前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全防护体系建设范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
中图分类号:TP309 文献标识码:A
随着信息技术的迅猛发展及推广应用,网络信息已成为各行各业管理控制的神经中枢,近期发现的勒索病毒又一次敲响了网络安全的警钟,因此,网络空间安全体系建设已成为影响单位发展乃至社会稳定的重大课题。
一、网络空间面临的主要安全威胁
近年来,网络空间安全得到高度重视,将其设为一级学科、颁发《中华人民共和国网络安全法》《国家网络空间安全战略》《网络空间国际合作战略》等,这也说明网络空间面临的安全威胁越来越严峻,具体来说,主要包括以下4个方面。
一是安防技术总体滞后。网络空间攻击与防护自从网络诞生以来就一直存在,但安全防护技术总是在出现了新的漏洞、新的攻击方法后,再研究有效的应对之策。目前网络空间安全防护体系基本上是基于已知的攻击手段和常规攻击流程构建的,以被动防御策略为主,通过封堵端口、修补漏洞、边界防护等方法实现,因此,安防技术的滞后性给网络空间安全防护体系的构建带来了技术上的现实威胁。
二是安防设备可控性差。目前我们使用的网络空间软硬件系统、标准规范大多靠国外引进,90%以上的CPU和存储单元、95%以上的系统软件和应用软件、85%以上网络交换元器件都采用国外产品或基于国外开发平台研制。据国家互联网应急中心抽样监测,2016年,中国境内有1699万余台主机被黑客利用作为木马或僵尸网络受控端,境内约1.7万个网站被篡改、8.2万余个网站被植入后门程序,监测到1Gbps以上DDoS攻击事件日均452起。这一系列数字表明,安防设备可控性已成为日益严峻的安全威胁。
三是安防机构机制不全。我国2014年2月成立网络安全和信息化领导小组,积极推动网络安全防护管理体系的构建。即将于2017年6月1日起施行的《中华人民共和国网络安全法》,对国家网信部门、国务院电信主管部门、公安部门和其他有关机关的职责进行了明确,但总体上看,安全保密联管、网络安全联防和信息安全联控的工作机制也还没有完全建立,同时,信息系统重建设轻安全、重使用轻防护等现象在一定程度上还存在。
四是安防责任意识不强。在日常应用中将用户密码设置为简单数字、或者设置与用户名同名,通过即时通信工具发送用户密码,用户密码在某些共享空间中明码存放等现象时常存在;在非密级互联网交流平台谈论敏感信息的事件也经常发生。同时,信息服务提供商的安全意识也不强,2016年12月雅虎先后证实总共超过15亿用户信息遭窃取。因此,无论是普通用户,还是系统设计、运维管理人员,都存在安全意识不强的问题,自以为信息系统的日常使用出不了安全问题。
二、强力推进技术与装备体系自主可控
目前我们的网络信息系统绝大多数是基于国外软硬件产品构建,是否安全难以掌控,必须强力推进自主可控相关工作。
一是加快自主可控安全技术与装备的研发。在研制桌面计算机、服务器、手持式、便携式终端等软硬件装备的基础上,统一规划构建网络空间安全自主可控技术产品规范,研制防火墙、路由器、无线接入、证书分发、入侵检测、舆情监控、防病毒软件、安全操作系统、安全数据库管理系统等软硬件产品,真正构建成体系的网络空间安全自主可控产品体系,实现从被动防护到主动防护、从静态防护到动态防护、从局域防护到全域防护的转变。
二是通过示范试点强力推广应用。信息技术产品具有很高的技术应用创新性与很强的用户体验性,长期处于实验室验证阶段,难以促进产品的优化完善,真正好的信息技术产品都是用出来的,只有投放市场接受用户的体验,才有可能出现这样那样的问题。因此,应将研制出来的产品在一定范围内积极组织示范试点,研发单位动态跟进,不断优化升级,不断修改完善。对于重要的信息系统,应在全自主、高可信的基础上构建更加安全可靠的保底手段。
三是在实际应用中优化完善自主可控技术与装备体系。要实现真正有效的安全防护,仅靠几个产品是不太可能的,而是要从技术研究、装备应用两方面入手构建体系化安全防护。在技术研究方面,应从物理安全、网络安全、主机安全、应用安全、数据安全、安全支撑出发,分等级构建相应的技品、参数配置策略、技术实现方案、应急处置预案等;在装备应用方面,依据信息系统的重要程度及遭到破坏后的影响程度,明确提出装备使用具体要求,使用户在病毒与木马查杀、入侵检测、防火墙、访问控制等系统的使用中,能做到设备与设备之间优化配合、安全策略不断优化,真正发挥自主可控技术与装备的作用。
三、不断强化运维与监管体系集约高效
通过系统监控、用户申报、在线支持等多种技术手段接收、处理各类安全事件,通过风险评估、监察预警、攻击测试、应急响应、安全审计、检查评比、强制整改等方式,不断加强对网络空间安全体系的监督管理。
一是强化制度管理和全员安全教育。运维和监管都离不开制度的约束,在国家立法、行业规章等方面已有一些网络空间安全管理措施规定,但对于一个具体的单位或应用系统,还有必要制定更为详细具体、针对性更强的制度措施,并定期有计划地开展全员安全教育,让全体人员知晓哪些操作能做、哪些不能做,在运维人员自我监督、相互监督的基础上,不断完善专业监管体系。
二是强化内部管控和各项技术手段运用。大多数网络空间安全事件来自于内部,既要依靠各项规章制度管理和约束,又要将各类网络空间安全技术手段和软硬件设备进行有机组合,形成有效的结构化立体安全运维监管体系,使网络空间安全运维监管在技术上做到有效监测、即时发现、主动防御,并具备安全事件追踪能力,才能真正震慑各种内部及外部人员的不安全行为。
三是强化人才培养和网络攻防演习演训。真正要确保网络空间安全运维与安全监管,人才是根本保证,网络空间安全在技术上高新尖的特点,使得人才的价值更为突出。建设高素质的网络空间安全防护队伍,既是社会发展的必然要求,也是网络空间安全的现实需要。因此,国务院学位委员会、教育部于2015年增设网络空间安全一级学科,加快推进网络空间安全高层次人才培养。总的来说,要坚持科学筹划、整体部署、突出重点、集约高效,把握网络空间领域人才成长特点规律,积极创新网络空间安全人才队伍培养模式,优化网络空间安全人才知识能力结构和培养目标,建立良好的网络攻防演习演训机制,努力培养一批会管理、懂技术的高素质网络空间安全专业人才。
参考文献
[1]王伟光.网络空间安全视角下我国信息安全战略理论构建与实现路径分析[J].电子技术与软件工程,2015(3):229-230.
[2]周季礼,黄朝辉.2014我国周边国家网络和信息安全建设大扫描[J].中国信息安全,2015(1):86-98.
[3]徐晓军.军工企业信息安全面临的形势及对策探讨[J].网络安全技术与应用,2015(6):11-12.
企业按照分级部署网络版杀毒及管理软件等终端计算机安全软件,做到每台计算机可管理可控制,并掌握整体终端计算机安全动态。通过桌面安全软件部署,保证病毒定义码和补丁更新,也可自动分发企业定制的安全策略,如安全基线设置、违规接入审计、系统补丁等,保证企业信息安全政策连贯执行,达到统一标准。
2运行环境安全
在终端计算机安全防护体系建设中,运行环境至关重要。运行环境主要有物理环境、网络环境等。本文主要介绍网络环境,在网络环境中给终端计算机加几把锁,把握其方向轨迹和动态。
2.1IP地址固定
在网络中,IP地址固定可以解决信息安全事故溯源、IP地址冲突、准确掌握上网计算机数量等问题。实施中通过管理和技术相结合的办法,技术上在网络设备里通过DHCPSnooping和A-CL列表,实现IP和MAC地址绑定。
2.2控制上互联网计算机
因工作性质和安全考虑,部分终端计算机仅处理企业内部业务不需上互联网。因此加大终端计算机上互联网权限审核力度,技术上实施是在IP地址固定的前提下,在网络设备通过访问控制列表ACL或者互联网出口安全设备里进行配置。
2.3部署准入设备
为保证网络安全,在网络边界或内部部署准入设备,设立终端计算机入网规则,如必须安装企业桌面安全软件和配置安全基线等等,通过进程检测合规后入网或可访问关键业务。
2.4部署内容审计系统
在互联网出口边界部署内容审计系统,在线对终端计算机访问互联网的行为进行2~7层的识别,可进行关键字的设置过滤、URL过滤,对于计算机的互联网行为做到可控制、可管理、可审计,以保证网络信息的安全。
2.5部署服务器
为保证终端计算机上网安全,一般建议在互联网出口设置服务器,用户通过服务器访问互联网。通过服务器访问互联网可以提高访问速度,方便对用户行为进行管理和审计,起到防火墙作用,保护局域网安全。
3安全管理
三分技术七分管理,是终端计算机安全防护体系建设的准绳。在自身系统和运行环境建设中,技术操作都是通过管理来实施的,因此形成一套安全管理机制并始终贯彻运行,是十分重要的。
3.1建立终端计算机管理制度
建立终端计算机管理制度也是终端计算机安全防护体系建设的组成部分和重要措施,如《计算机信息系统管理》《计算机安全管理实施细则》《计算机工作考核评比细则》《计算机保密管理规定》《信息化考核体系》等都是非常重要的制度,通过建立健全这些制度,形成信息化考核机制,使得终端计算机安全工作有章可循。
3.2提高计算机安全管理的力度和深度
在企业计算机安全管理管理中,管理人员首先要提高各级领导和员工网络安全重视程度,其次定期通过各种手段完成终端计算机安全检查工作,如通过桌面安全系统、审计系统检查计算机违规行为,根据规定实施处罚等,最后安全管理人员要主动识别和评估安全风险,制定和落实安全整改措施,确保终端计算机持续安全稳定运行。
3.3建设完整的计算机实名库
通过建设终端计算机实名库,掌握计算机管理动态,实现计算机资产管理,给领导提供决策依据。实名库建设可采用各单位签字盖章上报、在桌面安全管理系统里注册、定期现场抽查等,从而完成终端计算机实名库的建设。
3.4建立网络建设标准
通过网络建设标准的建立,保障终端计算机安全运行环境,也加强了桌面安全防护体系在网络体系建设中的作用。
3.5建设一支过硬的信息化队伍
在企业中,建立信息安全组织架构、明确组织责任、设置相应岗位,建立一支过硬的专业信息化安全队伍,切实加强计算机管理、维护终端计算机安全。
4结语
网络安全问题是互联网技术収展迆程中不容忽视的一个问题,据统计,美国因网络安全引収的经济损失高达每年75亿美元。在世界范围内,平均每20s就会収生一起网络安全亊件。高校网络建设是高校信息化収展的重要载体,如果出现网络安全问题,会带来难以预估的损失,甚至对正常教学和管理秩序造成影响。高校网络本身是一个半开放Internet系统,用戵主要为高校教师及学生,需要通迆身仹认证后登陆高校网络,幵在使用要求万迚行联网操作。但是在高校网络的正常使用迆程中,也容易受到各种安全影响因素的威胁。其体包拪:(1)网络病毒传播,在计算机网络技术的快速収展迆程中,新型病毒不断出现,破坏机制各有不同,增加了网络安全防护难度。比如CIH病毒、震荡波、AV终结者病毒等,一旦感染,将对系统造成严重破坏。高校网络接入场景较多,包拪机房、多媒体教室、学生甴脑等,容易因软硬件使用不当,导致病毒植入,破坏网络通信安全,严重时可能导致整个高校网络瘫痪。(2)黑客入侵,由于计算机系统和网络架极不可避兊会存在漏洞,容易成为黑客入侵窗口,获取高校网络中的重要信息数据,或者对高校网络的正常使用造成干扰。随着学生信息技能水平的提高,近年来也出现迆学生入侵高校网络获取考试题等现象,必须加以防范。(3)使用操作不当,在高校网络使用迆程中,身仹认证机制迆于简单,对个人账叶密码保管不当,或者因操作失误,对系统造成损坏,也会影响高校网络的运行稳定性,增加不安全因素。在高校网络安全建设迆程中,也需要明确网络使用标准,制定相应的管理制度[1]。
2高校网络安全建设标准
(1)高校网络安全框架搭建标准。在高校网络安全框架搭建迆程中,应明确划分高校网络安全管理责仸,遵循谁用谁负责的基本原则,通迆成立高校网络安全防护领导小组,详细组织相兲工作的开展。在平时应积枀极建高校网络安全防护体系,仍网络安全管理制度建设、网络安全防护技术体系建设等斱面着手,明确高校网络安全框架的建设标准,幵分析目前存在的不足乊处,仍管理和技术等斱面加以完善。在収生重大网络信息安全亊敀时,高校网络安全防护领导小组要第一时间组织应急处置工作,对网络安全亊敀収展迚行持续监测,采取有敁的处置措施,减少亊敀损失。此外,高校网络安全防护领导小组还要定期对相兲工作迚行评价,改迚工作机制,促迚高校网络安全框架标准的逐步完善[2]。(2)高校网络安全技术体系标准。在高校网络安全技术体系标准建设斱面,面对日益复杂的网络攻击行为,只有不断提高网络安全防护技术水平,提前収现高校网络安全漏洞,才能降低网络风险的収生概率。首兇应有敁识别网络攻击行为以及病毒感染状冴,在现有网络安全防护体系的基础丆,布置多重安全技术手段。比如通迆增设网络安全设备、在应用层系统布置防护体系等,提高抵御黑客攻击和病毒入侵的能力。兵次应加快高校网络安全监测技术的研究,将日志系统与动态监测技术结合起来,实时监测系统运行风险,幵根据网络运行数据和日志数据,及时制定改迚措施。在重大网络安全漏洞的分析迆程中,采取安全态势感知技术,对风险源迚行追踪分析,仍而为安全防护技术的选择提供依据。最后,应综合采用多种数据安全防护技术,包拪数据备仹技术、数据加密技术等,提高数据在网络传播万的安全性[3]。(3)高校网络安全制度建设标准。在高校网络安全制度建设斱面,应基于当前智慧校园建设需求,尽快对网络安全管理制度迚行完善,明确每一名教师、学生在高校网络使用迆程中承担的安全管理责仸,幵对自身操作加以觃范。以彽出现的许多高校网络安全亊敀,都是由于内部人员使用不当造成的。因此,需要制定网络安全制度标准,对高校人员的网络使用行为加以约束。在此斱面,应极建高校网络设计和部署标准,明确运行环境挃标,确保高校网络运行环境良好。同时应明确网络安全亊敀的响应机制,在平时迚行演练,确保网络安全防护工作能够得到全校师生的支持。此外,还要完善信息归档机制,做好使用记彔,一旦収生安全亊敀,要深入分析亊敀原因,幵追究相兲责仸人的责仸,仍而杜绝人为操作对高校网络安全的破坏。
3高校网络安全规范设计
(1)物理防护设计。在高校网络安全觃范设计迆程中,首兇要确保物理层的安全性。对高校机房、网络设施等设备集中的区域,需集中管理,加强网络设备安全防护力度。其体可采用甴磁干扰检测、辐射保护、硬件状态检测等斱法,排除硬件设备可能受到的威胁。对于网络交换机、路由器等兲键设备,需要做好平时的运维检修工作,及时更换受损器件,确保网络正常使用。在高校网络物理防护设计迆程中,还应兲注环境监测系统的设计,消除环境安全隐患,确保机房区域的整洁性。此外,还应安排专门的管理人员,对网络设备迚行定期巟检,为设备安装相应的防护结极,提高设备使用安全性。(2)虚拟网络划分。高校网络属于大型局域网,兵中包含多个小型网络,比如图乢馆网络、学院网络、宿舍楼网络等。在不同子网络的使用迆程中,对兵网络安全标准也有不同要求。对于比较重要的教学网络和行政管理网络,则需要采取更加严栺的安全防护措施。因此,为了满足实际管理需求,需要对高校网络迚行详细划分,基于小型虚拟局域网(VLAN)迚行安全防护设计。然后根据每个VLAN的使用特点,包拪兵应用软件、网络接口设计情冴等,分析可能存在的系统漏洞。在此基础丆,极建事级网络防护体系,通迆安装防火墙和杀毒软件,实现对网络运行安全的有敁防护。(3)数据容错备仹。在高校网络安全觃范设计中,要做好数据安全防护设计。在高校网络受到攻击时,容易出现数据丢失或受损的情冴。因此,需要设计数据容错机制及备仹措施,确保数据在网络环境传辒迆程中的安全性。在服务器容错设计斱面,应实现对硬件的有敁保护,使兵能够在受到破坏时,不影响整个网络运行。此外,为了保证数据传辒安全,应在网络防火墙和交换机丆捆绑MAC地址、IP地址,通迆采取双重捆绑措施,防止数据被截取和盗用。在此情冴万,能够有敁提升高校网络的数据传辒安全性。(4)多重控制机制。为了确保网络使用安全,近年来各种网络安全防护技术収展较快,高校网络安全建设应积枀引迚兇迚的技术手段,应对新的病毒和攻击行为。首兇应加强高校服务器的安全设置,服务器作为核心设备,通常是黑客主要攻击对象,需要为兵配置防火墙,幵定期更换IP地址,修改管理权陎,防止黑客利用系统漏洞实施攻击。兵次,应利用入侵检测技术,及时収现异常访问行为,幵作出处理。在入侵检测技术的应用迆程中,应注意检测算法的更新,有敁识别黑客的伪装行为。最后,需要加强各种网络接入斱式的访问控制管理,杜绝不良信息的渗透,防止对学生身心成长造成影响。
4结语
综丆所述,面对高校网络的安全风险因素,必须通迆制定安全建设标准,觃范设计,才能为高校网络的安全使用提供保障。在其体设计迆程中,应综合采用多种网络安全防护技术,幵根据高校网络使用特点,细化相兲制度标准,确保高校网络的合理利用。在此情冴万,能够有敁提升高校网络安全水平,充分収挥网络技术的使用价值。
参考文献:
[1]高靕.高校网络安全体系框架研究[J].信息与甴脑(理论版),2018(22):193-194.
关键词:网络空间;安全防护体系;关键技术
信息技术的发展对经济社会的进步具有重要的现实意义,同时当前的互联网信息技术发展也带来了一系列的网络空间信息安全风险。针对这一情况,我国相关部门形成了高度重视,并出台了相应的法律法规来对网络空间安全进行规范。除了通过法律手段对相关群体的行为进行规范之外,我国的网络空间安全也需要从实际情况出发,进行充分的安全防护体系建设,以此对整体的信息安全水平进行提高。
1网络空间及网络空间安全的概念
在网络空间所指的是依托相关的信息技术基础设施构成的网络体系,该体系之下包括了常见的互联网、典型网络和相应的计算机系统等,同时也涵盖各类工业设施之中的控制系统和处理系统等。在2016年我国相关部门对网络空间的概念进行了进一步的明确,认为网络空间所指的是以现有的互联网、通信网、计算机系统和自动化控制系统所共同组成的信息系统,该系统是以磁、光、电和相应的量子介质,对不同的机器设备进行连接之后产生的虚拟空间。在明确网络空间的概念之后,则可以对网络空间安全的概念进行界定。网络空间安全所指的是,处于网络虚拟空间之中的各类信息的安全[1]。由于网络空间之中不存在明确的边界,以及没有集中控制权威的特征,因此任何处于网络空间中的个体均可对开放的信息进行访问和利用,这种情况下有可能导致信息的滥用以及对信息的安全产生威胁的现象出现,而网络空间安全的核心就是通过相应的技术手段,来对具体信息的安全进行保障,确保网络空间利用的有序化和合理化。
2网络空间安全体系
当前相关的研究之中已经针对网络空间安全体系建设,形成了一系列的理论模型,在后续的网络空间安全体系建设阶段,可以通过对这些理论模型的研究与分析,形成符合当代我国网络空间发展需求的安全体系。以“四横八纵”网络空间安全层次模型为例,在该模型之中对网络空间安全体系进行了层次划分,认为当代的网络空间安全体系建设可以从设备层、系统层、数据层和应用层四个层次来进行具体着手,在相应的安全层次之中,均存在差异化的网络安全问题,要实现对网络空间安全的有效保障,就需要从这些层次的安全问题入手从而达到保障目标。同时网络空间安全的研究领域按照不同的安全需求,又可以划分为网络信息安全、信息保密、信息对抗、云安全、大数据安全、物联网安全、移动安全和可信计算等方面。除此之外,也有研究者提出,在网络空间安全体系的四个层次基础上,形成贯穿全部安全层次的安全体系模型是进行当代我国网络空间安全体系建设的方向。依托这一模型,在进行网络空间安全体系建设的过程中,通过对设备指纹、硬件身份认证、云计算等环境的建设,将能够极大地提升网络空间的安全性。除了对上述理论模型进行建设,以推进网络空间安全体系建设之外,对人才的培养也是当代我国网络空间安全体系建设的关键内容。由于网络空间安全体系建设所涉及的学科较多,涵盖数学、计算机、信息通信、物理等多个学科的内容,因此在进行人才培养的阶段也需要对当代我国的相关教学的学科进行科学合理的设置,从而为后续的网络空间安全体系建设输送充足的人才[2]。通过对相关理论和研究方向的分析可以发现,当前我国的网络空间安全面对的主要问题是云安全、隐私保护、数据可信、安全防护、内容安全、信息隐藏和大数据安全等。而为实现对这些安全问题的有效解决,必须从网络空间的物理层面、信息传输层面和软件应用层面进行相应的安全保障。同时为了确保我国网络空间安全体系建设的持续性推进,需要从多个学科的人才培养入手,确保相关人才具有较强的网络空间安全意识、形成过硬的专业技术能力。
3网络空间安全体系建设的关键技术分析
3.1物理安全威胁及保障技术
物理安全是网络空间安全体系建设过程中最为基础的内容。网络空间的物理安全层次所指的是为信息传递、处理提供节点的硬件设备,在对这一系列内容进行保障的过程中需要采取相应的手段避免其出现损坏和非法篡改、访问等问题。在实现这一目标的过程中,主要可以采用相应的冗余备份和容灾手段来避免非正常损坏和威胁对硬件设施的正常使用过造成影响,确保网络信息各个连接节点的安全。其次,当前的网络信息传播主要是通过电磁波以及电子来实现,如果在其传播过程中相关的信息出现泄漏,并遭到恶意利用,则将导致网络空间的信息安全受到严重的威胁,针对这种情况,在当前的技术条件下通过采用电磁波检测和屏蔽技术能够达到保障信息安全的目的。同时,也可以通过应用电子对抗技术来对发生的电磁波泄漏现象进行反制。最后,网络空间安全之中最为关键的一环是芯片安全,当前相应的网络空间信息的形成与处理均需要依托高质量芯片来完成,这一现象决定了芯片制造商在网络空间安全之中的地位不可被取代,要保障芯片安全,在目前我国的社会发展需求之下就需要进一步加大对于芯片产业的投资,从而增强整个硬件系统的安全。
3.2信息传输威胁及保障技术
在充分保障网络空间各类硬件设备的安全之后,信息传输安全成为整个安全体系建设的关键内容。信息的传输是连接网络空间物理层和应用层的中间环节,在该环节之中存在多种传输模式包括有线、无线和演进中的网络体系等,这些网络体系形成的根本目标在于对信息进行有效传输,并保障其安全。在推进信息传输安全的过程中,首先需要注重的是当前网络自身的安全,通过针对不同的信息传输需求进行相应的信息传输安全协议设计,将能够有效地保障网络自身的安全。从当前的信息传输技术发展之中可以看出,诸如工业控制网络、5G网络和SDN网络等的出现,相对于以往能够更好地对信息传输网络本身的安全形成保障。其次,信息传输过程中访问控制也是确保信息传输安全的重要技术手段。访问控制是用户在对信息资源进行访问的阶段,对用户的身份进行验证的一种方式,通过有效地验证用户的身份,并对访问行为进行授权,将能够避免恶意访问对信息造成的威胁。目前在信息访问控制方面已经形成了包括DAC、MAC、RBAC等一系列技术,相关的技术在应用阶段可以针对不同的访问需求进行验证与授权。随着当前云计算技术的进一步发展,新的访问控制需求也随之产生,并形成了新的访问控制方案。网络攻击对信息传输安全影响尤为直观,这一安全威胁的主要是由于非授权进入现象导致。相关网络攻击行为主要会针对被攻击网络或系统的安全缺陷,最终可能导致用户无法正常地进行信息的利用。网络攻击行为在当前可以分为Sybil攻击、SQL攻击、Dos攻击或DDos攻击等,不同的网络攻击方式针对的对象也存在差异,针对这种现象,在网络安全体系建设过程中,强化数据加密、身份认证和入侵检测与防御是防范攻击的主要手段[3]。
3.3应用威胁及保障技术
应用层直接面对用户,当这一层面的安全受到严重威胁的情况下,将导致用户的整体体验降低,对于互联网技术的进一步发展存在着严重的不利影响。从实际情况来看,应用层的安全威胁主要集中在操作系统、应用软件和工业控制系统等层面。首先,操作系统是保障相应的计算机系统正常使用的关键,要保障操作系统安全主要需要从相应的安全系统开发技术和操作系统安全增强机制建设两个方面入手。相对操作系统而言,应用软件具有更强的丰富性,其所面对的安全问题也更为多样,在以往的生产生活之中,各类计算机病毒是导致计算机软件产生安全问题的重要原因,针对这种现象,充分地应用恶意代码检测、软件检测与安全评估等方法可以在一定程度上对潜在的安全漏洞进行把握,并有针对性地对当前存在的安全漏洞进行修补,有鉴于此,在后续的网络安全体系建设过程中也需要加大对这些技术的应用力度。此外,工业控制系统的安全也是当前网络安全体系建设中的重点内容,当前的工业控制系统面对着蠕虫、木马和计算机病毒等的威胁,影响到实际的工业生产。针对这一系列现象,采取远程访问控制技术、漏洞管理技术和异常检测技术等,可以强化对工业控制系统的安全防护,达到保障其安全的目的。
3.4数据与信息安全的保障
数据与信息的安全保障过程中,可以主要从云安全、隐私保护、有害信息防护和大数据安全等多个角度来进行加强。从云安全的角度来看,随着当前云计算技术的出现,用户对其的使用范围、程度均不断加深,这种情况导致了一系列新的安全威胁的出现,要实现保障云安全的目的,就需要相关单位对这种新技术进行相匹配的技术规范、法律法规建设。隐私保障则可以通过对、混淆和流处理等匿名技术的应用,从而对用户在网络通信之中的匿名性进行保障,避免个体非法对源地址和目的地址等关键信息的泄漏[4]。在有害信息防护角度,则需要重点进行非法、不可信的信息的屏蔽,在实现阶段,需要对相关信息以发现、获取、分析、引导、预警和处置的流程来进行控制,在技术应用方面需要依靠相关单位和部门从强化网络环境下的舆情引导与控制来实现。大数据安全所面对的问题包括用户隐私、可信度等,在确保障大数据安全的过程中可以采用匿名保护技术、数字签名技术等来保障用户的隐私,强化大数据信息的可信度。
3.5深化网络空间安全体系的研究
网络空间安全体系建设是我国经济社会发展的保障,因此不断地强化对相关理论、技术的研究,强化专业人才的培养等,是网络空间安全体系建设的重要方法。网络空间安全涵盖的学科包括数学、信息论及控制论、密码学等后续的人才培养过程中,相关单位和院校需要对现有的学科进行合理设置,从而保障网络空间安全体系建设的人才持续供应。同时,由于网络空间安全体系建设对于我国社会主义现代化建设的重要现实意义,不断增加对相关研究的投资、政策引导力度也是极为有效和重要的手段。
4结语
信息技术目前已经渗透进人们日常生活的各个方面,网络空间的形成促进了人类的交流,对于社会的发展具有重要的价值。但同时网络空间也受到来自各个方面的安全威胁,在一定程度上阻碍了社会发展,针对这种情况,我国的发展过程中需要提高对网络空间安全的重视程度,形成统筹网络空间安全体系建设,积极面对网络空间安全挑战的全局眼光,并依托在技术上的不断创新和人才培养的关注,实现完善网络空间安全体系建设的目的。
参考文献
[1]汪跃飞.计算机网络空间安全体系的框架结构及应用研究[J].计算机产品与流通,2019(2):41.
[2]汪猛,于波.5G时代网络空间安全防护体系构建探究[C].公安部网络安全保卫局,2020互联网安全与治理论坛论文集.公安部网络安全保卫局:《信息网络安全》北京编辑部,2020:94-96.
[3]常利伟,李春雪,刘畅,等.网络空间安全人才培养体系现状分析与建设途径[J].信息安全研究,2018,4(12):1083-1088.
学校信息管理系统受到来自外部的攻击等恶意行为,部分系统在受到黑客等外部入侵或者攻击后,可能变为黑客利用的工具,然后再次攻击其它计算机。而学校信息系统的内部攻击主要是内部用户的不当行为,内部用户的尝试授权访问、探测预攻击等行为,如Satan扫描等都可能影响到校园网络的正常运行。1.4资源滥用和不良信息的传播校园网中的一些内部用户滥用网络资源,如利用校园网下载商业资料等,这样就让大量校园信息资源被占用。同时一些用户会在有意识或者无意识的情况下,在校园网络中传播不良信息,或者发送垃圾邮件,这些行为都增加了安全隐患。
2学校信息管理系统的安全防护体系模型
学校信息管理系统的安全建设属于一个系统而复杂的工程,需要根据信息系统的实际需求,构建动态的安全防护体系调整策略。信息系统的安全建设过程不属于单纯的技术问题,也并非将技术与产品简单堆砌在一起,而是需要我们积极转变思想观念,综合策略、技术和管理等多方面的因素,进一步形成动态的、可持续发展的过程。学校信息管理系统的主要服务对象是教学和学生,而大学生是网络中十分活跃的群体,因此,构建校园网络信息安全防护体系是十分必要的。本文结合P2DR模型,构建出了一个动态、多层次的校园网络信息安全防护体系模型如图1所示。计算机系统中会出现很多新的漏洞,新的病毒以及黑客攻击手法也不断涌现,同时校园网络自身也是动态变化的,因此,在构建好一个校园网络信息安全防护体系后,网络管理者必须对该防护体系进行实时更新,并定期进行维护,以此保障该防范体系的稳定运行,进而保障校园网络的安全性和有效性。在校园网络信息安全防范体系中,将安全策略作为中心内容,而安全技术为该体系提供支持,安全管理是一种执行手段,并积极开展安全培训,提高用户的网络信息安全意识,以此让安全防范体系得以不断完善。在这个信息安全防范体系中,安全策略是最为基础和核心的部分,它可以在检测、保护等过程中指导和规范文件。可以说该体系中所有活动的开展实施,都是在安全策略的架构下完成的。安全技术为信息安全的实现提供了支撑,其中涵盖了产品、工具和服务等内容。信息系统中常用的安全技术有入侵检测、漏洞扫描和系统防火墙等,这些技术手段是安全防范体系中较为直观的构成部分,也是其中必不可少的内容,缺少了任何一项都有可能引发巨大的威胁。由于学校的资金等条件有限,在构建安全防范体系过程中,对于部分技术无法及时部署,这时候就需要以安全策略作为参考,制定合理的实施方案,让所有的安全技术构成一个有机整体。
3建设校园网络信息安全防护体系的目标与策略
3.1网络信息安全防护体系的建设目标
根据学校信息管理系统中存在的安全问题,综合考虑安全策略、技术和管理等多方面的内容,制定出一个动态的信息安全防范方案,并根据该方案构建安全、稳定、易于管理的数字化校园,保障学校信息管理系统的正常运行,这就是网络信息安全防护体系的建设目标。具体来讲,就是首先提高学校主干网络的稳定性,以此保障校园信息系统的可靠性。其次,不断完善学校网络信息安全管理体制,运用有效的安全防护手段,严格控制访问并核实用户身份,确保信息的保密性和真实性。第三,避免校园网络中内部或者外部的攻击、破坏,维护系统的稳定、安全运行。第四,在保障安全的基础上,防护体系应该尽可能地为系统的各项应用提供便利,全网的身份认证应该统一,并对角色访问进行适当控制。第五,构建稳定、安全和操作性强的网络信息平台,为学校的管理、教学等活动提供支撑。
3.2网络信息安全防护体系的建设策略
结合相关的安全防范体系模型,我们可以从安全策略、技术和管理等方面开展安全防护体系的建设工作。安全策略是建设工作的核心内容,所有的工作都应该以此为参考。在建设过程中,首先应该制定总体的安全防护体系建设方针,然后构建网络信息安全防范体系,并在这个基础上制定相关的网络安全策略,如病毒防护、系统和数据安全等。在这个过程中为了确保安全策略的顺利实施,也需要制定相应的安全管理体制,并给出规范的操作流程。
4校园网络信息安全防护体系的总体架构
4.1划分安全区域
在网络信息安全防护体系的建设过程中,分层和分区防护是其较为基本的原则,要想保障信息安全防护体系的完整性,应该综合考虑安全防护层次和区域这两个方面。根据校园信息管理系统的实际需求,可以把安全防护体系划分为5个安全区域(如下图2),然后根据每一个安全区域的具体特征,制定相关的安全防护策略。在每一个划分的安全区域中,其安全防护也可以分为物理、系统、应用和数据安全这5个层次。
4.2互联网边界和校园骨干网安全区域的架构
为了保障互联网边界和校园骨干网中数据的可靠传输,以及保障各项业务的正常运作,可以根据网络的实际需求,将双核心冗余结构应用于核心交换设备中,让核心交换设备与每一个汇聚交换设备实现双上联。将带宽管理设备、防火墙和链路负载均衡设备设置在互联网边界上,并在防火墙的隔离区设置域名解析和邮件服务等公共服务器。首先将防DDoS设备设置于外部网络中,以此避免校园网络以及内部用户受到外界攻击;将基于端口的地址转换应用于互联网的出口,这样外部用户就得不到真实的内部用户地址;在系统数据中心防火墙的隔离区放置公共服务器。
4.3校园数据中心安全区域的架构
根据学校建设数字化校园的实际情况,以及信息系统各服务器之间的关系,可以将校园数据中心划分为多个安全子区域,如应用服务器外区和内区、公共服务器区和数据库服务区。其中公共服务器中有电子邮件、Web等重要服务器,因此需要配备2台以上档次相同的物理服务器,服务器的高性能主要通过系统的负载均衡设备来体现。在防火墙的隔离区设置校园托管服务器,以避免外部用户的访问。要想将校园数据中心网络和校园网连接起来,需要经过核心交换机中的虚拟防火墙,防火墙隔离区的公共服务器能够为外部网络提供服务,并可以保护网络免受外界攻击。数据中心的服务器可以通过负载均衡设备来均衡负载,以此优化网络服务,并发挥安全冗余的作用;由IPS实现对网络攻击的阻断,防止超文本传输服务器在统一身份认证等过程中外部用户的访问。
5结语