前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇目前网络安全形势范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:网络安全技术;发展现状;发展趋势
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 20-0000-01
Analysis of Our Network Security Technology Status and Trends
Song Yumin
(Ganzhou Local Taxation,Ganzhou341000,China)
Abstract:In this paper,a variety of current network security technology conducted in-depth exposition and analysis of network security technology development status and proposed future development of network security technology,the core issue,and finally also for the future development of network security technology prospect.
Keywords:Network security technology;Development status;Trends
一、引言
在当今信息化社会中,由于操作系统平台的不断升级以及IT系统软件越加复杂,网络信息安全技术的发展以被视为建立完整网络系统必不可少的条件之一。并且由于高速发展的信息化社会对网络的高度依赖,保障网络的高度安全性与顺畅性显得尤为重要。
二、网络安全的影响因素
(一)病毒感染。从波及到整个美国银行系统的炭疽邮件病毒到致使中国大部分地区网络崩溃的熊猫烧香,病毒感染一直是网络安全最直接的威胁。由于病毒依靠网络非常容易传播,就像寄生虫附着在寄主那样,很容易通过一些媒介途径像邮件接收、客户通过器进行软件下载等,所以此时的网络信息可能已经被窃取,对于企业或者是事业单位造成的财力损失往往是无法估量的。
(二)系统本身的漏洞。有时候一些编程人员由于工作上的疏忽,往往会被不法分子(黑客)所察觉,并针对这个薄弱环节进行整个网络系统的攻击,因此大部分的黑客入侵其实都是由于系统的“漏洞”所造成的。
(三)网络外部的恶意攻击。比如某些不法分子有选择地破坏银行系统的有效性和完整性,并以此窃取机密信息;伪装进入网络并且占用大部分的资源;还有就是在中间站点拦截或窃取绝密信息等等。
三、我国网络安全技术的现状
(一)缺乏自主的软件核心技术。众所周知,计算机网络安全涉及到三大隐患分别是CPU、操作系统以及数据库,这三者构成了网络安全的核心部分。虽然我国大多数企业都花重金去建设和维修网络,但我们所使用的网管设备以及软件大多数都是外来品,缺乏自主的核心技术,因此使我国的网络安全星星大大降低,并且极其容易成为被窃听和打击的对象。还有国外大多数厂商几乎垄断了我国软件的核心市场特别是操作系统以及杀毒系统。
(二)网络安全技术防护能力低。虽然我国各级政府、企事业单位等都陆陆续续地开设属于自己的网站,而且电子商务也以及其迅猛的速度发展者,但多数的应用系统都属于不设防状态,可能存在着高度的安全隐患。并且在信息化以及网络建设进程中,我国的多数企业并没有采取有效地措施来保障网络的安全,比如没有配置适当的网络操作系统,或者邮件系统和内部网络存在入侵者可以利用的缺陷等。
(三)网络安全管理技术人才匮乏。由于互联网本身的通信成本非常的地,因此不同的配置器以及分布式客户服务器不断的推陈出新。但是相应的技术型人才在数量或者专业水准上都无法适应当今网络安全形势的需要。而且目前在国内从事网络管理的人员往往还不具备安全管理所需要的利益导向,比如在面临濒临崩溃的网络系统中,如何快速有效地提出解决方案,这往往并不是简单的CCNA上的网络编程题,需要有丰富的经验积累。
四、我国网络安全技术的发展趋势
针对目前我国严峻的网络安全形势,我国不仅应该努力发展自主的信息产业,从而缩短与发达国家之间的差距,而且也应该普及中国网民的专业知识培训,提高网络用户的专业素质,从而能够由浅入深的认识到网络安全管理的重要性。
(一)网络安全技术产业链要转变为生态环境。伴随着计算机行业的融合以及我国计算机产业的不断成长,产业价值链在不断地发生这裂变和重组,价值链的成分也越来越复杂,而且参与者之间的竞争关系也错综复杂。并且生态环境变化速度也大大超出了预期的速度,这就要求参与者对网络产业未来的发展有足够的适应力以及敏锐的洞察力。
(二)网络安全技术想智能化、自动化发展。对于我国而言,网络安全技术的优化是一个长期的过程,贯穿于网络发展始终。对于目前我国比较严峻的网络安全形势,网络优化的手段不断向人工智能的技术发展不失为一种新思路。而且,通过引入智能决策支持系统,并建立合理的无线网络优化知识库,可以针对网络存在的某些运行质量问题,向网络优化人员提供合适的解决方案,并给予必要的数据分析。所以未来我国网络安全技术的发展必将是基于IMS的固定NGN,而这项技术也能够对企业的高层多种业务提供支持。
(三)向大容量网络发展。随着中国互联网业务的高速增长,向以IP为主的数据业务对路由器以及交换机的处理能力提出了更高地要求。因为为了满足语音和图像等综合承载的业务需求,IP网络都应该具有更高速的包转发和处理能力,所以未来的网络设备必定向超大容量的方向发展,由现在的吉比特路由向太比特路由器过渡。而且为了实现路由器的超大容量化,未来我国的网络发展必将在以下方面实现突破:比如使用基于硬件的交换和分组的转发引擎,大大提高了系统的性能;采用并行处理的方式,比如由大容量交换矩阵替代共享式总线等还有就是进行高速接口速率的升级,将STM5提升到STM7等。
(四)入侵检测技术的发展。由于网络流量的不断增长,对实时数据的侦测的难度也不断增大,这就要求提高入侵检测系统对大流量网络的处理能力。所以未来网络安全技术的发展也必将围绕着如何提高入侵检测产品的高效性以及如何建设入侵检测、网络管理和网络监控三维一体的监测工具。
五、结语
综上所述,网络安全是一个综合性的课题,涉及到技术、使用等许多方面,既包括信息系统本身的安全问题,同时也有物理和逻辑的技术措施。随着计算机技术和网络技术深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度越来越大,了解网络安全技术的现状和发展趋势已经成为现今不可忽视的课题。
参考文献:
[1]William Stallings.网络安全基础――应用于标准[M].中国电力出版社,2005
[2]赵刚译.Cisco网络安全宝典[M].电子工业出版社,2006,11
关键词:网络安全;网络攻击;安全管理
1. 引言
近年来随着网络技术的快速发展,计算机网络已经广泛应用于生产、生活的各个领域。在网络技术发展的同时网络安全也越来越重要了。越来越多的攻击实例告诉我们必须重视网络安全。由于网络具有开放性的特点,并且许多网络协议在设计之初就没有考虑到安全问题导致目前网络安全形势严峻。论文试图从我们日常工作、生活的细节入手,简要的介绍一些加强网络安全的有效措施,目的是提高网络的安全性,确保网络为我们高效、安全的服务。
2. 网络安全简介
网络安全是随着计算机网络发展产生的,它在整个计算机安全中占据重要的地位。近年来网络攻击的实例越来越多,究其主要原因可以归纳为:网络自身的安全缺陷、网络攻击技术的不断发展、安全管理方面的失误等方面。有些原因是我们无法克服或回避的,在此我们重点研究与我们生活密切相关的影响网络安全的因素。通过对众多案例的研究可以发现:操作系统平台的安全缺陷是导致网络安全失效的一个重要原因;用户在密码管理和设置上的失误是网络安全的常见因素;安全管理上的失误是网络安全的一个重要隐患;以及其他一些因素都对网络安全产生极大的影响。网络安全面临的主要有:病毒攻击;网络入侵;密码窃取以及远程控制等多个方面。面对严峻的网络安全形势我们在生活和工作中要如何克服或尽最大努力减小损失?这是一个十分重要的问题。我们必须认真研究,采取有效措施。
3. 在应用中需要采取的安全措施
面对严峻的网络安全形势,我们在应用中如何有效的加以克服,笔者试图从以下几个方面来论述。
1.选用安全的操作系统平台,并加强保护。操作系统是整个网络运行的基础,是确保安全的基础平台。一旦操作系统存在安全问题必然造成严重的损失。所以,在操作系统的选择上尽可能的选择高安全的操作系统,当然对于普通用户来讲也必须兼顾友好的交互性。目前主流的操作系统包括微软公司的Windos系列和UNIX、Linux等。就安全性来讲,UNIX、Linux具有很好的性能。这主要归功于它们的设计思想。以Linux为例,Linux主要特点可归纳为安全、高效。可见Linux在设计之初就将安全性考虑到了甚至被作为最重要的指标之一。所以选用这样的操作系统就能有效的提高安全性。同时由于目前的病毒主要是针对软公司的Windos系列设计的,在Linux平台下根本就不能运行,从这个角度来看Linux在病毒防护上具有很好的优势。笔者曾经应用Linux的这个特点清除过许多病毒,有效的挽救了许多重要资料。
如果用户由于操作的友好性方面选择了Windos系列,只要能采取积极有效的措施也能确保系统的高安全运行。Windos系列的一个主要缺点就是存在很多安全漏洞,并且大家对其比较熟悉,所以众多的病毒以及网络攻击都是针对它开发的。但是,只要我们采用积极地安全措施如安装好防护墙、杀毒软件以及实时打好补丁还是能安全运行的。在实际应用中,我们要求杀毒软件必须实时更新,并且如果出现病毒不能被查杀可以更换杀毒软件,确保系统的清洁、安全。并且在工作中要关注微软的补丁通告,及时安装补丁,确保安全。
2.提高安全意识,保护网络安全。在前文已经论述网络安全主要有:病毒攻击;网络入侵;密码窃取以及远程控制等多个方面。明白了这些,我们再来思考一下出现安全的原因或者是为什么别人会攻击你,目的是什么,无非有这些:让你的系统不能工作、窃取你的资料等等。那么我们在具体的工作应用中就必须采取相应的措施。一方面要安全上网。安全上网主要是指尽可能不上一些可能存在病毒的一些网站,同时关闭系统中的一些端口预防系统受到攻击。另一方面是提高警惕,确保关键信息的安全。不要在非安全的网络环境中输入一些重要的密码或存取关键文件。现在有许多“钓鱼”网站,以窃取用户的关键密码为目的。如有些网站模仿银行的网站,骗取用户的卡号和密码,从而盗窃用户的钱财。这样的实例实在是举不胜举。当然,在生活中也不要随意安装一些免费软件,某些不法分子在软件中隐藏一些“木马”,这样能随时窃取用户的关键信息,甚至控制用户的机器,进而做进一步的非法操作。总之,在日常网络操作中要提高警惕,确保关键信息的安全。
3.加强管理,确保信息安全。一个企业的网络安全十分重要,特别是像银行这样的金融企业尤为突出。通过对多个网络安全事件的剖析,我们可以看到安全管理对企业的网络安全具有十分重要的作用。一个攻击者想要有效的对像金融企业这样十分重视网络安全的对象,并非易事。那么他们通常会怎么做?他们一般是一方面扫描对象,目的是找出网络漏洞,另一方面是积极地收集对象员工的信息,通过跟踪他们就能获取一些十分有价值的信息,从而有效攻击对象。他们可以跟踪对象内部员工,从而让系统感染病毒,或套取员工密码直接进入系统。以及其它一些类似的手段。通过近年的案例可以看出,这是一种十分有限的方法。那么我们在实际的网络应用中,如何加强安全管理?一方面,加强安全意识教育,确保员工能时时注意安全。另一方面,必须制定一套严格的操作规范,确保安全。在安全教育上,要求在涉及到企业信息安全的事情上一定要规范操作,不能随意处理,防止信息泄露。在密码设置上,要求规范设置,防止被入侵者猜测到。甚至对某些关键的信息,采取生物特征识别方式,提高密码的高安全性。并要求定期更换密码,防止密码失窃。在安全规程的制定上,要根据企业的具体特点设置便于操作执行的有效规程,并要严格执行。对在执行中不规范的行为要严肃处理,维护规程的严肃性。
4.定期对系统进行安全“体检”。为了进一步的提高网络的安全性,确保关键信息的被有效保护,必须定期对系统进行安全“体检”。通过定期的“体检”和对安全日志的深入分析,找出系统潜在的风险并及时采取有效措施。通过安全日志的分析,研究者能够清晰的掌握整个系统的网络访问过程,并对异常访问做出有效的判断,甚至对 一些违规的操作做出及时的处理,目的就是预防潜在的威胁。例如通过对系统的安全体检可以找出一些入侵者前期的调查活动,从而及是的采取防范措施。近年来,通过对系统进行安全“体检”以及对安全日志的深入分析,已经极大的提高了系统的安全性,保证了网络的高效运行。
通过上面的研究,我们可以发现网络安全是一个十分重要又繁琐的事情,在日常的工作、生活中,我们要严格按照相关安全规程操作才能有效的保护网络,确保信息的高安全、高稳定运行。
4. 结论
随着计算机网络在我们日常生活的广泛应用,它已成为确保社会高效运行的重要部分。然而,由于网络自身的问题以及许多人为的因素导致目前计算机网络面临巨大的安全威胁。为了确保计算机网络的安全运行,我们必须采取有效的安全措施。论文从普通用户应用计算机网络的角度出发,系统的论述了提高计算机网络安全采取的有效措施。其中,选用高安全的操作系统是提高网络安全的基础;提高用户的安全意识是确保网络安全的重要措施;加强安全管理能从根本上杜绝内部信息的泄露,保证关键信息的安全;定期对系统进行安全“体检”,能消除潜在威胁,提高系统的安全。总之,只要我们在具体的网络应用中严格遵循安全规范就能有效保护信息,提高系统的安全。
参考文献:
1.邓崧,彭艳.用OCTAVE方法分析屯子政务系统的信息安全【J】.情报杂志,2006,25(1):75—77.
1994年4月20日,中国首次接入国际互联网,成为国际互联网大家庭中的第77个成员,而今已然迈过20个春秋。来自中国互联网网络信息中心的数据显示,我国网民已超过6亿,居世界第一。2013年网络购物用户达到3亿,全国信息消费整体规模达到2.2万亿元人民币,同比增长超过28%,电子商务交易规模突破10万亿元人民币。中国,已是名副其实的网络大国。
然而,大不一定强,中国离网络强国的目标仍有遥远的路程。自主创新相对落后,不同地区之间存在“数字鸿沟”。同时,中国目前是网络攻击的主要受害国。仅2013年11月,境外木马或僵尸程序控制境内服务器就接近90万个主机IP。侵犯个人隐私、损害公民合法权益等违法行为时有发生,网络安全形势非常严峻。
放眼全球,美、英、法、德、俄等主要国家都制定了网络空间安全战略。美国在白宫设立“网络办公室”,并任命首席网络官,直接对总统负责。而在亚洲,日本2013年6月出台《网络安全战略》,明确提出“网络安全立国”。据不完全统计,迄今已有50多个国家了网络安全战略。
2014年是中国推进全面深化改革的第一年,也是中央网络安全和信息化领导小组的开局之年。正如所指出的那样:没有网络安全就没有国家安全,没有信息化,就没有现代化。
事实上,建设“网络强国”,我们一直在努力。去年颁布的《国务院关于促进信息消费扩大内需的若干意见》强调,加强信息基础设施建设,加快信息产业优化升级,大力丰富信息消费内容,提高信息网络安全保障能力。十八届三中全会《决定》也明确提出,要坚持积极利用、科学发展、依法管理、确保安全的方针,加大依法管理网络力度,完善互联网管理领导体制。这一次国家发改委、央行、财政部、工信部等核心财经部委掌门人,都参与到中央网络安全和信息化领导小组中来,意味从投资、财税、金融等各方面加强对互联网和信息化产业的扶持力度,必将带来新的经济增长点。
网络安全和信息化,恰如一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进。互联网发展已经与工业、金融、通信等行业须臾不可分离,是国民经济的重要支撑。而信息化对新一轮产业革命来说是重要标志,也是新一轮产业革命和经济发展的重要支撑。将网络安全上升至国家战略,这对信息安全、IT国产化和整个信息化相关产业,无疑将产生重大影响。
关键词:计算机网络;安全技术;发展趋势
前言
自20世纪40年代第一台计算机问世以来,计算机技术面临了快速的发展。进入21世纪以后,计算机网络应用已经成为了人们生活,工作中离不开的帮手。电子商务和物流技术改变了人们传统的购物方式,网上预约方便了人们获得公共服务,各类公开课和教学资源共享使得人们能够足不出户,了解更多的知识。一方面,越来越多的信息和资源汇集于互联网中,另一方面,也导致计算机网络面临严峻的安全形势。由于互联网具有开放性,所以容易导致用户的隐私信息泄露,被不良用户恶意窃取和非法使用,对用户造成巨大的伤害。除此以外,层出不穷的计算机病毒也使得人们在使用计算机时常常面临巨大的安全隐患,一不留神就导致自身的信息流出。在这种市场与危机并存的环境下,有必要通过维护计算机网络安全来保护众多用户的合法权益。
一、计算机网络安全技术的定义
计算机网络安全技术是一个较新的概念,它是针对当前计算机网络频受攻击,安全形势不容乐观而提出的。总体来说,计算机网络安全技术就是利用管理和技术两大手段,保证储存在计算机内的信息,资源和软件的安全,以防黑客,病毒的攻击对其造成破坏。这种技术尤其在一些关键领域被重视,如国防军工领域,国家安全中心和商业机密,这类信息有着极大的价值,一旦被破坏或泄露,就会造成无法预计的损失。目前,常用的计算机网络安全技术有防火墙技术,数据加密技术,PKI技术等,一般将两到三种技术结合使用,才能保证计算机网络的安全性达到一定指标。
二、常用计算机网络安全技术分析
(一)防火墙技术
顾名思义,网络防火墙技术本质就是在不同的计算机网络之间设置一道安全屏障,保证将来网的信息中隐藏的危险因子筛选出来,并且及时处理。通过这道屏障,许多依附计算机信息交流而传播的安全问题就能够及时避免,从而保证计算机网络的安全和稳定。防火墙技术主要处理目标是企图侵入内网,盗取客户私人信息和数据的计算机病毒,它对这类病毒进行访问限制,将病毒及时阻拦在防火墙之外,从而净化内网的网络环境,保证内网始终处于一个相对独立和安全的层次。目前,随着网络的发展和普及,防火墙技术普及度较广,基本上每台电脑都会安全防火墙软件,在用户使用网络时对其中的信息和数据流通情况进行实时监控,一旦发现有病毒入侵,就会进行阻拦,并且及时通知用户停止使用该软件,并且进行病毒查杀。
(二)PKI技术
PKI技术主要用于电子商务领域领域,其是基于公钥理论而为交易双方提供安全服务的基础设施。由于电子商务及与其相关的虚拟交易在近几年十分火爆,导致大量资金在计算机网络上流通,由于资金的流动全程都在网络上进行,交易双方不直接接触,这就对用户和商家的资金安全造成了威胁。PKI技术关注的就是在虚拟平台资金流通过程中的安全性,通过电子信息验证来保证操作双方没有发生异常,从而使得资金的每一次流通都获得足够的验证信息。通过PKI技术,进行电子交易的双方能够放心地进行资金交易,防止自己的资产被恶意窃取。但是值得注意的是,PKI技术也有其缺陷,如果它被不法分子使用,就有可能产生反面作用,成为为不法分子窃取利益的手段。
(三)数据加密技术
防火墙技术主要保证内网的安全,而数据加密技术主要保证外网的安全。其主要阵地是公共网络中各类信息和数据的保护。数据加密技术具有灵活且全面的特点,它能对开放网络中的数据进行检测,一旦发现出现可能攻击的行为,就会及时采取相应措施。当面对的是病毒,黑客的主动攻击时,数据加密技术是无法避免的,只能将危险情况告知用户;当面对的是被动攻击时,数据加密技术就能够自行解决危机。数据加密技术根据加密密钥和解密密钥是否相同分为两种不同的形式,当加密密钥和解密密钥相同时,其加密方法相对简单,使得使用双方的操作更为便捷,但是它被破解的风险较大;而当加密密钥和解密密钥不同时,加密过程就复杂得多,其中一把作为公开密钥能够公开,另一把则作为私人密钥仅容许自身保存。这种数据加密方式的安全性更高,但是操作方法相对繁琐。
三、网络安全频遭危机的主要原因
(一)网络的使用者缺乏网络安全意识
当前计算机网络安全频遭威胁的一大原因就是用户普遍缺乏必要的自我保护意识和网络安全意识,为各类非法攻击提供了可乘之机。例如许多用户随意将自身的私人信息放到社交平台或者公共网络中,或者不加辨析地打开一些来历不明的网站,导致潜藏的病毒入侵。这些安全问题原本是可以避免的,但是由于使用者的安全意识过于薄弱而造成了损失。对于网络管理人员来说,其对于网络安全攻击的敏感性较欠缺,无法及时发现一些隐藏较好的攻击元素,导致其能够实施直接攻击。要提高网络管理人员的安全意识和防护能力,首先要提高他们的专业知识水平,达到对于计算机网络熟悉的水平,从而对于其中的漏洞和可能遭受攻击的部位有着清晰地认识;其次,管理人员要进行不断的学习,以及时掌握日新月异的网络攻击方式,获得应对最新网络攻击的能力。
(二)计算机软件开发过程中存在的固有缺陷
大多数网络攻击都以某个操作系统作为突破口,进而展开攻击和占领。这说明目前大多数计算机操作系统在投入使用时就已经存在漏洞,使得各类计算机病毒和黑客寻找到了可乘之机。操作系统的漏洞主要体现在其结构体系缺陷和内部缺陷两类:1.操作系统结构体系的缺陷每一个操作系统都有内存,外设管理,这些管理的运行需要启动特定的计算机程序。当这些程序存在固有缺陷时,就为黑客创造了攻击途径。他们通过改程序存在的漏洞猛烈攻击,从而使其崩溃,进而导致需要改程序支持的操作系统发生崩溃,影响到整台电脑的运行。操作系统结构缺陷是目前常见的网络攻击途径,要改变这一现状,必须开发更为完善的网络程序,从源头避免为黑客恶意供给创造机会。2.操作系统内部存在不安全因素操作系统的主要功能是安装或者卸载程序,或者从网络下下载文件,这种操作本身就存在较大风险。首先,网络文件和程序的来源不明,其中可能附着着计算机病毒。一旦这些文件,程序被下载到用户计算机上,其中的病毒就会乘机侵入电脑,造成整体崩盘。第二:一些文件属于钓鱼文件,它是黑客为了获得进入计算机内网的途径而特意编写的。用户在不知情的情况下下载了这些文件,就会使其中的漏洞进入内网,使黑客展开正式攻击有了可行途径。3.3三观不正的高科技罪犯增加许多黑客攻击并非是为了窃取重要信息或者获得某项利益,而纯粹是为了刺激。这种高科技罪犯的罪案动机是由于其三观不正造成的。现代科学教育技术的发展,使得许多人接受了良好的教育,对于计算机内部原理和操作方式有着详细而透彻的了解,同时又对这类高科技技术产生的巨大的兴趣。因此一些人为了测试自己的计算机能力或者炫耀自身高超的计算机操作技术,将道德要求和法律规范置于身后而不顾,铤而走险地利用攻击计算机网络漏洞的方式来证明自己。尽管其出发点并无恶意,但是在攻击过程中对于计算机的正常运转形成了巨大的威胁,同时对计算机用户造成了无法挽回的损失,还因此触犯了法律,构成了严重的网络犯罪案件。要改变这类网络黑客的行为,必须从思想道德教育做起。在教授学生专业知识的同时必须强调必备的道德素养,防止他们成为高智商的无良罪犯。例如,可在教育过程中增加对学生思想道德修养的要求,促使其将智力用于对社会有益的方面;同时,要加大对这类人群的监督力度。
四、计算机网络安全技术未来的发展趋势
目前国家安全部门和用户自身都已经体会到了计算机网络安全严峻的形式,逐渐加强了对于网络安全技术的重视力度。在这种情况下,计算机网络安全技术面临着较快的发展前景。一方面,国家安全建设部门加大对网络信息安全的支持力度,力图构建以国家力量为首,多部门联合协作的网络安全防御工程。以期正义的一方在可能到来的网络安全战中获得更多的主动权。另一方面,网络安全技术开发商家正在不断创新,根据现有的密钥过于简单,防火墙屏障作用不够牢固等技术缺陷展开改造,促使网络安全技术不断更新升级。同时,网络安全协议的重要作用被各方普遍认识到,一轮依靠网络安全协议,各方公平参与,透明操作的新网络运用时代已经来临。最为重要的是用户自身,随着用户的网络安全意识不断提高,许多低级的攻击手段已经无法发挥作用,为减少互联网的安全事件提供了保障。同时,用户大多更多关注最新的网络安全技术,愿意付出金钱和人力来保障自身的网络安全。在国家,网络安全技术开发部门和用户自身的各自努力之下,针对网络漏洞的攻击将逐渐失去容身之处五、总结总之,计算机网络安全在近期仍将是大热的话题,其对于人们在虚拟世界的安全有着重要的影响。随之而来的,计算机网络安全技术就将受到越来越多的关注和支持,计算机网络安全技术是一项复杂的工程,它不仅需要多方参与,还需要高科技理论的支持和精密设备的协作,只有各项元素都达到了标准要求。计算机网络安全才能提高到一个新层次。
参考文献:
[1]温爱华,张泰,刘菊芳.基于计算机网络信息安全技术及其发展趋势的探讨[J].煤炭技术,201(01).
[2]韩永生.当代计算机信息网络安全技术及未来的发展趋势[J].中国教育技术装备,201(23).
[3]李峰.计算机网络安全技术及其发展趋势[J].现代计算机网络,201(11).
[4]马辉.研究计算机网络安全技术的融合趋势[J].现代情报,200(56).
四大因素驱动管理水平提升
经过十多年的建设与发展,中国移动已建成一个覆盖范围广、通信质量高、业务品种丰富、服务水平一流的移动通信网络。目前,中国移动的网络规模和客户规模列全球第一。但近几年来,中国移动的信息安全管理压力不断加大,这是由于以下四个因素:
首先,适应信息安全形势发展的基本需要。随着社会环境、产业环境的变化,通信网的重要性日益凸显,民众对通信网的依赖程度日益提高,网络与我们的生产、生活密不可分。与此同时,网络安全攻击事件日益增多,网络攻击技术越来越多样化,攻击的自动化程度也越来越高,信息安全形势日益严峻。作为国有重要骨干企业,中国移动加强信息安全管理,既是实现企业发展战略目标的需要,也是履行企业社会责任的基本需要。
其次,Y本的市场监管要求。2002年,美国安然、世通等财务欺诈事件之后,美国立法机构出台了《萨班斯―奥克斯利法案》(以下简称《萨班斯法案》)。《萨班斯法案》不仅适用于美国上市公司,也适用于在美国证监会注册的外国公司。中国移动作为在美国证券交易市场上市的海外公司,也必须遵循《萨班斯法案》相关要求。为了遵从《萨班斯法案》,中国移动制定的内部控制矩阵中,有313个项与信息安全有关。
再次,满足国内监管部门的监管要求。随着信息安全形势的发展,国内监管部门对信息安全管理提出了明确要求。公安部、工业和信息化部、国家保密局和证监会等部委陆续了相关文件对企业信息安全管理提出了要求,如公安部、国家保密局、国家密码管理局和国务院信息工作办公室的《信息安全等级保护管理办法》,公安部的《互联网安全保护技术措施规定》,工业和信息化部的《通信网络安全防护管理办法》,财政部、 证监会、审计署、银监会和保监会印发的《企业内部控制基本规范》等。
最后,满足企业自身管理提升的要求。中国移动从提升自身管理的角度出发,建立了较为完整的信息安全管理体系,覆盖系统建设和运维、业务经营、客户信息保护等环节。
然而,由于信息安全管理涉及多个业务部门和管理部门,管理复杂度高,工作繁杂,过去难以进行体系化管理、执行难度高成为中国移动信息安全管理工作的突出问题。
五大管理措施保证信息安全
中国移动信息安全管理的总体目标是借鉴国际的先进GRC管理理念,按照PDCA(Plan―Do―Check―Action,计划―实施―检查―处理)模式,建立涵盖合规要求、合规执行、合规检查、合规评价、合规整改的闭环管理机制;采取相应的技术手段、通过有效的管理措施,保证信息资产免遭威胁,或将威胁带来的不良后果降到最低;持续改进,实现信息安全管理水平的螺旋式提升,最终维护组织的正常运作和健康发展。具体来说,中国移动主要采取了以下五项措施保证目标的实现。
第一,建立信息安全合规闭环管理机制。中国移动在信息安全管理方面借鉴了GRC管理理念,参考了ISO27001信息安全闭环管理体系的PDCA模型,形成了特有的信息安全合规闭环管理机制。中国移动结合自身的实际情况,将信息安全合规管理工作划分为合规要求、合规执行、合规检查、合规评价、合规整改等五个环节。其中,合规要求对应的是计划(Plan),合规执行对应是实施(Do),合规检查和合规评价对应的是检查(Check),合规整改对应的是处理(Action)。这五个环节形成了信息安全合规的闭环管理,借助流程全面贯彻。
第二,进行集中、制度化管理,全面满足内外部监管需求。中国移动根据外部的《萨班斯法案》、ISO27011信息安全管理最佳实践、国家信息安全等级保护、通信网安全防护等相关的合规要求,制定了多达200余个安全管理制度和标准,覆盖系统建设与运维、业务经营、客户信息保护等环节,涉及多个业务部门和管理部门,涵盖了安全方针、风险管理、第三方管理、安全事件处理、安全基线等数十个领域。
值得一提的是,由于需要遵从的合规要求较多,部分“规”之间存在内容交叉和要求不一致的情况。如果缺少集中化的管理,会导致日常的制度和标准查询、获取和执行都比较困难。为此,中国移动对需要遵从的国际、国内、行业和企业内部的信息安全管理制度、标准进行了梳理,参照国内外标准和最佳实践,形成了《中国移动信息安全管理制度体系框架》。通过制度体系框架,相关人员可以掌握公司整体的信息安全管理全貌,方便、快速地查找对应的要求,高效地分析出哪些领域可能存在制度缺失,为进一步完善信息安全管理体系提供有力的支持,为合规管理体系的建设提供有用的支撑。
第三,完善合规管理矩阵,将安全合规管理工作具体化。信息安全合规管理的核心是建立信息安全合规管理矩阵。该矩阵是基于对各种信息安全管理制度、规范建立的,是对各种信息安全管理要求的条目化、具体化。中国移动在梳理合规制度和建立合规控制框架的基础上,首先建立信息安全责任制、客户信息安全、业务安全和基础安全等子矩阵,然后逐步丰富、完善子矩阵,最终形成全面的信息安全合规矩阵。合规矩阵包括控制矩阵、检查矩阵、对应矩阵和资产矩阵。
第四,建立合规检查规范,实现制度化、规范化管理。为了做好合规检查,中国移动制定《信息安全监督检查工作规范》,实现合规检查制度化、规范化管理。合规检查分为普查模式和专项检查两种模式。
第五,建立评价体系,实现整改工作的闭环管理。中国移动通过实施多维度的合规评价,针对不符合合规要求的检查点和评价相对较差的环节,开展及时的问题整改工作,通过工单等工作流,以下发、整改、反馈和验证四步闭环的管理模式,保证在问题发现后,有要求、有人改、有反馈、有验证,有效落实整改工作。
信息化平台是不可或缺的支撑
为了有效应对当前在信息安全合规管理方面所面临的挑战,中国移动在慧点科技协助下建立了全网集中的信息安全合规管理平台。中国移动的各省公司都可以登录该平台开展合规管理工作。该平台针对中国信息安全合规管理需求,固化了制度管理、控制落实、安全检查、合规评价和整改等信息安全管理流程,为合规工作提供了流程化、平台化的高效工具。
中国移动信息安全合规管理平台包括制度管理、矩阵管理、执行管理、合规检查、合规风险评价和整改管理等核心功能模块,可以有效支撑信息安全合规的全生命周期流程管理。
通过建立以信息安全合规管理矩阵为核心的合规管理体系,全面部署信息安全合规管理平台,中国移动实现了如下的效果:
第一,提升了信息安全业务管理的统一性、完整性;
第二,提升了集中化自主运营能力,有效提升业务连续性;