网络安全防控体系篇1
关键词:电力监控;网络安全;系统;安全防护
引言
近些年来,随着电力系统的进步和发展,电力系统的自动化、信息化、智能化技术得到了更为有力的技术支持。但作为不少国家重要的“网络战场”,电力监控系统的安全问题显得越发突出,如何确保电力系统能足够安全、稳定地运行成为现阶段电力企业建设发展的主要研究对象。当前各地的电力监控系统网络安全水平参差不齐,如何使各地电力监控网络安全水平达到统一,是一个亟待解决的难题。
1电力监控系统网络安全防护现状
网络安全隐患从软件向硬件延伸,系统网络安全情况不容乐观,这引起我国相关行业主管部门高度重视,2002年原国家经贸委《电网和电厂计算机监控系统及调度数据网络安全防护规定》,2005年原国家电监会《电力二次系统安全防护规定》,2014年国家发改委《电力监控系统安全防护规定》,2016年工信部《工业控制系统信息安全防护指南》提出了11项工控网络安全重要措施,2017年全国人大颁布的《中华人民共和国网络安全法》,在我国相关政策法规的指导下,电力行业用了将近20年的时间,建立了比较完善的电力监控系统网络安全防护体系。从2016年工信部的《工业控制系统信息安全防护指南》以来,强化了电力行业对生产控制大区的动态实时感知,并且升级了关键网络安全实施,同时建立网络安全专职机构队伍,从而完善电力监控系统安全防护体系,并保证了电力系统安全稳定的运行。计算机监控系统是电力系统的主要组成部分,并且对电力系统的安全可靠运行有着重要的作用,在电力企业发展的过程中,计算机监控系统会因为多种原因而出现运行不畅的问题,导致无法安装安全防护软件和不能升级相关操作系统,这便是多数发电企业电力监控系统在运行的过程中所存在的安全隐患。所以按照网络安全分区的原则来讲,电力监控系统安全区的系统和其他系统之间是没有联系的,但如果出现病毒入侵的情况,就会导致不设防的其他系统处于危险的状况。所以需要相关电力系统工作人员,不断完善其网络安全防护工作,使电力系统运行能够有相对较高的安全性和可靠性。
2建设电力监控系统网络安全的范围与目标
电力监控系统网络安全防护工作由调控中心统一管理,设立网络安全管理专职,防范黑客及恶意代码等对电力监控系统发起攻击和侵害,特别是抵御集团式攻击,防止电力监控系统瘫痪。同时也要完成以下安全防护指标:地调安全防护专业人员配备率100%;厂站安全防护纵向加密设备覆盖率100%;内网安全监视平台覆盖率100%;控制功能调度数字证书覆盖率100%;地调管辖发电厂电力监控系统安全防护方案审核完成率100%;厂站安全防护纵向加密设备密通率不小于90%。同时,使各地电力监控网络安全水平达到一致。
3电力监控系统网络安全防护的关键技术
3.1风险评估技术
在安全防护技术中,风险评估是非常重要的一项技术,是对主机的风险泄露和通过网络远程监控其他主机风险漏洞的分析,风险评估系统的主要工作目标便是服务器、工作站和数据库等,利用网络安全监测装置扫描监控目标可能存在的风险隐患。并对其安全性和风险程度进行分析,确定系统网络信息是否安全,并对系统网络信息的安全性提出具体整改建议。在进行风险评估技术时,也经常会利用网络漏洞扫描方式。在信息安全防护过程中,风险评估主要是一种辅助手段,还需要利用Vpn、防火墙比如氢检测的方式来完成信息安全防护工作。
3.2物理隔离技术
“安全分区,网络专用,横向隔离,纵向认证”中的横向隔离便是主要依赖物理隔离技术,在网络边界防护中,必须采用经国家指定部门检测认证的横向安全隔离装置连接2个独立的主机系统,这样能够保证不直接连通并且传输和共享数据资源。目前的物理隔离技术主要使用的有实时开关、单向连接和网络交换器这三种隔离装置。其中实时开关可以实现在同一时间隔离内外网络,并且实现数据联通进行快速的处理数据。再连接一个网络获取数据,然后转动开关到另一个网络,将之前获取的数据传输到另一个网络,能够快速地在两个网络之间移动数据,并且实现实时处理的效果。同时在传输数据时,实时开关会终止网络连接,这便不会存在漏洞风险,与此同时还能够利用实时开关避免遭到病毒侵害。单向连接指的便是单向地从源网向目的网传输数据,这样便成为了一个“只读”网络,同时数据不能反向向源网传输,单向连接需要利用硬件实现,因为这样可以避免数据传错。而网络交换器指的便是一台计算机中有两个虚拟机,在一个虚拟机当中写入数据,然后再传输到另一个虚拟机中。在传输数据过程中速度会相对较慢,无法实现实时工作。所以网络转换器通常都具备双接口的硬件卡,双接口都连接着相互隔离的网络,但在同一时间只能激活一个网络。
3.3SSL技术与ipSec技术
SSL协议主要利用传输层进行传输,在应用层影响下保护网络传输信息。它具有透明性、应用性和可移植性,SSL电力系统安全通道主要包括SSL服务器和SSL客户端,SSL客户端主要在浏览器上负责认证服务器端的实际深入,而SSL服务器是在weB服务器上负责实现客户端的身份验证。SSL可以使数据进行加密传输,并对数据保密性进行更好地保护,利用maC来保护信息的完整度,然后再通过数字证书来验证发送者与接受者的身份。ipSec是利用aH协议与eSp协议实现安全性,ipSec可以提供各种安全服务,利用身份认证制实施访问控制,在通信前通过iKe协商Sa,然后利用公钥签名机制进行身份验证,ip-Sec可以在数据包发放前利用信息鉴别机制实施数据源认证,然后应用信息鉴别法计算maC,采用HmaC输入部分信息与密钥,输出maC,在接收到ip数据包后在用相同的方式计算数据,在获取的数据完全相同后,便表示数据通过验证。
4电力监控网络安全的建设内容
4.1成立工作小组
成立以调控中心主任为工作小组组长的组织机构,工作小组成员包含:主站自化、运检部自动化、调度自动化、通信管理员、并网电厂负责人,负责统筹与管理,下面又有着实际操作者,与工作管理人员在网络安全监控管理本地管理工作开展中,在实际管理的过程中,不同角色之间所承担的管理责任有所不同。如管理员能够对安全监测装置进行时区管理、进程管理、用户操作管理等;操作者则需要强大的知识量来负责各个部门不同的网络安全工作。上下配合,才能做好电力监控网络安全建设。
4.2网络安全监测装置的功能实施
在网络安全监测装置功能实施之前,需要能够实现对该装置的安装,首先需要注意安装布线,完成网络安全监测装置的设备上架及网络布线,在接线的工作完成之后,对接入的设备进行及时的软硬件的更新和升级,并且根据实际的运行,使用相关的运行数据进行适当的修改和调整。按照国家能源局〔2015〕36号文件及部分省电力公司调度的要求,35kV及以上电压等级并网发电厂,要求在一、二区部署网络安全监测装置。
4.3制订安全防护方案
根据《关于发电企业电力监控系统安全防护工作要求的通知》,加强发电企业的电力监控系统的安全防护管理。第一,项目在前期的评审期间,根据“安全分区,网络专用,横向隔离,纵向认证”的基本原则,要求发电企业分区配置接入相应的加密认证装置、物理隔离装置、防火墙等相关安全设备。第二,主厂站专门对安全设备进行联合调试,调试完成后进行现场检查验收,严格要求完全通过验证流程。第三,部署入侵检测系统。具有等保二级系统的发电厂,需要主动部署入侵检测系统,实现对数据网数据的全监视,提前发现入侵行为。并在其他方面要求发电企业制定内部安全管理制度,明确网络安全管理措施与网络安全负责人,要求发电企业制定网络安全事件应急预案,并且需要进行定期的演练。
网络安全防控体系篇2
关键词:医院;信息化;网络;安全
中图分类号:tp309.2
随着医改的不断深入,借助信息化提高医院的管理水平和服务质量已成为大势所趋,伴着网络技术的迅猛发展,web化应用呈现出爆发式增长趋势,一方面,增强了各行业及部门间的协作能力,提高了生产效率,另一方面也不可避免的带来了新的安全威胁。从国家到地方,卫生行政主管部门非常重视医院信息安全,与公安部门联合发文,要求医院完成等级保护工作。
1我院网络安全建设现状
1.1医院信息系统现状
我院的信息信息系统主要有:医院信息管理系统(HiS)、医学影像信息系统(paCS)、临床实验室检验信息系统(LiS)、电子病历系统(emR)、手术麻醉信息系统(aimS)、医院办公自动化系统(Hoa)等。随着各系统应用的不断深入,以及这些系统与医保、合疗、健康档案、财务、银行一卡通等系统的直连,安全问题已越来越突显,网络安全作为信息安全的基础,变得尤为重要。
1.2网络安全现状与不足
1.2.1网络安全现状
(1)我们采用内外网物理隔离,内网所有U口禁用。对开放的U口通过北信源的桌面管理软件进行管理;(2)内外网都使用了赛门铁克的网络杀毒软件,对网络病毒进行了防范;(3)与外部连接。
内网与省医保是通过思科防火墙、路由器和医保专线连接进行通信;与市医保是通过联想网御的网闸、医保路由器与医保专线连接进行通信;与合疗及虚拟桌面是通过绿盟的下一代防火墙与互联网进行通信;与健康档案是通过天融信的Vpn与互联网进行通信的。另外,内网与财务专用软件、一卡通也是通过网闸及防火墙进行通信的。
另外,我们有较完善的网络安全管理制度体系,这里不再赘述。
1.2.2网络安全存在的问题
(1)由于医院信息系统与外部业务连接不断增长,专线与安全设备比较繁杂,运维复杂度较高;(2)通过部署网络杀毒软件及安全设备,虽然提升了网络的安全性,但却带来了系统性能下降的问题,如何在不过多影响整体网络性能的前提下,又可以完善整网的安全策略的部署,是后续网络优化所需要重点关注的;(3)终端用户接入网络后所进行的网络访问行为无法进行审计和追溯。
2医院网络层安全策略部署规划
在等级保护安全策略指导下,我们将整个医院的安全保障体系设计分为安全管理体系建设和安全技术体系建设两个方面,其中安全技术体系建设的内容包括安全基础设施(主要包括安全网关、入侵防护系统、安全审计系统等),安全管理体系建设的内容包括组织、制度、管理手段等。通过建立医院安全技术体系、安全服务体系和安全管理体系,提供身份认证、访问控制、抗抵赖和数据机密性、完整性、可用性、可控性等安全服务,形成集防护、检测、响应于一体的安全防护体系,实现实体安全、应用安全、系统安全、网络安全、管理安全,以满足医院安全的需求[1]。
在这里,我主要从安全技术体系建设方面阐述医院网络层安全策略。
网络层安全主要涉及的方面包括结构安全、访问控制、安全审计、入侵防范、恶意代码防范、网络设备防护几大类安全控制。
2.1安全域划分[2]
2.1.1安全域划分原则
(1)业务保障原则。安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率;(2)适度安全原则。在安全域划分时会面临有些业务紧密相连,但是根据安全要求(信息密级要求,访问应用要求等)又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强性划分,还是合并安全域以满足业务要求?必须综合考虑业务隔离的难度和合并安全域的风险(会出现有些资产保护级别不够),从而给出合适的安全域划分;(3)结构简化原则。安全域方法的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难;(4)等级保护原则。安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级安全环境安全策略等;(5)立体协防原则。安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路网络主机系统应用等层次;同时,在部署安全域防护体系的时候,要综合运用身份鉴别访问控制检测审计链路冗余内容检测等各种安全功能实现协防;(6)生命周期原则。对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。
2.2.2区域划分
业务网内部根据业务类型及安全需求划分为如图1所示的几个个安全区域,也可以根据医院自己的业务实际情况,添加删减相关的安全域,网络规划拓扑图[3]如下:
图1
(1)外联区:主要与医保网、外联单位进行互联,此区域与数据中心核心交换机互联;在外联区接入处部署防火墙、ipS、硬件杀毒墙,也可以部署下一代防火墙产品,添加ipS功能模块、杀毒功能模块,通过防火墙、ipS、杀毒进行访问控制,实现安全隔离;与数据中心核心交换机处部署网闸设备,实现物理隔离;(2)运维管理区:主要负责运维管理医院信息化系统,此区域与数据中心核心交换机互联;在运维管理区与核心交换机之间部署堡垒机(SaS-H),对运维操作进行身份识别与行为管控;部署远程安全评估系统(RSaS),对系统的漏洞进行安全评估;部署安全配置核查系统,对系统的安全配置做定期检查;部署日志管理软件,对网络设备、安全设备、重要服务器的日志做收集整理和报表呈现;部署网络版杀毒系统,与硬件杀毒墙非同一品牌;部署网络审计系统,对全网所有用户行为进行网络审计;部署主机加固系统,对重要服务器定期进行安全加固,以符合等保的安全配置要求;(3)办公接入区:主要负责在住院部大楼、门急诊楼、公寓后勤楼等办公用户的网络接入;接入汇聚交换机旁路部署iDS;与核心交换机接入采用防火墙进行访问控制;重要办公用户安装桌面终端系统控制非法接入问题;(4)核心交换区:主要负责各个安全域的接入与VLan之间的访问控制;在两台核心交换机上采用防火墙板卡,来实现各个区域的访问控制。在核心交换机旁路部署安全审计系统,对全网数据进行内容审计,可以与运维管理区的网络审计使用同一台;(5)互联网接入区:主要负责为办公区用户访问互联网提供服务,以及互联网用户访问门户网站及网上预约等业务提供服务;在互联网出口处,部署负载均衡设备对链路做负载处理;部署下一代防火墙设备(ipS+aV+行为管理),对进出互联网的数据进行安全审计和管控;在门户服务器与汇聚交换机之间部署硬件weB应用防火墙,对weB服务器进行安全防护;在门户服务器上安装防篡改软件,来实现对服务器的防篡改的要求;部署网闸系统,实现互联网与业务内网的物理隔离要求;(6)数据中心区:此区域主要为医院信息系统防护的核心,可分为关键业务服务器群和非关键业务服务器群,为整个医院内网业务提供运算平台;在非关键业务服务器群与核心交换区之间部署防火墙和入侵保护系统,对服务器做基础的安全防护;在关键业务服务器群与核心交换机之间部署防火墙、入侵保护系统、weB应用防护系统,对服务器做安全防护;(7)开发测试区:为软件开发机第三方运维人员提供接入医院内网服务,与核心交换机互联;部署防火墙进行访问控制,所有的开发测试区的用户必须通过堡垒机访问医院内网;(8)存储备份区:此区域主要为医院信息化系统数据做存储备份,与核心交换机互联。
2.2边界访问控制[1]
在网络结构中,需要对各区域的边界进行访问控制,对于医院外网边界、数据交换区边界、应用服务区域边界及核心数据区边界,需采取部署防火墙的方式实现高级别的访问控制,各区域访问控制方式说明如下:
(1)外联区:通过部署高性能防火墙,实现数据中心网络与医院外网之间的访问控制;(2)核心交换区:通过核心交换机的VLan划分、访问控制列表以及在出口处部署防火墙实现对数据交换区的访问控制;(3)数据中心区:通过核心交换机的VLan划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制;(4)运维区:通过核心交换机的VLan划分、访问控制列表以及在出口处部署防火墙实现对核心数据区的访问控制;(5)互联网区:与内网核心交换区采用网闸系统进行物理隔离;与互联网出口采用防火墙实现访问控制;(6)开发测试区:通过核心交换机的VLan划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制;(7)办公网接入区:通过核心交换机的VLan划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制;(8)备份存储区:通过核心交换机的VLan划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制。
2.3网络审计[1]
网络安全审计系统主要用于监视并记录网络中的各类操作,侦查系统中存在的现有和潜在的威胁,实时地综合分析出网络中发生的安全事件,包括各种外部事件和内部事件。在数据中心核心交换机处旁路部署网络行为监控与审计系统,形成对全网网络数据的流量检测并进行相应安全审计,同时和其他网络安全设备共同为集中安全管理提供监控数据用于分析及检测。
网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据汇聚点设备上,对网络中的数据包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、信息还原等网络审计功能,根据记录生成详细的审计报表。网络行为监控和审计系统采取旁路技术,不用在目标主机中安装任何组件。同时玩了个审计系统可以与其他网络安全设备进行联动,将各自的监控记录送往安全管理安全域中的安全管理服务器,集中对网络异常、攻击和病毒进行分析和检测。
2.4网络入侵防范[1]
根据数据中心的业务安全需求和等级保护三级对入侵防范的要求,需要在网络中部署入侵防护产品。
入侵防护和产品通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测产品应支持深度内容检测、技术。配合实时更新的入侵攻击特征库,可检测网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁。当检测到攻击行为时,记录攻击源ip、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
入侵防护产品部署在数据中心与核心交换机之间,继防火墙边界访问控制后的第二道防线。
2.5边界恶意代码防范[1]
根据数据中心业务风险分析和等级保护三级对边界恶意代码防范的要求,需要在互联网边界部署防病毒产品,也可以在下一代防火墙添加防病毒模块来实现此功能;防病毒产品应具备针对Http、Ftp、Smtp、pop3、imap以及mSn协议的内容检查、清除病毒的能力。支持查杀引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本等各种恶意代码,并定期提供对病毒库版本的升级。
2.6网络设备保护[1]
对于网络中关键的交换机、路由器设备,也需要采用一定的安全设置及安全保障手段来实现网络层的控制。主要是根据等级保护基本要求配置网络设备自身的身份鉴别与权限控制,包括:登录地址、标识符、口令复杂度、失败处理、传输加密、特权用户权限分配等方面对网络设备进行安全加固。
由于不同网络设备安全配置的不同、配置维护工作繁杂,且信息安全是动态变化的,因此这里推荐通过自动化的配置核查设备,对网络层面和主机层的安全配置进行定期扫描核查,及时发现不满足基线要求的相关配置,并根据等级保护的安全配置要求提供相对应的安全配置加固指导。
3结束语
通过以上六个方面的安全加固,重点解决了医院当前网络安全环境中面临的主要问题。随着医院数字化进程的不断深入,我们还将重点跟踪网络安全方面出现的新问题、新的技术思路和新的技术解决方案,做好医院的网络安全工作,为医院信息化建设保驾护航。
目前,网络已经深刻影响与改变现有的医疗模式[4],网络安全已成为医院信息化建设中的重中之重,它是一项复杂而艰巨的系统工程,需全方位入手,切实保障医院各信息系统安全稳定的运行、医院各项工作顺利的开展,真正为广大患者提供优质便捷的服务。
参考文献:
[1]GB/t22239-2008,信息系统安全等级保护基本要求[S].
[2]GB/t9387.2-1995,开放系统互连基本参考模型第2部分:安全体系结构《医疗机构》,p14-p18:安全服务与安全机制的配置[S].
[3]iSo10181:1996信息技术开放系统互连开放系统安全框架[S].
[4]陈理兵,陈起燕.论医院网络应用系统的安全设计[J].福建电脑,2013(11).
网络安全防控体系篇3
1.1物理层边界限制模糊
近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。
1.2入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2.构建企业网络安全防护体系
2.1企业网络安全防护体系构建目标
结合企业网络的安全目标、使用主体、性质等因素,合理划分企业逻辑子网,对不同的逻辑子网设置不同的安全防护体系,加强网络边界控制和安全访问控制,保持区域之间的信任关系,构建企业网络安全防护体系,实现网络安全目标:第一,将大型的、复杂的企业网络安全问题转化为小区域的、简单的安全防护问题,有效控制企业网络系统风险,提高网络安全;第二,合理划分企业网络安全域,优化网络架构,实现企业网络安全设计、规划和入网;第三,明确企业网络各个区域的安全防护难点和重点,加大安全设备投入量,提高企业网络安全设备的利用率;第四,加强企业网络运行维护,合理部署企业网络的审计设备,提供全面的网络审核和检查依据,为企业构建网络安全防护体系提供重要参考。
2.2合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。首先,根据业务需求,可以将企业网络分为两部分:外网和内网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
2.3基于入侵检测的动态防护
随着网络技术的快速发展,企业网络面临的安全威胁也不断发生变化,网络攻击手段日益多样化,新病毒不断涌现,因此企业网络安全防护体系构建应适应网络发展和变化,综合考虑工作人员、防护策略、防护技术等多方面的因素,实现基于入侵检测的动态防护。基于入侵检测的动态防护主要包括备份恢复、风险分析、应急机制、入侵检测和安全防护,以入侵检测为基础,一旦检测到企业网络的入侵威胁,网络系统立即启动应急机制,如果检测到企业网络系统已经受到损坏,可利用备份恢复机制,及时恢复企业网络设置,确保企业网络的安全运行。通过动态安全防护策略,利用动态反馈机制,提高企业网络的风险评估分析能力和主动防御能力。
2.4分层纵深安全防护策略
企业网络安全防护最常见的是设置防火墙,但是网络安全风险可能存在于企业网络的各个层次,防火墙的安全防护作用比较有限。企业网络可采用分层纵深安全防护策略,保障网络安全防护的深度和广度,构建高效、综合、全面的安全防护体系,对于企业网络中的应用层、数据层、系统层、网络层和物理层分别采用信息保护、应用系统安全防护、数据库安全防护、操作系统安全防护、网络保护、物理安全保护等防护手段,根据不同网络系统的特点,有针对性地进行安全防护,例如,在网络层可利用资源控制模块和访问控制模块,加强对网络节点的访问控制,在企业网络的应用层和数据层设置身份授权和认证系统,避免用户的违规操作和越权操作。又例如,由于网络环境比较复杂,可在企业网络的应用层、数据层和系统层,设置网络监控和检测模块,保护企业网络的服务器,防止权限滥用和误操作。
3.结语
网络安全防控体系篇4
关键词:边界防护;安全域划分;入侵检测;等级保护
中图分类号:tm247文献标识码:a文章编号:
0引言
随着电网公司SG186工程的实施和信息化建设的逐步推进,重要应用系统已集中部署到省公司,市级电力企业将主要负责数据采集和网络实时传输工作,信息网络的安全稳定性将直接影响信息系统的安全、可靠。电力企业通过网络分区分域、边界防护、规范安全配置及部署网络监测防护等手段,建立信息网络安全防护体系,提高了信息安全运行水平。
1企业信息网分区分域
1.1信息网络分区
电力企业信息网络分为信息外网区和信息内网区。结合资金、通道资源等因素考虑,省、地、县信息广域骨干网将做内外网逻辑隔离,全部骨干网节点上投运具备mpLS-Vpn功能的高端路由器设备,信息外网以信息内网为承载网,开通mpLS-Vpn通道到各地、县本地网接入点,地、县本地局域网以物理隔离方式分别组建信息内网和信息外网实现内外网隔离。
1.2安全域建设
网络安全的基本策略是进行安全区域划分,根据信息业务安全等级差异可划分不同安全等级的区域,实现对安全风险的有效隔离。市级电力企业主要的营销管理系统、生产管理系统、协同办公系统等已全部集中部署在省公司,因此在市公司中,系统均为二级系统。根据网络安全域与网络功能区相匹配的原则,信息内网安全域可划分为系统服务器域和内网终端域两个,并通过防火墙实现安全风险隔离。信息外网因没有对外业务应用系统,全部为外网终端,因此外网只有外网终端域。信息内网网络示意图如图1所示:
图1信息内网网络示意图
2网络边界防护
边界防护是指网络区域间和区域内所有网络流量必须在明确的策略允许下进行传输,数据流进行严格的控制,包括数据流的源和目的地址,控制精度达到端口级,默认拒绝所有不确定的数据流。边界的隔离防护功能可以从物理上实现,也可在网络层和系统层实现。市级电力企业信息内外网实现物理隔离方式,信息内网不存在第三方边界,信息内网的网络边界根据区域网络数据流向划分为纵向边界、横向边界和终端接入边界。划分示意图如图2所示。
图2边界划分示意图
2.1纵向边界防护
市级信息网络纵向边界分为上联省公司边界和下联县级公司边界两部分,边界划分和隔离方式基本相同,采用BGp协议划分不同的自治系统域网络边界,以口字形方式双机冗余连接,部署防火墙做网络边界隔离,通过防火墙的访问控制策略实现数据流的纵向访问控制防护。
2.2横向边界防护
市级信息网络横向边界分为安全域间边界防护和网段间防护。安全域边界防护采用防火墙作边界安全策略配置,实现服务器域和内网终端域间的安全访问控制;网段间防护包括服务器网段VLan划分和内网终端域网段VLan划分,通过在网络设备层上配置详细的VLan访问控制策略实现网段间的边界防护。
2.3终端接入边界防护
终端接入边界防护主要是计算机终端和接入层交换机的安全接入控制,包括设备接入许可控制和外联阻断。设备接入控制采用网络层的ip-maC地址绑定功能做接入许可控制,并在网络设备端作端口访问控制策略;外联阻断控制是部署终端管理系统实时对设备外联进行检测,如有连接外网可主动发起阻断操作并告警,通过应用系统层做边界接入防护。
3规范网络安全配置
网络安全威胁是实际存在的,网络本身的安全性配置是网络系统的安全基础,可最大程度地降低网络层的攻击威胁。如何正确有效地启用各类网络安全配置是网络日常维护深入的重点。网络设备安全配置总体包括网络服务、网络协议和网络访问控制三方面。以cisco网络设备为例,列举以下安全配置:
4网络安全监测防护
4.1网络管理系统
网管系统可对网络设备进行远程管理和状态监控,实现对网络内所有网络设备的告警监测和故障定位,使用运行管理功能能提供网络故障预警、故障定位。同时能确定网络设备CpU、内存的负荷、站点的可到达性、网络链路流量、传输速率、带宽利用率、时延、丢包等。并发现系统的物理连接和系统配置的问题,进而优化网络性能、提高网络运行效益。是网络管理员管理网络的重要手段。
4.2入侵检测系统
人侵检测系统能提供安全审计、监视、攻击识别和防攻击等多项功能;具有事前警告、事中防护和事后取证等特点;可以监视用户和系统的运行状态,查找非法用户和合法用户的越权操作;检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞。通过入侵检测系统,管理员能实时检测到用户网络受攻击行为,并即时采取应急措施。
4.3漏洞扫描系统
漏洞扫描系统将网络、主机和桌面终端的系统配置信息进行漏洞规则匹配分析,能即时检测到网络上各设备的系统漏洞,发现系统隐患及脆弱点,能通过补丁更新系统更新。
4.4日志审计系统
日志审计系统能将网络设备、防火墙设备、入侵检测及主机系统的日志数据进行采集、分析和识别,对各类事件归类汇总分析,实时定位网络安全事件的准确性,并进行报警响应。
4.5防病毒系统
计算机病毒是造成网络大规模瘫痪的重要原因,通过防病毒系统对病毒感染传播的遏制,是网络安全的重要防护手段。终端防病毒软件安装率是电力企业信息安全考核的重要指标。
网络安全防控体系篇5
【关键词】网络信息安全检察内网保障措施
伴随着检察机关科技强检的逐步推进,计算机网络技术在检察工作中的应用日趋普及极大的提高了检察事务的工作效率,但其安全性和互联性问题也更加突出。因此如何在检察信息化发展大趋势下防范可能存在的安全隐患,保障网络信息的安全性、可控性、完整性、可用性,将是一个严峻的问题。
因此,在检察机关设计建设网络时,必须严格按照信息安全保密技术规范执行,建立起安全可靠实用的防护网络,从而从技术层面防止检察机关信息泄露,让网络技术在检察机关中发挥更大作用,主要从以下几个方面进行探究。
1网络信息安全概述
网络信息安全是指网络系统中的硬件、软件及其产生的数据信息不受到偶然或者恶意的一些原因造成对计算机系统网络的破坏、泄露、更改、删除,保障系统可靠正常运行。
计算机信息安全从其本质上来说是网络上信息的保密性、完整性、可控性、可用性的研究领域。网络安全是一门涉及计算机科学、信息技术、网络通信、密码学、信息安全、应用数学、信息论等诸多学科的综合性学科。
2检察网络信息安全的需求
检察院网络信息系统在检察业务中所要处理的信息都涉及到保密和限制信息,因此需要一个统一的安全策略和实施方案。
网络信息安全需求主要包括以下几个方面:
实现网络保密管理:信息不泄露给非授权实体,一般采用对信息进行加密处理并对信息划分访问权限设置层级,网络系统根据身份权限控制对不同信息密级的访问。此外建立网络保密安全体系,切实加强信息化保密建设,提高全体干警的保密意识,广泛培训提高操作人员水平,防止因操作失误造成的泄密也很重要。在检察机关统一的应用平台上集中处理所有涉及的数据处理问题。
完善网络安全管理:需要建立长期有效便捷的安全管理机制,规范管理所涉及的安全问题,建立长期制度防范安全隐患。制定信息安全管理手册,明确检察系统网络信息安全建设要求,严格执行安全管理规范。有效划分已有网络,严格隔离外网内网,划分安全域和子网,建设可信化程度高的网络环境。集成网络各环节,整合防火墙、入侵检验防护、审计审查、杀毒软件等技术环节,构造起可靠安全的计算机网络信息安全防护体系。
保障物理安全管理:对于传输介质及网络设备进行保护和管理,制定机房和网络硬件相关标准和制度。保障物理安全就是保护计算机网络系统、网络服务器、传输介质、交换机等实体和通信链路免受认为损坏、自然破坏,因此制定对设备的安全性指标确保计算机网络系统有一个良好的电磁环境尤为重要。
3检察网络信息安全存在的问题分析
检察网络信息安全存在的主要安全问题来自以下几个方面:
网络病毒问题:随着计算机网络技术的发展繁多的网络病毒威胁着计算机系统。它们导致网络效率低下,数据和程序被破坏。检察机关所要处理的信息量大,事务多,应用复杂,用户权限安全性高,对访问机密信息,篡改数据等病毒程序防范问题要求高。
网络系统漏洞问题:网络系统大多注重对来自外面侵入的防护而对于内部针对网络设施和系统应用服务的攻击关注较少,这样很可能造成网络服务不可用、数据篡改泄密。网络软件自身的缺陷也造成一些恶意人员通过“后门”窃取信息,造成后果不堪设想。
设备安全问题:设备安全是指存储介质或者通信、系统介质层面上对信息安全的防护,如通信线路、光纤、局域网造成破坏造成的网络故障和泄密问题。
4检察网络信息安全问题解决途径
最高人民检察院曾多次发文要求做好信息安全保护工作,明确内外网物理隔离,如需信息交互必须采用设备等防范措施。
针对上述问题检察网络信息保护策略主要有以下几个方面:
建立完善的网络安全制度:根据本单位实际情况制定切实可行的安全管理制并严格落实。制定检察网络操作安全制度、设备安全制度、机房巡查制度、安全操作制度、密钥安全制度等。
加强网络访问控制和安全防护:网络访问控制是网络安全的核心,也是维护网络信息安全的重要措施。
(1)网络权限控制:网络权限控制是指用户被赋予一定权限,从而能在网络中执行某些操作的过程。它不仅限制了访问系统资源的用户,也能随时对非法侵入进行拦截。针对检察局域网进行合理的安全边界划分,对不同的网络安全域采用不同的安全策略。针对用户口令的识别和账号的检查也能提高网络安全。
(2)网络服务器安全:网络服务器可以允许一系列网络交换、数据通信服务,用户通过服务器可以共享网络资源。通过检察网络服务器可以实现对软件客户端的安装和卸载,也可以监控整个网络的安全运行。网络服务器的安全设置包括用户口令设置,防止非法用户对重要数据的修改、删除等操作,限制非授权访问。
(3)网络防火墙保护:网络防火墙是要隔在网络内部、外部之间的一个安全控制软件,它可以实现对访问的监控和服务的审计控制。通过防火墙可以实现网络监控防止外部入侵,从而保护网络不受攻击。目前防火墙主要有包过滤防火墙、双穴主机防火墙、防火墙等。
(4)外部入侵检测监控:虽然防火墙可以抵挡绝大部分网络威胁但是对于内部的攻击却无能为力。因此动态监控网络数据,遇到入侵时及时作出相应响应显得十分重要。检察网络入侵检测可以对非法网络访问起到预警和拒绝作用,从而保护信息网络的安全。
(5)网络信息加密保护:对数据加密可以保护检察内网的信息安全。
(6)网络病毒软件防护:使用网络防病毒软件,统一对病毒库升级,实现对检察内网的保护。
网络信息安全保护是检察机关信息化安全体系的一个重要内容,为了适应检察机关信息化发展对网络安全的需求,必须从各方面解决网络安全问题,以网络安全为课题的研究将是一个长期的过程。
参考文献
[1]桂小林.网络技术导论[m].北京:北京邮电大学出版社,2006(08).
[2]何小虎.网络安全与防火墙技术[J].黑龙江科技信息,2010(23).
[3]周波.网络安全工程的实践与研究[D].四川大学,2005(06).
网络安全防控体系篇6
关键词:水泥厂工控;网络安全;防护建设
近年来,水泥企业信息化和智能化建设发展迅速,抓住了智能制造发展的制高点,信息化是水泥企业信息化建设的必由之路,对企业管理,企业生产和节能降耗都产生了很大的效果。但是对于网络的运行控制和安全保障已成为水泥厂发展中的智能制造问题。为实现企业的转型,我公司介绍了建设和网络安全管理的方法和经验。
1运行控制与网络安全建设背景
1.1信息化建设
在信息化建设初期,我公司的网络安全还不完善,在信息化和智能化建设方面,没有考虑网络管理和安全问题。但在施工过程中,网络安全越来越重要,在实施过程中发现了以下问题:比如opC协议是目前以信息为基础的通信方式,是实现建筑信息智能传输的重要通信方式,当前正在解决信息隔离问题。公司能源管理系统数据和DCS系统监控数据应通过opC通信进行隔离和控制,方便员工使用。在出差过程中快速监控直流生产和生产画面,为了监控数据和曲线,我公司采用智能集成工厂,并在手机上安装移动工厂应用程序。在保证网络安全的前提下,我们可以对公司生产的图像进行监控,但是如何管理数据通过网络在手机上移动,基于前面应用实现的方便性,没有必要的安全设施,生产系统的安全是否得到保证。目前,智能物流广泛应用于水泥行业,销售系统和生产统计等其他系统以及数据通信量最大的系统具有最高的安全性。生产原材料多个生产和办公系统缺乏主机管理和控制软件及防病毒,导致控制自动化系统各设备的USB接口,缺乏有效的移动媒体控制状态。系统维护工程师必须定期复制数据,操作人员也可以秘密使用USB接口,存在较大的网络风险。因为发生网络安全事件会导致整个工厂系统瘫痪、服务器崩溃和数据损失等严重后果。我公司从2020年开始实施网络升级改造,优化和提高了管理网络和生产网络的安全性[1-3]。
1.2信息安全保护发展
新的应用没有等级保护标准,缺乏完整的风险评估和安全监测系统,因此很难适应互联网信息安全保护的要求,为了适应新技术和新的应用发展,满足各种系统等级保护的需求威海工业控制领域的云计算,信息系统等方面提供了重要保证,以重要保证为基础,目前工业控制系统网络安全保护还不够,工业控制系统网络安全保护的必要性分析工业控制系统需要使用的许多控制系统,包括,产业生产中监控系统,数据采集系统和分布式控制系统,如pLC等应用广泛,与人们的生产和生活密切相关,本文分析了他面临的威胁。
1.3工业控制系统网络安全事件分析
2019年出现的第一个控制系统,打破离心分离器运行的产业控制器,建立了一个全新的脚本技术和适应大规模应用的完美安全保护体系。祝贺很重要。2018年,黑客利用工业恶性软件攻击乌克兰的一个变电站,导致基辅等地区的供电中断,使用软件自动运行,导致机器控制系统无法正常运行因此,电力网和其他基础设施的安全受到了严重的威胁。例如,2017年有100多个地区受到威胁软件感染的影响,中国的石油和交通受到影响,造成严重后果。
1.4工业控制系统网络应用
目前这些系统由于需求不足,各种业务系统存在潜在的安全隐患,比如远程访问保护要求,大多数工业控制和生产网络的远程维护都是由供应商提供的。渠道使用存在入侵风险。还有网络监控和审核要求,目前行业使用的各种监控软件和审计软件和基础设施还不完善,难以对数据进行有效的控制其次是操作系统漏洞管理需求;工业生产控制系统对网络的要求很高,这就给系统漏洞升级带来了难题,一旦出现安全漏洞,就会威胁到系统运行的安全;恶意代码风险防范要求,在工控系统应用中实际发生恶意代码时,存在着安装杀毒软件和安全隐患等安全防护缺失等重大风险。在分析网络安全需求的基础上,分析了网络安全对人身安全财产安全的影响,为保证网络安全运行所采取相应的措施,建立工业控制系统的网络安全保护策略,实施安全管理体系。根据安全防护工作要求设置专门的部门和人员,由安全管理人员和安全管理人员负责,组织网络安全委员会或领导小组。掌握具体工作,要求做好网络安全防护工作,并根据需要制定相应的管理制度和方法,实现岗位职责和资源的有效分工。配置足够的人力资源,确保网络安全工作的顺利进行,加强与安全供应商和企业的沟通,确保安全,及时掌握事态发展,定期进行安全检查。首先做好检查记录,编制安全检查报告,确保各项工作顺利完成,其次,建立安全管理机构,配备网络安全管理人员;安全管理体系能否有效启动,与组织机构组成、人员配置、工作要求、人力资源配置、协调指导密切相关。对实施网络安全管理等任务,建立有效的安全防护组织体系。加强安全施工管理,在安全施工管理方面,以信息系统的整个生命周期为中心实施安全管理措施,系统审核和控制安全等级等关键环节,加强安全运输和层次管理,结合网络安全威胁和风险的原因和特点,实施安全评价和安全强化,对机舱环境、漏洞和网络、实施设施安全运行维护管理等安全管理,有效变更备份及修复管理和各种安全事件。
1.5安全技术系统建设
安全通信网络设计技术体系和安全通信网络设计的重点是网络结构。利用关键网络设备和电脑设备,以不必要的结构划分安全区域,实现安全隔离。通信传输。使用密码确保通信的完整性和机密性。可以信赖的验证。对于产业控制和网络安全建设的总体规划,应该保护事务网络和管理网络的界限,并且在划分网络层次结构的同时,根据各信息系统的功能,将与管理系统有密切关系的系统划分为控制层,将系统数据并连接外部网络时系统分为电源管理系统等生产管理层,软件系统与管理系统的数据交流较少,企业管理中其他企业管理软件,如智能物流系统的数据交换较多的软件系统,在网络边界处配置入侵防御和防火墙安全产品,实时分析链接的传输数据,阻断链接隐藏的威胁。
1.6边界网络屏障设置
警戒保护并在相关控制系统中读取的所有数据通过网络屏障确保系统的安全。我公司拥有两个DCS系统,一个是加工品水泥生产线的DCS系统,另一个是起到外部控制作用的DCS系统,公司的两个工业控制系统的外部数据传输链接的出口端增加了产业防火墙。所有的管理系统都要通过防火墙来通讯外部数据。进行管理防止系统中未授权的程序和未知存储介质的运行,白色命名单系统由非系统管理者随意使用USB接口或随意复制或安装各种软件,对生产主机进行安全管理、提高设备运行能力,确保各生产业务系统的安全运行。对于安全区域边界设计内容包括警戒保护和入侵预防等,恶意代码和安全审计。对于正在运行的工业无线网络,无线ap或无线路由器由上述端口控制,例如在访问防火墙端口时,以工业防火墙为边界进行逻辑隔离,实现网络区域的有效隔离。从实施网络安全保护的角度分析了安全计算环境,安全计算环境的设计主要内容如下,首先是安全监控,由于工业控制系统的运行环境越来越复杂,新技术和新设备的广泛应用,对环境保护计算具有重要意义。利用数据库协议的分析和控制技术,可以达到阻塞危险命令、控制访问行为等目的。保护数据库运行安全。由安全管理中心建立的安全管理中心具有以下功能,基于工控系统安全管理平台,对登录人员进行动态认证。并且组织安全管理人员和监理人员的授权,实行统一调配管理,其次,还要进行安全监督管理;确认相应人员的身份并监督其工作,如工作日志和门禁等进行安全管理,最后通过集中管理和数据和信息的收集和分析,了解系统运行的安全状态,并采取设施安全防护措施。
2网络运行控制及具体实施
根据上述总体安全策略的要求,我们的办公网络和管理网络被划分为VLan,VLan将办公网络和管理网络隔离开来,我们还建造了办公室和机械宿舍,建筑细节如下,公司所使用的防火墙是可以将新的入侵防御系统与网络病毒过滤和杀灭相结合。根据实际管理和控制原则,各子网在网络区域内组织地址区域,避免广播风造成公司网络整体瘫痪,并确定网络故障点。从网络层面分为办公网络和工业控制网络,在两个网络隔离边界上设置网关,在网络隔离的基础上实现数据交换。公司从管理网读取DCS系统数据,并增加双向控制体系。我们公司有两套DCS系统,一个是水泥生产线的DCS系统,另一个是为了余热发电的DCS系统。在配套系统中增加moxa工业基地的交换机,对工业行为进行审查,通过镜像流动对整个网络进行流量审计和检查,建立专用作业控制运输管理区并通过产业防火墙隔离,设置主机白名单和漏洞扫描,确保网络安全和安全,除上述建设内容外,我公司将根据融合管理体系建立公司的机械住宅和网络布局完善是实现网络化和工业控制的必要手段,具体情况如下:公司已经建立了标准控制网络,并且要求机房独立连接接地网,在静电地板下用10毫米宽的铜箔设置屏蔽网格,确保整个机房连接良好,设置传感器系统,安装恒温系统和自动灭火系统,建立完整的同环检测平台,确保机房不断供电和火灾警报,公司的两个机房采用远程自动备份系统和自动备份服务器系统和软件数据,并可在网络空间发生灾难后迅速恢复,设置网络管理软件。主要是网络扫描,远程监控和警报管理。微信警告,支持网络管理多个资产许可证,便于网络管理,公司客房内多种通信专用线和联合线的双轨连接,确保公司网络实时正常运行,防止专用线路故障导致整个公司网络的瘫痪[4-5]。
3结束语
近年来,水泥企业信息化和智能化建设发展迅速,各企业纷纷实施信息化建设竞争,抓住了智能制造发展的制高点,信息化是水泥企业信息化建设的必由之路,对企业管理,企业生产和节能降耗都产生了很大的效果。但是对于网络的运行控制和安全保障已成为水泥厂发展中的智能制造问题。企业在改造后,公司网络系统运行稳定,网络不会出现由于间断而影响业务和生产,也不会发生系统或服务器中毒事件,各信息系统运行稳定。防火墙和防火墙形成的保护体系运行稳定,预防外部多次的网络入侵攻击和病毒。企业的网络系统结构具有良好的扩展性和安全性,在企业实施不同的信息化项目时,可以更加便利鲜明地将新系统配置在网络结构中,提高系统的线上效率和稳定运行。
参考文献
[1]杨永恩,张国恒.水泥厂工控及网络安全防护建设[J].水泥工程,2019(03):56-59.
[2]金世尧,刘俊.工业互联网在局域网中的安全问题剖析[J].科技风,2021(13):95-96.
[3]李杺恬,郭翔宇,宁黄江,李世斌.区块链技术在工业互联网中的应用及网络安全风险分析[J].工业技术创新,2021,08(02):37-42.
[4]樊佩茹,李俊,王冲华,张雪莹,郝志强.工业互联网供应链安全发展路径研究[J].中国工程科学,2021,23(02):56-64.
网络安全防控体系篇7
关键词:有线电视中心网络安全监控管理
一、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:
由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。
二、有线电视网络安全监控系统
有线电视网络安全监控系统是为保证有线电视网络安全和播出节目安全而研究开发的计算机监控系统。安全监控系统采用了具有高新科技含量的软、硬件技术手段,在保证本身系统安全的基础上,识别各种进入有线电视信号传输环节的非法节目以及报告传输网络的质量。
1、监控系统基本组成
监控系统包括四部分:数字台标机、远程可控监控器、远程监控信息回传网络和监控管理中心。
2、监控系统特点
(1)模块化设计,扩展性强;
(2)监测内容多,实时性强;
(3)报警时间快,定位准确;
(4)监测信号回传方便,适用于各种通信网络状况。
3、系统特点
安全监控系统针对有线电视网络安全监控特点,专门开发了数字台标机、远程监控机以及有线电视网络安全GiS监控中心软件平台,整个系统采用安全加密技术,在保证本身系统安全的基础上,实时监测所有频道,通过远程监测器回传网络接入系统可迅速识别各种进入有线电视信号传输环节的非法节目和传输网络的物理状况,并采取相应应急措施。同时安全监控系统的有线电视网络安全GiS监控中心软件平台采用模块化系统设计,具有功能配置灵活、兼容性强、扩展性强的特点,与目前利用导频技术,简单判别断线插入方式的系统相比,此系统判别故障方式多,准确性高,更加安全可靠,是最适合于有线电视网络安全监测的系统。
三、安全管理措施
综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:
1、针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,应选用RealSecureSystemagent和networkengine。其中,RealSecureSystemagent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemagent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。
2、针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。
本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。
3、针对病毒感染的问题
病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:Symantecantivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。
4、针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,安全的配置是首要的。对于本中心来说主要需要2个方面的配置:服务器的操作系统(windows2003)的安全配置和数据库(SQLServer2000)的安全配置。
(一)操作系统(windows2003)的安全配置
(1)系统升级、打操作系统补丁,尤其是iiS6.0补丁。
(2)禁止默认共享。
(3)打开管理工具-本地安全策略,在本地策略-安全选项中,开启不显示上次的登录用户名。
(4)禁用tCp/ip上的netBioS。
(5)停掉Guest帐号,并给guest加一个异常复杂的密码。
(6)关闭不必要的端口。
(7)启用win2003的自身带的网络防火墙,并进行端口的改变。
(8)打开审核策略,这个也非常重要,必须开启。
(二)数据库(SQLServer2000)的安全配置
(1)安装完SQLServer2000数据库上微软网站打最新的Sp4补丁。
(2)使用安全的密码策略设置复杂的sa密码。
(3)在ipSec过滤拒绝掉1434端口的UDp通讯,可以尽可能地隐藏你的SQLServer。
(4)使用操作系统自己的ipSec可以实现ip数据包的安全性。
(五)管理员的工具
网络安全防控体系篇8
【关键词】企业网络构架优化
近年来,公司进行了大规模信息化系统建设,各种系统相继开发完成并投入运行,从管理层到生产层,信息化系统越来越完善,运行效率越来越高,为公司的整体运营提供了强有力的技术支撑。但是随着设备的不断增多、网络规模的不断增长、整体拓扑结构变得越来越复杂,难于管理,特别最近几年,信息安全问题不断凸显,对公司数据、设备安全以及个人隐私方面的威胁越来越大,而我们所使用的大部分安全设备购置于2000年左右,虽部分还能够运行,但早已无法满足当前的安全防护需求,存在极大安全漏洞,网络结构繁杂、服务器分布式部署、无法进行整体安全防护、安全控制策略冗余难以进行管理。
1现状分析
目前公司的网络现状如图1所示。
(1)各级网络呈网状分布,层级结构不清晰,各区域之间通过单台防火墙进行安全防护,存在单点故障隐患,且连接繁冗,管理困难。
(2)服务器放置在各自区域的网络中为业务提供服务,服务器完全暴漏在网络中,除部分安装有软件防火墙外,没有任何安全防护;各个系统间并不独立,存在大量的、频繁的数据交互,目前通过四层防火墙和访问控制列表进行控制,管理繁琐困难,安全防护等级不高,对网络高层协议的安全攻击基本没有防护能力。
(3)接入终端没有安全有效的统一管理手段,目前公司各级终端用户已达到三千多台,用户计算机的操作水平参差不齐,总体信息安全意识薄弱,缺少防护手段,用户可以随意访问网络中的各种资源,由于无法控制其在网络中对服务器资源的访问行为,可能会造成公司内部的信息被窃,存在各种安全隐患,给局域网内的信息安全带来很大威胁,经查用户非法安装、一机多网、私自安装路由器等行为屡屡发生,特别是一机多网,对一级生产网络造成巨大的安全隐患。
(4)邮件过滤、ipS等系统运行十多年,已无法正常使用。
2系统实现方案
一套完整而行之有效的信息安全保障体系需要合理高效的网络构架作为基础,所以在方案中其思路是首先要对当前网络构架进行合理的调整优化,使其能够为信息安全系统的部署提供基础构架,其次是对重点部位、安全薄弱部位从物理层面到技术层面进行较为全面的安全防护及监控,保证信息系统安全。具体如下:
2.1网络结构优化
(1)对三级mes网络和计量专网进行并网,作为公司生产网络。根据公司当前网络现状,仍保持大四级、小三级的主体构架不变,今后如无特殊需求,杜绝建立专网。
(2)对服务器子网进行整合,除现有192.168.1.0/24、192.168.88.0/24、192.168.98.0/24、192.168.40.0/24外,将计量192.168.103.0/24、一卡通192.168.56.0/24、能源10.15.153.0/24并入服务器子网中,三级网络192.168.32.0/24中除服务器外还运行有大量客户端、视频子网流量过大不宜使用防火墙进行隔离故此次不做整合。
(3)在网络机房增加一台Cisco4506交换机作为服务器子网核心交换机,通过双链路与Cisco6509核心交换机进行连接、中间使用2台高性能7层防火墙进行隔离,负载均衡;对各机房网络进行梳理,各机房服务器网络上连到服务器子网核心交换机,办公网络使用新光路连接到四级办公子网汇聚交换机(0.8)上。
(4)网络出口部分进行整合,包含负载均衡、出口防火墙、上网行为、ipsecvpn和外单位接入防火墙等,在网络层级结构上与服务器网络分离,整体上移。如图2所示。
2.2安全系统部署
(1)在四级核心交换机和服务器子网核心交换机间增加2台高性能7层防火墙,对服务器区域进行安全防护,更换外网区域反垃圾邮件网关,实现海量垃圾邮件的过滤。
(2)在四级网络中部署终端安全准入管理系统,明确网络边界,解决DDos攻击、病毒、木马威胁、非法入侵、异常接入、终端数据泄密、用户隐私泄漏等问题,增加资产管理、系统安全审计、客体重用等安全功能,并实施以用户为基本粒度的自主访问控制,使系统具有在统一安全策略管控下,保护敏感资源的能力,具有更强的自主安全保护能力。
3系统的实施效果
(1)系统实施后,使网络从扁平化结构转变为纵向层级化结构,使得各层级网络结构变得清晰,层与层之间的联系和控制变得简单,安全行得以提高,维护难度得以降低。
(2)服务器从各级网络分离出来进行了统一管理和防护,使得服务器之间的数据交换不再通过层层防火墙和访问控制列表进行控制,提高了通讯效率,降低了网络负载和故障率。
4结论
综上所述,本项目技术先进,实用性强、效益显著。随着大型制造企业规模的不断扩大和信息化系统的不断完善,原有的扁平化网络势必已经逐步无法满足信息化运行效率和安全的需求,网络结构的改造和优化势在必行。
参考文献
[1]彭飞.计算机网络安全[m].北京:清华大学出版社,2013.
[2]周淳.网络设计的原理[m].北京:中信出版社,2011.
网络安全防控体系篇9
关键词 计算机网络 系统安全 网络权限 加密
1 影响计算机网络安全的主要因素
(1)网络系统在稳定性和可扩充性方面存在问题。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。
(2)网络硬件的配置不协调。一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。
(3)缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。
(4)访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机。
(5)管理制度不健全,网络管理、维护任其自然。
2 确保计算机网络安全的防范措施
2.1 网络系统结构设计合理与否是网络安全运行的关键
全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。应在认真研究的基础上下大气力抓好网络运行质量的设计方案。在总体设计时要注意以下几个问题:由于局域网采用的是以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅被两个节点的网卡所接收,同时也被处在同一以太网上的任何一个节点的网卡所截取。因此,只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。为解除这个网络系统固有的安全隐患,可采取以下措施:
(1)网络分段技术的应用将从源头上杜绝网络的安全隐患问题。因为局域网采用以交换机为中心、以路由器为边界的网络传输格局,再加上基于中心交换机的访问控制功能和三层交换功能,所以采取物理分段与逻辑分段两种方法,来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的安全畅通。
(2)以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。
2.2 强化计算机管理是网络系统安全的保证
(1)加强设施管理,确保计算机网络系统实体安全。建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器、打印机等外部设备和能信链路上狠下功夫,并不定期的对运行环境条件(温度、湿度、清洁度、三防措施、供电接头、志线及设备)进行检查、测试和维护;着力改善抑制和防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。
(2)强化访问控制,力促计算机网络系统运行正常。访问控制是网络安全防范和保护的主要措施,它的任务是保证网络资源不被非法用户使用和非常访问,是网络安全最重要的核心策略之一。
第一,建立入网访问功能模块。入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为3个过程:用户名的识别与验证;用户口令的识别与验证;用户帐号的检查。在3个过程中如果其中一个不能成立,系统就视为非法用户,则不能访问该网络。网络用户的用户名与口令进行验证是防止非法访问的第一道防线。网络用户注册时首先输入用户名与口令,远程服务器将验证所输入的用户名是否合法,如果验证合法,才能进一步验证口令,否则,用户将被拒之门外。网络管理员将对普通用户的帐号使用、访问网络时间、方式进行管理,还能控制用户登录入网的站点以及限制用户入网的工作站数量。
第二建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3种类型:特殊用户(系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。
第三,建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络属性可以控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件的查看、执行、隐含、共享及系统属性等,还可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
第四,建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法防问设备等。安装非法防问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。目前的防火墙有3种类型:一是双重宿主主机体系结构的防火墙;二是被屏蔽主机体系结构的防火墙;三是被屏蔽主机体系结构的防火墙。流行的软件有:金山毒霸、KV3000+、瑞星、KiLL等。
第五,建立档案信息加密制度。保密性是计算机系统安全的一个重要方面,主要是利用密码信息对加密数据进行处理,防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率,但在保密信息的收集、处理、使用、传输同时,也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。
第六,建立网络智能型日志系统。日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,这所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户保执行操作的机器ip地址操作类型操作对象及操作执行时间等,以备日后审计核查之用。
第七,建立完善的备份及恢复机制。为了防止存储设备的异常损坏,可采用由热插拔SCSi硬盘所组成的磁盘容错阵列,以RaiD5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。第八建立安全管理机构。安全管理机构的健全与否,直接关系到一个计算机系统的安全。其管理机构由安全、审计、系统分析、软硬件、通信、保安等有关人员组成。
参考文献
网络安全防控体系篇10
[关键词]内网安全技术策略网络准入控制防水墙
中图分类号:tp3文献标识码:a文章编号:1671-7597(2009)1120071-02
一、内网安全技术的提出
近年来,内网安全事件频频发生。这些内网安全事件对政府、企业造成的损失和影响是十分巨大的。为了防止企业或组织内部重要或敏感数据的丢失,很多用户购买了昂贵的网络防护设备,甚至安装了多套防病毒软件,但是关键信息泄露问题还是没有得到很好的解决。造成以上问题的主要原因是,以往人们只重视外网对内网的威胁,而忽视了内部网络的自身的问题。相比之下,内部人员更容易通过网络或移动存储设备把敏感的信息泄露出去,人为原因造成的损失往往是不可估计,对企业或组织的破坏是十分巨大的。针对这一不可忽视的问题,国内外厂商纷纷提出了自己的内网安全标准,内网信息安全越来越多受到关注。
二、内网安全威胁
(一)严重的信息外泄
随着先进的网络及应用技术的发展,数据和设备的共享性得到了很大的提高。这给企业的管理和工作带来效率的同时,也产生了严重的信息外泄问题。而据统计,大部份机密、敏感数据都是被内部员工通过合法或非法手段,在企业内部网络系统的桌面终端计算机上通过各种传输、复制途径泄露出去的。
(二)病毒、蠕虫的入侵
目前,对病毒、蠕虫的入侵防范仍停留在网络边缘阶段。大部分企业开始在网络边缘部署放病毒软件,防火墙,防病毒网关,iDS等安全设备,但是这几种设备均是基于对已知攻击手段的防范,无法有效防范未知攻击手段。其实病毒、蠕虫的入侵威胁主要来自于内部网络用户的各种危险应用。
三、内网安全防范措施
(一)安全意识是根源
长期的安全攻击事件分析证明,很多攻击事件是由于人员的安全意识薄弱,无意中触发了黑客设下的机关、打开了带有恶意攻击企图的邮件或网页造成的。针对这种情况,首要解决的问题是提高网络使用人员的安全意识,定期进行相关的网络安全知识的培训,全面提高网络使用人员的安全意识,是提高内网安全性的有效手段。
(二)策略是关键
内部安全策略是一种指导方法,通常都以一种规范、制度、流程等体现出来,用以指导我们快速、合理、全面的建设内部安全系统,同时我们所规划和实现的内部安全策略本身又是可扩展的,随着时间的不断推移和内部安全需求的进一步变化,可以根据调整单位的内部安全策略来更好的指导内部安全系统的建设。
(三)技术是保障
技术是管理的一个辅助工具。一个工具怎么用,能不能用好,最终的落脚点还是要看管理。不同的企业用同样的产品,产生的结果是不一样的。当然,有了有效的管理策略,没有技术的保障实施,一切也都是纸上谈兵。总之,只有拥有一批高素质的网络使用人员,优秀的管理,再加上技术的辅助,才能保证内网的安全。
四、内网安全相关技术
(一)网络准入控制技术介绍
1.网络准入控制定义
思科网络准入控制(networkaccesscontrol,naC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害,最早于2003年11月提出。借助naC,客户可以只允许合法的、值得信任的端点设备(例如pC、服务器、pDa)接入网络,而不允许其它设备接入。几个行业分析机构对网络接入控制(naC)技术进行了思考,每家都使用了不同的术语集和差异很小的网络准入控制定义。例如,Forrester使用“网络隔离(networkQuarantine)”,而meta用“端点访问控制(endpointaccessControl)”。
2.网络准入控制的设计理念
撇开复杂的商业利益争夺,各厂商推出的网络准入控制技术虽然称呼各有差异,但核心设计理念是基本相同的,具体来讲,就是在网络节点接入安全网络时,需要对待接入的系统安全状况以及操作该节点系统用户的身份进行充分的评估、认证,以确定该系统是否符合网络的内部安全策略,来决定该网络节点系统是否接入到安全网络中,还是拒绝接入或安全升级后接入。显然,网络准入的机制不仅实现了安全网络“主动”的动态扩展,而且能够有效降低不可信终端系统接入网络所带来的潜在安全风险。
3.网络准入控制技术的特点
(1)可评估使用所有访问方法,包括Lan、无线、远程访问和wan的所有终端,来进行全面控制;(2)终端可视性和控制确保可管理的、不可管理的、访客和恶意设备均符合企业安全策略;(3)终端控制的全程支持可自动执行终端的评估、验证、授权和修补流程;(4)将集中策略管理、智能网络设备及网络服务与多家著名防病毒、安全和管理供应商提供的解决方案结合在一起,以提供精确的准入控制管理;(5)基于标准的、灵活的api允许多个第三方参与整体解决方案,从而支持丰富的合作伙伴和技术生态系统。
4.网络准入控制技术所控制和解决的问题
(1)控制哪些人能接入Lan并限制他们能够访问的资源;(2)限制不值得信赖或者未知的用户,例如承包商、技术人员、远程用户或者离线员工等;(3)限制能够访问重要财务记录或者客户记录的人员;(4)根据职责、时间、地点以及应用程序来控制对数据的访问;(5)将用户分级以符合规定要求;(6)保护系统免受已知或者未知恶意软件的攻击;(7)简化事件反应;(8)保护关键应用服务(如Voip)。
(二)防水墙技术
1.防水墙定义。“防水墙”(waterwall)是相对于“防火墙”(Firewall)的一个概念,它是用来加强信息系统内部安全的重要工具,主要为防止内部信息向外扩散。具体说来,防水墙技术是一个以内网安全理论为基础,以数据安全为核心,利用密码学技术、pKi技术、操作系统核心技术、访问控制技术、审计跟踪技术等技术手段,对信息、重要业务数据和技术专利等敏感信息的存储、传播和处理过程实施安全限制保护,最大限度地防止敏感信息外泄的内网数据保护技术。
2.防水墙系统设计理念。防水墙系统的设计理念是保护用户敏感信息不被非法外传、防止泄密事件发生,从而保证内部安全。它主要从以下五个方面来保障内网安全:
(1)失泄密防护;(2)文件安全服务;(3)运行状况的检测;(4)系统资源管理;(5)扩展身份认证。
在五个方面的大前提下,开发系统成为当代防水墙系统技术研究开发的主流设计理念。
(三)防水墙技术分析
防水墙作为加强信息系统内部安全的重要工具,它处于内部网络中,是一个内网监控系统,其着重点是用技术手段强化内部信息的安全管理,利用密码、访问控制和审计跟踪等技术手段对公司信息实施安全保护,使之不被非法或违规的窥探、外传、破坏、拷贝、删除,从本质上阻止了机密信息泄漏事件的发生。
(四)防水墙系统的特点
1.管理桌面计算机系统的规模大、效率高、策略周全,将单位全部的个人桌面系统纳人管理范畴,解决了桌面系统的安全问题。
2.针对网络通信、外设接日等可能成为失泄密途径,以周全的内部系统信息泄露保护体系,结合网络内部现有的其它安全系统,可构成强大、完备的内部系统信息泄露保护体系。
3.处理计算机的硬件配置和软件安装的系统资源,动态获取、更新和审计。杜绝了未经批准就安装和运行任何一款硬件设备和软件系统。
4.对全部个人计算机系统集中在防水墙的管理之下,集中管理安全策略、系统配置、安全事件和安全事故。
(五)防水墙系统在网络中的位置
管理员通过管理工作站来管理防水墙服务器,定制与实施相关的安全策略,防水墙服务器通过位于各部门的客户端工作站点来实现对整个内部网络的“用户身份”、“数据安全”、“设备安全”和“综合安全审计”等方面的综合管理和安全监控。
(六)防水墙控制和解决的问题
1.身份验证机制;2.访问控制体系;3.“非法外联”控制;4.设备密级标识;5.动存储介质的有效管理;6.安全审计;7.非法主机控制。
五、内网安全技术发展方向
(一)内网安全重心继续向终端计算机转移
传统的内网安全主要是注重服务器区域的安全管理,而随着终端机数量的增多,安全隐患也就越来越大,任何一台出现安全隐患,对整个内网都可能会产生巨大的冲击和破坏。因此,内网安全管理开始从服务器区域转向了终端计算机。
(二)终端安全产品向功能高度集成发展
随着技术的发展,企业用户逐渐认识到,内网的安全管理是一个有机的整体,不是靠几种安全产品的简单堆砌就能解决的,采用高度功能集成的安全产品可能是一个更好的选择。所以,未来的安全产品将朝着高度功能集成的方向发展。
(三)终端安全加固与运行维护并重
终端计算机作为内网的一部分,而且是员工日常工作的工具,当然要保证其安全性。不过,企业用户逐渐认识到,终端计算机的使用最终目的是为了降低成本、提高效率。因此内网既要有较高的安全性,也要能够易于维护。应该通过技术手段提高终端计算机的维护管理水平。所以,在内网安全管理方面的技术发展是提高内网安全管理的有效途径。
六、结论
随着社会的信息化以及网络的飞速发展,企业的内网规模和复杂度迅速提升,企业、国家对内网安全的需求不断增长,内网安全管理的技术和策略尤为重要。根据公安部发表08年《全国信息网络安全状况调查报告》调查显示,攻击或病毒传播源来自内部人员的比例同比增加了21%;涉及外部人员的同比减少了18%,说明联网单位对外部网络攻击防范的意识有所增强,但单位内部的网络安全管理工作还不到位。网络(系统)管理员通过技术监测主动发现网络安全事件的占66.28%,同比增加了13%,说明网络(系统)管理员安全技术水平有所提高;而通过安全产品发现的比例同比减少了8%,原因是目前计算机病毒、木马等绕过安全产品的发现、查杀甚至破坏安全产品的能力增强了。所以,安全技术的提升固然重要,管理人员的素质的提升和安全管理的策略更为重要。安全技术和安全管理不可分割,它们必须同步推进。因为即便有了好的安全设备和系统,如果没有好的安全管理方法并贯彻实施,那么安全也是空谈。
参考文献:
[1]丁谊,内网安全初探[J].科技信息,2004.2.
[2]介斐,企业内网安全防护解决方案[J].石油化工建设,2007.4
[3]赛迪网,内网安全技术分析与标准探讨.