non-repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。 5.2  邊界防護和網(wǎng)絡的隔離     vpn(virtual private network)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?    通過安裝部署vpn系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w,通過加密、認證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實現(xiàn)移動用戶、遠程lan的安全連接。     集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對多種網(wǎng)絡對象進行有效地訪問監(jiān)控,為網(wǎng)絡提供高效、穩(wěn)定地安全保護。     集中的安全策略管理可以對整個vpn網(wǎng)絡的安全策略進行集中管理和配置。 5.3  安全電子郵件     電子郵件是internet上出現(xiàn)最早的應用之一。隨著網(wǎng)絡的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡上傳播。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。     目前廣泛應用的電子郵件客戶端軟件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions ),它是從 pem(privacy enhanced mail) 和 mime(internet 郵件的附件標準 ) 發(fā)展而來的。首先,它的認證機制依賴于層次結(jié)構(gòu)的證書認證機構(gòu),所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織 ( 根證書 ) 之間相互認證,整個信任關(guān)系基本是樹狀的。其次, s/mime 將信件內(nèi)容加密簽名后作為特殊的附件傳送。 保證了信件內(nèi)容的安全性。 5.4  桌面安全防護     對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡安全事件,是來自于企業(yè)內(nèi)部。同時,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務欺騙等,因此,對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。     桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。     1)電子簽章系統(tǒng)     利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入office系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。     2) 安全登錄系統(tǒng)     安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。     3)文件加密系統(tǒng)     文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。 5.5  身份認證     身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程?;趐ki的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。usb key是一種usb接口的硬件設備,它內(nèi)置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用usb key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。     基于pki的usb key的解決方案不僅可以提供身份認證的功能,還可構(gòu)建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實現(xiàn)上述身份認證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。 6  方案的組織與實施方式     網(wǎng)絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網(wǎng)絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。 圖3     因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:     (1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術(shù)方案的針對性和投資的回報。     (2)把應急響應和事故恢復作為技術(shù)方案的一部分,必要時可借助專業(yè)公司的安全服務,提高應對重大安全事件的能力。     (3)該方案投資大,覆蓋范圍廣,根據(jù)實際情況,可采取分地區(qū)、分階段實施的方式。     (4)在方案實施的同時,加強規(guī)章制度、技術(shù)規(guī)范的建設,使信息安全的日常工作進一步制度化、規(guī)范化。 7  結(jié)論     本文以某公司為例,分析了網(wǎng)絡安全現(xiàn)狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術(shù)手段的改進,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡安全解決手段。     也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風險降到最低水平。 參考文獻     [1] 國家信息安全基礎設施研究中心、國家信息安全工程技術(shù)研究中心.《電子政務總體設計與技術(shù)實現(xiàn)》