網路安全防護

網路安全防護

網路安全防護是一種網路安全技術,指致力于解決諸如如何有效進行介入控製,以及如何保證資料傳輸的安全性的技術手段,主要包括物理安全分析技術,網路結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機製策略。

  • 中文名稱
    網路安全防護
  • 致力于
    解決諸如如何有效進行介入控製
  • 實    質
    網路安全技術
  • 主要包括
    物理安全分析技術

防護措施

訪問控製:對使用者訪問網路資源的許可權進行嚴格的識別和控製。例如,進行使用者身份識別,對口令加密、更新和鑒別,設定使用者訪問目錄和檔案的許可權,控製網路設備配置的許可權,等等。資料加密防護:加密是防護資料安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。

網路隔離防護:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網扎實現的。

其他措施:其他措施包括信息過濾、容錯、資料鏡像、資料備份和審計等。

防範意識

擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。

安全檢查

要保證網路安全,進行網路安全建設,第一步首先要全面了解系統,評估系統安全性,認識到自己的風險所在,從而迅速、準確得解決區域網路安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具,徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性,一鍵操作即可對區域網路電腦進行全面的安全保密檢查及精準的安全等級判定,並對評測系統進行強有力的分析處置和修復。

安全方案

人們有時候會忘記安全的根本,隻是去追求某些耀人眼目的新技術,結果卻發現最終一無所得。而在如今的經濟環境下,有限的安全預算也容不得你置企業風險最高的區域于不顧而去追求什麽新技術。當然,這些高風險區域並非對所有人都相同,而且會時常發生變化。不良分子總是會充分利用這些高風險區域實施攻擊,而我們今天所看到的一些很流行的攻擊也早已不是我們幾年前所看到的攻擊類型了。寫作本文的目的,就是要看一看有哪些安全解決方案可以覆蓋到目前最廣的區域,可以防御各種新型威脅的。從很多方面來看,這些解決方案都是些不假思索就能想到的辦法,但是你卻會驚訝地發現,有如此多的企業(無論是大企業還是小企業)卻並沒有將它們安放在應該放置的地方。很多時候它們隻是一種擺設而已。

下面給出的5大基本安全方案,如果結合得當,將能夠有效地製止針對企業的資料、網路和使用者的攻擊,會比當今市場上任何5種安全技術的結合都要好。盡管市場上還有其他很多非常有用的安全解決方案,但如果要選出5個最有效和現成可用的方案,那麽我的選擇還是這5項:

防火牆

這塊十多年來網路防御的基石,如今對于穩固的基礎安全來說,仍然十分需要。如果沒有防火牆禁止有害的流量,那麽企業保護自己網路資產的工作就會成倍增加。防火牆必須部署在企業的外部邊界上,但是它也可以安置在企業網路的內部,保護各網路段的資料安全。在企業內部部署防火牆還是一種相對新鮮但卻很好的實踐。之所以會出現這種實踐,主要是因為可以區分可信任流量和有害流量的任何有形的、可靠的網路邊界正在消失的緣故。舊有的所謂清晰的網際網路邊界的概念在現代網路中已不復存在。最新的變化是,防火牆正變得越來越智慧型,顆粒度也更細,能夠在資料流中進行定義。如今,防火牆基于套用類型甚至套用的某個功能來控製資料流已很平常。舉例來說,防火牆可以根據來電號碼禁止一個SIP語音呼叫。

安全路由器

(FW、IPS、QoS、VPN)--路由器在大多數網路中幾乎到處都有。按照慣例,它們隻是被用來作為監控流量的交通警察而已。但是現代的路由器能夠做的事情比這多多了。路由器具備了完備的安全功能,有時候甚至要比防火牆的功能還全。今天的大多數路由器都具備了健壯的防火牆功能,還有一些有用的IDS/IPS功能,健壯的QoS和流量管理工具,當然還有很強大的VPN資料加密功能。這樣的功能列表還可以列出很多。現代的路由器完全有能力為你的網路增加安全性。而利用現代的VPN技術,它可以相當簡單地為企業WAN上的所有資料流進行加密,卻不必為此增加人手。有些人還可充分利用到它的一些非典型用途,比如防火牆功能和IPS功能。開啟路由器,你就能看到安全狀況改善了很多。

網路安全防護網路安全防護

無線WPA2

這5大方案中最省事的一種。如果你還沒有採用WPA2無線安全,那就請把你現在的安全方案停掉,做個計畫準備上WPA2吧。其他眾多的無線安全方法都不夠安全,數分鍾之內就能被破解。所以請從今天開始就改用帶AES加密的WPA2吧。

郵件安全

我們都知道郵件是最易受攻擊的對象。病毒、惡意軟體和蠕蟲都喜歡利用郵件作為其傳播渠道。郵件還是我們最容易泄露敏感資料的渠道。除了安全威脅和資料丟失之外,我們在郵件中還會遭遇到沒完沒了的垃圾郵件!

Web安全

今天,來自80連線埠和443連線埠的威脅比任何其他威脅都要迅猛。有鑒于基于Web的攻擊越來越復雜化,所以企業就必須部署一個健壯的Web安全解決方案。多年來,我們一直在使用簡單的URL過濾,這種辦法的確是Web安全的一項核心內容。但是Web安全還遠不止URL過濾這麽簡單,它還需要有註入AV掃描、惡意軟體掃描、IP信譽識別、動態URL分類技巧和資料泄密防範等功能。攻擊者們正在以驚人的速度侵襲著很多高知名度的網站,假如我們隻依靠URL黑白名單來過濾的話,那我們可能就隻剩下白名單的URL可供訪問了。任何Web安全解決方案都必須能夠動態地掃描Web流量,以便決定該流量是否合法。在此處所列舉的5大安全解決方案中,Web安全是處在安全技術發展最前沿的,也是需要花錢最多的。而其他解決方案則大多數已經相當成熟。Web安全應盡快去掉虛飾,回歸真實,方能抵擋住黑客們發起的攻擊。

安全防御

根據目前的網路安全現狀,以及各領域企業的網路安全需求,能夠簡單、快捷地實現整個網路的安全防御架構。企業信息系統的安全防御體系可以分為三個層次:安全評估,安全加固,網路安全部署。

安全評估

通過對企業網路的系統安全檢測,web腳本安全檢測,以檢測報告的形式,及時地告知使用者網站存在的安全問題。並針對具體項目,組建臨時項目腳本代碼安全審計小組,由資深網站程式員及網路安全工程師共通審核網站程式的安全性。找出存在安全隱患程式並準備相關補救程式。

安全加固

以網路安全評估的檢測結果為依據,對網站應用程式存在的漏洞、頁面中存在的惡意代碼進行徹底清除,同時通過對網站相關的安全原始碼審計,找出原始碼問題所在,進行安全修復。安全加固作為一種積極主動地安全防護手段,提供了對內部攻擊、外部攻擊和誤操作的即時保護,在網路系統受到危害之前攔截和回響入侵,加強系統自身的安全性。

網路安全部署

在企業信息系統中進行安全產品的部署,可以對網路系統起到更可靠的保護作用,提供更強的安全監測和防御能力。

相關法規

通信網路安全防護管理辦法(中華人民共和國工業和信息化部令第11號)

通信網路安全防護管理辦法》已經2009年12月29日中華人民共和國工業和信息化部第8次部務會議審議通過,現予公布,自2010年3月1日起施行。

部 長 李毅中 二〇一〇年一月二十一日

通信網路安全防護管理辦法

第一條 為了加強對通信網路安全的管理,提高通信網路安全防護能力,保障通信網路安全暢通,根據《中華人民共和國電信條例》,製定本辦法。

第二條 中華人民共和國境內的電信業務經營者和網際網路域名服務提供者(以下統稱"通信網路運行單位")管理和運行的公用通信網和網際網路(以下統稱"通信網路")的網路安全防護工作,適用本辦法。本辦法所稱網際網路域名服務,是指設定域名資料庫或者域名解析伺服器,為域名持有者提供域名註冊或者權威解析服務的行為。本辦法所稱網路安全防護工作,是指為防止通信網路阻塞、中斷、癱瘓或者被非法控製,以及為防止通信網路中傳輸、存儲、處理的資料信息丟失、泄露或者被篡改而開展的工作。

第三條 通信網路安全防護工作堅持積極防御、綜合防範、分級保護的原則。

第四條 中華人民共和國工業和信息化部(以下簡稱工業和信息化部)負責全國通信網路安全防護工作的統一指導、協調和檢查,組織建立健全通信網路安全防護體系,製定通信行業相關標準。各省、自治區直轄市通信管理局(以下簡稱通信管理局)依據本辦法的規定,對本行政區域內的通信網路安全防護工作進行指導、協調和檢查。工業和信息化部與通信管理局統稱"電信管理機構"。

第五條 通信網路運行單位應當按照電信管理機構的規定和通信行業標準開展通信網路安全防護工作,對本單位通信網路安全負責。

第六條 通信網路運行單位新增、改建、擴建通信網路工程項目,應當同步建設通信網路安全保障設施,並與主體工程同時進行驗收和投入運行。通信網路安全保障設施的新增、改建、擴建費用,應當納入本單位建設項目概算。

第七條 通信網路運行單位應當對本單位已正式投入運行的通信網路進行單元劃分,並按照各通信網路單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度,由低到高分別劃分為一級、二級、三級、四級、五級。電信管理機構應當組織專家對通信網路單元的分級情況進行評審。通信網路運行單位應當根據實際情況適時調整通信網路單元的劃分和級別,並按照前款規定進行評審。

第八條 通信網路運行單位應當在通信網路定級評審通過後三十日內,將通信網路單元的劃分和定級情況按照以下規定向電信管理機構備案: (一)基礎電信業務經營者集團公司向工業和信息化部申請辦理其直接管理的通信網路單元的備案;基礎電信業務經營者各省(自治區直轄市)子公司、分公司向當地通信管理局申請辦理其負責管理的通信網路單元的備案; (二)增值電信業務經營者向作出電信業務經營許可決定的電信管理機構備案; (三)網際網路域名服務提供者向工業和信息化部備案。

第九條 通信網路運行單位辦理通信網路單元備案,應當提交以下信息: (一)通信網路單元的名稱、級別和主要功能; (二)通信網路單元責任單位的名稱和聯系方式; (三)通信網路單元主要負責人的姓名和聯系方式; (四)通信網路單元的拓撲架構、網路邊界、主要軟硬體及型號和關鍵設施位置; (五)電信管理機構要求提交的涉及通信網路安全的其他信息。 前款規定的備案信息發生變化的,通信網路運行單位應當自信息變化之日起三十日內向電信管理機構變更備案。 通信網路運行單位報備的信息應當真實、完整。

第十條 電信管理機構應當對備案信息的真實性、完整性進行核查,發現備案信息不真實、不完整的,通知備案單位予以補正。

第十一條 通信網路運行單位應當落實與通信網路單元級別相適應的安全防護措施,並按照以下規定進行符合性評測: (一)三級及三級以上通信網路單元應當每年進行一次符合性評測; (二)二級通信網路單元應當每兩年進行一次符合性評測。 通信網路單元的劃分和級別調整的,應當自調整完成之日起九十日內重新進行符合性評測。 通信網路運行單位應當在評測結束後三十日內,將通信網路單元的符合性評測結果、整改情況或者整改計畫報送通信網路單元的備案機構。

第十二條 通信網路運行單位應當按照以下規定組織對通信網路單元進行安全風險評估,及時消除重大網路安全隱患: (一)三級及三級以上通信網路單元應當每年進行一次安全風險評估; (二)二級通信網路單元應當每兩年進行一次安全風險評估。 國家重大活動舉辦前,通信網路單元應當按照電信管理機構的要求進行安全風險評估。 通信網路運行單位應當在安全風險評估結束後三十日內,將安全風險評估結果、隱患處理情況或者處理計畫報送通信網路單元的備案機構。

第十三條 通信網路運行單位應當對通信網路單元的重要線路、設備、系統和資料等進行備份

第十四條 通信網路運行單位應當組織演練,檢驗通信網路安全防護措施的有效性。 通信網路運行單位應當參加電信管理機構組織開展的演練。

第十五條 通信網路運行單位應當建設和運行通信網路安全監測系統,對本單位通信網路的安全狀況進行監測。

第十六條 通信網路運行單位可以委托專業機構開展通信網路安全評測、評估、監測等工作。 工業和信息化部應當根據通信網路安全防護工作的需要,加強對前款規定的受托機構的安全評測、評估、監測能力指導。

第十七條 電信管理機構應當對通信網路運行單位開展通信網路安全防護工作的情況進行檢查。 電信管理機構可以採取以下檢查措施: (一)查閱通信網路運行單位的符合性評測報告和風險評估報告; (二)查閱通信網路運行單位有關網路安全防護的文檔和工作記錄; (三)向通信網路運行單位工作人員詢問了解有關情況; (四)查驗通信網路運行單位的有關設施; (五)對通信網路進行技術性分析和測試; (六)法律、行政法規規定的其他檢查措施。

第十八條 電信管理機構可以委托專業機構開展通信網路安全檢查活動。

第十九條 通信網路運行單位應當配合電信管理機構及其委托的專業機構開展檢查活動,對于檢查中發現的重大網路安全隱患,應當及時整改。

第二十條 電信管理機構對通信網路安全防護工作進行檢查,不得影響通信網路的正常運行,不得收取任何費用,不得要求接受檢查的單位購買指定品牌或者指定單位的安全軟體、設備或者其他產品。

第二十一條 電信管理機構及其委托的專業機構的工作人員對于檢查工作中獲悉的國家秘密、商業秘密和個人隱私,有保密的義務。

第二十二條 違反本辦法第六條第一款、第七條第一款和第三款、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十九條規定的,由電信管理機構依據職權責令改正;拒不改正的,給予警告,並處五千元以上三萬元以下的罰款。

第二十三條 電信管理機構的工作人員違反本辦法第二十條、第二十一條規定的,依法給予行政處分;構成犯罪的,依法追究刑事責任。

第二十四條 本辦法自2010年3月1日起施行。

相關新聞

網路安全防護情勢嚴峻木馬問題引發社會關註,隨著我國網際網路行業的飛速發展,木馬等電腦惡意程式也越來越成為廣大電腦使用者面臨的最大的網路危害之一。新華社記者28日獲悉,國內相關部門正在就治理木馬等電腦惡意程式進行研討,並呼吁針對電腦惡意程式盡快立法。木馬等電腦惡意程式是不法分子在使用者電腦系統中植入的監視工具,伺機竊取使用者資料,並控製使用者電腦來從事非法活動。這幾年來,木馬等電腦惡意程式和病毒的趨利性在不斷增強,利益的驅動促使盜號產業鏈的形成,這個巨大的灰色產業鏈已經給整個網際網路的安全帶來嚴峻考驗。

據艾瑞咨詢最新發布的《2007中國個人網路安全研究報告》顯示,如今通過木馬病毒盜竊網際網路交易平台上的賬號、密碼,已成為網路安全的主要隱患。28日,在包括國務院信息化辦公室、信息產業部、公安部、國家反病毒中心、中國網際網路協會等多個部門參與的電腦惡意程式治理法律環境高層研討會上,與會人員就中國當前的網路安全情勢以及法律環境問題進行了深入剖析,同時對違法後果的評估和量刑進行了探討,並呼吁對木馬等電腦惡意程式的立法盡快提上議程。"惡意盜竊網際網路交易平台上的賬號、密碼的行為,不僅嚴重侵害了使用者權益,也極大損害了企業權益。國家盡快出台相關法律法規,切實治理木馬等電腦惡意程式問題。"騰訊公司首席行政官陳一丹說。騰訊公司安全中心負責人盧山認為當前國區域網路絡安全防護面臨嚴峻情勢,他說,在經濟利益的驅使下,新的木馬不斷出現,同時不斷出現新的變種。

陳一丹認為,一個企業的力量畢竟有限,要從各個環節入手給予不法分子以嚴厲打擊,這需要各相關企業、使用者、司法機關等社會各界的共同努力,使查殺惡意程式、打擊黑色產業鏈有法可依,有效震懾不法分子。

相關詞條

其它詞條