當前位置:首頁 » 安全設置 » 網路安全工作閉環管理
擴展閱讀
電腦顯示聯通的網路什麼原因 2025-02-12 08:33:10
抖音短視頻不能連接網路 2025-02-12 08:24:40
外國手機安卓軟體 2025-02-12 08:24:07

網路安全工作閉環管理

發布時間: 2023-07-27 04:43:25

網路安全法是為了推動構建什麼樣的網路空間

網路安全法是為了推動構建和平、安全、開放、合作的網路空間。

根據《中華人民共和國網路安全法》第七條國家積極開展網路空間治理、網路技術研發和標准制定、打擊網路違法犯罪等方面的國際交流與合作,推動構建和平、安全、開放、合作的網路空間,建立多邊、民主、透明的網路治理體系。

(1)網路安全工作閉環管理擴展閱讀:

《中華人民共和國網路安全法》第十五條國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。

國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。

❷ 怎樣為信息系統構建安全防護體系

1、結構化及縱深防禦保護框架
系統在框架設計時應從一個完整的安全體系結構出發,綜合考慮信息網路的各個環節,綜合使用不同層次的不同安全手段,為核心業務系統的安全提供全方位的管理和服務。
在信息系統建設初期,考慮系統框架設計的時候要基於結構化保護思想,覆蓋整體網路、區域邊界、計算環境的關鍵保護設備和保護部件本身,並在這些保護部件的基礎上系統性地建立安全框架。使得計算環境中的應用系統和數據不僅獲得外圍保護設備的防護,而且其計算環境內的操作系統、資料庫自身也具備相應的安全防護能力。同時要明確定義所有訪問路徑中各關鍵保護設備及安全部件間介面,以及各個介面的安全協議和參數,這將保證主體訪問客體時,經過網路和邊界訪問應用的路徑的關鍵環節,都受到框架中關鍵保護部件的有效控制。
在進行框架設計時可依據IATF(信息保護技術框架)深度防護戰略的思想進行設計,IATF模型從深度防護戰略出發,強調人、技術和操作三個要素,基於縱深防禦架構構建安全域及邊界保護設施,以實施外層保護內層、各層協同的保護策略。該框架使能夠攻破一層或一類保護的攻擊行為無法破壞整個信息基礎設施。在攻擊者成功地破壞了某個保護機制的情況下,其它保護機制仍能夠提供附加的保護。
在安全保障體系的設計過程中,必須對核心業務系統的各層邊界進行全面分析和縱深防禦體系及策略設計,在邊界間採用安全強隔離措施,為核心業務系統建立一個在網路層和應用層同時具備較大縱深的防禦層次結構,從而有效抵禦外部通過網路層和應用層發動的入侵行為。
2、全生命周期的閉環安全設計
在進行信息系統的安全保障體系建設工作時,除設計完善的安全保障技術體系外,還必須設計建立完整的信息安全管理體系、常態化測評體系、集中運維服務體系以及應急和恢復體系,為核心信息系統提供全生命周期的安全服務。
在項目開展的全過程中,還應該遵循SSE-CMM(信息安全工程能力成熟度模型)所確定的評價安全工程實施綜合框架,它提供了度量與改善安全工程學科應用情況的方法,也就是說,對合格的安全工程實施者的可信性,是建立在對基於一個工程組的安全實施與過程的成熟性評估之上的。SSE-CMM將安全工程劃分為三個基本的過程域:風險、工程、保證。風險過程識別所開發的產品或系統的危險性,並對這些危險性進行優先順序排序。針對危險性所面臨的問題,工程過程要與其他工程一起來確定和實施解決方案。由安全保證過程來建立對最終實施的解決方案的信任,並向顧客轉達這種安全信任。因此,在安全工程實施過程中,嚴格按照SSE-CMM體系來指導實施流程,將有效地提高安全系統、安全產品和安全工程服務的質量和可用性。
3、信息系統的分域保護機制
對信息系統進行安全保護設計時,並不是對整個系統進行同一級別的保護,應針對業務的關鍵程度或安全級別進行重點的保護,而安全域劃分是進行按等級保護的重要步驟。
控制大型網路的安全的一種方法就是把網路劃分成單獨的邏輯網路域,如內部服務網路域、外部服務網路域及生產網路域,每一個網路域由所定義的安全邊界來保護,這種邊界的實施可通過在相連的兩個網路之間的安全網關來控制其間訪問和信息流。網關要經過配置,以過濾兩個區域之間的通信量,並根據訪問控制方針來堵塞未授權訪問。
根據信息系統實際情況劃分不同的區域邊界,重點關注從互聯網→外部網路→內部網路→生產網路,以及以應用系統為單元的從終端→伺服器→應用→中間件→資料庫→存儲的縱向各區域的安全邊界,綜合採用可信安全域設計,從而做到縱深的區域邊界安全防護措施。
實現結構化的網路管理控制要求的可行方法就是進行區域邊界的劃分和管理。在這種情況下,應考慮在網路邊界和內部引入控制措施,來隔離信息服務組、用戶和信息系統,並對不同安全保護需求的系統實施縱深保護。
一般來說核心業務系統必然要與其它信息系統進行交互。因此,應根據防護的關鍵保護部件的級別和業務特徵,對有相同的安全保護需求、相同的安全訪問控制和邊界控制策略的業務系統根據管理現狀劃分成不同的安全域,對不同等級的安全域採用對應級別的防護措施。根據域間的訪問關系和信任關系,設計域間訪問策略和邊界防護策略,對於進入高等級域的信息根據結構化保護要求進行數據規劃,對於進入低等級域的信息進行審計和轉換。
4、融入可信計算技術
可信計算技術是近幾年發展起來的一種基於硬體的計算機安全技術,其通過建立信任鏈傳遞機制,使得計算機系統一直在受保護的環境中運行,有效地保護了計算機中存儲數據的安全性,並防止了惡意軟體對計算機的攻擊。在信息系統安全保障體系設計時,可以考慮融入可信計算技術,除重視安全保障設備提供的安全防護能力外,核心業務系統安全保障體系的設計將強調安全保障設備的可靠性和關鍵保護部件自身安全性,為核心業務系統建立可信賴的運行環境。
以可信安全技術為主線,實現關鍵業務計算環境關鍵保護部件自身的安全性。依託縱深防禦架構應用可信與可信計算技術(含密碼技術)、可信操作系統、安全資料庫,確保系統本身安全機制和關鍵防護部件可信賴。在可信計算技術中,密碼技術是核心,採用我國自主研發的密碼演算法和引擎,通過TCM模塊,來構建可信計算的密碼支撐技術,最終形成有效的防禦惡意攻擊手段。通過系統硬體執行相對基礎和底層的安全功能,能保證一些軟體層的非法訪問和惡意操作無法完成,可信計算技術的應用可以為建設安全體系提供更加完善的底層基礎設施,並為核心業務系統提供更強有力的安全保障。
5、細化安全保護策略與保障措施
在核心業務系統不同區域邊界之間基本都以部署防火牆為鮮明特點,強化網路安全策略,根據策略控制進出網路的信息,防止內部信息外泄和抵禦外部攻擊。
在區域邊界處部署防火牆等邏輯隔離設備實施訪問控制,設置除因數據訪問而允許的規則外,其他全部默認拒絕,並根據會話狀態信息(如包括數據包的源地址、目的地址、源埠號、目的埠號、協議、出入的介面、會話序列號、發出信息的主機名等信息,並應支持地址通配符的使用)對數據流進行控制;對進出網路的信息內容進行過濾,實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制;自動終止非活躍會話連接;限制網路最大流量及網路連接數,防止DOS等攻擊行為;使用IP與MAC綁定技術,防範地址欺騙等攻擊行為;使用路由器、防火牆、認證網關等邊界設備,配置撥號訪問控制列表對系統資源實現單個用戶的允許或拒絕訪問,並限制撥號訪問許可權的用戶數量。
在核心業務系統內網的核心交換邊界部署網路入侵檢測系統,對網路邊界處入侵和攻擊行為進行檢測,並在最重要的區域和易於發生入侵行為的網路邊界進行網路行為監控,在核心交換機上部署雙路監聽埠IDS系統,IDS監聽埠類型需要和核心交換機對端的埠類型保持一致。在網路邊界處監視以下攻擊行為:埠掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網路蠕蟲攻擊等;當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發生嚴重入侵事件時應提供報警。
在區域邊界處部署防病毒網關,對進出網路的數據進行掃描,可以把病毒攔截在外部,減少病毒滲入內網造成危害的可能。防病毒網關是軟硬體結合的設備,通常部署在防火牆和中心交換機之間,可以在病毒進入網路時對它進行掃描和查殺。防病毒網關可以採用全透明方式,適用於各種復雜的網路環境,通過多層過濾、深度內容分析、關聯等技術策略,對網路數據進行高效過濾處理,可以提升網路環境的安全狀況。防病毒網關需要具備以下特性:
(1)防病毒、防木馬以及針對操作系統、應用程序漏洞進行的攻擊。
(2)防蠕蟲攻擊,防病毒網關根據自有的安全策略可以攔截蠕蟲的動態攻擊,防止蠕蟲爆發後對網路造成的阻塞。
(3)過濾垃圾郵件功能,防病毒過濾網關通過檢查郵件伺服器的地址來過濾垃圾郵件。防病毒網關通過黑名單資料庫以及啟發式掃描的資料庫,對每封郵件進行判斷並且識別,提高了對垃圾郵件的檢測力度,實現了垃圾郵件網關的功能。
邊界設備等作為區域邊界的基礎平台,其安全性至關重要。由於邊界設備存在安全隱患(如:安裝、配置不符合安全需求;參數配置錯誤;賬戶/口令問題;許可權控制問題;安全漏洞沒有及時修補;應用服務和應用程序濫用等)被利用而導致的安全事件往往是最經常出現的安全問題,所以對這些基礎設施定期地進行安全評估、安全加固與安全審計,對增強區域邊界的安全性有著重要的意義。
6、常態化的安全運維
信息系統的安全不僅依賴於增加和完善相應的安全措施,而且在安全體系建設完成之後,需要通過相應的安全體系運行保障手段,諸如定期的評估、檢查加固、應急響應機制及持續改進措施,以確保安全體系的持續有效性。
(1)定期進行信息安全等級保護測評。根據國家要求,信息系統建設完成後,運營、使用單位或者其主管部門應當選擇具有信息安全測評資質的單位,依據相關標準定期對信息系統開展信息安全等級保護測評。通過測評可以判定信息系統的安全狀態是否符合等級保護相應等級的安全要求,是否達到了與其安全等級相適應的安全防護能力。通過對信息系統等級符合性檢驗,最終使系統達到等級保護的相關要求,降低信息安全風險事件的發生概率。
(2)定期進行安全檢查及整改。確定安全檢查對象,主要包括關鍵伺服器、操作系統、網路設備、安全設備、主要通信線路和客戶端等,通過全面的安全檢查,對影響系統、業務安全性的關鍵要素進行分析,發現存在的問題,並及時進行整改。
(3)對於互聯網系統或與互聯網連接的系統,定期進行滲透測試。滲透測試是一種信息系統進行安全檢測的方法,是從攻擊者的角度來對信息系統的安全防護能力進行安全檢測的手段,在對現有信息系統不造成任何損害的前提下,模擬入侵者對指定系統進行攻擊測試。滲透測試通常能以非常明顯、直觀的結果來反映出系統的安全現狀。
(4)定期進行安全教育培訓。技術培訓主要是提高員工的安全意識和安全技能,使之能夠符合相關信息安全工作崗位的能力要求,全面提高自身整體的信息安全水平。針對不同層次、不同職責、不同崗位的員工,進行有關信息安全管理的理論培訓、安全管理制度教育、安全防範意識宣傳和專門安全技術訓練,確保信息安全策略、規章制度和技術規范的順利執行,從而最大限度地降低和消除安全風險。

❸ 網路安全法在第四章網路信息安全中對個人的信息保護提出了明確的要求

中華人共和國網路全法
之個人信息保護
《中華人民共和國網路安全法》之「網路信息安全」明確規定了「網路運營者對個人信息維護的職責」條款,從要求建立用戶信息保護制度到違反法律規定所需承擔的法律責任,構成個人信息保護閉環保護流程,可以說是一部小型的「個人信息維護法」,具體規定如下:
01
建立健全用戶
信息保護制度
第三十四條 網路運營者應當建立健全用戶信息保護制度,加強對用戶個人信息、隱私和商業秘密的保護。
02
合法收集、使用個人信息
第三十五條 網路運營者收集、使用公民個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,並經被收集者同意。
網路運營者不得收集與其提供的服務無關的公民個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用公民個人信息,並應當依照法律、行政法規的規定或者與用戶的約定,處理其保存的公民個人信息。
網路運營者收集、使用公民個人信息,應當公開其收集、使用規則。
03
個人信息保密規定
第三十六條 網路運營者對其收集的公民個人信息必須嚴格保密,不得泄露、篡改、毀損,不得出售或者非法向他人提供。
網路運營者應當採取技術措施和其他必要措施,確保公民個人信息安全,防止其收集的公民個人信息泄露、毀損、丟失。在發生或者可能發生信息泄露、毀損、丟失的情況時,應當立即採取補救措施,告知可能受到影響的用戶,並按照規定向有關主管部門報告。
04
個人信息濫用權利救濟
第三十七條 公民發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網路運營者刪除其個人信息;發現網路運營者收集、存儲的其個人信息有錯誤的,有權要求網路運營者予以更正。
05
不得以非法手段
獲取個人信息
第三十八條 任何個人和組織不得竊取或者以其他非法方式獲取公民個人信息,不得出售或者非法向他人提供公民個人信息。
06
嚴格保密個人信息、隱私
和商業秘密
第三十九條 依法負有網路安全監督管理職責的部門,必須對在履行職責中知悉的公民個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。
07
加強個人信息保護管理
第四十條 網路運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
08
侵害個人信息保護權的
法律後果
第六十四條 網路運營者、網路產品或者服務的提供者侵害個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
對於竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構成犯罪的,由公安機關沒收違法所得,並處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款。

❹ 信息化管理4大問題如何解決

文|周璐珊(知本咨詢咨詢顧問)

《關於開展對標世界一流管理提升行動的通知》(以下簡稱《通知》)中,在信息化管理方面,提出要「加強信息細化管理,提升系統集成能力」。

對標國際一流實踐,解決企業以往在信息化管理過程存在的諸多問題。具體來看:

首先,是要解決信息化管理缺乏統籌規劃的問題。《通知》指出,要「結合『十四五』網路安全和信息化規劃制定和落實,以企業數字化智能化升級轉型為主線,進一步強化頂層設計和統籌規劃,充分發揮信息化驅動引領作用」。

其次,是要解決信息化與業務「兩張皮」的問題。《通知》指出,要「促進業務與信息化的深度融合,推進信息系統的平台化、專業化和規模化,實現業務流程再造,為企業生產經營管理和產業轉型升級注入新動力」。

第三,是要解決信息系統互聯互通不夠的問題。《通知》指出,要「打通信息『孤島』,統一基礎數據標准,實現企業內部業務數據互聯互通,促進以數字化為支撐的管理變革」。

最後,是要解決信息安全隱患的問題。《通知》指出,要「加強網路安全管理體系建設,落實安全責任,完善技術手段,加強應急響應保障,確保不發生重大網路安全事件」。

二、信息化規劃

信息化規劃,一方面要堅持戰略引領。企業信息化建設工作的開展是一個涉及各個層級、各個領域、各個業務板塊的,綜合性、系統性、復雜性工程。

需要納入到企業的總體發展戰略制定過程中,進行統一研判、集中部署。

例如:中國海油在2020年工作會議上提出的「1534」總體發展思路,包括一個目標,建設中國特色國際一流能源公司;五個戰略,創新驅動、國際化發展、綠色低碳、市場引領、人才興企;三個作用,中國海油要爭做推進「卡脖子」技術攻關的先鋒隊,爭做油氣上產的主力軍,爭做國民經濟持續 健康 發展的「穩定器」「壓艙石」;四個跨越,要實現從常規油氣到非常規油氣的跨越,從傳統能源到新能源的跨越,從海上到陸地的跨越,從傳統模式到數字化的跨越。

中國海油「1534」總體發展思路,即將數字化轉型,納入到集團總體發展戰略之中,作為四個跨越之一,支撐中國特色國際一流能源公司建設目標的實現。

另一方面,要堅持需求為導向、問題為導向。

以中國大唐的數字化、信息化戰略為例。

在認識到全球能源產業格局正在重塑,清潔化發展趨勢不斷加速,能源供需結構與供需模式不斷轉變,以及我國能源行業深化「四個革命、一個合作」能源安全戰略,加速推進能源結構調整和產業優化升級的產業背景下,中國大唐提出了打造「數字大唐」,建設世界一流能源的企業的發展願景。

提出了集團管控能力、運營生產能力和創新發展能力三大提升方向,從定位、管控、運營、能力和架構,五個方面開展數字化、信息化建設,均與大唐集團的運營與業務管理提升需求緊密結合。

如典型:在新運營環節,強調開展一體化智慧運營,形成運營流程端到端集成、企業外部廣泛互聯(生態圈)、數字驅動的智慧運營能力(智慧建設、智慧電廠等),適應新能源時代運營要求。

圖|打造「數字大唐」,建設世界一流能源企業發展思路

當然,我們說在具備了完善的頂層設計的同時,合理有效的統籌安排,清晰的規劃路徑,也是坐實企業信息化規劃,發揮信息化驅動引領作用的必要保障。

來看一個華能集團的案例,分階段落實完善數字化、信息化規劃建設。

第一階段,在2021年3月底以前,是華能信息化建設、數字化轉型戰略的戰略規劃與夯實基礎階段。

在戰略+層面,出台了《數字化轉型總體規劃》的同時,在數據基礎層面,華能構建了企業數據治理體系,統一了數據結構與數據編碼,從而形成了共性元數據與根數據。

而在運營層面,則實現所有風電、光伏數據對智慧能源數據平台的接入,並完成了瑞金智慧電廠示範項目的建設工作。

第二階段,預計為2021-2022年,是華能信息化建設、數字化轉型戰略的重點突破與引領示範階段。

華能將以納入了風電、光伏數據的智慧能源數據平台為基礎,完成對水電、火電、核電等數據的接入,從而形成統一的智慧能源數據平台。

在運營層面形成全流程、全業務的元數據管理和全生命周期的數據治理服務能力。同時,完成主要產業和企業重點業務的數字化轉型。

第三階段,為2023年,是華能信息化建設、數字化轉型戰略的鞏固提高和全面轉型階段。

華能將實現全面的數字化轉型,同時也將其作為國企改革三年行動重要成果。

將數據資源作為驅動發展的新動力,通過數據共享、數據服務,打通上下游產業鏈,從而形成多產業鏈、多系統集成的智能化生產、管理、決策體系和生態。

三、信息化與業務的融合

信息化與業務的融合發展,從政策層面可以追溯到2013年的工信部《信息化與工業化深度融合專項行動計劃(2013-2018年)》,其後,在政策的持續推動與企業的積極行動之下,我國信息化與業務的融合發展進入快車道。

從融合實施進程來看,2013-2018年,可以說是我國信息化與業務融合發展的業務級融合階段。

在企業內部,主要是在部門層面,業務層面開展融合工作,即通過信息技術,改造傳統生產、經營、管理和服務等活動,在局部實現信息化、數字化改造。

這一階段往往採用「百人計算機擁有量」、「信息系統覆蓋率」等數據指標作為關鍵表徵性指標。

當前,我國信息化與業務的融合發展,已經進入企業級融合階段。

主要是通過對企業業務的集成化改造,對原有生產、經營、管理和服務模式進行跨業務領域、跨管理環節的整體優化。

這一階段的關鍵表徵性指標,除了原有的「信息系統覆蓋率」等指標外,還應加入如「數字化研發設計工具普及率」、「關鍵工序數字化控制覆蓋率」等與生產經營聯系更加緊密的數據指標。

以中國兵器裝備集團為例,進入企業級融合階段,其信息化、數字化建設與業務的深入融合,主要成兩個方面展開,一方面是通過信息化、數字化建設提升自主創新能力;另一方面是通過信息化、數字化改造實現製造產業智能化升級。

在提升自主創新能力方面,中國兵器裝備集團依託包括國家級企業技術中心、國家重點實驗室、工程研究中心、協同創新中心在內的21家高水平創新平台,開展數字化研發、設計、模擬、試驗和驗證工作,實現國內領先,有力支撐了集團的重點研發體系建立,研發周期平均縮短30%。

特別是在 汽車 產業領域,通過「六國九地」的全球數字化協同研發平台,中國兵器裝備集團建立了多學科綜合數字化建模模擬系統,填補了國內設計空白。

在實現製造產業智能化升級方面,中國兵器裝備集團在集團信息化規劃基礎上,制定了《智能製造專項規劃》,以智能化車間、智能化產品、智能化模式、智能化管理和智能化服務,五個智能化為抓手,全面推進智能製造,逐步實現柔性化生產和個性化定製,從而快速響應市場需求變化。

同時,中國兵器裝備集團積極推進工信部國家級兩化融合試點工作,75%的企業達到綜合集成水平,在 汽車 、醫葯等領域建成了5個國家級智能車間示範項目,採用數字孿生技術,實現數字化工廠的虛實製造結合,產品生產周期縮短25%以上,製造成本降低10%以上。

但在立足於實際需求,通過信息化與業務的深度融合,解決和提升企業生產、經營、管理和服務等方面的問題與能力的同時,更要深入挖掘數據資源潛力,將信息與數據資源轉變產品與服務,為企業、用戶和 社會 創造更多價值。

國家電網在信息與數據資源的產品與服務開發方面,為我們做出了表率。

國家電網黨組書記、董事長辛保安指出,「電力大數據是一座『富礦』,有巨大的價值挖掘潛力」。

當前,國家電網正積極推動平台業務、數據產品業務的發展。

第一是開展能源電商業務。

國家電網打造了目前國內最大的能源電商平台,在2B方面,通過整合能源產業鏈上的上下游資源,推動能源產業鏈各環節物資的電商化采購;在2C方面,依託智能繳費服務,不斷拓展平台功能,為客戶提供綜合城市生活服務,截止2020年底,注冊用戶超過2.7億。

第二是開展智能車聯網業務。

圍繞電動 汽車 充電服務,國家電網與普天新能源、特來電、星星充電等17家充電運營商聯合,建成了全球覆蓋范圍最廣、接入設備最多、技術水平最高的智慧車聯網平台。

目前平台接入充電樁103萬個,為480萬輛電動 汽車 的綠色出行提供便捷智能的充、換電服務,實現「車-樁-網」間高效協同,助理我國電動 汽車 產業的高速發展。

第三是開展電力大數據徵信業務。

國家電網利用企業用電數據,積極開展信貸反欺詐、授信輔助、貸後預警等方面的數據分析與應用服務,目前國家電網下屬17家省級公司和國網電商公司與金融機構簽署戰略合作協議,促成了935家中、小微企業,33.8億元的融資。

第四是開展助力政府精準施策的政務服務業務。

例如:在協助環保監測方面,國家電網開發了智慧環保電力大數據產品,在線監測污染源企業的排污情況;在協助復工復產方面,疫情期間,國家電網開發了「企業復工電力指數」,及時准確反映各行業復工復產情況,為各級政府科學決策提供數據支持。

四、信息互通支撐管理變革

在業務層面,通過信息化、數字化建設,改造傳統經營模式,拓展數據產品、服務價值的同時,在管理層面,信息化、數字化建設也是推動現代企業制度改革的重要途徑和方法。

以上文提到的中國兵裝集團為例,在通過信息化、數字化建設提升自主創新能力、實現製造產業智能化升級的同時,也通過信息化、數字化技術的應用推動了集團的現代企業制度改革。

首先,中國兵器裝備集團依託運營監控和大數據分析,提升優化集團的戰略管控體系,將財務、人力、資產、審計、黨建、「三重一大」等戰略管控主要工作內容全部實現信息化,同時全面推進管理會計工具全行業信息化應用,業財一體化100%覆蓋,顯著降低兩金佔用,集團供應鏈管理實現集中率95%,采購降本28.88億。

第二,中國兵器裝備集團建立了動態的競爭情報分析、監測、評估體系,形成「大安全體系」,包括14個一級指標、57個二級指標, 科技 大數據近2萬條專利、數百個核心技術以及智能製造核心能力指標, 汽車 大數據研、產、供、銷等1300個指標全部實現實時監控和智能分析,從而有效支撐產品、業務、管理和組織的創新;

第三,中國兵器裝備集團完善了數據治理體系,統一數據資產標准,打通數據產業鏈,力爭實現數據資產的保值增值。

第四,中國兵器裝備集團形成了數字化監管體系,增強集團治理能力,建設數字化總部,實現精準管控、精準決策、精準運營。

另一個打通數據「孤島」,實現信息互聯互通,推動企業管理變革的典型案例是南網電網。南方電網黨組書記、董事長孟振平在署名文章《以數字化轉型催生高質量發展新動能新優勢》中提出,要「打造數字企業,融入國家治理體系和治理能力現代化」。

孟振平指出:將數字技術融入企業管理全過程,是當今世界一流企業的共同發展趨勢,更是電網企業融入國家治理體系和治理能力現代化的必由之路。

南方電網大力建設數字企業,推動數字化運營與決策,實現管理化繁為簡,提升管控力、決策力、組織力和協同力,讓企業治理發揮在國家治理體系中的應有作用。

具體來看,南方電網首先是以數據驅動業務發展。

一方面,南方電網已經建設完成了覆蓋企業運營管理全業務流程的一體化數字業務平台,以數據驅動公司的業務流程再造和組織結構優化,促進跨層級、跨系統、跨部門、跨業務的高效協作,進一步優化提升資源配置效率;另一方面,南方電網廣泛應用人工智慧技術,以技術賦能經營管理,提升管理效率,機器人流程自動化(RPA)提升財務工作效率80%以上,計量物資集約化管理降低庫存52%。

其次,南方電網以數字化實現精益管理。

南方電網建設了企業運營管控平台,形成橫向互聯、縱向貫通的企業「駕駛艙」。

同時,以數字技術實現管理工作的量化評價,形成精益化管理,實現戰略運營、業務運行、產業鏈運轉等各類生產經營活動的實時監控、動態分析和風險管控,在提升洞察能力與集團管控水平額同時,也全面支撐了公司的運營風險管控和科學決策。

最後,南方電網以資產作為治理紐帶,推動資產數據化與數據資產化。

在資產數據化方面,南方電網深化資產的全生命周期運營管理和數字化協作應用,促進資產管理各個環節的有序運轉和高效協同,提升資產使用效率和管理效益;在數據資產化方面,南方電網建立健全了數據資產管理體系和管理平台,提升企業整體的數據治理能力和數據價值創造能力。

五、信息安全

2019年4月,新版《中央企業負責人經營業績考核辦法》施行,將網路安全納入到了央企負責人的考核指標體系之中,再次凸顯了信息安全、數據安全的重要性。

同樣,本次對標世界一流管理提升行動中,也將解決信息安全隱患,作為企業信息管理能力提升的重要工作任務之一。

信息安全體系建設,首先要從管理理念、管理思路入手,堅持信息、數據價值開發與保護並重,國家電網在這方面進行了有益實踐。

國家電網長期積累的電力數據,既是企業的戰略資源和核心生產要素,也是能夠直接反映經濟運行、 社會 民生、產業運轉、用戶信用等情況的重要敏感信息。

因此,國家電網在挖掘信息、數據「富礦」價值,開發信息、數據產品的過程中,始終將安全合規作為前提和底線,確保數據安全,保護用戶隱私,堅決防止發生敏感數據和個人信息的泄露,以及由於網路安全引發的大電網安全事故。

具體來看,國家電網在信息安全方面,堅持人防與技防並重,持續強化互聯網大區、管理信息大區和生產控制大區三道防線建設,構建全場景的網路安全防護體系。

同時,積極開展攻防實戰,將網路實戰攻防固定化、常態化,在「護網2020」網路攻防演習中,國家電網奪得了全國防守方第一名的優秀成績。

第二,總書記關於網路安全的重要講話指出,「網路安全是整體的而不是割裂的,是動態的而不是靜態的,是開放的而不是封閉的,是相對的而不是絕對的,是共同的而不是孤立的」,所以企業信息安全、數據安全與網路安全建設,要全盤考慮,統籌規劃,從信息流的各個環節入手,全面提升安全保障水平。

典型如華潤集團的信息安全保障工作,從開展伊始,就明確了集團統一籌劃、各業務單元協同落地的工作原則。

考慮到集團下屬各個業務單元間信息安全保障能力的現實差距,華潤在相關技術領域制定了統一的安全技術標准與規范,以及一體化的安全運營管理機制,貫穿集團總部到下屬各個業務單元。

同時,華潤積極開展網路與信息安全工作信息化、數字化與智能化建設,研發三大作戰指揮平台,慧腦SCP安全作戰指揮雲平台、慧眼SSP安全態勢感知雲平台和慧聯STP安全協同平台,以及MarvelNet網路智能運維平台、Rango系統漏洞智能修復平台、Tota護網實戰事件管理平台等,一系列平台級工具軟體,將安全管理體系、技術體系、運營體系融為一體,使相關管理流程、機制固化到了管理系統中,融合聯動了各類異構防護設備(G01、K01、WAF等)、監測設備(D01、網路流量安全感知等)與網路設備,實現了基於資產的威脅自動分析、IP自動封堵、事件自動提單、跨領域人員高效協同研判與處置、輔助作戰指令下達、全局態勢洞察等多項功能,實現全集團安全上下一體,全局風險與威脅可視、可管、可控。

第三,在企業網路信息安全體系建設過程中,技術只是工具,管理才是主線,只有建立了完善的網路信息安全應對策略、組織與流程,才能使各類網路信息安全技術發揮出應有的作用,從而全面保障企業的信息安全。

平安集團智慧經營副總裁、首席增長官張君毅在2020年5月第二屆移動互聯網安全峰會上的發言,提到:平安認為,以數據為中心的安全保護,七分靠管理,三分靠技術,有效管理是數據安全有效保護的前提。平安集團的信息與數據安全體系建設,一直踐行著這一理念。

一是平安建立了一體化的信息與數據安全保護組織體系。

從決策層到管理層,以及控制層和執行層,都有專人負責信息安全事件的響應和審批,通過閉環管理,規避企業內部對外數據傳遞過程中的系統化風險。

二是平安制定了嚴格的信息與數據安全管理制度流程。

將制度建在流程上,將流程建在系統上,形成了規范化的流程制度體系,使信息與數據安全的控制理念,貫穿於整個經營生產流程之中。

三是平安搭建了一個可控、可查、可見的一體化數據安全運營中心。

通過不斷地對標差距、搭建體系,形成完善的信息與數據安全能力矩陣,保證平台信息與數據安全體系的健全運行和安全合規。

六、信息化對標分析總結

在信息化規劃部分,通過對中國海油、中國大唐和華能集團的信息化戰略與規劃案例分析,可以深刻的認識到,信息化規劃,一方面要堅持戰略引領;另一方面,要堅持需求為導向、問題為導向。

同時,合理有效的統籌安排,清晰的規劃路徑,也是坐實企業信息化規劃,發揮信息化驅動引領作用的必要保障。

在信息化與業務的融合部分,通過對中國兵器裝備集團與國家電網的案例分析,可以看到信息化與業務融合,一方面是要立足於實際需求,通過信息化與業務的深度融合,解決和提升企業生產、經營、管理和服務等方面的問題與能力;另一方面是要更加深入的挖掘數據資源潛力,將信息與數據資源轉變產品與服務,為企業、用戶和 社會 創造更多價值。

在信息互通支撐管理變革部分,通過對南方電網和中國兵器裝備集團的管理變革案例,突出了信息化、數字化建設對現代企業制度改革的重要推動作用。

在信息安全部分,通過對國家電網、華潤集團和平安集團的信息與數據安全體系建設,強調了信息與數據價值開發和保護並重的信息安全管理理念;信息與數據安全體系建設要全盤考慮,統籌規劃,從信息流的各個環節入手,全面提升安全保障水平;同時,在企業網路信息安全體系建設過程中,技術只是工具,管理才是主線,只有建立了完善的網路信息安全應對策略、組織與流程,才能使各類網路信息安全技術發揮出應有的作用,從而全面保障企業的信息安全。

編輯丨葉子

❺ 網路安全法規定國家維護網路安全的主要任務是

根據《中華人民共和國網路安全法》(中華人民共和國主席令第五十三號):

第一條:為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。

《網路安全法》是我國網路安全領域的基礎性法律,共有七章七十九條,內容十分豐富,奠定了中國網路安全保護和網路空間治理的基本框架,是引導我國網信事業沿著健康安全軌道運行的指南針,具有里程碑意義。

(5)網路安全工作閉環管理擴展閱讀:

網路安全集中體現了網路空間的所有利益相關者的普遍關注,決定了網路建設、操作、維護和使用網路,網路安全監管體系和法律規范,規范和系統相互影響,相互作用,相互協調,形成一個閉環系統維護網路主權和國家安全。

通過這些法律規范和系統,網路安全法律決定的相關法定許可權來保護網路安全,監管職責,安全的網路運營商應該執行義務,平衡多個主題涉及國家、企業和公民的網路關系,明確權利和義務之間的關系協調政府監管和社會工作網路治理。

形成了以法律為基礎、結構合理嚴謹、規章制度連貫、語言清晰准確的網路治理模式。闡述了網路安全涉及的主要詞語和含義,為建立一系列網路空間治理的基本法律保障體系奠定了堅實的法律基礎。

在第二次世界互聯網會議上,習近平副主席,代表中國政府,向世界發出了一個信息,共同建立一個社區共享的未來在網路空間,並提出了推進全球互聯網監管體系的四項原則:尊重網路主權,維護和平與安全、促進開放和合作,並建立良好的秩序。

習主席提出的「全球互聯網治理四項基本原則」,在國際法上具有深遠意義。第一,只有在網路空間各國主權得到相互尊重的情況下,網路空間才能和平。第二,只有網路空間實現和平與安全,才能促進各國間的開放合作。

第三,建立良好的網路空間秩序必須建立在各國開放合作的基礎上。習主席提出的上述原則植根於《聯合國憲章》的宗旨和原則。這不僅體現了互聯網時代各國構建網路空間命運共同體的價值,也反映了互聯網時代「安全與發展」的主流趨勢。

❻ 院士專家業界大咖「把脈」網路技術安全

來源:海外網

海外網10月12日電 10月11日下午,2021年國家網路安全宣傳周網路安全技術高峰論壇在西安舉行。眾多行業領軍人物和知名專家相聚在美麗的滻灞之濱,緊扣時代主題,聚焦熱點難點,發表真知灼見,碰撞思想火花。

加強國家網路空間安全發展統籌謀劃

5G、大數據、人工智慧、物聯網等新技術新應用快速發展深刻改變了人們的生產生活方式,成為重構經濟 社會 發展新格局的重要動力。網路空間在給人們帶來極大便利的同時,網路安全的威脅和風險漏洞也日益凸顯。

中國科學院院士、軍事科學院研究員尹浩以《把握網路安全態勢,築牢技術發展之基》為題,分享了網路空間安全形勢新變化及網路安全技術產業新趨勢。在他看來,新型基礎設施加速建設應用、IT基礎設施雲化背景下,以「零信任」、「主動防禦」等為代表的網路安全新理念、新架構加快落地;人工智慧技術的發展突破以及在信息技術領域的應用,推進網路安全防禦技術創新發展應用,促進防禦技術智能化升級。當前,單純依賴產品堆砌的防禦方式難以應對復雜威脅,通過網路安全服務形成管理閉環成為發展趨勢,網路安全服務需求不斷提升。網路安全產業生態環境日趨完善。

尹浩建議,提高安全認識,進一步加強國家網路空間安全發展的統籌謀劃,加強研究儲備,及時調整我國網路空間安全發展頂層設計、網路空間國際博弈戰略戰術、網路防禦技術創新、網路空間威脅應對策略。要進一步加大網路安全核心技術創新和產業支持,強化對「零信任」等前沿技術的攻關,加快開展基於開發安全運營、主動免疫、零信任等框架的網路安全體系研發。強化人工智慧技術對網路安全賦能作用,加強衛星互聯網、量子通信等領域安全技術攻關。同時,注重產教合作輸出、提升學科教育力度,進一步加快網路安全專業人才隊伍梯度培育。健全網路安全職業培訓標准和認證規則,培養實戰型網安人才。

AI賦能助力網路安全人才培養

「當前世界正處於以信息技術為核心的大變局時代,AI帶來網安人才培養的新變化。」西安電子 科技 大學校長楊宗凱作了題為《「人工智慧+教育」助力網路安全人才培養》的主題演講。他說,AI為網路安全賦予了新能力,要求安全人才熟練應用AI;AI本身帶來的安全問題,要求安全人才深入了解AI;AI+教育賦能個性化的網路安全人才培養。

結合西安電子 科技 大學的 探索 ,楊宗凱認為,應對AI對網路安全人才培養帶來的新變化,要主動破除圍牆思維,產教融合,建設更加開放的網安培養體系。應對網路安全人才需求的深刻變化,應主動求變,重構教育環境、重構AI+安全課程體系、重塑教師的能力標准、重構能力評價體系,打造網路安全的AI+教育新業態。

「以學生為中心,德育為先、能力為重,連接、開放、共享、個性化的AI+網路安全教育的培養新形態在西電正在形成。AI技術對網路安全人才培養正在產生重要的影響,AI+教育推動形成網路安全新的教育形態,讓我們攜手用AI+教育的力量塑造更安全的網路空間。」楊宗凱呼籲。

盡快落實賽博空間安全相關法律法規

中國科學院院士、西安交通大學電子與信息學部主任管曉宏長期致力於復雜網路化系統的經濟性與安全性,電力、能源、製造系統優化,賽博空間安全,信息物理融合系統包括其綜合安全等領域的研究。此次論壇上,他作了題為《賽博(網路)空間安全——挑戰與應對》的主題演講。

「賽博空間,指數據、計算、網路構成的數字化虛擬空間,不只是網路空間。」管曉宏說,賽博空間已成為國家繼陸、海、空、天四個疆域之後的第五疆域。與其他疆域一樣,賽博空間也須體現國家主權,保障賽博空間安全就是保障國家主權。

賽博空間安全體系包括網路安全、信息安全、內容安全、系統安全、CPS綜合安全、數據安全。其中,數據安全是賽博空間安全的重要內容,數據安全與網路安全、信息安全、系統安全、內容安全、CPS安全密切相關,必須解決數據的獲取、存儲、使用的安全問題,實現多維度立體化數據安全防護,維護國家安全。

在管曉宏看來,數據安全未來要依賴管理與技術相結合的新範式來保證,建議盡快落實賽博空間安全的相關法律法規,建立自主可控數據安全生態。同時,要加速發展賽博空間安全的關鍵技術,構建全生命周期數據安全體系結構與防護機制。

當日,中國電信集團有限公司副總經理劉桂清,中國銀聯股份有限公司執行副總裁塗曉軍,蔚來 汽車 董事長兼CEO李斌,華為技術有限公司高級副總裁蔣亞非,綠盟 科技 集團股份有限公司總裁胡忠華,國家互聯網應急中心副總工程師陳訓遜等業界大咖逐一登台,發表主題演講,分享了許多網路安全前瞻性、戰略性、創新型的真知灼見,為我們奉獻了一場思想盛宴。(海外網 張榮耀)

❼ 為冬奧多措並舉,織牢織密通信網路安全「防護網」

中國聯通以「防風險、遏事故、保安全、促發展」為目標,提早部署,精準施策,全面提升網路保障與通信服務能力。

制定《中國聯通北京2022年冬奧會和冬殘奧會通信保障工作方案》,其中涵蓋27類61項具體工作,相關工作按照「有方案,有部署,有落實,有檢查」閉環管理要求開展,確保各項工作執行到位;組織制定87個專項預案,覆蓋賽事核心區域、賽事舉辦地、骨幹網、國際網等,累計開展大型演練49次;強化指揮體系,成立中國聯通冬奧賽時總指揮部,建立「1+5+N」的賽時指揮體系,確保調度高效;全面開展隱患排查整治,以「零容忍」的態度,反復徹查各類安全隱患,確保不留下一個隱患、不丟掉一個盲點、不放過一個漏洞,全面壓實安全工作責任,全網共整改安全風險隱患10.3萬個;確保核心區安全,以兩地三賽區「一張網」的理念為冬奧會提供一攬子通信服務保障。

按照「一館一策」原則制定專項方案和預案,重要通信設施實現「雙路由、雙節點、雙電源」保護;全力做好重點對象的網路安全保障,與77家重要保障對象建立聯絡機制並一對一完成網路安全保障策略對接,為重保對象提供全天候網路安全防護支持,多措並舉保障冬奧會開幕式通信網路平穩運行。

❽ 網路安全技術的發展趨勢

專家論壇——信息網路安全技術及發展趨勢 - 華為 中文 [ 選擇地區/語言 ]

在信息網路普及的同時,信息安全威脅隨之也在不斷增加,信息網路的安全性越來越引起人們的重視。在當前復雜的應用環境下,信息網路面臨的安全形勢非常嚴峻。

安全威脅攻擊方法的演進

過去的一年裡,重大信息安全事件的發生率確實已經有所下降,往年震動業界的安全事件幾乎沒有發生。但是在這種較為平靜的表面之下,信息安全的攻擊手段正變得更具有針對性,安全形勢更加嚴峻。信息安全威脅方式的演進主要體現在如下幾個方面。

實施網路攻擊的主體發生了變化

實施網路攻擊的主要人群正由好奇心重、炫耀攻防能力的興趣型黑客群,向更具犯罪思想的贏利型攻擊人群過渡,針對終端系統漏洞實施「zero-day攻擊」和利用網路攻擊獲取經濟利益,逐步成為主要趨勢。其中以僵屍網路、間諜軟體為手段的惡意代碼攻擊,以敲詐勒索為目的的分布式拒絕服務攻擊,以網路仿冒、網址嫁接、網路劫持等方式進行的在線身份竊取等安全事件持續快增,而針對P2P、IM等新型網路應用的安全攻擊也在迅速發展。近期以「熊貓燒香」、「灰鴿子」事件為代表形成的黑色產業鏈,也凸顯了解決信息安全問題的迫切性和重要性。

企業內部對安全威脅的認識發生了變化

過去,企業信息網路安全的防護中心一直定位於網路邊界及核心數據區,通過部署各種各樣的安全設備實現安全保障。但隨著企業信息邊界安全體系的基本完善,信息安全事件仍然層出不窮。內部員工安全管理不足、員工上網使用不當等行為帶來的安全風險更為嚴重,企業管理人員也逐步認識到加強內部安全管理、採取相關的安全管理技術手段控制企業信息安全風險的重要性。

安全攻擊的主要手段發生了變化

安全攻擊的手段多種多樣,典型的手段包含拒絕服務攻擊、非法接入、IP欺騙、網路嗅探、中間人攻擊、木馬攻擊以及信息垃圾等等。隨著攻擊技術的發展,主要攻擊手段由原來單一的攻擊手段,向多種攻擊手段結合的綜合性攻擊發展。例如結合木馬、網路嗅探、防拒絕服務等多種攻擊手段的結合帶來的危害,將遠遠大於單一手法的攻擊,且更難控制。

信息安全防護技術綜述

信息網路的發展本身就是信息安全防護技術和信息安全攻擊技術不斷博弈的過程。隨著信息安全技術的發展,我們經歷了從基本安全隔離、主機加固階段、到後來的網路認證階段,直到將行為監控和審計也納入安全的范疇。這樣的演變不僅僅是為了避免惡意攻擊,更重要的是為了提高網路的可信度。下面分析信息網路中常用的信息安全技術和網路防護方法。

基本信息安全技術

信息安全的內涵在不斷地延伸,從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展為「攻(攻擊)、防(防範)、測(檢測)、控(控制)、管(管理)、評(評估)」等多方面的基礎理論和實施技術。目前信息網路常用的基礎性安全技術包括以下幾方面的內容。

身份認證技術:用來確定用戶或者設備身份的合法性,典型的手段有用戶名口令、身份識別、PKI證書和生物認證等。

加解密技術:在傳輸過程或存儲過程中進行信息數據的加解密,典型的加密體制可採用對稱加密和非對稱加密。

邊界防護技術:防止外部網路用戶以非法手段進入內部網路,訪問內部資源,保護內部網路操作環境的特殊網路互連設備,典型的設備有防火牆和入侵檢測設備。

訪問控制技術:保證網路資源不被非法使用和訪問。訪問控制是網路安全防範和保護的主要核心策略,規定了主體對客體訪問的限制,並在身份識別的基礎上,根據身份對提出資源訪問的請求加以許可權控制。

主機加固技術:操作系統或者資料庫的實現會不可避免地出現某些漏洞,從而使信息網路系統遭受嚴重的威脅。主機加固技術對操作系統、資料庫等進行漏洞加固和保護,提高系統的抗攻擊能力。

安全審計技術:包含日誌審計和行為審計,通過日誌審計協助管理員在受到攻擊後察看網路日誌,從而評估網路配置的合理性、安全策略的有效性,追溯分析安全攻擊軌跡,並能為實時防禦提供手段。通過對員工或用戶的網路行為審計,確認行為的合規性,確保管理的安全。

檢測監控技術:對信息網路中的流量或應用內容進行二至七層的檢測並適度監管和控制,避免網路流量的濫用、垃圾信息和有害信息的傳播。

網路安全防護思路

為了保證信息網路的安全性,降低信息網路所面臨的安全風險,單一的安全技術是不夠的。根據信息系統面臨的不同安全威脅以及不同的防護重點和出發點,有對應的不同網路安全防護方法。下面分析一些有效的網路安全防護思路。

基於主動防禦的邊界安全控制

以內網應用系統保護為核心,在各層的網路邊緣建立多級的安全邊界,從而實施進行安全訪問的控制,防止惡意的攻擊和訪問。這種防護方式更多的是通過在數據網路中部署防火牆、入侵檢測、防病毒等產品來實現。

基於攻擊檢測的綜合聯動控制

所有的安全威脅都體現為攻擊者的一些惡意網路行為,通過對網路攻擊行為特徵的檢測,從而對攻擊進行有效的識別,通過安全設備與網路設備的聯動進行有效控制,從而防止攻擊的發生。這種方式主要是通過部署漏洞掃描、入侵檢測等產品,並實現入侵檢測產品和防火牆、路由器、交換機之間的聯動控制。

基於源頭控制的統一接入管理

絕大多數的攻擊都是通過終端的惡意用戶發起,通過對接入用戶的有效認證、以及對終端的檢查可以大大降低信息網路所面臨的安全威脅。這種防護通過部署桌面安全代理、並在網路端設置策略伺服器,從而實現與交換機、網路寬頻接入設備等聯動實現安全控制。

基於安全融合的綜合威脅管理

未來的大多數攻擊將是混合型的攻擊,某種功能單一的安全設備將無法有效地對這種攻擊進行防禦,快速變化的安全威脅形勢促使綜合性安全網關成為安全市場中增長最快的領域。這種防護通過部署融合防火牆、防病毒、入侵檢測、VPN等為一體的UTM設備來實現。

基於資產保護的閉環策略管理

信息安全的目標就是保護資產,信息安全的實質是「三分技術、七分管理」。在資產保護中,信息安全管理將成為重要的因素,制定安全策略、實施安全管理並輔以安全技術配合將成為資產保護的核心,從而形成對企業資產的閉環保護。目前典型的實現方式是通過制定信息安全管理制度,同時採用內網安全管理產品以及其它安全監控審計等產品,從而實現技術支撐管理。

信息網路安全防護策略

「魔高一尺,道高一丈」,信息網路的不斷普及,網路攻擊手段也不斷復雜化、多樣化,隨之產生的信息安全技術和解決方案也在不斷發展變化,安全產品和解決方案也更趨於合理化、適用化。經過多年的發展,安全防禦體系已從如下幾個方面進行變革:由「被動防範」向「主動防禦」發展,由「產品疊加」向「策略管理」過渡,由「保護網路」向「保護資產」過渡。

根據對信息網路安全威脅以及安全技術發展趨勢的現狀分析,並綜合各種安全防護思路的優點,信息網路安全防護可以按照三階段演進的策略。通過實現每一階段所面臨的安全威脅和關鍵安全需求,逐步構建可防、可控、可信的信息網路架構。

信息網路安全防護演進策略

信息網路安全防護演進將分為三個階段。

第一階段:以邊界保護、主機防毒為特點的縱深防禦階段

縱深防禦網路基於傳統的攻擊防禦的邊界安全防護思路,利用經典的邊界安全設備來對網路提供基本的安全保障,採取堵漏洞、作高牆、防外攻等防範方法。比如通過防火牆對網路進行邊界防護,採用入侵檢測系統對發生的攻擊進行檢測,通過主機病毒軟體對受到攻擊的系統進行防護和病毒查殺,以此達到信息網路核心部件的基本安全。防火牆、入侵檢測系統、防病毒成為縱深防禦網路常用的安全設備,被稱為「老三樣」。

隨著攻擊技術的發展,縱深防禦的局限性越來越明顯。網路邊界越來越模糊,病毒和漏洞種類越來越多,使得病毒庫和攻擊特徵庫越來越龐大。新的攻擊特別是網路病毒在短短的數小時之內足以使整個系統癱瘓,縱深防禦的網路已經不能有效解決信息網路面臨的安全問題。這個階段是其它安全管理階段的基礎。

第二階段:以設備聯動、功能融合為特點的安全免疫階段

該階段採用「積極防禦,綜合防範」的理念,結合多種安全防護思路,特別是基於源頭抑制的統一接入控制和安全融合的統一威脅管理,體現為安全功能與網路設備融合以及不同安全功能的融合,使信息網路具備較強的安全免疫能力。例如網路接入設備融合安全控制的能力,拒絕不安全終端接入,對存在安全漏洞的終端強制進行修復,使之具有安全免疫能力;網路設備對攻擊和業務進行深層感知,與網路設備進行全網策略聯動,形成信息網路主動防禦能力。

功能融合和全網設備聯動是安全免疫網路的特徵。與縱深防禦網路相比,具有明顯的主動防禦能力。安全免疫網路是目前業界網路安全的主題。在縱深防禦網路的基礎上,從源頭上對安全威脅進行抑制,通過功能融合、綜合管理和有效聯動,克服了縱深防禦的局限性。

第三階段:以資產保護、業務增值為特點的可信增值階段

可信增值網路基於信息資產增值的思想,在基於資產保護的閉環策略管理的安全防護思路的基礎上,通過建立統一的認證平台,完善的網路接入認證機制,保證設備、用戶、應用等各個層面的可信,從而提供一個可信的網路環境,促進各種殺手級應用的發展,實現信息網路資產的增值。

在可信增值網路中,從設備、終端以及操作系統等多個層面確保終端可信,確保用戶的合法性和資源的一致性,使用戶只能按照規定的許可權和訪問控制規則進行操作,做到具有許可權級別的人只能做與其身份規定相應的訪問操作,建立合理的用戶控制策略,並對用戶的行為分析建立統一的用戶信任管理。

從業界的信息安全管理發展趨勢來看,基本上會遵循上述的三個階段來發展。目前還處於第二階段,第三階段的部分技術和解決方案也在開發中。下面我們詳細介紹第二階段——安全免疫階段。

安全免疫網路介紹

採用「堵漏洞、作高牆、防外攻」等防範方法的縱深防禦網路在過去的一段時間里對信息網路的安全管理發揮了重要作用。但是目前網路威脅呈現出復雜性和動態性的特徵,黑客日益聚焦於混合型攻擊,結合各種有害代碼來探測和攻擊系統漏洞,並使之成為僵屍或跳板,再進一步發動大規模組合攻擊。攻擊速度超乎想像,已經按小時和分鍾來計算,出現了所謂大量的零日或零小時攻擊的新未知攻擊。縱深防禦網路已經不能勝任當前的網路安全狀況。

用戶更需要零距離、多功能的綜合保護。安全能力與網路能力的融合,使網路具備足夠的安全能力,將成為信息網路發展的趨勢。安全免疫網路基於主動防禦的理念,通過安全設備融合網路功能、網路設備融合安全能力,以及多種安全功能設備的融合,並與網路控制設備進行全網聯動,從而有效防禦信息網路中的各種安全威脅。

免疫網路具備以下兩大特點
產品、功能和技術的融合

在安全免疫網路中,安全功能將與網路功能相互融合,同時安全功能之間將進行集成融合。此時,在安全產品中可以集成數據網路應用的網卡、介面技術、封裝技術等,如E1/T1介面、電話撥號、ISDN等都可以集成進安全網關。此外,新的安全網關技術可以支持RIP、OSPF、BGP、IPv6等協議,滿足中小企業對安全功能和路由功能融合的需求。網關安全產品已經從單一的狀態檢測防火牆發展到了加入IPS、VPN、殺毒、反垃圾郵件的UTM,再到整合了路由、語音、上網行為管理甚至廣域網優化技術的新型安全設備。

此外,在交換機、路由器甚至寬頻接入設備中也可以集成防火牆、入侵檢測、VPN以及深度檢測功能,而且原有的防火牆、深度檢測、VPN、防病毒等功能也可以集成在一個統一的設備中。相關的網路設備或者安全設備可以部署在網路邊緣,從而對網路進行全方位保護。

終端、網路和設備的聯動

安全免疫網路的聯動有兩個核心。第一個核心是接入控制,通過提供終端安全保護能力,在終端與安全策略設備、安全策略設備與網路設備之間建立聯動協議。第二個核心是綜合安全管理,綜合安全管理中心作為一個集中設備,提供對全網設備、主機以及應用的安全攻擊事件的管理。在中心與網路設備、安全設備之間建立聯動協議,從而實現全網安全事件的精確控制。

安全功能融合以及聯動防禦成為安全免疫網路的主題。融合的作用將使安全功能更集中、更強大,同時安全設備與路由功能的融合、安全功能與網路設備的融合將使網路對攻擊具備更強的免疫能力;通過基於安全策略的網路聯動,可實現統一的安全管理和全網的綜合安全防禦。

閱讀全文

與網路安全工作閉環管理相關的內容

本站內容整理源於互聯網,如有問題請聯系解決。
Copyright design: www.mobile2day.com since 2022