時間:2023-09-22 15:32:34
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡安全保障服務范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
一、安全工作小組組 長:項目經理
副組長:項目副經理、技術總工
成 員:鄭州調度中心組長、網絡組組長、通訊組組長
二、安全工作小組責任分工 1、組長:主抓通訊網絡部安全工作,對安全工作負領導責任。
2、副組長:協助組長做好全面安全工作,對安全工作負直接管理責任。
3、安全崗位責任人:根據《工地樞紐管理中心安全生產“一崗雙責”制度》,按照“誰主管,誰負責”和“管生產,必須管安全”的原則,重點落實各班組長的管理工作;參加各項通訊網絡安全工作會議,與相關單位建立經常性聯系,轉達、發放有關通訊網絡安全等方面的文件、精神和材料,落實安全工作小組交代的具體工作。
三、安全責任主要內容1)具體負責通訊、網絡及所轄區域的安全管理工作。對所轄區域各部位的安全工作進行檢查、指導、督辦。
2)負責所轄區域設備、設施的運行安全,防盜、防破壞。建立相應的安全責任制和安全操作規程。并針對系統運行的特點制定突發事件應急預案。
3)保證系統運行安全、穩定、可靠。通訊信號無責任事故性中斷,網絡傳輸運行安全。
4)負責對項目部人員進行安全教育,貫徹落實有關安全會議精神及學習安全知識。牢固樹立安全意識,克服工作麻痹思想,不斷加強安全教育,確保所轄區域各項工作順利進行,不發生任何安全事故。
5)定期巡查各通訊網絡機房,發現問題及時上報處理。
6)檢查、督促各區域《崗位安全責任制》的不斷完善和貫徹落實。
7)負責所轄范圍的防汛安全等工作。
1網絡安全概述及發展現狀分析
隨著社會經濟的不斷發展,網絡信息技術也在不斷更新完善,這就要求網絡安全工作也必須不斷做出改革和創新。信息安全及系統安全是構成網絡安全管理工作的兩大核心內容,其中前者主要指的是對數據在傳輸和處理過程中的安全保護,尤其是對一些保密性較強的數據進行保護,避免數據被非法盜用,出現修改的狀況,并最大限度的維護數據的可用性,使其能夠在突發意外的情況下也可以正常應用于各項工作,不影響網絡數據信息的使用效果,提高數據信息的安全性;而后者則主要指的是從硬件設施和軟件裝備來提高系統的可靠程度,涉及各個網絡運行元件的安全。就我國當前網絡安全管理工作的現狀來看,我國已經頒布了一系列的政策措施并投入了一定的資金,在網絡安全保障工作方面取得了一定的成效,構建了網絡信息管理安全體系,但仍存在一些問題。惡意篡改、非法侵入數據信息庫、病毒感染、網絡黑客等違法行為,對網絡信息系統安全造成了極大的危害,不利于信息可用性和真實性的保護,是當前信息安全保障工作的重中之重。
2增強信息安全保障體系的措施
2.1落實網絡信息安全基礎保障工作
由于網絡環境的虛擬化、信息傳輸超高速化和區域無界化,網絡信息安全保障工作具有一定的特殊性,其本質可以看作是實時性的安全預防、管理和應對。因此,不僅需要對國家現有的網絡平臺進行鞏固,確保基本的信息管理設備和裝置的合理應用和正常運行,還需要研制重點網絡安全問題的應對機制。同時為了更好地開展信息安全保障工作,應加大網絡安全的宣傳力度,通過不同的途徑和渠道讓廣大民眾認識到信息安全保障工作的重要性和必要性,樹立正確的網絡安全意識,從而更好的遵守網絡行為規范。還要打造一支網絡安全意識強、安全管理能力高的專業化團隊,為增強網絡信息安全管理提供堅實的保障。除此之外,職能部門也應制定相應的安全管理計劃方案,通過法律制度和標準,為信息安全管理工作的開展提供更好的政策依據。
2.2政府要加大對信息安全體系的構建力度
根據我國網絡安全的重點問題,政府職能部門必須加強對信息安全的管控。可以采取試驗試點的方式,對多種安全防治措施和方案進行探索和研究。在研發過程中可以從用戶身份識別、信息來源追蹤及用戶對所接受消息的檢測三個角度進行分析。譬如研發一套規范的數字證書驗證體系,對網絡用戶的身份進行實名制認證,實現對用戶信息和權限的系統化管理。這樣,一旦發現問題,便可以立即采取有效的措施進行解決,從而創建一個安全的網絡服務平臺。
2.3構建健全的網絡信息安全保障體系
在網絡信息安全保障體系的構建過程中,除了做好基礎保障工作,還應該不斷地提高網絡管理者的專業技能,完善網絡體系的硬件和軟件,讓體系內的各個組成部分都擁有自身安全管理的機制。同時應明確網絡環境中信息保護的根本目的,圍繞信息安全的各個方面開展工作,提高和改善網絡信息安全系統的監測能力、恢復能力、防御能力、反擊能力、預警能力及應急能力。只有具備了以上六項能力才能做到運籌帷幄,對網絡安全進行全面監控,對入侵行為進行有效的反擊,對突發問題做出快速反應和及時處理,對數據信息進行合理的備份存儲,使網絡安全管理效率得到最大程度的提升。此外,還應制定一套系統自檢測方案,對系統的安全性進行定時檢測,對其中存在的漏洞問題進行處理,完成網絡設備的自主檢測和檢測結果分析匯報。
3結語
3.3校園網絡安全測試
校園網絡系統的安全保障體系對于這一系統本身來說,是極具個體的特性的,在對校園網絡進行安全維護時,相關工作人員可以將其與校園網絡的特點進行有效融合,并利用目前的校園網絡安全技術,構建健全的校園網絡安全體系,對校園網絡的健康發展有著極重要的意義。
4、加強校園網絡安全性的相關措施分析
4.1網絡環境安全采取的措施
網絡環境安全主要是由網絡保護交換機、路由器及打印機各種服務器組合而成,能夠有效避免通信線路遭到人為破壞、自然災害破壞及遭到網絡攻擊等行為,從而保證校園網絡能在一個擁有良好狀態的環境下進行工作,從而妥善保管網絡數據資料,防止不良人員進入到校園網絡機房內進行破壞。
4.2網絡設施安全方面的措施
由于目前的系統軟件中經常藏有木馬病毒,極容易造成相關用戶的個人信息曝光,并且校園網絡硬件設備的質量好壞也會形成網絡故障甚至癱瘓,致使大多數工作人員無法對其合理解決。因此校園網絡在進行設備的選擇時要尤其注意。
4.3校園網絡隔離措施
由于大多數的校園局域網都是以廣播的形式為主,因此攻擊者會根據廣播中播報的信息,對其進行破解分析。由此可知,為有效加強校園網絡信息的安全性,網絡的隔離措施可以最大限度的減少數據信息的傳播程度,進而將網絡信息進行有效隔離,將安全隱患降到最低。
4.4選擇合適的網絡軟件
相關的殺毒軟件和防火墻都是保障校園網絡安全運行的重要措施。因此在對校園網絡進行安全漏洞方面的掃描時要選擇較合適的應用軟件,如360、金山毒霸等,并且使用的軟件一定要是正版,尤其需要注意的一點就是要定期對其進行更新掃描。
4.5構建健全的校園網絡規章制度
若想有效保證校園網絡運行的安全性,就要構建合理的校園網絡規章制度,并且要加強校園的網絡管理工作,推動校園網絡的廣泛應用和發展,從而為更好的進行教學、科研工作提供保障。因此在進行校園網絡的安全管理時,要以我國最新規定的校園網絡相關法律為依據,并與校園網絡的實際應用情況相結合,制定嚴格的校園網絡管理體系,引起相關工作人員的關注和重視,從而促進校園網絡的安全、可靠運行。
5、結束語
在校園網絡的運行中構建較系統、全面的安全保障體系是極其重要的,不但能夠保證校園網絡系統的正常運行,還能真正實現網絡資源共享,從而為校園教學、科研等工作提供良好的保障。因此相關工作人員在進行校園網絡安全保障體系體系的構建時,對校園網絡情況深入了解,進而有效解決校園網絡存在的安全隱患問題,并在有效技術的使用時,制定完善的網絡安全管理策略,從而提高安全工作人員的綜合素質,為校園網絡運行的安全性提供保障。
參考文獻
[1]羅國富,王乙明.校園網絡安全防范體系研究與應用[J].現代教育技術,2012,22(9):53-56.
關鍵詞 數字化校園;安全;體系
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1671-489X(2009)06-0087-03
Research of Digital Campus Security System//Liu Changzheng, Teng Jianmin
Abstract Good application platform and sound business system are important in Digital Campus, But establishing a comprehensive security system to ensurethe whole system is safe, reliable operation is even more important. It researches from digital campus security system components, construction methods, which is of great significance to the digital campus of sustainable development and efficient operation.
Key words digital campus;security;system
Author’s address Bengbu Tank Institute Educational Technology Center, Bengbu, Anhui 233050
隨著軍隊院校信息化進程的推進,校園網上運行的服務越來越多,數字化校園變得越來越龐大和復雜。校園網用戶對信息系統的依賴性不斷增加,因此對信息系統的服務質量也提出更高的要求,要求信息系統能夠提供每周7×24小時的優質服務。如何保證信息系統的正常運行,如何能夠以最少的投入來完成系統的維護,保證信息系統的服務質量,就成為軍隊院校信息化發展到一定程度時必須考慮的問題。同時,數字化校園也面臨著一系列的安全問題,如會受到來自外部和內部的攻擊、病毒困擾、非授權訪問、重要信息泄露等問題,這些將影響整個數字校園系統的安全并帶來極大的隱患。從總體上來講,當前一般的校園網安全方案存在的問題是安全手段單一,沒有覆蓋整個校園網的各個層次、全方位的安全措施[1]。
結合蚌埠坦克學院數字化校園建設的實際情況,提出校園信息管理中心(DMC)的概念。作為學院信息化系統的樞紐,信息中心因存放大量的關鍵數據,與各個業務部門之間有著頻繁的重要通訊。如何保證關鍵數據安全,保證各類數字化校園服務的安全運行,就成為信息中心一項最為重要的職責。然而,隨著網絡技術的發展,黑客攻擊手段日益先進,而校園信息中心內的安全對象也不是簡單系統,而是開放的、各類用戶參與其中的、與學校和社會緊密耦合的復雜系統,攻擊者可以只攻一點,而信息中心需要處處設防,這些都使得校園信息中心網絡安全的復雜性大大提高。所以,單一的網絡安全產品,或者各種安全產品、安全技術的簡單堆砌,并不能保證網絡的安全性能。只有在安全策略的指導下,建立有機的、智能化的網絡安全保障體系,才能有效地保證校園信息中心內關鍵業務和關鍵數據的安全。
1 安全保障體系的組成
在多年實際工作的基礎上,蚌埠坦克學院采用一種動態的、多方位的校園信息中心安全保障體系構建方法。
首先,網絡安全保障體系應該是動態變化的。安全防護是一個動態的過程,新的安全漏洞不斷出現,黑客的攻擊手法不斷翻新,而校園信息中心自身的情況也在不斷地發展變化。在完成安全保障體系的架設后,必須不斷對此體系進行及時的維護和更新,才能保證網絡安全保障體系的良性發展,確保它的有效性和先進性。
網絡安全保障體系構建是以安全策略為核心,以安全技術作為支撐,以安全管理作為落實手段,并通過安全培訓加強所有人的安全意識,完善安全體系賴以生存的大環境。安全體系的組成如圖1所示。
下面逐一描述安全體系的各個組成部分。
1)安全策略。安全策略是一個成功的網絡安全體系的基礎與核心。安全策略描述校園信息中心的安全目標(包括近期目標和長期目標),能夠承受的安全風險,保護對象的安全優先級等方面的內容。
2)安全技術。常見的安全技術和工具主要包括防火墻、安全漏洞掃描、安全評估分析、入侵檢測、網絡陷阱、入侵取證、備份恢復和病毒防范等。這些工具和技術手段是網絡安全體系中直觀的部分,缺少任何一種都會有巨大的危險,因為網絡入侵防范是一個整體概念。但校園信息中心往往經費有限,不能全部部署,這時就需要在安全策略的指導下分步實施。需要說明的是,雖然是單元安全產品,但在網絡安全體系中它們并不是簡單的堆砌,而是要合理部署,互聯互動,形成一個有機的整體。
3)安全管理。安全管理貫穿整個安全保障體系,是安全保障體系的核心,代表安全保障體系中人的因素。安全不是簡單的技術問題,不落實到管理,再好的技術、設備也是徒勞的。一個有效的安全保障體系應該是以安全策略為核心,以安全技術為支撐,以安全管理為落實。安全管理不僅包括行政意義上的安全管理,更主要的是對安全技術和安全策略的管理。
4)安全培訓。最終用戶的安全意識是信息系統是否安全的決定因素,因此對校園信息中心用戶的安全培訓和安全服務是整個安全體系中重要的、不可或缺的一部分。
2 安全保障體系構建方法
2.1 制定安全策略基于數字化校園建設目標和建設思想的要求,結合蚌埠坦克學院信息化安全現狀,制定符合
學院數字化校園分期建設規劃對安全要求的相關策略[2]。要點:安全體系的近期目標是保證所有的機器都必須設防,能夠抵御一般水平的黑客進攻;安全體系的遠期目標是實現完善的安全審計和取證機制,保證受到入侵后有證可查,鑒于大多數安全事件來自于管理員的誤操作,審計在明確事故責任上也能發揮重大作用;安全體系的長期目標是建立安全預警系統,能夠抵御較高水平的黑客攻擊。
2.2 安全技術的應用及安全工具的部署在安全策略的指導下進行安全工具和技術的部署,形成圖2所示的直觀的網絡安全體系。
在校園網的入口架設千兆防火墻,并實現VPN的功能。在數據中心網絡入口處建立第一層的安全屏障,VPN保證管理員在家里或出差時能夠安全接入數據中心。利用防火墻的網段隔離功能,設置DMZ區。使用千兆入侵監測系統對信息中心內的所有數據流動進行實時檢測入侵。使用認證服務器對數據訪問進行統一的認證。實現網絡防病毒功能,在信息中心建立病毒控管中心,為信息中心和辦公網絡提供防毒服務。根據功能將服務器劃分成服務器群,使用多級防火墻實施進一步的保護:二級防火墻保護應用服務器群,三級防火墻保護數據庫服務器群。使用安全日志及審計服務器保護關鍵日志,方便管理員管理,并作為取證的依據。
2.3 形成以系統管理員為核心的安全管理制度良好的網絡信息安全保障離不開規范嚴謹的管理制度[3]。實踐一再告訴人們,僅有安全技術防范,而無嚴格的安全管理體系相配套,是難以保障網絡系統安全的。必須制訂《防火墻安裝規范》《防火墻運行維護規范》《安全檢查規范》《日志管理規范》《補丁安裝規范》《安全緊急事件響應規范》等安全管理制度及規范,對安全技術和安全設施進行規范化管理。
實現安全管理必須遵循可操作、全局性、動態性、管理與技術的有機結合、責權分明、分權制約及安全管理的制度化等原則。建立圖3所示系統管理員為中心的日常安全管理流程,并根據日常的安全管理工作情況制定安全體系,以此來保證整個安全體系的動態性和有效性。
2.4 安全培訓與用戶服務最終用戶的安全意識是信息系統是否安全的決定因素,因此對校園信息中心用戶的安全培訓和安全服務是整個安全體系中重要、不可或缺的一部分,可以理解成為校園信息中心網絡安全體系的生存土壤。特別是在目前病毒泛濫的大環境下,要通過定期培訓、及時發放病毒警告通知、敦促大家打補丁等方法,堅持不懈地努力增強所有教職員工的安全意識,提高他們的安全防范技能。
3 結論
安全保障體系的建立不是一勞永逸的,數據中心自身的情況不斷變化,新的安全問題不斷涌現,必須根據情況的變化和現有體系中暴露出的一些問題,不斷對此體系進行及時的維護和更新,保證網絡安全保障體系的良性發展,確保它的有效性和先進性。圖4顯示了蚌埠坦克學院校園信息中心安全保障體系的動態發展過程。
參考文獻
[1]吳偉斌.數字校園安全體系的研究與實現[J].泉州師范學院學報,2006(4):39-42,52
隨著信息安全形勢的日益嚴峻,國家對信息安全產業的重視程度日益提高。2000年召開的十五屆五中全會將“強化信息網絡的安全保障體系”作為信息基礎設施建設的一部分。2003年的《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)(下文簡稱27號文)對信息安全保障工作進行了全面部署,并提出“推進信息安全產業發展”。
2004年召開的十六屆四中全會已經把信息安全與政治安全、經濟安全和文化安全提到同高度。2006年的《2006-2020年國家信息化發展戰略》其中將建設國家信息安全保障體系作為戰略重點,并明確“促進我國信息安全技術和產業自主發展”。
2011年的《進一步鼓勵軟件產業和集成電路產業發展的若干政策》(國發[2011]4號)明確提出“完善網絡環境下消費者隱私及企業秘密保護制度逐步在各級政府機關和事業單位推廣符合安全要求的產品”。
美國組建了網絡安全司令部,美國將網絡空間安全由“政策”、“計劃”提升為國家戰略,1998年5月,當時的克林頓政府了第63號總統令(PDD63):《克林頓政府對關鍵基礎設施保護的政策》,成為直至現在美國政府網絡空間安全的指導性文檔,2011年5月16日,美國白宮網絡安全協調員施密特美國首份《網絡國際戰略》,2012年10月16日,簽署了《美國網絡行動政策》(PDD21),包括三類行動,網絡搜集、網絡防御、網絡進攻,奧巴馬提出到2016年整編成133支網絡部隊,最近北約網絡空間安全框架指出,目前世界上有一百多個國家具備一定的網絡作戰能力,公開發表網絡安全戰略的國家多達50多家,黨的十七大報告提出:“按照建設信息化軍隊、打贏信息化戰爭的戰略目標,加快機械化和信息化復合發展,積極開展信息化條件下軍事訓練。”十報告要求:“堅定不移把信息化作為軍隊現代化建設發展方向,推動信息化建設加速發展。”網絡安全已成為國家安全的重要議題。由于政治、經濟、文化、軍事等各個領域對信息網絡的高度依賴,國家、組織甚至個人都可能通過信息手段威脅國家安全。強調,網絡安全和信息化對一個國家很多領域都是牽一發而動全身的,要認清我們面臨的形勢和任務,充分認識做好工作的重要性和緊迫性,因勢而謀,應勢而動,順勢而為。指出,沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。
2014年7月22日國家互聯網信息辦公室、工業和信息化部、公安部正在開展聯合行動,在全國范同內集中部署打擊利用互聯網造謠、傳謠行為,三部門相關負責人呼吁廣大網民共同凈化網絡環境,不信謠、不傳謠,并積極向中國互聯網違法和不良信息舉報中心等舉報機構提供謠言信息線索。
關鍵詞:電力系統;信息網絡安全;PKI
中圖分類號:TN915.08 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-01
Analysis of PKI-Based Power System Information Network Security
Li Yan1,Gao Jian2
(1.Jilin Communications Polytecnnic,Changchun130012,China;2.Datang Changchun Third Thermal Power,Chnagchun130103,China)
Abstract:With the rapid development of scientific technology and the increasing usage of information network,the covering security has become a major concern and is waiting to be dealt with.As a basic infrastructure and essential tool to provide information network the necessary protection,PKI need to be improved and play its important role in the power system information network security.This article is a brief research and analysis of this kind of security with a view to improve the power system information network.
Keywords:Power system;Information network security;PKI
一、引言
如何充分發揮PKI在電力系統信息網絡安全中的基礎作用,確保電力系統信息網絡的高效、通暢、安全運行,成為廣大電力系統信息網絡管理人員必須面對的現實問題。基于PKI的電力系統信息安全成為電力系統不可或缺的重要組成部分,。PKI通過標準接口將安全服務延伸到每一個本地用戶,使每一個用戶通過標準插座得到無差別的能源供應,實現了網絡信息安全的有效應用,滿足了用戶對電力系統信息網絡的安全性以及快捷性要求,不斷提升用戶對電力系統信息網絡安全的滿意度。
二、基于PKI技術的電力系統信息網絡安全概述
PKI是Public Key Infrastructure的英文縮寫,中文名稱是公鑰基礎設施。PKI作為為信息網絡提供安全保障的基礎設施,能夠為不同的信息網絡擁有者提供全方位的安全服務,正是由于這種普適性的特點,PKI成為了保障信息網絡安全的基礎和核心技術。電力系統信息網絡安全采用PKI技術,有利于電力系統實現安全與網絡應用的分離,有利于電力系統基礎設施建設同網絡的運行相分離,從而有效保證電力系統基礎設施建設的獨立發展和信息網絡的通暢運行。
三、基于PKI的電力系統信息網絡安全在電力自動化控制中的優勢
隨著電力系統自動化控制的快速發展,PKI作為基礎安全設施得到了廣泛的應用,在電力系統自動化控制中應用PKI收到了良好的效果。相對于其他網絡信息安全基礎設施,PKI具有明顯的優勢。首先,PKI作為專業的安全基礎設施,具有普及應用的最大一個特性――普適性,公鑰密碼學的理論得到了充分利用,普遍適用安全基礎設施得到了推廣,開放的簽名驗證和安全的數字簽名成為PKI使廣大電力系統及電力用戶網絡信息安全服務更完善的基礎保障。其次,PKI密鑰備份及恢復系統給電力系統及電力用戶提供了使用信心,如果用戶不小心丟失了密鑰,通過可信機構掌握的不做備份的簽名私鑰,就可以直接解密數據,防止了合法數據的丟失,為用戶安心使用PKI進行操作樹立了信心。第三,互聯能力的高低決定著系統的使用范圍,PKI的互聯能力是其他系統所不能比擬的,PKI能夠按照通用的信任方式實現無論是上下級關系還是第三方平等信任關系的互聯互通。第四,PKI的證書的撤銷機制解除了電力系統網絡信息應用的具體限制。第五,PKI的密鑰管理方式更加適應電力系統網絡信息安全的需求,PKI采用的用戶獨立驗證的安全驗證服務方式,可以充分保障電力系統網絡信息服務范圍的無限擴張,為電力系統用戶群的發展提供了重要的技術保證,為電力系統的穩步發展奠定了堅實的基礎。
參考文獻:
[1]顧勇濤,葛利宏,劇樹春.電力系統信息網絡安全架構分析[J].內蒙古電力技術,2010,S2
[2]楊海霞.電力企業信息網絡安全問題及解決對策[J].中國電力教育,2009,4
[3]趙志宇.談電力信息系統安全保障體系建設原則及思路[J].計算機安全,2009,6
關鍵詞:電信;網絡安全;技術防護
從20世紀90年代至今,我國電信行業取得了跨越式發展,電信固定網和移動網的規模均居世界第一,網絡的技術水平也居世界前列。電信已經深入到人類生活的方方面面,和日常生活的結合越來越緊密。電信網的安全狀況直接影響這些基礎設施的正常運行。加強電信網絡的安全防護工作,是一項重要的工作。筆者結合工作實際,就電信網絡安全及防護工作做了一些思考。
一、電信網絡安全及其現狀
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
二、電信網絡安全面臨的形勢及問題
2.1互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
三、電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
3.5系統、數據庫漏洞掃描
系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。
參考文獻:
“十三五”規劃綱要和今年政府工作報告再次對制造強國進行部署,制造業作為立國之本、興國之器、強國之基的地位愈發受到重視。在產業大規模升級和兩化深度融合的情況下,我國工業控制系統的網絡信息安全問題也愈發突出,亟待補齊短板。
工業控制系統是制造業基礎設施運行的“大腦”,廣泛應用于電力、航空航天、鐵路、汽車、交通、石化等領域。2010年“震網”病毒攻擊伊朗核設施,2011年“火焰”病毒入侵中東國家,2015年底“黑暗能源”病毒攻擊烏克蘭電網……一系列突發事件表明,工業控制系統的網絡安全面臨嚴峻的挑戰。無論以美國為代表的“工業互聯網”,還是以德國為代表的“工業4.0”,都將工業控制系統的網絡安全視為重中之重。
中國政府對工業系統的網絡安全同樣極為重視。2011年開始,國務院先后出臺的《工業轉型升級規劃(2011-2015)》、《關于大力推進信息化發展和切實保障信息安全的若干意見》、《中國制造2025》等一系列文件,都強調了兩化融合中網絡安全保障的重要性。
然而,與工業系統的快速數字化、信息化和智能化相比,中國工業控制系統的網絡安全保障進展緩慢,防護薄弱,問題仍較為突出。
烏克蘭電網被攻擊后,國內相關網絡安全公司的監測報告顯示,在國內交通、能源、水利等多個領域的各類工業控制設備中,完全暴露在外、可以被輕易攻擊的多達935個。有些城市和地區的工業控制系統面臨較大的安全風險。
造成這一隱患的原因眾多,關鍵是一些企事業單位在借助信息化提高生產效率的同時,沒有考慮工業控制系統的網絡安全防護。而即使認識到工業控制系統安全的重要性,在系統改造實施過程中,由于沒有專業知識、人員和部門支撐,所采取的安全措施也往往浮于表面,未得實效。
從實際情況看,中國的工業控制系統雖然還沒有發生影響巨大、后果嚴重的網絡安全事件,但不少領域的企業都已經或多或少遭遇了因計算機病毒引發的安全事故。如果上升到國家安全層面,一旦這些控制系統的安全漏洞被利用,將有可能導致核電站過載、電網停電、地鐵失控等災難性后果,這絕非危言聳聽。
面對日益嚴峻的網絡安全形勢,加強工業控制系統的網絡安全保障迫在眉睫。既要有國家自上而下的體系化頂層設計,也要有產業和企業自下而上的探索與實踐。
從國家層面來看,在保障體系的機制建設上,需要一個高規格的協調機構,以應對關鍵基礎設施和重要系統可能遭受的高強度攻擊,同時組建以工業企業、信息網絡、公共安全為主的應急聯動機制,制定應急響應處理辦法。
與此同時,做好重點行業的工業控制系統威脅情報研究,各方聯動,形成合力,提供有價值的威脅情報信息,建立更有實用性的威脅情報庫,為政府機構、安全廠商、企事業單位提供更好的支持。
在技術上,要做好整個安全保障體系的“供應鏈”安全,特別是在一些關鍵基礎設施和重要信息系統新建項目上,必須強化項目規劃和設計階段的網絡安全風險評估,引入第三方安全機構或服務商對技術實施方案和產品供應鏈進行審查。同時加大投資力度,大力發展具有自主知識產權的安全防護技術和產品。
1電信網絡安全及其現狀
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2電信網絡安全面臨的形勢及問題
2.1互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
