安全架构范文
安全架构范文(精选12篇)
关键词:企业,网络架构,安全
0 引言
随着全球信息化步伐的不断深入, 许多企业纷纷加入信息化大潮中, 并组建了自己的信息网络, 电子商务、电子信息和企业网站等多种形式的网络技术得到了广泛的应用。
但是企业在最初的网络架构设计中对网络类型和网络服务选择的不同, 导致网络形式多样化。这些多样化也为网络的维护带来不便, 更使网络的安全性受到一定程度的威胁, 如黑客入侵、恶意插件和病毒等。
1 当前企业网络安全问题
企业信息网络的规模伴随这企业规模的增大不断增大, 这直接导致企业网络系统的复杂化, 如平台的多样化、数据保存的多样化和网络形式的多样化等, 这些都会使网络的不安全因素增多。总体而言, 企业网络安全问题主要来源于两个方面:企业内部网络安全和互联网安全。
1.1 企业内部网络安全
企业内部网络系统中的硬件故障、操作系统漏洞、操作人员管理失误、黑客入侵、数据保存不当和技术漏洞等都可以引发网络安全问题。网络系统中的网络设备发生故障都可能造成企业数据的丢失, 甚至造成整个企业网络系统的瘫痪。另外, 除了硬件故障威胁, 企业购买或定制的操作系统、网络协议和各种管理和操作软件都会存在安全隐患。
1.2 企业外部网络问题
企业外部网络问题主要来自于黑客入侵和病毒肆虐。黑客们往往利用网络协议漏洞和企业中使用的管理软件漏洞等对企业网络进行入侵和破坏, 窃取企业信息或破坏企业的业务流, 甚至给企业网络中植入病毒。计算机病毒会通过网络信息浏览、文件下载、电子邮件等途径进行自身的繁衍和传播并实时的对计算机网络系统中的数据进行篡改和泄漏。
2 企业信息网络架构设计
2.1 信息安全目标
信息安全涉及到信息的保密性 (Confidentiality) 、完整性 (Integrity) 、可用性 (Availability) , 即保护网络系统的可用性, 保护网络系统服务的连续性, 防范网络资源的非法访问及非授权访问, 防范入侵者的恶意攻击与破坏, 保护信息通过网上传输过程中的机密性、完整性, 防范病毒的侵害, 实现网络的安全管理。
2.2 信息安全保障体系基本框架
通过人、管理和技术手段三大要素, 构成动态的信息与网络安全保障体系框架WPDRR模型, 实现系统的安全保障。WPDRR是指:预警 (Warning) 、保护 (Protection) 、检测 (Detection) 、反应 (Reaction) 、恢复 (Recovery) , 五个环节具有时间关系和动态闭环反馈关系。
安全保障是综合的、相互关联的, 不仅仅是技术问题, 而是人、管理和技术三大要素的结合。
2.3 安全体系结构技术模型
对安全的需求是任何单一安全技术都无法解决的, 应当选择适合的安全体系结构模型, 信息和网络安全保障体系由安全服务、协议层次和系统单元三个层面组成, 且每个层面都包含安全管理的内容。
2.4 信息安全体系架构
通过对网络应用的全面了解, 按照安全风险、需求分析结果、安全策略以及网络的安全目标。具体的安全控制系统可以从以下几个方面分述:物理安全、系统安全、网络安全、应用安全、管理安全。
物理安全:
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:环境安全, 对系统所在环境的安全保护, 如区域保护和灾难保护;设备安全, 设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;媒体安全, 包括媒体数据的安全及媒体本身的安全, 为了防止系统中的信息在空间上的扩散, 通常是在物理上采取一定的防护措施, 来减少或干扰扩散出去的空间信号。
系统安全:
系统安全主要指操心系统安全和应用系统安全。操作系统的安全性在计算机信息系统的整体安全性中具有十分重要的作用。企业在架设安全信息系统时, 要尽量采用安全性较高的网络操作系统, 并进行必要的安全配置, 关闭不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件的使用权限进行严格限制, 加强口令字的使用, 如增加口令复杂程度、不要使用与用户身份有关的信息作为口令等, 配备操作系统安全扫描系统对操作系统进行安全性扫描, 发现其中存在的安全漏洞, 并及时给系统打补丁。在应用系统安全上, 应用服务器也要关闭一些不常用的服务和协议, 如HTTP、FTP、TELNET、RLOGIN等服务;另外, 要加强登录身份认证, 确保用户使用的合法性;并严格限制登录者的操作权限, 将其完成的操作限制在最小的范围内, 并充分利用操作系统和应用系统本身的日志功能, 对用户所访问的信息做记录, 为事后审查提供依据。
网络安全:
网络安全是整个安全解决方案的关键, 包括访问控制、入侵检测和病毒防护等。访问控制不但要从技术上进行控制, 还要从管理上加强控制。企业首先要建立严格的管理制度, 如《用户授权实施细则》、《口令字及账户管理规范》、《安全责任制度》等;选择合适的网络防火墙, 通过防火墙制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录, 并按制定的策略实行响应, 它一般包括控制台和探测器, 控制台用作制定及管理所有探测器。探测器用作监听进出网络的访问行为, 根据控制台的指令执行相应行为。由于计算机病毒具有不可估量的威胁性和破坏力, 因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节之一, 常见的反病毒技术有预防病毒、检测病毒和杀毒三种技术。
应用安全:
应用安全要严格控制内部员工对网络共享资源的使用, 减少对共享目录的使用。对有经常交换信息需求的用户, 在共享时也必须加上必要的口令认证机制, 即只有通过口令的认证才允许访问数据。对有涉及秘密信息的用户主机, 使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据服务器中的数据库必须做安全备份。通过网络备份系统, 可以对数据库进行远程备份存储。
安全管理:
制定健全的安全管理体制, 制定健全的安全管理体制将是网络安全得以实现的重要保证。可以根据自身的实际情况, 制定如安全操作流程、安全事故的奖罚制度以及对任命安全管理人员的考查等。构建安全管理平台, 构建安全管理平台将会降低很多因为无意的人为因素而造成的风险。构建安全管理平台从技术上如, 组成安全管理子网, 安装集中统一的安全管理软件, 如病毒软件管理系统、网络设备管理系统以及网络安全设备统管理软件。通过安全管理平台实现全网的安全管理。增强人员的安全防范意识, 应该经常对单位员工进行网络安全防范意识的培训, 全面提高员工的整体网络安全防范意识。
3 结束语
企业网络系统的安全防护是一项长期以来极具挑战性的课题。它的发展往往伴随着网络技术的发展其自身也在不断的更新和调整。信息安全是一个企业赖以生存的基础保障, 只有信息安全得到保障, 企业的网络系统才有其存在的价值。网络安全是一项系统的工程, 需要我们综合考虑很多实际的需求问题, 灵活运用各种网络安全技术才能组建一个高效、稳定、安全的企业网络系统。
参考文献
[1]邱早丰.大型企业信息化应用系统网络平台研究[J].电子工程师.2008 (08) .
[2]宋国华.某企业计算机网络安全系统设计与实现[D].电子科技大学2012.
[3]丁宁.企业网络设计与实现[D].大连海事大学2011.
但是,同其他任何行业一样,网络安全风险的阴霾如同网络技术的孪生子,伴随着网络技术在金融行业的全面应用而全面笼罩在金融行业各个业务角落。尤其是网上银行系统,由于其基础环境的开放性和不确定性,使其和传统银行业务相比会面临更大的技术风险,因此,如何保障网上银行交易系统的安全,关系到整个网上银行的健康发展,安全是网上银行建设中最重要的问题,也是对客户资金安全的根本保障。
信息化为金融行业的业务发展提供了强有力的后台支撑。然而,如果信息缺少了安全的保障,那么信息化对于企业来说不是竞争力的提高而是一场灾难,可靠的计算机安全防御系统是金融行业保障网上银行安全和发展的前提条件。
一、网上银行应用架构及安全风险分析
1、网上银行业务整体架构
网上银行客户通过互联网登录到银行的门户Web服务器,通过CFCA认证后连接到该行网上银行的Web服务器,同时进行RA的身份认证。随后,客户的请求数据通过加密后传达至网上银行应用(app)服务器并与银行的核心业务系统主机进行联机,享受全方位的网上金融服务。另一方面,银行网点通过登录网银管理服务器进行客户证书签发、客户信息管理等相关操作,整体应用架构大致可划分为用户接入层、应用前置层和系统数据层(见图1)。
2、网上银行安全需求分析
(1)用户接入层。该层主要完成网上银行客户接入和访问需求,主要包括企业Web服务器和网银Web服务器,由于网银Web服务器直接暴露于互联网上,经常成为互联网基于Web攻击的首要对象,因此,Web服务器前不仅要通过防火墙实现基于网络层或传输层的访问控制,通过部署IPS实现深度安全检测,还需要通过SSL安全网关实现数据加密的接入。此外,还需额外部署流量清洗设备实现DDOS攻击防御,以期打造网银第一道坚固防线。
(2)应用前置层。该层主要完成网银系统的相关业务操作,主要包括网银APP服务器、网银前置、网银管理服务器等。网银APP服务器提供网银系统的业务逻辑,包括会话管理、提交后台处理以及向Web服务器提交应答页面等;网银前置(或ESB系统)负责将APP服务器提交的业务请求经过协议处理、数据格式转换或加密后转交到综合业务系统的主机进行处理;网银管理服务器实现网银用户管理功能(如开户、注销、证书下载、密码修改等)。对其要求主要是保障服务高可用性与网络访问安全性。因而有针对的部署服务器负载分担设备可实现业务流量在多台服务器间的均匀分配,从而提升业务的响应速度和服务高可用性。在访问安全方面,可以通过异构的防火墙系统进行访问权限控制,通过漏洞扫描设备实现整体的主机安全性能加固。
(3)系统数据层。该层主要完成网银和综合业务系统的数据交互,主要包括网银数据库(DB)服务器和综合业务系统主机。网银DB服务器的主要作用是保存、共享各种及时业务数据(如客户支付金额)和静态数据(如利率表),支持业务信息系统的运作,对登录客户进行合法性检查。
综合业务系统主要完成网银的账务处理、客户数据及密码的存放等。这个区域的显著特点是要保障数据的高速交互能力和高可用性,应该相对弱化安全设备的部署而加强服务器以及磁盘阵列的冗余操作。主要通过异构防火墙设备进行区域间的访问策略控制。
二、网上银行安全架构及典型拓扑分析
1、网上银行安全整体架构
前文从网银业务的角度分析了网银系统中各类服务器的网络安全需求,将整体的网银业务划分为三个安全需求层次,各安全层以防火墙作为区域安全边界。为提高网银的整体安全性,各区域边界防火墙最好采用不同厂家的产品,由此在整体布局上形成了多层异构防火墙的安全架构(见图2)。
网上银行用户数据通过SSL加密再经过流量清洗和IDS/IPS检测,到达网银Web服务器,Web服务器提供网银的登录界面和操作环境,网银APP服务器发起业务逻辑,根据用户交易请求获取相关数据,完成网银交易。合理的安全架构设计使得数据流向清晰可控,各类安全技术手段有机结合,有效地保障了网上银行的信息安全。
用户接入区
安全区集中管理系统数据核心审计工具日志分析内部防火墙网银APP、验签、网银应用前置漏洞扫描工具应用负载分担外部防火墙数据中心内网网银Web服务器SSL卸载非军事区SSL加密网上银行用户流量清洗链路负载分担CFCA互联网2、网上银行分区的典型拓扑各商业银行由于自身业务系统的差异,网银系统安全架构会有不同的设计,但基本的技术构成类似,各部分的功能也相似。图3是较为典型的商业银行网银分区拓扑设计。
(1)系统高可用性设计。网上银行是一个实时在线的系统,因此要着重考虑系统的高可用性设计。
负载均衡设备、防火墙等网络设备采用双机设计,并在对等设备之间启用热备份协议,以实现设备之间的热备切换。设备之间均采用双路由链接,以保障设备之间的路由互相备份,实现高可用设计。
SSL安全网关、IPS入侵防御等网络安全设备采用双机双路设计,由负载均衡设备进行Web服务器探测,检测到故障时切换到另外一路。
网银Web服务器采用双机设计,对等双机之间采用专用HA,主机和网络设备链接均采用双路由链路互相备份。同时,配置链路负载均衡设备可以实现两个链路自动负载均衡和动态DNS解析。由运营商1的互联网用户发起的访问自动访问银行端运营商1的接口IP地址,并自动从运营商1的线路返回。当其中一条互联网线路中断后,所有用户访问的流量和返回的流量均走一条链路。
关键词 物联网 威胁 安全架构
1 引言
随着信息通信技术的不断进步,通信网络作为信息通信技术的重要基础,已经从人到人的通信发展到人到物以及物到物,并逐渐从纵向的局部物物相连过渡到横向的跨应用、跨地域的物联网。所谓物联网(Internet of Things),指的是通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物品与互联网相连接,进行信息交换和通信,以实现智能化识别、定位、跟踪、监控和管理的一种网络概念。从1999年提出物联网概念到现在,很多科研成果不断涌现,但从物联网的安全角度看还相当薄弱,需要各国和组织提高安全认识,找到可靠有效的安全机制。
2 物联网的体系架构及威胁分析
根据对物联网的理论探讨和技术、产业的实践观察,目前物联网业界比较认可的是将系统划分为三个层次:感知层、网络层、应用层,如图1所示,并概括的描绘物联网的系统架构。
感知层解决的是人类世界和物理世界的数据获取的问题。可进一步划分为两个子层,首先是通过传感器、码相机等设备采集外部物理世界的数据,然后通过RFID、条码、工业现场总线、蓝牙、红外等短距离传输技术传递数据。感知层所需要的关键技术包括检测技术、短距离有线和无线通信技术等。感知层所面临的威胁主要有对节点本省的物理攻击、长时间占用信道导致合法通信
无法进行引起的信道阻塞、伪造攻击、信息篡改等。
网络层解决的是感知层所获得的数据在一定范围内,通常是长距离的传输问题。这些数据可以通过移动通信网,国际互联网、企业内部网、各类专网、小型局域网等网络传输。特别是当三网融合后,有线电视网也能承担物联网网络层的功能,有利于物联网的加快推进。网络层所需要的关键技术包括长距离有线和无线通信技术、网络技术等。网络层受到的攻击主要有:虚假路由信息的传播、选择性转发/不转发、黑洞攻击、hello包泛洪等攻击都会使得发送的数据包到达不了目的地,从而造成网络混乱。
应用层解决的是信息处理和人机界面的问题。网络层传输而来的数据在这一层里进入各类信息系统进行处理,并通过各种设备与人进行交互。这一层也可按形态直观地划分为两个子层。一个是应用程序层,进行数据处理,它涵盖了国民经济和社会的每一领域,包括电力、医疗、银行、交通、环保、物流、工业、农业、城市管理、家居生活等,包括支付、监控、安保、定位盘点、预测等,可用于政府、企业、社会组织、家庭、个人等。这正是物联网作为深度信息化的重要体现。另一个是终端设备层,提供人机界面。物联网虽然是“物物相连的网”,但最终是要以人为本的,最终还是需要人的操作与控制,不过这里的人机界面已远远超出现时人与计算机交互的概念,而是泛指与应用程序相连的各种设备与人的反馈。应用层所面临的安全主要有本地安全威胁,如设备的盗用与破坏;无线链路的非授权访问、拒绝服务攻击等;服务网络的非法入侵等。
3 物联网的安全架构
明确了物联网的体系结构和所面临的安全形势,接下来考虑如何解决物联网面临的安全问题。由于物联网必须兼容和集成现有的TCP/IP网络和无线移动网等,因此现有网络安全体系中的大部分机制仍然可以适用于物联网,并能够提供一定的安全性,但还需根据物联网的特征对安全机制进行调整和补充,对物联网的发展需要重新规划并制定可持续发展的安全架构,使物联网在发展和应用过程中,其安全防护措施能够不断完善。
3.1 感知层的安全架构
在感知层内部,需要有效的密钥管理机制,用于保障感知层内部通信的安全。由于感知层传感网类型的多样性,很难统一要求有哪些安全服务,但机密性和认证性都是必要的。机密性需要在通信时建立一个临时会话密钥,而认证性可以通过对称密码或非对称密码方案解决,使用对称密码的认证方案需要预置节点间的共享密钥,在效率上也比较高,消耗网络节点的资源较少,许多传感器都选用此方案;而使用非对称密码技术的传感器一般具有较好的计算和通信能力,并且对安全性要求更高。安全架构如图2所示。传感网的安全需求 涉及的密码技术包括轻量级密码算法、轻量级密码协议、可设定安全等级的密码技术等。
3.2 网络层的安全架构
接入层和网络层的安全机制可分为端到端机密性和节点到节点机密性。对于端到端机密性,需要建立如下安全机制:端到端认证机制、端到端密钥协商机制、密钥管理机制和机密性算法选取机制等。对于节点到节点机密性,需要节点间的认证和密钥协商协议,这类协议要重点考虑效率因素。机密性算法的选取和数据完整性服务则可以根据需求选取和省略。如图3所示。
3.3 应用层的安全架构
在感知层和网络层中都不涉及隐私保护的问题,但它却是一些特殊应用场景的实际需求,即应用层的特殊安全需求。基于物联网综合应用层的安全需求,需要如下的安全机制:(1)有效的数据库访问控制和内容筛选机制;(2)不同场景的隐私信息保护技术;(3)叛逆追踪和其他信息泄露追踪机制;(4)安全的计算机销毁技术;(5)安全的电子产品和软件的知识产权保护技术,如图4所示。针对这些安全架构,需要发展相关的密码技术,包括访问控制、匿名签名、匿名认证、密文验证、门限密码、叛逆追踪、数字水印和指纹技术等。
4 结束语
虽然物联网的发展在近十年中突飞猛进,但离物联网的成熟期还有一定的时间,目前物联网的安全体系还存在很多缺陷和问题,安全机制在业界依然空白。本文针对物联网所面临的安全威胁,分析得出了各层所需要的安全架构,相信随着对物联网的安全认识的提高,一定可以找到适合当今物联网发展的可靠而有效的安全机制和安全模型。
参 考 文 献
[1] 沈苏彬,范曲立等. 物联网的体系结构域相关技术研究. 南京邮电大学学报(自然科学版),2000
[2] 王永超,魏薇,鲁东明. 无线传感网络安全综述. 计算时代,2008,(12):15-19
[3] 张彦,宁焕生等. RFID与物联网. 清华大学出版社,2005
[4] 宁焕生,张瑜,刘芳丽. 中国物联网信息服务系统研究. 电子学报,2006,34(12):2514-2517
The Security Framework about the Internet of Things
Peng Chunyan
(Computer Department of Qinghai Normal University,Xining 810008,China)
Abstract According to the basic concepts and characteristics of the internet of things, the paper analyzes threats of security of the three-tier architecture, and discusses security framework of the internet of things in the layers.
信息安全是一个动态的过程,在为自身业务提供高效的网络运营平台同时,日趋复杂的IT业务系统与不同背景业务用户的行为也给网络带来潜在的威胁,如内部业务数据、重要敏感文件通过电子邮件、远程终端访问(TELNET、FTP)等方式被纂改、泄露和窃取;访问非法网站、发布非法言论等违规上网行为泛滥;严重破坏政府、企业的信息系统安全。
随着业务系统访问、网络应用行为日益频繁,我们可能经常遇到以下情况:
(1)员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生;
(2)员工在论坛发表敏感信息、传播非法言论,造成恶劣社会影响;
(3)等级保护要求。公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对涉密信息、业务系统相关的网络行为进行安全审计和管理。
根据调查数据显示,大多数企业虽然已经采用一定的网络安全手段(如防火墙、入侵检测等)和管理措施,但是上述安全事件发生后,却仍然无法进行及时告警响应、准确定位事件源头。如何有效监控业务系统访问行为和敏感信息传播是当前迫切需要解决的问题。
因此,信息安全审计系统正是在这样的背景下产生的,为保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取,运用各种手段实时监控网络环境中的网络行为、通信内容,以便收集、分析报警、处理的一种手段。
1 系统体系架构
信息安全审计系统,通过网络审计设备,对用户上网行为进行数据采集、集中管理与分析,实现信息采集、检测、监控与响应等管理过程。该系统体系架构如图1所示:
系统从总体架构上可分为审计设备、数据采集模块、数据库模块、综合管理模块、外部接口层模块,管理门户模块等。
(1)审计设备
网络审计设备能够针对局域网内用户访问互联网的行为进行分析,为内网用户提供安全监控和防护。网络审计设备能够针对内网用户使用互联网的上网行为进行实时的管理和有效的控制。采用协议识别,特征检测和智能关联分析技术,全面检测网络数据包,及时发现违反安全策略的事件并实时告警记录。
(2)数据采集模块
通过协议中介层从网络设备、安全设备、主机、应用系统等数据来源采集各种安全信息,并进行格式规范化处理,为数据库的统一管理做好准备。
(3)数据库模块
数据库模块将接收不同的数据采集模块的数据,并把海量的数据进行合理的分类归并、优化汇总。通过预先分配足够的大小和合适的增长幅度在一个对象建立的时候要根据应用充分地计算他们的大小,减少存储结构扩展。
(4)综合管理模块
综合管理模块具备日志查询、报表统计、权限管理、系统管理等功能,方便信息安全监管人员有效地管理每一台网关设备,适合在任何IP可达地点远程管理。
(5)管理门户模块
实现统一的图形化管理界面,系统实现了信息采集、监控、分析、维护、管理和展示,针对敏感数据实时监控,多方式告警。管理门户即管理中心服务器,具有系统监控和日志管理功能,可以集中管理多台设备,满足不同管理模式的需要,多用户多权限管理,提供针对网络正常行为和异常行为的全面行为检测手段,实现安全数据的整体挖掘,关联分析管理。
2 数据流图设计
信息安全审计系统的设计方法采用“结构分析法”,采用自顶向下,逐步求精,其基本思想是“分解”和“抽象”,我们借助“数据流图(Data Flow Diagram)”来设计系统,它从数据传递和加工角度,以图形方式来表达系统的逻辑功能、直观的体现数据在系统内部的逻辑流向和逻辑变换过程。
数据流图设计分为“顶层——数据流图”(图2)和“底层——数据流图”(图3)。“顶层——数据流图”体现了信息安全审计系统的数据处理流程:内网用户访问互联网的数据包经过网络审计系统,被系统捕获后还原数据流量,并进行全面数据分析与监测,实现了基于用户网络行为的全面多维度审计。网络审计系统所产生的日志通过互联网实时传送到审计管理中心,通过集中汇总、分类索引的方式存储于庞大的数据库系统之中,安全管理员只要通过web控制台,就能轻松的连接管理中心,查看日志数据,报表信息,系统配置以及下发管理策略。
“底层——数据流图”主要体现了信息安全审计系统的核心设计思想,内网用户访问互联网的数据信息被捕包引擎分流,再传送至数据包重组引擎,它可以根据数据的IP地址、端口类型、协议类型进行分类重组,还原单个用户访问互联网的行为,这些网络行为根据协议的类型进行分类再传送至特征码关联分析引擎,该引擎可以分析不同类型的协议,依据互联网常见的特征码进行自学习,然后识别用户的上网行为,如浏览网页信息,论坛信息,email内容,ftp操作指令,telnet操作指令,IM用户在线情况等,这些信息最终以日志的形式记录在系统文件中,采用队列的方式管理日志信息,确保日志不会丢失,并且利用UDP协议发送到管理中心进行存储。网络审计设备还具备通信客户端功能,实时与审计管理中心交互,等待管理中心下发策略,如自动升级系统,开启关闭审计系统等策略。
3 结束语
信息安全审计系统能有效的掌握局域网内部的信息安全状态,预防敏感涉密信息外泄,实现对内部网络信息的整体智能关联分析、跟踪定位。而如何不断完善支持更多的应用程序的识别分析,最大程度的保障互联网的信息安全,如何创建智能防御机制,及时、准确的发现潜在的未知威胁,是未来信息安全审计发展的方向之一。
摘要:信息安全审计系统采用分布式部署方式,分为网络审计设备和审计管理中心两大部分,通过基于业务运维行为、上网行为和网络应用行为的审计,实现基于用户网络行为的全面多维度审计,本文通过介绍信息安全审计系统的体系架构、通过分析数据流图设计来阐述该系统的设计原理。
关键词:行为审计,特征码识别,管理中心
参考文献
[1]萨默维尔.软件工程.机械工业出版社,2011.
[2]王梦龙.网络信息安全原理与技术.中国铁道出版社,2009.
一、防火委员会职责
为加强园区内的消防安全管理,保障业主的生命安全和财产安全,依据《中华人民共和国消防法》和有关消防法规等,物业管理处全力贯彻“预防为主,防消结合”的方针,实行严格管理,科学管理、依法管理。
1. 负责消防制度的建立和落实,认真贯彻执行国家的消防法规、法令和条例。2. 定期召开消防安全会议,布置消防安全工作。3. 定期组织消防安全检查(由部门经理参加)。
4. 保障园区内各种消防设施的正常运转,负责处理各种紧急情况。
5. 研究解决重大火险隐患和不安全因素,对在消防工作上做出显著成绩或因违反消防制度造成不良后果的部门和人员做出奖罚决定。
6. 组织和领导义务消防队的培训和演习,以及员工消防安全教育工作。
7. 发生火灾时迅速成立灭火指挥部,负责组织指挥现场扑救工作,追查火灾原因对有关责任人进行处罚。
二、防火安全委员会架构 1.架构说明 1.1 总指挥: 1.2 副总指挥: 1.3 现场指挥: 1.4 灭火组组长: 1.5 抢救组组长: 1.6 疏散组组长: 1.7 设备组组长: 1.8 秩序组组长:
1.8 义务消防员:由小区保安员及各部门员工组成 1.9 组长以上人员手机全天24小时为开机状态 2. 架 构 图
三、防火安全委员会总指挥职责
1. 全面负责消防安全工作,认真贯彻执行国家有关消防法及各项法规、法令,将防火工作纳入经营、行政管理计划当中,做到有计划、有布置、有检查、有总结、有奖惩、有记录。使防火工作经常化、制度化。
2. 指导、检查、督促辖区内全体人员采取有效措施认真执行“预防为主,防消结合”的方针。
3. 负责收集有关消防法律、法规和政府部门颁布的消防安全管理资料,并组织学习、贯彻与落实。
4. 负责火灾自救紧急事件中的全面指挥与调动工作,并追查处理火灾事故,协助调查火灾原因。
5. 负责协调火灾后的全面善后处理工作。
四、防火安全委员会副总指挥职责
1. 认真贯彻执行国家颁布的消防法及各项消防法规,在总指挥的领导下开展辖区内的消防安全工作,协助总指挥制定完成各项消防制度。
2. 组织制定郦城小区各岗位防火安全制度,并认真布置实施。
3. 负责郦城小区义务消防组织的领导和培训工作,并定期对物业员工进行消防知识教育,组织开展小区的防火安全检查工作。
4. 定期召开防火工作会议,研究制定辖区内的火险隐患及不安全因素的整改方案。5. 对本辖区发生的火险、火灾事故,积极组织员工予以扑救,并负责查明火因和善后处理工作。
6. 定期组织防火安全检查和消防预案的演练,有重大活动时,负责安排布置和实际指挥消防安全工作。
7. 总指挥不在时由副总指挥担任总指挥之职,待总指挥到现场后,副总指挥将现场情况及时上报总指挥,并由总指挥进行全面指挥及处理。
五、现场指挥员职责
1. 认真执行落实国家颁布的消防法及各项消防法规,在总指挥与副总指挥的领导下开展辖区内的消防安全工作,并制定完成各项消防管理制度。
2. 制定本部门的防火安全制度,认真布置、贯彻落实,并定期组织部门范围内的防火安全检查,对不安全隐患进行及时整改。
3. 定期检查辖区内的消防器材及设备,发现问题及时上报与整改。4. 负责辖区内重点部位的消防档案资料的建立与管理。
5. 在总指挥和副总指挥的领导下,负责对辖区内的火险、火灾事故进行现场指挥作战,并将现场扑救情况及时上报总指挥,同时协助上级查明事故发生的原因。
6. 发生火情时,负责指挥各组人员进行协调与作战,观察火灾阶段可控性,下达撤退指示,并及时上报总指挥请求119进行支援。
7. 火灾扑灭后协助警方进行事故调查工作,警方调查完毕后准许灾后清理工作时,及时上报总指挥,收到总指挥下达清理工作命令后,负责协调现场清理工作。
六、灭火组职责
1. 发生火灾时灭火组组长接到通知后,应立即组织人员赶到物业管理处,听从指挥部的灭火战斗布署。
2. 灭火组人员在灭火组长的领导下,积极主动的完成灭火战斗任务。
3. 掌握本小区内的建筑及内部结构和消火栓位置,熟练使用小区配置的各种消防器材、工具。
4. 明确自己和灭火组的战斗任务,坚决执行灭火指挥员的命令。
5. 在灭火战斗中必须坚守岗位,不得擅离职守并及时向上级汇报灭火战斗情况。6. 使用灭火器和水枪灭火时,要利用掩蔽物体尽量接近火源充分发挥灭火器和水枪的作用,禁止盲目射水,尽量避免财物损失。7. 在灭火战斗中要正确使用和爱护消防器材、工具,注意自身安全。
七、抢救组职责
1. 发生火灾时抢救组组长接到通知后,应立即组织人员赶到物业管理处待命,等待指挥部的工作安排。
2. 抢救组人员要熟悉本小区的建筑内部结构,逃生路线及基本的救护方法。
3. 在接到抢救任务后,抢救组人员应及时赶到火灾现场,把受伤人员疏散到着火区域外安全位置。
4. 遇到重伤人员应及时向指挥部请示,并由抢救组人员将重伤人员送往小区就近医院进行抢救。
5. 如无抢救任务或抢救任务结束后,应服从指挥部的其它工作安排和调动。
八、疏散组职责
1. 发生火灾时疏散组组长接到通知后,应立即组织人员赶到物业管理处待命,做好疏散准备。
2. 疏散组熟悉掌握小区建筑的逃生路线,并负责把着火楼的各单元门打开,用物体将单元门挡住,以防自动关闭。
3. 疏散组进行人员疏散时,应安抚逃生人员不要惊慌,有序的逃离着火建筑,避免现场混乱造成人员伤亡,逃生时禁止使用电梯。
4. 疏散组进行人员疏散时,如果现场发生混乱,应及时由疏散组长用对讲机报告指挥部,说明现场情况,并由指挥部根据现场情况综合治理。
5. 疏散组完成疏散任务后,应向指挥部请示工作,同时撤离到物业管理处备勤,疏散组在备勤时,坚决执行指挥部的调动及其它工作安排。
九、设备组职责
1. 发生火灾时设备组组长接到通知后,应立即组织人员赶到物业管理处待命,等待指挥部的工作安排。
2. 设备组人员要熟悉本小区的建筑内部结构,掌握各楼配电情况与送断电操作。3. 楼层发生火灾时设备组应及时将起火楼的电源切断,同时将电梯迫降到首层,如一层起火应将电梯迫降到地下2层。
4. 地库发生火灾时,设备组应及时打开地库的送风及排烟设备,以减少地库中烟雾浓度,给灭火组人员创造有利的灭火条件。
5. 设备组在火灾过程中应保障消防设备的不间断运行,同时保障消防水的供给。6. 火灾结束后应服从指挥部的其它工作安排和调动。
十、秩序组职责
1. 发生火灾时秩序组组长接到通知后,应立即组织人员赶到物业管理处待命,等待指挥部的工作安排。
2. 发生火灾时秩序组负责着火楼四周的警戒任务,迅速安排岗位封锁着火楼及临近楼座,严禁无关人员进入起火区域。
3. 控制安全区域围观人员的现场秩序,同时安排路口岗、巡逻岗维护园区整体秩序,并负责着火楼外围的照片拍摄工作。4. 安排专人接引消防车、救护车进入火场救助。
5. 火灾结束后得到指挥部的恢复岗位命令时,将警戒人员撤离,恢复正常秩序和岗位,回到物业管理处待命,听从指挥部的其它工作安排和调动。
十一、义务消防员职责
1. 公司所有员工均属于义务消防员,一旦园区内发现火情,每个人都有义务、有责任立即投入火灾现场。
2. 认真贯彻“预防为主,防消结合”的消防工作方针,切实作好本部门工作区域及整个园区的防火、灭火工作。
3. 积极参加各种训练和内部举行的消防演习活动,维护和保养好本部门内配置的消防器材,认真贯彻执行小区各项防火制度。
4. 认真学习消防知识,了解园区内消防设施的基本功能、位置熟悉灭火器的摆放地点及使用方法,手报报警器的报警方法,消防通道位置及疏散方法,破门救人方法,消火栓的使用方法。
5. 宣传贯彻消防法规,制止任何违反消防安全的行为,发现火灾隐患及时报告秩序维护部,爱护各种消防设施,发现损坏应立即报修。
6. 灭火过程中一切服从命令,听从统一指挥,确保个人安全。
【关键词】灯光团队;演出安全;户外演出;舞台搭建
文章编号:10.3969/j.issn.1674-8239.2015.11.003
演艺灯光行业的同仁都很清楚,在大型晚会中,优秀的灯光实施团队、稳定的硬件设施和细致可行的方案是多么重要。尤其是广场类开放型的户外演出(特别是体育场灯光项目),四面的演艺表现空间,演区地广面大,灯光设备的安装从建筑棚顶到赛道边沿都有可能涉及,具有设备使用数量大、安装面积广、点位分散的特点。如何有针对性地组建实施团队、保障各项工作的安全实施,最终安全地呈现预期的灯光效果,一直是众多从业者操心的事儿。
笔者结合数十年的从业经验,总结出一套团队架构建设以及安全保障的方法,以下结合2014年福建省第十五届运动会开幕式灯光项目与读者分享。
1 灯光设计方案的确立
福建省第十五届运动会由福建省人民政府主办,漳州市人民政府承办。运动会开幕式于2014年10月22日晚在漳州体育场隆重举行。本次开幕式一改以往大型文艺主阵、大腕明星助演的惯例,重点以全民健身展演弘扬体育精神,彰显主办城市团结、进取、拼搏、欢乐的新面貌。开幕式主演区面积超过6 000 m2,有数千名演员参与展演。
笔者接受演出灯光设计的任务后,赴实地进行了场地勘查,并与总导演详细沟通。在了解了节目的表现形式后,对舞美的整体设计进行了剖析,按照各章节情绪氛围确定了灯光效果;初稿确认后,即返京着手实施团队的组建
2 灯光团队的组建
依据灯光工程需求,结合场地的实际情况,将灯光项目涉及的工种分为结构吊装、电力保障、信号系统、通讯保障、效果调试等数类。并有针对性地绘制确立了组织架构,明确了职责范围和管理关系。最后按需选配和填充相应人员,具体组成框架如图1。
为控制运营成本,各工种除负责人为专人专职外,其他均可一人兼顾数岗,具体将酌情而定。整个灯光团队暂定编制31人,人员架框确立后,即组织各工种负责人集中进行了项目介绍、技术交底和工作内容的划分。
组织框架中,电力、信号、灯控、后勤为灯光团队中常见的组别,此不赘述;笔者特就本次项目增设的安全监督、安全员岗和通讯保障组进行说明,以强调其必要性。
任何施工都涉及安全,会有潜在的隐患。传统灯光团队中,安全常被提及和强调,但缺乏统一的安全施工标准和监督机制,仅凭从业人员的自律性和班组长的现场纠错缺乏力度。此次增设安全监督,直接对灯光总指挥负责,借助和借鉴工程施工的安全标准指导现场的各项安全工作。对项目部所有人员进行施工前的安全培训、教育,制定安全实施标准,将安全工作量化到可操作和执行层面。并携同安全员岗在现场共同监督执行,旨在纠正人员的不安全行为、提前发现物的不安全状态和环境的不安全因素,强化落实安全意识。
通讯保障是对大型活动运营保障的硬性要求,尤其是在施工阶段,数十名工作人员在偌大的体育场散开后,没有得利的通讯上通下达,组织号令无法下达,施工班组发现问题也无法第一时间汇报和受领答复,现场将成为一盘散沙。设立的通讯保障组,即对施工及排演进行全程的通讯保障,负责对接当地的无线电管理委员会,协调通讯设备的使用频段、订立通联层别,确保指挥通讯畅通。
3 细化案头及方案落地
3.1 各工种任务
灯光效果确定、团队架构成形,在细化实施方案时,灯光团队协调福建主办方,安排电力、结构、后勤人员赴现场与体育场馆及当地供电部门进行工作衔接。各工种此行的目标任务是:
(1)电力:提出用电量需求,二级供电点位数量、敷设位置,明确供、用电责任范围,以及用电的时间计划和电力保障级别。要求依据目标确认供电系统图;
(2)结构:提出吊载的承重需求,观众席坐装载荷数据。因建筑承重为不可变的钢性指标,可在尽量小影响灯光效果的前提下酌情调整载荷,凡是调整影响到灯位变化的必须经灯光设计认可。最终,设计师将依据载荷指标重新出具灯位图;
(3)运营:收集建筑图纸,沟通实施计划,制定现场实施的进度计划,为进入施工做前期准备;
(4)后勤:协调设备库储情况,考察场馆附近食宿条件,联络当地用车,做好团队进入的前站工作;
依据此行,各工种逐步完善施工方案,经汇总,形成了具有落地实施条件的执行方案,灯光工程备货集料将以此为基准。
3.2 施工分项及要求
以下为深化后实施文件及要求。
3.2.1 灯位及吊装
灯位总图见图2,要求工作组长对整体安装布局做到心中有数。
棚顶吊装分类施工图见图3,要求配合灯位总图,棚顶吊装区位附图,对施工进行规范。
挑檐区位图见图4,要求依此对施工进行规范。
3.2.2 电力保障
供电分配明细图见图5。
(1)电力保障措施:为确保开幕式灯光用电的正常运行,首先与供电单位明确责任范围,按行业习惯对各级供电箱(柜)进行统一编号,落实到人。其后,建立供电级别体制,加强重点区位的电力保障。
(2)供电工作范围:
提供足够的电力容量并确保排演和施工期间的正常使用;
负责15个Ⅱ级供电点位线缆、配电柜的提供、制作、安装、看管、维护直至开幕式结束;
供电至15个Ⅱ级供电点位;
对以上供电范围进行使用职守;
为明确工作责任,避免出现衔接真空,供电以及用电本着谁施工谁负责的原则划定责任范围。
(3)有关供电保障
为确保开幕式舞美电器的正常运行,避免单一电力来源有可能带来的系统脆弱性,本着着重加强、重点保障的原则,将舞美负荷分为两个电力保障等级:
nlc202309021025
一类负荷:特别重要,需双路供电,有电源互投装置并加装在线式UPS不间断电源保护(该类负荷为各工种控制系统,主扩声系统、拾音系统,排演通讯保障以及适量的演出照明设备)。该类负荷的设立,是确保在任何情况下,演出均能得以进行。演出效果虽受影响,但不至于被迫停止。
本项目中,一类负荷5个点位,总功率490 kW。其中,灯3、灯7两个点位总功率380 kW,是安装于体育场西侧部分灯具的供电点位,承担着演出面光照明,主席台照明的重要工作;所有舞美控制中枢设备的供电点位总功率20 kW,承担着灯光、音响、通讯保障、演员调度的重要工作。
二类负荷:该类负荷需双路供电并有电源互投装置。能够在电力突发事件时,在人为可控的情况下,尽快恢复供电。在较短的时间内,恢复整体的演出效果。本项目中,二类负荷10个点位,总功率1 260 kW。
3.2.3 灯光承重载荷
灯光承重载荷施工见图6。
依据场馆建筑的载荷标准,灯光工程对棚顶的吊装点位进行了调整,并在主吊机系统以外安装有独立的钢丝保障系统,以确保结构安全的万无一失。
灯光主系统计划在棚顶拱梁安装62个吊装点,每点负重<500 kg,总吊装重量23 034 kg。
4 现场实施
(1)安全第一,依据施工计划全面展开施工;
(2)各工种遵照既定的技术方案办理执行;
(3)各岗相互配合,各司其职、各尽其能;
(4)落实工作责任制,责任到人;
(5)强化安全巡检制度,发现施工隐患及时整改;
……
制定科学、严谨的案头方案,组建高效、有责任心的实施团队、明确责权关系、协调管理到位,各项现场工作均按预期顺利完成。
5 结语
经过调试磨合、排练合成,最终的灯光效果如实呈现出来,见图7,完全实现了笔者的设计初衷。
大型演出灯光项目多属临建工程,国家及行业监管暂时还没有完整的实施性标准,生拉硬套建筑业机电类规范又不太实际,有些甚至违背舞台灯光专业的工作规律。因无章可循,致使各单位项目实施的水平参差不齐。笔者曾遇到此类情况:户外大型演出装台时,艺术领导坐镇指挥,因无整体统筹,结果灯具反复装拆,系统集成时又发现供电不足和灯光结构架承重饱和,最终只能以牺牲艺术效果、用简化设备的方式草草了事。即便是行业人员操刀,居多的也是粗犷型管理,在户外广场灯光装台时,仅是任务下发,然后将人员分为装台和调控两队,缺少过程和节点的把控,装灯、走线等施工又没有责任到人,看似施工场面火热,但隐患层出。比如:灯具吊挂了,灯钩是否紧固定到位?线是否接了,并联几台,是否符合线径载荷?灯光结构组架拼接好了,吊装的重量安全吗?在时间紧迫的情况下,若没有细致的规划和检验,这些问题仅凭施工人员的责任心和经验,往往难以彻底解决。由此总结:团队的建设至关重要;责任的关键在于落实;监管要量化标准,好有据可依;凡事预则立,没有规划和严谨管理,只会欲速而不达。
优秀的灯光团队一定是一个团结、互助的集体,成员热爱本职工作,有着良好职业道德和敬业精神;能够认真履行本岗职责、敢于担当,时刻把安全放在首位。只有这样,令行禁止、相互协作,才能确保每次演出任务的顺利、圆满。中国青年艺术剧院老院长说过:“无论我们做过多少场演出,永远要向对待第一场演出一样认真负责”。从业者应永远在学习实践中不断提高成长。
(编辑 张冠华)
信息价值亟待深度挖掘
随着网络的发展, 以及创新业务与模式的增加, 企业日常所产生的信息也在爆炸式增长。据不完全统计, 目前平均每分钟通过网络将产生近10万条Twitter消息, 40万条广告消息。此外, 数据类型也从传统的文字信息扩展到图像、语音、视频等信息。
在大数据时代, 利用云计算可以将海量数据转化为服务, 提升企业综合响应能力。“信息优化一方面可以将各种信息关联起来, 找出有用的信息, 另一方面可利用这些信息的关联与优化实时为企业提供服务。”惠普企业服务事业部首席技术官王纪奎如是说。
事实上, 电信运营商也深谙此道。中国移动相关受访人士表示, 随着网络规模的逐步扩大, 运营商所需要处理的用户数据也呈几何级增长, 并且复杂度日益提升, 急需对信息进行整合与聚合处理, “因此运营商希望通过架设私有云实现对自有数据的分布式存储与统一访问, 并通过构建公有云为企业客户提供可靠的信息存储与便捷的数据处理服务”。
目前, 企业及用户不仅需要对海量信息进行处理, 更需要对信息价值进行深度挖掘。“信息爆炸时代, 大量数据为企业和用户带来了有价值的信息, 但是相互孤立的数据阻碍了信息价值的进一步提升。”分析人士指出。
考虑到愈来愈多的数据以非结构化形式出现, 企业需要对数据进行关联处理。“这就需要云服务系统一方面是软件, 另一方面具备服务能力, ”王纪奎表示, “以惠普为例, 惠普在全球拥有上千人的专门团队来提供信息优化相关的服务。”
此外, 多数企业目前正在考虑同时部署私有云与公有云以保证对敏感数据的掌控和非敏感数据的低成本应用。在采访中, 不少受访分析人士告诉记者, “由公有云与私有云共同组成的混合云平台是企业IT架构的必然发展趋势”。对此, 惠普公司全球副总裁潘家驰表示:“惠普混合云交付可以服务的方式实现不同企业对于云的不同需求, 以最佳的方式帮助企业利用传统IT环境以及私有云、托管云和公有云环境。”
云安全服务前景广阔
当前, 在搭建及应用云平台时, 云安全已成为核心关注点。“云服务将原本由企业和用户掌控的数据托付给云服务提供商, 这引起了企业和用户对数据隐私的担忧, ”中国移动相关受访人士表示, “此外, 云服务所倡导的便捷性, 如惠普提出的Service Anywhere也从某种程度上增加了数据泄漏的风险。”
“运营商对云的安全非常重视, 运营商必须保证对用户提供安全可靠的业务服务, 因此在将用户数据放置云端时, 必须保证用户信息的安全, 防止对用户隐私的泄漏。”上述中国移动受访人士补充表示。
对此, 惠普也持相同看法。潘家驰表示, “Service Anywhere也需要控制风险”, 但是其认为云安全作为企业的一项需求, 本身也可以作为一项服务来提供, “未来我们需要主动解决安全问题, 通过产品和服务组合, 给企业提供一个放心的良好环境, 包括云环境与信息服务环境”。
事实上, 从数年前起“安全服务”就被众多的安全厂商看作新的生机和商机, 而目前惠普将其进一步体现在云服务中。“怎样有效地将网络安全、应用安全包括主动发现和扫描融合在一起, 将是安全服务的关键点, 目前惠普已可以为企业提供相关的服务。”潘家驰表示。
国内客户深虑安全隐患
目前, 无论是运营商还是厂商, 均对云计算的应用前景抱有无限期望。
据了解, 中国联通推出了“企业云服务”, 主要面向政府及大中小型企业客户推出了云主机、云存储、专享云、云孵化及云集成五种服务。中国移动早在2008年即开启了“大云”计划, 开始构建自有的私有云与公有云计算系统平台并提供相应的云存储服务。中国电信也推出了e云服务并利用云计算整合内部资源。
然而, 目前IT厂商走得更远。据潘家驰介绍, 惠普已经在全球提供云计算服务, 如与微软合作提供公有云, 与SAP合作提供信息服务平台等, 并且其云平台已在澳大利亚、美国西雅图等地落地。
云计算也有着非常广泛的应用前景。据介绍, 惠普将与餐饮、航空管理、医疗、保险等多个行业的企业开展合作, 进一步推动惠普云服务在企业中的应用, 提升企业综合实力。
当前, 相比国外市场, 国内云计算市场具有差异化的特点。据潘家驰介绍:“在国内, 若要开展公有云服务必须有数据中心运营牌照, 因此所有的外资企业在国内都无法落地, 只能找合作伙伴, 并且国内对于云安全更加重视。”
“国内客户将信息交予外包公司并不放心, 对于安全问题更加关注, ”王纪奎表示, “国外企业会把所有的系统、应用交予惠普做, 而国内企业却不会将整个流程外包给惠普。”
当前, 随着空间通信技术的发展, 各种航天器无论在种类上和数量上都在增多, 如何能让各种航天器安全接入到网络中, 充分利用各种航天器的资源, 发挥它们最大的作用, 加强空间合作以及特定条件下的应急使用。作为实现空间信息网的核心技术, 空间信息网安全组网新架构正受到越来越多的关注。
1 空间信息网概念
空间信息网 (Space Information Network, SIN) 是由具有空间通信能力的航天器 (卫星、深空探测器、载人飞船、空间站、航天飞机) 和地面站共同组成的, 以通过航天器的转发或反射来进行航天器之间、地面站之间、以及航天器和地面站之间的互联互通功能的网络信息系统, 它能把卫星、深空探测器、载人飞船、空间站、航天飞机和地面系统联系起来。主要以航天器和地面站为网络节点, 以立体动态的空间链路进行信息交互, 航天器本身具有较强的综合处理功能。空间信息网以在轨运行的多颗卫星及卫星星座组成骨干通信网, 具有覆盖面广、组网灵活、建网快、不受地理环境限制等突出特点, 为各种空间任务如气象、环境与灾害监测、资源勘察、地形测绘、侦察、通信广播和科学探测等提供集成的通信服务。空间信息网络是卫星通信系统的进一步发展, 在航空航天和空间探索等领域的需求和各种相关技术发展的推动下, 空间信息网在国民经济和社会服务及国防诸多领域发挥着重要作用。
2 空间信息网主要架构形式
当前空间信息网架构形式也主要以空间星群和地面站组网为主, 其通信系统主要采用OBP (On-Board processing) 技术。比较成熟的空间星群空间信息网有:GPS, GLONASS和中国北斗导航系统等投入了实际应用。随着空间技术的发展, 各种航天器也有网络互联的需求, 因此在进行空间信息网络安全组网规划时, 特别是空间探索和国家安全保障, 需要考虑各种航天器网络安全接入的问题。空间信息网能为不同的空间网络节点共享资源提供条件, 又可以为各种航天器接入到空间信息网络提供条件。当前各种组网形式千差万别, 都是基于各自的服务需求来开展和部署自己的专用网络。下面是目前各种主要的空间组网形式:①空间通信体系结构工作组 (Space Communication Architecture Working Group, SCAWG) 在宇航局通信与导航体系结构推荐标准中 (NASA Space Communication and Navigation Architecture Recommendations for2005-2030 Final Report) 提出的空间通信体系结构。定义了航天器空间通信与导航基础架构的物理元素, 这些元素互联成一个网络群, 它能提供空间任务的无缝通信与导航服务。②COMSAT实验室为空间信息网提出的下一代卫星骨干网。在这个卫星骨干网的体系结构中, 它提供基于IP的服务, 其系统结构主要围绕多波束的地球同步轨道星座进行发展研究和利用。其具备星上转发功能, 允许任意卫星的波束之间互联。由一个网络控制中心来进行网络管理, 具有星上转发控制, 服务接入和路由以及IP/ATM地址转发功能。③探索系统空间委员会和它的星座计划, 该计划发展一种新的探索运输系统能安全地提供从地球、月球以及未来火星的表面发送和返回人员和货物到国际空间站。并且该计划的系统工程与集成署已开发和实现一个集成设计分析方案来支持星座体系结构的需求验证, 系统设计和最后的验证。
3 当前空间信息网组网的限制
通过对上述各种空间组网技术的分析和比较, 我们发现两方面的问题:①以上各种空间信息网的都是以专用网的形式出现, 网络的节点都是预先设计好的;②各空间节点的位置是可以预测的。随着空间通信技术的发展, 各种航天器无论在种类上和数量上都在增多, 如何能让各种航天器自由安全组网, 空间网络节点为了某一临时目的可以随时增加和删减, 来充分利用各种航天器的资源, 发挥它们最大的作用;另外, 在一些特定条件的情况下, 各空间节点的位置可以临时改变, 在一定的程度上是不可预测的。目前这种空间信息网的安全组网方案还在进一步探讨之中, 特别是自组织可重构的空间信息网的研究还处于摸索研究阶段, 自组织可重构技术的引入, 将使得空间信息网组网时在安全性能 (如:抗毁、快速自愈、自组织能力和Qo S保证技术) 上得到极大的提升。
相对于地面网络, 空间信息网络传输时延长、带宽时延积 (bandwidth delay product, BDP) 大、链路误码率高、轨间链路时延时变、路由切换频繁等特点, 如果空间信息网络直接使用地面传输控制协议, 其性能会大幅度下降, 甚至不能正常进行有效数据传输。为此, IETF (Internet engineering task force) 成立了TCP Over Satellite工作组, 研究并提出了适用于星际链路的增强型T C P协议。空间数据系统咨询委员会 (consultative committee space data system, CCSDS) 根据空间通信的特点, 规范了一套经过裁减的Internet协议族, 即空间通信协议规范 (space communication protocol specification, SCPS) 并被国际标准化组织 (international organization for standardization, ISO) 采纳为国际标准。其中的可靠传输协议SCPS-TP (SCPS transport protocol) 针对空间通信中的时延较大、误码率高、通信中断等特点, 改进了传统TCP协议中的部分机制。因此研究和发展具有快速自组织可重构能力的空间信息网, 使其具有高可靠性, 高传输率, 以及可扩展的特性, 是未来发展空间信息网的基石。
4 空间信息网的组网新架构
早期的空间信息网络中, 由于系统传输能力不高, 其提供的服务大都受到限制。新的组网规划能使得空间信息网在服务及安全方面得到进一步的加强, 以及在抗毁和可生存能力方面也将得到较大的提高。
4.1 卫星链路及波段频率规划
宽带卫星链路在空间信息网络中被当作主干线路, 提供全方位的多媒体和高速数据应用。星群结构是目前专用网络较为理想的选择, 根据所需要覆盖的面和所支持的服务, 星群包括LEO, MEO, GEO, 以及它们的组合, 未来星群会大量部署低延迟非GEO星群, 各种星群的延迟量如表1, 使用波段频率如表2。在未来的发展中, 通过对ISLs链路的进行合适的处理, 可用达到减少延迟抖动, 避免其降低整个卫星网的语音和视频的服务质量, 从而达到低等待发送时间, 高吞吐量, 高速率数据容量的要求。
4.2 网络方面规划
基于卫星的空间信息网被用于连接到Internet或其它网络, 在一些网络中卫星网还被作为主干网或骨干网。在网络规划中, 利用网络中的互操作单元, 从而确保不同网络标准之间的无缝漫游, 使用网络控制站提供卫星网络资源和路由操作, 使用卫星自适应单元 (SUI) 提供物理层功能如:信道编码, 调制解调, 射频, 天线处理。网络规划的其它方面还包括:服务质量支持、移动管理、IP路由等方面的规划。
4.3 资源管理规划
资源管理规划主要包括两个方面, 即资源分配和流控制。在这其中上行链路接入分配包括:随机接入、固定带宽分配、动态带宽分配, 近年来, 比较关注混合多媒体接入方案。流控制主要处理当拥塞发生质量下降时的未来资源管理, 管理拥塞的流控制函数主要有两种机制:主动式和反应式。
4.4 跨层设计规划
跨层设计最大的问题是如何通过跨层的管理接口跟辅助信息通信, 对标准网络协议栈及其使用要具有最小的影响, 并尽可能的对已经存在的路由驻留协议如RSVP等具有最小影响。跨层设计需考虑的另一个问题是:如何在不同的网络的不同体系结构执行设计互操作。目前, 已有很多标准化的工作来保证不同的体系结构之间平滑的互操作。
4.5 空间信息网组网新架构
空间信息网络主要包括两种架构:星上处理 (On-Board processing, OBP) 模式和弯管 (Bent Pips, BP) 模式。早期的空间信息网, 特别是卫星通信系统多采用BP技术, 空间节点的作用类似于反射镜, 转发来自地面的信号, 而OPB模式是未来发展的趋势。如今, 空间信息网的发展仍处在初级阶段, 许多技术难题尚待解决。目前许多组织已经着手研究空间信息网络, 并取得了一些进展。多个发散节点组成的簇结构是自组织可重构空间信息网发展的一个方向。其架构如图1所示, 共包括5个部分, 分别是卫星骨干网、近地空间部分、深空部分、地面部分和用户部分, 其结构关系如图1所示。
网络架构首先涉及到系统执行网络层方面, 特别是在提供基于IP的服务方面。这些系统的架构是围绕多波束空中节点来发展的, 它们具有星上转发能力, 允许在任意一个空间节点波束之内的两个空间节点直接互连。在一个指定服务覆盖区域内, 网络管理、星上转发控制、服务接入、路由和IP/ATM地址转换功能都是有网络上分布式不同层次的控制中心来管理。分布式网络控制中心包括一个网络管理系统, 一个转发控制系统和一个空间节点路由服务。转发控制系统负责建立和控制空间节点在穿越系统的终端之间的连接。空间节点路由服务负责服务管理, 路由, 实施路由策略和连通性约束, 及IP/ATM地址转换。不同的物理层通信技术如:多频/时分多址 (MF/TDMA) 或码分多址 (CDMA) , 部署在一个空间节点系统之内。
5 空间信息网新架构的安全特性
5.1 具有较强的服务质量保证技术
目前, 人们对Ad hoc网络的QoS保证技术已经进行了深入的研究, 随着可生存性和自适应性的技术在空间信息网的应用, 空间信息网QoS保证技术也得到进一步的加强。为了保证QoS, 在新的空间信息网架构中采用分布式管理系统, 它可以优先保证高级别、紧急任务的通信, 使得全网的加权QoS最大化, 从而使得传输的敏感信息和指令将得到及时发送。
5.2 具有抗毁、快速自愈和自组织能力
新的空间信息网架构采用的是:①分层的分布式体系结构, 能够有效的对分群网络实现管理。②分层网络管理体系结构中, 网络管理群的群首的变更可由网络管理中心根据网络拓扑的变化决定哪个代理节点为管理群首, 或者采用Ad hoc中簇头选举方法来选举网络通信群的群首。③利用Ad hoc技术, 实现空间信息网的骨干节点互连互通, 以保证系统的可靠性和可扩展性, 增强空间信息网的抗毁性。④采用分布式安全拓扑控制和维护算法, 能够在节点和链路失效发生时, 网络具有快速自组织、自重构机制, 同时具有在节点受到攻击和发生故障失效后网络的自恢复机制和抗毁机制。
5.3 适合未来空间信息网络系统发展
新的空间信息网架构具有适用于未来空间信息系统发展的安全体系结构:它能依据空间节点的运动轨迹和通信能力, 从抗毁性、自恢复、自组织和安全性等角度出发, 能够获得适应多种空间组网模式和拓扑结构的安全体系结构, 方便对网络进行扩展并充分利用节点设备的重用性, 同时具备战场信息特点的QoS保证技术。
参考文献
[1]张民, 罗光春等.空间信息网络可靠传输协议研究[J].通信学报.2008.
[2]Wang K, Zhao Z.W.and Yao L.An agile reconfigurable key distribution scheme in space information network[R].Second IEEE Conference on Industrial Electronics and Applications. 2007.
[3]Dr. Leslie, J. Deutsch, Frank J. Stocklin and John J. Rush, Modu-lation and Coding for NASA’s New Space Communications Architecture[R].SpaceOps 2008 Conference (Hosted and organized by ESA and EUMETSAT in association with AIAA) .
首先, 我们需要先了解一下企业到底存在哪些风险。
病毒和木马, 根据360互联网安全中心《2015年第二季度中国互联网安全报告》, 2015年第二季度360互联网中心共截获PC端新增恶意程序样本8002万个, 日均截获88万个, 不言而喻这是对企业危害最大的风险。
网络攻击, 2015年8月25日, 锤子科技2015年的最新产品坚果手机发布, 在当晚发布会进行时, 锤子科技官网就遭到高达数十G的流量DDo S攻击, 导致用户无法登录购买手机, 网站一度面临全面瘫痪的风险。
安全漏洞, 2015年10月19日, 著名白帽平台乌云网爆出某邮箱过亿数据泄漏, 涉及邮箱账号、密码、用户密保等;2015年10月20日同样是乌云网爆出中粮集团某核心系统配置不当导致大量敏感信息泄露问题 (含员工信息/税务文件/可修改合同等) 。360补天平台2015年第二季度共收录有效漏洞10363个, 日均收录114个, 其中74.1%的漏洞为高危漏洞。
还有什么风险?2015年5月28日, 携程网部分服务器遭到不明攻击, 导致官方网站及APP无法正常使用, 此次宕机11个小时后才恢复, 事后携程网宣布此次事件系内部人员错误操作导致, 该类风险应该属于内部的控制管理机制问题。
当然还有很多其他风险, 这里就不一一赘述。一份来自于Gartner 2006年1月的报道, 通过选取福布斯2000强企业, 按照安全成熟度进行分布, 如图1所示:
百分之三十的企业处于盲目自信阶段, 即普遍缺乏安全意识, 对企业安全状况不了解, 未意识到企业信息安全风险的严重性。百分之五十的企业处于认知阶段, 即通过信息安全风险评估, 企业意识到自身存在信息安全风险, 开始采取一些措施提升信息安全水平, 包括基本安全产品部署、主要人员的培训教育、建立安全团队、 制定安全方针政策、评估并了解现状。以上80%的企业即1600家企业才算及格。
接下来百分之十五的企业意识到局部的、单一的信息安全控制措施难以明显改善企业信息安全状况, 开始进行全面的信息安全架构设计, 有计划的建设信息安全保障体系, 包括启动信息安全战略项目、设计信息安全架构、建立信息安全流程、完成信息安全改进项目, 这部分企业处于改进阶段。仅有百分之五的企业在信息安全改进项目完成后, 在拥有较为全面的信息安全控制能力基础上, 建立持续改进的机制, 以应对安全风险的变化, 不断提高, 追踪技术和业务的变化、信息安全流程的持续改进, 达到了卓越运营。
可见国际型大公司尚且如此, 随着中国企业信息技术的不断应用, 也必然会经历国际大公司在信息安全方面的成熟度认知过程。 因此, 如何设计适合企业自身的安全体系框架, 并能够指导落地实施, 正是本文重点介绍的内容。
2国内安全领域相关工作情况
近年来, 中国政府高度重视信息安全保障体系的建设, 先后出台了相应的法律法规, 如《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》等, 以及相应的要求和指南, 如《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》等。
同时一些优秀的企业管理人员也根据自身的实际需求, 提出了适合自身企业的信息安全体系架构, 笔者找到一篇关于《大型企业信息安全架构设计初探》的文章, 文中从管理、技术、控制三个视角, 在概念层、逻辑层和实现层三个层次, 三横三纵地阐述了构建企业信息安全体系框架的MCT模型, 接下来文中针对MCT模型通过差距分析法进一步介绍了如何从设计到实现的转换。
3五体系模型
MCT模型从管理视角、控制视角和技术视角三个角度, 由概念到逻辑, 再到实现的逐层递进模型, 它讲述的是大型企业信息安全的框架, 但作为技术人员更希望一个易于操作和落地的模型, 因此根据笔者自身的工作经验, 梳理总结出五体系模型, 将信息安全从事前防御、事中监控与响应、事后恢复三个阶段有机结合, 通过五个体系的建立, 满足企业内部信息安全的需要, 如图2所示:
组织体系, 通过建立信息安全决策、管理、执行以及监管的机构, 并明确各级机构的角色与职责, 落实完善信息安全管理与控制的相关主体和责任。
制度体系, 涉及制度、规范、流程、手册、台账等信息, 通过建立和完善以上内容, 实现内部信息安全规则和标准的统一。
技术体系, 指实现信息安全所采取的具体技术措施, 如通过软件、硬件、工具、技术服务等手段从技术领域防范信息安全风险的发生。
运行体系, 指日常运维工作, 包括健康检查、安全监控、事件响应、变更管理、IT审计等内容。通过日常工作防范潜在风险的发生, 当风险出现时能及时监测并应对, 保障整个公司业务的正常运行。
恢复体系, 涉及应急恢复、备份恢复、容灾恢复、策略修订等, 通过恢复体系, 将业务状态恢复至受攻击之前的运行水平, 有效保障企业的业务连续性, 同时为了保证整个安全架构的健壮性, 需要加强安全架构的后评估, 在业务恢复后, 通过对恢复效果的评估, 及时调整相应的安全策略。
组织体系和制度体系是基础、技术体系是依托、运行体系和恢复体系是保障, 通过五个体系相互作用, 有效实现事前防御、事中监控和响应、事后恢复的有机结合。
4模型的落实与监控
谈到五体系模型的落地, 我们按照项目管理的思路, 采用阶段管理的方法, 将其分为准备阶段、制定阶段和运行阶段三部分, 依次落实。
4.1准备阶段
准备阶段是项目的开始, 通过准备阶段的工作完成项目启动、 组织建立、信息评价和风险应对四部分, 为下一个阶段的开展提供有效的保障。
项目启动, 标志着信息安全项目正式开始, 项目发起人与管理层选定项目负责人, 并将项目范围、项目目标、预计项目持续的时间及所需要的资源、可交付成果及评价标准, 高层管理者在项目中的角色和义务等逐个确定。
组织建立, 项目负责人根据实际工作需要成立相应的小组, 并确定相关成员, 如图3示例。由公司高层管理人员组成领导小组, 负责需求提出、资源分配、阶段目标确认等事项;由相关的技术专家和顾问组成决策小组, 负责标准和策略的决策事项;由公司内部财务、 审计、法务等部门人员组成审计小组, 负责项目审计工作, 并对领导小组负责;由相关的技术工程师、业务人员组成执行小组, 负责具体事项的执行工作。同时, 确定项目结束后应该移交的运维部门或组织。
信息评价, 首先要完成信息资产的选定工作, 即分析企业内存在哪些信息资产, 比如纸质信息、网络信息、系统信息、供应商信息、 项目信息等, 根据信息来源的不同进行收集和整理, 通过对信息资产的价值评估、业务影响力、决策依据必要性等进行初步筛选, 最终确定有效的信息资产。同时要考虑各部门及岗位存在的相关信息, 依据轻度、中度、重度的机密程度进行区分, 比如财务部资产、账款等信息;人力资源部员工资料、工资情况等信息。其次, 按照机密性、 安全性和可用性进行分类并打分, 分数越高, 信息价值越高。如图4示例。
风险应对, 根据信息资产的价值, 假定该信息资产被泄漏, 通过风险的定性评估、定量评估, 发生概率的评估, 选择不同的应对方式, 如风险规避、风险转移、风险减轻、风险接受, 最大限度的保障企业信息资产的安全。
4.2制定阶段
制定阶段涵盖了信息安全建设项目的计划、执行、控制及收尾过程, 是三个阶段中最重要的一环, 是运行阶段的执行标准和基础。 包含策略制定、制度建立、导入系统和部署发布四部分。
策略制定, 根据准备阶段所确定的信息资产, 依据其分值和风险应对方式, 采用不同策略进行响应, 相关的策略涉及五体系模型的全部内容, 如确立组织体系的规模及责任、指导制度体系的建立、 为技术体系提供依据和标准、规范运行体系的操作流程、保障恢复体系的最终效果。相关策略又分为技术策略和管理策略。
4.3运行阶段
运行阶段为三个阶段的最后一个阶段, 按照制定阶段的安全策略执行, 由运维部门或组织负责整个安全架构的维护与管理工作, 原项目中各组织解散, 该阶段涉及健康检查与评估、事件监控与响应、事后恢复与审计三部分。
健康检查与评估, 指运维部门依据安全策略对整个信息安全架构进行例行健康检查, 可以按照日、月、年周期进行, 并通过漏洞扫描、模拟攻击、应急演练等手段评估现有信息安全架构的健壮性。
事件监控与响应, 安全事件既可以是企业内部发生的事件, 也可以是企业外部发生的事件, 根据事件的进展进行跟踪, 并依据事先确定的安全策略执行相应的响应流程。
事后恢复与审计, 针对企业内部发生的安全事件, 依据恢复体系, 将业务状态恢复至受攻击前的运行水平, 并对此次攻击和响应的处理步骤进行审计和评价, 确保所有操作依据已确定的规范或指南执行。
5结论
本文对信息安全架构提出的五体系模型和落地探索, 在实际工作中不能完全适应每一个企业, 但也希望通过这些努力, 与大家分享, 让更多的人能为企业保驾护航, 提升安全。当然受限于笔者自身的水平和实践, 在许多方面会存在不足, 在此仅供大家参考。
摘要:中国企业在信息技术逐步应用的同时, 必然会存在信息安全成熟度的认知过程。根据国内信息安全现状, 以技术人员的角度提出一套易于操作的五体系模型, 并按照项目管理的思路, 采用阶段管理的方法, 分三个阶段指导信息安全模型的落地实施。
关键词:信息技术,信息安全,五体系模型,安全策略,项目管理
参考文献
[1]罗革新, 吕增江, 崔广印, 鲍天祥, 王振欣, 于普漪.大型企业信息安全体系架构设计初探[J].勘探地球物理进展, 第31卷第6期, 2008年12月.
[2]刘振宇.国家大剧院信息安全保障体系探索[J].信息安全与技术, 第5卷第5期, 2014年5月.
1 安全问题
1.1 重技术, 轻管理
在整个建设过程中, 一向有这样的观点:只要从技术层面配备了相应的安全软件, 整个系统的建设就是安全的, 对于安全的管理却相对忽视。目前, 电子政务系统的安全技术主要有下面几种:操作体系安全、病毒查杀安全、访问链接安全等。而对于安全的管理, 则主要包含整个体系的风险管理、对资料的备份和防删除恢复、一键恢复系统、审查追踪等部分。此外, 对于安全的管理, 还包括电脑操作人员的安全观念和安全操作技术等。
1.2 管理过程不够规范
电子政务的安全是一个十分重要的问题, 涉及到政府的形象甚至是国家的利益。因此, 对于电子政务安全的管理就需要一个比较规范的系统。但是目前的情况是国家关于电子政务安全的各个环节还不能从总体上进行掌握, 还需要对相关环节和部门进行深入的研究和探讨。
1.3 法律法规不健全
社会信息化的程度越来越高, 电子政务的发展速度也越来越快, 但是法制法规对电子政务发展的限制也越来越明显。比方说, 电子签名是不是和纸质签名具有同样的法律效率等, 就需要专门的法律去加以限制和说明。
1.4 信息保护的多重矛盾
对于电子信息的保护, 从来就没有特定的标准, 这就导致在防护的过程中出现了很多的矛盾, 例如:防护不到位和防护过度之间的矛盾;防护软件和使用软件之间的矛盾;杀毒软件研发和取得效果之间的矛盾等。随着时代的发展和技术的进步, 电子政务的防护系统也要不断的升级;眼下, 为了减少移动设施对电子政务系统带来的安全隐患, 一般杜绝在系统上使用移动设施, 这肯定会对电子政务系统的实用性带来一定的不便, 这就又造成了其安全性和实用性之间的矛盾。
1.5 安全威胁的多面化
可以说, 电子政务网站可以提供多大的方便, 就会存在多大的风险。对其系统造成威胁的因素有很多, 总体上来说可以划分为三个方面:技术层面、人为原因、自然因素。
2 电子政务系统的网络安全体系建设
2.1 网络物理层面的安全保障
从这一层面来说, 网络物理隔离卡的研发业已相对完善, 尽管其有很多不同的品种, 但是其依据方面基本一致, 都是凭借脱离了TCP/IP协议的内网系统, 在电子政务网络内部自成一个网络系统, 和互联网络断开连接, 保护内网资料的相对安全。除了在内网和外网之间进行隔离, 在内网内部还要进行一定的隔离。
2.2 网络应用层面的安全保障
2.2.1 登录身份验证
这是一种最简单的安全保障方式。依靠对用户名和登录密码的设置, 对那些不相关的人员进行隔离。眼下, 黑客的破坏能力逐渐增加, 简单的用户名和密码很难限制那些别有用心的人员, 所以, 很多的电子政务网络都开始采用动态口令技术, 对政府的电子政务系统进行更详尽的保护。
2.2.2 使用权限矩阵
电子政务系统是政府和民众之间的交流平台, 这就注定了访问这个系统的人员会有两种身份:系统管理者和一般民众。对这两类使用者我们要区别对待, 给予他们不同的使用权限。系统管理者可以对系统内的信息进行添加、删除和维护, 对整体资料进行一定的调整;但是一般民众就只能对信息进行浏览, 不能做出任何的变动。
2.3 从操作层面进行保护
使用者使用的操作体的安全性, 对电子政务系统的安全也存在着很大影响。因此, 要尽可能使用正版的、稳定的操作系统。在使用过程中, 定时对系统进行病毒查杀和系统完善。
总之, 由于我国电子政务的不断推进, 其政务服务类型更加的丰富多样, 网上咨询、在线交流等服务内容不但拉近了政府和民众之间的关系, 而且大大提高了政府的办事效率。电子政务网络业已成为一种必然的发展趋势。本论文对电子政务网络构建过程中安全方面出现的问题进行了分析, 同时还对如何保障电子政务网络的安全做出了探讨, 希望对电子政务网络的安全起到一定的防护作用。
参考文献
[1]孟祥宏.基于可生存性的电子政务系统安全策略研究[J].现代计算机 (专业版) .2009 (12) .[1]孟祥宏.基于可生存性的电子政务系统安全策略研究[J].现代计算机 (专业版) .2009 (12) .
[2]柯亚贤.浅析我国电子政务的安全管理[J].科技风.2009 (02) .[2]柯亚贤.浅析我国电子政务的安全管理[J].科技风.2009 (02) .
“当今世界,秩序唯有依靠培育,而不能强加”。如果亚洲各国在“秩序观”上缺乏共同认知,再精细的架构和关系运筹也无法保持秩序的稳定性和可持续性。其中有两个问题需要深入探讨:
其一,怎么看亚洲安全秩序建设的主体性问题?区域安全问题由域内国家发挥主体作用似乎顺理成章。但亚洲地区面临两个困境:一方面,由于地理、文化、历史、经济、政治等方面的多样性和差异性,亚洲形成了包括东亚(东南亚、东北亚)、南亚、中亚、西亚等叙事特征各不相同的安全板块,讨论亚洲安全主体性无法回避各次区域安全的主体性。另一方面,冷战后亚洲区域内和跨区域的互动、联系明显增强,特别是在日益成为全球产业链、交通链和价值链的重要枢纽后,亚洲的经济、政治和安全边界变得更为模糊,也更为宽泛。上述“差异”、“模糊”、“宽泛”等特性的复合作用,提升了讨论亚洲安全主体性的复杂程度。亚洲安全秩序建设的主体性背后的关键问题在于:谁代表着多样差异的亚洲?谁可合法地决定亚洲及各次区域的安全议程设置?如何平衡安全主体的次区域差异性与作为整体的亚洲统一性?等等。
其二,怎么看美国亚太同盟体系在亚洲安全秩序构建中的角色?毋庸置疑,对美国主导的亚太同盟体系在亚洲秩序构建中的作用,中美两国和其他亚洲国家存在较大认知差距。中方较多批评美国主导的亚太同盟体系存在“牵制”甚至“遏制”中国的一面,是冷战的过时产物,这反过来强化了美国的刻板印象,即中国意图通过削弱美国的同盟体系来削弱其在亚太地区的领导权。美方则强调亚太同盟体系是维护亚太安全秩序的轴心,这也反过来强化了中方关于美国意欲将中国排斥在亚太安全核心机制之外的印象。至于地区内其他中小国家,它们总体上希望中美保持某种均衡态势,从而为其在安全秩序的构建中提供更大空间。因此,着眼于亚洲安全秩序的长远发展,尤其从如何为亚洲安全提供区域公共产品的角度出发,中美和地区国家需要更加坦诚地探讨美国的亚太同盟体系向更加开放、包容的方向转型的路径,共同寻找一条能够与其他地区安全机制增强兼容性、减少排斥性、避免对抗性的新路。这将是未来地区安全秩序建设的一个重要问题。
(作者为上海国际问题研究院院长,研究员、博士生导师)
北京网御星云信息技术有限公司在2007年发布了“下一代安全架构 (NSA:Next-generation Security Architecture) ”的技术理念, 它包含弹性架构的安全平台、业务导向的可信计算、服务导向的安全管理三个部分, 集中体现了网御星云 (联想网御) 对于网络信息安全建设的技术基础、建设目标和方法论的深入理解, 并以此为基础形成一系列领先的安全产品和解决方案。
网御星云作为“下一代安全架构”理念的创立者, 曾引领信息安全行业。2008年网御圆满地完成了北京奥运会信息安全保障任务;2009年网御安全产品成功地保障了建国60周年庆典活动;2010年网御安全产品及安全运维保障团队服务于上海世博会;2011至2012年网御星云万兆安全产品为我国载人航天数据通信任务保驾护航……网御星云多次承担了国家重大项目的信息安全保障任务, 并在各个行业赢得了用户的认可和信赖。
对于“下一代安全架构”的坚持和探索, 成就了网御星云。五年后的今天, 网御星云基于IT基础设施、应用与数据、管理与流程三个部分, 对于“下一代安全架构”有了全新的解读和诠释。借“下一代安全架构”发布五周年之际, 网御星云开展成果巡礼系列活动, 覆盖北京、上海、广东、浙江、山东、河南、江苏、四川等31个省市, 将陆续发布网御多业务融合安全网关、加固安全网关、高性能安全网关、Web应用安全网关、单向网闸、异常流量管理系统、漏洞扫描系统、数据库审计、安全管理平台、上网行为管理系统、云计算安全等多个新品。
相关文章
发表评论