導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全等級(jí)劃分，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

一、國家等級(jí)保護(hù)標(biāo)準(zhǔn)

我國的信息安全等級(jí)保護(hù)工作起步于20世紀(jì)90年代，隨后相繼頒布了多個(gè)等級(jí)保護(hù)標(biāo)準(zhǔn)，具體可分為基礎(chǔ)性標(biāo)準(zhǔn)、定級(jí)標(biāo)準(zhǔn)、建設(shè)標(biāo)準(zhǔn)、測(cè)評(píng)類標(biāo)準(zhǔn)和管理類標(biāo)準(zhǔn)?；A(chǔ)性標(biāo)準(zhǔn)包括《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB25058-2010）以及《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）等；定級(jí)標(biāo)準(zhǔn)有《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008）等；建設(shè)標(biāo)準(zhǔn)包括《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）、《信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）以及《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T25070-2010）等；測(cè)評(píng)類標(biāo)準(zhǔn)主要有《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448-2012）和《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》（GB/T28449-2012）等；管理類標(biāo)準(zhǔn)主要有《信息系統(tǒng)安全管理要求》（GB/T20269-2006）以及《信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）等。針對(duì)單位的普通信息安全工作人員而言，涉及較多的標(biāo)準(zhǔn)主要有定級(jí)標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008）與建設(shè)標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）等?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)定級(jí)指南》主要用于指導(dǎo)信息系統(tǒng)的等級(jí)劃分和評(píng)定，將信息系統(tǒng)安全保護(hù)等級(jí)劃分為5級(jí)，定級(jí)要素有兩個(gè)：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體以及客體受到侵害程度。定級(jí)要素與信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系見表1。由表1可知，三級(jí)及以上系統(tǒng)受到侵害時(shí)可能會(huì)影響國家安全，而一級(jí)、二級(jí)系統(tǒng)受到侵害時(shí)只會(huì)對(duì)社會(huì)秩序或者個(gè)人權(quán)益產(chǎn)生影響。在實(shí)際系統(tǒng)定級(jí)過程中，要從系統(tǒng)的信息安全和服務(wù)連續(xù)性兩個(gè)維度分別定級(jí)，最后按就高原則給系統(tǒng)進(jìn)行定級(jí)。《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》是針對(duì)不同安全保護(hù)等級(jí)信息系統(tǒng)應(yīng)該具有的基本安全保護(hù)能力提出的安全要求，根據(jù)實(shí)現(xiàn)方式的不同，基本安全要求分為基本技術(shù)要求和基本管理要求兩大類等級(jí)保護(hù)基本要求共有10個(gè)部分，技術(shù)要求和管理要求各占5個(gè)部分。其中，技術(shù)類安全要求又細(xì)分三個(gè)類型。信息安全類（S類）：為保護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過程中不被泄露、破壞和免受未授權(quán)的修改的信息安全類要求。服務(wù)保證類（A類）：保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對(duì)系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用的服務(wù)保證類要求。通用安全保護(hù)類要求（G類）：既考慮信息安全類，又考慮服務(wù)保障類，最后選擇就高原則。

二、金融行業(yè)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)及必要性分析

1.行業(yè)標(biāo)準(zhǔn)金融行業(yè)作為信息化行業(yè)的一個(gè)重要組成部分，金融行業(yè)信息系統(tǒng)安全直接關(guān)系到國家安全、社會(huì)穩(wěn)定以及公民的利益等。為落實(shí)國家對(duì)金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)相關(guān)工作要求，加強(qiáng)金融行業(yè)信息安全管理和技術(shù)風(fēng)險(xiǎn)防范，保障金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)建設(shè)、測(cè)評(píng)、整改工作順利開展，中國人民銀行針對(duì)金融行業(yè)的信息安全問題，在2012年了三項(xiàng)行業(yè)標(biāo)準(zhǔn)：《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》、《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)指南》和《金融行業(yè)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)安全指引》。2.必要性分析網(wǎng)絡(luò)安全法明確規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，開展等級(jí)保護(hù)工作是滿足國家法律法規(guī)的合規(guī)需求。金融行業(yè)開展信息安全等級(jí)保護(hù)工作的必要性有以下3點(diǎn)。（1）理清安全等級(jí)，實(shí)現(xiàn)分級(jí)保護(hù)金融行業(yè)各類業(yè)務(wù)系統(tǒng)眾多，系統(tǒng)用途和服務(wù)對(duì)象差異性大，依據(jù)等級(jí)保護(hù)根據(jù)系統(tǒng)可用性和數(shù)據(jù)重要性開展分級(jí)的定級(jí)要求，可以有效梳理和分析現(xiàn)有的信息系統(tǒng)，識(shí)別出重要的信息系統(tǒng)，將不同系統(tǒng)按照不同重要等級(jí)進(jìn)行分級(jí)，按照等級(jí)開展適當(dāng)?shù)陌踩雷o(hù)，有效保證了有限資源充分發(fā)揮作用。（2）明確保護(hù)標(biāo)準(zhǔn)，實(shí)現(xiàn)規(guī)范保護(hù)金融行業(yè)信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)有效解決了金融行業(yè)信息系統(tǒng)保護(hù)無標(biāo)準(zhǔn)可依的問題。在信息系統(tǒng)全生命周期中注重落實(shí)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和規(guī)范要求，在信息系統(tǒng)需求、信息系統(tǒng)建設(shè)和信息系統(tǒng)維護(hù)階段參照、依據(jù)等級(jí)保護(hù)的標(biāo)準(zhǔn)和要求，基本實(shí)現(xiàn)信息系統(tǒng)安全技術(shù)措施的同步規(guī)劃、同步建設(shè)、同步使用，從而保證重要的信息系統(tǒng)能夠抵御網(wǎng)絡(luò)攻擊而不造成重大損失或影響。（3）定期開展測(cè)評(píng)，實(shí)現(xiàn)有效保護(hù)按照等級(jí)保護(hù)要求，每年對(duì)三級(jí)以上信息系統(tǒng)開展測(cè)評(píng)工作，使得重要信息系統(tǒng)能夠?qū)ο到y(tǒng)的安全性實(shí)現(xiàn)定期回顧、有效評(píng)估，從整體上有效發(fā)現(xiàn)信息系統(tǒng)存在的安全問題。通過每年開展等級(jí)保護(hù)測(cè)評(píng)工作，持續(xù)優(yōu)化金融行業(yè)重要信息系統(tǒng)安全防護(hù)措施，有效提高了重要信息系統(tǒng)的安全保障能力，加強(qiáng)了信息系統(tǒng)的安全管理水平，保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行以及對(duì)外業(yè)務(wù)服務(wù)的正常開展。

三、網(wǎng)絡(luò)安全法作用下標(biāo)準(zhǔn)的發(fā)展

隨著等保制度上升為法律層面、等保的重要性不斷增加、等保對(duì)象也在擴(kuò)展以及等保的體系也在不斷升級(jí)，等級(jí)保護(hù)的發(fā)展已經(jīng)進(jìn)入到了2.0時(shí)代。為了配合網(wǎng)絡(luò)安全法的出臺(tái)和實(shí)施，滿足行業(yè)部門、企事業(yè)單位、安全廠商開展云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)等新技術(shù)、新應(yīng)用環(huán)境下等級(jí)保護(hù)工作需求，公安部網(wǎng)絡(luò)安全保衛(wèi)局組織對(duì)原有的等保系列標(biāo)準(zhǔn)進(jìn)行修訂，主要從三個(gè)方面進(jìn)行了修訂：標(biāo)準(zhǔn)的名稱、標(biāo)準(zhǔn)的結(jié)構(gòu)以及標(biāo)準(zhǔn)的內(nèi)容。1.標(biāo)準(zhǔn)名稱的變化為了與網(wǎng)絡(luò)安全法提出的“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”保持一致性，等級(jí)保護(hù)標(biāo)準(zhǔn)由原來的“信息系統(tǒng)安全等級(jí)”修改為“網(wǎng)絡(luò)安全等級(jí)”。例如：《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》修改為《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》修改為《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》等。2.標(biāo)準(zhǔn)結(jié)構(gòu)的變化為了適應(yīng)云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開展，等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)、等級(jí)保護(hù)測(cè)評(píng)要求標(biāo)準(zhǔn)的結(jié)構(gòu)均由原來的一部分變?yōu)榱糠纸M成，分別為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制系統(tǒng)安全擴(kuò)展要求與大數(shù)據(jù)安全擴(kuò)展要求。3.標(biāo)準(zhǔn)內(nèi)容的變化各級(jí)技術(shù)要求分類和管理要求的分類都發(fā)生了變化。其中，技術(shù)要求“從面到點(diǎn)”提出安全要求，對(duì)機(jī)房設(shè)施、通信網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用等提出了要求；管理要求“從元素到活動(dòng)”，提出了管理必不可少的制度、機(jī)構(gòu)和人員三要素，同時(shí)也提出了建設(shè)過程和運(yùn)維過程中的安全活動(dòng)要求。

篇2

建設(shè)財(cái)政信息的安全系統(tǒng)是財(cái)政管理改革發(fā)展中的要求。當(dāng)下財(cái)政信息化的應(yīng)用在全國各地的財(cái)政系統(tǒng)中正逐漸深入，覆蓋了各級(jí)財(cái)政部門和面向社會(huì)公眾的財(cái)政信息系統(tǒng)?？梢哉f財(cái)政信息系統(tǒng)是各級(jí)財(cái)政系統(tǒng)進(jìn)行信息共享的平臺(tái)，目前由于大量需要保護(hù)的數(shù)據(jù)和信息存儲(chǔ)在財(cái)政信息系統(tǒng)中，所以對(duì)系統(tǒng)中運(yùn)行的安全保障提出了更高的要求。

【關(guān)鍵詞】等級(jí)保護(hù) 財(cái)政信息系統(tǒng) 信息安全

在財(cái)政信息系統(tǒng)安全建設(shè)的過程中，由于系統(tǒng)復(fù)雜、數(shù)據(jù)安全的屬性要求存在著差異，導(dǎo)致系統(tǒng)在不同程度上存在一定的脆弱性；在系統(tǒng)安全的規(guī)劃和設(shè)計(jì)中由于對(duì)策略認(rèn)識(shí)不夠，以致風(fēng)險(xiǎn)延續(xù)到信息系統(tǒng)的運(yùn)行和維護(hù)管理階段。文章從我國信息安全等級(jí)體系的規(guī)范和標(biāo)準(zhǔn)著眼，對(duì)財(cái)政信息系統(tǒng)的安全保護(hù)等級(jí)模型進(jìn)行了分析，并提出了進(jìn)一步完善財(cái)政信息系統(tǒng)安全的措施。

1 信息安全的保護(hù)等級(jí)及其基本流程

目前信息安全技術(shù)和管理水平在不斷地提升和發(fā)展，人們逐漸意識(shí)到要想保障信息系統(tǒng)的安全，就要不斷完善信息安全管理和技術(shù)體系，構(gòu)建完整的信息系統(tǒng)，并且為了把信息和信息系統(tǒng)的殘留風(fēng)險(xiǎn)降低到最小級(jí)別，就要提高信息安全應(yīng)急處置的能力。由于當(dāng)前不同的信息和信息系統(tǒng)，對(duì)其安全級(jí)別的要求也不盡相同，應(yīng)將管理策略、技術(shù)、工程過程等多個(gè)方面相結(jié)合，同時(shí)進(jìn)行客觀的綜合考慮，對(duì)信息系統(tǒng)的安全分類需要充分運(yùn)用信息安全等級(jí)保護(hù)的思想和方式。

1.1 信息系統(tǒng)安全保護(hù)等級(jí)

信息系統(tǒng)安全保護(hù)等級(jí)在《信息安全技術(shù)――信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中劃分為五個(gè)等級(jí)，信息系統(tǒng)安全保護(hù)等級(jí)的第一級(jí)是用戶自主保護(hù)等級(jí)，用戶可根據(jù)自主訪問控制、身份鑒別和數(shù)據(jù)的完整性這三個(gè)條款進(jìn)行判斷；第二級(jí)是系統(tǒng)審計(jì)保護(hù)級(jí)，在第一級(jí)的基礎(chǔ)上增加了兩個(gè)條款，分別是客體重用和審計(jì)；第三級(jí)是安全標(biāo)記保護(hù)級(jí)，在第二級(jí)的基礎(chǔ)上增加了強(qiáng)制訪問控制、標(biāo)記等條款；第四級(jí)是結(jié)構(gòu)化保護(hù)級(jí)，在第三級(jí)的基礎(chǔ)上增加了可信路徑和隱蔽信道分析；第五級(jí)是訪問驗(yàn)證保護(hù)級(jí)，在第四級(jí)的基礎(chǔ)上增加了可信恢復(fù)條款。這五個(gè)等級(jí)的基本內(nèi)容以信息安全的屬性為主，即網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、物理安全以及管理安全等五個(gè)方面，根據(jù)其不同要求，對(duì)安全信息系統(tǒng)的構(gòu)建、測(cè)評(píng)和運(yùn)行過程進(jìn)行管理和掌控，進(jìn)而實(shí)現(xiàn)對(duì)不同信息的類別按照不同的要求進(jìn)行等級(jí)安全保護(hù)的目標(biāo)，盡管不同等級(jí)的條款中有些內(nèi)容是相似的，但在一定程度上仍然存在著差異，安全保護(hù)能力的要求會(huì)隨著保護(hù)等級(jí)的提升而逐漸增強(qiáng)。

1.2 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的流程

信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的基本流程包括五個(gè)階段，分別是定級(jí)階段、備案階段、測(cè)評(píng)階段、整改階段、運(yùn)行和維護(hù)階段。其中等級(jí)保護(hù)工作的基本前提是系統(tǒng)劃分和定級(jí)工作，定級(jí)工作必須要首先確定，否則后面的工作將會(huì)無從做起；備案階段中，當(dāng)專家評(píng)審與自定級(jí)不同時(shí)，要重新定級(jí)，才能夠進(jìn)行備案工作；測(cè)評(píng)階段中指定的第三方測(cè)評(píng)機(jī)構(gòu)必須是權(quán)威機(jī)構(gòu)，需要公正公平地對(duì)系統(tǒng)進(jìn)行測(cè)評(píng)；整改和復(fù)測(cè)階段中對(duì)于整改的項(xiàng)目要通過等級(jí)保護(hù)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估的方法進(jìn)行分析。等級(jí)保護(hù)工作要隨著信息系統(tǒng)建設(shè)的變化和發(fā)展而做出不斷循環(huán)的工作。

2 財(cái)政信息系統(tǒng)的等級(jí)保護(hù)

2.1 財(cái)政信息系統(tǒng)安全的架構(gòu)

在財(cái)政信息系統(tǒng)安全的架構(gòu)模式中，既包含計(jì)算機(jī)網(wǎng)絡(luò)通信和環(huán)境平臺(tái)、又有多種相關(guān)的業(yè)務(wù)平臺(tái)，并且這些應(yīng)用的安全等級(jí)各不相同，所以采取的安全保護(hù)策略也有所不同。財(cái)政信息系統(tǒng)規(guī)模大、系統(tǒng)復(fù)雜，按照系統(tǒng)的功能可以分為核心數(shù)據(jù)中心、采購管理、預(yù)算管理、業(yè)務(wù)門戶網(wǎng)站等多個(gè)子系統(tǒng)，要按照業(yè)務(wù)應(yīng)用數(shù)據(jù)的不同性質(zhì)進(jìn)行不同安全等級(jí)的保護(hù)?？傊鶕?jù)財(cái)政信息系統(tǒng)的實(shí)際情況，構(gòu)建一個(gè)相對(duì)完善的財(cái)政信息系統(tǒng)模型。

2.2 財(cái)政信息系統(tǒng)安全的等級(jí)區(qū)域的劃分

財(cái)政信息系統(tǒng)安全等級(jí)保護(hù)要根據(jù)系統(tǒng)的特點(diǎn)和性質(zhì)進(jìn)行不同區(qū)域的安全劃分，以實(shí)現(xiàn)不同強(qiáng)度下的安全保護(hù)。針對(duì)財(cái)政信息系統(tǒng)中不同子系統(tǒng)的實(shí)際情況，可以將財(cái)政信息網(wǎng)絡(luò)劃分為不同的安全保密等級(jí)區(qū)域，分別為業(yè)務(wù)核心區(qū)，辦公用戶區(qū)域、專線用戶區(qū)域、內(nèi)部網(wǎng)與互聯(lián)網(wǎng)信息交換的區(qū)域等。

3 財(cái)政信息系統(tǒng)的等級(jí)的保護(hù)措施

在財(cái)政信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)工作中，目前采取內(nèi)網(wǎng)與外網(wǎng)物理隔離的方式，從物理上把財(cái)政業(yè)務(wù)中各個(gè)子系統(tǒng)與對(duì)外服務(wù)區(qū)進(jìn)行劃分，分別劃分到不同的子網(wǎng)，在財(cái)政業(yè)務(wù)的防火墻上可以設(shè)置權(quán)限為允許的策略，源地址是內(nèi)部桌面，目的地址是業(yè)務(wù)服務(wù)器，對(duì)于其他服務(wù)的子系統(tǒng)，同樣需要防火墻進(jìn)行隔離，使各子系統(tǒng)都有充分的隔離和清晰的界限，同時(shí)可以配置漏洞掃描設(shè)備的檢測(cè)設(shè)備，不定期對(duì)各個(gè)服務(wù)器進(jìn)行掃描。

數(shù)據(jù)備份能夠進(jìn)一步保障財(cái)政信息系統(tǒng)的安全，在財(cái)政信息系統(tǒng)應(yīng)用中需要配備存儲(chǔ)備份設(shè)備以實(shí)現(xiàn)數(shù)據(jù)自動(dòng)備份，一旦系統(tǒng)出現(xiàn)故障，通過數(shù)據(jù)備份即可恢復(fù)。為了進(jìn)一步支持財(cái)政信息系統(tǒng)的穩(wěn)步運(yùn)行，可建立一個(gè)異地財(cái)政信息數(shù)據(jù)備份中心，以防財(cái)政信息系統(tǒng)發(fā)生災(zāi)難性故障時(shí)實(shí)現(xiàn)異地遠(yuǎn)程恢復(fù)的功能。

在財(cái)政信息系統(tǒng)安全保障體系建立的過程中，要嚴(yán)格依照等級(jí)保護(hù)下的安全管理制度、系統(tǒng)建設(shè)制度和相關(guān)財(cái)政系信息管理的法律及標(biāo)準(zhǔn)，在建立完善的網(wǎng)絡(luò)安全管理機(jī)制的同時(shí)明確管理人員的職責(zé)。

4 結(jié)論

綜上所述，文章從我國信息安全等級(jí)體系的規(guī)范和標(biāo)準(zhǔn)著眼，對(duì)財(cái)政信息系統(tǒng)的安全保護(hù)等級(jí)模型進(jìn)行了分析，并提出了進(jìn)一步完善財(cái)政信息系統(tǒng)安全的有效措施。在財(cái)政信息建設(shè)的過程中，設(shè)計(jì)出一個(gè)科學(xué)合理、全面的信息安全解決方案是一個(gè)關(guān)鍵的任務(wù)，要從我國信息安全等級(jí)體系的規(guī)范和標(biāo)準(zhǔn)著眼，對(duì)財(cái)政信息系統(tǒng)安全保障的體系進(jìn)行深入的探討，以達(dá)到切實(shí)保護(hù)財(cái)政信息系統(tǒng)安全的目的。

參考文獻(xiàn)

[1]龔雷.應(yīng)用安全透明支撐平臺(tái)體系結(jié)構(gòu)與模型研究[D].鄭州：信息工程大學(xué)，2013.

[2]王會(huì).基于等級(jí)保護(hù)的黨校網(wǎng)絡(luò)安全體系的研究與應(yīng)用[D].廣州：中山大學(xué)，2012.

[3]劉莎莎.NN市委辦政務(wù)信息系統(tǒng)安全等級(jí)保護(hù)策略研究[D].南寧：廣西大學(xué)，2012.

[4]高朝勤.信息系統(tǒng)等級(jí)保護(hù)中的多級(jí)安全技術(shù)研究[D].北京：北京工業(yè)大學(xué)，2012.

篇3

內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)

目前，整個(gè)信息安全狀況存在日趨復(fù)雜和混亂的趨向：誤報(bào)率增大，安全投入不斷增加，維護(hù)與管理更加復(fù)雜和難以實(shí)施、信息系統(tǒng)使用效率大大降低，對(duì)新的攻擊入侵毫無防御能力，尤其是對(duì)內(nèi)部沒有重視防范。

據(jù)美國FBI統(tǒng)計(jì)，83%的信息安全事故為內(nèi)部人員和內(nèi)外勾結(jié)所為，而且呈上升的趨勢(shì)。從這一數(shù)字可見，內(nèi)網(wǎng)安全的重要性不容忽視。據(jù)公安部最新統(tǒng)計(jì)，70%的泄密犯罪來自于內(nèi)部，電腦應(yīng)用單位80%未設(shè)立相應(yīng)的安全管理系統(tǒng)、技術(shù)措施和制度。

中國科學(xué)院研究生院信息安全國家重點(diǎn)實(shí)驗(yàn)室趙戰(zhàn)生教授表示，目前我國信息與網(wǎng)絡(luò)安全的防護(hù)能力處于發(fā)展的初級(jí)階段，許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。國防科技大學(xué)的一項(xiàng)研究表明，我國與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是攻擊重點(diǎn)。

“當(dāng)前的信息與網(wǎng)絡(luò)安全研究，處于忙于封堵現(xiàn)有信息系統(tǒng)安全漏洞的階段。”公安部網(wǎng)絡(luò)安全保衛(wèi)局處長(zhǎng)郭啟全認(rèn)為，“要徹底解決這些迫在眉睫的問題，歸根結(jié)底取決于信息安全保障體系的建設(shè)。目前，我們迫切需要根據(jù)國情，從安全體系整體著手，在建立全方位的防護(hù)體系的同時(shí)，完善法律體系并加強(qiáng)管理體系。只有這樣，才能保證國家信息化的健康發(fā)展，確保國家安全和社會(huì)穩(wěn)定?！?/p>

2003年，國家出臺(tái)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（簡(jiǎn)稱“27號(hào)文件”），明確要求我國信息安全保障工作實(shí)行等級(jí)保護(hù)制度，2007年出臺(tái)《信息安全等級(jí)保護(hù)管理辦法》（簡(jiǎn)稱“43號(hào)文件”）。隨著兩項(xiàng)標(biāo)志性文件的下發(fā)，2007年被稱為等級(jí)保護(hù)的啟動(dòng)元年；由于要對(duì)現(xiàn)有信息安全系統(tǒng)進(jìn)行加固，大量產(chǎn)品和服務(wù)采購即將開始，2008年則被普遍視為等級(jí)保護(hù)采購元年。

等級(jí)保護(hù)政策是信息安全保障的主要環(huán)節(jié)。在等級(jí)保護(hù)解決方案中，內(nèi)網(wǎng)安全產(chǎn)品主要作用是對(duì)終端進(jìn)行防護(hù)。

內(nèi)網(wǎng)是核心

“事實(shí)上，信息安全等級(jí)保護(hù)的核心思想就是根據(jù)不同的信息系統(tǒng)保護(hù)需求，構(gòu)建一個(gè)完整的信息安全保護(hù)體系。分析《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB 17859-1999）》可以看出，信息安全等級(jí)保護(hù)的重點(diǎn)在于內(nèi)網(wǎng)安全措施的建設(shè)和落實(shí)。建立一個(gè)完整的內(nèi)網(wǎng)安全體系，是信息系統(tǒng)在安全等級(jí)保護(hù)工作中的一個(gè)重點(diǎn)?！惫鶈⑷f。

內(nèi)網(wǎng)安全理論的提出主要基于兩個(gè)根本要素，一是企事業(yè)單位業(yè)務(wù)工作的高度信息化，二是內(nèi)網(wǎng)中主機(jī)數(shù)量的大量增加。由此可見，內(nèi)網(wǎng)安全從其誕生之日起，對(duì)主機(jī)系統(tǒng)安全的關(guān)注就從來沒有忽略過，采用了包括身份認(rèn)證、授權(quán)管理和系統(tǒng)保護(hù)等手段對(duì)主機(jī)進(jìn)行了多方面的防護(hù)。這與等級(jí)保護(hù)的思想也是相一致的。

鼎普科技股份有限公司總經(jīng)理于晴認(rèn)為，大多數(shù)用戶網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相似，用戶對(duì)網(wǎng)絡(luò)的安全管理比較一致，但由于用戶使用習(xí)慣的不同，對(duì)終端的管理則千差萬別。

于晴認(rèn)為，內(nèi)網(wǎng)安全領(lǐng)域的關(guān)鍵技術(shù)主要有內(nèi)部網(wǎng)絡(luò)接入、桌面安全管理和內(nèi)網(wǎng)安全審計(jì)等。這些本質(zhì)上的問題，應(yīng)該從系統(tǒng)層面來解決，以信息安全等級(jí)保護(hù)為基礎(chǔ)。內(nèi)部網(wǎng)絡(luò)接入基于等級(jí)保護(hù)技術(shù)，分別從終端自身的安全性評(píng)估，到網(wǎng)絡(luò)地址的合法性，讓信息系統(tǒng)“對(duì)號(hào)入座”。桌面安全管理側(cè)重于桌面使用者的行為安全，對(duì)終端用戶的電腦行為進(jìn)行監(jiān)控、管理與控制，來保障終端的安全。內(nèi)網(wǎng)安全審計(jì)從主機(jī)和網(wǎng)絡(luò)兩個(gè)方面對(duì)網(wǎng)絡(luò)數(shù)據(jù)和系統(tǒng)操作進(jìn)行記錄和恢復(fù)，強(qiáng)調(diào)出現(xiàn)問題后的案情追溯。

篇4

關(guān)鍵詞：等級(jí)防護(hù)；電力企業(yè)；網(wǎng)絡(luò)安全建設(shè)

中圖分類號(hào)： F407 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：

引言

信息化是一把“雙刃劍”，在提高企業(yè)工作效率、管理水平以及整體競(jìng)爭(zhēng)能力的同時(shí)，也給企業(yè)帶來了一定的安全風(fēng)險(xiǎn)，并且伴隨著企業(yè)信息化水平的提高而逐漸增長(zhǎng)。因此，提升企業(yè)的信息系統(tǒng)安全防護(hù)能力，使其滿足國家等級(jí)保護(hù)的規(guī)范性要求，已經(jīng)成為現(xiàn)階段信息化工作的首要任務(wù)。對(duì)于電力企業(yè)的信息系統(tǒng)安全防護(hù)工作而言，應(yīng)等級(jí)保護(hù)要求，將信息管理網(wǎng)絡(luò)劃分為信息內(nèi)網(wǎng)與信息外網(wǎng)，并根據(jù)業(yè)務(wù)的重要性劃分出相應(yīng)的二級(jí)保護(hù)系統(tǒng)與三級(jí)保護(hù)系統(tǒng)，對(duì)三級(jí)系統(tǒng)獨(dú)立成域，其余二級(jí)系統(tǒng)統(tǒng)一成域，并從邊界安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等方面對(duì)不同的安全域?qū)Ψ雷o(hù)要求進(jìn)行明確劃分。

1現(xiàn)階段電力企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

1.1服務(wù)器區(qū)域缺少安全防護(hù)措施

大部分電力企業(yè)的服務(wù)器都是直接接入本單位的核心交換機(jī)，然而各網(wǎng)段網(wǎng)關(guān)都在核心交換機(jī)上，未能對(duì)服務(wù)器區(qū)域采取有效的安全防護(hù)措施。

1.2服務(wù)器區(qū)域和桌面終端區(qū)域之間的劃分不明確

因服務(wù)器和桌面終端的網(wǎng)關(guān)都在核心交換機(jī)上，不能實(shí)現(xiàn)對(duì)于域的有效劃分。

1.3網(wǎng)絡(luò)安全建設(shè)缺乏規(guī)劃

就現(xiàn)階段的電力企業(yè)網(wǎng)絡(luò)安全建設(shè)而言，普遍存在著缺乏整體安全設(shè)計(jì)與規(guī)劃的現(xiàn)狀，使整個(gè)網(wǎng)絡(luò)系統(tǒng)成為了若干個(gè)安全產(chǎn)品的堆砌物，從而使各個(gè)產(chǎn)品之間失去了相應(yīng)的聯(lián)動(dòng)，不僅在很大程度上降低了網(wǎng)絡(luò)的運(yùn)營(yíng)效率，還增加了網(wǎng)絡(luò)的復(fù)雜程度與維護(hù)難度。

1.4系統(tǒng)策略配置有待加強(qiáng)

在信息網(wǎng)絡(luò)中使用的操作系統(tǒng)大都含有相應(yīng)的安全機(jī)制、用戶與目錄權(quán)限設(shè)置以及適當(dāng)?shù)陌踩呗韵到y(tǒng)等，但在實(shí)際的網(wǎng)絡(luò)安裝調(diào)試過程中，往往只使用最寬松的配置，然而對(duì)于安全保密來說卻恰恰相反，要想確保系統(tǒng)的安全，必須遵循最小化原則，沒有必要的策略在網(wǎng)絡(luò)中一律不配置，即使有必要的，也應(yīng)對(duì)其進(jìn)行嚴(yán)格限制。

1.5缺乏相應(yīng)的安全管理機(jī)制

對(duì)于一個(gè)好的電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)而言，安全與管理始終是分不開的。如果只有好的安全設(shè)備與系統(tǒng)而沒有完善的安全管理體系來確保安全管理方法的順利實(shí)施，很難實(shí)現(xiàn)電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)營(yíng)。對(duì)于安全管理工作而言，其目的就是確保網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，并且其自身應(yīng)該具有良好的自我修復(fù)性，一旦發(fā)生黑客事件，能夠在最大程度上挽回?fù)p失。因此，在現(xiàn)階段的企業(yè)網(wǎng)絡(luò)安全建設(shè)工作過程中，應(yīng)當(dāng)制訂出完善的安全檢測(cè)、人員管理、口令管理、策略管理、日志管理等管理方法。

2等級(jí)保護(hù)要求下電力企業(yè)網(wǎng)絡(luò)安全建設(shè)防護(hù)的具體措施

2.1突出保護(hù)重點(diǎn)

對(duì)于電力企業(yè)而言，其投入到信息網(wǎng)絡(luò)安全上的資源是一定的。從另外一種意義上講，當(dāng)一些設(shè)備存在相應(yīng)的安全隱患或者發(fā)生破壞之后，其所產(chǎn)生的后果并不嚴(yán)重，如果投入和其一樣重要的信息資源來保護(hù)它，顯然不滿足科學(xué)性的要求。因此，在保護(hù)工作過程中，應(yīng)對(duì)需要保護(hù)的信息資產(chǎn)進(jìn)行詳細(xì)梳理，以企業(yè)的整體利益為出發(fā)點(diǎn)，確定出重要的信息資產(chǎn)或系統(tǒng)，然后將有限的資源投入到對(duì)于這些重要信息資源的保護(hù)當(dāng)中，在這些重要信息資源得到有效保護(hù)的同時(shí)，還可以使工作效率得到很大程度的提高。

2.2貫徹實(shí)施3層防護(hù)方案

在企業(yè)網(wǎng)絡(luò)安全建設(shè)過程中，應(yīng)充分結(jié)合電力企業(yè)自身網(wǎng)絡(luò)化特點(diǎn)，積極貫徹落實(shí)安全域劃分、邊界安全防護(hù)、網(wǎng)絡(luò)環(huán)境安全防護(hù)的3層防護(hù)設(shè)計(jì)方案。在安全防護(hù)框架的基礎(chǔ)上，實(shí)行分級(jí)、分域與分層防護(hù)的總體策略，以充分實(shí)現(xiàn)國家等級(jí)防護(hù)的基本要求。

(1)分區(qū)分域。統(tǒng)一對(duì)直屬單位的安全域進(jìn)行劃分，以充分實(shí)現(xiàn)對(duì)于不同安全等級(jí)、不同業(yè)務(wù)類型的獨(dú)立化與差異化防護(hù)。

(2)等級(jí)防護(hù)。遵循“二級(jí)系統(tǒng)統(tǒng)一成域，三級(jí)系統(tǒng)獨(dú)立成域”的劃分原則，并根據(jù)信息系統(tǒng)的定級(jí)情況，進(jìn)行等級(jí)安全防護(hù)策略的具體設(shè)計(jì)。

(3)多層防護(hù)。在此項(xiàng)工作的開展過程中，應(yīng)從邊界、網(wǎng)絡(luò)環(huán)境等多個(gè)方面進(jìn)行安全防護(hù)策略的設(shè)計(jì)工作。

2.3加強(qiáng)安全域劃分

安全域是指在同一環(huán)境內(nèi)具有一致安全防護(hù)需求、相互信任且具有相同安全訪問控制與邊界控制的系統(tǒng)。加強(qiáng)對(duì)于安全域的劃分，可以實(shí)現(xiàn)以下目標(biāo)：

(1)實(shí)現(xiàn)對(duì)復(fù)雜問題的分解。對(duì)于信息系統(tǒng)的安全域劃分而言，其目的是將一個(gè)復(fù)雜的安全問題分解成一定數(shù)量小區(qū)域的安全防護(hù)問題。安全區(qū)域劃分可以有效實(shí)現(xiàn)對(duì)于復(fù)雜系統(tǒng)的安全等級(jí)防護(hù)，是實(shí)現(xiàn)重點(diǎn)防護(hù)、分級(jí)防護(hù)的戰(zhàn)略防御理念。

(2)實(shí)現(xiàn)對(duì)于不同系統(tǒng)的差異防護(hù)?；A(chǔ)網(wǎng)絡(luò)服務(wù)、業(yè)務(wù)應(yīng)用、日常辦公終端之間都存在著一定的差異，并且能夠根據(jù)不同的安全防護(hù)需求，實(shí)現(xiàn)對(duì)于不同特性系統(tǒng)的歸類劃分，從而明確各域邊界，對(duì)相應(yīng)的防護(hù)措施進(jìn)行分別考慮。

(3)有效防止安全問題的擴(kuò)散。進(jìn)行安全區(qū)域劃分，可以將其安全問題限定在其所在的安全域內(nèi)，從而有效阻止其向其他安全域的擴(kuò)散。在此項(xiàng)工作的開展過程中，還應(yīng)充分遵循區(qū)域劃分的原則，將直屬單位的網(wǎng)絡(luò)系統(tǒng)統(tǒng)一劃分為相應(yīng)的二級(jí)服務(wù)器域與桌面終端域，并對(duì)其分別進(jìn)行安全防護(hù)管理。在二級(jí)系統(tǒng)服務(wù)器域與桌面域間，采取橫向域間的安全防護(hù)措施，以實(shí)現(xiàn)域間的安全防護(hù)。

2.4加強(qiáng)對(duì)于網(wǎng)絡(luò)邊界安全的防護(hù)

對(duì)于電力企業(yè)的網(wǎng)絡(luò)邊界安全防護(hù)工作而言，其目的是使邊界避免來自外部的攻擊，并有效防止內(nèi)部人員對(duì)外界進(jìn)行攻擊。在安全事件發(fā)生之前，能夠通過對(duì)安全日志與入侵事件的分析，來發(fā)現(xiàn)攻擊企圖，在事件發(fā)生之后可以通過對(duì)入侵事件記錄的分析來進(jìn)行相應(yīng)的審查追蹤。

(1)加強(qiáng)對(duì)于縱向邊界的防護(hù)。在網(wǎng)絡(luò)出口與上級(jí)單位連接處設(shè)立防火墻，以實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)邊界安全的防護(hù)。

(2)加強(qiáng)對(duì)于域間橫向邊界的防護(hù)。此項(xiàng)防護(hù)是針對(duì)各安全區(qū)域通信數(shù)據(jù)流傳輸保護(hù)所制定出的安全防護(hù)措施。在該項(xiàng)工作的開展過程中，應(yīng)根據(jù)網(wǎng)絡(luò)邊界的數(shù)據(jù)流制定出相應(yīng)的訪問控制矩陣，并依此在邊界網(wǎng)絡(luò)訪問控制設(shè)備上設(shè)定相應(yīng)的訪問控制規(guī)則。

2.5加強(qiáng)對(duì)于網(wǎng)絡(luò)環(huán)境的安全防護(hù)

(1)加強(qiáng)邊界入侵檢測(cè)。以網(wǎng)絡(luò)嗅探的方式可以截獲通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，并通過相應(yīng)的特征分析、異常統(tǒng)計(jì)分析等方法，及時(shí)發(fā)現(xiàn)并處理網(wǎng)絡(luò)攻擊與異常安全事件。在此過程中，設(shè)置相應(yīng)的入侵檢測(cè)系統(tǒng)，能夠及時(shí)發(fā)現(xiàn)病毒、蠕蟲、惡意代碼攻擊等威脅，能夠有效提高處理安全問題的效率，從而為安全問題的取證提供有力依據(jù)。

(2)強(qiáng)化網(wǎng)絡(luò)設(shè)備安全加固。安全加固是指在確保業(yè)務(wù)處理正常進(jìn)行的情況下，對(duì)初始配置進(jìn)行相應(yīng)的優(yōu)化，從而提高網(wǎng)絡(luò)系統(tǒng)的自身抗攻擊性。因此，在經(jīng)過相應(yīng)的安全評(píng)估之后，應(yīng)及時(shí)發(fā)現(xiàn)其中隱藏的安全問題，對(duì)重要的網(wǎng)絡(luò)設(shè)備進(jìn)行必要的安全加固。

(3)強(qiáng)化日志審計(jì)配置。在此項(xiàng)工作的開展過程中，應(yīng)根據(jù)國家二級(jí)等級(jí)保護(hù)要求，對(duì)服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備等開啟審計(jì)功能，并對(duì)這些設(shè)備進(jìn)行日志的集中搜索，對(duì)事件進(jìn)行定期分析，以有效實(shí)現(xiàn)對(duì)于信息系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備的日志記錄與分析工作。

結(jié)語

綜上所述，對(duì)于現(xiàn)階段電力企業(yè)信息網(wǎng)絡(luò)而言，網(wǎng)絡(luò)安全建設(shè)是一個(gè)綜合性的課題，涉及到技術(shù)、使用、管理等許多方面，并受到諸多因素的影響。在電力企業(yè)網(wǎng)絡(luò)安全建設(shè)過程中，應(yīng)加強(qiáng)對(duì)于安全防護(hù)管理體系的完善與創(chuàng)新，以嚴(yán)格的管理制度與高素質(zhì)管理人才，實(shí)現(xiàn)對(duì)于信息系統(tǒng)的精細(xì)化、準(zhǔn)確化管理，從而切實(shí)促進(jìn)企業(yè)網(wǎng)絡(luò)安全建設(shè)的健康、穩(wěn)步發(fā)展。

參考文獻(xiàn)：

[1]張蓓，馮梅，靖小偉，劉明新.基于安全域的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系研究[J].計(jì)算機(jī)安全,2010(4).

篇5

 

0 引 言

 

隨著信息化進(jìn)程的不斷加快，計(jì)算機(jī)網(wǎng)絡(luò)已在各個(gè)領(lǐng)域得到廣泛應(yīng)用，并給人類的生產(chǎn)、生活帶來了極大的便利和巨大的經(jīng)濟(jì)效益;但與此同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)安全問題卻日益突出，如何客觀、科學(xué)地評(píng)價(jià)計(jì)算機(jī)網(wǎng)絡(luò)安全已成為計(jì)算機(jī)網(wǎng)絡(luò)安全研究領(lǐng)域的重要課題。針對(duì)此問題，國內(nèi)許多學(xué)者都進(jìn)行了相關(guān)研究并提出了多種評(píng)價(jià)方法，如層次分析法、模糊綜合評(píng)價(jià)法、灰色評(píng)價(jià)法等主觀評(píng)價(jià)方法[1]。主觀評(píng)價(jià)法在確定權(quán)重時(shí)隨意性大，受專家的經(jīng)驗(yàn)和知識(shí)等因素影響，很難得出被廣為認(rèn)可的結(jié)論。鑒于此，很多學(xué)者提出了基于神經(jīng)網(wǎng)絡(luò)的評(píng)價(jià)方法，并取得了較好的評(píng)價(jià)效果[2?5]。

 

但是，神經(jīng)網(wǎng)絡(luò)方法存在一些固有的缺點(diǎn)，如網(wǎng)絡(luò)的結(jié)構(gòu)不好確定、收斂速度慢、易陷入局部極值、過學(xué)習(xí)、推廣能力不強(qiáng)和訓(xùn)練需要大量數(shù)據(jù)樣本等問題。支持向量機(jī)(Support Vector Machine，SVM)是V.Vapnik等人于20世紀(jì)90年代在統(tǒng)計(jì)學(xué)習(xí)理論的基礎(chǔ)上發(fā)展起來的一種新型機(jī)器學(xué)習(xí)算法，其克服了神經(jīng)網(wǎng)絡(luò)方法很多固有的缺點(diǎn)[6]。它通過結(jié)構(gòu)風(fēng)險(xiǎn)最小化準(zhǔn)則較好地解決了以往許多機(jī)器學(xué)習(xí)方法中高維數(shù)、非線性和小樣本等難題，具有訓(xùn)練時(shí)間短、全局優(yōu)化、泛化性能好、適應(yīng)性強(qiáng)和抗干擾能力強(qiáng)等優(yōu)點(diǎn)，在預(yù)測(cè)、模式識(shí)別、系統(tǒng)辨識(shí)、故障診斷、優(yōu)化控制和數(shù)據(jù)挖掘等領(lǐng)域得到了廣泛的應(yīng)用[7]。支持向量回歸機(jī)(Support Vector Regression，SVR)是支持向量機(jī)在回歸領(lǐng)域的應(yīng)用，被廣泛應(yīng)用于各種預(yù)測(cè)問題并取得了非常理想的效果。因此，本文利用支持向量回歸機(jī)來解決計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)問題。

 

1 計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系的構(gòu)建

 

建立科學(xué)、合理的評(píng)價(jià)指標(biāo)體系是進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)的基礎(chǔ)和前提，影響計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)的因素有很多，并且多種因素相互影響。評(píng)價(jià)指標(biāo)過多或過少都會(huì)影響評(píng)價(jià)的效果，評(píng)價(jià)指標(biāo)過多，存在重復(fù)性，會(huì)受干擾;評(píng)價(jià)指標(biāo)過少，可能所選的指標(biāo)缺乏足夠的代表性，會(huì)產(chǎn)生片面性。因此，構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系需要遵循指標(biāo)體系構(gòu)建的有關(guān)原則。

 

1.1 指標(biāo)體系構(gòu)建的原則

 

(1) 系統(tǒng)性原則。指標(biāo)體系應(yīng)能全面反映計(jì)算機(jī)網(wǎng)絡(luò)安全的本質(zhì)特征，指標(biāo)體系的整體評(píng)價(jià)功能大于各分項(xiàng)指標(biāo)的簡(jiǎn)單總和。應(yīng)注意使指標(biāo)體系層次清楚、結(jié)構(gòu)合理、相互關(guān)聯(lián)、協(xié)調(diào)一致，要抓住主要因素，以保證評(píng)價(jià)的全面性和可信度。

 

(2) 一致性原則。評(píng)價(jià)指標(biāo)體系應(yīng)與計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)目標(biāo)一致，從而充分體現(xiàn)評(píng)價(jià)活動(dòng)的意圖，所選的指標(biāo)既能反映直接效果，又要反映間接效果。

 

(3) 獨(dú)立性原則。同層次上的指標(biāo)不應(yīng)具有包含關(guān)系，保證指標(biāo)能從不同方面反映計(jì)算機(jī)網(wǎng)絡(luò)安全的實(shí)際情況。

 

(4) 科學(xué)性原則。以科學(xué)理論為指導(dǎo)，以計(jì)算機(jī)網(wǎng)絡(luò)安全要素以及其本質(zhì)聯(lián)系為依據(jù)，定性與定量分析相結(jié)合，正確反映計(jì)算機(jī)網(wǎng)絡(luò)安全整體和內(nèi)部相互關(guān)系的特征。

 

(5) 可比性原則。計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)的指標(biāo)體系可比性越強(qiáng)，評(píng)價(jià)結(jié)果的可信度就越大。評(píng)價(jià)指標(biāo)和評(píng)價(jià)標(biāo)準(zhǔn)的制定要符合客觀實(shí)際，便于比較。

 

1.2 計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系本文在深入分析計(jì)算機(jī)網(wǎng)絡(luò)安全影響因素的基礎(chǔ)上，根據(jù)指標(biāo)體系構(gòu)建的原則，從管理安全、邏輯安全和物理安全角度出發(fā)，構(gòu)建了如圖1所示的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系。為了便于分析計(jì)算，管理安全、邏輯安全和物理安全三個(gè)二級(jí)指標(biāo)分別用A，B，C代替，二級(jí)指標(biāo)下的三級(jí)指標(biāo)分別用A1～A4，B1～B9和C1～C6代替。

 

2 計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)的規(guī)范化和安全等級(jí)

 

在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)前，必須對(duì)通過各種方法得到的指標(biāo)值進(jìn)行規(guī)范化處理。指標(biāo)包括定性指標(biāo)和定量指標(biāo)。一般來說，定性指標(biāo)和定量指標(biāo)的規(guī)范化方法有所不同。對(duì)于定性指標(biāo)，由于其可能取值有多種，一般是通過建立一一映射或定性等級(jí)量化表來進(jìn)行規(guī)范化;對(duì)于定量指標(biāo)，一般是把指標(biāo)值映射為上、下限分別為1和0的實(shí)數(shù)，這種數(shù)學(xué)變換關(guān)系是一個(gè)從實(shí)數(shù)集[R]到[0，1]的函數(shù)，稱為指標(biāo)的規(guī)范化函數(shù)。定性指標(biāo)也叫模糊性指標(biāo)，通過專家打分可以將定性指標(biāo)轉(zhuǎn)化為確定指標(biāo)，這種方法在實(shí)踐中經(jīng)常被采用。定性指標(biāo)的規(guī)范化方法最終歸結(jié)為兩種途徑：一是轉(zhuǎn)化為確定的定量值;二是采用模糊數(shù)或區(qū)間數(shù)的形式表示。本文采取專家打分的方式來評(píng)價(jià)定性指標(biāo)，然后將各分值規(guī)范化為0～1之間的數(shù)值。對(duì)于定量指標(biāo)，考慮到指標(biāo)體系中的定量指標(biāo)均為效益型指標(biāo)，因此可以利用式(1)進(jìn)行規(guī)范化處理。

 

3 支持向量回歸機(jī)算法

 

4 基于支持向量回歸機(jī)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)

 

模型

 

以上構(gòu)建了計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系，提出了指標(biāo)的規(guī)范化方法和安全等級(jí)的劃分方式，在此基礎(chǔ)上，可以構(gòu)建如圖2所示的基于支持向量回歸機(jī)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)模型。

 

5 仿真實(shí)例

 

為了驗(yàn)證所構(gòu)建的基于支持向量回歸機(jī)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)模型的有效性，收集了10組計(jì)算機(jī)網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)作為樣本，如表2所示。其中前8組數(shù)據(jù)作為訓(xùn)練樣本，后2組數(shù)據(jù)作為校驗(yàn)樣本。采用Matlab 7.0.1軟件并調(diào)用支持向量機(jī)工具箱，編寫基于支持向量回歸機(jī)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)模型，通過對(duì)訓(xùn)練樣本進(jìn)行訓(xùn)練，最終將支持向量回歸機(jī)的相關(guān)參數(shù)分別設(shè)置為：不敏感值[ε]=0.001，正則化參數(shù)[C=1 000，]徑向基核函數(shù)的寬度參數(shù)[σ=8]。

 

經(jīng)過計(jì)算，可以得出如表3所示的5～8組訓(xùn)練樣本的預(yù)測(cè)誤差，從中可以看出，所建立的基于支持向量回歸機(jī)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)模型的訓(xùn)練效果非常好，4組訓(xùn)練樣本的絕對(duì)誤差均為0.000 1，平均絕對(duì)誤差僅為0.022 7%，準(zhǔn)確性較高。為了檢驗(yàn)所建立的評(píng)價(jià)模型的泛化能力，對(duì)后2組樣本進(jìn)行預(yù)測(cè)，所得結(jié)果和誤差也列于表3。通過計(jì)算得到校驗(yàn)樣本的平均絕對(duì)誤差為0.005 8%，遠(yuǎn)小于文獻(xiàn)[4]提出的PSO?BP神經(jīng)網(wǎng)絡(luò)模型所預(yù)測(cè)的平均絕對(duì)誤差0.022%，也小于文獻(xiàn)[3]提出的改進(jìn)型BP神經(jīng)網(wǎng)絡(luò)模型所預(yù)測(cè)的平均絕對(duì)誤差0.01%，這說明本文所建立的評(píng)價(jià)模型具有較強(qiáng)的泛化能力，預(yù)測(cè)的準(zhǔn)確性較高。

 

6 結(jié) 論

 

如何科學(xué)有效地對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全等級(jí)進(jìn)行評(píng)價(jià)，并根據(jù)評(píng)價(jià)結(jié)果對(duì)安全等級(jí)較低的計(jì)算機(jī)網(wǎng)絡(luò)采取有效措施以提高安全等級(jí)，最大限度地降低安全風(fēng)險(xiǎn)和可能帶來的損失，是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全研究領(lǐng)域的熱點(diǎn)問題。本文針對(duì)以往計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)模型尤其是神經(jīng)網(wǎng)絡(luò)評(píng)價(jià)模型存在的不足，建立了計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系，提出了一種基于支持向量回歸機(jī)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)方法。仿真實(shí)例的預(yù)測(cè)結(jié)果表明，建立的基于支持向量回歸機(jī)的計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)模型具有較強(qiáng)的泛化能力和較高的預(yù)測(cè)精度，為計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)提供了一種新的評(píng)價(jià)方法。

篇6

關(guān)鍵詞：堡壘主機(jī)；內(nèi)控管理；運(yùn)維審計(jì)；實(shí)踐案例

中圖分類號(hào)： TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）05（c）-0000-00

近年來，筆者所在民航系統(tǒng)內(nèi)的信息化水平正在逐步從初級(jí)應(yīng)用階段發(fā)展至高級(jí)應(yīng)用階段，而伴隨著這個(gè)過程產(chǎn)生的信息化應(yīng)用與信息安全管理的矛盾也愈發(fā)突出[1]。筆者所在單位近年來在局域網(wǎng)內(nèi)先后部署了多項(xiàng)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)分析產(chǎn)品，已經(jīng)形成了較為完善的信息安全防護(hù)體系，主要技術(shù)人員也積累了運(yùn)維經(jīng)驗(yàn)。但信息系統(tǒng)故障等網(wǎng)絡(luò)安全問題仍然時(shí)有發(fā)生。通過分析故障產(chǎn)生的原因，發(fā)現(xiàn)大部分違規(guī)行為竟然來源于一些合法用戶的例行操作。傳統(tǒng)意義的安全防護(hù)系統(tǒng)可以從技術(shù)角度解決一些潛在的安全問題，但對(duì)于內(nèi)部人員操作的管理手段不完善帶來的數(shù)據(jù)破壞和泄露可能比技術(shù)原因造成的損害更為嚴(yán)重。

國家公安部《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中明確規(guī)定了二級(jí)（含）以上的重要信息系統(tǒng)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全都需要具備安全審計(jì)功能[2]，所以，根據(jù)等級(jí)保護(hù)要求以及本單位的實(shí)際情況，我們迫切需要一種有效的手段來對(duì)內(nèi)部人員的設(shè)備維護(hù)行為進(jìn)行控制和審計(jì)，解決信息安全管理中遇到的難題。難題具體體現(xiàn)在：運(yùn)維權(quán)限分配復(fù)雜、系統(tǒng)密碼管理不足、操作風(fēng)險(xiǎn)難以控制、共享賬號(hào)安全隱患、系統(tǒng)資源授權(quán)不清晰、訪問控制策略不嚴(yán)格、重要操作無法有效審計(jì)等。而以上這些信息安全問題，通過引入內(nèi)控堡壘主機(jī)并結(jié)合管理措施之后基本得到了有效解決。

1 內(nèi)控堡壘主機(jī)介紹

1.1 什么是內(nèi)控堡壘主機(jī)？

最早的堡壘主機(jī)主要定位于防御外部進(jìn)攻[3]。通過將其部署在防火墻或路由器之外，可以使那些需要面向外部的服務(wù)集中于堡壘主機(jī)上進(jìn)行集中保護(hù)，以此來換取內(nèi)部網(wǎng)絡(luò)的安全。

而隨著信息化應(yīng)用的日趨復(fù)雜，由被動(dòng)防御型的堡壘主機(jī)發(fā)展出來了更加偏重于對(duì)內(nèi)部網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)進(jìn)行綜合安全保護(hù)的管理控制平臺(tái)，也就是我們所說的內(nèi)控堡壘主機(jī)。它從網(wǎng)絡(luò)內(nèi)部出發(fā)，通過多種信息安全技術(shù)（訪問控制、身份認(rèn)證、虛擬化、協(xié)議、操作審計(jì)等）實(shí)現(xiàn)用戶對(duì)內(nèi)部網(wǎng)絡(luò)資源的安全訪問，同時(shí)對(duì)用戶的操作過程形成完整的審計(jì)記錄。這樣的內(nèi)控平臺(tái)正可以有效地解決我們?cè)谌粘＿\(yùn)維和內(nèi)控管理中遇到的難題。

1.2 功能特點(diǎn)

1.2.1 設(shè)備的集中管控

內(nèi)控堡壘主機(jī)可以將服務(wù)器和網(wǎng)絡(luò)設(shè)備的信息，以及用戶信息和訪問權(quán)限提前配置在堡壘主機(jī)中，這樣便從傳統(tǒng)的分布式管理模式轉(zhuǎn)變成可控的集中式管理模式，以此為基礎(chǔ)帶來了設(shè)備管理效率和安全穩(wěn)定性的提升。

1.2.2 操作的集中審計(jì)

內(nèi)控堡壘主機(jī)通過協(xié)議的方式，將原來從某臺(tái)內(nèi)網(wǎng)終端直接通過遠(yuǎn)程連接對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行操作的不可控的分散管理方式，轉(zhuǎn)變成為了用戶必須集中至堡壘主機(jī)的統(tǒng)一入口再對(duì)有授權(quán)的設(shè)備進(jìn)行操作。而全部操作都通過協(xié)議錄制得到記錄，實(shí)現(xiàn)了精細(xì)化的集中操作審計(jì)。

總之，內(nèi)控堡壘主機(jī)結(jié)合了傳統(tǒng)的4A 理念，即賬號(hào)管理、認(rèn)證管理、授權(quán)管理、安全審計(jì)，與應(yīng)用技術(shù)，形成了一個(gè)完善且可控的遠(yuǎn)程接入解決方案。一方面，統(tǒng)一身份認(rèn)證和統(tǒng)一訪問授權(quán)使得遠(yuǎn)程接入用戶需要通過多種身份認(rèn)證手段以及基于角色的授權(quán)管理才可以接入設(shè)備，滿足了信息安全等級(jí)保護(hù)的要求；另一方面，全面的審計(jì)功能讓管理員不但可以完整錄制會(huì)話過程，還可以實(shí)時(shí)監(jiān)視遠(yuǎn)程訪問會(huì)話并及時(shí)終止非法操作。

2 制定解決方案

2.1 信息安全等級(jí)保護(hù)要求

根據(jù)信息安全等級(jí)保護(hù)第三級(jí)[4]的相關(guān)要求制定內(nèi)控堡壘主機(jī)的解決方案，可以滿足在要求中涉及到的網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)五項(xiàng)技術(shù)方面的要求，以及安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)運(yùn)維管理三項(xiàng)管理方面的要求。根據(jù)要求中的內(nèi)容以及內(nèi)控堡壘主機(jī)針對(duì)每一項(xiàng)提供的解決方案，整理如下表1。

2.2 設(shè)計(jì)原則

2.2.1 整體安全和全網(wǎng)統(tǒng)一的原則

資源訪問的安全設(shè)計(jì)需要綜合考慮信息網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)和全部實(shí)體，然后在不同層次上綜合使用多種安全手段，為內(nèi)部信息網(wǎng)絡(luò)和安全業(yè)務(wù)提供管理和服務(wù)。

2.2.2 標(biāo)準(zhǔn)化原則

項(xiàng)目的安全體系設(shè)計(jì)嚴(yán)格遵循了國家標(biāo)準(zhǔn)，如《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》。在達(dá)到標(biāo)準(zhǔn)要求的同時(shí)能夠使企業(yè)內(nèi)部的信息系統(tǒng)在可控范圍內(nèi)實(shí)現(xiàn)安全的互聯(lián)互通。

2.2.3 需求、風(fēng)險(xiǎn)、成本平衡原則

任何信息系統(tǒng)都無法做到絕對(duì)安全，所以設(shè)計(jì)時(shí)就需要明確性能要求以及側(cè)重點(diǎn)，然后從需求出發(fā)，在功能、風(fēng)險(xiǎn)和成本之間進(jìn)行平衡和折中[5]。

2.2.4 實(shí)用、高效、可擴(kuò)展原則

無論現(xiàn)狀如何，隨著技術(shù)發(fā)展信息系統(tǒng)仍將不斷變化，哪怕在系統(tǒng)實(shí)施過程中，系統(tǒng)的結(jié)構(gòu)、配置也會(huì)發(fā)生變化。所以系統(tǒng)需要有一定的靈活性來適應(yīng)這些變化，使其符合“有層次、成體系”的標(biāo)準(zhǔn)，既有利于系統(tǒng)安全，又有利于擴(kuò)展。

2.2.5 技術(shù)、管理相結(jié)合原則

為了使內(nèi)控堡壘主機(jī)可以發(fā)揮其應(yīng)有的效果，管理者必須首先根據(jù)系統(tǒng)的功能特點(diǎn)來重新梳理和完善現(xiàn)有的運(yùn)行管理機(jī)制和安全規(guī)章制度，同時(shí)對(duì)技術(shù)人員進(jìn)行思想教育和技術(shù)培訓(xùn)。通過合理的規(guī)定和具體培訓(xùn)，才能完成系統(tǒng)的應(yīng)用。

2.3 設(shè)計(jì)思路

2.3.1 集中管理模式

管理模式?jīng)Q定了管理的高度，所以明確管理模式應(yīng)當(dāng)是我們要確定首要因素。根據(jù)多年的運(yùn)維實(shí)踐發(fā)現(xiàn)，我們對(duì)維護(hù)人員及其操作的管理手段并未伴隨著信息化進(jìn)程的推進(jìn)而得到加強(qiáng)，這樣導(dǎo)致了人為因素造成的運(yùn)行故障比例居高不下，缺少有效的審計(jì)手段。因此迫使我們必須由分散的管理模式轉(zhuǎn)變?yōu)榧械墓芾砟Ｊ?。集中管理是運(yùn)維管理思想的必然發(fā)展趨勢(shì)和唯一選擇[6]。通常，集中管理包括：集中的資源訪問入口、集中的賬號(hào)管理、集中的授權(quán)管理、集中的認(rèn)證管理、集中的審計(jì)管理等等。

2.3.2 訪問協(xié)議

內(nèi)控堡壘主機(jī)通過對(duì)各平臺(tái)所使用的協(xié)議進(jìn)行來實(shí)現(xiàn)對(duì)操作行為的審計(jì)和監(jiān)控[7]。比如SSH、TELNET、FTP、RDP、VNC等等Windows或Linux平臺(tái)上的訪問協(xié)議。

2.3.3 身份授權(quán)分離

為避免傳統(tǒng)方式的共享賬號(hào)、弱口令賬號(hào)等問題導(dǎo)致的安全漏洞，我們的解決思路是將身份和授權(quán)分離。首先建立用于身份認(rèn)證的獨(dú)立賬號(hào)體系，然后保留各系統(tǒng)賬號(hào)但使其由堡壘主機(jī)接管并定期更新密碼，使得被管理設(shè)備本身的系統(tǒng)賬號(hào)僅用于系統(tǒng)授權(quán)而剝離其身份認(rèn)證功能，有效增強(qiáng)了身份認(rèn)證和系統(tǒng)授權(quán)的可靠性。

2.4 系統(tǒng)構(gòu)架

我們部署的內(nèi)控堡壘主機(jī)由展現(xiàn)層、核心服務(wù)層、接口管理層三層結(jié)構(gòu)組成。

展現(xiàn)層面向用戶，集成了多種包括匙扣令牌在內(nèi)的強(qiáng)身份認(rèn)證方式，分別對(duì)系統(tǒng)管理員和運(yùn)維用戶提供不同的訪問操作頁面。

核心服務(wù)層面向授權(quán)和協(xié)議，部署在服務(wù)器上。在核心服務(wù)層上完成賬號(hào)管理、授權(quán)管理及策略設(shè)置等操作。其中的協(xié)議包含用戶輸入模塊、命令捕獲引擎、策略控制和日志服務(wù)，所以具備對(duì)用戶行為進(jìn)行監(jiān)視、控制和記錄的功能。

接口管理層面向個(gè)信息系統(tǒng)，用于實(shí)現(xiàn)審計(jì)結(jié)合、賬號(hào)同步、認(rèn)證結(jié)合等方面的數(shù)據(jù)接口工作。另外它還包含應(yīng)用服務(wù)，以此來實(shí)現(xiàn)對(duì)B/S、C/S、半B/S半C/S系統(tǒng)的單點(diǎn)登錄及審計(jì)工作。

3 內(nèi)控堡壘主機(jī)的實(shí)施

系統(tǒng)的實(shí)施過程中，我們將堡壘主機(jī)及其應(yīng)用服務(wù)器的部署位置單獨(dú)剝離開劃分為管理區(qū)，把內(nèi)部網(wǎng)絡(luò)的其他設(shè)備如服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等等劃分為業(yè)務(wù)區(qū)。在內(nèi)控堡壘主機(jī)部署上架后，運(yùn)維人員將集中通過內(nèi)控堡壘主機(jī)對(duì)業(yè)務(wù)區(qū)的目標(biāo)設(shè)備進(jìn)行日常運(yùn)維操作。

設(shè)備上架后，我們需要通過防火墻策略配置解除客戶端到堡壘主機(jī)及堡壘主機(jī)到目標(biāo)服務(wù)器的端口限制。這樣當(dāng)用戶訪問設(shè)備時(shí)，堡壘主機(jī)才可以完成對(duì)TELNET（端口23）、SSH（端口22）、RDP（端口3389）等協(xié)議的訪問具體設(shè)備，并在堡壘主機(jī)上完成對(duì)設(shè)備的單點(diǎn)登錄及會(huì)話的完整審計(jì)。

4 結(jié)語

在信息化水平快速發(fā)展的今天，技術(shù)發(fā)展與管理模式相輔相成。信息安全不僅需要先進(jìn)的設(shè)備和嫻熟的技術(shù)，更需要完善的制度和審計(jì)手段。內(nèi)控堡壘主機(jī)的實(shí)施切實(shí)有效地規(guī)范了內(nèi)外部維護(hù)人員對(duì)IT基礎(chǔ)設(shè)施的維護(hù)行為，彌補(bǔ)了操作審計(jì)空白。它通過集中管理的模式，借助于協(xié)議、身份授權(quán)分離等技術(shù)，極大地減少了維護(hù)人員誤操作或惡意操作的概率，縮短了故障定位時(shí)間。這次內(nèi)控堡壘主機(jī)的實(shí)施完善了筆者所在單位的信息安全保護(hù)體系，將有助于提高信息系統(tǒng)運(yùn)行的安全性和穩(wěn)定性。

參考文獻(xiàn)：

[1]潘玉. 新一代堡壘主機(jī)[J]. 信息安全與通信保密，2011，05：45.

[2]韓榮杰，于曉誼. 基于堡壘主機(jī)概念的運(yùn)維審計(jì)系統(tǒng)[J]. 信息化建設(shè)，2012，01：56-59.

[3]趙瑞霞，王會(huì)平. 構(gòu)建堡壘主機(jī)抵御網(wǎng)絡(luò)攻擊[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010，08：26-27.

[4] 公安部信息安全等級(jí)保護(hù)評(píng)估中心. GB/T 22239-2008， 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S]. 北京：中國標(biāo)準(zhǔn)出版社，2008.

[5]韓海航，王久輝. 大型交通網(wǎng)絡(luò)系統(tǒng)安全保障體系研究[J]. 計(jì)算機(jī)安全，2007，10：77-80.

[6]吳國良. 面向NGB的網(wǎng)絡(luò)與信息管控建設(shè)[J]. 廣播與電視技術(shù)，2013，10：28+30-33.

[7]陳旭. IT運(yùn)維操作管理有效降低企業(yè)風(fēng)險(xiǎn)[J]. 高科技與產(chǎn)業(yè)化，2010，05：116-119.

篇7

信息安全作為國家安全的重要組成部分,是一項(xiàng)關(guān)系全局的戰(zhàn)略任務(wù),具有極端的重要性、緊迫性、長(zhǎng)期性和復(fù)雜性?？梢哉f,目前我國信息安全產(chǎn)業(yè)是通過等級(jí)保護(hù)、可信計(jì)算和產(chǎn)業(yè)化發(fā)展相互結(jié)合,實(shí)現(xiàn)網(wǎng)絡(luò)虛擬世界秩序的安全和可信。

產(chǎn)業(yè)化成為重點(diǎn)

中國的信息安全產(chǎn)業(yè)僅有二十多年歷史,快速發(fā)展也只是近十年的事,尚存諸多不足。在互聯(lián)網(wǎng)應(yīng)用與普及方面,我國已經(jīng)進(jìn)入了世界大國的行列,因此我國的信息安全問題與國際上的問題基本一樣。

中國工程院院士方濱興認(rèn)為,我國在網(wǎng)絡(luò)安全方面的解決策略是政府重在行動(dòng),企業(yè)重在引導(dǎo),公眾重在宣傳。就是說,凡是政府信息系統(tǒng),必須接受信息系統(tǒng)安全等級(jí)保護(hù)條例的約束,以行政的手段來強(qiáng)化信息系統(tǒng)的安全。凡是企業(yè)的系統(tǒng),通過對(duì)信息安全產(chǎn)品的市場(chǎng)準(zhǔn)入制度,以保證企業(yè)所采用的信息安全防護(hù)手段符合國家的引導(dǎo)思路。公眾方面則通過對(duì)網(wǎng)絡(luò)安全方面的廣泛宣傳,讓公眾對(duì)網(wǎng)絡(luò)安全具有正確的認(rèn)識(shí),從而提高相應(yīng)的防范能力。

據(jù)悉,教育部、公安部、工業(yè)和信息化部、國家標(biāo)準(zhǔn)化管理委員會(huì)等單位已經(jīng)將“為國家信息化建設(shè)及國家信息安全基礎(chǔ)設(shè)施提供支撐的信息安全產(chǎn)品產(chǎn)業(yè)化”作為2009年信息安全重點(diǎn)工作。其中涉及到四個(gè)方面:

1.重點(diǎn)支持基于國產(chǎn)可信計(jì)算芯片的安全應(yīng)用產(chǎn)品,以及基于自主密碼技術(shù)的高性能集成應(yīng)用產(chǎn)品的產(chǎn)業(yè)化。

2.重點(diǎn)支持移動(dòng)存儲(chǔ)介質(zhì)保密管理、惡意代碼防治、電子文檔安全管理、網(wǎng)絡(luò)數(shù)字版權(quán)保護(hù)、電子數(shù)據(jù)取證、安全保密檢查等產(chǎn)品,移動(dòng)終端、桌面終端安全防護(hù)等計(jì)算機(jī)安全保護(hù)產(chǎn)品,以及面向無線網(wǎng)絡(luò)的安全管理與安全應(yīng)用產(chǎn)品的產(chǎn)業(yè)化。

3.重點(diǎn)支持安全操作系統(tǒng)、安全數(shù)據(jù)庫、安全中間件、安全服務(wù)器、安全接入設(shè)備、安全存儲(chǔ)、容災(zāi)備份軟件、安全辦公軟件等產(chǎn)品的產(chǎn)業(yè)化。

4.重點(diǎn)支持高性能專用安全芯片和專用安全設(shè)備,以及適用于新一代網(wǎng)絡(luò)環(huán)境的具有高性能、多安全功能的軟硬件集成化產(chǎn)品的產(chǎn)業(yè)化。

技術(shù)成果的產(chǎn)業(yè)化過程應(yīng)當(dāng)是一個(gè)市場(chǎng)化、社會(huì)化的過程。將核心技術(shù)產(chǎn)品產(chǎn)業(yè)化地發(fā)展,推動(dòng)產(chǎn)業(yè)結(jié)構(gòu)升級(jí),是提升核心技術(shù)發(fā)展的破局之舉。

可信計(jì)算成為標(biāo)尺

雖然我國的信息化技術(shù)同國際先進(jìn)技術(shù)相比,存在一定的差距。但是,中國和國際上其他組織幾乎是同步在進(jìn)行可信計(jì)算平臺(tái)的研究和部署工作。其中,部署可信計(jì)算體系中,密碼技術(shù)是最重要的核心技術(shù)。

絕對(duì)的信息安全是不存在的,但信息安全卻存在著一種終極的理想狀態(tài),那就是:進(jìn)不去、看不見、拿不走和賴不掉?？偨Y(jié)起來,這12字方針的目標(biāo)就是可信計(jì)算。

中國可信計(jì)算工作組組長(zhǎng)、中科院軟件所副總工程師馮登國介紹,可信計(jì)算的基礎(chǔ)是在每個(gè)終端平臺(tái)上植入一個(gè)信任根,讓PC從BIOS到操作系統(tǒng)內(nèi)核層,再到應(yīng)用層,均構(gòu)建信任關(guān)系,由此建立一個(gè)能在網(wǎng)絡(luò)上廣泛傳遞的信任鏈。這樣,人們將夢(mèng)想進(jìn)入一個(gè)計(jì)算免疫的時(shí)代――終端被攻擊時(shí)可以實(shí)現(xiàn)自我保護(hù)、自我管理和自我恢復(fù)。

可以說,可信計(jì)算根就像是一把丈量計(jì)算機(jī)可信度的標(biāo)尺。它會(huì)在啟動(dòng)之初對(duì)計(jì)算機(jī)系統(tǒng)上所有的運(yùn)行軟件進(jìn)行可信性(完整性)分析,由此判定它們是否被非授權(quán)篡改。若判定不可信則阻止該軟件運(yùn)行,并自動(dòng)恢復(fù)其合法的版本。所以,計(jì)算機(jī)一旦嵌入了該技術(shù),即可在啟動(dòng)操作系統(tǒng)時(shí)發(fā)現(xiàn)內(nèi)核已改,并根據(jù)用戶需求進(jìn)行阻止和恢復(fù)。

中國可信計(jì)算工作組發(fā)言人劉曉宇說,隨著《可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范》等一系列國家政策的出臺(tái)與推動(dòng),以可信密碼模塊為TCM核心的PC、筆記本電腦、服務(wù)器、加密機(jī)等系列產(chǎn)品和解決方案,將逐步被我國政府/軍隊(duì)、制造、金融、企業(yè)/科研、公共機(jī)構(gòu)、航天等行業(yè)在IT領(lǐng)域廣泛采用。

劉曉宇說,我國自主研發(fā)的可信技術(shù)從芯片到PC硬件到系統(tǒng)/應(yīng)用軟件以及CA認(rèn)證,早已形成了一條初具規(guī)模的完整產(chǎn)業(yè)鏈。

馮登國表示:“2009年將是中國可信計(jì)算蓬勃發(fā)展的一年,為打造更為強(qiáng)大的可信計(jì)算體系,中國可信計(jì)算工作組將優(yōu)化和完善TCM硬件平臺(tái),還將致力于打通產(chǎn)、學(xué)、研之間的一切壁壘,促進(jìn)業(yè)內(nèi)同行實(shí)質(zhì)性的合作交流?！?/p>

等級(jí)保護(hù)推力強(qiáng)勁

信息安全等級(jí)保護(hù),是這幾年聽到最多的詞之一。從1994年國務(wù)院147號(hào)令至今,已經(jīng)過去了15年。這些年間我國在信息安全領(lǐng)域已經(jīng)制定了數(shù)十個(gè)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),初步形成了信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系。

方濱興說,目前,政府在信息系統(tǒng)等級(jí)保護(hù)方面加大了推進(jìn)力度,已經(jīng)完成了等級(jí)保護(hù)的定級(jí)工作,接下來的工作就是采取有效措施來實(shí)施信息系統(tǒng)的安全等級(jí)保護(hù)技術(shù)。等級(jí)保護(hù)的大力推動(dòng),一方面在國際上展示了我國政府對(duì)信息安全和網(wǎng)絡(luò)安全的管理決心;另一方面,等級(jí)管理制度的建立,突破了我國慣性思維的管理理念。

隨著工業(yè)和信息化部的成立,公安部與工業(yè)和信息化部在信息系統(tǒng)等級(jí)保護(hù)管理方面出現(xiàn)了職能交叉,因此,等級(jí)保護(hù)工作的進(jìn)一步開展將取決于兩個(gè)部委的有效協(xié)調(diào)和合作。

2003年,國家出臺(tái)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(簡(jiǎn)稱“27號(hào)文件”),明確要求我國信息安全保障工作實(shí)行等級(jí)保護(hù)制度,2007年出臺(tái)《信息安全等級(jí)保護(hù)管理辦法》(簡(jiǎn)稱“43號(hào)文件”)。隨著兩項(xiàng)標(biāo)志性文件的下發(fā),2007年被稱為等級(jí)保護(hù)的啟動(dòng)元年;由于要對(duì)現(xiàn)有信息安全系統(tǒng)進(jìn)行加固,大量產(chǎn)品和服務(wù)采購開始,2008年被普遍視為等級(jí)保護(hù)采購元年;更有業(yè)內(nèi)人士說,2009年等級(jí)保護(hù)的好戲才真正上演。

“當(dāng)前的信息與網(wǎng)絡(luò)安全研究,處在忙于封堵現(xiàn)有信息系統(tǒng)安全漏洞的階段?！惫膊烤W(wǎng)絡(luò)安全保衛(wèi)局處長(zhǎng)郭啟全認(rèn)為,“要徹底解決這些迫在眉睫的問題,歸根結(jié)底取決于信息安全保障體系的建設(shè)。目前,我們迫切需要根據(jù)國情,從安全體系整體著手,在建立全方位的防護(hù)體系的同時(shí),完善法律體系,并加強(qiáng)管理體系。只有這樣,才能保證國家信息化的健康發(fā)展,確保國家安全和社會(huì)穩(wěn)定。”

“事實(shí)上,信息安全等級(jí)保護(hù)的核心思想就是根據(jù)不同的信息系統(tǒng)保護(hù)需求,構(gòu)建一個(gè)完整的信息安全保護(hù)體系。分析《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB 17859-1999)》可以看出,信息安全等級(jí)保護(hù)的重點(diǎn)在于內(nèi)網(wǎng)安全措施的建設(shè)和落實(shí)。建立一個(gè)完整的內(nèi)網(wǎng)安全體系,是信息系統(tǒng)在安全等級(jí)保護(hù)工作中的一個(gè)重點(diǎn)?！惫鶈⑷f。

篇8

關(guān)鍵詞：堡壘主機(jī)；信息系統(tǒng)安全；集中授權(quán)；運(yùn)營(yíng)維護(hù)

0 引言

2008年中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局了GB/T 22239-2008《信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)基本要求》后，信息安全等級(jí)保護(hù)制度已經(jīng)成為我國信息安全保護(hù)工作的基本國策，實(shí)行信息安全等級(jí)保護(hù)具有重大的現(xiàn)實(shí)和戰(zhàn)略意義。

根據(jù)公安部的相關(guān)文獻(xiàn)，從近些年來年來等級(jí)保護(hù)安全測(cè)評(píng)的結(jié)果分析中可以看出，信息系統(tǒng)中容易出問題的部分主要是賬號(hào)管理、權(quán)限管理和審計(jì)分析等幾個(gè)方面。例如：多人共用一個(gè)賬號(hào)；用戶權(quán)限分配沒有遵循最小化原則；未限制設(shè)備管理方式；未開啟審計(jì)或未進(jìn)行審計(jì)分析等。

為解決上述問題，可以通過修改服務(wù)器配置信息以及網(wǎng)絡(luò)設(shè)備的配置可以進(jìn)行防范，隨著智能終端的出現(xiàn)，網(wǎng)絡(luò)傳播技術(shù)的不斷提高，交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的管理將便捷許多，操作人員可以通過網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程操作。然而，由于復(fù)雜的網(wǎng)絡(luò)環(huán)境存在著大量的潛在攻擊行為，在方便快捷的同時(shí)，操作人員通過網(wǎng)絡(luò)與網(wǎng)絡(luò)設(shè)備通信存在著嚴(yán)重的安全隱患。針對(duì)這種情況，需要對(duì)現(xiàn)有服務(wù)器進(jìn)行改造，涉及到大量信息系統(tǒng)的安全維護(hù)操作，其復(fù)雜性和環(huán)境的不確定性造成這種方式的實(shí)施起來極其困難。

1 企業(yè)應(yīng)用中的安全問題

在企業(yè)應(yīng)用中，目標(biāo)設(shè)備之間通過互聯(lián)網(wǎng)絡(luò)進(jìn)行通訊，操作人員也通過互聯(lián)網(wǎng)遠(yuǎn)程訪問目標(biāo)設(shè)備。

目標(biāo)設(shè)備需要對(duì)操作人員開放相應(yīng)的接口，由于互聯(lián)網(wǎng)的開放性，非法操作人員或潛在非法操作人員很容易通過相應(yīng)的接口登入系統(tǒng)進(jìn)行操作，給網(wǎng)絡(luò)安全帶來隱患。

通過對(duì)現(xiàn)有系統(tǒng)在應(yīng)用中出現(xiàn)問題進(jìn)行分析，目前系統(tǒng)中存在的安全隱患主要有：（1）存在潛在非法操作人員對(duì)網(wǎng)絡(luò)終端進(jìn)行非法操作；（2）目標(biāo)設(shè)備與操作人員無法進(jìn)行統(tǒng)一管理；（3）操作人員的誤操作無法有效避免；（4）操作人員的操作記錄歷史追蹤無法實(shí)現(xiàn)。

通過對(duì)現(xiàn)有信息系統(tǒng)以及網(wǎng)絡(luò)安全需求分析，結(jié)合企業(yè)現(xiàn)狀，選取部署相關(guān)安全產(chǎn)品到網(wǎng)絡(luò)中，作為安全模塊對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行安全保護(hù)，即堡壘主機(jī)。

2 堡壘主機(jī)

堡壘主機(jī)是一種運(yùn)維管理系統(tǒng)，可以完成賬戶管理、授權(quán)管理和綜合審計(jì)等功能，完成集中認(rèn)證和運(yùn)維審計(jì)的作用。該類產(chǎn)品對(duì)操作人員提供多種遠(yuǎn)程管理方式，并能夠?qū)Σ僮魅藛T以遠(yuǎn)程方式對(duì)服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫的操作行為過程進(jìn)行監(jiān)控和審計(jì)管理，以及對(duì)違規(guī)操作行為進(jìn)行實(shí)時(shí)報(bào)警、阻斷。通過堡壘主機(jī)可以有效的提高操作人員與網(wǎng)絡(luò)設(shè)備之間通信的安全性，并且可以對(duì)操作人員及遠(yuǎn)程操作進(jìn)行集中管理，在確保通信安全的基礎(chǔ)上，實(shí)現(xiàn)管理的統(tǒng)一。

本文所述的堡壘主機(jī)產(chǎn)品為軟件堡壘主機(jī)，沒有運(yùn)輸成本，部署簡(jiǎn)單，升級(jí)簡(jiǎn)便，性能及功能可定制。在部署前，僅需要找到一臺(tái)信任主機(jī)即可。堡壘主機(jī)被部署到內(nèi)網(wǎng)主機(jī)上，并且對(duì)要訪問的目標(biāo)設(shè)備進(jìn)行綁定，設(shè)定僅堡壘主機(jī)才可以對(duì)目標(biāo)設(shè)備進(jìn)行訪問。所有操作人員都要先登錄到堡壘機(jī)上，然后才可以訪問目標(biāo)設(shè)備。堡壘主機(jī)自身具有認(rèn)證及授權(quán)等功能，可以有效的屏蔽非法操作人員的訪問。

3 主要功能

本文所述的堡壘主機(jī)的主要功能有賬戶管理、角色管理、設(shè)備管理、黑名單管理和操作記錄查詢等。

（1）賬戶管理。對(duì)于堡壘主機(jī)的賬戶，采用"一用戶一賬號(hào)"的原則，用戶需要通過自己的賬戶才能登錄堡壘主機(jī)。不存在用戶共享同一個(gè)賬戶，有效避免出現(xiàn)事故時(shí)無法追述問題原因和責(zé)任人的問題。另外，在用戶的身份認(rèn)證時(shí)，對(duì)用戶的賬號(hào)及所在IP進(jìn)行綁定，如果賬戶與登錄的IP不匹配，將無法登錄，加強(qiáng)了身份認(rèn)證機(jī)制。實(shí)現(xiàn)集中身份認(rèn)證和訪問控制，避免冒名訪問，提高訪問安全性。

（2）角色管理。針對(duì)不同的操作人員進(jìn)行角色管理。不同類別的角色具有不同的操作權(quán)限，操作人員需要根據(jù)自身賬戶的角色等級(jí)來訪問可操作的目標(biāo)主機(jī)及該目標(biāo)主機(jī)的資源。在便于任務(wù)分工及責(zé)任劃分的同時(shí)，有效的降低操作人員錯(cuò)誤操作的可能。

（3）設(shè)備管理。管理目標(biāo)設(shè)備信息，堡壘主機(jī)對(duì)管理目標(biāo)設(shè)備的數(shù)量無限制，可以任意添加。

（4）黑名單管理。堡壘主機(jī)將對(duì)操作人員的操作進(jìn)行實(shí)時(shí)監(jiān)測(cè)，如果某些操作被管理員禁止，那么該操作將無法完成。如：關(guān)機(jī)、重啟等操作，通過黑名單管理，指定人員將不具備該操作權(quán)限，提高操作的安全性。訪問記錄查詢通過該功能可查詢目標(biāo)主機(jī)在某個(gè)時(shí)間段內(nèi)，有哪人操作人員登錄過。當(dāng)目標(biāo)主機(jī)因操作不當(dāng)而引發(fā)障礙時(shí)，結(jié)合操作記錄查詢，可快速排查障礙原因，并找到責(zé)任人，解決問題，避免不必要的損失

（5）操作記錄查詢。對(duì)操作人員的所有操作進(jìn)行記錄，當(dāng)因操作人員的錯(cuò)誤操作而引發(fā)障礙時(shí)，通過該功能可快速找出該操作人員，避免責(zé)任劃分不清問題。

4 結(jié)語

堡壘主機(jī)能夠解決集中賬號(hào)管理、細(xì)粒度的權(quán)限管理和訪問審計(jì)的問題，有效加強(qiáng)現(xiàn)有系統(tǒng)的網(wǎng)絡(luò)安全性，具有改造成本小，維護(hù)容易等特點(diǎn)。本文所述堡壘主機(jī)產(chǎn)品在吉林聯(lián)通通信網(wǎng)絡(luò)中成功應(yīng)用，有效降低了操作人員的誤操作和網(wǎng)絡(luò)信息故障發(fā)生的幾率，證明了堡壘主機(jī)在加強(qiáng)網(wǎng)絡(luò)安全方面的有效性。

篇9

[關(guān)鍵詞]交互；電力調(diào)度數(shù)據(jù)網(wǎng)；電能量計(jì)量；二次安全防護(hù)；四級(jí)網(wǎng)：建設(shè)和應(yīng)用

電力調(diào)度數(shù)據(jù)網(wǎng)是為電力調(diào)度和生產(chǎn)服務(wù)的專用數(shù)據(jù)網(wǎng)絡(luò)，其安全、穩(wěn)定、可靠的運(yùn)行是整個(gè)電網(wǎng)安全生產(chǎn)的基礎(chǔ)保障。隨著諸暨電網(wǎng)建設(shè)的速度加快和規(guī)模的擴(kuò)大，各類調(diào)度自動(dòng)化系統(tǒng)相繼建成，且地調(diào)以及縣調(diào)各系統(tǒng)之間的業(yè)務(wù)交互應(yīng)用也變得比較頻繁。據(jù)原國家經(jīng)貿(mào)委頒發(fā)的關(guān)于《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》的第30號(hào)令“電力系統(tǒng)中，安全等級(jí)較高的系統(tǒng)不受安全等級(jí)較低系統(tǒng)的影響。電力監(jiān)控系統(tǒng)的安全等級(jí)高于電力管理信息系統(tǒng)及辦公自動(dòng)化系統(tǒng)，各電力監(jiān)控系統(tǒng)必須具備可靠性高的自身安全防護(hù)設(shè)施，不得與安全等級(jí)低的系統(tǒng)直接相聯(lián)?！币约啊半娏ΡO(jiān)控系統(tǒng)可通過專用局域網(wǎng)實(shí)現(xiàn)與本地其他電力監(jiān)控系統(tǒng)的互聯(lián)，或通過電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)上下級(jí)異地電力監(jiān)控系統(tǒng)的互聯(lián)。各電力監(jiān)控系統(tǒng)與辦公自動(dòng)化系統(tǒng)或其他信息系統(tǒng)之間以網(wǎng)絡(luò)方式互聯(lián)時(shí)，必須采用經(jīng)國家有關(guān)部門認(rèn)證的專用、可靠的安全隔離設(shè)施”的規(guī)定。電力調(diào)度數(shù)據(jù)網(wǎng)之間的業(yè)務(wù)交互需要遵循一定的原則一“網(wǎng)絡(luò)專用，安全分區(qū)，橫向隔離，縱向認(rèn)證”。本文將從諸暨局自動(dòng)化系統(tǒng)與局系統(tǒng)之間業(yè)務(wù)應(yīng)用交互的角度出發(fā)，概括介紹諸暨局電力調(diào)度數(shù)據(jù)網(wǎng)的建設(shè)和應(yīng)用情況。

一、諸暨局自動(dòng)化系統(tǒng)接入地區(qū)調(diào)度數(shù)據(jù)網(wǎng)的業(yè)務(wù)分類

根據(jù)電力二次系統(tǒng)的性質(zhì)，如功能、實(shí)時(shí)性、傳輸方式、對(duì)電力生產(chǎn)和管理業(yè)務(wù)的重要性等，諸暨供電局自動(dòng)化業(yè)務(wù)大概可以劃分為以下三個(gè)區(qū)，其網(wǎng)絡(luò)連接圖如圖1所示：

1　安全1區(qū)

數(shù)據(jù)采集和監(jiān)控系統(tǒng)(sCADA)：以諸暨局大樓為接入中心，以光纖SDH的n*2Mbit／s鏈路為承載，通過2路模擬專用通道連接各電壓等級(jí)的變電所。主要完成諸暨境內(nèi)5座220kV，21座110kV，13座35kV變電所的數(shù)據(jù)采集、監(jiān)視和控制功能，同時(shí)通過地調(diào)轉(zhuǎn)發(fā)通道向地調(diào)轉(zhuǎn)發(fā)部分重要線路的遙測(cè)數(shù)據(jù)。

地區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)(四級(jí)網(wǎng))：在地區(qū)局以1臺(tái)路由器作為中心路由設(shè)備，以100M雙鏈路接入省電力公司三級(jí)網(wǎng)的地調(diào)骨干路由器實(shí)現(xiàn)了三四級(jí)網(wǎng)的互聯(lián)，各縣局作為地區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)的接入節(jié)點(diǎn)。主要完成局境內(nèi)所有縣局與縣局，縣局與地區(qū)局之間安全Ⅰ、Ⅱ區(qū)之間數(shù)據(jù)的共享，是地縣數(shù)據(jù)交互的骨干網(wǎng)絡(luò)路徑。

2　安全Ⅱ區(qū)

電能量計(jì)量系統(tǒng)：通過專線MODEM采集諸暨境內(nèi)13座35kV變電所電量數(shù)據(jù)，通過與局電能量系統(tǒng)在Ⅱ區(qū)的接口程序，獲得諸暨境內(nèi)其他110kV及以上變電所的關(guān)口表以及線路的電能量數(shù)據(jù)，從而系統(tǒng)生成各類報(bào)表供相關(guān)部門進(jìn)行電網(wǎng)電量預(yù)測(cè)，變電所平衡數(shù)據(jù)分析等應(yīng)用。

二次安防防病毒服務(wù)器系統(tǒng)：以地區(qū)四級(jí)網(wǎng)系統(tǒng)為業(yè)務(wù)承載，通過在地區(qū)局防病毒服務(wù)器下載防病毒軟件和補(bǔ)丁以及升級(jí)包，縣局安全Ⅰ、Ⅱ區(qū)的Windows工作站和服務(wù)器在線升級(jí)防病毒軟件的病毒庫。

3　安全Ⅲ區(qū)

PI實(shí)時(shí)數(shù)據(jù)庫縣局延伸：在地區(qū)局建立PI數(shù)據(jù)庫，縣局通過安裝在安全Ⅲ區(qū)的數(shù)據(jù)庫鏡像服務(wù)器，實(shí)現(xiàn)與安全Ⅰ區(qū)的SCADA參數(shù)庫、實(shí)時(shí)運(yùn)行信息和圖形的同步。通過應(yīng)用軟件導(dǎo)出CIMXML模型，SVG圖形，E文件并以FTP的方式定時(shí)發(fā)送至地區(qū)局的PI接口服務(wù)器，入庫到PI數(shù)據(jù)庫。同時(shí)通過應(yīng)用軟件自帶轉(zhuǎn)發(fā)功能，縣局鏡像服務(wù)器實(shí)時(shí)向地區(qū)接口服務(wù)器發(fā)送遙測(cè)數(shù)據(jù)和事項(xiàng)。

二、地縣主要自動(dòng)化系統(tǒng)之間的業(yè)務(wù)交互

隨著地調(diào)數(shù)據(jù)網(wǎng)絡(luò)(四級(jí)網(wǎng))的建成，縣局自動(dòng)化系統(tǒng)與地區(qū)局自動(dòng)化系統(tǒng)之間的網(wǎng)絡(luò)連接變得比較頻繁。業(yè)務(wù)交互涉及到了各個(gè)系統(tǒng)。接下來主要介紹最近幾年來陸續(xù)建成的幾個(gè)地縣接口應(yīng)用系統(tǒng)：地區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)，地縣電能量計(jì)量系統(tǒng)接口，二次安防防病毒服務(wù)器系統(tǒng)。

1　地區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)(四級(jí)網(wǎng))的應(yīng)用

四級(jí)網(wǎng)系統(tǒng)縣局的應(yīng)用部分網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示：

四級(jí)網(wǎng)接入的業(yè)務(wù)是關(guān)系到調(diào)度生產(chǎn)運(yùn)行的重要業(yè)務(wù)，網(wǎng)絡(luò)安全是必須考慮的一個(gè)重要因素。承載調(diào)度業(yè)務(wù)的調(diào)度數(shù)據(jù)網(wǎng)應(yīng)通過SDH／PDH的N*2Mbit／s專線組建，實(shí)現(xiàn)與其他網(wǎng)絡(luò)無理隔離，成為調(diào)度業(yè)務(wù)可信賴網(wǎng)絡(luò)。

各單位路由之間采用E1接口通過SDH光纖環(huán)網(wǎng)相互通信，路由器配置多個(gè)信息接入端口，可接入安全Ⅰ、Ⅱ區(qū)業(yè)務(wù)設(shè)備，Ⅰ、Ⅱ區(qū)業(yè)務(wù)在接入時(shí)實(shí)現(xiàn)邏輯隔離。接入調(diào)度網(wǎng)的設(shè)備應(yīng)先接到交換機(jī)端口，再由交換機(jī)接入相應(yīng)的端口，禁止應(yīng)用設(shè)備直接接入路由器端口。各縣調(diào)四級(jí)網(wǎng)服務(wù)器利用3700路由器實(shí)現(xiàn)與地調(diào)局四級(jí)網(wǎng)數(shù)據(jù)庫服務(wù)器的連接，從而實(shí)現(xiàn)網(wǎng)絡(luò)的物理隔離，地調(diào)將網(wǎng)絡(luò)劃分在10.33.128*。網(wǎng)段，諸暨局四級(jí)網(wǎng)服務(wù)器地址為10.33.128.50，地調(diào)數(shù)據(jù)服務(wù)器地址為10.33.128.8。同時(shí)諸暨局四級(jí)網(wǎng)服務(wù)配置一個(gè)SCADA前置網(wǎng)網(wǎng)絡(luò)地址192.168.1.36，在服務(wù)器上安裝相應(yīng)的應(yīng)用軟件，進(jìn)行必要的遙新、遙測(cè)、廠站庫以及通信規(guī)約的維護(hù)。

當(dāng)網(wǎng)絡(luò)連通后，各縣局以及地調(diào)四級(jí)網(wǎng)服務(wù)器將實(shí)時(shí)數(shù)據(jù)存入局四級(jí)網(wǎng)服務(wù)器數(shù)據(jù)庫，由此實(shí)現(xiàn)各個(gè)單位之間實(shí)時(shí)數(shù)據(jù)的相互調(diào)用和查看，在必要的業(yè)務(wù)上進(jìn)行調(diào)度員人機(jī)界面應(yīng)用，從而使得調(diào)度員能夠?qū)崟r(shí)掌握地調(diào)以及其他縣調(diào)的網(wǎng)供、電廠及限電計(jì)劃等實(shí)時(shí)數(shù)據(jù)。隨著各種應(yīng)用的加深，地縣主站AVC系統(tǒng)的無功、電壓及功率因數(shù)限值的定值傳送也可由四級(jí)網(wǎng)來實(shí)現(xiàn)。

篇10

關(guān)鍵詞：微機(jī)監(jiān)測(cè)；鐵路信號(hào)；設(shè)備安全

Abstract: with the rapid development of railway transportation, all parts of the country a new high-speed rail railway. Speed is improved, the safety problem can not be ignored. To ensure the safety of train operation process, signal information requires the railway throughout the correct. Console through signal equipment will be operating instructions to train, so as to ensure the overall operation of the railway. In this paper, network security protection of railway signal computer detection system to conduct a comprehensive analysis.

Keywords: railway signal microcomputer monitoring; equipment safety;

中圖分類號(hào)：F530.3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：

1 微機(jī)監(jiān)測(cè)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

目前的微機(jī)監(jiān)測(cè)系統(tǒng)一般都是三層次的網(wǎng)絡(luò)結(jié)構(gòu)，既由車站、領(lǐng)工區(qū)（車間）、電務(wù)段三級(jí)構(gòu)成的計(jì)算機(jī)網(wǎng)絡(luò)，電務(wù)段和領(lǐng)工區(qū)的管理人員可以通過微機(jī)監(jiān)測(cè)網(wǎng)直接看到所轄各站信號(hào)設(shè)備和戰(zhàn)場(chǎng)運(yùn)作狀況。目前網(wǎng)絡(luò)遭受病毒侵襲的主要途徑有：生產(chǎn)已經(jīng)網(wǎng)絡(luò)化，網(wǎng)絡(luò)上任何一點(diǎn)感染病毒后，如不及時(shí)處理，容易全網(wǎng)蔓延；隨著移動(dòng)存儲(chǔ)設(shè)備越來越廣泛的使用，病毒通過移動(dòng)設(shè)備感染的機(jī)率大大增加。一機(jī)多用，如某臺(tái)終端機(jī)既用于調(diào)看生產(chǎn)監(jiān)控，又兼作辦公機(jī)；其他遭受惡意攻擊等非正常感染病毒。

現(xiàn)階段微機(jī)監(jiān)測(cè)系統(tǒng)采取的網(wǎng)絡(luò)安全防護(hù)措施包括以下幾個(gè)方面。

1）要求把站機(jī)、終端機(jī)上的I/0接口，如光驅(qū)、歟驅(qū)、USB插口等用標(biāo)簽加封，并在主板BIOS里修改相應(yīng)項(xiàng)屏蔽設(shè)備端口，杜絕在站機(jī)、終端機(jī)上進(jìn)行與業(yè)務(wù)無關(guān)的作業(yè)。

2）微機(jī)檢測(cè)安全服務(wù)器，站機(jī)、終端機(jī)，安裝有MCAFEE網(wǎng)絡(luò)版防毒軟件或瑞星單機(jī)版殺毒軟件，但沒有建立專用的防病毒服務(wù)器，病毒庫的更新不及時(shí)，單機(jī)版的軟件只有維護(hù)人員到站上才能更新。

3）清理非法接入局域網(wǎng)的計(jì)算機(jī)，查清有無一機(jī)多用甚至多網(wǎng)的可能，并對(duì)非法接人的計(jì)算機(jī)進(jìn)行屏蔽。

2 現(xiàn)有系統(tǒng)存在的安全問題及改進(jìn)的主要參考原則

設(shè)計(jì)新的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，應(yīng)確保運(yùn)行數(shù)據(jù)的完整性、可用性、可控性、可審查性。安全系統(tǒng)的改進(jìn)可參考以下幾個(gè)原則。

1）體系化設(shè)計(jì)原則。通過分析網(wǎng)絡(luò)系統(tǒng)的層次關(guān)系．提出科學(xué)的安全體系和安全構(gòu)架，從中分析出存在的各種安全風(fēng)險(xiǎn)，充分利用現(xiàn)有投資，并合理運(yùn)用當(dāng)今主流的安全防護(hù)技術(shù)和手段，最大限度地解決網(wǎng)絡(luò)中可能存在的安全問題。

2）全局性、均衡性、綜合性設(shè)計(jì)原則。從網(wǎng)絡(luò)整體建設(shè)角度出發(fā)，提供一個(gè)具有相當(dāng)高度，可擴(kuò)展性強(qiáng)的安全防護(hù)解決方案，應(yīng)均衡考慮各種安全措施的效果，提供具有最優(yōu)性價(jià)比的網(wǎng)絡(luò)安全防護(hù)解決方案。

3）可行性、可靠性、可審查性原則。可行性是設(shè)計(jì)網(wǎng)絡(luò)安全防護(hù)方案的根本，它將直接影響到網(wǎng)絡(luò)通信平臺(tái)的暢通，可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺(tái)正常運(yùn)行的保證，可審查性是對(duì)出現(xiàn)的安全問題提供依據(jù)與手段。

4）分步實(shí)施原則。分級(jí)管理，分步實(shí)施。

3 系統(tǒng)改進(jìn)可采取的的主要措施

維護(hù)管理方面我們可以做好以下幾點(diǎn)改進(jìn)。

1）微機(jī)監(jiān)測(cè)增設(shè)防病毒服務(wù)器，定期升級(jí)服務(wù)器病毒庫，將病毒入侵機(jī)率降至最低。安裝防火墻，對(duì)連接網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行統(tǒng)一管理，確保網(wǎng)絡(luò)安全。

2）科學(xué)處理補(bǔ)丁和病毒之間的矛盾。安裝補(bǔ)丁時(shí)，應(yīng)經(jīng)過慎重的論證測(cè)試，可行在開發(fā)系統(tǒng)上進(jìn)行測(cè)試，確保安全的前提下，再進(jìn)行補(bǔ)丁安裝，因?yàn)橛行┭a(bǔ)丁可能與現(xiàn)行的操作系統(tǒng)發(fā)生沖突，進(jìn)而影響整個(gè)系統(tǒng)的穩(wěn)定性。

3）在生產(chǎn)網(wǎng)上組建VPN，創(chuàng)建一個(gè)安全的私有鏈接。

同時(shí)，為保證系統(tǒng)的安全管理 ，避免人為的安全威脅，應(yīng)根據(jù)運(yùn)行工作的重要程度劃分系統(tǒng)的安全等級(jí)，根據(jù)確定的安全等級(jí)確定該系統(tǒng)的管理范圍和安全措施。對(duì)機(jī)房實(shí)行安全分區(qū)控制，根據(jù)工作人員權(quán)限限定其工作區(qū)域。機(jī)房的出入管理可以采取先進(jìn)的證件識(shí)別或安裝自動(dòng)識(shí)別登記系統(tǒng)，采用磁卡，身份證等手段對(duì)工作人員進(jìn)行識(shí)別、登記、管理。根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，確定工作系統(tǒng)人員的操作范圍和管理，制定嚴(yán)格的操作規(guī)程。針對(duì)工作調(diào)動(dòng)或離職人員要及時(shí)調(diào)整相應(yīng)授權(quán)。

4 可采用的網(wǎng)絡(luò)安全新技術(shù)

建立完善的微機(jī)監(jiān)測(cè)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，需要現(xiàn)有網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的基礎(chǔ)上，充分考慮防火墻、入侵檢測(cè)／防護(hù)、漏洞掃描、防病毒系統(tǒng)等安全機(jī)制。由于網(wǎng)絡(luò)技術(shù)的不斷飛速發(fā)展，傳統(tǒng)的防護(hù)技術(shù)已經(jīng)不能適應(yīng)復(fù)雜多變的新型網(wǎng)絡(luò)環(huán)境，必須采用安全有效的網(wǎng)絡(luò)安全新技術(shù)才能防患于未然，提高整個(gè)微機(jī)監(jiān)測(cè)網(wǎng)絡(luò)的安全性?？刹捎玫男滦途W(wǎng)絡(luò)安全技術(shù)包括以下幾種。

1）鏈路負(fù)載均衡技術(shù)。鏈路負(fù)載均衡技術(shù)是建立在多鏈路網(wǎng)絡(luò)結(jié)構(gòu)上的一種網(wǎng)絡(luò)流量管理技術(shù)。它針對(duì)不同鏈路的網(wǎng)絡(luò)流量，通信質(zhì)量以及訪問路徑的長(zhǎng)短等諸多因素，對(duì)訪問產(chǎn)生的徑路流量所使用的鏈路進(jìn)行調(diào)度和選擇。可最大限度的擴(kuò)展和利用鏈路的帶寬，當(dāng)某一鏈路發(fā)生故障中斷時(shí)，可以自動(dòng)將其訪問流量分配給其它尚在工作的鏈路，避免IPS鏈路上的單點(diǎn)故障。

2）IPS入侵防御系統(tǒng)。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動(dòng)的，實(shí)時(shí)的防護(hù)，其設(shè)計(jì)目的旨在準(zhǔn)確檢測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)應(yīng)對(duì)各類攻擊性的流量，不將攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。

3）上網(wǎng)行為管理系統(tǒng)。上網(wǎng)行為管理系統(tǒng)能夠提供全面的互聯(lián)網(wǎng)控制管理，并能實(shí)現(xiàn)基于用戶和各種網(wǎng)絡(luò)協(xié)議的帶寬控制管理。實(shí)時(shí)監(jiān)控整個(gè)網(wǎng)絡(luò)使用情況。

4）網(wǎng)絡(luò)帶寬管理系統(tǒng)。對(duì)整個(gè)網(wǎng)絡(luò)狀況進(jìn)行細(xì)致管理，提高網(wǎng)絡(luò)使用效率，實(shí)現(xiàn)對(duì)關(guān)鍵人員使用網(wǎng)絡(luò)的保障，對(duì)關(guān)鍵應(yīng)用性能的保護(hù)，對(duì)非關(guān)鍵應(yīng)用性能的控制?？筛鶕?jù)業(yè)務(wù)需求和應(yīng)用自身需求進(jìn)行帶寬分配。

5）防毒墻。傳統(tǒng)的計(jì)算機(jī)病毒防范是在需要保護(hù)的計(jì)算機(jī)內(nèi)部建立反病毒系統(tǒng)，隨著網(wǎng)絡(luò)病毒的日益嚴(yán)重和各種網(wǎng)絡(luò)威脅的侵害，需要將病毒在通過服務(wù)器后企業(yè)內(nèi)部網(wǎng)關(guān)之前予以過濾，防毒墻就滿足了這一需求。防毒墻是集成了強(qiáng)大的網(wǎng)絡(luò)殺毒機(jī)制，網(wǎng)絡(luò)層狀態(tài)包過濾，敏感信息的加密傳輸，和詳盡靈活的日志審計(jì)等多種安全技術(shù)于一身的硬件平臺(tái)。在毀滅性病毒和蠕蟲病毒進(jìn)入網(wǎng)絡(luò)前進(jìn)行全面掃描，適用于各種復(fù)雜的網(wǎng)絡(luò)拓?fù)洵h(huán)境。

5 結(jié)束語

通過本文的分析，可以看出，我國鐵路信號(hào)微機(jī)監(jiān)測(cè)系統(tǒng)的應(yīng)用得到了初步的效果，但是隨著我國鐵路系統(tǒng)的繼續(xù)發(fā)展，網(wǎng)絡(luò)安全是我們不得不考慮的問題，而且隨著網(wǎng)絡(luò)安全問題的越來越多，對(duì)我國鐵路信號(hào)微機(jī)監(jiān)測(cè)系統(tǒng)的安全性要求就越高，因此，在未來的發(fā)展過程中，我們需要進(jìn)一步提升鐵路信號(hào)微機(jī)監(jiān)測(cè)系統(tǒng)的安全等級(jí)，只有這樣才能促進(jìn)我國鐵路信號(hào)系統(tǒng)的安全，提升我國鐵路信號(hào)系統(tǒng)的繼續(xù)發(fā)展。

參考文獻(xiàn)

[1]劉琦.鐵路信號(hào)安全維護(hù)及監(jiān)控系統(tǒng)設(shè)計(jì)思路及應(yīng)用[J].安防科技,2011,03.