網絡安全風險預案范文

時間:2023-12-07 17:47:49

導語:如何才能寫好一篇網絡安全風險預案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

網絡安全風險預案

篇1

關鍵詞 計算機網絡;安全風險;黑客;防范措施

中圖分類號TP393 文獻標識碼A 文章編號 1674-6708(2012)72-0209-01

近十幾年來,計算機技術的快速發(fā)展,推動了全社會的信息化進程,計算機的廣泛應用,提高了各個行業(yè)的工作效率。但是,計算機互聯網由于其開放性、互連性特征,易遭到黑客以及惡意軟件的攻擊,給計算機的使用者帶來極大的損害。由于互聯網存在諸多潛在的安全風險,使得計算機網絡的安全問題面臨著嚴峻的考驗。因此,分析計算機網絡存在的安全風險,探討相應的防范措施,具有重要的現實意義。

1 計算機網絡安全風險分析

計算機網絡的安全風險,主要存在于以下六個方面:

1)計算機網絡系統本身的安全風險。計算機系統的網絡結構,普遍應用的是混合型結構,多種設備的結構混合為一體,而每種設備,都會不同程度的影響到網絡的運行,對計算機網絡系統形成潛在的安全風險。此外,由于開放性和共享性是網絡技術的優(yōu)點,但是,由于互聯網的復雜性、交錯性,其開放性、共享性的優(yōu)點,同時也成了弱點,使得計算機系統容易遭受到黑客的攻擊,造成了安全風險;2)計算機病毒。計算機病毒,指的是人為編制的一組計算機指令或代碼,其進入計算機程序后,能夠毀壞計算機的數據,破壞計算機的功能。隨著近年來互聯網規(guī)模的日益擴大,計算機病毒傳播的主要手段,成為了網絡傳播,病毒能夠在局域網內進行傳播、擴大。計算機用戶在上網時,正常的瀏覽網頁、看新聞、下載圖片及視頻資料、收發(fā)電子郵件等,都有可能感染上計算機病毒。電腦一旦感染了病毒,電腦的程序和系統都會遭到嚴重的破壞,導致計算機無法正常工作;3)黑客攻擊。黑客是指利用計算機的系統安全漏洞,對網絡進行攻擊破壞,或竊取資料的人。計算機網絡系統本身的安全風險,給黑客帶來了可乘之機,黑客通過密碼探測,對計算機進行入侵、攻擊,通過網絡偵察,截獲將電腦用戶的信息,竊取用戶資料,破譯用戶密碼,得到電腦使用者的機密信息,給電腦使用者造成很大的損害;4)垃圾郵件。由于計算機用戶的電子郵件地址具有公開性的特點,使得黑客可以把垃圾郵件強行發(fā)送到眾多計算機用戶的電子郵箱中,使用戶面臨可能感染計算機病毒的風險;5)網絡軟件漏洞。很多的網絡軟件存在安全漏洞,很大一部分的服務器,由于網絡軟件沒有及時打上補丁,而成為了黑客攻擊的對象,導致很嚴重的安全風險;6)網絡管理力度不夠。很多網絡站點的防火墻配置,由于訪問權限過大,這些權限一旦被黑客使用,就會使計算機面臨被黑客攻擊的風險,從而降低了網絡系統的安全性。

2 計算機網絡安全防范措施

1)設置訪問控制。為了防范網絡風險,通常采取的最主要的措施,就是設置訪問控制。設置訪問控制,可以保證計算機網絡不被非法訪問和使用,是保證計算機網絡安全最重要的核心措施;2)運用計算機病毒防范技術。由于計算機病毒的破壞性很強,會對電腦造成嚴重的危害,所以計算機用戶要在使用的電腦上,安裝適合的殺毒軟件,并經常升級殺毒軟件。同時,計算機用戶還要注意上網安全,對于感覺可疑的網頁鏈接,不要輕易打開;對于感覺可疑的文件,不要輕易下載;3)運用防火墻技術。防火墻具有限制外界用戶對內部網絡訪問、管理內部用戶訪問外界網絡的作用。防火墻技術按照一定的安全策略,對網絡中的鏈接方式進行檢查,來判斷網絡之間的通信是否被允許,同時對網絡運行的狀態(tài)進行實時的監(jiān)控。把所有安全軟件配置在防火墻上,可以有效防止非法用戶的入侵,極大地降低計算機網絡的安全風險;4)安裝殺毒軟件。只需要幾分鐘的時間,就可以把殺毒軟件安裝到計算機的NT服務器上,還可下載到所有的目的機器上。好的殺毒軟件能夠自動提供最佳的網絡病毒防御措施,計算機用戶要選擇合適的網絡殺毒軟件,對計算機網絡定期進行查毒、殺毒、網絡修復等。與此同時,用戶要對殺毒軟件及時進行升級換代,以確保其對病毒的殺傷力;5)運用信息加密技術。由于計算機網絡具有復雜性、開放性的特點,同時計算機自身存在缺陷,當信息數據通過網絡進行傳輸時,信息數據易被泄露,因此,信息加密技術就顯得尤為重要。計算機網絡數據加密在整個過程中,其進行傳輸的時候,都是以密文形式進行的,因此可使保障數據傳輸的安全,得到有效的保障;6)落實網絡安全管理。網絡安全的防范,除了應用先進的軟件之外,還需要落實網絡安全管理。網絡管理員要加大網絡監(jiān)控力度,對網絡安全狀況進行準確的評估,針對計算機網絡安全存在的風險,提出相應的整改意見,并制定應急預案,以防患于未然。同時,做好計算機設備的維護,營造優(yōu)良的網絡環(huán)境,確保計算機網絡的安全。

總之,針對計算機網絡存在的安全風險,加強計算機網絡的安全防范措施,不但要采用先進的軟件技術,而且要加強網絡的安全管理,才能確保計算機網絡的安全運行。

參考文獻

[1]何莉,許林英,姚鵬海.計算機網絡概論[M],2006(1).

[2]彭珺,高珺.計算機網絡信息安全及防護策略研究[J].計算機與數字工程,2011(9).

[3]金曉倩.基于計算機防火墻安全屏障的網絡防范技術[J].素質論壇,2009(11).

[4]王小芹.計算機網絡安全的防范技術及策略[J].內蒙古科技與,2005(15).

篇2

1.1安全風險評估應用模型三階段。

在電子政務系統設的實施過程,主要分為規(guī)劃與設計階段、建設與實施階段、運行與管理階段等三個階段。其中,安全風險分析主要作用于規(guī)劃與設計階段,安全等級評估主要作用于建設與施工階段,安全檢查評估主要作用于運行與管理階段。安全風險分析,主要是利用風險評估工具對系統的安全問題進行分析。對于信息資產的風險等級的確定,以及其風險的優(yōu)先控制順序,可以通過根據電子政務系統的需求,采用定性和定量的方法,制定相關的安全保障方案。安全等級評估,主要由自評估和他評估兩種評估方式構成。被評估電子政務系統的擁有者,通過結合其自身的力量和相關的等級保護標準,進行安全等級評估的方式,稱為自評估。而他評估則是指通過第三方權威專業(yè)評估機構,依據已頒布的標準或法規(guī)進行評估。通過定期或隨機的安全等級評估,掌握系統動態(tài)、業(yè)務調整、網絡威脅等動向,能夠及時預防和處理系統中存在的安全漏洞、隱患,提高系統的防御能力,并給予合理的安全防范措施等。若電子政務網絡系統需要進行較大程度上的更新或變革,則需要重新對系統進行安全等級評估工作。安全檢查評估,主要是在對漏洞掃描、模擬攻擊,以及對安全隱患的檢查等方面,對電子政務網絡系統的運行狀態(tài)進行監(jiān)測,并給予解決問題的安全防范措施。

1.2安全風險分析的應用模型。

在政府網絡安全風險評估工作中,主要是借助安全風險評測工具和第三方權威機構,對安全風險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此,本文重點要講述的是安全風險分析的應用模型。在安全風險分析的應用模型中,著重需要考慮到的是其主要因素、基本流程和專家評判法。

(1)主要因素。

在資產上,政府的信息資源不但具有經濟價值,還擁有者重要的政治因素。因此,要從關鍵和敏感度出發(fā),確定信息資產。在不足上,政府電子政務網絡系統,存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務網絡系統受到來自內、外部的威脅。在影響上,可能致使信息資源泄露,嚴重時造成重大的資源損失。

(2)基本流程。

根據安全需求,確定政府電子政務網絡系統的安全風險等級和目標。根據政府電子政務網絡系統的結構和應用需求,實行區(qū)域和安全邊界的劃分。識別并估價安全區(qū)域內的信息資產。識別與評價安全區(qū)域內的環(huán)境對資產的威脅。識別與分析安全區(qū)域內的威脅所對應的資產或組織存在的薄弱點。建立政府電子政務網絡系統的安全風險評估方法和安全風險等級評價原則,并確定其大小與等級。結合相關的系統安全需求和等級保護,以及費用應當與風險相平衡的原則,對風險控制方法加以探究,從而制定出有效的安全風險控制措施和解決方案。

(3)專家評判法。

在建設政府電子政務網絡系統的前期決策中,由于缺少相關的數據和資料,因此,可以通過專家評判的方法,為政府電子政務網絡系統提供一個大概的參考數值和結果,作為決策前期的基礎。在安全區(qū)域內,根據網絡拓撲結構(即物理層、網絡層、系統層、應用層、數據層、用戶層),應用需求和安全需求劃分的安全邊界和安全區(qū)域,建立起風險值計算模型。通過列出從物理層到用戶層之間結構所存在的薄弱點,分析其可能為資產所帶來的影響,以及這些薄弱點對系統薄弱環(huán)節(jié)外部可能產生的威脅程度大小,進而通過安全風險評估專家進行評判,得到系統的風險值及排序。在不同的安全層次中,每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法,能夠幫助計算出特定安全區(qū)域下的資產在這些薄弱環(huán)節(jié)中的風險值。

2結語

篇3

隨著信息科技的高速發(fā)展,網絡在越來越多地為人們生活提供便利的同時,也為企業(yè)節(jié)省了大量的人力和物力,但是企業(yè)在使用網絡與外界交流時也同樣承擔著巨大的風險。本文介紹了醫(yī)院網絡中存在風險的原因、存在的風險及其對策。為醫(yī)院在網絡安全方面提供了一定的建議。

關鍵字:企業(yè)網絡 醫(yī)院網絡 網絡安全 網絡體系 技術手段

Abstract:With the high-speed development of information science and technology, the network, offering the facility to people more and more, and also help the company to save a large number of manpower and material resources. But the trade company is undertaking the enormous risk while using the network to exchange with external world too. This text has introduced the reason of existing risk and countermeasure with the risk in enterprise's network. Have offered certain suggestion in online security for the trade company.

Keyword: Enterprise's network

Security of network

Network system

Technological means

前言:

隨著信息技術的高速發(fā)展,互聯網越來越被人們所重視,從農業(yè)到工業(yè)再到高科技產業(yè)各行各業(yè)都在使用互聯網參與行業(yè)生存與競爭。企業(yè)對網絡的依存度越來越高,網絡在企業(yè)中所處的位置也越來越重要,系統中存儲著維系企業(yè)生存與競爭的重要資產-------企業(yè)信息資源。但是,諸多因素威脅著計算機系統的正常運轉。如,自然災害、人員的誤操作等,不僅會造成系統信息丟失甚至完全癱瘓,而且會給企業(yè)造成無法估量的損失。因此,企業(yè)必須有一套完整的安全管理措施,以確保整個計算機網絡系統正常、高效、安全地運行。本文就影響醫(yī)院計算機網絡安全的因素、存在的安全隱患及其應對策略三個方面進行了做了論述。

一、醫(yī)院網絡安全存在的風險及其原因

1.自然因素:

1.1病毒攻擊

因為醫(yī)院網絡同樣也是連接在互聯網上的一個網絡,所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的,而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器,造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬,阻塞正常流量,形成拒絕服務攻擊。我們清醒地知道,完全避免所有終端上的病毒是不可能的,但要盡量減少病毒爆發(fā)造成的損失和恢復時延是完全可能的。但是由于一些工作人員的疏忽,使得醫(yī)院網絡被病毒攻擊的頻率越來越高,所以病毒的攻擊應該引起我們的關注。

1.2軟件漏洞

任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊,主要在以下幾個方面:

1.2.1、協議漏洞。例如,IMAP和POP3協議一定要在Unix根目錄下運行,攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄,從而獲得超級用戶的特權。

1.2.2、緩沖區(qū)溢出。很多系統在不檢查程序與緩沖區(qū)之間變化的情況下,就接受任何長度的數據輸入,把溢出部分放在堆棧內,系統仍照常執(zhí)行命令。攻擊者就利用這一漏洞發(fā)送超出緩沖區(qū)所能處理的長度的指令,來造成系統不穩(wěn)定狀態(tài)。

1.2.3、口令攻擊。例如,U nix系統軟件通常把加密的口令保存在一個文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時更新的系統,都是容易被攻擊的。

2、人為因素:

2.1操作失誤

操作員安全配置不當造成的安全漏洞,用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業(yè)計算機網絡使用初期較常見,隨著網絡管理制度的建立和對使用人員的培訓,此種情況逐漸減少.對網絡安全己不構成主要威脅。

2.2惡意攻擊

這是醫(yī)院計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。網絡黑客和計算機病毒對企業(yè)網絡(內聯網)和公網安全構成巨大威脅,每年企業(yè)和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范,因此防范人為的惡意攻擊將是醫(yī)院網絡安全工作的重點。

二、構建安全的網絡體系結構

1.設計網絡安全體系的原則

1.1、體系的安全性:設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性,必須保證體系的完備性和可擴展性。

1.2、系統的高效性:構建網絡安全體系的目的是能保證系統的正常運行,如果安全影響了系統的運行,那么就需要進行權衡了,必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件,它們也會占用網絡系統的一些資源。因此,在設計網絡安全體系時必須考慮系統資源的開銷,要求安全防護系統本身不能妨礙網絡系統的正常運轉。

1.3、體系的可行性:設計網絡安全體系不能純粹地從理論角度考慮,再完美的方案,如果不考慮實際因素,也只能是一些廢紙。設計網絡安全體系的目的是指導實施,如果實施的難度太大以至于無法實施,那么網絡安全體系本身也就沒有了實際價值。

1.4、體系的可承擔性:網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由企業(yè)來支持,要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多,那么我們就不該采用這個方案。所以,在設計網絡安全體系時,必須考慮企業(yè)的業(yè)務特點和實際承受能力,沒有必要按電信級、銀行級標準來設計這四個原則,可以簡單的歸納為:安全第一、保障性能、投入合理、考慮發(fā)展。

2、網絡安全體系的建立

網絡安全體系的定義:網絡安全管理體系是一個在網絡系統內結合安全

技術與安全管理,以實現系統多層次安全保證的應用體系。

網絡系統完整的安全體系

系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠,確保應用系統正常運行。主要包括以下幾個方面:

(1)防止非法用戶破壞系統設備,干擾系統的正常運行。

(2)防止內部用戶通過物理手段接近或竊取系統設備,非法取得其中的數據。

(3 )為系統關鍵設備的運行提供安全、適宜的物理空間,確保系統能夠長期、穩(wěn)定和高效的運行。例如:中心機房配置溫控、除塵設備等。

網絡安全性主要包括以下幾個方面:

(1)限制非法用戶通過網絡遠程訪問和破壞系統數據,竊取傳輸線路中的數據。

(2)確保對網絡設備的安全配置。對網絡來說,首先要確保網絡設備的安全配置,保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。

(3)網絡通訊線路安全可靠,抗干擾。屏蔽性能好,防止電磁泄露,減

少信號衰減。

(4)防止那些為網絡通訊提供頻繁服務的設備泄露電磁信號,可以在該設備上增加信號干擾器,對泄露的電磁信號進行干擾,以防他人順利接收到泄露的電磁信號。

應用安全性主要是指利用通訊基礎設施、應用系統和先進的應用安全控制技術,對應用系統中的數據進行安全保護,確保能夠在數據庫級、文檔/記錄級、段落級和字段級限制非法用戶的訪問。

另外,對存放重要數據的計算機(服務器、用戶機)應使用安全等級較高的操作系統,利用操作系統的安全特性。

三、網絡安全的技術實現

1、防火墻技術

在外部網絡同內部網絡之間應設置防火墻設備。通過防火墻過濾進出網絡的數據,對進出網絡的訪問行為進行控制和阻斷,封鎖某些禁止的業(yè)務,記錄通過防火墻的信息內容和活動。對網絡攻擊進行監(jiān)測和告警。防火墻可分為包過濾型、檢測型、型等,應根據不同的需要安裝不同的防火墻。

2、劃分并隔離不同安全域

根據不同的安全需求、威脅,劃分不同的安全域。采用訪問控制、權限控制的機制,控制不同的訪問者對網絡和設備的訪問,防止內部訪問者對無權訪問區(qū)域的訪問和誤操作。

我們可以按照網絡區(qū)域安全級別把網絡劃分成兩大安全區(qū)域,即關鍵服務器區(qū)域和外部接入網絡區(qū)域,在這兩大區(qū)域之間需要進行安全隔離。在關鍵服務器區(qū)域內部,也同樣需要按照安全級別的不同進行進一步安全隔離。

劃分并隔離不同安全域要結合網絡系統的安防與監(jiān)控需要,與實際應用環(huán)境、工作業(yè)務流程和機構組織形式密切結合起來。

3、防范病毒和外部入侵

防病毒產品要定期更新升級,定期掃描。在不影響業(yè)務的前提下,關閉系統本身的弱點及漏洞并及時打上最新的安全補丁。防毒除了通常的工作站防毒外,email防毒和網關式防毒己經越來越成為消除病毒源的關鍵。還應使用掃描器軟件主動掃描,進行安全性檢查,找到漏洞并及時修補,以防黑客攻擊。

醫(yī)院網管可以在CISCO路由設備中,利用CISCO IOS操作系統的安全保護,設置用戶口令及ENABLE 口令,解決網絡層的安全問題,可以利用UNIX系統的安全機制,保證用戶身份、用戶授權和基于授權的系統的安全,:對各服務器操作系統和數據庫設立訪問權限,同時利用UNIX的安全文件,例如/etc/hosts. equiv文件等,限制遠程登錄主機,以防非法

用戶使用TELNET、FTP等遠程登錄工具,進行非法入侵。

4、備份和恢復技術

備份是保證系統安全最基本、最常用的手段。采取數據的備份和恢復措施,有些重要數據還需要采取異地備份措施,防止災難性事故的發(fā)生。

5、加密和認證技術

加密可保證信息傳輸的保密性、完整性、抗抵賴等,是一個非常傳統,但又非常有效的技術。加密技術主要用于網絡安全傳輸、公文安全傳輸、桌面安全防護、可視化數字簽名等方面。

6、實時監(jiān)測

采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規(guī)行為,包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等,從而發(fā)現系統遭受的攻擊傷害。網絡實時監(jiān)測系統作為對付電腦黑客最有效的技術手段,具有實時、自適應、主動識別和響應等特征。

7、 PKI技術

公開密鑰基礎設施(PKI )是通過使用公開密鑰技術和數字證書來確保系統網絡安全并負責驗證數字證書持有者身份的一種體系。PKI 可以提供的服務包括:認證服務,保密(加密),完整,安全通信,安全時間戳,小可否認服務(抗抵賴服務),特權管理,密鑰管理等。

四、結束語:

網絡的安全與醫(yī)院利益息息相關,一個安全的網絡系統的保護不僅和系統管理員的系統安全知識有關,而且和領導的決策、工作環(huán)境中每個員工的安全操作等都有關系。網絡安全是動態(tài)的,新的Internet黑客站點、病毒與安全技術每日劇增,醫(yī)院網絡管理人員要掌握最先進的技術,把握住醫(yī)院網絡安全的大門。

五、參考文獻

[1] 李國棟,劉克勤。Internet常用的網絡安全技術。現代電力。2001. 11. 21

[2] 肖義等,PKI網絡安全平臺的研制與開發(fā)。2002. 1.23

篇4

關鍵詞:鐵路網絡;信息;安全風險;管理措施

 

目前,我國已經進入信息網絡技術普及的時代中,在信息技術應用越來越廣泛、作用越來越強大的同時,鐵路運輸組織、服務、管理、建設等多方面的發(fā)展逐漸依賴于信息技術與網絡技術,目前鐵路生產與管理已經進入智能化、管控一體化的管理模式中,因此,信息與網絡的安全性對鐵路發(fā)展有著至關重要的影響。但是隨著信息化越來越強烈,存在的風險越來越多,這對鐵路發(fā)展無疑是一種嚴重的威脅,下面對控制網絡與信息安全風險提出了幾點參考建議。

一、信息安全管理體系結構

信息安全風險管理體系結構模型主要由技術、管理以及系統生命周期三大要素組成的三維模型。而信息安全是由信息安全技術與信息安全管理共同參與保護工作而實現的,信息安全技術的保護作用在于對信息安全保護采取的有效技術措施,而信息安全管理的作用主要在于對信息安全技術實施與運行過程中進行科學管理,促使信息安全技術發(fā)揮最大作用。隨著信息安全風險越來越多,需要不斷提高信息安全技術實施與運行能力,更重要的是加強信息安全管理,從政策、法律、技術、人員等方面進行全面管理,為保證信息安全采取有效的應對措施。

1、技術要素

在技術要素中主要含有環(huán)境、系統、網絡、應用四個技術方面。鐵路信息系統建設過程中,環(huán)境安全是保護信息系統安全的基礎與屏障,對于機房環(huán)境安全要求非常嚴格,從機房建設過程開始就需要對機房地址、周邊環(huán)境等方面進行考慮,特別是對防火、防雷擊、防滲水、防鼠害等多種對機房安全有影響的因素全部考慮在內,同時還要加強對機房維護與管理等方面工作的考慮。值班人員管理、設備管理、電源管理、機房詢問控制以及機房保密等方面中都會存在安全風險,因此需要對其采取相應的管理措施,來降低風險發(fā)生幾率,保障信息安全。

系統主要是由硬件、軟件以及數據組成,加強系統安全,首先要確保硬件安全、軟件安全以及數據安全,一旦發(fā)生安全風險,就會使數據遭到破壞、更改、泄露等風險出現,因此,需要加強對其安全保護,保證數據安全、促使系統正常運行。網絡是數據傳輸、分析、處理等方面的重要渠道,要對網絡安全加以重視,網絡安全是可以保證信息安全的基礎,因此,需要對其加強管理,要從結構、訪問、審計、設備、代碼、病毒等方面進行全面加強防范措施。應用系統是實現信息權限管理的重要技術,具有賦予、變更、撤銷等重要信息應用功能,因此,加強應用系統安全管理有一定的必要性。首先要完善專用用戶登錄識別功能;其次要提高訪問控制功能;再次需要對重要信息進行加密保管;還要保證數據完整性,加強密碼技術功能應用;最后要對資源進行合理控制,限制使用額度。

2、管理要素

信息安全風險管理效果與鐵路內部組織結構、管理制度以及人員管理有著直接的關系,沒有完善的組織結構,相應的管理制度,會使內部管理混亂,進而發(fā)生信息安全管理不得當,同時技術人員的技術水平以及個人素質等因素都會造成信息泄露、丟失等風險存在。因此,必須建立完善的組織結構,鐵路信息系統的安全要在組織結構方面得到安全保證。鐵路信息安全管理應建立由上級領導層、中級管理層、下級執(zhí)行層三個層面的管理組織機構,并制定完善的管理制度,落實到實際工作中,加強技術人員的培訓,以提高技術人員專業(yè)水平以及綜合素質為目的,優(yōu)化整個信息安全管理部門,促使鐵路信息安全風險管理得到保證。

3、系統生命周期要素分析

設計階段的安全風險管理過程應對設計方案中所提供的安全功能符合性進行判斷,作為采購過程風險控制的依據。應詳細評估設計方案中對系統可能面臨威脅的描述,將使用的具體設備、軟件等資產及其安全功能需求列表?;谠O計階段的資產列表、安全措施,實施階段應對規(guī)劃階段的安全威脅進行進一步細分,同時評估安全措施的實現程度,從而確定安全措施能否抵御現有威脅、脆弱性的影響。運行維護階段的風險評估應采取定期和非定期兩種方式;當組織的業(yè)務流程、系統狀況發(fā)生重大變更時,也應進行風險評估。

二、采取措施建議

在信息系統規(guī)劃、設計階段,應對信息系統的安全需求進行分析,同步規(guī)劃、設計信息系統的安全等級和保護措施,建立安全環(huán)境,從源頭上保障信息安全。對已定級的信息系統,應嚴格按照等保要求進行區(qū)域劃分、邊界防護、訪問控制、安全審計及安全管理。構建一個全路信息系統可視化管理平臺,對網絡、計算機設備、應用系統部署、操作用戶及角色、運維狀態(tài)等關鍵信息進行全局監(jiān)控,提高對系統中安全問題及其隱患的發(fā)現、分析和防范能力。建立全路統一的身份認證與授權機制,對各信息系統的用戶進行統一管理,確保信息在產生、存儲、傳輸、處理過程中的保密性、完整性、抗抵賴性和可用性。

鐵路網絡與信息安全風險管理,不僅僅是從加強技術或者管理任意一方面就可以實現的,而是需要對信息技術與安全管理相結合,共同完善信息安全風險管理。加強對信息技術內部結構的保護,從硬件、軟件、數據、加密手段、權限管理手段等多方面進行安全防護,控制系統安全風險發(fā)生,同時還需要加強信息外部管理,從建設、人員、操作、管理等方面進行管理,保證鐵路網絡與信息安全,降低風險發(fā)生,為鐵路發(fā)展提供信息安全保障。

 

參考文獻:

篇5

關鍵詞:網絡安全;系統;攻擊

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)18-4324-02

網絡安全是網絡正常運行的前提。網絡安全不僅是單點的安全,還是整個信息網絡的安全,需要從物理、網絡、系統、應用和管理方面進行立體的防護。網絡安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類。

目前,造成網絡不安全的主要因素是系統、協議及數據庫等的設計上存在缺陷。由于當今網絡操作系統在本身結構設計和代碼設計時偏重考慮系統使用時的方便性,導致了系統在遠程訪問、權限控制和口令管理等許多方面存在安全漏洞,成為被攻擊的目標。

1 網絡模擬攻擊的過程

1.1 信息的收集

信息的收集并不對目標產生危害,只是為進一步的入侵提供有用信息。攻擊者會利用下列的公開協議或工具,收集駐留在網絡系統中的各個主機系統的相關信息:

1) TraceRoute程序能夠用獲得到達目標主機所要經過的網絡數和路由器數。

2) SNMP協議用來查閱網絡系統路由器的路由表,從而了解目標主機所在網絡的拓撲結構及其內部細節(jié)。

3) DNS服務器提供了系統中可以訪問的主機IP地址表和它們所對應的主機名。

4) Whois協議的服務信息能提供所有有關的DNS域和相關的管理參數。

5) Ping實用程序可以用來確定一個指定的主機的位置或網線是否連通。

1.2 系統安全弱點的探測

在收集到一些準備要攻擊目標的信息后,攻擊者會探測目標網絡上的每臺主機,來尋求系統內部的安全漏洞,主要探測的方式有如下兩種:

1) 慢速掃描

由于一般掃描偵測器的實現是通過監(jiān)視某個時間段里一臺特定主機發(fā)起的連接的數目來決定是否在被掃描。針對這一漏洞,完全可以通過使用掃描速度慢一些的掃描軟件逃避偵測。

2) 體系結構探測

攻擊者利用一些特殊的數據包傳送給目標主機,使其作出相對應的響應。由于每種操作系統的響應時間和方式都是不一樣的,\客利用這種特征把得到的結果與準備好的數據庫中的資料相對照,從中便可輕而易舉地判斷出目標主機操作系統所用的版本及其他相關信息。

1.3 拒絕服務攻擊

拒絕服務攻擊是攻擊者加載過多的服務將對方資源全部占用,使得其沒有多余資源供其他用戶無法使用。SYN Flood就是典型的拒絕服務攻擊。

SYN Flood常常是源IP地址欺騙攻擊的前奏,每當我們進行一次標準的TCP連接,就會經歷一個“三次握手”的過程。而SYN Flood只實現“三次握手”的前兩個步驟,當服務方收到請求方的SYN并回送SYN-ACK確認報文后,請求方由于采用源地址欺騙等手段,致使服務方得不到ACK回應。這樣,服務方會在一定時間內處于等待接收請求方ACK報文的狀態(tài),一臺服務器可用的TCP連接是有限的,如果惡意攻擊方快速連續(xù)的發(fā)送此類連接請求,則服務器的系統可用資源、網絡可用帶寬急劇下降,將無法向其它用戶提供正常的網絡服務。

1.4 協議欺騙攻擊

1) 源IP地址欺騙攻擊

許多應用程序都認為若數據包沿著路由到達目的地,并且應答包也可回到源地,那么源IP地址一定是有效的,而這卻可以被源IP地址欺騙攻擊所利用。

假設同一網段有A和B兩臺主機,A給B賦予了某些特權。另一網段的C主機為了獲得和B一樣的特權,而對A采取了欺騙攻擊。首先,C會代替B給A發(fā)送一個請求,然后A給B發(fā)送一個應答。但是,這時的B正遭到C實施的拒絕服務攻擊,導致服務失效。為了完成通信的“三次握手”,C還需要回復A的應答。由于不在一個網段,C只能利用TCP順序號估算法來預測應答包。如果猜對了,它就成功獲得了特權。

2) 源路由欺騙攻擊

通常,信息包從起點到終點所走的路,是由位于此兩點間的路由器決定的。源路由可使發(fā)送者將此信息包要經過的路徑寫進數據里,使信息包循著一個對方不可預料的路徑到達目的主機。

假設主機A享有主機B的某些特權,主機C想冒充主機A從主機B獲得某些服務。首先,攻擊者修改距離C最近的路由器,使得到達此路由器且包含目的地址的數據包,以主機C所在的網絡為目的地。然后,攻擊者利用IP欺騙向主機B發(fā)送源路由數據包。當B回送數據包時,就傳送到被更改過的路由器。這就可以假冒一個主機的名義,通過一個特殊的路徑來獲得某些被保護數據。

2 網絡安全風險概要分析

2.1 對網絡結構的分析

網絡拓撲結構設計直接影響到網絡系統的安全性?;诰W絡系統的范圍大、函蓋面廣,內部網絡將面臨更加嚴重的安全威脅,入侵者每天都在試圖闖入網絡節(jié)點。假如在外部和內部網絡進行通信時,網絡系統中辦公系統及員工主機上都有信息,假如內部網絡的一臺電腦被攻擊或者被病毒感染,內部網絡的安全就會受到威脅,同時也影響在同一網絡上的許多其他系統。影響所及,還可能涉及法律、金融等安全敏感領域。

因此,我們在設計時有必要將公開服務器(WEB、DNS、EMAIL等)和外網及內部其它業(yè)務網絡進行必要的隔離,避免網絡結構信息外泄;同時,改變基于地址的信任策略,不允許r類遠程調用命令的使用。使用加密方法,對網內相互傳遞的信息包進行加密處理,以屏蔽來自外網的各種欺騙性的攻擊。

2.2 對操作系統的分析

所謂系統的安全,是指整個網絡操作系統和網絡硬件平臺是否可靠且值得信任。操作系統要做到絕對安全,就目前來講是很難達到的。無論是微軟的Windows NT還是任何商用的UNIX操作系統,其開發(fā)廠商必然有其后門。因此,我們應該從不同的方面需求對網絡作詳盡的分析,以選擇安全性盡可能高的操作系統。

不單要選用盡可能可靠的操作系統和硬件平臺,而且還要對操作系統進行安全配置,必須加強登錄過程的認證(特別是在登錄服務器主機之前的認證),確保用戶的合法性。另外,還應該嚴格限制登錄者的操作權限,將其完成的操作限制在最小的范圍內。

2.3 對應用的分析

應用系統的安全跟具體的應用有關,它涉及面廣。由于應用系統的安全是動態(tài)的、不斷變化的,這就需要我們對不同的應用,檢測安全漏洞,采取相應的安全措施,降低應用的安全風險。主要有文件服務器的安全風險、數據庫服務器的安全風險、病毒侵害的安全風險、數據信息的安全風險等應用的安全。以目前Internet上應用最為廣泛的E-mail系統來說,其解決方案有Sendmail、Netscape Messaging Server、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。

根據模擬攻擊下,通過系統檢測工具日志,對模擬攻擊做出分析,發(fā)現系統中存在的漏洞。修補隱藏的漏洞,提高系統的安全性。

2.4 管理的安全分析

管理是網絡安全重要的部分,責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其它一些安全威脅時,例如:內部人員的違規(guī)操作等,就會無法進行實時的檢測、監(jiān)控、報告與預警。同時,當事故發(fā)生后,更無法提供黑客攻擊行為的追蹤線索及破案依據。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發(fā)現非法入侵行為。

建立全新網絡安全機制,必須深刻理解網絡并能提供直接的解決方案,因此,最可行的做法是制定健全的管理制度和嚴格管理相結合,保障網絡的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡。

3 網絡安全的實際風險分析

通過模擬攻擊,進行網絡安全分析存在很多的局限性。在實際中,隨著網絡發(fā)展和編程技術的進步,黑客的各種攻擊手法也是層出不窮,很難做到一定時期內的不變?;诂F今網絡攻擊最常用的手段和特點,本文總結出網絡安全中存在的威脅,主要表現在以下幾個方面:

3.1 非授權訪問

指黑客,對網絡設備及信息資源進行非正常使用或越權使用。給用戶造成的損失表現為:商業(yè)機密泄露、用戶個人資料被復制,以及賬戶資金被盜等,同時,也會給該用戶帶來進一步的安全風險。

3.2 冒充合法用戶

主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限,以達到非法占用或訪問合法用戶資源的目的。通常,它是非法訪問的前沿工作。

3.3 破壞數據的完整性

指使用非法手段,刪除、修改、重發(fā)某些重要信息,直接干擾了用戶的正常使用,嚴重的話,還會破壞整個網絡系統的正常工作,造成的損失無法估量。

3.4 干擾系統正常運行

指改變系統的正常運行方法,減慢系統的響應時間等手段。通常情況下,黑客都是在非法訪問后,在目標主機上種植木馬程序來完成的,用以干擾目標主機安全防護軟件的正常工作,或是純粹的惡作劇。

3.5 病毒與惡意攻擊

指通過網絡傳播病毒或惡意Java、XActive等。這種方法是現今互聯網上最常用攻擊手段,攻擊者通過在網頁上設置木馬程序,或是發(fā)病毒郵件等,把惡意代碼程序植入其他主機系統內,以達到非法訪問、竊取數據等目的。

3.6 線路竊聽

指利用通信介質的電磁泄漏或搭線竊聽等手段獲取非法信息。該安全隱患,主要是網絡結構設置上的漏洞和安全管理不到位造成的。竊聽利用的主要媒介是路由器或網關。由于網絡化的普及,一些企業(yè)和機構網絡設計只側重于簡潔性,網絡節(jié)點使用無線路由,同時常不做任何加密設置,從而給不法分子造就了可乘之機。

4 結論

針對攻擊的網絡安全分析,除了對網絡設計、操作系統、應用軟件,以及相關管理重點關注外,還應該注意計算機的使用規(guī)范、防火墻軟件和硬件設置等問題。良好的操作習慣,應該盡可能地減少計算機的無用負載,遠離那些可能存在危險的資源(例如:免費資源網站,以及來歷不明的郵件等),保持系統正常的運行狀態(tài),從而減少和黑客接觸面,降低系統資源受侵害的幾率。

參考文獻:

[1] 呂慧穎,曹元大,時萃霞.基于網絡攻擊模擬的網絡安全風險分析方法[J].北京理工大學報,2008(4).

[2] 謝麗果.計算機網絡安全風險分析與解決方案[J].現代經濟信息,2010(3).

[3] 張永正.網絡安全風險分析與需求分析[J].電腦知識與技術,2009(6).

篇6

關鍵詞:網絡安全 常見風險 應對策略

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2015)12-0000-00

計算機的廣泛普及與應用將人類推到到了一個全新的互聯網時代,尤其是計算機網絡的普及[1],全面開放的網絡時代,人們也越來越重視起網絡的安全。

1 網絡安全的風險因素

1.1使用的軟件存在安全漏洞

每一款軟件的開發(fā)都會隨著產生一個版本的操作系統,然而并沒有一個軟件是百分之百完美無缺沒有安全漏洞的,目前發(fā)生過的極大多數的計算機網絡安全事件全部都與軟件漏洞有聯系,生活中的專業(yè)黑客群體利用計算機系統編程中微小錯誤,進行一切他們像做到的事情,緩沖區(qū)溢出是生活中最普通常見的一種軟件漏洞, 也是一種相對比較復雜的錯誤。軟件系統的開發(fā)工作的人員經常會提前分配出一定量的臨時的內存空間,我們稱之為一個緩沖區(qū),用來保存一些特殊的信息,但是,如果代碼并沒有仔細認真的將把要儲存的信息大小同保存它的空間大小進行對比和檢查,那么這個存儲信息的空間就會存在被覆蓋的可能,專業(yè)熟練的黑客輸入精心組織過的數據就能輕而易舉的導致系統程序的丟失以及系統整個的癱瘓。

1.2黑客

隨著互聯網時代的到來,越來越多的網絡用戶開始依賴計算機網絡為其提供便利的生活服務,完成日常生活的工作,計算機網絡上的黑客攻擊事件也隨之不斷發(fā)生,黑客造成破壞的影響與越來越大,由于黑客攻擊技術的不斷進步,黑客可以比較容易的利用分布式攻擊工具就能夠輕而易舉的發(fā)動拒絕服務的攻擊,然后篩選潛在的受害者,從而達到破壞整個安全系統。黑客攻擊的技術前提就是軟件以及系統的安全漏洞,黑客利用這些漏洞引發(fā)一系列的網絡安全問題,因為內部操作系統存在漏洞的不安全軟件每年都會被發(fā)掘,這時就需要網絡安全管理員運用最新的技術手段就行軟件漏洞的修復,然而黑客往往在商家修復漏洞前找到漏洞并發(fā)起攻擊,進行非法的侵入,盜取重要的私人信息,造成整個社會的經濟損失。

1.3計算機病毒

計算機病毒是一種在人為或者非人為的情況下產生的,在網絡用戶不知情或者不允許的前提下,自我復制或者運行的計算機程序,計算機病毒往往會影響受感受計算機的正常運行,病毒通常會自動利用電子郵件進行傳播,利用某一個對象為漏洞,將病毒自動復制并群發(fā)給計算機中存儲的名單成員,計算機感染上病毒后,感染程度輕的計算機會出現工作效率下降,嚴重的會造成計算機系統死機或則毀壞的情況,計算機中的部分或則全部數據丟失,甚至會造成計算機主板部件的損壞。

2 風險處理方法

2.1防火墻技術

防火墻技術是指計算機網絡與網絡之間的通過預定義的安全方法[3]。對于內網與外網的通信進行強制性的開展訪問限制的安全應用舉措,它對兩個或者多個網絡之間的信息傳輸按照一定的安全程序來進行檢測,用以決定網絡之間的信息傳輸是否被允許,并同時監(jiān)控網絡的實時運行狀態(tài),依據外部環(huán)境的不同,防火墻對流經它的網絡通信也進行仔細的掃描,這樣不僅可過濾多一定數量的攻擊,還可以計算機用戶在使用網絡時被攻擊,防火墻不僅可以關閉人們幣使用的計算機端口,還能夠禁止特定的計算機端口流出私人信息。當計算機用戶終端發(fā)生一系列可疑的舉動時,防火墻還可以適時的報警,并提供出用戶的計算機網絡是否受到監(jiān)測和攻擊的詳細信息。

2.2信息數據的加密

信息數據加密就是將計算機中數據通過加密技術轉變成表面上毫無章法可言的亂碼數據,只要當事人本人才能恢復其數據的原來真是的面目,而這些亂碼對于非法盜竊的使用者來說,轉化后的數據也只是一些毫無聯系的數據,工作人員稱這些原始的數據為明文,將經過加密保護的數據稱為密文,把明文轉化成密文的過程稱為加密,而把密文轉化成明文的過程稱為解密[4],就算用戶的信息被盜用,非法的使用者得到的也只是一對茅屋聯系以及邏輯性的亂碼而言。

2.3定期檢測系統是否安全

計算機網絡時常被黑客入侵歸根結底還是由于計算機網絡用戶缺少一套完整的切實有效的預防管理計算機的系統,只有比非法入侵者更快更早的發(fā)現漏洞并及時修復漏洞,才能池底的避免再次受到非法入侵者的攻擊,定期進行漏洞掃描,及時發(fā)現計算機的漏洞問題所在,并立刻進行安全修復并長期維護,就可以真正從根本上保護計算機網絡的信息安全。

3結語

總而言之,計算機網絡安全問題成了互聯網時代最重要的話題,只有網絡安全人們才可以放心大膽的進行一系列的商業(yè)活動,才可以推動整個時代的發(fā)展和進步。

參考文獻

[1]于治新.企業(yè)網絡安全風險分析及可靠性設計與實現[J].吉林大學,2013.

[2]馮妍.網絡安全風險評估系統的研究與設計[J].西北大學,2012.

篇7

按照文件要求,市委網信辦對照工作職責,認真排查梳理了我市網絡安全風險點,逐項建立完善工作機制,現匯報如下:

1.網絡安全風險研判工作:制定了《網絡安全事件應急預案》,明確了由于人為原因、軟硬件缺陷或故障、自然災害等對網絡和信息系統或其數據造成危害引發(fā)負面影響的事件的分析和處理。

2.網絡安全風險決策評估機制:成立了網絡安全和信息化領導小組,對全市網絡安全工作統籌指揮。制定了《網絡安全和信息化委員會工作規(guī)則》,明確網絡安全工作職責和工作制度。

3.網絡安全風險防控協同機制:組建了網絡安全專家小組,努力應對新形勢下網絡安全錯綜復雜的局面,提高網絡安全保障水平。實施網絡安全事件應急處置聯席會制度,對全市網絡安全事件的進行預防和應急處理。

4. 網絡安全風險防控責任機制:下發(fā)了《貫徹落實<黨委(黨組)網絡安全工作責任制實施辦法>責任分工方案》,明確責任主體和責任分工,提高網絡風險防范防控意識和能力。

篇8

一、高度重視,迅速貫徹落實

通過召開專題會議、發(fā)送微信通知,及時將上級的文件精神傳達給每位干部職工,讓全體黨員干部充分認識到做好當前網絡信息安全保障工作的重要性和必要性,并作為當前的一件頭等大事來抓,確保網絡安全。

二、強化管理,明確責任

為進一步完善網絡信息安全管理機制,嚴格按照“誰主管誰負責、屬地管理”的原則,明確了第一責任人和直接責任人,加強對本單位的內部辦公網及其它信息網站的監(jiān)督管理,防范黑客的入侵。嚴禁傳播、下載、發(fā)表一切不利于黨和國家的信息資料,堅決制止違紀違規(guī)行為發(fā)生,確保網絡信息安全。按照上級要求,迅速成立了網絡安全工作小組,負責網絡安全應急工作,組織單位有關方面做好應急處置工作,組織開展局域網絡安全信息的匯集、研判,及時向縣網信辦報告。當發(fā)生重大網絡安全事件時,能及時做好應急響應相關工作。由辦公室負責本區(qū)域網絡安全事件的監(jiān)測預警和應急處置工作,分管副局長為網絡安全工作小組的副組長,負責辦公室。建立了本單位計算機信息網絡系統應用管理崗位責任制,明確主管領導,落實責任部門,各盡其職,常抓不懈,并按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,切實履行好網絡信息安全保障職責。

三、信息報告與應急支持

1.積極響應上級領導的有關要求,實時觀測本區(qū)域網絡安全信息,努力做到有效應對網絡安全事件,一旦發(fā)生重大安全網絡事件及時向縣網信辦報送網絡安全事件和風險信息,并及時上報相關部門,積極配合協同做好應急準備工作或處置。

2.積極建立健全本系統、本部門、本行業(yè)重大網絡安全事件應急響應機制。應急處置時,需要其他部門、行業(yè)或技術支撐隊伍支持的,一定及時報請縣網信辦協調,同時配合其他部門盡快解決。

四、細化措施,排除隱患。

辦公室將對對全局的網絡設備、計算機進行一次細致的排查。檢查安裝桌面終端安全管理系統和殺毒軟件,確保桌面終端安全管理系統注冊率和360殺毒軟件覆蓋率達百分之百。對于在檢查中發(fā)現的問題或可能存在的安全隱患、安全漏洞和薄弱環(huán)節(jié),立即進行整改。進一步完善相關應急預案,落實應急保障條件。杜絕出現違規(guī)“自選動作”,遇重大突發(fā)敏感事件,一律按統一部署進行報道。各科室要嚴把網上宣傳報道導向關,嚴格規(guī)范稿源,不得違規(guī)自采,不得違規(guī)轉裁稿件,不得擅自篡改標題。嚴格網上新聞報道審校制度,防止出現低級錯誤,同時加大了對新聞跟帖的管理,組織本單位網評員積極跟帖。

五、應急值守

1.單位網絡安全應急負責人、聯系人要保持網絡暢通,及時接收風險提示、預警信息和任務要求,并按要求報告相關情況。負責人、聯系人名單或聯系方式有調整的,及時函告縣網信辦。

2.值班期間,實行每日“零報告”制度,每日下午17:00前,報送當天本部門網絡安全運行情況、受攻擊情況和事件情況,一旦發(fā)生網絡安全事件,立即啟動應急預案,迅速應對,有效處置,并按規(guī)定程序及時報告有關情況。

六、工作要求

篇9

本報訊 7月4日,2013年中國計算機網絡安全年會在內蒙古呼和浩特市召開,工業(yè)和信息化部總工程師張峰出席會議并致辭。

張峰指出,我國互聯網持續(xù)快速發(fā)展,融入到經濟社會的方方面面,成為推動國民經濟和社會發(fā)展、改變人民群眾生活方式的關鍵行業(yè)和重要領域,同時我國網絡安全的現狀不容樂觀。一是在公共互聯網環(huán)境方面,黑客攻擊的趨利性特征日益明顯,不法分子以通信網絡、信息系統以及用戶信息和財產為目標,利用黑客技術發(fā)起網絡攻擊牟取非法利益,逐步形成組織嚴密、分工明確的互聯網地下產業(yè)。二是移動互聯網、物聯網、云計算、微博客等新技術新業(yè)務不斷涌現,在帶來新的經濟增長點的同時,也帶來更加復雜的網絡安全問題。三是隨著信息技術在鐵路、銀行、電力等重要行業(yè)的廣泛應用,以及核設施、航空航天、先進制造等重要領域工業(yè)化與信息化深度融合,這些行業(yè)或領域的系統數據和運行安全也面臨著嚴重威脅。

張峰簡要回顧了近年來工業(yè)和信息化部在維護網絡安全方面開展的工作,并對信息通信行業(yè)進一步做好網絡安全工作提出五點要求。一是加強網絡安全工作聯動,深化跨部門跨行業(yè)協調配合,完善部門之間、政企之間的聯動機制,真正建立起運轉靈活、反應迅速的工作機制和流程。二是要求基礎電信企業(yè)和廣大互聯網企業(yè)認真開展安全評測和風險評估,不斷完善網絡安全應急預案,加強應急演練,加強對移動互聯網應用商店、增值電信業(yè)務經營者的網絡安全管理,繼續(xù)開展針對各類安全威脅的清理和處置,凈化公共互聯網網絡環(huán)境。三是加大科研投入,提高應對網絡安全新風險的能力,加大對網絡安全防御體系的研究,形成網絡空間威脅監(jiān)測、全局感知、預警防護、應急處置、協同聯動等核心能力,提升國家網絡空間安全保障的技術能力。四是加強網絡安全國際交流與合作,增進與其他國家間維護網絡安全的戰(zhàn)略互信,擴大網絡安全領域的互利合作,拓展互聯網治理的交流協作機制,建立政府、研究機構、行業(yè)組織以及企業(yè)之間多層次、多渠道的交流機制,共同維護全球網絡空間安全。五是希望相關企業(yè)、安全廠商和社會組織等共同努力,加強網絡安全宣傳教育,促進全社會網絡安全防范意識與知識水平提高。(周壽英)

篇10

1.1網絡安全的需求

對于使用網絡的業(yè)務人員來說,良好的網絡應該包括這樣幾個方面:①通過簡單配置甚至無配置即可使用;②通過網絡可以獲取更多的信息,使用更多的應用;③不用擔心病毒、木馬、數據泄露、數據丟失、斷網等故障。而對于網絡的管理維護人員來說,他們更加關注:①易于操作、維護,能夠實現集中操作、自動操作;②系統結構具有足夠的彈性,方便進行擴容或者升級;③可以快速地分析解決故障,并對原因進行分析、追溯;④對病毒、木馬、各種網絡攻擊行為具有良好的抵抗力。

1.2網絡安全策略

基于以上的分析,一套完整可行的網絡安全策略應該包括這樣幾個方面:①利用軟硬件應對病毒、木馬、網絡攻擊、斷網、斷電、火災等設備故障和環(huán)境故障;②建立統一的管理平臺,對各種網絡設備進行集中管理、自動掃描,實現可視化操作、提供各種故障警報、攻擊警報,提高故障響應速度;③在不同功能的網絡設備間建立有效隔離,避免彼此之間直接進行數據交換。各種服務的前后臺建立隔離措施,控制非法訪問;④加強合法用戶的權限認證、口令認證,對網上服務請求內容進行控制;⑤加強對各種訪問的審計工作,詳細記錄對網絡、服務器的訪問行為,形成完整的系統日志;⑥強化系統備份,實現系統快速恢復。

2網絡系統安全風險分析及應對

網絡安全通常包括以下五個方面:①物理硬件安全;②結構安全;③系統平臺安全;④應用安全;⑤管理安全。

2.1物理硬件安全風險分析及應對

保證設備的物理安全是系統安全的前提,即保護設備免遭地震、水災、火災等環(huán)境事故、突發(fā)狀況導致設備破壞等問題。它主要包括三個方面:①環(huán)境安全:對系統所在環(huán)境的安全保護(參見GB50173-93《電子計算機機房設計規(guī)范》、GB9361-88《計算站場地安全要求》);②設備安全:主要包括設備的防盜、防毀、防電磁信息輻射、防線路截獲、抗電磁干擾及電源保護等;③數據安全:包括數據的安全及數據存儲設備本身的安全。應對物理安全風險的基本思路就是“冗余”。隨著網絡機房等級的提升,對設備部件、設備乃至設備機房進行冗余設計,并通過技術手段實現數據同步、自動倒換,以規(guī)避物理安全風險。

2.2網絡結構的安全風險分析及應對

網絡結構的安全涉及到拓撲結構、路由狀況。隨著網絡設備的增多,網絡的復雜度是呈幾何級數增長的。良好的網絡拓撲結構、路由設計可以保證維護人員快速、準確的對各種故障進行定位、響應、處理,縮小網絡故障對公司業(yè)務的影響,同時提供足夠的彈性以容納新設備的使用。從某種意義上來說,網絡結構的安全風險是不可逆的。必須在網絡設計階段就進行考慮以規(guī)避風險。具體來說,包括這樣幾個方面:①專用網和通用網分開,例如監(jiān)控網絡和辦公網絡的分離;②將網絡設備分為“內網接入”“核心交換”“數據交換”“外網接入”等不同的類別,彼此間均通過核心交換進行互聯,禁止直接數據交換;③對服務器的使用盡量實現前臺訪問響應和后臺數據庫服務、內網應用和外網應用的分離;④在網絡中使用防火墻進行安全控制,使用上網行為管理設備對網絡使用人、業(yè)務、時間等進行控制。

2.3系統平臺的安全風險分析及應對

這里所說的系統并不僅僅指通常意義上的用于服務器、計算機等終端的Linux、Windows等操作系統,還包括各種交換機和移動端設備內的操作系統(Android、IOS等)。其中的風險主要在于這類大型軟件普遍存在的系統漏洞、系統后門。雖然這類風險也無法避免,但是我們可以通過建立統一網絡管理軟件平臺,利用網絡安全評估風險軟件對網絡安全進行定期自動掃描,確認網絡狀況,通過權限認證、訪問日志審計、定期備份等管理手段來應對各種網絡故障,提高系統的安全性。網絡安全性評估分析軟件,其功能是用實踐性的方法掃描分析網絡系統,檢查報告系統存在的弱點和漏洞。這類軟件至少應具備以下功能:①網絡監(jiān)控、分析和自動響應;②漏洞分析和響應;③配置分析和響應;④遠程連接設備。

2.4應用的安全風險分析及應對

應用系統的安全跟具體的應用有關。這導致應用的安全風險是動態(tài)的、不斷變化的,通常涉及機密信息泄露、未經授權的訪問、破壞信息完整性和可用性等安全問題。雖然面對多種的應用進行單獨的安全控制是不可能的,不過通過對系統平臺的安全設置,可以對應用的安全風險進行控制,降低其破壞性。這從另一個方面說明了網絡系統安全風險控制的必要性。

2.5管理的安全風險分析及應對

任何軟硬件都是需要人使用及管理,由此推知“管理是網絡安全中最重要的部分”。必須建立各種管理制度來規(guī)范對網絡的使用、管理。需要建立諸如《機房出入管理制度》《系統維護制度》《設備操作規(guī)程》《故障應急處理預案》《用戶授權實施細則》《口令字及賬號管理規(guī)范》《權限管理制度》等管理制度。在制度建立時,需要注意遵循“多人負責原則”“任期有限原則”“職責分離原則”。

3結語