关于网络安全防护系统框架的分析.pdf
《关于网络安全防护系统框架的分析.pdf》由会员分享,可在线阅读,更多相关《关于网络安全防护系统框架的分析.pdf(4页珍藏版)》请在咨信网上搜索。
1、C o m m u n i c a t i o n&I n f o r m a t i o n T e c h n o l o g y N o.4.2 0 2 3通信与信息技术2 0 2 3 年第4 期(总第2 6 4 期)关于网络安全防护系统框架的分析高伟,唐薇中通服咨询设计研究院有限公司,江苏南京2 1 0 0 1 9摘 要:主要介绍电力企业网络安全防护系统的优化策略,包括推进技术研发利用、强化管理机制构建、注重人才培养力度,以提升网络安全防护系统框架结构建设的有效性和安全性。经过试验分析与总结,系统具有高效、安全等优越性。关键词:网路安全;防护;网络安全防护系统中图分类号:T P 3 0
2、 2.1文献标识码:A文章编号:1 6 7 2-0 1 6 4(2 0 2 3)0 4-0 0 5 0-0 4设置网络安全防护系统框架结构至关重要。通过发挥网络建设技术、安全保障技术等优势,既促进系统高效率的运行,又提升设备质量安全,全面防范以信息资源为主的非法访问、窃取等不良攻击事件,最大化地保障数据资产的安全。1 网络安全防护系统框架设计1.1 安全计算环境依据信息安全保护等级指南指出,边界内部称为安全计算环境,一般是运用局域网衔接各种设备节点,形成一个庞大复杂的计算环境,如网络设备、安全设备、服务器设备、终端设备、应用系统等;对此安全控制上,应设置“一个中心、三重防御”的体系(见图1),
3、涉及到的安全控制要点也比较多样,如访问控制、安全审计、可信验证、数据备份与恢复等。安全计算环境网络安全测评网络全局性测评设备/系统类测评图1 安全计算环境思维导图1.2 安全通信网络安全通信网络主要对象有广域网、城域网、局域网,涉及到通信传输、网络架构和可信验证 2 。网络架构:明确整个网络资源分布,以及网络架构的安全性和合理性,推进各种技术功能正常应用。通信传输:通信传输过程中,设置不同等级的保护对象,为避免数据信息的恶意泄露(或篡改),应增强网络传输的完整性、可用性及保密性,既要提升各类安全计算环境的通信安全,又要侧重单一性的不同区域之间的通信安全。可信验证:对于通信设备的可信验证,打破传
4、统设计及保存形式,若是基于硬件,可增添一些预装软件,调配系统程序及配置参数,还要进行完整性的试验(或检测),确保设备的正常使用及安全性。1.3 安全区域边界安全区域边界针对网络边界明确提出安全控制要求,对象主要有系统边界和区域边界,控制点有边界防护、访问控制;通常检查步骤及程序如下:事先检查网络拓扑图与实际的网络链路是否一致,了解网络边界及设备端口情况。检测路由配置悉心、区域边界设备配置信息,以及查看网络端口是否进行跨越边界的网络通信,比如,对于C i s c o l I O S,经过输入“r o u t e r t s h o w r u n n i n g-c o n f i g”,以此来
5、检验和查看有关的设备及配置。充分利用技术核查所有端口的受控性,确保良好的通信环境,比如检测无线访问情况,灵活谁用相关工具加以检测,如无线嗅探器、无线信号检测系统等,测评对象有网络链路、设备物理端口、配置信息等。1.4 安全管理中心依照网络安全等级保护,安全管理中心可分为技术类和管理类,前者有安全物理环境、安全通信网络、安全区域边界等,后者有安全管理制度、安全管理机构、安全建建管理及安全运维管理等(见图2)。收稿日期:2 0 2 2 年1 2 月1 4 日;修回日期:2 0 2 3 年6 月1 9 日5 0行业观察关于网络安全防护系统框架的分析阿络安全等级保护基本要求技术要求管理要求宽金物思环鼻
6、端探基计金吏晶出指随俗阅更金营通制上图2 网络安全等级保护基本要求2 网路安全防护系统框架实现研究2.1 创建零信任机制零信任安全原理为所有访问请求都被可信代理拦截,实施强制访问控制,访问权限由动态访问控制引擎进行实时判定,身份分析系统进行持续的信任评估生成信任库,基于身份及权限管理系统对身份和权限进行管理 3 。根据零信任安全架构原理,以身份为关键和核心,动态访问控制过场,包括业务安全访问、持续性风险评估和动态访问控制;期间技术组建是访问主体和访问客体之间的中介,使主客体业务、数据访问更加安全可靠(见图3)。以电力系统为研究对象,针对当前移动终端安全接入现状,打造一个立体保护系统(见图4),
7、形成一个闭环数据安全传输。其中,接入端是该系统的重要组成部分,移动终端是远程接入的主体,内部应用及安全性,直接决定到数据传输过程。若是终端设备安全策略不足,会引发技术漏洞及病毒,极易被随意攻击;一旦访问终端缺少身份验证和权限管理,就会破坏、滥用整个网络资源,对此应结合实际情况,强化对该模型的网络安全防护措施。安全访同平台图3 零信任访问架构K I 证书服务系统书发行证认证证加密群安全模地安全救件C S 接入W C D A 接入L E 接入证就安全审核较集种系较B M S 系统O A 系统笔体N B _ O T 接入aA/崔电表安全技入用关系统P 系统安全县安全通治层安全接入层图4 某电力系统安
8、全防系统框架结构业务接入层2.2 完善接入策略(1)安全终端层运用数字证书、安全U S B K E Y/P C M C I A 等,增进系统安全性能,将加密芯片改造智能终端和数据采集。智能终端中嵌入数据证书,绑定A P N,灵活运用安全S I M 卡(特殊加密算法)保持接入平台通信良好田。(2)安全通道层为有效规避数据在整个传输中被随意窃听、篡改、盗取等,应在智能终端和安全接入网络之间创建通信安全传输路径,关于该网络通信传输路径,既要运用专用路线创建服务网络,如G P R S、A P N、W C D-M A 等,也要依据S S L 加密安全协议,形成一个安全通信道,增加对传输数据的双重保护。(
9、3)安全接入平台层安全接入平台层中,具有安全接入网关、集中监控系统,安全审核方面,应做好及时接收各种访问请求,在技术媒介下,将所有移动终端的访问请求,及时传输到业务访问层。关于集中监控系统;应明确监督和管理层面的接入终端;认知系统控制认证终端;安全审查系统则是侧重内部网络访问(负责记录和审查行为);各系统强强联合,实现安全防护的可控性和可操作性。其中,业务接入层及时相应和处理安全访问平台层的所有访问请求,为外部应用程序(带有数据)提供技术支持,实现电力应用的业务处理。此外,P K I 证书服务系统集管理、存储、分发等多种功能于一身,也为授权管理、访问控制等安全机制提供基础保障。2.3 终端安全
10、接入控制电力终端安全接入控制方面,严格实施终端安全接入实验过程,将S I M 卡、T I 卡用以存储,如密钥、数字证书等,运用身份证管理系统来操作身份验证和授权合作;安全卡的使用经过专业的加密算法,将该套加密算法经一些硬件设备集成到卡上,达到信息加密通信的目标。为进一步保障数据传输安全性,构建连接网络终端和接入网关的安全通道。该安全通道建立的过程,主要具有以下操作步骤:(1)无线终端向平台发送请问请求,终端与平台根据各种协议版本、算法类型、密钥等,构建相应的加密通道。(2)终端设置登录身份验证,配备加密的个人身份信息,经过认证系统和P K I 证书服务系统,以此分析和识别终端信息;监控系统发挥
11、功能作用下,若是身份验证未能通过,直接发出预警提醒,无法建立连接,身份验证后启动接下来的程序 5 。(3)终端安全检查将检查的数据信息传输到安全接入网关,运用认证系统,明确终端访问功能需求;终端以硬件为媒介,将所有业务请求上传到平台。(4)安全接入网关第一时间内将终端数据包加以解密,满足电力企业的业务访问及功能应用,审核系统跟踪和记录5 1通信与信息技术2 0 2 3 年第4 期(总第2 6 4 期)数据操作;应用系统将业务返回请求的再次与安全接入网关衔接,层层加密后,传入到终端;期间终端运用加密设施设备对数据加以解密,根据相应算法,确保整个接入过程的高效执行间。从操作过程可以看出,监测软件对
12、终端接入实现全过程、全方位的监测,在监测界面中,既能监测在线终端数量,也能对内部系统(E M S、E R P、O A)应用分析和记录各种行为(如请求、相应等)。2.4 动态授权管控网络安全防护系统的动态授权管控,包括动态纵深防御体系、监控及预警病毒系统、安全集中管理平台。(1)动态纵深防御体系:包括防护墙、入侵防护系统和网络控制三级防护。防护墙根据I P 地址、端口、方向等,筛选和处理数据,为服务器提供基础的安全保障;网络安全是一个动态的过程,入侵防护系统精准响应各类安全事件,达到立体化防护;网络控制具有内容过滤、病毒扫描、文件类型等,避免敏感数据信息的外泄(或是外网攻击)。(2)监控及预警病
13、毒系统:电力系统搭建网络安全防护系统的“三级控管”的基础架构,提升防病毒系统的有效性,经过层层监督和指导,技术部门形成一套直接建立接口机制,大幅缩减和控制相应时间。(3)安全集中管理平台:集中管理平台以网管系统为关键和核心,将远端设施设备经过状态监视、事件分析等,统筹规划和管理,动态监测和掌握电力运行现状,使得能够对电力运行网络实施全局把控间。网络安全防护系统最优资源配置包括成熟产品选型、制定运行及控制标准、系统测试及实施等。电力企业在服务区域部署1 台I D P 设备,该系统运用天融信N G F W 4 0 0 0 系列千兆防火墙,浅兆光口、百兆以太口、C o n s o l e 管理口分别
14、有5个、1 个和1 个,整机吞吐量超出6 G b p s,最大并发连接数大于2 2 0 万,具有端口映射、包过滤规则添加等,双机热备H A,硬件B y p a s s 功能,I P S 性能大于1.2 G b p s。业务服务器接入主机安全审计监控系统,运用北信源主机监控审计与补丁分发系统,全程监控和精细化管理服务器及P C 终端,还对阀值及时预警,借助于网络平台软件,播报短信报警功能;以趋势网络版防病毒系统(支持2 0 0 0 0 个节点),下发策略和生成报表,抵御和方法全网病毒爆发。经过配置和部署软硬件设备,真正做到以安全服务为基础,强化安全集中管理措施,达到内外网格系统对安全设施设备的综
15、合监管切。3 相关优化建议及策略3.1 推进技术研发利用关于计算机网络安全,离不开对技术的研发利用,对此应规范计算机网络安全技术体系,如入侵预防技术、防火墙技术、数据备份和恢复等。在计算机的普及应用下,应高度重视安全防控,及时纠正和处理潜在的安全隐患,强化网络安全防控意识,充分运用技术与管理相结合的手段。结合网络安全防护系统的运行情况,还要有效运用安全风险矩阵标准和风险评估工具,构建一套完整的信息安全风险管控P D C A 模型。其中,每个信息系统都是有生命周期的,应严格遵循网络安全“三同步”原则,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 关于 网络安全 防护 系统 框架 分析
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。