網絡安全建設的背景模板(10篇)
時間:2023-11-24 10:27:31
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇網絡安全建設的背景,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
中圖分類號:TP393.18文獻標識碼:A文章編號:1007-9599 (2010) 11-0000-01
The Network Security Problem Analysis Under the Informatization Construction
Li Xiang,Bai Jiantao
(North China Engineering Investigation Institute Limited Company,Shijiazhuang050000,China)
Abstract:This paper discusses the perspective of network security in the importance of information technology as well as the major challenges facing,finally the path proposed to solve the problem.
Keywords:Network security;Informatization;Challenge
網絡與信息安全不僅關系到信息化的健康發展,而且關系到國家的政治安全、經濟安全、國防安全和社會穩定。隨著信息化在社會、經濟、軍事等領域作用的日益增強,信息安全對經濟發展、國家安全和社會穩定的影響也日益突出。
一、網絡安全在信息化建設中的重要性
人類在享受網絡、信息所帶來的文明的同時,也受到了網絡信息不安全的困擾甚至威脅。不論從硬件、軟件及系統本身,還是從管理角度來看,都還不同程度地存在著各種安全隱患,因重大故障而引發系統停機、業務停頓的現象也曾有發生;被黑客攻擊,病毒傳染致使系統癱瘓,數據丟失也不乏其例。這些事實都告訴我們在大力發展信息化的同時,必須十分重視并妥善解決好網絡與信息安全問題。
二、網絡安全在信息化建設中面臨的挑戰
(一)物理層面的挑戰
信息化建設網絡安全的物理性危害主要來自靜電、雷擊、自然災害以及生物活動等方面,在這里筆者主要討論最常見的靜電威脅。由于種種原因而產生的靜電,是發生最頻繁,最難消除的危害之一。靜電不僅會對計算機運行出現隨機故障,而且還會導致某些元器件,如CMOS、MOS電路,雙級性電路等的擊穿和毀壞。此外,還會影響操作人員和維護人員的正常的工作和身心健康。計算機在國民經濟各個領域,諸如氣象預測預報、航空管理、鐵路運輸、郵電業務、微波通信、證券營運、財政金融、人造衛星、導彈發射等方面的應用日益普及和深入,這些領域都是與國民經濟息息相關的,一旦計算機系統在運行中發生故障,特別是重大的故障會給國民經濟帶來巨大的損失,造成的政治影響更不容忽視。
(二)技術層面的挑戰
網絡安全技術層面的挑戰最常見的是網絡病毒的傳播和黑客的入侵。具體到網絡病毒方面來講,在網絡環境下,病毒可以按指數增長模式進行傳染。病毒一旦侵入計算機網絡,會導致計算機效率急劇下降、系統資源遭到嚴重破壞,并在短時間內造成網絡系統的癱瘓。因此網絡環境下的病毒防治也是計算機反病毒領域的研究重點。其傳播的方式很多。
黑客入侵者,相對于網絡病毒來講更具破壞力,因為入侵者的行為都具有惡意。入侵者是指那些強行闖入遠端系統或者以某種惡意的目的破壞遠端系統完整性的人。他們利用獲得的非法訪問權,破壞重要數據,拒絕合法用戶服務請求,或為了達到自己的目的而制造一些麻煩。黑客進行攻擊,最直接、最明顯的目的就是竊取信息。黑客可不只是為了逛廟會,他們選定的攻擊目標往往有許多重要的信息與數據,他們竊取了這些信息與數據之后,進行各種犯罪活動。政府、軍事、郵電和金融網絡是他們攻擊的主要目標。隨著計算機網絡在政府、軍事、金融、醫療衛生、交通、電力等各個領域發揮的作用越來越大,黑客的各種破壞活動也隨之猖獗。
三、解決的對策
(一)加強措施預防靜電危害
1.要鋪設防靜電地板。在建設和管理計算機房時,分析靜電對計算機的影響,研究其故障特性,找出產生靜電的根源,制定減少以至消除靜電的措施,始終是一個重要課題。其中,鋪設防靜電地板是主要措施之一。2.拆裝檢修機器時帶上防靜電手環。工作人員在拆裝和檢修機器時,為防止靜電和人體在交流電場里的感應電位對計算機的影響,應當在手腕上帶上防靜電手環,該手環通過柔軟的導線良好接地。無關人員應當限制進入現場,以避免靜電危害的發生。3.盡量不穿著會引起靜電的衣物。機房工作人員的衣服鞋襪不要使用化纖或塑料等容易摩擦產生靜電的材料的制成品。如果你穿著了容易產生靜電的大衣,應當在隔離區之外把它脫下來。尤其要引起注意的是有時會有一些領導或來賓到機房參觀,一般以在隔離區外通過大玻璃窗觀看比較安全,因為你很難限制他們的著裝。
(二)加強安全系統維護,防止病毒傳播
1.保護計算機系統不受來自于任何方面病毒的危害。這里所說的“任何方面”,一方面指計算機的本地資源,比如傳統的磁盤介質等,另一方面指相對于“本地”而言的“遠程”網絡資源,比如用戶使用的互聯網等;2.對計算機系統提供的保護應該著眼于整個系統并且是雙向的,也就是說病毒實時檢測和清除系統還應該能對本地系統內的病毒進行“過濾”,防止它向網絡或傳統的存儲介質擴散。這就更加要求病毒實時檢測和清除系統具有很好的實時性――在病毒入侵系統并實施感染行為之前,就將其徹底地“過濾”。
(三)ps、w和who這些命令可以報告每一個用戶使用的終端
如果黑客是從一個終端訪問系統,這種情況不太好,因為這需要事先與電話公司聯系。使用who和netstat可以發現入侵者從哪個主機上過來,然后可以使用finger命令來查看哪些用戶登錄進遠程系統。最后,修復安全漏洞并恢復系統,不給黑客留有可乘之機。除以上措施外,選擇合適的IDS,也尤為重要。
四、結束語
我們必須采取有效措施,切實保障網絡與信息安全。要把采取技術手段與加強日常管理和健全體制緊密結合起來,加快國家信息和網絡安全保障體系建設。有效防范各種對信息網絡的攻擊,保障網絡與信息內容的安全,促進國家信息化順利發展。
篇2
財政,作為一個國家、一個地區的核心工作之一。財政安全就是國家最高層次、地區最高層次的安全問題,而財政安全又關乎到國計民生、國家命脈,所以就需要做好財政系統網絡信息安全建設,才能夠滿足財政系統整體的要求。
1財政系統網絡信息安全面臨的問題
基于財政系統網絡信息安全建設分析,其主要面臨的問題在于:(1)計算機系統本身漏洞計算機系統本身是通過人類的不斷研究開發與更新才能夠實現的,但是不能夠將所有的問題都考慮進去,這樣也使得系統漏洞的存在是無法避免的。存在漏洞,就代表會給黑客留下入侵的機會。在當前的大數據時代背景下,財政系統的數據被大量的收集與使用,這也給黑客更多的入侵機會,一旦成功,財政系統數據就會毫無保留地被黑客獲取,這樣就會面臨大數據信息泄漏的危機,這樣也會讓財政系統的信息安全得不到保障[1]。(2)信息傳輸中面臨的隱患在信息的實際傳輸環節,財政系統信息安全還會受到信息損耗、被竊取等威脅。為了避免通信傳輸之中出現信息篡改和竊取的問題,就需要懂得利用IDS監控、VPN加密等安全手段,這樣才可以確保網絡傳輸協議之中網絡層的安全性,通過系統安全對應的加固,才能夠避免財政系統傳輸過程之中出現信息安全方面的隱患。(3)數據多樣化,影響網絡信息安全管理在當前的大數據環境中,數據使用相對廣泛,這樣會影響數據的有效控制。龐大的數據量,使得財政系統的信息越來越多,這樣無疑就會增大管理難度,并且數據傳播途徑也會變得多樣化,使得數據傳輸也越來越快速,最終就有可能會脫離有效的控制范圍,常規化的管理就無法滿足多樣化的數據要求,最終就會影響系統網絡信息的安全性。
2加強財政系統網絡信息安全建設的有效途徑
基于財政系統網絡信息安全建設可能面臨的難點匯總之中,首先,我們就需要找準網絡信息安全建設的目標,這樣才能夠提出財政系統網絡信息安全建設的有效途徑,最終推動財政系統的可持續發展要求。
2.1網絡信息安全建設的目標
通過財政系統網絡信息安全建設,就可以實現用戶行為規范化的管理,能夠實現安全管理制度的有效完善,并且也可以將臨時用戶和內部用戶的行為直接限定在可控的范圍之中,這樣就可以落實制度,讓網絡信息安全的理念真正深入人心;保證財政系統的正常運行,需要完善的網絡應急機制和保障預案的支持,在面臨突發網絡安全事件的時候,財政系統的服務不會出現中斷,單位能夠實現資金的正常運轉;積極抵御非法入侵,做好網絡之中可疑行為的嚴密監控;保證財政系統網絡信息數據的安全,確保數據本身的完整性,實現對各種信息數據丟失風險的有效抵御,在安全事件發生之后,能夠及時的進行恢復[2]。
2.2財政系統網絡信息安全建設的有效途徑
篇3
1前言
隨著工業化與信息化的快速發展以及云、大、物、智、移等新技術的逐步發展和深化實踐,制造業工業控制系統的應用越來越多,隨之而來的網絡安全威脅的問題日益突出。特別是國家重點行業例如能源、水利、交通等的工業控制系統關系到一個國家經濟命脈,工業控制系統網絡一旦出現特殊情況可能會引發直接的人員傷亡和財產損失。本文主要以軌道交通行業CBTC系統業務的安全建設為例介紹工業信息安全防護思路,系統闡述了工業信息安全的發展背景及重要性,以網絡安全法和工業基礎設施的相關法規和要求等為依據,并結合傳統工業控制系統的現狀,從技術設計和管理系統建設兩個方面來構建工控系統網絡安全。
2工業信息安全概述
2.1工控網絡的特點
工業控制系統是指各種自動化組件、過程監控組件共同構成的以完成實時數據采集、工業生產流程監測控制的管控系統,也可以說工業控制系統是控制技術(Control)、計算機技術(Computer)、通信技術(Communication)、圖形顯示技術(CRT)和網絡技術(Network)相結合的產物[1]。工控系統網絡安全是指工業自動控制系統網絡安全,涉及眾多行業例如電力、水利、石油石化、航天、汽車制造等眾多工業領域,其中超過60%的涉及國計民生的關鍵基礎設施(如公路、軌道交通等)都依靠工控系統來實現自動化作業。
2.2國內外工業安全典型事件
眾所周知,工業控制系統是國家工業基礎設施的重要組成部分,近年來由于網絡技術的快速發展,使得工控系統正逐漸成為網絡戰的重點攻擊目標,不斷涌現的安全事件也暴露出工控系統網絡安全正面臨著嚴峻的挑戰。(1)美國列車信號燈宕機事件2003年發生在美國佛羅里達州鐵路服務公司的計算機遭遇震網病毒感染,導致美國東部海岸的列車信號燈系統瞬間宕機,部分地區的高速環線停運。這次事件主要是由于感染震網病毒引起的,而這種病毒常被用來定向攻擊基礎(能源)設施,比如國家電網、水壩、核電站等。(2)烏克蘭電網攻擊事件2015年,烏克蘭的首都和西部地區電網突發停電,調查發現這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站,在電力公司的主控電腦系統里植入了病毒致使系統癱瘓造成停電事故。(3)舊金山輕軌系統遭勒索病毒攻擊事件2016年,黑客攻擊美國舊金山輕軌系統,造成上千臺服務器和工作站感染勒索病毒,數據全部被加密,售票系統全面癱瘓。其實國內也發生過很多工業控制系統里面的安全事件,主要也是因為感染勒索病毒引起的。勒索病毒感染了重要業務系統里面的一些工作站,例如在軌道交通行業里的典型系統:綜合監控系統、通信系統和信號系統等,其中大部分是由于移動接入設備的不合規使用而帶來的風險。從以上事件可以看出,攻擊者要發動網絡攻擊只需發送一個普通的病毒就可以達到目的,隨著網絡攻擊事件的頻發和各種復雜病毒的出現,讓我們的工業系統安全以及公共利益、人民財產安全正遭受著嚴重的威脅。
2.3工控安全參考標準、規范
作為國家基礎設施的工業控制系統,正面臨著來自網絡攻擊等的威脅,為此針對工控網絡安全,我國制定和了相關法律法規來指導網絡安全建設防護工作。其中有國家標準委在2016年10月的《工業通信網絡網絡和系統安全建立工業自動化和控制系統安全程序》《工業自動化和控制系統網絡安全可編程序控制器(PLC)第1部分:系統要求》等多項國家標準[2]。同年,工信部印發《工業控制系統信息安全防護指南》,該標準以當前我國工業控制系統面臨的安全問題為出發點,分別從技術防護和管理設計兩方面來對工業控制系統的安全防護提出建設防護要求。2017年6月,《網絡安全法》開始實施,網安法從不同的網絡層次規定了網絡安全的檢測、評估以及防護和管理等要求,促進了我國工業控制系統網絡安全的發展。
3工業控制系統網絡安全分析
軌道交通信號系統(CBTC)是基于通信技術的列車控制系統,該系統依靠通信技術實現“車地通信”并且實時地傳遞“列車定位”信息[3]。目前CBTC安全建設存在以下問題:(1)網絡邊界無隔離隨著CBTC的集成度越來越高,各個子系統之間的聯系和數據通信也越來越密切,根據地域一般劃分為控制中心、車站、車輛段和停車場,根據業務又劃分為ATO、ATS、CI、DCS等多個子系統,各區域之間沒有做好訪問控制措施,缺失入侵防范和監測的舉措。各個子系統之間一般都是互聯互通的,不同的子系統由于承載的業務的重要等級不同也是需要對其邊界進行防護的,還有一些安全系統和非安全系統之間也都沒有做隔離。(2)網絡異常查不到針對CBTC系統的網絡入侵行為一般隱蔽性很強,沒有專門的設備去檢測的話很難發現入侵行為。出現安全事件后沒有審計記錄和追溯的手段,等下次攻擊發生依然沒有抵抗的能力。沒有對流量進行實時監測和記錄,不能及時發現高級持續威脅、不能有效應對攻擊、不能及時發現各種異常操作。(3)工作站、服務器無防護CBTC系統工作站、服務器的大部分采用Windows系列的操作系統,還有一部分Linux系列的操作系統,系統建設之初基本不會對工作站和服務器的操作系統進行升級,操作系統在使用過程中不斷暴露漏洞,而系統漏洞又無法得到及時的修復,這都會導致工作站和服務器面臨風險。沒有在系統上線前關閉冗余系統服務,沒有加強系統的密碼策略。除此之外,運維人員可以在調試過程中在操作站和服務器上安裝與業務無關的軟件,也可能會開啟操作系統的遠程功能,上線后也不會關閉此功能,這些操作都會使得系統配置簡單,更容易受到攻擊。目前在CBTC系統各個區域部分尚未部署桌管軟件和殺毒軟件,無法對USB等外接設備的接入行為進行管控,隨意使用移動存儲介質的現象非常普遍,這種行為極易將病毒、木馬等威脅帶入到生產系統中。(4)運維管理不完善單位內安全組織機構人員職責不完善,缺乏專業的人員。沒有針對信號系統成立專門的安全管理部門,未明確相關業務部門的安全職責和職員的技能要求,也缺乏專業安全人才。未形成完整的網絡安全管理制度政策來規劃安全建設和設計工控系統安全需求。另外將工業控制系統的運維工作外包給第三方人員后并無相關的審計和監控措施,當第三方運維人員進行設備維護時,業務系統的運營人員不能及時了解第三方運維人員是否存在誤操作行為,一旦發生事故無法及時準確定位問題原因、影響范圍和責任追究。目前CBTC系統的網絡采用物理隔離,基本可以保證正常生產經營。但是管理網接入工控系統網絡后,工控系統網絡內部的安全防護措施無法有效抵御來自外部的攻擊和威脅,而且由于與管理網的數據安全交互必須在工控網絡邊界實現,因此做好邊界保護尤為重要。
4工業控制系統網絡安全防護體系
工控系統信息化建設必須符合國家有關規定,從安全層面來看要符合國家級防護的相關要求,全面規劃設計網絡安全保障體系,使得工控體系符合相關安全標準,確保工控安全保障體系的廣度和深度。根據安全需求建立安全防護體系,通過管理和技術實現主被動安全相結合,有效提升了工控業務系統的安全防護能力。根據業務流量和業務功能特點以及工控系統網絡安全的基本要求來設計不同的項目技術方案,從技術角度來識別系統的安全風險,依據系統架構來設計安全加固措施,同時還要按照安全管理的相關要求建立完善的網絡安全管理制度體系,來確保整體業務系統的安全有效運行。
4.1邊界訪問控制
考慮到資產的價值、重要性、部署位置、系統功能、控制對象等要素,我們將軌道交通信號系統業務網絡劃分為多個子安全域,根據CBTC業務的重要性、實時性、關聯性、功能范圍、資產屬性以及對現場受控設備的影響程度等,將工控網絡劃分成不同的安全防護區域,所有業務子系統都必須置于相應的安全區域內。通過采取基于角色的身份鑒別、權限分配、訪問控制等安全措施來實現工業現場中的設備登錄控制、應用服務資源訪問的身份認證管理,使得只有獲得授權的用戶才能對現場設備進行數據更新、參數設定,在控制設備及監控設備上運行程序、標識相應的數據集合等操作,防止未經授權的修改或刪除等操作。4.2流量監測與審計網絡入侵檢測主要用于檢測網絡中的惡意探測和惡意攻擊行為,常見有網絡蠕蟲、間諜和木馬軟件、高級持續性威脅攻擊、口令暴力破解、緩沖區溢出等各種深度攻擊行為[4]。可以利用漏洞掃描設備掃描探測操作系統、網絡設備、安全設備、應用系統、中間件、數據庫等網絡資產和應用,及時發現網絡中各種設備和應用的安全漏洞,提出修復和整改建議來保障系統和設備自身的安全性。惡意代碼防護可以檢測、查殺和抵御各種病毒,如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設備來及時發現識別系統設備是否存在不合理的策略配置、系統配置、環境參數配置的問題。另外要加強安全審計管理,通常包括日常運維操作安全審計、數據庫訪問審計以及所有設備和系統的日志審計,主要體現在對各類用戶的操作行為進行審計和對重要安全事件進行記錄和審計,審計日志的內容需要包括事件發生的確切時間、用戶名稱、事件的類型、事件執行情況說明等。
4.3建立統一監測管理平臺
根據等級保護制度要求規定,重要等級在第二級以上的信息系統需要在網絡中建立統一集中管理中心,通過統一安全管理平臺能夠對網絡設備、安全設備、各類操作系統等的運行狀況、安全日志、配置策略進行集中監測、采集、日志范化和歸并處理,平臺可以呈現CBTC系統中各類設備間的訪問關系,形成基于網絡訪問關系、業務操作指令的工業控制環境的行為白名單,從而可以及時識別和發現未定義的行為以及重要的業務操作指令的異常行為。可以設置監控指標告警閾值,觸發告警并記錄,對各類報警和日志信息進行關聯分析和預警通報。
4.4編制網絡安全管理制度
設立安全專屬職能的管理部門和領導者及管理成員的崗位,制定總體安全方針,指明組織機構的總體目標和工作原則。對于安全管理成員的角色設計需按三權分立的原則來規劃并落實,必須配備專職的安全成員來指導和管理安全的各方面工作。指派專人來制定安全管理制度,而且制度要經過上層組織機構評審和正式,保持對下發制度的定期評審和落實情況的核查。由專人來負責單位內人員的招聘錄用工作,對人員的專業能力、背景及任職資格進行審核和考察,人員錄用時需要跟被錄用人簽訂保密協議和崗位責任書。編制完善的制度規范,編制范圍應涵蓋信息系統在規劃和建設、安全定級與備案、方案設計、開發與實施、驗收與測試以及完成系統交付的整個生命周期。針對不同系統建設階段分別編制軟件開發管理規范、代碼編寫規范、工程監理制度、測試驗收制度,在測試和交付階段記錄和收集各類表單、清單。加強安全運維建設,制定包含物理環境管理、資產管理、系統設備介質管理以及漏洞風險管理等方面的規范要求,對于機房等辦公區域的人員進出、設備進出進行記錄和控制,建立資產管理制度規范系統資質的管理與使用行為,保存相關的資產清單,對各種軟硬件資產做好定期維護,對資產采購、領用和發放制定嚴格的審批流程。針對漏洞做好風險管理,針對發現的安全問題采取相關的應對措施,形成書面記錄和總結報告。在第三方外包人員管理方面應該與外包運維服務商簽訂第三方運維服務協議,協議中應明確外包工作范圍和具體職責。
5結束語
由于工控系統安全性能不高和頻繁爆發的網絡安全攻擊的趨勢,近年來我國將網絡安全建設提升到了國家安全戰略的高度,并且制定了相關的標準、政策、技術、程序等來積極應對安全風險,業務主管部門還應進一步強化網絡安全意識,開展網絡安全評估,制定網絡安全策略,提高工控網絡安全水平,確保業務的安全穩定運行。
參考文獻:
[1]石勇,劉巍偉,劉博.工業控制系統(ICS)的安全研究[J].網絡安全技術與應用,2008(4).
篇4
(訊)網絡空間在2015年新頒布的《國家安全法》中被正式確定為國家第五疆域,與傳統的海、陸、空、天并駕齊驅,網絡安全建設上升至戰略高度。“十三五”期間,網絡安全建設已確定性成為政府投入重點,并將在未來五年步入建設高峰期。在信息安全投入現狀較低的情況下,未來千億增量空間正逐步被打開。目前,國家對于信息安全建設工作的意愿和目標明確,自2014年起可以看到,政府的支持政策就連續不斷出臺,政策力度逐步遞升。2016年,在頂層設計的逐步完成后,“十三五”期間信息安全有望在政府監督和指導下,正式步入建設項目實施兌現期。當下,我國的信息安全投入僅占IT總投入的1-3%,遠低于發達國家8%-12%的水平,按10%的平均水平匡算,我國信息安全市場已具備千億市場空間等待挖掘。
未來隨著信息安全建設周期的開始,在政府相關支持政策的持續高壓下(短期《網絡安全法》值得期待),各行業領域對信息安全的需求釋放,使得信息安全行業整體增速上升到一個新的臺階,從原來的15%-20%提升為20%-30%,成為行業新業態。在此過程中,黨政軍方面的需求將成為增速的主引擎。根據CCID預計,未來三年我國信息安全市場將保持25%左右的高速增長,2019年信息安全市場規模將達到約合396億元。而在信息安全行業快速發展的過程中,由于軍政領域國家涉密信息最多,對信息安全的保護等級始終最高,我們認為該領域將成為拉動信息安全需求增長的主力軍。與此同時,考慮到當前國家意志在需求拉動中的關鍵作用,以及《網絡安全法》等法律細則尚未出臺,企業級客戶合規需求尚未啟動的背景下,黨政軍方面需求有望率先快速增長(預計未來兩到三年黨政軍細分領域需求增速將超過行業平均增速,達到30%-40%),成為拉動我國信息安全行業步入高速增長周期的第一級驅動力。
細分市場上我們認為,隨著信息竊取數量快速增長,經濟代價加大,信息安全防護需求等級將逐漸提升,高端的信息加密細分市場將迎來春天。隨著政府、軍隊、金融和能源等關鍵領域數據泄露次數爆發式增加,信息安全需求等級逐漸提升,普通的網絡防護已不再能滿足高安全等級的要求,能夠對數據源頭進行加密的產品在這些重點領域需求快速提升。預計密碼產品整體市場增速未來三年有望保持30%-40%超越行業平均增速的高水平狀態。信息行業整體上,我們則認為行業將呈現集中度逐步提升的狀態,綜合廠商競爭優勢將會越來越明顯。目前,由于所面臨的網絡攻擊方式多樣,企業對于全方位的信息安全防護需求明顯。而出于對企業成本及自身數據保密性的考慮,能提供完整軟硬件解決方案的綜合廠商將更能獲得合作的機會。因此,我們認為目前國內正處于不斷完善自身產業鏈的龍頭型企業未來將會更具競爭力,在品牌、研發、技術、產品、客戶上獲得更大優勢并進一步拉開與后面企業的差距,占領更多市場份額。
在傳統安全應用領域之外,云計算、移動互聯網等新應用領域的興起帶來了對安全的新需求,這些藍海市場未來前景廣闊,空間巨大,未來將成為企業爭奪的新焦點。目前,云計算已成為IT領域未來的必然趨勢,我國云服務也正快速增長。但云服務產生的數據所有權和管理權的分離使得安全疑慮成為其大規模商用的最大桎梏。憑借安全需求在云計算中的特殊地位,未來云安全有望跟隨云計算實現快速發展。據計世資訊預測,2017年中國云計算市場規模將突破800億大關,復合增速達80%以上。而我國的云安全市場2017預計將達到41億美元的市場規模。移動安全領域,由于手機在移動辦公、移動支付、物聯網中逐漸起到的控制終端作用,承載信息價值量快速提升,安全需求隨之擴大形成新興的藍海市場。目前根據細分市場規模測算,移動端信息安全市場容量已達27億,并將以每年30%的速度增長,成為安全企業爭奪的新焦點。
投資策略:首先,信息安全將在“十三五”期間快速邁入建設高峰期,信息安全市場千億市場空間有待挖掘。其次,隨著信息安全建設周期開啟,行業整體增速有望提升至20%~30%。黨政軍方面的需求將增長最快,成為拉動我國信息安全行業的主引擎。再次,細分市場上高端信息加密產品將隨著信息安全需求等級的提升,迎來結構性機會。整體行業則有望集中度提升,綜合廠商競爭優勢將逐漸明顯。最后,云計算、移動互聯網領域對安全的新需求,有望為信息安全行業帶來廣闊新市場。因此,我們建議從以下四個路徑把握投資機會,盡享“十三五”期間信息安全行業即將帶來的饕餮盛宴:重點推薦啟明星辰、立思辰、優炫軟件。(來源:中泰證券 文/李振亞 編選:中國電子商務研究中心)
篇5
所謂大數據即是指需要新處理模式才能具有更強決策力、洞察力和流程優化能力的海量、高增長率和多樣化的信息資產,其核心價值在于巨量資料中對有意義數據的專業化處理,代表著一個新時代最明顯的特征。基于大數據的計算機網絡安全環境觸涉到的內容極其復雜,客戶端、服務端等多元化系統集成,在為用戶提供便捷的同時,亦帶來了更加嚴峻的計算機網絡安全問題。具體而言,基于大數據的計算機網絡安全建設是一項復雜的系統工程,除了必要的日常維護管理之外,還需緊密關注計算機網絡安全環境的動態變化,繼而針對性地采取有效預防措施。但事實上,多數計算機網絡管理員的安全意識匱乏,相關工作細化不足,導致數據信息泄露甚至被破壞,帶來了不可估量的損失。同時,信息技術的高速發展亦加大了黑客攻擊、病毒傳播等風險,其高度的隱蔽性不易識別。另外,在計算機網絡的使用過程中,賬號密碼及權限設置的缺失,造成了較為嚴重的安全風險,損害了用戶權益。
2基于大數據的計算機網絡安全構建策略
2.1強化主動意識
思想意識是行為實踐的基礎,對計算機網絡安全體系建構至關重要,決定了此項工程實效。對此,應針對對象主體的差異化采取有效舉措,主要包括管理員和用戶。在具體的踐行過程中,應依托互聯網傳播的便捷性、廣泛性,加大對用戶安全意識的宣傳,提示網絡安全風險,規范上網行為,禁止不良信息流通,尤其是對部分高技術用戶而言,普及國家相關法律法規,嚴禁做違法犯罪的事情,凈化網絡環境,提高用戶安全體驗。同時,進一步強化網絡管理員的主動安全意識,制定完善的工作制度流程,嚴格控制不同權限賬號的知悉范圍,要求緊密關注行業發展動態,及時更新計算機安全防護軟件和殺毒軟件等,針對計算機操作系統中存在的安全漏洞予以修復,不斷提高防火墻的防火等級,確保安全的網絡應用環境。對此,相關單位應加強內部培訓教育工作,及時更新管理員學識構成,深度解析大數據環境下計算機網絡安全因素,協同商定科學的防護方案,分享有效實踐經驗,提高他們的綜合服務水平。
2.2完善管理機制
時至今日,計算機網絡應用越發普范,改變了人們的生產生活方式,并為之帶來了前所未有的服務體驗,成為了當下社會創新發展的基礎著力點,但基于大數據影響,其運行環境越發復雜多變,用戶面臨著越發嚴峻的安全問題。對此,英、美等發達國家已將個人數據保護納入到憲法規制范疇,事實上對維護計算機網絡安全發揮了重要作用。相比之下,我國的相關法制建設尚不健全,是基于大數據的計算機網絡安全建設重點。建議國家立法部門結合實際情況,出臺系列保護個人信息安全的法規制度,明確各種以數據信息為目標的違法性行為,嚴厲打擊破壞、盜取他人計算機網絡信息數據的行為,予以恰當的處罰,發揮強有力的威懾作用。在高成本的違法犯罪面前,人們的自我約束性將得到明顯提升。同時,以政府為引導,加強企業、高校以及專家團隊的進一步合作,給予必要的政策支持,并建立一個健全的管理體系,明確其彼此間的合作關系,保護好各方合法利益,從而產生強大的聚合力,最大限度地降低網絡攻擊危害。
2.3導入先進科技
知識經濟時代,科技創新是社會發展的恒動力,更是解決計算機網絡安全問題的利劍。近年來,基于大數據的計算機網絡安全研究有了很多新的進展,并取得了顯著成果,如云庫、人工智能等,不僅有效降低了計算機網絡安全威脅,還減少了相應的人力、物力等成本消耗。例如,基于大數據分析技術應用的計算機網絡安全保障得到了大幅提升。在計算機網絡的具體應用實踐中,系統會伴有大量日志產生,針對此類數據的分析可依托大數據分析技術進行,實現統計、挖掘等使用需求,旨在全面搜索計算機網絡瀏覽中的病毒攻擊痕跡,繼而做出有效防御方案。事實上,中國移動基于大數據技術現已成功建立了詐騙電話攔截系統-天盾,有效維護了用戶信息安全。因此,應加大對計算機網絡安全與大數據創新技術的導入,組織相關人員認真學習,激發更多創新思維。值得客觀指出的是,在面對越發復雜的計算機網絡應用環境下,單一的防護及管理技術已難滿足需求,應在充分發揮各種技術優勢的上促進融合。
3結語
總而言之,基于大數據的計算機網絡安全建設十分重要和必要,其面臨著越來越多的挑戰,同時其作為一項系統化工程,需要從技術、管理等多個方面入手,結合實際情況,不斷完善管理機制,及時導入先進技術。作者希望學術界大家持續關注此課題研究,結合實際情況,針對性地提出更多基于大數據的計算機網絡安全發展建議,為用戶帶來更加便捷、安全的服務體驗。
參考文獻
篇6
1.1 運行環境的安全威脅
互聯網和計算機等設備都是高精度的電子設備,他們在運行過程中對溫度、供電的穩定性以及電磁干擾等都提出了要求,但是這幾點要求我國多數高校圖書館都沒有達到要求,也沒有在機房建設過程中考慮到這些因素。由于外在因素的不齊全也就給高校圖書館的服務器、計算機設備的安全和穩定等帶來了一定的安全隱患。此外,高校數字化圖書館在建設過程中還需要考慮到自然環境給圖書館網絡信息安全可能產生了影響,例如,地震、火災、雷電等一些不可控制因素,都可能傷害到高校圖書館的信息安全,所以需要高校在建設數字化圖書館時做好這方面的工作,最大程度的降低給高校圖書館帶來的傷害。
1.2 硬件環境的安全威脅
強大的服務器、交換機以及計算機是高校圖書館網絡建設的必備設備,只有這三者齊全了才能更好為高校廣大師生提供便利和優質服務,確保高校圖書館網絡應用的順利進行,首先要做到的就是確保高校圖書館服務器的穩定。當前高校圖書館內部始終的操作系統如,Windows, Linux等,這些系統本身存在一定漏洞,這些漏洞的存在就給外界攻擊高校圖書館服務器提供了便利,要確保高校圖書館為廣大師生提供服務工作,高校圖書館網絡的TCP/IP協議都選取系統默認的設置,為更多用戶的接入提供了較大的便利,但卻給高校圖書館內部服務器的安全形成了巨大的威脅和傷害。
1.3 軟件環境安全威脅
高校數字化圖書館的建立本身需要較多數量的軟件應用,而現階段較多的病毒都是潛在于眾多應用軟件中,一旦用戶進行軟件的下載,在整個軟件安裝過程中很容易將病毒傳入到圖書館服務器內,給高校圖書館程度的運行造成威脅,特別是在圖書館和互聯網相接入的狀況下,存在互聯網內部隱藏的、植入和寄生的病毒很容易感染高校圖書館,造成高校圖書館的整體癱瘓。
1.4 網絡系統安全威脅
高校圖書館網絡本身是與互聯網相結合的,這也給黑客攻擊高校圖書館提供了較大的便利,這些黑客可以直接利用網絡中存在的漏洞,進行口令破譯、漏洞掃描以及欺騙等多種方式進入高校網絡圖書館的后臺服務器系統中,將重要的文獻資料刪除,或者是進行信息的篡改和盜用等,給高校圖書館的內部資源產生嚴重的威脅和迫害。
1.5 網絡信息安全意識薄弱
在整個高校圖書館網絡信息安全建設的過程中,多數高校圖書館為了提升自身的數字化建設工作,盡快的實現高校圖書館數字化, 大量的進行電子資源的引進,并存在著“重建設,輕維護”的思想,在這種思想的引導和指揮下,造成了高校圖書館網絡信息安全問題不斷出現,高校圖書館管理人員對于如何保護高校圖書館信息安全,降低圖書館內信息安全隱患沒有一個明確的方向,更不知道如何正確的選擇和使用現有的網絡安全產品,對于高校圖書館內部出現的系統不能及時解決。而且據調查了解得知,高校圖書館網絡信息安全建設中存在的多項問題多數是由內部管理不得位導致的。高校圖書館在網絡安全管理制度上沒有全面的完善和健全,在制度的執行上更是存在很多不到位的狀況,使得高校圖書館內部存在的各類管理機制和采取的安全措施都如同虛設。根本起不到任何作用,也無法確保高校圖書館網絡信息的安全。事實上信息數據的完整性與否和一些更深層次的問題并沒有引起高校圖書館內部網絡管理人員的充分重視,這也是為高校圖書館信息網絡安全建設構成威脅的一個重要原因。
3 高校圖書館的網絡信息安全建設方案
結合現階段高校圖書館網絡信息面臨的各種隱患,需要采用更具有科學性、專業性和高效性的方式進行工作的開展,這樣能夠大大降低圖書館網絡信息的危險性,確保整個高校圖書館網絡系統的順利運行。
3.1 確保高校圖書館內部軟硬件設備的安全
強化各網絡軟件硬件設備,加大硬件設備的投入工作,在軟件應用時一定要購買正版軟件,做好更新工作,從而彌補軟件自身存在的不足和漏洞。還需要確保高校圖書館服務器、存儲設備以及工作用機等硬件的穩定性,及時解決發展的問題。還有就是要提升對主機房環境的重視,做好圖書館內配電系統、空調設施和消防系統等工作,避免出現一切不可能的安全隱患。例如,中國民航飛行學院圖書館內部就是安裝了煙霧感應消防系統,并將主機房的位置設在了二樓,在整體機房內安裝了ups不間斷電源,圖書館內部的管理人員則每天進行空調的切換以及圖書館內部設備的檢查和運行狀況,確保高校圖書館網絡信息系統的高校運行。
3.2 做好高校圖書館網絡管理人員的培養和制度的完善
好的軟件系統和硬件設備需要專業的技術人員操作,才能最大程度的發揮其作用。高校圖書館網絡信息安全的建設中的一項重要任務就是要做好人才的培養和控制工作,高校要讓更多的圖書館網絡管理人員參加專業的培訓工作,甚至可以安排他們到網絡信息建設較為優秀的行業去學習,從而不斷提升自身的網絡專業能力。此外,還需要高校建立健全有關的管理制度,成立專業的安全管理小組進行圖書館網絡信息安全問題處理。同時還需要做好用戶賬號和權限的分級工作,尤其是系統管理員的賬號和密碼,需要進行特別的設定,并做到定期更改工作。更是要結合不同崗位用戶的需求進行權限的設計。提升高校圖書館網絡管理員的責任意識和安全意識,并嚴格遵照有關規定進行操作,確保高校網絡信息的安全。
3.3 提高高校圖書館網絡的防火墻技術
防火墻技術和殺毒軟件,這兩者對黑客的阻止和病毒的抵制上都發揮著巨大的作用。現階段較為普通的網絡安全防火墻只能是對網絡數據的網絡層進行把控和管理,但在網絡用戶的審核和管理上卻不能發揮其重要作用,更是很難適應現階段網絡安全和管理的復雜性。所以在這種網絡安全背景下,需要提升防火墻技術,采用最新的防火墻技術(NGFW),并確保其是基于網絡ISO7層模式的最高層。該防火墻技術具有幾點突出的特征,一是可以識別和有效控制網絡應用層面的網絡數據;二是可以對網絡內部存在的病毒和黑客的攻擊進行防范和抵制;三是能夠對接入網絡的人員和數據進行身份的準確識別、授權以及審計;四是也是最重要的一點就是能夠對可能出現的威脅進行有效防范。所以需要高校圖書館不斷提升自身的防火墻技術,采用最新的防火墻技術,這樣能夠避免管理系統和病毒的入侵,確保高校圖書館網絡信息系統的安全。
3.4 做好高校網絡信息的備份工作
篇7
1 企業計算機網絡安全方案的構建意義
目前,我國大中型企業信息化建設中的關鍵部分就是信息安全建設,解決信息安全問題有利于企業信息化建設工作的全面推進。企業信息安全建設的最終目的是要真正做到“防患于未然”,信息安全的有效性建設能夠控制企業信息化建設的總體成本,為企業節約大量資金,實現資源優化配置。企業計算機網絡安全建設工作要始終堅持等級保護理念,才能促進企業信息安全建設工作的穩步實施,保證企業信息管理系統的建設符合行業標準和政策規定,全面提升企業在激烈的市場競爭中的競爭力。
2 企業計算機網絡安全的弱點和威脅
2.1 信息安全弱點
信息安全弱點與企業信息資源密切相關,信息安全弱點的暴露很有可能導致企業資產的嚴重損失。但是,信息安全弱點本身并不會為企業帶來損失,只是在特定的環境下被非法者利用后才會造成企業資產損失,例如,企業信息系統開發過程中的脆弱性問題,管理員的管理措施問題等,這些信息安全弱點都為非法攻擊者提供了非法入侵的可能。
2.2 信息安全威脅
信息安全威脅指的是對企業資產構成潛在性的破壞因素,信息安全威脅的產生包括人為因素和自然環境因素。信息安全威脅可能是偶然發生的事件,也有可能是人為蓄意制造的時間,包括信息泄露、信息篡改等,這些事件都會導致企業信息的可用性、完整性和保密性遭到破壞,屬于對企業信息的惡意攻擊。
2.3 網絡安全事件
由于網絡特有的開放性特點,造成了非法攻擊、黑客入侵、病毒傳播等海量安全事件發生,信息安全領域對于網絡安全的研究也日益重視。根據大量網絡安全事件分析來看,企業信息管理系統的應用設計存在著諸多缺陷和弊端,給情報機構的非法入侵提供了極大的可能性。由此,內容分級制度、脆弱性檢測技術、智能分析技術已經廣泛應用于企業信息系統開發過程中。
3 企業計算機網絡安全存在的主要問題
⑴企業分部采用寬帶撥號上網的方式與企業總部實現通信傳輸,這種落后的網絡通信方式難以保證數據傳輸的安全性。企業信息安全級別較高的部門通過互聯網實現數據傳輸的過程中,沒有采取任何數據加密措施,非常容易造成數據信息的泄露和篡改,同時,企業信息管理系統的操作應用沒有設置明確的管理人員,導致其他非法用戶也可以入侵到企業內部網絡中,對服務器數據進行竊取和篡改。以上兩種網絡安全問題都容易造成企業重要數據的泄露,甚至給企業帶來不看估計的損失。
⑵隨著企業網絡規模的日益擴大,在網絡邊界如果仍然采用路由器連接企業內部網絡和外部網絡,已經無法適應飛速發展的網絡互連技術。企業雖然可以在網絡邊界的路由器中設置訪問控制策略,但是仍然存在來自互聯網的各種非法攻擊、IP地址攻擊、ARP協議欺騙等問題,這表明了企業需要一善可靠的防火墻設備,來對企業網絡的數據傳輸提供有效控制和保護。
⑶由于互聯網技術的飛速發展,為企業提供了豐富的信息資源,除了企業日常運營需要使用網絡資源,其他工作人員也有可能通過網絡獲取信息資源,例如使用迅雷、BT等軟件下載視音頻信息等,網絡下載會占用企業大部分帶寬資源,嚴重的會導致系統管理員無法對網絡終端的訪問情況進行有效管理,或者某一個計算機終端因下載感染病毒而引發ARP欺騙。
⑷隨著互聯網應用的日益普及,木馬病毒的廣泛傳播,企業員工計算機使用水平參差不齊,不能保證對網絡中的有害信息進行有效識別,由此導致了木馬病毒在企業內部網絡的感染和傳播。因此,需要定期對企業數據傳輸的原始數據流進行病毒查殺和威脅分析,以此起到有害信息過濾的作用,使流入企業內部網絡的數據信息能夠安全可靠,真正降低企業信息安全風險。同時,企業可以采用網關防病毒產品,在企業內部網絡與外部網絡處進行隔離保護,當木馬病毒出現時可以被攔截在企業內部網絡之外,為企業提供可靠的安全邊界保護。
4 企業計算機網絡安全方案的構建實施
企業總部需要與企業分部,以及其他合作企業之間實現數據傳輸與交換,企業派往外地出差的員工也需要通過遠程網絡訪問企業總部內網的信息管理系統,因此,不同用戶企業總部內部網絡的訪問有著不同需求,企業必須具有安全可靠、性能較高、成本較低的網絡接入方式。由于企業分部大部分與企業總部不在一個城市,在企業總部與企業分部之間鋪設光纜線路是極為不現實的;如果租用專用光纖網絡通信線路,高額的租賃費用會嚴重增加企業運營發展的經濟負擔;如果將企業總部內部網絡的應用服務器映射在網關位置,雖然能夠方面用戶遠程訪問企業內部信息管理系統,但會給企業網絡帶來巨大的安全隱患。本文基于以上分析,本文選擇利用VPN技術(虛擬局域網)在企業內部網絡出口處,虛擬設置一條網絡專線,以此將企業總部與企業分部網絡進行有效連接,形成一個規模較大的局域網,真正實現了用戶遠程訪問和接入。VPN技術不僅能夠滿足異地用戶對企業總部網絡信息管理系統的訪問需求,而且充分保證了用戶訪問的安全性,避免了單點登錄技術對企業整個網絡構成的安全威脅。
企業在部署上網行為管理設備(SINFOR M5X00-AC)時,應該開啟VPN功能,在企業總部內部網絡的邊界防火墻設備中進行端口映射,同時在企業分部網絡中安裝上網行為管理設備,并且與企業總部的上網行為管理設備共同利用VPN技術建立虛擬專用網絡,在對數據信息進行加密后在互聯網上傳輸。企業在構建虛擬專用網絡時,只要在任何一端的連接管理設置中輸入對方網絡地址,VPN設備就可以自動進行虛擬局域網組建,網絡中的任何計算機終端都可以通過虛擬專用網實現數據傳輸與共享。如果還有其他分部需要加入到虛擬局域網中,則可以通過輸入加密的訪問WAN扣地址實現。需要注意的是,已將連通的虛擬局域網的內網網段不能完全相同。
企業在部署上網行為管理設備時,由于訪問控制策略是信息安全策略的核心部分,也是對網絡中數據傳輸的關鍵保護措施,由此,需要對接入企業總部網絡的用戶進行身份認證,根據不同用戶的身份授予不同權限,再利用配置邏輯隔離服務器實現不同用戶身份對不同應用服務器的接入,從而對企業內部網絡中的業務信息管理系統進行訪問和使用。同時,安全級別為五級的QoS安全機制能夠為企業不同信息系統提供相應的安全服務保障,并且可以按照業務類別劃分優先級別,重要的數據信息將會獲得優先傳輸的權限。對用戶訪問權限的細致劃分可以限制非法用戶對網絡資源的訪問和使用,防止非法用戶入侵企業內部網絡進行破壞性操作,直接對接入企業內部網絡的各項訪問應用進行管控,真正提高了企業網絡系統的安全性。
在企業內部網絡部署應用安全產品過程中,需要綜合考慮如何完成安全產品的部署策略,才能使安全產品的性能充分發揮,同時,企業內部網絡還可以將不同的安全產品集成應用,使其發揮最大功能,充分提高企業信息管理系統的安全性和可靠性。
本文基于信息安全等級指導思想下,對企業內部網絡存在的問題進行了分析,并提出了良好的解決方案,包括防火墻的部署、入侵檢測設備的部署、上網行為管理設備的部署、防毒墻的部署、企業版殺毒軟件的部署等。
5 結論
綜上所述,本文在網絡信息安全等級保護理念下,將企業內部網絡的安全防護的有效性作為最終目標,對企業網絡信息安全存在的風險進行深入分析,結合企業實際情況,提出了企業計算機網絡安全設計方案,保障了企業總部內部網絡與分部網絡之間數據傳輸通信的安全性和可靠性。
[參考文獻]
[1]李正忠.電力企業信息安全網絡建設原則與實踐[J].中國新通信,2013,09:25-27.
[2]王迅.電信企業計算機網絡安全構建策略分析[J].科技傳播,2013,07:217+209.
篇8
1智慧校園內涵
目前,iot、aiot和ai等互聯網教育技術在國內已逐步得到廣泛應用和有效普及,在國家互聯網+智慧教育創新理念的強大影響下,國內高校出現了多所學校的教育跨專業領域教育理念智慧教育,學校的教育信息化專業教育已由傳統數字化教育走向專業信息化和智慧教育化。在宏觀政策層面上,構建高校校園信息化體育教學管理體系,可以為促進學校的自身發展和推進校園教育改革建設提供有力支撐,可以為高校不斷尋找自身發展的新方向。實際上在教學管理改革過程中,積極探索構建一所智慧素質校園,是直接促進高校師生綜合素質不斷提高的有利驅動因素,可以做到實現高校不斷創新管理機制,不斷加強高校的教育組織管理機構,為廣大學生家長提供優質全方位的素質教育,主要包括教育學習、研究、教育、服務、管理教育文化和信息科技等領域內容。“智慧校園”是指運用“互聯網+”的思維方式,結合物聯網、云計算、大數據、人工智能等新一代信息技術,將分散的、各自為政的學校信息化系統與資源整合為一個有機整體,構建具有高度感知、協作和服務能力的新型信息化校園環境,提供網絡化、智能化、一體化的教學、科研、管理和服務支撐平臺,推動教育教學體制改革,提高教育教學質量和教學效益,促進師生成長和發展。“互聯網+”信息時代,伴隨著現代物聯網、云計算、大數據、移動互聯網、人工智能等各種新一代校園信息基礎技術的不斷出現及在專業校園教育中的廣泛應用,高校專業校園教育信息化建設發展已經進入了一個全新的發展階段,智能自動感知的校園網絡學習環境、云端服務平臺上的支持信息服務、大規模數據中心的智能建設、業務管理系統的智能集成化與整合、一站式校園信息服務入口、可視化信息展示等,使我國校園教育信息化從數字化發展階段逐步進入智慧化發展階段。
2新時代背景下高校智慧校園網絡安全問題
在“智慧校園”的時代背景下,校園一卡通、校園安全無線網絡、網絡安全檢測設備等被廣泛地深入應用于大學校園環境安全建設宣傳活動中,在取得促進大學校園環境安全建設成效的同時,也給大學校園文化環境建設工作帶來了安全隱患。
2.1校園一卡通系統中的安全問題
校園管理網絡服務是我國現代化大學校園服務建設的一個重要組成部分,教師和在校學生可隨時通過各級校園服務網絡直接開展學校圖書管理借閱、成績管理查詢、信息管理登記、飲食娛樂消費等服務活動。校園網絡一卡通通信系統能否安全穩定運行,會直接影響到全體師生的正常學習生活,是學校網絡通信系統安全規范建設重要的技術出發點和落腳點。一般而言,如果學校計算機在個人信息的收集記錄、統計、處理、歸檔等操作過程中一旦出現安全漏洞,教師和在校學生一卡通就很有可能被不法分子利用網絡病毒進行攻擊。計算機病毒因其具有場域性和空間聯動性,一旦學校計算機電腦控制器和系統硬件受到嚴重破壞,整個大學校園的網絡計算機安全系統就可能會因此受到嚴重影響,最終可能導致整個校園內的網絡安全系統癱瘓。與此同時,校園一卡通也是一種學生電子貨幣,一旦受到黑客攻擊,不僅可能會直接泄露整個校園的管理系統信息,包括教師和學生的個人信息,還可能直接給整個校園師生造成不同程度的生命財產安全威脅。
2.2校園無線網的網絡安全問題
校園無線網以利用電磁波傳播作為學校信息網絡傳播的主要載體,不法分子通過借助一些專業通信設備和其他專業通信技術,可以對校園無線網絡連接造成一定的網絡干擾,從而容易產生非法竊聽他人信息、盜竊他人信息、篡改他人信息等不法行為;有的學校市場營銷工作人員還可以利用一些個人電腦設備或者虛擬電腦處理一些校園無線網絡中的熱點,創建網絡釣魚軟件網站,竊取網絡用戶的電子賬戶登錄信息、密碼驗證信息等。
2.3校內設備的網絡安全問題
校園網絡安全技術設備配置是有效解決當前校園網絡安全問題的重要技術手段,是引導學校深入開展校園網絡安全建設的關鍵。但就目前校園網絡安全管理設備的實際應用而言,由于長期受到網絡硬件管理設備運行質量、軟件管理系統工作性能及其他網絡相關設備配置軟件屬性等諸多因素的雙重影響,其實際使用時的安全性相對較低,工作效率不高,在整個設備運行使用過程中,容易受到各種不法分子的惡意攻擊。
2.4校園網絡系統漏洞的安全問題
“網絡系統漏洞”安全泛指一個網絡安全系統在日常設計使用過程中所不能忽視的或固有的主要缺陷,這些主要缺陷很有可能是由于網絡技術不斷發展卻不及時更新所導致的安全問題。理論上講,隨著網絡系統的不斷升級和網絡技術的不斷改進,網絡安全系統可能會不斷出現各種形式的安全漏洞。網絡安全漏洞的不斷產生,會不斷加大網絡病毒和其他網絡攻擊對系統的直接危害,因此,必須不斷提高系統的安全故障保護意識,把網絡安全系統保障維護作為一個長期的重要工作目標去抓。當前最常見的一種計算機操作系統就是Windows,在實際系統設計中也同樣可能存在一些缺陷,而且大多數勒索病毒都不只是針對一個Windows系統而設計的。例如2006年,我國第一個專門用于惡意敲詐其他用戶系統數據的惡意木馬病毒被警方發現并進行攔截,稱其代碼為“敲詐者”,該木馬病毒軟件可以在用戶系統文件遭到惡意攻擊并隱藏其他用戶系統數據后,以惡意修復系統文件的加密名義向其他用戶進行敲詐。在勒索病毒被警方截獲后的幾天內,國內成千上萬的個人計算機受到了嚴重危害,大部分的個人和事業單位也都遭受了嚴重損失。
3新時代背景下高校智慧校園網絡安全問題的解決策略
3.1接入層安全優化
高校需要建立一個智慧大學校園系統網絡安全監控平臺,實現接入層對整個智慧校園系統的安全進行全面監控優化。為了有效優化學校接入到基層學校設備的網絡安全性,需要從整個學校正常辦公或其他教學使用區域中自動抽取學校靜態i和ip,以有效保證學校靜態i和ip的地址唯一性,同時也要保證整個智慧校園在正常使用網絡過程中完全不會因學校地址的自動變化而產生一系列復雜的學校網絡安全問題。總體而言,相關端口管理人員通常可以利用端口提取器輸出的一個靜態端口ip值來過濾出一些不可靠的端口信息,配置不可靠的配置端口,將舊的配置端口設備與新的mac端口綁定。同時,相關網絡管理者也希望可以通過網絡端口配置設計來不斷提高網絡安全性,主要就是依靠學校相關網絡管理者在配置交換機網絡端口、mac通訊地址等方面的綜合能力合理設計,并從具體網絡通訊地址配置入手,不斷完善優化整個大學校園網絡,最終真正達到網絡整體安全的效果。
3.2數據信息安全優化
網絡環境下校園數據安全保護問題還需要從訪問控制、數據安全隔離、數據安全加密等多個方面對其進行深入探討,以有效保證我國校園網絡數據的信息完整性和數據有效性。實施虛擬數據資源隔離處理技術時,需要考慮建立一個新的虛擬數據資源庫,即系統用戶可將數據通過這種虛擬資源技術直接導入并將其存儲到一個數據共享式的物理資源數據庫中。這樣的虛擬存儲應用環境仍然存在許多數據安全隱患,需要根據高校應用發展需求及時采取安全隔離保護措施,對相關學校現有數據資源進行實時分類采集處理,以有效提高學校數據的使用安全性。并且它還要特別重視訪問控制,采用系統數據遠程加密技術,明確不同級別用戶的系統訪問權限,用戶每次輸入新的用戶名、密碼后,就已經可以實時查詢整個系統的相關信息。為了有效順利進行手機數據安全訪問,建立手機身份信息認證管理平臺,加強手機用戶端的身份認證管理,是保證數據安全訪問有序順利進行的關鍵。對于出現多用戶訪問情況,一般建議采用數字簽名、雙重訪問登錄身份認證等多種技術手段來同時實現多個用戶的同時訪問登錄權限和用戶身份信息認證實時管理,使多個用戶能夠同時對整個數據庫的信息安全進行實時查詢。另外,還逐步加強了對敏感數據安全加密的高度重視,可以通過數據加密技術提高手機用戶及其個人敏感數據的安全,尤其是可以保證用戶敏感數據的安全私密性,在現有數據被非法惡意竊取的危險情況下,保證數據的商業機密不被惡意泄露。目前我國有很多不同類型的校園數據信息加密傳輸算法,需要根據我國校園加密網絡使用規模和各種數據加密傳輸方式分別選擇合適的加密算法,為數據的加密傳輸和數據存儲處理提供可靠的網絡外部環境。
3.3云安全技術優化
云安全技術的應用,可以把平面變成立體。在智能校園建設中,傳統的殺毒軟件只對安裝在本地硬盤上的軟件程序進行殺毒,通過對病毒信息的對比分析,實現殺毒效果。但這種殺毒方法不能對惡意程序進行攔截處理,同時國內還有許多手機木馬程序不能正常檢測。利用云安全識別技術,可以對多個病毒節點進行快速自動識別,在整個中國智慧大學校園網絡結構中對病毒傳感器中的節點群病毒進行全方位、立體化的病毒查殺。云安全管理技術把整個智慧型的校園病毒網絡系統看作一個龐大的自動殺毒管理軟件,幾乎可以在多個病毒傳感器中的節點上同時進行自動定位,實時跟蹤采集和分析整理惡意病毒信息,防止惡意病毒在快速查殺文件過程中被漏殺。
3.4網絡設備安全優化
篇9
【關鍵詞】APPDRR 風險分析
1 引言
在國家實施科教興國戰略的背景下,校園網絡已經成為職業院校的必備硬件基礎,是衡量職業院校教育現代化、信息化的重要標志。目前,大多數有條件的職業院校在校園網硬件工程建設投入巨資。校園網為職業院校的教學、科研、行政辦公搭建了一個信息平臺,并產生了明顯的效果。
2 APPDRR網絡安全模型
APPDRR(全網動態安全理論)網絡安全模型是一種動態,自適應的現代網絡安全模型,[1]即:網絡安全= 風險分析+ 制定策略+ 系統防護+ 實時監測+ 實時響應+ 災難恢復,本文是基于APPDRR模型的風險分析指導下展開的。
風險分析是APPDRR模型的重要組成部分,通過對資產、脆弱性和威脅,綜合評估分析網絡所面臨的風險,對所發現的風險提出相應的處理意見和安全建議,并指導下一步的網絡安全建設。
3 職業院校網絡風險分析
職業院校網絡面臨著諸多的問題,首先是規劃建設并不是一步到位的,是經過不斷升級改造后才形成的規模。安全設備品牌種類不一,在功能和處理能力上存差別,有的職業院校管理的重點側重于網絡邊界和主機安全等方面,但是在校園網絡的運行過程中,所出現的的威脅,大量集中在應用層攻擊、網絡資源濫用和基于二層的網絡攻擊。
本文從鏈路層、網絡層、操作系統、應用層和網絡管理等6個方面,對職業院校網絡所面臨的風險作一個粗略的分析。
3.1 數據鏈層的安全
數據鏈層位于物理層和網絡層之間,數據鏈層受到的破壞會直接作用到其他各層。數據鏈層的安全隱患又容易被忽略,數據鏈層的安全問題有: MAC 地址泛洪攻擊、ARP攻擊、存取控制地址欺騙、VLAN 攻擊、VTP 攻擊和VLAN 跳躍攻擊。
3.2 網絡層的安全
網絡層處于數據鏈層和傳輸層之間,是網絡體系結構中的第三層,TCP/IP 協議族中最核心的IP協議就在網絡層,廣泛應用的TCP、UDP、IGMP及ICMP 數據包,都以 IP 數據報文形式傳輸。網絡層封裝 IP 數據包,并路由轉發,解決機器之間的通信問題。網絡層常見安全問題有:明文傳輸面臨的威脅、IP 地址欺騙、源路由欺騙和ICMP 攻擊。
3.3 傳輸層的安全
傳輸層在 OSI 模型中起著關鍵作用,負責端到端可靠的交換數據傳輸和數據控制。在傳輸層使用最廣泛的有兩種協議:傳輸控制協議和用戶數據報協議。傳輸層常見安全問題有:TCP"SYN"攻擊、Land 攻擊、TCP 會話劫持和端口掃描攻擊。
3.4 操作系統的安全
目前在職業院校,除了服務器是使用UNIX、Linux外,其它工作站基本是使用微軟操作系統,存在以下風險。
(1)安全隱患的產生,主要是操作系統配置不合理,例如:沒有管理員口令,用戶弱口令,未刪除和禁用不必要的帳號,設置完全共享的目錄、沒有防病毒軟件、不合理的訪問控制,資源共享的訪問權限配置不當等。
(2)操作系統的正常運行需要很多系統服務支撐,這些系統服務向用戶和應用程序提供功能接口,有些是操作系統正常運行必需的,有些則是不必要的。不必要的服務不僅會占用系統資源,還會給操作系統帶來安全威脅。如果用戶不知道自已的操作系統,哪些服務是可以訪問網絡的,就容易被入侵者利用。
3.5 業務應用的安全
職業院校為了滿足科研、教學、辦公的需要,校園網搭建了很多網絡應用系統,如:信息、教務管理、辦公自動化、圖書管理等。這些應用系統很重要,但也存在風險如下:
(1)身份認證:操作系統和應用系統為了保證安全,采取了身份認證措施,這些機制各有特點,但是入侵者仍可以利用網絡竊聽、非法數據庫訪問、窮舉攻擊、重放攻擊手段獲取口令。用戶安全意識淡薄,使用系統默認或者弱密碼,并且長期不改動,形同虛設。
(2)WEB 服務:WEB 服務是學校用于對外宣傳、開展網絡遠程教學的重要手段,應用極其普遍,使得 Web 服務經常成為非法攻擊的首選目標。存在的安全隱患較多,網頁代碼本身就存在后門和一些缺陷,比如 IIS 漏洞、ASP 的上傳漏洞、SQL 注入、緩沖區溢出等。入侵者一旦攻陷WEB 服務器,可以把WEB 服務器作為跳板,通過中間件或數據庫連接部件,非法訪問學校內部應用系統和數據庫,并可利用網頁腳本訪問本地文件系統和網絡系統中其它資源。
(3)數據庫:數據庫是信息系統的核心,校園網內的業務應用依賴于各種數據庫系統,保證數據的安全和完整,正確配置數據庫系統顯得至關重要。數據庫是個復雜的系統。非專業人員是無法正確配置數據庫系統的。關系型數據庫是可從端口尋址的,通過查詢工具就可建立與數據庫的連接,例如通過 TCP1521 和 1526端口,就能侵入一個弱防護的數據庫;數據庫運行過程中,出現的錯誤信息,可以泄漏數據庫結構,分析這些信息就能實施攻擊。
(4)網絡資源共享:為了工作方便,內部人員經常會使用網絡共享,如果沒有對資源共享,作必要的訪問控制策略,重要的數據信息,就無防護地暴露在網絡中。
3.6 網絡管理的安全
安全管理對于有一定規模的職業院校網絡來說是極其重要的。如果沒有相應制度約束,就會帶來風險:網絡管理人員把校園網絡結構、系統的一些重要信息傳播給外人,會造成信息泄漏;密碼和密鑰管理風險,管理員賬戶及密碼被外人竊取;在約束缺失的情況下,利用網絡和系統的弱點,實施入侵、修改、刪除數據等非法行為;審計不力或無審計,當網絡受到攻擊或其它威脅時,沒有相應的檢測、監控、報告與預警機制。事件發生后,不能提供任何記錄,無法追蹤線索,缺乏對網絡的可控和可審查性。
4 結束語
綜上, 為了把職業院校網絡建成一個全方位、多層次的網絡安全防范體系,從根本上解決校園網絡內外部對網絡安全造成的威脅,首先我們得作風險分析,發現風險,并提出相應的意見和建議,并指導下一步的網絡安全建設。
參考文獻
篇10
0引言
互聯網+醫療健康模式下要求醫院的信息系統功能向外擴展,實現在線預約、掛號、繳費和診療服務。為了實現在線服務的功能,勢必要將醫院局域網與互聯網打通,來進行數據交互,但只有在網絡與安全的建設達標的情況下,才能開展相關業務。同國內一些大型企業比較,醫院的網絡安全建設相對薄弱,這與醫院信息系統的特殊性和信息化的發展歷程有關。最初的網絡建設是為局域網系統提供服務,沒有與外部系統互聯的需求。如今面對越來越開放的服務需求,信息網絡的安全性面臨著極大的挑戰。網絡安全作為信息化建設的基石,如何在現有醫院網絡基礎上實施安全防護,為互聯網醫院需要開展的業務提供高速、可靠的網絡環境,是管理者面臨的又一挑戰。
1醫院網絡安全發展歷程
醫院信息系統發展[1]的不同時期,對網絡安全建設要求不同。
1.1最初的內外網隔離時期
醫院在建設信息系統初期,多數選擇內外網隔離的網絡方案,內網負責承載醫療業務,外網負責承載辦公業務。內網常見有數據庫服務器、文件服務器,外網有郵件服務器和網站服務器等。當時的信息系統多為客戶端/服務器(C/S)架構,信息系統功能局限在局域網內,數據不用穿越防火墻,信息系統架構簡潔,實施與維護方便。網絡上通常采用二層樹狀架構,結構簡單、部署迅速。內外網隔離的方式,可以阻斷全部來自外網的攻擊,將防護重點集中在內網終端上。采用的方法是在服務器與客戶端安裝殺毒軟件。雖然,在這個時期網絡安全風險低,但是面對一波又一波的網絡病毒,如藍色代碼、熊貓燒香、沖擊波、震蕩波等病毒,還是暴露了醫院終端防護水平低、安全建設滯后的問題。
1.2接入專線網絡外聯
醫院的信息系統發展很快,為了方便患者就醫,優化就醫流程,新的應用、功能需求層出不窮。其中,包括醫保實時結算、銀醫結算與醫療數據共享等應用。由于早期完全隔離的網絡使得系統無法與外界交互,這就需要在獨立封閉的網絡中“開孔出氣”。網絡的基礎上,與外界系統交互只通過專線的方式,邊界清晰、業務明確。在這個時期的應用中,院方系統作為請求發起方即客戶端,院內系統不需要對外部系統開放接口或者服務,并且與內網系統聯通的專線網絡屬于“可信”環境。在此基礎上,只需要在前置服務器外聯邊界設置防火墻,阻斷由外向內的所有連接,允許由內向外的請求。
1.3劃分虛擬專網方式接入
隨著醫院信息系統的進一步發展,醫生遠程辦公、分院業務系統交互,以及患者自助查詢、繳費等新需求應運而生,簡單的外聯已經不能滿足新業務開展的要求。此時,就需要進一步對網絡進行開放。遠程辦公可以使用互聯網虛擬專用網絡(VPN)接入,患者檢查結果查詢方式為互聯網接入。與以往不同,這些應用的開展,都是以內網信息系統的數據為最終請求目標。不管數據包如何跳轉,最終需要到達內網服務端。這一時期的服務從面向醫務工作者,擴展到了面向部分就診患者,請求量有所提升。但最根本的轉變在于內網系統面向部分外網客戶端,提供多樣化的服務。雖然,服務對象是特定人群,但是面向互聯網開放了“窗口”,見圖2。不管是通過前置機中轉,還是地址變換、隱藏等手段提供服務,都不能回避互聯網上存在的掃描、攻擊等潛在風險。這類應用一般為非必要醫療業務環節,面對互聯網上的威脅、風險,還可以忍受一定程度上的服務中斷。通過接入物理專線的方式,將醫保中心、銀行及相關衛生主管部門聯通。在相關業務系統外圍增加前置服務器,作為院方與互聯單位的數據中轉站,并負責將相關數據、表格保持同步,將上報數據、業務請求發送至外網服務端。這個時期的網絡防護也較為輕松。因為在原有封閉但在網絡安全方面,是不能允許存在任何非授權訪問和入侵破壞的。
1.4互聯網+醫療背景下的網絡融合
在互聯網+醫療時代背景下,醫院信息系統將達到前所未有的開放程度。醫院將從醫療、公共衛生、家庭醫生簽約、藥品供應保障、醫保結算、醫學教育和科普等方面推動互聯網與醫療健康服務相融合,涵蓋醫療、醫藥、醫保“三醫聯動”諸多方面[2]。醫院還將制訂、完善相關配套政策,加快實現醫療健康信息互通互享,提高醫院管理和便民服務水平[3]。這就需要醫院要將網絡大門打開,將網絡進行融合設計,讓患者可以通過互聯網上的多種方式享受就醫服務。在醫療業務不斷向互聯網開放后,對于系統中斷服務的容忍度基本為零。醫院既要保障服務的敏捷性和持續性,又要保障數據的安全性和保密性,還要防止原有系統被入侵和攻擊行為所破壞。同時,需要從多角度、多層次對系統進行網絡防護。
2網絡安全措施
在已有醫院信息系統(HIS)等系統的情況下,醫院如何進行“開放系統”的防護工作。保護的指導方針是根據國家信息安全等級保護要求,按等保要求系統應具備抗分布式拒絕服務(distributeddenialofservice,DDOS)攻擊、入侵、病毒的防御能力和控制端口、行為等控制能力[4].
2.1流量清洗
在互聯網上眾多的網絡請求中,充斥著大量的無用請求、惡意訪問[5]。如果不對互聯網中的流量進行清洗,將對系統的可用性構成極大威脅。該部分清洗主要是針對DDOS攻擊流量。常見DDOS攻擊類型有SYNfloods、Land-Base、PINGofdeath、Teardrop、Smurf等。應根據自身情況選擇專用設備或運營商服務進行DDOS攻擊流量清洗。
2.2入侵防御
清洗完的流量中還存在著掃描、嗅探、惡意代碼等威脅,它們通過系統漏洞,繞過防護,對系統實施入侵行為,達到控制主機的目的。一旦入侵成功,造成的后果和損失是巨大的。通過部署入侵防御系統(intrusionpreventionsystem,IPS)對那些被明確判斷為攻擊行為,會對網絡、主機造成危害的惡意行為進行檢測和防御。深入網絡數據內部,查找它所認識的攻擊代碼特征,過濾有害數據流,丟棄有害數據包[6]。基于特征的入侵防御系統無法對高級持續性威脅(advancedpersistentthreat,APT)攻擊進行防護,因此在建設入侵防御系統時,要特別注意該類型的攻擊防護。可增加態勢感知系統輔助IPS,將全網流量威脅可視化,進一步消除0day漏洞隱患。
2.3防病毒
根據國際著名病毒研究機構國際計算機安全聯盟(internationalcomputersecurityassociation,ICSA)的統計,目前通過磁盤傳播的病毒僅占7%,剩下93%的病毒來自網絡。其中,包括Email、網頁、QQ和MSN等傳播渠道。計算機病毒網絡化的趨勢愈加明顯,需要企業部署防毒墻/防病毒網關,以進一步保障網絡的安全。防毒墻/防毒網關能夠檢測進出網絡內部的數據,對HTTP、FTP、SMTP、IMAP等協議的數據進行病毒掃描,一旦發現病毒就會采取相應的手段進行隔離或查殺,在防護病毒方面可起到非常大的作用.
2.4訪問控制
在經過流量清洗、入侵防御、防病毒3道工序處理后,訪問控制系統是主機最“貼身”的一道防線。它是幫助保護服務器,按照個體情況來制定防護策略,精細防護到開幾扇門,允許什么人、什么時間、什么方式訪問主機。通常用硬件防火墻來進行訪問控制[7]。常見防火墻類型有網絡層防火墻、應用層防火墻以及數據庫防火墻,可實現針對來源IP地址、來源端口號、目的IP地址、目的端口號、數據庫語句、應用層指令、速率等屬性進行控制。還有一種特殊的訪問控制系統——“安全隔離與信息交換系統”即網閘[8]。主要功能有安全隔離、協議轉換、內核防護功能。由于網閘在所連接的兩個獨立系統之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議;不存在依據協議的信息包轉發,只有數據文件的無協議“擺渡”,且對固態存儲介質只有“讀”和“寫”兩個命令。網閘設備通常由3部分組成:外部處理單元、內部處理單元、隔離安全數據交換單元。安全數據交換單元不同時與內、外部處理單元連接,從而創建一個內、外網物理斷開的環境,從物理上隔離、阻斷了具有潛在攻擊可能的連接,使“黑客”無法入侵、無法攻擊、無法破壞。
2.5負載均衡
在面對互聯網中大量的網絡請求時,必須要增加負載均衡設備,擴展網絡設備和服務器的帶寬、吞吐量、數據處理能力,從而提高網絡的靈活性和可用性[9]。負載均衡有多種算法,可以實現基于輪詢、連接數、源IP和端口、響應時間的算法。負載均衡設備增加了應用系統處理能力,不法分子想要攻癱系統的難度將成倍增加。
2.6日志審計與事后分析
日志審計與事后分析非常重要[10],必須將攔截和放行的網絡請求記錄下來。一方面,統計攻擊日志,分析網絡運行風險;另一方面,記錄放行的流量,對各個防護環節進行查漏、補缺,優化防護策略。日志審計越全面,對優化網絡、提升系統服務水平的幫助越大。日志審計的范圍包括:應用系統日志、數據庫日志、操作系統日志、網絡安全防護日志等。還可將日志系統與網絡安全態勢感知系統相結合,使分析結果更全面、更準確。日志存儲時間應大于6個月。
3具體實例
