安全管理系统工作平台(精选12篇)
安全管理系统工作平台 第1篇
关键词:网络安全,管理,平台
1 网络安全主要需研究的内容
1.1 网络安全体系
组建计算机网络的目的是为处理各类信息的计算机系统提供良好的通信平台。网络安全体系的研究内容主要包括网络安全模型、可信计算系统、网络安全风险分析与评估、网络安全管理等方面。根据对网络安全威胁的分析, 确定需要保护的网络资产, 通过对网络资源攻击者、攻击目的与手段, 以及所造成后果的分析, 提出网络安全模型, 设计网络安全整体解决方案, 研发网络安全产品。网络安全体系研究的另一项内容是网络安全管理, 其中重要的是网络系统的安全评估标准与评估方法, 以便制订网络安全措施。
1.2 系统平台安全
系统平台的安全研究主要涉及网络的物理安全、安全操作系统等。操作系统安全包括常用操作系统的安全性及其配置使用, 数据灾难备份与恢复以及数据库系统的安全等。
1.3 网络攻击与安全防护
互联网的基础是TCP/IP协议, 网络互联设备和具有联网能力的操作系统。TCP/IP协议体系存在着许多先天性的设计漏洞, 即使到最新版本仍然如此。也有一些漏洞与互联网的开放特性有关, 可以说是补无可补。如果不知道如何攻击, 再好的防御也经不住考验;若没有一定的防护能力和措施, 不仅会影响。网络稳定运行和用户的正常使用, 造成重大经济损失, 而且合成胁到社会安全。网络安全攻防技术不仅涉及到网络攻击与入侵技术, 重要的是网络安全防护, 其内容涉及到防火墙技术、入侵检测技术、防病毒技术、恶意代码防范与应急响应, 以及网络安全审计与计算机取证技术等。
1.4 密码技术应用
密码学不仅可以为数据提供机密性方法, 还可以用于数据报文的完整性、不可否认性以及身份认证。在多数情况下, 数据加密是保证数据机密性的唯一方法。一个加密网络, 不但可以防止非授权用户的搭线窃听和入侵, 而且也是防范恶意代码的有效方法之一。
1.5 网络安全应用
网络安全应用研究的内容比较宽泛, 主要包括网络层安全、虚拟专用网、安全电子邮件与web安全技术等。
2 网络安管平台体系结构的构成
对于该网络管理平台在安全方面的管理使用的是JAVA来开发平台, 该平台的结构体系主要包括的是以下三个方面。
(1) 安全管理控制台
网络安全管理的界面之所以采取了B/S的管理方式, 是因为非常的便于操作, 管理人员可以通过普通的客户端浏览器就能够实现对安全管理系统管理、控制、监督运行状态的工作, 例如必要的查询、事件警告以及策略从制定到发布还有形影的应急处置等都能够通过这个安全管理平台来实现, 对于管理员的执勤维护方面的工作效率有了很大的提高。
(2) 服务器
安管平台中的服务器大多数是运用由XML开发集成研制的多模块管理系统, 其中它可以为每一个功能模块提供用户辨析和通讯等较为基础的服务, 有效的实现了安管系统在主机、事件分析和策略管理以及风险分析与预测几大功能模块的安全管理工作, 从而保障网络安全管理平台能够实行全面监督运行状态的工作。
(3) 代理
管理程序——安全管理设备以及主机代理都在被系统主管理的设备上运行, 其中大多数的代理都类似于:基类Agent把一些工作、程序等“遗传”代理Agent。然后再实现把被管理对象的信息收集并传给服务系的工作, 另一方面, 或者由代理去完成服务器发出对被管理设备发出的命令。此外, 服务器和代理之间还通过多种途径进行“沟通”“联系”, 例如Snmp安全通讯协议和Telnet安全通讯协议。
3 网管平台关键技术的设计与实现
3.1 安全识别功能
为了能够让网络的安全得到有效的保障, 基本上采用了类似于分身认证、密码管理甚至是指纹识别等技术。这主要是通过利用运行机制联动互操作来实现的, 是一个使用各个安全管理平台的优势作用相互联合, 然后实现联动操作, 从根本上摆脱一台电脑必须配备多个网络安全产品。此外, 结构清晰、操作便捷简单是客户的追求目标, 而这也是网络安全管理产品在设计研发的时候必须要考虑到的问题。在网管的平台设计里, XMI被视为数据结构在转化过程中能够有效并且彻底的解决客户端和服务器两者内在数据转化的关键技术, 巧妙的避免了两者存在一致性与理解性的问题。XML还具有高度的灵活性与课拓展性, 它能够从自身的优势出发, 对各种各样的信息数据进行处理然后把他们整合到一起。
3.2 联动互操作功能的设计
所谓的联动互操作是运用相关科技手段把防火墙、安全管家等安全设备所要监管模块的运行状况和日志等信息反馈到最终服务器上, 然后再由服务器对汇总过来的信息进行处理分类, 接着把处理的措施办法给各个安全产品去执行, 最后完成查木马, 补漏洞, 补丁升级的工作。具体的工作流程如下:
第一, 采集相关信息并给予及时处理。安全产品在扫描的过程中会充分执行其代理的身份, 把产品的运行状态、流量的总体统计、每次扫面的事件和日记等信息如实汇报给服务器, 服务器再根据数据的类型做处理。若是遇到病毒或者出现故障之时, 代理就会立刻把最新采集到的信息汇报给服务器, 电脑服务器此时会根据代理提供的最新信息进行初级的整理。
第二, 对威胁做出分析、下决策。网络中的威胁形态各异、大小不同、危害程度也各有千秋, 所以服务器再做出反馈时有必要对威胁跟踪调查、并与过往的所形成的数据库做信息对比形成一定的报告后再做出威胁等级的判定。进而才反馈到桌面给管理人员处理威胁作为参考依据;当然在形成安全决策的同时, 有服务器“抄送”一份新的安全报告策略给数据库, 以便数据库及时更新最新数据资料。
第三, 根据安全报告做出最后的联动控制和相应。根据“统筹兼备”的管理战略, 对所有的安全产品集中到一起管控, 有效的协调各产品的功能, 每一个分模块对威胁的跟踪以及扫描监控等工作, 让他们在运行自己特有的优势功能时, 还能相互的联系共同保护多媒体的网络安全。
3.3 善于使用钩子技术
我们都知道Windows这个系统是通过信息数据的传递来实现的, 而钩子则被视为Windows一个直接与系统接触的重要接口。它能够及时的截取并且处理递交给其他任何程序的所有消息, 这是其他普通程序无法媲美的重要功能。使用了钩子技术后, 能够使在文件共享的所用信息数据自行根据内核间互斥这个变量来快速实现数据库建立的策略共享区域达到同步的效果, 此外, 还能发出执行令给代理去完成读取操作日志的指示。总之, 钩子技术能够实现许许多多特殊却又有积极意义的功能。所以, 无论是高级编程人员还是中级、初级编程人员, 学好并且掌握购机技术都是非常有必要的。
4 结语
和网络安全管理相关的问题已经成为当下安全工作研究领域的讨论焦点, 如何构建一个良好的管理平台, 保障网络环境正常而有序的运行, 已经成为目前亟待的重要问题, 而这未来网络的安全、发展与否会直接影响到人民群众的利益。
参考文献
[1]范宝锋.统一网络安全管理平台技术研究[D].四川大学, 2005.
[2]孙诵波.网络安全管理平台的设计与实现[D].中国地质大学 (北京) , 2007.
安全管理系统工作平台 第2篇
一、安全技术管理
(一)建筑施工现场使用悬挑式卸料平台。严禁不搭设卸料平台而直接将物料放在脚手架上吊装,严禁将钢管作为悬挑式卸料平台的支撑系统,严禁搭设简易悬挑式卸料平台与脚手架相连接。
(二)悬挑式卸料平台在搭设(安装)之前,应由建筑施工企业专业工程技术人员编制安全专项施工方案和操作规程,方案应对卸料平台的结构稳定性进行计算,对悬挑卸料平台悬挑梁与建筑物的结构连接、卸料平台钢丝绳与结构的连接等关键部位绘制施工节点大样详图。安全专项施工方案必须经施工企业技术部门的专业技术人员及监理单位专业监理工程师进行审核与审查,经审核合格并由施工企业技术负责人、监理单位总监理工程师签字批准后方准实施。土建施工单位应严格按照节点大样图的要求做好预埋和预留工作。
二、搭设(安装)安全管理
(一)卸料平台在搭设(安装)之前,搭设方案的编制者必须参加对搭设人员的安全技术交底,履行好交接底签字手续。搭设人员必须是经过培训、考核合格取得上岗证的专业架子工。
(二)卸料平台搭设(安装)人员必须严格按照专项施工方案和操作规程进行搭设。搭设过程中,施工单位必须指定专人进行监护,监理公司派人员到现场旁站监督,发现违章操作和事故隐患及时给予制止和纠正。
(三)卸料平台搭设(安装)完毕,必须经施工技术人员、专职安全管理人员、专业监理工程师进行验收,符合设计要求,并签署意见,办理验收手续后方可投入使用。在检查验收中如发现不符合设计或规范规定的,应立即落实整改。对检查验收的结果及整改情况,应按实记录,并由验收人员签名留档保存。
(四)卸料平台悬挑结构的安装、斜拉钢丝绳的固定及预埋件的施工验收应单独进行,悬挑结构预埋件的验收应作为隐蔽工程进行验收,验收表和验收单要作为安全资料经监理单位确认归档。
(五)卸料平台验收合格后,应在架体醒目处悬挂验收合格牌和限载标志牌。
三、使用管理
(一)卸料平台投入使用后,现场相关负责人、专职安全员要定期组织检查,发现安全隐患要及时整改,并将整改情况进行登记、存档。
(二)卸料平台使用过程中,任何人不得随意拆除、破坏连墙件、立杆、防护栏杆、钢丝绳等杆件和设施。
(三)严禁超载,吊运物料时,禁止长料夹短料,对穿入钢管一端的顶托必须拔出,单独装入吊篮内吊运。
(四)工人在平台上作业中,应注意自我安全保护和他人的安全,避免发生碰撞、闪失和落物。严禁在平台上戏闹和坐在栏杆上等不安全处休息。
(五)每班工人上平台作业时,应先行检查有无影响安全作业的问题存在,在排除和解决后方许开始作业。在作业中发现有不安全的情况和迹象时,应立即停止作业进行检查,解决以后才能恢复正常作业。
(六)平台上作业时应注意随时清理落到平台上的材料,不得超载堆放物料,不得让物料在平台上放置停留超过2小时。
四、监督管理
安全管理系统工作平台 第3篇
随着财政信息化建设的不断推进,财政业务系统日益增多,信息网络日渐庞大。大部分财政部门都建立了预算执行、非税收入、建设资金管理、办公自动化等10多套应用系统。这些业务系统彼此之间各自相对独立,数据分散。使用多个业务系统的用户需要频繁地在不同系统间来回切换、登录,既降低了工作效率,又缺乏统一的安全管理,容易产生严重的安全漏洞。目前存在的主要问题有:
(1)缺乏安全可靠的用户身份认证。由于财政信息系统的数据具有较高的保密要求,目前我局信息系统基本是采用用户名/口令的身份认证方式,一方面安全性较低,另一方面无法在传输前确认信息收发双方身份的真实性和可靠性,无法满足对身份认证的高可靠性要求。
(2)缺乏统一的用户身份认证及单点登录平台。出于安全考虑,每个用户使用不同业务系统分别使用不同密码,且每个密码可能会不定期更换,以防止被破解。一方面,用户记忆和保管如此繁多复杂的密码非常麻烦,另一方面,对于经常发生的用户权限变更和密码丢失事件,更是需要系统管理员耗费大量时间处理。
(3)缺乏集中统一的用户信息管理和资源访问授权机制。各业务系统内用户信息和权限管理机制各自为政、复杂凌乱,管理员无法集中管理用户信息和访问权限,维护效率低下。
(4)缺乏完善的安全审计机制。涉及资金流转的业务系统需要对数据库访问日志进行记录和审计,以保证出现问题时能通过对日志记录的查询、分析及相关审计操作追踪到问题的根源所在。
为了切实解决上述问题,迫切需要部署一套可靠、高效的安全管理平台,以提高财政信息网络和电子政务应用的安全,有效保障财政资金的“安全、高效、协调”运行。
设计目标
通过分阶段部署,最终实现集中账号(Accounting)管理、统一认证(Authentication)管理、集中授权(Authorization)管理以及集中安全审计(Audit)管理——即4A平台的构建。
(1)一次登录,所有登录:实现多系统、多数据库的单点登录。
(2)采用数字证书认证方式,提供集中身份认证功能,实现可靠的用户统一身份认证。构建信息加密通道,确保信息传输的安全。
(3)实现用户信息与后台各应用系统的自动同步和集中的用户权限管理。对用户权限进行粗粒度控制,实现到角色级别的访问控制。
(4)全面、准确的日志审计,审计结果可以多种图表形式展现。
(5)支持所有的业务系统、平台,且对原有系统的改动尽可能少,并对日后新系统的加入有较好地扩展性。
系统总体设计
根据建设目标,我局采用了国富安GFA SSO产品为基础的4A安全平台解决方案。GFA SSO产品由智能口令、SSO门户、WEB过滤器、认证服务器、授权服务器组成,实现信息系统单点登录、统一认证、用户信息和权限与应用系统同步和管理等功能。
(1)智能口令程序安装在每一台需要SSO服务的客户机上,系统以服务的形式运行,帮助用户自动完成对B/S、C/S系统的登录过程。智能口令程序向认证服务器核对用户信息,认证成功后返回结果。用户仅需要登录智能口令软件一次,就可实现对已授权资源的任意访问。
(2)SSO门户主要是对B/S结构的应用系统进行单点登录支持。用户在访问应用系统时,首先登录门户系统,由门户签发票据完成身份识别解析。
(3)Web过滤器是通过Web服务器内部的过滤器机制实现SSO功能的一种方式。过滤器能够对系统访问进行安全性检查,判断用户登录状态,完成用户访问信息的审计,对关键敏感资源的访问提供必要的保护。
(4)认证服务器为单点登录门户系统和智能口令客户端提供用户身份认证支持。认证通过后为用户签发用户信息票据,作为系统识别用户的标识。同时支持帐号同步功能,可方便的将各业务系统中的帐号信息同步到单点登录数据库系统中。
(5)授权管理服务器主要对GFA SSO产品进行以WEB方式进行的系统管理,包括对用户主帐号的设立、用户主帐号与系统从帐号间的对应、用户权限分配等。
4A安全管理平台主要包括四个子系统模块:认证服务、权限管理、安全审计和用户信息管理。系统总体结构如图1所示。
1、 认证服务子系统
认证服务子系统提供用户身份认证的相关功能,其功能模块结构图如图2所示。
2、权限管理子系统
权限管理子系统采用基于角色的访问控制方法实现用户与访问权限的逻辑分离,对用户使用信息系统资源的具体情况进行合理分配,实现不同用户对系统不同资源的访问控制,以改善现有应用系统因角色众多且权限各不相同而带来的用户使用复杂度较高、系统安全管理难度大等难题。
权限管理子系统的功能模块如图3所示。
3、安全审计子系统
安全审计系统提供全面、集中的安全审计功能,能及时发现非法登录和非法操作,对非法登录和非法操作快速分析、定位和响应,实现系统内部的集中安全审计功能,包括安全审计自动响应、安全审计数据生成及安全审计浏览三个方面。系统功能模块如图4所示。
其中日志记录模块完成对身份认证、权限管理、账号管理的日志进行记录;审计分析模块完成对日志记录进行审计和分析,并对非法操作及异常情况发送警报;审计报告模块可随时捕获和查看有关用户的重要访问信息和统计信息;系统管理模块负责对安全审计子系统进行管理和维护。
4、用户信息管理子系统
用户信息管理子系统主要对所有用户信息和登录会话信息进行统一保存管理,包括所有关于用户、组、资源、应用、登录参数和访问控制规则等信息。
总之,4A安全管理平台系统的主要优点是:
(1)一次登录即可安全访问所有有权访问的信息系统。
(2)基于数字证书的身份认证,可确保用户身份的安全。
(3)根据用户身份信息,自动完成各系統的权限分配。
(4)全面、精确地记录日志,可按日期、地址、用户、资源等信息对日志进行查询、统计和分析。
(5)与用户采用的数字证书无缝集成,具有标准性、安全性、稳定性、可扩展性高的特点。
(6)系统维护管理快速、高效,安全度大大增强。
我们通过部署4A安全管理平台,将所有用户信息都集中到安全管理中心,由安全管理中心自动完成复杂的身份验证与权限分配过程,实现统一环境的单点登录。用户摆脱了过去记忆复杂密码的烦恼,同时可以有效解决身份识别、权限控制、安全审计和单点登录等安全访问问题,我局信息系统的整体安全水平得到大幅提高。该系统的实施经验对加强各政府部门及企业的信息系统的安全高效管理都具有借鉴意义。
启明星辰泰和安全管理平台 第4篇
作为当前国内安全管理平台市场的领头羊, 启明星辰泰和SOC系统是一个以IT资产为基础, 以业务信息系统为核心, 以客户体验为指引, 从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台, 使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化, 最终实现业务信息系统的持续安全运营。借助泰和SOC系统, 用户可以将日常安全管理工作由无序变为有序、化复杂为简单, 全面提升网络安全管理能力, 帮助企业从局部安全提升为全局安全、从单点防御提升为协同防御、从模糊管理提升为量化管理。
泰和SOC系统基于开放式的软件平台设计架构, 由多个功能模块组成, 用户可以自由选择搭配, 后续还能够无缝升级。图3为系统的总体架构图。
产品功能
系统的主要功能包括以下几点。
1. 面向业务的统一安全管理
系统内置业务建模工具, 用户可以构建业务拓扑, 反映业务支撑系统的资产构成, 并自动构建业务健康指标体系, 从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度计算业务的健康度, 协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。
2. 全面的日志采集
可以通过多种方式来收集设备和业务系统的日志, 例如Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、Web Service等。
3. 智能化安全事件关联分析
借助先进的智能事件关联分析引擎, 系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。
4. 全面的脆弱性管理
系统实现与天镜漏扫、网御漏扫和绿盟漏扫系统的实时高效联动, 内置安全配置核查功能, 从技术和管理两个维度进行全面的资产和业务脆弱性管控。
5. 主动化的预警管理
用户可以通过预警管理功能发布内部及外部的早期预警信息, 并与网络中的IP资产进行关联, 分析出可能受影响的资产, 提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。
6. 主动化的网络威胁情报利用
系统提供主动化的威胁情报采集, 通过采集实时威胁情报, 结合规则关联和观察列表等分析方式, 使安全管理人员及时发现已发现的外部攻击源的威胁。
7. 基于风险矩阵的量化安全风险评估
系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安全风险管理, 以及OWASP威胁建模项目中风险计算模型的要求, 设计了一套实用化的风险计算模型, 实现了量化的安全风险估算和评估。
8. 指标化宏观态势感知
针对系统收集到的海量安全事件, 系统借助地址熵分析、热点分析、威胁态势分析、KPI分析等数据挖掘技术, 帮助管理员从宏观层面把握整体安全态势, 对重大威胁进行识别、定位、预测和跟踪。
9. 多样的安全响应管理
系统具备完善的响应管理功能, 能够根据用户设定的各种触发条件, 通过多种方式 (例如邮件、短信、声音、SNMP Trap、即时消息、工单等) 通知用户, 并触发响应处理流程, 直至跟踪到问题处理完毕, 从而实现安全事件的闭环管理。
1 0. 丰富灵活的报表报告
系统内置了丰富的报表模板, 包括统计报表、明细报表、综合审计报告, 审计人员可以根据需要生成不同的报表。
1 1. 流安全分析
除了采集各类安全事件, 系统还能够采集形如Net Flow的流量数据, 并进行可视化展示。针对采集来的Net Flow流量数据的分析, 系统能够建立网络流量模型, 通过泰合特有的基于流量基线的分析算法, 发现网络异常行为。
1 2. 知识管理
系统具有国内完善的安全管理知识库系统, 内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、案例库、报表库等, 并提供定期或者不定期的知识库升级服务。
1 3. 用户管理
系统采用三权分立的管理体制, 默认设置了用户管理员、系统管理员、审计管理员分别管理。系统用户管理采用基于角色的访问控制策略, 即依据系统中角色的行为来限制对资源的访问。
1 4. 自身系统管理
实现了系统自身安全及维护管理。主要包括组织管理、系统数据库及功能组件运行状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和配置功能。
1 5. 一体化的安全管控界面
系统提供了强大的一体化安全管控功能界面, 为不同层级的用户提供了多视角、多层次的管理视图。
应用场景
泰和SOC系统广泛应用于各类企事业单位, 尤其能够满足客户对于信息系统等级保护和企业内部控制的要求。图4展示了SOC系统的典型部署场景。
VPN接入平台安全保密管理规定 第5篇
为了确保VPN接入平台的安全,使用者须遵守以下安全保密管理规定,如因违反规定而造成安全或泄密事故的,使用者须负相应的责任。因用户原因造成的安全事故,市财政局、市机关信息网络中心、市财政信息中心不承担责任。
账号密码管理规定
使用者须自行妥善保管自己的账号和密码,避免外泄。使用者应避免在公用电脑上使用VPN平台;如果在公用电脑上使用,在离开电脑时须退出登陆,并清除浏览器的缓存。
计算机网络安全管理平台的研究 第6篇
关键词:网络安全管理平台;联动互操作;集成
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2014) 06-0000-01
一、网络安全管理平台的起因分析
网络安全需要综合高效的解决方案是因为网络安全产品都存在一定局限性。防火墙是一种用来加强网络之间访问控制的特殊网络互联设备,它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息的目的。但是,防火墙并非万能,NIST就对它做出了客观评价,以下指出其主要不足:由于防火墙要保证信息安全,采取了很多访问控制机制,从而限制了用户称心如意的服务访问;防火墙不能对抗私有网络中的后门;现在的防火墙,很少保护来自内部的攻击。防火墙系统存在这些缺陷,故入侵检测系统就被认为是整个系统中的最后一道防线。
二、网络安全管理平台的系统组成与功能特点
网络安全需要综合解决方案,木桶原理在网络安全领域同样适用:网络安全最薄弱之处就好比木桶壁上那块最短的木板,那里也就是黑客攻击的首选之处,所以就要求网络安全各方面防护措施强度应相对平衡。况且随着网络安全威胁的加强和用户安全需要的增加,单纯依靠单一的防范产品已经很难解决现有的网络安全问题,于是综合了多种安全产品和安全策略的网络安全管理平台应运而生。
三、网络安全管理平台的关键技术——联动互操作
联动互操作功能是指在网络安全管理平台集成的产品之间,当某一平台部件产品根据一定的策略侦测到了某些安全事件,若该安全事件可以通过修改另一平台部件产品的安全策略或访问规则等来解决,则平台联动互操作功能可以通过平台自动修改另一平台部件产品的策略或规则,并且用户可以从界面看到这种联动互操作的发生。联动互操作功能在平台上有两种功能需求:
(1)平台部件产品无关的联动互操作功能。平台部件产品无关的联动互操作功能是指当平台部件产品之间没有通信渠道时,平台将收集到的某一平台部件发生的某些安全信息数据,根据平台配置功能完成的针对该事件的策略信息,形成对另一平台部件产品的配置或配置更改,通过平台配置信息流对另一平台部件产品进行配置;(2)平台部件产品相关的联动互操作功能。平台部件产品相关的联动互操作功能是指某些平台部件产品之间原本已具有一定的联动能力,能根据某一平台部件发生的某些安全信息数据,对另一平台部件产品的配置或配置更改。此时,平台的联动互操作性已通过平台部件产品自行解决,平台只负责实时收集具有联动互操作能力的平台部件产品各自对该事件的事件数据,以及针对事件的配置信息等安全信息数据,并进行关联。
从技术角度看,联动互操作技术帮助安全体系有效组合并提升性能。例如防火墙与防病毒联动,可以提供网关查杀病毒能力,保证了内部系统与外部网络信息流的纯洁性;防火墙与认证系统联动,将认证与防火墙剥离,可以采用专有设备完成身份认证工作,提高了认证的可靠性与安全性,也减轻了防火墙的负担;防火墙与入侵检测系统联动,使防护体系由静态到动态,由平面到立体,提升了防火墙的机动性和实时反应能力,也增强了入侵检测系统的阻断功能等。联动互操作能力的强弱体现了网络安全管理平台的技术水平,由于其牵涉的技术较为复杂,使得它仍然成为网络安全管理平台中的最大技术难点。
四、网络安全管理平台的发展趋势与建议
通过分析典型网络安全管理平台产品,发现它目前有如下的发展趋势:
平台集成厂商采用不同厂商的优秀安全产品优化组合构成自己的网络安全管理平台,其中比较典型的有国外的Check Point 、Nokia 、iS-One以及国内的天融信、中科网威等公司,这种做法在集成最优秀的安全产品的同时也依然存在一些不足:(1)由于平台集成的并非自有产品,再加上专利版权等原因,使得集成者很难接触到集成产品的源代码等技术核心,集成商在优化集成时就会遇到更大技术困难。(2)由于采用不同厂商的安全产品,各种产品的协同性兼容性等易出问题。(3)由于牵涉到知识版权,造成生产成本较高,市场竞争力下降。
通过深入分析,我们清楚地意识到目前的网络安全管理平台产品,大多只是对多种网络安全产品的简单集成,仅能完成一些诸如用同一个数据库进行多个安全产品日志收集等简单的互操作工作。由于现有网络安全产品从功能上涵盖了网络防病毒、防火墙、安全网管、入侵检测、漏洞扫描、安全风险评估等多个领域,具有种类繁多、个性较强的特点。
此外,如果平台要集成其他厂商的安全产品,就需要了解其技术内核,由于内核源代码版权问题且目前并没有国际性的标准组织和联盟对网络安全产品之间的接口标准进行制定,
再加上很多网络安全产品的核心技术拥有者受到目前市场经济利益的驱动,对一些关键安全产品还存在市场保护,并不情愿提供自己产品的接口供别人集成使用。上述原因就使得目前的网络安全管理平台产品并不具备真正意义上的平台上各组件间良好的联动互操作能力和平台基于各种日志的综合交叉分析能力,这些不足也正是束缚当前网络安全管理平台发展的主要原因。
五、结束语
由于网络安全技术和安全产品在实际网络系统中的大量应用,不同类型的网络安全产品由于在技术原理以及管理方式等方面各不相同,因此对能够向网络系统提供集中、统一的安全管理能力的网络安全管理平台的需求将日益突出,随着集成技术的发展以及网络安全产品接口的国际标准化工作的深入,网络安全管理平台也必将成为未来网络安全的综合解决方案。
参考文献:
[1]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001.
[2]陈科,李之棠.网络入侵检测系统和防火墙集成的框架模型.计算机工程与科学,2001(02):26-28.
网络安全管理平台的设计与实现 第7篇
1 网络安全综合管理平台的需求分析
网络安全管理平台应实现在统一的截面中对网络设备的安全状况进行有效分析。通过对网络日志嬉戏以及报警信息的统一汇总、分析以及审计, 完成了对安全产品的升级、对攻击事件的报警以及响应等。要实现对网络安全资源的集中控制和统一管理, 实现各管理模块之间的互动交流, 提高网络的安全水平以及稳定的可控性以及可管理性, 具体综合管理平台应具有以下职能:
1) 安全域管理能力。网络安全系统能根据拓扑图和树状图对区域内的安全管理和设备部署、运行状况的管理的相关信息进行显示。
2) 策略管理能力。系统能够检查并部署安全域内安全管理设备的系统和策略。
3) 事件管理能力。安全管理系统能够通过对安全领域内的安全管理以及设备所发生的原始事件以及统计事件, 将要求处置的事件转化为告警并通知值班远, 对需要通知全体网络的重要告警, 还可继续对上下级安管进行通知。
4) 安全状况评估能力。安全管理的系统能以图标以及统计数值等形式对系统以及上下级安全管理者状况进行分析。
5) 应急处置能力。系统向值班员处置告警的全过程提供提示、引导、监督和记录。
6) 值班管理能力。系统提供值班日志向导、班次管理、值班报告生成与上报等多种方式辅助值班员开展日常值班。
7) 报表输出能力。系统提供完备的报表输出, 现实系统的运行状况、安全状况、值班情况等信息。
8) 用户管理。系统按照履行职责将用户细分为系统管理员和安全审计员两种不同角色, 并支持用户名和密码、USB钥匙等多种用户登录方式。
9) 安全管理维护。网络安全系统能在异地对一个或多个备用的安全管理进行维护, 主用的安全管理和备用的安全管理都能进行值班, 并且管理夏季安全管理, 并获得设备的部署和设备的工作状况。
2 网络安全综合管理平台的体系结构
1) 安全管理控制台。网络安全管理员通过客户端的浏览器建立安全管理系统的监控和管理体系, 通进行事件告警、查询, 策略制定、发布, 安全状况显示、告警, 应急处置, 值勤维护等网络安全维护功能的操作。
2) 服务器。网络安全管理的结构采用了XML框架进行开发和多模块集成, 各模块提供不同的基础网络安全服务, 包括用户的解析、通信服务, 并且实现了安全管理系统的各功能模块, 开发和集成多模块体系, 包括主机管理、策略管理、事件捕获与分析、网络风险分析与评估等。
3) 代理。网络安全管理的设备以及主机的代理建立在被管理设备上的管理程序, 由此可知所有的代理Agent实例都是基类A-gent的传承, 通过对所管理对象的信息收集, 并将信息传递到服务器或是根据服务器指令对设备进行操作和管理。服务器与代理之间采用Snmp、Ftp、Telnet等多种安全通信协议进行数据交换。
3 网络安全管理平台关键技术的设计与实现
网络安全的综合管理平台实现了身份认证、密码管理、数字签名以及网络接口的协议通信等技术, 但其最关键的技术在于联动互操作机制, 致使网络安全的管理平台不仅仅是安全产品的堆积, 而是通过充分发挥各集成产品的作用并实现胡联动的操作, 建立了网络安全的有效管理机制。
参考文献
[1]谢玉峰, 梁铁柱, 郑连清.网络安全综合管理平台的设计与实现[J].通信技术, 2009 (4) .
[2]李明.沉静的力量可信的保障──启明星辰2005战略发布[J].网络安全技术与应用, 2005 (8) .
[3]武建宏.探讨计算机网络安全与对策——应用Struts建立网络安全管理平台[J].电脑知识与技术 (学术交流) , 2007 (13) .
安全管理系统工作平台 第8篇
随着网络规模和技术的飞速发展, 特别是网络应用的逐渐深入, 各类业务工作对网络和信息系统的依赖不断提高, 而以病毒入侵和黑客攻击为特征的网络安全问题也日益突出, 严重影响各类日常业务的正常运行和开展。面对各种安全隐患, 网络信息安全管理工作却得显薄弱, 主要存在以下问题:
(一) 安全设备种类繁多, 管理困难。在规模较大的网络系统中, 通常包含了防火墙、入侵检测、防病毒、安全网关、安全审计、加密、身份认证、漏洞扫描等诸多安全设备。而这些安全产品接口不统一, 配置管理分散, 管理系统各自独立, 使得网络管理人员不得不分门别类地去熟悉和掌握, 大大地增加了工作的困难和复杂程度。
(二) 人工分析海量数据, 效率低下。不断叠加的网络设备和安全设备, 往往会造成几何级增长的安全运行数据和安全事件信息。一些全局性的、影响重大的问题很难被分析和提炼出来。依靠人工分析海量数据的办法既费时又费力, 效率低下, 还可能延误重大事件的处置时机。
(三) 设备信息无法关联, 产生信息孤岛。当网络遭到攻击时, 防病毒、防火墙、入侵检测等系统都会发出自身的报警信息。这些来自不同安全设备的信息之间存在很大的相关性, 如果分开独立地看待这些独立的信息而不进行关联分析, 容易忽略一些重要细节, 难以提出全局角度的安全风险事件, 形成统一的安全策略对安全事件进行响应和处理, 导致网络遭受重大打击。特别是对于拥有大型网络的单位, 这种安全问题尤为突出。
(四) 实时监控不及时, 易造成管理漏洞。由于安全设备多, 分布广, 网络安全管理人员无法对各种安全设备、主机和网络设备的运行状况和安全事件状态进行统一监控, 掌握全网的安全威胁状况, 从而难以及时发现并准确定位设备的故障和性能问题以保证网络及业务系统稳定、可靠运行。
2信息安全集中管理平台的现实意义
信息安全集中管理平台的现实意义在于:通过分析信息网络存在的风险、安全需求及现有安全技术, 提出基于设备/安全域风险管理的安全管理集中平台的功能和框架模型设计, 达到实现网络中网络安全层面的集中监控与管理, 统一安全策略的制定和发布管理, 安全事件处理流程和应急响应管理以及对各类安全子系统运行状态的监控与管理等现实功能。
一是对处于不同位置的各类安全设备运行状态进行集中监控, 全面了解, 统一管理, 提高管理效率。二是将不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析, 既能及时发现全局性、整体性安全威胁行为, 使得整个安全体系的检测更加准确, 又能将安全管理人员从复杂的设备配置和海量日志信息中解脱出来, 把精力专注于发现和处理各种重要且影响重大的焦点问题。三是给出全局安全观点, 提出多种解决方案, 通过实行统一安全策略的制定和发布管理, 全面提高整个系统的安全性。四是利用知识库的管理和发布系统, 不仅充分共享各种安全运行信息资源, 而且成为各级网络安全管理机构和技术人员之间进行安全知识和经验交流的平台, 有助于提高人员的安全技术水平和能力, 使网络安全设备和系统得到充分利用。
3信息安全集中管理平台系统构成及实现
(一) 管理平台组成框架。管理平台包括:流程管理、设备管理、漏洞管理、事件管理、响应管理、风险管理、策略管理、知识管理和培训管理等9个管理模块。人员组织和系统管理两个独立的管理模块。安全设备、网络设备、主机系统、应用系统、拓扑发现、漏洞扫描、人工审计和其他检测等9个信息输入来源。全局预警、设备联动和智能分发等3个输出功能模块。
(二) 模块管理的实现。
1.管理流程。根据业务应用和业务流程的分析结果, 针对网络中满足不同业务工作的各类应用系统, 分别对系统中的关键业务数据流程进行标识, 给出不同业务点的权重值, 以及逻辑图中的业务流程图。
2.设备管理。安全集中管理平台所管理的设备中, 与IP相关的设备可以分为三大类:网络设备、主机系统、安全设备。其中, 网络设备包括路出器、交换机、集线器等可管理的网络设备。主机系统则可大致分为个人计算机、服务器、工作站、小型机、集群计算机等。个人计算机可进一步分为台式机与便携机。安全设备则可分为防火墙、IDS、Scanner、其他专门用于安全保障的主机。通过设备辨识和收集, 绘制逻辑信息图, 给出不同设备的权重, 并在组织架构上对设备进行综合管理。要求能够与网管等系统结合, 自动发现新的设备信息进行标引。设备管理是风险管理、响应管理、协同工作和分析的基础。
3.漏洞管理。根据漏洞扫描、事件审计和对系统的分析, 收集整个网络的弱点情况并进行统一管理, 发现网络系统中存在的漏洞, 给出漏洞解决办法, 并找出可能存在的漏洞风险。
4.风险管理。根据流程管理和设备管理中的不同权重值, 以及漏洞管理中的残余风险, 通过风险评估明晰整个信息网络系统的风险, 对残余风险进行管理, 找出关键控制点。风险管理的运作可以通过设备管理和漏洞管理所掌握的全网安全动态, 有针对性指导各级安全管理机构做好安全防范工作, 特别是针对关键控制点做好受攻击的预警和防范工作。
5.策略管理。根据风险管理的结果、网络安全的整体性要求, 以及设备防护的状态, 对整个系统的设备保护制定安全策略, 并对策略进行控制和智能分发, 为全网安全管理人员提供统一的安全策略, 指导各级安全管理机构有针对性地部署本地安全策略, 在全网形成安全防范的合力, 提高全网的整体安全防御能力。
6.事件管理。通过对安全事件收集、事件解释、事件过滤和事件分析, 及时发现已经和正在发生的安全事件, 根据威胁程度的大小对安全事件进行排序, 按照知识库中相关的安全知识库, 获取解决办法和建议, 进行综合的事件协同关联分析, 对不同威胁程度的安全事件, 得出事件初步判定结果, 并向安全监控告警。安全运行管理中心管理软件具有事件关联分析功能, 从各产品处收集到的信息都将在这里进行事件的关联分析。这样, 避免了管理员只看单一产品信息的片面性, 有利于及时发现那些伪装巧妙、深藏不露的不速之客, 将隐患消灭在萌芽状态。
7.响应管理。安全运行管理中心的应急响应体系包括一套完整统一的解决预案, 建立紧急事件响应机制。以安全事件的危害为标准, 对安全事件进行分析, 并针对安全事件建立应急预案, 一旦网络遭受入侵, 及时启动应急预案对安全事件进行响应和处理, 在第一时间遏制入侵, 恢复网络的完整性和可用性, 彻底清除入侵行为对系统造成的影响, 同时检查修补存在的安全漏洞, 并根据具体情况对安全事件的全过程进行调查, 评估影响。还可将所有事件响应过程信息存入后台数据库, 可生成事件处理和分析报告。应急响应管理是通过工作流系统实现的, 它是专门针对安全事件的处理过程, 根据具体的安全响应流程进行定制的。
8.知识管理。知识库是安全集中管理平台的知识管理和发布系统, 不仅可以充分共享各种安全运行信息资源, 而且也会成为各级网络安全运行管理机构和技术人员之间进行安全知识和经验交流的平台, 有助于提高人员的安全技术水平和能力。知识库的信息内容包括供安全运行管理信息、风险评估信息、网络安全技术信息、网络安全策略以及安全案例库等安全知识。通过对知识库的管理、发布统一的安全策略、安全知识库等信息, 为响应管理提供技术预案, 并根据响应管理结果不断丰富知识库的内容, 充分共享各种安全信息资源。
9.培训管理。对分层管理的各类人员进行教育培训, 提高全网的安全技术水平和能力, 使不同角色的人员掌握足够的安全知识和技能。
10.人员组织和系统管理。人员组织主要提供组织架构和人员分层管理, 保证在需要的时候, 不同角色的人员去完成不同的安全事件。系统管理用于控制系统平台内部的各功能模块的正常运行, 提供平台自身的安全管理。
(三) 管理中心的关键流程。
1、安全事件监控。通过安全事件的收集、管理进行安全告警, 并启动响应管理来处理安全事件, 同时进行全网预警和设备联动, 安全事件处理完毕后, 提交安全报告。
2、安全事件管理。通过风险管理把系统中的流程管理、设备管理和漏洞管理中的关键业务、关键设备和存在的漏洞风险进行综合评估, 把评估作为系统整改和策略管理的依据, 根据策略进行系统配置防护、完善知识库和开展安全教育培训。
3、安全事件监控与管理的关系。安全设备的防护配置是根据策略管理来实施的, 响应管理又会产生新的安全风险, 通过风险管理来调整安全策略, 实施新的防护。根据知识库提交响应处理预案, 反过来响应处理结果又丰富了知识库的内容。
参考文献
[1]满强;张海;郭文明;基于WBEM框架的通用医院网络管理技术研究与实现[J];南方医科大学学报;2004年05期
[2]蒋海;刘淑芬;兰庆国;包铁;庞世春;电信综合数据网络管理系统[J];吉林大学学报 (信息科学版) ;2006年02期
[3]刘海华;倪少权;王萍萍;一种基于SNMP的网络层拓扑发现算法[J];计算机安全;2007年09期
[4]孟鑫, 肖宗水;基于Visio的网络运行监控系统[J];计算机应用;2005年12期
安全管理系统工作平台 第9篇
关键词:云计算,客户关系管理系统,安全
0 引言
随着近年来信息技术的飞速发展,企业的方方面面都受到了巨大的冲击。企业需要对客户的需求,对市场的变化积极做出响应。传统的商业模式开始转变为以客户为中心的商业模式。客户作为企业最宝贵的资源开始进入到企业的管理体系中。企业的各种资源都要围绕客户为中心进行安排。谁能及时判断市场的走向,摸清客户的需要,谁就能在激烈的市场竞争中占据一席之地。为了更好的与客户进行沟通交流,为客户提供便捷的购买渠道,为客户提供更好的售后服务,提供更好的客户关怀,客户关系管理应运而生。
传统的客户关系管理系统门槛较高,往往在大型企业中应用较多,对中小企业来说高昂的成本成为不可逾越的障碍。将客户关系管理系统与云计算平台进行结合,不仅大大增加了客户关系管理系统的灵活性和可扩展性,也降低了客户关系管理系统的成本,使中小企业也可享受到客户关系管理系统的带来的优势。基于云计算的客户关系管理系统除了面对传统客户关系管理系统面临的安全问题外,还要受到云计算平台自身的安全问题的困扰,并且客户关系管理系统与云计算的结合还可能产生新的安全风险。
正是在这种背景下,研究云计算环境下的客户关系管理系统可能面临的安全问题,从多个角度考虑,针对各个环节存在的安全问题,提出对应的安全解决机制,形成一套全方位的安全解决方案。为基于云计算的客户关系管理系统提供多重的安全保障,使企业可以放心的使用基于云计算的客户关系管理系统,帮助提升企业的价值。
1 云计算和CRM简介
1.1 云计算介绍
云计算是一种规模经济推动的网络计算模式,它整合大量的计算、存储、软件等资源形成巨大的虚拟资源池,可以向用户提供便捷、经济、动态可扩展的服务。其核心思想就是将网络上的资源和能力进行更有效的分享,以达成高效率、低成本计算的目标。云计算的出现,为CRM满足各种需求提供了可能。不管是在业务成本上还是业务敏捷性上都得到极大的满足,并开创出了新的商业模式和市场机会。可以说,云计算将催生CRM产业发生一系列新的变革。
它具有以下五个主要特点:按需所取的服务用户可以根据自己的需求;多种类的网络访问支持各种客户端的接入访问;资源集中大量的物理资源集中到一起,通过多租户的方式提供给用户,用户可以动态的使用物理和虚拟的资源;灵活性资源可以灵活快速的申请和释放,甚至可以根据需要自动的进行变更。在用户看来,资源几乎是无限的,随时可以满足自己的需要;可衡量的服务云计算平台可以根据应用的负载情况,自动控制和优化资源的使用。可以监控资源的利用情况,并提供报告,为提供商和用户提供了一定的透明度。
用户无论是使用个人计算机还是智能终端,都可以连接到云中,方便的完成操作(如图1),充分利用云的强大计算能力和存储能力[1]。
1.2 云计算的分类
根据服务模式的不同层次和用户体验的不同角度,云计算服务方式可以分为以下三种:
基础设施即服务,基础设施服务提供商拥有大量的实际物理资源,如计算资源、存储资源等,通过将这些物理资源虚拟化,进行统一的管理和配置。根据用户的需求,向用户提供所需的资源,并可以根据用户变化的需求进行动态调整。
平台及服务,平台服务提供商是在虚拟资源之上提供一定的软件支持,能够为企业提供一定的中间件平台,涵盖了数据库和应用服务器等。通过这个平台,企业可以方便的进行应用系统的开发、搭建。平台服务提供商还提供针对自己平台的技术服务,更深层次的可以在自己的平台上进行优化,为企业提供更好的平台环境。
软件及服务,又被称为“按需定制的软件”,软件服务提供商为企业提供了应用系统所需的软硬件基础设施、运行平台以及多种应用服务,企业可以根据自己的需要选取应用服务进行组装,定制符合自己业务需求的专业服务。服务定制完成后,由软件服务提供商进行服务的实施,后期维护等工作,企业只需支付相应的服务费用即可。
1.3 CRM简述
客户关系管理(customer relationship management)是遵循以客户为导向的理念,对客户进行系统化的研究,通过改善服务客户的水平,及时与客户进行沟通交流,改进与客户相关的业务流程,提高客户的忠诚度,保留老客户的同时,开发潜在客户,不断争取商机,最终实现企业的发展,保持自己的竞争优势,在激烈的市场竞争中立于不败之地。CRM的产生是市场与科技发展的结果,是一种旨在改善企业与客户之间关系的新型管理机制,它实施于企业的市场营销、销售、服务与技术支持等与客户相关的领域。CRM的出现,改变了以往客户资料分散、客户管理复杂繁琐的状况,还让企业对客户数据、产品信息、员工数据实现了统一。自20世纪90年代以来,CRM的经营理念和运作体系迅速被企业界所接受并在大企业得到广泛应用,但是,占企业总数90%以上的中小企业如何有效地应用CRM却是一个非常重要的研究课题。这不仅是因为中小企业数量庞大,对国民经济有着重大影响,更是因为这是中小企业生存和发展的内在需要。CRM成为许多中小企业用于提升其企业竞争力的有力选择。
2 安全技术简述
2.1 身份认证技术
在计算机信息世界中,任何信息的发布和获取都是由具有某种身份的用户完成的。比如,用户想要使用邮箱,就需要用户注册的ID来进入邮箱,才可以浏览用户邮箱中的信息。这就相当于每个人在计算机信息世界中都有一个数字身份,对应着真实世界中用户的物理身份。如何证明在计算机信息世界中以数字身份进行操作的用户就是真实世界中的相应用户呢,这就需要身份认证技术的帮助了。身份认证技术是一致性验证的一种,是为了保证计算机信息世界中的用户就是真实世界中的对应合法用户。身份认证技术主要有以下几种:
口令认证方式:口令认证方式是最常用的一种身份认证技术,系统中保存着用户的用户名和密码,用户在登录系统时需要输入用户名和密码,系统和自己保存的用户名和密码进行对比,若用户名和对应的密码一致,则校验通过,证明是合法的用户。
智能卡认证方式:智能卡是一种内置集成电路的芯片,芯片中存储了用户的口令、密钥或者其他个性化的数据等。用户在登录系统时,需要将智能卡插入读卡器,读卡器读出其中的用户信息,提交给系统进行验证。
生物特征认证方式:生物特征是指人的具有唯一性的生理特征或者生理行为方式。生物特征认证是指提取人的某一特征进行身份认证的方式。由于人们生物特征的唯一性,这种认证方式额安全性是很高的,一般有指纹认证、DNA认证、声音认证等,但是成本较高。[2,3]
2.2 加密技术
数据加密技术是最基本的安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。数据加密技术的保密性直接取决于其所采用的密码算法及其密钥长度,因此,不同的密码算法其保密强度不同,而且其加解密的效率和速度也不同。
根据密钥类型不同将现代密码技术分为两类:对称加密算法和非对称加密算法。
(1)对称加密算法是应用较早的加密算法。在对称加密算法中,数据发信方将明文和加密密钥一起经过特殊加密算法处理后,使其变成复杂的密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密所用的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。
(2)不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙一公钥和私钥。在使用不对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。加密明文时采用公钥加窗,解密密文时使用私钥才能完成,而且发信方知道收信方的公钥,只有收信方才是唯一知道自己私钥的人。不对称加密算法的基本原理是,如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用不对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。
对称加密算法的特点是算法公开、计算量小、加密速度快、效率高。不足之处是,交易双方都使用同样钥匙,安全性低于非对称加密算法。非列称加密算法的优点是密钥管理简单,并且可方便地实现数字签名和身份认证等功能。缺点是算法复杂,加密数据的速度和效率较低,不适合大容量数据的加密。由于对称加密算法的运行速度比非对称加密算法的速度快很多,适合应用在需要加密大量数据的场合时,可以提高加解密速度。
3 安全问题研究与解决方案
3.1 CRM系统面临的安全风险
传统的客户关系管理系统面临的安全问题在此系统中也存在。客户关系管理系统作为一个以客户为中心的业务自动化平台,支持企业管理人员、销售人员、客户等的沟通和协作,是一个多角色的管理系统。其中每个用户拥有不同的系统权限,可以在系统中查看或者修改自己权限内的数据。低级别权限的用户不能查看和修改高级别的数据信息。高级别权限的用户可以查看低级别的数据信息。作为一个信息管理系统,主要面临以下安全风险和威胁:
(1)非法用户登入系统,从而窃取企业的信息数据。
(2)终端用户登入系统后,在与系统交互时,信息在传输过程中可能被截获,造成系统数据的泄露。
(3)合法登入的用户超越自己的权限,访问到高于自己权限级别的数据,造成高级别数据的泄露。
3.2 云计算平台面临的安全风险
云计算平台面临的安全风险主要有以下几方面[4][5]:
(1)云平台可能无法或不能实施用户要求的安全策略。
(2)云平台实施的安全策略与用户要求的不一致,导致用户的安全策略与云平台的安全策略之间存在安全间隙。
(3)云平台不能为应用提供独立的运行环境,使得用户被同一环境中的其他应用干扰。
(4)云平台被恶意攻击者侵入,影响到云中应用的安全或使用。
(5)虚拟控制器存在漏洞导致各个虚拟机不能被完全隔离,一个虚拟机可以访问另一个虚拟机的存储和内存。
(6)虚拟机镜像未确配置,本身的安全隐患对用户造成威胁。
(7)用户数据的实际存储位置不在用户所在地的法律许可范围内。
(8)用户数据的所在地的法律无法为用户数据的保护提供足够的法律支持。
(9)云平台提供商违约。
3.3 数据面临的安全风险
传统的客户关系管理系统的数据是存放在企业自己的服务器上,一般都是内网环境,不会对外开放,安全性较高。而在云计算环境下,系统的数据也是存放在云计算平台中,暴露在网络中,无形中增加了新的安全风险。在云计算环境中,系统数据面临的安全风险主要以下几方面:
1、数据损坏丢失的风险。云计算环境中的恶意程序,如病毒等,可能会导致数据的损坏丢失。用户的恶意破坏,例如,云计算平台的管理员可以直接删除数据或者有合法的用户恶意删除等。还有如果硬件失效,比如磁盘损坏,电压不稳定等,也可能会导致数据丢失。另外,用户的误删除,误格式化等错误操作也会导致数据丢失。
2、数据被窃取的风险。数据被窃取有以下几种:非法的用户非法进入数据库访问数据(如云服务提供商,攻击者等);非法用户不通过数据库管理系统直接窃取数据文件;合法用户泄露自己权限内的数据给其他人。
3、数据传输的风险。由于系统与数据库之间的通信是在云计算平台中,通信过程中的数据可能会被云平台拦截或窃听。
3.4 解决方案
对于CRM系统自身面临的风险,为了防止两种非法用户侵入系统,除了采用最基本的用户名和口令登录方式之外,还要对用户的身份进行认证,以证明当前登入系统的用户是合法用户,而不是盗取账号的非法用户。用户输入用户名、口令登录时,系统会将用户输入的用户名和口令与数据库中存储的用户名和口令进行比对,已验证用户提交的登录信息是否正确。为了提高安全性,数据库中存储的用户密码不是明文,而是经过单向哈希函数处理之后的哈希值。系统在对比用户名和口令时,也不直接对比明文密码,是将用户提交的密码用同样的哈希函数处理,得到一个哈希值,再与系统保存的哈希值进行对比,从而验证用户口令的正确性。采用基于角色的访问控制对不同的用户进行管理,对每个用户分配一定的角色,限定其只能访问系统允许访问的数据,这样可以防止低级别的用户访问到密级高的数据。
对于保证数据的安全性,采用防火墙和数据备份机制防止数据损坏丢失,SSL连接防止数据库与应用系统传输数据过程中被拦截(图3),采用数据加密机制保护敏感数据,其加解密过程如图4:
为了保证加解密速度和安全性,用对称加密方法对数据进行加解密,用非对称加密方法对对称加密所用的密钥进行加解密。
对于云计算平台的安全性问题,采取虚拟机隔离技术[6]。云计算平台中的虚拟机是通过虚拟化硬件资源而来的,平台中每个虚拟机都可以访问到底层硬件资源。如果虚拟控制器存在漏洞导致各个虚拟机不能被完全隔离,一个虚拟机可以访问另一个虚拟机的存储和内存,就会造成极大的安全问题。针对这个安全风险,采用强访问控制技术实现虚拟机的隔离,防止一个虚拟机访问另一个虚拟机的存储和内存。
首先,将虚拟机和虚拟资源的安全等级划分为三个级别:机密,秘密以及无密级。三个密级的安全顺序为:机密大于秘密,秘密大于无密级。达到某个安全级别的虚拟机可以支配同一密级或者低于自己级别的虚拟资源。读写控制策略规定如下:
读控制:虚拟机的安全级别必须不低于被访问的虚拟资源的安全级别
写控制:虚拟机的安全级别必须不高于被写入的虚拟资源的安全级别
这可以防止高安全级别的资源传播到低安全级别的虚拟机中,资源只能在统一安全级别的虚拟机中传播或流向更高级别的虚拟机中。
如图5所示,如果虚拟机3要读访问资源B,发出请求后,虚拟控制器会首先进行授权查询,查看虚拟机3时候可以读访问资源B,由于虚拟机3的安全级别为无密级,而资源B的安全级别为秘密,根据控制策略,虚拟机3是无权读访问资源B的,因此虚拟控制器会拒绝虚拟机3的访问请求,从而虚拟机3不能访问资源B。如果虚拟机2要访问资源B,依据上述流程,虚拟机2的安全级别与资源B的安全级别相同,则可以访问到资源B。
如图6所示,当进行写操作时,虚拟机1想要对资源B进行写入操作,虚拟控制器根据控制策略,由于虚拟机1的安全级别高于资源B的安全级别,则虚拟机1不能对资源B进行写操作,因此虚拟机1对资源B的写操作被拒绝。根据读写控制策略,虚拟机3可以对资源B进行写操作。
通过强访问控制实现虚拟机运行环境的安全隔离,确保虚拟机之间尽量不会互相影响。使数据不能由高密级向低密级流动,但可以由低密级向高密级流动。
安全问题,三分技术,七分管理,除了技术上的安全措施外,还应考虑非技术方面的风险。对于法律方面的安全风险,需要用户在使用云计算平台前,与云计算平台提供商明确各自的法律责任,注明违约后果,写入合同,以防止出现意外时,能受到法律的保护。
针对上述的三类风险解决方法,整体的安全解决方案架构如图7所示:
4 展望
未来由于竞争压力的加大,企业对客户关系管理系统的需求更强烈,再加上受到国内外企业的推动,我国中小企业对客户关系管理系统的应用会掀起一股热潮。同时,随着在线客户关系管理系统越来越受重视,对云计算的依赖也将越来越明显,未来客户关系管理系统与云计算结合的应用也会越来越广泛。而本文提出的安全解决方案为基于云计算的客户关系管理系统提供多重的安全保障,使企业可以放心的使用基于云计算的客户关系管理系统,帮助提升企业的价值。随着安全技术的不断发展,会有新的方法和技术出现,必将使未来的客户关系管理系统更加安全。
参考文献
[1]陈军,薄明霞,王渭清.云安全研究进展及技术解决方案发展趋势[J].现代电信科技,2011,41(6):50-54.CHENG J,BO M X,WANG W Q.Advancement in Research of Cloud Security and Trends of Technology Solutions[J].Modern Science&Technology of Telecommunications,2011,41(6):50-54.(in Chinese)
[2]冯登国.国内外信息安全研究现状及其发展趋势[J].网络安全技术与应用,2001,(1):8-13.FENG D G.The Present Development and Its Trend of the Domestic and Foreign Information and Network Security[J].NETWORK SECURITY TECHNOLOGIES&APPLICATION,2001,(1):8-13.(in Chinese)
[3]郭代飞,杨义先,李作为,等.数字身份认证技术的现状与发展[J].计算机安全,2003,(7):1-4.GUO D F,YANG Y Y,LI Z W,et al.Present Situation and Development of digital identity authentication technology[J].NETWORK AND COMPUTER SECURITY,2003,(7):1-4.(in Chinese)
[4]林文涛,刘梅.浅析云计算时代的云安全[J].商情,2010,(25):17-18.LIN W T,LIU M.The security issues of cloud computing[J].SHANGQING,2010,(25):17-18.(in Chinese)
[5]Chris Hoff,Paul Simmonds.Security Guidance for Critical Areas of Focus in Cloud Computing v3.0[OL].[2011-11-14].http://www.cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
安全管理系统工作平台 第10篇
构建不动产登记信息管理平台需要注重四个方面的内容,分别为数据交换、信息共享、数据整合以及实时互通。根据国家相关标准来搭建平台需要以数据交换接口来实现数据通信,并且将政府各个部门之间的信息进行整合,其中包括农业部、林业部、海洋局、土地管理局、住房城乡建设部等等,通过在这些部门登录备案的信息来对土地、房屋、林地、草原、滩涂、海岛、水域等进行记录,其中不仅包括所有人的相关信息,同时也包括各种登记与交易信息,通过平台能够对其进行互通互查。不动产登记信息管理平台面向公众开放,提供各种信息查询服务,为民众提供极大便利。
1不动产数据安全管理方案
1.1加数字水印保护版权
随着互联网的发展,数据共享程度明显提高,这也是信息时代一个较为显著的特征。不动产数据作为存储在互联网上的一种个人财产信息,如果不对其加强管理,势必会导致其在市场中产生非法扩散的现象,并逐渐演化成为非法流通以及非法拷贝等,对市场秩序造成严重破坏。目前,数字水印作为一种比较前沿的技术被用于对产品进行标识,能够将生产者、使用者、买卖者的各种信息记录并在数据库中存储起来,对数字产品的版权、产权等形成有力保护。所以,对于某些需要版权保护的不动产,可以通过加入数字水印的方式来明确其所有权,并将其存放到平台的数据库中。采用数字水印来对进行不动产登记所具有的优势主要有如下几个方面:一是拥有自恢复性。如果不动产信息由于违规操作或者误操作导致信息丢失,通过数字水印能够将信息还原并恢复;二是具有透明性。数字水印信息只是在数据库中所采用的一个“标识符”,对于某些受保护的不动产数据,并不影响这些数据的正常使用;三是具有较强的健壮性。数字水印无法通过非管理人员人为去除,若要对不动产数据进行修改是比较困难的,也不会因为不动产的正常操作而丢失信息;四是具有良好的安全性。数字水印能够在很大程度上抵御黑客对数据的修改,抗攻击能力相对更强,并且误检测率也相对较低,基本上是无法被篡改以及伪造的。如果采用不正当手段来对数据进行修改,会导致数据的水印遭到破坏,进而使数据信息失效;五是不可检测性。在采用数字水印后,其隐秘载体数据与原始数据是一致的。对于非法入侵数据库的人恶意篡改数据,无法判断数据是否存在数字水印,这说明数字水印是无法通过非正常渠道进行检测的。
1.2基于三库分离技术建立不动产数据库
三库分离主要是由于不动产登记业务链条中在时间维度上所形成的三种不同状态的数据模式,这三种状态分别是工作状态、正式数据以及历史数据。例如产权处的初始登记信息,若要完成登记需要经过受理、审批、缮证、发证等诸多环节,其中,在受理以及审批的过程中其状态是处于一种待审批的状态,即工作状态;待核审完成后,产权人的相关数据信息审批通过,在数据库中即为审批通过状态,也就是正式状态,而这时并没有下发相关证件;如果下发产权证件完成后,所有产权人信息登记到数据中,以便日后进行查询和调用,这时即进入历史状态。所以,在数据库设计的过程中,针对不动产业务对象而言,在其生命周期的不同阶段,对同一个不动产登记的业务对象而言,可以存在三个与之相关的数据库,即工作数据库、正式数据库以及历史数据库。
应用三库分离技术能够提升数据库的访问效率,同时也可以在安全性方面得到大幅提升。一方面三库分离技术能够对数据信息实施更为有效的管理。工作库作为一个临时性的数据库而存在,只是在信息待审批的过程中对其进行调用,而这时对这条信息所对应的工作数据库与历史数据库为空,是无效的。而采用这种方式的优点在于可以对数据信息进行修改,如果在正式库中对其进行修改,那么容易对数据造成破坏,使数据信息不准确;另一方面,三库分离有利于变更登记业务的数据操作。在实施变更操作时,将正式数据拷贝到工作数据中来进行相关的审批工作,如果审批没有通过,则正式库中将不会储存对应的这条信息,若审批通过则会将这条信息录入到正式库中进行利用,但其操作过程都是在工作库中完成的,如果在正式库中直接进行相关信息的操作,极易导致数据库遭到破坏,进而降低数据信息的准确性。
1.3数据库加密管理数据库
在不动产登记信息管理平台的构建中,数据库是其中最为核心的部分。不动产数据信息以文件的方式存储在数据库中,入侵者会通过数据库的漏洞来其中的数据进行修改和删除等操作,因而需要对数据库的数据进行加密处理,切断通向DBMS的通道。此外,DBA可以对系统中的各种信息和操作进行管理,其中包括资源分配、系统审计、用户授权、数据库查询等。在平台上均是由用户自己来设定密钥来进行加密的,进而使数据库信息以密文保存,极大的提升数据库的安全性。
通常情况下,对数据库进行加密是在OS以及DBMS的内外层,不过在OS层无法判断数据库中数据之间的关系,这也就无法形成有效的密钥,如果对其进行加密,对数据库的访问极为不便。在DBMS内核层来进行加密,必须要依靠DBMS开发商的支持,这也就造成数据信息的二次加载,使服务器产生更高的负载,进而影响访问速度。因而在DBMS外层进行加密是最好的选择,其中通过“定义加密要求工具”来对数据库中的各种表单来进行加密,并对内部文件给出定义,并通过“数据库应用系统”来对定义文件进行相关操作。这种加密方式都是在客户端方面来完成,不会造成二次加载的现象,对服务器的负载也不会造成影响,并且可以完成基于网络的加密传输。
1.4用户权限设置
不动产登记信息系统功能并不是一成不变的,可以根据具体需求来设计不同的需求,并且各个层级和部门之间使用数据库信息也有所不同,对此可以通过设置不同用户权限的方式来实现,使合法用户能够顺利完成操作,并将非法用户“拒之门外”。目前,通常采用动态分级的方式来对用户权限进行设置,也就是将系统功能管理与权限管理相分离,以动态的方式来实现操作。权限管理为不同层级的人设置不同权限,在不动产登记信息管理平台中主要有4类,分别为超级用户、高级用户、授权用户、终端用户。超级用户也就是系统管理员,能够对系统实施任何操作、维护与管理。不过对于超级用户而言,与具体的工作人员职能权力分配关联不大,而是下属部门授权给高级用户,高级用户得到授权后,将其下放到具体的工作人员,也就是终端用户;同时,也可以对其他“可以拥有权限的人”进行授权。如果从树形结构来对权限管理进行分析,其父节点的用户权限包含下层多级权限,因而在不动产登记信息管理系统中可以采用树形结构来进行设计。
1.5构建IP Sec和SSL相结合的VPN
安全管理系统工作平台 第11篇
【关键字】海上平台 建造施工 安全管理
【中图分类号】P742 【文献标识码】A 【文章编号】1672-5158(2013)03-0265-01
海上平台搭建形式有固定式和非固定式,其特点可以归纳为:人员集中、空间有限、海况复杂、远离陆地、造价高昂以及救逃难度大等特点。海上平台建设施工应该立足于海上平台的特点,严格施工质量和安全管理。现阶段油气资源的需求巨大,对油气的勘探也逐步深入到条件更恶劣的地区,所以对海上平台搭建技术要求变得更高。在海洋装备工业飞速发展的环境下,决不能忽视对相关安全问题的监管,特别是海洋平台的建造施工安全。
一、现阶段我国海上平台建造施工的现状以及存在的安全问题
(一)海上平台建造施工现场的安全隐患
海上平台建造的施工工序极其的繁杂,所以造成的安全隐患是巨大的,而且在管理起来也面临着很多的困难。特别是近几年海洋事业的发展以及海洋平台建造的进程加快,相关安全问题开始逐渐显现,这给海洋事业的健康持续发展造成的威胁是巨大的。
1. 施工区域的安全隐患
船厂的工作环境很复杂,大都为多加企业协同作业,所以存在着众多隐性或者显性的安全隐患。某些海上平台建造的施工现场处于基础设施的建设中,大量重型运输机械车辆来往于施工区域,而且现场的施工作业交叉繁杂,所以这样的施工条件下存在的安全隐患是不可小视的,对其总结归纳为:道路泥泞、坑洼,道路人车混杂拥挤,施工场地秩序混乱,高空坠物、坠落,物体撞击,车辆伤害,人员触电,爆炸火灾,人员中毒等。如果不及时采取相关安全措施,上述安全隐患发生的几率会极大增加。
2.露天施工现场的安全隐患
海上平台建造施工现场如果是设在露天,其存在的安全隐患同样是不容忽视的。露天作业存在的施工不便普遍存在,而且施工条件极其艰苦。另外,有害气体、烟尘、粉尘以及噪声对人体的危害以及恶劣天气对人体造成的冻伤和中暑等,这些伤害严重影响到了施工人员的身体健康和生命安全,所以这些问题必须受到充分的关注,必须要求相关部门及时采取改善措施,保证施工人员的切身利益。
3.海上平台建造各环节的安全隐患
海上平台的建造步骤为:海上平台设计→平台下料→制模→焊接→合拢→涂装→舾装→平台调试。该工程的工序极其繁杂,而且每一道工序都非常重要,一旦某一施工环节出了问题给平台下水调试所带来的危害都是不可估量的。所以力保海上平台安全建造的首要任务就是辨别和克服施工中可能出现的一切安全隐患。
(二)海上平台施工人员自身的安全意识薄弱
现阶段我国海洋平台建造的施工人员的组成混乱,其各方面的素养也得不到保证,普遍存在的一个问题是施工人员的整体素养低、安全意识不强,这给海上平台的安全施工造成了极大的危害。
相关调查显示,我国绝大部分船厂的人员组成偏少,多数是管理人员和大多数的从事现场施工作业的临时性操作人员。而这些操作人员主要是工程外包施工部门的,其文化水平较低,安全知识以及安全技能和专业技能的都相当缺乏。这必将导致施工管理人员在对其管理上会遇到很多的困难,从而使施工人员的操作水平和操作人员的整体素质都得不到保证。
而操作人员的安全意识不强,就会出现不严格按照相关规定规范自身施工的;在施工工序安排上不按规定操作,无按规范搭建脚手架的等严重违章行为。所以作为项目小组的负责人和管理人员,有责任加强对现场操作人员的安全教育,使之清楚施工现场“安全最重”的思想,并且懂得“拒绝不合法施工”,借此保障自己的合法权益。
二、全方位控制海上平台的建造施工,加强施工现场的安全管理
(一)拟定施工规范
在对海上平台建造前,必须明确施工项目安全管理的总体思路,思路的确定可以采取的方式是与船厂的项目小组协商、制定出该项目的《模拟造船》;在海上平台建造施工中,必须制定《平台项目网络化管理细则》,并严格按照该条例对所有项目工作人员进行适当的奖惩;在海上平台建造施工之前,有必要对各施工部门进行有关施工作,确保施工部门全面认识施工中可能存在的安全隐患,并对安全隐患进行科学识别,在识别的基础上制定相关规范施工作业的措施;作为船厂方,有责任筹备好海上平台建设施工中所需要的安全警示标牌以及相关安全设施,当然相关安全管理部门应该加强对船厂相关安全方面的监督管理。综上可得,只有周密的项目前期筹划,才能为项目后期的安全管理提供全面的保障。
(二)强化施工队伍与相关部门的交流与沟通
海上平台建造项目的高质量、高标准完成,需要现场施工队伍与相关管理部门间良好的配合和协调。项目小组的所有成员必须本着“安全生产”的理念,强化项目安全管理以及团队间的和谐协作。在管理项目小组方面,对其的划分必须严格按照各成员的专业特长进行,明确自身职责,强化成员的自觉性,坚决做到小组合作,工作分工明确,严格责任制。
(三)强化管理项目密闭舱室的作业
在对海上平台建造过程中,必须加强对密闭舱室的施工作业,对于密闭舱室的操作流程必须严格按照相关规范开展工作,使规定落到实处。
对海上平台的安全管理之所以难度大,原因在于平台的双层底高度有限,仅为1M,而且其结构面积不大。在开展项目管理工作的时候,为了确保项目管理的实际效果更高,必须严格按照相关规范进行管理工作:只要与密闭舱室有关的施工作业,必须要求填写《密闭舱室安全审批单》。该审批单的内容必须包括密闭舱施工作业涉及到的所有安全措施,由单位安全员、施工单位的班长以及密闭舱室看护人对密闭舱室安全审批单签字,而且关于舱室的安全施工条件,三级人员有责任对其进行严格的评判,使之达到安全施工的标准。另外,该密闭舱室安全审批单需要准备一式两份,项目组和作业人员分别持有一份。该要求的目的是方便项目组合理安排施工作业,并对项目施工的安检工作做到有条不紊。
(四)注意项目警示教育的人性化和合理化
海上平台安全施工的一大前提是做好施工现场以及危险区域的安全警示标语,标语内容编制可以是“小心碰头、当心坠落、当心坠物”等,保证安全警示的人性化设置。另外,在施工现场的探伤区域、脚手架搭拆区域以及涂装作业区域等危险处设置危险性告示,确保施工的安全进行以及施工人员的安全。
三、总结
在海上施工作业中,员工安全意识直接关系到施工安全。做好施工前的安全防控以及安全教育是施工单位以及项目部门的责任,也是避免事故发生的有效手段。在海上平台施工中,坚决做到施工有序、合理、安全地进行,确保施工项目的顺利完成。
参考文献:
[1]许康.浅谈海上平台建造施工中的安全管理[J].实践与探索,2012,(207)
[2]李刚.风险评估技术及其在海上平台的作用[J].技术开发,2006,(159)
[3]窦培举,高鹏,邱里.海上平台设计中几个安全问题的探讨[J].安全与环境工程,2011,18(100)
[4]冯卫华,卢中原.海上平台测试作业的安全管理分析[J].中国新技术新产品,2012,(3)
军校安全管理平台在涉密网络的应用 第12篇
这套SMP安全管理系统, 主要是从两个方面来保障网络的正常运行和安全使用, 一个是网络身份, 另一个是网络防护。
一、网络身份的准入、准出控制和多重信息绑定
涉密网络要求与其他网络实行严格的物理隔离以保障安全, 但在现实应用中存在一定的管控难题, 多数院校教员和管理人员都需要同时使用校园网和园区网, 这样的需求使得两套网络部署的时候物理位置无法间隔太远, 无法从技术上严格避免人员使用时双网隔离, 这种情况下非法外连、同一计算机使用双网等隐患情况就有可能出现, 管理人员只能通过定期排查、人员教育等方法来进行这方面的监管, 肯定不能保证万无一失。为了解决这一安全隐患问题, SMP安全管理系统提供了网络身份的准入、准出控制和多重信息绑定功能来解决。
通过安全管理系统的用户管理功能, 我们可以对接入涉密园区网的人员进行有效控制, 只有通过管理人员严格审核后, 开通了有效账号的权限人员才能拥有接入涉密园区网的资格, 拥有账号的权限人员通过安全管理系统在个人计算机上安装的客户端检测成功后登陆才能接入涉密园区网。这种准入、准出控制功能定位到了专人专号, 避免了非权限人员随意接触使用涉密网络的情况发生。
而通过安全策略模板的设置, 对接入涉密园区网的计算机进行多重信息绑定, 我们采用的是计算机MAC地址、IP地址、交换机IP地址、计算机接入交换机对应的端口以及个人账号这几项同时绑定, 任何一样信息检测不匹配就无法接入园区网。保证了其他非保密计算机任何情况下都无法接入涉密园区网, 保密计算机也无法移动到其他地点使用, 避免了人员不规范使用的隐患。
网络身份的准入、准出控制和多重信息绑定功能的同时运用, 基本满足了园区网对这方面安全使用的要求。
二、网络环境的有效防护
涉密园区网对网络环境的安全性要求很高, 这就需要在各个层面 (网络、主机、管理) 上都做好安全防护工作。
在网络层面上, 需要一个整体性的防护, 防范从外部涉密网和内部园区网对学校发起的各种攻击, 并在攻击事件发生时及时处理, 特别注意要对园区网内的敏感资源进行重点保护。针对这方面的需求, SMP安全管理系统有相应的功能加以解决, 敏感资源隔离模板可以专门为所有敏感资源IP配置隔离模板, 一旦其遭到攻击, 立刻隔离资源主机, 断绝其与网络的连接, 若检测到攻击来自园区网内, 其模板设置中同时有对攻击源用户从警告到强制下线的处理方式。同时为了不影响正常的工作使用, 防止出现攻击的误认定而频繁隔离, 还使用了攻击频率分级处理模式, 以完善的安全信息事件库为基础, 结合安全事件级别和发生次数来进行相应的安全措施处理。还有专门的ARP欺骗免疫功能, 可以通过安全管理平台在各个网关上开启ARP欺骗免疫。
在主机 (终端) 层面上, 需要完成对于终端的各种常规防护, 防火墙、杀毒软件的安装, 微软补丁的及时更新, 保护计算机空置时段不被他人使用而安装的屏幕保护措施, 对USB接口等能做间接的访问和数据交换的通道的封锁等。在这方面SMP安全管理系统并没有提供直接的防护终端的功能, 而是通过设置规则组绑定的方式对用户终端上安装的软件提出要求, 任一项规则组要求的软件未曾安装, 则无法通过认证检测, 不能连入涉密园区网。这就避免了用户不安装各种防护软件而使得终端长期置于无防护状态的情况发生。
在管理层面上, 园区网的管理人员需要实时了解整个园区网、使用人员以及接入设备的状态和情况, 并在有需要时调阅以往情况来进行分析总结。
三、安全管理系统有待改进的功能
这套安全管理系统的功能在一些细节的地方还有待改进, 主要是在系统功能的应用智能方面, 并没有能够完全达到我们的要求。主要存在的问题有, 在进行规则组绑定时, 其绑定的只能是软件的进程, 当需要加入规则的软件运行状态下进程隐藏无法找到时, 就无法进行绑定, 也就无法控制用户进行必需的安装。同时, 系统只能检测到是否进行了软件的安装, 但像杀毒软件有否更新病毒库, 他则无法检测和控制, 使防护的有效程度存在疑问。
四、结论
【安全管理系统工作平台】相关文章:
公共安全管理平台06-04
信息安全保密管理平台07-29
安全管理平台建设方案05-15
智慧旅游安全管理平台08-26
安全生产隐患管理平台12-16
安全生产信息管理平台12-17
安全教育平台管理办法12-17
安全生产监督管理平台12-17
海洋石油平台热工作业安全管理09-13
平台系统安全建设07-25