网络安全建设计划
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全建设计划范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全建设计划范文第1篇
关键词网络;信息化;安全
1网络信息化建设安全问题
1.1网络信息化建设安全基础较弱
我国网络信息化建设落后于西方发达国家,其原因二:于国内而言,主要是网络信息化起步晚;于国外而言,主要是其故意阻挠。因此我国进行网络信息化建设必须高度重视其关键部分,既要防止其出现重大问题,又要防止其被破坏和攻击。如在硬件设备方面,因起步晚,技术落后,故其中大部分计算机的中央处理器都依赖进口。虽然我国在超级计算机的整体性能方面达到了世界的领先水平,但却在其核心处理部件上依然处于被动地位,依赖国外技术。而且我国进行的核心零件和部件的制造知识进行简单的加工和组装。在软件设备方面,微软在我国电脑操作平台上仍然处于垄断地位,我国的大部分网络不用微软操作系统很难正常运行,其中也包括我国的军用网络。以上情况的存在,严重阻碍我国网络信息化建设,安全管理技术的发展也受制于人。企业的网络信息化建设内的管理软件也是依赖进口,这使得国外的软件开发和生产厂商从中国的广大市场获得高额利润,并威胁我国网络信息化建设的安全。因此,网络信息化基础薄弱,依赖进口国外是当前进行网络信息化建设安全面临的主要现实威胁之一。
1.2网络信息化建设中的安全意识欠缺
进行网络信息化建设的工作人员对其中存在的问题关注度不高,导致出现重视技术、忽视安全的现象出现。其主要体现在工作人员重视建设中的技术水平和信息设备,在其安全建设上投入的精力、物力、财力较少,造成网络信息化建设过程中极易出现安全漏洞和安全事故。因此,作为网络信息化建设的提供者、消费者、使用者以及建设者,人们必须重视其安全建设,保持高度的安全意识建设该项工程。目前在我国网络信息化建设的工程中,许多政府机关和企业也极为重视网站和管理系统的建设,但却未强调其安全保障与管理,导致网站和管理系统中存在众多的安全隐患和部分系统漏洞。我国企业在网络信息化建设过程中,其安全意识欠缺,以及在开展网络信息化建设中,整个社会普遍存在缺乏安全意识的问题。因网络信息的传播,其途径隐蔽且传播速度较快,导致安全监管工作困难重重,但随着网络技术和信息技术的不断发展和改进,安全问题的重要性日益凸显,人们的安全意识也不断加强,使安全问题不断减少,也给网络信息化建设的安全管理工作创造了良好的环境。
2网络信息化建设的安全策略
2.1完善网络信息化建设的安全法律法规
规范和完善与网络信息化建设安全相关的法律法规是确保其建设安全的重要举措。在网络技术和信息技术不断发展的现状下,世界上大多国家均加强对其的重视力度。不断完善相关的法律法规以规范网络信息化的安全管理。确保其建设的安全,同时也推动社会的法律法规日益完善,其意义重大。首先,对其安全立法必须与时俱进,体现出时代精神。对网络信息化建设进行管理的重要依据便是实施网络信息化建设安全立法,当前网络化和信息化高速发展,安全问题也被提到日程上来,与时俱进进行网络信息化建设安全立法能够保障技术的发展。但目前,我国在此方面努力不够,相关法律法规不完善,存在的层次也较低,难以应对目前的发展状况,如对当前的电子出入境、电子知识产权、电子签名等反应不充分。因此,必须加强与之相关的信息安全犯罪制裁、网络与信息系统安全、信息内容安全等方面的立法。从法律形式而言,与之相关的法律法规文件主要有司法解释、法律、行政法规、部门规章、法规性文件、地方政府规章以及地方性法规等层次。虽然目前行政管理和司法管理体系已不断完善,但与西方发达国家,如欧盟、美国等相比,仍需在网络信息化建设安全立法方面的深度、覆盖面和体系化方面不断完善。网络技术与信息技术的发展使网络信息化建设安全监管的需求日益强烈。我国在完善相关法律法规的过程中要借鉴西方的先进管理经验,将其与国内实际情况相结合,制定出维护国家利益的网络信息化建设安全法律。其次,规范网络信息的与传播。在其建设过程中,必须依据其相关的法律法规对其进行审查,不断完善信息和传播的责任制度,尤其是网络信息共享安全方面的责任制度。国家作为网络信息化建设的主体,必须从国家和公众的安全与利益出发,强调网络信息监管的必要性与重要性。因此,必须从整体上防范和防御可能出现的安全问题,逐渐掌握网络信息化发展的规律,制定相应的科学规划,建设符合国情和网络信息化建设安全需求的制度。并将其作为我国总体建设规划中的重要内容,分别从热源管理、制度建设、责任机制构建等方面对其进行强化,从而建立起经费投入、研究研发、成果转换的循环机制,以确保网络信息化建设安全。最后,安全立法要有前瞻性。因网络技术和信息技术的高速发展,信息的更新换代速度飞快,故安全立法也必须体现出适度的前瞻性,以确保防患于未然。尤其是对其进行信息安全风险评估时,必须借鉴他人先进经验和自身的教训,明确风险评估的要求、目标和标准,不断提高信息安全风险评估的效果,确保其工作的科学性,以实现法律法规对网络信息化建设的规范作用。只有法律法规有适度的前瞻性,才能保证其实用性与可操作性。因此,推动我国网络信息化建设,必须使不断建设与完善的法律法规拥有前瞻性。
2.2在网络信息化建设安全管理中强化政府作用
政府作为主体必须发挥主导作用。在制定和完善相关法律法规时,政府应监管网络信息化建设安全产业的发展政策,确保网络信息化建设能够健康发展。同时,政府也要在处理威胁网络信息化建设安全的行为上发挥主导作用,因此,必须强化政府在网络信息化建设安全管理工作中的不可替代性地位。首先,网络信息安全建设安全问题对国家发展至关重要,必须作为重点因素进行考量。社会全体共同承担维护国家安全和利益的职责,在网络信息化建设中保持危机意识,从战略高度审视其带来的机遇与挑战。因此,必须熟练掌握和运用网络信息化,探究应对网络信息化建设安全问题的办法。其中因安全设施不到位而给国家造成重创的案例,如伊朗布什尔核电站事件,其网络系统在2010年遭到病毒攻击以致无法正常工作,这是其工业基础设施第一次受到病毒攻击,却是一击致命,给国家带来重大损失。因此,如果对网络信息化建设中安全问题重视不足,那么其基础设施乃至军事、经济和政治都会受到损害,所以,必须将网络信息化建设的安全问题上升至国家利益的层面,作为国家安全建设的关键因素和核心内容。其次,以政府为主导构建其安全管理模式。因安全管理工作是一项基础性工作,与人们的生产生活息息相关,与国家企事业单位、政府机关等部门的社会服务、社会管理工作紧密联系。国防军事和经济发展均严重依赖网络信息化建设,它已成为当前社会、文化、经济、政治发展的重要神经中枢与基础平台。关系到国家核心利益和与民生相关的基础设施,如国家的能源交通、金融通信、国防军事等,若其受到攻击,发生失控、瘫痪等情况,将导致社会制度的混乱和经济的崩溃。因此,需要以国家为主导从整体角度开展对网络信息化建设安全的宏观管理。
2.3完善网络信息化建设安全方式
网络安全建设计划范文第2篇
关键词:信息化;网络安全;企业;解决方案
0 引言
现代企业信息化网络是基于内部传输网和Internet网络的互联网络,由于公众网络是一个相对开放的平台,网络接入比较复杂,挂接的相关点比较多,网络一旦接入公众网络,对于一些网络安全比较敏感的数据,传输的安全性就比较弱,比较危险。本文将重点分析企业网络系统安全性方面以及业务系统安全性方面存在的问题。
1 企业信息化网络存在的安全隐患
1.1 Windows系统的安全隐患
Windows的安全机制不是外加的,而是建立在操作系统内部的,可以通过一定的系统参数、权限等设置使文件和其他资源免受不良用户的威胁(破坏、非法的编辑等等)。例如设置系统时钟,对用户账号、用户权限及资源权限的合理分配等。
由于Windows系统的复杂性,以及系统的生存周期比较短,系统中存在大量已知和未知的漏洞。一些国际上的安全组织已经公示了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。例如,Windows所采用的存储数据库和加密机制可导致一系列安全隐患:NT把用户信息和加密口令保存于NTRegistry的SAM文件即安全账户管理(securityAccounts Management)数据库中,由于采用的算法的原因,NT口令比较脆弱,容易被破译。能解码SAM数据库并能破解口令的工具有:PWDump和NTCrack。这些工具可以很容易在Internet上得到。黑客可以利用这些工具发现漏洞而破译―个或多个DomainAdministrator帐户的口令,并且对NT域中所有主机进行破坏活动。
1.2 路由和交换设备的安全隐患
路由器是企业网络的核心部件,它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备的目的。
1.3 数据库系统的安全隐患
一般的现代化企业信息系统包含着多套数据库系统。数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发展而不断深化。如何保证和加强数据库系统的安全性和保密性对于企业的正常、安全运行至关重要。
我们将企业数据库系统分成两个部分:一部分是数据库,按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS),它为用户及应用程序提供数据访问,同时对数据库进行管理,维护等多种功能。
数据库系统的安全隐患有如下特点:涉及到信息在不同程度上的安全,即客体具有层次性和多项性;在DBMS中受到保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上,即客体逻辑结构与物理结构的分离;客体之间的信息相关性较大,应该考虑对特殊推理攻击的防范。
2 企业信息化网络安全策略的体系
网络安全策略为网络安全提供管理指导和支持。企业应该制定一套清晰的指导方针,并通过在组织内对网络安全策略的和保持来证明对网络安全的支持与承诺。
2.1 安全策略系列文档结构
(1)最高方针
最高方针,属于纲领性的安全策略主文档,陈述本策略的目的、适用范围、网络安全的管理意图、支持目标以及指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。安全策略的其他部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。
(2)技术规范和标准
技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序应遵守的安全配置和管理技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。它向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
(3)管理制度和规定
管理制度和规定包括各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,必须具有可操作性,而且必须得到有效推行和实施。它向上遵照最高方针,向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。
(4)组织机构和人员职责
安全管理组织机构和人员的安全职责,包括安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工工作时的具体职责依照,此部分必须具有可操作性,而目必须得到有效推行和实施。
(5)用户协议
用户签署的文档和协议,包括安全管理人员、网络和系统管理员安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中遵守安全规定的承诺,也作为违背安全时处罚的依据。
2.2 策略体系的建立
目前的企业普遍缺乏完整的安全策略体系,没有将政府高层对于网络安全的重视体现在正式的、成文的、可操作的策略和规定上。企业应当建立策略体系,制定安全策略系列文档。建议按照上面所描述的策略文档结构,建立起安全策略文档体系。
建议策略编制原则为建立一个统一的、体系完整的企业安全策略体系,内容覆盖企业中的所有网络、部门、人员、地点和分支机构。鉴于企业中的各个机构业务情况和网络现状差别很大,因此在整体的策略框架和体系下,允许各个机构根据各自情况,对策略体系中的管理制度、操作流程、用户协议、组织和人员职责进行细化。但细化后的策略文档必须依照企业统一制定的策略文档中的规定,不允许发生违背和矛盾,其要求的安全程度只能持平或提高,不允许下降。
2.3 策略的有效和执行
安全策略系列文档制定后,必须和有效执行。和执行过程中除了要得到企业高层领导的大力支持和推动外,还必须要有合适的、可行的和推动手段,同时在和执行前对每个本员要进行与其相关部分的充分培训,保证每个人员都了解与其相关部分的内容。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到企业许多部门和绝大多数人,可能需要改变工作方式和流程,所以推行起 来阻力会相当大;同时安全策略本身存在的缺陷,包括不切实际的、太过复杂和繁琐的、规定有缺欠的情况等,都会导致整体策略难以落实。
3 企业信息化网络安全技术总体解决方案
参考以上所论述的,结合现有网络安全核心技术,本文认为,企业信息化网络总体的安全技术解决方案将围绕着企业信息化网络的物理层、网络层、系统层、应用层和安全服务层搭建整体的解决方案,企业信息化网络建设将着重从边界防护、系统加固、认证授权、数据加密、集中管理五个方面进行,在企业信息化网络中重点部署防火墙、入侵检测、漏洞扫描、网络防病毒、VPN五大子系统,并通过统一的平台进行集中管理,从而实现企业信息化网络安全既定的目标。
3.1 防火墙系统的引入
通过防火墙系统的引入,利用防火墙“边界隔离+访问控制”的功能,实现对进出企业网的访问控制,特别是针对内网服务器资源的访问,进行重点监控,可以提高企业网的网络层面安全。防火墙子系统能够与入侵检测子系统进行联动,当入侵检测系统对网络中的数据包进行细粒度检测,发现异常,并通知防火墙时,防火墙会自动生成安全策略,将访问源阻断在防火墙之外。
3.2 入侵检测子系统的引入
入侵检测系统用于实时检测针对重要网络资源的网络攻击行为,它会对企业网内异常的访问及数据包发出报警,以便企业的网络管理人员及时采取有效的措施,防范重要的信息资产遭到破坏。同时,可在入侵检测探测器与防火墙之间建立互动响应体系,当探测器检测到攻击行为时,向防火墙发出指令,防火墙根据入侵检测系统上报的信息,自动生成动态规则,对发出异常访问及数据包的源地址给予阻断。入侵检测和防火墙相互配合,能够共同提高企业网整体网络层面的安全性,两个系统共同构成了企业网的边界防护体系。
3.3 网络防病毒子系统的引入
防病毒子系统用于实时查杀各种网络病毒,可防范企业网遭到病毒的侵害。企业应在内部部署网关级、服务器级、邮件级,以及个人主机级的病毒防护。从整体上提高系统的容灾能力,提升企业网整体网络层面的安全性。
3.4 漏洞扫描子系统的引入
漏洞扫描子系统能定期分析网络系统存在的安全隐患,把隐患消灭在萌牙状态。针对企业网络中存在众多类型的操作系统、数据库系统,运行着营销系统、财务系统、客户信息系统、人力资源系统等重要的应用,如何确保各类应用系统的稳定和众多信息资产的安全,是企业信息化网络中需要重点关注的问题。通过漏洞扫描子系统对操作系统、数据库、网络设备的扫描,定期提交漏洞及弱点报告,可大大提高企业网整体系统层面的安全性。该系统与病毒防范系统一起构成了企业网的系统加固平台。
3.5 数据加密子系统的引入
通过对企业网重要数据的加密,确保数据在网络中以密文的方式被传递,可以有效防范攻击者通过侦听网络上传输的数据,窃取企业的重要数据,或以此为基础实施进一步的攻击,从而提高了企业网整体应用层面的安全性。
网络安全建设计划范文第3篇
事件发生以来,业界反应极为迅速,一批网络安全企业和科研单位通过官方网站和社交媒体等多种渠道,不断更新威胁动态,共享技术情报,及时技术保护措施和应对方案;政府部门和专业机构也及时公告和处置指南,增进了社会公众的关注度,加强了对基本防护信息的认知,降低了本次事件的影响程度。由于各方应对及时,“永恒之蓝”勒索蠕虫爆发在5月13日达到高峰后,感染率快速下降,周一上班并未出现更大规模的爆发,总体传播感染趋势得到快速控制。事件过后,对网络安全行业敲响了警钟,也有必要对这次事件进行经验总结,现将对勒索蠕虫病毒事件的一些思考分享出来。
“永恒之蓝”事件回溯
2017年4月期间,微软以及国内的主要安全公司都已经提示客户升级微软的相关补丁修复“永恒之蓝”漏洞,部分IPS技术提供厂商也提供了IPS规则阻止利用“永恒之蓝“的网络行为;(预警提示)
2017年5月12日下午,病毒爆发;(开始)
2017年5月12日爆发后几个小时,大部分网络安全厂商包括360企业安全、安天、亚信安全、深信服等均发出防护通告,提醒用户关闭445等敏感端口;(围堵)
2017年5月13日,微软总部决定公开已停服的XP特别安全补丁;国内瑞星、360企业安全、腾讯、深信服、蓝盾等均推出病毒免疫工具,用于防御永恒之蓝病毒;(补漏)
2017年5月13日晚,来自英国的网络安全工程师分析了其行为,注册了MalwareTech域名,使勒索蠕虫攻击暂缓了攻击的脚步;(分析)
2017年5月15日,厂商陆续“文件恢复”工具,工作机制本质上是采用“删除文件”恢复原理/机制,即恢复“非粉碎性删除文件”;(删除文件恢复)
2017年5月20日,阿里云安全团队推出“从内存中提取私钥”的方法,试图解密加密文件;生效的前提是中毒后电脑没重启、中毒后运行时间不能过长(否则会造成粉碎性文件删除);(侥幸解密恢复)
2017年5月20日之后,亚信安全等网络安全公司推出基于该病毒行为分析的病毒防护工具,用于预防该病毒变种入侵;(未知变种预防)
2017年6月2日,国内网络安全企业找到了简单灵活的、可以解决类似网络攻击(勒索病毒)方法的防护方案,需要进一步软件开发。
事件处理显示我国网络安全能力提升
(一)网络安全产业有能力应对这次“永恒之蓝”勒索蠕虫事件
早在4月15日,NSA泄漏“永恒之蓝”利用工具,国内不少主力网络安全企业就针对勒索软件等新安全威胁进行了技术和产品的准备,例如深信服等部分企业就提取了“永恒之蓝”的防护规则,并部分升级产品,还有部分企业识别并提前向客户和社会了预警信息,例如,在这次事件爆发时,亚信安全等网络安全企业保证了客户的“零损失”。
事件发生后,国内网络安全企业积极行动,各主要网络安全企业都进行了紧急动员,全力应对WannaCry/Wcry等勒索病毒及其种的入侵,帮助受到侵害的客户尽快恢复数据和业务,尽量减少损失。同时,也积极更新未受到侵害客户的系统和安全策略,提高其防护能力。360企业安全集团、安天等公司及时病毒防范信息,并持续更新补丁工具。此次“永恒之蓝” 勒索蠕虫被迅速遏制,我国网络安全企业发挥了重要作用,帮助客户避免被病毒侵害而遭受损失,帮助受到感染的客户最大限度地减少损失。
(二)网络安全防护组织架构体系科学、组织协调得力
随着《中国人民共和国网络安全法》的颁布实施,我国已经初步建立了一个以网信部门负责统筹协调和监督管理,以工信、公安、保密等其他相关部门依法在各自职责范围内负责网络安全保护和监督管理工作的管理体系。既统筹协调、又各自分工,我国的网络安全管理体系在应对此次事件中发挥了重要作用。
依照相关法律规范,在有关部门指导下,众多网信企业与国家网络安全应急响应机构积极协同,快速开展威胁情报、技术方案、通道、宣传资源、客户服务等方面的协作,有效地遏制住了事态发展、减少了损失。
安全事件暴露出的问题
(一)网络安全意识不强,对安全威胁(漏洞)重视不够
4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一个攻击框架和多个Windows 漏洞利用工具。攻击者利用这些漏洞可以远程获取 Windows 系统权限并植入后门。
针对此次泄露的漏洞,微软提前了安全公告 MS17-010,修复了泄露的多个 SMB 远程命令执行漏洞。国内网络安全厂商也提前了针对此次漏洞的安全公告和安全预警。但是国内大部分行业及企事业单位并没有给予足够的重视,没有及时对系统打补丁,导致“永恒之蓝”大范围爆发后,遭受到“永恒之蓝”及其变种勒索软件的攻击,数据被挟持勒索,业务被中断。
在服务过程中发现,大量用户没有“数据备份”的习惯,这些用户遭受“永恒之蓝”攻击侵入后,损失很大。
(二)安全技术有待提高(安全攻防工具)
继2016年8月份黑客组织 Shadow Brokers 放出第一批 NSA“方程式小组”内部黑客工具后,2017年4月14日,Shadow Brokers 再次公布了一批新的 NSA 黑客工具,其中包含了一个攻击框架和多个Windows 漏洞利用工具。攻击者利用这些漏洞可以远程获取 Windows 系统权限并植入后门。
目前,我国在网络安全攻防工具方面的研发与欧美国家相比还存在较大差距,我国在网络安全漏洞分析、安全防护能力上需进一步加强。勒索蠕虫入侵一些行业和单位表明不少单位的安全运维水平较低。
实际上,防御这次勒索蠕虫攻击并不需要特别的网络安全新技术,各单位只需要踏踏实实地做好网络安全运维工作就可以基本避免受到侵害。具体而言,各单位切实落实好安全管理的基础性工作――漏洞闭环管理和防火墙或网络核心交换设备策略最小化就可以基本防御此次安全事件。
在漏洞管理中运用系统论的观点和方法,按照时间和工作顺序,通过引入过程反馈机制,实现整个管理链条的闭环衔接。也就是运用PDCA的管理模式,实现漏洞管理中,计划、实施、检查、改进各工作环节的衔接、叠加和演进。要尽力避免重发现、轻修复的情况出现。及时总结问题处置经验,进行能力和经验积累,不断优化安全管理制度体系,落实严格、明确的责任制度。需要从脆弱性管理的高度,对系统和软件补丁、配置缺陷、应用系统问题、业务逻辑缺陷等问题进行集中管理。通过这些规范、扎实的工作,切实地提升安全运维能力。
基础工作做到位,防护能力确保了,可以有效避免大量网络安全事件。
对提升网络安全防护能力的建议
(一)完善隔离网的纵深防御,内网没有免死金牌!
这次事件的爆发也反映出不少行业和单位的网络安全管理意识陈旧落后。部分决策者和运维管理人员盲目地认为网络隔离是解决安全问题最有效的方式,简单地认为只要采取了隔离方案就可以高枕无忧。一些单位在内网中没有设置有效的网络安全防护手段,一旦被入侵,内网可谓千疮百孔、一泻千里。部分单位的内网甚至还缺乏有效的集中化管理手段和工具,对于网络设备、网络拓扑、数据资产等不能够实现有效的统一管理,这给系统排查、业务恢复、应急响应都带来了很大的困难,也大幅度地增加了响应时间和响应成本。这次事件中一些使用网络隔离手段的行业损失惨重,这种情况需要高度警醒。
在4・19重要讲话中专门指出:“‘物理隔离’防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。”
一定要破除“物理隔离就安全”的迷信。随着IT新技术的不断涌现和信息化的深入发展,现实中的网络边界越来越模糊,业务应用场景越来越复杂,IT 系统越来越庞大,管理疏忽、技术漏洞、人为失误等都可能被利用,有多种途径和方法突破隔离网的边界阻隔。网络隔离不是万能的,不能一隔了之,隔离网依然需要完善其纵深防御体系。
在网络安全建设和运营中,一定要坚持实事求是的科学精神。在全社会,特别是在政府、重点行业的企事业单位各级领导应树立正确的网络安全观仍是当今重要的紧迫工作。
(二)强化协同协作,进一步发挥国家队的作用
面对日益复杂的网络空间安全威胁,需要建立体系化的主动防御能力,既有全网安全态势感知和分析能力,又有纵深的响应和对抗能力。动态防御、整体防御才能有效地应对未知的安全威胁。体系化能力建设的关键在于协同和协作,协同协作不仅仅是在网络安全厂商之间、网信企业之间、网络安全厂商与客户之间、网信企业与专业机构之间,国家的相关部门也要参与其中。国家的相关专业机构,如国家互联网应急中心(CNCERT)等应在其中承担重要角色。
在安全事件初期,各种信息比较繁杂,并可能存在不准确的信息。建议国家信息安全应急响应机构作为国家队的代表,在出现重大安全事件时,积极参与并给出一个更独立、权威的解决方案,必要时可以购买经过验证的第三方可靠解决方案,通过多种公众信息平台,免费提供给社会,以快速高效地应对大规模的网络攻击事件。
(三)进一步加强网络安全意识建设和管理体系建设
三分技术、七分管理、十二分落实。安全意识和责任制度是落的基本保障。
加强网络安全检查机制。加强对国家关键基础设施的安全检查,特别是可能导致大规模安全事件的高危安全漏洞的检查。定期开展网络安全巡检,把网络安全工作常态化。把安全保障工作的重心放在事前,强化网络安全运营的理念和作业体系,把网络安全保障融入到日常工作和管理之中。
采用科学的网络安全建设模型和工具,做好顶层设计,推进体系化和全生命周期的网络安全建设与运营。尽力避免事后打补丁式的网络安全建设模式,把动态发展、整体的网络安全观念落实到信息化规划、建设和运营之中。
安全建设不要仅考虑产品,同时要重视制度、流程和规范的建设,并要加强人的管理和培训。
加强网络安全意识教育宣传。通过互联网、微信、海报、报刊等各种形式的宣传,加强全民网络安全意识教育的普及与重视。在中小学普及网络安全基础知识和意识教育。借助“国家网络安全宣传周”等重大活动,发动社会资源进行全民宣传教育,让“网络安全为人民、网络安全靠人民”的思想深入人心。
(四)进一步加强整体能力建设
切实落实“4・19讲话”精神,加快构建关键信息基础设施安全保障体系,建立全天候全方位感知网络安全态势的国家能力与产业能力,增强网络安全防御能力和威慑能力。不仅要建立政府和企业网络安全信息共享机制,同时要积极推进企业之间的网络安全信息共享,探索产业组织在其中能够发挥的积极作用。
加强网络安全核心技术攻关。针对大型网络安全攻击,开发具有普适性的核心网络安全关键技术,例如可以有效防御各类数据破坏攻击(数据删除、数据加密、数据修改)的安全技术。
完善国家网络安全产业结构。按照国家网络安全战略方针、战略目标,加强网络某些安全产品(安全检测、数据防护等)的研发。
加强网络安全高端人才培养。加强网络安全高端人才培养,特别是网络安全管理、技术专家培养,尤其是网络安全事件分析、网络安全应急与防护,密码学等高级人才的培养。
加强网络安全攻防演练。演练优化安全协调机制,提高安全技能和安全应急响应效率。
(五)加强对网络安全犯罪行为的惩罚
网络安全建设计划范文第4篇
《美军2013财年信息技术与网络安全项目的预算需求》中阐述了国防部信息环境、联合信息环境、加固网络、数据中心的建设、购买设备、企业级服务与信息技术管理、网络安全、信息技术投资计划、人力建设、电磁频谱等十个方面的建设需求,其中的五个方面则是重中之重。
美国国防部2013财年的信息技术预算需求大约为370亿美元,比2012财年的预算略微减少。这些资金被投资到6000多个遍布全球的军事基地,支持3个部、40多个局以及战场上的独特需求与任务。下面详细介绍美军2013财年信息技术和网络安全建设的五大发展重点。
五大发展重点
从《美军2013财年信息技术与网络安全项目的预算需求》可以发现,美军2013财年信息技术和网络安全建设的重点放在联合信息环境、数据中心、企业化服务、网络安全和加固网络等五个方面。
联合信息环境
联合信息环境是一个单一、安全、可靠、高效和灵活的指挥、控制、通信和计算机计划,可被联合部队的任务合作伙伴在几乎所有军事行动、梯队和环境中广泛使用。美军2013财年联合信息环境建设的目标主要有两个:一是使国防部更有效、更安全、更好地弥补弱点,更好地应对网络威胁;二是简化、集成信息系统,实现信息系统的标准化、自动化,减少国防部信息技术基础设施的相关费用。
国防部的信息主管正在指挥着联合信息环境相关计划的实施,也同联合参谋部、各军种及国防部其他部门互相合作,以更快速地全面实现国防部信息技术现代化。国防部正在使用情报委员会的信息技术现代化手段来辅助联合信息环境计划。一个由来自国防部专家组成的小组正在构思实现途径,制定实现计划与项目时间表,并进行经费预算。在2013财年,美军强调项目必须集成网络安全,从操作系统的配置到系统进入控制,到全方位防御系统,到网络入侵探测与诊断。
美军将继续通过国防信息系统局的Forge.mil与RACE软件开发环境,以及通过与研发平台匹配的集成测试与安全评估能力,加速平台的研发、质量控制、网络安全评估。
数据中心
美军非常重视信息技术标准建设,目前国防部的信息主管在军种与国防信息局的配合下为数据中心建立设计的标准,坚持非保密网络、保密网络、物理隔绝网络、加密隔绝网络都执行同样标准。这种标准网络建设,再加之更多的信息服务,使国防部数据中心的数量相应减少。
美军2013财年重点将现有数据中心合并为三类数据中心:第一类为核心数据中心,用于国防部各部门都可以使用的信息服务与应用,以及用于国防部与工业部门、公众交互的对外服务与应用;第二类为地区性数据中心,主要用于满足终端用户的信息服务与应用需求;第三类为部署在战场前方的前方数据中心,此类数据中心很灵活,可以存放地区性与全局性的服务与信息,适合各种任务情况,速度更快,网络可靠性更好。
这些数据中心的服务器将普遍高度虚拟化,这样可以更灵活地加入新的信息服务,提供最大的使用效率。
企业化服务
目前,国防部的信息主管正在同五角大楼的高层领导一起合作,以确保对信息技术投资进行企业化管理,使一些信息中心灵活地交付信息能力与解决方案。
此外,在实施企业化方案的过程中,美军也在不断解决有时出现的框架结构等方面的问题。例如,国防信息主管办公室为国防部起草了“云计算”战略,并将与军事部门、国防信息系统局以及其他部门与生产厂家一起合作来实施该战略,以更好地优化未来的信息基础设施与应用。
网络安全
2013财年信息技术与网络安全项目预算中,大约34亿美元用于国防网络安全,与2012财年基本相当,主要用以消除信息、信息系统与网络已知的脆弱性,使国防部与国家更好地应对网络威胁。
美军2013财年制定了网络安全工作的五个重要目标:第一个目标是当面对强敌发起网络战的时候,国防部信息基础设施用户,包括国防部的合作伙伴,拥有可靠的关键信息与信息基础设施;第二个目标是确保与任务需要的任何伙伴之间实现快速、安全的信息共享,而且信息足够丰富,对于执行任务是有效的;第三个目标是保护美军重要、保密的信息;第四个目标是确保任务指挥官可以随时进入网络空间;第五个目标是确保国防部采用的技术具有灵活性。
重构国防部的网络是联合信息环境的核心支柱之一,以使国防部拥有一个统一的、满足不同安全需求的联合网络体系。目前,美军正在制定这种联合信息环境要素的工程技术细节与体系结构细节。这将提供更加统一的网络防御,并将使网络司令部可以通过计算机掌握全局,防止黑客入侵在网络中蔓延,提高联合作战的互操作性与相互依赖性。
加固网络
加固网络主要有以下内容。
可靠的兼容性评估解决方案美军在2012年购买了一种名为“可靠的兼容性评估解决方案”的商业工具,使用这种工具可以扫描计算机的漏洞,然后做出报告并进行修复。这种工具正在进行最终测试,将于2013年夏天部署,预计各部门将在未来18个月部署与应用。
基于主机的安全系统
目前,美军国防部在每一台与非保密网络、保密网络连接的电脑上安装“基于主机的安全系统”工具。这种工具可以发现并报告漏洞,防止某些类型的网络入侵,探测到其他入侵并作出反应,提高了国防部网络加固、态势感知、网络入侵探测、诊断与反应能力。2013财年申请的网络安全资金继续用于部署与保障新的“基于主机的安全系统”,以更好地加固计算机,提供持续自动监督计算机配置的能力,更好地改善国防部人员与设备身份管理能力。
公钥基础设施身份识别
美军网络加固工作的另一个关键部分是去除网络匿名。美军计划在国防部非保密网络中使用公钥基础设施身份识别,2012年美军完成向50万人公钥基础设施身份识别,2013年3月份美军将使用这些身份证。这不仅可以帮助美军改善信息使用责任制,也可以与政府各部门合作,使跨部门共享更加安全信息。
值得信任国防系统/供应链风险管理 美军认识到尽管先进的商业技术可以为国防部带来众多好处,但是也为国外恶意分子通过插入恶意程序来获取、改变数据,截取、阻止通信并危及供应链安全提供了机会。为了应对这些风险,国防部正在使值得信任国防系统/供应链风险管理制度化,同时国防部也正在与其他部门合作研究管理关键基础设施中防范供应链风险的方法。
国防工业基地网络安全与信息确保项目 由国防部信息主管监督的国防工业基地网络安全与信息确保项目是国防部另一个重要成果。该项目为政府一工业部门的合作伙伴关系提供网络安全方面的标准,也为网络安全提供一种系统方法,包括政府间保密威胁信息的共享、工业部门数据的共享、抢救与修复策略的共享、网络入侵损害评估。尽管不能彻底消除威胁,但是这一项目增强了每个国防工业基地参与者消除风险的能力,进一步保护了在国防工业基地保密网络上存储或传输信息的安全。
美军在项目进程中积累的经验
信息技术采办的标准化为美军节约大量经费
为了解决由于国防部“烟囱式”信息体系(“烟囱式”信息体系是指数据直接从各个数据源被直接抓取到目的地,中间不留任何缝隙)而产生的问题,美军重点改革国防部3个核心过程:提需求、预算与采办。
国防部信息主管办公室与主管军官的办公室紧密合作制定一种灵活、快捷的采办程序,美军通过企业化软件计划,10年期间总共节省了30亿美元。美军的信息体系战略与路线图强调了将购买硬件、软件与服务作为提高效率的主要手段。通过共享国防部中各个组织的购买协议,美军大大减少了中介的数量,进一步优化、理顺了信息技术采购过程。可以说,正是由于美军注重信息技术与设备从需求、预算到采办的全程合作与规范,才大大缩减了经费开支。
智能网络入侵监测系统将提高美军的网络防御能力
美军明确提出要通过“可靠的兼容性评估解决方案”、“基于主机的安全系统”等5项工作来提高其加固网络、态势感知、网络入侵探测、诊断与反应能力。美军计划未来几年逐步从“可靠的兼容性评估解决方案”与“基于主机的安全系统”来收集关于国防部每台计算机的配置信息,并使用这些信息自动生成可供各级指挥官使用的任务风险数值。指挥官可以使用这些信息与风险数值来修复漏洞,更好地了解到底哪些任务存在漏洞。这些智能入侵监测系统的应用将会大大缩短美军监测网络入侵的时间,提高美军应对网络入侵的反应效率。
联合信息环境将为美军提供一体化平台
网络安全建设计划范文第5篇
【关键词】通信运营企业客户信息安全安全域SOC
一、电信运营商客户信息安全现状
目前电信运营商对信息系统依赖性日益增强,而扫描探测、DDOS等攻击数量急剧上升,漏洞利用的速度缩小到了天。但是作为电信运营商,由于网络结构复杂,导致系统管理维护困难。一般会有网管网、计费网、办公网、互联网接口、新业务、地市公司等多张网,安全防护困难。
同时在运营商中也发生过一些客户信息泄密的案例,“3.15”晚会也曝光过一些。电信运营商的客户资料、充值卡、财务报表、发展计划等商业机密的实际价值远远超过了固定的有形资产。
因此电信运营商如何保证客户信息安全,成为了重要课题。
二、客户信息安全体系
客户信息生命周期包括了信息的产生、传输、存储、处理、销毁,因此我们在设计安全体系时,要按照“坚持积极防御、综合防范的方针”,将安全组织、策略和运作流程等管理手段和安全技术紧密结合。
下面参考信息安全保障体系框架IATF和BS7799,以项目中的实践来分别说明:
人是信息体系的主体,包括管理者、维护人员、使用者、第三方。电信运营商应该建立安全领导小组,专门的安全管理员、安全顾问、安全审计员。
制定信息安全责任矩阵,组织范围内的信息安全落实到人,尤其外包的安全,第三方必须签定保密协议。离职或调动时,必须清理信息系统账号,避免用户权限只有增加没有减少。
资产进行分类与控制,梳理客户信息相关的资产,标明重要性等级以及制定相应管理办法。如客户资料、充值卡等就是重要信息,必须重点防护。
制定完善的维护作业计划,对设备性能、安全状况进行监控,分清日、月、年不同层次的维护内容,包括电源、主机、中间件、数据库、应用、安全事件、备份、调优等。
定期进行安全评估和加固,减少系统风险,可以找专业的安全厂商进行渗透测试。设定各系统的安全基线,保证系统必须达到的最基本的安全配置要求。如果某台服务器上突然多了一个来历不明的进程,就有必要检查是否有安全风险。
业务过程中可以通过金库模式等加强业务过程中的安全管控,即关键业务需第二个人授权之后才能够操作,通过多人的相互监督进行制约,如批量查询客户资料、详单时。同时定期进行日志稽核,进行事后的控制。所有的业务操作有相应的工单、审批单、业务受理单,如果没有这样的工单,则可以认为操作是不合规的。
在信息系统生命周期过程中,要全面审查信息系统的设计、操作、使用和管理是否符合组织安全政策和标准。系统开发和建设过程中,就要明确系统的安全要求,确保安全机制被内建于信息系统内;控制应用系统的安全,防止应用系统中存在的后门、孤立网页造成用户数据的丢失、被修改或误用。上线前及早进行安全评估和扫描,提前发现漏洞。注意不要随便使用真实敏感数据,测试数据的清理、保护。
三、客户信息安全工程建设过程
客户信息安全建设过程中应注意业务可用与安全性平衡原则,采用统筹规划、分步实施的方法。
