前言:中文期刊网精心挑选了公司网络安全总结范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
公司网络安全总结范文1
【 关键词 】 信息安全;规划;规范;完善;信息系统
Research Into the Information Security Status Quo at Home and Abroad
Lin Lin
(Information Security Department of the Patent Office Beijing 100088)
【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis, for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect, standardization of information security system provides some reference opinions.
【 Keywords 】 information security; planning; specification; perfect; information system
1 引言
在当今全球一体化的环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为信息化管理越来越关键的一部分。面对越来越严峻的安全形势,世界各国高度重视信息安全保障。2015年已然过半,在安全行业,不同规模的攻击者,无论是技术还是组织都在快速提升。相比之下美国信息安全保障体系建设比较完善,信息保障已成为美军组织实施信息化作战的指导思想。
国际上信息安全标准化工作兴起于20世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则,与信息安全标准化有关的组织主要有几个:ISO(国际标准化组织)、IEC(国际电工委员会)、ITU(国际电信联盟)、IETF(Internet工程任务组)等。除了上述标准组织,世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。
2 国外IT新技术信息安全
随着全球信息化浪潮的不断推进,信息技术正在经历一场新的革命,使社会经济生活各方面都发生着日新月异的变化。虚拟化、云计算、物联网、IPv6等新技术、新应用和新模式的出现,对信息安全提出了新的要求,拓展了信息安全产业的发展空间。同时,新技术、新应用和新模式在国外市场的全面开拓将加快国外信息安全技术创新速度,催生云安全等新的信息安全应用领域,为国外企业与国际同步发展提供了契机。
2.1 云计算
“云安全”是继“云计算”、“云存储”之后出现的“云”技术的重要应用,已经在反病毒软件中取得了广泛的应用,发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全联盟CSA是在2009年的RSA大会上宣布成立的,云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。同时云安全联盟列出了云计算的七大安全风险:(1)数据丢失/泄漏;(2)共享技术漏洞;(3)内部控制;(4)账户、服务和通信劫持;(5)不安全的应用程序接口;(6)没有正确运用云计算;(7)透明度问题。
2.2 虚拟化
咨询公司Gartner将虚拟化技术列为2013年十大战略技术第一位,而在2014年初预测中,更是大胆断言到2015年20%的企业将不再拥有IT资产,因为多个内在关联的趋势正在推动企业去逐步减少IT硬件资产,这些趋势主要是虚拟化、云计算服务等。而虚拟化技术,作为云计算的一个支撑技术,必将成为未来最重要的最值得研究的IT技术之一。虽然目前针对各组件安全的保护措施不少,但是从CVE的公告中可以看出安全威胁仍然存在。目前针对虚拟化环境的主要威胁有三类:逃逸威胁、流量分析与隐蔽信道以及Host OS与Guest OS之间的共享问题。
2.3 物联网
物联网和互联网一样,都是一把“双刃剑”。物联网是一种虚拟网络与现实世界实时交互的新型系统,其特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。根据物联网自身的特点,物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成,缺少人对设备的有效监控,并且数量庞大,设备集群等相关特点造成的,这些特殊的安全问题主要有几个方面:(l)物联网机器/感知节点的本地安全问题;(2)感知网络的传输与信息安全问题;(3)核心网络的传输与信息安全问题;(4)物联网应用的安全问题。
2.4 IPv6
为适应Intemet的迅速发展及对网络安全性的需要,由IETF(The Internet Engineer Task Force)建议制定的下一代网际协议(IPNextGeneration Protocol,IPng),又被称为IP版本6(1Pv6),除了扩展到128位地址来解决地址匮乏外,在网络安全上也做了多项改进,可以有效地提高网络的安全性。
由于IPv6与IPv4网络将会,网络必然会同时存在两者的安全问题,或由此产生新的安全漏洞。已经发现从IPv4向IPv6转移时出现的一些安全漏洞,例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源,攻击者可以通过安装了双栈的使用IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。
3 国外信息安全发展趋势
据Gartner分析,当前国际大型企业在信息安全领域主要有几个发展趋势:(1) 信息安全投资从基础架构向应用系统转移;(2)信息安全的重心从技术向管理转移;(3)信息安全管理与企业风险管理、内控体系建设的结合日益紧密;(4)信息技术逐步向信息安全管理渗透。结合大型企业信息安全发展趋势,国际各大咨询公司、厂商等机构纷纷提出了符合大型企业业务和信息化发展需要的信息安全体系架构模型,着力建立全面的企业信息安全体系架构,使企业的信息安全保护模式从较为单一的保护模式发展成为系统、全面的保护模式。
4 国外信息安全总结
信息安全在国外已经上升到了国家战略层次,国外的信息安全总体发展领先于国内,特别是欧美,研究国外的信息安全现状有助于我国的信息安全规划。国外的主流的信息安全体系框架较多,都有其适用范围和缺点,并不完全符合我国现状,可选取框架的先进理念和组成部分为我国所用,如IATF的纵深防御理念和分层分区理念、ISO27000的信息安全管理模型、IBM的安全治理模块等。
5 国内信息安全综述
目前,国家开始高度重视信息安全问题,以等级保护和分级保护工作为主要手段,加强我国企事业单位的信息安全保障水平。 目前我国信息于网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态,信息与网络安全,目前处于忙于封堵现有信息系统的安全漏洞,要解决这 些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。
6 国内信息安全标准
国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)、中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会、公安部信息系统安全标准化技术委员会、国家保密局、国家密码管理委员会等部门。
在信息安全标准方面,我国已了《信息技术 安全技术 公钥基础设施在线证书状态协议》、《信息技术 安全技术 公钥基础设施证书管理协议》等几十项重要的国家信息安全基础标准,初步形成了包括基础标准、技术标准、管理标准和测评标准在内的信息安全标准体系框架。
7 国内IT新技术信息安全
7.1 云计算
目前我国的云计算应用还处于初始阶段,关注的重点是数据中心建设、虚拟化技术方面,因此,我国的云安全技术多数集中在虚拟化安全方面,对于云应用的安全技术所涉及的还不多。虽然当前众多厂商提出了各种云安全解决方案,但云安全仍处于起步阶段,除了可能发生的大规模计算资源的系统故障外,云计算安全隐患还包括缺乏统一的安全标准、适用法规、以及对于用户的隐私保护、数据、迁移、传输安全、灾备等问题。
7.2 虚拟化
由于虚拟化技术能够通过服务器整合而显著降低投资成本,并通过构建内部云和外部云节省大量的运营成本,因此加速了虚拟化在全球范围的普及与应用。目前许多预测已经成为现实:存储虚拟化真正落地、高端应用程序虚拟化渐成主流、网络虚拟化逐渐普及、虚拟化数据中心朝着云计算的方向大步迈进、管理工具比以往更加关注虚拟数据中心。在虚拟化技术应用方面,企业桌面虚拟化、手机虚拟化、面向虚拟化的安全解决方案、虚拟化推动绿色中心发展等领域也取得了长足进步,发展势头比之前预想的还要迅猛。
7.3 IPv6
我国IPv6标准整体上仍处于跟随国际标准的地位,IPv6标准进展与国际标准基本一致,在过渡类标准方面有所创新(如软线技术标准和 IVI技术标准等),已进入国际标准。中国运营企业在IPv6网络的发展,奠定了中国在世界范围内IPv6领域的地位,积累了一定的运营经验。但总体来看,我国IPv6运营业发展缓慢,主要体现在IPv6网络集中在骨干网层面,向边缘网络延伸不足,难以为IPv6特色业务的开发和规模商用提供有效平台。此外,由于运营企业积极申请IPv4地址,或采用私有地址,对于发展IPv6用户并不积极,直接影响了其他产业环节的IPv6投入力度。
8 国内信息安全发展趋势
随着信息技术的快速发展和广泛应用,基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全等问题与日俱增,应用安全日益受到关注,主动防御技术成为信息安全技术发展的重点。
第一,向系统化、主动防御方向发展。信息安全保障逐步由传统的被动防护转向"监测-响应式"的主动防御,产品功能集成化、系统化趋势明显,功能越来越丰富,性能不断提高;产品问自适应联动防护、综合防御水平不断提高。
第二,向网络化、智能化方向发展。计算技术的重心从计算机转向互联网,互联网正在逐步成为软件开发、部署、运行和服务的平台,对高效防范和综合治理的要求日益提高,信息安全产品向网络化、智能化方向发展。网络身份认证、安全智能技术、新型密码算法等信息安全技术日益受到重视。
第三,向服务化方向发展。信息安全内容正从技术、产品主导向技术、产品、服务并重调整,安全服务逐步成为发展重点。
9 国内信息安全总结
国内的信息安全较国外有一定距离,不过也正在快速赶上,国内现在以等级保护体系和分级保护体系为主要手段,以保护重点为特点,强制实施以提高对重点系统和设施的信息安全保障水平,国内的信息安全标准通过引进和消化也已经初步成了体系,我国在规划时,需考虑合规因素,如等级保护和分级保护。国内的信息安全体系框架较少,主要是等级保护和分级保护,也有国内专家个人推崇的框架,总体来讲,以合规为主要目的。
参考资料
[1] 中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例.1994.
[2] 公安部,国家保密局,国家密码管理局,国务院信息化工作办公室.信息安全等级保护管理办法.2007.
[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.
[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.
[5] Trustwave .2012 Global Security Report,2012.
[6] The White House. Federal Plan for Cyber Security and Information Assurance Research and Development. April, 2006.
公司网络安全总结范文2
实习对于我们来说是非常必要的,不仅使我们在课堂上学到的东西得到在现实工作中运用,更重要的是能够体验丰富自己的社会实践阅历,尽快适应社会,而且还可以在社会中学到一些在课本上学不到的东西,锻炼自己的社会本能,这样在以后毕业后出到社会就可以以最快,最好的态势来适应社会环境,投身到自己的工作岗位。于是,在大一大二暑假我都提前踏上社会实习,体验社会工作的压力,下面我就大二到网络科技有限公司做电话营销的实习做一下回顾。
二、实践目的
通过到网络科技有限公司实习,首先,可以对互联网行业做进一步的了解;其次,可以更深一步了解电子商务网络安全的防护措施;再次,可以将本专业所学的知识应用到实践中,不仅可以巩固专业知识,还能进一步提升完善知识框架;最后,感受公司的企业文化,了解公司的管理体制和经营之道,学会如何在企业做事,做人。
三、实践内容
针对央行文件,拥有支付清算系统公司要做安全评估,访问相关客户
每天下班前对当天电话访问的情况做详细记录,并总结
针对电子商务网站安全,做产品信息网页防篡改,防病毒等宣传,挖掘潜在客户
两三天开一次远程会议,做工作汇报总结,发现其中问题,及时做修改及经验交流
针对高校招生时期,对高校教育网做招生信息,学校信息网页防篡改,防病毒等宣传,挖掘潜在客户
对已遭受黑客攻击的网站,进行安全漏洞修补宣传,以及防止被黑的措施宣传,挖掘潜在客户
第一周:开始进入公司实习,第一周主要是培训。
首先是公司的人力资源主管,给我们介绍了一些关于公司的规章制度,和工作期间的一些相关事项。接着就是华南地区总经理和网络安全总监,给我们介绍了这次实习项目的主要内容,让我们有个大概的了解。了解完公司的大概情况后,就开始培训跟项目有关的技术知识了。给我们介绍技术知识的是技术部的主管,为我们讲解了关于网络安全的相关技术,如SOC,DDoS,流量控制,防火墙等。虽然学过电子商务安全与支付,了解过相关网页安全及支付系统安全的控制技术,但还有很多相关安全技术还是不懂的。经过了技术主管的培训,虽然只是简单的讲解,也扩展了我对电子商务安全方面的技术知识。
第二天,就开始进入电话营销的知识培训了。给我们培训的是客户服务总监,是台湾人。由于做这个项目的还有湖南长沙分公司的几个人,所以就湖南和广州的一起开培训会议,通过远程视频三地连接,虽然是通过互联网的开会,但是跟实际坐在一个会议室开会是一样的,你的任何声音,任何动作,其他人都可以听到看到的。客服总监给我们讲解了一些电话营销的技巧以及常用术语,然后发了些资料让我们背熟。
了解了技巧,熟悉了术语,该是考验我们掌握的程度的时候了。客服总监让广州与湖南的的实习生相互训练,即一个扮演客户,一个扮演电话营销员,让我们在完全不知道对方会作何反应的情况下随机应变,大大提升了我们的实践经验。
第二周:第一个任务——针对央行的最新文件,要求拥有支付清算系统的公司要做安全检测。
接受了系统的培训后,就开始正式对外拨号了。所以我们就搜集了拥有支付清算业务的公司的资料,包括公司名称、网站、地址、电话、联系人、邮箱等,然后输入事先已经制作好的表格里。资料搜集后,就一个一个打电话,通过各种方法找到相关负责人,然后询问他们关于支付清算系统的安全检测问题是否已经做了,根据他们的知情程度、是否完成、以及是否有意愿完成、是否继续跟进等将访问的结果记录到表格里。
很多时候我们打电话过去,才刚刚报了公司名字后,以为我们是推销东西的,就立刻遭到拒绝。有时候有些公司根本不清楚支付系统安全方面是谁负责的,电话接来接去都找不到负责人。有时候接线员就骗我们说负责人不在,故意推脱。刚开始的时候,屡次的失败让我们自信心很受打击。
每天下班前都要把今天所拨打的电话的访问情况记录整理好,然后发给客服总监,同时下班前客服总监会召我们开会,汇报今天的电访情况,以及遇到的无法解决的问题,与大家进行交流,并想出应付办法。
第三周:开始第二个任务——针对电子商务网站做网页安全宣传。
电子商务网站涉及交易信息、商品信息以及支付信息等一系列安全问题。一些黑客可能会把网站上的商品信息(如价格)进行篡改,从而导致电子商务企业和客户陷入误解纠纷等。因此电子商务网站要时刻进行漏洞扫描,及时修补,以防黑客进行攻击。我们针对这些要点对电子商务网站公司进行电话访问,了解他们的需求,同时宣传我们公司在这方面的业务成就。
同样的,我们事先就制作表格,搜集客户资料进行输入,同时对每个客户访问后的反应做整理,然后输入表格里面。在本周开展新任务的同时,我们也对上周需要进一步跟进的客户进行了再一次电访,以尽可能促成交易。
第四周:开始第三个任务——针对高校招生时期,对高校网页防篡改做业务宣传。
恰逢暑假时期,各地高校正在忙着招生,各高校网都会更新关于招生的信息,各个学生家长也都会登录高校网站查看自己的录取情况。因此,很多黑客骗子会利用篡改高校网站招生信息,或是制作类似已有高校的网站的假高校网站骗取学生以牟取暴利,像北大清华等名牌高校都有被篡改过的前例。所以有安全意识的高校就会重视,也会有这方面的需求。我们便针对此要点拨通广东所有高校的电话,试图找到网络中心的负责人进行交流。
学生与老师的交流自然比之前的与商业企业要容易多,不会很快就被人拒绝了。不过电访过程我们还是会遇到很多问题,例如放假了学校网络中心是实行值班制,很多时候打电话过去都没人接听。另外就是网络中心老师有这方面意识,但学校项目需要向学校领导申请审批等一系列问题都难以促成交易。
第五周:开始第四个任务——根据国家信息中心提供的被黑网站统计系统,针对已经被黑的网站,劝其及时修补漏洞,删除被黑网页。
公司与国家信息中心有合作,根据国家信息中心提供的一个被黑网站统计系统,系统里每天都会更新搜集被黑网页的链接,根据这个链接我们可以找到他的原始网站,再从网站上搜集公司的电话,进行拨打,告知对方网站已存在安全漏洞,已遭黑客攻击,需要及时修补,从而希望对方可以让我司为其提供这方面的服务。
电访中很多网站是外包给网站建设公司的,原网站企业老板根本就不懂这方面的技术,而且说外包公司会负责其网站的安全维护。另外有些公司负责人不相信他们网站已被黑,我们便提供了他们网站被黑链接给他们。电访中遇到的种种我们无法事先想象的问题,我们都会在事后开会交流中讨论解决方案,以应付可能出现的问题。
五、实践总结
一、选择自己认可的工作
两年暑假实践的对比,让我了解到,一个人如果做一件自己认可的工作,他会很认真很投入去完成,而做一件自己不认可的工作,你会发现你自己是在勉强过日子。网络信息安全,对于一个读电子商务的我来讲,可以说是专业知识。网站漏洞、病毒入侵、黑客攻击、网上支付安全等,我们很清楚互联网的给人类带来方便的同时也会带来安全隐患,而我们也会极力去防范这些隐患的发生。我认可这项工作,因此我会很自然地跟客户介绍这项服务,可以有足够的理由及说服力劝说客户接受我的观点。而如果一件东西你自己都不认可,你又怎么可能有足够的理由和自信心去让别人接受呢?因此一定要选择自己认可的工作,你才会去用心投入,才会收到你想要的结果。
二、工作安排及总结
每天早上上班开始时先为自己今天的工作做个计划,让自己知道今天要做哪些事。然后一定要在下班前完成它。因为没有计划就不会有行动,也不会有压力,会让自己变得懒惰。工作中会遇到很多你原先没有想到的情况,就要及时记录下来,以待改进。如果没有记下来的话你会很快就忘记。因为每天接触几十个客户,不把每个客户的情况及时记下,回头你怎么可能记得哪个客户说过哪些话呢?临近下班时,就要把今天的工作内容汇总整理好,以便以后翻阅。也把当天遇到的特殊情况或是自己无法应付的情况总结一下,向上级报告后交流下次如何应付。每天都做个dailyreport。积少成多,这就是你成长的见证。
三、专业知识
刚学完电子商务概论,知道了电子商务不只是局限在网上商城这一类,还有ISP、ICP、IDC、VPN等网络提供商。当进入网络科技有限公司,一个做因特网服务提供商的公司实践时,当培训讲了那些网络通信知识时,才发现原来专业知识是那么有用的。当与客户交流,涉及到不少专业知识,而自己无法解释时才后悔自己上课时不认真学好,只为应付考试而去看书的,而过后就忘得一干二净。因此专业知识一定要认真学好,尤其时当你去从事一个技术含量比较高时,对专业知识的要求自然也会高。因此奉劝大家不要只为考试而去读书,专业知识的精通是你区别他人的筹码。
当你接到面试通知后,你就应该去了解你所要应聘的职位。职位的要求是什么,需要哪方面的能力,面试官可能会问什么等等。电话营销,一个我即将要去挑战的职位,当我接到面试通知后,利用有限的一两天时间,我立刻上网找了关于电话营销的相关资料,要求、流程、技巧通通过目一遍,另外也跑去图书馆借了几本电话营销技巧的书来看,让自己对这个职位有充分的了解并且做到心里有底。另外还准备了自我介绍,以及设想面试官可能会问到的问题都准备好。
着装方面,虽然公司没有要求,但是我还是穿了正装去面试。没穿正装你不会扣分,但穿了正装你一定会加分。当众多面试者中只有你一个人穿正装的话,面试官会给你打个很高的印象分,这也是你脱颖而出的因素。所以想在面试中取胜就必须做好前期准备,比别人花更多的心思。如果连暑假实践这样比较简单的面试都不好好准备,那又怎么能够去挑战毕业后的高难度面试呢?
二、公司氛围
当我第一天去这家公司报到时,公司的人很热情,对我们两个初来报到的暑假工照顾很周到,华南地区的副总经理、网络安全的总监也很随和,甚至第二天总监还请我们吃饭。整个公司的氛围很融洽,让人很有归属感。这不禁让我想起了去年在保险公司实习的感受,简直是天壤之别。保险公司的人心机很重,让人觉得社会很黑。而的氛围却让我感觉就像在学校一样,大家都是大学毕业的,没有那种沉重的心机,都是敞开心扉去交友的。大家一起看日全食,一起吃西瓜,一起吃哈密瓜。因此我总结出:学历素质人品公司氛围职工奉献程度公司效益。因此,如果一个团体想收到优异的成绩时,就必须营造良好的氛围,让成员有归属感,这样他们才愿意为这个团体奉献更多。
