第一篇:工业网络安全策略
工业网络安全策略
随着新一年的到来,发电厂和大型电力企业对网络安全的重视程度也迈上了一个新的台阶。NERC CIP(北美电力保障组织,关键基础设施保护)条例的生效意味着电力供应和输配电部门必须采取明确的安全防范措施,以确保持续供电。一旦有人违反了条例中的要求,就会被处以巨额罚款。
而许多行业外人士也正在密切关注电力行业的动态。他们期望自己的行业中也能够出现类似的法规,而且是越早越好。在过去的一、两年中,工业网络安全经历了迅猛的发展。大约一年前,美国中央情报局(CIA)的一份报告中记录了这样一起事件:一项勒索行动中,一部放置在海外的设备被网络黑客成功破坏。严重黑客攻击(如图所示)的性质,已经从单纯的娱乐,扩展到了犯罪、恐怖主义、甚至国家赞助的间谍活动。我们必须采取适当而有力的防御措施来应对黑客攻击行为的不断升级。
NERC CIP条例自2002年颁布以来,经常有人将其执行效果与那部在执行上充满混乱的Sarbanes-Oxley(SOX)法案相比较。艾默生电力和水力部门的SCADA及安全业务发展经理Eric Casteel承认,两者在执行效果上有相似之处。他说:“SOX法案颁布之后,相关的指导很少而且对该法案的理解差异很大。NERC CIP标准颁布之后,情况也是如此。有些客户正在走高质量线路,并希望采取最佳做法,以求在审查中获得‘A’。而有些客户则只想拿一个‘C’了事。更有些工厂的相关人员还会以‘我们不属于关键资产’为理由进行搪塞。如果他们的工厂没有停电启动设施,同时也不是重要的兆瓦级发电站,那么他们就可能以此作为理由。但是从整体来看,一组电网的整体安全性仅等同于其中最薄弱部分的安全性。在这种情况下,标准条例监管机构会对这些企业下达强制命令:每个发电、传输和配送部门,不论是否属于关键资产部门,都必须履行这些条例。”
黑客能够以各种手段和动机闯入你的系统。他们的特征具有普遍性,但也有特别之处。
要抵御业余爱好者的入侵并不困难,但是若想抵御训练有素和有目的的恐怖、犯罪分子入侵就全然不是那么回事了。
从何入手?
如果你是从事电力或其他行业工作的,那么你应该如何在你的DCS(集散控制系统)、SCADA(监控与数据采集系统)、或其它工业控制网络中实施基本的网络安全措施呢?通常在一个项目开始之前,应该首先对当前的情况进行一次评估,尤其要对网络中的所有设备做一次清查。你需要弄清楚设备是怎样连接的,以及设备上运行着何种软件。如果你希望找出黑客从外部进入系统的方式并建立起适当的屏障,那么这就是你要做的第一件事。
“用户对他们系统的实际架构和连接方式的认识往往非常肤浅,”西门子能源与自动化集团过程自动化系统市场营销经理Todd Stauffer说道,“很多设备通过直接或间接的方式连接到控制网络中,而生产过程负责人几乎无法控制它们。因此,相关人员首先要做的事情之一,就是确认系统的实际架构。应该说,实际架构很可能与他们想象中的大相径庭。可以肯定的是,相关人员在确认系统架构的过程中几乎总会发现意想不到的连接。”
艾默生过程管理的数据管理解决方案高级顾问David Rehbein,在Microsoft任职期间,从事了很多年网络评估工作。他也认为进行评估是关键的第一步。“在系统清查过程中,你可以发觉网络上的每个IP地址,一些IP地址往往是在无人知晓的情况下悄然出现的。有些人连进网络、在上面放了点东西,却忘了告诉管理员(IT)。于是,你的系统上就有了一个非法客户端或服务器。如果你对它的存在一无所知,那么你就无法知道它是否打了正确的安全补丁。你更无法知道它是否安全,有没有运行查毒软件。
了解你的连接
独立的控制系统很容易保护,但这样的系统已经很少存在了。如果管理员要了解工厂当前的情况,那么他获取信息的最简单方法就是查看控制系统。这样的话,控制系统就要连接到公司的网络中,而公司网络毫无疑问是连接互联网的。如果这类连接没有得到很好的保护,那么就可能成为了一个主要的突破口。控制系统与公司网络结合得越全面,潜在的突破口就越多。这就是所谓的攻击面积。
Rehbein回顾了一个他在微软工作时参与的项目:“我们一天就完成了第一次评估,因为那是一个非常简单的连接。他们没有把工厂网络连接到其他地方,能够进入该网络的唯一方式是进到建筑内部。与这种情况形成鲜明对比的是:有些人希望和客户或是位于瑞士的公司IT部门分享项目清单或者目前的生产水平。这就需要直接的互联网连接,这也为其他任何人进入你的系统打开了方便之门。
出于商业目的的连接会可能会招来更多潜在的攻击,这给操作人员和控制系统带来了更多的压力。霍尼韦尔过程解决方案开放系统服务的全球项目经理Shawn Gold担心各企业正在失去自行处理问题的能力。日益依赖外部支持就意味着增加突破口。“任何与外部世界的连接都是有风险的,”他警告说,“但是为了获得有帮助的服务和资源,你又必须连接到外部,这在当今的经济环境下更是如此。你可能已经记录了所有的连接,这是一件好事。但也会有潜在的未被记录的连接,或为应对紧急情况而特设的连接,可能造成安全风险。因此你必须知道在紧急情况下该做些什么,以及在遇到困难时,如何保护自己。”
监控软件
除了连接之外,你还需要知道网络上有什么软件。这一点至关重要的,主要的原因有两个:一些软件存在可以被黑客利用的漏洞;编写不良的程序可能会引起内部问题。
“每次增加软件的同时,你也增加了被攻击范围。” 霍尼韦尔过程解决方案的全球安全架构师Kevin Staggs建议道,“你安装的一些不必要的软件可能会与其他一些必要的控制软件形成冲突,导致系统失灵。有些故障甚至是你无法看到的。有时候,软件在编写时的错误会造成内存溢出。我们发现一个反病毒系统补丁里有内存溢出,而运行该程序的控制系统在出现内存不足前大约能运行35天。到那时候,系统就会出现严重的减速或者显示警告,而操作人员会不知所措。”
Staggs补充说,这些有问题的程序可以产生和黑客引入的恶意软件同样的后果。如果软件没有被你的控制系统供应商完全核实,那么就可能导致隐性冲突。他建议:“你应该遵循一个非常良好的变化执行过程。在你执行一个变化之前,务必先检查其基本的性能;在执行
变化之后,立刻再检查一次,并观察一段时间。如果你严谨到这种程度,应该就能够侦测到任何可能发生的问题。”
当你了解了自己网络的情况之后,如果出现了问题,你就会知道是否需要处理它了。西门子的Stauffer提到,白帽(white hat)组织发布了他们在公用软件平台上发现的漏洞,敦促供应商修正它们,并警告说:“他们没有意识到,他们的这一举动是在为系统添乱,当传统系统的漏洞被公布在互联网上供所有人浏览的时候,相关人员不得不去做那些他们原先不准备做的事情。这足以告诉黑客,对于一个给定的系统应该从何着手实施攻击。你还打算通过隐藏漏洞以保证安全吗?忘了它吧。你的系统弱点早已经被公布在网上了。”
咨询你的供应商
你可以采取的一个最简单方法,就是向最初为你打造系统的供应商进行咨询。大多数公司会提供指导、案例研究、最佳做法以及根据积累的经验得出的其他意见。
网络安全还包含了许多方面,但在此处讨论并不合适。人事政策,外部管理收购,实体安全,纵深防御等等,都会对网络安全策略产生影响。许多组织和公司为工业系统提供了网络安全资源。如果你希望对此作深入研究,那么最好看一下这篇文章的边栏。你应该始终牢记,没有解决一切的答案,也没有绝对的安全。你能够指望的最好情况是你的保护等级强于攻击者的攻击力度。
你的网络安全实施资源
我们需要利用多种资源,或者说通过适当的纵深防御控制来“保障”过程控制系统的安全。譬如获取管理支持,进行评估,确定风险因素,选择修复方案,在获取管理支持后对适当的技术、程序和安全意识作高效整合并开展培训计划。总之,请千万记得获取管理支持。
网络安全的学习方式是多种多样的,要根据具体的过程而定。但是,最佳出发点无疑是先回顾并深入理解以下内容:
1.NERC CIP(北美电力保障组织,关键基础设施保护)条例:这套重要的网络安全标准对大型电力系统组织有着深远的影响。它还牵扯到其他涉及过程控制的领域,如航空、铁路、废水处理、天然气、炼油、化工和制造业。因为这些领域在国际上也被公认是关键的基础设施。NERC CIP是第一部具有制裁力的网络安全标准。不符合该标准的情况一经发现,可能被处以高达每天100万美元的罚款。由于该标准被界定为一套大型关键基础设施保护标准,其他用到SCADA和DCS的领域也正在对它进行审核。NERC CIP标准可在获得。该标准需要结合具体的情况解释执行,遵守标准的方式不止一种。
2.美国爱达荷国家实验室的国家SCADA系统试验平台和DHS控制系统安全计划:这项计划提供了许多关于安全意识、安全评估和安全架构方面的细节。它涉及的范围非常广泛,其中,我们特别推荐的一项是控制系统的网络安全获取语言,相应链接为:www.xiexiebang.com/isasp99。
5.传统的IT解决方案,譬如信息及相关技术的控制目标(CObIT),ISO 27005和ISO 17799标准:许多现有的IT控制和安全框架能够在工业控制系统环境内提供基本的操作。传统IT业务系统和过程控制系统的连接往往要考虑到效率和成本控制。因此,最好的做法是对特定的IT和过程控制系统进行优势互补。关键问题是如何划定连接系统与独立操作系统之间的界限?寻找这一答案对相关组织和行业来说无疑是个挑战,却有着特别的意义。www.xiexiebang.com;www.xiexiebang.com。
许多组织为SCADA系统特别制定了标准,包括:ISA,ISO,IEC,API,AGA,ChemITC,DHS CSSP,PCSF,CIGRE,NSTB,IEEE,EPRI,I3P,NERC和NIST。Control Engineering将继续通过其网络安全博客,以实践和应用的方式解读这些标准,从而为解决所有基础设施普遍面临的安全挑战助一臂之力。
纵深防御的一个关键参考
由David Kuipers和Mark Fabro撰写的 《控制系统的网络安全:纵深防御策略》(2006年5月)一文被看作是工业网络安全方面的经典之作。Fabro是Lofty Perch总裁兼首席安全科学家,并曾经与美国DHS和INL(爱达荷国家实验室)开展过广泛的合作。关于撰写这篇报告,他这样说道:
“随着DHS的控制系统安全计划(CSSP)在私营部门密切开展,其中一个主要的想法是探讨如何在以前独立的大型系统内建立有效的网络安全。考虑到其中一些‘专用’技术的‘年龄’和操作上的差别,我们无法用当代的网络安全解决方案对它们进行合并。这些资产所有者和经营者已经告诉我们,诸如IDS(入侵检测系统)和防火墙之类的措施在起到积极效果的同时,又不会对操作造成任何影响。资产所有者需要一种平衡的安全策略,既不会打乱他们的系统,又能够减少网络风险。”
“纵深防御模型工作的理念是:针对控制架构中不同层次采用与其相适的安全水平等级,并将各层次的安全元素结合在一起构成一个全面的安全防御态势。编写这本实践指南主要是为了指导读者一些在控制系统环境中处理较常见的漏洞,以及如何部署适当的安全解决方案以帮助弥补这些漏洞。该计划的目标是综合CSSP收集的来自利益相关者的反馈,深入研究如何满足他们的需求,并建立指导以备相关部门进行评估。最终的指导经过寻求它的利益相关者核实和审查,必定能够产生非常积极的影响。目前,我们推荐的做法是对那些经过论证确实能对控制系统架构起到保护作用的方法作深入分析,尽量在提升安全性的同时不降低原有性能。”
第二篇:企业网络信息安全策略
企业网络信息安全策略
随着计算机技术和网络的快速发展,网络管理也越来越受到人们的重视,企业的发展更离不开网络,但是网络的质量又直接影响着企业的信息安全管理,因此,企业需要制定一种网络和数据安全策略,提高网络管理员的信息掌控能力,为了把企业网络管理做到安全合理,翔羚科技给广大企业做出以下几点建议。
评估企业网络完整性
评估网络的完整性。“了解自己 IT 基础架构的起点和终点,但仍有为数众多的企业不清楚其网络的整体性。还要了解自己的„正常状态‟是什么,这样能够便于你快速确定问题并作出响应。”重新评估您的可接受使用策略和商业行为准则。“抛弃那种冗长的安全政策清单的做法,只将焦点放在那些您知道自己必须实施且能够实施的政策上。”
做好企业内部人员数据管理
确定必须保护哪些数据。“如果不知道必须保护企业内部的哪些信息,您就无法构建有效的 DLP 计划。您还必须确定企业内部哪些人有权访问这些信息,以及必须采用什么方式。”了解数据所在位置,目前采用什么方式进行保护(以及是否正进行保护)。“确定哪些第三方有权存储您公司的数据(从云服务提供商到电邮营销企业),确保您的信息正得到适当的保护。合规要求,以及当前网络犯罪领域„牵一发而动全身‟的发展趋势都表明,企业绝对不能假设自己的数据是安全的,即便是这些我要走了,今天就早!你给我的工资太高了我受不起啊,我每天都迟到自己感到十分的内疚,不过每天都是我来最早的!合同我已经撕了,你的那份我也帮你偷偷的撕了。我不会怪你的老板,要怪就怪那个宝宝,她怎么就在贵州了呢?我决定了去贵州了解我的下半辈子了!还有你把工资打我卡上吧。信息掌握在可信任的人手里。”
合理采用监控
采用出口监控。“这是一项基本要求,但是很多企业都不够重视,出口监控是一种监控重心的转变,而不是仅侧重于阻止„坏人‟进来。您应该监控那些由内向外发送的内容,包括发送者是谁、发往何处,并拦截那些不允许外泄的内容。”准备迎接必然到来的 BYOD。“企业不要再去想何时转变到 BYOD 模式,而是要开始思考如何转变。”
做好企业应变决策
制定事件响应计划。“IT 方面的风险应该像任何其他业务风险一样对待。这意味着企业需要预先制定明确的计划,以便对任何类型的安全事件迅速作出适当的反应,无论这些事件属于有针对性攻击所造成的数据泄露、员工疏忽导致的违规还是黑客行动主义事件。”实施安全措施帮助弥补对社交网络控制的不足。“不要低估技术控制的强大力量,比如用于抵御网络威胁的入侵防御系统。声誉过滤系统也是一种用于检测可疑活动和内容的基本工具。”监控风险形势的动态变化,及时向用户通报。“企业及其安全团队需要对范围更广的风险来源保持警惕,包括移动设备、云和社交网络,以及未来新技术可能伴随的任何威胁。他们应该采用双管齐下的方法:对安全漏洞泄露作出反应,同时主动教育员工如何保护自身和企业抵御持久、严重的网络威胁。”
第三篇:网络安全策略研究论文
计算机网络是一个开放和自由的网络,它在大大增强了网络信息服务灵活性的同时,也给黑客攻击和入侵敞开了方便之门。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围,而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术,当成一种新式犯罪工具和手段,不仅影响了网络稳定运行和用户的正常使用,造成重大经济损失,而且会威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来,网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。文章分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。
一、常见的几种网络入侵方法
由于计算机网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有着自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上信息以二进制数码,即数字化的形式存在,所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法:
1.通过伪装发动攻击
利用软件伪造Ip包,把自己伪装成被信任主机的地址,与目标主机进行会话,一旦攻击者冒充成功,就可以在目标主机并不知晓的情况下成功实施欺骗或入侵;或者,通过伪造Ip地址、路由条目、DNS解析地址,使受攻击服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器Ip地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。
2.利用开放端口漏洞发动攻击
利用操作系统中某些服务开放的端口发动缓冲区溢出攻击。这主要是由于软件中边界条件、函数指针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。
3.通过木马程序进行入侵或发动攻击
木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植入到目标主机中,计算机就成为黑客控制的傀儡主机,黑客成了超级用户。木马程序可以被用来收集系统中的重要信息,如口令、账号、密码等。此外,黑客可以远程控制傀儡主机对别的主机发动攻击,如DDoS攻击就是大量傀儡主机接到攻击命令后,同时向被攻击目标发送大量的服务请求数据包。
4.嗅探器和扫描攻击
嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,作为实施下一步攻击的前奏。
为了应对不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括:防火墙、VpN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VpN属早期的被动防护技术,入侵检测、入侵防
御和漏洞扫描属主动检测技术,这些技术领域的研究成果已经成为众多信息安全产品的基础。
二、网络的安全策略分析
早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括:
1.防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.VpN
VpN(Virtual private Network)即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,VpN技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息被泄露、篡改和复制。VpN技术可以在不同的传输协议层实现,如在应用层有SSL协议,它广泛应用于Web浏览程序和Web服务器程序,提供对等的身份认证和应用数据的加密;在会话层有Socks协议,在该协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VpN隧道;在网络层有IpSec协议,它是一种由IETF设计的端到端的确保Ip层通信安全的机制,对Ip包进行的IpSec处理有AH(Authentication Header)和ESp(Encapsulating Security payload)两种方式。
3.防毒墙
防毒墙是指位于网络入口处,用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的,因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生的一种安全设备。防毒墙使用签名技术在网关处进行查毒工作,阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外,管理人员能够定义分组的安全策略,以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的Ip/MAC地址,以及TCp/UDp端口和协议。
三、网络检测技术分析
人们意识到仅仅依靠防护技术是无法挡住所有攻击,于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有:
1.入侵检测
入侵检测系统(Intrusion Detection System,IDS)是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充,入侵检测技术能够帮助系统对付已知和未知网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
2.入侵防御
入侵防御系统(Intrusion prevention System,IpS)则是一种主动的、积极的入侵防范、阻止系统。IpS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术,IpS的检测功能类似于IDS,防御功能类似于防火墙。IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限;而IpS部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为IpS就是防火墙加上入侵检测系统,但并不是说IpS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCp/Ip协议的过滤方面表现出色,同时具备网络地址转换、服务代理、流量统计、VpN等功能。
3.漏洞扫描
漏洞扫描技术是一项重要的主动防范安全技术,它主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(Honeypot)系统,它是故意让人攻击的目标,引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析,来发现攻击者的攻击方法及系统存在的漏洞。
四、结语
尽管传统的安全技术在保障网络安全方面发挥了重要作用,但在一个巨大、开放、动态和复杂的互联网中技术都存在着各种各样的局限性。安全厂商在疲于奔命的升级产品的检测数据库,系统厂商在疲于奔命的修补产品漏洞,而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒,防火墙只能对非法访问通信进行过滤,而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中,安全问题的炸弹随时都有爆炸的可能。用户必须针对每种安全威胁部署相应的防御手段,这样使信息安全工作的复杂度和风险性都难以下降。为了有效地解决日益突出的网络安全问题,网络安全研究人员和网络安全企业也不断推出新的网络安全技术和安全产品。
参考文献:
[1]周碧英:浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18~19
[2]潘号良:面向基础设施的网络安全措施探讨[J].软件导刊, 2008,(3):74~75
[3]刘爱国李志梅谈:电子商务中的网络安全管理[J].商场现代化,2007,(499):76~77
[4]孙晓南:防火墙技术与网络安全[J].科技信息,2008,(3): 199~120
[5]赵立志林伟:浅析网络安全技术[J].民营科技,2008,(3):193
第四篇:网络安全策略十大原则
网络安全策略的十大原则
1.木桶原则:是指要对企业网络安全进行均衡全面的保护。因为任何一方面的缺失或不完全都有可能影响到其他方面的保护效果。
2.整体性原则:这一原则要求我们在进行安全策略设计时充分考虑各种安全配套措施的整体一致性,不要顾此失彼。既要重视对攻击的防御,又要考虑在网络遭受攻击、破坏后,快速回复网络信息中心的服务,减少损失。
3.均衡性原则:对于任何网络而言,绝对安全难以达到,也不一定是必要的,所以需要建立合理的使用安全性与用户需求评价和平衡体系。
4.可行性原则:任何一个企业在网络安全需求方面都有它独特性,对于网络安全系统的部署成本也有不同的承受能力。我们不能一味的花高代价来部署安全性的防护系统,而应结合企业的实际安全需求进行综合评价。
5.等级性原则:等级是指安全层次和安全级别。良好的安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
6.一致性原则:安全防护系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,只有这样才能确保各个分系统的一致性,使整个系统安全的互联互通、信息共享。
7.易操作性原则:首先,安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
8.技术与管理相结合原则:安全防护体系是一个复杂的系统工程,涉及人力、技术、操作和管理等方面的因素,单靠技术或单靠管理都不可能实现,因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设结合起来全盘考虑。9.统筹规划,分布实施原则:在部署安全防护策略是可考虑现在一个比较全面的安全规划下,根据网络的实际需要建立基本的安全体系,保证基本的、必需的安全性,然后随着网络规模的扩大及应用的增加,网络应用的复杂程度变化,调整或曾倩安全防护力度,保证整个网络最根本的安全需求。
10.动态发展原则:在制定策略时要明确要根据网络的发展变化和企业自身实力的不断增强,对安全系统进行不断的调整,以适应新的网络环境,满足新的网络安全需求。
第五篇:信息安全策略
信息安全策略
是一个有效的信息安全项目的基础。从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显。例如,没有安全策略,系统管理员将不能安全的安装防火墙。策略规定了所允许的访问控制、协议以及怎样记录与安全有关的事件。尽管信息安全策略是廉价的实施控制方式,但它们也是最难实施的。策略花费的仅仅是创建、批准、交流所用的时间和精力,以及员工把策略整合形成日常行为规范所用的时间和精力。即使是雇佣外部顾问来辅助制定策略,与其它控制方法(特别是技术控制)相比,其花费也是较小的。策略的制定需要达成下述目标:减少风险,遵从法律和规则,确保组织运作的连续性、信息完整性和机密性。
信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。组织为高层主管、董事会成员、战略伙伴以及员工提供了内部信息系统,对信息系统中信息特性的理解,能为策略制定提供有用的依据。应当重视对信息系统了解深刻的员工,所提出的组织当前信息的主要特性,具体包括:什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。
在制定一整套信息安全策略时,应当参考一份近期的风险评估或信息审计,以便清楚了解组织当前的信息安全需求。对曾出现的安全事件的总结,也是一份有价值的资料。也需要召开相关人员会议,比如首席信息官、物理安全主管、信息安全主管、内部审计主管和人力资源主管等。
为了确定哪些部分需要进一步注意,应收集组织当前所有相关的策略文件,例如计算机操作策略、应用系统开发策略、人力资源策略、物理安全策略。也可以参考国际标准、行业标准来获得指导。
资料收集阶段的工作非常重要,很多时候因为工作量和实施难度被简化操作。资料收集不全,调研不够充分会导致新建的信息安全策略无法与组织的真正需求一致。也无法确保策略中的要求与管理目标相一致。如果提出一套与组织文化明显不一致的策略,更是一件很尴尬的事情。
在制定策略之前,对现状进行彻底调研的另一个作用是要弄清楚内部信息系统体系结构。信息安全策略应当与已有的信息系统结构相一致,并对其完全支持。这一点不是针对信息安全体系结构,而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定,以保障信息安全体系实施、运行。例如,互联网访问控制策略可使安全体系结构具体化,也有利于选择和实施恰当的防火墙产品。
收集完上面所提到的材料后,也就是调研阶段完成后,开始根据前期的调研资料制定信息安全策略文档初稿。初稿完成后,应当寻找直接相关人员对其进行小范围的评审。对反馈意见进行修改后,逐渐的扩大评审的范围。当所有的支持部门做出修改后,交由信息安全管理委员会评审。
信息安全策略的制定过程有很高的政策性和个性,反复的评审过程能够让策略更加清晰、简洁,更容易落地,为此在评审的过程中需要调动参与积极性,而不是抵触。
评审过程的最后一步一般由总经理、总裁、首席执行官签名。在人员合同中应当表明能予遵守并且这是继续雇佣的条件。也应当发放到内部服务器、网页以及一些宣传版面上的显眼位置,并附有高层管理者的签名,以表明信息安全策略文档
得到高层领导强有力的支持。如果让首席执行官签名不现实,由首席信息官签名也可以。要注意仅有信息安全部门主管或同级的部门主管签名,一般不足以表明高层管理者的同意和支持。虽然获得高层管理者的同意很难实施,但经验表明,高层的支持对策略的实施落地是非常重要的。
一般来说,在信息安全策略文件评审过程中,会得到组织内部各方多次评审和修订,其中最为重要的是信息安全管理委员会。信息安全委员会一般由信息部门人员组成,参与者一般包括以下部门的成员:信息安全、内部审计、物理安全、信息系统、人力资源、法律、财政和会计部。这样一个委员会本质上是监督信息安全部门的工作,负责筛选提炼已提交的策略,以便在整个组织内更好的实施落地。如果组织内还没有信息安全管理委员会,在制定信息安全策略的时候正是建立管理委员会的好时机,或由组织内已存在的同职能部门担任职责。
虽然制定了新的安全策略,还必须有一个适当的实施过程,如果这些策略不能得到实施,将起不到任何作用,不能得到执行的策略,可能比完全没有策略更糟糕,因为这样会教会员工作假和质疑组织内部执行力,这也可能麻痹管理者认为信息安全为题已经处理虽然现实是另外一回事。
管理层常以为员工行为当然以组织利益为重,这是一个欠考虑的想法。虽然策略不可能影响员工的个人价值观,但管理层可以运用策略给员工提供机会,引导他们和组织的利益一致。策略告诉员工组织对他们的期望是什么。
新策略发布前,应在内部信息技术部门或审计部门内讨论如果具体实施。新策略的执行可能会遇到多样化的问题。可以通过绩效评估和相应奖惩制度来保证策略的执行有效性。发现和惩罚违反策略的员工并不是目的。如果大量的人都不遵守,这就表明策略和相关的意识提升是无效的。在此情形下,需要寻找更有效的方式实施,或修改策略,以便更好的反映组织文化。
另有一些策略实施的建议:
在组织内部网站或一些媒体发布策略—新策略应发布在组织内部网站上,加入相关链接让用户能很快定位感兴趣的材料。
制定自我评估调查表—在新的策略实施时,制定评估表,填写实施情况,就能明确哪些部门没有遵守好、哪些地方需要额外加强控制。
制定遵守信息安全策略的员工协议表——应当编辑一个反映员工该如何遵守信息安全策略的法律协议表,或直接体现在员工合同中。
建立考察机制检查员工是否理解策略——调查员工是否理解安全策略文档中的重点。通过考试确定是否要增加培训和通告。
基础信息安全培训课程——培训课程通过录像或培训软件存档。不同策略对象可能要不同的培训课程。
分配策略落实负责人——按部门或实际情况分配负责人,落实责任。
点击咨询 