信息内网(精选12篇)
信息内网 篇1
首先员工非工作上网行为, 可分为四大类:一是获取资讯活动, 如浏览新闻、看小说、看图片、收看收听视频和音频等;二是从互联网下载数据, 如音乐、电影、程序及其他资料等;三是从事获取个人收益的活动, 如网上购物、炒股、兼职、发布广告等;四是进行虚拟世界的沟通活动, 如上网聊天、BBS论坛、撰写博客、收发私人邮件等。
对网络的滥用会带来成本的增加、效益的流失。据中科院调查显示:如果员工的月薪是4000元, 每天工作时间为8小时, 而他每天拿出1小时进行“网事”, 那这个员工每月就给企业带来500元【4000× (1/8) 】的损失, 每年就是6000元【500×12】;而对于员工在500人左右的企业, 一年中因为网络滥用而带来的损失将高达300万元!细算, 惊人。
上述是看得到的成本, 并不包括带来的无形效益损失, 如造成管理效率的下降, 团队精神的影响, 如纪律松散、组织效率低下、文化萧条等。员工“沉溺网络”的问题可能会出现“过分依赖网络”症状, 出现孤独不安、情绪低落、思维迟钝、创造性降低等症状, 严重者甚至有自杀倾向, 影响企业形象, 这些都是值得企业关注的问题。
另外, 员工不规范的网络行为例如为了方便在家工作调用办公室电脑的资料, 开启办公室电脑的远程控制功能。或利用无线网卡等设备进行违规拨号上网, 这种行为给企业带来严重的网络安全稳患, 如受到病毒、黑客攻击, 导致内部网络瘫痪, 甚至导致数据文件损坏、机密丢失和泄露。
对于现代企业而言, 网络无疑是一把棘手的双刃剑。如何改变员工滥用网络的局面, 不规范使用网络的行为, 如何对员工上网行为进行有效的管理, 都是企业面对的新问题。
策略一:制定有效的上网管理制度
上网管理制度建设的滞后, 是员工沉迷网络的重要原因。应对员工非工作上网行为进行明确的界定, 制定管理条例, 做到有章可依、有令可处, 并加以宣传教育, 引导员工规范使用网络, 增强安全意识, 避免无意的泄露公司信息的行为, 从制度上有效地减少员工非工作上网行为。
日本本田公司为了应对员工沉迷网事, 制定了明确条文, 如网上该做什么、不该做什么, 让员工有心理准备, 从而避免进一步激化劳工矛盾。
策略二:设置专门上网的电脑
对于大部分员工工作不需要上网的企业来说, 设置若干上网的电脑, 以给有要事急需上网的员工使用, 同时限定上网的时段。这些电脑应装有定时更新的杀毒软件, 保护整个局域网安全。员工在上网时, 最好有网络管理员进行监督, 并设置网络监控管理软件。
策略三:合理安排上网时间
企业可制定网络使用作息时间, 将上网时段分为上班和下班两个时段, 将网络资源分段开放。在上班时间内, 根据不同的部门开放工作允许的资源, 在关业务高峰时段, 限制部分员工上网或禁止使用某些网络;下班时间内, 给员工1~2小时上网时间, 让其在紧张的工作之余调解紧绷的神经, 保持员工活力。
策略四:因人而设上网权限
为防止网络滥用、保护企业机密, 对不同岗位设置不同权限。如市场部人员只允许通过公司邮件服务器收发Email, 所有邮件内容和附件要被记录;商务部门允许在任何时段上QQ、MSN, 并收发Email, 但所有日志及内容将被记录;研发人员允许上技术网站, 并禁止使用QQ、MSN;部门经理以上中层干部, 则允许拥有所有权限。
策略五:自动跟踪的安全策略
自动执行实时跟踪的安全策略是有效实现网络安全的关键。借助先进的互联网上网行为管理系统软件【网管软件】和设备。主要是安装在服务器端或是互联网络进出口处, 对整个网络的各种活动进行网络监控, 主要包括email、上传下载、网页浏览、QQ/MSN即时通信、网络游戏、P2P行为、流媒体软件等, 以规范普通员工、管理人员、公司领导等的网络权限。 (可参考目前最专业全面的:ANYVIEW (网络警) 网络监控软件) 。并且要求网络管理人员花时间审阅安全记录, 这样可以有效查出危害网络安全的行为。
策略六:建立准许进入和外出的地址过滤政策
可以使用静态路由器来实现:指定相应的IP地址对内网的路由。封锁入网胡192.168.X.X、172.16.X.X和10.X.X.X等地址。拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过, 包括回送地址127.0.0.1或者E类地址段240.0.0.0-254.255.255.255.
策略七:终端设备端口的管理
对于高度安全的网络来说, 特别是在存储或者保持秘密数据的时候, 移动设备 (包括笔记本电脑、移动硬盘等) 和增设的设备通常要求经过允许才可以过滤。在这种规定下, 除了网络功能的需要, 所有的端口包括U口都有必要封锁。例如, 用于WEB通信的端口80和用于SMTP的110、25允许来自指定地址的访问, 而其它端口都可以关闭。禁止员工使用无线网卡上网, 因为这种接入方式极有可能使的黑客绕过防火墙在企业毫不知情的情况下进入内部网络, 而造成敏感数据的丢失和病毒的传播。
策略八:修改默认口令
据国外调查显示, 80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的默认口令列表, 你可以肯定在某些地方的某个人会知道你的生日。虽然网络上有突破密码的软件, 但一个复杂的口令可以使你有时间觉察黑客的非法入侵。
策略九:优化激励分配体系
员工行为中一个重大的内部动力就是追求自身利益的最大化, 当员工认为上班的正当收益低于社会平均水平, 甚至低于非工作上网所获得的收益时, 这种行为就愈发严重;反之, 则减少。因此要扭转这种局面, 重点就是优化单位的激励分配体系。要从薪酬制定依据、薪酬水平、奖金形式等方面进行最优设计, 体现“按能取酬、多劳多得”的原则。
策略十:对岗位进行再设计
员工上班过于闲暇, 工作密度、强度不大时, 就会滋生更多的非工作上网行为, 因此就必须对工作流程再优化、岗位再设计, 适度加强员工工作强度, 提高员工工作责任心。
策略十一:开展心理辅导, 积极建立娱乐活动室, 针对员工沉迷网络出现的心理问题, 企业有必要加强心理辅导, 建立心理交流机制, 处理好员工的消极情绪, 调解其的心态, 让其树立健康心智模式, 全身心投入工作中。目前, 在世界500强中有80%的企业为员工提供了心理援助计划 (EAP) 。
建立娱乐活动室, 以积极向上的体育活动代替网络娱乐, 举行形式多样、喜闻乐见的文化娱乐活动, 增强员工对公司的信任, 增强员工之间交流, 和谐企业气氛, 达到员工和企业的双赢。因此, 加强企业文化建设, 也是一种低成本减少非工作上网行为的重要“软管理”招式。
综上所述, 企业的内网管理在某种意义上是将终端管理、网络管理和应用监管配以积极向上的企业文化共同完成的全面的管理, 企业的网管要在细节关注网络的运行, 时刻关注网络的安全。
参考文献
[1]《企业网络安全》萧文龙编著.出版社:中国铁道出版社
[2]《企业网络安全致胜宝典》.郭鑫等编著出版社:电子工业出版社
信息内网 篇2
随着互联网技术在企业的中大规模运用,现代化企业已经离不开网络,但是由于许多企业网络管理意识薄弱,越来越多的网络问题就在不断危害着企业的利益。网络问题会给企业带来什么样的危害呢?小草上网行为管理软路由从众多企业的反馈中,收集整理了一些。
首先员工对互联网的滥用使企业的生产力严重流失、工作效率降低。使用QQ、MSN等即时通信工具是目前最为普遍的网络使用形式之一。上自企业管理者,下至普通员工,均对此情有独钟。大量的时间被用来聊天、处理私事,经由聊天工具传播的病毒、恶意软件更是不胜枚举。企业花巨资打造的信息化工作平台成为员工的私人领地和病毒桃花源。
P2P等下载软件导致关键业务应用带宽无法保证。P2P下载技术使人们可以高速获取海量的网络资源,员工可以通过这些下载工具以最快捷的方式获得自己喜欢的资源(主要是影音娱乐文件)。企业组织有限的带宽资源成为这些员工获取娱乐享受的专用通道,一条条专用通道的建立使企业组织的IT系统建设事倍功半。
通过 E-mail、MSN或者移动硬盘造成文件流失、泄露。现在越来越多的泄密事件在网上流传,比如前段时间,由于一封著名企业的高管发给同事的内部邮件不慎泄露,其中相关内容在企业内部及业内均造成了重大影响,直接致使该高管离职。
这些泄密事件表明:通过论坛、外发邮件等导致的组织内部机密信息泄漏事件的发生越来越普遍,企业所建立的机密文件管理体系形同虚设。
网页和邮件中潜伏着病毒、木马、间谍程序。调查发现,很多病毒事件是因为员工访问一些非法网页、BBS论坛或下载通过即时通信软件传播的文件而引发的。这些病毒程序不仅会降低系统效率、侵占网络带宽,而且会使企业组织的网络门户洞开,受到各种形式的威胁,从而使企业网络处于高风险和不稳定的状态,企业组织网络成了病毒实验所。
面对这些问题,小草上网行为管理软路由能够轻松管理P2P软件下载、P2P视频、在线电影、网络电视;针对带宽拥堵难题,还可以智能分配带宽,同时能够根据总流量的限制合理管控带宽资源使用,更出色的是还可以为企业关键业务设置优先级带宽使用,从而最大程度保障公司业务流通顺畅。
信息内网 篇3
关键词:电力企业;内网安全;管理现状;安全技术
中图分类号:TP393.1 文献标识码:A 文章编号:1671-864X(2016)05-0187-01
电力企业作为能源行业的重要组成,随着网络通信技术的广泛应用,逐渐形成完善的计算机网络信息管理系统。然而,由于电力企业地域性分布广泛,各类业务应用相对繁杂,特别是网络拓扑结构交错性强,加之来自网络内外的各类潜在病毒及黑客攻击的干扰,网络安全问题面临严峻挑战。本研究将从电力企业内网安全管理入手,就其风险因素及防范技术展开探讨。
一、电力企业内网面临的完全威胁
内网是相对于外网而言,在电力企业内外建设上,根据不同应用领域和管理实际,内网建设多以核心交换机为中心,来实现对不同部门、不同业务之间的协同管理。其面临的安全威胁主要表现在:一是物理層面的风险,如信息中心各主要服务器、路由器、交换机、工作站等硬件设备、线缆的安全,在进行网络部署时未能从防火、抗震、抗电磁辐射干扰上进行优化,特别是未对接地电阻、独立接地体,以及线缆屏蔽层进行防护,对于重要服务器及重要网络设备未建立双UPS电源管理,对一些关键数据设备在出现故障时未进行容灾备份设计。二是网络架构安全因素,由于内网设计不同领域、不同部门的每一个员工,在不同站点之间采用不同的连接方式,如有些是光纤连接、有些是租赁专线,有些是VPN连接;在网络拓扑结构上因设备系统扩展,缺乏科学规划,导致逻辑网络子网划分不合理、子网间不安全连接问题突出。三是网络系统设置因素,对于不同主机系统、网络设备等硬件在安全配置上存在漏洞,有些系统补丁不健全,容易留下攻击隐患;有些配置管理操作不规范,如一些路由器配置不合理,特别是针对Windows系统与Linux系统共存环境下的内网配置参数问题,都给系统管理带来影响。四是应用软件风险因素,从内网应用软件系统来看,一方面为办公系统软件,设计系统等通用软件,另一方面是电力系统协同软件,财务软件等行业类软件,再者是围绕电力生产、供应、管理、调度而开发的专用自动化系统软件,营销系统等。由于不同软件厂家在软件设计、使用及软件漏洞管理上都存在不足,而电力企业在内网应用软件管理上未能进行协同推进,特别是软件的口令授权、权限设置,软件系统数据管理及配置、备份管理等问题,都可能带来更多安全缺陷。五是病毒防范及信息安全意识不足,对于内网,同样需要关注病毒侵害风险,特别是在一些文档传输中,对于病毒的形式、传播途径等未能进行专业防范,特别是风险意识不足,未能真正从制度上、管理上落实安全管理要求。
二、电力企业内网安全管理技术
(一)防火墙技术的应用。
在企业内外网最关键的安全防线就是防火墙,一方面防火墙阻止外网的未经许可的访问,另一方面实现对内网的安全防护。利用防火墙中的包过滤技术,可以实现对未经授权的访问流进行检索和控制。如判定数据请求的源地址、目标地质是否安全,数据传输端口是否正确;同时,防火墙还可以通过对传输数据的相关地址属性信息来判定数据包的请求是否合法,并进行优化处理; 另外,利用防火墙,还可以实现IP地址的转换,特别是通过地址映射技术,实现对内网网络中的IP地址进行虚拟化管理,实现对内网的安全保护。
(二)漏洞扫描及入侵检测技术。
对于网络安全的检测与管理,通常需要从漏洞扫描技术应用中,来发现本地网络及内部其他网络的安全脆弱性问题。特别是对网络系统内部各类运行行为的扫描,分析安全日志并监测不同内网用户的操作行为是否合法,并从系统平台的安全策略检测上,对可疑行为发出告警。如利用分段入侵检测来检查网络系统安全防护结构的完整性,提升内网安全管理效度。
(三)网络安全防护技术。
从内网安全管理实践来看,网络安全防护技术主要通过对网络系统设备、软硬件系统进行正确配置和合理优化,来抵御可能存在的内网安全风险。如在操作系统登录管理上,利用授权账户管理,并从密码及有效期限,以及操作权限上进行分级管理;在进行内网远程登录连接过程中,所有数据传输实施加密协议,如基于WEB的SSL、TLS加密技术;对于来自网络内的各类Dos攻击行为,利用路由器来设置拒绝服务模式,提升设备的可用性。
(四)防病毒软件技术。
计算机病毒是影响内网安全的重要风险,在病毒防御及控制上,需要围绕系统性、综合性特点来部署。由于病毒的发生具有随机性、动态性,在进行病毒防范上,需要结合病毒特征码、程序行为、关键字等进行检测,而病毒库的更新尤为重要。因此,在病毒防范技术上,一方面做好病毒库的升级更新,另一方面一旦发现病毒,需要从系统隔离、病毒清除、文件保护等方面进行处理,特别是针对一些常见的、恶意病毒,要实施全方位、多层次的病毒防御体系,确保每一台内网机器的安全。
三、结语
电力系统内网安全管理工作不容忽视,通过对内网安全管理中的问题进行分析,并从安全管理技术上,加强综合性防范。同时,内网安全管理要注重人的关键性,要不断加强安全意识教育,从制度上提升内网操作的安全水平,最大限度减少内网用户的安全威胁,保障内网的稳定、可靠运行。
参考文献:
[1]陈璐,陈华智,邓松,张涛,马媛媛.电力内网终端的安全接入控制方法研究[J]. 电力信息与通信技术. 2014(06).
信息内网 篇4
在内网安全体系建立方面, 冯运波指出, 中国移动下发了三大IT网络安全域规范。通过划分安全域等安全手段, 对每个域实施不同安全等级、不同域之间分层次、分等级的安全防护。中国移动还加强了内部安全防护体系的建设, 包括上网行为管理系统、漏洞扫描等多种防护手段。
此前, 中国各大运营商对内网信息安全管理工作也都非常重视, 他们已经采取不同的手段和方法进行了系统管理。广西移动、贵州移动、湖南移动、陕西联通、重庆联通、山东电信等各地方运营商, 都已经选择利用部署上网行为管理设备和流量管理设备的方式解决内部网络信息安全管理问题。
划分网络等级用户组
冯运波认为, 由于在运营商内部涉及到客户信息的系统非常多, 各个信息平台中存在大量客户信息, 这些信息很有可能在合作伙伴人员、内部人员进行系统操作时泄密。
目前, 中国移动一共划分了五个等级的安全区域, 包括公共区、半安全区、核心安全区、安全区和内部业务区, 每个不同等级的安全域之间, 都使用了防火墙进行隔离。同时根据安全域的划分规范, 明确安全域的技术要求和设备要求, 并根据等级保护的要求, 确定安全域的威胁等级和保护等级。
据了解, 内网安全首先需实现内部网和外网用户身份的有效识别, 同时还需进行流量分析和控制。在具体操作中, 以贵州移动和云南移动为代表的运营商, 在防止外网用户访问内网服务器时, 均采用了划分不同用户组的方式, 以防止第三方或者非授权的终端进入到内部办公OA系统网络或BOSS网络。
围绕移动运营商, 目前已有大量的第三方代维人员需要长期驻守在机房, 或在出现突发情况后, 由第三方代维人员进行远程调试。以云南移动为例, 他们充分利用上网行为管理设备和流量管理设备, 解决了该省公司第三方代维人员 (厂商) 的安全接入和权限管理问题。
云南移动认为, 以往使用IPSEC VPN接入时, 通常为了安装调试接入VPN软件花费大量时间, 延误了应急的时间, 而且由于IPSEC VPN属于三层技术, 使用IPSEC VPN的用户还可以在接入运营商内网后, 访问其他资源不受限制。而使用SSL VPN之后, 第三方厂商人员无需长期守在机房, 仍可第一时间接入移动运营商内部网络进行设备维护。
云南移动的某负责人表示, SSL技术的优越性使得接入运营商内网的用户限制在某个固定的IP和应用。这样, 既能保证内部网络资源不被其他人员任意窃取, 又能在特殊时刻满足外网用户使用内网的安全性要求。
实现内部用户上网行为管控
据了解, 目前企业主要存在的上网情况大致包括三个方面。一是企业内网用户人数较多, 上网行为泛滥造成员工工作效率受到严重影响;二是一些内网用户访问色情、迷信、赌博等类型的网站, 给企业带来一定的安全隐患;三是在网络使用高峰期时, 内网用户的P2P、流媒体等应用会造成一定的网络拥塞, 影响正常办公与应用。
以上三种现象, 在运营商内部也时有发生, 因此, 运营商相关部门需要使用网络管理手段限制员工与工作无关的上网行为。在这点上, 湖南移动通过在办公网的总出口处部署双机热备的方式, 利用上网行为管理设备内置的应用识别库, 将所有员工在上下午上班和休息的时间分为四个时间段, 并对每个时段分别发生的上网数据进行分析和审计, 同时针对具体的IP地址和应用类型, 进行严格的流量控制和审计。
在对全网员工进行了封堵P2P、P2P流媒体和文件下载等应用测试后, 湖南移动根据具体情况, 制定了不同时间段的不同管理策略, 实现了差异化管理。据了解, 这种方式的管控, 共涉及湖南移动省公司所有部门和该省分公司14个地州市所有人员约2万人。实施差异化管理后, 湖南移动有效地减轻了网络应用对带宽的压力, 提高了带宽使用率和核心业务的带宽保障。
深信服科技副总裁张开翼认为, 作为运营商系统大规模部署上网行为管理的典型用户之一, 湖南移动通过上网行为管理方案实现了对全省办公网的集中管控, 既保障了核心应用的带宽, 又洞悉了网络的使用状况, 为制定IT决策提供了有利依据。
推动4A集中管控系统
冯运波表示, 中国移动正在推动全网4A系统工程, 该工程实施后, 可将当前所有涉及客户信息的系统均纳入4A系统的集中管控。
4A系统主要用来加强系统安全的事前、事中和事后控制, 即统一用户管理、统一用户认证、统一授权, 以及统一审计和访问控制, 实现统一的账号管理, 保证所有进入后台系统的访问都必须通过4A系统进行集中的控制。目前, 中国移动正在进行分省、分系统、分专业地推动4A系统的建设。
冯运波介绍说, 在4A系统实施过程当中, 首先是建立一个堡垒主机, 所有用户在进行集中认证后, 才能继续访问后台资源。后台的资源可以有各种各样的登录工具, 而所有的操纵行为均通过防控网关保存到内网的日志服务器。这样, 可以对维护人员, 特别是第三方的代维人员进行统一的接入访问控制, 在系统上的所有操作也均可在事后进行审计。
张开翼则表示, 在运营商的4A系统建设中, 深信服通过创新的单点登陆技术实现与4A系统的紧密关联, 获得了客户的高度认可。
信息内网 篇5
8.1 在投标截止日15日前,招标单位都可能会以补充通知的方式修改招标文件。8.2 补充通知以书面方式发给所有获得招标文件的投标单位的同时到区招标办备案,补充通知作为招标文件的组成部分,对投标单位起约束作用。任何口头解答和未经招标办备案的书面修正、补充和解答等均属无效。
部门信息
8.3 为使投标单位在编制投标文件时把补充通知内容考虑进去,招标单位可以酌情延长递交投标文件的截止日期。
三、投标报价说明
9投标价格
区属各部门各单位发布本部门本单位的信息、动态和其它情况
9.1 投标价格
9.1.1 除非合同中另有规定,具有标价的投标书和报价汇总表,以及组成工程报价分专业的工程预算应包括施工设备、劳务、管理、材料、安装、维护、保险、利润、税金、政策性文件规定及合同包含的所有风险、责任等各项应有费用。9.1.2 投标单位应根据招标单位提供的招标文件、施工图纸、答疑纪要和现场情况,自行计算工程量填写报价,进行投标。
9.1.3 工程投标报价定额依据以及市场价格信息参照标准执行前附表第5项所列标准。
9.2 投标价格采用方式
本工程投标报价采用价格固定方式。投标单位所填写的投标报价在合同实施期间不因市场变化因素而变动,除本招标文件有特殊说明外,工程造价一次包死,投标单位在计算报价时可考虑一定的风险系数。9.3 投标价格其他说明
9.3.1 报价均不包括施工过程中因施工图的重大设计变更(指结构、标准、规模)所发生的费用,不包括施工过程中遇到地下障碍物处理或者地基处理所发生费用。其上述费用发生时,承包方应依据设计部门出具的变更图纸或变更说明,按本招标
文件所采用的计价规范、标准以及现行的市场价格计算,经建设单位和监理单位确认后方可据实调整。
9.3.2 本工程一般设计变更等因素由投标单位考虑在报价内,至工程竣工不再调整。
9.3.3一旦投标单位递交了投标书将被认为投标单位已经充分了解了招标文件、补充通知、图纸、现场情况和其他影响工程施工或费用的因素,并认为已在投标报价和施工方案中做了相应的考虑。承包范围必须和招标文件规定的发包范围一致,标价为招标文件规定的承包范围的总价。如没按招标文件要求所报送的标书造成的后果,由投标人自负。
各部门根据自己的权限管理相关的信息发布及修改、删除等
9.3.4如中标单位工程量计算错误或漏项,中标单位必须按施工图纸施工。招标单位不再追加工程费用,由中标单位自负。
9.4 根据国家及市有关法律法规,施工工期应执行现行的国家工期定额。如果要求的工期比国家工期定额缩短时,投标报价中应按照定额规定计算缩短工期措施费。9.5 投标货币
投标文件报价中的单价和合价全部采用人民币表示。
专题专栏
四、投标文件的编制
10、投标文件的语言
投标文件及投标单位与招标单位之间与投标有关的来往通知、函件和文件均应使用中文。
11、投标文件的组成 11.1投标人的投标文件应由资格审查文件部分、商务标部分、技术标部分、资信标部分四部分组成。
保定高新区
11.1.1 资格审查部分应包括下列内容:
1)营业执照副本复印件(加盖投标单位红章);
由办公室提供的内部刊物
2)资质证书副本复印件(加盖投标单位红章); 3)安全生产许可证复印件(加盖投标单位红章);
4)项目经理证书及IC卡的复印件(加盖投标单位红章); 5)外地施工企业还应有“外地施工企业进津备案通知书
复印件(加盖投标单位红章)、“ 外地建筑业企业项目经理进津备案证书 ” 及IC卡的 复印件(加盖投标单位红章)
6)投标人法定代表人资格证明书原件、法定代表人身份证复印件(加盖投标单位红章);18 7)法定代表人不参加,由授权人参加时,应提交投标人法定代表人资格证明书原件,法定代表人授权委托书原件和受委托人身份证复印件(加盖投标单位红章)。
信息摘报
8)招标文件规定的其他材料。
11.1.2投标文件技术标应包括下列内容:
由信息中心搜集的一些经济、科技或其它与我区产业发展相关的信息
施工组织设计(应与前附表中的评标内容一致
:
1)拟投入的主要机械设备表(2)劳动力安排计划
(3计划开竣工日期和施工进度网络图
11.1.3投标文件商务标应包括下列内容:
高区前沿(1投标书
2)投标保证金(复印件)
由党群部发行的内部刊物
(3)投标总价汇总表
(4)各专业工程报价汇总表
(5)施工图预算报价及数据文件(电子标书)(6)投标报价说明材料(若有时)
11.2投标人提交的投标文件须使用招标文件所提供的投标文件全部格式
在线交流。11.3投标文件文本部分一律采用A4纸型编制。并采用背胶装订。
高新论坛
12、投标有效期
12.1 投标文件在本须知第17条规定的投标截止日期之后的前附表第6项所列的日历日内有效。
12.2 在原定投标有效期满之前,如果出现特殊情况,经招标管理机构核准,招标单位可以书面形式向投标单位提出延长投标有效期的要求。投标单位须以书面形式予以答复,投标单位可以拒绝这种要求而不被没收投标保证金。同意延长投标有效期的投标单位不允许修改他的投标文件,但需要相应地延长投标保证金的有效期,在延长期内本须知第13条关于投标保证金的退还与没收的规定仍然适用。
13、投标保证金及履约担保书
13.1
投标单位应提供不少于前附表第 7 项规定数额的投标保证金,此投标保证金是投标文件的一个组成部分。
根据投标单位的选择,投标保证金可以是现金、支票,并采用实名制。13.3 对于未能按要求提交投标保证金的投标,招标单位将视为不响应投标而予以拒绝。
未中标的投标单位的投标保证金将尽快退还(无息),最迟不超过规定的投标有效期期满后的
14天。13.5 提供一些项目或活动的网上调查功能
13.6 如投标单位有下列情况,将被没收投标保证金: 13.6.1 投标单位在投标有效期内撤回其投标文件;
13.6.2 中标单位未能在规定期限内提交履约保证金或签署合同协议。
13.7 为使中标单位履行合同促使工程顺利进行,中标单位的合同履约担保书(无条件担保)应
在收到中标通知书的同时报送。合同履约担保合同履约担保可由银行担保、专业担保公司担保,担保数额不得低于中标价格的 10% ;工程如能按照招标文件的要求按期竣工,履约担保书在竣工验收合格后,如数退还给施工单位。
14、投标预备会 14.1 投标单位派代表于前附表第项所述时间和地点领取招标文件、图纸和勘察工程现场并出席 投标预备会。
14.2 投标预备会的目的是澄清、解答投标单位提出的问题和组织投标单位考察现场、了解情况。
14.3 勘察现场
提供有利于本地区发展的网上留言谏言平台
14.3.1 投标单位可能被邀请对工程施工现场和周围环境进行勘察,以获得须投标单位自己负责的
有关编制投标文件和签署合同所需的所有资料。勘察现场所发生的费用由投标单位自己承担。
14.3.2 招标单位向投标单位提供的有关施工现场的资料和数据,是招标单位现有的能使投标单位
利用的资料。招标单位对投标单位由此而做出的推论、理解和结论概不负责。
14.4 投标单位提出的与投标有关的任何问题须在投标预备会召开3天前,以书面形式送达招标单位。
14.5 会议记录包括所有问题和答复的副本,将迅速提供给所有获得招标文件的投标单位。由于投
标预备会而产生的对本须知第6.1款中所列的招标文件内容的修改,由招标单位按照本须知第7条的规定,以补充通知的方式发出。
14、23
15.1 投标单位按本须知第10条的规定,编制一份投标文件“正本”和前附表第9项所述份数的“副
本”,并明确标明“投标文件正本”和“投标文件副本”。投标文件正本和副本如有不一致之处,以正本为准。
15.2 投标文件正本和副本均应使用不能擦去的墨水打印或书写,投标文件的商务标、和采用资格后审的资格审查文件,和法定代表人印鉴。商务标报价汇总表及预算书的封皮还须加盖编制人、审核人的执业资格印章,编制人应是取得注册资格的造价工程师或具有全国造价员资格证书的专业人员,审核人应是取得注册资格的造价工程师资格的人员。
15.3 全套投标文件应无涂改和行间插字,除非这些删改是根据招标单位的指示进行的,或者是投
标单位造成的必须修改的错误。修改处应由投标文件签字人签字证明并加盖印鉴。
五、投标文件的递交
16、投标文件的密封与标志 16 . 1 资格审查文件、技术标、商务标、资信标
餐饮娱乐
16.1.l投标人的资格审查文件要单独进行包封,且正本和所有副本分别先用内层包封密封
然后再用一个外层包封密封,并在内包封上正确标明“资格审查文件正本”或“资格审查文件副本”。
16.1.2 投标人的技术标要单独进行包封 , 技术标正本和所有副本先用内层包封密封 , 然后再用一个外层包封密封 ,25“技术标正本”或“技术标副本”。
16.1.3投标人的商务标要单独进行包封,且正本和所有副本文本分别先用内层包封密封然后再用一个外层包封密封,并在内包封上正确标明商务标正本“或”商务标副本
(四)网站后台管理
系统应提供功能强大、方便易用、模块化的网站后台管理平台,目标是使整个网站保持活力,降低管理员日常维护的难度和工作量。主要应提供如下功能:
1、平台需求:
(1)门户网站应建立在一个内容管理平台(CMS)之上,该平台支持多站点集群管理,各站点资源共享,统一用户认证,可分级分权管理各站点和模块。
(2)支持无限级父子频道创建和管理,频道排列顺序可动态可视化拖动调整,支持频道引用、复制、移动的管理,支持频道浏览权限、管理权限设置与继承能力,实现任意安全权限的管理,可以分别设置用户、角色组、角色的操作权限,支持父子频道权限继承管理功能。(3)支持频道模版设置与模版预览功能,实现频道随时随地的变脸的功能,支持频道隐藏、停止,实现任意复杂导航结构支持,支持频道有效期的管理。
(4)支持可视化工作流管理,可以实现对信息的采、编、发的全程信息生命周期的管理和业务内容的创建、审批、发布、审计、修订和销毁等自定义业务流程管理,工作流制定后,内容会自动按照定制的工作流程自动流转。
(5)支持对登录信息和系统管理信息进行追踪调查、记录并进行分类,具有日志记录和审计功能。
(6)支持广告管理功能,附带丰富的广告样式并可方便地进行二次开发。
2、内容管理需求:
(1)支持文章内容的录入、编辑、修改、审批(多级自定义流程审批)、删除功能。文章内容需要采用HTML编辑器进行图文混排编辑,支持视频新闻功能,支持Unicode全球文字编码,与微软Office文档格式兼容。支持发布前的预览。(2)支持信息的连载分页管理,实现文章连载功能;
(3)支持分类信息管理,支持信息的父子无限分类管理,实现信息的层级管理和信息树型结构功能管理。
(4)支持关键词管理、关键词自动信息关联管理、自动关联匹配管理。
(5)支持网站内容全文检索与分栏目检索,要求准确、快速,方便地搜索到需要的各类图文和视频信息。
(6)支持专题列表、专题排序功能。支持专题和新闻信息的关联,实现专题新闻的能力。通过该模式可以实现信息的矩阵信息结构,实现信息的一对多、多对一的管理。实现专题的增删改查功能。
(7)提供自定义的各种调查内容的在线调查统计管理,功能包括:自定义调查问题和选项、支持单选复选模式、调查排序、选项排序、有效期控制、图形显示控制、调查结果统计、图表显示、多调查管理等功能。通过网上调查可以实现公众信息反馈与收集。
(8)提供强大、通用的电子论坛的管理功能,功能包括:用户管理、版主功能(版主管理菜单和版主审批管理功能)、通用得多条件复合模糊查询搜索功能、贴子功能(贴子审核发布,帖子发表日期,帖子层次列表,不同的贴子表现模版样式,发帖积分等)、统计功能、回复认证、BBS 设置、E-mail 自动回复跟踪等功能。
(9)支持网站运行数据统计,系统应提供按时间(每天、每周、每月)、栏目等方式对网站的访问情况进行统计、对在线人数和访问者来源地等进行统计以及对管理员的工作量情况进行统计的功能。
(五操作系统和数据库
要求提供与应用软件相匹配的正版操作系统和数据库应用软件。(六软件供应商的要求
具有丰富的政府信息化项目实施经验和丰富的产品线(例如协同办公系统和信息雷达系统等),需要时可提供严谨合理的内外网隔离管理方案,产品功能完善、稳定、易管理,价
格合理,服务周到、及时。可提供面向多厂商软件产品的统一数据服务接口和数据结构说明,保证不同开发平台的编程要求。
三、防火墙设备招标要求 主要性能指标:
(一)性能指标及最大容量 1.设备吞吐率 2Gbps 2.IPSec VPN吞吐率(AES256+SHA-1 2Gbps 21.支持多个Syslog(TCP/UDP服务器
递交修改或撤回其投标文件的通知。在投标截止日期以后,不能更改投标文件。18.2 投标单位的修改或撤回通知,应按本须知第16条的规定编制、密封、标志和递交(在内层包
封标明“修改”或“撤回”字样)。
18.3 根据本通知第12条的规定,在投标截止时间与招标文件中规定的投标有效期终止日之间的这
22.段时间内,投标单位不能撤回投标文件,否则其投标保证金被没收。Email
六、开标
19、开标
23.SNMP v1/v2c/v3 19.1 在所有投标单位法定代表人或授权代表在场的情况,招标单位将于前附表第12项规定的时间
和地点举行开标会议,参加开标的投标单位代表应签名报到,以证明其出席开标会议。
19.2 开标会议在招标管理机构监督下,由招标单位组织并主持。对投标文件进行检查,确定它们
是否完整,是否按要求提供了投标保证金,文件签署是否正确,以及是否按顺序编制。如上述情况有未按照本招标文件及有关规定执行,将被视为无效标拒绝进行唱标和评标。但按规定提交合格的且主动撤回通知的投标文件不予开封。19.3
24.VPN通道监控
投标单位法定代表人或授权代表未参加开标会议的视为自动弃权。投标文件有下列情况之一
者将视为无效:
19.3.1投标人未提供合法、有效的项目法人(或者企业法人)营业执照、资质等级证书、项目经理资质证书和安全生产许可证的; 19.3.2 投标文件未按招标文件要求予以密封的;
19.3.3 投标文件未经投标人的法定代表人或者授权的代理人签字,或者未加盖投标人印章,或者投标人委托的代理人没有合法、有效的授权委托书的;
(十四)19.3.4投标文件的关键内容字迹模糊、无法辨认的; 硬件配置(支持双电源
19.3.5投标人未按招标文件的要求提供投标担保的;
19.3.6 施工企业组成联合体投标的,投标文件未附联合体各方共同投标协议的;19.3.7项目经理IC卡经核验无投标资格的 19.3.8招标文件规定投标文件无效的其他情形。
19.4 招标文件当众宣布核查结果,并宣读有效投标的投标单位名称、投标报价、修改内容、工期、25.网络接口 6×GE 质量、主要材料用量、投标保证金以及招标单位认为适当的其他内容。
七、评标
20、评标内容的保密
企业内网安全分析与策略 篇6
提起网络信息安全,人们自然就会想到病毒破坏和黑客攻击。其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。
目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失,保证组织业务流程的有效进行。
这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
二、内网安全风险分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。
1.病毒、蠕虫入侵
目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护,特别是对新类型新变种的病毒、蠕虫,防护技术总要相对落后于新病毒新蠕虫的入侵。
病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于内部网络用户的各种危险应用:不安装杀毒软件;安装杀毒软件但不及时升级;网络用户在安装完自己的办公桌面系统后,未采取任何有效防护措施就连接到危险的网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境,在没有采取任何防护措施的情况下又连入企业网络;桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施,企业业务带来无法估量的损失。
2.软件漏洞隐患
企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。
3.系统安全配置薄弱
企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患,黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。
4.脆弱的网络接入安全防护
传统的网络访问控制都是在企业网络边界进行的,或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后,用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞,例如,企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP,以太网接入等等网络接入方式,在外网和企业内网之间建立一个安全通道。
另一个传统网络访问控制问题来自企业网络内部,尤其对于大型企业网络拥有成千上万的用户终端,使用的网络应用层出不穷,目前对于企业网管很难准确的控制企业网络的应用,这样的现实导致安全隐患的产生:员工使用未经企业允许的网络应用,如邮件服务器收发邮件,这就可能使企业的保密数据外泄或感染邮件病毒;企业内部员工在终端上私自使用未经允许的网络应用程序,在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件,从而感染内部网络,进而造成内部网络中敏感数据的泄密或损毁。
5.企业网络入侵
现阶段黑客攻击技术细分下来共有8类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。
对于采取各种传统安全防护措施的企业内网来说,都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说,安全保障就会严重恶化,当移动用户连接到企业内网,就会将各种网络入侵带入企业网络。
6.终端用户计算机安全完整性缺失
随着网络技术的普及和发展,越来越多的员工会在企业专网以外使用计算机办公,同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外,很有可能被黑客攻陷或感染网络病毒。同时,企业现有的安全投资(如:防病毒软件、各种补丁程序、安全配置等)若处于不正常运行状态,终端员工没有及时更新病毒特征库,或私自卸载安全软件等,将成为黑客攻击内部网络的跳板。
三、内网安全实施策略
1.多层次的病毒、蠕虫防护
病毒、蠕蟲破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的,但我们可以控制它的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害减少到最低限度,甚至没有危害。这样,仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。
2.终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全代理,安全代理执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
3.全面的网络准入控制
为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题,同时对传统的网络边界访问控制没有解决的网络接入安全防护措施,而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时,检查客户端的安全策略状态是否符合企业整体安全策略,对于符合的外网访问则放行。一个全面的网络准入检测系统。
4.终端设备安全完整性保证
主机完整性强制是确保企业网络安全的关键组件。主机完整性可确保连接到企业网的客户端正运行着所需的应用程序和数据文件。信息安全业界已经开发出了多种基于主机的安全产品,以确保企业网络和信息的安全,阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补丁程序等方面的技术进步来有效地保护企业设备。然而,只有在充分保证这些安全技术的应用状态、更新级别和策略完整性之后,才能享受这些安全技术给企业网络安全带来的益处。如果企业端点设备不能实施主机完整性,也就不能将该设备看成企业网络受信设备。
信息内网 篇7
针对上述问题, 本文提出了基于信息融合的电力内网安全态势评估模型, 利用D-S证据理论对电力内网不同安全分区的信息数据进行融合, 相较于一般的网络安全态势评估方法具有更好的精度, 极大避免了漏报和误报, 能够有效提高电力内网的安全管理水平。
1 电力内网的安全态势评估模型
电力内网安全问题主要是由服务器、主机或网络提供的服务中存在的漏洞带来的。本文根据电力企业内网这一特点, 以漏洞为评估对象, 建立如图1所示的层次化的网络安全态势感知模型。将NSSE划分为三个层次, 即数据层、评估层和展示层。
第一层是数据层, 可采取通过不同的接入方式, 如专门的代理接口等, 以获取不同分区网络信息的办法。第二层是评估层, 从漏洞-服务-主机-网络的角度, 采用加权求和法得到网络安全评估结果。第三层是展示层, 根据历史态势评估结果, 运用图形图像技术, 将网络安全态势分析的结果展示出来。
2 基于信息融合的安全态势评估算法
证据理论主要用于处理不确定性问题, 也称为Dempster-Shafer证据理论。本文以CNVD公布的漏洞严重性分值和IDS的报警统计数据作为证据, 从漏洞-服务-主机-网络的角度对整个网络进行安全态势评估:
对网络中主机进行编号Hn (1芨n芨网络中主机数) , 针对某一主机Hi存在漏洞Li, 对主机Hi中的漏洞信息进行归一化处理, 获得漏洞严重性证据:
其中是漏洞严重性证据是漏洞严重性分值;
定义辨识框架, 本文采用改进的D-S证据理论方法对相关网络数据进行合成, 得到基本可信度分配函数, 经过证据合成, 的计算公式为:
漏洞Li的态势值SLi可以直接利用m (h) 获取SLi=m (h) ×100%, 可以利用加权求和法获得Seri的安全态势值SSeri, 然后利用服务Seri的安全态势值SSeri可以获得主机Hi的安全态势, , 最终可以获得网络安全态势值。其中Hi∈N表示网络N中的主机集合, w Hi表示网络N中主机Hi的权重。
3 模拟实验
选取了某电力公司提供的2010年内部网络运行数据集作为实验数据验证程序的有效性, 截取连续10个测量周期 (每个测量选为30秒) 内的数据作为评估数据, 分析获得网络中各个主机的相关漏洞信息, 如表1。
根据CNVD公布的漏洞严重性报告, 为各个漏洞的严重性赋值, 通过第2节介绍的态势评估算法, 获得各个时段主机的安全态势曲线如图2所示。
图中横轴为时间, 每个间隔为一个时段, 纵轴为网络安全态势值。态势值越大则表明网络安全状况越严重。
小结
本文在分析现阶段电力内网安全管理面临现状的基础上, 提出了一个基于信息融合的电力内网安全态势评估模型, 该模型综合考虑多个安全分区的网络信息, 利用D-S证据理论获得网络安全态势评估结果, 评估对象为漏洞-服务-主机-网络。但是, 电力内网安全态势评估模型及其量化评估方法仍需研究完善, 攻击信息和漏洞信息需要寻找更加形象的表示方法, 网络安全态势的可视化问题也需进行更进一步的研究。
摘要:内网安全是近年来逐渐被人们所重视的网络信息安全研究领域, 文章针对电力内网安全评估问题构建了以漏洞为评估对象的网络安全态势评估模型。利用D-S证据理论对网络信息进行融合, 获得漏洞的评估结果, 以漏洞-服务-主机-网络为对象对网络安全态势进行评估。模拟试验表明, 经过信息融合获得的漏洞信息能够对电力内网的安全态势评估提供很好的支持, 有效提高了评估的准确性。
关键词:电力内网,D-S证据理论,信息融合,网络安全态势评估
参考文献
[1]赖积保, 王颖, 王慧强, 等.基于多源异构传感器的网络安全态势感知系统结构研究[J].计算机科学, 2011 (3) :4-9, 58.
[2]席荣荣, 云晓春, 金舒原, 等.网络安全态势感知研究综述[J].计算机应用, 2012 (1) :1-4, 59.
信息内网 篇8
随着3G图像传输的发展和移动办公的各种应用,3G公共通信网络和单位内网的信息交换需求越来越迫切,两张网络简单的纯物理介质隔离已限制工作效率的提高。如何既能保证单位内网的安全,又能实现数据信息的快速交换,是利用好3G公共通信网络急需解决的技术关键。本文针对3G图像传输的特点,根据OSI模型网络通信原理,采用图像数模转换和低速串行信令传输的边界信息交换方式,实现3G公共通信网络和单位内网的图像资源共享。
二、边界信息交换设计
由于3G图像传输是基于社会3G公共通信网络的,而单位内部图像平台是建设在单位内网中的,出于网络安全考虑,两张网络是不能进行高级数据互通的;如要实现图像资源的高效共享,则利用数模转换、低速串行进行边界信息交换,是一个较好的解决方案。众所周知.图像信息数据量大,实时性、连续性要求高,尤其是带有语音信息的图像,还需要较好的唇音同步。内外网图像信息共享对于边界交换的安全、速度和容量提出了较高的要求.这其中内外网隔离是保障单位内网安全的重中之重。
边界信息交换中.为了充分保障单位内网的安全性,采用模拟视频线缆通过编解码器进行数模转换传输图像信息,采用RS232/485的低速串行数据传送控制信令。这个设计的核心是从OSI模型的物理层上改变单位内网与3G公共通信网络之间网络的物理连接。对于低速数据的传输,由于边界控制器只能识别事先约定信息,非约定信息不能转换成数据包重新上网传输,保障了单位内网的安全。数字图像转变成模拟电信号通过内外网边界,使得图像信息得以快速、连续、实时的传输。如果需要增加边界传输的容量,只需要相应增加编解码器和模拟线缆就可以解决。3G公共通信网络和单位内网图像跨界传输的示意图见图1。
如图1所示,内外网两个平台间的图像信息通过数模转换的方式进行传输。内网平台通过模拟矩阵输出模拟视频给外网平台,外网平台将图像进行数字化编码上传3G公共通信网络。同理,3G公共通信网络平台中接入视频解码器.通过解码器解出模拟视频后送入单位内网平台的模拟矩阵。模拟矩阵通过内网的编解码器上传下载图像信息,实现模拟图像数字化。由于图像经过边界时经历了两次数模转换.图像质量必然受到损伤,但对于不需要着重观察细节的图像已经可以满足需求。
通过这种边界设计,内外网平台之间只有模拟视频的互传和低速RS232/485的串口通信连接,从物理层上没有网络连接,不支持TCP,UDP,SPX等传输层协议的建立,避免了内外网之间Telnet,FTP,HTTP,SNMP应用层协议的传输,从物理层上隔离了单位内网与3G公共通信网络。
三、OSI模型应用分析
国际标准化组织制定的OSI模型将网络通信工作分为七层,由高到低依次为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。每层完成一定的功能,每层都直接为其上层提供服务,并且所有层次都互相支持,而网络通信则可以自上而下(在发送端)或者自下而上(在接收端)双向进行。物理层规定了激活、维持、关闭通信端点之间的机械特性、电气特性、功能特性以及过程特性。物理层为上层协议提供了一个传输数据的物理媒体。
从OSI模型中可以看出.单位内网与3G公共通信网络之间连接的不管是视频线缆还是RS232/485低速数据线,均为通信的物理层连接,而且视频线缆中仅传送模拟视频信号,RS232/485低速数据线仅传输纯数据流信号。OSI模型中,每层都直接为其上层提供服务,因此可以说低速串行方式是从物理层上就已经切断了单位内网与3G公共通信网络之间的网络连接.保障了单位内网的安全性。
四、边界设计安全分析
内网的信息通过边界传送到外网时,内网信息以IP数据的方式到达内网边界控制器上,边界控制器进行命令解析,之后,将需要完成的工作内容通过约定好的规则翻译成纯数据流,再通过RS232/485的低速串行数据线发送到外网边界服务器上.外网边界服务器收到这些数据流后.通过约定好的规则进行命令读取.再把需要完成的工作内容重新打包成IP数据在外网进行传输。同理,外网信息通过边界传送到内网是逆向进行。
通过以上流程分析可看出,内外网边界系统是面向工作内容的相互连接,与传统通信的各种传输协议毫无关联,因此.内外网之间只能传输内外网平台之间的各种控制或资源信令,其他数据将无法传送,采用这种方式可最大程度上避免内外网之间其他信息泄露及病毒入侵等问题。
另外,内外网之间传输视频信号的是模拟视频线缆,视频线缆上传输的是高低电平的模拟信息量,在不加任何数字调试设备的基础上,模拟线缆上只能传输连续的模拟量,不能传输离散的数字信息,因此,连接内外网的视频线缆在防病毒和防泄密方面是绝对安全的。
五、与隔离网闸的比较
隔离网闸方式是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令,信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令,从而起到内外网隔离的作用,不过网闸的运行环境是在纯IP的网络环境。隔离网闸方式的示意图如图2所示。
低速串行方式是通过内外网边界控制器之间RS232/485低速纯数据流传输,实现内外网之间的安全隔离。内外网之间只传送图像调取的资源信息及控制信息,这些信息相对固定统一,低速串行方式的示意图如图3所示。
两种边界信息交换设计,从设计原理到设备使用都有着本质的区别,但都可以起到保护单位内网的关键作用。大数据量的图像信息低速串行方式,减少了信息的交换量,保障了图像的连续性和实时性.但图像质量牺牲较大。随着隔离网闸方式的数据交换处理能力的提高,图像传输的连续性和实时性将得到有效提高。
六、结束语
本文只是从3G公共通信网络与单位内网边界信息交换部分探讨了安全防护的设计,链路加密、防火墙、图像信息加密、AAA认证等机防手段仍是必不可少的,当然入侵检测、访问控制、监控管理等安全检测手段也是不可或缺的。
摘要:随着3G图像传输的发展和移动办公的各种应用,解决3G公共通信网络与单位内网的边界信息交换已成当务之急。本文针对3G图像传输的特点,介绍采用图像数模转换和低速串行信令传输的边界设计,实现内外网的图像资源共享。
信息内网 篇9
防火墙、入侵检测和防病毒等传统安全手段都是以“防外”为重点, 无法应对来自内部的层出不穷的恶意攻击和病毒, 所以一些电力企业就部署了电力信息内网安全监控系统, 但是目前大部分内网监控系统都是基于P2DR模型和PDR2模型的, 不具备日志审计功能, 本文通过对PDR2模型进行改进, 提出一个PDR2A安全模型, 以弥补传统内网监控系统的不足, 提高电力企业内网信息系统的安全性。
1、PDR2A模型
1.1 PDR2A模型
在原PDR2安全模型的基础上提出PDR2A模型:Protection (防护) 、Detection (检测) 、Response (响应) 、Recovery (恢复) 、Auditing (审计) 。PDR2A安全模型在PDR2模型的基础上增加了审计分析模块。审计分析是利用数据挖掘方法对处理后的日志信息进行综合分析, 及时发现异常、可疑事件, 以及受控终端中资源和权限滥用的迹象, 同时把可疑数据、入侵信息、敏感信息等记录下来, 作为取证和跟踪使用, 以确认事故责任人。另外管理员还可以参考审计结果对安全策略进行更新, 以提高系统安全性。安全策略仍是整个内网安全监管系统的核心, 包括安全防护策略、监控策略、报警响应策略、系统恢复策略、审计分析策略、系统管理策略, 它渗透到系统的防护、检测、响应、恢复、审计各个环节, 所有的监控响应、审计分析都是依据安全策略实施的。
2、基于PDR2A模型的安全监控系统设计
基于PDR2A模型的电力信息内网安全监控系统如图1所示。系统采用C/S与B/S结合的模式, 管理中心采用B/S结构, 客户端和服务器端采用C/S分布式体系结构。系统由WEB监管控制中心、监控服务器、监控代理和数据库四部分组成。
审计中心对应于模型中的审计分析模块, 包括审计分析、审计浏览功能。通过审计分析功能对内网安全监管日志、受控终端日志、内网安全监控配置信息及操作日志进行综合分析, 及时发现异常、可疑事件, 以及受控终端中资源和权限滥用的迹象, 进行实时报警, 同时把可疑数据、入侵信息、敏感信息等记录下来, 作为取证和跟踪使用, 以确认事故责任人。对于审计结果可以通过审计浏览功能进行查看。
3、关键技术实现
3.1 审计分析的实现
用户行为模式提取算法以及模式匹配算法是实现审计分析的核心算法。通过对捕获的当前数据进行实时分析, 利用用户行为模式提取算法提取出用户行为模式, 再将当前用户的行为模式与历史正常行为模式进行模式匹配, 判断其是否为正常事件, 从而做出响应并给出审计结果, 避免了由单纯的模式匹配方式审计时存在的漏报警问题。利用关联规则挖掘算法实现用户行为模式的提取。
当前用户行为与历史行为规则之间的模式匹配程度用相异度来表征。相异度的取值范围为[0, 1], 取值越小表示参与模式比较的两个关联模式或序列模式的吻合程度越大。相异度为0, 说明两者完全吻合, 相异度为1, 则表示完全不吻合。当相异度取值较低时, 表明用户行为正常。而当相异度取值较高时, 必须对该用户行为进行预警, 并及时对规则进行修正。
3.2 安全通信机制实现
日志文件在传输过程中有被篡改、窃取、拦截或被攻击者冒充代理端发送假日志信息的威胁, 基于公共密钥的身份认证和SSL (Security Socke Layer) 加密机制则可以有效地阻止这些威胁。
身份认证过程为:日志安全保护系统向可信赖的第三方 (CA认证中心) 申请一对 (公钥, 私钥) , 由CA用自己的私钥对日志采集代理的公钥进行数字签名, 然后日志采集代理将公钥证书发送给日志服务器, 日志服务器用CA的公钥解密公钥证书, 从而获得日志采集代理的公钥, 最终确认日志采集代理的身份。
SSL是Netscape公司提出的安全保密协议, SSL运行在TCP/IP层之上、应用层之下, 为应用程序提供加密数据通道, 加密和解密需要发送方和接受方通过交换共知的密钥来实现, 因此, 所传送的数据不容易被网络黑客截获和解密。本系统采用SSL加密机制结合身份认证技术实现数据加密传输。
3.3 系统自我保护实现
采取两种机制来保证系统的运行安全。
第一, 为了防止监控程序进程被恶意中止, 需要对进程进行保护和隐藏。保护进程的原理是:一旦有某个进程企图关闭监控系统程序线程的时候, 它首先要打开监控系统的进程, 所以只要hook这个openprocess () API函数, 就可以达到保护进程的目的。对于进程的隐藏, 只需把监控程序注册为一个服务就可以实现了。
第二, 由于各种原因, 代理进程可能意外中止, 为了防止此种情况的发生, 内网安全监控系统采取了类似心跳的机制来监控代理的生存状态, 代理在正常运行的时候, 定期地向控制台发送生存标志来报告当前代理的状态。当控制台收到这种生存标志的时候就能确定目前代理程序在正常运行。具体算法如下:
结束语
随着电力企业信息化工作的推进, 随之而来的安全问题也就层出不穷, 特别是信息内网安全问题尤为重大。改进的PDR2A安全模型增加了基于数据挖掘的审计分析技术, 不但可以有效地防止攻击, 还可以对系统进行全面的诊断, 及时发现异常, 对事故进行追踪取证, 并给制订安全策略提供依据, 使得系统管理员更方便地管理网络。如果再结合现代企业信息资源管理的观点、方法, 制定电力企业内部网络的安全防护策略, 用以规划内网资源、规范内网行为、防止内网信息泄露, 就可以构建一个全自动、全方位地保护企业内部信息安全的内网安全防御体系。
摘要:分析动态自适应网络安全模型PDR2的缺陷, 针对模型的不足提出了改进的PDR2A模型, 并基于该模型设计了电力信息内网安全监控系统, 该系统不仅实现了信息内网终端防护、网络行为监控、网络维护等功能, 而且能够利用数据挖掘算法对日志信息进行审计分析, 使内网管理员准确掌握网络系统的安全状态, 及时发现违反安全策略的事件并实时告警、记录, 便于事后追查取证。该系统的应用为电力企业内网采取进一步的安全措施提供了依据。
关键词:日志分析,安全监控,数据挖掘,安全审计
参考文献
[1]张申, 刘伟, 杨素梅.论电力企业的内网安全绿色防护策略[J].河南电力技术, 2008, 6 (8) :31-33.
[2]PDR2网络安全模型 (EB/OL) .http://cio.ccw.com.cn/research/info/htm2007/20070510_257528.asp.
[3]韩锐生, 徐开勇, 赵彬.P2DR模型中策略部署模型的研究与设计[J].计算机工程, 2008, 34 (10) :180-183.
[4]陶佳, 朱传柏, 唐跃中, 等.基于多防线分布容侵技术的电力企业信息集成安全防护体系[J].电网技术, 2008, 32 (20) :24-28.
[5]罗涛.设计电力企业网络安全解决方案[J].四川电力技术, 2003, 04:50-52.
内网攻防问题探讨 篇10
随着信息化的不断推进, 网络应用与发展逐步深入, 网络安全已经成为人们日益关注的重点。网络安全通常人们更多地关注的是网络边界的安全, 例如采用内外网隔离、布置防火墙、安装入侵检测系统等技术进行防护。但据国家相关部门统计, 有80%的网络攻击行为来自于内部网络, 其次才是黑客攻击。内网一般是由网络设备和信息系统组成的复杂环境, 其连接便捷, 应用系统多, 重要数据多;因此, 也容易出现数据被非法使用、被窃取、被破坏等被攻击的情况, 所以, 加强对内网攻击的防御就显得十分必要。
1 内网被攻击的主要问题
内网安全是网络应用的关键, 其安全性远高于外网的安全。所谓网络攻击就是网络上任何非授权的行为, 内网被攻击的主要问题有以下:
合法用户的网络滥用。拥有合法授权的网络用户在系统应用方面滥用权限, 错误操作, 操作行为抵赖等。
非法用户的入侵。非法用户或权限低的用户超权访问, 内部别有用心者恶意入侵系统, 数据被篡改或破坏, 恶意代码对系统的破坏等。
网络设备的威胁。内网系统网络设备的意外故障, 设备老化, 软件意外失效等。
2 内网的防御策略
计算机网络一般由网络设备、信息存储设备和传输线路构成。我们在考虑网络安全防御时, 应当从以下几个方面着手。
2.1 设备安全策略
对于内网, 网络设备一般由核心交换机、汇聚层交换机及边缘交换机组成, 有些网络还有网络中断器、网桥等。网络交换机常用的工作在二、三层上, 这些设备的好坏, 直接影响着内网的联接性能。
设备安全的核心在于网络核心交换机上, 选择质量好、功能强、运行稳的核心路由交换机, 可提供每端口线速网络监视功能, 通过限制广播数据包, 来确保网络的核心安全。大多数内网采用以核心交换机为中心, 路由器为边界的网络拓扑结构, 在此结构中, 应重点挖掘中心交换机的访问控制功能和三层交换功能。
在网络规划时, 应当充分考虑网络设备的安全问题。重要的设备, 如服务器、汇聚层交换机, 甚至边缘交换机都应当集中管理。对传输线路一般应当深埋、穿线, 避免架空, 同时应采用适当的保护。对终端设备如工作站、集线器及其它转接设备要落实责任到人。对内网的核心设备如中心交换机、路由器等, 应当制订应急处置方案, 将故障及安全威胁降低到最小。
2.2 内网安全的防护策略
内网安全的防护首先应当划分不同的安全域, 并制定相应的安全策略。通过绑定功能, 对上网终端进行准确的认证, 防止非法使用网络资源, 预防内部安全隐患的发生。
目前, 在计算机网络内网中, 绝大部分对用户身份没有进行强制认证, 使得资源访问和用户活动区域的权限没有得到合理的限制, 导致用户有意或无意访问到不应当接触的信息。同时, 由于内网上网人员利用熟悉内网信息系统的网络结构、主机、应用平台, 又具有合法的身份, 进行内部越权访问, 或泄密给外部人员进行非法外部访问、病毒破坏等, 对内网安全造成了严重的危害。
针对内网存在的这些弱点, 内网安全策略应当从下列几个方面着手:
(1) 对内网强制划分可信域和细化保护区域, 建立网络可信域。在网络中划分逻辑上独立的安全区域, 此区域中的用户、终端及服务器都必须进行可信认证, 并进行可信管理。这样不仅可对内网和外网实行逻辑隔离, 而且可对内网进行集中管理, 减少安全隐患的发生, 避免内网资源被非法使用。
(2) 为内网用户提供有效保护本身资源的手段。安装内网安全保密系统, 减少内网泄密的可能。通过共享名与用户名绑定, 访问文件夹与用户名绑定, 访问用户与IP地址绑定等措施, 在密级保护层次、安全隔离手段、权限访问控制等策略上进行细化, 保证区域中的所有用户、所有终端都进行强制认证, 所有服务器资源都有经过强制访问权限控制, 确保区域的安全和完全可信。
(3) 利用路由器和VLAN技术, 强化内网安全管理。根据不同的应用业务和不同的安全等级, 利用VLAN技术, 将网络进行分段和隔离, 实施相互间的访问控制, 限制用户的非法访问。通过边界防火墙的适当配置, 对内网进行安全保护。主要措施有:修改默认的防火墙口令;关闭IP直接广播;关闭IP源路由;必要是关闭路由器HTTP设置;确定数据包过滤策略;保证路由器物理安全;认真阅读安全日志等。
3 内网攻击的检测防范
要防御网络内网的攻击, 首要任务是检测到网络攻击, 网络攻击的检测主要是应用相应的网络工具进行。
3.1 利用协议分析Do S&DDo S的攻击
Do S&DDo S攻击是网络中最有威胁的攻击, Do S攻击虽不能窃取网络资源, 但可导致网络瘫痪, DDo S攻击可导致合法用户无法进行网络访问。Do S&DDo S攻击很难通过技术手段进行防范, 此类攻击对网络中关键服务设备特定协议或端口实施的WWW受到攻击后, 用户无法访问。Do S&DDo S攻击是对网络可用性的攻击, 较为有效的解决方案是利用IPS (Intrusion Prevention System) 技术进行防范。但找到攻击源最好的办法是利用协议分析技术进行捕获流量进行分析后定位。协议分析技术就是利用相应的软件, 对某处的数据流量进行分析定位。
3.2 利用协议分析网络病毒
网络病毒是利用网络进行传播, 利用主机系统自身的安全性和存在的漏洞对主机进行攻击。利用协议分析技术对网络中的传输数据进行分析, 可以发现大量请求与正常工作的网络状态存在明显的差异, 利用其分析结构可以定位蠕虫病毒的流量等。由于大量感染病毒的主机不断地向网络发送数据包, 而基于TCP协议的SYN请求的小数据包无法得到SYN的确认, 且目的地址随机, 小包的数据多, 使网络效率低下, 网络性能降低, 从而导致网络正常业务无法进行。利用协议分析技术还可分析定位ARP攻击, 通过协议分析, 捕获ARP协议数据, 即大量ARP数据广播发往网关的ARP应答。
3.3 利用协议分析广播与组播
网络中如果存在大量广播与组播可导致网络功能急剧下降, 直至无法进行正常的通信。如广播的目的地址为0x FFFF-FFFFFFFF, 多播有特定的MAC和IP地址范围。在特定的地址上存在大量的重复的数据包, 利用协议分析技术就方便定位。
3.4 利用协议分析MAC泛洪攻击
M A C泛洪攻击是在网络中大量不存在源M A C地址的数据包发往交换机, 耗尽交换机的MAC地址表, 使交换机对单播目的数据帧进行泛洪, 从而使某端口被阻塞。利用协议分析, 很容易发现M A C泛洪攻击的存在。
对于以上几种典型的网络攻击, 利用协议分析技术加以定位和解决。其解决的措施之一就是利用协议分析软件, 查看网络的利用率、每秒数据包的数量、出错数据包的数据等, 当发现特定的单一内网IP的出入站的数据包异常出现 (如数量大) 或传输速度低等, 就可以初步判断为发生网络攻击。
4 内网攻击的防御
对于网络攻击行为, 前面已经介绍了检测方法, 这些方法只对于一些常见的攻击有效, 要真正地防御内网的攻击, 还应当有下列措施。
4.1 均衡全面地防御
网络本身在物理上、协议上、操作上及管理上存在种种漏洞, 这是造成内网受攻击的根源, 其攻击往往在最容易渗透的方面进行, 因此, 充分、全面、完整地对内网系统的漏洞和安全进行分析、评估和检测。从内网的各个层次进行技术防范。如加密、认证、访问控制、防火墙、入侵检测、安全协议、漏洞扫描、病毒防治、软硬件备份等。
4.2 建立应急安全响应机制
网络的安全是相对的, 因此, 要采用适当的手段, 对内网进行检测, 及时发现攻击与破坏, 并及时对内网系统进行恢复。其应急安全响应机制包括:安全监测机制、安全反应机制和安全恢复机制。
加强防护让内网远离数据泄露 篇11
重要数据是如何被泄露的
目前,病毒木马、黑客间谍总是在不停制造安全麻烦,同时充分利用各种热门应用和新型技术,而且他们在攻击效率方面也是越来越重视,他们的攻击目标也是越来越有针对性,那就是盗取单位内网中的重要数据。不过,黑客间谍攻击技术即便如此强大,为数据安全带来潜在威胁的却不是黑客间谍,对许多内网数据泄露事件进行认真研究后,或许能看到这样一个明显的现象,那就是绝大多数内网数据泄露事件应该归咎于单位员工的自身疏忽,他们当中可能也有极少一部分为了经济利益而向其他需求方甚至单位的竞争对手提供数据;但不可否认的是,多数人还是由于安全观念不强或操作不小心,将带有重要内网数据的E-mail错误发送出了单位内网,也有可能是发送给了不恰当的用户,这种不安全或不小心的举动,最终被黑客间谍利用,从而引发内网数据泄露事件的发生。
对于很多员工来说,他们压根就没有认识到自己的一次错误发送或不小心点击操作,可能会给单位带来多大的潜在危害和经济损失。而且在目前网络应用越来越普及的时代,各种Web访问以及电子邮件发送已经成为员工每天学习或工作时必不或却的操作,员工基于这些应用或工具进行日常办公,或者完成一些重要的业务流程,正变得越来越普遍,在这个过程中由于自身安全要求不严或操作粗心大意导致的数据泄露事件,也正变得越来越频繁。
加强加密防护
为了保护数据安全,我们需要采取措施加强内网安全,让内网远离数据泄露。所谓防护数据泄露,主要是采用一定的技术措施,来严格防范企业内网中特定信息资产或重要数据,以违反安全规定的形式悄悄流出单位的一种策略;目前,数据泄露防护主要采用文档加密技术,结合内部文档操作控制机制、严格管理机制、安全审计机制,来对任何状态下的信息资产或重要数据进行有效防范。由于信息或数据的生命周期涉及创建、移动、存储、使用、删除等环节(如图1所示),信息或数据的传递周期包括端口、网络、终端、移动存储介质等方面,这两个周期中包含到的各个细节都要采取措施进行安全防护,才能避免发生数据泄露现象;在内网中部署加密技术,最直接的是避免了信息资产或重要数据被不经意地、无意识地泄露出去,它解决了重要数据自身的保密性问题,加密之后即使发生了数据泄露现象,单位也用不着紧张,因为其他人是无法看到加密了的数据内容;可是,如果过分迷恋加密技术,对信息或数据各个周期中的每个细节进行全程加密,不但是不现实的,而且即使能实现的话,也会严重影响内网系统的运行效率。
通常加密与效率无法同时兼得,单位用户需要想方设法在加密和效率之间获取一种平衡。由于加密会在某种程度上影响系统运行效率,那些对运行效率要求较高的系统显然是不适合部署加密产品的,只有对一些高度涉密的特定系统或者对核心部门的数据进行加密才能获得效果。那么对于一个单位来说,哪些部门属于核心部门呢?正常来说,一个单位的组织架构中,核心部门应该是类似销售、设计、财务这些部门,而在加密安全体系中,我们认为凡是接触到重要数据的部门,都应当被称为核心部门;每个单位的业务流程不同,产生的重要数据也就不同,那么参与数据流转的部门也会有所不同,此时对数据加密的范围自然也就不同了;而且,随着单位工作业务的不断调整,单位自身的重要数据也处于动态调整中,那么数据加密范围也要跟着调整。单位究竟应该在多大范围部署加密技术,这要根据实际情况来决定,因为单位系统中的大部分数据可能都是普通数据,涉及到机密的重要数据往往只是一小部分,这些重要数据可能集中在某一个核心部门,也有可能分散在各个不同的普通部门中,这就要求单位在部署加密技术时,必要要以重要数据为中心,注重技术方案的可扩展性和可变性。此外,无论单位的加密范围如何变化,重要数据如何调整,有一样是一直不变的,那就是部署加密技术以后,需要及时进行安全审计;单位要经常对信息加密体系进行检查,以此来正确评价安全效能。
当然,我们不要简单以为部署了加密技术后,就能保证万无一失,因为加密技术只能解决数据自身的保密性问题,而无法解决数据在传递、使用过程中的泄露风险;尽管加密技术可以有效提升单位信息系统中重要数据的安全性,不过该技术也会对系统的工作流程带来影响,它会延缓数据流动效率,因此单位需要在安全方面和效率方面取得平衡。
加强权限防护
使用加密技术保护重要数据,就象为重要数据上了锁,看上去安全效果很好,不过多数重要数据实际流转在单位的整个业务流程,如果一股脑地对所有重要数据进行加密,不仅会影响数据流转效率,服务器也不能承担如此大的负荷,而且这种方案并不能防范授权员工或客户泄露数据。事实上,多数单位内网中的安全防御系统都没有应用于单位员工或客户,这样一来权限用户泄露数据的行为就无法得到控制;为了阻止权限用户对外泄露有价值的数据信息,很多单位最初试图对权限用户进行全面“封锁”,禁止他们携带移动存储介质到公司上班,禁止他们在网站论坛或自己博客中发布与工作有关的任何重要信息,甚至禁止他们在单位上班期间随意访问外网。然而,全面的“封锁”不但没有发挥出应有的效果,而且还激怒了不辞劳苦的员工,他们认为这样的“封锁”阻碍了他们获取必要的数据信息来高效完成自己的本职工作。那么我们究竟该如何对这些权限用户的数据泄露行为进行防护呢?要实现这个防护目的,需要在单位内网中部署信息权限管理平台。
所谓信息权限管理,就是指对位于单位局域网防火墙外的数据对象部署严格的用户访问权限(如图2所示),比方说,外出办公的员工可以通过VPN连接访问或修改单位内网中的重要数据,但不允许通过VPN连接下载或发送文件到自己的移动存储介质。信息权限管理平台的工作流程一般是这样的:有权访问单位内网中重要数据的员工或客户必须先在信息权限管理平台中注册,一般是借助网络连接通道进行注册;在对用户的身份进行验证后,平台会自动下载控制代码到员工或客户的桌面,日后他们每次读取或访问位于自己客户机中的文件或内网中的新文件时,保存在客户机中的控制代码就能自动联系信息权限管理平台,对访问行为进行再次验证,之后从平台中自动下载密钥来对文件执行解密操作,同时对文件访问行为提出明确控制,允许他们能做什么、不能做什么,例如究竟是写入操作还是读写操作,是发送操作还是打印操作,是下载到移动存储介质还是保存到本地硬盘等。
内网攻击防范及处理 篇12
1 技术细节
实现原理, 主机加载WinPcap驱动, 截获指定端口的数据帧, 再通过主机强大的计算处理能力代替交换机对数据包进行分析判断。大多数的攻击都有一些共性的特征, 如伪造IP、对目标主机发起大量连接请求、盗用网关或服务器IP地址。以too2y@safechina.net的t-arp网络嗅探程序为基础增加了分析判断功能, 设定条件分析截获的数据包以判断是否存在网络攻击。如果断定攻击源, 则自动telnet登录交换机写二层访问控制列表或是关闭攻击源所在端口, 以阻断攻击源。
2 SYN Flood攻击检查
2.1 SYN Flood攻击检查工具的使用
在监控主机上运行程序 (需要WinPcap驱动) , 截获以太数据帧然后再往上层分析数据包。当然在交换网络环境下还有个前提工作必须要做, 否则只能抓取到网络中发给监控主机的数据帧, 无法截获到其他端口的数据流。因此, 需要将被监控的服务器、网关所在的交换机端口流量镜像到监控主机所在端口。这样才能截获发往要监视保护服务器或网关的数据包。
具体操作如下 (华为3526交换机) :e0/7为被监视端口 (网关) 、e0/4为监控主机端口
[Quidway]acl number 4000
[Quidway-acl-link-4000]rule permit in int e0/7
[Quidway-acl-link-4000]rule permit eg int e0/7
[Quidway-acl-link-4000]quit
[Quidway]mirrored-to link-group 4000 interface e0/4
其他品牌类型的交换机指令大同小异, 参看指令手册。经过以上配置就可以在监控主机上命令状态行中运行程序sarp目标MAC syn (sarp 00800b064366 syn) MAC格式为连续的12位hex串, 这条命令是要显示发往目标MAC地址主机所有TCP发起连接请求, 输出显示内容如图1所示。
输出内容说明:源MAC->目标MAC sip:源IP dip:目标ip类型syn:是否发起连接dp:目标端口sp:源端口len:包长度
如果参数2为syn则输出显示所有发往目标MAC主机的连接申请, 判断标准是TCP数据包中标识位syn=1, ack=0。
2.2 程序实现
SYN Flood攻击的一个重要特征就是不断地发起连接请求。有一次维护网络时发生异常, 外网连接中断, 重启网关设备后正常但过了十几分钟又中断, 如此反复, 可排除是ISP的问题, 初步判断网关设备异常, 登录网关管理发现, 其CPU使用率居高不下, 内存使用量也很高。我在监控主机上运行该工具程序, 监视发往网关的数据帧, 发现了内网一台主机对外网随机IP地址的445端口扫描行为, 攻击主机发了大量连接请求的数据包给网关, 对不同IP的445端口请求连接。确定攻击源后, 登录交换机配置一条二层ACL包过滤策略, 将攻击主机MAC发出的对所有目的主机445端口的包进行丢弃处理, 故障即排除。
当然很多时候攻击主机发送的数据包会伪造变换源IP但其MAC地址不会变化, 所以程序中会将对应IP的源MAC进行暂存, 然后再进行对比, 发现有异常会输出提示信息。所以如果你的网络实行的是严格IP地址分配策略, 打开此程序将能起到监控网络内所有主机IP地址变化的作用, 如有主机自行改变IP地址就会报警提示。
2.3 程序主要代码段
这个嗅探程序主要功能就是在察觉到网络有异常时, 能快速发现定位内网中有IP欺骗或是发送大量攻击数据包的主机, 以便及时采取措施!但是这种方式显得有点滞后, 处理不够及时, 因为网络攻击随时有可能发生, 所以可以在程序中增加一个交换机telnet登录处置功能 (要求交换机具备相应管理功能) , 当确定某个MAC为攻击主机时自动telnet登录交换机写入一条ACL二层包过滤规则, 将来自攻击主机的MAC的数据帧全部做丢弃处理。之所以没有将自动处置的功能加入, 是因为正常情况下也有可能发生大量的连接请求, 例如, 网络中某台主机有采用P2P下载也会短时快速产生大量的连接请求, 所以在此还是采取较为保守的人工判断。这种攻击行为目前发生概率较低, 产生故障比ARP攻击更慢, 还有就是短时发大量洪水包这种情况, 程序中不好判定, 短时大量的阙值很难定, 如果人工判断一眼就能断定。当发生这种攻击时网关设备CPU使用率升高, 内存消耗增大。所以一般是在发现网络有异常后再运行扫描程序, 判断出攻击源后人工操作。但在对应ARP攻击时就可以断定攻击并自动处置了。
3 ARP攻击检查及自动处置
三年前为了对付频繁的ARP攻击, 笔者写了一个ARP攻击检查处理监控程序, 至今此程序还在一台监视主机上全天候运行着。一旦发现ARP欺骗的主机立即自动telnet登录交换机, 先确定该MAC所在端口, 然后将其关闭。不过这类ARP攻击这两年明显少了很多, 去年一整年才发生一起攻击, 不像2006年, 2007年一个月都能抓到两三次。这种自动处理方式省了很多事, 等到网络中有用户反映网线中断 (因为他所用的端口被shutdown) , 就让他先查毒, 确定没问题后再登录交换机打开其端口。
自动登录交换机处理的参考代码段:
上述代码段对交换机指令依赖性强, 不同的交换机要做相应的修改。对于ARP攻击判定标准有两条, 一是将需要保护服务器和网关的IP和MAC记录, 将抓到的ARP应答包进行对比, 如果服务器IP和MAC与原记录不符则判定为欺骗;二是对比同一个IP的两次MAC是否不同, 如不同也判定为欺骗。
4 结语
以上是这几年网络维护的工作经验, 和大家交流一下!SYN Flood攻击检查程序的源程序附后 (略) , 这个工具程序通用性更强, 而且也具备发现IP欺骗和ARP欺骗的功能。ARP攻击检查自动处置程序的源程序就不附上了, 因为它的自动处理功能模块与交换机指令相关性很强, 至于判断模块则和SYN Flood攻击检查程序相似, 这两个程序的主体基本一致。
摘要:通过对网络关键主机、网关所在端口以大数据帧进行嗅探、分析, 判断确定网络攻击源, 及时处理内网攻击, 排除网络故障。
【信息内网】推荐阅读:
内网信息安全06-11
企业内网信息安全管理06-15
内网信息安全检查工作责任书09-20
信息技术信息素养10-22
信息失真强化会计信息08-17
信息科学与信息哲学09-18
医院信息与信息管理09-20
信息工作化人员信息06-19
一信息与信息技术10-21
审计信息化信息系统05-11