公務員期刊網(wǎng) 精選范文 網(wǎng)絡安全管控體系范文

網(wǎng)絡安全管控體系精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全管控體系主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡安全管控體系

第1篇:網(wǎng)絡安全管控體系范文

關鍵詞:網(wǎng)絡空間;安全防護體系;關鍵技術

信息技術的發(fā)展對經(jīng)濟社會的進步具有重要的現(xiàn)實意義,同時當前的互聯(lián)網(wǎng)信息技術發(fā)展也帶來了一系列的網(wǎng)絡空間信息安全風險。針對這一情況,我國相關部門形成了高度重視,并出臺了相應的法律法規(guī)來對網(wǎng)絡空間安全進行規(guī)范。除了通過法律手段對相關群體的行為進行規(guī)范之外,我國的網(wǎng)絡空間安全也需要從實際情況出發(fā),進行充分的安全防護體系建設,以此對整體的信息安全水平進行提高。

1網(wǎng)絡空間及網(wǎng)絡空間安全的概念

在網(wǎng)絡空間所指的是依托相關的信息技術基礎設施構成的網(wǎng)絡體系,該體系之下包括了常見的互聯(lián)網(wǎng)、典型網(wǎng)絡和相應的計算機系統(tǒng)等,同時也涵蓋各類工業(yè)設施之中的控制系統(tǒng)和處理系統(tǒng)等。在2016年我國相關部門對網(wǎng)絡空間的概念進行了進一步的明確,認為網(wǎng)絡空間所指的是以現(xiàn)有的互聯(lián)網(wǎng)、通信網(wǎng)、計算機系統(tǒng)和自動化控制系統(tǒng)所共同組成的信息系統(tǒng),該系統(tǒng)是以磁、光、電和相應的量子介質,對不同的機器設備進行連接之后產(chǎn)生的虛擬空間。在明確網(wǎng)絡空間的概念之后,則可以對網(wǎng)絡空間安全的概念進行界定。網(wǎng)絡空間安全所指的是,處于網(wǎng)絡虛擬空間之中的各類信息的安全[1]。由于網(wǎng)絡空間之中不存在明確的邊界,以及沒有集中控制權威的特征,因此任何處于網(wǎng)絡空間中的個體均可對開放的信息進行訪問和利用,這種情況下有可能導致信息的濫用以及對信息的安全產(chǎn)生威脅的現(xiàn)象出現(xiàn),而網(wǎng)絡空間安全的核心就是通過相應的技術手段,來對具體信息的安全進行保障,確保網(wǎng)絡空間利用的有序化和合理化。

2網(wǎng)絡空間安全體系

當前相關的研究之中已經(jīng)針對網(wǎng)絡空間安全體系建設,形成了一系列的理論模型,在后續(xù)的網(wǎng)絡空間安全體系建設階段,可以通過對這些理論模型的研究與分析,形成符合當代我國網(wǎng)絡空間發(fā)展需求的安全體系。以“四橫八縱”網(wǎng)絡空間安全層次模型為例,在該模型之中對網(wǎng)絡空間安全體系進行了層次劃分,認為當代的網(wǎng)絡空間安全體系建設可以從設備層、系統(tǒng)層、數(shù)據(jù)層和應用層四個層次來進行具體著手,在相應的安全層次之中,均存在差異化的網(wǎng)絡安全問題,要實現(xiàn)對網(wǎng)絡空間安全的有效保障,就需要從這些層次的安全問題入手從而達到保障目標。同時網(wǎng)絡空間安全的研究領域按照不同的安全需求,又可以劃分為網(wǎng)絡信息安全、信息保密、信息對抗、云安全、大數(shù)據(jù)安全、物聯(lián)網(wǎng)安全、移動安全和可信計算等方面。除此之外,也有研究者提出,在網(wǎng)絡空間安全體系的四個層次基礎上,形成貫穿全部安全層次的安全體系模型是進行當代我國網(wǎng)絡空間安全體系建設的方向。依托這一模型,在進行網(wǎng)絡空間安全體系建設的過程中,通過對設備指紋、硬件身份認證、云計算等環(huán)境的建設,將能夠極大地提升網(wǎng)絡空間的安全性。除了對上述理論模型進行建設,以推進網(wǎng)絡空間安全體系建設之外,對人才的培養(yǎng)也是當代我國網(wǎng)絡空間安全體系建設的關鍵內(nèi)容。由于網(wǎng)絡空間安全體系建設所涉及的學科較多,涵蓋數(shù)學、計算機、信息通信、物理等多個學科的內(nèi)容,因此在進行人才培養(yǎng)的階段也需要對當代我國的相關教學的學科進行科學合理的設置,從而為后續(xù)的網(wǎng)絡空間安全體系建設輸送充足的人才[2]。通過對相關理論和研究方向的分析可以發(fā)現(xiàn),當前我國的網(wǎng)絡空間安全面對的主要問題是云安全、隱私保護、數(shù)據(jù)可信、安全防護、內(nèi)容安全、信息隱藏和大數(shù)據(jù)安全等。而為實現(xiàn)對這些安全問題的有效解決,必須從網(wǎng)絡空間的物理層面、信息傳輸層面和軟件應用層面進行相應的安全保障。同時為了確保我國網(wǎng)絡空間安全體系建設的持續(xù)性推進,需要從多個學科的人才培養(yǎng)入手,確保相關人才具有較強的網(wǎng)絡空間安全意識、形成過硬的專業(yè)技術能力。

3網(wǎng)絡空間安全體系建設的關鍵技術分析

3.1物理安全威脅及保障技術

物理安全是網(wǎng)絡空間安全體系建設過程中最為基礎的內(nèi)容。網(wǎng)絡空間的物理安全層次所指的是為信息傳遞、處理提供節(jié)點的硬件設備,在對這一系列內(nèi)容進行保障的過程中需要采取相應的手段避免其出現(xiàn)損壞和非法篡改、訪問等問題。在實現(xiàn)這一目標的過程中,主要可以采用相應的冗余備份和容災手段來避免非正常損壞和威脅對硬件設施的正常使用過造成影響,確保網(wǎng)絡信息各個連接節(jié)點的安全。其次,當前的網(wǎng)絡信息傳播主要是通過電磁波以及電子來實現(xiàn),如果在其傳播過程中相關的信息出現(xiàn)泄漏,并遭到惡意利用,則將導致網(wǎng)絡空間的信息安全受到嚴重的威脅,針對這種情況,在當前的技術條件下通過采用電磁波檢測和屏蔽技術能夠達到保障信息安全的目的。同時,也可以通過應用電子對抗技術來對發(fā)生的電磁波泄漏現(xiàn)象進行反制。最后,網(wǎng)絡空間安全之中最為關鍵的一環(huán)是芯片安全,當前相應的網(wǎng)絡空間信息的形成與處理均需要依托高質量芯片來完成,這一現(xiàn)象決定了芯片制造商在網(wǎng)絡空間安全之中的地位不可被取代,要保障芯片安全,在目前我國的社會發(fā)展需求之下就需要進一步加大對于芯片產(chǎn)業(yè)的投資,從而增強整個硬件系統(tǒng)的安全。

3.2信息傳輸威脅及保障技術

在充分保障網(wǎng)絡空間各類硬件設備的安全之后,信息傳輸安全成為整個安全體系建設的關鍵內(nèi)容。信息的傳輸是連接網(wǎng)絡空間物理層和應用層的中間環(huán)節(jié),在該環(huán)節(jié)之中存在多種傳輸模式包括有線、無線和演進中的網(wǎng)絡體系等,這些網(wǎng)絡體系形成的根本目標在于對信息進行有效傳輸,并保障其安全。在推進信息傳輸安全的過程中,首先需要注重的是當前網(wǎng)絡自身的安全,通過針對不同的信息傳輸需求進行相應的信息傳輸安全協(xié)議設計,將能夠有效地保障網(wǎng)絡自身的安全。從當前的信息傳輸技術發(fā)展之中可以看出,諸如工業(yè)控制網(wǎng)絡、5G網(wǎng)絡和SDN網(wǎng)絡等的出現(xiàn),相對于以往能夠更好地對信息傳輸網(wǎng)絡本身的安全形成保障。其次,信息傳輸過程中訪問控制也是確保信息傳輸安全的重要技術手段。訪問控制是用戶在對信息資源進行訪問的階段,對用戶的身份進行驗證的一種方式,通過有效地驗證用戶的身份,并對訪問行為進行授權,將能夠避免惡意訪問對信息造成的威脅。目前在信息訪問控制方面已經(jīng)形成了包括DAC、MAC、RBAC等一系列技術,相關的技術在應用階段可以針對不同的訪問需求進行驗證與授權。隨著當前云計算技術的進一步發(fā)展,新的訪問控制需求也隨之產(chǎn)生,并形成了新的訪問控制方案。網(wǎng)絡攻擊對信息傳輸安全影響尤為直觀,這一安全威脅的主要是由于非授權進入現(xiàn)象導致。相關網(wǎng)絡攻擊行為主要會針對被攻擊網(wǎng)絡或系統(tǒng)的安全缺陷,最終可能導致用戶無法正常地進行信息的利用。網(wǎng)絡攻擊行為在當前可以分為Sybil攻擊、SQL攻擊、Dos攻擊或DDos攻擊等,不同的網(wǎng)絡攻擊方式針對的對象也存在差異,針對這種現(xiàn)象,在網(wǎng)絡安全體系建設過程中,強化數(shù)據(jù)加密、身份認證和入侵檢測與防御是防范攻擊的主要手段[3]。

3.3應用威脅及保障技術

應用層直接面對用戶,當這一層面的安全受到嚴重威脅的情況下,將導致用戶的整體體驗降低,對于互聯(lián)網(wǎng)技術的進一步發(fā)展存在著嚴重的不利影響。從實際情況來看,應用層的安全威脅主要集中在操作系統(tǒng)、應用軟件和工業(yè)控制系統(tǒng)等層面。首先,操作系統(tǒng)是保障相應的計算機系統(tǒng)正常使用的關鍵,要保障操作系統(tǒng)安全主要需要從相應的安全系統(tǒng)開發(fā)技術和操作系統(tǒng)安全增強機制建設兩個方面入手。相對操作系統(tǒng)而言,應用軟件具有更強的豐富性,其所面對的安全問題也更為多樣,在以往的生產(chǎn)生活之中,各類計算機病毒是導致計算機軟件產(chǎn)生安全問題的重要原因,針對這種現(xiàn)象,充分地應用惡意代碼檢測、軟件檢測與安全評估等方法可以在一定程度上對潛在的安全漏洞進行把握,并有針對性地對當前存在的安全漏洞進行修補,有鑒于此,在后續(xù)的網(wǎng)絡安全體系建設過程中也需要加大對這些技術的應用力度。此外,工業(yè)控制系統(tǒng)的安全也是當前網(wǎng)絡安全體系建設中的重點內(nèi)容,當前的工業(yè)控制系統(tǒng)面對著蠕蟲、木馬和計算機病毒等的威脅,影響到實際的工業(yè)生產(chǎn)。針對這一系列現(xiàn)象,采取遠程訪問控制技術、漏洞管理技術和異常檢測技術等,可以強化對工業(yè)控制系統(tǒng)的安全防護,達到保障其安全的目的。

3.4數(shù)據(jù)與信息安全的保障

數(shù)據(jù)與信息的安全保障過程中,可以主要從云安全、隱私保護、有害信息防護和大數(shù)據(jù)安全等多個角度來進行加強。從云安全的角度來看,隨著當前云計算技術的出現(xiàn),用戶對其的使用范圍、程度均不斷加深,這種情況導致了一系列新的安全威脅的出現(xiàn),要實現(xiàn)保障云安全的目的,就需要相關單位對這種新技術進行相匹配的技術規(guī)范、法律法規(guī)建設。隱私保障則可以通過對、混淆和流處理等匿名技術的應用,從而對用戶在網(wǎng)絡通信之中的匿名性進行保障,避免個體非法對源地址和目的地址等關鍵信息的泄漏[4]。在有害信息防護角度,則需要重點進行非法、不可信的信息的屏蔽,在實現(xiàn)階段,需要對相關信息以發(fā)現(xiàn)、獲取、分析、引導、預警和處置的流程來進行控制,在技術應用方面需要依靠相關單位和部門從強化網(wǎng)絡環(huán)境下的輿情引導與控制來實現(xiàn)。大數(shù)據(jù)安全所面對的問題包括用戶隱私、可信度等,在確保障大數(shù)據(jù)安全的過程中可以采用匿名保護技術、數(shù)字簽名技術等來保障用戶的隱私,強化大數(shù)據(jù)信息的可信度。

3.5深化網(wǎng)絡空間安全體系的研究

網(wǎng)絡空間安全體系建設是我國經(jīng)濟社會發(fā)展的保障,因此不斷地強化對相關理論、技術的研究,強化專業(yè)人才的培養(yǎng)等,是網(wǎng)絡空間安全體系建設的重要方法。網(wǎng)絡空間安全涵蓋的學科包括數(shù)學、信息論及控制論、密碼學等后續(xù)的人才培養(yǎng)過程中,相關單位和院校需要對現(xiàn)有的學科進行合理設置,從而保障網(wǎng)絡空間安全體系建設的人才持續(xù)供應。同時,由于網(wǎng)絡空間安全體系建設對于我國社會主義現(xiàn)代化建設的重要現(xiàn)實意義,不斷增加對相關研究的投資、政策引導力度也是極為有效和重要的手段。

4結語

信息技術目前已經(jīng)滲透進人們?nèi)粘I畹母鱾€方面,網(wǎng)絡空間的形成促進了人類的交流,對于社會的發(fā)展具有重要的價值。但同時網(wǎng)絡空間也受到來自各個方面的安全威脅,在一定程度上阻礙了社會發(fā)展,針對這種情況,我國的發(fā)展過程中需要提高對網(wǎng)絡空間安全的重視程度,形成統(tǒng)籌網(wǎng)絡空間安全體系建設,積極面對網(wǎng)絡空間安全挑戰(zhàn)的全局眼光,并依托在技術上的不斷創(chuàng)新和人才培養(yǎng)的關注,實現(xiàn)完善網(wǎng)絡空間安全體系建設的目的。

參考文獻

[1]汪躍飛.計算機網(wǎng)絡空間安全體系的框架結構及應用研究[J].計算機產(chǎn)品與流通,2019(2):41.

[2]汪猛,于波.5G時代網(wǎng)絡空間安全防護體系構建探究[C].公安部網(wǎng)絡安全保衛(wèi)局,2020互聯(lián)網(wǎng)安全與治理論壇論文集.公安部網(wǎng)絡安全保衛(wèi)局:《信息網(wǎng)絡安全》北京編輯部,2020:94-96.

[3]常利偉,李春雪,劉暢,等.網(wǎng)絡空間安全人才培養(yǎng)體系現(xiàn)狀分析與建設途徑[J].信息安全研究,2018,4(12):1083-1088.

第2篇:網(wǎng)絡安全管控體系范文

關鍵詞:高速鐵路;高鐵信號系統(tǒng);信息網(wǎng)絡安全;軟件定義網(wǎng)絡;新型鐵路信號系統(tǒng)

中圖分類號:TP393 文獻標識碼:A

SDN高速鐵路信號體系是一種新型的軟件定義網(wǎng)絡模式,這種模式與高速鐵路信號系統(tǒng)網(wǎng)絡的安全性密切相關,為了提升高速鐵路工程的工作效益,需要做好信號安全數(shù)據(jù)、分散自律調度集中網(wǎng)絡等的管控及隔離工作的要求,從而實現(xiàn)對網(wǎng)絡流量的統(tǒng)一性管理,這都離不開統(tǒng)一性控制器的應用,做好整體設備的注冊管理工作,確保安全通問控制工作的有效開展,從而實現(xiàn)該工程信號系統(tǒng)安全性的提升,降低網(wǎng)絡安全管理復雜性。

一、高速鐵路信號系統(tǒng)的網(wǎng)絡安全性概念

1.高速鐵路工程系統(tǒng)的網(wǎng)絡架構具備可在線編程、集中管控性、統(tǒng)一安全性的特點,這種網(wǎng)絡架構滿足高速鐵路工程的日常信號管理需要,有利于網(wǎng)絡安全管理工作的穩(wěn)定開展,這種模式比分散性網(wǎng)絡管理具備更高的工作效率,通過對這種模式的應用及普及,可以解決高鐵信號系統(tǒng)的網(wǎng)絡安全性管控問題。

鐵路運輸體系是我國基礎交通體系的重要組成部分,為了確保該工作的穩(wěn)定運行,必須進行其整體安全性的控制,這里的安全性主要包括兩個方面的工作。第一是工程系統(tǒng)網(wǎng)絡安全性的保證,這種系統(tǒng)網(wǎng)絡不能因為內(nèi)部的一些故障而停止工作,最終的工作目的是降低工作過程中的故障率,避免因為設備及網(wǎng)絡故障,而信系統(tǒng)出現(xiàn)一系列的危險問題。

另一方面的安全性主要是指系統(tǒng)網(wǎng)絡具備良好的抵抗外部入侵的能力,具備良好的操作安全性。高鐵信號系統(tǒng)的開展離不開其整體網(wǎng)絡的安全性,該信號系統(tǒng)具備其獨特的網(wǎng)絡,這一定程度上確保了該系統(tǒng)的安全性,但是這并不代表這種系統(tǒng)不存在網(wǎng)絡病毒散播的問題。隨著社會網(wǎng)絡信息化體系的健全,計算機網(wǎng)絡化日益普及,各種新型的網(wǎng)絡病毒不斷產(chǎn)生,比較常見的病毒有震網(wǎng)病毒,這種病毒對于工業(yè)管理系統(tǒng)極具殺傷力。隨著時代的發(fā)展,社會經(jīng)濟對于高鐵信號系統(tǒng)的要求越來越高,高鐵信號系統(tǒng)必須具備更強的數(shù)據(jù)共享性,需要具備豐富的通信數(shù)據(jù),這就進一步提升了高速鐵路系統(tǒng)的開發(fā)性,不利于進行高速鐵路信號安全性的控制。

為了滿足信息化時代的交通工作要求,進行鐵路信號系統(tǒng)的現(xiàn)代化管理是必要的,為了確保交通工程系統(tǒng)的穩(wěn)定運行,需要保證鐵路信號系統(tǒng)信息化及網(wǎng)絡化過程安全性,滿足現(xiàn)代交通企業(yè)信息化管理工作的要求。這就需要我國的鐵路信號系統(tǒng)轉變傳統(tǒng)的管理模式,進行智能化、自動化管理技術的升級,實現(xiàn)計算機模塊、控制模塊、通信模塊等的協(xié)調,在這個過程中,以太網(wǎng)技術不斷流行,這種技術具備良好的數(shù)據(jù)傳輸可靠性、實時性。

無論是信息通信環(huán)節(jié)、通信數(shù)據(jù)庫構建環(huán)節(jié)、內(nèi)部資源優(yōu)化配置環(huán)節(jié),以太技術的應用都能取得良好的工作效益。極大地滿足了現(xiàn)代化工業(yè)控制系統(tǒng)的工作要求。隨著時代的發(fā)展,以太網(wǎng)技術體系日益健全,在控制系統(tǒng)網(wǎng)絡中,以太技術實現(xiàn)了大規(guī)模的普及,無論是控制系統(tǒng)網(wǎng)絡還是鐵路信號控制系統(tǒng)都能看到以太網(wǎng)應用的縮影。

2.時代的不斷發(fā)展,需要工業(yè)控制系統(tǒng)具備更強的信息共享性,震網(wǎng)病毒的出現(xiàn),讓工業(yè)控制網(wǎng)絡系統(tǒng)的安全性問題更加引起世界各界的重視,面臨著日益嚴峻的網(wǎng)絡信息安全問題,進行大容量、實時性、可靠性數(shù)據(jù)信息傳遞及交互技術的應用是必要的,比如進行GSM無線通信技術的引進,在地面設備系統(tǒng)中,進行無線閉塞中心及無線通信網(wǎng)絡系統(tǒng)的應用。

無線公共信道是GSM通信系統(tǒng)信號的重要實現(xiàn)途徑,這種渠道的應用,讓鐵路信號系統(tǒng)網(wǎng)絡具備更強的開發(fā)性,但是這也一定程度上加大了鐵路信號系統(tǒng)信息的擴散威脅性。我國的鐵路信號體系實現(xiàn)了4個模塊的結合,分別是GSM通信網(wǎng)絡模塊、集中監(jiān)測網(wǎng)絡模塊、信號安全數(shù)據(jù)網(wǎng)絡模塊、信號網(wǎng)絡基礎模塊。在實際工作中,鐵路信號系統(tǒng)網(wǎng)絡結構比較復雜,其內(nèi)部存在各種網(wǎng)絡模式,這些網(wǎng)絡模式具備不同的安全等級,它的網(wǎng)絡設備內(nèi)部設置比較復雜,存在較大的維修困難問題,現(xiàn)階段鐵路信號系統(tǒng)的整體安全性比較低,缺乏統(tǒng)一性的安全策略,難以滿足現(xiàn)代化鐵路工程智能化、集中管理化等的工作要求。

3.我國的鐵路信號信息安全系統(tǒng)并不具備較強的安全防護等級,缺乏比較先進的病毒防控、隔離等技術,防火墻技術比較落后,難以滿足我國鐵路通信應用協(xié)議的工作規(guī)范要求。為了進一步提升鐵路信號設備通信的安全性及可靠性,需要進行鐵路信號系統(tǒng)安全通信數(shù)據(jù)網(wǎng)絡的優(yōu)化,做好一系列的信息安全防護措施。

為了解決現(xiàn)階段高速鐵路工程信息安全性問題,必須進行信號系統(tǒng)網(wǎng)絡整體架構的優(yōu)化,提升信號系統(tǒng)的整體網(wǎng)絡安全性,做好詳細地分析工作,進行鐵路信號系統(tǒng)內(nèi)部子系統(tǒng)接口安全性的分析,實現(xiàn)信號網(wǎng)絡系統(tǒng)系統(tǒng)網(wǎng)絡由高安全等級工程網(wǎng)絡的轉換,這就需要進行SDN鐵路信號系統(tǒng)網(wǎng)絡安全性方案的應用,做好該系統(tǒng)功能的特性分析工作,進行基于軟件定義鐵路信號鐵路系統(tǒng)網(wǎng)絡的應用。

二、信號系統(tǒng)網(wǎng)絡內(nèi)部結構的優(yōu)化

鐵路信號系統(tǒng)的內(nèi)部配置具備較強的復雜性,它不是簡單的信號設備的結合,而是由不同層次的控制模塊構成的,這些控制模塊的功能不一,但是又能相互協(xié)作,共同實現(xiàn)鐵路信號系統(tǒng)的安全運行。鐵路信號系統(tǒng)的內(nèi)部各個要素之間相互聯(lián)系,為了現(xiàn)階段的安全防護要求,工作人員需要進行該系統(tǒng)內(nèi)部資源的優(yōu)化配置,深入了解其復雜的系統(tǒng)性結構,確保高鐵信號系統(tǒng)的穩(wěn)定運行。

高鐵信號系統(tǒng)的內(nèi)部構造比較復雜,由信號集中監(jiān)測系統(tǒng)、行車指揮系統(tǒng)等構成,列控系統(tǒng)主要由無線閉塞中心、列控中心、傳輸網(wǎng)絡、應答器等構成。行車指揮系統(tǒng)由服務器系統(tǒng)、信號網(wǎng)絡基礎中心、自律分機等構成。信號集中監(jiān)測系統(tǒng)由列車控制中心、軌道鐵路系統(tǒng)、信號設備連接系統(tǒng)、信號網(wǎng)絡系統(tǒng)通信網(wǎng)絡系統(tǒng)等構成。區(qū)別于集中監(jiān)測網(wǎng)絡的安全性,信號安全通信數(shù)據(jù)網(wǎng)具備獨立成網(wǎng)性,其實現(xiàn)了物理手段隔離模式的應用,理論上來說,信號網(wǎng)絡系統(tǒng)通信網(wǎng)絡系統(tǒng)、通信數(shù)據(jù)網(wǎng)系統(tǒng)、集中監(jiān)測網(wǎng)絡相互隔離卻又相互滲透。

三、信號系統(tǒng)網(wǎng)絡接口方案的優(yōu)化

1.為了提升高鐵工程信號系統(tǒng)的安全性,必須實現(xiàn)列車與RBC無線承載控制系統(tǒng)的連接,確保其良好的連接性,這需要做好RBC系統(tǒng)與列車的連接確認工作,保證列控中心指令的正確傳達,通過對以太網(wǎng)的應用,實現(xiàn)聯(lián)鎖模塊及列控模塊的有效協(xié)調,這兩個模塊之間不需要進行防火墻的隔離設置,因為一旦隔離,就可能影響到數(shù)據(jù)傳輸?shù)膶崟r性及安全性,這不利于鐵路數(shù)據(jù)信息數(shù)據(jù)的傳輸要求。為了滿足實際工作的要求,必須保證地面設備及列車車載設備的相互通信,確保其與列控系統(tǒng)之間的信息傳遞。在這個過程中,信息傳遞差異是客觀存在的,這是由于列控中心與地面設備的距離性導致的,這種差異性很可能導致行車精確性的降低。IP安全數(shù)據(jù)通信網(wǎng)是臨時限速服務器及RBC系統(tǒng)的連接網(wǎng)絡,這種連接網(wǎng)絡的應用,可以確保鐵路信號系統(tǒng)傳遞的安全性,這兩者之間沒有進行防火墻的安全防護設置。

在高鐵工程信號系統(tǒng)的應用過程中,局域網(wǎng)通信協(xié)議是常見的網(wǎng)絡配置模式,信號網(wǎng)絡系統(tǒng)系統(tǒng)與上位機,信號網(wǎng)絡系統(tǒng)分機與上位機的接口,都是聯(lián)鎖系統(tǒng)的常見內(nèi)部配置模式,這些接口之間并非進行安全通信協(xié)議的應用,但應用了防火墻防護方案??陀^上來說,信號網(wǎng)絡系統(tǒng)系統(tǒng)具備非安全性,為了確保系統(tǒng)邊界防護效益的提升,必須進行安全通信協(xié)議的應用,確保上位機及信號網(wǎng)絡系統(tǒng)分機接口的安全通信協(xié)議的應用,通過對這兩者安全通信協(xié)議的應用可以避免這兩種網(wǎng)絡體系的相互滲透問題,避免以太網(wǎng)控制網(wǎng)系統(tǒng)內(nèi)部要素的相互滲透狀況。

2.信號網(wǎng)絡系統(tǒng)及上位機并不能進行控制指令的傳遞,一旦采用安全協(xié)議,必然會導致信號網(wǎng)絡系統(tǒng)分機與上位機數(shù)據(jù)傳遞效率的降低,但是這并不影響控制系統(tǒng)的核心功能,通信系統(tǒng)部分軟件性能的提升,并不會增加該系統(tǒng)的維護成本。集中監(jiān)測系統(tǒng)車站分機及維修機間的接口并未進行防火墻防護,采用的是IP協(xié)議及安全通信協(xié)議,客觀來說,集中監(jiān)測系統(tǒng)并非安全性系統(tǒng),為了提升工程信號系統(tǒng)的安全性,必須實現(xiàn)集中監(jiān)測系統(tǒng)及維修機安全網(wǎng)絡等級的提升。

高鐵列車的安全運行離不開列車控制模塊的開展,列控中心系統(tǒng)、計算機聯(lián)鎖系統(tǒng)、臨時限速服務器系統(tǒng)等都將直接影響到高鐵列車的安全運行,信號安全數(shù)據(jù)網(wǎng)需要為最高等級的網(wǎng)絡子系統(tǒng),信號網(wǎng)絡系統(tǒng)系統(tǒng)網(wǎng)絡負責現(xiàn)場設備及其相關網(wǎng)絡子系統(tǒng)的控制工作,集中監(jiān)測系統(tǒng)主要負責故障信息的報警,現(xiàn)場設備狀態(tài)的監(jiān)測等工作,并不負責列車及設備的控制工作,其整體安全性等級較低。列車的控制系統(tǒng)與集中監(jiān)測網(wǎng)絡并無太大的關聯(lián)。

3.信號安全數(shù)據(jù)網(wǎng)絡進行了一系列服務器的設置,進行了不同種專用操作系統(tǒng)的應用,比如FreeBSD、Linux系統(tǒng)等,這些操作系統(tǒng)內(nèi)部并沒有進行安全功能的設置,由于信號系統(tǒng)的自身復雜性,其軟件變更的周期比較長,為了保證信號信息的安全性,必須做好信號系統(tǒng)的徹底測試工作,確保信號系統(tǒng)的整體優(yōu)化,從而保證系統(tǒng)可靠性及安全性的提升。這就需要做好信號系統(tǒng)軟件的及時更新工作,避免出現(xiàn)具備威脅性的漏洞,從而避免被網(wǎng)絡黑客攻擊。

以信號網(wǎng)絡系統(tǒng)車站局域網(wǎng)為基點,有兩種方法可以威脅到高鐵工程信號系統(tǒng)的安全性,第一條途徑是由信號網(wǎng)絡系統(tǒng)車站子系統(tǒng)到信號網(wǎng)絡系統(tǒng)中心系統(tǒng),在這個步驟中,一旦取得BC接口服務器的控制器,就會由信號安全數(shù)據(jù)網(wǎng)的服務器入侵到信號安全數(shù)據(jù)的子系統(tǒng)中。第二條途徑與第一條途徑類似,第二條途徑的威脅在于臨時限速接口服務器控制權的獲得,如果不能實現(xiàn)與臨時限速接口連接的路由器的良好配置,就會威脅到信號安全數(shù)據(jù)網(wǎng)的信息傳遞。

為了提升高鐵工程信號系統(tǒng)的安全性,需要實現(xiàn)統(tǒng)一安全管控方案的優(yōu)化,這種方案基于SDN模式的應用,這種系統(tǒng)具備新型的網(wǎng)絡內(nèi)部架構,實現(xiàn)了路由器及交換機數(shù)據(jù)平面及控制平面的分離,由網(wǎng)絡操作系統(tǒng)為上層進行網(wǎng)絡資源的提供,實現(xiàn)了網(wǎng)絡虛擬化,進行網(wǎng)絡虛擬化層的形成,通過不同控制程序的應用,實現(xiàn)了不同網(wǎng)絡虛擬化模塊的數(shù)據(jù)傳遞。高鐵信號系統(tǒng)由集中監(jiān)測網(wǎng)絡、信號網(wǎng)絡系統(tǒng)系統(tǒng)網(wǎng)絡、信號安全網(wǎng)絡系統(tǒng)構成,這三者之間互為獨立性的物理網(wǎng)絡,物理手段的使用可以讓這三者之間實現(xiàn)隔離,這就進一步加大系統(tǒng)間接口的復雜性,這些系統(tǒng)結構的安全等級不同,容易出現(xiàn)維修管理難問題,從而不利于鐵路工程信號系統(tǒng)整體安全性提升。

4.軟件定義高鐵信號系統(tǒng)網(wǎng)絡的應用,以SDN架構為基礎,通過對信號系統(tǒng)復雜性網(wǎng)絡安全管理問題的解決,實現(xiàn)了工程信號系統(tǒng)整體安全性的提升。該網(wǎng)絡的穩(wěn)定運行離不開3個工作模塊的結合,需要實現(xiàn)集中監(jiān)測網(wǎng)絡、信息安全網(wǎng)絡、信號網(wǎng)絡系統(tǒng)系統(tǒng)工作網(wǎng)絡的結合,在SDN應用結構的基礎上,實現(xiàn)網(wǎng)絡硬件平臺的利用,保證分布式控制技術的統(tǒng)一性應用。這種鐵路信號系統(tǒng)網(wǎng)絡基于網(wǎng)絡硬件平臺的應用,通過對網(wǎng)絡虛擬化技術的使用,實現(xiàn)了系統(tǒng)不同功能子網(wǎng)的協(xié)調,確保了軟件隔離網(wǎng)絡的高效化、可控化,有利于提升信號系統(tǒng)網(wǎng)絡安全性。

四、網(wǎng)絡統(tǒng)一安全管控系統(tǒng)的健全

1.為了提升高速鐵路工程信號系統(tǒng)的安全性,需要做好設備開啟的網(wǎng)絡服務認證工作,做好不同設備網(wǎng)絡服務的注冊及認證工作,這需要在鐵路設備資產(chǎn)安全管理服務器上進行操作,針對那些非認證服務及訪問關系,網(wǎng)絡控制器禁止其使用網(wǎng)絡,這有利于提升網(wǎng)絡服務模塊的管控強度,實現(xiàn)合理化網(wǎng)絡服務模塊與其他服務模塊訪問關系的確定,實現(xiàn)業(yè)務通信管理矩陣的制定。在網(wǎng)絡控制器的操作過程中,通過對通信管理矩陣的使用,實現(xiàn)各個設備及程序的網(wǎng)絡服務資源的強制控制工作,確保全局安全通信的管理及訪問控制工作效率的提升。

在該系統(tǒng)的運作過程中,網(wǎng)絡控制器可以實現(xiàn)不同數(shù)據(jù)包來源的標識及記錄工作,實現(xiàn)數(shù)據(jù)包及其來源信息的綁定準確性的提升。在這個過程中,如果網(wǎng)絡安全檢測設備發(fā)現(xiàn)異常,就會追溯故障的源頭,如果發(fā)現(xiàn)業(yè)務數(shù)據(jù)的異常問題,就可以根據(jù)綁定信息,做好異常設備的迅速定位工作,實習高速鐵路信號系統(tǒng)信息安全性及網(wǎng)絡安全性的提升,降低不同系統(tǒng)接口之間的安全威脅問題,確保GSM系統(tǒng)安全性的提升,實現(xiàn)低安全網(wǎng)絡系統(tǒng)向高安全等級網(wǎng)絡系統(tǒng)的滲透。

2.高速鐵路工程信號系統(tǒng)的日常工作,需要建立在安全性分析的基礎上,信號系統(tǒng)網(wǎng)絡的探索工作,進行鐵路信號系統(tǒng)新型網(wǎng)絡架構的提出,在此基礎上,落實好信息系統(tǒng)資產(chǎn)注冊及其相關問題,做好信息系統(tǒng)的服務管理工作,落實好網(wǎng)絡數(shù)據(jù)的信息追蹤工作,實現(xiàn)系統(tǒng)內(nèi)部不同模塊的訪問控制工作,實現(xiàn)我國高速鐵路信號系統(tǒng)整體網(wǎng)絡安全性的提升,降低信號系統(tǒng)的日常管理難度,實現(xiàn)我國高鐵信號系統(tǒng)網(wǎng)絡的穩(wěn)定發(fā)展。

結語

通過對高速鐵路工程信號系統(tǒng)的安全及管理模式的應用,可以滿足現(xiàn)代化高鐵工程信號系統(tǒng)的管理要求,保障了高速鐵路工程信號系統(tǒng)的整體安全性,實現(xiàn)了數(shù)據(jù)信息的安全性傳遞。

⒖嘉南

[1]禹志陽.高速鐵路信號系統(tǒng)集成、測試技術及“走出去”策略[J].鐵路通信信號工程技術,2015(1):12-14.

第3篇:網(wǎng)絡安全管控體系范文

伴隨民航業(yè)的不斷前進,各個地區(qū)機場的服務量都在迅速增加。隨著機場業(yè)務規(guī)模的擴展,機場的數(shù)據(jù)化構建也從零開始起步,由輔助工具轉變成了促進服務業(yè)發(fā)展過程中不能缺少的一個部分,計算機技術在增強機場的業(yè)務水準,增強核心競爭力等方面占據(jù)著重要地位。在這里面,機場服務不能離開計算機信息體系,這也讓信息系統(tǒng)的安全性、風險和管控等方面的問題更加突出,這就需要增強信息安全方面的管制。機場的服務量大、業(yè)務組織繁多、工作人員密集,使得信息安全保護工作的難度加大。并且在機場信息安全的管理工作中,機場計算機網(wǎng)絡的安全性又決定著公共服務的水平,同時也會對機場各個方面的服務流程造成影響,并且這也與航班載重、信息安全有著直接的聯(lián)系,甚至還會對航空的安全性產(chǎn)生重要的影響。計算機網(wǎng)絡安全是一個很繁雜的系統(tǒng)項目,它涉及到防范手段和管控、裝置與科技等多個部分。本文就計算機網(wǎng)絡安全存在的幾個難題展開了探究,著眼于機場特殊的網(wǎng)絡環(huán)境,列舉出了高效的防范監(jiān)管手段,為的是讓計算機網(wǎng)絡安全更好地保證機場服務體系的運轉。

1定義

計算機網(wǎng)絡安全既包括組網(wǎng)的硬件和管制網(wǎng)絡的軟件,也包含共同使用的信息、便捷的網(wǎng)絡服務。就本質上來說,網(wǎng)絡安全指的就是網(wǎng)絡信息安全。國際標準化組織ISO對于計算機網(wǎng)絡安全的解釋是:“使用有關的監(jiān)管、科技和手段,保證計算機網(wǎng)絡系統(tǒng)里的硬件、軟件與信息資源不受到損害、更改,讓網(wǎng)絡系統(tǒng)能夠正常穩(wěn)定的運轉,網(wǎng)絡業(yè)務平穩(wěn)有序,”經(jīng)常見到的計算機網(wǎng)絡問題常常來源于內(nèi)網(wǎng)、外網(wǎng)與網(wǎng)絡監(jiān)管這幾個部分。致使計算機信息安全面臨風險的原因是比較多的,在這里面包含人為原因、自然原因與偶發(fā)原因。就實際統(tǒng)計的信息來講,人為原因在計算機信息網(wǎng)絡安全的威脅中居于主導地位。

2網(wǎng)絡安全中常面臨的問題

2.1病毒與木馬

計算機病毒說的是編制人員在計算機程序里編入對計算機功能產(chǎn)生破壞作用的代碼,這種代碼會影響計算機的運轉而且可以進行自我復制。由于計算機病毒具備隱藏性、潛在性、傳播性等特征,致使現(xiàn)在計算機網(wǎng)絡安全經(jīng)常會受到計算機病毒的破壞。并且病毒的種類復雜,破壞性強、傳播迅速,形式多樣,尤其是使用網(wǎng)絡進行傳播的病毒,比如說:木馬、熊貓燒香、網(wǎng)絡蠕蟲等病毒,對網(wǎng)絡的危害更大,并且難以清除。計算機病毒也是網(wǎng)絡安全所面臨的威脅之一。

2.2漏洞

工作站、交換機等設施的操作程序存有各類安全漏洞。有很多新出現(xiàn)的病毒,或者是已經(jīng)被人們所熟知的病毒再度被傳播起來,對網(wǎng)絡產(chǎn)生的危害也可想而知。所以,假如公司內(nèi)部缺少一個健全的補丁管理體系,就會致使許多內(nèi)網(wǎng)計算機感染病毒,在這種情況下,就算是使用最先進的反病毒軟件也無濟于事。除此之外,應用軟件也在一定程度上存有漏洞,假如不建立、健全有關的安全策略,就會致使安全隱患的產(chǎn)生。比如說,編程者在編寫代碼的時候,沒有判斷客戶端的信息是否符合法律規(guī)范,那么在這種情況下黑客就有機可乘并且展開攻擊。

2.3盜用IP地址

在局域網(wǎng)的使用過程中,常常會出現(xiàn)盜用IP地址的情況。在這個時候,用戶計算機上就會出現(xiàn)提示,致使用戶停止使用網(wǎng)絡。被盜用的IP地址在通常情況下權限都比較高,盜用者經(jīng)常會使用網(wǎng)絡來隱蔽自己的身份然后對用戶展開騷擾,這樣就會致使用戶面臨著嚴重的損失,同時也損害了他們的合法權益,不利于網(wǎng)絡安全的構建。

2.4黑客入侵

網(wǎng)絡黑客說的是使用網(wǎng)絡對用戶網(wǎng)絡展開違法訪問或是攻擊,其危害程度與黑客的目的有著直接的聯(lián)系。有的黑客僅僅是因為好奇,對用戶的隱私進行窺探,這不被列入破壞計算機系統(tǒng)的范疇中,危害程度也比較低;有的黑客由于憤恨、反抗等內(nèi)心情緒的作用,違法更改用戶的網(wǎng)頁,絞盡腦汁對用戶展開攻擊,產(chǎn)生極大的不良影響,致使網(wǎng)絡崩潰;還有的黑客專門進行攻擊,在侵犯他人的計算機系統(tǒng)以后,更改、損壞、刪除重要的信息,比如說:盜竊國家、政治等重要機密,破壞他人或集體的合法權益,損害國家安全,違法竊取賬號動用個人存款,或者是在網(wǎng)絡上進行詐騙。因此,黑客入侵計算機網(wǎng)絡所造成的損失是十分嚴重的。

2.5垃圾郵件泛濫

垃圾郵件通常說的是沒有通過用戶允許強制發(fā)送給用戶的電子郵件。垃圾郵件泛濫成災的狀況使得因特網(wǎng)面臨著極大的威脅。在網(wǎng)絡里,很多垃圾郵件的傳播使得私人郵箱空間減少,還有的甚至破壞了收件人的隱私權。而且在垃圾郵件傳播的過程中,網(wǎng)絡寬帶也被占用,致使服務器擁擠,大大降低了服務器的傳輸作用,影響了網(wǎng)絡的運轉。

2.6管理缺失

計算機網(wǎng)絡安全的管理部門存在漏洞、責任沒有得到落實、管理權限不明確等等,致使網(wǎng)絡安全體系不完善、風險防范意識缺失,這也使得計算機網(wǎng)絡面臨的風險越來越多。同時這也使計算機病毒、木馬、黑客入侵等有機可乘,這樣就致使計算機網(wǎng)絡受到威脅。

3機場網(wǎng)絡安全的風險管控

3.1及時預防病毒和漏洞等

計算機病毒具備很強的傳播性、潛在性與損害性,所以一定要積極進行預防。計算機病毒的種類越來越多,所以預防病毒這項工作已經(jīng)不僅僅是一臺計算機的病毒清除,一定要構建起一個全方位、多角度的病毒防護系統(tǒng)。第一,就要在計算機上裝配一個立體化、多角度的防病毒軟件,經(jīng)過定時或者是不定時的病毒庫升級,讓計算機網(wǎng)絡避免遭受病毒的攻擊。第二就是要對于帶有升級病毒庫的移動硬盤,一定要保證及時查殺病毒。最后,要對客戶端、交換機等設施的操作體系中存有的漏洞展開第一時間的修復工作。機場數(shù)據(jù)應用體系中存有的漏洞,也要展開第一時間的升級和補丁工作。

3.2防止黑客攻擊

伴隨機場的數(shù)據(jù)生產(chǎn)集成系統(tǒng)應用的越發(fā)廣泛,網(wǎng)絡上也相應地開展了很多服務。比如說:航班查詢、網(wǎng)絡購票等等。黑客對這類網(wǎng)上服務進行攻擊的情況也時有發(fā)生,這就要求展開身份認定,定時更改賬戶信息與密碼,或者是使用智能卡或者是生物識別等科技,就可以有效地避免黑客入侵。此外防止黑客最主要的手段就是使用防火墻技術。防火墻技術說的就是使用對網(wǎng)絡進行隔離或者是約束訪問的手段來把控網(wǎng)絡的訪問權限,比如“冰盾防火墻、360安全衛(wèi)士”等等。防火墻可以在一定程度上對內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)進行監(jiān)控,避免外部網(wǎng)絡黑客的攻擊。機場生產(chǎn)、辦公網(wǎng)以及Internet網(wǎng)之間一定要配備多重防火墻,防火墻的配備一定要保障機場內(nèi)網(wǎng)的安全。

3.3構建網(wǎng)絡安全管理體系

在機場計算機網(wǎng)絡安全管理的過程里,建立、健全安全管理系統(tǒng)是保證機場及網(wǎng)絡安全的前提。不僅要關注科技手段的保護,還要更加關注管理者的職業(yè)品德,要竭盡全力避免非法行為,盡可能地規(guī)避風險。把網(wǎng)絡安全管理人員的在職期限與其責任分離開來,保證相關流程的操作,并且制定有關政策。

3.4構建備份與恢復體系將機場信息生產(chǎn)體系進行信息的備份,比如說:硬盤庫與備份體系、遠程信息、智能恢復、實時記錄、數(shù)據(jù)定時自動進行備份,這就脫離了人工干預,減少了因為硬件出錯、人為干預等各種原因產(chǎn)生的信息丟失。構建數(shù)據(jù)備份與恢復體系,即使在普通情況下難以突顯出其作用,但是只要信息丟失,就可以最大程度地減少機場的損失。

4總結

總的來說,機場的計算機網(wǎng)絡安全是一個繁雜的工程,僅僅依靠科技措施不能解決所有的問題。只有使用科技和預防管理相結合的方法,在科技層面上,將預防當成主要手段;在管理層面上,將增強用戶與工作人員的安全防范意識當作手段,建立健全有效的管理制度,才可以建立起全方位、多角度的網(wǎng)絡安全系統(tǒng),盡可能地保障機場網(wǎng)絡的平穩(wěn)運行。

參考文獻:

[1]宋如晉.機場信息網(wǎng)絡安全管理的研究與探討[J].城市建設理論研究電子版,2014.

第4篇:網(wǎng)絡安全管控體系范文

歷經(jīng)多年的信息通信基礎設施建設,管道公司信息通信網(wǎng)絡已覆蓋分布在全國14個省市的二級單位、輸油站庫、碼頭和項目部,承載著工業(yè)電視、視頻會議、移動可視化等網(wǎng)絡應用以及智能化管線系統(tǒng)、ERP系統(tǒng)、OA系統(tǒng)等信息系統(tǒng),成為公司生產(chǎn)運營、經(jīng)營管理、綜合辦公的中樞神經(jīng)。基于日趨完善的信息安全防護建設和日益豐富的信息安全管理手段,逐步建立了信息安全管理體系,部署了常規(guī)的技術防護措施,初步落實了信息安全等級保護要求,并定期開展信息安全風險評估。但是,必須看到,公司信息安全工作仍然面臨十分嚴峻的形勢。

1信息安全面臨的形勢與挑戰(zhàn)

(1)國際上圍繞網(wǎng)絡空間主導權與控制權的爭奪日趨激烈,信息基礎設施和社會基礎數(shù)據(jù)面臨新時期嚴峻的網(wǎng)絡攻擊風險;云計算、物聯(lián)網(wǎng)、移動互聯(lián)和大數(shù)據(jù)等新技術的快速發(fā)展使網(wǎng)絡安全邊界更加模糊,給信息安全帶來了新的更大的風險和挑戰(zhàn)。

(2)國家層面在不斷加強信息安全監(jiān)管力度,專門成立了中央網(wǎng)絡安全與信息化領導小組?!熬W(wǎng)絡強國戰(zhàn)略”在十八屆五中全會上被納入國家十三五規(guī)劃的戰(zhàn)略體系,網(wǎng)絡信息安全逐漸被提升至國家安全戰(zhàn)略的新高度。國內(nèi)先進企業(yè)也在體系化的全面推進信息安全風險管控工作,傳統(tǒng)的“被動靜態(tài)防護”逐漸被“主動動態(tài)防御”所取代。

(3)管道公司在信息安全管理、技術保障和合規(guī)性建設方面取得了一定的進展,但仍然存在以下不足:信息安全組織機構不健全,缺乏專業(yè)技術人才;部分員工缺乏信息安全意識,信息安全責任落實不到位;信息系統(tǒng)建設沒有完全落實信息安全防護同步規(guī)劃、同步建設、同步運行的“三同步”原則,信息系統(tǒng)等級保護沒有全面開展;互聯(lián)網(wǎng)出口尚未統(tǒng)一,信息安全整體防御能力相對薄弱;無線網(wǎng)絡應用、終端入網(wǎng)審計及系統(tǒng)用戶權限管控還有待進一步規(guī)范。

2信息安全管理體系與技術保障體系建設[1]

2.1健全信息安全管理體系

成立公司網(wǎng)絡安全和信息化領導小組,建立公司、二級單位兩級的信息安全管理與應急處置組織體系,建立安全方針政策、安全管理制度、技術標準規(guī)范、流程控制表單四個層級的信息安全標準與制度體系框架;以信息安全等級保護為主線,抓好信息化項目立項、驗收等關鍵節(jié)點,建立信息系統(tǒng)安全風險管控體系;按年度開展信息安全評估檢查,以問題為導向提升信息安全防護水平;建立信息安全通報機制,強化信息安全意識宣教與信息安全技術培訓、技能競賽,形成良好的信息安全氛圍。

2.2完善信息安全技術保障體系

在終端安全方面,部署網(wǎng)絡準入控制系統(tǒng)、桌面安全管理系統(tǒng)、防病毒系統(tǒng);在應用系統(tǒng)安全方面,對關鍵服務器主機設備進行冗余部署,建立主機弱點分析機制、主機系統(tǒng)軟件備份和恢復機制、主機入侵檢測機制和主機系統(tǒng)操作規(guī)范。同時,通過實施現(xiàn)有網(wǎng)絡優(yōu)化改造、網(wǎng)關部署等措施,實現(xiàn)公司生產(chǎn)網(wǎng)和辦公網(wǎng)的業(yè)務安全隔離,提升網(wǎng)絡邊界安全防護能力。

3信息安全管理提升

3.1建立信息安全責任制

分解落實信息化歸口管理部門、業(yè)務主管部門、建設運維單位、應用部門在信息系統(tǒng)全生命周期中的安全責任。明確各單位、部門的主要領導為信息安全第一責任人,明確各級信息安全管理員及各專業(yè)人員的信息安全崗位職責,強調像對待生產(chǎn)安全一樣對待信息安全,營造人人有責、人人盡責、齊抓共管的信息安全管控環(huán)境。

3.2加強信息系統(tǒng)安全等級

保護與信息化項目全生命周期的信息安全閉環(huán)管理,抓好過程管控,切實落實“三同步”要求。在立項階段確定安全等級,編制安全方案;在建設實施階段實施安全方案;在上線驗收階段嚴格安全檢查,杜絕系統(tǒng)“帶病”上線運行。同時,梳理檢查已投入運行維護的系統(tǒng),確保全部納入信息系統(tǒng)安全等級保護管理。

3.3建立健全信息安全應急響應機制

豐富信息安全應急資源,完善信息安全應急預案并加強演練,提升信息安全事件的響應速度和處置水平。通過技術培訓和人才引進,加強信息安全技術團隊建設,提升信息安全態(tài)勢感知能力和動態(tài)主動防御水平,促使信息安全管理由“救火型”向“預防型”轉變。

3.4建立健全信息安全分析和通報制度

結合國內(nèi)外及石化行業(yè)信息安全形勢,開展信息安全分析,查擺問題,研究制定解決方案。擴大《信息安全通報》影響面,充實通報內(nèi)容,充分發(fā)揮通報信息安全信息、傳播信息安全知識、安排信息安全工作、通報信息安全考核結果的綜合作用。

3.5統(tǒng)一公司互聯(lián)網(wǎng)出口

按業(yè)務需要嚴格管控,互聯(lián)網(wǎng)訪問實行實名制管理,互聯(lián)網(wǎng)訪問資源實行白名單管理。對外應用統(tǒng)一至公司云平臺的對外區(qū),建立統(tǒng)一遠程接入?yún)^(qū)。建立公司統(tǒng)一的無線網(wǎng)絡認證系統(tǒng),取締私自接入的無線路由器,規(guī)范無線網(wǎng)絡應用,為移動應用提供安全通道。

3.6加強用戶弱口令管理

全面啟用強密碼策略,提升用戶登錄認證的安全強度;將統(tǒng)一身份管理系統(tǒng)與HR系統(tǒng)集成,實時同步人員信息,強化用戶賬號的實名制管理。加強終端安全管理,實施用戶終端準入實名制管理,全面提高統(tǒng)一防病毒軟件和桌面管理軟件的安裝率,并積極推進虛擬桌面的普及應用。

3.7建立完善公司信息安全基線

以基線為基礎實現(xiàn)信息安全的全面管控,降低局部信息安全事件對整體信息安全形勢的影響,采取主動的防御思想,建設信息安全防護體系,并適時對基線進行調整,實現(xiàn)對信息安全事件的有效防御,切實提升信息安全管理和防護水平。

4結束語

信息安全管理要堅持技術與管理并重[1],在提高信息安全技術防護能力、做好適度防護的同時,注重信息安全組織體系、風險控制和運行服務等方面的管理,形成信息安全動態(tài)長效管理機制以及預防為主的主動式信息安全保護模式;既要作為一個單項重要工作來抓,更要融入各項日常信息化工作,特別是信息系統(tǒng)全生命周期管理中去,才能保障企業(yè)信息化的健康有序發(fā)展。

參考文獻

[1]劉希儉等.企業(yè)信息化實務指南[M].北京:石油工業(yè)出版社;2011.

第5篇:網(wǎng)絡安全管控體系范文

在大型的企業(yè)網(wǎng)絡中不同的子網(wǎng)各有特點,對于網(wǎng)絡安全防護有不同的等級要求和側重點。因此,網(wǎng)絡安全域的“同構性簡化”思路就顯得非常適合安徽中煙網(wǎng)絡安全防護的需求,下面將具體介紹安徽中煙基于安全域的網(wǎng)絡安全防護體系建設思路。

網(wǎng)絡安全域是使網(wǎng)絡滿足等級保護要求的關鍵技術,每一個邏輯區(qū)域有相同的安全保護需求,具有相同的安全訪問控制和邊界控制策略,區(qū)域間具有相互信任關系,而且相同的網(wǎng)絡安全域共享同樣的安全防護手段。通過建設基于安全域的網(wǎng)絡安全防護體系,我們可以實現(xiàn)以下的目標:通過對系統(tǒng)進行分區(qū)域劃分和防護,構建起有效的縱深防護體系;明確各區(qū)域的防護重點,有效抵御潛在威脅,降低風險;保證系統(tǒng)的順暢運行,保證業(yè)務服務的持續(xù)、有效提供。

1安全域劃分

由于安徽中煙網(wǎng)絡在網(wǎng)絡的不同層次和區(qū)域所關注的角度不同,因此進行安全域劃分時,必須兼顧網(wǎng)絡的管理和業(yè)務屬性,既保證現(xiàn)有業(yè)務的正常運行,又要考慮劃分方案是否可行。在這樣的情況下,獨立應用任何一種安全域劃分方式都不能實現(xiàn)網(wǎng)絡安全域的合理劃分,需要多種方式綜合應用,互相取長補短,根據(jù)網(wǎng)絡承載的業(yè)務和企業(yè)的管理需求,有針對性地選擇合理的安全域劃分方式。

1.1安全域劃分原則

業(yè)務保障原則安全域劃分應結合煙草業(yè)務系統(tǒng)的現(xiàn)狀,建立持續(xù)保障機制,能夠更好的保障網(wǎng)絡上承載的業(yè)務。在保證安全的同時,還要保障業(yè)務的正常運行和運行效率。結構化原則安全域劃分的粒度可以從系統(tǒng)、設備到服務、進程、會話等不斷細化,在進行安全域劃分時應合理把握劃分粒度,只要利于使用、利于防護、利于管理即可,不可過繁或過簡。等級保護原則屬于同一安全域內(nèi)的系統(tǒng)應互相信任,即保護需求相同。建立評估與監(jiān)控機制,設計防護機制的強度和保護等級。要做到每個安全域的信息資產(chǎn)價值相近,具有相同或相近的安全等級、安全環(huán)境、安全策略等。生命周期原則安全域的劃分不應只考慮到靜態(tài)設計,還要考慮因需求、環(huán)境不斷變化而產(chǎn)生的安全域的變化,所以需考慮到工程化管理。

1.2安全域劃分方式

1.2.1安全域劃分模型根據(jù)安徽中煙網(wǎng)絡和業(yè)務現(xiàn)狀,安徽中煙提出了如下安全域劃分模型,將整個網(wǎng)絡劃分為互聯(lián)網(wǎng)接口區(qū)、內(nèi)部網(wǎng)絡接口區(qū),核心交換區(qū),核心生產(chǎn)區(qū)四部分:核心生產(chǎn)區(qū)本區(qū)域僅和該業(yè)務系統(tǒng)其它安全子域直接互聯(lián),不與任何外部網(wǎng)絡直接互聯(lián)。該業(yè)務系統(tǒng)中資產(chǎn)價值最高的設備位于本區(qū)域,如服務器群、數(shù)據(jù)庫以及重要存儲設備,外部不能通過互聯(lián)網(wǎng)直接訪問該區(qū)域內(nèi)設備。內(nèi)部互聯(lián)接口區(qū)本區(qū)域放置的設備和公司內(nèi)部網(wǎng)絡,包括與國家局,商煙以及分支煙草連接的網(wǎng)絡。互聯(lián)網(wǎng)接口區(qū)本區(qū)域和互聯(lián)網(wǎng)直接連接,主要放置互聯(lián)網(wǎng)直接訪問的設備。該區(qū)域的設備具備實現(xiàn)互聯(lián)網(wǎng)與內(nèi)部核心生產(chǎn)區(qū)數(shù)據(jù)的轉接作用。核心交換區(qū)負責連接核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域。

1.2.2安全域邊界整合1)整合原則邊界整合原則是主要依據(jù)分等級保護的原則和同類安全域合并。分等級防護是安全域方法的基本思想,這自然不必多說,同類安全域合并原則在落實時應以一下思想為指導:集中化:在具備條件的情況下,同一業(yè)務系統(tǒng)應歸并為一個大的安全域;次之,在每個機房的屬于同一數(shù)據(jù)業(yè)務系統(tǒng)的節(jié)點應歸并為一個大的安全域??缦到y(tǒng)整合:不同的數(shù)據(jù)業(yè)務系統(tǒng)之間的同類安全域應在保證域間互聯(lián)安全要求的情況下進行整合,以減小邊界和進行防護。最小化:應將與外部、內(nèi)部互聯(lián)的接口數(shù)量最小化,以便于集中、重點防護。2)整合方法為了指導邊界整合,安徽中煙提出了兩種邊界整合方法、適用場景。這些邊界整合方法都側重于跨系統(tǒng)或同一系統(tǒng)不同節(jié)點間的邊界整合,側重于數(shù)據(jù)業(yè)務系統(tǒng)與互聯(lián)網(wǎng)、外部系統(tǒng)間的接口的整合。(1)單一傳輸出口的邊界整合此種整個方法適用于:具備傳輸條件和網(wǎng)絡容災能力,將現(xiàn)有數(shù)據(jù)業(yè)務系統(tǒng)和互聯(lián)網(wǎng)的傳輸接口整合至單一或幾個互備接口。(2)多個傳輸出口的邊界整合此種整個方法適用于:數(shù)據(jù)業(yè)務系統(tǒng)和互聯(lián)網(wǎng)之間有多個物理位置不同的接口,并且尚不具備傳輸條件整合各接口。

2安全防護策略

2.1安全防護原則

集中防護通過安全域劃分及邊界整合后,可以形成所謂的“大院”,減少了邊界,進而可以在安全域的邊界和內(nèi)部部署防火墻、入侵檢測系統(tǒng)的網(wǎng)絡探頭、異常流量檢測和過濾設備、網(wǎng)絡安全管控平臺的采集設備、防病毒系統(tǒng)的客戶端等基礎安全技術防護手段,集中部署基礎安全服務設施,對不同業(yè)務系統(tǒng)、不同的安全子域進行防護,共享其提供的安全服務。分等級防護根據(jù)煙草行業(yè)信息安全等級保護要求,對不同的數(shù)據(jù)業(yè)務系統(tǒng)、不同的安全子域,按照其保護等級進行相應的防護。對于各系統(tǒng)共享的邊界按“就高不就低”的原則進行防護??v深防護從外部網(wǎng)絡到核心生產(chǎn)域,以及沿用戶(或其他系統(tǒng))訪問(或入侵)系統(tǒng)的數(shù)據(jù)流形成縱深的安全防護體系,對關鍵的信息資產(chǎn)進行有效保護。

2.2系統(tǒng)安全防護

為適應安全防護需求,統(tǒng)一、規(guī)范和提升網(wǎng)絡和業(yè)務的安全防護水平,安徽中煙制定了由安全域劃分和邊界整合、設備自身安全、基礎安全技術防護手段、安全運行管理平臺四層構成的安全技術防護體系架構。其中,安全域劃分和邊界整合是防護體系架構的基礎。

2.2.1設備自身安全功能和配置一旦確定了設備所在的安全域,就可以根據(jù)其落入的安全域防護策略對設備進行安全功能設置和策略部署。針對設備的安全配置,安徽中煙后期會制定《安徽中煙設備安全功能和配置系列規(guī)范》提供指導。

2.2.2基礎安全技術防護手段業(yè)務系統(tǒng)的安全防護應以安全域劃分和邊界整合為基礎,通過部署防火墻、入侵檢測、防病毒、異常流量檢測和過濾、網(wǎng)絡安全管控平臺等5類通用的基礎安全技術防護手段進行防護。在通用手段的基礎上,還可根據(jù)業(yè)務系統(tǒng)面臨的威脅種類和特點部署專用的基礎安全技術防護手段,如網(wǎng)頁防篡改、垃圾郵件過濾手段等。

防火墻部署防火墻要部署在各種互聯(lián)邊界之處:

–在互聯(lián)網(wǎng)接口區(qū)和互聯(lián)網(wǎng)的邊界必須部署防火墻;

–在核心交換區(qū)部署防火墻防護互聯(lián)網(wǎng)接口區(qū)、內(nèi)部互聯(lián)接口區(qū)和核心生產(chǎn)區(qū)的邊界;

–在內(nèi)部互聯(lián)接口區(qū)和內(nèi)部網(wǎng)絡的邊界也需部署防火墻??紤]到內(nèi)部互聯(lián)風險較互聯(lián)網(wǎng)低,內(nèi)部互聯(lián)接口區(qū)防火墻可復用核心交換區(qū)部署的防火墻。另外,對于同一安全域內(nèi)的不同安全子域,可采用路由或交換設備進行隔離和部署訪問控制策略,或者采用防火墻進行隔離并設置訪問控制策略。入侵檢測設備的部署應在互聯(lián)網(wǎng)接口區(qū)、內(nèi)部互聯(lián)接口區(qū)必須部署入侵檢測探頭,并統(tǒng)一接受網(wǎng)管網(wǎng)集中部署的入侵檢測中央服務器的控制。在經(jīng)濟許可或相應合理要求下,也可在核心交換區(qū)部署入侵檢測探頭,實現(xiàn)對系統(tǒng)間互訪的監(jiān)控。防病毒系統(tǒng)的部署運行Windows操作系統(tǒng)的設備必須安裝防病毒客戶端,并統(tǒng)一接受網(wǎng)管網(wǎng)集中部署的防病毒中央控制服務器的統(tǒng)一管理。同時,為了提高可用性和便于防護,可在內(nèi)部互聯(lián)接口區(qū)部署二級防病毒服務器。異常流量檢測和過濾可在數(shù)據(jù)業(yè)務系統(tǒng)互聯(lián)網(wǎng)接口子域的互聯(lián)網(wǎng)邊界防火墻外側部署異常流量檢測和過濾設備,防范和過濾來自互聯(lián)網(wǎng)的各類異常流量。

網(wǎng)絡安全管控平臺網(wǎng)絡安全管控平臺應部署在網(wǎng)管網(wǎng)側,但為了簡化邊界和便于防護,建議:

–在內(nèi)部互聯(lián)接口區(qū)部署帳號口令采集設備以實現(xiàn)帳號同步等功能。

–在內(nèi)部互聯(lián)接口區(qū)必須部署日志采集設備,采集業(yè)務系統(tǒng)各設備的操作日志。

2.2.3應用層安全防護數(shù)據(jù)業(yè)務系統(tǒng)應用安全防護主要是防范因業(yè)務流程、協(xié)議在設計或實現(xiàn)方面存在的漏洞而發(fā)生安全事件。其安全防護與系統(tǒng)架構、業(yè)務邏輯及其實現(xiàn)等系統(tǒng)自身的特點密切相關。安徽中煙通過參考IAARC模型,提出鑒別和認證、授權與訪問控制、內(nèi)容安全、審計、代碼安全五個防護方面。

2.2.4安全域的管理除了實施必要的安全保障措施控制外,加強安全管理也是不可缺少的一個重要環(huán)節(jié)。安全域管理主要包括:從安全域邊界的角度考慮,應提高維護、加強對邊界的監(jiān)控,對業(yè)務系統(tǒng)進行定期或不定期的風險評估及實施安全加固;從系統(tǒng)的角度考慮,應規(guī)范帳號口令的分配,對服務器應嚴格帳號口令管理,加強補丁的管理等;人員安全培訓。

第6篇:網(wǎng)絡安全管控體系范文

【關鍵詞】網(wǎng)絡安全;網(wǎng)絡攻擊;建設與規(guī)劃;校園網(wǎng)

1、網(wǎng)絡現(xiàn)狀

揚州Z校擁有多個互聯(lián)網(wǎng)出口線路,分別是電信100M、電信50M、網(wǎng)通100M、聯(lián)通1G和校園網(wǎng)100M。Z校擁有多個計算環(huán)境,網(wǎng)絡核心區(qū)是思科7609的雙核心交換機組,確保了Z校校園骨干網(wǎng)絡的可用性與高冗余性;數(shù)據(jù)中心是由直連在核心交換機上的眾多服務器組成;終端區(qū)分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外,還有一個獨立的無線校園網(wǎng)絡。Z校網(wǎng)絡信息安全保障能力已經(jīng)初具規(guī)模,校園網(wǎng)絡中已部署防火墻、身份認證、上網(wǎng)行為管理、web應用防火墻等設備。原拓撲結構見圖1。

2、安全威脅分析

目前,Z校網(wǎng)絡安全保障能力雖然初具規(guī)模,但是,在信息安全建設方面仍然面臨諸多的問題,如,網(wǎng)絡中缺乏網(wǎng)管與安管系統(tǒng)、對網(wǎng)絡中的可疑情況,沒有分析、響應和處理的手段和流程、無法了解網(wǎng)絡的整體安全狀態(tài),風險管理全憑感覺等等,以上種種問題表明,Z校需要對網(wǎng)絡安全進行一次全面的規(guī)劃,以便在今后的網(wǎng)絡安全工作中,建立一套有序、高效和完善的網(wǎng)絡安全體系。

2.1安全設備現(xiàn)狀

Z校部署的網(wǎng)絡安全防護設備較少。在校區(qū)的互聯(lián)網(wǎng)出口處,部署了一臺山石防火墻,在WEB服務器群前面部署了一臺WEB應用防火墻。

2.2外部網(wǎng)絡安全威脅

互聯(lián)網(wǎng)出現(xiàn)的網(wǎng)絡威脅種類繁多,外部網(wǎng)絡威脅一般是惡意入侵的網(wǎng)絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數(shù)據(jù)等為目的,對內(nèi)網(wǎng)中的各種網(wǎng)絡設備發(fā)起攻擊,網(wǎng)絡中雖然有一些基礎的防護,但是,黑客們只要找到漏洞,就會利用內(nèi)網(wǎng)用戶作跳板進行攻擊,最終攻破內(nèi)網(wǎng)。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。

2.3內(nèi)部網(wǎng)絡安全威脅

內(nèi)部惡意入侵的主體是學生,還有一些網(wǎng)絡安全意識薄弱的教職工。Z校學生眾多,學生們可能本著好奇、試驗、炫技或者惡意破壞等目的,入侵學校網(wǎng)絡[2]。Z校某些教職工也可能瀏覽掛馬網(wǎng)站或者點擊來歷不明的郵件,照成網(wǎng)絡堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造,以提升鏈路穩(wěn)定性,提高網(wǎng)絡的服務能力為出發(fā)點,Z校在安全改造實施中,應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率:Z校網(wǎng)絡出口與CERNET、Internet互聯(lián),選擇了與電信和聯(lián)通兩家運營商合作。利用現(xiàn)有網(wǎng)絡出口鏈路資源,提升網(wǎng)絡訪問速度,最大化保障校園網(wǎng)內(nèi)部用戶的網(wǎng)絡使用滿意度,同時又要合理節(jié)約鏈路成本,均衡使用各互聯(lián)網(wǎng)出口鏈路,是網(wǎng)絡安全建設的首要需求。2)實現(xiàn)關鍵設備的冗余性:互聯(lián)網(wǎng)邊界的下一代防火墻設備為整個網(wǎng)絡安全改造的核心設備,均以NAT模式或者路由模式部署,承載了整個校園網(wǎng)的業(yè)務處理,任何一個設備出現(xiàn)問題將直接導致業(yè)務不能夠連續(xù)運行,無任何備份措施,只能替換或者跳過出故障的設備,且只能以手工方式完成切換,無論從響應的及時性,還是從保障業(yè)務連續(xù)性的角度,都存在很大的延遲,為此需要將互聯(lián)網(wǎng)出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設備數(shù)量較多,需要對所有安全設備進行統(tǒng)一日志收集、查詢工作,傳統(tǒng)單臺操作單臺部署的方式運維效率低下,所以需要專業(yè)集中監(jiān)控、配置、管理的安全設備,統(tǒng)一對眾多安全設備進行集中監(jiān)控、策略統(tǒng)一調度、統(tǒng)一升級備份和審計。

4、解決方案

網(wǎng)絡安全建設是一個長期的項目,不可能一蹴而就,一步到位,網(wǎng)絡安全過程建設中,在利用學校原有設備的基礎上,在資金、技術成熟的條件下,逐步實施。Z校網(wǎng)絡安全建設規(guī)劃分為短期建設和長期建設兩部分。

4.1短期網(wǎng)絡建設規(guī)劃

4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設計主線,從安全的角度分析各業(yè)務系統(tǒng)可能存在的安全隱患,根據(jù)應用系統(tǒng)的特點和安全評估是數(shù)據(jù),劃分不同安全等級的區(qū)域[3]。通過安全區(qū)域的劃分,明確網(wǎng)絡邊界,形成清晰、簡潔的網(wǎng)絡架構,實現(xiàn)各業(yè)務系統(tǒng)之間嚴格的訪問安全互聯(lián),有效的實現(xiàn)網(wǎng)絡之間,各業(yè)務系統(tǒng)之間的隔離和訪問控制。本次短期網(wǎng)絡建設,把整個網(wǎng)絡劃分為邊界安全防護區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入?yún)^(qū)域、服務器集群區(qū)域和無線訪問控制區(qū)域。4.1.2部署設計網(wǎng)絡拓撲結構見圖2,從圖2可以看出,出口區(qū)域,互聯(lián)網(wǎng)邊界處的防火墻設備是整個網(wǎng)絡安全改造的核心設備,以NAT模式或者路由模式部署,無任何備份措施,為此需要再引入一臺同型號的防火墻設備,實現(xiàn)雙機冗余部署。同理,原城市熱點認證網(wǎng)關和行為管理設備需要再各補充一臺,組成雙機冗余方案。安全管理區(qū)域根據(jù)學校預算,部署幾臺安全設備。首先,部署一臺堡壘機,建立集中、主動的安全運維管控模式,降低人為安全風險;其次,部署一臺入侵檢測設備(IDS),實時、主動告警黑客攻擊、蠕蟲、網(wǎng)絡病毒、后門木馬、D.o.S等惡意流量,防止在出現(xiàn)攻擊后無數(shù)據(jù)可查;再部署一臺漏洞掃描設備,對網(wǎng)絡內(nèi)部的設備進行漏洞掃描,找出存在的安全漏洞,根據(jù)漏洞掃描報告與安全預警通告,制定安全加固實施方案,以保證各系統(tǒng)功能的正常性和堅固性;最后,部署一臺安全審計設備(SAS),實時監(jiān)控網(wǎng)絡環(huán)境中的網(wǎng)絡行為、通信內(nèi)容,實現(xiàn)對網(wǎng)絡信息數(shù)據(jù)的監(jiān)控。服務器集群區(qū)域,除了原有的WEB防火墻外,再部署一臺入侵防護設備(IPS),攔截網(wǎng)絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量,保護Z校的信息系統(tǒng)和網(wǎng)絡架構免受侵害,防止操作系統(tǒng)和應用程序損壞或宕機[4]。

4.2長期網(wǎng)絡建設規(guī)劃

網(wǎng)絡安全的防護是動態(tài)的、整體的,病毒傳播、黑客攻擊也不是靜態(tài)的。在網(wǎng)絡安全領域,不存在一個能完美的防范任何攻擊的網(wǎng)絡安全系統(tǒng)。在網(wǎng)絡中添加再多的網(wǎng)絡安全設備也不可能解決所有網(wǎng)絡安全方面的問題。想要構建一個相對安全的網(wǎng)絡系統(tǒng),需要建立一套全方位的,從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前,網(wǎng)絡安全體系化建設結合重點設備保護的策略,再配合第三方安全廠商的安全服務是網(wǎng)絡安全建設的優(yōu)選。4.2.1網(wǎng)絡體系化建設體系化建設指通過分析網(wǎng)絡的層次關系、安全需要和動態(tài)實施過程,建立一個科學的安全體系和模型,再根據(jù)安全體系和模型來分析網(wǎng)絡中存在的各種安全隱患,對這些安全隱患提出解決方案,最大程度解決網(wǎng)絡存在的安全風險。體系化建設需要從網(wǎng)絡安全的組織體系、技術體系和管理體系三方面著手,建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構,包括崗位設置、人員錄用、離崗、考核等[5];技術體系分為物理安全、網(wǎng)絡安全、主機安全、系統(tǒng)運維管理、應用安全、數(shù)據(jù)安全及備份恢復等;管理體系側重于制度的梳理,包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設計網(wǎng)絡體系化建設要以組織體系為基礎,以管理體系為保障,以技術體系為支撐[6],全局、均衡的考慮面臨的安全風險,采取不同強度的安全措施,提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點,安全體系為核心,安全指導為原則,體系建設為抓手,組織和制定安全實施策略和防范措施,在建設過程中不斷完善安全體系結構和安全防御體系,全方位、多層次滿足安全需求。

5、結語

從整個信息化安全體系來說,安全是技術與管理的一個有機整體,僅僅借助硬件產(chǎn)品進行的安全防護是不完整的、有局限的。安全問題,是從設備到人,從服務器上每個服務程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產(chǎn)品的綜合問題,每一個環(huán)節(jié),都是邁向網(wǎng)絡安全的步驟之一。文中的研究思路、解決方案,對兄弟院校的網(wǎng)絡安全建設和改造有參考價值。

參考文獻:

[1]王霞.數(shù)字化校園中網(wǎng)絡與信息安全問題及其解決方案[J].科技信息,2012.7:183-184

[2]黃智勇.網(wǎng)絡安全防護系統(tǒng)設計與實現(xiàn)[D].成都:電子科技大學,2011.11:2-3

[3]徐奇.校園網(wǎng)的安全信息安全體系與關鍵技術研究[D].上海:上海交通大學,2009.5:1-4

[4]張旭輝.某民辦高校網(wǎng)絡信息安全方案的設計與實現(xiàn)[D].西安:西安電子科技大學,2015.10:16-17

[5]陳堅.高校校園網(wǎng)網(wǎng)絡安全問題分析及解決方案設計[D]長春:長春工業(yè)大學,2016.3:23-31

第7篇:網(wǎng)絡安全管控體系范文

關鍵詞:計算機網(wǎng)絡;安全;病毒防范

1、計算機病毒特征

計算機病毒對系統(tǒng)運行、網(wǎng)絡傳輸、共享安全可靠性造成了顯著的影響,其具體特征表現(xiàn)為較強的破壞性、傳播性、隱藏性以及執(zhí)行性。網(wǎng)絡技術的快速發(fā)展令病毒還呈現(xiàn)出攻擊影響擴散快速、潛在危害大、無法全面清除、傳播途徑復雜等特征。病毒宿主類型廣泛,可隱蔽于文件、軟件之中,或是郵件內(nèi),因此增加了檢測查殺的難度。伴隨計算機網(wǎng)絡、新型應用技術的出現(xiàn),病毒傳播并非單純將存儲媒介作為載體,還將網(wǎng)絡作為渠道,進行漏洞攻擊,并可利用文件下載、郵件發(fā)送、論壇以及即時通訊等工具實現(xiàn)快速傳播,并引發(fā)較大的損失。從類別層面來講,計算機病毒通常包括木馬、蠕蟲與腳本病毒等。木馬病毒為遠程控制手段,涵蓋服務以及客戶端兩類。蠕蟲病毒則可在網(wǎng)絡傳播中實現(xiàn)自我復制,并借助網(wǎng)絡系統(tǒng)將錯誤、篡改的信息進行傳遞,導致服務器被拒或被鎖。蠕蟲病毒具有較大的破壞影響力,不僅影響到受感染機器,同時還會對沒有感染電腦產(chǎn)生負面影響,還可借助自動更新以及定位,在網(wǎng)絡系統(tǒng)中實現(xiàn)對計算機的掃描檢測,進而將自身某程序段或整體病毒拷貝至目標對象,實現(xiàn)病毒發(fā)送以及不斷復制,最終將令網(wǎng)絡系統(tǒng)帶寬資源快速的耗盡,影響到網(wǎng)內(nèi)計算機的快速應用,并對網(wǎng)絡安全造成不良威脅。腳本病毒體現(xiàn)了強大的語言能力,可直接完成計算機體系組建的調用,同時對軟件系統(tǒng)以及憑條包含的漏洞加以應用。

計算機病毒一般來講均可直接進行解釋并調用執(zhí)行,進而令病毒的感染與傳播更為簡單便利,具體感染途徑涵蓋共享、電子郵件、文件發(fā)送傳輸?shù)惹馈?/p>

2、計算機網(wǎng)絡安全與病毒防范

為確保計算機網(wǎng)絡系統(tǒng)的可靠安全,應科學防范病毒,制定安全管控策略,做好數(shù)據(jù)備份,定期進行軟件更新、并安裝防范病毒的新型軟件。同時應全面掌控病毒類型、發(fā)展狀態(tài),快速更新升級防毒工具,制定嚴格防范管理制度,提升病毒安全防范意識。應針對當前病毒傳播特征、黑客攻擊規(guī)律以及病毒的發(fā)展,采用復合、集成防范病毒方式。應做好系統(tǒng)漏洞的定期掃描與及時修復,防范黑客攻擊,應用具備數(shù)據(jù)拯救、預防病毒以及入侵影響功能的整體優(yōu)質安全操作系統(tǒng)。

2.1 采用新型防毒技術,實現(xiàn)加密保護

為有效預防計算機網(wǎng)絡數(shù)據(jù)信息傳輸遭到不法人士的惡意竊聽,并被不良篡改,應做好信息數(shù)據(jù)的安全加密保護。令數(shù)據(jù)信息形成密文。倘若不具備密鑰,則即便數(shù)據(jù)信息遭到竊取,同樣無法將其還原,并達到占用篡改目標。這樣一來便可確保數(shù)據(jù)信息的可靠安全??蓱脤ΨQ以及分對稱加密處理方式。針對計算機網(wǎng)絡各類病毒做好安全防護尤為重要,信息技術的快速更新發(fā)展,需要我們采用有效的新型防毒技術。還可應用智能引擎技術,基于特征碼掃描,優(yōu)化傳統(tǒng)技術弊端,加快病毒掃描處理,擴充病毒庫類型。為全面暴露計算機病毒原型,可應用壓縮智能還原手段,將壓縮以及打包相關文件實現(xiàn)還原,進而有效應對計算機病毒,提升安全防護水平。還有一類病毒免疫科學技術,為反病毒研究專家探討的新型熱點問題??赏ㄟ^強化自主訪問應用管控,布設磁盤禁寫安全保護區(qū)域,進而達到病毒免疫功能構想。對于經(jīng)常受到病毒侵襲影響的計算機應用程序以及相關對象,可進行重點防護,應用嵌入殺毒手段實現(xiàn)安全預防。可應用操作系統(tǒng)以及安全應用程序形成內(nèi)部接口進行病毒防御處理。該項技術對于應用頻率等級較高、服務范圍廣泛的重要應用軟件,可發(fā)揮被動防護功能。

2.2 優(yōu)化入侵檢測,實施病毒安全防護

為有效預防計算機病毒,維護網(wǎng)絡安全,可應用入侵檢測技術手段,快速察覺并發(fā)現(xiàn)計算機系統(tǒng)中存在的未授權現(xiàn)象以及異常狀況,進而應對網(wǎng)絡體系中觸犯安全策略規(guī)定的相關行為。應用該技術,可令入侵攻擊影響行為在產(chǎn)生對計算機系統(tǒng)的危害前期,合理的捕捉入侵攻擊行為,并及時報警,令入侵影響、病毒侵害被全面驅逐。入侵攻擊階段中,可降低入侵影響導致的不良損害。一旦系統(tǒng)遭受入侵攻擊,可全面收集相關行為數(shù)據(jù)與特征信息,進而擴充防范病毒影響、黑客入侵的知識體系,形成專項數(shù)據(jù)庫,進而提升系統(tǒng)預防病毒,網(wǎng)絡安全運行綜合能效。

防火墻技術為一類有效的隔離防護手段,可進行安全應用策略的預先定義,進而對計算機內(nèi)網(wǎng)以及外網(wǎng)系統(tǒng)的通信聯(lián)系做好強制訪問管控。較常應用技術手段涵蓋包過濾處理技術、網(wǎng)關技術以及狀態(tài)檢測手段等。包過濾技術主于網(wǎng)絡系統(tǒng)層中實現(xiàn)數(shù)據(jù)包有選擇予以通過,并就系統(tǒng)先前預定過濾操作邏輯,針對系統(tǒng)數(shù)據(jù)流內(nèi)的各個數(shù)據(jù)包進行核查檢驗,依據(jù)數(shù)據(jù)包目標以及源地址,數(shù)據(jù)包應用端口明確核準數(shù)據(jù)包通過與否。防火墻技術可針對網(wǎng)絡系統(tǒng)數(shù)據(jù)流的運行連接合理合法性實施研究分析??蓱梅蓝緣夹g有效預防缺陷,可在網(wǎng)絡入口方位,針對網(wǎng)絡傳輸運行進程中的病毒做好過濾防護,進行網(wǎng)關查毒防范。

第8篇:網(wǎng)絡安全管控體系范文

1計算機網(wǎng)絡安全評價體系的建立

計算機網(wǎng)絡自身組成就非常復雜,而影響計算機網(wǎng)絡安全的因素也有很多,為了進一步強化對計算機網(wǎng)絡安全的評價,就必須要建立起完善的計算機網(wǎng)絡安全評價體系。

1.1計算機網(wǎng)絡安全評價體系的建立應遵循的原則

1.1.1準確性

計算機網(wǎng)絡安全評價體系中的每一項平評價指標必須要保證其真實性以及有效性,這樣才能將網(wǎng)絡安全在不同階段的技術水平充分體現(xiàn)出來。

1.1.2獨立性

在選取計算機網(wǎng)絡安全評價體系的相關評價指標的時候,盡量不要對指標進行重復選擇,這樣才能保證不同指標指標的保持一定的獨立性,將各種指標之間的關聯(lián)性降到最低,這樣才能將計算機網(wǎng)絡的安全狀況客觀的反映出來。

1.1.3完備性

在選取計算機網(wǎng)絡安全評價體系相關評價指標選擇的時候,要對各種評價指標進行全面的考慮,并進行合理的選擇。要充分保證每一項選取的指標能夠將計算機網(wǎng)絡安全的基本特征都可觀的反映出來,只有這樣才能充分保證評價指標表的可靠性,并最終保證評價結果的準確性。

1.1.4簡要性

在進行計算機網(wǎng)絡安全評價體系評價指標選擇的過程中既要充分考慮指標的完備性,同時也要兼顧指標評價的實際工作量以及工效率,要盡量選擇一些最具代表性的指標,在充分保證評價結果的基礎上,最大程度的減少指標評價的工作量。

1.2各評價指標的取值機標準化問題

不同的評價指標描述的具體因素有很大的差距,總體來說計算機網(wǎng)絡安全的評價指標主要分為定量以及定性等兩種評價指標,這兩種評價指標的評價側重點不同,能夠分別從不同的側面對計算機網(wǎng)絡安全進行評價,在實際的計算機網(wǎng)絡安全評價過程中不能直接將不同評價指標得取值進行對比,因此,評價指標得取值規(guī)則的不同同樣會造成結果的差異,因此必須要對不同指標進行相應的標準化處理。

2計算機網(wǎng)絡安全評價中神經(jīng)網(wǎng)絡的應用

2.1計算機網(wǎng)絡安全

所謂的計算機網(wǎng)絡安全是利用的當下的高新科技,并充分結合現(xiàn)代的網(wǎng)絡管控措施來充分保證計算機的網(wǎng)絡環(huán)境中各種數(shù)據(jù)的可利用性、各種數(shù)據(jù)信息的完整性、充分保證各種數(shù)據(jù)保密性等得到最好的保護。計算機網(wǎng)絡安全主要可以分為邏輯安全以及物理安全。其中邏輯安全主要指的是要充分保證網(wǎng)絡上各種數(shù)據(jù)得安全、完整、可用。而物理安全則指的是采取物理的手段來對的計算機的相關設備進行充分保護,這樣就能避免計算機在運行過程中受到物理損壞。計算機網(wǎng)絡安全主要包含了保密性、完成性、可用性、可控性、可審查性等五個特征,計算機網(wǎng)絡具有較強得開放性以及自由行性,另外,隨著現(xiàn)代計算機網(wǎng)絡的快速發(fā)展,計算機網(wǎng)絡已經(jīng)具備了國際性,因此計算機網(wǎng)絡安全收到的威脅也來自多方面,計算機網(wǎng)絡信息傳輸?shù)奈锢砭€路遭受的攻擊、計算機的網(wǎng)路通信協(xié)議遭受攻擊,軟件系統(tǒng)樓攻擊等。

2.2神經(jīng)網(wǎng)絡的計算機網(wǎng)絡安全評價模型設計

2.2.1輸入層設計

BP神經(jīng)網(wǎng)絡是一種基于誤差的傳播算法,在目前的所有神經(jīng)網(wǎng)絡模型中應用最為廣泛的一種。在進行輸入層神經(jīng)元接點設計的時候一定要保證節(jié)點的數(shù)量與計算機網(wǎng)絡安全評價指標數(shù)量保持一直。例如,如果計算機網(wǎng)絡安全評價的體系中設置了18個評價指標,那么在進行計算機網(wǎng)絡安全評價體系輸入層神經(jīng)數(shù)量設計的時候也必須要保證其數(shù)量為18。

2.2.2設計隱含層

在大量實踐中我們知道,多數(shù)BP神經(jīng)元網(wǎng)絡在實際的時候采用都是單隱含層,而且隱含層中節(jié)點的數(shù)量對整個計算機網(wǎng)絡的性能有很大的影響,必須要給予足夠的重視。如果在實際設計過程中,隱含層節(jié)點的數(shù)量設計過少,就會對計算機網(wǎng)絡得非線性映射以及網(wǎng)絡的容錯性能產(chǎn)生嚴重的影響;而如果設計的節(jié)點數(shù)量過多則會造成網(wǎng)絡得學習時間大幅增加,不僅會造成學習誤差出現(xiàn)的概率增加,同時還嚴重的影響學習的效率。因此,在進行隱含層接點數(shù)量設計的時候要按照經(jīng)驗公式來進行合理的選擇。

2.2.3進行輸出層的設計

輸出層主要是對計算機網(wǎng)絡安全評價結果進行直觀的反映。然后充分結合評價結果評語結合,如果計算機網(wǎng)絡BP輸出層的節(jié)點設計了2個,而假定其輸出結果為(0,0)或者(0,1),則表示計算機網(wǎng)絡不安全,而假定其輸出結果為(1,0)或者(1,1)那么就表示計算機網(wǎng)絡處于安全狀態(tài)。2.3神經(jīng)網(wǎng)絡的計算機網(wǎng)絡安全評價模型學習在進行計算機網(wǎng)絡安全評價的過程中應用BP神經(jīng)網(wǎng)絡,其各個層中的初始連接的權值是任意的,因此,在建立計算機網(wǎng)絡評價模型前必須要對神經(jīng)網(wǎng)絡進行學習。這樣就能充分保證針對網(wǎng)絡的安全評價盡量保證與用戶期望值相吻合。

2.4神經(jīng)網(wǎng)絡得計算機網(wǎng)絡安全評價模型驗證

網(wǎng)絡評價模型不僅要進行充分的設計和學習,同時為了進一步提升其實際應用效能,必須要對模型進行良好的驗證。通過選取樣本的形式,將樣本輸入其中就能驗證模型實際的評價功能,保證其準確性。

3結束語

綜上所述,將神經(jīng)網(wǎng)絡技術應用到計算機網(wǎng)絡安全評價過程中,其實際的評價結果可以充分避免出現(xiàn)一定的不確定性或者主觀影響,這樣就能保證評價結果的可靠性和真實性,從而為計算機的安全管理提供了更加科學的依據(jù)。

參考文獻

第9篇:網(wǎng)絡安全管控體系范文

關鍵詞:計算機網(wǎng)絡 信息安全 防護 對策

在科技進步的過程中,如何保證信息安全有效的進行傳遞,是對現(xiàn)代計算機技術的考驗。而隨著經(jīng)濟的發(fā)展,人們對網(wǎng)絡的需求日趨增加。而在網(wǎng)絡信息交流頻繁的今天,公民的個人信息與隱私會因為網(wǎng)路的公開性而受到威脅。為了保證網(wǎng)絡信息不落入不法分子的手中,保證個人信息安全,各類殺毒軟件與防火墻便應運而生,雖然現(xiàn)有的網(wǎng)絡安全防護系統(tǒng)在不斷的更新與維護,但是網(wǎng)絡的不安全性更需要引起足夠的重視,并進行全方面的網(wǎng)絡體系建立。

一、當前計算機網(wǎng)絡中所出現(xiàn)的安全問題

(一)計算機網(wǎng)自身的不穩(wěn)定性

計算機網(wǎng)絡在建設初期便具有其特的屬性:信息開放性。而與開放性信息相沖突的便是信息的保密性。信息在開放的同時,注定信息安全便是計算機技術所面臨的重大問題。什么信息可以開放,什么不可以傳播,如何阻止已開放的信息進行傳播,這都都是由計算機網(wǎng)絡建設所與生俱來的問題。而這種特性也直接導致互聯(lián)網(wǎng)在防護上是脆弱的,它不僅容易受到攻擊的弱點,更會因為被攻擊而逐漸降低網(wǎng)絡信息的穩(wěn)定性。對于TCP/IP協(xié)議來說,其是計算機網(wǎng)絡技術所賴以生存的重要系統(tǒng),而協(xié)議在運行中其的安全系數(shù)也是相對較低的,當系統(tǒng)受到攻擊時,便會造成數(shù)據(jù)的泄漏與篡改。而這以上的安全問題都是由計算機網(wǎng)絡自身的不穩(wěn)定性造成的。

(二)計算機病毒

常見的導致網(wǎng)絡不安全的重要因素便是計算機病毒,對于計算機病毒來說,其主要是隱藏與各類文件或執(zhí)行程序中,當數(shù)據(jù)在運行時便會促使病毒的發(fā)展,進而攻擊計算機。因此計算機病毒不僅有不被發(fā)現(xiàn)的特點,更有無法消除的屬性。只要計算機與網(wǎng)絡相連接進行文件的傳輸與運轉,都會在極大的程度上被感染計算機病毒。此外,計算機病毒的類型與屬性均不相同,有的病毒破壞性較強,而有的則具有廣泛的傳染性。因此計算機病毒是危害在網(wǎng)絡危害中是較強的

(三)自然災害

計算機網(wǎng)絡系統(tǒng)平臺雖然是計算機技術,但是依舊需要物理平臺予以支撐。因此作為一個統(tǒng)一的智能化平臺,其也會受到多種的外界因素干擾。例如雷電、風雨等自然環(huán)境,都會對計算機自身產(chǎn)生影響。計算機儀器在使用中受到的電磁干擾都會直接對計算機網(wǎng)絡環(huán)境產(chǎn)生影響。而網(wǎng)絡環(huán)境的不穩(wěn)定也會直接造成網(wǎng)絡信息的錯亂,而這種信息錯亂對網(wǎng)絡信息安全造成的傷害是不可估計的

二、計算機網(wǎng)絡信息安全防護對策

(一)加強對網(wǎng)絡環(huán)境的監(jiān)管

若想完善計算機信息安全,首先便應該對網(wǎng)絡環(huán)境進行監(jiān)管。而這之中的網(wǎng)絡環(huán)境主要值得是所有使用計算機上網(wǎng)的用戶所處于的網(wǎng)絡環(huán)境,因此要是使互聯(lián)網(wǎng)環(huán)境安全,除了加強對網(wǎng)絡文件的刪選之外,用戶也應該保證自己上傳的文件經(jīng)過檢測與處理,沒有攜帶計算機病毒。而用戶自身也要對自己的計算機進行檢查,檢測自己信息環(huán)境是否可靠與安全。通過及時殺毒,不下載未經(jīng)確認的網(wǎng)絡文件來保障計算機信息安全。通過不斷強化計算機所處的網(wǎng)絡環(huán)境,來凈化互聯(lián)網(wǎng)使用情況,凈化網(wǎng)絡信息,將病毒等不良信息剔除在外,最大程度的保護信息,防止信息丟失。

(二)加強對計算機硬軟件的管理

在對網(wǎng)絡環(huán)境進行凈化之后,還需要對計算機的軟硬件繼續(xù)擰管理。對于計算機的硬件,應該從正規(guī)的渠道進行購買,在硬件更換的時候,要保存好數(shù)據(jù)信息。要對計算機的固定程序進行定期殺毒,由于網(wǎng)絡病毒有隱匿性,因此不能因為一時檢測沒有二掉以輕心。除了殺毒之外還要定期對計算機中的軟件進行漏洞修復,避免信息通過漏洞而泄露出去。

(三)加強計算機安全管控平臺的建立

計算機系統(tǒng)在初始階段的系統(tǒng)是相對薄弱的,對網(wǎng)絡的防護與管控也是不健全的,因此要求建立完善的計算機安全管控平臺。通過專業(yè)的系統(tǒng)平臺的建立來對計算機網(wǎng)絡信息進行監(jiān)控。因此要加強對計算機網(wǎng)絡的監(jiān)管,對于有隱患的網(wǎng)絡文件與硬件應該及時進行防御并處理,將網(wǎng)絡信息隱患降至最低應,充分發(fā)揮平臺作用保證計算機網(wǎng)絡安全。而在計算機網(wǎng)絡的管理中,其的安全防控設施最重要的是要避免病毒通過植入進入到計算機系統(tǒng)中,因此在平臺的監(jiān)管與建立上要使用最高規(guī)格的防火墻進行病毒防御,只有這樣擦能最大程度的保證網(wǎng)絡安全。并定期對監(jiān)控平臺自身進行檢查所與升級,通過對平臺自身的監(jiān)管來保證網(wǎng)絡安全,將網(wǎng)絡中的危險因素在發(fā)生前就發(fā)現(xiàn)并消滅。

三、結語

通過上文對現(xiàn)有計算機安全問題的漏洞,以及計算機網(wǎng)絡所采取的防護手段進行分析,可以得出的結論是,雖然在技術快速發(fā)展的今天,網(wǎng)絡信息保護技術被人們需求,但是依舊沒有一個完善的體系能夠對現(xiàn)有計算機網(wǎng)絡環(huán)境進行信息安全防護的支撐。因此,建立一個完善可即使更新的網(wǎng)絡信息安全體系是我們當前工作的重中之重。只有將各類計算機與網(wǎng)絡問題進行匯總,并排列出可運用的信息安全防護體系,才能構建安全可靠的信息防護策略。通過不斷的對現(xiàn)有科學技術的配合與保證,研發(fā)更優(yōu)秀的計算機信息變成,才能事實的對網(wǎng)絡信息安全進行有效的防護,在防止黑客病毒等外部不良因素入侵的同時,最大限度保障信息安全,最終實現(xiàn)科學化的信息安全信息保護。

參考文獻: