网络安全保障体系建设范文
时间:2023-11-06 17:21:30
网络安全保障体系建设篇1
关键词:安全;电子政务外网平台;电子政务外网云平台;保障体系;传统架构;云计算
中图分类号:TP393.08 文献标识码:A 文章编号:2095-1302(2016)11-0-03
0 引 言
随着电子政务外网的发展,各省市电子政务外网平台的建设均已成熟,多数省市电子政务外网平台建设之初采用的是物理机传统架构部署方式。随着信息技术的发展,云计算技术应运而生,电子政务云平台的建设风生水起。然而无论是传统架构还是在云计算环境下,电子政务外网平台面临的风险越来越多,本文就这两种架构下电子政务外网平台的安全如何建设进行分析,提出相应的解决方案。
1 建设方案
电子政务外网平台的安全建设应根据业务应用特点及平台架构层特性,应用入侵检测、入侵防御、防病毒网关、数据加密、身份认证、安全存储等安全技术,构建面向应用的纵深安全防御体系。电子政务外网平台安全建设可从分析确定定级对象及安全等级、构建安全保障体系、明确安全边界、安全技术保障、安全运维保障、安全制度保障、云计算环境下电子政务外网平台安全保障几方面考虑。
1.1 分析确定定级对象及安全等级
信息系统安全等级共分为五级,根据“中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会”的《信息安全技术 信息系统安全等级保护定级指南(GB/T 22240-2008)》,结合国家相关行业标准规范,分析确定定级对象及安全等级。本文以构建信息系统安全等级第三级标准安全建设进行探讨。
1.2 构建安全保障体系
电子政务外网平台安全保障可从安全技术保障、安全运维保障、安全制度保障三个方面着手考虑,根据“中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会”的《信息安全技术 信息系统安全等级保护定级基本要求(GB/T 22239-2008)》进行建设。物理机传统架构下的电子政务外网平台安全保障体系架构如图1所示。
1.3 明确安全边界
1.3.1 安全边界划分原则
安全边界划分原则[1]如下所示:
(1)以保障电子政务外网平台信息系统的业务、管理、控制数据处理活动、数据流的安全为根本出发点,保障平台安全;
(2)每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等;
(3)根据“信息安全等保”要求,网络规划时避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
(4)根据《国家电子政务外网跨网数据安全交换技术要求与实施指南》,部署数据安全交换隔离系统,保障数据交换安全;
(5)对接入边界进行安全防护。
1.3.2 安全边界划分
电子政务外网平台可划分为DMZ区、内部数据中心、互联网出口区、安全及运维管理区、边界接入区五大区域。电子政务外网安全边界划分图如图2所示。
(1)DMZ区
DMZ区部署面向互联网的业务系统,包括门户网站、邮件服务等,应根据实际需求部署相应的安全策略。
(2)内部数据中心
内部数据中心区部署协同办公等内部应用系统,可根据实际需求分为多个逻辑区域,如办公业务区、测试区等,应根据实际需求部署相应安全策略。
(3)互联网出口区
互联网出口区为电子政务外网平台互联网接入边界,与运营商网络直连。该区域直接面向互联网出口区域,易被不法分子利用网络存在的漏洞和安全缺陷对系统硬件、软件进行攻击,可在该区部署相应的防火墙策略,并结合入侵防御、安全审计等技术提供立体的、全面的、有效的安全防护,允许合法用户通过互联网访问电子政务外网。
(4)安全及运维管理区
提供安全管理运维服务,保障电子政务外网平台的安全。提供统一网络管控运维服务,保障整网设备及业务系统信息正常运行。
(5)边界接入区
根据国家相关规范,对专网、企事业接入单位或其它系统接入电子政务外网时,应在访问边界部署防火墙、入侵防御系统,与“政务云”实现物理逻辑隔离,进行安全防护。
1.4 安全技术保障
采用传统架构的电子政务外网平台技术安全保障可从物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行考虑,可通过部署相应产品或配置服务进行安全保障。
1.4.1 物理安全
物理安全主要涉及环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等。具体包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面。该部分主要体现为机房及弱电的建设标准、规范,技术环节应符合相关等级保护要求。
1.4.2 网络安全
网络安全主要包括网络结构、网络边界以及网络设备自身安全等,具体包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护七个方面,关键安全技术保障措施如下所示:
(1)划分安全域,根据各安全域安全建设需求采用相应的安全策略。
(2)通过合理部署IPS、防火墙对网络进行边界隔离和访问控制,并实现对网络攻击的实时监测,即时中断、调整或隔离一些不正常或具有伤害性的网络行为。
(3)部署防DDoS攻击设备,及时发现背景流量中各种类型的攻击流量,针对攻击类型迅速对攻击流量进行拦截,保证正常流量通过。
(4)可在互联网出口处部署链路负载均衡设备,加强网络数据处理能力、提高网络的灵活性和可用性。
(5)采用上网行为管理、流量控制等设备,对网络流量进行实时监控管理,实现员工对终端计算机的管理和控制,规范员工上网行为,提高工作效率,实现流量控制和带宽管理,优化网络。
(6)对关键设备采用冗余设计,并在重要网段配置ACL策略以保障带宽优先级。
(7)采用安全审计技术,按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能。
1.4.3 主机、应用安全
主机安全主要包括访问控制、安全审计、剩余信息保护、恶意代码防护等几个方面。应用安全主要包括身份鉴别、访问控制、安全审计、抗抵赖性等几方面,关键安全技术保障措施如下所示:
(1)恶意代码可直接利用操作系统或应用程序的漏洞进行传播,可部署恶意代码监测、病毒防护系统及漏洞扫描等系统,通过主动防御可有效阻止病毒的传播,及时发现网络、主机、应用及数据库漏洞并修复,保障电子政务外网平台安全。
(2)利用身份认证技术及访问控制策略等技术保障主机应用安全,不允许非预期客户访问。
(3)运用审计技术保障主机应用安全,实时收集和监控信息系统状态、安全事件、网络活动,以便进行集中报警、记录、分析、处理。
(4)采用应用负载均衡技术、操作系统用户登录等技术实现资源的优化控制。
(5)可部署Web应用防火墙、网页防篡改等系统,做到事前主动防御,智能分析、屏蔽或阻断对目录中的网页、电子文档、图片、数据库等类型文件的非法篡改和破坏,保障系统业务的正常运营,全方位保护Web应用安全。
1.4.4 数据安全
数据安全主要包括数据的保密性、完整性及备份和恢复,关键安全技术保障措施如下所示:
(1)可对不同类型业务数据进行物理上或逻辑上隔离,并建设数据交换与隔离系统以保障不同安全等级的网络间的数据交换安全。
(2)采用双因素认证进行数据访问控制,不允许非预期客户访问,对违规操作实时审计报警。
(3)采用VPN、数据加密、消息数据签名、摘要等技术对数据传输进行加密,防止越权访问机密信息或恶意篡改。
(4)采用数据库冗余部署,防范数据丢失风险,为业务系统稳定运行提供保障,可考虑建设同城或异地容灾。
(5)部署数据库审计设备可在不影响被保护数据库性能的情况下,对数据库的操作实现跟踪记录、定位,实现数据库的在线监控,为数据库系统的安全运行提供了有力保障。
1.5 安全运维保障
安全运维保障可通过安全管理平台,建立与安全工作相配套的集中管理手段,提供统一展现、统一告警、统一运维流程处理等服务,可使管理人员快速准确的掌握网络整体运行状况,整体反映电子政务外网平台安全问题,体现安全投资的价值,提高安全运维管理水平。安全运维管理平台需考虑与安全各专项系统、网管系统和运管系统之间以及上下级系统之间的接口。
1.6 安全制度保障
面对形形的安全解决方案,“三分技术、七分管理”。若仅有安全技术防护,而无严格的安全管理相配合,则难以保障网络系统的运行安全。系统必须有严密的安全管理体制来保证系统安全。安全制度保障可从安全管理组织、安全管理制度、安全管理手段等方面考虑,建立完善的应急体制。
1.7 云计算环境下电子政务外网平台的安全保障
云技术是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。随着时代的发展,云计算技术已变成信息系统主流基础架构支撑。由于云计算平台重要支撑技术是采用虚拟化实现资源的逻辑抽象和统一表示,因此在云计算环境下进行电子政务外网云平台安全保障体系建设,仅仅采用传统的安全技术是不够的,除满足上述物理安全、网络安全、主机安全、应用安全、数据安全技术保障,运维安全保障,安全制度保障需求之外,还应考虑虚拟化带来的新的安全风险。云计算环境下电子政务外网云平台安全保障体系如图3所示。
1.8 虚拟化安全
当前,云计算虚拟化安全技术还不成熟,对虚拟化的安全防护和保障技术测评则成为云环境等级保护的一大难题,主要涉及的安全包括虚拟机逃逸防范、虚拟机通信风险、虚拟机管理平台安全等方面。可采取如下安全保障措施[2]:
(1)将可信计算技术与虚拟化技术相结合,构建可信的虚拟化平台,形成完整的信任链;
(2)可建设分级访问控制机制,根据分层分级原则制定访问控制策略,实现对平台中所有虚拟机的监控管理,为数据的安全使用和访问建立一道屏障;
(3)可通过虚拟防火墙、虚拟IPS、虚拟防病毒软件或虚拟安全网关等技术实现虚拟机间的安全隔离。
2 SDS安全保障技术简介
软件定义安全(Software Defined Security,SDS)是从软件定义网络(Software Defined Network,SDN)延伸而来,将安全资源进行池化,通过软件进行统一调度,以完成相应的安全功能,实现灵活的安全防护。简单来说,传统的安全设备是单一防护软件架构在一台硬件设备之上,通常串接或旁挂于网络中,不仅将网络结构复杂化,对不同厂家的安全设备进行统一管理的复杂度也较高,需单独的物理安装空间。而SDS可以将其看作一个软件,灵活调配安全设备资源,实现灵活的网络安全防护框架,方便调整。
3 结 语
在大数据时代下,SDS是顺应时展趋势、简化安全管理的诉求,但由于SDS应用尚未完全成熟,仍需经过实践的检验。
参考文献
[1] 安全域划分和等级保护[EB/OL].http:///link?url= 0fnE0w9O_r9iuhc9daVI2bD5ACUcJ7W1oDI-CsIKrpxnwal2HE 9RWoqzzmRWZ5w_6upz42oNb5s1qJtYuxfMmJwE3Mb_N-rLeOc 8MMtG6bC
网络安全保障体系建设篇2
1电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2电信网络安全面临的形势及问题
2.1互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5系统、数据库漏洞扫描
网络安全保障体系建设篇3
[关键词]民航企业信息 网络信息系统 网络信息安全
中图分类号:TP245.47 文献标识码:A 文章编号:1009-914X(2015)43-0312-01
1. 引言
网络信息系统逐渐成为现代企业管理中重要的基础设施,中国民航企业通过它们实现了对生产、管理信息的快速传递和共享,极大地提高了运行管理效率。因此,网络信息系统的安全稳定运行对于民航企业的正常运作而言非常重要,直接影响国家的安全形势,影响民航企业的发展与效益,可见制定正确的企业网络信息安全与防护策略已经成为了中国民航企业所面临的重要课题。
2. 民航企业网络信息化建设面临网络信息安全问题
近些年,我国民航企业的网络信息化建设虽然取得很大飞跃,但与国际先进水平还有一定的差距,尤其是民航的网络信息安全总体形势不容乐观,信息安全存在一些隐患,对此我们必须时刻警惕,加强防范。网络信息安全问题这主要表现在几个方面。
1)网络与信息系统的防护水平不高,网络信息系统遭到恶意入侵和攻击影响较大的网络信息安全事故时有发生,并直接影响安全生产,如2006 年中航信离港系统技术故障, 造成大量航班延误和大批旅客滞留机场,给我们敲响了警钟。
2)行业人员在网络信息安全技术水平方面还处在较低水平,缺乏专业队伍和人才。技术人员的应急处置能力不强,遇到突发事件应变处置能力还需提高。员工对网络与信息安全认识还不到位,安全意识淡薄,对网络信息不安全的事实认识不足。
3) 各单位的网络信息安全工作组织机构还不健全,在工作职责等方面还需明确加强。行业性质的网络信息安全标准、规范和认证体系不够完善,在网络与信息系统的建设和信息安全管理工作中缺乏统一的行业性标准、规范。缺乏一套完整有效的管理方法和有效的监督检查措施,缺乏网络安全审计和安全监控。
4)各单位建设网络信息系统时缺乏后期安全维护方案。缺乏更深入的系统安全备份机制,有效的系统恢复机制,遇到突发信息安全事故不能及时恢复网络信息系统的正常运行。
5)网络信息安全系统建设缺乏整体规划,个别单位是为了上系统而上系统,很多单位对各自的网络信息系统建设缺乏全面、深入、细致的安全体系规划和研究。网路信息安全基础设施建设发展也不平衡,设备缺乏统一性, 一些网络信息系统中缺乏足够的网络监控设备,不能及时发现处置外部入侵攻击行为,不能及时排除系统中的安全隐患和故障。
3. 保障民航网络信息安全的主要措施
在建立全行业信息安全防御体系,加大网络信息系统安全工作投入,加快网络信息安全设施建设的同时,还应做好几个方面。
3.1 完善网络信息安全制度,建立网络信息安全行政制度体系
从以前民航实际发生的安全事件来看,绝大多数是由于网络信息安全管理不到位、责任不明确造成的。因此,我们要进一步完善网络信息安全管理责任制,加强管理,明确责任。建立完善行业性质的网络信息安全标准、规范体系,继续加强网络信息安全工作,切实提高民航信息安全水平,逐步建立完善网络信息安全保障体系和防范机制,实行网络信息安全等级保护,分级保护,加大监管力度,建立网络信息安全通报制度。民航还应与国防、公安等机关部门密切配合联系,构建防御功能更强、覆盖面更广的网络信息安全防护体系。
3.2 加强培训建立网络信息安全防护队伍
大力发展民航网络信息安全产业, 密切跟踪国际网络信息安全产业发展动向,加强与国际间的合作交流,积极引进国际先进管理方法和技术, 加快网络信息安全技术与管理人才的培养。进一步增强民航系统网络信息安全意识, 逐步提高网络信息安全技术人员的业务素质和技术水平,打造一支技术全面、管理过硬、能打硬仗,与民航快速发展相适应的网络信息安全技术和管理队伍。
3.3 建立网络信息安全防护体系,通过先进技术手段保障信息系统安全
1)入侵检测和网络监控技术
入侵检测是近年来发展起来的一种防范技术,入侵检测是指通过对网络信息系统的行为、安全日志、审计数据、其它网络信息进行检测,检测到对本网络信息系统的入侵或入侵的企图, 其作用是监控网络和计算机系统是否出现被攻击或入侵。民航企业可以采用入侵检测技术建立入侵检测系(IntrusionDetection System,简称IDS),能同步检测到系统外部的入侵和内部用户的非授权行为,及时发现并报告网络信息系统中未授权和异常现象,对网络信息系统中的恶意行为第一时间发现并做出相应处置。
2)文件加密和数字签名技术
文件加密与数字签名技术是为保障信息系统及数据的安全保密性, 防止机密数据被外部窃取、更改、损坏。文件加密技术是用来防御文件被非法用户打开读取,数字签名技术是保障用户收到的是真正自己所需用户发来的邮件,确保用户的真实性。民航企业网络信息系统可使用文件加密和数字签名技术来保障信息数据的安全、保密、稳定性。
3)身份认证技术
身份认证是在网络信息系统中确认操作者身份的过程。身份认证通过防火墙、VPN、入侵检测、安全网关、安全目录等可以有效的管理网络信息系统的用户数字身份的权限,由于网络信息系统只能识别操作者的数字省份,而身份认证技术可效解决了操作者物理身份和数字身份相对应的问题,给网络信息系统提供了权限管理的依据。民航企业网络信息系统采用几种方式进行身份认证:用户名加口令密码的方式、用户所知道的东西(如印章、证件号码、信用卡号码等);生物特征识别方式(包括指纹、声音、视网膜、签字、笔迹等),基于USBKey 的身份认证可提高系统安全性。
4)运用技术手段建立网络信息安全防护体系
现代攻击入侵方式的多元化, 单纯的依靠防火墙、身份认证、加密文件等手段已经不能满足现实需求,需要构成一个系统化、科学化的网络信息安全防护体系,不仅是单纯的网络运行过程的防护,还包括对网络信息系统的安全评估、系统监测、系统响应、安全监控、应急处置、安全服务、安全培训等方面。在全行业建立网络信息安全备份中心,对信息数据做到更好的保护。
4. 结束语
民航企业网络信息化安全要做到安全与发展并举,要正确处理好安全和发展的关系, 要以安全保发展,在发展中求安全。同时,还要注重管理和技术并重,要坚持管理和技术并重,技术是基础,管理是保障,既要积极采用先进成熟的安全技术, 又要重视安全管理的重要性,通过管理弥补技术上的不足,进行管理和技术并重的综合治理,保障民航网络信息化安全,为实现民航“十二五”规划和民航强国建设的宏伟目标打下坚实基础。
参考文献
[1]熊英.浅谈机场信息安全管理体系建设[J].中国民用航空,2008(11).
网络安全保障体系建设篇4
关键词:网络信息信息安全信息传播保障体系
随着网络信息资源越来越丰富,垃圾信息和不健康信息也在迅速增加,计算机病毒、垃圾邮件、网络攻击、系统漏洞、网络窃密、网络违法犯罪、著作权保护等问题日渐突出,而监管体制机制又相对落后。如何让优秀的、积极的、先进的信息占领网络传播阵地,如何构建网络信息传播保障体系,是世界各国都面临的紧迫课题。然而,国内外对此问题的研究还比较少,不够完善。本文在分析了构建网络信息传播保障体系应遵循的原则的基础上,结合分析研究实际情况,提出并系统地分析了网络信息传播保障体系的结构框架及其工作流程图。
一、构建网络信息传播保障体系遵循的原则
1、实用性原则
构建网络信息传播保障体系的最终目的是“用”,应本着旨在破解网络信息传播存在的难题的目的,向此目标努力,尽可能发挥体系的重要作用,注重体系实施的实际效用。因此,要运用系统工程的观点、方法,结合实际情况,分析网络信息传播存在的问题,制定具体措施。
2、平衡性原则
网络信息传播具有的强大的威力和威胁就是信息的自由性。所以,在构建网络信息传播保障体系的过程中,应考虑在管理和控制网络信息的传播时要保持信息的“自由”与“平衡”,即尽量保持信息“自由”与“管理”的平衡。
3、多层性、多样性原则
任何安全保护措施都不是绝对安全的,都可能被攻破,所以网络信息传播保障不应只依赖一种安全机制,应建立多层安全机制、多种防御体系,各防御层及体系相互补充保护,相互支撑以达到尽可能安全的目的。
4、整体性、综合性原则
一个保障体系包括个人、设备、软件等环节,它们在网络信息传播安全中的地位和影响作用,只有从系统的整体角度去看待和分析,才可能获得有效、可行的措施。
而且网络信息传播保障体系又是一个复杂的系统工程,需要各种保障方法和工作程序的综合协调一致。为了实现网络信息传播全方位保障,建立网络信息传播保障体系必须考虑技术保障、管理保障、法律保障、人才保障、主观认知保障的综合作用,同时,通过全社会的共同努力,实现与提升信息安全防护与保障能力。
5、协调性、协同性原则
网络信息传播保障体系构建的重要前提和基础是网络信息开放共享,而在信息的开放共享和保密的法律法规不健全的情况下,如果将部分信息公开披露,既缺乏相应的法律依据,同时又会带来一系列实际问题。因此在网络信息传播保障体系构建的过程中,要注意解决网络信息的披露与保密之间的矛盾,坚持网络信息开放共享和保密相协调的原则。
网络信息传播保障体系的构建不是哪一个体单独努力就能完成的,它是一个复杂的社会系统工程,需要政府、企业、社会团体、个人及司法等多方协调配合、全方位努力。网络信息传播保障体系构建的过程中坚持政府、企业、个人分工合作、协同作战是个非常重要的原则,必须明确各自的地位和作用。
二、网络信息传播保障体系结构框架及工作流程图
构建网络信息传播保障体系是一个巨大复杂的系统工程,不仅仅是购买技术或开发信息安全技术的问题,而是一个体系建设过程,这个体系主要包括检测体系,安全防护体系和管理体系,主要内容有政策、法律法规建设、管理、技术、产品、人才培训、资金保障、领导重视、人们的认知观念等内容。在构建保障体系的过程中,认知是前提,技术是基础,管理是生命线,法律是保证,还要需要政策、资金、人才的支持。网络信息传播保障体系结构框架见图1。
网络信息传播保障体系个各体系之间、体系的各个组成部分之间是如何相互配合协调工作的呢?本文根据申农通信系统模型原理,借鉴国内外对信息安全保障体系模型的研究成果,提出网络信息传播保障体系工作流程图,见图2。
三、网络信息传播保障体系结构框架及工作流程图分析
下面分别从检测体系、安全防护体系和管理体系三个方面,依照网络信息传播保障体系工作流程的顺序,结合网络信息传播保障体系结构框架中各个要素,对网络信息传播保障体系结构框架及工作流程图进行分析阐述。
1、检测体系
检测中心数据库主要存储两大类信息记录:黑客、病毒等的入侵记录,网络信息传播保障体系的安全策略。
1.1黑客、病毒等的入侵记录
构建网络信息传播保障体系首先要对网络信息传播进行风险分析与评估,遵守相关的规章制度、合同、法律等安全标准,将历史性和新出现的黑客人侵记录以及病毒、垃圾信息等记录形成相应的安全策略,并存储于检测中心的数据库中。从信源发出的网络信息进入保障体系时,首先要通过监测体系得检测,如果该信息与检测中心数据库中的某信息特征匹配,则予以拦截;反之,数据库中无此相似记录,则要通过保障体系的安全防护体系的进一步检测防护。
1.2安全策略的规划
网络信息传播是一个动态的循环的过程,所以安全策略的制定注定是一个循序渐进、不断完善的过程。因为不可能制定一个安全策略就能够永远符合、完全适应某个网络环境和信息系统的需求,所以设计时要充分考虑其动态性和可操作性。
2、安全防护技术体系
安全防护体系对网络信息进行检测,如果发现为异常的信息则给予拦截,反之则再由管理体系进行检测。安全防护技术体系主要应用信息安全技术对网络信息进行防护。
(1)基于PKI/PMI的信任体系和授权体系:公钥基础设施技术(PKI)以公开密钥技术为基础,以数据及密性、完整性、身份认证和行为的不可否认为安全目的。
(2)访问控制机制:包括防止非法用户的非法访问和合法用户的非授权访问2个方面。
(3)防火墙:防火墙系统主要目标是控制人、出一个网络的权限,它迫使所有的连接都通过防火墙,以便接受检查。
(4)入侵检测系统:对透过防火墙的攻击进行实时检测并及时做出相应的反应。
(5)安全审计系统:网络安全审计系统是一种基于信息流的数据采集、分析、识别和资源审计封锁软件。通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活动进行审计。
(6)网络病毒防治体系:针对网络上病毒、蠕虫、木马和恶意代码的危害性大并且传播迅速的现状,网络信息传播保障体系应采用相应的整改措施。
随着现代信息技术的不断发展进步,安全防护技术体系也会随之更新,它是网络信息进入网络信息传播保障体系的一个重要“门槛”。
3、管理体系
检测体系和安全防护体系均采用必要的信息安全技术对网络信息给予硬性的安全防护,管理体系则在人的参与下对网络信息进行管理,对于技术不能发现和拦截的网络信息,则通过人为手段进行防护。根据信息的接受者的反馈,如果得到他们的满意,达到了预期的目标,则网络信息安全保障体系取得实效;反之,则通过事故响应及补救机制给予补救,并修改网络信息传播保障体系。
3.1法律法规制度体系
政策、法律法规等的建立规范必须建立在支持和鼓励网络信息传播健康发展的前提下,通过立法和监督,打击和淘汰违规网络信息传播者,创建的良好的信息法制环境,做到有法可依,有法必依,更好地维护网络信息传播的发展。
(1)网络信息传播立法。如今,网络立法应更加注重于对网络信息安全即对网络信息传播行为的规范。网络信息传播立法,在网络有害信息的责任认定问题及可操作性等立法质量上,尚存在有待改进的地方。如何发挥网络媒体传播优势,使公民的言论自由得以充分实现,同时又不至危害国家、社会和个人的合法权益,应该是网络信息传播立法的根本所在。
在立法原则上,我国的网络立法与其他国家一样,就是承认现行的传统法律原则都适应于网络传播环境。“互联网立法的前提就是承认现行的传统的法律原则都应该适用于互联网空间。互联网没有也不可能改变现实社会基本制度以及受这个制度保护的基本社会关系。互联网上的虚拟世界是从现实世界生成的,并且无时不在对现实世界发生影响,所以虚拟世界说到底还是现实世界的一部分,虚拟世界里的关系无非是现实世界的社会关系的延伸,仍然要受现实世界中现行法律的规范和调整”。
网络信息传播法制的主要内容:“从事互联网信息服务实行许可备案制度;开办互联网电子公告服务实行专项申请、备案制度;互联网站从事登载新闻业务实行审批制度;网络信息传播禁载内容;网络服务提供者的义务、责任等”。
(2)网络信息传播规章制度。网站信息安全的管理,除了采用必要的技术措施以外,还需要建立健全管理制度,落实信息安全管理责任。网络信息传播安全管理规范包括:确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
(3)网络道德规范。网络道德规范体系,对思想境界不同的个体,设立层次不同的规范,结合网络的特点对传统道德规范进行适当改造再植入网络空间,如诚信规范、公平规范、平等规范等都可以经过改造后成为网络信息传播中重要的道德规范。如诚信规范的建立,传播及使用网络信息就有了一把诚信评判的标尺,使得我们可以更好的对网络信息活动参加者的诚信程度进行评价和判断。同时,也就树立了开展网络信息活动的行为准则,促使人们在网络信息活动过程中更好的遵守网络信息活动规则,可以有效减少诚信缺失现象的发生。另外,网络道德规范还必须推陈出新,适应网络的发展。
3.2网络“把关”体系
任何网络信息传播活动都是一个信息搜集、加工、的过程,这个过程离不开人的劳动,无法由某一技术或者程序自动完成。而传播活动中只要有人的参与,就一定会有人为因素的影响,网络“把关入”作用也就不可能消失。因此作为传播者个人或者组织机构的“把关人”作用也始终存在于网络信息传播过程之中。
网络中的把关体系主要从宏观层面的把关和微观层面的把关进行。
(1)宏观层面的把关。宏观层面的把关,仍是政府的直接把关。网站进行信息传播,实际是获得了网络行政主管部门给予的权利。例如,对于恶意网站要用技术手段对其“封杀”。
(2)微观层面的把关。微观层面的把关,即一个网站的把关以及受众的把关。对信息内容的把关,主要工作有:①分析传播内容短期或中长期的发展趋势;②研究传播内容是否符合有关法规和政策;研究传媒借助传播内容实现的宣传策略、宣传方法以及某一方使用的宣传战术;③了解和解决科技、文化等特殊信息在传播中的问题和困难,兼及受传者的类型和数量等。
3.3事故响应及补救机制
安全的相对性注定了事故的发生是不可避免的,因而建立一个事故响应小组,建立数据备份、制定不同的紧急响应计划和操作流程,能够对发生的事故再第一时间作处理,努力将损失降到最低点。
当黑客、病毒或垃圾信息等成功传播到信宿或对系统造成破坏时,此时网络信息传播保障体系的补救机制将采取补救措施,补救措施包括:使用杀毒软件查杀病毒,使用备份系统对丢失或损害的数据进行恢复,或使用临时的动态站点替代当前被破坏的信息系统等。之后,再将这些病毒、垃圾信息、系统漏洞和脆弱点等形成分析报告,反馈给检测中心数据库,进行必要的总结回顾,修改安全策略,更新网络信息传播保障体系。补救机制是整个保障体系中一个不可忽视的环节,是减小损失和实现持续发展的重要措施。
网络安全保障体系建设篇5
学校信息管理系统受到来自外部的攻击等恶意行为,部分系统在受到黑客等外部入侵或者攻击后,可能变为黑客利用的工具,然后再次攻击其它计算机。而学校信息系统的内部攻击主要是内部用户的不当行为,内部用户的尝试授权访问、探测预攻击等行为,如Satan扫描等都可能影响到校园网络的正常运行。1.4资源滥用和不良信息的传播校园网中的一些内部用户滥用网络资源,如利用校园网下载商业资料等,这样就让大量校园信息资源被占用。同时一些用户会在有意识或者无意识的情况下,在校园网络中传播不良信息,或者发送垃圾邮件,这些行为都增加了安全隐患。
2学校信息管理系统的安全防护体系模型
学校信息管理系统的安全建设属于一个系统而复杂的工程,需要根据信息系统的实际需求,构建动态的安全防护体系调整策略。信息系统的安全建设过程不属于单纯的技术问题,也并非将技术与产品简单堆砌在一起,而是需要我们积极转变思想观念,综合策略、技术和管理等多方面的因素,进一步形成动态的、可持续发展的过程。学校信息管理系统的主要服务对象是教学和学生,而大学生是网络中十分活跃的群体,因此,构建校园网络信息安全防护体系是十分必要的。本文结合P2DR模型,构建出了一个动态、多层次的校园网络信息安全防护体系模型如图1所示。计算机系统中会出现很多新的漏洞,新的病毒以及黑客攻击手法也不断涌现,同时校园网络自身也是动态变化的,因此,在构建好一个校园网络信息安全防护体系后,网络管理者必须对该防护体系进行实时更新,并定期进行维护,以此保障该防范体系的稳定运行,进而保障校园网络的安全性和有效性。在校园网络信息安全防范体系中,将安全策略作为中心内容,而安全技术为该体系提供支持,安全管理是一种执行手段,并积极开展安全培训,提高用户的网络信息安全意识,以此让安全防范体系得以不断完善。在这个信息安全防范体系中,安全策略是最为基础和核心的部分,它可以在检测、保护等过程中指导和规范文件。可以说该体系中所有活动的开展实施,都是在安全策略的架构下完成的。安全技术为信息安全的实现提供了支撑,其中涵盖了产品、工具和服务等内容。信息系统中常用的安全技术有入侵检测、漏洞扫描和系统防火墙等,这些技术手段是安全防范体系中较为直观的构成部分,也是其中必不可少的内容,缺少了任何一项都有可能引发巨大的威胁。由于学校的资金等条件有限,在构建安全防范体系过程中,对于部分技术无法及时部署,这时候就需要以安全策略作为参考,制定合理的实施方案,让所有的安全技术构成一个有机整体。
3建设校园网络信息安全防护体系的目标与策略
3.1网络信息安全防护体系的建设目标
根据学校信息管理系统中存在的安全问题,综合考虑安全策略、技术和管理等多方面的内容,制定出一个动态的信息安全防范方案,并根据该方案构建安全、稳定、易于管理的数字化校园,保障学校信息管理系统的正常运行,这就是网络信息安全防护体系的建设目标。具体来讲,就是首先提高学校主干网络的稳定性,以此保障校园信息系统的可靠性。其次,不断完善学校网络信息安全管理体制,运用有效的安全防护手段,严格控制访问并核实用户身份,确保信息的保密性和真实性。第三,避免校园网络中内部或者外部的攻击、破坏,维护系统的稳定、安全运行。第四,在保障安全的基础上,防护体系应该尽可能地为系统的各项应用提供便利,全网的身份认证应该统一,并对角色访问进行适当控制。第五,构建稳定、安全和操作性强的网络信息平台,为学校的管理、教学等活动提供支撑。
3.2网络信息安全防护体系的建设策略
结合相关的安全防范体系模型,我们可以从安全策略、技术和管理等方面开展安全防护体系的建设工作。安全策略是建设工作的核心内容,所有的工作都应该以此为参考。在建设过程中,首先应该制定总体的安全防护体系建设方针,然后构建网络信息安全防范体系,并在这个基础上制定相关的网络安全策略,如病毒防护、系统和数据安全等。在这个过程中为了确保安全策略的顺利实施,也需要制定相应的安全管理体制,并给出规范的操作流程。
4校园网络信息安全防护体系的总体架构
4.1划分安全区域
在网络信息安全防护体系的建设过程中,分层和分区防护是其较为基本的原则,要想保障信息安全防护体系的完整性,应该综合考虑安全防护层次和区域这两个方面。根据校园信息管理系统的实际需求,可以把安全防护体系划分为5个安全区域(如下图2),然后根据每一个安全区域的具体特征,制定相关的安全防护策略。在每一个划分的安全区域中,其安全防护也可以分为物理、系统、应用和数据安全这5个层次。
4.2互联网边界和校园骨干网安全区域的架构
为了保障互联网边界和校园骨干网中数据的可靠传输,以及保障各项业务的正常运作,可以根据网络的实际需求,将双核心冗余结构应用于核心交换设备中,让核心交换设备与每一个汇聚交换设备实现双上联。将带宽管理设备、防火墙和链路负载均衡设备设置在互联网边界上,并在防火墙的隔离区设置域名解析和邮件服务等公共服务器。首先将防DDoS设备设置于外部网络中,以此避免校园网络以及内部用户受到外界攻击;将基于端口的地址转换应用于互联网的出口,这样外部用户就得不到真实的内部用户地址;在系统数据中心防火墙的隔离区放置公共服务器。
4.3校园数据中心安全区域的架构
根据学校建设数字化校园的实际情况,以及信息系统各服务器之间的关系,可以将校园数据中心划分为多个安全子区域,如应用服务器外区和内区、公共服务器区和数据库服务区。其中公共服务器中有电子邮件、Web等重要服务器,因此需要配备2台以上档次相同的物理服务器,服务器的高性能主要通过系统的负载均衡设备来体现。在防火墙的隔离区设置校园托管服务器,以避免外部用户的访问。要想将校园数据中心网络和校园网连接起来,需要经过核心交换机中的虚拟防火墙,防火墙隔离区的公共服务器能够为外部网络提供服务,并可以保护网络免受外界攻击。数据中心的服务器可以通过负载均衡设备来均衡负载,以此优化网络服务,并发挥安全冗余的作用;由IPS实现对网络攻击的阻断,防止超文本传输服务器在统一身份认证等过程中外部用户的访问。
5结语
网络信息安全是数字化校园建设中研究的重点课题,在建设学校网络信息安全防护体系过程中应该做好管理工作。相信随着信息技术的不断发展与进步,以及学校信息系统安全管理水平的不断提高,校园网络信息安全防护体系将得到进一步完善,以此为学校网络信息系统的稳定、安全运行提供有力的保障。
网络安全保障体系建设篇6
1网络工程专业学生网络系统安全保障能力培养的现状分析
网络工程专业是依托于计算机科学与技术专业发展起来的。网络工程专业的人才应该具备计算机类专业人才的四大基本能力:计算思维、算法设计与分析、程序设计与实现和系统能力。网络工程专业人才的专业能力可以进一步细化为:网络协议分析设计与实现、网络设备研发能力、网络应用系统设计与开发能力、网络工程设计与实施能力、网络系统管理与维护能力、网络系统安全保障能力等。因此,网络系统安全保障能力是网络工程专业有别于其他计算机类专业的一个重要能力。但在目前的现实情况下,大家对网络工程专业和其他相关专业在专业能力构成上的差异认识不够,很多学校不同专业在网络系统安全保障能力培养方面存在同质化现象。
在专业知识体系上,网络系统安全保障知识领域的核心知识单元应有:信息安全基础、安全模型、加密、认证、数字签名、安全协议、防火墙、入侵检测系统、漏洞检测与防护、安全评估与审计等。从知识体系上来看,网络工程专业中的网络系统安全保障知识基本上是信息安全专业中密码学、网络攻防技术及信息系统安全领域基础知识的综合,具有内容多、涉及面广的特点。另外,目前的知识体系主要从防御角度出发,攻击和渗透的知识还很欠缺。如何在确保知识体系覆盖完整的条件下,突出网络工程专业的特色,是一个尚待深入研究的课题。在课程体系结构上,网络系统安全保障能力对应的网络安全课程,对网络工程、信息安全和信息对抗专业来说是主干课程,而对计算机类其他专业来说,往往是扩展课程;信息安全专业和信息对抗专业一般将其细化为至少4门主干课程,如密码学、网络安全、信息系统安全和信息内容安全。网络工程专业需要强化网络安全课程,并开设相应的扩展课程,以完善网络系统安全保障课程体系的完整性。
教学条件上,在网络与信息安全方面比较突出的国内高校主要以密码学领域的科学研究与人才培养见长,缺少网络系统安全保障的师资,特别是缺少既有工程背景和网络攻防实战经验又有高学术水平的师资,导致一些高校网络安全课程的教学质量不高,甚至无法开设,影响了网络系统安全保障能力的培养。网络系统安全保障不仅有理论性,也具有实践性,许多方法和手段需要在实践过程中认识和领会。一些高校的网络工程专业缺少必要的实验条件,有些仅仅进行加密与解密、VPN、入侵检测或防火墙等方面的简单配置性实验,缺少网络对抗等复杂的综合性实验,致使网络系统安全保障实践环节质量不高,影响学生动手能力的培养。
2网络工程专业学生网络系统安全保障能力构成
网络系统安全保障能力的教育需要以网络系统安全保障知识为载体,通过探讨知识发现问题求解过程,培养学生灵活运用所学知识有效地解决网络系统安全防御、检测、评估、响应等实际问题的能力。计算机类专业培养学生的计算思维、算法思维、程序思维、系统思维、过程思维、数据思维、人机系统思维等思维能力,而网络工程专业还要培养学生的对抗思维、逆向思维、拆解思维、全局思维等网络系统安全保障所特有的思维能力。网络系统安全保障体系是一个复杂系统,必须从复杂系统的观点,采用从定性到定量的综合集成的思想方法,追求整体效能。从系统工程方法论的观点出发,网络系统安全保障不能简单地采用还原论的观点处理,必须遵循“木桶原理”的整体思维,注重整体安全。网络系统安全保障的方法论与数学或计算机科学等学科相比,既有联系又有区别,包括观察、实验、猜想、归纳、类比和演绎推理以及理论分析、设计实现、测试分析等,综合形成了逆向验证的独特方法论。
从不同的角度看网络系统安全保障可以得到不同的内涵和外延。从物理域看,是指网络空间的硬件设施设备安全,要求确保硬件设施设备不扰、破坏和摧毁;从信息域看,重点是确保信息的可用性、机密性、完整性和真实性;从认知域看,主要是关于网络传播的信息内容对国家政治及民众思想、道德、心理等方面的影响;从社会域看,要确保不因网络信息传播导致现实社会出现经济安全事件、民族宗教事件、暴力恐怖事件以及群体性聚集事件等。网络系统安全保障涉及网络协议安全及相关技术研究、网络安全需求分析、方案设计与系统部署、网络安全测试、评估与优化、网络安全策略制订与实施等内容。培养网络系统安全保障能力就是培养学生熟悉信息安全基本理论和常见的网络安全产品的工作原理,掌握主流网络安全产品如防火墙、入侵检测、漏洞扫描、病毒防杀、VPN、蜜罐等工具的安装配置和使用,能够制定网络系统安全策略与措施,部署安全系统,同时具有安全事故预防、监测、跟踪、管理、恢复等方面的能力以及网络安全系统的初步设计与开发能力,以满足企事业单位网络安全方面的实际工作需求。
3网络工程专业学生网络系统安全保障能力课程设置
网络工程专业涉及计算机网络的设计、规划、组网、维护、管理、安全、应用等方面的工程科学和实践问题,其网络安全课程使学生了解网络系统中各种潜在的安全威胁与攻击手段以及针对这些威胁可采用的安全机制与技术。掌握常见的网络安全工具和设备,如防火墙、入侵检测、漏洞扫描等工具的工作原理,学生可以了解网络安全的相关政策法规,并具有网络安全策略与措施制定、安全事故监测等能力。为了保质保量地完成网络工程专业学生的网络系统安全保障能力的培养,可设置相应的主干课程:网络安全技术和网络安全技术实践及扩展课程安全测试与评估技术。课程涉及的核心知识点如表1所示。通过开设安全测试与评估技术,教师引导和培养学生用逆向、对抗和整体思维来学习并思考网络系统安全保障问题。
4培养学生网络系统安全保障的实践和创新能力
实践动手能力是网络系统安全保障能力培养中的重要一环。许多网络信息系统安全保障能力知识点比较难掌握,必须通过实践环节来消化、吸收、巩固和升华,才成为学生自己的技能。为此,我们一方面努力争取解决实验条件,与企业联合共建网络安全教学实验室;另一方面,自主开发实现了一系列的教学演示和实践工具,弥补部分环节难以让学生动手实践的不足。通过完善的实践体系(包括课内实验、综合实验、创新实践、实习及学科竞赛等),培养学生网络系统安全保障的实践和创新能力。课内实验包括安全测试与评估技术课程的信息收集、内部攻击、KaliLinux的安装与使用、Metasploit、缓冲溢出攻击、Shellcode、Web攻击、数据库安全、逆向分析等实验。网络安全技术课程对应的实践课程网络安全技术实践设置了加解密编程、PGP、PKI、VPN服务器和客户端、病毒与恶意代码行为分析、Iptables防火墙、Snort入侵检测、以太网网络监听与反监听、端口扫描、WinPcap编程、Windows和Linux安全配置等实验;另外还设置了两个综合实验——综合防御实验(安全配置、防火墙、入侵检测、事件响应)和综合渗透测试实验(信息收集、缓冲溢出渗透、权限提升、后门安装、日志清除)。在课内实验和综合实验环节采用分工合作、以强带弱、小组整体与个人测试评分相结合等措施,确保让每个学生掌握相应的网络系统安全保障实践能力。目前,我们正积极与网络安全相关企业建设实习和实训基地,开展社会实习和实践,探索利用社会力量培养实践能力的模式。专业实践是一门2学分的创新实践和实习课程。通过专业实践和毕业设计,学生可以根据自己的兴趣选择网络系统安全保障方面的创新实践拓展和深化。一方面,积极鼓励并组织优秀学生参加全国性和地方性的网络安全技能竞赛;另一方面,让高年级的同学参与教师的网络系统安全保障科研项目中来,让学生在竞争与对抗中和解决实际问题过程中增强自己的动手能力和创新能力,培养学生的自主学习能力和研究能力,激发他们的网络系统安全保障创新思维。
5结语
网络系统安全保障能力是网络工程专业能力培养的一个重要环节。我们的工作仅仅是一个尝试性的开始,如何处理与计算机类其他专业、信息安全和信息对抗等相关专业之间的关系,如何评测网络安全能力的培养状况等,有待于未来的进一步研究与实践。评估技术。课程涉及的核心知识点如表1所示。通过开设安全测试与评估技术,教师引导和培养学生用逆向、对抗和整体思维来学习并思考网络系统安全保障问题。
网络安全保障体系建设篇7
信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制;应用平台则需要有针对各个用户的认证以及访问控制,这就需要保证每一个数据的传输的完整性和保密性,当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有:
1.1信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定,及时在当地公安机关进行备案,然后根据对应等级要求,组织好评测,然后开展针对性的防护,从而提供全面的保障。
1.2网络分区和隔离
运用网络设备和网络安全设备将企业网络划分为若干个区域,通过在不同区域实施特定的安全策略实现对区域的防护,保证网络及基础设置稳定正常,保障业务信息安全。
1.3终端安全防护
需要部署(实施)防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒;可以对互联网访问行为监管,为网络的安全防护管理提供安全保障;可以自动下发操作系统补丁,提高终端的安全性。
2.构建信息安全防护体系
电力企业应充分利用已经成熟的信息安全理论成果,在此基础上在设计出具有可操作性,能兼顾整体性,并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系,从而保障信息安全。
2.1建立科学合理的信息安全策略体系
信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则,所涉及的基本要素包括信息管理和信息技术这两方面,其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。
2.2建设先进可靠的信息安全技术防护体系
结合电力企业的特点,在企业内部形成分区、分域、分级、分层的网络环境,然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划,解决系统之间、系统内部网段间边界不清晰,访问控制措施薄弱的问题,对不同等级保护的业务系统分级防护,避免安全要求低的业务系统的威胁影响到安全要求高的业务系统,实现全方位的技术安全防护。同时,还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施,形成覆盖企业全领域的技术防护体系。
2.3设置责权统一的信息安全组织体系
在企业内部设置网络与信息安全领导机构和工作机构,按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导机构由决策层组成,工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门,包含安全管理员、系统管理员、网络管理员和应用管理员,并分配相关安全责任,使信息安全在组织内得以有效管理。
2.4构建全面完善的信息安全管理体系
对于电力企业的信息安全防范来说,单纯的使用技术手段是远远不够的,只有配合管理才能提供有效运营的保障。
2.4.1用制度保证信息安全
企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件,指明信息安全的发展方向,为信息安全提供管理指导和支持;安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上描述各控制流程;安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素,人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理,明确员工信息安全责任和义务,避免人为风险。
2.4.3建设时就考虑信息安全
在网络和应用系统建设时,就从生命周期的各阶段统筹考虑信息安全,遵照信息安全和信息化建设“三同步”原则,即“同步规划、同步建设、同步投入运行”。
2.4.4实施信息安全运行保障
主要是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,构建动态的可信安全运行保障。同时,还需要不断完善应急预案,做好预案演练,可以对信息安全事件进行及时的应急响应和处置。
3.总结
电力企业的信息安全是一个关系企业生产运营的复杂的系统工程,构建电力企业信息安全体系是一项管理与技术并进,系统性、整体性的工作,也是十分必要的工作。但随着网络与信息技术的发展,电力企业信息安全的需求也会逐步变化,并产生新的安全问题。所以构建信息安全体系需要结合自身特点和基础设施情况,统筹兼顾,分阶段、分步骤的去实施。
网络安全保障体系建设篇8
关键词:交通运输;电子政务;信息化;安全保障体系
0引言:电子政务信息安全问题
电子政务是一个基于现代信息技术的综合性政务信息系统,涉及政府机关、各团体、企业和社会公众,其基本框架一般来说主要包括政府办公政务网、办公政务资源网、公众信息网和办公政务信息资源数据库四个部分,即“三网一库”。我国早在2002年7月《关于我国电子政务建设指导意见》中,明确“把电子政务建设作为今后一个时期我国信息化工作的重点,政府先行,带动国民经济和社会发展信息化”,2006年进一步在《2006-2020年国家信息化发展战略》中明确“电子政务”作为我国信息化发展的重点战略,实现政府“改善公共服务,加强社会管理,强化综合监管和完善宏观调控”。电子政务上升到国家信息化的发展战略,其带给政府的意义在于不断促使政府公共服务创新,建设服务型政府。
而随着政府电子政务信息化的不断发展,电子政务对于信息系统的依赖性越来越强,不断涌现出来的信息安全问题成为政府信息主管部门关注的焦点。据cncert/cc监测显示, 2010年中国大陆有近3.5万个网站被黑客篡改,数量较2009年下降21.5%,但其中被篡改的政府网站高达4635个,比2009年上升67.6%。政府网站及其政务平台安全防护的薄弱性,不仅影响了政府形象和电子政务工作的开展,还给不法分子发布虚假信息或植入网页木马以可乘之机。因此,政府信息化主管部门如何在其信息化过程中,既能创新政府公务服务实现服务性政府职能,又能保障其电子政务平台的信息安全,保护其政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险,保障政务平台的信息基础设施、信息应用服务和信息内容具有机密性、完整性、不可修改性、可用性,能够抵御各种威胁,并在信息安全管理上保持良好的可控性,已成为政府在建设其电子政务平台过程中的重要课题。
本文将结合交通运输电子政务平台,分析其信息安全保障体系建设的基本要求和构建框架。
1我国交通运输电子政务平台的发展现状及面临的矛盾
2004年2月,交通部在其制定的《中国交通电子政务建设总体方案》中,提出了“交通政务内网、交通政务外网和电子信息资源库”的交通电子政务建设总体架构。为进一步规范交通电子政务的建设,交通部于2008年12月出台了《交通运输电子政务网络及业务应用系统建设技术指南(试行)》。在政策的指导下,我国交通电子政务平台的发展速度加快,交通电子政务平台的基础架构已经凸显规模,部(交通运输部)省(各省道路运输管理部门)道路运输管理信息系统建设,已实现了20多个省(区、市)运政系统与部联网,纵向业务系统互联互通、资源共享、整合利用的模式已初步建立。与此同时,交通电子政务平台的信息化标准规范体系也得到进一步完善。交通部先后制订颁布了覆盖公路、水路交通行业主要业务领域的公路、港口、航道、船舶、道路运输、水路运输、船员、建设项目、交通统计、船舶检验、船载客货、收费公路等10多项交通信息基础数据元标准,颁布了公路水路交通信息资源业务分类和元数据标准以及道路运输管理与服务系统技术要求和接口规范等标准。这些标准的出台对于规范行业信息化发展,推动交通电子政务建设,促进交通信息资源整合发挥重要的支撑保障作用。
在我国交通电子政务的信息化进程中,实现部、省交通部门办公自动化、电子化、网络化;实现信息网络宽带化,网络间实现高速互联互通;建立交通信息资源数据库,整合、开发信息资源,形成面向社会的政府公众信息服务网等信息化建设,是交通电子政务建设的重点,这些重点建设内容均与信息技术相关,离不开网络的支撑。网络的“开放性”与政务的“安全性”、网络的“可访问性”与政务的“稳定性”成为当前我国交通电子政务实施过程的两大矛盾。
1.1平台的安全性与开放性之间的矛盾
即电子政务的安全要求与电子政务平台的开放性要求成为交通电子政务实施过程中最难以平衡的一对矛盾。如何把握政务“安全”与网络“开放”的平衡,一方面要把握住哪些信息是交通政府部门的机密,哪些是开放;另一方面,在电子政务平台的建设过程中如何摆脱“安全绝对化”倾向,否则电子政务服务的公众性就会失去落脚点,以政务信息化带动社会信息化、企业信息化的战略意图也将难以实现。
1.2平台的安全性与可访问性之间的矛盾
电子政务的安全性要求与电子政务平台的可访问性要求成为交通电子政务实施过程中另一对矛盾。电子政务平台应重视其信息安全问题,其另一层含义还应注意保持网络安全性与可访问性之间的平衡。交通电子政务平台必须易于访问,这样才能激励公众去使用它。而在提供了更好的可访问性的同时,也将交通运输的数据暴露在不断增长的病毒及未授权访问的威胁之下,导致政务平台的不安全性。
2我国交通运输电子政务平台信息安全保障体系的构建
当前我国交通电子政务实施过程的两大矛盾的解决,依赖于安全、稳定、可靠的交通运输电子政务平台信息安全保障体系。对于电子政务平台实施过程中所面临的信息安全保障问题,我国早在2003年9月颁发的《关于加强信息安全保障工作的意见》中明确提出了建立等级保护制度和风险管理体系的要求。2004年11月,公安部等国家四部委联合推出信息安全等级保护要求、测评准则和实施指南,为政务领域进一步建立政务信息系统风险管理体系提供了技术基础和指导。交通运输部也于2008年12月颁布的《交通运输电子政务网络及业务应用系统建设技术指南》中对交通电子政务平台的安全保障体系作了详细的技术规范。
随着交通政府机构的信息安全基础建设日趋完善,建立一套信息安全管理平台,既满足电子政务平台的开放性和可访问性,又保证电子政务平台的安全性,也日益迫切。交通电子政务信息安全保障体系可从以下几个角度进行充分构建:
2.1信息安全保障体系及其基本要求
信息安全保障体系是基于pki体系而开发的为多个应用系统提供统一认证、访问控制、应用审计和远程接入的应用安全网关系统,它可以将不同地理位置、不同基础设施(主机、网络设备和安全设备等)中分散且海量的安全信息进行样式化、汇总、过滤和关联分析,形成基于基础设施与域的统一等级的威胁与风险管理,并依托安全知识库和工作流程驱动,对威胁与风险进行响应和处理。信息安全保障体系的基本要求主要体现在以下几个方面:
1)保密性
主要体现在谁能拥有信息,如何保证秘密和敏感信息仅为授权者享有。
2)完整性
主要体现在拥有的信息是否正确以及如何保证信息从真实的信源发往真实的信宿,传输、存储、处理中未被删改、增添、替换。
3)可用性
主要体现在信息和信息系统是否能够使用以及如何保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。
4)可控性
主要体现在是否能够监控管理信息和系统以及如何保证信息和信息系统的授权认证和监控管理。 5)不可否认性
主要体现在信息行为人为信息行为承担责任,保证信息行为人不能否认其信息行为。
总之,信息安全保障体系的基本要求主要从技术和管理两个层面得以实现。技术层面在实现信息资源的公开性、共享性和可访问性的同时,通过主机安全、网络安全、物理安全、数据安全和应用安全等技术要素保障信息的安全性。管理层面则可通过安全管理机制、安全管理制度、人员安全管理、系统建设管理以及系统运营管理等规范化机制得以保障信息的安全性。信息安全保障体系的基本要求如下图所示:
图1 信息安全保障体系的基本要求
2.2交通电子政务平台信息安全保障体系的构建
交通电子政务平台的信息安全保障体系,应该由组织体系、技术体系、运营体系、策略体系和保障对象体系等共同组成。以安徽省交通电子政务平台为例,进行构建交通电子政务平台的信息安全保障体系。
2.2.1 安全组织体系
政府高度重视交通运输信息化工作的同时,坚持把“积极防御,综合防范”放在优先位置,首先要求成立专门的信息安全领导小组。信息安全领导小组可由交通主管领导担任领导小组组长主管信息安全工作,下设信息安全工作组,各管理部门负责人、业务部门负责人为成员。
2.2.2 安全技术体系
交通电子政务平台的安全技术体系可搭建专业的安全管理运营中心,并从基础设施安全和应用安全两个方面去搭建安全技术支撑体系。
2.2.3 安全运营体系
交通电子政务的安全运营体系一般可由安全体系推广与落实、项目建设的安全管理、安全风险管理与控制和日常安全运行与维护四个部分组成。安全运营体系是一个完整的过程体系,在交通电子政务平台的整个过程中,正常的运作流程,其信息流遵循自上而下的流程,即交通上级部门根据电子政务平台信息安全需求的目标、规划和控制要求做计划,下级交通部门根据计划进行执行、检查和改进。而若交通电子政务平台其安全性出现威胁,影响正常的运作流程时,此时信息流则遵循自下而上的逆向过程,下级交通部门向上级部门报送安全事件,上级部门根据其安全事件进行分析、总结和改进。
2.2.4 安全策略体系
网络安全策略是为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和,因此信息安全策略是信息安全保障体系建设和实施的指导和依据,全面科学的安全策略体系应贯穿信息安全保障体系建设的始终。安全策略体系,主要包含安全政策体系、安全组织体系、安全技术体系和安全运行体系四个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护,减小网络受到攻击的可能性,防范网络安全事件的发生,提高对安全事件的反应处理能力,并在网络安全事件发生时尽量减少事件造成的损失。
图4 安全策略体系
2.2.5 安全保障对象体系
交通电子政务平台,其保障对象应该以由交通运输政务内网所承担着涉密的政务信息传输作为其重中之重,包括交通运输系统内部日常办公业务和公文流转系统、涉密政务信息报送系统、部长办公系统、内部数据共享平台,与全国政府系统业务网络连接等。
图5 交通运输电子政务安全保障对象体系
3结论
信息安全保障体系建设是交通电子政务建设不可缺少的重要组成部分。由于交通电子政务信息系统承载着大量事关国家政治安全、经济安全、交通安全和社会稳定的重要数据和信息,网络与信息安全不仅关系到交通电子政务的健康发展,还成为服务型政府形象的重要窗口,更成为国家安全保障体系的重要组成部分。一个完整的交通电子政务信息安全保障体系,应在保证电子政务信息的保密性、完整性、可用性、可控性和不可否认性的前提下,坚持把“积极防御,综合防范”的应对策略,按照“重点突破、自上而下、资源共享、统一规划、分布实施”的原则,从组织体系、技术体系、运营体系、策略体系和保障对象体系等五个安全体系建设我国的交通电子政务信息安全保障体系。只有具备安全保障体系的电子政务信息系统,才是真正意义上的电子政务。