網(wǎng)絡(luò)與信息安全論文：網(wǎng)絡(luò)與信息安全體系的建設(shè)與完善

1、網(wǎng)絡(luò)和信息安全論文：網(wǎng)絡(luò)和信息安全體系的建設(shè)和完善摘要：中國移動(dòng)通信網(wǎng)絡(luò)是國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的組成部分，更是中國移動(dòng)賴以生存和發(fā)展的基本條件，隨著網(wǎng)絡(luò)IP化進(jìn)程、終端智能化以及業(yè)務(wù)、服務(wù)多樣化趨勢的加快，移動(dòng)通信網(wǎng)絡(luò)面臨的威脅和攻擊也越來越多，網(wǎng)絡(luò)與信息安全工作日趨重要。關(guān)鍵詞：網(wǎng)絡(luò)和信息安全體系；建設(shè)；完善為了確保網(wǎng)絡(luò)安全，現(xiàn)在很多企業(yè)采用了防火墻、防病毒、入侵檢測、漏洞掃描等一系列安全產(chǎn)品，提高了本企業(yè)的網(wǎng)絡(luò)安全水平，但是這些改善仍沒有達(dá)到理想的目標(biāo)，病毒、黑客和計(jì)算機(jī)犯罪依然猖獗，這給信息安全的理論界、廠商和用戶提出了一系列問題，促使人們開始對安全體系進(jìn)行思考和研究。在網(wǎng)絡(luò)安

2、全建設(shè)時(shí)，不單單是考慮某一項(xiàng)安全技術(shù)或者某一種安全產(chǎn)品，而是從管理制度、流程、技術(shù)手段和措施、應(yīng)急響應(yīng)、風(fēng)險(xiǎn)評估等多方面構(gòu)建一個(gè)良好的網(wǎng)絡(luò)和信息安全體系，全面營造一個(gè)良好的網(wǎng)絡(luò)安全運(yùn)行環(huán)境。網(wǎng)絡(luò)與信息安全體系概述一個(gè)完整的信息安全體系應(yīng)該是安全管理和安全技術(shù)實(shí)施的結(jié)合，兩者缺一不可。為了實(shí)現(xiàn)對信息系統(tǒng)的多層保護(hù)，真正達(dá)到信息安全保障的目標(biāo)，國外安全保障理論也在不斷的發(fā)展之中，美國國家安全局從1998年以來開展了信息安全保障技術(shù)框架（IATF）的研究工作，并在2000年10月發(fā)布了IATF 3.1版本，在IATF中提出信息安全保障的深度防御戰(zhàn)略模型，將防御體系分為策略、組織、技術(shù)和操作4個(gè)要素，

3、強(qiáng)調(diào)在安全體系中進(jìn)行多層保護(hù)。安全機(jī)制的實(shí)現(xiàn)應(yīng)具有以下相對固定的模式，即“組織（或人）在安全策略下借助于一定的安全技術(shù)手段進(jìn)行持續(xù)的運(yùn)作”。在建設(shè)中國移動(dòng)通信集團(tuán)西藏有限公司（以下簡稱為西藏移動(dòng)）網(wǎng)絡(luò)安全體系時(shí)，從橫向主要包含安全管理和安全技術(shù)兩個(gè)方面的要素，在采用各種安全技術(shù)控制措施的同時(shí)，制定層次化的安全策略，完善安全管理組織機(jī)構(gòu)和安全管理人員配備，提高系統(tǒng)管理人員的安全意識(shí)和技術(shù)水平，完善各種安全策略和安全機(jī)制，利用多種安全技術(shù)實(shí)施和安全管理實(shí)現(xiàn)對網(wǎng)絡(luò)和系統(tǒng)的多層保護(hù)，減小其受到攻擊的可能性，防范安全事件的發(fā)生，提高對安全事件的應(yīng)急響應(yīng)能力，在發(fā)生安全事件時(shí)盡量減少因事件造成的損失。其次

4、，為了使安全體系更具有針對性，在構(gòu)建時(shí)還考慮了信息安全本身的特點(diǎn)：動(dòng)態(tài)性、相對性和整體性。信息安全的動(dòng)態(tài)性指的是信息系統(tǒng)中存在的各種安全風(fēng)險(xiǎn)處于不斷的變化之中，從內(nèi)因看，信息系統(tǒng)本身就在變化和發(fā)展之中，信息系統(tǒng)中設(shè)備的更新、操作系統(tǒng)或者應(yīng)用系統(tǒng)的升級、系統(tǒng)設(shè)置的變化、業(yè)務(wù)的變化等要素都可能導(dǎo)致新的安全風(fēng)險(xiǎn)的出現(xiàn)。從外因看，各種軟硬件系統(tǒng)的安全漏洞不斷被發(fā)現(xiàn)、各種攻擊手段在不斷發(fā)展，這些都可能使得今天還處于相對安全狀態(tài)的信息系統(tǒng)在明天就出現(xiàn)了新的風(fēng)險(xiǎn)。信息系統(tǒng)安全的相對性指的是信息安全的目標(biāo)實(shí)現(xiàn)總是相對的，由于成本以及實(shí)際業(yè)務(wù)需求的約束，任何安全解決方案都不可能解決所有的安全問題，百分之百安全的

5、信息系統(tǒng)是不存在的，不管安全管理和安全技術(shù)實(shí)施多完善，安全問題總會(huì)在某個(gè)情況下發(fā)生。信息安全的這個(gè)屬性表明安全應(yīng)急計(jì)劃、安全檢測、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)等都應(yīng)該是安全保障體系中的重要環(huán)節(jié)。信息安全的整體性指的是信息安全是一個(gè)整體的目標(biāo)，正如木桶的裝水容量取決于最短的木板一樣，一個(gè)信息系統(tǒng)的安全水平也取決于防御最薄弱的環(huán)節(jié)，因此，均衡應(yīng)該是信息安全保障體系的一個(gè)重要原則。這包括體系中安全管理、安全技術(shù)實(shí)施、各個(gè)安全環(huán)節(jié)及各個(gè)保護(hù)對象的防御措施等方面的均衡，以實(shí)現(xiàn)整體的信息安全目標(biāo)。綜上考慮，西藏移動(dòng)構(gòu)建了包含策略體系、組織體系、技術(shù)體系、運(yùn)作體系在內(nèi)的信息安全保障體系，策略體系：安全策略體系主要通過

6、建立完整的信息安全策略體系，提高員工的安全意識(shí)和技術(shù)水平，完善各種安全策略和安全機(jī)制；利用多種安全技術(shù)措施和信息安全管理實(shí)現(xiàn)對網(wǎng)絡(luò)的多層保護(hù)，防范信息安全事件的發(fā)生，減小網(wǎng)絡(luò)受到攻擊的可能性，提高對安全事件的反應(yīng)處理能力。目前西藏移動(dòng)已經(jīng)從各個(gè)管理角度（物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全）制定了不同的安全策略，實(shí)現(xiàn)了多個(gè)層次的安全防護(hù)。例如在物理安全方面，通過對機(jī)房的改造、增加門禁系統(tǒng)、出入登記等方法，加強(qiáng)對機(jī)房的安全管理；在網(wǎng)絡(luò)安全方面，采取V L A N、N A T等多種技術(shù)手段進(jìn)行必要的網(wǎng)絡(luò)隔離，對終端采取I P-M A C綁定的方式等；在系統(tǒng)安全方面通過賬號口令管理、安全配置加固、

7、安裝防病毒軟件等手段；在應(yīng)用安全方面通過配置應(yīng)用層網(wǎng)關(guān)、對系統(tǒng)開放的服務(wù)和端口進(jìn)行核查、進(jìn)行應(yīng)用軟件安全配置加固等手段。組織體系：主要包括安全組織和管理制度建設(shè)、安全管理人員的培訓(xùn)教育等。目前西藏移動(dòng)已經(jīng)建立起了網(wǎng)絡(luò)與信息安全分級管理體系，成立了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組、安全審計(jì)組、風(fēng)險(xiǎn)評估組等專業(yè)化的安全服務(wù)組，今后還將在網(wǎng)絡(luò)安全管理機(jī)構(gòu)和專業(yè)人員配置方面進(jìn)行有意義的研究，達(dá)成建立全方位的網(wǎng)絡(luò)與信息安全保障組織機(jī)構(gòu)的目標(biāo)；在管理制度建設(shè)方面，西藏移動(dòng)在中國移動(dòng)NISS總綱的指導(dǎo)下，建立了包含20多個(gè)制度在內(nèi)的安全管理制度體系，從安全事件管理、系統(tǒng)入網(wǎng)管理到賬號口令管理、終端接入管理都作出了明確的

8、要求，從而指導(dǎo)開展各項(xiàng)網(wǎng)絡(luò)安全工作；在安全培訓(xùn)方面，建立了網(wǎng)絡(luò)安全內(nèi)訓(xùn)制度，成立了專業(yè)化的網(wǎng)絡(luò)安全內(nèi)訓(xùn)師隊(duì)伍，在全公司層面組織開展網(wǎng)絡(luò)安全培訓(xùn)，提升員工的安全意識(shí)和知識(shí)水平，此外還選拔出優(yōu)秀的網(wǎng)絡(luò)安全管理人員參加各種國內(nèi)外的安全認(rèn)證工作，并取得了良好的成績，為提升網(wǎng)絡(luò)安全維護(hù)打下了堅(jiān)實(shí)的基礎(chǔ)。技術(shù)體系：其核心是構(gòu)建一個(gè)主動(dòng)、深層、立體防御的安全技術(shù)保障平臺(tái)。通過綜合采用世界領(lǐng)先的技術(shù)和產(chǎn)品，加強(qiáng)對風(fēng)險(xiǎn)的控制和管理，將保護(hù)對象分成網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)邊界、終端計(jì)算環(huán)境以及支撐性基礎(chǔ)設(shè)施等防御領(lǐng)域，實(shí)現(xiàn)預(yù)警、保護(hù)、檢測、響應(yīng)、恢復(fù)等安全環(huán)節(jié)，為用戶提供全方位、多層次的防護(hù)。西藏移動(dòng)在各系統(tǒng)建設(shè)時(shí)充分

9、考慮網(wǎng)絡(luò)安全的“同步規(guī)劃、同步建設(shè)、同步維護(hù)”的三同步要求，積極開展各系統(tǒng)的網(wǎng)絡(luò)安全項(xiàng)目同步建設(shè)，例如對網(wǎng)管系統(tǒng)、業(yè)務(wù)系統(tǒng)、運(yùn)營支撐系統(tǒng)等增加了安全預(yù)警、入侵保護(hù)等多項(xiàng)先進(jìn)的安全防護(hù)技術(shù)手段。由于安全技術(shù)是不斷發(fā)展演進(jìn)的，因此西藏移動(dòng)也在不斷加強(qiáng)學(xué)習(xí)，引進(jìn)先進(jìn)公司的經(jīng)驗(yàn)。運(yùn)作體系：系統(tǒng)安全運(yùn)作管理是整個(gè)系統(tǒng)安全體系的驅(qū)動(dòng)和執(zhí)行環(huán)節(jié)。建立有效的信息安全保障體系需要在系統(tǒng)安全策略的指導(dǎo)下，依托系統(tǒng)安全技術(shù)，強(qiáng)化安全組織管理，全面實(shí)現(xiàn)系統(tǒng)安全運(yùn)作與保障。西藏移動(dòng)本著將“安全工作融入日常維護(hù)工作”的原則，力求在日常維護(hù)環(huán)節(jié)加強(qiáng)安全管理，落實(shí)各項(xiàng)網(wǎng)絡(luò)安全規(guī)范和要求，以預(yù)防為主，通過安全檢查、風(fēng)險(xiǎn)評估和安

10、全審計(jì)等專業(yè)安全工作及時(shí)發(fā)現(xiàn)安全漏洞，并對其進(jìn)行加固；在出現(xiàn)問題后，積極響應(yīng)，根據(jù)制定的各項(xiàng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案進(jìn)行有效的處置。目前西藏移動(dòng)每年都要定期組織風(fēng)險(xiǎn)評估和安全審計(jì)工作，并將對其制度化、流程化，開展安全流程的試點(diǎn)工作?？偨Y(jié)通過開展安全策略體系、組織體系、技術(shù)體系和運(yùn)作體系等4個(gè)方面的建設(shè)工作，目前西藏移動(dòng)已經(jīng)構(gòu)建了網(wǎng)絡(luò)和信息安全體系的初步框架，在后續(xù)的工作中一方面要繼續(xù)深入以上個(gè)方面的建設(shè)，特別是加強(qiáng)安全技保障手段的建設(shè)；另一方面也要更注重4個(gè)方面建設(shè)的相互配合、相互充，網(wǎng)絡(luò)安全體系注重整體概念，何方面的短板都有可能成為被攻擊目標(biāo)，因此要在對現(xiàn)有網(wǎng)絡(luò)進(jìn)行風(fēng)評估的基礎(chǔ)上，清楚地知道網(wǎng)絡(luò)面的最主要危險(xiǎn)和風(fēng)險(xiǎn)，同時(shí)對網(wǎng)絡(luò)身的脆弱性有充分的認(rèn)識(shí)，從而能做到有的放矢，有針對性地加強(qiáng)管和建設(shè)，爭取構(gòu)建一個(gè)具備多重防的安全網(wǎng)絡(luò)。網(wǎng)絡(luò)安全體系的建設(shè)和完善一項(xiàng)長期的工作，新的攻擊和威脅出不窮，而網(wǎng)絡(luò)安全技術(shù)也在不斷化，西藏移動(dòng)目前處于建設(shè)的初步段，還需要不斷地學(xué)習(xí)和探索。網(wǎng)絡(luò)安全工作是一項(xiàng)需要全民與的工作，不只是