下面是小编为大家整理的如何保护手机信息安全(共含10篇),仅供大家参考借鉴,希望大家喜欢,并能积极分享!同时,但愿您也能像本文投稿人“明天不下雨”一样,积极向本站投稿分享好文章。
如何保护手机信息安全
不要在USB模式下直接安装APP
当手机连接电脑下载应用时,PC端的手机助手会通过USB模式将软件装进你的手机,这个过程会直接跳过查看应用权限这一项。一些隐私权限会顺势进入这个疏漏的.网,随时侵害你的手机安全。
对危险权限请谨慎say no
对于APP里那些涉及用户隐私的权限,例如短信相关权限、联系人权限、地理位置权限等,如果该APP本身不需要这些权限,就应该谨慎安装。
不必要时,请关闭位置信息访问权限
在安装应用时,我们是默认关闭该位置信息访问权限的。如若有需,再由我们自行开启,但在不使用时,请随时关闭。以免一些应用对我们的位置信息进行读取。
禁止浏览器接受cookie
我们常常会为方便而保存大量浏览器里的登录信息。但实际上这种行为很容易泄露个人信息。为了隐私安全,我们应该把浏览器里接受cookie的设置关闭。
禁用后台进程
很多APP都会不知不觉在手机的后台自动开启。一旦开启,在有网络的状况下自行传输后台数据。为了用户信息安全,请关闭平时不常使用的应用的后台进程。
尽量使用原生应用
非手机自带的第三方通讯录、短信等软件。可以直接访问用户的隐私信息,容易造成意思泄露。如果手机的原生应用已具备使用功能,请尽量不要安装此类第三方应用。
手机隐私安全保护,你学会了多少?只有养成良好的用机习惯。我们才能从根本上避免私人信息的泄露,赶紧给你的手机加上一把“锁”吧。
根据《永胜县人民政府办公室关于开展政府信息系统安全检查的通知》(永政办发〔20xx〕56号)文件精神,结合我社实际,认真组织开展了信息系统的安全自查工作。现将相关情况报告如下:
一、信息系统安全检查基本情况
(一)信息安全组织机构落实情况
为规范信息公开工作,落实好信息安全的相关规定,我社成立了信息安全工作领导小组,落实了管理机构,由联社办公室负责信息安全的日常管理工作,明确了信息安全的主管领导、分管领导和具体管理人员。
(二)日常信息安全管理落实情况
根据供销合作社的工作实际,供销社日常信息安全工作主要涉及上级下发的涉密文件管理、政府信息公开工作信息管理、业务工作相关数据信息管理、组织人事信息管理。根据这些实际,县联社已从落实管理机构和人员、加强教育培训、更新设备、健全完善相关制度等方面对信息安全的人员、资产、运行和维护管理进行了落实。
一是,落实具体负责信息安全工作的人员,对涉密信息文件、材料实行专人管理;对重要办公区、办公计算机等进行严格管理,确保信息保密工作。二是,结合供销社工作实际,对涉密文件材料管理和计算机、移动存储设备等的维修、报废、销毁管理进行了规定。对日常信息办公软件、应用软件等的安装使用,主要是由上级组织人事部门、业务主管部门下发的业务工作应用软件,均按照上级部门的要求和规定,严格进行操作管理。
三是,结合供销社政府信息公开工作,按照信息公开的相关保密规定和程序,初步建立了《永胜县供销合作社政府信息公开保密审查制度(试行)》,对信息公开、阳光政府四项制度等公开发布信息保密审查机制、程序进行了规范,完善相关信息审批备案和日常记录。
(三)等级保护与风险评估
永胜县供销合作社的相关信息系统主要是业务工作,不是重要涉密部门,还达不到涉密信息系统等级,所以,没有对信息系统定级、测评和评估。 ㈣技术安全防范措施和手段落实情况
1、计算机及网络经过检查,已安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。并按县委保密局的要求,在主要的计算机上统一粘贴了“非涉密计算机严禁处理涉密信息”的标识,杜绝涉密和非涉密计算机之间的混用。
2、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。对信息公开发布门户网站及相关应用系统帐户、口令等进行检查,对服务器上的应用、服务、端口和链接进行了检查,没有网站信息被非法篡改,也没有非法链接。同时,日常工作中,及时对计算机进行漏洞扫描、木马检测等,
加强安全监管。我单位使用的计算机都为非涉密计算机,主要是用于业务工作,没有用于处理涉密信息的情况。目前,网络运行良好,安全防范措施和设备运行良好,没有涉及国家秘密的相关信息,未在网上存储、传输国家秘密信息,未发生过失密、泄密现象。
3、密码技术防范方面。我单位的相关信息还达不到涉密信息系统等级,目前还没有使用密码技术防护措施。
(四)应急工作机制建设情况
1、应急响应机制建设上,根据相关要求,建立了信息安全的相关规章制度,要求县社信息安全管理办公室根据信息安全工作情况及时向工作领导小组报告相关情况,并及时上报县信息化办公室,及时采取有效措施,处理相关问题。目前,还没有应急响应方案。
2、对非涉密的相关重要工作信息实行光盘备份,以防范计算机系统故障带来的损失和影响。
3、目前,我社的信息安全管理工作还没有明确应急技术支援队伍,主要由县社办公室根据工作中的问题向县信息办及时报告咨询解决。目前,没有发生信息安全事件。
(五)信息技术产品和信息安全产品使用情况
我单位终端计算机安装的防火墙、入侵检测设备、杀毒软件等信息安全产品,使用360安全卫士等软件,皆为国产产品。公文处理软件具体使用金山软件的WPS office系统和Microsoft Office系统。单位使用的工资系统、业务统计报表系统、组织人事统计系统等应用软件均为县委、县政府相关部门和市供销社统一指定的产品系统。
(六)安全教育培训情况
1、县供销社积极参加全县保密工作会议和县委政府相关部门组织的信息系统安全知识培训,并专门负责机关的网络安全管理和信息安全工作。
2、结中学习,县供销社对全县保密工作会议精神进行了传达学习。同时,在日常工作中相关保密、信息安全工作人员也结合《保密工作》杂志及相关文件精神,开展自学,提高信息安全意识、保密意识。
(七)信息安全经费保障。
县供销合作社信息安全工作得到县社领导高度重视,信息安全相关学习培训材料的征订购买和相关防护设施建设、运行、维护和管理经费均纳入预算,实报实销,为信息安全提供了经费保障。
二、信息安全检查存在的主要问题及整改情况
经过安全检查,我单位信息安全总体情况良好,但也存在了一些不足,同时结合单位工作实际,进行了整改同时提出了进一步整改的措施。
1、部分干部职工对信息安全工作的认识不到位。由于本部门工作涉密很少,机关干部对信息安全防范的意识还不高,对信息系统安全工作重要性的认识还不足。针对这些情况,县社领导已结合传达全县保密工作会议精神,进一步作了强调和要求。结合工作开展,今后将继续加强对机关干部的信息系统安全意识教育,提高干部职工对信息安全工作重要性的认识。
2、设备维护、更新不及时。部分股室计算机的杀毒软件、防护软件没有及时进行更新升级,存在部分漏洞。针对这些问题,办公室已及时对各终端计算机的杀毒软件、防火墙等进行了更新升级,对存在的漏洞进行了修复。今后将对线路、系统等的及时维护和保养,及时更新升级防护软件。
3、信息系统安全工作的水平还有待加强。供销社的信息系统工作人员均为兼职人员,非专业人员,对信息安全的管护水平低,还需要加强专业学习培训,提高信息安全管理和管护工作的水平。
4、信息安全工作机制还有待完善。部门信息安全相关工作机制制度、应急预案等还不健全,还要完善信息安全工作机制,建立完善信息安全应急响应机制,以提高机关网络信息工作的运行效率,促进办公秩序的进一步规范,防范风险。
三、对信息安全检查工作的'意见和建议
一是,进一步加大对信息安全工作人员的业务培训。由于很多部门的信息安全工作人员均为兼职,均是“半路出家”,非专业人员,没有专业的技能和知识,希望进一步加强对计算机信息系统安全管理工作的业务操作培训,发放一些信息网络安全管理方面的业务知识材料。
二是,加强对各级各部门干部职工的信息系统安全教育。通过开展专题警示教育培训,增强信息系统安全意识,提高做好信息安全工作的主动性和自觉性。
三是,加强分类指导。由于各部门工作性质不同,信息安全的级别也不同。希望结合各部门工作实际,对重点信息安全部门和非重点信息安全部门进行分类指导。
接县公安局文件后,我单位对本单位信息安全等级保护工作进行了自查。
一、等级保护工作组织开展、实施情况:
严格按照文件精神组织开始了信息安全等级保护自查工作,主要检查对象为本单位维护的翼城政府网;安全责任落实情况:按照“谁主管谁负责,谁运营谁负责”的原则开展工作,我单位负责人为第一责任人,对翼城政府网信息安全负直接责任,并接受信息安全监管部门对开展等级保护工作的监管;信息系统安全岗位和安全管理人员设置情况:本单位负责人主管信息系统安全工作,有安全管理员两名。
二、按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况:
遵照有关法律法规,对翼城政府网遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,对翼城政府网信息安全保护等级进行了自主定级。
三、信息系统定级备案情况,信息系统变化及定级备案变动情况:
按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字20xx861号),对本单位维护网站(翼城政府网)安全保护等级级别定位第二级。
四、信息安全设施建设情况和信息安全整改情况:
鉴于网站的性质,无信息安全设施。
五、信息安全管理制度建设和落实情况:
制定了翼城政府网信息安全管理制度,按照“谁主管谁负责”的原则开展工作,我单位负责人为第一责任人,对翼城政府网信息安全管理负直接责任,并接受上级单位的监管。
六、信息安全保护技术措施建设和落实情况:
对翼城政府网机房实施了24小时值班,操作系统、数据库系统、防病毒系统、网站软件系统实时升级,发现安全隐患,第一时间由技术人员解决。
七、选择使用信息安全产品情况:
翼城政府网使用了锐捷网络的XXX产品。
八、聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况:
暂无聘请测评机构开展技术测评工作。
九、自行定期开展自查情况:
每半年对翼城政府网进行一次信息系统安全保护自查。
十、开展信息安全知识和技能培训情况:
主动学习信息安全法律法规,积极参加公安机关、上级主管部门组织的信息安全知识和技能培训。
为进一步做好x单位信息安全等级保护工作工作,提高全辖人民银行系统信息安全保障能力和水平,根据《人民银行长沙中心支行20xx年信息安全等级保护工作方案》精神,结合我行实际,组织开展了信息安全等级保护自查工作。通过自查,进一步明确了我行信息安全等级保护工作职责,规范了信息安全等级保护工作标准,完善了信息安全等级保护工作制度,提升了信息安全等级保护工作水平。现将自查情况报告如下:
一、等级保护工作部署和组织实施情况
x单位在上级行的统一领导和部署下,按照《信息安全等级保护管理办法》和《人民银行信息系统信息安全等级保护实施指引(试行)》的要求,组织开展辖内人民银行系统信息安全等级保护工作。
一是成立了x单位信息安全等级保护工作领导小组,由主管科技的副行长任组长,各科室主要负责人为成员,全面负责全辖人民银行系统信息安全等级保护工作,领导小组下设办公室,安排专人负责计算机信息系统安全管理,明确了各自的职责。
二是建立健全了各项信息安全管理制度,做到了有章可循。
三是加强相关工作人员的培训学习,增强信息系统安全工作的自觉性,提高信息系统安全工作管理水平。
二、信息系统安全保护等级备案情况
我行根据《人民银行长沙中心支行20xx年信息安全等级保护工作方案》精神,将《郴州中支业务网网络系统》和《郴州中支财库行横向联网系统》信息安全保护等级定为第二级,其他系统定为第一级,并将定为第二级的系统向市公安局网监支队报备。
三、下一步工作计划
目前,x单位信息安全等级保护工作正在不断完善中,今后还需要在以下几个方面不断加强:
一是进一步加强信息安全管理力度,督促各支行、各科室加强信息安全等级保护工作;
二是加强网络信息安全队伍建设,提高网络管理人员和维护人员的技术水平和安全管理意识;
三是进一步完善信息安全管理制度,开展信息系统安全评估和自测评;
四是规范和完善安全事件处理流程。
为了认真贯彻落实省公安厅《关于组织开展全省20xx年度信息安全等级保护专项检查工作的通知》文件精神,为进一步做好我省环境自动监控系统信息安全工作,提高环境自动监控系统安全保证能力和水平,切实加强省环境监控系统网络信息安全,为中原经济区建设创造良好的社会和网络环境。
环保部和省委、省政府领导高度重视环境自动监控系统建设和应用工作。陈新贵副厅长和易旭生副巡视员对省环境信息自动监控系统信息安全等级保护专项检查工作做出重要批示,要求认真准备,做好检查工作。
按照省环境监控中心(以下简称“监控中心”)各位领导严格要求,安排专门科室和人员,制定了一系列信息安全管理制度,加强日常信息安全监测和预警,促进了中心信息安全建设和管理,营造出健康、和谐的网络环境。近期,我中心进行了信息安全自查,现将中心信息安全自查工作情况报告如下:
一、信息安全工作的基本情况
(一)积极组织部署等级保护工作
1、专门成立等级保护协调领导机构
成立了由分管领导、分管部门、网络管理组成的信息安全等级保护协调领导小组,确保环境自动监控系统高效运行、理顺信息安全管理、规范信息化安全等级建设。
2、明确等级保护责任部门和工作岗位
监控中心非常注重环境自动监控系统建设,多次开会明确等级保护责任部门,做到分工明确,责任具体到人。
3、贯彻落实等级保护各项工作文件或方案
等级保护责任部门和工作人员认真贯彻落实公安部、省公安厅等级保护各项工作文件或方案,根据环境自动监控工作的特点,制定出《河南省环境保护厅网络与信息安全事件应急预案》、《河南省环境自动监控系统机房管理制度》等一系列规章制度,落实等级保护工作。
4、召开工作动员会议,组织人员培训,专门部署等级保护工作
监控中心每季度召开一次工作动员会议,定期、不定期对技术人员进行培训,并开展考核。技术人员认真学习贯彻有关文件精神,把信息安全等级保护工作提升到重要位置,常抓不懈。
5、有关主要领导认真听取等级保护工作汇报并做出重要指示
省环保厅陈新贵副厅长、易旭生副巡视员分别对等级保护工作给与批示,要求认真做好有关工作。监控中心陶冶主任、丁卫东副主任、郭新望总工程师分别听取等级保护工作汇报,指示责任部门做好自检、自查,精心准备,迎接公安厅专项检查。
(二)认真落实信息安全责任制
1、高规格建设信息安全协调领导机构
在监控中心等级保护协调领导小组中,陶冶主任亲自担任协调领导小组组长,主管领导郭新望总工程师担任协调领导小组常务副组长,信息管理室汪太鹏主任兼任领导小组办公室主任。
2、成立信息安全职能部门
监控中心成立了信息管理室作为信息安全职能部门,负责环境网络建设,信息安全,日常运行管理。
3、制定信息安全责任追究制度
监控中心制定出相应信息安全责任追究制度,定岗到人,明确责任分工,把信息安全责任事故降低到最低。
(三)积极推进信息安全制度建设
1、加强人员安全管理制度建设
监控中心建立了人员录用、离岗、考核、安全保密、教育培训、外来人员管理等安全管理制度,对新进人员进行培训,加强人员安全管理,不定期开展考核。
2、严格执行机房安全管理制度监控中心制定出《机房管理制度》,加强机房进出人员管理和日常监控制度,严格实施机房安全管理条例,做好防火防盗,保证机房安全。
3、建立系统建设管理制度
监控中心制订了产品采购、工程实施、验收交付、服务外包等系统建设管理制度,通过公开招标,择优选用,大大提高了系统建设的质量。
(四)大力加强信息系统运维
1、开展日常信息安全监测和预警
监控中心建立日常信息安全监测和预警机制,提高处置网络与信息安全突发公共能力事件,加强网络信息安全保障工作,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发公共事件的危害。
2、建立安全事件报告和响应处理程序
监控中心建立健全分级负责的应急管理体制,完善日常安全管理责任制。相关部门各司其职,做好日常管理和应急处置工作。设立安全事件报告和相应处理程序,根据安全事件分类和分级,进行不同的上报程序,开展不同的响应处理。
3、制定应急处置预案,定期演练并不断完善监控中心制定了安全应急预案,根据预警信息,启动相应应急程序,加强值班值守工作,做好应急处理各项准备工作。定期演练预警方案,不断完善预警方案可行性、可操作性。
二、扎实开展信息系统定级备案
(一)信息系统定级工作概况
监控中心积极有效开展信息系统定级工作,认真编制安全等级保护定级报告。省环境自动监控系统是通过前端自动监控设施自动采样、分析、获取各污染源、环境质量点位的监测数据。
该系统主要服务于省、市环保部门环境管理,同时对审核后数据通过网站向公众发布。
系统服务受到破坏时侵害的客体是公众利益,即社会公众的环境知情权。
系统服务受到破坏后,对侵害客体的侵害是一般损害。
(二)信息系统备案工作情况
监控中心按期规范开展信息系统备案工作。根据《信息安全等级保护管理办法》,填写信息系统安全等级保护备案表。
对单位基本情况、信息系统情况、信息系统定级情况等信息做出明确备案。
三、有效推进信息系统等级测评和安全建设整改工作部署和经费保障
(一)制定等级测评工作计划
认真制定等级测评工作计划表,按照工作计划表,有条不紊的开展等级测评。
(二)制定安全建设整改工作计划
制定安全建设整改工作计划,根据自查结果,对发现问题进行安全建设整改。编制整改方案,限期完成整改计划。
(三)保证等级测评工作经费
中心优先保证等级测评工作经费的划拨、使用。
(四)落实安全建设整改工作经费保障
中心积极落实安全建设整改工作经费,协调财政部门保障整改经费保障。
(五)选择等级测评机构
四、不断完善等级保护自查和整改
(一)组织部署等级保护自查工作
领导协调小组开专题会议,部署等级保护自查工作。按照信息安全等级保护工作检查表的要求,细化各项检查指标,落实各项指标。
(二)按期整改存在的问题
五、认真做好三级信息系统等级测评和安全建设整改工作
(一)等级评测工作开展情况
(二)安全建设整改工作开展情况
一、网站运行安全保障措施
1、网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。
2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
3、做好生产日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。
4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。
5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。
二、信息安全保密管理制度
1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。
3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
4、所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运行日志和用户使用日志记录,短信服务系统将保存5个月以内的系统及用户收发短信记录。
5、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。
三、用户信息安全管理制度
1、我公司郑重承诺尊重并保护用户的个人隐私,除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权我公司不会随意公布与用户个人身份有关的资料,除非有法律或程序要求。
2、所有用户信息将得到本公司网站系统的安全保存,并在和用户签署的协议规定时间内保证不会丢失;
3、严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。
信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。
信息安全产品
信息安全产业将步入高速发展阶段,而整个互联网用户对安全产品的要求也转入“主动性安全防御”。随着用户安全防范意识正在增强,主动性安全产品将更受关注,主动的安全防御将成为未来安全应用的主流。
终端方案
终端安全解决方案是以终端安全保护系统全方位综合保障终端安全,并以数据安全保护系统重点保护终端敏感数据的安全。终端安全保护系统以“主动防御”理念为基础,采用自主知识产权的基于标识的认证技术,以智能控制和安全执行双重体系结构为基础,将全面安全策略与操作系统有机结合,通过对代码、端口、网络连接、移动存储设备接入、数据文件加密、行为审计分级控制,实现操作系统加固及信息系统的自主、可控、可管理,保障终端系统及数据的安全。
安全软件
数据安全保护系统能够实现数据文档的透明加解密保护,可指定类型文件加密、指定程序创建文件加密,杜绝文档泄密。实现数据文档的强制访问控制和统一管理控制、敏感文件及加密密钥的冗余存储备份,包括文件权限管理、用户管理、共享管理、外发管理、备份管理、审计管理等。对政府及企业的各种敏感数据文档,包括设计文档、设计图纸、源代码、营销方案、财务报表及其他各种涉及企业商业秘密的文档,都能实现稳妥有效的保护。 信息安全影响因素
信息安全与技术的关系可以追溯到远古。埃及人在石碑上镌刻了令人费解的象形文字;斯巴达人使用一种称为密码棒的工具传达军事计划,罗马时代的凯撒大帝是加密函的古代将领之一,“凯撒密码”据传是古罗马凯撒大帝用来保护重要军情的加密系统。它 是一种替代密码,通过将字母按顺序推后 3 位起到加密作用,如将字母 A 换作字母 D, 将字母 B 换作字母 E。英国计算机科学之父阿兰·图灵在英国布莱切利庄园帮助破解了 德国海军的 Enigma 密电码,改变了二次世界大战的进程。美国 NIST 将信息安全控制分 为 3 类。
(1)技术,包括产品和过程(例如防火墙、防病毒软件、侵入检测、加密技术)。
(2)操作,主要包括加强机制和方法、纠正运行缺陷、各种威胁造成的运行缺陷、物 理进入控制、备份能力、免予环境威胁的保护。
(3)管理,包括使用政策、员工培训、业务规划、基于信息安全的非技术领域。 信息系统安全涉及政策法规、教育、管理标准、技术等方面,任何单一层次的安全措 施都不能提供全方位的安全,安全问题应从系统工程的角度来考虑。图 8-1 给出了 NSTISSC 安全模型。
安全威胁
(1) 信息泄露:信息被泄露或透露给某个非授权的实体。
(2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。
(3) 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。
(4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。
(5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。
(6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。
(7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。
(8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。
(9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。
(10)特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。
(11)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。
(12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。
(13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。
(14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。
(15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。
(16)媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得。
(17)物理侵入:侵入者绕过物理控制而获得对系统的访问。
(18)窃取:重要的安全物品,如令牌或身份卡被盗。
(19)业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等。
信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。
中国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取中国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、侦察机、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取中国通信传输中的信息。
从文献中了解一个社会的内幕,早已是司空见惯的事情。在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。不管是机构还是个人,正把日益繁多的事情托付给计算机来完成,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。
传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。
【摘 要】随着计算机技术的迅速发展,公司由使用计算机完成的工作已由基于单机的文件处理、自动化办公,发展到今天的企业内部网。
计算机网络的应用领域已从传统的小型业务系统逐渐向大型业务系统扩展。
计算机网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全的巨大挑战。
组织和单位的计算机网络是黑客攻击的主要目标。
如果黑客组织能攻破组织及单位的计算机网络防御系统,他就有访问成千上万计算机的可能性。
据统计,近年来因网络安全事故造成的损失每年高达上千亿美元。
计算机系统的脆弱性已为各国政府与机构所认识。
【关键词】信息安全; 威胁;防御策略;防火墙
1 计算机信息网络安全概述
所谓计算机信息网络安全,是指根据计算机通信网络特性,通过相应的安全技术和措施,对计算机通信网络的硬件、操作系统、应用软件和数据等加以保护,防止遭到破坏或窃取,其实质就是要保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏。
计算机通信网络的安全是指挥、控制信息安全的重要保证。
根据国家计算机网络应急技术处理协调中心的权威统计,通过分布式密网捕获的新的漏洞攻击恶意代码数量平均每天112次,每天捕获最多的次数高达4369次。
因此,随着网络一体化和互联互通,我们必须加强计算机通信网络安全防范意思,提高防范手段。
2 计算机信息安全常见的威胁
以上这些因素都可能是计算机信息资源遭到毁灭性的破坏。
像一些自然因素我们是不可避免的,也是无法预测的;但是像一些人为攻击的、破坏的我们是可以防御的、避免的。
因此,我们必须重视各种因素对计算机信息安全的影响,确保计算机信息资源万无一失。
3 计算机信息的安全的防御策略
根据计算机网络系统的网络结构和目前一般应用情况,我们采取可两种措施:一是,采用漏洞扫描技术,对重要网络设备进行风险评估,保证网络系统尽量在最优的状态下运行;二是,采用各种计算机网络安全技术,构筑防御系统,主要有:防火墙技术、VPN技术、网络加密技术、身份认证技术、网络的实时监测。
3.1 漏洞扫描技术
漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得到目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击的安全漏洞扫描,如测试弱口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。
3.2 防火墙技术
防火墙是网络安全的屏障,一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境更安全,信息的安全就得到了保障。
使用防火墙软件可以在一定程度上控制局域网和Internet之间传递的数据。
防火墙一般是指用来在两个或多个网络间加强访问控制的一个或一组网络设备。
从逻辑上来看,防火墙是分离器、限制器和分析器;从物理上来看,各个防火墙的物理实现方式可以多种多样,但是归根结底他们都是一组硬件设备(路由器、主机)和软件的组合体;从本质上来看,防火墙是一种保护装置,它用来保护网络数据、资源和合法用户的声誉;从技术上来看,防火墙是一种访问控制技术,它在某个机构的网络与不安全的网络之间设置障碍,阻止对网络信息资源的非法访问。
3.3 计算机网络的加密技术(ipse)
采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。
它可以解决网络在公网的数据传输安全性问题,也可以解决远程用户访问内网的安全问题。
IP层是TCP/IP网络中最关键的一层,IP作为网络层协议,其安全机制可以对其上层的各种应用服务提供透明的覆盖安全保护。
IP安全是整个TCP/IP 安全的基础,是网络安全的核心。
ipse 提供的安全功能或服务主要包括:访问控制、无连接完整性、数据起源认证、抗重放攻击、机密性、有限的数据流机密性。
3.4 身份认证
身份认证的作用是阻止非法实体的不良访问。
有多种方法可以认证一个实体的合法性,密码技术是最常用的,但由于在实际系统中有许多用户采用很容易被猜测的单词或短语作为密码,使得该方法经常失效。
其他认证方法包括对人体生理特征的识别、智能卡等。
随着模式识别技术的发展,身份识别技术与数字签名等技术结合,使得对于用户身份的认证和识别更趋完善。
3.5 入侵检测技术
入侵检测技术是对入侵行为的检测,他通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统中若干关键的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
3.6 虚拟专用网技术
虚拟专用网(Virtual private Network,VPN) 是一门网络技术,提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式;是通过一个公用网络(通常是因特网)建立起一个临时的、安全的连接,是一条穿过不安全的公用网络的安全、稳定的隧道。
下面,我们主要谈一下防火墙在网络信息安全中的应用。
4 防火墙防御策略
4.1 防火墙的基本概念
所谓“防火墙”,是指一种将内部网和公众网络(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通信时执行的一种访问控制手段,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的`黑客来访问你的网络,防止他们更改、复制和毁坏你的重要信息。
4.2 防火墙的功能
1)过滤掉不安全服务和非法用户。
2)控制对特殊站点的访问。
3)提供监视Internet安全和预警的方便端点。
4.3 防火墙的优点
1)防火墙能强化安全策略
因为Internet上每天都有上百万人在那里收集信息、交换信息,不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅容许“认可的”和符合规则的请求通过。
2)防火墙能有效地记录Internet上的活动
因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。
作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
3)防火墙限制暴露用户点
防火墙能够用来隔开网络中一个网段与另一个网段。
这样,能够防止影响一个网段的问题通过整个网络传播。
4)防火墙是一个安全策略的检查站
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
4.4 防火墙的不足
1)防火墙不能防范不经由防火墙的攻击。
例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
2)防火墙不能防止感染了病毒的软件或文件的传输。
这只能在每台主机上装反病毒软件。
3)防火墙不能防止数据驱动式攻击。
当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。
4.5 防火墙的类型
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换―NAT、代理型和状态监测型。
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术,工作在网络层。
网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、源端口和目标端口等。
防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。
但包过滤防火墙的缺点有三:一是,非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是,数据包的源地址、目的地址以及IP 的端口号都在数据包的头部,很有可能被监听或假冒;三是,无法执行某些安全策略。
网络地址转化―NAT。
“你不能攻击你看不见的东西”是网络地址转换的理论基础。
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。
它允许具有私有IP地址的内部网络访问因特网。
当数据包流经网络时,NAT将从发送端的数据包中移去专用的IP地址,并用一个伪IP地址代替。
NAT软件保留专用IP地址和伪IP地址的一张地址映射表。
当一个数据包返回到NAT系统,这一过程将被逆转。
当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。
当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。
如果黑客在网上捕获到这个数据包,他们也不能确定发送端的真实IP地址,从而无法攻击内部网络中的计算机。
NAT技术也存在一些缺点,例如,木马程序可以通过NAT进行外部连接,穿透防火墙。
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品, 它分为应用层网关和电路层网关。
代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。
从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。
当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据, 然后再由代理服务器将数据传输给客户机。
从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部结构的作用,这种防火墙是网络专家公的最安全的防火墙。
缺点是速度相对较慢。
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。
它是由Check Point 软件技术有限公司率先提出的,也称为动态包过滤防火墙。
总的来说,具有:高安全性,高效性,可伸缩性和易扩展性。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器也集成了包过滤技术,这两种技术的混合显然比单独使用具有更大的优势。
总的来说,网络的安全性通常是以网络服务的开放性和灵活性为代价的,防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失。
除了使用了防火墙后技术,我们还使用了其他技术来加强安全保护,数据加密技术是保障信息安全的基石。
所谓数据加密技术就是使用数字方法来重新组织数据,使得除了合法受者外,任何其他人想要恢复原先的“消息”是非常困难的。
目前最常用的加密技术有对称加密技术和非对称加密技术。
对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密技术就是加密和解密所用的密钥不一样。
4.6 防火墙的配置
1)双宿堡垒主机防火墙
一个双宿主机是一种防火墙,拥有两个联接到不同网络上的网络接口。
例如,一个网络接口联到外部的不可信任的网络上,另一个网络接口联接到内部的可信任的网络上。
这种防火墙的最大特点是IP层的通信是被阻止的,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。
一般情况下,人们采用代理服务的方法,因为这种方法为用户提供了更为方便的访问手段。
2)屏蔽主机防火墙
这种防火墙强迫所有的外部主机与一个堡垒主机相联接,而不让它们直接与内部主机相连。
为了实现这个目的,专门设置了一个过滤路由器,通过它,把所有外部到内部的联接都路由到了堡垒主机上。
下图显示了屏蔽主机防火墙的结构。
3)屏蔽主机防火墙
在这种体系结构中,堡垒主机位于内部网络,屏蔽路由器联接Internet和内部网,它是防火墙的第一道防线。
屏蔽路由器需要进行适当的配置,使所有的外部联接被路由到堡垒主机上。
并不是所有服务的入站联接都会被路由到堡垒主机上,屏蔽路由器可以根据安全策略允许或禁止某种服务的入站联接(外部到内部的主动联接)。
对于出站联接(内部网络到外部不可信网络的主动联接),可以采用不同的策略。
对于一些服务,如Telnet,可以允许它直接通过屏蔽路由器联接到外部网而不通过堡垒主机;其他服务,如WWW和SMTP等,必须经过堡垒主机才能联接到Internet,并在堡垒主机上运行该服务的代理服务器。
怎样安排这些服务取决于安全策略。
5 结束语
随着信息技术的发展,影响通信网络安全的各种因素也会不断强化,因此计算机网络的安全问题也越来越受到人们的重视,以上我们简要的分析了计算机网络存在的几种安全隐患,以及一般采取的几种安全防范策略,主要讨论了防火墙在网络信息安全中所起到的作用。
总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。
我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。
世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
【参考文献】
[1]田园.网络安全教程[M].人民邮电出版社,.
[2]周学广.信息安全学[M].机械工业出版社,.
[3]丰继林,高焕之.网络安全技术[M].清华大学出版社,2009.
摘要:信息安全管理测评是信息安全管理的一部分,作为衡量信息安全管理状态及其绩效的信息安全管理测评方法学的研究已成为迫切需要解决的重要课题,其对组织信息安全保障体系的建设、管理和改进具有重要意义。
关键词:信息安全管理;测评;要素;指标
某市政府中心网络安全方案设计
1.1安全系统建设目标
本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。
1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险;
2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护;
3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。
具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制;
其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。
1.1.1 防火墙系统设计方案
1.1.1.1 防火墙对服务器的安全保护
网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为“黑客”攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。
如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着“黑客”各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
1.1.1.2 防火墙对内部非法用户的防范
网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。
对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安
全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内咳嗽狈⑵鸸セ鳎诓客缰骰薹ū苊獾卦獾剿鸷Γ乇鹗钦攵杂贜ETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用“黑客”工具造成严重破坏。
1.1.2入侵检测系统
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,入侵者也可能就在防火墙内。
网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。网络监控系统可以部署在网络中有安全风险的地方,如局域网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域,可以单独各部署一套网络监控系统(管理器+探测引擎),也可以在每个需要保护的地方单独部署一个探测引擎,在全网使用一个管理器,这种方式便于进行集中管理。
在内部应用网络中的重要网段,使用网络探测引擎,监视并记录该网段上的所有操作,在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。同时,网络监视器还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。
需要说明的是,IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。
按照现阶段的网络及系统环境划分不同的网络安全风险区域,xxx市政府本期网络安全系统项目的需求为:
区域 部署安全产品
内网 连接到Internet的出口处安装两台互为双机热备的海信FW3010PF-4000型百兆防火墙;在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器;在主干交换机上安装NetHawk网络安全监控与审计系统;在内部工作站上安装趋势防毒墙网络版防病毒软件;在各服务器上安装趋势防毒墙服务器版防病毒软件。
DMZ区 在服务器上安装趋势防毒墙服务器版防病毒软件;安装一台InterScan
VirusWall防病毒网关;安装百兆眼镜蛇入侵检测系统探测器和NetHawk网络安全监控与审计系统。
安全监控与备份中心 安装FW3010-5000千兆防火墙,安装RJ-iTOP榕基网络安全漏洞扫描器;安装眼镜蛇入侵检测系统控制台和百兆探测器;安装趋势防毒墙服务器版管理服务器,趋势防毒墙网络版管理服务器,对各防病毒软件进行集中管理。
1.2防火墙安全系统技术方案
某市政府局域网是应用的中心,存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。
所有的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到主干交换机上。由于工作站分布较广且全部连接,对中心的服务器及应用构成了极大的威胁,尤其是可能通过广域网上的工作站直接攻击服务器。因此,必须将中心与广域网进行隔离防护。考虑到效率,数据主要在主干交换机上流通,通过防火墙流入流出的流量不会超过百兆,因此使用百兆防火墙就完全可以满足要求。
如下图,我们在中心机房的DMZ服务区上安装两台互为冗余备份的海信FW3010PF-4000百兆防火墙,DMZ口通过交换机与WWW/FTP、DNS/MAIL服务器连接。同时,安装一台Fw3010PF-5000千兆防火墙,将安全与备份中心与其他区域逻辑隔离开来通过安装防火墙,实现下列的安全目标:
1) 利用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信;
2) 利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;
3) 利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝;
4) 利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5) 利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;
6) 利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线;
7) 根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。
1.3入侵检测系统技术方案
如下图所示,我们建议在局域网中心交换机安装一台海信眼镜蛇入侵检测系统千兆探测器,DMZ区交换机上安装一台海信眼镜蛇入侵检测系统百兆探测器,用以实时检测局域网用户和外网用户对主机的访问,在安全监控与备份中心安装一台海信眼镜蛇入侵检测系统百兆探测器和海信眼镜蛇入侵检测系统控制台,由系统控制台进行统一的管理(统一事件库升级、统一安全防护策略、统一上报日志生成报表)。
其中,海信眼镜蛇网络入侵检测系统还可以与海信FW3010PF防火墙进行联动,一旦发现由外部发起的攻击行为,将向防火墙发送通知报文,由防火墙来阻断连接,实现动态的安全防护体系。海信眼镜蛇入侵检测系统可以联动的防火墙有:海信FW3010PF防火墙,支持OPSEC协议的防火墙。
通过使用入侵检测系统,我们可以做到:
1) 对网络边界点的数据进行检测,防止黑客的入侵; 2) 对服务器的数据流量进行检测,防止入侵者的蓄意破坏和篡改; 3) 监视内部用户和系统的运行状况,查找非法用户和合法用户的越权操作; 4) 对用户的非正常活动进行统计分析,发现入侵行为的规律; 5) 实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动; 6) 对关键正常事件及异常行为记录日志,进行审计跟踪管理。
通过使用海信眼镜蛇入侵检测系统可以容易的完成对以下的攻击识别:网络信息收集、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。
网络给某市政府带来巨大便利的同时,也带来了许多挑战,其中安全问题尤为突出。加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险会日益加重。引起这些风险的原因有多种,其中网络系统结构和系统的应用等因素尤为重要。主要涉及物理安全、链路安全、网络安全、系统安全、应用安全及管理安全等方面。通过以上方案的设计和实施,所有安全隐患就得到了良好的改善。
网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署:网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备,并且在各个设备或系统之间,能够实现系统功能互补和协调动作。
网络系统安全具备的功能及配置原则
1.网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离,并建立访问控制机制,将绝大多数攻击阻止在网络和服务的边界以外。
2.漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查,发现可能被攻击所利用的漏洞,并利用补丁或从管理上堵塞漏洞。
3.入侵检测与响应。通过对特定网络(段)、服务建立的入侵检测与响应体系,实时检测出攻击倾向和行为,并采取相应的行动(如断开网络连接和服务、记录攻击过程、加强审计等)。
4.加密保护。主动的加密通信,可使攻击者不能了解、修改敏感信息(如方式)或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丢失。
5.备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
6.监控与审计。在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录;另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。
边界安全解决方案
在利用公共网络与外部进行连接的“内”外网络边界处使用防火墙,为“内部”网络(段)与“外部”网络(段)划定安全边界。在网络内部进行各种连接的地方使用带防火墙功能的设备,在进行“内”外网络(段)的隔离的同时建立网络(段)之间的安全通道。
1.防火墙应具备如下功能:
使用NAT把DMZ区的服务器和内部端口影射到Firewall的对外端口;
允许Internet公网用户访问到DMZ区的应用服务:http、ftp、smtp、dns等;
允许DMZ区内的工作站与应用服务器访问Internet公网;
允许内部用户访问DMZ的应用服务:http、ftp、smtp、dns、pop3、https;
允许内部网用户通过代理访问Internet公网;
禁止Internet公网用户进入内部网络和非法访问DMZ区应用服务器;
禁止DMZ区的公开服务器访问内部网络;
防止来自Internet的DOS一类的攻击;
能接受入侵检测的联动要求,可实现对实时入侵的策略响应;
对所保护的主机的常用应用通信协议(http、ftp、telnet、smtp)能够替换服务器的Banner信息,防止恶意用户信息刺探;
提供日志报表的自动生成功能,便于事件的分析;
提供实时的网络状态监控功能,能够实时的查看网络通信行为的连接状态(当前有那些连接、正在连接的IP、正在关闭的连接等信息),通信数据流量。提供连接查询和动态图表显示。
防火墙自身必须是有防黑客攻击的保护能力。
2.带防火墙功能的设备是在防火墙基本功能(隔离和访问控制)基础上,通过功能扩展,同时具有在IP层构建端到端的具有加密选项功能的ESP隧道能力,这类设备也有S的,主要用于通过外部网络(公共通信基础网络)将两个或两个以上“内部”局域网安全地连接起来,一般要求S应具有一下功能:
防火墙基本功能,主要包括:IP包过虑、应用代理、提供DMZ端口和NAT功能等(有些功能描述与上相同);
具有对连接两端的实体鉴别认证能力;
支持移动用户远程的安全接入;
支持IPESP隧道内传输数据的完整性和机密性保护;
提供系统内密钥管理功能;
S设备自身具有防黑客攻击以及网上设备认证的能力。
入侵检测与响应方案
在网络边界配置入侵检测设备,不仅是对防火墙功能的必要补充,而且可与防火墙一起构建网络边界的防御体系。通过入侵检测设备对网络行为和流量的特征分析,可以检测出侵害“内部”网络或对外泄漏的网络行为和流量,与防火墙形成某种协调关系的互动,从而在“内部”网与外部网的边界处形成保护体系。
入侵检测系统的基本功能如下:
通过检测引擎对各种应用协议,操作系统,网络交换的数据进行分析,检测出网络入侵事件和可疑操作行为。
对自身的数据库进行自动维护,无需人工干预,并且不对网络的正常运行造成任何干扰。
采取多种报警方式实时报警、音响报警,信息记录到数据库,提供电子邮件报警、SysLog报警、SNMPTrap报警、Windows日志报警、Windows消息报警信息,并按照预设策略,根据提供的报警信息切断攻击连接。
与防火墙建立协调联动,运行自定义的多种响应方式,及时阻隔或消除异常行为。
全面查看网络中发生的所有应用和连接,完整的显示当前网络连接状态。
可对网络中的攻击事件,访问记录进行适时查询,并可根据查询结果输出图文报表,能让管理人员方便的提取信息。
入侵检测系统犹如摄像头、监视器,在可疑行为发生前有预警,在攻击行为发生时有报警,在攻击事件发生后能记录,做到事前、事中、事后有据可查。
漏洞扫描方案
除利用入侵检测设备检测对网络的入侵和异常流量外,还需要针对主机系统的漏洞采取检查和发现措施。目前常用的方法是配置漏洞扫描设备。主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞,并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。
对于漏洞扫描的结果,一般可以按扫描提示信息和建议,属外购标准产品问题的,应及时升级换代或安装补丁程序;属委托开发的产品问题的,应与开发商协议修改程序或安装补丁程序;属于系统配置出现的问题,应建议系统管理员修改配置参数,或视情况关闭或卸载引发安全漏洞的程序模块或功能模块。
漏洞扫描功能是协助安全管理、掌握网络安全态势的必要辅助,对使用这一工具的安全管理员或系统管理员有较高的技术素质要求。
考虑到漏洞扫描能检测出防火墙策略配置中的问题,能与入侵检测形成很好的互补关系:漏洞扫描与评估系统使系统管理员在事前掌握主动地位,在攻击事件发生前找出并关闭安全漏洞;而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。因此,漏洞扫描与入侵检测在安全保护方面不但有共同的安全目标,而且关系密切。本方案建议采购将入侵检测、管理控制中心与漏洞扫描一体化集成的产品,不但可以简化管理,而且便于漏洞扫描、入侵检测和防火墙之间的协调动作。
网络防病毒方案
网络防病毒产品较为成熟,且有几种主流产品。本方案建议,网络防病毒系统应具备下列功能:
网络&单机防护—提供个人或家庭用户病毒防护;
文件及存储服务器防护—提供服务器病毒防护;
邮件服务器防护—提供LotusNotes,MicrosoftExchange等病毒防护;
网关防护—在SMTP,HTTP,和FTPservergateway阻挡计算机病毒;
集中管理—为企业网络的防毒策略,提供了强大的集中控管能力。
关于安全设备之间的功能互补与协调运行
各种网络安全设备(防火墙、入侵检测、漏洞扫描、防病毒产品等),都有自己独特的安全探测与安全保护能力,但又有基于自身主要功能的扩展能力和与其它安全功能的对接能力或延续能力。因此,在安全设备选型和配置时,尽可能考虑到相关安全设备的功能互补与协调运行,对于提高网络平台的整体安全性具有重要意义。
防火墙是目前广泛用于隔离网络(段)边界并实施进/出信息流控制的大众型网络安全产品之一。作为不同网络(段)之间的逻辑隔离设备,防火墙将内部可信区域与外部危险区域有效隔离,将网络的安全策略制定和信息流动集中管理控制,为网络边界提供保护,是抵御入侵控制内外非法连接的。
但防火墙具有局限性。这种局限性并不说明防火墙功能有失缺,而且由于本身只应该承担这样的职能。因为防火墙是配置在网络连接边界的通道处的,这就决定了它的基本职能只应提供静态防御,其规则都必须事先设置,对于实时的攻击或异常的行为不能做出实时反应。这些控制规则只能是粗颗粒的,对一些协议细节无法做到完全解析。而且,防火墙无法自动调整策略设置以阻断正在进行的攻击,也无法防范基于协议的攻击。
为了弥补防火墙在实际应用中存在的局限,防火墙厂商主动提出了协调互动思想即联动问题。防火墙联动即将其它安全设备(组件)(例如IDS)探测或处理的结果通过接口引入系统内调整防火墙的安全策略,增强防火墙的访问控制能力和范围,提高整体安全水平。
目前,防火墙形成联动的主要有以下几种方式:
1.与入侵检测实现联动
目前,实现入侵检测和防火墙之间的联动有两种方式。一种是实现紧密结合,即把入侵检测系统嵌入到防火墙中,即入侵检测系统的数据来源不再来源于抓包,而是流经防火墙的数据流。但由于入侵检测系统本身也是一个很庞大的系统,从目前的软硬件处理能力来看,这种联动难于达到预期效果。第二种方式是通过开放接口来实现联动,即防火墙或者入侵检测系统开放一个接口供对方调用,按照一定的协议进行通信、警报和传输,这种方式比较灵活,不影响防火墙和入侵检测系统的性能。
防火墙与入侵检测系统联动,可以对网络进行动静结合的保护,对网络行为进行细颗粒的检查,并对网络内外两个部分都进行可靠管理。
2.与防病毒实现联动
防火墙处于内外网络信息流的必经之地,在网关一级对病毒进行查杀是网络防病毒的理想措施。目前已有一些厂商的防火墙可以与病毒防治软件进行联动,通过提供API定义异步接口,将数据包转发到装载了网关病毒防护软件的服务器上进行检查,但这种联动由于性能影响,目前并不适宜部署在网络边界处。
3.与日志处理间实现联动
防火墙与日志处理之间的联动,目前国内厂商做的不多。比较有代表性的是CheckPoint的防火墙,它提供两个API:LEA(LogExportAPI)和ELA(EventLoggingAPI),允许第三方访问日志数据。报表和事件分析采用LE保护信息安全的方案PI,而安全与事件整合采用EL保护信息安全的方案PI。防火墙产品利用这个接口与其他日志服务器合作,将大量的日志处理工作由专门的服务设备完成,提高了专业化程度。
内部网络监控与审计方案
上面的安全措施配置解决了网络边界的隔离与保护,网络与主机的健康(防病毒)运行,以及用户访问网络资源的身份认证和授权问题。
然而,县卫生局网络内部各办公网络、业务网络的运行秩序的维护,网络操作行为的监督,各种违规、违法行为的取证和责任认定,以及对操作系统漏洞引发的安全事件的监视和控制等问题,则是必须予以解决的问题。因此有必要在各种内部办公网络、业务网内部部署集中管理、分布式控制的监控与审计系统。这种系统通过在局域网(子网)内的管理中心安装管理器,在各台主机(PC机)中安装的代理软件形成一个监控与审计(虚拟网络)系统,通过对代理软件的策略配置,使得每台工作主机(PC机)按照办公或业务操作规范进行操作,并对可能经过主机外围接口(USB口、串/并口、软硬盘接口等)引入的非法入侵(包括病毒、木马等),或非法外连和外泄的行为予以阻断和记录;同时管理器通过网络还能及时收集各主机上的安全状态信息并下达控制命令,形成“事前预警、事中控制和事后审计”的监控链。
监控与审计系统应具有下列功能:
管理器自动识别局域网内所有被监控对象之间的网络拓扑关系,并采用图形化显示,包括被监控主机的状态(如在线、离线)等;
支持对包含有多个子网的局域网进行全面监控;
系统对被监控对象的USB移动存储设备、光驱、软驱等外设的使用以及利用这些设备进行文件操作等非授权行为进行实时监视、控制和审计;
系统对被监控对象的串/并口等接口的活动状态进行实时监视、控制和审计;
系统对进出被监控对象的网络通信(www,ftp,pop,smtp)数据包进行实时拦截、分析、处理和审计,对telnet通信数据包进行拦截;
系统可根据策略规定,禁止被监控对象进行拨号(普通modem拨号、ADSL拨号、社区宽带拨号)连接,同时提供审计;
系统对被监控对象运行的所有进程进行实时监视和审计;
系统支持群组管理,管理员可以根据被监控对象的属性特征,将其划分成不同的安全组,对每个组制定不同的安全策略,所有组的成员都根据该策略执行监控功能;
支持多角色管理,系统将管理员和审计员的角色分离,各司其职;
强审计能力,系统具有管理员操作审计、被监控对象发送的事件审计等功能;
系统自身有极强的安全性,能抗欺骗、篡改、伪造、嗅探、重放等攻击。
★ 信息安全责任书
★ 信息安全承诺书
★ 信息安全论文
★ 信息安全管理制度
★ 信息安全自查报告
★ 信息安全个人简历
★ 信息安全规章制度
★ 信息安全保密制度
