工业互联网安全防护体系篇1
一、工业互联网安全威胁和风险日益突出
近年来,网络安全威胁加速向工业领域蔓延,工业互联网安全事件频发,影响经济社会正常运行和国家安全。接连发生的乌克兰断网事件、美国Dyn公司域名系统瘫痪事件及“永恒之蓝”病毒肆虐全球已经为我们敲响警钟。
(一)互联互通导致网络攻击路径增多。工业互联网实现了全要素、全产业链、全生命周期的互联互通,打破传统工业相对封闭可信的生产环境。越来越多的生产组件和服务直接或间接与互联网连接,攻击者从研发、生产、管理、服务等各环节都可能实现对工业互联网的网络攻击和病毒传播。特别是,底层工业控制网络的安全考虑不充分,安全认证机制、访问控制手段的安全防护能力不足,攻击者一旦通过互联网通(二)标识解析系统网络安全风险严峻。工业互联网标识解析系统,类似于互联网中的域名系统(DnS),是支撑网络互联互通的神经枢纽。国际上目前存在Handle、oiD等多种标识解析方案,但散而弱,并未成熟,对其安全性的考虑则更为滞后。在探索推进工业互联网标识解析系统的过程中应同步规划部署相应的安全措施,需考虑整体架构的安全和实际运行中与DnS系统的互联互通,以及面临的DDoS、缓存感染、系统劫持等网络攻击。
(三)工业互联网平台网络安全风险加剧。工业互联网平台被一旦受到木马病毒感染、拒绝服务攻击、有组织针对性的网络攻击(apt)等,将严重危害生产稳定运行,甚至导致生产事故,威胁人身和国家安全。此外,我国企业推出的工业互联网平台难以与Ge、西门子为代表的跨国寡头相抗衡,国外平台在我国的大规模应用部署将导致严重的安全可控风险。
(四)工业互联网面临严峻的数据泄露风险。工业互联网数据种类和保护需求多样,数据流动方向和路径复杂,设计、生产、操控等各类数据分布在云平台、用户端、生产端等多种设施上,仅依托单点、离散的数据保护措施难以有效保护工业互联网中流动的工业数据安全。工业互联网承载着事关企业生产、社会经济命脉乃至国家安全的重要工业数据,一旦被窃取、篡改或流动至境外,将对国家安全造成严重威胁。
二、工业互联网安全保障体系亟待加强
目前,我国工业互联网发展正处于起步阶段,方兴未艾,安全管理体系亟待健全,企业安全防护能力尚显薄弱,安全技术手段仍需加强,产业支撑能力不足,难以有效适应工业互联网快速发展的安全保障现实需求。
(一)安全管理和标准体系不健全。当前,我国针对工业互联网安全的管理体系仍未建立,主管部门、运营单位、工业互联网平台提供商等多方主体在保护工业互联网安全方面的责权义务暂未明确,难以有效督促企业落实工业互联网安全保护要求。此外,工业互联网安全标准体系尚未健全,安全接入、数据保护、平台防护等方面的标准尚未出台。
(二)企业意识淡薄,安全防护能力不足。工业企业普遍存在重发展轻安全的情况,对工业互联网安全缺乏足够认识,安全防护投入较低,安全产品、安全解决方案应用水平不高。中国信息通信研究院前期对部分工业互联网平台进行了安全评估,发现用户口令、身份认证、通信加密等方面均存在大量安全问题。此外,实力薄弱的中小企业更是缺乏配套资金及人力部署安全措施。
(三)科研投入少,部级技术手段缺失。美国已建立爱达荷、桑迪亚等六大国家实验室,德国成立弗劳恩霍夫应用研究促进协会,夯实工业领域安全技术储备,在工业互联网安全方面具有先发优势。我国整体工业互联网安全才刚开始起步建设,科研投入较少,尚未形成部级、有组织工业互联网安全监测预警、快速处置和有效溯源的技术手段,应对新型攻击的安全能力不足。
(四)技术产业支撑不够,安全可控问题不容小觑。我国工业互联网使用的组态软件、控制器、传感器、工业云平台等核心软硬件、基础平台多被外商巨头垄断,大多存在安全漏洞且有预置后门风险。同时,在工业互联网安全领域缺乏体系化、针对性的产品和解决方案,产业生态尚未形成,难以满足工业互联网快速发展的安全需求。
三、相关建议
《深化“互联网+先进制造业”发展工业互联网的指导意见》提出打造工业互联网安全保障体系。我国亟需建设满足工业需求的安全技术体系和管理体系,增强设备、网络、控制、应用和数据的安全保障能力,有效识别、抵御和化解安全风险,为工业互联网发展构建安全可信环境。
一是建立健全工业互联网安全管理制度。加强工业互联网安全相关政策法规建设,明确各主体安全责任和监督检查、风险评估、数据保护等安全管理制度。健全工业互联网安全标准体系,推动标识解析系统安全、工业互联网平台安全等重点领域行业标准的研究制定。
工业互联网安全防护体系篇2
关键词:网络安全现状解决措施技术保障重要性
中图分类号:tn082文献标识码:a文章编号:1007-9416(2016)04-0000-00
1网络安全概述
1.1网络概念
网络是信息传输、接收、共享的虚拟平台,通过它把各个点、面、体信息联系到一起的,从而能实现一种资源的共享,网络是人类发展史上最重要的发明,它推进科学技术和人类生活共同发展。
1.2网络安全的特点
(1)机密性。企业的重要数据必须经过系统的许可,才能提供访问或者使用。有较强的保密性。(2)完整性。互联网信息在储存和传播的过程中未经主体的允许,不能泄露的特征。(3)实际性。在符合条件的用户需要时,互联网信息能被随时使用、传输、储存等满足用户要求。(4)控制性。互联网信息的使用和传播应当具备在合法范围内被控制性,控制网络信息的访问内容。(5)真实性。互联网信息应当具体实在,禁止虚假信息。
2互联网公司的网络安全与技术
2.1互联网公司的网络安全现状
目前,互联网公司的网络安全受到多方面的威胁,最主要的是渗入和植入的威胁,基本上都属于人为行为,使用不当或者黑客行为等,这是当前威胁网络安全的重要因素,一般会导致泄密或者信息丢失的后果。面对网络安全的威胁,专家采取了多种方式进行防护,其中最基本的就是网络防火墙,在互联网中,防火墙是一种将内部网和公众访问网分开的方法,其实其本质是一种隔离的技术。防火墙的应用已经比较成熟,数据包传送技术,包过滤技术,技术等有效的运用[1]。
2.2针对互联网公司网络安全问题的解决措施
(1)入侵检测技术、防御技术的应用。在入侵检测系统中,根据不同的标准,将入侵检测系统分为多种类型,一般情况下分为三大类。异常检测模型、误用检测模型和混合检测模型。在入侵检测的过程中,可以将程序分为三部分:1)信息的采集。第一步,通过置于网络系统关键点的传感器或者来采集信息,包括系统、网络日志、数据流量和用户活动的状态和行为。2)信息分析。采集到的信息被传送到停留在传感器中检测引擎,通过模式匹配,统计分析和完整性分析等技术进行分析,一旦检测到入侵,系统会有警告提示发送到管理平台[2]。3)结果处理。入侵的检测系统接收到警告提示之后,会根据预先设定的反应方法,重新对路由器和防火墙进行配置,增强安全日志,阻碍可疑的进程调用,切断恶意攻击的网络连接。
因为入侵检测系统的发展和应用从而产生入侵防御系统,这是一项新的技术,是一种比较智能的主动地检测系统,一般会以互相连接的方式在网络的边界,对流动的数据进行检测和阻碍。英文缩写是:ipS。它具有在线部署的特点,可以直接嵌入到网络流量中,同时具备很强的入侵检测功能,达到对网络体系的安全保护。
(2)防火墙技术的应用。防火墙技术是一种比较安全的隔离技术,也是控制数据访问的机构,不管在互联网公司的内网和外网之间,都发挥着安全防范的作用,将内网和外网分开,限制用户进入一个被严格控制的保护点。未来防火墙将对系统的安全、应用的安全、重要数据的安全以及用户安全综合技术,适当简化配置,方便管理,构建立体的网络安全防护体系。
(3)病毒防御技术的应用。对系统进行多层防护,是构建病毒防御技术的关键。防护体系中应该包含扫描、隔离、清除等,同时具备系统的修复功能。在实际中加固多层的病毒防御技术能很有效的避免病毒传播事件,制定相应的预防策略,保护计算机不受到病毒的攻击。病毒防御技术现在的应用情况还不是很完善,需要在工作中不断的去发现问题,不断加强防御措施。
3互联网公司网络安全与技术保障的重要性
3.1保证互联网公司数据信息的安全
做好数据信息安全是互联网公司的首要任务与职责,在这个网络信息化时代,网络信息的不安全因素,也日益凸显出来,病毒入侵、黑客攻击等让互联网公司的数据信息安全的到挑衅。互联网公司数据信息在不同程度上,有不同的保密级别,这些数据小则关系个人,大则关系国家安全问题,因此,做好互联网的网络安全与技术保障工作责任重大,对社会和谐文明发展,构建国家安全都有着重要的意义。
3.2有助于互联网公司的经济利益不受损
做好互联网工资安全与技术保障,能很好的保证互联网公司的经济利益不受到损害,互联网公司的发展是依靠网络信息,它充当了媒介工具,传播平台,资源共享平台。在网络安全与技术的保障下,做好管理和安全防护措施,让互联网的运营情况在一个平稳的网络环境下发展,同时做好互联网公司的网络安全与保障有利于互联网公司经济利益的提高。在社会经济快速发展的情况下,人们对互联网的应用越来越多,更多的信息资源在互联网上得到资源共享,这使得企业发展得以生存,因此,在实现安全技术保障的同时,能实现企业经济利益的增长。
4结语
为了确保互联网公司的平稳,顺畅发展与运行,网络安全平台是至关重要的。安全是互联网公司赖以生存的前提,只有这样互联网公司才有良性发展的前景,现阶段,我国互联网安全工作还在一个探究发展的过程中,随着科技的不断发展,将带动互联网的快速进步,这就需要互联网网络安全得到有效保障。
参考文献
[1]王蔚苹.网络安全技术在某企业网中应用研究[D].电子科技大学,2010.
[2]李佳.移动互联网的信息安全研究[D].首都经济贸易大学,2014.
[3]张爱华.网络信息安全社会问题研究[D].华中科技大学,2006.
工业互联网安全防护体系篇3
【关键词】网络;数据;安全
2012年开始,某企业启动了企业网络安全优化工程。目的是为了实现在企业系统内,进行一体化管理,实现各分支网络之间互联互通。项目重点是建设好综合数据网络,实现所属单位局域网及厂、站信息传输通道全面接入;形成该企业综合业务处理广域网络。同时还将进一步建设专门的调度数据网络,实现“专网专用”,从而确保生产安全有序的开展。该企业生产、办公等各个领域当中,无论是企业内部管理还是各级机构间的远程信息交互,都将建立在网络基础之上,而通过网络进行交互的信息范围也涵盖了包括生产调度数据、财务人事数据、办公管理数据等在内的诸多方面,在这样的前提下,进一步完善企业网络架构,全局性和系统性地构建网络安全体系,使其为企业发展和信息化提供有力支持,已成为当前需要开展的首要工作之一。
1.网络安全技术架构策略
网络安全建设是一项系统工程,该企业网络安全体系建设按照“统一规划、统筹安排、统一标准、相互配套”的原则组织实施,采用先进的“平台化”建设思想、模块化安全隔离技术,避免重复投入、重复建设,充分考虑整体和局部的关系,坚持近期目标与远期目标相结合。在该企业广域网络架构建设中,为了实现可管理的、可靠的、高性能网络,采用层次化的方法,将网络分为核心层、分布层和接入层3个层次,这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下,3个层次的网络设备各司其职又相互协同工作,从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。
2.局域网络标准化
(1)中心交换区域
局域网的中心交换区域负责网络核心层的高性能交换和传输功能,提供各项数据业务的交换,同时负责连接服务器区域、网络管理区域、楼层区域、广域网路由器和防火墙设备等,此外还要提供分布层的统一控制策略功能。具体到安全防护层面,可通过部署防火墙模块、高性能网络分析模块、入侵探测系统模块实现安全加固。
(2)核心数据服务器区域
因为数据大集中和存储中心已经势在必行,可建设专门的核心数据区域,并采用2立的具有安全控制能力的局域网交换机,通过千兆双链路和服务器群连接。在安全防护方面,可在通过防火墙模块实现不同等级安全区域划分的同时,部署DDoS攻击检测模块和保护模块,以保障关键业务系统和服务器的安全不受攻击。
(3)楼层区域
楼层交换区域的交换机既做接入层又做分布层,将直接连接用户终端设备,如pC机等,因此设备需要具有能够实现VLan的合理划分和基本的VLan隔离。
(4)合作伙伴和外包区域
提供合作伙伴的开发测试环境、与内部数据中心的安全连接及与internet区域的连接通路。
(5)外联网区域
企业营销系统需要与银行等外联网连接,建议部署银行外联汇接交换机,通过2条千兆链路分别连接到核心交换机。并通过防火墙模块划分外联系统安全区域。
(6)网络和安全管理区域
为了对整个网络进行更加安全可靠的管理,可使用独立的安全区域来集中管理,通过防火墙或交换机模块来保护该区域,并赋予较高的安全级别,在边界进行严格安全控制。
3.统一互联网出口
对于该企业的广域网络,统一互联网络出口,减少企业广域网络与互联网络接口,能够有效减少来自外网的安全威胁,对统一出口接点的安全防护加固,能够集中实施安全策略。面对企业各个分支机构局域网络都与互联网络连接的局面,将会给企业广域网络安全带来更大的威胁。由于综合业务数据网络作为相对独立的一个大型企业网络,设置如此众多的互联网出口,一方面不利于互联网出口的安全管理,增加了安全威胁的几率;另一方面也势必增加互联网出口的租用费用,提高了运营成本。
由于该企业综合数据网的骨干带宽是622m,在综合数据网络上利用mpLSVpn开出一个“互联网Vpn”,使各分支的互联网访问都通过这个Vpn通道建立链接。通过统一互联网络出口,强化互联网接入区域安全控制,可防御来自internet的安全威胁,DmZ区的安全防护得到进一步加强;通过提供安全可靠的Vpn远程接入,互联网出口的负载均衡策略得到加强,对不同业务和不同用户组的访问服务策略控制,有效控制p2p等非工作流量对有限带宽的无限占用,能够对互联网访问的nat记录进行保存和查询。
4.三层四区规划
提出“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略,并提出了“三层四区”安全防护体系的总体框架。基于这一设计规范,并结合该企业网络的实际情况,未来公司的网络区域可以划分为企业生产系统和企业管理信息系统,其中企业生产系统包括i区和ii区的业务;企业管理信息系统包括iii区和iV区的业务。i区到iV区的安全级别逐级降低,i区最高,iV区最低。
在上述区域划分的基础上,可在横向和纵向上采用下列技术方式实现不同安全区域间的隔离。
(1)纵向隔离
在未来调度数据网建成后,将安全区i和安全区ii运行在独立的调度数据网上,安全区iii和安全区iV运行在目前的综合数据网上,达到2网完全分开,实现物理隔离。在调度数据网中,采用mpLSVpn将安全区i和安全区ii的连接分别分隔为实时子网和非实时子网,在综合数据网中,则采用mpLSVpn将互联网连接和安全区iii及安全区iV的连接分开,分为管理信息子网和互联网子网。
(2)横向隔离
考虑到i区和ii区对安全性的要求极高,对于i区和ii区进行重点防护,采用物理隔离装置与其他区域隔离;而在i区和ii区之间可采用防火墙隔离,配合分布式威胁防御机制,防范网络威胁;考虑到iii区和iV区之间频繁的数据交换需求,iii区和iV区之间视情况采用交换机防火墙模块进行隔离,并在区域内部署iDS等安全监控设备,在骨干网上不再分成2个不同的Vpn;由于外部的威胁主要来自于intern过出口,因此可在全省internet出口集中的基础上,统一设置安全防护策略,通过防火墙与iii区、iV区之间进行隔离。
5.综合数据网安全防护
综合业务数据网,主要承载了0a、95598、营销、财务等应用系统,同时也在进行SCaDa/emS等调度业务的接入试点。
采用网络安全监控响应中心为核心的分布式威胁防御技术,对全网的病毒攻击和病毒传播进行主动防护,通过关联网络和安全设备配置信息、netFlow、应用日志和安全事件,从中心的控制台实时发现、跟踪、分析、防御、报告和存储整个企业网络中的安全事件和攻击。同时分布式威胁防御手段不但用于对综合数据骨干网进行安全防护,而且通过建立2级安全监控响应中心,对包括综合数据网、企业本部局域网、分支机构局域网在内的全网设备进行监控。
工业互联网安全防护体系篇4
工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。工业控制系统产品越来越多的采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。本文从轨道交通行业应用的实际要求出发,基于国家规范、地方标准和地铁环境与设备监控系统架构出发,对如何有效进行信息安全防护进行研究。
关键词:
工业控制系统;环境与设备监控系统;信息安全
1概述
随着科技的日新月异,社会正处在由工业化、自动化向信息化、网络化转变的过程,互联网+、工业4.0等技术逐步发展壮大,与此相对应的传统工业体系正在以各种方式接入互联网。在轨道交通运输领域,车站与机车之间、车站与车站设备之间、机车与机车之间、车站与总控中心、机车与总控中心等交互信息越来越频繁。随着互联网+的发展,其给传统工业的带来巨大发展的同时,信息安全问题日益突出。威胁信息安全的主要包括黑客攻击、病毒、数据操纵、蠕虫和特洛伊木马等技术。数据显示,黑客的攻击目标已经从原来的商业互联网络逐步扩展到工业控制系统,主要目标集中在能源、水利、化工、政府机构以及核设施等领域。信息安全事件呈逐年上升的趋势,其背后不乏犯罪、商业间谍、恐怖主义、甚至某些国家赞助的间谍活动。面对内外部工控信息安全威胁的严峻形势,如何提高自身对工控信息安全的认识与方法论,能否为业务生产提供有力的信息安全支撑和保障,已成为工控安全领域的重中之重。
2安全防护需求
环境与设备监控系统承载着对地铁全部车站通风空调系统、给排水系统、电扶梯系统、照明系统、人防门系统、安全门、aFC自动售检票等车站设备系统进行全面、有效地自动化监控及管理,确保设备处于安全、可靠、高效、节能的最佳运行状态,从而为乘客提供一个舒适的乘车环境。在火灾、水灾、地震等灾害或阻塞事故状态下,能够及时迅速地转入灾害运行模式,保护地铁工作人员及乘客的安全,将事故损失减到最小。环境与设备监控系统具有信息系统的基本要素。其分为硬件部分和软件部分:硬件部分设在地铁指挥中心的主机/服务器、设在各地铁站的远程工作站构成分布式控制系统,软件部分主要分为通信与网络软件、操作系统、组态软件、应用软件和实时数据库五个方面,其中所有软件均在操作系统上运行,通信与网络软件是所有硬件设备联系的中心,实时数据库是系统信息交换的平台,组态软件是各设备状态监控操作的平台,应用软件则是环境与设备监控系统功能的体现。当环境与设备监控系统受到人为破坏时,可能导致设备系统崩溃、机电设备误动作,从而导致地铁车站内的秩序混乱及相关人员受到伤害。同时也对社会造成不良影响,损害公司利益。依据公安部《信息系统安全等级保护定级指南》及环境与设备监控信息系统受到破坏时所侵害的客体以及侵害程度,环境与设备监控信息系统应按照不低于二级进行设计。
3主要问题及防护手段
环境与设备监控系统是与国计民生紧密相关领域的工业控制系统,目前国内地铁既有线路设计时认为自身系统不与外网相连接,信息孤岛形式不会收到外界入侵,按照《信息系统安全等级保护基本要求》多数达不到二级防护要求,一旦信息安全出现漏洞将对工业生产运行和国家经济安全造成重大隐患。与此同时,我国工业控制系统信息安全管理中仍存在不少问题,主要是对工业信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。
3.1主要问题
3.1.1存在的风险
(1)操作系统的安全漏洞问题。工控软件运行的windows操作系统上,由于其不能实时进行系统补丁升级更新,导致其极容易受到病毒入侵。(2)杀毒软件安装及升级更新问题。很多工控软件为了能够避免与杀毒软件冲突,其操作系统不安装杀毒软件或者不进行病毒库的更新,导致系统失去了实施的安全防护功能。(3)使用移动存储设备导致的病毒传播问题。当有移动存储设备接入工控系统中时,由于管理终端通常不采取措施对其进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。(4)系统空口令问题。工控系统服务器搭建时往往由非专业it人员设置,多数操作系统或路由器管理账户为空口令或者采用默认口令,存在一定风险。
3.1.2网络互通的风险
早期,工业控制系统和企业管理系统之间是没有数据交互的,但是为了达到更全面的信息管理,数据采集,达到少人话,甚至无人化的远程操作监控,工业控制系统和企业管理系统之间直接采用国际互联网进行数据交互,从而使工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自国际互联网各种的威胁。同时,企业为了实现管理与控制的一体化,提高企业信息化合综合自动化水平,实现生产和管理的高效率、高效益,对工业控制系统和管理信息系统进行了集成,管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。
3.1.3地铁设备与环境监控系统采用以太网等通用技术带来的风险
地铁设备与环境监控系统采用工业以太网结构与控制中心进行数据交互,其开放性决定了其极容易受到来自国际互联网的病毒、木马、黑客的攻击。针对地铁设备与环境监控系统的特点,信息安全防护应从以下几个方面入手:
3.2防护手段
3.2.1定期开展检测预防工作
检测预防可从安全检查、安全加固、安全防护三个方面入手(1)安全检查可对工控系统进行渗透测试、源代码检测、漏洞扫描、应用系统漏洞扫描、基线核查等工作。(2)安全加固可针对服务器、终端、网络设备、无线设备进行安全防护或对应用缺陷进行修补。(3)安全防护可从网络架构、访问控制、身份鉴别、入侵防护、数据保护、终端防护几个方面进行改造。
3.2.2做好监控审计工作
(1)监控手段可对系统进行以下功能改造:入侵检测、网络监控、综合安全监控、设备健康险监控、系统可用性监控、文件完整性校验、数据库监控、中间件监控、应用监控、木马检测分析、数据包分析等。(2)审计时候手段可对系统进行以下功能改造:网络审计、安全事件审计、数据库审计、终端审计、运维审计、日志审计等。
3.2.3提前做好预防工作
(1)及时做好应急响应,制定相关应急预案和响应流程,能第一时间对漏洞进行修补、对策略进行修正、对应用进行调整。(2)做好分析与取证工作,包括审计分析和对数据及时、准确取证。
4结语
综上所述,随着国家信息化发展,传统工业与互联网技术的结合以及国家信息安全政策出台,地铁环境与设备监控系统信息安全防护功能应逐年加强,从而保障系统设备安全、稳定运行,为广大乘客提供良好的出现环境。
作者:任川陈宏涛单位:沈阳地铁集团有限公司运营分公司辽宁省交通高等专科学校
参考文献:
[1]工信部协[2011]451号,关于加强工业控制系统信息安全管理的通知[S].
[2]沈经信发[2012]31号,关于对沈阳市重点领域工业控制系统信息安全管理情况调查的通知[S].
[3]余勇,林为民.工业控制SCaDa系统的信息安全防护体系的研究[J].信息网络安全,2012(05):74-77.
[4]刘威,李冬,孙波.工业控制系统安全分析[J].信息网络安全,2012(08):41-43.
[5]宋岩,王天然等.控制系统Safe-Sec安全安全通信方法研究[J].自动化仪表,2013,34(11):30-33.
[6]王孝良,催保红,李思其.关于工控系统信息安全的思考与建议[J].信息网络安全,2012(08):36-37.
[7]沈亮,张艳,顾健.物联网网络层中基于ipv6的信息安全产品发展趋势研究[J].信息网络安全,2012(08):38-40.
[8]曲洁,朱建平.等级保护与关键基础设施防护的融合研究[J].2011(12):84-88.
[9]彭勇,谢丰,郭晓静等.物联网安全问题对策研究[J].信息网络安全,2011(10):4-6.
[10]任伟.密码学与现代密码学研究[J].信息网络安全,2011(08):1-3.
[11]李发根,钟笛.数字签名综述[J].信息网络安全,2011(12):1-8.
[12]施晓秋.计算机网络技术[m].北京:高等教育出版社,2006:10-18.
[13]韩东海.入侵检测系统及实例剖析[m].北京:清华大学出版社,2002:18-26.
工业互联网安全防护体系篇5
一、防守技战法概述
为了顺利完成本次护网行动任务,切实加强网络安全防护能力,XXXX设立Hw2019领导组和工作组,工作组下设技术组和协调组。护网工作组由各部门及各二级单位信息化负责人组成,由股份公司副总裁担任护网工作组的组长。
为提高护网工作组人员的安全防护能力,对不同重要系统进行分等级安全防护,从互联网至目标系统,依次设置如下三道安全防线:
第一道防线:集团总部互联网边界防护、二级单位企业互联网边界防护。
第二道防线:广域网边界防护、DmZ区边界防护。
第三道防线:目标系统安全域边界防护、Vpn。
根据三道防线现状,梳理出主要防护内容,包括但不限于:梳理对外的互联网应用系统,设备和安全措施,明确相关责任人,梳理网络结构,重要的或需要重点保护的信息系统、应用系统与各服务器之间的拓扑结构,网络安全设备及网络防护情况,SSLVpn和ipSeCVpn接入情况。集团广域网、集团专线边界,加强各单位集团广域网、集团专线边界防护措施,无线网边界,加强对无线wiFi、蓝牙等无线通信方式的管控,关闭不具备安全条件及不必要开启的无线功能。
结合信息化资产梳理结果,攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估和排查,确认薄弱环节以便进行整改加固。
二、防守技战法详情
2.1第一道防线--互联网边界及二级单位防护技战法
2.1.1安全感知防御、检测及响应
构建从“云端、边界、端点”+“安全感知”的防御机制。相关防护思路如下:
防御能力:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。
检测能力:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。
响应能力:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
2.1.2安全可视及治理
l全网安全可视
结合边界防护、安全检测、内网检测、管理中心、可视化平台,基于行为和关联分析技术,对全网的流量实现全网应用可视化,业务可视化,攻击与可疑流量可视化,解决安全黑洞与安全洼地的问题。
l动态感知
采用大数据、人工智能技术安全,建立了安全态势感知平台,为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析,来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据技术感知数据来发现主动发现威胁。
2.1.3互联网及二级单位的区域隔离
在互联网出口,部署入侵防御ipS、上网行为管理,提供网络边界隔离、访问控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。
在广域网接入区边界透明模式部署入侵防御系统,针对专线接入流量进行控制和过滤。
办公网区应部署终端检测和响应/恶意代码防护软件,开启病毒防护功能、文件监测,并及时更新安全规则库,保持最新状态。
服务器区部署防火墙和weB应用防火墙,对数据中心威胁进行防护;汇聚交换机处旁路模式部署全流量探针,对流量进行监测并同步至态势感知平台;部署数据库审计系统,进行数据库安全审计。
在运维管理区,部署堡垒机、日志审计、漏洞扫描设备,实现单位的集中运维审计、日志审计和集中漏洞检查功能。
2.1.3.1互联网出口处安全加固
互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护,在攻防演练期间,出口处防火墙通过对各类用户权限的区分,不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。
对能够通过互联网访问内网的网络对象ip地址进行严格管控,将网段内访问ip地址段进行细化,尽量落实到个人静态ip。
开启精细化应用控制策略,设置多条应用控制策略,指定用户才可以访问目标业务系统应用,防止出现因为粗放控制策略带来的互联网访问风险。
对所有通过联网接入的用户ip或ip地址段开启全面安全防护策略,开启防病毒、防僵尸网络、防篡改等防护功能。
通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。
护网行动开始之前,将防火墙所有安全规则库更新到最新,能够匹配近期发生的绝大部分已知威胁,并通过SaVe引擎对未知威胁进行有效防护。
攻防演练期间,通过互联网访问的用户需要进行严格的认证策略和上网策略,对上网用户进行筛选放通合法用户阻断非法用户,同时对于非法url网站、风险应用做出有效管控。根据企业实际情况选择合适流控策略,最后对于所有员工的上网行为进行记录审计。
攻防演练期间,需要将上网行为管理设备的规则库升级到最新,避免近期出现的具备威胁的URL、应用等在访问时对内网造成危害。
2.1.3.2DmZ区应用层安全加固
当前网络内,DmZ区部署了weB应用防火墙对应用层威胁进行防护,保证DmZ区域内的网站系统、邮件网关、视频会议系统的安全
攻防演练期间,为了降低用从互联网出口处访问网站、邮件、视频的风险,防止攻击手通过互联网出口访问DmZ区,进行页面篡改、或通过DmZ区访问承载系统数据的服务器区进行破坏,需要设置严格的weB应用层防护策略,保证DmZ区安全。
通过设置weB用用防护策略,提供owaSp定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。
2.2第二道防线-数据中心防护技战法
总部数据中心从防御层面、检测层面、响应层面及运营层面构建纵深防御体系。在现有设备的基础上,解决通号在安全建设初期单纯满足合规性建设的安全能力,缺乏完善的主动防御技术和持续检测技术带来的风险。主要解决思路如下:
1、基于安全风险评估情况,夯实基础安全架构
通过持续性的风险评估,进行安全架构的升级改造,缩小攻击面、减少风险暴露时间。包括:安全域改造、边界加固、主机加固等内容。
2、加强持续检测和快速响应能力,进一步形成安全体系闭环
针对内网的资产、威胁及风险,进行持续性检测;基于威胁情报驱动,加强云端、边界、端点的联动,实现防御、检测、响应闭环。
3、提升企业安全可视与治理能力,让安全了然于胸
基于人工智能、大数据技术,提升全网安全风险、脆弱性的可视化能力,大幅度提升安全运维能力,以及应急响应和事件追溯能力。
2.2.1边界防御层面
原有的边界防护已较完善,无需进行架构变动,只需要确保防御设备的策略有效性和特征库的及时更新。针对目标系统,通过在目标系统接入交换机和汇聚交换机之间透明部署一台下一代防火墙,实现目标系统的针对性防护,防止服务器群内部的横向威胁。
下一代防火墙除基本的aCL访问控制列表的方法予以隔离以外,针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。通号业务系统中存在对外的网站、业务等,因此需要对weB应用层进行有效防护,通过下一代防火墙提供SQL注入、跨站脚本、CC攻击等检测与过滤,避免web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止webShell和敏感信息泄露,避免网页篡改与挂马,满足通号web服务器深层次安全防护需求。
根据现有网络,核心交换区部署了应用性能管理系统,攻防演练期间,需要对应用性能管理系统进行实时关注,应用出现异常立即上报,并定位责任人进行处置,保证网络性能稳定,流畅运行。
核心交换机双机部署了两台防火墙,物理上旁路部署,逻辑上通过引流所有流量都经过防火墙,通过防火墙对服务器区和运维管理区提供边界访问控制能力,进行安全防护。
攻防演练期间,核心交换区防火墙进行策略调优,对访问服务器区和运维管理区的流量数据进行严格管控,对访问服务器区内目标系统请求进行管控;防止安全威胁入侵运维管理区,对整体网络的安全及运维进行破坏,获取运维权限。
攻防演练期间,在各分支机构的边界,通过对各类用户权限的区分,各分支机构的不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。
专线接入及直连接入分支通过广域网接入区的路由器-下一代防火墙-上网行为管理-核心交换机-服务器区的路径进行访问,因此通过完善下一代防火墙防护策略,达到安全加固的目的。
通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。
攻防演练前,需要对下一代防火墙的各类规则库、防护策略进行更新和调优。
2.2.2端点防御层面
服务器主机部署终端检测响应平台eDR,eDR基于多维度的智能检测技术,通过人工智能引擎、行为引擎、云查引擎、全网信誉库对威胁进行防御。
终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中大部分攻击是通过暴力破解的弱口令攻击产生的。eDR主动检测暴力破解行为,并对发现攻击行为的ip进行封堵响应。针对web安全攻击行为,则主动检测web后门的文件。针对僵尸网络的攻击,则根据僵尸网络的活跃行为,快速定位僵尸网络文件,并进行一键查杀。
进行关联检测、取证、响应、溯源等防护措施,与aC产品进行合规认证审查、安全事件响应等防护措施,形成应对威胁的云管端立体化纵深防护闭环体系。
2.3第三道防线-目标系统防护技战法
本次攻防演练目标系统为资金管理系统及pLm系统,两个系统安全防护思路及策略一致,通过apDRo模型及安全策略调优达到目标系统从技术上不被攻破的目的。
2.3.1网络层面
在网络层面为了防止来自服务器群的横向攻击,同时针对业务系统进行有针对性的防护,通过部署在目标系统边界的下一代防火墙对这些业务信息系统提供安全威胁识别及阻断攻击行为的能力。
同时通过增加一台Vpn设备单独目标系统,确保对目标系统的访问达到最小权限原则。
子公司及办公楼访问目标系统,需要通过登录新建的护网专用Vpn系统,再进行目标系统访问,并通过防火墙实现多重保障机制。
系统多因子认证构建
为了保证攻防演练期间管理人员接入资金管理系统的安全性,接入资金管理系统时,需要具备以下几项安全能力:一是用户身份的安全;二是接入终端的安全;三是数据传输的安全;四是权限访问安全;五是审计的安全;六是智能终端访问业务系统数据安全性。
因此需要对能够接入资金管理系统的用户进行统一管理,并且屏蔽有风险访问以及不可信用户;使用专用SSLVpn对资金管理系统进行资源;为需要接入资金管理系统的用户单独创建SSLVpn账号,并开启短信认证+硬件特征码认证+账户名密码认证,屏蔽所有不可信任用户访问,对可信用户进行强管控。
对接入的可信用户进行强管控认证仍会存在访问风险,因此需要边界安全设备进行边界安全加固。
系统服务器主机正常运行是业务系统正常工作的前提,服务器可能会面临各类型的安全威胁,因此需要建设事前、事中、事后的全覆盖防护体系:
l事前,快速的进行风险扫描,帮助用户快速定位安全风险并智能更新防护策略;
l事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;
l事后,对服务器外发内容进行安全检测,防止攻击绕过安全防护体系、数据泄漏问题。
同时,为了保证安全威胁能够及时被发现并处置,因此需要构建一套快速联动的处理机制:本地防护与整体网络联动、云端联动、终端联动,未知威胁预警与防护策略,实时调优策略;深度解析内网未知行为,全面安全防护;周期设备巡检,保障设备稳定健康运行;云端工单跟踪,专家复审,周期性安全汇报;通过关联全网安全日志、黑客行为建模,精准预测、定位网络中存在的高级威胁、僵尸主机,做到实时主动响应。
在业务系统交换机与汇聚交换机之间部署下一代防火墙,根据资产梳理中收集到的可信用户ip、端口号、责任人等信息,在下一代防火墙的访问控制策略中开启白名单,将可信用户名单添加到白名单中,白名单以外的任何用户访问业务系统都会被拒绝,保证了区域内的服务器、设备安全。
2.3.2应用层面
下一代防火墙防病毒网关的模块可实现各个安全域的流量清洗功能,清洗来自其他安全域的病毒、木马、蠕虫,防止各区域进行交叉感染;
下一代防火墙基于语义分析技术提供标准语义规范识别能力,进一步还原异变的web攻击;应用ai人工智能,基于海量web攻击特征有效识别未知的web威胁。基于ai构建业务合规基线,基于广泛的模式学习提取合规的业务操作逻辑,偏离基线行为的将会被判定为web威胁,提升web威胁识别的精准度。
下一代防火墙以人工智能SaVe引擎为weB应用防火墙的智能检测核心,辅以云查引擎、行为分析等技术,使达到高检出率效果并有效洞悉威胁本质。威胁攻击检测、多维度处置快速响应,有效解决现有信息系统安全问题。
目前通号服务器区安全建设存在以下问题一是以边界防护为核心,缺乏以整体业务链视角的端到端的整体动态防护的思路;二以本地规则库为核心,无法动态有效检测已知威胁;三是没有智能化的大数据分析能力,无法感知未知威胁;四是全网安全设备之间的数据不能共享,做不到智能联动、协同防御。
在保留传统安全建设的能力基础上,将基于人工智能、大数据等技术,按照“业务驱动安全”的理念,采用全网安全可视、动态感知、闭环联动、软件定义安全等技术,建立涵盖数据安全、应用安全、终端安全等的“全业务链安全”。
为了保证访问资金管理系统访问关系及时预警及安全可视化,需要将访问目标系统的所有流量进行深度分析,及时发现攻击行为。
在在业务系统交换机旁路部署潜伏威胁探针,对访问资金管理系统的所有流量进行采集和初步分析,并实时同步到安全态势感知平台进行深度分析,并将分析结果通过可视化界面呈现。
2.3.3主机层面
下一代防火墙通过服务器防护功能模块的开启,可实现对各个区域的web服务器、数据库服务器、Ftp服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题;
下一代防火墙通过风险评估模块对服务器进行安全体检,通过一键策略部署的功能waF模块的对应策略,可帮助管理员的实现针对性的策略配置;
利用下一代防火墙入侵防御模块可实现对各类服务器操作系统漏洞(如:winserver2003、linux、unix等)、应用程序漏洞(iiS服务器、apache服务器、中间件weblogic、数据库oracle、mSSQL、mySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;
针对系统的服务器主机系统访问控制策略需要对服务器及终端进行安全加固,加固内容包括但不限于:限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令,删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户;根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;启用访问控制功能,依据安全策略控制用户对资源的访问;加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。
通过终端检测响应平台的部署,监测服务器主机之间的东西向流量,开启定时查杀和漏洞补丁、实时文件监控功能,限制服务器主机之间互访,及时进行隔离防止服务器主机实现并横向传播威胁。并且通过攻击链举证进行攻击溯源。
2.4攻防演练-检测与响应技战法
2.4.1预警分析
通过7*24小时在线的安全专家团队和在线安全监测与预警通报平台,即可对互联网业务进行统一监测,统一预警。云端专家7*24小时值守,一旦发现篡改、漏洞等常规安全事件,即可实时进行处置。对于webshell、后门等高阶事件,可以及时升级到技术分析组进行研判,一旦确认,将会实时转交应急响应组进行处置。
监测与相应组成员实时监控安全检测类设备安全告警日志,并根据攻击者特征分析入侵事件,记录事件信息,填写文件并按照流程上报。
若同一来源ip地址触发多条告警,若触发告警时间较短,判断可能为扫描行为,若告警事件的协议摘要中存在部分探测验证payload,则确认为漏洞扫描行为,若协议摘要中出现具有攻击性的payload,则确认为利用漏洞执行恶意代码。
若告警事件为服务认证错误,且错误次数较多,认证错误间隔较小,且ip地址为同一ip地址,则判断为暴力破解事件;若错误次数较少,但超出正常认证错误频率,则判断为攻击者手工尝试弱口令。
2.4.2应急处置
应急处置组对真实入侵行为及时响应,并开展阻断工作,协助排查服务器上的木马程序,分析攻击者入侵途径并溯源。
安全事件的处置步骤如下:
(1)根据攻击者入侵痕迹及告警详情,判断攻击者的入侵途径。
(2)排查服务器上是否留下后门,若存在后门,在相关责任人的陪同下清理后门。
(3)分析攻击者入侵之后在服务器上的详细操作,并根据相应的安全事件应急处置措施及操作手册展开应对措施。
(4)根据排查过程中的信息进行溯源。
(5)梳理应急处置过程,输出安全建议。
工业互联网安全防护体系篇6
关键词互联网+医疗网络安全网络安全防护案例
0引言
互联网+医疗健康模式下要求医院的信息系统功能向外扩展,实现在线预约、挂号、缴费和诊疗服务。为了实现在线服务的功能,势必要将医院局域网与互联网打通,来进行数据交互,但只有在网络与安全的建设达标的情况下,才能开展相关业务。同国内一些大型企业比较,医院的网络安全建设相对薄弱,这与医院信息系统的特殊性和信息化的发展历程有关。最初的网络建设是为局域网系统提供服务,没有与外部系统互联的需求。如今面对越来越开放的服务需求,信息网络的安全性面临着极大的挑战。网络安全作为信息化建设的基石,如何在现有医院网络基础上实施安全防护,为互联网医院需要开展的业务提供高速、可靠的网络环境,是管理者面临的又一挑战。
1医院网络安全发展历程
医院信息系统发展[1]的不同时期,对网络安全建设要求不同。
1.1最初的内外网隔离时期
医院在建设信息系统初期,多数选择内外网隔离的网络方案,内网负责承载医疗业务,外网负责承载办公业务。内网常见有数据库服务器、文件服务器,外网有邮件服务器和网站服务器等。当时的信息系统多为客户端/服务器(C/S)架构,信息系统功能局限在局域网内,数据不用穿越防火墙,信息系统架构简洁,实施与维护方便。网络上通常采用二层树状架构,结构简单、部署迅速。内外网隔离的方式,可以阻断全部来自外网的攻击,将防护重点集中在内网终端上。采用的方法是在服务器与客户端安装杀毒软件。虽然,在这个时期网络安全风险低,但是面对一波又一波的网络病毒,如蓝色代码、熊猫烧香、冲击波、震荡波等病毒,还是暴露了医院终端防护水平低、安全建设滞后的问题。
1.2接入专线网络外联
医院的信息系统发展很快,为了方便患者就医,优化就医流程,新的应用、功能需求层出不穷。其中,包括医保实时结算、银医结算与医疗数据共享等应用。由于早期完全隔离的网络使得系统无法与外界交互,这就需要在独立封闭的网络中“开孔出气”。网络的基础上,与外界系统交互只通过专线的方式,边界清晰、业务明确。在这个时期的应用中,院方系统作为请求发起方即客户端,院内系统不需要对外部系统开放接口或者服务,并且与内网系统联通的专线网络属于“可信”环境。在此基础上,只需要在前置服务器外联边界设置防火墙,阻断由外向内的所有连接,允许由内向外的请求。
1.3划分虚拟专网方式接入
随着医院信息系统的进一步发展,医生远程办公、分院业务系统交互,以及患者自助查询、缴费等新需求应运而生,简单的外联已经不能满足新业务开展的要求。此时,就需要进一步对网络进行开放。远程办公可以使用互联网虚拟专用网络(Vpn)接入,患者检查结果查询方式为互联网接入。与以往不同,这些应用的开展,都是以内网信息系统的数据为最终请求目标。不管数据包如何跳转,最终需要到达内网服务端。这一时期的服务从面向医务工作者,扩展到了面向部分就诊患者,请求量有所提升。但最根本的转变在于内网系统面向部分外网客户端,提供多样化的服务。虽然,服务对象是特定人群,但是面向互联网开放了“窗口”,见图2。不管是通过前置机中转,还是地址变换、隐藏等手段提供服务,都不能回避互联网上存在的扫描、攻击等潜在风险。这类应用一般为非必要医疗业务环节,面对互联网上的威胁、风险,还可以忍受一定程度上的服务中断。通过接入物理专线的方式,将医保中心、银行及相关卫生主管部门联通。在相关业务系统增加前置服务器,作为院方与互联单位的数据中转站,并负责将相关数据、表格保持同步,将上报数据、业务请求发送至外网服务端。这个时期的网络防护也较为轻松。因为在原有封闭但在网络安全方面,是不能允许存在任何非授权访问和入侵破坏的。
1.4互联网+医疗背景下的网络融合
在互联网+医疗时代背景下,医院信息系统将达到前所未有的开放程度。医院将从医疗、公共卫生、家庭医生签约、药品供应保障、医保结算、医学教育和科普等方面推动互联网与医疗健康服务相融合,涵盖医疗、医药、医保“三医联动”诸多方面[2]。医院还将制订、完善相关配套政策,加快实现医疗健康信息互通互享,提高医院管理和便民服务水平[3]。这就需要医院要将网络大门打开,将网络进行融合设计,让患者可以通过互联网上的多种方式享受就医服务。在医疗业务不断向互联网开放后,对于系统中断服务的容忍度基本为零。医院既要保障服务的敏捷性和持续性,又要保障数据的安全性和保密性,还要防止原有系统被入侵和攻击行为所破坏。同时,需要从多角度、多层次对系统进行网络防护。
2网络安全措施
在已有医院信息系统(HiS)等系统的情况下,医院如何进行“开放系统”的防护工作。保护的指导方针是根据国家信息安全等级保护要求,按等保要求系统应具备抗分布式拒绝服务(distributeddenialofservice,DDoS)攻击、入侵、病毒的防御能力和控制端口、行为等控制能力[4].
2.1流量清洗
在互联网上众多的网络请求中,充斥着大量的无用请求、恶意访问[5]。如果不对互联网中的流量进行清洗,将对系统的可用性构成极大威胁。该部分清洗主要是针对DDoS攻击流量。常见DDoS攻击类型有SYnfloods、Land-Base、pinGofdeath、teardrop、Smurf等。应根据自身情况选择专用设备或运营商服务进行DDoS攻击流量清洗。
2.2入侵防御
清洗完的流量中还存在着扫描、嗅探、恶意代码等威胁,它们通过系统漏洞,绕过防护,对系统实施入侵行为,达到控制主机的目的。一旦入侵成功,造成的后果和损失是巨大的。通过部署入侵防御系统(intrusionpreventionsystem,ipS)对那些被明确判断为攻击行为,会对网络、主机造成危害的恶意行为进行检测和防御。深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包[6]。基于特征的入侵防御系统无法对高级持续性威胁(advancedpersistentthreat,apt)攻击进行防护,因此在建设入侵防御系统时,要特别注意该类型的攻击防护。可增加态势感知系统辅助ipS,将全网流量威胁可视化,进一步消除0day漏洞隐患。
2.3防病毒
根据国际著名病毒研究机构国际计算机安全联盟(internationalcomputersecurityassociation,iCSa)的统计,目前通过磁盘传播的病毒仅占7%,剩下93%的病毒来自网络。其中,包括email、网页、QQ和mSn等传播渠道。计算机病毒网络化的趋势愈加明显,需要企业部署防毒墙/防病毒网关,以进一步保障网络的安全。防毒墙/防毒网关能够检测进出网络内部的数据,对Http、Ftp、Smtp、imap等协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或查杀,在防护病毒方面可起到非常大的作用.
2.4访问控制
在经过流量清洗、入侵防御、防病毒3道工序处理后,访问控制系统是主机最“贴身”的一道防线。它是帮助保护服务器,按照个体情况来制定防护策略,精细防护到开几扇门,允许什么人、什么时间、什么方式访问主机。通常用硬件防火墙来进行访问控制[7]。常见防火墙类型有网络层防火墙、应用层防火墙以及数据库防火墙,可实现针对来源ip地址、来源端口号、目的ip地址、目的端口号、数据库语句、应用层指令、速率等属性进行控制。还有一种特殊的访问控制系统——“安全隔离与信息交换系统”即网闸[8]。主要功能有安全隔离、协议转换、内核防护功能。由于网闸在所连接的两个独立系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议;不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。网闸设备通常由3部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。安全数据交换单元不同时与内、外部处理单元连接,从而创建一个内、外网物理断开的环境,从物理上隔离、阻断了具有潜在攻击可能的连接,使“黑客”无法入侵、无法攻击、无法破坏。
2.5负载均衡
在面对互联网中大量的网络请求时,必须要增加负载均衡设备,扩展网络设备和服务器的带宽、吞吐量、数据处理能力,从而提高网络的灵活性和可用性[9]。负载均衡有多种算法,可以实现基于轮询、连接数、源ip和端口、响应时间的算法。负载均衡设备增加了应用系统处理能力,不法分子想要攻瘫系统的难度将成倍增加。
2.6日志审计与事后分析
日志审计与事后分析非常重要[10],必须将拦截和放行的网络请求记录下来。一方面,统计攻击日志,分析网络运行风险;另一方面,记录放行的流量,对各个防护环节进行查漏、补缺,优化防护策略。日志审计越全面,对优化网络、提升系统服务水平的帮助越大。日志审计的范围包括:应用系统日志、数据库日志、操作系统日志、网络安全防护日志等。还可将日志系统与网络安全态势感知系统相结合,使分析结果更全面、更准确。日志存储时间应大于6个月。
3具体实例
根据以上的防护要求,本文给出了一个内外网融合并进行防护的具体案例。按照重要程度与功能将网络划分为多个区域,总体原则:首先是按照应用系统划分区域;其次是实施严格的边界访问控制;最后是完善监控、审计等辅助能力建设。由此,形成了包括三级域、二级域、安全管理域、专线接入域、数据交换域、互联网服务接入域在内的6个主要区域。将医院最重要的HiS系统、集成平台、数据仓库等系统接入在三级域,进行最严格的保护;其他业务应用系统放在二级域,网站、Vpn、线上业务等放在互联网服务接入域。边界分别部署下一代防火墙、web应用防火墙(webapplicationfirewal,waF)。防火墙开启入侵防御、防病毒等防护模块,只放行应用系统对外提供服务的端口流量,对每个源ip的新建连接数、并发连接数、半开连接数进行限制。waF针对应用实际情况,开启对数据库、中间件、开发语言的防护规则。由于三级域系统业务量大,采用多台应用服务器并行架构,通过旁挂负载均衡器实现应用引流、负载分担,保障应用系统处理能力。将应用服务器与数据库服务器用数据库防火墙进行隔离、控制,从SQL语句、角色权限等角度对数据进行保护。数据交换域的主要功能为数据中转与应用,边界同样部署下一代防火墙,开启入侵防御、防病毒等防护模块,对出入流量进行严格管控。当互联网服务或线上医疗业务需要与HiS等核心系统产生数据请求时,需要通过中转服务器完成数据中转功能;当来自低安全级别系统向HiS等核心系统请求服务时,需要通过中转服务器完成应用功能。这样,在保证系统互联互通的同时,解决了不同系统间的信任问题。安全管理区中放置防病毒软件、堡垒主机、日志审计、态势感知平台、认证系统和监控平台等用于网络管理的服务器,与业务系统隔离,在边界严格控制此区域系统进出流量。在互联网出口处,设置有抗DDoS设备、ipS、防毒墙、下一代防火墙、负载均衡器,全方位对互联网实时流量进行过滤。国家卫生健康委员会、医保中心、银行等业务通过物理专线接入至专线接入域,通过前置机与防火墙对这类业务进行访问控制。总之,通过多种设备和全面的管理,形成一个边界清晰、管控严格、监控全面、审计详实、可感知态势的网络系统。这样,在快速开展互联网线上业务的同时,还能够最大限度地进行网络防护。
工业互联网安全防护体系篇7
关键词:互联网;防火墙;信息
中图分类号:tp393文献标识码:a文章编号:1009-3044(2013)35-7917-02
回顾人类社会的发展,我们可以简单笼统地将其归纳为符号时代,数字时代,信息时代,尤其是计算机技术的发展以及互联网的普及,更是将人类社会全面推向信息化的狂潮之中。在这样的发展趋势下,人类自身的日常生活发生了很多变化,其中人们的日常娱乐方式就是最明显例证,由单调的电视机、收音机转向因特网及基于互联网的智能手机,其中的影响可见一斑。
在20世纪,大量的信息基本上依托于诸如报纸、杂志、电视等传统的媒介存在与传播,但是进入二十一世纪以来,大量的信息转入互联网这个新兴的平台,并且凭借其自身所独有的高效性与高度的共享性使得信息的传播速度得到了空前的发展,实现了质的飞跃,深入分析我们不难发现,互联网可以给用户提供一个稳定、高效、开放的信息公布平台,与此同时其他用户可以各取所需,在互联网上搜索到各种各样大量的信息,然后进行筛选处理,最终得到所需要的信息。然而基于互联网的开放性特点,其中的信息质量良莠不齐,充斥着很多的垃圾数据,甚至会有一些病毒文件伺机攻击计算机终端或者网站,这严重威胁到了互联网的信息安全以及损害了用户的个人利益。随着计算机技术的不断完善,防火墙的出现可以说在一定程度上有效地解决了上述问题,为互联网安全提供了保障。
1防火墙的基本概念以及分类
1.1防火墙的基本概念
防火墙一词最早出现在英文中,即firewall,是一种很形象的叫法,其定义可以简单的概括为互联网系统中介于内部网络和外部网络之间的一种安全防护系统,这种安全防护作用可以为主动防护亦可被动防御,是一种主要目的在于确保信息安全的体系。防火墙在工作时,可以根据设计人员预先设计的安全准则以及识别条件,允许或者拒绝相关信息由外部网络进入内部网络,这就相当于在内外部网络之间设立了一道安全防护墙,此外防火墙不仅仅可以单纯的对外部网络中的不安全因素进行防护,也可以有效地限制内部网络中的不安全访问,例如可以事先制定规则来限制内部网络中计算机终端访问外部网络中的病毒文件,分时间访问外部网资源。
目前在面对日益严峻的网络安全形势,防火墙技术也在不断地完善与改进,防火墙也有单一的硬件形式发展成为依托于硬件存在的软件系统,再后来就形成了由硬件和软件组合所形成的综合的系统,这种综合的防护系统在internet和intranet之间搭建了一个securitygateway,就是我们熟悉的安全网关,保护内部网计算机终端免遭非法用户的入侵,在很大程度上保护了外部网与内部网之间、公共网和专用网之间的沟通通道。防火墙的基本构成见图1。
1.2防火墙的基本分类
时至今日,防火墙的发展已经经历了一个较长的过程,其发展历程可以大致地归纳为:基于硬件技术的防火墙,最常见的硬件是路由器设备;以用户为中心建立的防火墙应用工具;伴随着计算机操作系统的发展而逐步建立起来的防火墙技术,例如在常见的xp、windous7系统中开发的防火墙工具;拥有安全操作系统的防火墙,比较常见为netscreen。在每个发展阶段都涌现出很多产品,无论这些产品基于何种技术或者平台,我们都可以将其总结为:
①按照结构的不同可以将防火墙分为两类,即路由器和过滤器设备的组合体系、主机系统;
②从工作原理上进行分类,防火墙可以分为四大类,即专业的硬件防火墙、数据包过滤型、电路层网关和应用级网关;
③按照防火墙在网络中的位置来进行分类的话,其可以分为两种:分布式防火墙和边界防火墙,其中网络系统防火墙以及内部网络中的主机共同构成了前者,
④按照防火墙技术的发展先后顺序,防火墙技术可以分为:第Ⅰ代防火墙技术即packfilter。第Ⅱ代防火墙技术即我们所熟悉的组合式防火墙。第Ⅲ代防火墙技术即基于第Ⅱ代防火墙技术所完善改进而成的技术,例如防毒墙。第Ⅳ代防火墙技术,例如sonicwall。
3防火墙的主要功能
无论是在外部网络中还是内部网络中,防火墙对于整个网络体系的安全防护作用都是至关重要的,是互联网与垃圾信息、病毒文件之间的有效屏障,其主要是保护特定的网络或者特定的网络中计算机终端免遭非法越权入侵以及内部网中的用户与外部进行非法通信。如上文所述,防火墙技术已经经过了四代的发展,技术在不断完善,但是其工作原理可以归纳为:将防护节点安置于内外部网络的链接端口,在这些断口处设定相关安全规则,一旦发生数据传输或者访问,这些数据就必须经过端口安全规则的检测认证,检测区是否对网络存在安全威胁,如果经检测有害,那么会立即阻断数据传输,起到了保护计算机网络的目的,与此同时防火墙系统要在网络受到攻击时及时做出警示,提醒计算机用户以及网络安全维护人员不安全信息,终止操作,消除威胁。其中值得注意的是,防火墙的响应时间也是至关重要的一环,因为在不同的网络之间的数据传输具有速度快、效率高、数量大、伪装性好的特点,因此,在众多信息中及时甄别出垃圾信息并及时按照既定程序阻断删除对于保护网络系统安全就显得尤为重要。防火墙的主要功能如图2所示。
3防火墙的主要应用
众所周知,任何事物不可能存在绝对的安全与绝对的不安全,当下在市场上存在众多的防火墙技术的产品,先不谈质量参差不齐,即使企业或者个人用户购买到一款技术先进、性能可靠、安全指数较高的防火墙系统,在面对每天数量惊人的网络攻击时也很难保证整个网络系统绝对的密不透风,而且在实际的工作中,如果用户没有正确地根据实际情况配置计算机与调试硬件、软件相关参数,更是降低了防火墙的防护水平,得不到预期的效果。
任何一款防火墙技术软件发挥防护作用都大体上需要经过如下过程:
首先要经过正规的渠道购买正版的防火墙软件,按照使用说明书正确的安装整个系统,不能遗漏任何安装选项,否则就可能造成系统无法正常运行的状况;
其次就是要根据用户的实际情况设置系统参数,这一点至关重要,因为企业与企业所处的领域不同,因此会面对不同的种类
以及不同等级的安全威胁,有的企业可能会面临较多的信息泄露的危险,因此应该将防火墙的主要防护点侧重在越权访问以及非法窃取信息上,一般这种情况对企业的损失较大,因此防护等级较高,如果企业仅仅是防护病毒文件的入侵,那么就可以简单的限制内网用户访问外网资源即可。此外系统参数的设置也包括系统响应时间、预警信息的方式、有害文件的处理方式等等,这些参数也应该严格按照使用说明根据安全防护等级设置,如果我们将安全防护等级设置的过高,很有可能会把一些有效信息过滤掉,影响企业的正常运转和人员的正常工作;
最后就是高级功能的设置,很多软件提供给用户附加的服务,例如网络安全状况的时时监测、防护日志的查看、系统漏洞的提醒等等,用户可以根据实际需要进行设置。
参考文献:
[1]诸海生,董震.计算机网络应用基础[m].北京:电子工业出版社,2003:252-256.
工业互联网安全防护体系篇8
【关键词】央行互联网金融科技监管
互联网金融是以信息化为支撑,网络技术是基础,最核心的支付结算都需要通过网络来完成,互联网金融归根到底也是金融,因此应当受到监管,并且应适用统一的监管规则。按照职责分工,人民银行科技部门负责金融网络的监管,严格规范互联网金融的技术体制及强化技术监管既是人民银行科技部门的责任,也是互联网金融健康发展的必要保证。
一、深化互联网金融监管内涵的理解
互联网金融是创新的产物,既然是创新,就会有失误和风险,对这个新生事物既要包容失误,也要防范风险,处理好创新发展和风险之间的关系,有必要对互联网金融进行恰当的监管。如何对互联网金融进行恰当的技术监管呢?在世界范围内也是一个新的课题,从监管者的角度看,现在对互联网金融进行评估,还缺乏足够的时间和数据的支持。在这种状况下,首先,要鼓励互联网金融技术的创新和发展,包容其技术失误,为行业新应用的发展要预留一定空间。国务院颁布的《关于促进信息消费扩大内需的若干意见》中明确提出推动互联网金融创新,规范互联网金融服务;国务院办公厅在《关于金融支持小微企业发展的实施意见》中也提出,要充分利用互联网等新技术,新工具,不断创新网络金融服务模式;央行周小川行长在接受中央电视台采访时曾表示,对互联网金融要保持一个正常的心态和支持创新的理念。
其次,我国采取的是典型的分业监管模式,互联网金融作为新兴的金融模式,交易的业务范围不断扩大,业务种类日益多样化,现有的金融监管体系尚无法完全覆盖,存在一定的监管缺位,因此必须尽快明确相应的监管部门和监管职责,既能充分包容创新又能确保监管到位。对于互联网金融的监管,央行副行长刘士余在2013年8月的互联网金融中国峰会表示“怎么监管,谁来监管,还需要做大量的调查和认证。”由于互联网金融具有“混业经营”的特点,需要在保护金融创新、推进互联网金融发展的前提下,根据互联网金融发展的实际情况,尽快制定并实施相关政策和监管措施,这就要求在归口监管上要做出有效界定。根据2013年国务院办公厅颁布的107号文件,网络金融监管由央行牵头负责,互联网金融科技监管应在央行牵头、统一协调下,按照按照谁批设机构谁负责监管的原则,逐一落实监管主体及监督管理责任,进行适度的实时监管,防止技术风险的过度集聚,同时加大对互联网金融技术创新的扶持力度,提供更多的金融服务,央行科技部门对互防网金融的科技监管工作要尽早提上日程。
二、创新互联网金融技术监管机制
互联网的精神是“平等、开放、分享、协作”,目前互联网金融的产品和服务都显示出信息的透明性,这与金融机构科技部门对传统封闭式的金融网络监管方式之间存在着巨大的反差,同时技术进步与金融业务创新带来新风险和新机遇,需要互联网金融的科技监管部门转变思想,创新监管机制。
在互联网金融的技术监管机制上,应当立足于现有监管政策进行创新,改变分业监管模式,结合分业监管和监管两种模式的优点,建立全面覆盖的科技监管据体系:一是在2013年8月国务院关于同意建立金融监管协调、部级联席会议制度基础上,建立以央行牵头,银监会、证监会、保监会、工信部、公安部等部委联合组成的跨部门、跨行业的互联网金融技术监管机制,通过统一互联网金融技术顶层设计,规范互联网金融的技术标准,破除现有监管部门间及区域间的信息孤岛,推动监管部门跨部门信息共享;二是建立国内与国际间互联网金融技术监管合作机制,互联网金融打破了地域界线,交易双方不再局限于国内,数据信息的交换处理以及风险控制具有国际特性,单独依赖一国的技术监管机构无法对互联网金融服务进行有效监管,这就需要互联网金融技术监管的国际合作,央行科技部门应加强与世行及其他国家央行的技术合作,从互联网金融技术标准、数据交换、监管策略、协商机制等方面寻求统一的规范,实现国际间互联网金融技术监管的沟通与协调;三是建立互联网金融企业自律机制,尊重互联网金融的开放精神,充分发挥已成立的中国互联网协会互联网金融委员会等行业组织的作用,通过倡议互联网金融行业相关单位共同遵循相同的技术标准、信息安全和金融服务水平,增强自律意识,利用各成员单位自身资源和技术优势,以避免互联网金融技术监管滞后于技术发展的局面,减轻技术监管部门的监管范围和压力。通过以上措施,有效防范互联网金融风险,促进互联网金融创新发展。
考虑到互联网金融依托大数据、云计算和网络通信技术,因此在未来的技术监管上应更多地通过信息网络对数据进行分析、挖掘,非现场检查将成为互联网金融技术监管的主要形式。
三、规范互联网金融新业务技术管理
互联网金融业务都是建立在一定的信息平台之上,针对不同客户提供个性化服务,并通过网络进行匹配,从而更好地满足客户的金融需求。互联网金融业务的迅速发展,依托的是信息技术日新月异,靠的是服务创新。信息技术促进了通信网、互联网、广电网的三网融合,特别是移动化对碎片时间的利用,降低了时间成本、提高了效率,带来了思维和观念上变化,实现了信息流、物流和资金流的三流合一,为互联网金融数据的融合准备了条件,打下了互联网金融业务创新的基础。互联网金融业务的创新速度超出人们的预想,其对新信息技术的运用也领先于科技监管的发展,在这种情况下,为了防范业务创新带来的系统性技术风险,规范互联网金融业务的创新,也成为央行科技部门加强监管的重要环节。
强化对互联网金融新业务的技术监管,央行科技部门应当把握:一是加强对4G、云计算、数据挖掘等新信息技术的学习掌握,了解新信息技术可能提供的应用或服务,做好相关技术储备;二是推行互联网金融新业务的技术审查制度,对于纳入央行监管的业务,要求业务提供方向央行科技部门或委托机构上报新业务的技术方案,由央行科技部门对方案进行系统分析和技术风险评估,满足国家相关标准后才能正式上线运营;三是控制高风险互联网金融新业务的入网结算,对于其他部门监管或没有纳入监管的业务,要主动了解新业务的技术基础,对于类似比特币等影响金融安全的高风险互联网金融服务,要积极向主管部门提供技术咨询和决策支持,在必要时切断新业务的联网支付渠道;四是完善互联网金融新业务的动态技术监管,针对互联网金融涉及面广、扩展性强的特点,实时跟踪新业务上线后的运营状况,及时发现技术隐患,指导业务提供方堵塞业务上存在漏洞,规避系统性技术风险。
四、突出互联网金融信息安全防护
伴随互联网金融的迅速发展,交易中的信息安全互环境应得更加复杂,移动终端和云计算是当前互联网金融应用的主要方式,移动终端使用的免费wiFi安全性及路由器漏洞问题,以及云计算服务带来的非授权访问、信息泄漏等问题都成为互联网金融信息安全的隐患。目前,互联网金融遇到的信息安全问题主要包括恶意程序、假冒网站、诈骗信息、信息泄漏等方面,信息安全问题破坏了互联网金融的秩序,加重了人们在虚拟世界中的不信任度。央行科技部门对互联网的技术监管重点应放在信息安全管理,通过对互联网金融相关机构现场检查和网络监控,提升互联网金融服务的信息安全保障水平,促进互联网金融的健康、稳定发展。
对互联网金融的信息安全监管,应该关注以下方面:一是要制定互联网金融的信息安全防护标准,采用自主可控的核心信息装备,对相关机构网络进行信息安全等级分类管理,实施等级保护;二是建立严格的互联网金融网络入网审查机制和准入制度,信息安全标准不达标的互联网金融机构不得接入金融系统网络,从核心环节上把好信息安全防护关;三是督促互联网金融机关落实信息安全防护规范,指导其建立一套由密码应用技术、信息安全技术、数据灾备与恢复技术、云计算技术、网络组网与运维技术等组成的“软硬一体”标准化互联网金融信息安全解决方案,做好交易双方敏感信息的保护,提升网上交易安全防护水平;四是提升用户端的信息安全防护水平,指导互联网金融服务提供商开发相关软件应用,通过绑定手机、账号实名认证、动态口令卡、数字证书和第三方认证等多引擎、多策略协同运作,提高网络支付的安全性。
五、推进互联网金融信用系统建设
金融需要国家建立信用机制支持,互联网金融由于交易双方的非接触特性,对信用支持的要求更加迫切,基于大数据的信用评价能力,是互联网金融生存的核心竞争力。目前,全国性、权威性的诚信体系仅有央行牵头建设的国家金融信用信息基础数据库(简称征信系统),主要通过各金融机构、工商、法院等单位上报违约用户的数据,建立可供查询的部级的企业和个人信用信息。互联网金融的快速发展,大大扩展了征信体系的数据范畴,现有的征信系统是一个被动的征信体系,实时性难以满足互联网金融随时、随地提供金融服务的要求,需要建立一个基于大数据分析和云计算、依托网络提供实时征信服务的网络征信系统,通过互联网大数据综合判断交易双方的信用状况,推动信用系统信用评价模式的转变,提升互联网金融服务的公信力。
网络信用系统应针对互联网金融的特点,为所有的互联网金融服务提供实时信用支持,其系统开发应注重:一是加强用户的身份认证,通过与公安部、工商总局等国家相关部门的协调,实现与人口数据库、法人数据库等基础数据系统的互联互通,将个人相关的就业、健康、教育、收入、社保等基础数据整合起来,确保用户信息的准确性,打牢网络信用系统的根基。二是强制互联网金融信息提交,要求所有的交易均需要将诸如资金、物流、交易双方等重要数据通过统一的标准和接口规范,提交到网络信用系统,加强对交易的事中、事后监测;创新从社交网络等公共渠道抓取数据的方法,以实现对信用信息的全面收集及处理,便于判断用户的信用状况。三是规范对网络信用系统的信息共享,严格按照国家对用户信息采集、查询和不良信息报告等规定,对互联网金融服务企业使用网络信用系统实行网络授权机制,规定其应用信用信息的范围和信息等级,防止信用信息的滥用和扩展;四是提供全程、实时互联网金融认证服务,通过推出权威的第三方电子认证产品,实现交易中的身份认证、电子签名、交易信息加密传输、交易不可抵赖,确保交易信息的可靠,以有效保障资金交易的安全性。
六、加强对银行数据中心的监管
大数据在解决金融核心的信用评级和风险控制上拥有传统方法所不具备的显著优势,是互联网金融迅速发展的重要推手。互联网金融涉及金融机构、互联网企业、医保、社保、运营商、电商及多种服务行业,各类交易均以数据形式存入服务商的数据中心并通过数据中心进行数据处理和交换,因而互联网金融的数据中心是互联网金融运行的中枢神经,存储着互联网金融重要的数据资产,承载着关系社会经济运行所需要的资金流和信息流,是互联网金融服务的核心,数据中心的信息安全对于保障互联网金融的稳定运行,具有关键的决定作用。从目前看,互联网金融无论是哪类交易,不论交易双方是谁,交易中涉及支付部分的数据都必须通过银行数据中心,因此,央行科技部门对互联网金融的技术监管中,互联网金融各类数据中心的监管是一个重要方面。在技术监管政策、方式不明,以及央行科技部门监管力量不足的情况下,央行科技部门不可能也没有能力对全部互联网金融企业的数据中心进行监管,应该把技术监管的重心放到银行业数据中心的安全上,通过抓好银行业数据中心的技术安全来提升整个互联网金融的安全。
央行已认识到加强银行数据中心安全监管的重要性,2014年1月16日,人民银行组织召开第二届银行业数据中心联席会议,专门就银行业数据中心安全进行了部署。在当前银行业数据中心面临技术与金融业务创新不断加速,业务量和个性化服务需求大幅增长,以及运维工作复杂度持续提升的情况下,央行科技部门对银行数据中心的监管重点在于:一是加大对银行数据安全重要性的宣传力度,提升数据中心工作人员安全防范意识,居安思危、防患于未然,推动各银行数据中心认真履行安全职责;二是制定银行数据中心安全标准规范,督促银行数据中心不断加大科技投入,采用新技术、新装备增强安全防范能力;三是通过现场或网络技术安全检查、督查,在应急处置、决策支持、管理管控和跨部门运维协作等监管方面进行改革创新,不断推进银行业数据中心联合运维机制改革和发展。
参考文献
[1]周小川.“存款利率市场化按计划推进”.《国际金融报》,2013年8月.
[2]《国务院办公厅关于加强影子银行监管有关问题的通知》.【2013】107号文,2013年.
[3]《中国人民银行信息安全管理规定》,2010.
工业互联网安全防护体系篇9
如果说互联网是一个推动人类社会发展进步的巨型引擎,那么互联网安全工作者无疑是保障这个引擎正常运转、不偏离轨道的关键。他们的辛勤与付出,换来了互联网的持续繁荣,换来了互联网对人类社会日益深刻的变革。他们在这个并不完美的世界中,追求着完美和极致。
9月23日,由中国互联网协会、中国信息安全测评中心、国家计算机网络应急技术处理协调中心(CnCeRt/CC)指导,360公司主办的2013中国互联网安全大会(iSC2013)如期拉开大幕。作为目前国内信息安全领域规模空前的大会,它并没有和大多数大会一样突出一个明确的主题,而在23日上午大会主论坛开始前暖场视频的最后,一句“向互联网安全工作者致敬”掷地有声。
当然,互联网安全工作者的事业并无止境。新的技术、设备及应用的普及,新的攻击方式层出不穷,令每个企业和个人都面临着更多的安全威胁。在本次大会上,来自国内以及海外的各个领域安全专家从移动安全、企业安全、web安全、云安全、软件安全等诸多角度,为构建一个更为安全可靠的互联网环境分享了自己的所知所见。
移动重灾区
相信智能手机已经成为如今大多数人的“标配”,而正是这样的“标配”让大多数人都暴露在恶意软件和攻击之下。“我们选择了国内外9个主流安卓手机厂商、每个厂商两款共18款手机,进行系统漏洞的研究和测试。在进行隐私漏洞和权限漏洞两大类安全漏洞分析时,我们非常遗憾地发现,这18款手机均有漏洞存在。”360公司首席科学家、美国北卡罗来纳州立大学副教授蒋旭宪,360公司移动研究院高级研究员周亚金为与会者讲解了定制安卓系统的安全隐患。
安卓系统的“薄弱”众所周知。一方面由于安卓系统碎片化严重,使其系统更新更为困难;另一方面,厂商定制在某种程度上破坏了原生安卓系统的安全机制,并在引入新功能时将新的安全漏洞引入到系统中。“经我们统计,70%的安全漏洞都是由厂商定制造成的。”周亚金说,“比如伪造任意短信漏洞是安卓原生系统的一个漏洞,谷歌在安卓4.2版本中已经进行了修复。但是很多厂商在对安卓进行定制时,修复了原生漏洞的同时又引入了新的漏洞。”
360公司安卓平台高级病毒分析会刘敦俊认为,安卓系统存在四大安全问题,即通信安全、系统安全、数据安全和设备安全。尽管安卓系统可能已经成为移动终端安全的重灾区,但其他系统也并非一片净土。美国佐治亚理工学院高级研究员宋程昱就在大会上讲解了苹果公司基于“围墙花园”模型的安全机制,以及曾经轰动一时的在60秒内就可以黑掉一台iphone手机的恶意“充电器”mactans的攻击原理,同时对攻击暴露出来的ioS系统信任文件滥用、USB接口默认权限过高等安全问题进行了探讨并提出了改进的建议。
终端变前线
360互联网安全中心的《2013年上半年手机安全状况报告》显示,今年上半年,360互联网安全中心截获新增手机木马、恶意软件及恶意广告插件45万款,平均每天新增2500余款恶意软件,感染总量超过4.8亿人次,接近2012年一整年的感染量。移动终端的“沦陷”只是互联网安全现状的一个缩影,但终端确实成为了当前恶意攻击与防御的最前线。当然,终端安全不仅与个人的信息安全密切相关,也与企业安全有着不可分割的关系。
360公司董事长兼Ceo周鸿祎在大会上表达了他对信息安全的理解:“终端安全已经变得越来越重要。特别是一些大型、安全要求比较高的企业,都会有比较严格的企业内部安全防护措施,攻击者如果从外部穿越防火墙等防护设备,是非常困难的。这时,终端就成为了很好的跳板。攻击者可能通过一个带有恶意代码的邮件先入侵员工的终端,然后再逐步进行攻击来提升权限,最终实现其目的,完成一次典型的apt(高级持续性威胁)攻击。”
“此外,BYoD、云存储的普及使企业的边界越来越模糊,传统的边界防护方式虽然发挥着巨大的作用,但是已经不能完全满足当前的防护需求,所以必须从终端上加强安全防护。”周鸿祎认为。
360公司总裁齐向东透露,360目前拥有4.61亿pC终端用户、3.38亿手机端用户,已成最大的终端安全厂商。今年3月,微软官方博客的安全报告显示,中国电脑的恶意软件感染率指标为0.6‰,不仅远低于7.0‰的全球平均线,也成为恶意软件感染率最低的国家。可以说,360公司“免费安全”的理念与终端安全能力起到了很大的作用。周鸿祎表示,360公司已经开始致力于将这种安全能力提供给企业级用户,帮助企业从终端到云端构建安全体系。
安全生态系统
360公司副总裁、iSC2013大会主席谭晓生告诉记者,针对目前企业的安全趋势,360提出了“云+端+边界”的企业信息安全综合防护思路。“在新的形势下,终端安全的加强是毫无疑问的,而限于终端的计算能力和局限性,很多数据分析需要通过云端来进行。另一方面,当终端被黑之后,边界可以通过分析增加识别攻击的可能。而云端作为信息共享平台,在进行攻击经验的学习之后,可以把经验反馈给边界和终端。”谭晓生认为,“云+端+边界”是一个立体的防御体系,它可以最大限度地保障企业安全。但是,没有一个厂商能包揽云、端和边界三个层面的安全,所以这个体系的构建需要各个厂商共同参与。
国家互联网应急中心运行管理部处长王明华认为,建立信息安全的生态系统尤为重要。“我们希望在网络空间中,政府、企业、组织、个人在信息安全保障和防御中形成良性互动,从而形成自我运转、自我循环和自我提升的有机整体。”王明华表示,“我们希望从自身做起,将我们现在已经拥有的能力开放出来和大家共享,从而推动产业发展,使更多用户受益。”
事实上,周鸿祎也在大会上呼吁“安全需要协作”。“我们愿意把这几年积累的资源和技术向同行开放,特别是在终端安全方面的一些好的产品和理念。比如我们可以开放花了7年时间建立起来的白名单、开放云查杀引擎的api、开放360的大数据处理和分析能力等。”周鸿祎说,最终,通过各方的共同努力,构建一个安全的生态系统。
以互联网思维做安全产品
工业互联网安全防护体系篇10
【关键词】信息安全双网隔离分区分域安全接入积极管控
在信息化时代,网络空间承载着国家政治、经济、文化和军事发展与安全的重荷,网络空间存在的黑客攻击、网络犯罪和网络恐怖主义事件层出不穷,网络空间安全已上升到国家安全战略的层面,美国政府于2011年5月16日的《网络空间国际战略》引起世界各国瞩目,向我们传递了许多新的信息,值得认真思考和研究,同时也为中国与时俱进地提升网络安全战略地位,转换网络安全建设思维,增强国家网络安全利益的护持力度提出参考和要求。本文在遵循国家信息安全等级保护政策、标准及电力行业相关要求下,结合作者所在单位的信息安全网络建设实际情况,探讨如何建设安全、可靠、高效的电力企业信息安全网络。
一、双网隔离原则
随着电力企业信息化建设不断推进,现在许多企业都建设了自己的网络系统,是以企业门户、办公自动化、电子商务、HR人力资源系统、财务一体化、营销、生产管理、eRp内部运行管理系统等,极大的提高了办公效率,实现信息的实时传输和信息共享。通过与internet国际互联网相连,方便员工查找相关的技术资料,及时了解和掌握最新咨询。由于信息技术的发展又不断推动现代办公逐渐走向信息化、智能化、移动化,宽带技术的增强、无线网络的普及,促使移动办公得到飞速发展,传统的办公室随之拓宽领域,办公不再拘泥于办公室,无处不在的网络使随时随地进行办公成为可能,移动办公使办公效率大大提高,突破了时间与空间的局限。但是在给我们带来极大便利的同时也带来了严重的安全问题,尤其是病毒破坏、黑客入侵,甚至系统内部的泄密,信息化条件下各种网络的普及,为黑客提供了展示其娴熟技法的空间和舞台,它能在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。众所周知,国际互联网是以国际化、开放和互联为特点的,而安全度和开放度永远是一对矛盾。虽然,目前可以利用防火墙、防毒墙、服务器、入侵检测等技术手段来抵御来自互联网的非法入侵,但至今这些技术手段都还存在许多漏洞,还不能很好地解决信息的安全问题。在现在国际互联网网络不可掌控的情况下,当今信息安全问题已经上升到国家安全层面,全球都很重视,信息网络安全面临“外侵内泄”的情况下,用类似“惹不起,躲得起”的智慧,推导出留得青山在,以退为进的柔性曲线安全策略,双网隔离的解决方案。
在国家和行业几个红头文件下发之后,电力企业的信息化建设和规划正在紧锣密鼓进行,双网隔离早已成为电力企业信息安全的必修课。双网隔离技术在一定程度上解决了电力企业信息化建设的困境,满足了当前安全需要。通过双网隔离这样的办法,尽量减少互联互通,减少接触面,杜绝多出口多互连所带来的业务是否需要上网界定不清无法控制问题,而且互联互通程度越高,对人员、管理、运维要求也越高。今天,日趋完善的网络隔离产品已成为网络信息安全体系中不可缺少的重要环节,是防范非法入侵、阻挡网络攻击、防止内部信息泄密的一种简单而有效的手段。安全隔离网闸是采用双主机+物理隔离开关的硬件结构,结合高强度的网络协议分析和控制的软件系统,共同构建一个在网络边界处隔离网络已知和未知攻击行为的高端网络安全设备。简单的说,安全隔离网闸是一套双主机系统,两个主机之间是永远断开的,以达到物理隔离的目的,双主机之间的信息交换是通过借助拷贝、镜像、反射等第三方非网络方式来完成的。当数据需要从外网下载到内网,或者和内网通讯时,安全隔离网闸在内外网之间扮演着一种类似“信息渡船”的角色。信息技术是动态发展的,“道高一尺,魔高一丈”,安全不是绝对化的。
作者所在企业的双网隔离方案是集团本部和分公司分别部署安全隔离网闸,三级单位及电厂的内外网实现完全的物理隔离。每个三级单位及电厂均有专线通道到分公司,每个分公司又有专线通道到集团本部构成整个集团内网,大集中方式部署在集团内网的应用系统正常情况下均通过集团安全隔离网闸实现内外网安全访问和数据摆渡,分公司部署的应用系统均从分公司安全隔离网闸实现内外网安全访问和数据摆渡,三级单位原则上不允许部署单独的应用系统,现有系统将逐步集中到分公司层面,三级单位及电厂严禁内外网互联互通。这样就形成了两个网络,双网(内外网)共存,内网作为集团企业内部各业务应用系统信息网络基础平台,外网各单位分别与internet国际互联网互连。其实作者认为外网也同样应该减少局域网与互联网的互联互通,因为人员编制等原因,实际上各单位的信息网络管理和维护水平和领导重视程度都不一样,参差不齐。
二、分区分域防护原则
划分安全域是构建企业信息安全网络的基础,提高抗击风险能力,提高可靠性和可维护性。内网具体划分为网络核心区域、各业务应用服务器区域、桌面办公区域、广域网接入区域、测试服务器区域、集中管控服务器区域和与外网安全隔离区域。网络核心区域是企业信息安全网络的心脏,它负责全网的路由交换以及和不同区域的边界防护。这个区域一般包括核心交换设备、核心防火墙以及主动防攻击和流量控制设备等。各业务应用服务器区域是内部各应用管理系统所在区域,包括企业门户、办公自动化、电子商务、HR人力资源系统、财务一体化、营销、生产管理、eRp等内部管理信息系统。桌面办公区域包括接入交换机和员工桌面终端。广域网接入区域包含由公司总部到集团总部乃至各所属机构的专线安全设备以及交换路由设备,是公司总部至各单位的通信命脉。测试服务器区域是供系统开发人员所访问的未上线的开发系统所在区域。集中管控服务器区域是内网辅助类服务器区域,这个区域一般包括DnS、DHCp、防病毒、桌面管理系统、网管系统、it运维管理平台和安全运维管理平台SoC等。内外网安全隔离区域是用于内网与外网摆渡的区域,是内网与外网通信的唯一出口,其主要设备是安全隔离网闸。各安全域的信息系统之间边界鲜明,为安全防护体系设计和层层递进、逐级深入的安全防护策略提供了必要条件。网络核心区域是整体信息网络的核心,所有其他区域均经过核心区域进行交互,这个区域理所当然地成为各个区域的安全边界。以核心服务器区域为例,它和网络核心区域中间部署安全设备,对过往的流量起到控制作用,以达到安全防护。再以广域网接入区域为例,它和网络核心区域中间部署安全设备和主动防攻击设备,达到更高层级的防护。分区域防护的设置,将降低外界对信息系统的物理攻击和网络攻击的危害性,以确保内部各网络应用系统的安全。外网具体可划分为网络核心区域、服务器区域、桌面办公区域、DmZ区域、与内网安全隔离区域和与internet国际互联网接入区域。外网的服务器区域类似内网的辅助类服务器区域。与内网交互的安全隔离区域包括安全堡垒机系统、认证系统、SSLVpn系统。DmZ区域是提供给互联网用户访问的系统,主要包括www、email、外部DnS等服务器,DmZ区域的服务器禁止访问其他区域,避免来自互联网用户攻击或控制DmZ区服务器后影响或威胁其他区域。拓扑结构如下图:
三、应用虚拟化接入原则
双网隔离方案的建设极大提高了内部网络的信息安全水平,却又面临一个新的问题,内外网之间信息安全交互受到制约,保密性(Confidentiality)和可用性(availability)矛盾日益凸出。一方面随着双网建设的不断深入和推进,对信息系统的安全性要求越来越高;另一方面随着公司信息化建设的不断深入,投入的业务系统不断增加,用户业务快速发展,商务出行及会议等逐渐增多,导致公司员工无法遵循业务要求的标准化,流程化,及时地处理文件,从而使整个业务停滞不前,同时随着集团双网改造和建设的不断深入和推进,原有Vpn移动办公解决方案从安全和性能上都已经不能满足要求,限制了信息系统的效益,阻碍了业务的处理。移动办公也面临着诸多方面的挑战,今天的信息安全已经从最初的网络安全逐渐向应用安全、数据安全和系统安全的全面安全体系发展,从基础安全向细粒度的高阶安全发展。双网改造后,如何在安全的前提下实现内外网数据的交互和便捷的移动办公应用?如何对员工的访问进行有效地控制,实现便捷高效访问被授权资源?如何防止内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等?
作者所在企业选择了经过公安部、电监会、国家信息中心等权威部门的论证和充分的调研可行的立体解决方案,采用虚拟化技术的安全堡垒平台和SSLVpn设备,使用数字证书或UKeY登录,彻底解决了双网环境下跨网访问、移动办公的难题。安全堡垒平台将应用虚拟化技术应用于信息安全领域,将应用100%在服务器运行,没有任何应用组件运行于客户端环境,以虚拟的方式与客户端交互,实现一种新型的数据不落地的传输模式。虚拟化技术分离应用的表现与计算,实现虚拟应用交互、本地化应用体验,客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息,没有实际的业务数据流到客户端,客户端看到的只是服务器上应用运行的显示镜像。安全堡垒平台的整体安全体系,包括事前安全策略规划、事中安全访问控制和事后安全审计三个层次,可以实现多级的用户管理和细粒度的用户授权,可以完成对用户整个生命周期的监控和管理,制定统一的、标准的用户账户安全策略,捆绑具体用户,对用户、行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。可以记录和查询用户何时、多长时间、从哪里访问、访问设备的信息等。还可以通过对用户访问的行为全程录制,实现事后的审计与追溯。访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。最终用户通过访问SSLVpn设备,手机和平板电脑通过数字证书,笔记本电脑通过UKeY与安全堡垒平台建立虚拟的专用Vpn隧道加密,从而实现了4a(认证authentication、账号account、授权authorization、审计audit)的安全标准。
四、积极管控原则
随着信息技术的快速发展,信息化建设的不断提高,各种应用系统逐渐上线运行,各种业务也开始在网络上开展起来,有些应用已经是在整个集团正常运行,同时网络的扩展也为病毒和木马的传播提供了便利的条件,各种极具破坏性的病毒在网络中流窜,使网络拥堵不堪,甚至瘫痪,也给一些不法分子和敌对国家获取企业和国家机密信息和重要数据等信息提供了便利,所以健全的网络建设和管理机制对维护企业和国家利益都有着重要意义,一旦网络瘫痪或信息泄密,后果将不堪设想。因此信息安全的建设并没有随着双网建设、分区防御的建设和应用虚拟化移动办公接入的建设而结束,反而对整体信息网络的安全防护和监督控制提出了更高的要求,必须要加强对信息安全的管理和控制,提高信息安全意识。
作者所在企业的信息网络基础平台关键设备和链路通常采取双机双链路方式部署,实现负载均衡和单点失效保护,利用可管理交换机、路由器、防火墙、防毒墙、上网行为管理、安全隔离网闸、堡垒机、统一认证平台、SSLVpn、ipS、iDS、waF等网络产品构建安全高效的信息网络基础架构平台,在设备选型时尽可能考虑厂家异构和产品异构,安全设备必须是国产自主知识产权产品,尽可能的规避由于产品和设备选型带来的安全风险。通过部署网管系统、it运维管理平台和安全运维管理平台SoC,既满足了信息安全运维管理的需要,同时也能满足国资委信息化检查和数据收集报送的需要。采取细分VLan来减少网络病毒影响的范围,防止类似aRp泛洪攻击,利用DHCp服务器绑定maC地址方法管理客户端ip地址,使用桌面安全管理系统有效管理和控制客户端,包括安全接入控制、安全策略管理、U盘等移动存储管理、资产管理、软件分发、补丁管理、员工行为等管理。网络管理人员在上述系统的辅助下及时对实时运行的网络进行分析和管控,预判故障和攻击行为,实行主动防御、及时处理,将这些对智能电网建设和运行中可能发生的不安全因素,消灭在萌芽状态之中。
随着企业网络建设规模的不断扩大及上网人员用户的增加,不可避免带来泄密隐患。企业必须正视现实,处理好安全与应用方便性之间的关系,提高认识,高度重视信息网络安全问题。对于因特网的弊端,不能矫枉过正,不能因为因特网对企业信息安全形成了巨大威胁,就强制要求所有单位和用户断开与因特网的连接,这样无异于“因噎废食”。在当前“双网隔离”不失为一种有效的解决方案,然后通过安全分区域防护,部署相应安全产品和系统保证各业务应用系统和各种客户端在授权模式下,都能安全访问所需业务并实现事后追踪审计。当然双网隔离的应用不但没有降低对管理的要求,反而带来新的管理问题,对管理要求日渐提升。我们要以“三分技术、七分管理”作为信息安全管理基本原则,其中最重要的还是人,我们不要太崇拜技术,人的安全意识提高才是最重要的,现在很多信息网络基础平台建设很全面,安全制度制定得也很完善,但在执行过程中,常常被打破,被忽视,现在其实缺乏的不是技术,很多时候欠缺的是一个完善的体系化的管理机制。
参考文献
[1]刘勃然,黄凤志.美国《网络空间国际战略》评析.东北亚论坛,2012年3期
[2]孙军军,赵明清,李辉,冯梅.企业信息安全现状与发展趋势分析.信息网络安全,2012年10期