时间:2023-09-20 16:58:12
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全服务保障措施,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:数字图书馆 网络安全 保障措施
一、数字图书馆网络信息安全的概念
数字图书馆网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然因素和恶意原因而遭到破坏、更改、泄露,系统连续正常运行,网络服务不中断。网络信息安全是一个非常复杂的问题,它不仅仅是技术方面的问题,而且还涉及到人的心理、社会环境以及法律等方面的内容。数字图书馆的网络信息安全是一个系统概念,包括设备安全、自动化管理系统安全、各种数据安全、网络通信安全、人员管理安全、环境安全等几个方面。
数字图书馆网络信息安全有下列三个目标:完整性,保证非授权操作不能修改、增删数据;有效性,保证非授权操作不能破坏各种数据;保密性,保证非授权操作不能获取受保护的信息资源。
二、影响数字图书馆网络信息安全的因素
1、环境因素和意外事故
计算机网络系统对外部环境条件有一定的要求。外部环境条件不符合有关标准会对数字图书馆的信息安全造成一些危害,包括数字图书馆网络控制中心机房场地和工作站安置环境不合要求;机房设计不合理,建造不符合标准;电源质量差;温度不适应;无抗静电、抗磁场干扰;无防尘、防火、防水、防雷击、防漏电、防盗窃的设施和措施。
2、管理因素
数字图书馆网络系统是一项复杂的计算机网络工程。若缺乏严格的、科学的管理,缺乏紧急情况下的应急措施,对其网络信息系统的危害远远大于其它方面造成的危害。由于网络安全管理人员和有关技术人员缺乏必要的专业安全知识;不能安全地配置和管理网络;不能及时发现已经存在的和随时可能出现的安全问题;对突发的安全事件不能做出积极、有序和有效的反应;图书馆的网络系统没有建立完善的安全管理制度,从而导致网络安全体系和安全控制措施不能充分、有效地发挥效能;业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者造成可乘之机。
3、计算机网络病毒
由于计算机软件的脆弱性与互联网的开放性,我们将与病毒。随着计算机技术、网络技术的发展,网络病毒不断出现了以下新特点:主动通过网络和邮件系统传播、传播速度快、危害大、变种多、难于控制、难于根治且容易引起多种疫情等特点。据粗略统计,全世界已发现的计算机病毒有上万种,并且正以平均每月300-500种的速度疯狂增长。
4、黑客的攻击
“黑客”(Hacker)出自英文Hack,是计算机网络系统捣乱分子的代名词。他们攻击计算机网络系统的方法很多,他们通常使用猜测口令、破译密码、WWW欺骗、放置特洛伊木马程序、利用系统缺陷和通过电子邮件引诱等方法攻击网络系统。
5、版权保护问题
文献信息资源的数字化为读者检索利用信息提供了极大的便利,使得数据的交换和传输变成了一个相对简单且快捷的过程。读者借助于现代网络可以将数字化信息传输到世界各地,进行各种信息交流和电子商务活动,但随之而来却出现了另一个问题―数字版权问题。有些人或团体在未经著作权人的许可非法使用、传播有版权的作品,所以数字图书馆建设的过程中网络信息安全包括版权安全。
三、数字图书馆网络安全的保障措施
建立数字图书馆网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等,从而为各类用户提供安全可靠的网络资源,更好地发挥网络的优势,使馆藏资源可以不受时间、空间的限制,图书馆建设才能真正朝着数字化的方向迈进。为确保网络安全,可从网络层、系统层和应用层等3个方面着手采取防护措施。
1、网络层的安全防护
网络层的安全保护首先是对网关的防护,通过设置边界防火墙达到访问控制、状态包检测、集中式管理、网关入侵检测和报警、网络地址转化(NAT)、流量审核日志等目的。其次是对内网网络层的防护。内网网络层防护由网络入侵监测系统和内网防火墙来共同完成。在检测到入侵行为或异常行为后,网络入侵监测系统的控制台就会实时显示,并根据预先定义的事件响应规则报警,同时将报警信息写入日志,以备审计核查。第三是对主机的防护。主机防护由主机防火墙和主机入侵检测产品完成。安装在被保护主机的操作系统上,并嵌入到操作系统的核心层。
2、系统层的安全防护
要使用漏洞扫描技术,定期扫描操作系统和数据库系统的安全漏洞与错误配置,尽早采取补救措施,避免各种损失。同时应加强口令的使用,及时给系统打补丁。还要增强访问控制管理,包括对文件的访问控制,提供读、写、执行权限以及建立、搜索、删除、更改和控制等权限;对计算机进程提供安全保护,防止非法用户启动或制止关键进程;控制对网络和端口的访问。最后,应注意对病毒的防范和提供对重要的数据库服务器和Web服务器的专门保护。
3、应用层的安全保护
应用层的安全保护是指安全管理。加强对用户的安全管理十分重要,应制定完善的安全管理体制、构建安全管理平台、增强用户的安全防范意识等,提高全体工作人员的网络安全意识。
数字图书馆网络安全工作是图书馆不容忽视的重要工作。它是目前乃至今后图书馆各项工作的基础,贯穿数字图书馆发展的始终。网络是一把双刃剑,它在给我们的工作和生活带来了便利的同时,也向我们提出了严峻的挑战,我们不能因噎废食,而应充分发挥我们的主观能动性,在利用网络的过程中积极探索限制其发展的方法。网络安全是图书馆的重点工作,必须强化数字化图书馆网络安全保障体系,切实做好网上数字图书馆的安全管理工作。一方面确保系统自身的安全,即数据安全、系统运行安全和运行环境安全;另一方面要防止非法用户的非法使用和合法用户的越权使用而造成对数据的窃取、篡改和破坏或造成网络系统的瘫痪。制定和实施图书馆网络安全保障计划是当务之急,构建牢不可破的网络安全保障系统,是时代赋予我们的责任。
参考文献:
关键词:信息高速公路;校园网;安全保障
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2019) 11-0000-01
Multi-level Protection Study of Campus Security and Stability
Ma Jianshe
(Internet Center of Shanxi Datong University,Datong 037009,China)
Abstract:With the further development of network technology,network security issues triggered more and more prominent.This paper focuses on the campus during the operation should be noted that multi-level security measures.
Keywords:Information superhighway;Campus network;Security
为了保障信息高速公路畅通、安全、稳定、高效运行,确保校园网这个活跃节点的安全稳定运行,是校园网这个大家族中每个成员都应尽的义务,因为校园网的安全稳定与Internet的安全稳定是局部与整体的关系。鉴于此,笔者就校园网的安全稳定运行方面的保障措施分三个层级浅谈自己的一点儿看法。
一、网络物理层级
校园网络物理核心设备是校园信息高速公路的基础,保证物理网络核心设备的安全稳定运行是校园网安全稳定运行的前提。笔者所在单位校园网络近期受到市电供应不稳定的影响,经常性的断电、断网,给广大校园网络用户带来很大不便。2011年9月份山西某高校承办某次全国性联考,考试期间突然发生供电系统爆炸,造成整个考试网点瘫痪,影响广大。虽然这些可能都是小概率事件,但笔者认为这更突显出在网络建设中保障物理网络安全稳定运行是不可或缺的,因为一旦物理网络发生安全稳定性问题,影响范围较广。可以通过以下方式尽可能确保物理网络的安全稳定运行:
(一)物理隔离核心设备。把核心设备安置在专人值守的专用机房,避免有意或无意的人为因素威胁到物理网络的安全。(二)配备高功率的在线式UPS系统。确保市电不稳定或停电时,网络核心设备能够正常运转,保证主干校园网络的稳定、流畅。(三)定期检修核心设备。专职的网络管理人员定期检查设备的运行状况,建立完备的设备维护日志,定期备份核心设备的配置文件和日志文件等重要资料。
二、网络技术层级
(一)创建防火墙隔离带。防火墙隔离带相当于设置在校园网与Internet信息高速公路之间的一个卡子,负责双向检测欲通过关卡的数据包,主要是核准数据包的身份、查看其来源地、目的地等相关的表面化信息,至于数据包内含信息不做过多追究,避免降低通过效率,造成塞车现象。经过防火墙的过滤,可以阻塞并记录未经授权的数据包,而只允许经过授权的数据包通过网络,既能保护校园网内易受攻击的网络资源,又能部分抑制来自校园网的攻击源扩散到Internet。
(二)设立数据包稽查员IDS。具有合法身份的数据包不一定产生合法行为(现实世界中经典案例:911的身份全部合法,但他们的行为却是灾难性的。),也就是说经过防火墙过滤的数据包也有可能存在潜在的危险行为。稽查员IDS主动采集数据包中的数据流并深入分析,查看是否携带危险的行为工具,一旦检测到可能的攻击行为时,立即切断攻击并协助防火墙修改相应的过滤准则,从而杜绝类似的攻击行为。
(三)基础设备健壮性保障。任何一种计算机系统、网络系统都可能存在安全漏洞,人工检测漏洞几乎是不可能的。漏洞扫描技术基于漏洞数据库,通过自动扫描的方式,对计算机系统、网络系统的安全脆弱性进行检测,从而发现漏洞,为用户打安全补丁提供决策。采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。
(四)缉拿隐蔽的破坏分子病毒。病毒就是指通过某种手段潜伏在计算机或网络设备里,一旦条件满足就能够被激活,具有对计算机或者网络资源进行破坏的一组计算机指令或者程序代码。在整个网络内可能感染和传播病毒的地方部署相应的防病毒手段,同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程警报、集中管理、分布查杀等多种功能。
三、网络管理层级
(一)校园网安全稳定运行的管理规范。制定详细的网络安全监管制度,安排专业人员负责校园网的安全管理工作,并经常对管理人员进行升级式进修培训,使他们具有和网络发展同步的知识涵养,及时了解当前威胁网络安全的潜在行为,提高网络安全的警觉性。安全管理是保证网络安全稳定运行的基础,安全技术是配合安全管理的辅助措施。
(二)网络用户素质教育。Internet上大部分的安全问题是有意或无意的人为因素导致的,校园网的安全也不例外,只不过校园网中的绝大部分用户是已受或在受高等教育的人群,综合素质普遍较高,但不排除个别活跃分子制造网络混乱,总想破坏或者窥探别人的信息。所以,校园网络安全稳定问题关键在“人”,因为“人”才是信息高速公路真正的主宰者,不管是建设性的技术还是破坏性的技术都是人创造出来的,对使用信息高速公路的人群进行素质方面的教育是必不可少的。
可以从以下两个方面对校园网络用户进行针对性的素质教育:
1.网络安全基础知识教育。要让用户知道网络上哪些工具是安全可靠的,哪些工具是不安全的且具有一定破坏力。条件允许的情况下,还可以单独建立一个网络破坏性实验室,专门用于实验一些网络工具,向用户演示破坏性网络工具的威力,满足其好奇心,这样能够收到更好的正面教育效果。
2.文明使用网络的规范教育。现实生活中,我们受到一些文明规范的约束,所以我们拥有一个相对和谐稳定的生活环境。但是在虚拟的网络世界,人们普遍没有约束感,所以经常会发生网络攻击、谩骂、流言碎语等等严重污染网络环境甚至产生网络安全问题的现象。这就需要网络监管者对校园网络用户进行网络文明规范教育,教育用户自觉维护网络安全,不破坏网络秩序。
四、结束语
前文提到校园网的安全稳定与Internet的安全稳定是局部与整体的关系,也就是说信息高速公路上的一个节点安全稳定了,就会增加Internet的安全稳定性,相应的如果Internet安全稳定了,又能为校园网的安全稳定提供额外的保障。如果我们能够尽可能做到校园网分层级安全稳定,不仅可以实现保护我们自己的目标,还能为Internet的安全稳定运行做出一定贡献,届时校园网安全问题也许不再是个问题。
参考文献:
[1]沙桂兰,浅谈校园网络安全控制策略[J],电脑知识与技术,2007(03)
[2]刘运喜,新形势下高校校园网安全状况与德育对策[J],文史博览(理论)2011(02)
[3]李宁,校园网网络安全分析及对策研究[J],信息通信2011(04)
[4]蔡向阳,浅谈高校校园网的安全现状及其对策[J],电脑学习2010(06)
档案是当今社会信息的主要来源,也是其社会信息价值的最终体现。当今电子档案在档案事业的发展中占据着十分重要的位置。本文简要介绍了档案的开放与应用现状,分析了信息安全的重要意义,指出了当前档案开放和信息安全存在的相关问题,并提出了相应的解决方案。
关键词:
档案开放;信息安全;保障体系
人类文明发展有文字之后,档案便开始了漫长的保存与利用过程。档案的开放和安全保障是信息保存和开展相关工作的重要保障。目前,档案的开放和信息的保护遭到多方面的干扰,电子档案的兴起更对信息安全提出了更高的要求。因此,加强档案安全利用是档案部门需要重点研究和建设的项目。
一、档案开放与信息安全的必要性
档案开放是顺应市场经济发展的必然,是政府实施“信息公开”制度和“政务上网工程”的要求。档案开放能够推动民主政治的实现,并能推动其发展。档案信息必须附着于不同的载体上,在保存过程中遇到破坏在所难免,而因此造成的信息的丢失对社会的影响非常大。另外,随着信息时代的发展,档案管理电子化,即电子档案的普遍应用,网络开放性更是威胁着档案信息的安全使用。无论是从自然环境还是社会人文环境来看,加强档案信息安全的研究和保护都刻不容缓。
二、档案开放利用的现状
目前,我国档案信息资源的开放程度仍然较低,开放的档案仅占国家档案保存总量的28%。首先,外部环境的巨大变动严重威胁保存档案的硬件设备。其次,网络安全直接影响着电子档案的安全。在虚拟的网络环境里,黑客、病毒等的恶意篡改和攻击严重毁坏了档案的完整性和准确性。网络一旦瘫痪,所有的信息可能会消失殆尽。另外,信息安全的相关法规存在漏洞、执行能力差,安全管理上工作细致性不足,风险评估体系和水平不足。
三、档案开放与信息安全的辩证关系
作为档案工作的核心和最终目的,档案开放必须有严格的工作标准和规定。档案工作者利用多种渠道获得相关信息,进行统一的加工整理形成档案,交给档案使用人员同时加以保存。非保密档案可以依法向社会和人民大众公开,提供给民众参与社会化服务与政策的机会,保障知情权的行使。档案的开放极大地促进了信息的共享和资源的高效利用,能有效地促进相关工作的顺利进行。在档案的开放过程中,信息的安全保护相当关键。档案的开放极大地促进了信息的共享和资源的高效利用,但在档案的开放过程中,信息安全保障是现阶段高校档案不容忽视的一项工作。档案具有历史性、真实性和唯一性,一旦损毁,势必给社会造成难以挽回的重大损失,影响档案工作的发展。因此,如何健康安全地开放档案是档案工作的关键。
四、档案安全保障措施及防范体系
(一)建立完善的法律法规
当前,我国涉及档案安全的法规主要是信息安全和保密管理。它可以帮助档案开放工作健康、科学地发展。但针对信息安全重点建设的等级保护、风险评估、应急响应等内容在法规里仍是空白,这阻碍着档案信息安全系统的完善和对信息的保护。因此,必须建设完整的法律法规体系,加强档案部门工作人员的法律意识和责任感,保障法规的执行力度。同时,针对电子档案的法规也需建设和完善起来,以指导和规范电子档案的安全使用。
(二)加强档案基础环境建设
对于实体档案,如纸质、胶片、磁带档案要严格控制材料的选择,并根据不同的环境需求分开保存,分别配备相应的库房设备。电子档案的保存硬件设备即服务器、终端、存储设备和网络设备。这需要保证设备的物理条件,相关单位需定期检修保障设备的正常运行。电子档案安全更重要的环节是网络的安全保障,网络的安全管理、漏洞检测和病毒查杀都需要网络安全技术的保障。
(三)加强安全技术能力建设
1.实体档案信息安全保障技术。主要有保存技术和修复技术。保存技术重点对库房的环境建设和装帧技术展开。修复技术用于解决在档案的保存、利用过程中受不可抗外力作用,如纸张老化、胶片断折、光盘磨损等。加固技术、去酸去污技术,修裱技术都是常用的修复技术。电子档案安全保障技术就是从系统安全,数据安全,网络安全,用户安全等角度进行安全保护。2.档案信息安全保障手段。通过安全审计保障系统安全;利用数据加密技术、备份技术、应急响应技术保障数据安全;利用防病毒技术、防火墙技术、漏洞扫描技术保障网络安全;利用身份认证、权限控制技术保障用户安全。3.档案信息安全保障措施。对档案管理人员进行安全教育是保障信息安全的重要措施。首先,应该大力推广信息安全观。将个人电脑设定防毒措施,加强资料备份观念。防止在档案信息公开的过程中无意带入电脑病毒。档案部门需要在档案服务器上安装杀毒工具,建立起基本的防毒安全环境。在工作过程中,养成重要资料备份的习惯,将档案信息备份到服务器中,并备份到光盘或磁盘中。另外,制定文件信息安全防护和应急计划,定期进行修订。
(四)完善档案安全管理体系建设
档案的管理工作是真正实现档案安全的重要部分。好的管理思想和制度,负责的管理人员和到位的工作程序是保障档案信息安全的灵魂。建立起档案信息安全组织体系,设立信息安全管理部门,规划组织,明确职责。制定档案信息安全保障工作的整体规划确立明确的目标,拟定长期规划。同时加强管理制度的执行力度,成立安全工作领导小组,定期对档案信息进行检查。
(五)大力推广应用电子档案
从安全角度来看,电子档案较传统纸质档案有较大的安全性。首先,电子文件对环境条件、气候条件耐受性较高,不易被破坏,因此较安全。第二,在文件保管使用的整个环节都可以凭借高科技手段加以安全保护。第三,影响电子文件信息安全所需智力、技术、设备、环境等条件较高。第四,我们一直在不懈努力大幅度提高电子文件的安全技术研发功效,努力杜绝文件信息泄露的可能性。档案开发利用与信息安全保障本身存在很大矛盾。公布档案信息不可避免面临很多未知因素,本身对于档案安全就是一种挑战。要达到双赢的效果,就必须从软硬件环境、法律法规、安全技术、管理体系、行业标准、人才培养等方面进行研究。档案信息安全保障工作是档案工作的保障,也是档案应用工作的生命线。当今社会,传统档案与电子档案并存,必须在完善传统档案安全保障理论的基础上研究电子档案。建立完善的安全保障体系必须从保存环境、法律法规、管理体系等方面着手研究。
参考文献:
[1]尹振芳.浅析档案开放利用的安全保障[J].网友世界,2013(7):18-19.
[2]吴新丽.论电子档案开放利用中信息安全保障存在的问题与对策[J].青年与社会,2014(2):150.
[3]陈振.档案开放利用与信息安全保障研究[C].山东大学,2009.
[4]曲照言.论电子档案开放利用中信息安全保障存在的问题与对策[J].数字化用户,2014(10):105.
[5]肖寒.企业电子档案开放与信息安全措施[J].环球市场信息导报,2013(12):65.
关键词:网络;安全;保障技术
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-01
Analysis of Network Security and Security Technology
Wang Miao
(Zhengzhou Branch,Henan Mobile Group Customer Office,Zhengzhou450000,China)
Abstract:In the twenty-first century,along with the rapid development of Internet,computer networks,applications to enterprises and institutions have in-depth puter networks has brought great convenience to mankind,but also information on the human security challenges as well.How to more effectively protect information security computer network to better serve the people and national interests,we now have become urgent problems.
Keywords:Network;Security;Security technology
一、计算机网络安全所面对的严峻形势
(一)计算机网络操作系统漏洞频出,补丁更新较慢。目前,在计算机网络中,大量系统漏洞的出现使得计算机网络很容易遭到攻击。在最近的研究中发现,一些网络攻击者较喜欢攻击新近发现的网络系统漏洞,而且在所使用的新攻击方法中,又超过一般的攻击是用于在一年之内出现的漏洞。相关专家预测,在今后一段时期内里利用受欢迎软件存在漏洞来攻击的这样一种攻击将会成为网络攻击者的主要攻击方式。在计算机网络中电子邮件可以算得上是我们使用较多的功能,病毒以及垃圾邮件是我们在使用邮件时所面对的两大困扰,同时,一些间谍软件也在监听我们的网络,窃取我们的信息。
(二)专业知识有限,安全性技术面临挑战。目前网络安全事件的爆发率越来越频繁,网络信息安全问题也受到了越来越多的重视,网络安全软件以及安全设备也就自然而然成了必要准备。在今的网络安全仅仅依赖防火墙似乎远远不够,目前的网络安全技术可以在一定层面上抵挡被分析过的、已知的网络攻击,却缺乏预防以及缓和网路攻击的能力。另外,在病毒爆发初期进行能够有效阻止,为网络的安全提供一套有效的保障将会是较为困难的事情,同时,由于我们个人或者是相关单位对于网络安全及其保护方面的专业知识很有限,这就会造成网络以及信息安全的自我保护能力有所下降,网络系统常会处于不设防的状态之下。
(三)病毒破坏力提升、攻击手段多样,防范手段落后。计算机在遭受到病毒攻击中,可能不仅仅包含黑客攻击、病毒攻击,同时也可能包含口令攻击、拒绝服务攻击、中间人攻击、隐通道攻击等其他攻击方式,在这些病毒攻击方式中,有的比较容易产生其他新的变种,有的还会带有蠕虫的特点从而进行网络传播,又的还会具有黑客程序的某些功能,这些攻击者可以通过这些手段窃取相关信息,甚至进行远程控制。有些病毒对自身的代码还进行了加密设置,以避免被杀毒程序识别,有些则在传播的手法上有所更新和丰富,,还有的病毒直接采取主动攻击来对付杀毒软件,这些新的病毒以及新的攻击方式给计算机网络带来了相当大的危害。
二、确保网络安全的保障措施
(一)加强网路访问控制安全。在各种网络安全策略中,访问控制可是说是为网络安全提供保障的一项重要核心策略之一,这项策略的主要任务是访问验证用户以及访问控制识别用户,把用户限制在已经授权的资源和活动范围之内,从而确保网路上的资源不会被非法访问以及非法使用,因此可以说这种网络访问控制是维护网络资源以及确保计算机网络安全的一项重要举措。这种访问控制可从以下几个方面着手:权限控制、口令控制、资源属性的安全控制、审计和跟踪、网络安全监视以及数字证书的控制等等。
(二)进一步巩固数据加密技术。在计算机网络中,所谓加密技术就是指一个信息在经过加密密钥以及加密函数的转换后,便成没有意义的密文,但是接受者在接受到密文后要将密文同各国解密函数进行解密,将密钥还原成明文。密钥提供的仅有的一个数使得密文具有的唯一性,所以也只有特定的密钥才能使得密文转换为原来的明文。而密码技术就是尽量使得密码分析尽量困难,从而使得密钥不会被非法获得。密钥的加密工作就是要通过网络传输的相关数据来进行加密从而确保网络的信息安全。加密工作是一项确保网络信息安全的基础性技术工作,可以说是一种主动的安全防御措施。目前常用的加密技术有三种:综合密钥加密技术、非对称密钥加密技术和对称密钥加密技术。对称加密算法是数据加密标准DES,其中使用的密钥长度大约为64位,其中一部分是8位奇偶校验码,另一部分是56位的实际密钥,他的保密性主要取决于对密钥的保存程度。非对称加密方式可以使得通信双方不许要事先交换密钥就可以进行,因此常广泛应用于数字签名以及身份认证领域。
(三)加强防火墙技术的构筑。当前,防火墙的构筑是保护网络安全的一项最重要的手段。网络防火墙的作用可以看作是用来防止外部网络用户使用非法手段进入内部网络,并且访问内部网络资源。防火墙是一种相对被动型的网络防卫技术,它包括软件方面以及硬件方面。它的主要功能表现在,监察所有内部网络流到外部以及从外部网络中流入内部的所有数据包。因为防火墙只能够对跨网边界的网络信息进行控制以及检测,却不能对网络内部的攻击不具应有的防御能力,所以说,在一定程度上是依靠防火墙来确保网络安全是远远不够的,应当与其他的安全措施一起使用才能达到预防目的。
三、结束语
总之,随着计算机技术的飞速发展,网络的安全问题也应当引起人们的重视,安全是网络的生命线,为确保计算机网路的安全,必须提供全方位的安全措施,以便更好的为人民以及国家利益服务,
参考文献:
[1]武永冬,张玲.计算机网络安全及保障技术[J].榆林学院学报,2006,16:6
[2]程艳玲,张友纯.IP通信网络安全攻击与防范[J].信息安全与通信保密,2010,4
[3]武春宁.上网行为管理技术在计算机局域网安全中的应用[J].电脑知识与技术,2010,25
[4]黄正文.企业计算机网络安全探析[J].管理工程师,2010,1
第一条为加强水利信息网的管理,保障水利信息网正常、高效、安全运行,促进水利信息网健康发展,推动水利信息化工作,依据国家有关法律法规,制定本规则。
第二条水利信息网是水利行业各单位计算机网络互连构成的网络系统,是防汛抗旱、水资源管理、水土保持等各类水利信息传输的专用网络,是水利信息化的重要基础设施。
第三条水利信息网分为政务内网和政务外网,政务内网与政务外网之间实行物理隔离。政务外网分为广域网、部门网和接入网,其中广域网由骨干网、省市网和县区网组成。
第四条本规则适用于接入水利信息网政务外网与内网的水利行业各单位。
第二章管理机构
第五条水利信息网的运行管理遵循分级管理的原则,各单位要理顺管理体制,明确专门的网络管理部门,配备专职的技术人员,设定岗位,强化责任,保障网络运行管理工作的正常进行。
第六条市防汛抗旱指挥部办公室负责水利信息网的硬件运行管理工作,其主要职责是:组织制定水利信息网的管理规则、规范和技术标准,监督和检查实施情况;分配水利信息网ip地址;运行、监视和管理骨干网线路、设备;指导、检查和协调县区网的运行管理工作;组织水利信息网资源和运行情况的调查,水利信息网运行情况公告、公报和年报;组织有关的技术培训和交流;水利信息网的技术咨询和技术服务;与中国互联网管理部门和其他相关单位的业务联系。
市水利局办公室负责水利信息网政务网站的管理工作,其主要职责是:组织制定水利系统信息管理考评规则和进行考评工作;负责网站的日常维护和信息的更新工作;负责各类水利信息、行政公告、普发性文件、统计资料的审查、页面编辑及对外工作。
第七条县(区)水利(水保)局的网络管理部门负责所属县区网的运行管理工作,其主要职责是:组织制定所属县区网的管理规则、规范和技术标准,监督和检查实施情况;分配所属县区网ip地址;运行、监视所属县区网和所在单位网;指导、检查和协调下级网络的运行管理工作;组织所属县区网及所在单位部门网资源和运行情况的调查,有关数据;组织有关的技术培训和交流;所属县区网的技术咨询和技术服务;与其他相关单位的业务联系。
第三章局域网网络管理与接入
第八条水利信息网局域网包括办公楼的交换机、网线、接口、网络系统等,全部设备均属本局所有,用户只能按规定使用,不能占为己有。
第九条用户使用网络,由市防办负责给以接入、开通和调试。严禁用户擅自接入网络。
第十条入网用户的ip地址、计算机名、分组等基本信息,必须依据《水利信息网命名及ip地址分配规定》(sl307-)进行,由市防办统一分配管理,用户不得擅自更改。
第十一条各用户要爱护网络,不得擅自移动和损害。安装、装潢等施工涉及到网络的要提前与局防办联系,制定防护措施。每个用户都有保护网络设备和线路的义务,发现正在对网络实施损害的行为有权制止,发现网络有损坏的有义务报告。
第十二条加强对接入水利信息网的因特网等其他网络的管理,保证水利信息网与其他网络的安全隔离。
第四章网络服务
第十三条网络服务是指利用水利信息网资源为信息传输和应用系统运行提供的服务。
第十四条水利信息网政务网站是我市水利行业面向社会的窗口,是与公众互动的渠道,面向社会提供水利政务信息和与水利相关的在线服务。
第十五条凡市水利局工作人员,均可到市防办申请办理5m的免费电子邮箱,科室单位申请办理10m的免费邮箱。
第十六条加强系统网站、邮件、文件服务、数据应用服务器、ftp服务器等网络应用的管理,保证网络应用的正常运行。
第五章网络安全
第十七条加强网络安全管理,落实网络安全责任制;定期分析、评估所属网络的安全状况,配备网络安全设施,制定有效的安全保障方案;加强网络安全监视,落实安全保障措施;明确专门的网络安全管理人员,负责网络安全管理工作。
第十八条网络管理部门对于网络故障,要及时发现、及时定位、及时解决;对于影响到骨干网运行的故障,必须及时处理;对于影响到其他上级网络的故障,要及时向上级网络管理部门报告。
第十九条各级网络管理部门要加强计算机网络病毒的防范工作,建立计算机网络病毒防控体系。采取有力措施,预防和控制计算机病毒的产生、传播、复制和扩散,做到及时发现、及时隔离、及时处理,及时升级操作系统和防病毒软件。
第二十条各级网络管理部门要加强用户、系统和设备等的账号口令管理,重要系统和设备的账号口令由专人保管,并严格限定使用范围,严防账号口令泄露。
第二十一条不得在水利信息网上存放或传输任何信息。
第六章网络用户
第二十二条各级网络管理部门负责所属网络用户的监督和管理。
第二十三条网络用户必须遵守国家有关法律法规,遵守水利信息网管理规章制度,配合相关的管理工作。网络用户要积极参加单位组织的网络、信息和安全方面的培训,提高使用技能,增强安全意识。
第二十四条网络用户在遇到网络故障、攻击、事故,收到非法信息,感染计算机病毒时,应及时向本单位网络管理部门报告。
第二十五条网络用户须对本人的网络行为负责,不得有下列行为:
1、私自修改和删除本人计算机的网络配置;
2、私自安装影响网络运行的软件或系统;
3、私自接入他人的网络端口;
4、私自接入未经允许的网络设备;
5、私自接入政务内网等其他网络;
6、在网络上传播信息或违反国家法律、法规的不良信息;
7、安装盗版软件;
8、卸载统一安装的网络防病毒软件;
9、故意制作、下载、传播计算机病毒等恶意程序和其他有害数据;
10、向社会虚假的计算机病毒疫情;
11、未经允许,登录他人计算机信息系统或者使用计算机信息系统资源;
12、其他危害网络安全和信息安全的行为。
第七章网络机房和设备
第二十六条按照网络机房的标准和规范建立专用的网络机房,为网络设备提供良好的运行环境。
第二十七条各级网络管理部门要制定完善的网络机房管理制度,对机房内的温湿度和设备运行情况进行实时监控。无关人员未经允许,不得进入机房。
第二十八条各级网络管理部门要加强网络设备管理,对各类设备进行归类编码,建立档案。实行网络设备责任制,做到专人专管,并对相关操作进行详细记录。
第二十九条各级网络管理部门要对各类设备定期检查、监视和维护,加强访问权限控制;建立关键设备的备份和报修制度;加强各类设备的配置参数管理。
第八章保障措施
第三十条各单位要高度重视水利信息网运行管理工作,加强对运行管理工作的领导。
第三十一条各单位要积极筹措和落实网络运行维护经费,将网络运行维护经费列入部门预算,为网络的正常运行维护提供保障。
第三十二条各单位要建立结构合理、人员相对稳定的网络运行管理队伍,制定培训计划,完善培训制度,加强人员培训和技术交流,提高网络运行和管理的技术水平。
第三十三条各级网络管理部门要加强防汛等重点线路、重点设备、重点应用的管理,重视网络应急预案建设,提高预警、响应和应急处理能力,网络应急预案应报上级网络管理部门备案。
第三十四条网络运行管理部门要保证骨干网有关设备724小时不间断运行,对于因检修或其他原因需停机的,应提前通知有关部门。
第三十五条各级网络管理部门应加强值班特别是汛期值班工作,加强日常网络维护管理,配备必要的维护软件和工具,落实管理责任制,规范管理流程,提高管理效率,做好工作日志,加强制度落实的检查和考核。
第三十六条各级网络管理部门要加强网络用户服务,规范服务流程,对用户进行定期检查,对网络故障采用多种方式(电话、网络、邮件、上门等)进行维护,保障用户和应用系统的正常工作。
第九章奖励与处罚
第三十七条对于在网络运行管理工作中做出显著成绩的单位和个人,予以表彰和奖励。
第三十九条对于违反本规则第二十五条的网络用户,对于因管理不善和失职,导致网络管理工作失误,造成严重影响的单位和个人,予以通报批评,情节严重的根据有关规定予以追究责任。
第十章附则
一、前言
计算机网络迅速的发展,人类已经现实信息全球化。但因为计算机网络具有开放性、互连性、多样性等特点,造成网络容易受到攻击。具体的攻击有许多方面,不但有来自黑客的攻击,还有其他诸如计算机病毒等方式的攻击。所以,网络的安全措施就变得特别重要,唯有针对每种不同的攻击或威胁采取的不同方法,对网络信息的可靠性、安全性和保密性才能有保障。
不管是发达国家,还是发展中国家包括我国,黑客活动猖獗,他们无孔不入,给社会造成了巨大的危害。尽管我们正在广泛地应用所有复杂的软件技术,例如服务器、侵袭探嗅器、防火墙、通道控制机制来防止网络被人侵。但是,在各种文化和物质享受的同时,网络安全威胁日益严重,例如黑客的侵袭、数据窃贼、病毒者,更严重的系统内部的泄密都时刻要求我们确保网络上重要数据的安全性、网络信息的安全性。
二、网络主要安全隐患现状分析
20世纪60年代因特网发展起来了计算机网络应用技术,以因特网为代表的网络,现在己经发展成全球共享的信息网络资源,成为人们生活中不可缺少的一部分。网络不但改变了人们的生活、学习方式和生产,还对人们的思维方式产生了影响。网络系统的软件、硬件和系统中的数据受到保护被称为网络安全,不因为恶意的或者偶然的原因而遭受到更改、泄露、破坏,系统能连续可靠地正常运行,网络服务不中途断掉。网络上的信息安全是网络安全的本质。
从广义上来讲,一旦关系到网络上信息的完整性、可用性、真实性和保密性可控性的相关技术和理论都是网络安全的研究范畴。随着公司网络应用的不断增大,企业内部网遭到了病毒肆虐带来了一定的安全隐患,网络安全风险也变得越来越复杂和严重。原来的由单个计算机安全事故引起的损害有可能传播到其他主机和系统,引起大范围的损失和瘫痪,再加上对安全控制机制的缺乏和对网络安全政策及防护意识的认识,致使这些风险不断加深。网络面临的主要威胁主要来自以下面几方面:
(一)黑客的攻击
随着网络的发展黑客技术渐渐被越来越多的人发展和掌握,如今,世界上共有20多万个黑客网站,这些网站对一些攻击软件的使用和攻击方法以及系统的一些漏洞都有介绍,所以站点、系统遭受攻击的可能性变得越来越大。特别是现在针对网络犯罪特别有效的跟踪手段和反击还很缺乏,黑客攻击的隐蔽性变得更好,“杀伤力”强,是网络安全的主要威胁。
据报道,全世界每20秒就会发生一起黑客事件,仅美国自己每年为此遭到的经济损失就高达数百亿美元。2011年5月,我国被恶意篡改的网站数量为8513个,其中政府网站.gov.cn被篡改的数量就有826个;12年1到5月,全国有遭到“黑客”入侵的网站有5万多个。
(二)计算机病毒的入侵
在计算机的运行中,因为编程者在计算机程序中,插入了破坏计算机正常运行的数据、命令、程序,让计算机不能继续正常运行指的就是所谓的计算机病毒,给用户带来很大的影响。
计算机病毒具有以下特点:
(1)破坏性;
(2)潜伏性;
(3)传染性;
(4)可执行性;
(5)可处发现;
(6)针对性;
(7)隐蔽性。
计算机病毒在本质上表现为一种能够自我复制的指令和程序,它拥有很大的破坏性,严重的能够使计算机信息系统的崩溃。近年来,由于网络和计算机的普及,给计算机病毒了提供滋长的空间给计算机网络安全造成严重威胁。
(三)计算机操作系统的漏洞
因特网的开放性和共享性让网上信息安全存在一定的先天不足,因为其赖以生存的TCP/IP协议族,缺乏相应的安全机制,而且因特网最初的设计思想是此网不会因为局部发生故障而影响整体的信息传输,对安全问题基本没有考虑,所以它在服务质量、安全可靠、方便性和宽带等方面存在着不适应性。计算机操作系统可以被看成是一个复杂的软件程序,虽然研究人员与开发在设计时做到思维缜密,但随着时代的进步、技术的完善,都不可避免的存在那样或这样的漏洞。现在,I/O管理计算机操作系统中存在的最大的漏洞是,这种漏洞会成为黑客攻击的对象,对网络安全造成影响。
三、网络安全防护的主要应对技术措施
网络具有用户群庞大、网络行为突发性较高、访问方式多样的特点。网络安全问题需从网络规划阶段制定每种方案,且在实际运行中加强管理。为保障网络信息的安全和网络系统的正常运行,要从各个方面采取措施,因为攻击可能随时发生,系统有可能随时被攻破,所以对网络的安全采取防范措施是极其必要的。常用的防范措施有以下几种。
(一)硬件系统的安全防护
硬件的安全问题有两种:一种是设置安全,是一种物理安全。在设备上进行必要的设置(如交换机、服务器的密码等),避免黑客获得硬件设备的远程控制权指的是安全设置安全。防止人为破坏或意外事件具体的物理设备指的是物理安全,例如交换机、机柜、线路、路由器、服务器等。机柜与机房的钥匙要妥善管理,不能让不相关人员进人机房,特别是网络中心机房,以免遭到人为的蓄意破坏。需要采取严格的安全管理措施,例如加载严格的访问列表、口令加密、对一些漏洞端口禁止访问等。
(二)防火墙技术措施
在网络访问中,有效拦截外部网络对内部网络的非法行为,可以有效保障计算机系统安全的互联网设备指的就是防火墙。防火墙在网络数据传输的过程中,起到了较好的保护作用,首先入侵者必须穿越防火墙的安全防线,才能接触目标计算机。用户能把防火墙配置成多种不同的保护级别,防火墙可以依据个人设定的信息来检测且决定网络通信是否被允许,同时,对网络的运行状态还可进行监控。防火墙技术的普及和应用,在很大程度上可以阻止黑客的入侵,给网络安全带来保障。系统固有的破坏工具和漏洞给黑客的攻击带来方便,造成安全隐患的一个重要因素是不完善的安全管理。当发现新的漏洞时,管理人员需认真分析危险程度,且立即采取补救措施。虽然对系统已经进行了维护,对软件进行了升级或更新,但因为防火墙和路由器的过滤规则太过复杂,系统有可能出现新的漏洞。所以,及时、有效地改变管理才可以很大程度的降低系统所承受的风险。
(三)漏洞的修补
一旦系统中存在漏洞,就会给计算机带来威胁,在许多上市的软件中,都存在着缺陷以及漏洞,利用这些软件漏洞,黑客入侵到用户的计算中去,对用户的正常使用计算机产生影响。所以,厂家应该时刻注意更新软件,软件相关补丁,需要下载安装360安全卫士等相关软件。用户需及时下载进行补丁安装来,修复软件漏洞。
(四)加强网络安全管理
加强网络安全管理,确保有一套完整的规章制度和管理体制,同时,对计算机安全管理制度的建设要加强。要实行岗位责任制与专人负责制。加强网络相关技术人员安全知识教育,对技术员和网络管理员的职业道德与专业操作能力要不断加强。对企业计算机网络的安全,各企业需要与相关技术人员签订保密协议,根据公司的规定,做好数据备份。人为因素对计算机网络安全有着重要的影响。所以,给相关人员做好安全知识教育,对加强网络安全更有利。鼓励相关人员持证上岗,对相关人员的教育培训机制加强,定期给有关人员进行继续培训和教育,培养他们良好的学习习惯,持续更新自己所拥有的知识,加强他们的知识储备,并强化实践学习。
四、结束语
计算机网络已成为人们生活娱乐、工作学习中的重要组成部分,人们的生活质量和工作效率与网络的安全问题有直接影响。所以,计算机网络的安全防护措施就显得特别重要,此文从计算机网络的几个方面出发:介绍了集中安全防护措施,建议用户对不同的应用目的和网络结构,使用不同的保障措施,来提高网络的稳定性与安全性。
此外,因为黑客攻击手段的变化与信息量的扩张,很难在长时间范围内确保计算机网络的安全。所以,我们需要让网络的硬件设备及时升级且提升防护策略技术,来形成持续的安全保障,让计算机网络安全稳定。
我国的网络发展迅猛,但网站安全建设却处于初级阶段,多数网站或多或少的存在着安全漏洞,很易遭到“黑客”攻击,并且一旦受到破坏,恢复起来比较困难,所以网络安全已经受到政府的高度重视。在《刑法》中明确规定了对非法人侵重要领域计算机信息系统行为将受到刑事处罚。公安部颁布了《计算机网络国际联网安全保护管理办法》。相信通过民族电脑事业的发展与政府的重视,加上技术人员认真负责的工作,智能化犯罪将会得到有效控制,国家信息安全一定会在现代电子技术的支撑下得到有效的保障。(来源:《消费电子》杂志 编选:)
关键词:密码;安全策略;后门;备份;补丁
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2013) 02-0077-01
在网络管理过程中,尽管安全管理员尽了最大努力,仍然会有许多常见的网络安全错误发生。有一个列表列出了排名前十位的在网络中经常出现的安全错误。有一些是配置错误,而其他都是程序方法方面的错误。这个列表决不是惟一的,却是一个对网络安全级别进行快速评估的好方法。下面谈谈排名前十位在网络中经常出现的安全错误。
一、脆弱的密码
网络环境中发现排名第一的错误是脆弱的密码。脆弱密码产生的原因是密码策略过于严格或者没有密码策略。密码策略已经预先制定好,但没有实施,也没发挥作用。此外,也包括没有更改的默认密码。网络设备的所有默认账号,在可能的情况下,应该改名,默认密码应该更改。如果账号不再需要了,应该删除或者禁用服务。
比默认密码更为严重的错误是系统没有密码保护。如果设备不需要密码或者其他形式的安全密钥来登录的话,它不应该成为企业网络的一部分。
二、未创建安全策略
公司的最大错误之一是未创建一个牢固、有效和实际可行的安全策略。用户和管理员除非在得到通知的情况下,否则都不愿意去了解如何处理安全问题。
安全策略应该很好地用文档说明,要考虑到不仅是安全需要,而且也是业务需要,以及也是网络用户的需要。如果策略过于严格,它妨碍了用户有效地完成工作;用户就会开始找寻其他方法绕过这一策略,此时安全策略也就不起作用了。
效率低下的安全策略也无法检查整个网络并且可能留下被攻击者轻易利用的更大漏洞。设计安全策略时要涉及到系统管理员和所有部门的管理人员,使他们在策略更新时得到通知。使用清晰和易于理解的语言通知用户关于安全策略的内容,并给他们解释安全限制的必要性。安全策略的沟通方式越有效,网络用户就越可能支持它。
三、非安全方式访问设备
网络上使用的许多设备允许管理员通过Telnet、FTP和其他不加密的方式进行访问。这是产品供应商的错误,不应该在企业网络中长期存在。
四、过分依赖防火墙
防火墙很优秀。它能够为网络提供许多保护,极大增强网络安全。然而,研究员应该是保障网络安全的惟一途径。通常情况下,系统管理员依赖防火墙来完全保护网络,但是防火墙要做到这些也不容易。使用防火墙并结合其他领域的严格安全实践可以为网络提供多个层面的安全性和更好的保护。
在防火墙规则集得不到正确管理的情况下,过分依赖防火墙会导致特别严重的灾难性后果。通常在开始时要对防火墙进行非常严格的配置,然后随着需要的增加,扩充规则集。
五、后门访问
管理员通常会创建第二个账户,增加第二个网络接口或者寻找其他途径为自己访问服务器或者网络提供一种备份方式。只要这种方式已经正确地用文档说明,同时采用了正确的安全预防措施,这本身并没有什么错误。
多数情况下,这些访问方式既没有相关文档说明,也没有进行正确的安全漏洞测试。创建这些访问方式只是为了方便,但是这可能会在网络内部形成很大的安全漏洞。
六、备份
备份本身并没有错,但是许多管理员没有采取正确的安全预警措施,也没有备份正确的信息资料。特别是对网络设备更是如此。路由器和交换机在初次部署时的配置信息或者更改配置时都没有备份。防火墙配置也常常没有备份。规则集更改时也不实行备份。
每天都要对服务器和其他对网络基础设施等非常重要的机器进行备份。路由器、防火墙和交换机的配置在每次更改后都要进行备份。在动态网络中,网络设备经常变动,应该与服务器一样每天都进行备份。
七、不更新防病毒软件
防病毒定义必须经常更新。病毒定义至少应该每周更新,如果是病毒的高发期,则需要提高更新频率。这可能看起来很极端,但是要记住,Melissa病毒从开始到传播到三大洲用了不到24小时。
考虑在网络中运行来自两个不同产品供应商的防病毒软件,以此作为附加的安全保护层。一个产品供应商的产品应该侧重于邮件和组件服务器,在这些设备上进行病毒扫描是非常重要的,要防止病毒文件进入系统或通过网络传播。第二个开发商的产品应该用于工作站,捕捉访问层上引入的任何病毒,也可能捕获服务器上的软件漏杀的病毒。
八、未持续实施安全策略
安全策略实现以后,必须坚持一贯地执行。已经制定的安全策略,系统管理员、管理人员和其他网络用户应该遵守和维护。如果用户违反了安全策略。应该采取恰当的行动,人力资源部门应该主动坚持执行处罚措施,如果网络用户没有认真对待安全策略,这些安全策略将不可能得到实施,会在很大程度上使网络安全措施失去作用。
在公司之间存在一个趋势,对网络安全问题热情很高,安全事故发生以后,都能下决心实施严格的安全策略。
九、未及时更新系统
系统管理员会很繁忙,他们总是看起来有堆积如山的工作要做。总是感觉时间不够用,一些事情不得不拖延。软件补丁是此类事情的一个主要例子。由于在使用补丁之前必须完成一些测试工作,所以经常被拖延。
这种思维方式在安全敏感的组织当中是不允许存在的。补丁程序,特别是潜在影响安全的补丁,应该尽可能快地测试和安装。安全漏洞公开以后,会有很多攻击者寻找某些系统以利用这个漏洞。如果组织没有给系统应用补丁程序,那么可能成为目标。
每天应该预留出一些时间用于查找网络中网络设备新的可用安全补丁。将所有潜在的安全漏洞汇编成列表同时按重要性划分等级。创建了这样的列表以后,应该有人员每星期抽出一天来测试这些补丁程序,这样他们就可以应用到需要更新的系统中。
当然,如果补丁程序被认为对良好的网络安全非常重要,那它应该比其他的日常工作有更高的优先级,并马上进行测试和安装。
十、不能允许不安全的远程访问和管理软件
黑客侵入网站最常用的手段之一就是使用远程访问和管理软件包,比如PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。通常,这些应用软件都缺乏最基本的保障措施
关键词:电子政务外网 安全保障体系 计算区域 网络基础设施 计算区域边界 安全域 等级保护 风险评估
一、前言
国家电子政务外网(以下简称政务外网)是中办发[2002]17号文件明确规定要建设的政务网络平台。政务外网是政府的业务专网,主要为党委、人大、政府、政协、法院和检察院各级政务部门服务,运行各级政务部门面向社会的专业业务和不需要在内网上运行的业务。
为保证电子政务外网的安全运行,中办发[2003]27号文和[2006]18号文明确提出,电子政务外网与政务内网之间采用物理隔离,政务外网与互联网之间采用逻辑隔离。政务外网的建设要按照信息安全等级保护的有关要求,分别采用相应的保护措施,通过建立统一的密码和密钥管理体系、网络信任体系和安全管理体系,分级、分层、分域保障信息安全。
二、政务外网(一期工程)安全需求
⒈政务外网安全防护对象
政务外网的基础网络环境如图1所示。
依据政务外网的网络环境,政务外网的安全防护对象分为如下三类:计算区域、网络基础设施和计算区域边界。
⑴计算区域
政务外网所涉及的计算环境有:中央网络管理中心计算区域、各省市节点的二级网络管理中心计算区域、中央城域网接入单位计算区域以及外网骨干网接入的各省市节点的计算区域。
在各计算区域内主要防护如下对象:
①数据资源,主要包括各应用系统管理的数据资源;
②软件资源,包括系统软件、网络软件、支撑软件和应用系统等;
③中心计算机;
④存储介质,包括数据备份磁带、软盘、可读写光盘等;
⑤用户,包括普通操作员、业务管理员、高级业务管理员以及系统(数据库)管理员和网络管理员等。
⑵网络基础设施
政务外网所要防护的网络基础设施主要有:各计算区域的网络基础设施,以及实现各计算区域相联的网络基础设施。
⑶计算区域边界
由于计算区域与其他外部实体相联而产生区域边界,区域边界与计算区域直接相关,与计算区域相联的外部实体的性质直接决定区域边界的保护的策略。
政务外网中的计算区域边界主要有:与中央城域网相联的各计算区域因与中央城域网相联而产生的区域边界以及这些区域与互联网等外部实体相联而产生的区域边界、各省市节点计算区域因与政务外网骨干网相联而产生的区域边界以及这些区域与互联网等外部实体相联而产生的区域边界。
⒉安全需求
根据政务外网的特点,政务外网的安全需求体现在如下几方面:
①建设政务外网安全信任体系,确保政务外网资源不能被非法用户访问;
②建设政务外网数据交换中心,确保不同安全域之间的安全数据交换;
③确保政务外网的安全保障体系具有高可靠性,并具有可审计、可监控性;
④实现政务外网统一的安全管理体系;
⑤确保政务外网与互联网的安全互连。
三、政务外网安全保障体系框架
政务外网要为政务部门的业务系统提供网络、信息、安全等支撑服务,为社会公众提供政务信息服务。从政务外网的实际出发,政务外网的安全保障体系设计应重点针对政务外网的如下特点:
①政务外网必须与互联网逻辑隔离;
②政务外网主要运行面向社会的专业业务,这些业务所涉及的业务信息具有面向公众的特性,所以保护业务信息的完整性、可鉴别性以及抗抵赖性十分重要;
③政务外网是国家电子政务的基础性网络环境,支持电子政务系统互联互通、数据交换、信息共享、业务互动、便民服务的需求,所以政务外网要满足公用网络安全可信的需求;
根据以上分析,政务外网(一期工程)安全保障体系由网络防护体系、网络信任体系、安全管理体系、安全服务体系等构成,逻辑模型如图2所示。
⒈网络安全防护体系
网络安全防护系统是政务外网安全保障体系中最重要的安全设施,主要保护电子政务外网的各子网网络节点及整个电子政务外网,保证整个政务外网及相关业务系统的可用性、完整性、可控性等。网络安全防护系统重点要考虑防火墙系统、入侵防御系统、防病毒系统、远程安全接入系统、流量监测系统等的配置和建设。
政务外网的网络安全防护体系将涵盖以下几个方面:
⑴物理安全
保证政务外网中各种骨干设备的物理安全是整个政务外网安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
⑵网络安全
网络安全主要考虑VPN、防火墙、入侵检测系统、非法外联监控系统、PKI接入认证网关等安全设备在政务外网中的配置与部署。
⑶系统层安全
系统层安全主要包括漏洞扫描、操作系统安全加固、数据库安全加固。
⑷应用层安全
应用层安全主要考虑应用系统的鉴别、授权和访问控制等安全机制。
⒉网络信任体系
网络信任体系是为网络用户、设备提供信息安全服务的具有普适性的信息安全基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证、授权管理和责任认定。其核心是要解决信息网络空间中的信任问题,确定信息网络空间中各种经济和管理行为主体(包括组织和个人)身份的唯一性、真实性和合法性,保护信息网络空间中各种主体的安全利益。政务外网网络信任体系的建设与政务外网的安全运营息息相关,是电子政务安全运行的支撑基础设施。
政务外网(一期工程)的网络信任体系,主要是在国家主管部门的指导下,建设政务外网身份认证系统,组建政务外网身份认证管理协调机构和技术保障队伍,制定有关政务外网身份认证的相关标准体系、管理运行规章制度和规范,逐步形成统一的政务外网网络信任体系。
⒊安全服务体系
政务外网安全服务体系主要由安全评估和安全培训组成。安全评估主要是对政务外网及其处理的传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和扫描评估的过程。安全评估的主要目的是定期对网络系统进行安全性分析,及时发现并修正动态运行的网络系统中存在的弱点和漏洞,认清信息安全环境、信息安全状况,明确责任,采取或完善安全保障措施,并使信息安全策略保持一致性和持续性。
⒋安全管理体系
安全并非只是一个技术问题,它也是一个关于人和管理的问题。安全不是个产品,它是一个完整的过程。作为一个过程,它有人、技术、流程这3个组成部分,这些组成部分匹配得越好,过程进展得就越顺利。
安全管理在政务外网的安全保密中占有非常重要的地位,即使有了较完善的安全保密技术措施,如果管理的力度不够,将会造成很大的安全隐患。因此,必须加强安全保密管理,设置安全保密管理机构,制定严格的安全保密管理制度,采用适当的安全保密管理技术将政务外网中各种安全保密产品进行集成,并加强对人员的管理。
安全管理体系的建设包括安全保密管理机构的建立、安全保密制度的制定、安全保密管理技术的使用以及人员的管理等几方面内容,这里不再予以赘述。只有通过建立科学、严密的安全管理体系,不断完善管理行为,形成一个动态的安全过程,才能为政务外网提供制度上的保证。
四、几个重要问题
在整个政务外网(一期工程)安全保障体系的规划和建设当中,有几个重要问题需要特别说明。
⒈安全域划分
政务外网要为政务部门的业务系统提供网络、信息、安全等支撑服务,为社会公众提供政务信息服务,要满足政府公用网络安全可信的需求。所以,在政务外网内有必要划分不同的安全域,定义每个安全域的物理或逻辑边界,形成隶属于由单一安全策略权威定义和执行的公共安全策略的安全要素的集合,有利于每个安全域共享相似的安全策略。
政务外网具有数据量庞大、业务复杂多样、安全等级各异的特点,因此安全域的划分遵循以下原则:
①根据信任等级划分安全域。在政务外网中,要为政务信息资源和国家基础信息资源的登记、备案、、交换和共享提供服务,同时相关的业务系统也要有连接到互联网和有需求的其它单位,不同的系统由于处理的数据和交互的实体不同,需要在不同的位置或业务流程中,划分不同的安全域。
②根据业务节点类型,对不同的节点划分相应的安全域,并配置和节点业务量相匹配的安全措施和安全设备。在政务外网中,政务外网要连接不同类型的网络节点,网络节点的安全等级决定了安全域的划分和安全设施的投资建设规模。
③依据数据的安全等级,在存储和传输的不同区域,划分安全域,并采用不同的安全策略,体现数据的分等级保护。
根据以上原则,在政务外网中,网络各节点的局域网构成相对独立的安全域,并在各节点内部进行安全域细化。政务外网中,按节点所划分的安全域有中央网络管理中心局域网、中央城域网接入节点单位、各省市节点的二级网络管理中心局域网和各省市节点的各自的接入网络。
⒉等级保护
根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室2007年联合颁布的43号文件《信息安全等级保护管理办法》的相关规定,为保障电子政务外网的网络安全,对电子政务外网需采用等级保护机制。等级保护以网络安全域划分为基础,电子政务外网包括网络基础设施,包括众多接入网络,各个子网络又包括不同的应用系统。只有根据这些资产的重要性以及它们面临的安全威胁的不同,结构化地划分为安全域,才能有效地进行安全保护。
根据政务外网的逻辑结构、安全域划分情况、面向对象及应用模式,中央网络管理中心局域网、中央城域网接入节点单位二级网络管理中心局域网和各省区市接入节点二级网络管理中心局域网,至少要达到第三级(监督保护级)的要求。对于这类的安全域,将依照国家管理规范和技术标准进行自主保护,并接受信息安全监管职能部门的监督、检查。
中央城域网接入节点单位接入网络和各省区市接入节点单位接入网络至少要达到第二级(指导保护级)的要求。对于这类安全域,将在信息安全监管职能部门的指导下,依照国家管理规范和技术标准进行自主保护。
⒊风险评估
在政务外网(一期工程)安全保障体系规划和设计时,国家信息中心网络安全部将风险管理的思想引入到政务外网的建设中,获取规划和设计阶段的政务外网的安全风险,提出并确定外网安全建设的要求,改进规划中的不合理因素,为后续的网络建设的实施提供安全建设依据。此次事前评估范围主要是政务外网一期工程第一阶段工程初步设计规划方案,评估着重考虑外网规划中系统平台的安全性。为支持整个风险评估过程的推进,国家信息中心网络安全部成立了由领导层、相关业务骨干、外网相关人员等组成的风险评估小组。评估结束后,针对不可接受的风险,风险评估小组对规划和设计做了相应的修改,很好地兼顾了风险与成本的平衡。
五、结语
根据政务外网(一期工程)安全保障体系整体规划和一期工程建设进度安排,政务外网中央节点安全保障体系已初步建成。通过几个月的试运行,整个政务外网安全保障体系运转良好,初步达到了预期的设计目标。下一步的工作重点将是:进一步完善政务外网安全保障体系,建立健全政务外网安全管理机制,明确各级网管部门安全管理责任;开展信息安全风险评估工作,按照信息安全等级保护的要求,对全网分级、分层、分域确定信息安全等级;从技术和管理两方面入手,不断完善信息安全保障体系,初步建成统一的政务外网信任体系,形成面向外网用户的服务能力。
作者简介:
王勇,男,汉族,1977年生,山东鄄城人,国家信息中心网络安全部工程师;研究方向:网络安全。
随着终端的不断智能化,其带来的应用也越来越多,从最初的语音,到丰富的交互式应用如社区、电子商务、支付等。在这样的背景下,作为向用户呈现最终应用的互联网,其所面对的复杂安全威胁也在向传统电信网渗透。
近日,在接受《通信产业报》记者采访时,国家计算机网络应急技术协调处理中心副总工程师杜跃进指出:目前,传统意义上的互联网安全和电信网安全界限已经越来越模糊,电信网络安全的挑战更多地来自于用户端。
运营商要对用户数据安全负责?
杜跃进指出,与传统思路相比,电信网络安全需要同时注重交换网络安全和用户数据安全。
交换网络的安全问题源自于电信网络向NGN的演进。他指出,网络安全应采取新的技术手段,以保证软交换网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于软交换技术选择了IP网作为承载网,网络安全问题尤其突出。
而用户数据安全问题的产生则要归因于网络功能的增强。杜跃进认为,由于基于NGN的多媒体、交互式业务不断增长,用户的隐私保护问题对于电信运营商和互联网服务商来说将是无法回避的,电信运营商和互联网服务商有责任采取多种技术手段,保护用户的账户信息和通信信息的安全。他指出,这些安全保障的实施有两大要点:首先,软交换网须采用必需的安全认证策略保证用户账户信息的安全;同时,无论是用户的账户信息还是用户的通信信息的安全均需要IP网的安全策略作为保证。
交换网络方面的安全新挑战容易理解,但用户数据安全的提法无疑扩大了传统电信网安全保障的责任范围,电信运营商对此持保留意见。中国电信网络资源管理处处长叶薇表示:“尽管用户数据安全问题较为迫切,但目前其尚不在运营商网络安全维护的责任之内,只有当国家政策作出相关要求,或者大规模病毒泛滥严重影响承载网络可用性的情况下,电信运营商才会在网络节点上采用应对手段,进行流量清洗和净化。”
来自用户终端的威胁
尽管用户数据安全的责任归属难以界定,但叶薇承认,电信运营商并不能超然事外。她指出,DDOS、垃圾流量、蠕虫,是当前网络交换和网络应用的三大杀手,而三者滋生的温床都是用户端的僵尸网络集群。其中,DDOS攻击能产生大量非法不可控流量,通过消耗网络资源,造成网络设备性能下降,数据包转发异常,导致网络可用性下降,堪称当前电信运营商核心网面临的最为严酷的安全挑战。
最近一份赛门铁克的网络安全监测报告指出,位于中国的僵尸网络计算机终端数量已经位居全球第二,占全球僵尸网络计算机总量的9%。今年11月底,在中国移动举办的移动互联网研讨会上,来自绿盟科技的演讲者韩永刚也提到,据绿盟科技监测统计,中国目前已经有三百多万个IP地址被僵尸网络所控制。
这使得交换网络安全和用户数据安全正在面对的威胁越来越趋于专业化和多元化。韩永刚举例说:“今年10月,中国电信某城域网就面对了一次僵尸集群发动的DDOS攻击,其网络承受的攻击量从3G增长到5G、6G,电信运营商和安全厂商忙于应付,在之后的调查中发现攻击来源的IP都是僵尸计算机,幕后真凶也无从查起。”
对此,中国电信网络资源管理处高级业务主管王新峰认为:用户终端沦为僵尸网络,其引发的蠕虫病毒、DDOS攻击、垃圾流量工作机理各不相同。“目前中国电信已经开始着手解决,以不同的方法应对。”他说。
王新峰举例表示:垃圾流量主要是由P2P应用、垃圾邮件等业务带来的,这些流量不受运营商控制,其主要问题是占有大量带宽资源,但不能为运营商带来利润。垃圾流量可以采用DPI设备进口控制,在核心网边缘部署DPI设备,将垃圾流量进行整型限流处理,以防对核心网造成不良影响。
而对DDOS攻击已经有成熟的解决方案。王新峰告诉记者:电信运营商应在核心网部署流量清洗中心实施DDOS防御,通过在核心网的国际出口、互联互通出口、省网出口、城域网出口等网络数据的关键出入口部署流量清洗中心,检测进出网络的数据,一旦发现可疑流量,则利用流量牵引技术将这部分流量引流到流量清洗中心,在流量清洗中心将攻击流量过滤,最终将清洁流量回注到网络中。
健全安全保障机制
此外,除了采用多种技术保障交换网络和用户数据的安全外,健全的安全策略和管理机制也将扮演越来越重要的角色。事实上,在2005年由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办,通信产业报社承办的的“2005年中国电信业网络与信息安全研讨会”上,六大电信运营商就曾承诺,其不仅要在技术上不断强化网络安全,更要进一步完善网络信息安全责任制度,健全网络信息安全保障措施,不断提高管理水平。
记者了解到,在网络信息安全方面,电信运营商都设置了相关的应对机制,并分别采取了专门项目小组的形式或各部门设置技术专员的形式。以中国联通为例,其在数据与固定通信业务部和互联网与电子商务业务部均有网络信息安全相关的工作人员。中国联通集团运行维护部传输及配套维护处经理民指出,中国联通一直非常重视交换网络与用户数据安全,同时,联通在信息内容的安全性和健康性方面也严守国家相关规定,坚持以应用及其信息内容的安全、健康为中心,构建绿色网络。而中国电信方面,王新峰表示,网络运行维护事业部的分支部门对网络安全各个层面负责进行监管。
链接电信网络安全新变化
(1)应用安全提上议事日程
过去:强调网络的可靠性和可用性,不强调网上应用的安全;
现在:不仅要强调业务的可用性和可控性,还要强调承载网的可靠性和生存性,而且要保证信息传递的完整性、机密性和不可否认性。
(2)承载网与信令网同等重要
过去:对信令网的安全要求高,一般为独立的信令网,信令网的安全可靠保证了网络的安全;
现在:强调网络融合,信令网与传输网用同一张网进行承载,承载网的安全变得非常重要。
(3)IP技术疏于监控黑客行为
过去:传输采用TDM的专线,用户之间采用面向连接的通道进行通信,其他用户很难插入偷听;
现在:采用IP技术进行通信,由于IP的无连接性,及不对源地址进行认证的特性,黑客容易截取通话,盗用账号,电话骚扰。
(4)DDOS攻击带来挑战
关键词 网络安全 企业网络 电子政务 网络安全管理
一、引言
在电子政务和电子商务应用快速发展的今天,信息安全问题越来越突出。据权威统计显示,80%以上的企业内部网络曾遭受过病毒的肆虐,60%以上的企业网站受过黑客的攻击,因此企业网络安全的形势相当严峻。深入分析企业网络可能存在的问题和正在遭受的安全威胁,是设计安全方案的前提,只有了解企业环境和面临的问题,才能发现并分析企业网络所处的风险环境,并在此基础上提出可能的安全保障措施。这是解决企业网络安全问题的关键,也是设计面向企业的网络安全体系的前提,它能使我们有的放矢地采用安全防范技术和安全措施。网络是整个企业信息资源的基础,也是整个安全体系的基础。什么样的网络结构决定了我们应采用什么样方法来进行安全设计,安全的网络结构设计和相关技术手段的应用是整个安全体系建设的重要部分。网络设备个体作为网络的最基本构成,其个体的安全关系重大,往往个别设备的安全漏洞或者错误的配置,就可能造成网络的中断或者瘫患。所以最后从网络设备个体的角度出发,介绍了如何有针对性的采取有效的安全措施。
二、企业网络模块化构成
随着企业的不断壮大,企业网络发展要求也日益提高,因此本文在设计网络安全体系结构时,采用了模块化的方式。即将企业的网络划分成不同的功能模块,在整体网络安全设计时实现网络各功能块之间的安全关系,同时,也可以让设计者逐个模块的实施安全措施,而并不需要在一个阶段就完成整个安全体系结构。
我们把企业网络分为企业园区网和企业边界网络两个大的部分。其中,企业边界网络是企业内部网络与电信服务提供商之间的过渡。对每个功能区中的模块进行了细化,这些模块在网络中扮演特定角色,都有特定的安全需求,但图中的模块规模并不代表其在实际网络中的大小。例如,代表最终用户设备的接入层网络可能包括80%的网络设备。虽然大多数已有企业网络都不能轻而易举的划分为明确的模块,但此方式可以指导我们在网络中实施不同安全功能。各个企业的网络都可以对照此结构找到共性。在企业的实际网络中,可能有些模块不存在,或者两个模块相合并了,也可以根据后面的安全设计方式结合实际,找到安全解决方案。
三、网络安全管理模块的设计
从体系结构的角度来说,提供网络系统的带外管理是适用于所有管理和报告策略的最好的第一步。带外是指无生产信息流驻留的网络,设备应尽可能的与这样一个网络建立直接本地连接,在由于地理原因或系统相关问题无法实现的情况下,设备应经由生产网络上一条专用加密隧道与其连接。这样的隧道应预先配置,仅在管理和报告所需的特定端口上通信。整个企业管理网络模块由一个防火墙和一个路由器分成两个网段。防火墙外的网段连接到所有需要管理的设备。防火墙内的网段包括管理主机本身以及作为终端服务器的路由器。其余的接口接到生产网络,但仅用于接收来自预定义主机、受IPSec保护的管理信息流。两个管理子网均在完全与生产网络的其余部分独立的IP地址空间下运行。这可以确保管理网络不受任何路由协议的影响。另外,SNMP管理仅从设备获取信息而不允许更改,即每个设备仅配置“只读”字串。
当然,完全的带外管理并非总是可行的,可能因为部分设备不支持,或者有地理差别,需带内管理。当需要带内管理时,注意的重点更应放在保护管理协议的传输上。这可通过IPSec、SSH、SSL或其他加密认证的方式实现。当管理恰巧即是设备用于用户数据的接口时,应多注意口令、公共字串、加密密钥和控制到管理服务器的通信的访问列表。
主要设备:SNMP管理主机――提供SNMP管理;NIDS主机――为网络中所有NIDS设备提供报警集中;系统日志主机――几种防火墙和NIDS主机的记录信息;接人控制服务器――向网络设备提供一次性、双因素认证服务;一次性口令(OTP)服务器――授权从接入服务器转接的一次性口令信息;系统管理主机――提供设备的配置、软件和内容变更;NIDS应用――提供对模块中主要网段的第4~7层监控;防火墙――对管理主机和受控设备间信息流动的控制;第2层防火墙(带专用VLAN支持)――确保来自受监控设备的数据仅可直接传输到防火墙;
所缓解的威胁:未授权接入――在防火墙处的过滤中止了两个方向的大多数未授权信息流;中间人攻击――管理数据穿过专用网络,使中间人攻击较为困难;网络侦察――因为所有管理信息流穿越此网络,它不通过有可能在其中被截获的生产网络;口令攻击――接入控制服务器使每台设备都拥有强大的双因素认证;IP电子欺骗――在防火墙两端均中止了欺骗流量;分组窃听――交换基础设施限制了窃听的有效性;信息管理利用――专用VLAN可防止任何一个受破坏的设备伪装成一台管理主机。
四、统一管理平台的系统架构设计
由于目前企业网络中各种厂商的网络设备越来越多,仅仅利用个别设备厂商的网络管理软件(如Ciscoworks 2000等)很难完全达到上述的种种要求,因此在网络设计时要么都采用同一厂商的设备(包括网络设备和安全设备),要么利用第三方厂商开发的网络管理软件,通过各种客户化和集成工作,将不同厂商的设备更好的管理起来,作为搭建网络安全管理平台的主要工具。
统一管理平台的基本构架设计分为三个层面:视图(Wodd View)、企业管理(En-terprt’se Management)、客户端(Ageats),其中:World View显而易见是提供图形化界面的应用程序,将管理对象的信息通过图形(二维图或者三维图)的方式形象的呈现给用户;企业管理层则通过智能化的手段,来提供处理各种信息、安全、存储、工作计划、事件管理等的复杂功能,这部分是整个平台的关键,可能包括了事件管理、故障管理、性能管理、网络发现等多个功能模块;客户端可以看作是一些系统进程或者内嵌代码(比如各种SNMP信息,MIB库信息),用来监控各种系统资源,比如操作系统、数据库、网络设备等等。客户端可以从管理层面接受各种指令进行操作,或者向管理层上报相关的系统状态。
从各个部分的数据交换方式可以看出,其中DSM(Distributed State Machine)负责管理各种客户端。CCI(common Commu―nicafions Interface)是一个为系统管理平台内部特有的独立于网络协议的接口,负责协调内部各个管理组件的数据通讯。还可以简要看出DSM通过SNMP的方式从各种客户端获取信息,信息经过处理汇总到数据库中,从而更新视图中每个被管理设备或者资源的状态。
【关键词】电厂;信息网络系统;防范措施
信息网络技术在电力领域的深入与普及,使得电厂的生产、经营与管理都依赖着信息网络技术进行,同时职工日常的工作和生活都与网络密不可分。技术的发展与进步,导致了网络环境日益复杂,信息网络的安全问题逐渐发展成为了突出问题。所以,根据这样的现状,需要构建全面的安全体系,使用安全的网络技术,采用安全性高、有保障的网络产品,在最大程度上降低潜在的安全隐患问题,保证了电厂工作的安全有序进行。
1 信息网络系统存在的安全问题
电厂信息网络系统化的安全问题主要包括硬件设备安全问题、网络安全问题、系统安全问题等方面。
1.1 硬件设备安全问题
电厂信息网络系统的各种硬件设备,如路由器、服务器、交换机以及工作站等都可能涉及到安全问题,主要存在的安全隐患有自然灾害,如雷击、水患等,外界的磁场干扰的影响,人为的损坏或者不正确的操作以及硬件设备自身存在的安全问题等。硬件设备的安全问题可能导致硬件设备的破坏,从而影响了信息系统及网络的正常运作,造成了相关数据的破坏甚至丢失等危害。
1.2 网络安全问题
可以利用不同的安全程度和角度对电厂信息网络系统的网络安全进行对应的划分。网络在相对开放的环境中比较容易遭受到外界网络的侵入和攻击。这些威胁系统安全的入侵者能够使用各种工具对电厂的信息网络系统进行扫描从而发现安全漏洞,然后使用某些恶意的攻击程序对其进行攻击,这样的攻击行为可能会造成信息数据的丢失、篡改或者损坏,同时还能引起整体网络的瘫痪。
1.3 系统安全问题
电厂的信息网络系统中大致包含着路由器或者交换机系统和服务器系统。其中,最主要的是服务器系统,主要掌控着全局,它包括了操作系统和数据库系统等,是电厂信息网络系统中的核心内容。这些系统的安全存在着或多或少的安全隐患和安全漏洞。因此,在发生恶意攻时,容易造成巨大的损失。
在恶意攻击中,病毒是侵害计算机最为常见的一种程序,它能够依附在系统的目标文件上,造成数据的损坏或者丢失。病毒程序对设备的危险性大,可以造成服务器瘫痪,整个信息网络的崩溃。病毒在网络环境中,极强的扩散能力以及无法控制性使它的危险性急剧上升。病毒可以控制系统的访问,随时可能造成设备的死机、信息数据的泄漏、重要文件的丢失,从而影响电力信息网络系统的安全运作,造成严重的损失。
外界的安全威胁是影响电厂信息网络完全的威胁外,内部威胁也容易造成不容忽视的安全问题,如厂内员工的操作不当造成设备损坏、数据的丢失,员工将可能带有病毒的存储器连接计算机设备,造成的病毒侵害等。内部威胁还有木马、监听密码、未授权拷贝或者盗取机密数据等。电厂的信息网络系统要想安全有序运作,相关负责人员需要加强这些威胁的控制解决力度。
2 安全防范措施
2.1 建立防火墙
防火墙是外界和内部网络接触的一道屏障,能够有效保证内部网络的安全,保护信息数据资源的安全,防止外界网络入侵造成信息损坏、泄漏或丢失。建立防火墙就是在内、外网之间建立一个能够控制安全的点,将内部外和外部网进行隔离,经过防火墙的信息可以选择性的被允许或者拒绝,对进出信息网络系统内部的访问、操作进行监督并控制,能够将不安全的访问进行过滤,同时设置内部网可以访问外界,但外部网禁止对内部网进行访问,有效的实现网络安全,从而在预定的安全规则内,进行安全有序的内外网之间的联系、通讯。
2.2 推行病毒防御方案,进行IDS入侵检测
病毒很容易通过电子邮件进行传播,在系统中安装正规的防毒软件十分必要,它能够全方位的对系统进行病毒防护,能够自动更新防病毒的代码并实时发送,同时还可以进行实时监测、对系统进行定时扫描和按需求进行定向扫描,很好的对病毒起到了自动隔离和查杀的作用,实现对病毒的预警。进行IDS入侵检测,能够对内部网络实现全自动的实时监测,实时监控网络操作中的行为,对可疑的访问和操作进行自动检测,从而分析网络环境中的安全隐患因素,实施及时的控制和阻止。在进行IDS入侵检测时,常常会有如猜测口令或者邮件炸弹等各种入侵警告,应该根据这些可疑的信号警告,来对IDS进行及时的安全策略调整和正确的抵御入侵行为,以加强电厂的网络体系建设,提高入侵攻击的防范能力,减少遭受恶意攻击的概率,极大的保证电厂信息网络系统的安全。
2.3 扫描安全漏洞和实行安全评估
可以让第三方安全机构对电厂的网络实行安全评估,进行安全漏洞的扫描,从而获得详细的安全报告。利用报告得来的信息采取相应的补救措施,提出合理的解决方案,及时修补漏洞,避免造成危害,具体操作如升级系统、阻断不必要的服务、修改权限与配置以保障使用的合法性、隐私性,能够迅速提升网络系统的安全级别。
2.4 构建安全管理制度和体系,强化网络安全机制
在技术上加强安全保障措施外,还应该建立网络安全管理制度对网络进行管理,以保障网络的正常运行。在加强网络的安全管理时,首先需要强化系统的授权和认证的安全配置管理,进行系统升级和加固系统属性,注重对电厂信息数据的备份。根据相应的管理措施制定合理的安全管理制度,从而约束管理人员行为,提高安全管理意识,实现安全的网络管理。同时,应构建电厂信息网络系统安全防护体系,包括实时监控系统,生产管理系统和电力信息系统,从而实现有针对性的进行网络安全管理。目前,这个信息网络日益发展的时代,计算机网络的信息数据量与日俱增,数据的备份和恢复功能越来越有压力。人为因素,和各方面的病毒、硬件设备损坏、火灾、水灾、线路故障等因素都可能导致电厂数据信息出现安全问题。因此,为了防备意外情况的发生,配置应急恢复系统很有必要。总的来说,电厂信息网络安全需要有相应制度和体系的保障,以强化电厂网络安全机制,在真正意义上实现电厂信息网络系统的安全作业。
3 结束语
电厂信息网络系统安全关系到电厂日常工作的正常有序进行,而电厂的正常运行关系到国民生计问题,因而维护电厂信息网络系统的安全具有重要的现实意义。针对这一实情,应重视对电厂信息网络系统的安全防护和管理,对安全问题实行有针对性的解决办法,从而保障电厂信息网络系统的安全。
参考文献:
[1]黄永强.企业计算机信息网络系统的安全风险与控制[J].商场现代化,2015(06).
[2]褚开锋.信息网络系统的安全管理与维护[J].网络安全技术与应用,2015(04).
[3]赵彦.浅谈在集团ERP系统运行环境下的火力发电厂办公信息网络安全管理[J].现代工业经济和信息化,2014(07).
[4]董媛,汪晓玫,曾小平.基于“三线”防护的新安江电厂信息安全管理[J].水电站机电技术,2012(03).
[5]崔海霞.浅谈信息网络系统安全[J].中国无线电,2013(10).
【关键词】防护策略 计算机网络 信息安全
1 前言
2013年,成都某设计公司开发的新款设计被其他公司抄袭,事后分析发现问题就是设计电脑连接了网络,而盗窃公司破译防火墙而盗取设计图纸。事实上,信息不但能够让人们获取便利与收益,同时也存在泄密的危机。因此,探究信息的安全与防护策略具有现实意义。
2 信息安全现状
事实上,计算机信息安全并不是唯一的,而是包含了系统数据以及软硬件,要确保这些因素不受到偶然或恶意的泄露、更改以及破坏,确保计算机能够连续、可靠及正常运转,而不中断网络。虽然人们为此努力多年,但因网络具有多样性和复杂性,造成信息安全依然在持续更新领域。从网络信息安全现状来看,影响到安全手段多种多样,比如蠕虫、后门以及DOS等。
2.1 病毒
从应用现状来看,单机是不会出现病毒,因此病毒大多源自于网络及外用工具。但是现在用户极少还在单机操作,几乎都是和外界网络连接在一起的,因此出现病毒基本上都在从网络中。制造病毒之人也就是在互联网上发表并传播,前几年出现了熊猫烧香病毒,也就是通过网络大量传播,一旦病毒被传播出去了,就会对网络中的机器进行感染,不但会占用带宽还会影响到网络的正常流量。例如使用者接收到垃圾邮件而点击,必然会影响到正常网络。
2.2 软件存在漏洞
计算机上应用的软件各种各样,但是不可能完整无损,大多存在一定的漏洞,因此在网络中运行之时一些非法用户就能够从漏洞进入,并盗窃所需信息或者破坏信息,还能够非法攻击固有安全漏洞。并且还会占据计算机的运行通道,增加运行的数据,严重者还会造成网络瘫痪。
2.3 操作不当
从影响信息安全分析来看,有一些同样是人为操作造成,当然根源就在于人为操作不当,马虎使用而违规操作,都可能导致计算机丢失一些数据而出现系统漏洞。还有一个因素就是使用人员缺乏安全意识,设置口令时不严谨,或把账号随便让给别人使用,就会导致信息丢失的安全隐患。
3 防护计算机网络信息的策略
确保信息安全,并不是某一个单方面因素,而是要针对影响安全因素制定相应防护策略,才能够真正确保信息安全。
3.1 增强相关人员的安全意识
事实上,无论何种安全隐患都是人为造成,而无论多么牢固的安全防护都是人为造成,因此针对操作人员安全问题,就需要有针对性进行安全教育。采取各种措施提升他们的安全意识和主动性,提升其责任心和安全观念,这是防范信息安全的基础措施。当然还要不断强化操作人员业务技能,技能上只有具备高水平才能够有效防御。
3.2 安全服务
现在计算机网络都需要进行身份验证,属于控制安全的基础,做好了这个基础才能够抵挡攻击而有效防御。在进行身份认证时一定要准确辨别,尽可能采取双向认证策略,互相辨别自己身份。并且还应该控制访问,控制不同用户对不同信息资源的访问权限,才能够防御越权行为出现。当然还必须要做好数据的安全策略,做好数据保密措施是提防泄露的主要防御措施。同时也是一种比较常见保障措施。如今计算机网络技术发展较快,如果再使用传统加密就不适用了,而且也在不断被破译,所以就需要增强加密技术。使用较为普遍就是公开密匙算法、DES算法等,而且还应该采取措施保障数据具有完整性,才能够提防非法更改业务、文件以及信息。
3.3 管理好网络
从许多信息安全事故来看,出现安全故障还与管理有一定联系,也只有采用合理管理网络措施,才能够有效确保信息安全。在管理上并非单一,而是包含软件和硬件。管理网络人员一定要高度重视管理信息的通信量,而不可以十分明显的增加网络通信量。在这个管理上大体划分成性能管理、配置管理、安全管理以及故障管理、计费管理等几个方面。
其一管理故障。管理故障上主要是针对网络之中所出现的问题或故障,就需要检测、纠正以及隔离。只要发生故障,管理人员就应该及时发现问题并分离问题,从中查找出引发故障真正原因,采取有效措施排除故障,当然要实现这些要求需要一定技术,操作人员要时刻充电,提高自身技术水平。
其二管理配置。这个管理就是对设备之中各种配置数据进行快速访问,只有这种措施才能够加强管理人员对网络的控制,发现问题就能够顺利修改配置。
其三管理网络安全。对网络安全管理就是有效控制网络中各种信息,比如管理正确操作、对保护对象的管理等各个方面。现在网络规模逐渐增大,复杂度也是不断增高,要保证用户满意,就应该使用自动化管理系统进行管理,只有这样才能够确保网络正常运行。
4 结束语
总而言之,计算机网络被人们大量应用,必须要高度重视网络安全。而确保信息安全并不是从某一个或者某几个方面就能够防御,必须要从人员、软件等各个方面入手,才能够加强网络安全管理,增强安全意识,并把安全隐患消除在孕育阶段。
参考文献
[1]徐雷.浅析计算机网络安全威胁及防范措施[J].电脑知识与技术,2011(07).
[2]吴数勇.浅谈计算机网络的安全与管理[J].电子技术,2010(09)
[3]张旭东.跨域网络互联实用路由技术应用分析[J].电信技术,2010(05).
[4]刘秀彬.浅析计算机网络信息安全管理[J].价值工程,2010(12).
