前言:中文期刊網(wǎng)精心挑選了網(wǎng)絡(luò)安全防護(hù)體系建設(shè)范文供你參考和學(xué)習(xí),希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感,歡迎閱讀。
網(wǎng)絡(luò)安全防護(hù)體系建設(shè)范文1
現(xiàn)在企業(yè)很多商業(yè)業(yè)務(wù)、商業(yè)活動(dòng)和財(cái)務(wù)管理系統(tǒng)協(xié)同工作等,都需要借助計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行。如果沒(méi)有網(wǎng)絡(luò)安全性的保障,就會(huì)發(fā)生系統(tǒng)延遲、拒絕服務(wù)、程序錯(cuò)誤、數(shù)據(jù)篡改等現(xiàn)象,甚至很多情況下會(huì)發(fā)生木馬病毒的侵蝕。過(guò)去企業(yè)數(shù)據(jù)是以文本文件的形式存在,雖然處理和操作不具有便捷性,但是能夠起到保密性和可靠性的作用。計(jì)算機(jī)網(wǎng)絡(luò)時(shí)代財(cái)務(wù)數(shù)據(jù)流能夠?qū)崿F(xiàn)財(cái)務(wù)數(shù)據(jù)的快速傳遞,但是在數(shù)據(jù)傳輸?shù)倪^(guò)程中安全性難以得到有效的保障。所以在企業(yè)數(shù)據(jù)信息管理的過(guò)程中需要有保密性和可靠性的保障,維護(hù)企業(yè)的商業(yè)機(jī)密。其次,網(wǎng)絡(luò)交易渠道容易發(fā)生數(shù)據(jù)信息丟失或損壞,交易雙方的信息結(jié)果發(fā)生差異的現(xiàn)象時(shí)有發(fā)生,嚴(yán)重影響了企業(yè)數(shù)據(jù)的精準(zhǔn)性。所以企業(yè)急需完整性的交易信息憑證,避免交易信息的篡改或者刪除,保證交易雙方數(shù)據(jù)的一致性[1]。
2企業(yè)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)
2.1物理安全風(fēng)險(xiǎn)
近年來(lái),很多現(xiàn)代化企業(yè)加大信息建設(shè),一些下屬公司的網(wǎng)絡(luò)接入企業(yè)總網(wǎng)絡(luò),企業(yè)網(wǎng)路物理層邊界限制模糊,而電子商務(wù)的業(yè)務(wù)發(fā)展需求要求企業(yè)網(wǎng)絡(luò)具有共享性,能夠在一定權(quán)限下實(shí)現(xiàn)網(wǎng)絡(luò)交易,這也使得企業(yè)內(nèi)部網(wǎng)絡(luò)邊界成為一個(gè)邏輯邊界,防火墻在網(wǎng)絡(luò)邊界上的設(shè)置受到很多限制,影響了防火墻的安全防護(hù)作用。
2.2入侵審計(jì)和防御體系不完善
隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)攻擊、計(jì)算機(jī)病毒不斷變化,其破壞力強(qiáng)、速度快、形式多樣、難以防范,嚴(yán)重威脅企業(yè)網(wǎng)絡(luò)安全。當(dāng)前,很多企業(yè)缺乏完善的入侵審計(jì)和防御體系,企業(yè)網(wǎng)絡(luò)的主動(dòng)防御和智能分析能力明顯不足,檢查監(jiān)控效率低,缺乏一致性的安全防護(hù)規(guī)范,安全策略落實(shí)不到位。
2.3管理安全的風(fēng)險(xiǎn)
企業(yè)網(wǎng)絡(luò)與信息的安全需要有效的安全管理措施作為制度體系保障,但是企業(yè)經(jīng)常由于管理的疏忽,造成嚴(yán)重的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。具體管理安全的風(fēng)險(xiǎn)主要表現(xiàn)在以下幾個(gè)方面:企業(yè)沒(méi)有健全和完善的網(wǎng)絡(luò)安全管理制度,難以落實(shí)安全追責(zé);技術(shù)人員的操作技術(shù)能力缺陷,導(dǎo)致操作混亂;缺乏網(wǎng)絡(luò)信息安全管理的意識(shí),沒(méi)有健全的網(wǎng)絡(luò)信息安全培訓(xùn)體系等。
3構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系
3.1加強(qiáng)規(guī)劃、預(yù)防和動(dòng)態(tài)管理
首先,企業(yè)需要建立完善的網(wǎng)絡(luò)信息安全防護(hù)體系,保證各項(xiàng)安全措施都能夠滿(mǎn)足國(guó)家信息安全的標(biāo)準(zhǔn)和要求。對(duì)自身潛在的信息安全風(fēng)險(xiǎn)進(jìn)行統(tǒng)籌規(guī)劃,針對(duì)性的展開(kāi)安全防護(hù)系統(tǒng)的設(shè)計(jì)。其次,企業(yè)應(yīng)該加強(qiáng)對(duì)安全防護(hù)系統(tǒng)建設(shè)的資金投入,建立適合自己網(wǎng)絡(luò)信息應(yīng)用需求的防護(hù)體系,并且定期進(jìn)行安全系統(tǒng)的維護(hù)和升級(jí)。最后,加強(qiáng)預(yù)防與動(dòng)態(tài)化的管理,要制定安全風(fēng)險(xiǎn)處理的應(yīng)急預(yù)案,有效降低網(wǎng)絡(luò)信息安全事故的發(fā)生。并且根據(jù)網(wǎng)絡(luò)信息動(dòng)態(tài)的變化,采取動(dòng)態(tài)化的管理措施,將網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)控制在可接受的范圍。
3.2合理劃分安全域
現(xiàn)代化企業(yè)網(wǎng)絡(luò)可以按照系統(tǒng)行為、安全防護(hù)等級(jí)和業(yè)務(wù)系統(tǒng)這三種方式來(lái)劃分安全域。由于企業(yè)網(wǎng)絡(luò)在不同區(qū)域和不同層次關(guān)注的內(nèi)容不同,因此在劃分企業(yè)網(wǎng)絡(luò)安全域時(shí),應(yīng)結(jié)合業(yè)務(wù)屬性和網(wǎng)絡(luò)管理,不僅要確保企業(yè)正常的生產(chǎn)運(yùn)營(yíng),還應(yīng)考慮網(wǎng)絡(luò)安全域劃分是否合理。針對(duì)這個(gè)問(wèn)題,企業(yè)網(wǎng)絡(luò)安全域劃分不能僅應(yīng)用一種劃分方式,應(yīng)綜合應(yīng)用多種方式,充分發(fā)揮不同方式的優(yōu)勢(shì),結(jié)合企業(yè)網(wǎng)絡(luò)管理要求和網(wǎng)絡(luò)業(yè)務(wù)需求,有針對(duì)性地進(jìn)行企業(yè)網(wǎng)絡(luò)安全域劃分。
首先,根據(jù)業(yè)務(wù)需求,可以將企業(yè)網(wǎng)絡(luò)分為兩部分:外網(wǎng)和內(nèi)網(wǎng)。由于互聯(lián)網(wǎng)出口全部位于外網(wǎng),企業(yè)網(wǎng)絡(luò)可以在外網(wǎng)用戶(hù)端和內(nèi)網(wǎng)之間設(shè)置隔離,使外網(wǎng)服務(wù)和內(nèi)網(wǎng)服務(wù)分離,隔離各種安全威脅,確保企業(yè)內(nèi)網(wǎng)業(yè)務(wù)的安全性。其次,按照企業(yè)業(yè)務(wù)系統(tǒng)方式,分別劃分外網(wǎng)和內(nèi)網(wǎng)安全域,企業(yè)外網(wǎng)可以分為員工公寓網(wǎng)絡(luò)、項(xiàng)目網(wǎng)絡(luò)、對(duì)外服務(wù)網(wǎng)絡(luò)等子網(wǎng),內(nèi)網(wǎng)可以分為辦公網(wǎng)、生產(chǎn)網(wǎng),其中再細(xì)分出材料采購(gòu)網(wǎng)、保管網(wǎng)、辦公管理網(wǎng)等子網(wǎng),通過(guò)合理劃分安全域,確定明確的網(wǎng)絡(luò)邊界,明確安全防護(hù)范圍和對(duì)象目標(biāo)。最后,按照網(wǎng)絡(luò)安全防護(hù)等級(jí)和系統(tǒng)行為,細(xì)分各個(gè)子網(wǎng)的安全域,劃分出基礎(chǔ)保障域、服務(wù)集中域和邊界接入域。基礎(chǔ)保障域主要用來(lái)防護(hù)網(wǎng)絡(luò)系統(tǒng)管理控制中心、軟件和各種安全設(shè)備,服務(wù)集中域主要用于防護(hù)企業(yè)網(wǎng)絡(luò)的信息系統(tǒng),包括信息系統(tǒng)內(nèi)部和系統(tǒng)之間的數(shù)據(jù)防護(hù),并且按照不同的等級(jí)保護(hù)要求,可以采用分級(jí)防護(hù)措施,邊界接入域主要設(shè)置在企業(yè)網(wǎng)絡(luò)信息系統(tǒng)和其他系統(tǒng)之間的邊界上。
3.3信息安全技術(shù)的應(yīng)用
(1)防火墻技術(shù)
防火墻主要的作用是對(duì)不安全的服務(wù)進(jìn)行過(guò)濾和攔截,對(duì)企業(yè)網(wǎng)絡(luò)的信息加強(qiáng)訪(fǎng)問(wèn)限制,提高網(wǎng)絡(luò)安全防護(hù)。例如,企業(yè)的信息數(shù)據(jù)庫(kù)只能在企業(yè)內(nèi)部局域網(wǎng)網(wǎng)絡(luò)的覆蓋下才能瀏覽操作,域外訪(fǎng)問(wèn)操作會(huì)被禁止。并且防火墻可以有效記錄使用過(guò)的統(tǒng)計(jì)數(shù)據(jù),對(duì)可能存在的攻擊、侵入行為精心預(yù)測(cè)預(yù)警,最大限度地保障了企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全。隨著業(yè)務(wù)模式的不斷發(fā)展,簡(jiǎn)單的業(yè)務(wù)(端口)封堵已經(jīng)不能適應(yīng)動(dòng)態(tài)的業(yè)務(wù)需要,需要采用基于內(nèi)容的深度檢測(cè)技術(shù)對(duì)區(qū)域間的業(yè)務(wù)流進(jìn)行過(guò)濾。并借助于大數(shù)據(jù)分析能力對(duì)異常業(yè)務(wù)流進(jìn)行智能分析判斷。
(2)終端準(zhǔn)入防御技術(shù)
終端準(zhǔn)入防御技術(shù)主要是以用戶(hù)終端作為切入點(diǎn),對(duì)網(wǎng)絡(luò)的接入進(jìn)行控制,利用安全服務(wù)器、安全網(wǎng)絡(luò)設(shè)備等聯(lián)動(dòng),對(duì)接入網(wǎng)絡(luò)的用戶(hù)終端強(qiáng)制實(shí)施企業(yè)安全策略,實(shí)時(shí)掌控用戶(hù)端的網(wǎng)絡(luò)信息操作行為,提高用戶(hù)端的風(fēng)險(xiǎn)主動(dòng)防御能力。
4結(jié)束語(yǔ)
綜上所述,計(jì)算機(jī)網(wǎng)絡(luò)有效提高了企業(yè)業(yè)務(wù)工作的效率,實(shí)現(xiàn)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中的數(shù)據(jù)分類(lèi)、整理、資源的共享。但是,系統(tǒng)數(shù)據(jù)的保密、安全方面還存在技術(shù)上的一些欠缺,經(jīng)常會(huì)發(fā)生數(shù)據(jù)被非法侵入和截取的現(xiàn)象,造成了嚴(yán)重的數(shù)據(jù)安全風(fēng)險(xiǎn)。企業(yè)應(yīng)該科學(xué)分析網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)類(lèi)型,加強(qiáng)規(guī)劃、預(yù)防利用防火墻技術(shù)、終端準(zhǔn)入防御技術(shù)等,提高企業(yè)網(wǎng)絡(luò)與信息安全防護(hù)效率。
參考文獻(xiàn)
[1]戴華秀.移動(dòng)互聯(lián)網(wǎng)時(shí)代信息安全應(yīng)對(duì)策略分析[J].科技與創(chuàng)新,2016,(1):36.
網(wǎng)絡(luò)安全防護(hù)體系建設(shè)范文2
關(guān)鍵詞 計(jì)算機(jī)網(wǎng)絡(luò);安全防護(hù);關(guān)鍵技術(shù)
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2013)15-0065-01
計(jì)算機(jī)網(wǎng)絡(luò)是現(xiàn)代數(shù)字信息傳輸與存儲(chǔ)的主要通道之一,隨著其在日常應(yīng)用中的深入,基于網(wǎng)絡(luò)的信息安全問(wèn)題越來(lái)越多,針對(duì)網(wǎng)絡(luò)信息的信息竊取與泄露事件時(shí)有發(fā)生,因此建立完善可用的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系顯得日趨重要。為提供高效可靠的安全防護(hù)性能,諸多安全防護(hù)技術(shù)被應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò),如數(shù)據(jù)加密與簽名認(rèn)證、主動(dòng)防御技術(shù)、網(wǎng)絡(luò)訪(fǎng)問(wèn)控制技術(shù)、防火墻技術(shù)等。這些技術(shù)在某些方面具有良好的應(yīng)用效果,但是存在一定的應(yīng)用局限性。為提升計(jì)算機(jī)網(wǎng)絡(luò)的適應(yīng)性、動(dòng)態(tài)性和靈活性,必須應(yīng)用多種相互匹配的安全防護(hù)技術(shù)構(gòu)成安全防護(hù)體系,為計(jì)算機(jī)網(wǎng)絡(luò)提供足夠的安全防護(hù)措施。
1 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系
傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)更多集中在網(wǎng)絡(luò)運(yùn)行過(guò)程的安全防護(hù)技術(shù)應(yīng)用,但是隨著網(wǎng)絡(luò)攻擊手段的演變與增加,傳統(tǒng)的防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、用戶(hù)身份認(rèn)證技術(shù)等安全防護(hù)手段已經(jīng)無(wú)法滿(mǎn)足應(yīng)用需求,針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)開(kāi)始從被動(dòng)防御向主動(dòng)防御轉(zhuǎn)變,由單獨(dú)安全防護(hù)技術(shù)應(yīng)用向網(wǎng)絡(luò)安全防護(hù)體系建設(shè)發(fā)展。綜合來(lái)看,計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系主要由三部分內(nèi)容構(gòu)成:網(wǎng)絡(luò)安全評(píng)估部分、安全防護(hù)相關(guān)技術(shù)部分以及網(wǎng)絡(luò)安全服務(wù)部分。每一部分中又包含若干具體的網(wǎng)絡(luò)安全防護(hù)措施,他們共同作用向計(jì)算機(jī)網(wǎng)絡(luò)提供安全防護(hù)服務(wù)。計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)體系結(jié)構(gòu)圖如圖1所示。
2 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系中的關(guān)鍵技術(shù)
2.1 系統(tǒng)漏洞掃描
任何計(jì)算機(jī)網(wǎng)絡(luò)中都不可避免的存在漏洞或缺陷,這些漏洞或缺陷一旦被惡意利用即有可能對(duì)計(jì)算機(jī)網(wǎng)絡(luò)以及網(wǎng)絡(luò)中的用戶(hù)造成安全威脅。為解決和預(yù)防因漏洞所帶來(lái)的安全問(wèn)題,要定期對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行漏洞掃描和漏洞修復(fù)。
2.2 網(wǎng)絡(luò)訪(fǎng)問(wèn)與應(yīng)用管理技術(shù)
為增強(qiáng)網(wǎng)絡(luò)應(yīng)用的規(guī)范性,同時(shí)提升網(wǎng)絡(luò)安全問(wèn)題發(fā)生后的追溯與分析能力,可以使用身份認(rèn)證技術(shù)對(duì)網(wǎng)絡(luò)用戶(hù)進(jìn)行身份認(rèn)證,并為用戶(hù)分配對(duì)應(yīng)的網(wǎng)絡(luò)操作權(quán)限。這一方面可以提升非法用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)的難度,另一方面還可以對(duì)網(wǎng)絡(luò)用戶(hù)的異常操作行為進(jìn)行記錄與追蹤。
2.3 防火墻技術(shù)
防火墻技術(shù)是一種內(nèi)網(wǎng)與外網(wǎng)通信過(guò)程中的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制技術(shù)。該技術(shù)可以按照用戶(hù)設(shè)定的安全防護(hù)策略對(duì)不同網(wǎng)絡(luò)之間的信息傳輸與網(wǎng)絡(luò)訪(fǎng)問(wèn)等行為進(jìn)行監(jiān)控與數(shù)據(jù)檢查,以確認(rèn)網(wǎng)絡(luò)運(yùn)行是否正常,數(shù)據(jù)通信是否被允許。目前常用的防火墻技術(shù)有包過(guò)濾防火墻、地址轉(zhuǎn)換防火墻以及防火墻等三種。
其中,包過(guò)濾防火墻技術(shù)會(huì)對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包進(jìn)行地址審查,確認(rèn)數(shù)據(jù)傳輸域發(fā)送地址是否可信任,若地址不可信則濾除該信息的接收與發(fā)送操作;地址轉(zhuǎn)換防火墻技術(shù)可以將內(nèi)網(wǎng)的IP地址轉(zhuǎn)換為外網(wǎng)的IP地址,從而隱藏通信終端的真實(shí)地址,避免外網(wǎng)與內(nèi)網(wǎng)終端之間建立直接通信連接;防火墻技術(shù)使用服務(wù)器技術(shù)將通信雙方的通信數(shù)據(jù)進(jìn)行接收與轉(zhuǎn)發(fā),使得客戶(hù)端與網(wǎng)絡(luò)服務(wù)器之間的數(shù)據(jù)通信需要經(jīng)過(guò)兩次通路才能夠?qū)崿F(xiàn),這樣便提升了內(nèi)網(wǎng)的安全性。
2.4 入侵檢測(cè)技術(shù)
入侵檢測(cè)技術(shù)是一種主動(dòng)防御技術(shù),該技術(shù)可以應(yīng)用多種相關(guān)技術(shù)制定與網(wǎng)絡(luò)環(huán)境相匹配的安全規(guī)則,并利用該規(guī)則對(duì)從網(wǎng)絡(luò)中獲取的數(shù)據(jù)信息進(jìn)行分析,進(jìn)而對(duì)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行監(jiān)控,判斷網(wǎng)絡(luò)中是否存在安全威脅。入侵檢測(cè)技術(shù)根據(jù)檢測(cè)數(shù)據(jù)的類(lèi)型可以分為異常檢測(cè)與濫用監(jiān)測(cè)兩種。前者以用戶(hù)的統(tǒng)計(jì)行為習(xí)慣作為特征參量來(lái)辨認(rèn)網(wǎng)絡(luò)中是否存在入侵行為,該技術(shù)是一種自適應(yīng)技術(shù),可用于對(duì)未知攻擊行為進(jìn)行檢測(cè)與防御;后者則是以網(wǎng)絡(luò)信息檢測(cè)規(guī)則來(lái)判斷是否存在入侵行為,由于該技術(shù)是基于規(guī)則而實(shí)現(xiàn)的,因而其主要用于對(duì)已知的攻擊類(lèi)型與攻擊行為進(jìn)行檢測(cè)與防御。
2.5 數(shù)據(jù)加密與數(shù)字簽名技術(shù)
數(shù)據(jù)加密技術(shù)主要用于防止數(shù)據(jù)在計(jì)算機(jī)網(wǎng)絡(luò)傳輸過(guò)程中產(chǎn)生的信息泄露或竊取,其根據(jù)加密數(shù)據(jù)應(yīng)用類(lèi)型不同可以分為傳輸加密、存儲(chǔ)加密以及完整性驗(yàn)證等三種。
在傳輸加密中,端加密技術(shù)可以將需要傳輸?shù)拿魑臄?shù)據(jù)信息轉(zhuǎn)變?yōu)槊芪男畔ⅲ撔畔⒅挥惺褂门c之相匹配的解密算法和解密密鑰才能夠恢復(fù)成為正確的明文信息,線(xiàn)路加密技術(shù)可以對(duì)信息傳輸?shù)穆窂竭M(jìn)行加密,使數(shù)據(jù)的傳輸路徑得到安全保護(hù)。
在存儲(chǔ)加密中,數(shù)據(jù)加密算法可以將需要存儲(chǔ)的信息轉(zhuǎn)換為密文信息,該密文信息在需要存取時(shí)需要進(jìn)行用戶(hù)身份驗(yàn)證與權(quán)限審查,只有合法用戶(hù)在其權(quán)限范圍內(nèi)才能夠?qū)?shù)據(jù)進(jìn)行相應(yīng)的操作。
在數(shù)據(jù)完整性驗(yàn)證中,數(shù)據(jù)中包含了發(fā)件人、收件人以及數(shù)據(jù)相關(guān)內(nèi)容的驗(yàn)證與鑒別信息,在驗(yàn)證數(shù)據(jù)完整性時(shí)需要數(shù)據(jù)使用對(duì)象按照相應(yīng)的驗(yàn)證參數(shù)進(jìn)行特征驗(yàn)證,確認(rèn)信息是否完整或受到篡改。數(shù)字簽名技術(shù)在數(shù)據(jù)完整性驗(yàn)證中具有非常重要的應(yīng)用意義。
2.6 其他網(wǎng)絡(luò)安全服務(wù)
為構(gòu)成一個(gè)完整有效的網(wǎng)絡(luò)安全服務(wù)體系,除了上述安全防護(hù)技術(shù)外,還應(yīng)該在網(wǎng)絡(luò)中提供應(yīng)急保障服務(wù),以確保出現(xiàn)安全問(wèn)題時(shí)能夠盡量減小問(wèn)題所造成的影響,最短時(shí)間內(nèi)將網(wǎng)絡(luò)恢復(fù)到正常運(yùn)行狀態(tài)。這就要求一方面要建立和完善應(yīng)急服務(wù)體系,如雙系統(tǒng)待機(jī)等,保證一條網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)可以及時(shí)切換到備用網(wǎng)絡(luò);另一方面要建立和完善數(shù)據(jù)恢復(fù)體系,如服務(wù)器雙熱備份等,保證網(wǎng)絡(luò)服務(wù)器出現(xiàn)數(shù)據(jù)損毀或缺失時(shí)能夠存在備用數(shù)據(jù)庫(kù)將其恢復(fù)。此外,科學(xué)規(guī)范的網(wǎng)絡(luò)安全使用培訓(xùn)也是非常有必要的,其可以降低人為因素所帶來(lái)的網(wǎng)絡(luò)安全威脅。
參考文獻(xiàn)
[1]彭珺,高珺.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].計(jì)算機(jī)與數(shù)字工程,2011,39(1).
網(wǎng)絡(luò)安全防護(hù)體系建設(shè)范文3
【關(guān)鍵詞】企業(yè)數(shù)據(jù)網(wǎng);信息安全;防護(hù)
計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展日理萬(wàn)機(jī),“地球村”的實(shí)現(xiàn)早已不是夢(mèng)想,人類(lèi)的生活越來(lái)越離不開(kāi)網(wǎng)絡(luò),受自身開(kāi)放性和共享性等特征的影響,網(wǎng)絡(luò)極易受黑客、病毒、惡意軟件等侵害,因此網(wǎng)絡(luò)數(shù)據(jù)信息的安全防護(hù)十分關(guān)鍵。企業(yè)的數(shù)據(jù)網(wǎng)包含企業(yè)內(nèi)部的全部數(shù)據(jù)信息,對(duì)企業(yè)的正常運(yùn)轉(zhuǎn)起著決定性作用,因此企業(yè)的數(shù)據(jù)網(wǎng)安全防護(hù)體系的建立是企業(yè)健康發(fā)展的核心。
一、企業(yè)監(jiān)測(cè)攻擊行為的系統(tǒng)現(xiàn)狀
就目前而言,網(wǎng)絡(luò)攻擊行為的技術(shù)特征主要為拒絕服務(wù)、惡意軟件的安裝、利用計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性偽裝欺騙、內(nèi)部攻擊、高低級(jí)CGI攻擊等,企業(yè)對(duì)于這些攻擊行為的檢測(cè)存在一些不足。第一,企業(yè)缺乏解決大型集體攻擊情況方案,攻擊者的技術(shù)不斷提高,企業(yè)的安全防護(hù)技術(shù)沒(méi)有及時(shí)跟上腳步;第二,目前的網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)有待完善,通常攻擊者會(huì)利用更改信息或重新編碼等欺騙手段來(lái)獲取攻擊檢測(cè)系統(tǒng)的通行;第三,網(wǎng)絡(luò)設(shè)備趨于復(fù)雜多樣化,相應(yīng)的檢測(cè)攻擊行為的系統(tǒng)就必須及時(shí)更新技術(shù)手段以適應(yīng)外部日新月異的環(huán)境;第四,攻擊行為檢測(cè)系統(tǒng)的自行反應(yīng)活動(dòng)會(huì)給自身帶來(lái)一定困擾,影響自身的工作效應(yīng),因?yàn)樗话闩c防火墻的工作互相配合,一旦其發(fā)現(xiàn)有入侵行為時(shí)就會(huì)將所有網(wǎng)絡(luò)攻擊者的IP數(shù)據(jù)包過(guò)濾掉,若同一個(gè)攻擊者冒充大批不一樣的IP來(lái)虛擬進(jìn)攻,那么檢測(cè)系統(tǒng)就將實(shí)質(zhì)上并沒(méi)有產(chǎn)生進(jìn)攻的IP過(guò)濾掉,導(dǎo)致新的拒絕服務(wù)訪(fǎng)問(wèn)產(chǎn)生;第五,IDS自身存在一些安全漏洞,如果對(duì)IDS進(jìn)行入侵并且取得成功,那么就會(huì)致使報(bào)警無(wú)效,攻擊者的后臺(tái)行為就沒(méi)有記錄下來(lái),所以系統(tǒng)應(yīng)當(dāng)結(jié)合多種安全產(chǎn)品以形成聯(lián)合防護(hù)機(jī)制。
二、網(wǎng)絡(luò)安全防護(hù)體系實(shí)現(xiàn)策略
企業(yè)建立了基礎(chǔ)的防護(hù)體系,其中包囊防火墻、攻擊行為檢測(cè)系統(tǒng)、病毒防范、集中認(rèn)證、終端管理、漏洞掃描、安全數(shù)據(jù)庫(kù)等,而隨著企業(yè)網(wǎng)絡(luò)完全防護(hù)體系建設(shè)的不斷深入開(kāi)展,對(duì)于安全建設(shè)的要求僅靠安全基礎(chǔ)層的防護(hù)無(wú)法達(dá)到,如何使現(xiàn)有的安全設(shè)備的功效發(fā)揮出來(lái)、使安全的管理與安全防護(hù)技術(shù)完美結(jié)合以及如何快速有效地發(fā)現(xiàn)并解決漏洞和攻擊行為等安全隱患是我們急需解決的問(wèn)題。就企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)系統(tǒng)的現(xiàn)狀,得出企業(yè)需要從網(wǎng)絡(luò)安全防護(hù)和數(shù)據(jù)安全防護(hù)兩方面來(lái)建設(shè)網(wǎng)絡(luò)安全防護(hù)體系。
網(wǎng)絡(luò)安全防護(hù)策略為建立全面的網(wǎng)絡(luò)拓?fù)洌唤⑦吘壏阑饓Α⒕W(wǎng)絡(luò)防火墻、主機(jī)防火墻等多重防火墻;改進(jìn)VPN技術(shù)的功能;加大對(duì)漏洞的掃描力度;加強(qiáng)安全檢測(cè)儀對(duì)網(wǎng)絡(luò)數(shù)據(jù)的檢測(cè)和審計(jì)功能。
數(shù)據(jù)安全的防護(hù)策略為利用可靠的操作系統(tǒng)來(lái)操縱全部服務(wù)器以保證數(shù)據(jù)的完整性;開(kāi)通SSL加密通道、使用為通信進(jìn)行加密的軟件、應(yīng)用內(nèi)容監(jiān)控的軟件以阻止內(nèi)部人員查看非法網(wǎng)頁(yè)來(lái)確保數(shù)據(jù)的保密性;數(shù)據(jù)即使遭到破壞也能通過(guò)備份的數(shù)據(jù)來(lái)恢復(fù),因此系統(tǒng)設(shè)備應(yīng)該將所有數(shù)據(jù)都儲(chǔ)存到一個(gè)專(zhuān)門(mén)的容量大、不再工作時(shí)所有的網(wǎng)絡(luò)連接都能中斷、質(zhì)量可靠且用戶(hù)信息及口令都有安全保密的服務(wù)器中,確保整個(gè)系統(tǒng)能夠安全、正常運(yùn)轉(zhuǎn)。
三、企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系的實(shí)現(xiàn)
(一)安全管理系統(tǒng)建設(shè)的內(nèi)容
1.日志審計(jì)的管理
在安全管理區(qū)增添日志審計(jì)系統(tǒng)來(lái)審計(jì)網(wǎng)管中心、短信中心以及智能網(wǎng)的日志,該系統(tǒng)需要負(fù)責(zé)審計(jì)所有日志的核心服務(wù)器、負(fù)責(zé)收集網(wǎng)管中心本地運(yùn)行日志的服務(wù)器、記錄網(wǎng)管中心本地的安全訪(fǎng)問(wèn)網(wǎng)關(guān)以記錄管理員的操作日志并將其發(fā)到審計(jì)日志的核心服務(wù)器上的服務(wù)器。
2.安全事件監(jiān)控系統(tǒng)
擴(kuò)充現(xiàn)有的安全信息庫(kù),添加安全事件統(tǒng)一監(jiān)控模塊以及自主掃描漏洞管理系統(tǒng),與當(dāng)下的資產(chǎn)管理模塊相結(jié)合,形成全面動(dòng)態(tài)的安全威脅管理以及安全漏洞管理系統(tǒng)。
3.賬號(hào)口令的管理
賬號(hào)口令管理系統(tǒng)以薩班斯法案對(duì)審計(jì)信息化的要求作為方向,建立一個(gè)智能化、自動(dòng)化的賬號(hào)和口令管理的信息平臺(tái)。在安全管理服務(wù)區(qū)內(nèi)增加兩臺(tái)服務(wù)器,以備后用,保障網(wǎng)管中心賬號(hào)的集中管理。
4.日志的保存
日志的保存期限是半年,要提供3T的儲(chǔ)存空間。儲(chǔ)存設(shè)備應(yīng)當(dāng)達(dá)到既能將日志直接通過(guò)網(wǎng)絡(luò)全部備份保存起來(lái),又能直接連接到服務(wù)器上以提供日志審計(jì)系統(tǒng)在線(xiàn)保存日志的功能的雙重目的。
(二)完善安全基礎(chǔ)設(shè)施
1.優(yōu)化安全域
首先,要調(diào)整安全服務(wù)區(qū),把同安全管理有關(guān)的服務(wù)器轉(zhuǎn)至安全管理服務(wù)區(qū),上述所添加的服務(wù)器也集中布置在該區(qū)域。安全服務(wù)區(qū)的劃分居于核心交換機(jī)6509上,添設(shè)一臺(tái)防火墻并與6509相連接,還要增設(shè)一臺(tái)24口的百兆交換機(jī)來(lái)接替。此外,在網(wǎng)絡(luò)入口可以設(shè)立能夠過(guò)濾網(wǎng)絡(luò)傳輸過(guò)程中的病毒的設(shè)備。
其次,在VPN接入?yún)^(qū)的防火墻可以更新為提供硬件加速功能的VPN高性能防火墻。
再者,將于核心交換機(jī)6509上獨(dú)立劃分的信令檢測(cè)VLAN由原有的接入到網(wǎng)管網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榻尤氲叫帕顧z測(cè)系統(tǒng),并且在信令檢測(cè)系統(tǒng)的接口處增設(shè)一臺(tái)IDS用來(lái)對(duì)該區(qū)域的網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)。
最后,盡管兩臺(tái)防火墻已經(jīng)在網(wǎng)管網(wǎng)絡(luò)和數(shù)據(jù)業(yè)務(wù)系統(tǒng)的接口處增設(shè),但是對(duì)于攻擊行為仍舊難以及時(shí)發(fā)現(xiàn),所以要增設(shè)一臺(tái)具備兩個(gè)監(jiān)聽(tīng)口的攻擊行為檢測(cè)設(shè)備,接口接入交換機(jī)上,將管理口接到安全管理區(qū)域以便統(tǒng)一管理。
2.完善入侵檢測(cè)系統(tǒng)
隨著技術(shù)的不斷更近以及網(wǎng)絡(luò)的日益復(fù)雜,防火墻的諸多漏洞逐漸暴露出來(lái),防火墻的缺陷可以由網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)來(lái)提供后續(xù)幫助,因此開(kāi)發(fā)出完善的入侵檢測(cè)系統(tǒng)尤為重要,它可以為網(wǎng)絡(luò)安全提供具體、及時(shí)的入侵檢測(cè)和相關(guān)的防護(hù)措施,例如,斷開(kāi)網(wǎng)絡(luò)連接、記錄下入侵證據(jù)、跟蹤入侵行蹤等。該系統(tǒng)具有以下幾點(diǎn)優(yōu)點(diǎn):檢測(cè)無(wú)訪(fǎng)問(wèn)權(quán)限的非法入侵行為;系統(tǒng)出現(xiàn)故障不會(huì)對(duì)正常的業(yè)務(wù)運(yùn)行產(chǎn)生影響;不會(huì)影響服務(wù)器等主機(jī)的內(nèi)存、磁盤(pán)等空間資源的使用;安裝簡(jiǎn)便。同時(shí),該系統(tǒng)也有一些不足之處:該系統(tǒng)只能檢測(cè)與它直接相連的網(wǎng)段的網(wǎng)絡(luò)包;對(duì)某些必須經(jīng)過(guò)大量計(jì)算和分析的入侵難以檢測(cè)出;有傳輸回大量數(shù)據(jù)到分析系統(tǒng)中的可能等。
3.保證終端安全
由于現(xiàn)階段的LANDESK系統(tǒng)不能自主分發(fā)和管理補(bǔ)丁,并且沒(méi)有桌面安全管理的功能,所以要升級(jí)該軟件至安全套件,自動(dòng)查殺修復(fù)漏洞,為桌面安全提供保障。
(三)服務(wù)器性能管理系統(tǒng)
在安全管理服務(wù)區(qū)增設(shè)性能管理的服務(wù)器以對(duì)性能數(shù)據(jù)進(jìn)行分析、處理和保存。安裝性能管理門(mén)戶(hù)到該服務(wù)器上,該門(mén)戶(hù)要統(tǒng)一標(biāo)準(zhǔn),以用戶(hù)為對(duì)象,以瀏覽器為基礎(chǔ)。可以在各服務(wù)器上裝置監(jiān)控用來(lái)保存系統(tǒng)的各項(xiàng)性能和可利用的信息,傳輸至管理服務(wù)器上。
四、總結(jié)
經(jīng)濟(jì)社會(huì)的發(fā)展趨向網(wǎng)絡(luò)信息化,是社會(huì)現(xiàn)代化進(jìn)程的主要標(biāo)志。由于網(wǎng)絡(luò)的開(kāi)放性和共享性等自帶特征的存在,網(wǎng)絡(luò)信息安全犯罪事件也在不斷上升,對(duì)數(shù)據(jù)網(wǎng)的入侵技術(shù)手段也在不斷變更,對(duì)于企業(yè)來(lái)說(shuō),無(wú)疑是其信息化發(fā)展的障礙物,因此,健全企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系迫在眉睫。網(wǎng)絡(luò)的安全防護(hù)問(wèn)題并非易事,某項(xiàng)技術(shù)的成功研發(fā)或某個(gè)制度的頒布并不能起到遏制作用,必須將網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全管理等結(jié)合起來(lái),才能解決網(wǎng)絡(luò)安全問(wèn)題。
參考文獻(xiàn)
[1]喬偉.企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系的研究與實(shí)現(xiàn)[M].計(jì)算機(jī)科學(xué)與技術(shù),2009.
[2]唐曉蘭,劉中臨,劉嘉勇.一種基于知識(shí)庫(kù)的行為特征檢測(cè)模型[J].信息安全與通信保密,2012(02).
[3]羅麗華.上海電力數(shù)據(jù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)[J].中國(guó)電機(jī)工程學(xué)全電力通信專(zhuān)業(yè)委員第5屆學(xué)術(shù)會(huì)議論文,2009(11).
[4]張明浩.計(jì)算機(jī)病毒防范藝術(shù)[J].科技信息,2007(04).
網(wǎng)絡(luò)安全防護(hù)體系建設(shè)范文4
關(guān)鍵詞:醫(yī)院信息標(biāo)準(zhǔn)化建設(shè);網(wǎng)絡(luò)安全;管理體系
由于信息化技術(shù)的日益發(fā)展,很多醫(yī)療信息系統(tǒng)都在發(fā)展過(guò)程中進(jìn)行了優(yōu)化,大大推動(dòng)了醫(yī)療診斷技術(shù)水平的提升,使診斷工作更為精細(xì)化,有效提升了員工績(jī)效水平和醫(yī)療工作的整體品質(zhì)。與此同時(shí),其復(fù)雜性也在日益提高,使得醫(yī)院安全問(wèn)題凸顯,同時(shí)面臨多種惡意軟件入侵,對(duì)醫(yī)院網(wǎng)絡(luò)產(chǎn)生了重大的負(fù)面影響。因此,在技術(shù)水平達(dá)標(biāo)的同時(shí),還需要人工操作來(lái)確保網(wǎng)絡(luò)的安全。2018年4月,國(guó)務(wù)院印發(fā)《國(guó)務(wù)院關(guān)于推進(jìn)“推進(jìn)互聯(lián)網(wǎng)在線(xiàn)醫(yī)藥衛(wèi)生”發(fā)展的意見(jiàn)》,提出各類(lèi)醫(yī)療機(jī)構(gòu)今年要逐步完善和繼續(xù)完善“互聯(lián)網(wǎng)醫(yī)療衛(wèi)生體系”,發(fā)展在線(xiàn)醫(yī)療,提高醫(yī)院管理水平。通過(guò)《國(guó)務(wù)院關(guān)于推進(jìn)“推進(jìn)互聯(lián)網(wǎng)在線(xiàn)醫(yī)藥衛(wèi)生”發(fā)展的意見(jiàn)》宣告了“互聯(lián)網(wǎng)醫(yī)療健康”安全時(shí)代的正式到來(lái)。以國(guó)家標(biāo)準(zhǔn)2.0級(jí)網(wǎng)絡(luò)防護(hù)工程為指導(dǎo),遵循“一個(gè)中心、三個(gè)防護(hù)”防護(hù)工程的基本理念,從安全信息管理服務(wù)中心體系建設(shè)工作開(kāi)始,并初步構(gòu)建了醫(yī)院網(wǎng)絡(luò)安全三級(jí)防護(hù)管理體系,以有效迎接新網(wǎng)絡(luò)時(shí)代的安全管理挑戰(zhàn),確保“互聯(lián)網(wǎng)健康”,醫(yī)院安全信息化體系建設(shè)穩(wěn)步健康有序發(fā)展。
1醫(yī)院信息標(biāo)準(zhǔn)化建設(shè)中網(wǎng)絡(luò)安全管理體系建設(shè)的重要原因探析
患者只需在線(xiàn)注冊(cè)、就診、付款、入住和離開(kāi)醫(yī)院即可完成醫(yī)療流程。此外,信息化體系建設(shè)還可以有效提高醫(yī)務(wù)人員的日常工作效率,降低醫(yī)務(wù)人員的勞動(dòng)強(qiáng)度,為患者及時(shí)提供便捷高質(zhì)量的基本醫(yī)療健康服務(wù)。從各級(jí)醫(yī)院的財(cái)務(wù)角度看,醫(yī)院財(cái)務(wù)信息化體系建設(shè)不僅可以有效提高各級(jí)醫(yī)院財(cái)務(wù)管理水平,密切各直屬科室之間的協(xié)作關(guān)系,為加強(qiáng)醫(yī)院醫(yī)務(wù)檔案管理進(jìn)行信息化、財(cái)務(wù)管理和物資管理工作創(chuàng)造條件,降低醫(yī)院的商業(yè)保險(xiǎn)和運(yùn)營(yíng)成本,提高醫(yī)院的整體效益。網(wǎng)絡(luò)安全管理體系主要是廣泛指負(fù)責(zé)管理網(wǎng)絡(luò)系統(tǒng)安全管理策略、安全動(dòng)態(tài)計(jì)算網(wǎng)絡(luò)環(huán)境、安全網(wǎng)絡(luò)區(qū)域活動(dòng)限制和安全網(wǎng)絡(luò)通信等網(wǎng)絡(luò)安全防護(hù)機(jī)制的管理平臺(tái)或服務(wù)區(qū)域。過(guò)去,醫(yī)院率先采取了“被動(dòng)防御”安全戰(zhàn)略,并針對(duì)安全網(wǎng)絡(luò)威脅不斷采取了安全防護(hù)控制措施,缺乏安全統(tǒng)一規(guī)劃和安全集中管理。安全信息資源綜合使用管理效率低,對(duì)安全威脅的監(jiān)測(cè)反應(yīng)慢,難以建立形成有效的安全威脅防護(hù)管理體系。隨著我國(guó)醫(yī)院安全信息化體系建設(shè)的不斷發(fā)展,各種新信息技術(shù)的不斷推廣和醫(yī)院互聯(lián)網(wǎng)服務(wù)的不斷普及,醫(yī)院必然需要自主開(kāi)發(fā)一套能夠適應(yīng)當(dāng)前網(wǎng)絡(luò)健康管理時(shí)代的網(wǎng)絡(luò)安全管理系統(tǒng)。
2醫(yī)院信息標(biāo)準(zhǔn)化建設(shè)中網(wǎng)絡(luò)安全管理體系建設(shè)遇到的問(wèn)題
2.1缺乏統(tǒng)一標(biāo)準(zhǔn)和依據(jù)
醫(yī)院信息化建設(shè)具有高度的系統(tǒng)性和復(fù)雜性,需要各部門(mén)密切配合,對(duì)醫(yī)院進(jìn)行統(tǒng)一規(guī)劃,明確每一步的建設(shè)目標(biāo)。但是,從醫(yī)院信息化建設(shè)的現(xiàn)狀來(lái)看,對(duì)醫(yī)院的實(shí)際發(fā)展缺乏重視,在投入之前沒(méi)有充分考慮到醫(yī)院的長(zhǎng)遠(yuǎn)發(fā)展目標(biāo)。另外,信息化建設(shè)沒(méi)有統(tǒng)一的規(guī)則,影響了信息化建設(shè)的工作,對(duì)新項(xiàng)目的實(shí)施也有一定的影響,造成了資源的浪費(fèi)。
2.2網(wǎng)絡(luò)安全性較低
醫(yī)院的網(wǎng)絡(luò)安全的問(wèn)題往往是高度復(fù)雜動(dòng)態(tài)的,將對(duì)醫(yī)院領(lǐng)導(dǎo)和安全系統(tǒng)運(yùn)營(yíng)人員產(chǎn)生重要直接影響。此外,還有一些新型網(wǎng)絡(luò)安全病毒和一些黑客在網(wǎng)絡(luò)安全應(yīng)用方面的潛在問(wèn)題。雖然很多大型醫(yī)院都已經(jīng)采取了一些相應(yīng)的技術(shù)措施手段來(lái)徹底解決這些安全問(wèn)題,但由于醫(yī)療軟件技術(shù)能力較差、技術(shù)水平不過(guò)關(guān)等因素,并沒(méi)有有效地解決這些網(wǎng)絡(luò)安全上的問(wèn)題。
3網(wǎng)絡(luò)安全管理體系建設(shè)原則
從醫(yī)院建設(shè)安全網(wǎng)絡(luò)管理信息中心的總體目標(biāo)要求出發(fā),在國(guó)家標(biāo)準(zhǔn)2.0級(jí)網(wǎng)絡(luò)防護(hù)的技術(shù)指導(dǎo)下,結(jié)合自身醫(yī)院網(wǎng)絡(luò)安全管理工作實(shí)踐經(jīng)驗(yàn),醫(yī)院首先明確了以下網(wǎng)絡(luò)安全管理原則:①安全管理與網(wǎng)絡(luò)技術(shù)支持并重,同時(shí)合理規(guī)劃醫(yī)院建設(shè)安全管理體系和網(wǎng)絡(luò)技術(shù)支持能力,用安全管理體系建設(shè)指導(dǎo)網(wǎng)絡(luò)技術(shù)支持能力體系建設(shè),用網(wǎng)絡(luò)技術(shù)支持能力建設(shè)確保安全管理體系的有效實(shí)施。②集中控制安全能力和分散安全管理權(quán)限,整合安全人力資源,提高安全管理效率,注重員工建立準(zhǔn)確識(shí)別和有效消除快速安全網(wǎng)絡(luò)威脅的管理能力;通過(guò)集中的人力資源綜合管理和權(quán)力控制,分散對(duì)上級(jí)行政部門(mén)權(quán)力的管理限制,以及通過(guò)依靠集中審計(jì)行政能力控制來(lái)有效降低醫(yī)院?jiǎn)T工違法越權(quán)的安全風(fēng)險(xiǎn)。基于上述安全原則,醫(yī)院已已經(jīng)開(kāi)始對(duì)公司現(xiàn)有的醫(yī)院網(wǎng)絡(luò)安全保障管理能力系統(tǒng)和網(wǎng)絡(luò)技術(shù)支持管理能力體系進(jìn)行不斷改造和升級(jí)完善。
4網(wǎng)絡(luò)安全管理體系建設(shè)標(biāo)準(zhǔn)
建立安全管理中心的前提是醫(yī)院應(yīng)有一套合法、兼容、可行的安全管理體系。通過(guò)驗(yàn)證基本2.0級(jí)防護(hù)要求,結(jié)合醫(yī)院自身的安全管理經(jīng)驗(yàn),并將實(shí)施能力作為重要標(biāo)準(zhǔn)考慮在內(nèi),建立2.0級(jí)安全管理體系框架,以確保管理體系的管理方向和可行性。為便于實(shí)施,醫(yī)院將管理體系文件分為4個(gè)層次。一級(jí)安全文件根據(jù)有關(guān)國(guó)家安全法律法規(guī)、相關(guān)安全行業(yè)政策法規(guī)和公立醫(yī)院安全管理要求,確定醫(yī)院總體上的網(wǎng)絡(luò)安全保障政策和發(fā)展策略,在此基礎(chǔ)上研究構(gòu)建公立醫(yī)院第三級(jí)安全網(wǎng)絡(luò)管理體系,定義全球安全要求,并在安保管理、人員管理、資產(chǎn)管理、安保大樓管理和維護(hù)以及應(yīng)急支持管理的組織中建立安全標(biāo)準(zhǔn)。輔助文檔中的信息總量,更新和調(diào)整物理安全要求、政策和政策,以應(yīng)用于特定領(lǐng)域。二級(jí)安全操作和維護(hù)系統(tǒng),規(guī)定了適用于文件安全系統(tǒng)維護(hù)和維護(hù)管理第一級(jí)操作和操作的安全要求,并規(guī)定了操作和禁止規(guī)則。三級(jí)規(guī)范文件要求是具體的企業(yè)工作人員操作管理規(guī)范,以便于確保操作人員的實(shí)際操作管理效果能夠滿(mǎn)足您的預(yù)期,并減少故障和其他行為造成的潛在安全風(fēng)險(xiǎn)。例如,確定您的服務(wù)器安全技術(shù)增強(qiáng)(windowsserversecuritymanual)的項(xiàng)目操作步驟和項(xiàng)目實(shí)施經(jīng)驗(yàn)效果,并及時(shí)制定技術(shù)要求以便于確保您的服務(wù)器安全滿(mǎn)足特定項(xiàng)目安全要求,并制定安全增強(qiáng)管理體系安全增強(qiáng)基礎(chǔ)的各項(xiàng)相關(guān)技術(shù)要求。四級(jí)文件是用于數(shù)據(jù)篩選、跟蹤和分析的安全操作管理記錄,為了減少操作和維護(hù)人員的工作量,提高時(shí)尚管理的效率,節(jié)省紙張,醫(yī)院開(kāi)始嘗試非常規(guī)檢查表。四層文件管理體系四級(jí)文件管理體系有效提高了人民醫(yī)院安全生產(chǎn)管理體系的工作靈活性和市場(chǎng)適應(yīng)性:第一層體系決定了整體網(wǎng)絡(luò)安全政策和策略以及其他體系制定的方向。二級(jí)管理體系手冊(cè)側(cè)重于對(duì)個(gè)別具體管理問(wèn)題的有效管理,根據(jù)實(shí)際需要進(jìn)行制定,具有較強(qiáng)的基本相關(guān)性和實(shí)際適用性,確保一級(jí)管理體系的基本靈活性和實(shí)際適應(yīng)性;第三方操作手冊(cè)特別注重管理細(xì)節(jié)和長(zhǎng)期實(shí)施,可根據(jù)長(zhǎng)期實(shí)施管理效果反復(fù)迭替換代,這些都是我們確保一級(jí)管理體系長(zhǎng)期實(shí)施管理效果的最終重要目的;四級(jí)注冊(cè)表格針對(duì)醫(yī)院在建立管理體系時(shí),特別注重對(duì)人員安全風(fēng)險(xiǎn)的管理和控制,建立持續(xù)改進(jìn)管理體系的能力。成立了“網(wǎng)絡(luò)和信息安全委員會(huì)”,作為主要決策機(jī)構(gòu)。根據(jù)網(wǎng)絡(luò)標(biāo)準(zhǔn)2.0要求,管理員職位分為3個(gè)職能:系統(tǒng)管理員、審核管理員和安全管理員。醫(yī)院和外部員工通過(guò)一系列系統(tǒng)文件進(jìn)行標(biāo)準(zhǔn)化。合同檢查員工的安全日常行為,并初步確定合同員工的安全和財(cái)產(chǎn)保密管理責(zé)任;同時(shí)提出關(guān)于修訂企業(yè)管理體系目標(biāo)評(píng)審和上層建筑管理要求的具體要求,建立促進(jìn)管理體系建設(shè)持續(xù)完善改進(jìn)的長(zhǎng)效機(jī)制,確保穩(wěn)定性,實(shí)施安全管理體系的靈活性和能力,并明確各級(jí)修訂和審查體系文件的要求。
5網(wǎng)絡(luò)安全技術(shù)能力建設(shè)
在安全維護(hù)管理體系中心建設(shè)的基礎(chǔ)上,醫(yī)院已經(jīng)開(kāi)始研究建設(shè)安全技術(shù)管理能力,以便于滿(mǎn)足安全維護(hù)管理系統(tǒng)中心的要求。醫(yī)院作為一個(gè)安全系統(tǒng)管理區(qū)域,安全維護(hù)管理系統(tǒng)中心負(fù)責(zé)系統(tǒng)的安全管理操作、維護(hù)和監(jiān)督管理。因此,建立安全維護(hù)管理體系中心的主要目標(biāo)是建立一個(gè)完全具有高度完善集中控制管理能力的安全維護(hù)管理域。安全維護(hù)管理區(qū)域主應(yīng)負(fù)責(zé)執(zhí)行包括收集和管理綜合安全管理數(shù)據(jù)、運(yùn)行安全設(shè)備以及安全維護(hù)和監(jiān)督管理整個(gè)醫(yī)院網(wǎng)絡(luò)的安全任務(wù),為整個(gè)醫(yī)院網(wǎng)絡(luò)過(guò)程提供必要的醫(yī)院網(wǎng)絡(luò)安全基礎(chǔ)硬件設(shè)施和安全維護(hù)服務(wù),以及足夠的自我保護(hù)能力,以確保自身在網(wǎng)絡(luò)中的安全,避免對(duì)重要的安全、審計(jì)和管理服務(wù)造成損害。由于原有醫(yī)院網(wǎng)管區(qū)域具有一定的集中控制能力,醫(yī)院在現(xiàn)有網(wǎng)管區(qū)域的基礎(chǔ)上,采用以下方式完成安全管理建設(shè)技術(shù)能力。
5.1終端網(wǎng)絡(luò)保護(hù)
前端計(jì)算機(jī)通信系統(tǒng)的網(wǎng)絡(luò)終端擔(dān)保是整個(gè)網(wǎng)絡(luò)敏感區(qū)域的一個(gè)核心。其終端主要是連接內(nèi)聯(lián)網(wǎng)和連接外聯(lián)網(wǎng)之間的網(wǎng)絡(luò)連接,負(fù)責(zé)從敏感區(qū)的核心節(jié)點(diǎn)發(fā)送數(shù)據(jù),僅易受攻擊。因此,通常可以為每個(gè)主機(jī)66學(xué)術(shù)論壇/AcademicForum系統(tǒng)部署一個(gè)安全網(wǎng)絡(luò)管理文件系統(tǒng)。為了提高主機(jī)服務(wù)器系統(tǒng)的網(wǎng)絡(luò)安全級(jí)別。可以從根本上對(duì)來(lái)自網(wǎng)絡(luò)連接終端的安全攻擊進(jìn)行免疫,并在它們已經(jīng)進(jìn)入安全下一階段之前預(yù)先阻止。
5.2區(qū)域網(wǎng)絡(luò)運(yùn)維安全設(shè)計(jì)
(1)建立檢測(cè)網(wǎng)絡(luò)安全漏洞的系統(tǒng)。通過(guò)自動(dòng)部署互聯(lián)網(wǎng)絡(luò)檢測(cè)安全漏洞,檢測(cè)中心系統(tǒng)人員可以24h時(shí)間掃描和自動(dòng)檢測(cè)指定區(qū)域內(nèi)的互聯(lián)網(wǎng)。對(duì)系統(tǒng)性能進(jìn)行安全特性評(píng)估,實(shí)現(xiàn)技術(shù)、管理、安全防護(hù)的有效集成。為全球用戶(hù)同時(shí)使用各種區(qū)域性的網(wǎng)絡(luò)服務(wù)降低安全風(fēng)險(xiǎn),并提供強(qiáng)有力的網(wǎng)絡(luò)技術(shù)支持。(2)創(chuàng)建審核和運(yùn)維系統(tǒng)。通過(guò)對(duì)網(wǎng)絡(luò)安全管理設(shè)備、網(wǎng)絡(luò)安全管理設(shè)備、應(yīng)用管理系統(tǒng)、安全事件等網(wǎng)絡(luò)日志相關(guān)信息數(shù)據(jù)進(jìn)行全面的網(wǎng)絡(luò)日志相關(guān)信息分析收集和日志相關(guān)性信息分析,管理者不僅可以通過(guò)搜索和實(shí)時(shí)分析日常網(wǎng)絡(luò)使用中的記錄,正確維護(hù)日志數(shù)據(jù),定義日志審核設(shè)備,方便員工隨時(shí)查看,并隨時(shí)跨平臺(tái)監(jiān)控整個(gè)數(shù)據(jù)中心的安全狀態(tài)。(3)建立完整的微觀分析和深度流量跟蹤系統(tǒng)。通過(guò)自動(dòng)建立完整的用戶(hù)微觀數(shù)據(jù)分析和用戶(hù)深度風(fēng)險(xiǎn)流量檢測(cè)跟蹤分析系統(tǒng),可以實(shí)時(shí)部署專(zhuān)門(mén)的高標(biāo)準(zhǔn)風(fēng)險(xiǎn)流量檢測(cè)分析平臺(tái),準(zhǔn)確快速收集用戶(hù)流量,進(jìn)行深度恢復(fù)和全面分析。為了在大量會(huì)話(huà)流量中快速發(fā)現(xiàn)這些隱藏的整個(gè)會(huì)話(huà)進(jìn)程行為,挖掘這些可能使其隱藏的潛在危險(xiǎn),提供會(huì)話(huà)進(jìn)程的所有數(shù)據(jù)審計(jì)處理能力,并不斷提高其進(jìn)程追蹤和對(duì)攻擊源的預(yù)測(cè)能力。
5.3整合現(xiàn)有安全資源
醫(yī)院將在保障自身安全和區(qū)域安全管理的基礎(chǔ)上,轉(zhuǎn)移現(xiàn)有的保障功能,包括資源,非病毒系統(tǒng)、維持和平行動(dòng)管理系統(tǒng)和安全系統(tǒng)納入安全管理領(lǐng)域。此外,通過(guò)研究在服務(wù)區(qū)內(nèi)設(shè)立專(zhuān)用安全通道和具體的基礎(chǔ)設(shè)施安全設(shè)施,優(yōu)化全市安全設(shè)施功能整合,注重安全設(shè)施綜合利用,減少不必要的安全設(shè)備,提高安全設(shè)備維護(hù)和安全系統(tǒng)運(yùn)行效率,完成對(duì)全市現(xiàn)有安全防護(hù)體系的綜合優(yōu)化。
5.4優(yōu)化集中控制
在完善現(xiàn)行安全監(jiān)管制度的基礎(chǔ)上,該院先后研發(fā)了航站樓和門(mén)診部的安全監(jiān)控和安全管理系統(tǒng),為彌補(bǔ)醫(yī)院現(xiàn)有綜合門(mén)診終端保障體系的不足,對(duì)醫(yī)院基礎(chǔ)設(shè)施進(jìn)行集中控制和建設(shè),以及醫(yī)院管理系統(tǒng)的現(xiàn)有背景操作和系統(tǒng)維護(hù),抗病毒防御系統(tǒng)與醫(yī)院客戶(hù)犯罪風(fēng)險(xiǎn)檢查系統(tǒng)密切配合。因此,集中審計(jì)和宣傳系統(tǒng)完成了建立集中管理和維護(hù)系統(tǒng)進(jìn)行審計(jì)和宣傳的任務(wù)。預(yù)防和控制覆蓋整個(gè)醫(yī)院網(wǎng)絡(luò)的信息資源。
6醫(yī)院構(gòu)建網(wǎng)絡(luò)安全管理體系
為有效適應(yīng)未來(lái)最嚴(yán)峻的網(wǎng)絡(luò)安全發(fā)展形勢(shì),醫(yī)院還對(duì)各級(jí)應(yīng)急保障體系進(jìn)行了修訂。新的應(yīng)急支持系統(tǒng)由兩部分組成:綜合計(jì)劃和專(zhuān)項(xiàng)計(jì)劃。總體實(shí)施計(jì)劃詳細(xì)規(guī)定了醫(yī)院應(yīng)急救援支持的主要組織職能結(jié)構(gòu),確定了醫(yī)院事件預(yù)警分類(lèi)管理標(biāo)準(zhǔn),并詳細(xì)規(guī)定了事件預(yù)警和應(yīng)急響應(yīng)工作程序、物資供應(yīng)支持、培訓(xùn)和其他一般工作規(guī)定:為特定類(lèi)型的緊急情況和醫(yī)院系統(tǒng)的關(guān)鍵系統(tǒng)制定詳細(xì)的應(yīng)急和應(yīng)急方案服務(wù)按照“目標(biāo)選擇、非目標(biāo)選擇、綜合規(guī)劃”的醫(yī)院應(yīng)急救援管理機(jī)制可以確保,使醫(yī)院應(yīng)急系統(tǒng)人員在統(tǒng)一系統(tǒng)的技術(shù)指導(dǎo)下,能夠有效應(yīng)對(duì)網(wǎng)絡(luò)上的各種突發(fā)事件。以安全網(wǎng)絡(luò)管理中心為工作起點(diǎn),對(duì)信息網(wǎng)絡(luò)保護(hù)系統(tǒng)進(jìn)行了升級(jí),提高了風(fēng)險(xiǎn)信息的準(zhǔn)確性,與公立醫(yī)院安全信息網(wǎng)絡(luò)資源管理、網(wǎng)絡(luò)資源安全風(fēng)險(xiǎn)管理及威脅有關(guān),建立安全網(wǎng)絡(luò)。然后,在發(fā)展安全管理能力的基礎(chǔ)上,圍繞“響應(yīng)性”完善安全運(yùn)行體系建設(shè),提高響應(yīng)速度和應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的能力。在技術(shù)上,嘗試將連接機(jī)制引入安全體系,開(kāi)發(fā)建設(shè)“主動(dòng)防護(hù)、動(dòng)態(tài)防護(hù)、全局防護(hù)、精確防護(hù)”的網(wǎng)絡(luò)安全防護(hù)體系,緊跟醫(yī)院信息“醫(yī)療衛(wèi)生互聯(lián)網(wǎng)”建設(shè)步伐在網(wǎng)絡(luò)時(shí)代,促進(jìn)了醫(yī)院網(wǎng)絡(luò)安全建設(shè)的發(fā)展。
參考文獻(xiàn):
[1]胡列倫,李倩.醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全保護(hù)研究[J].中國(guó)寬帶,2021(07):31.
[2]龔克.分析醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全保護(hù)方案設(shè)計(jì)[J].數(shù)碼設(shè)計(jì)(上),2021,10(06):18.
[3]詹振坤.醫(yī)院信息化建設(shè)中計(jì)算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)工作思考[J].無(wú)線(xiàn)互聯(lián)科技,2021,18(10):25-26.
[4]巫新玲,李文俠.人工智能下醫(yī)院網(wǎng)絡(luò)安全信息化的建設(shè)路徑探索[J].大眾標(biāo)準(zhǔn)化,2021(11):182-184.
[5]廖文韜.醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全體系建構(gòu)[J].電腦編程技巧與維護(hù),2021(07):163-164.
[6]劉小洲,黃桂新,張武軍,等.現(xiàn)代醫(yī)院管理制度下的醫(yī)院信息化建設(shè)推進(jìn)機(jī)制探討[J].現(xiàn)代醫(yī)院,2018,18(03):368-371.
[7]姜濤.寧夏醫(yī)科大學(xué)總醫(yī)院醫(yī)院集團(tuán)信息化建設(shè)優(yōu)化[D].銀川:寧夏大學(xué),2014.
[8]謝言.國(guó)家扶貧開(kāi)發(fā)工作重點(diǎn)縣中醫(yī)醫(yī)院信息化建設(shè)現(xiàn)狀調(diào)查及影響因素分析[D].武漢:湖北中醫(yī)藥大學(xué),2013.
[9]張宇.醫(yī)院信息化建設(shè)改革實(shí)證研究[D].南昌:南昌大學(xué),2012.
網(wǎng)絡(luò)安全防護(hù)體系建設(shè)范文5
關(guān)鍵詞:電力二次系統(tǒng);安全防護(hù)體系;安全區(qū);措施
中圖分類(lèi)號(hào):TM727 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-0079(2014)33-0180-02
隨著電網(wǎng)自動(dòng)化、計(jì)算機(jī)網(wǎng)絡(luò)及通信技術(shù)的飛速發(fā)展,電力系統(tǒng)自動(dòng)化、信息化水平迅速提高。同時(shí),電力調(diào)度系統(tǒng)的業(yè)務(wù)也不斷豐富,很多系統(tǒng)存在著相互之間的數(shù)據(jù)業(yè)務(wù)交換,這些對(duì)系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題提出了更高的要求,電力二次系統(tǒng)的安全防護(hù)也變得更加重要和嚴(yán)峻起來(lái)。[1]為此,針對(duì)調(diào)度系統(tǒng)二次安全防護(hù),相繼出臺(tái)了原國(guó)家電監(jiān)會(huì)第5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》以及《電力二次系統(tǒng)安全防護(hù)總體方案》等指導(dǎo)性文件從政策和技術(shù)的層面明確了電力調(diào)度部門(mén)信息安全建設(shè)的具體措施。
為保障地區(qū)電網(wǎng)安全、穩(wěn)定運(yùn)行,抵御黑客、病毒、惡意代碼等通過(guò)各種形式對(duì)電力二次系統(tǒng)發(fā)起的惡意破壞和攻擊,特別是能夠抵御集團(tuán)式攻擊,防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓,依據(jù)相關(guān)政策文件,結(jié)合地區(qū)電網(wǎng)實(shí)際情況,設(shè)計(jì)和制定了地區(qū)調(diào)度控制中心二次系統(tǒng)安全防護(hù)方案。
一、電力二次系統(tǒng)安全防護(hù)體系
1.二次系統(tǒng)安全防護(hù)的相關(guān)原則
電力調(diào)度二次系統(tǒng)安全防護(hù)包括調(diào)度端、變電站內(nèi)及縱向安全防護(hù),按照國(guó)家電力監(jiān)管委員會(huì)《電力二次系統(tǒng)安全防護(hù)規(guī)定》,電力二次系統(tǒng)安全防護(hù)的總體原則為“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”。安全防護(hù)主要針對(duì)網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的電力生產(chǎn)控制系統(tǒng),重點(diǎn)強(qiáng)化邊界防護(hù),提高內(nèi)部安全防護(hù)能力,保證電力生產(chǎn)控制系統(tǒng)及重要數(shù)據(jù)的安全,同時(shí)有效抵御外部的惡意攻擊,防止發(fā)生電力二次系統(tǒng)安全事件或由此導(dǎo)致的一次系統(tǒng)事故、大面積停電事故,達(dá)到保障電網(wǎng)安全穩(wěn)定運(yùn)行的目的。[2,3]
“安全分區(qū)”是電力二次系統(tǒng)安全防護(hù)體系的結(jié)構(gòu)基礎(chǔ),原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)(又稱(chēng)安全區(qū)I)和非控制區(qū)(又稱(chēng)安全區(qū)II),管理信息大區(qū)可以分為生產(chǎn)管理區(qū)(又稱(chēng)安全區(qū)III)和管理信息區(qū)(又稱(chēng)安全區(qū)IV);“網(wǎng)絡(luò)專(zhuān)用”,是指生產(chǎn)大區(qū)的數(shù)據(jù)網(wǎng)絡(luò)必須使用專(zhuān)網(wǎng)――電力調(diào)度數(shù)據(jù)網(wǎng),其中電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng),分別連接控制區(qū)和非控制區(qū);“橫向隔離”,是指在控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置,隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離;“縱向認(rèn)證”是指采用認(rèn)證、加密、訪(fǎng)問(wèn)控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)。對(duì)于重點(diǎn)防護(hù)的調(diào)度控制中心、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置經(jīng)過(guò)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施,實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪(fǎng)問(wèn)控制。[4,5]
電力二次系統(tǒng)安全防護(hù)的基本原則是,系統(tǒng)中安全等級(jí)較高的系統(tǒng)不受安全等級(jí)較低系統(tǒng)的影響。電力監(jiān)控系統(tǒng)的安全等級(jí)高于電力管理信息系統(tǒng)及辦公自動(dòng)化系統(tǒng),各電力監(jiān)控系統(tǒng)必須具備可靠的自身安全防護(hù)措施,不得與安全等級(jí)較低的系統(tǒng)直接連接。
2.二次系統(tǒng)中安全區(qū)的劃分
從橫向角度看,為強(qiáng)化安全區(qū)的隔離,采用不同強(qiáng)度的網(wǎng)絡(luò)安全設(shè)備,使得各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護(hù)。安全區(qū)I與安全區(qū)II之間采用硬件防火墻進(jìn)行隔離;生產(chǎn)控制大區(qū)與管理信息大區(qū)之間采用電力專(zhuān)用隔離裝置進(jìn)行隔離,并且限制數(shù)據(jù)業(yè)務(wù)的流向;從安全區(qū)I、安全區(qū)II去往安全區(qū)III單向傳輸信息必須采用正向隔離裝置,由安全區(qū)III去往安全區(qū)I、安全區(qū)II的單向傳輸信息必須采用反向隔離裝置。安全區(qū)III與安全區(qū)IV之間采用硬件防火墻進(jìn)行隔離。[6]
安全區(qū)I中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為:是電力生產(chǎn)的重要環(huán)節(jié),直接實(shí)現(xiàn)對(duì)電力一次系統(tǒng)的實(shí)時(shí)監(jiān)控,縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)S猛ǖ溃前踩雷o(hù)的重點(diǎn)與核心。典型業(yè)務(wù)系統(tǒng)包括能量管理系統(tǒng)、廣域相量測(cè)量系統(tǒng)、配電自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)等。
安全區(qū)II中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為:是電力生產(chǎn)的必要環(huán)節(jié),在線(xiàn)運(yùn)行但不具備控制功能,使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò),與控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊聯(lián)系緊密。典型業(yè)務(wù)系統(tǒng)包括調(diào)度員培訓(xùn)模擬系統(tǒng)、水庫(kù)調(diào)度自動(dòng)化系統(tǒng)、電能量計(jì)量系統(tǒng)等。
安全區(qū)III中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為:實(shí)現(xiàn)電力生產(chǎn)的管理功能,但不具備控制功能,不在線(xiàn)運(yùn)行,可不使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò),與調(diào)度控制中心工作人員桌面終端直接相關(guān),與安全區(qū)IV的辦公自動(dòng)化系統(tǒng)關(guān)系密切。
安全區(qū)IV中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為:實(shí)現(xiàn)電力信息管理和辦公自動(dòng)化功能,使用電力數(shù)據(jù)通信網(wǎng)絡(luò),業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)界面主要為桌面終端,包括辦公自動(dòng)化系統(tǒng)和管理信息系統(tǒng)等。[6]
二、地區(qū)電力二次系統(tǒng)安全防護(hù)體系
1.二次系統(tǒng)現(xiàn)有業(yè)務(wù)
某地調(diào)現(xiàn)有自動(dòng)化系統(tǒng)包括:南瑞OPEN2000調(diào)度自動(dòng)化系統(tǒng)、南瑞OPEN3000調(diào)度自動(dòng)化系統(tǒng)、北京煜邦電能量計(jì)量采集系統(tǒng)、北京殷圖變電站圖像監(jiān)控系統(tǒng)、電力調(diào)度運(yùn)行管理系統(tǒng)(OMS)等。
其中,南瑞OPEN2000調(diào)度自動(dòng)化系統(tǒng)SCADA部分于2000年7月投入運(yùn)行,該系統(tǒng)在電網(wǎng)調(diào)度、運(yùn)方、負(fù)荷預(yù)測(cè)等方面發(fā)揮著重要的作用。南瑞OPEN3000自動(dòng)化系統(tǒng)是于2010年6月正式投入運(yùn)行,實(shí)現(xiàn)了對(duì)地區(qū)電網(wǎng)的可靠運(yùn)行控制,保證了地區(qū)電網(wǎng)監(jiān)視、控制手段的完好,確保了地區(qū)電網(wǎng)的安全、穩(wěn)定運(yùn)行。北京煜邦電能量采集系統(tǒng)主要實(shí)現(xiàn)地調(diào)所有無(wú)人值班變電站的電能量信息、瞬時(shí)量信息的采集功能,完成變電站電能量數(shù)據(jù)的采集與處理、母線(xiàn)平衡計(jì)算、報(bào)表統(tǒng)計(jì)、線(xiàn)損統(tǒng)計(jì)分析等。北京殷圖變電站圖像監(jiān)控系統(tǒng)實(shí)現(xiàn)了無(wú)人值班變電站空間范圍內(nèi)的建筑安全、防火、防盜,保障了站內(nèi)輸變電設(shè)備的正常運(yùn)行,并在事故時(shí)保持與主站的圖像通信。電力調(diào)度運(yùn)行管理系統(tǒng)(OMS)涵蓋了電網(wǎng)調(diào)度、運(yùn)方、繼保、自動(dòng)化等各專(zhuān)業(yè),是地調(diào)管理與生產(chǎn)的重要組成部分。
其中,OPEN2000調(diào)度自動(dòng)化系統(tǒng)、OPEN3000調(diào)度自動(dòng)化系統(tǒng)、電能量計(jì)量采集系統(tǒng)、變電站圖像監(jiān)控系統(tǒng)等均為獨(dú)立建設(shè)的自動(dòng)化系統(tǒng),同時(shí)均開(kāi)通了Web瀏覽業(yè)務(wù)。
2.二次系統(tǒng)安全防護(hù)的實(shí)施
依據(jù)電力二次系統(tǒng)安全防護(hù)方案,結(jié)合地區(qū)電網(wǎng)實(shí)際情況,電力二次系統(tǒng)劃分為三個(gè)安全區(qū)。安全區(qū)I為內(nèi)網(wǎng),安全區(qū)III、安全區(qū)IV為外網(wǎng),內(nèi)網(wǎng)和外網(wǎng)之間通過(guò)電力二次系統(tǒng)專(zhuān)用安全隔離裝置保證了內(nèi)網(wǎng)和外網(wǎng)之間的安全程度很高的可控通信。
安全區(qū)I的網(wǎng)絡(luò)邊界通過(guò)電力通信專(zhuān)用網(wǎng)與三級(jí)數(shù)據(jù)網(wǎng)進(jìn)行通信。安全區(qū)I的數(shù)據(jù)通過(guò)匯聚交換機(jī)和安全隔離裝置實(shí)現(xiàn)與安全區(qū)III實(shí)時(shí)Web的通信。
安全區(qū)III的網(wǎng)絡(luò)邊界通過(guò)電力通信專(zhuān)用網(wǎng)與三級(jí)數(shù)據(jù)網(wǎng)進(jìn)行通信,同時(shí)通過(guò)防火墻過(guò)濾與安全區(qū)IV的通信,安全區(qū)III的主要業(yè)務(wù)是電力市場(chǎng)模擬系統(tǒng)、開(kāi)放了Web瀏覽業(yè)務(wù)的各系統(tǒng)等。安全區(qū)IV直接面向廣域網(wǎng),通過(guò)防火墻過(guò)濾與安全區(qū)III的通信,主要業(yè)務(wù)包括信息通信中心OA系統(tǒng)。
電力二次系統(tǒng)安全防護(hù)的實(shí)施選用的相關(guān)主要網(wǎng)絡(luò)設(shè)備包括:
(1)安全隔離裝置。通過(guò)部署安全隔離裝置保證安全區(qū)I的網(wǎng)絡(luò)安全性,使得整個(gè)二次系統(tǒng)網(wǎng)絡(luò)的規(guī)劃完全符合電力二次系統(tǒng)安全防護(hù)方案的部署要求,保證電力二次系統(tǒng)的安全性。
(2)華為網(wǎng)絡(luò)交換機(jī)。為適應(yīng)對(duì)電力二次系統(tǒng)的安全分區(qū)的改造,在安全區(qū)I布置了一臺(tái)二層交換機(jī),在安全區(qū)III布置了一臺(tái)三層核心交換機(jī),通過(guò)部署這兩臺(tái)交換機(jī)起到了分區(qū)隔離、專(zhuān)網(wǎng)專(zhuān)用的作用。同時(shí),也是將安全區(qū)III和安全區(qū)IV劃分清楚的重要措施。
(3)天融信防火墻。通過(guò)在安全區(qū)III、安全區(qū)IV之間部署國(guó)產(chǎn)防火墻,起到報(bào)文過(guò)濾的作用,保證安全區(qū)III的相對(duì)安全性。
(4)瑞星企業(yè)防病毒套件。為了進(jìn)一步保證安全區(qū)III的安全穩(wěn)定運(yùn)行,在安全區(qū)III安裝瑞星企業(yè)防病毒軟件,增加安全區(qū)III的防病毒的能力。
3.二次系統(tǒng)安全防護(hù)設(shè)備的部署
正向隔離裝置涉及到的業(yè)務(wù)為安全區(qū)I內(nèi)EMS系統(tǒng)的實(shí)時(shí)通信、報(bào)表同步和負(fù)荷預(yù)測(cè)文本傳輸。其中EMS系統(tǒng)運(yùn)行在主備網(wǎng)絡(luò)結(jié)構(gòu)上,主要的通信通過(guò)A網(wǎng)進(jìn)行,實(shí)時(shí)通信和報(bào)表同步通過(guò)同一條鏈路實(shí)現(xiàn)。為了完成EMS系統(tǒng)的應(yīng)用改造,通過(guò)在安全區(qū)I的華為S3025C二層交換機(jī)上劃分一個(gè)單獨(dú)的VLAN與正向隔離裝置內(nèi)網(wǎng)口的通信;外網(wǎng)直接接入安全區(qū)III的核心交換機(jī)華為S6502的專(zhuān)用于安全隔離裝置的VLAN接口上。對(duì)于安全區(qū)I與安全區(qū)III的通信,安全區(qū)I的華為S3025C交換機(jī)與安全隔離裝置相連的方式為普通二層交換機(jī)的連接方式,而安全區(qū)III與安全隔離裝置外網(wǎng)的連接是基于路由的模式,需要配置MAC綁定和ARP報(bào)文通信。
反向隔離裝置涉及到的業(yè)務(wù)為:安全區(qū)IV負(fù)荷預(yù)測(cè)計(jì)劃信息文本反向傳入安全區(qū)I內(nèi)的EMS工作站。對(duì)于安全區(qū)I與安全區(qū)IV的通信,安全區(qū)I華為S3025C交換機(jī)與安全隔離裝置相連的方式,相當(dāng)于普通二層交換機(jī)的連接方式,而安全區(qū)IV與安全隔離裝置外網(wǎng)的連接是基于路由的模式,需要配置MAC綁定和ARP報(bào)文通信。
在不改變安全區(qū)IV的網(wǎng)絡(luò)通信環(huán)境,維持現(xiàn)有的工作狀況下,將相關(guān)的系統(tǒng)劃分到安全I(xiàn)II區(qū),接入到華為S6502網(wǎng)絡(luò)核心交換機(jī),基于不影響安全區(qū)IV原有網(wǎng)絡(luò)通信環(huán)境的原則,防火墻運(yùn)行在路由模式下應(yīng)用地址轉(zhuǎn)換規(guī)則,可以將安全區(qū)III和安全區(qū)IV的網(wǎng)段完全劃分開(kāi)來(lái)。
三、二次系統(tǒng)安全防護(hù)的有效措施
病毒防護(hù)是實(shí)時(shí)系統(tǒng)與數(shù)據(jù)網(wǎng)絡(luò)的安全措施之一,病毒的防護(hù)應(yīng)該覆蓋所有安全區(qū)I、III、IV的主機(jī)與工作站。安全區(qū)I的病毒特征碼要求必須以離線(xiàn)的方式及時(shí)更新。
主機(jī)安全防護(hù)主要的方式包括:安全配置、安全補(bǔ)丁和安全主機(jī)加固。安裝主機(jī)加固軟件,強(qiáng)制訪(fǎng)問(wèn)符合定義的主機(jī)安全策略,防止主機(jī)權(quán)限被濫用。通過(guò)及時(shí)更新系統(tǒng)安全補(bǔ)丁,消除系統(tǒng)內(nèi)核漏洞與后門(mén)。
通過(guò)合理設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限,減少安全弱點(diǎn)。禁止不必要的應(yīng)用,作為調(diào)度業(yè)務(wù)系統(tǒng)的專(zhuān)用主機(jī)或者工作站,嚴(yán)格管理系統(tǒng)及應(yīng)用軟件的安裝與使用。定期對(duì)關(guān)鍵應(yīng)用的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份,確保數(shù)據(jù)損壞及系統(tǒng)崩潰情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)的可用性。[4]
縱向安全防護(hù)體系的建設(shè),可以完善電力二次系統(tǒng)的安全防護(hù)體系,避免出現(xiàn)安全防護(hù)中的“木桶現(xiàn)象”。縱向加密認(rèn)證是安全防護(hù)核心的縱向防線(xiàn),其具體實(shí)現(xiàn)是通過(guò)專(zhuān)用的電力加密認(rèn)證網(wǎng)關(guān)來(lái)實(shí)現(xiàn),目的是通過(guò)采用認(rèn)證、加密、訪(fǎng)問(wèn)控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)[7]。
四、結(jié)語(yǔ)
地區(qū)電力調(diào)度控制中心電力二次系統(tǒng)的安全運(yùn)行是地區(qū)電網(wǎng)安全運(yùn)行的重要保證,根據(jù)電力調(diào)度控制中心電力二次系統(tǒng)的實(shí)際情況,嚴(yán)格按照“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的電力二次系統(tǒng)安全防護(hù)總體原則,設(shè)計(jì)、制訂并實(shí)施了地區(qū)電力調(diào)度控制中心二次系統(tǒng)安全防護(hù)方案,就二次系統(tǒng)安全防護(hù)設(shè)備的部署以及防護(hù)方案的具體實(shí)施進(jìn)行了詳細(xì)的敘述,結(jié)合行之有效的各種措施,有力保障了電力二次系統(tǒng)的安全運(yùn)行。
同時(shí),鑒于電力二次系統(tǒng)安全防護(hù)工程是一個(gè)長(zhǎng)期的動(dòng)態(tài)工程,二次系統(tǒng)的安全防護(hù)體系要在實(shí)施過(guò)程中根據(jù)生產(chǎn)實(shí)際需要不斷加以修正和完善,以滿(mǎn)足政策和文件中對(duì)電力二次系統(tǒng)安全防護(hù)所要求的系統(tǒng)性原則和螺旋上升的周期性原則。
參考文獻(xiàn):
[1]謝善益,梁智強(qiáng).電力二次系統(tǒng)安全防護(hù)設(shè)備技術(shù)[M].北京:中國(guó)電力出版社,2012.
[2]陳霖.淺談地區(qū)電網(wǎng)二次系統(tǒng)的安全防護(hù)[J].江西電力,2005,
29(3):10-12.
[3]張建庭,朱輝強(qiáng).電力二次系統(tǒng)安全防護(hù)體系建設(shè)要點(diǎn)淺析[J].信息通信,2012,(6):279.
[4]周小燕,楊宏宇,崔恒志,等.地區(qū)電力調(diào)度中心二次系統(tǒng)安全防護(hù)[J].江蘇電機(jī)工程,2005,24(2):50-52.
[5]臧琦,鄒倩,郭娟莉,等.電網(wǎng)調(diào)度自動(dòng)化二次系統(tǒng)安全防護(hù)實(shí)踐[J].電子設(shè)計(jì)工程,2011,19(20):47-49.
網(wǎng)絡(luò)安全防護(hù)體系建設(shè)范文6
關(guān)鍵詞:信息 安全
1.現(xiàn)狀分析
當(dāng)前海口航標(biāo)處信息化網(wǎng)絡(luò)主要分為海事內(nèi)網(wǎng)(簡(jiǎn)稱(chēng)內(nèi)網(wǎng))與互聯(lián)網(wǎng)(簡(jiǎn)稱(chēng)外網(wǎng)),內(nèi)網(wǎng)與外網(wǎng)之間通過(guò)網(wǎng)閘設(shè)備實(shí)現(xiàn)物理隔離,外網(wǎng)安全設(shè)備主要有防火墻、上網(wǎng)行為管理設(shè)備;內(nèi)網(wǎng)安全設(shè)備主要是防火墻設(shè)備。內(nèi)網(wǎng)、外網(wǎng)均有網(wǎng)絡(luò)版殺毒軟件中心。在整個(gè)網(wǎng)絡(luò)體系中,已經(jīng)在互聯(lián)網(wǎng)出口邊界部署防火墻、網(wǎng)閘等安全設(shè)備,但是網(wǎng)絡(luò)安全防護(hù)是一個(gè)體系,在網(wǎng)絡(luò)終端防護(hù)、全網(wǎng)安全監(jiān)控等方面還比較薄弱,主要體現(xiàn)在以下幾個(gè)方面:
(1)網(wǎng)絡(luò)沒(méi)有安全區(qū)域劃分。由于缺乏網(wǎng)絡(luò)安全區(qū)域劃分,在內(nèi)網(wǎng)中,辦公用戶(hù)與業(yè)務(wù)服務(wù)器之間訪(fǎng)問(wèn)沒(méi)有任何控制措施。業(yè)務(wù)服務(wù)器是重要數(shù)據(jù)存儲(chǔ)區(qū)域,需要加強(qiáng)該區(qū)域數(shù)據(jù)保護(hù)。
(2)缺乏網(wǎng)絡(luò)準(zhǔn)入防護(hù)。內(nèi)網(wǎng)中沒(méi)有部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),對(duì)于外來(lái)用戶(hù),只要獲取到IP地址,就可以訪(fǎng)問(wèn)內(nèi)網(wǎng)業(yè)務(wù)服務(wù)器,為了保證內(nèi)網(wǎng)用戶(hù),業(yè)務(wù)服務(wù)器的安全,需要對(duì)外來(lái)用戶(hù)進(jìn)行準(zhǔn)入控制,分配訪(fǎng)問(wèn)權(quán)限,入網(wǎng)安全檢查。只有合格的用戶(hù)終端才能訪(fǎng)問(wèn)內(nèi)網(wǎng)。
(3)缺乏網(wǎng)絡(luò)檢測(cè)系統(tǒng)。對(duì)于整個(gè)內(nèi)網(wǎng)中用戶(hù)相互之間的訪(fǎng)問(wèn)行為、用戶(hù)與服務(wù)器之間的訪(fǎng)問(wèn)行為,不能有效實(shí)時(shí)監(jiān)控,當(dāng)內(nèi)網(wǎng)中用戶(hù)終端之間存在相互感染,沒(méi)有任何網(wǎng)絡(luò)預(yù)警措施。
(4)服務(wù)器或者用戶(hù)終端漏洞無(wú)法檢測(cè)。內(nèi)網(wǎng)中沒(méi)有部署補(bǔ)丁服務(wù)器,內(nèi)部用戶(hù)也沒(méi)有及時(shí)自動(dòng)打補(bǔ)丁,導(dǎo)致各個(gè)用戶(hù)終端存在著系統(tǒng)漏洞,業(yè)務(wù)服務(wù)器也沒(méi)有及時(shí)更新操作系統(tǒng)補(bǔ)丁,也存在很大的網(wǎng)絡(luò)風(fēng)險(xiǎn)。
2.安全需求分析
當(dāng)前網(wǎng)絡(luò)安全需求主要有以下幾個(gè)方面:
(1)建立有效的安全區(qū)域防護(hù)。根據(jù)航標(biāo)處本身網(wǎng)絡(luò)系統(tǒng)實(shí)際安全需求,進(jìn)行合理的安全域劃分和分區(qū)域安全防護(hù)設(shè)計(jì)、實(shí)施,通過(guò)一定的技術(shù)手段,對(duì)區(qū)域內(nèi)和區(qū)域間的流量行為進(jìn)行邏輯隔離和防護(hù),對(duì)惡意代碼和黑客入侵進(jìn)行阻隔,保護(hù)區(qū)域間的安全。
(2)部署終端安全管理系統(tǒng)。終端安全管理系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)的終端電腦進(jìn)行統(tǒng)一管理和策略下發(fā),以達(dá)到通過(guò)技術(shù)手段對(duì)終端電腦的操作行為和運(yùn)行狀態(tài)的可控、可管,防止終端用戶(hù)隨意接入網(wǎng)絡(luò)和任意操作而造成的數(shù)據(jù)泄密事故的發(fā)生。
(3)針對(duì)全網(wǎng)實(shí)現(xiàn)可行的行為分析。通過(guò)此次安全系統(tǒng)的建設(shè),對(duì)全網(wǎng)流行為進(jìn)行全方位、多視角、細(xì)粒度的實(shí)時(shí)監(jiān)測(cè)、統(tǒng)計(jì)分析、查詢(xún)、追溯、可視化分析展示等。有效管理和發(fā)現(xiàn)流量的異常波動(dòng)行為,并能及時(shí)發(fā)出預(yù)警機(jī)制。
(4)部署安全審計(jì)系統(tǒng)。內(nèi)網(wǎng)中可能存在內(nèi)部系統(tǒng)維護(hù)人員對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的越權(quán)訪(fǎng)問(wèn)、違規(guī)操作,損害業(yè)務(wù)系統(tǒng)的運(yùn)行安全,或者員工隨意通過(guò)網(wǎng)絡(luò)共享文件夾、文件上傳下載、EMAIL等方式,發(fā)送重要敏感信息、業(yè)務(wù)數(shù)據(jù),導(dǎo)致信息外泄事件發(fā)生。因此為了能夠有效發(fā)現(xiàn)違反安全策略的事件并實(shí)時(shí)告警、記錄、定位,最終實(shí)現(xiàn)追蹤溯源,需要部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。
(5)戰(zhàn)略發(fā)展要求。信息系統(tǒng)安全已上升到國(guó)家戰(zhàn)略層面,為此,應(yīng)加強(qiáng)信息安全建設(shè),有效提高信息安全保障能力和水平,以保障和促進(jìn)信息化健康有序發(fā)展。
3.建設(shè)方案
(1)建設(shè)目標(biāo)。按照處信息化整體規(guī)劃方向,結(jié)合信息安全現(xiàn)狀,參照當(dāng)前主流網(wǎng)絡(luò)安全、信息安全技術(shù),建設(shè)一個(gè)安全可靠、可擴(kuò)展、可管理運(yùn)維的一體化信息安全防護(hù)支撐系統(tǒng),同時(shí)建立一套有效、可持續(xù)性的信息安全管理流程與制度。
(2)建設(shè)內(nèi)容。航標(biāo)處安全防護(hù)體系建設(shè)項(xiàng)目包含以下內(nèi)容。檢測(cè)防御類(lèi)系統(tǒng):防火墻系統(tǒng)、網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng);安全評(píng)估類(lèi)系統(tǒng):漏洞掃描系統(tǒng);安全監(jiān)管類(lèi)系統(tǒng):安全審計(jì)系統(tǒng)、堡壘機(jī)系統(tǒng)、企業(yè)安全管理系統(tǒng);終端管理系統(tǒng): 終端安全管理軟件。
(3)方案詳細(xì)設(shè)計(jì)。
①網(wǎng)絡(luò)拓?fù)鋱D如圖1。
②具體設(shè)計(jì)內(nèi)容
?防火墻系統(tǒng)
在內(nèi)網(wǎng)服務(wù)器群區(qū)出口處部署一臺(tái)防火墻設(shè)備,橋接模式部署,實(shí)現(xiàn)內(nèi)網(wǎng)服務(wù)器群區(qū)與其他區(qū)域之間邏輯隔離,保護(hù)內(nèi)網(wǎng)服務(wù)器免受其他區(qū)域不安全終端電腦的感染。
?入侵防護(hù)系統(tǒng)
在內(nèi)網(wǎng)服務(wù)器群區(qū)域出口處串接部署一臺(tái)網(wǎng)絡(luò)入侵防護(hù)系統(tǒng),針對(duì)日趨復(fù)雜的應(yīng)用安全威脅和混合型網(wǎng)絡(luò)攻擊,適應(yīng)攻防的最新發(fā)展,準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量,自動(dòng)應(yīng)對(duì)各層面安全隱患,第一時(shí)間將安全威脅阻隔在服務(wù)器群區(qū)域外部。
?入侵檢測(cè)系統(tǒng)
網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)旁路部署在核心交換區(qū)域核心交換機(jī)上,通過(guò)核心網(wǎng)絡(luò)鏡像,把所通過(guò)核心的所有網(wǎng)絡(luò)訪(fǎng)問(wèn)進(jìn)行監(jiān)測(cè),檢測(cè)與智能分析系統(tǒng)對(duì)于病毒、木馬、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出攻擊、DDoS、掃描探測(cè)、欺騙劫持、SQL注入、XSS、網(wǎng)站掛馬、異常流量等惡性攻擊行為有非常準(zhǔn)確高效的檢測(cè)效果,并通過(guò)簡(jiǎn)單易懂的去技術(shù)化語(yǔ)言幫助用戶(hù)分析威脅,對(duì)威脅進(jìn)行有效處理。
?安全審計(jì)系統(tǒng)
安全審計(jì)系統(tǒng)旁路部署在核心交換區(qū),通過(guò)核心網(wǎng)絡(luò)鏡像,把所通過(guò)該匯聚的所有網(wǎng)絡(luò)訪(fǎng)問(wèn)進(jìn)行審計(jì)。基于網(wǎng)絡(luò)行為、數(shù)據(jù)流內(nèi)容等多個(gè)層次,實(shí)現(xiàn)對(duì)用戶(hù)上網(wǎng)行為的精細(xì)化審計(jì);支持“零管理”技術(shù)從實(shí)時(shí)升級(jí)系統(tǒng)到報(bào)表系統(tǒng),從審計(jì)告警到日志備份,所有管理員需要日常進(jìn)行的操作均可由系統(tǒng)定時(shí)自動(dòng)后臺(tái)運(yùn)行。系統(tǒng)提供全面的事件日志信息的備份、恢復(fù)、清除、歸并等功能;并提供基于時(shí)間、IP地址、用戶(hù)、事件類(lèi)別等條件的檢索功能;
?堡壘機(jī)系統(tǒng)
安全審計(jì)系統(tǒng)堡壘機(jī)旁路部署在安全管理上,通過(guò)運(yùn)維管理人員通過(guò)訪(fǎng)問(wèn)該系統(tǒng)進(jìn)行單點(diǎn)訪(fǎng)問(wèn)操作系統(tǒng)、數(shù)據(jù)庫(kù)等,通過(guò)該設(shè)備進(jìn)行運(yùn)維管理與審計(jì),有效管控內(nèi)部人員操作的安全隱患、第三方維護(hù)人員安全隱患、高權(quán)限賬號(hào)濫用等所帶來(lái)的風(fēng)險(xiǎn)。實(shí)現(xiàn)自然人對(duì)資源的統(tǒng)一授權(quán),同時(shí)授權(quán)人員的運(yùn)維操作進(jìn)行記錄、分析、展現(xiàn),以幫助內(nèi)控工作事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤回放,加強(qiáng)內(nèi)部業(yè)務(wù)操作行為監(jiān)管。
4.預(yù)計(jì)效果分析
通過(guò)對(duì)航標(biāo)處網(wǎng)絡(luò)系統(tǒng)安全防護(hù)現(xiàn)狀的充分分析,結(jié)合業(yè)務(wù)系統(tǒng)的實(shí)際安全需求,對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全區(qū)域劃分,實(shí)現(xiàn)區(qū)域之間相互訪(fǎng)問(wèn)控制,重點(diǎn)對(duì)外網(wǎng)區(qū)、內(nèi)網(wǎng)服務(wù)器區(qū)、核心交換區(qū)進(jìn)行安全防護(hù)建設(shè),分別從網(wǎng)絡(luò)安全、數(shù)據(jù)安全、終端安全三個(gè)方面進(jìn)行網(wǎng)絡(luò)安全規(guī)劃,部署網(wǎng)絡(luò)安全管理區(qū),完善安全管理制度,在整個(gè)航標(biāo)處網(wǎng)絡(luò)系統(tǒng)中建立一體化安全防護(hù)體系。具體效果如下:
(1)安全區(qū)域劃分。對(duì)整個(gè)航標(biāo)處網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全區(qū)域劃分,實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)區(qū)、訪(fǎng)問(wèn)用戶(hù)、互聯(lián)網(wǎng)出口、核心交換區(qū)之間相互訪(fǎng)問(wèn)可以權(quán)限控制。通過(guò)安全區(qū)域劃分,為提升整個(gè)安全防護(hù)水準(zhǔn)提供基礎(chǔ)。
(2)提升網(wǎng)絡(luò)安全防護(hù)水平。通過(guò)在外網(wǎng)區(qū)、業(yè)務(wù)服務(wù)器區(qū)部署防火墻、入侵防護(hù)系統(tǒng)等設(shè)備,提升互聯(lián)網(wǎng)出口防護(hù)水平,保護(hù)業(yè)務(wù)服務(wù)器免受黑客入侵。
