導語：如何才能寫好一篇網(wǎng)絡安全防護體系建設，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

本文闡述了國內煙草企業(yè)面對的網(wǎng)絡信息安全的主要威脅，分析其網(wǎng)絡安全防護體系建設的應用現(xiàn)狀，指出其中存在的問題，之后，從科學設定防護目標原則、合理確定網(wǎng)絡安全區(qū)域、大力推行動態(tài)防護措施、構建專業(yè)防護人才隊伍、提升員工安全防護意識等方面，提出加強煙草企業(yè)網(wǎng)絡安全防護體系建設的策略，希望對相關工作有所幫助。

關鍵詞：

煙草企業(yè)；網(wǎng)絡安全防護；體系建設

隨著信息化的逐步發(fā)展，國內煙草企業(yè)也愈加重視利用網(wǎng)絡提高生產(chǎn)管理銷售水平，打造信息化時代下的現(xiàn)代煙草企業(yè)。但享受網(wǎng)絡帶來便捷的同時，也正遭受到諸如病毒、木馬等網(wǎng)絡威脅給企業(yè)信息安全方面帶來的影響。因此，越來越多的煙草企業(yè)對如何強化網(wǎng)絡安全防護體系建設給予了高度關注。

1威脅煙草企業(yè)網(wǎng)絡信息體系安全的因素

受各種因素影響，煙草企業(yè)網(wǎng)絡信息體系正遭受到各種各樣的威脅。

1.1人為因素

人為的無意失誤，如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。人為的惡意攻擊，這是計算機網(wǎng)絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一種是被動攻擊，他是在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取與破譯等行為獲得重要機密信息。

1.2軟硬件因素

網(wǎng)絡安全設備投資方面，行業(yè)在防火墻、網(wǎng)管設備、入侵檢測防御等網(wǎng)絡安全設備配置方面處于領先地位，但各類應用系統(tǒng)、數(shù)據(jù)庫、軟件存在漏洞和“后門”。網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的，如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡內部的事件，其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，一旦被破解，其造成的后果將不堪設想。另外，各種新型病毒發(fā)展迅速，超出防火墻屏蔽能力等，都使企業(yè)安全防護網(wǎng)絡遭受嚴重威脅。

1.3結構性因素

煙草企業(yè)現(xiàn)有的網(wǎng)絡安全防護體系結構，多數(shù)采用的是混合型結構，星形和總線型結構重疊并存，相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞和“后門”，黑客就可以利用病毒等入侵開展攻擊，或者，網(wǎng)絡使用者因系統(tǒng)過于復雜而導致錯誤操作，都可能造成網(wǎng)絡安全問題。

2煙草企業(yè)網(wǎng)絡安全防護體系建設現(xiàn)狀

煙草企業(yè)網(wǎng)絡安全防護體系建設，仍然存在著很多不容忽視的問題，亟待引起高度關注。

2.1業(yè)務應用集成整合不足

不少煙草企業(yè)防護系統(tǒng)在建設上過于單一化、條線化，影響了其縱向管控上的集成性和橫向供應鏈上的協(xié)同性，安全防護信息沒有實現(xiàn)跨部門、跨單位、跨層級上的交流，相互之間不健全的信息共享機制，滯后的信息資源服務決策，影響了信息化建設的整體效率。缺乏對網(wǎng)絡安全防護體系建設的頂層設計，致使信息化建設未能形成整體合力。

2.2信息化建設特征不夠明顯

網(wǎng)絡安全防護體系建設是現(xiàn)代煙草企業(yè)的重要標志，但如基礎平臺的集成性、基礎設施的集約化、標準規(guī)范體系化等方面的建設工作都較為滯后。主營煙草業(yè)務沒有同信息化建設高度契合，對影響企業(yè)發(fā)展的管理制度、業(yè)務需求、核心數(shù)據(jù)和工作流程等關鍵性指標，缺乏宏觀角度上的溝通協(xié)調，致使在信息化建設中，業(yè)務、管理、技術“三位一體”的要求并未落到實處，影響了網(wǎng)絡安全防護的效果。

2.3安全運維保障能力不足

缺乏對運維保障工作的正確認識，其尚未完全融入企業(yè)信息化建設的各個環(huán)節(jié)，加上企業(yè)信息化治理模式構建不成熟等原因，制約了企業(yè)安全綜合防范能力與運維保障體系建設的整體效能，導致在網(wǎng)絡威脅的防護上較為被動，未能做到主動化、智能化分析，導致遭受病毒、木馬、釣魚網(wǎng)站等反復侵襲。

3加強煙草企業(yè)網(wǎng)絡安全防護體系建設的策略

煙草企業(yè)應以實現(xiàn)一體化數(shù)字煙草作為建設目標，秉承科學頂層設計、合理統(tǒng)籌規(guī)劃、力爭整體推進的原則，始終堅持兩級主體、協(xié)同建設和項目帶動的模式，按照統(tǒng)一架構、安全同步、統(tǒng)一平臺的技術規(guī)范，才能持續(xù)推動產(chǎn)業(yè)發(fā)展同信息化建設和諧共生。

3.1遵循網(wǎng)絡防護基本原則

煙草企業(yè)在建設安全防護網(wǎng)絡時，應明白建設安全防護網(wǎng)絡的目標與原則，清楚網(wǎng)絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網(wǎng)絡進行合理劃分，不同區(qū)域的防御體系應具有針對性，相互之間邏輯清楚、調用清晰，從而使網(wǎng)絡邊界更為明確，相互之間更為信任。要對已出現(xiàn)的安全問題進行認真分析，并歸類統(tǒng)計，大的問題盡量拆解細分，類似的問題歸類統(tǒng)一，從而將復雜問題具體化，降低網(wǎng)絡防護工作的難度。對企業(yè)內部網(wǎng)絡來說，應以功能為界限來劃分，以劃分區(qū)域為安全防護區(qū)域。同時，要不斷地完善安全防護體系建設標準，打破不同企業(yè)之間網(wǎng)絡安全防護體系的壁壘，實現(xiàn)信息資源更大程度上的互聯(lián)互通，從而有效地提升自身對網(wǎng)絡威脅的抵御力。

3.2合理確定網(wǎng)絡安全區(qū)域

煙草企業(yè)在使用網(wǎng)絡過程中，不同的區(qū)域所擔負的角色是不同的。為此，內部網(wǎng)絡，在設計之初，應以安全防護體系、業(yè)務操作標準、網(wǎng)絡使用行為等為標準對區(qū)域進行劃分。同時，對生產(chǎn)、監(jiān)管、流通、銷售等各個環(huán)節(jié)，要根據(jù)其業(yè)務特點強化對應的網(wǎng)絡使用管理制度，既能實現(xiàn)網(wǎng)絡安全更好防護，也能幫助企業(yè)實現(xiàn)更為科學的管控與人性化的操作。在對煙草企業(yè)網(wǎng)絡安全區(qū)域進行劃分時，不能以偏概全、一蹴而就，應本著實事求是的態(tài)度，根據(jù)企業(yè)實際情況，以現(xiàn)有的網(wǎng)絡安全防護為基礎，有針對性地進行合理的劃分，才能取得更好的防護效果。

3.3大力推行動態(tài)防護措施

根據(jù)網(wǎng)絡入侵事件可知，較為突出的問題有病毒更新?lián)Q代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此，煙草企業(yè)在構建網(wǎng)絡安全防護體系時，應根據(jù)不同的威脅形式確定相應的防護技術，且系統(tǒng)要能夠隨時升級換代，從而提升總體防護力。同時，要定期對煙草企業(yè)所遭受的網(wǎng)絡威脅進行分析，確定系統(tǒng)存在哪些漏洞、留有什么隱患，實現(xiàn)入侵實時監(jiān)測和系統(tǒng)動態(tài)防護。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡應急機制，在系統(tǒng)遭受重大網(wǎng)絡威脅而癱瘓時，確保在最短的時間內恢復系統(tǒng)的基本功能，為后期確定問題原因與及時恢復系統(tǒng)留下時間，并且確保企業(yè)業(yè)務的開展不被中斷，不會為企業(yè)帶來很大的經(jīng)濟損失。另外，還應大力提倡煙草企業(yè)同專業(yè)信息防護企業(yè)合作，構建病毒防護戰(zhàn)略聯(lián)盟，為更好地實現(xiàn)煙草企業(yè)網(wǎng)絡防護效果提供堅實的技術支撐。

3.4構建專業(yè)防護人才隊伍

人才是網(wǎng)絡安全防護體系的首要資源，缺少專業(yè)性人才的支撐，再好的信息安全防護體系也形同虛設。煙草企業(yè)網(wǎng)絡安全防護的工作專業(yè)性很強，既要熟知信息安全防護技術，也要對煙草企業(yè)生產(chǎn)全過程了然于胸，并熟知國家政策法規(guī)等制度。因此，煙草企業(yè)要大力構建專業(yè)的網(wǎng)絡信息安全防護人才隊伍，要采取定期選送、校企聯(lián)訓、崗位培訓等方式，充分挖掘內部人力資源，提升企業(yè)現(xiàn)有信息安全防護人員的能力素質，也要積極同病毒防護企業(yè)、專業(yè)院校和科研院所合作，引進高素質專業(yè)技術人才，從而為企業(yè)更好地實現(xiàn)信息安全防護效果打下堅實的人才基礎。

3.5提升員工安全防護意識

技術防護手段效果再好，員工信息安全防護意識不佳，系統(tǒng)也不能取得好的效果。煙草企業(yè)要設立專門的信息管理培訓中心，統(tǒng)一對企業(yè)網(wǎng)絡安全防護系統(tǒng)進行管理培訓，各部門、各環(huán)節(jié)也要設立相應崗位，負責本崗位的網(wǎng)絡使用情況。賬號使用、信息、權限確定等，都要置于信息管理培訓中心的制約監(jiān)督下，都要在網(wǎng)絡使用制度的規(guī)則框架中，杜絕違規(guī)使用網(wǎng)絡、肆意泄露信息等現(xiàn)象的發(fā)生。對全體員工開展網(wǎng)絡安全教育，提升其網(wǎng)絡安全防護意識，使其認識到安全防護體系的重要性，從而使每個人都能依法依規(guī)地使用信息網(wǎng)絡。

4結語

煙草企業(yè)管理者必須清醒認識到，利用信息網(wǎng)絡加快企業(yè)升級換代、建設一流現(xiàn)代化煙草企業(yè)是行業(yè)所向、大勢所趨，絕不能因為網(wǎng)絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網(wǎng)絡安全帶來的挑戰(zhàn)，以實事求是的態(tài)度，大力依托信息網(wǎng)絡安全技術，構建更為安全的防護體系，為企業(yè)做大做強奠定堅實的基礎。

參考文獻：

［1］楊波.基于安全域的煙草工業(yè)公司網(wǎng)絡安全防護體系研究［J］.計算機與信息技術,2012(5).

［2］賴如勤,郭翔飛,于閩.地市煙草信息安全防護模型的構建與應用［J］.中國煙草學報,2016(4).

篇2

工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系是工業(yè)行業(yè)現(xiàn)代化建設體系中的重要組成部分，對保證工業(yè)安全、穩(wěn)定、可持續(xù)競爭發(fā)展具有重要意義?；诖耍恼聫墓I(yè)控制系統(tǒng)相關概述出發(fā)，對工業(yè)控制系統(tǒng)存在的網(wǎng)絡安全問題，以及當今工業(yè)控制系網(wǎng)絡安全防護體系設計的優(yōu)化進行了分析與闡述，以供參考。

關鍵詞：

工業(yè)控制系統(tǒng)；網(wǎng)絡安全；防護體系

0引言

工業(yè)控制系統(tǒng)是我國工業(yè)領域建設中的重要組成部分，在我國現(xiàn)代化工業(yè)生產(chǎn)與管理中占有重要地位。隨著近年來我國工業(yè)信息化、自動化、智能化的創(chuàng)新與發(fā)展，工業(yè)控制系統(tǒng)呈現(xiàn)出網(wǎng)絡化、智能化、數(shù)字化發(fā)展趨勢，并在我國工業(yè)領域各行業(yè)控制機制中，如能源開發(fā)、水文建設、機械制作生產(chǎn)、工業(yè)產(chǎn)品運輸?shù)鹊玫搅藦V泛應用。因此，在網(wǎng)絡安全隱患頻發(fā)的背景下，對工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系的研究與分析具有重要現(xiàn)實意義，已成為當今社會關注的重點內容之一。

1工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)（IndustrialControlSystem，ICS）是由一定的計算機設備與各種自動化控制組件、工業(yè)信息數(shù)據(jù)采集、生產(chǎn)與監(jiān)管過程控制部件共同構成且廣泛應用與工業(yè)生產(chǎn)與管理建設中的一種控制系統(tǒng)總稱[1]。工業(yè)控制系統(tǒng)體系在通常情況下，大致可分為五個部分，分別為“工業(yè)基礎設施控制系統(tǒng)部分”、“可編程邏輯控制器/遠程控制終端系統(tǒng)部分（PLC/RTU）”、“分布式控制系統(tǒng)部分（DCS）”、“數(shù)據(jù)采集與監(jiān)管系統(tǒng)部分（SCADA）”以及“企業(yè)整體信息控制系統(tǒng)（EIS）”[2]。近年來，在互聯(lián)網(wǎng)技術、計算機技術、電子通信技術以及控制技術，不斷創(chuàng)新與廣泛應用的推動下，工業(yè)控制系統(tǒng)已經(jīng)實現(xiàn)了由傳統(tǒng)機械操作控制到網(wǎng)絡化控制模式的發(fā)展，工業(yè)控制系統(tǒng)的結構核心由最初的“計算機集約控制系統(tǒng)（CCS）”轉換為“分散式控制系統(tǒng)（DCS）”，并逐漸趨向于“生產(chǎn)現(xiàn)場一體化控制系統(tǒng)（FCS）”的創(chuàng)新與改革發(fā)展。目前，隨著我國工業(yè)領域的高速發(fā)展，工業(yè)控制系統(tǒng)已經(jīng)被廣泛應用到水利建設行業(yè)、鋼鐵行業(yè)、石油化工行業(yè)、交通建設行業(yè)、城市電氣工程建設行業(yè)、環(huán)境保護等眾多領域與行業(yè)中，其安全性、穩(wěn)定性、優(yōu)化性運行對我國經(jīng)濟發(fā)展與社會穩(wěn)定具有重要影響作用。

2工業(yè)控制系統(tǒng)存在的網(wǎng)絡安全威脅

2.1工業(yè)控制系統(tǒng)本身存在的問題

由于工業(yè)控制系統(tǒng)是一項綜合性、技術復雜性的控制體系，且應用領域相對較廣。因此，在設計與應用過程中對工作人員具有較高的要求，從而導致系統(tǒng)本身在設計或操作中容易出現(xiàn)安全隱患。

2.2外界網(wǎng)絡風險滲透問題

目前，工業(yè)控制系統(tǒng)網(wǎng)絡化設計與應用，已成為時展的必然趨勢，在各領域中應用工業(yè)控制系統(tǒng)時，對于數(shù)據(jù)信息的采集、分析與管理，需要工業(yè)控制系統(tǒng)與公共網(wǎng)絡系統(tǒng)進行一定的鏈接或遠程操控。在這一過程中，工業(yè)控制系統(tǒng)的部分結構暴露在公共網(wǎng)絡環(huán)境中，而目前公共網(wǎng)絡環(huán)境仍存在一定的網(wǎng)絡信息安全問題，這在一定程度上將會導致工業(yè)控制系統(tǒng)受到來自網(wǎng)絡病毒、網(wǎng)絡黑客以及人為惡意干擾等因素的影響，從而出現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡安全問題。例如，“百度百科”網(wǎng)站，通過利用SHODAN引擎進行OpenDirectory搜索時，將會獲得八千多個處于公共網(wǎng)絡環(huán)境下與“工業(yè)控制系統(tǒng)”相關的信息，一旦出現(xiàn)黑客或人為惡意攻擊，將為網(wǎng)站管理系統(tǒng)帶來嚴重的影響[3]。

2.3OPC接口開放性以及協(xié)議漏洞存在的問題

由于工業(yè)控制系統(tǒng)中，其網(wǎng)絡框架多是基于“以太網(wǎng)”進行構建的，因此，在既定環(huán)境下，工業(yè)過程控制標準OPC（Ob-jectLinkingandEmbeddingforProcessControl）具有較強的開放性[4]。當對工業(yè)控制系統(tǒng)進行操作時，基于OPC的數(shù)據(jù)采集與傳輸接口有效網(wǎng)絡信息保護舉措的缺失，加之OPC協(xié)議、TCP/IP協(xié)議以及其他專屬代碼中存在一定的漏洞，且其漏洞易受外界不確定性風險因素的攻擊與干擾，從而形成工業(yè)控制系統(tǒng)網(wǎng)絡風險。

2.4工業(yè)控制系統(tǒng)脆弱性問題

目前，我國多數(shù)工業(yè)控制系統(tǒng)內部存在一定的問題，致使工業(yè)控制系統(tǒng)具有“脆弱性”特征，例如，網(wǎng)絡配置問題、網(wǎng)絡設備硬件問題、網(wǎng)絡通信問題、無線連接問題、網(wǎng)絡邊界問題、網(wǎng)絡監(jiān)管問題等等[5]。這些問題，在一定程度上為網(wǎng)絡信息風險因素的發(fā)生提供了可行性，從而形成工業(yè)控制系統(tǒng)網(wǎng)絡安全問題。

3加強工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系的建議

工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系的構建，不僅需要加強相關技術的研發(fā)與利用，同時也需要相關部門（如，設備生產(chǎn)廠家、政府結構、用戶等）基于自身實際情況與優(yōu)勢加以輔助，從而實現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系多元化、全方位的構建。

3.1強化工業(yè)控制系統(tǒng)用戶使用安全防護能力

首先，構建科學且完善的網(wǎng)絡防護安全策略：安全策略作為工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系設計與執(zhí)行的重要前提條件，對保證工業(yè)控制系統(tǒng)的網(wǎng)絡安全性具有重要指導作用。對此，相關工作人員應在結合當今工業(yè)控制系統(tǒng)存在的“脆弱性”問題，在依據(jù)傳統(tǒng)網(wǎng)絡安全系統(tǒng)構建策略優(yōu)勢的基礎上，有針對性的制定一系列網(wǎng)絡防護安全策略，用以保證工業(yè)控制系統(tǒng)安全設計、操作、管理、養(yǎng)護維修規(guī)范化、系統(tǒng)化、全面化、標準化施行。例如，基于傳統(tǒng)網(wǎng)絡安全策略——補丁管理，結合工業(yè)控制系統(tǒng)實際需求，對工業(yè)控制系統(tǒng)核心系統(tǒng)進行“補丁升級”，用以彌補工業(yè)控制系統(tǒng)在公共網(wǎng)絡環(huán)境下存在的各項漏洞危機[6]。在此過程中，設計人員以及相關工作者應通過“試驗測驗”的方式，為工業(yè)控制系統(tǒng)營造仿真應用環(huán)境，并在此試驗環(huán)境中對系統(tǒng)進行反復測驗、審核、評價，并對系統(tǒng)核心配置、代碼進行備份處理，在保證補丁的全面化升級的同時，降低升級過程中存在的潛在風險。其次，注重工業(yè)控制系統(tǒng)網(wǎng)絡隔離防護體系的構建：網(wǎng)絡隔離防護的構建與執(zhí)行，對降低工業(yè)控制系統(tǒng)外界風險具有重要意義。對此，相關設計與工作人員應在明確認知與掌握工業(yè)控制系統(tǒng)網(wǎng)絡安全防護目標的基礎上，制定相應的網(wǎng)絡隔離防護方案，并給予有效應用。通常情況下，工業(yè)控制系統(tǒng)設計人員應依據(jù)不同領域中工業(yè)控制系統(tǒng)類型與應用需求，對系統(tǒng)所需設備進行整理，并依據(jù)整理內容進行具體測評與調試，用以保證各結構設備作用與性能的有效發(fā)揮，避免出現(xiàn)設備之間搭配與連接不和諧等問題的產(chǎn)生；根據(jù)工業(yè)控制系統(tǒng)功能關鍵點對隔離防護區(qū)域進行分類與規(guī)劃（包括工業(yè)控制系統(tǒng)內網(wǎng)區(qū)域、工業(yè)控制系統(tǒng)外部區(qū)域、工業(yè)控制系統(tǒng)生產(chǎn)操作區(qū)域、工業(yè)控制系統(tǒng)安全隔離區(qū)域等），并針對不同區(qū)域情況與待保護程度要求，采用相應的舉措進行改善，實現(xiàn)不同風險的不同控制[7]。與此同時，構建合理、有效的物理層防護體系：實踐證明，物理層防護體系的構建（物理保護），對工業(yè)控制系統(tǒng)網(wǎng)絡安全防護具有至關重要的作用，是工業(yè)控制系統(tǒng)實現(xiàn)網(wǎng)絡安全管理與建設的重要基礎項目，也是核心項目，對工業(yè)控制和系統(tǒng)網(wǎng)絡防護體系整體效果的優(yōu)化，具有決定性作用。因此，在進行工業(yè)控制防護系統(tǒng)網(wǎng)絡安全防護體系優(yōu)化設計時，設計人員以及相關企業(yè)應注重對工業(yè)控制系統(tǒng)物理層的完善與優(yōu)化。例如，通過配置企業(yè)門禁體系，用以避免外來人員對工業(yè)現(xiàn)場的侵害；依據(jù)企業(yè)特色，配設相應的生產(chǎn)應急設備，如備用發(fā)電機、備用操作工具、備用電線、備用油庫等，用以避免突發(fā)現(xiàn)象導致設計或生產(chǎn)出現(xiàn)問題；通過配置一定的監(jiān)測管理方案或設施，對系統(tǒng)進行一體化監(jiān)管，用以及時發(fā)現(xiàn)問題（包括自然風險因素、設備生產(chǎn)安全風險因素等）并解決問題，保證工業(yè)控制系統(tǒng)運行的優(yōu)化性。此外，加強互聯(lián)網(wǎng)滲透與分析防治：設計工作人員為避免工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)滲透安全威脅問題，可通過換位思考的形式，對已經(jīng)設計的工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系進行測評，并從對方的角度進行思考，制定防護對策，用以提升工業(yè)控制系統(tǒng)網(wǎng)絡安全性。

3.2強化工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)網(wǎng)絡安全防護能力

工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)，作為工業(yè)控制系統(tǒng)的研發(fā)者與生產(chǎn)者，應提升自身對工業(yè)控制系統(tǒng)網(wǎng)絡安全設計的重視程度，從而在生產(chǎn)過程中保證工業(yè)控制系統(tǒng)的質量。與此同時，系統(tǒng)生產(chǎn)企業(yè)在引進先進設計技術與經(jīng)驗的基礎上，強化自身綜合能力與開發(fā)水平，保證工業(yè)控制系統(tǒng)緊跟時展需求，推動工業(yè)控制系統(tǒng)不斷創(chuàng)新，從根源上降低工業(yè)控制系統(tǒng)自身存在安全風險。

3.3加大政府扶持與監(jiān)管力度

由上述分析可知，工業(yè)控制系統(tǒng)在我國各領域各行業(yè)中具有廣泛的應用，并占據(jù)著重要的地位，其安全性、穩(wěn)定性、創(chuàng)新性、優(yōu)化性對我國市場經(jīng)濟發(fā)展與社會的穩(wěn)定具有直接影響作用。由此可見，工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系的構建，不僅是各企業(yè)內部組織結構體系創(chuàng)新建設問題，政府以及社會等外部體系的構建同樣具有重要意義。對此，政府以及其他第三方結構應注重自身社會責任的執(zhí)行，加強對工業(yè)控制系統(tǒng)安全防護體系環(huán)境的管理與監(jiān)督，促進工業(yè)控制系統(tǒng)安全防護外部體系的構建。例如，通過制定相應的網(wǎng)絡安全運行規(guī)范與行為懲罰措施，用以避免互聯(lián)網(wǎng)惡意破壞行為的發(fā)生；通過制定行業(yè)網(wǎng)絡安全防護機制與準則，嚴格控制工業(yè)控制系統(tǒng)等基礎設施的網(wǎng)絡安全性，加大自身維權效益。

4結論

綜上所述，本文針對“工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系”課題研究的基礎上，分析了工業(yè)控制系統(tǒng)以及當今工業(yè)控制系統(tǒng)存在的網(wǎng)絡安全問題，并在工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系設計的基礎上，提供了加強工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系設計的優(yōu)化對策，以期對工業(yè)控制系統(tǒng)網(wǎng)絡安全具有更明確的認知與理解，從而促進我國工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系建設的優(yōu)化發(fā)展。

參考文獻：

[1]王棟,陳傳鵬,顏佳,郭靚,來風剛.新一代電力信息網(wǎng)絡安全架構的思考[J].電力系統(tǒng)自動化,2016(2):6-11.

[2]薛訓明,楊波,汪飛,郭磊,唐皓辰.煙草行業(yè)制絲生產(chǎn)線工業(yè)控制系統(tǒng)安全防護體系設計[J].科技展望,2016(14):264-265.

[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關鍵基礎設施工業(yè)控制系統(tǒng)安全保障探索[J].網(wǎng)絡安全技術與應用,2016(5):81-86.

[4]羅常.工業(yè)控制系統(tǒng)信息安全防護體系在電力系統(tǒng)中的應用研究[J].機電工程技術,2016(12):97-100.

[5]劉秋紅.關于構建信息安全防護體系的思考——基于現(xiàn)代計算機網(wǎng)絡系統(tǒng)[J].技術與市場,2013(6):314.

[6]孟雁.工業(yè)控制系統(tǒng)安全隱患分析及對策研究[J].保密科學技術,2013(4):16-21.

篇3

【 關鍵詞 】 云計算；云安全；等級保護；虛擬化安全

1 引言

自2006年云計算的概念產(chǎn)生以來，各類與云計算相關的服務紛紛涌現(xiàn)，隨之而來的就是人們對云安全問題的關注。目前各個運營商、服務提供商以及安全廠商所提的云安全解決方案，大都根據(jù)自己企業(yè)對云平臺安全的理解，結合本企業(yè)專長，專注于某一方面的安全。然而，對于用戶來說云平臺是一個整體，需要構建云平臺的整體安全防護體系。

因此，針對云計算中心的安全需求建立信息安全防護體系已經(jīng)是大勢所趨，云安全防護體系的建立，必將使云計算得以更加健康、有序的發(fā)展。

2 云計算的安全問題解析

云計算模式當前已得到業(yè)界普遍認同，成為信息技術領域新的發(fā)展方向。但是，隨著云計算的大量應用，云環(huán)境的安全問題也日益突出。我們如果不能很好地解決相關的安全管理問題，云計算就會成為過眼“浮云”。在眾多對云計算的討論中，SafeNet的調查非常具有代表性：“對于云計算面臨的安全問題，88.5%的企業(yè)對云計算安全擔憂”。各種調研數(shù)據(jù)也表明：安全性是用戶選擇云計算的首要考慮因素。近年來，云安全的概念也有多種層面的解讀，本文所指云安全是聚焦于云計算中心的安全問題及其安全防護體系。

2.1 云安全與傳統(tǒng)安全技術的關系

云計算引入了虛擬化技術，改變了服務方式，但并沒有顛覆傳統(tǒng)的安全模式。從這張對比視圖中，如圖1所示，可以看出，安全的層次劃分是大體類似，在云計算環(huán)境下，由于虛擬化技術的引入，需要納入虛擬化安全的防護措施。而在基礎層面上，仍然可依靠成熟的傳統(tǒng)安全技術來提供安全防護。

如圖1所示，云計算安全和傳統(tǒng)安全在安全目標、系統(tǒng)資源類型、基礎安全技術方面是相同的，而云計算又有其特有的安全問題，主要包括虛擬化安全問題和與云計算分租服務模式相關的一些安全問題。大體上，我們可以把云安全看做傳統(tǒng)安全的一個超集，或者換句話說，云安全是傳統(tǒng)安全在云計算環(huán)境下的繼承和發(fā)展。

綜合前面的討論，可以推導出一個基本的認識，云計算的模式是革命性的：虛擬化安全、數(shù)據(jù)安全和隱私保護是云安全的重點和難點，云安全將基于傳統(tǒng)安全技術獲得發(fā)展。

2.2 云計算的安全需求與防護技術

解決安全問題的出發(fā)點是風險分析，CSA云安全聯(lián)盟提出了所謂“七重罪”的云安全重點風險域。

Threat 1： Abuse and Nefarious Use of Cloud Computing（云計算的濫用、惡用、拒絕服務攻擊）；

Threat 2： Insecure Interfaces and APIs（不安全的接口和API）；

Threat 3： Malicious Insiders（惡意的內部員工）；

Threat 4： Shared Technology Issues（共享技術產(chǎn)生的問題）；

Threat 5： Data Loss or Leakage（數(shù)據(jù)泄漏）；

Threat 6： Account or Service Hijacking（賬號和服務劫持）；

Threat 7： Unknown Risk Profile（未知的風險場景）。

信息的機密性、完整性和可用性被公認為信息安全的三個重要的基本屬性，用戶在使用云計算服務時也會從這三個方面提出基本的信息安全需求。

機密性安全需求：要求上傳到云端的信息及其處理結果以及所要求的云計算服務具有排他性，只能被授權人訪問或使用，不會被非法泄露。

完整性安全需求：要求與云計算相關的數(shù)據(jù)或服務是完備、有效、真實的，不會被非法操縱、破壞、篡改、偽造，并且不可否認或抵賴。

可用性安全需求：要求網(wǎng)絡、數(shù)據(jù)和服務具有連續(xù)性、準時性，不會中斷或延遲，以確保云計算服務在任何需要的時候能夠為授權使用者正常使用。

根據(jù)云計算中心的安全需求，我們會相應得到一個安全防護技術的層次結構：底層是基礎設施安全，包括基礎平臺安全、虛擬化安全和安全管理；中間是數(shù)據(jù)安全，上層是安全服務層面，還包括安全接入相關的防護技術。

3 等級保護背景下的云安全體系

3.1 等級保護標準與云安全

自1994年國務院147號令開始，信息安全等級保護體系歷經(jīng)近20年的發(fā)展，從政策法規(guī)、國家標準、到測評管理都建立了完備的體系，自2010年以來，在公安部的領導下，信息安全等級保護落地實施開展得如火如荼，信息安全等級保護已經(jīng)成為我國信息化建設的重要安全指導方針。

圖3表明了等級保護標準體系放發(fā)展歷程。

盡管引入了虛擬化等新興技術，運營模式也從出租機房進化到出租虛擬資源，乃至出租服務。但從其本質上看，云計算中心仍然是一類信息系統(tǒng)，需要依照其重要性不同分等級進行保護。云計算中心的安全工作必須依照等級保護的要求來建設運維。此外，云安全還需要考慮虛擬化等新的技術和運營方式所帶來的安全問題。

因此，云計算中心防護體系應當是以等級保護為指導思想，從云計算中心的安全需求出發(fā)，從技術和管理兩個層面全方位保護云計算中心的信息安全；全生命周期保證云計算中心的安全建設符合等保要求；將安全理念貫穿云計算中心建設、整改、測評、運維全過程。建設目標是要滿足不同用戶不同等保級別的安全要求，做到等保成果的可視化，做到安全工作的持久化。

3.2 云計算中心的安全框架

一個云計算中心的安全防護體系的構建，應以等級保護為系統(tǒng)指導思想，能夠充分滿足云計算中心的安全需求為目標。根據(jù)前面的研究，我們提出一個云計算中心的安全框架，包括傳統(tǒng)安全技術、云安全技術和安全運維管理三個層面的安全防護。

云安全框架以云安全管理平臺為中心，綜合安全技術和管理運維兩個方面的手段確保系統(tǒng)的整體安全。在安全技術方面，除了傳統(tǒng)的物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、備份恢復等保障措施，還需要通過虛擬化安全防護技術和云安全服務來應對云計算的新特征所帶來的安全要求。

3.3 云安全防護體系架構

在實際的云安全防護體系建設中，首先要在網(wǎng)絡和主機等傳統(tǒng)的安全設備層面建立基礎信息系統(tǒng)安全防護系統(tǒng)?；A信息安全防護體系是以等級保護標準為指導進行構建，符合等級保護標準對相應安全級別的基本安全要求。

在此基礎上，通過SOC安全集中管理系統(tǒng)、虛擬安全組件、SMC安全運維管理系統(tǒng)和等保合規(guī)管理系統(tǒng)四個安全子系統(tǒng)共同組成云安全管理中心，如圖4所示。通過實體的安全技術和虛擬化安全防護技術的協(xié)同工作，為云計算中心提供從實體設備到虛擬化系統(tǒng)的全面深度安全防護，同時通過專業(yè)的SLC等保合規(guī)管理系統(tǒng)來確保云安全體系對于等級保護標準的合規(guī)性。

參考文獻

[1] 郝斐，王雷，荊繼武等.云存儲安全增強系統(tǒng)的設計與實現(xiàn)[J].信息網(wǎng)絡安全，2012，（03）：38-41.

[2] 季一木， 康家邦，潘俏羽等.一種云計算安全模型與架構設計研究[J].信息網(wǎng)絡安全，2012，（06）：6-8.

[3] 黎水林.基于安全域的政務外網(wǎng)安全防護體系研究[J].信息網(wǎng)絡安全，2012，（07）：3-5.

[4] 胡春輝.云計算安全風險與保護技術框架分析[J].信息網(wǎng)絡安全，2012，（07）：87-89.

[5] 王偉，高能，江麗娜.云計算安全需求分析研究[J].信息網(wǎng)絡安全，2012，（08）：75-78.

[6] 海然.云計算風險分析[J].信息網(wǎng)絡安全，2012，（08）：94-96.

[7] 孫志丹，鄒哲峰，劉鵬.基于云計算技術的信息安全試驗系統(tǒng)設計與實現(xiàn)[J].信息網(wǎng)絡安全，2012，（12）：50-52.

[8] 甘宏，潘丹.虛擬化系統(tǒng)安全的研究與分析[J].信息網(wǎng)絡安全，2012，（05）：43-45.

[9] 賽迪研究院.關于云計算安全的分析與建議[J].軟件與信息服務研究，2011，5（5）：3.

[10] 陳丹偉，黃秀麗，任勛益.云計算及安全分析[J].計算機技術與發(fā)展，2010，20（2）：99.102.

[11] 馮登國，孫悅，張陽.信息安全體系結構[M].清華大學出版社，2008：43-81.

[12] 張水平，李紀真.基于云計算的數(shù)據(jù)中心安全體系研究與實現(xiàn)[J].計算機工程與設計，2011，12（32）：3965.

[13] 質監(jiān)局，國標委.信息系統(tǒng)安全等級保護基本要求.GB/T 22239—2008：1～51.

[14] 王崇.以“等保”為核心的信息安全管理工作平臺設計[J].實踐探究，2009，1（5）：73.

[15] Devki Gaurav Pal， Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science （IJ-CLOSER） ，2012 ，l.1（2）：45～52.

[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http：///guidance/csaguide.v3.0.pdf，2011：30.

作者簡介：

白秀杰（1973-），男，碩士，系統(tǒng)分析師；研究方向：云安全技術。

李汝鑫（1983-），男，本科，項目管理師；研究方向：信息安全技術。

篇4

關鍵詞：網(wǎng)絡安全；防護機制；煙草公司；互聯(lián)網(wǎng)

隨著Internet技術的不斷發(fā)展和網(wǎng)絡應用技術的普及，網(wǎng)絡安全威脅頻繁地出現(xiàn)在互聯(lián)網(wǎng)中。近年來，網(wǎng)絡攻擊的目的逐漸轉變?yōu)楂@取不正當?shù)慕?jīng)濟利益。在此種情況下，加強網(wǎng)絡安全建設已成為各個企業(yè)的迫切需要。煙草公司的網(wǎng)絡安全防護機制和安全技術是確保其網(wǎng)絡信息安全的關鍵所在。只有加強防護體系建設和創(chuàng)新安全技術，才能在保證網(wǎng)絡安全的前提下，促進煙草公司的發(fā)展。

1縣級煙草公司網(wǎng)絡現(xiàn)面臨的威脅

目前，煙草公司計算機網(wǎng)絡面臨的威脅從主體上可分為對網(wǎng)絡信息的威脅、對網(wǎng)絡設備的威脅。

1.1人為無意的失誤

如果網(wǎng)絡的安全配置不合理，則可能會出現(xiàn)安全漏洞，加之用戶選擇口令時不謹慎，甚至將自己的賬號隨意轉借給他人或與他人共享，進而為網(wǎng)絡埋下了安全隱患。

1.2人為惡意的攻擊

人為惡意的攻擊可分為主動攻擊和被動攻擊，這兩種攻擊都會對煙草公司的計算機網(wǎng)絡造成較大的破壞，導致機密數(shù)據(jù)存在泄露的風險。比如，相關操作者未及時控制來自Internet的電子郵件中攜帶的病毒、Web瀏覽器可能存在的惡意Java控件等，進而對計算機網(wǎng)絡造成巨大的影響。

1.3網(wǎng)絡軟件的漏洞

對于網(wǎng)絡軟件而言，會存在一定的缺陷和漏洞，而這些缺陷和漏洞為黑客提供了可乘之機。

1.4自然災害和惡性事件

該種網(wǎng)絡威脅主要是指無法預測的自然災害和人為惡性事件。自然災害包括地震、洪水等，人為惡性事件包括惡意破壞、人為縱火等。雖然這些事件發(fā)生的概率較低，但一旦發(fā)生，則會造成異常嚴重的后果，必須嚴以防范。

2構建煙草公司信息網(wǎng)絡安全防護體系

要想形成一個完整的安全體系，并制訂有效的解決方案，就必須在基于用戶網(wǎng)絡體系結構、網(wǎng)絡分析的基礎上開展研究。對于安全體系的構建，除了要建立安全理論和研發(fā)安全技術外，還要將安全策略、安全管理等各項內容囊括其中。總體來看，構建安全體系是一項跨學科、綜合性的信息系統(tǒng)工程，應從設施、技術、管理、經(jīng)營、操作等方面整體把握。安全系統(tǒng)的整體框架如圖1所示。安全系統(tǒng)的整體框架可分為安全管理框架和安全技術框架。這兩個部分既相互獨立，又相互融合。安全管理框架包括安全策略、安全組織管理和安全運作管理三個層面；安全技術框架包括鑒別與認證、訪問控制、內容安全、冗余與恢復、審計響應五個層面。由此可見，根據(jù)煙草公司網(wǎng)絡信息安全系統(tǒng)提出的對安全服務的需求，可將整個網(wǎng)絡安全防護機制分為安全技術防護、安全管理和安全服務。

2.1安全技術防護機制

在此環(huán)節(jié)中，旨在將安全策略中的各個要素轉化成為可行的技術。對于內容層面而言，必須明確安全策略的保護方向、保護內容，如何實施保護、處理發(fā)生的問題等。在此情況下，一旦整體的安全策略形成，經(jīng)實踐檢驗后，便可大幅推廣，這有利于煙草公司整體安全水平的提高。此外，安全技術防護體系也可劃分為1個基礎平臺和4個子系統(tǒng)。在這個技術防護體系中，結合網(wǎng)絡管理等功能，可對安全事件等實現(xiàn)全程監(jiān)控，并與各項技術相結合，從而實現(xiàn)對網(wǎng)絡設備、信息安全的綜合管理，確保系統(tǒng)的持續(xù)可用性。

2.2安全管理機制

依據(jù)ISO/IEC17700信息安全管理標準思路及其相關內容，信息安全管理機制的內容包括制訂安全管理策略、制訂風險評估機制、建設日常安全管理制度等?；谠擁梼热萆婕暗墓芾?、技術等各個方面，需各方面資源的大力支持，通過技術工人與管理者的無隙合作，建立煙草公司內部的信息安全防范責任體系。2.3安全服務機制安全服務需結合人、管理、產(chǎn)品與技術等各方面，其首要內容是定期評估整個網(wǎng)絡的風險，了解網(wǎng)絡當前的安全狀況，并根據(jù)評估結果調整網(wǎng)絡安全策略，從而確保系統(tǒng)的正常運行。此外，還可通過專業(yè)培訓，進一步促進煙草公司員工安全意識的增強。

3煙草公司的網(wǎng)絡信息安全技術

3.1訪問控制技術

在煙草公司的網(wǎng)絡信息安全技術中，訪問控制技術是最重要的一項，其由主體、客體、訪問控制策略三個要素組成。煙草公司訪問用戶的種類多、數(shù)量大、常變化，進而增加了授權管理工作的負擔。因此，為了避免發(fā)生上述情況，直接將訪問權限授予了主體，從而便于管理。此外，還應革新并采用基于角色的訪問控制模型RBAC。

3.2數(shù)字簽名技術

在煙草公司，數(shù)字簽名技術的應用很普遍。數(shù)字簽名屬于一種實現(xiàn)認證、非否認的方法。在網(wǎng)絡虛擬環(huán)境中，數(shù)字簽名技術仍然是確認身份的關鍵技術之一，可完全代替親筆簽名，其無論是在法律上，還是技術上均有嚴格的保證。在煙草公司的網(wǎng)絡安全中應用數(shù)字簽名技術，可更快地獲得發(fā)送者公鑰。但在這一過程中需要注意，應對發(fā)送者私鑰嚴格保密。

3.3身份認證技術

身份認證是指在計算機與網(wǎng)絡系統(tǒng)這一虛擬數(shù)字環(huán)境中確認操作者身份的過程。在網(wǎng)絡系統(tǒng)中，用戶的所有信息是用一組特定的數(shù)據(jù)來表示的；而在現(xiàn)實生活中，每個人都有著獨一無二的物理身份。如何確保這兩種身份的對應性，已成為相關工作者遇到的難題。而采用身份認證技術可很好地解決該難題。該技術主要包括基于隨機口令的雙因素認證和基于RKI體制的數(shù)字證書認證技術等?；诳诹畹纳矸菡J證技術具有使用靈活、投入小等特點，在一些封閉的小型系統(tǒng)或安全性要求較低的系統(tǒng)中非常適用；基于PKI體制的數(shù)字證書認證技術可有效保證信息系統(tǒng)的真實性、完整性、機密性等。

4結束語

綜上所述，安全是煙草公司網(wǎng)絡賴以生存的重要前提，網(wǎng)絡安全的最終目標是確保在網(wǎng)絡中交換的數(shù)據(jù)信息不會被刪除、篡改、泄露甚至破壞，從而提高系統(tǒng)應用的可控性和保密性。因此，煙草公司必須具備一套行之有效的網(wǎng)絡安全防護機制，增強自身網(wǎng)絡的整體防御能力，研發(fā)網(wǎng)絡安全立體防護技術。只有建立完善的信息安全防范體系，才能使煙草公司內部的重要信息資源得到有效保護。

參考文獻

［1］張玨，田建學.網(wǎng)絡安全新技術［J］.電子設計工程，2011，19（12）.

篇5

【 關鍵詞 】 指揮信息系統(tǒng)；AP2DR2；安全防護體系；安全管理

Research on The Security Protection Architecture of C4ISR System Based On AP2DR2

Wu Si-gen

（Jiangsu Automation Research Institute JaingsuLianyungang 222006）

【 Abstract 】 This paper firstly introduced the concepts and features of C4ISR System security protection，and then analyzed how to implementate network security in terms of network security strategy and technology.The C4ISR System security protection architecture based on AP2DR2 model is proposed，and disserated the AP2DD2 model is a multilevel and all-wave dynamic defense system.The C4ISR System security protection architecture transforms statics，passive to dynamic，initiative.The security protection architecture ensures effectually the information security of C4ISR System

【 Keywords 】 C4ISR system； AP2DR2； security protection architecture； security management

0 引言

在信息化戰(zhàn)爭中，指揮信息系統(tǒng)將整個作戰(zhàn)空間構成一體化的網(wǎng)絡，實現(xiàn)了作戰(zhàn)指揮自動化、偵察情報實時化和戰(zhàn)場控制數(shù)字化，大大提高了軍隊的作戰(zhàn)能力。但是，網(wǎng)絡系統(tǒng)特別是無線網(wǎng)絡的互連性和開發(fā)性不可避免地帶來了脆弱性問題，使其容易受到攻擊、竊取和利用。在軍事斗爭中，摧毀和破壞對方的軍用信息網(wǎng)絡系統(tǒng)，成功地竊取和利用對方的軍事信息，就會使其聯(lián)絡中斷、指揮控制失靈、協(xié)同失調，從而奪取戰(zhàn)場信息的控制權，大大削弱對方軍隊的作戰(zhàn)能力。隨著戰(zhàn)場偵察監(jiān)視系統(tǒng)日趨完善，大量精確制導武器和電子武器、信息武器將廣泛投入作戰(zhàn)運用，指揮信息系統(tǒng)安全面臨嚴重威脅。確保指揮信息系統(tǒng)信息安全已經(jīng)是一件刻不容緩的大事，因此，研究指揮信息系統(tǒng)安全防護體系具有十分重要的戰(zhàn)略意義。

1 指揮信息系統(tǒng)安全防護的基本概念和特點

指揮信息系統(tǒng)信息安全是在指揮機構的統(tǒng)一領導下，運用各種技術手段和防護力量，為保護指揮信息系統(tǒng)中各類信息的保密、完整、可用、可控，防止被敵方破壞和利用，而采取的各種措施和進行的相關活動。隨著軍隊建設和未來戰(zhàn)爭對信息的依賴程度越來越高，指揮信息系統(tǒng)信息安全問題日益突出。

近50年來，信息系統(tǒng)安全經(jīng)歷了通信保密、信息安全和信息保障幾個幾個重要的發(fā)展階段。圖1給出了從通信保密到信息保障的概念發(fā)展示意。

通信保密指的是信息在處理、存儲、傳輸和還原的整個過程中通過密碼進行保護的技術。它以確保傳輸信息的機密性和完整性，防止敵方從截獲的信號中讀取有用信息為目的。通信保密技術經(jīng)歷了從簡單到復雜、從早期的單機保密到進入網(wǎng)絡時代后的通信網(wǎng)絡保密的發(fā)展過程。直到現(xiàn)在，加密保護仍是軍事通信系統(tǒng)重要防護手段。通信保密的核心是確保信息在傳輸過程中的機密性。

隨著網(wǎng)絡技術的發(fā)展，信息系統(tǒng)的安全提上了日程，“保密”的概念逐漸從早期的通信保密發(fā)展到適應于保護信息系統(tǒng)的信息安全。保密性、完整性、認證性、抵抗賴性以及可用性和可控性成為信息安全的主要內容。其中保密性仍然是信息安全中最重要的特性。隨著網(wǎng)絡攻防斗爭的日趨激烈，信息安全在信息系統(tǒng)中的地位不斷提升。信息安全的基本目標是保護信息資源的歸屬性和完整性，維護信息設備和系統(tǒng)的正常運轉，維護正常應用的行為活動。信息的保密性、完整性、可用性、可識別性、可控性和不可抵賴性成為信息安全的主要內容。

“信息保障”首次出現(xiàn)在美國國防部（DOD）1996年12月6日頒布的官方文件DODDirective S-3600.1：Information Operation中[3]。這些文件把“信息保障”定義為“通過確保系統(tǒng)的信息作戰(zhàn)行動，包括綜合利用保護、探測和反應能力以恢復系統(tǒng)”。信息保障特別是將保障信息安全所必需的“保護（Protection）”、“檢測（Detection）”、“響應（Response）”和“恢復（Restoration）”（PDRR）視為信息安全的四個聯(lián)動的動態(tài)環(huán)節(jié)，從而安全管理工作在一個大的框架下，能夠針對薄弱環(huán)節(jié)，有的放矢，有效防范，圍繞安全策略的具體需求有序地組織在一起，架構一個動態(tài)的安全防范體系。

信息化條件下，指揮信息系統(tǒng)的安全防護具有幾個特點。

1）防護范圍廣闊。當前，指揮信息系統(tǒng)已經(jīng)延伸至陸、海、空、天多維空間。橫向上，除了傳統(tǒng)的情報偵察、通信、指揮控制等領域外，在武器控制、導航定位、戰(zhàn)場監(jiān)控等領域也得到了廣泛運用?？v向上，指揮信息系統(tǒng)已經(jīng)將上至戰(zhàn)略指揮機構下至每一個技術單位和作戰(zhàn)單元甚至單兵聯(lián)成一體。從信息安全防護角度看，信息空間的每一個局部、節(jié)點都可以成為信息攻擊的目標，并進而影響整個系統(tǒng)的信息安全。

2）防護措施綜合。未來信息化戰(zhàn)爭中指揮信息系統(tǒng)信息安全將面臨著火力打擊、電子偵察、電磁干擾、病毒破壞、網(wǎng)絡滲透等越來越多的“硬殺傷”和“軟殺傷”威脅，為了確保指揮信息系統(tǒng)信息安全，僅靠某一手段和方法難以到達目的，而必須采取綜合一體的防護措施。從安全技術運用來看，除了需要運用傳統(tǒng)的防電磁泄漏和信息加密技術外，還必須綜合運用防病毒、防火墻、身份識別、訪問控制、審計、入侵檢驗、備份與應急恢復技術；從信息安全管理角度上看，既要重視發(fā)揮各種信息安全防護技術手段等“硬件”的作用，又要重視加強對各類信息的安全管理，提高指揮信息系統(tǒng)各類使用和維護人員的信息安全意識和能力，發(fā)揮好“軟件”的作用。

3）攻防對抗激烈。指揮信息系統(tǒng)是各類軍事信息的集散地和信息處理中心，針對其進行的信息攻擊，可以到達牽一發(fā)而動全身的效果，并且其行動代價小，易于實現(xiàn)，具有較強的可控性?，F(xiàn)在和未來軍事斗爭的需要必將推動以指揮信息系統(tǒng)為目標的信息斗爭進一步發(fā)展，無論是戰(zhàn)時還是平時，在指揮信息系統(tǒng)對抗方面的斗爭將更加復雜、激烈。

2 基于AP2DR2模型的安全防護體系

指揮信息系統(tǒng)安全防護體系主要防止指揮信息系統(tǒng)的軟、硬件資源受到破壞、信息失泄（竊）或遭受攻擊，采取物理、邏輯以及行為管理的方法與措施，以保證指揮信息系統(tǒng)進行可靠運行與數(shù)據(jù)存儲、處理的安全；防止敵對國家利用信息技術對本國的國防信息系統(tǒng)進行竊取、攻擊、破壞，包括防止對方利用信息技術竊取國防情報、壟斷信息技術、攻擊和破壞國防信息系統(tǒng)、奪取戰(zhàn)場上的制信息權等。指揮信息系統(tǒng)安全防護體系強調實施多層次防御，在整個信息基礎設施的所有層面上實施安全政策、步驟、技術和機制，使得攻破一層或一類保護的攻擊行為無法破壞整個信息基礎設施。

針對指揮信息系統(tǒng)安全防護，本文提出的AP2DR2（Analysis Policy Protection Detection Response Recovery，簡稱AP2DR2）動態(tài)安全模型是由分析（A）、策略（P）、防護（P）、檢測（D）、響應（R）、恢復（R）等要素構成，以人、策略、技術、管理為核心，在技術上圍繞風險分析、防護、檢測、響應、恢復這五個安全環(huán)節(jié)，即人要依據(jù)政策和策略，運用相應的技術來實施有效的部署和管理，從而實現(xiàn)整體指揮信息系統(tǒng)安全防護。如圖2所示。

該模型在整體的安全分析和安全策略的指導下，在綜合運用各種防護技術（如加密、防火墻、防病毒、身份認證、安全管理技術等）的同時，利用實時檢測技術（如入侵檢測、漏洞掃描、審計機制等）了解和評估系統(tǒng)的安全狀態(tài)，通過實時響應和系統(tǒng)災難備份恢復、關鍵系統(tǒng)冗余設計等方法，構造多層次、全方位和立體的動態(tài)防御的安全體系。AP2DR2動態(tài)安全模型重視系統(tǒng)級的整體安全，強調“人、技術和運作”三大因素的相互作用，在指揮信息系統(tǒng)的生命周期內，從技術、管理、過程和人員等方面提出系統(tǒng)的安全需求，指定系統(tǒng)的安全策略，配置合適的安全機制和安全產(chǎn)品，最后對系統(tǒng)的安全防護能力進行評估。防護、監(jiān)測、響應和災難恢復組成了一個完整的、動態(tài)的安全循環(huán)，共同構造一個指揮信息系統(tǒng)網(wǎng)絡安全環(huán)境。

1） 風險分析

安全是指揮信息系統(tǒng)正常運行的前提，指揮信息系統(tǒng)的安全不單是單點的安全，而是整個指揮信息系統(tǒng)網(wǎng)絡的安全，需要從多角度進行立體防護。要防護，就要清楚安全風險來源于何處，這就需要對網(wǎng)絡安全進行風險分析，搞清楚指揮信息系統(tǒng)現(xiàn)有以及潛在的風險，充分評估這些風險可能帶來的威脅和影響。風險分析是信息安全管理的基礎，目的是通過合理的步驟，以防止所有對網(wǎng)絡安全構成威脅的事件發(fā)生。很多風險不是因為技術原因，而是由于管理原因帶來的，所以要在掌握指揮信息系統(tǒng)安全測試及風險評估技術的基礎上，建立基于管理和技術的面向等級保護的、完整的測評流程及風險評估體系，最后根據(jù)風險分析結果，制定安全策略。這是實施指揮信息系統(tǒng)安全建設必須最先解決的問題。

2） 安全策略

安全策略是一系列政策的集合，用來規(guī)范對組織資源的管理、保護以及分配，以達到最終安全的目的。安全策略的設計主要是為了防止發(fā)生錯誤行為并確保管理控制能夠保持一種良好的狀態(tài)。指揮信息系統(tǒng)安全策略涵蓋面很多，一個信息網(wǎng)絡的總體安全策略，可以概括為“實體可信，行為可控，資源可管，事件可查，運行可靠”。安全策略是指揮信息系統(tǒng)防護重要的依據(jù)，要掌握海量數(shù)據(jù)的加密存儲和檢索技術，保障存儲數(shù)據(jù)的可靠性、機密性和安全訪問能力。

3） 系統(tǒng)防護

指揮信息系統(tǒng)安全需要從物理、網(wǎng)絡、系統(tǒng)、應用和管理等方面進行多層次的防護。系統(tǒng)防護是進入網(wǎng)絡的一個門戶，它根據(jù)系統(tǒng)可能出現(xiàn)的安全問題采取的一系列技術與管理的預防措施，實行主動實時的防護戰(zhàn)略。防護可以預防一些被入侵檢測系統(tǒng)漏掉而又企圖非授權訪問的行為。通過態(tài)勢感知、風險評估、安全檢測等手段對當前網(wǎng)絡安全態(tài)勢進行判斷，并依據(jù)判斷結果實施網(wǎng)絡防御的主動安全防護體系的實現(xiàn)方法與技術。通過態(tài)勢判斷，進行系統(tǒng)的實時調整，主動地做出決策，而不是亡羊補牢，事后做決策。

4） 實時檢測

實時檢測主要包括入侵檢測、漏洞掃描、防病毒、日志與審計等，其中最為核心的是入侵檢測。入侵檢測是通過對行為、安全日志、審計數(shù)據(jù)進行分析檢測，從中發(fā)現(xiàn)違反系統(tǒng)安全策略的行為和遭受攻擊的跡象，利用主動或被動響應機制對入侵作出反應。入侵檢測系統(tǒng)將網(wǎng)絡上傳輸?shù)臄?shù)據(jù)實時捕獲下來，檢查是否有入侵或可疑活動的發(fā)生，一旦發(fā)現(xiàn)有入侵或可疑活動的發(fā)生，系統(tǒng)將做出實時報警響應。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和支持。入侵檢測最能體現(xiàn)整個模型的動態(tài)性，是支持應急響應體系建設的基本要素。

5） 實時響應

實時響應就是對指揮信息系統(tǒng)網(wǎng)絡的異常情況做出快速積極的反應。在安全策略指導下，強調以入侵檢測為核心的安全防御體系，發(fā)現(xiàn)并及時截斷入侵、杜絕可疑后門和漏洞，并啟動相關報警信息。入侵檢測與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡管理系統(tǒng)等安全產(chǎn)品均應實現(xiàn)聯(lián)動，這些聯(lián)動本身就是應急響應的一個組成部分，使得以前相互獨立、需要在不同的時間段內完成的入侵檢測和應急響應兩個階段有機地融為一體。要掌握有效的惡意代碼防范與反擊策略，一旦發(fā)現(xiàn)惡意代碼之后，要迅速提出針對這個惡意代碼的遏制手段，要進一步掌握蠕蟲、病毒、木馬、僵尸網(wǎng)絡、垃圾等惡意代碼的控制機理，要提供國家層面的網(wǎng)絡安全事件應急響應支撐技術。

6） 災難恢復

最基本的災難恢復當然是利用備份技術，對數(shù)據(jù)進行備份是為了保證數(shù)據(jù)的一致性和完整性，消除系統(tǒng)使用者和操作者的后顧之憂。其最終目標是業(yè)務運作能夠恢復到正常的、未破壞之前的狀態(tài)。從防護技術來看，容錯設計、數(shù)據(jù)備份和恢復是保護數(shù)據(jù)的最后手段。在多種備份機制的基礎上，啟用應急響應恢復機制實現(xiàn)指揮信息系統(tǒng)的瞬時還原，進行現(xiàn)場恢復及攻擊行為的再現(xiàn)，供研究和取證。災難恢復大大提高了指揮信息系統(tǒng)的可靠性和可用性。

3 結束語

信息化條件下的現(xiàn)代戰(zhàn)爭中，對指揮信息系統(tǒng)的安全防護是贏得信息優(yōu)勢的基礎和重要保障。針對指揮信息系統(tǒng)信息面臨的安全威脅，本文提出一種基于AP2DR2模型的指揮信息系統(tǒng)信息安全防護體系，即嚴密的安全風險分析、正確的安全策略、主動實時的防護和檢測、快速積極的響應、及時可靠的恢復，是一個閉環(huán)控制、主動防御的、動態(tài)的、有效的安全防護體系，保障了指揮信息系統(tǒng)網(wǎng)絡的安全。

參考文獻

[1] 曹雷等. 指揮信息系統(tǒng)[M]. 北京：國防工業(yè)出版社，2012.

[2] 蘇錦海，張傳富. 指揮信息系統(tǒng)[M]. 北京：電子工業(yè)出版社，2010.

[3] 童志鵬. 綜合電子信息系統(tǒng)[M]. 北京：國防工業(yè)出版社，2010.

[4] 邢啟江. 信息時代網(wǎng)絡安全體系的建設與管理[J]. 計算機安全，2006，（10）：41-43.

[5] 牛自敏. 網(wǎng)絡安全體系及其發(fā)展趨勢綜述[J]. 科技廣場，2009，11：230-232.

[6] 石志國等. 計算機網(wǎng)絡安全教程[M]. 北京：清華大學出版社，2007.

篇6

隨著4G通信技術的不斷發(fā)展和應用，對于新技術革新帶來的網(wǎng)絡信息安全威脅更加突出。運營商在面對更多的不確定因素及威脅時，如何從網(wǎng)絡信息安全管控技術上來提升安全性水平，已經(jīng)成為運營商提供良好服務質量的迫切難題。為此，文章將從主要安全威脅源展開探討，并就安全防范策略進行研究。

關鍵詞：

運營商；網(wǎng)絡安全；威脅；防護策略

從3G到4G，隨著運營商全業(yè)務運營模式的不斷深入，對支撐網(wǎng)絡運行的安全管控工程建設提出更高要求。特別是在應用系統(tǒng)及用戶數(shù)的不斷增加，網(wǎng)絡規(guī)模不斷擴大，面對越來越多的應用設備，其網(wǎng)絡安全問題更加突出。2014年攜程小米用戶信息的泄露，再次聚焦網(wǎng)絡信息安全隱患威脅，也使得運營商在管控網(wǎng)絡安全及部署系統(tǒng)管理中，更需要從技術創(chuàng)新來滿足運維需求。

1運營商面臨的主要安全威脅

對于運營商來說，網(wǎng)絡規(guī)模的擴大、網(wǎng)絡用戶數(shù)的驟升，加之網(wǎng)絡分布的更加復雜，對整個網(wǎng)絡系統(tǒng)的安全等級也提出更高要求。當前，運營商在加強網(wǎng)絡信息安全防護工作中，需要從三個方面給予高度重視：一是來自網(wǎng)絡系統(tǒng)升級改造而帶來的新威脅。從傳統(tǒng)的網(wǎng)絡系統(tǒng)平臺到今天的4G網(wǎng)絡，IMS網(wǎng)絡的商業(yè)化，對傳統(tǒng)網(wǎng)絡業(yè)務提出新的要求，特別是基于IP的全網(wǎng)業(yè)務的開展，無論是終端還是核心網(wǎng)絡，都需要從IP化模式實現(xiàn)全面互聯(lián)。在這個過程中，對于來自網(wǎng)絡的威脅將更加分散。在傳統(tǒng)運營商網(wǎng)絡結構中，其威脅多來自于末端的攻擊，而利用IGW網(wǎng)絡出口DDoS技術，以及受端網(wǎng)絡防護技術就可以實現(xiàn)防范目標，或者在關口通過部署防火墻，來降低來自末端的攻擊。但對于未來全面IP化模式，各類網(wǎng)絡安全威脅將使得運營商業(yè)務層面受到更大范圍的攻擊，如木馬病毒、拒絕服務攻擊等等，這些新威脅成為運營商IP技術防范的重點。二是智能化終端設備的增加帶來新的隱患。從現(xiàn)代網(wǎng)絡通信終端智能化程度來看，終端的安全性已經(jīng)威脅到網(wǎng)絡平臺及業(yè)務的安全，特別是在不同接入模式、接入速度下，智能終端與相對集中的運營商全業(yè)務管理之間的關聯(lián)度更加緊密，一旦智能化終端存在安全隱患，即將給通信網(wǎng)絡平臺帶來致命威脅。如智能化終端利用對運營商業(yè)務系統(tǒng)的集中攻擊可以導致運營商服務的中斷。同時，作為智能終端本身，因軟硬件架構缺乏安全性評測，在網(wǎng)絡信息完整性驗證上存在缺陷，也可能誘發(fā)篡改威脅。如在進行通信中對信息的竊聽、篡改，這些安全漏洞也可能引發(fā)運營商網(wǎng)絡的安全威脅。三是現(xiàn)有安全防護體系及架構存在不安全性風險，特別是云技術的引入，對于傳統(tǒng)網(wǎng)絡架構來說，在用戶數(shù)、增值業(yè)務驟升過程中，對現(xiàn)有基礎設施的不可預知性問題更加復雜。另外，在網(wǎng)絡安全標準制定上，由于缺乏對現(xiàn)階段安全威脅的全面評估，可能導致現(xiàn)有網(wǎng)絡體系難以適應新領域、新業(yè)務的應用，而帶來更多的運行處理故障等問題。

2構建運營商網(wǎng)絡安全防護體系和對策

2.1構建網(wǎng)絡安全防護統(tǒng)一管控體系

開展網(wǎng)絡信息安全防范，要著力從現(xiàn)有運營商網(wǎng)絡系統(tǒng)業(yè)務類型出發(fā)，根據(jù)不同功能來實現(xiàn)統(tǒng)一安全管控，促進不同應用系統(tǒng)及管理模式之間的數(shù)據(jù)安全交互。如對網(wǎng)絡運維系統(tǒng)安全管理，對計費系統(tǒng)用戶的認證與管理，對經(jīng)營分析系統(tǒng)的授權與審計管理，對各操作系統(tǒng)數(shù)據(jù)存儲的分散管控等，利用統(tǒng)一的安全管控功能模塊來實現(xiàn)集中認證、統(tǒng)一用戶管理。對于用戶管理，可以實現(xiàn)增刪修改，并根據(jù)用戶崗位性質來明確其角色，利用授權方式來實現(xiàn)對不同角色、不同操作權限的分配和管理；在認證模塊，可以通過數(shù)字認證、密碼校驗、動態(tài)認證及令牌等方式來進行；在權限管理中，對于用戶的權限是通過角色來完成，針對不同用戶，從設備用戶、用戶授權訪問等方式來實現(xiàn)同步管理。

2.2引入虛擬化技術來實現(xiàn)集中部署

從網(wǎng)絡信息安全管控平臺來看，對于傳統(tǒng)的管控方案，不能實現(xiàn)按需服務，反而增加了部署成本，降低了設備利用率。為此，通過引入虛擬化技術，部署高性能服務器來完成虛擬的應用服務器，滿足不同客戶端的訪問；對于客戶端不需要再部署維護客戶端，而是從虛擬服務器維護管理中來實現(xiàn)，由此減少了不必要的維護服務，確保了集中維護的便利性和有效性。另外，針對運營商網(wǎng)絡中的多數(shù)應用服務器，也可以采用集中部署方式來進行集中管理。

2.3引入RBAC角色訪問控制模型

根據(jù)角色訪問控制模型的構建，可以從安全管控上，利用已知信息來賦予相應的權限，便于正確、快速、有效的實現(xiàn)用戶特定角色的授權。同時，在對RBAC模型進行應用中，需要就其權限賦值進行優(yōu)化，如對層次結構的支持，對不同用戶群組、不同用戶存在多個崗位的角色優(yōu)化，對崗位與部門之間的協(xié)同優(yōu)化，對用戶崗位與用戶權限及其所屬崗位角色的繼承關系進行優(yōu)化等等。

2.4融合多種認證方式來實現(xiàn)動態(tài)管控

根據(jù)不同系統(tǒng)應用需求，在進行認證管理上，可以結合用戶登錄平臺來動態(tài)選擇。如可以通過數(shù)字認證、WindowsKerberos認證、動態(tài)令牌等認證方式。當用戶端采用插件方式登錄時，可以動態(tài)配置key證書認證，也可以通過短信認證來發(fā)送相應的口令。由于運營商網(wǎng)絡應用賬戶規(guī)模較大，在進行系統(tǒng)認證時，為了確保認證賬戶、密碼的有效性、可靠性，通常需要客戶端向應用服務器發(fā)送請求，請求成功后再向用戶端發(fā)送認證密碼。

2.5做好運營商網(wǎng)絡安全維護管理

網(wǎng)絡信息安全威脅是客觀存在的，而做好網(wǎng)絡安全的維護管理工作，從基本維護到安全防護，并從軟硬件技術完善上來提升安全水平。如對網(wǎng)絡中服務器、操作系統(tǒng)及網(wǎng)絡設備進行定期檢查和維護，對不同網(wǎng)絡安全等級進行有序升級，增加網(wǎng)絡硬件加固設備，做好日常網(wǎng)絡維護工作。同時，對于安全維護崗位人員，做好網(wǎng)絡硬件設備、網(wǎng)絡訪問控制權限的管理，并對相關的口令及密碼進行定期更換，提升安全防護水平。另外，運營商在構建網(wǎng)絡安全防護體系上，不僅要關注網(wǎng)絡層面及應用層的安全，還要關注用戶信息的安全，要將用戶信息納入安全管理重要任務中，切實從短信認證、用戶實名制、用戶地理信息等個人隱私保護中來保障信息的安全、可靠。

2.6做好網(wǎng)絡安全建設與升級管理

隨著網(wǎng)絡通信新業(yè)務的不斷發(fā)展，對于網(wǎng)絡信息安全威脅更加復雜而多樣，運營商要著力從新領域，制定有效的安全防護策略，從技術創(chuàng)新上來確保信息安全。一方面做好網(wǎng)絡安全策略的優(yōu)化，從網(wǎng)絡業(yè)務規(guī)劃與管理上，制定相應的安全標準，并對各類業(yè)務服務器進行全程監(jiān)管，確保業(yè)務從一開始就納入安全防護體系中；另一方面注重安全技術創(chuàng)新，特別是新的網(wǎng)絡安全技術、防御機制的引入，從安全技術手段來實現(xiàn)網(wǎng)絡系統(tǒng)的安全運行。

3結語

運營商網(wǎng)絡安全防護工作任重道遠，在推進配套體系建設上，要從安全維護的標準化、流程化，以及網(wǎng)絡安全等級制度完善上，確保各項安全防護工作的有效性。另外，加強對各類網(wǎng)絡安全應急預案建設，尤其是建立溝通全國的安全支撐體系，從統(tǒng)一管理、協(xié)同防護上來提升運營商的整體安全防護能力。

作者：王樹平 東野圣堯 張宇紅 單位：泰安聯(lián)通公司

參考文獻：

[1]吳靜.關于通信系統(tǒng)風險的研究[J].數(shù)字通信，2014(3).

篇7

關鍵詞：網(wǎng)絡工程；安全防護技術；思考

引言

網(wǎng)絡信息技術的快速普及應用極大地提高了人們的生活和工作效率，但與此同時，由于網(wǎng)絡信息技術自身所具有的開放性、交互性等特征，網(wǎng)絡工程在帶給人們巨大便捷的同時也面臨著日益嚴峻的安全問題。因而如何切實加強網(wǎng)絡工程安全防護，形成和發(fā)展與快速發(fā)展的網(wǎng)絡信息技術相適應的網(wǎng)絡工程安全防護能力，就成為現(xiàn)代社會網(wǎng)絡信息化建設的焦點問題之一。

1網(wǎng)絡工程中存在的主要安全問題

進入新世紀以來，隨著網(wǎng)絡工程的使用進一步走向深層次和綜合化，網(wǎng)絡工程中面臨的安全隱患也進一步加劇，主要表現(xiàn)在以下幾個方面：

1.1云端安全隱患突出

隨著以“互聯(lián)網(wǎng)+”、“云計算”等新興的互聯(lián)網(wǎng)技術的進一步普及應用，各種針對云端的病毒、漏洞等的攻擊也隨之增多，并日益威脅到云端等技術平臺的安全使用，而各種針對云端的網(wǎng)絡攻擊，也給目前逐漸普及應用的云計算等帶來了潛在的危害，例如2011年亞馬遜數(shù)據(jù)中心發(fā)生的宕機事故，直接導致大量業(yè)務中斷，而時隔一年之后，亞馬遜的云計算平臺數(shù)據(jù)中心再次發(fā)生宕機事故，導致Heroku、Reddit和Flipboard等知名網(wǎng)站和信息服務商受到嚴重影響，而這也已經(jīng)是過去一年半里亞馬遜云計算平臺發(fā)生的第五次宕機事故，而隨著云計算等的進一步普及，云端安全隱患也將進一步突出。

1.2網(wǎng)絡安全攻擊事件頻發(fā)

網(wǎng)絡安全攻擊事件頻發(fā)是近年來網(wǎng)絡工程所遭遇的最為顯著和嚴重的安全問題之一，數(shù)據(jù)顯示，僅在2015年，全球就發(fā)生的各種網(wǎng)絡安全攻擊事件就超過了一萬件次，直接經(jīng)濟損失高達兩千億美元，例如2015年5月27日，美國國家稅務總局遭遇黑客襲擊，超過十萬名美國納稅人的信息被盜取，直接經(jīng)濟損失高達5000萬美元；2015年12月1日，香港偉易達公司遭遇黑客襲擊，導致全球超過500萬名消費者的資料被泄露，可以想見，隨著未來網(wǎng)絡技術的快速發(fā)展，網(wǎng)絡安全保護的形勢還將進一步嚴峻化。

1.3移動設備及移動支付的安全問題加劇

隨著互聯(lián)網(wǎng)技術的飛速發(fā)展，現(xiàn)代社會已經(jīng)逐漸進入到了“無現(xiàn)金”時代，移動設備的進一步普及以及移動支付的出現(xiàn)使得人們的日常消費活動更為便捷，但與此同時，各種移動支付和移動設備的安全問題也隨之開始浮出水面，目前來看，移動支付過程匯總所面臨的安全問題主要體現(xiàn)在兩個方面：一是利用移動終端進行支付的過程中面臨著較大的安全風險，如操作系統(tǒng)風險、木馬植入等，二是現(xiàn)有的移動支付的主要驗證手段為短信驗證，這種驗證方式較為單一且安全系數(shù)較差，這些都是許多用戶對移動支付說“不”的原因之一。據(jù)中國支付清算協(xié)會的《2016年移動支付報告》顯示，移動支付的安全問題仍是未來移動支付所面臨的和需要應對的核心問題，如何進一步強化移動支付的安全“盾牌”，仍將是未來移動支付長遠發(fā)展的現(xiàn)實挑戰(zhàn)之一。

1.4網(wǎng)絡黑客的頻繁攻擊

網(wǎng)絡黑客是目前網(wǎng)絡工程所面臨的安全問題的根源之一，可以說，如前所述的各種網(wǎng)絡安全問題有很多都來源于網(wǎng)絡黑客攻擊，近年來，隨著網(wǎng)絡黑客技術的不斷發(fā)展，網(wǎng)絡黑客對全球網(wǎng)絡工程的破壞性攻擊也越來越多，且逐漸呈現(xiàn)出從傳統(tǒng)互聯(lián)網(wǎng)領域向工控領域進行發(fā)展以及黑客活動政治化等趨勢，例如今年年初美國總統(tǒng)大選就曾遭遇過網(wǎng)絡黑客的攻擊，所幸此次大選并未受到實質性影響。

2網(wǎng)絡工程安全防護技術提升的路徑分析

隨著“互聯(lián)網(wǎng)+”戰(zhàn)略的實施以及網(wǎng)絡安全被上升到了國家安全的高度，加強網(wǎng)絡工程的安全防護已經(jīng)被提高到了一個前所未有的高度。而網(wǎng)絡工程安全防護的提升則可以說是一項較為復雜的系統(tǒng)性工程，除了要在資金、人力、管理等方面上繼續(xù)下功夫以外，還必須要將加強網(wǎng)絡工程安全防護技術的創(chuàng)新與改進放在一個關鍵的位置上，不斷強化網(wǎng)絡工程安全防護系數(shù)。

2.1合理使用防火墻技術

防火墻是網(wǎng)絡工程安全防護中所使用的常規(guī)性的網(wǎng)絡安全防護技術之一，也是目前主要應用于防護計算機系統(tǒng)安全漏洞的主要技術手段。一般來說，防火墻是一種位于內部網(wǎng)絡與外部網(wǎng)絡之間的網(wǎng)絡安全系統(tǒng)，同時具有訪問控制、內容過濾、防病毒、NAT、IPSECVPN、SSLVPN、帶寬管理、負載均衡、雙機熱備等多種功能，因此在利用防火墻技術來加強網(wǎng)絡工程安全防護時，首先必須選擇口碑良好、有市場的防火墻產(chǎn)品如NGFW4000、NGFW4000-UF等等，利用防火墻來進行可靠的信息過濾，另一方面，需要對防火墻進行定期升級，確保防火墻的始終處于最新版本，切實利用防火墻技術來提高網(wǎng)絡工程安全防護系數(shù)。圖1防火墻工作原理模型圖

2.2加強網(wǎng)絡工程病毒防護體系建設

計算機病毒是網(wǎng)絡工程所面臨著的主要安全問題之一，因此有效加強網(wǎng)絡工程的病毒防護體系尤其關鍵。眾所周知，計算機病毒往往具有傳染性強、傳播方式多樣、破壞性大且徹底清除的難度較高等特點，因而一旦感染很有可能導致一個局域網(wǎng)中的所有計算機都受到影響，尤其是在網(wǎng)絡工程的使用環(huán)境中，一旦感染計算機病毒將很可能導致其他的相關計算機癱瘓，這就需要企業(yè)不僅要在殺毒軟件、防火墻技術的更新等方面下足功夫，更重要的是要努力建立起多層次、立體化的病毒防護體系，同時努力搭建起便捷智能化的計算機病毒立體化管理系統(tǒng)，對整個系統(tǒng)中用戶設備進行集中式的安全管理，切實提升對計算機病毒的防護效率，嚴格確保計算機不受病毒的侵染。

2.3搭配反垃圾郵件系統(tǒng)

隨著互聯(lián)網(wǎng)技術的快速發(fā)展，電子郵件已經(jīng)成為互聯(lián)網(wǎng)信息時代下最受歡迎的通訊方式之一，但與此同時越來越多的垃圾郵件的出現(xiàn)也日漸困擾著人們的正常工作，垃圾郵件不僅占用了人們的寶貴的精力和時間，更重要的是它有可能給企業(yè)帶來嚴重的損失，我國是世界上的垃圾郵件大國之一，每年垃圾郵件的接收在全球位居前列，為此，不斷提升網(wǎng)絡工程的安全防護需要同時搭配有先進成熟的反垃圾郵件系統(tǒng)，有效搭建企業(yè)內部的“郵箱防護墻”，確保企業(yè)內外部的郵件安全。

2.4強化網(wǎng)絡數(shù)據(jù)信息加密技術使用

針對當前網(wǎng)絡數(shù)據(jù)信息頻繁泄露的現(xiàn)實情況，加強網(wǎng)絡工程安全防護技術必須要努力強化網(wǎng)絡數(shù)據(jù)信息加密技術的使用，在實際使用過程中，可以通過對網(wǎng)絡工程中的相關軟件、網(wǎng)絡數(shù)據(jù)庫等進行加密處理，提高和強化網(wǎng)絡數(shù)據(jù)信息加密技術的普及使用。

3總結

總之，加強網(wǎng)絡工程安全防護是一項較為復雜的系統(tǒng)性工程，需要涉及到方方面面的技術條件乃至相應的管理、人力物力等方面的投入，更為重要的是，需要經(jīng)過系統(tǒng)的分析從而將這些技術手段有機結合起來，使之形成一個系統(tǒng)，從而更好地在網(wǎng)絡工程安全防范中發(fā)揮整體合力，有效提高網(wǎng)絡工程安全防范實效。

參考文獻：

[1]鄭邦毅,蔡友芬.網(wǎng)絡工程安全防護技術的探討[J].電子技術與軟件工程，2016.

[2]謝超亞.網(wǎng)絡工程中的安全防護技術的思考[J].信息化建設，2015.

[3]陳健,唐彥儒.關于網(wǎng)絡工程中的安全防護技術的思考[J].價值工程，2015.

[4]彭海琴.關于網(wǎng)絡工程中的安全防護技術的思考[J].電子技術與軟件工程，2014.

篇8

【關鍵詞】OA系統(tǒng) 安全評估 安全策略

信息化建設作為國家戰(zhàn)略發(fā)展的重要內容，保障信息安全是發(fā)揮網(wǎng)絡系統(tǒng)優(yōu)勢的必然條件。OA系統(tǒng)作為協(xié)同辦公平臺，承擔著系統(tǒng)內部信息流的互聯(lián)互通，而加強對網(wǎng)絡系統(tǒng)安全體系的評估是制定安全保障策略的重中之重。

1 OA系統(tǒng)組成及防護設計

從當前互聯(lián)網(wǎng)發(fā)展現(xiàn)狀來看，OA系統(tǒng)已經(jīng)不再局限于某地的協(xié)同辦公網(wǎng)絡，而是基于不同地域下，從企業(yè)及下屬各機構之間的全局化管理需求上，搭建滿足日常辦公、業(yè)務處理、事務管理等活動的，涵蓋公文收發(fā)、文件查詢、簽報處理、會議管理等在內的多元化信息交互平臺，從而實現(xiàn)企業(yè)辦公無紙化、信息化、網(wǎng)絡化目標。如圖1所示。

從圖1所示的OA系統(tǒng)結構來看，主要有基礎層、數(shù)據(jù)庫層、業(yè)務邏輯層、表示層等四部分組成，并通過各級接口單元來實現(xiàn)不同用戶、不用業(yè)務的互聯(lián)互通。

從OA系統(tǒng)管理來看，安全性是運行的關鍵，而加強對OA系統(tǒng)數(shù)據(jù)的安全防范，主要從防范破壞、竊聽、篡改、偽造等方面，來構建多層級安全防護體系。依據(jù)木桶原理，一個應用系統(tǒng)的安全等級是由最低的短板來決定，同樣，對于OA系統(tǒng)安全來說，如果存在某一弱項，就會降低系統(tǒng)的整體安全性。為此，在設計OA系統(tǒng)安全防護時，要統(tǒng)籌考慮，要將物理安全、主機安全、應用安排進行綜合，來共同制定完善的安全管理保障體系。如在物理安全防護上，要對OA系統(tǒng)內的各類網(wǎng)絡硬件設備與其他媒介設施進行有效隔離，減少和降低可能存在的安全風險。利用網(wǎng)絡防火墻、網(wǎng)絡病毒監(jiān)測數(shù)據(jù)庫、網(wǎng)絡入侵系統(tǒng)等設備來實現(xiàn)有效監(jiān)控；在對主機系統(tǒng)進行防護上，通過設置漏洞掃描系統(tǒng)等保障其安全性；在對應用系統(tǒng)進行安全防護時，利用證書管理系統(tǒng)來通過證書管理、授權管理等實現(xiàn)安全保障。

2 OA系統(tǒng)安排評估及保障策略構建

提升OA系統(tǒng)的安全防護等級，必然需要從OA系統(tǒng)安全評估中來構建防范策略。隨著OA系統(tǒng)應用的不斷拓展，面對安全防護體系建設要求也越來越高，各類防范安全攻擊手段也不斷增強。作為一種動態(tài)的防護保障體系，通常需要經(jīng)歷安全策略制定、安全風險評估、系統(tǒng)配置調整和應急預案編制、應急響應和系統(tǒng)數(shù)據(jù)恢復等流程。

2.1 制定安全策略

安全策略的制定是保障OA系統(tǒng)的基礎，也是首項任務。從不同OA系統(tǒng)管理安全目標來說，在制定安全策略上，要確保安全設備、主機設備、服務器系統(tǒng)的連續(xù)性和可擴展性。

2.2 做好安全風險評估

風險評估是制定安全策略的前提，也是圍繞可能存在的安全威脅，對可能存在的網(wǎng)絡攻擊行為、網(wǎng)絡安全漏洞等進行專門防范的基礎。隨著OA系統(tǒng)功能的不斷拓展，面臨的安全風險也更加多樣。因此需要從安全風險評估中通過技術手段來進行安全檢測。具體評估方法有兩種。一種是對單一安全因素進行評估。如對于網(wǎng)絡設備、服務器、安全設備、計算機本身進行安全性評估，并從網(wǎng)絡設備的使用數(shù)量、型號、性能等信息上進行合理部署和優(yōu)化，利用操作系統(tǒng)安裝相應的安全軟件，并從補丁庫、漏洞庫及時更新上來做好各項風險源的檢測和控制。針對網(wǎng)絡上流行的病毒、木馬等惡意代碼，可以通過定期升級、備份來進行防范。另一種是整體安全評估，通過綜合性安全防范分析軟件，從系統(tǒng)安全性等級、系統(tǒng)安全趨勢分析、系統(tǒng)安全缺陷等方面進行綜合評估，并發(fā)現(xiàn)和鎖定可能風險源，為下一步構建安全防護體系提供參考。

2.3 優(yōu)化安全配置數(shù)據(jù)

通過安全評估，針對可能存在的安全隱患，需要從具體的安全策略制定上來加以優(yōu)化，來改進系統(tǒng)安全等級。如對于某類風險源，利用設置防范參數(shù)來進行過濾和截獲。同時，針對病毒庫、事件庫、安全補丁更新問題，可以從自動升級、人工升級模式設置上來優(yōu)化；對于各類網(wǎng)絡共享端口，通過設置安全口令來進行授權管理；對于系統(tǒng)服務器及其他安全設備，不必要的端口要進行關閉。

2.4 制定安全應急預案

應急預案是在可能存在的安全攻擊或自然災害時所采取的系統(tǒng)化解決防范思路和方法。如對于常見的網(wǎng)絡攻擊行為，通過應急預案來進行處置，來減少和避免損失，提升網(wǎng)絡管理系統(tǒng)安全性。以某意外斷電為例，在應急措施編制上，應該對主機系統(tǒng)進行有序斷電，在UPS電池耗盡前完成服務器、存儲設備、網(wǎng)絡設備等系統(tǒng)的關閉；在電力恢復時，應該遵循打開總開關、啟動UPS，逐次打開分支開關，啟動核心路由器、交換機和網(wǎng)絡安全設備，再依次打開各個服務器，對各服務器工作狀態(tài)進行檢查，確保正常啟動相應服務。

2.5 應急響應及數(shù)據(jù)恢復

應急響應是對存在的安全風險及事件進行響應的過程，通常在發(fā)生網(wǎng)絡異常或告警時，需要對根據(jù)預案來進行應急處置。如對于某次網(wǎng)絡病毒攻擊事件，在應急預案設計上，應該遵循六點：

（1）首先對被感染計算機進行網(wǎng)絡隔離；

（2）對該系統(tǒng)硬盤數(shù)據(jù)進行備份；

（3）判嗖《糾嘈?、危害Ｉ婕暗侥切┚W(wǎng)絡端口，并啟動殺毒軟件對該計算機系統(tǒng)進行全面殺毒處理；

（4）為保障安全，需要對其他服務器系統(tǒng)進行病毒掃描和清除；

（5）對于殺毒軟件無法清除的病毒應立即報告，并聯(lián)系廠商協(xié)助解決，針對事態(tài)危重問題，要告知相關部門給予協(xié)同處理，并病毒語境；

（6）清除完病毒后，重新啟動計算機并接入網(wǎng)絡系統(tǒng)。應急恢復是在完成安全防范事件后，對原有系統(tǒng)進行啟動，并將系統(tǒng)恢復至正常狀態(tài)。

3 結語

OA系統(tǒng)安全評估及策略的制定，重點在于對可能存在的應急風險進行預案設計和應急響應，并從異常事件處置中總結經(jīng)驗，優(yōu)化安全策略，確保OA系統(tǒng)處于良好運行狀態(tài)。

參考文獻

[1]陳建新，王金玉，陳禹，程渙青，胡韜.OA網(wǎng)絡信息系統(tǒng)的頂層設計方略[J].辦公自動化，2014（10）.

[2]陳燕，魏鵬飛.辦公自動化系統(tǒng)安全控制策略[J].技術與市場，2016（06）.

篇9

關鍵詞：大數(shù)據(jù)；計算機信息安全；企業(yè)；防護策略

大數(shù)據(jù)（bigdata）形成于傳統(tǒng)計算機網(wǎng)絡技術應用中，并不能將它理解為傳統(tǒng)意義中大量數(shù)據(jù)的集合，而是其中涵蓋了更多的數(shù)據(jù)信息處理技術、傳輸技術和應用技術。正如國際信息咨詢公司Gartner所言“大數(shù)據(jù)在某些層面已經(jīng)超越了現(xiàn)有計算機信息技術處理能力范圍，它是一種極端信息資源。[1]”正是基于此，社會各個領域行業(yè)才應用大數(shù)據(jù)技術來為計算機信息安全提供防范措施，尤其是企業(yè)計算機信息網(wǎng)絡，更需要它來構建網(wǎng)絡信息防護體系，迎接來自于企業(yè)外部不同背景下的不同安全威脅。

1關于企業(yè)計算機信息安全防護體系的建設需求

企業(yè)計算機系統(tǒng)涉及海量數(shù)據(jù)和多種關鍵技術，它是企業(yè)正常運營的大腦，為了避免來自于內外因素的干擾，確保企業(yè)正常運轉，必須為“大腦”建立計算機信息安全防護體系，基于信息安全水平評價目標來確立各項預訂指標性能，確保企業(yè)計算機系統(tǒng)不會遭遇侵犯威脅，保護重要信息安全。因此企業(yè)所希望的安全防護體系建設應該滿足以下3項需要。首先，該安全防護體系能夠系統(tǒng)的從企業(yè)內外部環(huán)境、生產(chǎn)及銷售業(yè)務流程來綜合判斷和考慮企業(yè)計算機信息安全技術、制度及管理相關問題，并同時快速分析出企業(yè)在計算機信息管理過程中可能存在的各種安全隱患及危險因素。指出防護體系中所存在的缺陷，并提出相應的防護措施。其次，可以對潛在威脅企業(yè)計算機系統(tǒng)的不安定因素進行定性、定量分析，有必要時還要建立全面評價模型來展開分析預測，提出能夠確保體系信息安全水平提升的優(yōu)質方案。第三，可以利用體系評價結果來確定企業(yè)信息安全水平與企業(yè)規(guī)模，同時評價該防護體系能為企業(yè)帶來多大收益，確保防護體系能與企業(yè)所投入發(fā)展狀況相互吻合。

2大數(shù)據(jù)環(huán)境對企業(yè)計算機信息安全建設的影響

大數(shù)據(jù)環(huán)境改變了企業(yè)計算機信息安全建設的思路與格局，應該從技術與管理維度兩個層面來看這些影響變化。

2.1基于企業(yè)計算機信息安全建設的技術維度影響

大數(shù)據(jù)所蘊含技術豐富，它可以運用分布式并行處理機制來管理企業(yè)計算機信息安全。它不僅僅能確保企業(yè)信息的可用性與完整性，還能提高信息處理的準確性與傳輸連續(xù)性。因為在大數(shù)據(jù)背景下，復雜數(shù)據(jù)類型處理案例比比皆是，必須要避免信息處理過程錯誤所帶來的企業(yè)信息資源安全損失，所以應該采取大數(shù)據(jù)環(huán)境技術來展開新的信息處理方式及存儲方式，像以Hadoop平臺為主的Mapreduce分布式計算就能啟動云存儲方式，對企業(yè)計算機信息進行有效存儲、轉移和管理，提高其信息安全水平。分布式計算會為企業(yè)計算機信息建立大型數(shù)據(jù)庫，或者采用第三方云服務提供商所提供的虛擬平臺來管理信息，這種做法可以為企業(yè)省下防火墻、數(shù)據(jù)庫、基礎性安防技術等等建設環(huán)節(jié)的大筆成本費用。在信息傳遞方面，大數(shù)據(jù)環(huán)境主要能夠干預企業(yè)信息傳遞，例如為企業(yè)計算機系統(tǒng)提供高速不中斷的傳遞功能模塊，以確保企業(yè)信息傳遞的完整性與可持續(xù)性。在此過程中為了確保企業(yè)計算機信息傳輸?shù)陌踩煽?，就會基于大?shù)據(jù)技術來為企業(yè)提供數(shù)據(jù)加密服務，確保數(shù)據(jù)傳輸整個過程都處于安全狀態(tài)，避免任何信息泄露、被盜取現(xiàn)象的發(fā)生。

2.2基于企業(yè)計算機信息安全建設的管理維度影響

在大數(shù)據(jù)環(huán)境下，企業(yè)計算機信息安全的管理維度影響不容忽視，它體現(xiàn)在人員管理、大數(shù)據(jù)管理與第三方信息安全等多個方面。在人員管理管理方面，大數(shù)據(jù)為企業(yè)所提供的是由傳統(tǒng)集中辦公向分散式辦公的工作模式轉變，它創(chuàng)建了企業(yè)自帶辦公設備BYOD（BringYourOwnDevice），BYOD一方面能有效提高員工積極性，一方面也能為企業(yè)購置辦公設備節(jié)約成本，不過它也能影響到企業(yè)計算機的信息安全管理事項，移動設備大幅度降低了企業(yè)對計算機系統(tǒng)安全的可控度，可能會難以發(fā)現(xiàn)來自于外部黑客及安全漏洞、計算機病毒對系統(tǒng)的入侵，一定程度上增加了信息泄漏的安全隱患。在第三方信息安全管理方面，它可能會對企業(yè)信息安全帶來巨大影響，因為第三方信息是需要用來進行加工分析的，但它對于企業(yè)計算機系統(tǒng)是否能形成保障實際上是難以被企業(yè)穩(wěn)定控制的，所以企業(yè)要確切保證第三方信息安全管理的有效性，基于大數(shù)據(jù)強化企業(yè)信息安全水平，利用分權式組織結構來提高企業(yè)計算機系統(tǒng)及信息的利用效率，同時也增強大數(shù)據(jù)之于企業(yè)計算機系統(tǒng)的應用實效性。

3基于大數(shù)據(jù)優(yōu)化環(huán)境下的企業(yè)計算機信息安全防護策略

企業(yè)計算機信息安全對企業(yè)發(fā)展至關重要，為其建立安全防護體系首先要明確其信息安全管理是一項動態(tài)復雜的系統(tǒng)性工程。企業(yè)需要從管理、人員和技術3方面來滲透大數(shù)據(jù)意識及相關技術理念，為企業(yè)計算機系統(tǒng)構筑防線，保護信息安全。

3.1基于管理層面的計算機信息安全防護策略

社會企業(yè)其實就是大數(shù)據(jù)的主要來源，所以企業(yè)在對自身計算機信息安全進行保護過程中需要面臨可能存在的技術單一、難以滿足企業(yè)信息安全需求等問題。企業(yè)需要基于大數(shù)據(jù)技術來建立計算機信息安全防護機制，從大數(shù)據(jù)本身出發(fā)，做到對數(shù)據(jù)的有效收集和合理分析，準確排查安全問題，建立企業(yè)計算機信息安全組織機構。本文認為，該計算機信息安全防護策略中應該包含安全運行監(jiān)管機制、信息安全快速響應機制、信息訪問控制機制、信息安全管理機制以及災難備份機制等等。在面對企業(yè)的關鍵性信息時，應該在計算機系統(tǒng)中設置信息共享圈，盡可能降低外部不相關人員對于某些機密信息的接觸可能性，所以在此共享圈中還應該設置信息共享層次安全結構，為信息安全施加“雙保險”。另一方面，企業(yè)管理層也應該為計算機系統(tǒng)建立信息安全生態(tài)體系，一方面為保護管理層信息流通與共享，一方面也希望在大數(shù)據(jù)環(huán)境下實現(xiàn)信息技術的有效交流，為管理層提出企業(yè)決策提供有力技術支持。再者，企業(yè)應該完善大數(shù)據(jù)管理制度。首先企業(yè)應該明確大數(shù)據(jù)主要由非結構化和半結構化數(shù)據(jù)共同組成，所以要明確計算機系統(tǒng)中的所有大數(shù)據(jù)信息應該通過周密分析與計算才能最終獲取，做到對系統(tǒng)中大數(shù)據(jù)存儲、分析、應用與管理等流程的有效規(guī)范。舉例來說，某些企業(yè)在管理存儲于云端的第三方信息時，就應該履行與云服務商所簽訂的第三方協(xié)議，在此基礎上來為企業(yè)自身計算機系統(tǒng)設置單獨隔離單元，防止信息泄露現(xiàn)象。另一方面，企業(yè)必須實施基于大數(shù)據(jù)的組織結構扁平化建設，這樣也能確保計算機系統(tǒng)信息流轉速度無限加快，有效降低企業(yè)基層員工與高層管理人員及領導之間的信息交流障礙[2]。

3.2基于人員層面的計算機信息安全防護策略

目前企業(yè)人員所應用計算機個人系統(tǒng)已經(jīng)趨向于移動智能終端化，許多BYOD工作方案紛紛出現(xiàn)。這些工作方案利用智能移動終端連接企業(yè)內部網(wǎng)絡，可以實現(xiàn)對企業(yè)數(shù)據(jù)庫及內部信息的有效訪問，這雖然能夠提高員工的工作積極性，節(jié)約企業(yè)購置辦公設備成本，但實際上它也間接加大了企業(yè)對計算機信息安全的管理難度。具體來說，企業(yè)無法跟蹤員工的移動終端來監(jiān)控黑客行蹤，無法第一時間發(fā)現(xiàn)潛藏病毒對企業(yè)計算機系統(tǒng)及內網(wǎng)安全的潛在威脅。因此企業(yè)需要針對員工個人來展開大數(shù)據(jù)背景下的信息流通及共享統(tǒng)計，明確員工在工作進程中信息的實際利用狀況。而且企業(yè)也應該在基于保護大數(shù)據(jù)安全的背景下來強化員工信息安全教育，培養(yǎng)他們的信息安全意識，讓員工在使用BYOD進行企業(yè)內部計算機數(shù)據(jù)庫訪問及相關信息共享過程中提前主動做好數(shù)據(jù)防護工作，輔助企業(yè)共同保護內部重要機密信息。

3.3基于安全監(jiān)管技術層面的計算機信息安全防護策略

在大數(shù)據(jù)環(huán)境中，企業(yè)如果僅僅依靠計算機軟件來維持信息安全已經(jīng)無法滿足現(xiàn)實安全需求，如果能從安全監(jiān)管技術層面來提出相應保護方案則要配合大數(shù)據(jù)相關技術來實施?？紤]到企業(yè)容易受到高級可持續(xù)攻擊（AdvancedPersistentThreat）載體的威脅（形成隱藏APT），不易被計算機系統(tǒng)發(fā)覺，為企業(yè)信息帶來不可估量威脅，所以企業(yè)應該基于大數(shù)據(jù)技術來尋找APT在實施網(wǎng)絡攻擊時所留下的隱藏攻擊記錄，利用大數(shù)據(jù)配合計算機系統(tǒng)分析來找到APT攻擊源頭，從源頭遏制它所帶來的安全威脅，這種方法在企業(yè)已經(jīng)被證實為可行方案。另外，也可以考慮對企業(yè)計算系統(tǒng)中重要信息進行隔離存儲，利用較為完整的身份識別來訪問企業(yè)計算機管理系統(tǒng)。在這里會為每一位員工發(fā)放唯一的賬號密碼，并利用大數(shù)據(jù)來記錄員工在系統(tǒng)中操作的實時動態(tài)，監(jiān)控他們的一切行為。企業(yè)要意識到大數(shù)據(jù)的財富化可能會導致計算機系統(tǒng)大量信息泄露，從而產(chǎn)生內部威脅。所以在大數(shù)據(jù)背景下，應該為計算機系統(tǒng)建立信息安全模式，利用其智能數(shù)據(jù)管理來實現(xiàn)系統(tǒng)的安全管理與自我監(jiān)控，盡可能減少人為操作所帶來的不必要失誤和信息篡改等安全問題。除此之外，企業(yè)也可以考慮建立大數(shù)據(jù)實時風險模型，對計算機系統(tǒng)中所涉及的所有信息安全事件進行有效管理，協(xié)助企業(yè)完成預警報告、應急響應以及風險分析，做好對內外部違規(guī)、誤操作行為的有效審計，提高企業(yè)信息安全防護水平[3]。

4總結

現(xiàn)代企業(yè)為保護計算機信息數(shù)據(jù)安全就必須與時俱進，結合大數(shù)據(jù)環(huán)境，利用信息管理、情報、數(shù)學模型構建等多種科學理論來付諸實踐，分析大數(shù)據(jù)環(huán)境下可能影響到企業(yè)信息安全水平的各個因素，最后做出科學合理評價。本文僅僅從較淺角度分析了公司企業(yè)在大數(shù)據(jù)背景下對自身計算機信息安全的相關防護策略，希望為企業(yè)安全穩(wěn)定發(fā)展提供有益參考。

參考文獻：

[1]尹淋雨.大數(shù)據(jù)環(huán)境下企業(yè)信息安全水平綜合評價模型研究[D].安徽財經(jīng)大學,2014:49-51.

[2]雷邦蘭,龍張華.基于大數(shù)據(jù)背景的計算機信息安全及防護研討[J].網(wǎng)絡安全技術與應用,2016(5):56,58.

篇10

為了深入貫徹學習關于網(wǎng)絡安全系列重要講話精神，積極響應中央網(wǎng)信辦、工業(yè)和信息化部、公安部等六部門聯(lián)合的《關于印刷國家網(wǎng)絡安全宣傳周活動方案的通知》的要求，9月24日，由杭州市政府、中國信息化推進聯(lián)盟、浙江經(jīng)濟理事會主辦，杭州市拱墅區(qū)政府、中國信息化推進聯(lián)盟協(xié)同創(chuàng)新專委會、浙江乾冠信息安全研究院承辦的2016第二屆中國網(wǎng)絡安全協(xié)同創(chuàng)新高峰論壇?杭州峰會在美麗的西子湖畔召開。

峰會上，來自中央網(wǎng)信辦、公安部、中科院及國家有關部門的領導、專家就如何學習貫徹關于網(wǎng)絡安全和信息化的系列講話精神、網(wǎng)絡安全面臨的嚴峻復雜形勢、網(wǎng)絡安全管理的方針政策、網(wǎng)絡安全體系建設的策略建議和實踐案例等進行了研討交流。

本刊摘取部分專家精彩觀點，以饗讀者。

建設整體信息安全保密體系

楊國勛認為，當前的信息安全問題不容小覷，特別是政府及金融、能源等關鍵信息基礎設施的安全保障問題。應該強化關鍵信息基礎設施安全，進而大力推動重要領域整體信息安保體系建設。

但是，信息安全既沒有絕對的安全，也沒有永久的安全，因此，整體信息的安全防護也不可能一勞永逸，徹底管住。所以，在實際操作中，我們應該是在有效安全的前提下，以發(fā)展促安全。

那么，如何做到有效防護？第一，要明確消除可預見的整體安防的薄弱點和空白點。要按照對雙方的重要性及損害的嚴重程度分類評估，來判定做還是不做。如果是有可預見的薄弱點，就不能做。第二，要創(chuàng)新安防的思路、方法、路線圖?，F(xiàn)實中，我們經(jīng)常會遇到“又要馬兒跑、又要馬兒不吃草”的問題，信息安全也是這樣的問題，又要安全，又要擴大應用。在這種情況下，我們需要創(chuàng)新，需要從另外的角度來分析和思考。比如風險管理，不僅要分析對自己的重要性，也要分析對敵方的重要性；出了事情，要分析對自己的影響，也要分析對敵方的影響；比如法制管理，用法制的威懾力，使他不敢造次，不敢隨便地對你進行攻擊。第三，要有科學、合理、可持續(xù)的實施方案。

互聯(lián)網(wǎng)+下的工業(yè)安全技術

在演講中，何積豐提及了工業(yè)控制系統(tǒng)的三個安全目標：一是通信可控，要能直觀觀察、監(jiān)控、管理通信數(shù)據(jù)，僅能保證專有協(xié)議的數(shù)據(jù)傳輸，禁止其他通信；二是區(qū)域隔離，要能防止局部控制網(wǎng)絡問題擴散導致全局癱瘓，要在關鍵數(shù)據(jù)通道上部署網(wǎng)絡隔離；三是報警追蹤，要能及時發(fā)現(xiàn)網(wǎng)絡安全問題，確定故障點，記錄報警事件，為故障分析提供依據(jù)。

對于工業(yè)控制系統(tǒng)的安全防御策略，何積豐提出了五道防線，分別是：第三方商用防火墻，聯(lián)合安全網(wǎng)關，工業(yè)PC安全防護，現(xiàn)場設備控制防護，安全可靠的現(xiàn)場設備?？梢圆扇〉木唧w措施也有五條：去中心化、智能下移、異構冗余，分布協(xié)同、蜜罐技術。

何積豐認為，未來幾年，工業(yè)控制系統(tǒng)安全發(fā)展趨勢將朝著以下幾方面發(fā)展：一是隨著硬件元器件的可靠性越來越高及冗余技術的使用，安全問題的矛盾主要集中于軟件，軟件安全性面臨嚴峻形勢；二是工控信息安全標準需求強烈，標準制定工作亟需全面推進；三是隨著自動化系統(tǒng)IT化，傳統(tǒng)邊界防護難以滿足工業(yè)控制環(huán)境；四是行業(yè)內尚未形成氣候，需要整合自動化與信息安全公司優(yōu)勢，帶動產(chǎn)業(yè)全面發(fā)展；五是工控安全防護技術迅速發(fā)展并在局部開始試點，距離大規(guī)模部署和應用有一定差距。

深化國家網(wǎng)絡安全等級保護制度，全力保衛(wèi)關鍵信息基礎設施安全

陳廣勇除匯報了公安部在網(wǎng)絡安全方面的一些工作情況和應對措施之外，還給重要行業(yè)部門開展網(wǎng)絡安全工作和信息安全企業(yè)提出了一些建議。

他建議，重要行業(yè)部門開展網(wǎng)絡安全工作要統(tǒng)籌規(guī)劃行業(yè)安全工作，以網(wǎng)絡安全等級保護工作為抓手，以信息通報為平臺，以全面加強安全管理和技術防范為重點，以提高網(wǎng)絡安全保障能力為目標，全力構建本行業(yè)網(wǎng)絡安全綜合防御體系。

針對信息安全企業(yè)，他建議，第一是要緊密圍繞國家網(wǎng)絡安全重大舉措來開展經(jīng)營活動，包括及時跟蹤了解國家法律、政策、標準和重大舉措；有針對性地制定具有行業(yè)特點的產(chǎn)品研發(fā)戰(zhàn)略、技術創(chuàng)新，著重解決云、大、物、移以及工業(yè)控制系統(tǒng)的安全風險，制定相應的整體解決方案；第二是要積極參與和跟進信息安全標準的規(guī)范研究工作；第三是要全力支撐國家網(wǎng)絡安全重點工作，做好技術儲備和技術創(chuàng)新，信息安全企業(yè)要積極參與網(wǎng)絡安全信息通報預警、智慧城市的網(wǎng)絡安全管理、新技術、新應用推廣等國家有較大投入的方面；第四是要加強規(guī)劃、科學布局，企業(yè)要做好長遠的戰(zhàn)略規(guī)劃，努力成為既能提供整體的網(wǎng)絡安全解決方案，也能提供高質量的咨詢服務能力的綜合服務提供商。

擬態(tài)防御，協(xié)同眾測促進網(wǎng)絡安全創(chuàng)新

演講中，葛培勤指出了當今網(wǎng)絡安全的五個特點：一是網(wǎng)絡安全是整體的不是割裂的，二是網(wǎng)絡安全是動態(tài)的不是靜態(tài)的，三是網(wǎng)絡安全是開放的而不是封閉的，四是網(wǎng)絡安全是相對的而不是絕對的，五是網(wǎng)絡安全是共同的而不是孤立的。他進而指出：網(wǎng)絡防護需要靠大家共同協(xié)防，網(wǎng)絡檢測需要靠大家一起發(fā)現(xiàn)問題，網(wǎng)絡管理需要大家齊抓共管，網(wǎng)絡應急需要靠大家一起處置/恢復，網(wǎng)絡演練需要靠大家共同參與，網(wǎng)絡安全需要靠廣大人民。

他講到，近年來，針對傳統(tǒng)13類產(chǎn)品以外的信息安全產(chǎn)品層出不窮，如APT網(wǎng)絡監(jiān)控類、工控安全類、生物識別類、認證類、安全芯片類、大數(shù)據(jù)分析類、物聯(lián)網(wǎng)安全等等，而創(chuàng)新產(chǎn)品測評與統(tǒng)一認證，將加快這些創(chuàng)新產(chǎn)品進入實際應用。國家信息技術安全研究中心與中國信息安全中心協(xié)商一致，最近將與多家測評機構進一步溝通協(xié)商，一是在測評規(guī)范上采取一定的措施，如鼓勵采用未國標開展試點示范，采用參考行標擴大使用范圍，采用多家眾測形成測試用例，同時借鑒國外相關技術標準等方法，加快形成創(chuàng)新產(chǎn)品的基本測評用例和增強測試用例，采取結果導向、問題導向、目標導向理念，開展基于漏洞分析挖掘的產(chǎn)品測評，并對相對成熟的創(chuàng)新類產(chǎn)品、專家評審和審批后發(fā)放統(tǒng)一的認證證書。眾測活動需要嚴格的管理措施來保證測評中的“7性”，組織方必須周密組織，公開公平公正地開展工作，保證測評的嚴肅性、嚴謹性。

跨維―深度聚焦網(wǎng)安生態(tài)

徐平說，在整個網(wǎng)絡信息化發(fā)展過程中，乾冠信息安全研究院主要解決網(wǎng)絡安全中第一公里和最后一公里的問題，其中的第一公里小到一個單位，大到國家互聯(lián)網(wǎng)的出入口。乾冠信息安全研究院致力于通過時空跨維和深度聚焦，來形成一個比較完整的針對安全威脅的體系化的解決方案。

如何發(fā)現(xiàn)并分析處理數(shù)據(jù)安全，需要業(yè)界廠家形成合力，利用大數(shù)據(jù)驅動構建一個安全管理的平臺。這也是研究院積極參與構建中國網(wǎng)絡安全協(xié)同創(chuàng)新共同體、網(wǎng)絡安全態(tài)勢感知生態(tài)矩陣的初衷，即借助平臺化的方式，用平臺+服務、平臺+產(chǎn)品、平臺+合作伙伴等模式，來為用戶提供整體的服務。平臺矩陣將從三個層面提供防御保護：遠程防御、云防御和安全設備。

他坦言，對安全威脅的一些未來的預測，是乾冠信息安全研究院下一步要重點突破的方向。

安全理念更新引領網(wǎng)絡安全創(chuàng)新

演講伊始，邵國安就指出：現(xiàn)在很多層面對于網(wǎng)絡安全的本質和核心的理解是比較模糊的。理念決定行動，但是若理念都錯了，談何正確的行動？

他講道，網(wǎng)絡安全要從以下五個方面來加以考慮：一是網(wǎng)絡邊界的安全，二是網(wǎng)絡防護，三是終端安全，四是應用安全，五是數(shù)據(jù)安全，每個層面都有不同的安全要求，是一個扇型的安全保障體系。

交通運輸網(wǎng)絡安全風險與策略

李璐瑤認為，不管是從事信息化還是從事信息安全的，都必須先了解它的業(yè)態(tài)，才能來進行風險權重的評價。交通行業(yè)，很好地體現(xiàn)了大數(shù)據(jù)的強大特征：廣泛性、海量性、有價性。也正因此，交通領域成為了可能遭到重點攻擊的目標，一定要采取有效措施，加強安全防護。

此外，她也認為就各級政府而言，要集中對政府網(wǎng)站、政務郵箱、重要業(yè)務、公務終端、互聯(lián)網(wǎng)出口這五類系統(tǒng)進行安全防護。

提升風險自主發(fā)現(xiàn)處置能力的探索實踐