引論:我們?yōu)槟砹?3篇網絡安全規(guī)劃與設計范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
一、網絡管理的概念
網絡管理:簡單的說就是為了保證網絡系統(tǒng)能夠持續(xù)、穩(wěn)定、安全、可靠和高效地運行、不受外界干擾,對網絡系統(tǒng)設施的一系列方法和措施。為此,網絡管理的任務就是收集、監(jiān)控網絡中各種設備和設施的工作參數、工作狀態(tài)信息,顯示給管理員并接受處理,從而控制網絡中的設備、設施,工作參數和工作狀態(tài),以實現對網絡的管理。
二、網絡安全的定義
1.從本質上來講,網絡安全就是網絡上的信息安全。網絡安全是指保護網絡系統(tǒng)中的軟件、硬件及信息資源,使之免受偶然或惡意的破壞篡改和泄露,保證網絡系統(tǒng)的正常運行、網絡服務不中斷。
2.從廣義上說,網絡安全包括網絡硬件資源和信息資源的安全性。硬件資源包括通信線路、通信設備(交換機、路由器等)、主機等,要實現信息快速、安全地交換,一個可靠的物理網絡是必不可少的。信息資源包括維持網絡服務運行的系統(tǒng)軟件和應用軟件,以及在網絡中存儲和傳輸的用戶信息數據等。
1.網絡系統(tǒng)安全規(guī)劃設計的基本原則
網絡安全的實質就是安全立法、安全管理和安全技術的綜合實施。這三個層次體現了安全策略的限制、監(jiān)視和保障職能。根據防范安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素,參照SSE-CMM(系統(tǒng)安全工程能力成熟模型)和ISO17799(信息安全管理標準)等國際標準,綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面,在網絡安全方案整體規(guī)劃、設計過程中應遵循下列十大原則。
(1)整體性原則;(2)均衡性原則;(3)有效性與實用性原則;(4)等級性原則;(5)易操作性原則;(6)技術與管理相結合原則;(7)統(tǒng)籌規(guī)劃,分步實施原則;(8)動態(tài)化原則;(9)可評價性原則;(10)多重保護原則。
總之,在進行計算機網絡工程系統(tǒng)安全規(guī)劃與設計時,重點是網絡安全策略的制定,保證系統(tǒng)的安全性和可用性,同時要考慮系統(tǒng)的擴展和升級能力,并兼顧系統(tǒng)的可管理性等。
2.如何進行網絡工程安全規(guī)劃
網絡安全規(guī)劃與設計是一項非常復雜的系統(tǒng)工程,不單純是技術性工作,必須統(tǒng)一步驟,精心規(guī)劃和設計。安全和反安全就像矛盾的兩個方面,總是不斷攀升,所以網絡安全也會隨著新技術的產生而不斷發(fā)展,是未來全世界電子化、信息化所共同面臨的問題。一般來說,網絡的安全規(guī)劃設計與實施應考慮下面4個方面的問題。一是確定面臨的各種攻擊和風險并分析安全需求。二是明確網絡系統(tǒng)安全策略。三是建立網絡安全模型。四選擇并實施安全策略。
四、網絡病毒的防治技術
1.網絡計算機病毒的特點
網絡病毒是利用網絡平臺作為傳播方式的,由此可見,在網絡環(huán)境下,網絡病毒除了具有可傳播性、可執(zhí)行性、破壞性等計算機病毒的共性外,還具有一些新的特點。主要表現如下:
第一,主動通過網絡和郵件系統(tǒng)傳播。第二,傳播速度極快。第三,危害性極大。第四,變種多。第五,難于控制。第六,清除難度大。第七,具有病毒、蠕蟲和后門(黑客)程序的功能。
2.網絡計算機病毒的破壞行為
網絡計算機病毒破壞性極強,常見的破壞性表現如下:
(1)劫持IE瀏覽器,首頁被更改,一些默認項目被修改(例如默認搜索)。
(2)修改Host文件,導致用戶不能訪問某些網站,或者被引導到“釣魚網站”上。
(3)添加驅動保護,使用戶無法刪除某些軟件。
(4)修改系統(tǒng)啟動項目,使某些惡意軟件可以隨著系統(tǒng)啟動,常被流氓軟件和病毒采用。
(5)在用戶計算機上開置后門,黑客可以通過此后門遠程控制中毒機器,組成僵尸網絡,通過對外發(fā)動攻擊、發(fā)送垃圾郵件、點擊網絡廣告等牟利。
(6)采用映像劫持技術,使多種殺毒軟件和安全工具無法使用。
(7)記錄用戶的鍵盤、鼠標操作,從而可以竊取銀行卡、網游密碼等各種信息。
(8)記錄用戶的攝像頭操作,可以從遠程窺探隱私。
(9)使用戶的機器運行變慢,大量消耗系統(tǒng)資源。
3.基于工作站的防治策略
工作站就像是計算機網絡的大門,只有把好這道大門,才能有效防止病毒的入侵。基于工作站防治病毒的方法有三種:
(1)軟件防治。即定期或不定期地用反病毒軟件檢測工作站的病毒感染情況。軟件防治可以不斷提高防治能力,但需要人為地經常去啟動防病毒軟件,因而不僅給工作人員增加了負擔,而且很有可能在病毒發(fā)作后才能檢測到。
(2)在工作站上插防病毒卡。防病毒卡可以達到實時檢測的目的,但防病毒卡的升級不方便,從實際應用的效果看,對工作站的運行速度有一定的影響。
(3)在網絡接口卡上安裝防病毒芯片。它將工作站存取控制與病毒防護合二為一,可以更加實時有效地保護工作站及通向服務器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題,而且對網絡的傳輸速度也會產生一定的影響。
參考文獻:
[1]董偉.計算機病毒分析及防治策略[J].信息與電腦: 理論版.2009,(07):14-15.
篇2
1.2網絡規(guī)劃、設計及實施安全
在網絡規(guī)劃、設計及實施方面?zhèn)戎赜诰W絡安全性的方案選取,包括選用安全的操作系統(tǒng)、設置網絡防火墻、網絡防殺病毒、數據加密和信息工作制度的保密等等方面,充分發(fā)揮網絡安全性的原則。
2網絡安全管理策略
在計算機網絡系統(tǒng)中,絕對的安全是不存在的,制定健全的網絡安全管理策略是計算機網絡安全的重要保證,只有通過網絡管理人員、與企業(yè)相關的、及網絡使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小、降低以及避免一切非法的網絡行為,盡可能地把不安全的因素降到最低。
2.1網絡安全管理策略的可變性
網絡安全策略并不是一成不變的,它具有可變的特性。一方面,由于企業(yè)或者單位組織內部結構、組織方式的不斷變化,相關業(yè)務和數據類型和分布的更新也不斷地發(fā)生著變化;另一方面:從網絡安全技術的角度講,攻擊者的攻擊方式、防止攻擊的措施也在不斷地升級和改進,所以,安全策略是一個變化性的策略,必須要和網絡當前的狀態(tài)相適應。
2.2網絡安全策略的核心內容
網絡安全策略的核心內容有:定方案、定崗、定位、定員、定目標、定制度、定工作流程(方崗位員目制流),也就是我們通常所說的“七定”。
2.3網絡安全策略的設計與實施步驟
(1)確定網絡安全需求,確定網絡安全需求的范圍,評估面臨的網絡風險;
(2)制訂可實現的網絡安全策略目標;
(3)制訂網絡安全策略規(guī)劃:制定本地網絡安全規(guī)劃、遠程網絡安全規(guī)劃、Internet網絡安全規(guī)劃等規(guī)劃內容;
(4)制訂網絡安全系統(tǒng)的日常維護計劃。
3網絡安全防御與改善措施
3.1網絡安全防范管理
做好網絡安全防范計劃于與策略,對網絡安全進行防范控制盒管理,提高網絡自身穩(wěn)定性、可靠性,要有較高的警惕安全的意識,從而,能夠抵御較大的網絡安全風險。網絡安全防范措施可以有:
(1)國家信息安全漏洞共享平臺;
(2)反網絡病毒聯盟組織。
3.2建立良好的網絡安全機制
目前,常用的安全機制有身份驗證、授權、數據加密、密鑰加密和數字簽名、數據包過濾、防火墻、入侵監(jiān)測系統(tǒng)、物理安全等。在此,我們重點介紹數據加密、入侵檢測系統(tǒng)和防火墻技術。
(1)數據加密:該技術更好的實現了信息的保密性,確保了信息在傳輸及存儲過程中不會被其他人獲取,它是一種十分有效的網絡安全技術措施。因此,為了保障數據的存儲和傳輸安全,需要對一些重要數據進行加密。
(2)入侵檢測系統(tǒng):在系統(tǒng)檢測或者可能的情況下,阻止入侵者試圖控制自己的系統(tǒng)或者網絡資源的行為。入侵檢測系統(tǒng)是一種主動保護網絡免受攻擊的安全技術,從而簡化網絡管理員的工作,保護網絡安全的運行。
(3)防火墻技術:建立在內外網絡邊界上的過濾封鎖機制。內部網絡被認為是安全和可信賴的,外部網絡(通常是Internet,互聯網)被認為是不安全和不可信賴的。防火墻技術是一種被動網絡安全技術,是目前應用最多的一種網絡安全技術,但是,防火墻技術有它的局限性,它假設了網絡邊界和服務,導致對內部的非法訪問難以有效的進行控制。
篇3
針對當前現狀,何幫喜委員在提案中建議,應盡快將工控網絡安全防護納入國家戰(zhàn)略,以建設國防事業(yè)的
標準和力度去投入發(fā)展工控安全產業(yè),避免重蹈互聯網安全產業(yè)起步晚、技術落后受制于人的覆轍。
網絡戰(zhàn)爭逼近眼前
精確攻擊工控系統(tǒng)漏洞代碼能癱瘓一個國家
何幫喜對《中國經濟周刊》記者說,工控系統(tǒng)中的“漏洞”就像身體出現疾患,如免疫力下降、內分泌失調,病毒會利用這些漏洞入侵人體,產生不良反應,工控網絡安全領域的漏洞,如Havex、“方程式”組織攻擊等,像“火星文”一樣難以理解,但精確攻擊工控系統(tǒng)“漏洞”,其破壞性超出想象。如2014 年出現的Havex 漏洞,有能力禁用水電大壩、使核電站過載,甚至可以做到按一下鍵盤就關閉一個國家的電網。所以,工控網絡安全“漏洞”小則導致工廠癱瘓,大則造成核電站爆炸、地鐵失控、全國停電等災難性后果。
他說,“在工控網絡安全領域,代碼已經成為一種武器,以美國為代表的各國政府已將工控系統(tǒng)漏洞代碼列為軍備物資限制出口和交易,對一個國家重要設施的精確打擊不再需要使用傳統(tǒng)軍事手段,通過網絡戰(zhàn)即可癱瘓一個國家。”
據悉,近年來,網絡戰(zhàn)爭逼近眼前,各國間的網絡“軍備競賽”繼續(xù)加強,網絡摩擦不斷增多,大規(guī)模網絡沖突爆發(fā)的風險進一步加劇。
何幫喜認為,工控網絡安全領域因涉及國家的核心基礎設施和經濟社會穩(wěn)定大局,輻射范圍廣泛,成為國家間對抗的全新手段,其威懾力和影響力不亞于傳統(tǒng)戰(zhàn)爭。2016 年黑暗力量病毒攻擊烏克蘭電網造成大面積停電等事件表明網絡戰(zhàn)爭正在我國周邊地區(qū)發(fā)生。
形勢嚴峻 機遇難得
工控網絡安全產業(yè)亟須快速崛起
何幫喜委員告訴《中國經濟周刊》記者,首先,當前工控網絡安全行業(yè)缺乏頂層設計和發(fā)展規(guī)劃。去年《網絡安全法》出臺,“網絡強國戰(zhàn)略”納入“十三五”規(guī)劃,國家網絡空間安全頂層設計明顯加強。但工控網絡安全的重要性尚未達成共識,頂層設計仍不明確,工控網絡安全與傳統(tǒng)信息安全存在較大差異,亟須進行專題研判,并制定行業(yè)發(fā)展規(guī)劃。
其次,重要工業(yè)制造業(yè)領域大量使用國外工控設備。目前,國外工業(yè)生產設備提供商已在各領域壟斷了工
業(yè)生產控制系統(tǒng)和設備市場。以我國工業(yè)PLC 市場為例,2015 年西門子、三菱、歐姆龍、羅克韋爾、施耐德等5家國外廠商占據超過80% 的市場份額,國內廠商不但不掌握這些設備的核心技術,更不掌握系統(tǒng)的安全設計,漏洞和后門的風險與日俱增。
不過,何幫喜委員補充說,嚴峻挑戰(zhàn)也帶來難得的后發(fā)機遇。目前,第四次工業(yè)革命到來,打破發(fā)達國家
對核心技術、工藝和標準的壟斷,工控網絡安全作為新興產業(yè)迎來難得機遇。
“工控網絡安全正在成長為一個戰(zhàn)略性新興產業(yè),與我國現代工業(yè)融合發(fā)展,在提高工業(yè)智能化水平的同時,將本產業(yè)做大做強,形成產業(yè)優(yōu)勢,為我國基礎設施建設領域植入安全基因。”何幫喜說。
潛力巨大 前景可期
應從五個方面加強工控網絡安全產業(yè)發(fā)展
何幫喜委員建議,應從以下五個方面加強工控網絡安全產業(yè)發(fā)展:
一是從戰(zhàn)略高度加強工控網絡安全頂層設計,明確責任部門。該行業(yè)涉及工業(yè)控制、智能制造、能源管理、安全生產、信息化建設、網絡犯罪治理等多個領域,必須從戰(zhàn)略高度加強我國工控網絡安全整體戰(zhàn)略規(guī)劃和頂層設計,進行專題研判,同時加強政府各部門間的協調,具體工作要落實到責任部門。
二是建立完備的工控網絡安全體系,掌握芯片級核心技術。以自主安全工控芯片為基礎,加快工控網絡安
全體系建設、技術與產品研發(fā),解決工控設備本體安全、結構安全、行為安全,為工控注入安全基因,實現本質安全,并在持續(xù)對抗中保持領先優(yōu)勢。
三是大力扶持新興工控網絡安全企業(yè),鼓勵技術創(chuàng)新和產業(yè)化。工控網絡安全是跨學科的技術融合,新興
企業(yè)的顛覆性技術是創(chuàng)新的重要來源。我國目前已涌現出一批如匡恩網絡等具備深度科研能力的、有活力的工控網絡安全企業(yè)。應大力引導和扶持該行業(yè)民營企業(yè)的發(fā)展,培育良好的產業(yè)生態(tài),促進具備自主知識產權的先進技術實現產業(yè)化落地。
篇4
揚州Z校擁有多個互聯網出口線路,分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環(huán)境,網絡核心區(qū)是思科7609的雙核心交換機組,確保了Z校校園骨干網絡的可用性與高冗余性;數據中心是由直連在核心交換機上的眾多服務器組成;終端區(qū)分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外,還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規(guī)模,校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。
2、安全威脅分析
目前,Z校網絡安全保障能力雖然初具規(guī)模,但是,在信息安全建設方面仍然面臨諸多的問題,如,網絡中缺乏網管與安管系統(tǒng)、對網絡中的可疑情況,沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態(tài),風險管理全憑感覺等等,以上種種問題表明,Z校需要對網絡安全進行一次全面的規(guī)劃,以便在今后的網絡安全工作中,建立一套有序、高效和完善的網絡安全體系。
2.1安全設備現狀
Z校部署的網絡安全防護設備較少。在校區(qū)的互聯網出口處,部署了一臺山石防火墻,在WEB服務器群前面部署了一臺WEB應用防火墻。
2.2外部網絡安全威脅
互聯網出現的網絡威脅種類繁多,外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的,對內網中的各種網絡設備發(fā)起攻擊,網絡中雖然有一些基礎的防護,但是,黑客們只要找到漏洞,就會利用內網用戶作跳板進行攻擊,最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。
2.3內部網絡安全威脅
內部惡意入侵的主體是學生,還有一些網絡安全意識薄弱的教職工。Z校學生眾多,學生們可能本著好奇、試驗、炫技或者惡意破壞等目的,入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件,照成網絡堵塞甚至癱瘓。
3、安全改造需求分析
本次安全改造,以提升鏈路穩(wěn)定性,提高網絡的服務能力為出發(fā)點,Z校在安全改造實施中,應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率:Z校網絡出口與CERNET、Internet互聯,選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源,提升網絡訪問速度,最大化保障校園網內部用戶的網絡使用滿意度,同時又要合理節(jié)約鏈路成本,均衡使用各互聯網出口鏈路,是網絡安全建設的首要需求。2)實現關鍵設備的冗余性:互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備,均以NAT模式或者路由模式部署,承載了整個校園網的業(yè)務處理,任何一個設備出現問題將直接導致業(yè)務不能夠連續(xù)運行,無任何備份措施,只能替換或者跳過出故障的設備,且只能以手工方式完成切換,無論從響應的及時性,還是從保障業(yè)務連續(xù)性的角度,都存在很大的延遲,為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設備數量較多,需要對所有安全設備進行統(tǒng)一日志收集、查詢工作,傳統(tǒng)單臺操作單臺部署的方式運維效率低下,所以需要專業(yè)集中監(jiān)控、配置、管理的安全設備,統(tǒng)一對眾多安全設備進行集中監(jiān)控、策略統(tǒng)一調度、統(tǒng)一升級備份和審計。
4、解決方案
網絡安全建設是一個長期的項目,不可能一蹴而就,一步到位,網絡安全過程建設中,在利用學校原有設備的基礎上,在資金、技術成熟的條件下,逐步實施。Z校網絡安全建設規(guī)劃分為短期建設和長期建設兩部分。
4.1短期網絡建設規(guī)劃
4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設計主線,從安全的角度分析各業(yè)務系統(tǒng)可能存在的安全隱患,根據應用系統(tǒng)的特點和安全評估是數據,劃分不同安全等級的區(qū)域[3]。通過安全區(qū)域的劃分,明確網絡邊界,形成清晰、簡潔的網絡架構,實現各業(yè)務系統(tǒng)之間嚴格的訪問安全互聯,有效的實現網絡之間,各業(yè)務系統(tǒng)之間的隔離和訪問控制。本次短期網絡建設,把整個網絡劃分為邊界安全防護區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入區(qū)域、服務器集群區(qū)域和無線訪問控制區(qū)域。4.1.2部署設計網絡拓撲結構見圖2,從圖2可以看出,出口區(qū)域,互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備,以NAT模式或者路由模式部署,無任何備份措施,為此需要再引入一臺同型號的防火墻設備,實現雙機冗余部署。同理,原城市熱點認證網關和行為管理設備需要再各補充一臺,組成雙機冗余方案。安全管理區(qū)域根據學校預算,部署幾臺安全設備。首先,部署一臺堡壘機,建立集中、主動的安全運維管控模式,降低人為安全風險;其次,部署一臺入侵檢測設備(IDS),實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量,防止在出現攻擊后無數據可查;再部署一臺漏洞掃描設備,對網絡內部的設備進行漏洞掃描,找出存在的安全漏洞,根據漏洞掃描報告與安全預警通告,制定安全加固實施方案,以保證各系統(tǒng)功能的正常性和堅固性;最后,部署一臺安全審計設備(SAS),實時監(jiān)控網絡環(huán)境中的網絡行為、通信內容,實現對網絡信息數據的監(jiān)控。服務器集群區(qū)域,除了原有的WEB防火墻外,再部署一臺入侵防護設備(IPS),攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量,保護Z校的信息系統(tǒng)和網絡架構免受侵害,防止操作系統(tǒng)和應用程序損壞或宕機[4]。
4.2長期網絡建設規(guī)劃
網絡安全的防護是動態(tài)的、整體的,病毒傳播、黑客攻擊也不是靜態(tài)的。在網絡安全領域,不存在一個能完美的防范任何攻擊的網絡安全系統(tǒng)。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統(tǒng),需要建立一套全方位的,從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前,網絡安全體系化建設結合重點設備保護的策略,再配合第三方安全廠商的安全服務是網絡安全建設的優(yōu)選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態(tài)實施過程,建立一個科學的安全體系和模型,再根據安全體系和模型來分析網絡中存在的各種安全隱患,對這些安全隱患提出解決方案,最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手,建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構,包括崗位設置、人員錄用、離崗、考核等[5];技術體系分為物理安全、網絡安全、主機安全、系統(tǒng)運維管理、應用安全、數據安全及備份恢復等;管理體系側重于制度的梳理,包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎,以管理體系為保障,以技術體系為支撐[6],全局、均衡的考慮面臨的安全風險,采取不同強度的安全措施,提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點,安全體系為核心,安全指導為原則,體系建設為抓手,組織和制定安全實施策略和防范措施,在建設過程中不斷完善安全體系結構和安全防御體系,全方位、多層次滿足安全需求。
5、結語
從整個信息化安全體系來說,安全是技術與管理的一個有機整體,僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題,是從設備到人,從服務器上每個服務程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產品的綜合問題,每一個環(huán)節(jié),都是邁向網絡安全的步驟之一。文中的研究思路、解決方案,對兄弟院校的網絡安全建設和改造有參考價值。
參考文獻:
[1]王霞.數字化校園中網絡與信息安全問題及其解決方案[J].科技信息,2012.7:183-184
[2]黃智勇.網絡安全防護系統(tǒng)設計與實現[D].成都:電子科技大學,2011.11:2-3
[3]徐奇.校園網的安全信息安全體系與關鍵技術研究[D].上海:上海交通大學,2009.5:1-4
[4]張旭輝.某民辦高校網絡信息安全方案的設計與實現[D].西安:西安電子科技大學,2015.10:16-17
篇5
從檢查情況看,我校網絡與信息安全總體運維情況良好,未出現任何一起重大網絡安全與信息安全事件(事故)。近幾年,學校領導重視學校網絡信息安全工作,始終把網絡信息安全作為信息化工作的重點內容;網絡信息安全工作機構健全、責任明確,日常管理維護工作比較規(guī)范;管理制度較為完善,技術防護措施得當,信息安全風險得到有效降低;比較重視信息系統(tǒng)(網站)系統(tǒng)管理員和網絡安全技術人員培訓,應急預案與應急處置技術隊伍有落實;加強對學生網絡宣傳引導教育,日常重視微信、微博、QQ群的管理,提倡爭當“綠色網民”;工作經費有一定保障,網絡安全工作經費納入年度預算,在最近一年學校信息化經費投入中,網絡建設與設備購置費用約占56、5%,數字資源與平臺開發(fā)費用約占40、6%,培訓費用約占0、6%,運行與維護費用約占1、04%,研究及其他費用約占1、23%,總計投入占學校同期教育總經費支出的比例約1、57%,基本保證了校園網信息系統(tǒng)(網站)持續(xù)安全穩(wěn)定運行。
1、網絡信息安全組織管理
20xx年學校成立網絡與信息安全工作領導小組,校主要領導擔任組長,網絡與信息安全工作辦公室設在黨委工作部,領導小組全面負責學校網絡信息安全工作,教育技術與信息中心作為校園網運維部門承擔信息系統(tǒng)安全技術防護與技術保障工作,對全校網絡信息安全工作進行安全管理和監(jiān)督責任。各部門承擔本單位信息系統(tǒng)和網站信息內容的直接安全責任。20xx年,由于人動,及時調整網絡安全和信息安全領導小組成員名單,依照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,明確各部門負責人為部門網站的具體負責人,建立學校網絡信息員隊伍,同時,還組建網絡文明志愿者隊伍,對網絡出現的熱點問題,及時跟蹤、跟帖、匯報。
2、信息系統(tǒng)(含網站)日常安全管理
學校建有“校園網絡系統(tǒng)安全管理(暫行)條例”、“學生上網管理辦法“、“校園網絡安全保密管理條例(試行)”、“校園網管理制度”、“網絡與信息安全處理預案”、“網上信息監(jiān)控制度”等系列規(guī)章制度。各系統(tǒng)(網站)使用單位基本能按要求,落實責任人,較好地履行網站信息上傳審簽制度、信息系統(tǒng)數據保密與防篡改制度。日常監(jiān)控對象包括主要網絡設備、安全設備、應用服務器等,其中網絡中的邊界防火墻、網絡核心交換機和路由器、學校站服務器均納入重點監(jiān)控。日常維護操作較規(guī)范,多數單位做到了杜絕弱口令并定期更改,嚴密防護個人電腦,定期備份數據,定期查看安全日志等,隨時掌握系統(tǒng)(網站)狀態(tài),保證正常運行。
3、信息系統(tǒng)(網站)技術防護
學校網絡信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件,20xx年為加強校園網絡安全管理,購置了“網頁防篡改、教師行為管理、負載均衡”等相關安全設備,20xx年二月中旬完成校園信息系統(tǒng)(含網站)等級保護的定級和備案,并上報xxx市網安支隊。同時,按二級等保要求,約投資110萬元,完成“網絡入侵防御系統(tǒng)、網絡安全審計系統(tǒng)、運維審計-堡壘機系統(tǒng)、服務及測評及機房改造(物理安全)”等網絡安全設備的采購工作,目前,方案已經通過專家論證。
20xx年4月-6月及20xx年3月對網站系統(tǒng)進行安全測評,特別對系統(tǒng)層和應用層漏洞掃描,發(fā)現(教務管理系統(tǒng)、教學資源庫)出現漏洞,及時整改,并將結果上報省教育廳、省網安大隊、xxx市網安支隊。同時,對各防火墻軟件7個庫進行升級,對服務器操作系統(tǒng)存在的漏洞及時補丁和修復,做好網站的備份工作等。
4、網絡信息安全應急管理
20xx年學校制定了《xxx職業(yè)技術學校網絡與信息安全處理預案》、《xxx職業(yè)技術學校網絡安全和學生校內聚集事件應急處置預案》。教育技術與信息中心為應急技術支持單位,在重大節(jié)日及敏感時期,采用24小時值班制度,對網絡安全問題即知即改,確保網絡安全事件快速有效處置。
二、檢查發(fā)現的主要問題
對照《通知》中的具體檢查項目,我校在網絡與信息安全技術和安全管理建設上還存在一定的問題:
1、由于學校信息化建設尚處于起步階段,學院數據中心建設相對薄弱,未建成完善的數據中心共享體系,各應用系統(tǒng)的數據資源安全及災備均由相關使用部門獨自管理。同時,網絡安全保障平臺(校園網絡安全及信息安全等級保護)尚在建設中。
2、部分系統(tǒng)(網站)日常管理維護不夠規(guī)范,仍存在管理員弱口令、數據備份重視不夠、信息保密意識較差等問題;學校子網頁網管員為兼職,投入精力難以保證,而且未取得相應資格證書;由于經費問題,個別應用系統(tǒng)未能及時升級,容易發(fā)生安全事故。
3、目前尚未開展網絡安全預案演練,還未真正組建一支校內外聯合的網絡安全專家隊伍,未與社會企業(yè)簽訂應急支持協議和完成應急隊伍建設規(guī)劃。
三、整改措施
針對存在的問題,學校網絡與信息安全工作領導小組專門進行了研究部署。
1、全面開展信息系統(tǒng)等級保護工作。按照相關《通知》要求,20xx年8月底全面完成網絡安全保障平臺建設,根據系統(tǒng)在不同階段的需求、業(yè)務特性及應用重點,采用等級化與體系化相結合的安全體系設計方案,形成整體的等級化的安全保障體系,同時根據安全技術建設和安全管理建設,保障信息系統(tǒng)整體的安全。
篇6
中國政府對工業(yè)系統(tǒng)的網絡安全同樣極為重視。2011年開始,國務院先后出臺的《工業(yè)轉型升級規(guī)劃(2011-2015)》、《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》、《中國制造2025》等一系列文件,都強調了兩化融合中網絡安全保障的重要性。
然而,與工業(yè)系統(tǒng)的快速數字化、信息化和智能化相比,中國工業(yè)控制系統(tǒng)的網絡安全保障進展緩慢,防護薄弱,問題仍較為突出。
烏克蘭電網被攻擊后,國內相關網絡安全公司的監(jiān)測報告顯示,在國內交通、能源、水利等多個領域的各類工業(yè)控制設備中,完全暴露在外、可以被輕易攻擊的多達935個。有些城市和地區(qū)的工業(yè)控制系統(tǒng)面臨較大的安全風險。
造成這一隱患的原因眾多,關鍵是一些企事業(yè)單位在借助信息化提高生產效率的同時,沒有考慮工業(yè)控制系統(tǒng)的網絡安全防護。而即使認識到工業(yè)控制系統(tǒng)安全的重要性,在系統(tǒng)改造實施過程中,由于沒有專業(yè)知識、人員和部門支撐,所采取的安全措施也往往浮于表面,未得實效。
從實際情況看,中國的工業(yè)控制系統(tǒng)雖然還沒有發(fā)生影響巨大、后果嚴重的網絡安全事件,但不少領域的企業(yè)都已經或多或少遭遇了因計算機病毒引發(fā)的安全事故。如果上升到國家安全層面,一旦這些控制系統(tǒng)的安全漏洞被利用,將有可能導致核電站過載、電網停電、地鐵失控等災難性后果,這絕非危言聳聽。
面對日益嚴峻的網絡安全形勢,加強工業(yè)控制系統(tǒng)的網絡安全保障迫在眉睫。既要有國家自上而下的體系化頂層設計,也要有產業(yè)和企業(yè)自下而上的探索與實踐。
從國家層面來看,在保障體系的機制建設上,需要一個高規(guī)格的協調機構,以應對關鍵基礎設施和重要系統(tǒng)可能遭受的高強度攻擊,同時組建以工業(yè)企業(yè)、信息網絡、公共安全為主的應急聯動機制,制定應急響應處理辦法。
與此同時,做好重點行業(yè)的工業(yè)控制系統(tǒng)威脅情報研究,各方聯動,形成合力,提供有價值的威脅情報信息,建立更有實用性的威脅情報庫,為政府機構、安全廠商、企事業(yè)單位提供更好的支持。
篇7
1.3智能規(guī)劃。智能規(guī)劃是一個動作序列,是一個智能體agent在初始狀態(tài)(initialstate)下經過執(zhí)行動作1,動作2,……,動作n這樣的一系列動作,最后到達目標狀態(tài)(goalstate),該一系列動作,我們也稱為是這個動作的序列所構成的整體叫做一個規(guī)劃。每一個規(guī)劃問題(planningproblem)都要涉及到以下四個集合:一個操作的集合operators、一個對象的集合objects、一個初始條件集合initialconditions和一個目標集合goals,其中初始條件集合和目標集合的每個元素都是一個命題。
1.4規(guī)劃識別。規(guī)劃識別是人工智能一個重要的研究領域,是多學科交叉的一個研究領域,涉及到了知識表達、知識推理、非單調邏輯和情景演算等。規(guī)劃識別問題是指從觀察到的某一智能體的動作或動作效果出發(fā),推導出該智能體的目標/規(guī)劃的過程。
1.5入侵檢測。入侵檢測是防火墻的合理補充,幫助系統(tǒng)對付網絡攻擊,擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎結構的完整性。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監(jiān)測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
1.6應對規(guī)劃。應對規(guī)劃是將規(guī)劃識別和智能規(guī)劃進行融合,實現識別與應對同時進行,針對敵方系統(tǒng)實施的敵意規(guī)劃,采取一個動作序列來阻止、破壞敵意規(guī)劃的執(zhí)行,進而使我方系統(tǒng)不受到破壞或者將所受損失降到最小,這樣的動作序列就稱為應對規(guī)劃(counterplan)。在作者蔡增玉的《基于應對規(guī)劃的入侵防護系統(tǒng)設計與研究》一文中對應對規(guī)劃賦予的定義是:為Agent根據敵對Agent的動作,利用規(guī)劃識別技術發(fā)現敵對Agent的目標和將來的動作,并采取適當的響應措施阻止敵對Agent目標的實現,整個過程稱為應對規(guī)劃.在網絡安全領域,敵對Agent通常是指網絡的入侵者。
2識別及應對模型
對于計算機網絡安全的研究較多,但是,將智能規(guī)劃與規(guī)劃識別技術應用于該領域的研究卻并不多見。本文在前期的理論研究的基礎上,提出了開放環(huán)境下網絡安全規(guī)劃問題的識別與應對模型,進而得到了解決網絡安全問題的新的方法。具體模型如圖1所示。該模型的具體執(zhí)行過程是根據針對服務器端或客戶端產生的人為攻擊,通過入侵檢測的方法,檢測到該動作后,對這一動作進行識別,并在此動作中提取該動作所導致的系統(tǒng)變化,將變化的結果作為當前系統(tǒng)工作的初始狀態(tài),將此狀態(tài)傳遞至應對規(guī)劃器,此規(guī)劃器中以此狀態(tài)為初始狀態(tài)展開應對規(guī)劃的求解過程,應對規(guī)劃器均以系統(tǒng)安全為目標狀態(tài),并按照規(guī)劃器得到的規(guī)劃步驟,觸發(fā)相關軟硬件設備,逐步執(zhí)行規(guī)劃中的每個操作,使服務器端及客戶端達到安全狀態(tài)。該模型的核心在于攻擊動作的識別及應對規(guī)劃的產生。動作的識別主要依靠規(guī)劃識別器,應對規(guī)劃的產生則依靠應對規(guī)劃器,將這兩個部分進行組合,并應用到網絡安全的問題中,進而對人為攻擊計算機網絡的安全問題有了解決的方法。
篇8
網絡安全;校園網;策略
1校園網絡基礎網絡架構
早期大部分高等院校校園建設的時候,信息化規(guī)劃跟不上學校教育的擴展,許多高等院校的基礎網絡架構都是簡單的層次化網絡結構(見圖1):接入層、匯聚層、核心層級聯,再通過防火墻出口外部網絡,同時保證外部網絡對內部網絡的威脅被阻止,相對高級一些的設計還可能包括IDS(入侵檢測系統(tǒng)),隨著學校的不斷發(fā)展,一步步在原有的基礎網絡上添加新設備來豐富網絡組成,并提供更多的網絡服務。
2傳統(tǒng)網絡攻擊過程
在從前,主要的網絡安全威脅來自基于各種漏洞而進行的網絡攻擊和下載帶病毒的軟件包而導致的系統(tǒng)病毒感染。而這些傳統(tǒng)的網絡攻擊手段之后,才是在被攻破的系統(tǒng)中留下木馬、后門,或者破壞、竊取數據。這些傳統(tǒng)的攻擊手段是層層遞進式的(見圖2),從攻擊的開始到結束以遞進的形式進行,如果前面的步驟無法實現,則整個網絡攻擊過程將會中斷。這些傳統(tǒng)的網絡攻擊包括諸如DoS攻擊、DDoS攻擊、系統(tǒng)入侵、網絡滲透等。不斷重復這樣的一個網絡攻擊過程,當累積到一定的量后所組成的網絡僵尸大軍將對整個網絡造成非常嚴重的影響。
3傳統(tǒng)校園網絡安全防范體系
根據傳統(tǒng)的網絡攻擊過程,在許多的院校的基礎網絡中都會加入相應的網絡安全防范措施,這些網絡安全防范措施就構成了常見的校園網絡安全防范體系。而在傳統(tǒng)的高校校園網絡安全防范體系中,將網絡安全防御定義為外部網絡、內部網絡和用戶3個層次,而每個層次中有針對該層次的網絡安全設備和措施。對于外部網絡這一個層面,直接面對的是防火墻,很多的院校網絡都采用防火墻作網絡出口,承擔著網關與防火墻的雙重功能。采用防火墻作為外部網絡與內部網絡的邊界,可以有效地阻止大部分來自于外部網絡的惡意攻擊,保證內部網絡的穩(wěn)定。在防火墻之后部署一臺入侵防御系統(tǒng),可以進一步檢測可能避過防火墻的安全檢測而進入網絡的惡意流量。在內部網絡這個層面,傳統(tǒng)的網絡安全體系中一般沒有什么網絡安全設備,在這個層次主要采用的是基于策略的網絡安全措施,也就是所謂的軟設備。通過網絡設備中進行軟件層面的安全策略設計,保證內部網絡流量的正常穩(wěn)定的轉發(fā)。例如,采用訪問控制列表來對網絡進行一些控制,不允許學生訪問教師網絡資源;使用QoS功能保證數據的高效轉發(fā),設置安全端口,MAC與IP地址的綁定,甚至更高級的基于802.1x的認證。到了用戶層面,主要確保的是操作系統(tǒng)的安全,因為很多惡意的攻擊軟件、病毒、木馬或入侵軟件都是基于操作系統(tǒng)漏洞進行滲透破壞的,所以在用戶這個層面,針對操作系統(tǒng)要打好操作系統(tǒng)的補丁、安裝功能強大的殺毒軟件,開啟操作系統(tǒng)自帶的軟件防火墻或者殺毒軟件的防火墻,進一步,加強用戶層面的安全性。即使用有瞞過防火墻,混過入侵防護系統(tǒng)的漏網之魚,也可以在用戶層面進行補救。采用這種傳統(tǒng)的網絡安全體系進行網絡安全的設計部署,在以前的網絡時代還是有很好的效果的,但是,現今進入了網絡時代2.0,新的技術、新的威脅層出不窮,此時舊的網絡安全體系在網絡安全防護上表現得就有些捉襟見肘了。校園網絡需要推陳出新,結合現在的校園網絡及互聯網絡的發(fā)展趨勢,設計更合適更合理的網絡安全解決方案。
4傳統(tǒng)網絡安全策略應用分析
傳統(tǒng)校園網絡安全解決方案使用的網絡安全策略應用是基于不同層面進行區(qū)分的,針對不同層面分別部署相對應的網絡安全設備或網絡安全策略。這種網絡安全策略應用主要是針對從外部網絡進入內部網絡的流量進行檢測控制,正如防火墻功能一樣,定義了外部非安全區(qū)域、內部安全區(qū)域和DMZ區(qū)域,然后給這些區(qū)域定義安全等級和默認策略。這種安全體系的設計對于以前的網絡攻擊過程(見圖4)來說是可以滿足校園網絡安全的需求的。在以前的網絡環(huán)境中,攻擊主要來自外部,內部的安全等級是可信的,所以外部的攻擊流量經過防火墻后,基本上已經抵御了,再經過IPS或IDS設備后,到達用戶層面時還要經過操作系統(tǒng)或殺毒軟件防火墻后,可以成功攻擊目標的惡意行為已經降到了可接受層面范圍。所以,從前的校園網絡安全情況比現在相對要好一些。如圖4的攻擊過程示意所示,基于原有的網絡安全策略應用對于起源自外部網絡的攻擊可以做到有效防范,但是正如前文提到的,現在越來越多的現象是,內部用戶通過其他途徑感染了自動下載代碼或木馬端等惡意源后,從內部發(fā)起攻擊或者自動下載各式各樣病毒木馬直接破壞用戶操作系統(tǒng),并以此為跳板,從內部網絡感染、攻擊其他用戶主機、學校服務器等設備,導致學校網絡受到嚴重影響進一步影響學校的正常教學秩序。原有的校園網絡安全策略應用基于單向防護、由3個獨立層面以遞進的方式構建的校園網絡防御系統(tǒng),其性能已經無法適應現時復雜多樣化的校園網絡環(huán)境。因此,針對這個舊的網絡安全策略應用的不足,需要一個更合適更優(yōu)秀的校園網絡安全策略。
5傳統(tǒng)網絡安全策略架構分析
在院校用的舊的校園網絡解決方案中,采用的基礎架構簡單實用,在從前的網絡時代,無論是外部網絡還是內部網絡的數據流量都不并是很大,而且那時候無論是師生的日常生活還是教學活動中,對網絡的依賴程度也不高。不過,隨著人們對網絡的依賴性的不斷加強,以及信息化教學的廣泛推廣,校園網絡中產生了越來越多的數據,并且日常教學也有絕大部分是基于網絡的。這個時候,傳統(tǒng)的網絡架構就存在不足,主要體現在網絡單點故障現象導致的網絡中斷而影響師生的生活學習和學校的教學秩序。現在新規(guī)劃的校園網絡中,校園網絡基礎架構相對復雜,但是性能和安全性都有所提升。現有校園網絡基本上都是基于雙網絡核心熱備以提高網絡的安全性和可靠性的設計,根據學校的需求,可以選擇在關鍵節(jié)點部署雙機熱備提供安全可靠性,避免了原有基礎網絡架構的不足。
6網絡安全策略應用技術分析
經過調查了解,現在校園網絡中采用的技術有很多都不符合標準,例如密碼的復雜性,這個最基本的一條都做不到。另外,學校管理中使用的技術不足,如管理網絡設備使用telnet協議而不是采用ssh,對管理流量與數據流量沒有區(qū)分控制,無線網絡的加密算法采用容易破解的算法等等。這些技術細節(jié)上的不足,也會導致校園網絡安全受到威脅。因此,在新的網絡安全策略應用中,應該注意相關網絡安全技術的使用是否符合安全等級的要求。
7傳統(tǒng)高校校園網絡安全策略應用的優(yōu)點
對于傳統(tǒng)的高校校園網絡安全解決辦法來說,好處就是學校的信息化建設方案相對簡單,管理相對便捷,在數據量以及網絡依賴性不高的院校,或資金不足的院校具有一定的參考作用。
8傳統(tǒng)高校校園網絡安全策略應用的缺點
對于傳統(tǒng)的高校校園網絡安全解決辦法來說,弊端就是學校校園網絡安全受到嚴重威脅,來自校園網絡外部、內部、系統(tǒng)自身產生的安全威脅匯集起來使用整個校園網絡的復雜性、不穩(wěn)定性大大增加,最后導致網絡安全性大大降低。
作者:周怡燕 單位:南華工商學院
[參考文獻]
[1]鄒縣芳,孫道德.高校校園網絡安全問題及策略研究[J].阜陽師范學院學報:自然科學版,2010(27):87-90.
[2]杜蕓.高校校園網網絡安全隱患與解決策略探析[J].信息安全與技術,2015(6):13-15.
篇9
(3)隨著物聯網和云計算的普及,各種網絡安全攻擊手段和保障網絡安全的技術不斷推陳出新。目前,信息安全的一些專業(yè)課程還只是停留在基本原理的講解上,沒有做到與時俱進,很少講授前沿的網絡安全應用及其存在的安全隱患及解決方案。教師沒有引導學生利用發(fā)散性思維并投入到對前沿網絡技術和安全技術的研究中。
(4)缺少網絡安全工具實訓。現在很多網絡安全工具都是開源工具如Backtrack等,掌握這些工具需要花費大量時間,因此需要開設網絡安全工具實訓課程,讓學生掌握如何配置、安裝、使用和定制個性化的開源工具。
(5)缺少安全軟件設計等實踐課程。信息安全專業(yè)的學生除了要能夠利用安全工具進行系統(tǒng)安全測試外,還要掌握如何防御和解決系統(tǒng)安全漏洞,另外,還有很多學生希望從事安全軟件開發(fā)工作。這就要求高校設置安全軟件設計開發(fā)類的課程,幫助學生掌握安全軟件開發(fā)過程中所需的知識和技能。
(6)缺少創(chuàng)新思維的培養(yǎng)。國內大學生的創(chuàng)新性較歐美大學生有所欠缺,因此要注重信息安全專業(yè)學生的創(chuàng)新思維培養(yǎng),并且要從大一開始就進行創(chuàng)新思維的鍛煉。
二、網絡安全教學中融入創(chuàng)新思維培養(yǎng)的實踐
結合東華大學計算機科學與技術學院培養(yǎng)信息安全專業(yè)學生創(chuàng)新能力的經驗,我們闡述如何從學生入學到畢業(yè)的4年間培養(yǎng)其創(chuàng)新思維和實踐能力。
2.1培養(yǎng)學生對專業(yè)的興趣
首先,我們要積極發(fā)揮班級導師的作用。網絡安全的任課教師可以擔任信息安全專業(yè)學生的學業(yè)導師,學業(yè)導師在學生入學后通過學習方法和學業(yè)規(guī)劃等主題開展學習交流會,在會上介紹網絡安全的知識結構、科學背景、發(fā)展趨勢、行業(yè)需求、就業(yè)領域,并引用前沿網絡安全技術和最新的網絡安全隱患案例和視頻,如利用智能手機安全漏洞和“云”查殺病毒技術等案例激發(fā)學生的興趣。興趣是學生的學習動力,學生是教學的主體,在教學中對課程的參與度高低直接影響整個教學成果,因此要提高學生的學習效率,首先要增強他們對網絡安全技術的興趣。導師應在易班網上學生活動社區(qū)或其他社交網站上建立網絡班級,保持與學生的日常溝通,為學生選課提供幫助;協助學生進行學習生涯規(guī)劃,同時為專業(yè)學習提供幫助;在網上班級設置“我的Idea”專題,讓學生在論壇里發(fā)表自己的創(chuàng)新想法,如要做什么樣的系統(tǒng)或軟件解決生活中遇到的一些問題。該階段學生還沒有實現這些軟件的技術能力,導師可以指導學生學習某方面的技術以實現這些有創(chuàng)意的想法。
2.2以賽代練,參與國家和市級大學生創(chuàng)新
項目和高水平信息安全競賽在創(chuàng)新實踐中,輔導員和學業(yè)導師起著非常關鍵的作用。學業(yè)導師都是計算機學院的在職講師或教授,他們可以把自己主持或參與的科研課題介紹給學生,讓學有余力的學生參與學業(yè)導師的課題研究,一方面培養(yǎng)學生的自學能力并積累科研所需的知識,另一方面培養(yǎng)學生的創(chuàng)新思維。輔導員和學業(yè)導師經常組織學生參加信息安全大賽,如全國大學生信息安全競賽和信息安全技能大賽。同時,為了鼓勵學生進行科技創(chuàng)新,東華大學計算機科學與技術學院每年組織學生參與全國和上海市的創(chuàng)新實踐項目申請,學生組團挑選專業(yè)課教師作為項目導師,共同探討創(chuàng)新課題、撰寫科技創(chuàng)新項目申請書并提交給專家組,學院組織專家評選20多個創(chuàng)新性高且可行性強的課題并給予資助,在大四上學期對給予資助的項目進行結題審核。學院鼓勵獲得上海市級以上大學生創(chuàng)新實踐項目的學生將創(chuàng)新實踐項目的實施與大四畢業(yè)設計(論文)相結合,獲得專利創(chuàng)新設計的學生還可提前完成畢業(yè)設計并參與創(chuàng)業(yè)基金項目的申請或到優(yōu)秀企業(yè)實習。在這些科技創(chuàng)新項目中不乏優(yōu)秀作品,如基于手勢識別的文檔加密系統(tǒng)的開發(fā)、基于Android的動態(tài)一次性口令生產器開發(fā)、基于Android系統(tǒng)的短信隱私保護軟件的開發(fā)等。學院每年舉辦的這種創(chuàng)新性競賽激發(fā)了學生的創(chuàng)新思維、團隊合作意識、項目管理和軟件設計開發(fā)能力。參與科技創(chuàng)新競賽學生的學習成績和項目實踐能力遠遠高于平均水平,同時他們的創(chuàng)新能力和工程實踐能力也得到廣大教師和實訓單位的認可,大部分學生獲得了直研和被優(yōu)秀企業(yè)聘用的機會。
篇10
為設計一個技術先進、結構合理、功能齊全、網絡可升級的高職校園網絡需要從以下幾個方面做好準備。
1 明確需求分析與建網目標
高職學院網絡建設首先要考慮成本,然后進行符合高校實際需求的網絡規(guī)劃與設計。做好這個環(huán)節(jié)的工作,要做好幾點:了解各學院的現狀和需求;弄清用戶的目的,明確是宣傳需要還管理需要;掌握資金投入的額度;了解學院環(huán)境;確定學院的數據流管理架構。掌握了當前網絡的使用情況,明確了用戶構建網絡的需求,確立了建網目標。在制訂網絡方案時要考慮構建簡單的網絡拓撲結構、采用非可管理型號的網絡設備、用戶的簡單應用、實用為主、適度的安全需求等幾方面的問題。
2 場地規(guī)劃與綜合布線系統(tǒng)的設計
場地規(guī)劃是組網中最關鍵的一個環(huán)節(jié),規(guī)劃時必須實地考察、現場測量,根據建筑物的樓層、房間的具體布局作具體的安排,根據場地空間的大小決定網絡布局、計算機的擺放、網絡的布置方式、主服務器或交換機的位置等,確定電源插座和網線的走向,確定門和窗戶的位置以及通風管道和暖氣管理的位置。
從結構化綜合布線系統(tǒng)設計與土建配合方面看,建筑設計部門對此技術了解不夠,重視也不夠。這就造成本應預留的空間和應預留的管道在土建施工時難以到位,甚至在砌體和裝修階段還沒到位,這將造成布線施工難度的增加和施工時常要破壞建筑結構和影響美觀等結果。綜合布線的設計要解決傳輸頻率與傳輸速率、屏蔽與非屏蔽雙絞線的選擇、過電流及過電壓保護的設計等,使布線設計令人滿意。
3 網絡拓撲結構的選擇
計算機網絡的拓撲結構主要有星型、環(huán)型、總線型、樹型、網狀型等幾種。根據場地、設備和網絡的具體情況,可以按著費用低、靈活性和可擴充性、可靠性高、因地制宜等原則來選擇網絡拓撲結構。隨著以太網的快速發(fā)展,總線型拓撲結構的以太網基本被淘汰,網絡拓撲采用普遍使用的星型結構。
4 軟、硬件設備的選擇
網絡操作系統(tǒng)(network operation system-NOS)是網絡的心臟和靈魂,是能夠控制和管理網絡資源的特殊的操作系統(tǒng)。它與一般的計算機操作系統(tǒng)不同的是:它在計算機操作系統(tǒng)下工作,使計算機操作系統(tǒng)增加了網絡操作所需要的能力。目前國內流行的網絡操作系統(tǒng)有UNIX、Linux、Windows和Netware等,它們應用層次各有不同,局域網應用環(huán)境可采用Linux和Windows等網絡操作系統(tǒng),最終確定要根據學院的應用環(huán)境來確定。
網絡硬件設備的選擇是否合理將會影響到網絡運行的效果,主要的硬件設備包括交換機、服務器和路由器等核心設備。選擇硬件設備時要考慮設備要既具有先進性,又具有可擴展性和技術成熟性。各層所用的交換機設備類型主要還是非可管理型,核心層只用一臺低端口數的雙絞線千兆以太網交換機即可。在路由器方面,通常是采用性能較好的寬帶路由器實現互聯網共享接入,而不會專門購買企業(yè)級路由器。
5 主要完成的網絡應用
在高職學院中,通常沒有很復雜的網絡應用,最常見的仍是傳統(tǒng)的文件和設備共享。組建局域網后,主要實現的網絡應用應該有各種身份驗證方式IIS Web網站的創(chuàng)建、配置與管理,IIS FTP站點的創(chuàng)建、配置與管理,電子郵局系統(tǒng)、進銷存及電子商務類軟件應用等內容。
6 適度的網絡安全管理
做網絡管理的人最容易犯的毛病就是一講到網絡,就總是強調網絡安全的重要性。但對于高職學院來說,高級別的網絡安全防護系統(tǒng)不僅要花巨額的設備、軟件購買成本,還要花巨額的維護和管理成本是沒有必要的。
網絡安全防護的終點就是數據,中要把好數據最后一道關,就可以對其他安全方面做適度放松,并不要求網絡中根本不允許有任何被病毒感染、非法入侵等安全威脅的可能,只要及時、迅速地對這些威脅進行處理,就可以了。構建高職校園網絡,網絡安全管理主要掌握以下技術:
1)基本的計算機病毒和網絡入侵/攻擊防護;
2)主要網絡安全協議(VPN、SSL/TLS、PKI、IPSec等);
3)EFS文件加密和PGP文件加密;
4)Windows防火墻的配置;
5)Windows Server IP安全策略的配置;
篇11
1 移動傳輸網絡的發(fā)展階段
1.1 模擬蜂窩通訊技術階段
模擬蜂窩通信技術是最早的移動傳輸網絡技術,該項技術借助于網絡終端具有的移動特性,采用無線組網的方式將網絡設備和網絡終端連接起來,這樣便實現了移動體之間及移動體與固定體之間的通信傳輸。但是,該種技術尤其不可忽視的弊端,即通信傳輸網絡的安全性較差,直接導致的后果就是通話內容易被竊聽。
1.2 GSM 通信技術階段
GSM 通信技術即大家所熟知的2G 移動通信技術,GSM 通信技術主要分為以下兩種:
(1)900/188MHZ GSM 第二代模擬蜂窩通信系統(tǒng)。這種通信傳輸系統(tǒng)是利用GSM 網絡來進行消息的發(fā)起和接收,該系統(tǒng)功能多樣,具有了移動數據、呼叫轉移以及手機來電顯示等多功能,與此同時還具有了智能網絡的一些業(yè)務,提供數據漫游和預付費的功能。但該系統(tǒng)仍具有一定的局限性,即經營業(yè)務上的局限性。
(2)800MHZ CDMA 第二代模擬蜂窩通信系統(tǒng)。該系統(tǒng)即CDMA網絡系統(tǒng),與前一種系統(tǒng)不同,這種系統(tǒng)是利用CDMA網絡進行信息數據的發(fā)起和接收,系統(tǒng)同樣具有移動數據、呼叫轉移以及手機來電顯示等多功能,并提供智能網絡業(yè)務,提供數據漫游和預付費的功能。與第一種網絡的區(qū)別就在于工作的頻段不同,網絡的種類不同。
1.3 GPRS 移動通信技術階段
GPRS移動通信技術被認為是2G 移動通信技術向3G移動通信技術的過渡,由此又被稱為2.5G 移動通信技術。該通信技術進行信息數據傳輸利用的是無線分組交換技術,該技術在 GSM 的基礎上,在高速 IP 和 X.25 數據接入上有了更進一步的提高和改進。GPRS移動通信技術在通信技術的歷史發(fā)展中具有里程碑的意義。是人類在移動通信中邁出的重要一步。
2 移動傳輸網絡安全的現狀及影響因素
2.1 移動傳輸網絡安全的現狀
移動傳輸網絡在我國已有了較長的發(fā)展歷史,各個地市的傳輸網絡也形成了相當的規(guī)模。我國的移動傳輸網絡業(yè)務都是采用中心局落地,想四周輻射的方式。另外,本地移動傳輸網絡的骨干環(huán)路大多是采用2.5G或10G光傳輸設備組成,匯聚環(huán)則是由2.5G傳輸設備組成。
我國的本地傳輸網絡客觀上存在著網絡結構復雜、路由不合理、網管數據雜亂、設備型號繁多等多種問題,這樣對移動傳輸網絡的安全性產生了巨大的威脅。
2.2 移動傳輸網絡安全的影響因素
從我國當前移動傳輸網絡安全的現狀中可以看出,影響移動傳輸網絡安全的因素是多種多樣的,具體體現在以下幾方面:
(1)線路路由不合理。從這個方面考慮,影響傳輸網絡安全性的因素有:傳輸匯聚節(jié)點出入局同纜、環(huán)內存在同纜組環(huán)、長分支鏈路。
(2)傳輸設備選型不合理。主要表現在重要機盤無熱備份、同一局向業(yè)務無分流或分擔、不同廠家設備或同廠家不通版本設備對接、大量微波或PDH設備的應用、設備無過壓保護功能等。
(3)組網不合理。主要表現在重要節(jié)點沒有失效保護機制、同區(qū)業(yè)務集中、網絡中較長鏈路、同一節(jié)點存在大量分支節(jié)點、網絡時鐘成環(huán)等。
(4)其他因素。基站電池容量不足或電池劣化、設備工作電壓不穩(wěn)定以及設備空開與耗電量不匹配、傳輸設備工作環(huán)境差、網管交叉數據雜亂等。
3 移動通信傳輸網絡安全性能的提升對策
3.1 加強對光纜路由的管理
光纜路由的不合理是影響移動傳輸網絡安全的重要因素,因此在規(guī)劃建設移動通信傳輸網絡的初始階段就應該加強對路由鋪設和傳輸節(jié)點的合理規(guī)劃,合理的規(guī)劃能夠有效的避免出入局同纜的情況,但要注意規(guī)劃一定是要以工程的實際情況為出發(fā)點的。另外,若是無法避免出入局同纜的情況,那么應積極采用其他方法解決,一般可采用重新建網和租用其他路由的方式。除此之外,需要在光纜的架構設計中引起注意,應極力避免星型和長鏈型結構的情況的出現,因此需要對網絡結構進行必要的可行性分析。
3.2 加強傳輸組網的管理
傳輸組網不合理也是影響移動傳輸網絡安全的重要因素。與路由管理不同的是,傳輸組網的的合理設計工作應該集中在移動通信傳輸網絡建設的中期,后期則要進行移動傳輸網絡的進一步優(yōu)化。在這個階段要應采取 SDH 的方式保護傳輸線路的環(huán)路,并且要采取網狀網的方式對其中一些重要的傳輸線路進行保護。
3.3 加強對傳輸設備的管理
加強對傳輸設備的管理對于提升移動通信傳輸網絡的安全性能具有重要的意義。針對重要傳輸線路上的傳輸節(jié)點,最好要設置一對一的保護措施,另外要注意線路的調整,可通過業(yè)務分流或負荷分流的方式。傳輸設備的選取要注意設備的過壓保護功能,這樣的設備能保證良好的運行性能。
3.4 加強對傳輸用電的管理
傳輸用電的穩(wěn)定性會直接影響到傳輸設備的運行和通信傳輸網絡的安全性能。因此要從以下幾方面加強對傳輸用電的管理。
(1)針對交流電壓不穩(wěn)定的情況,可通過加設交流電壓穩(wěn)壓器來進行解決。
(2)應將過壓保護功能作為選取傳輸設備的重要指標,具有過壓保護功能的設備能夠有效避免電流浪涌的現象。
(3)應選用具有多次下電功能并且能夠自動設置下電電壓范圍的配電柜。
(4)要加大對傳輸設備使用操作流程的規(guī)范力度。
3.5 加強傳輸設備工作環(huán)境的管理
傳輸設備的工作環(huán)境也會對移動傳輸網絡的安全性產生影響。傳輸設備的工作環(huán)境一般包括溫、濕度和環(huán)境衛(wèi)生等方面。要對節(jié)點機房的溫濕度進行嚴格的控制,保證其處于最佳的溫濕度狀態(tài)。另外,需要引起注意的是,通信機房應采用嚴格密封的方式來保持室內環(huán)境衛(wèi)生的潔凈。
參考文獻
[1]郭凱.移動通信傳輸網絡安全性探討[J].黑龍江科技信息,2012(25).
[2]周志宏.關于提高移動通信傳輸網絡安全性的探討[J].硅谷,2011(01).
[3]張忠麗.淺談無線移動通信網絡體系結構與安全機制[J].黑龍江科技信息,2010(01).
篇12
網絡安全對于網絡用戶來說至關重要,它關系到個人隱私安全、個人數據安全,而網絡與人們日常生活緊密相關,因此對于網絡安全研究也逐漸成為研究的重點內容。網絡安全研究從傳輸數據加密到網絡攻擊防范與預防等經歷的不同發(fā)展階段。當前主要采用的網絡安全技術就是入侵檢測技術,也就是通過監(jiān)聽在網絡傳輸中的數據包,利用相關算法或技術發(fā)現網絡中可能存在的攻擊行為。本文是以網絡規(guī)劃識別作為研究理論,將其應用到基于Snort入侵檢測系統(tǒng)中,從而利用統(tǒng)計與智能方式來搜索或獲得攻擊行為,達到有效的防范和預防措施。
1 入侵檢測與規(guī)劃識別簡介
1.1 入侵檢測
入侵檢測對網絡安全來說是至關重要,檢測過程和檢測結果如何關系到防范和預測網絡攻擊效果。在當前較多的入侵檢測技術中,頻繁使用的入侵檢測技術是基于Snort入侵檢測技術及其系統(tǒng)。Snort檢測體系結構主要是由嗅探器、數據包預處理、檢索引擎和規(guī)則庫等多個模塊來構成。其中,嗅探器的作用是來捕獲網絡中傳輸的數據包和數據流;數據包預處理模塊則是對捕獲到的數據進行預處理分析,如采用統(tǒng)計分析方式、專家系統(tǒng)方式等;檢索引擎作用則是利用預處理后得到的數據特征等相關信息與規(guī)則庫中的數據特征進行比對根據其比對結果來評判數據是否具有攻擊性。
1.2 網絡規(guī)劃識別簡介
在1978年由Schmidt、Sridharan和Goodson提出規(guī)劃識別用于推理其它智能體的規(guī)劃及目標,到2003年,Yin MingHao在Hong Jun的目標圖為基礎上提出了利用回歸圖進行的規(guī)劃識別。在規(guī)劃發(fā)展過程中主要出現如下幾種規(guī)劃識別方法,即基于Kautz理論的規(guī)劃識別、基于邏輯的規(guī)劃識別和基于概率方法的規(guī)劃識別等方法。經過40多年的發(fā)展,規(guī)劃識別已經成為人工智能研究領域中重要的研究內容。
網絡規(guī)劃識別就是以規(guī)劃識別作為理論基礎,然后將其運用在網絡上的一種技術。其主要內容是從網絡中傳輸數據包或數據流中通過特征提取方式來獲得特征數據信息,利用規(guī)劃識別推導出智能目標或規(guī)劃過程。其推導過程為首先收集來自于網絡中的傳輸數據,然后利用規(guī)劃識別原理對傳輸數據進行推導,最后計算出該數據攻擊可能的最大概率。
2 基于規(guī)劃識別的入侵檢測結構研究
2.1 規(guī)劃識別的貝葉斯網絡模型結構分析
網絡攻擊往往會給用戶帶來極大的麻煩或損失,因此組建較好的入侵檢測結構對于網絡攻擊預防是至關重要的環(huán)節(jié)。當遭受網絡攻擊時候,往往需要識別攻擊者的意圖,因此本文以規(guī)劃識別與貝葉斯算法結合建立一個入侵過程分析與模擬建模,即通過檢索數據包中的數據特征來發(fā)現攻擊對象和攻擊過程。也就是將攻擊者最終意圖作為根節(jié)點,攻擊節(jié)點之間采用“與”、“或”等邏輯運算來進行節(jié)點之間關系建立,然后發(fā)現最終目標。在入侵檢測系統(tǒng)中,攻擊者會實施相關攻擊過程且具有順序性,利用貝葉斯網絡就可以推理入侵者意圖,即對接受數據包進行關聯分析,從而發(fā)現攻擊目標和攻擊意圖。
2.2 貝葉斯二次回歸規(guī)劃識別在入侵檢測中的結構研究
基于Snort入侵檢測系統(tǒng)是當前正在使用的一種檢測系統(tǒng),在進行攻擊者進行網絡入侵過程中,由Snort在檢測中產生相應的數據包信息,將得到的數據信息進行數據關聯分析,從而就會得到兩種分析結果:一是有攻擊意圖;二是無攻擊意圖或無法判斷攻擊意圖。而入侵過程中Snort對數據進行規(guī)劃識別與采用貝葉斯算法設計的智能網絡結構相似,因此可以考慮將貝葉斯理論引入到入侵檢測中,然后在此基礎上進行二次回歸來具體判斷攻擊者是否發(fā)生攻擊以及攻擊的目標和路徑。其基本結構如圖1所示。
3 結束語
通過對以往入侵檢測系統(tǒng)、網絡規(guī)劃識別技術分析與研究,在本文中提出了一種以原有的貝葉斯網絡攻擊入侵檢測模型為基礎,進行了二次回歸的網絡攻擊入侵檢測模型及其算法的改進,并且對此結構進行分析。
參考文獻
[1]谷文祥,李麗,李丹丹.規(guī)劃識別的研究及其應用[J].智能系統(tǒng)學報,2007.
[2]李偉生,王寶樹.實現規(guī)劃識別的一種貝葉斯網絡[J].西安電子科技大學學報,2002.
作者簡介
篇13
國家電子政務外網(以下簡稱政務外網)是中辦發(fā)[2002]17號文件明確規(guī)定要建設的政務網絡平臺。政務外網是政府的業(yè)務專網,主要為黨委、人大、政府、政協、法院和檢察院各級政務部門服務,運行各級政務部門面向社會的專業(yè)業(yè)務和不需要在內網上運行的業(yè)務。
為保證電子政務外網的安全運行,中辦發(fā)[2003]27號文和[2006]18號文明確提出,電子政務外網與政務內網之間采用物理隔離,政務外網與互聯網之間采用邏輯隔離。政務外網的建設要按照信息安全等級保護的有關要求,分別采用相應的保護措施,通過建立統(tǒng)一的密碼和密鑰管理體系、網絡信任體系和安全管理體系,分級、分層、分域保障信息安全。
二、政務外網(一期工程)安全需求
⒈政務外網安全防護對象
政務外網的基礎網絡環(huán)境如圖1所示。
依據政務外網的網絡環(huán)境,政務外網的安全防護對象分為如下三類:計算區(qū)域、網絡基礎設施和計算區(qū)域邊界。
⑴計算區(qū)域
政務外網所涉及的計算環(huán)境有:中央網絡管理中心計算區(qū)域、各省市節(jié)點的二級網絡管理中心計算區(qū)域、中央城域網接入單位計算區(qū)域以及外網骨干網接入的各省市節(jié)點的計算區(qū)域。
在各計算區(qū)域內主要防護如下對象:
①數據資源,主要包括各應用系統(tǒng)管理的數據資源;
②軟件資源,包括系統(tǒng)軟件、網絡軟件、支撐軟件和應用系統(tǒng)等;
③中心計算機;
④存儲介質,包括數據備份磁帶、軟盤、可讀寫光盤等;
⑤用戶,包括普通操作員、業(yè)務管理員、高級業(yè)務管理員以及系統(tǒng)(數據庫)管理員和網絡管理員等。
⑵網絡基礎設施
政務外網所要防護的網絡基礎設施主要有:各計算區(qū)域的網絡基礎設施,以及實現各計算區(qū)域相聯的網絡基礎設施。
⑶計算區(qū)域邊界
由于計算區(qū)域與其他外部實體相聯而產生區(qū)域邊界,區(qū)域邊界與計算區(qū)域直接相關,與計算區(qū)域相聯的外部實體的性質直接決定區(qū)域邊界的保護的策略。
政務外網中的計算區(qū)域邊界主要有:與中央城域網相聯的各計算區(qū)域因與中央城域網相聯而產生的區(qū)域邊界以及這些區(qū)域與互聯網等外部實體相聯而產生的區(qū)域邊界、各省市節(jié)點計算區(qū)域因與政務外網骨干網相聯而產生的區(qū)域邊界以及這些區(qū)域與互聯網等外部實體相聯而產生的區(qū)域邊界。
⒉安全需求
根據政務外網的特點,政務外網的安全需求體現在如下幾方面:
①建設政務外網安全信任體系,確保政務外網資源不能被非法用戶訪問;
②建設政務外網數據交換中心,確保不同安全域之間的安全數據交換;
③確保政務外網的安全保障體系具有高可靠性,并具有可審計、可監(jiān)控性;
④實現政務外網統(tǒng)一的安全管理體系;
⑤確保政務外網與互聯網的安全互連。
三、政務外網安全保障體系框架
政務外網要為政務部門的業(yè)務系統(tǒng)提供網絡、信息、安全等支撐服務,為社會公眾提供政務信息服務。從政務外網的實際出發(fā),政務外網的安全保障體系設計應重點針對政務外網的如下特點:
①政務外網必須與互聯網邏輯隔離;
②政務外網主要運行面向社會的專業(yè)業(yè)務,這些業(yè)務所涉及的業(yè)務信息具有面向公眾的特性,所以保護業(yè)務信息的完整性、可鑒別性以及抗抵賴性十分重要;
③政務外網是國家電子政務的基礎性網絡環(huán)境,支持電子政務系統(tǒng)互聯互通、數據交換、信息共享、業(yè)務互動、便民服務的需求,所以政務外網要滿足公用網絡安全可信的需求;
根據以上分析,政務外網(一期工程)安全保障體系由網絡防護體系、網絡信任體系、安全管理體系、安全服務體系等構成,邏輯模型如圖2所示。
⒈網絡安全防護體系
網絡安全防護系統(tǒng)是政務外網安全保障體系中最重要的安全設施,主要保護電子政務外網的各子網網絡節(jié)點及整個電子政務外網,保證整個政務外網及相關業(yè)務系統(tǒng)的可用性、完整性、可控性等。網絡安全防護系統(tǒng)重點要考慮防火墻系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、遠程安全接入系統(tǒng)、流量監(jiān)測系統(tǒng)等的配置和建設。
政務外網的網絡安全防護體系將涵蓋以下幾個方面:
⑴物理安全
保證政務外網中各種骨干設備的物理安全是整個政務外網安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
⑵網絡安全
網絡安全主要考慮VPN、防火墻、入侵檢測系統(tǒng)、非法外聯監(jiān)控系統(tǒng)、PKI接入認證網關等安全設備在政務外網中的配置與部署。
⑶系統(tǒng)層安全
系統(tǒng)層安全主要包括漏洞掃描、操作系統(tǒng)安全加固、數據庫安全加固。
⑷應用層安全
應用層安全主要考慮應用系統(tǒng)的鑒別、授權和訪問控制等安全機制。
⒉網絡信任體系
網絡信任體系是為網絡用戶、設備提供信息安全服務的具有普適性的信息安全基礎設施。該體系在統(tǒng)一的安全認證標準和規(guī)范基礎上提供在線身份認證、授權管理和責任認定。其核心是要解決信息網絡空間中的信任問題,確定信息網絡空間中各種經濟和管理行為主體(包括組織和個人)身份的唯一性、真實性和合法性,保護信息網絡空間中各種主體的安全利益。政務外網網絡信任體系的建設與政務外網的安全運營息息相關,是電子政務安全運行的支撐基礎設施。
政務外網(一期工程)的網絡信任體系,主要是在國家主管部門的指導下,建設政務外網身份認證系統(tǒng),組建政務外網身份認證管理協調機構和技術保障隊伍,制定有關政務外網身份認證的相關標準體系、管理運行規(guī)章制度和規(guī)范,逐步形成統(tǒng)一的政務外網網絡信任體系。
⒊安全服務體系
政務外網安全服務體系主要由安全評估和安全培訓組成。安全評估主要是對政務外網及其處理的傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學識別和掃描評估的過程。安全評估的主要目的是定期對網絡系統(tǒng)進行安全性分析,及時發(fā)現并修正動態(tài)運行的網絡系統(tǒng)中存在的弱點和漏洞,認清信息安全環(huán)境、信息安全狀況,明確責任,采取或完善安全保障措施,并使信息安全策略保持一致性和持續(xù)性。
⒋安全管理體系
安全并非只是一個技術問題,它也是一個關于人和管理的問題。安全不是個產品,它是一個完整的過程。作為一個過程,它有人、技術、流程這3個組成部分,這些組成部分匹配得越好,過程進展得就越順利。
安全管理在政務外網的安全保密中占有非常重要的地位,即使有了較完善的安全保密技術措施,如果管理的力度不夠,將會造成很大的安全隱患。因此,必須加強安全保密管理,設置安全保密管理機構,制定嚴格的安全保密管理制度,采用適當的安全保密管理技術將政務外網中各種安全保密產品進行集成,并加強對人員的管理。
安全管理體系的建設包括安全保密管理機構的建立、安全保密制度的制定、安全保密管理技術的使用以及人員的管理等幾方面內容,這里不再予以贅述。只有通過建立科學、嚴密的安全管理體系,不斷完善管理行為,形成一個動態(tài)的安全過程,才能為政務外網提供制度上的保證。
四、幾個重要問題
在整個政務外網(一期工程)安全保障體系的規(guī)劃和建設當中,有幾個重要問題需要特別說明。
⒈安全域劃分
政務外網要為政務部門的業(yè)務系統(tǒng)提供網絡、信息、安全等支撐服務,為社會公眾提供政務信息服務,要滿足政府公用網絡安全可信的需求。所以,在政務外網內有必要劃分不同的安全域,定義每個安全域的物理或邏輯邊界,形成隸屬于由單一安全策略權威定義和執(zhí)行的公共安全策略的安全要素的集合,有利于每個安全域共享相似的安全策略。
政務外網具有數據量龐大、業(yè)務復雜多樣、安全等級各異的特點,因此安全域的劃分遵循以下原則:
①根據信任等級劃分安全域。在政務外網中,要為政務信息資源和國家基礎信息資源的登記、備案、、交換和共享提供服務,同時相關的業(yè)務系統(tǒng)也要有連接到互聯網和有需求的其它單位,不同的系統(tǒng)由于處理的數據和交互的實體不同,需要在不同的位置或業(yè)務流程中,劃分不同的安全域。
②根據業(yè)務節(jié)點類型,對不同的節(jié)點劃分相應的安全域,并配置和節(jié)點業(yè)務量相匹配的安全措施和安全設備。在政務外網中,政務外網要連接不同類型的網絡節(jié)點,網絡節(jié)點的安全等級決定了安全域的劃分和安全設施的投資建設規(guī)模。
③依據數據的安全等級,在存儲和傳輸的不同區(qū)域,劃分安全域,并采用不同的安全策略,體現數據的分等級保護。
根據以上原則,在政務外網中,網絡各節(jié)點的局域網構成相對獨立的安全域,并在各節(jié)點內部進行安全域細化。政務外網中,按節(jié)點所劃分的安全域有中央網絡管理中心局域網、中央城域網接入節(jié)點單位、各省市節(jié)點的二級網絡管理中心局域網和各省市節(jié)點的各自的接入網絡。
⒉等級保護
根據公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室2007年聯合頒布的43號文件《信息安全等級保護管理辦法》的相關規(guī)定,為保障電子政務外網的網絡安全,對電子政務外網需采用等級保護機制。等級保護以網絡安全域劃分為基礎,電子政務外網包括網絡基礎設施,包括眾多接入網絡,各個子網絡又包括不同的應用系統(tǒng)。只有根據這些資產的重要性以及它們面臨的安全威脅的不同,結構化地劃分為安全域,才能有效地進行安全保護。
根據政務外網的邏輯結構、安全域劃分情況、面向對象及應用模式,中央網絡管理中心局域網、中央城域網接入節(jié)點單位二級網絡管理中心局域網和各省區(qū)市接入節(jié)點二級網絡管理中心局域網,至少要達到第三級(監(jiān)督保護級)的要求。對于這類的安全域,將依照國家管理規(guī)范和技術標準進行自主保護,并接受信息安全監(jiān)管職能部門的監(jiān)督、檢查。
中央城域網接入節(jié)點單位接入網絡和各省區(qū)市接入節(jié)點單位接入網絡至少要達到第二級(指導保護級)的要求。對于這類安全域,將在信息安全監(jiān)管職能部門的指導下,依照國家管理規(guī)范和技術標準進行自主保護。
⒊風險評估
在政務外網(一期工程)安全保障體系規(guī)劃和設計時,國家信息中心網絡安全部將風險管理的思想引入到政務外網的建設中,獲取規(guī)劃和設計階段的政務外網的安全風險,提出并確定外網安全建設的要求,改進規(guī)劃中的不合理因素,為后續(xù)的網絡建設的實施提供安全建設依據。此次事前評估范圍主要是政務外網一期工程第一階段工程初步設計規(guī)劃方案,評估著重考慮外網規(guī)劃中系統(tǒng)平臺的安全性。為支持整個風險評估過程的推進,國家信息中心網絡安全部成立了由領導層、相關業(yè)務骨干、外網相關人員等組成的風險評估小組。評估結束后,針對不可接受的風險,風險評估小組對規(guī)劃和設計做了相應的修改,很好地兼顧了風險與成本的平衡。
五、結語
根據政務外網(一期工程)安全保障體系整體規(guī)劃和一期工程建設進度安排,政務外網中央節(jié)點安全保障體系已初步建成。通過幾個月的試運行,整個政務外網安全保障體系運轉良好,初步達到了預期的設計目標。下一步的工作重點將是:進一步完善政務外網安全保障體系,建立健全政務外網安全管理機制,明確各級網管部門安全管理責任;開展信息安全風險評估工作,按照信息安全等級保護的要求,對全網分級、分層、分域確定信息安全等級;從技術和管理兩方面入手,不斷完善信息安全保障體系,初步建成統(tǒng)一的政務外網信任體系,形成面向外網用戶的服務能力。
作者簡介:
