网络资产安全管理篇1

【关键词】电力企业;网络安全;安全策略

一、安全风险分析

电力企业计算机网络一般都会将生产控制系统和管理信息系统绝对分隔开来,以避免外来因素对生产系统造成损害,在生产控制系统中常见的风险一般为生产设备和控制系统的故障。管理网络中常见的风险种类比较多,通常可以划分为系统合法用户造成的威胁、系统非法用户造成的威胁、系统组建造成的威胁和物理环境的威胁。比如比较常见的风险有操作系统和数据库存在漏洞、合法用户的操作错误、行为抵赖、身份假冒(滥用授权)、电源中断、通信中断、软硬件故障、计算机病毒(恶意代码)等,上述风险所造成的后果一般为数据丢失或数据错误,使数据可用性大大降低。网络中的线路中断、病毒发作或工作站失效、假冒他人言沦等风险,会使数据完整性和保密性大大降低。鉴于管理网络中风险的种类多、受到攻击的可能性较大,因此生产控制系统和管理系统之间尽量减少物理连接,当需要数据传输时必须利用专用的通信线路和单向传输方式,一般采用防火墙或专用隔离装置(一般称做网闸)。

二、安全需求分析

一般电力企业的安全系统规划主要从安全产品、安全策略、安全的人3方面着手,其中安全策略是安全系统的核心,直接影响安全产品效能的发挥和人员的安全性(包括教育培训和管理制度),定置好的安全策略将成为企业打造网络安全最重要的环节,必须引起发电企业高度重视。安全产品主要为控制和抵御黑客和计算机病毒(包括恶意代码)通过各种形式对网络信息系统发起的恶意攻击和破坏,是抵御外部集团式攻击、确保各业务系统之间不产生消极影响的技术手段和工具,是确保业务和业务数据的完整性和准确性的基本保障,需要兼顾成本和实效。安全的人员是企业经营链中的细胞,既可以成为良性资产又可能成为主要的威胁,也可以使安全稳固又可能非法访问和泄密,需要加强教育和制度约束。

三、安全思想和原则

电力企业信息安全的主要目标一般可以综述为:注重“电力生产”的企业使命,一切为生产经营服务;服从“集约化管理”的企业战略,树立集团平台理念;保证“信息化长效机制和体制”,保证企业生产控制系统不受干扰,保证系统安全事件(计算机病毒、篡改网页、网络攻击等)不发生,保证敏感信息不外露,保障意外事件及时响应与及时恢复,数据不丢失。(1)先进的网络安全技术是网络安全的根本保证。影响网络安全的方面有物理安全、网络隔离技术、加密与认证、网络安全漏洞扫描、网络反病毒、网络入侵检测和最小化原则等多种因素,它们是设计信息安全方案所必须考虑的,是制定信息安全方案的策略和技术实现的基础。要选择相应的安全机制,集成先进的安全技术,形成全方位的安全系统。(2)严格的安全管理是确保安全策略落实的基础。计算机网络使用机构、企业、单位应建立相应的网络管理办法,加强内部管理,建立适合的网络安全管理系统和管理制度,加强培训和用户管理,加强安全审计和跟踪体系,提高人员对整体网络安全意识。(3)严格的法律法规是网络安全保障坚强的后盾。建立健全与网络安全相关的法律法规,加强安全教育和宣传,严肃网络规章制度和纪律,对网络犯罪严惩不贷。

四、安全策略与方法

1.物理安全策略和方法。物理安全的目的是保护路由器、交换机、工作站、网络服务器、打印机等硬件实体和通信链路的设计,包括建设符合标准的中心机房,提供冗余电力供应和防静电、防火等设施,免受自然灾害、人为破坏和搭线窃听等攻击行为。还要建立完备的机房安全管理制度,防止非法人员进入机房进行偷窃和破坏活动等,并妥善保管备份磁带和文档资料;要建立设备访问控制,其作用是通过维护访问到表以及可审查性,验证用户的身份和权限,防止和控制越权操作。

2.访问控制策略和方法。网络安全的目的是将企业信息资源分层次和等级进行保护,主要是根据业务功能、信息保密级别、安全等级等要求的差异将网络进行编址与分段隔离,由此可以将攻击和入侵造成的威胁分别限制在较小的子网内,提高网络的整体安全水平,目前路由器、虚拟局域网VLAN、防火墙是当前主要的网络分段的主要手段。而访问管理控制是限制系统内资源的分等级和层次使用,是防止非法访问的第一道防线。访问控制主要手段是身份认证,以用户名和密码的验证为主,必要时可将密码技术和安全管理中心结合起来,实现多重防护体系,防止内容非法泄漏,保证应用环境安全、应用区域边界安全和网络通信安全。

3.开放的网络服务策略和方法。Internet安全策略是既利用广泛、快捷的网络信息资源,又保护自己不遭受外部攻击。主要方法是注重接入技术,利用防火墙来构建坚固的大门,同时对Web服务和FTP服务采取积极审查的态度,更要强化内部网络用户的责任感和守约,必要时增加审计手段。

4.电子邮件安全策略和方法。电子邮件策略主要是针对邮件的使用规则、邮件的管理以及保密环境中电子邮件的使用制定的。针对目前利用电子邮件犯罪的事件和垃圾邮件泛滥现象越来越多,迫使防范技术快速发展,电力企业可以在电子邮件安全方案加大投入或委托专业公司进行。

5.网络反病毒策略和方法。每个电力企业为了处理计算机病毒感染事件,都要消耗大量的时间和精力,而且还会造成一些无法挽回的损失,必须制定反计算机病毒的策略。目前反病毒技术已由扫描、检查、杀毒发展到了到实时监控,并且针对特殊的应用服务还出现了相应的防毒系统,如网关型病毒防火墙以及邮件反病毒系统等。

6.加密策略和方法。信息加密的目的是保护网内的数据、文件、密码和控制信息,保护网络会话的完整性。其方法有虚拟私有网、公共密钥体系、密钥管理系统、加密机和身份认证钥匙手段等。

7.攻击和入侵应急处理流程和灾难恢复策略和方法。主要方法是配备必要的安全产品,例如网络扫描器、防火墙、入侵检测系统,进行实时网络监控和分析,及时找到攻击对象采取响应的措施,并利用备份系统和应急预案以备紧急情况下恢复系统。

8.安全服务的策略。再好的安全策略和方法都要通过技术和服务来实现,安全产品和安全服务同样重要,只有把两者很好地结合起来,才能真正贯彻安全策略。

需要注意的是“最小的成本和以能接受的风险获得IT投资的最大效益”。一个“大而全”的安全管理系统是不现实的,只有符合企业信息网络架构和安全防护体系要求的产品,才能真正达到网络的防护,一方面避免有漏洞的产品对系统安全造成更大的危害;另一方面避免造成成本上的浪费。目前承包商可以提供的安全服务主要有:安全需求分析、安全策略制定、系统漏洞审计、系统安全加固、紧急事件响应、网络安全培训。承包商还可以提供对资产管理保护类的产品,主要有实时监控的网管软件、集中式安全管理平台、安全监控和防御产品、内网安全管理、防止内部信息泄漏的安全管理、网络访问行为与通信内容审计等。

目前,计算机网络与信息安全已经被纳入电力企业的安全生产管理体系中,并根据“谁主管、谁负责、联合保护、协调处置”的原则,与电力企业主业一样实行“安全第一、预防为主、管理与技术并重、综合防范”的方针,在建立健全企业内部信息安全组织体系的同时,制定完善的信息安全管理措施,建立从上而下的信息安全培训体系,根据科学的网络安全策略,定期进行风险评估/分析和审计,采用适合的安全产品,确保各项电力应用系统和控制系统能够安全稳定的运行,为电力企业创造新业绩铺路架桥。

网络资产安全管理篇2

关键词：局域网；交换机；维护管理；网络安全

1概述

局域网是指由一台或多台计算机组成的计算机组，在指定区域内具有打印共享、办公软件应用和文件管理等多种功能。局域网的出现和应用提高了企业的生产效率，节约了成本支出，有利于企业经济效益的提升；同时局域网在使用过程中也存在一些问题，如使用者安全意识不高，容易被黑客攻击或被病毒传染，给企业生产和管理带来极大的损失。鉴于此，加强局域网的维护和管理，确保网络的安全性就显得十分必要。

2局域网的维护和管理

2.1局域网的维护局域网维护的主要目的是确保网络的稳定，避免网络故障的发生，维护工作涉及的主要内容有交换机和网络链路的保护和性能维护，这是整个维护工作的核心内容。首先，交换机是局域网的核心，因此也是局域网维护的关键设备。核心层交换机和汇聚层交换机在局域网中起路由转发、数据交换和网关的重要作用，因此，交换机的管理工作十分重要，要有专门的网络管理人员对交换机进行管理和维护，交换机命令配置好之后要进行数据备份，在交换机故障时能够快速地恢复数据，保证网络运行。网管人员对交换机要设置用户名和密码，不允许其他人员对交换机随意操作。其次，是网络链路的维护，网络链路的畅通是网络安全平稳运行的基础，网管人员应按时对网络链路进行巡检。最后，局域网的系统维护应通过软件和硬件两方面进行。软件维护是指使用功能强大的信息管理和安全管理软件，通过专业的软件扫描及时查找和排除局域网中软件或者硬件中的安全隐患，并根据提示采取合适的解决方案；硬件维护主要是对传统的传输媒介进行改进升级，采用光纤传输数据，提高信息传输质量和传输效率。

2.2局域网的管理局域网的功能能够正常发挥主要依靠管理，按照管理内容的不同，可将局域网管理分为人员管理和局域网管理两个方面。人员管理主要是对使用局域网的人员进行管控，要求局域网使用人员不得破坏局域网内的计算机硬件及配套软件，确保硬件和软件功能的正常性；网络管理主要是对局域网结构选择、功能扩展、网络所处环境的优化等内容进行管理。局域网的网络结构主要是由规划功能决定的，企业可根据自身需求选择不同的网络拓扑结构；局域网功能会随着企业的发展显现出一定的不适应性，在对功能进行扩展时，应对实际需求、经济效益、实现方法等内容进行综合考虑，确保企业能使用最低的经济投入，获得最全面的网络功能；对局域网所处环境进行改进时，要考虑网络使用人员的技术水平与局域网性能之间的匹配性，确保网络资源得到充分利用。

3局域网安全

3.1物理安全措施物理安全措施是指通过局域网硬件安全保护，提高局域网的安全性。第一，企业可制定一系列局域网安全防护措施，加强对局域网内网络设备的保护，避免设备受到外界因素的破坏。以交换机的保护为例，企业可设置使用权限，减少无权限人员使用交换机。第二，提高局域网使用人员的管理，通过制定完善的工作制度，杜绝外来人员使用局域网，禁止外来人员利用局域网安装非法软件，拆卸硬件，影响局域网的正常使用。第三，提高局域网使用人员的安全防范意识。企业应组织员工参与专业的网络安全培训，使员工意识到网络攻击的危害，提高员工的网络安全防范技巧，做好企业内部局域网安全防范工作。

3.2加强访问控制防止局域网被恶意攻击、病毒感染的主要手段是加强访问控制。第一，做好局域网入网访问控制工作。入网访问应输入正确的用户名和密码，只有二者同时正确时才能进入局域网，获取自己所需资源，若用户名或密码不符，则被拒绝访问，这样就能有效避免非法人员访问。第二，给用户设置不同的访问权限。用户登录到局域网服务器后，只能对其所拥有权限内的资源进行查阅或使用，无法获取或使用权限外的信息资源。将资源按照其重要程度进行等级划分，使具有查阅权限的人员可方便使用，同时避免权限外人员的非法攻击，保护了信息资源的安全。第三，加强网络监测。局域网网络管理人员应利用先进的技术对网络用户形成全程监测，对用户的访问记录进行登记，一旦发现用户对局域网网络进行攻击或其他不法行为，就应立即采取措施，限制用户的进一步访问。第四，加强硬件安全保护工作。企业可将信息资源进行划分，根据不同的保密等级设置不同的安全防护措施，目前常用的安全防护措施可从数据库层面、应用层以及网络层设置防火墙，为企业重要的信息资源构建有效的安全防护保障体系。数据库防火墙主要是对访问进行控制，一旦发现能对数据库构成威胁的行为时，发出阻断指令，另外该技术还具有对用户行为进行自动审计的功能，能快速有效地判断用户行为是否会对数据库信息构成破坏；应用层防火墙可以实现对程序所有包的拦截，对防止木马、蠕虫病毒的屏蔽效果较好；网络层防火墙是以TCP/IP协议为基础，根据协议规定对访问行为进行是否被允许的判断；协议规则主要由管理员设定，并且规则内容可执行修订、删除和增加操作。

3.3加强安全管理网络病毒的危害是巨大的，为避免病毒给局域网造成破坏性损害，管理员可通过以下措施加强网络病毒的防范工作。第一，局域网内用户不可擅自下载、安装可以软件，不接受不明邮件，切断隐藏在某文件或某程序中病毒的入口。第二，用户在使用U盘时，应先对其进行病毒扫描，确保无误后方可插入使用。第三，安装病毒查杀软件，并对安装的软件进行及时的更新，为病毒的查杀提供技术保障。第四，安装入侵检测系统，利用该系统对网络信息资源的传输情况进行检测，一旦发现可疑文件立即执行中断命令，并发出警报，保护局域网的安全。

4结语

局域网在很多企业的生产和管理中得到广泛应用，很大程度上提高了企业的信息化管理水平，为保障企业生产和管理工作的正常进行，应对局域网进行全方位的安全保护，确保网络的稳定性和安全性，防止不法分子或网络病毒的入侵，给企业带来不必要的经济损失。

参考文献：

[1]胡石林.论计算机局域网的维护管理与网络安全[J].科技资讯，2011.

[2]马一楠.浅析计算机局域网的安全保密与管理措施[J].价值工程，2010.

网络资产安全管理篇3

随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手，结合电信IP城域网，提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408－1（信息安全风险管理和评估规则），给出了一个非常经典的信息安全风险管理模型，如下图一所示：

图一信息安全风险管理模型

既然信息安全是一个管理过程，则对PDCA模型有适用性，结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT（计划－实施与部署－监控与评估－维护和改进）的循环过程。

图二信息安全体系的“PDCA”管理模型

2建立信息安全管理体系的主要步骤

如图二所示，在PLAN阶段，就需要遵照BS7799等相关标准、结合企业信息系统实际情况，建设适合于自身的ISMS信息安全管理体系，ISMS的构建包含以下主要步骤：

（1）确定ISMS的范畴和安全边界

（2）在范畴内定义信息安全策略、方针和指南

（3）对范畴内的相关信息和信息系统进行风险评估

a)Planning（规划）

b)InformationGathering（信息搜集）

c)RiskAnalysis（风险分析）

uAssetsIdentification&valuation(资产鉴别与资产评估)

uThreatAnalysis（威胁分析）

uVulnerabilityAnalysis（弱点分析）

u资产/威胁/弱点的映射表

uImpact&LikelihoodAssessment（影响和可能性评估）

uRiskResultAnalysis（风险结果分析）

d)Identifying&SelectingSafeguards（鉴别和选择防护措施）

e)Monitoring&Implementation（监控和实施）

f)Effectestimation（效果检查与评估）

（4）实施和运营初步的ISMS体系

（5）对ISMS运营的过程和效果进行监控

（6）在运营中对ISMS进行不断优化

3IP宽带网络安全风险管理主要实践步骤

目前，宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高，且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理，以使得能够动态的了解、管理和控制各种可能存在的安全风险。

由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍，所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段，进行项目实践：

3.1项目准备阶段。

a)主要搜集和分析与项目相关的背景信息；

b)和客户沟通并明确项目范围、目标与蓝图；

c)建议并明确项目成员组成和分工；

d)对项目约束条件和风险进行声明；

e)对客户领导和项目成员进行意识、知识或工具培训；

f)汇报项目进度计划并获得客户领导批准等。

3.2项目执行阶段。

a)在项目范围内进行安全域划分；

b)分安全域进行资料搜集和访谈，包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等；

c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析，形成资产表、威胁评估表、风险评估表和风险关系映射表；

d)对存在的主要风险进行风险等级综合评价，并按照重要次序，给出相应的防护措施选择和风险处置建议。

3.3项目总结阶段

a)项目中产生的策略、指南等文档进行审核和批准；

b)对项目资产鉴别报告、风险分析报告进行审核和批准；

c)对需要进行的相关风险处置建议进行项目安排；

4IP宽带网络安全风险管理实践要点分析

运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同，其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段，需要特别注意以下要点：

4.1安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统：如网管系统、AAA平台、DNS等。

4.3项目成员

应该得到运营商高层领导的明确支持，项目组长应该具备管理大型安全咨询项目经验的人承担，且项目成员除了包含一些专业安全评估人员之外，还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。

4.4背景信息搜集：

背景信息搜集之前，应该对信息搜集对象进行分组，即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含：

a)IP宽带网络总体架构

b)城域网结构和配置

c)接入网结构和配置

d)AAA平台系统结构和配置

e)DNS系统结构和配置

f)相关主机和设备的软硬件信息

g)相关业务操作规范、流程和接口

h)相关业务数据的生成、存储和安全需求信息

i)已有的安全事故记录

j)已有的安全产品和已经部署的安全控制措施

k)相关机房的物理环境信息

l)已有的安全管理策略、规定和指南

m)其它相关

4.5资产鉴别

资产鉴别应该自顶向下进行鉴别，必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组；然后可以在一级资产组内，按照功能或地域进行划分二级资产组，如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组；进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别，鉴别其设备类型、地址配置、软硬件配置等信息。

4.6威胁分析

威胁分析应该具有针对性，即按照不同的资产组进行针对性威胁分析。如针对IP城域网，其主要风险可能是：蠕虫、P2P、路由攻击、路由设备入侵等；而对于DNS或AAA平台，其主要风险可能包括：主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。

4.7威胁影响分析

是指对不同威胁其可能造成的危害进行评定，作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见，尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。

4.8威胁可能性分析

是指某种威胁可能发生的概率，其发生概率评定非常困难，所以一般情况下都应该采用定性的分析方法，制定出一套评价规则，主要由运营商管理人员按照规则进行评价。

网络资产安全管理篇4

随着宽带网络和用户规模的不断增长，用户对宽带接入业务的高可用性要求不断增强，对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手，结合电信IP城域网，提出电信IP城域网安全管理、风险评估和加固的实践方法建议。

关键字（Keywords）：

安全管理、风险、弱点、评估、城域网、IP、AAA、DNS

1信息安全管理概述

普遍意义上，对信息安全的定义是“保护信息系统和信息，防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏，保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程，通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。

信息安全管理的本质，可以看作是动态地对信息安全风险的管理，即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408－1（信息安全风险管理和评估规则），给出了一个非常经典的信息安全风险管理模型，如下图一所示：

图一信息安全风险管理模型

既然信息安全是一个管理过程，则对PDCA模型有适用性，结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT（计划－实施与部署－监控与评估－维护和改进）的循环过程。

图二信息安全体系的“PDCA”管理模型

2建立信息安全管理体系的主要步骤

如图二所示，在PLAN阶段，就需要遵照BS7799等相关标准、结合企业信息系统实际情况，建设适合于自身的ISMS信息安全管理体系，ISMS的构建包含以下主要步骤：

（1）确定ISMS的范畴和安全边界

（2）在范畴内定义信息安全策略、方针和指南

（3）对范畴内的相关信息和信息系统进行风险评估

a)Planning（规划）

b)InformationGathering（信息搜集）

c)RiskAnalysis（风险分析）

uAssetsIdentification&valuation(资产鉴别与资产评估)

uThreatAnalysis（威胁分析）

uVulnerabilityAnalysis（弱点分析）

u资产/威胁/弱点的映射表

uImpact&LikelihoodAssessment（影响和可能性评估）

uRiskResultAnalysis（风险结果分析）

d)Identifying&SelectingSafeguards（鉴别和选择防护措施）

e)Monitoring&Implementation（监控和实施）

f)Effectestimation（效果检查与评估）

（4）实施和运营初步的ISMS体系

（5）对ISMS运营的过程和效果进行监控

（6）在运营中对ISMS进行不断优化

3IP宽带网络安全风险管理主要实践步骤

目前，宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高，且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理，以使得能够动态的了解、管理和控制各种可能存在的安全风险。

由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍，所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段，进行项目实践：

3.1项目准备阶段。

a)主要搜集和分析与项目相关的背景信息；

b)和客户沟通并明确项目范围、目标与蓝图；

c)建议并明确项目成员组成和分工；

d)对项目约束条件和风险进行声明；

e)对客户领导和项目成员进行意识、知识或工具培训；

f)汇报项目进度计划并获得客户领导批准等。

3.2项目执行阶段。

a)在项目范围内进行安全域划分；

b)分安全域进行资料搜集和访谈，包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等；

c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析，形成资产表、威胁评估表、风险评估表和风险关系映射表；

d)对存在的主要风险进行风险等级综合评价，并按照重要次序，给出相应的防护措施选择和风险处置建议。

3.3项目总结阶段

a)项目中产生的策略、指南等文档进行审核和批准；

b)对项目资产鉴别报告、风险分析报告进行审核和批准；

c)对需要进行的相关风险处置建议进行项目安排；

4IP宽带网络安全风险管理实践要点分析

运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同，其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段，需要特别注意以下要点：

4.1安全目标

充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。

4.2项目范畴

应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统：如网管系统、AAA平台、DNS等。

4.3项目成员

应该得到运营商高层领导的明确支持，项目组长应该具备管理大型安全咨询项目经验的人承担，且项目成员除了包含一些专业安全评估人员之外，还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。

4.4背景信息搜集：

背景信息搜集之前，应该对信息搜集对象进行分组，即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含：

a)IP宽带网络总体架构

b)城域网结构和配置

c)接入网结构和配置

d)AAA平台系统结构和配置

e)DNS系统结构和配置

f)相关主机和设备的软硬件信息

g)相关业务操作规范、流程和接口

h)相关业务数据的生成、存储和安全需求信息

i)已有的安全事故记录

j)已有的安全产品和已经部署的安全控制措施

k)相关机房的物理环境信息

l)已有的安全管理策略、规定和指南

m)其它相关

4.5资产鉴别

资产鉴别应该自顶向下进行鉴别，必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组；然后可以在一级资产组内，按照功能或地域进行划分二级资产组，如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组；进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别，鉴别其设备类型、地址配置、软硬件配置等信息。

4.6威胁分析

威胁分析应该具有针对性，即按照不同的资产组进行针对性威胁分析。如针对IP城域网，其主要风险可能是：蠕虫、P2P、路由攻击、路由设备入侵等；而对于DNS或AAA平台，其主要风险可能包括：主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。

4.7威胁影响分析

是指对不同威胁其可能造成的危害进行评定，作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见，尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。

4.8威胁可能性分析

是指某种威胁可能发生的概率，其发生概率评定非常困难，所以一般情况下都应该采用定性的分析方法，制定出一套评价规则，主要由运营商管理人员按照规则进行评价。

网络资产安全管理篇5

[关键词]网络信息资源管理资源数据库

众所周知,由于因特网的信息流通突破了时间和空间的约束,使得全球的信息资源以前所未有的程度和方式在全世界的范围流通,它已经成为迄今为止规模最大、范围最广、影响最深的信息集合,使人类步入了以数字化和网络化为特征的知识经济新时代。随着计算机技术和现代通讯技术的发展,人类已经步入以数字化和网络化为特征的知识经济时代。为了提高我国的国际竞争能力,特别是创新能力,我国政府特别构建了由“知识生产系统,技术生产系统,知识传播系统和信息应用系统”四个良性循环的子系统所形成的知识传播体系,已经被纳入国民经济建设的核心任务与创新体系当中。随着网络信息量的急剧增长,网络信息资源管理成为国内外教育界空前关注的重要领域。探讨网络环境下信息资源管理策略,对开发与利用网络信息资源具有重要意义。另外需要指出的是,我们的目的不仅仅是积累浩如烟海的信息,而是要使得海量的信息资源能方便有效地为教育与教学服务。如何使网络信息资源的有序化管理和充分共享,如何加强对网络信息资源的建设和管理,成为今后工作的重中之重。

一、网络信息资源的含义

信息资源通常是指经过人类筛选、组织、加工和存取,能够满足人类某种需要的各类信息的集合。目前,学术界关于对于信息资源的含义有多种不同的解释,归纳起来主要有两种:一种是狭义的范畴,认为信息资源就是指文献、信息数据资源或各种媒体信息集合(包括文字、声像、印刷品、电子信息、数据库等)。这都仅限于信息本身。另一种是广义的范畴,认为信息资源就是可以获得的各种有用性信息要素的总称。这既包含了信息本身,也包含了与信息相关的工作人员、仪器设备和技术资金等各种资源。那么网络信息资源可则可概述为通过计算机网络可以获得的各种有用性信息要素的总称。它主要是使用数字化形式记录,采用多媒体形式进行表达,而文件存储在磁或光以及各类通讯介质上,并通过计算机网络通讯方式进行传递信息内容的整合。目前,网络信息资源以因特网信息资源为主,同时也包括各种局域网、城域网上和其他没有连入因特网的信息资源。随着互联网技术的快速发展,使信息资源网络化成为一大潮流。与传统意义上的信息资源相比,网络信息资源在传播范围、载体形态和传递方式等,都显示出无法比拟的特点。

二、网络信息资源的特点

1.存储数字化

信息资源凝集着人类的智慧,积累着人类社会认识世界和改造世界的知识。网络信息资源把纸张上的文字变为磁性介质上的电磁信号或者光介质上的光信息,使信息的存储、传递、查询更加方便,而且所存储的信息密度高、容量大,可以无损耗地被重复使用,比印刷品价格便宜。不仅能提供信息线索和著录,还能提供有关信息的全文和原稿。

2.表现形式多样化

传统信息资源主要是以文字形式表现出来的信息。而网络信息资源信息的形式采用超文本、超媒体、集成式地提供信息,除文本信息外,还有图表、图形、图象、音频、视频、软件、数据库等多种形式存在的,涉及领域从经济、科研、教育、艺术到具体的行业和个体,包含的文献类型从电子报刊、电子工具书、商业信息、新闻报道、书目数据库、文献信息索引到统计数据、图表,电子地图等。另外,它还提供了获取非出版信息机会。,即在主流出版物渠道之外的文献,包括研究报告、调查采访、研讨会发言、笔记、项目计划报告、政策方针等。它们反映了许多研究成果背后的原始数据或第一手资料,或者是因为其内容过于新颖和专业而未被纳入正式文献交流渠道

3.以网络为传播媒介

传统的信息存储载体为纸张、磁带和磁盘等传统介质,而在网络时代,信息的存储是以网络为载体,以虚拟化的状态展示的。这必然扩大了人际交流的范围,提供了更多的直接交流机会。还可在许多学者、研究人员、咨询专家的个人网页上发现其研究心得、教学演讲用的资料,这些颇具特长的知识库,其参考价值也得到了广泛的重视。

4.数量巨大,增长迅速

中国互联网络信息中心(CNNIC)2009年1月13日在在京了《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,我国互联网普及率以22.6%的比例首次超过21.9%的全球平均水平。同时,我国网民数达到2.98亿,宽带网民数达到2.7亿,国家CN域名数达1357.2万,三项指标继续稳居世界排名第一。

同时,随着3G时代(The3rdGeneration,指第三代移动通信技术)的到来,无线互联网将呈现出爆发式的增长趋势。而在网络求职、网络购物等实用型互联网应用率大幅增长的同时,网络音乐、网络视频等娱乐型应用的使用率则呈现下行趋势,我国互联网正经历着由娱乐化应用向价值应用时代的转变。

5.传播方式的动态性

网络环境下,信息的传递和反馈快速灵敏,具有动态性和实时性等特点。信息在网络种的流动性非常迅速,电子流取代了纸张和邮政的物流,加上无线电和卫星通讯技术的充分运用,只需要短短的数秒钟,上传到网上的任何信息资源都能传递到世界上每一个角落。

6.信息源复杂

网络共享性与开放性有着较大的自由度,提供了正式出版和发表渠道之外发表个人见解的空间,使得大家都可以在互联网上索取和存放信息,因而为新观点、不成熟的观点、未成定论的理论、假说、概念等提供了发表的园地。由于没有质量控制和管理机制,这些信息没有经过严格的编辑和整理,良莠不齐,各种不良和无用的信息大量充斥在网络上,形成了一个纷繁复杂的信息世界,给用户选择,利用带来了一定的困难。

三、网络信息资源建设的内容构架

信息资源建设主要包括文献信息资源、数字信息资源与网络信息资源建设三个方面。网络信息资源管理系统的核心是资源数据库。它是实现资源共享、节省开支、提高系统反应能力、工作质量和服务水平的重要手段和技术保证。资源数据库是通过规范的符号体系和表达关系把现实的网络资源在计算机数据库中建立对应的数字映像。所有针对资源的查询、统计、调度方案设计、数据分析、决策支持等,都是通过资源管理应用软件对数据库中的资源映像数据进行运算来实现的。世界提供服务的大型数据库有上万个,总记录数高达数十亿。这些数据库通过四通八达的网络向政府机关、社会团体、大中院校、公司及个人提供各类相关信息等。就目前来看,我国可供服务的信息资源显得非常匮乏,现有可供社会调取的信息资源只占世界总数的百分之几,我们在这方面还需待迎头赶上。

尽管与发达国家相比,我国的数据库建设还不尽如人意,但是我国的网络信息资源的开发建设工作也取得了一定的成效,推出了一批有代表性的数据库。如国家科委西南信息中心、重庆普资讯公司出版的“中文科技期刊数据库”、万方数据集公司推出的“万方数据库”等,特别是中国学术期刊(光盘版)电子杂志社开发的“中国学术期刊光盘数据库”该社在1999年推出的“CNKI中国知识基础设施工程”所包含的各类专题数据库及全文数据库,更是将我国的络信息资源开发与建设工作推向了一个新阶段。各地和各行业的网络信息资源建设工作也取得了长足的进步,具有地方特色的数据库的建立等都成为我国网络信息资源开发工作中的亮点。

四、网络信息资源管理的理论构架

中山大学卢泰宏教授1998年出版的《信息资源管理》系统地论述了自己的信息资源管理理论时并明确指出,信息管理不单单是对信息的管理,而是对涉及信息活动的各种要素(信息、人、机器、机构等)进行合理的组织和控制,以实现信息及有关资源的合理配置,从而有效地满足社会的信息需求。信息管理的基本问题归结为五点:存―理―传―找―用。存即保存、存留;理即整理、加工;传即传播、传递;找即查找,检索;用即利用、使用。因此,信息资源管理既是一种管理思想,又是一种管理模式,其管理对象主要是信息活动中的各种三种是基本要素的集约化。即信息资源的技术管理,信息资源的经济管理和信息资源的人文管理,它们分别对应不同的背景,即信息技术,信息经济和信息文化,三者的集成构成了信息资源管理的三维构架。它们是对应于信息技术的技术管理模式,其研究内容是新的信息系统、新的信息媒介与新的利用方式;对应于信息经济的经济管理模式,其研究方向是信息商品、信息市场、信息产业和信息经济;对应于信息文化的人文管理模式,其研究方向是信息政策和信息法律等。

从技术管理角度来看,人们除了利用信息科学的原理研究解决大系统的稳定性,网络结构的有序性和高速率传输中的各种问题外,主要是用情报学的理论方法研究高速信息网络特点的信息系统,信息媒介和利用方式。分析信息资源管理产生的技术背景,研究怎样运用信息技术改进信息管理,特别是信息技术的综合管理,危害管理,网络建设,新的信息系统和系统设计思想等,对于有效实施信息资源管理是十分重要的。传统信息技术管理系统转变为现代的信息收集整理系统、管理信息系统、决策支持系统和专家系统,将信息管理推向智能阶段。信息技术管理系统在质量和内容上的极大提高,使人们身处于一个无所不在的技术网络中,在经历了分散管理,系统管理之后,网络管理成为发展的主要趋势。网络革命使信息资源的共享,数字化,快速传递与检索达到前所未有的程度,但其负面影响也不可忽视。

从经济管理的角度来看,高速网络信息是一个巨大的社会经济系统,这个系统将计算机、信息资源网、信息生产者(提供者)、信息消费者(用户)融为一个有机的整体,从根本上改变了人类信息生产、分配、流通和利用的模式。引起整个信息产业革命,以高速网络信息为基础的信息活动具有与经济活动相同的特征、过程和媒介,因此有必要按照和遵循经济规律经济规律,运用经济杠杆,对网络信息活动进行良性引导。知识经济的资源配置是以智力、无形资产和软产品为第一要素,然而知识和信息不服从供求关系的原理,其纯粹的交换是不可能的;同时,由于信息价值的不确定性、信息使用价值的时效性和信息使用价值的实现需要一个过程等特点,决定了以信息技术和知识网络为基础的市场的独特机制,信息资源的经济管理和运作需要新的游戏规则。

从人文管理角度来看,人是信息活动和信息管理的主体,由人控制和满足人的信息需求是信息管理的永恒的核心问题。人们试图通过政策、法规、伦理道德的相互协调,将行政手段、法制手段和精神文明的力量结合起来,实现高速信息网络资源的规范化和有序化管理,形成有机体系和健康的网络文化,以保证高速信息网络有序运行。这些手段的综合运用改变了传统的单纯依靠技术的模式,解决了许多技术手段无力解决的问题,有助于克服网络迅速膨胀和无序扩张引发的种种弊端,创造均衡与有序的信息环境,并使技术发挥更大的效能。因此,对应于信息网络文化的人文管理模式,其研究方向是网络环境中的信息政策和信息法律等。人文管理把法治的力量、行政的力量和精神文明三种力量结合起来,为信息资源的有效开发和充分利用奠定必要的基础和前提,也是造就健康、和谐、理性的信息伦理乃至信息文化的必要条件。

五、网络信息资源管理的安全性

在新世纪全世界绝大多数计算机都将通过因特网联接到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的专门防御变成了一种无处不在的普通的防御。当人类步入21世纪这一网络信息社会的时候,需要建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有自己特色的网络安全体系。网络安全是一个很大的系统工程,也是网络信息资源管理不可缺少的一个方面,它致力于解决例如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。管理网络信息资源,保证整个网络系统的稳定性、安全性和信息流的高速传输需要信息技术做支撑,也需要技术支持。目前,应该加快研制各种安全系统和安全产品,主要是杀毒软件、防火墙、认证授权、加密技术等,以强化防范的手段和技术。网络信息安全是国家发展所面临的一个重要问题.对于这个问题,我们应该在系统规划的角度上去考虑它,从技术上、产业上、策上来发展它。我们不仅应该看到信息安全的发展是我国高科技产业的一部分,而且还应该看到它是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化和信息化的发展将起到至关重要的作用。

我们正走向信息经济与知识经济新时代,全球信息化数字化是新世纪最重要的特征。信息水平或信息能力的高低,越来越成为衡量某个国家发展水平的重要因素。一个国家是发达国家那么它必然是一个信息发达国家,反之亦然。信息控制论的创始人维纳指出:“如果一个国家的信息状态和科学状态能够满足可能提出的种种要求,那就有最大的安全”信息的重要性在于其价值的发挥,而这要靠信息资源管理来获取和提升。总之,互联网是信息爆炸的典范,丰富而繁杂的信息既给我们带来方便,又给我们带来麻烦。如何利用好网络这一信息时代的工具,是培养新一代人才亟待解决的问题。通过以上的分析,我们认为,只要对网络信息进行有效地组织与管理,甚至对其进行二次开发,互联网便会成为我们培养人才的重要手段和工具。

参考文献:

[1]柯平,高洁.信息管理概论[M].北京:科学出版社,2002.

[2]胡昌平.论我国科技信息资源的社会化开发与利用[J].情报理论与实践,1996,(5):26.

[3]钟守真,李月琳.信息资源管理含义探析[J].中国图书馆学报,2000,(1).

[4]高春玲.关于网络信息资源管理的思考.现代情报,2003,(12).

[5]邵波.用户接受:网络信息资源开发与利用的重要因素.中国图书馆学报,2004,(1).

网络资产安全管理篇6

关键词：计算机网络；安全管理；EAD

中图分类号：TP393.08

1安全管理体系结构及功能

1.1安全管理体系结构

网络安全是企业安全有效运行的保障，安全管理体系主要包括安全策略、安全运作、安全管理等。安全策略管理是企业网络安全运行的体系基础，有利于项目建设规范化管理和运行和安全工作的开展。安全基础设施系统主要有访问控制、桌面管理、认证管理、防垃圾系统、服务器监控与日志统一管理系统、漏洞扫描系统、服务器加固系统等。莱钢计算机网络整体架构图如图1所示。

1.2安全管理系统功能

安全管理系统的功能将所管辖的IP计算机信息根据分类登记，有利于其他安全管理模块进行数据连接和信息共享，并配备服务器和交换机加固工具，及时掌握网络中各个系统的最新安全风险动态，并及时的对服务器文件、进程、注册表等进行保护。安全监控系统是监控全网事件报警信息，对当前事件进行安全监督和实时监控，有利于企业网络安全运行和业务系统的安全性，监控的产品主要包括网络中的设备、日志相关信息、相关事件的报警信息等。

2网络系统安全体系的设计与实施

2.1身份认证系统设计分析

网络安全运维管理中心设置在信息中心，担负全网桌面安全管理，通过制定相关策略、委派安全角色，对全网数据进行统计分析和安全管理，并通过一系列的安全运行策略建立安全身份认证体系。莱钢统一身份认证系统架构图如图2所示。

RSASeucrID由认证服务器RSAACE/Server、软件RSAACE/Agent、认证设备以及认证应用编程接口（API）组成。RSAACE/Server软件是网络中的认证引擎，由安全管理员或网络管理员进行维护。

2.2计算机资产安全管理系统

计算机资产安全管理为莱钢的高层管理人员提供全网资源的多维度分析报表。信息中心成为莱钢的IT系统的“安全策略中心”、“安全管理中心”、“数据汇聚中心”和“报表总中心”。下设一级管理中心，分布在各分部，由总中心授权负责对分部人员权限管理和桌面系统管理，并具体实现对各终端桌面目录、桌面管理、软件分发、系统自动升级管理、信息安全和管理监控功能。软件分发工具大大提高了莱钢桌面计算机管理的自动化程度，提高管理效率。自动化的工作流程还可以避免人工操作带来的风险，使莱钢的桌面计算机上的资产得到更好的保护。通过软件分发机制，从桌面计算机标准化支撑平台将软件分发到指定的桌面计算机和支撑平台内部指定的服务器，消除对桌面计算机和服务器的访问等人为因素导致的错误。及时安装操作系统更新补丁，避免成为黑客和病毒的攻击对象。及时安装应用程序的补丁，减少安全隐患，增加应用程序稳定性和功能。对服务器系统的补丁需要经过评估对现有系统的影响，避免出现业务系统故障。服务器系统的补丁需要利用自动检测技术，通过人工的评估，再实现自动分发和手工安装。

2.3EAD端点准入防御体系

EAD安全准入主要是通过身份认证和安全策略检查的方式，对未通过身份认证或不符合安全策略的用户终端进行网络隔离，并帮助终端进行安全修复，以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。

2.4网络安全模型的设计

从网络安全、应用安全、管理安全的角度出发，设计归纳莱钢网络系统安全模型，主要包括：（1）网络架构防护：采用网络边界防毒、统一身份认证技术和针对于网络设备和网络服务器的漏洞扫描技术；（2）应用系统风险防护：采用的主要技术包括防病毒技术、服务器系统加固技术、计算机资产安全管理技术、补丁管理技术、主页防篡改技术、防垃圾邮件技术、灾难备份恢复技术及统一日志管理技术；（3）安全管理体系建立：通过对安全策略进行有效的和贯彻执行，可以规范项目建设、运行维护相关的安全内容，指导各种安全工作的开展和流程，确保IP网的安全；（4）集中管理、整合监控：对计算机系统进行综合集中管理，对日常的系统、网络、资产以及安全等日常运行能够拥有较为统一的管理入口，对系统网络可用性、资产有效性、安全防范诸多管理功能的组件进行事件级的整合、分析和响应。

3结束语

互联网已经深度渗透到各个领域，成为事关国家安全的基础设施和斗争，网络安全是保证各种应用系统数据安全的重要基础，必须加强和采取有效的预防措施，掌握网络资源状况及实用信息，可提高网络管理的效率。

参考文献：

[1]温贵江.基于数据包过滤技术的个人防火墙系统设计与研究[D].吉林大学，2010.

[2]衷奇.计算机网络信息安全及应对策略研究[D].南昌大学，2010.