前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的公司網(wǎng)絡(luò)安全管理方案主題范文,僅供參考,歡迎閱讀并收藏。
1企業(yè)網(wǎng)絡(luò)安全需求分析
1.1網(wǎng)絡(luò)安全概念及特征
網(wǎng)絡(luò)安全是指為防范網(wǎng)絡(luò)攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施,以確保信息完整、可用、無泄露,保持網(wǎng)絡(luò)穩(wěn)定、安全地運行。其主要特征是保證網(wǎng)絡(luò)信息的完整性、可用性和機(jī)密性[2]。
1.2企業(yè)網(wǎng)絡(luò)安全面臨的主要問題
企業(yè)網(wǎng)絡(luò)安全面臨的問題歸納如下:(1)網(wǎng)絡(luò)安全目標(biāo)不明確。雖然《網(wǎng)絡(luò)安全法》已于2017年6月1日起施行,但企業(yè)對網(wǎng)絡(luò)安全的重要性依然認(rèn)識不足,缺乏網(wǎng)絡(luò)安全規(guī)劃,沒有明確的網(wǎng)絡(luò)安全目標(biāo)[3]。(2)網(wǎng)絡(luò)安全意識不足。從企業(yè)的決策者到普通員工并沒有充分意識到網(wǎng)絡(luò)安全的重要性,企業(yè)網(wǎng)絡(luò)安全存在很大隱患。(3)網(wǎng)絡(luò)安全設(shè)施不健全。無論大型企業(yè),還是中小企業(yè),都存在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入不足的問題,以致設(shè)施陳舊、不完整,面對外部攻擊和各種漏洞很容易發(fā)生信息丟失、泄露、竊用等現(xiàn)象。(4)缺乏完整的網(wǎng)絡(luò)安全解決方案。企業(yè)網(wǎng)絡(luò)安全防護(hù)呈現(xiàn)碎片化、分散化等特點[4],缺乏系統(tǒng)性、協(xié)同性、靈活性,面對萬物互聯(lián)和更高級的威脅,傳統(tǒng)防護(hù)手段捉襟見肘、防不勝防[5]。
1.3企業(yè)網(wǎng)絡(luò)安全需求
企業(yè)因網(wǎng)絡(luò)安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡(luò)安全需求,這是由企業(yè)內(nèi)部網(wǎng)絡(luò)因素與外部網(wǎng)絡(luò)形勢共同決定的,內(nèi)外都不會一成不變,所以企業(yè)網(wǎng)絡(luò)安全需求是一個動態(tài)過程,具有時效性?;诖耍獪?zhǔn)確把握企業(yè)網(wǎng)絡(luò)安全需求,必須對企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行調(diào)查分析,一般而言,企業(yè)網(wǎng)絡(luò)安全主要包括內(nèi)網(wǎng)安全、邊界安全及文件傳輸安全等方面[6],具體體現(xiàn)在以下幾個方面:(1)網(wǎng)絡(luò)安全策略需求。安全策略的有效性、完整性和實用性是企業(yè)網(wǎng)絡(luò)安全的一個重要需求。目前的企業(yè)網(wǎng)絡(luò)安全策略文檔過于簡單,而且沒有形成完整的體系,對企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)性不足。(2)網(wǎng)絡(luò)安全組織需求。企業(yè)應(yīng)建立結(jié)構(gòu)完整、職能清晰的網(wǎng)絡(luò)安全組織機(jī)構(gòu),負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全策略制定、網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全運行管理等。(3)網(wǎng)絡(luò)安全運行管理需求。企業(yè)應(yīng)建立科學(xué)高效的運行管理體系,采用實用的運行管理方法,對服務(wù)器安全、網(wǎng)絡(luò)訪問可控性、網(wǎng)絡(luò)監(jiān)控等進(jìn)行管理。
2企業(yè)網(wǎng)絡(luò)安全解決方案
2.1企業(yè)網(wǎng)絡(luò)安全方案設(shè)計原則
網(wǎng)絡(luò)安全方案的設(shè)計原則旨在指導(dǎo)企業(yè)科學(xué)合理地設(shè)計網(wǎng)絡(luò)安全方案,避免失于偏頗和“詞不達(dá)意”,設(shè)計原則可以有很多,筆者認(rèn)為最重要的原則如下:(1)多重防護(hù)原則。突破單一防護(hù)機(jī)制要比突破多重防護(hù)機(jī)制容易得多。(2)簡單適用原則。過于復(fù)雜的方案漏洞多,本身就不安全。(3)系統(tǒng)性原則。企業(yè)網(wǎng)絡(luò)安全面對的威脅是多方面的,只專注于一點無法保障網(wǎng)絡(luò)安全。(4)需求、風(fēng)險與代價平衡原則。沒有任何方案可以做到絕對安全,追求過高的安全性要付出巨大代價,所以要學(xué)會取舍,平衡風(fēng)險與代價。(5)可維護(hù)性原則。沒有任何系統(tǒng)可以做到無懈可擊,要做到能隨時調(diào)整、升級、擴(kuò)充。(6)技術(shù)與管理相結(jié)合原則。在改善安全技術(shù)的同時也要加強(qiáng)管理,減少管理漏洞,對于復(fù)雜的安全形勢,要多做預(yù)案,提前防范突發(fā)事件。
2.2企業(yè)網(wǎng)絡(luò)安全解決方案
2.2.1網(wǎng)絡(luò)分域防護(hù)方案網(wǎng)絡(luò)分域防護(hù)的原則是落實安全域的防護(hù)策略、制定訪問控制策略、檢查網(wǎng)絡(luò)邊界、分級防護(hù)等。從企業(yè)網(wǎng)絡(luò)安全需求及特點出發(fā),將網(wǎng)絡(luò)組織架構(gòu)從邏輯上分為互聯(lián)網(wǎng)域、服務(wù)區(qū)域、外聯(lián)域和內(nèi)網(wǎng)核心區(qū)域,如圖1所示?;ヂ?lián)網(wǎng)域接入互聯(lián)網(wǎng)服務(wù),服務(wù)區(qū)域即企業(yè)服務(wù)器放置區(qū)域,外聯(lián)域接入分公司區(qū)域,內(nèi)網(wǎng)核心區(qū)域是指企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)的核心設(shè)備區(qū)域。如此劃分的目的是保證具有相同防護(hù)需求的網(wǎng)絡(luò)及系統(tǒng)處于同一安全子域內(nèi),便于各個安全子域內(nèi)部署相應(yīng)等級的防護(hù)策略。2.2.2部署安全網(wǎng)關(guān)方案在外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置安全網(wǎng)關(guān)(如圖1所示),作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理屏障,以保護(hù)內(nèi)網(wǎng)安全。安全網(wǎng)關(guān)不是單一的防火墻,而是綜合了防病毒、入侵檢測和防火墻的一體化安全設(shè)備。該設(shè)備運用統(tǒng)一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護(hù)策略整合到統(tǒng)一的管理平臺上,按需開啟多種功能,其由硬件、軟件、網(wǎng)絡(luò)技術(shù)組成。UTM在硬件上可以采用X86、ASIC、NP架構(gòu)中的一種,X86架構(gòu)適于百兆網(wǎng)絡(luò),若是千兆網(wǎng)絡(luò)應(yīng)采用ASIC架構(gòu)或NP架構(gòu)。在升級、維護(hù)及開發(fā)周期方面,NP架構(gòu)比ASIC架構(gòu)更有優(yōu)勢。UTM軟件上可以集成防病毒、入侵檢測、內(nèi)容過濾、防垃圾郵件、流量管理等多種功能,通過模式匹配實現(xiàn)特征庫統(tǒng)一和效率提升。UTM管理結(jié)構(gòu)基于管理分層、功能分級思想,包含集中管理與單機(jī)管理的雙重管理機(jī)制,實現(xiàn)功能設(shè)置管理和數(shù)據(jù)分析能力。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)(intrusionpreventionsystem)的英文縮寫,用于監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)傳輸,發(fā)現(xiàn)異常數(shù)據(jù)可以即時中斷傳輸或進(jìn)行隔離,先于攻擊達(dá)成實現(xiàn)防護(hù),與防火墻功能上互補(bǔ),并支持串行接入模式,采用基于策略的防護(hù)方式,用戶可以選擇最適合策略達(dá)到最佳防護(hù)效果。IPS部署在服務(wù)區(qū)域與內(nèi)網(wǎng)核心區(qū)域之間,或核心交換機(jī)與內(nèi)部服務(wù)器之間(如圖1所示),可實時監(jiān)測外部數(shù)據(jù)向內(nèi)部服務(wù)器的傳輸過程,發(fā)現(xiàn)入侵行為即報警、阻斷,同時還能精確阻擊SQL注入攻擊。IDS是入侵檢測系統(tǒng)(intrusiondetectionsystem)的英文縮寫,能對網(wǎng)絡(luò)數(shù)據(jù)傳輸實時監(jiān)視,發(fā)現(xiàn)可疑報警或采取其他主動反應(yīng)措施,屬于監(jiān)聽設(shè)備,其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式,可部署在核心交換機(jī)上,對進(jìn)出內(nèi)網(wǎng)與內(nèi)部服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)測,如圖1所示。
2.2.4部署漏洞掃描系統(tǒng)方案漏洞掃描是基于漏洞數(shù)據(jù)庫,通過掃描檢測遠(yuǎn)程系統(tǒng)或本地系統(tǒng)漏洞行為,與防火墻、IDS配合以提高網(wǎng)絡(luò)安全性,掃描對象包括網(wǎng)絡(luò)、主機(jī)和數(shù)據(jù)庫。漏洞掃描運用的技術(shù)有主機(jī)在線掃描、端口掃描、操作系統(tǒng)識別、漏洞監(jiān)測數(shù)據(jù)采集、智能端口識別、多重服務(wù)檢測、系統(tǒng)滲透掃描等。漏洞掃描系統(tǒng)部署方式包括獨立式部署和分布式部署。前者適于比較簡單的網(wǎng)絡(luò)結(jié)構(gòu),例如電子商務(wù)、中小企業(yè)等;后者適于復(fù)雜、分布點多、數(shù)據(jù)相對分散的網(wǎng)絡(luò)結(jié)構(gòu),例如政府、電力行業(yè)、金融行業(yè)、電信運營商等。圖1為采用獨立式部署的漏洞掃描系統(tǒng)方案。
論文摘要:本文對船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全現(xiàn)狀和問題原因進(jìn)行了概括性的敘述,對網(wǎng)絡(luò)安全的需求進(jìn)行了研究分析。從實施船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理的現(xiàn)實條件和實際要求出發(fā),提出了船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理的策略和解決方案,針對不同情況的船舶提出了相應(yīng)的實施建議。
1引言
進(jìn)入二十一世紀(jì)以來,隨著船舶自動化和信息化程度不斷提高,船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用得到了迅速發(fā)展。越來越多的新造船舶采用計算機(jī)網(wǎng)絡(luò)技術(shù)將船舶輪機(jī)監(jiān)控系統(tǒng)、航海駕駛智能化系統(tǒng)、船舶管理信息系統(tǒng)(SMIS)等應(yīng)用納入一個統(tǒng)一的網(wǎng)絡(luò)系統(tǒng),實現(xiàn)船岸管控一體化。
在我司近幾年建造的4萬噸級以上的油輪上,普遍安裝了計算機(jī)局域網(wǎng)。一方面,計算機(jī)網(wǎng)絡(luò)用于傳輸船上動力裝置監(jiān)測系統(tǒng)與船舶航行等實時數(shù)據(jù);另一方面,計算機(jī)網(wǎng)絡(luò)用于船舶管理信息系統(tǒng)(功能包括船舶機(jī)務(wù)、采購、海務(wù)、安全、體系管理與油輪石油公司檢查管理)并通過網(wǎng)絡(luò)中船舶通訊計算機(jī)實現(xiàn)船岸間的數(shù)據(jù)交換,實現(xiàn)船岸資源共享,有利于岸基他船舶管理人員對船舶的監(jiān)控與業(yè)務(wù)指導(dǎo)。前者屬于實時系統(tǒng)應(yīng)用,后者屬于船舶日常管理系統(tǒng)應(yīng)用,在兩種不同類型的網(wǎng)絡(luò)應(yīng)用(子網(wǎng))之間采用網(wǎng)關(guān)進(jìn)行隔離。目前,船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)采用的硬件設(shè)備和軟件系統(tǒng)相對簡單,因此,船舶計算機(jī)網(wǎng)絡(luò)的安全基礎(chǔ)比較薄弱。隨著船齡的不斷增長,船上計算機(jī)及網(wǎng)絡(luò)設(shè)備逐漸老化;并且,船上沒有配備專業(yè)的人員負(fù)責(zé)計算機(jī)網(wǎng)絡(luò)和設(shè)備的運行維護(hù)和管理工作,所以船舶計算機(jī)及網(wǎng)絡(luò)的技術(shù)狀況比較差,影響各類系統(tǒng)的正常使用與船岸數(shù)據(jù)的交換。究其原因,除了網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路故障問題之外,大多數(shù)問題是因各類病毒與管理不善等原因所引起的。
2船舶計算機(jī)網(wǎng)絡(luò)架構(gòu)
目前在船舶上普遍采用工業(yè)以太網(wǎng),船舶局域網(wǎng)大多采用星型結(jié)構(gòu)。
有些船舶已經(jīng)在所有船員房間布設(shè)了局域網(wǎng)網(wǎng)線,而有些船舶只是在高級船員房間布設(shè)了計算機(jī)局域網(wǎng)網(wǎng)線。圖表1是一艘30萬噸超級油輪(VLCC)的計算機(jī)局域網(wǎng)結(jié)構(gòu)圖。
圖表2 是 船舶計算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。其中,局域網(wǎng)服務(wù)器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);網(wǎng)關(guān)采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交換機(jī)采用D-LINK DES-1024D快速以太網(wǎng)交換機(jī)(10/100M 自適應(yīng),工作在二層應(yīng)用層級)。
3船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全問題
2005年以來,有很多的船舶管理公司推進(jìn)實施船舶管理信息系統(tǒng)。對于遠(yuǎn)洋船舶來說,船上需要安裝使用船舶管理信息系統(tǒng)的船舶版軟件。大多數(shù)的船舶版軟件都是采用客戶端/服務(wù)器兩層架構(gòu),高級船員的辦公計算機(jī)作為客戶端,通過聯(lián)網(wǎng)使用船舶管理信息系統(tǒng)。船上的船舶管理信息系統(tǒng)通過電子郵件(一般采用AMOS MAIL或Rydex電子郵件)與岸基的船舶管理信息系統(tǒng)交換數(shù)據(jù),實現(xiàn)船、岸船舶數(shù)據(jù)庫的數(shù)據(jù)同步。
根據(jù)了解,目前船舶計算機(jī)網(wǎng)絡(luò)最主要的問題(也是最突出的現(xiàn)狀)是安全性和可用性達(dá)不到船舶管理信息系統(tǒng)運行使用的基本要求。船舶管理信息系統(tǒng)數(shù)據(jù)庫服務(wù)器與郵件服務(wù)器之間,以及船員的辦公計算機(jī)與船舶管理信息系統(tǒng)數(shù)據(jù)庫服務(wù)器之間經(jīng)常無法聯(lián)通。經(jīng)過上船檢查發(fā)現(xiàn),影響船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運行的主要原因是計算機(jī)病毒。大多數(shù)船舶的辦公計算機(jī)采用微軟操作系統(tǒng),一方面沒有打補(bǔ)丁,另一方面尚未采取有效的防病毒措施,比如沒有安裝單機(jī)版或網(wǎng)絡(luò)版防病毒軟件。有些船舶雖然安裝了防病毒軟件,但是因為不能及時進(jìn)行防毒軟件升級和病毒庫更新,所以無法查殺新病毒或新的變種病毒等,從而失去防病毒作用。經(jīng)過調(diào)查分析,船上計算機(jī)病毒的主要來源是:(1)在局域網(wǎng)中的計算機(jī)上使用了帶有病毒的光盤、優(yōu)盤、移動硬盤等存儲介質(zhì);(2)將帶有病毒的筆記本電腦接入了船上的局域網(wǎng);(3)在局域網(wǎng)中的計算機(jī)上安裝有無線上網(wǎng)卡,通過無線上網(wǎng)(沿海航行或??扛劭跁r)引入了病毒/蠕蟲/木馬/惡意代碼等。
為了解決上述問題,有的企業(yè)在船舶辦公計算機(jī)上安裝了硬盤保護(hù)卡;也有一些企業(yè)在船舶辦公計算機(jī)上安裝了“一鍵恢復(fù)”軟件;另外還有企業(yè)開始在船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)中安裝部署專業(yè)的安全管理系統(tǒng)軟件和網(wǎng)絡(luò)版防病毒軟件。
若要從根本上增強(qiáng)船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性和可用性,則需要考慮以下條件的限制:(1)船上的計算機(jī)網(wǎng)絡(luò)架構(gòu)在出廠時已經(jīng)固定,除非船舶正在建造或者進(jìn)廠修理,否則,凡是處于運營狀態(tài)的船舶,不可能立即為船舶管理信息系統(tǒng)專門建設(shè)一個物理上獨立的計算機(jī)局域網(wǎng)。(2)限于資金投入和船上安裝場所等原因,船上的計算機(jī)網(wǎng)絡(luò)設(shè)備或設(shè)施在短期內(nèi)也不可能無限制按需增加。(3)從技術(shù)管理的角度看,在現(xiàn)階段,船舶仍不可能配備具有專業(yè)水平的網(wǎng)絡(luò)人員對計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理。(4)因衛(wèi)星通信通道和通信費用等原因,遠(yuǎn)洋船舶的辦公計算機(jī)操作系統(tǒng)(微軟Windows 系列)不可能從因特網(wǎng)下載補(bǔ)丁和打補(bǔ)??;船舶局域網(wǎng)中的防病毒軟件和病毒庫不可能及時升級和更新??傮w上看,解決船舶計算機(jī)網(wǎng)絡(luò)安全方面的問題,與陸地上確實有許多不同之處。
4船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全需求分析
為提高船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)的可用性,即船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)任何一個組件發(fā)生故障,不管它是不是硬件,都不會導(dǎo)致網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用乃至整個網(wǎng)絡(luò)系統(tǒng)癱瘓,為此需要增強(qiáng)船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠性、可恢復(fù)性和可維護(hù)性。其中:(1)可靠性是指針對船舶上的溫度、濕度、有害氣體等環(huán)境,提高網(wǎng)絡(luò)設(shè)備和線路的技術(shù)要求,有關(guān)的設(shè)計方案在船舶建造和船舶修理時進(jìn)行實施和實現(xiàn)。(2)可恢復(fù)性,是指船舶計算機(jī)網(wǎng)絡(luò)中任一設(shè)備或網(wǎng)段發(fā)生故障而不能正常工作時,依靠事先的設(shè)計,網(wǎng)絡(luò)系統(tǒng)自動將故障進(jìn)行隔離。(3)可維護(hù)性,是指通過對船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)的在線管理,及時發(fā)現(xiàn)異常情況,使問題或故障能夠得到及時處理。 轉(zhuǎn)貼于
研究解決船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理問題,必須考慮現(xiàn)實的條件和實現(xiàn)的成本。總的原則是:方案簡潔、技術(shù)成熟;經(jīng)濟(jì)性好、實用性強(qiáng);易于實施、便于維護(hù)。因此,在盡量利用現(xiàn)有設(shè)備和設(shè)施、擴(kuò)充或提高計算機(jī)及網(wǎng)絡(luò)配置、增加必要的安全管理系統(tǒng)軟件、嚴(yán)格控制增加設(shè)備的前提下,通過采用邏輯域劃分、病毒防殺、補(bǔ)丁管理、網(wǎng)絡(luò)準(zhǔn)入、外設(shè)接口管理、終端應(yīng)用軟件管理和移動存儲介質(zhì)管理等手段,以解決船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)最主要的安全問題。
在對船舶計算機(jī)網(wǎng)絡(luò)采取安全防護(hù)技術(shù)措施的同時,還需要制定船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理制度;定制船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略和安全管理框架;對船員進(jìn)行計算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全知識教育,增強(qiáng)船員遵守公司制定的計算機(jī)網(wǎng)絡(luò)安全管理規(guī)定的意識和自覺性。
(1)加強(qiáng)船舶計算機(jī)病毒的防護(hù),建立全面的多層次的防病毒體系,防止病毒的攻擊;
(2)采用專用的設(shè)備和設(shè)施實現(xiàn)船舶安全策略的強(qiáng)制執(zhí)行,配合防毒軟件的部署與應(yīng)用;
(3)加強(qiáng)船舶計算機(jī)網(wǎng)絡(luò)管理,通過桌面管理工具實現(xiàn)船舶計算機(jī)網(wǎng)絡(luò)運行的有效控制;
(4)制定相關(guān)的網(wǎng)絡(luò)安全防護(hù)策略,以及網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)與恢復(fù)策略,在正常預(yù)防網(wǎng)絡(luò)安全事件的同時,做好應(yīng)對網(wǎng)絡(luò)安全事件的準(zhǔn)備。
5船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理要求
5.1確定船舶網(wǎng)絡(luò)系統(tǒng)安全管理目標(biāo)
基于以上對船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問題和可用性需求的分析,我們認(rèn)為解決網(wǎng)絡(luò)系統(tǒng)安全問題的最終目標(biāo)是:
通過船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理制度的制定,安全策略和安全管理框架的開發(fā),定制開發(fā)和部署適合船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)特點的安全管理系統(tǒng),確保船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全可靠的運行和受控合法的使用,滿足船舶管理信息系統(tǒng)正常運行、業(yè)務(wù)運營和日常管理的需要。
通過實施船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全技術(shù)措施,達(dá)到保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性,保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性,防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問,防范人為的有意或無意的攻擊與破壞,保護(hù)船上的各類信息通過局域網(wǎng)傳輸過程中的安全性、完整性、及時性,防范計算機(jī)病毒的侵害,實現(xiàn)系統(tǒng)快速恢復(fù),確保船舶計算機(jī)網(wǎng)絡(luò)的安全運行和有效管理??傮w上從五方面考慮:
(1)針對管理級安全,建立一套完整可行的船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理制度,通過有效的貫徹實施和檢查考核,實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全運行管理與維護(hù);
(2)針對應(yīng)用級安全,加強(qiáng)船舶計算機(jī)網(wǎng)絡(luò)防病毒、防攻擊、漏洞管理、數(shù)據(jù)備份、數(shù)據(jù)加密、身份認(rèn)證等,采用適合的安全軟硬件,建設(shè)安全防護(hù)體系;
(3)針對系統(tǒng)級安全,加強(qiáng)對服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫的運行監(jiān)測,加強(qiáng)系統(tǒng)補(bǔ)丁的管理,通過雙機(jī)(或兩套系統(tǒng))的形式保證核心系統(tǒng)運行,當(dāng)發(fā)生故障時,能及時提供備用系統(tǒng)和恢復(fù);
(4)針對網(wǎng)絡(luò)級安全,保證船舶計算機(jī)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路的運行穩(wěn)定,對核心層的網(wǎng)絡(luò)設(shè)備和線路提供雙路的冗余;
(5)針對物理級安全,保證船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的安全和系統(tǒng)及時恢復(fù),加強(qiáng)信息和數(shù)據(jù)的備份和各類軟件介質(zhì)的管理。
5.2網(wǎng)絡(luò)系統(tǒng)安全配置原則
船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)是一套移動的計算機(jī)網(wǎng)絡(luò)系統(tǒng),沒有專業(yè)的安全管理人員,缺乏專業(yè)的安全管理能力;船舶數(shù)量多,船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)規(guī)模小和相對比較簡潔,因此,不能按照企業(yè)網(wǎng)絡(luò)的安全管理體系來構(gòu)建船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理體系,必須制定經(jīng)濟(jì)實用的網(wǎng)絡(luò)安全設(shè)計原則。
需求、風(fēng)險、代價平衡的原則
對船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行切合實際的分析與設(shè)計,對系統(tǒng)可能面臨的威脅或可能承擔(dān)的風(fēng)險提出定性、定量的分析意見,并制定相應(yīng)的規(guī)范和措施,確定系統(tǒng)的安全策略。
綜合性、整體性、系統(tǒng)性原則
船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全是一個比較復(fù)雜的系統(tǒng)工程,從網(wǎng)絡(luò)系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮,既注重技術(shù)的實現(xiàn),又要加大管理的力度,制定具體措施。安全措施主要包括:行政法律手段、各種管理制度以及專業(yè)技術(shù)措施。
易于操作、管理和維護(hù)性原則
在現(xiàn)階段,船舶上不可能配備專業(yè)的計算機(jī)系統(tǒng)安全管理員,采用的安全措施和系統(tǒng)應(yīng)保證易于安裝、實施、操作、管理和維護(hù),并盡可能不降低對船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)功能和性能的影響。
可擴(kuò)展性、適應(yīng)性及靈活性原則
船舶計算機(jī)網(wǎng)絡(luò)安全管理系統(tǒng)必須組件化或模塊化,便于部署;安全策略配置靈活,具有較強(qiáng)的適應(yīng)性,能夠適應(yīng)各種船舶的計算機(jī)網(wǎng)絡(luò)系統(tǒng)復(fù)雜多樣的現(xiàn)狀;安全管理系統(tǒng)必須具有較好的可擴(kuò)展性,便于未來進(jìn)行安全功能的擴(kuò)展。
標(biāo)準(zhǔn)化、分步實施、保護(hù)投資原則
依照計算機(jī)系統(tǒng)安全方面的有關(guān)法規(guī)與行業(yè)標(biāo)準(zhǔn)和企業(yè)內(nèi)部的標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。限于計算機(jī)系統(tǒng)安全理論與技術(shù)發(fā)展的歷史原因和企業(yè)自身的資金能力,對不同情況的船舶要分期、分批建設(shè)一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置相應(yīng)的設(shè)施。因此,依據(jù)保護(hù)系統(tǒng)安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的網(wǎng)絡(luò)安全系統(tǒng)或投入新的網(wǎng)絡(luò)安全設(shè)施的同時,對現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)應(yīng)采取完善、整合的辦法,使其納入總體的網(wǎng)絡(luò)安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
5.3網(wǎng)絡(luò)安全管理的演進(jìn)過程
建立、健全船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理體系,首先要建立一個合理的管理框架,要從整體和全局的視角,從信息系統(tǒng)的管理層面進(jìn)行整體安全建設(shè),并從信息系統(tǒng)本身出發(fā),通過對船上信息資產(chǎn)的分析、風(fēng)險分析評估、網(wǎng)絡(luò)安全需求分析、安全策略開發(fā)、安全體系設(shè)計、標(biāo)準(zhǔn)規(guī)范制定、選擇安全控制措施等步驟,從整個網(wǎng)絡(luò)安全管理體系上來提出安全解決方案。
船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理體系的建設(shè)須按適當(dāng)?shù)某绦蜻M(jìn)行,首先應(yīng)根據(jù)自身的業(yè)務(wù)性質(zhì)、組織特征、資產(chǎn)狀況和技術(shù)條件定義ISMS的總體方針和范圍,然后在風(fēng)險分析的基礎(chǔ)上進(jìn)行安全評估,同時確定信息安全風(fēng)險管理制度,選擇控制目標(biāo),準(zhǔn)備適用性聲明。船舶計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全管理體系的建立應(yīng)遵循PDCA的過程方法,必須循序漸進(jìn),不斷完善,持續(xù)改進(jìn)。
6建立健全船舶計算機(jī)網(wǎng)絡(luò)安全管理制度
針對船舶計算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全,需要制定相關(guān)法規(guī),結(jié)合技術(shù)手段實現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全管理。制度和流程制定主要包括以下幾個方面:
制定船舶計算機(jī)及網(wǎng)絡(luò)系統(tǒng)安全工作的總體方針、政策性文件和安全策略等,說明機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等;
對安全管理活動中的各類管理內(nèi)容建立安全管理制度,以規(guī)范安全管理活動,約束人員的行為方式;
對要求管理人員或操作人員執(zhí)行的日常管理操作,建立操作規(guī)程,以規(guī)范操作行為,防止操作失誤;
形成由安全政策、安全策略、管理制度、操作規(guī)程等構(gòu)成的全面的信息安全管理制度體系;
由安全管理團(tuán)隊定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定。
7 總結(jié)
對于船舶計算機(jī)網(wǎng)絡(luò)安全按作者的經(jīng)驗可以針對不同類型、不同情況的具體船舶,可以結(jié)合實際需要和具體條件采取以下解決方案:
1.對于正在建造的船舶和準(zhǔn)備進(jìn)廠修理的船舶,建議按照較高級別的計算機(jī)網(wǎng)絡(luò)安全方案進(jìn)行實施,全面加固船舶計算機(jī)及網(wǎng)絡(luò)的可靠性、可恢復(fù)性和可維護(hù)性,包括配置冗余的網(wǎng)絡(luò)設(shè)備和建設(shè)備用的網(wǎng)絡(luò)線路。
2.對于正在營運的、比較新的船舶,建議按照中等級別的計算機(jī)網(wǎng)絡(luò)安全方案進(jìn)行實施,若條件允許,則可以增加專用的安全管理服務(wù)器設(shè)備,更新或擴(kuò)充升級原有的路由器或交換機(jī)。
3.對于其它具備計算機(jī)局域網(wǎng)、船齡比較長的船舶,建議按照較低級別的計算機(jī)網(wǎng)絡(luò)安全方案進(jìn)行實施,不增加專用的安全管理服務(wù)器設(shè)備,主要目標(biāo)解決計算機(jī)網(wǎng)絡(luò)防病毒問題。
4.對于不具備計算機(jī)局域網(wǎng)的老舊船舶,可以進(jìn)一步簡化安全問題解決方案,著重解決船舶管理信息系統(tǒng)服務(wù)器或單機(jī)的防病毒問題,以確保服務(wù)器或單機(jī)上的系統(tǒng)能夠正常運行使用。
參考文獻(xiàn):
廣州某醫(yī)院擁有專業(yè)技術(shù)人員1100余人、床位850張、專業(yè)學(xué)科43個,現(xiàn)已發(fā)展成為集醫(yī)療、教學(xué)、科研、預(yù)防、保健、康復(fù)功能于一體的、面向海內(nèi)外開放的綜合性現(xiàn)代化醫(yī)院。隨著信息化的發(fā)展,該醫(yī)院的醫(yī)療系統(tǒng)也進(jìn)入了數(shù)字化和信息化時代,大型的數(shù)字化醫(yī)療設(shè)備、各種醫(yī)院管理信息系統(tǒng)和醫(yī)療臨床信息系統(tǒng)在醫(yī)院中得到應(yīng)用。數(shù)字化醫(yī)療建設(shè),不但使醫(yī)院的工作流程發(fā)生了變化,同時也對醫(yī)院信息化建設(shè)提出了更高的要求。
目前,該醫(yī)院已應(yīng)用了HIS、EMR、LIS、PACS等信息系統(tǒng),涵蓋了醫(yī)院日常工作流程,比如掛號、診療、化驗、劃價、收費等,同時也覆蓋醫(yī)院各個角落,如病房、藥房、醫(yī)療設(shè)備等。隨著電子病歷、遠(yuǎn)程醫(yī)療的不斷發(fā)展,病人在就醫(yī)過程中的信息將越來越多地以數(shù)字化的方式保存在醫(yī)院的醫(yī)療信息系統(tǒng)中。
如何保證這些醫(yī)療數(shù)據(jù)的安全性、有效性,是醫(yī)院信息系統(tǒng)所面臨的、不可回避的問題。
2011年底,該醫(yī)院新大樓建成,華僑醫(yī)院的信息網(wǎng)絡(luò)改造項目也同步啟動。這次改造不僅要提高網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè),而且還將信息系統(tǒng)安全建設(shè)納入其中。該醫(yī)院的信息安全主管人員清醒地認(rèn)識到:醫(yī)院信息系統(tǒng)的正常運行,不僅包含網(wǎng)絡(luò)、主機(jī)設(shè)備的正常運行,還包括存儲在醫(yī)院應(yīng)用系統(tǒng)中的各種數(shù)據(jù)的安全性和可靠性得到保障。
此前,該醫(yī)院的信息系統(tǒng)已部署了防火墻、入侵檢測系統(tǒng)和網(wǎng)絡(luò)防病毒系統(tǒng)等安全產(chǎn)品。為了此次新大樓的網(wǎng)絡(luò)安全改造建設(shè),醫(yī)院邀請產(chǎn)品供應(yīng)商和業(yè)界優(yōu)秀的公司共同探討新信息系統(tǒng)的安全建設(shè)方案。該醫(yī)院希望其安全建設(shè)方案能夠?qū)崿F(xiàn)以下功能:既要考慮現(xiàn)有系統(tǒng)的安全、有效運行,又要兼顧華僑醫(yī)院未來五年的信息化發(fā)展。
作為該醫(yī)院原有信息安全產(chǎn)品供應(yīng)商,北京冠群金辰軟件有限公司(簡稱冠群金辰)也參與了新信息系統(tǒng)的安全建設(shè),并提出針對該醫(yī)院的安全解決方案建議。
解決之道
冠群金辰認(rèn)為,該醫(yī)院現(xiàn)有信息安全系統(tǒng)中的防火墻、防毒墻、IDS和防病毒的防護(hù)架構(gòu)可以保留,但隨著醫(yī)院新大樓投入使用,網(wǎng)絡(luò)中的終端節(jié)點會增多,網(wǎng)絡(luò)流量將大幅增長,所以,需要對現(xiàn)有防火墻、IDS等系統(tǒng)進(jìn)行升級,提升現(xiàn)有防護(hù)系統(tǒng)的處理能力,以適應(yīng)網(wǎng)絡(luò)提速的要求,保障正常的網(wǎng)絡(luò)業(yè)務(wù)運行;同時,針對網(wǎng)絡(luò)中新增的客戶端節(jié)點,繼續(xù)部署防病毒系統(tǒng)和終端安全管理系統(tǒng),以應(yīng)對越來越復(fù)雜的終端安全防護(hù)問題。
針對目前醫(yī)院網(wǎng)站服務(wù)器保護(hù)的安全盲點,冠群金辰提出了針對Web網(wǎng)站安全建議:使用專業(yè)的網(wǎng)站防護(hù)系統(tǒng)采用層次化的Web主動防護(hù)技術(shù),對醫(yī)院網(wǎng)站服務(wù)器進(jìn)行有效防護(hù)。
實際上,冠群金辰為該醫(yī)院提出的網(wǎng)絡(luò)安全整體解決方案涵蓋了從邊界、網(wǎng)絡(luò)到主機(jī),多層次的縱深防御體系。該方案在邊界通過防火墻、物理隔離設(shè)備將非法訪問、病毒、入侵攻擊等阻擋在網(wǎng)絡(luò)外部。在網(wǎng)絡(luò)層面,該解決方案對網(wǎng)絡(luò)中的流量進(jìn)行檢測,查找正在發(fā)生或?qū)⒁l(fā)生的網(wǎng)絡(luò)攻擊,并及時采取措施,比如報警、阻斷、記錄等。
對于網(wǎng)絡(luò)安全中常見的病毒、信息泄露等安全威脅,該方案中的防病毒軟件和終端安全管理系統(tǒng)為主機(jī)系統(tǒng)提供了基本的安全保障。
冠群金辰為此方案提供了KILL系列安全產(chǎn)品,即KILL防火墻、KILL入侵檢測系統(tǒng)、KILL上網(wǎng)行為管理系統(tǒng)、KILL防毒墻、KILL網(wǎng)絡(luò)防病毒系統(tǒng)、KILL終端安全管理系統(tǒng)和KILL Web安全網(wǎng)關(guān),為該醫(yī)院的網(wǎng)絡(luò)構(gòu)筑了一個多層次的安全防護(hù)體系。從網(wǎng)絡(luò)訪問控制、流量控制、入侵攻擊、病毒查殺、終端準(zhǔn)入和Web防護(hù)等方面,該方案對該醫(yī)院的網(wǎng)絡(luò)提供全面的安全保護(hù)。
關(guān)鍵詞:網(wǎng)絡(luò)、安全、VPN、加密技術(shù)、防火墻技術(shù)
1緒論
隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中,它主要關(guān)心的是確保無關(guān)人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關(guān)心的對象是那些無權(quán)使用,但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題,以及發(fā)送者是否曾發(fā)送過該條消息的問題。
大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的??梢钥闯霰WC網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的,通常也是狡猾的、專業(yè)的,并且在時間和金錢上是很充足、富有的人。同時,必須清楚地認(rèn)識到,能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說,收效甚微。
網(wǎng)絡(luò)安全性可以被粗略地分為4個相互交織的部分:保密、鑒別、反拒認(rèn)以及完整性控制。保密是保護(hù)信息不被未授權(quán)者訪問,這是人們提到的網(wǎng)絡(luò)安全性時最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對方的身份。反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過使用注冊過的郵件和文件鎖來實現(xiàn)。
2方案目標(biāo)
本方案主要從網(wǎng)絡(luò)層次考慮,將網(wǎng)絡(luò)系統(tǒng)設(shè)計成一個支持各級別用戶或用戶群的安全網(wǎng)絡(luò),該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時,還實現(xiàn)與Internet或國內(nèi)其它網(wǎng)絡(luò)的安全互連。本方案在保證網(wǎng)絡(luò)安全可以滿足各種用戶的需求。
需要明確的是,安全技術(shù)并不能杜絕所有的對網(wǎng)絡(luò)的侵?jǐn)_和破壞,它的作用僅在于最大限度地防范,以及在受到侵?jǐn)_的破壞后將損失盡旦降低。具體地說,網(wǎng)絡(luò)安全技術(shù)主要作用有以下幾點:
1.采用多層防衛(wèi)手段,將受到侵?jǐn)_和破壞的概率降到最低;
2.提供迅速檢測非法使用和非法初始進(jìn)入點的手段,核查跟蹤侵入者的活動;
3.提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段,盡量降低損失;
4.提供查獲侵入者的手段。
網(wǎng)絡(luò)安全技術(shù)是實現(xiàn)安全管理的基礎(chǔ),近年來,網(wǎng)絡(luò)安全技術(shù)得到了迅猛發(fā)展,已經(jīng)產(chǎn)生了十分豐富的理論和實際內(nèi)容。
3安全需求
可用性:授權(quán)實體有權(quán)訪問數(shù)據(jù)
機(jī)密性:信息不暴露給未授權(quán)實體或進(jìn)程
完整性:保證數(shù)據(jù)不被未授權(quán)修改
可控性:控制授權(quán)范圍內(nèi)的信息流向及操作方式
可審查性:對出現(xiàn)的安全問題提供依據(jù)與手段
訪問控制:需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離,對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。同樣,對內(nèi)部網(wǎng)絡(luò),由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級別,也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離,并實現(xiàn)相互的訪問控制。
數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計:是識別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容,一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng),識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為,即時響應(yīng)(如報警)并進(jìn)行阻斷;二是對信息內(nèi)容的審計,可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏
險分析
網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運行的前提。網(wǎng)絡(luò)安全不單是單點的安全,而是整個信息網(wǎng)的安全,需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面,涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個層面上的諸多風(fēng)險類。根據(jù)國內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況,應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。
5解決方案
5.1設(shè)計原則
針對網(wǎng)絡(luò)系統(tǒng)實際情況,解決網(wǎng)絡(luò)的安全保密問題是當(dāng)務(wù)之急,考慮技術(shù)難度及經(jīng)費等因素,設(shè)計時應(yīng)遵循如下思想:
1.大幅度地提高系統(tǒng)的安全性和保密性;
2.保持網(wǎng)絡(luò)原有的性能特點,即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性;
3.易于操作、維護(hù),并便于自動化管理,而不增加或少增加附加操作;
4.盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),同時便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展;
5.安全保密系統(tǒng)具有較好的性能價格比,一次性投資,可以長期使用;
6.安全與密碼產(chǎn)品具有合法性,及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證;
7.分步實施原則:分級管理分步實施。
5.2安全策略
針對上述分析,我們采取以下安全策略:
1.采用漏洞掃描技術(shù),對重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險評估,保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。超級秘書網(wǎng)
2.采用各種安全技術(shù),構(gòu)筑防御系統(tǒng),主要有:
(1)防火墻技術(shù):在網(wǎng)絡(luò)的對外接口,采用防火墻技術(shù),在網(wǎng)絡(luò)層進(jìn)行訪問控制。
(2)NAT技術(shù):隱藏內(nèi)部網(wǎng)絡(luò)信息。
(3)VPN:虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來,構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會覺察到公共網(wǎng)絡(luò)的存在,仿佛所有的機(jī)器都處于一個網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨占使用,而事實上并非如此。
(4)網(wǎng)絡(luò)加密技術(shù)(Ipsec):采用網(wǎng)絡(luò)加密技術(shù),對公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝,實現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾?。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題,也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。
(5)認(rèn)證:提供基于身份的認(rèn)證,并在各種認(rèn)證機(jī)制中可選擇使用。
(6)多層次多級別的企業(yè)級的防病毒系統(tǒng):采用多層次多級別的企業(yè)級的防病毒系統(tǒng),對病毒實現(xiàn)全面的防護(hù)。
(7)網(wǎng)絡(luò)的實時監(jiān)測:采用入侵檢測系統(tǒng),對主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測和預(yù)警,進(jìn)一步提高網(wǎng)絡(luò)防御外來攻擊的能力。
3.實時響應(yīng)與恢復(fù):制定和完善安全管理制度,提高對網(wǎng)絡(luò)攻擊等實時響應(yīng)與恢復(fù)能力。
4.建立分層管理和各級安全管理中心。
5.3防御系統(tǒng)
我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)(Ipsec)、身份認(rèn)證技術(shù)、多層次多級別的防病毒系統(tǒng)、入侵檢測技術(shù),構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。
參考文獻(xiàn):
[1]雷震甲.網(wǎng)絡(luò)工程師教程.[M].北京:清華大學(xué)出版社,2004
創(chuàng)業(yè)初期:把握機(jī)遇走自己的路
1995年,網(wǎng)絡(luò)開始涉足中國市場,網(wǎng)絡(luò)安全市場當(dāng)時在國外也是一個新興的市場,國內(nèi)更是一片空白。北京天融信公司的前身――北京天融信技貿(mào)有限責(zé)任公司在中關(guān)村掛牌,成為中國首家網(wǎng)絡(luò)安全公司。
1996年,隨著網(wǎng)絡(luò)安全產(chǎn)品市場需求量的增大,以及國家對信息網(wǎng)絡(luò)安全要求的政策出臺,國內(nèi)鼓勵廠商自主研發(fā)安全產(chǎn)品。天融信緊緊抓住并牢牢把握重要機(jī)遇,克服重重困難,推出了我國第一套自主版權(quán)的防火墻系統(tǒng),并被應(yīng)用于政府的首個網(wǎng)絡(luò)安全項目、也是當(dāng)時最大的安全項目――國家統(tǒng)計局600萬元安全系統(tǒng)集成項目。就此,這家當(dāng)時瞄準(zhǔn)了防火墻市場的國內(nèi)安全廠商,開始順利踏上信息安全之路并進(jìn)入國產(chǎn)網(wǎng)絡(luò)安全產(chǎn)品廠商前列。
“我是在1997年11月,一個偶然的機(jī)會進(jìn)入到北京天融信公司的,那時對防火墻還是一無所知,也沒有想著在這個公司長遠(yuǎn)發(fā)展下去。因為我的專業(yè)是學(xué)金屬材料專業(yè)――計算機(jī)模擬計算,只是因為對計算機(jī)行業(yè)的一點興趣以及希望有新的機(jī)會,能將所從事的研究工作進(jìn)行轉(zhuǎn)型,便進(jìn)入了天融信公司?!庇诤2ê唵蔚刈隽俗晕医榻B。
據(jù)記者了解,天融信公司是屬于當(dāng)時將產(chǎn)品盡快推向市場并得到應(yīng)用最好的企業(yè)之一。主要產(chǎn)品是防火墻,該防火墻于1996年6月研制成功,屬我國第一套具有自主知識版權(quán)的防火墻系統(tǒng),并通過國家安全部與電子工業(yè)部聯(lián)合主持的技術(shù)鑒定,填補(bǔ)了國內(nèi)空白。國務(wù)院信息辦在1997年12月還曾將天融信防火墻列為重點安全項目向全國推廣?!拔耶?dāng)時進(jìn)入網(wǎng)絡(luò)安全行業(yè)可以說對網(wǎng)絡(luò)安全的了解是一片空白?!庇诤2ㄕf,“1999年前,我國的信息安全產(chǎn)業(yè)基本處于萌芽狀態(tài),專業(yè)從事信息安全的國內(nèi)廠商可謂鳳毛麟角,防火墻廠商只有天融信等幾家,防病毒廠商主要包括瑞星、江民等,用戶基本上不知道什么是防火墻、甚至什么是信息安全,信息安全產(chǎn)品以單機(jī)版殺毒軟件為主”。
可見,早在當(dāng)年天融信決定進(jìn)入網(wǎng)絡(luò)安全行業(yè)時,天融信就在技術(shù)、研發(fā)方面走出了自己的路。隨著國內(nèi)信息安全市場的需求逐漸明確,防病毒、防火墻已經(jīng)成為信息系統(tǒng)事實上的標(biāo)準(zhǔn)配置產(chǎn)品。防病毒、防火墻、IDS是我國信息安全市場的支柱型產(chǎn)品,入侵檢測(IDS)和VPN的需求上升最快,物理隔離網(wǎng)閘、身份認(rèn)證和安全管理平臺的需求也有較大幅度提高。政府上網(wǎng)工程、網(wǎng)上審批工程、電子政務(wù)工程和12大“金”字工程的實施,將政府內(nèi)部網(wǎng)、企業(yè)內(nèi)網(wǎng)、電子商務(wù)網(wǎng)與Internet互聯(lián)是必須的功能,因此防“黑客”入侵攻擊是信息安全的重要任務(wù),而內(nèi)外網(wǎng)邊界安全設(shè)備的防火墻更成了需求熱點。由于市場對防火墻需求強(qiáng)勁,與此配套使用的其他安全類產(chǎn)品自然也“熱”起來了,成為新的需求亮點。
成長期:重視渠道和創(chuàng)新,打造民族品牌
2001-2003年,是我國信息安全產(chǎn)業(yè)的成長期,國內(nèi)的信息安全廠商與用戶共同成長;主流廠商密切跟蹤、學(xué)習(xí),并逐步掌握國際最新技術(shù);用戶深入了解信息安全技術(shù),國產(chǎn)品牌產(chǎn)品得到認(rèn)可;多種信息安全產(chǎn)品面世,“聯(lián)動”成為安全產(chǎn)品走向。
這期間,天融信公司根據(jù)各地不斷增長的安全需求,也開始了地方分支機(jī)構(gòu)的建設(shè)。于海波告訴記者,他曾于2001年初,被派到廣州負(fù)責(zé)分公司建設(shè)。從最初的2個人發(fā)展到現(xiàn)在的50多人,從最初的幾百萬銷售額發(fā)展到2003年的3000多萬的銷售額。
在整個信息安全產(chǎn)業(yè)方面,用戶對信息安全的多樣化需求、個性化需求,極大地促進(jìn)了國內(nèi)安全廠商的發(fā)展,同時也使國內(nèi)廠商逐步掌握了國際最新技術(shù)。2000年,國外信息安全產(chǎn)品占據(jù)大部分市場份額,但由于是進(jìn)口產(chǎn)品,不能在國內(nèi)進(jìn)行技術(shù)上的快速變更滿足國內(nèi)用戶的需求,使得更多的用戶轉(zhuǎn)向使用國產(chǎn)安全產(chǎn)品。如天融信開發(fā)的NGFW3000有很多功能是根據(jù)國內(nèi)用戶的需求開發(fā)定制的。之后,2002年推出的NGFW4000,創(chuàng)新性地使用了會話檢測技術(shù),極大地提高了防火墻的性能以及過濾的內(nèi)容深度。
隨著諸多國內(nèi)、國際信息安全廠商進(jìn)入國內(nèi)市場并加大投入力度以及政府的扶持,國產(chǎn)信息安全產(chǎn)品與品牌得到普遍認(rèn)可,使國內(nèi)網(wǎng)絡(luò)安全市場規(guī)??焖僭鲩L,年復(fù)合增長率平均達(dá)到40%左右。到2003年,總體信息安全產(chǎn)品市場規(guī)模已經(jīng)達(dá)到20億人民幣。同時從2000年至2003年,天融信公司連續(xù)四年市場份額均居國內(nèi)安全廠商之首,同時還聯(lián)合多家國內(nèi)知名安全廠商,共同倡導(dǎo)推廣TopSEC聯(lián)動網(wǎng)絡(luò)安全解決方案,為用戶構(gòu)造了一個以防火墻為中心的聯(lián)動的集成防御體系。
2004年,雖然我國的信息安全產(chǎn)業(yè)繼續(xù)快速發(fā)展,使國內(nèi)用戶的需求發(fā)生了變化,即“需求的整合”。主要表現(xiàn)在:企業(yè)的安全建設(shè)從“被動防御”向“主動防御”過渡,即企業(yè)從發(fā)現(xiàn)問題后再修補(bǔ)的“產(chǎn)品疊加型”防御方式向“以風(fēng)險管理”為核心的主動防御過渡;安全產(chǎn)品從“孤立的產(chǎn)品形式”向“集中管理”過渡。
面對市場和用戶需求的變化,天融信的對策首先是圍繞“完全你的安全”,打造全線的網(wǎng)絡(luò)安全產(chǎn)品、全程的專業(yè)安全服務(wù)和全面的安全解決方案。到目前為止,天融信已經(jīng)擁有了網(wǎng)絡(luò)衛(wèi)士防火墻、網(wǎng)絡(luò)衛(wèi)士VPN、網(wǎng)絡(luò)衛(wèi)士入侵檢測系統(tǒng)、網(wǎng)絡(luò)衛(wèi)士過濾網(wǎng)關(guān)、TOPSEC安全審計綜合分析系統(tǒng)、網(wǎng)絡(luò)衛(wèi)士綜合管理系統(tǒng)等6大系列近20多款安全產(chǎn)品與安全應(yīng)用系統(tǒng),可以充分滿足不同用戶的應(yīng)用需求。
于海波認(rèn)為,信息安全行業(yè)是個來不得半點虛假的行業(yè),“水分太多”,一定程度上會誤導(dǎo)用戶。網(wǎng)絡(luò)系統(tǒng)安全必須是整體的、動態(tài)的。用戶可以通過選擇優(yōu)秀的產(chǎn)品和服務(wù)構(gòu)建一個完整的解決方案,要使優(yōu)秀產(chǎn)品、服務(wù)等環(huán)節(jié)形成整體的安全策略。另外,必須有統(tǒng)一的、動態(tài)的安全策略,一個相互聯(lián)動的、高效的整體安全解決方案,于是天融信全力推出了以“完全你的安全”為基礎(chǔ)的全網(wǎng)整體解決方案,從技術(shù)、管理、運行三個層面幫助用戶搭建一個安全管理、監(jiān)控、檢測、加固、優(yōu)化、審計、維護(hù)安全平臺。
結(jié)語
關(guān)鍵詞:計算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防御措施
一、計算機(jī)網(wǎng)絡(luò)安全影響因素以及網(wǎng)絡(luò)安全的特征
(一)計算機(jī)網(wǎng)絡(luò)安全影響因素分析影響計算機(jī)網(wǎng)絡(luò)安全性的因素多種多樣。計算機(jī)運行過程中所產(chǎn)生的誤操作而引起的安全隱患更是數(shù)不勝數(shù)。例如由于網(wǎng)絡(luò)安全設(shè)置不科學(xué)存在漏洞,為及時對漏洞進(jìn)行修復(fù),或者是系統(tǒng)優(yōu)化不及時等都會加劇安全問題的威脅。此外,在實踐中,由于客戶所接網(wǎng)絡(luò)存在安全漏洞也是導(dǎo)致計算機(jī)網(wǎng)絡(luò)安全問題產(chǎn)生的關(guān)鍵原因。例如,在使用的過程中,不可避免的需要使用到較多的軟件,而這些軟件則存在著大大小小的漏洞,如果在應(yīng)用過程中,不法分子一旦利用這些軟件漏洞,則客戶的隱私信息極易被竊取。此外,計算機(jī)網(wǎng)絡(luò)本身的不安全性,這也是網(wǎng)絡(luò)安全問題產(chǎn)生的重要原因。影響計算機(jī)網(wǎng)絡(luò)安全的因素也反映在人為攻擊中,例如,黑客攻擊引起的計算機(jī)網(wǎng)絡(luò)不安全現(xiàn)象,攻擊有主動和被動兩種類型。各種形式的針對相應(yīng)利益的攻擊,信息盜竊和篡改信息等,都對計算機(jī)網(wǎng)絡(luò)的安全性產(chǎn)生影響。這是主動攻擊。被動攻擊是在不影響網(wǎng)絡(luò)正常運行的情況下篡改計算機(jī)信息以獲得相應(yīng)的好處。最常見的一種是信息泄漏。
(二)計算機(jī)網(wǎng)絡(luò)安全的特征體現(xiàn)計算機(jī)網(wǎng)絡(luò)安全具有鮮明的特點,主要體現(xiàn)在系統(tǒng)化方面。網(wǎng)絡(luò)安全系統(tǒng)是確保計算機(jī)網(wǎng)絡(luò)安全的重要基礎(chǔ),并且在不斷變化的網(wǎng)絡(luò)模式下不斷更新和完善,網(wǎng)絡(luò)安全的多元化特征也得到體現(xiàn)。計算機(jī)表現(xiàn)內(nèi)容的多樣性,可以確保在技術(shù)方向上完善網(wǎng)絡(luò)安全性,系統(tǒng)中使用了更多的多模式系統(tǒng)和技術(shù)來應(yīng)對這種多樣化的特性。此外,計算機(jī)網(wǎng)絡(luò)安全性的特征也從復(fù)雜性方面清楚地呈現(xiàn)出來,在計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展過程中,客戶端的種類繁多,易受外部因素的影響,威脅了計算機(jī)網(wǎng)絡(luò)的安全,網(wǎng)絡(luò)安全的復(fù)雜性進(jìn)一步加深。
二、計算機(jī)網(wǎng)絡(luò)安全管理的重要性和防御措施實施
(一)計算機(jī)網(wǎng)絡(luò)安全管理的重要性計算機(jī)網(wǎng)絡(luò)安全管理的發(fā)展有其實際需求,加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全管理可以確保信息的安全性和完整性。隨著計算機(jī)系統(tǒng)的不斷完善,計算機(jī)網(wǎng)絡(luò)技術(shù)已在許多領(lǐng)域得到應(yīng)用,并在大屯錫礦的生產(chǎn)、經(jīng)營和生活中發(fā)揮了重要作用。確保計算機(jī)網(wǎng)絡(luò)應(yīng)用程序的安全性顯得尤為重要。只有加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全管理水平,才能保證計算機(jī)網(wǎng)絡(luò)的整體安全,并有助于提高計算機(jī)網(wǎng)絡(luò)安全的整體管理質(zhì)量水平。
(二)計算機(jī)網(wǎng)絡(luò)安全防御措施實施我認(rèn)為,計算機(jī)網(wǎng)絡(luò)安全防御措施的實施應(yīng)結(jié)合大屯錫礦的實際工作需要,可以從以下幾點加強(qiáng)關(guān)注:第一,加強(qiáng)計算機(jī)網(wǎng)絡(luò)的物理防御水平。在開展計算機(jī)網(wǎng)絡(luò)安全防御工作時,必須更加注意物理層的防御。物理層的網(wǎng)絡(luò)安全問題比較突出,在防御過程中,有必要加強(qiáng)中央機(jī)房的安全管理,確保各種硬件設(shè)備的安全,提高網(wǎng)絡(luò)的整體安全水平。大屯錫礦的中央計算機(jī)室是大屯錫礦網(wǎng)絡(luò)的核心,根據(jù)現(xiàn)有管理規(guī)定,計算機(jī)管理員應(yīng)注意機(jī)房的通風(fēng)和干燥,避免光照,采取適當(dāng)?shù)姆阑鸫胧?,并配置精密空調(diào)以調(diào)節(jié)室溫、濕度,通過UPS調(diào)節(jié)電源。在物理層面上做好安全管理可以對提高計算機(jī)網(wǎng)絡(luò)的信息安全起到積極作用。其次,STP生成樹協(xié)議用于將交換機(jī)形成為環(huán)形網(wǎng)絡(luò)。此操作可以避免LAN中的單點故障和網(wǎng)絡(luò)環(huán)回,從而提高網(wǎng)絡(luò)可用性。第二,加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)。從技術(shù)層面上防止計算機(jī)網(wǎng)絡(luò)安全問題的發(fā)生更為重要,這也是解決網(wǎng)絡(luò)安全問題的相對簡單的方法。防火墻技術(shù)的使用在確保計算機(jī)網(wǎng)絡(luò)應(yīng)用程序的安全性方面起著重要作用,該技術(shù)的應(yīng)用可以在內(nèi)部和外部網(wǎng)絡(luò)之間建立安全網(wǎng)關(guān),從而可以幫助監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)信息,通信量和數(shù)據(jù)源的傳輸,實施記錄以幫助確保網(wǎng)絡(luò)信息安全。第三,加強(qiáng)AD域的管理工作。大屯錫礦作為云錫股份公司的二級單位,嚴(yán)格遵守公司的計算機(jī)加域管理,認(rèn)真做好加域計算機(jī)各項基本信息的采集,做好相應(yīng)的臺賬,對所有加入AD域的計算機(jī)安全集中管理,統(tǒng)一安全策略。第四,在日常的工作中,對相關(guān)人員進(jìn)行培訓(xùn),要求相關(guān)人員不得將與機(jī)密信息相關(guān)的辦公自動化設(shè)備連接到Internet或其他公共信息網(wǎng)絡(luò),不得在機(jī)密計算機(jī)上安裝從外網(wǎng)中下載的軟件,不得在機(jī)密計算機(jī)上使用無線網(wǎng)卡,鼠標(biāo),鍵盤和其他無線設(shè)備,并且不要卸載未經(jīng)授權(quán)的安全計算機(jī)防病毒軟件,主機(jī)監(jiān)視或?qū)徍塑浖?,不得使用非機(jī)密的辦公室自動化設(shè)備來處理機(jī)密信息,并且打印機(jī)、掃描儀和其他涉密計算機(jī)間不使用無線連接。第五,加強(qiáng)網(wǎng)絡(luò)安全的宣傳力度。2019年國家網(wǎng)絡(luò)安全宣傳周的主題是“網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民”,我作為一名大屯錫礦的計算機(jī)管理員,應(yīng)該對每一名職工做好網(wǎng)絡(luò)安全的宣傳工作,網(wǎng)絡(luò)并非法外之地,我們要從自己做起,從點滴做起。
三、結(jié)語
總之,在計算機(jī)網(wǎng)絡(luò)的實際應(yīng)用過程中,會受到很多因素的影響,從而導(dǎo)致計算機(jī)網(wǎng)絡(luò)的不安全。這就需要相應(yīng)的網(wǎng)絡(luò)安全管理工作,及時有效地應(yīng)對計算機(jī)網(wǎng)絡(luò)安全問題,并提高計算機(jī)網(wǎng)絡(luò)安全的使用率。只有加強(qiáng)這些基本層別的安全性,我們才能確保計算機(jī)網(wǎng)絡(luò)安全防御的有效性。
參考文獻(xiàn)
[1]劉鏑,張尼,王笑帝.“沃互聯(lián)”統(tǒng)一認(rèn)證方案研究與應(yīng)用[J].信息通信技術(shù),2016(6):25.
[2]劉瑞紅,王利勤.計算機(jī)網(wǎng)絡(luò)安全面臨的桎梏及應(yīng)對策略[J].電腦編程技巧與維護(hù),2016(20):94.
1IMS就是一種融合通信系統(tǒng)體系,其需要進(jìn)行SIP的應(yīng)用
從而進(jìn)行會話對象的提供,這就離不開IMS方案的應(yīng)用,進(jìn)行控制策略及其承載策略的更新。這需要保證IMS終端不同應(yīng)用策略的更新,實現(xiàn)分組域核心網(wǎng)體系的健全,保證核心業(yè)務(wù)的控制,提升其應(yīng)用效益。IMS技術(shù)的應(yīng)用更有利于進(jìn)行網(wǎng)絡(luò)安全性的提升,并且其具備簡單性、靈活性、標(biāo)準(zhǔn)開放性,能夠進(jìn)行網(wǎng)絡(luò)的有效接入。IMS技術(shù)的應(yīng)用,能夠為多媒體業(yè)務(wù)數(shù)據(jù)的開展,提供良好的應(yīng)用平臺,從而滿足運營商的工作需要,而不是僅僅進(jìn)行接入技術(shù)的應(yīng)用,其具備良好的集中式架構(gòu),是一種具備良好運營效益的商業(yè)模式。
2在實際工作中,為了解決通信系統(tǒng)的問題
我們必須防備來自各個方面的安全威脅,針對網(wǎng)絡(luò)協(xié)議的基本模式及其系統(tǒng)弱點進(jìn)行分析。在實際過程中,攻擊者的目標(biāo)大多是網(wǎng)絡(luò)的弱點。針對網(wǎng)絡(luò)及其系統(tǒng)弱點的利用,從而進(jìn)行敏感數(shù)據(jù)的操作,進(jìn)行網(wǎng)絡(luò)服務(wù)的濫用。目前來說,影響IMS網(wǎng)絡(luò)正常運行的因素是非常多的,比如沒有經(jīng)過授權(quán)或者操縱進(jìn)行的服務(wù)。攻擊者會通過竊聽、偽裝、流量分析等進(jìn)行敏感信息數(shù)據(jù)的獲取或者操縱。這里面也涉及到完整性的威脅,就是攻擊者對系統(tǒng)接口的數(shù)據(jù)進(jìn)行修改,進(jìn)行插入、重放或者刪除等操縱,進(jìn)行用戶合法權(quán)益的侵犯。從而不利于其網(wǎng)絡(luò)服務(wù)的正常開展。于是就出現(xiàn)人為干擾用戶傳輸、控制數(shù)據(jù)等的情況,導(dǎo)致合法用戶無法進(jìn)行服務(wù)的使用?;蛘邽E用特權(quán)進(jìn)行未授權(quán)服務(wù)的應(yīng)用。所謂的服務(wù)否認(rèn),就是用戶及其網(wǎng)絡(luò)不承認(rèn)曾經(jīng)發(fā)生過的操作。
二、IMS網(wǎng)絡(luò)安全機(jī)制方案的優(yōu)化
1IMS安全體系的應(yīng)用,更有利于進(jìn)行安全威脅的預(yù)防。
這里面涉及到一整套的IMS網(wǎng)絡(luò)安全策略的應(yīng)用,這需要保證IMS安全體系的健全,保證UE網(wǎng)及其網(wǎng)絡(luò)應(yīng)用環(huán)節(jié)的協(xié)調(diào),這涉及到的應(yīng)用原則是非常多的,其涉及到了接入及其核心網(wǎng)絡(luò)的安全機(jī)制應(yīng)用。針對其接入的環(huán)節(jié),我們需要做好安全及其身份的認(rèn)證,從而提升其安全機(jī)制效益。這就需要進(jìn)行IMS安全機(jī)制的雙向認(rèn)證分析,滿足現(xiàn)階段工作的要求,這涉及到安全聯(lián)盟的相關(guān)英語工作,進(jìn)行安全保護(hù)的提供。目前來說,2G系統(tǒng)存在的安全缺陷是非常多的,比如核心網(wǎng)缺乏標(biāo)準(zhǔn)化的安全解決方案。3G系統(tǒng)著力于進(jìn)行核心網(wǎng)的IP業(yè)務(wù)的保護(hù)。IMS在核心網(wǎng)的應(yīng)用中,進(jìn)行了網(wǎng)絡(luò)域安全概念的引進(jìn)。網(wǎng)絡(luò)域安全是由單個機(jī)構(gòu)所進(jìn)行管理的網(wǎng)絡(luò),在同一安全領(lǐng)域內(nèi)進(jìn)行相同安全級別的應(yīng)用,并且保證其特定安全服務(wù)的享有,其需要進(jìn)行服務(wù)的安全性、數(shù)據(jù)完整性的保證,從而進(jìn)行重放攻擊的防止,滿足密碼安全機(jī)制的應(yīng)用需要,實現(xiàn)協(xié)議安全機(jī)制的應(yīng)用需要。通過對網(wǎng)絡(luò)域內(nèi)部實體及其網(wǎng)絡(luò)域的協(xié)調(diào),保證安全性的保護(hù)。
2通過對現(xiàn)有IMS安全標(biāo)準(zhǔn)體系的優(yōu)化
可以保證其解決方案的完善,這涉及到網(wǎng)絡(luò)及其客戶的雙向身份認(rèn)證模式,進(jìn)行機(jī)密性的保護(hù),保證完整性保護(hù)方案的應(yīng)用,進(jìn)行逐跳安全模式的應(yīng)用,保證網(wǎng)絡(luò)實體的通信單獨保護(hù),滿足運營商的工作要求。這也涉及到A-IMS技術(shù)的操作,為了解決實際工作的問題,必須針對其缺點進(jìn)行分析,從而滿足IP網(wǎng)絡(luò)系統(tǒng)的工作要求,從根本上來說,IP網(wǎng)絡(luò)自身存在脆弱性,這就導(dǎo)致IMS網(wǎng)絡(luò)應(yīng)用過程中的麻煩,導(dǎo)致其網(wǎng)絡(luò)架構(gòu)、協(xié)議管理等問題的出現(xiàn)。通過對CSCF實體攻擊模式的應(yīng)用,更有利于滿足現(xiàn)階段的工作需要。IP網(wǎng)絡(luò)會頻繁進(jìn)行拒絕服務(wù)的發(fā)生,IP網(wǎng)絡(luò)具備先天脆弱性,從而不利于網(wǎng)絡(luò)技術(shù)的優(yōu)化。CSCF能夠進(jìn)行管理及其呼叫控制的應(yīng)用,其面對不同的用戶,存在不同的隱患。為了解決實際問題,我們也要進(jìn)行網(wǎng)絡(luò)通信協(xié)議體系的優(yōu)化,針對其內(nèi)部的不安全因素進(jìn)行分析,針對協(xié)議的漏洞、缺陷等進(jìn)行分析,進(jìn)行STP協(xié)議等的健全,保證UDP承載模式的優(yōu)化,進(jìn)行不同數(shù)據(jù)庫的連接優(yōu)化,這樣就可以大大降低其泛洪的影響,這就需要進(jìn)行完整性保護(hù),避免出現(xiàn)攻擊者數(shù)據(jù)篡改的情況。在實際操作中,攻擊對象可以進(jìn)行用戶數(shù)據(jù)的修改,從而不利于網(wǎng)絡(luò)用戶的認(rèn)證。
3為了解決上述的安全問題,我們需要進(jìn)行網(wǎng)絡(luò)關(guān)鍵實體技術(shù)的優(yōu)化
比如進(jìn)行CSCF、物理及其安全管理的安全保護(hù),保證IP多媒體子系統(tǒng)的更新,進(jìn)行STP用戶合法性的檢驗,保證數(shù)據(jù)的私密性,保證其整體完整性,保證進(jìn)行STP應(yīng)用技術(shù)的優(yōu)化。A-IMS的主要網(wǎng)元涉及的知識是非常多的,比如承載管理模式、應(yīng)用管理模式、策略管理模式、安全管理模式等,通過對安全網(wǎng)元體系的健全,做好A-IMS的集成安全及其統(tǒng)一安全管理是必要的,從而保證其整體安全性的增強(qiáng),保證IMS網(wǎng)絡(luò)安全性的提升。通過對雙向防火墻的應(yīng)用,利用入侵檢測系統(tǒng)進(jìn)行網(wǎng)絡(luò)及其終端的保護(hù)。從網(wǎng)絡(luò)運營這個方面上來說,IMS網(wǎng)絡(luò)系統(tǒng)安全性的提升,需要做好姿態(tài)及其移動安全等環(huán)節(jié),實現(xiàn)智能終端的有效操作,進(jìn)行姿態(tài)模式的優(yōu)化設(shè)置,這也需要進(jìn)行終端操作系統(tǒng)、防火墻情況等的分析。強(qiáng)制終端要求其具備良好的安全等級,目前來說,我們的IMS網(wǎng)絡(luò)存在諸多的安全隱患,有必要進(jìn)行通信網(wǎng)絡(luò)系統(tǒng)安全性方案的更新。
三、結(jié)語
關(guān)鍵詞:HTP模型;移動平臺;安全加固
中圖分類號:TM769 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-2064(2017)05-0168-02
1 概述
HTP模型[1]是中國IT治理研究中心提出的“以人為本”的信息安全體系模型,其主要結(jié)構(gòu)抽象描述包括[2]:人員與管理(Human and management)、技術(shù)與產(chǎn)品(Technology and products)、流程與體系(Process and Framework)。
2 網(wǎng)絡(luò)架構(gòu)與技術(shù)
通過對電力公司移動交互平臺網(wǎng)絡(luò)架構(gòu)的分析,總結(jié)出網(wǎng)絡(luò)中存在的安全薄弱點。針對這些薄弱點,在網(wǎng)絡(luò)架構(gòu)和技術(shù)方面提出如下幾點建議。
(1)對信息外網(wǎng)進(jìn)出口提供更多樣的防護(hù)措施,并增加備用線路,防止單點故障。建議在信息外網(wǎng)進(jìn)出口設(shè)立統(tǒng)一威脅管理系統(tǒng)(UTM),具體拓?fù)淙鐖D1所示。作為電力公司移動交互平臺網(wǎng)絡(luò)的邊界,面臨的混合式攻擊越來越多,傳統(tǒng)的安全解決方案如單一的防火墻功能、入侵檢測功能已經(jīng)無法有效解決這種混合式的攻擊威脅,而全面地設(shè)立多種獨立功能的安全設(shè)備往往需要巨大的投資成本,并且設(shè)備過多會帶來更高的管理成本。統(tǒng)一威脅管理系統(tǒng)將各種安全防護(hù)功能集中到一個設(shè)備上,在增加安全性的同時,很好的控制了資費成本與管理成本。
(2)在信息外網(wǎng)的支撐服務(wù)處增加入侵檢測系統(tǒng)(IDS),具體改進(jìn)拓?fù)淙鐖D2所示。支撐服務(wù)作為移動應(yīng)用的內(nèi)容提供者,在信息外網(wǎng)中是黑客主要的攻擊目標(biāo),并且移動應(yīng)用提供的業(yè)務(wù)是已知的,所以用戶的請求行為是可以預(yù)測的,這種情況下使用IDS是非常好的選擇。根據(jù)對用戶業(yè)務(wù)請求行為的預(yù)測,將正常行為與不正常行為歸納建立模型。使用入侵檢測系統(tǒng),采用異常檢測和誤用檢測兩種模式相結(jié)合的方式對流量進(jìn)行檢測。
(3)在信息外網(wǎng)與信息內(nèi)網(wǎng)中同時增加安全審計系統(tǒng)。在信息外網(wǎng)使用安全審計,可以對用戶訪問移動應(yīng)用服務(wù)資源的行為進(jìn)行安全審計,并且可以對移動應(yīng)用操作內(nèi)網(wǎng)數(shù)據(jù)的行為做詳細(xì)記錄,通過審計系統(tǒng)的日志,不僅可以對潛在威脅進(jìn)行分析,并且可以提供事故發(fā)生的線索做出評估,快速進(jìn)行故障恢復(fù),提供責(zé)任追究的依據(jù)。信息內(nèi)網(wǎng)使用安全審計,可以對內(nèi)部員工的操作進(jìn)行管理。審計系統(tǒng)可以成為追蹤入侵、恢復(fù)系統(tǒng)的直接證據(jù),所以,其自身的安全性更為重要。審計系統(tǒng)的安全主要包括審計事件查閱安全和存儲安全。審計事件的查閱應(yīng)該受到嚴(yán)格的限制,避免日志被篡改。
(4)在信息內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器處增加數(shù)據(jù)庫防火墻,具體改進(jìn)拓?fù)淙鐖D10所示。數(shù)據(jù)庫防火墻所采用的主動防御技術(shù)能夠主動實時監(jiān)控、識別、告警、阻擋繞過企業(yè)網(wǎng)絡(luò)邊界(FireWall、IDS\IPS等)防護(hù)的外部數(shù)據(jù)攻擊、來自于內(nèi)部的高權(quán)限用戶(DBA、開發(fā)人員、第三方外包服務(wù)提供商)的數(shù)據(jù)竊取、破壞、損壞的等,從數(shù)據(jù)庫SQL語句精細(xì)化控制的技術(shù)層面,提供一種主動安全防御措施,并且,結(jié)合獨立于數(shù)據(jù)庫的安全訪問控制規(guī)則,幫助用戶應(yīng)對來自內(nèi)部和外部的數(shù)據(jù)安全威脅。
3 人員管理機(jī)制分析
3.1 健全以責(zé)任分離和安全考核為原則的用人系統(tǒng)
信息網(wǎng)絡(luò)安全人員的使用具有一些特殊的要求,必須以安全可靠為最高原則。相應(yīng)地,應(yīng)該健全以責(zé)任分離和安全考核為原則的用人系統(tǒng)。
一方面,在用人過程中必須堅持責(zé)任分離的原則。其具體要求是:(1)明確信息網(wǎng)絡(luò)安全系統(tǒng)中每個人的職責(zé),要求“誰管理,誰負(fù)責(zé)”;(2)關(guān)鍵崗位的人員不得再兼任其他職位,嚴(yán)格控制使用兼職人員;(3)重要的任務(wù)有兩人以上共同完成,避免一個人保管組織所有安全信息;(4)堅持崗位輪換原則,確保一個員工的工作有另一個員工進(jìn)行審核。
另一方面,信息網(wǎng)絡(luò)安全人員一旦錄用,就要確定其職責(zé)范圍,對其實施安全考核,重點考核其安全事故發(fā)生情況。信息網(wǎng)絡(luò)安全人員考核不能像一般工作人員那樣以年終考核為主,而應(yīng)加強(qiáng)平時考核以實現(xiàn)日常監(jiān)控,對其考核時間越短,就越有利于確保安全;而且,不僅考核工作時間內(nèi)的表現(xiàn),也考察工作時間外的表現(xiàn),比如生活作風(fēng)與非工作行為是否正常等。
3.2 推行以增強(qiáng)意識和戰(zhàn)略開發(fā)為指導(dǎo)的育人系統(tǒng)
信息網(wǎng)絡(luò)安全工作是一種長期而艱巨的工作,保密意識貫穿始終,但隨著時間的推移,信息網(wǎng)絡(luò)安全人員難免產(chǎn)生工作倦怠,其“保密之弦”也會出現(xiàn)松弛。因此,國網(wǎng)公司應(yīng)該不斷強(qiáng)化保密意識培訓(xùn),以形成堅固的信息安全“思想意識防線”。而且,還應(yīng)該立足信息安全戰(zhàn)略規(guī)劃與開發(fā)信息網(wǎng)絡(luò)安全人員,以長遠(yuǎn)眼光加強(qiáng)信息網(wǎng)絡(luò)安全人才培養(yǎng)。
3.3 實施以目標(biāo)激勵和待遇傾斜為特色的留人系統(tǒng)
信息網(wǎng)絡(luò)安全工作任務(wù)重、壓力大、內(nèi)容單調(diào),加上工作環(huán)境封閉,容易使信息網(wǎng)絡(luò)安全人員人心不穩(wěn)。因此應(yīng)該通過目標(biāo)激勵,增強(qiáng)他們對自己所從事工作的榮譽(yù)感、神圣感和責(zé)任感,促使他們安心工作。而且,由于信息網(wǎng)絡(luò)安全人員作用特殊、責(zé)任大、風(fēng)險高,因此在待遇上應(yīng)該給予傾斜。
4 結(jié)語
本文通過對典型內(nèi)外網(wǎng)網(wǎng)絡(luò)安全防護(hù)方案的研究與對電力公司移動交互平臺網(wǎng)絡(luò)結(jié)構(gòu)分析,結(jié)合典型的HTP網(wǎng)絡(luò)安全體系模型,針對電力公司移動交互平臺網(wǎng)絡(luò)安全薄弱點,提出關(guān)于電力公司移動交互平臺網(wǎng)絡(luò)加固的建議,對電力公司移動交互平臺安全提升做了有益的探索。
參考文獻(xiàn)
獲獎理由
合勤推出的ZyXEL ZyWALL 70 UTM綜合網(wǎng)絡(luò)安全設(shè)備系列產(chǎn)品以其產(chǎn)品設(shè)計和豐富的功能引起人們的關(guān)注。該系列在為企業(yè)用戶搭建網(wǎng)絡(luò)安全屏障、打造全方位防護(hù)體系的同時,其過硬的技術(shù),前沿的設(shè)計水準(zhǔn)和極高的產(chǎn)品性價比都充分展示了合勤科技(ZyXEL)在網(wǎng)絡(luò)安全產(chǎn)品方面所具有的突出市場競爭優(yōu)勢和實力。
性能描述
該防火墻通過高性能一體化設(shè)計的防火墻來保護(hù)網(wǎng)絡(luò)的安全,在提高網(wǎng)絡(luò)效能和企業(yè)生產(chǎn)力的同時,可方便地實現(xiàn)遠(yuǎn)程接入網(wǎng)絡(luò),并能通過單一配置界面來進(jìn)行管理。值得一提的是,站在技術(shù)的前沿,ZyXEL ZyWALL 70 UTM系列產(chǎn)品通過擴(kuò)展ZyWALL Turbo Card,能夠增強(qiáng)ZyWALL系列安全性能。該系列產(chǎn)品運用了合勤科技(ZyXEL)獨創(chuàng)的ZyNOS操作系統(tǒng),同時融合了世界著名的卡巴斯基公司的防病毒技術(shù),是能提供整合防火墻、VPN、負(fù)載平衡、寬帶管理、內(nèi)容過濾、防病毒、IDP、防垃圾郵件等8項功能的安全平臺。這項新技術(shù)的運用使得新一代All-in-one網(wǎng)絡(luò)安全設(shè)備能夠?qū)⒃袃?nèi)容過濾、防病毒、反垃圾郵件和入侵檢測等多套系統(tǒng)通過單一設(shè)備替代。獨家ZyXEL SecuASICTM加速技術(shù),阻擋間諜軟件、網(wǎng)頁仿冒、病毒和垃圾郵件 IM(Instant Messaging,即時信息)、P2P(Peer-to-Peer)應(yīng)用程序更細(xì)粒度控制,具有極佳的產(chǎn)品性能和全面的安全特性,是一系列非常優(yōu)秀的8合1 UTM綜合網(wǎng)絡(luò)安全產(chǎn)品。
成功案例
中新藥業(yè)集團(tuán)采用ZyXEL網(wǎng)絡(luò)安全設(shè)備配合其搭建全網(wǎng)解決方案。
中新藥業(yè)采用ZyXEL作為其安全網(wǎng)絡(luò)融合的網(wǎng)關(guān)設(shè)備來建立IPSec VPN連接并保證網(wǎng)絡(luò)通信安全。ZyXEL的產(chǎn)品網(wǎng)絡(luò)整合能力很強(qiáng),能夠很容易地整合到中新藥業(yè)的網(wǎng)絡(luò)環(huán)境中。用戶無需擔(dān)心因為有不同廠商的設(shè)備在網(wǎng)絡(luò)中而擔(dān)心互通問題。ZyXEL產(chǎn)品設(shè)計實現(xiàn)了跨區(qū)域的企業(yè) ERP 系統(tǒng)網(wǎng)絡(luò),使得位處各地的客戶端能夠安全、方便地訪問到中心端的服務(wù)器,保證了數(shù)據(jù)高速、安全地傳輸。重要的是,這種應(yīng)用并不需要做過多設(shè)置。只要在設(shè)備上進(jìn)行一次設(shè)置,就可以讓內(nèi)網(wǎng)用戶直接享受到VPN及寬帶上網(wǎng)的方便。對最終用戶來說,不需要在自己的電腦上做任何改動,最大限度地簡化了操作的復(fù)雜程度。ZyXEL提供的價值高出了用戶的期望。
隨著信息化應(yīng)用的不斷深入,網(wǎng)絡(luò)應(yīng)用日漸頻繁,在不斷加快網(wǎng)絡(luò)融合、提高效率的同時,網(wǎng)絡(luò)安全事件也呈現(xiàn)出多樣化、復(fù)雜化的發(fā)展態(tài)勢,面對變化多端的網(wǎng)絡(luò)攻擊,選擇到性能優(yōu)越,功能強(qiáng)大的網(wǎng)絡(luò)安全產(chǎn)品成為用戶的期待。合勤科技(ZyXEL)全線出擊,推出的DSL局端及客戶端接入設(shè)備、路由器設(shè)備、網(wǎng)絡(luò)安全設(shè)備、無線局域網(wǎng)接入設(shè)備、網(wǎng)絡(luò)語音電話及以太網(wǎng)交換機(jī)等系列產(chǎn)品,為中小企業(yè)提供了全方位的寬帶網(wǎng)絡(luò)應(yīng)用整合解決方案,全面反應(yīng)出了合勤豐富的產(chǎn)品線和研發(fā)實力。
在網(wǎng)絡(luò)市場日益發(fā)展的今天,用戶對網(wǎng)絡(luò)信息的需求量日益增大,因此,網(wǎng)絡(luò)安全也被用戶越來越看重。合勤科技在提高網(wǎng)絡(luò)系統(tǒng)及設(shè)備的安全防御能力及整合性能的基礎(chǔ)上,實現(xiàn)安全與網(wǎng)絡(luò)的深入融合,進(jìn)而有效地應(yīng)對網(wǎng)絡(luò)威脅,為用戶帶來更全面、體貼的安全應(yīng)用與感受。
WatchGuard Firebox Peak X8500
獲獎理由
對于那些有著高速、大流量網(wǎng)絡(luò)運行的企業(yè)而言,需要可靠、高冗余、可管理流量,并具高端口密度的安全解決方案。這些企業(yè)需要配有專家指導(dǎo)和支持的UTM解決方案,簡化網(wǎng)絡(luò)安全管理,滿足不斷增長的業(yè)務(wù)需求,而Firebox Peak X8500設(shè)備可以很好地滿足他們的需求。
Firebox Peak X8500提供全面集成的安全性,將狀態(tài)包防火墻、VPN、深層應(yīng)用檢測、網(wǎng)關(guān)防病毒、入侵防護(hù)、防病毒、防間諜軟件、防垃圾郵件及URL過濾均整合到了單一設(shè)備中,節(jié)省了多點方案管理所需的時間和成本。
性能描述
Firebox Peak X8500提供高達(dá)2.0 Gbps的防火墻處理能力和600 Mbps的VPN訪問量,具有較高性能和較佳可擴(kuò)展性,即刻提供真正的預(yù)防御,集成了強(qiáng)大的安全功能和高級網(wǎng)絡(luò)特性,提供能滿足最苛求網(wǎng)絡(luò)環(huán)境要求的優(yōu)越整體解決方案。具有8個10/100/1000Gbps以太網(wǎng)端口,支持高速局域網(wǎng)骨干基礎(chǔ)設(shè)施以及千兆廣域網(wǎng)連接。八個端口均可配置為內(nèi)部、外部或可選,以實現(xiàn)端口利用的最大化。
Firebox Peak X8500將狀態(tài)包防火墻、虛擬專用網(wǎng)、真正預(yù)防御、網(wǎng)關(guān)防病毒、入侵預(yù)防、防間諜軟件、防垃圾郵件和URL過濾等功能集成于一臺設(shè)備,提供全面的安全防護(hù),同時降低了管理多點解決方案所需的時耗和成本。
Firebox Peak X8500 的智能分層安全(ILS)可即刻提供真正預(yù)防御,在發(fā)現(xiàn)漏洞和漏洞攻擊程序創(chuàng)建和運行之前對新出現(xiàn)的未知威脅進(jìn)行防御。許多廠商只提供基于攻擊特征的防護(hù),而且還需要單獨收費。這類解決方案,實際上使其客戶在廠商把攻擊特征納入防護(hù)軟件的新版本之前,仍面臨各類新出現(xiàn)的威脅。
Firebox Peak X8500的網(wǎng)絡(luò)功能可實現(xiàn)資源的智能管理,優(yōu)化流量,延長網(wǎng)絡(luò)正常運行時間。多廣域網(wǎng)負(fù)載共享和接口故障轉(zhuǎn)移提高了性能和可靠性,動態(tài)路由、流量管理和優(yōu)化為關(guān)鍵數(shù)據(jù)及整個網(wǎng)絡(luò)通信提供優(yōu)質(zhì)網(wǎng)絡(luò)功能。
Firebox Peak X8500附帶的WatchGuard System Manager (WSM)可簡化網(wǎng)絡(luò)安全管理。WSM具有圖形用戶界面、快速配置向?qū)Ш椭悄苣J(rèn)設(shè)置,簡化了安裝過程。WSM還包括全面的日志和報告、交互式實時監(jiān)控以及拖放式VPN創(chuàng)建功能,無須增加成本。
每項WatchGuard安全服務(wù)均與Firebox Peak X8500中內(nèi)置的預(yù)防御配合工作,提供無懈可擊的安全防護(hù)能力。這些功能與Firebox Peak X8500高度集成,因此無須其他硬件。訂購按設(shè)備數(shù)量而非用戶數(shù)量計價,因此沒有遞增成本。所有安全服務(wù)均會持續(xù)升級,為用戶提供最新的防護(hù)功能,并通過WSM集中管理,可實時觀察所有安全功能的運行。
作為一款針對高端用戶的UTM產(chǎn)品,F(xiàn)irebox Peak X8500配置有Firebox Pro、WatchGuard先進(jìn)的網(wǎng)絡(luò)安全系統(tǒng),提供多廣域網(wǎng)負(fù)載共享和接口故障轉(zhuǎn)移、流量管理和優(yōu)先級設(shè)定、高可用性、動態(tài)路由選擇。用戶可以智能管理資源,并實現(xiàn)順暢高效的網(wǎng)絡(luò)運行。
同時WatchGuard獨有的全套產(chǎn)品均可升級擴(kuò)展的特性保護(hù)了企業(yè)的安全設(shè)備投資。只須簡單的授權(quán)碼,就可實現(xiàn)Peak產(chǎn)品系列內(nèi)的升級,無須花費額外成本購買新的硬件,即可增加容量、提高性能。用戶還可以下載授權(quán)碼,輕松添加強(qiáng)大的防護(hù)功能,包括入侵防護(hù)、網(wǎng)關(guān)防病毒、防間諜軟件、防垃圾郵件及URL過濾等。
使用WatchGuard System Manager 8.3,用戶可以對該設(shè)備實現(xiàn)輕松配置和管理。WatchGuard System Manager 8.3可以提供實時互動的監(jiān)測、全面的安全日志和報告、基于特征的安全策略管理、拖放式VPN設(shè)置和日志管理,簡化了IT人員的網(wǎng)絡(luò)安全操作。
Check Point Safe@Office500系列
獲獎理由
Check Point Safe@Office UTM設(shè)備能夠提供模塊化的小型企業(yè)安全解決方案,可以根據(jù)企業(yè)要求,為擁有3~100名用戶的辦公室提供經(jīng)濟(jì)高效的解決方案。Safe@Office 500W采用了Check Point下屬SofaWare Technologies公司技術(shù),整合了108Mbps擴(kuò)展范圍無線訪問點技術(shù),其無線安全保護(hù)與客戶熱點功能對用戶吸引力較大。另外,向?qū)?qū)動的設(shè)置選項能夠幫助中小企業(yè)快速簡單地定制防火墻和VPN設(shè)置,使其符合公司安全策略。
性能描述
這款網(wǎng)絡(luò)安全設(shè)備集合了防火墻、VPN、防病毒、入侵防御、通信量模式分析及Web過濾等多種功能。
從功能上看,Safe@Office500系列支持多種附加在線服務(wù),包括防病毒、安全和固件升級。此外,該系列產(chǎn)品擁有內(nèi)置界面,使得用戶可以將安全管理工作外包給可信的第三方。
從技術(shù)上看,Safe@Office500基于全新的Check Point Embedded NGX6.0安全軟件平臺,該平臺以Check Point的Firewall-1(r)與VPN-1(r)為基礎(chǔ),集合了多種新增功能。
狀態(tài)病毒防御保護(hù)功能配合高吞吐量網(wǎng)絡(luò)使用的防病毒掃描功能,可為電子郵件、Web、文檔下載或任何其它用戶定義的端口提供防病毒保護(hù)。企業(yè)辦公室網(wǎng)絡(luò)因此可以提高對電腦病毒與“網(wǎng)頁仿冒”等攻擊的防御能力。
入侵防護(hù)運用到Check Point的Application Intelligence技術(shù),能夠為網(wǎng)絡(luò)與應(yīng)用層提供保護(hù),確保網(wǎng)絡(luò)不受蠕蟲、拒絕服務(wù)攻擊的破壞,同時對即時信息與對等應(yīng)用進(jìn)行安全控制。
企業(yè)利用保護(hù)熱點功能可以管理員工對網(wǎng)絡(luò)的訪問,這包括可設(shè)置Web身份鑒別、臨時用戶賬號及RADIUS整合等功能。
企業(yè)可以通過使用內(nèi)置流量監(jiān)控及數(shù)據(jù)捕捉工具來控制及監(jiān)控接收、發(fā)出的信息流,確保辦公室的寬帶連接維持高效的使用率。
上班族和出差員工可以通過該產(chǎn)品全面的VPN功能實現(xiàn)對企業(yè)網(wǎng)的遠(yuǎn)程訪問,從而提高其生產(chǎn)力。
該設(shè)備的雙重WAN、撥號備份、自動故障解決(automatic failover)功能,能提高企業(yè)的網(wǎng)絡(luò)運行能力。TrafficShaper能協(xié)助優(yōu)化信息流量,并確保關(guān)鍵應(yīng)用能取得所需帶寬使用。
成功案例
多倫科技是一家從事軟件開發(fā)的公司。前段時間,公司網(wǎng)絡(luò)經(jīng)常性掉線,甚至出現(xiàn)網(wǎng)絡(luò)不通或者網(wǎng)絡(luò)堵塞的現(xiàn)象,換過新的路由問題依然存在。為了保證網(wǎng)絡(luò)的穩(wěn)定,多倫公司采用了Check Point公司推出的為中小企業(yè)定做的Safe@Office UTM系列設(shè)備。
該設(shè)備背板整齊排列著電源、復(fù)位按鈕、管理口、10/100M自適應(yīng)WAN口、DMZ/WAN2口以及四端口LAN小型交換機(jī),對于小型SOHO辦公的企業(yè)完全可以省去一臺10/100M交換機(jī)以節(jié)約投資成本。隨設(shè)備提供的一條標(biāo)準(zhǔn)的5類屏蔽雙較線、一套專用設(shè)備電源、一張產(chǎn)品光盤以及快速安裝手冊,完全可以滿足用戶設(shè)備安裝調(diào)試的需要。
在防病毒方面,Safe@Office設(shè)備提供了防病毒功能設(shè)置開關(guān)。病毒庫提供定期自動更新和手動更新兩種模式,提供完整的網(wǎng)關(guān)型防病毒功能。在防病毒策略設(shè)置功能上,系統(tǒng)提供靈活的設(shè)置方式,可以滿足網(wǎng)絡(luò)安全管理員結(jié)合網(wǎng)絡(luò)實際應(yīng)用,在掃描能力和掃描效率上達(dá)到平衡。
通過高級設(shè)置功能,結(jié)合Check Point公司在網(wǎng)絡(luò)安全方面的成功經(jīng)驗,多倫科技可以對電子郵件中潛在的不安全文件類型進(jìn)行阻止,對安全的文件類型不須掃描而直接予以通過;對于壓縮文件,系統(tǒng)在保證效率的情況下,通過設(shè)置最大嵌套層次和最大壓縮率來對壓縮文件是否掃描進(jìn)行控制,同時根據(jù)管理需要可以采取適當(dāng)?shù)陌踩胧?/p>
多倫科技在使用該系統(tǒng)后正常攔截了所有病毒,公司的網(wǎng)絡(luò)又開始暢通了。公司IT主管查看了公司20多臺電腦,都沒有中毒跡象,訪問速度也提升了不少。
對于小型企業(yè)網(wǎng)絡(luò)而言,也許最大的威脅就是企業(yè)所有者對網(wǎng)絡(luò)安全的認(rèn)識錯誤,缺乏保護(hù)網(wǎng)絡(luò)的熟練技能。Check Point Safe@Office UTM設(shè)備提供模塊化的小型企業(yè)安全解決方案,可以根據(jù)要求為小型企業(yè)網(wǎng)絡(luò)量身定制,將企業(yè)級全狀態(tài)檢測(Stateful Inspection)防火墻保護(hù)、網(wǎng)絡(luò)網(wǎng)關(guān)反病毒、IPSecVPN功能與定制選項和易用性結(jié)合起來。無需安全專家,用戶即可進(jìn)行設(shè)備的安裝和配置。
Fortinet千兆級UTM產(chǎn)品FortiGate-1000A
性能描述
美國Fortinet公司的千兆級UTM產(chǎn)品FortiGate-1000A可為大企業(yè)提供高性能的解決方案。高可用性(HA)和冗余熱插拔電源模塊,可以實現(xiàn)對關(guān)鍵業(yè)務(wù)的不停機(jī)操作。并隨時可以通過FortiGuard實時響應(yīng)服務(wù)網(wǎng)絡(luò),實現(xiàn)攻擊特征庫更新升級,確保FortiGate 24小時防御最新的病毒、蠕蟲、木馬和其他攻擊。
FortiGate在體系結(jié)構(gòu)設(shè)計上做了相應(yīng)的全面考慮,以硬件設(shè)備為平臺,集成網(wǎng)絡(luò)和內(nèi)容安全。FortiGate的UTM系列產(chǎn)品實際是網(wǎng)絡(luò)安全平臺,是基于ASIC的硬件設(shè)備,具有全面實現(xiàn)策略管理、服務(wù)質(zhì)量(QoS)、負(fù)載均衡、高可用性和帶寬管理等功能。
FortiGate系統(tǒng)采用高級檢測技術(shù)和獨特的網(wǎng)絡(luò)內(nèi)容處理技術(shù),集成了多種安全技術(shù)于一身, 通過集中的管理平臺,構(gòu)筑完善的安全架構(gòu)。面對日益增強(qiáng)的混合型攻擊的威脅和社會工程陷阱,UTM設(shè)備成為用戶的重要選擇。Fortinet公司的UTM產(chǎn)品能夠通過簡單的配置和管理,以較低的維護(hù)成本為用戶提供一個高級別保護(hù)的“安全隔離區(qū)”。 它檢測病毒、蠕蟲入侵,阻擋來自郵件的威脅,進(jìn)行Web 流量過濾。 所有的檢測都是在實時狀態(tài)下進(jìn)行,不會影響網(wǎng)絡(luò)性能。FortiGate-1000A支持最新的技術(shù),包括VoIP、IM/P2P, 能抵御間諜軟件、網(wǎng)絡(luò)釣魚和混合型攻擊。該系統(tǒng)無須安裝任何用戶軟件,提高了企業(yè)的安全和管理能力。
國內(nèi)某著名大銀行采用了FortiGate-1000A 作為網(wǎng)絡(luò)系統(tǒng)的安全防毒網(wǎng)關(guān)。該產(chǎn)品不僅性能高,而且不會影響網(wǎng)絡(luò)正常運行,系統(tǒng)工作穩(wěn)定。防火墻阻斷了許多攻擊行為,使服務(wù)器遭受黑客的攻擊減少,用戶收到病毒郵件事件也少了很多,還阻止了網(wǎng)絡(luò)內(nèi)部的病毒、蠕蟲的傳播。總之,達(dá)到了預(yù)期的安全防護(hù)效果。
聯(lián)想網(wǎng)御Power V-5200 UTM防火墻
性能描述
聯(lián)想網(wǎng)御Power V-5200 UTM防火墻是基于ASIC的硬件系統(tǒng),在網(wǎng)絡(luò)網(wǎng)關(guān)處提供實時的保護(hù)。其ASIC內(nèi)容處理器,能夠在不影響網(wǎng)絡(luò)性能情況下檢測有害的病毒、蠕蟲及其他基于內(nèi)容的安全威脅。
Power V-5200 UTM防火墻集成了防火墻、VPN、入侵檢測、內(nèi)容過濾和流量控制功能, 提供的是一個高性價比、使用方便的而強(qiáng)有力的解決方案。
Power V-5200 UTM防火墻設(shè)計使用Power V-5200 機(jī)箱,并裝有1個或2 個模塊(可選), 以提供各種不同的吞吐量、 冗余量和接口要求。
Power V-5200機(jī)箱支持冗余熱交換式電源模塊, 以保證高可用性和不間斷的運行。對于可擴(kuò)展的吞吐量,Power V-5200 UTM機(jī)箱具有2個插槽,以適應(yīng)PM-5201和PM-5202母板式模塊,每一種母板模塊都裝有ASIC內(nèi)容處理器芯片和提供高性能防火墻、VPN、反病毒、入侵檢測、Web過濾、電子郵件內(nèi)容過濾、流量控制功能以及流量控制功能。每一種母板式模塊具有4Gb小型規(guī)格尺寸插拔式(SFP)端口和4個10/100/1000M自適應(yīng)以太網(wǎng)端口。
Power V-5200 UTM防火墻提供細(xì)?;踩雷o(hù),能分別對每一組或部門予以設(shè)置唯一的策略, 支持獨立的安全區(qū)和映射到VLAN標(biāo)簽的策略。Power V- 5200UTM于今年3月份正式上市,可在企業(yè)、政府機(jī)關(guān)、電信、金融行業(yè)的網(wǎng)絡(luò)邊界處提供實時的安全防護(hù)。
該產(chǎn)品可以關(guān)閉脆弱窗口, 在網(wǎng)絡(luò)的邊界處阻擋病毒蠕蟲入侵網(wǎng)絡(luò);可以提高企業(yè)的生產(chǎn)力和效率;可以提供安全可靠的系統(tǒng)防御,以及良好的性能和穩(wěn)定性;可以在老設(shè)備上增加新功能,方便老系統(tǒng)的集成和投資保護(hù)。
SonicWALL PRO 4100 高速綜合UTM
產(chǎn)品描述
SonicWALL PRO 4100是一款將防病毒、防間諜程序、入侵防護(hù)、防垃圾郵件、防網(wǎng)絡(luò)釣魚以及內(nèi)容過濾技術(shù)集成在一臺設(shè)備中的高速互聯(lián)網(wǎng)網(wǎng)關(guān)。其核心是一個功能強(qiáng)大的深度包檢測引擎,它能實時掃描網(wǎng)絡(luò)流量,并在惡意威脅入侵網(wǎng)絡(luò)之前在網(wǎng)關(guān)處將其屏蔽。
通過從SonicWALL數(shù)據(jù)中心自動下載安全更新可實現(xiàn)動態(tài)的網(wǎng)絡(luò)保護(hù),無需管理員干預(yù)即可為網(wǎng)絡(luò)提供對最新威脅的防護(hù)。可以提供橫跨10個千兆以太網(wǎng)端口的穩(wěn)健的“可信網(wǎng)絡(luò)”保護(hù),可提供足夠的端口密度來將網(wǎng)絡(luò)劃分成多個域。例如,用戶可以用其中的端口來創(chuàng)建單獨的LAN或DMZ、第二WAM以及其它定制網(wǎng)絡(luò)安全域。用戶也可以配置一個硬件故障切換端口來獲得連續(xù)的網(wǎng)絡(luò)正常運行時間。
對于更復(fù)雜的網(wǎng)絡(luò)部署,PRO 4100可將安全擴(kuò)展至虛擬及實際連接的無線LAN,從而免受來自企業(yè)網(wǎng)內(nèi)部、聯(lián)網(wǎng)各部門或數(shù)據(jù)中心區(qū)之間的網(wǎng)絡(luò)威脅。
通常,遠(yuǎn)程連接雖能提高員工的生產(chǎn)力,但也會將您的網(wǎng)絡(luò)暴露于任何可能的威脅下。PRO 4100具有創(chuàng)新的SonicWALL Clean VPN技術(shù),可在移動用戶及分支機(jī)構(gòu)連接威脅網(wǎng)絡(luò)之前對其進(jìn)行凈化。除掃描遠(yuǎn)程流量中的威脅外,Clean VPN技術(shù)還能提供告警,使用戶能及時隔離并控制潛在威脅。
PRO 4100以一臺設(shè)備提供企業(yè)級聯(lián)網(wǎng)、路由及防火墻功能。通過在一臺設(shè)備中綜合采用多種技術(shù),PRO 4100可減少部署時間,使現(xiàn)行操作自動化并提高網(wǎng)絡(luò)的可靠性。PRO 4100允許在當(dāng)今高性能及復(fù)雜網(wǎng)絡(luò)環(huán)境下進(jìn)行靈活部署、無縫集成及精細(xì)訪問控制,用戶可以依靠它來獲得絕對的網(wǎng)絡(luò)保護(hù)、效率與控制。
這款高速綜合安全網(wǎng)關(guān)具有功能強(qiáng)大、實時防護(hù)、易于部署和操作等優(yōu)點,可以滿足企業(yè)級聯(lián)網(wǎng)、路由及應(yīng)用層安全防護(hù)的需求,價格也比較合理,創(chuàng)新的SonicWALL Clean VPN技術(shù)使用戶能及時隔離并控制遠(yuǎn)程接入的潛在威脅。
天融信TopGate網(wǎng)絡(luò)衛(wèi)士安全網(wǎng)關(guān)
產(chǎn)品描述
天融信TopGate網(wǎng)絡(luò)衛(wèi)士安全網(wǎng)關(guān)產(chǎn)品是天融信公司基于天融信安全操作系統(tǒng)TOS(Topsec Operating System)和多年網(wǎng)絡(luò)安全產(chǎn)品研發(fā)經(jīng)驗開發(fā),最新推出的集防火墻、VPN、防病毒、防垃圾郵件、內(nèi)容過濾、抗攻擊、流量整形等多種功能于一體的UTM(統(tǒng)一威脅管理)網(wǎng)關(guān)。
TopGate網(wǎng)絡(luò)衛(wèi)士安全網(wǎng)關(guān)是高性能與多功能的完美結(jié)合,它采用TOS優(yōu)秀的模塊化設(shè)計架構(gòu),在提供防火墻、VPN、防病毒、防垃圾郵件、內(nèi)容過濾、抗攻擊、流量整形等功能時,保證了優(yōu)異的性能。
TopGate同時具備防火墻、VPN、防病毒和內(nèi)容過濾等功能,并且各種功能融為一體,能夠?qū)Ω鞣NVPN數(shù)據(jù)進(jìn)行檢查,攔截病毒、木馬、惡意代碼等有害數(shù)據(jù),徹底保證了VPN通信的安全,為用戶提供放心的“Cleaned VPN”服務(wù)。