网络安全防护体系范文
时间:2023-09-15 11:15:30
网络安全防护体系篇1
[关键词] 网络;安全威胁;中国石油;网络安全域
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035
[中图分类号] TP343.08 [文献标识码] A [文章编号] 1673 - 0194(2012)10- 0062- 02
1 引 言
随着市场竞争的日益加剧,业务灵活性、成本控制成为企业经营者最关心的问题,弹性灵活的业务流程需求日益加强,办公自动化、生产上网、业务上网、远程办公等业务模式不断出现,促使企业加快信息网络的建设。越来越多的企业核心业务、数据上网,一个稳定安全的企业信息网络已成为企业正常运营的基本条件。同时为了规范企业治理,国家监管部门对企业的内控管理提出了多项规范要求,包括 IT 数据、流程、应用和基础结构的完整性、可用性和准确性等方面。
然而信息网络面临的安全威胁与日俱增,安全攻击渐渐向有组织、有目的、趋利化方向发展,网络病毒、漏洞依然泛滥,同时信息技术的不断更新,信息安全面临的挑战不断增加。特别是云的应用,云环境下的数据安全、应用安全、虚拟化安全是信息安全面临的主要问题。如何构建灵活有效的企业网络安全防护体系,满足业务发展的需要,已成为企业信息化建设、甚至是企业业务发展必须要考虑的问题。
2 大型企业网络面临的安全威胁
赛门铁克的《2011 安全状况调查报告》显示:29%的企业定期遭受网络攻击,71% 的企业在过去的一年里遭受过网络攻击。大型企业由于地域跨度大,信息系统多,受攻击面广等特点,更是成为被攻击的首选目标。
大型企业网络应用存在的安全威胁主要包括:(1)内网应用不规范。企业网络行为不加限制,P2P下载等信息占据大量的网络带宽,同时也不可避免地将互联网中的大量病毒、木马等有害信息传播到内网,对内网应用系统安全构成威胁。(2)网络接入控制不严。网络准入设施及制度的缺失,任何人都可以随时、随地插线上网,极易带来病毒、木马等,也很容易造成身份假冒、信息窃取、信息丢失等事件。(3)VPN系统安全措施不全。企业中的VPN系统,特别是二级单位自建的VPN系统,安全防护与审计能力不高,存在管理和控制不完善,且存在非系统员工用户,行为难以监管和约束。(4)卫星信号易泄密。卫星通信方便灵活,通信范围广,不受距离和地域限制,许多在僻远地区作业的一线生产单位,通过卫星系统传递生产、现场视频等信息。但由于无线信号在自由空间中传输,容易被截获。(5)无线网络安全风险较大。无线接入由于灵活方便,常在局域网络中使用,但是存在容易侵入、未经授权使用服务、地址欺骗和会话拦截、流量侦听等安全风险。(6)生产网隔离不彻底。企业中生产网络与管理网络尚没有明确的隔离规范,大多数二级单位采用防火墙逻辑隔离,有些单位防护策略制定不严格,导致生产网被来自管理网络的病毒感染。
3 大型企业网络安全防护体系建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,将企业信息安全保障体系建设列为信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。中国石油网络安全域建设是其重要建设内容。
中国石油网络分为专网、内网与外网3类。其中专网承载与实时生产或决策相关的信息系统,是相对封闭、有隔离的专用网络。内网是通过租用国内数据链路,承载对内服务业务信息系统的网络,与外网逻辑隔离。外网是实现对外提供服务和应用的网络,与互联网相连(见图1)。
为了构建安全可靠的中国石油网络安全架构,中国石油通过划分中国石油网络安全域,明确安全责任和防护标准,采取分层的防护措施来提高整体网络的安全性,同时,为安全事件追溯提供必要的技术手段。网络安全域实施项目按照先边界安全加固、后深入内部防护的指导思想,将项目分为:广域网边界防护、广域网域间与数据中心防护、广域网域内防护3部分。
广域网边界防护子项目主要包括数据中心边界防护和区域网络中心边界防护。数据中心边界防护设计主要是保障集团公司统一规划应用系统的安全、可靠运行。区域网络中心边界安全防护在保障各区域内员工访问互联网的同时,还需保障部分自建应用系统的正常运行。现中石油在全国范围内建立和完善16个互联网出口的安全防护,所有单位均通过16个互联网出口对外联系,规划DMZ,制定统一的策略,对外服务应用统一部署DMZ,内网与外网逻辑隔离,内网员工能正常收发邮件、浏览网页,部分功能受限。
域间防护方案主要遵循 “纵深防护,保护核心”主体思想,安全防护针对各专网与内网接入点进行部署,并根据其在网络层面由下至上的分布,保护策略强度依次由弱至强。数据中心安全防护按照数据中心业务系统的现状和定级情况,将数据中心划分为4个安全区域,分别是核心网络、二级系统区、三级系统区、网络管理区;通过完善数据中心核心网络与广域网边界,二级系统、三级系统、网络管理区与核心区边界,二、三级系统区内部各信息系统间的边界防护,构成数据中心纵深防御的体系,提升整体安全防护水平。
域内防护是指分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准,实现实名制上网。中国石油以现有远程接入控制系统用户管理模式为基础,并通过完善现有SSL VPN系统、增加IPSEC远程接入方式,为出差员工、分支机构接入提供安全的接入环境。实名制访问互联网主要以用户身份与自然人一一对应关系为基础,实现用户互联网访问、安全设备管理准入及授权控制、实名审计;以部署设备证书为基础,实现数据中心对外提供服务的信息系统服务器网络身份真实可靠,从而确保区域网络中心、数据中心互联网接入的安全性。
4 结束语
一个稳定安全的企业信息网络已成为企业正常运营的基本条件,然而信息网络的安全威胁日益加剧,企业网络安全防护体系是否合理有效一直困扰着信息化主管部门。通过借鉴中国石油网络安全域建设,系统地解决网络安全问题,供其他企业参考。
主要参考文献
[1]王拥军. 浅谈企业网络安全防护体系的建设 [J]. 信息安全与通信保密,2011(12).
[2]刘希俭.中国石油信息化管理[M].北京:石油工业出版社,2008:210-250.
网络安全防护体系篇2
[关键词] 网络安全 关键技术 铁路网 网络管理 防护体系
一、引言
铁路系统的计算机应用和信息化建设已具规模,TMIS、客票、调度、集装箱和物资等管理信息系统相继建成并已投入使用。在铁道部、铁路局、基层站段三级网络的支撑下,以TMIS和电子政务应用为核心的各项计算机应用系统已在铁路运输生产中发挥着越来越重要的作用。对于现代营销、现代物流和电子商务等应用系统,仅具有连通功能的网络是无法满足其要求的,针对大型企业网络安全方面存在的漏洞和隐患,利用简单的技术防范措施已无法解决。必须调整网络结构,克服平面网络结构先天性的抵御攻击能力差、控制乏力的弱点,并采用先进的技术、加强基础设施和有效的网络管理,形成保证网络和信息安全的纵深立体防御体系。
二、建立计算机网络安全体系
对于网络而言,没有绝对保证的信息安全,只有根据网络自身特点,合理运用网络安全技术,建立适应性的安全运行机制,才能从技术上最大限度地保证信息安全。
1.网络安全关键技术
由防火墙(Firewall)、PKI(Public Key Infrastructure)公钥安全体系、虚拟局域网(VLAN)和物理隔离与信息交换系统等构成了网络安全的关键技术。
2.创建铁路网络立体安全防护体系
网络安全防护体系是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、网络反病毒等多个安全组件共同组成的,每个组件只能完成其中部分功能。
(1)路由器。路由器是架构网络的第一层设备,也是网络入侵者的首要攻击目标,因此路由器必须安装必要的过滤规则,滤掉被屏蔽的IP地址和服务。例如,我们首先屏蔽所有的IP地址,然后有选择的放行一些地址进入我们的网络。路由器也可以过滤服务协议,允许需要的协议通过,而屏蔽其他有安全隐患的协议。
(2)入侵监测系统IDS。入侵监测系统是被动的,它监测你的网络上所有的包(packets)。其目的就是捕捉危险或有恶意的动作,并及时发出警告信息。它是按用户指定的规则运行的,它的功能和防火墙有很大的区别,它是对端口进行监测、扫描等。入侵检测系统是立体安全防御体系中日益被普遍采用的成分,它能识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息,帮助系统移植。
(3)防火墙。防火强可防止“黑客”进入网络的防御体系,可以限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。同时可利用其产品的安全机制建立VPN(Virtual Private Networks)。通过VPN,能够更安全地从异地联入内部网络。
(4)物理隔离与信息交换系统(网闸)。铁路内部网是铁路运输系统的指挥中枢,调度指令必须实时、准确下达。内部网调度服务的实时可用性成为铁路信息系统最为核心的安全需求。因此不能因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性。物理隔离与信息交换系统是运用物理隔离网络安全技术设计的安全隔离系统,它保证内部网络与不可信网络物理隔断,能够阻止各种已知和未知的网络层和操作系统层攻击,提供比防火墙、入侵检测等技术更好的安全性能,既保证了物理的隔离,又实现了在线实时访问不可信网络所必需的数据交换。 转贴于
(5)交换机。目前局域网大多采用以交换机为中心、路由器为边界的网络格局。核心交换机最关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。还有一项非常关键的工作就是划分VLAN。
(6)应用系统的认证和授权支持。建立应用系统提升安全性的支撑平台,实现应用系统保护的功能包括以下几个方面:
①应用系统网络访问漏洞控制。应用系统软件要求按安全软件标准开发,在输入级、对话路径级和事务处理三级做到无漏洞;集成的系统要具有良好的恢复能力,这样才能保证内部生产网中的系统避免因受攻击而导致的瘫痪、数据破坏或丢失。
②数字签名与认证。应用系统须利用CA提供的数字证书进行应用级的身份认证,对文件和数据进行数字签名和认证,保证文件和数据的完整性以及防止源发送者抵赖。
③数据加密。对重要的数据进行加密存储。
(7)操作系统的安全。保证操作系统的安全包括以下内容:
①操作系统的裁剪。不安装或删除不必要使用的系统组件。
②操作系统服务裁剪。关闭所有不使用的服务和端口,并清除不使用的磁盘文件。
③操作系统漏洞控制。在内部网中建立操作系统漏洞管理服务器,我们在内部网中安装了微软WSUS Server及第三方安全管理软件(BES),对网络内所有联网主机的操作系统进行监控,一旦发现存在系统漏洞或者安全隐患,立即强制其安装相应的系统补丁或者组件。
(8)病毒防护。网络病毒网关与网络版的查杀病毒软件(McAfee EPO + Clients)相结合,构成了较为完整的病毒防护体系,能有效地控制病毒的传播,保证网络的安全稳定。
三、计算机网络安全管理
有效的技术手段只是网络安全的基础工作,但仅靠网络安全技术是绝对无法确保信息安全的。严格的计算机网络安全管理制度,才能充分发挥网络安全技术的效能,才能使网络信息更加安全可靠。
四、结束语
目前计算机网络已经深入到铁路运输生产管理、客户服务、物流和客货运营销等各个领域。不解决安全问题,可能造成巨大的经济损失。创建铁路计算机网络安全防护体系,将是铁路信息化建设的有力保障。但建立计算机信息安全体系是一个复杂而又庞大的系统工程,涉及的问题也比较多。只有继续对计算机网络安全体系进行深入的研究和探讨,才能更好的实现网络安全,保证中国铁路信息化建设的正常进行。
参考文献:
[1]邱雪松:网络管理体系结构.北京邮电大学,1999.7
[2]蒋苹:计算机信息系统安全体系设计.计算机工程与科学,2003,01
[3]杨义先:网络安全理论与技术.人民邮电出版社,2003,10
网络安全防护体系篇3
关键词:局域网;诱因;办法
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2013) 02-0000-02
随着社会前进的步伐,计算机网络诞生了。它的诞生彻底改变了人们的生活,也把社会推向了一个新的高潮。并且现在它在人们生活中占据了越来越重要的位置。但同时它的存在也给社会带来了更大的挑战。尤其是在局域网络中出现的不安全因子倍受关注。而怎样让这些不安全因子不再成为障碍物就成了众人不断探索的问题。
1 概述局域网
所谓局域网(Local Area Network,LAN)是指在一个局部的地理范围内(如一个学校、工厂和机关内),一般是方圆几千米以内,将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网[1]。一般来说,只有无线局域网与有线局域网是它的分集。局域网通常是利用专门的数据电路或者是通信网,同其它的局域网或者处理中心等等进行衔接,从而形成一个覆盖面较宽的系统。通常情况下,它是由本系统内众多的计算机组合而成的非开放性的网络。在局域网内,进行文件管理、扫描仪的共享、日程安排、电子邮件等等操作不是难题。而网络拓扑、介质访问的控制方法以及传输介质是局域网络的非常重要的技术决定要素。之所以局域网受到大众的喜爱,不仅仅是因为它价格便宜,能够活跃在较小的地理范围中,关键是它对数据的传输率很高,传输时延误的时间小,并且误码率很低,对各大企业来说,是个很好的选择。
2 致使局域网络存在安全隐患的诱因
造成网络存在安全隐患的内因与外因,只要人们稍微不注意便会如雨后般春笋似的出现。
2.1 内部局域网络相关机制不完善
曾有一份关于利用计算机进行犯罪的调查报告称,网络安全的犯罪有83%的是由于内部的人员勾结外面的人所犯下的,并且这数值一直呈居高不下的趋势[2]。在内部局域网络中,由于相关的管理机制的缺乏,再加上网络管理人员对网络的安全管理的严重忽视,操作极不规范,甚至其他人员的非法进入等等,从而引起失密等事件的发生。
2.2 网络设备及运行环境的好坏对网络是否安全也产生很大的影响
往常,很少有人能够注意到网络设备、自然环境等对网络的影响。就因为这样才会造成许多不必要的浪费与损失。更为严重的是,这种破坏极有可能导致网络系统成为一摊烂泥。再有就是因为被放置在开放性的位置的某些通信的设备等没有得到较好的保护,致使泄密事件发生的可能性得到大幅提高,从而也让网络安全系数无法保持在较高的位置。
2.3 快速更新的各种网络系统成了引起网络安全系数低的又一诱因
随着快节奏的生活,各种网络系统的更新速度也是相当的惊人。而越新的产品,它的功能性就强,客户们也会觉得更加好上手。操作系统、软件等无法避免地让安全漏洞存活于其中。只要漏洞不显现,人们就会任其存在。只有待其如刺猬般扎人,大家才会醒悟,然后想办法去弥补,去修复。而往往到了那个时候,网络早已受到了或轻或重的不可挽回的损伤。
3 采用良好办法,成就安全网络防护体系的构建
要构建强大的安全网络防护系统并非易事,还需从导致其产生不安全隐患的诱因来着手解决。
3.1 加强局域网络管理
局域网络管理存在重大缺陷,对此我们必须做出相应的调整。
(1)要有相应的法律来提高人们的意识。有法律的约束,就可尽量避免人为因素带来的影响。(2)对于单位内的员工,让其提高意识。必须加大对安全网络管理的宣传力度,并且对员工进行必要的培训,以使员工掌握正确的操作方法,减少不规范操作。(3)加大对服务器等各大网络设备的管理与监测。应该明文规定对于网络中的重要物件,如磁带等等物件,其他人不可接触,只能由专门人士保管或销毁。只有确立安全负责制,对设备的监管到位,才能降低安全隐患的存在。(4)对于重要物件,实行加密。对物件进行加密,比如路由器等,可以减少数据泄露的可能,降低危险度。(5)建立工作档案。采用工作记录制,对所有行为人都进行详细的记录并且经常性给予抽查,这样做可达到遇到问题能找得人的目的。
3.2 针对存有安全漏洞的网络系统必须采取有效的方法来规避
网络系统的漏洞无所不在,要想尽量让它不带来麻烦,就必须做些工作。
(1)安装良好的杀毒软件。网络病毒几乎每天都有出新。它能够经过多种途径来袭,就像瘟疫一样来得快,常让人措手不及。可以它的杀伤力有多大。为了减少它引起的麻烦,通常我们都是安装一个较好的杀毒软件,并且开启实时的监控功能,让病毒无懈可击。但是在Windows下单一运行的杀毒软件无法在被破坏了的系统中运行。因此,最好使用在同一操作系统中能进行双模式杀毒的跨平台双模式杀毒[3]。(2)相关软件不能滞后,要随时进行更新。现在我们都知道无论是操作系统,亦或是服务器,每天都被那些不安全的因素包围着,随时它们都有被侵袭的危险。因此,倘若我们不时刻关注与其相关的软件,并随时进行更新、升级,那么它们被安全漏洞恶意利用的命运就无法摆脱。(3)对网络的安全问题进行检测。拥有良好的检测系统对保证网络的安全会起到有效的作用。通常我们把这种系统叫做入侵检测系统,它是一种能对计算机进行主动防御的软件,能够回应各种网络访问,对那些应用系统如财物软件等起到不错的保护作用。它通常是通过对计算机网络系统的检测来发现系统中所存在的各种对网络安全构成威胁的漏洞,然后提出相关的拯救办法,减少黑客对数据的侵袭。(4)在进行数据的传输过程中,要保证其封闭性。一般情况下,我们都是使用很明显的传送方式来传输数据,再加上对其的验证阵容不够强大,这就为那些有所企图的黑客提供了方便。为了保证数据的安全性,我们需要对传输数据进行适当的加密,加强其验证功能,这样就可以较好地处于一种完全地带,同时也可以让传输速度得到提高。
3.3 应用防火墙技术等来加强网络安全性
众所周知,应用访问控制等技术能更好地保障局域网络的安全系数。
(1)充分利用虚拟局域网(VLAN)手段。这种手段能够得到很好发展,是因为它能够使网络流量得到良好控制。而且一个子网的攻破并不能让所有的子网都受到影响,能有效地控制黑客对子网的访问。(2)设立防火墙。防火墙的利用现在是非常普遍的事情,它的作用相等同于网络系统的入口的门卫,因为它能够有效地建立监控系统,对各种非法的访问进行阻断,从而形成一个有效的屏障,同时防火墙还可有效地过滤出现在网络中的各种数据包,对网络中的访问行为进行有效的管理,还可有效地堵截网络中的一些访问行为,对通过了防火墙的信息进行详细记录,对网络中的攻击行为发出警告与定期的检查[4]。从而对外部的侵入与内部重要信息的泄露起到防控作用。对防火墙的使用,我们都要遵循一个基本的守则:通常情况下实行禁止,除非它已明确允许操作。(3)实行身份验证制,保证网络安全。为了控制访问权限,减少不必要的浪费与损失,对内部使用用户都必须进行身份验证,这样才能更好地降低网络安全危险系数,让非法分子没有可乘之机。
4 总结
局域网的安全问题越来越受到广大人们的关注。对我们来说,保障它的足够安全是件不。并且无论我们做什么,只是要为了提高局域网络的安全,降低它的危险度,那都必须得让网络效率成为牺牲品,还要以加大各种投入作为代价。在如今的形势下,我们只有从人员管理与各种技术管理及技术的应用方面等来进行综合考衡,以求能够有效地构建一个良好的局域网络防护体系,创造一个和谐的网络环境。
参考文献:
[1]胡道元.计算机局域网[M].北京:清华大学出版社,2010,11.
[2]宋莹莹.构建安全的局域网策略[J].电脑知识与技术,2009(16):49.
[3]谭再峰,刘彩玉.企业级局域网网络安全技术探讨[J].黑龙江科技信息.2010(30):95.
[4]孙立乔,黄振宁,宋天真.浅析如何加强局域网络信息安全的建设[J].中国外资,2011(8):146.
网络安全防护体系篇4
【关键词】网络安全;动态防护体系;设计;实现
在信息高速发展的今天,全球化的网络结构已经打破了传统的地域限制,世界各地应用网络越来越广泛。但是随着通过对网络内部数据访问的不断增加,其不稳定因素也随之增加,为了保障网络环境的动态安全,应采用基于动态监测的策略联动响应技术,实现在复杂网络环境下的网络交换设备的实时主动防御。
1 动态安全防护机理分析
要实现网络交换设备的动态安全防护,必须能够在保证设备本身安全的前提下对进入设备的数据流进行即时检测和行为分析,根据分析结果匹配相应的响应策略,并实时将策略应用于网络交换设备访问控制硬件,达到阻断后续攻击、保护网络交换设备正常业务运行的目的。
2 设计与实现
2.1 安全主动防御模型设计
网络安全主动防御通过采用积极主动的网络安全防御手段,和传统的静态安全防御手段结合,构筑安全的防御体系模型。网络安全主动防御模型是一个可扩展的模型,由管理、策略和技术三个层次组成:
1)管理层是整个安全模型的核心,通过合理的组织体系、规章制度和措施,把具有信息安全防御功能的软硬件设施和使用信息的人整合在一起,确保整个系统达到预定程度的信息安全。
2)策略层是整个网络安全防御的基础,通过安全策略来融合各种安全技术达到网络安全最大化。
3)技术层主要包括监测、预警、保护、检测、响应。
监测是通过一定的手段和方法发现系统或网络潜在的隐患,防患于未然。预警是对可能发生的网络攻击给出预先的警告,主要是通过收集和分析从开放信息资源搜集而获得的数据来判断是否有入侵倾向和潜在的威胁。保护是指根据数据流的行为分析结果所提前采取的技术防护手段。检测是指对系统当前运行状态或网络资源进行实时检测,及时发现威胁系统安全的入侵者。响应是对危及网络交换设备安全的事件和行为做出反应,根据检测结果分别采用不同的响应策略。
这几个部分相辅相成,相互依托,共同构建集主动、被动防御于一体的网络交换设备安全立体防护模型。
网络安全预警模块通过网络主动扫描与探测技术,实现网络信息的主动获取,建立起相对于攻击者的信息优势。网络安全预警模块根据数据流行为分析的具体结果,针对有安全风险的设备采用通用的网络交换设备扫描与探测技术进行实时监控,随时掌握这些设备的当前状态信息,并根据其状态的变化实时更新网络安全防护系统的相关表项,使网络安全防护系统进行模式匹配时所使用的规则符合当前网络中的实际情况,有效地提升系统的安全防护能力和效率。
安全管理平台主要由安全策略表、日志报警管理和用户操作管理组成。其中,安全策略表是网络数据流处理的依据,数据流访问控制模块和行为安全分析模块根据安全策略表中定义的规则对匹配的数据流进行相应的控制和处理。日志报警管理通过查询数据流行为安全分析、网络安全预警等模块产生的工作日志,对其内容进行动态监视,根据预设报警级别和报警方式产生相应的报警信息并通知系统维护人员进行相应处理。用户操作管理实时接收用户输入命令,完成命令解释,实现对安全防护系统的相关查询和配置管理。
2.2 动态策略联动响应设计
(1)数据流分类
网络数据流进入时,首先根据访问控制规则对数据流进行过滤,过滤通过的报文在向上递交的同时被镜像到数据流识别及分类处理模块,该模块首先通过源IP、目的IP、源端口、目的端口、协议类型五元组对数据流进行分类,然后根据流识别数据库的预设规则确定数据流的分类结果。在分类处理过程中,为提高处理效率,首先将五维分类查找问题分解降维为二维问题,利用成熟的二维IP分类算法进行初步分类。由于协议类型仅限于几个值,所以可以压缩所有分类规则中协议类型字段,将其由8位压缩为3位,节省数据库空间。由于规则实际所用到的端口号为0-65535中极少一部分,协议值和端口值不同情况的组合数目远远小于最大理论值。
(2)深度特征匹配
数据流在进行分类识别后,送入并行检测器进行深度特征匹配,匹配结果送入行为安全分析模块进行综合分析和判断,并根据具体分析结果进行相应的策略响应。检测器通过预设在数据库中的攻击流检测规则对应用报文中的多个相关字段进行特征检查和匹配,最终确定该数据流的属性。
为了保证检测器处理入侵信息的完整性,每个检测器只负责某一类(或几类)具体应用网络流量的检测,检测器之间采用基于应用的负载均衡算法,该算法根据各检测器的当前负载情况和可用性状况来动态调节各检测器负载,具体原则为:同一类型应用报文分配到同一类检测器,同类型应用报文基于负载最小优先原则进行检测器分配。
(3)策略联动响应
检测到网络攻击时,数据流行为安全分析模块根据攻击的危险等级采取相应的攻击响应机制,对普通危险等级的攻击只报告和记录攻击事件,对高危险的攻击使用主动实时响应机制。主动响应机制能有效提高系统的防御能力,为了避免产生误联动,主要是为一些关键的敏感业务流提供更高等级的保护。主动响应机制将与安全策略直接联动,阻止信息流穿越网络边界,切断恶意的网络连接操作。
3 应用验证
通过设计一台基于动态策略联动响应的网络安全防护技术的安全网络交换设备来验证该技术在实际网络应用环境中的安全防护能力。安全网络交换设备的硬件逻辑由数据处理模块,安全监测模块和管理控制模块组成。
该应用验证环境在设计上的主要特点在于:
1)该系统以可自主控制的高性能网络交换芯片为硬件核心,并针对网络攻击特点对网络交换设备系统软件进行修改和完善,从根本上保证了网络交换设备本身的安全性。
2)安全监测模块与网络交换设备系统软件相对独立,保证了网络交换设备在遭受攻击时安全监测和处理任务不受影响。
3)安全监测模块可根据实时网络数据行为分析结果对网络交换设备硬件进行实时安全防护设置,实现动态策略联动应对。
4 结论
为了解决网络交换设备的动态安全问题,采用基于动态监测的策略联动响应技术,可实现在复杂网络环境下的网络交换设备的实时主动防御。通过Snort等常用攻击软件对安全网络交换设备进行测试,结果表明,该安全网络交换设备能够有效地抗击包括泛洪攻击、IP碎片、拒绝服务攻击等多种网络攻击形式,保证网络交换设备的正常业务不受影响,同时能够正确产生安全日志和相应的报警信息。并且基于该技术实现的网络交换设备已应形成产品,实际使用情况良好。
参考文献:
[1] 刘勇;常国岑;王晓辉.基于联动机制的网络安全综合管理系统[J].计算机工程.2003年17期
网络安全防护体系篇5
【关键词】:计算机通信技术;安全防护;设计;应用
自从进入二十一世纪,计算机网络技术得以成熟发展,并且逐渐的普及于人们的社会生活之中,因为其独特的优势特色,通过对其的使用,不论是各行各业的人们都对其产生了严重的依赖性,所以有更多的机密性文件以及各种各样的信息遍布于计算机之中,其安全性就成为了最受关注的话题,所以为了能够保障计算机通信网络的安全,就需要采取积极的应对措施,建立并且完善计算机通信网络安全防护体系的设计,并且让其在计算机领域得以运用,从而有效的保障计算机通信网络安全性。本文针对计算机通信网络之中所存在的问题,对其安全防护体系的设计以及应用进行探讨分析。
一、 计算机通信网络存在的安全问题
(一) 安全问题之病毒传播
在计算机通信网络之中,其病毒的传播是最为常见的危害计算机的安全性问题。计算机的病毒就是通过计算机本身所具有的软件或者硬件存在的缺陷性问题,那些已经被感染的计算机就会向那些正常运行的计算机发出一系列的破坏数据的指令以及程序,最终导致计算机连带性质的病毒感染。这样的病毒传播,不仅可以将信息的完整性以及安全性得以威胁,还会更深层次的导致计算机信息系统的整体瘫痪,从而计算机就不能够正常的运行。而且计算机所带有的病毒不是单一性质的,以多种多样的形式而存在,而且病毒具有破坏性、传播性、隐蔽性以及潜伏性等破坏性特点,如果计算机因为病毒对其的感染,就会在很大的程度上致使出现计算机信息的存储容量减少、文件的破坏以及经丢失甚至于没有办法将其正常的读取等多种问题的干扰。
(二)安全问题之使用人员操作不当
在计算机通信网络的运行之中,他是属于机器的形式而存在,所以当使用他们的人类在使用的过程中,出现不正当使用以及没有按照计算机的常规规律使用的时候,就会导致计算机出现安全方面的问题。比如我们最为常见的就是:在使用计算机的过程之中,突然停电,从而使得计算机没有在正常的情况下关机,将会面临着没有来得及保存的数据而突然丢失的风险;如果持续的使用计算机,使得计算机的通信服务器长时间处于高温状态下,就会在很大的程度上影响到存储数据的安全性问题等。
(三)安全问题之黑客攻击
对于计算机而言,黑客的攻击对于计算机安全的影响是最为严重的。关于黑客对计算机的攻击所采取的方式主要有主动攻击以及被动攻击两种形式存在。关于主动攻击,就是黑客自己有目的性以及有选择性,将自己想要攻击的计算机进行明确的攻击,从而将所攻击的计算机的程序进行破坏,并且总重攫取自己想要获得的信息;关于被动攻击,也就是在其攻击的时候不会将网络的信息进行破坏,但是会在自己所攻击的计算机之中植入自己想要能获得的信息的程序,从而就可以在任何的时候对那台被攻击的计算机进行信息的监控以及获取。所以对于计算机存在的黑客对其进行的攻击行为,对于其信息的保存是非常不利的,所以将会面临着严重的各种信息被被人窥视以及窃取的风险。
二、 计算机通信网络安全防护体系的设计
(一) 安全防护体系之虚拟专用技术的设计
所谓的虚拟专用技术,就是能够将计算机所要传达的信息进行加密处理,从而不利于黑客对于信息的窃取,或者是降低其窃取的速度。这样的技术设计是与身份的认证技术、隧道技术以及密匙管理的技术和解密的技术所综合开发的。这样的设计具有这样的系统结构:VPN的用户为了建立安全的隧道,就需要对安全隧道的发送请求的信息,直到其接受这样的请求之后,才可以在其管理的中心建立起安全的隧道,从而保障信息在安全的通道之下运行。对于密匙的管理需要在密匙的分配中心进行,管理的中心还需要向用户的代替提供身份的信息验证。
(二) 安全防护体系之防火墙技术的设计
对于信息安全问题的解决,防火墙是最为普遍使用的针对于解决信息的安全问题的技术,是对计算机网络的内部所流出的IP包的分析、检查以及过滤,从而将具有危险性的地址采取屏蔽的措施,最终保障通信体系的顺利运行。
(三) 安全防护体系之访问控制技术的设计
所谓的访问控制技术的设计,是对具有限制性资源的访问的权限的获取的需求,从而就可以在很大的程度上尽可能的阻止资源的恶意性质的访问。访问控制技术主要有限权控制、目录级安全控制以及入网访问控制等多种控制技术,共同为了维护计算机的网络安全。
三、计算机通信网络安全防护体系的应用
计算机通信技术不仅可以保障互联网技术在其中的应用,而且可以实现多媒体的应用,还可以将远程的通信技术得以实现,最重要的是可以将账户进行更加安全的管理,因此具有极大的方便效果以及安全特性,更好的服务于人们的生活以及确保人们的信息在安全的环境之中进行流通。
结语:
总的来说,现如今经济社会的快速发展,给人们带来更加便捷的计算机技术的同时,有人存在着问题需要解决,所以处于安全性的考虑,建设以及完善安全防护的体系成为必要的选择,能够在很大的程度上促进人们对于计算机的信赖度,并且可以将其安全防护体系应用于更加广阔的空间之中。计算机通信网络作为新时代的产生,也已经成为了新时代人们的宠儿,不仅帮助着人们的生活,更加服务于人们的生活。
参考文献;
[1]胡雅平.信息时代计算机通信技术的应用及安全防护策略[J].生产与安全技术,2016(3).
[2]李达.通信计算机信息安全问题及解决对策[J].信息通信,2016(4).
[3]杨宇.计算机网络安全存在的问题和解决对策分析[J].电脑知识与技术,2014(11):71-72.
网络安全防护体系篇6
关键词: 《网络安全与病毒防护》 项目化教学体系构建 实施研究
1.引言
近年来国内高职教育的定位日渐清晰,培养“高素质、高技能”的应用型人才成为高职教育长期面临的一项重要任务。随着对“工学结合”人才培养模式的探索,项目驱动教学法的引入给高职教育带来新的活力,同时也使职业教育者找到提高教学质量的有力抓手。
项目驱动教学法是指师生共同围绕一个完整的项目而实施的教学活动,通过组织学生参与项目的设计,由教师对项目分解并示范,然后由学生对该项目进行讨论,协作学习的一种新的教学方法。它注重培养学生的综合应用能力,让学生接触到实际工作内容。
2.《网络安全与病毒防护》课程项目化教学存在的问题
项目教学作为主体教学模式,不仅学生认可度高,项目驱动教学法的架构也基本形成。但是,项目驱动教学法在教学实践中依然暴露出一些问题:(1)教学项目设计缺少系统性,项目驱动教学法成败的关键是“项目化”的课程标准,教学项目应以教学内容为基础进行系统性设计;(2)项目教学的资源严重不足,项目驱动教学法还处在推广阶段,大量课程还处在资源少甚至空白的状态,急需加快建设步伐;(3)项目实施的外部条件有待改善,项目驱动教学法强调的是学生参与实践,然而各学校的教学条件不足,使项目驱动教学法的实施受到了很多束缚;(4)网络安全与病毒防护课程应用项目驱动法教学的研究还处在较低的水平。
3.《网络安全与病毒防护》课程项目化教学的研究内容、目标、要解决的问题和主要特色
3.1研究内容:(1)调查研究市场对网络安全人才的用人标准,从而进行课程改革;(2)研究基于技能培养要求的课程标准体系,重点研究课程教学标准;(3)编写基于项目驱动教学法的教材、电子教案、课件;(4)探索项目驱动教学法在课程中的应用,重点研究项目驱动式教学法在课程教学过程中的方法和手段;(5)研究影响项目驱动教学法在课程教学中的影响因素;(6)企业工程师参与教学的实施与管理机制;(7)具体的学生评价考核体系。
3.2研究目标:(1)通过课题的研究,形成完善的课程教学标准;(2)通过课题的研究,形成一整套项目化课程教学资料;(3)通过课题的研究,明确项目驱动式教学法在课程教学中课堂的组织形式;(4)通过课题的研究,形成项目驱动式教学法应用效果的理论研究成果;(5)通过课题的研究,形成完整的针对具体课程的校企合作人才培养方案。
3.3要解决的问题:(1)编写的《网络安全与病毒防护》要基于真实工作情境的实训项目及项目化教程、电子教案、课件;(2)项目驱动式教学法在《网络安全与病毒防护》课程中课堂的组织形式和一般规律,以及如何应用到其他课程的方法;(3)项目驱动式教学法应用效果及影响因素的理论研究;(4)校企合作课程教学模式的创建。
3.4研究的主要特色:(1)借鉴国内其他学者就项目驱动教学法的理论性研究,这里的研究侧重应用性,强调项目驱动教学法与课程教学的实践结合,有利于提高教学的社会效率,使得研究更具有应用价值;(2)研究利用合作企业和学校实训条件开发真实的实训教学项目,使学生在真实的情境中学习知识,培养技能;(3)项目驱动式教学法应用于课程教学,改变了现有的教学状况,增强了教学效果;(4)针对具体课程进行深度校企合作,培养高素质高技能的信息安全技能人才,随着合作的深入,对其他课程教学有比较大的指导意义;(5)研究的成果将首先应用于日常教学工作,促进专业教学水平的提高,课题的研究成果还将在取得经验后向学校其他课程教学推广。
4.项目化教学体系的实施与构建应取得的效果
需要对《网络安全与病毒防护》课程进行一次系统的梳理,结合教育教学实际,在校企合作背景下,构建项目化教学体系并实施。应该取得的效果主要体现在以下方面:(1)对课程教学内容进行项目化设计,使教学内容更加贴近工作实际,有助于学生学习积极性的提高,使学生“学会”即“会用”,真正成为“高素质、高技能”的应用型人才;(2)为课程建立起一整套项目驱动式教学资源,从而为学生自主学习提供有力的支持,有助于学生学习质量的提高;(3)为项目驱动性教学方法的应用提供一个参考的范例,有助于其他课程的研究开发;(4)教师通过校企合作、下企业锻炼学习,进一步提高自己对相关课程的认识和教学水平,进一步提高项目驱动法教学的应用能力;(5)学生在校内教师和企业工程师的共同指导下,提高学生的动手能力,改善学习方法;(6)某些学生直接到合作企业参加实际工作,让学生在就业前直接体验就业岗位工作,在进一步提高学生动手能力的同时,缩短学生就业后的岗位适应期。
5.项目化教学体系的构建与实施过程中需要安排的实际工作
具体为:(1)下企业考察,进行市场调研;(2)设计方案研究,搜集有关研究资料;(3)课程标准的调研与修订、实训项目开发;(4)校企合作教材、电子教案、课件等教学资源建设;(5)选派专业教师参加企业实践,提升教师实践技能;(6)组织部分学生下企业实习,零距离接触工作岗位;(7)课题项目成果投入教育教学实践并检验;(8)组织学生参加各级各类信息安全类技能大赛;(9)整理和分析研究资料;(10)推广应用研究成果。
6.结语
对课程教学体系进行项目化设计,使教学内容更贴近工作实际,有助于学生学习积极性的提高,使学生“学会”即“会用”,真正成为“高素质、高技能”的应用型人才。在课程中,推行项目化教学,引入实际工程项目和体验企业真实工作环境的校内外实习实训,采用“教、学、做”一体的教学方法,突出学生的实践能力培养和工程思想的建立。围绕信息安全技术应用领域的先进技术、主流产品,引导院校、教师、企业促进教产互动、校企合作,提升高职计算机网络专业学生能力素质,实现人才培养与企业需求的无缝对接。
参考文献:
[1]郭芙琴.项目教学法在高职技能型课程中的应用[J].成人教育,2011(6).
[2]马蕾.高职院校教学质量评价体系的构建[J].济南职业学院学报,2010(5).
[3]刘焱.项目教学法在高职旅游管理类专业基础课程中的设计初探——以《旅游市场营销》为例[J].广东交通职业技术学院学报,2010(2).
[4]潘文群.高职项目化教学课程的考核评定初探[J].职业教育研究,2011(12).
[5]王振伟,郭永.高职《食品理化检验》课程项目化教学特色研究[J].职业教育研究,2012(7).
网络安全防护体系篇7
信息安全的内涵随着信息技术的不断发展而得到了扩展,从原始的保密性逐渐增加了完整性、可控性及可用性等,最终形成的集攻击、防范、检测与控制、管理、评估等与一体的理论体系。传统的信息安全技术将注意力都集中在计算机系统本身的安全方面,针对单机系统环境而进行设置,不能够对计算机网络环境安全进行良好的描述,也缺乏有效应对动态安全问题的措施。随着计算机网络的不断发展与推广,互联网逐渐具备了动态变化性,而传统的静态安全模式已经不能够满足其安全要求了。在这种背景之下,信息安全体系结构的出现更好地满足了计算机网络的安全需求,因此得到了迅速的发展与推广。信息安全体系结构的思路为:通过不同安全防护因素的相互结合实现比单一防护更加有效的综合型防护屏障,这种安全防护体系结构能够更好地降低黑客对计算机网络的入侵与破坏,确保计算机网络安全。
计算机网络的信息安全体系结构的主要作用就是为信息保障、数据传递奠定坚实的基础。随着计算机网络所面临的风险与压力的不断增大,为了能够更好地确保信息安全,必须注重计算机网信息安全体系结构完整性、实用性的提高。在科技的不断发展与进步的基础之上,提出了计算机网络信息安全体系结构——WPDRRC结构,不同的字母代表不同的环节,主要包括warnin(g预警)、protect(保护)、detectio(n检测)、respons(e响应)、restor(e恢复)、counterattac(k反击)六个方面,各个环节之间由于时间关系而具有动态反馈的关系。在计算机网络的信息安全体系结构中,预警模块、保护模块与检测模块都是以预防性为主的,通过保护与检测行为对黑客入侵计算机进行较为有效的制止。当前,虽然计算机网络信息安全技术已经比较先进,但是由于计算机网络所具有的开放性,其安全性依旧是面临一定威胁的。因此,在计算机网络的信息安全体系结构中,响应模块、恢复模块与反击模块主要的作用是解决实质性的工作,对已经出现的各种安全问题进行有效地解决,确保计算机网络信息安全。
1.1warnin(g预警)整个计算机网络的信息安全体系结构中,预警模块是最为根本的所在,主要的作用是对计算机网络的信息安全进行诊断,该诊断具有预防性。同时,预警结构通过研究计算机网络的性能,提出具有科学性与合理性的评估报告。
1.2protect(保护)保护结构主要的作用是对计算机的信息安全系统提供保护,确保计算机网络在使用过程中的安全性,有效地封锁、控制外界对计算机网络的入侵及攻击行为。保护结构能够对计算机网络进行安全设置,实现对计算机网络的检查与保护,其检查与保护工作的重点内容就是网络总存在的各种可能被攻击的点或者是存在的漏洞,通过这些方式为信息数据在计算机网络中的安全、通畅应用提供条件。
1.3detectio(n检测)计算机网络的信息安全体系结构中的检查结构主要的作用是对计算机受到的各种攻击行为进行及时、准确的发觉。在整个信息安全体系结构中,检测结构具有隐蔽性,主要的目的是防止黑客发现并恶意修改信息安全体系结构中的检测模块,确保检测模块能够持续为计算机网络提供保护,同时还能够促进检测模块自身保护能力的提高。检测模块一般情况下需要与保护模块进行配合应用,从而促进计算机网络保护能力与检测能力的提高。
1.4respons(e响应)当计算机网络信息安全体系结构中出现入侵行为之后,需要及时通过冻结措施对计算机网络进行冻结,从而防止黑客的入侵行为进一个侵入到计算机网络中。同时,要通过相应的响应模块对入侵进行响应。例如,计算机网络信息安全体系结构中可以通过阻断响应系统技术实现对入侵及时、准确的响应,杜绝黑客对计算机网络更加深入的入侵行为。
1.5restor(e恢复)计算机网络信息安全体系结构中的恢复模块主要的作用是在计算机网络遭受到黑客的攻击与入侵之后,对已经损坏的信息数据等进行及时的恢复。在对其进行恢复的过程中,主要的原理为事先对计算机网络中的信息文件与数据资源进行备份工作,当其受到攻击与入侵之后通过自动恢复功能对其进行修复。
1.6counterattac(k反击)计算机网络信息安全体系结构中的反击模块具有较高的性能,主要的作用为通过标记跟踪功能对黑客的入侵与攻击进行跟踪与标记,之后对其进行反击。反击模块首先针对黑客的入侵行为进行跟踪与标记,在此基础上利用侦查系统对黑客入侵的方式、途径及黑客的地址等进行解析,保留黑客对计算机网络进行入侵的证据。与此同时,反击模块会采用一定的反击措施,对黑客的再次攻击进行有效的防范。
2计算机网络信息安全体系结构的防护分析
当前,在对计算机网络信息安全体系结构进行防护的过程中,较为常用的就是WPDRRC结构,其主要的流程包括攻击前防护、攻击中防护与攻击后防护三个方面。
2.1信息安全体系结构被攻击前防护工作在整个的计算机网络中,不同的文件有着不同的使用频率,而那些使用频率越高的文件就越容易受到黑客的攻击。因此,信息安全体系结构的被攻击前防护工作的主要内容就是对这些比较容易受到黑客攻击的文件进行保护,主要的保护方式包括防火墙、网络访问控制等。通过WPDRRC结构对其中存在的威胁因素进行明确,有针对性地进行解决措施的完善。
2.2信息安全体系结构被攻击中防护工作当计算机网络受到攻击之后,信息安全体系结构的主要防护工作为阻止正在进行中的攻击行为。WPDRRC结构能够通过对计算机网络系统文件的综合分析对正在进行中的攻击行为进行风险,同时能够对计算机网络中各个细节存在的变动进行感知,最终对黑客的攻击行为进行有效的制止。
2.3信息安全体系结构被攻击后防护工作当计算机网络受到攻击之后,信息安全体系结构主要的防护工作内容为对计算机网络中出现的破坏进行修复,为计算机网络的政策运行提供基础。同时,恢复到对计算机网络信息安全的保护中。
3计算机网络信息安全体系结构中加入人为因素
IT领域中都是以技术人员为主体来对产业雏形进行构建的,因此在IT领域中往往存在着及其重视技术的现象,主要的表现为以功能单纯而追求纵向性能的产品为代表,产品的覆盖范围限制在技术体系部分,缺乏对组织体系、管理体系等其他重要组成部分的重视。因此,只有在计算机网络信息安全体系结构中加入人为因素才具有现实意义。在计算机网络信息安全体系结构的构建过程中,应该注重以组织体系为本,以技术体系为支撑,以管理系统为保证,实现三者之间的均衡,从而真正发挥计算机网络信息安全体系结构的重要作用。
4总结
实现计算机网络信息安全体系结构的构建具有一定的系统性与复杂性,其中包含了多个学科的知识,而且其延展性非常强。这就导致在计算机网络信息安全体系结构构建的过程中存在较大的难度。随着计算机网络的不断发展,计算机网络信息安全已经成为了研究在重点课题,注重信息安全体系结构的不断发展与完善才能够更好地确保计算机网络信息安全。
网络安全防护体系篇8
建立健全广电网络安全防御体系
1广电网络特征
(1)我国广电网络发展正处于数字电视及模拟电视转型阶段,且广电网络正处于转型期,除此以外,我国网络安全投资经费远远不能够满足实际需要;(2)我国网络管理机制不健全、管理人员专业技能及综合素养普遍不高,且我国网络管理手段大多为管理性能不高的局部管理软件或网络设备厂家免费赠送的网络管理软件;(3)我国网络安全与系统建设不成熟,尚处于发展的低级阶段,且安全集中式管理模式基本缺失,这对于我国广电网络安全均造成了不少的安全隐患。
2立体网络安全防御体系结构层次
随着技术的发展及广电网络安全意识的提高,立体安全防御体系建立被得到深入发展,这为提高广电网络安全防御性能发挥着巨大的作用。立体安全防御体系主要分为安全管理系统、安全防护系统及安全监理系统等三大部分。在整个网络安全体系中,安全监控系统扮演着中枢系统的角色。安全监控系统重点功能模块包括安全策略管理模块、安全知识库及报表模块、用户权限管理模块、安全预警管理、安全事件流程管理模块、风险评估模块、安全区域管理模块、安全资产管理模块、安全信息监控管理模块、安全事件智能关联及分析模块、安全事件采集模块、安全知识学习平台模块。就防护级别而言,安全防护系统涉及的模块包括:(1)专控保护区域:多路供配电系统、攻击防护模块、空气调节及通风控制、数据访问控制、防火及火警探测、系统访问控制、水患及水浸控制、系统日志控制、物理出入控制、密码管理控制、定期卫生及清洁控制、认证及识别系统、设数据访问控制、备及介质控制;(2)强制保护区域:不间断供电系统、攻击防护模块、多路供配电系统、漏洞管理和修补、空气调节及通风控制、激活业务控制、防火及火警探测、程序开发控制、水患及水浸控制、系统更改控制、物理出入控制、病毒防护模块、数据访问控制、定期卫生及清洁控制、系统访问控制、系统日志控制、设备及介质控制;(3)监督保护区域:多路供配电系统、密钥管理模块、空气调节及通风控制、攻击防护模块、防火及火警探测、漏洞管理和修补、水患及水浸控制、激活业务控制、物理出入控制、系统更改控制、定期卫生及清洁控制、病毒防护模块、设备及介质控制、数据访问控制、系统访问控制、系统日志控制;(4)指导保护区:物理出入控制、密码管理控制、定期卫生及清洁控制、漏洞管理和修补、设备及介质控制、激活业务控制、系统访问控制、系统更改控制、病毒防护模块、数据访问控制;(5)一般保护区:系统访问控制、用户行为管理模块、数据访问控制、漏洞管理和修补、病毒防护模块;(6)安全管理系统:安全技术及设备管理、部门与人员组织规则、安全管理制度等。
工程实例
南京广电网络属于复杂网络结合体,其涵盖了三个物理结构,即MSTP传输网、IP传输网、HFC网,且该网络系统包含的系统及部门众多。
1安全监控系统
南京广电公司坚持“分级监控体系”原则,即公司层面设安全监控中心,各部门设子系统监控分中心。网络监控系统对网络系统内各主要链路状态及主要节点设备进行实时监控,且构建了紧急事件相应流程及自动报警机制,并对管理漏洞、网络配置及未授权行为进行严格检测,此外,如实保存并审计相关安全事件及异常事件日志(见下图)。
2安全防护体系
南京广电公司于安全防护体系之上始终坚持“分级防护“原则。基于信息资产及业务系统重要性的不同,安全防护体系被划分为五大保护等级。信息安全等级保护工作应坚持“分类指导、分级负责、分步实施、突出重点”原则;遵循“谁运营-谁负责、谁主管-谁负责”要求。防护体系架构:安全防护体系层次模型被划分为纵向及横向两个层面相结合安全防护体系,该安全防护系统有助于对广电网络各系统及系统各层次进行安全全面而系统地把握。就横向管理体系(见下图一)而言,考虑的核心在于对安全数据进行集中式监控及处理,并以等级保护相关规范为根据,对各系统不同等级安全保护域加以确定;就纵向管理体系(见图二)而言,考虑的核心在于以系统ISO七层体系模型为参考依据,监控并管理各系统各层次。
安全防护体系层次划分标准:横向层次标准:划分横向层次安全域应该以国家系统等级保护标准格式为依据,并基于企业系统程度,将广电网络定义为五大保护等级,且以保护等级为依据将网络体系划分为安全域;纵向层次标准:纵向层次划分标准应以ISO七层网络模型为参考依据,具体划分标准包括物理层安全防护(环境安全、设备安全、介质安全)、系统层安全防护、网络层安全防护、安全管理(安全技术及设备管理、部门及人员组织规则、安全管理制度)。
总结