工業網絡安全建設
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇工業網絡安全建設范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
工業網絡安全建設范文第1篇
關鍵詞:樹莓派;工業無線網絡;無線網絡信息監測;系統設計研發;系統集成
煙草商業單位物流分揀和手持射頻槍掃碼打碼環節是物流生產的重要環節,該環節中需要通過無線通信設備完成與總控中心的的信息交換。由于市場上使用較廣的商用無線WIFI(如無線辦公網絡)通訊協議安全隱患日益增高,存在攻擊行為、無線網絡信道干擾的可能性,如無線環境下的物流激光制導小車AGV(Automated Guided Vehicle)中央控制系統完全依靠無線網絡完成對AGV的交通管理功能,如果無線網絡間存在干擾或者出現假冒生產接入服務集標識SSID(Service Set Identifier),會造成AGV無法實時接收到上位機的指令,從而導致停車撞車的危險發生。為解決此問題,本文設計實現了一套適用于煙草物流配送中心高架庫環境下進行空中WIFI信號數據實時監測,定位各類異常行為進行及時預警的監測系統。該系統解決了傳統工業無線網絡信號不易采集格式化分析的技術難題,將自動基線分析與閾值分析方法引入到信號分析研判,同時將內存數據庫與最新版樹莓派2設備作為系統的系統和數據分析的承載平臺,解決了系統在高架庫環境下的易用性和穩定性。
1.系統架構
為了實現對于高架庫為代表的無線WIFI通訊環境有效監測,在系統設計中采用開源技術軟件作為基礎技術支撐,通過前期的現場調研建立了物流環節關鍵場景的高架庫AGV工作環境下的標準數據分析整理,并依據采樣數據建立了生產網絡中通過還原數據包對應到工業控制生產過程中各類異常行為分析模型。其具體設計步驟為:(1)通過多次現場數據采樣建立無線通訊,還原通訊行為中的生產動作,建立基線與異常分析匹配模型,設計實現WIFI全頻道通訊掃描技術實現有效的無線數據通訊和實時監測。(2)通過標準企業接口,將系統告警信息與企業已有運維管控系統實現對接,實現系統間的緊密集成。(3)構成可以支持高架庫安全生產運行監控的信息子系統。
1.1高架庫無線環境對于安全監測的需求
某煙草物流配送中心面積約2萬平方米,其中高架庫現場車間面積約為3800平方米,已經完整實現物流AGV小車的在區域內自動行走工作,通過無線網絡監控中心實時讀取物流AGV小車的運行狀態,及時讀取到小車的故障和報警,并針對不同的狀況控制物流AGV小車的具體動作。傳統有線網絡的網管監測軟件已經應用成熟,但是對于無線網絡環境下的通訊分析專業化軟件相對減少,尤其是可以長時間持續監測工作的系統同時具備特定環境感知分析的系統,市場上更是難以尋覓成熟產品。隨著工業網絡安全風險形勢愈加嚴峻,通過無線網絡進行信息化管理的規模越來越大,有效填補無線網絡監測分析預警,持續改善無線網絡通訊質量,推進業務生產信息化精益管理,已經成為煙草商業單位的迫切需求,樹莓派上運行的LINUX系統對于無線網絡監測本身具有天然良好支撐特性,為設計開發一套可以高效智能的無線網絡監測系統提供了較為理想的實現方案。
為充分滿足煙草商業物流高架庫現場工作環境需要,本文設計出一套在高架庫環境下可以進行無線通訊數據持續監測的預警系統,通過該系統可以切實加強高架庫環境下各類異常行為的分析感知。系統設計基本思路是:以異常行為分析模式庫為核心,引入嵌入式系統開發實現全頻道掃頻采集分析,充分利用雙數據庫(內存實時數據庫和關系型數據庫)支撐高效分析實時數據,搭建高架庫環境下無線數據的全頻道掃描安全監測系統,實現對無線數據通信進行數據捕獲,將數據進行本地格式化后并快速分析,通過提前預設監測黑、白名單、監測閾值和告警規則設置對可能出現的各類異常行為進行及時預警。
1.2整體架構
為了使系統架構較好的適應無線通訊網絡信息分析的擴展性和集成性要求,系統體系結構采用B/s架構,分成了無線采集端、分析引擎端和集成監控展示端,同時后臺配置有統一的監測分析策略庫進行支撐(見圖1)。數據采集端完成生產環境下的無線信號采集,無線監測分析引擎作為系統核心實現數據采集、實時格式化分析、關聯分析和告警等關鍵功能,集中的監控展示提供了良好的人機交互界面,為一線生產車間運維人員提供了從實時監測到告警研判分析的處置界面。統一監測分析策略庫則存儲各類分析場景庫和監測閾值信息,是系統關鍵的智能處置大腦核心。
2.技術實現
2.1高架庫環境無線網絡數據采集
生產環境的無線數據高效捕獲是系統的核心能力,其難點在于目前市場沒有相似成熟產品技術可以直接應用,對于無線通訊標準13個頻道的輪詢分析也無單無線網卡的實現技術方案。在本系統的設計研發中系統的無線數據采集工作借助于嵌入式LINUX平臺,通過修改對應網卡LINUX驅動程序,在系統內核中增加并實現對無線網絡數據捕獲支持功能,在煙草物流高架庫的工業網絡環境工作頻道一般為1-611三個頻道,高架庫內部署了3臺工業無線AP進行通訊數據漫游。
無線局域網中所有的數據包均在空中傳輸,每個數據包中都包含應該接收該數據包的主機的MAC地址。在正常工作模式下,工作在鏈路層的網卡驅動程序根據該地址進行相應的處理,如果不是自己網卡的MAC地址,也不是廣播地址,不論數據包中MAC地址是什么,網卡驅動程序直接拋棄,不向上層提交。但如果將無線網卡設為監聽模式,主機上的處理程序就可以得到發往其他機器的數據包。
為了實現工業無線網路信號的捕獲,系統設計自主實現了無線網絡封包分析軟件,在嵌入式設備工作環境下可以高效率的實現對于無線網絡通訊數據的捕獲和格式化分析。網絡封包分析軟件的功能是擷取網絡封包,并盡可能顯示出最為詳細的網絡封包資料。
2.2監測過程建模分析
采集到工業控制系統的網絡流量數據后,系統會針對工業控制系統的重要應用協議進行分析和內容還原,尤其是針對PLC或者通信服務器與控制中心進行通信的OPC,S7,Profinet三種協議進行實時同步分析和內容還原,研判還原內容中異常指令和指令序列異常等情況。
系統將實時監測的工業無線網絡通訊信息數據自動格式化為來源和目的MAC、IP地址,并將協議類型、信號強度、數據包長度、通訊內容摘要信息等自動格式化。在系統設計過程中,通過對高架庫生產環境中的WIFI數據進行了大量采集,并對WIFI數據的通訊協議和數據包長度大小進行了詳細分析,最終采用從數據包大小、協議類型、協議動作、MAC或IP地址情況,設置黑白名單監測、閾值監測、威脅行為監測等機制,在數據實時采集過程中直接指定相關的監測閾值。
高架庫工業無線網絡在周圍環境中信號量較大,一般獨立的高架庫在每分鐘可以捕獲5-15萬個無線數據通訊包,這些數據包要在高速環境下完成數據甄別、去重、關聯分析和模式匹配,同時數據本身又是明顯的價值密度低數據,沒有長時間保存的工作需求,傳統企業關系型數據庫無法適應其特殊的應用場景。
本系統設計引入的內存數據庫是SQLite,sQLite是小型的C程序庫,實現了獨立可嵌入式,零配置的SOL數據庫引擎。因為SQLite數據庫幾乎不需要管理,因此對于無人值守運行的嵌入式設備是一個非常好的選擇。將前端在物流生產現場環境中捕獲到的WIFI數據信號實時高速保存進入內存模式的SQLite數據庫,同時利用內存數據庫比傳統數據庫快出將近50倍的處理速度,實現系統的快速匹配分析和計算。
除了內存數據庫外,系統里還設計一套傳統關系型數據庫,通過雙數據庫實現實時捕獲數據在內存數據庫中完成格式化和模式匹配功能,所有的告警數據、分析規則統一存放在后臺的關系型數據庫中。兩套數據庫搭配使用,使得系統具備了在掃頻工作中即使持續監聽2.4GHZ的14個通訊無線頻道的業務數據,依然可以保持極高的捕獲分析效率和監測告警命中能力。
2.3系統與嵌入式集成
考慮到物流中心現場生產環境特性,系統設計沒有采用傳統標準X86I控機作為運行平臺,采用了2015年最新的樹莓派2,其搭載了博通BCM2836處理器,內有4個Cortex-A7架構核心,主頻900MHz,性能較強。采用樹莓派作為嵌入式工業硬件平臺,相比較大型服務器,臺式Pc或者筆記本電腦的現場實現方案具有以下特點:(1)采用樹莓派架構的嵌入式工業電腦可以最大程度保證系統的平穩運行;(2)其專機專用和即插即用的工作模式減少外部干擾同時也減少系統部署實施的難度;(3)樹莓派提供Y4個外置usB接口可以直接外接無線網卡和高增益天線,配置的網絡接口則可以直接聯入物流中心生產網將監測到的數據回傳到物流中心后臺的統一信息管理系統,并與短信告警平臺實現互聯;(4)其硬件平臺價格低廉。
3.應用效果
在該物流配送中心高架庫進行了無線網絡安全監測系統建設試點后,形成了配套的物流AQV小車通訊行為基礎庫。工業無線網絡安全監測系統基于嵌入式和LINUX系統開發設計,最終實現的軟硬件一體化設備只有手掌大小,4臺設備組合工作可以實現近萬平米的高架庫車間無線網絡信號的監聽分析,便于各類工業無線網絡生產環境的實施部署,集成化程度高,設備實現了即插即用、無特殊維護。通過內核程序調用腳本實現了單塊無線網卡對全頻道WIFI信號的實時掃頻及數據捕獲,捕獲的WIFI數據包格式化后進入高速內存數據庫進行分析研判,并將現場告警實時發出。通過無線網絡安全監測系統的建設,對近萬平米物流配送中心的無線網絡進行了持續有效的監測預警管理,解決了物流配送中心對于無線數據通訊的監控手段的缺失,具備了及時發現和定位各類工業無線生產網絡通訊異常事件的能力。
工業網絡安全建設范文第2篇
【關鍵詞】信息系統;安全建設;防護體系
1.企業信息系統安全防護的價值
隨著企業信息化水平的提高,企業對于IT系統的依賴性也越來越高。一方面,“業務系統流程化”正在成為IT安全建設的驅動力。企業的新業務應用正在逐漸標準化和流程化,各種應用系統如ERP、MES為企業的生產效率的提高起到了關鍵的作用。有效的管控IT環境,確保IT業務系統的持續穩定運行作為企業競爭力的一部分,已成為IT系統安全防護的主要目標和關鍵驅動力。另一方面,企業IT安全的建設也是“法規遵從”的需要。IT系統作為企業財務應用系統的重要支撐,必須提供可靠的運行保障和數據正確性保證。
2.企業信息系統安全建設的現狀分析
在企業信息化建設的過程中,業務系統的建設一直是關注的重點,但是IT業務系統的安全保障方面,往往成為整個信息化最薄弱的環節,尤其是在信息化水平還較低的情況下,IT系統的安全建設缺乏統一的策略作為指導。歸結起來,企業在IT系統安全建設的過程中,存在以下幾方面的不足:
2.1 安全危機意識不足,制度和規范不健全
盡管知道IT安全事故后果比較嚴重,但是企業的高層領導心中仍然存在著僥幸心理,更多的時候把IT安全建設的預算挪用到其他的領域。企業在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規范保證,由此帶來的后果是諸如對網絡的任意使用,導致公司的機密文檔被擴散。同時在發生網絡安全問題的時候,也因為缺乏預先設置的各種應急防護措施,導致安全風險得不到有效控制。
2.2 應用系統和安全建設相分離,忽視數據安全存儲建設
在企業IT應用系統的建設時期,由于所屬的建設職能部門的不同,或者是因為投資預算的限制,導致在應用系統建設階段并沒有充分考慮到安全防護的需要,為后續的應用系統受到攻擊癱瘓埋下了隱患。數據安全的威脅表現在核心數據的丟失;各種自然災難、IT系統故障,也對數據安全帶來了巨大沖擊。遺憾的是很多企業在數據的安全存儲方面,并沒有意識到同城異地災難備份或遠程災難備份的重要性。
2.3 缺乏整體的安全防護體系,“簡單疊加、七國八制”
對于信息安全系統的建設,“頭痛醫頭、腳痛醫腳”的現象比較普遍。大多數企業仍然停留在出現一個安全事故后再去解決一個安全隱患的階段,缺乏對信息安全的全盤考慮和統一規劃,這樣的后果就是網絡上的設備五花八門,設備方案之間各自為戰,缺乏相互關聯,從而導致了多種問題。
3.企業信息系統安全建設規劃的原則
企業的信息化安全建設的目標是要保證業務系統的正常運轉從而為企業帶來價值,在設計高水平的安全防護體系時應該遵循以下幾個原則:
(1)統一規劃設計。信息安全建設,需要遵循“統一規劃、統一標準、統一設計、統一建設”的原則;應用系統的建設要和信息安全的防護要求統一考慮。
(2)架構先進,突出防護重點。要采用先進的架構,選擇成熟的主流產品和符合技術發展趨勢的產品;明確信息安全建設的重點,重點保護基礎網絡安全及關鍵應用系統的安全,對不同的安全威脅進行有針對性的方案建設。
(3)技術和管理并重,注重系統間的協同防護。“三分技術,七分管理”,合理劃分技術和管理的界面,從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手,在系統設計、建設和運維的多環節進行綜合協同防范。
(4)統一安全管理,考慮合規性要求。建設集中的安全管理平臺,統一處理各種安全事件,實現安全預警和及時響應;基于安全管理平臺,輸出各種合規性要求的報告,為企業的信息安全策略制定提供參考。
(5)高可靠、可擴展的建設原則。這是任何網絡安全建設的必備要求,是業務連續性的需要,是滿足企業發展擴容的需要。
4.企業信息系統安全建設的部署建議
以ISO27001等企業信息安全法規[1]遵從的原則為基礎,通過分析企業信息安全面臨的風險和前期的部署實踐,建立企業信息安全建設模型,如圖1所示。
圖1 企業信息系統安全建設模型
基于上述企業信息安全建設模型,在建設終端安全、網絡安全、應用安全、數據安全、統一安全管理和滿足法規遵從的全面安全防護體系時,需要重點關注以下幾個方面的部署建議:
4.1 實施終端安全,關注完整的用戶行為關聯分析
在企業關注的安全事件中,信息泄漏是屬于危害比較嚴重的行為。現階段由于企業對網絡的管控不嚴,員工可以通過很多方式實現信息外泄,常見的方式有通過桌面終端的存儲介質進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為,企業在建設信息安全防護體系的時候,單純的進行桌面安全控制或者internet上網行為控制都不能完全杜絕這種行為。而在統一規劃實施的安全防護體系中,系統從用戶接入的那一時刻開始,就對用戶的桌面行為進行監控,同時配合internet上網行為審計設備,對該員工的上網行為進行監控和審計,真正做到從員工接入網絡開始的各種操作行為及上網行為都在嚴密的監控之中,提升企業的防護水平。
4.2 建設綜合的VPN接入平臺
無論是IPSec、L2TP,還是SSL VPN,都是企業在VPN建設過程中必然會遇到的需求。當前階段,總部與分支節點的接入方式有廣域網專線接入和通過internet接入兩種。使用VPN進行加密數據傳輸是通用的選擇。對于部分移動用戶接入,也可以考慮部署SSL VPN的接入方式[2],在這種情況下,如何做好將多種VPN類型客戶的認證方式統一是需要重點考慮的問題。而統一接入認證的方式,如采用USBKEY等,甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求。這將給管理員的日常維護帶來極大的方便,從而提升企業整體的VPN接入水平。
4.3 優化安全域的隔離和控制,實現L2~L7層的安全防護
在建設安全邊界防護控制過程中,面對企業的多個業務部門和分支機構,合理的安全域劃分將是關鍵。按照安全域的劃分原則,企業網絡包括內部園區網絡、Internet邊界、DMZ、數據中心、廣域網分支、網管中心等組成部分,各安全域之間的相互隔離和訪問策略是防止安全風險的重要環節。在多樣化安全域劃分的基礎上,深入分析各安全域內的業務單元,根據企業持續性運行的高低優先級以及面臨風險的嚴重程度,設定合適的域內安全防護策略及安全域之間的訪問控制策略,實現有針對性的安全防護。例如,選擇FW+IPS等設備進行深層次的安全防護,或者提供防垃圾郵件、Web訪問控制等解決方案進行應對,真正實現L2~L7層的安全防護。
4.4 強調網絡和安全方案之間的耦合聯動,實現網絡安全由被動防御到主動防御的轉變
統一規劃的技術方案,可以做到方案之間的有效關聯,實現設備之間的安全聯動。在實際部署過程中,在接入用戶側部署端點準入解決方案,實現客戶端點安全接入網絡。同時啟動安全聯動的特性,一旦安全設備檢測到內部網用戶正在對網絡的服務器進行攻擊,可以實現對攻擊者接入位置的有效定位,并采取類似關閉接入交換機端口的動作響應,真正實現從被動防御向主動防御的轉變。
4.5 實現統一的安全管理,體現對整個網安全事件的“可視、可控和可管”
統一建設的安全防護系統,還有一個最為重要的優勢,就是能實現對全網安全設備及安全事件的統一管理。面對各種安全設備發出來的大量的安全日志,單純靠管理員的人工操作是無能為力的,而不同廠商之間的安全日志可能還存在較大的差異,難以實現對全網安全事件的統一分析和報警管理。因此在規劃之初,就需要考慮到各種安全設備之間的日志格式的統一化,需要考慮設定相關安全策略以實現對日志的歸并分析并最終輸出各種合規性的報表,只有這樣才能做到對全網安全事件的統一可視、安全設備的統一批量配置下發,以及整網安全設備的防控策略的統一管理,最終實現安全運行中心管控平臺的建設。[3]
4.6 關注數據存儲安全,強調本地數據保護和遠程災難備份相結合
在整體數據安全防護策略中,可以采用本地數據保護和遠程災備相結合的方式。基于CDP的數據連續保護技術可以很好地解決數據本地安全防護的問題,與磁帶庫相比,它具有很多的技術優勢。在數據庫的配合下,通過連續數據快照功能實現了對重要數據的連續數據保護,用戶可以選擇在出現災難后恢復到前面保存過的任何時間點的狀態,同時支持對“漸變式災難”的保護和恢復。在建設異地的災備中心時,可以考慮從數據級災備和應用級災備兩個層面進行。生產中心和異地災備中心的網絡連接方式可以靈活選擇,即可采用光纖直連,也可采用足夠帶寬的IP網絡連接。在數據同步方式選擇上,生產中心和災備中心采用基于磁盤陣列的異步復制技術,實現數據的異地災備。異地災備中心還可以有選擇地部署部分關鍵應用服務器,以提供對關鍵業務的應用級接管能力,從而實現對數據安全的有效防護。
5.結束語
企業信息安全防護體系的建設是一個長期的持續的工作,不是一蹴而就的,就像現階段的信息安全威脅也在不斷的發展和更新,針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業的信息安全建設之中,這種動態的過程將使得企業的信息安全防護更有生命力和主動性,真正為企業的業務永續運行提供保障。
參考文獻
[1]李納.計算機系統安全與計算機網絡安全淺析[J].科技與企業,2013.
[2]李群,周相廣,陳剛.中國石油上游信息系統災難備份技術與實踐[J].信息技術與信息化,2010,06.
工業網絡安全建設范文第3篇
關鍵詞:信息安全安全屬性安全建設
我國信息化安全建設任務非常艱巨,主要包括各種業務的社會公網、行業專網、互聯網等信息基礎設施運營、管理和服務的安全自主保障、安全監管、安全應急和打擊信息犯罪為核心的威懾體系的建設,其內容包括網絡系統安全建設、領域和企業的業務信息化安全建設、網絡內容與行為的安全建設和用戶關注的網絡安全建設等方面。這些安全建設對于不同的領域和領導層面關注的內容、對象和程度各不相同。網絡信息安全是一個完整的、系統的概念。它既是一個理論問題,同時又是一個工程實踐問題。由于互聯網的開發性、復雜性和多樣性,使得網絡安全系統需要有一個完整的、嚴謹的體系結構來保證網絡中信息的安全。
1 信息安全的定義及目標
信息的定義,從廣義上講,信息是任何一個事物的運動狀態以及運動狀態形式的變化,它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術安全管理指南》定義:信息是通過在數據上施加某此約定而賦予這此數據的特殊含義。信息是無形的,借助于信息媒體以多種形式存在和傳播,同時。信息也是一種重要資產,具有價值,需要保護。信息安全的目標是信息資產被泄露意味著保密性受到影響,被更改意味著完整性受到影響,被破壞意味著可用性受到影響。而保密性、完整性和可用性三個基本屬性是信息安全的最終目標。信息安全的保護對象包括了計算機硬件、軟件和數據。就本質而言,信息安全所針對的均是“信息”這種資源的“安全”,對信息安全的理解應從信息化背景出發,最終落實在信息的安全屬性上。
2 構建網絡信息化安全的意義
能否有效地保護信息資源,保護信息化進程健康、有序、可持續發展,直接關乎國家安危,關乎民族興亡,是國家、民族的頭等大事。沒有信息安全,就沒有真正意義上的政治安全,就沒有穩固的經濟安全和軍事安全,更沒有完整意義上的國家安全。信息安全是信息技術發展過程之中提出的課題,在信息化的大背景下被推上了歷史舞臺。信息安全不是最終目的,它只是服務于信息化的一種手段,其針對的是信息化這種戰略資源的安全,其主旨在于為信息化保駕護航。
3 網絡信息化的安全屬性
信息安全的概念與信息的本質屬性有著必然的聯系,它是信息的本質屬性所體現的安全意義。說安全屬性研究首先要從安全定義講起,安全定義分很多的層次,為什么分層次,我們隨著它的演變來看的,信息安全最初目標,叫數據安全,它關心的是數據自身,所以是一個狹義的數據安全,是保護信息自身的安全。
3.1 保密性(Confidentiality)
在傳統信息環境中,普通人通過郵政系統發信件時,為了個人隱私要裝上信封。可是到了信息化時代,信息在網上傳播時,如果沒有這個“信封”,那么所有的信息都是“明信片”,不再有秘密可言,這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權的用戶、實體或進程,或被其利用的特性。保密性不但包括信息內容的保密,還包括信息狀態的保密。
3.2 完整性(Integrality)
完整性是指信息未經授權不能進行更改的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機密性不同,機密性要求信息不被泄露給未授權的人,而完整性則要求信息不致受到各種原因的破壞。
3.3 易用性(Availability)
易用性是信息可被授權實體訪問并按需求使用的特性。在授權用戶或實體需要信息服務時,信息服務應該可以使用,或者是信息系統部分受損或需要降級使用時,仍能為授權用戶提供有效服務。易用性一般用系統正常使用時間和整個工作時間之比來度量。
4 構建網絡信息化安全管理體系
在面向網絡信息的安全系統中,安全管理是應得到高度重視的。這是因為,據相關部門統計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%是由火災、水災等自然災害引起的,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員攻擊造成的。簡單歸類,屬于管理方面的原因比重高達70%以上,這正應了人們常說的“三分技術,七分管理”的箋言。因此,解決網絡與信息安全問題,不僅應從技術方面著手,更應加強網絡住所的管理工作。
好的網絡信息化安全管理體現在以下幾個方面:在組織內部建立全面的信息安全管理體系,強調信息安全是一個管理過程,而非技術過程;強調信息保密性、完整性、易用性三者在關鍵流程中運用的平衡;把信息提高到組織資產的高度,強調對組織信息資產進行價值及影響評估,對信息資產的脆弱性及其面臨的威脅進行分析,運用風險評估、風險管理手段管理信息安全,使組織風險降低到可接受的水平;從法律和最好的實踐經驗角度,實施全面的控制措施,使組織信息安全威脅的方方面面置于嚴密控制之下;強調領導在信息安全管理中的作用;強調信息安全方針在管理體系中的作用;強調對信息技術及工具的實時和有效管理;強調組織運作的連續性及業務連續性的管理;強調信息安全管理水平的不斷提高及對流程的策劃、實施、檢查和改進的過程;信息安全應該是一個以“價值”為基礎的過程,即信息安全管理應是一個有附加價值,并講究投入產出比的過程。
5 關注信息化安全服務的綜合性、高技術性和對策性特點
信息安全產業有其鮮明的特點,雖然產生于信息化和信息系統,依然與通常的IT服務有許多區別。信息化安全的基本特征是服務性的。這種服務性與一般軟件的服務性是不同的。一般應用系統或產品的服務主要是維護和培訓,通常服務是非對策性的、非動態的和比較固定的。信息化安全服務是對策性的、動態性的、不斷產生新內容的和似乎永遠不能成熟等特性。信息化安全服務范疇幾乎包括了整個信息化所包括的所有產品和系統,其服務的綜合性和復雜性是顯而易見的。信息化安全服務是最高技術的服務,無論從設計角度和使用的角度都要求深入、熟練和非常專業。我們可以驕傲地說,信息化安全服務是世界上最偉大的服務業,也是最困難的服務業。信息化安全服務的復雜性、高成本特性要求信息化安全企業必須在安全服務的遠程化和化的推進方面做出不懈努力,不斷降低服務成本。
6 結語
網絡信息安全不僅僅是一個純技術層面的問題,單靠技術因素不足以保證網絡中信息的安全。網絡信息安全還涉及到法律、管理、標準等多方面的問題。因此,信息安全是一個相當復雜的問題,只有協調好這些體系之間的關系,才能有效保證系統的安全。
參考文獻
工業網絡安全建設范文第4篇
【關鍵詞】信息安全 管理 控制 構建
1 企業信息安全的現狀
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定,這樣才能為企業的信息安全提供生命力和主動性,真正為企業的核心業務提供安全保障。
參考文獻
[1]郝宏志.企業信息管理師[M].北京:機械工業出版社,2005.
[2]蔣培靜.歐美國家如何培養網絡安全意識[J].中國教育網絡,2008(7):48-49.
作者簡介
常勝(1982-),男,回族,天津市人。現為中國市政工程華北設計研究總院有限公司工程師。研究方向為網絡安全與服務器規劃部署。
工業網絡安全建設范文第5篇
論文(設計)題目:中學校園網絡安全防護及對策初探---以昌吉市一中校園網絡為例
1、選題來源及意義
1.1選題來源
隨著信息時代的高速發展,以校園網絡為平臺的應用也越來越廣泛,例如校園一卡通服務、辦公自動化應用(OA)、教務管理、圖書管理、電子郵件服務、校校通服務、網上學習等。然而在開放式網絡環境下,校園網絡的使用過程中面臨著各種各樣的安全隱患,一方面,由于使用校園網絡最多的是學生和教師,學生對于網絡這樣的新鮮事物非常感興趣,可能會下載一些黑客軟件或帶有病毒的軟件,從而破壞校園網絡系統,加之學生不懂得愛惜,對于暴露在外界的網絡設備造成一定破壞,據統計,80%的校園網絡的攻擊都來自于校園網內部[1];另一方面,來自外部的網絡用戶對IP地址的盜用、黑客攻擊、病毒攻擊、系統漏洞、信息泄露等方面的隱患也會對校園網絡造成破壞。綜上所述,校園網絡的安全問題既有內部因素,也有外部攻擊。因此,如何在現有條件下,充分應用各種安全技術,有效的加強、鞏固校園網絡安全問題非常重要。通過筆者在昌吉市一中網絡中心實習的經歷,發現昌吉市一中校園網絡原有方案只是簡單地采用防火墻等有限措施來保護網絡安全。防火墻是屬于靜態安全技術范疇的外圍保護,需要人工實施和維護,不能主動跟蹤入侵者。而管理員無法了解網絡的漏洞和可能發生的攻擊,嚴重的影響的正常的教學工作。因此針對中學校園網絡安全的防護更不容輕視。[2-3]
1.2選題意義
校園網絡的安全建設極其重要,源于校園網一方面為各個學校提供各種本地網絡基礎性應用,另一方面它也是溝通學校校園網絡內部和外部網絡的一座橋梁。校園網絡應用遍及學校的各個角落,為師生提供了大量的數據資源,方便了師生網上教學、交流、專題討論等活動,為教學和科研提供了很好的平臺,因此存在安全隱患的校園網絡對學校的教學、科研和辦公管理都會造成嚴重的影響。根據學校的不同性質,保證網絡穩定、安全和高效運行是校園網絡建設的首要任務。因此做好校園網絡安全的防護及相應對策至關重要,即本論文選題意義。[4]
2、國內外研究狀況
2.1國外網絡安全現狀
由于筆者查閱文獻資料的有限性,沒有查到國外校園網絡安全現狀的資料,因此針對國外所采取的網絡安全措施進行如下概述:
(1)法律法規的制定。近年來,世界各國紛紛意識到網絡安全與信息安全的重要性,并制定相關的法律法規規范廣大網絡用戶的行為。美國、俄羅斯、英國、日本、法國等其他許多國家都相繼成立國家級信息安全機構,完善網絡防護管理體制,采取國家行為強化信息安全建設。
(2)網絡防護應急反應機制的建立。面對網絡反恐、黑客、信息的泄露、網絡入侵、計算機病毒及各類蠕蟲木馬病毒等一系列網絡危機,世界各國通過建立網絡防護應急反應機制。分別從防火墻技術、入侵檢測系統、漏洞掃描、防查殺技術等傳統的安全產品方面入手,防止各種安全風險,并加快網絡安全關鍵技術的發展和更新.動態提升網絡安全技術水平。
綜上所述,網絡安全的問題將隨著技術的不斷發展越來越受到重視。然而,網絡技術不斷發展的今天,網絡安全問題只能相對防御,卻無法真正的達到制止。[5-7]
2.2國內網絡安全現狀
由于我國在網絡安全技術方面起步比其他信息發達國家晚,發展時間較短,技術不夠純熟,面對各種網絡安全問題有些應接不暇,主要是由于自主的計算機網絡核心技術和軟件缺乏,信息安全的意識較為淺薄,不少事企單位沒有建立相應的網絡安全防范機制以及網絡安全管理的人才嚴重缺乏,無法跟上網絡的飛速發展。面對這一系列的問題,我國通過制定政策法規,如GB/T18336一2001(《信息技術安全性評估準則》)、GJB2646一96(《軍用計算機安全評估準則》等來規范網絡用戶的使用,還通過技術方面的措施進行防護,如加密認證、數字簽名、訪問控制列表、數據完整性、業務流填充等措施進行網絡安全的維護。然而通過技術措施進行網絡維護的過程中,網絡管理員對技術的偏好和運營意識的不足,普遍都存在“重技術、輕安全、輕管理”的傾向,致使在管理、維護網絡安全方面還有很大的漏洞。[5]國內網絡安全整體的現狀如上所述,通過大量文獻的閱讀,發現數據信息危害和網絡設備危害是校園網絡安全現在主要面臨的兩大問題,主要威脅有病毒的傳播與攻擊、黑客的入侵、信息的篡改等一系列安全隱患,通過采取加密認證、訪問控制技術、防火墻、漏洞掃描等措施進行防護。[3]中學校園網絡管理者如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個中學校園不可回避的問題,并且逐漸引起了各方面的重視。[8-10]
3、本選題的研究目標及內容創新點:
3.1研究目標:
本文在對當前校園網絡面臨的各類安全問題進行詳細分析的基礎上,深入、系統的探討了目前常用的各種網絡安全技術的功能以及優缺點,并以昌吉市一中等中學校園網絡為研究對象,分別從中學校園網絡的物理因素、技術因素、管理因素等角度分析威脅校園網絡安全的因素,并結合昌吉市一中校園網絡現有的條件,分別從設備管理、技術提供、管理人員意識等方面充分應用各種安全技術,有效加強、鞏固校園網絡安全,提出解決網絡安全問題的策略及防范措施。從而綜合利用各種網絡安全技術保障本校的校園網絡的安全、穩定、高效運行。
3.2內容創新點:
(1)通過對昌吉市一中的校園網絡進行分析,并結合文獻資料參考其他中學校園網絡安全的問題,總結出中學校園網絡安全存在常見的安全隱患,并制定出針對中學校園網絡隱患所采取的防范措施。
(2)將制定出的網絡安全防范措施運用于昌吉市一中校園網絡,制定出真正合理的、恰當的、適合現有條件的網絡安全防范措施,并對昌吉市一中的校園網絡進行展望,使得校園網絡可持續發展。
參考文獻
[1]段海新.CERNET校園網安全問題分析與對策[J].中國教育網絡,2005.03
[2]袁修春.校園網安全防范體系.[D].西北師范大學.計算機應用技術.2005,5
[3]鐘平.校園網安全技術防范研究[D].廣東.廣東工業大學.2007,4:3
[4]蔡新春.校園網安全防范技術的研究與實現[D].軟件工程2009,4
[5]董鈺.基于校園網的網絡安全體系結構研究與設計[D].山東.計算機軟件與理論.2005,5:11-12
[6]王先國.校園網絡安全系統的研究與設計.[D].南京.計算機技術.2009.12
[7]定吉安.常用網絡安全技術在校園網中的應用研究[D].山東.計算機軟件與理論.2011,4
[8]顧潤龍.影響校園網絡安全的主要因素及防范措施.[J].咸寧學院學報.2012,9(32):155-156
[9]張伯江.國外信息安全發展動向[J].信息安全動態,2002,8(7):36-38
[10]譚耀遠.新世紀中國信息安全問題研究.[D].大連.大連海事大學.2011,6
一、采用的研究方法及手段(1、內容包括:選題的研究方法、手段及實驗方案的可行性分析和已具備的實驗條件等。2、撰寫要求:宋體、小四號。)
1、文獻研究法:查找文獻資料時借助圖書館及網絡,搜集、鑒別、整理文獻。從前人的研究中得出對我們的研究有價值的觀點與例證。本研究采用文獻研究法的目的:
(1)查取大量校園網絡安全問題常見的問題,結合昌吉市一中的校園網絡現狀進行分析。
(2)對國內外的網絡安全防范措施進行分析,選擇適合昌吉市一中校園網絡安全所應對的策略。
2.訪談法:通過與昌吉市一中網絡信息中心的教師交流探討,以訪談的形式了解昌吉市一中校園網絡的現狀。
論文的框架結構(宋體、小四號)
第一章:緒論
第二章:影響中學校園網絡安全的因素
第三章:常用的校園網絡安全技術
第四章:校園網絡安全建設
-----以昌吉市一中校園網絡安全體系需求分析及設計
第五章:總結和展望。
論文寫作的階段計劃(宋體、小四號)
第一階段:20xx.10.1—20xx.11.20選定論文題目,學習論文寫作方法及注意項;
第二階段:20xx.11.20—20xx.12.25與孫老師見面,在孫教師的指導下,搜集材料閱讀有關文獻資料,按照開題報告的格式和要求完成《昌吉學院本科畢業論文(設計)開題報告》的撰寫;
第三階段:20xx.12.26—20xx.1.3寫出開題報告,并與指導教師充分溝通,做好開題報告答辯準備;
第四階段:20xx.1.5—20xx.1.13開題報告論證答辯;
第五階段:20xx.1.17—20xx.3.25在指導教師指導下,開始畢業論文的寫作,至3月25日完成初稿交指導教師;
第六階段:20xx.3.25—20xx.3.31寫出中期報告書,接受中期檢查。并根據指導教師建議完成初稿的修改;
第七階段:20xx.4.1—20xx.4.10根據指導教師建議完成二稿的修改;
第八階段:20xx.4.11—20xx.4.20根據指導教師建議完成三稿的修改;
第九階段:20xx.4.21—20xx.4.25完成初定稿,并復印3份交系畢業論文答辯小組;
