前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)資產(chǎn)安全管理范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)資產(chǎn)安全管理范文第1篇

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強，對電信運營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險評估和加固的實踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險、弱點、評估、城域網(wǎng)、IP、AAA、DNS

1信息安全管理概述

普遍意義上，對信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因為偶然或惡意侵犯而導(dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運行”。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程，通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。

信息安全管理的本質(zhì)，可以看作是動態(tài)地對信息安全風(fēng)險的管理，即要實現(xiàn)對信息和信息系統(tǒng)的風(fēng)險進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408－1（信息安全風(fēng)險管理和評估規(guī)則），給出了一個非常經(jīng)典的信息安全風(fēng)險管理模型，如下圖一所示：

圖一信息安全風(fēng)險管理模型

既然信息安全是一個管理過程，則對PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT（計劃－實施與部署－監(jiān)控與評估－維護(hù)和改進(jìn)）的循環(huán)過程。

圖二信息安全體系的“PDCA”管理模型

2建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實際情況，建設(shè)適合于自身的ISMS信息安全管理體系，ISMS的構(gòu)建包含以下主要步驟：

（1）確定ISMS的范疇和安全邊界

（2）在范疇內(nèi)定義信息安全策略、方針和指南

（3）對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險評估

a)Planning（規(guī)劃）

b)InformationGathering（信息搜集）

c)RiskAnalysis（風(fēng)險分析）

uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評估)

uThreatAnalysis（威脅分析）

uVulnerabilityAnalysis（弱點分析）

u資產(chǎn)/威脅/弱點的映射表

uImpact&LikelihoodAssessment（影響和可能性評估）

uRiskResultAnalysis（風(fēng)險結(jié)果分析）

d)Identifying&SelectingSafeguards（鑒別和選擇防護(hù)措施）

e)Monitoring&Implementation（監(jiān)控和實施）

f)Effectestimation（效果檢查與評估）

（4）實施和運營初步的ISMS體系

（5）對ISMS運營的過程和效果進(jìn)行監(jiān)控

（6）在運營中對ISMS進(jìn)行不斷優(yōu)化

3IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理主要實踐步驟

目前，寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高，且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運營者意識到有必要對IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理，以使得能夠動態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險。

由于網(wǎng)絡(luò)運營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗和人才隊伍，所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項目一般按照以下幾個階段，進(jìn)行項目實踐：

3.1項目準(zhǔn)備階段。

a)主要搜集和分析與項目相關(guān)的背景信息；

b)和客戶溝通并明確項目范圍、目標(biāo)與藍(lán)圖；

c)建議并明確項目成員組成和分工；

d)對項目約束條件和風(fēng)險進(jìn)行聲明；

e)對客戶領(lǐng)導(dǎo)和項目成員進(jìn)行意識、知識或工具培訓(xùn)；

f)匯報項目進(jìn)度計劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。

3.2項目執(zhí)行階段。

a)在項目范圍內(nèi)進(jìn)行安全域劃分；

b)分安全域進(jìn)行資料搜集和訪談，包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機和數(shù)據(jù)庫配置信息、機房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過的安全事件信息等；

c)在各個安全域進(jìn)行資產(chǎn)鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析，形成資產(chǎn)表、威脅評估表、風(fēng)險評估表和風(fēng)險關(guān)系映射表；

d)對存在的主要風(fēng)險進(jìn)行風(fēng)險等級綜合評價，并按照重要次序，給出相應(yīng)的防護(hù)措施選擇和風(fēng)險處置建議。

3.3項目總結(jié)階段

a)項目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn)；

b)對項目資產(chǎn)鑒別報告、風(fēng)險分析報告進(jìn)行審核和批準(zhǔn)；

c)對需要進(jìn)行的相關(guān)風(fēng)險處置建議進(jìn)行項目安排；

4IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理實踐要點分析

運營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機為核心的IT系統(tǒng)的安全風(fēng)險管理不同，其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險管理的方法和資料。在項目執(zhí)行的不同階段，需要特別注意以下要點：

4.1安全目標(biāo)

充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。

4.2項目范疇

應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng)：如網(wǎng)管系統(tǒng)、AAA平臺、DNS等。

4.3項目成員

應(yīng)該得到運營商高層領(lǐng)導(dǎo)的明確支持，項目組長應(yīng)該具備管理大型安全咨詢項目經(jīng)驗的人承擔(dān)，且項目成員除了包含一些專業(yè)安全評估人員之外，還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。

4.4背景信息搜集：

背景信息搜集之前，應(yīng)該對信息搜集對象進(jìn)行分組，即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含：

a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)

b)城域網(wǎng)結(jié)構(gòu)和配置

c)接入網(wǎng)結(jié)構(gòu)和配置

d)AAA平臺系統(tǒng)結(jié)構(gòu)和配置

e)DNS系統(tǒng)結(jié)構(gòu)和配置

f)相關(guān)主機和設(shè)備的軟硬件信息

g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口

h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲和安

全需求信息

i)已有的安全事故記錄

j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施

k)相關(guān)機房的物理環(huán)境信息

l)已有的安全管理策略、規(guī)定和指南

m)其它相關(guān)

4.5資產(chǎn)鑒別

資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別，必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺、DNS平臺、網(wǎng)管系統(tǒng)等一級資產(chǎn)組；然后可以在一級資產(chǎn)組內(nèi)，按照功能或地域進(jìn)行劃分二級資產(chǎn)組，如AAA平臺一級資產(chǎn)組可以劃分為RADIUS組、DB組、計費組、網(wǎng)絡(luò)通信設(shè)備組等二級資產(chǎn)組；進(jìn)一步可以針對各個二級資產(chǎn)組的每個設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別，鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。

4.6威脅分析

威脅分析應(yīng)該具有針對性，即按照不同的資產(chǎn)組進(jìn)行針對性威脅分析。如針對IP城域網(wǎng)，其主要風(fēng)險可能是：蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等；而對于DNS或AAA平臺，其主要風(fēng)險可能包括：主機病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機入侵、數(shù)據(jù)庫攻擊、DNS釣魚等。

4.7威脅影響分析

是指對不同威脅其可能造成的危害進(jìn)行評定，作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運營商意見，尤其要充分考慮威脅發(fā)生后可能造成的社會影響和信譽影響。

4.8威脅可能性分析

是指某種威脅可能發(fā)生的概率，其發(fā)生概率評定非常困難，所以一般情況下都應(yīng)該采用定性的分析方法，制定出一套評價規(guī)則，主要由運營商管理人員按照規(guī)則進(jìn)行評價。

網(wǎng)絡(luò)資產(chǎn)安全管理范文第2篇

關(guān)鍵詞：網(wǎng)絡(luò)安全；地面測發(fā)控

中圖分類號：TP311

我國航天研制、發(fā)射任務(wù)日益增加，信息環(huán)境復(fù)雜、多樣，導(dǎo)致測發(fā)控信息暴露于越來越多、越來越廣的威脅和脆弱性當(dāng)中，測發(fā)控信息資產(chǎn)需要加以適應(yīng)的保護(hù)。同時，測發(fā)控網(wǎng)絡(luò)系統(tǒng)建立年代較早，其網(wǎng)絡(luò)安全性設(shè)計與意識遠(yuǎn)遠(yuǎn)落后。因此，保障網(wǎng)絡(luò)正常安全運行并建立測發(fā)控網(wǎng)絡(luò)安全管理系統(tǒng)是測發(fā)控網(wǎng)絡(luò)的工作重點，加強網(wǎng)絡(luò)安全管理迫在眉睫。

1 測發(fā)控網(wǎng)絡(luò)安全現(xiàn)狀

目前，網(wǎng)絡(luò)安全防護(hù)采用“技術(shù)30%，管理70%”的布局，偏頗管理和加強人員網(wǎng)絡(luò)安全意識的效力，并且技術(shù)上僅通過采用殺毒軟件、防火墻以實現(xiàn)網(wǎng)絡(luò)安全防護(hù)，技術(shù)措施單一，缺乏解決深層次網(wǎng)絡(luò)安全問題和威脅的能力。現(xiàn)有測發(fā)控網(wǎng)絡(luò)安全圖如圖1所示。為此，從系統(tǒng)綜合整體的角度去看待、分析，在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)，組成并協(xié)調(diào)建立地面測發(fā)控網(wǎng)絡(luò)安全系統(tǒng)已事在必行。

2 新型網(wǎng)絡(luò)安全管理系統(tǒng)

2.1 新型網(wǎng)絡(luò)安全管理功能

測發(fā)控網(wǎng)絡(luò)安全的解決是一個綜合性問題，涉及到諸多因素，包括技術(shù)、產(chǎn)品和管理等。進(jìn)行網(wǎng)絡(luò)安全體系建設(shè)，要綜合考慮、注重實效，在考慮網(wǎng)間安全、防火墻、病毒查殺、入侵檢測，甚至身份認(rèn)證等系統(tǒng)來解決有關(guān)外部黑客入侵、病毒困擾時，也要同時考慮來自內(nèi)部網(wǎng)絡(luò)的可信環(huán)境下的非授權(quán)網(wǎng)絡(luò)行為和授權(quán)濫用行為，才可能最大限度的構(gòu)建和諧、干凈的測發(fā)控網(wǎng)絡(luò)環(huán)境。測發(fā)控網(wǎng)絡(luò)安全管理系統(tǒng)主要實現(xiàn)以下功能：

（1）對測發(fā)控網(wǎng)絡(luò)分系統(tǒng)工作站進(jìn)行集中的安全保護(hù)、監(jiān)控、審計和管理；

（2）防范非法設(shè)備接入內(nèi)網(wǎng)，確保測發(fā)控網(wǎng)絡(luò)內(nèi)網(wǎng)安全；

（3）整體規(guī)劃測發(fā)控網(wǎng)絡(luò)與設(shè)備的網(wǎng)絡(luò)傳輸行為的計算機網(wǎng)絡(luò)安全設(shè)備；

（4）建立網(wǎng)間防護(hù)，保證各分系統(tǒng)與C3I、異地協(xié)同網(wǎng)絡(luò)之間的網(wǎng)間安全；

（5）安全隔離與信息交換與數(shù)據(jù)加密，保障測試數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中可靠完整；

（6）測發(fā)控網(wǎng)絡(luò)設(shè)備與工作站等資產(chǎn)的統(tǒng)一配置、監(jiān)控、預(yù)警、評估、響應(yīng)，策略、檢測、防護(hù)，實現(xiàn)安全資產(chǎn)和安全信息的歸一化等功能。

2.2 測發(fā)控網(wǎng)絡(luò)安全管理系統(tǒng)組成

立足現(xiàn)有測發(fā)控網(wǎng)絡(luò)現(xiàn)狀，結(jié)合遠(yuǎn)期異地協(xié)同規(guī)劃，測發(fā)控網(wǎng)絡(luò)安全管理確保在安全、可靠和保密的網(wǎng)絡(luò)環(huán)境下完成測試任務(wù)，幫助各分系統(tǒng)網(wǎng)絡(luò)設(shè)備使用統(tǒng)一優(yōu)化、規(guī)范管理，并在遠(yuǎn)期實現(xiàn)與北京總部的異地協(xié)同項目加強網(wǎng)間安全。

測發(fā)控網(wǎng)絡(luò)安全管理系統(tǒng)

（1）安全防護(hù)子系統(tǒng)。安全防護(hù)子系統(tǒng)可以對內(nèi)部終端計算機進(jìn)行集中的安全保護(hù)、監(jiān)控、審計和管理，可自動向終端計算機分發(fā)系統(tǒng)補丁，禁止重要信息通過外設(shè)和端口泄漏，防止終端計算機非法外聯(lián)，防范非法設(shè)備接入內(nèi)網(wǎng)，有效地管理終端資產(chǎn)等。

安全防護(hù)子系統(tǒng)由客戶端模塊、服務(wù)器模塊、控制臺三部分組成。客戶端模塊對終端計算機進(jìn)行監(jiān)控，需要部署于每臺需要被管理的終端計算機上，用于收集數(shù)據(jù)信息，并執(zhí)行來自服務(wù)器模塊的指令。服務(wù)器模塊存儲終端安全策略、終端計算機信息、漏洞補丁數(shù)據(jù)等等，并由服務(wù)器向終端計算機客戶模塊發(fā)送指令。

（2）網(wǎng)間防護(hù)子系統(tǒng)。采用安全邊際技術(shù)，通過防火墻、防病毒墻、入侵防護(hù)等技術(shù)，整體規(guī)劃測發(fā)控網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)傳輸行為的計算機網(wǎng)絡(luò)安全設(shè)備，增加子網(wǎng)與網(wǎng)間安全，實時動態(tài)保護(hù)技術(shù)以全面、有效地保護(hù)網(wǎng)絡(luò)不受侵害，使測發(fā)控網(wǎng)絡(luò)與異地協(xié)同網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)交換。

（3）數(shù)據(jù)加密子系統(tǒng)。通過安全隔離與信息交換與數(shù)據(jù)加密，保障數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中可靠完整，保護(hù)關(guān)鍵業(yè)務(wù)的機密數(shù)據(jù)安全，同時保障數(shù)據(jù)在傳輸過程中不被破壞和惡意竊取。網(wǎng)絡(luò)加密機制建立可信的安全連接，保證數(shù)據(jù)的安全傳輸，實現(xiàn)安全通信的虛擬專用線路，提供全面、可靠、安全和多層次的數(shù)據(jù)保護(hù)。

（4）管理配置子系統(tǒng)。以資產(chǎn)設(shè)備為中心，通過策略配置、設(shè)備監(jiān)控、審計預(yù)警、態(tài)勢評估、安全響應(yīng)的全流程管理，進(jìn)行安全資產(chǎn)和安全信息的歸一化處理、監(jiān)控、分析、審計、報警、響應(yīng)、存儲和報告等功能。管理配置子系統(tǒng)采用三層分布式體系結(jié)構(gòu)，主要由被管對象層、管理中心層、控制臺層組成。

3 結(jié)論

新型地面測發(fā)控網(wǎng)絡(luò)安全管理系統(tǒng)立足現(xiàn)有測發(fā)控網(wǎng)絡(luò)，解決現(xiàn)有病毒查殺費時費力、網(wǎng)絡(luò)設(shè)備與存儲介質(zhì)的管理失控、各分系統(tǒng)應(yīng)用軟件安裝不受控、IP地址更改隨意等現(xiàn)狀；結(jié)合異地協(xié)同項目，完善管理配置子系統(tǒng)網(wǎng)間防護(hù)子系統(tǒng)，統(tǒng)籌規(guī)劃各分系統(tǒng)子網(wǎng)與C3I之間的網(wǎng)絡(luò)架構(gòu)，消除網(wǎng)絡(luò)邊際隱患。同時，建立集中安全信息管理系統(tǒng)；加強應(yīng)用覆蓋范圍。

新型網(wǎng)絡(luò)安全管理系統(tǒng)以測發(fā)控網(wǎng)絡(luò)為基點，重新規(guī)劃、提高和完善測試環(huán)境，從軟件和硬件上采取控制措施以避免安全漏洞，提高測發(fā)控網(wǎng)絡(luò)安全水平，在測發(fā)控網(wǎng)絡(luò)中具有極為重要的意義。

參考文獻(xiàn)：

網(wǎng)絡(luò)資產(chǎn)安全管理范文第3篇

【 關(guān)鍵詞 】 互聯(lián)網(wǎng)；安全；防御；威脅

Key Measures of the "Internet +" Under the New Normal， Safe Operation of the Internet

Xiong Wei

（CPC Hunan Provincial Committee Party School HunanXiangtan 410006 ）

【 Abstract 】 With cloud computing， distributed computing， rapid development of mobile computing technology and improve the development of a new generation of computer technology gave birth to the "Internet +" era， to achieve widespread popularity of the Internet in industrial production， commerce， and virtual reality in and achieved remarkable results. "Internet +" era of many types of network applications， applications scale complex and require strict network security management system and preventive measures， in order to be able to improve network security defense capabilities to ensure the normal application of network security.

【 Keywords 】 internet； security； defense； threats

1 引言

目前，隨著新一代信息技術(shù)地發(fā)展和改進(jìn)，其催生了物聯(lián)網(wǎng)、社會計算、云計算、大數(shù)據(jù)、移動計算等技術(shù)，進(jìn)而實現(xiàn)了網(wǎng)絡(luò)創(chuàng)新2.0，推動了創(chuàng)新2.0的改革和演變，形成了體驗實驗區(qū)、個人創(chuàng)造實驗室、應(yīng)用創(chuàng)新園區(qū)、維基模式等應(yīng)用系統(tǒng)的誕生，實現(xiàn)了傳統(tǒng)行業(yè)與互聯(lián)網(wǎng)融合發(fā)展，形成了“互聯(lián)網(wǎng)+”時代的新業(yè)態(tài)和新形態(tài)。“互聯(lián)網(wǎng)+”時代促進(jìn)了各類基于網(wǎng)絡(luò)的應(yīng)用系統(tǒng)誕生和普及，以云計算、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、大數(shù)據(jù)為代表的新一代信息技術(shù)與工業(yè)制造、生產(chǎn)服務(wù)、金融經(jīng)濟融合創(chuàng)新，打造了新的產(chǎn)業(yè)增長點，為大眾創(chuàng)業(yè)、萬眾創(chuàng)新提供了新的環(huán)境，支撐產(chǎn)業(yè)智能化、經(jīng)濟發(fā)展創(chuàng)新化發(fā)展。隨著人類信息化社會進(jìn)入“互聯(lián)網(wǎng)+”時代，互聯(lián)網(wǎng)應(yīng)用規(guī)模迅速上升，復(fù)雜程度也大幅度增加，互聯(lián)網(wǎng)新常態(tài)下面臨了更多的安全威脅，具體表現(xiàn)在幾個方面。

（1）“互聯(lián)網(wǎng)+”時代安全威脅更加智能。“互聯(lián)網(wǎng)+”時代的到來，促進(jìn)了網(wǎng)絡(luò)木馬、病毒和黑客攻擊技術(shù)的提升，導(dǎo)致網(wǎng)絡(luò)安全威脅日趨智能化，能夠發(fā)現(xiàn)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)存在的、更加隱蔽的風(fēng)險和漏洞進(jìn)行攻擊。

（2）“互聯(lián)網(wǎng)+”時代安全威脅傳播范圍廣、速度快。“互聯(lián)網(wǎng)+”時代，云計算技術(shù)、分布式計算技術(shù)、移動計算技術(shù)使更多的網(wǎng)絡(luò)節(jié)點通過光纖網(wǎng)絡(luò)連接在一起，如果一個網(wǎng)絡(luò)節(jié)點存在漏洞被安全威脅攻擊，則將在更短的時間內(nèi)感染其他節(jié)點，產(chǎn)生更大的損失。

因此，為了能夠提高“互聯(lián)網(wǎng)+”時代網(wǎng)絡(luò)安全管理成效，需要創(chuàng)新網(wǎng)絡(luò)安全管理體系和模式，全方位實現(xiàn)網(wǎng)絡(luò)安全漏洞掃描和風(fēng)險評估，對“互聯(lián)網(wǎng)+”安全管理涉及的節(jié)點資源進(jìn)行審計，采用主動防御技術(shù)實現(xiàn)網(wǎng)絡(luò)安全管理，具有重要的作用和意義。

2 互聯(lián)網(wǎng)安全管理體系創(chuàng)新及其模式

2.1 網(wǎng)絡(luò)安全風(fēng)險評估

網(wǎng)絡(luò)安全風(fēng)險評估可以有效評估網(wǎng)絡(luò)軟硬件資源受到的威脅，以便能夠?qū)踩{控制在可接受的范圍內(nèi)。網(wǎng)絡(luò)安全風(fēng)險評估是確定計算機網(wǎng)絡(luò)中是否存在潛在威脅和攻擊事件的重要工具。網(wǎng)絡(luò)安全風(fēng)險評估包括五種基本要素，分別是資產(chǎn)、威脅、脆弱性、信息安全風(fēng)險和安全措施。資產(chǎn)是指計算機網(wǎng)絡(luò)節(jié)點使用的、有價值的固定設(shè)備、軟件系統(tǒng)等有形或無形的資產(chǎn)。威脅是指可能對資產(chǎn)造成損害的一些潛在的攻擊事件或非法事件，威脅可以使用主體、動機、資源和途徑等多個屬性進(jìn)行聯(lián)合刻畫。脆弱性是指可能被威脅利用的薄弱環(huán)節(jié)或漏洞，其可以對資產(chǎn)造成損失。信息安全風(fēng)險包括自熱因素造成的風(fēng)險或人為因素造成的風(fēng)險，能夠利用計算機軟硬件存在的漏洞攻擊計算機網(wǎng)絡(luò)，破壞網(wǎng)絡(luò)的安全性。安全措施是指為了能夠防御計算機信息系統(tǒng)遭到破壞，以便能夠采用入侵檢測、防火墻等具體的措施，保護(hù)資產(chǎn)安全，防御安全攻擊事件發(fā)生，并且能夠用來打擊犯罪，其包括各類規(guī)范、防御技術(shù)等。

2.2 網(wǎng)絡(luò)安全審計

網(wǎng)絡(luò)安全審計可以通過數(shù)據(jù)采集、數(shù)據(jù)分析、安全審計響應(yīng)等過程，能夠獲取網(wǎng)絡(luò)操作系統(tǒng)的使用狀況和設(shè)備狀態(tài)信息，并且可以將采集到的數(shù)據(jù)進(jìn)行統(tǒng)一變換，實施預(yù)處理，接著使用數(shù)據(jù)分析技術(shù)，按照既定的安全審計規(guī)則，鑒別數(shù)據(jù)中存在的異常行為、非法行為。安全審計分析完成之后，可以根據(jù)安全審計的結(jié)果做出相關(guān)的響應(yīng)操作，安全審計響應(yīng)主要包括主動響應(yīng)和被動響應(yīng)。安全審計系統(tǒng)檢測到網(wǎng)絡(luò)中存在的異常行為之后，安全審計系統(tǒng)不主動做出響應(yīng)；安全審計系統(tǒng)通過發(fā)出異常檢測報警，可以通過告警彈窗、發(fā)送短消息、郵件等到管理員處，由其他人員或者安全設(shè)備采取預(yù)防或改進(jìn)措施。

2.3 網(wǎng)絡(luò)主動防御系統(tǒng)

傳統(tǒng)的網(wǎng)絡(luò)安全通常采用訪問控制列表、防火墻、包過濾、入侵檢測等技術(shù)，雖然能夠阻止網(wǎng)絡(luò)木馬、病毒和黑客的攻擊。但是隨著“互聯(lián)網(wǎng)+”時代的到來，網(wǎng)絡(luò)安全威脅技術(shù)日趨智能，傳播速度越來越快，感染范圍也越來越廣泛，傳統(tǒng)網(wǎng)絡(luò)安全防御已經(jīng)無法滿足“互聯(lián)網(wǎng)+”時代網(wǎng)絡(luò)安全管理需求，因此在網(wǎng)絡(luò)安全管理過程中，可以采用網(wǎng)絡(luò)安全主動防御技術(shù)提高網(wǎng)絡(luò)安全管理能力。網(wǎng)絡(luò)安全主動防御技術(shù)主要包括預(yù)警、防護(hù)、檢測、響應(yīng)、恢復(fù)和反擊六種，將這六種技術(shù)有機集成在一起，分布于網(wǎng)絡(luò)安全防御的不同層次，構(gòu)建深度防御體系，能夠及時地發(fā)現(xiàn)大數(shù)據(jù)時代網(wǎng)絡(luò)中非法入侵信息和不正常數(shù)據(jù)，以便能夠及時地對攻擊行為進(jìn)行阻斷、反擊，恢復(fù)網(wǎng)絡(luò)至正常的運行狀態(tài)。

3 互聯(lián)網(wǎng)安全運營的關(guān)鍵措施

3.1 管理措施

“互聯(lián)網(wǎng)+”時代，網(wǎng)絡(luò)應(yīng)用系統(tǒng)使用制度具有較為重要的作用，許多計算機網(wǎng)絡(luò)安全專家提出，網(wǎng)絡(luò)安全七分防御、三分管理，因此可以甚至網(wǎng)絡(luò)安全管理制度在安全管理過程中，具有不可替代的作用。網(wǎng)絡(luò)安全應(yīng)用用戶越來越多，網(wǎng)絡(luò)安全操作用戶大部分非計算機專業(yè)人才，因此需要建立健全管理制度，以便能夠規(guī)范網(wǎng)絡(luò)用戶操作，強化用戶網(wǎng)絡(luò)安全防御技術(shù)培訓(xùn)，定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全漏洞掃描和評估，并且制定網(wǎng)絡(luò)安全防御策略，使得網(wǎng)絡(luò)安全管理制度融入到工作、生活和學(xué)習(xí)過程中，通過學(xué)習(xí)、培訓(xùn)，提高用戶的安全意識，增強用戶的警覺性。

3.2 技術(shù)措施

網(wǎng)絡(luò)安全主動防御技術(shù)主要包括安全預(yù)警、安全保護(hù)、安全監(jiān)測、安全響應(yīng)、網(wǎng)絡(luò)恢復(fù)和網(wǎng)絡(luò)反攻擊等六種。網(wǎng)絡(luò)安全預(yù)警可以有效地對網(wǎng)絡(luò)中可能發(fā)生的攻擊進(jìn)行警告，包括漏洞預(yù)警、行為預(yù)警、攻擊趨勢預(yù)警等措施，預(yù)知網(wǎng)絡(luò)未來可能發(fā)生的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全保護(hù)可以采用多種手段，保護(hù)網(wǎng)絡(luò)安全系統(tǒng)的機密性、可用性、完整性、不可否認(rèn)性和可控性，網(wǎng)絡(luò)安全保護(hù)措施主要包括防病毒軟件、防火墻服務(wù)器、虛擬專用網(wǎng)等技術(shù)。網(wǎng)絡(luò)安全監(jiān)測的主要目的是能夠及時地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的攻擊信息，以便能夠檢測網(wǎng)絡(luò)中是否存在非法信息流，檢測網(wǎng)絡(luò)服務(wù)系統(tǒng)是否存在安全漏洞等，以便能夠?qū)崟r地應(yīng)對網(wǎng)絡(luò)安全攻擊，網(wǎng)絡(luò)安全監(jiān)測技術(shù)包括入侵檢測技術(shù)、網(wǎng)絡(luò)安全掃描技術(shù)和網(wǎng)絡(luò)實時監(jiān)控技術(shù)。

網(wǎng)絡(luò)安全響應(yīng)能夠?qū)W(wǎng)絡(luò)中存在的病毒、木馬等安全威脅做出及時的反應(yīng)，以便進(jìn)一步阻止網(wǎng)絡(luò)攻擊，將網(wǎng)絡(luò)安全威脅阻斷或者引誘到其他的備用主機上。網(wǎng)絡(luò)恢復(fù)技術(shù)可以為了保證網(wǎng)絡(luò)受到攻擊之后，能夠及時地恢復(fù)系統(tǒng)，需要在平時做好備份工作，常用的備份技術(shù)包括現(xiàn)場外備份、現(xiàn)場內(nèi)備份和冷熱備份等。網(wǎng)絡(luò)安全反擊技術(shù)是主動防御系統(tǒng)最為重要的特征之一，其可以對網(wǎng)絡(luò)攻擊源進(jìn)行有效的反擊，網(wǎng)絡(luò)安全反擊綜合采用各類網(wǎng)絡(luò)攻擊手段，確保網(wǎng)絡(luò)高效服務(wù)用戶。

4 結(jié)束語

隨著“互聯(lián)網(wǎng)+”時代的到來，網(wǎng)絡(luò)安全攻擊技術(shù)更加智能、傳播速度更快、影響范圍更加廣泛，構(gòu)建和實現(xiàn)新的網(wǎng)絡(luò)安全管理系統(tǒng)，可以全方位實現(xiàn)網(wǎng)絡(luò)安全防御。

參考文獻(xiàn)

[1] 郭威，曾濤，劉偉霞.計算機網(wǎng)絡(luò)技術(shù)與安全管理維護(hù)的研究[J]. 信息通信， 2014， 32（10）：164-164.

[2] 田紅廣.如何加強計算機網(wǎng)絡(luò)的安全管理和安全防范[J].軟件， 2014， 26（1）：92-93.

[3] 蔡艷.探討數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)信息安全管理中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2013， 21（10）：58-58.

網(wǎng)絡(luò)資產(chǎn)安全管理范文第4篇

IM和P2P淪為黑客攻擊管道

從終端來看，垃圾郵件，蠕蟲病毒，間諜軟件，針對即時通訊和P2P應(yīng)用安全事件正成為終端安全隱患的主要來源。

FaceTime通訊公司最新的調(diào)查報告說，微軟的MSN網(wǎng)絡(luò)仍然是被攻擊得最多的即時通訊網(wǎng)絡(luò)，2004年和2005年都是如此，而被攻擊數(shù)量下降得最快的網(wǎng)絡(luò)是美國在線的AIM 網(wǎng)絡(luò)。即時通訊威脅對于企業(yè)的IT人員來說是一種非常大的挑戰(zhàn)，因為它們利用了實時通訊的管道以及全球各地的即時通訊網(wǎng)絡(luò)進(jìn)行繁殖，它們的傳播速度比電子郵件攻擊快很多。

根據(jù)披露，2005年11月有一個國際黑客組織已經(jīng)利用即時通訊軟件病毒控制了1.7萬臺個人電腦組成僵尸網(wǎng)絡(luò)為商業(yè)目的攻擊行為做準(zhǔn)備。

我們也已知道，即時消息和P2P 應(yīng)用在帶來方便性、實時性、新業(yè)務(wù)商機的同時，也給最終用戶、企業(yè)網(wǎng)絡(luò)和電信網(wǎng)絡(luò)帶來多方位的安全威脅。通常來說，這些安全威脅包括：邊界安全措施失效；難以控制文件數(shù)據(jù)的共享和流動，帶來病毒、木馬、蠕蟲等；容易導(dǎo)致知識產(chǎn)權(quán)損失、泄密等；由于大量使用非標(biāo)準(zhǔn)、不公開協(xié)議，使用動態(tài)、隨即、非固定的端口；難以檢測、過濾和管理；隱藏于HTTP管道中的各種潛在的隱秘通道。

我們也可以看到在復(fù)雜的網(wǎng)絡(luò)環(huán)境下一些有代表性的P2P網(wǎng)絡(luò)安全產(chǎn)品，提供基于包過濾特性提供針對P2P傳輸?shù)姆雷o(hù)，在保障安全的同時還可阻止并記錄國際上幾乎所有的P2P封殺機構(gòu)(如RIAA、MPAA、MediaForce、BaySTP、NetPD等等)對計算機進(jìn)行探測連接，從而避免隱私外泄，可以自動下載最新的屏蔽列表來屏蔽各種廣告、間諜軟件及研究機構(gòu)對機器的掃描。

目前業(yè)界一些致力于IM/P2P的專業(yè)廠商也推出了針對保護(hù)用戶免受IM與P2P的安全威脅，將檢測和分析通過IM傳播的病毒與蠕蟲、通過IM發(fā)送的垃圾郵件“SPIM”、惡意代碼等的整體方案。

針對IM的安全管理，比如IM監(jiān)控，P2P的監(jiān)控等，正在成為網(wǎng)關(guān)級防御，針對IM和P2P，垃圾郵件監(jiān)控、管理和控制等等需求和話題正在不斷催生出相關(guān)應(yīng)用的針對性安全解決方案。

UTM：潮流趨勢所至

在企業(yè)級領(lǐng)域，由于信息基礎(chǔ)設(shè)施的不斷增加和應(yīng)用的不斷擴展，企業(yè)公共出口的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的布局已經(jīng)發(fā)展到一定階段，隨著縱深防御概念逐漸深入，威脅已經(jīng)從外部轉(zhuǎn)向內(nèi)部。從產(chǎn)品來看，UTM（一體化的威脅管理）正在成為新的增長點。在混合攻擊肆虐的時代，單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要，而對于集成多種安全功能的UTM設(shè)備來說，以其基于應(yīng)用協(xié)議層防御、超低誤報率檢測、高可靠高性能平臺、統(tǒng)一組件化管理的優(yōu)勢將得到越來越多的青睞。

由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備，因此UTM設(shè)備本身的性能和可靠性要求非常高，同時，UTM時代的產(chǎn)品形態(tài)，實際上是結(jié)合了原有的多種產(chǎn)品、技術(shù)精華，在統(tǒng)一的產(chǎn)品管理平臺下，集成防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、防拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體，實現(xiàn)多種的防御功能。

鑒此，安全廠商與網(wǎng)絡(luò)廠商合作，共同開發(fā)和研制UTM設(shè)備將是今后發(fā)展的必然趨勢。

威脅由外轉(zhuǎn)內(nèi)

對于內(nèi)網(wǎng)安全，已經(jīng)進(jìn)入到內(nèi)網(wǎng)合規(guī)性管理的階段。目前，內(nèi)網(wǎng)安全的需求有兩大趨勢，一是終端的合規(guī)性管理，即終端安全策略、文件策略和系統(tǒng)補丁的統(tǒng)一管理；二是內(nèi)網(wǎng)的業(yè)務(wù)行為審計，即從傳統(tǒng)的安全審計或網(wǎng)絡(luò)審計，向?qū)I(yè)務(wù)行為審計的發(fā)展，這兩個方面都是非常重要的。

從現(xiàn)狀來看，根據(jù)美國洋基集團（Yankee Group）一項針對北美和西歐六百家公司的調(diào)查顯示，2005年的安全問題有六成源自內(nèi)部，高于前一年的四成。該集團表示：“威脅已從外部轉(zhuǎn)向內(nèi)部”。每年企業(yè)界動輒投資上千萬防毒防黑，但企業(yè)防御失效的另一個容易被忽略的問題是：來自員工、廠商或其它合法使用系統(tǒng)者的內(nèi)部濫用。在漏洞攻擊愈來愈快速的今日，有可能因為一個訪客攜入的計算機而癱瘓幾千萬IT設(shè)備。

中小企業(yè)面臨的三大安全威脅是病毒攻擊、垃圾郵件、網(wǎng)絡(luò)攻擊，因而有很多廠商推出了針對中小企業(yè)的集成式套裝產(chǎn)品。對內(nèi)網(wǎng)終端設(shè)備的管理，通過基于網(wǎng)絡(luò)的控制臺使管理員能夠從產(chǎn)品分發(fā)、運行監(jiān)控、組件升級、配置修改、統(tǒng)一殺毒、應(yīng)急響應(yīng)等全過程，實施集中式的管理，強制部署的安全策略，有助于避免企業(yè)用戶無心過錯導(dǎo)致的安全漏洞。而新型病毒與黑客技術(shù)結(jié)合得越來越緊密，與此相對應(yīng)，防病毒軟件與防火墻、IDS等技術(shù)配合得越來越緊密。只有多種技術(shù)相互補充配合，才可以有效對付混合威脅。

大型企業(yè)有一定的信息化基礎(chǔ)，對于內(nèi)網(wǎng)安全來說，企業(yè)用戶需要實施整體的安全管理策略。 內(nèi)網(wǎng)安全管理系統(tǒng)需要將安全網(wǎng)管、內(nèi)網(wǎng)審計與內(nèi)網(wǎng)監(jiān)控有機地結(jié)合在一起，以解決企業(yè)內(nèi)部專用網(wǎng)絡(luò)的安全管理、安全控制和行為監(jiān)視為目標(biāo)，采用主動的安全管理和安全控制的方式。將內(nèi)部網(wǎng)絡(luò)的安全隱患以技術(shù)的手段進(jìn)行有效的控制，全面保護(hù)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)。運用多種技術(shù)手段，從源頭上阻止了敏感信息泄漏事件的發(fā)生。

對于大型企業(yè)來說，選用的產(chǎn)品需要能夠自動發(fā)現(xiàn)關(guān)鍵業(yè)務(wù)資產(chǎn)，并確定威脅企業(yè)IT環(huán)境完整性的安全漏洞。通過采集實時的技術(shù)庫，并且將它們與基于風(fēng)險的任務(wù)列表（帶有補救指導(dǎo)）中已驗證的漏洞相關(guān)聯(lián)，并且?guī)椭髽I(yè)確定哪些漏洞將影響哪些資產(chǎn)。最終為企業(yè)提供一份即時的關(guān)于關(guān)鍵性業(yè)務(wù)資產(chǎn)的風(fēng)險評估。對于企業(yè)內(nèi)網(wǎng)來說，行之有效的安全管理是各種規(guī)模企業(yè)所企盼的，固若金湯的城池，往往在內(nèi)部安全威脅面前形同虛設(shè)。“內(nèi)憂”勝于“外患”，企業(yè)不僅需要鑄造抵抗外部風(fēng)險的縱深防御體系，同樣需要著重管理，打造安全和諧的內(nèi)部環(huán)境。

網(wǎng)絡(luò)資產(chǎn)安全管理范文第5篇

【關(guān)鍵詞】安全評估 私網(wǎng)評估 閉環(huán)管理

中圖分類號：TP317.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-1010（2016）18-0062-05

1 背景研究

隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和網(wǎng)絡(luò)安全事件的逐年增加，手工加輔助工具方式的傳統(tǒng)主機風(fēng)險評估系統(tǒng)雖然目前運用得較廣泛，但是這種半自動的方式工作效率不高且操作麻煩，在這種情況下，實現(xiàn)自動化的安全評估系統(tǒng)成為亟待解決的重要問題[1-2]。同時，隨著中國電信安全評估檢查工作的不斷深化開展，越來越多的業(yè)務(wù)平臺納入到安全評估的檢查范圍，而各業(yè)務(wù)平臺普遍存在私網(wǎng)資產(chǎn)，針對這些私網(wǎng)資產(chǎn)的安全評估檢查工作對于運維人員來說是一個很大的難題[3]。

1.1 問題分析

在當(dāng)前的電信網(wǎng)絡(luò)實際運行環(huán)境中，開展安全評估工作主要存在以下方面的問題[4]：

（1）待檢查的設(shè)備數(shù)量多，需要人工參與的評估工作量太大，耗費大量的人力資源；

（2）安全運維流程零散雜亂，無電子化的安全運維流程；

（3）系統(tǒng)評估過程中使用的工具多，需要將各安全評估系統(tǒng)臨時接入到各個數(shù)據(jù)業(yè)務(wù)系統(tǒng)中進(jìn)行掃描或采用臨時打通通路的方式，這種安全評估方式要在日常維護(hù)中定期頻繁的實施基本上不可行[5]；

（4）缺乏統(tǒng)一安全現(xiàn)狀呈現(xiàn)，對于設(shè)備安全信息現(xiàn)狀和系統(tǒng)整體安全情況只是體現(xiàn)在定期報告中，無安全現(xiàn)狀的實時呈現(xiàn)[6]。

1.2 解決思路

山東電信前期已建成SOC（Security Operation Center，安全運營中心）網(wǎng)絡(luò)安全管理平臺，它是一個統(tǒng)一的安全管理中心，協(xié)調(diào)包括安全評估子系統(tǒng)、異常流量監(jiān)控子系統(tǒng)、攻擊溯源子系統(tǒng)等眾多第三方安全子系統(tǒng)在內(nèi)的聯(lián)動工作。因此，在SOC平臺中嵌入一鍵式安全掃描評估閉環(huán)模塊，從安全運維的實際需求出發(fā)，為管理、運維、監(jiān)控人員提供統(tǒng)一的安全自評估平臺，全面實現(xiàn)安全評估自動化、日常化、全面化和集中化。通過提高安全評估工作效率，實現(xiàn)安全工作融入日常工作，將各種評估手段結(jié)合起來以實現(xiàn)全面評估，同時進(jìn)行集中化的分析匯總與呈現(xiàn)[7]。

2 技術(shù)方案設(shè)計

2.1 設(shè)計目標(biāo)

以SOC網(wǎng)絡(luò)安全管理平臺為中樞，建立統(tǒng)一的安全評估管理流程，分別面向監(jiān)控、維護(hù)及管理人員，提供集中化統(tǒng)一的安全評估界面，全面助力一鍵式自助安全評估工作落地。

2.2 技術(shù)方案

（1）評估閉環(huán)管理模型

如圖1所示，一鍵式自助安全掃描評估以安全風(fēng)險管理為核心，通過SOC安全管理平臺集中化管理，實現(xiàn)對安全資產(chǎn)的自動化掃描評估，從而達(dá)到對安全風(fēng)險的全面管控，并且與電子運維工單系統(tǒng)對接，將評估結(jié)果和整改建議通過工單系統(tǒng)通知到相應(yīng)的維護(hù)責(zé)任人，及時對安全漏洞進(jìn)行整改處置，對于暫時無法整改的漏洞需在SOC平臺進(jìn)行備案說明[8]。

通過一鍵式自助安全掃描評估，配置不同的任務(wù)策略和模板，實現(xiàn)以安全資產(chǎn)或業(yè)務(wù)系統(tǒng)兩種不同維度的任務(wù)自動下發(fā)，并對掃描評估結(jié)果進(jìn)行統(tǒng)一管理與備案。通過“發(fā)現(xiàn)-掃描-評估-整改-復(fù)查”的閉環(huán)評估法則[9]，能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)中的未知安全資產(chǎn)，全面掃描安全資產(chǎn)漏洞，清晰定性網(wǎng)絡(luò)安全風(fēng)險，并給出修復(fù)建議和預(yù)防措施，同時將漏洞整改流程固化到系統(tǒng)中，從而在自動化安全評估的基礎(chǔ)上實現(xiàn)安全自主掌控[10]。

（2）私網(wǎng)安全評估技術(shù)

針對防火墻NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）后的私網(wǎng)資產(chǎn)無法通過網(wǎng)絡(luò)直接進(jìn)行訪問，導(dǎo)致遠(yuǎn)程安全評估無法有效開展的技術(shù)難題，通過部署安全私網(wǎng)評估，建立L2TP（Layer 2 Tunneling Protocol，第二層通道協(xié)議）安全隧道，遠(yuǎn)程實現(xiàn)對私網(wǎng)資產(chǎn)的安全掃描。

私網(wǎng)安全評估架構(gòu)如圖2所示。其中，針對私網(wǎng)設(shè)備無法實現(xiàn)自動掃描的問題，利用部署在私網(wǎng)平臺的機，由機與集中平臺（SOC平臺）建立通訊通道，通過公網(wǎng)穿透打通集中平臺（SOC平臺）與私網(wǎng)資產(chǎn)的網(wǎng)絡(luò)層可達(dá)性。機接收集中平臺（SOC平臺）控制機下發(fā)的安全評估指令并轉(zhuǎn)發(fā)私網(wǎng)資產(chǎn)；私網(wǎng)資產(chǎn)將安全指令反饋數(shù)據(jù)返回給機；機上報安全評估指令結(jié)果給集中平臺（SOC平臺）控制機進(jìn)行備案。整個過程采用心跳機制進(jìn)行保活。

的角色分為：

SOC平臺公共（Public Proxy）：部署于中心SOC平臺內(nèi)網(wǎng)，與安全評估子系統(tǒng)同一個子網(wǎng)IP網(wǎng)段；

業(yè)務(wù)平臺分布式本地（Local Proxy）：直接通過私網(wǎng)日志采集改造，與業(yè)務(wù)平臺NAT不可達(dá)資產(chǎn)都是內(nèi)網(wǎng)網(wǎng)段。

的作用如下：

隧道協(xié)商與建立：各業(yè)務(wù)平臺分布式本地主動向中心SOC平臺的外網(wǎng)防火墻進(jìn)行L2TP隧道協(xié)商，協(xié)商成功后建立起Hub-and-Spoke的L2TP隧道；

數(shù)據(jù)流通過隧道Push推送與交互：對于安全評估子系統(tǒng)內(nèi)掃描工具發(fā)起的掃描流量，先到達(dá)SOC平臺公共，由公共將掃描流量封裝進(jìn)已建立好的L2TP隧道，并轉(zhuǎn)發(fā)給業(yè)務(wù)平臺分布式本地，本地收到流量后進(jìn)行隧道解封，還原內(nèi)層原始IP包頭，將原始掃描流量送到NAT不可達(dá)資產(chǎn)上。

通過該方法可有效解決防火墻NAT后不可達(dá)資產(chǎn)的自動化安全風(fēng)險評估問題，且不改變現(xiàn)網(wǎng)的組網(wǎng)架構(gòu)，業(yè)務(wù)配置變動實現(xiàn)零配置。通過分布在各業(yè)務(wù)平臺的本地與中心SOC平臺的公共進(jìn)行隧道連接，并通過公共與本地之間的交互，實現(xiàn)掃描流量的轉(zhuǎn)發(fā)[11]。

（3）掃描器聯(lián)動調(diào)度

一鍵式安全掃描評估依托于SOC安全管理平臺，由SOC平臺與眾多第三方安全掃描子系統(tǒng)聯(lián)動進(jìn)行掃描，可根據(jù)實際應(yīng)用情況進(jìn)行相應(yīng)的接口擴展。通過與安全評估子系統(tǒng)聯(lián)動的高耦合度，實現(xiàn)日常安全評估工作的任務(wù)自動化。

SOC平臺掃描器聯(lián)動調(diào)度流程如圖3所示。

SOC平臺調(diào)度分為直連掃描調(diào)度和私網(wǎng)掃描調(diào)度，具體如下：

直連掃描調(diào)度是指掃描器與被掃描設(shè)備之間網(wǎng)絡(luò)可達(dá)，直接通過SOC平臺調(diào)度程序向掃描器發(fā)起資產(chǎn)掃描請求，掃描器在掃描完成后再向SOC平臺反饋掃描結(jié)果；

私網(wǎng)掃描調(diào)度是指掃描器與被掃描設(shè)備之間網(wǎng)絡(luò)不可達(dá)，需要借助私網(wǎng)評估的VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）隧道建立連接打通網(wǎng)絡(luò)后，通過公共和本地間IP掃描報文的傳遞，把掃描器的IP掃描請求報文發(fā)送到私網(wǎng)內(nèi)的被掃描資產(chǎn)，同時把掃描結(jié)果應(yīng)答傳遞回掃描器，最后再由掃描器將結(jié)果反饋到SOC平臺集中展現(xiàn)。

具體步驟如下：

步驟1：通過SOC的安全評估任務(wù)計劃模塊，在計劃任務(wù)配置時設(shè)定掃描資產(chǎn)的私網(wǎng)IP地址段與相關(guān)聯(lián)的本地IP地址（本地的IP地址即通過L2TP建立隧道后撥號獲得的唯一地址），通過掃描資產(chǎn)+相關(guān)聯(lián)的本地對，解決私網(wǎng)網(wǎng)段地址重疊問題；

步驟2：可通過預(yù)先將掃描工具的網(wǎng)關(guān)配置為公共地址，在任務(wù)執(zhí)行時將掃描工具的流量牽引到公共上來；

步驟3：公共的網(wǎng)卡設(shè)為混雜模式，捕獲到該掃描工具的掃描流量，通過已建立好的L2TP隧道，封裝報文后通過L2TP隧道轉(zhuǎn)發(fā)給本地；

步驟4：本地將L2TP隧道報頭拆除，露出內(nèi)層的原始掃描報文，并將內(nèi)層掃描報文的源IP地址修改為本地IP，同時在map映射表中記錄下這一映射關(guān)系，之后將掃描報文轉(zhuǎn)發(fā)給被掃描的最終資產(chǎn)；

步驟5：最終資產(chǎn)收到掃描報文后，根據(jù)掃描的內(nèi)容進(jìn)行響應(yīng)，將結(jié)果回包給本地；

步驟6：本地收到最終資產(chǎn)的掃描結(jié)果回包，命中map映射表的映射關(guān)系，將報文的目的IP地址還原為掃描工具的IP地址，并封裝報文通過L2TP隧道返回給公共；

步驟7：公共收到此報文后將L2TP隧道報頭拆除，露出內(nèi)層的原始掃描結(jié)果返回報文，并轉(zhuǎn)發(fā)給掃描工具進(jìn)行結(jié)果分析；

步驟8：掃描工具得到掃描結(jié)果報文進(jìn)行分析，將分析結(jié)果上傳到SOC平臺進(jìn)行結(jié)果備案。

3 現(xiàn)網(wǎng)測試效果

利用“一鍵自助安全評估功能模塊”節(jié)省了以往人工安全掃描、基線檢查的大量時間，并縮短了評估周期，極大地提高了安全評估工作效率。下面是以部門安全管理員的角色執(zhí)行一次安全巡檢、調(diào)度整改的閉環(huán)使用過程。

3.1 添加掃描評估任務(wù)

在“掃描任務(wù)管理”菜單下新增掃描評估任務(wù)，按系統(tǒng)提示步驟依次輸入掃描周期、掃描方式、掃描設(shè)備和掃描范圍等信息，完成任務(wù)的添加，如圖4所示。

3.2 掃描評估任務(wù)執(zhí)行

任務(wù)添加完成后，系統(tǒng)會根據(jù)任務(wù)周期定時開始執(zhí)行掃描任務(wù)，任務(wù)執(zhí)行過程中可通過任務(wù)狀態(tài)查看任務(wù)是否執(zhí)行結(jié)束，如圖5所示。

3.3 評估任務(wù)結(jié)果查看

任務(wù)執(zhí)行完成后，在漏洞結(jié)果管理中可查看到每個資產(chǎn)需要整改的漏洞信息，雙擊一條漏洞記錄可查看到該漏洞的詳細(xì)信息，包括漏洞名稱、漏洞CVE（Common Vulnerabilities & Exposures，公共漏洞和暴露）編號、漏洞描述、漏洞解決方案等，并且還能查看到該漏洞每次掃描的歷史狀態(tài)信息，如圖6所示。

3.4 漏洞整改與備案

部門管理員根據(jù)漏洞的解決方案對相應(yīng)的資產(chǎn)進(jìn)行漏洞整改，整改完成后需要在系統(tǒng)上填寫漏洞整改說明，完成漏洞的整改備案，如圖7所示。

4 結(jié)束語

本文通過研究部署并實現(xiàn)一鍵式自助安全評估，可極大地提高安全評估的效率，從而提升應(yīng)對威脅的響應(yīng)速度。在傳統(tǒng)評估方式下，完成一套業(yè)務(wù)平臺全方位的安全評估平均時長是8小時，通過一鍵式自助安全評估項目的實施，完成同樣平臺的安全評估僅需要1小時，大大減少了人力成本的投入。同時，通過一鍵式自助安全評估將日常安全評估工作作為一個周期性的工作流程固化到統(tǒng)一安全管理平臺中，有針對性地對存在風(fēng)險的資產(chǎn)進(jìn)行定制化的安全評估工作，能夠進(jìn)一步提高評估工作的準(zhǔn)確性，從而推動并實現(xiàn)安全評估的自動化、日常化、全面化和集中化。

參考文獻(xiàn)：

[1] 汪玉凱. 信息安全是國家安全的當(dāng)務(wù)之急[J]. 中國報道， 2014（122）： 2.

[2] 國家互聯(lián)網(wǎng)應(yīng)急中心. CNCERT互聯(lián)網(wǎng)安全威脅報告[R]. 2014.

[3] IP網(wǎng)絡(luò)安全技術(shù)編寫組. IP網(wǎng)絡(luò)安全技術(shù)[M]. 北京： 人民郵電出版社， 2008.

[4] 李蔚. 業(yè)務(wù)安全評估初探[J]. 信息安全與通信保密， 2012（8）： 113-115.

[5] 陳濤，高鵬，杜雪濤，等. 運營商業(yè)務(wù)安全風(fēng)險評估方法研究[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化， 2013（11）： 71-75.

[6] 曹永剛. 電信運營商業(yè)務(wù)網(wǎng)安全風(fēng)險評估及防范措施探討[J]. 電信網(wǎng)技術(shù)， 2012（2）： 41-44.

[7] 何國鋒. 電信運營商在大數(shù)據(jù)時代的信息安全挑戰(zhàn)和機遇探析[J]. 互聯(lián)網(wǎng)天地， 2014（11）： 55-58.

[8] 岳榮，李洪. 探討移動互聯(lián)網(wǎng)安全風(fēng)險及端到端的業(yè)務(wù)安全評估[J]. 電信科學(xué)， 2013（8）： 74-79.

[9] 周鳴，常霞. 電信移動業(yè)務(wù)網(wǎng)絡(luò)風(fēng)險評估和安全防護(hù)[J]. 信息網(wǎng)絡(luò)安全， 2013（10）： 14-16.