導(dǎo)語(yǔ)：如何才能寫好一篇網(wǎng)絡(luò)安全防護(hù)體系建設(shè)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

本文闡述了國(guó)內(nèi)煙草企業(yè)面對(duì)的網(wǎng)絡(luò)信息安全的主要威脅，分析其網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的應(yīng)用現(xiàn)狀，指出其中存在的問(wèn)題，之后，從科學(xué)設(shè)定防護(hù)目標(biāo)原則、合理確定網(wǎng)絡(luò)安全區(qū)域、大力推行動(dòng)態(tài)防護(hù)措施、構(gòu)建專業(yè)防護(hù)人才隊(duì)伍、提升員工安全防護(hù)意識(shí)等方面，提出加強(qiáng)煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的策略，希望對(duì)相關(guān)工作有所幫助。

關(guān)鍵詞：

煙草企業(yè)；網(wǎng)絡(luò)安全防護(hù)；體系建設(shè)

隨著信息化的逐步發(fā)展，國(guó)內(nèi)煙草企業(yè)也愈加重視利用網(wǎng)絡(luò)提高生產(chǎn)管理銷售水平，打造信息化時(shí)代下的現(xiàn)代煙草企業(yè)。但享受網(wǎng)絡(luò)帶來(lái)便捷的同時(shí)，也正遭受到諸如病毒、木馬等網(wǎng)絡(luò)威脅給企業(yè)信息安全方面帶來(lái)的影響。因此，越來(lái)越多的煙草企業(yè)對(duì)如何強(qiáng)化網(wǎng)絡(luò)安全防護(hù)體系建設(shè)給予了高度關(guān)注。

1威脅煙草企業(yè)網(wǎng)絡(luò)信息體系安全的因素

受各種因素影響，煙草企業(yè)網(wǎng)絡(luò)信息體系正遭受到各種各樣的威脅。

1.1人為因素

人為的無(wú)意失誤，如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。人為的惡意攻擊，這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一種是被動(dòng)攻擊，他是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取與破譯等行為獲得重要機(jī)密信息。

1.2軟硬件因素

網(wǎng)絡(luò)安全設(shè)備投資方面，行業(yè)在防火墻、網(wǎng)管設(shè)備、入侵檢測(cè)防御等網(wǎng)絡(luò)安全設(shè)備配置方面處于領(lǐng)先地位，但各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、軟件存在漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的，如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。曾經(jīng)出現(xiàn)過(guò)黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，其大部分是因?yàn)榘踩胧┎煌晟扑兄碌目喙?。軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，一旦被破解，其造成的后果將不堪設(shè)想。另外，各種新型病毒發(fā)展迅速，超出防火墻屏蔽能力等，都使企業(yè)安全防護(hù)網(wǎng)絡(luò)遭受嚴(yán)重威脅。

1.3結(jié)構(gòu)性因素

煙草企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系結(jié)構(gòu)，多數(shù)采用的是混合型結(jié)構(gòu)，星形和總線型結(jié)構(gòu)重疊并存，相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞和“后門”，黑客就可以利用病毒等入侵開展攻擊，或者，網(wǎng)絡(luò)使用者因系統(tǒng)過(guò)于復(fù)雜而導(dǎo)致錯(cuò)誤操作，都可能造成網(wǎng)絡(luò)安全問(wèn)題。

2煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)現(xiàn)狀

煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)，仍然存在著很多不容忽視的問(wèn)題，亟待引起高度關(guān)注。

2.1業(yè)務(wù)應(yīng)用集成整合不足

不少煙草企業(yè)防護(hù)系統(tǒng)在建設(shè)上過(guò)于單一化、條線化，影響了其縱向管控上的集成性和橫向供應(yīng)鏈上的協(xié)同性，安全防護(hù)信息沒(méi)有實(shí)現(xiàn)跨部門、跨單位、跨層級(jí)上的交流，相互之間不健全的信息共享機(jī)制，滯后的信息資源服務(wù)決策，影響了信息化建設(shè)的整體效率。缺乏對(duì)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的頂層設(shè)計(jì)，致使信息化建設(shè)未能形成整體合力。

2.2信息化建設(shè)特征不夠明顯

網(wǎng)絡(luò)安全防護(hù)體系建設(shè)是現(xiàn)代煙草企業(yè)的重要標(biāo)志，但如基礎(chǔ)平臺(tái)的集成性、基礎(chǔ)設(shè)施的集約化、標(biāo)準(zhǔn)規(guī)范體系化等方面的建設(shè)工作都較為滯后。主營(yíng)煙草業(yè)務(wù)沒(méi)有同信息化建設(shè)高度契合，對(duì)影響企業(yè)發(fā)展的管理制度、業(yè)務(wù)需求、核心數(shù)據(jù)和工作流程等關(guān)鍵性指標(biāo)，缺乏宏觀角度上的溝通協(xié)調(diào)，致使在信息化建設(shè)中，業(yè)務(wù)、管理、技術(shù)“三位一體”的要求并未落到實(shí)處，影響了網(wǎng)絡(luò)安全防護(hù)的效果。

2.3安全運(yùn)維保障能力不足

缺乏對(duì)運(yùn)維保障工作的正確認(rèn)識(shí)，其尚未完全融入企業(yè)信息化建設(shè)的各個(gè)環(huán)節(jié)，加上企業(yè)信息化治理模式構(gòu)建不成熟等原因，制約了企業(yè)安全綜合防范能力與運(yùn)維保障體系建設(shè)的整體效能，導(dǎo)致在網(wǎng)絡(luò)威脅的防護(hù)上較為被動(dòng)，未能做到主動(dòng)化、智能化分析，導(dǎo)致遭受病毒、木馬、釣魚網(wǎng)站等反復(fù)侵襲。

3加強(qiáng)煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的策略

煙草企業(yè)應(yīng)以實(shí)現(xiàn)一體化數(shù)字煙草作為建設(shè)目標(biāo)，秉承科學(xué)頂層設(shè)計(jì)、合理統(tǒng)籌規(guī)劃、力爭(zhēng)整體推進(jìn)的原則，始終堅(jiān)持兩級(jí)主體、協(xié)同建設(shè)和項(xiàng)目帶動(dòng)的模式，按照統(tǒng)一架構(gòu)、安全同步、統(tǒng)一平臺(tái)的技術(shù)規(guī)范，才能持續(xù)推動(dòng)產(chǎn)業(yè)發(fā)展同信息化建設(shè)和諧共生。

3.1遵循網(wǎng)絡(luò)防護(hù)基本原則

煙草企業(yè)在建設(shè)安全防護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)明白建設(shè)安全防護(hù)網(wǎng)絡(luò)的目標(biāo)與原則，清楚網(wǎng)絡(luò)使用的性質(zhì)、主要使用人員等基本情況。并在邏輯上對(duì)安全防護(hù)網(wǎng)絡(luò)進(jìn)行合理劃分，不同區(qū)域的防御體系應(yīng)具有針對(duì)性，相互之間邏輯清楚、調(diào)用清晰，從而使網(wǎng)絡(luò)邊界更為明確，相互之間更為信任。要對(duì)已出現(xiàn)的安全問(wèn)題進(jìn)行認(rèn)真分析，并歸類統(tǒng)計(jì)，大的問(wèn)題盡量拆解細(xì)分，類似的問(wèn)題歸類統(tǒng)一，從而將復(fù)雜問(wèn)題具體化，降低網(wǎng)絡(luò)防護(hù)工作的難度。對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，應(yīng)以功能為界限來(lái)劃分，以劃分區(qū)域?yàn)榘踩雷o(hù)區(qū)域。同時(shí)，要不斷地完善安全防護(hù)體系建設(shè)標(biāo)準(zhǔn)，打破不同企業(yè)之間網(wǎng)絡(luò)安全防護(hù)體系的壁壘，實(shí)現(xiàn)信息資源更大程度上的互聯(lián)互通，從而有效地提升自身對(duì)網(wǎng)絡(luò)威脅的抵御力。

3.2合理確定網(wǎng)絡(luò)安全區(qū)域

煙草企業(yè)在使用網(wǎng)絡(luò)過(guò)程中，不同的區(qū)域所擔(dān)負(fù)的角色是不同的。為此，內(nèi)部網(wǎng)絡(luò)，在設(shè)計(jì)之初，應(yīng)以安全防護(hù)體系、業(yè)務(wù)操作標(biāo)準(zhǔn)、網(wǎng)絡(luò)使用行為等為標(biāo)準(zhǔn)對(duì)區(qū)域進(jìn)行劃分。同時(shí)，對(duì)生產(chǎn)、監(jiān)管、流通、銷售等各個(gè)環(huán)節(jié)，要根據(jù)其業(yè)務(wù)特點(diǎn)強(qiáng)化對(duì)應(yīng)的網(wǎng)絡(luò)使用管理制度，既能實(shí)現(xiàn)網(wǎng)絡(luò)安全更好防護(hù)，也能幫助企業(yè)實(shí)現(xiàn)更為科學(xué)的管控與人性化的操作。在對(duì)煙草企業(yè)網(wǎng)絡(luò)安全區(qū)域進(jìn)行劃分時(shí)，不能以偏概全、一蹴而就，應(yīng)本著實(shí)事求是的態(tài)度，根據(jù)企業(yè)實(shí)際情況，以現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)為基礎(chǔ)，有針對(duì)性地進(jìn)行合理的劃分，才能取得更好的防護(hù)效果。

3.3大力推行動(dòng)態(tài)防護(hù)措施

根據(jù)網(wǎng)絡(luò)入侵事件可知，較為突出的問(wèn)題有病毒更新?lián)Q代快、入侵手段與形式日趨多樣、病毒防護(hù)效果滯后等。為此，煙草企業(yè)在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系時(shí)，應(yīng)根據(jù)不同的威脅形式確定相應(yīng)的防護(hù)技術(shù)，且系統(tǒng)要能夠隨時(shí)升級(jí)換代，從而提升總體防護(hù)力。同時(shí)，要定期對(duì)煙草企業(yè)所遭受的網(wǎng)絡(luò)威脅進(jìn)行分析，確定系統(tǒng)存在哪些漏洞、留有什么隱患，實(shí)現(xiàn)入侵實(shí)時(shí)監(jiān)測(cè)和系統(tǒng)動(dòng)態(tài)防護(hù)。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡(luò)應(yīng)急機(jī)制，在系統(tǒng)遭受重大網(wǎng)絡(luò)威脅而癱瘓時(shí)，確保在最短的時(shí)間內(nèi)恢復(fù)系統(tǒng)的基本功能，為后期確定問(wèn)題原因與及時(shí)恢復(fù)系統(tǒng)留下時(shí)間，并且確保企業(yè)業(yè)務(wù)的開展不被中斷，不會(huì)為企業(yè)帶來(lái)很大的經(jīng)濟(jì)損失。另外，還應(yīng)大力提倡煙草企業(yè)同專業(yè)信息防護(hù)企業(yè)合作，構(gòu)建病毒防護(hù)戰(zhàn)略聯(lián)盟，為更好地實(shí)現(xiàn)煙草企業(yè)網(wǎng)絡(luò)防護(hù)效果提供堅(jiān)實(shí)的技術(shù)支撐。

3.4構(gòu)建專業(yè)防護(hù)人才隊(duì)伍

人才是網(wǎng)絡(luò)安全防護(hù)體系的首要資源，缺少專業(yè)性人才的支撐，再好的信息安全防護(hù)體系也形同虛設(shè)。煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)的工作專業(yè)性很強(qiáng)，既要熟知信息安全防護(hù)技術(shù)，也要對(duì)煙草企業(yè)生產(chǎn)全過(guò)程了然于胸，并熟知國(guó)家政策法規(guī)等制度。因此，煙草企業(yè)要大力構(gòu)建專業(yè)的網(wǎng)絡(luò)信息安全防護(hù)人才隊(duì)伍，要采取定期選送、校企聯(lián)訓(xùn)、崗位培訓(xùn)等方式，充分挖掘內(nèi)部人力資源，提升企業(yè)現(xiàn)有信息安全防護(hù)人員的能力素質(zhì)，也要積極同病毒防護(hù)企業(yè)、專業(yè)院校和科研院所合作，引進(jìn)高素質(zhì)專業(yè)技術(shù)人才，從而為企業(yè)更好地實(shí)現(xiàn)信息安全防護(hù)效果打下堅(jiān)實(shí)的人才基礎(chǔ)。

3.5提升員工安全防護(hù)意識(shí)

技術(shù)防護(hù)手段效果再好，員工信息安全防護(hù)意識(shí)不佳，系統(tǒng)也不能取得好的效果。煙草企業(yè)要設(shè)立專門的信息管理培訓(xùn)中心，統(tǒng)一對(duì)企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行管理培訓(xùn)，各部門、各環(huán)節(jié)也要設(shè)立相應(yīng)崗位，負(fù)責(zé)本崗位的網(wǎng)絡(luò)使用情況。賬號(hào)使用、信息、權(quán)限確定等，都要置于信息管理培訓(xùn)中心的制約監(jiān)督下，都要在網(wǎng)絡(luò)使用制度的規(guī)則框架中，杜絕違規(guī)使用網(wǎng)絡(luò)、肆意泄露信息等現(xiàn)象的發(fā)生。對(duì)全體員工開展網(wǎng)絡(luò)安全教育，提升其網(wǎng)絡(luò)安全防護(hù)意識(shí)，使其認(rèn)識(shí)到安全防護(hù)體系的重要性，從而使每個(gè)人都能依法依規(guī)地使用信息網(wǎng)絡(luò)。

4結(jié)語(yǔ)

煙草企業(yè)管理者必須清醒認(rèn)識(shí)到，利用信息網(wǎng)絡(luò)加快企業(yè)升級(jí)換代、建設(shè)一流現(xiàn)代化煙草企業(yè)是行業(yè)所向、大勢(shì)所趨，絕不能因?yàn)榫W(wǎng)絡(luò)存在安全威脅而固步自封、拒絕進(jìn)步。但也要關(guān)注信息化時(shí)代下網(wǎng)絡(luò)安全帶來(lái)的挑戰(zhàn)，以實(shí)事求是的態(tài)度，大力依托信息網(wǎng)絡(luò)安全技術(shù)，構(gòu)建更為安全的防護(hù)體系，為企業(yè)做大做強(qiáng)奠定堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)：

［1］楊波.基于安全域的煙草工業(yè)公司網(wǎng)絡(luò)安全防護(hù)體系研究［J］.計(jì)算機(jī)與信息技術(shù),2012(5).

［2］賴如勤,郭翔飛,于閩.地市煙草信息安全防護(hù)模型的構(gòu)建與應(yīng)用［J］.中國(guó)煙草學(xué)報(bào),2016(4).

篇2

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系是工業(yè)行業(yè)現(xiàn)代化建設(shè)體系中的重要組成部分，對(duì)保證工業(yè)安全、穩(wěn)定、可持續(xù)競(jìng)爭(zhēng)發(fā)展具有重要意義?；诖耍恼聫墓I(yè)控制系統(tǒng)相關(guān)概述出發(fā)，對(duì)工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問(wèn)題，以及當(dāng)今工業(yè)控制系網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的優(yōu)化進(jìn)行了分析與闡述，以供參考。

關(guān)鍵詞：

工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；防護(hù)體系

0引言

工業(yè)控制系統(tǒng)是我國(guó)工業(yè)領(lǐng)域建設(shè)中的重要組成部分，在我國(guó)現(xiàn)代化工業(yè)生產(chǎn)與管理中占有重要地位。隨著近年來(lái)我國(guó)工業(yè)信息化、自動(dòng)化、智能化的創(chuàng)新與發(fā)展，工業(yè)控制系統(tǒng)呈現(xiàn)出網(wǎng)絡(luò)化、智能化、數(shù)字化發(fā)展趨勢(shì)，并在我國(guó)工業(yè)領(lǐng)域各行業(yè)控制機(jī)制中，如能源開發(fā)、水文建設(shè)、機(jī)械制作生產(chǎn)、工業(yè)產(chǎn)品運(yùn)輸?shù)鹊玫搅藦V泛應(yīng)用。因此，在網(wǎng)絡(luò)安全隱患頻發(fā)的背景下，對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的研究與分析具有重要現(xiàn)實(shí)意義，已成為當(dāng)今社會(huì)關(guān)注的重點(diǎn)內(nèi)容之一。

1工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)（IndustrialControlSystem，ICS）是由一定的計(jì)算機(jī)設(shè)備與各種自動(dòng)化控制組件、工業(yè)信息數(shù)據(jù)采集、生產(chǎn)與監(jiān)管過(guò)程控制部件共同構(gòu)成且廣泛應(yīng)用與工業(yè)生產(chǎn)與管理建設(shè)中的一種控制系統(tǒng)總稱[1]。工業(yè)控制系統(tǒng)體系在通常情況下，大致可分為五個(gè)部分，分別為“工業(yè)基礎(chǔ)設(shè)施控制系統(tǒng)部分”、“可編程邏輯控制器/遠(yuǎn)程控制終端系統(tǒng)部分（PLC/RTU）”、“分布式控制系統(tǒng)部分（DCS）”、“數(shù)據(jù)采集與監(jiān)管系統(tǒng)部分（SCADA）”以及“企業(yè)整體信息控制系統(tǒng)（EIS）”[2]。近年來(lái)，在互聯(lián)網(wǎng)技術(shù)、計(jì)算機(jī)技術(shù)、電子通信技術(shù)以及控制技術(shù)，不斷創(chuàng)新與廣泛應(yīng)用的推動(dòng)下，工業(yè)控制系統(tǒng)已經(jīng)實(shí)現(xiàn)了由傳統(tǒng)機(jī)械操作控制到網(wǎng)絡(luò)化控制模式的發(fā)展，工業(yè)控制系統(tǒng)的結(jié)構(gòu)核心由最初的“計(jì)算機(jī)集約控制系統(tǒng)（CCS）”轉(zhuǎn)換為“分散式控制系統(tǒng)（DCS）”，并逐漸趨向于“生產(chǎn)現(xiàn)場(chǎng)一體化控制系統(tǒng)（FCS）”的創(chuàng)新與改革發(fā)展。目前，隨著我國(guó)工業(yè)領(lǐng)域的高速發(fā)展，工業(yè)控制系統(tǒng)已經(jīng)被廣泛應(yīng)用到水利建設(shè)行業(yè)、鋼鐵行業(yè)、石油化工行業(yè)、交通建設(shè)行業(yè)、城市電氣工程建設(shè)行業(yè)、環(huán)境保護(hù)等眾多領(lǐng)域與行業(yè)中，其安全性、穩(wěn)定性、優(yōu)化性運(yùn)行對(duì)我國(guó)經(jīng)濟(jì)發(fā)展與社會(huì)穩(wěn)定具有重要影響作用。

2工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全威脅

2.1工業(yè)控制系統(tǒng)本身存在的問(wèn)題

由于工業(yè)控制系統(tǒng)是一項(xiàng)綜合性、技術(shù)復(fù)雜性的控制體系，且應(yīng)用領(lǐng)域相對(duì)較廣。因此，在設(shè)計(jì)與應(yīng)用過(guò)程中對(duì)工作人員具有較高的要求，從而導(dǎo)致系統(tǒng)本身在設(shè)計(jì)或操作中容易出現(xiàn)安全隱患。

2.2外界網(wǎng)絡(luò)風(fēng)險(xiǎn)滲透問(wèn)題

目前，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化設(shè)計(jì)與應(yīng)用，已成為時(shí)展的必然趨勢(shì)，在各領(lǐng)域中應(yīng)用工業(yè)控制系統(tǒng)時(shí)，對(duì)于數(shù)據(jù)信息的采集、分析與管理，需要工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)系統(tǒng)進(jìn)行一定的鏈接或遠(yuǎn)程操控。在這一過(guò)程中，工業(yè)控制系統(tǒng)的部分結(jié)構(gòu)暴露在公共網(wǎng)絡(luò)環(huán)境中，而目前公共網(wǎng)絡(luò)環(huán)境仍存在一定的網(wǎng)絡(luò)信息安全問(wèn)題，這在一定程度上將會(huì)導(dǎo)致工業(yè)控制系統(tǒng)受到來(lái)自網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客以及人為惡意干擾等因素的影響，從而出現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題。例如，“百度百科”網(wǎng)站，通過(guò)利用SHODAN引擎進(jìn)行OpenDirectory搜索時(shí)，將會(huì)獲得八千多個(gè)處于公共網(wǎng)絡(luò)環(huán)境下與“工業(yè)控制系統(tǒng)”相關(guān)的信息，一旦出現(xiàn)黑客或人為惡意攻擊，將為網(wǎng)站管理系統(tǒng)帶來(lái)嚴(yán)重的影響[3]。

2.3OPC接口開放性以及協(xié)議漏洞存在的問(wèn)題

由于工業(yè)控制系統(tǒng)中，其網(wǎng)絡(luò)框架多是基于“以太網(wǎng)”進(jìn)行構(gòu)建的，因此，在既定環(huán)境下，工業(yè)過(guò)程控制標(biāo)準(zhǔn)OPC（Ob-jectLinkingandEmbeddingforProcessControl）具有較強(qiáng)的開放性[4]。當(dāng)對(duì)工業(yè)控制系統(tǒng)進(jìn)行操作時(shí)，基于OPC的數(shù)據(jù)采集與傳輸接口有效網(wǎng)絡(luò)信息保護(hù)舉措的缺失，加之OPC協(xié)議、TCP/IP協(xié)議以及其他專屬代碼中存在一定的漏洞，且其漏洞易受外界不確定性風(fēng)險(xiǎn)因素的攻擊與干擾，從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)。

2.4工業(yè)控制系統(tǒng)脆弱性問(wèn)題

目前，我國(guó)多數(shù)工業(yè)控制系統(tǒng)內(nèi)部存在一定的問(wèn)題，致使工業(yè)控制系統(tǒng)具有“脆弱性”特征，例如，網(wǎng)絡(luò)配置問(wèn)題、網(wǎng)絡(luò)設(shè)備硬件問(wèn)題、網(wǎng)絡(luò)通信問(wèn)題、無(wú)線連接問(wèn)題、網(wǎng)絡(luò)邊界問(wèn)題、網(wǎng)絡(luò)監(jiān)管問(wèn)題等等[5]。這些問(wèn)題，在一定程度上為網(wǎng)絡(luò)信息風(fēng)險(xiǎn)因素的發(fā)生提供了可行性，從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題。

3加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的建議

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建，不僅需要加強(qiáng)相關(guān)技術(shù)的研發(fā)與利用，同時(shí)也需要相關(guān)部門（如，設(shè)備生產(chǎn)廠家、政府結(jié)構(gòu)、用戶等）基于自身實(shí)際情況與優(yōu)勢(shì)加以輔助，從而實(shí)現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系多元化、全方位的構(gòu)建。

3.1強(qiáng)化工業(yè)控制系統(tǒng)用戶使用安全防護(hù)能力

首先，構(gòu)建科學(xué)且完善的網(wǎng)絡(luò)防護(hù)安全策略：安全策略作為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)與執(zhí)行的重要前提條件，對(duì)保證工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性具有重要指導(dǎo)作用。對(duì)此，相關(guān)工作人員應(yīng)在結(jié)合當(dāng)今工業(yè)控制系統(tǒng)存在的“脆弱性”問(wèn)題，在依據(jù)傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建策略優(yōu)勢(shì)的基礎(chǔ)上，有針對(duì)性的制定一系列網(wǎng)絡(luò)防護(hù)安全策略，用以保證工業(yè)控制系統(tǒng)安全設(shè)計(jì)、操作、管理、養(yǎng)護(hù)維修規(guī)范化、系統(tǒng)化、全面化、標(biāo)準(zhǔn)化施行。例如，基于傳統(tǒng)網(wǎng)絡(luò)安全策略——補(bǔ)丁管理，結(jié)合工業(yè)控制系統(tǒng)實(shí)際需求，對(duì)工業(yè)控制系統(tǒng)核心系統(tǒng)進(jìn)行“補(bǔ)丁升級(jí)”，用以彌補(bǔ)工業(yè)控制系統(tǒng)在公共網(wǎng)絡(luò)環(huán)境下存在的各項(xiàng)漏洞危機(jī)[6]。在此過(guò)程中，設(shè)計(jì)人員以及相關(guān)工作者應(yīng)通過(guò)“試驗(yàn)測(cè)驗(yàn)”的方式，為工業(yè)控制系統(tǒng)營(yíng)造仿真應(yīng)用環(huán)境，并在此試驗(yàn)環(huán)境中對(duì)系統(tǒng)進(jìn)行反復(fù)測(cè)驗(yàn)、審核、評(píng)價(jià)，并對(duì)系統(tǒng)核心配置、代碼進(jìn)行備份處理，在保證補(bǔ)丁的全面化升級(jí)的同時(shí)，降低升級(jí)過(guò)程中存在的潛在風(fēng)險(xiǎn)。其次，注重工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離防護(hù)體系的構(gòu)建：網(wǎng)絡(luò)隔離防護(hù)的構(gòu)建與執(zhí)行，對(duì)降低工業(yè)控制系統(tǒng)外界風(fēng)險(xiǎn)具有重要意義。對(duì)此，相關(guān)設(shè)計(jì)與工作人員應(yīng)在明確認(rèn)知與掌握工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)目標(biāo)的基礎(chǔ)上，制定相應(yīng)的網(wǎng)絡(luò)隔離防護(hù)方案，并給予有效應(yīng)用。通常情況下，工業(yè)控制系統(tǒng)設(shè)計(jì)人員應(yīng)依據(jù)不同領(lǐng)域中工業(yè)控制系統(tǒng)類型與應(yīng)用需求，對(duì)系統(tǒng)所需設(shè)備進(jìn)行整理，并依據(jù)整理內(nèi)容進(jìn)行具體測(cè)評(píng)與調(diào)試，用以保證各結(jié)構(gòu)設(shè)備作用與性能的有效發(fā)揮，避免出現(xiàn)設(shè)備之間搭配與連接不和諧等問(wèn)題的產(chǎn)生；根據(jù)工業(yè)控制系統(tǒng)功能關(guān)鍵點(diǎn)對(duì)隔離防護(hù)區(qū)域進(jìn)行分類與規(guī)劃（包括工業(yè)控制系統(tǒng)內(nèi)網(wǎng)區(qū)域、工業(yè)控制系統(tǒng)外部區(qū)域、工業(yè)控制系統(tǒng)生產(chǎn)操作區(qū)域、工業(yè)控制系統(tǒng)安全隔離區(qū)域等），并針對(duì)不同區(qū)域情況與待保護(hù)程度要求，采用相應(yīng)的舉措進(jìn)行改善，實(shí)現(xiàn)不同風(fēng)險(xiǎn)的不同控制[7]。與此同時(shí)，構(gòu)建合理、有效的物理層防護(hù)體系：實(shí)踐證明，物理層防護(hù)體系的構(gòu)建（物理保護(hù)），對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)具有至關(guān)重要的作用，是工業(yè)控制系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全管理與建設(shè)的重要基礎(chǔ)項(xiàng)目，也是核心項(xiàng)目，對(duì)工業(yè)控制和系統(tǒng)網(wǎng)絡(luò)防護(hù)體系整體效果的優(yōu)化，具有決定性作用。因此，在進(jìn)行工業(yè)控制防護(hù)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系優(yōu)化設(shè)計(jì)時(shí)，設(shè)計(jì)人員以及相關(guān)企業(yè)應(yīng)注重對(duì)工業(yè)控制系統(tǒng)物理層的完善與優(yōu)化。例如，通過(guò)配置企業(yè)門禁體系，用以避免外來(lái)人員對(duì)工業(yè)現(xiàn)場(chǎng)的侵害；依據(jù)企業(yè)特色，配設(shè)相應(yīng)的生產(chǎn)應(yīng)急設(shè)備，如備用發(fā)電機(jī)、備用操作工具、備用電線、備用油庫(kù)等，用以避免突發(fā)現(xiàn)象導(dǎo)致設(shè)計(jì)或生產(chǎn)出現(xiàn)問(wèn)題；通過(guò)配置一定的監(jiān)測(cè)管理方案或設(shè)施，對(duì)系統(tǒng)進(jìn)行一體化監(jiān)管，用以及時(shí)發(fā)現(xiàn)問(wèn)題（包括自然風(fēng)險(xiǎn)因素、設(shè)備生產(chǎn)安全風(fēng)險(xiǎn)因素等）并解決問(wèn)題，保證工業(yè)控制系統(tǒng)運(yùn)行的優(yōu)化性。此外，加強(qiáng)互聯(lián)網(wǎng)滲透與分析防治：設(shè)計(jì)工作人員為避免工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)滲透安全威脅問(wèn)題，可通過(guò)換位思考的形式，對(duì)已經(jīng)設(shè)計(jì)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系進(jìn)行測(cè)評(píng)，并從對(duì)方的角度進(jìn)行思考，制定防護(hù)對(duì)策，用以提升工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全性。

3.2強(qiáng)化工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)網(wǎng)絡(luò)安全防護(hù)能力

工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)，作為工業(yè)控制系統(tǒng)的研發(fā)者與生產(chǎn)者，應(yīng)提升自身對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)的重視程度，從而在生產(chǎn)過(guò)程中保證工業(yè)控制系統(tǒng)的質(zhì)量。與此同時(shí)，系統(tǒng)生產(chǎn)企業(yè)在引進(jìn)先進(jìn)設(shè)計(jì)技術(shù)與經(jīng)驗(yàn)的基礎(chǔ)上，強(qiáng)化自身綜合能力與開發(fā)水平，保證工業(yè)控制系統(tǒng)緊跟時(shí)展需求，推動(dòng)工業(yè)控制系統(tǒng)不斷創(chuàng)新，從根源上降低工業(yè)控制系統(tǒng)自身存在安全風(fēng)險(xiǎn)。

3.3加大政府扶持與監(jiān)管力度

由上述分析可知，工業(yè)控制系統(tǒng)在我國(guó)各領(lǐng)域各行業(yè)中具有廣泛的應(yīng)用，并占據(jù)著重要的地位，其安全性、穩(wěn)定性、創(chuàng)新性、優(yōu)化性對(duì)我國(guó)市場(chǎng)經(jīng)濟(jì)發(fā)展與社會(huì)的穩(wěn)定具有直接影響作用。由此可見，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建，不僅是各企業(yè)內(nèi)部組織結(jié)構(gòu)體系創(chuàng)新建設(shè)問(wèn)題，政府以及社會(huì)等外部體系的構(gòu)建同樣具有重要意義。對(duì)此，政府以及其他第三方結(jié)構(gòu)應(yīng)注重自身社會(huì)責(zé)任的執(zhí)行，加強(qiáng)對(duì)工業(yè)控制系統(tǒng)安全防護(hù)體系環(huán)境的管理與監(jiān)督，促進(jìn)工業(yè)控制系統(tǒng)安全防護(hù)外部體系的構(gòu)建。例如，通過(guò)制定相應(yīng)的網(wǎng)絡(luò)安全運(yùn)行規(guī)范與行為懲罰措施，用以避免互聯(lián)網(wǎng)惡意破壞行為的發(fā)生；通過(guò)制定行業(yè)網(wǎng)絡(luò)安全防護(hù)機(jī)制與準(zhǔn)則，嚴(yán)格控制工業(yè)控制系統(tǒng)等基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全性，加大自身維權(quán)效益。

4結(jié)論

綜上所述，本文針對(duì)“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系”課題研究的基礎(chǔ)上，分析了工業(yè)控制系統(tǒng)以及當(dāng)今工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問(wèn)題，并在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的基礎(chǔ)上，提供了加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的優(yōu)化對(duì)策，以期對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全具有更明確的認(rèn)知與理解，從而促進(jìn)我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的優(yōu)化發(fā)展。

參考文獻(xiàn)：

[1]王棟,陳傳鵬,顏佳,郭靚,來(lái)風(fēng)剛.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動(dòng)化,2016(2):6-11.

[2]薛訓(xùn)明,楊波,汪飛,郭磊,唐皓辰.煙草行業(yè)制絲生產(chǎn)線工業(yè)控制系統(tǒng)安全防護(hù)體系設(shè)計(jì)[J].科技展望,2016(14):264-265.

[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)安全保障探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(5):81-86.

[4]羅常.工業(yè)控制系統(tǒng)信息安全防護(hù)體系在電力系統(tǒng)中的應(yīng)用研究[J].機(jī)電工程技術(shù),2016(12):97-100.

[5]劉秋紅.關(guān)于構(gòu)建信息安全防護(hù)體系的思考——基于現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)[J].技術(shù)與市場(chǎng),2013(6):314.

[6]孟雁.工業(yè)控制系統(tǒng)安全隱患分析及對(duì)策研究[J].保密科學(xué)技術(shù),2013(4):16-21.

篇3

【 關(guān)鍵詞 】 云計(jì)算；云安全；等級(jí)保護(hù)；虛擬化安全

1 引言

自2006年云計(jì)算的概念產(chǎn)生以來(lái)，各類與云計(jì)算相關(guān)的服務(wù)紛紛涌現(xiàn)，隨之而來(lái)的就是人們對(duì)云安全問(wèn)題的關(guān)注。目前各個(gè)運(yùn)營(yíng)商、服務(wù)提供商以及安全廠商所提的云安全解決方案，大都根據(jù)自己企業(yè)對(duì)云平臺(tái)安全的理解，結(jié)合本企業(yè)專長(zhǎng)，專注于某一方面的安全。然而，對(duì)于用戶來(lái)說(shuō)云平臺(tái)是一個(gè)整體，需要構(gòu)建云平臺(tái)的整體安全防護(hù)體系。

因此，針對(duì)云計(jì)算中心的安全需求建立信息安全防護(hù)體系已經(jīng)是大勢(shì)所趨，云安全防護(hù)體系的建立，必將使云計(jì)算得以更加健康、有序的發(fā)展。

2 云計(jì)算的安全問(wèn)題解析

云計(jì)算模式當(dāng)前已得到業(yè)界普遍認(rèn)同，成為信息技術(shù)領(lǐng)域新的發(fā)展方向。但是，隨著云計(jì)算的大量應(yīng)用，云環(huán)境的安全問(wèn)題也日益突出。我們?nèi)绻荒芎芎玫亟鉀Q相關(guān)的安全管理問(wèn)題，云計(jì)算就會(huì)成為過(guò)眼“浮云”。在眾多對(duì)云計(jì)算的討論中，SafeNet的調(diào)查非常具有代表性：“對(duì)于云計(jì)算面臨的安全問(wèn)題，88.5%的企業(yè)對(duì)云計(jì)算安全擔(dān)憂”。各種調(diào)研數(shù)據(jù)也表明：安全性是用戶選擇云計(jì)算的首要考慮因素。近年來(lái)，云安全的概念也有多種層面的解讀，本文所指云安全是聚焦于云計(jì)算中心的安全問(wèn)題及其安全防護(hù)體系。

2.1 云安全與傳統(tǒng)安全技術(shù)的關(guān)系

云計(jì)算引入了虛擬化技術(shù)，改變了服務(wù)方式，但并沒(méi)有顛覆傳統(tǒng)的安全模式。從這張對(duì)比視圖中，如圖1所示，可以看出，安全的層次劃分是大體類似，在云計(jì)算環(huán)境下，由于虛擬化技術(shù)的引入，需要納入虛擬化安全的防護(hù)措施。而在基礎(chǔ)層面上，仍然可依靠成熟的傳統(tǒng)安全技術(shù)來(lái)提供安全防護(hù)。

如圖1所示，云計(jì)算安全和傳統(tǒng)安全在安全目標(biāo)、系統(tǒng)資源類型、基礎(chǔ)安全技術(shù)方面是相同的，而云計(jì)算又有其特有的安全問(wèn)題，主要包括虛擬化安全問(wèn)題和與云計(jì)算分租服務(wù)模式相關(guān)的一些安全問(wèn)題。大體上，我們可以把云安全看做傳統(tǒng)安全的一個(gè)超集，或者換句話說(shuō)，云安全是傳統(tǒng)安全在云計(jì)算環(huán)境下的繼承和發(fā)展。

綜合前面的討論，可以推導(dǎo)出一個(gè)基本的認(rèn)識(shí)，云計(jì)算的模式是革命性的：虛擬化安全、數(shù)據(jù)安全和隱私保護(hù)是云安全的重點(diǎn)和難點(diǎn)，云安全將基于傳統(tǒng)安全技術(shù)獲得發(fā)展。

2.2 云計(jì)算的安全需求與防護(hù)技術(shù)

解決安全問(wèn)題的出發(fā)點(diǎn)是風(fēng)險(xiǎn)分析，CSA云安全聯(lián)盟提出了所謂“七重罪”的云安全重點(diǎn)風(fēng)險(xiǎn)域。

Threat 1： Abuse and Nefarious Use of Cloud Computing（云計(jì)算的濫用、惡用、拒絕服務(wù)攻擊）；

Threat 2： Insecure Interfaces and APIs（不安全的接口和API）；

Threat 3： Malicious Insiders（惡意的內(nèi)部員工）；

Threat 4： Shared Technology Issues（共享技術(shù)產(chǎn)生的問(wèn)題）；

Threat 5： Data Loss or Leakage（數(shù)據(jù)泄漏）；

Threat 6： Account or Service Hijacking（賬號(hào)和服務(wù)劫持）；

Threat 7： Unknown Risk Profile（未知的風(fēng)險(xiǎn)場(chǎng)景）。

信息的機(jī)密性、完整性和可用性被公認(rèn)為信息安全的三個(gè)重要的基本屬性，用戶在使用云計(jì)算服務(wù)時(shí)也會(huì)從這三個(gè)方面提出基本的信息安全需求。

機(jī)密性安全需求：要求上傳到云端的信息及其處理結(jié)果以及所要求的云計(jì)算服務(wù)具有排他性，只能被授權(quán)人訪問(wèn)或使用，不會(huì)被非法泄露。

完整性安全需求：要求與云計(jì)算相關(guān)的數(shù)據(jù)或服務(wù)是完備、有效、真實(shí)的，不會(huì)被非法操縱、破壞、篡改、偽造，并且不可否認(rèn)或抵賴。

可用性安全需求：要求網(wǎng)絡(luò)、數(shù)據(jù)和服務(wù)具有連續(xù)性、準(zhǔn)時(shí)性，不會(huì)中斷或延遲，以確保云計(jì)算服務(wù)在任何需要的時(shí)候能夠?yàn)槭跈?quán)使用者正常使用。

根據(jù)云計(jì)算中心的安全需求，我們會(huì)相應(yīng)得到一個(gè)安全防護(hù)技術(shù)的層次結(jié)構(gòu)：底層是基礎(chǔ)設(shè)施安全，包括基礎(chǔ)平臺(tái)安全、虛擬化安全和安全管理；中間是數(shù)據(jù)安全，上層是安全服務(wù)層面，還包括安全接入相關(guān)的防護(hù)技術(shù)。

3 等級(jí)保護(hù)背景下的云安全體系

3.1 等級(jí)保護(hù)標(biāo)準(zhǔn)與云安全

自1994年國(guó)務(wù)院147號(hào)令開始，信息安全等級(jí)保護(hù)體系歷經(jīng)近20年的發(fā)展，從政策法規(guī)、國(guó)家標(biāo)準(zhǔn)、到測(cè)評(píng)管理都建立了完備的體系，自2010年以來(lái)，在公安部的領(lǐng)導(dǎo)下，信息安全等級(jí)保護(hù)落地實(shí)施開展得如火如荼，信息安全等級(jí)保護(hù)已經(jīng)成為我國(guó)信息化建設(shè)的重要安全指導(dǎo)方針。

圖3表明了等級(jí)保護(hù)標(biāo)準(zhǔn)體系放發(fā)展歷程。

盡管引入了虛擬化等新興技術(shù)，運(yùn)營(yíng)模式也從出租機(jī)房進(jìn)化到出租虛擬資源，乃至出租服務(wù)。但從其本質(zhì)上看，云計(jì)算中心仍然是一類信息系統(tǒng)，需要依照其重要性不同分等級(jí)進(jìn)行保護(hù)。云計(jì)算中心的安全工作必須依照等級(jí)保護(hù)的要求來(lái)建設(shè)運(yùn)維。此外，云安全還需要考慮虛擬化等新的技術(shù)和運(yùn)營(yíng)方式所帶來(lái)的安全問(wèn)題。

因此，云計(jì)算中心防護(hù)體系應(yīng)當(dāng)是以等級(jí)保護(hù)為指導(dǎo)思想，從云計(jì)算中心的安全需求出發(fā)，從技術(shù)和管理兩個(gè)層面全方位保護(hù)云計(jì)算中心的信息安全；全生命周期保證云計(jì)算中心的安全建設(shè)符合等保要求；將安全理念貫穿云計(jì)算中心建設(shè)、整改、測(cè)評(píng)、運(yùn)維全過(guò)程。建設(shè)目標(biāo)是要滿足不同用戶不同等保級(jí)別的安全要求，做到等保成果的可視化，做到安全工作的持久化。

3.2 云計(jì)算中心的安全框架

一個(gè)云計(jì)算中心的安全防護(hù)體系的構(gòu)建，應(yīng)以等級(jí)保護(hù)為系統(tǒng)指導(dǎo)思想，能夠充分滿足云計(jì)算中心的安全需求為目標(biāo)。根據(jù)前面的研究，我們提出一個(gè)云計(jì)算中心的安全框架，包括傳統(tǒng)安全技術(shù)、云安全技術(shù)和安全運(yùn)維管理三個(gè)層面的安全防護(hù)。

云安全框架以云安全管理平臺(tái)為中心，綜合安全技術(shù)和管理運(yùn)維兩個(gè)方面的手段確保系統(tǒng)的整體安全。在安全技術(shù)方面，除了傳統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、備份恢復(fù)等保障措施，還需要通過(guò)虛擬化安全防護(hù)技術(shù)和云安全服務(wù)來(lái)應(yīng)對(duì)云計(jì)算的新特征所帶來(lái)的安全要求。

3.3 云安全防護(hù)體系架構(gòu)

在實(shí)際的云安全防護(hù)體系建設(shè)中，首先要在網(wǎng)絡(luò)和主機(jī)等傳統(tǒng)的安全設(shè)備層面建立基礎(chǔ)信息系統(tǒng)安全防護(hù)系統(tǒng)?；A(chǔ)信息安全防護(hù)體系是以等級(jí)保護(hù)標(biāo)準(zhǔn)為指導(dǎo)進(jìn)行構(gòu)建，符合等級(jí)保護(hù)標(biāo)準(zhǔn)對(duì)相應(yīng)安全級(jí)別的基本安全要求。

在此基礎(chǔ)上，通過(guò)SOC安全集中管理系統(tǒng)、虛擬安全組件、SMC安全運(yùn)維管理系統(tǒng)和等保合規(guī)管理系統(tǒng)四個(gè)安全子系統(tǒng)共同組成云安全管理中心，如圖4所示。通過(guò)實(shí)體的安全技術(shù)和虛擬化安全防護(hù)技術(shù)的協(xié)同工作，為云計(jì)算中心提供從實(shí)體設(shè)備到虛擬化系統(tǒng)的全面深度安全防護(hù)，同時(shí)通過(guò)專業(yè)的SLC等保合規(guī)管理系統(tǒng)來(lái)確保云安全體系對(duì)于等級(jí)保護(hù)標(biāo)準(zhǔn)的合規(guī)性。

參考文獻(xiàn)

[1] 郝斐，王雷，荊繼武等.云存儲(chǔ)安全增強(qiáng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012，（03）：38-41.

[2] 季一木， 康家邦，潘俏羽等.一種云計(jì)算安全模型與架構(gòu)設(shè)計(jì)研究[J].信息網(wǎng)絡(luò)安全，2012，（06）：6-8.

[3] 黎水林.基于安全域的政務(wù)外網(wǎng)安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全，2012，（07）：3-5.

[4] 胡春輝.云計(jì)算安全風(fēng)險(xiǎn)與保護(hù)技術(shù)框架分析[J].信息網(wǎng)絡(luò)安全，2012，（07）：87-89.

[5] 王偉，高能，江麗娜.云計(jì)算安全需求分析研究[J].信息網(wǎng)絡(luò)安全，2012，（08）：75-78.

[6] 海然.云計(jì)算風(fēng)險(xiǎn)分析[J].信息網(wǎng)絡(luò)安全，2012，（08）：94-96.

[7] 孫志丹，鄒哲峰，劉鵬.基于云計(jì)算技術(shù)的信息安全試驗(yàn)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012，（12）：50-52.

[8] 甘宏，潘丹.虛擬化系統(tǒng)安全的研究與分析[J].信息網(wǎng)絡(luò)安全，2012，（05）：43-45.

[9] 賽迪研究院.關(guān)于云計(jì)算安全的分析與建議[J].軟件與信息服務(wù)研究，2011，5（5）：3.

[10] 陳丹偉，黃秀麗，任勛益.云計(jì)算及安全分析[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（2）：99.102.

[11] 馮登國(guó)，孫悅，張陽(yáng).信息安全體系結(jié)構(gòu)[M].清華大學(xué)出版社，2008：43-81.

[12] 張水平，李紀(jì)真.基于云計(jì)算的數(shù)據(jù)中心安全體系研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011，12（32）：3965.

[13] 質(zhì)監(jiān)局，國(guó)標(biāo)委.信息系統(tǒng)安全等級(jí)保護(hù)基本要求.GB/T 22239—2008：1～51.

[14] 王崇.以“等?！睘楹诵牡男畔踩芾砉ぷ髌脚_(tái)設(shè)計(jì)[J].實(shí)踐探究，2009，1（5）：73.

[15] Devki Gaurav Pal， Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science （IJ-CLOSER） ，2012 ，l.1（2）：45～52.

[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http：///guidance/csaguide.v3.0.pdf，2011：30.

作者簡(jiǎn)介：

白秀杰（1973-），男，碩士，系統(tǒng)分析師；研究方向：云安全技術(shù)。

李汝鑫（1983-），男，本科，項(xiàng)目管理師；研究方向：信息安全技術(shù)。

篇4

關(guān)鍵詞：網(wǎng)絡(luò)安全；防護(hù)機(jī)制；煙草公司；互聯(lián)網(wǎng)

隨著Internet技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)應(yīng)用技術(shù)的普及，網(wǎng)絡(luò)安全威脅頻繁地出現(xiàn)在互聯(lián)網(wǎng)中。近年來(lái)，網(wǎng)絡(luò)攻擊的目的逐漸轉(zhuǎn)變?yōu)楂@取不正當(dāng)?shù)慕?jīng)濟(jì)利益。在此種情況下，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)已成為各個(gè)企業(yè)的迫切需要。煙草公司的網(wǎng)絡(luò)安全防護(hù)機(jī)制和安全技術(shù)是確保其網(wǎng)絡(luò)信息安全的關(guān)鍵所在。只有加強(qiáng)防護(hù)體系建設(shè)和創(chuàng)新安全技術(shù)，才能在保證網(wǎng)絡(luò)安全的前提下，促進(jìn)煙草公司的發(fā)展。

1縣級(jí)煙草公司網(wǎng)絡(luò)現(xiàn)面臨的威脅

目前，煙草公司計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅從主體上可分為對(duì)網(wǎng)絡(luò)信息的威脅、對(duì)網(wǎng)絡(luò)設(shè)備的威脅。

1.1人為無(wú)意的失誤

如果網(wǎng)絡(luò)的安全配置不合理，則可能會(huì)出現(xiàn)安全漏洞，加之用戶選擇口令時(shí)不謹(jǐn)慎，甚至將自己的賬號(hào)隨意轉(zhuǎn)借給他人或與他人共享，進(jìn)而為網(wǎng)絡(luò)埋下了安全隱患。

1.2人為惡意的攻擊

人為惡意的攻擊可分為主動(dòng)攻擊和被動(dòng)攻擊，這兩種攻擊都會(huì)對(duì)煙草公司的計(jì)算機(jī)網(wǎng)絡(luò)造成較大的破壞，導(dǎo)致機(jī)密數(shù)據(jù)存在泄露的風(fēng)險(xiǎn)。比如，相關(guān)操作者未及時(shí)控制來(lái)自Internet的電子郵件中攜帶的病毒、Web瀏覽器可能存在的惡意Java控件等，進(jìn)而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成巨大的影響。

1.3網(wǎng)絡(luò)軟件的漏洞

對(duì)于網(wǎng)絡(luò)軟件而言，會(huì)存在一定的缺陷和漏洞，而這些缺陷和漏洞為黑客提供了可乘之機(jī)。

1.4自然災(zāi)害和惡性事件

該種網(wǎng)絡(luò)威脅主要是指無(wú)法預(yù)測(cè)的自然災(zāi)害和人為惡性事件。自然災(zāi)害包括地震、洪水等，人為惡性事件包括惡意破壞、人為縱火等。雖然這些事件發(fā)生的概率較低，但一旦發(fā)生，則會(huì)造成異常嚴(yán)重的后果，必須嚴(yán)以防范。

2構(gòu)建煙草公司信息網(wǎng)絡(luò)安全防護(hù)體系

要想形成一個(gè)完整的安全體系，并制訂有效的解決方案，就必須在基于用戶網(wǎng)絡(luò)體系結(jié)構(gòu)、網(wǎng)絡(luò)分析的基礎(chǔ)上開展研究。對(duì)于安全體系的構(gòu)建，除了要建立安全理論和研發(fā)安全技術(shù)外，還要將安全策略、安全管理等各項(xiàng)內(nèi)容囊括其中?？傮w來(lái)看，構(gòu)建安全體系是一項(xiàng)跨學(xué)科、綜合性的信息系統(tǒng)工程，應(yīng)從設(shè)施、技術(shù)、管理、經(jīng)營(yíng)、操作等方面整體把握。安全系統(tǒng)的整體框架如圖1所示。安全系統(tǒng)的整體框架可分為安全管理框架和安全技術(shù)框架。這兩個(gè)部分既相互獨(dú)立，又相互融合。安全管理框架包括安全策略、安全組織管理和安全運(yùn)作管理三個(gè)層面；安全技術(shù)框架包括鑒別與認(rèn)證、訪問(wèn)控制、內(nèi)容安全、冗余與恢復(fù)、審計(jì)響應(yīng)五個(gè)層面。由此可見，根據(jù)煙草公司網(wǎng)絡(luò)信息安全系統(tǒng)提出的對(duì)安全服務(wù)的需求，可將整個(gè)網(wǎng)絡(luò)安全防護(hù)機(jī)制分為安全技術(shù)防護(hù)、安全管理和安全服務(wù)。

2.1安全技術(shù)防護(hù)機(jī)制

在此環(huán)節(jié)中，旨在將安全策略中的各個(gè)要素轉(zhuǎn)化成為可行的技術(shù)。對(duì)于內(nèi)容層面而言，必須明確安全策略的保護(hù)方向、保護(hù)內(nèi)容，如何實(shí)施保護(hù)、處理發(fā)生的問(wèn)題等。在此情況下，一旦整體的安全策略形成，經(jīng)實(shí)踐檢驗(yàn)后，便可大幅推廣，這有利于煙草公司整體安全水平的提高。此外，安全技術(shù)防護(hù)體系也可劃分為1個(gè)基礎(chǔ)平臺(tái)和4個(gè)子系統(tǒng)。在這個(gè)技術(shù)防護(hù)體系中，結(jié)合網(wǎng)絡(luò)管理等功能，可對(duì)安全事件等實(shí)現(xiàn)全程監(jiān)控，并與各項(xiàng)技術(shù)相結(jié)合，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、信息安全的綜合管理，確保系統(tǒng)的持續(xù)可用性。

2.2安全管理機(jī)制

依據(jù)ISO/IEC17700信息安全管理標(biāo)準(zhǔn)思路及其相關(guān)內(nèi)容，信息安全管理機(jī)制的內(nèi)容包括制訂安全管理策略、制訂風(fēng)險(xiǎn)評(píng)估機(jī)制、建設(shè)日常安全管理制度等。基于該項(xiàng)內(nèi)容涉及的管理、技術(shù)等各個(gè)方面，需各方面資源的大力支持，通過(guò)技術(shù)工人與管理者的無(wú)隙合作，建立煙草公司內(nèi)部的信息安全防范責(zé)任體系。2.3安全服務(wù)機(jī)制安全服務(wù)需結(jié)合人、管理、產(chǎn)品與技術(shù)等各方面，其首要內(nèi)容是定期評(píng)估整個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)，了解網(wǎng)絡(luò)當(dāng)前的安全狀況，并根據(jù)評(píng)估結(jié)果調(diào)整網(wǎng)絡(luò)安全策略，從而確保系統(tǒng)的正常運(yùn)行。此外，還可通過(guò)專業(yè)培訓(xùn)，進(jìn)一步促進(jìn)煙草公司員工安全意識(shí)的增強(qiáng)。

3煙草公司的網(wǎng)絡(luò)信息安全技術(shù)

3.1訪問(wèn)控制技術(shù)

在煙草公司的網(wǎng)絡(luò)信息安全技術(shù)中，訪問(wèn)控制技術(shù)是最重要的一項(xiàng)，其由主體、客體、訪問(wèn)控制策略三個(gè)要素組成。煙草公司訪問(wèn)用戶的種類多、數(shù)量大、常變化，進(jìn)而增加了授權(quán)管理工作的負(fù)擔(dān)。因此，為了避免發(fā)生上述情況，直接將訪問(wèn)權(quán)限授予了主體，從而便于管理。此外，還應(yīng)革新并采用基于角色的訪問(wèn)控制模型RBAC。

3.2數(shù)字簽名技術(shù)

在煙草公司，數(shù)字簽名技術(shù)的應(yīng)用很普遍。數(shù)字簽名屬于一種實(shí)現(xiàn)認(rèn)證、非否認(rèn)的方法。在網(wǎng)絡(luò)虛擬環(huán)境中，數(shù)字簽名技術(shù)仍然是確認(rèn)身份的關(guān)鍵技術(shù)之一，可完全代替親筆簽名，其無(wú)論是在法律上，還是技術(shù)上均有嚴(yán)格的保證。在煙草公司的網(wǎng)絡(luò)安全中應(yīng)用數(shù)字簽名技術(shù)，可更快地獲得發(fā)送者公鑰。但在這一過(guò)程中需要注意，應(yīng)對(duì)發(fā)送者私鑰嚴(yán)格保密。

3.3身份認(rèn)證技術(shù)

身份認(rèn)證是指在計(jì)算機(jī)與網(wǎng)絡(luò)系統(tǒng)這一虛擬數(shù)字環(huán)境中確認(rèn)操作者身份的過(guò)程。在網(wǎng)絡(luò)系統(tǒng)中，用戶的所有信息是用一組特定的數(shù)據(jù)來(lái)表示的；而在現(xiàn)實(shí)生活中，每個(gè)人都有著獨(dú)一無(wú)二的物理身份。如何確保這兩種身份的對(duì)應(yīng)性，已成為相關(guān)工作者遇到的難題。而采用身份認(rèn)證技術(shù)可很好地解決該難題。該技術(shù)主要包括基于隨機(jī)口令的雙因素認(rèn)證和基于RKI體制的數(shù)字證書認(rèn)證技術(shù)等?；诳诹畹纳矸菡J(rèn)證技術(shù)具有使用靈活、投入小等特點(diǎn)，在一些封閉的小型系統(tǒng)或安全性要求較低的系統(tǒng)中非常適用；基于PKI體制的數(shù)字證書認(rèn)證技術(shù)可有效保證信息系統(tǒng)的真實(shí)性、完整性、機(jī)密性等。

4結(jié)束語(yǔ)

綜上所述，安全是煙草公司網(wǎng)絡(luò)賴以生存的重要前提，網(wǎng)絡(luò)安全的最終目標(biāo)是確保在網(wǎng)絡(luò)中交換的數(shù)據(jù)信息不會(huì)被刪除、篡改、泄露甚至破壞，從而提高系統(tǒng)應(yīng)用的可控性和保密性。因此，煙草公司必須具備一套行之有效的網(wǎng)絡(luò)安全防護(hù)機(jī)制，增強(qiáng)自身網(wǎng)絡(luò)的整體防御能力，研發(fā)網(wǎng)絡(luò)安全立體防護(hù)技術(shù)。只有建立完善的信息安全防范體系，才能使煙草公司內(nèi)部的重要信息資源得到有效保護(hù)。

參考文獻(xiàn)

［1］張玨，田建學(xué).網(wǎng)絡(luò)安全新技術(shù)［J］.電子設(shè)計(jì)工程，2011，19（12）.

篇5

【 關(guān)鍵詞 】 指揮信息系統(tǒng)；AP2DR2；安全防護(hù)體系；安全管理

Research on The Security Protection Architecture of C4ISR System Based On AP2DR2

Wu Si-gen

（Jiangsu Automation Research Institute JaingsuLianyungang 222006）

【 Abstract 】 This paper firstly introduced the concepts and features of C4ISR System security protection，and then analyzed how to implementate network security in terms of network security strategy and technology.The C4ISR System security protection architecture based on AP2DR2 model is proposed，and disserated the AP2DD2 model is a multilevel and all-wave dynamic defense system.The C4ISR System security protection architecture transforms statics，passive to dynamic，initiative.The security protection architecture ensures effectually the information security of C4ISR System

【 Keywords 】 C4ISR system； AP2DR2； security protection architecture； security management

0 引言

在信息化戰(zhàn)爭(zhēng)中，指揮信息系統(tǒng)將整個(gè)作戰(zhàn)空間構(gòu)成一體化的網(wǎng)絡(luò)，實(shí)現(xiàn)了作戰(zhàn)指揮自動(dòng)化、偵察情報(bào)實(shí)時(shí)化和戰(zhàn)場(chǎng)控制數(shù)字化，大大提高了軍隊(duì)的作戰(zhàn)能力。但是，網(wǎng)絡(luò)系統(tǒng)特別是無(wú)線網(wǎng)絡(luò)的互連性和開發(fā)性不可避免地帶來(lái)了脆弱性問(wèn)題，使其容易受到攻擊、竊取和利用。在軍事斗爭(zhēng)中，摧毀和破壞對(duì)方的軍用信息網(wǎng)絡(luò)系統(tǒng)，成功地竊取和利用對(duì)方的軍事信息，就會(huì)使其聯(lián)絡(luò)中斷、指揮控制失靈、協(xié)同失調(diào)，從而奪取戰(zhàn)場(chǎng)信息的控制權(quán)，大大削弱對(duì)方軍隊(duì)的作戰(zhàn)能力。隨著戰(zhàn)場(chǎng)偵察監(jiān)視系統(tǒng)日趨完善，大量精確制導(dǎo)武器和電子武器、信息武器將廣泛投入作戰(zhàn)運(yùn)用，指揮信息系統(tǒng)安全面臨嚴(yán)重威脅。確保指揮信息系統(tǒng)信息安全已經(jīng)是一件刻不容緩的大事，因此，研究指揮信息系統(tǒng)安全防護(hù)體系具有十分重要的戰(zhàn)略意義。

1 指揮信息系統(tǒng)安全防護(hù)的基本概念和特點(diǎn)

指揮信息系統(tǒng)信息安全是在指揮機(jī)構(gòu)的統(tǒng)一領(lǐng)導(dǎo)下，運(yùn)用各種技術(shù)手段和防護(hù)力量，為保護(hù)指揮信息系統(tǒng)中各類信息的保密、完整、可用、可控，防止被敵方破壞和利用，而采取的各種措施和進(jìn)行的相關(guān)活動(dòng)。隨著軍隊(duì)建設(shè)和未來(lái)戰(zhàn)爭(zhēng)對(duì)信息的依賴程度越來(lái)越高，指揮信息系統(tǒng)信息安全問(wèn)題日益突出。

近50年來(lái)，信息系統(tǒng)安全經(jīng)歷了通信保密、信息安全和信息保障幾個(gè)幾個(gè)重要的發(fā)展階段。圖1給出了從通信保密到信息保障的概念發(fā)展示意。

通信保密指的是信息在處理、存儲(chǔ)、傳輸和還原的整個(gè)過(guò)程中通過(guò)密碼進(jìn)行保護(hù)的技術(shù)。它以確保傳輸信息的機(jī)密性和完整性，防止敵方從截獲的信號(hào)中讀取有用信息為目的。通信保密技術(shù)經(jīng)歷了從簡(jiǎn)單到復(fù)雜、從早期的單機(jī)保密到進(jìn)入網(wǎng)絡(luò)時(shí)代后的通信網(wǎng)絡(luò)保密的發(fā)展過(guò)程。直到現(xiàn)在，加密保護(hù)仍是軍事通信系統(tǒng)重要防護(hù)手段。通信保密的核心是確保信息在傳輸過(guò)程中的機(jī)密性。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，信息系統(tǒng)的安全提上了日程，“保密”的概念逐漸從早期的通信保密發(fā)展到適應(yīng)于保護(hù)信息系統(tǒng)的信息安全。保密性、完整性、認(rèn)證性、抵抗賴性以及可用性和可控性成為信息安全的主要內(nèi)容。其中保密性仍然是信息安全中最重要的特性。隨著網(wǎng)絡(luò)攻防斗爭(zhēng)的日趨激烈，信息安全在信息系統(tǒng)中的地位不斷提升。信息安全的基本目標(biāo)是保護(hù)信息資源的歸屬性和完整性，維護(hù)信息設(shè)備和系統(tǒng)的正常運(yùn)轉(zhuǎn)，維護(hù)正常應(yīng)用的行為活動(dòng)。信息的保密性、完整性、可用性、可識(shí)別性、可控性和不可抵賴性成為信息安全的主要內(nèi)容。

“信息保障”首次出現(xiàn)在美國(guó)國(guó)防部（DOD）1996年12月6日頒布的官方文件DODDirective S-3600.1：Information Operation中[3]。這些文件把“信息保障”定義為“通過(guò)確保系統(tǒng)的信息作戰(zhàn)行動(dòng)，包括綜合利用保護(hù)、探測(cè)和反應(yīng)能力以恢復(fù)系統(tǒng)”。信息保障特別是將保障信息安全所必需的“保護(hù)（Protection）”、“檢測(cè)（Detection）”、“響應(yīng)（Response）”和“恢復(fù)（Restoration）”（PDRR）視為信息安全的四個(gè)聯(lián)動(dòng)的動(dòng)態(tài)環(huán)節(jié)，從而安全管理工作在一個(gè)大的框架下，能夠針對(duì)薄弱環(huán)節(jié)，有的放矢，有效防范，圍繞安全策略的具體需求有序地組織在一起，架構(gòu)一個(gè)動(dòng)態(tài)的安全防范體系。

信息化條件下，指揮信息系統(tǒng)的安全防護(hù)具有幾個(gè)特點(diǎn)。

1）防護(hù)范圍廣闊。當(dāng)前，指揮信息系統(tǒng)已經(jīng)延伸至陸、海、空、天多維空間。橫向上，除了傳統(tǒng)的情報(bào)偵察、通信、指揮控制等領(lǐng)域外，在武器控制、導(dǎo)航定位、戰(zhàn)場(chǎng)監(jiān)控等領(lǐng)域也得到了廣泛運(yùn)用?？v向上，指揮信息系統(tǒng)已經(jīng)將上至戰(zhàn)略指揮機(jī)構(gòu)下至每一個(gè)技術(shù)單位和作戰(zhàn)單元甚至單兵聯(lián)成一體。從信息安全防護(hù)角度看，信息空間的每一個(gè)局部、節(jié)點(diǎn)都可以成為信息攻擊的目標(biāo)，并進(jìn)而影響整個(gè)系統(tǒng)的信息安全。

2）防護(hù)措施綜合。未來(lái)信息化戰(zhàn)爭(zhēng)中指揮信息系統(tǒng)信息安全將面臨著火力打擊、電子偵察、電磁干擾、病毒破壞、網(wǎng)絡(luò)滲透等越來(lái)越多的“硬殺傷”和“軟殺傷”威脅，為了確保指揮信息系統(tǒng)信息安全，僅靠某一手段和方法難以到達(dá)目的，而必須采取綜合一體的防護(hù)措施。從安全技術(shù)運(yùn)用來(lái)看，除了需要運(yùn)用傳統(tǒng)的防電磁泄漏和信息加密技術(shù)外，還必須綜合運(yùn)用防病毒、防火墻、身份識(shí)別、訪問(wèn)控制、審計(jì)、入侵檢驗(yàn)、備份與應(yīng)急恢復(fù)技術(shù)；從信息安全管理角度上看，既要重視發(fā)揮各種信息安全防護(hù)技術(shù)手段等“硬件”的作用，又要重視加強(qiáng)對(duì)各類信息的安全管理，提高指揮信息系統(tǒng)各類使用和維護(hù)人員的信息安全意識(shí)和能力，發(fā)揮好“軟件”的作用。

3）攻防對(duì)抗激烈。指揮信息系統(tǒng)是各類軍事信息的集散地和信息處理中心，針對(duì)其進(jìn)行的信息攻擊，可以到達(dá)牽一發(fā)而動(dòng)全身的效果，并且其行動(dòng)代價(jià)小，易于實(shí)現(xiàn)，具有較強(qiáng)的可控性?，F(xiàn)在和未來(lái)軍事斗爭(zhēng)的需要必將推動(dòng)以指揮信息系統(tǒng)為目標(biāo)的信息斗爭(zhēng)進(jìn)一步發(fā)展，無(wú)論是戰(zhàn)時(shí)還是平時(shí)，在指揮信息系統(tǒng)對(duì)抗方面的斗爭(zhēng)將更加復(fù)雜、激烈。

2 基于AP2DR2模型的安全防護(hù)體系

指揮信息系統(tǒng)安全防護(hù)體系主要防止指揮信息系統(tǒng)的軟、硬件資源受到破壞、信息失泄（竊）或遭受攻擊，采取物理、邏輯以及行為管理的方法與措施，以保證指揮信息系統(tǒng)進(jìn)行可靠運(yùn)行與數(shù)據(jù)存儲(chǔ)、處理的安全；防止敵對(duì)國(guó)家利用信息技術(shù)對(duì)本國(guó)的國(guó)防信息系統(tǒng)進(jìn)行竊取、攻擊、破壞，包括防止對(duì)方利用信息技術(shù)竊取國(guó)防情報(bào)、壟斷信息技術(shù)、攻擊和破壞國(guó)防信息系統(tǒng)、奪取戰(zhàn)場(chǎng)上的制信息權(quán)等。指揮信息系統(tǒng)安全防護(hù)體系強(qiáng)調(diào)實(shí)施多層次防御，在整個(gè)信息基礎(chǔ)設(shè)施的所有層面上實(shí)施安全政策、步驟、技術(shù)和機(jī)制，使得攻破一層或一類保護(hù)的攻擊行為無(wú)法破壞整個(gè)信息基礎(chǔ)設(shè)施。

針對(duì)指揮信息系統(tǒng)安全防護(hù)，本文提出的AP2DR2（Analysis Policy Protection Detection Response Recovery，簡(jiǎn)稱AP2DR2）動(dòng)態(tài)安全模型是由分析（A）、策略（P）、防護(hù)（P）、檢測(cè)（D）、響應(yīng)（R）、恢復(fù)（R）等要素構(gòu)成，以人、策略、技術(shù)、管理為核心，在技術(shù)上圍繞風(fēng)險(xiǎn)分析、防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)這五個(gè)安全環(huán)節(jié)，即人要依據(jù)政策和策略，運(yùn)用相應(yīng)的技術(shù)來(lái)實(shí)施有效的部署和管理，從而實(shí)現(xiàn)整體指揮信息系統(tǒng)安全防護(hù)。如圖2所示。

該模型在整體的安全分析和安全策略的指導(dǎo)下，在綜合運(yùn)用各種防護(hù)技術(shù)（如加密、防火墻、防病毒、身份認(rèn)證、安全管理技術(shù)等）的同時(shí)，利用實(shí)時(shí)檢測(cè)技術(shù)（如入侵檢測(cè)、漏洞掃描、審計(jì)機(jī)制等）了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過(guò)實(shí)時(shí)響應(yīng)和系統(tǒng)災(zāi)難備份恢復(fù)、關(guān)鍵系統(tǒng)冗余設(shè)計(jì)等方法，構(gòu)造多層次、全方位和立體的動(dòng)態(tài)防御的安全體系。AP2DR2動(dòng)態(tài)安全模型重視系統(tǒng)級(jí)的整體安全，強(qiáng)調(diào)“人、技術(shù)和運(yùn)作”三大因素的相互作用，在指揮信息系統(tǒng)的生命周期內(nèi)，從技術(shù)、管理、過(guò)程和人員等方面提出系統(tǒng)的安全需求，指定系統(tǒng)的安全策略，配置合適的安全機(jī)制和安全產(chǎn)品，最后對(duì)系統(tǒng)的安全防護(hù)能力進(jìn)行評(píng)估。防護(hù)、監(jiān)測(cè)、響應(yīng)和災(zāi)難恢復(fù)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，共同構(gòu)造一個(gè)指揮信息系統(tǒng)網(wǎng)絡(luò)安全環(huán)境。

1） 風(fēng)險(xiǎn)分析

安全是指揮信息系統(tǒng)正常運(yùn)行的前提，指揮信息系統(tǒng)的安全不單是單點(diǎn)的安全，而是整個(gè)指揮信息系統(tǒng)網(wǎng)絡(luò)的安全，需要從多角度進(jìn)行立體防護(hù)。要防護(hù)，就要清楚安全風(fēng)險(xiǎn)來(lái)源于何處，這就需要對(duì)網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)分析，搞清楚指揮信息系統(tǒng)現(xiàn)有以及潛在的風(fēng)險(xiǎn)，充分評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的威脅和影響。風(fēng)險(xiǎn)分析是信息安全管理的基礎(chǔ)，目的是通過(guò)合理的步驟，以防止所有對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。很多風(fēng)險(xiǎn)不是因?yàn)榧夹g(shù)原因，而是由于管理原因帶來(lái)的，所以要在掌握指揮信息系統(tǒng)安全測(cè)試及風(fēng)險(xiǎn)評(píng)估技術(shù)的基礎(chǔ)上，建立基于管理和技術(shù)的面向等級(jí)保護(hù)的、完整的測(cè)評(píng)流程及風(fēng)險(xiǎn)評(píng)估體系，最后根據(jù)風(fēng)險(xiǎn)分析結(jié)果，制定安全策略。這是實(shí)施指揮信息系統(tǒng)安全建設(shè)必須最先解決的問(wèn)題。

2） 安全策略

安全策略是一系列政策的集合，用來(lái)規(guī)范對(duì)組織資源的管理、保護(hù)以及分配，以達(dá)到最終安全的目的。安全策略的設(shè)計(jì)主要是為了防止發(fā)生錯(cuò)誤行為并確保管理控制能夠保持一種良好的狀態(tài)。指揮信息系統(tǒng)安全策略涵蓋面很多，一個(gè)信息網(wǎng)絡(luò)的總體安全策略，可以概括為“實(shí)體可信，行為可控，資源可管，事件可查，運(yùn)行可靠”。安全策略是指揮信息系統(tǒng)防護(hù)重要的依據(jù)，要掌握海量數(shù)據(jù)的加密存儲(chǔ)和檢索技術(shù)，保障存儲(chǔ)數(shù)據(jù)的可靠性、機(jī)密性和安全訪問(wèn)能力。

3） 系統(tǒng)防護(hù)

指揮信息系統(tǒng)安全需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等方面進(jìn)行多層次的防護(hù)。系統(tǒng)防護(hù)是進(jìn)入網(wǎng)絡(luò)的一個(gè)門戶，它根據(jù)系統(tǒng)可能出現(xiàn)的安全問(wèn)題采取的一系列技術(shù)與管理的預(yù)防措施，實(shí)行主動(dòng)實(shí)時(shí)的防護(hù)戰(zhàn)略。防護(hù)可以預(yù)防一些被入侵檢測(cè)系統(tǒng)漏掉而又企圖非授權(quán)訪問(wèn)的行為。通過(guò)態(tài)勢(shì)感知、風(fēng)險(xiǎn)評(píng)估、安全檢測(cè)等手段對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行判斷，并依據(jù)判斷結(jié)果實(shí)施網(wǎng)絡(luò)防御的主動(dòng)安全防護(hù)體系的實(shí)現(xiàn)方法與技術(shù)。通過(guò)態(tài)勢(shì)判斷，進(jìn)行系統(tǒng)的實(shí)時(shí)調(diào)整，主動(dòng)地做出決策，而不是亡羊補(bǔ)牢，事后做決策。

4） 實(shí)時(shí)檢測(cè)

實(shí)時(shí)檢測(cè)主要包括入侵檢測(cè)、漏洞掃描、防病毒、日志與審計(jì)等，其中最為核心的是入侵檢測(cè)。入侵檢測(cè)是通過(guò)對(duì)行為、安全日志、審計(jì)數(shù)據(jù)進(jìn)行分析檢測(cè)，從中發(fā)現(xiàn)違反系統(tǒng)安全策略的行為和遭受攻擊的跡象，利用主動(dòng)或被動(dòng)響應(yīng)機(jī)制對(duì)入侵作出反應(yīng)。入侵檢測(cè)系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時(shí)捕獲下來(lái)，檢查是否有入侵或可疑活動(dòng)的發(fā)生，一旦發(fā)現(xiàn)有入侵或可疑活動(dòng)的發(fā)生，系統(tǒng)將做出實(shí)時(shí)報(bào)警響應(yīng)。入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和支持。入侵檢測(cè)最能體現(xiàn)整個(gè)模型的動(dòng)態(tài)性，是支持應(yīng)急響應(yīng)體系建設(shè)的基本要素。

5） 實(shí)時(shí)響應(yīng)

實(shí)時(shí)響應(yīng)就是對(duì)指揮信息系統(tǒng)網(wǎng)絡(luò)的異常情況做出快速積極的反應(yīng)。在安全策略指導(dǎo)下，強(qiáng)調(diào)以入侵檢測(cè)為核心的安全防御體系，發(fā)現(xiàn)并及時(shí)截?cái)嗳肭?、杜絕可疑后門和漏洞，并啟動(dòng)相關(guān)報(bào)警信息。入侵檢測(cè)與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)等安全產(chǎn)品均應(yīng)實(shí)現(xiàn)聯(lián)動(dòng)，這些聯(lián)動(dòng)本身就是應(yīng)急響應(yīng)的一個(gè)組成部分，使得以前相互獨(dú)立、需要在不同的時(shí)間段內(nèi)完成的入侵檢測(cè)和應(yīng)急響應(yīng)兩個(gè)階段有機(jī)地融為一體。要掌握有效的惡意代碼防范與反擊策略，一旦發(fā)現(xiàn)惡意代碼之后，要迅速提出針對(duì)這個(gè)惡意代碼的遏制手段，要進(jìn)一步掌握蠕蟲、病毒、木馬、僵尸網(wǎng)絡(luò)、垃圾等惡意代碼的控制機(jī)理，要提供國(guó)家層面的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)支撐技術(shù)。

6） 災(zāi)難恢復(fù)

最基本的災(zāi)難恢復(fù)當(dāng)然是利用備份技術(shù)，對(duì)數(shù)據(jù)進(jìn)行備份是為了保證數(shù)據(jù)的一致性和完整性，消除系統(tǒng)使用者和操作者的后顧之憂。其最終目標(biāo)是業(yè)務(wù)運(yùn)作能夠恢復(fù)到正常的、未破壞之前的狀態(tài)。從防護(hù)技術(shù)來(lái)看，容錯(cuò)設(shè)計(jì)、數(shù)據(jù)備份和恢復(fù)是保護(hù)數(shù)據(jù)的最后手段。在多種備份機(jī)制的基礎(chǔ)上，啟用應(yīng)急響應(yīng)恢復(fù)機(jī)制實(shí)現(xiàn)指揮信息系統(tǒng)的瞬時(shí)還原，進(jìn)行現(xiàn)場(chǎng)恢復(fù)及攻擊行為的再現(xiàn)，供研究和取證。災(zāi)難恢復(fù)大大提高了指揮信息系統(tǒng)的可靠性和可用性。

3 結(jié)束語(yǔ)

信息化條件下的現(xiàn)代戰(zhàn)爭(zhēng)中，對(duì)指揮信息系統(tǒng)的安全防護(hù)是贏得信息優(yōu)勢(shì)的基礎(chǔ)和重要保障。針對(duì)指揮信息系統(tǒng)信息面臨的安全威脅，本文提出一種基于AP2DR2模型的指揮信息系統(tǒng)信息安全防護(hù)體系，即嚴(yán)密的安全風(fēng)險(xiǎn)分析、正確的安全策略、主動(dòng)實(shí)時(shí)的防護(hù)和檢測(cè)、快速積極的響應(yīng)、及時(shí)可靠的恢復(fù)，是一個(gè)閉環(huán)控制、主動(dòng)防御的、動(dòng)態(tài)的、有效的安全防護(hù)體系，保障了指揮信息系統(tǒng)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

[1] 曹雷等. 指揮信息系統(tǒng)[M]. 北京：國(guó)防工業(yè)出版社，2012.

[2] 蘇錦海，張傳富. 指揮信息系統(tǒng)[M]. 北京：電子工業(yè)出版社，2010.

[3] 童志鵬. 綜合電子信息系統(tǒng)[M]. 北京：國(guó)防工業(yè)出版社，2010.

[4] 邢啟江. 信息時(shí)代網(wǎng)絡(luò)安全體系的建設(shè)與管理[J]. 計(jì)算機(jī)安全，2006，（10）：41-43.

[5] 牛自敏. 網(wǎng)絡(luò)安全體系及其發(fā)展趨勢(shì)綜述[J]. 科技廣場(chǎng)，2009，11：230-232.

[6] 石志國(guó)等. 計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M]. 北京：清華大學(xué)出版社，2007.

篇6

隨著4G通信技術(shù)的不斷發(fā)展和應(yīng)用，對(duì)于新技術(shù)革新帶來(lái)的網(wǎng)絡(luò)信息安全威脅更加突出。運(yùn)營(yíng)商在面對(duì)更多的不確定因素及威脅時(shí)，如何從網(wǎng)絡(luò)信息安全管控技術(shù)上來(lái)提升安全性水平，已經(jīng)成為運(yùn)營(yíng)商提供良好服務(wù)質(zhì)量的迫切難題。為此，文章將從主要安全威脅源展開探討，并就安全防范策略進(jìn)行研究。

關(guān)鍵詞：

運(yùn)營(yíng)商；網(wǎng)絡(luò)安全；威脅；防護(hù)策略

從3G到4G，隨著運(yùn)營(yíng)商全業(yè)務(wù)運(yùn)營(yíng)模式的不斷深入，對(duì)支撐網(wǎng)絡(luò)運(yùn)行的安全管控工程建設(shè)提出更高要求。特別是在應(yīng)用系統(tǒng)及用戶數(shù)的不斷增加，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，面對(duì)越來(lái)越多的應(yīng)用設(shè)備，其網(wǎng)絡(luò)安全問(wèn)題更加突出。2014年攜程小米用戶信息的泄露，再次聚焦網(wǎng)絡(luò)信息安全隱患威脅，也使得運(yùn)營(yíng)商在管控網(wǎng)絡(luò)安全及部署系統(tǒng)管理中，更需要從技術(shù)創(chuàng)新來(lái)滿足運(yùn)維需求。

1運(yùn)營(yíng)商面臨的主要安全威脅

對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)，網(wǎng)絡(luò)規(guī)模的擴(kuò)大、網(wǎng)絡(luò)用戶數(shù)的驟升，加之網(wǎng)絡(luò)分布的更加復(fù)雜，對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全等級(jí)也提出更高要求。當(dāng)前，運(yùn)營(yíng)商在加強(qiáng)網(wǎng)絡(luò)信息安全防護(hù)工作中，需要從三個(gè)方面給予高度重視：一是來(lái)自網(wǎng)絡(luò)系統(tǒng)升級(jí)改造而帶來(lái)的新威脅。從傳統(tǒng)的網(wǎng)絡(luò)系統(tǒng)平臺(tái)到今天的4G網(wǎng)絡(luò)，IMS網(wǎng)絡(luò)的商業(yè)化，對(duì)傳統(tǒng)網(wǎng)絡(luò)業(yè)務(wù)提出新的要求，特別是基于IP的全網(wǎng)業(yè)務(wù)的開展，無(wú)論是終端還是核心網(wǎng)絡(luò)，都需要從IP化模式實(shí)現(xiàn)全面互聯(lián)。在這個(gè)過(guò)程中，對(duì)于來(lái)自網(wǎng)絡(luò)的威脅將更加分散。在傳統(tǒng)運(yùn)營(yíng)商網(wǎng)絡(luò)結(jié)構(gòu)中，其威脅多來(lái)自于末端的攻擊，而利用IGW網(wǎng)絡(luò)出口DDoS技術(shù)，以及受端網(wǎng)絡(luò)防護(hù)技術(shù)就可以實(shí)現(xiàn)防范目標(biāo)，或者在關(guān)口通過(guò)部署防火墻，來(lái)降低來(lái)自末端的攻擊。但對(duì)于未來(lái)全面IP化模式，各類網(wǎng)絡(luò)安全威脅將使得運(yùn)營(yíng)商業(yè)務(wù)層面受到更大范圍的攻擊，如木馬病毒、拒絕服務(wù)攻擊等等，這些新威脅成為運(yùn)營(yíng)商IP技術(shù)防范的重點(diǎn)。二是智能化終端設(shè)備的增加帶來(lái)新的隱患。從現(xiàn)代網(wǎng)絡(luò)通信終端智能化程度來(lái)看，終端的安全性已經(jīng)威脅到網(wǎng)絡(luò)平臺(tái)及業(yè)務(wù)的安全，特別是在不同接入模式、接入速度下，智能終端與相對(duì)集中的運(yùn)營(yíng)商全業(yè)務(wù)管理之間的關(guān)聯(lián)度更加緊密，一旦智能化終端存在安全隱患，即將給通信網(wǎng)絡(luò)平臺(tái)帶來(lái)致命威脅。如智能化終端利用對(duì)運(yùn)營(yíng)商業(yè)務(wù)系統(tǒng)的集中攻擊可以導(dǎo)致運(yùn)營(yíng)商服務(wù)的中斷。同時(shí)，作為智能終端本身，因軟硬件架構(gòu)缺乏安全性評(píng)測(cè)，在網(wǎng)絡(luò)信息完整性驗(yàn)證上存在缺陷，也可能誘發(fā)篡改威脅。如在進(jìn)行通信中對(duì)信息的竊聽、篡改，這些安全漏洞也可能引發(fā)運(yùn)營(yíng)商網(wǎng)絡(luò)的安全威脅。三是現(xiàn)有安全防護(hù)體系及架構(gòu)存在不安全性風(fēng)險(xiǎn)，特別是云技術(shù)的引入，對(duì)于傳統(tǒng)網(wǎng)絡(luò)架構(gòu)來(lái)說(shuō)，在用戶數(shù)、增值業(yè)務(wù)驟升過(guò)程中，對(duì)現(xiàn)有基礎(chǔ)設(shè)施的不可預(yù)知性問(wèn)題更加復(fù)雜。另外，在網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定上，由于缺乏對(duì)現(xiàn)階段安全威脅的全面評(píng)估，可能導(dǎo)致現(xiàn)有網(wǎng)絡(luò)體系難以適應(yīng)新領(lǐng)域、新業(yè)務(wù)的應(yīng)用，而帶來(lái)更多的運(yùn)行處理故障等問(wèn)題。

2構(gòu)建運(yùn)營(yíng)商網(wǎng)絡(luò)安全防護(hù)體系和對(duì)策

2.1構(gòu)建網(wǎng)絡(luò)安全防護(hù)統(tǒng)一管控體系

開展網(wǎng)絡(luò)信息安全防范，要著力從現(xiàn)有運(yùn)營(yíng)商網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)類型出發(fā)，根據(jù)不同功能來(lái)實(shí)現(xiàn)統(tǒng)一安全管控，促進(jìn)不同應(yīng)用系統(tǒng)及管理模式之間的數(shù)據(jù)安全交互。如對(duì)網(wǎng)絡(luò)運(yùn)維系統(tǒng)安全管理，對(duì)計(jì)費(fèi)系統(tǒng)用戶的認(rèn)證與管理，對(duì)經(jīng)營(yíng)分析系統(tǒng)的授權(quán)與審計(jì)管理，對(duì)各操作系統(tǒng)數(shù)據(jù)存儲(chǔ)的分散管控等，利用統(tǒng)一的安全管控功能模塊來(lái)實(shí)現(xiàn)集中認(rèn)證、統(tǒng)一用戶管理。對(duì)于用戶管理，可以實(shí)現(xiàn)增刪修改，并根據(jù)用戶崗位性質(zhì)來(lái)明確其角色，利用授權(quán)方式來(lái)實(shí)現(xiàn)對(duì)不同角色、不同操作權(quán)限的分配和管理；在認(rèn)證模塊，可以通過(guò)數(shù)字認(rèn)證、密碼校驗(yàn)、動(dòng)態(tài)認(rèn)證及令牌等方式來(lái)進(jìn)行；在權(quán)限管理中，對(duì)于用戶的權(quán)限是通過(guò)角色來(lái)完成，針對(duì)不同用戶，從設(shè)備用戶、用戶授權(quán)訪問(wèn)等方式來(lái)實(shí)現(xiàn)同步管理。

2.2引入虛擬化技術(shù)來(lái)實(shí)現(xiàn)集中部署

從網(wǎng)絡(luò)信息安全管控平臺(tái)來(lái)看，對(duì)于傳統(tǒng)的管控方案，不能實(shí)現(xiàn)按需服務(wù)，反而增加了部署成本，降低了設(shè)備利用率。為此，通過(guò)引入虛擬化技術(shù)，部署高性能服務(wù)器來(lái)完成虛擬的應(yīng)用服務(wù)器，滿足不同客戶端的訪問(wèn)；對(duì)于客戶端不需要再部署維護(hù)客戶端，而是從虛擬服務(wù)器維護(hù)管理中來(lái)實(shí)現(xiàn)，由此減少了不必要的維護(hù)服務(wù)，確保了集中維護(hù)的便利性和有效性。另外，針對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)中的多數(shù)應(yīng)用服務(wù)器，也可以采用集中部署方式來(lái)進(jìn)行集中管理。

2.3引入RBAC角色訪問(wèn)控制模型

根據(jù)角色訪問(wèn)控制模型的構(gòu)建，可以從安全管控上，利用已知信息來(lái)賦予相應(yīng)的權(quán)限，便于正確、快速、有效的實(shí)現(xiàn)用戶特定角色的授權(quán)。同時(shí)，在對(duì)RBAC模型進(jìn)行應(yīng)用中，需要就其權(quán)限賦值進(jìn)行優(yōu)化，如對(duì)層次結(jié)構(gòu)的支持，對(duì)不同用戶群組、不同用戶存在多個(gè)崗位的角色優(yōu)化，對(duì)崗位與部門之間的協(xié)同優(yōu)化，對(duì)用戶崗位與用戶權(quán)限及其所屬崗位角色的繼承關(guān)系進(jìn)行優(yōu)化等等。

2.4融合多種認(rèn)證方式來(lái)實(shí)現(xiàn)動(dòng)態(tài)管控

根據(jù)不同系統(tǒng)應(yīng)用需求，在進(jìn)行認(rèn)證管理上，可以結(jié)合用戶登錄平臺(tái)來(lái)動(dòng)態(tài)選擇。如可以通過(guò)數(shù)字認(rèn)證、WindowsKerberos認(rèn)證、動(dòng)態(tài)令牌等認(rèn)證方式。當(dāng)用戶端采用插件方式登錄時(shí)，可以動(dòng)態(tài)配置key證書認(rèn)證，也可以通過(guò)短信認(rèn)證來(lái)發(fā)送相應(yīng)的口令。由于運(yùn)營(yíng)商網(wǎng)絡(luò)應(yīng)用賬戶規(guī)模較大，在進(jìn)行系統(tǒng)認(rèn)證時(shí)，為了確保認(rèn)證賬戶、密碼的有效性、可靠性，通常需要客戶端向應(yīng)用服務(wù)器發(fā)送請(qǐng)求，請(qǐng)求成功后再向用戶端發(fā)送認(rèn)證密碼。

2.5做好運(yùn)營(yíng)商網(wǎng)絡(luò)安全維護(hù)管理

網(wǎng)絡(luò)信息安全威脅是客觀存在的，而做好網(wǎng)絡(luò)安全的維護(hù)管理工作，從基本維護(hù)到安全防護(hù)，并從軟硬件技術(shù)完善上來(lái)提升安全水平。如對(duì)網(wǎng)絡(luò)中服務(wù)器、操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備進(jìn)行定期檢查和維護(hù)，對(duì)不同網(wǎng)絡(luò)安全等級(jí)進(jìn)行有序升級(jí)，增加網(wǎng)絡(luò)硬件加固設(shè)備，做好日常網(wǎng)絡(luò)維護(hù)工作。同時(shí)，對(duì)于安全維護(hù)崗位人員，做好網(wǎng)絡(luò)硬件設(shè)備、網(wǎng)絡(luò)訪問(wèn)控制權(quán)限的管理，并對(duì)相關(guān)的口令及密碼進(jìn)行定期更換，提升安全防護(hù)水平。另外，運(yùn)營(yíng)商在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系上，不僅要關(guān)注網(wǎng)絡(luò)層面及應(yīng)用層的安全，還要關(guān)注用戶信息的安全，要將用戶信息納入安全管理重要任務(wù)中，切實(shí)從短信認(rèn)證、用戶實(shí)名制、用戶地理信息等個(gè)人隱私保護(hù)中來(lái)保障信息的安全、可靠。

2.6做好網(wǎng)絡(luò)安全建設(shè)與升級(jí)管理

隨著網(wǎng)絡(luò)通信新業(yè)務(wù)的不斷發(fā)展，對(duì)于網(wǎng)絡(luò)信息安全威脅更加復(fù)雜而多樣，運(yùn)營(yíng)商要著力從新領(lǐng)域，制定有效的安全防護(hù)策略，從技術(shù)創(chuàng)新上來(lái)確保信息安全。一方面做好網(wǎng)絡(luò)安全策略的優(yōu)化，從網(wǎng)絡(luò)業(yè)務(wù)規(guī)劃與管理上，制定相應(yīng)的安全標(biāo)準(zhǔn)，并對(duì)各類業(yè)務(wù)服務(wù)器進(jìn)行全程監(jiān)管，確保業(yè)務(wù)從一開始就納入安全防護(hù)體系中；另一方面注重安全技術(shù)創(chuàng)新，特別是新的網(wǎng)絡(luò)安全技術(shù)、防御機(jī)制的引入，從安全技術(shù)手段來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

3結(jié)語(yǔ)

運(yùn)營(yíng)商網(wǎng)絡(luò)安全防護(hù)工作任重道遠(yuǎn)，在推進(jìn)配套體系建設(shè)上，要從安全維護(hù)的標(biāo)準(zhǔn)化、流程化，以及網(wǎng)絡(luò)安全等級(jí)制度完善上，確保各項(xiàng)安全防護(hù)工作的有效性。另外，加強(qiáng)對(duì)各類網(wǎng)絡(luò)安全應(yīng)急預(yù)案建設(shè)，尤其是建立溝通全國(guó)的安全支撐體系，從統(tǒng)一管理、協(xié)同防護(hù)上來(lái)提升運(yùn)營(yíng)商的整體安全防護(hù)能力。

作者：王樹平 東野圣堯 張宇紅 單位：泰安聯(lián)通公司

參考文獻(xiàn)：

[1]吳靜.關(guān)于通信系統(tǒng)風(fēng)險(xiǎn)的研究[J].數(shù)字通信，2014(3).

篇7

關(guān)鍵詞：網(wǎng)絡(luò)工程；安全防護(hù)技術(shù)；思考

引言

網(wǎng)絡(luò)信息技術(shù)的快速普及應(yīng)用極大地提高了人們的生活和工作效率，但與此同時(shí)，由于網(wǎng)絡(luò)信息技術(shù)自身所具有的開放性、交互性等特征，網(wǎng)絡(luò)工程在帶給人們巨大便捷的同時(shí)也面臨著日益嚴(yán)峻的安全問(wèn)題。因而如何切實(shí)加強(qiáng)網(wǎng)絡(luò)工程安全防護(hù)，形成和發(fā)展與快速發(fā)展的網(wǎng)絡(luò)信息技術(shù)相適應(yīng)的網(wǎng)絡(luò)工程安全防護(hù)能力，就成為現(xiàn)代社會(huì)網(wǎng)絡(luò)信息化建設(shè)的焦點(diǎn)問(wèn)題之一。

1網(wǎng)絡(luò)工程中存在的主要安全問(wèn)題

進(jìn)入新世紀(jì)以來(lái)，隨著網(wǎng)絡(luò)工程的使用進(jìn)一步走向深層次和綜合化，網(wǎng)絡(luò)工程中面臨的安全隱患也進(jìn)一步加劇，主要表現(xiàn)在以下幾個(gè)方面：

1.1云端安全隱患突出

隨著以“互聯(lián)網(wǎng)+”、“云計(jì)算”等新興的互聯(lián)網(wǎng)技術(shù)的進(jìn)一步普及應(yīng)用，各種針對(duì)云端的病毒、漏洞等的攻擊也隨之增多，并日益威脅到云端等技術(shù)平臺(tái)的安全使用，而各種針對(duì)云端的網(wǎng)絡(luò)攻擊，也給目前逐漸普及應(yīng)用的云計(jì)算等帶來(lái)了潛在的危害，例如2011年亞馬遜數(shù)據(jù)中心發(fā)生的宕機(jī)事故，直接導(dǎo)致大量業(yè)務(wù)中斷，而時(shí)隔一年之后，亞馬遜的云計(jì)算平臺(tái)數(shù)據(jù)中心再次發(fā)生宕機(jī)事故，導(dǎo)致Heroku、Reddit和Flipboard等知名網(wǎng)站和信息服務(wù)商受到嚴(yán)重影響，而這也已經(jīng)是過(guò)去一年半里亞馬遜云計(jì)算平臺(tái)發(fā)生的第五次宕機(jī)事故，而隨著云計(jì)算等的進(jìn)一步普及，云端安全隱患也將進(jìn)一步突出。

1.2網(wǎng)絡(luò)安全攻擊事件頻發(fā)

網(wǎng)絡(luò)安全攻擊事件頻發(fā)是近年來(lái)網(wǎng)絡(luò)工程所遭遇的最為顯著和嚴(yán)重的安全問(wèn)題之一，數(shù)據(jù)顯示，僅在2015年，全球就發(fā)生的各種網(wǎng)絡(luò)安全攻擊事件就超過(guò)了一萬(wàn)件次，直接經(jīng)濟(jì)損失高達(dá)兩千億美元，例如2015年5月27日，美國(guó)國(guó)家稅務(wù)總局遭遇黑客襲擊，超過(guò)十萬(wàn)名美國(guó)納稅人的信息被盜取，直接經(jīng)濟(jì)損失高達(dá)5000萬(wàn)美元；2015年12月1日，香港偉易達(dá)公司遭遇黑客襲擊，導(dǎo)致全球超過(guò)500萬(wàn)名消費(fèi)者的資料被泄露，可以想見，隨著未來(lái)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全保護(hù)的形勢(shì)還將進(jìn)一步嚴(yán)峻化。

1.3移動(dòng)設(shè)備及移動(dòng)支付的安全問(wèn)題加劇

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，現(xiàn)代社會(huì)已經(jīng)逐漸進(jìn)入到了“無(wú)現(xiàn)金”時(shí)代，移動(dòng)設(shè)備的進(jìn)一步普及以及移動(dòng)支付的出現(xiàn)使得人們的日常消費(fèi)活動(dòng)更為便捷，但與此同時(shí)，各種移動(dòng)支付和移動(dòng)設(shè)備的安全問(wèn)題也隨之開始浮出水面，目前來(lái)看，移動(dòng)支付過(guò)程匯總所面臨的安全問(wèn)題主要體現(xiàn)在兩個(gè)方面：一是利用移動(dòng)終端進(jìn)行支付的過(guò)程中面臨著較大的安全風(fēng)險(xiǎn)，如操作系統(tǒng)風(fēng)險(xiǎn)、木馬植入等，二是現(xiàn)有的移動(dòng)支付的主要驗(yàn)證手段為短信驗(yàn)證，這種驗(yàn)證方式較為單一且安全系數(shù)較差，這些都是許多用戶對(duì)移動(dòng)支付說(shuō)“不”的原因之一。據(jù)中國(guó)支付清算協(xié)會(huì)的《2016年移動(dòng)支付報(bào)告》顯示，移動(dòng)支付的安全問(wèn)題仍是未來(lái)移動(dòng)支付所面臨的和需要應(yīng)對(duì)的核心問(wèn)題，如何進(jìn)一步強(qiáng)化移動(dòng)支付的安全“盾牌”，仍將是未來(lái)移動(dòng)支付長(zhǎng)遠(yuǎn)發(fā)展的現(xiàn)實(shí)挑戰(zhàn)之一。

1.4網(wǎng)絡(luò)黑客的頻繁攻擊

網(wǎng)絡(luò)黑客是目前網(wǎng)絡(luò)工程所面臨的安全問(wèn)題的根源之一，可以說(shuō)，如前所述的各種網(wǎng)絡(luò)安全問(wèn)題有很多都來(lái)源于網(wǎng)絡(luò)黑客攻擊，近年來(lái)，隨著網(wǎng)絡(luò)黑客技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)黑客對(duì)全球網(wǎng)絡(luò)工程的破壞性攻擊也越來(lái)越多，且逐漸呈現(xiàn)出從傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域向工控領(lǐng)域進(jìn)行發(fā)展以及黑客活動(dòng)政治化等趨勢(shì)，例如今年年初美國(guó)總統(tǒng)大選就曾遭遇過(guò)網(wǎng)絡(luò)黑客的攻擊，所幸此次大選并未受到實(shí)質(zhì)性影響。

2網(wǎng)絡(luò)工程安全防護(hù)技術(shù)提升的路徑分析

隨著“互聯(lián)網(wǎng)+”戰(zhàn)略的實(shí)施以及網(wǎng)絡(luò)安全被上升到了國(guó)家安全的高度，加強(qiáng)網(wǎng)絡(luò)工程的安全防護(hù)已經(jīng)被提高到了一個(gè)前所未有的高度。而網(wǎng)絡(luò)工程安全防護(hù)的提升則可以說(shuō)是一項(xiàng)較為復(fù)雜的系統(tǒng)性工程，除了要在資金、人力、管理等方面上繼續(xù)下功夫以外，還必須要將加強(qiáng)網(wǎng)絡(luò)工程安全防護(hù)技術(shù)的創(chuàng)新與改進(jìn)放在一個(gè)關(guān)鍵的位置上，不斷強(qiáng)化網(wǎng)絡(luò)工程安全防護(hù)系數(shù)。

2.1合理使用防火墻技術(shù)

防火墻是網(wǎng)絡(luò)工程安全防護(hù)中所使用的常規(guī)性的網(wǎng)絡(luò)安全防護(hù)技術(shù)之一，也是目前主要應(yīng)用于防護(hù)計(jì)算機(jī)系統(tǒng)安全漏洞的主要技術(shù)手段。一般來(lái)說(shuō)，防火墻是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，同時(shí)具有訪問(wèn)控制、內(nèi)容過(guò)濾、防病毒、NAT、IPSECVPN、SSLVPN、帶寬管理、負(fù)載均衡、雙機(jī)熱備等多種功能，因此在利用防火墻技術(shù)來(lái)加強(qiáng)網(wǎng)絡(luò)工程安全防護(hù)時(shí)，首先必須選擇口碑良好、有市場(chǎng)的防火墻產(chǎn)品如NGFW4000、NGFW4000-UF等等，利用防火墻來(lái)進(jìn)行可靠的信息過(guò)濾，另一方面，需要對(duì)防火墻進(jìn)行定期升級(jí)，確保防火墻的始終處于最新版本，切實(shí)利用防火墻技術(shù)來(lái)提高網(wǎng)絡(luò)工程安全防護(hù)系數(shù)。圖1防火墻工作原理模型圖

2.2加強(qiáng)網(wǎng)絡(luò)工程病毒防護(hù)體系建設(shè)

計(jì)算機(jī)病毒是網(wǎng)絡(luò)工程所面臨著的主要安全問(wèn)題之一，因此有效加強(qiáng)網(wǎng)絡(luò)工程的病毒防護(hù)體系尤其關(guān)鍵。眾所周知，計(jì)算機(jī)病毒往往具有傳染性強(qiáng)、傳播方式多樣、破壞性大且徹底清除的難度較高等特點(diǎn)，因而一旦感染很有可能導(dǎo)致一個(gè)局域網(wǎng)中的所有計(jì)算機(jī)都受到影響，尤其是在網(wǎng)絡(luò)工程的使用環(huán)境中，一旦感染計(jì)算機(jī)病毒將很可能導(dǎo)致其他的相關(guān)計(jì)算機(jī)癱瘓，這就需要企業(yè)不僅要在殺毒軟件、防火墻技術(shù)的更新等方面下足功夫，更重要的是要努力建立起多層次、立體化的病毒防護(hù)體系，同時(shí)努力搭建起便捷智能化的計(jì)算機(jī)病毒立體化管理系統(tǒng)，對(duì)整個(gè)系統(tǒng)中用戶設(shè)備進(jìn)行集中式的安全管理，切實(shí)提升對(duì)計(jì)算機(jī)病毒的防護(hù)效率，嚴(yán)格確保計(jì)算機(jī)不受病毒的侵染。

2.3搭配反垃圾郵件系統(tǒng)

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，電子郵件已經(jīng)成為互聯(lián)網(wǎng)信息時(shí)代下最受歡迎的通訊方式之一，但與此同時(shí)越來(lái)越多的垃圾郵件的出現(xiàn)也日漸困擾著人們的正常工作，垃圾郵件不僅占用了人們的寶貴的精力和時(shí)間，更重要的是它有可能給企業(yè)帶來(lái)嚴(yán)重的損失，我國(guó)是世界上的垃圾郵件大國(guó)之一，每年垃圾郵件的接收在全球位居前列，為此，不斷提升網(wǎng)絡(luò)工程的安全防護(hù)需要同時(shí)搭配有先進(jìn)成熟的反垃圾郵件系統(tǒng)，有效搭建企業(yè)內(nèi)部的“郵箱防護(hù)墻”，確保企業(yè)內(nèi)外部的郵件安全。

2.4強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)信息加密技術(shù)使用

針對(duì)當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)信息頻繁泄露的現(xiàn)實(shí)情況，加強(qiáng)網(wǎng)絡(luò)工程安全防護(hù)技術(shù)必須要努力強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)信息加密技術(shù)的使用，在實(shí)際使用過(guò)程中，可以通過(guò)對(duì)網(wǎng)絡(luò)工程中的相關(guān)軟件、網(wǎng)絡(luò)數(shù)據(jù)庫(kù)等進(jìn)行加密處理，提高和強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)信息加密技術(shù)的普及使用。

3總結(jié)

總之，加強(qiáng)網(wǎng)絡(luò)工程安全防護(hù)是一項(xiàng)較為復(fù)雜的系統(tǒng)性工程，需要涉及到方方面面的技術(shù)條件乃至相應(yīng)的管理、人力物力等方面的投入，更為重要的是，需要經(jīng)過(guò)系統(tǒng)的分析從而將這些技術(shù)手段有機(jī)結(jié)合起來(lái)，使之形成一個(gè)系統(tǒng)，從而更好地在網(wǎng)絡(luò)工程安全防范中發(fā)揮整體合力，有效提高網(wǎng)絡(luò)工程安全防范實(shí)效。

參考文獻(xiàn)：

[1]鄭邦毅,蔡友芬.網(wǎng)絡(luò)工程安全防護(hù)技術(shù)的探討[J].電子技術(shù)與軟件工程，2016.

[2]謝超亞.網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)的思考[J].信息化建設(shè)，2015.

[3]陳健,唐彥儒.關(guān)于網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)的思考[J].價(jià)值工程，2015.

[4]彭海琴.關(guān)于網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)的思考[J].電子技術(shù)與軟件工程，2014.

篇8

【關(guān)鍵詞】OA系統(tǒng) 安全評(píng)估 安全策略

信息化建設(shè)作為國(guó)家戰(zhàn)略發(fā)展的重要內(nèi)容，保障信息安全是發(fā)揮網(wǎng)絡(luò)系統(tǒng)優(yōu)勢(shì)的必然條件。OA系統(tǒng)作為協(xié)同辦公平臺(tái)，承擔(dān)著系統(tǒng)內(nèi)部信息流的互聯(lián)互通，而加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)安全體系的評(píng)估是制定安全保障策略的重中之重。

1 OA系統(tǒng)組成及防護(hù)設(shè)計(jì)

從當(dāng)前互聯(lián)網(wǎng)發(fā)展現(xiàn)狀來(lái)看，OA系統(tǒng)已經(jīng)不再局限于某地的協(xié)同辦公網(wǎng)絡(luò)，而是基于不同地域下，從企業(yè)及下屬各機(jī)構(gòu)之間的全局化管理需求上，搭建滿足日常辦公、業(yè)務(wù)處理、事務(wù)管理等活動(dòng)的，涵蓋公文收發(fā)、文件查詢、簽報(bào)處理、會(huì)議管理等在內(nèi)的多元化信息交互平臺(tái)，從而實(shí)現(xiàn)企業(yè)辦公無(wú)紙化、信息化、網(wǎng)絡(luò)化目標(biāo)。如圖1所示。

從圖1所示的OA系統(tǒng)結(jié)構(gòu)來(lái)看，主要有基礎(chǔ)層、數(shù)據(jù)庫(kù)層、業(yè)務(wù)邏輯層、表示層等四部分組成，并通過(guò)各級(jí)接口單元來(lái)實(shí)現(xiàn)不同用戶、不用業(yè)務(wù)的互聯(lián)互通。

從OA系統(tǒng)管理來(lái)看，安全性是運(yùn)行的關(guān)鍵，而加強(qiáng)對(duì)OA系統(tǒng)數(shù)據(jù)的安全防范，主要從防范破壞、竊聽、篡改、偽造等方面，來(lái)構(gòu)建多層級(jí)安全防護(hù)體系。依據(jù)木桶原理，一個(gè)應(yīng)用系統(tǒng)的安全等級(jí)是由最低的短板來(lái)決定，同樣，對(duì)于OA系統(tǒng)安全來(lái)說(shuō)，如果存在某一弱項(xiàng)，就會(huì)降低系統(tǒng)的整體安全性。為此，在設(shè)計(jì)OA系統(tǒng)安全防護(hù)時(shí)，要統(tǒng)籌考慮，要將物理安全、主機(jī)安全、應(yīng)用安排進(jìn)行綜合，來(lái)共同制定完善的安全管理保障體系。如在物理安全防護(hù)上，要對(duì)OA系統(tǒng)內(nèi)的各類網(wǎng)絡(luò)硬件設(shè)備與其他媒介設(shè)施進(jìn)行有效隔離，減少和降低可能存在的安全風(fēng)險(xiǎn)。利用網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)病毒監(jiān)測(cè)數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)入侵系統(tǒng)等設(shè)備來(lái)實(shí)現(xiàn)有效監(jiān)控；在對(duì)主機(jī)系統(tǒng)進(jìn)行防護(hù)上，通過(guò)設(shè)置漏洞掃描系統(tǒng)等保障其安全性；在對(duì)應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)時(shí)，利用證書管理系統(tǒng)來(lái)通過(guò)證書管理、授權(quán)管理等實(shí)現(xiàn)安全保障。

2 OA系統(tǒng)安排評(píng)估及保障策略構(gòu)建

提升OA系統(tǒng)的安全防護(hù)等級(jí)，必然需要從OA系統(tǒng)安全評(píng)估中來(lái)構(gòu)建防范策略。隨著OA系統(tǒng)應(yīng)用的不斷拓展，面對(duì)安全防護(hù)體系建設(shè)要求也越來(lái)越高，各類防范安全攻擊手段也不斷增強(qiáng)。作為一種動(dòng)態(tài)的防護(hù)保障體系，通常需要經(jīng)歷安全策略制定、安全風(fēng)險(xiǎn)評(píng)估、系統(tǒng)配置調(diào)整和應(yīng)急預(yù)案編制、應(yīng)急響應(yīng)和系統(tǒng)數(shù)據(jù)恢復(fù)等流程。

2.1 制定安全策略

安全策略的制定是保障OA系統(tǒng)的基礎(chǔ)，也是首項(xiàng)任務(wù)。從不同OA系統(tǒng)管理安全目標(biāo)來(lái)說(shuō)，在制定安全策略上，要確保安全設(shè)備、主機(jī)設(shè)備、服務(wù)器系統(tǒng)的連續(xù)性和可擴(kuò)展性。

2.2 做好安全風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是制定安全策略的前提，也是圍繞可能存在的安全威脅，對(duì)可能存在的網(wǎng)絡(luò)攻擊行為、網(wǎng)絡(luò)安全漏洞等進(jìn)行專門防范的基礎(chǔ)。隨著OA系統(tǒng)功能的不斷拓展，面臨的安全風(fēng)險(xiǎn)也更加多樣。因此需要從安全風(fēng)險(xiǎn)評(píng)估中通過(guò)技術(shù)手段來(lái)進(jìn)行安全檢測(cè)。具體評(píng)估方法有兩種。一種是對(duì)單一安全因素進(jìn)行評(píng)估。如對(duì)于網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、計(jì)算機(jī)本身進(jìn)行安全性評(píng)估，并從網(wǎng)絡(luò)設(shè)備的使用數(shù)量、型號(hào)、性能等信息上進(jìn)行合理部署和優(yōu)化，利用操作系統(tǒng)安裝相應(yīng)的安全軟件，并從補(bǔ)丁庫(kù)、漏洞庫(kù)及時(shí)更新上來(lái)做好各項(xiàng)風(fēng)險(xiǎn)源的檢測(cè)和控制。針對(duì)網(wǎng)絡(luò)上流行的病毒、木馬等惡意代碼，可以通過(guò)定期升級(jí)、備份來(lái)進(jìn)行防范。另一種是整體安全評(píng)估，通過(guò)綜合性安全防范分析軟件，從系統(tǒng)安全性等級(jí)、系統(tǒng)安全趨勢(shì)分析、系統(tǒng)安全缺陷等方面進(jìn)行綜合評(píng)估，并發(fā)現(xiàn)和鎖定可能風(fēng)險(xiǎn)源，為下一步構(gòu)建安全防護(hù)體系提供參考。

2.3 優(yōu)化安全配置數(shù)據(jù)

通過(guò)安全評(píng)估，針對(duì)可能存在的安全隱患，需要從具體的安全策略制定上來(lái)加以優(yōu)化，來(lái)改進(jìn)系統(tǒng)安全等級(jí)。如對(duì)于某類風(fēng)險(xiǎn)源，利用設(shè)置防范參數(shù)來(lái)進(jìn)行過(guò)濾和截獲。同時(shí)，針對(duì)病毒庫(kù)、事件庫(kù)、安全補(bǔ)丁更新問(wèn)題，可以從自動(dòng)升級(jí)、人工升級(jí)模式設(shè)置上來(lái)優(yōu)化；對(duì)于各類網(wǎng)絡(luò)共享端口，通過(guò)設(shè)置安全口令來(lái)進(jìn)行授權(quán)管理；對(duì)于系統(tǒng)服務(wù)器及其他安全設(shè)備，不必要的端口要進(jìn)行關(guān)閉。

2.4 制定安全應(yīng)急預(yù)案

應(yīng)急預(yù)案是在可能存在的安全攻擊或自然災(zāi)害時(shí)所采取的系統(tǒng)化解決防范思路和方法。如對(duì)于常見的網(wǎng)絡(luò)攻擊行為，通過(guò)應(yīng)急預(yù)案來(lái)進(jìn)行處置，來(lái)減少和避免損失，提升網(wǎng)絡(luò)管理系統(tǒng)安全性。以某意外斷電為例，在應(yīng)急措施編制上，應(yīng)該對(duì)主機(jī)系統(tǒng)進(jìn)行有序斷電，在UPS電池耗盡前完成服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等系統(tǒng)的關(guān)閉；在電力恢復(fù)時(shí)，應(yīng)該遵循打開總開關(guān)、啟動(dòng)UPS，逐次打開分支開關(guān)，啟動(dòng)核心路由器、交換機(jī)和網(wǎng)絡(luò)安全設(shè)備，再依次打開各個(gè)服務(wù)器，對(duì)各服務(wù)器工作狀態(tài)進(jìn)行檢查，確保正常啟動(dòng)相應(yīng)服務(wù)。

2.5 應(yīng)急響應(yīng)及數(shù)據(jù)恢復(fù)

應(yīng)急響應(yīng)是對(duì)存在的安全風(fēng)險(xiǎn)及事件進(jìn)行響應(yīng)的過(guò)程，通常在發(fā)生網(wǎng)絡(luò)異?；蚋婢瘯r(shí)，需要對(duì)根據(jù)預(yù)案來(lái)進(jìn)行應(yīng)急處置。如對(duì)于某次網(wǎng)絡(luò)病毒攻擊事件，在應(yīng)急預(yù)案設(shè)計(jì)上，應(yīng)該遵循六點(diǎn)：

（1）首先對(duì)被感染計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)隔離；

（2）對(duì)該系統(tǒng)硬盤數(shù)據(jù)進(jìn)行備份；

（3）判嗖《糾嘈汀⑽：Γ涉及到那些網(wǎng)絡(luò)端口，并啟動(dòng)殺毒軟件對(duì)該計(jì)算機(jī)系統(tǒng)進(jìn)行全面殺毒處理；

（4）為保障安全，需要對(duì)其他服務(wù)器系統(tǒng)進(jìn)行病毒掃描和清除；

（5）對(duì)于殺毒軟件無(wú)法清除的病毒應(yīng)立即報(bào)告，并聯(lián)系廠商協(xié)助解決，針對(duì)事態(tài)危重問(wèn)題，要告知相關(guān)部門給予協(xié)同處理，并病毒語(yǔ)境；

（6）清除完病毒后，重新啟動(dòng)計(jì)算機(jī)并接入網(wǎng)絡(luò)系統(tǒng)。應(yīng)急恢復(fù)是在完成安全防范事件后，對(duì)原有系統(tǒng)進(jìn)行啟動(dòng)，并將系統(tǒng)恢復(fù)至正常狀態(tài)。

3 結(jié)語(yǔ)

OA系統(tǒng)安全評(píng)估及策略的制定，重點(diǎn)在于對(duì)可能存在的應(yīng)急風(fēng)險(xiǎn)進(jìn)行預(yù)案設(shè)計(jì)和應(yīng)急響應(yīng)，并從異常事件處置中總結(jié)經(jīng)驗(yàn)，優(yōu)化安全策略，確保OA系統(tǒng)處于良好運(yùn)行狀態(tài)。

參考文獻(xiàn)

[1]陳建新，王金玉，陳禹，程渙青，胡韜.OA網(wǎng)絡(luò)信息系統(tǒng)的頂層設(shè)計(jì)方略[J].辦公自動(dòng)化，2014（10）.

[2]陳燕，魏鵬飛.辦公自動(dòng)化系統(tǒng)安全控制策略[J].技術(shù)與市場(chǎng)，2016（06）.

篇9

關(guān)鍵詞：大數(shù)據(jù)；計(jì)算機(jī)信息安全；企業(yè)；防護(hù)策略

大數(shù)據(jù)（bigdata）形成于傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用中，并不能將它理解為傳統(tǒng)意義中大量數(shù)據(jù)的集合，而是其中涵蓋了更多的數(shù)據(jù)信息處理技術(shù)、傳輸技術(shù)和應(yīng)用技術(shù)。正如國(guó)際信息咨詢公司Gartner所言“大數(shù)據(jù)在某些層面已經(jīng)超越了現(xiàn)有計(jì)算機(jī)信息技術(shù)處理能力范圍，它是一種極端信息資源。[1]”正是基于此，社會(huì)各個(gè)領(lǐng)域行業(yè)才應(yīng)用大數(shù)據(jù)技術(shù)來(lái)為計(jì)算機(jī)信息安全提供防范措施，尤其是企業(yè)計(jì)算機(jī)信息網(wǎng)絡(luò)，更需要它來(lái)構(gòu)建網(wǎng)絡(luò)信息防護(hù)體系，迎接來(lái)自于企業(yè)外部不同背景下的不同安全威脅。

1關(guān)于企業(yè)計(jì)算機(jī)信息安全防護(hù)體系的建設(shè)需求

企業(yè)計(jì)算機(jī)系統(tǒng)涉及海量數(shù)據(jù)和多種關(guān)鍵技術(shù)，它是企業(yè)正常運(yùn)營(yíng)的大腦，為了避免來(lái)自于內(nèi)外因素的干擾，確保企業(yè)正常運(yùn)轉(zhuǎn)，必須為“大腦”建立計(jì)算機(jī)信息安全防護(hù)體系，基于信息安全水平評(píng)價(jià)目標(biāo)來(lái)確立各項(xiàng)預(yù)訂指標(biāo)性能，確保企業(yè)計(jì)算機(jī)系統(tǒng)不會(huì)遭遇侵犯威脅，保護(hù)重要信息安全。因此企業(yè)所希望的安全防護(hù)體系建設(shè)應(yīng)該滿足以下3項(xiàng)需要。首先，該安全防護(hù)體系能夠系統(tǒng)的從企業(yè)內(nèi)外部環(huán)境、生產(chǎn)及銷售業(yè)務(wù)流程來(lái)綜合判斷和考慮企業(yè)計(jì)算機(jī)信息安全技術(shù)、制度及管理相關(guān)問(wèn)題，并同時(shí)快速分析出企業(yè)在計(jì)算機(jī)信息管理過(guò)程中可能存在的各種安全隱患及危險(xiǎn)因素。指出防護(hù)體系中所存在的缺陷，并提出相應(yīng)的防護(hù)措施。其次，可以對(duì)潛在威脅企業(yè)計(jì)算機(jī)系統(tǒng)的不安定因素進(jìn)行定性、定量分析，有必要時(shí)還要建立全面評(píng)價(jià)模型來(lái)展開分析預(yù)測(cè)，提出能夠確保體系信息安全水平提升的優(yōu)質(zhì)方案。第三，可以利用體系評(píng)價(jià)結(jié)果來(lái)確定企業(yè)信息安全水平與企業(yè)規(guī)模，同時(shí)評(píng)價(jià)該防護(hù)體系能為企業(yè)帶來(lái)多大收益，確保防護(hù)體系能與企業(yè)所投入發(fā)展?fàn)顩r相互吻合。

2大數(shù)據(jù)環(huán)境對(duì)企業(yè)計(jì)算機(jī)信息安全建設(shè)的影響

大數(shù)據(jù)環(huán)境改變了企業(yè)計(jì)算機(jī)信息安全建設(shè)的思路與格局，應(yīng)該從技術(shù)與管理維度兩個(gè)層面來(lái)看這些影響變化。

2.1基于企業(yè)計(jì)算機(jī)信息安全建設(shè)的技術(shù)維度影響

大數(shù)據(jù)所蘊(yùn)含技術(shù)豐富，它可以運(yùn)用分布式并行處理機(jī)制來(lái)管理企業(yè)計(jì)算機(jī)信息安全。它不僅僅能確保企業(yè)信息的可用性與完整性，還能提高信息處理的準(zhǔn)確性與傳輸連續(xù)性。因?yàn)樵诖髷?shù)據(jù)背景下，復(fù)雜數(shù)據(jù)類型處理案例比比皆是，必須要避免信息處理過(guò)程錯(cuò)誤所帶來(lái)的企業(yè)信息資源安全損失，所以應(yīng)該采取大數(shù)據(jù)環(huán)境技術(shù)來(lái)展開新的信息處理方式及存儲(chǔ)方式，像以Hadoop平臺(tái)為主的Mapreduce分布式計(jì)算就能啟動(dòng)云存儲(chǔ)方式，對(duì)企業(yè)計(jì)算機(jī)信息進(jìn)行有效存儲(chǔ)、轉(zhuǎn)移和管理，提高其信息安全水平。分布式計(jì)算會(huì)為企業(yè)計(jì)算機(jī)信息建立大型數(shù)據(jù)庫(kù)，或者采用第三方云服務(wù)提供商所提供的虛擬平臺(tái)來(lái)管理信息，這種做法可以為企業(yè)省下防火墻、數(shù)據(jù)庫(kù)、基礎(chǔ)性安防技術(shù)等等建設(shè)環(huán)節(jié)的大筆成本費(fèi)用。在信息傳遞方面，大數(shù)據(jù)環(huán)境主要能夠干預(yù)企業(yè)信息傳遞，例如為企業(yè)計(jì)算機(jī)系統(tǒng)提供高速不中斷的傳遞功能模塊，以確保企業(yè)信息傳遞的完整性與可持續(xù)性。在此過(guò)程中為了確保企業(yè)計(jì)算機(jī)信息傳輸?shù)陌踩煽?，就?huì)基于大數(shù)據(jù)技術(shù)來(lái)為企業(yè)提供數(shù)據(jù)加密服務(wù)，確保數(shù)據(jù)傳輸整個(gè)過(guò)程都處于安全狀態(tài)，避免任何信息泄露、被盜取現(xiàn)象的發(fā)生。

2.2基于企業(yè)計(jì)算機(jī)信息安全建設(shè)的管理維度影響

在大數(shù)據(jù)環(huán)境下，企業(yè)計(jì)算機(jī)信息安全的管理維度影響不容忽視，它體現(xiàn)在人員管理、大數(shù)據(jù)管理與第三方信息安全等多個(gè)方面。在人員管理管理方面，大數(shù)據(jù)為企業(yè)所提供的是由傳統(tǒng)集中辦公向分散式辦公的工作模式轉(zhuǎn)變，它創(chuàng)建了企業(yè)自帶辦公設(shè)備BYOD（BringYourOwnDevice），BYOD一方面能有效提高員工積極性，一方面也能為企業(yè)購(gòu)置辦公設(shè)備節(jié)約成本，不過(guò)它也能影響到企業(yè)計(jì)算機(jī)的信息安全管理事項(xiàng)，移動(dòng)設(shè)備大幅度降低了企業(yè)對(duì)計(jì)算機(jī)系統(tǒng)安全的可控度，可能會(huì)難以發(fā)現(xiàn)來(lái)自于外部黑客及安全漏洞、計(jì)算機(jī)病毒對(duì)系統(tǒng)的入侵，一定程度上增加了信息泄漏的安全隱患。在第三方信息安全管理方面，它可能會(huì)對(duì)企業(yè)信息安全帶來(lái)巨大影響，因?yàn)榈谌叫畔⑹切枰脕?lái)進(jìn)行加工分析的，但它對(duì)于企業(yè)計(jì)算機(jī)系統(tǒng)是否能形成保障實(shí)際上是難以被企業(yè)穩(wěn)定控制的，所以企業(yè)要確切保證第三方信息安全管理的有效性，基于大數(shù)據(jù)強(qiáng)化企業(yè)信息安全水平，利用分權(quán)式組織結(jié)構(gòu)來(lái)提高企業(yè)計(jì)算機(jī)系統(tǒng)及信息的利用效率，同時(shí)也增強(qiáng)大數(shù)據(jù)之于企業(yè)計(jì)算機(jī)系統(tǒng)的應(yīng)用實(shí)效性。

3基于大數(shù)據(jù)優(yōu)化環(huán)境下的企業(yè)計(jì)算機(jī)信息安全防護(hù)策略

企業(yè)計(jì)算機(jī)信息安全對(duì)企業(yè)發(fā)展至關(guān)重要，為其建立安全防護(hù)體系首先要明確其信息安全管理是一項(xiàng)動(dòng)態(tài)復(fù)雜的系統(tǒng)性工程。企業(yè)需要從管理、人員和技術(shù)3方面來(lái)滲透大數(shù)據(jù)意識(shí)及相關(guān)技術(shù)理念，為企業(yè)計(jì)算機(jī)系統(tǒng)構(gòu)筑防線，保護(hù)信息安全。

3.1基于管理層面的計(jì)算機(jī)信息安全防護(hù)策略

社會(huì)企業(yè)其實(shí)就是大數(shù)據(jù)的主要來(lái)源，所以企業(yè)在對(duì)自身計(jì)算機(jī)信息安全進(jìn)行保護(hù)過(guò)程中需要面臨可能存在的技術(shù)單一、難以滿足企業(yè)信息安全需求等問(wèn)題。企業(yè)需要基于大數(shù)據(jù)技術(shù)來(lái)建立計(jì)算機(jī)信息安全防護(hù)機(jī)制，從大數(shù)據(jù)本身出發(fā)，做到對(duì)數(shù)據(jù)的有效收集和合理分析，準(zhǔn)確排查安全問(wèn)題，建立企業(yè)計(jì)算機(jī)信息安全組織機(jī)構(gòu)。本文認(rèn)為，該計(jì)算機(jī)信息安全防護(hù)策略中應(yīng)該包含安全運(yùn)行監(jiān)管機(jī)制、信息安全快速響應(yīng)機(jī)制、信息訪問(wèn)控制機(jī)制、信息安全管理機(jī)制以及災(zāi)難備份機(jī)制等等。在面對(duì)企業(yè)的關(guān)鍵性信息時(shí)，應(yīng)該在計(jì)算機(jī)系統(tǒng)中設(shè)置信息共享圈，盡可能降低外部不相關(guān)人員對(duì)于某些機(jī)密信息的接觸可能性，所以在此共享圈中還應(yīng)該設(shè)置信息共享層次安全結(jié)構(gòu)，為信息安全施加“雙保險(xiǎn)”。另一方面，企業(yè)管理層也應(yīng)該為計(jì)算機(jī)系統(tǒng)建立信息安全生態(tài)體系，一方面為保護(hù)管理層信息流通與共享，一方面也希望在大數(shù)據(jù)環(huán)境下實(shí)現(xiàn)信息技術(shù)的有效交流，為管理層提出企業(yè)決策提供有力技術(shù)支持。再者，企業(yè)應(yīng)該完善大數(shù)據(jù)管理制度。首先企業(yè)應(yīng)該明確大數(shù)據(jù)主要由非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)共同組成，所以要明確計(jì)算機(jī)系統(tǒng)中的所有大數(shù)據(jù)信息應(yīng)該通過(guò)周密分析與計(jì)算才能最終獲取，做到對(duì)系統(tǒng)中大數(shù)據(jù)存儲(chǔ)、分析、應(yīng)用與管理等流程的有效規(guī)范。舉例來(lái)說(shuō)，某些企業(yè)在管理存儲(chǔ)于云端的第三方信息時(shí)，就應(yīng)該履行與云服務(wù)商所簽訂的第三方協(xié)議，在此基礎(chǔ)上來(lái)為企業(yè)自身計(jì)算機(jī)系統(tǒng)設(shè)置單獨(dú)隔離單元，防止信息泄露現(xiàn)象。另一方面，企業(yè)必須實(shí)施基于大數(shù)據(jù)的組織結(jié)構(gòu)扁平化建設(shè)，這樣也能確保計(jì)算機(jī)系統(tǒng)信息流轉(zhuǎn)速度無(wú)限加快，有效降低企業(yè)基層員工與高層管理人員及領(lǐng)導(dǎo)之間的信息交流障礙[2]。

3.2基于人員層面的計(jì)算機(jī)信息安全防護(hù)策略

目前企業(yè)人員所應(yīng)用計(jì)算機(jī)個(gè)人系統(tǒng)已經(jīng)趨向于移動(dòng)智能終端化，許多BYOD工作方案紛紛出現(xiàn)。這些工作方案利用智能移動(dòng)終端連接企業(yè)內(nèi)部網(wǎng)絡(luò)，可以實(shí)現(xiàn)對(duì)企業(yè)數(shù)據(jù)庫(kù)及內(nèi)部信息的有效訪問(wèn)，這雖然能夠提高員工的工作積極性，節(jié)約企業(yè)購(gòu)置辦公設(shè)備成本，但實(shí)際上它也間接加大了企業(yè)對(duì)計(jì)算機(jī)信息安全的管理難度。具體來(lái)說(shuō)，企業(yè)無(wú)法跟蹤員工的移動(dòng)終端來(lái)監(jiān)控黑客行蹤，無(wú)法第一時(shí)間發(fā)現(xiàn)潛藏病毒對(duì)企業(yè)計(jì)算機(jī)系統(tǒng)及內(nèi)網(wǎng)安全的潛在威脅。因此企業(yè)需要針對(duì)員工個(gè)人來(lái)展開大數(shù)據(jù)背景下的信息流通及共享統(tǒng)計(jì)，明確員工在工作進(jìn)程中信息的實(shí)際利用狀況。而且企業(yè)也應(yīng)該在基于保護(hù)大數(shù)據(jù)安全的背景下來(lái)強(qiáng)化員工信息安全教育，培養(yǎng)他們的信息安全意識(shí)，讓員工在使用BYOD進(jìn)行企業(yè)內(nèi)部計(jì)算機(jī)數(shù)據(jù)庫(kù)訪問(wèn)及相關(guān)信息共享過(guò)程中提前主動(dòng)做好數(shù)據(jù)防護(hù)工作，輔助企業(yè)共同保護(hù)內(nèi)部重要機(jī)密信息。

3.3基于安全監(jiān)管技術(shù)層面的計(jì)算機(jī)信息安全防護(hù)策略

在大數(shù)據(jù)環(huán)境中，企業(yè)如果僅僅依靠計(jì)算機(jī)軟件來(lái)維持信息安全已經(jīng)無(wú)法滿足現(xiàn)實(shí)安全需求，如果能從安全監(jiān)管技術(shù)層面來(lái)提出相應(yīng)保護(hù)方案則要配合大數(shù)據(jù)相關(guān)技術(shù)來(lái)實(shí)施?？紤]到企業(yè)容易受到高級(jí)可持續(xù)攻擊（AdvancedPersistentThreat）載體的威脅（形成隱藏APT），不易被計(jì)算機(jī)系統(tǒng)發(fā)覺，為企業(yè)信息帶來(lái)不可估量威脅，所以企業(yè)應(yīng)該基于大數(shù)據(jù)技術(shù)來(lái)尋找APT在實(shí)施網(wǎng)絡(luò)攻擊時(shí)所留下的隱藏攻擊記錄，利用大數(shù)據(jù)配合計(jì)算機(jī)系統(tǒng)分析來(lái)找到APT攻擊源頭，從源頭遏制它所帶來(lái)的安全威脅，這種方法在企業(yè)已經(jīng)被證實(shí)為可行方案。另外，也可以考慮對(duì)企業(yè)計(jì)算系統(tǒng)中重要信息進(jìn)行隔離存儲(chǔ)，利用較為完整的身份識(shí)別來(lái)訪問(wèn)企業(yè)計(jì)算機(jī)管理系統(tǒng)。在這里會(huì)為每一位員工發(fā)放唯一的賬號(hào)密碼，并利用大數(shù)據(jù)來(lái)記錄員工在系統(tǒng)中操作的實(shí)時(shí)動(dòng)態(tài)，監(jiān)控他們的一切行為。企業(yè)要意識(shí)到大數(shù)據(jù)的財(cái)富化可能會(huì)導(dǎo)致計(jì)算機(jī)系統(tǒng)大量信息泄露，從而產(chǎn)生內(nèi)部威脅。所以在大數(shù)據(jù)背景下，應(yīng)該為計(jì)算機(jī)系統(tǒng)建立信息安全模式，利用其智能數(shù)據(jù)管理來(lái)實(shí)現(xiàn)系統(tǒng)的安全管理與自我監(jiān)控，盡可能減少人為操作所帶來(lái)的不必要失誤和信息篡改等安全問(wèn)題。除此之外，企業(yè)也可以考慮建立大數(shù)據(jù)實(shí)時(shí)風(fēng)險(xiǎn)模型，對(duì)計(jì)算機(jī)系統(tǒng)中所涉及的所有信息安全事件進(jìn)行有效管理，協(xié)助企業(yè)完成預(yù)警報(bào)告、應(yīng)急響應(yīng)以及風(fēng)險(xiǎn)分析，做好對(duì)內(nèi)外部違規(guī)、誤操作行為的有效審計(jì)，提高企業(yè)信息安全防護(hù)水平[3]。

4總結(jié)

現(xiàn)代企業(yè)為保護(hù)計(jì)算機(jī)信息數(shù)據(jù)安全就必須與時(shí)俱進(jìn)，結(jié)合大數(shù)據(jù)環(huán)境，利用信息管理、情報(bào)、數(shù)學(xué)模型構(gòu)建等多種科學(xué)理論來(lái)付諸實(shí)踐，分析大數(shù)據(jù)環(huán)境下可能影響到企業(yè)信息安全水平的各個(gè)因素，最后做出科學(xué)合理評(píng)價(jià)。本文僅僅從較淺角度分析了公司企業(yè)在大數(shù)據(jù)背景下對(duì)自身計(jì)算機(jī)信息安全的相關(guān)防護(hù)策略，希望為企業(yè)安全穩(wěn)定發(fā)展提供有益參考。

參考文獻(xiàn)：

[1]尹淋雨.大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評(píng)價(jià)模型研究[D].安徽財(cái)經(jīng)大學(xué),2014:49-51.

[2]雷邦蘭,龍張華.基于大數(shù)據(jù)背景的計(jì)算機(jī)信息安全及防護(hù)研討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(5):56,58.

篇10

為了深入貫徹學(xué)習(xí)關(guān)于網(wǎng)絡(luò)安全系列重要講話精神，積極響應(yīng)中央網(wǎng)信辦、工業(yè)和信息化部、公安部等六部門聯(lián)合的《關(guān)于印刷國(guó)家網(wǎng)絡(luò)安全宣傳周活動(dòng)方案的通知》的要求，9月24日，由杭州市政府、中國(guó)信息化推進(jìn)聯(lián)盟、浙江經(jīng)濟(jì)理事會(huì)主辦，杭州市拱墅區(qū)政府、中國(guó)信息化推進(jìn)聯(lián)盟協(xié)同創(chuàng)新專委會(huì)、浙江乾冠信息安全研究院承辦的2016第二屆中國(guó)網(wǎng)絡(luò)安全協(xié)同創(chuàng)新高峰論壇?杭州峰會(huì)在美麗的西子湖畔召開。

峰會(huì)上，來(lái)自中央網(wǎng)信辦、公安部、中科院及國(guó)家有關(guān)部門的領(lǐng)導(dǎo)、專家就如何學(xué)習(xí)貫徹關(guān)于網(wǎng)絡(luò)安全和信息化的系列講話精神、網(wǎng)絡(luò)安全面臨的嚴(yán)峻復(fù)雜形勢(shì)、網(wǎng)絡(luò)安全管理的方針政策、網(wǎng)絡(luò)安全體系建設(shè)的策略建議和實(shí)踐案例等進(jìn)行了研討交流。

本刊摘取部分專家精彩觀點(diǎn)，以饗讀者。

建設(shè)整體信息安全保密體系

楊國(guó)勛認(rèn)為，當(dāng)前的信息安全問(wèn)題不容小覷，特別是政府及金融、能源等關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障問(wèn)題。應(yīng)該強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全，進(jìn)而大力推動(dòng)重要領(lǐng)域整體信息安保體系建設(shè)。

但是，信息安全既沒(méi)有絕對(duì)的安全，也沒(méi)有永久的安全，因此，整體信息的安全防護(hù)也不可能一勞永逸，徹底管住。所以，在實(shí)際操作中，我們應(yīng)該是在有效安全的前提下，以發(fā)展促安全。

那么，如何做到有效防護(hù)？第一，要明確消除可預(yù)見的整體安防的薄弱點(diǎn)和空白點(diǎn)。要按照對(duì)雙方的重要性及損害的嚴(yán)重程度分類評(píng)估，來(lái)判定做還是不做。如果是有可預(yù)見的薄弱點(diǎn)，就不能做。第二，要?jiǎng)?chuàng)新安防的思路、方法、路線圖。現(xiàn)實(shí)中，我們經(jīng)常會(huì)遇到“又要馬兒跑、又要馬兒不吃草”的問(wèn)題，信息安全也是這樣的問(wèn)題，又要安全，又要擴(kuò)大應(yīng)用。在這種情況下，我們需要?jiǎng)?chuàng)新，需要從另外的角度來(lái)分析和思考。比如風(fēng)險(xiǎn)管理，不僅要分析對(duì)自己的重要性，也要分析對(duì)敵方的重要性；出了事情，要分析對(duì)自己的影響，也要分析對(duì)敵方的影響；比如法制管理，用法制的威懾力，使他不敢造次，不敢隨便地對(duì)你進(jìn)行攻擊。第三，要有科學(xué)、合理、可持續(xù)的實(shí)施方案。

互聯(lián)網(wǎng)+下的工業(yè)安全技術(shù)

在演講中，何積豐提及了工業(yè)控制系統(tǒng)的三個(gè)安全目標(biāo)：一是通信可控，要能直觀觀察、監(jiān)控、管理通信數(shù)據(jù)，僅能保證專有協(xié)議的數(shù)據(jù)傳輸，禁止其他通信；二是區(qū)域隔離，要能防止局部控制網(wǎng)絡(luò)問(wèn)題擴(kuò)散導(dǎo)致全局癱瘓，要在關(guān)鍵數(shù)據(jù)通道上部署網(wǎng)絡(luò)隔離；三是報(bào)警追蹤，要能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全問(wèn)題，確定故障點(diǎn)，記錄報(bào)警事件，為故障分析提供依據(jù)。

對(duì)于工業(yè)控制系統(tǒng)的安全防御策略，何積豐提出了五道防線，分別是：第三方商用防火墻，聯(lián)合安全網(wǎng)關(guān)，工業(yè)PC安全防護(hù)，現(xiàn)場(chǎng)設(shè)備控制防護(hù)，安全可靠的現(xiàn)場(chǎng)設(shè)備?？梢圆扇〉木唧w措施也有五條：去中心化、智能下移、異構(gòu)冗余，分布協(xié)同、蜜罐技術(shù)。

何積豐認(rèn)為，未來(lái)幾年，工業(yè)控制系統(tǒng)安全發(fā)展趨勢(shì)將朝著以下幾方面發(fā)展：一是隨著硬件元器件的可靠性越來(lái)越高及冗余技術(shù)的使用，安全問(wèn)題的矛盾主要集中于軟件，軟件安全性面臨嚴(yán)峻形勢(shì)；二是工控信息安全標(biāo)準(zhǔn)需求強(qiáng)烈，標(biāo)準(zhǔn)制定工作亟需全面推進(jìn)；三是隨著自動(dòng)化系統(tǒng)IT化，傳統(tǒng)邊界防護(hù)難以滿足工業(yè)控制環(huán)境；四是行業(yè)內(nèi)尚未形成氣候，需要整合自動(dòng)化與信息安全公司優(yōu)勢(shì)，帶動(dòng)產(chǎn)業(yè)全面發(fā)展；五是工控安全防護(hù)技術(shù)迅速發(fā)展并在局部開始試點(diǎn)，距離大規(guī)模部署和應(yīng)用有一定差距。

深化國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，全力保衛(wèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全

陳廣勇除匯報(bào)了公安部在網(wǎng)絡(luò)安全方面的一些工作情況和應(yīng)對(duì)措施之外，還給重要行業(yè)部門開展網(wǎng)絡(luò)安全工作和信息安全企業(yè)提出了一些建議。

他建議，重要行業(yè)部門開展網(wǎng)絡(luò)安全工作要統(tǒng)籌規(guī)劃行業(yè)安全工作，以網(wǎng)絡(luò)安全等級(jí)保護(hù)工作為抓手，以信息通報(bào)為平臺(tái)，以全面加強(qiáng)安全管理和技術(shù)防范為重點(diǎn)，以提高網(wǎng)絡(luò)安全保障能力為目標(biāo)，全力構(gòu)建本行業(yè)網(wǎng)絡(luò)安全綜合防御體系。

針對(duì)信息安全企業(yè)，他建議，第一是要緊密圍繞國(guó)家網(wǎng)絡(luò)安全重大舉措來(lái)開展經(jīng)營(yíng)活動(dòng)，包括及時(shí)跟蹤了解國(guó)家法律、政策、標(biāo)準(zhǔn)和重大舉措；有針對(duì)性地制定具有行業(yè)特點(diǎn)的產(chǎn)品研發(fā)戰(zhàn)略、技術(shù)創(chuàng)新，著重解決云、大、物、移以及工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)，制定相應(yīng)的整體解決方案；第二是要積極參與和跟進(jìn)信息安全標(biāo)準(zhǔn)的規(guī)范研究工作；第三是要全力支撐國(guó)家網(wǎng)絡(luò)安全重點(diǎn)工作，做好技術(shù)儲(chǔ)備和技術(shù)創(chuàng)新，信息安全企業(yè)要積極參與網(wǎng)絡(luò)安全信息通報(bào)預(yù)警、智慧城市的網(wǎng)絡(luò)安全管理、新技術(shù)、新應(yīng)用推廣等國(guó)家有較大投入的方面；第四是要加強(qiáng)規(guī)劃、科學(xué)布局，企業(yè)要做好長(zhǎng)遠(yuǎn)的戰(zhàn)略規(guī)劃，努力成為既能提供整體的網(wǎng)絡(luò)安全解決方案，也能提供高質(zhì)量的咨詢服務(wù)能力的綜合服務(wù)提供商。

擬態(tài)防御，協(xié)同眾測(cè)促進(jìn)網(wǎng)絡(luò)安全創(chuàng)新

演講中，葛培勤指出了當(dāng)今網(wǎng)絡(luò)安全的五個(gè)特點(diǎn)：一是網(wǎng)絡(luò)安全是整體的不是割裂的，二是網(wǎng)絡(luò)安全是動(dòng)態(tài)的不是靜態(tài)的，三是網(wǎng)絡(luò)安全是開放的而不是封閉的，四是網(wǎng)絡(luò)安全是相對(duì)的而不是絕對(duì)的，五是網(wǎng)絡(luò)安全是共同的而不是孤立的。他進(jìn)而指出：網(wǎng)絡(luò)防護(hù)需要靠大家共同協(xié)防，網(wǎng)絡(luò)檢測(cè)需要靠大家一起發(fā)現(xiàn)問(wèn)題，網(wǎng)絡(luò)管理需要大家齊抓共管，網(wǎng)絡(luò)應(yīng)急需要靠大家一起處置/恢復(fù)，網(wǎng)絡(luò)演練需要靠大家共同參與，網(wǎng)絡(luò)安全需要靠廣大人民。

他講到，近年來(lái)，針對(duì)傳統(tǒng)13類產(chǎn)品以外的信息安全產(chǎn)品層出不窮，如APT網(wǎng)絡(luò)監(jiān)控類、工控安全類、生物識(shí)別類、認(rèn)證類、安全芯片類、大數(shù)據(jù)分析類、物聯(lián)網(wǎng)安全等等，而創(chuàng)新產(chǎn)品測(cè)評(píng)與統(tǒng)一認(rèn)證，將加快這些創(chuàng)新產(chǎn)品進(jìn)入實(shí)際應(yīng)用。國(guó)家信息技術(shù)安全研究中心與中國(guó)信息安全中心協(xié)商一致，最近將與多家測(cè)評(píng)機(jī)構(gòu)進(jìn)一步溝通協(xié)商，一是在測(cè)評(píng)規(guī)范上采取一定的措施，如鼓勵(lì)采用未國(guó)標(biāo)開展試點(diǎn)示范，采用參考行標(biāo)擴(kuò)大使用范圍，采用多家眾測(cè)形成測(cè)試用例，同時(shí)借鑒國(guó)外相關(guān)技術(shù)標(biāo)準(zhǔn)等方法，加快形成創(chuàng)新產(chǎn)品的基本測(cè)評(píng)用例和增強(qiáng)測(cè)試用例，采取結(jié)果導(dǎo)向、問(wèn)題導(dǎo)向、目標(biāo)導(dǎo)向理念，開展基于漏洞分析挖掘的產(chǎn)品測(cè)評(píng)，并對(duì)相對(duì)成熟的創(chuàng)新類產(chǎn)品、專家評(píng)審和審批后發(fā)放統(tǒng)一的認(rèn)證證書。眾測(cè)活動(dòng)需要嚴(yán)格的管理措施來(lái)保證測(cè)評(píng)中的“7性”，組織方必須周密組織，公開公平公正地開展工作，保證測(cè)評(píng)的嚴(yán)肅性、嚴(yán)謹(jǐn)性。

跨維―深度聚焦網(wǎng)安生態(tài)

徐平說(shuō)，在整個(gè)網(wǎng)絡(luò)信息化發(fā)展過(guò)程中，乾冠信息安全研究院主要解決網(wǎng)絡(luò)安全中第一公里和最后一公里的問(wèn)題，其中的第一公里小到一個(gè)單位，大到國(guó)家互聯(lián)網(wǎng)的出入口。乾冠信息安全研究院致力于通過(guò)時(shí)空跨維和深度聚焦，來(lái)形成一個(gè)比較完整的針對(duì)安全威脅的體系化的解決方案。

如何發(fā)現(xiàn)并分析處理數(shù)據(jù)安全，需要業(yè)界廠家形成合力，利用大數(shù)據(jù)驅(qū)動(dòng)構(gòu)建一個(gè)安全管理的平臺(tái)。這也是研究院積極參與構(gòu)建中國(guó)網(wǎng)絡(luò)安全協(xié)同創(chuàng)新共同體、網(wǎng)絡(luò)安全態(tài)勢(shì)感知生態(tài)矩陣的初衷，即借助平臺(tái)化的方式，用平臺(tái)+服務(wù)、平臺(tái)+產(chǎn)品、平臺(tái)+合作伙伴等模式，來(lái)為用戶提供整體的服務(wù)。平臺(tái)矩陣將從三個(gè)層面提供防御保護(hù)：遠(yuǎn)程防御、云防御和安全設(shè)備。

他坦言，對(duì)安全威脅的一些未來(lái)的預(yù)測(cè)，是乾冠信息安全研究院下一步要重點(diǎn)突破的方向。

安全理念更新引領(lǐng)網(wǎng)絡(luò)安全創(chuàng)新

演講伊始，邵國(guó)安就指出：現(xiàn)在很多層面對(duì)于網(wǎng)絡(luò)安全的本質(zhì)和核心的理解是比較模糊的。理念決定行動(dòng)，但是若理念都錯(cuò)了，談何正確的行動(dòng)？

他講道，網(wǎng)絡(luò)安全要從以下五個(gè)方面來(lái)加以考慮：一是網(wǎng)絡(luò)邊界的安全，二是網(wǎng)絡(luò)防護(hù)，三是終端安全，四是應(yīng)用安全，五是數(shù)據(jù)安全，每個(gè)層面都有不同的安全要求，是一個(gè)扇型的安全保障體系。

交通運(yùn)輸網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與策略

李璐瑤認(rèn)為，不管是從事信息化還是從事信息安全的，都必須先了解它的業(yè)態(tài)，才能來(lái)進(jìn)行風(fēng)險(xiǎn)權(quán)重的評(píng)價(jià)。交通行業(yè)，很好地體現(xiàn)了大數(shù)據(jù)的強(qiáng)大特征：廣泛性、海量性、有價(jià)性。也正因此，交通領(lǐng)域成為了可能遭到重點(diǎn)攻擊的目標(biāo)，一定要采取有效措施，加強(qiáng)安全防護(hù)。

此外，她也認(rèn)為就各級(jí)政府而言，要集中對(duì)政府網(wǎng)站、政務(wù)郵箱、重要業(yè)務(wù)、公務(wù)終端、互聯(lián)網(wǎng)出口這五類系統(tǒng)進(jìn)行安全防護(hù)。

提升風(fēng)險(xiǎn)自主發(fā)現(xiàn)處置能力的探索實(shí)踐