工业网络安全建设
开篇:润墨网以专业的文秘视角,为您筛选了八篇工业网络安全建设范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
工业网络安全建设范文第1篇
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1、电子商务的概念和特点
1)电子商务的概念:电子商务(ElectronicCommerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2、电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3、安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。
2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。
3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。新晨
4、结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
工业网络安全建设范文第2篇
关键词:机场管理;信息化;运行效率;网络安全
中图分类号:F270 文献标识码:A 文章编号:1009-2374(2013)15-0146-02
1 概述
进入21世纪,信息化程度越来越高,网络越来越普及,特别是网络的接入,让我们重新对网络安全问题的可靠度和安全性能方面进行一定的考虑,其中机场信息化程度在我国航天航空领域应用越来越广泛,如何广泛地、实时地、准确地应用机载电子产品的信息化程度,而且充分地保证其安全性能,信息的准确性,我们需要从全面而系统地认知其产品的稳定性,加强机场的安全监察,机场的信息化程度带来的各种弊端以及漏洞。例如机载产品的耐环境影响能力,产品的稳定性和安全性能都是重中之重的安全考虑角度,设备的安全性,使得设备的可操作性更强,故障水平也相应降低,其可靠度增强,现行机场网络安全存在一定的漏洞,常常出现出票机出不来票,出票有误,飞机起飞时间和到终点时间,飞机中途故障、加油等等,这些使得机场信息不能及时传给乘客,造成一定的人员拥挤,顾客存在一定的抱怨,因此也影响机场的效率,加强机场网络安全,促进机场行业信息化发展,是现行机场的当务之急,有必要提升机场的信息化程度。本文将系统的研究机场的网络安全性,全面地促进机场信息化程度的发展。
2 机场网络信息化设计
机场网络的安全是保证飞机正常运行的保障,也是保证顾客的利益所在,网络的安全如今越来越重视,网络的安全性让顾客更加全面地了解该个机场的境况,更加透明化,使得机场的体制更加健全。机场的信息化程度在我国主要应用在航空航天领域,航空航天领域对机场信息化的要求很高,要求其可靠度、安全性能极限值度均需满足我国航空航天相关要求,保证信息的及时、准确无误。如何保证机场的信息化程度较高,机场的网络安全性指数较高,使其在恶劣环境条件下依然能够保持良好的性能指标,抗外界环境因素影响的能力,就需要对机场信息化系统进行全面而系统的设计和研究,从设计加工源头出发。其机场信息化安全设计见表1:
机场的网络安全保障了机场信息化程度的发展,对于网络信息化的安全性分析方法包括功能危险性分析(对功能进行系统、综合的检查,识别这些功能的失效状态,并根据严重程度对失效状态进行分类)、初步安全性分析(用于完成失效状态清单以及相应安全性要求)、故障树分析(是自上而下的分析技术)。这些分析通过依次展开更详细(即更低层次)的设计层次向下进行。通过这些安全性验证方法,全面而系统地保证系统的安全可靠性、安全性能、稳定性能。
3 机场信息化建设
机场企业是需要密切和外部进行联系的企业,机场企业需要支持与客户、合作伙伴和员工的信息共享和业务运作,将企业的各业务系统逐步整合进来,自动将信息给相关管理者和内部成员企业并实现互动,并在业务条件成熟时,和客户、供应商以及其他合作伙伴建立联系,其具体建设内容包括见表2:
一、信息化组织建设 包括组织标准化制定,集中管理模式建设、联邦式管理模式建设。
二、基础设施标准化建设 包括建立技术标准、完善PDS和机房建设、网络建设、数据中心建设、系统管理平台建设、安全体系建设、数据整合等。
三、业务支持系统建设 存储和交换标准、办公自动化系统、企业信息门户一期、财务系统一体化、
人力资源管理、设备管理系统。
四、扩展支持系统建设 商务智能、知识管理系统、客户关系管理系统、项目管理系统、采购管理系统、企业信息门户二期。
加强机场网络安全建设,促进机场行业信息化程度的提高,需要一个阶段、一个阶段的相互促进相互协调,不断的完善,达到设计的要求,机场安全信息化程度的提高是机场设计中的重中之重,有必要提升机场的信息化
程度。
4 结语
通过对我国机场行业的调查和研究,发现提高管理水平是机场行业一个普遍的发展目标,但我国目前机场的信息化程度相对较差,而从未来机场运营的发展来看,又迫切需要借助信息化手段提高机场的整体运行效率。机场信息化包括运营信息化和管理信息化。运营信息化主要以飞机从起飞到降落和旅客从出发到到达为主导的运营信息化。这些决定了机场行业的信息化目前建设的重点是管理信息化。现行机场网络安全存在一定的漏洞,常常出现出票机出不来票,出票有误,飞机起飞时间和到终点时间不能保证,飞机中途故障、加油等等,这些使得机场信息不能及时传给乘客,造成一定的人员拥挤,顾客存在一定的抱怨,因此也影响机场的效率,加强机场网络安全,促进机场行业信息化发展,是现行机场的当务之急,有必要提升机场的信息化程度。
参考文献
[1]吴文钊.企业信息化行动纲领——中国企业信息化方法论[M].北京:机械工业出版社,2003.
[2]朱战备,孟凡强,范晓虹.IT规划[M].北京:机械工业出版社,2004.
[3]周伟.企业信息系统规划步骤及方法探讨[D].西南财经大学,2003.
工业网络安全建设范文第3篇
《美军2013财年信息技术与网络安全项目的预算需求》中阐述了国防部信息环境、联合信息环境、加固网络、数据中心的建设、购买设备、企业级服务与信息技术管理、网络安全、信息技术投资计划、人力建设、电磁频谱等十个方面的建设需求,其中的五个方面则是重中之重。
美国国防部2013财年的信息技术预算需求大约为370亿美元,比2012财年的预算略微减少。这些资金被投资到6000多个遍布全球的军事基地,支持3个部、40多个局以及战场上的独特需求与任务。下面详细介绍美军2013财年信息技术和网络安全建设的五大发展重点。
五大发展重点
从《美军2013财年信息技术与网络安全项目的预算需求》可以发现,美军2013财年信息技术和网络安全建设的重点放在联合信息环境、数据中心、企业化服务、网络安全和加固网络等五个方面。
联合信息环境
联合信息环境是一个单一、安全、可靠、高效和灵活的指挥、控制、通信和计算机计划,可被联合部队的任务合作伙伴在几乎所有军事行动、梯队和环境中广泛使用。美军2013财年联合信息环境建设的目标主要有两个:一是使国防部更有效、更安全、更好地弥补弱点,更好地应对网络威胁;二是简化、集成信息系统,实现信息系统的标准化、自动化,减少国防部信息技术基础设施的相关费用。
国防部的信息主管正在指挥着联合信息环境相关计划的实施,也同联合参谋部、各军种及国防部其他部门互相合作,以更快速地全面实现国防部信息技术现代化。国防部正在使用情报委员会的信息技术现代化手段来辅助联合信息环境计划。一个由来自国防部专家组成的小组正在构思实现途径,制定实现计划与项目时间表,并进行经费预算。在2013财年,美军强调项目必须集成网络安全,从操作系统的配置到系统进入控制,到全方位防御系统,到网络入侵探测与诊断。
美军将继续通过国防信息系统局的Forge.mil与RACE软件开发环境,以及通过与研发平台匹配的集成测试与安全评估能力,加速平台的研发、质量控制、网络安全评估。
数据中心
美军非常重视信息技术标准建设,目前国防部的信息主管在军种与国防信息局的配合下为数据中心建立设计的标准,坚持非保密网络、保密网络、物理隔绝网络、加密隔绝网络都执行同样标准。这种标准网络建设,再加之更多的信息服务,使国防部数据中心的数量相应减少。
美军2013财年重点将现有数据中心合并为三类数据中心:第一类为核心数据中心,用于国防部各部门都可以使用的信息服务与应用,以及用于国防部与工业部门、公众交互的对外服务与应用;第二类为地区性数据中心,主要用于满足终端用户的信息服务与应用需求;第三类为部署在战场前方的前方数据中心,此类数据中心很灵活,可以存放地区性与全局性的服务与信息,适合各种任务情况,速度更快,网络可靠性更好。
这些数据中心的服务器将普遍高度虚拟化,这样可以更灵活地加入新的信息服务,提供最大的使用效率。
企业化服务
目前,国防部的信息主管正在同五角大楼的高层领导一起合作,以确保对信息技术投资进行企业化管理,使一些信息中心灵活地交付信息能力与解决方案。
此外,在实施企业化方案的过程中,美军也在不断解决有时出现的框架结构等方面的问题。例如,国防信息主管办公室为国防部起草了“云计算”战略,并将与军事部门、国防信息系统局以及其他部门与生产厂家一起合作来实施该战略,以更好地优化未来的信息基础设施与应用。
网络安全
2013财年信息技术与网络安全项目预算中,大约34亿美元用于国防网络安全,与2012财年基本相当,主要用以消除信息、信息系统与网络已知的脆弱性,使国防部与国家更好地应对网络威胁。
美军2013财年制定了网络安全工作的五个重要目标:第一个目标是当面对强敌发起网络战的时候,国防部信息基础设施用户,包括国防部的合作伙伴,拥有可靠的关键信息与信息基础设施;第二个目标是确保与任务需要的任何伙伴之间实现快速、安全的信息共享,而且信息足够丰富,对于执行任务是有效的;第三个目标是保护美军重要、保密的信息;第四个目标是确保任务指挥官可以随时进入网络空间;第五个目标是确保国防部采用的技术具有灵活性。
重构国防部的网络是联合信息环境的核心支柱之一,以使国防部拥有一个统一的、满足不同安全需求的联合网络体系。目前,美军正在制定这种联合信息环境要素的工程技术细节与体系结构细节。这将提供更加统一的网络防御,并将使网络司令部可以通过计算机掌握全局,防止黑客入侵在网络中蔓延,提高联合作战的互操作性与相互依赖性。
加固网络
加固网络主要有以下内容。
可靠的兼容性评估解决方案美军在2012年购买了一种名为“可靠的兼容性评估解决方案”的商业工具,使用这种工具可以扫描计算机的漏洞,然后做出报告并进行修复。这种工具正在进行最终测试,将于2013年夏天部署,预计各部门将在未来18个月部署与应用。
基于主机的安全系统
目前,美军国防部在每一台与非保密网络、保密网络连接的电脑上安装“基于主机的安全系统”工具。这种工具可以发现并报告漏洞,防止某些类型的网络入侵,探测到其他入侵并作出反应,提高了国防部网络加固、态势感知、网络入侵探测、诊断与反应能力。2013财年申请的网络安全资金继续用于部署与保障新的“基于主机的安全系统”,以更好地加固计算机,提供持续自动监督计算机配置的能力,更好地改善国防部人员与设备身份管理能力。
公钥基础设施身份识别
美军网络加固工作的另一个关键部分是去除网络匿名。美军计划在国防部非保密网络中使用公钥基础设施身份识别,2012年美军完成向50万人公钥基础设施身份识别,2013年3月份美军将使用这些身份证。这不仅可以帮助美军改善信息使用责任制,也可以与政府各部门合作,使跨部门共享更加安全信息。
值得信任国防系统/供应链风险管理 美军认识到尽管先进的商业技术可以为国防部带来众多好处,但是也为国外恶意分子通过插入恶意程序来获取、改变数据,截取、阻止通信并危及供应链安全提供了机会。为了应对这些风险,国防部正在使值得信任国防系统/供应链风险管理制度化,同时国防部也正在与其他部门合作研究管理关键基础设施中防范供应链风险的方法。
国防工业基地网络安全与信息确保项目 由国防部信息主管监督的国防工业基地网络安全与信息确保项目是国防部另一个重要成果。该项目为政府一工业部门的合作伙伴关系提供网络安全方面的标准,也为网络安全提供一种系统方法,包括政府间保密威胁信息的共享、工业部门数据的共享、抢救与修复策略的共享、网络入侵损害评估。尽管不能彻底消除威胁,但是这一项目增强了每个国防工业基地参与者消除风险的能力,进一步保护了在国防工业基地保密网络上存储或传输信息的安全。
美军在项目进程中积累的经验
信息技术采办的标准化为美军节约大量经费
为了解决由于国防部“烟囱式”信息体系(“烟囱式”信息体系是指数据直接从各个数据源被直接抓取到目的地,中间不留任何缝隙)而产生的问题,美军重点改革国防部3个核心过程:提需求、预算与采办。
国防部信息主管办公室与主管军官的办公室紧密合作制定一种灵活、快捷的采办程序,美军通过企业化软件计划,10年期间总共节省了30亿美元。美军的信息体系战略与路线图强调了将购买硬件、软件与服务作为提高效率的主要手段。通过共享国防部中各个组织的购买协议,美军大大减少了中介的数量,进一步优化、理顺了信息技术采购过程。可以说,正是由于美军注重信息技术与设备从需求、预算到采办的全程合作与规范,才大大缩减了经费开支。
智能网络入侵监测系统将提高美军的网络防御能力
美军明确提出要通过“可靠的兼容性评估解决方案”、“基于主机的安全系统”等5项工作来提高其加固网络、态势感知、网络入侵探测、诊断与反应能力。美军计划未来几年逐步从“可靠的兼容性评估解决方案”与“基于主机的安全系统”来收集关于国防部每台计算机的配置信息,并使用这些信息自动生成可供各级指挥官使用的任务风险数值。指挥官可以使用这些信息与风险数值来修复漏洞,更好地了解到底哪些任务存在漏洞。这些智能入侵监测系统的应用将会大大缩短美军监测网络入侵的时间,提高美军应对网络入侵的反应效率。
联合信息环境将为美军提供一体化平台
工业网络安全建设范文第4篇
【关键词】SCADA系统;信息安全
成品油管道输送过程中高度的自动化工业控制手段是确保管道安全、稳定输送成品油的前提,近年来为了实现实时数据采集与生产控制,满足“两化融合”的需求和管理的方便,工业控制系统和企业管理系统往往需要直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统也面临着来自Internet的威胁。因此建立成品油管道企业SCADA系统的安全防护体系和安全模型,对确保SCADA系统安全稳定运行,加速实现“数字化管道”的进程具有重要的现实意义,是当前管道企业自动化控制系统建设中亟待解决的大问题。
一、华南管网生产网现状及特点
销售华南分公司作为石化企业最长的成品油长输管道,典型的资金和技术密集型企业,负责西南及珠三角3千多公里的成品油输送业务,管道全线由国际上先进的SCADA系统完成对输油管道生产过程的数据采集、监视、水击保护与控制,批量计划、批次编排与输送,管道泄漏检测与定位等任务。华南管网的生产运行以调控中心操作控制为主,管道生产的连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,生产管理上更注重安全和平稳运行。SCADA控制网络由DCS、PLC和SCADA等控制系统构成,生产网在数据采集方面,采用开放性设计。开放性设计是当今系统设计的基本要求,它要求计算机软硬件厂家共同遵守通用的国际标准,以实现不同厂家设备之间的通讯。整个华南管网SCADA系统采用OPC协议、IEC 104协议、Modbus协议等通用标准接口与几十家甚至上百家的第三方设备通讯,采集足够的管线运行参数,如液位、温度、电气、阴保、密度等信号,确保对管线的有效监控。具体架构见图1所示。
在通信方式上,为确保监控数据及时、准确、安全的传输,采用沿管线敷设通信光缆线路方式,建立基于光同步数字传输系统下多业务传输平台(MSTP)的综合性通信网络,通过MSTP通信信道(主用信道)和公网SDH 2M信道(备用信道)方式进行数据传输和保护,以实现对沿线站场及线路SCADA实施远距离的数据采集、监视控制、安全保护和统一调度管理。在数据交换上,采用思科路由交换设备构建,使用EIGRP路由协议作为主干路由协议,负责整个网络的路由计算,具体网络拓扑见图2。
二、生产网络安全隐患分析
1.操作系统安全漏洞
目前公司主要采用通用计算机(PC)+Windows的技术架构,操作系统使用WINDOWS SERVER 2003、WINDOWS SERVER 2008。当今的DCS厂商更强调开放系统集成性,各DCS厂商不再把开发组态软件或制造各种硬件单元视为核心技术,而是纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式。这一思路的转变使得现代DCS的操作站完全呈现PC化与Windows化的趋势。PC+Windows的技术架构现已成为控制系统操作站(HMI)的主流,任何一个版本的Windows自以来都在不停的漏洞补丁,为保证过程控制系统相对的独立性,现场工程师通常在系统正式运行后不会对Windows平台打任何补丁,更为重要的是打过补丁的操作系统没有经过制造商测试,存在安全运行风险。但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见病毒也会遭受感染,可能造成Windows平台乃至控制网络的瘫痪。
2.网络通信协议存在安全漏洞
OPC协议、Modbus协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。例如,OPCClassic协议(OPCDA,OPCHAD和OPCA&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通讯采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
3.杀毒软件漏洞
为了保证工控应用软件的可用性及稳定性,目前部分工控系统操作站不安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,这容易导致大规模的病毒攻击,特别是新病毒。
4.应用软件漏洞
由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。
5.缺乏有效的网络监控手段
缺乏统一的网络和业务系统监控平台,主要体现在以下四个方面。
第一是随着生产网络不断拓宽,对网络的依赖越来越大,要求对网络管理的内容日趋增多,包括网络管理、性能管理、应用管理、使用管理、安全系统等内容。第二是业务服务的规模增大,规划、维护、安全、管理等分工更加细致,管理迫切要求对业务服务管理和维护建立统一的、规范的、体系化的、层次化的服务管理。第三是多设备、多系统的运行信息、告警信息的多样化,需要对这些信息进行集中化的管理,进行智能化的分析、统计,得出有利于网络管理和维护的数据,便于更有效、更快捷的解决问题。第四是管理人员不断增多,管理流程日益复杂,管理成本不断上升,技术管理体系需要完善。
6.网络未有效隔离
公司生产网与Internet网间缺乏安全有效的隔离。随着互联网日新月异的发展和企业集团信息化整合的加强,中石化总部提出了生产数据集中采集,通过广域网实现集团内部资源共享、统一集团管理的需求,企业信息化网络不再是单纯意义上的Intranet,而Internet接入也成为必然。Internet接入减弱了控制系统、SCADA等系统与外界的隔离,容易造成蠕虫、木马等病毒的威胁向工业控制系统扩散。
7.缺乏有效的访问控制手段
操作站(PC)和服务器提供了过多的硬件接口,光盘、移动硬盘等存储介质未经安全检测就使用给网络安全带来了隐患;笔记本电脑等非生产终端设备未经过准入许可,通过网络节点接入后,在未授权的情况下便可以访问和操控控制网络系统,也存在安全隐患。
三、生产网络安全方案设计原则
针对以上存在的安全隐患,通过目前大型企业网络设计及建设经验,结合生产网络的特点,生产网络系统在安全方案设计、规划过程中,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等,这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设初期就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。
分步实施原则:由于网络系统及其应用扩展范围广,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
四、生产网络安全保障的主要方法和措施
华南管网生产网的安全建设前提必须是确保生产应用系统的正常稳定,由于目前控制系统应用软件对网络稳定性及计算机性能要求较高,安全系统建设应基于不增加系统负担,不过大占用网络带宽,不因安全设备的安装增加故障点的前提考虑,尽可能进行网络加固监控,实现对网络安全事件的“事前、事中、事后”全程监控防范。现就生产网的建设提出自己的想法和建议,基本架构及方法如图3。
1.采用网络隔离技术,实现内外网数据安全交互
隔离防护系统建设必须遵循“安全隔断、适度交换”的设计原则,当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,采用数据通道控制技术,在保证内网系统和信息安全的前提下,实现内外网之间数据的安全、快速交换。采用多重安全机制、综合防范策略,彻底避免来自操作系统、命令、协议等已知和未知的攻击。目前此类安全产品以隔离网闸为代表,通过专用硬件使两个网络在物理不连通的情况下实现数据的安全传输。
2.建立综合网管系统,全面完整掌握网络运行状况
目前生产网所要管理的资源包括网络、主机、安全、数据库、中间件、业务系统等,通过采集以上资源全部告警状态信息、配置信息及性能信息,并与通信资源库进行关联,实现对全网的拓扑管理、配置信息管理、业务管理、故障管理、性能管理等功能。为了便于运行人员快速熟悉和掌握新的统一平台的使用,广泛采用了功能菜单和图形化界面相结合的操作界面。
3.建立网络入侵检测系统
入侵检测系统IDS(Intrusion Detec-tion System)提供一种实时的检测,对网络流量中的恶意数据包进行检测,发现异常后报警并动态防御。由于考虑到生产网的可用性及稳定性,故在服务器及操作站中不加装软件防火墙及网络流量检测软件,而是根据接口流量及带宽,在各管理处及输油站网络的交换机上链路出口、核心交换汇聚接口及与外网连接接口均部署IDS。为避免因设备故障影响网络通断,将IDS以旁路并联方式连接到网络中,对路由器或交换机做端口镜像,将需要监控的端口流量镜像后传输IDS后进行分析,最终通过IDS服务器完成集中监控、策略统一配置和报表综合管理等功能,实现从事前警告、事中防护到事后取证的一体化监控。
4.建立严格的准入控制
针对接入层用户的安全威胁,特别是来自应用层面的安全隐患,防止黑客对核心层设备及服务器的攻击,我们必须在接入层设置强大的安全屏障,从网络接入端点的安全控制入手,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,加强网络用户终端的主动防御能力,并严格控制终端用户的网络使用行为,保护网络安全。整个系统应包括准入控制手段、控制支撑、控制决策和应用接口4个层面。
5.通过桌面安全实现补丁及防病毒软件升级
操作站及服务器等PC设备考虑到生产网的安全,不直接Internet直接下载操作系统补丁及防病毒软件补丁,而在生产网内部建立桌面安全系统与外网连接,通过桌面安全系统实现对公司生产网内PC机的控制管理,从应用程序管理、外设管理、软件分发、补丁管理、文件操作审计、远程管理等多方面对PC机各种资源要素进行全程控制、保护和审计。确保桌面计算机运行的可靠性、完整性和安全性,提高PC机维护效率,从而达到自动化管理和信息安全监控的整体目的。
五、结论
随着计算机技术的发展,计算机病毒制造技术和黑客攻击技术也在不断的发展变化,越来越多的安全事件的发生,我国的工业基础设施面临着前所未有的安全挑战。虽然我们在生产网安全建设和防范过程中积累了一定经验,但我们仍需研究和探索,不断学习和掌握日新月异的网络安全新知识,综合运用多种安全技术来加强安全策略和安全管理,从而建立起一套真正适合企业生产网的安全网络体系。
参考文献
[1]戴宗坤.信息安全实用技术[M].重庆大学出版社,2005.
工业网络安全建设范文第5篇
【关键词】电网设备 终端设备 信息安全
1 引言
随着工业时代的落幕,信息时代的降临,传统的工业借助信息化的红利也在发生着改变。新的信息技术不断应用于传统工业当中,例如航天航空、自动控制、自动化行业、电力行业等等。
而在这些行业中,部分行业属于国家的基础设施,例如电力和航空等行业。这些行业的稳定和网络安全则显得尤为重要,若此类行业出现信息安全问题,以电力行业为例,轻则造成商业机密的泄露,影响居民的日常生活和工业用户的正常生产等,重则导致国家安全隐患。因此在信息化高度发达的当今,如何在深入信息化应用的同时,保障电网等基础设施行业的网络安全则显得尤为重要。
鉴于此,本文针对电网终端设备的信息安全进行研究,分析电网终端设备在信息安全方面的现状和不足之处,并提出相关的建议。
2 电网设备信息安全的发展历程
现代意义的信息安全,即与电脑网络相关的自动控制最早是在上个世纪的30年代由英国开发和应用在电力行业中的,其目的是用于控制用电负荷的时间。随后经历了多个阶段的发展,分别是20世纪的70年,电网设备开始在自动化设备应用的基础上加入了对应的监视装置,用于保障电网设备的正常运行,和监视其异常运行状态。随后随着自动化和监视的发展,相关的研究学者提出了综合自动化的概念,因此电网企业对于变电站也开始了综合自动化改造,即变电站的综自改造。随即开始越来越多的人开始注意到电网设备的信息安全,这方面的研究也是从西方国家开始的,并且也推出了相关的标准和管理制度,北美电力可靠性委员会即NERC早在上实际90年代初即出台了相关的参考标准即网络安全标准即FCIP标准,其中规定了电网设备的安全边界,信息安全,还包括相应的紧急恢复方案,还包括针对自动化和通信设备的日常检修和定期巡检等等。
3 我国电网信息安全发展现状
随着我国经济的高速发展,电网的规模迅速扩大,对电网设备的信息安全提出了更高的要求,特别是负荷提升超过了电网的发展速度。因此如何依靠先进的信息技术提升电网的安全水平,辅助提高电网的安全稳定运行则显得尤为重要。
我国的电网信息安全技术从上个世纪90年代开始,其代表性的系统则是在国外的基础上自主研发的SCADA系统,即电网监控系统。除此之外我国在主站建设上主要采用了IEC60870-5-101、IEC60870-5-104规约来实现电力一次设备运行数据的采集和遥控指令的下发。采用这两种规约的原因在于IEC60870-5-104规约可以提供更高的信息吞吐量,在信息传输上具有更好的优势,但是其缺点也较为明显,即传递信息的完整性不能得到有效保障,并且由于大范围的采用其加密性也不佳,在上世纪90年代到21实际的10年代以前电网的信息安全并没有受到足够的重视。只到发生了著名的二滩电厂停机事件。这些类似的事件发生才逐渐引起我国电力行业的重视。就目前情况而言,我国电力行业在信息安全方面存在以下几个方面的不足:
(1)在通信协议方面。通信协议的设计存在安全患。目前我国的电网发展仍然属于一种粗狂式的发展模式,因此在通信协议的设计上主要考虑的问题仍然是通信协议可以承载的信息传输量,而在信息的安全方面缺乏设计方面的缺陷。因此,由于底层设计存在缺陷,导致其容易被攻击。
(2)其次则是终端设备的漏洞,由于大量智能化设备的应用,其通信显得尤为重要,而智能化设备在于系统对接时的协议问题会造成系统的安全问题。
(3)目前电网设备的信息访问虽然已经制定了相应的权限,但是仍然存在权限划分不够细致,以及相应的权限审计流程。具体执行操作和信息管理的人员缺少权限方面信息的审核。使得整个网络存在较大的风险,和安全隐患。
4 加强电网终端设备信息安全的建议
为提高电网设备和电网的信息安全,从以上的分析结果来看首先需要注意的是底层建设,即信息通信协议的改进:
(1)对于电网中的终端设备嵌入对应的安全芯片,加入相关的密码服务。根据具体的终端设备实际运行要求加入芯片和密码服务,为上层应用提供对应的底层服务基础。
(2)基于对应的实施操作系统实现安全套接层的安全接入。目前我国电网企业主要采用嵌入式的实时操作系统。这种实时操作系统基本难以负荷安全套接层的安全接入。因此在现有的实时操作系统的基础上如何利用有限资源开发对应可以承载安全套接层的安全接入的实时操作系统,为安全套接层的安全接入提供系统支持。与之对应对安全套接层的安全接入进行改造,减轻实时操作系统的负担也是便于安全套接层的安全接入的另一个改进方向。
(3)实现终端设备的整体提升,包括系统的安全环境和设备的个体安全环境等。进行信息安全的相关工作是一个全方位的工程,除了技术方面的工作以外,还包括管理上的提升。并且管理上的问题并不亚于技术的提升,由于电网的终端设备众多并且分布广泛,单靠技术上的设计和提升是远远不够的。特别是我国现在大部分变电站采用了无人值守的模式,在该种运维模式下,管理显得尤为重要。应当制定对应的运行规程以及快速恢复响应机制,防止安全事故的发生以及在安全事故发生后如何快速恢复和响应。
5 小结
本文以电网终端设备信息安全为研究对象,从信息安全的发展历程为切入点,论述了我国电网终端设备信息安全的发展和现状,并根据分析结果提出了对应的信息安全建设建议。
参考文献
[1]许艳阳.运维一体化方案探讨[J].中国电力教育,2012(33).
[2]王绍亚.浅谈电网设备运检(运维、检修)一体化[J].中国科技信息,2012(22).
[3]马野.浅谈电网设备检修中存在的问题[J].科技与企业,2011(08).
[4]王宏,张怡.供电企业设备运行专业培训过程中的认识和实践[J].中国电力教育,2011(15).
[5]张彩友,丁一岷,冯华.关于开展变电设备运维一体化的认识与思考[J].浙江电力,2011(03).
工业网络安全建设范文第6篇
关键词:3G网络 IP通信 IP存储
中图分类号:F26 文献标识码:A 文章编号:1007-9416(2012)02-0191-01
1、通信技术和市场发展前景分析
3G网络在中国已经进入全面建设阶段。2009年1月15日,TeliaSonera宣布华为和爱立信将承接全球首个4G网络。在企业网市场,随着网络建设的不断深入,各种业务开始广泛应用,“标准、融合、开放、增值”成为网络建设的主导思想,存储、安全、无线、多媒体应用等基于IP架构的产品大规模应用,将网络建设带入了全IP行用的新阶段。
2、国家电子信息产业振兴计划解读
按照国家的信息产业振兴计划,其中新一代移动通信(TD-SCDMA)产业完善、计算机和下一代互联网应用、软件及信息服务培育三项都需要大量的IP通信专业人才。下面我们从运营商和企业网两个市场方面分析一下。
2.1 运营商市场3G建设大规模上马
工业和信息化部2009年1月22日称,2009年中国3G建设总投资为一千七百亿元,三年内投资将达到四千亿元。
工业和信息化部称,中国电信正在对CDMA网进行网络升级和优化,2009年首期投资约三百亿元,计划三月底将在共100个大中城市提供3G服务。中国联通2009年首期投资三百亿元左右,计划今年上半年在56个省会城市及经济比较发达的大中城市提供3G试商用服务,年底将服务范围扩大到282个城市。中国移动准备2009年投资588亿元,新建TD-SCDMA基站约六万个,年底将在238个地级城市提供3G服务,占全国地级城市数量的70%以上,其中东部省(市)的地市将实现全覆盖。
根据三家企业3G网络建设规划,三年内3G建设投资预计约四千亿元,基本覆盖全国所有地市、大部分县城和发达乡镇,中国电信、中国移动和中国联通3G用户计划发展目标均要达到五千万户左右。
2.2 企业网市场IP应用增长强劲
2.2.1 IP存储
市场研究机构IDC针对中国存储市场的研究报告报告显示,2007年中国的磁盘存储市场年增长率达到了24.2%,收入为11.418亿美元,收入年增长率达27.5%,磁盘容量达149.3PB。同时IDC预计,2011年中国存储市场总市场价值将达到112.4亿元,从2008年到2011年的市场价值年均复合增长率为17.0%。
2.2.2 网络安全
尽管金融危机和经济增长放缓影响到中小企业的成长,但是这种影响对于政府和大型企业则小得多。尤其是政府和大型企业对于信息安全意识不断提高,加强信息安全建设成为一个迫在眉睫的任务。同时,为了拉动经济增长,尤其是出口市场放缓的影响,中国政府将加大基础设施投资,在信息行业,政府信息安全、研究机构信息安全、运营商、金融等机构安全都将成为网络安全建设投资的重点,从而拉动政府与大型企业的需求。
2.2.3 无线城市建设
在中国互联网协会蓝海沙龙第36期活动(主题:移动互联网业务已准备就绪)上,有关专家透露,我国大陆已经有十大城市明确了无线城市计划,正在建设当中。这十大城市是,北京、天津、青岛、武汉、上海、南京、杭州、广州、深圳、扬州,庄梓新称为“若干有代表性的无线城市”。实际我国还有更多城市都在实现无线覆盖。
2.2.4 IP多媒体应用
IP多媒体应用包括IP监控、IP视频、IP语音等方向,近年来增长迅速。以IP监控为例,据CCID数据统计,从2006年起中国监控市场的实现了整体快速增长,预计2012年其市场规模将达到491.6亿元,比2007年增长近1.76倍,其中IP网络视频市场的增长最为显著,将占据整个视频市场的66%。
3、移动通信技术专业IP通信方向学生就业方向及前景分析
根据上面的市场分析,我们不难看出,大规模的3G网络建设和企业网IP行用的持续高速增长,必然会需要大量研发、生产、销售、服务、维护等专业技术人员。反观现在的高校课程设置,3G内容几乎没有涉及,网络专业仅仅局限于基础网络建设,无法满足未来市场对专业高素质人才的需求。
增设的IP通信方向,致力于培养具备IT通信相关企业员工的基本素质和专业技能的高规格人才。
在3G网络建设方面,主要培养WCDMA、CDMA2000、TD-SCDMA网络的基站建设工程师、网规网优工程师等。
在企业网方面,主要培养存储、安全、无线、监控等具备数据网络基础的专项工程师。
下面我们对学生的就业前景做个简单分析
3.1 3G网络前景
我们打开互联网各大招聘网站,可以发现3G设备安装、调试、网规网优、建站等岗位大量出现。我们再搜索3G人才培训,可以发现所有的培训机构都集中在嵌入式软件开发方向,工程方面的培训几乎没有。从这两方面,不难看出,3G工程人员的就业前景是“钱途光明”。
3.2 企业网方向前景
我们以存储工程师为例:
目前国内网络存储市场发展蓬勃,应用、维护等存储岗位不断升温,人才紧缺。据国际数据公司(IDC)统计结果显示,全球网络存储技术领域人才2007年的需求量为120万左右,中国市场今年需求大约为15-20万人。又据权威部门统计,国内现在能达到存储工程师资格的技术人员不到2,000人,人才缺口尤为突出,高薪聘人已是不争的事实。
目前,在51job、智联招聘等网站搜索企业系统管理员等职位,都明确提出熟悉存储系统的要求。而在智联招聘网站已“存储“为关键字搜索近期所有相关职位,职位数达2156,招聘职位有存储专业服务工程师、存储顾问工程师等。
参考文献
工业网络安全建设范文第7篇
计算机网络技术在社会各个领域的广泛应用,改变了人们思考问题、处理问题的方式,社会生活的方方面面由于计算机技术的加入都或多或少的发生了改变。特别是工作量大,数据烦琐的统计工作,由于计算机技术的应用,发生了根本性的改变。现阶段,如果实现统计业务处理的信息化、网络化、电子化,已经成为现代统计工作的一项重要内容,统计工作者必须要对企业的发展的实际情况进行认真分析,科学的配备计算机软件与硬件,使计算机能够在生产统计工作中发挥出巨大作用,提高企业的生产效率,扩大企业的生产规模,获得更多的经济效益。
一、计算机在生产统计工作中的运用
(一)在对数据的收集与汇总方面
传统统计调查主要分为普查与非普查两种类型,计算机的广泛应用可以使这两种统计方法充分发挥出各个的优势。我们可以通过计算机,而采用 “网络直报”这种全面调查方式,对搜集到的信息能以最快的速度进行处理,这样不但提高了工作效率,也节约了成本。同时,计算机技术彻底改变了汇总工作的模式,使之更加系统、科学、迅速、高效。计算机因其精度高、运算快、存储量大、易于修改等特点,使原本复杂、工作量大、手工难以完成的统计工作,发生了彻底转变,极大提高了生产统计工作的质量与效率。
(二)在对数据的计算与分析方面
传统统计的数据计算与分析环节,其工作量是惊人的,不但费时、费力,而且失误率也非常高。随着计算机在统计领域的广泛应用,改变了传统统计的上述局面,使统计成为一种高效、迅速的工作。只要编写出正确的计算机程序,计算机就会对数据自动进行计算与处理,降低了统计工作者劳动强度的同时,也解决了手工无法解决的一系列难题,并具有准确、迅速、高预测性、高一致性的特点。计算机技术应用于生产统计领域是社会发展的必然,计算机技术也在不断丰富统计方法,推动着统计这门科学向前发展。
(三)在报送报表方面
传统统计对于报表的报送有很多种,比如传真报送、邮寄报送以及电话报送等等,但是上述这些报表方面都无法与计算机网络报送相比。随着统计自动化系统建设的日臻完善,工业生产统计的数据传送环节已经从过去的单机操作人工传输的点对点计算机远程通讯,发展成为联网传送,能够实现信息共享、网络传输、远距离传输。目前,社会发展对统计信息的时效性越来越高,而计算机网络报送以其巨大的优势已经成为统计报送的最佳选择。
二、提高计算机在生产统计工作中运用水平的建议
(一)加强统计队伍建设
统计人员自身素质,特别是统计人员的计算机操作水平是计算机能否在生产统计工作发挥出实力的关键所在,同时,只有统计工作人员具有相当的计算机实际操作水平,才能够保证统计信息化建设的顺利完成。知识经济时代,知识体系的更新速度是前所未有的,统计人员必须要在钻研统计科学的同时,尽量学习计算机相关知识,提高自身的计算机实际操作能力,只有这样,才能够适应工作需要,适应岗位需要,适应社会发展的需要。
(二)提高统计信息化水平
统计工作的信息化建设是一个长期、系统的工程,我们可以从以下三个方面对其进行建设:一是对统计数据进行信息化、电子化处理;二是加快办公室无纸化进程,尽快实现办公自动化;三是推进文件处理规范化、标准化进程,使工作效率大幅度提高。经过这三方面建设,统计工作信息化水平必然会有所提高,信息化建设的过程,从始至终都要充分利用计算机的强大功能,随着计算机系统的不断更新,统计信息化系统也必须持续不断的进行更新。
(三)加强计算机网络安全建设
计算机网络系统的开放性是一把“双刃剑”,它既能够实现数据传输的高效、及时、准确,同时也为企业的数据保密工作带来了一定威胁。目前,计算机网络安全问题,已经成为企事业单位必须要面对,亟待解决的一项重大课题。所以,统计人员在使用计算机的过程中,必须要做好计算机的数据备份工作、访问权限的设置工作以及非法访问的限制工作。及时更新杀毒软件,二十四小时开放防火墙,防止病毒入侵,以及黑客的恶意攻击,提高计算机的网络安全级别。
(四)深入开发计算机系统的应用程序
想要发挥出计算机系统的重要强大功能,抓好软件研发才是关键。我们必须要充分利用好手中的信息资源,引入专业人才,加强应用软件的设计开发工作,并且推广比较成熟的软件应用于统计工作之中,使统计业务处理流程更加规范化、程序化,同时加强单位数据库建设,提高数据库的综合使用效率。
总结
综上所述,计算机网络技术应用于统计领域是社会发展的必然,它能够提高生产统计数据的质量,实现数据的高效传输,而且它能够完成手工无法完成的分析任务。因此,推进计算机在生产统计领域的广泛应用有着非常重大而又积极的意义。我们可以从加强统计队伍建设;提高统计信息化水平;加强计算机网络安全建设;深入开发计算机系统的应用程序等方面入手,充分发挥出计算机应有的作用。
参考文献
[1]董梅,关惠铭.计算机技术在统计创新中的应用[J].统计与决策,2004(07).
[2]马秀萍.加强企业统计工作 提高企业管理水平[J].企业家天地(理论版), 2010(04).
[3]胡仕华.关于企业统计工作若干问题的分析[J].中国高新技术企业, 2010(18).
工业网络安全建设范文第8篇
关键词:蓝盾 ;信息安全;SOC
1.前言
为了解决网络不断出现的安全问题,政府和企业先后部署了安全设备,甚至建立了自己的专业技术队伍,对信息系统进行安全维护和保障。但是由于IT环境中存在较多的安全设备和大量的日志信息,安全管理人员面对众多的控制台界面、告警窗口和日志信息,往往束手无策,导致工作效率低,难以发现真正的安全隐患。并且这些安全设备都仅仅防堵来自某个方面的安全威胁,形成了一个个的安全防御孤岛,无法产生协同效应。
2.需求分析
在越来越多安全设备使用的情况下,面对复杂的网络环境,信息安全事件变化多端,政府和企业的信息安全管理者责任也就越来越重,在日常管理工作中,出现了以下新的需求:
一.安全设备需要进行统一管理。在实际网络中,为了保障网络安全,政府或企业都部署了大量的安全设备(这些安全设备可能来自于不同的厂商),但这些安全设备相对孤立,各负其责,要管理起来非常不方便。设备运行状态、设备稳定性等都没法得到及时把控,严重时会影响整个网络的应用,甚至中断业务。
二.安全策略需要统一部署,维护人员在面对大量且不断变化的外部威胁时,需要在安全设备上配置安全策略以保障网络安全,但在大量的安全设备中进行逐台配置,给维护人员带来了极大的不便和大量的重复性作业。并且在面对网络突发事件时,可能会影响维护人员处理时间的响应速度,给政府或企业带来重大的损失。
三.安全事件需要集中分析管理。在实际网络中,各种应用和安全设备在运行过程中各自产生大量的日志,如果单靠专业人员手动去分析判断这些分散在各个设备中的日志信息是很困难的,因此需要一种把安全事件集中收集并自动分析的方法来迅速地在这些大量日志信息中准确地发现有害事件。
四.需要提高网络系统的风险管理和脆弱性评估能力。网络系统存在的脆弱性是网络攻击发生的前提,但是在实际网络中,很少有自动化的风险管理和脆弱性评估的方法,只能通过人工分析找出安全隐患和可能被不法人员利用的系统缺陷。这样一种被动的方式使维护人员很容易漏掉一些安全隐患,给政府或企业的网络带来很大的风险。
3.SOC系统建设意义
信息安全的发展随着网络建设经历了三个阶段:一是防病毒、防火墙+IDS(入侵检测系统)部署的初级阶段。二是随着信息系统速度发展,各种业务信息化推进,对信息安全产生巨大的需求(包括网关防护、安全审计管理、终端安全和应用安全),并大量的使用区域边界防护与脆弱性扫描与用户接入控制技术等,此时的安全技术分为防护、监控、审计、认证、扫描等多种体系,纷繁复杂,称为安全建设阶段。三是随着业务高度信息化,信息安全管理成为信息建设的必要组成部分,把分散的安全设备、安全策略、安全事件统一管理与统一运营,成为安全管理阶段,最典型的就是综合性的安全管理中心(Security Operation Center)SOC的建设。
蓝盾公司开发的安全综合管理平台系统(BD-SOC),由“四个中心、六个功能模块”组成,实现了信息采集、分析处理、响应管理、风险评估、流程规范、综合展示等网络安全管理需具备的所有功能。
“四个中心”:网络管理中心、风险评估中心、安全事件监控中心和预警与响应中心。
“六个功能模块”:资产管理、日志管理、配置策略管理、报表管理、安全知识管理和报修管理。
4.BD-SOC系统应用特征
蓝盾的SOC系统根据用户切实的需求,以方便用户对安全设备和安全事件进行集中管理,保障用户网络安全可靠为前提,在应用上体现了以下四方面的特色:
一.协助用户对安全设备进行集中管理
1 统一的资源监控,提供一个全方位监控的统一管理平台,确保资源的可用性以及业务的特殊性。
2 拓扑图形显示,能自动识别和发现新加入的安全产品。
3 安全设备的实时性能分析,能够实时查看设备的CPU利用率,内存利用率等情况。
4 网络故障的直观图形显示,当设备发生故障时,可以通过图标颜色的变化在网络拓扑中显示出来,可以一目了然地发现网络和设备的故障所在。
5 提供多种安全信息查询、报表分析及网络安全报告,并以表格和图形的形式呈现出来。
6提供灵活查询功能和分析规则,能够根据用户的需求生成日报表,周报表,月报表和年报表等,报表可以另存为HTML、Excel、文本、PDF等多种格式。
二.方便用户统一配置安全策略
BD-SOC系统采用安全策略的集中编辑及下发来统一对安全设备进行配置。以前在配置安全策略时,需要登录网络中的每台设备,对其进行安全策略的配置,这是一种“登录—配置”的过程。BD-SOC系统能够对全网安全设备的安全规则进行统一的集中编辑,并进行策略下发,把配置安全策略的过程转变为“编辑——下发”的过程,极大的降低了维护人员的工作量、减少了安全策略的冲突和漏洞、增强了全网的整体安全性。
三.帮助用户集中管理安全事件
1统一日志监控。BD—SOC把网络安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来,使得用户通过单一的管理控制台对IT计算环境的安全信息(日志)进行统一监控。
2 日志归一化与实时关联分析。收集并归一化所有安全日志和告警信息,然后通过智能事件关联分析,帮助安全管理员实时进行日志分析,迅速识别安全事件,从而及时做出相应。
3可视化日志分析。BD—SOC具备强大的事件可视化能力,事件可视化可以是柱图、饼图、曲线图等统计趋势图表的展示。
四.帮助用户找出网络脆弱点,提高网络安全风险管理水平
蓝盾安全综合管理平台系统(BD--SOC)风险管理对资产的价值、脆弱性、威胁进行统一的分析、管理和评估。BD—SOC主要思想就是通过降低风险来减少安全事件的发生,有效提升组织的安全性,帮助管理员对脆弱点做出正面积极的响应,预防可以发生的损害。风险管理为组织对IT维护人员的日常工作管理提供了依据,为评价安全决策、安全工作的成果提供了量化的衡量指标。
5.小结
随着Internet/Intranet 技术的飞速发展,网络安全问题愈来愈引起人们的重视,具有功能齐全、部署方便、可管性和可视化特点的BD-SOC系统,迎合了信息安全管理阶段发展的要求,希望通过借鉴其系统研发的主要思想及应用特征,推进网络信息安全技术的发展。
参考文献
[1] 戴红,王海泉,黄坚计算机网络安全【M】.电子工业出版社.2004.9
[2] Bace RG .Intrusion Detection [M]. Technology Series. Macmillan, London,2000.