如何构建网络安全范文1
关键词:计算机网络 安全 信息 环境 技术
如今,随着计算机技术的快速发展,信息全球化不再是一种趋势,已经变成了不争的事实,在为人们带来便捷的同时,有些问题却又不得不去面对。首先,互联网是把千万台电脑联系在一起形成的网络,其本身就具有互联、开放的特点,有些精通计算机技术的人为了自身利益,利用计算机漏洞,通过网络窃取别人资料,其中最具有代表性的就是“黑客”,这类人往往技术性强,作案目标明确,还有部分计算机爱好者,为了显示自己高超的技术功底,故意编写病毒、木马程序投入网络,结果给其它用户带来巨大损失。以上说明,我国的计算机网络安全观念还很落后,为了构建一个稳定、安全的计算机网络环境,必须采取有效措施,不但要提高计算机用户网络安全意识,更要从技术层面对计算机网络安全予以支持。
一、威胁计算机网络安全的因素
造成计算机网络不安全的因素有很多,其中,对网络造成威胁的主要有如下几个方面:
1.非授权访问
什么是非授权访问?一般来说,所有未征得同意,就对计算机网络资源进行访问,均视为非授权访问。非授权访问主要有假冒、身份攻击、合法用户以未授权方式进行网络访问等操作,比如通过计算机技术知识,以非正常方式获得计算机网络访问权,刻意规避系统访问控制机制,擅自更改访问权限,对网络设备及资源进行违法访问。
2.信息泄露或丢失
信息安全对网络用户来说是至关重要的,因为它往往关系到用户的个人隐私和经济安全,那么信息是通过怎样的途径泄露或丢失的呢?总的来说,主要方式有木马植入、黑客攻击、病毒破坏等几种方式,其中,黑客攻击主要是利用信息在传递过程中通过电磁泄露或搭线窃听的方式截获信息,或者通过对信息参数分析,从而获得用户的账号、密码等资料。
3.破坏数据完整性
通过网络恶意入侵用户客户端,恶意删除用户资料,修改客户信息,植入木马程序,以便于给攻击者提供相应,从而干扰用户的正常使用。
4.拒绝服务攻击
通过对用户的不间断干扰,使用户无法正常作业,或不断发送垃圾信息,阻塞网络通道,总是执行无用程序,使系统反应减慢,甚至瘫痪,把合法用户排斥在网络之外,无法得到相应服务。
5.利用网络传播病毒
网络病毒具有极强的复制性和破坏性,其破坏性远远高于单机系统,如果一旦通过网络进行传播,往往容易大范围扩散,造成难以估计的损失,并且普通用户很难做出反应。
二、网络安全建设方法与技术
由于我国对网络法律法规的相关制度还不完善,而且网络用户群过于庞大,往往很难管理,和现实环境不同,网络是一个相当自由的空间,由于受到的约束小,因此,突发事件的发生率很高。因此,为了维护计算机网络安全,保障网络系统正常运行,保护用户的利益,必须制定相应的网络安全防范措施。以下为防范网络攻击的主要几种办法。
1.计算机病毒防治
对于缺乏计算机专业知识的普通用户来讲,保护上网环境的主要方法就是安装计算机杀毒软件。一般来讲,安装计算机杀毒软件后,只要进行正常的维护和更新,就能够抵御大多数病毒。病毒入侵时,杀毒软件能够根据数据库中已知的病毒特征及时发出警报,把病毒抵御在大门之外,因此,经常更新杀毒软件非常重要。
2.防火墙技术
我们把防火墙比作一面墙,把内部网络和外部网络相互隔开,内部网络的所有通信经过防火墙的过滤,只有通过授权允许的通信才能顺利访问网络。
3.入侵检测
网络攻击者为什么能够通过网络对其它计算机进行攻击和入侵呢?其实,能够为攻击者提供攻击途径的方式有很多,比如系统本身存在漏洞,TCP/IP协议,网络设备等,都为攻击者提供了便利的条件。因此,应该对网络系统设定预警机制,一旦用户受到攻击,能够及时发现,采取行动。否则,攻击者入侵到主机,我们也很难发现,就有可能进行违法活动。
4.安全漏洞扫描技术
安全漏洞扫描就是通过对主机的安全扫描,及早发现存在的漏洞,并提供相应的修复补丁,通过这样的程序逐渐对系统进行完善。安全漏洞扫描主要分为三种,分别是主机漏洞扫描、网络漏洞扫描、数据库漏洞扫描等,不管是哪一种扫描,都是对系统完善的过程,只有经常进行软件更新,修补漏洞,才能有效阻止黑客的入侵。
5.数据加密技术
数据加密技术是一种常见的网络安全技术,然而却能有效保护信息安全,被称为信息安全的核心。它主要通过对变换和置换等方法将信息转变为密文,在进行储存和传输是,就算被别人截获也无法获取其内容,从而达到保护信息安全的目的,此种方法的有效保密性主要取决于所采用的算法及密匙长度。
6.安全隔离技术
针对目前各种新型网络攻击手段的产生,人们对高级别的网络安全环境更加迫切,基于这种理念,“安全隔离技术”应运产生。 安全隔离技术的主要作用在于为用户提供高安全的网络环境,把有害的网络攻击进行隔离,确保内部网络信息安全,完成网络间信息的安全交换。
7.黑客诱骗技术
随着黑客攻击事件的频繁发生,网络安全专家为了解决这种问题,新发展了一项“黑客诱骗技术”,通过精心设置的系统引诱黑客,对黑客的行为进行跟踪和监控,从而了解黑客攻击目的,而黑客却难以知道自己已被控制,这种系统通常被称为“蜜罐系统”。
8.网络安全管理防范措施
为了建设安全的网络环境,就应该运用综合手段进行防范,除了加强技术手段的运用,还应强化管理工作。制定相关的网络制度,落实管理人员职责,限制访问权限,制定安全管理登记,这些对维护网络安全都有促进作用。
参考文献:
如何构建网络安全范文2
关键词:网络安全;网络管理;企业网
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2010) 14-0000-01
Enterprise Network Security
Sun Xuyang
(Tianjin Polytechnic University,School of Computer Science&Software Engineering,Tianjin300160,China)
Abstract:Network security must be considered for network building of any system.Within the enterprise network,involving the production,management,planning and other important data is relatively more sensitive,office more and more dependent on the network,the threat from the Internet more and more,how to ensure effective enterprise network security is the management of each network and the problems faced by the enterprise to establish an effective network security solutions is very important.
Keywords:Network security;Network management;Enterprise network
一、概述
随着网络在企业生产经营中应用越来越广、越来越深,企业网络安全的问题也日益凸显。来自企业网外部和内部的攻击无时不刻都在威胁着企业网络的安全,也成了每一位网络管理人员都需要面临的考验。如何建立一个完整的企业网络安全解决方案,减少因网络攻击和病毒引发的生产经营数据的丢失和外泄引发的损失,本文将进行一个浅显的探讨。
二、网络安全的基础――网络设计
网络的设计与建设,是构建一个安全网络的基础。合理的网络构架设计将为未来网络安全的设计与构建节省一大部分开销,这些开销包括了设计、成本和系统的效率等。因此,在构建一个网络的初期,就必须将网络系统的安全作为设计的基本要素,考虑到整个系统中。一个大型的企业,如在地域上分部较为集中,其内网为了增大运行保险系数,一般主干采用双环网的网络构架。这种网络在一路主用线缆引故障停止时会自动切换到备用环上,当然,根据具体的系统配置的不同,双环网正常工作时又会被分为双路负载分担型和双路数据同步型等类型,在这里就不详细介绍了。一个企业如在地域上较为分散,下属有多家子公司且这些子公司又拥有自己的网络的情况下,最好采用以树形或星型网络结构为主的复合型网络设计。这种设计使得各网络层次的访问控制权限一目了然,便于内部网络的控制。
一个大型企业的网络在内部又会被分为许多特定的区域――普通的办公区,财务销售的核心业务区,应用服务器工作区,网络管理维护区,多方网络互联区域,VPN连接区等多个功能区域。其中普通的办公区有时是与财务销售类的业务区合并在一起的,但是,如果公司还涉及特殊业务的时候应当将这两个区域分开,甚至为其单独建立一套网络系统以增强其安全保密性。应用服务器区域一般承载着企业办公、生产等主要业务,因此在安全上其级别应当是最高的。一般对这一区域进行安全设置时最好将除所用端口以外的所有其他端口全部封锁,以避免多余端口通信造成的安全威胁。有条件的网络用户或对安全要求比较高的用户可以在不同的网络之间配置防火墙,使其对网络的访问进行更好的控制或者将不同的网络直接进行物理隔离,以完全断绝不同网络之间的互访。
三、终端的安全防护
病毒、木马无论通过何种途径传播,其最终都是感染终端为目的的,无论这个终端是指的服务器还是普通用户的终端,因此,对各类终端的安全防护可以说是网络安全构建的关键。对终端的安全防护可以分为两套系统;一种为硬件的防火墙类,一般由管理人员进行专业操作处理的防护系统,包括了反垃圾邮件系统、用户上网行为监控管理系统、网站防篡改系统等专业(服务器)终端防护系统;另一种为软件类的防火墙、杀毒软件及其他安装于各个用户终端由用户或管理人员进行操作管理的防护系统。现在多数的网络安全防护系统多由这两种类型的防护系统复合而成。这种复合式的系统所取得的效果在很大程度上依赖于终端用户的计算机水平及杀毒软件服务提供商的反应能力和软件更新能力,总之,这种方式是比较偏重于“被动防守”的一种防护措施。
现在有厂商提供了一种协调系统,使用这种系统能让以上所述的复合安全系统能够在网络管理员的干涉下实现主动的管理。这套系统一般在用户终端安装一个客户端,开机时,客户端自动判定本终端的安全状态并与安全服务器取得联系,当终端被判定正常时,终端可进行正常权限的网络访问;当终端被判定为非正常(威胁)时,此终端可根据预先选定的安全策略,断绝与普通局域网的连接,只能与特定的服务器如病毒服务器等进行连接以解决问题。网络管理员可以通过这套系统实时监查每个终端的进程与数据状态,并通过管理终端对客户端进行控制,以解决安全威胁。此类系统的应用将所有用户的终端都纳入了系统管理员的控制下,以系统管理员专业化的技术知识实现对整个系统的监管与维护,能够在很大程度上减少威胁并提高系统的安全性和网络效率。
四、终端用户的规范
网络的安全除了在设计、硬件、技术管理上提高水平外,对网络用户进行必要的指导是十分重要的。普通的网络用户由于其计算机专业知识水平的不同,不可能要求其对终端进行专业的处理,告诫其正确的上网方式,减少各种网络(IE)软件、插件的使用及不明软件的下载是十分重要的。即使对于某些安全防护类软件(控件、插件)也应当控制使用,原因很简单,任何软件的编制都有BUG或漏洞的存在,终端用户所使用的网络软件(插件、控件)越多,这种硬伤类的安全威胁也就越多。终端所面临的威胁也就越多。不安装不必要的(网络)软件,也能在很大程度上避免网络威胁。
五、结束语
如何保障网络的安全对于网络管理人员是一个需要长久解决的巨大的难题。在网络日益发达的今天,一旦网络安全受到威胁,企业的生产与办公会受到极大的影响。构建网络时,从网络的结构入手,以各类安全硬件设施为保障,使用质量较好的杀毒软件,不断提高自身的网络管理技术水平,是目前解决网络安全问题的主要手段。本人愿与广大技术人员一起,致力于提高网络安全的工作。
参考文献:
如何构建网络安全范文3
关键词:主动;被动;防御;安全;网络
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)25-7098-03
To Build a Secured and Reliable Network Needs Combination of Initiative and Passive Defense
HUANG Wei-fa
(Fujian Provincial Tobacco Company Fuzhou Branch Company,Fuzhou 350013,China)
Abstract: How to guarantee the security of network tobacco business has become a key issue to push forward the smooth development of tobacco industry in the information era. According to the necessity to conduct electronic administration and e-commerce in tobacco industry, on the basis of the status quo of Fuzhou network security of tobacco business and daily work, this paper put forward a suggestion: network security administration is a comprehensive system, hence it is necessary to focus on the aspects of strategy, management and technology so as to build a more effective and more reliable network security system by combining initiative defense technology with the traditional passive defense.
Key words: initiative; passive; defense; security; network
近年来,随着信息技术的飞速发展和互联网的迅速普及,网络以其惊人的发展速度和巨大的利益吸引着厂商纷纷通过建立电子商务虚拟市场完成其交易活动,其广阔的发展前景已经引起世界各国的密切关注,而且越来越多的传统企业已经意识到以信息技术为主导的知识经济时代,以网络化、信息化、知识化、全球化为特征的新经济是不可逆转的。然而随着网络上的数据来往,网络信息安全成为企业更为关注的问题。由于烟草行业是国民经济的重要组成部门,面对激烈的竞争,提高网络的安全性能将对这种新型的网络商务运作模式的有效运转、提高我国烟草行业的经济效益和效率、提高企业的竞争力占据有力的作用。
该文以作者所在单位的网络为例,从策略、管理、技术等方面对如何打造更为安全可靠的网络安全体系进行了分析和探讨。
1 网络安全的基本认识
当今社会是信息化的社会,信息化的基础设施是网络。随着Internet的发展和PC机的普及,网络和信息化已经成为了现代社会的重要标志之一。从Internet的最早起源美国国防部高级研究计划署DARPA(Defence Advanced Research Projects Agency)的前身ARPAnet开始,到现代高达发达的信息化公路,网络可以说是无处不有,电子邮件、网上银行、电子商务、网络办公…… 网络已经融入了我们的生活,给人们的生活带来的极大的方便。
然而,网络信息技术也和其他科学技术一样是一把双刃剑。当大部分人们利用网络信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用网络信息技术却做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息、篡改和破坏数据,给社会造成难以估量的巨大损失。据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)统计, 2007年各种网络安全事件与2006年相比都有显著增加,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件成倍增长,网络仿冒事件数量由563件增加至1326件,增长率近1.4倍;垃圾邮件事件数量由587件增加至1197件,增长率达1倍;网页恶意代码事件数量由320件增加至1151件,增长率近2. 6倍。2007年微软公司正式公布了69个4具有编号的安全漏洞。其中,除Windows操作系统漏洞外,安全漏洞更多的集中出现在了IE浏览器和MS Office等应用软件上。
2 福州烟草网络安全现状
图1为作者所在单位的网络拓扑图。在图中可以看到,在广域网范围,全网由主备两条2M SDH链路连省公司和下属各县分公司;在城域网范围,连接各业务部门和下属单位近十条链路;由于业务需要,还存在到其他地区的2M 帧中继以及到兴业银行和农业银行等连接。这些线路或通过广域网连接到市公司中心机房的两台cisco 3600路由器,或通过城域网连接到市公司中心机房的6509核心交换机,最终全区所有节点约800台都汇聚到6509核心交换机。在全区外网唯一的出口和内网之间架设一台中科网威防火墙NPFW-200-P4和入侵检测服务器。在公司架设一台防病毒服务器,全网所有电脑都安装瑞星网络版防病毒软件。
从拓扑图来看,这是一个规模不大的网络系统,网络中采用了防火墙、入侵检测服务器和瑞星网络版防病毒软件等措施来构建基本的安全防御系统。防火墙隔离了内部局域网与外部互联网,保护内部网络不会轻易受到攻击,瑞星防病毒软件安装在每个终端上,对终端进行杀毒保护,这是最为简单的组合模式,然而在实际运作中,我们发现存在着不少安全问题。
首先,基于传统安全防御理念构建的网络架构,其防御的对象着眼于外部,忽视了来自内部的威胁。在传统思维的引导下,通常企业也都比较信任内部的员工,安全设备根本不对企业网络内部的情况进行监视。企业内部的每一个人都得到了充分的信任,可以在网络中随意游走,毫无限制。然而,来自安全研究机构的统计:超过85%的安全威胁来自企业内部,威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等。当然更有说服力的,还是国内外一些活生生的例子,包括很多全球知名企业的泄密案等,其损失之巨大,更是足以让后来者引以为戒。
传统安全防御的方法更多的是采取被动防御技术的,构筑好一个防御的城堡以后,就坐等敌人的进攻,主动权交到了对方的手里,这样的防御永远只能跟在对方的身后,拆拆补补,南门受到了攻击,就调集部队守南门,北门告急,再调过去补北门,疲于奔命,顾此失彼。而且一个城堡能否被攻破,不是取决于城堡有多厚,而是最薄的地方在哪里,而更加致命的是被动防御往往不知道什么地方最薄。
其次,在管理上,建立规范的信息化管理系统和制定符合实际的安全管理制度体系,并不是一个有什么难度的事情,最为困难的就是如何保障信息管理系统的有效运行和安全管理制度体系的执行到位,这涉及到企业的管理风格,业务模式与对信息安全的重视依赖程度,特别是企业领导对信息安全问题的重视程度以及信息部门在企业中的地位,决定了网络安全体系如何建设、建设到什么程度以及能够起到多大的作用。
最后,在技术上,我们虽已配备安全产品的“老三样”――防火墙、入侵检测以及防病毒软件。但随着技术的发展,现代防火墙技术已经逐步走向网络层之外的其他安全层次。而我们的防火墙功能比较弱,无法为各种网络应用提供相应的安全服务。同时,由于没有流量控制、带宽控制等功能,使得我们在外网访问管理上捉襟现肘,许多很好的管理思路无法得到实施。
对于终端电脑没有有效的工具来管理。如前所述,在传统安全防御思路中,对来自内部的安全威胁认识不足,各类信息软硬件的发展诸如移动存储设备(移动硬盘、闪盘、SD/CF/等)、服务器软件等使得病毒木马可以轻易绕过防火墙进入局域网内部,更何况现在许多的病毒木马可以终止安全软件的运行。身份认证系统是整个网络安全体系的基础,否则即便发现了安全问题也会由于无法查找而只能不了了之,只有建立了基于全区网络的统一身份认证系统,才能彻底的解决用户入网身份问题,同时也为各项应用系统提供了安全可靠的保证。
与作者所在单位相似的是,多年的信息化建设,使得许多企业也意识到了搞好网络安全的重要性和必要性,不少企业都能斥资数百乃至上千万购置防火墙、防病毒软硬件设备来构筑自己信息安全的堡垒。但是他们往往发现投入了许多,安全问题不减反增,每天不停打着漏洞补丁,病毒日志数十页地增加着,系统运行时好时坏,从事信息建设的工作者无法高枕无忧,反而更加有如履薄冰的感觉。尽管采用了花样翻新的安全产品和解决方案,但企业所面临的安全威胁不是减少,而是大大增加了。
道高一尺,魔高一丈。虽然90%的企业机构已经采用了防火墙和防病毒解决方案,但仍有超过一半会受到安全漏洞的影响;尽管对信息安全忧心忡忡的企业已经在该领域投入了大量资金,但企业每天受到攻击的次数却以每半年30%的速度增长。
3 主动与被动防御相结合构建更为安全的网络安全体系
网络安全解决方案核心目标是最大限度确保数据安全和业务的连续性。对于企业来说最关心的并不是一个完美的,无懈可击的网络,而是如何保证网络所承载业务的正常、安全、可靠地运行。虽然我们面对的信息网络具有各种各样的安全缺陷,只要我们通过适合灵活的安全策略,保证业务活动和业务数据的安全,并确保业务应用的可用性,那么承载业务的这个网络对于我们来说就是符合要求的安全网络。
以下从策略、管理、技术三个方面就如何打造主动与被动防御相结合的网络安全体系进行探讨:
3.1 在策略方面
3.1.1 配置入网身份认证机制
身份认证的缺失,使得任何一个用户对任何一个安全问题都是可抵赖的。而内部攻击的发生是无法从制度上阻止的。在网络节点接入安全网络时,需要对待接入的系统安全状况以及操作该节点系统用户的身份进行充分的评估、认证,以确定该系统是否符合网络的内部安全策略,来决定该网络节点系统是否接入到安全网络中,还是拒绝接入或安全升级后接入。显然,网络准入的机制不仅实现了安全网络“主动”的动态扩展,而且能够有效降低不可信终端系统接入网络所带来的潜在安全风险,为网络管理奠定良好的基础,有效保护核心数据的生成、访问、更改等操作,保障电子政务的运行以及为所有应用系统的统一单点登录创造条件。
3.1.2 加强网络内部机器的管理
对内部网络所有计算机上的重要信息的存储和传输实施访问控制、数据保护和日志记录,提供完善的集中管理控制机制、有效的安全策略生命周期管理方法和细致清晰的审计分析报告,从而能够有效地防止内部网络重要信息通过各种途径被非法泄漏和破坏。安全问题不仅仅来自外网,实践证明更多的来自内网。虽然我们非常清楚地知道企业内部人员的危险程度有多高,但是,内部人员的活动是无法预测的。谁都不可能知道哪些员工会在什么时间干出伤害公司利益的事情。因此,主动防御更多的就是要我们主动出击,防患于未然。
3.1.3 建立安全管理中心(SOC)
将关键设备的运行管理权利集中到一起,通过高度密集的管理产品和手段,将分散在各地区、不同业务网络上面的各种安全产品有机的结成一个整体。所涉及的安全管理管理范围包括:所有的基于IP的网络和应用系统的安全:包括支撑网本身、业务支撑系统(如决策支持系统、网管)、业务系统本身和其他应用。所有安全产品组成的安全体系的实时管理和监控都应当受到SOC的管理。所有非安全产品的关键应用系统均应该通过一定途径将安全相关信息输送到安全管理中心中,保证及时安全时间的发现、分析和响应。
3.2 在管理方面
3.2.1 网络安全是一项技术问题,更是一项管理问题
网络不能完全依赖安全产品来解决信息安全,网络安全更需要从管理的基础上突破技术问题。安全问题不仅仅是技术问题,更多是管理的问题。在技术保障下,良好的管理能够使网络安全达到最大化。网络安全事务是多维的,涉及到:公共管理、安全策略、法律法规、人员素质、安全审计、安全保险、安全技术、安全意识培养、安全评估等多方面。一个方面的疏漏就会导致整个安全防护系统功败垂成。通过加强管理来避免安全问题,使安全隐患最小化,建立安全问题的责任问责制,形成信息安全问题解决机制。
3.2.2 提高全体人员网络安全意识
1) 提高领导网络安全意识
网络安全关系着核心数据的保护、业务运行的稳定性和办公流程运转的连续性,是信息化工作的重要的基础性的内容。
2) 提高信息化工作人员网络安全意识
网络安全不是装个防火墙和防病毒软件,没事就杀杀毒。它是复杂的,多维的,动态发展的;它要求工作人员不仅要具备技术水平,更需要提高认识和综合能力,具备良好的管理水平。信息化工作人员有必要定期进行培训,接触并学习到较为前沿先进的技术知识,并加强和同行间的交流。
3) 提高终端用户网络安全意识。
所有终端用户是信息化工作开展的出发点和归宿点;他们既是信息网络的使用者,也是信息网络安全风险最大的制造者。引发安全问题可能是有意的,可能是无意的;但绝大多数是无意的。只有提高所有终端用户计算机使用水平和网络安全意识,才能最大程度消除安全风险。
3.2.3网络安全管理监督机制
任何制度建立了但没有执行就是一纸空文,执行了但没有监督就无法落到实处。网络安全管理监督需要技术做保证。只有具备进行身份认证和操作记录的技术,才能防止用户的抵赖,真正做到监督有所依据、有所成效。同时建立网络运行状况定期公布制度,甚至进一步建立奖惩制度,有力的督促用户规范使用网络和信息设备。
3.3 在技术方面
3.3.1 及时更新升级网络安全设备
对防火墙、防病毒软件等被动防御技术进行及时更新换代,以确保防火墙、防病毒软件能够适应最新的安全防御要求,实现管理者的安全防御思路和策略。提高网络管理者对网络的操控能力。
3.3.2 配置安全专用设备加强外网安全管理
新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵,着重的是网络层的过滤;而安全专用设备管理和控制内部用户对外的访问,着重的是应用层内容的检查。两者相辅相成,达成全方位及最佳效能的安全防卫架构。
3.3.3 配置网络管理软件加强终端用户管理
由于全网内终端电脑数量多、分布广、权限大、使用人员水平参差不齐等原因,网络安全管理在防范内网安全上存在着巨大的漏洞。内网存在大量的病毒传播,文件传输,共享漏洞,密码保护等问题。只有配置了网络管理软件,才能有效的实现可控、可追踪、可审计和全面的终端管理。
3.3.4 合理使用VPN或VLAN技术
合理使用VPN或VLAN技术,通过物理网络的划分,控制网络流量的流向,使其不要流向非法用户,以达到防范目的。
4 结论
构筑一个主动与被动防御相结合的网络安全体系,就需要打破原来城堡式的被动防御观念,建立一个灵活机动、积极寻找防御点的可以信赖并且是可控的网络环境,关键点就在于这个体系要能够主动预知和控制我们的防御。任何方案不可能做到绝对安全,只能最大限度去降低安全事故的发生概率,主动防御通过各种措施来评估和预知安全事故的可能发生点,采取手段制止事故的发生。在网络安全的管理与建设当中,应当清醒的认识到网络安全管理是一个综合的系统工程,需要从策略、管理、技术三方面着手,在传统被动防御的基础上结合主动防御技术构造更加有效可靠的网络安全体系,为烟草行业实现健康稳定可持续发展提供强有力的信息化技术支撑。
参考文献:
[1] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.
如何构建网络安全范文4
高校网络文化既是基于师生共建,又是基于计算机网络传播的一种校园文化,是文字、图像、视频等多表现形式的集合。高校网络文化是校园文化目前最具活动的开放性文化,深受大学生们的喜爱[1]。
2全球信息高速化发展形势要求加强高校
网络文化安全建设截至2013年6月底显示,中国网民数达到5.91亿,手机网民达到4.64亿。手机网络音乐、手机网络视频、手机网络游戏和手机网络文学的网民规模相比2012年底分别增长了14.0%、18.9%、15.7%和12.0%,保持了相对较高的增长率[2]。网络已成为人们学习、生活、工作、娱乐等社会活动的基本工具。高校是文化的主要传播和吸收基地,网络成为了高校师生教育教学、学习交流、资料查询、娱乐互动、思想传播的大讲台。面对网络文化的冲击,给高校网络文化的建设与发展提出了机遇和挑战。
3维护高校网络文化与网络安全的途径
3.1加强高校网络技术建设和网络文化安全管理
网络是把地理位置相对独立的计算机联系起来达到信息文化资源共享。网络给人们带来了不出家门,便知天下事的便径。在校内通过网络可以访问校外有网络的任何地域信息,校外任何地域通过网络可以访问校内的任何网络信息。如果不加强网络技术应用和管理,校内就是一扇敞开的大门,任何人通过网络可以任意进出校园,肆意妄为;因此加强高校网络安全技术应用就是给校园网加了把锁,更好的保护校内网络文化的安全。
3.2构建网络安全的防护技术系统
组织专业技术人员成立校园网络文化安全管理小组,对校园网进行顶层网络系统安全设计,对校内各个层次的校园系统进行权限访问控制,各个网络节点的访问操作通过系统安全服务器进行身份验证,加强本地访问和网络访问的监测,定时与不定时的升级系统,堵住网络安全系统的漏洞,本文基于防火墙的安全技术,从6个方面来构架网络安全系统。1)入侵/防护系统(IPS)IPS是置于防火墙内的一个应用系统,主要是通过通信异常流量、通信异常内容、连接异常、攻击等网络进行保护,并能审计、记录,便于管理人员进行跟踪调查。2)漏洞管理系统漏洞管理系统包括对硬件和软件系统通过定量和定性的分析,找到漏洞风险方案,对网络系统进行修复升级,从而达到整个网络系统规避风险。3)网络防病毒系统构建网络防病毒系统通过集中管理和分布式查杀相结合的方式,由服务器防病毒系统和客户端防病毒组成,防病毒系统安装在核心交换机处。4)WEB应用防护系统构建WEB应用防护系统部署在WWW服务器的前端,主要对WEB客户端的各类访问进行检测和验证,对非法方法坚决阻断。5)内容安全管理系统构建内容安全管理系统主要是针对校园网站服务器资源的安全管理,保障校园师生文明、健康、和谐上网。6)用户认证系统的建设用户认证主要是保障校园每个师生的合法上网权益,通过IP地址、MAC地址、实体特征进行绑定,防止假冒和连接。把入侵/防护系统、漏洞管理系统、网络防病毒系统、WEB应用防护系统、内容安全管理系统、用户认证系统的建设构架于防火墙安全系统中,从流量异常、访问异常、攻击异常、连接异常、内容异常、病毒检测统计分析,整个校园网的安全性比单独用防火墙技术提高了2/3,大大降低了风险,说明网络安全系统的投入确实提高了高校网络文化的安全。
3.3加强校内网络文化信息安全管理建设
网络文化信息组成了大数据时代的到来,成了人们查询的百科全书。同时一些虚拟信息以前所未有的速度在全球扩散。在高校不安全的网络信息不仅危害大学生的学习和生活,而且有可能危及到校园的安定和团结。作为高校的网络文化管理人员,加强网络文化信息安全建设,是促进校园网络文化健康向前发展的保障。校内各个单位上载的网络文化语言一定要规范,上载前把握好审查关,涉及不文明、不和谐、不健康的、不规范的任何信息,坚决杜绝在网络平台上。加强校园网络内容等级划分,对不同等级网络内容进行严格的对应标准审查上网。
3.4加强高校网络文化法制宣传建设
我国是法治国家,任何公民事都要依法办事。我国为了维护网络文化安全,出台了一系列相关的法律、法规和条例,如《全国人民代表大会常务委员会关于维护互联网安全的决定》、《互联网上网服务营业场所管理条例》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息网络国际联网管理暂行规定》等。结合高校自身的校园网络文化管理体制,制定相应的大学生校园安全上网守则,力争人人文明、安全上网。
4结论
如何构建网络安全范文5
[关键词] 安全管理 监控 审计 安全构架
电子商务是通过电子方式处理和传递数据,包括文本、声音和图像,它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拨、电子证券交易、电子货运单证、商品拍卖、合作设计和工程、在线资料、公共产品获得等内容。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的一部分,原因就在于电子商务的安全问题,美国密执安大学的一个调查机构通过对23000名因特网用户的调查显示:超过60%的人由于担心电子商务的安全问题而不愿意进行网上购物。因此,从传统的基于纸张的贸易方式向电子化的贸易方式转变过程中,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
一、与网络安全相关的因素
网络安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及网络上信息的保密性、完整心、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为保证网络的安全,必须保证一下四个方面的安全:
1.运行系统的安全;
2.网络上系统信息的安全;
3.网络上信息传播安全;
4.网络上信息内容的安全。
为了保证这些方面的安全,大家通常会使用一些网络安全产品,如防火墙、VPN、数字签名等,这些安全产品和技术的使用乐意从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面的,而对于网络系统来讲,它需要的是一个整体的安全策略,这个策略不仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统布署的如何周密,你的系统总会有被攻击和攻破的可能,而这时你会怎么半呢?采用一些恢复措施,帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略,下面我们将介绍一种整体的安全构架。
二、电子商务安全的整体构架
我们介绍的电子商务构架概括为“一个中心,四个基本点”。一个中心就是以安全管理为中心,四个基本点是保护、监控、响应和恢复。这样一种构架机制囊括了从保护到在线监控,到响应和恢复的各个方面,是一种层层防御的机制,因此这种构架可以为用户构筑一个整体的安全方案。
1.安全管理。安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。
2.保护。保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,因此我们就可以在防火墙的规则中加入一条,禁止所有从外部网用户到内部网WEB服务器的连接请求,这样一旦这条规则生效,它就会持续有效,除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.监控/审计。监控就是实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的,审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包,然后分析这些数据包,帮助你查找已知的攻击手段,可疑的破坏行为,来达到保护网络的目的。
监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,因此网络安全不是一层不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护,这种想法是错误的,因为安全保护是基本,监控和审计是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。
4.响应。响应就是当攻击正在发生时,能够及时做出响应,职向管理员报告,或者自动阻断连接等,防止攻击进一步的发生。响应是整个安全架构中的重要组成部分,为什么呢?因为即使你的网络构筑的相当安全,攻击或非法事件也是不可避免的要发生的,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。
5.恢复。当入侵发生后,对系统赞成了一定有破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,因此恢复电子商务安全的整体架构中也是不可少的一个组成部分。恢复是归终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。
三、安全架构的工作机制
在这处安全架构中,五个方面是如何协调工作的呢?下面将以一个例子一介绍。假设有一个黑客欲攻击一内部网,这个内部网整体安全架构就如前面介绍的一样,那么现在让我们来看看这个安全架构是如何工作来抵制黑客的。
1.当这处黑客开始缶内部网发起攻击的时候 ,在内部网的最外面有一个保护屏障,如果保护屏障可以制止黑客进入内部网,那么内部网就不可能受到黑客的破坏,别的机制不用起作用,这时网络的安全得以保证。
2.黑客通过继续努力,可能获得了进入内部网的权力,也就是说他可能欺骗了保护机制而进入内部网,这时监控/审计机制开始起作用,监控/审计机制能够在线看到发生在网络上的事情,它们能够识别出这种攻击,如发现可疑人员进入网络,这样它们就会给响应机制一些信息,响应机制根据监控/审计结果来采取一些措施,职立刻断开断开这条连接、取消服务、查找黑客通过何种手段进入网络等等,来达到保护网络的目的。
3.黑客通过种种努力,终于进入了内部网,如果一旦黑客对系统进行了破坏,这时及时恢复系统可用将是最主要的事情了,这样恢复机制就是必须的了,当系统恢复完毕后,又是新一轮的安全保护开始了。
如何构建网络安全范文6
在过去的几年里,政府问责办公室对国土安全部能充分履行国家网络安全战略责任感到满意。但在谈到一些不足之处时,政府问责办公室对网络安全的关键领域提出了包括下表所列5个方面的30项建议。
虽然国土安全部尽最大努力满足网络安全职责各方面要求,但仍不能完全达到建议的要求,因此在这些领域需要采取进一步的行动。
由政府问责办公室确定的对网络安全关键领域需要改进的地方
1、加强网络的分析和预警能力。
2、行动期间严格完成网上演习。
3、改善网络安全控制系统的基础设施。
4、加强国土安全部恢复互联网中断的能力。
5、解决网络犯罪。
在涉及政府问责办公室的建议以及其他方面的关键战略时,政府问责办公室网络安全专家小组确定了12个需要改进的关键领域(见下表)。政府问责办公室发现,这些建议在很大程度上符合其报告,也很符合其在这方面大量的调查和经验。
由网络安全专家拟定的战略关键改进
1、确定具有明确战略目标、目的和重点的国家战略。
2、为领导和监督国家网络安全政策,建立白宫责任制和问责制。
3、建立战略执行的管理结构。
4、普及网络安全知识,提高网络安全意识。
5、建立负责任、有效的网络安全组织。
6、集中加强资产和职能的优化,评估网络安全存在的弱点,减少网络安全攻击,而不是发展更多额外计划。
7、通过改进价值观念和奖励机制加强政府和私人的合作关系。
8、多加重视解决全球的网络空间的问题。
9、加大对网络空间恶意破坏行活动的执法力度。
10、进一步加强于网络安全的研究和开发工作,包括考虑如何更好的协调政府和私营部门各方面的力量。
11、培养网络安全方面的骨干人才。
12、为联邦政府构建安全的网络模式,包括利用它已有的机能提升产品和服务的网络安全。
在政府问责办公室的建议之前,已经考虑了以上方面的建议。但政府和私人机构的基础设施仍不能得到充分的保护。因此,除了全面落实政府问责办公室的建议外,新政府在对国家网络安全战略做出决定时,他所考虑的改进方法是至关重要的。
政府问责办公室进行这项研究的意义
普遍且持续的网络攻击,使得联邦政府和私营部门的系统和业务以及一些关键的基础设施存在着潜在风险。考虑到这些威胁,布什总统了着力于改善全国网络安全的“2003年国家网络安全战略”及相关的政策指令。国会和相关部门,包括新内阁,随后都对战略进行了充分的审查,并指出需要改进之处。尽管如此,政府问责办公室认为这些领域依旧存在着高风险,而且,他们还作了有关执行全国网络安全战略所需的改良报告。
在这份材料中,政府问责办公室做出如下总结:(1)关于全国网络安全战略的报告和建议(2)专家对如何加强战略的观点。
政府问责办公室的建议
政府问责办公室之前已经提出了30项建议,大多数直接与国家领土安全局相关,重点在于增进我国的网络安全战略执行力度。国家领土安全局在很大程度上已经同意了政府问责办公室的建议,而且在某些方面对这一战略采取了措施。
尊敬的主席女士,委员会委员们:
谢谢你们给我一个机会,让我参加今天的关于讨论努力保护我们国家,以摆脱网络安全的威胁的听证会。普遍且持续的网络攻击,使得联邦政府和私营部门的系统和业务以及一些关键的基础设施存在着潜在风险。考虑到这些威胁,布什总统了着力于改善全国网络安全的“2003年国家网络安全战略”及相关的政策指令,包括政府系统和这些网络关键基础设施的持有和经营权的私营部门。由于这些威胁长期存在并有可能继续增加,我们于2007年8月成立了一个委员会-----第44届网络安全委员会,主席由两个国会议员和业界官员主持,其目的为了审查战略的充分性,确定在哪些领域需要改进。与此同时,布什政府开始提出包括联邦政府在内的旨在加强网络安全的一系列倡议。最近,在2009年2月,奥巴马总统开始了政府的整体网络安全战略审查和支持活动。
现在,应要求,我将谈谈以下几个问题:(1)关于国家网络安全的30项建议和相关成果的报告。(2)我们召集的专家小组讨论的关于如何加强我国战略及网络安全意识的相关结果。在准备这些材料的过程中,我们依据的是之前关于联邦政府履行国家网络安全职责的报告。这些报告对之前使用的方法和范围做出了详细概述。我们的观点是在讨论国家网络安全战略的效力和改良建议问题中达成一致的,并得到了网络安全专家的广泛认可。在小组讨论的综述中也提到,我们为所有的小组成员提供一次对我们的书面摘要进行评论的机会,而且他们的评论也将作为摘要的一部分。小组成员名单和他们的职位见目录I。我们的工作是2009年的2月和3月向华盛顿提交这些材料。这些材料中所进行的工作将按照政府普遍接受的审计标准进行的。
背景
政府官员都担心那些带有恶意攻击的个人或团体,比如罪犯、恐怖分子和外国的敌对势力。例如,在2009年2月,国家情报局局长表态说,一些国家和罪犯已经盯上了政府和私营部门的网络,以此获得竞争优势或对其进行潜在的破坏,恐怖组织也想利用网络手段来攻击美国。
联邦政府将制定了一项战略,以解决诸如此类的网络的威胁。具体来说,布什总统颁布了“2003年国家网络空间安全战略”和相关的政策指令,例如国土安全部总统第七号命令,这关系到是国家如何确保以计算机为基础的系统安全,包括政府系统和那些支持关键基础设施的持有和经营权的私营部门。这一战略和相关政策也将使国土安全部成为信息网络CIP的一个焦点,在这一领域他扮演多个领导角色,承担起应尽的责任。其中包括:(1)为CIP制定一个综合性的国家计划,包括网络安全在内;(2)培养和加强国家网络分析和预警能力;(3)提供和协调事件应对和恢复的规划,包括开展事故应变演习;(4)查明,评估和协助各方力量,以减少包括那些基础设施控制系统的网络威胁和脆弱性;(5)加强国家网络空间安全。另外,这一战略和相关政策指令指导国土安全部和其他利益相关者利用风险管理原则,将以整体和协调方式优化18个相关的重要基础设施部门的保护措施。
由于威胁持续和发展,布什总统在2008年2月开始采取一系列举措,通常称之为称为“综合国家网络安全计划(CNCI)”,其主要目的是为了提高国土安全部和其他的联邦机构抗干扰和预测未来威胁的能力。虽然这些倡议还没有公布,但国家情报局局长声称倡议包括了防御、进攻、研发、反间谍所取得的成就以及一个加强政府和个人合作关系的方案。随后,在2008年12月,网络安全委员会第44期主席报告指出,网络空间是一个紧迫的国家安全问题,报告还对战略和其执行方案的修改提出了25项建议。从那时起,奥巴马总统(2009年2月)对网络安全战略进行评估,并对此采取积极的行动。此次评价预计在2009年4月完成。
政府问责办公室对国家网络安全战略和其执行的关键方面的不足提出几点建议
在过去的几年里,我们已经就我国在完成网络安全战略的重要方面所作的努力提交了报告。特别是,从2005年到现在,我们不断报告国土安全部还没有完全履行它在战略中所指派的网络安全责任。为弥补这些不足,我们就表1所列的五个网络安全的关键领域提出了30项建议。国土安全部已经制定并采取了一些具体措施,以履行其网络安全各方面的义务,但该部还没有完全达到我们建议的要求,因此需要进一步采取行动来解决这些领域所存在的问题。
政府问责办公室确定的对网络安全关键领域需要改进的地方
1、加强网络的分析和预警能力
2、行动期间确保完成网上演习
3、改善网络安全控制系统的基础设施
4、加强国土安全部恢复互联网中断的能力
5、解决网络犯罪
报告指出,在2008年7月,国土安全部的计算机应急准备小组(US-CERT)没有很好地解决15个关键网络分析和预警有关的问题,其中包括(1)监测网络异常活动,(2)对异常情况进行分析调查,确认它们是否受到威胁,(3)实时监控威胁,(4)应对威胁,(5)反击威胁。因此,我们认为,这15项建议,能充分提高国家战略的网络分析和预警能力。国土安全部很大程度上也认同我们的意见。
2008年9月,通过进行重大的网络攻击演练,即网络风暴,国土安全部在这次演习中已经取得了8项重要的进展。然而,此次行动的经验教训表明,问题尚未完全解决。具体来说,66项行动计划已经完成42项,安全局已经确定有16项正在进行,另外7项在不久也将施行。因此,我们建议,国土安全部安排并完成所有的纠正行动,以加强协调就重大网络事件问题上的公共部门和私营部门伙伴关系,国土安全部也认可我们的建议。到目前为止,国土安全部将继续完成一些相关工作,但也仅仅局限于安全部内部。
在2007年9月的报告和2007年10月所提供的材料中,我们指出,为确保国家战略需求,减少威胁和安全漏洞,国土安全部提出多种控制系统的安全措施,包括通过脆弱性评价和应急响应来提高网络使用的安全性。然而,国土安全部并没有制定出一项战略,以协调参与的各种控制系统活动的联邦政府和私营机构,而且它并不能有效共享联邦政府和私营机构控制系统的漏洞信息。因此,我们建议国土安全部制定出能确保控制系统安全的战略,建立一个快速和安全分享敏感控制系统漏洞信息的操作程序。国土安全部目前已经开始制定该计划并共享敏感漏洞信息。
我们的报告指出,为制定一个综合的政府和私营互联网复苏计划,安全部已经开始了展开国家安全战略任务的各种行动,这在2006年也得到证实。然而,这些努力是不够的。因此,我们建议国土安全部实施9个行动以改善安全局的能力,保障在遭到干扰时,能帮助政府和私人恢复互联网的使用。2007年10月,国家安全局开始执行我们的建议,但是只完成了其中的两项。到目前为止,政府和私营部门互联网恢复计划已经不复存在。
在2007年,我们认为,政府和私营部门在追捕网络犯罪方面面临着许多挑战,包括确保法律执行,对调查的充分分析和技术支持,以及对国内和跨国互联网犯罪的起诉。网络安全专家强调需出台重要举措以加强国家网络安全态势
除了我们建议改善国家网络安全战略及其执行情况外,还有专家对于这些问题和其他关键战略方面的意见,其中包括提出可改良的各个领域。包括前任联邦政府官员、学者、私营部门执行官在内的专家,提出了12个主要改良方案,他们认为,必须改善我国战略和网络安全态势。这些改善在很大程度上是符合我们的材料,也符合在这方面进行的广泛研究和经验。包括:
1、确定具有明确战略目标、目的和重点的国家战略。此战略应该包括(1)明确的战略目的,(2)为政府和私营部门提供可行的目标,(3)突出网络安全这一重点,(4)为将来安全网络空间提供一个设想,(5)争取联合联邦政府各部得力量,(6)量化战略进展过程,(7)进展不大时,为行动的执行和责任提供一个有效的保障。专家小组成员认为,CNCI提供了一套战略举措,以集中加强联邦政府网络安全的战略活动;然而,它并没有作为一个整体为国家提供战略目标、目的和重点。
2、为领导和监督国家网络安全政策,建立白宫责任制和问责制----该战略使国土安全部成为网络安全保障核心部门;然而,专家小组成员认为,国土安全部没起到预期的作用,对全国关注的网络安全提升也没有提供足够的指导。因此,小组成员指出,要取得成功,就要给国家和网络关键基础设施的私营业主表明,网络安全是一个重点项目,并由白宫亲自领导实行。另外,为了有效发挥其效用,政府必须树立权威----例如,对预算和资源采取适当的奖励办法,以刺激行动的进行。
3、建立战略执行的管理机构----管理机构包括18个关键的基础设施部门,相应的政府部门和协调理事会,跨部门委员会等。然而,根据小组成员的意见,管理机构是以政府为中心,很大程度上依赖个人以达到信息共享和行动的实行。此外,虽然所有行业就网络功能而言并不具有同等重要性,但管理机构应对他们同等对待。为了确保战略改良计划的有效执行,专家建议,管理机构应该包括高级管理委员会代表(例如,国防部,国土安全部、司法局、州政府、财政部和白宫)和关键网络资产和功能的私营部门领导。专家小组成员也建议委员会的责任应该包括衡量和定期报告目标、任务和战略重点的进展,在进展不大时,督促各方面加快进度。
4、普及网络安全知识,提高网络安全意识----虽然该战略确定网络空间安全意识作为重点,专家指出,许多在商业和政府任职的,包括在国会就职的国家领导人,他们有能力为网络安全提供资金帮助,但大多数人网络安全意识不高,没有认识到网络安全引发国家和经济安全风险的严重性。专家组成员建议,应积极向领导者和普通民众宣传网络安全的重要性。
5、建立负责任的有效的网络安全组织----国土安全部创立了国家网络安全局(下属于网络安全部和通信部),负责领导国家日常的网络安全。然而,小组成员认为,这个部门并不能使国土安全部成为预期核心力量。小组成员声称,目前,国防部和其他情报部门有能力左右联邦的决定。他们说,他们也需要一个独立的网络安全组织来促进和联合私营部门、政府、执法机构、军队和情报部门以及国际盟友,合力解决全国重要的网络系统和职能问题。但是,网络安全组织应该如何处理这个问题,我们专家组成员没有达成共识。
6、集中加强资产和职能的优化,评估网络安全存在的弱点,减少网络安全攻击,而不是发展更多额外计划----该战略建议采取更多的行动来查明重要的网络资产和职能,但是专家组成员声称对国家重要的网络资产和职能进行检查的力度还不够。小组成员认为,对网络关键基础设施保护工作所作的努力,列出重要资产的清单,就目前而言是基于个人或团体意愿进行的。此外,目前的战略将以减少弱点作为重中之重;可是,评定和减少现有的弱点所做出的努力还是不够的。他们认为,必须采取更多行动才能识别和消除常见的弱点,而且对关键网络资产和职能应该具备有效的评估手段。
7、通过改进价值观念和奖励机制加强政府和私人的合作关系----虽然该战略激发了重要网络资产和职能的所有者和控制者采取行动,但是小组成员认为,网络安全工程需要更多的投资和更多人参与进来,目前的经济及其他激励制度远远不够。因此,小组成员指出,联邦政府应该提供有价值的服务(例如提供有用的威胁或是预警分析信息)或是奖励(例如发放津贴或是减免税款)来鼓励私人参与合作。他们还建议政府和私营部门能够使用一些像成本-利润分析这样的方法,来确保网络安全相关有限资源的高效利用。
8、多重视解决全球的网络空间的问题----该战略包括处理国际方面的网络空间安全问题。但是根据小组专家所说,美国并没有涉及网络空间如何管理和控制这一全球问题。他们认为,当其他国家正在积极参与制定条约、建立标准、以及推行国际协定(如隐私权)时,美国没有积极协作来确保国际协定符合美国的利益,有利于解决网络安全和网络犯罪问题。小组成员认为,美国应该摆出更加积极合作的姿态,这样可以让美国在国际合作中有一席之地,并能加强政府部门之间的合作,其中包括法律的实施。此外,一名成员还说,美国在网络安全战略上应该与全球应达成共识。
9、加大对网络空间恶意破坏行活动的执法力度----战略倡议加强国内外审查合作和促进各国就追捕网络犯罪达成一致意见。据一个小组成员所说,在国内,相关法律已经做出修改(例如,2008年通过的“未成年儿童行为保护法”),但是这只是整个工作过程中的一小部分。他还说,目前国内外的法律实行,包括行动、手续、方法和法律本身,已经太过时,不能适应现在高技术犯罪个人或团体,例如罪犯、恐怖分子和恶意目的的敌对国家。有必要加大法律的实施力度,加大对进行恶意破坏行为的个人或团体的打击力度。
10、进一步加强于网络安全的研究和开发工作,包括考虑如何更好的协调政府和私营部门各方面的力量----虽然该战略建议采取措施,实现进一步的研究和开发工作,努力协调政府和私营部门各方面力量,但专家指出,美国对此没有将充分投入资金集中进行研究,没有集中考虑新一代的网络空间及网络空间安全问题。另外,对正在进行的研究和开发工作,目前没有协调好政府和私营机构的各方力量。
11、培养网络安全骨干人才----该战略的任务包括增加网络安全专业人员的数量和提高他们的技能。但是,根据小组成员认为,目前此方面的专业人员人数还是不够,包括信息安全专家和网络犯罪侦探。专家组成员指出,要采取进一步的行动,增加符合网络安全技能要求的专业人才,包括(1)加大现有的奖学金的规模(例如增加服务奖学金)(2)通过测试和批准进行网络安全专业训练。
12、为联邦政府构建安全的网络模式,包括利用它已有的机能提升产品和服务的网络安全----战略将确保政府的网络空间的安全作为重点,并通过联邦政府现有的资产来实现。虽然联邦政府逐步加强各部门的网络安全,但小组成员认为,这还算不上是一个网络安全模型。此外,他们表示,联邦政府没转变现有资产的功能,在这方面对政府官员也没有进行有效的训练,因此其购买、使用的产品和服务的网络安全效率没有得到提升。
总的来说,我国正在遭受着计算机网络攻击,目前的战略以及改良措施在缓解威胁方面没有起到很大的作用,这正是国土安全部需采取进一步行动,充分履行我们的建议,以解决关键网络安全领域问题的原因之一。另外,旨在改进计算机网络安全的改进方案也得到权威专家的肯定,但是重要的国家部门和私营部门基础设施系统依旧处于网络安全威胁之中。关键性的改良,包括制定国家战略,这一战略要求能清楚体现出战略的目的,目标和重点;建立白宫领导权;加强管理;创立一个有能力负责任的领导组织。即使这些建议及改进措施实施后,联邦政府和私营部门的重要基础设施系统仍是敌对分子的攻击的目标。因此,除了充分执行我们的建议外,至关重要的是,奥巴马当局在重新审视网络安全战略时应对此做出改进,并下决心向前迈进。
主席女士,我的发言到此结束。我很乐意回答您和小组委员会成员的相关提问。
如果您对上述报告有任何疑问的话,请联系(202)512-9286,或发送电子邮件至pownerd@gao.gov。这份报告的其他主要贡献者包括布拉德利·贝克,尔卡米·查尔斯,迈克尔·吉尔莫,南希·格罗乌尔,库什·马罗特拉,加里·蒙乔伊,李麦·克拉肯和安德鲁斯·塔维斯基。
