網絡安全的解決方案范文

時間:2023-09-20 16:57:31

導語:如何才能寫好一篇網絡安全的解決方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

網絡安全的解決方案

篇1

隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊,所以網上信息的安全和保密是一個至關重要的問題。

關鍵詞:網絡;安全

中圖分類號:TN711文獻標識碼: A

前言

隨著全國教育科技的改革,全國各大院校掀起了一股信心網絡教學的建設熱潮紛紛興建信息網絡平臺,計算機網絡實現在線考試、取代傳統手工的考試方式,實現自動組卷、考試、評分等環節從而大大提高了考試過程自動化和科學化,降低考試成本,但是現有網絡考試系統在功能上還不夠完備,其性能和適用范圍都難以適應大規模應用的需要,尤其是在網絡安全方面缺乏保障。結合網絡新技術、新方法對現有的網上考試系統進行改進,研究更適應社會發展需要的網上考試系統。

一、導致網絡安全隱患的主要誤區

1、加密確保了數據得到保護

對數據進行加密是保護數據的一個重要環節,但不是絕無差錯。雖然加密有助于保護遭到竊取的數據被人讀取,但加密標準卻存在著幾個漏洞。

2、防火墻會讓系統固若金湯

防火墻功能再好,經過它們的IP數據痕跡照樣能夠被讀取。只要跟蹤內含系統網絡地址的IP痕跡,就能了解服務器及與它們相連的計算機的詳細信息,然后利用這些信息鉆網絡漏洞的空子。

老軟件安全系數強

一些人認為,如果運行老的系統,就不會成為黑客的攻擊目標,最近沒有更新或者沒有打上補丁的Web服務器是一個常見的攻擊點?!霸S多舊版本的Apache和IIS(因特網信息服務器)會遭到緩沖器溢出攻擊?!比绻鎯臻g處理不了太多信息,就會出現溢出,從而會發生緩沖器溢出問題。額外信息總會溢出到某個地方,這樣就可以利用系統的漏洞,

4、Mac機很安全

許多人還認為,自己的Mac系統跟老系統一樣,也不容易丟失或被盜取。但是,許多Mac機會運行微軟Office等Windows程序,或者與Windows機器聯網。這樣一來,Mac機同樣難免遇到Windows用戶面臨的漏洞。

5、安全工具和軟件補丁讓每個人更安全

有些工具可以對微軟通過其Windows Update服務的補丁進行“逆向工程”(reverse-engineer)。通過比較補丁出現的變化,就能摸清補丁是如何解決某個漏洞的,然后查明怎樣利用補丁。實際上,每個系統都有漏洞;沒有什么系統是百分之百安全的。

二、在網絡教學中存在的安全問題及解決方法

賬號管理混亂

現有的網絡操作系統,安全管理上都有一個共同的特點,即必須經過有權用戶的授權,才能實現網絡系統的登陸和維護。而在日常維護過程中,網絡管理人員為了便于記憶或簡化操作,通常將有權賬號口令設置的過于簡單,或是存在公共區域顯眼的位置;另外,在系統上經常開設出多個臨時有權賬戶,而且未能及時清理;再加上不注意定期修改口令,甚至將多個管理賬戶口令設置為一個 。從而使黑客借助一些專門的口令校驗程序很容易將口令竊取,侵入網絡系統。所以,加強有權賬戶的管理力度是確保網絡安全教程的首要任務。

缺乏分級管理

由于UNIX、LINUX以及WIN2000Server等都是非常優秀的網絡操作系統,所以目前很多信息網絡系統以它們為基礎平臺。他們都支持網絡文件管理系統(NFS),并以組(Group)的概念來對網絡用戶進行分級。系統缺省時,允許同一組內的用戶互相讀寫或至少是讀對對方的文件或系統數據,所以一旦系統的組劃分的不得當,就很有可能造成普通用戶和超級用戶一樣的權利,他不僅能了解系統的配置情況,增加或修改系統的參數文件,而且能夠更換系統的參數文件,而且能夠更換系統上的信息內容,甚至摧毀整個系統。為了避免這種情況的發生,要根據賬戶號開設為零組用戶、嚴禁將普通用戶和高級管理賬戶號歸屬于同一組內;另一方面要嚴格檢查系統的重要配置文件的讀寫權限,做到所有權唯一性,才能更好的保證網絡教學中的安全。

3、安裝操作系統或應用程序時不要使用默認值

幾乎所有的操作系統或應用程序的廠商都會提供用戶快速安裝的功能,雖然廠商的設計是為了方便用戶,但是在絕大多數用戶不知情的情況下,系統卻同時間卻安裝了許多不必要功能。相比之下,這種所謂采默認值安裝的操作系統或應用程序,往往是造成安全漏洞的禍首。因此,所安裝或開放的功能、網絡服務與通訊端口越少,黑客就越不得其門而入。同樣地,以默認值安裝的應用程序,通常內含不必要的范例程序或是Scripts。一些常見的網站服務器漏洞即是因這些范例程序或是Scripts所造成,黑客可以利用這些不為用戶所知的范例程序或Scripts所造成的漏洞來進行入侵、或取得該系統上的信息。絕大多數被安裝在應用程序上的范例程序或是Scripts不僅未經過嚴謹的安全控制與設計,也未落實錯誤檢查的工作,相反地,卻成了黑客進行buffer overflow緩沖區溢位攻擊的最佳通道。切記要刪除或關閉操作系統和應用程序上不必要的功能、網絡服務與通訊端口。

4、關閉不必要的網絡通訊端口

網絡通訊端口是合法用戶連接至主機端取得服務的通道,同樣地,黑客也是利用同樣的途徑來人侵。所以說,主機上開放的通訊端口越多,他人就越容易與你的系統聯機。因此,減少系統上開放的通訊端口數目是網絡安全最有效的防范措施之一,除了有必要對外提供服務的通訊端口之外,其他通訊端口應予以關閉。我們可以利用操作系統上內建的“Netstat”指令來檢查哪些通訊端口是處于開放或是聆聽的狀態,但是光靠Netstat是不夠的,我們還可以使用端口號掃描工具(port scan.ner)來做更進一步的確認。如果“Netstat”與端口號掃描工具所產生的結果不同的話,應該立即做深入的檢查。

5、要注重日常的病毒防護:將病毒扼殺在萌芽中

在網絡環境下,計算機病毒具有不可估量的威脅性和破壞力,防范病毒是實現網上錄取網絡安全的的一項重要工作,采用反病毒技術可以有效地防范病毒,將病毒扼殺在萌芽中。反病毒技術包括預防、檢測和攻殺3項功能,一般防毒軟件均采用此技術。讓任何類型的網絡免受病毒攻擊最保險和最有效的方法是對網絡中的每一臺計算機安裝防病毒軟件,并定期對軟件巾的病毒定義進行更新。網上錄取的防毒工作主要包含客戶端防毒、服務器端防毒、群件防毒和INTERNET防毒4大類??蛻舳朔蓝竞头掌鞫说姆蓝緡鴥韧猱a品很多,對于防毒軟件的選擇,應該根據自己的使用條件和應用環境,選擇服務及信譽好的廠商和經銷商?;谌杭膽迷絹碓綇V泛,對群件包的掃描需求也越來越迫切,各廠商都推出了相應的群件防毒產品INTERNET。防毒包括對電子郵件和FvrP文件中的病毒防護,以及ACTIVE X和JAVA等惡意程序攻擊的抵制

6、入侵檢測:非法來訪者禁止入內

網絡入侵檢測系統可以分為基于網絡數據包分析和基于主機檢測兩種方式簡單地說,前者在網絡通信中尋找符合網絡入侵模板的數據包,并立即做出反應。當前,部分產品也可以利用交換式網絡中的端口映射功能來監視特定端口的網絡入侵行為,一旦攻擊被檢測到,響應模塊依照相應配置對攻擊做出反應。通常這些反應有發送電子郵件、尋呼、記錄日志和切斷網絡連接等。后者在宿主系統審計日志文件中尋找攻擊特征,給出統計分析報告。主要目的是在事件發生后提供足夠的分析來阻止進一步的攻擊,反應的時間依賴于定期檢測的時間間隔,其實時性沒有基于網絡的入侵檢測系統好。事實上,上述兩種方式可以互相補充使用?;诰W絡的部分提供早期警告,基于主機的部分提供攻擊成功與否的確認。

參考文獻:

篇2

關鍵詞:電網;調度自動化系統;網絡安全;解決方案

一.引言

隨著電力行業信息化技術的深入發展,計算機網絡已成為電力系統正常、高效運作必不可少的基礎設施。而無人值班變電站的逐步推行,又使電網調度自動化系統成為電網調度及正常運行必不可少的工具。目前,在電力企業綜合信息網的建設中,從實時、準確控制業務及管理信息業務出發,需要將多個系統緊密地連接起來,以實現各區域、各系統間的數據交換和軟件共享。電網調度自動化系統不再是孤立的,它與外界的連接越來越緊密,越來越多樣化。電網調度自動化系統實時數據網絡的安全將面臨新的挑戰,并且直接影響到電網的安全、穩定、經濟、優質運行。在這種情況下,如何根據調度自動化系統中各種應用的不同特點,提出相應的安全解決措施,優化電力調度數據網,建立調度自動化系統的安全防護以及應急恢復體系都具有十分重要的意義。

二.現階段電網調度自動化系統在整個電力網絡中的特點

根據業務類型、實時等級、安全等級等因素,電力系統的網絡應用可分為生產控制大區和管理信息大區兩大類,不同的應用系統對安全的要求不同。調度自動化系統是基于TCP/IP的數據業務,業務實時性較強,其中遙控、遙調更與電網設備安全直接相關,可靠性要求較高。因此調度自動化系統屬于生產控制大區,承載著對電網中各設備數據的實時監控功能,它的安全等級是最高的,如圖1所示。該系統一旦遭到破壞,將直接影響到電網設備的安全、穩定運行,電網調度人員也無從了解電網設備的實際運行情況,從而無法實施電網的經濟、優質調度。而管理信息類業務突發性很強,速率要求較高,實時性不強,覆蓋除生產控制類以外的所有業務數據,其網絡布局集中于行政辦公中心等等。

三.調度自動化系統網絡安全防護問題的提出

調度自動化系統信息安全問題主要分為內部管理、技術層問題和來自外部的威脅。具體而言,存在的安全威脅主要來自以下幾個方面:

內部管理、技術層問題:

維護人員的安全意識不高。目前,調度自動化維護人員對整個調度數據網絡安全重視程度不高,主要體現在系統及軟件的密碼設置:如密碼設置位數不夠,系統軟件對用戶的權限設置不合理,導致人員之間互相知道各自的操作密碼,甚至是系統管理員密碼;維護人員對系統和數據庫的漏洞不清楚,且沒有開展相應的修補措施以及安全審計工作等等。

運行人員的誤操作、對調度自動化系統的網絡安全意識不強,如在系統上使用與工作無關、而又可能被病毒光顧過的軟盤、移動硬盤、光盤等等。

操作系統及數據庫本身的安全漏洞?,F階段調度自動化系統使用的操作系統普遍采用Windows、UNIX、LINUX系統,數據庫普遍采用SQL Server、Access 、Orecle數據庫程序,而以上這些軟件均存在網絡安全漏洞等問題,并且隨著新系統的研發,軟件廠家不再出臺對舊系統相關軟件的安全補丁等等,這些問題都對調度數據網絡的安全產生一定的影響。

網絡協議本身缺乏安全性,現階段絕大多數網絡運行主要用TCP/IP、NetBEUI等網絡協議,這些網絡協議并非專為安全通訊而設計,故利用這些網絡進行服務本身就可能存在多方面的安全威脅。

企業缺乏統一的安全管理規范,目前,還沒有一套統一的、完善的能夠指導整個電力系統計算機網絡的安全運行管理規范。且計算機網絡安全保密工作流于形式,缺乏實際監管力度。

外部威脅主要來自黑客攻擊、計算機病毒和各種網絡攻擊等方面:

黑客侵襲,即黑客非法進入網絡非法使用網絡資源。列如,通過網絡監聽獲取用戶的賬號和密碼;非法獲取網上傳輸的數據,通過隱蔽通道進行非法活動;采用匿名用戶訪問進行攻擊;突破防火墻等。

計算機病毒的侵襲。當前,活性病毒多達上上萬種,計算機病毒侵入網絡,對調度數據網絡資源進行破壞,使網絡不能正常工作,甚至造成整個網絡的癱瘓,嚴重時還將影響到電力設備的安全運行。

網絡攻擊,主要方式有:木馬威脅,它隱藏在文件中,竊取計算機系統的重要信息或破壞系統各種功能,它已成為網絡信息安全的最大危害。IP欺騙,它指網絡外部的攻擊者假冒受信主機或是通過使用你的網絡IP地址范圍內的IP,或是通過使用你信任并可提供特殊資源位置訪問的外部IP地址。例如攻擊者可以假扮內部網絡的一個用戶對變電站設備進行控制,或任意刪除修改數據庫內容,造成調度監控人員誤判斷而影響電力設備的正常運行。拒絕服務,它的表現形式是用戶在很短的時間內收到大量無用的電子郵件,從而影響正常業務的運行。嚴重時會使系統關機,網絡癱瘓。

四.調度自動化系統安全防護方案

(1)在管理制度方面,要做到:① 對全網實施監管,所有與調度數據網連接的節點都必須在有效的管理范圍內。② 加強人員管理,建立一支高素質的運維管理隊伍,防止來自內部的攻擊、越權、誤用及泄密。③加強運行管理,建立健全調度自動化系統各種運行管理及安全規章制度,建立電力二次系統安全防護應急預案,將網絡及系統安全作為日常性的工作來抓。④ 建立電力二次系統第三方安全評估機制,跟蹤網絡安全漏洞,及時做好修補工作。

(2)在技術措施方面,要做到:① 在網絡傳輸上,必須堅持調度自動化系統與企業局域網之間的安全物理隔離,信息只能采用單比特單向傳輸方式;調度自動化系統網頁與企業辦公自動化系統之間的安全隔離,主要采用物理防火墻方式。② 在調度專用數據網絡上,根據不同的業務系統,還可采取安全訪問控制技術(可實施的安全措施有防火墻、VPN設備、訪問控制列表、用戶授權管理等)、加密通信技術(主要用于防止重要或敏感信息被泄密或篡改,如縱向加密認證技術)、身份認證技術(用于網絡設備和遠程用戶的身份認證,防止非授權使用網絡資源)、備份和恢復技術。

(3)在系統和應用層面,采用計算機防病毒技術、修復操作系統相應的安全漏洞、應用系統的關鍵軟硬件及關鍵數據的熱備份和冷備份等。防病毒技術和備份措施是通常采用的傳統安全技術,而安全的操作系統是一個新的發展趨勢。

①構建省、地、縣統一的防病毒平臺

為了防止病毒蔓延至電網調度自動化整個系統,應在調度數據網絡各節點上安裝網絡版防病毒軟件,要求程序定時進行掃描,保證電網調度自動化系統網絡安全。并能在省調統一部署下獲得軟件的升級、最新的病毒庫和防病毒技術。還可以通過電話、傳真、傳統郵件、電子郵件在任何時間獲取技術支持。

②建立數據實時備份與應急恢復體系

數據庫備份的內容包含所有采集遙測量歷史數據、歷史電量、歷史總加負荷、遙信變位、保護告警及SOE等。數據庫及軟件備份要求:做到每周能自動備份一次,并在數據庫和軟件發生變化后,只要輕點下鼠標就能手動進行備份,以保證任意一臺數據出現故障后,不影響整個系統數據的存儲和查詢等。調度自動化系統在建設時通常均采用雙機雙網絡結構,同時也要做好相關的應急恢復措施,應急恢復系統要考慮到在硬件損壞等不可抗拒災難情況下,對重要的服務器或工作站,都要對其硬盤進行備份,并有相關的備用服務器和工作站,若遇故障必須停運時,要具備自動切換功能,以保證備用的服務器和工作站在最短時間內可以恢復運行。

五.應用成果

按照以上所述的調度自動化系統安全防護方案在我司調度自動化系統中得到了應用。具體采用方法有:

(1)從生產控制大區到企業管理信息大區的連接處安裝單向單比特物理隔離裝置,從調度自動化系統WEB到企業辦公自動化系統之間安裝硬件防火墻。為了防止防火墻被突破,在防火墻及交換機上設置相應的訪問控制策略,以限制用戶對WEB系統的訪問,從而保證整個調度數據網絡的安全,調度自動化系統的安全防護如圖2所示。

(2)針對調度自動化系統內的網絡,我們從系統管理的安全、數據安全、密鑰的使用等多方面有效的措施來保證網絡的安全,對運行及維護人員進行計算機網絡安全方面的系統培訓,提高系統內人員的保密意識、樹立敬業愛崗的良好工作作風。制定電力二次系統安全防護管理規程,堅決實行調度自動化系統專機專用原則,禁止在監控機上進行其它無關的操作和安裝無關軟件,采用自動和手動相結合的方法對調度自動化系統軟件及數據進行備份,及時修復各種系統安全漏洞,進行防病毒軟件、病毒及規則庫的更新和病毒的定時查殺工作,通過采取以上措施,有效地防止了內、外部病毒和網絡黑客的入侵,提高了網絡的安全防護能力,調度自動化系統沒有發生因病毒入侵等造成的網絡癱瘓事故,從而保證了調度自動化系統的安全可靠運行,使之真正成為電網調度的“千里眼”。

六.結論

篇3

【關鍵詞】網絡安全;操作系統;一機兩用;入侵檢測

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158(2013)01―0129-02

1、消防信息網絡安全的基本內容

1.1 網絡安全的概念

網絡安全是利用各種網絡管理、控制和技術措施,使網絡系統的硬件、軟件及其系統中的數據資源受到保護,不會因為一些不利因素而使這些資源遭到破壞、更改、泄露。

1.2 網絡安全的定義

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不會因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。包括:網絡運行系統安全、網絡上系統信息的安全、網絡上信息傳播的安全和網絡上信息內容的安全。

2、消防信息網絡中存在的安全問題

2.1 使用網絡類型的不同

消防部隊由于工作的特殊性,既有基于Internet的公眾網絡辦公系統,又有基于公安網的內部網絡辦公系統。在日常辦公時這兩種網絡都會被用到,如果電腦使用者不能區分開這兩種網絡,不注意而將兩種網絡混淆使用,就會導致“一機兩用”的發生,甚至會使計算機受到病毒、黑客的攻擊,發生重要數據的丟失或機密信息遭到竊取?!耙粰C兩用”是指計算機或者網絡設備在未采取安全措施情況下既連接公安信息網絡又連接互聯網(含同時連接與不同時連接)。容易發生“一機兩用”的途徑和方式:

1)計算機同時聯入互聯網和公安信息內網;

2)公安信息內網專用移動存儲設備在公安信息內網和互聯網之間交叉使用。

3)外單位計算機維修人員對公安專網計算機進行維修。

4)將無線上網系統連接到公安網計算機。

5)使用筆記本電腦在公安信息內網和互聯網之間交叉連接。

2.2 網絡系統的脆弱性

2.2.1 網絡自身的脆弱性

網絡安全問題是Internet中的一個重要問題。計算機網絡是使用TCP/IP協議的,而其所提供的FTP、E-Mail、RPC和NFS服務都包含許多不安全的因素,存在一些漏洞。

同時,網絡的普及使信息共享達到了一個新的層次,信息被泄露的機會大大增多。Internet網絡是一個不設防的開放大系統,誰都可以通過未受保護的外部環境和線路訪問系統內部,隨時可能發生搭線竊聽、遠程監控、攻擊破壞。

2.2.2 操作系統存在的安全問題

操作系統是作為一個支撐軟件,使得程序或別的應用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。主要表現在:

1)操作系統結構體系的缺陷。操作系統本身有內存管理、CPU管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內存管理的問題,外部網絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。

2)操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統可能就會造成崩潰。

3)操作系統不安全的一個原因在于它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上,特別是“打”在一個特權用戶上,黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在。

4)操作系統會提供一些遠程調用功能,所謂遠程調用就是一臺計算機可以調用遠程一個大型服務器里面的一些程序,可以提交程序給遠程的服務器執行。遠程調用要經過很多的環節,中間的通訊環節可能會出現被人監控等安全的問題。

5)操作系統的后門和漏洞。后門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟件開發階段,程序員利用軟件的后門程序得以便利修改程序設計中的不足。一旦后門被黑客利用,或在軟件前沒有刪除后門程序,容易被黑客當成漏洞進行攻擊,造成信息泄密和丟失。

2.2.3 防火墻的局限性

在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。

盡管利用防火墻可以保護安全網免受外部黑客的攻擊,但它只能提高網絡的安全性,不能保證網絡的絕對安全,它也難以防范網絡內部的攻擊和病毒的侵犯。

2.3 基于消防信息網絡進行的入侵

由于消防工作的社會性,消防信息化建設的一個重要方面就是利用信息化手段強化為社會服務的功能,積極利用網絡載體為社會提供各類消防信息;在網上受理消防業務,公布依法行政的有關信息,為社會提供服務,增強群眾對消防工作的滿意度。在利用網絡提高工作效率和簡化日常工作流程的同時,也面臨許多信息安全方面的問題,主要表現在:

2.3.1 內部資料被竊取

現在消防機關上傳下達的各種文件資料基本上都要先經過電腦錄入并打印后再送發出去,電腦內一般都留有電子版的備份,若此電腦是接入內部公安網或互聯網的,那么就有可能受到來自內部或外部人員的威脅,其主要方式有:

1)利用系統漏洞入侵,瀏覽、拷貝甚至刪除重要文件。

2)電腦操作人員安全意識薄弱,系統安全設置較低,隨意共享文件等;系統用戶使用空口令,不設置登錄密碼,或將系統帳號隨意轉借他人,都會導致重要內容被非法訪問,甚至失去系統控制權。

2.3.2 Web服務被非法利用

目前全國各級公安消防部門在互聯網上已建立了很多的網站,這些網站主要是用來提供消防法規、產品質量信息、消防技術標準、消防宣傳資料等重要信息,部分支隊面向社會群眾開辟了網上受理業務服務,極大地提高了工作效率,但基于網頁的入侵及欺詐行為也在威脅著網站數據的安全性及可信性。其主要表現在:CGI欺騙。

CGI(Common Gateway Interface)即通用網關接口,許多網站頁面上允許用戶輸入相關信息,進行一定程度的交互。還有一些搜索引擎允許用戶查找特定信息的站點,這些一般都通過執行CGI程序來完成。一些系統配置不當或本身存在漏洞的CGI程序,能被攻擊者利用并執行一些系統命令,如創建具有管理員權限的用戶,開啟共享、系統服務,上傳并運行木馬等。在奪取系統管理權限后,攻擊者還可在系統內安裝嗅探器,記錄用戶敏感數據,或隨意更改頁面內容,對站點信息的真實性及保密性造成威脅。

2.3.3 網絡服務的潛在安全隱患

一切網絡功能的實現,都基于相應的網絡服務才能實現,如IIS服務、FTP服務、E-Mail服務等。但這些有著強大功能的服務,在一些有針對性的攻擊面前,也顯得十分脆弱。以下列舉幾種常見的攻擊手段。

1)分布式拒絕服務攻擊

攻擊者通過發送大量無效的請求數據包造成服務器進程無法短期釋放,大量積累而耗盡系統資源,使得服務器無法對正常請求進行響應,造成服務器癱瘓。對任何連接到Internet上并提供基于TCP的網絡服務(如Web服務器、FTP服務器或郵件服務器)的系統都有可能成為被攻擊的目標。大多數情況下,遭受攻擊的服務很難建立新的連接,系統通常會因此而耗盡內存、死機或系統崩潰等問題。

2)口令攻擊

基于網絡的辦公過程中不免會有利用共享、FTP或網頁形式來傳送一些秘密文件,這些形式都可以通過設置密碼的方式來提高文件的安全性,但多數不會使用一些諸如123、abc等簡單的數字或英文字母組合作為密碼,或是用自己的生日、姓名作為口令,由于人們主觀方面的原因,使得這些密碼形同虛設,攻擊者一旦識別了一臺主機而且發現了可利用的用戶賬號,便可通過詞典、組合或暴力破解等手段得到用戶密碼,從而達到訪問敏感信息的目的。

3)路由攻擊

路由攻擊是指通過發送偽造路由信息,產生錯誤的路由干擾正常的路由過程。攻擊者可通過攻擊路由器,更改路由設置,使得路由器不能正常轉發用戶請求,從而使得用戶無法訪問外網,或向路由器發送一些經過精心修改的數據包使得路由器停止響應,斷開網絡連接。

3、解決網絡安全問題的主要方法

3.1 安全技術手段

1)網絡安全隔離技術。

消防部隊在處理日常事務上主要是用公安內網,由于內部公安網信息較多,為了杜絕泄密事件的發生,一定要將其與互聯網進行隔離的。網絡隔離,英文名為Network Isolation,主要是指把兩個或兩個以上可路由的網絡(如:TCP/IP)通過不可路由的協議(如:IPX/SPX、NetBEUI等)進行數據交換而達到隔離目的。網絡安全隔離技術可以實現內、外網絡或外部網絡與信息的物理隔離,因而可以保證網絡的相對安全。網絡隔離有兩種方式,一種是采用隔離卡來實現的,一種是采用網絡安全隔離網閘實現的。隔離卡主要用于對單臺機器的隔離,網閘主要用于對于整個網絡的隔離。

2)入侵檢測技術。

入侵檢測是指“通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作,檢測到對系統的闖入或闖入的企圖”。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?,F象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測是對防火墻的合理補充,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力和范圍(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性。

3)訪問控制技術。

訪問控制技術是對系統內部合法用戶的非授權訪問進行實時控制,可分為以下兩種類型:①任意訪問控制。指用戶可以任意在系統中規定訪問對象,優點是成本小且方便用戶,缺點是安全系數較低。②強制訪問控制??梢酝ㄟ^無法回避的訪問限制來防止對系統的非法入侵,其缺點是費用較高、靈活性小。對于安全性要求較高的系統,可以采用兩種類型結合的方法來維護網絡系統的安全。

3.2 網絡安全管理方面的措施

1)成立網絡安全領導小組。

應該建立由單位領導牽頭、網絡管理員參與的網絡安全領導小組,重點加強本單位網絡安全有關項目的管理和應用,負責貫徹國家和公安部有關網絡安全的法律、法規,落實各項網絡安全制度;督促和加強對本單位人員的網絡安全教育培訓,監督、檢查、指導網絡安全工作。同時,將計算機網絡安全的投入作為消防信息網絡建設的基礎投入來抓,同步建設。

2)加強網絡管理人才引進和培訓。

要保證消防網絡信息系統在一個安全環境里發展,必須大力加強網絡管理人才的引進,應該把招收計算機專業的人才列入消防部隊招收大學畢業生的計劃之中,提高消防部隊網絡管理人員的知識結構。同時,結合計算機網絡技術的飛速發展,應當出臺相關的培訓制度,大力加強對現有網絡管理人員、使用人員的培訓。

3)制定并執行網絡安全管理制度。

在系統安全處理的同時,應建立并完善各項安全管理制度,以此來確保計算機網絡安全,如外聘人員簽訂安全責任書制度,外來人員網絡訪問制度,網絡管理員定期檢查維護制度等。

4)按規定做好公安內網專用計算機的聯網注冊工作。

按照規定,連接公安內部網絡的計算機都需要經過領導審批才能實施聯網,并逐臺登記,進行實名注冊,落實到民警個人。這樣一方面能加強使用人的安全意識;另一方面對責任人敲響警鐘,防患于未然。

5)在有多種網絡的辦公室,分清和梳理好各種網絡接口和網線。

對于有兩種或兩種以上網絡的辦公室,必須對每個網絡接口、每根網線、每臺計算機都貼上醒目的標簽,避免因接錯網絡而導致“一機兩用”的發生。

6)組建安全保障體系。

根據各單位的實際情況組建安全保障體系是必需的,如網管人員安全培訓、可靠的數據備份、緊急事件響應措施、定期系統安全評估及更新升級系統,這些都能為系統的安全提供有力的保障,確保系統能一直處于最佳的安全狀態,即便系統受到攻擊,也能最大程度地挽回損失。

4、結語

綜上所述,網絡安全問題的存在是顯而易見的,而其所造成的威脅是不容忽視的,因此,在今后的消防信息化工作中,必須高度重視計算機網絡的安全,只有不斷加強技術和管理方面的工作,提高計算機安全意識人手,才能保障消防網絡能夠在一個安全的、穩定的環境中運行,才能夠使得各項消防工作正常順利的運行,信息的通暢可靠。

參考文獻

篇4

在業務流與信息流融合的時代,如何確保關鍵業務的連續性?如何在信息變得更加開放和靈活的同時,依然保持高安全性?作為全球領先的網絡安全與信息存儲解決方案提供商,華為賽門鐵克指出,企業關鍵業務的安全需要傳輸安全、存儲安全和應用安全的系統保護,并有賴于安全軟硬件的跨界融合。

安全無邊界

按照數據信息的存在方式,信息安全可分為傳輸安全、存儲安全和應用安全。傳輸安全位于存儲邊界之外,存儲安全位于存儲邊界之內,而應用安全是數據安全的最終目的。對于企業關鍵業務而言,只有三者都真正獲得保障,才能實現業務流的連續性。

攻擊手段集成化需要系統防御。道高一尺魔高一丈,隨著安全技術的發展,黑客的攻擊手段也在不斷演進,形成集成化的新一代攻擊工具。舉例來說:針對企業防火墻的部署,黑客工具被設計為反彈連接方式,繞開防火墻的安全策略,黑客在內部網絡的PC上植入木馬后,反彈木馬從內部主機上主動發起連接,網關防火墻對這類攻擊難以識別。針對終端防病毒軟件的部署,黑客工具加強了與防病毒軟件對終端系統控制權的爭奪,木馬病毒被設計成首先上來終結防病毒軟件進程。單一的安全產品,在抵御這些集成化的攻擊工具時,都存在弱點??陀^上需要統一的安全解決方案,構筑完整的業務安全體系。

存儲機制和安全策略融合成為新趨勢。隨著數據價值不斷提升,以及存儲網絡化不斷發展,數據遭受的安全威脅日益增多,若無存儲安全防范措施,一旦攻擊者成功滲透到數據存儲系統中,其負面影響無法估計。如果不從業務的全局角度審視和設計安全解決方案,方案本身可能造成新的安全隱患。這要求企業在特定存儲系統結構下,從存儲系統的角度考慮存儲安全性。此外,除外部攻擊者的威脅外,企業常常還面臨著內部公司信息丟失的風險,更需要全面考慮安全策略,針對內容安全,進行安全軟件的系統部署。

應用安全與業務流融合成為關鍵。除業務實現越來越依賴網絡外,面對瞬息萬變的商業環境,企業必須保持業務的多元化與靈活性。這導致在業務應用中安全策略的實施將面臨千變萬化的場景,業務邏輯與業務策略之間并不存在簡單的一一對應關系;不僅如此,安全管理員、軟件開發人員、業務流程優化專家等對業務策略以及安全策略都會有各自完全不同的理解,這對應用安全系統的設計與開發等提出了更為嚴峻的挑戰。

關鍵業務要高端安全

今天,越來越多的企業意識到,關鍵業務的安全問題至關重要,需要基于業務流的、更加嚴密的系統防護。除此之外,企業關鍵業務需要應對網絡帶寬高速增長的處理需求,對安全設備的性能也提出了更高要求。

作為數據存儲安全、傳輸安全和應用安全的整合解決方案提供商,華為賽門鐵克融合先進的硬件架構和內容安全領域的領先優勢,推出了從企業桌面安全到骨干核心網絡應用的全系列高端安全產品線,提供一體化的安全解決方案和極佳的設備兼容性,幫助客戶應對關鍵業務安全的挑戰。

業內專家指出,硬件安全與軟件安全的跨界融合產生的不僅僅是疊加效果,而是倍乘效應。軟件系統與硬件架構的無縫融合,不僅實現了更好的兼容性,更可以有效消除傳統安全解決方案的盲區和死角,使安全解決方案更加靈活、可靠、易于擴展。

目前,華為賽門鐵克已經針對不同市場需求,推出了USG2000系列、USG5000系列、USG9000系列等創新性的安全產品和解決方案。據悉,為了向全球客戶提供高質量的服務,在融合軟硬件安全的基礎上,華為賽門鐵克還匯聚全球網絡安全專家,為企業構筑端到端安全解決方案,提供定制化的咨詢和服務。

迎接未來挑戰

篇5

安全管理三大難題

“到今年1月,卡巴斯基實驗室病毒庫的病毒數已超過1億個,而在兩年前,這個數字還只有現在的一半?!笨ò退够鶎嶒炇抑袊鴧^副總經理鄭啟良認為,當前企業面臨的安全威脅與日俱增,IT管理人員正面臨三大難題,即如何有效防護各種變種病毒的攻擊;新興技術帶來的安全威脅層出不窮,企業如何應對;怎樣以簡單有效的方法管理復雜多樣的安全產品和解決方案。

黑客攻擊正變得智能化和個性化,正如鄭啟良所言:“針對性攻擊和零日攻擊的數量增加,這些攻擊往往針對最新的病毒庫進行測試,確保不被當前的安全軟件版本檢測出來;遠程管理工具入侵檢測和其他合法工具都可能被黑客利用;高級持續性攻擊(APT攻擊)給企業帶來的安全風險日益增加,例如火焰病毒的體積是震網病毒的20倍,潛伏兩年多都沒被發現,而對它的分析也需要耗費安全專家幾年時間”。

CNCERT的數據驗證了鄭啟良的判斷,“2012年我國境內至少有4.1萬余臺主機感染了實施APT攻擊的惡意程序,涉及多個政府機構、重要信息系統部門以及高新技術企事業單位,且絕大多數控制服務器位于境外”。CNCERT認為,2012年火焰、高斯(Gauss)病毒等實施復雜APT攻擊的惡意程序,其功能以盜取信息和收集情報為主,且均已隱蔽潛伏工作了數年。

盡管應對各種黑客攻擊、修補終端應用程序和操作系統中的安全漏洞已經耗費了IT人員的大量精力,但他們還必須應對各種新興技術帶來的安全隱患,比如虛擬化和移動互聯。

2012年,CNCERT監測的移動互聯網惡意程序樣本約16.3萬個,比2011年增長25倍。與此同時,IT消費化日趨盛行,BYOD更加普及,企業員工希望使用自己的移動智能終端隨時隨地訪問企業網絡,而當企業的機密數據在企業網絡內自由交換或者在網絡外通過移動終端和USB存儲設備交換時,這些數據的安全風險也會相應增加。

此外,盡管云計算已在全國各地積累了眾多最佳實踐,但是其安全性依然是企業最關注的話題?!?012中國云計算產業發展白皮書》指出,95%的企業最關注云計算的安全問題,是云計算產業關注度最高的問題。

安全風險攀升的同時,企業的IT也日漸復雜,更多數據、更多系統和更多技術讓安全管理變得復雜。但是企業IT人員的水平往往有所欠缺,在疲于應對各種安全問題的同時,還必須購買各種最新的安全解決方案和工具,比如移動設備管理、系統和漏洞管理、數據加密保護等,但這些產品的組合帶來的防護效果卻往往并不理想,因為不同安全廠商的IT解決方案之間兼容性較差,使得管理這些IT資源變得更加復雜,讓IT管理人員無所適從,難以起到實效。

從防止入侵到構建防護體系

以往,企業在安全防護上傾向于防止黑客入侵,但是現在則傾向于構建完善的安全防護體系,及時發現黑客的入侵行為,在黑客回傳數據之前加以阻止,找到解決方案。這需要企業部署的安全解決方案能快速檢測并作出反應。為此,安全解決方案必須具備應急響應流程、可視化的網絡感知體系,以及完備的安全服務。

3月26日,卡巴斯基了其最新的企業級安全解決方案――卡巴斯基網絡安全解決方案。它在原有版本基礎上,完善了反惡意軟件、移動終端設備管理和數字保護加密系統等新功能,同時為了解決IT安全的復雜性,通過統一的安全管理平臺,幫助IT管理人員應對不同操作系統下的復雜的安全管理問題,確保企業網絡安全和高效運轉。

篇6

安全解決方案供應商飛塔在近期推出了“Fortinet Security Fabric”(安立方)架構解決方案。作為能夠實現從物聯網到云計算無邊界環境端到端防御的全新架構,飛塔“安立方”從“無縫、智能、開放”三個維度,集成了信息安全技術最新的先進特性,通過收集本地和全球網絡的威脅情報,實現面向未來企業安全防御體系的完美升級,協助用戶應對不斷變化的威脅挑戰。

16年威脅情報分析經驗

如今,威脅情報市場可謂炙手可熱,新興公司不斷涌現,飛塔 “安立方”中提及的威脅情報分析功能擁有著引人注目的成績。據了解, 飛塔實驗室從2000年前開始進行威脅情報系統研究,共收集230TB威脅樣本、18000條入侵防御規則、5800個應用程序控制規則,并針對2.5億個網站進行了78種分類,發現了279個“零日威脅”。

2016年,飛塔實驗室每分鐘即可攔截2.1萬封垃圾郵件、抵御47萬次網絡入侵、瓦解9.5萬個惡意程序、封鎖16萬個惡意網址、阻止3.2萬個僵尸網絡,以及完成了4300萬個網站分類。飛塔實驗室的數據顯示,2016年亞太地區面臨的網絡安全威脅日益增加,其中利用漏洞的攻擊相比2015年同比增長51%,僵尸網絡同比增長20%,而勒索軟件增長更是高達390%,相對于全球來說,中國市場面臨的網絡安全威脅更加嚴峻。對此,飛塔中國區總經理李宏凱表示,會在現有基礎上加大對于中國市場的研發投入、技術支持、市場培育力度,并針對中國本地客戶的需求實施定制化的業務策略。

產品繁多但聯動防御效果差

過去的十幾年時間里,用戶對整個網絡安全的掌控能力依然非常薄弱,因此,它們不再需要安全廠商簡單地提供一款或幾款硬件產品,它們需要一套可以自己掌控的整體安全解決方案。此外,每家安全廠商都生產和推銷各自的設備,如果沒有一個開放性的平臺就無法對整體網絡設備實行有效管理,當然也無法確保其避免受到威脅。這些來自于不同廠商(或者同一廠商但不同時期)的設備之間可能無法有效聯通,因此使其整體安全防御性能大打折扣。

此外,安全這個概念正在逐漸失去邊界性。無線網的應用也進一步加快了這一進程。無線網絡的應用使網絡連接更加快捷便利,但也帶來了一些安全挑戰。

這是現有的網絡安全面臨的問題之一。此外,現有的網絡安全架構無法滿足用戶需求。很多用戶覺得目前很多安全廠商的安全防御解決方案無法跟上惡意攻擊技術發展的速度。所以,安全架構更新就非常重要了。飛塔近期除了收購梅魯(無線設備廠商)外,又收購了AccelOps公司(網絡安全監控和分析解決方案領導者)。以上收購進一步打通了飛塔網絡設備間的信息通道,并且可以實現有效的管理。這些網絡設備和數據信息共享系統廠商正是為飛塔提出的“安立方”安全架構這一長遠目標在布局。

“安立方”應運而生

物聯網和云計算的不斷加速普及,為企業級用戶繪制了一幅廣闊的數字化藍圖。但是,在這個高度移動和分布式的網絡中,設備、用戶、應用和服務的增加,致使網絡邊緣更加模糊,滲透性也更強。由數十個安全設備堆砌而成“偶然型安全結構”,不僅擴大了受攻擊面,更不能實現統一管理、不能共享威脅情報、不能智能聯動,致使安全失控。雖然相關網絡安全設備也發展進化,但是其發展方式并不能與物聯網和云計算等相關技術的發展同步,而這正是飛塔推出“安立方”架構的重要原因。

李宏凱表示:“隨著網絡邊界的模糊化,企業用戶已經很難像以前那樣部署基于物理邊界的安全解決方案,而分布式網絡更要求信息安全解決方案中融入全球網絡威脅分析系統,這給擁有16年網絡威脅情報分析經驗的飛塔提供了機會?!?/p>

網絡環境日益復雜,那么下一代安全網絡到底要具備哪些能力才能夠應對更多潛在的安全威脅呢?飛塔認為,下一代安全網絡需要具備三個特點,那就是無縫、智能、開放。飛塔中國技術總監譚杰表示:“作為專為下一代數字化商業網絡而設計的改進型安全措施,飛塔‘安立方’采用了緊密集成的安全技術架構,不僅可以集成到分布式網絡中,更以全球共享網絡和本地網絡威脅情報為核心,提供協調一致的威脅響應,動態適應不斷變化的威脅趨勢。具體來講,就是從‘無縫、智能、開放’這三個維度去迎接未來信息安全的挑戰?!?/p>

“安立方”解決方案強調“多維度的安全防御”,形成“從物聯網到云的端到端防御”,實現綜合性安全策略的深度和廣度部署。全新的架構不僅可以靈活擴展,以滿足容量和性能要求,也能夠根據用戶的業務特點進行橫向擴展,從物聯網到終端,跨越分布式網絡和數據中心,最后到達云服務,實現無縫追蹤數據,全程確保應用安全。其中,“安立方”架構提供了跨越分布式企業網絡,從物聯網到云服務的無縫保護,飛塔多路徑并行處理(PPP)以線速對數據包和應用協議進行檢查,并深度分析非結構化內容。

首先,”安立方“從平臺支持、網絡支持、第三方擴展、防火墻特性、策略控制和IT運維等多個方面,實現了APT等定向式攻擊的多重安全技術防御。

其次,平臺不僅覆蓋了有線和無線網絡接入層,更采用了多點偵測與沙箱共享機制,協助用戶有效防御APT攻擊,利用多安全設備聯動,切斷APT 攻擊鏈。而從策略和日志角度來看,”安立方“雖是單一協同實體,但它允許單臺設備元素共享全球和本地威脅情報,以及威脅防御信息,而這恰恰是“智慧大腦”的關鍵所在。

最后,“安立方”采用了一系列定義明確的開放式API,允許技術伙伴將其產品靈活地接入平臺,這包括管理程序、SDN控制器、云安全、用于檢測零日威脅的沙箱,以及通過日志和策略管理。

全面聯動改變安全架構

“我們希望逐漸把自己從單純賣產品、賣硬件這樣一個供應商的角色轉變成提供一個集前端分析到后端硬件為一體的安全平臺的系統集成商。我們提出的‘安立方’架構能讓用戶能夠真正體驗到安全防御的結果和效能,這個是我們覺得這種新的安全架構的概念能夠給用戶帶來的好處?!崩詈陝P認為,“這種平臺帶來的好處是,能把你原來死的產品,或者是靜態的產品變成動態的。我們提出安全協同的概念,把內網(包括部門之間安全的設備、無線端訪問設備)聯動起來,形成一個整體概念的網絡客戶,感知網絡威脅?!?/p>

無論技術來自何方,所有的技術和產品必須連接得更為緊密,這樣才能進一步提高防御水平。提高防御水平首要的就是建立安全威脅感知分析平臺。它可以使安全廠商在威脅事件,無論是漏洞事件,還是病毒事件發生時,都能通過此平臺為安全廠商和用戶提供一個有理論依據的分析結果,從而得出某些事件的關聯程度。這種安全威脅感知需要通過很多的設備協同來完成,這就是所謂安全協同。李宏凱表示:“一個事件發生了,雖然今天并沒有產生事故,但管理員仍然可以發現有人入侵了網絡,管理員能夠清楚地知道下一步該做什么,飛塔‘安立方’安全解決方案會給用戶提供建議,用戶執行一個動作就可以攔截掉威脅。用戶通過安立方解決方案提供的平臺能夠感知到網絡威脅的每一步走向。這對未來網絡安全發展是非常重要的?!?/p>

漸進式改良 構建新生態鏈

這樣一個安全架構是否會對企業和機構早期的安全部署產生影響,是否需要完全更換早期安全設備和網絡設備?如果答案是肯定的,那么這種變革勢必會造成浪費。這也是很多企業和機構在信息化和安全改革過程中比較關注的問題。帶著這個疑問,筆者詢問了譚杰,他表示:“其實我們無論是安全架構改革或者是IT建設都不是搞革命,并非推出新的解決方案,就把以前的方案全部,這是一個漸進式的改良。另外,有的用戶不僅使用飛塔的產品,也采用其他廠商的產品,也可以考慮選用大數據平臺,把各個安全孤島整合在一起,這實際上也是對現有解決方案的提升。這個平臺也可以跟一些友商的產品進行對接,構建新的生態鏈,為用戶創造更多價值。”

當聽到與友商合作這個話題時,筆者好奇,飛塔新的生態鏈都包括哪些內容,飛塔針對中國市場在未來有哪些策略跟進?對此,李宏凱表示:“飛塔希望給整個安全市場帶來一些新的概念和聲音。飛塔目前正在跟進已有客戶,去嘗試推廣新的‘安立方’安全架構的理念。給老客戶的安全設備進行升級換代,把傳統的基于社會的安全防御解決方案更新為基于架構的安全防御解決方案。面對新客戶,飛塔會要求前端的銷售和渠道教育都推廣這樣的理念?!?/p>

篇7

第一,企業內部的順利運行離不開管理機制的制約,電力企業引進信息網絡技術也存在同樣的道理。電力信息網絡安全技術缺乏相應的管理制度規劃,整體系統不夠完善,無法與電力企業建立內在聯系,使得電力企業信息網絡安全技術無法發揮其作用。第二,信息網絡安全技術的優點使各個行業爭相追捧,電力企業因看重信息網絡技術的特點,加以引進,但是并未從全面的角度考慮其劣勢,對于信息網絡安全缺乏控制意識。開放性的網絡給企業內部帶來不安全因素,而電力企業并未意識到安全隱患,缺乏全面考慮信息網絡技術的意識。第三,因電力企業缺乏控制信息網絡技術的安全意識,所以沒有采取有效阻止的措施,沒有配備相應的安全設施,基本設施不齊全,就無法保障電力信息網絡的安全。第四,信息網絡技術自身加強了安全系統的保障,采取相應的安全措施,電力企業引入信息網絡技術后,信息網絡技術的安全措施沒有與電力企業的機制有效結合,并且其內部的安全系統對于電力企業并不適用。第五,用過騰訊軟件的人們都了解,一個賬號在同一臺電腦登陸不需要再次驗證,只需要輸入密碼,而同樣的賬號換一臺計算機,就需要先進行身份驗證,這樣提高了網絡信息的安全性。如果電力企業的信息網絡技術使用這樣的身份安全驗證,就可以在一定程度上減少企業安全隱患。

2信息網絡安全的影響因素

2.1受互聯網大趨勢影響

電力網絡信息技術建立在互聯信息網絡的基礎上,現代網絡信息發展迅猛,影響信息安全的因素也越來越多,例如攻擊各類網站的黑客數量激增,網站自身的防火墻系統不夠完善,致使互聯信息網絡的大環境存在安全隱患,因此電力企業內部會受到影響。

2.2電力企業自身缺乏安全防范意識

在互聯信息網絡整體存在安全隱患的環境里,電力企業內部并未采取措施應對。首先電力企業內部計算機自身的防火墻系統不夠完善,存在很多漏洞,對病毒和黑客的入侵沒有起到防護作用。其次,電力企業的日常信息網絡數據從不加以備份,涉及到重要的信息資源并未得到安全保護,電力企業對網絡信息安全沒有相應的管理和規劃,這些導致電力網絡安全有許多不安全因素。

3電力信息網絡安全的解決方案

3.1電力企業自身采取安全措施

針對以上問題,電力企業應該關注自身的網絡信息安全。針對計算機的系統加以改進,完善防火墻技術,這是保證信息安全的先決條件。電力企業應該購進前進的設備,做好自身安全防護武裝。例如,引進信息監測技術,這項技術可以防范計算機病毒和黑客的入侵。電力企業還要規范信息管理,企業內部的數據是關鍵信息,存在不安全因素的也是這些數據,因此,電力企業應該加強管理,數據應該及時備份,有備無患。加強電力企業員工素質培訓也是解決方案之一。定期為管理電力網絡的工作人員培訓,加強教育,使其認識到網絡信息的重要性,工作的內容嚴格按照企業的規章條例,也有助于加強電力網絡信息的安全性。

3.2互聯信息網絡大方向

隨著網絡信息時代的不斷進步,使用網絡的人群數目迅速增加,網絡可以互通遠隔千里的信息,網絡的開放性逐漸增大,不安全性也隨之增大。網絡安全應該得到各大網站和專業人士的高度重視,各大網站應該彌補網站漏洞,專業技術人員應該創新出新型安全軟件,拯救互聯信息網絡。依存在互聯信息網絡大環境下的電力企業信息網絡安全,也可以得到緩解和解決。

4結束語

篇8

[關鍵詞] 石油企業 信息安全 安全策略 解決方案

石油企業要提高競爭力,信息化水平是一個重要因素。而信息安全的風險隨著企業信息化水平的不斷提高而增加。沒有可靠的信息安全保障,就沒有企業的安全生產運營,就會極大地降低企業在石油行業內的競爭優勢和生存空間。要保證信息安全,就必須首先制定相應的安全策略,然后依據該策略結合企業的實際需要選定具體的解決方案,全面構筑企業的信息安全體系,防止各種不安全因素帶來的信息安全隱患,做到防患于未然。

所謂信息安全是指信息的保密性、完整性、實用性和可靠性,即在信息的使用和存儲過程中,防止因偶然事件或人為因素造成信息被破壞或泄露,也就是要保障信息的有效性。

一、石油企業預防人為因素的方案

企業信息安全的防范不單純是一個技術問題,而是一個綜合性的問題,其中最重要的因素就是人的因素。在人的因素中,有些是無意的:如信息管理員、操作員安全配置不當造成的安全漏洞;企業內部終端用戶安全意識不強,用戶口令選擇不慎,或是將自己的帳號隨意轉借他人或與別人共享等;也有些是黑客的惡意攻擊,如以各種方式破壞信息的有效性和完整性;或在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息等。這些攻擊均可對信息安全造成極大的危害。對于這類人為因素,必須首先建立石油信息安全領導小組,設立安全領導小組辦公室,由企業負責人直接擔任組長,并逐級確立信息安全責任人,并且對信息中心的管理員、操作員,進行必要的定期的信息安全教育,明確崗位職責、權限,簽訂崗前責任狀,以提高全員信息安全防范意識。同時制定信息安全制度,并采取相應的措施以防止信息安全漏洞。

二、石油企業內部技術防范的方案

從技術角度看,信息安全的防范包括:

(一)設備及環境安全

設備和環境的安全主要涉及到由于自然災害、人為因素造成的數據丟失,比如地震、電力故障、火災、洪水、盜竊等。它們給企業的數據帶來潛在的威脅,因此對于信息安全級別較高的企業,應建設完善的容災備份系統。容災備份系統一般由兩個數據中心構成:主中心和備份中心。通過異地數據備份,實時地將主中心數據拷貝至備份中心存儲系統中,使主中心存儲數據與備份中心數據完全保持一致。這種在線備份出現故障后系統數據恢復時間短,安全性好,但對資源的占用率比較高,投入成本也大;還有一種離線備份,即把數據定期備份到移動存儲器或光盤上,然后異地保存,離線備份方式恢復時間比較長,但投資較少。企業應根據自身信息化建設的程度及企業對信息安全的要求以及資金投入情況,決定容災備份系統的規模和等級。

(二)系統運行安全

隨著企業信息化的發展,信息系統的連續穩定運行越來越重要。一旦系統中斷,將會給企業的工作帶來混亂,而數據一旦丟失,后果將是災難性的。為保證信息系統的連續穩定運行,應采用雙機熱備解決方案。這種系統有兩個服務器組成:主服務器和從服務器。主服務器將從服務器的硬盤視為自己的一個外部磁盤設備,由專用數據鏈路擔負著傳輸鏡像數據的任務,同時也為從服務器監視主服務器提供了途徑。主服務器系統可以象對本地硬盤一樣訪問從服務器上的硬盤。從服務器不僅鏡像著主服務器的硬盤數據,而且還實時監測主服務器,一旦發現主服務器故障,會自動接替主服務器工作。

(三)數據庫安全

在數據庫系統中,由于數據大量集中存放,且為眾多用戶共享,安全性問題更為突出。解決數據庫安全的措施要從數據庫軟件本身和數據備份兩個方面考慮。

1、利用軟件本身所具有的性能進行安全保護大型數據庫為開發者提供了有效的安全性控制策略,一般會在數據訪問的安全性和監督用戶的登錄進行有效的控制,同時又兼顧用戶在使用數據時對速度的要求。大型數據庫中的安全性是依靠分層解決的,它的安全措施是級級層層設置的,做到層層設防。第一層是注冊和用戶許可,保護對服務器的基本存??;第二層是存取控制,對不同用戶設定不同的權限,使數據庫得到最大限度的保護;第三層是增加限制數據存取的視圖和存儲過程,在數據庫與用戶之間建立一道屏障。

2、利用硬件備份系統進行安全保護備份系統不僅是保證數據庫安全,同時也是保證網絡系統安全的一種重要手段,為了保證數據安全,需要對數據庫進行及時快速的備份。備份系統的服務器的應用較為簡單,配置不要求很高,甚至可以和其他一些應用共用一臺服務器,而備份軟件和磁帶庫是備份系統的關鍵。

三、石油企業網絡運行安全的方案

網絡安全問題是信息安全問題的核心,應采取全方位的、動態和靜態相結合的方案解決網絡安全問題。影響網絡安全的要素包括:網絡邊界安全,操作系統安全,應用服務器安全,內部網安全,網絡防病毒。影響網絡安全的因素可以通過以下安全產品來防范:

(一)防火墻的應用

防火墻在企業內部網和外網之間設置了一道有效屏障,保護網絡邊界并防止黑客入侵。防火墻作為單一的關口,在此關口能檢查、審核、加解密和認證進入網絡的數據。

(二)漏洞檢測系統的應用

漏洞檢測系統又稱系統掃描、風險評估。漏洞檢測就是模擬黑客的攻擊手段對被檢測系統(包括各種操作系統、網絡和應用服務器)進行掃描,然后提交安全漏洞報告,并給出解決漏洞的方法,從而保證網絡邊界安全、操作系統安全、應用服務器安全和內部網安全。

(三)網絡防病毒產品的應用

隨著網絡的不斷發展,信息共享、信息交換越來越多,因此感染病毒的機會更大。在企業網絡內一旦有一臺主機感染病毒很快就會傳播到整個網絡,甚至對企業造成很大的經濟損失。因此防病毒已成為網絡安全的重要課題。對于可以登錄外網的終端計算機可以采用購買網絡版殺毒軟件,提前預防、實時監控和殺毒。對于僅能登錄內網的終端計算機,企業應當購買專業單機版殺毒軟件,并在內網定期單機版殺毒軟件的離線更新包。

以上是動態的網絡安全策略,對于靜態的網絡安全策略,可以從網絡的結構設計方面提高網絡的安全性。對于一些安全要求比較高的部門,如財務部門,可以建立專門的局域網與互聯網及企業內部網進行物理隔離;還可以通過冗余設計來提高網絡的可靠性,例如:鏈路冗余、模塊冗余、設備冗余及路由冗余。

(四)訪問控制安全的應用

訪問控制功能是對企業綜合信息系統的內容進行訪問權限的限制。對于有些只對企業內部或合作單位開放的信息,應該設置訪問控制,只有得到用戶名和密碼的用戶才能訪問這些內容??梢酝ㄟ^配置路由器來實現這部分的功能。

另一方面,是企業不同部門對網絡權限要求不同的問題。各應用系統設計和選購時應該考慮如何保障各部門的安全,保證安全保密性級別高的部門在網絡上運行的各類業務不受未授權員工的損害。在構建網絡時應用VLAN技術和第三層交換技術,可在同一個基礎物理網絡上實現員工網絡、財務網絡、領導網絡和部門網絡的邏輯分隔,從而提高整個信息系統的安全性。

(五)信息存儲安全

網絡的發展,加上多媒體應用,使得數據呈幾何級數激增。傳統的以服務器為中心的存儲網絡架構面對源源不斷的數據流已顯得力不從心,嚴重的會導致數據崩潰。為了存儲安全,以服務器為中心的數據存儲模式必須向以數據為中心的數據存儲模式轉化。為了解決這個實際問題,可以采用網絡存儲技術,網絡存儲技術是一種特殊的專用數據存儲服務器,內嵌系統軟件,可提供跨平臺文件共享功能,完全以數據為中心,將存儲設備與服務器徹底分離,集中管理數據,從而有效釋放帶寬,大大提高了網絡整體性能,也可有效降低成本,保護企業的投入,將數據崩潰降低到最低限度。

篇9

伴隨著這股產業大潮,是眾多國內外專業安全廠商和網絡廠商在中國市場的逐鹿態勢。如果說2006屬于生存年的話,2007更像是發展年。而2007年對于Radware來說則更是一個安全年,同時2007年也將成為公司成長過程中一個重要的具有里程碑意義的年份。

市場定位

進入中國市場之初Radware由于一直貫徹重技術,輕品牌的原則,并不為眾多用戶所熟知,但是由于其過硬的技術和卓越的產品性能,已經取得了一定的市場影響力。

Radware公司北中國區總經理趙軍表示:“新的一年,新的市場定位,對我們來說是一個機遇也是一個非常大的挑戰,這個挑戰就是我們市場定位的改變,Radware不再只是一個傳統的網絡交換機的生產廠商或者一個只是簡單意義上的負載均衡廠商。我們是提供智能應用的企業。不管是網絡安全還是網絡交換都是針對獲得運用信息,讓應用更安全,更可靠,具備高可用性、高安全性和高性能,這是公司不懈努力的一個目標。2007年度的主題是智能應用解決方案,公司產品會從傳統的獲得均衡的網絡交換市場,做到應用安全的市場。這是Radware今年的市場定位,我們致力于提供完全基于應用的和傳統IP技術的解決方案,通過公司APSolute 解決方案,實現市場領先的技術特點。”

Radware作為一家在負載均衡和傳統的交換機領域的領導廠商,把專注的方向擴展滲透到了應用安全領域。這不僅僅因為產品的核心技術都是對IP的一個包容,對安全危機高度的感知,更是由于Radware的技術能夠看到一個IP包的更深層次的應用,所以能提供一些傳統網絡安全的包括防火墻、IP聯動式解決方案等所不能解決的一個解決方案。這是2007年公司的市場定位,也是一個非常大的挑戰,一個市場形象很細微的變化,所產生的影響將是非常巨大的。

技術優勢

首先,Radware的產品在防DoS攻擊方面,如行為模式分析方面具有非常強的競爭優勢。它具有非常高的精確度和極低的誤判率。眾所周知,行為模式在我們的想象中都很簡單,只是對流量進行一些分析和學習,然后進行一些設置,但當這些流量變大的時候,所需要的設置就遠遠超過了這個設置。Radware通過給上海電信,武漢電信的維調獲得了用戶很高的評價,用戶感覺到Radware解決方案的誤判率非常低,而精確度非常高。

其次,Radware為用戶提拱的解決方案是一個完整的攻擊防范解決方案,主要基于傳統的IPS攻擊、病毒攻擊和黑客攻擊的技術理解基礎上。

篇10

建立金融信息安防體系刻不容緩

“互聯網+金融”成為傳統金融行業轉型“觸電”的新模式,新形式下的數據安全狀況變得越發嚴重,金融行業已經淪為數據泄密的重災區,再次給人們敲響數據安全的警鐘,其中直接由于純粹是信息安全技術缺失所導致的風險案例不勝枚舉。麥肯錫公司在其的《中國銀行業創新系列報告》中指出,2015年年底,中國互聯網金融的市場規模達到12萬-15萬億元,占GDP的近20%?;ヂ摼W金融用戶人數已經超過5億,這樣龐大的用戶群和涉及面,如果信息安全事件愈演愈烈甚至失控,將會對國家和社會造成不可估量的損失,互聯網金融信息安全已經刻不容緩。

目前,金融企業內部IT系統更為復雜化,外包合作使內部風險管理更加復雜,BYOD(攜帶自己的設備辦公)使企業信息資產無處不在,大數據使核心資產淹沒在之中難以識別,云計算打破了傳統的網絡邊界防護。李晨指出,企業安全威脅也在逐漸升級,正在從以蠕蟲病毒、拒絕服務攻擊、溢出類漏洞攻擊、注入等Web攻擊為主的傳統威脅升級到以0Day攻擊、多態及變形等逃避技術、多階段組合攻擊、有組織的定向攻擊為主要手段的新一代威脅,企業安全運維面臨更多的新的挑戰。與會專家再次呼吁,建立金融信息安全防御體系刻不容緩。

綠盟科技智慧安全2.0戰略應運而生

信息安全行業專家綠盟科技積極應對,幫助銀行、保險等各類企業實現變革,助力金融智能安全運營防線的構建,綠盟科技智慧安全2.0戰略應運而生。

綠盟科技智慧安全2.0戰略是一個企業整體運營的升級換代過程,它幫助企業安全防護真正做到智能、敏捷和可運營。該方案包含綠盟云、安全態勢感知解決方案、云計算安全解決方案以及下一代威脅防御解決方案。李晨表示,態勢感知使安全耳聰目明、軟件定位給安全運維帶來敏捷應變、縱深防御帶來彈性和生存能力。它緊緊圍繞用戶需求,大力提升線上也就是云中的安全能力,打通技術、產品和服務、解決方案、交付運營等各個環節,構建真正的智能安全防御系統。

同時,綠盟科技可協助客戶建立企業安全應急響應中心(SRC),幫助企業建立和維護自主可控的自有業務漏洞收集平臺,從而避免漏洞在第三方平臺上暴露。通過SRC的運維數據積累,企業建立貼合自有業務的漏洞知識庫來提升安全團隊技術能力,并且通過SRC可與白帽子直接建立長期的信任互贏關系,幫助企業更從容地面對安全威脅。

數據安全歷來是企業信息安全工作的“最高使命”。綠盟科技適時推出了數據泄露防護系統,基于數據存在的三種形態(存儲、使用、傳輸),對數據生命周期中的各種泄密途徑進行全方位的監查和防護,保證了敏感數據泄露行為事前能被發現,事中能被攔截和監查,事后能被追溯。