前言:中文期刊网精心挑选了政府网络安全方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
政府网络安全方案范文1
【关键词】 政府机关 计算机网络 安全防御
一、引言
21世纪是信息化时代,计算机网络技术的普及,极大程度上给人们的生活、工作增添了色彩,人们对于计算机网络的依赖性也更强。政府机关计算机网络水平不断增强,通过计算机网络技术,实现了信息化管理、数据实时采集与,实现了资源共享,还能够利用计算机网络开展视频会议等,提高了政府机关办公效率,已然成为了政府机关办公的主要工具。基于此,加强对政府机关计算机网络安全防御措施的研究具有十分现实的意义。
二、政府机关计算机网络安全隐患因素
1、网络的开放性。开放性是网络最突出的特点,每个用户都能够进行网络访问,为人们使用网络提供了方便。然而,正是这一特点,导致政府计算机网络受到了一定的安全威胁,一些非法人员利用开放性特点,能蚯嵋椎慕入到政府机关计算机网络中,通过某些非法操作,获取政府敏感信息,对政府机关信息安全造成影响。
2、系统漏洞。对于计算机网络操作系统来说,基本上都会有一些漏洞存在,一方面是在系统开发过程中,由于考虑不周到而产生的漏洞;另一方面是由于使用过程中,使用不够规范导致的系统漏洞。同时,对于计算机系统来说,在使用过程中需要进行定期的维护管理,如管理不当也会导致漏洞的产生。政府机关计算机网络系统中,系统漏洞可谓是最为突出的安全隐患,给攻击者提供了攻击机会。
3、缺乏有效的安全管理。加强管理是保证计算机网络安全的重要手段。从目前政府机关使用计算机网络系统的情况上来看,其安全管理意识有待提升,相关使用人员缺乏对安全管理的重视,缺少必要的安全管理机制,无法发挥安全管理效果,增加了政府机关计算机网络系统的安全隐患因素。
三、加强政府机关计算机网络安全防御的有效措施
3.1 政府机关应该加强对计算机数据的管理
一方面,应该做好数据备份工作,对于计算机系统中重要的文件、资料等数据,应该及时的拷贝到永久存储设备中。即使计算机系统遭到恶意攻击,通过备份数据,也能够保证数据的安全性;另一方面,采用有效的数据加密技术,通过加密手段保证数据安全。数据加密主要包括对称密钥加密、非对称密钥加密,两者各有优势,在实际使用过程中,还可以进行两者的联合使用,提升数据的安全水平。政府机关计算机网络安全防御工作,应该从数据管理入手,切实保护好政府机关计算机系统中各项数据资料的安全,为政府机关信息化办公提供保障。
3.2 加强对防火墙技术的运用
防火墙技术是计算机网络发展中伴生的技术类型,能够有效的保护计算机网络安全。具体来说,就是在计算机与连接网络之间构建安全防护屏障,阻隔非法访问者。另外,防火墙还能够将不常使用的计算机网络端口关闭,有效的避免木马等病毒的侵袭,提升计算机网络安全性。政府机关属于我国的职能部门,在其计算机网络中包含了大量的敏感信息,政府计算机网络运行过程中,对于不明站点的请求访问,防火墙还能够采取禁止措施,有效的防止非法访问等问题,是计算机网络一道安全的屏障。
3.3 强化政府机关对计算机网络的安全管理意识
除了基础防御措施外,加强安全管理是保证政府机关计算机网路安全的根本所在。第一,通过有效的安全培训工作,提升相关人员的计算机网络安全意识,同时提高其计算机运用能力,保证各项操作的规范性,从根本上保证计算机网络的安全;第二,制定行之有效的安全管理防御措施,对于计算机网络设备、主机等,都应该设置安全级别较高的登录密码,保证安全性,避免数据泄密等问题出现。另外,需要定期更换登录密码,避免密码泄露或丢失。对于需要访问主机的IP,还可以通过设置地址段的方式,阻止非法登录与访问的入侵者。通过提升工作人员安全管理意识,配合有效的安全管理制度,能够保证政府机关计算机网络的安全。
总结:通过上述分析可知,计算机网络在政府机关中的运用,切实提升了其工作效率,但同时也带来了一定的安全问题,包括数据泄密、黑客攻击、病毒侵蚀等。为了保证政府机关计算机网络系统的安全运行,必须采用有效的安全防御措施,从技术与管理两个层面入手,采用先进的安全防护技术,包括数据加密技术、防火墙技术等,配合有效的安全管理办法,提升政府机关计算机网络系统的安全性,促进政府机关信息化建设与发展。
参 考 文 献
[1]王立志.浅析政府机关计算机网络安全的防御措施[J].现代交际.2014,18(2):47-48.
政府网络安全方案范文2
随着电子政府的飞速发展,在带来办公便利的同事,也使政务信息面临前所未有的网络信息安全的威胁。电子政务系统一旦发生信息被窃取,网络瘫痪,将瘫痪政府职能的履行,对政府职能部门以及社会公众产生严重的危害。
2.系统安全现状
根据省电子政务内外网的建设目标和建设原则,充分利用现有网络资源,充分整合市政府原有的办公资源网,公务外网,将原办公系统整合到统一的办公业务资源平台上。将办公业务资源网与公务外网、互联网实施物理隔离,公务外网与国际互联网实施逻辑隔离。电子政务的网络平台,承载多个业务单位系统数据传输,核心交换区应具有良好的安全可控性,实现各业务网络的安全控制。由于安全防护为整个网络提供NET、防火墙、VPN、IDS、上网行为管理、防病毒、防垃圾邮件等功能,因此,政府建立办公业务资源网的工程虽是非网,但安全保密仍然是工程建设的重点内容。存在的问题如下图:
(1)缺乏统一的访问控制平台,各系统分别管理所属的系统资源,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;
(2)缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为;
(3)缺乏统一的权限管理,各应用系统有一套独立的授权管理,随着用户数据量的增多,角色定义的日益复杂,用户授权的任务越来越重;
(4)缺乏统一内部安全规范。为了保证生产、办公系统的稳定运行,总部及各部门制定了大量的安全管理规定,这些管理规定的执行和落实与标准的制定初衷存在一定距离。
3.网络与信息安全平台设计方案
3.1设计思路
信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念,即信息保障的WPDRR模型。
3.2 安全体系设计方案
综合安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等。目前,政府网络中心安全设计主要包括:信息安全基础设施和网络安全防护体系的建设。
3.3信息安全基础设施设计方案
信息安全基础设施总体设计方案架构如下图:基于PKI/PMI的信任体系和授权体系提供了基本PKI数字证书认证机制的试题身份鉴别服务,建立全系统范围一致的新人基准,为整个政府信息化提供支撑。网络病毒防治服务体系采取单机防病毒和网络防病毒两类相结合的形式来实施。网络防病毒用来检测网络各节点病毒入侵情况,保护网络操作系统不受病毒破坏。作为网络防病毒的补充,在终端部署单机反病毒软件,实现动态防御与静态杀毒相结合,有效防止病毒入侵。边界访问采取防火墙和网闸来实施。网闸可以切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。可以根据需求采取不同的方案。
3.4网络安全防护体系设计方案
由于网络是承载各种应用系统的载体,因而网络系统的安全是十分重要的,必须从访问控制、入侵检测、安全扫描、安全审计、VPN等方面来进行网络安全设计。在应用层,根据网络的业务和服务,采用身份认证技术、防病毒技术、网站监控与恢复系统以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全。在应用系统的开发过程中,要充分考虑到系统安全,采用先进的身份认证和加密技术,为整个系统提供一套完整的安全身份认证机制,以确保每个用户在合法的授权范围内对系统进行相应的操作。
3.5灾难备份系统设计方案
灾难备份是为在生产中心现场整体发生瘫痪故障时,备份中心以适当方式接管工作,从而保证业务连续性的一种解决方案。备份中心具备与主中心相似的网络环境,例如光纤,E3/T3,ATM,确保数据的实时备份;具备日常维护条件;与主中心相距足够安全的距离。当灾难情况发生,可以立即在备份中心的备份服务器上重新启动主中心应用系统,依靠实时备份数据恢复主中心业务。
4.网络架构
针对办公业务资源网和公务外网既要相互隔离又有数据交互的特点,在两网之间部署网闸;为了分别保证两网的安全,在核心交换区分别进行防火墙的部署,在核心交换区和应用服务器区分别部署IDS;建立智能安全管理中心,在办公业务资源、公务外网部署流量检测系统,于公务外网设置流量清洗系统,抗DDOS攻击。在系统安全方面部署防病毒系统,另外公务外网部署了Web应用防火墙、网页防篡改系统。通过安全集成在办公业务资源、公务外网各部署一套网络管理平台系统和安全管理平台系统。为防止外来终端接入对内部网络安全的影响,将引入终端准入产品。
政府网络安全方案范文3
关键词: 网络攻击 网络安全 防火墙 安全防护
一、校园网现状
目前国内校园网建设的蓬勃发展正在告诉我们这样一个事实:未来教育将从传统“课堂”教育向网上教育发展,而校园网的建设正是这一重大转变的开端。教育也要“上网”在世界各发达国家,校园网的建设速度似乎不亚于其他如政府网的兴建速度。现代教育的实施程度也与校园网络建设直接相关联。
随着计算机网络的广泛使用和网络之间信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的破坏,或被删除或被复制,数据的安全性和自身的利益受到了严重的威胁。
校园网也同样不能幸免。黑客入侵校园网的新闻也时有发生,非更改考试成绩;更改英语全国四、六级统考成绩;更改考研成绩;非法盗取学校招生、分配机密……
二、校园网中主要安全隐患
校园网中主要安全隐患主要为以下几个方面:(1)病毒的危害。(2)黑客攻击。(3)不良信息的传播。(4)设备的损坏。
网络必须有足够强的安全措施。无论是公众网还是校园网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
三、校园网络安全
作为一种丰富学习资源、拓展教学空间、提高教育效率的有效手段,信息化为教育的创新与普及提供了新的突破口。与此同时,网络社会与生俱来的不安全因素,如病毒、黑客、非法入侵,不健康信息等。也无时无刻不在威胁教育网络的健康发展,成为教育信息化建设中不容忽视的问题。与其他网络一样,校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说,危害网络安全的主要威胁有:非授权访问,冒充合法用户,破坏数据的完整性,干扰系统正常运行,减慢系统的响应时间等;病毒与恶意攻击,线路窃听。许多校园网络由于意识与资金方面的原因,它们在安全方面往往没有太多的设置,包括一些高校在内,常常只是在内部网与互联网之间放一个防火墙就了事了,甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。
四、校园网安全防御措施
1.防火墙设置
防火墙是设置在不同网络之间的一系列软硬件的组合,它在校园网与Internet网络之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受外部非法用户的入侵。设计防火墙的目的就是不让那些来自不受保护的网络如因特网上的多余的未授权的信息进入专用网络,如LAN或WAN,而仍能允许本地网络上的你以及其他用户访问因特网服务。大多数防火墙就是一些路由器,它们根据数据报的源地址、目的地址、更高级的协议,专用标准或安全策略来过滤进入网络的数据报。
2.采用入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
3.漏洞扫描系统
基于网络系统漏洞库,漏洞扫描大体包括CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。这些漏洞扫描是基于漏洞库,将扫描结果与漏洞库相关数据匹配比较得到漏洞信息;漏洞扫描还包括没有相应漏洞库的各种扫描,比如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等,这些扫描通过使用插件(功能模块技术)进行模拟攻击,测试出目标主机的漏洞信息。
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
4.网络病毒的防范
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网(校园网络)的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件,防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使校园网络免受病毒的侵袭。
政府网络安全方案范文4
1.1网站设计原则
电子政务网站设计要符合政府部门工作需要与广大人民群众对政府服务监督的原则,网站信息功能操作便捷,满足政务公开与新闻需要,网站设计要具有前瞻性,可实现网站栏目的增加和后台数据库的扩容,此外,电子政务网站的安全性是网站运行的关键内容,电子政务网站设计要充分考虑网站安全的诸多方面因素,不仅要保证网站信息数据的准确性与完整性,而且要具备防破坏和防攻击能力。
1.2网站设计目标
电子政务网站是面向社会的政务信息与在线政府服务的公共平台,电子政务网站设计目标是要实现大量政务信息公布,网上办公及资源共享,政务信息公布是要将政府所掌握的信息资源及时、准确的向社会公布,提高社会对政府公信度的信任值;网上办公,实现政府办公电子化,如会议通知、政府形象、法规办公、信息传达、意见调查,网上办事等功能由电子政务网站实现;资源共享是将政府部门所掌握的社会所需信息资源建立数据库,可通过搜索功能实现对数据库资源的调用,以便民服务为宗旨实现政府网络服务功能。
2电子政务网站结构设计
2.1电子政务网站层次结构
本文所设计的电子政务网站采用B/S架构,建立3层结构即:表示层、业务逻辑层和数据访问层,网站设计分层结构不仅能够提高网站的访问速度,而且数据库与表示层分离增强了网站的安全性。电子政务网站层次结构如图1所示。表示层主要是实现办公自动化、公共信息管理及与群众信息互动管理;业务逻辑层是实现电子政务各项工作分类,根据政务内容进行工作流划分,归类处理;数据访问层是实现网站平台与数据库之间的关联,可实现数据存储与调用,通过数据整合、过滤和转换,将政务数据存入数据库,方便用户进行调用。
2.2电子政务网站体系结构
将电子政务网站划分为6大模块,包括信息模块、面向公共服务的服务模块、针对于政务内部业务流程的业务模块、安全支撑体系的安全模块、数据库模块和网站管理模块。电子政务网站体系结构如图2所示。电子政务网站数据库模块是存储政务信息及服务数据的中心模块;信息模块是政务公开、政策信息的平台模块;公共服务模块提供政府面向社会的网络办公服务,是政府工作于社会需求互动平台;内部业务模块是实现部门内部、部门之间的报文传递、公文审核等实现无纸化办公;网站安全模块提供网站安全运行和信息安全保障;网站管理模块是网站后台管理,可实现信息与各项功能的管理。
3电子政务网站功能设计
电子政务网站功能分为前台服务功能和后台管理功能,前台服务功能包括:政务公开、公共互动、在线服务、最新资讯和在线资源5个板块;后台管理功能包括:信息管理、文件管理、公共服务管理和用户管理4个板块。电子政务网站功能板块如图3所示。
3.1网站前台板块政务公开:政务公开板块中包含政府机构简介、政府工作人员信息、政府工作内容等。公共互动:公共互动板块包含公共邮箱、网上调查、邮件订阅、论坛等。在线服务:在线服务功能包括网络办公服务指南、在线咨询、行政审批、申请表下载等便民服务。最新资讯:最新资讯板块中包含政府工作动态、政府工作新闻报道、政府通知等内容。在线资源:在线资源板块包含地方日志、政府工作总结、各类报表、公文报告等内容。
3.2网站后台板块信息管理:信息管理板块内容包括信息、信图1电子政务网站层次结构息分类、信息管理、图文管理、网站前台信息管理等。文件管理:文件管理板块是提供在线资源的上传与下载,可为群众提供申请表下载和上传服务。服务管理:服务管理是便民服务板块,其中包括公共邮箱管理、在线资讯管理、网站资源管理、在线调查等。用户管理:用户管理包括网站登录用户管理、网站管理用户管理和部门管理,并具备登录IP记录和登录此次统计功能。
4电子政务网站安全设计
电子政务网站安全设计要从信息安全技术层面和信息安全管理层面两个方面入手,信息安全技术层面主要包括:网络安全性设计、服务器安全设计、网站应用安全设计和数据安全设计;信息安全管理方面主要包括安全管理策略、系统建设管理策略和网站运行与维护管理策略。
4.1信息安全技术设计
网络安全性设计:电子政务网站是一级安全保护级别网站,其所运行的网络应配置网络防护设备及防入侵设备,网络防火墙限制端口开启,只提供与网站应用相关的服务接口。服务器安全设计:网站服务器时网站的核心部分,服务器必须及时更新系统补丁,并安装最新杀毒软件及防火墙,定期更改网站口令了,设置网站服务器管理与审核方案,利用审核策略和安全侧罗保护服务器安全。网站应用安全设计:网站应用安全设计要加强网站防入侵和攻击的能力,网站前台设计采用静态网页形式,网页数据与数据库数据分离管理,增强网站不良信息审核过滤性能,减少SQL注入点,及时为网站升级补丁,利用防篡改软件对加强网站自身防护能力。数据安全设计:电子政务网站数据库包含了政府公文、地方日志、政策导向等重要数据,因此,在数据安全设计方面网站自身要建立数据备份系统,一方面可设计成为人工手动定期备份,另一方面网站系统自身可保存近期网站互动数据,如果网站遭受攻击,数据库被入侵和破坏,可及时对数据库进行修复和复原。
4.2信息安全管理策略
安全管理策略:电子政务网站安全管理需要贯彻到每一位网站建设与管理人员思想中,严格执行网站安全管理制度,明确工作人员岗位安全职责,建立统一的网站操作规范与统一的问题标准回答,提高网站的运行执行力。网站建设管理策略:网站建设要与时俱进,积极将新技术引入网站建设中,在网站栏目设计中要与公众需求紧密结合,网站模块设计完成后需要进行安全测试,保证网站的安全性,针对网站功能面向公众发放调研问卷,最求网站最大的实用性。网站运行与维护管理策略:建立电子政务网站安全管理制度,每日对网站进行监控,并定期对网站及服务器进行维护,对网站运行出现的问题进行记录备案,做好工作总结,严格执行网站运行操作规范。
5结束语
政府网络安全方案范文5
关键词:交通运输;态势感知;网络安全;入侵检测
中图分类号:U111 文献标识码:A 文章编号:1006―7973(2017)06-0026-02
在四一九网络安全和信息化工作座谈会上提出“要以信息化推进国家治理体系和治理能力现代化,统筹发展电子政务,构建一体化在线服务平台,分级分类推进新型智慧城市建设,打通信息壁垒,构建全国信息资源共享体系,利用信息化手段感知社会态势、畅通沟通渠道、辅助科学建设”,2016年12月27日,国务院全文刊发了《“十三五”国家信息化规划》“十大任务”中的最后一项,健全网络安全保障体系,提出“全天候全方位感知网络安全态势”,再次强调了态势感知的重要性。
交通运输行业是国家经济社会发展的先行官,在交通运输发展方面具有极其重要的作用。而交通信息化的发展对国家的战略实施、行业及现代化治理方面具有关键的辅助作用。面对“十三五”期新形势、新要求,“要以国家信息化战略为引领,强化信息化顶层设计,实现行业重要信息系统的互联互通;要结合行业转型升级发展要求,推进信息技术与行业管理和服务的深度融合;要大力促进大数据发展应用,深化政府与企业间合作,共同打造交通信息服务产业新生态;要加强新技术应用,强化网络与信息安全保障体系建设。”
1 国内互联网安全背景
目前国内的信息化水平迅速提高,为了跟上时代的步伐,传统行业迅速转型,导致信息化的消费也在逐年提高。为了保证信息化水平继续逐年稳步提高,则必须有充分的网络安全防护作为保障。2013年以来,我国互联网安全的整体态势主要表现在三个方面:一是网络总体情况比较稳定,但类似于域名系统等薄弱环节仍然需要改进,无法对拒绝服务攻击和安全漏洞进行有效的防御。二是移动互联网快速发展,导致移动互联网的恶意APP迅速增多,生态污染问题亟待解决。三是来自病毒、蠕虫、木马和僵尸的威胁,频繁的恶意程序传播活动将使用户上网面临的感染恶意程序风险加大。
近年来,根据国家互联网应急中心的安全数据分析,web端的安全形势同样令人堪忧。公家互联网安装状况报告年报显示,政府网站、金融行业、媒体、旅游以及网上交易网站最容易遭受不法分子攻击,而安全漏洞往往是实施攻击的必要条件。不法分子通过入侵网站违规信息,首先会导致政府在公众面前的形象遭受损失,更重要的是政治风险无法避免。
2 交通运输行业信息安全体系构建
网络安全监测预警项目正是基于“监测+响应”的理念进行功能设计的,能够全面、有效、及时的向各单位提供安全预警和应急服务。交通运输行业信息化建设发展是以行业信息化重点工程和示范试点工程为依托,努力实现交通运输信息化的上下贯通、左右连通和内外融通,促进现代综合交通运输体系发展。交通运输行业有很多重要的大型数据网络平台如路网监测、救助信息、运营管理、物联网监控、智能交通管控等,这些大型网络数据平台的安全运维是关系到行业稳定发展和国计民生的重要环节,必须保障其安全稳定。
因此,必须利用先进的网络安全态势感知策略积极构建行业信息安全体系,通过“防护+监测+响应”来全方位保障网络平台安全已经成为必行趋势。本文就行业搭建态势感知网络平台相关的内容进行了系统分析,对其主要技术架构建议如下:
2.1 建设目标及原则
(1)建设目标。首先需要对网络的骨干节点进行实时监测,一旦发现恶意的入侵行为或者木马、蠕虫等病毒传播,系统需要立即发出警报并推送给用户;在系统未遭受攻击时,可以对系统进行安全漏洞扫描,一旦发现薄弱环节,同样需要推送给用户。随着系统的不断完善,可以对多个重点系统进行完善的保护,确保入侵行为无法奏效;同时需要对已经阻止的入侵行为进行分析,收集并整理出易受攻击的时间段及系统,有策略的加强局部安全防护。通过态势感知系统的布置,可以对入侵行为进行有效的防护并对网络的整体安全状况有充分的了解、为今后的信息安全策略提供有效的基础性依据。
(2)建设原则。一是系统完整性原则,一旦安全体系建设不完整,致使不法分子有可乘之机,导致前功尽弃。二是系统实用性原则,确保系统的有效性及可用性。三是安全目标与效率、投入之间的平衡原则。四是系统动态发展原则,安全防范体系的建设必须不断完善和升级发展。五是利旧原则,尽量通过采集已有设备数据信息完成态势分析。
2.2 架构总览
系统分为分析交互、大数据分析和数据采集三层。如下图1所示:
(1) 数据采集层。使用部署在网络骨干的引擎,监控Web服务系统的漏洞、安全事件、系统配置问题、木马、病毒等安全威胁,并对威胁进行采集收集。数据采集模块采集到的各类数据可以划分为两种类型,第一种为高频数据,也称大数据,通过高速数据总线收集,其主要特点为高速、海量、异构,大数据主要包含性能及系统状态数据,此外还包括日志、事件、流数据等;第二种为低频数据,通过低频数据总线进行采集,低频数据主要包括配置信息、资产信息、漏洞信息、人员信息和威胁情报等。
除此之外,数据类型还可以根据采集位置区分,一种是采集于内网的内部数据,通常包含网络安全数据、员工审计信息、漏洞信息等,另一种数据采集与互联网出口,称之为外部数据,一般包含外部威胁等信息。
(2)大数据处理层。该模块可以Σ杉到的海量数据进行系统的分类,将其转换为有结构的大数据集。对于不能转换为结构化的数据需要添加相应的索引,最终将两种数据储存起来以便分析交互层进行分析。
(3)分析交互层。分析交互成主要由五个模块组成,分别为安全监测、态势分析、漏洞预警、事件跟踪及知识情报模块。可以对采集数据进行科学系统的分析,最终转换为有价值的信息。①安全监测。安全监测模块对系统整体的安全防护起到支撑作用,可以对网络上的重点系统、重点人员及重点目标进行专项监测。于此同时还可以对网络及系统的状况进行整体监测,如web篡改、病毒入侵、流量告警等威胁信息。该模块不仅可以对外部系统威胁信息进行监测,如果有内部组织或人员对外部网络进行攻击,同样可以进行监测并警告。同时,系统还具有智能过滤功能,对不重要的入侵及攻击事件进行过滤筛选,以便减轻服务器及维护人员的负担。模块最终分析形成的分析报表可以对一定时间段内的安全事件进行对比分析,可以让使用者对系统安全进行直观的了解。②态势分析。态势分析模块包含两大方面,第一是宏观分析,可以从宏观方面分析整互联网总体信息安全状态,对整个网络的安全威胁进行宏观展示;第二是微观分析,可以对重点系统及人员进行详尽的分析,并展示重点目标的威胁态势和web安全态势等。③漏洞预警。漏洞预警模块通过对系统数据全面的检测,可以提前发现系统存在的各种弱点,包括各类网页及配置漏洞,发现漏洞以后可以提前预警并协助用户对漏洞进行防护,对可能遭受的威胁进行提前感知。④事件分析。事件分析模块可以对已发生的安全事件进行汇总并分析,协助使用者找出重点威胁事件、重点对象及攻击源头。分析方法通常为异常服务分析、攻击者分析和三元组分析。其中三元组分析是通过对攻击事件的源IP、目的IP和事件行为进行统计分析。同时,系统应当支持分析提供异常服务和参与对外攻击的主机,支持分析挖掘疑似攻击人员相关信息。
3 结语
综上所述,应用态势感知理念搭建起来的安全架构具有提前预知入侵、降低入侵危害等特性,行业内各大型数据网络平台和管理单位可以结合自身情况搭建与之相适应的态势感知系统来应对可能面临的入侵威胁,确保网络及信息系统平稳运行,努力实现行业和国家《“十三五”国家信息化规划》的宏伟目标。
参考文献:
[1]刘旭东.关于网络安全趋势态势感知的预警技术分析[J].科技创业月刊,2016,(29)
[2]彭毅.基于多传感的网络安全态势感知系统框架结构[J]网络安全技术与应用,2016,(12)
[3]张翼鹏.分析网络安全态势感知系统结构[J].通讯世界,2017,(1)
政府网络安全方案范文6
【关键词】 政务信息安全 信息安全评估 指标体系
1 引言
近年来,我国电子政务网络体系和信息系统建设加快推进,建设了大量的政务门户网站、电子公文系统等。随之而来的是政务安全威胁也与日俱增。根据统计,政府网站和信息系统依然是黑客攻击的主要目标之一。大量政府网站被挂马和恶意篡改,重要数据库信息被窃取,这些都严重影响到了政府部门的信息安全和自身公信力。
在政府单位信息安全日常检查工作中,由于缺乏系统、全面、统一的信息安全评估机制和评估标准,导致评估结果可量化程度低,无法直观反映评估结果和存在问题,一定程度上削弱了信息安全检查结果对整改工作的指导价值。因此,探索建立适用于政府单位的一整套信息安全评估指标体系,变信息安全“一事一议”为长效机制,对于增强政务信息安全防护水平,带动信息安全产业发展具有重要意义。
2 政务信息安全评估
信息安全评估就是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及存在的漏洞,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。信息安全评估的重要意义在于,通过对政府部门关心的重要信息资产的评估分级,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定后期处理计划,从而建立一套完整的、健壮的安全风险防御体系,为进一步制定安全风险投资预算计划、安全风险投资回报分析、人员组织计划和建立安全体系、制定安全政策、引入安全控制措施而提供基础数据,辅助最高管理层对政务信息安全管理的计划与实践做出正确决策。
目前,在信息安全领域较为通用的信息安全评估技术标准包括《信息技术安全评价通用准则》(ISO/IEC 15408 CC标准)、《国际信息安全管理标准体系》(BS 7799标准)、《信息技术 安全技术 信息安全管理体系 要求》(GB/T 22080-2008 ISO/IEC 27001:2005)、《信息技术 安全技术 信息安全管理 实用规则》(GB/T 22081-2008 ISO/IEC 27002:2005)、《系统安全工程能力成熟度模型》(SSE-CMM)等。
3 政务信息安全评估指标体系
本文结合上述各项信息安全评估技术标准,考虑政务信息安全各项技术要求,结合政务信息系统建设的成本、效益等操作层面问题,给出了一套包含以下七大类一级指标的政务信息安全评估三级指标体系。
(1)“信息安全保障机构”:为确保信息安全日常工作,政府部门应成立信息安全领导机构小组,建立相关制度,明确信息安全主管领导和信息安全专业,按照“谁主管、谁负责”的原则,全面落实工作责任制。
(2)“日常信息安全管理”:应根据组织的信息安全方针,规定岗位信息安全责职责并形成文件,对重要岗位应制定重要岗位安全保密责任书,对信息岗位,员工离岗离职时应按照单位规定,对人员使用的计算机、存储设备、访问密码等进行管理。外部人员访问时,应确保在外部人员访问受控区域前得到授权或审批。对重大的安全责任事件有相应的问责机制。
(3)“系统信息安全管理”:对于政府部门信息安全等级保护,应按照等保的要求进行评测、定级、备案与安全整改。在系统运行维护方面,应明确制定每个系统的运维内容、运维方式、运维职责,对系统的用户权限和管理员权限进行管理。对于系统功能流程的变更需要建立变更审批制度,并进行变更记录。系统应具备日志和备份功能,对系统的日常操作进行安全审计。
(4)“信息安全技术防护”:信息安全技术防护是信息安全保障工作的重要内容,针对目前政府部门整体信息化建设和应用系统使用情况,应该注重的技术防护方面包括:网络安全、终端与介质防护、数据安全、应用安全、门户网站防护、邮件系统防护、机房环境安全等。
(5)“信息安全应急响应”:系统运维应急方案是对中断或严重影响业务的故障,如宕机、数据丢失、业务中断等,进行快速响应和处理,在最短时间内恢复业务系统,将损失降到最低。政府部门应针对各类突发事件,如硬件损坏、操作失误、配置丢失、数据丢失等设计相应的预防与解决措施,同时提供完整的应急预案处理流程,定期进行预案演练。
(6)“信息安全教育培训”:对各级安全负责人员、系统使用人员应定期进行安全教育培训,提升信息安全意识,提高信息安全管理水平。对于专业信息安全人员开展定期考核测评
(7)“信息安全检测评测”:通过信息自查、抽查等方式开展政府部门的信息安全检查工作,各单位应配合检查工作建立检查小组,对检查实施过程进行监督指导。对关键网络环境、硬件服务器、计算机终端、应用系统等开展技术性检测。详细记录检查结果,对安全问题环节进行通报、上报、整改,并追究相关人员责任。
4 指标数据采集方法
在实际工作中可采用以下四种指标数据采集方法:一是问卷调查,即通过问题表的形式,事先将需要了解的问题列举出来,通过让相关人员回答有关问题而获取数据信息。二是实地收集,即通过深入现场,亲自参与系统的运行维护活动,并运用观察、操作等方法直接从信息系统中收集资料和数据。三是利用辅助工具,借助网络和系统检测、扫描、监控工具发现系统某些内在的弱点和可能存在的威胁。四是文档审查,即通过文档和资料的查阅,获取较完整的系统信息和历史经验。
5 结论
在电子政务建设过程中不可避免的涉及到信息安全保障工作,而信息安全评估作为信息安全保障工作的重要环节,制定相应的安全评估标准,能够为信息安全各个职能部门提供检测依据,进而妥善处理政务信息安全中存在的不同层面问题。通过对评估指标、评估模式、评估方法的不断创新完善,安全评估在信息安全体系建设中的支撑引领作用将得到更充分的认识,并成为信息安全工作的重要规划指导依据和评价考核标准。
参考文献:
