前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的公司網絡安全管理方案主題范文,僅供參考,歡迎閱讀并收藏。
1企業網絡安全需求分析
1.1網絡安全概念及特征
網絡安全是指為防范網絡攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施,以確保信息完整、可用、無泄露,保持網絡穩定、安全地運行。其主要特征是保證網絡信息的完整性、可用性和機密性[2]。
1.2企業網絡安全面臨的主要問題
企業網絡安全面臨的問題歸納如下:(1)網絡安全目標不明確。雖然《網絡安全法》已于2017年6月1日起施行,但企業對網絡安全的重要性依然認識不足,缺乏網絡安全規劃,沒有明確的網絡安全目標[3]。(2)網絡安全意識不足。從企業的決策者到普通員工并沒有充分意識到網絡安全的重要性,企業網絡安全存在很大隱患。(3)網絡安全設施不健全。無論大型企業,還是中小企業,都存在網絡安全基礎設施投入不足的問題,以致設施陳舊、不完整,面對外部攻擊和各種漏洞很容易發生信息丟失、泄露、竊用等現象。(4)缺乏完整的網絡安全解決方案。企業網絡安全防護呈現碎片化、分散化等特點[4],缺乏系統性、協同性、靈活性,面對萬物互聯和更高級的威脅,傳統防護手段捉襟見肘、防不勝防[5]。
1.3企業網絡安全需求
企業因網絡安全需要而產生的要求即為企業網絡安全需求,這是由企業內部網絡因素與外部網絡形勢共同決定的,內外都不會一成不變,所以企業網絡安全需求是一個動態過程,具有時效性?;诖耍獪蚀_把握企業網絡安全需求,必須對企業網絡安全現狀進行調查分析,一般而言,企業網絡安全主要包括內網安全、邊界安全及文件傳輸安全等方面[6],具體體現在以下幾個方面:(1)網絡安全策略需求。安全策略的有效性、完整性和實用性是企業網絡安全的一個重要需求。目前的企業網絡安全策略文檔過于簡單,而且沒有形成完整的體系,對企業網絡安全的指導性不足。(2)網絡安全組織需求。企業應建立結構完整、職能清晰的網絡安全組織機構,負責企業網絡安全策略制定、網絡安全培訓、網絡安全運行管理等。(3)網絡安全運行管理需求。企業應建立科學高效的運行管理體系,采用實用的運行管理方法,對服務器安全、網絡訪問可控性、網絡監控等進行管理。
2企業網絡安全解決方案
2.1企業網絡安全方案設計原則
網絡安全方案的設計原則旨在指導企業科學合理地設計網絡安全方案,避免失于偏頗和“詞不達意”,設計原則可以有很多,筆者認為最重要的原則如下:(1)多重防護原則。突破單一防護機制要比突破多重防護機制容易得多。(2)簡單適用原則。過于復雜的方案漏洞多,本身就不安全。(3)系統性原則。企業網絡安全面對的威脅是多方面的,只專注于一點無法保障網絡安全。(4)需求、風險與代價平衡原則。沒有任何方案可以做到絕對安全,追求過高的安全性要付出巨大代價,所以要學會取舍,平衡風險與代價。(5)可維護性原則。沒有任何系統可以做到無懈可擊,要做到能隨時調整、升級、擴充。(6)技術與管理相結合原則。在改善安全技術的同時也要加強管理,減少管理漏洞,對于復雜的安全形勢,要多做預案,提前防范突發事件。
2.2企業網絡安全解決方案
2.2.1網絡分域防護方案網絡分域防護的原則是落實安全域的防護策略、制定訪問控制策略、檢查網絡邊界、分級防護等。從企業網絡安全需求及特點出發,將網絡組織架構從邏輯上分為互聯網域、服務區域、外聯域和內網核心區域,如圖1所示?;ヂ摼W域接入互聯網服務,服務區域即企業服務器放置區域,外聯域接入分公司區域,內網核心區域是指企業內部網絡互聯的核心設備區域。如此劃分的目的是保證具有相同防護需求的網絡及系統處于同一安全子域內,便于各個安全子域內部署相應等級的防護策略。2.2.2部署安全網關方案在外網與內網之間設置安全網關(如圖1所示),作為企業網絡系統的物理屏障,以保護內網安全。安全網關不是單一的防火墻,而是綜合了防病毒、入侵檢測和防火墻的一體化安全設備。該設備運用統一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護策略整合到統一的管理平臺上,按需開啟多種功能,其由硬件、軟件、網絡技術組成。UTM在硬件上可以采用X86、ASIC、NP架構中的一種,X86架構適于百兆網絡,若是千兆網絡應采用ASIC架構或NP架構。在升級、維護及開發周期方面,NP架構比ASIC架構更有優勢。UTM軟件上可以集成防病毒、入侵檢測、內容過濾、防垃圾郵件、流量管理等多種功能,通過模式匹配實現特征庫統一和效率提升。UTM管理結構基于管理分層、功能分級思想,包含集中管理與單機管理的雙重管理機制,實現功能設置管理和數據分析能力。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(intrusionpreventionsystem)的英文縮寫,用于監視網絡或網絡設備上的數據傳輸,發現異常數據可以即時中斷傳輸或進行隔離,先于攻擊達成實現防護,與防火墻功能上互補,并支持串行接入模式,采用基于策略的防護方式,用戶可以選擇最適合策略達到最佳防護效果。IPS部署在服務區域與內網核心區域之間,或核心交換機與內部服務器之間(如圖1所示),可實時監測外部數據向內部服務器的傳輸過程,發現入侵行為即報警、阻斷,同時還能精確阻擊SQL注入攻擊。IDS是入侵檢測系統(intrusiondetectionsystem)的英文縮寫,能對網絡數據傳輸實時監視,發現可疑報警或采取其他主動反應措施,屬于監聽設備,其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式,可部署在核心交換機上,對進出內網與內部服務器的數據進行監測,如圖1所示。
2.2.4部署漏洞掃描系統方案漏洞掃描是基于漏洞數據庫,通過掃描檢測遠程系統或本地系統漏洞行為,與防火墻、IDS配合以提高網絡安全性,掃描對象包括網絡、主機和數據庫。漏洞掃描運用的技術有主機在線掃描、端口掃描、操作系統識別、漏洞監測數據采集、智能端口識別、多重服務檢測、系統滲透掃描等。漏洞掃描系統部署方式包括獨立式部署和分布式部署。前者適于比較簡單的網絡結構,例如電子商務、中小企業等;后者適于復雜、分布點多、數據相對分散的網絡結構,例如政府、電力行業、金融行業、電信運營商等。圖1為采用獨立式部署的漏洞掃描系統方案。
論文摘要:本文對船舶計算機網絡系統的安全現狀和問題原因進行了概括性的敘述,對網絡安全的需求進行了研究分析。從實施船舶計算機網絡系統安全管理的現實條件和實際要求出發,提出了船舶計算機網絡系統安全管理的策略和解決方案,針對不同情況的船舶提出了相應的實施建議。
1引言
進入二十一世紀以來,隨著船舶自動化和信息化程度不斷提高,船舶計算機網絡系統及其應用得到了迅速發展。越來越多的新造船舶采用計算機網絡技術將船舶輪機監控系統、航海駕駛智能化系統、船舶管理信息系統(SMIS)等應用納入一個統一的網絡系統,實現船岸管控一體化。
在我司近幾年建造的4萬噸級以上的油輪上,普遍安裝了計算機局域網。一方面,計算機網絡用于傳輸船上動力裝置監測系統與船舶航行等實時數據;另一方面,計算機網絡用于船舶管理信息系統(功能包括船舶機務、采購、海務、安全、體系管理與油輪石油公司檢查管理)并通過網絡中船舶通訊計算機實現船岸間的數據交換,實現船岸資源共享,有利于岸基他船舶管理人員對船舶的監控與業務指導。前者屬于實時系統應用,后者屬于船舶日常管理系統應用,在兩種不同類型的網絡應用(子網)之間采用網關進行隔離。目前,船舶計算機網絡系統采用的硬件設備和軟件系統相對簡單,因此,船舶計算機網絡的安全基礎比較薄弱。隨著船齡的不斷增長,船上計算機及網絡設備逐漸老化;并且,船上沒有配備專業的人員負責計算機網絡和設備的運行維護和管理工作,所以船舶計算機及網絡的技術狀況比較差,影響各類系統的正常使用與船岸數據的交換。究其原因,除了網絡設備和網絡線路故障問題之外,大多數問題是因各類病毒與管理不善等原因所引起的。
2船舶計算機網絡架構
目前在船舶上普遍采用工業以太網,船舶局域網大多采用星型結構。
有些船舶已經在所有船員房間布設了局域網網線,而有些船舶只是在高級船員房間布設了計算機局域網網線。圖表1是一艘30萬噸超級油輪(VLCC)的計算機局域網結構圖。
圖表2 是 船舶計算機網絡拓撲結構圖。其中,局域網服務器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);網關采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交換機采用D-LINK DES-1024D快速以太網交換機(10/100M 自適應,工作在二層應用層級)。
3船舶計算機網絡系統的安全問題
2005年以來,有很多的船舶管理公司推進實施船舶管理信息系統。對于遠洋船舶來說,船上需要安裝使用船舶管理信息系統的船舶版軟件。大多數的船舶版軟件都是采用客戶端/服務器兩層架構,高級船員的辦公計算機作為客戶端,通過聯網使用船舶管理信息系統。船上的船舶管理信息系統通過電子郵件(一般采用AMOS MAIL或Rydex電子郵件)與岸基的船舶管理信息系統交換數據,實現船、岸船舶數據庫的數據同步。
根據了解,目前船舶計算機網絡最主要的問題(也是最突出的現狀)是安全性和可用性達不到船舶管理信息系統運行使用的基本要求。船舶管理信息系統數據庫服務器與郵件服務器之間,以及船員的辦公計算機與船舶管理信息系統數據庫服務器之間經常無法聯通。經過上船檢查發現,影響船舶計算機網絡系統正常運行的主要原因是計算機病毒。大多數船舶的辦公計算機采用微軟操作系統,一方面沒有打補丁,另一方面尚未采取有效的防病毒措施,比如沒有安裝單機版或網絡版防病毒軟件。有些船舶雖然安裝了防病毒軟件,但是因為不能及時進行防毒軟件升級和病毒庫更新,所以無法查殺新病毒或新的變種病毒等,從而失去防病毒作用。經過調查分析,船上計算機病毒的主要來源是:(1)在局域網中的計算機上使用了帶有病毒的光盤、優盤、移動硬盤等存儲介質;(2)將帶有病毒的筆記本電腦接入了船上的局域網;(3)在局域網中的計算機上安裝有無線上網卡,通過無線上網(沿海航行或??扛劭跁r)引入了病毒/蠕蟲/木馬/惡意代碼等。
為了解決上述問題,有的企業在船舶辦公計算機上安裝了硬盤保護卡;也有一些企業在船舶辦公計算機上安裝了“一鍵恢復”軟件;另外還有企業開始在船舶計算機網絡系統中安裝部署專業的安全管理系統軟件和網絡版防病毒軟件。
若要從根本上增強船舶計算機網絡系統的安全性和可用性,則需要考慮以下條件的限制:(1)船上的計算機網絡架構在出廠時已經固定,除非船舶正在建造或者進廠修理,否則,凡是處于運營狀態的船舶,不可能立即為船舶管理信息系統專門建設一個物理上獨立的計算機局域網。(2)限于資金投入和船上安裝場所等原因,船上的計算機網絡設備或設施在短期內也不可能無限制按需增加。(3)從技術管理的角度看,在現階段,船舶仍不可能配備具有專業水平的網絡人員對計算機網絡系統進行管理。(4)因衛星通信通道和通信費用等原因,遠洋船舶的辦公計算機操作系統(微軟Windows 系列)不可能從因特網下載補丁和打補?。淮熬钟蚓W中的防病毒軟件和病毒庫不可能及時升級和更新。總體上看,解決船舶計算機網絡安全方面的問題,與陸地上確實有許多不同之處。
4船舶計算機網絡系統的安全需求分析
為提高船舶計算機網絡系統的可用性,即船舶計算機網絡系統任何一個組件發生故障,不管它是不是硬件,都不會導致網絡、系統、應用乃至整個網絡系統癱瘓,為此需要增強船舶計算機網絡系統的可靠性、可恢復性和可維護性。其中:(1)可靠性是指針對船舶上的溫度、濕度、有害氣體等環境,提高網絡設備和線路的技術要求,有關的設計方案在船舶建造和船舶修理時進行實施和實現。(2)可恢復性,是指船舶計算機網絡中任一設備或網段發生故障而不能正常工作時,依靠事先的設計,網絡系統自動將故障進行隔離。(3)可維護性,是指通過對船舶計算機網絡系統和網絡的在線管理,及時發現異常情況,使問題或故障能夠得到及時處理。 轉貼于
研究解決船舶計算機網絡系統安全管理問題,必須考慮現實的條件和實現的成本??偟脑瓌t是:方案簡潔、技術成熟;經濟性好、實用性強;易于實施、便于維護。因此,在盡量利用現有設備和設施、擴充或提高計算機及網絡配置、增加必要的安全管理系統軟件、嚴格控制增加設備的前提下,通過采用邏輯域劃分、病毒防殺、補丁管理、網絡準入、外設接口管理、終端應用軟件管理和移動存儲介質管理等手段,以解決船舶計算機網絡系統最主要的安全問題。
在對船舶計算機網絡采取安全防護技術措施的同時,還需要制定船舶計算機網絡系統安全管理制度;定制船舶計算機網絡系統安全策略和安全管理框架;對船員進行計算機及網絡系統安全知識教育,增強船員遵守公司制定的計算機網絡安全管理規定的意識和自覺性。
(1)加強船舶計算機病毒的防護,建立全面的多層次的防病毒體系,防止病毒的攻擊;
(2)采用專用的設備和設施實現船舶安全策略的強制執行,配合防毒軟件的部署與應用;
(3)加強船舶計算機網絡管理,通過桌面管理工具實現船舶計算機網絡運行的有效控制;
(4)制定相關的網絡安全防護策略,以及網絡安全事件應急響應與恢復策略,在正常預防網絡安全事件的同時,做好應對網絡安全事件的準備。
5船舶計算機網絡系統安全管理要求
5.1確定船舶網絡系統安全管理目標
基于以上對船舶計算機網絡系統安全問題和可用性需求的分析,我們認為解決網絡系統安全問題的最終目標是:
通過船舶計算機網絡系統安全管理制度的制定,安全策略和安全管理框架的開發,定制開發和部署適合船舶計算機網絡系統特點的安全管理系統,確保船舶計算機網絡系統安全可靠的運行和受控合法的使用,滿足船舶管理信息系統正常運行、業務運營和日常管理的需要。
通過實施船舶計算機網絡系統安全技術措施,達到保護網絡系統的可用性,保護網絡系統服務的連續性,防范網絡資源的非法訪問及非授權訪問,防范人為的有意或無意的攻擊與破壞,保護船上的各類信息通過局域網傳輸過程中的安全性、完整性、及時性,防范計算機病毒的侵害,實現系統快速恢復,確保船舶計算機網絡的安全運行和有效管理??傮w上從五方面考慮:
(1)針對管理級安全,建立一套完整可行的船舶計算機網絡系統安全管理制度,通過有效的貫徹實施和檢查考核,實現網絡系統的安全運行管理與維護;
(2)針對應用級安全,加強船舶計算機網絡防病毒、防攻擊、漏洞管理、數據備份、數據加密、身份認證等,采用適合的安全軟硬件,建設安全防護體系;
(3)針對系統級安全,加強對服務器、操作系統、數據庫的運行監測,加強系統補丁的管理,通過雙機(或兩套系統)的形式保證核心系統運行,當發生故障時,能及時提供備用系統和恢復;
(4)針對網絡級安全,保證船舶計算機網絡設備、網絡線路的運行穩定,對核心層的網絡設備和線路提供雙路的冗余;
(5)針對物理級安全,保證船舶計算機網絡系統數據的安全和系統及時恢復,加強信息和數據的備份和各類軟件介質的管理。
5.2網絡系統安全配置原則
船舶計算機網絡系統是一套移動的計算機網絡系統,沒有專業的安全管理人員,缺乏專業的安全管理能力;船舶數量多,船舶計算機網絡系統規模小和相對比較簡潔,因此,不能按照企業網絡的安全管理體系來構建船舶計算機網絡系統的安全管理體系,必須制定經濟實用的網絡安全設計原則。
需求、風險、代價平衡的原則
對船舶計算機網絡系統進行切合實際的分析與設計,對系統可能面臨的威脅或可能承擔的風險提出定性、定量的分析意見,并制定相應的規范和措施,確定系統的安全策略。
綜合性、整體性、系統性原則
船舶計算機網絡系統安全是一個比較復雜的系統工程,從網絡系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,制定具體措施。安全措施主要包括:行政法律手段、各種管理制度以及專業技術措施。
易于操作、管理和維護性原則
在現階段,船舶上不可能配備專業的計算機系統安全管理員,采用的安全措施和系統應保證易于安裝、實施、操作、管理和維護,并盡可能不降低對船舶計算機網絡系統功能和性能的影響。
可擴展性、適應性及靈活性原則
船舶計算機網絡安全管理系統必須組件化或模塊化,便于部署;安全策略配置靈活,具有較強的適應性,能夠適應各種船舶的計算機網絡系統復雜多樣的現狀;安全管理系統必須具有較好的可擴展性,便于未來進行安全功能的擴展。
標準化、分步實施、保護投資原則
依照計算機系統安全方面的有關法規與行業標準和企業內部的標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。限于計算機系統安全理論與技術發展的歷史原因和企業自身的資金能力,對不同情況的船舶要分期、分批建設一些整體的或區域的安全技術系統,配置相應的設施。因此,依據保護系統安全投資效益的基本原則,在合理規劃、建設新的網絡安全系統或投入新的網絡安全設施的同時,對現有網絡安全系統應采取完善、整合的辦法,使其納入總體的網絡安全技術體系,發揮更好的效能,而不是排斥或拋棄。
5.3網絡安全管理的演進過程
建立、健全船舶計算機網絡系統安全管理體系,首先要建立一個合理的管理框架,要從整體和全局的視角,從信息系統的管理層面進行整體安全建設,并從信息系統本身出發,通過對船上信息資產的分析、風險分析評估、網絡安全需求分析、安全策略開發、安全體系設計、標準規范制定、選擇安全控制措施等步驟,從整個網絡安全管理體系上來提出安全解決方案。
船舶計算機網絡系統安全管理體系的建設須按適當的程序進行,首先應根據自身的業務性質、組織特征、資產狀況和技術條件定義ISMS的總體方針和范圍,然后在風險分析的基礎上進行安全評估,同時確定信息安全風險管理制度,選擇控制目標,準備適用性聲明。船舶計算機網絡系統安全管理體系的建立應遵循PDCA的過程方法,必須循序漸進,不斷完善,持續改進。
6建立健全船舶計算機網絡安全管理制度
針對船舶計算機及網絡系統的安全,需要制定相關法規,結合技術手段實現網絡系統安全管理。制度和流程制定主要包括以下幾個方面:
制定船舶計算機及網絡系統安全工作的總體方針、政策性文件和安全策略等,說明機構安全工作的總體目標、范圍、方針、原則、責任等;
對安全管理活動中的各類管理內容建立安全管理制度,以規范安全管理活動,約束人員的行為方式;
對要求管理人員或操作人員執行的日常管理操作,建立操作規程,以規范操作行為,防止操作失誤;
形成由安全政策、安全策略、管理制度、操作規程等構成的全面的信息安全管理制度體系;
由安全管理團隊定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。
7 總結
對于船舶計算機網絡安全按作者的經驗可以針對不同類型、不同情況的具體船舶,可以結合實際需要和具體條件采取以下解決方案:
1.對于正在建造的船舶和準備進廠修理的船舶,建議按照較高級別的計算機網絡安全方案進行實施,全面加固船舶計算機及網絡的可靠性、可恢復性和可維護性,包括配置冗余的網絡設備和建設備用的網絡線路。
2.對于正在營運的、比較新的船舶,建議按照中等級別的計算機網絡安全方案進行實施,若條件允許,則可以增加專用的安全管理服務器設備,更新或擴充升級原有的路由器或交換機。
3.對于其它具備計算機局域網、船齡比較長的船舶,建議按照較低級別的計算機網絡安全方案進行實施,不增加專用的安全管理服務器設備,主要目標解決計算機網絡防病毒問題。
4.對于不具備計算機局域網的老舊船舶,可以進一步簡化安全問題解決方案,著重解決船舶管理信息系統服務器或單機的防病毒問題,以確保服務器或單機上的系統能夠正常運行使用。
參考文獻:
廣州某醫院擁有專業技術人員1100余人、床位850張、專業學科43個,現已發展成為集醫療、教學、科研、預防、保健、康復功能于一體的、面向海內外開放的綜合性現代化醫院。隨著信息化的發展,該醫院的醫療系統也進入了數字化和信息化時代,大型的數字化醫療設備、各種醫院管理信息系統和醫療臨床信息系統在醫院中得到應用。數字化醫療建設,不但使醫院的工作流程發生了變化,同時也對醫院信息化建設提出了更高的要求。
目前,該醫院已應用了HIS、EMR、LIS、PACS等信息系統,涵蓋了醫院日常工作流程,比如掛號、診療、化驗、劃價、收費等,同時也覆蓋醫院各個角落,如病房、藥房、醫療設備等。隨著電子病歷、遠程醫療的不斷發展,病人在就醫過程中的信息將越來越多地以數字化的方式保存在醫院的醫療信息系統中。
如何保證這些醫療數據的安全性、有效性,是醫院信息系統所面臨的、不可回避的問題。
2011年底,該醫院新大樓建成,華僑醫院的信息網絡改造項目也同步啟動。這次改造不僅要提高網絡與信息系統基礎設施建設,而且還將信息系統安全建設納入其中。該醫院的信息安全主管人員清醒地認識到:醫院信息系統的正常運行,不僅包含網絡、主機設備的正常運行,還包括存儲在醫院應用系統中的各種數據的安全性和可靠性得到保障。
此前,該醫院的信息系統已部署了防火墻、入侵檢測系統和網絡防病毒系統等安全產品。為了此次新大樓的網絡安全改造建設,醫院邀請產品供應商和業界優秀的公司共同探討新信息系統的安全建設方案。該醫院希望其安全建設方案能夠實現以下功能:既要考慮現有系統的安全、有效運行,又要兼顧華僑醫院未來五年的信息化發展。
作為該醫院原有信息安全產品供應商,北京冠群金辰軟件有限公司(簡稱冠群金辰)也參與了新信息系統的安全建設,并提出針對該醫院的安全解決方案建議。
解決之道
冠群金辰認為,該醫院現有信息安全系統中的防火墻、防毒墻、IDS和防病毒的防護架構可以保留,但隨著醫院新大樓投入使用,網絡中的終端節點會增多,網絡流量將大幅增長,所以,需要對現有防火墻、IDS等系統進行升級,提升現有防護系統的處理能力,以適應網絡提速的要求,保障正常的網絡業務運行;同時,針對網絡中新增的客戶端節點,繼續部署防病毒系統和終端安全管理系統,以應對越來越復雜的終端安全防護問題。
針對目前醫院網站服務器保護的安全盲點,冠群金辰提出了針對Web網站安全建議:使用專業的網站防護系統采用層次化的Web主動防護技術,對醫院網站服務器進行有效防護。
實際上,冠群金辰為該醫院提出的網絡安全整體解決方案涵蓋了從邊界、網絡到主機,多層次的縱深防御體系。該方案在邊界通過防火墻、物理隔離設備將非法訪問、病毒、入侵攻擊等阻擋在網絡外部。在網絡層面,該解決方案對網絡中的流量進行檢測,查找正在發生或將要發生的網絡攻擊,并及時采取措施,比如報警、阻斷、記錄等。
對于網絡安全中常見的病毒、信息泄露等安全威脅,該方案中的防病毒軟件和終端安全管理系統為主機系統提供了基本的安全保障。
冠群金辰為此方案提供了KILL系列安全產品,即KILL防火墻、KILL入侵檢測系統、KILL上網行為管理系統、KILL防毒墻、KILL網絡防病毒系統、KILL終端安全管理系統和KILL Web安全網關,為該醫院的網絡構筑了一個多層次的安全防護體系。從網絡訪問控制、流量控制、入侵攻擊、病毒查殺、終端準入和Web防護等方面,該方案對該醫院的網絡提供全面的安全保護。
關鍵詞:網絡、安全、VPN、加密技術、防火墻技術
1緒論
隨著互聯網的飛速發展,網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的??梢钥闯霰WC網絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的,通常也是狡猾的、專業的,并且在時間和金錢上是很充足、富有的人。同時,必須清楚地認識到,能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說,收效甚微。
網絡安全性可以被粗略地分為4個相互交織的部分:保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問,這是人們提到的網絡安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。
2方案目標
本方案主要從網絡層次考慮,將網絡系統設計成一個支持各級別用戶或用戶群的安全網絡,該網在保證系統內部網絡安全的同時,還實現與Internet或國內其它網絡的安全互連。本方案在保證網絡安全可以滿足各種用戶的需求。
需要明確的是,安全技術并不能杜絕所有的對網絡的侵擾和破壞,它的作用僅在于最大限度地防范,以及在受到侵擾的破壞后將損失盡旦降低。具體地說,網絡安全技術主要作用有以下幾點:
1.采用多層防衛手段,將受到侵擾和破壞的概率降到最低;
2.提供迅速檢測非法使用和非法初始進入點的手段,核查跟蹤侵入者的活動;
3.提供恢復被破壞的數據和系統的手段,盡量降低損失;
4.提供查獲侵入者的手段。
網絡安全技術是實現安全管理的基礎,近年來,網絡安全技術得到了迅猛發展,已經產生了十分豐富的理論和實際內容。
3安全需求
可用性:授權實體有權訪問數據
機密性:信息不暴露給未授權實體或進程
完整性:保證數據不被未授權修改
可控性:控制授權范圍內的信息流向及操作方式
可審查性:對出現的安全問題提供依據與手段
訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網絡,由于不同的應用業務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計:是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網絡監控與入侵防范系統,識別網絡各種違規操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏
險分析
網絡安全是網絡正常運行的前提。網絡安全不單是單點的安全,而是整個信息網的安全,需要從物理、網絡、系統、應用和管理方面進行立體的防護。網絡安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類。根據國內網絡系統的網絡結構和應用情況,應當從網絡安全、系統安全、應用安全及管理安全等方面進行全面地分析。
5解決方案
5.1設計原則
針對網絡系統實際情況,解決網絡的安全保密問題是當務之急,考慮技術難度及經費等因素,設計時應遵循如下思想:
1.大幅度地提高系統的安全性和保密性;
2.保持網絡原有的性能特點,即對網絡的協議和傳輸具有很好的透明性;
3.易于操作、維護,并便于自動化管理,而不增加或少增加附加操作;
4.盡量不影響原網絡拓撲結構,同時便于系統及系統功能的擴展;
5.安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
6.安全與密碼產品具有合法性,及經過國家有關管理部門的認可或認證;
7.分步實施原則:分級管理分步實施。
5.2安全策略
針對上述分析,我們采取以下安全策略:
1.采用漏洞掃描技術,對重要網絡設備進行風險評估,保證信息系統盡量在最優的狀況下運行。超級秘書網
2.采用各種安全技術,構筑防御系統,主要有:
(1)防火墻技術:在網絡的對外接口,采用防火墻技術,在網絡層進行訪問控制。
(2)NAT技術:隱藏內部網絡信息。
(3)VPN:虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用,而事實上并非如此。
(4)網絡加密技術(Ipsec):采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題,也可解決遠程用戶訪問內網的安全問題。
(5)認證:提供基于身份的認證,并在各種認證機制中可選擇使用。
(6)多層次多級別的企業級的防病毒系統:采用多層次多級別的企業級的防病毒系統,對病毒實現全面的防護。
(7)網絡的實時監測:采用入侵檢測系統,對主機和網絡進行監測和預警,進一步提高網絡防御外來攻擊的能力。
3.實時響應與恢復:制定和完善安全管理制度,提高對網絡攻擊等實時響應與恢復能力。
4.建立分層管理和各級安全管理中心。
5.3防御系統
我們采用防火墻技術、NAT技術、VPN技術、網絡加密技術(Ipsec)、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術,構成網絡安全的防御系統。
參考文獻:
[1]雷震甲.網絡工程師教程.[M].北京:清華大學出版社,2004
創業初期:把握機遇走自己的路
1995年,網絡開始涉足中國市場,網絡安全市場當時在國外也是一個新興的市場,國內更是一片空白。北京天融信公司的前身――北京天融信技貿有限責任公司在中關村掛牌,成為中國首家網絡安全公司。
1996年,隨著網絡安全產品市場需求量的增大,以及國家對信息網絡安全要求的政策出臺,國內鼓勵廠商自主研發安全產品。天融信緊緊抓住并牢牢把握重要機遇,克服重重困難,推出了我國第一套自主版權的防火墻系統,并被應用于政府的首個網絡安全項目、也是當時最大的安全項目――國家統計局600萬元安全系統集成項目。就此,這家當時瞄準了防火墻市場的國內安全廠商,開始順利踏上信息安全之路并進入國產網絡安全產品廠商前列。
“我是在1997年11月,一個偶然的機會進入到北京天融信公司的,那時對防火墻還是一無所知,也沒有想著在這個公司長遠發展下去。因為我的專業是學金屬材料專業――計算機模擬計算,只是因為對計算機行業的一點興趣以及希望有新的機會,能將所從事的研究工作進行轉型,便進入了天融信公司?!庇诤2ê唵蔚刈隽俗晕医榻B。
據記者了解,天融信公司是屬于當時將產品盡快推向市場并得到應用最好的企業之一。主要產品是防火墻,該防火墻于1996年6月研制成功,屬我國第一套具有自主知識版權的防火墻系統,并通過國家安全部與電子工業部聯合主持的技術鑒定,填補了國內空白。國務院信息辦在1997年12月還曾將天融信防火墻列為重點安全項目向全國推廣。“我當時進入網絡安全行業可以說對網絡安全的了解是一片空白?!庇诤2ㄕf,“1999年前,我國的信息安全產業基本處于萌芽狀態,專業從事信息安全的國內廠商可謂鳳毛麟角,防火墻廠商只有天融信等幾家,防病毒廠商主要包括瑞星、江民等,用戶基本上不知道什么是防火墻、甚至什么是信息安全,信息安全產品以單機版殺毒軟件為主”。
可見,早在當年天融信決定進入網絡安全行業時,天融信就在技術、研發方面走出了自己的路。隨著國內信息安全市場的需求逐漸明確,防病毒、防火墻已經成為信息系統事實上的標準配置產品。防病毒、防火墻、IDS是我國信息安全市場的支柱型產品,入侵檢測(IDS)和VPN的需求上升最快,物理隔離網閘、身份認證和安全管理平臺的需求也有較大幅度提高。政府上網工程、網上審批工程、電子政務工程和12大“金”字工程的實施,將政府內部網、企業內網、電子商務網與Internet互聯是必須的功能,因此防“黑客”入侵攻擊是信息安全的重要任務,而內外網邊界安全設備的防火墻更成了需求熱點。由于市場對防火墻需求強勁,與此配套使用的其他安全類產品自然也“熱”起來了,成為新的需求亮點。
成長期:重視渠道和創新,打造民族品牌
2001-2003年,是我國信息安全產業的成長期,國內的信息安全廠商與用戶共同成長;主流廠商密切跟蹤、學習,并逐步掌握國際最新技術;用戶深入了解信息安全技術,國產品牌產品得到認可;多種信息安全產品面世,“聯動”成為安全產品走向。
這期間,天融信公司根據各地不斷增長的安全需求,也開始了地方分支機構的建設。于海波告訴記者,他曾于2001年初,被派到廣州負責分公司建設。從最初的2個人發展到現在的50多人,從最初的幾百萬銷售額發展到2003年的3000多萬的銷售額。
在整個信息安全產業方面,用戶對信息安全的多樣化需求、個性化需求,極大地促進了國內安全廠商的發展,同時也使國內廠商逐步掌握了國際最新技術。2000年,國外信息安全產品占據大部分市場份額,但由于是進口產品,不能在國內進行技術上的快速變更滿足國內用戶的需求,使得更多的用戶轉向使用國產安全產品。如天融信開發的NGFW3000有很多功能是根據國內用戶的需求開發定制的。之后,2002年推出的NGFW4000,創新性地使用了會話檢測技術,極大地提高了防火墻的性能以及過濾的內容深度。
隨著諸多國內、國際信息安全廠商進入國內市場并加大投入力度以及政府的扶持,國產信息安全產品與品牌得到普遍認可,使國內網絡安全市場規模快速增長,年復合增長率平均達到40%左右。到2003年,總體信息安全產品市場規模已經達到20億人民幣。同時從2000年至2003年,天融信公司連續四年市場份額均居國內安全廠商之首,同時還聯合多家國內知名安全廠商,共同倡導推廣TopSEC聯動網絡安全解決方案,為用戶構造了一個以防火墻為中心的聯動的集成防御體系。
2004年,雖然我國的信息安全產業繼續快速發展,使國內用戶的需求發生了變化,即“需求的整合”。主要表現在:企業的安全建設從“被動防御”向“主動防御”過渡,即企業從發現問題后再修補的“產品疊加型”防御方式向“以風險管理”為核心的主動防御過渡;安全產品從“孤立的產品形式”向“集中管理”過渡。
面對市場和用戶需求的變化,天融信的對策首先是圍繞“完全你的安全”,打造全線的網絡安全產品、全程的專業安全服務和全面的安全解決方案。到目前為止,天融信已經擁有了網絡衛士防火墻、網絡衛士VPN、網絡衛士入侵檢測系統、網絡衛士過濾網關、TOPSEC安全審計綜合分析系統、網絡衛士綜合管理系統等6大系列近20多款安全產品與安全應用系統,可以充分滿足不同用戶的應用需求。
于海波認為,信息安全行業是個來不得半點虛假的行業,“水分太多”,一定程度上會誤導用戶。網絡系統安全必須是整體的、動態的。用戶可以通過選擇優秀的產品和服務構建一個完整的解決方案,要使優秀產品、服務等環節形成整體的安全策略。另外,必須有統一的、動態的安全策略,一個相互聯動的、高效的整體安全解決方案,于是天融信全力推出了以“完全你的安全”為基礎的全網整體解決方案,從技術、管理、運行三個層面幫助用戶搭建一個安全管理、監控、檢測、加固、優化、審計、維護安全平臺。
結語
關鍵詞:計算機網絡;網絡安全;防御措施
一、計算機網絡安全影響因素以及網絡安全的特征
(一)計算機網絡安全影響因素分析影響計算機網絡安全性的因素多種多樣。計算機運行過程中所產生的誤操作而引起的安全隱患更是數不勝數。例如由于網絡安全設置不科學存在漏洞,為及時對漏洞進行修復,或者是系統優化不及時等都會加劇安全問題的威脅。此外,在實踐中,由于客戶所接網絡存在安全漏洞也是導致計算機網絡安全問題產生的關鍵原因。例如,在使用的過程中,不可避免的需要使用到較多的軟件,而這些軟件則存在著大大小小的漏洞,如果在應用過程中,不法分子一旦利用這些軟件漏洞,則客戶的隱私信息極易被竊取。此外,計算機網絡本身的不安全性,這也是網絡安全問題產生的重要原因。影響計算機網絡安全的因素也反映在人為攻擊中,例如,黑客攻擊引起的計算機網絡不安全現象,攻擊有主動和被動兩種類型。各種形式的針對相應利益的攻擊,信息盜竊和篡改信息等,都對計算機網絡的安全性產生影響。這是主動攻擊。被動攻擊是在不影響網絡正常運行的情況下篡改計算機信息以獲得相應的好處。最常見的一種是信息泄漏。
(二)計算機網絡安全的特征體現計算機網絡安全具有鮮明的特點,主要體現在系統化方面。網絡安全系統是確保計算機網絡安全的重要基礎,并且在不斷變化的網絡模式下不斷更新和完善,網絡安全的多元化特征也得到體現。計算機表現內容的多樣性,可以確保在技術方向上完善網絡安全性,系統中使用了更多的多模式系統和技術來應對這種多樣化的特性。此外,計算機網絡安全性的特征也從復雜性方面清楚地呈現出來,在計算機網絡技術的不斷發展過程中,客戶端的種類繁多,易受外部因素的影響,威脅了計算機網絡的安全,網絡安全的復雜性進一步加深。
二、計算機網絡安全管理的重要性和防御措施實施
(一)計算機網絡安全管理的重要性計算機網絡安全管理的發展有其實際需求,加強計算機網絡安全管理可以確保信息的安全性和完整性。隨著計算機系統的不斷完善,計算機網絡技術已在許多領域得到應用,并在大屯錫礦的生產、經營和生活中發揮了重要作用。確保計算機網絡應用程序的安全性顯得尤為重要。只有加強計算機網絡安全管理水平,才能保證計算機網絡的整體安全,并有助于提高計算機網絡安全的整體管理質量水平。
(二)計算機網絡安全防御措施實施我認為,計算機網絡安全防御措施的實施應結合大屯錫礦的實際工作需要,可以從以下幾點加強關注:第一,加強計算機網絡的物理防御水平。在開展計算機網絡安全防御工作時,必須更加注意物理層的防御。物理層的網絡安全問題比較突出,在防御過程中,有必要加強中央機房的安全管理,確保各種硬件設備的安全,提高網絡的整體安全水平。大屯錫礦的中央計算機室是大屯錫礦網絡的核心,根據現有管理規定,計算機管理員應注意機房的通風和干燥,避免光照,采取適當的防火措施,并配置精密空調以調節室溫、濕度,通過UPS調節電源。在物理層面上做好安全管理可以對提高計算機網絡的信息安全起到積極作用。其次,STP生成樹協議用于將交換機形成為環形網絡。此操作可以避免LAN中的單點故障和網絡環回,從而提高網絡可用性。第二,加強計算機網絡安全防護技術。從技術層面上防止計算機網絡安全問題的發生更為重要,這也是解決網絡安全問題的相對簡單的方法。防火墻技術的使用在確保計算機網絡應用程序的安全性方面起著重要作用,該技術的應用可以在內部和外部網絡之間建立安全網關,從而可以幫助監視網絡數據信息,通信量和數據源的傳輸,實施記錄以幫助確保網絡信息安全。第三,加強AD域的管理工作。大屯錫礦作為云錫股份公司的二級單位,嚴格遵守公司的計算機加域管理,認真做好加域計算機各項基本信息的采集,做好相應的臺賬,對所有加入AD域的計算機安全集中管理,統一安全策略。第四,在日常的工作中,對相關人員進行培訓,要求相關人員不得將與機密信息相關的辦公自動化設備連接到Internet或其他公共信息網絡,不得在機密計算機上安裝從外網中下載的軟件,不得在機密計算機上使用無線網卡,鼠標,鍵盤和其他無線設備,并且不要卸載未經授權的安全計算機防病毒軟件,主機監視或審核軟件等,不得使用非機密的辦公室自動化設備來處理機密信息,并且打印機、掃描儀和其他涉密計算機間不使用無線連接。第五,加強網絡安全的宣傳力度。2019年國家網絡安全宣傳周的主題是“網絡安全為人民,網絡安全靠人民”,我作為一名大屯錫礦的計算機管理員,應該對每一名職工做好網絡安全的宣傳工作,網絡并非法外之地,我們要從自己做起,從點滴做起。
三、結語
總之,在計算機網絡的實際應用過程中,會受到很多因素的影響,從而導致計算機網絡的不安全。這就需要相應的網絡安全管理工作,及時有效地應對計算機網絡安全問題,并提高計算機網絡安全的使用率。只有加強這些基本層別的安全性,我們才能確保計算機網絡安全防御的有效性。
參考文獻
[1]劉鏑,張尼,王笑帝.“沃互聯”統一認證方案研究與應用[J].信息通信技術,2016(6):25.
[2]劉瑞紅,王利勤.計算機網絡安全面臨的桎梏及應對策略[J].電腦編程技巧與維護,2016(20):94.
1IMS就是一種融合通信系統體系,其需要進行SIP的應用
從而進行會話對象的提供,這就離不開IMS方案的應用,進行控制策略及其承載策略的更新。這需要保證IMS終端不同應用策略的更新,實現分組域核心網體系的健全,保證核心業務的控制,提升其應用效益。IMS技術的應用更有利于進行網絡安全性的提升,并且其具備簡單性、靈活性、標準開放性,能夠進行網絡的有效接入。IMS技術的應用,能夠為多媒體業務數據的開展,提供良好的應用平臺,從而滿足運營商的工作需要,而不是僅僅進行接入技術的應用,其具備良好的集中式架構,是一種具備良好運營效益的商業模式。
2在實際工作中,為了解決通信系統的問題
我們必須防備來自各個方面的安全威脅,針對網絡協議的基本模式及其系統弱點進行分析。在實際過程中,攻擊者的目標大多是網絡的弱點。針對網絡及其系統弱點的利用,從而進行敏感數據的操作,進行網絡服務的濫用。目前來說,影響IMS網絡正常運行的因素是非常多的,比如沒有經過授權或者操縱進行的服務。攻擊者會通過竊聽、偽裝、流量分析等進行敏感信息數據的獲取或者操縱。這里面也涉及到完整性的威脅,就是攻擊者對系統接口的數據進行修改,進行插入、重放或者刪除等操縱,進行用戶合法權益的侵犯。從而不利于其網絡服務的正常開展。于是就出現人為干擾用戶傳輸、控制數據等的情況,導致合法用戶無法進行服務的使用。或者濫用特權進行未授權服務的應用。所謂的服務否認,就是用戶及其網絡不承認曾經發生過的操作。
二、IMS網絡安全機制方案的優化
1IMS安全體系的應用,更有利于進行安全威脅的預防。
這里面涉及到一整套的IMS網絡安全策略的應用,這需要保證IMS安全體系的健全,保證UE網及其網絡應用環節的協調,這涉及到的應用原則是非常多的,其涉及到了接入及其核心網絡的安全機制應用。針對其接入的環節,我們需要做好安全及其身份的認證,從而提升其安全機制效益。這就需要進行IMS安全機制的雙向認證分析,滿足現階段工作的要求,這涉及到安全聯盟的相關英語工作,進行安全保護的提供。目前來說,2G系統存在的安全缺陷是非常多的,比如核心網缺乏標準化的安全解決方案。3G系統著力于進行核心網的IP業務的保護。IMS在核心網的應用中,進行了網絡域安全概念的引進。網絡域安全是由單個機構所進行管理的網絡,在同一安全領域內進行相同安全級別的應用,并且保證其特定安全服務的享有,其需要進行服務的安全性、數據完整性的保證,從而進行重放攻擊的防止,滿足密碼安全機制的應用需要,實現協議安全機制的應用需要。通過對網絡域內部實體及其網絡域的協調,保證安全性的保護。
2通過對現有IMS安全標準體系的優化
可以保證其解決方案的完善,這涉及到網絡及其客戶的雙向身份認證模式,進行機密性的保護,保證完整性保護方案的應用,進行逐跳安全模式的應用,保證網絡實體的通信單獨保護,滿足運營商的工作要求。這也涉及到A-IMS技術的操作,為了解決實際工作的問題,必須針對其缺點進行分析,從而滿足IP網絡系統的工作要求,從根本上來說,IP網絡自身存在脆弱性,這就導致IMS網絡應用過程中的麻煩,導致其網絡架構、協議管理等問題的出現。通過對CSCF實體攻擊模式的應用,更有利于滿足現階段的工作需要。IP網絡會頻繁進行拒絕服務的發生,IP網絡具備先天脆弱性,從而不利于網絡技術的優化。CSCF能夠進行管理及其呼叫控制的應用,其面對不同的用戶,存在不同的隱患。為了解決實際問題,我們也要進行網絡通信協議體系的優化,針對其內部的不安全因素進行分析,針對協議的漏洞、缺陷等進行分析,進行STP協議等的健全,保證UDP承載模式的優化,進行不同數據庫的連接優化,這樣就可以大大降低其泛洪的影響,這就需要進行完整性保護,避免出現攻擊者數據篡改的情況。在實際操作中,攻擊對象可以進行用戶數據的修改,從而不利于網絡用戶的認證。
3為了解決上述的安全問題,我們需要進行網絡關鍵實體技術的優化
比如進行CSCF、物理及其安全管理的安全保護,保證IP多媒體子系統的更新,進行STP用戶合法性的檢驗,保證數據的私密性,保證其整體完整性,保證進行STP應用技術的優化。A-IMS的主要網元涉及的知識是非常多的,比如承載管理模式、應用管理模式、策略管理模式、安全管理模式等,通過對安全網元體系的健全,做好A-IMS的集成安全及其統一安全管理是必要的,從而保證其整體安全性的增強,保證IMS網絡安全性的提升。通過對雙向防火墻的應用,利用入侵檢測系統進行網絡及其終端的保護。從網絡運營這個方面上來說,IMS網絡系統安全性的提升,需要做好姿態及其移動安全等環節,實現智能終端的有效操作,進行姿態模式的優化設置,這也需要進行終端操作系統、防火墻情況等的分析。強制終端要求其具備良好的安全等級,目前來說,我們的IMS網絡存在諸多的安全隱患,有必要進行通信網絡系統安全性方案的更新。
三、結語
關鍵詞:HTP模型;移動平臺;安全加固
中圖分類號:TM769 文獻標識碼:A 文章編號:1671-2064(2017)05-0168-02
1 概述
HTP模型[1]是中國IT治理研究中心提出的“以人為本”的信息安全體系模型,其主要結構抽象描述包括[2]:人員與管理(Human and management)、技術與產品(Technology and products)、流程與體系(Process and Framework)。
2 網絡架構與技術
通過對電力公司移動交互平臺網絡架構的分析,總結出網絡中存在的安全薄弱點。針對這些薄弱點,在網絡架構和技術方面提出如下幾點建議。
(1)對信息外網進出口提供更多樣的防護措施,并增加備用線路,防止單點故障。建議在信息外網進出口設立統一威脅管理系統(UTM),具體拓撲如圖1所示。作為電力公司移動交互平臺網絡的邊界,面臨的混合式攻擊越來越多,傳統的安全解決方案如單一的防火墻功能、入侵檢測功能已經無法有效解決這種混合式的攻擊威脅,而全面地設立多種獨立功能的安全設備往往需要巨大的投資成本,并且設備過多會帶來更高的管理成本。統一威脅管理系統將各種安全防護功能集中到一個設備上,在增加安全性的同時,很好的控制了資費成本與管理成本。
(2)在信息外網的支撐服務處增加入侵檢測系統(IDS),具體改進拓撲如圖2所示。支撐服務作為移動應用的內容提供者,在信息外網中是黑客主要的攻擊目標,并且移動應用提供的業務是已知的,所以用戶的請求行為是可以預測的,這種情況下使用IDS是非常好的選擇。根據對用戶業務請求行為的預測,將正常行為與不正常行為歸納建立模型。使用入侵檢測系統,采用異常檢測和誤用檢測兩種模式相結合的方式對流量進行檢測。
(3)在信息外網與信息內網中同時增加安全審計系統。在信息外網使用安全審計,可以對用戶訪問移動應用服務資源的行為進行安全審計,并且可以對移動應用操作內網數據的行為做詳細記錄,通過審計系統的日志,不僅可以對潛在威脅進行分析,并且可以提供事故發生的線索做出評估,快速進行故障恢復,提供責任追究的依據。信息內網使用安全審計,可以對內部員工的操作進行管理。審計系統可以成為追蹤入侵、恢復系統的直接證據,所以,其自身的安全性更為重要。審計系統的安全主要包括審計事件查閱安全和存儲安全。審計事件的查閱應該受到嚴格的限制,避免日志被篡改。
(4)在信息內網的數據庫服務器處增加數據庫防火墻,具體改進拓撲如圖10所示。數據庫防火墻所采用的主動防御技術能夠主動實時監控、識別、告警、阻擋繞過企業網絡邊界(FireWall、IDS\IPS等)防護的外部數據攻擊、來自于內部的高權限用戶(DBA、開發人員、第三方外包服務提供商)的數據竊取、破壞、損壞的等,從數據庫SQL語句精細化控制的技術層面,提供一種主動安全防御措施,并且,結合獨立于數據庫的安全訪問控制規則,幫助用戶應對來自內部和外部的數據安全威脅。
3 人員管理機制分析
3.1 健全以責任分離和安全考核為原則的用人系統
信息網絡安全人員的使用具有一些特殊的要求,必須以安全可靠為最高原則。相應地,應該健全以責任分離和安全考核為原則的用人系統。
一方面,在用人過程中必須堅持責任分離的原則。其具體要求是:(1)明確信息網絡安全系統中每個人的職責,要求“誰管理,誰負責”;(2)關鍵崗位的人員不得再兼任其他職位,嚴格控制使用兼職人員;(3)重要的任務有兩人以上共同完成,避免一個人保管組織所有安全信息;(4)堅持崗位輪換原則,確保一個員工的工作有另一個員工進行審核。
另一方面,信息網絡安全人員一旦錄用,就要確定其職責范圍,對其實施安全考核,重點考核其安全事故發生情況。信息網絡安全人員考核不能像一般工作人員那樣以年終考核為主,而應加強平時考核以實現日常監控,對其考核時間越短,就越有利于確保安全;而且,不僅考核工作時間內的表現,也考察工作時間外的表現,比如生活作風與非工作行為是否正常等。
3.2 推行以增強意識和戰略開發為指導的育人系統
信息網絡安全工作是一種長期而艱巨的工作,保密意識貫穿始終,但隨著時間的推移,信息網絡安全人員難免產生工作倦怠,其“保密之弦”也會出現松弛。因此,國網公司應該不斷強化保密意識培訓,以形成堅固的信息安全“思想意識防線”。而且,還應該立足信息安全戰略規劃與開發信息網絡安全人員,以長遠眼光加強信息網絡安全人才培養。
3.3 實施以目標激勵和待遇傾斜為特色的留人系統
信息網絡安全工作任務重、壓力大、內容單調,加上工作環境封閉,容易使信息網絡安全人員人心不穩。因此應該通過目標激勵,增強他們對自己所從事工作的榮譽感、神圣感和責任感,促使他們安心工作。而且,由于信息網絡安全人員作用特殊、責任大、風險高,因此在待遇上應該給予傾斜。
4 結語
本文通過對典型內外網網絡安全防護方案的研究與對電力公司移動交互平臺網絡結構分析,結合典型的HTP網絡安全體系模型,針對電力公司移動交互平臺網絡安全薄弱點,提出關于電力公司移動交互平臺網絡加固的建議,對電力公司移動交互平臺安全提升做了有益的探索。
參考文獻
獲獎理由
合勤推出的ZyXEL ZyWALL 70 UTM綜合網絡安全設備系列產品以其產品設計和豐富的功能引起人們的關注。該系列在為企業用戶搭建網絡安全屏障、打造全方位防護體系的同時,其過硬的技術,前沿的設計水準和極高的產品性價比都充分展示了合勤科技(ZyXEL)在網絡安全產品方面所具有的突出市場競爭優勢和實力。
性能描述
該防火墻通過高性能一體化設計的防火墻來保護網絡的安全,在提高網絡效能和企業生產力的同時,可方便地實現遠程接入網絡,并能通過單一配置界面來進行管理。值得一提的是,站在技術的前沿,ZyXEL ZyWALL 70 UTM系列產品通過擴展ZyWALL Turbo Card,能夠增強ZyWALL系列安全性能。該系列產品運用了合勤科技(ZyXEL)獨創的ZyNOS操作系統,同時融合了世界著名的卡巴斯基公司的防病毒技術,是能提供整合防火墻、VPN、負載平衡、寬帶管理、內容過濾、防病毒、IDP、防垃圾郵件等8項功能的安全平臺。這項新技術的運用使得新一代All-in-one網絡安全設備能夠將原有內容過濾、防病毒、反垃圾郵件和入侵檢測等多套系統通過單一設備替代。獨家ZyXEL SecuASICTM加速技術,阻擋間諜軟件、網頁仿冒、病毒和垃圾郵件 IM(Instant Messaging,即時信息)、P2P(Peer-to-Peer)應用程序更細粒度控制,具有極佳的產品性能和全面的安全特性,是一系列非常優秀的8合1 UTM綜合網絡安全產品。
成功案例
中新藥業集團采用ZyXEL網絡安全設備配合其搭建全網解決方案。
中新藥業采用ZyXEL作為其安全網絡融合的網關設備來建立IPSec VPN連接并保證網絡通信安全。ZyXEL的產品網絡整合能力很強,能夠很容易地整合到中新藥業的網絡環境中。用戶無需擔心因為有不同廠商的設備在網絡中而擔心互通問題。ZyXEL產品設計實現了跨區域的企業 ERP 系統網絡,使得位處各地的客戶端能夠安全、方便地訪問到中心端的服務器,保證了數據高速、安全地傳輸。重要的是,這種應用并不需要做過多設置。只要在設備上進行一次設置,就可以讓內網用戶直接享受到VPN及寬帶上網的方便。對最終用戶來說,不需要在自己的電腦上做任何改動,最大限度地簡化了操作的復雜程度。ZyXEL提供的價值高出了用戶的期望。
隨著信息化應用的不斷深入,網絡應用日漸頻繁,在不斷加快網絡融合、提高效率的同時,網絡安全事件也呈現出多樣化、復雜化的發展態勢,面對變化多端的網絡攻擊,選擇到性能優越,功能強大的網絡安全產品成為用戶的期待。合勤科技(ZyXEL)全線出擊,推出的DSL局端及客戶端接入設備、路由器設備、網絡安全設備、無線局域網接入設備、網絡語音電話及以太網交換機等系列產品,為中小企業提供了全方位的寬帶網絡應用整合解決方案,全面反應出了合勤豐富的產品線和研發實力。
在網絡市場日益發展的今天,用戶對網絡信息的需求量日益增大,因此,網絡安全也被用戶越來越看重。合勤科技在提高網絡系統及設備的安全防御能力及整合性能的基礎上,實現安全與網絡的深入融合,進而有效地應對網絡威脅,為用戶帶來更全面、體貼的安全應用與感受。
WatchGuard Firebox Peak X8500
獲獎理由
對于那些有著高速、大流量網絡運行的企業而言,需要可靠、高冗余、可管理流量,并具高端口密度的安全解決方案。這些企業需要配有專家指導和支持的UTM解決方案,簡化網絡安全管理,滿足不斷增長的業務需求,而Firebox Peak X8500設備可以很好地滿足他們的需求。
Firebox Peak X8500提供全面集成的安全性,將狀態包防火墻、VPN、深層應用檢測、網關防病毒、入侵防護、防病毒、防間諜軟件、防垃圾郵件及URL過濾均整合到了單一設備中,節省了多點方案管理所需的時間和成本。
性能描述
Firebox Peak X8500提供高達2.0 Gbps的防火墻處理能力和600 Mbps的VPN訪問量,具有較高性能和較佳可擴展性,即刻提供真正的預防御,集成了強大的安全功能和高級網絡特性,提供能滿足最苛求網絡環境要求的優越整體解決方案。具有8個10/100/1000Gbps以太網端口,支持高速局域網骨干基礎設施以及千兆廣域網連接。八個端口均可配置為內部、外部或可選,以實現端口利用的最大化。
Firebox Peak X8500將狀態包防火墻、虛擬專用網、真正預防御、網關防病毒、入侵預防、防間諜軟件、防垃圾郵件和URL過濾等功能集成于一臺設備,提供全面的安全防護,同時降低了管理多點解決方案所需的時耗和成本。
Firebox Peak X8500 的智能分層安全(ILS)可即刻提供真正預防御,在發現漏洞和漏洞攻擊程序創建和運行之前對新出現的未知威脅進行防御。許多廠商只提供基于攻擊特征的防護,而且還需要單獨收費。這類解決方案,實際上使其客戶在廠商把攻擊特征納入防護軟件的新版本之前,仍面臨各類新出現的威脅。
Firebox Peak X8500的網絡功能可實現資源的智能管理,優化流量,延長網絡正常運行時間。多廣域網負載共享和接口故障轉移提高了性能和可靠性,動態路由、流量管理和優化為關鍵數據及整個網絡通信提供優質網絡功能。
Firebox Peak X8500附帶的WatchGuard System Manager (WSM)可簡化網絡安全管理。WSM具有圖形用戶界面、快速配置向導和智能默認設置,簡化了安裝過程。WSM還包括全面的日志和報告、交互式實時監控以及拖放式VPN創建功能,無須增加成本。
每項WatchGuard安全服務均與Firebox Peak X8500中內置的預防御配合工作,提供無懈可擊的安全防護能力。這些功能與Firebox Peak X8500高度集成,因此無須其他硬件。訂購按設備數量而非用戶數量計價,因此沒有遞增成本。所有安全服務均會持續升級,為用戶提供最新的防護功能,并通過WSM集中管理,可實時觀察所有安全功能的運行。
作為一款針對高端用戶的UTM產品,Firebox Peak X8500配置有Firebox Pro、WatchGuard先進的網絡安全系統,提供多廣域網負載共享和接口故障轉移、流量管理和優先級設定、高可用性、動態路由選擇。用戶可以智能管理資源,并實現順暢高效的網絡運行。
同時WatchGuard獨有的全套產品均可升級擴展的特性保護了企業的安全設備投資。只須簡單的授權碼,就可實現Peak產品系列內的升級,無須花費額外成本購買新的硬件,即可增加容量、提高性能。用戶還可以下載授權碼,輕松添加強大的防護功能,包括入侵防護、網關防病毒、防間諜軟件、防垃圾郵件及URL過濾等。
使用WatchGuard System Manager 8.3,用戶可以對該設備實現輕松配置和管理。WatchGuard System Manager 8.3可以提供實時互動的監測、全面的安全日志和報告、基于特征的安全策略管理、拖放式VPN設置和日志管理,簡化了IT人員的網絡安全操作。
Check Point Safe@Office500系列
獲獎理由
Check Point Safe@Office UTM設備能夠提供模塊化的小型企業安全解決方案,可以根據企業要求,為擁有3~100名用戶的辦公室提供經濟高效的解決方案。Safe@Office 500W采用了Check Point下屬SofaWare Technologies公司技術,整合了108Mbps擴展范圍無線訪問點技術,其無線安全保護與客戶熱點功能對用戶吸引力較大。另外,向導驅動的設置選項能夠幫助中小企業快速簡單地定制防火墻和VPN設置,使其符合公司安全策略。
性能描述
這款網絡安全設備集合了防火墻、VPN、防病毒、入侵防御、通信量模式分析及Web過濾等多種功能。
從功能上看,Safe@Office500系列支持多種附加在線服務,包括防病毒、安全和固件升級。此外,該系列產品擁有內置界面,使得用戶可以將安全管理工作外包給可信的第三方。
從技術上看,Safe@Office500基于全新的Check Point Embedded NGX6.0安全軟件平臺,該平臺以Check Point的Firewall-1(r)與VPN-1(r)為基礎,集合了多種新增功能。
狀態病毒防御保護功能配合高吞吐量網絡使用的防病毒掃描功能,可為電子郵件、Web、文檔下載或任何其它用戶定義的端口提供防病毒保護。企業辦公室網絡因此可以提高對電腦病毒與“網頁仿冒”等攻擊的防御能力。
入侵防護運用到Check Point的Application Intelligence技術,能夠為網絡與應用層提供保護,確保網絡不受蠕蟲、拒絕服務攻擊的破壞,同時對即時信息與對等應用進行安全控制。
企業利用保護熱點功能可以管理員工對網絡的訪問,這包括可設置Web身份鑒別、臨時用戶賬號及RADIUS整合等功能。
企業可以通過使用內置流量監控及數據捕捉工具來控制及監控接收、發出的信息流,確保辦公室的寬帶連接維持高效的使用率。
上班族和出差員工可以通過該產品全面的VPN功能實現對企業網的遠程訪問,從而提高其生產力。
該設備的雙重WAN、撥號備份、自動故障解決(automatic failover)功能,能提高企業的網絡運行能力。TrafficShaper能協助優化信息流量,并確保關鍵應用能取得所需帶寬使用。
成功案例
多倫科技是一家從事軟件開發的公司。前段時間,公司網絡經常性掉線,甚至出現網絡不通或者網絡堵塞的現象,換過新的路由問題依然存在。為了保證網絡的穩定,多倫公司采用了Check Point公司推出的為中小企業定做的Safe@Office UTM系列設備。
該設備背板整齊排列著電源、復位按鈕、管理口、10/100M自適應WAN口、DMZ/WAN2口以及四端口LAN小型交換機,對于小型SOHO辦公的企業完全可以省去一臺10/100M交換機以節約投資成本。隨設備提供的一條標準的5類屏蔽雙較線、一套專用設備電源、一張產品光盤以及快速安裝手冊,完全可以滿足用戶設備安裝調試的需要。
在防病毒方面,Safe@Office設備提供了防病毒功能設置開關。病毒庫提供定期自動更新和手動更新兩種模式,提供完整的網關型防病毒功能。在防病毒策略設置功能上,系統提供靈活的設置方式,可以滿足網絡安全管理員結合網絡實際應用,在掃描能力和掃描效率上達到平衡。
通過高級設置功能,結合Check Point公司在網絡安全方面的成功經驗,多倫科技可以對電子郵件中潛在的不安全文件類型進行阻止,對安全的文件類型不須掃描而直接予以通過;對于壓縮文件,系統在保證效率的情況下,通過設置最大嵌套層次和最大壓縮率來對壓縮文件是否掃描進行控制,同時根據管理需要可以采取適當的安全措施。
多倫科技在使用該系統后正常攔截了所有病毒,公司的網絡又開始暢通了。公司IT主管查看了公司20多臺電腦,都沒有中毒跡象,訪問速度也提升了不少。
對于小型企業網絡而言,也許最大的威脅就是企業所有者對網絡安全的認識錯誤,缺乏保護網絡的熟練技能。Check Point Safe@Office UTM設備提供模塊化的小型企業安全解決方案,可以根據要求為小型企業網絡量身定制,將企業級全狀態檢測(Stateful Inspection)防火墻保護、網絡網關反病毒、IPSecVPN功能與定制選項和易用性結合起來。無需安全專家,用戶即可進行設備的安裝和配置。
Fortinet千兆級UTM產品FortiGate-1000A
性能描述
美國Fortinet公司的千兆級UTM產品FortiGate-1000A可為大企業提供高性能的解決方案。高可用性(HA)和冗余熱插拔電源模塊,可以實現對關鍵業務的不停機操作。并隨時可以通過FortiGuard實時響應服務網絡,實現攻擊特征庫更新升級,確保FortiGate 24小時防御最新的病毒、蠕蟲、木馬和其他攻擊。
FortiGate在體系結構設計上做了相應的全面考慮,以硬件設備為平臺,集成網絡和內容安全。FortiGate的UTM系列產品實際是網絡安全平臺,是基于ASIC的硬件設備,具有全面實現策略管理、服務質量(QoS)、負載均衡、高可用性和帶寬管理等功能。
FortiGate系統采用高級檢測技術和獨特的網絡內容處理技術,集成了多種安全技術于一身, 通過集中的管理平臺,構筑完善的安全架構。面對日益增強的混合型攻擊的威脅和社會工程陷阱,UTM設備成為用戶的重要選擇。Fortinet公司的UTM產品能夠通過簡單的配置和管理,以較低的維護成本為用戶提供一個高級別保護的“安全隔離區”。 它檢測病毒、蠕蟲入侵,阻擋來自郵件的威脅,進行Web 流量過濾。 所有的檢測都是在實時狀態下進行,不會影響網絡性能。FortiGate-1000A支持最新的技術,包括VoIP、IM/P2P, 能抵御間諜軟件、網絡釣魚和混合型攻擊。該系統無須安裝任何用戶軟件,提高了企業的安全和管理能力。
國內某著名大銀行采用了FortiGate-1000A 作為網絡系統的安全防毒網關。該產品不僅性能高,而且不會影響網絡正常運行,系統工作穩定。防火墻阻斷了許多攻擊行為,使服務器遭受黑客的攻擊減少,用戶收到病毒郵件事件也少了很多,還阻止了網絡內部的病毒、蠕蟲的傳播??傊?,達到了預期的安全防護效果。
聯想網御Power V-5200 UTM防火墻
性能描述
聯想網御Power V-5200 UTM防火墻是基于ASIC的硬件系統,在網絡網關處提供實時的保護。其ASIC內容處理器,能夠在不影響網絡性能情況下檢測有害的病毒、蠕蟲及其他基于內容的安全威脅。
Power V-5200 UTM防火墻集成了防火墻、VPN、入侵檢測、內容過濾和流量控制功能, 提供的是一個高性價比、使用方便的而強有力的解決方案。
Power V-5200 UTM防火墻設計使用Power V-5200 機箱,并裝有1個或2 個模塊(可選), 以提供各種不同的吞吐量、 冗余量和接口要求。
Power V-5200機箱支持冗余熱交換式電源模塊, 以保證高可用性和不間斷的運行。對于可擴展的吞吐量,Power V-5200 UTM機箱具有2個插槽,以適應PM-5201和PM-5202母板式模塊,每一種母板模塊都裝有ASIC內容處理器芯片和提供高性能防火墻、VPN、反病毒、入侵檢測、Web過濾、電子郵件內容過濾、流量控制功能以及流量控制功能。每一種母板式模塊具有4Gb小型規格尺寸插拔式(SFP)端口和4個10/100/1000M自適應以太網端口。
Power V-5200 UTM防火墻提供細?;踩雷o,能分別對每一組或部門予以設置唯一的策略, 支持獨立的安全區和映射到VLAN標簽的策略。Power V- 5200UTM于今年3月份正式上市,可在企業、政府機關、電信、金融行業的網絡邊界處提供實時的安全防護。
該產品可以關閉脆弱窗口, 在網絡的邊界處阻擋病毒蠕蟲入侵網絡;可以提高企業的生產力和效率;可以提供安全可靠的系統防御,以及良好的性能和穩定性;可以在老設備上增加新功能,方便老系統的集成和投資保護。
SonicWALL PRO 4100 高速綜合UTM
產品描述
SonicWALL PRO 4100是一款將防病毒、防間諜程序、入侵防護、防垃圾郵件、防網絡釣魚以及內容過濾技術集成在一臺設備中的高速互聯網網關。其核心是一個功能強大的深度包檢測引擎,它能實時掃描網絡流量,并在惡意威脅入侵網絡之前在網關處將其屏蔽。
通過從SonicWALL數據中心自動下載安全更新可實現動態的網絡保護,無需管理員干預即可為網絡提供對最新威脅的防護??梢蕴峁M跨10個千兆以太網端口的穩健的“可信網絡”保護,可提供足夠的端口密度來將網絡劃分成多個域。例如,用戶可以用其中的端口來創建單獨的LAN或DMZ、第二WAM以及其它定制網絡安全域。用戶也可以配置一個硬件故障切換端口來獲得連續的網絡正常運行時間。
對于更復雜的網絡部署,PRO 4100可將安全擴展至虛擬及實際連接的無線LAN,從而免受來自企業網內部、聯網各部門或數據中心區之間的網絡威脅。
通常,遠程連接雖能提高員工的生產力,但也會將您的網絡暴露于任何可能的威脅下。PRO 4100具有創新的SonicWALL Clean VPN技術,可在移動用戶及分支機構連接威脅網絡之前對其進行凈化。除掃描遠程流量中的威脅外,Clean VPN技術還能提供告警,使用戶能及時隔離并控制潛在威脅。
PRO 4100以一臺設備提供企業級聯網、路由及防火墻功能。通過在一臺設備中綜合采用多種技術,PRO 4100可減少部署時間,使現行操作自動化并提高網絡的可靠性。PRO 4100允許在當今高性能及復雜網絡環境下進行靈活部署、無縫集成及精細訪問控制,用戶可以依靠它來獲得絕對的網絡保護、效率與控制。
這款高速綜合安全網關具有功能強大、實時防護、易于部署和操作等優點,可以滿足企業級聯網、路由及應用層安全防護的需求,價格也比較合理,創新的SonicWALL Clean VPN技術使用戶能及時隔離并控制遠程接入的潛在威脅。
天融信TopGate網絡衛士安全網關
產品描述
天融信TopGate網絡衛士安全網關產品是天融信公司基于天融信安全操作系統TOS(Topsec Operating System)和多年網絡安全產品研發經驗開發,最新推出的集防火墻、VPN、防病毒、防垃圾郵件、內容過濾、抗攻擊、流量整形等多種功能于一體的UTM(統一威脅管理)網關。
TopGate網絡衛士安全網關是高性能與多功能的完美結合,它采用TOS優秀的模塊化設計架構,在提供防火墻、VPN、防病毒、防垃圾郵件、內容過濾、抗攻擊、流量整形等功能時,保證了優異的性能。
TopGate同時具備防火墻、VPN、防病毒和內容過濾等功能,并且各種功能融為一體,能夠對各種VPN數據進行檢查,攔截病毒、木馬、惡意代碼等有害數據,徹底保證了VPN通信的安全,為用戶提供放心的“Cleaned VPN”服務。