引論:我們?yōu)槟砹?3篇網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
一、網(wǎng)絡(luò)管理的概念
網(wǎng)絡(luò)管理:簡(jiǎn)單的說就是為了保證網(wǎng)絡(luò)系統(tǒng)能夠持續(xù)、穩(wěn)定、安全、可靠和高效地運(yùn)行、不受外界干擾,對(duì)網(wǎng)絡(luò)系統(tǒng)設(shè)施的一系列方法和措施。為此,網(wǎng)絡(luò)管理的任務(wù)就是收集、監(jiān)控網(wǎng)絡(luò)中各種設(shè)備和設(shè)施的工作參數(shù)、工作狀態(tài)信息,顯示給管理員并接受處理,從而控制網(wǎng)絡(luò)中的設(shè)備、設(shè)施,工作參數(shù)和工作狀態(tài),以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的管理。
二、網(wǎng)絡(luò)安全的定義
1.從本質(zhì)上來講,網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源,使之免受偶然或惡意的破壞篡改和泄露,保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、網(wǎng)絡(luò)服務(wù)不中斷。
2.從廣義上說,網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)硬件資源和信息資源的安全性。硬件資源包括通信線路、通信設(shè)備(交換機(jī)、路由器等)、主機(jī)等,要實(shí)現(xiàn)信息快速、安全地交換,一個(gè)可靠的物理網(wǎng)絡(luò)是必不可少的。信息資源包括維持網(wǎng)絡(luò)服務(wù)運(yùn)行的系統(tǒng)軟件和應(yīng)用軟件,以及在網(wǎng)絡(luò)中存儲(chǔ)和傳輸?shù)挠脩粜畔?shù)據(jù)等。
三、網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)基本原則
1.網(wǎng)絡(luò)系統(tǒng)安全規(guī)劃設(shè)計(jì)的基本原則
網(wǎng)絡(luò)安全的實(shí)質(zhì)就是安全立法、安全管理和安全技術(shù)的綜合實(shí)施。這三個(gè)層次體現(xiàn)了安全策略的限制、監(jiān)視和保障職能。根據(jù)防范安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對(duì)應(yīng)安全機(jī)制所需的安全服務(wù)等因素,參照SSE-CMM(系統(tǒng)安全工程能力成熟模型)和ISO17799(信息安全管理標(biāo)準(zhǔn))等國(guó)際標(biāo)準(zhǔn),綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面,在網(wǎng)絡(luò)安全方案整體規(guī)劃、設(shè)計(jì)過程中應(yīng)遵循下列十大原則。
(1)整體性原則;(2)均衡性原則;(3)有效性與實(shí)用性原則;(4)等級(jí)性原則;(5)易操作性原則;(6)技術(shù)與管理相結(jié)合原則;(7)統(tǒng)籌規(guī)劃,分步實(shí)施原則;(8)動(dòng)態(tài)化原則;(9)可評(píng)價(jià)性原則;(10)多重保護(hù)原則。
總之,在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)工程系統(tǒng)安全規(guī)劃與設(shè)計(jì)時(shí),重點(diǎn)是網(wǎng)絡(luò)安全策略的制定,保證系統(tǒng)的安全性和可用性,同時(shí)要考慮系統(tǒng)的擴(kuò)展和升級(jí)能力,并兼顧系統(tǒng)的可管理性等。
2.如何進(jìn)行網(wǎng)絡(luò)工程安全規(guī)劃
網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)是一項(xiàng)非常復(fù)雜的系統(tǒng)工程,不單純是技術(shù)性工作,必須統(tǒng)一步驟,精心規(guī)劃和設(shè)計(jì)。安全和反安全就像矛盾的兩個(gè)方面,總是不斷攀升,所以網(wǎng)絡(luò)安全也會(huì)隨著新技術(shù)的產(chǎn)生而不斷發(fā)展,是未來全世界電子化、信息化所共同面臨的問題。一般來說,網(wǎng)絡(luò)的安全規(guī)劃設(shè)計(jì)與實(shí)施應(yīng)考慮下面4個(gè)方面的問題。一是確定面臨的各種攻擊和風(fēng)險(xiǎn)并分析安全需求。二是明確網(wǎng)絡(luò)系統(tǒng)安全策略。三是建立網(wǎng)絡(luò)安全模型。四選擇并實(shí)施安全策略。
四、網(wǎng)絡(luò)病毒的防治技術(shù)
1.網(wǎng)絡(luò)計(jì)算機(jī)病毒的特點(diǎn)
網(wǎng)絡(luò)病毒是利用網(wǎng)絡(luò)平臺(tái)作為傳播方式的,由此可見,在網(wǎng)絡(luò)環(huán)境下,網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性等計(jì)算機(jī)病毒的共性外,還具有一些新的特點(diǎn)。主要表現(xiàn)如下:
第一,主動(dòng)通過網(wǎng)絡(luò)和郵件系統(tǒng)傳播。第二,傳播速度極快。第三,危害性極大。第四,變種多。第五,難于控制。第六,清除難度大。第七,具有病毒、蠕蟲和后門(黑客)程序的功能。
2.網(wǎng)絡(luò)計(jì)算機(jī)病毒的破壞行為
網(wǎng)絡(luò)計(jì)算機(jī)病毒破壞性極強(qiáng),常見的破壞性表現(xiàn)如下:
(1)劫持IE瀏覽器,首頁被更改,一些默認(rèn)項(xiàng)目被修改(例如默認(rèn)搜索)。
(2)修改Host文件,導(dǎo)致用戶不能訪問某些網(wǎng)站,或者被引導(dǎo)到“釣魚網(wǎng)站”上。
(3)添加驅(qū)動(dòng)保護(hù),使用戶無法刪除某些軟件。
(4)修改系統(tǒng)啟動(dòng)項(xiàng)目,使某些惡意軟件可以隨著系統(tǒng)啟動(dòng),常被流氓軟件和病毒采用。
(5)在用戶計(jì)算機(jī)上開置后門,黑客可以通過此后門遠(yuǎn)程控制中毒機(jī)器,組成僵尸網(wǎng)絡(luò),通過對(duì)外發(fā)動(dòng)攻擊、發(fā)送垃圾郵件、點(diǎn)擊網(wǎng)絡(luò)廣告等牟利。
(6)采用映像劫持技術(shù),使多種殺毒軟件和安全工具無法使用。
(7)記錄用戶的鍵盤、鼠標(biāo)操作,從而可以竊取銀行卡、網(wǎng)游密碼等各種信息。
(8)記錄用戶的攝像頭操作,可以從遠(yuǎn)程窺探隱私。
(9)使用戶的機(jī)器運(yùn)行變慢,大量消耗系統(tǒng)資源。
3.基于工作站的防治策略
工作站就像是計(jì)算機(jī)網(wǎng)絡(luò)的大門,只有把好這道大門,才能有效防止病毒的入侵。基于工作站防治病毒的方法有三種:
(1)軟件防治。即定期或不定期地用反病毒軟件檢測(cè)工作站的病毒感染情況。軟件防治可以不斷提高防治能力,但需要人為地經(jīng)常去啟動(dòng)防病毒軟件,因而不僅給工作人員增加了負(fù)擔(dān),而且很有可能在病毒發(fā)作后才能檢測(cè)到。
(2)在工作站上插防病毒卡。防病毒卡可以達(dá)到實(shí)時(shí)檢測(cè)的目的,但防病毒卡的升級(jí)不方便,從實(shí)際應(yīng)用的效果看,對(duì)工作站的運(yùn)行速度有一定的影響。
(3)在網(wǎng)絡(luò)接口卡上安裝防病毒芯片。它將工作站存取控制與病毒防護(hù)合二為一,可以更加實(shí)時(shí)有效地保護(hù)工作站及通向服務(wù)器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級(jí)不便的問題,而且對(duì)網(wǎng)絡(luò)的傳輸速度也會(huì)產(chǎn)生一定的影響。
參考文獻(xiàn):
[1]董偉.計(jì)算機(jī)病毒分析及防治策略[J].信息與電腦: 理論版.2009,(07):14-15.
篇2
1.2網(wǎng)絡(luò)規(guī)劃、設(shè)計(jì)及實(shí)施安全
在網(wǎng)絡(luò)規(guī)劃、設(shè)計(jì)及實(shí)施方面?zhèn)戎赜诰W(wǎng)絡(luò)安全性的方案選取,包括選用安全的操作系統(tǒng)、設(shè)置網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)防殺病毒、數(shù)據(jù)加密和信息工作制度的保密等等方面,充分發(fā)揮網(wǎng)絡(luò)安全性的原則。
2網(wǎng)絡(luò)安全管理策略
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中,絕對(duì)的安全是不存在的,制定健全的網(wǎng)絡(luò)安全管理策略是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證,只有通過網(wǎng)絡(luò)管理人員、與企業(yè)相關(guān)的、及網(wǎng)絡(luò)使用人員的共同努力,運(yùn)用一切可以使用的工具和技術(shù),盡一切可能去控制、減小、降低以及避免一切非法的網(wǎng)絡(luò)行為,盡可能地把不安全的因素降到最低。
2.1網(wǎng)絡(luò)安全管理策略的可變性
網(wǎng)絡(luò)安全策略并不是一成不變的,它具有可變的特性。一方面,由于企業(yè)或者單位組織內(nèi)部結(jié)構(gòu)、組織方式的不斷變化,相關(guān)業(yè)務(wù)和數(shù)據(jù)類型和分布的更新也不斷地發(fā)生著變化;另一方面:從網(wǎng)絡(luò)安全技術(shù)的角度講,攻擊者的攻擊方式、防止攻擊的措施也在不斷地升級(jí)和改進(jìn),所以,安全策略是一個(gè)變化性的策略,必須要和網(wǎng)絡(luò)當(dāng)前的狀態(tài)相適應(yīng)。
2.2網(wǎng)絡(luò)安全策略的核心內(nèi)容
網(wǎng)絡(luò)安全策略的核心內(nèi)容有:定方案、定崗、定位、定員、定目標(biāo)、定制度、定工作流程(方崗位員目制流),也就是我們通常所說的“七定”。
2.3網(wǎng)絡(luò)安全策略的設(shè)計(jì)與實(shí)施步驟
(1)確定網(wǎng)絡(luò)安全需求,確定網(wǎng)絡(luò)安全需求的范圍,評(píng)估面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn);
(2)制訂可實(shí)現(xiàn)的網(wǎng)絡(luò)安全策略目標(biāo);
(3)制訂網(wǎng)絡(luò)安全策略規(guī)劃:制定本地網(wǎng)絡(luò)安全規(guī)劃、遠(yuǎn)程網(wǎng)絡(luò)安全規(guī)劃、Internet網(wǎng)絡(luò)安全規(guī)劃等規(guī)劃內(nèi)容;
(4)制訂網(wǎng)絡(luò)安全系統(tǒng)的日常維護(hù)計(jì)劃。
3網(wǎng)絡(luò)安全防御與改善措施
3.1網(wǎng)絡(luò)安全防范管理
做好網(wǎng)絡(luò)安全防范計(jì)劃于與策略,對(duì)網(wǎng)絡(luò)安全進(jìn)行防范控制盒管理,提高網(wǎng)絡(luò)自身穩(wěn)定性、可靠性,要有較高的警惕安全的意識(shí),從而,能夠抵御較大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全防范措施可以有:
(1)國(guó)家信息安全漏洞共享平臺(tái);
(2)反網(wǎng)絡(luò)病毒聯(lián)盟組織。
3.2建立良好的網(wǎng)絡(luò)安全機(jī)制
目前,常用的安全機(jī)制有身份驗(yàn)證、授權(quán)、數(shù)據(jù)加密、密鑰加密和數(shù)字簽名、數(shù)據(jù)包過濾、防火墻、入侵監(jiān)測(cè)系統(tǒng)、物理安全等。在此,我們重點(diǎn)介紹數(shù)據(jù)加密、入侵檢測(cè)系統(tǒng)和防火墻技術(shù)。
(1)數(shù)據(jù)加密:該技術(shù)更好的實(shí)現(xiàn)了信息的保密性,確保了信息在傳輸及存儲(chǔ)過程中不會(huì)被其他人獲取,它是一種十分有效的網(wǎng)絡(luò)安全技術(shù)措施。因此,為了保障數(shù)據(jù)的存儲(chǔ)和傳輸安全,需要對(duì)一些重要數(shù)據(jù)進(jìn)行加密。
(2)入侵檢測(cè)系統(tǒng):在系統(tǒng)檢測(cè)或者可能的情況下,阻止入侵者試圖控制自己的系統(tǒng)或者網(wǎng)絡(luò)資源的行為。入侵檢測(cè)系統(tǒng)是一種主動(dòng)保護(hù)網(wǎng)絡(luò)免受攻擊的安全技術(shù),從而簡(jiǎn)化網(wǎng)絡(luò)管理員的工作,保護(hù)網(wǎng)絡(luò)安全的運(yùn)行。
(3)防火墻技術(shù):建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機(jī)制。內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的,外部網(wǎng)絡(luò)(通常是Internet,互聯(lián)網(wǎng))被認(rèn)為是不安全和不可信賴的。防火墻技術(shù)是一種被動(dòng)網(wǎng)絡(luò)安全技術(shù),是目前應(yīng)用最多的一種網(wǎng)絡(luò)安全技術(shù),但是,防火墻技術(shù)有它的局限性,它假設(shè)了網(wǎng)絡(luò)邊界和服務(wù),導(dǎo)致對(duì)內(nèi)部的非法訪問難以有效的進(jìn)行控制。
篇3
針對(duì)當(dāng)前現(xiàn)狀,何幫喜委員在提案中建議,應(yīng)盡快將工控網(wǎng)絡(luò)安全防護(hù)納入國(guó)家戰(zhàn)略,以建設(shè)國(guó)防事業(yè)的
標(biāo)準(zhǔn)和力度去投入發(fā)展工控安全產(chǎn)業(yè),避免重蹈互聯(lián)網(wǎng)安全產(chǎn)業(yè)起步晚、技術(shù)落后受制于人的覆轍。
網(wǎng)絡(luò)戰(zhàn)爭(zhēng)逼近眼前
精確攻擊工控系統(tǒng)漏洞代碼能癱瘓一個(gè)國(guó)家
何幫喜對(duì)《中國(guó)經(jīng)濟(jì)周刊》記者說,工控系統(tǒng)中的“漏洞”就像身體出現(xiàn)疾患,如免疫力下降、內(nèi)分泌失調(diào),病毒會(huì)利用這些漏洞入侵人體,產(chǎn)生不良反應(yīng),工控網(wǎng)絡(luò)安全領(lǐng)域的漏洞,如Havex、“方程式”組織攻擊等,像“火星文”一樣難以理解,但精確攻擊工控系統(tǒng)“漏洞”,其破壞性超出想象。如2014 年出現(xiàn)的Havex 漏洞,有能力禁用水電大壩、使核電站過載,甚至可以做到按一下鍵盤就關(guān)閉一個(gè)國(guó)家的電網(wǎng)。所以,工控網(wǎng)絡(luò)安全“漏洞”小則導(dǎo)致工廠癱瘓,大則造成核電站爆炸、地鐵失控、全國(guó)停電等災(zāi)難性后果。
他說,“在工控網(wǎng)絡(luò)安全領(lǐng)域,代碼已經(jīng)成為一種武器,以美國(guó)為代表的各國(guó)政府已將工控系統(tǒng)漏洞代碼列為軍備物資限制出口和交易,對(duì)一個(gè)國(guó)家重要設(shè)施的精確打擊不再需要使用傳統(tǒng)軍事手段,通過網(wǎng)絡(luò)戰(zhàn)即可癱瘓一個(gè)國(guó)家。”
據(jù)悉,近年來,網(wǎng)絡(luò)戰(zhàn)爭(zhēng)逼近眼前,各國(guó)間的網(wǎng)絡(luò)“軍備競(jìng)賽”繼續(xù)加強(qiáng),網(wǎng)絡(luò)摩擦不斷增多,大規(guī)模網(wǎng)絡(luò)沖突爆發(fā)的風(fēng)險(xiǎn)進(jìn)一步加劇。
何幫喜認(rèn)為,工控網(wǎng)絡(luò)安全領(lǐng)域因涉及國(guó)家的核心基礎(chǔ)設(shè)施和經(jīng)濟(jì)社會(huì)穩(wěn)定大局,輻射范圍廣泛,成為國(guó)家間對(duì)抗的全新手段,其威懾力和影響力不亞于傳統(tǒng)戰(zhàn)爭(zhēng)。2016 年黑暗力量病毒攻擊烏克蘭電網(wǎng)造成大面積停電等事件表明網(wǎng)絡(luò)戰(zhàn)爭(zhēng)正在我國(guó)周邊地區(qū)發(fā)生。
形勢(shì)嚴(yán)峻 機(jī)遇難得
工控網(wǎng)絡(luò)安全產(chǎn)業(yè)亟須快速崛起
何幫喜委員告訴《中國(guó)經(jīng)濟(jì)周刊》記者,首先,當(dāng)前工控網(wǎng)絡(luò)安全行業(yè)缺乏頂層設(shè)計(jì)和發(fā)展規(guī)劃。去年《網(wǎng)絡(luò)安全法》出臺(tái),“網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略”納入“十三五”規(guī)劃,國(guó)家網(wǎng)絡(luò)空間安全頂層設(shè)計(jì)明顯加強(qiáng)。但工控網(wǎng)絡(luò)安全的重要性尚未達(dá)成共識(shí),頂層設(shè)計(jì)仍不明確,工控網(wǎng)絡(luò)安全與傳統(tǒng)信息安全存在較大差異,亟須進(jìn)行專題研判,并制定行業(yè)發(fā)展規(guī)劃。
其次,重要工業(yè)制造業(yè)領(lǐng)域大量使用國(guó)外工控設(shè)備。目前,國(guó)外工業(yè)生產(chǎn)設(shè)備提供商已在各領(lǐng)域壟斷了工
業(yè)生產(chǎn)控制系統(tǒng)和設(shè)備市場(chǎng)。以我國(guó)工業(yè)PLC 市場(chǎng)為例,2015 年西門子、三菱、歐姆龍、羅克韋爾、施耐德等5家國(guó)外廠商占據(jù)超過80% 的市場(chǎng)份額,國(guó)內(nèi)廠商不但不掌握這些設(shè)備的核心技術(shù),更不掌握系統(tǒng)的安全設(shè)計(jì),漏洞和后門的風(fēng)險(xiǎn)與日俱增。
不過,何幫喜委員補(bǔ)充說,嚴(yán)峻挑戰(zhàn)也帶來難得的后發(fā)機(jī)遇。目前,第四次工業(yè)革命到來,打破發(fā)達(dá)國(guó)家
對(duì)核心技術(shù)、工藝和標(biāo)準(zhǔn)的壟斷,工控網(wǎng)絡(luò)安全作為新興產(chǎn)業(yè)迎來難得機(jī)遇。
“工控網(wǎng)絡(luò)安全正在成長(zhǎng)為一個(gè)戰(zhàn)略性新興產(chǎn)業(yè),與我國(guó)現(xiàn)代工業(yè)融合發(fā)展,在提高工業(yè)智能化水平的同時(shí),將本產(chǎn)業(yè)做大做強(qiáng),形成產(chǎn)業(yè)優(yōu)勢(shì),為我國(guó)基礎(chǔ)設(shè)施建設(shè)領(lǐng)域植入安全基因。”何幫喜說。
潛力巨大 前景可期
應(yīng)從五個(gè)方面加強(qiáng)工控網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展
何幫喜委員建議,應(yīng)從以下五個(gè)方面加強(qiáng)工控網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展:
一是從戰(zhàn)略高度加強(qiáng)工控網(wǎng)絡(luò)安全頂層設(shè)計(jì),明確責(zé)任部門。該行業(yè)涉及工業(yè)控制、智能制造、能源管理、安全生產(chǎn)、信息化建設(shè)、網(wǎng)絡(luò)犯罪治理等多個(gè)領(lǐng)域,必須從戰(zhàn)略高度加強(qiáng)我國(guó)工控網(wǎng)絡(luò)安全整體戰(zhàn)略規(guī)劃和頂層設(shè)計(jì),進(jìn)行專題研判,同時(shí)加強(qiáng)政府各部門間的協(xié)調(diào),具體工作要落實(shí)到責(zé)任部門。
二是建立完備的工控網(wǎng)絡(luò)安全體系,掌握芯片級(jí)核心技術(shù)。以自主安全工控芯片為基礎(chǔ),加快工控網(wǎng)絡(luò)安
全體系建設(shè)、技術(shù)與產(chǎn)品研發(fā),解決工控設(shè)備本體安全、結(jié)構(gòu)安全、行為安全,為工控注入安全基因,實(shí)現(xiàn)本質(zhì)安全,并在持續(xù)對(duì)抗中保持領(lǐng)先優(yōu)勢(shì)。
三是大力扶持新興工控網(wǎng)絡(luò)安全企業(yè),鼓勵(lì)技術(shù)創(chuàng)新和產(chǎn)業(yè)化。工控網(wǎng)絡(luò)安全是跨學(xué)科的技術(shù)融合,新興
企業(yè)的顛覆性技術(shù)是創(chuàng)新的重要來源。我國(guó)目前已涌現(xiàn)出一批如匡恩網(wǎng)絡(luò)等具備深度科研能力的、有活力的工控網(wǎng)絡(luò)安全企業(yè)。應(yīng)大力引導(dǎo)和扶持該行業(yè)民營(yíng)企業(yè)的發(fā)展,培育良好的產(chǎn)業(yè)生態(tài),促進(jìn)具備自主知識(shí)產(chǎn)權(quán)的先進(jìn)技術(shù)實(shí)現(xiàn)產(chǎn)業(yè)化落地。
篇4
揚(yáng)州Z校擁有多個(gè)互聯(lián)網(wǎng)出口線路,分別是電信100M、電信50M、網(wǎng)通100M、聯(lián)通1G和校園網(wǎng)100M。Z校擁有多個(gè)計(jì)算環(huán)境,網(wǎng)絡(luò)核心區(qū)是思科7609的雙核心交換機(jī)組,確保了Z校校園骨干網(wǎng)絡(luò)的可用性與高冗余性;數(shù)據(jù)中心是由直連在核心交換機(jī)上的眾多服務(wù)器組成;終端區(qū)分別是教學(xué)樓、院系樓、實(shí)驗(yàn)、實(shí)訓(xùn)樓和圖書館大樓。此外,還有一個(gè)獨(dú)立的無線校園網(wǎng)絡(luò)。Z校網(wǎng)絡(luò)信息安全保障能力已經(jīng)初具規(guī)模,校園網(wǎng)絡(luò)中已部署防火墻、身份認(rèn)證、上網(wǎng)行為管理、web應(yīng)用防火墻等設(shè)備。原拓?fù)浣Y(jié)構(gòu)見圖1。
2、安全威脅分析
目前,Z校網(wǎng)絡(luò)安全保障能力雖然初具規(guī)模,但是,在信息安全建設(shè)方面仍然面臨諸多的問題,如,網(wǎng)絡(luò)中缺乏網(wǎng)管與安管系統(tǒng)、對(duì)網(wǎng)絡(luò)中的可疑情況,沒有分析、響應(yīng)和處理的手段和流程、無法了解網(wǎng)絡(luò)的整體安全狀態(tài),風(fēng)險(xiǎn)管理全憑感覺等等,以上種種問題表明,Z校需要對(duì)網(wǎng)絡(luò)安全進(jìn)行一次全面的規(guī)劃,以便在今后的網(wǎng)絡(luò)安全工作中,建立一套有序、高效和完善的網(wǎng)絡(luò)安全體系。
2.1安全設(shè)備現(xiàn)狀
Z校部署的網(wǎng)絡(luò)安全防護(hù)設(shè)備較少。在校區(qū)的互聯(lián)網(wǎng)出口處,部署了一臺(tái)山石防火墻,在WEB服務(wù)器群前面部署了一臺(tái)WEB應(yīng)用防火墻。
2.2外部網(wǎng)絡(luò)安全威脅
互聯(lián)網(wǎng)出現(xiàn)的網(wǎng)絡(luò)威脅種類繁多,外部網(wǎng)絡(luò)威脅一般是惡意入侵的網(wǎng)絡(luò)黑客。此類威脅以炫技、惡意破壞、敲詐錢財(cái)、篡改數(shù)據(jù)等為目的,對(duì)內(nèi)網(wǎng)中的各種網(wǎng)絡(luò)設(shè)備發(fā)起攻擊,網(wǎng)絡(luò)中雖然有一些基礎(chǔ)的防護(hù),但是,黑客們只要找到漏洞,就會(huì)利用內(nèi)網(wǎng)用戶作跳板進(jìn)行攻擊,最終攻破內(nèi)網(wǎng)。此類攻擊隨機(jī)性強(qiáng)、方向不確定、復(fù)雜度不斷提高、破壞后果嚴(yán)重[1]。
2.3內(nèi)部網(wǎng)絡(luò)安全威脅
內(nèi)部惡意入侵的主體是學(xué)生,還有一些網(wǎng)絡(luò)安全意識(shí)薄弱的教職工。Z校學(xué)生眾多,學(xué)生們可能本著好奇、試驗(yàn)、炫技或者惡意破壞等目的,入侵學(xué)校網(wǎng)絡(luò)[2]。Z校某些教職工也可能瀏覽掛馬網(wǎng)站或者點(diǎn)擊來歷不明的郵件,照成網(wǎng)絡(luò)堵塞甚至癱瘓。
3、安全改造需求分析
本次安全改造,以提升鏈路穩(wěn)定性,提高網(wǎng)絡(luò)的服務(wù)能力為出發(fā)點(diǎn),Z校在安全改造實(shí)施中,應(yīng)滿足如下的安全建設(shè)需求1)提升鏈路的均衡性和利用率:Z校網(wǎng)絡(luò)出口與CERNET、Internet互聯(lián),選擇了與電信和聯(lián)通兩家運(yùn)營(yíng)商合作。利用現(xiàn)有網(wǎng)絡(luò)出口鏈路資源,提升網(wǎng)絡(luò)訪問速度,最大化保障校園網(wǎng)內(nèi)部用戶的網(wǎng)絡(luò)使用滿意度,同時(shí)又要合理節(jié)約鏈路成本,均衡使用各互聯(lián)網(wǎng)出口鏈路,是網(wǎng)絡(luò)安全建設(shè)的首要需求。2)實(shí)現(xiàn)關(guān)鍵設(shè)備的冗余性:互聯(lián)網(wǎng)邊界的下一代防火墻設(shè)備為整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備,均以NAT模式或者路由模式部署,承載了整個(gè)校園網(wǎng)的業(yè)務(wù)處理,任何一個(gè)設(shè)備出現(xiàn)問題將直接導(dǎo)致業(yè)務(wù)不能夠連續(xù)運(yùn)行,無任何備份措施,只能替換或者跳過出故障的設(shè)備,且只能以手工方式完成切換,無論從響應(yīng)的及時(shí)性,還是從保障業(yè)務(wù)連續(xù)性的角度,都存在很大的延遲,為此需要將互聯(lián)網(wǎng)出口的下一代防火墻設(shè)備進(jìn)行雙機(jī)冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設(shè)備數(shù)量較多,需要對(duì)所有安全設(shè)備進(jìn)行統(tǒng)一日志收集、查詢工作,傳統(tǒng)單臺(tái)操作單臺(tái)部署的方式運(yùn)維效率低下,所以需要專業(yè)集中監(jiān)控、配置、管理的安全設(shè)備,統(tǒng)一對(duì)眾多安全設(shè)備進(jìn)行集中監(jiān)控、策略統(tǒng)一調(diào)度、統(tǒng)一升級(jí)備份和審計(jì)。
4、解決方案
網(wǎng)絡(luò)安全建設(shè)是一個(gè)長(zhǎng)期的項(xiàng)目,不可能一蹴而就,一步到位,網(wǎng)絡(luò)安全過程建設(shè)中,在利用學(xué)校原有設(shè)備的基礎(chǔ)上,在資金、技術(shù)成熟的條件下,逐步實(shí)施。Z校網(wǎng)絡(luò)安全建設(shè)規(guī)劃分為短期建設(shè)和長(zhǎng)期建設(shè)兩部分。
4.1短期網(wǎng)絡(luò)建設(shè)規(guī)劃
4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設(shè)計(jì)主線,從安全的角度分析各業(yè)務(wù)系統(tǒng)可能存在的安全隱患,根據(jù)應(yīng)用系統(tǒng)的特點(diǎn)和安全評(píng)估是數(shù)據(jù),劃分不同安全等級(jí)的區(qū)域[3]。通過安全區(qū)域的劃分,明確網(wǎng)絡(luò)邊界,形成清晰、簡(jiǎn)潔的網(wǎng)絡(luò)架構(gòu),實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)之間嚴(yán)格的訪問安全互聯(lián),有效的實(shí)現(xiàn)網(wǎng)絡(luò)之間,各業(yè)務(wù)系統(tǒng)之間的隔離和訪問控制。本次短期網(wǎng)絡(luò)建設(shè),把整個(gè)網(wǎng)絡(luò)劃分為邊界安全防護(hù)區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入?yún)^(qū)域、服務(wù)器集群區(qū)域和無線訪問控制區(qū)域。4.1.2部署設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見圖2,從圖2可以看出,出口區(qū)域,互聯(lián)網(wǎng)邊界處的防火墻設(shè)備是整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備,以NAT模式或者路由模式部署,無任何備份措施,為此需要再引入一臺(tái)同型號(hào)的防火墻設(shè)備,實(shí)現(xiàn)雙機(jī)冗余部署。同理,原城市熱點(diǎn)認(rèn)證網(wǎng)關(guān)和行為管理設(shè)備需要再各補(bǔ)充一臺(tái),組成雙機(jī)冗余方案。安全管理區(qū)域根據(jù)學(xué)校預(yù)算,部署幾臺(tái)安全設(shè)備。首先,部署一臺(tái)堡壘機(jī),建立集中、主動(dòng)的安全運(yùn)維管控模式,降低人為安全風(fēng)險(xiǎn);其次,部署一臺(tái)入侵檢測(cè)設(shè)備(IDS),實(shí)時(shí)、主動(dòng)告警黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量,防止在出現(xiàn)攻擊后無數(shù)據(jù)可查;再部署一臺(tái)漏洞掃描設(shè)備,對(duì)網(wǎng)絡(luò)內(nèi)部的設(shè)備進(jìn)行漏洞掃描,找出存在的安全漏洞,根據(jù)漏洞掃描報(bào)告與安全預(yù)警通告,制定安全加固實(shí)施方案,以保證各系統(tǒng)功能的正常性和堅(jiān)固性;最后,部署一臺(tái)安全審計(jì)設(shè)備(SAS),實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)的監(jiān)控。服務(wù)器集群區(qū)域,除了原有的WEB防火墻外,再部署一臺(tái)入侵防護(hù)設(shè)備(IPS),攔截網(wǎng)絡(luò)病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量,保護(hù)Z校的信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害,防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)[4]。
4.2長(zhǎng)期網(wǎng)絡(luò)建設(shè)規(guī)劃
網(wǎng)絡(luò)安全的防護(hù)是動(dòng)態(tài)的、整體的,病毒傳播、黑客攻擊也不是靜態(tài)的。在網(wǎng)絡(luò)安全領(lǐng)域,不存在一個(gè)能完美的防范任何攻擊的網(wǎng)絡(luò)安全系統(tǒng)。在網(wǎng)絡(luò)中添加再多的網(wǎng)絡(luò)安全設(shè)備也不可能解決所有網(wǎng)絡(luò)安全方面的問題。想要構(gòu)建一個(gè)相對(duì)安全的網(wǎng)絡(luò)系統(tǒng),需要建立一套全方位的,從檢測(cè)、控制、響應(yīng)、管理、保護(hù)到容災(zāi)備份的安全保障體系。目前,網(wǎng)絡(luò)安全體系化建設(shè)結(jié)合重點(diǎn)設(shè)備保護(hù)的策略,再配合第三方安全廠商的安全服務(wù)是網(wǎng)絡(luò)安全建設(shè)的優(yōu)選。4.2.1網(wǎng)絡(luò)體系化建設(shè)體系化建設(shè)指通過分析網(wǎng)絡(luò)的層次關(guān)系、安全需要和動(dòng)態(tài)實(shí)施過程,建立一個(gè)科學(xué)的安全體系和模型,再根據(jù)安全體系和模型來分析網(wǎng)絡(luò)中存在的各種安全隱患,對(duì)這些安全隱患提出解決方案,最大程度解決網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)。體系化建設(shè)需要從網(wǎng)絡(luò)安全的組織體系、技術(shù)體系和管理體系三方面著手,建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構(gòu),包括崗位設(shè)置、人員錄用、離崗、考核等[5];技術(shù)體系分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)運(yùn)維管理、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等;管理體系側(cè)重于制度的梳理,包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動(dòng)的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設(shè)計(jì)網(wǎng)絡(luò)體系化建設(shè)要以組織體系為基礎(chǔ),以管理體系為保障,以技術(shù)體系為支撐[6],全局、均衡的考慮面臨的安全風(fēng)險(xiǎn),采取不同強(qiáng)度的安全措施,提出最佳解決方案。具體流程見圖3。體系化建設(shè)以風(fēng)險(xiǎn)評(píng)估為起點(diǎn),安全體系為核心,安全指導(dǎo)為原則,體系建設(shè)為抓手,組織和制定安全實(shí)施策略和防范措施,在建設(shè)過程中不斷完善安全體系結(jié)構(gòu)和安全防御體系,全方位、多層次滿足安全需求。
5、結(jié)語
從整個(gè)信息化安全體系來說,安全是技術(shù)與管理的一個(gè)有機(jī)整體,僅僅借助硬件產(chǎn)品進(jìn)行的安全防護(hù)是不完整的、有局限的。安全問題,是從設(shè)備到人,從服務(wù)器上每個(gè)服務(wù)程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產(chǎn)品的綜合問題,每一個(gè)環(huán)節(jié),都是邁向網(wǎng)絡(luò)安全的步驟之一。文中的研究思路、解決方案,對(duì)兄弟院校的網(wǎng)絡(luò)安全建設(shè)和改造有參考價(jià)值。
參考文獻(xiàn):
[1]王霞.數(shù)字化校園中網(wǎng)絡(luò)與信息安全問題及其解決方案[J].科技信息,2012.7:183-184
[2]黃智勇.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2011.11:2-3
[3]徐奇.校園網(wǎng)的安全信息安全體系與關(guān)鍵技術(shù)研究[D].上海:上海交通大學(xué),2009.5:1-4
[4]張旭輝.某民辦高校網(wǎng)絡(luò)信息安全方案的設(shè)計(jì)與實(shí)現(xiàn)[D].西安:西安電子科技大學(xué),2015.10:16-17
篇5
從檢查情況看,我校網(wǎng)絡(luò)與信息安全總體運(yùn)維情況良好,未出現(xiàn)任何一起重大網(wǎng)絡(luò)安全與信息安全事件(事故)。近幾年,學(xué)校領(lǐng)導(dǎo)重視學(xué)校網(wǎng)絡(luò)信息安全工作,始終把網(wǎng)絡(luò)信息安全作為信息化工作的重點(diǎn)內(nèi)容;網(wǎng)絡(luò)信息安全工作機(jī)構(gòu)健全、責(zé)任明確,日常管理維護(hù)工作比較規(guī)范;管理制度較為完善,技術(shù)防護(hù)措施得當(dāng),信息安全風(fēng)險(xiǎn)得到有效降低;比較重視信息系統(tǒng)(網(wǎng)站)系統(tǒng)管理員和網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn),應(yīng)急預(yù)案與應(yīng)急處置技術(shù)隊(duì)伍有落實(shí);加強(qiáng)對(duì)學(xué)生網(wǎng)絡(luò)宣傳引導(dǎo)教育,日常重視微信、微博、QQ群的管理,提倡爭(zhēng)當(dāng)“綠色網(wǎng)民”;工作經(jīng)費(fèi)有一定保障,網(wǎng)絡(luò)安全工作經(jīng)費(fèi)納入年度預(yù)算,在最近一年學(xué)校信息化經(jīng)費(fèi)投入中,網(wǎng)絡(luò)建設(shè)與設(shè)備購置費(fèi)用約占56、5%,數(shù)字資源與平臺(tái)開發(fā)費(fèi)用約占40、6%,培訓(xùn)費(fèi)用約占0、6%,運(yùn)行與維護(hù)費(fèi)用約占1、04%,研究及其他費(fèi)用約占1、23%,總計(jì)投入占學(xué)校同期教育總經(jīng)費(fèi)支出的比例約1、57%,基本保證了校園網(wǎng)信息系統(tǒng)(網(wǎng)站)持續(xù)安全穩(wěn)定運(yùn)行。
1、網(wǎng)絡(luò)信息安全組織管理
20xx年學(xué)校成立網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組,校主要領(lǐng)導(dǎo)擔(dān)任組長(zhǎng),網(wǎng)絡(luò)與信息安全工作辦公室設(shè)在黨委工作部,領(lǐng)導(dǎo)小組全面負(fù)責(zé)學(xué)校網(wǎng)絡(luò)信息安全工作,教育技術(shù)與信息中心作為校園網(wǎng)運(yùn)維部門承擔(dān)信息系統(tǒng)安全技術(shù)防護(hù)與技術(shù)保障工作,對(duì)全校網(wǎng)絡(luò)信息安全工作進(jìn)行安全管理和監(jiān)督責(zé)任。各部門承擔(dān)本單位信息系統(tǒng)和網(wǎng)站信息內(nèi)容的直接安全責(zé)任。20xx年,由于人動(dòng),及時(shí)調(diào)整網(wǎng)絡(luò)安全和信息安全領(lǐng)導(dǎo)小組成員名單,依照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則,明確各部門負(fù)責(zé)人為部門網(wǎng)站的具體負(fù)責(zé)人,建立學(xué)校網(wǎng)絡(luò)信息員隊(duì)伍,同時(shí),還組建網(wǎng)絡(luò)文明志愿者隊(duì)伍,對(duì)網(wǎng)絡(luò)出現(xiàn)的熱點(diǎn)問題,及時(shí)跟蹤、跟帖、匯報(bào)。
2、信息系統(tǒng)(含網(wǎng)站)日常安全管理
學(xué)校建有“校園網(wǎng)絡(luò)系統(tǒng)安全管理(暫行)條例”、“學(xué)生上網(wǎng)管理辦法“、“校園網(wǎng)絡(luò)安全保密管理?xiàng)l例(試行)”、“校園網(wǎng)管理制度”、“網(wǎng)絡(luò)與信息安全處理預(yù)案”、“網(wǎng)上信息監(jiān)控制度”等系列規(guī)章制度。各系統(tǒng)(網(wǎng)站)使用單位基本能按要求,落實(shí)責(zé)任人,較好地履行網(wǎng)站信息上傳審簽制度、信息系統(tǒng)數(shù)據(jù)保密與防篡改制度。日常監(jiān)控對(duì)象包括主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用服務(wù)器等,其中網(wǎng)絡(luò)中的邊界防火墻、網(wǎng)絡(luò)核心交換機(jī)和路由器、學(xué)校站服務(wù)器均納入重點(diǎn)監(jiān)控。日常維護(hù)操作較規(guī)范,多數(shù)單位做到了杜絕弱口令并定期更改,嚴(yán)密防護(hù)個(gè)人電腦,定期備份數(shù)據(jù),定期查看安全日志等,隨時(shí)掌握系統(tǒng)(網(wǎng)站)狀態(tài),保證正常運(yùn)行。
3、信息系統(tǒng)(網(wǎng)站)技術(shù)防護(hù)
學(xué)校網(wǎng)絡(luò)信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件,20xx年為加強(qiáng)校園網(wǎng)絡(luò)安全管理,購置了“網(wǎng)頁防篡改、教師行為管理、負(fù)載均衡”等相關(guān)安全設(shè)備,20xx年二月中旬完成校園信息系統(tǒng)(含網(wǎng)站)等級(jí)保護(hù)的定級(jí)和備案,并上報(bào)xxx市網(wǎng)安支隊(duì)。同時(shí),按二級(jí)等保要求,約投資110萬元,完成“網(wǎng)絡(luò)入侵防御系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、運(yùn)維審計(jì)-堡壘機(jī)系統(tǒng)、服務(wù)及測(cè)評(píng)及機(jī)房改造(物理安全)”等網(wǎng)絡(luò)安全設(shè)備的采購工作,目前,方案已經(jīng)通過專家論證。
20xx年4月-6月及20xx年3月對(duì)網(wǎng)站系統(tǒng)進(jìn)行安全測(cè)評(píng),特別對(duì)系統(tǒng)層和應(yīng)用層漏洞掃描,發(fā)現(xiàn)(教務(wù)管理系統(tǒng)、教學(xué)資源庫)出現(xiàn)漏洞,及時(shí)整改,并將結(jié)果上報(bào)省教育廳、省網(wǎng)安大隊(duì)、xxx市網(wǎng)安支隊(duì)。同時(shí),對(duì)各防火墻軟件7個(gè)庫進(jìn)行升級(jí),對(duì)服務(wù)器操作系統(tǒng)存在的漏洞及時(shí)補(bǔ)丁和修復(fù),做好網(wǎng)站的備份工作等。
4、網(wǎng)絡(luò)信息安全應(yīng)急管理
20xx年學(xué)校制定了《xxx職業(yè)技術(shù)學(xué)校網(wǎng)絡(luò)與信息安全處理預(yù)案》、《xxx職業(yè)技術(shù)學(xué)校網(wǎng)絡(luò)安全和學(xué)生校內(nèi)聚集事件應(yīng)急處置預(yù)案》。教育技術(shù)與信息中心為應(yīng)急技術(shù)支持單位,在重大節(jié)日及敏感時(shí)期,采用24小時(shí)值班制度,對(duì)網(wǎng)絡(luò)安全問題即知即改,確保網(wǎng)絡(luò)安全事件快速有效處置。
二、檢查發(fā)現(xiàn)的主要問題
對(duì)照《通知》中的具體檢查項(xiàng)目,我校在網(wǎng)絡(luò)與信息安全技術(shù)和安全管理建設(shè)上還存在一定的問題:
1、由于學(xué)校信息化建設(shè)尚處于起步階段,學(xué)院數(shù)據(jù)中心建設(shè)相對(duì)薄弱,未建成完善的數(shù)據(jù)中心共享體系,各應(yīng)用系統(tǒng)的數(shù)據(jù)資源安全及災(zāi)備均由相關(guān)使用部門獨(dú)自管理。同時(shí),網(wǎng)絡(luò)安全保障平臺(tái)(校園網(wǎng)絡(luò)安全及信息安全等級(jí)保護(hù))尚在建設(shè)中。
2、部分系統(tǒng)(網(wǎng)站)日常管理維護(hù)不夠規(guī)范,仍存在管理員弱口令、數(shù)據(jù)備份重視不夠、信息保密意識(shí)較差等問題;學(xué)校子網(wǎng)頁網(wǎng)管員為兼職,投入精力難以保證,而且未取得相應(yīng)資格證書;由于經(jīng)費(fèi)問題,個(gè)別應(yīng)用系統(tǒng)未能及時(shí)升級(jí),容易發(fā)生安全事故。
3、目前尚未開展網(wǎng)絡(luò)安全預(yù)案演練,還未真正組建一支校內(nèi)外聯(lián)合的網(wǎng)絡(luò)安全專家隊(duì)伍,未與社會(huì)企業(yè)簽訂應(yīng)急支持協(xié)議和完成應(yīng)急隊(duì)伍建設(shè)規(guī)劃。
三、整改措施
針對(duì)存在的問題,學(xué)校網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組專門進(jìn)行了研究部署。
1、全面開展信息系統(tǒng)等級(jí)保護(hù)工作。按照相關(guān)《通知》要求,20xx年8月底全面完成網(wǎng)絡(luò)安全保障平臺(tái)建設(shè),根據(jù)系統(tǒng)在不同階段的需求、業(yè)務(wù)特性及應(yīng)用重點(diǎn),采用等級(jí)化與體系化相結(jié)合的安全體系設(shè)計(jì)方案,形成整體的等級(jí)化的安全保障體系,同時(shí)根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè),保障信息系統(tǒng)整體的安全。
篇6
中國(guó)政府對(duì)工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全同樣極為重視。2011年開始,國(guó)務(wù)院先后出臺(tái)的《工業(yè)轉(zhuǎn)型升級(jí)規(guī)劃(2011-2015)》、《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》、《中國(guó)制造2025》等一系列文件,都強(qiáng)調(diào)了兩化融合中網(wǎng)絡(luò)安全保障的重要性。
然而,與工業(yè)系統(tǒng)的快速數(shù)字化、信息化和智能化相比,中國(guó)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保障進(jìn)展緩慢,防護(hù)薄弱,問題仍較為突出。
烏克蘭電網(wǎng)被攻擊后,國(guó)內(nèi)相關(guān)網(wǎng)絡(luò)安全公司的監(jiān)測(cè)報(bào)告顯示,在國(guó)內(nèi)交通、能源、水利等多個(gè)領(lǐng)域的各類工業(yè)控制設(shè)備中,完全暴露在外、可以被輕易攻擊的多達(dá)935個(gè)。有些城市和地區(qū)的工業(yè)控制系統(tǒng)面臨較大的安全風(fēng)險(xiǎn)。
造成這一隱患的原因眾多,關(guān)鍵是一些企事業(yè)單位在借助信息化提高生產(chǎn)效率的同時(shí),沒有考慮工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)。而即使認(rèn)識(shí)到工業(yè)控制系統(tǒng)安全的重要性,在系統(tǒng)改造實(shí)施過程中,由于沒有專業(yè)知識(shí)、人員和部門支撐,所采取的安全措施也往往浮于表面,未得實(shí)效。
從實(shí)際情況看,中國(guó)的工業(yè)控制系統(tǒng)雖然還沒有發(fā)生影響巨大、后果嚴(yán)重的網(wǎng)絡(luò)安全事件,但不少領(lǐng)域的企業(yè)都已經(jīng)或多或少遭遇了因計(jì)算機(jī)病毒引發(fā)的安全事故。如果上升到國(guó)家安全層面,一旦這些控制系統(tǒng)的安全漏洞被利用,將有可能導(dǎo)致核電站過載、電網(wǎng)停電、地鐵失控等災(zāi)難性后果,這絕非危言聳聽。
面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),加強(qiáng)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保障迫在眉睫。既要有國(guó)家自上而下的體系化頂層設(shè)計(jì),也要有產(chǎn)業(yè)和企業(yè)自下而上的探索與實(shí)踐。
從國(guó)家層面來看,在保障體系的機(jī)制建設(shè)上,需要一個(gè)高規(guī)格的協(xié)調(diào)機(jī)構(gòu),以應(yīng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施和重要系統(tǒng)可能遭受的高強(qiáng)度攻擊,同時(shí)組建以工業(yè)企業(yè)、信息網(wǎng)絡(luò)、公共安全為主的應(yīng)急聯(lián)動(dòng)機(jī)制,制定應(yīng)急響應(yīng)處理辦法。
與此同時(shí),做好重點(diǎn)行業(yè)的工業(yè)控制系統(tǒng)威脅情報(bào)研究,各方聯(lián)動(dòng),形成合力,提供有價(jià)值的威脅情報(bào)信息,建立更有實(shí)用性的威脅情報(bào)庫,為政府機(jī)構(gòu)、安全廠商、企事業(yè)單位提供更好的支持。
篇7
1.3智能規(guī)劃。智能規(guī)劃是一個(gè)動(dòng)作序列,是一個(gè)智能體agent在初始狀態(tài)(initialstate)下經(jīng)過執(zhí)行動(dòng)作1,動(dòng)作2,……,動(dòng)作n這樣的一系列動(dòng)作,最后到達(dá)目標(biāo)狀態(tài)(goalstate),該一系列動(dòng)作,我們也稱為是這個(gè)動(dòng)作的序列所構(gòu)成的整體叫做一個(gè)規(guī)劃。每一個(gè)規(guī)劃問題(planningproblem)都要涉及到以下四個(gè)集合:一個(gè)操作的集合operators、一個(gè)對(duì)象的集合objects、一個(gè)初始條件集合initialconditions和一個(gè)目標(biāo)集合goals,其中初始條件集合和目標(biāo)集合的每個(gè)元素都是一個(gè)命題。
1.4規(guī)劃識(shí)別。規(guī)劃識(shí)別是人工智能一個(gè)重要的研究領(lǐng)域,是多學(xué)科交叉的一個(gè)研究領(lǐng)域,涉及到了知識(shí)表達(dá)、知識(shí)推理、非單調(diào)邏輯和情景演算等。規(guī)劃識(shí)別問題是指從觀察到的某一智能體的動(dòng)作或動(dòng)作效果出發(fā),推導(dǎo)出該智能體的目標(biāo)/規(guī)劃的過程。
1.5入侵檢測(cè)。入侵檢測(cè)是防火墻的合理補(bǔ)充,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。
1.6應(yīng)對(duì)規(guī)劃。應(yīng)對(duì)規(guī)劃是將規(guī)劃識(shí)別和智能規(guī)劃進(jìn)行融合,實(shí)現(xiàn)識(shí)別與應(yīng)對(duì)同時(shí)進(jìn)行,針對(duì)敵方系統(tǒng)實(shí)施的敵意規(guī)劃,采取一個(gè)動(dòng)作序列來阻止、破壞敵意規(guī)劃的執(zhí)行,進(jìn)而使我方系統(tǒng)不受到破壞或者將所受損失降到最小,這樣的動(dòng)作序列就稱為應(yīng)對(duì)規(guī)劃(counterplan)。在作者蔡增玉的《基于應(yīng)對(duì)規(guī)劃的入侵防護(hù)系統(tǒng)設(shè)計(jì)與研究》一文中對(duì)應(yīng)對(duì)規(guī)劃賦予的定義是:為Agent根據(jù)敵對(duì)Agent的動(dòng)作,利用規(guī)劃識(shí)別技術(shù)發(fā)現(xiàn)敵對(duì)Agent的目標(biāo)和將來的動(dòng)作,并采取適當(dāng)?shù)捻憫?yīng)措施阻止敵對(duì)Agent目標(biāo)的實(shí)現(xiàn),整個(gè)過程稱為應(yīng)對(duì)規(guī)劃.在網(wǎng)絡(luò)安全領(lǐng)域,敵對(duì)Agent通常是指網(wǎng)絡(luò)的入侵者。
2識(shí)別及應(yīng)對(duì)模型
對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全的研究較多,但是,將智能規(guī)劃與規(guī)劃識(shí)別技術(shù)應(yīng)用于該領(lǐng)域的研究卻并不多見。本文在前期的理論研究的基礎(chǔ)上,提出了開放環(huán)境下網(wǎng)絡(luò)安全規(guī)劃問題的識(shí)別與應(yīng)對(duì)模型,進(jìn)而得到了解決網(wǎng)絡(luò)安全問題的新的方法。具體模型如圖1所示。該模型的具體執(zhí)行過程是根據(jù)針對(duì)服務(wù)器端或客戶端產(chǎn)生的人為攻擊,通過入侵檢測(cè)的方法,檢測(cè)到該動(dòng)作后,對(duì)這一動(dòng)作進(jìn)行識(shí)別,并在此動(dòng)作中提取該動(dòng)作所導(dǎo)致的系統(tǒng)變化,將變化的結(jié)果作為當(dāng)前系統(tǒng)工作的初始狀態(tài),將此狀態(tài)傳遞至應(yīng)對(duì)規(guī)劃器,此規(guī)劃器中以此狀態(tài)為初始狀態(tài)展開應(yīng)對(duì)規(guī)劃的求解過程,應(yīng)對(duì)規(guī)劃器均以系統(tǒng)安全為目標(biāo)狀態(tài),并按照規(guī)劃器得到的規(guī)劃步驟,觸發(fā)相關(guān)軟硬件設(shè)備,逐步執(zhí)行規(guī)劃中的每個(gè)操作,使服務(wù)器端及客戶端達(dá)到安全狀態(tài)。該模型的核心在于攻擊動(dòng)作的識(shí)別及應(yīng)對(duì)規(guī)劃的產(chǎn)生。動(dòng)作的識(shí)別主要依靠規(guī)劃識(shí)別器,應(yīng)對(duì)規(guī)劃的產(chǎn)生則依靠應(yīng)對(duì)規(guī)劃器,將這兩個(gè)部分進(jìn)行組合,并應(yīng)用到網(wǎng)絡(luò)安全的問題中,進(jìn)而對(duì)人為攻擊計(jì)算機(jī)網(wǎng)絡(luò)的安全問題有了解決的方法。
篇8
網(wǎng)絡(luò)安全;校園網(wǎng);策略
1校園網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)
早期大部分高等院校校園建設(shè)的時(shí)候,信息化規(guī)劃跟不上學(xué)校教育的擴(kuò)展,許多高等院校的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)都是簡(jiǎn)單的層次化網(wǎng)絡(luò)結(jié)構(gòu)(見圖1):接入層、匯聚層、核心層級(jí)聯(lián),再通過防火墻出口外部網(wǎng)絡(luò),同時(shí)保證外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的威脅被阻止,相對(duì)高級(jí)一些的設(shè)計(jì)還可能包括IDS(入侵檢測(cè)系統(tǒng)),隨著學(xué)校的不斷發(fā)展,一步步在原有的基礎(chǔ)網(wǎng)絡(luò)上添加新設(shè)備來豐富網(wǎng)絡(luò)組成,并提供更多的網(wǎng)絡(luò)服務(wù)。
2傳統(tǒng)網(wǎng)絡(luò)攻擊過程
在從前,主要的網(wǎng)絡(luò)安全威脅來自基于各種漏洞而進(jìn)行的網(wǎng)絡(luò)攻擊和下載帶病毒的軟件包而導(dǎo)致的系統(tǒng)病毒感染。而這些傳統(tǒng)的網(wǎng)絡(luò)攻擊手段之后,才是在被攻破的系統(tǒng)中留下木馬、后門,或者破壞、竊取數(shù)據(jù)。這些傳統(tǒng)的攻擊手段是層層遞進(jìn)式的(見圖2),從攻擊的開始到結(jié)束以遞進(jìn)的形式進(jìn)行,如果前面的步驟無法實(shí)現(xiàn),則整個(gè)網(wǎng)絡(luò)攻擊過程將會(huì)中斷。這些傳統(tǒng)的網(wǎng)絡(luò)攻擊包括諸如DoS攻擊、DDoS攻擊、系統(tǒng)入侵、網(wǎng)絡(luò)滲透等。不斷重復(fù)這樣的一個(gè)網(wǎng)絡(luò)攻擊過程,當(dāng)累積到一定的量后所組成的網(wǎng)絡(luò)僵尸大軍將對(duì)整個(gè)網(wǎng)絡(luò)造成非常嚴(yán)重的影響。
3傳統(tǒng)校園網(wǎng)絡(luò)安全防范體系
根據(jù)傳統(tǒng)的網(wǎng)絡(luò)攻擊過程,在許多的院校的基礎(chǔ)網(wǎng)絡(luò)中都會(huì)加入相應(yīng)的網(wǎng)絡(luò)安全防范措施,這些網(wǎng)絡(luò)安全防范措施就構(gòu)成了常見的校園網(wǎng)絡(luò)安全防范體系。而在傳統(tǒng)的高校校園網(wǎng)絡(luò)安全防范體系中,將網(wǎng)絡(luò)安全防御定義為外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)和用戶3個(gè)層次,而每個(gè)層次中有針對(duì)該層次的網(wǎng)絡(luò)安全設(shè)備和措施。對(duì)于外部網(wǎng)絡(luò)這一個(gè)層面,直接面對(duì)的是防火墻,很多的院校網(wǎng)絡(luò)都采用防火墻作網(wǎng)絡(luò)出口,承擔(dān)著網(wǎng)關(guān)與防火墻的雙重功能。采用防火墻作為外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的邊界,可以有效地阻止大部分來自于外部網(wǎng)絡(luò)的惡意攻擊,保證內(nèi)部網(wǎng)絡(luò)的穩(wěn)定。在防火墻之后部署一臺(tái)入侵防御系統(tǒng),可以進(jìn)一步檢測(cè)可能避過防火墻的安全檢測(cè)而進(jìn)入網(wǎng)絡(luò)的惡意流量。在內(nèi)部網(wǎng)絡(luò)這個(gè)層面,傳統(tǒng)的網(wǎng)絡(luò)安全體系中一般沒有什么網(wǎng)絡(luò)安全設(shè)備,在這個(gè)層次主要采用的是基于策略的網(wǎng)絡(luò)安全措施,也就是所謂的軟設(shè)備。通過網(wǎng)絡(luò)設(shè)備中進(jìn)行軟件層面的安全策略設(shè)計(jì),保證內(nèi)部網(wǎng)絡(luò)流量的正常穩(wěn)定的轉(zhuǎn)發(fā)。例如,采用訪問控制列表來對(duì)網(wǎng)絡(luò)進(jìn)行一些控制,不允許學(xué)生訪問教師網(wǎng)絡(luò)資源;使用QoS功能保證數(shù)據(jù)的高效轉(zhuǎn)發(fā),設(shè)置安全端口,MAC與IP地址的綁定,甚至更高級(jí)的基于802.1x的認(rèn)證。到了用戶層面,主要確保的是操作系統(tǒng)的安全,因?yàn)楹芏鄲阂獾墓糗浖⒉《尽⒛抉R或入侵軟件都是基于操作系統(tǒng)漏洞進(jìn)行滲透破壞的,所以在用戶這個(gè)層面,針對(duì)操作系統(tǒng)要打好操作系統(tǒng)的補(bǔ)丁、安裝功能強(qiáng)大的殺毒軟件,開啟操作系統(tǒng)自帶的軟件防火墻或者殺毒軟件的防火墻,進(jìn)一步,加強(qiáng)用戶層面的安全性。即使用有瞞過防火墻,混過入侵防護(hù)系統(tǒng)的漏網(wǎng)之魚,也可以在用戶層面進(jìn)行補(bǔ)救。采用這種傳統(tǒng)的網(wǎng)絡(luò)安全體系進(jìn)行網(wǎng)絡(luò)安全的設(shè)計(jì)部署,在以前的網(wǎng)絡(luò)時(shí)代還是有很好的效果的,但是,現(xiàn)今進(jìn)入了網(wǎng)絡(luò)時(shí)代2.0,新的技術(shù)、新的威脅層出不窮,此時(shí)舊的網(wǎng)絡(luò)安全體系在網(wǎng)絡(luò)安全防護(hù)上表現(xiàn)得就有些捉襟見肘了。校園網(wǎng)絡(luò)需要推陳出新,結(jié)合現(xiàn)在的校園網(wǎng)絡(luò)及互聯(lián)網(wǎng)絡(luò)的發(fā)展趨勢(shì),設(shè)計(jì)更合適更合理的網(wǎng)絡(luò)安全解決方案。
4傳統(tǒng)網(wǎng)絡(luò)安全策略應(yīng)用分析
傳統(tǒng)校園網(wǎng)絡(luò)安全解決方案使用的網(wǎng)絡(luò)安全策略應(yīng)用是基于不同層面進(jìn)行區(qū)分的,針對(duì)不同層面分別部署相對(duì)應(yīng)的網(wǎng)絡(luò)安全設(shè)備或網(wǎng)絡(luò)安全策略。這種網(wǎng)絡(luò)安全策略應(yīng)用主要是針對(duì)從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量進(jìn)行檢測(cè)控制,正如防火墻功能一樣,定義了外部非安全區(qū)域、內(nèi)部安全區(qū)域和DMZ區(qū)域,然后給這些區(qū)域定義安全等級(jí)和默認(rèn)策略。這種安全體系的設(shè)計(jì)對(duì)于以前的網(wǎng)絡(luò)攻擊過程(見圖4)來說是可以滿足校園網(wǎng)絡(luò)安全的需求的。在以前的網(wǎng)絡(luò)環(huán)境中,攻擊主要來自外部,內(nèi)部的安全等級(jí)是可信的,所以外部的攻擊流量經(jīng)過防火墻后,基本上已經(jīng)抵御了,再經(jīng)過IPS或IDS設(shè)備后,到達(dá)用戶層面時(shí)還要經(jīng)過操作系統(tǒng)或殺毒軟件防火墻后,可以成功攻擊目標(biāo)的惡意行為已經(jīng)降到了可接受層面范圍。所以,從前的校園網(wǎng)絡(luò)安全情況比現(xiàn)在相對(duì)要好一些。如圖4的攻擊過程示意所示,基于原有的網(wǎng)絡(luò)安全策略應(yīng)用對(duì)于起源自外部網(wǎng)絡(luò)的攻擊可以做到有效防范,但是正如前文提到的,現(xiàn)在越來越多的現(xiàn)象是,內(nèi)部用戶通過其他途徑感染了自動(dòng)下載代碼或木馬端等惡意源后,從內(nèi)部發(fā)起攻擊或者自動(dòng)下載各式各樣病毒木馬直接破壞用戶操作系統(tǒng),并以此為跳板,從內(nèi)部網(wǎng)絡(luò)感染、攻擊其他用戶主機(jī)、學(xué)校服務(wù)器等設(shè)備,導(dǎo)致學(xué)校網(wǎng)絡(luò)受到嚴(yán)重影響進(jìn)一步影響學(xué)校的正常教學(xué)秩序。原有的校園網(wǎng)絡(luò)安全策略應(yīng)用基于單向防護(hù)、由3個(gè)獨(dú)立層面以遞進(jìn)的方式構(gòu)建的校園網(wǎng)絡(luò)防御系統(tǒng),其性能已經(jīng)無法適應(yīng)現(xiàn)時(shí)復(fù)雜多樣化的校園網(wǎng)絡(luò)環(huán)境。因此,針對(duì)這個(gè)舊的網(wǎng)絡(luò)安全策略應(yīng)用的不足,需要一個(gè)更合適更優(yōu)秀的校園網(wǎng)絡(luò)安全策略。
5傳統(tǒng)網(wǎng)絡(luò)安全策略架構(gòu)分析
在院校用的舊的校園網(wǎng)絡(luò)解決方案中,采用的基礎(chǔ)架構(gòu)簡(jiǎn)單實(shí)用,在從前的網(wǎng)絡(luò)時(shí)代,無論是外部網(wǎng)絡(luò)還是內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流量都不并是很大,而且那時(shí)候無論是師生的日常生活還是教學(xué)活動(dòng)中,對(duì)網(wǎng)絡(luò)的依賴程度也不高。不過,隨著人們對(duì)網(wǎng)絡(luò)的依賴性的不斷加強(qiáng),以及信息化教學(xué)的廣泛推廣,校園網(wǎng)絡(luò)中產(chǎn)生了越來越多的數(shù)據(jù),并且日常教學(xué)也有絕大部分是基于網(wǎng)絡(luò)的。這個(gè)時(shí)候,傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)就存在不足,主要體現(xiàn)在網(wǎng)絡(luò)單點(diǎn)故障現(xiàn)象導(dǎo)致的網(wǎng)絡(luò)中斷而影響師生的生活學(xué)習(xí)和學(xué)校的教學(xué)秩序。現(xiàn)在新規(guī)劃的校園網(wǎng)絡(luò)中,校園網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相對(duì)復(fù)雜,但是性能和安全性都有所提升。現(xiàn)有校園網(wǎng)絡(luò)基本上都是基于雙網(wǎng)絡(luò)核心熱備以提高網(wǎng)絡(luò)的安全性和可靠性的設(shè)計(jì),根據(jù)學(xué)校的需求,可以選擇在關(guān)鍵節(jié)點(diǎn)部署雙機(jī)熱備提供安全可靠性,避免了原有基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的不足。
6網(wǎng)絡(luò)安全策略應(yīng)用技術(shù)分析
經(jīng)過調(diào)查了解,現(xiàn)在校園網(wǎng)絡(luò)中采用的技術(shù)有很多都不符合標(biāo)準(zhǔn),例如密碼的復(fù)雜性,這個(gè)最基本的一條都做不到。另外,學(xué)校管理中使用的技術(shù)不足,如管理網(wǎng)絡(luò)設(shè)備使用telnet協(xié)議而不是采用ssh,對(duì)管理流量與數(shù)據(jù)流量沒有區(qū)分控制,無線網(wǎng)絡(luò)的加密算法采用容易破解的算法等等。這些技術(shù)細(xì)節(jié)上的不足,也會(huì)導(dǎo)致校園網(wǎng)絡(luò)安全受到威脅。因此,在新的網(wǎng)絡(luò)安全策略應(yīng)用中,應(yīng)該注意相關(guān)網(wǎng)絡(luò)安全技術(shù)的使用是否符合安全等級(jí)的要求。
7傳統(tǒng)高校校園網(wǎng)絡(luò)安全策略應(yīng)用的優(yōu)點(diǎn)
對(duì)于傳統(tǒng)的高校校園網(wǎng)絡(luò)安全解決辦法來說,好處就是學(xué)校的信息化建設(shè)方案相對(duì)簡(jiǎn)單,管理相對(duì)便捷,在數(shù)據(jù)量以及網(wǎng)絡(luò)依賴性不高的院校,或資金不足的院校具有一定的參考作用。
8傳統(tǒng)高校校園網(wǎng)絡(luò)安全策略應(yīng)用的缺點(diǎn)
對(duì)于傳統(tǒng)的高校校園網(wǎng)絡(luò)安全解決辦法來說,弊端就是學(xué)校校園網(wǎng)絡(luò)安全受到嚴(yán)重威脅,來自校園網(wǎng)絡(luò)外部、內(nèi)部、系統(tǒng)自身產(chǎn)生的安全威脅匯集起來使用整個(gè)校園網(wǎng)絡(luò)的復(fù)雜性、不穩(wěn)定性大大增加,最后導(dǎo)致網(wǎng)絡(luò)安全性大大降低。
作者:周怡燕 單位:南華工商學(xué)院
[參考文獻(xiàn)]
[1]鄒縣芳,孫道德.高校校園網(wǎng)絡(luò)安全問題及策略研究[J].阜陽師范學(xué)院學(xué)報(bào):自然科學(xué)版,2010(27):87-90.
[2]杜蕓.高校校園網(wǎng)網(wǎng)絡(luò)安全隱患與解決策略探析[J].信息安全與技術(shù),2015(6):13-15.
篇9
(3)隨著物聯(lián)網(wǎng)和云計(jì)算的普及,各種網(wǎng)絡(luò)安全攻擊手段和保障網(wǎng)絡(luò)安全的技術(shù)不斷推陳出新。目前,信息安全的一些專業(yè)課程還只是停留在基本原理的講解上,沒有做到與時(shí)俱進(jìn),很少講授前沿的網(wǎng)絡(luò)安全應(yīng)用及其存在的安全隱患及解決方案。教師沒有引導(dǎo)學(xué)生利用發(fā)散性思維并投入到對(duì)前沿網(wǎng)絡(luò)技術(shù)和安全技術(shù)的研究中。
(4)缺少網(wǎng)絡(luò)安全工具實(shí)訓(xùn)。現(xiàn)在很多網(wǎng)絡(luò)安全工具都是開源工具如Backtrack等,掌握這些工具需要花費(fèi)大量時(shí)間,因此需要開設(shè)網(wǎng)絡(luò)安全工具實(shí)訓(xùn)課程,讓學(xué)生掌握如何配置、安裝、使用和定制個(gè)性化的開源工具。
(5)缺少安全軟件設(shè)計(jì)等實(shí)踐課程。信息安全專業(yè)的學(xué)生除了要能夠利用安全工具進(jìn)行系統(tǒng)安全測(cè)試外,還要掌握如何防御和解決系統(tǒng)安全漏洞,另外,還有很多學(xué)生希望從事安全軟件開發(fā)工作。這就要求高校設(shè)置安全軟件設(shè)計(jì)開發(fā)類的課程,幫助學(xué)生掌握安全軟件開發(fā)過程中所需的知識(shí)和技能。
(6)缺少創(chuàng)新思維的培養(yǎng)。國(guó)內(nèi)大學(xué)生的創(chuàng)新性較歐美大學(xué)生有所欠缺,因此要注重信息安全專業(yè)學(xué)生的創(chuàng)新思維培養(yǎng),并且要從大一開始就進(jìn)行創(chuàng)新思維的鍛煉。
二、網(wǎng)絡(luò)安全教學(xué)中融入創(chuàng)新思維培養(yǎng)的實(shí)踐
結(jié)合東華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院培養(yǎng)信息安全專業(yè)學(xué)生創(chuàng)新能力的經(jīng)驗(yàn),我們闡述如何從學(xué)生入學(xué)到畢業(yè)的4年間培養(yǎng)其創(chuàng)新思維和實(shí)踐能力。
2.1培養(yǎng)學(xué)生對(duì)專業(yè)的興趣
首先,我們要積極發(fā)揮班級(jí)導(dǎo)師的作用。網(wǎng)絡(luò)安全的任課教師可以擔(dān)任信息安全專業(yè)學(xué)生的學(xué)業(yè)導(dǎo)師,學(xué)業(yè)導(dǎo)師在學(xué)生入學(xué)后通過學(xué)習(xí)方法和學(xué)業(yè)規(guī)劃等主題開展學(xué)習(xí)交流會(huì),在會(huì)上介紹網(wǎng)絡(luò)安全的知識(shí)結(jié)構(gòu)、科學(xué)背景、發(fā)展趨勢(shì)、行業(yè)需求、就業(yè)領(lǐng)域,并引用前沿網(wǎng)絡(luò)安全技術(shù)和最新的網(wǎng)絡(luò)安全隱患案例和視頻,如利用智能手機(jī)安全漏洞和“云”查殺病毒技術(shù)等案例激發(fā)學(xué)生的興趣。興趣是學(xué)生的學(xué)習(xí)動(dòng)力,學(xué)生是教學(xué)的主體,在教學(xué)中對(duì)課程的參與度高低直接影響整個(gè)教學(xué)成果,因此要提高學(xué)生的學(xué)習(xí)效率,首先要增強(qiáng)他們對(duì)網(wǎng)絡(luò)安全技術(shù)的興趣。導(dǎo)師應(yīng)在易班網(wǎng)上學(xué)生活動(dòng)社區(qū)或其他社交網(wǎng)站上建立網(wǎng)絡(luò)班級(jí),保持與學(xué)生的日常溝通,為學(xué)生選課提供幫助;協(xié)助學(xué)生進(jìn)行學(xué)習(xí)生涯規(guī)劃,同時(shí)為專業(yè)學(xué)習(xí)提供幫助;在網(wǎng)上班級(jí)設(shè)置“我的Idea”專題,讓學(xué)生在論壇里發(fā)表自己的創(chuàng)新想法,如要做什么樣的系統(tǒng)或軟件解決生活中遇到的一些問題。該階段學(xué)生還沒有實(shí)現(xiàn)這些軟件的技術(shù)能力,導(dǎo)師可以指導(dǎo)學(xué)生學(xué)習(xí)某方面的技術(shù)以實(shí)現(xiàn)這些有創(chuàng)意的想法。
2.2以賽代練,參與國(guó)家和市級(jí)大學(xué)生創(chuàng)新
項(xiàng)目和高水平信息安全競(jìng)賽在創(chuàng)新實(shí)踐中,輔導(dǎo)員和學(xué)業(yè)導(dǎo)師起著非常關(guān)鍵的作用。學(xué)業(yè)導(dǎo)師都是計(jì)算機(jī)學(xué)院的在職講師或教授,他們可以把自己主持或參與的科研課題介紹給學(xué)生,讓學(xué)有余力的學(xué)生參與學(xué)業(yè)導(dǎo)師的課題研究,一方面培養(yǎng)學(xué)生的自學(xué)能力并積累科研所需的知識(shí),另一方面培養(yǎng)學(xué)生的創(chuàng)新思維。輔導(dǎo)員和學(xué)業(yè)導(dǎo)師經(jīng)常組織學(xué)生參加信息安全大賽,如全國(guó)大學(xué)生信息安全競(jìng)賽和信息安全技能大賽。同時(shí),為了鼓勵(lì)學(xué)生進(jìn)行科技創(chuàng)新,東華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院每年組織學(xué)生參與全國(guó)和上海市的創(chuàng)新實(shí)踐項(xiàng)目申請(qǐng),學(xué)生組團(tuán)挑選專業(yè)課教師作為項(xiàng)目導(dǎo)師,共同探討創(chuàng)新課題、撰寫科技創(chuàng)新項(xiàng)目申請(qǐng)書并提交給專家組,學(xué)院組織專家評(píng)選20多個(gè)創(chuàng)新性高且可行性強(qiáng)的課題并給予資助,在大四上學(xué)期對(duì)給予資助的項(xiàng)目進(jìn)行結(jié)題審核。學(xué)院鼓勵(lì)獲得上海市級(jí)以上大學(xué)生創(chuàng)新實(shí)踐項(xiàng)目的學(xué)生將創(chuàng)新實(shí)踐項(xiàng)目的實(shí)施與大四畢業(yè)設(shè)計(jì)(論文)相結(jié)合,獲得專利創(chuàng)新設(shè)計(jì)的學(xué)生還可提前完成畢業(yè)設(shè)計(jì)并參與創(chuàng)業(yè)基金項(xiàng)目的申請(qǐng)或到優(yōu)秀企業(yè)實(shí)習(xí)。在這些科技創(chuàng)新項(xiàng)目中不乏優(yōu)秀作品,如基于手勢(shì)識(shí)別的文檔加密系統(tǒng)的開發(fā)、基于Android的動(dòng)態(tài)一次性口令生產(chǎn)器開發(fā)、基于Android系統(tǒng)的短信隱私保護(hù)軟件的開發(fā)等。學(xué)院每年舉辦的這種創(chuàng)新性競(jìng)賽激發(fā)了學(xué)生的創(chuàng)新思維、團(tuán)隊(duì)合作意識(shí)、項(xiàng)目管理和軟件設(shè)計(jì)開發(fā)能力。參與科技創(chuàng)新競(jìng)賽學(xué)生的學(xué)習(xí)成績(jī)和項(xiàng)目實(shí)踐能力遠(yuǎn)遠(yuǎn)高于平均水平,同時(shí)他們的創(chuàng)新能力和工程實(shí)踐能力也得到廣大教師和實(shí)訓(xùn)單位的認(rèn)可,大部分學(xué)生獲得了直研和被優(yōu)秀企業(yè)聘用的機(jī)會(huì)。
篇10
為設(shè)計(jì)一個(gè)技術(shù)先進(jìn)、結(jié)構(gòu)合理、功能齊全、網(wǎng)絡(luò)可升級(jí)的高職校園網(wǎng)絡(luò)需要從以下幾個(gè)方面做好準(zhǔn)備。
1 明確需求分析與建網(wǎng)目標(biāo)
高職學(xué)院網(wǎng)絡(luò)建設(shè)首先要考慮成本,然后進(jìn)行符合高校實(shí)際需求的網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)。做好這個(gè)環(huán)節(jié)的工作,要做好幾點(diǎn):了解各學(xué)院的現(xiàn)狀和需求;弄清用戶的目的,明確是宣傳需要還管理需要;掌握資金投入的額度;了解學(xué)院環(huán)境;確定學(xué)院的數(shù)據(jù)流管理架構(gòu)。掌握了當(dāng)前網(wǎng)絡(luò)的使用情況,明確了用戶構(gòu)建網(wǎng)絡(luò)的需求,確立了建網(wǎng)目標(biāo)。在制訂網(wǎng)絡(luò)方案時(shí)要考慮構(gòu)建簡(jiǎn)單的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、采用非可管理型號(hào)的網(wǎng)絡(luò)設(shè)備、用戶的簡(jiǎn)單應(yīng)用、實(shí)用為主、適度的安全需求等幾方面的問題。
2 場(chǎng)地規(guī)劃與綜合布線系統(tǒng)的設(shè)計(jì)
場(chǎng)地規(guī)劃是組網(wǎng)中最關(guān)鍵的一個(gè)環(huán)節(jié),規(guī)劃時(shí)必須實(shí)地考察、現(xiàn)場(chǎng)測(cè)量,根據(jù)建筑物的樓層、房間的具體布局作具體的安排,根據(jù)場(chǎng)地空間的大小決定網(wǎng)絡(luò)布局、計(jì)算機(jī)的擺放、網(wǎng)絡(luò)的布置方式、主服務(wù)器或交換機(jī)的位置等,確定電源插座和網(wǎng)線的走向,確定門和窗戶的位置以及通風(fēng)管道和暖氣管理的位置。
從結(jié)構(gòu)化綜合布線系統(tǒng)設(shè)計(jì)與土建配合方面看,建筑設(shè)計(jì)部門對(duì)此技術(shù)了解不夠,重視也不夠。這就造成本應(yīng)預(yù)留的空間和應(yīng)預(yù)留的管道在土建施工時(shí)難以到位,甚至在砌體和裝修階段還沒到位,這將造成布線施工難度的增加和施工時(shí)常要破壞建筑結(jié)構(gòu)和影響美觀等結(jié)果。綜合布線的設(shè)計(jì)要解決傳輸頻率與傳輸速率、屏蔽與非屏蔽雙絞線的選擇、過電流及過電壓保護(hù)的設(shè)計(jì)等,使布線設(shè)計(jì)令人滿意。
3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇
計(jì)算機(jī)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)主要有星型、環(huán)型、總線型、樹型、網(wǎng)狀型等幾種。根據(jù)場(chǎng)地、設(shè)備和網(wǎng)絡(luò)的具體情況,可以按著費(fèi)用低、靈活性和可擴(kuò)充性、可靠性高、因地制宜等原則來選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。隨著以太網(wǎng)的快速發(fā)展,總線型拓?fù)浣Y(jié)構(gòu)的以太網(wǎng)基本被淘汰,網(wǎng)絡(luò)拓?fù)洳捎闷毡槭褂玫男切徒Y(jié)構(gòu)。
4 軟、硬件設(shè)備的選擇
網(wǎng)絡(luò)操作系統(tǒng)(network operation system-NOS)是網(wǎng)絡(luò)的心臟和靈魂,是能夠控制和管理網(wǎng)絡(luò)資源的特殊的操作系統(tǒng)。它與一般的計(jì)算機(jī)操作系統(tǒng)不同的是:它在計(jì)算機(jī)操作系統(tǒng)下工作,使計(jì)算機(jī)操作系統(tǒng)增加了網(wǎng)絡(luò)操作所需要的能力。目前國(guó)內(nèi)流行的網(wǎng)絡(luò)操作系統(tǒng)有UNIX、Linux、Windows和Netware等,它們應(yīng)用層次各有不同,局域網(wǎng)應(yīng)用環(huán)境可采用Linux和Windows等網(wǎng)絡(luò)操作系統(tǒng),最終確定要根據(jù)學(xué)院的應(yīng)用環(huán)境來確定。
網(wǎng)絡(luò)硬件設(shè)備的選擇是否合理將會(huì)影響到網(wǎng)絡(luò)運(yùn)行的效果,主要的硬件設(shè)備包括交換機(jī)、服務(wù)器和路由器等核心設(shè)備。選擇硬件設(shè)備時(shí)要考慮設(shè)備要既具有先進(jìn)性,又具有可擴(kuò)展性和技術(shù)成熟性。各層所用的交換機(jī)設(shè)備類型主要還是非可管理型,核心層只用一臺(tái)低端口數(shù)的雙絞線千兆以太網(wǎng)交換機(jī)即可。在路由器方面,通常是采用性能較好的寬帶路由器實(shí)現(xiàn)互聯(lián)網(wǎng)共享接入,而不會(huì)專門購買企業(yè)級(jí)路由器。
5 主要完成的網(wǎng)絡(luò)應(yīng)用
在高職學(xué)院中,通常沒有很復(fù)雜的網(wǎng)絡(luò)應(yīng)用,最常見的仍是傳統(tǒng)的文件和設(shè)備共享。組建局域網(wǎng)后,主要實(shí)現(xiàn)的網(wǎng)絡(luò)應(yīng)用應(yīng)該有各種身份驗(yàn)證方式IIS Web網(wǎng)站的創(chuàng)建、配置與管理,IIS FTP站點(diǎn)的創(chuàng)建、配置與管理,電子郵局系統(tǒng)、進(jìn)銷存及電子商務(wù)類軟件應(yīng)用等內(nèi)容。
6 適度的網(wǎng)絡(luò)安全管理
做網(wǎng)絡(luò)管理的人最容易犯的毛病就是一講到網(wǎng)絡(luò),就總是強(qiáng)調(diào)網(wǎng)絡(luò)安全的重要性。但對(duì)于高職學(xué)院來說,高級(jí)別的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)不僅要花巨額的設(shè)備、軟件購買成本,還要花巨額的維護(hù)和管理成本是沒有必要的。
網(wǎng)絡(luò)安全防護(hù)的終點(diǎn)就是數(shù)據(jù),中要把好數(shù)據(jù)最后一道關(guān),就可以對(duì)其他安全方面做適度放松,并不要求網(wǎng)絡(luò)中根本不允許有任何被病毒感染、非法入侵等安全威脅的可能,只要及時(shí)、迅速地對(duì)這些威脅進(jìn)行處理,就可以了。構(gòu)建高職校園網(wǎng)絡(luò),網(wǎng)絡(luò)安全管理主要掌握以下技術(shù):
1)基本的計(jì)算機(jī)病毒和網(wǎng)絡(luò)入侵/攻擊防護(hù);
2)主要網(wǎng)絡(luò)安全協(xié)議(VPN、SSL/TLS、PKI、IPSec等);
3)EFS文件加密和PGP文件加密;
4)Windows防火墻的配置;
5)Windows Server IP安全策略的配置;
篇11
1 移動(dòng)傳輸網(wǎng)絡(luò)的發(fā)展階段
1.1 模擬蜂窩通訊技術(shù)階段
模擬蜂窩通信技術(shù)是最早的移動(dòng)傳輸網(wǎng)絡(luò)技術(shù),該項(xiàng)技術(shù)借助于網(wǎng)絡(luò)終端具有的移動(dòng)特性,采用無線組網(wǎng)的方式將網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)終端連接起來,這樣便實(shí)現(xiàn)了移動(dòng)體之間及移動(dòng)體與固定體之間的通信傳輸。但是,該種技術(shù)尤其不可忽視的弊端,即通信傳輸網(wǎng)絡(luò)的安全性較差,直接導(dǎo)致的后果就是通話內(nèi)容易被竊聽。
1.2 GSM 通信技術(shù)階段
GSM 通信技術(shù)即大家所熟知的2G 移動(dòng)通信技術(shù),GSM 通信技術(shù)主要分為以下兩種:
(1)900/188MHZ GSM 第二代模擬蜂窩通信系統(tǒng)。這種通信傳輸系統(tǒng)是利用GSM 網(wǎng)絡(luò)來進(jìn)行消息的發(fā)起和接收,該系統(tǒng)功能多樣,具有了移動(dòng)數(shù)據(jù)、呼叫轉(zhuǎn)移以及手機(jī)來電顯示等多功能,與此同時(shí)還具有了智能網(wǎng)絡(luò)的一些業(yè)務(wù),提供數(shù)據(jù)漫游和預(yù)付費(fèi)的功能。但該系統(tǒng)仍具有一定的局限性,即經(jīng)營(yíng)業(yè)務(wù)上的局限性。
(2)800MHZ CDMA 第二代模擬蜂窩通信系統(tǒng)。該系統(tǒng)即CDMA網(wǎng)絡(luò)系統(tǒng),與前一種系統(tǒng)不同,這種系統(tǒng)是利用CDMA網(wǎng)絡(luò)進(jìn)行信息數(shù)據(jù)的發(fā)起和接收,系統(tǒng)同樣具有移動(dòng)數(shù)據(jù)、呼叫轉(zhuǎn)移以及手機(jī)來電顯示等多功能,并提供智能網(wǎng)絡(luò)業(yè)務(wù),提供數(shù)據(jù)漫游和預(yù)付費(fèi)的功能。與第一種網(wǎng)絡(luò)的區(qū)別就在于工作的頻段不同,網(wǎng)絡(luò)的種類不同。
1.3 GPRS 移動(dòng)通信技術(shù)階段
GPRS移動(dòng)通信技術(shù)被認(rèn)為是2G 移動(dòng)通信技術(shù)向3G移動(dòng)通信技術(shù)的過渡,由此又被稱為2.5G 移動(dòng)通信技術(shù)。該通信技術(shù)進(jìn)行信息數(shù)據(jù)傳輸利用的是無線分組交換技術(shù),該技術(shù)在 GSM 的基礎(chǔ)上,在高速 IP 和 X.25 數(shù)據(jù)接入上有了更進(jìn)一步的提高和改進(jìn)。GPRS移動(dòng)通信技術(shù)在通信技術(shù)的歷史發(fā)展中具有里程碑的意義。是人類在移動(dòng)通信中邁出的重要一步。
2 移動(dòng)傳輸網(wǎng)絡(luò)安全的現(xiàn)狀及影響因素
2.1 移動(dòng)傳輸網(wǎng)絡(luò)安全的現(xiàn)狀
移動(dòng)傳輸網(wǎng)絡(luò)在我國(guó)已有了較長(zhǎng)的發(fā)展歷史,各個(gè)地市的傳輸網(wǎng)絡(luò)也形成了相當(dāng)?shù)囊?guī)模。我國(guó)的移動(dòng)傳輸網(wǎng)絡(luò)業(yè)務(wù)都是采用中心局落地,想四周輻射的方式。另外,本地移動(dòng)傳輸網(wǎng)絡(luò)的骨干環(huán)路大多是采用2.5G或10G光傳輸設(shè)備組成,匯聚環(huán)則是由2.5G傳輸設(shè)備組成。
我國(guó)的本地傳輸網(wǎng)絡(luò)客觀上存在著網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、路由不合理、網(wǎng)管數(shù)據(jù)雜亂、設(shè)備型號(hào)繁多等多種問題,這樣對(duì)移動(dòng)傳輸網(wǎng)絡(luò)的安全性產(chǎn)生了巨大的威脅。
2.2 移動(dòng)傳輸網(wǎng)絡(luò)安全的影響因素
從我國(guó)當(dāng)前移動(dòng)傳輸網(wǎng)絡(luò)安全的現(xiàn)狀中可以看出,影響移動(dòng)傳輸網(wǎng)絡(luò)安全的因素是多種多樣的,具體體現(xiàn)在以下幾方面:
(1)線路路由不合理。從這個(gè)方面考慮,影響傳輸網(wǎng)絡(luò)安全性的因素有:傳輸匯聚節(jié)點(diǎn)出入局同纜、環(huán)內(nèi)存在同纜組環(huán)、長(zhǎng)分支鏈路。
(2)傳輸設(shè)備選型不合理。主要表現(xiàn)在重要機(jī)盤無熱備份、同一局向業(yè)務(wù)無分流或分擔(dān)、不同廠家設(shè)備或同廠家不通版本設(shè)備對(duì)接、大量微波或PDH設(shè)備的應(yīng)用、設(shè)備無過壓保護(hù)功能等。
(3)組網(wǎng)不合理。主要表現(xiàn)在重要節(jié)點(diǎn)沒有失效保護(hù)機(jī)制、同區(qū)業(yè)務(wù)集中、網(wǎng)絡(luò)中較長(zhǎng)鏈路、同一節(jié)點(diǎn)存在大量分支節(jié)點(diǎn)、網(wǎng)絡(luò)時(shí)鐘成環(huán)等。
(4)其他因素。基站電池容量不足或電池劣化、設(shè)備工作電壓不穩(wěn)定以及設(shè)備空開與耗電量不匹配、傳輸設(shè)備工作環(huán)境差、網(wǎng)管交叉數(shù)據(jù)雜亂等。
3 移動(dòng)通信傳輸網(wǎng)絡(luò)安全性能的提升對(duì)策
3.1 加強(qiáng)對(duì)光纜路由的管理
光纜路由的不合理是影響移動(dòng)傳輸網(wǎng)絡(luò)安全的重要因素,因此在規(guī)劃建設(shè)移動(dòng)通信傳輸網(wǎng)絡(luò)的初始階段就應(yīng)該加強(qiáng)對(duì)路由鋪設(shè)和傳輸節(jié)點(diǎn)的合理規(guī)劃,合理的規(guī)劃能夠有效的避免出入局同纜的情況,但要注意規(guī)劃一定是要以工程的實(shí)際情況為出發(fā)點(diǎn)的。另外,若是無法避免出入局同纜的情況,那么應(yīng)積極采用其他方法解決,一般可采用重新建網(wǎng)和租用其他路由的方式。除此之外,需要在光纜的架構(gòu)設(shè)計(jì)中引起注意,應(yīng)極力避免星型和長(zhǎng)鏈型結(jié)構(gòu)的情況的出現(xiàn),因此需要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行必要的可行性分析。
3.2 加強(qiáng)傳輸組網(wǎng)的管理
傳輸組網(wǎng)不合理也是影響移動(dòng)傳輸網(wǎng)絡(luò)安全的重要因素。與路由管理不同的是,傳輸組網(wǎng)的的合理設(shè)計(jì)工作應(yīng)該集中在移動(dòng)通信傳輸網(wǎng)絡(luò)建設(shè)的中期,后期則要進(jìn)行移動(dòng)傳輸網(wǎng)絡(luò)的進(jìn)一步優(yōu)化。在這個(gè)階段要應(yīng)采取 SDH 的方式保護(hù)傳輸線路的環(huán)路,并且要采取網(wǎng)狀網(wǎng)的方式對(duì)其中一些重要的傳輸線路進(jìn)行保護(hù)。
3.3 加強(qiáng)對(duì)傳輸設(shè)備的管理
加強(qiáng)對(duì)傳輸設(shè)備的管理對(duì)于提升移動(dòng)通信傳輸網(wǎng)絡(luò)的安全性能具有重要的意義。針對(duì)重要傳輸線路上的傳輸節(jié)點(diǎn),最好要設(shè)置一對(duì)一的保護(hù)措施,另外要注意線路的調(diào)整,可通過業(yè)務(wù)分流或負(fù)荷分流的方式。傳輸設(shè)備的選取要注意設(shè)備的過壓保護(hù)功能,這樣的設(shè)備能保證良好的運(yùn)行性能。
3.4 加強(qiáng)對(duì)傳輸用電的管理
傳輸用電的穩(wěn)定性會(huì)直接影響到傳輸設(shè)備的運(yùn)行和通信傳輸網(wǎng)絡(luò)的安全性能。因此要從以下幾方面加強(qiáng)對(duì)傳輸用電的管理。
(1)針對(duì)交流電壓不穩(wěn)定的情況,可通過加設(shè)交流電壓穩(wěn)壓器來進(jìn)行解決。
(2)應(yīng)將過壓保護(hù)功能作為選取傳輸設(shè)備的重要指標(biāo),具有過壓保護(hù)功能的設(shè)備能夠有效避免電流浪涌的現(xiàn)象。
(3)應(yīng)選用具有多次下電功能并且能夠自動(dòng)設(shè)置下電電壓范圍的配電柜。
(4)要加大對(duì)傳輸設(shè)備使用操作流程的規(guī)范力度。
3.5 加強(qiáng)傳輸設(shè)備工作環(huán)境的管理
傳輸設(shè)備的工作環(huán)境也會(huì)對(duì)移動(dòng)傳輸網(wǎng)絡(luò)的安全性產(chǎn)生影響。傳輸設(shè)備的工作環(huán)境一般包括溫、濕度和環(huán)境衛(wèi)生等方面。要對(duì)節(jié)點(diǎn)機(jī)房的溫濕度進(jìn)行嚴(yán)格的控制,保證其處于最佳的溫濕度狀態(tài)。另外,需要引起注意的是,通信機(jī)房應(yīng)采用嚴(yán)格密封的方式來保持室內(nèi)環(huán)境衛(wèi)生的潔凈。
參考文獻(xiàn)
[1]郭凱.移動(dòng)通信傳輸網(wǎng)絡(luò)安全性探討[J].黑龍江科技信息,2012(25).
[2]周志宏.關(guān)于提高移動(dòng)通信傳輸網(wǎng)絡(luò)安全性的探討[J].硅谷,2011(01).
[3]張忠麗.淺談無線移動(dòng)通信網(wǎng)絡(luò)體系結(jié)構(gòu)與安全機(jī)制[J].黑龍江科技信息,2010(01).
篇12
網(wǎng)絡(luò)安全對(duì)于網(wǎng)絡(luò)用戶來說至關(guān)重要,它關(guān)系到個(gè)人隱私安全、個(gè)人數(shù)據(jù)安全,而網(wǎng)絡(luò)與人們?nèi)粘I罹o密相關(guān),因此對(duì)于網(wǎng)絡(luò)安全研究也逐漸成為研究的重點(diǎn)內(nèi)容。網(wǎng)絡(luò)安全研究從傳輸數(shù)據(jù)加密到網(wǎng)絡(luò)攻擊防范與預(yù)防等經(jīng)歷的不同發(fā)展階段。當(dāng)前主要采用的網(wǎng)絡(luò)安全技術(shù)就是入侵檢測(cè)技術(shù),也就是通過監(jiān)聽在網(wǎng)絡(luò)傳輸中的數(shù)據(jù)包,利用相關(guān)算法或技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的攻擊行為。本文是以網(wǎng)絡(luò)規(guī)劃識(shí)別作為研究理論,將其應(yīng)用到基于Snort入侵檢測(cè)系統(tǒng)中,從而利用統(tǒng)計(jì)與智能方式來搜索或獲得攻擊行為,達(dá)到有效的防范和預(yù)防措施。
1 入侵檢測(cè)與規(guī)劃識(shí)別簡(jiǎn)介
1.1 入侵檢測(cè)
入侵檢測(cè)對(duì)網(wǎng)絡(luò)安全來說是至關(guān)重要,檢測(cè)過程和檢測(cè)結(jié)果如何關(guān)系到防范和預(yù)測(cè)網(wǎng)絡(luò)攻擊效果。在當(dāng)前較多的入侵檢測(cè)技術(shù)中,頻繁使用的入侵檢測(cè)技術(shù)是基于Snort入侵檢測(cè)技術(shù)及其系統(tǒng)。Snort檢測(cè)體系結(jié)構(gòu)主要是由嗅探器、數(shù)據(jù)包預(yù)處理、檢索引擎和規(guī)則庫等多個(gè)模塊來構(gòu)成。其中,嗅探器的作用是來捕獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包和數(shù)據(jù)流;數(shù)據(jù)包預(yù)處理模塊則是對(duì)捕獲到的數(shù)據(jù)進(jìn)行預(yù)處理分析,如采用統(tǒng)計(jì)分析方式、專家系統(tǒng)方式等;檢索引擎作用則是利用預(yù)處理后得到的數(shù)據(jù)特征等相關(guān)信息與規(guī)則庫中的數(shù)據(jù)特征進(jìn)行比對(duì)根據(jù)其比對(duì)結(jié)果來評(píng)判數(shù)據(jù)是否具有攻擊性。
1.2 網(wǎng)絡(luò)規(guī)劃識(shí)別簡(jiǎn)介
在1978年由Schmidt、Sridharan和Goodson提出規(guī)劃識(shí)別用于推理其它智能體的規(guī)劃及目標(biāo),到2003年,Yin MingHao在Hong Jun的目標(biāo)圖為基礎(chǔ)上提出了利用回歸圖進(jìn)行的規(guī)劃識(shí)別。在規(guī)劃發(fā)展過程中主要出現(xiàn)如下幾種規(guī)劃識(shí)別方法,即基于Kautz理論的規(guī)劃識(shí)別、基于邏輯的規(guī)劃識(shí)別和基于概率方法的規(guī)劃識(shí)別等方法。經(jīng)過40多年的發(fā)展,規(guī)劃識(shí)別已經(jīng)成為人工智能研究領(lǐng)域中重要的研究?jī)?nèi)容。
網(wǎng)絡(luò)規(guī)劃識(shí)別就是以規(guī)劃識(shí)別作為理論基礎(chǔ),然后將其運(yùn)用在網(wǎng)絡(luò)上的一種技術(shù)。其主要內(nèi)容是從網(wǎng)絡(luò)中傳輸數(shù)據(jù)包或數(shù)據(jù)流中通過特征提取方式來獲得特征數(shù)據(jù)信息,利用規(guī)劃識(shí)別推導(dǎo)出智能目標(biāo)或規(guī)劃過程。其推導(dǎo)過程為首先收集來自于網(wǎng)絡(luò)中的傳輸數(shù)據(jù),然后利用規(guī)劃識(shí)別原理對(duì)傳輸數(shù)據(jù)進(jìn)行推導(dǎo),最后計(jì)算出該數(shù)據(jù)攻擊可能的最大概率。
2 基于規(guī)劃識(shí)別的入侵檢測(cè)結(jié)構(gòu)研究
2.1 規(guī)劃識(shí)別的貝葉斯網(wǎng)絡(luò)模型結(jié)構(gòu)分析
網(wǎng)絡(luò)攻擊往往會(huì)給用戶帶來極大的麻煩或損失,因此組建較好的入侵檢測(cè)結(jié)構(gòu)對(duì)于網(wǎng)絡(luò)攻擊預(yù)防是至關(guān)重要的環(huán)節(jié)。當(dāng)遭受網(wǎng)絡(luò)攻擊時(shí)候,往往需要識(shí)別攻擊者的意圖,因此本文以規(guī)劃識(shí)別與貝葉斯算法結(jié)合建立一個(gè)入侵過程分析與模擬建模,即通過檢索數(shù)據(jù)包中的數(shù)據(jù)特征來發(fā)現(xiàn)攻擊對(duì)象和攻擊過程。也就是將攻擊者最終意圖作為根節(jié)點(diǎn),攻擊節(jié)點(diǎn)之間采用“與”、“或”等邏輯運(yùn)算來進(jìn)行節(jié)點(diǎn)之間關(guān)系建立,然后發(fā)現(xiàn)最終目標(biāo)。在入侵檢測(cè)系統(tǒng)中,攻擊者會(huì)實(shí)施相關(guān)攻擊過程且具有順序性,利用貝葉斯網(wǎng)絡(luò)就可以推理入侵者意圖,即對(duì)接受數(shù)據(jù)包進(jìn)行關(guān)聯(lián)分析,從而發(fā)現(xiàn)攻擊目標(biāo)和攻擊意圖。
2.2 貝葉斯二次回歸規(guī)劃識(shí)別在入侵檢測(cè)中的結(jié)構(gòu)研究
基于Snort入侵檢測(cè)系統(tǒng)是當(dāng)前正在使用的一種檢測(cè)系統(tǒng),在進(jìn)行攻擊者進(jìn)行網(wǎng)絡(luò)入侵過程中,由Snort在檢測(cè)中產(chǎn)生相應(yīng)的數(shù)據(jù)包信息,將得到的數(shù)據(jù)信息進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析,從而就會(huì)得到兩種分析結(jié)果:一是有攻擊意圖;二是無攻擊意圖或無法判斷攻擊意圖。而入侵過程中Snort對(duì)數(shù)據(jù)進(jìn)行規(guī)劃識(shí)別與采用貝葉斯算法設(shè)計(jì)的智能網(wǎng)絡(luò)結(jié)構(gòu)相似,因此可以考慮將貝葉斯理論引入到入侵檢測(cè)中,然后在此基礎(chǔ)上進(jìn)行二次回歸來具體判斷攻擊者是否發(fā)生攻擊以及攻擊的目標(biāo)和路徑。其基本結(jié)構(gòu)如圖1所示。
3 結(jié)束語
通過對(duì)以往入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)規(guī)劃識(shí)別技術(shù)分析與研究,在本文中提出了一種以原有的貝葉斯網(wǎng)絡(luò)攻擊入侵檢測(cè)模型為基礎(chǔ),進(jìn)行了二次回歸的網(wǎng)絡(luò)攻擊入侵檢測(cè)模型及其算法的改進(jìn),并且對(duì)此結(jié)構(gòu)進(jìn)行分析。
參考文獻(xiàn)
[1]谷文祥,李麗,李丹丹.規(guī)劃識(shí)別的研究及其應(yīng)用[J].智能系統(tǒng)學(xué)報(bào),2007.
[2]李偉生,王寶樹.實(shí)現(xiàn)規(guī)劃識(shí)別的一種貝葉斯網(wǎng)絡(luò)[J].西安電子科技大學(xué)學(xué)報(bào),2002.
作者簡(jiǎn)介
篇13
國(guó)家電子政務(wù)外網(wǎng)(以下簡(jiǎn)稱政務(wù)外網(wǎng))是中辦發(fā)[2002]17號(hào)文件明確規(guī)定要建設(shè)的政務(wù)網(wǎng)絡(luò)平臺(tái)。政務(wù)外網(wǎng)是政府的業(yè)務(wù)專網(wǎng),主要為黨委、人大、政府、政協(xié)、法院和檢察院各級(jí)政務(wù)部門服務(wù),運(yùn)行各級(jí)政務(wù)部門面向社會(huì)的專業(yè)業(yè)務(wù)和不需要在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)。
為保證電子政務(wù)外網(wǎng)的安全運(yùn)行,中辦發(fā)[2003]27號(hào)文和[2006]18號(hào)文明確提出,電子政務(wù)外網(wǎng)與政務(wù)內(nèi)網(wǎng)之間采用物理隔離,政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間采用邏輯隔離。政務(wù)外網(wǎng)的建設(shè)要按照信息安全等級(jí)保護(hù)的有關(guān)要求,分別采用相應(yīng)的保護(hù)措施,通過建立統(tǒng)一的密碼和密鑰管理體系、網(wǎng)絡(luò)信任體系和安全管理體系,分級(jí)、分層、分域保障信息安全。
二、政務(wù)外網(wǎng)(一期工程)安全需求
⒈政務(wù)外網(wǎng)安全防護(hù)對(duì)象
政務(wù)外網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)環(huán)境如圖1所示。
依據(jù)政務(wù)外網(wǎng)的網(wǎng)絡(luò)環(huán)境,政務(wù)外網(wǎng)的安全防護(hù)對(duì)象分為如下三類:計(jì)算區(qū)域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和計(jì)算區(qū)域邊界。
⑴計(jì)算區(qū)域
政務(wù)外網(wǎng)所涉及的計(jì)算環(huán)境有:中央網(wǎng)絡(luò)管理中心計(jì)算區(qū)域、各省市節(jié)點(diǎn)的二級(jí)網(wǎng)絡(luò)管理中心計(jì)算區(qū)域、中央城域網(wǎng)接入單位計(jì)算區(qū)域以及外網(wǎng)骨干網(wǎng)接入的各省市節(jié)點(diǎn)的計(jì)算區(qū)域。
在各計(jì)算區(qū)域內(nèi)主要防護(hù)如下對(duì)象:
①數(shù)據(jù)資源,主要包括各應(yīng)用系統(tǒng)管理的數(shù)據(jù)資源;
②軟件資源,包括系統(tǒng)軟件、網(wǎng)絡(luò)軟件、支撐軟件和應(yīng)用系統(tǒng)等;
③中心計(jì)算機(jī);
④存儲(chǔ)介質(zhì),包括數(shù)據(jù)備份磁帶、軟盤、可讀寫光盤等;
⑤用戶,包括普通操作員、業(yè)務(wù)管理員、高級(jí)業(yè)務(wù)管理員以及系統(tǒng)(數(shù)據(jù)庫)管理員和網(wǎng)絡(luò)管理員等。
⑵網(wǎng)絡(luò)基礎(chǔ)設(shè)施
政務(wù)外網(wǎng)所要防護(hù)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施主要有:各計(jì)算區(qū)域的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,以及實(shí)現(xiàn)各計(jì)算區(qū)域相聯(lián)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
⑶計(jì)算區(qū)域邊界
由于計(jì)算區(qū)域與其他外部實(shí)體相聯(lián)而產(chǎn)生區(qū)域邊界,區(qū)域邊界與計(jì)算區(qū)域直接相關(guān),與計(jì)算區(qū)域相聯(lián)的外部實(shí)體的性質(zhì)直接決定區(qū)域邊界的保護(hù)的策略。
政務(wù)外網(wǎng)中的計(jì)算區(qū)域邊界主要有:與中央城域網(wǎng)相聯(lián)的各計(jì)算區(qū)域因與中央城域網(wǎng)相聯(lián)而產(chǎn)生的區(qū)域邊界以及這些區(qū)域與互聯(lián)網(wǎng)等外部實(shí)體相聯(lián)而產(chǎn)生的區(qū)域邊界、各省市節(jié)點(diǎn)計(jì)算區(qū)域因與政務(wù)外網(wǎng)骨干網(wǎng)相聯(lián)而產(chǎn)生的區(qū)域邊界以及這些區(qū)域與互聯(lián)網(wǎng)等外部實(shí)體相聯(lián)而產(chǎn)生的區(qū)域邊界。
⒉安全需求
根據(jù)政務(wù)外網(wǎng)的特點(diǎn),政務(wù)外網(wǎng)的安全需求體現(xiàn)在如下幾方面:
①建設(shè)政務(wù)外網(wǎng)安全信任體系,確保政務(wù)外網(wǎng)資源不能被非法用戶訪問;
②建設(shè)政務(wù)外網(wǎng)數(shù)據(jù)交換中心,確保不同安全域之間的安全數(shù)據(jù)交換;
③確保政務(wù)外網(wǎng)的安全保障體系具有高可靠性,并具有可審計(jì)、可監(jiān)控性;
④實(shí)現(xiàn)政務(wù)外網(wǎng)統(tǒng)一的安全管理體系;
⑤確保政務(wù)外網(wǎng)與互聯(lián)網(wǎng)的安全互連。
三、政務(wù)外網(wǎng)安全保障體系框架
政務(wù)外網(wǎng)要為政務(wù)部門的業(yè)務(wù)系統(tǒng)提供網(wǎng)絡(luò)、信息、安全等支撐服務(wù),為社會(huì)公眾提供政務(wù)信息服務(wù)。從政務(wù)外網(wǎng)的實(shí)際出發(fā),政務(wù)外網(wǎng)的安全保障體系設(shè)計(jì)應(yīng)重點(diǎn)針對(duì)政務(wù)外網(wǎng)的如下特點(diǎn):
①政務(wù)外網(wǎng)必須與互聯(lián)網(wǎng)邏輯隔離;
②政務(wù)外網(wǎng)主要運(yùn)行面向社會(huì)的專業(yè)業(yè)務(wù),這些業(yè)務(wù)所涉及的業(yè)務(wù)信息具有面向公眾的特性,所以保護(hù)業(yè)務(wù)信息的完整性、可鑒別性以及抗抵賴性十分重要;
③政務(wù)外網(wǎng)是國(guó)家電子政務(wù)的基礎(chǔ)性網(wǎng)絡(luò)環(huán)境,支持電子政務(wù)系統(tǒng)互聯(lián)互通、數(shù)據(jù)交換、信息共享、業(yè)務(wù)互動(dòng)、便民服務(wù)的需求,所以政務(wù)外網(wǎng)要滿足公用網(wǎng)絡(luò)安全可信的需求;
根據(jù)以上分析,政務(wù)外網(wǎng)(一期工程)安全保障體系由網(wǎng)絡(luò)防護(hù)體系、網(wǎng)絡(luò)信任體系、安全管理體系、安全服務(wù)體系等構(gòu)成,邏輯模型如圖2所示。
⒈網(wǎng)絡(luò)安全防護(hù)體系
網(wǎng)絡(luò)安全防護(hù)系統(tǒng)是政務(wù)外網(wǎng)安全保障體系中最重要的安全設(shè)施,主要保護(hù)電子政務(wù)外網(wǎng)的各子網(wǎng)網(wǎng)絡(luò)節(jié)點(diǎn)及整個(gè)電子政務(wù)外網(wǎng),保證整個(gè)政務(wù)外網(wǎng)及相關(guān)業(yè)務(wù)系統(tǒng)的可用性、完整性、可控性等。網(wǎng)絡(luò)安全防護(hù)系統(tǒng)重點(diǎn)要考慮防火墻系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、遠(yuǎn)程安全接入系統(tǒng)、流量監(jiān)測(cè)系統(tǒng)等的配置和建設(shè)。
政務(wù)外網(wǎng)的網(wǎng)絡(luò)安全防護(hù)體系將涵蓋以下幾個(gè)方面:
⑴物理安全
保證政務(wù)外網(wǎng)中各種骨干設(shè)備的物理安全是整個(gè)政務(wù)外網(wǎng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。
⑵網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全主要考慮VPN、防火墻、入侵檢測(cè)系統(tǒng)、非法外聯(lián)監(jiān)控系統(tǒng)、PKI接入認(rèn)證網(wǎng)關(guān)等安全設(shè)備在政務(wù)外網(wǎng)中的配置與部署。
⑶系統(tǒng)層安全
系統(tǒng)層安全主要包括漏洞掃描、操作系統(tǒng)安全加固、數(shù)據(jù)庫安全加固。
⑷應(yīng)用層安全
應(yīng)用層安全主要考慮應(yīng)用系統(tǒng)的鑒別、授權(quán)和訪問控制等安全機(jī)制。
⒉網(wǎng)絡(luò)信任體系
網(wǎng)絡(luò)信任體系是為網(wǎng)絡(luò)用戶、設(shè)備提供信息安全服務(wù)的具有普適性的信息安全基礎(chǔ)設(shè)施。該體系在統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)和規(guī)范基礎(chǔ)上提供在線身份認(rèn)證、授權(quán)管理和責(zé)任認(rèn)定。其核心是要解決信息網(wǎng)絡(luò)空間中的信任問題,確定信息網(wǎng)絡(luò)空間中各種經(jīng)濟(jì)和管理行為主體(包括組織和個(gè)人)身份的唯一性、真實(shí)性和合法性,保護(hù)信息網(wǎng)絡(luò)空間中各種主體的安全利益。政務(wù)外網(wǎng)網(wǎng)絡(luò)信任體系的建設(shè)與政務(wù)外網(wǎng)的安全運(yùn)營(yíng)息息相關(guān),是電子政務(wù)安全運(yùn)行的支撐基礎(chǔ)設(shè)施。
政務(wù)外網(wǎng)(一期工程)的網(wǎng)絡(luò)信任體系,主要是在國(guó)家主管部門的指導(dǎo)下,建設(shè)政務(wù)外網(wǎng)身份認(rèn)證系統(tǒng),組建政務(wù)外網(wǎng)身份認(rèn)證管理協(xié)調(diào)機(jī)構(gòu)和技術(shù)保障隊(duì)伍,制定有關(guān)政務(wù)外網(wǎng)身份認(rèn)證的相關(guān)標(biāo)準(zhǔn)體系、管理運(yùn)行規(guī)章制度和規(guī)范,逐步形成統(tǒng)一的政務(wù)外網(wǎng)網(wǎng)絡(luò)信任體系。
⒊安全服務(wù)體系
政務(wù)外網(wǎng)安全服務(wù)體系主要由安全評(píng)估和安全培訓(xùn)組成。安全評(píng)估主要是對(duì)政務(wù)外網(wǎng)及其處理的傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)識(shí)別和掃描評(píng)估的過程。安全評(píng)估的主要目的是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析,及時(shí)發(fā)現(xiàn)并修正動(dòng)態(tài)運(yùn)行的網(wǎng)絡(luò)系統(tǒng)中存在的弱點(diǎn)和漏洞,認(rèn)清信息安全環(huán)境、信息安全狀況,明確責(zé)任,采取或完善安全保障措施,并使信息安全策略保持一致性和持續(xù)性。
⒋安全管理體系
安全并非只是一個(gè)技術(shù)問題,它也是一個(gè)關(guān)于人和管理的問題。安全不是個(gè)產(chǎn)品,它是一個(gè)完整的過程。作為一個(gè)過程,它有人、技術(shù)、流程這3個(gè)組成部分,這些組成部分匹配得越好,過程進(jìn)展得就越順利。
安全管理在政務(wù)外網(wǎng)的安全保密中占有非常重要的地位,即使有了較完善的安全保密技術(shù)措施,如果管理的力度不夠,將會(huì)造成很大的安全隱患。因此,必須加強(qiáng)安全保密管理,設(shè)置安全保密管理機(jī)構(gòu),制定嚴(yán)格的安全保密管理制度,采用適當(dāng)?shù)陌踩C芄芾砑夹g(shù)將政務(wù)外網(wǎng)中各種安全保密產(chǎn)品進(jìn)行集成,并加強(qiáng)對(duì)人員的管理。
安全管理體系的建設(shè)包括安全保密管理機(jī)構(gòu)的建立、安全保密制度的制定、安全保密管理技術(shù)的使用以及人員的管理等幾方面內(nèi)容,這里不再予以贅述。只有通過建立科學(xué)、嚴(yán)密的安全管理體系,不斷完善管理行為,形成一個(gè)動(dòng)態(tài)的安全過程,才能為政務(wù)外網(wǎng)提供制度上的保證。
四、幾個(gè)重要問題
在整個(gè)政務(wù)外網(wǎng)(一期工程)安全保障體系的規(guī)劃和建設(shè)當(dāng)中,有幾個(gè)重要問題需要特別說明。
⒈安全域劃分
政務(wù)外網(wǎng)要為政務(wù)部門的業(yè)務(wù)系統(tǒng)提供網(wǎng)絡(luò)、信息、安全等支撐服務(wù),為社會(huì)公眾提供政務(wù)信息服務(wù),要滿足政府公用網(wǎng)絡(luò)安全可信的需求。所以,在政務(wù)外網(wǎng)內(nèi)有必要?jiǎng)澐植煌陌踩颍x每個(gè)安全域的物理或邏輯邊界,形成隸屬于由單一安全策略權(quán)威定義和執(zhí)行的公共安全策略的安全要素的集合,有利于每個(gè)安全域共享相似的安全策略。
政務(wù)外網(wǎng)具有數(shù)據(jù)量龐大、業(yè)務(wù)復(fù)雜多樣、安全等級(jí)各異的特點(diǎn),因此安全域的劃分遵循以下原則:
①根據(jù)信任等級(jí)劃分安全域。在政務(wù)外網(wǎng)中,要為政務(wù)信息資源和國(guó)家基礎(chǔ)信息資源的登記、備案、、交換和共享提供服務(wù),同時(shí)相關(guān)的業(yè)務(wù)系統(tǒng)也要有連接到互聯(lián)網(wǎng)和有需求的其它單位,不同的系統(tǒng)由于處理的數(shù)據(jù)和交互的實(shí)體不同,需要在不同的位置或業(yè)務(wù)流程中,劃分不同的安全域。
②根據(jù)業(yè)務(wù)節(jié)點(diǎn)類型,對(duì)不同的節(jié)點(diǎn)劃分相應(yīng)的安全域,并配置和節(jié)點(diǎn)業(yè)務(wù)量相匹配的安全措施和安全設(shè)備。在政務(wù)外網(wǎng)中,政務(wù)外網(wǎng)要連接不同類型的網(wǎng)絡(luò)節(jié)點(diǎn),網(wǎng)絡(luò)節(jié)點(diǎn)的安全等級(jí)決定了安全域的劃分和安全設(shè)施的投資建設(shè)規(guī)模。
③依據(jù)數(shù)據(jù)的安全等級(jí),在存儲(chǔ)和傳輸?shù)牟煌瑓^(qū)域,劃分安全域,并采用不同的安全策略,體現(xiàn)數(shù)據(jù)的分等級(jí)保護(hù)。
根據(jù)以上原則,在政務(wù)外網(wǎng)中,網(wǎng)絡(luò)各節(jié)點(diǎn)的局域網(wǎng)構(gòu)成相對(duì)獨(dú)立的安全域,并在各節(jié)點(diǎn)內(nèi)部進(jìn)行安全域細(xì)化。政務(wù)外網(wǎng)中,按節(jié)點(diǎn)所劃分的安全域有中央網(wǎng)絡(luò)管理中心局域網(wǎng)、中央城域網(wǎng)接入節(jié)點(diǎn)單位、各省市節(jié)點(diǎn)的二級(jí)網(wǎng)絡(luò)管理中心局域網(wǎng)和各省市節(jié)點(diǎn)的各自的接入網(wǎng)絡(luò)。
⒉等級(jí)保護(hù)
根據(jù)公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室2007年聯(lián)合頒布的43號(hào)文件《信息安全等級(jí)保護(hù)管理辦法》的相關(guān)規(guī)定,為保障電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)安全,對(duì)電子政務(wù)外網(wǎng)需采用等級(jí)保護(hù)機(jī)制。等級(jí)保護(hù)以網(wǎng)絡(luò)安全域劃分為基礎(chǔ),電子政務(wù)外網(wǎng)包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施,包括眾多接入網(wǎng)絡(luò),各個(gè)子網(wǎng)絡(luò)又包括不同的應(yīng)用系統(tǒng)。只有根據(jù)這些資產(chǎn)的重要性以及它們面臨的安全威脅的不同,結(jié)構(gòu)化地劃分為安全域,才能有效地進(jìn)行安全保護(hù)。
根據(jù)政務(wù)外網(wǎng)的邏輯結(jié)構(gòu)、安全域劃分情況、面向?qū)ο蠹皯?yīng)用模式,中央網(wǎng)絡(luò)管理中心局域網(wǎng)、中央城域網(wǎng)接入節(jié)點(diǎn)單位二級(jí)網(wǎng)絡(luò)管理中心局域網(wǎng)和各省區(qū)市接入節(jié)點(diǎn)二級(jí)網(wǎng)絡(luò)管理中心局域網(wǎng),至少要達(dá)到第三級(jí)(監(jiān)督保護(hù)級(jí))的要求。對(duì)于這類的安全域,將依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),并接受信息安全監(jiān)管職能部門的監(jiān)督、檢查。
中央城域網(wǎng)接入節(jié)點(diǎn)單位接入網(wǎng)絡(luò)和各省區(qū)市接入節(jié)點(diǎn)單位接入網(wǎng)絡(luò)至少要達(dá)到第二級(jí)(指導(dǎo)保護(hù)級(jí))的要求。對(duì)于這類安全域,將在信息安全監(jiān)管職能部門的指導(dǎo)下,依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。
⒊風(fēng)險(xiǎn)評(píng)估
在政務(wù)外網(wǎng)(一期工程)安全保障體系規(guī)劃和設(shè)計(jì)時(shí),國(guó)家信息中心網(wǎng)絡(luò)安全部將風(fēng)險(xiǎn)管理的思想引入到政務(wù)外網(wǎng)的建設(shè)中,獲取規(guī)劃和設(shè)計(jì)階段的政務(wù)外網(wǎng)的安全風(fēng)險(xiǎn),提出并確定外網(wǎng)安全建設(shè)的要求,改進(jìn)規(guī)劃中的不合理因素,為后續(xù)的網(wǎng)絡(luò)建設(shè)的實(shí)施提供安全建設(shè)依據(jù)。此次事前評(píng)估范圍主要是政務(wù)外網(wǎng)一期工程第一階段工程初步設(shè)計(jì)規(guī)劃方案,評(píng)估著重考慮外網(wǎng)規(guī)劃中系統(tǒng)平臺(tái)的安全性。為支持整個(gè)風(fēng)險(xiǎn)評(píng)估過程的推進(jìn),國(guó)家信息中心網(wǎng)絡(luò)安全部成立了由領(lǐng)導(dǎo)層、相關(guān)業(yè)務(wù)骨干、外網(wǎng)相關(guān)人員等組成的風(fēng)險(xiǎn)評(píng)估小組。評(píng)估結(jié)束后,針對(duì)不可接受的風(fēng)險(xiǎn),風(fēng)險(xiǎn)評(píng)估小組對(duì)規(guī)劃和設(shè)計(jì)做了相應(yīng)的修改,很好地兼顧了風(fēng)險(xiǎn)與成本的平衡。
五、結(jié)語
根據(jù)政務(wù)外網(wǎng)(一期工程)安全保障體系整體規(guī)劃和一期工程建設(shè)進(jìn)度安排,政務(wù)外網(wǎng)中央節(jié)點(diǎn)安全保障體系已初步建成。通過幾個(gè)月的試運(yùn)行,整個(gè)政務(wù)外網(wǎng)安全保障體系運(yùn)轉(zhuǎn)良好,初步達(dá)到了預(yù)期的設(shè)計(jì)目標(biāo)。下一步的工作重點(diǎn)將是:進(jìn)一步完善政務(wù)外網(wǎng)安全保障體系,建立健全政務(wù)外網(wǎng)安全管理機(jī)制,明確各級(jí)網(wǎng)管部門安全管理責(zé)任;開展信息安全風(fēng)險(xiǎn)評(píng)估工作,按照信息安全等級(jí)保護(hù)的要求,對(duì)全網(wǎng)分級(jí)、分層、分域確定信息安全等級(jí);從技術(shù)和管理兩方面入手,不斷完善信息安全保障體系,初步建成統(tǒng)一的政務(wù)外網(wǎng)信任體系,形成面向外網(wǎng)用戶的服務(wù)能力。
作者簡(jiǎn)介:
