前言:中文期刊網精心挑選了構建網絡安全保障體系范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
構建網絡安全保障體系范文1
隨著信息安全形勢的日益嚴峻,國家對信息安全產業的重視程度日益提高。2000年召開的十五屆五中全會將“強化信息網絡的安全保障體系”作為信息基礎設施建設的一部分。2003年的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)(下文簡稱27號文)對信息安全保障工作進行了全面部署,并提出“推進信息安全產業發展”。
2004年召開的十六屆四中全會已經把信息安全與政治安全、經濟安全和文化安全提到同高度。2006年的《2006-2020年國家信息化發展戰略》其中將建設國家信息安全保障體系作為戰略重點,并明確“促進我國信息安全技術和產業自主發展”。
2011年的《進一步鼓勵軟件產業和集成電路產業發展的若干政策》(國發[2011]4號)明確提出“完善網絡環境下消費者隱私及企業秘密保護制度逐步在各級政府機關和事業單位推廣符合安全要求的產品”。
美國組建了網絡安全司令部,美國將網絡空間安全由“政策”、“計劃”提升為國家戰略,1998年5月,當時的克林頓政府了第63號總統令(PDD63):《克林頓政府對關鍵基礎設施保護的政策》,成為直至現在美國政府網絡空間安全的指導性文檔,2011年5月16日,美國白宮網絡安全協調員施密特美國首份《網絡國際戰略》,2012年10月16日,簽署了《美國網絡行動政策》(PDD21),包括三類行動,網絡搜集、網絡防御、網絡進攻,奧巴馬提出到2016年整編成133支網絡部隊,最近北約網絡空間安全框架指出,目前世界上有一百多個國家具備一定的網絡作戰能力,公開發表網絡安全戰略的國家多達50多家,黨的十七大報告提出:“按照建設信息化軍隊、打贏信息化戰爭的戰略目標,加快機械化和信息化復合發展,積極開展信息化條件下軍事訓練。”十報告要求:“堅定不移把信息化作為軍隊現代化建設發展方向,推動信息化建設加速發展。”網絡安全已成為國家安全的重要議題。由于政治、經濟、文化、軍事等各個領域對信息網絡的高度依賴,國家、組織甚至個人都可能通過信息手段威脅國家安全。強調,網絡安全和信息化對一個國家很多領域都是牽一發而動全身的,要認清我們面臨的形勢和任務,充分認識做好工作的重要性和緊迫性,因勢而謀,應勢而動,順勢而為。指出,沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。
2014年7月22日國家互聯網信息辦公室、工業和信息化部、公安部正在開展聯合行動,在全國范同內集中部署打擊利用互聯網造謠、傳謠行為,三部門相關負責人呼吁廣大網民共同凈化網絡環境,不信謠、不傳謠,并積極向中國互聯網違法和不良信息舉報中心等舉報機構提供謠言信息線索。
構建網絡安全保障體系范文2
目前,信息化已經成為我國各類型企業尤其是中小型企業提高競爭力的有效武器。企業越來越依賴網絡開展業務交易,進行內部資源共享和日常溝通。但隨著開放程度的增加,存儲在網絡上的數據也開始暴露給外界,成為惡意攻擊的目標。
為了確保只有合適的人才能進入網絡,了解企業生產、經營的相關數據,使企業在生產經營中免受惡意攻擊,建設企業網絡安全已成為中小企業信息化建設的重要課題。
對于中小企業用戶來說,信息安全將不再是一項IT技術問題,而已被賦予集成協作、管理策略等更豐富的內涵。對于廣大中小企業來說,該如何構建適合自己的網絡安全保障體系呢?
企業安全環境分析
安全體系的構建是為了解決企業中所存在或可能存在的安全問題。因此在構建安全保障體系之前,我們應首先了解中小企業所面臨的安全問題有哪些。由于中小企業網絡系統特有的開放性,其所面臨的安全問題主要有以下幾個方面:
1.外網安全。外網安全問題主要包括黑客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等,這些已成為目前影響最為廣泛的安全威脅。
2.內網安全。最新調查顯示,在受調查的企業中,60%以上的員工利用網絡處理私人事務。對網絡的不正當使用,降低了企業生產率,消耗了企業網絡資源,同時還會引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密。
3.內部網絡之間、內外網絡之間的連接安全。隨著企業的發展壯大,如何在保證信息共享的情況下,防止重要信息的泄漏,已經成為企業必須考慮的問題。
網絡可用性分析
網絡可用性是指網絡信息可被授權實體訪問并按需求使用的特性。今天很多企業的經濟效益都與網絡的連續可用性、完整息相關。隨著越來越多的信息以數字化的格式出現,企業面臨著如何以相同或者更少的資源管理迅速增長的信息的挑戰。
Dos/DDos這樣的網絡攻擊是最常見的破壞網絡可用性的攻擊方式。通常,企業可通過部署防火墻、負載均衡設備來保證網絡可用性的安全。
系統可用性分析
中小企業網絡中的主機、數據庫、應用服務器系統的安全運行同樣十分關鍵,網絡安全體系必須保證這些系統不會遭受來自網絡外部的非法訪問、惡意入侵和破壞。
系統可用性是指一個系統應確保一項服務或者資源總是可以被訪問到的。網絡可靠性可以增加系統的整體可用性,用戶必須考慮到當某些系統部件出錯時,如何保障系統的可用性。
我們可以在環境中設置冗余組件和錯誤恢復機制,這樣當某些組件的錯誤對系統的可靠性產生不良影響時,就可以通過使用系統冗余,讓整個系統的服務仍然可用。
數據機密性分析
對于中小企業網絡,保密數據的泄密將直接帶來企業商業利益的損失。網絡安全系統應保證機密信息在存儲與傳輸時的保密性。
從電子數據產生以來,對于數據保護的需求一直沒有發生變化:需要防止數據受到無意或者有意的破壞。最近發生的一系列事件使得數據保護和災難恢復問題成為人們關注的焦點。越來越多的企業意識到,如果他們的數據中心遭受重大損失,那么恢復數據將需要大量的精力和時間。數據保護解決方案是一系列技術和流程的組合。
訪問可控性分析
除了保證機密數據的安全,對關鍵網絡、系統和數據的訪問,也必須得到有效控制。這要求系統能夠可靠確認訪問者的身份,謹慎授權,并對任何訪問進行跟蹤記錄。
可以說,訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。在今天,訪問控制涉及的技術比較廣泛,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。
網絡可管理性分析
可管理性既是觀察網絡可用性的一個窗口,也是提供可用性的一個工具。企業可以利用網絡管理來確定關鍵性的資源、流量類型與性能級別。網絡管理也可以被用來設定設備故障的類別。它可以提供顯示網絡狀態的復雜報告。企業還可以利用對網絡的管理來設定,在硬件性能下降時,系統自動采取應對行動的策略。
因此,企業在構建網絡安全系統時應包括審計和日志功能,可以對相關重要操作提供可靠而方便的管理和維護。
鏈接:UTM更能滿足中小企業的網絡安全需求
網絡安全系統通常是由防火墻、入侵檢測、漏洞掃描、安全審計、防病毒、流量監控等功能產品組成的。但由于安全產品來自不同的廠商,沒有統一的標準,因此安全產品之間無法進行信息交換,形成許多安全孤島和安全盲區。而企業用戶目前急需的是建立一個規范的安全管理平臺,對各種安全產品進行統一管理。
此外,面對各種新形式下的安全問題,傳統的安全設備已經顯得無能為力,例如針對Windows系統和Oracle/SQL Server等數據庫的攻擊。這些攻擊和入侵手段封裝在TCP/IP協議的有效載荷部分。傳統的防火墻由于只查TCP/IP協議包頭部分而不檢查數據包的內容,所以無法檢測出此類攻擊。基于網絡傳播的病毒、間諜軟件、垃圾郵件給互聯網用戶造成了巨大的損失,層出不窮的即時消息和P2P應用(例如QQ和BT下載)給企業帶來許多安全威脅并大大降低員工的工作效率。傳統的防火墻設備在面對這些復合型的安全威脅時,已經不能滿足客戶的安全需求。
于是,UTM產品應運而生,并且正在逐步得到市場的認可。UTM安全、管理方便的特點,是安全設備最大的優勢,而這往往也是中小企業對產品的主要需求。
構建網絡安全保障體系范文3
從安全技術架構來說,網站群的安全問題主要在于網絡層、操作系統、數據庫的安全。高職院校一般都具備獨立的數據中心。以浙江醫藥高等專科學校為例,目前已建有MIS+S(基本信息安全保障)系統架構,隨著硬件驅動已轉變為應用驅動,網絡信息基礎設施和服務都有了大幅度的提升,能夠從物理安全、網絡安全、系統安全、應用安全四個環節,打造網站群安全防范技術體系,實現動態防御、主機安全、備份和恢復、安全審計、安全測試配置、安全監控,應用分析等目標。
1.1動態防御
網站群安全防范技術體系以往,我們通常利用防火墻、雙核心網絡設備以及DMZ區來實現應用防護,防范惡意攻擊和病毒入侵的能力有限。在網絡安全問題日趨嚴重和復雜的情況下,需要加固原有的網絡拓撲結構,增加應用防護系統、統一防惡意代碼軟件、網絡管理系統,與防火墻一起建立動態防御體系。只有為網站群和服務建立訪問控制體系,才能將絕大多數攻擊阻止在到達攻擊目標之前,或攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標,最終提升網站群系統的物理安全、網絡安全和應用安全。我們將網站群系統所在區域從原DMZ區劃分出來,與其他Web應用一起規劃為安全級別較高的WebServer服務區域。同時,在該區域部署統一惡意代碼防范管理系統,建立安全的病毒防護措施。在核心交換和WebServer服務區域間,通過串聯部署方式,增加一臺WAF(應用防護系統),起到防護Web應用、漏洞檢測作用,確保網站群在內的Web應用完整性。同時,開啟硬件防火墻上的網站防篡改、IPS功能、日志功能,建立攻擊監控體系,實時檢測出絕大多數攻擊,并采取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源,等)。網站群系統管理員在統一惡意代碼防范管理平臺上,對網站群主機進行遠程控制。包括:遠程啟動或停止實時監控、手動掃描、實時更新、功能組件配置、設定分組任務或策略,等,以有效阻隔外來病毒入侵及內部病毒清除,有效保障系統安全。眾所周知,網絡攻擊也可以來自于局域網內部,如內網DoS攻擊、ARP等病毒攻擊。對于內網攻擊的防范,通常采取的應對方法有:為內網終端安裝病毒防護軟件、加強用戶病毒查殺意識,在網絡設備上劃分VLAN進行邏輯隔離、設置ACL訪問控制。現階段,我們還啟用硬件防火墻上的IPS、DDoS/DoS內網防護、病毒防御策略等功能來加強防范。同時,利用上網行為管理設備,對內網終端實施安全檢查、網絡準入控制、行為審計、危險流量封堵、木馬病毒查殺等安全防護措施,針對內網攻擊事件查看分析用戶行為記錄并定位,并且依據學校相關規章制度進行處置處理(如《校園網用戶守則》、《校園網聯網安全保護管理辦法》、《校園網系統安全管理制度》,等),提高局域網內部的綜合防范能力,減少內網攻擊事件的發生。
1.2主機安全
主機安全是網站群系統安全的保障。可以采用雙機熱備的方式來解決主機冗余問題。但是,由于網站群系統應用的重要性和網絡安全的復雜性,為提高主機安全能力,還需要構建主機集群環境,以保障網站群系統的持續運行。目前,高職院校為提高數據中心的利用率和采購運行成本,通常會采用服務器虛擬化軟件規劃虛擬數據中心。在該環境中,統一存儲設備部署在后端,為物理服務器(虛擬主機)提供空間資源,并為前端虛擬機提供數據存儲資源;數臺高性能服務器作為虛擬主機,隨時劃分前端虛擬機,并提供虛擬機所需的CPU、內存資源、存儲器訪問權和網絡連接能力,滿足各項應用的服務器需求。采用虛擬機(VM)部署網站群雙機熱備,在降低采購成本的同時,提高了網站群主機的靈活性、冗余保障和容災遷移能力,保障網站群主機操作系統的安全需求。為了減少網站群所在虛擬主機(物理服務器)的單點故障,實現網站群系統的不間斷運行,我們利用vSphere集群功能,在虛擬數據中心內,配置HA(highavailability)高可用集群(如圖4所示)。HA允許一個集群中在資源許可的情況下,將一臺出現故障的虛擬主機上面的網站群虛擬機切換到集群中另一臺虛擬主機上運行(如192.168.0.116和192.168.0.118)。應用業務時間間斷由VM系統啟動時間、應用啟動時間、心跳檢測時間構成。
1.3備份和恢復
數據資料是整個網站群系統運作的核心,建立良好的備份和恢復機制,可以在應用系統遭受攻擊時,盡快地恢復數據和系統服務。以往,為降低備份容災成本,會采用純軟件模式,通過編輯腳本文件,連接兩臺熱備服務器,將數據實時復制到另一臺服務器上,如果一臺服務器出現故障,可以及時切換到另一臺服務器,避免了磁盤陣列的單點故障。在網絡安全的新形勢下,為實現應用數據及業務存儲系統的完整性和可靠性,我們在網絡拓樸的DMZ區域,接入存儲備份一體機(浙江醫藥高等專科學校采用SymantecBE3600),構建高可用性的存儲備份環境。利用其存儲空間及備份管理系統,實現有效的異地備份,為網站群的容災備份提供了進一步的安全保障。通過制定備份策略,選擇合適的備份頻率,采用完全備份、增量備份、差分備份或按需備份的組合方式,確保及時恢復失敗的網站群虛擬機,快速恢復丟失的應用程序服務,全面提升網站群的數據安全及備份恢復能力,避免在各種極端情況下造成的重大損失和惡劣影響。
1.4安全審計
網站群要達到可控性與可審查性,就必須對站點的訪問活動進行多層次的記錄。安全審計是網站群主機安全和應用安全中的重要環節,審計范圍要覆蓋到主機上的每個操作系統用戶和數據庫用戶,審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等安全相關事件,及時發現非法入侵行為。以旁路方式部署了一臺審計設備,并接入核心交換。審計設備通過對交換機的鏡像口進行旁路監聽。網站群系統管理員可通過B/S方式使用日志管理綜合審計系統,從網絡運行維護、數據庫安全及系統安全審計等方面,采集所有網站群的數據庫訪問行為記錄,收集客觀、實時的分析數據。一旦發生網站群網絡信息安全事件,系統管理員可根據網站群用戶對數據庫系統的所有操作信息,進行準確快速定位,并排除安全隱患。此外,為確保安全審計,還應要求網站群開發人員去除或隱藏程序中的刪除日志功能。
1.5安全測試與配置
由于網絡安全不是絕對的,因此,在建立技術防范體系后,我們按照《信息安全技術信息系統安全等級保護基本要求》中的第二級基本要求,對網站群的操作系統、數據庫和應用系統進行集成測試和配置。主要包括身份鑒別、訪問控制、入侵防范、資源控制、數據完整性和保密性,從而確保信息和管理安全。我們采用Centos和Oracle來構建網站群的操作系統和數據庫環境,相關配置如下:
1.5.1身份鑒別良好的身份認證體系可防止攻擊者假冒合法用戶。為此,須對登錄操作系統、數據庫系統、網站群的用戶進行身份標識和鑒別,操作系統和數據庫系統管理用戶身份標識應具有不易冒用的特點,并確保用戶名具有惟一性。因此,我們做了相關配置:編輯操作系統文件etc/login.defs文件,應達到密碼定期更換要求。如:PASS_MAX_DAYS90#新建用戶的密碼最長使用天數PASS_MIN_DAYS0#新建用戶的密碼最短使用天數PASS_WARN_AGE7#新建用戶的密碼到期提前提醒天數PASS_MIN_LEN6#最小密碼長度6編輯操作系統文件/etc/pam.d/system-auth文件,應達到密碼復雜度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密碼最小長度6位和至少包含2數字、至少包含2個特殊字符數編輯操作系統文件etc/pam.d/system-auth文件,采取結束會話、限制非法登錄次數和自動退出等措施,實現登錄失敗處理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#設置密碼連續錯誤6次鎖定,鎖定時間300s。對于數據庫的身份鑒別,我們通過配置Oracle公司提供的驗證密碼復雜度的函數來實現。對于網站群系統,后臺管理用戶密碼復雜度設置高級別,對密碼的長度、大小寫、特殊字符都方面都要做要求,同時設置口令有效期。
1.5.2訪問控制訪問控制更側重于管理層面,要求操作系統和數據庫管理帳號和實際操作都必須為不同人員。我們制定相關崗位職責文件,實現權限分離,責任分離。如:依據安全策略控制用戶對資源的訪問;實現操作系統和數據庫系統用戶權限期的分離;限制默認帳戶的訪問權限,重命名系統默認帳戶,修改帳戶的默認口令;應及時刪除多余的、過期的帳戶,避免共享帳戶的存在。此外,我們對網站群的角色權限進行細分,做到權限相互制約。如超級管理員具有所有功能的操作權限,二級網站管理員只能具有自己站點的操作權限,審計員只能查看安全日志。
1.5.3入侵防范做好入侵防范措施。在操作系統方面,我們遵循最小安裝的原則,僅安裝需要的組件和應用程序,使得端口和服務實現最小化;通過對安全漏洞的周期檢查,設置升級服務器等方式保持系統補丁及時得到更新,從而使絕大多數攻擊無效。
1.5.4資源控制系統資源控制主要指終端接入的方式、IP地址范圍及登錄次數限制。我們做了相關配置。
2網站群安全防范措施
單純期望某一個安全技術或體系架構就能夠全面消除或解決網絡安全威脅和風險的想法是不現實的。高職院校網站安全問題突出,還歸結于學校對網站安全不重視,網站信息保護意識差,網站日常維護缺失,等。我們只能通過大量實踐,在網絡安全實戰對抗中不斷完善,明確責任和義務,建立管理制度和安全制度。管理是網絡安全的重要部分,在對網站群部署進行有效的安全風險(安全威脅)識別和評估后,我們還圍繞技術層面、組織層面、管理層面、服務層面,完善網站群安全防范措施。建立學校、部門兩級運行維護的組織體系,按集中建站、分級管理、制度約束、服務保障的原則,通過統一策劃、統一標準、統一資源、統一平臺來實現集中建站。按照國家有關規章制度和安全辦法(策略),形成制度約束機制,確保網站群在高效、安全、有序的體系下運作。理順管理體制與職責,構建主站和子站間的垂直管理體系,制定網站群管理辦法、建立網站群管理和信息員制度、制定安全規范及操作手冊、建立內容管理與審核制度、明確各網站內容管理與運行管理崗位職責、規范工作流程、完善信息等環節,全面做好網站群安全管理工作。通過提升服務管理水平,構建健全的網站群服務體系。我們參考ISO/IEC20000-1采用的PDCA方法論,從規劃(P)、實施(D)、檢查(C)、改進(A)四個方面著手,根據學校技術、政策和資源等實際環境,加強安全服務管理,確保網站群服務水平。并參考信息安全服務體系,從安全評估服務、安全修復服務、安全保障服務、安全信息服務、安全培訓服務、數據恢復服務、產品集成服務八個方面,加強安全服務。
3網站群保障體系構建效果
構建網絡安全保障體系范文4
Abstract: Aiming at the network security architecture, make a research and analysis; based on expounding the network security architecture, introduce the content of network security architecture design, and ensure the network security, so as to provide a more stable service for people.
關鍵詞: 網絡安全;結構體系;設計要點
Key words: network security;structural system;design points
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-4311(2017)03-0080-02
0 引言
信息技術的快速發展,使計算機網絡的連接形式變得更加多樣化,而網絡本身又具有開放性和互聯性,終端的分布具有不均勻性,在這樣的背景之下,計算機網絡在具體運行過程中容易遭受黑客攻擊,不僅會影響用于在具體應用過程中的安全性,而且會導致用戶的信息發生泄漏,并且會伴隨著較為嚴重的經濟損失,因此構建網絡安全體系勢在必行。
1 網絡安全體系結構
一般來說,網絡安全體系設計過程分為以下四步:①網絡安全策略定義。②網絡安全需求分析。③網絡安全設計。④網絡安全實現。設計模型圖如圖1所示。
從現代網絡的具體應用情況來看,從高級安全需求分析滲入到具體執行上,兩者之間存在的一定差距[1]。從高級策略不斷發展,最終形成了一個結構和功能復雜的系統,部分組件可能會呈現出不一定特性,將會引起錯誤的執行需要的安全策略,引起危險的失誤和安全漏洞。
1.1 安全策略定義
詳細的描述安全策略定義,該過程中的最終目的是能夠為網絡的正常使用提供有效的支持,同時需要相關研究人員注意的是,在分析網絡安全系統過程中,應當與其領域的科學結合,從而使其適應性能夠得到進一步提高。例如,操作安全、人員安全、物理安全、社會機制等多項內容。該過程通常依據對企業中存在的風險進行分析,并且需要將高級安全策略和控制作為整個操作的主要依據,最后通過自然語言描述控制文檔和網絡安全,這也就是我們常說的高級安全策略。
1.2 安全需求分析
安全需求分析是網絡安全體系結構設計的第二步,其是上一步高級安全策略形式內容的具體描述。通過大量的實踐可以發現,通過形式化完成對高級安全策略的具體描述可以具有諸多優點,主要體現在以下幾個方面:通過分析可以全面細致的完成對沖突的檢查,同時也可以將高級策略中的模糊描述消除[2]。曾有學者提出,通過行形式化方法對高級安全策略進行處理,并且取得了不錯的效果。
2 網絡安全設計的具體內容
2.1 設計的目標
現代網絡的快速發展與應用,一方面使人們的生活和工作變得更加便利,另一方面也增加了安全隱患,人們在生活與工作中利用網絡的同時必須加強對安全問題的思考。隨著人們網絡安全意識的不斷提升,人們在應用網絡中,加強了對網絡安全設計的研究與分析。
2.2 體系結構設計
安全體系的構建要依據安全需求的具體情況而定,只有這樣才能使最終所設計的系統與實際情況相符。在設計過程中,依據OSI模型中各個層之間存在的依賴性,安全方面的需求,從邏輯角度出發,科學的將安全內容細致的分到不同層中。具體內容如下:
①物理層:該層在信息安全上存在的問題主要集中在,物理通量受到非法竊停和干擾等,從而會對物理層的性能造成不良影響。
②鏈路層:該層的主要作用是確保通過鏈路層所傳送的信息,在傳送過程中不會受到外界的截取。在具體操作過程中采用方式為劃分局域網、遠程網等手段[3]。
③網絡層:該層的作用是避免網絡服務被非法人員使用,通過網絡層的有效控制,使得只有授權的客戶才能夠享受到相應的服務,通過該方式可以確保網絡路由的正確性,提供了網絡層的安全性,有效地避免了數據被監聽。操作系統,保證資料和訪問控制的安全性,同時在操作過程中,要對系統中涉及到的內容進行審計,審計工作要依據相關的標準進行,確保最終審計結果的合理性,有效地避免安全問題的發生。
④應用平臺與應用系統。前者指的是應用軟件服務,目前比較常見的有數據庫、電子郵件服務器等,通過分析不難發現,應用平臺中的系統的結構復雜,應用相對說比較繁瑣,為了提高應用平臺的安全性,通過需要通過多種技術完成,比較常見的技術有SSL;后者的作用就是為用戶服務,系統的安全與設計實現兩者之間的聯系十分緊密。通過科學的方式應用系統,能夠為應用平臺提供全服務得到相應的保護。
2.3 安全策略的設計與實現
安全策略的設計與實現是網絡安全體系結構設計過程中的第一步,該過程的主要目的是確定科學的安全策略。但是,在具體應用中,受各方面因素的影響,計算機網絡配置與部門兩項內容在具體操作過程中會發生改變,而這種改變通常都是不可控和不可預知的,這也就直接導致了安全需求也會發生改變,并且該變化通常都比較明顯,會引起一系列的變化。由此可以判斷,網絡安全自身并不是靜止不變的,因此要不斷調整和完善安全策略內容。企業在具體運用過程中要想獲取理想的經濟收益,就必須要確保具有一個科學的安全策略,并且要按照規范的要求執行。安全策略在企業中的應用,需要能夠全面、清楚識別存在風險的資源,并且要依據企業和其所處的具體環境給出合理的環節威脅的具體方法。該策略的核心問題是對系統中的哪一個用戶可以訪問哪一種資源進行定義,從而避免資源被非法訪問而引發安全問題[4]。需要注意的是,需要做好對審計跟蹤用戶進行定義,同時需要幫助用戶對出現的傷害進行識別,并且要及時做出相應的響應,避免危害進一步擴大,造成更大的影響。
安全策略管理要需要包含所有的安全組件。例如,路由器、訪問列表、防火墻等,從而構建網絡安全策略管理實現的實現模型。目前,網絡安全策略管理實現的模型以IETF安全體系框架中的RFC275策略管理為基礎,該模型策略管理的應用十分廣泛,在整個網絡中都所有分布。現階段,適合所有用戶的有網絡安全層以及服務網絡安全層。策略管理包括的功能有以下幾點:策略實現點、策略決定點、策略倉庫。網絡策略中的每一項信息點都應被存儲在策略倉庫中,完成對計算機以及網絡用戶各項內容的研究與分析,各項內容的執行都應當在倉庫內完成,確保執行結果的合理性。
策略服務器與策略決定點兩者都是對網絡進行抽象,成為策略控制信息,再將信息傳遞給策略執行點。策略實現點接受PAPs中的策略,作為網絡或安全設備。公共開放策略服務以TCP作為基礎協議進行應答,從而完成PEPs和PDP兩者之間策略信息的交換。
3 網絡安全的實現
網絡安全體系結構中,安全管理運的工作站和服務器上,對網絡輔助級和網絡及的上的安全,通過對應用級的安全管理來實現。在網絡操作者中存在一些身份較為特殊的用戶,這些用戶的認證主體和授權程序都更為嚴格。因此,管理人員在具體操作過程中具有更大的功能權限和訪問授權,因此為了確保一切操作的安全性,他們的行為和訪問等操作都必須要安全,從而確保網絡的性能、配置以及存活能力都能夠達到要求標準。通過大量實踐經驗可以發現,企業的網絡管理系統的開放性和集中性越高,安全管理的需求也就越急迫[5]。安全網絡管理是一個整體方法,網絡安全體系結構包含多個領域。在具體操作過程中,記錄安全行為對用戶以及管理員在網絡結構的各項行為都有著嚴格的要求。
為了確保操作的合理性,網絡操作者認證需要在集中管理和執行口令的基礎上完成,確保沒有獲得授權的用戶無法訪問系統,通過這一方式有效地避免了非法訪問的出現。網絡操作者授權通過已經認證的身份對用戶的訪問權限進行認證,判斷得到授權的用戶可以在系統中的對哪些內容進行訪問,實現何種功能。網絡管理事物加密起到的作用就是保護網絡管理數據的機密性,避免數據被非法人員盜取,通過加密能夠對外部和內部都提供高度保護,從而確保網絡體系結構的安全。操作者安全遠程訪問:對IPsec進行合理應用,提供一個VPN,這是一種強制性的解決方案,通過該方案可以為遠程操作者提供科學的加密和認證。利用防火墻和VLANs將網絡分離開,在管理上要分開進行。在應用通過入侵檢測系統鎖構成的管理服務器,通過提出管理員存在的不安因素(例如,在運行過程中,服務其妥協和拒絕服務襲擊),完成對網絡的保護操作。
網絡安全體系實現的實例如下:某企業為了確保企業中網絡安全采取了以下措施:①構建防火墻。在網關上安裝防火墻,分組過濾和ip偽裝,監視網絡內外的通信,全面掌握企業網絡情況。②采用身份驗證技術。針對企業中的不同用戶設定了不同的訪問權限,并且定期對用戶的權限進行檢查,避免非法訪問。③入侵檢測技術。④口令管理。每個用戶設置口令,定義口令存活期。⑤病毒防護安裝殺毒軟件,及時查殺服務器和終端;限制共享目錄及讀寫權限;限制網上下載和盜版軟件使用。⑤系統管理,及時下載安裝系統補丁;設置開機口令;設置屏保口令;刪除不用賬戶。該企業通過以上方式,構建了網絡安全體系,確保了企業中網絡的安全性。
4 結束語
網絡安全體系結構的設計與實現對用戶使用網絡的安全性會產生直接影響,同時也會對計算機網絡安全的健康發展造成影響。在提出網絡安全系統設計框架基礎上,對網絡安全的設計問題進行詳細劃分,提出了安全體系結構模型和策略管理執行模型的設計與實現。最后合理地將安全體系結構、安全策略管理的實現與網絡機制結合,確保了高級安全策略向網絡安全機制的合理過渡,推動了網絡的健康發展。同時,本文也為網絡安全體系結構的設計與實現指明了方向。
參考文獻:
[1]梁樹軍,李玉華,尚展壘.基于訪問控制技術的網絡安全體系結構研究與設計[J].網絡安全技術與應用,2016(05):23-24.
[2]姜.金保工程信息網絡安全保障體系設計與實現[J]. 數字技術與應用,2016(05):201.
[3]羅旬,嚴承華.無線Mesh網絡安全體系研究與設計[J].信息網絡安全,2015(06):61-66.
構建網絡安全保障體系范文5
網絡經濟下的財務管理創新
1目標的創新
現代網絡經濟的發展,為企業的生產、經營、業務等環節提出了更高的目標要求,比如網絡為企業的客戶來源提供了新的方式,也為企業的業務流程帶來了新的變化,如何協調企業的財務管理向網絡客戶資源的轉變是企業財務管理的重要問題,如何從企業的傳統的經營管理目標中不斷調整策略、不斷更新思路,以實現對知識經濟最大化的綜合目標的管理,已成為企業面臨網絡信息化的客觀需求。
2管理模式的創新
網絡條件下的財務管理,使得授權的任何人、在任何時間、任何地點來對企業財務活動的相關業務進行分散式或集中式管理,如對企業財務的遠程控制、查賬、審計、報表處理等,并通過Web來監控對企業財務狀況的有效監督,從而提高企業資金的合理調配。
3工作方式的創新
借助于互聯網,使得企業財務人員的工作方式發生了新的變化,當財務人員需要工作時,通過網絡可以實現在網絡上辦公、跨區域辦公,并通過網絡實時查詢企業財務信息以及各分支機構的財務狀況,并對網絡賬務進行實時的跟蹤和監督。
4財務軟件的創新
新的互聯網技術的發展,推動企業財務管理軟件的更新,以企業人、財、物與產、銷、送等環節的一體化發展。比如,利用互聯網實現對網上采購、支付、配送查詢,以及消費信息反饋等。
網絡經濟時代下的財務管理發展思路
1更新財務管理理念
網絡經濟的發展,使得知識成為企業財富的核心要素,企業財務人員必須轉變管理理念,充分認識到知識資本的特征和重要意義,理清知識資本在企業面對市場和未來發展中的關系和作用,利用網絡平臺,積極發掘知識資本的價值,既要為知識資本提供相應的發展條件,又要促進知識資本的快速、持續增長。
2強化網絡技術培訓
財務人員作為未來企業財務管理的中堅力量,必須加強對自身網絡技術的培訓和學習,以應對企業財務管理發展的需要,比如學習一些涉及網絡安全的知識、利用網絡通過企業競爭力的金融工具或者管理投資策略。通過對企業財務相關信息的學習,增強對企業運行過程中的問題和現象進行正確的分析和評估,以規避網絡經濟下的財務管理風險。
3強化對企業網絡業務流程的分析和重組
網絡經濟為企業的商務活動提供了廣闊的平臺,以數字化媒介為主的現代財務管理,將信息流、資金流等建立在跨區域發展的物流基礎之上,并促進企業重新對企業的價值鏈進行分析和重組,優化業務流程、降低成本,并從企業競爭中提升自身的綜合競爭力。
4建立財務風險預測機制
網絡化管理的深入發展,為企業的商業經營活動帶來了更多潛在的風險,為此,建立相應的企業財務風險預測機制,加強對財務風險因素的有效監督,通過設置預警指標、閾值以及風險發生概率等,以實現對可能的風險進行及時準確的控制和管理。
5構建網絡安全保障體系
構建網絡安全保障體系范文6
20多年來,我國互聯網發展取得的顯著成就中,包括一批技術方面的成就。目前,在世界互聯網企業前10強中,我們占了4席。在第二屆世界互聯網大會期間,我去看了“互聯網之光”博覽會,來自全球的250多家企業展出的1000多項新技術新成果中,我們也占了不少,這令人高興。同時,我們也要看到,同世界先進水平相比,同建設網絡強國戰略目標相比,我們在很多方面還有不小差距,特別是在互聯網創新能力、基礎設施建設、信息資源共享、產業實力等方面還存在不小差距,其中最大的差距在核心技術上。
互聯網核心技術是我們最大的“命門”,核心技術受制于人是我們最大的隱患。一個互聯網企業即便規模再大、市值再高,如果核心元器件嚴重依賴外國,供應鏈的“命門”掌握在別人手里,那就好比在別人的墻基上砌房子,再大再漂亮也可能經不起風雨,甚至會不堪一擊。我們要掌握我國互聯網發展主動權,保障互聯網安全、國家安全,就必須突破核心技術這個難題,爭取在某些領域、某些方面實現“彎道超車”。
核心技術要取得突破,就要有決心、恒心、重心。有決心,就是要樹立頑強拼搏、刻苦攻關的志氣,堅定不移實施創新驅動發展戰略,把更多人力物力財力投向核心技術研發,集合精銳力量,作出戰略性安排。有恒心,就是要制定信息領域核心技術設備發展戰略綱要,制定路線圖、時間表、任務書,明確近期、中期、遠期目標,遵循技術規律,分梯次、分門類、分階段推進,咬定青山不放松。有重心,就是要立足我國國情,面向世界科技前沿,面向國家重大需求,面向國民經濟主戰場,緊緊圍繞攀登戰略制高點,強化重要領域和關鍵環節任務部署,把方向搞清楚,把重點搞清楚。否則,花了很多錢、投入了很多資源,最后南轅北轍,是難以取得成效的。
什么是核心技術?我看,可以從三個方面把握。一是基礎技術、通用技術。二是非對稱技術、“殺手锏”技術。三是前沿技術、顛覆性技術。在這些領域,我們同國外處在同一條起跑線上,如果能夠超前部署、集中攻關,很有可能實現從跟跑并跑到并跑領跑的轉變。我國網信領域廣大企業家、專家學者、科技人員要樹立這個雄心壯志,要爭這口氣,努力盡快在核心技術上取得新的重大突破。正所謂“日日行,不怕千萬里;常常做,不怕千萬事”。
我國信息技術產業體系相對完善、基礎較好,在一些領域已經接近或達到世界先進水平,市場空間很大,有條件有能力在核心技術上取得更大進步,關鍵是要理清思路、腳踏實地去干。
第一,正確處理開放和自主的關系。互聯網讓世界變成了地球村,推動國際社會越來越成為你中有我、我中有你的命運共同體。現在,有一種觀點認為,互聯網很復雜、很難治理,不如一封了之、一關了之。這種說法是不正確的,也不是解決問題的辦法。中國開放的大門不能關上,也不會關上。我們要鼓勵和支持我國網信企業走出去,深化互聯網國際交流合作,積極參與“一帶一路”建設,做到“國家利益在哪里,信息化就覆蓋到哪里”。外國互聯網企業,只要遵守我國法律法規,我們都歡迎。
現在,在技術發展上有兩種觀點值得注意。一種觀點認為,要關起門來,另起爐灶,徹底擺脫對外國技術的依賴,靠自主創新謀發展,否則總跟在別人后面跑,永遠追不上。另一種觀點認為,要開放創新,站在巨人肩膀上發展自己的技術,不然也追不上。這兩種觀點都有一定道理,但也都絕對了一些,沒有辯證看待問題。一方面,核心技術是國之重器,最關鍵最核心的技術要立足自主創新、自立自強。市場換不來核心技術,有錢也買不來核心技術,必須靠自己研發、自己發展。另一方面,我們強調自主創新,不是關起門來搞研發,一定要堅持開放創新,只有跟高手過招才知道差距,不能夜郎自大。
我們不拒絕任何新技術,新技術是人類文明發展的成果,只要有利于提高我國社會生產力水平、有利于改善人民生活,我們都不拒絕。問題是要搞清楚哪些是可以引進但必須安全可控的,哪些是可以引進消化吸收再創新的,哪些是可以同別人合作開發的,哪些是必須依靠自己的力量自主創新的。核心技術的根源問題是基礎研究問題,基礎研究搞不好,應用技術就會成為無源之水、無本之木。
第二,在科研投入上集中力量辦大事。近年來,我們在核心技術研發上投的錢不少,但效果還不是很明顯。我看,主要問題是好鋼沒有用在刀刃上。要圍繞國家亟需突破的核心技術,把拳頭攥緊,堅持不懈做下去。
第三,積極推動核心技術成果轉化。技術要發展,必須要使用。在全球信息領域,創新鏈、產業鏈、價值鏈整合能力越來越成為決定成敗的關鍵。核心技術研發的最終結果,不應只是技術報告、科研論文、實驗室樣品,而應是市場產品、技術實力、產業實力。核心技術脫離了它的產業鏈、價值鏈、生態系統,上下游不銜接,就可能白忙活一場。
科研和經濟不能搞成“兩張皮”,要著力推進核心技術成果轉化和產業化。經過一定范圍論證,該用的就要用。我們自己推出的新技術新產品,在應用中出現一些問題是自然的。可以在用的過程中繼續改進,不斷提高質量。如果大家都不用,就是報一個課題完成報告,然后束之高閣,那永遠發展不起來。
第四,推動強強聯合、協同攻關。要打好核心技術研發攻堅戰,不僅要把沖鋒號吹起來,而且要把集合號吹起來,也就是要把最強的力量積聚起來共同干,組成攻關的突擊隊、特種兵。我們同國際先進水平在核心技術上差距懸殊,一個很突出的原因,是我們的骨干企業沒有像微軟、英特爾、谷歌、蘋果那樣形成協同效應。美國有個所謂的“文泰來”聯盟,微軟的視窗操作系統只配對英特爾的芯片。在核心技術研發上,強強聯合比單打獨斗效果要好,要在這方面拿出些辦法來,徹底擺脫部門利益和門戶之見的束縛。抱著寧為雞頭、不為鳳尾的想法,抱著自己擁有一畝三分地的想法,形不成合力,是難以成事的。
一些同志關于組建產學研用聯盟的建議很好。比如,可以組建“互聯網+”聯盟、高端芯片聯盟等,加強戰略、技術、標準、市場等溝通協作,協同創新攻關。可以探索搞揭榜掛帥,把需要的關鍵核心技術項目張出榜來,英雄不論出處,誰有本事誰就揭榜。在這方面,既要發揮國有企業作用,也要發揮民營企業作用,也可以兩方面聯手來干。還可以探索更加緊密的資本型協作機制,成立核心技術研發投資公司,發揮龍頭企業優勢,帶動中小企業發展,既解決上游企業技術推廣應用問題,也解決下游企業“缺芯少魂”問題。
正確處理安全和發展的關系
網絡安全和信息化是相輔相成的。安全是發展的前提,發展是安全的保障,安全和發展要同步推進。我們一定要認識到,古往今來,很多技術都是“雙刃劍”,一方面可以造福社會、造福人民,另一方面也可以被一些人用來損害社會公共利益和民眾利益。從世界范圍看,網絡安全威脅和風險日益突出,并日益向政治、經濟、文化、社會、生態、國防等領域傳導滲透。特別是國家關鍵信息基礎設施面臨較大風險隱患,網絡安全防控能力薄弱,難以有效應對國家級、有組織的高強度網絡攻擊。這對世界各國都是一個難題,我們當然也不例外。
面對復雜嚴峻的網絡安全形勢,我們要保持清醒頭腦,各方面齊抓共管,切實維護網絡安全。
第一,樹立正確的網絡安全觀。理念決定行動。當今的網絡安全,有幾個主要特點。一是網絡安全是整體的而不是割裂的。在信息時代,網絡安全對國家安全牽一發而動全身,同許多其他方面的安全都有著密切關系。二是網絡安全是動態的而不是靜態的。信息技術變化越來越快,過去分散獨立的網絡變得高度關聯、相互依賴,網絡安全的威脅來源和攻擊手段不斷變化,那種依靠裝幾個安全設備和安全軟件就想永保安全的想法已不合時宜,需要樹立動態、綜合的防護理念。三是網絡安全是開放的而不是封閉的。只有立足開放環境,加強對外交流、合作、互動、博弈,吸收先進技術,網絡安全水平才會不斷提高。四是網絡安全是相對的而不是絕對的。沒有絕對安全,要立足基本國情保安全,避免不計成本追求絕對安全,那樣不僅會背上沉重負擔,甚至可能顧此失彼。五是網絡安全是共同的而不是孤立的。網絡安全為人民,網絡安全靠人民,維護網絡安全是全社會共同責任,需要政府、企業、社會組織、廣大網民共同參與,共筑網絡安全防線。這幾個特點,各有關方面要好好把握。
第二,加快構建關鍵信息基礎設施安全保障體系。金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標。“物理隔離”防線可被跨網入侵,電力調配指令可被惡意篡改,金融交易信息可被竊取,這些都是重大風險隱患。不出問題則已,一出就可能導致交通中斷、金融紊亂、電力癱瘓等問題,具有很大的破壞性和殺傷力。我們必須深入研究,采取有效措施,切實做好國家關鍵信息基礎設施安全防護。
第三,全天候全方位感知網絡安全態勢。知己知彼,才能百戰不殆。沒有意識到風險是最大的風險。網絡安全具有很強的隱蔽性,一個技術漏洞、安全風險可能隱藏幾年都發現不了,結果是“誰進來了不知道、是敵是友不知道、干了什么不知道”,長期“潛伏”在里面,一旦有事就發作了。
維護網絡安全,首先要知道風險在哪里,是什么樣的風險,什么時候發生風險,正所謂“聰者聽于無聲,明者見于未形”。感知網絡安全態勢是最基本最基礎的工作。要全面加強網絡安全檢查,摸清家底,認清風險,找出漏洞,通報結果,督促整改。要建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制,準確把握網絡安全風險發生的規律、動向、趨勢。要建立政府和企業網絡安全信息共享機制,把企業掌握的大量網絡安全信息用起來,龍頭企業要帶頭參加這個機制。
有專家反映,在數據開放、信息共享方面存在著部門利益、行業利益、本位思想。這方面,要加強論證,該統的可以統起來,發揮1+1大于2的效應,以綜合運用各方面掌握的數據資源,加強大數據挖掘分析,更好感知網絡安全態勢,做好風險防范。這項工作做好了,對國家、對社會、對企業、對民眾都是有好處的。
第四,增強網絡安全防御能力和威懾能力。網絡安全的本質在對抗,對抗的本質在攻防兩端能力較量。要落實網絡安全責任制,制定網絡安全標準,明確保護對象、保護層級、保護措施。哪些方面要重兵把守、嚴防死守,哪些方面由地方政府保障、適度防范,哪些方面由市場力量防護,都要有本清清楚楚的賬。人家用的是飛機大炮,我們這里還用大刀長矛,那是不行的,攻防力量要對等。要以技術對技術,以技術管技術,做到魔高一尺、道高一丈。
目前,大國網絡安全博弈,不單是技術博弈,還是理念博弈、話語權博弈。我們提出了全球互聯網發展治理的“四項原則”“五點主張”,特別是我們倡導尊重網絡、構建網絡空間命運共同體,贏得了世界絕大多數國家贊同。
人才是第一資源。古往今來,人才都是富國之本、興邦大計。我說過,要把我們的事業發展好,就要聚天下英才而用之。要干一番大事業,就要有這種眼界、這種魄力、這種氣度。
“得人者興,失人者崩。”網絡空間的競爭,歸根結底是人才競爭。建設網絡強國,沒有一支優秀的人才隊伍,沒有人才創造力迸發、活力涌流,是難以成功的。念好了人才經,才能事半功倍。對我國來說,改革開放初期,資本比較稀缺,所以我們出臺了很多鼓勵引進資本的政策,比如“兩免三減半”。現在,資本已經不那么稀缺了,但人才特別是高端人才依然稀缺。我們的腦子要轉過彎來,既要重視資本,更要重視人才,引進人才力度要進一步加大,人才體制機制改革步子要進一步邁開。網信領域可以先行先試,抓緊調研,制定吸引人才、培養人才、留住人才的辦法。
互聯網是技術密集型產業,也是技術更新最快的領域之一。我國網信事業發展,必須充分調動企業家、專家學者、科技人員積極性、主動性、創造性。我早年在正定縣工作時,為了向全國一流專家學者借智,專門聘請華羅庚等專家學者給我們縣當顧問,有的親自到正定指導工作。企業家、專家學者、科技人員要有國家擔當、社會責任,為促進國家網信事業發展多貢獻自己的智慧和力量。各級黨委和政府要從心底里尊重知識、尊重人才,為人才發揮聰明才智創造良好條件,營造寬松環境,提供廣闊平臺。
互聯網主要是年輕人的事業,要不拘一格降人才。要解放思想,慧眼識才,愛才惜才。培養網信人才,要下大功夫、下大本錢,請優秀的老師,編優秀的教材,招優秀的學生,建一流的網絡空間安全學院。互聯網領域的人才,不少是怪才、奇才,他們往往不走一般套路,有很多奇思妙想。對待特殊人才要有特殊政策,不要求全責備,不要論資排輩,不要都用一把尺子衡量。
