导语:如何才能写好一篇网络安全防护体系建设,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
关键词:
烟草企业;网络安全防护;体系建设
1威胁烟草企业网络信息体系安全的因素
受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。
1.1人为因素
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。
1.2软硬件因素
网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。
1.3结构性因素
烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。
2烟草企业网络安全防护体系建设现状
2.1业务应用集成整合不足
不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。
2.2信息化建设特征不够明显
网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。
2.3安全运维保障能力不足
缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。
3加强烟草企业网络安全防护体系建设的策略
烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。
3.1遵循网络防护基本原则
烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。
3.2合理确定网络安全区域
烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。
3.3大力推行动态防护措施
3.4构建专业防护人才队伍
人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。
3.5提升员工安全防护意识
技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。
4结语
参考文献:
[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).
[2]赖如勤,郭翔飞,于闽.地市烟草信息安全防护模型的构建与应用[J].中国烟草学报,2016(4).
工业控制系统;网络安全;防护体系
0引言
1工业控制系统
工业控制系统(IndustrialControlSystem,ICS)是由一定的计算机设备与各种自动化控制组件、工业信息数据采集、生产与监管过程控制部件共同构成且广泛应用与工业生产与管理建设中的一种控制系统总称[1]。工业控制系统体系在通常情况下,大致可分为五个部分,分别为“工业基础设施控制系统部分”、“可编程逻辑控制器/远程控制终端系统部分(PLC/RTU)”、“分布式控制系统部分(DCS)”、“数据采集与监管系统部分(SCADA)”以及“企业整体信息控制系统(EIS)”[2]。近年来,在互联网技术、计算机技术、电子通信技术以及控制技术,不断创新与广泛应用的推动下,工业控制系统已经实现了由传统机械操作控制到网络化控制模式的发展,工业控制系统的结构核心由最初的“计算机集约控制系统(CCS)”转换为“分散式控制系统(DCS)”,并逐渐趋向于“生产现场一体化控制系统(FCS)”的创新与改革发展。目前,随着我国工业领域的高速发展,工业控制系统已经被广泛应用到水利建设行业、钢铁行业、石油化工行业、交通建设行业、城市电气工程建设行业、环境保护等众多领域与行业中,其安全性、稳定性、优化性运行对我国经济发展与社会稳定具有重要影响作用。
2工业控制系统存在的网络安全威胁
2.1工业控制系统本身存在的问题
由于工业控制系统是一项综合性、技术复杂性的控制体系,且应用领域相对较广。因此,在设计与应用过程中对工作人员具有较高的要求,从而导致系统本身在设计或操作中容易出现安全隐患。
2.2外界网络风险渗透问题
2.3OPC接口开放性以及协议漏洞存在的问题
由于工业控制系统中,其网络框架多是基于“以太网”进行构建的,因此,在既定环境下,工业过程控制标准OPC(Ob-jectLinkingandEmbeddingforProcessControl)具有较强的开放性[4]。当对工业控制系统进行操作时,基于OPC的数据采集与传输接口有效网络信息保护举措的缺失,加之OPC协议、TCP/IP协议以及其他专属代码中存在一定的漏洞,且其漏洞易受外界不确定性风险因素的攻击与干扰,从而形成工业控制系统网络风险。
2.4工业控制系统脆弱性问题
目前,我国多数工业控制系统内部存在一定的问题,致使工业控制系统具有“脆弱性”特征,例如,网络配置问题、网络设备硬件问题、网络通信问题、无线连接问题、网络边界问题、网络监管问题等等[5]。这些问题,在一定程度上为网络信息风险因素的发生提供了可行性,从而形成工业控制系统网络安全问题。
3加强工业控制系统网络安全防护体系的建议
3.1强化工业控制系统用户使用安全防护能力
3.2强化工业控制系统生产企业网络安全防护能力
工业控制系统生产企业,作为工业控制系统的研发者与生产者,应提升自身对工业控制系统网络安全设计的重视程度,从而在生产过程中保证工业控制系统的质量。与此同时,系统生产企业在引进先进设计技术与经验的基础上,强化自身综合能力与开发水平,保证工业控制系统紧跟时展需求,推动工业控制系统不断创新,从根源上降低工业控制系统自身存在安全风险。
3.3加大政府扶持与监管力度
由上述分析可知,工业控制系统在我国各领域各行业中具有广泛的应用,并占据着重要的地位,其安全性、稳定性、创新性、优化性对我国市场经济发展与社会的稳定具有直接影响作用。由此可见,工业控制系统网络安全防护体系的构建,不仅是各企业内部组织结构体系创新建设问题,政府以及社会等外部体系的构建同样具有重要意义。对此,政府以及其他第三方结构应注重自身社会责任的执行,加强对工业控制系统安全防护体系环境的管理与监督,促进工业控制系统安全防护外部体系的构建。例如,通过制定相应的网络安全运行规范与行为惩罚措施,用以避免互联网恶意破坏行为的发生;通过制定行业网络安全防护机制与准则,严格控制工业控制系统等基础设施的网络安全性,加大自身维权效益。
4结论
综上所述,本文针对“工业控制系统网络安全防护体系”课题研究的基础上,分析了工业控制系统以及当今工业控制系统存在的网络安全问题,并在工业控制系统网络安全防护体系设计的基础上,提供了加强工业控制系统网络安全防护体系设计的优化对策,以期对工业控制系统网络安全具有更明确的认知与理解,从而促进我国工业控制系统网络安全防护体系建设的优化发展。
[1]王栋,陈传鹏,颜佳,郭靓,来风刚.新一代电力信息网络安全架构的思考[J].电力系统自动化,2016(2):6-11.
[2]薛训明,杨波,汪飞,郭磊,唐皓辰.烟草行业制丝生产线工业控制系统安全防护体系设计[J].科技展望,2016(14):264-265.
[3]刘凯俊,钱秀槟,刘海峰,赵章界,李智林.首都城市关键基础设施工业控制系统安全保障探索[J].网络安全技术与应用,2016(5):81-86.
[4]罗常.工业控制系统信息安全防护体系在电力系统中的应用研究[J].机电工程技术,2016(12):97-100.
[5]刘秋红.关于构建信息安全防护体系的思考——基于现代计算机网络系统[J].技术与市场,2013(6):314.
[6]孟雁.工业控制系统安全隐患分析及对策研究[J].保密科学技术,2013(4):16-21.
【关键词】云计算;云安全;等级保护;虚拟化安全
1引言
因此,针对云计算中心的安全需求建立信息安全防护体系已经是大势所趋,云安全防护体系的建立,必将使云计算得以更加健康、有序的发展。
2云计算的安全问题解析
2.1云安全与传统安全技术的关系
云计算引入了虚拟化技术,改变了服务方式,但并没有颠覆传统的安全模式。从这张对比视图中,如图1所示,可以看出,安全的层次划分是大体类似,在云计算环境下,由于虚拟化技术的引入,需要纳入虚拟化安全的防护措施。而在基础层面上,仍然可依靠成熟的传统安全技术来提供安全防护。
综合前面的讨论,可以推导出一个基本的认识,云计算的模式是革命性的:虚拟化安全、数据安全和隐私保护是云安全的重点和难点,云安全将基于传统安全技术获得发展。
2.2云计算的安全需求与防护技术
解决安全问题的出发点是风险分析,CSA云安全联盟提出了所谓“七重罪”的云安全重点风险域。
Threat1:AbuseandNefariousUseofCloudComputing(云计算的滥用、恶用、拒绝服务攻击);
Threat2:InsecureInterfacesandAPIs(不安全的接口和API);
Threat3:MaliciousInsiders(恶意的内部员工);
Threat4:SharedTechnologyIssues(共享技术产生的问题);
Threat5:DataLossorLeakage(数据泄漏);
Threat6:AccountorServiceHijacking(账号和服务劫持);
Threat7:UnknownRiskProfile(未知的风险场景)。
信息的机密性、完整性和可用性被公认为信息安全的三个重要的基本属性,用户在使用云计算服务时也会从这三个方面提出基本的信息安全需求。
3等级保护背景下的云安全体系
3.1等级保护标准与云安全
自1994年国务院147号令开始,信息安全等级保护体系历经近20年的发展,从政策法规、国家标准、到测评管理都建立了完备的体系,自2010年以来,在公安部的领导下,信息安全等级保护落地实施开展得如火如荼,信息安全等级保护已经成为我国信息化建设的重要安全指导方针。
图3表明了等级保护标准体系放发展历程。
尽管引入了虚拟化等新兴技术,运营模式也从出租机房进化到出租虚拟资源,乃至出租服务。但从其本质上看,云计算中心仍然是一类信息系统,需要依照其重要性不同分等级进行保护。云计算中心的安全工作必须依照等级保护的要求来建设运维。此外,云安全还需要考虑虚拟化等新的技术和运营方式所带来的安全问题。
因此,云计算中心防护体系应当是以等级保护为指导思想,从云计算中心的安全需求出发,从技术和管理两个层面全方位保护云计算中心的信息安全;全生命周期保证云计算中心的安全建设符合等保要求;将安全理念贯穿云计算中心建设、整改、测评、运维全过程。建设目标是要满足不同用户不同等保级别的安全要求,做到等保成果的可视化,做到安全工作的持久化。
3.2云计算中心的安全框架
一个云计算中心的安全防护体系的构建,应以等级保护为系统指导思想,能够充分满足云计算中心的安全需求为目标。根据前面的研究,我们提出一个云计算中心的安全框架,包括传统安全技术、云安全技术和安全运维管理三个层面的安全防护。
云安全框架以云安全管理平台为中心,综合安全技术和管理运维两个方面的手段确保系统的整体安全。在安全技术方面,除了传统的物理安全、网络安全、主机安全、应用安全、数据安全、备份恢复等保障措施,还需要通过虚拟化安全防护技术和云安全服务来应对云计算的新特征所带来的安全要求。
3.3云安全防护体系架构
在实际的云安全防护体系建设中,首先要在网络和主机等传统的安全设备层面建立基础信息系统安全防护系统。基础信息安全防护体系是以等级保护标准为指导进行构建,符合等级保护标准对相应安全级别的基本安全要求。
在此基础上,通过SOC安全集中管理系统、虚拟安全组件、SMC安全运维管理系统和等保合规管理系统四个安全子系统共同组成云安全管理中心,如图4所示。通过实体的安全技术和虚拟化安全防护技术的协同工作,为云计算中心提供从实体设备到虚拟化系统的全面深度安全防护,同时通过专业的SLC等保合规管理系统来确保云安全体系对于等级保护标准的合规性。
参考文献
[1]郝斐,王雷,荆继武等.云存储安全增强系统的设计与实现[J].信息网络安全,2012,(03):38-41.
[2]季一木,康家邦,潘俏羽等.一种云计算安全模型与架构设计研究[J].信息网络安全,2012,(06):6-8.
[3]黎水林.基于安全域的政务外网安全防护体系研究[J].信息网络安全,2012,(07):3-5.
[4]胡春辉.云计算安全风险与保护技术框架分析[J].信息网络安全,2012,(07):87-89.
[5]王伟,高能,江丽娜.云计算安全需求分析研究[J].信息网络安全,2012,(08):75-78.
[6]海然.云计算风险分析[J].信息网络安全,2012,(08):94-96.
[7]孙志丹,邹哲峰,刘鹏.基于云计算技术的信息安全试验系统设计与实现[J].信息网络安全,2012,(12):50-52.
[8]甘宏,潘丹.虚拟化系统安全的研究与分析[J].信息网络安全,2012,(05):43-45.
[9]赛迪研究院.关于云计算安全的分析与建议[J].软件与信息服务研究,2011,5(5):3.
[10]陈丹伟,黄秀丽,任勋益.云计算及安全分析[J].计算机技术与发展,2010,20(2):99.102.
[11]冯登国,孙悦,张阳.信息安全体系结构[M].清华大学出版社,2008:43-81.
[12]张水平,李纪真.基于云计算的数据中心安全体系研究与实现[J].计算机工程与设计,2011,12(32):3965.
[13]质监局,国标委.信息系统安全等级保护基本要求.GB/T22239—2008:1~51.
[14]王崇.以“等保”为核心的信息安全管理工作平台设计[J].实践探究,2009,1(5):73.
[15]DevkiGauravPal,RaviKrishna.ANovelOpenSecurityFrameworkforCloudComputing.InternationalJournalofCloudComputingandServicesScience(IJ-CLOSER),2012,l.1(2):45~52.
作者简介:
白秀杰(1973-),男,硕士,系统分析师;研究方向:云安全技术。
李汝鑫(1983-),男,本科,项目管理师;研究方向:信息安全技术。
关键词:网络安全;防护机制;烟草公司;互联网
随着Internet技术的不断发展和网络应用技术的普及,网络安全威胁频繁地出现在互联网中。近年来,网络攻击的目的逐渐转变为获取不正当的经济利益。在此种情况下,加强网络安全建设已成为各个企业的迫切需要。烟草公司的网络安全防护机制和安全技术是确保其网络信息安全的关键所在。只有加强防护体系建设和创新安全技术,才能在保证网络安全的前提下,促进烟草公司的发展。
1县级烟草公司网络现面临的威胁
目前,烟草公司计算机网络面临的威胁从主体上可分为对网络信息的威胁、对网络设备的威胁。
1.1人为无意的失误
如果网络的安全配置不合理,则可能会出现安全漏洞,加之用户选择口令时不谨慎,甚至将自己的账号随意转借给他人或与他人共享,进而为网络埋下了安全隐患。
1.2人为恶意的攻击
1.3网络软件的漏洞
对于网络软件而言,会存在一定的缺陷和漏洞,而这些缺陷和漏洞为黑客提供了可乘之机。
1.4自然灾害和恶性事件
该种网络威胁主要是指无法预测的自然灾害和人为恶性事件。自然灾害包括地震、洪水等,人为恶性事件包括恶意破坏、人为纵火等。虽然这些事件发生的概率较低,但一旦发生,则会造成异常严重的后果,必须严以防范。
2构建烟草公司信息网络安全防护体系
要想形成一个完整的安全体系,并制订有效的解决方案,就必须在基于用户网络体系结构、网络分析的基础上开展研究。对于安全体系的构建,除了要建立安全理论和研发安全技术外,还要将安全策略、安全管理等各项内容囊括其中。总体来看,构建安全体系是一项跨学科、综合性的信息系统工程,应从设施、技术、管理、经营、操作等方面整体把握。安全系统的整体框架如图1所示。安全系统的整体框架可分为安全管理框架和安全技术框架。这两个部分既相互独立,又相互融合。安全管理框架包括安全策略、安全组织管理和安全运作管理三个层面;安全技术框架包括鉴别与认证、访问控制、内容安全、冗余与恢复、审计响应五个层面。由此可见,根据烟草公司网络信息安全系统提出的对安全服务的需求,可将整个网络安全防护机制分为安全技术防护、安全管理和安全服务。
2.1安全技术防护机制
在此环节中,旨在将安全策略中的各个要素转化成为可行的技术。对于内容层面而言,必须明确安全策略的保护方向、保护内容,如何实施保护、处理发生的问题等。在此情况下,一旦整体的安全策略形成,经实践检验后,便可大幅推广,这有利于烟草公司整体安全水平的提高。此外,安全技术防护体系也可划分为1个基础平台和4个子系统。在这个技术防护体系中,结合网络管理等功能,可对安全事件等实现全程监控,并与各项技术相结合,从而实现对网络设备、信息安全的综合管理,确保系统的持续可用性。
2.2安全管理机制
3烟草公司的网络信息安全技术
3.1访问控制技术
3.2数字签名技术
在烟草公司,数字签名技术的应用很普遍。数字签名属于一种实现认证、非否认的方法。在网络虚拟环境中,数字签名技术仍然是确认身份的关键技术之一,可完全代替亲笔签名,其无论是在法律上,还是技术上均有严格的保证。在烟草公司的网络安全中应用数字签名技术,可更快地获得发送者公钥。但在这一过程中需要注意,应对发送者私钥严格保密。
3.3身份认证技术
4结束语
综上所述,安全是烟草公司网络赖以生存的重要前提,网络安全的最终目标是确保在网络中交换的数据信息不会被删除、篡改、泄露甚至破坏,从而提高系统应用的可控性和保密性。因此,烟草公司必须具备一套行之有效的网络安全防护机制,增强自身网络的整体防御能力,研发网络安全立体防护技术。只有建立完善的信息安全防范体系,才能使烟草公司内部的重要信息资源得到有效保护。
[1]张珏,田建学.网络安全新技术[J].电子设计工程,2011,19(12).
【关键词】指挥信息系统;AP2DR2;安全防护体系;安全管理
ResearchonTheSecurityProtectionArchitectureofC4ISRSystemBasedOnAP2DR2
WuSi-gen
(JiangsuAutomationResearchInstituteJaingsuLianyungang222006)
【Abstract】ThispaperfirstlyintroducedtheconceptsandfeaturesofC4ISRSystemsecurityprotection,andthenanalyzedhowtoimplementatenetworksecurityintermsofnetworksecuritystrategyandtechnology.TheC4ISRSystemsecurityprotectionarchitecturebasedonAP2DR2modelisproposed,anddisseratedtheAP2DD2modelisamultilevelandall-wavedynamicdefensesystem.TheC4ISRSystemsecurityprotectionarchitecturetransformsstatics,passivetodynamic,initiative.ThesecurityprotectionarchitectureensureseffectuallytheinformationsecurityofC4ISRSystem
【Keywords】C4ISRsystem;AP2DR2;securityprotectionarchitecture;securitymanagement
在信息化战争中,指挥信息系统将整个作战空间构成一体化的网络,实现了作战指挥自动化、侦察情报实时化和战场控制数字化,大大提高了军队的作战能力。但是,网络系统特别是无线网络的互连性和开发性不可避免地带来了脆弱性问题,使其容易受到攻击、窃取和利用。在军事斗争中,摧毁和破坏对方的军用信息网络系统,成功地窃取和利用对方的军事信息,就会使其联络中断、指挥控制失灵、协同失调,从而夺取战场信息的控制权,大大削弱对方军队的作战能力。随着战场侦察监视系统日趋完善,大量精确制导武器和电子武器、信息武器将广泛投入作战运用,指挥信息系统安全面临严重威胁。确保指挥信息系统信息安全已经是一件刻不容缓的大事,因此,研究指挥信息系统安全防护体系具有十分重要的战略意义。
1指挥信息系统安全防护的基本概念和特点
近50年来,信息系统安全经历了通信保密、信息安全和信息保障几个几个重要的发展阶段。图1给出了从通信保密到信息保障的概念发展示意。
通信保密指的是信息在处理、存储、传输和还原的整个过程中通过密码进行保护的技术。它以确保传输信息的机密性和完整性,防止敌方从截获的信号中读取有用信息为目的。通信保密技术经历了从简单到复杂、从早期的单机保密到进入网络时代后的通信网络保密的发展过程。直到现在,加密保护仍是军事通信系统重要防护手段。通信保密的核心是确保信息在传输过程中的机密性。
随着网络技术的发展,信息系统的安全提上了日程,“保密”的概念逐渐从早期的通信保密发展到适应于保护信息系统的信息安全。保密性、完整性、认证性、抵抗赖性以及可用性和可控性成为信息安全的主要内容。其中保密性仍然是信息安全中最重要的特性。随着网络攻防斗争的日趋激烈,信息安全在信息系统中的地位不断提升。信息安全的基本目标是保护信息资源的归属性和完整性,维护信息设备和系统的正常运转,维护正常应用的行为活动。信息的保密性、完整性、可用性、可识别性、可控性和不可抵赖性成为信息安全的主要内容。
“信息保障”首次出现在美国国防部(DOD)1996年12月6日颁布的官方文件DODDirectiveS-3600.1:InformationOperation中[3]。这些文件把“信息保障”定义为“通过确保系统的信息作战行动,包括综合利用保护、探测和反应能力以恢复系统”。信息保障特别是将保障信息安全所必需的“保护(Protection)”、“检测(Detection)”、“响应(Response)”和“恢复(Restoration)”(PDRR)视为信息安全的四个联动的动态环节,从而安全管理工作在一个大的框架下,能够针对薄弱环节,有的放矢,有效防范,围绕安全策略的具体需求有序地组织在一起,架构一个动态的安全防范体系。
信息化条件下,指挥信息系统的安全防护具有几个特点。
1)防护范围广阔。当前,指挥信息系统已经延伸至陆、海、空、天多维空间。横向上,除了传统的情报侦察、通信、指挥控制等领域外,在武器控制、导航定位、战场监控等领域也得到了广泛运用。纵向上,指挥信息系统已经将上至战略指挥机构下至每一个技术单位和作战单元甚至单兵联成一体。从信息安全防护角度看,信息空间的每一个局部、节点都可以成为信息攻击的目标,并进而影响整个系统的信息安全。
2)防护措施综合。未来信息化战争中指挥信息系统信息安全将面临着火力打击、电子侦察、电磁干扰、病毒破坏、网络渗透等越来越多的“硬杀伤”和“软杀伤”威胁,为了确保指挥信息系统信息安全,仅靠某一手段和方法难以到达目的,而必须采取综合一体的防护措施。从安全技术运用来看,除了需要运用传统的防电磁泄漏和信息加密技术外,还必须综合运用防病毒、防火墙、身份识别、访问控制、审计、入侵检验、备份与应急恢复技术;从信息安全管理角度上看,既要重视发挥各种信息安全防护技术手段等“硬件”的作用,又要重视加强对各类信息的安全管理,提高指挥信息系统各类使用和维护人员的信息安全意识和能力,发挥好“软件”的作用。
3)攻防对抗激烈。指挥信息系统是各类军事信息的集散地和信息处理中心,针对其进行的信息攻击,可以到达牵一发而动全身的效果,并且其行动代价小,易于实现,具有较强的可控性。现在和未来军事斗争的需要必将推动以指挥信息系统为目标的信息斗争进一步发展,无论是战时还是平时,在指挥信息系统对抗方面的斗争将更加复杂、激烈。
2基于AP2DR2模型的安全防护体系
指挥信息系统安全防护体系主要防止指挥信息系统的软、硬件资源受到破坏、信息失泄(窃)或遭受攻击,采取物理、逻辑以及行为管理的方法与措施,以保证指挥信息系统进行可靠运行与数据存储、处理的安全;防止敌对国家利用信息技术对本国的国防信息系统进行窃取、攻击、破坏,包括防止对方利用信息技术窃取国防情报、垄断信息技术、攻击和破坏国防信息系统、夺取战场上的制信息权等。指挥信息系统安全防护体系强调实施多层次防御,在整个信息基础设施的所有层面上实施安全政策、步骤、技术和机制,使得攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。
针对指挥信息系统安全防护,本文提出的AP2DR2(AnalysisPolicyProtectionDetectionResponseRecovery,简称AP2DR2)动态安全模型是由分析(A)、策略(P)、防护(P)、检测(D)、响应(R)、恢复(R)等要素构成,以人、策略、技术、管理为核心,在技术上围绕风险分析、防护、检测、响应、恢复这五个安全环节,即人要依据政策和策略,运用相应的技术来实施有效的部署和管理,从而实现整体指挥信息系统安全防护。如图2所示。
该模型在整体的安全分析和安全策略的指导下,在综合运用各种防护技术(如加密、防火墙、防病毒、身份认证、安全管理技术等)的同时,利用实时检测技术(如入侵检测、漏洞扫描、审计机制等)了解和评估系统的安全状态,通过实时响应和系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的动态防御的安全体系。AP2DR2动态安全模型重视系统级的整体安全,强调“人、技术和运作”三大因素的相互作用,在指挥信息系统的生命周期内,从技术、管理、过程和人员等方面提出系统的安全需求,指定系统的安全策略,配置合适的安全机制和安全产品,最后对系统的安全防护能力进行评估。防护、监测、响应和灾难恢复组成了一个完整的、动态的安全循环,共同构造一个指挥信息系统网络安全环境。
1)风险分析
2)安全策略
安全策略是一系列政策的集合,用来规范对组织资源的管理、保护以及分配,以达到最终安全的目的。安全策略的设计主要是为了防止发生错误行为并确保管理控制能够保持一种良好的状态。指挥信息系统安全策略涵盖面很多,一个信息网络的总体安全策略,可以概括为“实体可信,行为可控,资源可管,事件可查,运行可靠”。安全策略是指挥信息系统防护重要的依据,要掌握海量数据的加密存储和检索技术,保障存储数据的可靠性、机密性和安全访问能力。
3)系统防护
4)实时检测
实时检测主要包括入侵检测、漏洞扫描、防病毒、日志与审计等,其中最为核心的是入侵检测。入侵检测是通过对行为、安全日志、审计数据进行分析检测,从中发现违反系统安全策略的行为和遭受攻击的迹象,利用主动或被动响应机制对入侵作出反应。入侵检测系统将网络上传输的数据实时捕获下来,检查是否有入侵或可疑活动的发生,一旦发现有入侵或可疑活动的发生,系统将做出实时报警响应。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测最能体现整个模型的动态性,是支持应急响应体系建设的基本要素。
5)实时响应
6)灾难恢复
最基本的灾难恢复当然是利用备份技术,对数据进行备份是为了保证数据的一致性和完整性,消除系统使用者和操作者的后顾之忧。其最终目标是业务运作能够恢复到正常的、未破坏之前的状态。从防护技术来看,容错设计、数据备份和恢复是保护数据的最后手段。在多种备份机制的基础上,启用应急响应恢复机制实现指挥信息系统的瞬时还原,进行现场恢复及攻击行为的再现,供研究和取证。灾难恢复大大提高了指挥信息系统的可靠性和可用性。
3结束语
信息化条件下的现代战争中,对指挥信息系统的安全防护是赢得信息优势的基础和重要保障。针对指挥信息系统信息面临的安全威胁,本文提出一种基于AP2DR2模型的指挥信息系统信息安全防护体系,即严密的安全风险分析、正确的安全策略、主动实时的防护和检测、快速积极的响应、及时可靠的恢复,是一个闭环控制、主动防御的、动态的、有效的安全防护体系,保障了指挥信息系统网络的安全。
[1]曹雷等.指挥信息系统[M].北京:国防工业出版社,2012.
[2]苏锦海,张传富.指挥信息系统[M].北京:电子工业出版社,2010.
[3]童志鹏.综合电子信息系统[M].北京:国防工业出版社,2010.
[4]邢启江.信息时代网络安全体系的建设与管理[J].计算机安全,2006,(10):41-43.
[5]牛自敏.网络安全体系及其发展趋势综述[J].科技广场,2009,11:230-232.
[6]石志国等.计算机网络安全教程[M].北京:清华大学出版社,2007.
运营商;网络安全;威胁;防护策略
从3G到4G,随着运营商全业务运营模式的不断深入,对支撑网络运行的安全管控工程建设提出更高要求。特别是在应用系统及用户数的不断增加,网络规模不断扩大,面对越来越多的应用设备,其网络安全问题更加突出。2014年携程小米用户信息的泄露,再次聚焦网络信息安全隐患威胁,也使得运营商在管控网络安全及部署系统管理中,更需要从技术创新来满足运维需求。
1运营商面临的主要安全威胁
2构建运营商网络安全防护体系和对策
2.1构建网络安全防护统一管控体系
2.2引入虚拟化技术来实现集中部署
从网络信息安全管控平台来看,对于传统的管控方案,不能实现按需服务,反而增加了部署成本,降低了设备利用率。为此,通过引入虚拟化技术,部署高性能服务器来完成虚拟的应用服务器,满足不同客户端的访问;对于客户端不需要再部署维护客户端,而是从虚拟服务器维护管理中来实现,由此减少了不必要的维护服务,确保了集中维护的便利性和有效性。另外,针对运营商网络中的多数应用服务器,也可以采用集中部署方式来进行集中管理。
2.3引入RBAC角色访问控制模型
2.4融合多种认证方式来实现动态管控
2.5做好运营商网络安全维护管理
2.6做好网络安全建设与升级管理
随着网络通信新业务的不断发展,对于网络信息安全威胁更加复杂而多样,运营商要着力从新领域,制定有效的安全防护策略,从技术创新上来确保信息安全。一方面做好网络安全策略的优化,从网络业务规划与管理上,制定相应的安全标准,并对各类业务服务器进行全程监管,确保业务从一开始就纳入安全防护体系中;另一方面注重安全技术创新,特别是新的网络安全技术、防御机制的引入,从安全技术手段来实现网络系统的安全运行。
3结语
运营商网络安全防护工作任重道远,在推进配套体系建设上,要从安全维护的标准化、流程化,以及网络安全等级制度完善上,确保各项安全防护工作的有效性。另外,加强对各类网络安全应急预案建设,尤其是建立沟通全国的安全支撑体系,从统一管理、协同防护上来提升运营商的整体安全防护能力。
作者:王树平东野圣尧张宇红单位:泰安联通公司
[1]吴静.关于通信系统风险的研究[J].数字通信,2014(3).
关键词:网络工程;安全防护技术;思考
引言
网络信息技术的快速普及应用极大地提高了人们的生活和工作效率,但与此同时,由于网络信息技术自身所具有的开放性、交互性等特征,网络工程在带给人们巨大便捷的同时也面临着日益严峻的安全问题。因而如何切实加强网络工程安全防护,形成和发展与快速发展的网络信息技术相适应的网络工程安全防护能力,就成为现代社会网络信息化建设的焦点问题之一。
1网络工程中存在的主要安全问题
进入新世纪以来,随着网络工程的使用进一步走向深层次和综合化,网络工程中面临的安全隐患也进一步加剧,主要表现在以下几个方面:
1.1云端安全隐患突出
随着以“互联网+”、“云计算”等新兴的互联网技术的进一步普及应用,各种针对云端的病毒、漏洞等的攻击也随之增多,并日益威胁到云端等技术平台的安全使用,而各种针对云端的网络攻击,也给目前逐渐普及应用的云计算等带来了潜在的危害,例如2011年亚马逊数据中心发生的宕机事故,直接导致大量业务中断,而时隔一年之后,亚马逊的云计算平台数据中心再次发生宕机事故,导致Heroku、Reddit和Flipboard等知名网站和信息服务商受到严重影响,而这也已经是过去一年半里亚马逊云计算平台发生的第五次宕机事故,而随着云计算等的进一步普及,云端安全隐患也将进一步突出。
1.2网络安全攻击事件频发
网络安全攻击事件频发是近年来网络工程所遭遇的最为显著和严重的安全问题之一,数据显示,仅在2015年,全球就发生的各种网络安全攻击事件就超过了一万件次,直接经济损失高达两千亿美元,例如2015年5月27日,美国国家税务总局遭遇黑客袭击,超过十万名美国纳税人的信息被盗取,直接经济损失高达5000万美元;2015年12月1日,香港伟易达公司遭遇黑客袭击,导致全球超过500万名消费者的资料被泄露,可以想见,随着未来网络技术的快速发展,网络安全保护的形势还将进一步严峻化。
1.3移动设备及移动支付的安全问题加剧
随着互联网技术的飞速发展,现代社会已经逐渐进入到了“无现金”时代,移动设备的进一步普及以及移动支付的出现使得人们的日常消费活动更为便捷,但与此同时,各种移动支付和移动设备的安全问题也随之开始浮出水面,目前来看,移动支付过程汇总所面临的安全问题主要体现在两个方面:一是利用移动终端进行支付的过程中面临着较大的安全风险,如操作系统风险、木马植入等,二是现有的移动支付的主要验证手段为短信验证,这种验证方式较为单一且安全系数较差,这些都是许多用户对移动支付说“不”的原因之一。据中国支付清算协会的《2016年移动支付报告》显示,移动支付的安全问题仍是未来移动支付所面临的和需要应对的核心问题,如何进一步强化移动支付的安全“盾牌”,仍将是未来移动支付长远发展的现实挑战之一。
1.4网络黑客的频繁攻击
2网络工程安全防护技术提升的路径分析
随着“互联网+”战略的实施以及网络安全被上升到了国家安全的高度,加强网络工程的安全防护已经被提高到了一个前所未有的高度。而网络工程安全防护的提升则可以说是一项较为复杂的系统性工程,除了要在资金、人力、管理等方面上继续下功夫以外,还必须要将加强网络工程安全防护技术的创新与改进放在一个关键的位置上,不断强化网络工程安全防护系数。
2.1合理使用防火墙技术
防火墙是网络工程安全防护中所使用的常规性的网络安全防护技术之一,也是目前主要应用于防护计算机系统安全漏洞的主要技术手段。一般来说,防火墙是一种位于内部网络与外部网络之间的网络安全系统,同时具有访问控制、内容过滤、防病毒、NAT、IPSECVPN、SSLVPN、带宽管理、负载均衡、双机热备等多种功能,因此在利用防火墙技术来加强网络工程安全防护时,首先必须选择口碑良好、有市场的防火墙产品如NGFW4000、NGFW4000-UF等等,利用防火墙来进行可靠的信息过滤,另一方面,需要对防火墙进行定期升级,确保防火墙的始终处于最新版本,切实利用防火墙技术来提高网络工程安全防护系数。图1防火墙工作原理模型图
2.2加强网络工程病毒防护体系建设
2.3搭配反垃圾邮件系统
2.4强化网络数据信息加密技术使用
3总结
总之,加强网络工程安全防护是一项较为复杂的系统性工程,需要涉及到方方面面的技术条件乃至相应的管理、人力物力等方面的投入,更为重要的是,需要经过系统的分析从而将这些技术手段有机结合起来,使之形成一个系统,从而更好地在网络工程安全防范中发挥整体合力,有效提高网络工程安全防范实效。
[1]郑邦毅,蔡友芬.网络工程安全防护技术的探讨[J].电子技术与软件工程,2016.
[2]谢超亚.网络工程中的安全防护技术的思考[J].信息化建设,2015.
[3]陈健,唐彦儒.关于网络工程中的安全防护技术的思考[J].价值工程,2015.
[4]彭海琴.关于网络工程中的安全防护技术的思考[J].电子技术与软件工程,2014.
【关键词】OA系统安全评估安全策略
信息化建设作为国家战略发展的重要内容,保障信息安全是发挥网络系统优势的必然条件。OA系统作为协同办公平台,承担着系统内部信息流的互联互通,而加强对网络系统安全体系的评估是制定安全保障策略的重中之重。
1OA系统组成及防护设计
从当前互联网发展现状来看,OA系统已经不再局限于某地的协同办公网络,而是基于不同地域下,从企业及下属各机构之间的全局化管理需求上,搭建满足日常办公、业务处理、事务管理等活动的,涵盖公文收发、文件查询、签报处理、会议管理等在内的多元化信息交互平台,从而实现企业办公无纸化、信息化、网络化目标。如图1所示。
从图1所示的OA系统结构来看,主要有基础层、数据库层、业务逻辑层、表示层等四部分组成,并通过各级接口单元来实现不同用户、不用业务的互联互通。
2OA系统安排评估及保障策略构建
提升OA系统的安全防护等级,必然需要从OA系统安全评估中来构建防范策略。随着OA系统应用的不断拓展,面对安全防护体系建设要求也越来越高,各类防范安全攻击手段也不断增强。作为一种动态的防护保障体系,通常需要经历安全策略制定、安全风险评估、系统配置调整和应急预案编制、应急响应和系统数据恢复等流程。
2.1制定安全策略
安全策略的制定是保障OA系统的基础,也是首项任务。从不同OA系统管理安全目标来说,在制定安全策略上,要确保安全设备、主机设备、服务器系统的连续性和可扩展性。
2.2做好安全风险评估
风险评估是制定安全策略的前提,也是围绕可能存在的安全威胁,对可能存在的网络攻击行为、网络安全漏洞等进行专门防范的基础。随着OA系统功能的不断拓展,面临的安全风险也更加多样。因此需要从安全风险评估中通过技术手段来进行安全检测。具体评估方法有两种。一种是对单一安全因素进行评估。如对于网络设备、服务器、安全设备、计算机本身进行安全性评估,并从网络设备的使用数量、型号、性能等信息上进行合理部署和优化,利用操作系统安装相应的安全软件,并从补丁库、漏洞库及时更新上来做好各项风险源的检测和控制。针对网络上流行的病毒、木马等恶意代码,可以通过定期升级、备份来进行防范。另一种是整体安全评估,通过综合性安全防范分析软件,从系统安全性等级、系统安全趋势分析、系统安全缺陷等方面进行综合评估,并发现和锁定可能风险源,为下一步构建安全防护体系提供参考。
2.3优化安全配置数据
2.4制定安全应急预案
应急预案是在可能存在的安全攻击或自然灾害时所采取的系统化解决防范思路和方法。如对于常见的网络攻击行为,通过应急预案来进行处置,来减少和避免损失,提升网络管理系统安全性。以某意外断电为例,在应急措施编制上,应该对主机系统进行有序断电,在UPS电池耗尽前完成服务器、存储设备、网络设备等系统的关闭;在电力恢复时,应该遵循打开总开关、启动UPS,逐次打开分支开关,启动核心路由器、交换机和网络安全设备,再依次打开各个服务器,对各服务器工作状态进行检查,确保正常启动相应服务。
2.5应急响应及数据恢复
应急响应是对存在的安全风险及事件进行响应的过程,通常在发生网络异常或告警时,需要对根据预案来进行应急处置。如对于某次网络病毒攻击事件,在应急预案设计上,应该遵循六点:
(1)首先对被感染计算机进行网络隔离;
(2)对该系统硬盘数据进行备份;
(3)判嗖《纠嘈汀⑽:Γ涉及到那些网络端口,并启动杀毒软件对该计算机系统进行全面杀毒处理;
(4)为保障安全,需要对其他服务器系统进行病毒扫描和清除;
(6)清除完病毒后,重新启动计算机并接入网络系统。应急恢复是在完成安全防范事件后,对原有系统进行启动,并将系统恢复至正常状态。
OA系统安全评估及策略的制定,重点在于对可能存在的应急风险进行预案设计和应急响应,并从异常事件处置中总结经验,优化安全策略,确保OA系统处于良好运行状态。
[1]陈建新,王金玉,陈禹,程涣青,胡韬.OA网络信息系统的顶层设计方略[J].办公自动化,2014(10).
[2]陈燕,魏鹏飞.办公自动化系统安全控制策略[J].技术与市场,2016(06).
关键词:大数据;计算机信息安全;企业;防护策略
大数据(bigdata)形成于传统计算机网络技术应用中,并不能将它理解为传统意义中大量数据的集合,而是其中涵盖了更多的数据信息处理技术、传输技术和应用技术。正如国际信息咨询公司Gartner所言“大数据在某些层面已经超越了现有计算机信息技术处理能力范围,它是一种极端信息资源。[1]”正是基于此,社会各个领域行业才应用大数据技术来为计算机信息安全提供防范措施,尤其是企业计算机信息网络,更需要它来构建网络信息防护体系,迎接来自于企业外部不同背景下的不同安全威胁。
1关于企业计算机信息安全防护体系的建设需求
2大数据环境对企业计算机信息安全建设的影响
大数据环境改变了企业计算机信息安全建设的思路与格局,应该从技术与管理维度两个层面来看这些影响变化。
2.1基于企业计算机信息安全建设的技术维度影响
大数据所蕴含技术丰富,它可以运用分布式并行处理机制来管理企业计算机信息安全。它不仅仅能确保企业信息的可用性与完整性,还能提高信息处理的准确性与传输连续性。因为在大数据背景下,复杂数据类型处理案例比比皆是,必须要避免信息处理过程错误所带来的企业信息资源安全损失,所以应该采取大数据环境技术来展开新的信息处理方式及存储方式,像以Hadoop平台为主的Mapreduce分布式计算就能启动云存储方式,对企业计算机信息进行有效存储、转移和管理,提高其信息安全水平。分布式计算会为企业计算机信息建立大型数据库,或者采用第三方云服务提供商所提供的虚拟平台来管理信息,这种做法可以为企业省下防火墙、数据库、基础性安防技术等等建设环节的大笔成本费用。在信息传递方面,大数据环境主要能够干预企业信息传递,例如为企业计算机系统提供高速不中断的传递功能模块,以确保企业信息传递的完整性与可持续性。在此过程中为了确保企业计算机信息传输的安全可靠,就会基于大数据技术来为企业提供数据加密服务,确保数据传输整个过程都处于安全状态,避免任何信息泄露、被盗取现象的发生。
2.2基于企业计算机信息安全建设的管理维度影响
在大数据环境下,企业计算机信息安全的管理维度影响不容忽视,它体现在人员管理、大数据管理与第三方信息安全等多个方面。在人员管理管理方面,大数据为企业所提供的是由传统集中办公向分散式办公的工作模式转变,它创建了企业自带办公设备BYOD(BringYourOwnDevice),BYOD一方面能有效提高员工积极性,一方面也能为企业购置办公设备节约成本,不过它也能影响到企业计算机的信息安全管理事项,移动设备大幅度降低了企业对计算机系统安全的可控度,可能会难以发现来自于外部黑客及安全漏洞、计算机病毒对系统的入侵,一定程度上增加了信息泄漏的安全隐患。在第三方信息安全管理方面,它可能会对企业信息安全带来巨大影响,因为第三方信息是需要用来进行加工分析的,但它对于企业计算机系统是否能形成保障实际上是难以被企业稳定控制的,所以企业要确切保证第三方信息安全管理的有效性,基于大数据强化企业信息安全水平,利用分权式组织结构来提高企业计算机系统及信息的利用效率,同时也增强大数据之于企业计算机系统的应用实效性。
3基于大数据优化环境下的企业计算机信息安全防护策略
3.1基于管理层面的计算机信息安全防护策略
3.2基于人员层面的计算机信息安全防护策略
3.3基于安全监管技术层面的计算机信息安全防护策略
4总结
[1]尹淋雨.大数据环境下企业信息安全水平综合评价模型研究[D].安徽财经大学,2014:49-51.
[2]雷邦兰,龙张华.基于大数据背景的计算机信息安全及防护研讨[J].网络安全技术与应用,2016(5):56,58.
为了深入贯彻学习关于网络安全系列重要讲话精神,积极响应中央网信办、工业和信息化部、公安部等六部门联合的《关于印刷国家网络安全宣传周活动方案的通知》的要求,9月24日,由杭州市政府、中国信息化推进联盟、浙江经济理事会主办,杭州市拱墅区政府、中国信息化推进联盟协同创新专委会、浙江乾冠信息安全研究院承办的2016第二届中国网络安全协同创新高峰论坛杭州峰会在美丽的西子湖畔召开。
峰会上,来自中央网信办、公安部、中科院及国家有关部门的领导、专家就如何学习贯彻关于网络安全和信息化的系列讲话精神、网络安全面临的严峻复杂形势、网络安全管理的方针政策、网络安全体系建设的策略建议和实践案例等进行了研讨交流。
本刊摘取部分专家精彩观点,以飨读者。
建设整体信息安全保密体系
杨国勋认为,当前的信息安全问题不容小觑,特别是政府及金融、能源等关键信息基础设施的安全保障问题。应该强化关键信息基础设施安全,进而大力推动重要领域整体信息安保体系建设。
但是,信息安全既没有绝对的安全,也没有永久的安全,因此,整体信息的安全防护也不可能一劳永逸,彻底管住。所以,在实际操作中,我们应该是在有效安全的前提下,以发展促安全。
那么,如何做到有效防护?第一,要明确消除可预见的整体安防的薄弱点和空白点。要按照对双方的重要性及损害的严重程度分类评估,来判定做还是不做。如果是有可预见的薄弱点,就不能做。第二,要创新安防的思路、方法、路线图。现实中,我们经常会遇到“又要马儿跑、又要马儿不吃草”的问题,信息安全也是这样的问题,又要安全,又要扩大应用。在这种情况下,我们需要创新,需要从另外的角度来分析和思考。比如风险管理,不仅要分析对自己的重要性,也要分析对敌方的重要性;出了事情,要分析对自己的影响,也要分析对敌方的影响;比如法制管理,用法制的威慑力,使他不敢造次,不敢随便地对你进行攻击。第三,要有科学、合理、可持续的实施方案。
互联网+下的工业安全技术
在演讲中,何积丰提及了工业控制系统的三个安全目标:一是通信可控,要能直观观察、监控、管理通信数据,仅能保证专有协议的数据传输,禁止其他通信;二是区域隔离,要能防止局部控制网络问题扩散导致全局瘫痪,要在关键数据通道上部署网络隔离;三是报警追踪,要能及时发现网络安全问题,确定故障点,记录报警事件,为故障分析提供依据。
对于工业控制系统的安全防御策略,何积丰提出了五道防线,分别是:第三方商用防火墙,联合安全网关,工业PC安全防护,现场设备控制防护,安全可靠的现场设备。可以采取的具体措施也有五条:去中心化、智能下移、异构冗余,分布协同、蜜罐技术。
何积丰认为,未来几年,工业控制系统安全发展趋势将朝着以下几方面发展:一是随着硬件元器件的可靠性越来越高及冗余技术的使用,安全问题的矛盾主要集中于软件,软件安全性面临严峻形势;二是工控信息安全标准需求强烈,标准制定工作亟需全面推进;三是随着自动化系统IT化,传统边界防护难以满足工业控制环境;四是行业内尚未形成气候,需要整合自动化与信息安全公司优势,带动产业全面发展;五是工控安全防护技术迅速发展并在局部开始试点,距离大规模部署和应用有一定差距。
深化国家网络安全等级保护制度,全力保卫关键信息基础设施安全
陈广勇除汇报了公安部在网络安全方面的一些工作情况和应对措施之外,还给重要行业部门开展网络安全工作和信息安全企业提出了一些建议。
他建议,重要行业部门开展网络安全工作要统筹规划行业安全工作,以网络安全等级保护工作为抓手,以信息通报为平台,以全面加强安全管理和技术防范为重点,以提高网络安全保障能力为目标,全力构建本行业网络安全综合防御体系。
针对信息安全企业,他建议,第一是要紧密围绕国家网络安全重大举措来开展经营活动,包括及时跟踪了解国家法律、政策、标准和重大举措;有针对性地制定具有行业特点的产品研发战略、技术创新,着重解决云、大、物、移以及工业控制系统的安全风险,制定相应的整体解决方案;第二是要积极参与和跟进信息安全标准的规范研究工作;第三是要全力支撑国家网络安全重点工作,做好技术储备和技术创新,信息安全企业要积极参与网络安全信息通报预警、智慧城市的网络安全管理、新技术、新应用推广等国家有较大投入的方面;第四是要加强规划、科学布局,企业要做好长远的战略规划,努力成为既能提供整体的网络安全解决方案,也能提供高质量的咨询服务能力的综合服务提供商。
拟态防御,协同众测促进网络安全创新
演讲中,葛培勤指出了当今网络安全的五个特点:一是网络安全是整体的不是割裂的,二是网络安全是动态的不是静态的,三是网络安全是开放的而不是封闭的,四是网络安全是相对的而不是绝对的,五是网络安全是共同的而不是孤立的。他进而指出:网络防护需要靠大家共同协防,网络检测需要靠大家一起发现问题,网络管理需要大家齐抓共管,网络应急需要靠大家一起处置/恢复,网络演练需要靠大家共同参与,网络安全需要靠广大人民。
跨维―深度聚焦网安生态
徐平说,在整个网络信息化发展过程中,乾冠信息安全研究院主要解决网络安全中第一公里和最后一公里的问题,其中的第一公里小到一个单位,大到国家互联网的出入口。乾冠信息安全研究院致力于通过时空跨维和深度聚焦,来形成一个比较完整的针对安全威胁的体系化的解决方案。
如何发现并分析处理数据安全,需要业界厂家形成合力,利用大数据驱动构建一个安全管理的平台。这也是研究院积极参与构建中国网络安全协同创新共同体、网络安全态势感知生态矩阵的初衷,即借助平台化的方式,用平台+服务、平台+产品、平台+合作伙伴等模式,来为用户提供整体的服务。平台矩阵将从三个层面提供防御保护:远程防御、云防御和安全设备。
他坦言,对安全威胁的一些未来的预测,是乾冠信息安全研究院下一步要重点突破的方向。
安全理念更新引领网络安全创新
演讲伊始,邵国安就指出:现在很多层面对于网络安全的本质和核心的理解是比较模糊的。理念决定行动,但是若理念都错了,谈何正确的行动?
他讲道,网络安全要从以下五个方面来加以考虑:一是网络边界的安全,二是网络防护,三是终端安全,四是应用安全,五是数据安全,每个层面都有不同的安全要求,是一个扇型的安全保障体系。
交通运输网络安全风险与策略
李璐瑶认为,不管是从事信息化还是从事信息安全的,都必须先了解它的业态,才能来进行风险权重的评价。交通行业,很好地体现了大数据的强大特征:广泛性、海量性、有价性。也正因此,交通领域成为了可能遭到重点攻击的目标,一定要采取有效措施,加强安全防护。