工業網絡安全建設范文
時間:2023-11-13 17:50:51
導語:如何才能寫好一篇工業網絡安全建設,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
隨著網絡技術的發展,各種網絡威脅也隨影而至。特別是無線網絡技術的發展,使得互聯網的體系結構更加復雜,任何網絡節點的薄弱環節都有可能會是網絡攻擊者的突破口。近幾年,引起廣泛關注的高級持續性威脅(AdvancedPersistentThreat)更是綜合了各種可以利用的突破口對目標進行長期踩點,并在適當的時候對目標發動攻擊。因此,網絡安全管理人員需要具備操作系統、數據庫、密碼學的理論與技術、掌握網絡路由與交換技術、網絡管理技術,網絡編程技術,以及常見的網絡服務器的管理與配置,尤其是對Web服務器的深入理解。但無論是信息安全專業還是信息對抗專業的培養方案都在網絡路由域交換技術、網絡管理技術等相關課程的設置方面比較薄弱,無法滿足網絡安全管理人員對相關知識體系的要求。因此,網絡工程專業依托其深厚的網絡知識體系,更適合建立網絡安全管理所需要的理論技術,更適合培養網絡安全管理人才。
2網絡工程專業的網絡安全課程體系建設
根據當前社會對于網絡和網絡安全人才的需求,本校制定了相應的人才培養計劃,歷經10年的改革與發展,形成了當前網絡工程專業下的三個特色方向:網絡技術方向、網絡安全方向、網絡編程技術方向。無論是網絡技術還是網絡安全技術都離不開網絡編程技術的支撐,缺少相應的編程能力網絡技術與網絡安全技術也注定會是瘸腿的技術,無法滿足網絡管理與網絡安全管理的需求。因此這三個方向相互融合形成的高級網絡與網絡安全技術方向,形成了目前網絡工程專業較為穩定的培養目標。“PKI體系及應用”與“網絡安全協議”是以應用密碼學為基礎的延伸課程。培養學生利用現代密碼學的技術研發密碼產品的能力。“PKI體系及應用”以證書認證中心為軸心,詳細介紹公開密鑰基礎設施的基本概念、基本原理、基本方法,以及公開密鑰基礎設施在現代密碼產品中的應用研發技術。“網絡安全協議”從密碼應用系統業務邏輯層面的安全分析入手,介紹常見的網絡安全協議、網絡安全標準和典型的網絡安全應用系統,在此基礎上,介紹安全協議設計及其安全性分析的基本理論與技術,使學生掌握基本的網絡安全協議設計方法,能夠根據具體的應用背景設計對應的網絡安全協議,研發安全應用系統。網絡攻防類課程是在以“應用密碼學”等信息安全類課程開設的基礎上,根據網絡工程專業的建設和國內網絡安全形勢的需要而開設的網絡維護類課程。其中,“網絡攻防技術入門”是在大一新生中開設的新生研討課,共16學時,分8次上課,以學生討論的方式組織教學,通過安排技術資料研讀和課堂討論,啟發學生對網絡攻防技術的學習興趣,掌握基本的網絡威脅防護方法。“網絡信息對抗”綜合講授與網絡安全相關的法律法規、網絡滲透技術和網絡防護技術。課程共64學時,理論授課32學時,實驗32學時,每個理論學時跟著一個實驗學時,以邊學邊練的方式組織教學。實驗教學通過專用綜合攻防平臺進行驗證性訓練。“計算機取證技術”主要講述計算機取證的基本方法、基本過程、數據恢復技術、證據提取技術、證據分析技術,以及常見的計算機取證工具的使用方法。“信息安全技術實訓”是在四年級上學期開設的實訓課程,共計192學時,8個學分。該課程分為兩個部分,第一部分以實際的項目案例為驅動,訓練學生對現代密碼理論技術應用能力與程序設計能力,目標是設計并實現一個小型的網絡安全軟件系統。第二部分以實際的網絡安全案例為驅動,訓練學生對于目標系統的滲透能力與網絡加固能力、以及對于整個滲透過程的取證分析能力。該實訓課程與學生的實習相互結合,部分學生進入網絡安全公司進行實習,提交綜合實習報告來獲得同校內綜合實訓相當的學分。通過三年的實踐,效果良好。
3網絡安全方向的人才培養分析
網絡安全方向已經形成了較為完善的課程體系,學生學習興趣高漲,在校內形成了良好的網絡安全研究氛圍。自發形成了保有數為20人左右的本科生興趣研究小組,另外,通過每年一屆的全校網絡安全知識比賽,促進了全校網絡安全知識的普及與人才培養,通過組織參加全省大學生網絡信息安全知識比賽,選拔優秀本科生進入相關課題研究,而且都取得了較好的效果。
4結語
篇2
【 關鍵詞 】 校園網絡;安全建設;管理方法
1 引言
隨著信息化建設的不斷發展,職業技術學院的校園網絡的開放性因為自身存在的技術弱點以及人為疏忽,網絡安全已經成了至關重要的問題。因此,職業技術學院的校園安全網絡需要從硬件、軟件以及校園網絡的安全管理方面加強防范,確保校園網絡的安全建設。
2 把握容易出現的問題
2.1 網絡病毒
校園網絡安全最容易遭受的就是網絡病毒。計算機病毒肆虐,會導致計算機網絡癱瘓,對計算機網絡起著極大的破壞作用。計算機病毒一旦合并在操作系統被激活,不但會對計算機系統產生影響,減少內存,甚至破壞文件和扇區,引起數據丟失。而有些病毒雖然并不改變文件本身,但是通過計算機網絡傳播,將自身的病毒通過網絡發送,導致計算機系統被感染,甚至后臺應用程序被篡改、賬號被盜。如蠕蟲病毒、ARP病毒會造成局域網癱瘓,Trojan/Agent木馬病毒運行實現開機自棄,實現了黑客遠程控制后門,給用戶帶來一定的損失,Backdoor/Huigezi后門病毒被計算機感染后,計算機會變成網絡僵尸,網絡中機密資料將會被盜取,而機器狗木馬病毒讀寫計算機數據,給感染計算機用戶帶來不同損失。
2.2 利用漏洞進行人為的惡意攻擊
校園網絡改變著教師的工作方式以及學生的學習方式,為師生的教學提供了便利的條件。但是校園網絡不可避免會受到人為惡意的攻擊。如黑客收集網絡系統中的信息、探測目標網絡系統的安全性,并進行網絡攻擊,使得校園網絡信息泄露,校園網內部安全受到了外部的安全威脅。而院校的學生由于好奇等行為,在校園網內部進行的誤操作導致校園網出現漏洞,對網絡安全造成一定的危害。另外,校園網絡操作系統出現的安全漏洞,導致計算機更容易受到外界的攻擊,如果管理員對系統安全管理不當,或者網絡安全意識淡薄,也容易造成網絡安全問題。
2.3 校園網絡管理員的素質有待提升
校園網絡安全管理的過程中,需要管理員能夠針對不同的網絡安全問題采取不同的策略。但是有些網絡管理員專業能力有待提升,造成一些網絡漏洞無法彌補,網絡安全得不到保障,因此網絡管理員要不斷提升自身業務素質。
3 采用數據處理技術進行管理安全保護
3.1 網絡安全的脆弱性
校園網絡安全建設直接決定著校園網絡是否能夠正常運行,校園網內的軟件以及數據是否會因為惡意的原因或者偶然的狀況被更改和泄露。在這種情況下,校園網絡管理員要采用各種技術以及管理措施,保證校園網絡的安全。管理員既要保證計算機網絡的物理安全,也要保證計算機網絡的邏輯安全。但是校園網絡計算機系統本身因為網絡安全具有一定的脆弱性使得校園網絡不可避免被冒充合法用戶非授權訪問,甚至網絡安全系統被破壞,同時網絡病毒以及黑客的侵擾也干擾了校園網絡的正常運行。
3.2 采用防火墻進行網絡安全防范
校園網絡安全防范的重點是計算機病毒以及黑客犯罪,而這兩個安全危害首先需要網絡防火墻技術的安全防范。要防止校園網絡遭受黑客惡意攻擊,加強管理,防止頁面被篡改,防火墻不僅在本地網絡和外界網絡之間進行隔離,而且防火墻技術能夠保證可信用戶內部網不會受到非可信的外部網的訪問,能夠隔離風險區域與安全區域的連接,只讓安全以及核準的信息進入內部網絡。而對于黑客的防范,防火墻也采取了一種安全性極強的方式確保關鍵的服務器能夠正常運行。針對校園網絡安全建設需要提供的保護方式以及水平的不同,校園網絡安全防火墻可以分為信息包過濾防火墻、鏈路級網關、應用級網關以及復合型防火墻。
4 定期進行病毒檢測確保校園網絡安全
4.1 采用防病毒技術提供安全保障
在校園網絡安全建設管理的過程中,校園網絡管理員要在校園網絡中為每一臺電腦安裝殺毒軟件,并定期使用殺毒軟件對校園網絡進行殺毒,使計算機病毒對校園網絡的安全性的破壞降到最低。在校園網絡安全病毒防御的過程中,使用校園網絡平臺不會因為病毒入侵導致文件丟失或者發生其他重大的網絡安全事故。除了安裝計算機病毒軟件之外,更重要的是要定期對殺毒軟件進行升級,對來歷不明的帶有病毒的磁盤以及移動硬盤要先殺毒再使用。
4.2 采用信息加密、報文驗證等技術輔助安全防范
在校園網絡安全建設中,不容忽視的是管理員要進行外來網絡的報文驗證、身份識別、數字簽名、信息加密等安全防范技術進行安全防范。在外來網絡進行校園網絡的訪問的時候,要通過公共密匙的身份驗證,并對校園網絡中的相關信息進行信息加密。
5 加強安全責任和組織管理
5.1 組建安全責任和組織管理
校園網絡的建設要認真觀察校園計算機網絡安全管理制度,由分管校長牽頭,成立信息安全管理小組,負責校園計算機網絡日常運行管理,同時各部門也要配備相應的計算機網絡管理員,使計算機網絡能夠在遇到網絡安全問題的最開時間內得到處理。學院各部門要與計算機網絡中心共同做好計算機網絡安全的運行以及管理工作。
5.2 加強校園網的用戶管理
校園網要做好安全防范,才能確保每一個校園網用戶的正常使用。校園網每一個用戶在使用校園網絡時,要確保IP地址和上網賬號不要隨意讓校園網外的用戶知曉,并采用技術手段防止IP地址被盜用。另外,校園網絡管理要提高網絡安全管理意識,針對校園網絡用戶對網絡的使用程度制定相應的監管策略,杜絕來自于校園網絡內部的網絡攻擊,同時針對校園網絡使用者的素質的不同,要完善管理制度,提高學生的網絡使用能力。對于教師辦公用的計算機要安裝殺毒軟件,并教會每一個教師使用殺毒軟件進行病毒查殺,約束教師員工以及學生的上網行為,促使校園網絡的安全管理。
6 提升網絡安全管理者的業務素質
6.1 為安全管理者提供業務提升平臺
校園網絡管理者要具備相當的校園網絡安全管理能力,才能保證校園網絡的安全。一方面,院校在選擇校園網絡安全管理者的時候,對業務水平高的教師要優選考慮。在這個基礎上,要為網管提供業務素質提升的平臺,為網絡安全管理者的業務發展創造機會。
6.2 管理者要加強校園網絡的監控
校園網絡管理人員要加強對校園網絡安全的監控,一旦發現校園網與校外單位以及個人進行互聯網聯接,立即隔離切斷,并采用技術手段以及方法屏蔽校外網絡對校內網絡的連接。管理員對網絡配備的防火墻、計算機病毒軟件要及時更新升級。另外,在校園網絡中要安裝局域網監控軟件,形成終端管理、網絡管理、內容管理以及資產管理,對校園網絡安全進行重點保護,從而實現校園內部局域網科學高效地訪問互聯網,真正實現校園網絡安全。
7 結束語
校園網絡安全建設以及管理是保證校園網絡能夠正常運行的重要保障,這不僅需要管理者具有較高的業務素質,也需要院校加強網絡管理制度的貫徹執行,還需要采用針對網絡管理者誤操作、黑客攻擊等網絡安全問題導致的信息丟失做好備份工作,確保網絡系統的安全性以及計算機系統的信息不受損害。
參考文獻
[1] 李少飚.校園網絡安全及病毒防范[J].軟件導刊,2011年06期.
[2] 呂文光.校園網絡安全問題分析與對策[J].科技信息,2011年19期.
篇3
Talking about Industrial Internet Security Service Cloud Construction
郭賓、雷濛、朱奕輝
(杭州木鏈物聯網科技有限公司,杭州余杭 311100)
摘要
本文基于對工業互聯網安全的調研結果,梳理了工業互聯網安全的發展現狀及面臨的四個安全問題,創造性地提出工業互聯網安全服務云的概念,旨于滿足企業端和監管單位在工業互聯網建設中提出的安全新需求。同時,深入探討了安全服務云的五個發展方向,為工業互聯網安全發展提供一個新的思路。
Abstract
Based on the survey results of industrial Internet security, this paper combs the development status of industrial Internet security and the four security issues it faces, and creatively proposes the concept of industrial Internet security service cloud, which aims to meet the needs of enterprises and regulatory units in the construction of industrial Internet New security requirements. At the same time, the five development directions of the security service cloud are discussed in depth to provide a new idea for the development of industrial Internet security.
關鍵字:態勢感知;工業互聯網安全;云服務
Key words:NSSA;Industrial Internet Security;Cloud services
一、前言
工業互聯網是智能制造發展的基礎,可以提供共性的基礎設施和能力。我國已經將工業互聯網作為重要基礎設施,為工業智能化提供支撐。然而近年來工業互聯網安全威脅和風險日益突出,各種網絡安全事件日益頻發,高危系統安全漏洞威脅不斷。網絡安全已經上升為國家安全的核心組成部分,并在經濟和社會發展的關鍵環節和基礎保障方面發揮日益重要的作用。
二、工業互聯網安全現狀
在工業互聯網總體框架下,安全既是一套獨立功能體系,又滲透融合在網絡和平臺建設使用的全過程,為網絡、平臺提供安全保障。工業互聯網實現了全系統、全產業鏈和全生命周期的互聯互通,但打破傳統工業相對封閉可信的生產環境的同時也導致被攻擊機會的增加。
目前工業互聯網安全問題主要體現在以下四個方面:
(1)安全責任界定和安全監管難度大。工業互聯網業務和數據在工控系統層、業務監管層、云平臺層、工業應用層等多個層級間流轉,安全責任主體涉及工業企業、設備供應商、工業互聯網平臺運營商、工業應用提供商等。
(2)平臺結構復雜,問題涉及面廣。海量設備和系統的接入、云及虛擬化平臺自身的安全脆弱性、API接口利用、云環境下安全風險跨域傳播的級聯效應、集團網絡安全頂層設計缺失都會帶來新的風險與挑戰。
(3)終端安全形勢嚴峻。傳統工業環境中海量工業軟硬件在生產設計時并未過多地考慮安全問題,可能存在大量安全漏洞;大部分核心設備以國外設備為主;重要工業設備日常運維和設備維修嚴重依賴國外廠商,存在遠程操控的風險。
(4)數據本質安全得不到保障。通過工業數據的分析和應用,對生產進行降本增效是目前的主流思路,但數據來源涉及各個網絡層級和業務環節,導致數據存在的范圍和邊界發生了根本變化,給數據安全帶來巨大挑戰。
三、安全服務云建設需求分析
基于上述現狀,本文提出互聯網安全服務云的概念,積極構建一個面向關鍵信息基礎設施的立體化、實時化和智能化的網絡安全保障系統,持續加強工業互聯網安全防御能力、感知能力、管控能力、處置能力和威懾能力,提高企業抗網絡安全威脅風險能力,設計需求主要來自企業和監管部門兩方面。
企業端:
(1)現階段主流的安全產品以單兵作戰為主,只能對區域的流量信息進行分析處理,對于未知威脅的處理能力則非常弱。需要有效利用云端威脅情報數據,從同類企業數據中進行發掘和分析攻擊線索,極大提升未知威脅和APT攻擊的檢出效率。
(2)傳統安全防御體系的重要思想是防御,處于攻擊最前沿的網端是安全建設的重點。但隨著APT攻擊的發展,這樣的防御思路已逐漸不能滿足要求,需要通過引入威脅情報和規則鏈技術,提升企業積極防御的能力。
(3)傳統安全防護設備進行監測時一般使用通用規則,這種規則庫對于與企業業務關聯性較強的個性化安全異常識別能力較弱。需要結合場景化威脅檢測技術,基于企業用戶的業務環境構建威脅檢測和響應模型,及時發現企業內部的業務安全風險。
監管部門:
(1)工業互聯網安全法規陸續,監管部門存在網絡監管的剛性要求,需要對所轄企業中的威脅事件、重要網絡資產和終端三個維度的結合,輸出各個層面的統計分析結果,實現全方位的網絡安全態勢感知,協助企業信息部門看清業務與網絡安全的關系。
(2)利用數據采集、數據流檢測、威脅情報等技術手段,分析和發現攻擊行為、流量異常等安全威脅,可以綜合判斷安全態勢,彌補單一企業用戶在信息安全數據整合能力、威脅行為預判能力上存在的短板。
(3)需要建立研究成果、威脅情報、漏洞等最新安全信息推送機制。監管單位一般建有完善的安全知識庫,推送機制有助于知識庫發揮最大功效,幫助企業運維人員安全意識和技能素養,增強企業安全工業互聯網防護。
四、 安全服務云發展方向
(1) 強化核心信息基礎設施網絡安全態勢監測能力建設
對信息基礎設施網絡安全防護措施進行改造升級,采取技術手段健全對漏洞嗅探、攻擊侵入、病毒傳播等危害網絡安全行為的防范措施;實現對網絡管理對象的全面納管和實時監測,建立統一的網絡安全運行狀態監測記錄、操作日志、應用性能和流量數據采集機制。
(2) 強化網絡安全威脅信息通報能力建設
對關鍵信息化基礎設施、傳輸網絡和信息應用進行統計和梳理,建立健全備案登記制度,明確網絡安全主責單位和責任人。依托對國家權威部門及市網信辦監測預警和信息通報系統,建立統一的網絡安全威脅情報、系統漏洞和惡意軟件收集、評估和分發工作平臺。
(3)強化網絡安全隱患分析預判能力建設
在實時采集網絡運行狀態監測記錄,全面收集網絡安全威脅情報基礎上,利用大數據分析技術構建統一的網絡安全態勢實時分析和監測預警平臺。通過分布式實時計算框架對全網全量安全基礎信息進行關聯分析,及時發現已知安全威脅,確定安全事件的攻擊階段、攻擊路線與影響范圍,為應急處置提供科學的決策依據。通過基于機器學習構建的網絡安全風險評估模型,預測網絡安全未知隱患發生的可能性、影響范圍和危害程度,有效強化技術威懾與主動防御能力。
(3) 強化網絡安全攻擊應急處置能力建設
建立健全網絡安全事件應急預案,按照事件發生后的危害程度、影響范圍等因素對網絡安全事件進行分級,并規定相應的應急處置措施;建立健全網絡安全攻擊事件應急處置工作平臺和技術手段,發生網絡安全事件,能夠立即啟動網絡安全事件應急預案,快速組織應急響應專業技術人員,對網絡安全攻擊階段進行精準評估,對網絡安全來源進行快速研判,采取技術措施和其他必要措施及時消除安全隱患,防止危害擴大,并按照有關法律、行政法規的規定進行上報。
(4) 強化網絡安全事件留存取證能力建設
在落實《網絡安全法》相關規定基礎上,對系統采集的關鍵信息基礎設施、網絡和業務應用安全運行狀態監測記錄、操作日志和流量數據進行全量留存,建立網絡安全數據檢索和關聯查詢平臺。支持在發生涉及違法違規網絡安全事件時配合相關部門進行調查取證;對重要應用系統和數據庫進行定期容災備份和統一歸檔存儲;支持在發生重大網絡安全事件時能夠快速進行系統恢復,減少可能的數據丟失風險和損失。
(5) 強化網絡安全服務能力建設
圍繞企業安全能力提升各環節將面臨的需求,提供全方位的安全服務。通過安全咨詢切入,幫助企業了解安全相關的政策要求;通過風險評估幫助企業梳理清晰安全現狀,并進行有針對性的安全建設對現有問題進行整改;通過滲透測試對建設后的安全防護能力進行準確評估;通過提供安全運維和漏洞掃描服務,協助企業開展日常網絡安全工作;通過應急演練提高企業人員安全技能;通過安全培訓提高企業人員整體安全意識和技能水平。
五、 結語
為切實保障工業互聯網建設穩步推進,提高企業工業互聯網安全防護能力,在充分調研企業工業互聯網安全現狀和需求后,發現普遍存在“數據采不上、狀態看不到、建設成本高、安全服務少,安全隱患多”等典型問題,工業互聯網安全工作難以開展。
本文提出的工業互聯網安全服務云概念,可以整合區域內工業企業共性需求,改變傳統一個單位建立一套態勢感知平臺的模式,充分發揮工業互聯網的共享特性,將區域內的企業看作一個整體,每個企業作為一個節點,通過部署多維探針設備,監測并匯總數據后由監管單位進行統一態勢感知分析,提升整個區域內的安全態勢感知水平。通過與國家監測預警網絡、應急資源庫、信息共享平臺和信息通報平臺進行技術對接,協同企業開展工業信息安全治理工作,實現信息的安全、可靠、及時共享,形成快速高效、各方聯動的信息通報預警體系。
[1] 工業互聯網產業聯盟(AII). 工業互聯網體系架構[R]. 北京:工業互聯網產業聯盟, 2016
[2] 工業和信息化部.工業和信息化部貫徹落實《國務院關于積極推進“互聯網+”行動的指導意見》的行動計劃(2015-2018)
篇4
關鍵詞:營銷;模式創新;企業信息化
計算機信息化是未來企業建設的必然趨勢,企業信息化網絡安全建設的進程關系到企業的生存和未來,展望未來,計算機信息化必將深刻地改變人們的生活方式和生活觀念,拓寬人們對于世界的認知程度,通過現代信息技術來配合企業網路營銷是未來的營銷創新方向。
一、我國企業信息化營銷過程中存在的問題
1.營銷手段單一落后
我國眾多企業的信息化營銷方式一般是采用廣告推銷的方式,片面的認為做好企業廣告就決定了企業宣傳,可直接拉升了產品知名度,這種方式雖在短時間內會有銷量上的提高,但并非所有的廣告都有收到應有的效益,廣告做的不好反而給企業帶來眾多負面影響。而且廣告投入成本較大,給企業增加了很多額外的經濟負擔。甚至有的企業在信息化營銷過程中采用推銷方式,通過招聘大量推銷員來獲取銷量,以謀取短期經濟效益。但是,人員較多的實際情況會給企業管理增加不少難度,成本的提升也會影響到企業的進一步發展。總而言之,企業單一的營銷機制在信息化建設中,未能對信息化網絡營銷引起足夠重視,二者相結合的程度不夠,以至于經常出現營銷不達預期標準的現象。
2.企業安全信息管理體制不健全
據統計部門數據顯示:世界上大約80%的五百強企業于1998年建立CIO機制,后來逐漸被世界諸多國家廣泛接受。據我國經貿委相關數據顯示:國內核實的五百二十家骨干企業中有76%點建立信息管理機構,有近70%的企業有高層管理員專門管理。但是,傳統管理機制的影響依舊對對于企業信息體制的建立有深刻影響,靈活性較差,與其余各部門之間的合作效果不明顯,很難在企業網絡信息安全管理中起到引導作用。與此同時,國內關于網絡安全建設和管理人才多數是來自于各部門之間的臨時抽派,對于企業信息技術和網絡安全建設的了解程度不夠,復合型人才匱乏。
二、企業信息化過程中的營銷創新
1.電子定貨系統(Eos)在網絡營銷中的應用
企業信息化建設中對于電子訂貨系統的應用大大增強了網絡營銷的安全性。EOS通過收集整合訂單信息,匯總后進行上報,為物流配送地提供便捷。配送人員進行一對一核實派發不僅提高了網絡訂貨銷售的安全習慣,而且方便了零售店進行資源進出調整。在應用范圍上,EOS的網絡安全銷售功能還體現在批發商,產品制造商等方面,其銷售優點主要體現在訂單時間縮短,成本下降,人為因素的干預減少提高了機動安全性。動態數據之間的便捷傳送可以大大提升運轉效率,數據的共享也在你一定程度上減少了錯誤的發生,防止庫存出現爆積壓現象。庫存管理效率的提升有方便了網絡銷售對客戶滿意程度的統計,對生產數量不斷進行調整,滯銷,生產,運送等網絡一體化服務,企業信息化技術的進步發揮了關鍵作用。
2.ERP技術在網絡營銷中的應用
企業信息化過程中中對于ERP系統的引進與大規模推廣,對于網路安全采購和信息技術研發有著重要影響。ERP系統綜合了銷售三端的實際需求,很大程度上降低了管理成本。ERP技術采用獨到的網絡安全管理策略,對資源進行最優化管理,成為現代網絡安全中的的一項重要應用技術。ERP技術基于整體去統籌計算機運行管理,流程統一在一個規則之下,并且對計算機內部運行的管理進行了外部拓展,對信息系統運行進行集成管理。ERP系統設有多項目分類,主要包括訂單下發,采購單核算結賬,意見反饋,后期維護等等。隨著各大企業網絡安全中對于ERP技術的應用,管理者對該系統該也提出更高要求,ERP時展中的弊端也逐漸顯露出來。計算機技術的更新速度加快,電商對自身要求的提升,要求ERP系統綜合其它先進網絡安全管理軟件實現突破,ERP網絡安全采購技術的進步也是時展的必然要求。
三、結語
營銷既需要具備市場意識、營銷理念、營銷能力的專業人才,也需要具備信息化創新能力的人才。因為營銷觀念對企業發展有關鍵作用,是企業發展的核心。但是,傳統營銷模式嚴重制約了企業進步。在信息化時代,企業只有擺脫傳統營銷觀念,緊跟時代步伐,學習最新的信息化營銷觀念,才能在商戰中立于不敗之地。
參考文獻:
[1]彭東博.BSG公司“冰川時代”天然礦泉水營銷策略研究[J].電子科技大學,2012,(09):11-13.
[2]陳守則,單紅之.長白山礦泉水產業集群發展對策探析[J].長春工業大學學報(社會科學版),2013,(08):121-122.
篇5
工業控制領域網絡危機四伏
2010年,伊朗核電站遭受“Stuxnet(震網)”蠕蟲病毒攻擊,打開了網絡攻擊癱瘓實體空間的大門,關鍵性基礎設施的安全成為全世界關注的焦點。2015年,烏克蘭電網系統遭“Black Energy(黑暗力量)”的攻擊。業內人士指出,支撐能源、通信、電力、金融、交通等重要行業運行的關鍵信息基礎設施成為網絡戰的首選目標。工廠使用的控制電腦的軟件一般都是特別定制版,而且不與外部互聯網聯通。但在黑客面前,物理隔絕并非不可逾越的天塹,通過局域網和USB接口進行傳播,定點干擾工業控制軟件的病毒早已產生,甚至通過發熱量、輻射、風扇噪聲等入侵物理隔離網絡的案例也已出現。工業控制領域網絡安全成為焦點,各國均加大了在該領域的投資。
工業控制領域網絡安全隱患尤為突出
我國信息網絡關鍵基礎設施網絡安全防護能力薄弱。“震網”病毒事件后,據權威部門統計,我國工業系統100%使用西門子工業控制系統,這意味著我國的工業控制系統存在網絡安全隱患。尤其是隨著工業化與信息化進程的不斷交叉融合,以及物聯網的快速發展,越來越多的信息技術應用到工業領域。我國已經將數據采集與監控(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等工業控制系統廣泛運用于電力、工業、能源、交通、水利、市政等領域,甚至直接用于控制生產設備的運行。“中國制造2025”戰略的提出,使得國內工業控制領域正在發生重大的變革。同時,由于我國大規模使用國外的網絡信息關鍵產品,在短期內很難完全替代它們,工業控制領域網絡安全成為事關國家安全、社會穩定、經濟發展的大問題。
先進工控安全領域創業公司涌現,發展模式引人注目
近兩年,一些有識之士充分認識到,工業控制領域網絡安全的需求日益凸顯,因此必須整合信息安全與自動化方面的人才,專注工控安全領域網絡安全產品的研發。這類典型廠商包括北京網藤科技有限公司、北京威努特技術有限公司、北京匡恩網絡科技有限公司等。這類公司的特點是100%的業務都是工控安全,全力投入到工控安全行業。
其中,網藤科技是工控安全領域的一匹黑馬,成立于2016年3月,團隊均來自工控安全領域頂尖的企業。公司的組織結構具有包容、開放、共享的特色,業務以工業控制網絡安全為核心,深耕石化、電力、冶金、軌道交通、煙草、測評中心等國家重點行業,提供覆蓋設備檢測、安全服務、威脅管理、安全數據庫、智能保護、檢測審計的自主、可控、安全的生命全周期解決方案。公司旗下的主打產品工控安全防護系統為針對工業網絡安全的入侵檢測系統,通過公安部權威檢測,達到NIPS國標一級;工控安全審計系統為針對工業網絡安全的信息審計系統,通過公安部權威檢測,達到網絡通信安全審計行標增強級。
工控領域網絡安全廠商任重道遠
目前,工業控制信息安全建設還處于初級階段,各個廠商的安全產品進入市場存在諸多現實困難,亟待國家政策支持。工業控制系統網絡安全產品缺乏統一檢測認證標準,亟待頒發自主可控的“準生證”。國家堅定“自主可控”導向,為國內網絡安全廠商的發展帶來重大機遇。但存在的現實問題是,國家權威測評認證機構普遍缺乏針對“自主可控”網絡安全產品的測評認證標準。尤其在工業控制領域,由于涉及范圍廣,跨越領域多,實際操作起來難度更大。因此,在加緊推動網絡安全產品自主研發的同時,亟待國家層面的統籌,加速推動自主可控網絡安全產品的落地生根。
篇6
【關鍵詞】 網絡空間 拒止 威懾
拒止型威懾在于通過指部署強大的防御力量、建立能從攻擊中迅速恢復的彈性系統,令對手相信攻擊得不到預期收益,從而放棄惡意行動,是美國網絡空間威懾戰略實施的基礎性途徑。美國始終高度重視網絡空間的防御和恢復能力建設,2008年《國家網絡空間安全綜合計劃》中的12條網絡安全倡議中,有10條與防御和恢復有關。《網絡威懾戰略》文件表明,拒止型威懾的建設應當從增強防御性、彈性和可重建性三個方面著手,具體從四個方面落實。
一、認定和保護核心關鍵基礎設施
五角大樓定義的關鍵基礎設施是“對美國來說至關重要的實際的和虛擬的資產、系統和網絡”。美國所依賴的基礎設施體系繁雜,軟件問題的普遍性意味著美國不可能確保每個系統將都一直免受入侵或損害。因而美國政府“將認定和保衛關鍵基礎設施作為優先選擇,從而政府政策和資源將會被優先用于確保特殊系統的安全和關鍵節點的防御”。
首先,認定核心關鍵基礎設施。2013年白宮頒布的《促進關鍵基礎設施的網絡安全建設》表明,“國土資源部應當使用基于風險的方法認定關鍵基礎設施,在關鍵基礎設施領域內發生的網絡安全事件很可能會在公眾健康、公共安全、經濟安全與國家安全等方面產生災難性影響”。國土安全部最終認定出了一份具有高風險的關鍵基礎設施名單。
其次,通報網絡威脅信息。美國國土安全部也努力提高私營部門監測和阻止網絡入侵的能力,了解網絡攻擊可能帶來的級聯效應。美國正在開發用于保護關鍵基礎設施的新工具,如全球信息柵格、DARPA提出的沖突建模、規劃與結果實驗方案(COMPOEX)等。
二、共享威脅信息
共享網絡威脅信息,可以為防御者提供了理解己方漏洞與對手攻擊計劃的機會,是拒止型威懾建設的必要步驟。
一方面,促進部門間威脅信息共享。2015年白宮宣布組建網絡威脅情報集成中心與國家網絡安全和通信集成中心,負責實時的與聯邦機構、私營部門共享信息。此外還有“國防工業基礎網絡安全和信息保障計劃”、“增強網絡安全服務計劃”、“關鍵基礎設施信息保護計劃”等機制。2016年白宮表示,國會應當加強立法,允許企業在全國范圍內與政府分享網絡安全信息。
另一方面,公民隱私問題持續受到關注,隨著“棱鏡門”事件的發酵,國內對政府借維護國家安全之名隨意踐踏公民隱私的擔憂聲音也日漸高漲。因而《網絡威懾戰略》文件強調,在有關威脅信息共享的立法提案當中,政府必須遵守隱私限制規定,采取措施保護需要共享的個人信息。
三、防御內部威脅
防御內部威脅是拒止型威懾建設的重點方向。維基解密泄露美國政府文件、郵件的事件,以及情報計劃泄露等事件,都被認為是內部人員泄密或操作不當造成的。
近年來,美國政府加強重要機密情報的安全防護。2011年美國頒布行政命令“致力于保護機密網絡與可靠分享機密信息的結構性改革”,構建了政府內部人員管控與危機防范的機制逐漸建立,成立了高級信息共享和安全防護指導委員會、安全防護執行局和國家內部威脅專案組。在司法部長和國家情報總監的聯合領導下,集合了反間諜、信息安全方面的專家以形成政府維度的內部威懾機制,從而威懾、偵測、減輕包括機密情報損害在內的內部威脅。
四、強化政府網絡防御
美國網絡空間拒止性威懾還著眼于政府自身網絡體系。美國認為許多政府的網絡非常脆弱,可能成為薄弱環節。為了彌補這些缺陷,美國政府正在提升其網絡防御水平,為各部門和機構設定了明確的網絡安全目標。同時,美國政府還正在提高政府在網絡安全方面的跨部門投資的追溯與監察,以加強投入的效果。同時,美國國防部也強化了軍方網絡的防護,保護數百萬的網絡設施和數千個軍事飛地的機密信息。美國戰略司令部下屬的網絡司令部與國家安全局、國防信息系統局,共同監控國防部網絡的運行,定時提供威脅和漏洞信息。2014年2月,美國國家標準和技術研究院了第一個版本的網絡安全框架,參考了全球公認標準幫助有關組織理解、管理網絡風險,敦促各個組織執行標準措施,提升其整體網絡安全。
綜上所述,美國通過認定和保護關鍵基礎設施、促進威脅信息共享、防范內部威脅與加強政府網絡防御等四種主要路徑,加強國家網絡系統面對攻擊時的風險抵御能力。可見,美國網絡空間的拒止型威懾,在于強化自身實力,“以不變應萬變”。
參 考 文 獻
[1]呂晶華,《美國網絡空間戰思想研究》,軍事科學出版社,2014年6月。
篇7
【關鍵詞】網絡安全;防火墻;VPN;VLAN
一、引言
隨著電力施工企業信息化發展的不斷深入,企業對信息系統的依賴程度越來越高,信息與網絡安全直接影響到企業生產、經營及管理活動,甚至直接影響企業未來發展。企業網絡規模的擴大、信息接入點增多、分布范圍廣,使信息接入點管控難度大。企業信息與網絡安全面臨各類威脅,筆者以構建某電力施工企業信息與網絡安全體系為例,從信息安全管理、技術實施方面進行闡述與分析,建立一套比較完整信息化安全保障體系,保障業務應用的正常運行。
二、企業網絡安全威脅問題分析
1.企業網絡通信設備存的安全漏洞威脅,網絡非法入侵者可以采用監聽數據、嗅探數據、截取數據等方式收集信息,利用拒絕服務攻擊、篡改數據信息等方式對合法用戶進行攻擊。
2.非法入侵用戶對網絡系統的知識結構非常清楚,包括企業外部人員、企業內部熟悉網絡技術的工作人員,利用內部網絡進行惡意操作。非法用戶入侵企業內部網絡主要采用非法授權訪問對企業內部網絡進行惡意操作,以達到竊取商業機密的目的;獨占網絡資源的方式,非業務數據流(如P2P文件傳輸與即時通訊等)消耗了大量帶寬,輕則影響企業業務無法正常運作,重則致使企業IT系統癱瘓,對內部網絡系統造成損壞。
3.惡意病毒程序和代碼包括計算機病毒、蠕蟲、間諜軟件、邏輯復制炸彈和一系列未經授權的程序代碼和軟件系統。病毒感染可能造成網絡通信阻塞、文件系統破壞,系統無法提供服務甚至重要數據丟失。病毒的傳播非常迅速;蠕蟲是通過計算機網絡進行自我復制的惡意程序,泛濫時可以導致網絡阻塞和癱瘓;間諜軟件在用戶不知情的情況下進行非法安裝,并把截獲的機密信息發送給第三者。
4.隨著企業信息化平臺、一體化系統投入運行,大量重要數據和機密信息都需要通過內部局域網和廣域網來傳輸,信息被非法截取、篡改而造成數據混亂和信息錯誤的幾率加大;當非法入侵者以不正當的手段獲得系統授權后。可以對企業內部網絡的信息資源執行非法操作,包括篡改數據信息、復制數據信息、植入惡意代碼、刪除重要信息等,甚至竊取用戶的個人隱私信息,阻止合法用戶的正常使用,造成破壞和損失。保護信息資源,保證信息的傳遞成為企業信息安全中重要的一環。
三、企業信息與網絡安全策略
結合電力施工企業業務廣范圍大特點,提出一套側重網絡準入控制的信息安全解決方案,保障企業網絡信息安全。
1.遠程接入VPN安全解決方案
施工企業擁有多個項目部,地域范圍廣,項目部、出差人員安全訪問企業信息系統是企業信息化的要求,確保網絡連接間保密性是必要的。采用SSL VPN安全網關旁路部署在網絡內部,通過設置用戶級別、權限來屏蔽非授權用戶的訪問。訪問內部網絡資源的移動、項目用戶先到SSL VPN上進行認證,根據認證結果分配相應權限,實現對內部資源的訪問控制。
2.邊界安全解決方案
在系統互聯網出口部署防火墻(集成防病毒和網絡安全監控模塊)和IPS設備,同時通過防火墻和IPS將企業內部網、數據中心、互聯網等安全區域分隔開,并通過制定相應的安全規則,以實現各區域不同級別、不同層次的安全防護。邊界防護建立以防火墻為核心,郵件、WEB網關設備、IDS及IPS等設備為輔的邊界防護體系。
(1)通過防火墻在網絡邊界建立網絡通信監控系統,監測、限制、更改跨越防火墻的數據流以及對外屏蔽網絡內部的信息、結構和運行狀況,控制非法訪問、增強網絡信息保密性、記錄和統計網絡數據并對非法入侵報警提示等,達到保障計算機網絡安全的目的。
(2)在防火墻上開啟防病毒模塊,可以在網關處阻止病毒、木馬等威脅的傳播,保護網絡內部用戶免受侵害,改變了原有被動等待病毒感染的防御模式,實現網絡病毒的主動防御,切斷病毒在網絡邊界傳遞的通道。
(3)以入侵防御系統IPS應用層安全設備,作為防火墻的重要補充,很好的解決了應用層防御安全威脅,通過在線部署,IPS可以檢測并直接阻斷惡意流量。
(4)將上網行為管理設備置于核心交換機與防火墻之間。通過對在線用戶狀態、Web訪問內容、外發信息、網絡應用、帶寬占用情況等進行實時監控,在上網行為管理設備上設置不同的策略,阻擋P2P應用,釋放網絡帶寬,有效地解決了內部網絡與互聯網之間的安全使用和管理問題。
3.內網安全解決方案
內網安全是網絡安全建設的重點,由于內網節點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因,也是安全建設的難點。
(1)主要利用構建虛擬局域網VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域,將信任網段與不信任網段劃分在不同的VLAN段內,實現內部一個網段與另一個網段的物理隔離,防止影響一個網段的安全事故透過整個網絡傳播,限制局部網絡安全問題對全局網絡造成的影響。
(2)建立企業門戶系統,用戶的訪問控制部署統一的用戶認證服務,實現單點登錄功能,統一存儲所有應用系統的用戶認證信息,而授權等操作則由各應用系統完成,即統一存儲、分布授權。
(3)系統軟件部署安全、漏洞更新,定期對系統進行安全更新、漏洞掃描,自動更新Windows操作系統和Office、Exchange Server以及SQL Server等安全、漏洞補丁。安裝網絡版的防病毒軟件,定期更新最新病毒定義文件,制定統一的策略,客戶端定期從病毒服務器下載安裝新的病毒定義文件,有效減少了病毒的影響;配置郵件安全網關系統,為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實現郵件內容過濾等功能,有效地從網絡層到應用層保護郵件服務器不受各種形式的網絡攻擊。
4.數據中心安全解決方案
作為數據交換最頻繁、資源最密集的地方,數據中心出現任何安全防護上的疏漏必將導致不可估量的損失,因此數據中心安全解決方案十分重要。
(1)構建網絡鏈接從鏈路層到應用層的多層防御體系。由交換機提供數據鏈路層的攻擊防御。數據中心網絡邊界安全定位在傳輸層與網絡層的安全上,通過防火墻可以把安全信任網絡和非安全網絡進行隔離,并提供對DDoS和多種畸形報文攻擊的防御。IPS可以針對應用流量做深度分析與檢測能力,即可以有效檢測并實時阻斷隱藏在海量網絡流量中的病毒、攻擊與濫用行為,也可以對分布在網絡中的各種流量進行有效管理,從而達到對網絡應用層的保護。
(2)建立數據備份和異地容災方案,建立了完善的數據備份體系,保證數據崩潰時能夠實現數據的完全恢復。同時在異地建立一個備份站點,通過網絡以異步的方式,把主站點的數據備份到備份站點,利用地理上的分離來保證系統和數據對災難性事件的抵御能力。
5.安全信息管理與培訓
(1)網絡管理是計算機網絡安全重要組成部分,在組織架構上,應采用虛擬團隊的模式,成立了相關信息安全管理小組。從決策、監督和具體執行三個層面為網絡信息安全工作提供保障。建立規范嚴謹的管理制度,制定相應的規范、配套制度能保證規范執行到位,保障了網絡信息安全工作的“有章可循,有據可查”。主要涉及:安全策略管理、業務流程管理、應用軟件開發管理、操作系統管理、網絡安全管理、應急備份措施、運行流程管理、場所管理、安全法律法規的執行等。
(2)人員素質的高低對信息安全方面至關重要;提高人員素質的前提就是加強培訓,特別加強是對專業信息人員的培訓工作。
四、結束語
該企業信息與網絡安全體系建設以技術、管理的安全理念為核心,從組織架構的建設、安全制度的制定、先進安全技術的應用三個層面,構建一個多層次、全方位網絡防護體系。在統一的安全策略基礎上,利用安全產品間的分工協作,并針對局部關鍵問題點進行安全部署,使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中管理,達到提升網絡對安全威脅的整體防御能力。
參考文獻
篇8
【關鍵詞】智能時代;云計算;安全架構
一、前言
當今世界,新一輪的科技革命和產業變革正在持續深入,工業互聯網、智能制造、人工智能、大數據、物聯網等領域正在加速布局,“智能時代”企業信息系統最顯著的變化是虛擬化、數字化一切、軟件定義,促使企業信息化的不斷發展,公司信息化資產數量日趨增多、系統的關聯性和復雜度不斷增強,使企業信息安全形勢日益嚴峻,信息安全防護工作面臨前所未有的困難和挑戰。為了更好監控和保障信息系統運行,及時識別和防范安全風險,同時滿足國家和行業監管要求,保證信息安全管理工作的依法合規,企業亟需建立一個全數據、集中管理的企業安全平臺,做到事前預警、事中監控、事后分析以及響應,全面的提升信息安全管理與防護水平。
二、智能時代的變化趨勢
我們正處在一個變革的時刻,“智能”是這個時代最顯著的標志。在今年春天首屆世界智能大會上馬云提出,智能時代有三個最主要的要素:互聯網、大數據、云計算;李彥宏也指出,未來30年推動社會進步的動力,就是智能科技的進步;浪潮董事長孫丕恕表示,智能從實現形式上就是要通過物聯網、互聯網將企業生產數據、互聯網數據和企業自身的管理數據全部打通,實現無邊界信息流和大數據分析。由此看來,一個企業走向智能化首先要完成業務在線化和流程服務軟件化,然后完成應用軟件的SaaS(Software-as-a-Service)化,從而助企業實現智能生產、智能維護、智慧服務。1.安全技術的變化基于云計算、虛擬化、大數據、智能制造、移動辦公的持續推進,都是基于企業信息基礎架構所實施的,開放式計算環境和更靈活的支持架構,要求安全技術隨之匹配發展,才能適應新環境,新技術下的安全需求。中國工程院倪光南院士在《云安全的思考》主題演講中指出,云安全一定會呈現出多維度、多層次、跨領域、多學科技術交叉等方面的特征。對于云計算的安全保護,需要一個完備體系,從技術、監管、法律三個層面上,形成可感知、可預防的智能云安全體系。2.企業智能架構從應用架構上看,未來的應用都是角色化、場景化的,可連接互聯網資源,全員應用,實現移動化和智能化。虛擬化、數字化一切、軟件定義促使企業信息架構的變革,以業務為導向和驅動,在企業管理、集成等方向上提供基礎共性平臺,為企業快速構建和集成應用軟件提供基礎支持,從而實現工程經驗模塊化、產品實際協同化、項目流程一體化結構,實現由統一業務層、統一界面構架層、應用系統層、統一工作臺面、大數據分析、云計算層組成的一種新模式。在企業IT系統的業務基礎機構層面,引入先進的統一軟件平臺,為上層應用開發提供統一標準,接口和規范,同時基于“平臺+組件”的架構實現各類應用的組合和復用,助企業實現數字化轉型。3.云架構在人工智能一日千里的時代,云計算已成為產業革新的原動力、新型管理的主平臺、人工智能的強載體。在新的云時代,整個社會都在發生數字化的迭代。云成為數字化最重要的基礎架構。騰訊董事局主席兼首席執行官馬化騰指出:“用云量將成為一個重要的經濟指標,能夠衡量一個行業數字經濟發展程度。”他還表示:“傳統企業的未來就是在云端用人工智能處理大數據。”“云+AI”是當前最主流的方向,其核心包括三項核心能力(計算機視覺、智能語音識別、自然語言處理)。在計算機視覺領域實現開放OCR識別、人臉核身、圖片處理等多項智能云服務;在智能語音識別領域實現語音轉文字、語音合成、聲紋識別、情緒識別等功能;在自然語言處理領域,以“數據+算法+系統”為核心,提供毫秒級響應的個性化服務。
三、企業信息安全措施
VMware首席執行官帕特•基辛格表示:“抵御安全攻擊,響應速度不是核心,而是如何將支離破碎的安全保護進行更有效的整合,實現安全架構的簡化,這才是企業安全轉型的關鍵。”安全技術在智能時代必須跟上發展的變化,“智慧安全”的理念正在深入,著力點從網絡系統安全、數據安全深入到業務應用安全等各個層面,AI防火墻、態勢感知平臺、云安全產品、企業移動化信息安全管理平臺、智慧眼監控雷達、業務應用安全審計平臺成為保護企業信息安全的前沿技術。1.企業數據的安全阿里巴巴董事局主席馬云說:“數據是新能源。”隨著數據量的持續增長,應用數量不斷增加,數據將成為社會創新的重要驅動力。隨著“網絡強國戰略”、“互聯網+”行動計劃、大數據戰略的推進,網絡安全風險和威脅也進入到企業:非對稱的業務流量、定制化的應用程序、需要被路由到計算層之外并達到數據中心周邊的高流量數據、跨多個虛擬化應用,以及地理上分散的移動應用,都造成數據泄露的機會,隨著中央網絡安全和信息化領導小組的成立,信息安全已上升到國家安全層面。因此數據保護十分重要,最好的選擇是本源的防護,既做到保護數據本源的同時,又能靈活應對各種安全環境的需求。而符合這種要求的安全技術就是基于專業的安全分析模型和大數據管理工具,可準確、高效地感知整個網絡的安全狀態以及變化趨勢,通過企業本地部署安全大數據分析平臺,打通云端情報與本地設備的聯動,形成情報觸發預警,預警觸發防護的閉環。對外部的攻擊與危害行為可以及時的發現,并采取相應的響應措施,保障企業信息系統安全。2.企業網絡安全2016年,在“4.19講話”中再一次強調網絡安全建設的重要性,并提出:“要樹立正確的網絡安全觀,加快構建關鍵信息基礎設施安全保障體系,全天候全方位感知網絡安全態勢,增強網絡安全防御能力和威懾能力,要加快網絡立法進程,完善依法監管措施,化解網絡風險。此外根據網絡安全法相關規定,我們也可以看出,網絡安全法在原有信息系統安全等級保護制度的基礎上,創新了網絡安全等級保護的工作方法,企業的信息安全建設需在原有信息系統安全等級保護制度建設的基礎上,將新技術新應用帶來的重要信息系統建設諸如云計算、移動互聯、物聯網、工業控制、大數據等領域的國家關鍵信息基礎設施建設都納入國家安全等級保護制度進行管理,將風險評估、安全監測、通報預警、應急演練、災難備份、自主可控等重點措施也納入了國家網絡安全等級保護制度的管理范疇。企業緊跟網絡技術的發展,以“智慧安全2.0戰略”為指導,將“智慧安全”的核心從網絡系統安全、數據安全深入到業務應用安全等各個層面。現在已可以采用AI、機器學習、行為分析等技術手段進行動態分析、靜態分析、異常檢測、深度解析等手段,更有效地防范未知威脅。3.物聯網安全預計到2021年,全球將有超過460億臺設備,傳感器和執行器連接在一起,更廣闊,更強大和更穩定的物聯網時代即將到來,并且最終將給企業帶來全新業務方式。物聯網(IoT)為企業創新提供了廣闊的前景。企業通過監控、分析收集來的數據量,來確保業務的正常發展。其中數據大都是從傳感器、應用、門禁系統、配電單元、UPS、發電機和太陽能電池板產生的數據,但隨著這些應用的增長,物聯網帶給企業的安全風險也很大。要應對物聯網的安全挑戰,企業應從智能設備的離線安全、入網安全、在線安全等維度進行整體安全檢測與防護,在云端接入大數據感知威脅和安全態勢分析平臺,獲取威脅情報;在本地端通過減少威脅“檢測時間(TTD)”,即減少發生威脅到發現威脅的時間差,縮短檢測時間,可有效限制攻擊者的操作空間,和最大限度減少損失。①及時更新基礎設施和應用,讓攻擊者無法利用公開的漏洞;②利用集成防御對抗復雜性,采取平衡防御與主動應對的安全控制;③密切監控網絡流量(這在網絡流量模式可預測性非常高的IoT環境中非常重要);④追蹤物聯網設備如何接觸網絡并與其他設備進行交互(例如,如果物聯網設備正在掃描其他設備,則可能是表示惡意活動的紅色警報)。
四、結論
神州控股董事局主席郭為對未來的預測時說:“云計算將成為未來主流IT運算模式,大數據會成為最重要核心資源;自上而下的創新將是智能時代推動社會進步的主流方式,借助云計算、大數據這兩項關鍵技術實現互聯網化、協同化和智能化。”智能是我們這個時代的標志,對于企業信息化來說,它的路很長,首先要完成核心業務在線化和所有的業務流程服務軟件化,然后完成應用軟件的SaaS(Soft-as-a-Service)化,當企業的核心業務完全建立在互聯網上,并有軟件SaaS平臺驅動,企業才能夠向智能化方向演進——低成本積累大數據,并通過數據分析進行商業決策,最終向實時數據分析、實時智能商業決策演進。由此,企業信息智能化任重道遠,從現在開始制定適當的安全策略,以此加快IT新趨勢的適應能力,在不斷采用新技術的過程中建立適合企業的安全管理系統,做到覆蓋企業安全運維的所有場景,監視安全威脅,預測安全風險。
參考文獻
[1]維克多•邁克熱•舍恩伯格.大數據時代:生活、工作與思維的大變革[M].浙江人民出版社.
篇9
【 關鍵詞 】 信息安全;信息安全保障體系;國家大劇院
Exploration of Information Security Framework for National Center for the Performing Arts
Liu Zhen-yu
(National Center for the Performing Arts BeiJing 100031)
【 Abstract 】 The status of information security of National Center for the Performing Arts is explored. After that, information security problems and risks that National Center for the Performing Arts faced with are analysed. The information security framework which includes technique, management and operating is followed. The paper ends up with the elaboration of the effectiveness of the information security framework.
【 Keywords 】 information security; information security framework; national center for the performing arts
1 背景
隨著信息技術的飛速發展,人類正以前所未有的速度進入以網絡為主的信息時代,網絡的快速發展不僅促進了人們的通信和交流,同時也帶來了商業和經濟模式的巨大變革。
國家大劇院是國家新建的重要文化設施,也是一處別具特色的景觀勝地。作為北京市國家級標志性文化設施,國家大劇院的建設與運行體現了正在迅速崛起和復興的中國在精神文化領域的追求,因此,依托信息化手段宣傳和服務于廣大文化藝術愛好者是國家大劇院電子商務網站建設的宗旨,使之成為“國家表演藝術最高殿堂、藝術普及教育的引領者、中外藝術交流最大平臺、文化創意產業重要基地”。
國家大劇院網絡及信息系統從2007開始逐步建設,建設初期主要滿足國家大劇院演出宣傳、文藝教育、演出票務、公眾服務、內部辦公和訪問互聯網的需求,官方網站電子商務平臺承擔著對外宣傳及網上售票業務。隨著國家大劇院近幾年影響力和地位的不斷提升以及業務的發展壯大,對信息化建設提出了更高要求,同時對信息安全的需求也越來越迫切,結合國家等級保護制度來進行安全保障建設成為國家大劇院信息化建設的有益補充。
2 現狀及問題
目前國家大劇院局域網骨干帶寬為千兆,雙核心。已部署的安全設施,如在整個局域網的出口均部署了防火墻,內網服務器域邊界部署了防火墻;在門戶網站出口部署了流量控制和入侵防御設備;內部終端還廣泛部署了防病毒軟件,以防范計算機病毒在局域網內傳播和破壞。國家大劇院正在運行的業務系統主要包括網站系統、票務系統、藝術資料管理系統、OA系統、財務系統及郵件系統等。
根據對國家大劇院信息化及信息安全現狀的分析,結合國內外信息安全發展態勢,發現國家大劇院面臨著一些信息安全問題及風險。
假冒網站、網站掛馬等安全風險。據權威統計,2011年下半年,檢測新增掛馬網站獨立網址246萬,平均每日100萬人次訪問此類掛馬鏈接,新增釣魚盜號欺詐類網站獨立網址492萬,共攔截10億余次釣魚盜號欺詐類網址,平均每日600萬人次訪問此類欺詐類鏈接。假冒網站獨占鰲頭的是電商網購類,而且仿冒范圍不斷擴散,通過國家大劇院運維人員統計觀察,越來越多的黑客、病毒、不法機構和人員對國家大劇院電子商務網站系統的正常運行產生威脅,網站業務系統隨時都可能遭受惡意攻擊。
系統入侵或網絡攻擊風險。由于系統保護措施不到位,可能導致國家大劇院票務等對外網站系統的域名劫持、DDoS攻擊等安全風險。同時,也可能由于軟件漏洞或者安全意識單薄等造成內部郵件等信息泄露。
非授權訪問風險。由于國家大劇院內部辦公等信息系統邊界缺乏訪問控制設施,并且在網絡可信接入、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,未授權者可通過網絡非法訪問網站及系統服務器,并進行非法讀取、篡改和破壞數據等不良行為,構成對內部數據及信息系統的重大隱患。
數據安全風險。媒資庫建設完成后將承載大量的媒體資料,這些有藝術價值的音像資料是國家大劇院的寶貴資產,一旦由于自然災害、人員非法入侵、內部人員誤操作等造成數據丟失損壞,將對國家大劇院造成重大損失。
媒體資源庫音像資料版權風險。目前,劇院已經為視頻在線傳播及直播提供服務平臺,然而提供的音視頻服務面臨版權盜用、盜鏈和惡意下載等問題,容易對劇院和公眾利益帶來損害。
內控管理風險。據權威調查報告顯示,內部員工的粗心大意是企業信息安全的最大威脅,由此造成的安全事故高達78%。目前,由于國家大劇院內部員工的安全意識還相對淡薄,存在進入業務系統的登錄口令設置過于簡單,私自訪問不安全網站,私自接入不安全設備等問題,這些都給大劇院信息系統造成了極大的安全隱患和威脅。
3 信息安全保障體系探索
3.1 總體目標
通過對國家大劇院信息安全現狀、問題以及信息安全建設需求的分析,可知國家大劇院信息安全保障體系建設的總體目標是按照國家信息安全等級保護相關要求,從風險控制、技術設施、管理體制及運維服務等方面入手,基于成熟的安全技術,借鑒先進可行的管理理念,加強外御威脅防護、構建內控管理機制、強化數據保護措施,建立和完善信息安全管理體制,加強安全服務保障,設計適合國家大劇院信息化發展的安全保障體系,從而確保業務流程可控、業務狀態可視,保障業務整體安全。
3.2 設計思路
針對國家大劇院安全保障目標,在信息安全保障體系設計上基于幾種設計思路。
3.2.1構建網站可信機制
通過第三方網站身份誠信認證來確保網站真實性,可幫助網民判斷網站的真實性。同時,基于可信證書類產品,確保系統管理用戶身份的真實性。其次,借助社會力量來實現假冒網站的定位、侵權取證等服務,從而有效打擊防范欺詐類網站并且協助維權。
3.2.2建設安全可靠的辦公網絡平臺
積極推進信息安全等級保護建設,通過制定安全策略、部署安全設備,完善安全保密管理制度,加強安全運維支撐建設,從物理安全、網絡安全、主機安全、應用安全、數據安全、流程安全、人員安全等多方面保障系統的安全穩定運行。
3.2.3建立網絡信任服務
通過為網絡管理員、網站維護人員頒發數字證書,部署網絡可信接入及遠程安全接入設施來構建劇院內部的網絡信任服務體系,保證信息系統及媒資庫資源的可靠訪問,確保我院信息資源安全。
3.3 體系框架
在國家大劇院信息系統安全保障體系設計以及實現中,將在國家相關的安全政策、法規、標準、要求的指導下,制定可具體操作的安全策略,構建國家大劇院網站系統安全技術系統、安全管理體系以及安全運行體系,形成集防護、檢測、評估、響應、恢復于一體的整體安全保障體系,從而實現物理安全、網絡安全、主機安全、數據安全和應用安全,以滿足國家大劇院網站系統全方位的安全保護需求。國家大劇院信息系統整體安全保障體系模型如圖1所示。
國家大劇院信息系統整體安全保障體系模型主要由三個方面組成。
3.3.1安全技術體系
參考國家標準《信息安全技術 信息系統等級保護安全設計技術要求》按照威脅分析,將信息資產劃分為若干保護對象,并按照“一個中心”管理下的“三重保護”的設計框架,構建國家大劇院信息安全技術體系保障機制和策略,為國家大劇院信息系統的運行提供安全保護環境。該環境共包括四部分:安全計算環境、安全區域邊界、安全通信網絡和安全管理中心。
3.3.2安全管理體系
以國家大劇院現有業務系統所服務對象為基礎,建立完善的安全管理體系,建立信息安全管理機構、制定信息安全管理制度、設置信息安全管理崗位。
3.3.3安全運維服務體系
針對業務安全運行的需要,以日常巡檢、咨詢、評估等建立有效的運維服務機制,加強對資產管理的分析、隱患發現、策略審核考評等,不斷發現平臺在運行中的安全隱患,降低系統脆弱性和面臨潛在的威脅帶來的影響及損失,以及時對安全策略實現完善和防護措施的改進提升。
3.4 信息安全體系建設實踐
國家大劇院信息安全保障工作經過長期的努力,已經初見成效。在安全體系的建設實踐中,總結出幾點實踐經驗。
3.4.1制定標準規范,奠定保障基礎
信息安全保障建設的一項重要工作之一是參照國家等級保護的技術要求完成相應的合規性檢查。因此,國家大劇院應據此建立適合國家大劇院的信息安全管理基線,堅持常態化管理和動態控制,達到并保持國家相關安全主管部門的安全審計要求。
3.4.2重視管理,制度先行
信息安全是一個動態發展的過程,每年隨著業務發展變化而變化,同時隨著信息安全技術的不斷演變,都會出現新的安全防護技術的使用。經過多年實踐證明,每個系統或者防護設備上線前,都必須在遵守總體防護規范的前提下,編制好具有針對性的管理要求,才有有效降低安全風險引入的可能。
3.4.3定期組織代碼審計和滲透測試等系統檢測
代碼安全審計是通過人工分析和工具掃描的方式檢驗應用程序的源代碼,利用大量的代碼安全規則,來分析源代碼中的違反規則部分,進而確定可能存在的安全漏洞和隱患。應用系統生命周期安全的從SDL實踐上看,安全做的越早效果越好(但開發模式改動的成本也相對比較大),代碼審計作為保證代碼安全的最低低線,其作用是不可取代的。
另外,除了從代碼開發過程中保證開發出安全的應用系統以外,針對已開發的系統,國家大劇院還組織第三方測試機構,從攻擊者視角檢測信息系統安全防護能力是否達到,是否存在成功攻入系統的途徑。
4 信息安全建設意義
通過構建信息安全保障平臺,保障我劇院信息系統可安全合規運行。基于國家信息安全等級保護制度要求,建設國家大劇院信息系統整體安全保障體系模型信息安全保障基礎設施,制定安全策略,為國家大劇院系統提供安全可靠的運行環境。
提高國家大劇院電子票務等信息系統的安全運行平穩度。通過在信息安全技術、信息安全保密管理等多維度的體系保障建設,保障網站真實性、打擊假冒網站,大大提高國家大劇院信息系統安全穩定運行的平穩度。
提高用戶的安全便捷以及系統安全管理能力。通過構建可信的電子票務運營環境,為用戶提供身份認證及網絡信任機制,加強用戶的身份、資金安全保障,并且提高系統安全管理能力。
提升安全隱患發現能力。安全隱患的發現能力是信息安全管理中的關鍵能力,關系到能否將風險消除在事件發生之前。通過建立入侵監測系統、防病毒系統以及定期的安全脆弱性檢測等,大大提升我劇院信息系統的安全隱患發現能力。
5 結束語
建設和完善信息安全保障體系是為了保證國家大劇院的業務在今后發展過程中對信息安全建設的要求。
信息安全保障體系建設涵蓋安全管理體系、安全技術體系、安全運維體系的復雜系統工程,是一項長期性的專業的細致的認為,需要以信息安全技術為基礎,持續投入大量的人力和物力。為使國家大劇院建設成為國際化、現代化的大劇院提供有力的信息安全保障。
參考文獻
[1] 關于大力推進信息化發展和切實保障信息安全的若干意見(國發[2012]23號).
[2] 信息安全管理實用規則(GB/T 22081-2008).
[3] 信息系統等級保護安全設計技術要求(GBT25070-2010).
[4] 信息系統安全等級保護體系框架(GA/T 708-2007).
[5] 國家大劇院電子商務網站系統安全保障方案.內部資料,2010.
[6] 國家大劇院安全服務保障方案.內部資料,2011.
篇10
關鍵詞:企業;網絡安全;管理;部署
中圖分類號:F224.33文獻標識碼:A文章編號:1672-3198(2008)03-0128-02
1 引言
隨著信息化進程的提速,越來越多地企業信息被披露于企業內外部網絡環境中,如何保護企業機密,保障企業信息安全,成為企業信息化發展過程中必然需要面臨和解決的問題。
對于企業信息網絡安全管理需要部署的內容,首先要明確企業的哪些資產需要保護,確定關鍵數據和相關業務支持技術資產的價值,然后在此基礎上,制定并實施安全策略,完成安全策略的責任分配,設立安全標準。
2 企業網絡信息安全需求分析
對企業網絡信息安全的網絡調查顯示:有超過85%的安全威脅來自企業內部;有16%來自內部未授權的訪問;有11%資料或網絡的破壞。可以看出:來自于企業內部的安全威脅比來自于外部的威脅要大得多,必要的安全措施對企業是非常重要的。安全風險分析通常包括對系統資源的價值屬性的分析、資源面臨的威脅分析、系統的安全缺陷分析等等。分析的目標就是確定安全系統的建設環境,建立信息系統安全的基本策略。
2.1 企業信息網絡安全需求
企業對信息網絡安全方面的需求主要包含:
(1)業務系統與其它信息系統充分隔離。
(2)企業局域網與互聯的其它網絡充分隔離。
(3)全面的病毒防御體系,恢復已被病毒感染的設備及數據。
(4)關鍵業務數據必須進行備份,具有完善的災難恢復功能。
(5)管理員必須對企業信息網絡系統的安全狀況和安全漏洞進行周期性評估,并根據評估結果采用相應措施。
(6)關鍵業務數據和敏感數據在公網上的傳輸必須加密,防止非法獲取和篡改。
(7)加強內部人員操作的技術監控,采用強有力的認證系統,代替一些不安全的用戶名/口令系統授權模式。
(8)建立完善的入侵審計和監控措施,監視和記錄外部或者內部人員可能發起的攻擊。
(9)對整個信息系統進行安全審計,可預見管理和總擁有成本控制。
2.2 企業信息網絡安全內容
從企業整體考慮,它的信息網絡安全包括以下六個方面:
(1)企業信息網絡安全策略建設,它是安全系統執行的安全策略建設的依據。
(2)企業信息網絡管理體系建設,它是安全系統的安全控制策略和安全系統體系結構建設的依據。
(3)企業信息網絡資源管理體系建設,它是安全系統體系結構規劃的依據。
(4)企業信息網絡人員管理建設,它是保障安全系統可靠建設、維護和應用的前提。
(5)企業信息網絡工程管理體系建設,信息安全系統工程必須與它統一規劃和管理。
(6)企業信息網絡事務持續性保障規劃,它是信息安全事件處理和安全恢復系統建設的依據。
3 企業信息網絡安全架構
3.1 企業信息網絡安全系統設計
安全系統設計是在信息系統安全策略的基礎上,從安全策略的分析中抽象出安全系統及其服務。安全系統的設計如圖1所示。安全系統設計的目標是設計出系統安全防御體系,設計和部署體系中各種安全機制從而形成自動的安全防御、監察和反應體系,忠實地貫徹系統安全策略。
3.2 企業信息網絡安全系統組建
安全系統設計關心的是抽象定義的系統。具體系統組建是建立在設計基礎上的實現。通常系統功能組件的實現方式是軟件、硬件和固體等。安全系統組建的另一項重要內容是配制安全系統,并將安全系統與整個信息系統形成一體。
4 企業信息網絡安全工程的部署
信息系統安全是信息系統服務質量的要求,網絡安全系統應當融于信息網絡服務系統之中,其建設與維護應當與信息網絡系統的建設和維護保持一致,遵循系統工程的方法。網絡安全工程就是應用系統工程建設和維護網絡安全系統。
4.1 工程環節
系統工程總是與被建設的系統特性緊密結合,工程環節與系統生命周期保持同步。安全系統的生命周期也是基本如此,因而安全系統工程典型的基本環節包括信息系統安全需求分析、安全系統設計、安全系統組建、安全系統認證、系統安全運行維護和安全系統改造等,如圖2所示。
(1)安全的互聯網接入。
企業內部網絡的每位員工要隨時登錄互聯網,因此Internet接入平臺的安全是該企業信息系統安全的關鍵部分,可采用外部邊緣防火墻,其內部用戶登錄互聯網時經過內部防火墻,再由外部邊緣防火墻映射到互聯網。外部邊緣防火墻與內部防火墻之間形成了DMZ區。
(2)防火墻訪問控制。
外部邊緣防火墻提供PAT服務,配置IPSec加密協議實現VPN撥號連接以及端到端VPN連接,并通過擴展ACL對進出防火墻的流量進行嚴格的端口服務控制。
內部防火墻處于內部網絡與DMZ區之間,它允許內網所有主機能夠訪問DMZ區,但DMZ區進入內網的流量則進行嚴格的過濾。
(3)用戶認證系統。
用戶認證系統主要用于解決撥號和VPN接入的安全問題,它是從完善系統用戶認證、訪問控制和使用審計方面的功能來增強系統的安全性。
撥號用戶和VPN用戶身份認證在主域服務器上進行,用戶賬號集中在主域服務器上開設。系統中設置嚴格的用戶訪問策略和口令策略,強制用戶定期更改口令。同時配置VPN日志服務器,記錄所有VPN用戶的訪問,作為系統審計的依據。
(4)入侵檢測系統。
企業可在互聯網流量匯聚的交換機處部署入侵檢測系統,它可實時監控內網中發生的安全事件,使得管理員及時做出反應,并可記錄內部用戶對Internet的訪問,管理者可審計Internet接入平臺是否被濫用。
(5)網絡防病毒系統。
企業應全面地布置防病毒系統,包括客戶機、文件服務器、郵件服務器和OA服務器。
(6)VPN加密系統。
企業可建立虛擬專網VPN,主要為企業移動辦公的員工提供通過互聯網訪問企業內網OA系統,同時為企業內網用戶訪問公司的SAP系統提供VPN加密連接。
需要注意的是,由于VPN機制需要執行加密和解密過程,其傳輸效率將降低30%~40%,因此對于關鍵業務,如果有條件應該盡可能采用數據專線方式。
(7)網絡設備及服務器加固。
企業網絡管理員應定期對各種網絡設備和主機進行安全性掃描和滲透測試,及時發現漏洞并采取補救措施。安全性掃描主要是利用一些掃描工具,模擬黑客的方法和手段,以匿名身份接入網絡,對網絡設備和主機進行掃描并進行分析,目的是發現系統存在的各種漏洞。
根據安全掃描和滲透測試的結果,網絡管理員即可有針對性地進行系統加固,具體加固措施包括:關閉不必要的網絡端口;視網絡應用情況禁用ICMP、SNMP等協議;安裝最新系統安全補丁;采用SSH而不是Telnet進行遠程登錄;調整本地安全策略,禁用不需要的系統缺省服務;啟用系統安全審計日志。
(8)辦公電腦安全管理系統。
企業應加強對桌面電腦的安全管理。主要有:
①補丁管理:主要用于修復桌面電腦系統漏洞,避免蠕蟲病毒、黑客攻擊和木馬程序等。
②間諜軟件檢測:能夠自動檢測和清除來自間諜軟件、廣告軟件、鍵盤記錄程序、特洛伊木馬和其他惡意程序的已知威脅。
③安全威脅分析:能夠自動檢測桌面電腦的配置風險,包括共享、口令、瀏覽器等安全問題,并自動進行修補或提出修改建議。
④應用程序阻止:用戶隨意安裝的游戲等應用程序可能導致系統紊亂、沖突,影響正常辦公。管理員可以通過遠程執行指令,阻止有關應用程序的運行。
⑤設備訪問控制:對用戶電腦的硬件采用適當的訪問控制策略,防止關鍵數據丟失和未授權訪問。
(9)數據備份系統。
企業應制定備份策略,定期對一些重要數據進行備份。
4.2 持續性計劃
(1)架構評估。
企業網絡信息安全管理架構的評估應由IT部門、相關責任部門以及終端用戶代表來共同參與,確保所有的部門都能納入安全框架中。
(2)系統安全運行管理。
要保障信息系統安全,就必須維護安全系統充分發揮作用的環境。這種環境包括安全系統的配置、系統人員的安全職責分工與培訓。
(3)安全系統改造。
信息系統安全的對抗性必然導致信息安全系統不斷改造。導致安全系統改造的因素可以歸結為4個方面:技術發展因素;系統環境因素;系統需求因素;安全事件因素。
(4)網絡安全制度建設及人員安全意識教育。
企業應當采取積極防御措施,主動防止非授權訪問操作,從客戶端操作平臺實施高等級防范,使不安全因素在源頭被控制。這對工作流程相對固定的重要信息系統顯得更為重要而可行。
需開展計算機安全意識教育和培訓,加強計算機安全檢查,以此提高最終用戶對計算機安全的重視程度。為各級機構的系統管理員提供信息系統安全方面的專業培訓,提高處理計算機系統安全問題的能力。
參考文獻
[1]趙迪,趙望達,劉靜.基于B/S架構的安全生產監督管理信息系統[J],中國公共安全(學術版),2006,(04).[2]周敏文,譚海文.淺析我國安全生產信息化建設的現狀與對策[J],露天采礦技術,2005,(06).
[3][美]Harold F.Tipton,Micki Krause著,張文,鄧芳玲,程向莉,吳娟等譯.信息安全管理手冊(卷III)(第四版)[M],北京:電子工業出版社,2004年6月,237-264.
- 上一篇:逆向思維的訓練方法
- 下一篇:尊重少數民族文化的重要性
