一(yī)、路由與交換技術的學習心得
1、要背的東西很多。2、實驗要多做。3、推薦的學習網站鴻鹄論壇。4、推薦的視頻(pín)闫輝講的。
二、網絡工(gōng)程的私活在哪裏找?綜合布線,交換機,路由器,網絡搭建的這些項目的私活在哪裏找啊?
現在接私活要不是平台,要不是介紹,百度搜索找一(yī)下(xià)。
三、信息安全管理實踐
信息安全管理平台的設計和實現離(lí)不開(kāi)整體(tǐ)的信息安全規劃和建設思路,而信息安全的實踐根據不同行業、不同組織的自身特點也有着相應的建設思路。針對歸納提煉的信息安全三大(dà)屬性即機密性、可用性和完整性,不同實踐思路也有着不同側重點。
7.3.1 金融行業安全管理實踐
改革開(kāi)放(fàng)30多年來,中(zhōng)國的金融信息化建設是從無到有、從單一(yī)業務向綜合業務發展,取得了一(yī)定的成績。如今已從根本上改變了傳統金融業務的處理模式,建立了以計算機和互聯網爲基礎的電(diàn)子清算系統和金融管理系統。
随着金融行業信息化的發展,業務系統對信息系統的依賴程度也越來越高,信息安全的問題也越來越突出。爲了有效防範和化解風險,保證金融組織信息系統平穩運行和業務持續開(kāi)展,需要建立金融組織信息安全保障體(tǐ)系,以增強金融組織的信息安全風險防範能力。
7.3.1.1 需求分(fēn)析
随着世界經濟全球化和網絡化的發展,國外(wài)的金融變革對我(wǒ)國的影響越來越大(dà)。由于利益的驅使,針對金融業的安全威脅越來越多,金融業必須加強自身的信息安全保護工(gōng)作,建立完善的安全機制來抵禦外(wài)來和内在的信息安全威脅。
随着銀行業務的不斷發展,其網絡系統也經曆了多年的不斷建設,多數商(shāng)業銀行進行了數據的大(dà)集中(zhōng)。在業務水平、網絡規模不斷提升的同時,銀行的網絡也變得越來越複雜(zá),而這種複雜(zá)也使其安全問題越來越嚴峻。目前各金融體(tǐ)系的建設标準很難統一(yī),阻礙了金融信息化的進一(yī)步發展。在國有商(shāng)業銀行全面實施國家金融信息化标準前,許多銀行都已經建立了自己的體(tǐ)系,由于機型、系統平台、計算機接口以及數據标準的不統一(yī),使得各地的差距比較大(dà),系統的整合比較困難,标準化改造需要一(yī)段時間。金融組織充分(fēn)認識到安全保證對于業務系統的重要性,采取了相應的安全措施,部署了一(yī)些安全設備。公衆對信息安全的防範意識也有所提高,但信息犯罪的增加、安全防護能力差、信息基礎嚴重依賴國外(wài)、設備缺乏安全檢測等信息安全方面由來已久的問題并未得到解決。加強對計算機系統、網絡技術的安全研究,完善内控管理機制,确保業務數據和客戶信息的安全,全面提高計算機的安全防範水平已是國内各大(dà)銀行面臨的共同問題。但是安全的動态性、系統性的屬性決定了安全是一(yī)個逐步完善、整體(tǐ)性的系統工(gōng)程,需要管理、組織和技術各方面的合力。
7.3.1.2 安全體(tǐ)系建設
安全體(tǐ)系建設的目标是通過建立完善的信息安全管理制度和智能、深度的安全防禦技術手段,構建一(yī)個管理手段與技術手段相結合的全方位、多層次、可動态發展的縱深安全防範體(tǐ)系,來實現信息系統的可靠性、保密性、完整性、有效性、不可否認性,爲金融業務的發展提供一(yī)個堅實的信息系統基礎保證。信息安全防範體(tǐ)系的覆蓋範圍是整個信息系統。
安全體(tǐ)系建設的主要工(gōng)作内容有:
(1)建立和完善銀行信息安全管理組織架構,專門負責信息系統的安全管理和監督。
(2)設計并實施技術手段,技術手段要包括外(wài)網邊界防護、内網區域劃分(fēn)與訪問控制、端點準入、内網監控與管理、移動辦公接入、撥号安全控制、病毒防範、安全審計、漏洞掃描與補丁管理等諸多方面安全措施。通過劃分(fēn)安全域的方法,将網絡系統按照業務流程的不同層面劃分(fēn)爲不同的安全域,各個安全域内部又(yòu)可以根據業務元素對象劃分(fēn)爲不同的安全子域;針對每個安全域或安全子域來标識其中(zhōng)的關鍵資(zī)産,分(fēn)析所存在的安全隐患和面臨的安全風險,然後給出相應的保護措施;不同的安全子域之間和不同的安全域之間存在着數據流,這時候就需要考慮安全域邊界的訪問控制、身份驗證和審計等安全策略的實施。
(3)制訂金融安全策略和安全管理制度。安全管理部門結合銀行信息系統的實際情況,制訂合理的安全策略,對信息資(zī)源進行安全分(fēn)級,劃分(fēn)不同安全等級的安全域,進行不同等級的保護。如加強系統口令管理;進行權限分(fēn)離(lí),明确責任人;加強内審機制;注意授權的最小(xiǎo)化和時效性,除非真正需要,一(yī)般隻授最小(xiǎo)權限,到一(yī)定時間後就收回授權,并且形成制度和流程;對所有服務器進行漏洞掃描,形成資(zī)産脆弱性報告;建立數據的異地容災備份中(zhōng)心;物(wù)理和環境的安全。制訂并執行各種安全制度和應急恢複方案,保證信息系統的安全運行。這些包括密碼管理制度、數據加密規範、身份認證規範、區域劃分(fēn)原則及訪問控制策略、病毒防範制度、安全監控制度、安全審計制度、應急反應機制、安全系統升級制度等。
(4)建立安全運維管理中(zhōng)心,集中(zhōng)監控安全系統的運行情況,集中(zhōng)處理各種安全事件。針對金融應用系統、數據庫的黑客攻擊越來越多,僅僅通過設立邊界防火(huǒ)牆,建立、改善、分(fēn)析服務器日記文件等被動的方式是不夠的,監測黑客入侵行爲最好的方法是能夠當時就能監測出惡意的網絡入侵行爲,并且馬上采取防範反擊措施加以糾正,因此ids的部署也就必不可少。
(5)統一(yī)制定安全系統升級策略,并及時對安全系統進行升級,以保證提高安全體(tǐ)系防護能力。
(6)容災、備份系統。金融組織關鍵數據丢失會中(zhōng)斷正常業務運行,損失不可估量。要保護數據,保證數據的高可用性和不間斷性,需要建立備份、容災系統。備份和容災兩個系統相輔相成,兩者都是金融組織數據安全的重要保障,而且兩者的目标是不同的。容災系統的目的在于保證系統數據和服務的“在線性”,即當系統發生(shēng)故障時,仍然能夠正常地向網絡系統提供數據和服務,以使系統不緻停頓。備份是“将在線數據轉移成離(lí)線數據的過程”,其目的在于應付系統數據中(zhōng)的邏輯錯誤和曆史數據保存。
7.3.2 電(diàn)子政務安全管理實踐
政府組織作爲國家的職能機關,其信息系統安全跟國家安全緊密結合在一(yī)起。信息的可用性尤爲重要,在某些領域信息的機密性也是政府組織信息安全建設的重中(zhōng)之重。電(diàn)子政務涉及對國家機密和敏感度高的核心政務信息的保護,涉及維護社會公共秩序和行政監管的準确實施,涉及爲企業和公民提供公共服務的質量保證。
在電(diàn)子政務系統中(zhōng),政府機關的公文往來、資(zī)料存儲、服務提供都以電(diàn)子化的形式來實現。然而,電(diàn)子政務一(yī)方面的确可以提高辦公效率、精簡機構人員(yuán)、擴大(dà)服務内容、提升政府形象,另一(yī)方面也爲某些居心不良者提供了通過技術手段竊取重要信息的可能。而且考慮到網絡本身所固有的開(kāi)放(fàng)性、國際性和無組織性,政府網絡在增加應用自由度的同時,政府網絡對安全提出了更高的要求。
7.3.2.1 需求分(fēn)析
電(diàn)子政務是一(yī)個由政務内網、政務外(wài)網和互聯網三級網絡構成。政務内網爲政府部門内部的關鍵業務管理系統和核心數據應用系統,政務外(wài)網爲政府部門内部以及部門之間的各類非公開(kāi)應用系統,所涉及的信息應在政務外(wài)網上傳輸,與互聯網相連的網絡,面向社會提供的一(yī)般應用服務及信息發布,包括各類公開(kāi)信息和非敏感的社會服務。由于我(wǒ)國大(dà)部分(fēn)政府官員(yuán)和公務員(yuán)對信息技術、網絡技術和計算機技術還未接觸或接觸不多,防範方法和技術欠缺,整體(tǐ)素質與電(diàn)子政務安全防範的要求還有很大(dà)的距離(lí)。電(diàn)子政務最常見的安全問題,包括網站被黑、數據被篡改和盜用、秘密洩露、越權浏覽等。
因此,政府網絡常見的信息安全需求如下(xià):
(1)統一(yī)的安全管理平台。目前政府信息系統較常見的安全威脅主要來自很多無意的人爲因素而造成的風險,如由于用戶安全意識不強導緻的病毒泛濫、賬戶口令安全薄弱等。對集中(zhōng)統一(yī)的安全管理軟件,如病毒軟件管理系統、身份認證管理系統以及網絡安全設備管理軟件等要求較高。因此,通過安全管理平台可有效地實現全網的安全管理,同時還可以針對人員(yuán)進行安全管理和培訓,增強人員(yuán)的安全防範意識。這就對安全管理平台和專業的網絡安全服務提出了較高的要求。
(2)信息的保密性和完整性。由于政府網絡上存有重要信息,對信息的保密性和完整性要求非常高。信息可能面臨多層次的安全威脅,如通過電(diàn)磁輻射或線路幹擾等物(wù)理威脅、洩漏或者存放(fàng)機密信息的系統被攻擊等威脅。同時針對網上報稅等電(diàn)子政務應用還要求嚴格保障信息的完整性,這都需要從網絡安全角度整體(tǐ)考慮,配合統一(yī)的網絡安全策略并選擇相應的安全産品,保障網絡的信息安全。
7.3.2.2 建設思路
(1)内外(wài)網物(wù)理隔離(lí)。一(yī)般來講,政府組織内部網絡可以根據功能劃分(fēn)爲電(diàn)子政務網與辦公網兩部分(fēn)。安全域是以信息涉密程度劃分(fēn)的網絡空間。涉密域就是涉及國家秘密的網絡空間。非涉密域就是不涉及國家的秘密,但是涉及本單位、本部門或者本系統的工(gōng)作秘密的網絡空間。公共服務域是指不涉及國家秘密也不涉及工(gōng)作秘密,是一(yī)個向互聯網絡完全開(kāi)放(fàng)的公共信息交換空間。國家相關文件嚴格規定,政務的内網和政務的外(wài)網要實行嚴格的物(wù)理隔離(lí)。政務的外(wài)網和互聯網絡要實行邏輯隔離(lí)。按照安全域的劃分(fēn),政府的内網就是涉密域,政府的外(wài)網就是非涉密域,互聯網就是公共服務域。
(2)建立嚴格的防範機制。政府組織外(wài)部網絡面臨最大(dà)的威脅是來自互聯網的惡意攻擊行爲,重在“防範”,通過部署防垃圾郵件系統、防病毒系統、入侵檢測系統、防拒絕服務攻擊系統,保證政府門戶網站對外(wài)宣傳。建立政府上網信息保密審查制度,堅持“誰上網誰負責”的原則,信息上網必須經過信息提供單位的嚴格審查和批準。各級保密工(gōng)作部門和機構負責本地區本部門網上信息的保密檢查,發現問題,及時處理。
(3)遵循信息安全管理國際标準。改變我(wǒ)國的信息安全管理依靠傳統的管理方法和手段的模式,實現現代的系統管理技術手段。國際标準bs7799和iso/iec17799是流行的信息安全管理體(tǐ)系标準。其中(zhōng)的管理目标爲數據的保密性、完整性和可用性,具有自組織、自學習、自适應、自修複、自生(shēng)長的能力和功能,保證持續有效性。通過計劃、實施、檢查、措施四個階段周而複始的循環,應用于其整體(tǐ)過程、其他過程及其子過程,例如信息安全風險評估或者商(shāng)務持續性計劃的安排等,爲信息安全管理體(tǐ)系與質量管理體(tǐ)系、環境管理體(tǐ)系等的整合運行提供了方便。在模式和方法上都兼容,成爲統一(yī)的内部綜合管理體(tǐ)系,包括按照可信網絡架構方法,編制信息安全解決方案、多層防範多級防護、等級保護、風險評估、重點保護;針對可能發生(shēng)的事故或災害,制定信息安全應急預案,建立新機制、規避風險、減少損失;根據相應的政策法規在網絡工(gōng)程數據設計、建設和驗收等階段實行同步審查,建立完善的數據備份、災難恢複等應用,确保實時、安全、高效、可靠的運行效果。
(4)建立健全網絡信息安全基礎設施。我(wǒ)國的網絡安全基礎設施建設還處于初級階段,應該盡快建立網絡監控中(zhōng)心、安全産品評測中(zhōng)心、計算機病毒防治中(zhōng)心、關鍵網絡系統災難恢複中(zhōng)心、網絡安全應急響應中(zhōng)心、電(diàn)子交易安全證書(shū)授權中(zhōng)心、密鑰監管中(zhōng)心等國家網絡安全基礎設施。目前,國際出入口監控中(zhōng)心和安全産品評測認證中(zhōng)心已經初步建成。安全産品評測認證中(zhōng)心由安全标準研究、産品安全測試、系統安全評估、認證注冊部門和網絡安全專家委員(yuán)會組成。積極推動電(diàn)子政務公鑰基礎設施建設,建立政府網絡安全防護與通報機制以及網絡身份認證制度,加速政府部門之間的信息交流和共享,增強網絡活動的安全保障,确保信息的有效性和安全性。建立中(zhōng)國的電(diàn)子政務公鑰基礎設施/認證中(zhōng)心(pki/ca)體(tǐ)系事關全局,各級地方和部門應在國家級ca的體(tǐ)系下(xià),嚴格按照國家有關主管部門的統一(yī)部署,有序建設。
7.3.3 軍隊軍工(gōng)安全管理實踐
軍隊軍工(gōng)行業網絡經過多年信息化建設已經初具規模,随着内網資(zī)源共享程度增加,網絡安全保密的威脅和風險也同時增大(dà),參照涉密網保密資(zī)質的要求,目前的網絡現狀存在很大(dà)洩密的威脅和風險。而且軍隊軍工(gōng)行業網絡中(zhōng)有大(dà)量的涉密文件和信息,對保密性的要求特别嚴格。
軍隊軍工(gōng)信息系統的計算機網絡規模龐大(dà),終端、網絡設備衆多,應用環境複雜(zá),信息系統中(zhōng)對數據安全和網絡安全方面要求保證絕對機密,同時要求系統持續可靠運行。
7.3.3.1 安全需求分(fēn)析
目前,我(wǒ)軍應用的信息技術,大(dà)部分(fēn)是引進西方發達國家,沒有形成具有自主知(zhī)識産權的核心技術。網絡系統使用的芯片、操作系統、協議、标準、先進密碼技術和安全産品幾乎被國外(wài)壟斷。由于受技術水平等限制,對從外(wài)國引進的關鍵信息設備可能預做手腳的情況無從檢測和排除,客觀上造成了軍隊關鍵信息基礎建設防護水平不高,存在安全隐患。英國omega基金會在一(yī)次報告中(zhōng)明确指出,在歐洲,全部電(diàn)子郵件、電(diàn)話(huà)和傳真等通訊都處于美國國家安全局的日常監聽(tīng)之下(xià)。當前我(wǒ)國的信息安全研究處于忙于封堵現有信息安全漏洞階段。要徹底解決這些問題,歸根結底取決于信息安全保障體(tǐ)系的建設。主要有以下(xià)需求:
進一(yī)步完善軍隊軍工(gōng)行業的網絡安全管理制度和執行力度,以确保整個網絡系統的安全管理處于較高的水平;配備相應的物(wù)理安全防護設施,确保網中(zhōng)重要機房的安全,确保關鍵主機及涉密終端的物(wù)理安全;建立軍隊軍工(gōng)ca證書(shū)服務中(zhōng)心,從而構建起基于證書(shū)的安全基礎支撐平台;建立統一(yī)的身份認證和訪問控制平台,爲管理系統提供統一(yī)的身份認證和訪問控制服務,給予相應人員(yuán)對應的權限,阻斷越權操作等非法行爲;通過防火(huǒ)牆技術在自己與互聯網之間建立一(yī)道信息安全屏障,一(yī)方面将軍網與互聯網物(wù)理隔離(lí),防止黑客進入軍網,另一(yī)方面又(yòu)能安全地進行網間數據交換。确保網絡關鍵主機和涉密終端的安全,确保存儲在軍工(gōng)網關鍵主機和涉密終端中(zhōng)機密信息的安全,在保證信息暢通的基礎上,有效阻止非法信息獲取或數據篡改,避免對系統的惡意破壞導緻系統癱瘓;健全數據備份/恢複和應急處理機制,确保網絡信息系統的各種數據實時備份,當數據資(zī)源在受到侵害破壞損失時,及時地啓動備份恢複機制,可以保證系統的快速恢複,而不影響整個網絡信息系統的正常運轉。對于服務器和工(gōng)作站端來說,必須建立一(yī)個整體(tǐ)、全面的反病毒體(tǐ)系結構,解決網絡中(zhōng)的病毒傳播和防病毒集中(zhōng)監控問題;使用安全評估和性能檢測工(gōng)具,準确而全面地報告網絡存在的脆弱性和漏洞,爲用戶和管理者了解主機與網絡設備的服務開(kāi)啓情況、系統漏洞情況,爲調整安全策略、确保網絡安全提供決策依據。
7.3.3.2 安全解決思路
(1)安全域訪問控制。在軍隊廣域網中(zhōng)将若幹個區域網絡實體(tǐ)利用隧道技術連接成虛拟的獨立網絡,網絡中(zhōng)的數據利用加(解)密算法進行加密封裝後,通過虛拟的公網隧道在各網絡實體(tǐ)間傳輸,從而防止未授權用戶竊取、篡改信息。軍隊軍工(gōng)網絡不同安全級别之間嚴格遵循高密級信息禁止流向低密級信息系統。不同密級之間數據傳輸隻能是“高密級讀低密級,低密級寫高密級”;對不同密級的邊界進行細顆粒或基于證書(shū)的訪問控制、審計、檢測策略;相同密級的不同科研單位之間,原則上不開(kāi)放(fàng)相互訪問權限。通過在路由器主闆上增加安全加密模件來實現路由器信息和ip包的加密、身份鑒别和數據完整性驗證、分(fēn)布式密鑰管理等功能。使用安全路由器可以實現軍隊各單位内部網絡與外(wài)部網絡的互聯、隔離(lí)、流量控制、網絡和信息安全維護,也可以阻塞廣播信息和小(xiǎo)知(zhī)名地址的傳輸,達到保護内部信息化與網絡建設安全的目的。軍隊軍工(gōng)項目管理系統建立基于證書(shū)的身份認證和權限管理,不同密級的用戶或用戶組劃分(fēn)不同的權限。根據密級要求和用戶實際的安全需求,對終端的硬件、軟件資(zī)源使用建立訪問控制策略,并通過技術手段實施、監控和管理。
(2)保密措施綱要。設立專門的信息安全管理機構,人員(yuán)應包括領導和專業人員(yuán)。按照不同任務進行分(fēn)類,以确立各自的職責。一(yī)類人員(yuán)負責确定安全措施,包括方針、政策、策略的制定,并協調、監督、檢查安全措施的實施;另一(yī)類人員(yuán)負責具體(tǐ)管理系統的安全工(gōng)作,包括信息安全管理員(yuán)、信息保密員(yuán)和系統管理員(yuán)等。在分(fēn)類的基礎上,應有具體(tǐ)的負責人負責整個網絡系統的安全。采取強制訪問控制策略,從安全域劃分(fēn)、邊界訪問控制、入侵檢測、遠程網絡加密、主機管理、系統安全性能檢測、數字簽名抗抵賴、審計等多方面,在物(wù)理層、網絡層、系統層、應用層采取相應手段進行防護、檢測、稽核、管理、控制。針對物(wù)理層、網絡層、系統層、應用層和管理層對涉密信息可用性、有效性帶來的威脅,從恢複與備份、病毒與惡意代碼防護、應急響應體(tǐ)系、系統配置管理幾個方面,以确保涉密系統的運行安全。
(3)互聯網管理與監控。在涉密網網絡建設規劃中(zhōng),嚴格按照“物(wù)理隔離(lí)”的要求進行網絡建設,但根據以往的安全保密管理經驗,存在一(yī)些安全意識淡薄或故意有洩密行爲的人員(yuán),通過本地可外(wài)連的網絡,把涉密信息通過外(wài)網傳輸出去(qù),造成嚴重洩密,故在軍隊軍工(gōng)領域由于科研需要,存在一(yī)定範圍的互聯網的情況下(xià),必須對互聯網上的網絡行爲進行實時的監控和審計,并針對互聯網網絡進行嚴格的管理。主要的安全措施是在各個互聯網出口部署互聯網審計系統,通過專用的互聯網信息安全審計管理中(zhōng)心系統統一(yī)管理。爲管理用戶提供一(yī)個統一(yī)的對互聯網上多種事件的安全處置管理平台,提供全方位的網絡控制、遠程查詢和詳盡的報表統計功能,采用統一(yī)的數據庫和統一(yī)的管理界面進行管理,全方位協助管理部門對互聯網進行審計管理。可以集中(zhōng)完成分(fēn)布在不同網絡内的互聯網用戶的安全、審計管理,實現在一(yī)個平台下(xià),有效地進行信息共享、綜合分(fēn)析、統一(yī)管理的目的。
(4)采用安全性較高的系統和使用數據加密技術。美國國防部技術标準把操作系統安全等級分(fēn)爲d1、c1、c2、b1、b2、b3、a1級,安全等級由低到高。目前主要的操作系統等級爲c2級,在使用c2級系統時,應盡量使用c2級的安全措施及功能,對操作系統進行安全配置。在極端重要的系統中(zhōng),應采用b級操作系統。對軍事涉密信息在網絡中(zhōng)的存儲和傳輸可以使用傳統的信息加密技術和新興的信息隐藏技術來提供安全保證。在傳發保存軍事涉密信息的過程中(zhōng),不但要用加密技術隐藏信息内容,還要用信息隐藏技術來隐藏信息的發送者、接收者甚至信息本身。通過隐藏術、數字水印、數據隐藏和數據嵌入、指紋和标杆等技術手段可以将秘密資(zī)料先隐藏到一(yī)般的文件中(zhōng),然後再通過網絡來傳遞,提高信息保密的可靠性。
(5)備份與恢複。涉密網備份與恢複,主要考慮到涉密數據、應用數據的備份,電(diàn)源安全與設備的備份,同時備份環境基于一(yī)定的環境安全上。對各個研究組織的應用數據和涉密數據,建立專門的備份服務器,并建立數據備份号恢複策略和相關管理制度,以協助完善應急響應體(tǐ)系,關鍵數據和涉密數據在24小(xiǎo)時内恢複和重建。
(6)應急響應體(tǐ)系。軍工(gōng)網絡應急響應體(tǐ)系建設,主要依托基于物(wù)理安全、運行安全、信息保密安全建立的相應檢測、監控、審計等技術手段,對系統運行事件和涉密事件實施不同的應急響應策略和管理制度。制訂相應的處理預案和安全演練培訓。涉密事件處理通過安全檢查工(gōng)具和審計工(gōng)具,有針對性地發現和檢測洩密事件;采取果斷措施切斷洩密源頭,控制洩密範圍;評估涉密事件風險,上報、記錄。安全事件處理通過入侵檢測、病毒防護、防火(huǒ)牆、主機審計、網絡審計等技術手段,發現運行安全事件;制訂相應事件的處理預案和培訓;評估事件對系統的影響,并修補漏洞、記錄。
