前言:中文期刊網(wǎng)精心挑選了網(wǎng)絡(luò)安全定級(jí)評(píng)估范文供你參考和學(xué)習(xí),希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感,歡迎閱讀。
網(wǎng)絡(luò)安全定級(jí)評(píng)估范文1
>> 物流信息平臺(tái)網(wǎng)絡(luò)安全研究 醫(yī)院網(wǎng)絡(luò)信息安全需求分析 網(wǎng)絡(luò)安全管理平臺(tái)的研究與實(shí)現(xiàn) 網(wǎng)絡(luò)安全管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) 大數(shù)據(jù)平臺(tái)網(wǎng)絡(luò)信息安全若干問題的分析 視頻監(jiān)控平臺(tái)網(wǎng)絡(luò)配置管理的設(shè)計(jì)與實(shí)現(xiàn)分析 Symbian平臺(tái)網(wǎng)絡(luò)開發(fā)框架的研究與實(shí)現(xiàn) 醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)分析 醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全與防范 醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全分析與防范 醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全分析與防護(hù) 基于醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全分析與設(shè)計(jì) 電力信息自動(dòng)化網(wǎng)絡(luò)安全與實(shí)現(xiàn)分析 對(duì)醫(yī)院網(wǎng)絡(luò)安全的分析與研究 結(jié)合實(shí)例談?wù)勧t(yī)院網(wǎng)絡(luò)架構(gòu)需求分析與實(shí)現(xiàn) 通信市場(chǎng)需求下網(wǎng)絡(luò)安全技術(shù)的開發(fā)與實(shí)現(xiàn) 針對(duì)醫(yī)院網(wǎng)絡(luò)安全的分析 醫(yī)院網(wǎng)絡(luò)安全管理策略分析 應(yīng)急平臺(tái)網(wǎng)絡(luò)中綜合聯(lián)動(dòng)實(shí)現(xiàn)安全防御的研究 醫(yī)院網(wǎng)絡(luò)安全與管理 常見問題解答 當(dāng)前所在位置:.
[5] 公安部.關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知[EB/OL]. [2007?07?24]..
[6] 國(guó)家質(zhì)監(jiān)局. GB/T 25070?2010 信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求[S].北京:中國(guó)標(biāo)準(zhǔn)出版社,2010.
[7] 衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見[EB/OL]. [2011?12?09].http:///mohbgt/s7692/201112/53600.shtml.
[8] 公安部. 關(guān)于印送《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》的函[EB/OL]. [2009?11?09]. http:///gzdt/2009?11/09/content_1460022.htm.
網(wǎng)絡(luò)安全定級(jí)評(píng)估范文2
[關(guān)鍵詞] 信息等級(jí)保護(hù)概述;中國(guó)石油;等級(jí)保護(hù)建設(shè)
[中圖分類號(hào)] TP391;X913.2 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194(2013)05- 0057- 02
1 信息等級(jí)保護(hù)制度概述
信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障工作的基本制度,是促進(jìn)信息化健康發(fā)展的根本保障。其具體內(nèi)容包括:①對(duì)國(guó)家秘密信息,法人和其他組織及公民的專有信息以及公開信息,存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)實(shí)行分等級(jí)安全保護(hù)、分等級(jí)監(jiān)管;②對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理;③對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。信息安全等級(jí)保護(hù)配套政策體系及標(biāo)準(zhǔn)體系如圖1、圖2所示。
定條件的測(cè)評(píng)機(jī)構(gòu)開展等級(jí)測(cè)評(píng);④建設(shè)整改:備案單位根據(jù)信息系統(tǒng)安全等級(jí),按照國(guó)家政策、標(biāo)準(zhǔn)開展安全建設(shè)整改;⑤檢查:公安機(jī)關(guān)定期開展監(jiān)督、檢查、指導(dǎo)。
2 中國(guó)石油信息安全等級(jí)保護(hù)制度建設(shè)
中國(guó)石油信息化建設(shè)處于我國(guó)大型企業(yè)領(lǐng)先地位,在國(guó)資委歷年信息化評(píng)比中都名列前茅。2007 年全國(guó)開展信息安全等級(jí)保護(hù)工作之后,中國(guó)石油認(rèn)真貫徹國(guó)家信息安全等級(jí)保護(hù)制度各項(xiàng)要求,全面開展信息安全等級(jí)保護(hù)工作。逐步建成先進(jìn)實(shí)用、完整可靠的信息安全體系,保障信息化建設(shè)和應(yīng)用,支撐公司業(yè)務(wù)發(fā)展和總體戰(zhàn)略的實(shí)施,使中國(guó)石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個(gè)方面:
(1)以信息安全等級(jí)保護(hù)工作為契機(jī) , 全面梳理業(yè)務(wù)系統(tǒng)并定級(jí)備案。中國(guó)石油根據(jù)國(guó)家信息安全等級(jí)保護(hù)制度要求,建立自上而下的工作組織體系,明確信息安全責(zé)任部門,對(duì)中國(guó)石油統(tǒng)一建設(shè)的應(yīng)用系統(tǒng)進(jìn)行等級(jí)保護(hù)定級(jí)和備案,通過(guò)制定《中國(guó)石油天然氣集團(tuán)公司重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)實(shí)施暫行意見》,加強(qiáng)桌面安全、網(wǎng)絡(luò)安全、身份認(rèn)證等安全基礎(chǔ)防護(hù)工作,加快開展重要信息系統(tǒng)的等級(jí)測(cè)評(píng)和安全建設(shè)整改工作,進(jìn)一步提高信息系統(tǒng)的安全防御能力,提高系統(tǒng)的可用性和安全性。在全面組織開展信息系統(tǒng)等級(jí)保護(hù)定級(jí)備案工作之后,聘請(qǐng)專業(yè)測(cè)評(píng)機(jī)構(gòu),及時(shí)開展等級(jí)測(cè)評(píng)、安全檢查和風(fēng)險(xiǎn)評(píng)估工作,并通過(guò)等級(jí)測(cè)評(píng)工作查找系統(tǒng)的不足和安全隱患,制訂安全整改方案,開展安全整改和加固改造,保障信息系統(tǒng)持續(xù)安全穩(wěn)定運(yùn)行。
(2)以信息安全等級(jí)保護(hù)工作為抓手 , 全面推動(dòng)中國(guó)石油信息安全體系建設(shè)。中國(guó)石油以信息安全等級(jí)保護(hù)工作為抓手,完善信息安全整體解決方案,建立技術(shù)保障體系、管理保障體系和控制保障體系。采用分級(jí)、分域的縱深防御理念,將桌面安全、身份認(rèn)證、網(wǎng)絡(luò)安全、容災(zāi)等相關(guān)技術(shù)相互結(jié)合,建立統(tǒng)一的安全監(jiān)控平臺(tái)和安全運(yùn)行中心,實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的授權(quán)訪問、桌面計(jì)算機(jī)的安全控制、網(wǎng)絡(luò)流量的異常監(jiān)控、惡意軟件與攻擊行為的及時(shí)發(fā)現(xiàn)與防御、業(yè)務(wù)與數(shù)據(jù)安全保障等功能,顯著提高抵御外部和內(nèi)部信息安全威脅的能力。建立了總部、區(qū)域網(wǎng)絡(luò)中心、企事業(yè)單位三級(jí)信息系統(tǒng)安全運(yùn)維隊(duì)伍;采用集中管理、分級(jí)維護(hù)的管理模式,網(wǎng)絡(luò)與安全運(yùn)維人員采用授權(quán)方式,持證上崗,建立網(wǎng)絡(luò)管理員、安全管理員和安全審計(jì)員制度;初步建立起中國(guó)石油內(nèi)部信息安全風(fēng)險(xiǎn)評(píng)估隊(duì)伍,并于 2010 年完成地區(qū)公司的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作。
(3)建立重要信息系統(tǒng)應(yīng)急處置預(yù)案,完善災(zāi)難恢復(fù)機(jī)制。2008 年,中國(guó)石油了《網(wǎng)絡(luò)與信息安全突發(fā)事件專項(xiàng)應(yīng)急預(yù)案》,所有業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)管理、安全管理等都建立了應(yīng)急響應(yīng)處置預(yù)案和災(zāi)備系統(tǒng),保障業(yè)務(wù)系統(tǒng)在遭遇突發(fā)事件時(shí),能快速反應(yīng)并恢復(fù)業(yè)務(wù)系統(tǒng)可用性。通過(guò)災(zāi)難恢復(fù)項(xiàng)目研究,形成了現(xiàn)狀及風(fēng)險(xiǎn)分析、災(zāi)難恢復(fù)等級(jí)劃分、災(zāi)備部署策略分析和災(zāi)備部署方案四步法,劃分了信息系統(tǒng)災(zāi)難恢復(fù)等級(jí),完善了災(zāi)難恢復(fù)機(jī)制。
(4)規(guī)劃信息安全運(yùn)行中心,建立重要信息系統(tǒng)安全監(jiān)控機(jī)制。中國(guó)石油規(guī)劃了信息安全運(yùn)行中心的建設(shè)方案,提出了信息安全運(yùn)行中心建設(shè)目標(biāo),通過(guò)網(wǎng)絡(luò)運(yùn)行狀態(tài)、安全信息數(shù)據(jù)匯集、安全監(jiān)測(cè)分析功能和安全管理流程的有機(jī)整合,實(shí)現(xiàn)中國(guó)石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮,形成中國(guó)石油信息安全事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理一體化的技術(shù)支撐能力;通過(guò)完善安全運(yùn)行管理體系,將安全運(yùn)行管理組織、安全運(yùn)維管理流程和安全監(jiān)測(cè)預(yù)警系統(tǒng)三方面有機(jī)結(jié)合,實(shí)現(xiàn)事前預(yù)警防范、事中監(jiān)控處置、事后追溯定位的信息安全閉環(huán)運(yùn)行機(jī)制,形成中國(guó)石油統(tǒng)一的應(yīng)急指揮與協(xié)調(diào)調(diào)度能力,為中國(guó)石油信息安全保障奠定良好的基礎(chǔ)。
3 信息安全等級(jí)保護(hù)工作存在的不足及改進(jìn)建議
信息安全等級(jí)保護(hù)管理辦法 (公通字[2007]43號(hào))正式標(biāo)志著全國(guó)范圍內(nèi)的信息安全等級(jí)保護(hù)工作開始,通過(guò)5年的努力,全國(guó)信息安全工作形成了以落實(shí)信息安全等級(jí)保護(hù)制度為核心,信息通報(bào)、應(yīng)急處理、技術(shù)研究、產(chǎn)業(yè)發(fā)展、網(wǎng)絡(luò)信任體系和標(biāo)準(zhǔn)化建設(shè)等工作快速發(fā)展的良好局面,重要行業(yè)部門的信息安全意識(shí)、重視程度、工作能力有了顯著提高。40余個(gè)重要行業(yè)出臺(tái)了100余份行業(yè)等級(jí)保護(hù)政策文件,20余個(gè)重要行業(yè)出臺(tái)了40余份行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn),但同時(shí)存在著以下不足:
(1)對(duì)信息安全工作的認(rèn)識(shí)不到位,對(duì)重要信息系統(tǒng)安全保護(hù)缺乏應(yīng)有的重視。依據(jù)公安部相關(guān)資料統(tǒng)計(jì),截至2012年6月,我國(guó)有18%的單位未成立信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu);21%的單位未落實(shí)信息安全責(zé)任部門,缺乏信息安全整體規(guī)劃;14個(gè)行業(yè)重要信息系統(tǒng)底數(shù)不清、安全保護(hù)狀況不明;12個(gè)行業(yè)未組織全行業(yè)信息安全專門業(yè)務(wù)培訓(xùn),開展信息安全工作的思路和方法不得當(dāng),措施不得力。20%的單位在信息系統(tǒng)規(guī)劃過(guò)程中,沒有認(rèn)真制定安全策略和安全體系規(guī)劃,導(dǎo)致安全策略不得當(dāng);22%的信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)劃分不合理,核心業(yè)務(wù)區(qū)域部署位置不當(dāng),業(yè)務(wù)應(yīng)用不合理,容易導(dǎo)致黑客入侵攻擊,造成網(wǎng)絡(luò)癱瘓,數(shù)據(jù)被竊取和破壞。34.6%的重要信息系統(tǒng)未配置專職安全管理人員,相關(guān)崗位設(shè)置不完整,安全管理人員身兼多職;48%的單位信息安全建設(shè)資金投入不足,導(dǎo)致重要信息系統(tǒng)安全加固和整改經(jīng)費(fèi)嚴(yán)重缺乏;27%的單位沒有針對(duì)安全崗位人員制訂相關(guān)的培訓(xùn)計(jì)劃,沒有組織開展信息安全教育和培訓(xùn),安全管理、運(yùn)維技術(shù)人員能力較弱。
(2)重要信息系統(tǒng)未落實(shí)關(guān)鍵安全保護(hù)技術(shù)措施。重要信息系統(tǒng)未落實(shí)安全審計(jì)措施。在主機(jī)層面,有34.9%的信息系統(tǒng)沒有保護(hù)主機(jī)審計(jì)記錄,34.8%的信息系統(tǒng)沒有保護(hù)主機(jī)審計(jì)進(jìn)程,容易導(dǎo)致事故責(zé)任無(wú)法認(rèn)定,無(wú)法確定事故(事件)原因,影響應(yīng)急處理效率。38%的信息系統(tǒng)沒有落實(shí)對(duì)重要系統(tǒng)程序和文件進(jìn)行完整性檢測(cè)和自動(dòng)恢復(fù)的技術(shù)措施,35%的信息系統(tǒng)沒有采取監(jiān)測(cè)重要服務(wù)器入侵行為的技術(shù)措施,容易使內(nèi)部網(wǎng)絡(luò)感染病毒,對(duì)攻擊行為無(wú)法進(jìn)行有效監(jiān)測(cè)和處置。
(3)我國(guó)信息技術(shù)與國(guó)外存在一定差距,安全專業(yè)化服務(wù)力量薄弱。具有我國(guó)自主知識(shí)產(chǎn)權(quán)的重要信息技術(shù)產(chǎn)品和核心技術(shù)水平還有待提高,依賴國(guó)外產(chǎn)品的情況還比較普遍;國(guó)內(nèi)信息安全專業(yè)化服務(wù)力量薄弱,安全服務(wù)能力不強(qiáng),部分重要信息系統(tǒng)的關(guān)鍵產(chǎn)品維護(hù)和系統(tǒng)運(yùn)維依賴國(guó)外廠商,給重要信息系統(tǒng)安全留下了隱患。
為了有效提高我國(guó)企業(yè)信息安全水平,增加等級(jí)保護(hù)的可行性及執(zhí)行力,建議:①各企業(yè)開展以信息安全等級(jí)保護(hù)為核心的安全防范工作,提高網(wǎng)絡(luò)主動(dòng)防御能力,并制訂應(yīng)急處置預(yù)案,加強(qiáng)應(yīng)急演練,提高網(wǎng)絡(luò)應(yīng)急處置能力。②加大人員和資金投入,提高保障能力。③國(guó)家層面加快關(guān)鍵技術(shù)研究和產(chǎn)品化,重視產(chǎn)品供應(yīng)鏈的安全可控。
主要參考文獻(xiàn)
[1]中國(guó)石油天然氣集團(tuán)公司. 中國(guó)石油天然氣集團(tuán)公司全面開展信息安全等級(jí)保護(hù)工作為信息化建設(shè)保駕護(hù)航[J].信息網(wǎng)絡(luò)安全,2012(1).
網(wǎng)絡(luò)安全定級(jí)評(píng)估范文3
網(wǎng)絡(luò)系統(tǒng)隨著科技的進(jìn)步與時(shí)俱進(jìn),在不斷地發(fā)展下網(wǎng)絡(luò)技術(shù)的復(fù)雜性越來(lái)越高,而與之相對(duì)應(yīng)的攻擊技術(shù)也越來(lái)越發(fā)達(dá)。及時(shí)的做好網(wǎng)絡(luò)安全評(píng)估,研究評(píng)估方法具有重要的意義,可以有效地提高網(wǎng)絡(luò)安全系數(shù),防止網(wǎng)絡(luò)攻擊帶來(lái)的損失,也可以在相應(yīng)的條件下應(yīng)對(duì)各種網(wǎng)絡(luò)攻擊,提升網(wǎng)絡(luò)系統(tǒng)的應(yīng)對(duì)復(fù)雜的環(huán)境下的能力,做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估十分重要。
1什么是網(wǎng)絡(luò)攻擊
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,信息資源共享已經(jīng)成為了時(shí)下流行的一種模式,人們開始依賴于電腦,電腦給人們的生活、工作、生活帶來(lái)了便利。計(jì)算機(jī)的運(yùn)用越來(lái)越普遍,而如果在網(wǎng)絡(luò)中存在網(wǎng)絡(luò)漏洞就會(huì)成為一大重要的弊端。網(wǎng)絡(luò)作為新時(shí)代新型的信息系統(tǒng),為人類帶來(lái)方便便捷的同時(shí)也面臨著巨大的威脅,為了進(jìn)行網(wǎng)絡(luò)安全的問題,進(jìn)行安全的網(wǎng)絡(luò)管理,網(wǎng)絡(luò)攻擊便是其中威脅之一,應(yīng)該從根本上預(yù)防網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊指的是攻擊者利用網(wǎng)絡(luò)系統(tǒng)存在的漏洞對(duì)網(wǎng)絡(luò)進(jìn)行的硬件、軟件的攻擊,從而獲取其中的數(shù)據(jù)。網(wǎng)絡(luò)攻擊主要分為主動(dòng)攻擊和被動(dòng)攻擊兩種。1.1主動(dòng)攻擊主動(dòng)攻擊指的是在網(wǎng)絡(luò)攻擊時(shí)通過(guò)一些技術(shù)手段來(lái)篡改一些數(shù)據(jù),從而造成了虛假數(shù)據(jù)的產(chǎn)生,通過(guò)主動(dòng)攻擊可以使網(wǎng)絡(luò)產(chǎn)生一個(gè)未授權(quán)的效果,修改其中的重要數(shù)據(jù),偽造被攻擊用戶信息,偽裝、騙取其他用戶的信息,或是對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊破壞,達(dá)到了降低網(wǎng)絡(luò)性能,終止服務(wù)的目標(biāo),通過(guò)攻擊包圍目標(biāo)組織數(shù)據(jù),從而達(dá)到攻擊目的。1.2被動(dòng)攻擊被動(dòng)攻擊與主動(dòng)攻擊完全不同,被動(dòng)攻擊是通過(guò)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)不做任何修改,單一的竊取他人信息,如:地理位置、通信次數(shù)等私密信息,常利用竊聽的手段來(lái)獲取信息。利用一臺(tái)機(jī)器攻擊范圍內(nèi)所有的信息,在網(wǎng)絡(luò)上進(jìn)行信息分析。對(duì)原有的信號(hào)進(jìn)行輻射。由于被動(dòng)攻擊的行為比較隱蔽,不會(huì)留下任何的痕跡,所以很難被檢測(cè),只能預(yù)防被動(dòng)攻擊,對(duì)重要信息進(jìn)行高度加密。被動(dòng)攻擊是主動(dòng)攻擊的預(yù)兆,一旦網(wǎng)絡(luò)被被動(dòng)攻擊后,主動(dòng)攻擊就會(huì)隨之而來(lái)。所以,進(jìn)行網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評(píng)估尤為重要。2014年的著名黑客事件“伊朗黑客瞄準(zhǔn)航空系統(tǒng)”,該事件通過(guò)Cylance公布的長(zhǎng)達(dá)86頁(yè)的報(bào)告顯示,過(guò)去的兩年里伊朗黑客已經(jīng)直接攻擊、滲透了多個(gè)國(guó)家的政府機(jī)關(guān)、企業(yè)和重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò),受害國(guó)家包括美國(guó)、中國(guó)、英國(guó)、德國(guó)、加拿大以及土耳其等一十六個(gè)國(guó)家。泄露了大量旅客護(hù)照信息和機(jī)場(chǎng)員工信息以及機(jī)場(chǎng)機(jī)密。這些信息的泄露有助于不法分子通過(guò)安檢。類似此類事件的網(wǎng)絡(luò)攻擊事件還很多“美國(guó)醫(yī)療系統(tǒng)被黑”,“大型零售商家被黑”,“索尼影業(yè)被黑事件”等,這類事件都給不同國(guó)家不同的企業(yè)帶來(lái)了巨大的損失。所以,重視網(wǎng)絡(luò)安全至關(guān)重要。
2網(wǎng)絡(luò)安全評(píng)估模型
為了增加網(wǎng)絡(luò)的安全性,構(gòu)建網(wǎng)絡(luò)安全評(píng)估模型,提出了一種綜合性的網(wǎng)絡(luò)安全評(píng)估方案,用來(lái)負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的安全工作,對(duì)安全工作進(jìn)行相對(duì)應(yīng)的協(xié)調(diào)和安排,將安全評(píng)估模型分布在各個(gè)網(wǎng)絡(luò),各個(gè)系統(tǒng)中,主要對(duì)主機(jī)上所有的組建進(jìn)行一個(gè)全面系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估。在安全評(píng)估模型中主要分為消息模塊相互協(xié)同,通信技術(shù)相互構(gòu)建,系統(tǒng)分析之前遇到的網(wǎng)絡(luò)攻擊類型,對(duì)系統(tǒng)中隱藏的關(guān)聯(lián)、漏洞進(jìn)行查看。詳盡的掃描整個(gè)系統(tǒng)的問題。進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估時(shí),會(huì)對(duì)網(wǎng)絡(luò)變化結(jié)果發(fā)生相對(duì)應(yīng)的反應(yīng),包括一種相對(duì)應(yīng)的模式,是對(duì)數(shù)據(jù)請(qǐng)求的一種變化結(jié)果,也是對(duì)數(shù)據(jù)請(qǐng)求所產(chǎn)生的反應(yīng)。通過(guò)這種變化模式,進(jìn)行構(gòu)建網(wǎng)絡(luò)安全評(píng)估模型。
3攻擊圖的生成
生成一個(gè)網(wǎng)絡(luò)攻擊圖,主要包括了構(gòu)建攻擊圖,在構(gòu)建攻擊圖的基礎(chǔ)上與所有的子進(jìn)行協(xié)調(diào)工作,對(duì)于隱藏在網(wǎng)絡(luò)中的攻擊,進(jìn)行尋找路徑。同時(shí)仔細(xì)計(jì)算本次攻擊的成功率,為預(yù)防網(wǎng)絡(luò)攻擊打下良好的基礎(chǔ),形成一個(gè)數(shù)據(jù)庫(kù),在整個(gè)構(gòu)建模型上負(fù)責(zé)提供和儲(chǔ)存數(shù)據(jù),再進(jìn)行分析。而主體的網(wǎng)絡(luò)負(fù)責(zé)建立攻擊規(guī)則庫(kù)和攻擊漏洞庫(kù),從而達(dá)到預(yù)防效果,進(jìn)而完善攻擊圖。攻擊圖大致上可以分為兩種:狀態(tài)攻擊圖和屬性攻擊圖。基于模型的網(wǎng)絡(luò)脆弱性分析技術(shù),利用攻擊圖自動(dòng)分析潛在的危險(xiǎn)。
3.1狀態(tài)攻擊圖
所謂狀態(tài)攻擊圖指的是,在攻擊圖中節(jié)點(diǎn)描述目標(biāo)網(wǎng)絡(luò)與攻擊者的狀態(tài),該方法的弊端是會(huì)出現(xiàn)狀態(tài)爆炸等問題。并不適用于大規(guī)模網(wǎng)絡(luò),因?yàn)榇嬖趩栴}相對(duì)復(fù)雜,近年來(lái)我們都更推行屬性攻擊圖。
3.2屬性攻擊圖
屬性攻擊圖指的是利用一個(gè)有向圖,向研究者展示了攻擊者利用網(wǎng)絡(luò)脆弱點(diǎn)的狀態(tài),而且在脆弱點(diǎn)間的聯(lián)系實(shí)施一個(gè)組合攻擊的完整過(guò)程。全過(guò)程包含兩個(gè)節(jié)點(diǎn):屬性節(jié)點(diǎn)和原子攻擊節(jié)點(diǎn)。傳統(tǒng)的脆弱掃描主要講求規(guī)則性,可以自主獨(dú)立的分析網(wǎng)絡(luò)中存在的脆弱性,不能進(jìn)行綜合性的評(píng)估。屬性攻擊圖可以在攻擊者的角度出發(fā)利用多種網(wǎng)絡(luò)配置信息,例舉出所有有可能會(huì)發(fā)生的攻擊途徑。幫助防御者更深刻直觀的了解網(wǎng)絡(luò)中每一個(gè)脆弱性的聯(lián)系。
險(xiǎn)評(píng)估計(jì)算
而在風(fēng)險(xiǎn)評(píng)估的計(jì)算中,很多安全風(fēng)險(xiǎn)的參數(shù)都可以進(jìn)行利用。有關(guān)于漏洞、網(wǎng)絡(luò)、主機(jī)安全、攻擊路徑等信息的提供評(píng)估中,這些子機(jī)的系統(tǒng)所產(chǎn)生的計(jì)算結(jié)構(gòu)在主機(jī)中進(jìn)行反饋組合。而子機(jī)的相關(guān)安全風(fēng)險(xiǎn)指數(shù)就在主機(jī)中匯合分析,對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)處理。重點(diǎn)評(píng)估風(fēng)險(xiǎn)邊界,信息資產(chǎn)調(diào)查和分析,根據(jù)信息的完整性,對(duì)信息的機(jī)密性完整性進(jìn)行深入的調(diào)查分析。利用先進(jìn)的技術(shù)和管理脆弱性評(píng)估,威脅和風(fēng)險(xiǎn)分析,識(shí)別信息資產(chǎn)可能會(huì)面臨的危險(xiǎn)。以及面臨危險(xiǎn)后的影響和可能性,對(duì)綜合計(jì)算信息資產(chǎn)的風(fēng)險(xiǎn)。并依據(jù)等級(jí)保護(hù)指南要求實(shí)施相應(yīng)的風(fēng)險(xiǎn)評(píng)估及定級(jí)。
5原型系統(tǒng)的檢驗(yàn)
在網(wǎng)絡(luò)的實(shí)際應(yīng)用中,計(jì)算機(jī)所面臨的網(wǎng)絡(luò)環(huán)境相對(duì)來(lái)說(shuō)比較復(fù)雜。應(yīng)用的操作系統(tǒng)也分為很多種,例如:Windows、Linus、Unis等不同的計(jì)算機(jī)系統(tǒng)。因此在進(jìn)行網(wǎng)絡(luò)安全評(píng)估的時(shí)候應(yīng)該盡量采取綜合時(shí)的評(píng)估方案,避免了系統(tǒng)不同造成的評(píng)估漏洞,以及在遇到攻擊時(shí)不能及時(shí)處理,無(wú)法發(fā)揮在系統(tǒng)安全網(wǎng)絡(luò)風(fēng)險(xiǎn)出現(xiàn)時(shí)的防范功能。目前來(lái)說(shuō)基于對(duì)網(wǎng)絡(luò)全方位的風(fēng)險(xiǎn)評(píng)估圖技術(shù),具有良好的跨平臺(tái)性,能夠?qū)λ邢到y(tǒng)進(jìn)行準(zhǔn)確、科學(xué)、全面的對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,在這樣優(yōu)質(zhì)的前提下,盡可能的保證了計(jì)算機(jī)網(wǎng)絡(luò)的安全。而Java系統(tǒng)的框架是完全以Java語(yǔ)言為基礎(chǔ)的系統(tǒng)開發(fā)框架,具有跨平臺(tái)的特點(diǎn),能對(duì)系統(tǒng)是否安全進(jìn)行科學(xué)、準(zhǔn)確的評(píng)估。面對(duì)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估,我們應(yīng)仔細(xì)的做研究,并以此為基礎(chǔ),運(yùn)用了攻擊圖的相對(duì)應(yīng)理論,將先進(jìn)的技術(shù)引入評(píng)估系統(tǒng),將風(fēng)險(xiǎn)評(píng)估模型的擴(kuò)張能力得到最大的發(fā)揮。還能對(duì)相互之間相聯(lián)系的概念進(jìn)行完善、拓展,與路徑分析合二為一,并對(duì)系統(tǒng)中潛在的漏洞進(jìn)行預(yù)防,對(duì)攻擊者的攻擊規(guī)則進(jìn)行分析、掌握、預(yù)測(cè)。使攻擊路徑分析更加明確,防患更加嚴(yán)謹(jǐn)。
6結(jié)束語(yǔ)
在當(dāng)前社會(huì)中,隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,我們已經(jīng)成為了一個(gè)信息國(guó)家,計(jì)算機(jī)在人們的生活中有著不可替代的作用。保證計(jì)算機(jī)安全,在計(jì)算機(jī)安全方面做好完善的防護(hù)工作,著重的掌握技術(shù),預(yù)防攻擊,保證信息資料的安全,無(wú)論是個(gè)人還是國(guó)家,信息的安全都尤為重要。利用好科學(xué)技術(shù)做出攻擊圖,能更好的做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估技術(shù)作用的發(fā)揮。
作者:任美玉 單位:臨沂市蘭山區(qū)職業(yè)中等專業(yè)學(xué)校
引用:
[1]張健,王晉東,張恒巍.基于節(jié)點(diǎn)博弈漏洞攻擊圖的網(wǎng)絡(luò)風(fēng)險(xiǎn)分析方法[J].計(jì)算機(jī)科學(xué),2014.
[2]李慶朋,王布宏,王曉東,張春明.基于最優(yōu)攻擊路徑的網(wǎng)絡(luò)安全增強(qiáng)策略研究[J].計(jì)算機(jī)科學(xué),2013.
[3]陳靖,王冬海,彭武.基于動(dòng)態(tài)攻擊圖的網(wǎng)絡(luò)安全實(shí)時(shí)評(píng)估[J].計(jì)算機(jī)科學(xué),2013.
[4]王永杰,劉進(jìn),陳志杰,鮮明,王國(guó)玉.一種計(jì)算機(jī)網(wǎng)絡(luò)脆弱性評(píng)估系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)工程,2006.
網(wǎng)絡(luò)安全定級(jí)評(píng)估范文4
1.1物理環(huán)境安全分析
信息中心機(jī)房安全對(duì)醫(yī)院信息系統(tǒng)異常重要,它是承載整個(gè)信息系統(tǒng)的基礎(chǔ)條件,直接影響信息系統(tǒng)能否正常工作。同時(shí),中心機(jī)房工作環(huán)境影響設(shè)備能否長(zhǎng)期正常工作。根據(jù)調(diào)查,機(jī)房環(huán)境溫度每上升1度,計(jì)算機(jī)系統(tǒng)壽命減少一半;機(jī)房濕度低容易產(chǎn)生靜電,大量靜電容易損壞電路芯片,濕度太高容易腐蝕元器件等。從信息系統(tǒng)安全等級(jí)保護(hù)要求來(lái)看,物理環(huán)境安全分為設(shè)備物理安全、環(huán)境物理安全、系統(tǒng)物理安全三大方面。其中,設(shè)備物理安全主要包括靜電放電、電磁輻射騷擾、電源適應(yīng)能力等21項(xiàng)具體要求;物理環(huán)境安全主要包括場(chǎng)地選擇、機(jī)房防火、機(jī)房屏蔽、供電系統(tǒng)、溫濕度控制等19項(xiàng)具體要求;系統(tǒng)物理安全主要包括:災(zāi)難備份與恢復(fù)、防止非法設(shè)備接入、防止設(shè)備非法外聯(lián)等6項(xiàng)具體要求。
1.2網(wǎng)絡(luò)安全分析
在醫(yī)療行業(yè)中大家對(duì)網(wǎng)絡(luò)安全普遍的認(rèn)識(shí)是以防火墻加防病毒來(lái)進(jìn)行網(wǎng)絡(luò)安全防護(hù),但事實(shí)上網(wǎng)絡(luò)安全問題涉及的內(nèi)容很多。隨著醫(yī)院網(wǎng)絡(luò)整體應(yīng)用規(guī)模的不斷擴(kuò)大,大規(guī)模DOS侵入、黑客攻擊、蠕蟲病毒、外來(lái)工作人員等因素導(dǎo)致網(wǎng)絡(luò)安全環(huán)境日益惡化,現(xiàn)有安全技術(shù)手段逐漸暴露出安全防護(hù)力度不夠,強(qiáng)度不高等問題,由于網(wǎng)絡(luò)安全引發(fā)重要數(shù)據(jù)的丟失、破壞,將造成難以彌補(bǔ)的損失,嚴(yán)重影響到醫(yī)院網(wǎng)絡(luò)的正常運(yùn)行。從等級(jí)保護(hù)要求方面,網(wǎng)絡(luò)安全應(yīng)該從身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計(jì)、可行路徑、防抵賴等11個(gè)方面的進(jìn)行安全防護(hù)建設(shè)和防護(hù)。
1.3主機(jī)安全分析
主機(jī)是醫(yī)院信息系統(tǒng)的主要承載硬件設(shè)備,其安全性不言而喻,主機(jī)安全主要涉及:身份鑒別、訪問控制、審計(jì)安全、入侵防范、資源控制等。影響主機(jī)安全的主要因素來(lái)源于兩方面:一方面是針對(duì)操作系統(tǒng)的后門、木馬與病毒攻擊、黑客攻擊、信息篡改、信息泄露、拒絕服務(wù)攻擊等方面;另一方面是針對(duì)數(shù)據(jù)庫(kù)的審計(jì)記錄不足、拒絕服務(wù)、數(shù)據(jù)庫(kù)通訊協(xié)議泄露、身份驗(yàn)證問題等方面。
1.4數(shù)據(jù)安全分析
數(shù)據(jù)庫(kù)是醫(yī)院信息系統(tǒng)數(shù)據(jù)存儲(chǔ)的核心,從某種意義上說(shuō),醫(yī)療數(shù)據(jù)安全是醫(yī)院信息安全的最主要防護(hù)重點(diǎn),是整個(gè)安全防護(hù)的最重要核心。數(shù)據(jù)涉及到信息覆蓋面廣,數(shù)據(jù)量大,信息種類繁多,要保持每天24小時(shí)不間斷運(yùn)行[2],一旦數(shù)據(jù)破壞或丟失,都會(huì)給醫(yī)院造成不可估量的損失。
1.5應(yīng)用安全分析
眾所周知,我國(guó)信息安全采用信息安全等級(jí)保護(hù)制度,按照應(yīng)用系統(tǒng)的安全等級(jí)進(jìn)行劃分,應(yīng)用系統(tǒng)是等級(jí)保護(hù)的核心,所處的IT環(huán)境包括主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)傳輸、物理等,這些因素從客觀上增加了應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)是必然存在的。應(yīng)用系統(tǒng)從自身架構(gòu)上基本包含數(shù)據(jù)采集、數(shù)據(jù)處理與匯總分析、人機(jī)界面以及各層之間的API接口,這些組成部分從主觀上增加了應(yīng)用系統(tǒng)本身的安全風(fēng)險(xiǎn),而應(yīng)用系統(tǒng)本身安全又包括應(yīng)用系統(tǒng)架構(gòu)設(shè)計(jì)安全、模塊間數(shù)據(jù)通訊安全、數(shù)據(jù)存儲(chǔ)安全設(shè)計(jì)、訪問控制、身份認(rèn)證等主要方面,因此每個(gè)層面都需要在系統(tǒng)設(shè)計(jì)時(shí)進(jìn)行安全考慮和設(shè)計(jì)。
2醫(yī)院信息安全防護(hù)措施
2.1加強(qiáng)安全意識(shí)教育
人是信息安全環(huán)節(jié)中最重要的因素[3],既是信息安全最大的防護(hù)者,也是信息安全問題的制造者。不僅要加強(qiáng)醫(yī)務(wù)人員和信息管理人員自身的信息安全教育,同時(shí)也要提高信息安全意識(shí)。要做到思想上認(rèn)識(shí)到信息安全工作的重要性,進(jìn)一步確立信息化條件下醫(yī)院信息安全防護(hù)的指導(dǎo)思想。通過(guò)開展信息安全教育,把人員思想與單位制定的信息安全標(biāo)準(zhǔn)、規(guī)范、制度等緊密結(jié)合,高度統(tǒng)一。建立健全信息安全教育相關(guān)培訓(xùn)制度和機(jī)制。
2.2建立完善的安全管理體系
加強(qiáng)醫(yī)院信息系統(tǒng)安全防護(hù)制度建設(shè)、加強(qiáng)和建立技術(shù)防護(hù)規(guī)劃和體系建設(shè)、建立人員安全防護(hù)體系、建立資產(chǎn)管理體系。形成制度、技術(shù)、人員管理和資產(chǎn)管理相結(jié)合的立體安全防護(hù)體系。信息安全工作要根據(jù)醫(yī)療行業(yè)、軍隊(duì)、國(guó)家的相關(guān)信息安全要求,從信息安全工作的宏觀出發(fā),著手微觀。宏觀上要制定總體方針和安全策略,建立起整套的信息安全管理機(jī)構(gòu)。微觀上要制定信息安全管理機(jī)構(gòu)的工作目標(biāo)、工作的邊界、工作的原則、建立信息系統(tǒng)安全域以及信息系統(tǒng)的安全框架。完善安全管理活動(dòng)中的各類安全防護(hù)標(biāo)準(zhǔn)、制度、規(guī)范以及工作流程。應(yīng)設(shè)立專門的安全崗位并確定職責(zé),應(yīng)成立指導(dǎo)和管理信息安全工作的領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或者授權(quán)。同時(shí),應(yīng)根據(jù)國(guó)家和行業(yè)的信息安全要求,例如:信息安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等建立起適合本醫(yī)院的信息安全等級(jí)保護(hù)制度基線。從應(yīng)用系統(tǒng)定級(jí)到測(cè)評(píng)和改造建立起一套行之有效、適合自身的等級(jí)保護(hù)測(cè)評(píng)制度和流程,形成完善的信息安全生命周期環(huán),使醫(yī)院信息安全建設(shè)能夠伴隨著應(yīng)用系統(tǒng)建設(shè)不斷滾動(dòng)健全。
2.3建立完善的安全技術(shù)體系
我國(guó)信息安全等級(jí)保護(hù)要求,以信息系統(tǒng)作為定級(jí)和保護(hù)對(duì)象,從物理安全、網(wǎng)絡(luò)安全等5個(gè)層面進(jìn)行了不同等級(jí)間、細(xì)顆粒度的具體要求。醫(yī)院信息系統(tǒng)按照信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行安全防護(hù)建設(shè),從機(jī)房和網(wǎng)絡(luò)的公共基礎(chǔ)安全防護(hù)到數(shù)據(jù)和應(yīng)用的系統(tǒng)化安全防護(hù),醫(yī)院信息系統(tǒng)安全防護(hù)主要分為以下幾個(gè)環(huán)節(jié)進(jìn)行防護(hù):
2.3.1物理防護(hù)層面
機(jī)房屬于信息安全等級(jí)保護(hù)中規(guī)定的物理部分,它承載著應(yīng)用系統(tǒng)所依賴的IT硬件環(huán)境,因此機(jī)房位置的選擇至關(guān)重要,從等級(jí)保護(hù)測(cè)評(píng)細(xì)項(xiàng)上要求機(jī)房所在樓宇需要對(duì)防震、防雨、防風(fēng)等進(jìn)行強(qiáng)度要求。同時(shí)為避免內(nèi)澇和雷擊的危險(xiǎn),機(jī)房要求避免設(shè)置在地下或者頂層。同時(shí),機(jī)房是IT資產(chǎn)的重要區(qū)域,要求相關(guān)人員進(jìn)出要有門禁控制和相應(yīng)的音視頻監(jiān)控,對(duì)出入人員進(jìn)行鑒別、控制、記錄。在物理機(jī)房防護(hù)上還應(yīng)注意防火、防盜竊和防破壞等。具體措施可根據(jù)醫(yī)院實(shí)際情況進(jìn)行整改建設(shè)。
2.3.2網(wǎng)絡(luò)防護(hù)層面
網(wǎng)絡(luò)是整個(gè)信息化工作的高速公路,承載著各種業(yè)務(wù)。目前各醫(yī)院醫(yī)療工作基本實(shí)現(xiàn)無(wú)紙化,醫(yī)療數(shù)據(jù)傳遞依靠網(wǎng)絡(luò)系統(tǒng),一套業(yè)務(wù)處理能力強(qiáng)、帶寬高且有冗余的網(wǎng)絡(luò)系統(tǒng)才能夠滿足醫(yī)療業(yè)務(wù)高峰需求。應(yīng)根據(jù)應(yīng)用需求建立網(wǎng)絡(luò)安全訪問路徑,對(duì)客戶端和核心服務(wù)器間進(jìn)行路由控制,對(duì)不同醫(yī)療部門根據(jù)工作職能、重要程度和信息敏感性等要素劃分不同的網(wǎng)段,并對(duì)不同網(wǎng)段按照重要程度劃分安全域。根據(jù)醫(yī)療業(yè)務(wù)、管理業(yè)務(wù)等系統(tǒng)進(jìn)行數(shù)據(jù)流向的訪問控制,建立端口級(jí)的細(xì)粒度控制。應(yīng)能夠?qū)W(wǎng)絡(luò)系統(tǒng)中的流量、設(shè)備狀態(tài),用戶訪問行為進(jìn)行控制和記錄,并能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,生成審計(jì)報(bào)表。對(duì)非授權(quán)設(shè)備私自連到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,并確定位置,進(jìn)行有效阻斷。應(yīng)能夠在檢測(cè)到攻擊行為時(shí),記錄攻擊源IP、攻擊類型、目的、時(shí)間等,在發(fā)生嚴(yán)重入侵事件時(shí)進(jìn)行入侵報(bào)警進(jìn)行防范。同時(shí),還要在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除,做到邊界層的惡意代碼防范。
2.3.3主機(jī)安全防護(hù)層面
應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,要有防假冒和偽裝的功能,針對(duì)登錄失敗要具有結(jié)束會(huì)話、限制非法登陸次數(shù)和自動(dòng)退出等措施。應(yīng)對(duì)管理用戶進(jìn)行三權(quán)分立設(shè)置,根據(jù)管理用戶的角色分派權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離。應(yīng)能夠?qū)Ψ?wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶進(jìn)行審計(jì),進(jìn)行防抵賴等功能設(shè)計(jì),杜絕管理人員帶來(lái)的安全風(fēng)險(xiǎn),應(yīng)能對(duì)主機(jī)進(jìn)行入侵防范,在遭到攻擊時(shí)能夠記錄入侵源IP、攻擊類型等。應(yīng)對(duì)主機(jī)進(jìn)行惡意代碼防護(hù),并與網(wǎng)絡(luò)惡意代碼防護(hù)采用不同的惡意代碼庫(kù)。應(yīng)對(duì)服務(wù)器主機(jī)資源包括CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源使用情況進(jìn)行監(jiān)視。
2.3.4數(shù)據(jù)安全層面
應(yīng)能夠保證數(shù)據(jù)的完整性、保密性、可用性。對(duì)醫(yī)療數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中能夠檢測(cè)到數(shù)據(jù)完整性是否受到破壞。應(yīng)對(duì)重要業(yè)務(wù)數(shù)據(jù)進(jìn)行時(shí)間小顆粒度的數(shù)據(jù)備份,同時(shí)要做到異地?cái)?shù)據(jù)備份和備份介質(zhì)場(chǎng)外存放。要采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)?避免關(guān)鍵節(jié)點(diǎn)、數(shù)據(jù)節(jié)點(diǎn)存在單點(diǎn)故障[4]。同時(shí)應(yīng)對(duì)數(shù)據(jù)所承載網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)進(jìn)行硬件冗余,保證系統(tǒng)的高可用性。
2.3.5應(yīng)用安全層面
網(wǎng)絡(luò)安全定級(jí)評(píng)估范文5
【關(guān)鍵詞】基礎(chǔ)信息網(wǎng)絡(luò)安全;公共互聯(lián)網(wǎng);移動(dòng)互聯(lián)網(wǎng)
一、引言
在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議強(qiáng)調(diào)“沒有網(wǎng)絡(luò)安全,就沒有國(guó)家安全”[1]。如今以互聯(lián)網(wǎng)為核心的網(wǎng)絡(luò)空間已成為第五大戰(zhàn)略空間,互聯(lián)網(wǎng)安全問題已引起了各國(guó)的高度重視。尤其2013年的“棱鏡門”事件,使得國(guó)際社會(huì)和普通公眾對(duì)網(wǎng)絡(luò)安全的空前關(guān)注。過(guò)去的幾年間我國(guó)互聯(lián)網(wǎng)安全狀況總體平穩(wěn)。但是從相關(guān)數(shù)據(jù)上看,我國(guó)互聯(lián)網(wǎng)仍然存在較多安全隱患。對(duì)廣大網(wǎng)民、社會(huì)經(jīng)濟(jì)和國(guó)家安全均造成不同程度的威脅和挑戰(zhàn)。本綜述重點(diǎn)闡述我國(guó)互聯(lián)網(wǎng)所面臨的安全威脅現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。
二、我國(guó)互聯(lián)網(wǎng)安全現(xiàn)狀簡(jiǎn)介
(一)基礎(chǔ)信息網(wǎng)絡(luò)安全形勢(shì)分析
我國(guó)基礎(chǔ)網(wǎng)絡(luò)安全防護(hù)水平已有較大改進(jìn),但仍存在諸多信息系統(tǒng)安全風(fēng)險(xiǎn),尤其是DNS面臨安全漏洞、DOS攻擊等威脅,從而引發(fā)一些安全風(fēng)險(xiǎn)。下面從四個(gè)方面進(jìn)行分析:
1.基礎(chǔ)網(wǎng)絡(luò)安全防護(hù)水平得以進(jìn)一步提高
2013年基礎(chǔ)電信企業(yè)高度重視網(wǎng)絡(luò)安全防護(hù)工作,對(duì)全網(wǎng)開展了網(wǎng)絡(luò)單元和業(yè)務(wù)系統(tǒng)的定級(jí)備案調(diào)整工作,網(wǎng)絡(luò)單元開展了符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估,各企業(yè)符合性評(píng)測(cè)達(dá)標(biāo)率均在97%以上。檢測(cè)中還著重加大了用戶個(gè)人信息保護(hù)工作的檢查力度,通過(guò)安全隱患的測(cè)試和修復(fù),有效降低了通信網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。
2.基礎(chǔ)網(wǎng)絡(luò)信息系統(tǒng)仍存在諸多安全風(fēng)險(xiǎn)
2013年國(guó)家信息安全漏洞共享平臺(tái)通報(bào)了漏洞風(fēng)險(xiǎn)事件518起,較其去年增長(zhǎng)超過(guò)了一倍。其中軟硬件、信息泄露、權(quán)限繞過(guò)、SQL注入、弱口令等類型漏洞較多,分別占42.1%、15.3%、12.7%、12.0%和11.2%。對(duì)此,各企業(yè)均積極響應(yīng),及時(shí)進(jìn)行修復(fù)加固處理。但仍有部分接入層網(wǎng)絡(luò)設(shè)備被攻擊、控制,網(wǎng)絡(luò)單元穩(wěn)定運(yùn)行及用戶數(shù)據(jù)安全存在威脅,我國(guó)對(duì)國(guó)家級(jí)有組織攻擊風(fēng)險(xiǎn)的基礎(chǔ)網(wǎng)絡(luò)整體防御能力仍然很薄弱。
3.DNS系統(tǒng)依然是影響互聯(lián)網(wǎng)安全、穩(wěn)定運(yùn)行的薄弱環(huán)節(jié)
域名解析服務(wù)的安全問題直接影響到網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。但由于域名注冊(cè)服務(wù)機(jī)構(gòu)的域名管理存在漏洞,攻擊者可以輕易篡改域名解析記錄,從而導(dǎo)致用戶的正常訪問受到嚴(yán)重影響。此外,針對(duì)域名系統(tǒng)的拒絕服務(wù)攻擊日益嚴(yán)重。直接針對(duì)DNS系統(tǒng)發(fā)起的攻擊,不僅能導(dǎo)致目標(biāo)網(wǎng)站癱瘓,而且還會(huì)牽連到大量無(wú)辜網(wǎng)站,從而造成極其嚴(yán)重的后果。
4.承載互聯(lián)網(wǎng)業(yè)務(wù)的基礎(chǔ)信息網(wǎng)絡(luò)頻現(xiàn)安全問題
伴隨著基礎(chǔ)網(wǎng)絡(luò)設(shè)施的不斷完善,承載互聯(lián)網(wǎng)業(yè)務(wù)的基礎(chǔ)信息網(wǎng)絡(luò)業(yè)務(wù)類型日益增多,急需引入新的安全風(fēng)險(xiǎn)機(jī)制。例如2013年7月22日,騰訊的微信業(yè)務(wù)出現(xiàn)了故障,全國(guó)大約有6000多萬(wàn)用戶無(wú)法正常使用[2]。同年部分互聯(lián)網(wǎng)公司的網(wǎng)站域名在某些地區(qū)被劫持,甚至強(qiáng)行插入廣告,某些寬帶接入商的小區(qū)路由器對(duì)部分網(wǎng)站進(jìn)行劫持跳轉(zhuǎn)等事件。隨著互聯(lián)網(wǎng)業(yè)務(wù)的不斷創(chuàng)新所導(dǎo)致的安全問題不斷演化,如何及時(shí)、有效的解決和應(yīng)對(duì),這就需要互聯(lián)網(wǎng)服務(wù)提供商和基礎(chǔ)電信企業(yè)共同努力。
(二)公共互聯(lián)網(wǎng)治理形勢(shì)分析
2013年工信部組織開展了防范治理黑客地下產(chǎn)業(yè)鏈專項(xiàng)行動(dòng),及時(shí)處置木馬僵尸網(wǎng)絡(luò)等網(wǎng)絡(luò)攻擊威脅,取得一定成效。但網(wǎng)絡(luò)設(shè)備后門、個(gè)人信息泄露等事件依舊頻繁出現(xiàn),表明公網(wǎng)環(huán)境仍然存在較多安全問題。雖然專項(xiàng)行動(dòng)下我國(guó)境內(nèi)感染主機(jī)數(shù)量總體略有降低,但感染遠(yuǎn)程控制類木馬的主機(jī)數(shù)量有小幅上漲趨勢(shì),這對(duì)用戶主機(jī)極具危害性。
1.眾多網(wǎng)絡(luò)設(shè)備后門依然存在
據(jù)CNVD統(tǒng)計(jì),2013年共收集各類安全漏洞7854個(gè),其中高危漏洞2607個(gè),軟硬件漏洞505個(gè),都較2012年有所增長(zhǎng)。同時(shí),CNVD分析驗(yàn)證了Cisco、D-LINK、Netgear等廠商的路由器存在后門,黑客可由此直接控制路由器,進(jìn)一步發(fā)起竊取信息、DNS劫持、網(wǎng)絡(luò)釣魚等攻擊,直接威脅用戶網(wǎng)上交易和數(shù)據(jù)存儲(chǔ)安全。
2.個(gè)人信息泄露問題仍面臨挑戰(zhàn)
云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、社交網(wǎng)絡(luò)等互聯(lián)網(wǎng)新技術(shù)、新業(yè)務(wù)正改變個(gè)人信息收集和使用方式,個(gè)人信息的可控性逐步削弱,姓名、身份證號(hào)、消費(fèi)記錄等重要信息面臨泄露風(fēng)險(xiǎn)。例如,2013年的“查開房”事件[3]。
(三)移動(dòng)互聯(lián)網(wǎng)環(huán)境分析
移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量正呈現(xiàn)出大幅增長(zhǎng)態(tài)勢(shì),惡意程序的制作、、預(yù)裝、傳播等初步形成一條完整利益鏈條,移動(dòng)互聯(lián)網(wǎng)生態(tài)環(huán)境、亟須加強(qiáng)管理。
1.安卓平臺(tái)的惡意程序呈爆發(fā)式增長(zhǎng)
2013年,CNCERT自主監(jiān)測(cè)和交換捕獲的移動(dòng)互聯(lián)網(wǎng)惡意程序樣本中的99.5%是針對(duì)安卓平臺(tái)。其中71.5%是惡意扣費(fèi)程序,較2012年有大幅度增長(zhǎng)。
2.手機(jī)惡意程序傳播渠道多樣化
2013年,據(jù)CNCERT監(jiān)測(cè)發(fā)現(xiàn)移動(dòng)互聯(lián)網(wǎng)惡意程序傳播次數(shù)達(dá)到1296萬(wàn)余次,移動(dòng)互聯(lián)網(wǎng)惡意程序下載鏈接1207萬(wàn)個(gè),用于傳播移動(dòng)互聯(lián)網(wǎng)惡意程序的域名15247個(gè)、IP地址60976個(gè)。這些域名包括移動(dòng)應(yīng)用商店、論壇、網(wǎng)盤、博客等眾多類型。為此,CNCERT組織開展了8次移動(dòng)互聯(lián)網(wǎng)惡意程序治理行動(dòng)。同年,中國(guó)反網(wǎng)絡(luò)病毒聯(lián)盟(ANVA)建立了“移動(dòng)互聯(lián)網(wǎng)應(yīng)用自律白名單”機(jī)制,公布了首批“移動(dòng)互聯(lián)網(wǎng)應(yīng)用自律白名單”。
(四)經(jīng)濟(jì)信息安全威脅分析
2013年的互聯(lián)網(wǎng)與金融行業(yè)深度融合,以余額寶、現(xiàn)金寶、理財(cái)通等為代表的互聯(lián)網(wǎng)金融產(chǎn)品市場(chǎng)火爆,。但與此同時(shí),釣魚攻擊也呈現(xiàn)跨平臺(tái)發(fā)展趨勢(shì),在線交易系統(tǒng)防護(hù)稍有不慎即可引發(fā)連鎖效應(yīng),影響金融安全和信息消費(fèi)。
1.跨平臺(tái)釣魚攻擊呈增長(zhǎng)態(tài)勢(shì)
除了傳統(tǒng)互聯(lián)網(wǎng)的釣魚網(wǎng)站之外,黑客還結(jié)合移動(dòng)互聯(lián)網(wǎng),利用仿冒移動(dòng)應(yīng)用、移動(dòng)互聯(lián)網(wǎng)惡意程序、偽基站等多種手段,實(shí)施跨平臺(tái)的釣魚欺詐攻擊,危害用戶經(jīng)濟(jì)利益。例如,黑客利用安卓系統(tǒng)的“簽名驗(yàn)證繞過(guò)”高危漏洞,制作散播大量仿冒國(guó)內(nèi)主流銀行等金融機(jī)構(gòu)的移動(dòng)應(yīng)用,誘導(dǎo)用戶安裝,盜取用戶銀行賬戶信息。
2.在線交易系統(tǒng)安全問題的連鎖效應(yīng)
隨著互聯(lián)網(wǎng)金融市場(chǎng)的異常火爆,互聯(lián)網(wǎng)和移動(dòng)通信技術(shù)降低了使用門檻,在帶來(lái)便利的同時(shí)也引入新的安全風(fēng)險(xiǎn)。
例如,支付寶錢包客戶端iOS版的手勢(shì)密碼漏洞,導(dǎo)致系統(tǒng)安全問題出現(xiàn)后,風(fēng)險(xiǎn)也隨之傳導(dǎo)至關(guān)聯(lián)的銀行、證券、電商等其他行業(yè),產(chǎn)生連鎖反應(yīng)。
(五)政府網(wǎng)站面臨威脅分析
政府網(wǎng)站因其公信力高、影響力大,容易成為黑客攻擊目標(biāo)。相對(duì)部委網(wǎng)站而言,地方政府網(wǎng)站更易遭受攻擊。
1.地方政府網(wǎng)站成為黑客攻擊的“重災(zāi)區(qū)”
據(jù)CNCERT監(jiān)測(cè),2013年,政府網(wǎng)站被篡改數(shù)量為2430個(gè),較2012年增長(zhǎng)了34.9%,其中大多數(shù)地方政府網(wǎng)站,這是由于地方政府網(wǎng)站存在技術(shù)和管理水平瓶頸,而且一些部門對(duì)預(yù)警通報(bào)置若罔聞,導(dǎo)致安全威脅長(zhǎng)期存在很容易成為黑客實(shí)施進(jìn)一步攻擊的跳板。
2.境外黑客組織頻繁攻擊我國(guó)政府網(wǎng)站
2013年,境外“匿名者”、“阿爾及利亞黑客”等多個(gè)黑客組織曾對(duì)我國(guó)政府網(wǎng)站發(fā)起頻繁攻擊。其主要利用網(wǎng)站漏洞預(yù)先植入后門,對(duì)網(wǎng)站實(shí)施控制后遂發(fā)起攻擊。
(六)大量境外地址的頻繁攻擊威脅
國(guó)家級(jí)有組織網(wǎng)絡(luò)攻擊行為顯著增多,給國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)帶來(lái)嚴(yán)重威脅和挑戰(zhàn)。
1.國(guó)家背景的有組織攻擊
2013年6月以來(lái),斯諾登曝光“棱鏡計(jì)劃”[4]等多項(xiàng)美國(guó)家安全局網(wǎng)絡(luò)監(jiān)控項(xiàng)目,披露美國(guó)情報(bào)機(jī)構(gòu)對(duì)多個(gè)國(guó)家和民眾長(zhǎng)期實(shí)施監(jiān)聽和網(wǎng)絡(luò)滲透攻擊。國(guó)家安全和互聯(lián)網(wǎng)用戶隱私安全面臨嚴(yán)重威脅。
2.大量境外地址的攻擊威脅
境外主機(jī)通過(guò)植入后門對(duì)境內(nèi)網(wǎng)站實(shí)施遠(yuǎn)程控制,其中針對(duì)我國(guó)的釣魚站點(diǎn)有90.2%位于境外,通過(guò)木馬僵尸網(wǎng)絡(luò),41.1%主機(jī)被境外所控制。為此,CNCERT不斷加強(qiáng)與國(guó)際CERT組織間的網(wǎng)絡(luò)安全合作,完善跨境網(wǎng)絡(luò)安全事件處置協(xié)作機(jī)制。
三、我國(guó)互聯(lián)網(wǎng)安全對(duì)策
(一)加快網(wǎng)絡(luò)安全戰(zhàn)略和相關(guān)政策制定,統(tǒng)籌規(guī)劃網(wǎng)絡(luò)安全保障能力
隨著“棱鏡門”和國(guó)家級(jí)APT事件持續(xù)發(fā)酵,應(yīng)盡快制定符合我國(guó)國(guó)情的國(guó)家級(jí)網(wǎng)絡(luò)信息安全戰(zhàn)略,明確應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的戰(zhàn)略目標(biāo)、指導(dǎo)思想和方針,為維護(hù)國(guó)家網(wǎng)絡(luò)空間安全提供戰(zhàn)略指導(dǎo);同時(shí),應(yīng)制定相關(guān)配套法規(guī)政策,明確相關(guān)主體工作內(nèi)容和責(zé)任義務(wù)。
(二)加大網(wǎng)絡(luò)安全投入,提高網(wǎng)絡(luò)安全意識(shí)
建議相關(guān)行業(yè)、企業(yè)和政府部門,加大網(wǎng)絡(luò)設(shè)備和技術(shù)研發(fā)方面的投入,強(qiáng)化安全保障和管理,提高應(yīng)對(duì)網(wǎng)絡(luò)安全新風(fēng)險(xiǎn)能力,減少因技術(shù)不斷發(fā)展引起的網(wǎng)絡(luò)安全隱患。
(三)加強(qiáng)網(wǎng)絡(luò)安全技術(shù)手段建設(shè),提高網(wǎng)絡(luò)攻擊追溯能力
針對(duì)傳統(tǒng)攻擊以及互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)可能引發(fā)的新攻擊,建議強(qiáng)化網(wǎng)絡(luò)安全技術(shù)手段的研究和建設(shè),進(jìn)一步提高網(wǎng)絡(luò)攻擊的威脅監(jiān)測(cè)、全局感知、預(yù)警防護(hù)、應(yīng)急處置、協(xié)同聯(lián)動(dòng)等能力。
(四)提高核心設(shè)備國(guó)產(chǎn)化水平,加快完善信息安全審查制度
建議加強(qiáng)網(wǎng)絡(luò)關(guān)鍵設(shè)備、核心技術(shù)的研發(fā)和推廣,提高重點(diǎn)行業(yè)和重要信息系統(tǒng)聯(lián)網(wǎng)設(shè)備軟硬件的國(guó)產(chǎn)化水平,提升軟硬件產(chǎn)品和服務(wù)的自主可控能力。同時(shí),建議盡快完善信息安全審查制度框架,明確信息產(chǎn)品的審查范圍和審查內(nèi)容,進(jìn)一步增強(qiáng)國(guó)家信息和網(wǎng)絡(luò)安全保護(hù)水平。
(五)加強(qiáng)移動(dòng)互聯(lián)網(wǎng)惡意程序治理,維護(hù)良性移動(dòng)生態(tài)環(huán)境
建議政府主管部門加大移動(dòng)互聯(lián)網(wǎng)監(jiān)管力度,督促企業(yè)落實(shí)各項(xiàng)責(zé)任,加強(qiáng)對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用商店、增值電信企業(yè)經(jīng)營(yíng)者的網(wǎng)絡(luò)安全管理,建立健全標(biāo)準(zhǔn)規(guī)范以明確應(yīng)用程序制作者和應(yīng)用商店的責(zé)任。
(六)加強(qiáng)網(wǎng)民網(wǎng)絡(luò)安全意識(shí),提升全民網(wǎng)絡(luò)安全防護(hù)能力
建議政府、企業(yè)、安全廠商和社會(huì)組織等共同努力,提升網(wǎng)民的網(wǎng)絡(luò)安全防范意識(shí)和技能。防范個(gè)人主機(jī)或移動(dòng)終端的木馬僵尸網(wǎng)絡(luò)操控,防止財(cái)產(chǎn)損失和個(gè)人信息泄露。
參考文獻(xiàn)
[1]人民日?qǐng)?bào)(數(shù)字報(bào))[DB/OL].http://.cn
[2]新華網(wǎng)[DB/OL].http://
[3]百度百科[DB/OL].http://
[4]互動(dòng)百科[DB/OL].http://
網(wǎng)絡(luò)安全定級(jí)評(píng)估范文6
建設(shè)和接入管理規(guī)范等幾方面內(nèi)容進(jìn)行簡(jiǎn)要的概括和規(guī)劃,對(duì)各級(jí)單位的規(guī)范、有序、安全接入廣域網(wǎng),促進(jìn)行業(yè)信息化資源整合和信息共享的快速發(fā)展,具有一
定的指導(dǎo)作用和重要的現(xiàn)實(shí)意義。
關(guān)鍵詞:廣域網(wǎng);接入;SDH;VLSM;安全
中圖分類號(hào):TN915.6 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671—7597(2012)0120057-02
0 引言
廣域網(wǎng)建成初期,各接入單位基本都是單機(jī)接入廣域網(wǎng),訪問廣域網(wǎng)
內(nèi)共享資源的計(jì)算機(jī)數(shù)量有所限制,為使全系統(tǒng)的所有計(jì)算機(jī)都能便捷地
訪問廣域網(wǎng)內(nèi)共享資源,需把各接入單位的局域網(wǎng)都接入到廣域網(wǎng),但由
于歷史原因,各單位的網(wǎng)絡(luò)建設(shè)情況各不相同,安全和規(guī)范程度參差不
齊。因此,在接入前進(jìn)行設(shè)計(jì)并提出接入要求已成為廣域網(wǎng)接入工作的迫
切需要。
廣域網(wǎng)接入要求可以從接入技術(shù)規(guī)范和接入管理規(guī)范兩方面去定制。
接入技術(shù)規(guī)范主要對(duì)網(wǎng)絡(luò)接入過(guò)程中可能涉及到的網(wǎng)絡(luò)架構(gòu)、主要網(wǎng)絡(luò)設(shè)
備等作出規(guī)劃,提出規(guī)范性要求。接入管理規(guī)范主要從管理的角度出發(fā),
在規(guī)章制度、管理規(guī)范方面對(duì)網(wǎng)絡(luò)接入過(guò)程中可能涉及到的某些問題作出
原則性要求。
1 接入技術(shù)規(guī)范
1.1 接入架構(gòu)要求
良好的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)是使網(wǎng)絡(luò)具備可擴(kuò)展能力的關(guān)鍵。網(wǎng)絡(luò)架構(gòu)的建
立要考慮環(huán)境、設(shè)備配置、遠(yuǎn)程聯(lián)網(wǎng)方式、通信量的大小、網(wǎng)絡(luò)應(yīng)用與業(yè)
務(wù)定位等多種因素。合理的網(wǎng)絡(luò)架構(gòu)應(yīng)該有結(jié)構(gòu)化的設(shè)計(jì),并遵循分層模
型。分層模型的實(shí)現(xiàn)核心是將網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中的復(fù)雜問題分解為較小的、
易于管理的問題。分層體系中的每一層解決不同的問題,有助于實(shí)現(xiàn)模塊
化,容易添加、替換和取消網(wǎng)絡(luò)中的獨(dú)立部件,具有很高的可擴(kuò)展性
。
1.2 接入設(shè)備技術(shù)要求
構(gòu)建廣域網(wǎng)由于受各種條件的限制,必須借助公共傳輸網(wǎng)絡(luò),用戶只
需了解公共傳輸網(wǎng)絡(luò)提供的接口以及如何實(shí)現(xiàn)與公共傳輸網(wǎng)絡(luò)之間的連接
即可。
1.2.1 接入技術(shù)分析及選擇
ISP提供了多種同步和異步廣域網(wǎng)連接服務(wù),常用的有以下3類:
1)ATM
ATM是建立在電路交換和分組交換的基礎(chǔ)上的一種面向連接的快速分
組交換技術(shù),它采用定長(zhǎng)分組作為傳輸和交換的單位。本身具有良好
的流量控制均衡能力以及故障恢復(fù)能力,但對(duì)IP路由的支持一般,在復(fù)制
多路廣播方面缺乏高效率,管理復(fù)雜。
2)SDH
SDH對(duì)IP路由的支持能力強(qiáng),具有很高的IP傳輸效率;符合
Internet業(yè)務(wù)的特點(diǎn),有利于實(shí)施多路廣播方式;能利用SDH技術(shù)本身的
環(huán)路,故可利用自愈合能力達(dá)到鏈路糾錯(cuò),同時(shí)又利用OSPF協(xié)議防止設(shè)各
和鍵路故障造成的網(wǎng)絡(luò)停頓,提高網(wǎng)絡(luò)的穩(wěn)定性;省略了不必要的ATM
層,簡(jiǎn)化了網(wǎng)絡(luò)結(jié)構(gòu),降低了運(yùn)行費(fèi)用。但其僅對(duì)IP業(yè)務(wù)提供好的支持,
不適于多業(yè)務(wù)平臺(tái);不能像IP over ATM技術(shù)那樣提供較好的服務(wù)質(zhì)量保
障。
3)WDM
WDM是一個(gè)真正的鏈路層數(shù)據(jù)網(wǎng),它充分利用光纖的帶寬資源,極大
地提高了帶寬和相對(duì)的傳輸速率。但目前,對(duì)于波長(zhǎng)標(biāo)準(zhǔn)化還沒有實(shí)現(xiàn);
WDM系統(tǒng)的網(wǎng)絡(luò)管理應(yīng)與其傳輸?shù)男盘?hào)的網(wǎng)管分離。但在光域上加上開銷
和光信號(hào)的處理礎(chǔ)還不完善,從而導(dǎo)致WDM系統(tǒng)的網(wǎng)絡(luò)管理還不成熟。
綜合比較,廣域網(wǎng)可選國(guó)家公用通信網(wǎng)的SDH技術(shù)來(lái)組建廣域網(wǎng)絡(luò)的
骨干鏈路。SDH網(wǎng)絡(luò)的引入和使用,為信息高速公路提供了一個(gè)高智能
的、高效的、操作運(yùn)行廉價(jià)的實(shí)施方案。
1.2.2 接入設(shè)備要求
接入設(shè)備主要涉及路由器和交換機(jī),現(xiàn)分別予以介紹并做出要求:
1)路由器
路由器是一種多端口的網(wǎng)絡(luò)設(shè)備,它能夠連接多個(gè)不同的網(wǎng)段和網(wǎng)
絡(luò),并能將不同網(wǎng)段或網(wǎng)絡(luò)之間的數(shù)據(jù)信息進(jìn)行傳輸。路由器應(yīng)當(dāng)被
放置于最頻繁訪問廣域網(wǎng)的位置,盡量直接連接在核心交換機(jī)上。在組網(wǎng)
結(jié)構(gòu)比較簡(jiǎn)單的網(wǎng)絡(luò)中,通過(guò)認(rèn)真設(shè)置和使用靜態(tài)路由不僅可以改進(jìn)網(wǎng)絡(luò)
的性能,還能為重要應(yīng)用保證帶寬。路由器擔(dān)當(dāng)著保護(hù)內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)安
全的重要責(zé)任,在具體的實(shí)施過(guò)程中可以借助地址轉(zhuǎn)換和訪問列表來(lái)實(shí)
現(xiàn)。
2)交換機(jī)
作為網(wǎng)絡(luò)傳輸樞紐的交換機(jī),在網(wǎng)絡(luò)接入規(guī)范中的重要地位也是無(wú)可
取代的。無(wú)論是控制廣播風(fēng)暴的產(chǎn)生、拒絕用戶之間非授權(quán)訪問、限制用
戶的網(wǎng)絡(luò)服務(wù)與應(yīng)用、禁止未授權(quán)計(jì)算機(jī)接入網(wǎng)絡(luò),還是拒絕非法用戶訪
問網(wǎng)絡(luò),都離不開對(duì)交換機(jī)的深入配置。交換機(jī)應(yīng)具有以下五項(xiàng)功能:風(fēng)
暴控制、保護(hù)端口、端口安全、創(chuàng)建VLAN、IEEE 802.1X認(rèn)證協(xié)議。
1.2.3 接入地址規(guī)劃
合理的IP地址規(guī)劃與分配,在整個(gè)網(wǎng)絡(luò)的維護(hù)和擴(kuò)展過(guò)程中占據(jù)了舉
足輕重的地位,其結(jié)果將直接影響到后期的維護(hù)管理、擴(kuò)容升級(jí)及系統(tǒng)運(yùn)
作的效率。IP地址空間分配,要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng),既要有效地
利用地址空間,又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性,同時(shí)能滿足路由協(xié)
議的要求,以便于網(wǎng)絡(luò)中的路由匯聚,減少路由器中路由表的長(zhǎng)度,減少
對(duì)路由器CPU、內(nèi)存的消耗,加快路由變化的收斂速度,同時(shí)還要考慮到
網(wǎng)絡(luò)地址的可管理性。
1.2.4 接入安全要求
根據(jù)廣域網(wǎng)絡(luò)的整體運(yùn)行情況,本著因地制宜、實(shí)事求是的原則,對(duì)
廣域網(wǎng)網(wǎng)絡(luò)接入安全要求分別說(shuō)明:中心網(wǎng)絡(luò)接入安全要求和接入單位網(wǎng)
絡(luò)接入安全要求。
1)中心網(wǎng)絡(luò)接入安全要求
中心網(wǎng)絡(luò)接入的安全建設(shè)應(yīng)分為以下三個(gè)階段來(lái)逐步完善:網(wǎng)絡(luò)安全
體系的建立、網(wǎng)絡(luò)安全體系的提升和網(wǎng)絡(luò)安全體系的完善。
①網(wǎng)絡(luò)安全體系的建立
建立廣域網(wǎng)主節(jié)點(diǎn)的信息安全基礎(chǔ)體系,形成一個(gè)從無(wú)到有的基本防
護(hù)框架,確保各二級(jí)單位在接入廣域網(wǎng)后主節(jié)點(diǎn)業(yè)務(wù)系統(tǒng)的穩(wěn)定性和安全
性。這是中心安全建設(shè)第一階段的主要目標(biāo)。在這一階段中需要建立的安
全防護(hù)體系主要有:計(jì)算機(jī)防雷系統(tǒng)、防火墻系統(tǒng)、網(wǎng)絡(luò)訪問控制系統(tǒng)、
網(wǎng)絡(luò)防病毒系統(tǒng)和安全訪問域的劃分。
②網(wǎng)絡(luò)安全體系的提升
第二階段的主要任務(wù)是在建立健全中心網(wǎng)絡(luò)安全基本防護(hù)系統(tǒng)的基礎(chǔ)
上,利用多種監(jiān)控技術(shù)和防御手段,建成一個(gè)從內(nèi)到外、從被動(dòng)防御到主
動(dòng)預(yù)防的更高層次的安全架構(gòu)。這一階段中需要建立的安全監(jiān)控與防御體
系主要有:入侵防御系統(tǒng)和安全漏洞掃描系統(tǒng)。
③網(wǎng)絡(luò)安全體系的完善
第三階段的主要任務(wù)是從應(yīng)用層方面入手,在防護(hù)體系和監(jiān)控體系不
斷完善的基礎(chǔ)上,通過(guò)多種加密技術(shù)和用戶認(rèn)證手段,建立一個(gè)穩(wěn)定、高
效、健壯的立體安全防護(hù)架構(gòu)。這一階段中需要建立的安全體系主要有:
SSL VPN移動(dòng)辦公系統(tǒng)和補(bǔ)丁分發(fā)管理系統(tǒng)。
2)接入單位網(wǎng)絡(luò)接入安全要求
接入單位網(wǎng)絡(luò)接入安全規(guī)劃與中心的接入安全規(guī)劃在進(jìn)度上大體一
致,但具體到內(nèi)容方面有所區(qū)別。各接入單位的網(wǎng)絡(luò)安全建設(shè)內(nèi)容主要涉
及到以下四個(gè)方面:
①安全規(guī)劃,確定系統(tǒng)的安全框架與建設(shè)步驟,包括為系統(tǒng)定級(jí)
等;
②重點(diǎn)資源的保護(hù)及各項(xiàng)安全技術(shù)的應(yīng)用;
③安全管理平臺(tái)的建設(shè),及時(shí)準(zhǔn)確地把握整個(gè)系統(tǒng)的安全運(yùn)行狀
況;
④日常的運(yùn)行維護(hù),充分發(fā)揮好作為廣域網(wǎng)二級(jí)節(jié)點(diǎn)的堡壘作用。
2 接入管理規(guī)范
管理規(guī)范是所有技術(shù)措施發(fā)揮功效的能動(dòng)因素,是實(shí)現(xiàn)整個(gè)廣域網(wǎng)網(wǎng)
絡(luò)接入有序化的重要保證。廣域網(wǎng)接入管理規(guī)范可以從兩個(gè)方面進(jìn)行規(guī)
劃。一是從純粹的管理上及管理制度上來(lái)實(shí)現(xiàn),二是從技術(shù)上建立高效的
管理平臺(tái),包括網(wǎng)絡(luò)管理和安全管理。
2.1 管理制度
為了提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的健壯性,除了在網(wǎng)絡(luò)結(jié)構(gòu)上合理規(guī)劃,系統(tǒng)
設(shè)計(jì)上增加安全服務(wù)功能外,還必須花大力氣加強(qiáng)網(wǎng)絡(luò)系統(tǒng)管理制度的建
立。
2.1.1 管理制度內(nèi)容
管理制度是信息系統(tǒng)內(nèi)部依據(jù)系統(tǒng)必要的國(guó)家、團(tuán)體的安全需求制定
的一系列內(nèi)部規(guī)章制度,在廣域網(wǎng)接入規(guī)劃和建設(shè)的過(guò)程中,應(yīng)切實(shí)做好
以下管理制度的建設(shè)和完善:機(jī)房與設(shè)施管理規(guī)范制度、設(shè)備管理規(guī)范制
度、操作安全管理規(guī)范制度、計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)范制度、計(jì)算機(jī)病毒
防治管理規(guī)范制度、系統(tǒng)管理員崗位責(zé)任管理規(guī)范制度、安全管理員崗位
責(zé)任管理規(guī)范制度、網(wǎng)站管理員崗位責(zé)任管理規(guī)范制度、網(wǎng)絡(luò)信息安全審
計(jì)管理規(guī)范制度、應(yīng)用軟件安全管理規(guī)范制度、技術(shù)文檔管理規(guī)范制度、
數(shù)據(jù)安全管理規(guī)范制度、密碼安全管理規(guī)范制度、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)重大安
全事件預(yù)警及應(yīng)急恢復(fù)管理規(guī)范制度以及系統(tǒng)備份及災(zāi)難恢復(fù)管理規(guī)范制
度。
2.1.2 管理制度實(shí)現(xiàn)
各單位信息系統(tǒng)的管理部門應(yīng)根據(jù)管理制度建立原則和該系統(tǒng)處理數(shù)
據(jù)的實(shí)際需求,制定相應(yīng)的管理制度。具體工作包括:
1)根據(jù)工作的重要程度,確定該系統(tǒng)的安全等級(jí);
2)根據(jù)確定的安全等級(jí),確定管理實(shí)施的范圍;
3)對(duì)于安全等級(jí)要求較高的系統(tǒng),要實(shí)行分區(qū)控制;
4)制定嚴(yán)格的操作規(guī)程;
5)制定完備的系統(tǒng)維護(hù)制度;
6)制定應(yīng)急措施。
2.2 管理平臺(tái)
建立管理平臺(tái)的主要內(nèi)容包括:定義完善的網(wǎng)絡(luò)管理模型;貫徹規(guī)范
的網(wǎng)絡(luò)管理措施;建立恰當(dāng)?shù)陌踩珜徲?jì)機(jī)制,并且進(jìn)行經(jīng)常性的規(guī)則審
核。
2.2.1 網(wǎng)絡(luò)管理
網(wǎng)絡(luò)管理是指對(duì)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)和控制,并能提供有效、可
靠、安全、經(jīng)濟(jì)的服務(wù)。一個(gè)好的網(wǎng)管系統(tǒng)能夠確定故障發(fā)生在哪
里,能夠?qū)W(wǎng)絡(luò)管理員提出進(jìn)一步優(yōu)化網(wǎng)絡(luò)的建議。網(wǎng)絡(luò)管理系統(tǒng)還可以
在數(shù)據(jù)庫(kù)中查詢電纜和網(wǎng)絡(luò)設(shè)備有關(guān)的資料從而確定故障的性質(zhì)。
2.2.2 安全審計(jì)
安全審計(jì)主要是對(duì)網(wǎng)絡(luò)系統(tǒng)中的安全設(shè)備和網(wǎng)絡(luò)設(shè)備,應(yīng)用系統(tǒng)和運(yùn)
行狀況進(jìn)行全面的監(jiān)測(cè)、分析、評(píng)估。廣域網(wǎng)絡(luò)中各種安全設(shè)備(防
火墻、過(guò)濾網(wǎng)關(guān)等)、操作系統(tǒng)(包括Windows和Linux)、應(yīng)用服務(wù)(E—
mail、WEB、FTP、DNS)等都可產(chǎn)生大量的日志數(shù)據(jù)。這些日志數(shù)據(jù)翔實(shí)
地記錄了系統(tǒng)和網(wǎng)絡(luò)的運(yùn)行事件,是安全審計(jì)的重要數(shù)據(jù)。這些日志信息
對(duì)于記錄、檢測(cè)、分析、識(shí)別各種安全事件和威脅有著非常重要的作用。
通過(guò)在各接入單位辦公局域網(wǎng)內(nèi)的關(guān)鍵節(jié)點(diǎn)處部署安全審計(jì)產(chǎn)品,可
以監(jiān)視并記錄網(wǎng)絡(luò)中的各類操作,實(shí)時(shí)地分析出網(wǎng)絡(luò)中發(fā)生的安全相關(guān)事
件。
3 結(jié)束語(yǔ)
隨著信息化的進(jìn)一步發(fā)展,將會(huì)有越來(lái)越多的單位建成其自身局域
網(wǎng),也會(huì)有把其局域網(wǎng)接入廣域網(wǎng)的需求,本論文可以指導(dǎo)各接入單位把
其局域網(wǎng)安全有序的接入廣域網(wǎng),屆時(shí)將會(huì)真正建成一個(gè)覆蓋全系統(tǒng)的廣
域網(wǎng)絡(luò),各級(jí)部門之間能夠方便、快捷的共享各種信息資源,進(jìn)而推動(dòng)本
系統(tǒng)信息化進(jìn)入一個(gè)新的時(shí)期。
參考文獻(xiàn):
[1]易建勛著,計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì),北京:人民郵電出版社,2007.
[2]王冀魯著,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù),北京:清華大學(xué)出版社,北京交通
大學(xué)出版社,2006.
[3]郝志恒著,組網(wǎng)用網(wǎng)基礎(chǔ)與提高,北京:電子工業(yè)出版社,2007.
[4]楊英鵬著,計(jì)算機(jī)網(wǎng)絡(luò)原理與實(shí)踐,北京:電子工業(yè)出版社,2007.
[5]Patrick Regan著,廣域網(wǎng),北京:清華大學(xué)出版社,2006.
[6]云紅艷、杜祥軍、趙志剛著,計(jì)算機(jī)網(wǎng)絡(luò)管理,北京:人民郵電出版
社,2008.
[7]楊遠(yuǎn)紅、劉飛著,通信網(wǎng)絡(luò)安全技術(shù),北京:機(jī)械工業(yè)出版社,2006.
作者簡(jiǎn)介:
