談網(wǎng)絡(luò)安全管理論文
談網(wǎng)絡(luò)安全管理論文
網(wǎng)絡(luò)安全管理涉及技術(shù)、硬件的管理,更多地涉及到人員崗位職責(zé)安排、安全管理制度、安全評估制度等。任何方面的疏漏都會使發(fā)生網(wǎng)絡(luò)安全事件的可能性增大。下面是學(xué)習(xí)啦小編給大家推薦的談網(wǎng)絡(luò)安全管理論文,希望大家喜歡!
談網(wǎng)絡(luò)安全管理論文篇一
《談網(wǎng)絡(luò)安全管理》
摘 要:網(wǎng)絡(luò)安全管理涉及技術(shù)、硬件的管理,更多地涉及到人員崗位職責(zé)安排、安全管理制度、安全評估制度等。任何方面的疏漏都會使發(fā)生網(wǎng)絡(luò)安全事件的可能性增大。本文討論了網(wǎng)絡(luò)安全建設(shè)中常見問題,給出了網(wǎng)絡(luò)安全建設(shè)建議。
關(guān)鍵詞:網(wǎng)絡(luò)安全 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)安全管理制度
在網(wǎng)絡(luò)化信息化快速發(fā)展的今天,網(wǎng)絡(luò)安全問題幾乎對任何一個團體都不再是可有可無的話題。據(jù)賽門鐵克諾頓2012 年 9 月11日公布的一年一度的諾頓網(wǎng)絡(luò)安全報告推測,在之前的一年中網(wǎng)絡(luò)犯罪致使全球個人用戶蒙受的直接損失高達 1,100億美元,而在中國,估計有超過2.57億人成為網(wǎng)絡(luò)犯罪受害者,所蒙受的直接經(jīng)濟損失達人民幣2,890億元。
網(wǎng)絡(luò)安全已經(jīng)受到各國家、企業(yè)團體的高度重視。美國國防部發(fā)布的《可信計算機系統(tǒng)評估準(zhǔn)則》,將計算機安全劃分為四個等級,帶動了國際計算機安全的評估研究。加拿大頒布了《網(wǎng)絡(luò)加密法》《個人保護與電子文檔法》《保護消費者在電子商務(wù)活動中權(quán)益的規(guī)定》。我國也相繼制定了一系列信息安全管理的法規(guī)制度,包括《計算機信息系統(tǒng)安全保護條例》《商用密碼管理條例》《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》《計算機病毒防治管理辦法》《信息安全等級保護管理辦法》等,并將計算機犯罪納入刑事立法體系。各國對網(wǎng)絡(luò)安全的重視也促進本國的企業(yè)團體的網(wǎng)絡(luò)安全建設(shè)。我國各企事業(yè)單位、社會團體對網(wǎng)絡(luò)安全管理越來越重視,紛紛制定本單位的網(wǎng)絡(luò)安全監(jiān)測、管理制度。但是由于網(wǎng)絡(luò)技術(shù)的不斷進步、網(wǎng)絡(luò)新應(yīng)用的持續(xù)發(fā)展,網(wǎng)絡(luò)安全新情況、新問題仍然不斷發(fā)生。
1目前網(wǎng)絡(luò)安全建設(shè)存在的問題
1.1忽視對網(wǎng)絡(luò)安全技術(shù)人員的培訓(xùn)
很多單位對網(wǎng)絡(luò)和安全設(shè)備等有形資產(chǎn)舍得投資,但對網(wǎng)絡(luò)安全技術(shù)人員的培訓(xùn)等方面的投資卻不夠重視。好的設(shè)備需要掌握相關(guān)技能的人員操作管理才能充分發(fā)揮其功能,由缺乏技能的人員管理安全設(shè)備常常并不能起到安全保護作用。配置不當(dāng)?shù)木W(wǎng)絡(luò)和安全設(shè)備本身也有可能成為攻擊對象,例如使用telnet、http等非安全方式登錄管理設(shè)備,未限制或未關(guān)閉設(shè)備本身的FINGER 服務(wù)、tftp 服務(wù)等。
1.2對非信息安全部門的員工教育不足
現(xiàn)在很多網(wǎng)絡(luò)攻擊行為常常使用社會工程學(xué)等非技術(shù)方法,而且這種攻擊行為越來越多。社會工程學(xué)是利用人的弱點,以順從你的意愿、滿足你的欲望的方式,讓你上當(dāng)?shù)囊恍┓椒?、一門藝術(shù)與學(xué)問。 Gartner集團信息安全與風(fēng)險研究主任Rich Mogull認(rèn)為:“社會工程學(xué)是未來10年最大的安全風(fēng)險,許多破壞力最大的行為是由于社會工程學(xué)而不是黑客或破壞行為造成的。”
這種攻擊行為本身并不需要太多的計算機網(wǎng)絡(luò)技術(shù),所以單純靠提高網(wǎng)絡(luò)安全技術(shù)人員的技術(shù)水平無法解決此類安全問題。這需要加強對員工的網(wǎng)絡(luò)安全教育,提高所有員工的網(wǎng)絡(luò)安全意識,使以符合網(wǎng)絡(luò)安全規(guī)則的方式做事成為員工的習(xí)慣。
1.2.1網(wǎng)絡(luò)安全管理制度建設(shè)缺乏持續(xù)性
網(wǎng)絡(luò)安全管理是一個動態(tài)的系統(tǒng)工程。網(wǎng)絡(luò)安全管理制度需要根據(jù)網(wǎng)絡(luò)安全技術(shù)的發(fā)展、業(yè)務(wù)系統(tǒng)的發(fā)展而更新改進。網(wǎng)絡(luò)安全管理制度既體現(xiàn)網(wǎng)絡(luò)安全管理者對團體成員的行為標(biāo)準(zhǔn)的要求,又建立了一個保證安全策略及時下發(fā)實施的上傳下達的通道,保證重大緊急事件的及時處理。例如安全事故處理流程既要規(guī)定各級管理人員能夠自行處理的事件的級別,又要規(guī)定事故匯報請示流程,保證領(lǐng)導(dǎo)層能夠掌握重要安全事件處理進度,及時做出決策。
1.2.2在網(wǎng)絡(luò)安全評估量化方面存在困難
現(xiàn)在存在很多以量化指標(biāo)衡量網(wǎng)絡(luò)系統(tǒng)的安全程度的方法,例如以網(wǎng)絡(luò)系統(tǒng)中各個分量的重要程度、被入侵的概率等作為權(quán)重來計算整個系統(tǒng)的安全量化指標(biāo),或者以系統(tǒng)從受到攻擊到入侵成功所需時間來衡量其安全程度。這些方法對于網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)和評估具有重要指導(dǎo)意義,但是由于現(xiàn)實中網(wǎng)絡(luò)安全涉及的不可控因素太多,這些衡量方法的使用效果并不總是令人滿意。網(wǎng)絡(luò)安全服從木桶理論,一個系統(tǒng)中的安全短板決定著這個系統(tǒng)整體的安全程度。不當(dāng)?shù)陌踩u估量化方法無法準(zhǔn)確評估一個系統(tǒng)的安全程度,無法給領(lǐng)導(dǎo)層和網(wǎng)絡(luò)安全管理人員以正確的回饋。
2網(wǎng)絡(luò)安全建設(shè)建議
2.1結(jié)合本單位業(yè)務(wù)細化網(wǎng)絡(luò)安全管理
首先,根據(jù)業(yè)務(wù)特點和安全要求,對整體網(wǎng)絡(luò)進行物理和邏輯安全分區(qū),在安全區(qū)域邊界設(shè)置訪問控制措施,防止越權(quán)訪問資源。對于不同安全需求,可以采用單獨組網(wǎng)、網(wǎng)閘隔離、防火墻等安全設(shè)備隔離、靜態(tài)和動態(tài)VLAN邏輯隔離和ACL訪問控制等。在服務(wù)器等重要區(qū)域,可以增設(shè)IPS或IDS、WEB防護設(shè)備、網(wǎng)頁防篡改系統(tǒng)等增強保護力度。
第二,加強對IP地址和接入端口的管理。在條件允許的情況下,對于平時位置和配置固定的服務(wù)器和PC機,采用用戶名/密碼/MAC地址結(jié)合網(wǎng)絡(luò)接入設(shè)備端口的身份驗證策略,強制用戶使用分配的IP地址和接入端口,不允許其隨意修改。對于暫時不用的交換機端口應(yīng)該予以關(guān)閉,避免外來計算機隨意接入內(nèi)部網(wǎng)絡(luò)。
第三,網(wǎng)絡(luò)和安全管理人員的管理權(quán)限、管理范圍必須界定清楚,網(wǎng)絡(luò)和安全設(shè)備的操作日志必須保存好。網(wǎng)絡(luò)和安全管理人員的管理權(quán)限和范圍根據(jù)各人的職責(zé)分工、管理能力進行劃分,保證每位管理人員必要的操作管理權(quán)限,同時防止設(shè)備管理混亂。網(wǎng)絡(luò)和安全設(shè)備操作日志應(yīng)詳細記錄每個操作人員的操作,需要時應(yīng)該可以追蹤到所有操作人員的操作過程。
第四,以統(tǒng)一的安全管理策略利用安全設(shè)備和安全軟件進行監(jiān)管,減少人為干擾產(chǎn)生的例外情況。安全策略部署中的例外情況日后往往會成為安全隱患,例如,一些人員以各種借口拒絕在其工作用機上實施安全策略,或者需要開通特殊網(wǎng)絡(luò)服務(wù)等。對于無法避免的例外情況應(yīng)該指定專人負責(zé)記錄、提醒、監(jiān)督相關(guān)管理人員及時更改和恢復(fù)策略等。
2.2合理安排崗位職責(zé)
在一個大中型局域網(wǎng)中,網(wǎng)絡(luò)管理人員不但需要保證諸如重要服務(wù)器、存儲設(shè)備、門戶網(wǎng)站等的網(wǎng)絡(luò)暢通,而且常常需要擔(dān)負IP地址規(guī)劃、員工機器網(wǎng)絡(luò)故障處理、網(wǎng)絡(luò)系統(tǒng)升級改造、設(shè)備維保管理、機房環(huán)境管理、最新網(wǎng)絡(luò)和安全技術(shù)跟進、新型網(wǎng)絡(luò)和安全設(shè)備測試等諸多事項,所以一般無法做到單人單崗,人員的職責(zé)劃分難免出現(xiàn)重疊區(qū)域。對于這種情況,應(yīng)該按照重要程度對各崗位職責(zé)進行等級劃分,把關(guān)系全局、實時性要求高的應(yīng)用系統(tǒng)、數(shù)據(jù)存儲系統(tǒng)等關(guān)鍵網(wǎng)絡(luò)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全保障作為關(guān)鍵工作,指定2~3人重點負責(zé),并且把關(guān)鍵工作的維護人員之間的分工合作方式以制度的形式確定下來。
2.3管理層的重視和支持
首先,網(wǎng)絡(luò)安全問題的暴露都具有滯后性,安全管理缺位造成的影響短期內(nèi)并不一定能夠顯現(xiàn)出來,但是長期持續(xù)下去必然導(dǎo)致安全問題的發(fā)生。領(lǐng)導(dǎo)層應(yīng)該對網(wǎng)絡(luò)安全建設(shè)常抓不懈,并以制度的方式予以保證。
其次,網(wǎng)絡(luò)安全基本數(shù)據(jù)、各部門對安全的需求等基礎(chǔ)信息收集工作的開展常需要管理層的支持和協(xié)調(diào),網(wǎng)絡(luò)和安全管理策略的實施更是離不開管理層支持。目前網(wǎng)絡(luò)安全很多威脅不是來自外部,而是緣自內(nèi)部人員對網(wǎng)絡(luò)安全知識的缺乏和對安全制度、措施的漠視,例如,個別內(nèi)部機器不按要求安裝主機安全軟件、私自下載安裝來源不明軟件等。所以應(yīng)該指定領(lǐng)導(dǎo)專門負責(zé)網(wǎng)絡(luò)安全的實施和監(jiān)督,配合網(wǎng)絡(luò)安全部門技術(shù)人員完成安全措施的部署落實,做好網(wǎng)絡(luò)安全的定期檢查工作。
第三,大部分企事業(yè)單位里安全投資是屬于運營成本,領(lǐng)導(dǎo)層難以期望安全投資會直接帶來利潤。ITIL(Information Technology Infrastructure Library,信息技術(shù)基礎(chǔ)架構(gòu)庫)提供了對IT資源進行財務(wù)計量的方法,在企事業(yè)內(nèi)部把IT部門為其它部門提供的服務(wù)進行量化,以便更好地體現(xiàn)IT部門的經(jīng)濟效益。但是從企事業(yè)單位的整體來看,對于大部分企事業(yè)單位,內(nèi)部網(wǎng)絡(luò)安全管理的投入仍然劃歸為基礎(chǔ)運營成本。盡管如此,網(wǎng)絡(luò)安全管理的重要性不應(yīng)被忽視。
2.4強化報警和應(yīng)急機制建設(shè)
美國ISS公司提出的動態(tài)安全模型P2DR (Policy,Protection,Detection,Response)認(rèn)為,安全就是及時檢測和響應(yīng),就是及時檢測和恢復(fù)。對于需要保護的目標(biāo)系統(tǒng),保證其安全就是要滿足防護時間大于檢測時間加上響應(yīng)時間,在入侵者危害安全目標(biāo)之前就能被檢測到并及時處理,安全目標(biāo)系統(tǒng)的暴露時間越小系統(tǒng)就越安全。要提高系統(tǒng)安全程度,就要提高系統(tǒng)的防護時間,減少攻擊檢測時間,提高應(yīng)急響應(yīng)速度。
點擊下頁還有更多>>>談網(wǎng)絡(luò)安全管理論文