『壹』 數據泄密事件屢發生 大中企業如何防範
隨著企業信息化進程的推進,關於網路內容的安全,即數據的安全,日益成為企業信息化建設最重要的目標。當前中國大中型企業的數據安全防護還相當薄弱,各種泄密事件屢屢發生,給企業造成沉重打擊。為了避免數據泄露,企業在加強企業信息安全管理,提高安全意識的同時,必須進一步加強企業網路信息安全基礎建設。用技術手段來確保信息安全,是必不可少的。
然而,大中型企業要做到信息防泄露是比較困難的。大中型企業往往有數千台電腦,幾台甚至幾十台大型伺服器,還有數目不詳的移動硬碟、U盤,以及各個分公司、外埠出差人員的電腦接入內網。信息分布存放在各個物理位置,不論是終端電腦、伺服器、筆記本電腦、移動硬碟、U盤,還是資料庫,都各自保存著各種文檔和數據。任何一個環節出現紕漏,都會導致數據泄露事件的發生。
根據當前主流的數據安全分域防護理論,專家建議,把整個企業網路及其存儲設備,分為五大安全域,分別控制,統一防護,實現整體一致的數據泄露防護,是科學有效的數據安全管理辦法。
所謂數據防泄露分域安全理論,就是把連接到企業網路的各種物理設備,劃分為:終端、埠、磁碟、伺服器(包括資料庫)和移動存儲設備五大安全區域,針對不同的安全域採用對應的產品進行保護。可以側重於對終端進行防護,也可以針對伺服器和資料庫進行重點防護。根據企業自身的信息安全現狀,可以有針對性地選擇防護重點。
一、 終端數據防泄露
提到終端安全,大家一定會想到賽門鐵克。這家總部位於美國的世界級信息安全公司的廣告口號就是:賽門鐵克就是終端安全。針對終端數據防泄露,賽門鐵克以收購Vontu而來的數據丟失防護(DLP,Data Loss Prevention)產品,在全球范圍包括美國、歐洲、南亞等多數國家取得了極大的商業成功。其DLP產品幾乎是毫無阻礙地獲得各個國家的認同,並得到實施。然而,賽門鐵克在日本和中國這兩個對信息安全把控最嚴密的國家,卻遲遲得不到進展。賽門鐵克DLP的硬傷主要在於三個方面:1、高昂的價格使其成為貴族用品;2、本地化比較差。由於英語系國家在語言和技術交流方面的通暢,所以接受DLP比較容易,但在中國,賽門鐵克還有更多本地化工作要做。3、中國政府對信息安全產品的政策,使得國外信息安全產品只能局限於外企進行銷售。
不僅是賽門鐵克,還有趨勢科技、Websense、麥咖啡等廠家的DLP產品在中國也有同樣的狀況。
其實,在終端數據防泄露方面,中國人是值得自豪的。以北京億賽通為首的中國DLP廠商,從2001年就開始研發的加密軟體,足以確保終端數據防泄露。國內信息安全廠商在政府的保護下,獲得發展機遇,這是一個基本事實。中國人以獨有的技術敏感和產品領悟力,推出的文件透明加密、許可權管理、外發控制等軟體,以文檔透明加密為核心,輔以許可權控制,外發管理、日誌審計等功能,能從源頭上確保數據安全。
不論是數千點的宇龍通信、正泰科技,數萬點甚至十萬點的比亞迪集團、中集集團、中國移動集團,還是數十萬點的全球性跨國公司,都已經採用億賽通終端數據防泄露系統。
針對終端信息安全,可以採用文檔透明加密系統SmartSec、文檔許可權管理系統DRM文檔安全管理系統CDG和文檔外發控制系統ODM。除此之外,國內也有其他加密軟體可採用,但從產品性能來看,稍遜一籌。
二、 磁碟數據防泄露
磁碟是存儲數據的物理設備。針對磁碟進行管控,就可以防止數據泄露。當前,防止磁碟數據泄露,全球最領先的技術是全磁碟加密(Full Disk Encryption)。關於全磁碟加密(FDE)軟體,可參閱《全磁碟加密(FDE)軟體性能大揭秘》和《全磁碟加密(FDE)軟體概述》。
通過對磁碟全盤加密來保護數據安全,是國際上主流信息安全廠商推出的技術。國外企業級用戶通常會採用最著名的Pointsec和Safeboot。Checkpoint公司花費5.8億美元收購Protect Data公司所獲得了終端和移動設備數據安全產品Pointsec,其實在此之前已在全球得到應用。Safeboot被麥咖啡公司收購,集成到麥咖啡的數據泄露防護(DLP)系統中。
由於中國政府對企業信息安全的保護,中國企業不能使用國外加密軟體產品。國家法律規定,凡涉及到商用密碼的軟體產品,都必須由具備國家商用密碼生產定點單位資格和國家商用密碼銷售許可單位資格的企業生產和銷售。而且,還必須具備國家保密局、軍隊和公安部的相關銷售資質才可以在國內銷售。因此,國外FDE軟體在中國不能得到廣泛應用。
可喜的是,中國軟體企業在FDE軟體方面並不落後於國外軟體廠商。北京億賽通於2008年推出的DiskSec軟體具備強大的功能,有單機版和企業版可以選用。從性能上看,比國外同類型的企業級FDE軟體要高。DiskSec不僅是一款能保護PC、筆記本電腦、移動存儲設備的多功能FDE軟體,可以用於企業級的終端保護,還可與電腦生產廠家聯合推出全加密硬碟電腦,具備強大的適用性。目前DiskSec在中國空軍全軍得到應用,部署規模為10萬台筆記本終端。除此之外,在金融、電信、電力、製造業等多個行業都已經有大量PC和筆記本電腦部署DiskSec。
三、 埠數據泄露防護
通過埠管控,來防止數據泄露,似乎中軟公司的防水牆已經為公眾所熟知。從技術上講,防水牆本身的門檻比較低,開發難度不大。已經有多種品牌的埠防護軟體面世,也得到了比較廣泛的應用。不論是物理埠,還是網路埠,基本上都能得到保護。但是,從理論上說,只要數據進行了加密,就不再需要外圍的埠防護。既已進行了加密,又對埠進行防護,貌似有重復建設之疑。但是企業可以採用多重防護來保護數據,這是可以採用的辦法。
當前在市面上主流的埠防護軟體比較多,其中以中軟防水牆和北京億賽通設備安全管理系統DeviceSec為主流。後者之所以能躋身為主流,是因為DeviceSec能結合加密軟體形成整體防護體系。相比較而言,DeviceSec結合加密功能,安全程度要高於單一的埠防護軟體防水牆,
四、 伺服器(資料庫)數據防泄露
大中型企業的數據安全最重要的地方,應該是保護伺服器和資料庫。針對文件伺服器數據,目前主要還是通過身份認證和許可權控制這兩種訪問控制手段來確保安全。而針對應用伺服器數據安全,相應的技術手段是相當孱弱的。
資料庫的數據安全保護則更為復雜,有三種主要的手段:1、基於文件的資料庫加密技術;2、基於記錄的資料庫加密技術;3、子密鑰資料庫加密。但是這三種手段都會給資料庫的性能帶來極大的影響。針對資料庫防泄露,必須採用更為先進的技術手段。
針對伺服器和資料庫,全球最為領先的技術和產品已經誕生。北京億賽通於2008年底推出的文檔安全網關系統FileNetSec,已經在國內諸多大型企業部署實施。廣發證券、宇龍通信、中信證券等企業紛紛採用FileNetSec來對核心數據進行加密保護。
五、 移動存儲設備防泄密
移動存儲設備主要指移動硬碟、U盤、PC儲存卡、MP3、MP4、數碼照相機、數碼攝像機、手機、光碟和軟盤等。隨著移動存儲設備的廣泛使用,移動存儲設備導致泄密的現象越來越普遍。目前針對移動設備泄密的解決辦法主要有兩方面:一是對計算機及內部網路各種埠進行管控,對接入埠的移動設備進行統一認證,硬體綁定等方式,限制移動存儲設備的使用;二是對移動存儲設備本身設置口令/密碼進行身份識別,並且對移動存儲設備內的數據進行加密。通常所謂的介質管理,就是指移動存儲設備管理。
目前在市場上關於移動存儲設備管理的軟體系統有很多,比如北京億賽通、國邁、北信源、博瑞勤等。在軍工、政府等部門,關於介質管理是有嚴格規定的,往往都是由各省級主管部門下文,強制各下屬單位部署介質管理系統。
但是,一般的介質管理系統有一個致命的缺陷,就是只能對移動設備進行管理。只對移動存儲設備這一個安全域進行管控,是遠遠不夠的。根據企業的信息安全需求,需要對各個不同的安全域都進行管控,才能實現整體一致的防護體系,實現全面的數據防泄露。因此,選擇介質管理系統,要考慮與企業其他安全域兼容一體。在這方面,北京億賽通走在了前面,介質管理是億賽通數據泄露防護(DLP)體系中不可缺少的一環。不僅能完全保護移動設備安全,還能與其他安全系統形成一套完整的防護體系。
總結:孫子兵法雲:不謀全局者,不足謀一域。雖然對內網系統劃分為五大安全域,但是,要做到分域安全和全面防護相統一,必須統一考慮,統一架構,統一部署。大中型企業要實現數據防泄露,對各個安全域的特點和具體需求,都要充分考慮,周密部署,以實現整體數據泄露防護(DLP)。
『貳』 分別舉兩個例子說明網路安全與政治、經濟、社會穩定和軍事的聯系
1.銀行
2.交通
『叄』 為什麼美方會選擇對西北工業大學進行網路攻擊
西北工業大學是我國從事航空、航天、航海工程教育和科學研究領域的重點大學,擁有大量國家頂級科研團隊和高端人才,承擔國家多個重點科研項目,在科研方面擁有強大實力,尤其在某些方面的技術水平領先於美方,因此美方選擇對西北工業大學進行網路攻擊。
據媒體報道,9月5日,我國外交部發言人毛寧在回應媒體記者的相關問詢時表示,日前,國家計算機病毒應急處理中心和360公司分別發布了關於西北工業大學遭受美國國家安全局網路攻擊的調查報告,顯示美國國家安全局下屬的特定入侵行動辦公室,針對中國的網路目標實施了上萬次的惡意網路攻擊。根據國家計算機病毒應急處理中心和360公司聯合技術團隊的技術分析和跟蹤溯源,美國國家安全局對中國實施網路攻擊和數據竊密的證據鏈清晰完整,涉及在美國國內對中國直接發起網路攻擊的人員13名,以及為構建網路攻擊環境而與美國電信運營商簽訂的合同60餘份,電子文件170餘份。
據西北工業大學遭受美國國家安全局網路攻擊的調查報告中顯示,美方曾先後使用40多種的專用網路攻擊武器設備,對西北工業大學發動了上千次的攻擊竊密行動,從而竊取了一批核心技術數據和相關資料。不僅如此,美方還無所不及,長期對我國的手機用戶進行監聽,非法竊取手機用戶的簡訊等相關內容,並對手機用戶進行定位。
俗話說,伸手必被捉。我認為,美方的行為,已經危害了我國國家安全和公民的個人信息安全,美方應對以上不法行為作出解釋並承認錯誤;同時,我們也應進一步推進網路安全領域頂層設計,完善國家網路安全,提升國家網路安全保障能力,防止網路入侵,確保國家網路安全運行。
『肆』 網路攻擊無所不用其極,為何美國對西工大虎視眈眈
網路攻擊無所不用其極,為何美國對西工大虎視眈眈首先是因為西北工業大學自身的學術氛圍好並且科研實力強,其次就是西北工業大學每年為國家輸送了很多的軍工人才,再者就是通過分析西北工業大學的軍工機密可以加強美國在國防力量的建設,另外就是美國想要利用自身的網路霸權主義來長期監視中國高校的發展。需要從以下四方面來闡述分析網路攻擊無所不用其極,為何美國對西工大虎視眈眈。
一、因為西北工業大學自身的學術氛圍好並且科研實力強
首先就是因為西北工業大學自身的學術氛圍好並且科研實力強 ,對於西北工業大學而言他們自身的學術氛圍是很好的這很適合很多的人群來就讀,並且學校的科研實力也很強造就了中國的國防力量。
中國應該做到的注意事項:
利用國際法律讓美國付出應有的代價。
『伍』 「西北工業大學網襲案」告破,真凶果然是美國!美為何那麼害怕西工大
美國之所以害怕西工大,就是因為西工大在網路技術領域取得了不小的成績。
在西工大網路襲擊案告破之後,大家也終於知道了幕後的真凶是誰。當大家得知幕後真凶是美國後,都感到非常的氣憤,然而在我看來,西工大就算遭遇襲擊,西工大也完全有能力捍衛國家網路的安全。
一、美國之所以害怕西工大,是因為西工大有著深厚的軍工背景。
在中國軍事發展領域當中,西工大的學生可謂是做出了相當大的貢獻,如果沒有西工大培養的優秀人才,中國的軍事工業發展根本不可能取得如此優異的水平。正是由於西工大有著深厚的軍工背景,這使得美國非常希望能夠深入了解西工大這所學校,於是美國才會採取網路襲擊的方式來攻擊西工大這所大學。
『陸』 烏克蘭宣布:攻擊癱瘓了2400多個俄羅斯網站,對俄造成了哪些影響
現代戰爭真的和以前的戰爭差別太大了,最近烏克蘭宣布他們攻擊癱瘓了俄羅斯2400多個網站,引發了很多網友的關注,畢竟網路安全是十分重要的,現在很多網友都擔心俄羅斯會在這次的戰爭中吃虧,或者在這次的網路癱瘓中泄露對自己不利的國家機密。到時候就非常難扭轉局勢了,畢竟我們都是支持俄羅斯的,非常不希望看到自己的夥伴受到攻擊。
一,俄羅斯境內的相關商業活動將會受到較大影響
現在很多的商業活動都是非常依賴網路的,基本都是在網路上面進行溝通,並且網上存放著很多商業機密,如果真的有黑客攻擊的話,很有可能會導致很多重要的文件資料丟失,造成很多損失,並且在相當長的一段時間內都商業活動都將會受到影響,這會使俄羅斯的經濟承受一定程度的打擊。
『柒』 為什麼西北工業大學會遭受境外網路攻擊美方竊取的資料對我國影響有多大
西北工業大學竟然被境外的黑客給進行攻擊了,而且新華社和警方都對此事發布了報道。西北大學其實很多人不是那麼熟悉,但是這所大學確實在美國制裁名單上的。而且西北工業大學也是211、985院校,是國防七子之一。並且還是航天、航空、航海發展的一所重點大學,對於我國的科國防科技事業是有很大貢獻的。
從發布的聲明裡面可以看到,這些黑客還有不法分子發送的郵件是含有木馬程序的。想要盜取師生的一些郵件,還有個人信息,但是這次攻擊沒有造成很關鍵的信息泄露。也沒有引起一些網路的安全事故,但是是要進行重視的。而且我國每年都會遭遇一些境外的網路攻擊,次數超過了200萬次,大部分都是來自於美國。對於這件事情,一定會進行認真的調查和重視。
『捌』 西北工業大學遭美國安局網路攻擊,西工大反擊贏了嗎
西北工業大學遭美國安局網路攻擊,西工大反擊沒有贏首先是因為西北工業大學被竊取了很多的軍工機密,其次就是西北工業大學還沒有一套完全強大的網路安全體系,再者就是西北工業大學還需要做好數據方面的保護工作,另外就是西北大學應該核實對應的被泄露的機密文件信息的內容可以更好的保護國家的安全發展。需要從以下四方面來闡述分析西北工業大學遭美國安局網路攻擊,西工大反擊沒有贏。
一、因為西北工業大學被竊取了很多的軍工機密
首先就是因為西北工業大學被竊取了很多的軍工機密 ,對於西北工業大學而言他們被竊取了很多的軍工機密這對於西北工業大學的長期發展產生了很多的不利影響。
西北工業大學應該做到的注意事項:
應該加強多渠道的合作。
『玖』 信息安全管理實踐
信息安全管理平台的設計和實現離不開整體的信息安全規劃和建設思路,而信息安全的實踐根據不同行業、不同組織的自身特點也有著相應的建設思路。針對歸納提煉的信息安全三大屬性即機密性、可用性和完整性,不同實踐思路也有著不同側重點。
7.3.1金融行業安全管理實踐
改革開放30多年來,中國的金融信息化建設是從無到有、從單一業務向綜合業務發展,取得了一定的成績。如今已從根本上改變了傳統金融業務的處理模式,建立了以計算機和互聯網為基礎的電子清算系統和金融管理系統。
隨著金融行業信息化的發展,業務系統對信息系統的依賴程度也越來越高,信息安全的問題也越來越突出。為了有效防範和化解風險,保證金融組織信息系統平穩運行和業務持續開展,需要建立金融組織信息安全保障體系,以增強金融組織的信息安全風險防範能力。
7.3.1.1需求分析
隨著世界經濟全球化和網路化的發展,國外的金融變革對我國的影響越來越大。由於利益的驅使,針對金融業的安全威脅越來越多,金融業必須加強自身的信息安全保護工作,建立完善的安全機制來抵禦外來和內在的信息安全威脅。
隨著銀行業務的不斷發展,其網路系統也經歷了多年的不斷建設,多數商業銀行進行了數據的大集中。在業務水平、網路規模不斷提升的同時,銀行的網路也變得越來越復雜,而這種復雜也使其安全問題越來越嚴峻。目前各金融體系的建設標准很難統一,阻礙了金融信息化的進一步發展。在國有商業銀行全面實施國家金融信息化標准前,許多銀行都已經建立了自己的體系,由於機型、系統平台、計算機介面以及數據標準的不統一,使得各地的差距比較大,系統的整合比較困難,標准化改造需要一段時間。金融組織充分認識到安全保證對於業務系統的重要性,採取了相應的安全措施,部署了一些安全設備。公眾對信息安全的防範意識也有所提高,但信息犯罪的增加、安全防護能力差、信息基礎嚴重依賴國外、設備缺乏安全檢測等信息安全方面由來已久的問題並未得到解決。加強對計算機系統、網路技術的安全研究,完善內控管理機制,確保業務數據和客戶信息的安全,全面提高計算機的安全防範水平已是國內各大銀行面臨的共同問題。但是安全的動態性、系統性的屬性決定了安全是一個逐步完善、整體性的系統工程,需要管理、組織和技術各方面的合力。
7.3.1.2安全體系建設
安全體系建設的目標是通過建立完善的信息安全管理制度和智能、深度的安全防禦技術手段,構建一個管理手段與技術手段相結合的全方位、多層次、可動態發展的縱深安全防範體系,來實現信息系統的可靠性、保密性、完整性、有效性、不可否認性,為金融業務的發展提供一個堅實的信息系統基礎保證。信息安全防範體系的覆蓋范圍是整個信息系統。
安全體系建設的主要工作內容有:
(1)建立和完善銀行信息安全管理組織架構,專門負責信息系統的安全管理和監督。
(2)設計並實施技術手段,技術手段要包括外網邊界防護、內網區域劃分與訪問控制、端點准入、內網監控與管理、移動辦公接入、撥號安全控制、病毒防範、安全審計、漏洞掃描與補丁管理等諸多方面安全措施。通過劃分安全域的方法,將網路系統按照業務流程的不同層面劃分為不同的安全域,各個安全域內部又可以根據業務元素對象劃分為不同的安全子域;針對每個安全域或安全子域來標識其中的關鍵資產,分析所存在的安全隱患和面臨的安全風險,然後給出相應的保護措施;不同的安全子域之間和不同的安全域之間存在著數據流,這時候就需要考慮安全域邊界的訪問控制、身份驗證和審計等安全策略的實施。
(3)制訂金融安全策略和安全管理制度。安全管理部門結合銀行信息系統的實際情況,制訂合理的安全策略,對信息資源進行安全分級,劃分不同安全等級的安全域,進行不同等級的保護。如加強系統口令管理;進行許可權分離,明確責任人;加強內審機制;注意授權的最小化和時效性,除非真正需要,一般只授最小許可權,到一定時間後就收回授權,並且形成制度和流程;對所有伺服器進行漏洞掃描,形成資產脆弱性報告;建立數據的異地容災備份中心;物理和環境的安全。制訂並執行各種安全制度和應急恢復方案,保證信息系統的安全運行。這些包括密碼管理制度、數據加密規范、身份認證規范、區域劃分原則及訪問控制策略、病毒防範制度、安全監控制度、安全審計制度、應急反應機制、安全系統升級制度等。
(4)建立安全運維管理中心,集中監控安全系統的運行情況,集中處理各種安全事件。針對金融應用系統、資料庫的黑客攻擊越來越多,僅僅通過設立邊界防火牆,建立、改善、分析伺服器日記文件等被動的方式是不夠的,監測黑客入侵行為最好的方法是能夠當時就能監測出惡意的網路入侵行為,並且馬上採取防範反擊措施加以糾正,因此IDS的部署也就必不可少。
(5)統一制定安全系統升級策略,並及時對安全系統進行升級,以保證提高安全體系防護能力。
(6)容災、備份系統。金融組織關鍵數據丟失會中斷正常業務運行,損失不可估量。要保護數據,保證數據的高可用性和不間斷性,需要建立備份、容災系統。備份和容災兩個系統相輔相成,兩者都是金融組織數據安全的重要保障,而且兩者的目標是不同的。容災系統的目的在於保證系統數據和服務的「在線性」,即當系統發生故障時,仍然能夠正常地向網路系統提供數據和服務,以使系統不致停頓。備份是「將在線數據轉移成離線數據的過程」,其目的在於應付系統數據中的邏輯錯誤和歷史數據保存。
7.3.2電子政務安全管理實踐
政府組織作為國家的職能機關,其信息系統安全跟國家安全緊密結合在一起。信息的可用性尤為重要,在某些領域信息的機密性也是政府組織信息安全建設的重中之重。電子政務涉及對國家機密和敏感度高的核心政務信息的保護,涉及維護社會公共秩序和行政監管的准確實施,涉及為企業和公民提供公共服務的質量保證。
在電子政務系統中,政府機關的公文往來、資料存儲、服務提供都以電子化的形式來實現。然而,電子政務一方面的確可以提高辦公效率、精簡機構人員、擴大服務內容、提升政府形象,另一方面也為某些居心不良者提供了通過技術手段竊取重要信息的可能。而且考慮到網路本身所固有的開放性、國際性和無組織性,政府網路在增加應用自由度的同時,政府網路對安全提出了更高的要求。
7.3.2.1需求分析
電子政務是一個由政務內網、政務外網和互聯網三級網路構成。政務內網為政府部門內部的關鍵業務管理系統和核心數據應用系統,政務外網為政府部門內部以及部門之間的各類非公開應用系統,所涉及的信息應在政務外網上傳輸,與互聯網相連的網路,面向社會提供的一般應用服務及信息發布,包括各類公開信息和非敏感的社會服務。由於我國大部分政府官員和公務員對信息技術、網路技術和計算機技術還未接觸或接觸不多,防範方法和技術欠缺,整體素質與電子政務安全防範的要求還有很大的距離。電子政務最常見的安全問題,包括網站被黑、數據被篡改和盜用、秘密泄露、越權瀏覽等。
因此,政府網路常見的信息安全需求如下:
(1)統一的安全管理平台。目前政府信息系統較常見的安全威脅主要來自很多無意的人為因素而造成的風險,如由於用戶安全意識不強導致的病毒泛濫、賬戶口令安全薄弱等。對集中統一的安全管理軟體,如病毒軟體管理系統、身份認證管理系統以及網路安全設備管理軟體等要求較高。因此,通過安全管理平台可有效地實現全網的安全管理,同時還可以針對人員進行安全管理和培訓,增強人員的安全防範意識。這就對安全管理平台和專業的網路安全服務提出了較高的要求。
(2)信息的保密性和完整性。由於政府網路上存有重要信息,對信息的保密性和完整性要求非常高。信息可能面臨多層次的安全威脅,如通過電磁輻射或線路干擾等物理威脅、泄漏或者存放機密信息的系統被攻擊等威脅。同時針對網上報稅等電子政務應用還要求嚴格保障信息的完整性,這都需要從網路安全形度整體考慮,配合統一的網路安全策略並選擇相應的安全產品,保障網路的信息安全。
7.3.2.2建設思路
(1)內外網物理隔離。一般來講,政府組織內部網路可以根據功能劃分為電子政務網與辦公網兩部分。安全域是以信息涉密程度劃分的網路空間。涉密域就是涉及國家秘密的網路空間。非涉密域就是不涉及國家的秘密,但是涉及本單位、本部門或者本系統的工作秘密的網路空間。公共服務域是指不涉及國家秘密也不涉及工作秘密,是一個向互聯網路完全開放的公共信息交換空間。國家相關文件嚴格規定,政務的內網和政務的外網要實行嚴格的物理隔離。政務的外網和互聯網路要實行邏輯隔離。按照安全域的劃分,政府的內網就是涉密域,政府的外網就是非涉密域,互聯網就是公共服務域。
(2)建立嚴格的防範機制。政府組織外部網路面臨最大的威脅是來自互聯網的惡意攻擊行為,重在「防範」,通過部署防垃圾郵件系統、防病毒系統、入侵檢測系統、防拒絕服務攻擊系統,保證政府門戶網站對外宣傳。建立政府上網信息保密審查制度,堅持「誰上網誰負責」的原則,信息上網必須經過信息提供單位的嚴格審查和批准。各級保密工作部門和機構負責本地區本部門網上信息的保密檢查,發現問題,及時處理。
(3)遵循信息安全管理國際標准。改變我國的信息安全管理依靠傳統的管理方法和手段的模式,實現現代的系統管理技術手段。國際標准BS7799和ISO/IEC17799是流行的信息安全管理體系標准。其中的管理目標為數據的保密性、完整性和可用性,具有自組織、自學習、自適應、自修復、自生長的能力和功能,保證持續有效性。通過計劃、實施、檢查、措施四個階段周而復始的循環,應用於其整體過程、其他過程及其子過程,例如信息安全風險評估或者商務持續性計劃的安排等,為信息安全管理體系與質量管理體系、環境管理體系等的整合運行提供了方便。在模式和方法上都兼容,成為統一的內部綜合管理體系,包括按照可信網路架構方法,編制信息安全解決方案、多層防範多級防護、等級保護、風險評估、重點保護;針對可能發生的事故或災害,制定信息安全應急預案,建立新機制、規避風險、減少損失;根據相應的政策法規在網路工程數據設計、建設和驗收等階段實行同步審查,建立完善的數據備份、災難恢復等應用,確保實時、安全、高效、可靠的運行效果。
(4)建立健全網路信息安全基礎設施。我國的網路安全基礎設施建設還處於初級階段,應該盡快建立網路監控中心、安全產品評測中心、計算機病毒防治中心、關鍵網路系統災難恢復中心、網路安全應急響應中心、電子交易安全證書授權中心、密鑰監管中心等國家網路安全基礎設施。目前,國際出入口監控中心和安全產品評測認證中心已經初步建成。安全產品評測認證中心由安全標准研究、產品安全測試、系統安全評估、認證注冊部門和網路安全專家委員會組成。積極推動電子政務公鑰基礎設施建設,建立政府網路安全防護與通報機制以及網路身份認證制度,加速政府部門之間的信息交流和共享,增強網路活動的安全保障,確保信息的有效性和安全性。建立中國的電子政務公鑰基礎設施/認證中心(PKI/CA)體系事關全局,各級地方和部門應在國家級CA的體系下,嚴格按照國家有關主管部門的統一部署,有序建設。
7.3.3軍隊軍工安全管理實踐
軍隊軍工行業網路經過多年信息化建設已經初具規模,隨著內網資源共享程度增加,網路安全保密的威脅和風險也同時增大,參照涉密網保密資質的要求,目前的網路現狀存在很大泄密的威脅和風險。而且軍隊軍工行業網路中有大量的涉密文件和信息,對保密性的要求特別嚴格。
軍隊軍工信息系統的計算機網路規模龐大,終端、網路設備眾多,應用環境復雜,信息系統中對數據安全和網路安全方面要求保證絕對機密,同時要求系統持續可靠運行。
7.3.3.1安全需求分析
目前,我軍應用的信息技術,大部分是引進西方發達國家,沒有形成具有自主知識產權的核心技術。網路系統使用的晶元、操作系統、協議、標准、先進密碼技術和安全產品幾乎被國外壟斷。由於受技術水平等限制,對從外國引進的關鍵信息設備可能預做手腳的情況無從檢測和排除,客觀上造成了軍隊關鍵信息基礎建設防護水平不高,存在安全隱患。英國Omega基金會在一次報告中明確指出,在歐洲,全部電子郵件、電話和傳真等通訊都處於美國國家安全局的日常監聽之下。當前我國的信息安全研究處於忙於封堵現有信息安全漏洞階段。要徹底解決這些問題,歸根結底取決於信息安全保障體系的建設。主要有以下需求:
進一步完善軍隊軍工行業的網路安全管理制度和執行力度,以確保整個網路系統的安全管理處於較高的水平;配備相應的物理安全防護設施,確保網中重要機房的安全,確保關鍵主機及涉密終端的物理安全;建立軍隊軍工CA證書服務中心,從而構建起基於證書的安全基礎支撐平台;建立統一的身份認證和訪問控制平台,為管理系統提供統一的身份認證和訪問控制服務,給予相應人員對應的許可權,阻斷越權操作等非法行為;通過防火牆技術在自己與互聯網之間建立一道信息安全屏障,一方面將軍網與互聯網物理隔離,防止黑客進入軍網,另一方面又能安全地進行網間數據交換。確保網路關鍵主機和涉密終端的安全,確保存儲在軍工網關鍵主機和涉密終端中機密信息的安全,在保證信息暢通的基礎上,有效阻止非法信息獲取或數據篡改,避免對系統的惡意破壞導致系統癱瘓;健全數據備份/恢復和應急處理機制,確保網路信息系統的各種數據實時備份,當數據資源在受到侵害破壞損失時,及時地啟動備份恢復機制,可以保證系統的快速恢復,而不影響整個網路信息系統的正常運轉。對於伺服器和工作站端來說,必須建立一個整體、全面的反病毒體系結構,解決網路中的病毒傳播和防病毒集中監控問題;使用安全評估和性能檢測工具,准確而全面地報告網路存在的脆弱性和漏洞,為用戶和管理者了解主機與網路設備的服務開啟情況、系統漏洞情況,為調整安全策略、確保網路安全提供決策依據。
7.3.3.2安全解決思路
(1)安全域訪問控制。在軍隊廣域網中將若干個區域網路實體利用隧道技術連接成虛擬的獨立網路,網路中的數據利用加(解)密演算法進行加密封裝後,通過虛擬的公網隧道在各網路實體間傳輸,從而防止未授權用戶竊取、篡改信息。軍隊軍工網路不同安全級別之間嚴格遵循高密級信息禁止流向低密級信息系統。不同密級之間數據傳輸只能是「高密級讀低密級,低密級寫高密級」;對不同密級的邊界進行細顆粒或基於證書的訪問控制、審計、檢測策略;相同密級的不同科研單位之間,原則上不開放相互訪問許可權。通過在路由器主板上增加安全加密模件來實現路由器信息和IP包的加密、身份鑒別和數據完整性驗證、分布式密鑰管理等功能。使用安全路由器可以實現軍隊各單位內部網路與外部網路的互聯、隔離、流量控制、網路和信息安全維護,也可以阻塞廣播信息和小知名地址的傳輸,達到保護內部信息化與網路建設安全的目的。軍隊軍工項目管理系統建立基於證書的身份認證和許可權管理,不同密級的用戶或用戶組劃分不同的許可權。根據密級要求和用戶實際的安全需求,對終端的硬體、軟體資源使用建立訪問控制策略,並通過技術手段實施、監控和管理。
(2)保密措施綱要。設立專門的信息安全管理機構,人員應包括領導和專業人員。按照不同任務進行分類,以確立各自的職責。一類人員負責確定安全措施,包括方針、政策、策略的制定,並協調、監督、檢查安全措施的實施;另一類人員負責具體管理系統的安全工作,包括信息安全管理員、信息保密員和系統管理員等。在分類的基礎上,應有具體的負責人負責整個網路系統的安全。採取強制訪問控制策略,從安全域劃分、邊界訪問控制、入侵檢測、遠程網路加密、主機管理、系統安全性能檢測、數字簽名抗抵賴、審計等多方面,在物理層、網路層、系統層、應用層採取相應手段進行防護、檢測、稽核、管理、控制。針對物理層、網路層、系統層、應用層和管理層對涉密信息可用性、有效性帶來的威脅,從恢復與備份、病毒與惡意代碼防護、應急響應體系、系統配置管理幾個方面,以確保涉密系統的運行安全。
(3)互聯網管理與監控。在涉密網網路建設規劃中,嚴格按照「物理隔離」的要求進行網路建設,但根據以往的安全保密管理經驗,存在一些安全意識淡薄或故意有泄密行為的人員,通過本地可外連的網路,把涉密信息通過外網傳輸出去,造成嚴重泄密,故在軍隊軍工領域由於科研需要,存在一定范圍的互聯網的情況下,必須對互聯網上的網路行為進行實時的監控和審計,並針對互聯網網路進行嚴格的管理。主要的安全措施是在各個互聯網出口部署互聯網審計系統,通過專用的互聯網信息安全審計管理中心系統統一管理。為管理用戶提供一個統一的對互聯網上多種事件的安全處置管理平台,提供全方位的網路控制、遠程查詢和詳盡的報表統計功能,採用統一的資料庫和統一的管理界面進行管理,全方位協助管理部門對互聯網進行審計管理。可以集中完成分布在不同網路內的互聯網用戶的安全、審計管理,實現在一個平台下,有效地進行信息共享、綜合分析、統一管理的目的。
(4)採用安全性較高的系統和使用數據加密技術。美國國防部技術標准把操作系統安全等級分為D1、C1、C2、B1、B2、B3、A1級,安全等級由低到高。目前主要的操作系統等級為C2級,在使用C2級系統時,應盡量使用C2級的安全措施及功能,對操作系統進行安全配置。在極端重要的系統中,應採用B級操作系統。對軍事涉密信息在網路中的存儲和傳輸可以使用傳統的信息加密技術和新興的信息隱藏技術來提供安全保證。在傳發保存軍事涉密信息的過程中,不但要用加密技術隱藏信息內容,還要用信息隱藏技術來隱藏信息的發送者、接收者甚至信息本身。通過隱藏術、數字水印、數據隱藏和數據嵌入、指紋和標桿等技術手段可以將秘密資料先隱藏到一般的文件中,然後再通過網路來傳遞,提高信息保密的可靠性。
(5)備份與恢復。涉密網備份與恢復,主要考慮到涉密數據、應用數據的備份,電源安全與設備的備份,同時備份環境基於一定的環境安全上。對各個研究組織的應用數據和涉密數據,建立專門的備份伺服器,並建立數據備份號恢復策略和相關管理制度,以協助完善應急響應體系,關鍵數據和涉密數據在24小時內恢復和重建。
(6)應急響應體系。軍工網路應急響應體系建設,主要依託基於物理安全、運行安全、信息保密安全建立的相應檢測、監控、審計等技術手段,對系統運行事件和涉密事件實施不同的應急響應策略和管理制度。制訂相應的處理預案和安全演練培訓。涉密事件處理通過安全檢查工具和審計工具,有針對性地發現和檢測泄密事件;採取果斷措施切斷泄密源頭,控制泄密范圍;評估涉密事件風險,上報、記錄。安全事件處理通過入侵檢測、病毒防護、防火牆、主機審計、網路審計等技術手段,發現運行安全事件;制訂相應事件的處理預案和培訓;評估事件對系統的影響,並修補漏洞、記錄。
『拾』 軍工網路安全採取什麼措施
物理隔離:傳輸、設備、使用終端、存儲媒介與外網完全隔離、備用電源、設備自備份、備用發電機、UPS電源、無線信號屏蔽、電磁信號屏蔽、三防、防雷、防震、專人值守、網管、空調、防塵、;
軟體方面:網路硬碟、終端無盤、賬號分級訪問、IP地址限制、防火牆設置、上傳下載許可權設置
我能想到的是這些,僅供參考。
說實話~所謂的軍網距離大家心目中理想的軍網還是有差異的:
1.技術人員水平不一;2.網路安全不穩定。