网络安全管理措施范例(12篇)
时间:2024-04-07
时间:2024-04-07
关键词:大数据时代;计算机网络安全;维护
随着大数据时代网络技术的迅速发展,社会生产的效率和质量得到了有效的提高,人们在工作和生活中的便利性得到了一定程度的提高,在大数据时代,由于网络平台的开放性也导致信息安全问题的增多,有必要在此背景下优化其维护和管理措施。
一、大数据时代计算机网络安全维护的重要性
(一)推动各行业发展
在大数据时代下的计算机网络安全与各个领域的发展紧密相连,每个行业都需要利用网络技术推动自身发展,所以计算机网络安全的维护与管理对于各行各业的发展都是极为重要的,若网络维护与管理工作的质量有效提升,能够促进各个领域的进步,进而推动社会的发展,而且能够使网络使用的环境更加的健康,更好的保护个人隐私,企业在利用互联网技术的时候,能够促进企业的运行效率的提升,政府有关部门通过互联网技术,能够更好的开展机密工作。
(二)保障国家网络安全
维护与管理计算机网络安全能够保证国家网络信息安全,能够使我国的经济发展与社会进步起到很大的推动作用,能够维护我国网络强国的地位,在大数据时代下的网络安全维护,能够提升我国综合实力,网络信息安全作为国家的软实力,也是保证我国整体实力不断提高的重要指标,若要提高我国在国际上的地位,有必要提升网络信息安全,这样能够保证人民幸福。
二、大数据时代计算机网络安全问题
互联网技术使人们的工作和生活更加方便,但在互联网技术发展的过程中,安全风险也很多,这也制约了大数据的发展。如果网络安全隐患得不到解决,网络水平就得不到提高。目前,在互联网平台上使用众多信息网站的过程中,网络安全的隐患也会增加。例如,2018年8月,一家涉嫌非法劫持运营商交通的国内新媒体营销上市公司被警方破获,中国有96家互联网公司有多达30亿用户数据被盗。中国一家酒店的秘密网络上出售了1.3亿的身份信息、2.4亿的开放记录和1.23亿的官方登记数据。窃取数据的黑客在20天后被警方抓获。2018年11月,一家公司宣布其酒店数据库被黑客入侵,多达5亿的客人信息被泄露[2]。
三、大数据时代计算机网络安全维护与管理措施
(一)社会自律
现阶段,要保障计算机网络安全,还必须加强全社会对计算机网络安全保护的关注。积极提高社会各界人士对计算机网络安全保护的认识是必要的。同时,必须让大家认识到计算机网络安全的重要意义,不断加强社会计算机网络安全保护。意识,通过不断学习自我约束的意识,可以更好地保护大数据时代的计算机网络安全。在此过程中,还应营造良好的网络保护氛围,使计算机网络安全保护更加规范化,在保护过程中有一定的规则可循。要真正改变原有的服务模式,就要在社会内部建立对侵权行为的预警、处罚和公示的处罚机制[3]。
(二)个人防范
在社会的不断进步过程中,要积极宣传计算机网络安全的重要影响,提高个人防范意识,加大对网络信息安全的宣传力度,使每个人都可能提高网络安全理念。如今很多的用户计算机网络安全意识不高,这也导致在运用网络的同时,也可能出现很多安全问题,导致被人恶意侵害,例如在用户就浏览网页的时候可能受到诱导性广告的影响,从而泄露个人隐私,而且有着广告可能带走木马病毒,导致个人的电脑信息受到病毒影响,无法正常使用。密切关注网络安全,提高自身网络安全意识,就能够在计算机网络安全维护的过程中提供有力支持,而且也有必要通过专业人员的帮助修复电脑漏洞。在大数据时代,人人都应明确计算机网络安全对个人的重要性,积极树立计算机网络安全防范意识。每个人都应该加强对计算机网络安全的保护。侵犯计算机网络安全的,应当通过法律或者其他可行的手段保护其合法权益,应该通过谈判和调解来解决问题,必要时也应该通过诉讼来解决问题[4]。
(三)安全维护技术
目前,角色安全技术在计算机网络安全维护和管理中得到了广泛的应用。该控制模型还可以保护安全维护和管理。通过极其安全的实现路径,可以使用更加完善的算法进行编程,使自动角色提取过程更加方便。它还使用户能够通过分配用户角色获得权限。极限控制也可以使角色优化和提取更有效率,而在这个过程中角色安全技术也可以针对用户的不同需求提供有针对性的服务,这也在一定程度上保证了大数据时代的计算机网络安全。身份认证技术也可以使用,但内在技术只是通过数字信息,这种固有技术虽然对计算机网络安全有一定的保护,但使用过程复杂,学习成本较高,因此无法广泛推广,然而在这项技术中加入大的数据分析可以完美地改善它的缺点,利用大数据的身份认证技术,可以收集和整理用户的各种行为,总结和分析用户的习惯。这样可以更好地识别用户的身份,有效地降低影响计算机网络安全的事件发生的概率,建立计算机网络。安全得到有效保障[5]。
关键词:计算机;网络管理;安全技术;网络技术;安全防范
1概述
在当前社会经济快速发展的过程当中,信息化已经逐渐融入各行各业,并且对于我们的工作和生活产生了很大的影响。在当前愈发严重的信息网络安全的环境下,信息安全问题逐渐受到了社会各界的广泛关注,并且也是广受争议的一个热点的话题。在当前信息网络技术快速发展的过程当中,各行各业本身都发生了很大的变化,信息安全问题逐渐得到了更多的关注,并且很多安全标准也在日趋提升当中。例如,对于一些具体的企业单位来说,计算机网络是他们日常信息化管理的重要基础,如果出现信息网络安全问题,那么就会导致出现信息丢失和泄露从而导致造成了非常严重的后果和损失。我们应该对于计算机网络安全管理工作给予足够的关注,并且就当前计算机网络安全问题进行科学有效的分析,提出可行的管控策略,进一步的保障计算机网络的安全,满足当前不断提升的信息安全方面的要求。
2计算机网络安全问题的分析
计算机网络本身具有较强的开放性的特征,在计算机网络实际使用的过程当中,很容易受到外界的攻击和影响,进而造成一系列的安全方面的问题。这一段较为常见的计算机网络安全问题,主要分为病毒问题、黑客入侵系统漏洞等相关问题。计算机病毒是通过人为编制的方式而制作的一种具有破坏性的计算机代码,代码一旦通过网络入侵计算机,就会对盗取存储的数据信息,甚至会造成计算机瘫痪。网络是计算机病毒的主要传播途径,因此这些病毒的隐蔽性、传染性以及寄生性较强,并且具有强大的破坏力,会对网络安全造成严重的影响。黑客入侵主要是指部分不法分子在没有获得同意的情况下对计算机网络资源进行使用,对访问的网络资源存在违规以及非法操作情况,这也是现今网络威胁存在的一项明显特征。黑客入侵本身通过利用非法的手段居住,对于目标的服务器和计算机进行入侵,并且配合木马程序制作后门,对服务器和计算机进行操控,对于其中的数据信息进行获取,为整个网络安全带来了严重的威胁和影响。系统漏洞是客观存在的部分,不法人员通过对于系统和程序上漏洞的利用,来制作一些公司的程序和命令,对于计算机网络进行破坏。另外,对于计算机网络设备的运行来说,外界物理方面的安全防范也是确保网络安全问题得到有效控制的一个重要手段。在实际这个过程当中,我们应该提出科学可行的管理方案策略,对于现实网络运行中一些物理方面的问题,有效的规避和解决加强管理力度。,无论是软件层面上的计算机网络安全问题,还是硬件层面上的计算机网络安全问题,我们都应该给予足够的关注,并且有效的进行处理和解决。
3计算机网络安全防范措施的分析
3.1软件层面上的防范措施
在计算机网络安全管理的过程当中,为了提升整体安全管理水平,我们应该合理的差距当前常见并且有效地进行安全管理技术,做好有效的安全防范工作。第一,端口扫描。端口扫描就是通过向用户主机的所有端口发送连接请求来获取其主机正在运行的服务类型。如果有程序对其进行攻击,首先必须通过外界端口的连接请求,一旦在计算机系统中出现异常请求,必须立即将相关信息传递到网络防火墙,由防火墙对其进行阻断,并审查发出请求的IP地址与MAC地质。端口扫描的有效开展,可以让一些攻击行为得到更好的解析,同时也会利用状态转移到不同的方式,实现对攻击行为的全方位检测,这样计算机网络安全性方面的保障也就能够得以有效地实现。在应用系统安全方面,可以对应用系统以及操作系统的日志功能进行充分利用,做好用户访问信息的记录处理,以此为事后审查工作的开展提供依据。还有如电子邮件服务器以及文件服务系统,则可以对服务器上的FTP、HTTP等服务关闭,对于不经常使用的协议端口号以及协议要尽量关闭,要增加登录身份认证,以此进一步保障系统安全。第二,IP隐藏。IP地址的隐藏是当前较为常见的防范黑客攻击的重要手段,其可以对于一些常规的网络安全入侵问题进行有效的控制。IP隐藏本身可以让用户通过服务器来进行网络的使用。一些不法攻击人员在对于主机IP进行检测的过程当中,就只能检测到服务器的IP地址,而不能对于实际主机的IP地址进行检测,这样黑客的一些攻击行为就难以得到有效执行。为了进一步提升安全性,我们也可以通过IP地址绑定的方式来减少IP地址泄露的问题,提升对黑客入侵的防范效果。第三,漏洞处理。计算机网络技术一直在不断更新的过程当中,对于相关漏洞的有效弥补和控制也是非常重要的。我们在实际工作上应该更多的掌握当前系统存在的漏洞,并且不断利用补丁程序来对于系统的漏洞问题进行有效的规避和控制,让计算机网络本身可以尽可能减少黑客入侵的条件。系统漏洞的修补的效率,也受到管理人员自身安全意识的影响。计算机安全管理人员在日常工作的过程当中,应该提升这方面工作的重视程度,积极的对系统进行完善,减少漏洞,保障计算机网络的安全。
3.2物理层面上的防范措施
纵观现阶段计算机网络安全管理工作中的问题,我们应该从物理层面上给予有效的支持和保障。作为网络安全管理人员,应该从硬件的角度,对于现阶段实际计算机网络运行中对关设备保护方面的需求,进行有效的满足。网络运行设备在实际使用的过程中,受到外界环境因素的影响,并且在产生破坏时,整个计算机网络很可能会出现瘫痪。为了有效地对于客观方面的因素进行规避,我们应该积极有效落实好设备管理工作。计算机网络设备整体运行情况较为复杂,并且对于运行环境方面的要求很高,我们在展开相关管理工作的过程中,应该给予足够的关注和重视,制定一套科学的管理策略和机制,并且有效地进行执行。不同的计算机网络在不同的功能作用下,其对于设备和网络环境方面的要求有所不同,同时相关安全管理标准也不尽相同。对于这方面的问题,计算机网络安全管理人员在展开相关工作的过程当中,应该并且对于设备正常运行情况给予充分的了解和保障。计算机网络管理负责人员,应该对于现有的计算机网络设备的实际运行情况进行全方位的监控。通过展开行之有效的数据分析,了解当前机房内部各类设备的实际运行情况。在采取有效的实时监测手段的情况下,这样可以让整个机房内部的管理水平得到进一步的提升,并且第一时间对于各类设备系统的实际运行情况进行掌握和了解。只有充分了解相关设备的实际运行情况,这样可以及时的发现计算机网络设备运行中出现的问题,并且从物理层面上给予全方位有效的防护。这种物理层面上的有效保障,计算机网络设备在实际运行的过程中,对于具备一个更加可靠的外界环境,同时也能够进一步减少影响网络安全问题的出现。
4结束语
总的来说,计算机网络安全问题是当前所广受关注的一个重要的问题。我们在实际工作开展的过程当中,应该结合计算机网络安全问题的引发因素,给予全方位的控制和处理,这样才能最大限度的保障安全,同时解决实际计算机网络设备运行和使用中出现的各类问题。面对计算机网络安全问题,我们也应该提升自身的安全意识,尽可能地避免各类不合理的行为和人为操作失误,为一些不法人员提供可乘之机,在工作中提高警惕性,防止操作失误或疏忽所引发的安全隐患。
参考文献:
[1]乔甜.网络安全管理问题与策略研究[J].通讯世界,2017(18).
[2]辛强.基于专网的网络安全管理技术研究[J].科技创新导报,2017(19).
[3]赖勇平.医院信息化建设中计算机网络安全管理与维护[J].电子技术与软件工程,2017(16).
[4]冯宁.计算机网络安全管理及防御[J].网络安全技术与应用,2017(9).
[5]洪青.计算机网络的安全管理与维护构建[J].网络安全技术与应用,2017(9).
【关键词】信息系统网络安全评价指标
根据国家网络和信息系统的安全性要求,结合多年的网络管理经验,从以下五个指标对信息系统网络安全进行评价:
1.实体与环境安全
实体与环境指计算机设备及计算机网管人员工作的场所,这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低限度。可以从以下几个方面来检查:
(1)机房周围环境
机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。
(2)机房周围100m内有无危险建筑
危险建筑:指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。
(3)有无监控系统
监控系统:指对系统运行的环境、操作环境实施监控(视)的设施,及时发现异常,可根据使用目的不同配备以下监视设备,如红外线传感器、监视摄像机等设备。
(4)有无防火、防水措施
防火:指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材,如卤代烷1211和1301自动消防系统或灭火器。
防水:指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层,有暖气装置的机房沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。是否装有漏水传感器。
(5)机房有无环境测控设施(温度、湿度和洁净度),如温湿度传感器
温度控制:指机房有空调设备,机房温度保持在18—24摄氏度。
湿度控制:指相对湿度保持在40%—60%。
洁净度控制:机房和设备应保持清洁、卫生,进出机房换鞋,机房门窗具有封闭性能。
(6)有无防雷措施(具有防雷装置,接地良好)
计算机机房是否符合gb157《建筑防雷设计规范》中的防雷措施。
在雷电频繁区域,是否装设有浪涌电压吸收装置。
(7)有无备用电源和自备发电机
(8)是否使用ups
ups:(uninterruptiblepowersystem),即不间断电源,是一种含有储能装置,以逆变器为主要组成部分的恒压频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。
(9)是否有防静电措施(采用防静电地板,设备接地良好)
当采用地板下布线方式时,可铺设防静电活动地板。
当采用架空布线方式时,应采用静电耗散材料作为铺垫材料。
通信设备的静电地板、终端操作台地线应分别接到总地线母体汇流排上定期(如一周)对防静电设施进行维护和检验。
(10)是否保证持续供电
设备是否采用双路市电供电,提供冗余备份,并配有实时告警监控设备。是否与空调、照明用电分开,专线供电。
(11)是否有防盗措施
中心有人值班,出入口安装防盗安全门,窗户安装金属防护装置,机房装有无线电遥控防盗联网设施。
2.组织管理与安全制度
(1)有无专门的信息安全组织机构和专职的信息安全人员
信息安全组织机构的成立与信息安全人员的任命必须有有关单位的正式文件。
(2)有无健全的信息安全管理的规章制度
是否有健全的规章制度,而且规章制度上墙;是否严格执行各项规章制度和操作规程,有无违章操作的情况。
(3)是否有信息安全人员的配备,调离有严格的管理制度
(4)设备与数据管理制度是否完备
设备实行包干管理负责制,每台设备都应有专人负责保管(包括说明书及有关附件);在使用设备前,应掌握操作规程,阅读有关手册,经培训合格后方可进行相关操作;禁止在计算上运行与业务无关的程序,未经批准,不得变更操作系统和网络设置,不得任意加装设备。
(5)是否有登记建档制度
登记建档是做好网络安全工作的前提,一些技术资料对网络安全工作很重要,要注意收集和保存。可从以下几个方面检查相关文档:
策略文档(如,法规文件、指示)、系统文档(如,系统用指南、系统管理员手册、系统设计和需求文档、采购文档)、及安全相关的文档(如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略)都可提供系统使用的或计划的安全控制方面的信息。任务影响分析或资产重要性评估可提供有关系统和数据重要性及敏感性的信息。
设计资料,如网络拓扑结构图,综合布线结构图等。
安装资料,包括安装竣工及验收的技术文件和资料。
设备升级维修记录等。
(6)是否有紧急事故处理预案
为减少计算机系统故障的影响,尽快恢复系统,应制定故障的应急措施和恢复规程以及自然灾害时的措施,制成手册,以备参考。
(7)是否有完整的信息安全培训计划和培训制度
开展网络安全教育是为了使所有人员了解网络安全的基本常识及网络安全的重要性,要坚持经常的、多样化的安全教育工作,广播、图片、标语、报告培训班都是可以采用的宣传教育方式。
(8)各类人员的安全职责是否明确,能否胜任网络安全管理工作
应对网络管理人员严格分工,使其职责分明,要对网络管理人员定期进行安全培训及考核,对关键岗位人员,应该持有相应的认证。
3.安全技术措施
(1)是否有灾难恢复的技术对策
是否为网络中断和灾难做好准备,以及如何快速反应将中断和损失降至最小。灾难恢复措施包括灾难预防制度、灾难演习制度及灾难恢复制度。
(2)是否有系统安全审计功能
安全审计功能主要是监控来自网络内部和外部的用户活动,侦察系统中存在现有和潜在的威胁,对与安全有关的活动的相关信息进行识别,记录,存储和分析,安全审计系统往往对突发事件进行报警和响应。
(3)是否有系统操作日志
系统操作日志:指每天开、关机,设备运行状况等文字记录。
(4)是否有服务器备份措施
服务器数据备份是预防灾难的必要手段。随着对网络应用的依赖性越来越强和网络数据量的日益增加,企业对数据备份的要求也在不断提高。许多数据密集型的网络,重要数据往往存储在多个网络节点上,除了对中心服务器备份之外,还需要对其他服务器或工作站进行备份,有的甚至要对整个网络进行数据备份,即全网备份。网络备份需要专业备份软件,backupexec就是其中的一种,是为中小企业提供的基于windows平台的网络备份与恢复解决方案。
(5)是否有防黑客入侵设施
防黑客入侵设施主要是设置防火墙和入侵检测等设施。
防火墙是为了监测并过滤所有内部网与外部网之间的信息交换,保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志。防火墙有三种类型,包括过滤防火墙、型防火墙和状态监测型防火墙。
入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。它通过对计算机网络或计算机系统中若干关键点收集信息并对其分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
(6)是否有计算机病毒防范措施
计算机病毒防范措施:备有病毒预防及消除的软、硬件产品,并能定期的升级。设置客户端级防护、邮件服务器级防护和应用服务器级防护。
4.网络与通信安全
(1)放置通信设施的场所是否设有醒目标志
从安全防范的角度考虑,安装有关通信设备的地方不应加标志。配线架或modem柜应加锁,禁止无关人员入内。
(2)重要通信线路及通信控制装置是否均有备份
重要的通信线双重化以及线路故障时采用ddn通信线或电话线isdn等后备功能;从计算中心连出的重要通信线路应采用不同路径备份方式。
(3)是否采取加密措施
数据加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变只有授权接收者才能还原并阅读的编码。其过程就是取得原始信息并用发送者和接收者都知道的一种特殊信息来制作编码信息形成密文。
(4)系统运行状态有无安全审计跟踪措施
安全审计是模拟社会检察机构在计算机系统中监视、记录和控制用户活动的一种机制。它是影响系统安全的访问和访问企图留下线索,以便事后分析和追查,其目标是检测和判定对系统的恶意攻击和误操作,对用户的非法活动起到威慑作用,为系统提供进一步的安全可靠性。
(5)网络与信息系统是否加有访问控制措施
访问控制措施:指能根据工作性质和级别高低,划分系统用户的访问权限。对用户进行分组管理,并且应该是针对安全性问题而考虑的分组。
5.软件与信息安全
(1)操作系统及数据库是否有访问控制措施
把整个系统的用户根据需要分为不同级别;不同级别的用户享有对系统的文件、数据、网络、进程等资源的权限,并进行记费管理;还可根据不同的用户设置不同的安全策略,将超级用户的权限细化(可分为系统管理员、安全管理员、数据库管理员、用户管理员等)。
(2)应用软件是否有防破坏措施
对应用程序安全的考虑可以遵循如下的方向:对通用应用,如消息传递、文件保护、软硬件交付等,制定通用技术要求;对于特定的复杂应用,可分解为通用应用,同时考虑互操作性问题。一般来讲,应用程序的安全机制应该包括以下内容:身份标识与鉴别、数据保密性、数据完整性、数据可用性、配置管理等。
(3)对数据库及系统状态有无监控设施
可以使用系统安全检测工具来定期扫描系统,查看系统是否存在各种各样的漏洞。
(4)是否有用户身份识别措施
身份认证与数字签名策略,身份认证是证明某人或某物身份的过程,当用户之间建立连接时,为了防止非法连接或被欺骗,就可实施身份确认,以确保只有合法身份的用户才能与之建立连接。
(5)系统用户信息是否采用备份
关键词:计算机;网络;安全;防范
在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
一、计算机网络安全的概念
国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
二、计算机网络安全现状
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
三、计算机网络安全的防范措施1、加强内部网络管理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
2、网络防火墙技术
是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
3、安全加密技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
4、网络主机的操作系统安全和物理安全措施
防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
参考文献:
[1]黄怡强,等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01).
[2]胡道元.计算机局域网[M].北京:清华大学出版社,2001.
关键词:计算机网络防御策略模型信息安全
前言
当今是计算机网络信息引领发展的时代,高度信息化和便捷的网络化给人们带来很多方便。然而,网络信息安全也日益引起了人们的注意,这也就促进了计算机网络防御策略的发展不断的与时俱进。计算机网络防御策略是计算机进行攻防演绎的关键组成,并作为计算机信息对抗的不可或缺的组成。可见,计算机网络防御策略模型在运用中的重要作用,这也是进行研究的意义所在。
1计算机网络防御策略简述
为了达到某个系统或者特定网络的安全保护目的,则需要进行制定计算机网络防御策略。制定计算机网络防御策略,需要根据计算机信息系统及计算机的网络环境进行防御措施的规划。对于网络攻击,计算机网络防御需要及时进行补救。计算机系统随着所处的网络环境的复杂性加大,计算机网络防御策略也就愈加繁杂起来。因为人工进行防御措施的设置比较麻烦,而且效率也会很低,所以需要借助计算机做出有效的防御策略设置。
当前,进行网络防御的关键与核心,是计算机的防御策略。计算机网络防御策略是进行信息的保护以及网络安全的维护。而且如今处于信息高速发展的时期,网络安全事件频频发生。这是由于还没构成具体的措施的实行体制,所以,迫切需要对计算机网络防御策略进行探讨。通过进行计算机网络防御策略的模型的分析,是有效保障网络系统的安全性和可靠性的重要举措。
2计算机网络安全现状及面临的威胁
当前计算机的安全性还是需要改进的,其主要面临的威胁有计算机病毒、计算机系统漏洞、未授权访问、恶意攻击、以及管理因素带来的问题。计算机网络技术是一把双刃剑,能给人们生活带来便利的同时频发的网络事件对人们的工作和生活也造成了一定的负面影响。计算机的病毒是对其他服务器和用户进行感染,通过电子邮件、文件共享、通信工具等方式实现的。计算机病毒不但影响网络的正常运行,甚至可导致网络瘫痪,其手段是对感染用户大量发送垃圾信息等干扰正常使用。
未授权访问是局域网各个信息用户在一般情况下是可以进入的,但是不运用保密措施,则会导致一些机密信息泄密。未授权访问出现问题,则会对信息产生不可估量的损失。做未授权访问局域网的安全措施,可以从五个方面入手,即对重要数据进行加密;对用户的行为进行跟踪和审计;对口令的复杂度进行升级,使身份验证强化;对访问权限控制进行强化;网络的软硬件设备要调配好。
3计算机网络防御策略模型
计算机网络安全的防御策略模型的基础,是建立在三维模型之上的。由该三维模型可以知道,计算机工程网络安全防御策略模型是来自系统的思想、技术、方法以及网络技术领域知识的支持。网络安全知识防御策略模型的方法论是从其技术与思想方法的整合中来的。网络安全防御策略的工程应用,则主要由防御策略模型、和网络安全知识、技术这三者的融合而来。计算机网络安全防御策略模型是用于对安全的机制及安全的对象进行分析,安全对象涉及的内容有计算机的系统安全、信息安全、网络设备安全、数据库安全、计算机病毒防治等一系列的安全问题。
3.1计算机网络安全体系设计
计算机网络安全体系的设计,是有效进行保护网络安全的重要开端。因此,进行计算机网络安全体系设计时,需要遵循的原则是整体性、灵活性、一致性,并进行成本平衡和方便使用的分析。整体性是指在进行网络安全问题的思考时,需要结合系统的观点和方法做规划设计。最有效的保护措施,是结合更多的技术和各种方法进行信息的保护。灵活性则是要求制定安全措施的时候,也要把以后的网络变化升级考虑进来,而且还要考虑到管理人员与计算机网络安全管理的相协调,并方便做出改进。
一致性是指要同步考虑网络的生命周期及安全问题,特别是要详细分析前期的网络建设,这样有利于减少后期不必要的花费。而规划设计中成本的平衡原则是分析保护信息所具有的价值,其这个价值用多少成本合适,维护费用不能超过所保护信息的价值。方便使用的规划设计原则要求安全措施的运行不能太繁杂,这样使得工作者难以完成计划的措施,这样会影响到系统的安全性。
3.2计算机网络安全防御策略
计算机网络安全防御策略,包括管理策略以及技术策略。安全管理措施需要人与计算机协调进行,保证计算机的安全级别,可以通过进行安全组织和管理制度的建设来实现。这也就是进行安全管理所涉及到法律措施、先进技术、高效管理这三个方面的内容。法律措施是指在已有的法律基础上进行网络安全管理的规范和准则,这是给犯罪分子的警示。网络先进技术是指根据安全环境做相应的分析,对存在的风险,则可以利用先进技术对用户信息安全做出保护。高效管理是指强化局域网内部的管理工作,对审计和跟踪体系进行完善。
计算机网络防御技术主要包括的内容是物理层及数据链路层;网络层和计算机系统;认证、授权用户,扫描并控制网络这三个方面的内容。计算机网络防御设计应遵循的原则是系统性、动态性、简便性,而制定安全策略技术的措施是运用于计算机的网络、操作系统、数据库、访问授权等方面。具体而言就是对重要数据进行加密处理,提升服务器的安全级别,检测并清除病毒的传播。交换机、操作系统、路由器处于网络层中,衍生许多复杂的问题。针对可能出现的人员泄密和来自外界攻击等问题,采取的应对措施是进行跟踪和监测,一旦网络有异常数据,则进行快速的操作系统补丁等应对措施。
参考文献:
[1]熊群毓.计算机网络防御策略模型探讨[J]信息通信,2012(4).75-76.
[2]董鹏.计算机网络防御策略模型[J]电脑编程技巧与维护,2012(10).114-115.
急救中心必须依靠计算机网络技术来完成医疗紧急救援任务。随着计算机网络的广泛运用,常有故障或安全隐患存在,不但影响急救工作的顺利开展,也会给急救中心的社会声誉带来负面影响。所以,在应用计算机网络技术过程中,应重视维护和管理计算机及其网络,针对运行过程中存在的问题和安全隐患,实施有效性的维护与管理措施,为计算机网络安全稳定运行提供保障。
2基于计算机网络技术的急救指挥调度的特点
基于计算机网络技术的指挥调度系统能提高调度效率,完善通讯网络,满足急救需求,其特点表现在:
2.1即时收集处理信息
急救中心接入呼救电话后,利用GPS技术和GIS技术分析电话号码,搜索并确定患者的位置。即使患者因病情没有完整给出信息,急救中心也能找到患者并实时救治,系统生成最佳出车路线,节省人工查询时间。录音功能可以解决语言信息模糊或偏差的问题,利用录音内容寻找其他信息,实现患者定位。
2.2自动化和网络化调度
以往急救指挥调度由人工完成,工作效率低,差错率较高,往往威胁急危重症患者的生命安全。应用指挥调度系统后,在接入呼救电话时就开始电话录音、记录信息、分析患者地点、生成最佳出车路线、制定急救方案等的运行,节省了人工操作时间,提高了工作精度,出车时间较短。
2.3信息共享和科学决策
在突发事件应急处理过程中,需要多部门协作,医疗紧急救援需要应急人员和车辆的密切配合,指挥调度系统能能分析现场情况,联系周边应急救援部门,调整和升级应急处置方案,为科学决策提供准确依据。
3存在问题和安全隐患
3.1硬件问题及其安全隐患
硬件是计算机正常工作的前提,优质的硬件设施有利于高效运行计算机和网络。从实际情况看,很多急救中心计算机设备各项指标严重不合格,尤其是硬件设备总是会出现各种问题。如目前使用的落后的主机,工作速度无法满足日常工作的需求,有时出现死机现象,大大降低了工作效率;其次,使用的光缆和光纤质量差,会出现网络断开连不上网的现象,不利于顺利高效地开展工作。
3.2软件问题及其安全隐患
软件是计算机正常工作的关键因素。计算机网络软件出现的问题主要包括:(1)系统不兼容更新升级不及时。由于计算机系统没有升级,阻碍了急救指挥调度系统的运行和维护,无法编辑录入相关资料,不能及时更新和完善重要的数据,甚至导致系统瘫痪。(2)病毒侵入。计算机和网络技术结合使指挥调度系统更加先进,病毒也更加容易侵入。如果技术人员没有监控到病毒或任其肆意入侵,那么病毒会破坏计算机系统,导致无法正常显示电脑屏幕,不能及时、准确传递相关消息,导致死机、系统崩溃,影响正常工作。(3)信息泄密。急救指挥调度系统中急救中心自身信息、患者资料都需要保密。一旦计算机被外网侵入,那么会破坏计算机系统,导致数据流出,医患双方的利益均受到损害,降低了急救中心的社会信誉。
3.3网络安全隐患
IP地址被劫持,不法分子会应用网络TCP/IP协议伪造主机IP,进而发送具有欺骗性的数据包,造成主机、网络瘫痪。攻击路由协议,侵入者伪装数据系统,窃取和泄露数据信息。
3.4人为因素
应该说,急救中心计算机和网络安全事故多由人为因素造成。如工作时不小心切断电源,遗失未保存的数据,计算机系统无法正常工作;再如专业技术人员未掌握足够的计算机知识,出现操作失误,威胁计算机网络安全。
4计算机维护和网络安全管理措施
4.1计算机维护措施
急救中心相关数据的采集、储存、传递、医患和医医交流等一般均需要利用计算机操作来完成,必须做好计算机维护工作。
要重视计算机检修和保养。要延长计算机使用年限,必须重视计算机保养。专业技术人员要定期检修和保养计算机,定期检查计算机硬件设备是否存在问题;要经常使用专用的刷子、专用的清洁剂维护硬件设备;要整理室内线路,保证整齐清洁,为计算机提供轻松舒适的环境。
重视软件保护。要定期维护和升级计算机系统和应用程序相关数据,备份重要数据,保证数据信息的完整性。
普及计算机知识。数字化信息化管理方式要求工作人员必须掌握计算机知识,强化维护计算机,保证安全。
4.2网络安全管理措施
做好网络安全管理是保证急救中心工作正常运行的核心因素。要加强医院网络安全。加强网络安全,要求有高监控的管理,加密相关数据。高监控指使用网络防火墙、安装360、电脑管家等查杀病毒的软件,前提是这些软件本身具有较高的安全性,能够有效抵抗黑客、外网、病毒入侵;加密相关数据,指重新录入计算机网络的相关数据信息,不法分子无法获取加密信息的内容,能有效避免相关数据泄密事故的发生,确保网络安全稳定运行。(1)设置防火墙。防火墙能够分隔内部网络与其他公共网络,其他用户进入内部网络时,需经过授权,隔离非法访问,实现网络安全运行。(2)引入加密技术。在计算机网络维护与管理工作中,需保持高度警惕,加密处理原有文件数据,传输重要数据时,可引入对称加密与非对称加密两种技术,最大限度确保数据安全性。(3)安装杀毒软件,定期扫描,及时发现并识别出可疑程序,确认为病毒后,立即隔离,并依据具体情况强制清除病毒程序。(4)防范黑客进入。相关管理人员应不断加强防范黑客意识,定期更新身份认证系统,定期修改重要账户密码。
要建立健全网络管理规章制度。专业技术人员应进行相关设置,工作人员必须注册账号,配合身份权限才能登陆急救指挥调度系统网络,防止不法分子盗取相关信息,防止外部端口接入网络,提高网络安全。因此,必须建立健全各项规章制度,做好防控布控工作,防止网络出现失联和混乱的局面,从制度层面消除潜在的网络安全威胁因素。
成立计算机维护和专业技术小组。在提高工作人员维护计算机和网络安全意识的同时,应成立计算机维护中心,专业技术人员及时检测计算机网络运行中存在的问题并找出有效解决方案,做好计算的检修和保养工作。
4.3积极引入新型计算机网络技术
(1)引入NTFS区分格式服务器,弥补DOS系统缺陷,降低病毒感染计算机可能性。(2)注重识别外来移动硬盘,不得随意插入到计算机上。(3)定期更新计算机软件,降低软件系统漏洞数量。(4)将基于WindowsNT开发的32位实时扫描、杀毒等软件安装于计算机上。(5)office类程序不直接在WindowsNT上进行运行,以预防因病毒感染而误删重要文件。
4.4加强机房管理
(1)注重盘查与监督机房进出人员,要认真识别访问者身份信息后再决定能否让其进入。(2)实时监控机房,要监督在机房中活动人员的动向,以便及时发现异常行为并处理。(3)将多层安全防护圈设置于计算机机房系统中心,避免不法分子暴力入侵,保证机房安全性。(4)注重控制机房的温度、湿度、电气干扰等,保证机房正常运行,为计算机网络顺利运行提供支持。
参考文献
[1]张波.探析医院计算机系统的管理措施与维护思路[J].科技创新导报,2013(25):29.
【关键词】计算机网络;网络安全;管理;病毒;策略;措施
【中图分类号】TP393.08
【文献标识码】A
【文章编号】1672-5158(2012)12-0023-02
近年来,随着计算机网络的飞速发展,网络技术、计算机技术在人们生活生产中发挥着不可取代的重要作用,在企事业单位生产运营管理中实现了普遍应用,然而其创设的开放性、自由化网络应用环境、共享化网络服务空间,网络的安全问题也日益严重。因此,要确保网络信息的保密性、完整性和可用性,必须提高对网络安全管理的重视,计算机网络安全管理亟待深入开展。
1计算机网络安全管理的必要性
1.1在现代信息社会中人们是离不开计算机网络的,人们许多行为机会都必须依靠计算机网络才得以进行,我们采取网上办公、网上购物、网上聊天等,而且还有众多的企业,政府部门也在网上进行业务办理;网络在生活工作中的广泛使用不仅为人们节省了时间,而且也极大地提高了工作的效率;如果没有安全的计算机网络,将会给人们的生活和工作带来严重的不良后果。
1.2计算机网络中含有人们需要的机密和财富。由于计算机网络传输具有陕捷、容链大等优点,人们可以在网络上存储自己的信息秘密,或从网络上传输的相关信息中获得对自己有益的信息;但如果网络存在不安全隐患,个人存储隐私或信息被人非法泄漏或篡改,都将会给人们造成严莆的经济和财产损失。
1.3计算机网络安全牵涉国家安全,国家的军事、政治、国防等信息内容也主要依靠网络进行存储和设计,通过计算机网络偷盗别国机密已成为一种常用手段。因此,计算机网络安全对于一个国家安全来说非常重要,保证国家安全就必须保证计算机网络的安全。
2威胁网络安全的主要因素
2.1管理因素。管理人员素质低、管理措施不完善、用户安全意识淡薄等。
2.2人为因素。一是人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户口令选择不慎,都会对网络安全带来威胁;二是人为的恶意攻击:主动攻击,以多种方式有选择地破坏信息的有效性和完整性;被动攻击,在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可使网络造成极大的危害,导致机密数据的泄露。
2.3病毒。目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。
2.4黑客。对于计算机数据安全构成威胁的另一个方面是来自电脑黑客。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
2.5系统和网络安全漏洞。所有的计算机应用系统都存在一定的漏洞。这些漏洞的存在大大挺高了黑客入侵的成功率,是破坏计算机网络安全的一个重要因素。此外,由于现代计算机系统的更新速度的加快,系统漏洞出现的频率也越来越高,虽然利用系统漏洞发起对计算机系统的攻击难度很高,但是还是有很多个人和组织出于各种目的利用安全漏洞进行攻击,构成计算机网络安全问题。
3计算机网络安全管理存在的问题
3.1安全管理制度不健全。制度是促进管理最有效的手段,在计算机网络安全管理上也是同样的道理。但是在管理中这种意识相当的不足,管理办法相对滞后。虽然对于这块有着相应的制度和规定,也只是停留在嘴上。没有真正的落实到实际的行动中。并且由于教育经费这个问题,许多院校为了降低成本,没有采取对于网络相应的防护措施,为安全管理工作埋下了隐患。
3.2安全管理组织效率不高。要进行科学的管理,光有经验是远远不够的,必须有一个强有力的管理组织体系,制定科学的程序标准来进行控制和调节。高校的管理人员对于计算机网络安全管理缺乏创新意识和整体观念。仍旧习惯于旧的管理模式,管理上存在着误区,过度重视外界的保护,没有考虑到内部人员的素质,重视已经发生的问题的解决。
3.3安全管理人员管理不到位。安全防范无论采用哪种手段,人都是管理中的重要的原因,近几年的计算机事故的情况来看,许多都是由于工作人员使用不当造成的,工作人员对于网络熟悉、应用程度直接导致了网络使用的安全与否,因此,全面提高工作人员的道德品质和技术水平是安全管理的最重要因素。
4计算机网络安全管理的对策
4.1加强计算机网络安全中防火墙的作用。防火墙技术是最常见的访问控制技术,能够有效防护内部网络免受外部网络的攻击,轻松实现隔绝非法信息资源的访问,实现对特殊站点的访问控制,实现对易受攻击对象的保护,实现对网络访问的审计。以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上,与把网络安全问题分散在每个主机上相比较,这样的防火墙的集中安全管理更为经济、有效。
4.2入侵和漏洞检测技术。入侵检测和漏洞检测系统是网络安全系统的一个重要组成部分,是防火墙的合理补充,它不但可以实现复杂烦琐的信息系统安全管理。而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击做出反应。因此,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
4.3信息数据加密与备份策略。数据加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它,用来防止通信线路上的窃听、泄露、篡改和破坏。备份不仅在网络系统硬件出现故障或发生人为失误时起到保护作用,而且在入侵者进行非授权访问或对网络攻击及破坏数据完整性时也可起到保护作用。
4.4应用身份认证技术。一般来说,基于WEB的计算机应用系统往往涉及很多重要数据和机密数据,这些数据一旦泄漏,后果很严重。为了充分保护这些机密数据,可以通过对用户认证技术实现,以保证系统数据的安全,而用户认证技术主要涉及到Session对象和HTTP对象两个部分,通过判断用户输入的URL以及口令验证方式等实现对访问的控制。广泛应用身份认证技术能够充分保证计算机网络系统的安全。
4.5目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进—步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。八种访问权限的有效组合能有效地控制用户对服务器资源的访问,从而加强网络和服务器的安全性。用户对文件或目标的有效权限取决于以下几个因素:用户的受托者指派;用户所在组的受托者指派;继承用户权限等。
5计算机网络安全的防范措施
5.1加大打击网络病毒犯罪力度。国家工信部和公安部应当完善相关法律,加大打击力度,维护网络安全、保证社会舆论方向的正确性。国家工信部应当组织计算机、互联网、软件等几个方面专家根据当前网络病毒犯罪现状从技术层面寻求网络犯罪、计算机病毒犯罪的方法,制定打击标准;公安部门应当积极配合、学习工信部制定的网络犯罪、计算机病毒犯罪方面相关方法和标准,针对当下病毒传播实际情况,积极打击网络病毒传播行为,维护网络安全。
5.2重要计算机系统特定防护,对于政府部门、大型企业等重要机构的计算机系统要进行重点防护,主要说来可以从两方面人手:一方面,重要计算机系统要有专人负责,可以不连接到互联网,仅仅使用局域网进行办公,从源头上根除病毒入侵的可能;另一方面,重要计算机系统要专人专时使用、定期进行安全检查、设置多重防火墙,保证重要计算机系统的安全。
5.3养成良好的上网习惯。定期对电脑进行清理,及时安装系统漏洞补丁程序。要养成定期对电脑体检,定期检查硬盘,进行病毒扫描的工作。随着软件技术的发展,有很多专业性很强的计算机防护软件,科学使用防护软件可以方便的进行病毒扫描、病毒清除,从而达到保证个人电脑安全,保护个人信息的目的。
关键词:无线局域网;安全措施
引言
随着无线技术和网络技术的发展,无线局域网(WLAN)接入技术已经成为市场和应用的热点。无线局域网具备众多有线局域网不可比拟的优点,包括快捷方便的无线接入、灵活多变的拓扑结构、易于维护管理、低廉的建设成本等。然而,由于无线网络是基于无线空间的通信技术,入侵者无需物理线路连接就可以对其进行攻击;同时,由于WEP协议本身的缺陷,使得WLAN的安全问题显得尤为突出。本文主要针对WLAN的安全问题提出了几种解决措施。
1WLAN存在的安全问题
与传统的有线局域网相比,WLAN比较灵活,而且它的投资少,扩展能力强。但是,从另一方面来讲,正是因为WLAN的这种灵活性,给它带来了有线局域网不存在的安全隐患和安全漏洞。
1、非法接入网络
对于企业来说,内部网上的数据包含着企业宝贵的信息资产,肯定不希望“外人”有意或无意访问到。对于电信网络来说,非法接入网络也是运营商面临的最大的安全威胁。攻击者可以借此逃避通信费用;如果攻击者冒充其他合法用户,还会给他人造成经济损失。
2、伪AP和伪网络
攻击者部署假冒的网络接入设备诱使合法用户访问。这种攻击形式成本较高,但带来的威胁也是严重的。比如,攻击者可能在热点区域部署假冒的AP诱使合法用户接入,进而伪造登录页面骗取用户输入账号口令等。或者,攻击者可能伪造各种网络设备(如DNS或DHCP服务器),重定向用户通信数据到其不希望的网络。
3、网络窃听
有线网络可以采用物理隔离的手段减少网络窃听的威胁,而无线网络则完全暴露在窃听者面前。无线局域网由于其传输介质是共享的,其上收发的数据就更容易被窃听。现在市场上大多数的以太网卡都提供一种“混淆模式”,它带有蜕壳软件可以捕捉网络上的每一个包。窃听者通过在其计算机上安装Sniffer、ethereal等软件,可以轻易捕获、显示网络上的数据包。窃听者对网络数据的窃听主要是窃听用户业务数据。
4、数据篡改
篡改报文是一种常见的主动攻击形式,攻击者通过构造虚假报文对受害者进行欺骗。在无线局域网中,攻击者对数据的篡改存在以下三种可能:(1)对业务数据进行篡改,以达到欺骗合法用户的目的;(2)伪造用户请求,非法接入网络;(3)伪造或篡改网络管理控制报文,造成系统或设备无法正常工作。
2WLAN的安全措施
针对上述的无线局域网的安全问题,现在已经有了很多针对性的解决方案,包括管理措施、操作措施和技术措施等方式。本文就从这几个方面来分别进行总结分析。
(1)管理措施:用以加强无线网络安全性的管双措施应该从一个全面的安全措施来考虑。安全的管理措施是规范和实现操作措施和技术措施等其他安全措施的基础。一个WLAN安全措施应该做到以下几个方面。
在企业中确定可能使用WLAN的用户;确定是否有必要访问Internet;记录可能安装按入点AP和其他无线设备的人;对无线接入点AP位置和物理安全加以限制;描述无线连接上可能传输的信息类列:描述允许无线设备工作的条件;为接入点AP确定标准的安全配置;描述无线设各位用上的一些限制,如位置等:描述任何接入设备的软硬件配置;制定报告无线设备丢失及其他安全事件的制度;制定使用加密及其他安全软件的制度;确定安全评估的范围和次数。另外一条管理措施是确保所有核心雇员在无线技术使用方面,都接受良好的培训,网络管理员要充分认识到WLAN和无线设备所引起的安全风险,要确保安全措施的确实施,清楚对攻击事件应该采取的措施。最周,最为重要的措施是培训用户。企业WLAN系统模型如图1所示:
图1企业WLAN系统模型
(2)操作措施:加强物理安全,确保只有授权的用户可以访问无线设备。支持无线网络的设备需要物理访问控制,例如照片识别、读卡机或生物特征识别等,这些方法能够将非法入侵设备的风险降到最低。在WLAN中,决定接入点AP的放置位置时,必须考察AP的工作范围。如果AP的工作范围超过了办公大楼,那么这种范围的超出将产生一个安全威胁。位置勘测工具可以测量和增强AP覆盖范围的安全性。虽然给信号覆盖范围可以为WLAN提供一些有利条件,但这并不能视为一种安全的网络解决方案。攻击者使用高性能天线仍有可能在无线网络上窃听传输的数据。但是只要使用较强的加密方法,用户完全可以防止攻击者进行窃听。
(3)技术措施:技术措施包括使用硬件和软件解决方案来增强无线网络的安全性。软件解决方案包括正确配置接入点AP、软件补丁与升级、身份认证、入侵检测系统(IDS)以及加密等措施。硬件解决方案包括智能卡、虚拟专用网(VPN)、公钥基础设施(PKI)和生物特征识别等。
参考文献:
[1]JGeier,王群,李馥娟,叶清扬译.无线局域网[M].北京:人民邮电出版社,2001.
[2]Douglas.R.Stinson,冯登国.密码学原理与实践[M].(第二版).北京:电子工业出版社,2003.
[关键字]ARP攻击防范免疫网络
ARP的中文名称是地址解析协议,它的全称是AddressResolutionProtocol,在网络使用的过程中,逐渐制订了ARP,这对于安全网络的使用有着重要的保证。攻击防范是网络经常会遇到的问题,也是网络必须具备的基础安全措施,网络一旦被病毒侵害,对网络会造成很大的危害,所以需要一定的“抵抗力”来应对病毒的入侵。所谓的“抵抗能力”也就是免疫网络,免疫网络能够像人体的免疫力保护人体免受细菌的侵害一样可以保护网络正常
一、ARP攻击防范中免疫网络设备的主要问题
1、解决措施的防范能力有限。网络本身的安全性还是比较高的,但是在实际的网络使用过程中,各种因素可能会降低这种安全性,给网络本身造成很大的不便。一些网络安全措施虽然能够达到保护网络安全的效果,但是当遇到更强大的病毒的时候,可能就会有些力不能及,也就是说一般的防范措施能力有限,在遇到复杂的情况下就会能力不足,所以需要更加强大的解决措施来增强网络的安全性。
2、对网络管理约束大,不方便不实用,不具备可操作性。随着网络的不断发展,ARP防范措施的种类也在不断的增多,虽然数量可观,但是在质量上却不尽如人意。有很多的ARP防范措施对网络的管理约束太大,所以在实际的使用中实用性并不强,在管理上也不方便,操作上也不方便,这样的措施再多都无济于事。因为在管理的过程中,并不需要太多的措施,仅仅只要一个能够有所保证的措施就可以。
3、某些措施对网络传输的效能有损失,网速变慢,带宽浪费,也不可取。在众多的ARP防范措施中,不乏一些看着华丽的措施,实则并没有实际的防范能力。这种类型的防范措施往往需要快的网速,而且传输的东西也非常多,对于网络传输的效能会有一定的损失,导致网速变慢,同时浪费宽带,从实用性方面来讲,并没有很大的优势。
二、常见的防范ARP措施的分析
1、双绑措施。双绑措施的重点就在于双绑,这里的双指的是路由器和终端上进行的IP-MAC绑定的措施,对于一些ARP欺骗的两个端口,伪造关闭网络、截获数据的现象,从而起到一定的约束作用。这种防范措施是从ARP原理上进行的一种基本的防范措施,在人们的生活中普遍适用,能够有效的用于最最普通的ARP欺骗。但是这种措施也存在一定的缺陷,它的缺陷主要有三点,包括升级的ARP容易捣毁终端上的静态绑定,严重的情况下静态绑定能够完全失效。第二个就是路由器上的IP-MAC表的绑定工作非常繁琐费时费力,不方便。第三点就是这种方法作用的主要对象只是两端的电脑和路由器,只能让他们免接受ARP信息,而内网中还会有ARP信息的传输。
2、ARP个人防火墙。ARP个人防火墙是ARP的又一个防范措施,这种防范措施主要是对终端电脑的网关进行绑定,以免网络中假网关的对其造成一定的影响,这种防范措施主要的保护对象是自身数据。ARP个人防火墙的作用范围很广,但是并不代表ARP个人防火墙能够保证ARP攻击就不存在,同样,ARP个人防火墙也是有很大的缺陷。首先,ARP个人防火墙不能够保证绑定的网关是绝对正确的。再者,ARP不仅能够伪造网关,同样他也能够截获数据。所以说ARP个人防火墙中的个人还是比较突出的,也就是说ARP个人防火墙是个人的,不是网络的。
3、VLAN和交换机端口绑定。VLAN和交换机端口绑定是另外一个常用的ARP防范措施,这种方法主要是对做法VLAN进行细致的划分,通过这种划分减少广播域的范围,从而让ARP能够在小范围内发挥作用,不至于在更大的范围中影响,同时,学习完成以后,关闭一些具有MAC地址学习的功能网管交换机,就可以把对应的MAC和端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。VLAN和交换机端口绑定的防范措施也存在一定的问题,主要问题在于没有对网关的任何保护,把每一台电脑都牢牢地固定在一个交换机端口上,这种管理太死板了。
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
一、校园网络安全现状分析
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。
(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。
(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.
需求风险和代价互相平衡的设计原则,在当今的互联网环境下,对任何一个网络网络系统来说,要在各个方面保证其绝对安全基本上是难以实现的,当然绝对的网络安全也不一定是必需的。在对网络的安全设计中,采用了需求、风险和代价互相平衡的设计原则,即在设计时要求对网络的任务、性能、结构、可靠性和可维护性等方面进行实际研究,并对网络可能面临的威胁及可能承担的风险进行定性与定量相结合的分析方法,然后再制定安全设计的规范和措施,具体包括以下方面的安全设计原则。
一致性安全设计原则,网络安全系统设计的一致性原则主要是指网络网络安全问题应与整个网络网络的生命周期同时存在,制定的网络安全体系结构必须与网络系统的安全需求相一致。网络系统的安全设计及实施计划、网络测试、验收、运行等方面都有相应的一致性的安全内容及措施。
易操作性安全设计原则,网络系统的安全设计采用了易操作性原则,因为措施需要人为去完成,如果安全设计措施过于复杂,对技术人员的要求过高,那么本身就降低了安全性。而且安全设计措施的采用不能影响系统的正常运行。
可扩展性安全设计原则,网络系统的安全设计采用了可扩展性原则,因为在进行安全系统设计时,必须要考虑到网络系统的性质、规模和结构等多方面发生变化的可能性,为网络系统扩充留下相当的冗余度。并且,在安全防护体系思想的指导下,网络安全系统的设计和实施都可以采取更新的安全技术和更换性能更强的网络产品,或者可以通过网络拓扑的扩充来对网络的安全功能进行扩展。
多重保护安全设计原则,网络系统的安全设计也采用了多重保护的安全设计原则,因为互联网的复杂程度越来越高,任何安全措施都不可能保证网络的绝对安全,都是有可能被攻破的。科学的方法是设计一个多重保护的网络系统,实现针对网络层和应用层的保护相互补充,可以有效保证当其中一层安全保护被攻破时,另外一层的保护仍可确保网络系统数据信息的安全。
可管理性安全设计原则,网络系统的安全设计,往往会由于网络管理内部的管理制度不完善,或者职责划分的不明确的问题导致在设计时采取的安全设计技术和安全设备不能很好地发挥安全保护的作用。网络采用的可管理的安全设计原则是建立一个动态的、可控的安全体系结构,保证网络管理人员在一套合理的安全规范的指导下可以完全管理网络网络系统的安全。这样就可以有效地保证对安全设备和安全技术进行利用与管理,使得整个网络网络的安全性是可控制和可管理的。
业务连续性安全设计原则,网络的安全设计保证了其业务的连续性,网络安全系统的设计与实现不可避免地会涉及到原有的业务系统,业务连续性安全设计原则要求新增加的安全系统不会影响原有网络系统的安全性、完整性、保密性和可用性,有效保证网络所有业务的连续性。
动态性安全设计原则,通过网络的安全问题显示计算机网络安全的发展是动态的,这就要求对其实施的相应的防御体系也是动态的。随计算机网络的脆弱性特别是WEB应用脆弱性的改变和黑客的计算机网络攻击技术的不断发展和变化,在进行网络的安全系统设计时应该及时并不断地完善和改进网络系统的安全防护措施。
安全设计策略
网络作为大量数据信息集中的中心,有着不同的承载数据的对象,通过对网络的安全分析,在网络中传输的不同的数据类型和服务对象所遇到的网络安全威胁也不一样,因此,针对不同网络安全威胁所采用相应的安全防范措施也不尽相同,比如:针对在网络中托管的服务器经常受到系统漏洞和非授权连接等威胁,通常采用部署网络层防火墙、身份认证和漏洞扫描的安全设计策略,根据网络中的不同对象受到的不同网络安全威胁的实际情况确定了相应的安全措施。
针对网络的实际情况,在网络层和应用层实施网络安全系统设计的时候有针对性的采用高效的安全设计策略,同时采用多层防御的方法,通过对网络结构调整和网络网络产品部署,并辅助以配置安全策略服务和结合安全管理手段,最终在网络层和应用层形成系统的、动态的、可持续的安全防御体系。而且在网络安全产品选型时要遵守以下策略。
在网络安全产品选型时,需要厂家可以提供客户化支持的网络产品。只有这样才能保证网络系统的安全是可以用户化的,才能有针对性的为用户的应用和企业的业务提供安全保证。网络网络安全产品可以随时根据企业用户的需求进行相应的改进,从而更加适合企业用户的实际需要。
需要网络产品厂家可以提供本地化服务的产品。只有这样才能保证遇到问题时能够以最快的速度提供应急响应的服务,从而有效的实现对企业用户应用和企业业务的服务保证。
关键词:内部信息网络;信息安全;管理
中图分类号:F270.7文献标志码:A文章编号:1674-9324(2014)21-0018-02
做好企业信息安全管控工作,首先要结合所在企业的实际情况,了解来自内部和外部环境的主要威胁,抓住工作重点,发现解决难点问题。下面就信息安全管控的一些重点和难点问题,谈一点看法。
一、信息安全管控的重点
我们常说,“信息安全控制三分靠技术、七分靠管理”,尤其是对非IT行业来说,它首先是信息系统的使用者,其次才是运行和维护者。它的内部信息网络运行人员,可能仅占到总人数的1%甚至更低。所以技术措施主要是作为管理人员的手段来发挥作用,维持信息网络安全稳定运行,最重要的还是明确管理制度、细化安全职责、加强监督考核。大部分企业的内部网络出口,都装有防火墙和入侵检测系统,理论上说一个外界的入侵者想绕过防火墙和入侵检测系统进入到企业内部网络进行非法操作,难度很大。
二、信息安全管控的难点
随着企业各项业务的信息化,其信息资产的价值也在迅速提升,这势必会吸引一些有目的性的内部或外部威胁,从而带来信息安全性的下降。信息系统可用性已经不再是信息安全管控的唯一目标,系统数据的保密性和完整性也已经成为了信息安全工作的重要内容。在信息网络运行工作中,这就需要我们关注更广的范围,监控更多的节点,进入更多的层面。
同时我们必须认识到,在某些方面,信息安全性的提高是以降低应用的便利性为代价的。例如:一些员工为了避免一系列限制,不使用企业统一的外网出口,而是自己利用3G上网,虽然有很强的自由性,也能提高访问速度,但是这样就打开了一个不经过防火墙和入侵检测系统的外网接口,一旦外部有影响恶劣的新型病毒爆发,病毒就可以在信息管理人员做好准备之前入侵内部网络,造成较大的安全事故。安全性和便利性的这种冲突,需要我们针对网络和信息系统重要程度,划分级别,寻找一个两者之间的平衡,在达到安全标准的前提下,提高应用的便利性。
三、安全管控的实施原则
基于以上理解,在企业内部信息网络中进行安全管控措施规划、实施时,可以遵循以下原则。
1.整体性原则。从应用系统的视角,分析信息网络的安全的具体措施。安全措施主要包括各种管理制度以及专业技术措施等。一个较好的安全措施往往是多种方法适当综合的应用结果,只有从系统综合整体的角度去看待、分析,才能选取有效可行的措施,着重加以落实。
2.平衡性原则。对于一个计算机网络,绝对的安全很难达到,也不一定非要达到不可。应结合企业实际,对其内部网络的性能结构进行研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后选取急需落实执行的规范和措施,确定当前一个时间段的重点安全策略。
3.一致性原则。一致性原则主要是指网络安全措施应与整个网络的生命周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设的开始就有前瞻性的考虑到网络安全问题,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
4.容易性原则。安全制度需要人去遵守,安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
5.动态性原则。企业信息系统的应用范围将越来越广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。应该随着企业信息化的发展,不断完善现有网络安全体系结构,适时增加或减少应该重点落实的安全措施。
6.多重性原则。任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,采取多项安全措施进行多层防护,各层防护相互补充,当一层保护出现漏洞时,其他层仍可保护信息网络的安全。
四、安全管控的重点措施
信息安全的保障,还要靠制度细则的执行,具体措施的落实。近几年来,在电力行业内部,各级单位制定了一系列的安全管理措施,来保障内部信息网络的安全可靠。
1.“不上网、上网不”,切实避免将的计算机、存储设备与信息网络连接,避免在接入外部网络或互联网的计算机设备上存储、处理、传递信息或内部办公信息。
2.计算机接入信息内网必须严格执行审批登记制度,使用规范的计算机名称,实现IP和MAC绑定。必须纳入企业统一的域安全管理,接受统一的监管。
3.执行统一的互联网出口策略,禁止单位和个人私自设置互联网出口。
4.接入企业信息内网的计算机设备,应严禁配置、使用无线上网卡等无线设备,严禁通过电话拨号、无线技术等各种方式与互联网互联。信息内网应避免使用无线网络组网方式。
5.在计算机的运行使用中,所涉及到的用户帐户应执行口令强度的要求与定期更换的规定,采取有效措施监控、发现、并及时修改弱口令,防止被他人利用。应禁止内部员工未经授权侵犯他人通信秘密,擅自利用他人业务系统权限获取企业电子商密信息。
6.应使用企业集中统一的内外网邮件系统,接受统一的内容审计管理。对于在外部网络和互联网上传输的内容,也要采用加密压缩方式进行传输。
7.连接内网的传真、打印、复印一体机,应切断电话线连接,取消智能存储功能。应禁止将普通移动存储介质和扫描仪、打印机等计算机外设在信息内网和外部网络上交叉使用。
热门推荐