时间:2023-07-12 09:32:37
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络安全加固建设,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词:等级保护;网络安全;信息安全;安全防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)19-4433-03
随着我国国际地位的不断提高和经济的持续发展,我国的网络信息和重要信息系统面临越来越多的威胁,网络违法犯罪持续大幅上升,计算机病毒传播和网络非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木马间谍程序、网络钓鱼技术、黑客病毒技术等技术进行网络诈骗、网络盗窃、网络赌博等违法犯罪,给用户造成严重损失,因此,维护网络信息安全的任务非常艰巨、繁重,加强网络信息安全等级保护建设刻不容缓。
1 网络信息安全等级保护
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络信息安全等级保护体系包括技术和管理两大部分,如图1所示,其中技术要求分为数据安全、应用安全、网络安全、主机安全、物理安全五个方面进行建设。
图1 等级保护基本安全要求
1) 物理安全
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。
2) 主机安全
主机系统安全是计算机设备(包括服务器、终端/工作站等)在操作系统及数据库系统层面的安全;通过部署终端安全管理系统(TSM),准入认证网关(SACG),以及专业主机安全加固服务,可以实现等级保护对主机安全防护要求。
3) 网络安全
网络是保障信息系统互联互通基础,网络安全防护重点是确保网络之间合法访问,检测,阻止内部,外部恶意攻击;通过部署统一威胁管理网关USG系列,入侵检测/防御系统NIP,Anti-DDoS等网络安全产品,为合法的用户提供合法网络访问,及时发现网络内部恶意攻击安全威胁。
4) 应用安全
应用安全就是保护系统的各种应用程序安全运行,包括各种基本应用,如:消息发送、web浏览等;业务应用,如:电子商务、电子政务等;部署的文档安全管理系统(DSM),数据库审计UMA-DB,防病毒网关AVE等产品。并且通过安全网关USG实现数据链路传输IPSec VPN加密,数据灾备实现企业信息系统数据防护,降低数据因意外事故,或者丢失给造成危害。
5) 数据安全
数据安全主要是保护用户数据、系统数据、业务数据的保护;通过对所有信息系统,网络设备,安全设备,服务器,终端机的安全事件日志统一采集,分析,输出各类法规要求安全事件审计报告,制定标准安全事件应急响应工单流程。
2 应用实例
近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,某医院的核心系统按照等级保护三级标准建设信息系统安全体系,全面保护医院内网系统与外网系统的信息安全。
医院网络的安全建设核心内容是将网络进行全方位的安全防护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护;通过安全域划分,实现对不同系统的差异防护,并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异,各自可能具有不同的安全防护需求,因此需要将不同特性的系统进行归类划分安全域,并明确各域边界,分别考虑防护措施。经过梳理后的医院网络信息系统安全区域划分如图2所示,外网是一个星型的快速以太交换网,核心为一台高性能三层交换机,下联内网核心交换机,上联外网服务器区域交换机和DMZ隔离区,外联互联网出口路由器,内网交换机向下连接信息点(终端计算机),外网核心交换机与内网核心交换机之间采用千兆光纤链路,内网交换机采用百兆双绞线链路下联终端计算机,外网的网络安全设计至关重要,直接影响到等级保护系统的安全性能。
图 2 医院网络信息系统安全区域划分图
2.1外网网络安全要求
系统定级为3级,且等级保护要求选择为S3A2G3,查找《信息系统安全等级保护基本要求》得到该系统的具体技术要求选择,外网网络安全要求必须满足如下要求:边界完整性检查(S3) 、入侵防范(G3) 、结构安全(G3) 、访问控制(G3) 、安全审计(G3) 、恶意代码防范(G3) 和网络设备防护(G3) 。
2.2网络安全策略
根据对医院外网机房区域安全保护等级达到安全等级保护3级的基本要求,制定相应的网络安全策略
1) 网络拓扑结构策略
要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。要采取一定的技术措施,监控网络中存在的安全隐患、脆弱点。并利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
2) 访问控制策略
访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够连入内部网络,那些用户能够通过哪种方式登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
3) 网络入侵检测策略
系统中应该设置入侵检测策略,动态地监测网络内部活动并做出及时的响应。
4) 网络安全审计策略
系统中应该设置安全审计策略,收集并分析网络中的访问数据,从而发现违反安全策略的行为。
5) 运行安全策略
运行安全策略包括:建立全网的运行安全评估流程,定期评估和加固网络设备及安全设备。
2.3网络安全设计
根据对医院外网安全保护等级达到安全等级保护3级的基本要求,外网的网络安全设计包括网络访问控制,网络入侵防护,网络安全审计和其他安全设计。
1) 网络访问控制
实现以上等级保护的最有效方法就是在外网中关键网络位置部署防火墙类网关设备,采用一台天融信网络卫士猎豹防火墙、一台CISCO公司的PIX515和一台网络卫士入侵防御系统TopIDP。
①外网互联网边界防火墙:在局域网与互联网边界之间部署CISCO公司的PIX515百兆防火墙,该防火墙通过双绞线连接核心交换区域和互联网接入区域,对外网的互联网接入提供边界防护和访问控制。
②对外服务区域边界防火墙:对外服务区域与安全管理区域边界部署一台千兆防火墙(天融信NGFW4000-UF),该防火墙通过光纤连接核心交换机和对外服务区域交换机,通过双绞线连接区域内服务器,对其他区域向对外服务区域及安全管理区域的访问行为进行控制,同时控制两个区域内部各服务器之间的访问行为。
③网络入侵防御系统:在托管机房区域边界部署一台网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,为托管机房区域提供边界防护和访问控制。
2) 网络入侵防护
外网局域网的对外服务区域,防护级别为S2A2G2,重点要实现区域边界处入侵和攻击行为的检测,因此在局域网的内部区域边界部署网络入侵检测系统(天融信网络入侵防御系统TopIDP);对于外网托管机房的网站系统,防护级别为S3A2G3,由于其直接与互联网相连,不仅要实现区域边界处入侵和攻击行为的检测,还要能够有效防护互联网进来的攻击行为,因此在托管机房区域边界部署网络入侵防御系统(启明星辰天阗NS2200)。
①网络入侵防御系统:在托管机房区域边界部署一台采用通明模式的网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,其主要用来防御来自互联网的攻击流量。
②网络入侵检测系统:在外网的核心交换机上部署一台千兆IDS系统,IDS监听端口类型需要和核心交换机对端的端口类型保持一致;在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至IDS监听端口;IDS用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行检测。
3) 网络安全审计
信息安全审计管理应该管理最重要的核心网络边界,在外网被审计对象不仅仅包括对外服务区域中的应用服务器和安全管理区域的服务器等的访问流量,还要对终端的互联网访问行为进行审计;此外重要网络设备和安全设备也需要列为审计和保护的对象。
由于终端的业务访问和互联网访问都需要在网络设备产生访问流量,因此在外网的核心交换机上部署网络行为审计系统(天融信网络行为审计TopAudit),交换机必需映射一个多对一抓包端口,网络审计引擎通过抓取网络中的数据包,并对抓到的包进行分析、匹配、统计,从而实现网络安全审计功能。
①在外网的核心交换机上部署一台千兆网络安全审计系统,监听端口类型需要和核心交换机对端的端口类型保持一致,使用光纤接口;
②在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至网络安全审计系统的监听端口;
③网络安全审计系统用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行安全审计;
④开启各区域服务器系统、网络设备和安全设备的日志审计功能。
4) 其他网络安全设计
其他网络安全设计包括边界完整性检查,恶意代码防范,网络设备防护,边界完整性检查等。
①边界完整性检查:在托管机房的网络设备上为托管区域服务器划分独立VLAN,并制定严格的策略,禁止其他VLAN的访问,只允许来自网络入侵防御系统外部接口的访问行为;对服务器系统进行安全加固,提升系统自身的安全访问控制能力;
②恶意代码防范:通过互联网边界的入侵防御系统对木马类、拒绝服务类、系统漏洞类、webcgi类、蠕虫类等恶意代码进行检测和清除;部署服务器防病毒系统,定期进行病毒库升级和全面杀毒,确保服务器具有良好的防病毒能力。
③网络设备防护:网络设备为托管机房单位提供,由其提供网络设备安全加固服务,应进行以下的安全加固:开启楼层接入交换机的接口安全特性,并作MAC绑定; 关闭不必要的服务(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服务等), 登录要求和帐号管理, 其它安全要求(如:禁止从网络启动和自动从网络下载初始配置文件,禁止未使用或空闲的端口等)。
3 结束语
信息安全等级保护是实施国家信息安全战略的重大举措,也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据,在实行安全防护系统建设的过程中,应当按照等级保护的思想和基本要求进行建设,根据分级、分域、分系统进行安全建设的思路,针对一个特定的信息系统(医院信息管理系统)为例,提出全面的等级保护技术建设方案,希望能够为用户的等级保护建设提出参考。
参考文献:
[1] 徐宝海.市县级国土资源系统信息网络安全体系建设探讨[J].中国管理信息化,2014(4).
[2] 李光辉.全台网信息安全保障体系初探[J].电脑知识与技术,2013(33).
关键词:网络安全;风险评估;安全措施
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
频频发生的信息安全事件正在日益引起全球的关注,列举的近年来的网络突发事件,不难发现,强化提升网络安全风险评估意识、强化信息安全保障为当务之急。所谓风险评估,是指网络安全防御中的一项重要技术,它的原理是,根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。完成一个信息安全系统的设计与实施并不足以代表该信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。
2 网络安全风险评估的现状
2.1 风险评估的必要性
有人说安全产品就是保障网络安全的基础,但有了安全产品,不等于用户可以高枕无忧地应用网络。产品是没有生命的,需要人来管理与维护,这样才能最大程度地发挥其效能。病毒和黑客可谓无孔不入,时时伺机进攻。这就更要求对安全产品及时升级,不断完善,实时检测,不断补漏。网络安全并不是仅仅依靠网络安全产品就能解决的,它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。通常,在一个企业中,对安全技术了如指掌的人员不多,大多技术人员停留在对安全产品的一般使用上,如果安全系统出现故障或者黑客攻击引发网络瘫痪,他们将束手无策。这时他们需要的是安全服务。而安全评估,便是安全服务的重要前期工作。网络信息安全,需要不断评估方可安全威胁。
2.2 安全评估的目标、原则及内容
安全评估的目标通常包括:确定可能对资产造成危害的威胁;通过对历史资料和专家的经验确定威胁实施的可能性;对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;准确了解企业网的网络和系统安全现状;明晰企业网的安全需求;制定网络和系统的安全策略;制定网络和系统的安全解决方案;指导企业网未来的建设和投入;通过项目实施和培训,培养用户自己的安全队伍。而在安全评估中必须遵循以下原则:标准性原则、可控性原则、整体性原则、最小影响原则、保密性原则。
安全评估的内容包括专业安全评估服务和主机系统加固服务。专业安全评估服务对目标系统通过工具扫描和人工检查,进行专业安全的技术评定,并根据评估结果提供评估报告。
目标系统主要是主流UNIX及NT系统,主流数据库系统,以及主流的网络设备。使用扫描工具对目标系统进行扫描,提供原始评估报告或由专业安全工程师提供人工分析报告。或是人工检查安全配置检查、安全机制检查、入侵追查及事后取证等内容。而主机系统加固服务是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
系统加固报告服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出加固报告。系统加固报告增强服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。系统加固实施服务选择使用该服务包,必须以选择 ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由专业安全工程师实施加固工作。
3 网络安全风险评估系统
讨论安全评定的前提在于企业已经具有了较为完备的安全策略,这项工作主要检测当前的安全策略是否被良好的执行,从而发现系统中的不安全因素。当前计算机世界应用的主流网络协议是TCP/IP,而该协议族并没有内置任何安全机制。这意味着基于网络的应用程序必须被非常好的保护,网络安全评定的主要目标就是为修补全部的安全问题提供指导。
评定网络安全性的首要工作是了解网络拓扑结构,拓扑描述文档并不总能反映最新的网络状态,进行一些实际的检测是非常必要的。最简单的,可以通过Trackroute工具进行网络拓扑发现,但是一些网络节点可能会禁止Trackroute流量的通过。在了解了网络拓扑之后,应该获知所有计算机的网络地址和机器名。对于可以访问的计算机,还应该了解其正在运行的端口,这可以通过很多流行的端口发现工具实现。当对整个网络的架构获得了足够的认知以后,就可以针对所运行的网络协议和正在使用的端口发现网络层面的安全脆弱点了。通常使用的方法是对协议和端口所存在的安全漏洞逐项进行测试。
安全领域的很多专家都提出边界防御已经无法满足今天的要求,为了提高安全防御的质量,除了在网络边界防范外部攻击之外,还应该在网络内部对各种访问进行监控和管理。企业组织每天都会从信息应用环境中获得大量的数据,包括系统日志、防火墙日志、入侵检测报警等。是否能够从这些信息中有效的识别出安全风险,是风险管理中重要一环。目前的技术手段主要被应用于信息的收集、识别和分析,也有很多厂商开发出了整合式的安全信息管理平台,可以实现所有系统模块的信息整合与联动。
数据作为信息系统的核心价值,被直接攻击和盗取数据将对用户产生极大的危害。正因为如此,数据系统极易受到攻击。对数据库平台来说,应该验证是否能够从远程进行访问,是否存在默认用户名密码,密码的强度是否达到策略要求等。而除了数据库平台之外,数据管理机制也应该被仔细评估。不同级别的备份措施乃至完整的灾难备份机制都应该进行有效的验证,不但要检验其是否存在安全问题,还要确认其有效性。大部分数据管理产品都附带了足够的功能进行安全设定和数据验证,利用这些功能可以很好的完成安全评定工作并有效的与安全策略管理相集成。攻击者的一个非常重要目的在于无需授权访问某些应用,而这往往是获得系统权限和数据的跳板。事实上大部分的安全漏洞都来自于应用层面,这使得应用程序的安全评定成为整个工作体系中相当重要的一个部分。与更加规程化的面向体系底层的安全评定相比,应用安全评定需要工作人员具有丰富的安全知识和坚实的技术技能。
4 结束语
目前我国信息系统安全风险评估工作,在测试数据采集和处理方面缺乏实用的技术和工具的支持,已经成为制约我国风险评估水平的重要因素。需要研究用于评价信息安全评估效用的理论和方法,总结出一套适用于我国国情的信息安全效用评价体系,以保证信息安全风险评估结果准确可靠,可以为风险管理活动提供有价值的参考;加强我国信息安全风险评估队伍建设,促使我国信息安全评估水平得到持续改进。
参考文献:
[1] 陈晓苏,朱国胜,肖道举.TCP/IP协议族的安全架构[N].华中科技大学学报,2001,32-34.
[2] 贾颖禾.国务院信息化工作办公室网络与信息安全组.信息安全风险评估[J].网络安全技术与应用,2004(7),21-24.
[3] 刘恒,信息安全风险评估挑战[R],信息安全风险评估与信息安全保障体系建设研讨会,2004.10.12.
[4] [美]Thomas A Wadlow.网络安全实施方法.潇湘工作室译.北京:人民邮电出版社,2000.
[5] 张卫清,王以群.网络安全与网络安全文化[J].情报杂志,2006(1),40-45
[6] 赵战生,信息安全风险评估[R],第全国计算机学术交流会,2004.7.3.
【关键词】数据通信;网络维护;网络安全;问题分析
服务器虚拟化的互感器加密等级越高,其信息平台防扩散效果越好。采用位串描述检测器对计算机网络系统的模式匹配进行检测,从而提高网络安全的防护等级。强化对于技术人员计算机网络通信网络安全管理意识的培养,操作人员应该运用计算机多进制的通信加密方式,对繁杂的信息大数据进行传输和有效处理,实现网络信息系统的远程操纵,保证服务器虚拟加密过程不受外界的攻击。
1数据通信网络维护分析
由于网络中由于高速运行的过程中,往往会产生一些漏洞,这些漏洞一般是由病毒攻击导致的。如果出现无人照看的安全漏洞系统进一步发展,就会造成整个服务器瘫痪的严重问题。提升数据通信网络系统的安全性,技术人员应该定期对计算机病毒进行查杀,防止非自体的不良数据信息入侵网络系统。建立更加安全的计算机网络免疫系统,对非自串进行准确识别。在网站服务器搭建的过程中,针对互联网环境分配的情况不同,使用不同的IP段地址来保证信息传播的安全,或者使用划分VLAN的形式,对网站信息码流开展有效的逻辑隔离。
2数据通信网络维护分析及网络安全问题探讨
2.1运用新的防护墙技术,开展网络安全科学架构建设
由于计算机网络接入层中涉及到许多的硬件设备,硬件条件的稳定可靠决定了计算机网络的可靠程度的高低。可将相邻的两个介入交换机进行堆砌,同时将终端的服务器设备整体介入到连接线路中,再使用捆绑的形势将诸多的设备形成一条效率更高、性能更稳定的虚拟链接。开展数据通信网络状态分析,网络工程技术人员应该运用新的防护墙技术,开展网络安全科学架构建设。运用转入性防火墙技术规则结构,开展网络访问界面的信息过滤探索。并且,每一次登录后台系统,必须要采用输入安全密钥的方式,才能够顺利进入。采用此种登录方式,重点在于防止闲杂人员进入系统的后台,对网络信息的系统安全造成破坏。运用新的防火墙技术对系统安全进行防护,网络工程技术人员必须要使用安全操作允许的数据交换方式,进行网络后台系统的层层加固。在转入性防火墙的技术保护规则之下,用户访问的时候需要提供本身的端口协议,采用这种信息过滤技术,能够将不符合要求的信息进行过滤。并且,将带有安全隐患的信息端口自动转到其他的web控制台进行处理。开展网络安全系统加固操作,技术人员需要根据信息反馈进行技术规则优化。根据验证用户提供的端口协议进行分析,并且建立更加符合操作要求的规则协议模块。为了更好的维护计算机安全,必须要向广大的人民群众普及计算机故障排除和预防方法。从社会宣传和预防的角度来说,首先要制定强有力的计算机内部系统的法律法规,加强大众计算机常识性教育,通过多层网络结构有效地隔离各种故障,简化网络运行性,切实提高链接线路的使用效率和网卡介入水平。推行网络文明和信息安全,运用新的防护墙技术,技术人员应该对网络信息安全操作允许的系统记录和接口进行加密,安全操作的访问权限应该限制在网络内部人员中使用。
2.2加强网络环境信道测试,及时修复通信漏洞
采用信道测试的方式,对当前的网络环境进行安全测试,能够及时地发现安全系统中的漏洞,根据网络系统中的安全隐患进行修复,从而显著增强内部网络的安全性。在网络性能测试活动中,技术人员应该采用数据电路测试的方式,在DTE的两端接口处,进行信道测试。使用调制解调器进行规程测试,能够显著提升信道测试的有效性,从而有效排除数据电路测试中的信号干扰因素。内部系统盘尽量不要与外部信息端口随意接入,在网络运营中必须要进行科学的网络系统管理,如果确实需要进行外部端口接入时,一定要对其进行信息保障化处理。从网络安全防护体系建设出发,显著提升网络系统的安全性。对ACL访问方式进行控制,采用信息过滤的方式,对于不信任的访问进行拦截,从而有效防范DOS攻击。使用IPSEC-VPN组网方式,对数据通讯系统的安全性进行加固,从而提升数据通讯系统的数据处理能力。将NAT地址进行隐藏,从而减少黑客攻击的命中率。采用一系列的软件升级新技术,对网络环境安全进行深度保障性建设。
2.3重点防范木马攻击,建立严格的网路安全检查制度
为了提升数据通信的工作效率,维护网络整体安全,技术人员应该对WEB安全进行防护,重点防范可能存在的木马攻击。对于不明来历的储存卡和USB设备,应该禁止将其接入到内部网络中,防止出现数据系统感染问题。加强对于WEB系统的安全防范,经常性地检查内部窗口是否处于正常的运转状态,防止网页被恶意篡改。通常多层网络结构中包括计算机的接入层、操作室的核心层和内部信息的分布层,从计算机网络系统的管理方面来看,为了提高网络的可靠性,必须要对终端接入的可靠性进行稳定。加强设备自身安全性建设,对系统进行定期的检查,对于网络系统的脆弱部分进行定期的优化与升级处理。建立能够抵抗DOS和DDOS攻击的数据通信网络系统。核心设备的访问方面,应该采用管理员SSL加密登录的方式,实现业务与管理界面分离。并且登录密码应该采用防破解设计方式,采用固定密码配合动态密码的方式,提升密码系统的安全性。
3结束语
为了适应经济社会发展和办公环境的需要,必须要采取合理有效的措施提高计算机网络的可靠性.可以通过提高计算机网络的可靠性,注重计算机系统软件升级,运用新的安全防护方式,实现网络通信模式的升级。
参考文献
[1]郭建英.数据通信网络维护与网络安全问题的探讨[J].科技资讯,2011(26):9-9,11.
[2]石加歆.对通信网络维护以及网络的安全之我见[J].城市建设理论研究(电子版),2012(02).
[3]毕丽红.基于LonWorks智能建筑实验系统网络研究与设计[D].保定:华北电力大学,2006.
路由器是局域网之中非常重要的一种网络设备,其主要在网络层实现子网之间以及内外数据的转发,是不同网络之间进行数据交换及通信的一个重要通道。当前,很多路由器可集成防火墙等安全模块,对网络起到安全加固的作用。所以,路由器往往是病毒入侵的第一道屏障。目前,各大小石油企业均使用Cisco(思科)路由器及交换机对该企业局域网进行安全加固,从而在很大程度上提高了石油企业的网络安全以及提高了企业的生产效益。
【关键词】Cisco路由器 交换机 安全加固
由“木桶”原理可以得知,一个木桶可以装多少水,受到该木桶最短的那块木板所决定。具体到信息系统的安全也是同样的道理,整个信息系统的安全程度也受到信息系统之中最薄弱的环节所决定,网络作为信息系统的主体,其安全需求的重要性是显而易见的。本文主要对石油企业Cisco路由器及交换机安全加固措施进行分析,旨在为石油企业的网络安全运行提供一定的参考依据。
1 概述
目前,很多石油企业局域网的建设全部或者部分采用Cisco(“思科”)的路由器与交换机,究其原因,笔者认为,这主要是由于该设备的功能非常强大,工作性能稳定性好,其互联网操作系统(IOS)在网络安全策略等方面均具有独特的考虑,使用IOS的安全策略功能,不需要单独地购置安全管理软件,就能够很好地实现绝大部分的安全功能,使得石油企业局域网运行于较安全的环境之中。
运用Cisco的路由器与交换机,构筑成为一个典型的基于第三层交换技术的高性能千兆石油企业局域网,其具体拓扑结构示意图如图1所示,以Catalyst-4006作为核心交换机,5台Catalyst-2950G构成汇聚层,20台Catalyst-2924与Catalyst-1924构成接入层,1台4500型路由器做边缘路由器,通过2MDDN线路与CERNET地区网络中心相连接,1台2511型做远程访问服务器,作用是提供拨号用户使用。
应用Cisco路由器与交换机,石油企业可实现如下几个方面的网络安全策略:路由器安全策略、用户主机安全策略、交换机安全策略、服务器安全策略以及网络访问安全策略等。
2 Cisco路由器安全加固策略
众所周知,对于一个网络而言,路由器是网络的核心部分,其实际配置情况对整个网络的正常工作与运行均具有十分重要的意义与价值,在实际过程中,应只允许授权的主机对路由器进行远程登录,而禁止未授权的主机进行登录。在路由器的全局配置条件下,设置标准访问控制表,且在全部的虚接口上进行应用,应用的方向为in,如此,就能够很好地保证只有授权的主机远程登录路由器且修改其配置,实际过程中,路由器的主要配置为:
access-list 1 permit 202.115.145.66 line vty 04
access-class 1 in
表示仅允许主机202.115.145.66远程登录至路由器。
3 Cisco交换机安全加固策略
3.1 Cisco交换机地址的配置
为了能够便于管理,可将交换机配置IP地址。例如可将IP地址进行配置,192.168.0.0,就能够禁止非本企业的主机对交换机进行访问。将企业内全部的交换机均应置于一个虚拟网络之中(常见的为VLAN-2)之中,在交换机之中可进行如下配置:
Interface vlan 2
in address 192.168.0.3 255.255.255.0
3.2 配置允许访问交换机的主机
经过上述的安全加固策略的实施,Cisco交换机的访问被限制于石油企业内部,而且还能够在石油企业内部网络的三层交换机4006上面,将访问控制表进行配置,将其用于Cisco交换机的虚拟网络之中,应用的方向属于in,仅仅允许石油企业内所指定的主机能够访问该交换机所在的虚拟网络,而其他主机(如其他石油企业的主机)不能对该虚拟网络进行访问,那么这就阻止了其对本石油企业Cisco交换机的访问,因此也就无法获取本企业Cisco交换机中的任何数据。在三层交换机4006型上进行如下的配置:
access-list 10 permit 202.115.145.66
interface vlan 2
in access-group 10 in
经过上述安全加固策略的实施,只有IP地址为202.115.145.66的配置能够访问本石油企业局域网网络交换机。
3.3 允许远程登录交换机主机的配置
允许访问交换机的主机,应该注意对远程登录该交换机的过程进行限制。只允许被授权的主机进行登录,从而对相关的配置参数加以修改。在交换机的全局配置条件下,设置标准的访问控制表,用于虚拟接口的0~15上面,应用的方向为in。交换机上面的具体配置如下:
access-list 1 permit 202.115.145.66
line vty 0 15
access-class 1 in
如此,仅仅允许主机202.115.145.66对交换机进行远程登录,从而能够修改交换机的具体配置。
4 结论
综上所述,本研究主要对Cisco路由器与交换机在石油企业网络之中的安全策略。若在石油企业网络构建过程中,采用本文所提出的网络安全解决策略,能够很好地满足石油企业的绝大多数安全需求,以最大程度地减少网络建设所需的各种费用。
参考文献
[1]张秀梅.网络入侵防御系统的分析与设计[J].信息与电脑,2009(07):1-2.
[2]马丽,袁建生,王雅超.基于行为的入侵防御系统研究[J].网络安全技术与应用,2010(06):33-35.
[3]郭翔,谢宇飞,李锐.校园网层次型网络安全设计[J].科技资讯,2010(9):26.
[4]杨森.浅谈思科路由器使用安全对策[J].房地产导刊,2013(7):371-372.
[5]王均.杨善林.VLAN技术在网络中的应用[J].电脑与信息技术,2000,(2).
作者单位
目前我国网络安全问题因为硬件、软件技术及相关标准的缺失已经非常迫切,有关国家政策和组织机构的确立是最及时的决策和弥补。今年2月份,针对国家网络安全的挑战,中央网络安全和信息化领导小组成立,标志着我国已经将网络安全提到了国家战略的高度,打造一张安全网络已经不是“纸上谈兵”。
网络上的中国安全现状
“中国已经是一个网络大国,但大而不强。”在首都网络安全日“企业级信息安全技术高峰论坛暨中关村信息安全产业联盟移动计算工作组成立仪式”上,国家信息化专家咨询委员会委员汪玉凯表示,网络大而不强有四个标志:中国信息化排名不断下降;宽带建设比较落后;自主创新动力不足,关键技术受制于人;我国不同地区间“数字鸿沟”问题突出。
据权威机构统计的数据显示,目前我国互联网用户已经超过6亿,同时互联网企业的数量和规模正迅猛增长。互联网技术和应用带来的海量数据爆发性增长后,其安全问题逐渐显现,各类网络攻击、信息泄密、网络谣言等网络安全事件频发。诸如中国人寿80万页保单泄露,如家和汉庭等多家商业酒店用户信息泄露、圆通速递快件单信息倒卖等信息泄露事件等;“套餐窃贼”窃取70万用户信息、“支付鬼手”木马侵害手机支付安全、三星Galaxy S4出现高危短信欺诈漏洞、新型诈骗短信威胁移动安全、百度云盘手机版高危漏洞等等。
另一个在网络安全行业闹得沸沸扬扬的是OpenSSL漏洞。目前多数SSL加密网站都是用名为OpenSSL的开源软件包,其漏洞也被业界称之为“心脏出血”。今年4月9日上午,北京大学和清华大学某项网络服务被检测到存在“心脏出血”漏洞,同时也监测到来自北京联通的一个IP针对这些服务进行漏洞探测。360首席运营官谭晓生说,黑客通过“心脏出血”漏洞窃取数据,以64K为单位,一个包一个包地偷。SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。除了PC网站之外,移动互联网同样广受其害。
与此同时,随着“斯诺登事件”的曝光,来自网络空间上的全球争夺战也在打响。美国等大国纷纷加强网络防御,加大在网络空间的部署,国家级网络冲突的风险进一步增加。其次,西方国家频繁启动贸易保护安全壁垒,信息安全也成为中兴、华为等企业进入欧美市场的主要争论焦点。
今年正好是中国全面接入互联网20周年,各有关部门和行业负责人都对互联网20年现象进行了热烈的讨论,其中一个重要问题也是网络安全。工业和信息化部软件与集成电路促进中心主任邱善勤表示,目前我国关键信息系统主要面临设备被控、数据被窃及业务被瘫三类威胁。在美国“金刚”面前,我国的信息化应用系统几乎是“裸奔”状况。
随着信息化和网络化的快速推进,各类网络安全事件的影响程度将逐步加大,经济信息安全问题日益显现,网络安全保障需求也在快速增长。我们迫切需要重视网络安全发展战略,提升网络安全的保障能力,建起一张坚固可靠可信的安全网络。
建立全面的安全网络
2014年纽约时报爆出美国国安局窃取了华为的产品源代码和上千名客户资料,其数据量之大让人吃惊。尽管这些数据造成的损失目前还未有公开的进行统计,但是估计其对华为的后续商业活动必将造成极大的影响。同时通过这一窃密事件,更反映了当前我国企业的网络安全存在极大的漏洞。
在现实生活中,企业因为安全和信息化建设的不同步,造成的安全漏洞比比皆是。据记者了解,目前不少单位已经要求在信息化系统建设时同步进行安全规划与设计,但在随后的详细设计及开发环节就开始“分道扬镳”,从而导致信息系统的安全性与最初的规划设计风牛马不相及,要不就是在市场上随便找些安全产品补补“漏洞”,最终结果是安全规划设计形同虚设。
今年成立的国家网络安全和信息化领导小组提出“网络安全与信息化是一体之双翼”,将安全与信息化提到同等重要的高度上。那么在大型政企信息化建设工作中,如何有效落实“一体双翼”,真正达到“安全”与“信息化”齐头并进的效果?改变现状的有效办法是必须在详细设计及开发环节也要保持“安全”与“业务”的同步,将安全与应用在代码级实现接口,并建立紧密相关的联动机制,从而迫使两者同步推进。
同时,自主信息产业生态环境建设要围绕国家安全需要。特别是在集成电路、核心电子元器件、基础软件等核心关键技术领域取得突破,推动关键信息技术产品的国产化替代,在关系国家安全的重点领域有序开展国产产品和设备的替代工作。
微软今年宣布停止升级windows X P,对中国的信息安全产生严重影响。目前微软希望用户升级到Windows 8,但是如果升级到Windows 8,问题会更为严重。Windows 8跟可信计算严格绑定,所有的可信安全控制权全部由美国接管,改一个代码都要经过微软的认定批准,这会产生非常严重安全的问题。
关键词:计算机网络;安全管理;EAD
中图分类号:TP393.08
1 安全管理体系结构及功能
1.1 安全管理体系结构
网络安全是企业安全有效运行的保障,安全管理体系主要包括安全策略、安全运作、安全管理等。安全策略管理是企业网络安全运行的体系基础,有利于项目建设规范化管理和运行和安全工作的开展。安全基础设施系统主要有访问控制、桌面管理、认证管理、防垃圾系统、服务器监控与日志统一管理系统、漏洞扫描系统、服务器加固系统等。莱钢计算机网络整体架构图如图1所示。
1.2 安全管理系统功能
安全管理系统的功能将所管辖的IP计算机信息根据分类登记,有利于其他安全管理模块进行数据连接和信息共享,并配备服务器和交换机加固工具,及时掌握网络中各个系统的最新安全风险动态,并及时的对服务器文件、进程、注册表等进行保护。安全监控系统是监控全网事件报警信息,对当前事件进行安全监督和实时监控,有利于企业网络安全运行和业务系统的安全性,监控的产品主要包括网络中的设备、日志相关信息、相关事件的报警信息等。
2 网络系统安全体系的设计与实施
2.1 身份认证系统设计分析
网络安全运维管理中心设置在信息中心,担负全网桌面安全管理,通过制定相关策略、委派安全角色,对全网数据进行统计分析和安全管理,并通过一系列的安全运行策略建立安全身份认证体系。莱钢统一身份认证系统架构图如图2所示。
RSA SeucrID由认证服务器RSA ACE/Server、软件RSA ACE/Agent、认证设备以及认证应用编程接口(API)组成。RSA ACE/Server软件是网络中的认证引擎,由安全管理员或网络管理员进行维护。
2.2 计算机资产安全管理系统
计算机资产安全管理为莱钢的高层管理人员提供全网资源的多维度分析报表。信息中心成为莱钢的IT系统的“安全策略中心”、“安全管理中心”、“数据汇聚中心”和“报表总中心”。下设一级管理中心,分布在各分部,由总中心授权负责对分部人员权限管理和桌面系统管理,并具体实现对各终端桌面目录、桌面管理、软件分发、系统自动升级管理、信息安全和管理监控功能。软件分发工具大大提高了莱钢桌面计算机管理的自动化程度,提高管理效率。自动化的工作流程还可以避免人工操作带来的风险,使莱钢的桌面计算机上的资产得到更好的保护。通过软件分发机制,从桌面计算机标准化支撑平台将软件分发到指定的桌面计算机和支撑平台内部指定的服务器,消除对桌面计算机和服务器的访问等人为因素导致的错误。及时安装操作系统更新补丁,避免成为黑客和病毒的攻击对象。及时安装应用程序的补丁,减少安全隐患,增加应用程序稳定性和功能。对服务器系统的补丁需要经过评估对现有系统的影响,避免出现业务系统故障。服务器系统的补丁需要利用自动检测技术,通过人工的评估,再实现自动分发和手工安装。
2.3 EAD端点准入防御体系
EAD安全准入主要是通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略的用户终端进行网络隔离,并帮助终端进行安全修复,以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。
2.4 网络安全模型的设计
从网络安全、应用安全、管理安全的角度出发,设计归纳莱钢网络系统安全模型,主要包括:(1)网络架构防护:采用网络边界防毒、统一身份认证技术和针对于网络设备和网络服务器的漏洞扫描技术;(2)应用系统风险防护:采用的主要技术包括防病毒技术、服务器系统加固技术、计算机资产安全管理技术、补丁管理技术、主页防篡改技术、防垃圾邮件技术、灾难备份恢复技术及统一日志管理技术;(3)安全管理体系建立:通过对安全策略进行有效的和贯彻执行,可以规范项目建设、运行维护相关的安全内容,指导各种安全工作的开展和流程,确保IP网的安全;(4)集中管理、整合监控:对计算机系统进行综合集中管理,对日常的系统、网络、资产以及安全等日常运行能够拥有较为统一的管理入口,对系统网络可用性、资产有效性、安全防范诸多管理功能的组件进行事件级的整合、分析和响应。
3 结束语
互联网已经深度渗透到各个领域,成为事关国家安全的基础设施和斗争,网络安全是保证各种应用系统数据安全的重要基础,必须加强和采取有效的预防措施,掌握网络资源状况及实用信息,可提高网络管理的效率。
参考文献:
[1]温贵江.基于数据包过滤技术的个人防火墙系统设计与研究[D].吉林大学,2010.
[2]衷奇.计算机网络信息安全及应对策略研究[D].南昌大学,2010.
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(Electronic Commerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(Electronic Commerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
购物车(0)
