序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全总体规划范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
AnInformationSecurityProgramforaDistributedEnterprise
GUOYong,CHENRong-sheng,ZHANGui-bao,ZENGZhong-cheng,LUTeng-zu,LIZhuang-xiang
(FujianXindongNetworkTechnologyCo.,Ltd.Fuzhou350003,China)
Abstract:Basedonthespecificconditionsofthedistributedenterprise,informationsecurityarchitectureinaccordancewiththerelevantstandards,adistributedenterpriseinformationsecurityplanningprinciplesandobjectives.Andbasedontheprinciplesandobjectivesofthemeeting,accordingtotheorganization,managementandtechnicalaspectsofthreespecificdesignspecificationswiththeprinciple.Finally,basedontheobjectiveofplanningservices,acategoryofinformationdistributedenterpriseinformationsecurityservices,planninganddesignexamples.
Keywords:distributed;informationsecurity;planning;program
1引言
据来自eWeek的消息,市场研究机构Gartner研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。
本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。
2总体规划原则和目标
2.1总体规划原则
对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。
这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。
2.2总体规划目标
信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。
3信息安全组织规划
3.1组织规划目标
组织建设是信息安全建设的基本保证,信息安全组织的目标是:
1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;
2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;
3)建设一个“信息安全运维中心(SOC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。
3.2组织规划实施
对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。
4信息安全管理规划
4.1管理规划目标
信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。
4.2信息安全管理设计
基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。
4.2.1信息安全等级划分指标
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
4.2.2信息安全策略
信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。
4.2.3信息安全制度
信息安全制度是指为信息资产的安全而制定的行为约束规则。
4.2.4信息安全规范
信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。
4.2.5信息安全管理流程
信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。
4.2.6信息安全绩效考核指标
信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。
4.2.7信息安全监管机制
信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。
4.2.8信息安全教育培训体系
其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。
5信息安全技术规划
5.1技术规划目标
信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:
1)打造信息安全基础环境,调整和优化IT基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);
5.2信息安全运维中心(SOC)
SOC是信息安全体系建设的基础性工作,SOC承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SOC要求具有充分保障自身的安全措施。除了SOC的组织建设、基础工程外,SOC的技术性工作还要做以下几个方面:
1)硬件基础建设,主要内容是SOC的选址、布局、布线、系统集成,实现SOC自身的防火、防潮、防电、防尘、安全监控功能;
2)软件基础建设,包括SSS系统、机房监控子系统、功能小组及中心组划分。
图1信息安全软措施关系
图2信息安全总体框架
图3资产、组织、管理和安全措施的关系
5.3信息安全综合测试环境
随着分布式企业信息化程度的日也加深,需要部署到大量IT产品和应用系统,为了保障安全,必须对这些IT系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。
其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。
5.4安全平台建设规划
参照国际上PDRR模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。
主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。
6信息安全服务业务规划
6.1服务业务规划目标
信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:
1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。
6.2服务业务规划设计
服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:
1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。
2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。
3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。
4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。
5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。
7结束语
参考文献:
[2]HaroldF.Tipton,MickiKrause.InformationSecurityManagementHandbook[M].FifthEdition.US:AuerbachPublications,2004.
[3]魏永红,李天智,张志.网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.
[4]张庆华.信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.
[5]ISO/IEC15408,13335,15004,14598,信息技术安全评估的系列标准[S].
[6]BS7799-1,7799-2,ISO/IEC17799,信息安全管理系列标准[S].
[7]BS7799-2,InformationSecurityManagementSystems-SpecificationWithGuidanceforuse[S].
众所周知,电子政务网络作为一个多应用平台其中纳入了多个应用系通,如办公自动化系统、人事管理系统、财务管理系统、业务系统、邮件系统等。对于网络管理者而言必须要对此类应用的运行情况加以详细了解。其次需要注意的是,电子政务网络用户较多,不可避免的会出现因用户运行其他应用程序而影响到电子政务网络的正常运行,从而导致网络工作效率的下降,甚至对网络安全构成极大的威胁。
1网络运行维护管理中的问题
1.1网络规模的影响
随着电子政务网络规模的日趋庞大,通讯线路也越来越长,在这一条件下网络的安全问题及脆弱性逐渐增大。尤其是随着网络客户数量的不断提升,网络所受的安全性威胁也越来越大,具体主要体现在以下两个方面:
1.1.1网络结构难以控制
网络规模的不断扩张必然会导致网络结构出现较大变化,如果网络管理者不能及时发现和处理这一问题,很容易出现因网络配置不当而导致网络性能下降等问题的出现,严重时甚至会导致网络安全出现重大的安全隐患,给电子政务网络带来较大的经济损失,因此网络管理这必须要将网络规模与网络结构的优化纳入到网络安全总体规划及管理当中去。
1.1.2网络漏洞无法掌握
一般而言,绝大多数网络攻击都是基于系统漏洞为基础的。电子政务网络规模庞大、系统多样、设备种类繁多,因此单靠网络管理者的能力很难建立一套完善的网络安全防护系统,加上近年来网络黑客技术水平的不断提升,电子政务网络的安全问题愈演愈烈。
1.3内、外网数据交换安全
2网络运行维护管理的解决对策
2.1建立起基础安全服务设施
要想实现网络安全就必须要有一个良好的安全服务基础作为保障,进而保证整个电子政务网络的安全、高效运行。基础安全服务设施的作用主要为电子政务网络创设出良好的网络环境,即相互信任,进而为安全技术的应用与科学决策提供依据。但需要注意的是,基础安全服务设施的搭建必须要有可信的身份。系统内设的安全措施通常会根据用户身份来决定是否通过验证与执行用户所提出的访问要求,因此用户身份是否可信便成为了基础安全策略最为核心的问题。实际上,可信的身份服务即为验证提供正确的用户身份信息,如果验证无法通过,那么系统防火墙便会根据假的用户身份来做出错误判断而不予服务。
2.2设置安全技术支撑平台
解决了电子政务网络中的信任问题后便能够在可信任的环境下对现有安全产品与技术实施既定的安全策略,其中包括访问控制、通讯加密、漏洞检查、物理安全与黑客入侵检测等。正式上述这些策略的执行为整个电子政务网络建立起了一个较为真实的安全策略环境,这对于低于网络攻击、预防信息破坏、控制用户权限及防止泄密有着极为重要的作用。基于安全岛实现网内系统,限制他人进入内部网络系统,过滤非法使用用户和不安全服务。特殊点的访问严格把关,限制非法分子访问特殊点。将见识网络安全和预警提到重要主义方面,为这两方面的实施提供方便。充分利用资源,防止资源的滥用,倡导可持续性利用。
2.3合理运用防火墙技术
在计算机网络安全中的应用防火墙技术是保证网络安全的重要手段。是网络通信时执行的一种控制访问限度的一种手段。其主要目的是迫使所有网络的连接都接受检验,控制出入的一种网络上的限制。防止安全的网络环节遭到外界因素的破坏和干扰。在正常的逻辑思维当中,防火墙实际上是发挥了一个分离器或者是限制器的作用,甚至起到了分析器的作用。这样能够充分的将内部网络和公共网络之间的任何活动实施监控,保证了内部网络的安全。计算机防火墙技术,他能允许将你“同意”进来的人进入你的网络,拒绝不同意的人。“包过滤”技术是防火墙技术的一种重要方式。而要实施“包过滤”的标准就是根据安全策略制定的。访问控制的标准就是:包的源地址和连接请求方向。硬件的包过滤技术之外还可以通过服务器软件来实现。
3结语
参考文献
[1]廖坚强,李明生.电信业重组后益阳联通运行维护管理模式研究[J].企业家天地(下旬刊),2011(11):68.
引言
1税务电子政务系统安全体系概述
2如何构建完善的税务电子政务系统安全体系
我们知道,税务电子政务系统安全体系是整个税务电子政务系统安全、有效、高效运行的重要保证,因此安全体系应切合税务电子政务系统实际需求,在保证物理安全和网络安全的基础上,充分保证数据安全和应用系统安全,同时通过安全制度建设和安全教育培训实现安全体系有效实施,以全面保证税务电子政务应用系统中各类信息的采集、处理、管理、传输等安全进行,并满足将来税务电子政务系统安全方面的扩展需求。下面我们将在阐述税务电子政务系统安全体系基本构建原则的基础上,从物理安全、网络安全、数据安全、应用系统安全、安全制度建设、安全教育和培训等方面对完善的税务电子政务安全体系进行说明。
(1)构建电子政务系统安全体系的基本原则
参照我国税务电子政务建设指导意见并结合税务电子政务安全体系方面的研究,我认为:构建税务电子政务系统安全体系应当遵循以下原则:
2)统一标准,加强管理
5)制度建设、安全培训
(2)电子政务系统安全体系之物理安全
(3)税务电子政务系统安全体系之网络安全
1)拨号用户接入问题:
2)防火墙设置问题:
在税务电子政务系统运行所在专网和外网之间、不同安全域之间需要根据需要设置防火墙,依据安全政策对出入网络的信息流进行控制,有条件地允许、拒绝、检测或过滤。防火墙设置需要综合考虑电子政务系统所要求的速度、性能、管理、便易性和性价比等各个方面,进行周密设计和总体规划;另外应注意加强安全管理,采取一些必要的措施保证较高的安全性,比如防火墙要安装在不同的介质上,尽量使用不同的服务器提供不同性质的服务,对于重要系统的出口应重点配置防火墙,在实际配置和实施时应该关闭不需要的服务,要经常检查防火墙的日志,发现异常应该及时处理,采取多层防御、冗余防御等多种方法和措施。
3)关于防病毒问题:
在税务电子政务系统中,需要基于业务需求建立多层次病毒防卫体系。无论是B/S还是C/S结构,均需要在税务电子政务系统每一个安装或运行点强调安装反病毒软件,在税务电子政务系统中的业务处理终端和服务器端应同时提供对应的防病毒保护措施。防病毒工作是一个长期的工作,应及时进行防病毒软件或系统的升级、换代工作。另外除了采用各种防病毒产品以外,还应建立和实施完善的综合安全性操作程序,该操作程序应包括各种安全措施,如定期数据备份、关键信息加密保护等。
4)控制与公网互连的问题:
在税务电子政务系统中,数据传输的方式一般包括纸质传输、介质传输和网络传输,因此对于公网传输的情况应加强安全方面的管理和控制。税务电子政务系统要求内外网物理隔离,一般可以采用双穴主机及类似措施,在严格控制与公网互连的前提下,妥善解决公网与专网之间的数据传输问题。
5)关于防止黑客问题:
随着网络规模的扩张和信息技术的飞速发展,黑客技术也不断发展,其攻击的范围和层次也不断扩张。税务电子政务系统作为我国政府信息化的重要项目(比如金税工程、秦税工程等)也有可能成为某些恶意黑客的攻击对象。因此在设计和实施税务电子政务系统安全体系时,应加强采用入侵检测技术防范黑客入侵和侵袭,并在必要的时候采取证据记录、跟踪恢复、强制断开等措施保证业务网络的安全。
6)网络安全管理和监测:
网络安全管理和监测是税务电子政务系统安全设施和安全机制有效发挥作用的重要保证,主要包括安全规范的制定和实施、各类操作用户的安全管理、安全体系的运营监控、应急处理和安全控制等。
(4)税务电子政务系统安全体系之数据安全
税务电子政务系统一般将需要采集、整理、处理、传输、统计、分析等所对应的数据进行安全分级,比如有些系统将数据分为一般数据、重要数据和关键数据三级,有些系统将数据分为自主保护、审计保护、标记保护、结构化保护和验证保护五级等,然后对于不同级别的数据采用不同的安全措施。
根据数据的处理形式不同,安全体系之数据安全可以分为数据传输安全、数据存储安全、数据库安全三个方面。
(5)税务电子政务系统安全体系之应用系统安全
税务电子政务系统安全体系之应用系统安全主要包括用户身份认证、访问控制、安全审计及日志、安全技术及应用四个部分。
1)用户身份认证
这里的用户是一个比较宽泛的概念,不仅包括使用税务电子政务系统的政务工作者(人),还包括访问或者使用税务电子政务系统的其他系统或者主机、服务器等(系统、计算机)。
2)访问控制
在税务电子政务系统中,需要指定各个应用层次中的每一个用户所能够访问的业务资源和系统资源,也即访问控制和权限分配策略。
3)安全技术及应用
(6)税务电子政务系统安全体系之安全制度建设
税务电子政务系统安全体系要真正发挥作用,还需要制定安全制度并严格实施。一般的,安全制度包括人员安全管理、系统文档管理、环境安全管理、设备购置使用、系统开发管理、运营安全管理、应急情况处理等内容。
(7)税务电子政务系统安全体系之安全教育和培训
在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。
一、通信运用中加强信息安全和防护的必要性
1.1搞好信息安全防护是确保国家安全的重要前提
1.2我国信息安全面临的形势十分严峻
二、通信中存在的信息安全问题
2.1信息网络安全意识有待加强
2.2信息网络安全核心技术贫乏
目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。
2.3信息网络安全防护体系不完善
防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。
2.4信息网络安全管理人才缺乏
高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。
三、通信组织运用中的网络安全防护
3.1数据备份
对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。
3.2防治病毒
保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。
3.3提高物理安全
物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。
3.4安装补丁软件
3.5构筑防火墙
构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。
四、加强通信运用中的信息安全与防护的几点建议
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
4.1要加强宣传教育,切实增强全民的国防信息安全意识
在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
4.2要建立完备的信息安全法律法规
信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
4.3要加强信息管理
要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。
4.4要加强信息安全技术开发,提高信息安全防护技术水平
没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。
4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节
4.6建立和完善计算机系统风险防范的管理制度
但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。
在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
杨浦区早在1996年就成立了区教育信息中心,并将其建成了连接各校园网的门户站点,校际共享的教育教学的资料库,教育行政部门管理的网络中心。
全区中小学信息中心网络实现24小时开通,建立了全区中小学电子邮件系统,通知、提示、文件全部网上运行,加快了信息的传递速度,提高了工作效率。分批推进校园网建设,实施“校校通”工程,做到“线路通、资源通、应用通”。
但是,数字化技术的大量应用,也使恶意和非恶意性的侵害和攻击行为发生的可能性大大提高,如何保障信息系统安全、优良的运行,实行高效、及时的管理同时维护也成为重点考虑的问题。
杨浦区教育信息系统是教育行业内发展快、基础架构完善的网络,承载着整个区的网络教育以及教职员的研究项目的任务。由于网络系统比较出名,容易招致黑客的恶意攻击。
每当攻击导致网络出现故障时,学生将无法完成自己的课堂作业,教职人员无法进行自己的研究项目,行政管理人员则无法完成日常的管理任务。攻击也会给网络小组造成极大的麻烦,此外,学校还必须投入数十万元的资金用于恢复网络。
如何寻求新的解决方案给网络安全再上一道门。那么,什么样的门才能实现这个功能呢防火墙的目标是用于网络访问控制,对于黑客使用缓冲区溢出等应用或攻击OS弱点无能为力。
另外,对于通过邮件传播的蠕虫病毒,防火墙也无法阻挡。而且,黑客的攻击都是利用防火墙允许通过的协议发起的针对主机漏洞的攻击。IDS只能是被动的报警,有时候还有相当大的漏报和误报现象发生。
最终,IPS(入侵防护系统)吸引了信息中心同事们的注意。他们发现,IPS不仅具有IDS的预警功能,而且,还可以在报警的同时,截获恶意的数据包,实现主动防御。
通过对防火墙、IDS以及IPS等安全工具的优劣势进行比较分析,杨浦区教育信息中心的技术人员都觉得IPS是最佳的选择,于是,他们决定引进IPS系统。
通过多家公司的产品测试,最后决定购买McAfee的设备。McAfee具有全面的安全产品,如防病毒、病毒网关、入侵防护以及安全风险管理。目前主要是解决网络安全事情,特别是蠕虫和非法攻击。经过严格的测试和对比,最后决定选择McAfeeIntrushield2600。
McAfeeIntmshield2600可同时以In-Line的方式防护四条链路,做到对网络入侵攻击的实时阻断。提供一对千兆端口和三对百兆快速以太网端口,吞吐量高达600Mb/s,不仅满足了杨浦区教育信息中心的现有网络需求,并且为信息中心网络今后的扩展提供了很大空间。
同时,可以根据杨浦区教育城局域的需求,在McAfeeIntrushield2600上针对VLAN和CIDR设定虚拟IPS,以做到更进一步的细致防护,确保整个杨浦区教育城域网网络的安全。
在安全系统中,将McAfeeIntrushield2600的一对检测防护端口以In-Line的方式串接在核心交换机和链路负载均衡设备RadwareLinkProof之间,以做到实时的阻断整个杨浦区教育城域网内网对外网及外网对内网的入侵攻击。
一对检测防护端口同样以In-Line的方式串接在核心交换机和电信MPLSVPN接入之间,以做到实时的阻断内部网络中各学校对信息中心应用服务器群的入侵攻击,有效的保护信息中心的安全。
MsAfeeIntruShield能够通过先进的签名检测、异常检测以及DoS攻击检测来预防各种各样的攻击,其先进的功能也使杨浦区教育信息中心的工作人员受益匪浅。自从部署了McAfeeIntruShield以后,杨浦区教育城域网被攻击的次数显著降低了。
加油IC卡:防毒也“加油”
文斌
如今80%的病毒通过电子邮件进行传播,那么加油IC卡系统是如何对整个防病毒系统进行集中管理,如何在网关处就将带病毒的电子邮件扫除门外
中国石化加油IC卡系统是中国石化集团公司与银行合作开展的跨系统、跨地区的特大型IC卡应用项目。
IC卡系统通过以现代支付工具IC卡取代传统的现金、油票等结算,实现加油款的电子支付和交易数据的自动采集,在各级石油公司和加油站建设零售业务管理信息系统,以高科技的经营管理和服务提高工作效率、降低经营成本,使企业在市场竞争中处于有利的地位。
项目的建设不仅为开展油品电子商务业务奠定基础,也有利于逐步以加油卡这一现代金融工具替代传统的现金、油票结算,同时采用银企合作方式建设通用加油卡系统,也为国有商业银行开辟了新的业务领域和新的服务市场。由于中国石化加油IC卡系统需要完成各种交易信息的传送和处理,因此,确保系统的安全可靠至关重要。
全方位保护系统
为了全面实现“中国石化加油Ic卡防病毒管理系统”的目标,最大限度地防范病毒危害,在建立“中国石化加油IC卡防病毒管理系统”时,针对网络构造和应用环境的实际情况,采用McAfeeActiveVirusDefense(AVD)和McAfee安全网关解决方案。
建立全方位的、统一完整的加油IC卡防病毒系统,从桌面客户端、服务器、群件以及网关上进行全方位、多层次的整体防护,并通过McAfeeAVD的核心产品ePolicyOrchestrator(ePO)对整个防病毒系统进行集中管理,分级控制,确保保护整个企业网络远离各种病毒攻击。
针对桌面客户端的防病毒产品VirusScan,VirusScan支持多种操作系统,从而能够对最广大的用户群提供支持,同时集成了一些功能强大的辅助技术,可以自动地保护系统免于崩溃和数据的意外丢失。
针对服务器的防病毒产品NetShield,NetShield支持Novell、WinNT、Win2000S和NetApp等多种操作系统,能够从一个直观的控制台保护整个企业的文件、应用程序和群件服务器,方便地从本地服务器或工作站监测、配置和执行远程服务。
分别专门针对LotusDomino和MicrosoftExchange群件环境的防病毒产品GroupShieldforDomino和GroupShieldforExchange。
传统的反病毒产品并不能对专有数据库内部以及群件环境中使用的通信进行扫描,但群件服务器级的病毒防护功能对于企业防止病毒的扩散是十分重要的。应用了McAfee高级扫描技术的GroupShield能够有效防止病毒在信息传递过程中发作,在病毒扩散到网络其他部分时有效地将其查杀。
VirusScan防范多威胁
VirusScanEnterprise8.Oi扩展了对新类型恶意代码的检测功能,这就意味着它能够为企业的敏感信息和资产提供更有效、更强大的保护。该产品在初始配置情况下能够预防约200多种最具危险性的潜在恶意程序,用户还可以按照计划在潜在恶意程序安全列表中添加新发现的恶意程序。
网关拦截病毒
电子邮件已经成为计算机病毒传播的主要媒介,据统计,80%的病毒通过电子邮件进行传播。
如果能够在网关处就开始对电子邮件进行扫描,在病毒进入网络之前就将其截住,从而将对关键业务系统可能造成的危害减到最低。
McAfee安全网关全面集成了软硬件技术的防病毒硬件设备。利用McAfee安全网关,企业用户能够对出入网络的电子邮件、HTTP数据与FTP数据进行扫描以搜寻病毒信号。一旦侦探到病毒信号,能够将其清除、阻止或隔离该信息或数据。
中国石化加油IC卡系统是中国石化集团公司的重要系统,整个系统的稳定性直接影响着业务的发展。自从利用McAfee构建起全面防病毒系统后,整个系统运行稳定,实现了全方位的病毒防护,确保了整个系统免遭病毒的攻击和危害,保障了业务的顺利发展。
SOC建设剑指金融安全
刘岩
安全管理已经被业界所认可,那么如何将这些管理上的制度和规范落实,将这些安全管理目标真正用技术手段加以控制
正如ISO17799国际标准所强调的,“信息安全是管理的过程,而不能仅仅考虑技术因素。”随着信息技术的发展,金融领域的科技工作重点已经由网络建设、数据大集中、安全基础设施建设,发展到安全管理的阶段。
那么如何才能更加体系化、流程化、平台化的进行信息安全管理系统的建设呢
从BS7799谈起
由英国标准协会(BSI)在1999年首次提出的BS7799安全管理标准,2000年正式成为ISO/IEC17799,并于2005年发展为最新版本ISO/IEC27001。
该标准通过11个大类的安全目标和安全控制,构建了信息安全管理系统的框架,为各机构进行信息安全管理工作提供基础的依据。
七分管理,三分技术,管理和技术在金融领域的安全工作中是密不可分的,管理需要以强大的技术手段作为依托,技术的实施需要以管理目标作为依据。
国外的同行业机构已经将7799的认证工作确实的落实到具体的安全技术体系之上,例如英国的SmileBank,其网上银行最早获得了英国BSI的7799ISMS认证,并以此认证工作为契机为网银的客户提供强有力的安全保障。
如何将安全管理上的目标真正用技术手段做到控制呢SOC(SeevturityOp-erationCenter)就是在这样的大环境之下顺理成章出现并不断发展,它是从单一的技术手段向管理过渡的重要里程碑。
四个中心,五个模块
启明星辰提出的SOC解决方案,其体系架构如图1所示,由“四个中心、五个功能模块”组成:
“四个中心”是漏洞评估中心、事件流量监控中心、综合分析决策支持与预警中心和响应管理中心;
“五个功能模块”是策略管理、资产管理、用户管理、安全知识管理和自身系统维护管理。常用的关键系统功能:
脆弱性管理
通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。
综合分析与预警
综合分析与预警是安全运营中心的核心模块,依据资产管理和脆弱性管理中心进行综合的事件协同关联分析,并基于资产(CIA属性+价值)进行风险评估分析,按照风险优先级针对各个业务区域和具体事件产生预警,参照网络安全运行知识管理平台的信息,并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。
响应管理
响应管理是根据当前的网络安全状态,及时调动有关资源做出响应,降低风险对网络的负面影响。
网络安全响应模块负责根据预定义好的安全策略规则,及时工作指令,调动有关资源做出响应。实现人机接口,通过人工派单方式发送到相应的工单处理部门。工单的通知方式包括图形显示、SNMPTrap、邮件和短信。
安全策略管理
网络安全的整体性要求需要有统一安全策略和基于工作流程的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力。
同时通过策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。
安全知识管理
安全信息管理是安全信息的WEB系统,不仅可以充分共享各种安全信息资源,而且也会成为各级网络安全运行管理机构和技术人员之间进行安全知识和经验交流的平台,有助于提高人员的安全技术水平和能力。
实现在安全管理中心WEB门户提供统一界面以安全WEB的形式最新的安全信息,并将处理的安全事件方法和方案收集起来,形成一个安全共享知识库,该信息库的数据以数据库的形式存储及管理,为培养高素质的网络技术人员提供培训资源。
SOC架起安全桥梁
衔接宏观与微观
金融机构的安全建设提出了更多管理层面的问题,需要对多种资源的整合管理更加重视。目前企业的安全运行管理普遍现象是,不同类安全产品分别有其自身的管理控制台,网络与主机设备由网管系统管理。特别对于金融行业而言,需要有效地整合各系统,对事件的数据格式、分级进行标准化,从全局上对整个网络安全事件进行分析。
解决人员依赖性
对于技术型的人员来说,往往采用技术型语言来描述问题。这种情况下,容易与领导和非技术部门人员产生沟通和交流的问题。因此需要将技术型问题上升到管理型的问题,风险数字化,损失数据化。
合规性
BS7799作为系统的安全管理标准,在国际金融界广为使用。所谓7分管理、3分技术。管理和技术一直很难整合起来,管理不仅是制度,还需要有一种系统来实现管理的目的。SOC将安全管理需求与安全技术解决方案的整合,将管理和日常技术工作融合在一起。
有效显示
SOC能够把问题显示出来,能够量化。每天发现了多少次,解决了多少次,从而了解到网络安全的真实现状。
通过监控大屏幕的显示可以将整个网络管理的现状和态势展示出来,机构领导者可以直观的在监控中心了解宏观安全,并指挥各地的安全工作的落实。
例如,交通管理指挥中心人员不需要亲自前往各个拥堵的路段,他们只需要通过各种手段采集交通信息作汇总和,统一的指挥调度。安全管理工作也同样需要这样的机制进行全局的管控。
有效提炼,实施预警
SOC系统可以从海量的安全事件报警中得出有价值的信息,及时采取报警措施。
有效投资
安全风险是无限的,而安全投资是有限的。应该利用有限的安全投资解决无限的安全风险(安全投资ROI=减少的安全损失/安全投入)。
与安全域划分相结合
安全域的划分和赋值是金融行业网络安全建设的重要环节。启明星辰的泰合SOC解决方案的另一大特点,也是安全建设非常有价值的功能之一,是可以部署基于安全域的SOC平台,从而实现多层次可定制的安全域管理,基于域的细粒度风险计算和监控能力,并且以安全域的思想进行风险管理。
安全域作为安全建设的核心,需要长期的管理,SOC是安全域管理监控的有效工具。使用资源管理中的安全域管理的核心功能,可以使安全建设从单纯的信息安全工作向业务保障转换,同时将宏观的信息安全建设向下落实。
中国的信息安全起步和发展都处于世界前列,特别是在金融领域,2000年以来信息安全的技术和管理层面都已经作了大量的工作。但是行业科技人员和管理者还需要继续脚踏实地的落实信息安全管理工作,从而切实地为我们的金融客户提供高可靠、高质量的服务,使金融机构稳步健康地发展。
双认证护航远程安全
满欣
中国大地财产保险股份有限公司(简称大地财险)由包括中国再保险(集团)公司在内的10家境内外投资人共同发起设立,总部设在上海,目前全国有15家分公司。
为了建设一个高起点和高标准的信息化系统,大地财险与IBM公司合作,引进国际先进的保险理念和信息技术,初步建立起公司的信息技术基础平台。
基于VPN的种种优势以及最大化保险人的工作效率,大地财险的许多业务资源访问已经开始通过VPN实现,具备合法身份的工作人员可以利用VPN访问公司的核心资源。
VPN是把双刃剑
大地财险的运营越来越依赖企业的核心力系统和数据,在通过VPN提高工作效率的同时,也看到了潜在的安全风险。
毕竟,VPN所应用的通信隧道,需要通过公共网络并且必须向各种各样的用户打开自己的“网络之门”。如果是正确的人存取了正确的信息,就等于你找到了一种功能无与伦比的商务工具。但是,当VPN的远程存取权落入错误的掌握之下时,就无疑是一场大灾难。
如何为企业的VPN访问建立一个更加安全的环境,成为大地财险完善VPN服务的一个关键因素。
VPN网络安全认证主要有以下几种形式:密码属于一种最弱的安全形式,密码公认的优点在于易于部署应用并且费用非常低廉。但是,密码非常容易被猜中、被窃取或者受到其他的破坏。
双因素认证必须提供两种形式的认证内容。这就象是一部银行的自动取款机(ATM),用户既需要知道身份(卡)号码,还需要拥有认证设备(令牌或者智能卡)。
随着互联网交易数量的增长,将数字证书作为一种认证形式变得更加广泛。数字证书可以帮助识别用户,因为它要求使用具有唯一性的数字信用证明。
使用智能卡的安全等级最强。这不仅在于使用智能卡得到了双因素认证保护,而且还因为双密钥可以在智能卡上生成并储存。
生物认证利用的是某个用户所拥有的唯一生物特征。利用这种技术需要掌握某些生物数据,例如:指纹、视网膜扫描以及声波纹等等。
虚拟专用网络(VPN)正迅速成为远程存取应用中最普及的一种方法。通过建立在复杂交织的公共网络中的一个专用通信隧道,VPN可以使用户充分利用互联网的强大功能,不仅大大节省了用户远程存取应用的费用,而且还进一步提高了工作效率。
但是,作为个人专用并不一定意味着一个虚拟的个人网络具备应有的安全性,这是由于VPN经常采用的保护手段仅限于一种门槛偏低的密码屏障。
大地财险通过对业界知名安全厂商所提供解决方案的对比,最终采用了RSASecurID和WebExpress认证解决方案。
同步令牌双认证
这些令牌被设计成一种易于操作使用并且便于携带的小件产品,用来替代口令这种可以被轻松猜中或破解的安全性能偏弱的认证形式。
双因素用户认证系统能够代替基本的密码安全机制,有效抵御非法入侵,使宝贵的网络资源获得完善的保护,免受意外造成的破坏及恶意入侵。