发布时间:2023-10-10 17:16:08
绪论:一篇引人入胜的信息安全防护方法,需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文,供您参考和学习。
2安全的计算环境需要为以上设备和应用的服务提供安全有效的防护机制
一是要对所有设备实现统一的管理和控制,在较高层面对终端和服务器实施统一完善的安全防护措施,能在不影响广播发送平台的正常运转的情况下有效提升业务进程的效率,。二是安全的审计制度,广播发送平台的安全防护计算环境中需部署完善的审计系统,通过融合处理业务流程日志,对用户操作、数据库的记录等日志进行采集,为管理人员的统一管控提供参考和便利。三是应用方面的安全,广播发送平台的信息安全防护系统有针对广播消息的传送和处理的特定需求,采取一定的措施如加密、认证、审计等对多层面的应用提供相应的安全保护。最后是基础设施建设方面的安全考虑。一是网络和基础设施,包括安全可靠的通信系统和物理隔离的安全设施,广播发送平台的信息安全防护体系中安全的通信网络需实现访问控制、认证、数据完整性、审计和保密的要求,物理方面的安全防护需考虑机房的访问、电力设施的保护、安全设备的维护等。二是支撑性的的基础设施要求在广播发送平台的信息安全防护体系中应用信息加密技术,可采用公钥这种非对称的加密方法,加密者和解密者各自拥有不同的密钥,以此实现系统内信息的安全、保密、真实和完整,并结合数字签名的方式进行身份认证,防止假冒。
中图分类号:TP309 文献标识码:A 文章编号:1671-2064(2017)10-0135-02
电力信息网终端作为信息网的重要组成部分,直接承载了各类生产应用开放的业务功能,给业务用户带来了便捷的同时也面临着许多不容忽视的安全威胁;信息内网终端由于病毒感染、移动介质的非法使用、内外网互联等行为给整个电力信息网带来了极大的安全隐患[1]。国网合肥供电公司在开展终端自动化运维工作的基础上,同时积极开展将终端安全防护纳入终端自动化运维工作范围,自主研发终端自动运维安全检测工具来实现终端的安全优化,通过此工具的应用,有效的管理终端设备,提高工作效率,同时实时监控终端,提高信息内外网的安全性。该工具目前在合肥公司已全面应用,应用情况良好。
1 电力信息网终端安全防护现状
合肥供电公司按照国网公司信息安全规范要求[2]对信息网进行了信双网隔离改造,目前信息网包括信息内网和信息外网。其中信息外网主要包括办公桌面终端,方便专业管理人员接入互联网,由省电力公司进行安全防护管理;信息内网包括市公司本部的局域网、变电站及营业厅使用的广域网及县公司网络,并按照信息安全“分区、分级、分域”的防护规范要求,将信息内网安全域划分为网络边界、网络环境、信息主机及应用环境4个层次,各系统、网络设备、终端划分至相应安全区域进行防护。公司现有信息终端2800余台以办公用台式机为主,同时包括网络打印机、网络摄像头、硬盘录像机、缴费终端等其他类型。根据国网公司终端信息安全管理规范要求,针对办公终端均已安装北信源桌面管控终端(VRV客户端)、趋势防病毒客户端及保密终端,并定期进行补丁升级。
随着信息安全要求的不断提升,电力信息网终端防护方法及技术也不断提升,目前已形成基础系统配置审计、终端行为审计及终端安全辅助支撑三级的主、被动结合的防护机制[3]。
(1)基础系统配置审计:通过VRV客户端定期对终端操作系统的Guest用户、登录口令强度、口令过期策略、系统补丁安装情况进行检测,提示终端操作系统存在的安全风险;并由省电科院定期开展终端漏洞扫描工作,针对MS08-77、MS12-020等高危漏洞进行扫描并提示整改[6]。
(2)终端行为审计:通过VRV客户端对终端用户的违规内外网互联、使用非安全移动存储设备,使用趋势防病毒客户端对终端病毒感染情况进行审计并提示终端用户行为存在的安全风险。
(3)终端安全辅助支撑:为增加终端使用人员的信息安全意识,通过设置统一的安全警示屏保、公司内网网站定期宣传、办公场所信息安全事故展等多种方式开展终端安全宣传工作,进一步提升人员信息安全意识[3]。
在使用信息网终端时,部分员工的无意识行为和安全意识不足,给信息网安全带来了一定的安全隐患[8],主要表现在以下几个方面:
1)终端范围广,环境复杂,用户多,终端安全管理难度较大,同时对于终端设备的随意接入使用,并不及时安装监控软件或私自关闭关键进程(如:趋势,VRV等),给内外网的安全到来安全风险,也不便于管理人员有效的管理以及对终端的安全进行监控。
2)无线WIFI的热点的滥用,为黑客利用终端攻击企业局域网提供了便利的条件。
3)K端漏洞补丁的不及时安装,会直接导致黑客入侵电脑,获取终端管理员权限,植入密码病毒或者机密信息等。
4)存在多个系统账户和弱口令,可能导致终端被黑客入侵或者被他人识别登录,造成文件丢失、信息外泄等安全隐患。
5)终端服务的监控准确性差、安全控制策略经常无法生效,以致用户可以私自启用某些不安全的服务,造成信息安全隐患。
6)安装指定的屏保并合规设备屏保,保证终端无人使用状态下,能迅速保护终端安全,防止他人使用造成信息外泄。
2 电力信息网终端安全防护提升方法
2.1 安全防护方法设计
为应对信息网终端运行潜在的各类安全风险,合肥公司开展了各类有效的措施加强安全防护,例如要求用户终端在接入电力信息网前达到一定的安全要求,尽量避免单个用户的网络安全隐患对整个信息网络构成威胁,并通过VRV终端定期推送补丁,消除终端系统存在的高危漏洞。但由于信息网的网络安全状态是非稳定的,信息网中的接入设包含信息终端的状态随着时间迁移、变迁到非安全状态,从而给信息网带来新的安全隐患。为此,结合合肥公司目前在运的终端自动化运维终端工具,在工具中集成终端运行数据的采集功能;当在信息网中收集的网络及用户终端的状态信息越多,越能够准确地判断出终端给信息网带来的安全风险,并及时给出应对措施,控制网络安全风险。
终端运维工具与终端安全安全防护关联的核心功能包括:(1)以客户端安装的方式在终端运行实时监控并自动修复存在的安全隐患,如无法修复安全隐患时,终端将被隔离,只访问指定的服务器。(2)以网页的方式实现上传漏洞补丁和指定屏保、监控的信息结果进行展示并信息导出等功能。具体功能如下:
(1)客户端直接对终端设备的进程、服务、账户、口令、趋势、VRV进行监控,通过网络适配器对网卡、无线WIFI进行监控,同时通过对已配置监控的漏洞补丁、屏保进行监视,将此监控的结果进行保存、反馈,并同时对存在的安全危害项进行修复完善。
(2)管理人员通过网站页面展示信息,能够准确了解终端的运行情况,实时查看终端是否符合国网公司的各项信息安全规章制度,同时也可及时发现具体的违规终端信息并及时处理。
(3)安全检查管理:安全检查管理通过以列表的形式将所有终端的监控信息结果进行展示,可通过IP、MAC、检测项等关键字进行筛选显示。展示信息包括:所属部门、使用人、IP地址、MAC地址、趋势是否安装、VRV是否安装、漏洞补丁是否安装、是否单账户、口令是否合格等信息。同时也提供检测信息导出Excel文档功能。
2.2 安全防护工具应用
工具在客户端上定期依据审计项目对终端安全状态进行检测,并上传至后台系统,安全项目检测界面见图1。检测结束后若不满足终端安全防护要求,客户端工具通过调用系统防火墙,限制终端的网络接入,只允许客户端接入特定的漏洞服务器,防止终端给信息网带来的潜在的安全风险。
3 结语
在分析电力信息网终端运行安全风险的基础上,合肥公司自助研发了终端安全风险监测与防护工具,通过工具应用,能够有效的对终端设备进行有效的监控和分析,并及时有效的修复安全检测项以及将分析的总体结果通过管理端进行详细展示,有效地提高工作效率,降低了网络安全风险,提高了电力信息内网的安全性,具有一定额推广价值。
参考文献
中图分类号:F262.5 文献标识码:A 文章编号:1009-914X(2014)24-0306-01
进入21世纪以来,社会经济迅猛发展,科学技术水平逐步提高,信息手段已经成为了各行各业运用的主要设施。广播作为人们生活的重要内容之一,其传播方式的改变就成为了大势所趋。在现代化设备逐步更新换代的大背景下,我国的广播发送平台也从以往的单一人工操作方式,转变为了自动化、集成化的传递手段,信息的传送更加高效快速,人们获取信息资源也更具实效性,在很大程度上节约了时间,并减少了人力资源投入。但是这种现代化的信息传递方法也存在着明显的弊端,很多黑客入侵系统,认为制作恶意代码,给广播发送平台带来了巨大的损失,不利于信息设备的长久使用,如何完善广播发送平台信息安全防护体系已经成为了社会各界关注的焦点。针对这样的现象,本文就结合我国广播发送平台信息传递的实际情况,简单阐述一下怎样构建有效的防护体系,从而确保信息安全传递,促进我国广播事业的有效发展。
一、广播发送平台信息安全防护体系的主要内容
第一,信息安全保护模型。信息系统的安全防护是一个复杂的过程,在具体实施中要首先分析其信息系统的风险情况,接着再制定有效的保护方式,最后在技术、管理等方面予以保护,提升信息的安全完整度,将安全风险降低到最小。
第二,信息保障技术框架结构。信息保障技术框架结构简称为IATF,它是由美国国家安全局(NSA)制定的,以保护美国政府和工业界的信息与信息技术设施提供技术指南为目的的结构框架。IATF强调的是人、技术、操作这三个核心要素,从多种不同的角度对信息系统进行防护。IATF关注四个信息安全保障领域,即本地计算环境、区域边界、网络和基础设施、支撑性基础设施。在此基础上,对信息信息系统就可以做到多层防护,实现组织的任务或业务运作,这样的防护被称为“深度防护战略”。
二、广播发送平台信息安全防护体系的构建
广播发送平台信息安全防护体系的有效构建对信息的快速传递、设备的有效保护以及信息的安全性具有非常积极的作用。为了切实达到这一目标,广播单位机构一定要构建完善的体系制度,以保证信息的安全性。
(一)安全边界区域
广播发送系统的网络结构比较复杂,包括系统外网、系统内网及互联网,安全边界区域安全的建设需要从如下几个方面考虑。
(1)访问控制。对广播发送系统的内网和外网、内网不同区域间进行分割,对不同区域之间的实现访问控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数进行分析,可以实现对网络流量的精细控制,把可能的安全风险控制在各自相对独立的区域内,有效避免安全风险的大规模扩散。可以采用安全设备有物理隔离、防火墙、网闸、可管控防火墙等技术。
(2)身份鉴别。访问的内网用户,需要对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制,以及使用传输介质的身份鉴别等。
(3)攻击防范。TCP或IP 协议具有开放特性,从协议角度缺少足够的安全特性,给广播发送系统带来了安全风险,常见的威胁有IP地址窃取、IP地址假冒、网络端口扫描以及拒绝服务攻击等。在安全边界必须提供有效的检测和防范措施,采用安全设备有入侵检测、入侵防御系统的技术。
(二)安全计算环境
广播发送系统信息平台的安全计算环境主要由业务终端、管理终端、应用服务器、数据库服务器及应用系统本身构成。安全计算环境内容,包括操作系统和数据库管理系统所提供的安全功能。
(1)统一管控。为了广播发送系统的网络环境安全,需要对全体的操作终端和服务器实现统一管控。对业务终端系统,可以采用安全方式进行结构化保护;对服务器系统和数据库系统,采用安全管控器方式进行结构化保护。安全管理平台对分布在内部计算环境的各种业务终端、管理终端、应用服务器和数据库服务器进行统一监控和管理。
(2)安全审计。广播发送信息系统、操作终端、服务器的操作系统及数据库系统,配置并启用操作日志功能。同时,安全管理中心的日志审计系统,将操作系统、数据库、业务系统的日志信息收集,并进行集中审计,为管理员进行分析提供便利。
(3)应用安全。现有应用安全的基础上,针对广播发送信息系统核心业务的安全需求,采取防护措施保障。主要包括对身份鉴别、访问控制、数据传输、安全审计等层面进行控制,构建应用安全系统整体的保护策略。
(三)网络和基础设施
(1)安全通信网络。广播发送信息系统的安全通信网络防护系统负责保证安全系统在通过网络进行跨域访问时的安全,同时防止外部网络非法访问内部安全系统,通信网络传输安全主要是保密性、完整性和抗抵赖,这个功能可以通过加密传输来实现,而且能够阻止网络入侵行为,采用安全管理中心的通信网络监控模块予以实现(图1)。
(2)物理安全基础设施。对于广播发送信息系统的物理安全基础设施的建设,应从如下几个方面来规划和考虑:
第一,严格控制机房的出入,包括根据广播发送信息系统的安全级别来安排机房访问层次划分,部署门警系统、部署视频监控系统来防止对物理机房的非法访问。
第二,电力系统的保护,保障系统的持续电力供应系统,配备合适功率的UPS电源,达到一类供电标准,同时对电力的布线严格按照相关标准执行,加装电力监测系统,有效的对电力系统实时监测。
第三,物理线路安全保护,对于物理线路的安全保护是保证信息系统持续安全、运行的关键, 需要建立防电磁泄漏系统以及物理线路的备份保护等。
结束语
总而言之,由于社会主义现代化建设的不断发展完善,计算机、互联网等现代化设施已经走进了千家万户,在各行各业中都得到了广泛应用。广播发送平台作为技术运用的主要方面,更是受到了社会各界的关注。为了保证信息的快速安全传递,提升信息的有效性,我国广播单位一定要构建信息安全防护的有效体系,完善安全边界、营造安全环境,并健全相关网络和基础设施,为广播事业的发展作铺垫。
参考文献
