前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)資產(chǎn)安全管理范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

網(wǎng)絡(luò)資產(chǎn)安全管理范文第1篇

隨著寬帶網(wǎng)絡(luò)和用戶(hù)規(guī)模的不斷增長(zhǎng)，用戶(hù)對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對(duì)電信運(yùn)營(yíng)商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說(shuō)信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過(guò)程，通過(guò)一系列的安全管理活動(dòng)來(lái)保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴(lài)性”、“可追溯性”和“真實(shí)性”等。

信息安全管理的本質(zhì)，可以看作是動(dòng)態(tài)地對(duì)信息安全風(fēng)險(xiǎn)的管理，即要實(shí)現(xiàn)對(duì)信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408－1（信息安全風(fēng)險(xiǎn)管理和評(píng)估規(guī)則），給出了一個(gè)非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型，如下圖一所示：

圖一信息安全風(fēng)險(xiǎn)管理模型

既然信息安全是一個(gè)管理過(guò)程，則對(duì)PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過(guò)程就是PLAN-DO-CHECK-ACT（計(jì)劃－實(shí)施與部署－監(jiān)控與評(píng)估－維護(hù)和改進(jìn)）的循環(huán)過(guò)程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況，建設(shè)適合于自身的ISMS信息安全管理體系，ISMS的構(gòu)建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內(nèi)定義信息安全策略、方針和指南

（3）對(duì)范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估

a)Planning（規(guī)劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風(fēng)險(xiǎn)分析）

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評(píng)估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點(diǎn)分析）

u資產(chǎn)/威脅/弱點(diǎn)的映射表

uImpact&LikelihoodAssessment（影響和可能性評(píng)估）

uRiskResultAnalysis（風(fēng)險(xiǎn)結(jié)果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護(hù)措施）

e)Monitoring&Implementation（監(jiān)控和實(shí)施）

f)Effectestimation（效果檢查與評(píng)估）

（4）實(shí)施和運(yùn)營(yíng)初步的ISMS體系

（5）對(duì)ISMS運(yùn)營(yíng)的過(guò)程和效果進(jìn)行監(jiān)控

（6）在運(yùn)營(yíng)中對(duì)ISMS進(jìn)行不斷優(yōu)化

3IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主要實(shí)踐步驟

目前，寬帶IP網(wǎng)絡(luò)所接入的客戶(hù)對(duì)網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來(lái)越高，且IP寬帶網(wǎng)絡(luò)及客戶(hù)所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營(yíng)者意識(shí)到有必要對(duì)IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理，以使得能夠動(dòng)態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險(xiǎn)。

由于網(wǎng)絡(luò)運(yùn)營(yíng)者目前對(duì)于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍，所以一般采用信息安全咨詢(xún)外包的方式來(lái)建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類(lèi)咨詢(xún)項(xiàng)目一般按照以下幾個(gè)階段，進(jìn)行項(xiàng)目實(shí)踐：

3.1項(xiàng)目準(zhǔn)備階段。

a)主要搜集和分析與項(xiàng)目相關(guān)的背景信息；

b)和客戶(hù)溝通并明確項(xiàng)目范圍、目標(biāo)與藍(lán)圖；

c)建議并明確項(xiàng)目成員組成和分工；

d)對(duì)項(xiàng)目約束條件和風(fēng)險(xiǎn)進(jìn)行聲明；

e)對(duì)客戶(hù)領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識(shí)、知識(shí)或工具培訓(xùn)；

f)匯報(bào)項(xiàng)目進(jìn)度計(jì)劃并獲得客戶(hù)領(lǐng)導(dǎo)批準(zhǔn)等。

3.2項(xiàng)目執(zhí)行階段。

a)在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分；

b)分安全域進(jìn)行資料搜集和訪談，包括用戶(hù)規(guī)模、用戶(hù)分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫(kù)配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過(guò)的安全事件信息等；

c)在各個(gè)安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評(píng)估表、風(fēng)險(xiǎn)評(píng)估表和風(fēng)險(xiǎn)關(guān)系映射表；

d)對(duì)存在的主要風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)等級(jí)綜合評(píng)價(jià)，并按照重要次序，給出相應(yīng)的防護(hù)措施選擇和風(fēng)險(xiǎn)處置建議。

3.3項(xiàng)目總結(jié)階段

a)項(xiàng)目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn)；

b)對(duì)項(xiàng)目資產(chǎn)鑒別報(bào)告、風(fēng)險(xiǎn)分析報(bào)告進(jìn)行審核和批準(zhǔn)；

c)對(duì)需要進(jìn)行的相關(guān)風(fēng)險(xiǎn)處置建議進(jìn)行項(xiàng)目安排；

4IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐要點(diǎn)分析

運(yùn)營(yíng)商IP寬帶網(wǎng)絡(luò)和常見(jiàn)的針對(duì)以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險(xiǎn)管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險(xiǎn)管理的方法和資料。在項(xiàng)目執(zhí)行的不同階段，需要特別注意以下要點(diǎn)：

4.1安全目標(biāo)

充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶(hù)的業(yè)務(wù)可用性和質(zhì)量。

4.2項(xiàng)目范疇

應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng)：如網(wǎng)管系統(tǒng)、AAA平臺(tái)、DNS等。

4.3項(xiàng)目成員

應(yīng)該得到運(yùn)營(yíng)商高層領(lǐng)導(dǎo)的明確支持，項(xiàng)目組長(zhǎng)應(yīng)該具備管理大型安全咨詢(xún)項(xiàng)目經(jīng)驗(yàn)的人承擔(dān)，且項(xiàng)目成員除了包含一些專(zhuān)業(yè)安全評(píng)估人員之外，還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開(kāi)發(fā)商”人員。

4.4背景信息搜集：

背景信息搜集之前，應(yīng)該對(duì)信息搜集對(duì)象進(jìn)行分組，即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含：

a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)

b)城域網(wǎng)結(jié)構(gòu)和配置

c)接入網(wǎng)結(jié)構(gòu)和配置

d)AAA平臺(tái)系統(tǒng)結(jié)構(gòu)和配置

e)DNS系統(tǒng)結(jié)構(gòu)和配置

f)相關(guān)主機(jī)和設(shè)備的軟硬件信息

g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口

h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲(chǔ)和安

全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關(guān)機(jī)房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關(guān)

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別，必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺(tái)、DNS平臺(tái)、網(wǎng)管系統(tǒng)等一級(jí)資產(chǎn)組；然后可以在一級(jí)資產(chǎn)組內(nèi)，按照功能或地域進(jìn)行劃分二級(jí)資產(chǎn)組，如AAA平臺(tái)一級(jí)資產(chǎn)組可以劃分為RADIUS組、DB組、計(jì)費(fèi)組、網(wǎng)絡(luò)通信設(shè)備組等二級(jí)資產(chǎn)組；進(jìn)一步可以針對(duì)各個(gè)二級(jí)資產(chǎn)組的每個(gè)設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別，鑒別其設(shè)備類(lèi)型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應(yīng)該具有針對(duì)性，即按照不同的資產(chǎn)組進(jìn)行針對(duì)性威脅分析。如針對(duì)IP城域網(wǎng)，其主要風(fēng)險(xiǎn)可能是：蠕蟲(chóng)、P2P、路由攻擊、路由設(shè)備入侵等；而對(duì)于DNS或AAA平臺(tái)，其主要風(fēng)險(xiǎn)可能包括：主機(jī)病毒、后門(mén)程序、應(yīng)用服務(wù)的DOS攻擊、主機(jī)入侵、數(shù)據(jù)庫(kù)攻擊、DNS釣魚(yú)等。

4.7威脅影響分析

是指對(duì)不同威脅其可能造成的危害進(jìn)行評(píng)定，作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運(yùn)營(yíng)商意見(jiàn)，尤其要充分考慮威脅發(fā)生后可能造成的社會(huì)影響和信譽(yù)影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率，其發(fā)生概率評(píng)定非常困難，所以一般情況下都應(yīng)該采用定性的分析方法，制定出一套評(píng)價(jià)規(guī)則，主要由運(yùn)營(yíng)商管理人員按照規(guī)則進(jìn)行評(píng)價(jià)。

網(wǎng)絡(luò)資產(chǎn)安全管理范文第2篇

關(guān)鍵詞：網(wǎng)絡(luò)安全；地面測(cè)發(fā)控

中圖分類(lèi)號(hào)：TP311

我國(guó)航天研制、發(fā)射任務(wù)日益增加，信息環(huán)境復(fù)雜、多樣，導(dǎo)致測(cè)發(fā)控信息暴露于越來(lái)越多、越來(lái)越廣的威脅和脆弱性當(dāng)中，測(cè)發(fā)控信息資產(chǎn)需要加以適應(yīng)的保護(hù)。同時(shí)，測(cè)發(fā)控網(wǎng)絡(luò)系統(tǒng)建立年代較早，其網(wǎng)絡(luò)安全性設(shè)計(jì)與意識(shí)遠(yuǎn)遠(yuǎn)落后。因此，保障網(wǎng)絡(luò)正常安全運(yùn)行并建立測(cè)發(fā)控網(wǎng)絡(luò)安全管理系統(tǒng)是測(cè)發(fā)控網(wǎng)絡(luò)的工作重點(diǎn)，加強(qiáng)網(wǎng)絡(luò)安全管理迫在眉睫。

1 測(cè)發(fā)控網(wǎng)絡(luò)安全現(xiàn)狀

目前，網(wǎng)絡(luò)安全防護(hù)采用“技術(shù)30%，管理70%”的布局，偏頗管理和加強(qiáng)人員網(wǎng)絡(luò)安全意識(shí)的效力，并且技術(shù)上僅通過(guò)采用殺毒軟件、防火墻以實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)，技術(shù)措施單一，缺乏解決深層次網(wǎng)絡(luò)安全問(wèn)題和威脅的能力?，F(xiàn)有測(cè)發(fā)控網(wǎng)絡(luò)安全圖如圖1所示。為此，從系統(tǒng)綜合整體的角度去看待、分析，在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)，組成并協(xié)調(diào)建立地面測(cè)發(fā)控網(wǎng)絡(luò)安全系統(tǒng)已事在必行。

2 新型網(wǎng)絡(luò)安全管理系統(tǒng)

2.1 新型網(wǎng)絡(luò)安全管理功能

測(cè)發(fā)控網(wǎng)絡(luò)安全的解決是一個(gè)綜合性問(wèn)題，涉及到諸多因素，包括技術(shù)、產(chǎn)品和管理等。進(jìn)行網(wǎng)絡(luò)安全體系建設(shè)，要綜合考慮、注重實(shí)效，在考慮網(wǎng)間安全、防火墻、病毒查殺、入侵檢測(cè)，甚至身份認(rèn)證等系統(tǒng)來(lái)解決有關(guān)外部黑客入侵、病毒困擾時(shí)，也要同時(shí)考慮來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的可信環(huán)境下的非授權(quán)網(wǎng)絡(luò)行為和授權(quán)濫用行為，才可能最大限度的構(gòu)建和諧、干凈的測(cè)發(fā)控網(wǎng)絡(luò)環(huán)境。測(cè)發(fā)控網(wǎng)絡(luò)安全管理系統(tǒng)主要實(shí)現(xiàn)以下功能：

（1）對(duì)測(cè)發(fā)控網(wǎng)絡(luò)分系統(tǒng)工作站進(jìn)行集中的安全保護(hù)、監(jiān)控、審計(jì)和管理；

（2）防范非法設(shè)備接入內(nèi)網(wǎng)，確保測(cè)發(fā)控網(wǎng)絡(luò)內(nèi)網(wǎng)安全；

（3）整體規(guī)劃測(cè)發(fā)控網(wǎng)絡(luò)與設(shè)備的網(wǎng)絡(luò)傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備；

（4）建立網(wǎng)間防護(hù)，保證各分系統(tǒng)與C3I、異地協(xié)同網(wǎng)絡(luò)之間的網(wǎng)間安全；

（5）安全隔離與信息交換與數(shù)據(jù)加密，保障測(cè)試數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中可靠完整；

（6）測(cè)發(fā)控網(wǎng)絡(luò)設(shè)備與工作站等資產(chǎn)的統(tǒng)一配置、監(jiān)控、預(yù)警、評(píng)估、響應(yīng)，策略、檢測(cè)、防護(hù)，實(shí)現(xiàn)安全資產(chǎn)和安全信息的歸一化等功能。

2.2 測(cè)發(fā)控網(wǎng)絡(luò)安全管理系統(tǒng)組成

立足現(xiàn)有測(cè)發(fā)控網(wǎng)絡(luò)現(xiàn)狀，結(jié)合遠(yuǎn)期異地協(xié)同規(guī)劃，測(cè)發(fā)控網(wǎng)絡(luò)安全管理確保在安全、可靠和保密的網(wǎng)絡(luò)環(huán)境下完成測(cè)試任務(wù)，幫助各分系統(tǒng)網(wǎng)絡(luò)設(shè)備使用統(tǒng)一優(yōu)化、規(guī)范管理，并在遠(yuǎn)期實(shí)現(xiàn)與北京總部的異地協(xié)同項(xiàng)目加強(qiáng)網(wǎng)間安全。

測(cè)發(fā)控網(wǎng)絡(luò)安全管理系統(tǒng)

（1）安全防護(hù)子系統(tǒng)。安全防護(hù)子系統(tǒng)可以對(duì)內(nèi)部終端計(jì)算機(jī)進(jìn)行集中的安全保護(hù)、監(jiān)控、審計(jì)和管理，可自動(dòng)向終端計(jì)算機(jī)分發(fā)系統(tǒng)補(bǔ)丁，禁止重要信息通過(guò)外設(shè)和端口泄漏，防止終端計(jì)算機(jī)非法外聯(lián)，防范非法設(shè)備接入內(nèi)網(wǎng)，有效地管理終端資產(chǎn)等。

安全防護(hù)子系統(tǒng)由客戶(hù)端模塊、服務(wù)器模塊、控制臺(tái)三部分組成。客戶(hù)端模塊對(duì)終端計(jì)算機(jī)進(jìn)行監(jiān)控，需要部署于每臺(tái)需要被管理的終端計(jì)算機(jī)上，用于收集數(shù)據(jù)信息，并執(zhí)行來(lái)自服務(wù)器模塊的指令。服務(wù)器模塊存儲(chǔ)終端安全策略、終端計(jì)算機(jī)信息、漏洞補(bǔ)丁數(shù)據(jù)等等，并由服務(wù)器向終端計(jì)算機(jī)客戶(hù)模塊發(fā)送指令。

（2）網(wǎng)間防護(hù)子系統(tǒng)。采用安全邊際技術(shù)，通過(guò)防火墻、防病毒墻、入侵防護(hù)等技術(shù)，整體規(guī)劃測(cè)發(fā)控網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，增加子網(wǎng)與網(wǎng)間安全，實(shí)時(shí)動(dòng)態(tài)保護(hù)技術(shù)以全面、有效地保護(hù)網(wǎng)絡(luò)不受侵害，使測(cè)發(fā)控網(wǎng)絡(luò)與異地協(xié)同網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)交換。

（3）數(shù)據(jù)加密子系統(tǒng)。通過(guò)安全隔離與信息交換與數(shù)據(jù)加密，保障數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中可靠完整，保護(hù)關(guān)鍵業(yè)務(wù)的機(jī)密數(shù)據(jù)安全，同時(shí)保障數(shù)據(jù)在傳輸過(guò)程中不被破壞和惡意竊取。網(wǎng)絡(luò)加密機(jī)制建立可信的安全連接，保證數(shù)據(jù)的安全傳輸，實(shí)現(xiàn)安全通信的虛擬專(zhuān)用線路，提供全面、可靠、安全和多層次的數(shù)據(jù)保護(hù)。

（4）管理配置子系統(tǒng)。以資產(chǎn)設(shè)備為中心，通過(guò)策略配置、設(shè)備監(jiān)控、審計(jì)預(yù)警、態(tài)勢(shì)評(píng)估、安全響應(yīng)的全流程管理，進(jìn)行安全資產(chǎn)和安全信息的歸一化處理、監(jiān)控、分析、審計(jì)、報(bào)警、響應(yīng)、存儲(chǔ)和報(bào)告等功能。管理配置子系統(tǒng)采用三層分布式體系結(jié)構(gòu)，主要由被管對(duì)象層、管理中心層、控制臺(tái)層組成。

3 結(jié)論

新型地面測(cè)發(fā)控網(wǎng)絡(luò)安全管理系統(tǒng)立足現(xiàn)有測(cè)發(fā)控網(wǎng)絡(luò)，解決現(xiàn)有病毒查殺費(fèi)時(shí)費(fèi)力、網(wǎng)絡(luò)設(shè)備與存儲(chǔ)介質(zhì)的管理失控、各分系統(tǒng)應(yīng)用軟件安裝不受控、IP地址更改隨意等現(xiàn)狀；結(jié)合異地協(xié)同項(xiàng)目，完善管理配置子系統(tǒng)網(wǎng)間防護(hù)子系統(tǒng)，統(tǒng)籌規(guī)劃各分系統(tǒng)子網(wǎng)與C3I之間的網(wǎng)絡(luò)架構(gòu)，消除網(wǎng)絡(luò)邊際隱患。同時(shí)，建立集中安全信息管理系統(tǒng)；加強(qiáng)應(yīng)用覆蓋范圍。

新型網(wǎng)絡(luò)安全管理系統(tǒng)以測(cè)發(fā)控網(wǎng)絡(luò)為基點(diǎn)，重新規(guī)劃、提高和完善測(cè)試環(huán)境，從軟件和硬件上采取控制措施以避免安全漏洞，提高測(cè)發(fā)控網(wǎng)絡(luò)安全水平，在測(cè)發(fā)控網(wǎng)絡(luò)中具有極為重要的意義。

參考文獻(xiàn)：

網(wǎng)絡(luò)資產(chǎn)安全管理范文第3篇

【 關(guān)鍵詞 】 互聯(lián)網(wǎng)；安全；防御；威脅

Key Measures of the "Internet +" Under the New Normal， Safe Operation of the Internet

Xiong Wei

（CPC Hunan Provincial Committee Party School HunanXiangtan 410006 ）

【 Abstract 】 With cloud computing， distributed computing， rapid development of mobile computing technology and improve the development of a new generation of computer technology gave birth to the "Internet +" era， to achieve widespread popularity of the Internet in industrial production， commerce， and virtual reality in and achieved remarkable results. "Internet +" era of many types of network applications， applications scale complex and require strict network security management system and preventive measures， in order to be able to improve network security defense capabilities to ensure the normal application of network security.

【 Keywords 】 internet； security； defense； threats

1 引言

目前，隨著新一代信息技術(shù)地發(fā)展和改進(jìn)，其催生了物聯(lián)網(wǎng)、社會(huì)計(jì)算、云計(jì)算、大數(shù)據(jù)、移動(dòng)計(jì)算等技術(shù)，進(jìn)而實(shí)現(xiàn)了網(wǎng)絡(luò)創(chuàng)新2.0，推動(dòng)了創(chuàng)新2.0的改革和演變，形成了體驗(yàn)實(shí)驗(yàn)區(qū)、個(gè)人創(chuàng)造實(shí)驗(yàn)室、應(yīng)用創(chuàng)新園區(qū)、維基模式等應(yīng)用系統(tǒng)的誕生，實(shí)現(xiàn)了傳統(tǒng)行業(yè)與互聯(lián)網(wǎng)融合發(fā)展，形成了“互聯(lián)網(wǎng)+”時(shí)代的新業(yè)態(tài)和新形態(tài)?！盎ヂ?lián)網(wǎng)+”時(shí)代促進(jìn)了各類(lèi)基于網(wǎng)絡(luò)的應(yīng)用系統(tǒng)誕生和普及，以云計(jì)算、物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)、大數(shù)據(jù)為代表的新一代信息技術(shù)與工業(yè)制造、生產(chǎn)服務(wù)、金融經(jīng)濟(jì)融合創(chuàng)新，打造了新的產(chǎn)業(yè)增長(zhǎng)點(diǎn)，為大眾創(chuàng)業(yè)、萬(wàn)眾創(chuàng)新提供了新的環(huán)境，支撐產(chǎn)業(yè)智能化、經(jīng)濟(jì)發(fā)展創(chuàng)新化發(fā)展。隨著人類(lèi)信息化社會(huì)進(jìn)入“互聯(lián)網(wǎng)+”時(shí)代，互聯(lián)網(wǎng)應(yīng)用規(guī)模迅速上升，復(fù)雜程度也大幅度增加，互聯(lián)網(wǎng)新常態(tài)下面臨了更多的安全威脅，具體表現(xiàn)在幾個(gè)方面。

（1）“互聯(lián)網(wǎng)+”時(shí)代安全威脅更加智能?！盎ヂ?lián)網(wǎng)+”時(shí)代的到來(lái)，促進(jìn)了網(wǎng)絡(luò)木馬、病毒和黑客攻擊技術(shù)的提升，導(dǎo)致網(wǎng)絡(luò)安全威脅日趨智能化，能夠發(fā)現(xiàn)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)存在的、更加隱蔽的風(fēng)險(xiǎn)和漏洞進(jìn)行攻擊。

（2）“互聯(lián)網(wǎng)+”時(shí)代安全威脅傳播范圍廣、速度快?！盎ヂ?lián)網(wǎng)+”時(shí)代，云計(jì)算技術(shù)、分布式計(jì)算技術(shù)、移動(dòng)計(jì)算技術(shù)使更多的網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)光纖網(wǎng)絡(luò)連接在一起，如果一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)存在漏洞被安全威脅攻擊，則將在更短的時(shí)間內(nèi)感染其他節(jié)點(diǎn)，產(chǎn)生更大的損失。

因此，為了能夠提高“互聯(lián)網(wǎng)+”時(shí)代網(wǎng)絡(luò)安全管理成效，需要?jiǎng)?chuàng)新網(wǎng)絡(luò)安全管理體系和模式，全方位實(shí)現(xiàn)網(wǎng)絡(luò)安全漏洞掃描和風(fēng)險(xiǎn)評(píng)估，對(duì)“互聯(lián)網(wǎng)+”安全管理涉及的節(jié)點(diǎn)資源進(jìn)行審計(jì)，采用主動(dòng)防御技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全管理，具有重要的作用和意義。

2 互聯(lián)網(wǎng)安全管理體系創(chuàng)新及其模式

2.1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估可以有效評(píng)估網(wǎng)絡(luò)軟硬件資源受到的威脅，以便能夠?qū)踩{控制在可接受的范圍內(nèi)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是確定計(jì)算機(jī)網(wǎng)絡(luò)中是否存在潛在威脅和攻擊事件的重要工具。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估包括五種基本要素，分別是資產(chǎn)、威脅、脆弱性、信息安全風(fēng)險(xiǎn)和安全措施。資產(chǎn)是指計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)使用的、有價(jià)值的固定設(shè)備、軟件系統(tǒng)等有形或無(wú)形的資產(chǎn)。威脅是指可能對(duì)資產(chǎn)造成損害的一些潛在的攻擊事件或非法事件，威脅可以使用主體、動(dòng)機(jī)、資源和途徑等多個(gè)屬性進(jìn)行聯(lián)合刻畫(huà)。脆弱性是指可能被威脅利用的薄弱環(huán)節(jié)或漏洞，其可以對(duì)資產(chǎn)造成損失。信息安全風(fēng)險(xiǎn)包括自熱因素造成的風(fēng)險(xiǎn)或人為因素造成的風(fēng)險(xiǎn)，能夠利用計(jì)算機(jī)軟硬件存在的漏洞攻擊計(jì)算機(jī)網(wǎng)絡(luò)，破壞網(wǎng)絡(luò)的安全性。安全措施是指為了能夠防御計(jì)算機(jī)信息系統(tǒng)遭到破壞，以便能夠采用入侵檢測(cè)、防火墻等具體的措施，保護(hù)資產(chǎn)安全，防御安全攻擊事件發(fā)生，并且能夠用來(lái)打擊犯罪，其包括各類(lèi)規(guī)范、防御技術(shù)等。

2.2 網(wǎng)絡(luò)安全審計(jì)

網(wǎng)絡(luò)安全審計(jì)可以通過(guò)數(shù)據(jù)采集、數(shù)據(jù)分析、安全審計(jì)響應(yīng)等過(guò)程，能夠獲取網(wǎng)絡(luò)操作系統(tǒng)的使用狀況和設(shè)備狀態(tài)信息，并且可以將采集到的數(shù)據(jù)進(jìn)行統(tǒng)一變換，實(shí)施預(yù)處理，接著使用數(shù)據(jù)分析技術(shù)，按照既定的安全審計(jì)規(guī)則，鑒別數(shù)據(jù)中存在的異常行為、非法行為。安全審計(jì)分析完成之后，可以根據(jù)安全審計(jì)的結(jié)果做出相關(guān)的響應(yīng)操作，安全審計(jì)響應(yīng)主要包括主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。安全審計(jì)系統(tǒng)檢測(cè)到網(wǎng)絡(luò)中存在的異常行為之后，安全審計(jì)系統(tǒng)不主動(dòng)做出響應(yīng)；安全審計(jì)系統(tǒng)通過(guò)發(fā)出異常檢測(cè)報(bào)警，可以通過(guò)告警彈窗、發(fā)送短消息、郵件等到管理員處，由其他人員或者安全設(shè)備采取預(yù)防或改進(jìn)措施。

2.3 網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)

傳統(tǒng)的網(wǎng)絡(luò)安全通常采用訪問(wèn)控制列表、防火墻、包過(guò)濾、入侵檢測(cè)等技術(shù)，雖然能夠阻止網(wǎng)絡(luò)木馬、病毒和黑客的攻擊。但是隨著“互聯(lián)網(wǎng)+”時(shí)代的到來(lái)，網(wǎng)絡(luò)安全威脅技術(shù)日趨智能，傳播速度越來(lái)越快，感染范圍也越來(lái)越廣泛，傳統(tǒng)網(wǎng)絡(luò)安全防御已經(jīng)無(wú)法滿足“互聯(lián)網(wǎng)+”時(shí)代網(wǎng)絡(luò)安全管理需求，因此在網(wǎng)絡(luò)安全管理過(guò)程中，可以采用網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)提高網(wǎng)絡(luò)安全管理能力。網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)主要包括預(yù)警、防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)和反擊六種，將這六種技術(shù)有機(jī)集成在一起，分布于網(wǎng)絡(luò)安全防御的不同層次，構(gòu)建深度防御體系，能夠及時(shí)地發(fā)現(xiàn)大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)中非法入侵信息和不正常數(shù)據(jù)，以便能夠及時(shí)地對(duì)攻擊行為進(jìn)行阻斷、反擊，恢復(fù)網(wǎng)絡(luò)至正常的運(yùn)行狀態(tài)。

3 互聯(lián)網(wǎng)安全運(yùn)營(yíng)的關(guān)鍵措施

3.1 管理措施

“互聯(lián)網(wǎng)+”時(shí)代，網(wǎng)絡(luò)應(yīng)用系統(tǒng)使用制度具有較為重要的作用，許多計(jì)算機(jī)網(wǎng)絡(luò)安全專(zhuān)家提出，網(wǎng)絡(luò)安全七分防御、三分管理，因此可以甚至網(wǎng)絡(luò)安全管理制度在安全管理過(guò)程中，具有不可替代的作用。網(wǎng)絡(luò)安全應(yīng)用用戶(hù)越來(lái)越多，網(wǎng)絡(luò)安全操作用戶(hù)大部分非計(jì)算機(jī)專(zhuān)業(yè)人才，因此需要建立健全管理制度，以便能夠規(guī)范網(wǎng)絡(luò)用戶(hù)操作，強(qiáng)化用戶(hù)網(wǎng)絡(luò)安全防御技術(shù)培訓(xùn)，定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全漏洞掃描和評(píng)估，并且制定網(wǎng)絡(luò)安全防御策略，使得網(wǎng)絡(luò)安全管理制度融入到工作、生活和學(xué)習(xí)過(guò)程中，通過(guò)學(xué)習(xí)、培訓(xùn)，提高用戶(hù)的安全意識(shí)，增強(qiáng)用戶(hù)的警覺(jué)性。

3.2 技術(shù)措施

網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)主要包括安全預(yù)警、安全保護(hù)、安全監(jiān)測(cè)、安全響應(yīng)、網(wǎng)絡(luò)恢復(fù)和網(wǎng)絡(luò)反攻擊等六種。網(wǎng)絡(luò)安全預(yù)警可以有效地對(duì)網(wǎng)絡(luò)中可能發(fā)生的攻擊進(jìn)行警告，包括漏洞預(yù)警、行為預(yù)警、攻擊趨勢(shì)預(yù)警等措施，預(yù)知網(wǎng)絡(luò)未來(lái)可能發(fā)生的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全保護(hù)可以采用多種手段，保護(hù)網(wǎng)絡(luò)安全系統(tǒng)的機(jī)密性、可用性、完整性、不可否認(rèn)性和可控性，網(wǎng)絡(luò)安全保護(hù)措施主要包括防病毒軟件、防火墻服務(wù)器、虛擬專(zhuān)用網(wǎng)等技術(shù)。網(wǎng)絡(luò)安全監(jiān)測(cè)的主要目的是能夠及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的攻擊信息，以便能夠檢測(cè)網(wǎng)絡(luò)中是否存在非法信息流，檢測(cè)網(wǎng)絡(luò)服務(wù)系統(tǒng)是否存在安全漏洞等，以便能夠?qū)崟r(shí)地應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊，網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)包括入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)安全掃描技術(shù)和網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù)。

網(wǎng)絡(luò)安全響應(yīng)能夠?qū)W(wǎng)絡(luò)中存在的病毒、木馬等安全威脅做出及時(shí)的反應(yīng)，以便進(jìn)一步阻止網(wǎng)絡(luò)攻擊，將網(wǎng)絡(luò)安全威脅阻斷或者引誘到其他的備用主機(jī)上。網(wǎng)絡(luò)恢復(fù)技術(shù)可以為了保證網(wǎng)絡(luò)受到攻擊之后，能夠及時(shí)地恢復(fù)系統(tǒng)，需要在平時(shí)做好備份工作，常用的備份技術(shù)包括現(xiàn)場(chǎng)外備份、現(xiàn)場(chǎng)內(nèi)備份和冷熱備份等。網(wǎng)絡(luò)安全反擊技術(shù)是主動(dòng)防御系統(tǒng)最為重要的特征之一，其可以對(duì)網(wǎng)絡(luò)攻擊源進(jìn)行有效的反擊，網(wǎng)絡(luò)安全反擊綜合采用各類(lèi)網(wǎng)絡(luò)攻擊手段，確保網(wǎng)絡(luò)高效服務(wù)用戶(hù)。

4 結(jié)束語(yǔ)

隨著“互聯(lián)網(wǎng)+”時(shí)代的到來(lái)，網(wǎng)絡(luò)安全攻擊技術(shù)更加智能、傳播速度更快、影響范圍更加廣泛，構(gòu)建和實(shí)現(xiàn)新的網(wǎng)絡(luò)安全管理系統(tǒng)，可以全方位實(shí)現(xiàn)網(wǎng)絡(luò)安全防御。

參考文獻(xiàn)

[1] 郭威，曾濤，劉偉霞.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與安全管理維護(hù)的研究[J]. 信息通信， 2014， 32（10）：164-164.

[2] 田紅廣.如何加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全管理和安全防范[J].軟件， 2014， 26（1）：92-93.

[3] 蔡艷.探討數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)信息安全管理中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2013， 21（10）：58-58.

網(wǎng)絡(luò)資產(chǎn)安全管理范文第4篇

IM和P2P淪為黑客攻擊管道

從終端來(lái)看，垃圾郵件，蠕蟲(chóng)病毒，間諜軟件，針對(duì)即時(shí)通訊和P2P應(yīng)用安全事件正成為終端安全隱患的主要來(lái)源。

FaceTime通訊公司最新的調(diào)查報(bào)告說(shuō)，微軟的MSN網(wǎng)絡(luò)仍然是被攻擊得最多的即時(shí)通訊網(wǎng)絡(luò)，2004年和2005年都是如此，而被攻擊數(shù)量下降得最快的網(wǎng)絡(luò)是美國(guó)在線的AIM 網(wǎng)絡(luò)。即時(shí)通訊威脅對(duì)于企業(yè)的IT人員來(lái)說(shuō)是一種非常大的挑戰(zhàn)，因?yàn)樗鼈兝昧藢?shí)時(shí)通訊的管道以及全球各地的即時(shí)通訊網(wǎng)絡(luò)進(jìn)行繁殖，它們的傳播速度比電子郵件攻擊快很多。

根據(jù)披露，2005年11月有一個(gè)國(guó)際黑客組織已經(jīng)利用即時(shí)通訊軟件病毒控制了1.7萬(wàn)臺(tái)個(gè)人電腦組成僵尸網(wǎng)絡(luò)為商業(yè)目的攻擊行為做準(zhǔn)備。

我們也已知道，即時(shí)消息和P2P 應(yīng)用在帶來(lái)方便性、實(shí)時(shí)性、新業(yè)務(wù)商機(jī)的同時(shí)，也給最終用戶(hù)、企業(yè)網(wǎng)絡(luò)和電信網(wǎng)絡(luò)帶來(lái)多方位的安全威脅。通常來(lái)說(shuō)，這些安全威脅包括：邊界安全措施失效；難以控制文件數(shù)據(jù)的共享和流動(dòng)，帶來(lái)病毒、木馬、蠕蟲(chóng)等；容易導(dǎo)致知識(shí)產(chǎn)權(quán)損失、泄密等；由于大量使用非標(biāo)準(zhǔn)、不公開(kāi)協(xié)議，使用動(dòng)態(tài)、隨即、非固定的端口；難以檢測(cè)、過(guò)濾和管理；隱藏于HTTP管道中的各種潛在的隱秘通道。

我們也可以看到在復(fù)雜的網(wǎng)絡(luò)環(huán)境下一些有代表性的P2P網(wǎng)絡(luò)安全產(chǎn)品，提供基于包過(guò)濾特性提供針對(duì)P2P傳輸?shù)姆雷o(hù)，在保障安全的同時(shí)還可阻止并記錄國(guó)際上幾乎所有的P2P封殺機(jī)構(gòu)(如RIAA、MPAA、MediaForce、BaySTP、NetPD等等)對(duì)計(jì)算機(jī)進(jìn)行探測(cè)連接，從而避免隱私外泄，可以自動(dòng)下載最新的屏蔽列表來(lái)屏蔽各種廣告、間諜軟件及研究機(jī)構(gòu)對(duì)機(jī)器的掃描。

目前業(yè)界一些致力于IM/P2P的專(zhuān)業(yè)廠商也推出了針對(duì)保護(hù)用戶(hù)免受IM與P2P的安全威脅，將檢測(cè)和分析通過(guò)IM傳播的病毒與蠕蟲(chóng)、通過(guò)IM發(fā)送的垃圾郵件“SPIM”、惡意代碼等的整體方案。

針對(duì)IM的安全管理，比如IM監(jiān)控，P2P的監(jiān)控等，正在成為網(wǎng)關(guān)級(jí)防御，針對(duì)IM和P2P，垃圾郵件監(jiān)控、管理和控制等等需求和話題正在不斷催生出相關(guān)應(yīng)用的針對(duì)性安全解決方案。

UTM：潮流趨勢(shì)所至

在企業(yè)級(jí)領(lǐng)域，由于信息基礎(chǔ)設(shè)施的不斷增加和應(yīng)用的不斷擴(kuò)展，企業(yè)公共出口的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的布局已經(jīng)發(fā)展到一定階段，隨著縱深防御概念逐漸深入，威脅已經(jīng)從外部轉(zhuǎn)向內(nèi)部。從產(chǎn)品來(lái)看，UTM（一體化的威脅管理）正在成為新的增長(zhǎng)點(diǎn)。在混合攻擊肆虐的時(shí)代，單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要，而對(duì)于集成多種安全功能的UTM設(shè)備來(lái)說(shuō)，以其基于應(yīng)用協(xié)議層防御、超低誤報(bào)率檢測(cè)、高可靠高性能平臺(tái)、統(tǒng)一組件化管理的優(yōu)勢(shì)將得到越來(lái)越多的青睞。

由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備，因此UTM設(shè)備本身的性能和可靠性要求非常高，同時(shí)，UTM時(shí)代的產(chǎn)品形態(tài)，實(shí)際上是結(jié)合了原有的多種產(chǎn)品、技術(shù)精華，在統(tǒng)一的產(chǎn)品管理平臺(tái)下，集成防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、防拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體，實(shí)現(xiàn)多種的防御功能。

鑒此，安全廠商與網(wǎng)絡(luò)廠商合作，共同開(kāi)發(fā)和研制UTM設(shè)備將是今后發(fā)展的必然趨勢(shì)。

威脅由外轉(zhuǎn)內(nèi)

對(duì)于內(nèi)網(wǎng)安全，已經(jīng)進(jìn)入到內(nèi)網(wǎng)合規(guī)性管理的階段。目前，內(nèi)網(wǎng)安全的需求有兩大趨勢(shì)，一是終端的合規(guī)性管理，即終端安全策略、文件策略和系統(tǒng)補(bǔ)丁的統(tǒng)一管理；二是內(nèi)網(wǎng)的業(yè)務(wù)行為審計(jì)，即從傳統(tǒng)的安全審計(jì)或網(wǎng)絡(luò)審計(jì)，向?qū)I(yè)務(wù)行為審計(jì)的發(fā)展，這兩個(gè)方面都是非常重要的。

從現(xiàn)狀來(lái)看，根據(jù)美國(guó)洋基集團(tuán)（Yankee Group）一項(xiàng)針對(duì)北美和西歐六百家公司的調(diào)查顯示，2005年的安全問(wèn)題有六成源自?xún)?nèi)部，高于前一年的四成。該集團(tuán)表示：“威脅已從外部轉(zhuǎn)向內(nèi)部”。每年企業(yè)界動(dòng)輒投資上千萬(wàn)防毒防黑，但企業(yè)防御失效的另一個(gè)容易被忽略的問(wèn)題是：來(lái)自員工、廠商或其它合法使用系統(tǒng)者的內(nèi)部濫用。在漏洞攻擊愈來(lái)愈快速的今日，有可能因?yàn)橐粋€(gè)訪客攜入的計(jì)算機(jī)而癱瘓幾千萬(wàn)IT設(shè)備。

中小企業(yè)面臨的三大安全威脅是病毒攻擊、垃圾郵件、網(wǎng)絡(luò)攻擊，因而有很多廠商推出了針對(duì)中小企業(yè)的集成式套裝產(chǎn)品。對(duì)內(nèi)網(wǎng)終端設(shè)備的管理，通過(guò)基于網(wǎng)絡(luò)的控制臺(tái)使管理員能夠從產(chǎn)品分發(fā)、運(yùn)行監(jiān)控、組件升級(jí)、配置修改、統(tǒng)一殺毒、應(yīng)急響應(yīng)等全過(guò)程，實(shí)施集中式的管理，強(qiáng)制部署的安全策略，有助于避免企業(yè)用戶(hù)無(wú)心過(guò)錯(cuò)導(dǎo)致的安全漏洞。而新型病毒與黑客技術(shù)結(jié)合得越來(lái)越緊密，與此相對(duì)應(yīng)，防病毒軟件與防火墻、IDS等技術(shù)配合得越來(lái)越緊密。只有多種技術(shù)相互補(bǔ)充配合，才可以有效對(duì)付混合威脅。

大型企業(yè)有一定的信息化基礎(chǔ)，對(duì)于內(nèi)網(wǎng)安全來(lái)說(shuō)，企業(yè)用戶(hù)需要實(shí)施整體的安全管理策略。 內(nèi)網(wǎng)安全管理系統(tǒng)需要將安全網(wǎng)管、內(nèi)網(wǎng)審計(jì)與內(nèi)網(wǎng)監(jiān)控有機(jī)地結(jié)合在一起，以解決企業(yè)內(nèi)部專(zhuān)用網(wǎng)絡(luò)的安全管理、安全控制和行為監(jiān)視為目標(biāo)，采用主動(dòng)的安全管理和安全控制的方式。將內(nèi)部網(wǎng)絡(luò)的安全隱患以技術(shù)的手段進(jìn)行有效的控制，全面保護(hù)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)。運(yùn)用多種技術(shù)手段，從源頭上阻止了敏感信息泄漏事件的發(fā)生。

對(duì)于大型企業(yè)來(lái)說(shuō)，選用的產(chǎn)品需要能夠自動(dòng)發(fā)現(xiàn)關(guān)鍵業(yè)務(wù)資產(chǎn)，并確定威脅企業(yè)IT環(huán)境完整性的安全漏洞。通過(guò)采集實(shí)時(shí)的技術(shù)庫(kù)，并且將它們與基于風(fēng)險(xiǎn)的任務(wù)列表（帶有補(bǔ)救指導(dǎo)）中已驗(yàn)證的漏洞相關(guān)聯(lián)，并且?guī)椭髽I(yè)確定哪些漏洞將影響哪些資產(chǎn)。最終為企業(yè)提供一份即時(shí)的關(guān)于關(guān)鍵性業(yè)務(wù)資產(chǎn)的風(fēng)險(xiǎn)評(píng)估。對(duì)于企業(yè)內(nèi)網(wǎng)來(lái)說(shuō)，行之有效的安全管理是各種規(guī)模企業(yè)所企盼的，固若金湯的城池，往往在內(nèi)部安全威脅面前形同虛設(shè)。“內(nèi)憂”勝于“外患”，企業(yè)不僅需要鑄造抵抗外部風(fēng)險(xiǎn)的縱深防御體系，同樣需要著重管理，打造安全和諧的內(nèi)部環(huán)境。

網(wǎng)絡(luò)資產(chǎn)安全管理范文第5篇

【關(guān)鍵詞】安全評(píng)估 私網(wǎng)評(píng)估 閉環(huán)管理

中圖分類(lèi)號(hào)：TP317.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-1010（2016）18-0062-05

1 背景研究

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)安全事件的逐年增加，手工加輔助工具方式的傳統(tǒng)主機(jī)風(fēng)險(xiǎn)評(píng)估系統(tǒng)雖然目前運(yùn)用得較廣泛，但是這種半自動(dòng)的方式工作效率不高且操作麻煩，在這種情況下，實(shí)現(xiàn)自動(dòng)化的安全評(píng)估系統(tǒng)成為亟待解決的重要問(wèn)題[1-2]。同時(shí)，隨著中國(guó)電信安全評(píng)估檢查工作的不斷深化開(kāi)展，越來(lái)越多的業(yè)務(wù)平臺(tái)納入到安全評(píng)估的檢查范圍，而各業(yè)務(wù)平臺(tái)普遍存在私網(wǎng)資產(chǎn)，針對(duì)這些私網(wǎng)資產(chǎn)的安全評(píng)估檢查工作對(duì)于運(yùn)維人員來(lái)說(shuō)是一個(gè)很大的難題[3]。

1.1 問(wèn)題分析

在當(dāng)前的電信網(wǎng)絡(luò)實(shí)際運(yùn)行環(huán)境中，開(kāi)展安全評(píng)估工作主要存在以下方面的問(wèn)題[4]：

（1）待檢查的設(shè)備數(shù)量多，需要人工參與的評(píng)估工作量太大，耗費(fèi)大量的人力資源；

（2）安全運(yùn)維流程零散雜亂，無(wú)電子化的安全運(yùn)維流程；

（3）系統(tǒng)評(píng)估過(guò)程中使用的工具多，需要將各安全評(píng)估系統(tǒng)臨時(shí)接入到各個(gè)數(shù)據(jù)業(yè)務(wù)系統(tǒng)中進(jìn)行掃描或采用臨時(shí)打通通路的方式，這種安全評(píng)估方式要在日常維護(hù)中定期頻繁的實(shí)施基本上不可行[5]；

（4）缺乏統(tǒng)一安全現(xiàn)狀呈現(xiàn)，對(duì)于設(shè)備安全信息現(xiàn)狀和系統(tǒng)整體安全情況只是體現(xiàn)在定期報(bào)告中，無(wú)安全現(xiàn)狀的實(shí)時(shí)呈現(xiàn)[6]。

1.2 解決思路

山東電信前期已建成SOC（Security Operation Center，安全運(yùn)營(yíng)中心）網(wǎng)絡(luò)安全管理平臺(tái)，它是一個(gè)統(tǒng)一的安全管理中心，協(xié)調(diào)包括安全評(píng)估子系統(tǒng)、異常流量監(jiān)控子系統(tǒng)、攻擊溯源子系統(tǒng)等眾多第三方安全子系統(tǒng)在內(nèi)的聯(lián)動(dòng)工作。因此，在SOC平臺(tái)中嵌入一鍵式安全掃描評(píng)估閉環(huán)模塊，從安全運(yùn)維的實(shí)際需求出發(fā)，為管理、運(yùn)維、監(jiān)控人員提供統(tǒng)一的安全自評(píng)估平臺(tái)，全面實(shí)現(xiàn)安全評(píng)估自動(dòng)化、日?；?、全面化和集中化。通過(guò)提高安全評(píng)估工作效率，實(shí)現(xiàn)安全工作融入日常工作，將各種評(píng)估手段結(jié)合起來(lái)以實(shí)現(xiàn)全面評(píng)估，同時(shí)進(jìn)行集中化的分析匯總與呈現(xiàn)[7]。

2 技術(shù)方案設(shè)計(jì)

2.1 設(shè)計(jì)目標(biāo)

以SOC網(wǎng)絡(luò)安全管理平臺(tái)為中樞，建立統(tǒng)一的安全評(píng)估管理流程，分別面向監(jiān)控、維護(hù)及管理人員，提供集中化統(tǒng)一的安全評(píng)估界面，全面助力一鍵式自助安全評(píng)估工作落地。

2.2 技術(shù)方案

（1）評(píng)估閉環(huán)管理模型

如圖1所示，一鍵式自助安全掃描評(píng)估以安全風(fēng)險(xiǎn)管理為核心，通過(guò)SOC安全管理平臺(tái)集中化管理，實(shí)現(xiàn)對(duì)安全資產(chǎn)的自動(dòng)化掃描評(píng)估，從而達(dá)到對(duì)安全風(fēng)險(xiǎn)的全面管控，并且與電子運(yùn)維工單系統(tǒng)對(duì)接，將評(píng)估結(jié)果和整改建議通過(guò)工單系統(tǒng)通知到相應(yīng)的維護(hù)責(zé)任人，及時(shí)對(duì)安全漏洞進(jìn)行整改處置，對(duì)于暫時(shí)無(wú)法整改的漏洞需在SOC平臺(tái)進(jìn)行備案說(shuō)明[8]。

通過(guò)一鍵式自助安全掃描評(píng)估，配置不同的任務(wù)策略和模板，實(shí)現(xiàn)以安全資產(chǎn)或業(yè)務(wù)系統(tǒng)兩種不同維度的任務(wù)自動(dòng)下發(fā)，并對(duì)掃描評(píng)估結(jié)果進(jìn)行統(tǒng)一管理與備案。通過(guò)“發(fā)現(xiàn)-掃描-評(píng)估-整改-復(fù)查”的閉環(huán)評(píng)估法則[9]，能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)中的未知安全資產(chǎn)，全面掃描安全資產(chǎn)漏洞，清晰定性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并給出修復(fù)建議和預(yù)防措施，同時(shí)將漏洞整改流程固化到系統(tǒng)中，從而在自動(dòng)化安全評(píng)估的基礎(chǔ)上實(shí)現(xiàn)安全自主掌控[10]。

（2）私網(wǎng)安全評(píng)估技術(shù)

針對(duì)防火墻NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）后的私網(wǎng)資產(chǎn)無(wú)法通過(guò)網(wǎng)絡(luò)直接進(jìn)行訪問(wèn)，導(dǎo)致遠(yuǎn)程安全評(píng)估無(wú)法有效開(kāi)展的技術(shù)難題，通過(guò)部署安全私網(wǎng)評(píng)估，建立L2TP（Layer 2 Tunneling Protocol，第二層通道協(xié)議）安全隧道，遠(yuǎn)程實(shí)現(xiàn)對(duì)私網(wǎng)資產(chǎn)的安全掃描。

私網(wǎng)安全評(píng)估架構(gòu)如圖2所示。其中，針對(duì)私網(wǎng)設(shè)備無(wú)法實(shí)現(xiàn)自動(dòng)掃描的問(wèn)題，利用部署在私網(wǎng)平臺(tái)的機(jī)，由機(jī)與集中平臺(tái)（SOC平臺(tái)）建立通訊通道，通過(guò)公網(wǎng)穿透打通集中平臺(tái)（SOC平臺(tái)）與私網(wǎng)資產(chǎn)的網(wǎng)絡(luò)層可達(dá)性。機(jī)接收集中平臺(tái)（SOC平臺(tái)）控制機(jī)下發(fā)的安全評(píng)估指令并轉(zhuǎn)發(fā)私網(wǎng)資產(chǎn)；私網(wǎng)資產(chǎn)將安全指令反饋數(shù)據(jù)返回給機(jī)；機(jī)上報(bào)安全評(píng)估指令結(jié)果給集中平臺(tái)（SOC平臺(tái)）控制機(jī)進(jìn)行備案。整個(gè)過(guò)程采用心跳機(jī)制進(jìn)行保活。

的角色分為：

SOC平臺(tái)公共（Public Proxy）：部署于中心SOC平臺(tái)內(nèi)網(wǎng)，與安全評(píng)估子系統(tǒng)同一個(gè)子網(wǎng)IP網(wǎng)段；

業(yè)務(wù)平臺(tái)分布式本地（Local Proxy）：直接通過(guò)私網(wǎng)日志采集改造，與業(yè)務(wù)平臺(tái)NAT不可達(dá)資產(chǎn)都是內(nèi)網(wǎng)網(wǎng)段。

的作用如下：

隧道協(xié)商與建立：各業(yè)務(wù)平臺(tái)分布式本地主動(dòng)向中心SOC平臺(tái)的外網(wǎng)防火墻進(jìn)行L2TP隧道協(xié)商，協(xié)商成功后建立起Hub-and-Spoke的L2TP隧道；

數(shù)據(jù)流通過(guò)隧道Push推送與交互：對(duì)于安全評(píng)估子系統(tǒng)內(nèi)掃描工具發(fā)起的掃描流量，先到達(dá)SOC平臺(tái)公共，由公共將掃描流量封裝進(jìn)已建立好的L2TP隧道，并轉(zhuǎn)發(fā)給業(yè)務(wù)平臺(tái)分布式本地，本地收到流量后進(jìn)行隧道解封，還原內(nèi)層原始IP包頭，將原始掃描流量送到NAT不可達(dá)資產(chǎn)上。

通過(guò)該方法可有效解決防火墻NAT后不可達(dá)資產(chǎn)的自動(dòng)化安全風(fēng)險(xiǎn)評(píng)估問(wèn)題，且不改變現(xiàn)網(wǎng)的組網(wǎng)架構(gòu)，業(yè)務(wù)配置變動(dòng)實(shí)現(xiàn)零配置。通過(guò)分布在各業(yè)務(wù)平臺(tái)的本地與中心SOC平臺(tái)的公共進(jìn)行隧道連接，并通過(guò)公共與本地之間的交互，實(shí)現(xiàn)掃描流量的轉(zhuǎn)發(fā)[11]。

（3）掃描器聯(lián)動(dòng)調(diào)度

一鍵式安全掃描評(píng)估依托于SOC安全管理平臺(tái)，由SOC平臺(tái)與眾多第三方安全掃描子系統(tǒng)聯(lián)動(dòng)進(jìn)行掃描，可根據(jù)實(shí)際應(yīng)用情況進(jìn)行相應(yīng)的接口擴(kuò)展。通過(guò)與安全評(píng)估子系統(tǒng)聯(lián)動(dòng)的高耦合度，實(shí)現(xiàn)日常安全評(píng)估工作的任務(wù)自動(dòng)化。

SOC平臺(tái)掃描器聯(lián)動(dòng)調(diào)度流程如圖3所示。

SOC平臺(tái)調(diào)度分為直連掃描調(diào)度和私網(wǎng)掃描調(diào)度，具體如下：

直連掃描調(diào)度是指掃描器與被掃描設(shè)備之間網(wǎng)絡(luò)可達(dá)，直接通過(guò)SOC平臺(tái)調(diào)度程序向掃描器發(fā)起資產(chǎn)掃描請(qǐng)求，掃描器在掃描完成后再向SOC平臺(tái)反饋掃描結(jié)果；

私網(wǎng)掃描調(diào)度是指掃描器與被掃描設(shè)備之間網(wǎng)絡(luò)不可達(dá)，需要借助私網(wǎng)評(píng)估的VPN（Virtual Private Network，虛擬專(zhuān)用網(wǎng)絡(luò)）隧道建立連接打通網(wǎng)絡(luò)后，通過(guò)公共和本地間IP掃描報(bào)文的傳遞，把掃描器的IP掃描請(qǐng)求報(bào)文發(fā)送到私網(wǎng)內(nèi)的被掃描資產(chǎn)，同時(shí)把掃描結(jié)果應(yīng)答傳遞回掃描器，最后再由掃描器將結(jié)果反饋到SOC平臺(tái)集中展現(xiàn)。

具體步驟如下：

步驟1：通過(guò)SOC的安全評(píng)估任務(wù)計(jì)劃模塊，在計(jì)劃任務(wù)配置時(shí)設(shè)定掃描資產(chǎn)的私網(wǎng)IP地址段與相關(guān)聯(lián)的本地IP地址（本地的IP地址即通過(guò)L2TP建立隧道后撥號(hào)獲得的唯一地址），通過(guò)掃描資產(chǎn)+相關(guān)聯(lián)的本地對(duì)，解決私網(wǎng)網(wǎng)段地址重疊問(wèn)題；

步驟2：可通過(guò)預(yù)先將掃描工具的網(wǎng)關(guān)配置為公共地址，在任務(wù)執(zhí)行時(shí)將掃描工具的流量牽引到公共上來(lái)；

步驟3：公共的網(wǎng)卡設(shè)為混雜模式，捕獲到該掃描工具的掃描流量，通過(guò)已建立好的L2TP隧道，封裝報(bào)文后通過(guò)L2TP隧道轉(zhuǎn)發(fā)給本地；

步驟4：本地將L2TP隧道報(bào)頭拆除，露出內(nèi)層的原始掃描報(bào)文，并將內(nèi)層掃描報(bào)文的源IP地址修改為本地IP，同時(shí)在map映射表中記錄下這一映射關(guān)系，之后將掃描報(bào)文轉(zhuǎn)發(fā)給被掃描的最終資產(chǎn)；

步驟5：最終資產(chǎn)收到掃描報(bào)文后，根據(jù)掃描的內(nèi)容進(jìn)行響應(yīng)，將結(jié)果回包給本地；

步驟6：本地收到最終資產(chǎn)的掃描結(jié)果回包，命中map映射表的映射關(guān)系，將報(bào)文的目的IP地址還原為掃描工具的IP地址，并封裝報(bào)文通過(guò)L2TP隧道返回給公共；

步驟7：公共收到此報(bào)文后將L2TP隧道報(bào)頭拆除，露出內(nèi)層的原始掃描結(jié)果返回報(bào)文，并轉(zhuǎn)發(fā)給掃描工具進(jìn)行結(jié)果分析；

步驟8：掃描工具得到掃描結(jié)果報(bào)文進(jìn)行分析，將分析結(jié)果上傳到SOC平臺(tái)進(jìn)行結(jié)果備案。

3 現(xiàn)網(wǎng)測(cè)試效果

利用“一鍵自助安全評(píng)估功能模塊”節(jié)省了以往人工安全掃描、基線檢查的大量時(shí)間，并縮短了評(píng)估周期，極大地提高了安全評(píng)估工作效率。下面是以部門(mén)安全管理員的角色執(zhí)行一次安全巡檢、調(diào)度整改的閉環(huán)使用過(guò)程。

3.1 添加掃描評(píng)估任務(wù)

在“掃描任務(wù)管理”菜單下新增掃描評(píng)估任務(wù)，按系統(tǒng)提示步驟依次輸入掃描周期、掃描方式、掃描設(shè)備和掃描范圍等信息，完成任務(wù)的添加，如圖4所示。

3.2 掃描評(píng)估任務(wù)執(zhí)行

任務(wù)添加完成后，系統(tǒng)會(huì)根據(jù)任務(wù)周期定時(shí)開(kāi)始執(zhí)行掃描任務(wù)，任務(wù)執(zhí)行過(guò)程中可通過(guò)任務(wù)狀態(tài)查看任務(wù)是否執(zhí)行結(jié)束，如圖5所示。

3.3 評(píng)估任務(wù)結(jié)果查看

任務(wù)執(zhí)行完成后，在漏洞結(jié)果管理中可查看到每個(gè)資產(chǎn)需要整改的漏洞信息，雙擊一條漏洞記錄可查看到該漏洞的詳細(xì)信息，包括漏洞名稱(chēng)、漏洞CVE（Common Vulnerabilities & Exposures，公共漏洞和暴露）編號(hào)、漏洞描述、漏洞解決方案等，并且還能查看到該漏洞每次掃描的歷史狀態(tài)信息，如圖6所示。

3.4 漏洞整改與備案

部門(mén)管理員根據(jù)漏洞的解決方案對(duì)相應(yīng)的資產(chǎn)進(jìn)行漏洞整改，整改完成后需要在系統(tǒng)上填寫(xiě)漏洞整改說(shuō)明，完成漏洞的整改備案，如圖7所示。

4 結(jié)束語(yǔ)

本文通過(guò)研究部署并實(shí)現(xiàn)一鍵式自助安全評(píng)估，可極大地提高安全評(píng)估的效率，從而提升應(yīng)對(duì)威脅的響應(yīng)速度。在傳統(tǒng)評(píng)估方式下，完成一套業(yè)務(wù)平臺(tái)全方位的安全評(píng)估平均時(shí)長(zhǎng)是8小時(shí)，通過(guò)一鍵式自助安全評(píng)估項(xiàng)目的實(shí)施，完成同樣平臺(tái)的安全評(píng)估僅需要1小時(shí)，大大減少了人力成本的投入。同時(shí)，通過(guò)一鍵式自助安全評(píng)估將日常安全評(píng)估工作作為一個(gè)周期性的工作流程固化到統(tǒng)一安全管理平臺(tái)中，有針對(duì)性地對(duì)存在風(fēng)險(xiǎn)的資產(chǎn)進(jìn)行定制化的安全評(píng)估工作，能夠進(jìn)一步提高評(píng)估工作的準(zhǔn)確性，從而推動(dòng)并實(shí)現(xiàn)安全評(píng)估的自動(dòng)化、日常化、全面化和集中化。

參考文獻(xiàn)：

[1] 汪玉凱. 信息安全是國(guó)家安全的當(dāng)務(wù)之急[J]. 中國(guó)報(bào)道， 2014（122）： 2.

[2] 國(guó)家互聯(lián)網(wǎng)應(yīng)急中心. CNCERT互聯(lián)網(wǎng)安全威脅報(bào)告[R]. 2014.

[3] IP網(wǎng)絡(luò)安全技術(shù)編寫(xiě)組. IP網(wǎng)絡(luò)安全技術(shù)[M]. 北京： 人民郵電出版社， 2008.

[4] 李蔚. 業(yè)務(wù)安全評(píng)估初探[J]. 信息安全與通信保密， 2012（8）： 113-115.

[5] 陳濤，高鵬，杜雪濤，等. 運(yùn)營(yíng)商業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估方法研究[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化， 2013（11）： 71-75.

[6] 曹永剛. 電信運(yùn)營(yíng)商業(yè)務(wù)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估及防范措施探討[J]. 電信網(wǎng)技術(shù)， 2012（2）： 41-44.

[7] 何國(guó)鋒. 電信運(yùn)營(yíng)商在大數(shù)據(jù)時(shí)代的信息安全挑戰(zhàn)和機(jī)遇探析[J]. 互聯(lián)網(wǎng)天地， 2014（11）： 55-58.

[8] 岳榮，李洪. 探討移動(dòng)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)及端到端的業(yè)務(wù)安全評(píng)估[J]. 電信科學(xué)， 2013（8）： 74-79.

[9] 周鳴，常霞. 電信移動(dòng)業(yè)務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估和安全防護(hù)[J]. 信息網(wǎng)絡(luò)安全， 2013（10）： 14-16.