前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全建設(shè)方向主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:新媒體;意識(shí)形態(tài);創(chuàng)新;對(duì)策
1新媒體與意識(shí)形態(tài)安全的關(guān)系
新媒體是一個(gè)相對(duì)的概念,是報(bào)刊、廣播、電視等傳統(tǒng)媒體以后發(fā)展起來的新的媒體形態(tài),包括網(wǎng)絡(luò)媒體、手機(jī)媒體、數(shù)字電視等。本篇主要指網(wǎng)絡(luò)新媒體。從哲學(xué)上講新媒體與意識(shí)形態(tài)安全之間是相輔相成的一個(gè)有機(jī)整體,保證意識(shí)形態(tài)安全是新媒體健康發(fā)展的前提,新媒體健康發(fā)展又促進(jìn)意識(shí)形態(tài)安全建設(shè),新媒體是否健康發(fā)展,影響著意識(shí)形態(tài)未來的發(fā)展方向。目前我國(guó)傳統(tǒng)意識(shí)形態(tài)不斷面臨來自新媒體的各種挑戰(zhàn),網(wǎng)絡(luò)成為人們傳播信息,輿論的新場(chǎng)地,為了更好的維護(hù)意識(shí)形態(tài)安全發(fā)展,必須要加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè),規(guī)范網(wǎng)絡(luò)環(huán)境,強(qiáng)化主流意識(shí)形態(tài)影響力,積極引導(dǎo)新媒體朝著健康綠色的方向發(fā)展。
2新媒體在創(chuàng)新方面對(duì)我國(guó)意識(shí)形態(tài)安全的挑戰(zhàn)
隨著社交網(wǎng)絡(luò)的不斷發(fā)展,越來越多的人通過網(wǎng)絡(luò)這個(gè)社交平臺(tái)了解社會(huì)信息動(dòng)向、表達(dá)自己的觀點(diǎn)思想,信息網(wǎng)絡(luò)也在時(shí)時(shí)刻刻對(duì)人類的傳統(tǒng)意識(shí)發(fā)出沖擊,意識(shí)形態(tài)安全面臨新挑戰(zhàn)。
創(chuàng)新一詞英文為innovate,根據(jù)牛津字典的解釋就是引入新事物、思想或方法。當(dāng)今我國(guó)意識(shí)形態(tài)安全面對(duì)網(wǎng)絡(luò)沖擊,創(chuàng)新能力不足的挑戰(zhàn)主要表現(xiàn)在兩個(gè)方面:第一是我國(guó)意識(shí)形態(tài)安全建設(shè)面對(duì)新媒體挑戰(zhàn),沒有過硬的網(wǎng)絡(luò)技術(shù),缺乏創(chuàng)新型人才。CNNIC第38次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》于8月3日?!秷?bào)告》顯示,截至2016年6月,中國(guó)網(wǎng)民規(guī)模達(dá)7.10億,互聯(lián)網(wǎng)普及率達(dá)到51.7%,超過全球平均水平3.1個(gè)百分點(diǎn)。[1]當(dāng)今,網(wǎng)絡(luò)成為人們相互了解的重要途徑,網(wǎng)絡(luò)內(nèi)容豐富多彩,形式花樣繁多,吸引人們眼球,更多的人選擇網(wǎng)絡(luò)溝通交流,網(wǎng)絡(luò)成為人們輿論生活的新場(chǎng)地。但目前我國(guó)創(chuàng)新人才不足,沒有過硬的網(wǎng)絡(luò)核心技術(shù),尚未創(chuàng)立完全屬于自己的網(wǎng)絡(luò)品牌。比如網(wǎng)絡(luò)主要傳播工具-手機(jī)分析,蘋果手機(jī)受到當(dāng)下很多年輕人的追捧,出現(xiàn)大量“果粉”。據(jù)中關(guān)村2015-2016年中國(guó)手機(jī)市場(chǎng)研究年度報(bào)告中,2015年度,蘋果iPhone 6系列以8.15%的關(guān)注比例高居榜首,成為最受用戶青睞的產(chǎn)品系列,超過同期上市的很多國(guó)產(chǎn)手機(jī)。蘋果手機(jī)之所以比其他產(chǎn)品手機(jī)更受歡迎,原因除了安全性能高,手機(jī)殼耐摔防水好外,蘋果手機(jī)主要制造團(tuán)隊(duì)善于結(jié)合當(dāng)下人們生活習(xí)慣開發(fā)出時(shí)尚又便捷的手機(jī)軟件,創(chuàng)新速度特別快,手機(jī)功能齊全,得到很多人的青睞。還有知名網(wǎng)絡(luò)阿里巴巴、百度、360網(wǎng)站、騰訊等,很多也是借用國(guó)外技術(shù),仍有許多外資商人控股,長(zhǎng)期下去,會(huì)使我國(guó)意識(shí)形態(tài)網(wǎng)絡(luò)安全建設(shè)存在安全隱患。第二是快餐式的網(wǎng)絡(luò)傳播,創(chuàng)新動(dòng)力不足。現(xiàn)代數(shù)字網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,互聯(lián)網(wǎng)、移動(dòng)通信技術(shù)等綜合信息交流平臺(tái)大大改變了人們的信息獲取方式。當(dāng)下無論是突發(fā)事件還是奧運(yùn)盛世多數(shù)都依靠網(wǎng)絡(luò)傳播,可以說人們?nèi)粘I钜?、食、住、行等都與網(wǎng)絡(luò)密不可分。人們每天打開手機(jī)、電腦,鋪天蓋地的信息不斷沖擊人們的意識(shí)價(jià)值觀,網(wǎng)絡(luò)信息的這種快餐式的傳播,速度快、信息量大,一方面確實(shí)對(duì)人們生活、工作交流溝通帶來便利,另一方面,網(wǎng)絡(luò)信息內(nèi)容豐富多彩,人們毫無費(fèi)力就能得到想要的資源,自主研究思考的機(jī)會(huì)就少,思想意識(shí)也會(huì)陷入“疲軟”狀態(tài),很多人失去創(chuàng)新動(dòng)力。同時(shí),我們還應(yīng)該意識(shí)到網(wǎng)絡(luò)信息多源于國(guó)外對(duì)中國(guó)網(wǎng)絡(luò)的信息的輸送,實(shí)質(zhì)是當(dāng)代很多人在潛移默化的接受外國(guó)人的思維模式和生活習(xí)慣,網(wǎng)絡(luò)中對(duì)于傳統(tǒng)中國(guó)文化創(chuàng)新能力低,主流媒體樂于對(duì)外國(guó)文化宣傳,忽視了中國(guó)社會(huì)主義核心價(jià)值的創(chuàng)新和弘揚(yáng),影響我國(guó)社會(huì)主義意識(shí)形態(tài)安全建設(shè)。
3新媒體時(shí)代維護(hù)我國(guó)意識(shí)形態(tài)安全建設(shè)的對(duì)策
以上分析表明,當(dāng)今網(wǎng)絡(luò)創(chuàng)新能力不足,對(duì)我國(guó)意識(shí)形態(tài)安全建設(shè)產(chǎn)生了很多不良影響,為了更好維護(hù)我國(guó)意識(shí)形態(tài)安全建設(shè),我們要做出相應(yīng)的解決對(duì)策。
意識(shí)形態(tài)安全建設(shè)除了通過傳統(tǒng)手段利用新型的視頻、動(dòng)畫等把社會(huì)正面事件、道德模范人物生動(dòng)傳播,加強(qiáng)輿論創(chuàng)新外,還需要加強(qiáng)創(chuàng)新型人才培養(yǎng)。主席在主持召開中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議強(qiáng)調(diào)建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó),要把人才資源匯聚起來,建設(shè)一支政治強(qiáng)、業(yè)務(wù)精、作風(fēng)好的強(qiáng)大隊(duì)伍。"千軍易得,一將難求",要培養(yǎng)造就世界水平的科學(xué)家、網(wǎng)絡(luò)科技領(lǐng)軍人才、卓越工程師、高水平創(chuàng)新團(tuán)隊(duì)。[2]維護(hù)我國(guó)意識(shí)形態(tài)安全建設(shè),需要過硬的網(wǎng)絡(luò)核心技術(shù),這就要匯聚網(wǎng)絡(luò)創(chuàng)新人才。首先可以為更多企業(yè)或者個(gè)人創(chuàng)業(yè)發(fā)展提供優(yōu)惠的政策,提供技術(shù)支持,資金支持。同時(shí)中國(guó)可以設(shè)置“諾貝爾網(wǎng)絡(luò)創(chuàng)新獎(jiǎng)”,吸納優(yōu)秀網(wǎng)絡(luò)建設(shè)人才,也為網(wǎng)絡(luò)創(chuàng)新提供動(dòng)力,為正真有才華的人提供施展才能的平臺(tái),將眾多優(yōu)秀人才集聚一起,切磋交流,加強(qiáng)核心技術(shù)創(chuàng)新,創(chuàng)立屬于中國(guó)的網(wǎng)絡(luò)品牌,更好應(yīng)對(duì)網(wǎng)絡(luò)沖擊,保證我國(guó)意識(shí)形態(tài)安全建設(shè)。其次,維護(hù)我國(guó)意識(shí)形態(tài)安全建設(shè),需要結(jié)合我國(guó)傳統(tǒng)優(yōu)秀文化才能更容易被接受認(rèn)可,在網(wǎng)絡(luò)中多舉辦中國(guó)文化小知識(shí)競(jìng)賽,不限性別年齡,人人都可以參加;人們生活離不開網(wǎng)絡(luò),我們可以開發(fā)推廣有關(guān)中國(guó)文化休閑娛樂軟件;可多借用中國(guó)傳統(tǒng)元素,開發(fā)中國(guó)動(dòng)漫視頻等;還可以在網(wǎng)絡(luò)平臺(tái)中,開通網(wǎng)絡(luò)專欄,設(shè)立網(wǎng)絡(luò)創(chuàng)業(yè)基金,專門鼓勵(lì)網(wǎng)絡(luò)核心技術(shù)的開發(fā),為網(wǎng)絡(luò)創(chuàng)業(yè)創(chuàng)新發(fā)展提供動(dòng)力。
4小結(jié)
網(wǎng)絡(luò)對(duì)我國(guó)意識(shí)形態(tài)的挑戰(zhàn),是一個(gè)不斷發(fā)展的過程,我們要運(yùn)用堅(jiān)定的理想信念為指引,自主創(chuàng)新能力為支撐,規(guī)范網(wǎng)絡(luò)平臺(tái),確保我國(guó)意識(shí)形態(tài)主導(dǎo)地位,促進(jìn)新媒體和諧健康發(fā)展。
[注釋]
[1]中國(guó)互聯(lián)網(wǎng)信息中心:第 38 次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)告 [EB/OL]. http:///info/media/zcjd/news/201609/t20160914_1449106.shtml.
[2]主持召開網(wǎng)絡(luò)安全和信息化工作座談會(huì)[N],人民日?qǐng)?bào),2016.02.20(1).
[參考文獻(xiàn)]
[1]王正平,徐鐵光.西方網(wǎng)絡(luò)霸權(quán)主義與發(fā)展中國(guó)家的網(wǎng)絡(luò)權(quán)利[J].思想戰(zhàn)線,2011.(2):105-107.
關(guān)鍵詞:網(wǎng)絡(luò)安全;部隊(duì);訪問控制列表;防火墻;入侵防御系統(tǒng)
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2012)05-1043-02
Brief Probe into the Question about the Army’s Security of Network
ZHU Wen-long1, YU Hai-ying2
(1.The PLA University of Technology & Science, Nanjing 210007,China;2.The PLA University of Technology & Science, Nanjing 210007, China)
Abstract:The construction of military informationization is a historical topic to our army, and the security of network is the most impor? tant thing in it. Essentially speaking, the network security is really the information security in the internet, and that means the computer us? er can just operate computer upon authorization, so we can guarantee the network’s confidentiality, integrity, availability, authenticity, con? trollability and so on. This paper briefly describes several kinds of network security protection measures, and having assistant function to the network security construction of our army.
Key words: security of network; army; access control list; firewall;intrusion prevention system
克勞塞維茨曾說過:“每個(gè)時(shí)代均應(yīng)有其特定的戰(zhàn)爭(zhēng)”。隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展,歷史的車輪駛進(jìn)了信息時(shí)代,而信息時(shí)代的主要戰(zhàn)爭(zhēng)形態(tài)是信息化戰(zhàn)爭(zhēng),信息安全成為制勝的關(guān)鍵因素。怎樣在信息化條件下打贏現(xiàn)代化戰(zhàn)爭(zhēng)已成為時(shí)代的課題。大力發(fā)展網(wǎng)絡(luò)化建設(shè),提高網(wǎng)絡(luò)安全技術(shù)已經(jīng)成為部隊(duì)的重要課題。
經(jīng)過幾年的努力,計(jì)算機(jī)網(wǎng)絡(luò)已廣泛應(yīng)用于部隊(duì)的日常辦公與管理。但由于使用人的技術(shù)水平有限或者安全防范意識(shí)薄弱等原因,使得部隊(duì)的網(wǎng)絡(luò)泄密事件不斷發(fā)生。提高網(wǎng)絡(luò)安全技術(shù),強(qiáng)化應(yīng)用系統(tǒng)功能,為部隊(duì)建設(shè)一套安全可靠的網(wǎng)絡(luò)體系成為我們思考的方向。下面就計(jì)算機(jī)網(wǎng)絡(luò)安全問題介紹已有的幾種網(wǎng)絡(luò)安全措施。
1以太網(wǎng)接入控制與認(rèn)證機(jī)制
1.1安全端口建立訪問控制列表
訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問,是保證網(wǎng)絡(luò)安全最重要的核心策略之一,它在以太網(wǎng)交換機(jī)的每一個(gè)訪問端口都配置訪問控制列表,即Access Control List(ACL),只有在源MAC地址為訪問控制列表中允許接入的終端MAC地址時(shí),才可以繼續(xù)轉(zhuǎn)發(fā)MAC幀,否則該MAC幀將被丟棄。
1.2 802.1X接入控制機(jī)制
由于我們有時(shí)需要更換動(dòng)態(tài)訪問控制列表,所以更重要的是終端MAC地址是可以更改的。如果敵方知道我訪問控制列表中的MAC地址,就可以將自己終端MAC地址設(shè)為列表中的MAC地址而實(shí)現(xiàn)非法接入。針對(duì)這一現(xiàn)象我們可以采用802.1X接入控制機(jī)制。它需要建立一個(gè)鑒別數(shù)據(jù)庫(kù),每一個(gè)新接入交換機(jī)的終端只有輸入用戶名和密碼,經(jīng)由以太網(wǎng)交換機(jī)鑒別數(shù)據(jù)庫(kù)的鑒定為有效后才可以進(jìn)入訪問控制列表。其邏輯圖如圖1。
在圖1中注冊(cè)數(shù)據(jù)庫(kù)中有用戶A與用戶C及其各自的口令,當(dāng)用戶A、B、C、D接入交換機(jī)時(shí),同時(shí)啟動(dòng)鑒別機(jī)制,而只有A、C才有登陸用戶名與口令,輸入正確后在訪問控制列表中加入MAC A與MAC C,進(jìn)而可以訪問敏感信息資源。對(duì)于用戶B和C而言,由于注冊(cè)數(shù)據(jù)庫(kù)中并沒有其數(shù)據(jù)記錄,因而被禁止訪問敏感信息資源。
2防火墻技術(shù)
圖1
防火墻技術(shù)目前已成為部隊(duì)用于網(wǎng)絡(luò)安全建設(shè)的主要技術(shù)支撐,其在我軍網(wǎng)絡(luò)防護(hù)中起到了重要作用。防火墻通常位于內(nèi)網(wǎng)與外網(wǎng)的連接點(diǎn),強(qiáng)制所有出入內(nèi)外網(wǎng)的數(shù)據(jù)流都必須經(jīng)過此安全系統(tǒng),是一種對(duì)不同網(wǎng)絡(luò)之間信息傳輸過程實(shí)施監(jiān)測(cè)和控制的設(shè)備,在邏輯上,防火墻就是一部隔離器、分析器與限制器,用于保護(hù)內(nèi)網(wǎng)中的信息資源。其提供的服務(wù)有:
1)行為控制:不同網(wǎng)段間只允許傳輸與行為合理的網(wǎng)絡(luò)資源訪問過程相關(guān)的信息流。2)服務(wù)控制:不同網(wǎng)段間終端只允許傳輸與特定服務(wù)相關(guān)的信息流。
3)方向控制:不同網(wǎng)段間只允許傳輸與由特定網(wǎng)段中終端發(fā)起的會(huì)話相關(guān)的信息流。
4)用戶控制:不同網(wǎng)段間只允許傳輸與授權(quán)用戶合法訪問網(wǎng)絡(luò)資源相關(guān)的信息流。
防火墻分為個(gè)人防火墻與網(wǎng)絡(luò)防火墻,關(guān)鍵技術(shù)主要有分組過濾器、電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)。由于分組過濾器對(duì)信息的發(fā)送端和接收端是透明的,因此不需要改變終端訪問網(wǎng)絡(luò)的方式。而且隨著有狀態(tài)分組過濾器的產(chǎn)生,它對(duì)于內(nèi)外與外網(wǎng)件傳輸?shù)男畔⒘鞯谋O(jiān)控變得更加精確,有狀態(tài)分組過濾器也成為部隊(duì)主要的網(wǎng)絡(luò)安全技術(shù)。其邏輯圖如如圖2:
圖2
在圖2中,防火墻將網(wǎng)絡(luò)傳輸系統(tǒng)分為3個(gè)區(qū),分別為命名為信任區(qū),非軍事區(qū)與非信任區(qū),我們可以對(duì)防火墻進(jìn)行設(shè)置,令信任區(qū)內(nèi)網(wǎng)絡(luò)可以對(duì)非軍事區(qū)以及非信任區(qū)內(nèi)網(wǎng)絡(luò)進(jìn)行訪問,而非信任區(qū)內(nèi)網(wǎng)絡(luò)只能對(duì)非軍事區(qū)網(wǎng)絡(luò)進(jìn)行訪問,不可以訪問信任區(qū)網(wǎng)絡(luò)。從而達(dá)到對(duì)信任區(qū)內(nèi)網(wǎng)絡(luò)的保護(hù)。
3入侵防御系統(tǒng)(Intrusion Prevention System)
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,攻擊者的攻擊工具與手段也日益成熟多樣,外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊往往是在內(nèi)網(wǎng)防火墻訪問控制策略所允許的條件下進(jìn)行的,如通過惡意代碼傳播控制內(nèi)網(wǎng)終端從而實(shí)行對(duì)內(nèi)網(wǎng)的攻擊,這樣防火墻就很難進(jìn)行有效的防御。因此,能對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和處理的系統(tǒng)――入侵防御系統(tǒng),就凸顯其重要作用。
入侵防御系統(tǒng)主要分為網(wǎng)絡(luò)入侵防御系統(tǒng)(Network Intrusion Prevention System)和主機(jī)防御系統(tǒng)(Host Intrusion Prevention Sys? tem),網(wǎng)絡(luò)入侵防御系統(tǒng)能夠有效的對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行檢測(cè)并對(duì)異常信息的傳輸進(jìn)行處理,而主機(jī)入侵防御系統(tǒng)可以對(duì)于主機(jī)資源的訪問進(jìn)行監(jiān)控,對(duì)非法訪問進(jìn)行管制。作為防火墻的合理補(bǔ)充,它提高了安全基礎(chǔ)結(jié)構(gòu)的完整性,被認(rèn)為是繼防火墻之后的第二道安全閘門。其邏輯圖如圖3:
圖3
在圖3中,路由器連接外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò),在外網(wǎng)與內(nèi)網(wǎng)間接入網(wǎng)絡(luò)入侵防御系統(tǒng),使得網(wǎng)絡(luò)入侵防御系統(tǒng)可以捕獲外網(wǎng)流入內(nèi)網(wǎng)的異常信息,并做出相應(yīng)的信息反制動(dòng)作,而在重要終端上安裝的主機(jī)入侵防御系統(tǒng),又可以有效地保護(hù)重要終端,從而達(dá)到相輔相成,協(xié)調(diào)一致的效果。由此我們也可以看到入侵防御系統(tǒng)發(fā)展前景的廣泛。就目前來看,在部隊(duì)中防火墻技術(shù)已經(jīng)相對(duì)成熟,應(yīng)用也比較廣泛。但是對(duì)于入侵防御系統(tǒng)的應(yīng)用還不夠充分,究其原因,是由于網(wǎng)絡(luò)入侵防御系統(tǒng)只能對(duì)部分網(wǎng)絡(luò)資源進(jìn)行保護(hù),并且在處理未知范圍內(nèi)的異常信息處理能力還略有不足,而主機(jī)入侵犯防御系統(tǒng)終究只是一個(gè)應(yīng)用程序,屬于被動(dòng)防御,即只有惡意攻擊到達(dá)終端時(shí)才做出反應(yīng),而我們更希望的是主動(dòng)出擊,即在惡意程序還沒有到達(dá)終端之前就將其攔截處理。另外若 對(duì)每一個(gè)重要終端都安裝入侵防御系統(tǒng),其成本也較大。正是由于其上不足之處,使得入侵防御系統(tǒng)還沒有在網(wǎng)路安全中完全得以應(yīng)用。但相信經(jīng)過一定的發(fā)展與改良,入侵防御系統(tǒng)會(huì)成為部隊(duì)網(wǎng)絡(luò)安全建設(shè)的一道堅(jiān)固城墻。
4結(jié)束語(yǔ)
除以上安全措施外,還有很多方法可以提高我們的網(wǎng)絡(luò)安全系數(shù)。如安裝殺毒軟件,對(duì)需要傳遞的重要信息進(jìn)行加密,使用數(shù)字簽名技術(shù)等,都有其獨(dú)特的優(yōu)勢(shì)來進(jìn)行網(wǎng)絡(luò)安全防護(hù)。但是部隊(duì)網(wǎng)絡(luò)安全建設(shè)仍是一項(xiàng)重要的需要不斷發(fā)展研究的課題,尤其是部隊(duì)的重要信息更是敵對(duì)勢(shì)力想法設(shè)法竊取的對(duì)象,更加大了我軍網(wǎng)絡(luò)安全的壓力。如今的網(wǎng)絡(luò)安全已經(jīng)是涵蓋了網(wǎng)絡(luò)級(jí)與應(yīng)用級(jí)在內(nèi)的完整概念,我軍需從整體網(wǎng)絡(luò)管理平臺(tái)的角度統(tǒng)一建設(shè)完整的網(wǎng)絡(luò)安全體系,加大網(wǎng)路安全研究力度,以大魄力進(jìn)行整體改革,全面提升全軍網(wǎng)絡(luò)安全能力,為打贏以后可能發(fā)生的信息化戰(zhàn)爭(zhēng)建立堅(jiān)實(shí)的網(wǎng)絡(luò)基礎(chǔ)。
參考文獻(xiàn):
[1]沈鑫剡.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用[M].2版.北京:清華大學(xué)出版社,2010.
網(wǎng)絡(luò)安全的發(fā)展經(jīng)歷了三個(gè)階段: 一是防火墻、防病毒與IDS(入侵檢測(cè)系統(tǒng))部署的初級(jí)階段。二是隨著網(wǎng)絡(luò)擴(kuò)大,各種業(yè)務(wù)從相互獨(dú)立到共同運(yùn)營(yíng),網(wǎng)絡(luò)管理中出現(xiàn)的安全域的概念,利用隔離技術(shù)把網(wǎng)絡(luò)分為邏輯的安全區(qū)域,并大量使用區(qū)域邊界防護(hù)與脆弱性掃描與用戶接入控制技術(shù),此時(shí)的安全技術(shù)分為防護(hù)、監(jiān)控、審計(jì)、認(rèn)證、掃描等多種體系,紛繁復(fù)雜,稱為安全建設(shè)階段。三是把各個(gè)分離的安全體系統(tǒng)一管理、統(tǒng)一運(yùn)營(yíng),我們稱為安全管理階段,最典型的就是綜合性安全運(yùn)營(yíng)中心(Security Operation Center)SOC的建設(shè)。從這個(gè)階段開始,網(wǎng)絡(luò)安全開始走上業(yè)務(wù)安全的新臺(tái)階,業(yè)務(wù)連續(xù)性管理BCM(Business Continuity Management)成為業(yè)務(wù)安全評(píng)價(jià)的重點(diǎn)。
SOC是安全技術(shù)“大集成”過程中產(chǎn)生的,最初是為了解決安全設(shè)備的管理與海量安全事件的集中分析而開發(fā)的平臺(tái),后來由于安全涉及的方面較多,SOC逐漸演化成所有與安全相關(guān)的問題集中處理中心:設(shè)備管理、配置下發(fā)、統(tǒng)一認(rèn)證、事件分析、安全評(píng)估、策略優(yōu)化、應(yīng)急反應(yīng)、行為審計(jì)等等。能把全部安全的信息綜合分析,統(tǒng)一的策略調(diào)度當(dāng)然是理想的,但是SOC要管理的事如此之多,實(shí)現(xiàn)就是大難題?;诓煌睦斫?,市場(chǎng)出現(xiàn)的各種SOC也各取所長(zhǎng),有風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)的TSOC,有策略管理的NSOC,有審計(jì)為主的ASOC,還有干脆是安全日志分析為主的專用平臺(tái)。
各種SOC特點(diǎn)各異,但都是圍繞安全管理的過程來進(jìn)行的,對(duì)應(yīng)了安全事件管理的事前、事中、事后三個(gè)階段,事前重點(diǎn)是防護(hù)措施的部署,排兵布陣;事中是安全的監(jiān)控與應(yīng)急響應(yīng),對(duì)于可以預(yù)知的危險(xiǎn)可以防護(hù),但對(duì)于未知的危險(xiǎn)只能是監(jiān)控,先發(fā)現(xiàn)再想辦法解決;事后是對(duì)安全事件的分析與取證,對(duì)于監(jiān)控中沒有報(bào)警的事件的事后分析。由此SOC的功能發(fā)展延伸為下面三個(gè)維度:
安全防護(hù)管理: 負(fù)責(zé)安全網(wǎng)絡(luò)設(shè)備的管理與基礎(chǔ)安全體系的運(yùn)營(yíng)。是安全事件出現(xiàn)前的各種防護(hù)管理,其鮮明的特征就是制定的各種安全策略并下發(fā)到相關(guān)的安全設(shè)備。
監(jiān)控與應(yīng)急調(diào)度中心: 對(duì)安全事件綜合分析,根據(jù)威脅程度進(jìn)行預(yù)警,并對(duì)各種事件做出及時(shí)的應(yīng)對(duì)反應(yīng)。
審計(jì)管理平臺(tái): 事件的取證與重現(xiàn)、安全合規(guī)性審計(jì)、數(shù)據(jù)的統(tǒng)計(jì)分析、歷史數(shù)據(jù)的挖掘。安全的審計(jì)安全管理的事后“總結(jié)”,也是安全防護(hù)的依據(jù)。如圖所示。
【關(guān)鍵詞】信息安全 管理 控制 構(gòu)建
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識(shí)不高,信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。
2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范,來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善?;酒髽I(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。
2.2 提高企業(yè)員工自身的信息安全防范意識(shí)
在企業(yè)信息化系統(tǒng)安全管理中,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí),絕對(duì)不能忽視對(duì)人的行為規(guī)范和績(jī)效管理。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對(duì)員工進(jìn)行逐次的安全培訓(xùn),強(qiáng)化企業(yè)員工對(duì)信息安全的概念,提升員工的安全意識(shí)。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。
2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對(duì)自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí),就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系。對(duì)于安全防護(hù)技術(shù)來說可以分為身份識(shí)別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識(shí)別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級(jí)別分配人員訪問權(quán)限,達(dá)到企業(yè)敏感信息的安全保障。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí),我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:
3.1 實(shí)施終端安全,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對(duì)自己的個(gè)人行為不規(guī)范,造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏。比如通過U盤等存儲(chǔ)介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對(duì)于這類高危的行為,我們?cè)诮ㄔO(shè)安全防護(hù)體系時(shí),僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺(tái)前,就對(duì)用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對(duì)員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護(hù)水平。
3.2 建設(shè)安全完善的VPN接入平臺(tái)
企業(yè)在信息化建設(shè)中,考慮總部和分支機(jī)構(gòu)的信息化需要,必然會(huì)采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對(duì)于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定。對(duì)于移動(dòng)終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對(duì)于移動(dòng)終端的身份認(rèn)證識(shí)別。其實(shí)我們?cè)谠O(shè)備采購(gòu)時(shí),可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù),提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí),要面對(duì)多個(gè)部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層;傳輸層;會(huì)話層;表示層;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級(jí)及面臨的風(fēng)險(xiǎn)程度,做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)。
3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系,重要的優(yōu)勢(shì)就是能實(shí)現(xiàn)對(duì)全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對(duì)整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購(gòu)的各種安全設(shè)備工作時(shí)會(huì)產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識(shí)別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí),企業(yè)管理員很難實(shí)現(xiàn)對(duì)信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí),就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對(duì)全網(wǎng)安全事件的“可視、可控和可管”。
4 結(jié)束語(yǔ)
信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實(shí)施信息安全防護(hù)過程中是一個(gè)長(zhǎng)期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃,實(shí)施過程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問控制,保證備份數(shù)據(jù)的安全性可靠性。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定,這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性,真正為企業(yè)的核心業(yè)務(wù)提供安全保障。
參考文獻(xiàn)
[1]郝宏志.企業(yè)信息管理師[M].北京:機(jī)械工業(yè)出版社,2005.
[2]蔣培靜.歐美國(guó)家如何培養(yǎng)網(wǎng)絡(luò)安全意識(shí)[J].中國(guó)教育網(wǎng)絡(luò),2008(7):48-49.
作者簡(jiǎn)介
常勝(1982-),男,回族,天津市人?,F(xiàn)為中國(guó)市政工程華北設(shè)計(jì)研究總院有限公司工程師。研究方向?yàn)榫W(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。
【關(guān)鍵詞】 網(wǎng)絡(luò)空間 拒止 威懾
拒止型威懾在于通過指部署強(qiáng)大的防御力量、建立能從攻擊中迅速恢復(fù)的彈性系統(tǒng),令對(duì)手相信攻擊得不到預(yù)期收益,從而放棄惡意行動(dòng),是美國(guó)網(wǎng)絡(luò)空間威懾戰(zhàn)略實(shí)施的基礎(chǔ)性途徑。美國(guó)始終高度重視網(wǎng)絡(luò)空間的防御和恢復(fù)能力建設(shè),2008年《國(guó)家網(wǎng)絡(luò)空間安全綜合計(jì)劃》中的12條網(wǎng)絡(luò)安全倡議中,有10條與防御和恢復(fù)有關(guān)?!毒W(wǎng)絡(luò)威懾戰(zhàn)略》文件表明,拒止型威懾的建設(shè)應(yīng)當(dāng)從增強(qiáng)防御性、彈性和可重建性三個(gè)方面著手,具體從四個(gè)方面落實(shí)。
一、認(rèn)定和保護(hù)核心關(guān)鍵基礎(chǔ)設(shè)施
五角大樓定義的關(guān)鍵基礎(chǔ)設(shè)施是“對(duì)美國(guó)來說至關(guān)重要的實(shí)際的和虛擬的資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)”。美國(guó)所依賴的基礎(chǔ)設(shè)施體系繁雜,軟件問題的普遍性意味著美國(guó)不可能確保每個(gè)系統(tǒng)將都一直免受入侵或損害。因而美國(guó)政府“將認(rèn)定和保衛(wèi)關(guān)鍵基礎(chǔ)設(shè)施作為優(yōu)先選擇,從而政府政策和資源將會(huì)被優(yōu)先用于確保特殊系統(tǒng)的安全和關(guān)鍵節(jié)點(diǎn)的防御”。
首先,認(rèn)定核心關(guān)鍵基礎(chǔ)設(shè)施。2013年白宮頒布的《促進(jìn)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全建設(shè)》表明,“國(guó)土資源部應(yīng)當(dāng)使用基于風(fēng)險(xiǎn)的方法認(rèn)定關(guān)鍵基礎(chǔ)設(shè)施,在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域內(nèi)發(fā)生的網(wǎng)絡(luò)安全事件很可能會(huì)在公眾健康、公共安全、經(jīng)濟(jì)安全與國(guó)家安全等方面產(chǎn)生災(zāi)難性影響”。國(guó)土安全部最終認(rèn)定出了一份具有高風(fēng)險(xiǎn)的關(guān)鍵基礎(chǔ)設(shè)施名單。
其次,通報(bào)網(wǎng)絡(luò)威脅信息。美國(guó)國(guó)土安全部也努力提高私營(yíng)部門監(jiān)測(cè)和阻止網(wǎng)絡(luò)入侵的能力,了解網(wǎng)絡(luò)攻擊可能帶來的級(jí)聯(lián)效應(yīng)。美國(guó)正在開發(fā)用于保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的新工具,如全球信息柵格、DARPA提出的沖突建模、規(guī)劃與結(jié)果實(shí)驗(yàn)方案(COMPOEX)等。
二、共享威脅信息
共享網(wǎng)絡(luò)威脅信息,可以為防御者提供了理解己方漏洞與對(duì)手攻擊計(jì)劃的機(jī)會(huì),是拒止型威懾建設(shè)的必要步驟。
一方面,促進(jìn)部門間威脅信息共享。2015年白宮宣布組建網(wǎng)絡(luò)威脅情報(bào)集成中心與國(guó)家網(wǎng)絡(luò)安全和通信集成中心,負(fù)責(zé)實(shí)時(shí)的與聯(lián)邦機(jī)構(gòu)、私營(yíng)部門共享信息。此外還有“國(guó)防工業(yè)基礎(chǔ)網(wǎng)絡(luò)安全和信息保障計(jì)劃”、“增強(qiáng)網(wǎng)絡(luò)安全服務(wù)計(jì)劃”、“關(guān)鍵基礎(chǔ)設(shè)施信息保護(hù)計(jì)劃”等機(jī)制。2016年白宮表示,國(guó)會(huì)應(yīng)當(dāng)加強(qiáng)立法,允許企業(yè)在全國(guó)范圍內(nèi)與政府分享網(wǎng)絡(luò)安全信息。
另一方面,公民隱私問題持續(xù)受到關(guān)注,隨著“棱鏡門”事件的發(fā)酵,國(guó)內(nèi)對(duì)政府借維護(hù)國(guó)家安全之名隨意踐踏公民隱私的擔(dān)憂聲音也日漸高漲。因而《網(wǎng)絡(luò)威懾戰(zhàn)略》文件強(qiáng)調(diào),在有關(guān)威脅信息共享的立法提案當(dāng)中,政府必須遵守隱私限制規(guī)定,采取措施保護(hù)需要共享的個(gè)人信息。
三、防御內(nèi)部威脅
防御內(nèi)部威脅是拒止型威懾建設(shè)的重點(diǎn)方向。維基解密泄露美國(guó)政府文件、郵件的事件,以及情報(bào)計(jì)劃泄露等事件,都被認(rèn)為是內(nèi)部人員泄密或操作不當(dāng)造成的。
近年來,美國(guó)政府加強(qiáng)重要機(jī)密情報(bào)的安全防護(hù)。2011年美國(guó)頒布行政命令“致力于保護(hù)機(jī)密網(wǎng)絡(luò)與可靠分享機(jī)密信息的結(jié)構(gòu)性改革”,構(gòu)建了政府內(nèi)部人員管控與危機(jī)防范的機(jī)制逐漸建立,成立了高級(jí)信息共享和安全防護(hù)指導(dǎo)委員會(huì)、安全防護(hù)執(zhí)行局和國(guó)家內(nèi)部威脅專案組。在司法部長(zhǎng)和國(guó)家情報(bào)總監(jiān)的聯(lián)合領(lǐng)導(dǎo)下,集合了反間諜、信息安全方面的專家以形成政府維度的內(nèi)部威懾機(jī)制,從而威懾、偵測(cè)、減輕包括機(jī)密情報(bào)損害在內(nèi)的內(nèi)部威脅。
四、強(qiáng)化政府網(wǎng)絡(luò)防御
美國(guó)網(wǎng)絡(luò)空間拒止性威懾還著眼于政府自身網(wǎng)絡(luò)體系。美國(guó)認(rèn)為許多政府的網(wǎng)絡(luò)非常脆弱,可能成為薄弱環(huán)節(jié)。為了彌補(bǔ)這些缺陷,美國(guó)政府正在提升其網(wǎng)絡(luò)防御水平,為各部門和機(jī)構(gòu)設(shè)定了明確的網(wǎng)絡(luò)安全目標(biāo)。同時(shí),美國(guó)政府還正在提高政府在網(wǎng)絡(luò)安全方面的跨部門投資的追溯與監(jiān)察,以加強(qiáng)投入的效果。同時(shí),美國(guó)國(guó)防部也強(qiáng)化了軍方網(wǎng)絡(luò)的防護(hù),保護(hù)數(shù)百萬(wàn)的網(wǎng)絡(luò)設(shè)施和數(shù)千個(gè)軍事飛地的機(jī)密信息。美國(guó)戰(zhàn)略司令部下屬的網(wǎng)絡(luò)司令部與國(guó)家安全局、國(guó)防信息系統(tǒng)局,共同監(jiān)控國(guó)防部網(wǎng)絡(luò)的運(yùn)行,定時(shí)提供威脅和漏洞信息。2014年2月,美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院了第一個(gè)版本的網(wǎng)絡(luò)安全框架,參考了全球公認(rèn)標(biāo)準(zhǔn)幫助有關(guān)組織理解、管理網(wǎng)絡(luò)風(fēng)險(xiǎn),敦促各個(gè)組織執(zhí)行標(biāo)準(zhǔn)措施,提升其整體網(wǎng)絡(luò)安全。
綜上所述,美國(guó)通過認(rèn)定和保護(hù)關(guān)鍵基礎(chǔ)設(shè)施、促進(jìn)威脅信息共享、防范內(nèi)部威脅與加強(qiáng)政府網(wǎng)絡(luò)防御等四種主要路徑,加強(qiáng)國(guó)家網(wǎng)絡(luò)系統(tǒng)面對(duì)攻擊時(shí)的風(fēng)險(xiǎn)抵御能力??梢姡绹?guó)網(wǎng)絡(luò)空間的拒止型威懾,在于強(qiáng)化自身實(shí)力,“以不變應(yīng)萬(wàn)變”。
參 考 文 獻(xiàn)
[1]呂晶華,《美國(guó)網(wǎng)絡(luò)空間戰(zhàn)思想研究》,軍事科學(xué)出版社,2014年6月。
為了貫徹國(guó)家對(duì)信息系統(tǒng)安全保障工作的要求以及等級(jí)化保護(hù)堅(jiān)持“積極防御、綜合防范”的方針,需要全面提高信息安全防護(hù)能力。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計(jì),全面提高信息安全防護(hù)能力,創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境,保護(hù)國(guó)家利益,促進(jìn)貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展。
1安全規(guī)劃的目標(biāo)和思路
貴州廣電網(wǎng)絡(luò)目前運(yùn)營(yíng)并管理著兩張網(wǎng)絡(luò):辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公,重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺(tái),其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)、互動(dòng)點(diǎn)播系統(tǒng)、安全播出系統(tǒng)、內(nèi)容集成平臺(tái)以及寬帶系統(tǒng)等。
基于對(duì)貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國(guó)家信息安全等級(jí)保護(hù)制度的認(rèn)識(shí),我們認(rèn)為,信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分,是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障,它是一個(gè)包含貴州廣電網(wǎng)絡(luò)實(shí)體、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等五個(gè)層面,包括保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)四個(gè)方面,通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系。
1.1設(shè)計(jì)目標(biāo)
貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進(jìn)行的初步規(guī)劃,在安全域整改中初見成效,然而,安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界,而且需要明確邊界上的安全策略,提高對(duì)核心信息資源的保護(hù)意識(shí)。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱,管理細(xì)則文件亟需補(bǔ)充,安全管理人員亟需培訓(xùn)。因此,本次規(guī)劃重點(diǎn)在于對(duì)安全管理體系以及目前的各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行了全面梳理,針對(duì)業(yè)務(wù)系統(tǒng)中安全措施進(jìn)行了重點(diǎn)分析,綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向,進(jìn)行未來五年的信息安全建設(shè)規(guī)劃。
1.2設(shè)計(jì)原則
1.2.1合規(guī)性原則
安全設(shè)計(jì)要符合國(guó)家有關(guān)標(biāo)準(zhǔn)、法規(guī)要求,符合廣電總局對(duì)信息安全系統(tǒng)的等級(jí)保護(hù)技術(shù)與管理要求。良好的信息安全保障體系必然是分為不同等級(jí)的,包括對(duì)信息數(shù)據(jù)保密程度分級(jí),對(duì)用戶操作權(quán)限分級(jí),對(duì)網(wǎng)絡(luò)安全程度分級(jí)(安全子網(wǎng)和安全區(qū)域),對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等),從而針對(duì)不同級(jí)別的安全對(duì)象,提供全面、可選的安全技術(shù)和安全體制,以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實(shí)際安全需求。
1.2.2技管結(jié)合原則
信息安全保障體系是一個(gè)復(fù)雜的系統(tǒng)工程,涉及人、技術(shù)、操作等要素,單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此,必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。
1.2.3實(shí)用原則
安全是為了保障業(yè)務(wù)的正常運(yùn)行,不能為了安全而妨礙業(yè)務(wù),同時(shí)設(shè)計(jì)的安全措施要可以落地實(shí)現(xiàn)。
1.3設(shè)計(jì)依據(jù)
1.3.1“原則”符合法規(guī)要求
依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例K國(guó)務(wù)院147號(hào)令)、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[20〇3]27號(hào))、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào))、《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號(hào)令)、GDJ038-CATV|有線網(wǎng)絡(luò)。
2011《廣播電視播出相關(guān)信息系統(tǒng)等級(jí)保護(hù)基本要求》,對(duì)貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進(jìn)行規(guī)劃。
1.3.2“策略”符合風(fēng)險(xiǎn)管理
風(fēng)險(xiǎn)管理是基于“資產(chǎn)-價(jià)值-漏洞-風(fēng)險(xiǎn)-保障措施”的思想進(jìn)行保障的。風(fēng)險(xiǎn)評(píng)估與管理的理論與方法已經(jīng)成為國(guó)際信息安全的標(biāo)準(zhǔn)。
風(fēng)險(xiǎn)管理是靜態(tài)的防護(hù)策略,是在對(duì)方攻擊之前的自我鞏固的過程。風(fēng)險(xiǎn)分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞,包括技術(shù)上的、管理上的,分析面臨的威脅,從而確定防護(hù)需求,設(shè)計(jì)防護(hù)的措施,具體的措施是打補(bǔ)丁,還是調(diào)整管理流程,或者是增加、增強(qiáng)某種安全措施,要根據(jù)用戶對(duì)風(fēng)險(xiǎn)的可接受程度,這樣就可以與安全建設(shè)的成本之間做一個(gè)平衡。
1.3.3“措施”符合P2DR模型
美國(guó)ISS公司(IntemetSecuritySystem,INC)設(shè)計(jì)開發(fā)的P2DR模型包括安全策略(Policy)、檢測(cè)(Detection)、防護(hù)(Protection)和響應(yīng)(Response)四個(gè)主要部分,是一個(gè)可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動(dòng)態(tài)的安全防御系統(tǒng)。安全策略是整個(gè)P2DR模型的中樞,根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù),以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等,策略是模型的核心,所有的防護(hù)、檢測(cè)和響應(yīng)都是依據(jù)安全策略實(shí)施的。
檢測(cè)(Detection)、防護(hù)(Protection)和響應(yīng)(Response)三個(gè)部分又構(gòu)成一個(gè)變化的、動(dòng)態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導(dǎo)下,在綜合運(yùn)用防護(hù)工具(如防火墻、身份認(rèn)證、加密等)的同時(shí),利用檢測(cè)工具(如漏洞評(píng)估、入侵檢測(cè)等)了解和評(píng)估系統(tǒng)的安全狀態(tài),通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài),在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]。
1.4安全規(guī)劃體系架構(gòu)
在進(jìn)行了規(guī)劃“原則”、“策略”、“措施”探討的基礎(chǔ)上,我們?cè)O(shè)計(jì)貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個(gè)中心、兩種手段”。
“一個(gè)中心”,以安全管理中心為核心,構(gòu)建安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò),確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運(yùn)行,不會(huì)進(jìn)入任何非預(yù)期狀態(tài),從而防止用戶的非授權(quán)訪問和越權(quán)訪問,確保業(yè)務(wù)系統(tǒng)的安全。
“兩種手段”,是安全技術(shù)與安全管理兩種手段,其中安全技術(shù)手段是安全保障的基礎(chǔ),安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵,管理措施的正確實(shí)施同時(shí)需要有技術(shù)手段來監(jiān)管和驗(yàn)證,兩者相輔相成,缺一不可。
2安全保陳方案規(guī)劃
2.1總體設(shè)計(jì)
貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施,分為五個(gè)方面:
邊界防護(hù)體系:安全域劃分,邊界訪問控制策略的部署,主要是業(yè)務(wù)核心資源的邊界,運(yùn)維人員的訪問通道。
行為審計(jì)體系:通過身份鑒別、授權(quán)管理、訪問控制、行為曰志等手段,保證用戶行為的合規(guī)性。
安全監(jiān)控體系:監(jiān)控網(wǎng)絡(luò)中的異常,維護(hù)業(yè)務(wù)運(yùn)行的安全基線,包括安全事件與設(shè)備故障,也包括系統(tǒng)漏洞與升級(jí)管理。
公共安全輔助:作為整個(gè)網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng),包括身份認(rèn)證系統(tǒng)、補(bǔ)丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。
IT基礎(chǔ)設(shè)施:提供智能化、彈能力的基礎(chǔ)設(shè)施,主要的機(jī)房的智能化、服務(wù)器的虛擬化、存儲(chǔ)的虛擬化等。
2.2安全域劃分
劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域,服務(wù)器資源區(qū)、網(wǎng)絡(luò)連接區(qū)、用戶接入?yún)^(qū)、運(yùn)維管理區(qū)、對(duì)外公共服務(wù)區(qū);其次是在每個(gè)區(qū)域中,按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶,進(jìn)一步劃分子區(qū)域;最后,根據(jù)每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng),梳理其用戶到服務(wù)器與數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)訪問路徑,通過的域邊界或網(wǎng)絡(luò)邊界越少越好。
Z3邊界防護(hù)體系規(guī)劃
邊界包括網(wǎng)絡(luò)邊界、安全域邊界、用戶接口邊界(終端與服務(wù)器)、業(yè)務(wù)流邊界,邊界上部署訪問控制措施,是防止非授權(quán)的“外部”用戶訪問“里面”的資源,因此分析業(yè)務(wù)的訪問流向,是訪問控制策略設(shè)計(jì)的依據(jù)。
2.3.1邊界措施選擇
在邊界上我們建議四種安全措施:
1.網(wǎng)絡(luò)邊界:與外部網(wǎng)絡(luò)的邊界是安全防護(hù)的重點(diǎn),我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測(cè),采用防火墻(FW)部署訪問控制策略,采用入侵防御系統(tǒng)(IPS)部署對(duì)黑客入侵的檢測(cè),采用病毒網(wǎng)關(guān)(AV)部署對(duì)病毒、木馬的防范;為了方便遠(yuǎn)程運(yùn)維工作,與遠(yuǎn)程辦公實(shí)施,在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān),對(duì)遠(yuǎn)程訪問用戶身份鑒別后,分配內(nèi)網(wǎng)地址,給予限制性的訪問授權(quán)。Web服務(wù)的SQL注入、XSS攻擊等。
3.業(yè)務(wù)流邊界:安全需求等級(jí)相同的業(yè)務(wù)應(yīng)用采用VLAN隔離,采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離,防止二層廣播,通知可以在發(fā)現(xiàn)安全事件時(shí),開啟不同子域的安全隔離。
4.終端邊界:重點(diǎn)業(yè)務(wù)系統(tǒng)的終端,如運(yùn)維終端,采用終端安全系統(tǒng),保證終端上系統(tǒng)的安全,如補(bǔ)丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動(dòng)介質(zhì)管理等等。
2.3.2策略更新管理
邊界是提高入侵者的攻擊“門檻”的,部署安全策略重點(diǎn)有兩個(gè)方面:一是有針對(duì)性。允許什么,不允許什么,是明確的;二是動(dòng)態(tài)性。就是策略的定期變化,如訪問者的口令、允許遠(yuǎn)程訪問的端口等,變化的周期越短,給入侵者留下的攻擊窗口越小。
2.4行為審計(jì)體系規(guī)劃
行為審計(jì)是指對(duì)網(wǎng)絡(luò)用戶行為進(jìn)行詳細(xì)記錄,直接的好處是可以為事后安全事件取證提供直接證據(jù),間接的好處乇兩方面:對(duì)業(yè)務(wù)操作的日志記錄,可以在曰后發(fā)現(xiàn)操作錯(cuò)誤、確定破壞行為恢復(fù)時(shí)提供操作過程的反向操作,最大程度地減小損失;對(duì)系統(tǒng)操作的日志記錄,可以分析攻擊者的行為軌跡,從而判斷安全防御系統(tǒng)的漏洞所在,亡羊補(bǔ)牢,可以彌補(bǔ)入侵者下次入侵的危害。
行為審計(jì)主要措施包括:一次性口令、運(yùn)維審計(jì)(堡壘機(jī))、曰志審計(jì)以及網(wǎng)絡(luò)行為審計(jì)。
2.5安全監(jiān)控體系規(guī)劃
監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢(shì)展示平臺(tái),也是安全事件應(yīng)急處理的指揮平臺(tái)。為了管理工作上的方便,在安全監(jiān)控體系上做到幾方面的統(tǒng)一:
1.運(yùn)維與安全管理的統(tǒng)一:業(yè)務(wù)運(yùn)維與安全同平臺(tái)管理,提高安全事件的應(yīng)急處理速度。
2.曰常安全運(yùn)維與應(yīng)急指揮統(tǒng)一:隨時(shí)了解網(wǎng)絡(luò)上的設(shè)備、系統(tǒng)、流量、業(yè)務(wù)等狀態(tài)變化,不僅是日常運(yùn)維發(fā)現(xiàn)異常的平臺(tái),而且作為安全事件應(yīng)急指揮的調(diào)度平臺(tái),隨時(shí)了解安全事件波及的范圍、影響的業(yè)務(wù),同時(shí)確定安全措施執(zhí)行的效果。
3.管理與考核的統(tǒng)一:安全運(yùn)維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位,在安全事件的定位、跟蹤、處理過程中,就體現(xiàn)了安全運(yùn)維人員服務(wù)的質(zhì)量。因此對(duì)安全運(yùn)維平臺(tái)的行為記錄就可以為運(yùn)維人員的考核提供一線的數(shù)據(jù)。
安全監(jiān)控措施主要包括安全態(tài)勢(shì)監(jiān)控以及安全管理平臺(tái),2.6公共安全輔助系統(tǒng)
作為整個(gè)網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng),需要建設(shè)公共安全輔助系統(tǒng):
1.身份認(rèn)證系統(tǒng):獨(dú)立于所有業(yè)務(wù)系統(tǒng)之外,為業(yè)務(wù)、運(yùn)維提供身份認(rèn)證服務(wù)。
2.補(bǔ)丁管理系統(tǒng):對(duì)所有系統(tǒng)、應(yīng)用的補(bǔ)丁進(jìn)行管理,對(duì)于通過測(cè)試的補(bǔ)丁、重要的補(bǔ)丁,提供主動(dòng)推送,或強(qiáng)制執(zhí)行的技術(shù)手段,保證網(wǎng)絡(luò)安全基線。
3.漏洞掃描系統(tǒng):對(duì)于網(wǎng)絡(luò)上設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)等的漏洞要及時(shí)了解,對(duì)于不能打補(bǔ)丁的系統(tǒng),要確認(rèn)有其他安全策略進(jìn)行防護(hù)。漏洞掃描分為兩個(gè)方面,一是系統(tǒng)本身的漏洞,二是安全域邊界部署了安全措施之后,實(shí)際用戶所能訪問到的漏洞(滲透性測(cè)試服務(wù))。
2.7IT基礎(chǔ)設(shè)施規(guī)劃
IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ),具備一個(gè)優(yōu)秀的基礎(chǔ)架構(gòu),不僅可以快速、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運(yùn)行,而且可以極大地提高基礎(chǔ)IT資源的利用率,節(jié)省資金投入,達(dá)到環(huán)保的要求。
IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個(gè)方面:智能機(jī)房、服務(wù)器虛擬化、存儲(chǔ)虛擬化。
3安全筐理體系規(guī)劃
在系統(tǒng)安全的各項(xiàng)建設(shè)內(nèi)容中,安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ),建立一套科學(xué)的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證。
3_1安全管理標(biāo)準(zhǔn)依據(jù)
以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中二級(jí)、三級(jí)安全防護(hù)能力為標(biāo)準(zhǔn),對(duì)貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進(jìn)行設(shè)計(jì)。
3.2安全管理體系的建設(shè)目標(biāo)
通過有效的進(jìn)行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè),最終要實(shí)現(xiàn)的目標(biāo)是:采取集中控制模式,建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實(shí)施與保持,實(shí)現(xiàn)動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的安全管理模式,從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護(hù)。
3.3安全管理建設(shè)指導(dǎo)思想
各種標(biāo)準(zhǔn)體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議,要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系,在建設(shè)過程中應(yīng)當(dāng)以以下思想作為指導(dǎo):“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)、信息安全產(chǎn)品是信息安全管理的基礎(chǔ),信息安全管理是信息安全的關(guān)鍵,人員管理是信息安全管理的核心,信息安全政策是進(jìn)行信息安全管理的指導(dǎo)原則,信息安全管理體系是實(shí)現(xiàn)信息安全管理最為有效的手段。”
3.4安全管理體系的建設(shè)具體內(nèi)容
GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(以下簡(jiǎn)稱《基本要求》)對(duì)信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求。我們應(yīng)以《基本要求》為標(biāo)準(zhǔn),結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀,對(duì)廣電系統(tǒng)的管理機(jī)構(gòu)、管理制度、人員管理、技術(shù)手段四個(gè)方面進(jìn)行建設(shè)和加強(qiáng)。同時(shí),由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程,所以,貴州廣電網(wǎng)絡(luò)還必須對(duì)信息安全管理措施不斷的加以校驗(yàn)和調(diào)整,以使管理體系始終適應(yīng)和滿足實(shí)際情況的需要,使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理的保護(hù)。
貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機(jī)構(gòu)、安全管理制度、安全標(biāo)準(zhǔn)規(guī)范和安全教育培訓(xùn)等方面。
通過組建完整的信息網(wǎng)絡(luò)安全管理機(jī)構(gòu),設(shè)置安全管理人員,規(guī)劃安全策略、確定安全管理機(jī)制、明確安全管理原則和完善安全管理措施,制定嚴(yán)格的安全管理制度,合理地協(xié)調(diào)法律、技術(shù)和管理三種因素,實(shí)現(xiàn)對(duì)系統(tǒng)安全管理的科學(xué)化、系統(tǒng)化、法制化和規(guī)范化,達(dá)到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的。
3.5曰常安全運(yùn)維3.5.1安全風(fēng)險(xiǎn)評(píng)估
安全風(fēng)險(xiǎn)評(píng)估是建立主動(dòng)防御安全體系的重要和關(guān)鍵環(huán)節(jié),這環(huán)的工作做好了可以減少大量的安全威脅,提升整個(gè)信息系統(tǒng)的對(duì)網(wǎng)絡(luò)災(zāi)難的免疫能力;風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ),是組織平衡安全風(fēng)險(xiǎn)和安全投入的依據(jù),也是信息安全管理體系測(cè)量業(yè)績(jī)、發(fā)現(xiàn)改進(jìn)機(jī)會(huì)的最重要途徑。
3.5.2網(wǎng)絡(luò)管理與安全管理
網(wǎng)絡(luò)管理與安全管理的主要措施包括:出入控制、場(chǎng)地與設(shè)施安全管理、網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)控、安全設(shè)備監(jiān)控、安全事件監(jiān)控與分析、提出預(yù)防措施。
3.5.3備份與容災(zāi)管理
貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機(jī)本地?zé)醾洹?shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施。
3.5.4應(yīng)急響應(yīng)計(jì)劃
通過建立應(yīng)急相應(yīng)機(jī)構(gòu),制定應(yīng)急響應(yīng)預(yù)案,通過建立專家資源庫(kù)、廠商資源庫(kù)等人力資源措施,通過對(duì)應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練,可以在發(fā)生緊急事件時(shí),做到規(guī)范化操作,更快的恢復(fù)應(yīng)用和數(shù)據(jù),并最大可能的減少損失
3.6安全人員管理
信息系統(tǒng)的運(yùn)行是依靠在各級(jí)黨政機(jī)構(gòu)工作的人員來具體實(shí)施的,他們既是信息系統(tǒng)安全的主體,也是系統(tǒng)安全管理的對(duì)象。所以,要確保信息系統(tǒng)的安全,首先應(yīng)加強(qiáng)人事安全管理。
安全人員應(yīng)包括:系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動(dòng)化操作人員、安全設(shè)備操作員、軟硬件維修人員和警衛(wèi)人員。
其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔(dān)當(dāng)。3.7技術(shù)安全管理
主要措施包括:軟件管理、設(shè)備管理、備份管理以及技術(shù)文檔管理。
4安全規(guī)劃分期建設(shè)路線
信息安全保障重要的是過程,而不一定是結(jié)果,重要的是安全意識(shí)的提高,而不一定是安全措施的多少。因此,信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運(yùn)營(yíng)為目標(biāo),提高用戶自身的安全意識(shí)為思路,根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步、分階段建設(shè),同時(shí)還要符合國(guó)家與廣電總局關(guān)于等級(jí)保護(hù)的技術(shù)與管理要求。
4.1主要的工作內(nèi)容
根據(jù)安全保障方案規(guī)劃的設(shè)計(jì),貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個(gè)方面的內(nèi)容:
1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分,網(wǎng)絡(luò)結(jié)構(gòu)的改造。
2.安全措施部署:邊界隔離措施部署,行為審計(jì)系統(tǒng)部署、安全監(jiān)控體系部署。
3.基礎(chǔ)設(shè)施改造:主要是數(shù)據(jù)大集中、服務(wù)器虛擬化、存儲(chǔ)虛擬化。
4.安全運(yùn)維管理:信息安全管理規(guī)范、日常安全運(yùn)維考核、安全檢查與審計(jì)流程、安全應(yīng)急演練、曰常安全服務(wù)等。
4.2分期建設(shè)規(guī)劃
4_2.1達(dá)標(biāo)階段(2015-2017)
1.等保建設(shè)
2.信任體系:網(wǎng)絡(luò)審計(jì)、運(yùn)維審計(jì)、日志審計(jì)
3.身份鑒別(一次口令)
4.監(jiān)控平臺(tái):入侵檢測(cè)、流量監(jiān)測(cè)、木馬監(jiān)測(cè)
5.安全管理平臺(tái)建設(shè)
6.等保測(cè)評(píng)通過(2級(jí)3級(jí)系統(tǒng))
7.安全服務(wù):建立定期模式
8.滲透性測(cè)試服務(wù)(外部+內(nèi)部)
9.安全加固服務(wù),建立服務(wù)器安全底線
10.信息安全管理
11.落實(shí)安全管理細(xì)則文件制定
12.落實(shí)安全運(yùn)維與應(yīng)急處理流程
13.完善IT服務(wù)流程,建設(shè)安全運(yùn)維管理平臺(tái)
14.定期安全演練與培訓(xùn)
4.2.2持續(xù)改進(jìn)階段(2018?2019)
1.等保建設(shè)
2.完善信息安全防護(hù)體系
3.提升整體防護(hù)能力
4.深度安全服務(wù)
5.有針對(duì)性安全演練,協(xié)調(diào)改進(jìn)管理與技術(shù)措施
6.源代碼安全審計(jì)服務(wù)(新上線業(yè)務(wù))
7.信息安全管理
8.持續(xù)改進(jìn)運(yùn)維與應(yīng)急流程與制度,提高應(yīng)急反應(yīng)能力
9.提高運(yùn)維效率,開拓運(yùn)維增值模式
5結(jié)東語(yǔ)
隨著企業(yè)信息化程度的不斷提高,采用IP技術(shù)構(gòu)建覆蓋全國(guó)的、技術(shù)先進(jìn)、功能齊全、面向企業(yè)內(nèi)部應(yīng)用提供服務(wù)的綜合數(shù)據(jù)通信網(wǎng)(DCN網(wǎng)),逐步成為企業(yè)應(yīng)用趨勢(shì)。
目前,省內(nèi)DCN網(wǎng)絡(luò)的應(yīng)用主要包括長(zhǎng)途網(wǎng)管系統(tǒng)、七號(hào)信令系統(tǒng)、電路調(diào)度系統(tǒng)、傳輸綜合網(wǎng)管、本地網(wǎng)管系統(tǒng)、168系統(tǒng)、九七系統(tǒng)、智能網(wǎng)記費(fèi)、資源管理系統(tǒng)、客服系統(tǒng)、聯(lián)機(jī)計(jì)費(fèi)采集系統(tǒng)、IP綜合網(wǎng)管系統(tǒng)、交換接入網(wǎng)綜合網(wǎng)管系統(tǒng)、新九七系統(tǒng)等。而隨著信息化系統(tǒng)整合,Internet和合作伙伴等也會(huì)接入到網(wǎng)絡(luò)中,隨著DCN網(wǎng)絡(luò)信息資產(chǎn)價(jià)值的提高,其重要性和安全問題日益顯現(xiàn)出來。整體而言,DCN網(wǎng)絡(luò)正面臨著惡意軟件攻擊、內(nèi)部員工誤用、黑客入侵破壞等安全威脅,要建立安全的DCN網(wǎng),必須滿足一些前提條件。
安全需求具有明顯特點(diǎn)
DCN網(wǎng)絡(luò)分為兩層結(jié)構(gòu):省干核心層和地市匯聚層。全省共設(shè)置了1個(gè)省中心節(jié)點(diǎn)、若干個(gè)地市中心節(jié)點(diǎn)。
DCN網(wǎng)絡(luò)存在的安全問題主要集中在以下幾個(gè)方面:組網(wǎng)方式隨意性很強(qiáng);網(wǎng)絡(luò)區(qū)域之間邊界不清晰,互通控制管理難度大、效果差,攻擊容易擴(kuò)散;安全防護(hù)手段部署原則不明確,已有設(shè)備也沒有很好地發(fā)揮作用;網(wǎng)絡(luò)資源比較分散,關(guān)鍵數(shù)據(jù)分散管理,部分通信資源無法共享;擴(kuò)展性差,網(wǎng)絡(luò)層次不清晰,會(huì)導(dǎo)致擴(kuò)展性問題;非均勻的網(wǎng)絡(luò)分布。
作為內(nèi)部支撐業(yè)務(wù)的“數(shù)據(jù)通信網(wǎng)”,DCN網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的安全需求相比存在著明顯的特點(diǎn)。
可用性,可控性需求。作為內(nèi)部承載網(wǎng)絡(luò),DCN網(wǎng)絡(luò)的可用性需求是最重要的安全需求,由于DCN網(wǎng)絡(luò)的特點(diǎn),公共網(wǎng)絡(luò)那種以擴(kuò)大資源(帶寬、設(shè)備處理能力)為主的處理方式很明顯不適合DCN網(wǎng)絡(luò)的具體情況。例如,病毒泛濫,蠕蟲傳播的情況,由于端接入點(diǎn)不可控,采取很具體的控制手段往往是通過增加資源首先保證可用的方式來解決。但對(duì)于DCN網(wǎng)絡(luò),由于全網(wǎng)所有節(jié)點(diǎn)都在可控范圍內(nèi),可以方便地采用技術(shù)手段和管理手段實(shí)現(xiàn)更精細(xì),更有效的可用性管理。
可操作性需求。DCN網(wǎng)絡(luò)覆蓋面廣,承載業(yè)務(wù)系統(tǒng)繁多,情況千差萬(wàn)別,要搞好這個(gè)系統(tǒng)的安全建設(shè)工作,可操作性是目前需要考慮的一個(gè)重要問題,沒有可操作性,任何建設(shè)方案,建設(shè)思路都將流于形式。
面臨三大安全威脅
DCN網(wǎng)絡(luò)中的主要威脅除了物理攻擊破壞外,主要包括惡意軟件攻擊、內(nèi)部員工誤用、黑客入侵破壞等三大類,具體描述如下。
1. 物理攻擊和破壞
物理攻擊和破壞主要針對(duì)DCN的基礎(chǔ)平臺(tái)而言,對(duì)基礎(chǔ)平臺(tái)內(nèi)重要的網(wǎng)絡(luò)設(shè)備、通信鏈路進(jìn)行的攻擊和破壞,威脅的形式表現(xiàn)為物理臨近攻擊。威脅的主體包括DCN內(nèi)部和外部的破壞者,破壞網(wǎng)絡(luò)設(shè)備使之無法正常提供服務(wù);侵占網(wǎng)絡(luò)鏈路資源,使DCN網(wǎng)絡(luò)有限的帶寬資源被無目的地浪費(fèi)等。
2.病毒、蠕蟲和惡意代碼
這種威脅主要針對(duì)DCN的應(yīng)用。隨著計(jì)算機(jī)技術(shù)的發(fā)展和網(wǎng)絡(luò)互聯(lián)范圍的擴(kuò)大,計(jì)算機(jī)病毒制造技術(shù)也在不斷地翻新和發(fā)展,傳播方式也有了很大的變化。病毒的發(fā)作具有高發(fā)性、變異性、破壞力強(qiáng)等特點(diǎn),在短短的時(shí)間內(nèi)可以迅速傳播、蔓延,導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)癱瘓,造成DCN網(wǎng)重要數(shù)據(jù)的丟失。
與此同時(shí),還出現(xiàn)了許多具有攻擊性的黑客程序和其他破壞程序。這些有害的程序都是利用計(jì)算機(jī)網(wǎng)絡(luò)的技術(shù)進(jìn)行傳播和破壞,使傳統(tǒng)的病毒防范技術(shù)難以防范,大規(guī)模蠕蟲病毒對(duì)網(wǎng)絡(luò)資源造成很大的侵占,使系統(tǒng)無法正常支撐業(yè)務(wù)的運(yùn)作,嚴(yán)重的將導(dǎo)致整個(gè)系統(tǒng)的崩潰。
防范的主要目標(biāo)是:能夠掌握DCN網(wǎng)絡(luò)、數(shù)據(jù)中心的資產(chǎn)信息和運(yùn)行狀態(tài),每月提供全省病毒攻擊相關(guān)安全事件統(tǒng)計(jì)數(shù)據(jù)報(bào)告;能夠?qū)κ貲CN網(wǎng)絡(luò)、信息系統(tǒng)的漏洞和威脅進(jìn)行評(píng)估,明確當(dāng)前省屬DCN網(wǎng)絡(luò)和信息系統(tǒng)存在的風(fēng)險(xiǎn)和被病毒攻擊的可能性,并及時(shí)做好加固工作;能夠?qū)κ貲CN關(guān)鍵節(jié)點(diǎn)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控,對(duì)病毒等造成的流量異常進(jìn)行及時(shí)響應(yīng),快速定位并隔離病毒源頭;能夠通過對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志和告警事件的關(guān)聯(lián)分析,在病毒爆發(fā)初期快速定位并隔離病毒源頭;能夠在接收到安全通告12小時(shí)內(nèi)向各地市安全通告;在病毒爆發(fā)時(shí),能夠快速定位接入局域網(wǎng)接入位置,提高安全響應(yīng)時(shí)間。
3.垃圾郵件
電子郵件的興起,實(shí)現(xiàn)了方便的信息交互和溝通,也為各種攻擊提供了新的傳播手段。典型的基于電子郵件的攻擊就是垃圾郵件,這些垃圾郵件利用郵箱內(nèi)的地址簿,自我進(jìn)行復(fù)制和傳播,從而在網(wǎng)絡(luò)內(nèi)形成大量的郵件風(fēng)暴,而阻礙了正常郵件的發(fā)送,甚至引起網(wǎng)絡(luò)阻塞,影響其他正常業(yè)務(wù)數(shù)據(jù)的交互。
4.內(nèi)部員工誤用、濫用和誤操作
內(nèi)部員工在使用計(jì)算機(jī)過程中的一些不當(dāng)行為,很容易使DCN網(wǎng)遭到外來的攻擊和破壞。比如,下載一些帶有病毒的文件,造成病毒的傳播;對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行誤操作,造成業(yè)務(wù)系統(tǒng)宕機(jī);被植入木馬,從而形成跳板去攻擊DCN其他網(wǎng)絡(luò)資源;對(duì)數(shù)據(jù)濫用,造成重要的信息外泄,使重要機(jī)密數(shù)據(jù)被竊取。
一般地,內(nèi)部員工誤用、濫用資源和對(duì)設(shè)備的誤操作,無論是無意的還是有意的,都將給攻擊者可乘之機(jī)。這種行為會(huì)給DCN網(wǎng)帶來一些明顯的后果:DCN網(wǎng)機(jī)密泄漏和關(guān)鍵數(shù)據(jù)丟失;誤操作導(dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓、影響業(yè)務(wù)正常運(yùn)行;誤用和濫用導(dǎo)致業(yè)務(wù)的不穩(wěn)定、被攻擊的可能性增大。
針對(duì)此類行為的關(guān)鍵策略是采取集中認(rèn)證和訪問控制、行為審計(jì)等措施進(jìn)行防范,能夠建立省中心網(wǎng)絡(luò)集中認(rèn)證授權(quán)(AAA)管理系統(tǒng),統(tǒng)一用戶的賬號(hào)口令管理、統(tǒng)一認(rèn)證,并能夠?qū)﹃P(guān)鍵網(wǎng)絡(luò)設(shè)備的訪問和操作進(jìn)行審計(jì)等。
5.蓄意破壞
指一些有組織、有預(yù)謀的破壞行為。包括采取物理臨近攻擊,進(jìn)入DCN網(wǎng)絡(luò)而獲得商業(yè)秘密,使機(jī)密數(shù)據(jù)被竊取;針對(duì)DCN網(wǎng)絡(luò)重要網(wǎng)絡(luò)設(shè)備、重要業(yè)務(wù)服務(wù)器進(jìn)行暴力攻擊,影響關(guān)鍵業(yè)務(wù)的持續(xù)運(yùn)行;針對(duì)DCN網(wǎng)絡(luò)對(duì)外提供服務(wù)的設(shè)備進(jìn)行拒絕服務(wù)攻擊,中斷其正常服務(wù)的提供,對(duì)業(yè)務(wù)的正常開展造成威脅等。
可以采取的措施主要包括:能夠在省屬DCN關(guān)鍵鏈路和關(guān)鍵節(jié)點(diǎn)有相應(yīng)冗余措施;能夠?qū)κ訇P(guān)鍵網(wǎng)絡(luò)設(shè)備的訪問和操作進(jìn)行審計(jì);出現(xiàn)安全事件和故障能夠快速定位。
6.黑客攻擊和非法入侵
指外部黑客對(duì)DCN網(wǎng)絡(luò)進(jìn)行的強(qiáng)制攻擊行為,攻擊者往往利用DCN網(wǎng)絡(luò)的弱點(diǎn),獲取訪問權(quán)限,并利用訪問權(quán)限獲得對(duì)DCN信息資產(chǎn)的控制,從而進(jìn)行進(jìn)一步的攻擊行為,破壞系統(tǒng)的機(jī)密性、完整性和可用性,造成系統(tǒng)的崩潰。
防范攻擊的目標(biāo)為:掌握DCN網(wǎng)絡(luò)、數(shù)據(jù)中心的資產(chǎn)信息和運(yùn)行狀態(tài),提供遭受入侵攻擊和安全事件相關(guān)統(tǒng)計(jì)數(shù)據(jù)報(bào)告;對(duì)DCN資產(chǎn)的漏洞和威脅進(jìn)行評(píng)估,明確當(dāng)前DCN存在的風(fēng)險(xiǎn)和被攻擊的可能性,并及時(shí)做好加固工作;對(duì)省公司與集團(tuán)總部數(shù)據(jù)中心接口、Internet 出入口處、合作伙伴接入點(diǎn)進(jìn)行監(jiān)控,對(duì)內(nèi)部黑客攻擊和非常入侵等造成的流量異常進(jìn)行及時(shí)響應(yīng),能夠快速定位攻擊源,及時(shí)切斷攻擊行為;對(duì)網(wǎng)絡(luò)的攻擊行為進(jìn)行記錄和審計(jì);能獲得最新的漏洞報(bào)告,并能在全網(wǎng)。
滿足三大前提條件
保證網(wǎng)絡(luò)安全必須有一定的前提條件,主要包括邊界整合和安全域劃分、出口規(guī)劃及控制、業(yè)務(wù)層面的隔離三個(gè)方面。
1. 邊界整合和安全域劃分
DCN網(wǎng)的邊界包括外部邊界和內(nèi)部系統(tǒng)之間的邊界。外部邊界包括與Internet的接口、上下區(qū)域之間的接口,內(nèi)部邊界是指各業(yè)務(wù)系統(tǒng)之間的邊界。
在省層面,與外界的接口原則上由省的統(tǒng)一節(jié)點(diǎn)管理,并設(shè)置嚴(yán)格的安全控制策略。所有對(duì)外接口原則上設(shè)置在省公司,在地市公司層面,和其他網(wǎng)絡(luò)沒有連接。在CE層實(shí)現(xiàn)MPLS VPN控制。在PE層實(shí)現(xiàn)Internet的出入口,在業(yè)務(wù)網(wǎng)的互聯(lián)區(qū)采用邊界防火墻進(jìn)行隔離。
2.DCN網(wǎng)的Internet出口規(guī)劃及控制
DCN網(wǎng)絡(luò)根據(jù)業(yè)務(wù)發(fā)展的需要應(yīng)該進(jìn)行Internet接口的整合,統(tǒng)一DCN網(wǎng)的互聯(lián)網(wǎng)出口。在確定Internet接入的情況下,在Internet接口處部署防火墻設(shè)備。
而在Internet出口處部署防火墻必須能夠做到:采用狀態(tài)檢測(cè)的機(jī)制實(shí)現(xiàn);對(duì)常見應(yīng)用采用機(jī)制,防止反向連接的木馬攻擊程序;防火墻本身應(yīng)能實(shí)現(xiàn)HA和Load Balance;在DCN網(wǎng)接入Internet接口處,除了采用防火墻這種通用的、常見的措施外,還應(yīng)采用IPS(入侵防御)技術(shù)/產(chǎn)品和防火墻配合使用。
3.DCN承載業(yè)務(wù)層面的隔離措施
BSS、OSS和MSS在縱向(集團(tuán)-省公司-地市公司)、跨DCN骨干網(wǎng)的傳輸上采用MPLS VPN方式針對(duì)不同業(yè)務(wù)系統(tǒng)進(jìn)行封包,確保在不同的VPN通道中傳輸不同業(yè)務(wù)系統(tǒng)。
如果BSS、OSS和MSS系統(tǒng)在橫向上同處一個(gè)本地網(wǎng)中,則采用路由控制配合其他安全方式來進(jìn)行安全防護(hù)。
4.VPN實(shí)現(xiàn)隔離
各地市節(jié)點(diǎn)的路由器用作PE(即SPE),組成一個(gè)邏輯PE節(jié)點(diǎn)(HoPE)。在DCN網(wǎng)絡(luò)上形成多個(gè)這樣的邏輯PE,邏輯PE之間通過MP-BGP協(xié)議交換VPN路由信息,省中心兩臺(tái)核心路由器設(shè)置VPN路由反射器(VRR)。邏輯PE內(nèi)部,SPE和UPE之間運(yùn)行擴(kuò)展的MP-BGP協(xié)議,交換本地VPN路由信息。
5.業(yè)務(wù)系統(tǒng)互訪
實(shí)現(xiàn)子系統(tǒng)之間受控互訪,可以有兩種方式:利用BGP MPLS VPN提供了extranet VPN的方式,可以方便地控制不同VPN之間的互訪,而且互訪受到嚴(yán)格的控制;利用VPN內(nèi)部的路由器(或者防火墻)做地址過濾、報(bào)文過濾等。
完善安全建設(shè)思路
針對(duì)前面分析的DCN網(wǎng)中主要的三種威脅和三類前提條件,DCN安全建設(shè)的主要思路應(yīng)具體包括以下幾個(gè)方面。
1. DCN網(wǎng)關(guān)鍵資產(chǎn)保護(hù)
DCN網(wǎng)的關(guān)鍵資產(chǎn)就是網(wǎng)絡(luò)設(shè)備(包括交換機(jī)、路由器等)和主機(jī)系統(tǒng),為了提供對(duì)關(guān)鍵資產(chǎn)的安全保障,目前最有效和安全性最高的就是采用安全加固措施,對(duì)重要資產(chǎn)進(jìn)行安全評(píng)估后,進(jìn)行技術(shù)性的加固,才能很好地將數(shù)據(jù)庫(kù)安全保障達(dá)到最可靠的安全等級(jí)。
2.防火墻產(chǎn)品部署
在各個(gè)通向其它系統(tǒng)或區(qū)域的鏈路上通過防火墻實(shí)現(xiàn)邊界保護(hù),控制各個(gè)區(qū)域間的訪問和信息流。防火墻根據(jù)實(shí)際業(yè)務(wù)情況依據(jù)“一切未明確允許的訪問都禁止”的原則詳細(xì)配置訪問策略,只允許授權(quán)地址訪問,過濾兩個(gè)區(qū)域之間的通信量和堵塞未授權(quán)訪問。
3.IDS產(chǎn)品部署
采用分級(jí)部署方式,在省和地市兩級(jí)分別部署入侵檢測(cè)探測(cè)器和控制臺(tái),實(shí)現(xiàn)分級(jí)分權(quán)的監(jiān)控和管理。
4.漏洞掃描產(chǎn)品部署
采用分級(jí)部署方式,在省公司和地市兩級(jí)部署無IP地址限制的漏洞掃描設(shè)備,實(shí)現(xiàn)多級(jí)的漏洞掃描,以達(dá)到了解整個(gè)DCN省網(wǎng)的安全現(xiàn)狀。
省網(wǎng)方面,考慮到DCN省網(wǎng)范圍需要檢測(cè)的設(shè)備較多,使用一臺(tái)無IP限制的設(shè)備。在省網(wǎng)管中心建立一級(jí)遠(yuǎn)程評(píng)估中心,負(fù)責(zé)DCN省網(wǎng)的脆弱性分析和匯總各個(gè)地市的評(píng)估數(shù)據(jù);地市網(wǎng)方面,則由于各個(gè)地市的信息系統(tǒng)規(guī)模情況不太一致,在規(guī)模較大的地市公司網(wǎng)使用無檢測(cè)IP限制的設(shè)備,與省網(wǎng)形成多級(jí)部署。在規(guī)模較大地市公司建立二級(jí)遠(yuǎn)程評(píng)估中心,負(fù)責(zé)DCN地市網(wǎng)絡(luò)的脆弱性評(píng)估分析和上報(bào)工作
通過IDS產(chǎn)品與漏洞掃描產(chǎn)品的聯(lián)動(dòng)操作,可以有效地針對(duì)保護(hù)資產(chǎn)的脆弱性進(jìn)行安全防護(hù)。
5.防DoS攻擊產(chǎn)品部署
在DCN省網(wǎng)骨干和各重要業(yè)務(wù)系統(tǒng)中采用不同的部署方式,從不同方面進(jìn)行保護(hù)。在骨干網(wǎng)采用旁路流量牽引方式進(jìn)行部署,主要作用是濾除大部分的攻擊流量,減少骨干網(wǎng)絡(luò)帶寬占用,避免網(wǎng)絡(luò)阻塞,針對(duì)于流量型DoS攻擊。同時(shí)在對(duì)外提供服務(wù)的重要業(yè)務(wù)系統(tǒng)出口處串接部署,主要作用是保護(hù)內(nèi)部業(yè)務(wù)系統(tǒng)完全免受攻擊,徹底防御各個(gè)層次的DoS,針對(duì)于協(xié)議缺陷型DoS攻擊。
6.流量分析產(chǎn)品部署
通過流量分析產(chǎn)品的部署,能夠?qū)φwDCN網(wǎng)絡(luò)的安全趨勢(shì)進(jìn)行預(yù)測(cè)與跟蹤,并針對(duì)全網(wǎng)范圍內(nèi)的實(shí)時(shí)統(tǒng)計(jì)數(shù)據(jù)進(jìn)行安全方面的數(shù)據(jù)挖掘,從而有效地對(duì)DCN網(wǎng)絡(luò)的運(yùn)行情況和安全狀況進(jìn)行監(jiān)測(cè)。在發(fā)生網(wǎng)絡(luò)運(yùn)行或安全事件時(shí),根據(jù)產(chǎn)品內(nèi)置策略或者管理員指定的方法,第一時(shí)間內(nèi)自動(dòng)告警,進(jìn)一步協(xié)助管理員分析問題的影響范圍。
7.雙因素認(rèn)證、防病毒、補(bǔ)丁管理部署
靜態(tài)口令存在很多缺陷,容易被人猜測(cè)或通過交際工程學(xué)等途徑獲取,輸入口令時(shí)容易被人窺視和被很多工具破解,通過實(shí)施雙因素認(rèn)證,增加第二個(gè)物理認(rèn)證因素,從而使認(rèn)證的確定性按指數(shù)級(jí)遞增,提升資源保護(hù)的安全級(jí)別,可防止機(jī)密數(shù)據(jù)、內(nèi)部應(yīng)用等重要資源被非法訪問。
由于在網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒有不可估量的威脅性和破壞力,特別是對(duì)于Windows操作系統(tǒng),比較容易感染病毒,因此病毒的防范也是信息系統(tǒng)安全建設(shè)中應(yīng)該考慮的重要的環(huán)節(jié)之一。反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和殺毒三種技術(shù)。
在省中心,可以采用一臺(tái)或多臺(tái)服務(wù)器,安裝相應(yīng)軟件后,作為雙因素認(rèn)證服務(wù)器、防病毒服務(wù)器、補(bǔ)丁管理服務(wù)器,實(shí)現(xiàn)相應(yīng)的安全功能,提高DCN網(wǎng)安全性。
建立安全管理中心
對(duì)于安全建設(shè)而言,主要包括安全組織、安全技術(shù)、安全運(yùn)作、安全策略等方面,單從安全技術(shù)而言,太少的安全設(shè)備和太多的安全設(shè)備一樣存在著比較大的問題,特別是安全設(shè)備布放多的情況下,產(chǎn)生了大量的告警,使網(wǎng)絡(luò)變得非常復(fù)雜,同時(shí)也會(huì)使管理人員無所適從。具體框架如圖所示。從長(zhǎng)遠(yuǎn)來看,SOC中心的建設(shè)成為安全建設(shè)的主要發(fā)展方向,從而使企業(yè)的網(wǎng)絡(luò)管理向網(wǎng)管中心和安全中心的雙中心方向發(fā)展。
在安全建設(shè)過程中,通常采用不同廠商的安全產(chǎn)品和方案,并引入了相當(dāng)多異構(gòu)的安全技術(shù)。而來源于防火墻、入侵檢測(cè)、防病毒等安全設(shè)備的事件隨著網(wǎng)絡(luò)的發(fā)展,在一個(gè)中等規(guī)模的網(wǎng)絡(luò)上就可以形成海量安全事件,這些事件中又存在非常多的誤報(bào)和重復(fù)現(xiàn)象,技術(shù)人員在維護(hù)網(wǎng)絡(luò)系統(tǒng)時(shí),不能清楚了解網(wǎng)絡(luò)系統(tǒng)當(dāng)前的隱患和狀態(tài),分別處理了大量信息工作卻效果有限。
【關(guān)鍵詞】智能時(shí)代;云計(jì)算;安全架構(gòu)
一、前言
當(dāng)今世界,新一輪的科技革命和產(chǎn)業(yè)變革正在持續(xù)深入,工業(yè)互聯(lián)網(wǎng)、智能制造、人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等領(lǐng)域正在加速布局,“智能時(shí)代”企業(yè)信息系統(tǒng)最顯著的變化是虛擬化、數(shù)字化一切、軟件定義,促使企業(yè)信息化的不斷發(fā)展,公司信息化資產(chǎn)數(shù)量日趨增多、系統(tǒng)的關(guān)聯(lián)性和復(fù)雜度不斷增強(qiáng),使企業(yè)信息安全形勢(shì)日益嚴(yán)峻,信息安全防護(hù)工作面臨前所未有的困難和挑戰(zhàn)。為了更好監(jiān)控和保障信息系統(tǒng)運(yùn)行,及時(shí)識(shí)別和防范安全風(fēng)險(xiǎn),同時(shí)滿足國(guó)家和行業(yè)監(jiān)管要求,保證信息安全管理工作的依法合規(guī),企業(yè)亟需建立一個(gè)全數(shù)據(jù)、集中管理的企業(yè)安全平臺(tái),做到事前預(yù)警、事中監(jiān)控、事后分析以及響應(yīng),全面的提升信息安全管理與防護(hù)水平。
二、智能時(shí)代的變化趨勢(shì)
我們正處在一個(gè)變革的時(shí)刻,“智能”是這個(gè)時(shí)代最顯著的標(biāo)志。在今年春天首屆世界智能大會(huì)上馬云提出,智能時(shí)代有三個(gè)最主要的要素:互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算;李彥宏也指出,未來30年推動(dòng)社會(huì)進(jìn)步的動(dòng)力,就是智能科技的進(jìn)步;浪潮董事長(zhǎng)孫丕恕表示,智能從實(shí)現(xiàn)形式上就是要通過物聯(lián)網(wǎng)、互聯(lián)網(wǎng)將企業(yè)生產(chǎn)數(shù)據(jù)、互聯(lián)網(wǎng)數(shù)據(jù)和企業(yè)自身的管理數(shù)據(jù)全部打通,實(shí)現(xiàn)無邊界信息流和大數(shù)據(jù)分析。由此看來,一個(gè)企業(yè)走向智能化首先要完成業(yè)務(wù)在線化和流程服務(wù)軟件化,然后完成應(yīng)用軟件的SaaS(Software-as-a-Service)化,從而助企業(yè)實(shí)現(xiàn)智能生產(chǎn)、智能維護(hù)、智慧服務(wù)。1.安全技術(shù)的變化基于云計(jì)算、虛擬化、大數(shù)據(jù)、智能制造、移動(dòng)辦公的持續(xù)推進(jìn),都是基于企業(yè)信息基礎(chǔ)架構(gòu)所實(shí)施的,開放式計(jì)算環(huán)境和更靈活的支持架構(gòu),要求安全技術(shù)隨之匹配發(fā)展,才能適應(yīng)新環(huán)境,新技術(shù)下的安全需求。中國(guó)工程院倪光南院士在《云安全的思考》主題演講中指出,云安全一定會(huì)呈現(xiàn)出多維度、多層次、跨領(lǐng)域、多學(xué)科技術(shù)交叉等方面的特征。對(duì)于云計(jì)算的安全保護(hù),需要一個(gè)完備體系,從技術(shù)、監(jiān)管、法律三個(gè)層面上,形成可感知、可預(yù)防的智能云安全體系。2.企業(yè)智能架構(gòu)從應(yīng)用架構(gòu)上看,未來的應(yīng)用都是角色化、場(chǎng)景化的,可連接互聯(lián)網(wǎng)資源,全員應(yīng)用,實(shí)現(xiàn)移動(dòng)化和智能化。虛擬化、數(shù)字化一切、軟件定義促使企業(yè)信息架構(gòu)的變革,以業(yè)務(wù)為導(dǎo)向和驅(qū)動(dòng),在企業(yè)管理、集成等方向上提供基礎(chǔ)共性平臺(tái),為企業(yè)快速構(gòu)建和集成應(yīng)用軟件提供基礎(chǔ)支持,從而實(shí)現(xiàn)工程經(jīng)驗(yàn)?zāi)K化、產(chǎn)品實(shí)際協(xié)同化、項(xiàng)目流程一體化結(jié)構(gòu),實(shí)現(xiàn)由統(tǒng)一業(yè)務(wù)層、統(tǒng)一界面構(gòu)架層、應(yīng)用系統(tǒng)層、統(tǒng)一工作臺(tái)面、大數(shù)據(jù)分析、云計(jì)算層組成的一種新模式。在企業(yè)IT系統(tǒng)的業(yè)務(wù)基礎(chǔ)機(jī)構(gòu)層面,引入先進(jìn)的統(tǒng)一軟件平臺(tái),為上層應(yīng)用開發(fā)提供統(tǒng)一標(biāo)準(zhǔn),接口和規(guī)范,同時(shí)基于“平臺(tái)+組件”的架構(gòu)實(shí)現(xiàn)各類應(yīng)用的組合和復(fù)用,助企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型。3.云架構(gòu)在人工智能一日千里的時(shí)代,云計(jì)算已成為產(chǎn)業(yè)革新的原動(dòng)力、新型管理的主平臺(tái)、人工智能的強(qiáng)載體。在新的云時(shí)代,整個(gè)社會(huì)都在發(fā)生數(shù)字化的迭代。云成為數(shù)字化最重要的基礎(chǔ)架構(gòu)。騰訊董事局主席兼首席執(zhí)行官馬化騰指出:“用云量將成為一個(gè)重要的經(jīng)濟(jì)指標(biāo),能夠衡量一個(gè)行業(yè)數(shù)字經(jīng)濟(jì)發(fā)展程度?!彼€表示:“傳統(tǒng)企業(yè)的未來就是在云端用人工智能處理大數(shù)據(jù)?!薄霸?AI”是當(dāng)前最主流的方向,其核心包括三項(xiàng)核心能力(計(jì)算機(jī)視覺、智能語(yǔ)音識(shí)別、自然語(yǔ)言處理)。在計(jì)算機(jī)視覺領(lǐng)域?qū)崿F(xiàn)開放OCR識(shí)別、人臉核身、圖片處理等多項(xiàng)智能云服務(wù);在智能語(yǔ)音識(shí)別領(lǐng)域?qū)崿F(xiàn)語(yǔ)音轉(zhuǎn)文字、語(yǔ)音合成、聲紋識(shí)別、情緒識(shí)別等功能;在自然語(yǔ)言處理領(lǐng)域,以“數(shù)據(jù)+算法+系統(tǒng)”為核心,提供毫秒級(jí)響應(yīng)的個(gè)性化服務(wù)。
三、企業(yè)信息安全措施
VMware首席執(zhí)行官帕特•基辛格表示:“抵御安全攻擊,響應(yīng)速度不是核心,而是如何將支離破碎的安全保護(hù)進(jìn)行更有效的整合,實(shí)現(xiàn)安全架構(gòu)的簡(jiǎn)化,這才是企業(yè)安全轉(zhuǎn)型的關(guān)鍵。”安全技術(shù)在智能時(shí)代必須跟上發(fā)展的變化,“智慧安全”的理念正在深入,著力點(diǎn)從網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)安全深入到業(yè)務(wù)應(yīng)用安全等各個(gè)層面,AI防火墻、態(tài)勢(shì)感知平臺(tái)、云安全產(chǎn)品、企業(yè)移動(dòng)化信息安全管理平臺(tái)、智慧眼監(jiān)控雷達(dá)、業(yè)務(wù)應(yīng)用安全審計(jì)平臺(tái)成為保護(hù)企業(yè)信息安全的前沿技術(shù)。1.企業(yè)數(shù)據(jù)的安全阿里巴巴董事局主席馬云說:“數(shù)據(jù)是新能源。”隨著數(shù)據(jù)量的持續(xù)增長(zhǎng),應(yīng)用數(shù)量不斷增加,數(shù)據(jù)將成為社會(huì)創(chuàng)新的重要驅(qū)動(dòng)力。隨著“網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略”、“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃、大數(shù)據(jù)戰(zhàn)略的推進(jìn),網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅也進(jìn)入到企業(yè):非對(duì)稱的業(yè)務(wù)流量、定制化的應(yīng)用程序、需要被路由到計(jì)算層之外并達(dá)到數(shù)據(jù)中心周邊的高流量數(shù)據(jù)、跨多個(gè)虛擬化應(yīng)用,以及地理上分散的移動(dòng)應(yīng)用,都造成數(shù)據(jù)泄露的機(jī)會(huì),隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立,信息安全已上升到國(guó)家安全層面。因此數(shù)據(jù)保護(hù)十分重要,最好的選擇是本源的防護(hù),既做到保護(hù)數(shù)據(jù)本源的同時(shí),又能靈活應(yīng)對(duì)各種安全環(huán)境的需求。而符合這種要求的安全技術(shù)就是基于專業(yè)的安全分析模型和大數(shù)據(jù)管理工具,可準(zhǔn)確、高效地感知整個(gè)網(wǎng)絡(luò)的安全狀態(tài)以及變化趨勢(shì),通過企業(yè)本地部署安全大數(shù)據(jù)分析平臺(tái),打通云端情報(bào)與本地設(shè)備的聯(lián)動(dòng),形成情報(bào)觸發(fā)預(yù)警,預(yù)警觸發(fā)防護(hù)的閉環(huán)。對(duì)外部的攻擊與危害行為可以及時(shí)的發(fā)現(xiàn),并采取相應(yīng)的響應(yīng)措施,保障企業(yè)信息系統(tǒng)安全。2.企業(yè)網(wǎng)絡(luò)安全2016年,在“4.19講話”中再一次強(qiáng)調(diào)網(wǎng)絡(luò)安全建設(shè)的重要性,并提出:“要樹立正確的網(wǎng)絡(luò)安全觀,加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系,全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì),增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力,要加快網(wǎng)絡(luò)立法進(jìn)程,完善依法監(jiān)管措施,化解網(wǎng)絡(luò)風(fēng)險(xiǎn)。此外根據(jù)網(wǎng)絡(luò)安全法相關(guān)規(guī)定,我們也可以看出,網(wǎng)絡(luò)安全法在原有信息系統(tǒng)安全等級(jí)保護(hù)制度的基礎(chǔ)上,創(chuàng)新了網(wǎng)絡(luò)安全等級(jí)保護(hù)的工作方法,企業(yè)的信息安全建設(shè)需在原有信息系統(tǒng)安全等級(jí)保護(hù)制度建設(shè)的基礎(chǔ)上,將新技術(shù)新應(yīng)用帶來的重要信息系統(tǒng)建設(shè)諸如云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)等領(lǐng)域的國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)都納入國(guó)家安全等級(jí)保護(hù)制度進(jìn)行管理,將風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)、通報(bào)預(yù)警、應(yīng)急演練、災(zāi)難備份、自主可控等重點(diǎn)措施也納入了國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的管理范疇。企業(yè)緊跟網(wǎng)絡(luò)技術(shù)的發(fā)展,以“智慧安全2.0戰(zhàn)略”為指導(dǎo),將“智慧安全”的核心從網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)安全深入到業(yè)務(wù)應(yīng)用安全等各個(gè)層面?,F(xiàn)在已可以采用AI、機(jī)器學(xué)習(xí)、行為分析等技術(shù)手段進(jìn)行動(dòng)態(tài)分析、靜態(tài)分析、異常檢測(cè)、深度解析等手段,更有效地防范未知威脅。3.物聯(lián)網(wǎng)安全預(yù)計(jì)到2021年,全球?qū)⒂谐^460億臺(tái)設(shè)備,傳感器和執(zhí)行器連接在一起,更廣闊,更強(qiáng)大和更穩(wěn)定的物聯(lián)網(wǎng)時(shí)代即將到來,并且最終將給企業(yè)帶來全新業(yè)務(wù)方式。物聯(lián)網(wǎng)(IoT)為企業(yè)創(chuàng)新提供了廣闊的前景。企業(yè)通過監(jiān)控、分析收集來的數(shù)據(jù)量,來確保業(yè)務(wù)的正常發(fā)展。其中數(shù)據(jù)大都是從傳感器、應(yīng)用、門禁系統(tǒng)、配電單元、UPS、發(fā)電機(jī)和太陽(yáng)能電池板產(chǎn)生的數(shù)據(jù),但隨著這些應(yīng)用的增長(zhǎng),物聯(lián)網(wǎng)帶給企業(yè)的安全風(fēng)險(xiǎn)也很大。要應(yīng)對(duì)物聯(lián)網(wǎng)的安全挑戰(zhàn),企業(yè)應(yīng)從智能設(shè)備的離線安全、入網(wǎng)安全、在線安全等維度進(jìn)行整體安全檢測(cè)與防護(hù),在云端接入大數(shù)據(jù)感知威脅和安全態(tài)勢(shì)分析平臺(tái),獲取威脅情報(bào);在本地端通過減少威脅“檢測(cè)時(shí)間(TTD)”,即減少發(fā)生威脅到發(fā)現(xiàn)威脅的時(shí)間差,縮短檢測(cè)時(shí)間,可有效限制攻擊者的操作空間,和最大限度減少損失。①及時(shí)更新基礎(chǔ)設(shè)施和應(yīng)用,讓攻擊者無法利用公開的漏洞;②利用集成防御對(duì)抗復(fù)雜性,采取平衡防御與主動(dòng)應(yīng)對(duì)的安全控制;③密切監(jiān)控網(wǎng)絡(luò)流量(這在網(wǎng)絡(luò)流量模式可預(yù)測(cè)性非常高的IoT環(huán)境中非常重要);④追蹤物聯(lián)網(wǎng)設(shè)備如何接觸網(wǎng)絡(luò)并與其他設(shè)備進(jìn)行交互(例如,如果物聯(lián)網(wǎng)設(shè)備正在掃描其他設(shè)備,則可能是表示惡意活動(dòng)的紅色警報(bào))。
四、結(jié)論
神州控股董事局主席郭為對(duì)未來的預(yù)測(cè)時(shí)說:“云計(jì)算將成為未來主流IT運(yùn)算模式,大數(shù)據(jù)會(huì)成為最重要核心資源;自上而下的創(chuàng)新將是智能時(shí)代推動(dòng)社會(huì)進(jìn)步的主流方式,借助云計(jì)算、大數(shù)據(jù)這兩項(xiàng)關(guān)鍵技術(shù)實(shí)現(xiàn)互聯(lián)網(wǎng)化、協(xié)同化和智能化。”智能是我們這個(gè)時(shí)代的標(biāo)志,對(duì)于企業(yè)信息化來說,它的路很長(zhǎng),首先要完成核心業(yè)務(wù)在線化和所有的業(yè)務(wù)流程服務(wù)軟件化,然后完成應(yīng)用軟件的SaaS(Soft-as-a-Service)化,當(dāng)企業(yè)的核心業(yè)務(wù)完全建立在互聯(lián)網(wǎng)上,并有軟件SaaS平臺(tái)驅(qū)動(dòng),企業(yè)才能夠向智能化方向演進(jìn)——低成本積累大數(shù)據(jù),并通過數(shù)據(jù)分析進(jìn)行商業(yè)決策,最終向?qū)崟r(shí)數(shù)據(jù)分析、實(shí)時(shí)智能商業(yè)決策演進(jìn)。由此,企業(yè)信息智能化任重道遠(yuǎn),從現(xiàn)在開始制定適當(dāng)?shù)陌踩呗?,以此加快IT新趨勢(shì)的適應(yīng)能力,在不斷采用新技術(shù)的過程中建立適合企業(yè)的安全管理系統(tǒng),做到覆蓋企業(yè)安全運(yùn)維的所有場(chǎng)景,監(jiān)視安全威脅,預(yù)測(cè)安全風(fēng)險(xiǎn)。
參考文獻(xiàn)
[1]維克多•邁克熱•舍恩伯格.大數(shù)據(jù)時(shí)代:生活、工作與思維的大變革[M].浙江人民出版社.
21世紀(jì),隨著計(jì)算機(jī)和網(wǎng)絡(luò)通訊技術(shù)的變革,數(shù)字圖書館的理論與技術(shù)迅猛發(fā)展,并成為現(xiàn)代圖書館的發(fā)展方向。在知識(shí)經(jīng)濟(jì)時(shí)代,信息技術(shù)迅速全面地滲入到知識(shí)活動(dòng)的全過程,觸發(fā)知識(shí)的生產(chǎn)、加工、傳播、使用等各個(gè)環(huán)節(jié)的深刻變革。數(shù)字圖書館的工作重點(diǎn),正在逐漸向知識(shí)傳遞、知識(shí)創(chuàng)新轉(zhuǎn)變,工作定位也從信息管理轉(zhuǎn)變到知識(shí)管理,圖書館員也要求向?qū)W者化、知識(shí)化方向發(fā)展。當(dāng)前,國(guó)內(nèi)外許多學(xué)者對(duì)數(shù)字圖書館的內(nèi)涵、主要內(nèi)容、實(shí)現(xiàn)機(jī)制等方面進(jìn)行了大量的探討,取得了不少研究成果。
⒈高職院校數(shù)字化圖書館的發(fā)展現(xiàn)狀
高職院校文獻(xiàn)信息資源與重點(diǎn)高校相比累積的就少,特別是它的文獻(xiàn)信息典藏和管理要落后于普通本科院校圖書館的整體發(fā)展水平。具體情況體現(xiàn)在:
1)文獻(xiàn)信息資源儲(chǔ)備少,服務(wù)得不到滿足。目前各個(gè)高職院校都有自己的專業(yè)設(shè)置和相應(yīng)的人才培養(yǎng)方案,根據(jù)這些需求開發(fā)館藏資源,文獻(xiàn)資源服務(wù)不僅要滿足教學(xué)方面的需求,而且對(duì)于學(xué)院的科研工作也應(yīng)該起到補(bǔ)充輔助作用,圖書館建設(shè)的基本方向是社會(huì)需求和專業(yè)建設(shè)需求, 較強(qiáng)的專業(yè)性和職業(yè)性是絕大多數(shù)文獻(xiàn)的特點(diǎn),文獻(xiàn)的職業(yè)性表現(xiàn)得突出,注重實(shí)用性。
2)經(jīng)費(fèi)普遍緊張,影響資源到位。我國(guó)高職院校目前辦學(xué)經(jīng)費(fèi)大都比較緊張。受到人力、財(cái)力等多種因素的限制,圖書館收集的各類文獻(xiàn)信息資源也相對(duì)有限。教師從事教學(xué)、科研所需的較高層次的參考資料特別少。學(xué)生在學(xué)習(xí)過程中,對(duì)文獻(xiàn)資料、參考信息的需求上也明顯要低于普通本科院校。
3)辦館理念定位不高,影響效益到位。高職院校圖書館除了發(fā)展資金不足外,還受到體制和服務(wù)觀念的影響,存在管理水平落后,人員素質(zhì)偏低等多種缺陷,極大限制了高職院校圖書館的自身建設(shè)和可持續(xù)發(fā)展。
⒉知識(shí)庫(kù)建設(shè)
以山東電子職業(yè)技術(shù)學(xué)院為例,該學(xué)院圖書館舍總面積10000 平方米,館藏總量80萬(wàn)余冊(cè)(其中電子資源30萬(wàn)余冊(cè))。館藏文獻(xiàn)分別按學(xué)科類別,文獻(xiàn)類別和使用要求收藏。1999年開始使用大連博菲特文獻(xiàn)管理軟件系統(tǒng),實(shí)現(xiàn)了圖書館采訪、編目、流通閱覽的計(jì)算機(jī)自動(dòng)化管理。2004年轉(zhuǎn)為使用深圳ILASII圖書管理系統(tǒng)?,F(xiàn)設(shè)有系統(tǒng)服務(wù)器2臺(tái),WEB服務(wù)器1臺(tái),采編、流通借還、期刊等業(yè)務(wù)處理實(shí)現(xiàn)了辦公自動(dòng)化和讀者服務(wù)網(wǎng)絡(luò)化。
學(xué)院教師一般圍繞教學(xué)專業(yè)課程進(jìn)行借閱,對(duì)所借的圖書要求高,大都要求圖書館的專業(yè)書籍能夠滿足其教學(xué)參考的要求。學(xué)校的學(xué)生大都是高考落榜生,對(duì)專業(yè)的學(xué)習(xí)興趣不大,大都偏向于休閑娛樂的書籍,只有部分學(xué)生在參加英語(yǔ)和計(jì)算機(jī)等級(jí)考試前,他們才借閱與專業(yè)課和考試復(fù)習(xí)有關(guān)的書籍。有一部分學(xué)生也會(huì)準(zhǔn)備研究生入學(xué)考試,臨畢業(yè)前,圖書館的借閱量明顯下降。學(xué)校行政后勤工作人員主要借閱與其工作性質(zhì)相關(guān)的圖書資料,如政治、行政管理及教育管理相關(guān)的圖書。因此圖書館館藏資料重點(diǎn)加強(qiáng)教學(xué)科研急需的、具有各專業(yè)特性、能夠取得顯著社會(huì)效益和經(jīng)濟(jì)效益的數(shù)據(jù)庫(kù)。
⒊建立數(shù)字化圖書館的具體措施
3.1人力資源建設(shè)
建設(shè)好圖書館,為讀者提供高質(zhì)量的服務(wù),真正實(shí)現(xiàn)高校數(shù)字圖書館的職能,關(guān)鍵取決于館員隊(duì)伍的素質(zhì)。圖書館專業(yè)化人才應(yīng)當(dāng)具備圖書情報(bào)學(xué)知識(shí),又要熟練掌握計(jì)算機(jī)等現(xiàn)代化信息技術(shù),還要有豐富的專業(yè)文化知識(shí)。具體來看,應(yīng)具備以下基本的知識(shí)和技能。
首先,館員必須具備熟練的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與開發(fā)利用信息資源的能力,以便準(zhǔn)確地為讀者提供所需信息。還需要掌握其他相關(guān)知識(shí)技能。主要指公共關(guān)系學(xué)、管理學(xué)等與未來圖書館工作緊密相關(guān)的知識(shí)和技能。這些知識(shí)和技能的內(nèi)容,隨著社會(huì)發(fā)展和圖書館職能的擴(kuò)大,其要求會(huì)越來越高。相關(guān)知識(shí)技能的培養(yǎng)和掌握對(duì)于專業(yè)化人才的成功將起促進(jìn)作用。
其次,應(yīng)精通專業(yè)知識(shí)。作為專業(yè)信息工作者,圖書館員應(yīng)具備信息分類、組織與獲取的技能。應(yīng)精通某些學(xué)科的專業(yè)知識(shí),達(dá)到專家水平并具備一定的學(xué)科預(yù)測(cè)能力,這樣才能成為某一特定專業(yè)文獻(xiàn)信息和相應(yīng)專業(yè)讀者之間的中介和紐帶,為讀者提供廣、快、精、準(zhǔn)的高質(zhì)量服務(wù)。再次,要具備較強(qiáng)的分析能力,能夠及時(shí)有效地提出最佳的服務(wù)方案。較強(qiáng)的分析能力是要求圖書館管理人員在搜索有關(guān)信息時(shí),能夠挖掘有價(jià)值的直接因素和間接因素,從多個(gè)角度對(duì)信息進(jìn)行鑒別、歸納和總結(jié),善于交流,并能獨(dú)立地提出合理化建議,開展系統(tǒng)的咨詢服務(wù)。最后,館員必須具有高度的責(zé)任感和嚴(yán)謹(jǐn)細(xì)致的工作作風(fēng)。從事任何一種職業(yè)都必須具有強(qiáng)烈的事業(yè)心和高度負(fù)責(zé)的精神。圖書館工作技術(shù)性和專業(yè)性都很強(qiáng),復(fù)雜、細(xì)致而繁瑣,稍不認(rèn)真,就會(huì)造成失誤。只有具有高度的責(zé)任心和嚴(yán)謹(jǐn)細(xì)致的工作作風(fēng),才能建立一個(gè)科學(xué)的工作秩序和良好的服務(wù)環(huán)境。
3.2 網(wǎng)絡(luò)安全建設(shè)
系統(tǒng)和網(wǎng)絡(luò)是構(gòu)建數(shù)字圖書館的基礎(chǔ),沒有系統(tǒng)和網(wǎng)絡(luò)也就無從談及數(shù)字圖書館。數(shù)字圖書館安全首先要談的是數(shù)字圖書館系統(tǒng)及網(wǎng)絡(luò)的安全。此方面包括設(shè)備安全、運(yùn)行安全和網(wǎng)絡(luò)安全。設(shè)備安全是指數(shù)字圖書館系統(tǒng)中的計(jì)算機(jī)、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、通信設(shè)備、安全設(shè)備等物理保證安全,防止人為和自然的損壞;運(yùn)行安全是指服務(wù)器操作系統(tǒng)及數(shù)字圖書館軟件運(yùn)行安全性,防止系統(tǒng)運(yùn)行軟件故障,減少因軟件故障導(dǎo)致的系統(tǒng)運(yùn)行不穩(wěn)定;網(wǎng)絡(luò)安全是指服務(wù)器之間的協(xié)同和信息交換的安全,防止信息泄露,抵御黑客攻擊。
首先增加 UPS,防止斷電對(duì)數(shù)據(jù)的破壞。其次,使用虛擬網(wǎng)技術(shù),劃分不同網(wǎng)絡(luò)安全區(qū)域。在數(shù)字圖書館網(wǎng)絡(luò)中,利用虛擬網(wǎng)技術(shù)可實(shí)現(xiàn)對(duì)內(nèi)部子網(wǎng)的物理隔離。再次,設(shè)置多層防火墻。在圖書館內(nèi)部網(wǎng)與教育網(wǎng)和校園網(wǎng)之間使用防火墻。這樣可以在一定程度上阻止互聯(lián)網(wǎng)中的黑客攻擊,保護(hù)圖書館內(nèi)網(wǎng)的安全。在圖書館內(nèi)部不同網(wǎng)絡(luò)安全域間設(shè)置防火墻。最后,使用入侵監(jiān)測(cè)系統(tǒng),及早發(fā)現(xiàn)黑客入侵。入侵監(jiān)測(cè)系統(tǒng)是一種比較新的軟件系統(tǒng),能夠發(fā)現(xiàn)正在進(jìn)行的攻擊,并對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警,并通過自動(dòng)修改路由或防火墻的配置來抵制攻擊;將復(fù)雜的日志文件進(jìn)行分析,為網(wǎng)絡(luò)安全管理人員提供有效的結(jié)果。
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)