网络安全加固建设
开篇:润墨网以专业的文秘视角,为您筛选了八篇网络安全加固建设范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
网络安全加固建设范文第1篇
关键词:企业;网络安全;管理;部署
中图分类号:F224.33文献标识码:A文章编号:1672-3198(2008)03-0128-02
1 引言
随着信息化进程的提速,越来越多地企业信息被披露于企业内外部网络环境中,如何保护企业机密,保障企业信息安全,成为企业信息化发展过程中必然需要面临和解决的问题。
对于企业信息网络安全管理需要部署的内容,首先要明确企业的哪些资产需要保护,确定关键数据和相关业务支持技术资产的价值,然后在此基础上,制定并实施安全策略,完成安全策略的责任分配,设立安全标准。
2 企业网络信息安全需求分析
对企业网络信息安全的网络调查显示:有超过85%的安全威胁来自企业内部;有16%来自内部未授权的访问;有11%资料或网络的破坏。可以看出:来自于企业内部的安全威胁比来自于外部的威胁要大得多,必要的安全措施对企业是非常重要的。安全风险分析通常包括对系统资源的价值属性的分析、资源面临的威胁分析、系统的安全缺陷分析等等。分析的目标就是确定安全系统的建设环境,建立信息系统安全的基本策略。
2.1 企业信息网络安全需求
企业对信息网络安全方面的需求主要包含:
(1)业务系统与其它信息系统充分隔离。
(2)企业局域网与互联的其它网络充分隔离。
(3)全面的病毒防御体系,恢复已被病毒感染的设备及数据。
(4)关键业务数据必须进行备份,具有完善的灾难恢复功能。
(5)管理员必须对企业信息网络系统的安全状况和安全漏洞进行周期性评估,并根据评估结果采用相应措施。
(6)关键业务数据和敏感数据在公网上的传输必须加密,防止非法获取和篡改。
(7)加强内部人员操作的技术监控,采用强有力的认证系统,代替一些不安全的用户名/口令系统授权模式。
(8)建立完善的入侵审计和监控措施,监视和记录外部或者内部人员可能发起的攻击。
(9)对整个信息系统进行安全审计,可预见管理和总拥有成本控制。
2.2 企业信息网络安全内容
从企业整体考虑,它的信息网络安全包括以下六个方面:
(1)企业信息网络安全策略建设,它是安全系统执行的安全策略建设的依据。
(2)企业信息网络管理体系建设,它是安全系统的安全控制策略和安全系统体系结构建设的依据。
(3)企业信息网络资源管理体系建设,它是安全系统体系结构规划的依据。
(4)企业信息网络人员管理建设,它是保障安全系统可靠建设、维护和应用的前提。
(5)企业信息网络工程管理体系建设,信息安全系统工程必须与它统一规划和管理。
(6)企业信息网络事务持续性保障规划,它是信息安全事件处理和安全恢复系统建设的依据。
3 企业信息网络安全架构
3.1 企业信息网络安全系统设计
安全系统设计是在信息系统安全策略的基础上,从安全策略的分析中抽象出安全系统及其服务。安全系统的设计如图1所示。安全系统设计的目标是设计出系统安全防御体系,设计和部署体系中各种安全机制从而形成自动的安全防御、监察和反应体系,忠实地贯彻系统安全策略。
3.2 企业信息网络安全系统组建
安全系统设计关心的是抽象定义的系统。具体系统组建是建立在设计基础上的实现。通常系统功能组件的实现方式是软件、硬件和固体等。安全系统组建的另一项重要内容是配制安全系统,并将安全系统与整个信息系统形成一体。
4 企业信息网络安全工程的部署
信息系统安全是信息系统服务质量的要求,网络安全系统应当融于信息网络服务系统之中,其建设与维护应当与信息网络系统的建设和维护保持一致,遵循系统工程的方法。网络安全工程就是应用系统工程建设和维护网络安全系统。
4.1 工程环节
系统工程总是与被建设的系统特性紧密结合,工程环节与系统生命周期保持同步。安全系统的生命周期也是基本如此,因而安全系统工程典型的基本环节包括信息系统安全需求分析、安全系统设计、安全系统组建、安全系统认证、系统安全运行维护和安全系统改造等,如图2所示。
(1)安全的互联网接入。
企业内部网络的每位员工要随时登录互联网,因此Internet接入平台的安全是该企业信息系统安全的关键部分,可采用外部边缘防火墙,其内部用户登录互联网时经过内部防火墙,再由外部边缘防火墙映射到互联网。外部边缘防火墙与内部防火墙之间形成了DMZ区。
(2)防火墙访问控制。
外部边缘防火墙提供PAT服务,配置IPSec加密协议实现VPN拨号连接以及端到端VPN连接,并通过扩展ACL对进出防火墙的流量进行严格的端口服务控制。
内部防火墙处于内部网络与DMZ区之间,它允许内网所有主机能够访问DMZ区,但DMZ区进入内网的流量则进行严格的过滤。
(3)用户认证系统。
用户认证系统主要用于解决拨号和VPN接入的安全问题,它是从完善系统用户认证、访问控制和使用审计方面的功能来增强系统的安全性。
拨号用户和VPN用户身份认证在主域服务器上进行,用户账号集中在主域服务器上开设。系统中设置严格的用户访问策略和口令策略,强制用户定期更改口令。同时配置VPN日志服务器,记录所有VPN用户的访问,作为系统审计的依据。
(4)入侵检测系统。
企业可在互联网流量汇聚的交换机处部署入侵检测系统,它可实时监控内网中发生的安全事件,使得管理员及时做出反应,并可记录内部用户对Internet的访问,管理者可审计Internet接入平台是否被滥用。
(5)网络防病毒系统。
企业应全面地布置防病毒系统,包括客户机、文件服务器、邮件服务器和OA服务器。
(6)VPN加密系统。
企业可建立虚拟专网VPN,主要为企业移动办公的员工提供通过互联网访问企业内网OA系统,同时为企业内网用户访问公司的SAP系统提供VPN加密连接。
需要注意的是,由于VPN机制需要执行加密和解密过程,其传输效率将降低30%~40%,因此对于关键业务,如果有条件应该尽可能采用数据专线方式。
(7)网络设备及服务器加固。
企业网络管理员应定期对各种网络设备和主机进行安全性扫描和渗透测试,及时发现漏洞并采取补救措施。安全性扫描主要是利用一些扫描工具,模拟黑客的方法和手段,以匿名身份接入网络,对网络设备和主机进行扫描并进行分析,目的是发现系统存在的各种漏洞。
根据安全扫描和渗透测试的结果,网络管理员即可有针对性地进行系统加固,具体加固措施包括:关闭不必要的网络端口;视网络应用情况禁用ICMP、SNMP等协议;安装最新系统安全补丁;采用SSH而不是Telnet进行远程登录;调整本地安全策略,禁用不需要的系统缺省服务;启用系统安全审计日志。
(8)办公电脑安全管理系统。
企业应加强对桌面电脑的安全管理。主要有:
①补丁管理:主要用于修复桌面电脑系统漏洞,避免蠕虫病毒、黑客攻击和木马程序等。
②间谍软件检测:能够自动检测和清除来自间谍软件、广告软件、键盘记录程序、特洛伊木马和其他恶意程序的已知威胁。
③安全威胁分析:能够自动检测桌面电脑的配置风险,包括共享、口令、浏览器等安全问题,并自动进行修补或提出修改建议。
④应用程序阻止:用户随意安装的游戏等应用程序可能导致系统紊乱、冲突,影响正常办公。管理员可以通过远程执行指令,阻止有关应用程序的运行。
⑤设备访问控制:对用户电脑的硬件采用适当的访问控制策略,防止关键数据丢失和未授权访问。
(9)数据备份系统。
企业应制定备份策略,定期对一些重要数据进行备份。
4.2 持续性计划
(1)架构评估。
企业网络信息安全管理架构的评估应由IT部门、相关责任部门以及终端用户代表来共同参与,确保所有的部门都能纳入安全框架中。
(2)系统安全运行管理。
要保障信息系统安全,就必须维护安全系统充分发挥作用的环境。这种环境包括安全系统的配置、系统人员的安全职责分工与培训。
(3)安全系统改造。
信息系统安全的对抗性必然导致信息安全系统不断改造。导致安全系统改造的因素可以归结为4个方面:技术发展因素;系统环境因素;系统需求因素;安全事件因素。
(4)网络安全制度建设及人员安全意识教育。
企业应当采取积极防御措施,主动防止非授权访问操作,从客户端操作平台实施高等级防范,使不安全因素在源头被控制。这对工作流程相对固定的重要信息系统显得更为重要而可行。
需开展计算机安全意识教育和培训,加强计算机安全检查,以此提高最终用户对计算机安全的重视程度。为各级机构的系统管理员提供信息系统安全方面的专业培训,提高处理计算机系统安全问题的能力。
参考文献
[1]赵迪,赵望达,刘静.基于B/S架构的安全生产监督管理信息系统[J],中国公共安全(学术版),2006,(04).[2]周敏文,谭海文.浅析我国安全生产信息化建设的现状与对策[J],露天采矿技术,2005,(06).
[3][美]Harold F.Tipton,Micki Krause著,张文,邓芳玲,程向莉,吴娟等译.信息安全管理手册(卷III)(第四版)[M],北京:电子工业出版社,2004年6月,237-264.
网络安全加固建设范文第2篇
关键词:等级防护;电力企业;网络安全建设
中图分类号: F407 文献标识码: A 文章编号:
引言
信息化是一把“双刃剑”,在提高企业工作效率、管理水平以及整体竞争能力的同时,也给企业带来了一定的安全风险,并且伴随着企业信息化水平的提高而逐渐增长。因此,提升企业的信息系统安全防护能力,使其满足国家等级保护的规范性要求,已经成为现阶段信息化工作的首要任务。对于电力企业的信息系统安全防护工作而言,应等级保护要求,将信息管理网络划分为信息内网与信息外网,并根据业务的重要性划分出相应的二级保护系统与三级保护系统,对三级系统独立成域,其余二级系统统一成域,并从边界安全、主机安全、网络安全、应用安全等方面对不同的安全域对防护要求进行明确划分。
1现阶段电力企业网络风险分析
1.1服务器区域缺少安全防护措施
大部分电力企业的服务器都是直接接入本单位的核心交换机,然而各网段网关都在核心交换机上,未能对服务器区域采取有效的安全防护措施。
1.2服务器区域和桌面终端区域之间的划分不明确
因服务器和桌面终端的网关都在核心交换机上,不能实现对于域的有效划分。
1.3网络安全建设缺乏规划
就现阶段的电力企业网络安全建设而言,普遍存在着缺乏整体安全设计与规划的现状,使整个网络系统成为了若干个安全产品的堆砌物,从而使各个产品之间失去了相应的联动,不仅在很大程度上降低了网络的运营效率,还增加了网络的复杂程度与维护难度。
1.4系统策略配置有待加强
在信息网络中使用的操作系统大都含有相应的安全机制、用户与目录权限设置以及适当的安全策略系统等,但在实际的网络安装调试过程中,往往只使用最宽松的配置,然而对于安全保密来说却恰恰相反,要想确保系统的安全,必须遵循最小化原则,没有必要的策略在网络中一律不配置,即使有必要的,也应对其进行严格限制。
1.5缺乏相应的安全管理机制
对于一个好的电力企业网络信息系统而言,安全与管理始终是分不开的。如果只有好的安全设备与系统而没有完善的安全管理体系来确保安全管理方法的顺利实施,很难实现电力企业网络信息系统的安全运营。对于安全管理工作而言,其目的就是确保网络的安全稳定运行,并且其自身应该具有良好的自我修复性,一旦发生黑客事件,能够在最大程度上挽回损失。因此,在现阶段的企业网络安全建设工作过程中,应当制订出完善的安全检测、人员管理、口令管理、策略管理、日志管理等管理方法。
2等级保护要求下电力企业网络安全建设防护的具体措施
2.1突出保护重点
对于电力企业而言,其投入到信息网络安全上的资源是一定的。从另外一种意义上讲,当一些设备存在相应的安全隐患或者发生破坏之后,其所产生的后果并不严重,如果投入和其一样重要的信息资源来保护它,显然不满足科学性的要求。因此,在保护工作过程中,应对需要保护的信息资产进行详细梳理,以企业的整体利益为出发点,确定出重要的信息资产或系统,然后将有限的资源投入到对于这些重要信息资源的保护当中,在这些重要信息资源得到有效保护的同时,还可以使工作效率得到很大程度的提高。
2.2贯彻实施3层防护方案
在企业网络安全建设过程中,应充分结合电力企业自身网络化特点,积极贯彻落实安全域划分、边界安全防护、网络环境安全防护的3层防护设计方案。在安全防护框架的基础上,实行分级、分域与分层防护的总体策略,以充分实现国家等级防护的基本要求。
(1)分区分域。统一对直属单位的安全域进行划分,以充分实现对于不同安全等级、不同业务类型的独立化与差异化防护。
(2)等级防护。遵循“二级系统统一成域,三级系统独立成域”的划分原则,并根据信息系统的定级情况,进行等级安全防护策略的具体设计。
(3)多层防护。在此项工作的开展过程中,应从边界、网络环境等多个方面进行安全防护策略的设计工作。
2.3加强安全域划分
安全域是指在同一环境内具有一致安全防护需求、相互信任且具有相同安全访问控制与边界控制的系统。加强对于安全域的划分,可以实现以下目标:
(1)实现对复杂问题的分解。对于信息系统的安全域划分而言,其目的是将一个复杂的安全问题分解成一定数量小区域的安全防护问题。安全区域划分可以有效实现对于复杂系统的安全等级防护,是实现重点防护、分级防护的战略防御理念。
(2)实现对于不同系统的差异防护。基础网络服务、业务应用、日常办公终端之间都存在着一定的差异,并且能够根据不同的安全防护需求,实现对于不同特性系统的归类划分,从而明确各域边界,对相应的防护措施进行分别考虑。
(3)有效防止安全问题的扩散。进行安全区域划分,可以将其安全问题限定在其所在的安全域内,从而有效阻止其向其他安全域的扩散。在此项工作的开展过程中,还应充分遵循区域划分的原则,将直属单位的网络系统统一划分为相应的二级服务器域与桌面终端域,并对其分别进行安全防护管理。在二级系统服务器域与桌面域间,采取横向域间的安全防护措施,以实现域间的安全防护。
2.4加强对于网络边界安全的防护
对于电力企业的网络边界安全防护工作而言,其目的是使边界避免来自外部的攻击,并有效防止内部人员对外界进行攻击。在安全事件发生之前,能够通过对安全日志与入侵事件的分析,来发现攻击企图,在事件发生之后可以通过对入侵事件记录的分析来进行相应的审查追踪。
(1)加强对于纵向边界的防护。在网络出口与上级单位连接处设立防火墙,以实现对于网络边界安全的防护。
(2)加强对于域间横向边界的防护。此项防护是针对各安全区域通信数据流传输保护所制定出的安全防护措施。在该项工作的开展过程中,应根据网络边界的数据流制定出相应的访问控制矩阵,并依此在边界网络访问控制设备上设定相应的访问控制规则。
2.5加强对于网络环境的安全防护
(1)加强边界入侵检测。以网络嗅探的方式可以截获通过网络传输的数据包,并通过相应的特征分析、异常统计分析等方法,及时发现并处理网络攻击与异常安全事件。在此过程中,设置相应的入侵检测系统,能够及时发现病毒、蠕虫、恶意代码攻击等威胁,能够有效提高处理安全问题的效率,从而为安全问题的取证提供有力依据。
(2)强化网络设备安全加固。安全加固是指在确保业务处理正常进行的情况下,对初始配置进行相应的优化,从而提高网络系统的自身抗攻击性。因此,在经过相应的安全评估之后,应及时发现其中隐藏的安全问题,对重要的网络设备进行必要的安全加固。
(3)强化日志审计配置。在此项工作的开展过程中,应根据国家二级等级保护要求,对服务器、安全设备、网络设备等开启审计功能,并对这些设备进行日志的集中搜索,对事件进行定期分析,以有效实现对于信息系统、安全设备、网络设备的日志记录与分析工作。
结语
综上所述,对于现阶段电力企业信息网络而言,网络安全建设是一个综合性的课题,涉及到技术、使用、管理等许多方面,并受到诸多因素的影响。在电力企业网络安全建设过程中,应加强对于安全防护管理体系的完善与创新,以严格的管理制度与高素质管理人才,实现对于信息系统的精细化、准确化管理,从而切实促进企业网络安全建设的健康、稳步发展。
参考文献:
[1]张蓓,冯梅,靖小伟,刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010(4).
网络安全加固建设范文第3篇
――获奖感言
甘肃天梭信息安全技术有限公司(简称天梭)是一家专门从事网络和网络信息安全产品以及相关技术应用、咨询的专业服务公司。公司拥有多名经验丰富的行业技术顾问和技术专家,致力于网络信息安全的推广、咨询、方案集成等相关服务。公司宗旨是以专业的技术、优质的服务快速响应网络以及网络安全的需求和技术发展,着重于政府、企业、高校、证券、金融等行业的信息安全问题。针对各行业背景的需求,不断开发、完善安全应用系统,建立高效专业的服务体系,协助客户规划、制定和实施全方位的安全方案,面向各行业客户提供专业的技术支持和个性化服务。
天梭的核心产品涉及Web应用防火墙,专利级Web入侵异常检测技术,对Web应用实施全面、深度防御,能够有效识别、阻止日益盛行的Web应用黑客攻击 (如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等)。
Web弱点扫描器:以Web漏洞风险为导向,通过对Web应用(包括Web2.0、JavaScript、Flash等)进行深度遍历,以安全风险管理为基础,支持各类web应用程序的扫描。
智能流量管理系统:作为业界领先的应用优化与流量管控解决方案,Maxnet AOS以DPI( Deep Packet Inspect,深度包检测)和DFI (Deep/Dynamic Flow Inspection,深度流行为检测)技术为核心,结合带宽自动分配算法、令牌桶算法、随机公平队列等技术, 能够全面识别和控制包括P2P、VoIP、视频流媒体、HTTP、网络游戏、数据库及中间件等在内的多种应用,提供虚拟带宽通道划分、 最大带宽限制、保证带宽、带宽租借、应用优先级、Per-IP带宽控制、Per-Net带宽控制、随机公平队列等一系列带宽管理功能,为用户提供主动式、智能化、可视化的带宽管理服务,为用户应用优化与带宽管控、流量管理以及网络规划提供科学的依据。
数据库安全审计系统:运维审计与风险控制系统是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理平台方案并且被加固的高性能抗网络攻击设备,具备很强安全防范能力。作为进入内部网络的一个检查点,它能够拦截非法访问和恶意攻击,对不合法命令进行阻断,过滤掉所有对目标设备的非法访问行为。
网络安全加固建设范文第4篇
关键词:电力营销;网络安全;安全建设;安全管理
1 引言
营销业务作为“SG186”工程的业务系统之一,应用上涵盖了新装增容及变更用电、资产管理、计量点管理、抄表管理、核算管理、电费收缴、帐务管理、用电检查管理、95598业务等领域,需要7×24小时不间断、安全可靠运行的保障[1]。因此在遵循国家电网公司“SG186”工程的建设标准和信息网络等级保护要求的基础上,结合营销关键业务应用,加强信息安全防护,保障营销系统网络的安全运行。本文针对新疆电力营销系统的现状,给出了一种多层次的安全防护方案,对保障营销系统网络稳定运行,保护用户信息安全,传输安全、存储安全和有效安全管理方面给出了建设意见。
2 新疆营销网络系统现状
新疆电力营销业务应用经过了多年的建设,目前大部分地区在业扩报装、电费计算、客户服务等方面的营销信息化都基本达到实用化程度,在客户服务层、业务处理层、管理监控层三个层次上实现了相应的基本功能。结合新疆电力公司的实际情况,主要分析了管理现状和网络现状。
2.1 管理现状
根据公司总部提出的“集团化运作、集约化发展、精细化管理”的工作思路,从管理的需求上来说,数据越集中,管理的力度越细,越能够达到精细化的管理的要求。但由于目前各地市公司的管理水平现状、IT现状、人员现状等制约因素的限制,不可能使各地市公司的管理都能够一步到位,尤其是边远地区。因此,营销业务应用管理在基于现状的基础上逐步推进。根据对当前各地市公司的营销管理现状和管理目标需求的分析,管理现状可分为如下三类:实时化、精细化管理;准实时、可控的管理;非实时、粗放式管理。目前大部分管理集中在第二类和第三类。
2.2 网络现状
网络建设水平将直接影响营销业务应用的系统架构部署,目前新疆公司信息网已经形成,实现了公司总部到网省公司、网省公司本部到下属地市公司的信息网络互连互通,但是各地市公司在地市公司到下属基层供电单位的之间的信息网络建设情况差别较大,部分地市公司已经全部建成光纤网络,并且有相应的备用通道,能够满足实时通信的要求,部分地市公司通过租用专线方式等实现连接,还有一些地市公司由于受地域条件的限制,尚存在一些信息网络无法到达的地方,对大批量、实时的数据传输要求无法有效保证,通道的可靠性相对较差。
2.3 需求分析
营销业务系统通常部署在国家电网公司内部信息网络的核心机房,为国家电网公司内部信息网络和国家电网公司外部信息网络的用户提供相关业务支持。该网络涉及业务工作和业务应用环境复杂,与外部/内部单位之间存在大量敏感数据交换,使用人员涵盖国家电网公司内部人员,外部厂商人员,公网用户等。因此,在网络身份认证、数据存储、网络边界防护与管理等层面上都有很高的安全需求。[2]
3 关键技术和架构
3.1 安全防护体系架构
营销网络系统安全防护体系的总体目标是保障营销系统安全有序的运行,规范国家电网公司内部信息网员工和外部信息网用户的行为,对违规行为进行报警和处理。营销网络系统安全防护体系由3个系统(3维度)接入终端安全、数据传输安全和应用系统安全三个方面内容,以及其多个子系统组成,其体系结构如图1所示。
图1 营销系统安全防护总体防护架构
3.2 接入终端安全
接入营销网的智能终端形式多样,包括PC终端、智能电表和移动售电终端等。面临协议不统一,更新换代快,网络攻击日新月异,黑客利用安全漏洞的速度越来越快,形式越来越隐蔽等安全问题。传统的基于特征码被动防护的反病毒软件远远不能满足需求。需要加强终端的安全改造和监管,建立完善的认证、准入和监管机制,对违规行为及时报警、处理和备案,减小终端接入给系统带来的安全隐患。
3.3 数据传输安全
传统的数据传输未采取加密和完整性校验等保护措施,电力营销数据涉及国家电网公司和用户信息,安全等级较高,需要更有效的手段消除数据泄露、非法篡改信息等风险。
市场上常见的安全网关、防火墙、漏洞检测设备等,都具有数据加密传输的功能,能够有效保证数据传输的安全性。但仅仅依靠安全设备来保证数据通道的安全也是不够的。一旦设备被穿透,将可能造成营销系统数据和用户信息的泄露。除此之外,还需要采用更加安全可靠的协议和通信通道保证数据通信的安全。
3.4 应用系统安全
目前营销系统已经具有针对应用层的基于对象权限和用户角色概念的认证和授权机制,但是这种机制还不能在网络层及以下层对接入用户进行细粒度的身份认证和访问控制,营销系统仍然面临着安全风险。增强网络层及以下层,比如接入层、链路层等的细粒度访问控制,从而提高应用系统的安全性。
4 安全建设
营销系统安全建设涉及安全网络安全、主机操作系统安全、数据库安全、应用安全以及终端安全几个层面的安全防护方案,用以解决营销系统网络安全目前存在的主要问题。
4.1 终端安全加固
终端作为营销系统使用操作的发起设备,其安全性直接关系到数据传输的安全,乃至内网应用系统的安全。终端不仅是创建和存放重要数据的源头,而且是攻击事件、数据泄密和病毒感染的源头。这需要加强终端自身的安全防护策略的制定,定期检测被攻击的风险,对安全漏洞甚至病毒及时处理。对终端设备进行完善的身份认证和权限管理,限制和阻止非授权访问、滥用、破坏行为。
目前公司主要的接入终端有PC、PDA、无线表计、配变检测设备、应急指挥车等。由于不同终端采用的操作系统不同,安全防护要求和措施也不同,甚至需要根据不同的终端定制相应的安全模块和安全策略,主要包括:针对不同终端(定制)的操作系统底层改造加固;终端接入前下载安装可信任插件;采用两种以上认证技术验证用户身份;严格按权限限制用户的访问;安装安全通信模块,保障加密通讯及连接;安装监控系统,监控终端操作行为;安装加密卡/认证卡,如USBKEY/PCMCIA/ TF卡等。
4.2 网络环境安全
网络环境安全防护是针对网络的软硬件环境、网络内的信息传输情况以及网络自身边界的安全状况进行安全防护。确保软硬件设备整体在营销网络系统中安全有效工作。
4.2.1 网络设备安全
网络设备安全包括国家电网公司信息内、外网营销管理系统域中的网络基础设施的安全防护。主要防护措施包括,对网络设备进行加固,及时安装杀毒软件和补丁,定期更新弱点扫描系统,并对扫描出的弱点及时进行处理。采用身份认证、IP、MAC地址控制外来设备的接入安全,采用较为安全的SSH、HTTPS等进行远程管理。对网络设备配置文件进行备份。对网络设备安全事件进行定期或实时审计。采用硬件双机、冗余备份等方式保证关键网络及设备正常安全工作,保证营销管理系统域中的关键网络链路冗余。
4.2.2 网络传输安全
营销系统数据经由网络传输时可能会被截获、篡改、删除,因此应当建立安全的通信传输网络以保证网络信息的安全传输。
在非边远地方建立专用的电力通信网络方便营销系统的用户安全使用、在边远的没有覆盖电力局和供电营业所的地方,采用建立GPRS、GSM,3G专线或租用运营商ADSL、ISDN网络专网专用的方式,保障电力通信安全。
电力营销技术系统与各个银行网上银行、邮政储蓄网点、电费代缴机构进行合作缴费,极大方便电力客户缴费。为了提高通道的安全性,形成了营销系统信息内网、银行邮政等储蓄系统、internet公网、供电中心网络的一个封闭环路,利用专网或VPN、加密隧道等技术提高数据传输的安全性和可靠性。
在数据传输之前需要进行设备间的身份认证,在认证过程中网络传输的口令信息禁止明文传送,可通过哈希(HASH)单向运算、SSL加密、Secure Shell(SSH)加密、公钥基础设施(Public Key Infrastructure 简称PKI)等方式实现。
此外,为保证所传输数据的完整性需要对传输数据加密处理。系统可采用校验码等技术以检测和管理数据、鉴别数据在传输过程中完整性是否受到破坏。在检测到数据完整性被破坏时,采取有效的恢复措施。
4.2.3 网络边界防护
网络边界防护主要基于根据不同安全等级网络的要求划分安全区域的安全防护思想。营销系统安全域边界,分为同一安全域内部各个子系统之间的内部边界,和跨不同安全域之间的网络外部边界两类。依据安全防护等级、边界防护和深度防护标准,具有相同安全保护需求的网络或系统,相互信任,具有相同的访问和控制策略,安全等级相同,被划分在同一安全域内[3],采用相同的安全防护措施。
加强外部网络边界安全,可以采用部署堡垒机、入侵检测、审计管理系统等硬件加强边界防护,同时规范系统操作行为,分区域分级别加强系统保护,减少系统漏洞,提高系统内部的安全等级,从根本上提高系统的抗攻击性。
跨安全域传输的数据传输需要进行加密处理。实现数据加密,启动系统的加密功能或增加相应模块实现数据加密,也可采用第三方VPN等措施实现数据加密。
4.3 主机安全
从增强主机安全的层面来增强营销系统安全,采用虚拟专用网络(Virtual Private Network 简称VPN)等技术,在用户网页(WEB)浏览器和服务器之间进行安全数据通信,提高主机自身安全性,监管主机行,减小用户错误操作对系统的影响。
首先,扫描主机操作系统评估出配置错误项,按照系统厂商或安全组织提供的加固列表对操作系统进行安全加固,以达到相关系统安全标准。安装第三方安全组件加强主机系统安全防护。采用主机防火墙系统、入侵检测/防御系统(IDS/IPS)、监控软件等。在服务器和客户端上部署专用版或网络版防病毒软件系统或病毒防护系统等。
此外,还需要制定用户安全策略,系统用户管理策略,定义用户口令管理策略[4]。根据管理用户角色分配用户权限,限制管理员使用权限,实现不同管理用户的权限分离。对资源访问进行权限控制。依据安全策略对敏感信息资源设置敏感标记,制定访问控制策略严格管理用户对敏感信息资源的访问和操作。
4.4 数据库安全
数据库安全首要是数据存储安全,包括敏感口令数据非明文存储,对关键敏感业务数据加密存储,本地数据备份与恢复,关键数据定期备份,备份介质场外存放和异地备份。当环境发生变更时,定期进行备份恢复测试,以保证所备份数据安全可靠。
数据安全管理用于数据库管理用户的身份认证,制定用户安全策略,数据库系统用户管理策略,口令管理的相关安全策略,用户管理策略、用户访问控制策略,合理分配用户权限。
数据库安全审计采用数据库内部审计机制或第三方数据库审计系统进行安全审计,并定期对审计结果进行分析处理。对较敏感的存储过程加以管理,限制对敏感存储过程的使用。及时更新数据库程序补丁。经过安全测试后加载数据库系统补丁,提升数据库安全。
数据库安全控制、在数据库安装前,必须创建数据库的管理员组,服务器进行访问限制,制定监控方案的具体步骤。工具配置参数,实现同远程数据库之间的连接[5]。
数据库安全恢复,在数据库导入时,和数据库发生故障时,数据库数据冷备份恢复和数据库热备份恢复。
4.5 应用安全
应用安全是用户对营销系统应用的安全问题。包括应用系统安全和系统的用户接口和数据接口的安全防护。
4.5.1 应用系统安全防护
应用系统安全防护首先要对应用系统进行安全测评、安全加固,提供系统资源控制功能以保证业务正常运行。定期对应用程序软件进行弱点扫描,扫描之前应更新扫描器特征代码;弱点扫描应在非核心业务时段进行,并制定回退计划。依据扫描结果,及时修复所发现的漏洞,确保系统安全运行。
4.5.2 用户接口安全防护
对于用户访问应用系统的用户接口需采取必要的安全控制措施,包括对同一用户采用两种以上的鉴别技术鉴别用户身份,如采用用户名/口令、动态口令、物理识别设备、生物识别技术、数字证书身份鉴别技术等的组合使用。对于用户认证登陆采用包括认证错误及超时锁定、认证时间超出强制退出、认证情况记录日志等安全控制措施。采用用户名/口令认证时,应当对口令长度、复杂度、生存周期进行强制要求。
同时,为保证用户访问重要业务数据过程的安全保密,用户通过客户端或WEB方式访问应用系统重要数据应当考虑进行加密传输,如网上营业厅等通过Internet等外部公共网络进行业务系统访问必须采用SSL等方式对业务数据进行加密传输。杜绝经网络传输的用户名、口令等认证信息应当明文传输和用户口令在应用系统中明文存储。
4.5.3 数据接口安全防护
数据接口的安全防护分为安全域内数据接口的安全防护和安全域间数据接口的安全防护。安全域内数据接口在同一安全域内部不同应用系统之间,需要通过网络交换或共享数据而设置的数据接口;安全域间数据接口是跨不同安全域的不同应用系统间,需要交互或共享数据而设置的数据接口。
5 安全管理
安全管理是安全建设的各项技术和措施得以实现不可缺少的保障,从制度和组织机构到安全运行、安全服务和应急安全管理,是一套标准化系统的流程规范,主要包括以下方面。
5.1 安全组织机构
建立营销业务应用安全防护的组织机构,并将安全防护的责任落实到人,安全防护组织机构可以由专职人员负责,也可由运维人员兼职。
5.2 安全规章制度
建立安全规章制度,加强安全防护策略管理,软件系统安全生命周期的管理,系统安全运维管理,安全审计与安全监控管理,以及口令管理、权限管理等。确保安全规章制度能够有效落实执行。
5.3 安全运行管理
在系统上线运行过程中,遵守国家电网公司的安全管理规定,严格遵守业务数据安全保密、网络资源使用、办公环境等的安全规定。
首先,系统正式上线前应进行专门的系统安全防护测试,应确认软件系统安全配置项目准确,以使得已经设计、开发的安全防护功能正常工作。
在上线运行维护阶段,应定期对系统运行情况进行全面审计,包括网络审计、主机审计、数据库审计,业务应用审计等。每次审计应记入审计报告,发现问题应进入问题处理流程。建立集中日志服务器对营销交易安全域中网络及安全设备日志进行集中收集存储和管理。
软件升级改造可能会对原来的系统做出调整或更改,此时也应从需求、分析、设计、实施上线等的整个生命周期对运行执行新的安全管理。
5.4 安全服务
安全服务的目的是保障系统建设过程中的各个阶段的有效执行,问题、变更和偏差有效反馈,及时解决和纠正。从项目层面进行推进和监控系统建设的进展,确保项目建设质量和实现各项指标。
从项目立项、调研、开发到实施、验收、运维等各个不同阶段,可以阶段性开展不同的安全服务,包括安全管理、安全评审、安全运维、安全访谈、安全培训、安全测试、安全认证等安全服务。
5.5 安全评估
安全评估是对营销系统潜在的风险进行评估(Risk Assessment),在风险尚未发生或产生严重后果之前对其造成后果的危险程度进行分析,制定相应的策略减少或杜绝风险的发生概率。
营销系统的安全评估主要是针对第三方使用人员,评估内容涵盖,终端安全和接入网络安全。根据国家电网公司安全等级标准,对核心业务系统接入网络安全等级进行测评,并给出测评报告和定期加固改造办法,如安装终端加固软件/硬件,安装监控软件、增加网络安全设备、增加安全策略,包括禁止违规操作、禁止越权操作等。
5.6 应急管理
为了营销系统7×24小时安全运行,必须建立健全快速保障体系,在系统出现突发事件时,有效处理和解决问题,最大限度减小不良影响和损失,制定合理可行的应急预案,主要内容包括:明确目标或要求,设立具有专门的部门或工作小组对突发事件能够及时反应和处理。加强规范的应急流程管理,明确应急处理的期限和责任人。对于一定安全等级的事件,要及时或上报。
6 实施部署
营销系统为多级部署系统。根据国家电网信息网络分区域安全防护的指导思想原则,结合新疆多地市不同安全级别需求的实际情况,营销系统网络整体安全部署如图2所示。
在营销系统部署中,对安全需求不同的地市子网划分不同的安全域,网省管控平台部署在网省信息内网,负责对所有安全防护措施的管控和策略的下发,它是不同安全级别地市子系统信息的管理控制中心,也是联接总部展示平台的桥梁,向国网总公司提交营销系统安全运行的数据和报表等信息。
7 结束语
电力营销网络安全技术的发展伴随电力营销技术的发展而不断更新,伴随安全技术的不断进步而不断进步。电力营销网络的安全不仅仅属于业务系统的安全范畴,也属于网络信息化建设范畴,其安全工作是一个系统化,多元化的工作,立足于信息内网安全,覆盖信息外网安全和其他网络。
本文基于新疆电力营销系统网络安全的现状,结合现有安全技术和安全管理手段来提高营销系统整体安全水平,为提升原有网络的安全性,构造一个安全可靠的电力营销网络提供了一套安全解决方案,对国家电网其他具有类似需求的网省公司营销系统网络安全问题解决提供参考和借鉴。
参考文献
[1]赵宏斌,陈超.电力营销数据安全防护体系及其关键技术研究[J].电力信息化,2008年6卷7期:135-139.
[2]吕萍萍.当前电力企业电力营销的现状与安全防护保障系统构建[J].华东科技:学术版,2012年11期:282.
[3]蒋明,吴斌.电力营销系统信息安全等级保护的研究与实践[J].电力信息化,2009年3期:25-27.
[4]朱芳,肖忠良,赵建梅.浅析电力营销业务应用系统的安全风险[J].黑龙江科技信息,2010年35期:153-154.
[5]李红文.论加强电力营销信息系统安全[J].信息通信,2012年1月:115-116.
作者简介:刘陶(1983-),男,汉族,四川乐山,本科,技师,电力营销稽查与实施调度。
陈晓云(1974-),女,大专,技师,新疆乌鲁木齐,电力营销稽查。
网络安全加固建设范文第5篇
信息安全是指在信息传导和应用过程中必须保障信息的秘密性和可靠性,其实质就是要保障信息系统和信息网络中的信息资源免遭各种类型的破坏。国际标准化组织(ISO)把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。
信息技术在企业管理、生产管理和过程管理中的应用,提高了企业的生产运行和经营管理水平。但在信息网络安全体系层面,不少企业却面临着风险:
1.网络边界安全风险。不同安全域之间的网络连接没有有效访问控制措施,来自互联网的访问存在潜在的扫描攻击、DOS攻击、非法侵入等。
2.业务安全风险。缺乏严格的验证机制,导致非法用户使用关键业务系统,不同业务系统之间缺少较细粒度的访问控制。
3.数据传输的安全风险。企业的数据通过互联网传输时被窃听。
4.系统基础平台安全风险。全网所有终端和服务器的平台安全、系统或设备的安全漏洞所带来的风险。
5.病毒安全风险。全网任何一点感染病毒都将带来巨大的破坏,网络化的环境需要网络化的防病毒方案及多层次的防护体系。
信息安全不仅仅是技术上的问题,更多地涉及到安全管理层面。加强信息安全的管理是企业建立信息安全体系的一个重要部分。
全面的安全防护体系是保证企业信息网络安全运行的根本,是对现有的网络、系统和数据进行有效的保护和加固。安全防护体系的建设需要使用当前的各种安全技术和安全产品,要有重点地布置安全产品。
1.划分安全区域并制定明确的边界访问制度,根据数据敏感程度,在关键业务网段处部署网闸系统,在管理和办公网段以及其他出口处部署防火墙系统,实现严格的访问控制机制。
2.建立网络入侵检测系统,增强审计响应手段,提高对异常行为的深度检测以及对安全事件的集中分析、定位和追查能力。
3.建立网络入侵保护系统,在出口处对网络流量进行检测,并实时阻断来自外部或内部的各种攻击,同时净化网络流量。
4.构建节点间的VPN体系,保护在节日间数据传输的机密性、完整性和可认证性。
5.部署漏洞扫描系统,检查网络,系统以及终端存在的弱点和漏洞。
6.建立网络防病毒体系,以增强全网抗病毒和防蠕虫攻击的能力。
7.在对外信息系统前部署抗拒绝服务系统,抵御来自外部的各种拒绝服务攻击。
8.建立数据备份系统,提高关键业务数据的可用性。
9.部署集中的认证系统,实现认证信息的集中存储与鉴权控制。
完善的安全管理策略是对企业信息网络安全进行可控管理的关键,安全管理策略的建设包括以下内容:
1.制定完善的信息安全规章制度,规范整个企业对网络以及信息系统的使用。
2.定期对全网进行安全评估和加固,通过安全评估,实时了解和掌握整个网络的安全现状,通过安全加固使网络和系统更加健壮。
3.建立内网安全管理系统,从终端安全、桌面管理、行为监控、网络准人控制等方面对内部网络进行保护,加强对内部网络和系统的管理。
4.建立一套完备的应急响应机制,以便在遇到突发事件时可以及时响应并解决问题。
网络安全加固建设范文第6篇
为了确保用户免受病毒侵扰,切实保护网络信息系统安全,在微软终止支持Windows XP的危机时刻,国内各大安全厂商已然挑起了这一重担。
在政府法律与技术的双重支持下,目前各安全品牌针对的Windows XP的守护产品横空出世:奇虎360重磅推出安全卫士Windows XP加固版,腾讯及时实施了“扎篱笆计划”,北京优炫软件强力部署Windows XP系统安全加固,北信源构建起金甲防线,瑞星推出漏洞监控服务……
对此,一些业界知名人士提出了建议。其中,金山毒霸安全专家李铁军建议,用户可根据自身情况选择采用USB设备控制、部署杀毒软件、使用软件限制等策略,尽可能避免安全风险。北京大学信息科学技术学院副教授陈江也提出了建议:第一,安装好杀毒、查杀木马等防病毒软件,加强外部保护;第二,做好备份工作,Windows XP系统下的一键GHOST很容易操作,一旦被攻击可迅速恢复;第三,适度断网,潜在危害多源于网络,断网即可解决问题。
从国内外大大小小的安全事件中,不难发现,大到发展战略,小到产品设计,安全厂商的社会责任感,已实实在在体现在企业的具体行动中,并贯穿了企业发展的始终。重视社会责任,对于安全厂商而言,如同重视技术创新一样重要。
2014年是我国信息安全建设的关键一年。2月底,国家网络安全和信息化领导小组成立。3月初,网络信息安全首次被写入政府工作报告。我国首度从国家战略层面统一领导信息安全建设,战略部署、组织架构、法律法规、关键基础设施安全、技术产业的发展、攻防能力建设等方面的顶层设计将被进一步加强,网络与信息安全领域的立法也将得到更高的重视。
网络安全加固建设范文第7篇
2009年飞客病毒大爆发,使网络安全建设显得更为重要
2009年,中国国内飞客病毒大规模爆发,国家病毒监控中心监控到数百万个公网IP有飞客病毒感染的行为。由客病毒具有网络风暴及信息泄密的风险,证监会认为该病毒会对国内的证券企业带来高度的风险。因此,在2009年中旬,出台一套要求所有证券企业进行安全整改的公文,要求所有证券企业按照要求对内网进行安全加固,以提高安全级别。而公文内,对建立全网实时监控有高级别的要求,内容如下:
《证券期货业信息系统安全检查贯彻落实指引》的第四项《安全监控与管理(14项)》中对实时监控和日志分析提出了以下要求:交易时间内人工监控,交易时间外自动化工具监控值守相结合方式,进行24小时实时监控;各单位应对监控内容认真观察和分析,实时监控期间工作人员应根据实时监控结果对监控对象的运行状态做出初步判断;每日应根据整个系统的当日的监控记录对此条运行状态做出初步判断;每周应对系统运行状态做出全面评价;所有监控记录应妥善保存三个月;各单位应对总部互联网出口的防火墙、IDS/IPS设备,保留六十天以上的日志备份;通过定期对日志进行分析和总结,及时了解网络状况、设备运行状况,发现薄弱环节,及时整改,形成记录;对业务网和办公网安装杀毒和防木马软件,并进行定期升级和在线扫描。
从上述的要求可以看到,证监会对网络中数据行为的监控,有非常高的要求。而目前广东省某知名证券能够做到的是IDS的网络层监控以及防病毒客户端的监控,在网络中应用层数据的监控还没有建设。因此,广东省某知名证券信息安全部门希望在原有的安全体系上进行加固,以此建立全方位的安全预警平台。
趋势科技安全预警平台让威胁看得见
趋势科技作为全球知名的内容安全厂商,一直致力于协助客户搭建多层次的安全防护体系,目前已经协助全国多家证券用户搭建安全防护体系。因此,广东省某知名证券信息安全部门邀请趋势科技协助他们对现有体系进行加固改造。
经过对用户环境的深入分析,趋势科技安全专家已经明确用户的安全需求所在,推荐用户部署趋势科技独有的安全预警平台,再结合原有的防火墙及IDS系统,把所有交易内网的数据进行2~7层的扫描,确保了网络之间的合法访问不包含恶意代码,提高了整体网络的安全性。
具体来说,此方案是通过趋势科技威胁发现设备TDA独特的反向定位功能,使管理员可以迅速找到隐藏于网络中的高风险节点,并根据趋势科技整合在TDA报告中的解决方案,在这些高危节点尚未造成大规模病毒爆发前就把病毒处理干净。对此,用户表示:“趋势科技安全预警系统可以在病毒爆发前期提前告知我病毒源头在哪,结合趋势科技提供的配套解决方案,可以大幅度降低内网病毒爆发的几率。”这套方案不但能满足合规,还有其独特的技术优势。
安全预警平台的合规性
安全预警平台的合规性,在等保的考量中涵盖。其中,“漏洞、木马、病毒检测”、“安全监控与管理”,“ 日志检查和分析””都能足合规性的要求。
安全预警平台的技术优势
与趋势科技“云安全”技术配合,TDA可检测基于Web威胁或邮件内容的攻击,如Web攻击、跨站点脚本攻击和网络钓鱼。另外,当恶意程序在网络中传播感染其它用户时,它们就会被打上标记,其中就包括向外界传送信息或从恶意的来源(如僵尸网络)接收命令的隐藏型恶意软件。TDA还能识别违反安全策略、中断网络以及消耗大量带宽的或构成潜在安全威胁的未经授权应用程序和服务程序。这些应用程序和服务程序包括即时通讯(Bittorrent, Kazaa, eDonkey, MSN, Yahoo Messenger )、P2P文件共享、流媒体,以及未授权服务如SMTP中继和DNS欺骗。TDA利用网络内容检测技术侦测网络流量以及趋势科技病毒扫描引擎对其进行内容分析,并采用在网络交换机上使用端口扫描并以创建网络数据包的镜像方式进行内容检查,确保网络服务不会被中断。
小结
随着互联网技术的不断发展,黑客通过未知病毒的攻击方式日益增多。通过被动防御的方式,难以彻底避免病毒爆发的问题。广东省某知名证券在充分认知到这一关键点后,决定建立一套主动式的安全预警平台,而趋势科技安全预警方案可以协助用户做到以下几点:
第一,通过对流通在网络中的数据进行应用层分析,可以提前掌握交易内网当前主要面临的威胁情况,包括主要的感染通道、严重情况等,以便管理员及时调整全网的安全策略;
网络安全加固建设范文第8篇
1 移动互联网的安全现状
自由开放的移动网络带来巨大信息量的同时,也给运营商带来了业务运营成本的增加,给信息的监管带来了沉重的压力。同时使用户面临着经济损失、隐私泄露的威胁和通信方面的障碍。移动互联网由于智能终端的多样性,用户的上网模式和使用习惯与固网时代很不相同,使得移动网络的安全跟传统固网安全存在很大的差别,移动互联网的安全威胁要远甚于传统的互联网。
⑴移动互联网业务丰富多样,部分业务还可以由第三方的终端用户直接运营,特别是移动互联网引入了众多手机银行、移动办公、移动定位和视频监控等业务,虽然丰富了手机应用,同时也带来更多安全隐患。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。
⑵移动互联网是扁平网络,其核心是IP化,由于IP网络本身存在安全漏洞,IP自身带来的安全威胁也渗透到了移动专业提供论文写作和写作论文的服务,欢迎光临dylw.net互联网。在网络层面,存在进行非法接入网络,对数据进行机密性破坏、完整性破坏;进行拒绝服务攻击,利用各种手段产生数据包造成网络负荷过重等等,还可以利用嗅探工具、系统漏洞、程序漏洞等各种方式进行攻击。
⑶随着通信技术的进步,终端也越来越智能化,内存和芯片处理能力也逐渐增强,终端上也出现了操作系统并逐步开放。随着智能终端的出现,也给我们带来了潜在的威胁:非法篡改信息,非法访问,或者通过操作系统修改终端中存在的信息,产生病毒和恶意代码进行破坏。
综上所述,移动互联网面临来自三部分安全威胁:业务应用的安全威胁、网络的安全威胁和移动终端的安全威胁。
2 移动互联网安全应对策略
2010年1月工业和信息化部了《通信网络安全防护管理办法》第11号政府令,对网络安全管理工作的规范化和制度化提出了明确的要求。客户需求和政策导向成为了移动互联网安全问题的新挑战,运营商需要紧紧围绕“业务”中心,全方位多层次地部署安全策略,并有针对性地进行安全加固,才能打造出绿色、安全、和谐的移动互联网世界。
2.1 业务安全
移动互联网业务可以分为3类:第一类是传统互联网业务在移动互联网上的复制;第二类是移动通信业务在移动互联网上的移植,第三类是移动通信网与互联网相互结合,适配移动互联网终端的创新业务。主要采用如下措施保证业务应用安全:
⑴提升认证授权能力。业务系统应可实现对业务资源的统一管理和权限分配,能够实现用户账号的分级管理和分级授权。针对业务安全要求较高的应用,应提供业务层的安全认证方式,如双因素身份认证,通过动态口令和静态口令结合等方式提升网络资源的安全等级,防止机密数据、核心资源被非法访问。
⑵健全安全审计能力。业务系统应部署安全审计模块,对相关业务管理、网络传输、数据库操作等处理行为进行分析和记录,实施安全设计策略,并提供事后行为回放和多种审计统计报表。
⑶加强漏洞扫描能力。在业务系统中部署漏洞扫描和防病毒系统,定期对主机、服务器、操作系统、应用控件进行漏洞扫描和安全评估,确保拦截来自各方的攻击,保证业务系统可靠运行。
⑷增强对于新业务的检查和控制,尤其是针对于“移动商店”这种运营模式,应尽可能让新业务与安全规划同步,通过SDK和业务上线要求等将安全因素植入。
2.2 网络安全
移动互联网的网络架构包括两部分:接入网和互联网。前者即移动通信网,由终端设备、基站、移动通信网络和网关组成;后者主要涉及路由器、交换机和接入服务器等设备以及相关链路。网络安全也应从以上两方面考虑。
⑴接入网的网络安全。移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全,3G以及未来LTE技术的安全保护机制有比较全面的考虑,3G网络的无线空口接入采用双向认证鉴权,无线空口采用加强型加密机制,增加抵抗恶意攻击的安全特性等机制,大大增强了移动互联网的接入安全能力。针对Wi-Fi接入安全,Wi-Fi的标准化组织IEEE使用安全机制更完善的802.11i标准,用AES算法替专业提供论文写作和写作论文的服务,欢迎光临dylw.net代了原来的RC4,提高了加密鲁棒性,弥补了原有用户认证协议的安全缺陷。针对需重点防护的用户,可以采用VPDN、SSLVPN的方式构建安全网络,实现内网的安全接入。
⑵承载网网络及边界网络安全。1)实施分域安全管理,根据风险级别和业务差异划分安全域,在不同的安全边界,通过实施和部署不同的安全策略和安防系统来完成相应的安全加固。移动互联网的安全区域可分为Gi域、Gp域、Gn域、Om域等。2)在关键安全域内部署人侵检测和防御系统,监视和记录用户出入网络的相关操作,判别非法进入网络和破坏系统运行的恶意行为,提供主动化的信息安全保障。在发现违规模式和未授权访问等恶意操作时,系统会及时作出响应,包括断开网络连接、记录用户标识和报警等。3)通过协议识别,做好流量监测。依据控制策略控制流量,进行深度检测识别配合连接模式识别,把客户流量信息捆绑在安全防护系统上,进行数据筛选过滤之后把没有病毒的信息再传输给用户。拦截各种威胁流量,可以防止异常大流量冲击导致网络设备瘫痪。4)加强网络和设备管理,在各网络节点安装防火墙和杀毒系统实现更严格的访问控制,以防止非法侵人,针对关键设备和关键路由采用设置4A鉴权、ACL保护等加固措施。
2.3 终端安全
移动互联网的终端安全包括传统的终端防护手段、移动终端的保密管理、终端的准入控制等。
⑴加强移动智能终端进网管理。移动通信终端生产企业在申请入网许可时,要对预装应用软件及提供者 进行说明,而且生产企业不得在移动终端中预置含有恶意代码和未经用户同意擅自收集和修改用户个人信息的软件,也不得预置未经用户同意擅自调动终端通信功能、造成流量耗费、费用损失和信息泄露的软件。
⑵不断提高移动互联网恶意程序的样本捕获和监测处置能力,建设完善相关技术平台。移动通信运营企业应具备覆盖本企业网内的监测处置能力。
⑶安装安全客户端软件,屏蔽垃圾短信和骚扰电话,监控异常流量。根据软件提供的备份、删除功能,将重要数据备份到远程专用服务器,当用户的手机丢失时可通过发送短信或其他手段远程锁定手机或者远程删除通信录、手机内存卡文件等资料,从而最大限度避免手机用户的隐私泄露。
⑷借鉴目前定期PC操作系统漏洞的做法,由指定研究机构跟踪国内外的智能终端操作系统漏洞信息,定期官方的智能终端漏洞信息,建设官方智能终端漏洞库。向用户宣传智能终端安全相关知识,鼓励安装移动智能终端安全软件,在终端厂商的指导下及时升级操作系统、进行安全配置。
3 从产业链角度保障移动互联网安全
对于移动互联网的安全保障,需要从整体产业链的角度来看待,需要立法机关、政府相关监管部门、通信运营商、设备商、软件提供商、系统集成商等价值链各方共同努力来实现。
⑴立法机关要紧跟移动互联网的发展趋势,加快立法调研工作,在基于实践和借鉴他国优秀经验的基础上,尽快出台国家层面的移动互联网信息安全法律。在法律层面明确界定移动互联网使用者、接入服务商、业务提供者、监管者的权利和义务,明确规范信息数据的采集、保存和利用行为。同时,要加大执法力度,严专业提供论文写作和写作论文的服务,欢迎光临dylw.net厉打击移动互联网信息安全违法犯罪行为,保护这一新兴产业持续健康发展。
⑵进一步加大移动互联网信息安全监管力度和处置力度。在国家层面建立一个强有力的移动互联网监管专门机构,统筹规划,综合治理,形成“事前综合防范、事中有效监测、事后及时溯源”的综合监管和应急处置工作体系;要在国家层面建立移动互联网安全认证和准入制度,形成常态化的信息安全评估机制,进行统一规范的信息安全评估、审核和认证;要建立网络运营商、终端生产商、应用服务商的信息安全保证金制度,以经济手段促进其改善和弥补网络运营模式、终端安全模式、业务应用模式等存在的安全性漏洞。
⑶运营商、网络安全供应商、手机制造商等厂商,要从移动互联网整体建设的各个层面出发,分析存在的各种安全风险,联合建立一个科学的、全局的、可扩展的网络安全体系和框架。综合利用各种安全防护措施,保护各类软硬件系统安全、数据安全和内容安全,并对安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。建立安全应急系统,做到防患于未然。移动互联网的相关设备厂商要加强设备安全性能研究,利用集成防火墙或其他技术保障设备安全。
⑷内容提供商要与运营商合作,为用户提供加密级业务,并把好内容安全之源,采用多种技术对不合法内容和垃圾信息进行过滤。软件提供商要根据用户的需求变化,提供整合的安全技术产品,要提高软件技术研发水平,由单一功能的产品防护向集中统一管理的产品类型过渡,不断提高安全防御技术。
⑸普通用户要提高安全防范意识和技能,加装手机防护软件并定期更新,对敏感数据采取防护隔离措施和相关备份策略,不访问问题站点、不下载不健康内容。
4 结束语
解决移动互联网安全问题是一个复杂的系统工程,在不断提高软、硬件技术水平的同时,应当加快互联网相关标准、法规建设步伐,加大对互联网运营监管力度,全社会共同参与进行综合防范,移动互联网的安全才会有所保障。
[参考文献]