时间:2023-09-22 17:06:07
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇办公网络的网络安全问题,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:办公计算机;安全问题;具体;分析;有效措施
1办公计算机网络潜在的问题
1.1软件以及系统更新不及时
企业内部办公计算机是一个相对独立的网络系统,相比外部网络,差异之处在于不能及时修复自身存在的漏洞。所以,相关网络管理工作人员一定要定期对企业集团内部网络系统进行升级优化,最大限度地修补漏洞以及系统的升级等相关工作。除此之外,内部网络中一些特殊程序以及软件的应用是十分必要的,使用人员在选用程序时没有足够的重视,就给办公计算机网络完全带来了很多潜在的威胁。例如,有一部分软件只看重实际运行的速度以及应用的便捷之处,完全不在乎安全方面的问题,对数据库相关方面没及时进行有效的保护,让黑客十分容易就能窃取用户数据,使办公计算机在网络安全方面产生了极大的危险。
1.2物理方面的损害
在企业集团的发展进程中,总是会发生对办公环境以及场地进行施工的情况。在施工过程中,可能要搬移设备、改变管线以及道路等。一旦工作技术不够规范、施工计划不够严密,就会发生设备损坏、管线连接错误等恶劣情况。因此,在进行施工之前,一定要做好施工的规划设计,要熟知设备以及线路的所有特点,尽可能规避施工队计算机设备形成损伤。
1.3系统之间的互相连接
在企业集团管理信息化以及生产自动化建设过程中,一定会出现把集团内部管理层和网络控制层结合的工作需求,方便企业集团对产出信息、生产设备以及原料消耗等方面进行科学合理的规划安排。但是,企业集团一旦把控制层网络和企业管理层直接进行连接,就会伴随着很大的风险,会出现管理层具有的一些病毒入侵到控制层中去,对企业集团形成了极大的威胁。所以,把控制层网络与集团管理层直接相连的方式是行不通的,应该应用其他相对科学合理的方式,把收集到的所有信息传达给管理层。
2形成办公计算机网络安全隐患的根本原因
2.1网络的单薄性
互联网是对全社会开放的,具有国际性、共享性以及开放性的特点,形成了网络本身的不稳定性以及不安全性。第一,自由性。现阶段计算机用户应用网络时完全不受任何技术上的限制,可以实现自由的获取以及所有信息。第二,开放性。网络的开放性,给网络带来了多种技术以及多个方面的攻击,可能是计算机自身硬件的袭击,也可能是物理传到线路的冲击,还有可能是通信协议的侵犯等。第三,国际性。网络的国际性,表达了网络上的危险因素并不单单来自本区域的用户,还要面对国际黑客的侵袭。
2.2操作系统的缺陷和不足之处
不存在完美无缺的系统,所有的操作系统都会具有一些漏洞以及缺陷。所以黑客以及病毒才有了侵袭的通道。因为办公网络大体上是自成一派的,因此操作系统不能得到定期的升级优化,给予企业集团办公带来了潜在的安全隐患。
2.3安全意识不成熟
现阶段企业集团对办公计算机网络安全方面的关注少之又少,这也是内部办公网络出现问题的根本原因。即使当今大部分企业对办公网络进行改进完善,但是因为对网络安全认知不足以及缺乏大量的相关专业知识,仍然具有很多的缺陷和漏洞。首先,建立办公网络的时间不够长久,不具有十分专业的相关技术人员进行管理规划,对广大职员不能进行全面彻底的培训,最终形成用户在安全意识以及技术上都存在巨大的缺陷。其次,大部分企业集团不能进行改进完善管理,存在很多管理制度方面的漏洞。最后,企业集团高层领导干部对办公网络安全问题没有给予足够的重视,间接使办公计算机网络安全隐患不能及时解决。
2.4维护力度不足
企业集团对内部办公网络建设是非常有意义的投资,企业看重日常运营以及生产,而忽视办公网络的维护以及运行。企业集团在办公网络维护和检修方面投入的经费严重不足,不具有专业能力强的工作人员,出现办公网维护力度不足的现象。
3计算机网络安全防范的有效措施
3.1世界前沿技术的应用
计算机网络安全保护的有效措施就是防火墙技术,其是外部网络和内部办公网络之间的屏障以及门户。通过应用世界先进的防火墙技术,可以实现隔离外部网络与内部网络、对外部网络用户进行制约,限制外部网络用户的恶意侵袭以及侵入等效果。
3.2建立健全管理制度
企业集团依照有关标准,创建科学合理的法规制度,用来严格保证企业集团内部办公网络的安全运行,以及让网络管理相关工作人员能够遵循规章制度。创建管理制度时,一定要充分考虑计算机操作规范、计算机系统使用标准以及机房管理制度等。
关键词:计算机办公;网络安全;局域网络
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2010) 16-0000-01
Security of the Computer Office Network
Fang Ling
(Tianchang Human Resources and Social Security Bureau,Tianchang239300,China)
Abstract:This article from the local office computer network security and endpoint security management of computer office in both directions of the computer office network security issues.
Keywords:Computer office;Network security;Local area network
计算机办公,亦称之为办公自动化(Office Automation,简称为OA)是一种将现代化办公和计算机网络功能相结合的新型办公方式。它通过计算机对文档进行综合管理,节省了管理程序,极大的提高了工作效率,是信息技术革命中的一个主要应用领域。
一、计算机办公局域网安全
(一)办公局域网络
办公局域网是一个信息点较为密集的网络系统,各个相联接的信息点给位于整个系统中的各个办公部门提供一个快速、方便的信息交流平台。在此基础之上,单个企业的局域网络可以和广域网相连,建立一个内部与外部相通的门户,为信息的流通建立了基础,各个部门可以在局域网内直接与互联网上的用户进行信息交流等。由于开放式的网络环境,注定了网络具有不安全性,因此在局域网内实行一套可行的安全解决方案势在必行。
(二)网络系统安全风险分析及其解决方法
1.平台的安全风险及解决方法。一般局域网都会通过公开服务器区的方式为办公过程提供信息的平台,与此同时,这些服务器本身还要为外界服务而提供数据通道。而黑客正是利用这些通道上的节点试图侵入用户系统,非法获取用户资料,给用户带来严重损失。为了防止由于外部侵入给系统带来的损失,网络管理人员对网络安全事故作出快速反应就显得非常必要。在进网络安全管理时,可以通过将公开服务器以及内部网络与外部网络之间进行有效的隔离;其次,对于外网的服务请求要加以鉴别和过滤,只允许通过正常通道的正常数据包到达相应的主机,对于可疑的服务请求一律予以拒绝。
2.系统的安全风险及解决方法。网络操作系统、网络硬件平台的可靠性会直接影响到系统的安全性。对于一般的用户而言,采用的任何操作系统都不可能有绝对的安全保障。因为无论任何一种商用操作系统的开发商都留有后门。但是对于一般的用户而言,这不会构成太大的影响,用户可以通过对既有的操作平台进行适当的安全配置、对操作及访问权限进行严格的审查,一样可以达到用户使用的安全需求。在构建网络的过程中,选择可靠的操作系统和硬件平台是前提,同时还应该加强使用过程中用户登录的认证,以确保其合法性。
3.网络应用的安全风险及解决方法。网络应用的安全性一般涉及到网内信息、数据的安全性,包括用户的机密信息的泄露、未经授权的访问、恶意修改信息以及对信息完整性进行蓄意破坏等。对于局域网而言,由于信息的传递主要集中在局域网内,其信息的跨度较小,信息的保密性和完整性都可以得到有效的保证。不过,对于那些特别重要的信息,例如企业的经营战略及核心技术等,需要对内部保密的,可以采用在应用级进行加密,一定级别的用户只能打开对应密级的文件资料,从而有效的控制密级文件的传递。
二、计算机办公终端安全管理模式
(一)实施计算机办公终端安全管理模式的必要性
从宽泛的角度来定义,计算机办公终端是指在办公环境下的所有类型的计算机,它包括计算机的硬件、操作系统以及常用的办公软件等,是网内用户办公及处理日常事务的重要工具和手段。实施计算机办公终端安全管理,是指专业技术人员为使得计算机办公终端能给网内用户提供其正常的功能和服务而进行的一系列技术维护活动,主要包括相应的安装、配置、升级以及故障处理等。
现在,办公自动化在企业中的应用已相当普遍,计算机办公终端与每一个员工的日常工作紧密联系。尤其是对于目前一些大型企业,终端的使用人员较多,数量庞大,而管理机制不健全,众多企业的办公网络以及信息安全问题突出。通常的有:其一,整个系统没有一个统一的补丁管理,系统不能及时更新甚至没有更新,存在大量系统漏洞;其二,缺乏统一的防病毒管理,一个终端中毒则导致整个网络瘫痪;其三,没有一个统一的接入管理,没有经过授权的计算机办公终端随意接入局域网内等。所有的这些都给计算机办公网络及信息安全带来了极大的安全隐患。
(二)可实施的安全管理模式
目前广泛采用的是终端安全管理平台,通过构建一个终端管理平台,对包括补丁升级管理、防病毒管理、终端安全策略管理以及终端接入等方面进行统一控制,达到对局域网终端的安全管理目的。
1.补丁管理。补丁系统的主要功能在于实时的处理网络安全方面的“常见病”以及“多发病”。我们可以通过采用由微软SMS软件搭建一套用来管理办公终端及服务器补丁的分发、安装的专门系统。该套系统由补丁中心服务器、补丁下载服务器、补丁分发服务器以及客户端Agent等组成,可以为网络内所有的客户终端提供补丁扫描以及补丁安装功能。管理系统通过与AD域管理功能相结合,及时、准确、快速的为办公终端实施安全补丁服务。保证网络内的计算机终端能处于最优的工作状态,网络内的资源能得到良好的保护。
2.防病毒管理。防病毒系统的主要功能在于通过对系统的病毒库进行实时的更新,使之具有统一的防毒定义更新以及应急响应能力。企业的局域网一般可以采用赛门铁克SEP11.0等防病毒软件,使得网络的防病毒系统具有对主动型攻击、网络威胁以及非法网络访问等进行防御和控制的功能。
3.终端接入安全管理。随着企业的发展,企业与外部的业务交流将越来越多,企业的业务将会进一步扩展,对外部接入系统的外部终端进行有效的监控和防护将显得尤为重要。我们可以通过采用先进的网络接入控制技术,诸如思科的NAC,对接如的外部办公终端进行安全扫描,凡检测到含有安全隐患的终端一律将之隔离。
实施计算机办公网络的安全防护是现代企业保护自身信息安全,实现管理信息化的基础。办公网络的安全管理是一个循序渐进的过程,需要企业持之以恒,这样才能为企业的顺利发展提供保障。
参考文献:
关键词:政府机关;办公自动化系统;网络安全问题
中图分类号:TP317 文献标识码:A 文章编号:1007—9599 (2012) 14—0000—02
一、政府机关办公自动化系统中常见的网络安全问题
目前,我国各级政府机关单位内部的办公自动化网络,多是基于TCP/IP协议,并采用Internet的通信标准以及Web信息流通模式。由于办公自动化系统模式具有开放性,且使用比较方便,因此病毒入侵、系统入侵等安全问题也随之而来。如果安全问题无法解决,那么便极有可能会导致信息泄露、设备损坏、数据丢失以及系统瘫痪等严重的后果。在政府机关办公自动化系统中常见的网络安全问题主要为:
(一)黑客入侵
黑客就好比是计算机数据信息的窃贼。未经过允许私自闯入到政府办公系统中,然后对网页、程序、磁盘、服务器等进行肆意修改和盗窃。多数情况下,黑客入侵都是具有一定的目的性和针对性的。因此,黑客入侵是政府自动化办公网络面临的最大安全问题。我国多数办公自动化网络都采用广播技术基础的以太网技术。在以太网作为网络环境的自动化办公系统中,任何两个节点之间的数据包,不仅会被这两个节点的网卡进行接收,同时也会被以太网中任何一个节点的网卡进行截获。另外,政府机关办公自动化系统有时会为了方便,在网络中设置和因特网连接出口,这为黑客入侵提供了方便。通过这样的连接出口,黑客只需要通过因特网便能够入侵到办公自动化网络中的任意节点中,并对此节点接收到的信息进行窃听。
(二)病毒感染
随着计算机技术的不断发展和进步,计算机病毒也不断涌现出来,且病毒的形式、破坏性也有所加强。网络病毒不同于普通病毒,能够在网络中流通,且破坏性更强大、生命力更加顽强。网络病毒不仅能够通过网络扩散的方式进行传播,同时也对一些杀毒程序具有一定的免疫力和抵抗力。因此,如果政府办公自动化网络中一旦感染了病毒,那么病毒便能够通过内部网络,在办公网络中进行传播,进入到其他办公程序中,甚至还会导致内网所有电脑全部感染病毒,带来严重的损失。
(三)办公自动化系统漏洞
所有操作系统都必须定期的打补丁、修漏洞,没有百分之百无缺陷的操作系统。对于政府机关的办公自动化系统来讲更是如此。当政府机关的办公自动化系统出现漏洞时,往往便会成为黑客们进行攻击的首选目标。许多黑客攻击网络内部的原因都是因为系统漏洞。并且很多软件公司的设计人员和研发人员,有时会为了工作需要而在本软件中留一个“后门”,这个“后门”在一般情况下是不为人知的,但是也有特殊情况,例如个别编程人员处于私人利益的趋势,将“后门”泄露给他人等。一旦“后门”暴漏,那么政府的办公自动化系统便毫无安全性可言。
二、政府办公自动化系统的网络安全策略
通过上文分析可知,政府办公自动化系统中的网络安全问题主要来源于黑客入侵、病毒感染与系统自身漏洞。为了能够提高政府办公自动化系统网络的安全性,必须要从这三种安全问题的源头入手,对其进行防范与解决。
(一)网络安全预警策略
要在政府机关办公自动化系统网络中建立起安全预警系统。安全预警系统可以包括入侵预警和病毒预警两个组成部分。在入侵预警系统中,能够将网络中数据传输授权进行规范,并对没有经过授权的信息、数据传输进行报警,并能够在报警之后提供风险管理报告,在风险管理报告中,会呈现出风险源和直接相应、入侵IP、目的端口与攻击特征等。病毒预警系统能够对所有进出网络的数据、信息进行全方位、实时扫描,一旦发现病毒,便会立刻生成报警信息,通知网络管理员,并能够对病毒进行IP定位和端口追踪,同时也会生成扫描日志和扫描报告,对病毒所有的活动进行最综合记录。
(二)数据安全保护策略
数据安全保护策略可以分为:
1.针对黑客入侵进行的安全保护。对于政府办公自动化系统中的数据库来讲,数据信息的完整性、逻辑关联性和真实性是十分重要的。在政府机关办公自动化系统的数据库中,主要包括纯信息数据与功能文件数据两种。针对这种两种数据的保护策略,应当本着以下原则进行:(1)对政府机关办公系统中的物理设备进行安全防护,包括服务器、有线和无线通信线路等;(2)将不同的数据要在尽可能多的服务器中进行储存和管理,通过身份认证、记录访问日志等方式来合理控制访问;(3)对重要的数据和信息、资料等要进行加密和验证。
2.针对病毒破坏进行的安全保护。对于病毒和灾难性的破坏因素进行数据保护,可以通过两种措施来进行:(1)在网络核心设备中设置物理保护措施,例如电源冗余模块、交换端口冗余备份等;(2)利用磁盘镜像和磁盘阵列来存储、管理数据;(3)利用其它的、多样化的物理媒体来对重要的数据进行备份,例如对实时数据进行备份、定期对数据进行整理和备份等,能够有效的在数据丢失之后尽快恢复。
(三)防范黑客入侵策略
在政府办公自动化系统中防范黑客入侵,可以采用以下策略:
1 云计算概述
随着互联网技术的发展,云计算逐渐成为新一代的IT模式。云计算是一种计算资源,通过Internet以服务的方式提供动态可伸缩的虚拟化资源,它是效用计算、并行计算、分布式计算、网格计算、网络存储、负载均衡、虚拟化等传统计算机和网络相融合发展的产物。云计算在互联网建设中具有突出的优势,它能够实现超大规模的数据支持和良好的用户体验,并且用户操作更加便捷化。此外,云计算还体现出通用性、数据共享、按需服务、廉价低能的优点,从目前云计算的发展模式来看,云计算主要包含4种模式,即公有云、私有云、混合云、行业云。
在高校校园网络建设中,云计算作为一种新型的计算方式,其涉及到以下几个方面的核心技术:(1)数据存储技术,具有高输入与输出速率、高数据安全性和超大规模发展趋势,当前多数是互联网公司采用HDFS的数据存储技术;(2)数据管理技术,满足用户个性化需求,提供高效优质服务;(3)Web技术,动态开发技术逐渐完善,使Web逐渐桌面应用化;(4)系统虚拟化技术,节省成本开支及能源浪费,比如VMware等虚拟技术;(5)安全技术,高度集中的信息资源、大用户数量等要求更高的安全性能;(6)移动设备,移动互联网的快速发展与普及,使得用户上网不局限于传统的台式终端,移动智能终端以方便快捷的优点逐渐发展成为主流。
2 高校校园网数据中心设计需求分析
互联网的快速发展与普及,使高校对校园网的需求越来越大,对校园网建设的要求也越来越高。无论是高校教学管理、教师教学需求,还是学生学习需求,对校园网络应用内容的使用和需求与日俱增,比如:教务平台、教学管理系统、邮件系统、视频点播系统、电子图书馆、视频会议、数据业务通讯、可视图文等。高校师生对校园网络数据信息需求越来越大,传统的校园网数据中心需要进行优化设计。在云计算的考虑基础上,校园网数据中心适用于私有云模式进行搭建。
结合高校校园网络建设的基本情况,数据中心设计应包含私有业务系统和公有业务系统两个层面,其中公有业务系统是面向校外的,类似于一种高校教育联盟,允许一定教学范围内的访问。私有业务系统则是面向校园内部的,即面向教师和学生,用于教学的教学网络可实现师生互相访问,而用于办公的办公网络的部分业务之间则不能相互访问。
从网络设计需求层面来看,高校校园网络数据中心是为教学管理和教学活动设计的,需要保证教学任务的有序进行,不中断;还需实现高校办公的诸多功能需求,比如:办公网流量控制、学生网流量控制、教学平台与教务系统、邮件系统与视频会议等;在高校校园网络构成中,教学网、办公网与校园网络监控网络应分别设计,而且教学网要与办公网、校园网络监控网络完全隔离,保障数据中心的数据安全。
3 校园网应用平台和资源平台搭建
3.1 数字化校园信息标准与规范
在高校校园网应用平台和资源平台搭建中,需要建立统一的、标准的信息格式,以实现便捷的数据存储和使用。(1)信息标准,结合高校自身特点,建立一套适合自己的信息标准,且保证标准的权威性、科学性和可实用性,建立全局数据库;(2)代码编码标准,数据编码突出特点,编码格式必须统一,能够适用于整个高校校园网的不同业务系统,编码结构必须具有扩展性,且同一类型的数据编码必须唯一;(3)技术标准,结合高校网络平台搭建的实际需求规定网络使用规范、网络安全等标准;(4)管理规范,包括校园网络管理中的技术规范、管理标准、工作流程、职责权限等规章制度。
3.2 软件平台设计
为保证高校校园网络平台的24 h不间断运行,以及保障数据中心的数据安全,在软件平台设计中统一信息门户、统一身份认证平台、网络教学资源平台等关键应用搭建在Linux或Unix平台上,采用数据库Oracle?M行数据存取,而其他的非关键应用则可在Windows平台运行。
(1)统一身份认证采用认证接口层、认证通道层、数据层三层结构设计,用户通过唯一的用户账号和密码可登陆校园网。统一身份认证平台中的身份认证模块、权限管理模块和接口模块最为重要。用户身份认证模块可提供注册、登陆、认证、管理等功能,权限管理模块用于控制、管理和分配用户相应权限,不同用户拥有不同的权限。统一身份管理包括应用管理、机构和用户组管理、用户管理、权限管理,统一身份认证则包括校园一卡通、网络基础服务、教务管理系统、网络教学平台、数据中心管理等。接口模块则实现与各业务系统主机、应用系统实现端口的对接。用户在使用高校校园网络时,通过身份认证登录一个系统之后,不需要重新登录则可直接转向另一个业务系统。在统一身份认证中,还需进行用户数据模型设计,比如:学生、教职工、合作院校部分教工等对象。
(2)信息门户平台建设,其目的在于使高校原有的各分散的应用服务系统、业务功能模块等进行集成整合,以信息门户的模式实现学生、教职工、系统管理人员、高校领导等,从一个统一的信息服务入口即可进入校园网,实现各自功能需求。
4 面向云计算的校园网数据中心安全问题
4.1 云计算及校园网数据中心安全问题
从目前我国互联网发展市场来看,尚未有完善的法律法规来保障云计算的发展,一旦发生数据损失,没有明确的责任认定方法。对于私有云而言,通常是由各运行主体来负责自身安全,有自己标准,与未来行业标准并不一定完全兼容。针对高校校园网的云计算而言,其安全问题主要包括以下几个方面:(1)安全性,校园网数据中心的大量数据在存取与传输中存在安全问题;(2)可靠性,即云计算服务提供商必须有强大的数据纠错、排错、容错能力,以及数据丢失后的恢复能力;(3)信任性,这是云计算服务提供商必须保证的要素之一;(4)隐私性,必须保证用户的信息安全和隐私保护。
针对高校校园网数据中心而言,安全问题包括:一是虚拟数据安全,需定时更新系统补丁,并通过自带组建进行数据备份;二是容灾系统,其中数据备份是核心,系统在运行中一旦硬件或软件环境出错,即可实现磁盘备份。
《无线互联科技杂志》2014年第四期
1密码技术在网络通信协议中的应用
网络通信系统中可以使用密码技术对传输的信息进行加密,并且设置必要的身份鉴别,同时也可以运用授权和控制访问存取的方式保障通信安全。网络通信中的密码技术主要是对数据进行加密,在信息的传输、存储方面应用较多。从网络通信数据加密的方式来看,常见的有节点加密、链路加密等。这些加密方法在应用过程中各有特点,在传输密级程度较高的信息过程中,应该综合运用多种加密方式。在实际运用过程中应该结合通信安全的需求,考虑加密技术是否会增加网络运行过程中的负荷等。由于在不同的情况下每一个通信实体具有的网络结构存在很大差异,因此实际应用过程中应该根据不同的网络结构设置安全通信协议。目前常用的安全通信协议有密钥协商、身份认证和加密等。
在网络通信安全防护阶段可以综合运用信息加密、身份验证和鉴别等多种密码保护技术,以此保障网络通信安全。管理人员可以运用密码技术限制非授权用户进入系统,可综合运用身份识别、口令机制等达到目的。如果入侵者进入系统的方式比较特殊,可以运用访问控制和验证等方式达到保密信息的目的。如果入侵者能够通过特殊的方式获取保密信号,管理者应该根据实际情况对信息进行不同程度的加密。
企业级别网络可以分为商务服务网、办公网和内部信息网三部分,每一个子网对信息的安全需求不同,应该结合实际使用不同的密码技术,在降低投入成本的同时满足整体安全需求。商务服务网可以使用控制细粒度访问的方式,对用户和服务器等进行身份验证。企业内部信息网不仅需要防止非法入侵以及外部用户的非法访问,也需要对内部用户进行管理,适当控制内部用户的对外访问。办公网是企业网络的核心,禁止信息从网络向外部流动,并且在用户和服务器之间设置安全通道,在安全通道中设置身份认证等,避免外部用户进入办公网络中。
2基于密码技术的网络安全通信协议对策
在深入分析企业级网络通信协议的安全需求后,我们可以充分结合密码技术以及现有的设备和技术,在网络系统中保障安全保密技术和保密模式的一致性,将密码、秘钥等集中起来进行统一管理,密码的处理使用专用的硬件,以此保障企业级网络系统的安全。常用的网络通信安全协议对策有:⑴将VPN设备接入内网的路由器节点中,构建一个VPN的专用安全通道,对VPN通道中的信息进行认证和加密,以IPSEC作为参考。虚拟专用网络(VPN)是信息网络中的一项新技术,在企业网络中设置独立的VPN设备,可以在不提高运营成本的前提下保障各种信息数据的交换安全,运用这种方式也可以避免在WAN中投入过多的成本,并且能够充分利用各种信息资源。VPN的专用安全通道可以对各种数据进行封装传输,并且各种信息均经过密钥处理,可以在公共网络上安全地传输和通信。⑵在网络的重要服务器配置或者用户终端设置密码机,将端端加密和节点加密等密码技术应用于特殊系统中,在系统标准应用方面提供加密或者身份认证等服务。在通信网络中建立密码逻辑管理中心,对用户密码机、专用密钥等进行分配与管理,以此更好地管理各种网络安全设备或者密钥等。⑶将安全授权、设备控制应用于企业网络各子网的重要节点上,实现接入口的身份认证和用户授权,制定并合理配置各种细粒度安全策略,让加密和鉴别等为网络通信细粒度访问控制把关。在内外信息网络中设置网络防火墙,有效隔离企业网络中的业务子网络,对网络中的出入路由器进行控制,较粗粒度地进行进出数据控制,确保数据传输和通信过程中的保密性,在不同层次的安全访问控制过程中使用较粗粒度控制。
3结语
在计算机信息网络应用范围不断扩展的同时,网络通信安全问题也变得更为严峻。因此,在网络中综合利用密码技术以及各种安全通信技术,能够避免网络通信信息受到侵害,保障信息数据的传输安全,这对于促进信息化的发展具有十分重要的意义。
作者:陈景超单位:中国科学技术大学软件学院
网络管理和维护是信息网络中心的重点工作,保障校园网络的安全稳定运行是网络管理的主要目标。为了改善我校网路出口带宽日渐拥塞的状况,在与徐州电信多次协商后,月6日,我校公网出口由100兆扩容为1000兆,成为江苏省内首家实现公网出口千兆的高校。出口带宽的增加使我校的网络状况得到极大改善。
随着我校网络规模的日渐扩大,我校原先申请的16个C的IP地址资源已经接近耗尽,信息网络中心在较早以前就开始了新地址的申请工作,本学期,我校成功获批64个C类的地址,极大缓解了我校地址资源紧缺的状况。信息网络中心在新地址到位后立即着手地址分配调整工作,到学期末此项工作已经基本完成。
近半年来,校园网安全问题日益突出,以蠕虫病毒和垃圾邮件为代表的网络安全事件时有发生。信息网络中心积极利用防火墙、杀毒系统等软硬件设备,制定合理的策略,加强网络安全管理。同时信息网络中心积极给校园网用户以及时的建议和指导,使我校网络安全状况得到很大改善。
根据我校的办公布局调整规划,信息网络中心将于年年底搬迁到泉山校区新建的主楼。由于信息网络中心的搬迁涉及到校园网结构的重新调整,关系到我校校园网的运行,为了保证校园网络不中断、不影响正常教学科研工作的开展,信息网络中心很早就着手搬迁的规划协调工作。对搬迁可能涉及到的机房、设备、线路进行科学规划和调整,将需要在搬迁之前就要完成的工作尽量提早安排。目前这项工作正平稳有序地进行。
本学期,为了方便我校教职工积极使用网络开展工作,信息网络中心推出了面向校内教职工和研究生的免费电子邮件服务,受到热烈欢迎。
二、信息发展工作平稳有序开展,校园网信息资源日益丰富。
行政办公网一直是我校的核心站点,也是信息网络中心信息工作的重点。信息网络中心指定专人负责办公网的维护工作,保证公文的及时,为我校管理工作做好服务。
中心网是信息网络中心的部门站点,同时也承担着面向全校提供公共信息服务的职能。信息网络中心组织人力,对中心网的各个栏目认真维护,保证了信息的更新率。
信息网络中心在人手有限、信息资源缺乏的情况下,积极探索徐州师范大学网站建设的方式方法,向学校提出了改进网站建设工作的意见和建议。
本学期信息网络中心协助宣传部开展了部门网站检查评比工作,对部门网站的运行状况进行了检查,共同完成了检查报告。
信息网络中心继续积极为院系部门提供良好的信息服务,为部门上网工作提供便利,把虚拟主机的容量由40兆扩充到100兆。
三、信息网络中心内部建设进一步加强,工作分工明确,工作效率提高。
本学期,学校任命管继栋同志到信息网络中心担任主任,表明学校对信息网络中心的工作进一步重视。管主任的到任使中心的工作关系进一步理顺,为更好地开展工作奠定了良好的基础。
关键词:调度自动化系统数据网络安全防护
1.引言
目前数据网络在电力系统中的应用日益广泛,已经成为不可或缺的基础设施。国家电力数据网一级网从1992年2月一期工程开始规划建设,到1997年7月二期工程开通运行,迄今已有近十年的发展历史。目前国家电力数据网同时承载着实时准实时控制业务及管理信息业务,虽然网络利用率较高,但安全级别较低、实时性要求较低的业务与安全级别较高、实时性要求高的业务在一起混用,级别较低的业务严重影响级别较高的业务,并且存在较多的安全隐患。随着信息与网络技术的发展,计算机违法犯罪在不断增加,信息安全问题已经引起了政府部门和企业的高度重视。因此根据调度自动化系统中各种应用的不同特点,优化电力调度数据网,建立调度系统的安全防护体系具有十分重要的意义。
2.电力系统中各类网络应用的特点
电力系统中网络应用的分类方法有许多种,根据业务类型、实时等级、安全等级等因素,电力系统的网络应用主要可分为生产数据传输和管理信息传输两大类,另外其他的应用还包括话音视频传输和对外服务等。不同的应用系统对安全有不同的要求,如图1所示。
图1基于数据网络的应用系统对安全性的要求
生产控制类中的基于TCP/IP的数据业务,速率要求不高,数据流基本恒定,但业务实时性较强,其中遥控遥调更与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。从应用范围来看,生产控制类业务分布在各网省调及大量发电厂和变电站,属于较特殊的一类窄带业务。
管理信息类业务突发性很强,速率要求较高,实时性不强,保密性要求较高,覆盖除生产控制类以外的所有数据业务,其网络布局集中于行政办公中心,一般要求为宽带网络。
话音视频类业务是指建立在IP平台上的电话及会议电视,对实时性要求高,安全可靠性无特殊要求,目前其质量还有待提高。对外服务类业务则是指根据市场的需要而建立的数据网络。
3.调度自动化系统的安全防护
3.1制定调度自动化系统安全防护策略的重要性
近年来调度自动化系统的内涵有了较快的延伸,由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、功角遥测、电力市场技术支持系统和调度生产管理系统等。数据网络是支持调度自动化系统的重要技术平台,一般要求数据网络安全可靠,实时性要求在秒级或数秒级,其中发电报价系统、市场信息等电力市场信息系统由于需要与公网连接,因而还要求做加密及隔离处理。
建立调度自动化系统的安全防护体系,首先要制定安全防护策略。应用系统的安全策略位于安全防范的最高一级,是决定系统的安全要素。从大的方面讲,安全策略决定了一个系统要达到的安全级别及可以付出的代价;从小的方面讲,安全策略的具体规则用于说明哪些行为是允许的,哪些行为是禁止的。系统是否安全,很大程度上依赖于最初设计时制定的安全策略,因为今后的安全措施,都围绕这一策略来选择和使用,如果在安全策略上出了问题,将会给今后的应用系统带来安全隐患,从而使将来的安全建设处于十分被动的局面。因此考虑调度自动化系统的安全,应首先根据系统对安全性、可靠性、实时性、保密性等方面的不同特殊要求,按照国家有关部门的规定,从应用系统的各个层面出发,制定完善的安全防护策略。
3.2信息系统的安全分层理论
一个信息系统的安全主要包含五个层面,即物理安全、网络安全、系统安全、应用安全、人员管理。调度自动化系统的安全防护体系应包含上述五个层面的所有内容。
物理安全主要包含主机硬件和物理线路的安全问题,如自然灾害、硬件故障、盗用、偷窃等,由于此类隐患而导致重要数据、口令及帐号丢失,称为物理安全。
网络安全是指网络层面的安全。由于联网计算机能被网上任何一台主机攻击,而网络安全措施不到位导致的安全问题。
系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全管理设置等安全问题,如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等。
应用安全是指主机系统上应用软件层面的安全。如Web服务器、Proxy服务器、数据库等的安全问题。
人员管理是指如何防止内部人员对网络和系统的攻击及误用等。
3.3国家对网络及信息安全问题的有关政策和法规
国家有关部门对安全问题的有关政策和法规,对制定电力调度控制系统的安全策略起到指导性的作用。
公安部是国家企事业单位及公共安全的主管部门,已经颁布了安全防护方面的一系列文件,正在制定安全保密和保护的等级,规定各部门应根据具体情况决定自己的安全等级,实行国家强制标准。公安部规定,从安全保密角度看,政府办公网应与外部因特网物理隔离,并认为自动控制系统应与外部网络绝对物理隔离,可根据业务的需要建立专用数据网络。
国家保密局是国家党政机关安全保密方面的主管部门,也颁布了一系列安全保密方面的文件。1998年10月国家保密局颁布的“涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法”规定,涉及国家秘密的通信、办公自动化和计算机信息系统的建设,必须与保密设施的建设同步进行,系统集成方案和信息保密方案不可混淆,应从整体考虑。1999年7月国家保密局发出的“关于加强政府上网信息保密管理的通知”、1999年12月10号文“计算机信息系统国际联网保密管理规定”和1998年1号文“计算机信息系统保密管理暂行规定”均确定,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。
1996年11月原电力部、国家保密局752号文“电力工业中国家秘密及具体范围的规定”明确了电力工业中涉及的国家秘密和重要企业秘密,均必须参照国家有关保密方面的规定。
电力生产事关国计民生,电力系统的安全和保密都很重要,电力自动化系统要求可靠、安全、实时,而电力信息系统要求完整、保密。两种业务应该隔离,特别是电力调度控制业务是电力系统的命脉,一定要与其他业务有效安全隔离。
3.4调度自动化系统数据网络的安全防护策略
3.4.1数据网络的技术体制
规划数据网络技术体制和电力系统安全防护体系,应根据电力生产业务对数据网络安全性、可靠性、实时性方面的特殊要求,并遵照国家对单位和重要设施在网络安全方面的有关规定。首先应根据网络的规模、目的、服务对象、实时程度、安全级别等综合考虑,确定最基本的网络技术体制。
从应用和连接方式来看,企业内部网络有两类:一类是与公网完全隔离、在链路层上建立的企业内部网络一般称为专用网络;另一类是连接于公网、并利用公网作为通道的企业内部网。第一类网络除了面临来自物理层面的安全问题外,主要面临内部的计算机犯罪问题,如违规或越权使用某些业务、查看修改机密文件或数据库等,以及从内部发起的对计算机系统或网络的恶意攻击。第二类网络除了具有上述安全问题外,还要承受来自公网的攻击和威胁,由于公网上黑客、病毒盛行,网络安全的攻击与反攻击比较集中地体现在公网上。
由于电力调度数据网的服务对象、网络规模相对固定,并且主要满足自动化系统对安全性、可靠性、实时性的特殊需求,为调度自动化系统提供端到端的服务,符合建设专网的所有特征,所以电力调度数据网宜在通道层面上建立专网,以实现该网与其他网的有效安全隔离。
目前国家电力数据网同时承载着调度控制业务和管理信息业务,应当在将来通道资源允许的条件下,将现有电力调度数据网上的信息业务逐步分离出去,改造成为实时控制业务专用的数据网络。
电力系统中的光纤通信网络正在加紧建设,采用光纤+SDH+IP模式容易实现对不同IP应用业务之间的物理隔离,具有较高的传输效率,能满足控制、保护等电力系统的关键业务的要求,便于调度部门能对网络进行有效监控,并便于通信部门对外出租带宽。因此用光纤+SDH+IP模式建立调度数据专网是一个适当的选择,可以很好满足电力系统的下列要求:
(1)数据传输的实时性(继电保护毫秒级,自动化秒级),要求网络层次简化。
(2)传输的连续性,通信负荷基本恒定,需要恒定带宽。
(3)远方控制的可靠性(遥控、遥调、AGC等),要求有效隔离。
(4)因特网时代的安全防护体系(防黑客、防病毒、防破坏等)。
(5)网络拓扑结构必须覆盖远离城市的电厂、变电站。
(6)充分利用SPDnet的现有设备,节约大量资金,便于平滑过渡。
3.4.2调度专用数据网络的安全防护措施
调度专用数据网除了传送EMS数据外,还传送电能量计量计费、水调自动化、电力市场信息和调度生产信息(工作票和操作票、发电计划和交易计划、负荷预报、调度报表、运行考核等)。应根据各类应用的不同特点,采用不同的安全防护措施,如EMS等实时控制业务具有较高的优先级,应该优先保证,生产信息的优先级次之,而电力市场信息须进行加密处理等。
采用调度专用网络体制使数据网络在网络层的的安全得到最大程度的保证。但也不能保证100%的安全,对调度数据专用网络还必须做到技术措施和管理制度双管齐下,才有可能从根本上保障信息和控制系统的安全。在管理制度方面,要做到:
(一)对全网实施监管,所有与电力调度数据网连接的节点都必须在有效的管理范围内,保障安全的系统性和全局性。
(二)加强人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。
(三)加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络及系统安全作为经常性的工作。
(四)聘请网络安全顾问,跟踪网络安全技术。
在技术措施方面,要做到:
(一)在网络传输层,为了保证数据网络的安全,又能向外传输必要的数据,必须坚持调度控制系统与调度生产系统之间、调度生产管理系统与企业办公自动化系统(OA/MIS)之间有效安全隔离,它们之间的信息传输只能采用单向传输的方式。常采用的措施包括防火墙、专用网关(单向门)、网段选择器等进行有效隔离。另外在调度数据专用网络的广域网和局域网上,根据不同的业务系统,还可采取以下技术手段:
(1)网络安全访问控制技术。通过对特定网段和服务建立访问控制体系,可以将绝大多数攻击阻止在到达攻击目标之前。可实施的安全措施有:防火墙、VPN设备、VLAN划分、访问控制列表、用户授权管理、TCP同步攻击拦截、路由欺骗防范、实时入侵检测技术等。
(2)加密通信技术。该措施主要用于防止重要或敏感信息被泄密或篡改。该项技术的核心是加密算法。其加密方法主要有:对称型加密、不对称型加密、不可逆加密等。
(3)身份认证技术。该项技术广泛用于广域网、局域网、拔号网络等网络结构。用于网络设备和远程用户的身份认证,防止非授权使用网络资源。
(4)备份和恢复技术。对于网络关键资源如路由器、交换机等做到双机备份,以便出现故障时能及时恢复。
(二)在系统和应用层面,包括计算机防病毒技术、采用安全的操作系统(达B2级)、应用系统的关键软硬件及关键数据的热备份和冷备份等。防病毒技术和备份措施是通常采用的传统安全技术,而安全的操作系统是一个新的发展趋势。
4.结论
电力调度数据网络是调度自动化系统的支撑平台,网络安全是系统安全的保障,专用数据网络是整体安全防护体系的基础,专网体现在网络互联、网络边界、网络用户的可管性和可控性。目前,国际上正在制定相应的自动化系统网络安全标准,国内也开始进行相关课题的研究,对于调度自动化系统及数据网络的安全防护措施,首先应在网络技术体制方面,采用光纤+SDH+IP的数据专网模式,在全系统实现电力调度专用数据网络与其它公用信息网络、电力生产控制系统与办公自动化系统等的安全隔离,同时在调度专用数据网及各相关应用系统上采取必要的安全防护技术手段,建立严密的安全管理措施,以确保电力调度系统和电力系统的安全。
参考文献:
1.余建斌.黑客的攻击手段及用户对策.北京:人民邮电出版社,1998年
2.OthmarKyas著.王霞,铁满霞,陈希南译.网络安全技术-风险分析、策略与防火墙.北京:中国水利水电出版社,1998年
3.赵遵廉等主编,电力市场运营系统,北京:中国电力出版社,2001年1月
4.辛耀中等,电力系统数据网络技术体制分析,电力系统自动化,2000年11月
列车调度指挥系统用于保障铁路行车的安全,而安全问题又是铁路行业的头等大事,由于铁路与网络的联系愈加紧密,保障列车调度指挥系统安全就尤为重要。其系统网络安全主要是中心服务器安全和网络安全。另外列车调度指挥系统使用以太网来传输各种调度信息,网络内部广泛采用的协议是TCP/IP协议,TCP/IP协议为实现网络信息的共享和传递起了举足轻重的作用,虽然一定程度上可以维护网络安全,但还存在一些安全漏洞:
a.身份认证方式的安全性较弱,口令容易被非法窃取。
b.机密信息和数据在传输过程中有可能被恶意篡改或被非法窃取。
c.信息可抵赖。
例如行车路线、生产计划等电子文件一旦被一方所否认,另一方没有已签名的记录作为仲裁的依据。就以上存在的安全问题可总结出系统网络受到的危险和风险为:网络病毒的传播;地址欺骗;序列号攻击;利用端口扫描、拒绝服务攻击等恶意攻击。虽然现在网络中存在安全机制,但没有一种安全策略是十全十美的,必须制定灾难恢复计划以确保一旦硬件和软件发生故障、系统受到恶意攻击时,能够及时采取应对措施,及时将列车调度指挥系统恢复正常运行,减小损失[3]。
2列车调度指挥系统网络的维护方案与管理
实施时应将管理与技术两手抓,具体方案和措施如下:首先,管理层面应考虑管理制度的建立、管理的组织及运行中的维护。系统安全不可能只从单个层面或单个环节就可解决,必须全方位多层面配合进行,建立统一的安全策略,完善管理制度,坚持运维。统一的安全策略可以规范整个系统的管理流程和管理方法,便于管理的组织和实施,而只有坚持运维才能够保证系统长期、稳定、有效的运行。其次,在技术层面应注意物理安全、网络安全、系统安全及应用安全等方面,在使用中,技术层面的安全问题分界模糊,可以交叉实现,具体可由以下几方面入手:
a.防火墙。
防火墙技术是实现子网边界安全的重要技术。可以将整合了多功能的防火墙作为核心设备在网络中取代路由的位置,这样可以有效防护来自网络层和应用层的威胁,并且还能降低网络的复杂性。
b.网络防病毒系统。
列车调度指挥系统由网络服务器、通信传输设备及车站终端机等设备组成。使用统一安全策略的集中安全管理中心对病毒进行统一管理,对客户端和服务器进行防病毒保护,并且使用云安全技术,利用大量的客户端对网络中软件行为的异常监测,及时的获取木马、恶意程序的最新信息,并将获得的信息推送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端,以实现系统的网络安全维护。
c.网络拓扑结构。
利用网络分段技术划分vlan,改变网络拓扑结构,以实现系统网络中生产网、办公网和广域网的隔离,确保网络资源与非法用户的隔离,是一项基本的网络防护措施和保护手段。
d.身份认证系统。
目前采用的以静态密码为主的身份认证系统存在安全隐患,用户名及密码容易被窃取,安全风险很大。使用动态口令可解决此类安全隐患
e.入侵检测技术。
入侵检测的主要功能是控制对网络的非法访问,通过监视、限制通过网络的数据流,防止外对内、内对外的非法访问,隔离内部网和外部网,为监视局域网安全提供便利。入侵检测系统(IDS)是从计算机系统及网络系统当中收集数据信息,再通过这些收集的信息,分析有入侵特征的网络安全系统[4]。IDS不仅能检测出系统中违反系统安全规则或者威胁到系统安全的行为,还可以有效地弥补防火墙的被动防御弱点。当系统受到攻击时采取相应的措施进行有效的网络安全防护,在被入侵攻击后,收集入侵攻击相关的各种信息,作为防范系统的知识,添入策略集,增强系统的防范能力,避免系统再次受到同类型的入侵[5]。
3结语
【关键词】企业网络安全;风险分析;对策
一、网络结构安全风险分析及对策
1、外部网络安全分析及对策
企业网络通常与外部网络连接,方便企业员工与外界互连。但由于网络涵盖面广,外网中存在太多的不安全因素,如果系统内部局域网与系统外部网络之间没有采取安全防护措施,内部网络很容易遭到来自外部网络一些入侵者的攻击,这些攻击或影响企业网络系统的正常运行或使资料泄漏,所以可以采取以下的网络安全措施:
(1)加强网络结构设置:为了加固网络结构可以将网络结构设置为如图1所示的结构:
第一道安全防线:外部防火墙抵挡外部网络的攻击。第二道安全防线:DMZ区域的堡垒主机。堡垒主机作为进入内部网络的一个检查点,把整个网络的安全问题集中在堡垒主机上解决,从而省时省力,不用考虑其它主机的安全问题,能进一步抵挡外部网络的攻击。第三道安全防线:内部防火墙。负责管理DMZ区域主机对内部网络的访问,并管理所有内部网络对DMZ区域的访问。通过以上网络结构的设置,非法用户必须经过三个独立的区域才能到达内网,加大了入侵者攻击的难度,加固了内部网络的安全性,但网络运维的成本相对较大。
(2)加强员工的网络安全意识:内网用户所遭到的攻击多来自于木马、病毒和网络钓鱼,而让这种攻击得逞的原因是内网用户点击了不安全网站、木马绑定的图片或文件,所以加强员工的安全教育,对于保障网络安全非常重要。
2、内部网络安全分析及对策
企业网络内部攻击相对于外网入侵要略显容易,大约有70%~80%的网络攻击来自于网络内部,所以企业面临的最大网络安全威胁是在办公室内部。常见的内部局域网威胁包括:误用和滥用关键敏感数据;内部人员故意泄漏内部网络的网络结构;内部不怀好意的员工通过各种方式盗取他人信息传播出去。针对以上内部网络安全问题,可以采用以下安全措施:
(1)软件管理:启用内网监听软件、加强内网的监控;固定企业内客户端的IP地址、加强用户的管理;查看服务器日志文件,保护内网安全。(2)硬件管理:网络设备中包含路由器、交换机、防火墙等。首先应注意保障硬件设备的物理安全,将其安置在相对安全的地方,不要安置到所有员工都容易接触的地方;其次管理人员应正确理解硬件设备的应用,避免由于疏忽或不正确理解而使这些设备安全性不佳。
二、网络操作系统安全风险分析与对策
目前常用网络操作系统有windows、UNIX、linux操作系统,这些操作系统开发在过程中要考虑到方便用户使用,但在方便使用的前提下也暴露出一些问题:(1)操作系统默认配置存在安全隐患:如Windows操作系统默认设置可以从光盘或U盘启动,这种设置可以避开登录密码直接进入操作系统,另外操作系统默认安装了一些不常用的服务和端口,为非法用户的入侵提供了便利。(2)操作系统支持在网络上共享数据、加载或安装程序,这些功能方便了非法用户注入和运行木马程序,为获取用户的信息提供了方便之门。(3)操作系统自身结构问题,如:windows操作系统自身提供的IPC$链接、远程调用等都存在安全隐患。IPC$链接是通过DOS界面在获得管理员权限的前提下获得远程计算机的信息;ftp服务传输过程为明码传输,使用抓包工具即可获取FTP服务器的登录账号和密码,telnet远程登录需要经过很多的环节,中间的通讯环节可能会出现被人监控等安全问题,所以为了加固网路操作安全可以采用以下措施:
1、加强物理安全管理 禁止通过DOS或其它操作系统访问NTFS分区。在BIOS中设置口令,禁止使用U盘或光驱引导系统。
2、加强用户名和口令的管理 windows操纵系统Administrator管理员用户和Unix/Linux操作系统root特权用户均具有对操作系统的完全控制权限,所以是入侵者想要获取的信息。用户名保护:Windows非管理员账户在输入密码错误后可设置成锁定该用户,但是Administrator不能删除和禁用,所以攻击者可以反复尝试登陆,试图获取密码。为了增加攻击者获取管理员权限的难度,可以为Administrator重命名,这样攻击者不但要猜出密码,还要先猜出管理员修改后的用户名。Root用户不能更名,为了保护该用户,在没有必要的情况下,不要用root用户登录本机及远程登录服务器。密码保护:密码设置应按照密码复杂度要求设置并定期更换密码,同时密码的设置不要用普通的英文单词或比较公开的信息如生日、车牌等。
3、加强用户访问权限的管理 有些管理员为了方便用户访问文件系统,为用户开放了所有权限,如windows操作系统中为everyone工作组授予了“完全控制”权限,UNIX/Linux操作系统为所有用户设置读写执行权限,这样的设置方便非法用户上传木马,所以为了文件系统的安全,必须重新设置文件系统的权限,在保证正常运行的前提下,为用户设置最小的访问权限。
4、加强服务和端口的管理 当用户开启操作系统后,操作系统自带的某些服务会自动运行,而非法用户会针对这些服务进行远程攻击,而一些不常使用的端口也容易被非法用户利用,作为再次入侵的后门,所以应该将不常使用的服务和端口关闭。
三、数据安全风险分析及对策
企业网络的数据安全不可避免的受到外界的威胁,而数据的任何失误,都可能对企业带来巨大的损失。目前数据泄漏的主要途径是:办公计算机或硬盘的外带;利用移动存储设备将数据带出;通过网络传输文件;通过外设拷贝数据;服务器被非法入侵等。为了防止企业数据泄露可以采用如下措施:
1、磁盘加密 针对硬盘丢失或被盗造成的泄密风险,可以通过对磁盘驱动层的加密加固处理,保证硬盘在被非法外带或丢失后呈“锁死”状态,硬盘内容无法被他人所读取。
2、移动存储设备使用管理 对于移动存储设备设置加密写入,即拷贝到该类设备的文档都会以密文形式存在,密文只有拷贝回本地计算机才能解除加密。
3、文档传输控制 对于文档传输可以采取文件外发对象控制(指定可以外发文件的对象列表)、文件外发加密(外发的文档处于加密状态)、文件外发审批(外发的文件需要经领导审批方可发送)等形式进行控制。
关键词: 信息安全 网络安全管理 问题与对策
谈到“安全管理”,很多人首先想到的可能是“网络安全”。其实安全管理不仅仅只是网络安全,网络安全只是其中的一部分,我们必须要把“网络安全”上升到“信息安全”的高度,只有有效地实现了信息的安全,才能算做好了安全管理工作。原因很明显,如果只是网络被破坏,那只要花一定金额的钱就可以重建网络,最多只是需要时间而已,其损失可以被估量。而如果关键信息或重要信息被丢失、破坏,那后果是及其严重的,因为很多重要信息无法被重构,花再多钱也无用,并且其产生的负面影响非常重大。
所以,我就安全管理中的几个重要的问题展开讨论,并就解决该问题的对策进行更深一步的研究。
1.首要问题:人的因素
1.1安全管理中的两类人员
可能会有很多人有疑问,人怎么会成为安全管理中的首要问题呢?当然,这里的“人”包括两类:一类是内部的管理人员或合法接入内网的外部人员;另一类是外部的攻击人员。其中最重要的,也是“人”之所以成为“首要问题”的原因的是第一类人员;而第二类人员可以归结为网络安全技术问题之一。
其实只要设想一下就可以明白:对某个网络,不管其结构、大小,假如说通过一定的技术手段,它已经成为“铜墙铁壁”,这时它够安全吗?记得有这样一句话:堡垒最容易从内部被攻破。也就是说,如果网络的内部工作人员甚至管理人员出了问题,再坚固的铜墙铁壁也只是薄纸一张。对于网络管理员,可能他有意制造了网络安全问题――严重的可能成为计算机犯罪;也许他是无意的――由于技术水平的问题,可能他在无意之中将网络的后门洞开。同样对于合法接入内网的外部人员,由于他“混”入了“信任域”,也可能会因此而使大量IT设备瘫痪。
上面所述就是信息安全管理工作成败的关键因素之一,人的因素――来自内部职工或其它合法使用信息者的内部滥用。
1.2一个非典型例子
2002年10月29日,苏州市沧浪区人民法院对一起破坏计算机信息系统的案件依法作出了判决。这是江苏省首例破坏计算机信息系统案件。
5月18日,被告人罗露利用其事先从客户端SQL Server企业管理器中获取的江苏省普通高中会考办公室FTP站点服务器的IP地址、帐号用户名,以及密码,先后两次使用Leapftp软件非法登录至江苏省中小学信息技术等级考试网站(江苏省普通高中会考办公室专用服务器),执行删除文件命令,共删除了100个数据文件,这些文件均系江苏省中小学生信息技术等级考试考生成绩文件,造成85所学校9991名考生的成绩被删除。后经江苏省普通高中会考办公室组织各考点将备份文件重新上传,方将数据恢复。
此例中的事主尽管并非服务器的直接管理者,但他也是管理者之一,否则一般是不可能接触到用户名和密码的。可以看出,此类事件一旦发生,后果不堪设想。
1.3解决对策
对于解决这个问题的对策,说简单也简单,说有难度也是有难度的,关键在于制度的健全及管理的到位。制度的制订可能是比较容易的,但要考虑它是否真的用于了管理,是否真的适合于管理(是否切实可行)。管理说起来也是简单的,但要看它是否真的严格执行了制度,有没有敷衍了事。非常重要的一点,就是对网络以及网络管理者的监控机制(也属于管理范畴),特别对于网络管理者也要有相应的约束机制。
在舆论宣传方面也可以下点功夫。网络发生安全危机,多数因为内部人员本身没有具备基本的网络安全常识,导致黑客们有机会入侵计算机,达到破坏的目的。因此,我们有必要提高上网人员的网络安全管理意识,强化网络道德、网络心理、网络“国家安全”和网络法制教育,使大家都能意识到自觉维护网络安全的重要性和紧迫感,并且自觉遵守有关网络安全的法律法规,从而自觉地维护网络安全。
2.相应软硬件以及安全技术
2.1选择符合当前网络管理要求的硬件设备
多年前横行网络的ARP攻击应该都还是记忆犹新的。
计算机软硬件的发展日新月异,网络的发展也是一样。所以较早建立的网络设备可能跟不上网络的发展,在应付新的网络突发事件的时候往往显得力不从心。早期的局域网建设一般比较简单,网络设备一般是集线器,最多也是一些没有管理功能的二层交换机,局域网的规模一般也较小,一般局域网内的机器都放在同一个C类网络中。在这种情况下,发生ARP攻击是在所难免的。并且由于发生ARP攻击时往往只要一台机器中招,都会引发局域网瘫痪。解决ARP攻击的方法有软件的也有硬件的,但根本的解决方案还是需要相应网络设备的支持,要对那些不符合当前网络管理要求的设备进行升级改造,然后再辅以适当的网络配置管理方案。
2.2网络配置管理技术
对于局域网,网络的拓扑结构很重要。网络中所必需的接入交换机、汇聚交换机、核心交换机、防火墙设备、上网认证设备等所处的位置,以及相互关系,还有局域网内IP地址的分配,VLAN的划分等一整套配置信息与信息网络安全是息息相关的。
所以,在相关网络硬件设备的支持下,我们更应从技术应用层面考虑,通过各种安全技术手段来监督、组织和控制网络通信服务,以及信息处理,确保计算机网络的持续正常运行,并在计算机网络运行异常时能及时响应和排除故障。
2.2.1运用VLAN(虚拟局域网)技术
VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。VLAN技术的核心是网络分段,根据不同的应用业务和安全级别,将网络分段并隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、交换机、网关或防火墙等设备进行连接,利用这些中间设备的安全机制来控制各子网间的访问。
除此之外,有些子网,如财务网络、人事网络等,如果管理者觉得有必要的话,干脆就把它和主干网络从物理上断开。因为VLAN之间通过一定的安全策略还是可以互访的,而采用物理断开的方式实际就是做了两个互不交叉的网络,理论上更安全。
2.2.2使用防火墙技术
防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于内部网络与外部网络的中间,保障着内部网络的安全。防火墙是实现校园网络的安全保护最有效的一种方法。目前,比较成熟的防火墙技术主要有两种:包过滤技术和服务器技术。采用防火墙技术最主要的是安全规则的设置。我们应通过防火墙规则设置对网络数据包的协议、端口、源/目的地址、流向进行审核;只打开必须的服务(如:HTTP、FTP、SMTP、POP3等)以及所需其他服务;对办公网用户进行流量控制;进行时间安全规则变化策略,控制内网用户访问外网时间;设置IP地址MAC地址绑定,防止IP地址欺骗;定期查看防火墙访问日志。
端口映射其实就是NAT地址转换的一种,这里特指静态端口映射。就是在防火墙(或其它相应设备如路由器)上开放一个固定的端口,然后设定此端口收到的数据要转发给内网哪个IP和端口,不管有没有连接,这个映射关系都会一直存在。例如,将内网192.168.1.2的80端口和外网221.224.80.254的80端口进行映射,则访问221.224.80.254就是直接访问192.168.1.2。这里除了可以实现“一址(一个公网IP地址)多用”外,更重要的是把不需要对外的端口封闭了,提高了安全性。例如,“远程桌面”默认的端口是3389,攻击软件如果扫描到3389端口开着,那这台计算机就悬了,但如果端口映射时映射成另一个端口会怎么样呢?
2.2.3使用反病毒技术
计算机病毒、恶意代码、特洛伊木马等是影响网络安全的另一个重要因素。面对泛滥的计算机病毒,为保证计算机、计算机网络的安全,应该采取的措施是:一是要制定反病毒策略,部署多层防御战略,所有计算机(服务器)都安装杀病毒软件,最好是统一的网络版杀毒软件。二是要定期更新反病毒软件,及时更新病毒库,使用专业正版杀毒软件对网络服务器中的文件进行扫描和监测。
2.2.4采用入侵检测系统
入侵检测系统(IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备,是一种不同于防火墙的主动保护网络资源的网络安全系统,是防火墙合理和必要的补充。IDS能够实时分析内部网和外部网的数据通讯信息,分辨入侵企图,在网络系统受到危害前以各种方式发出警报,并且及时对网络入侵采取相应对策最大限度地保护网络的安全。
3.信息网络安全中的“木桶效应”
所谓“水桶效应”是指一只水桶想盛满水,必须每块木板都一样平齐且无破损,如果这只桶的木板中有一块不齐或者某块木板下面有破洞,这只桶就无法盛满水。一只水桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。“水桶效应”也可称为短板效应。一个水桶无论有多高,它盛水的高度取决于其中最低的那块木板。
在信息网络安全管理中也是这个道理,组成木桶(网络安全)的各块木板(管理制度、安全策略、安全架构等)都不能出现问题,各块木板之间也不能出现缝隙,任何一方面出了问题,则这个网络就可能是不安全的。
事实上,到目前为止,也没有哪一种技术、哪一款产品能够满足产生这样一个“完美”的木桶的要求。
校园网络安全问题是一个复杂的系统工程,信息对抗与安全永无止境,信息网络安全也不可能绝对一劳永逸。因此,加强信息网络的安全管理是当前非常迫切、充满挑战性的任务。网络的安全威胁既有来自内网的,也有来自外网的,只有将技术和管理都重视起来,才能构筑一个相对更加安全的网络,使网络朝着健康的方向发展。
参考文献:
[1]付忠勇.网络安全管理与维护.清华大学出版社,2009.6.
《瑞星2010中国企业安全报告》数据指出,2010年,高达90%的传统企业内网(仅计算与互联网连通的企业网络)曾被成功入侵。
对于与互联网有大量信息交互的政企部门来说,瑞星防毒墙与杀毒软件“强强联合”,能够为其提供专门、专业、一体化的防病毒安全防护。
缺乏整体反病毒防护 政府网站倍受病毒困扰
某局内部设多个部门,并且有9个直属下级单位,其网络分为内网和外网:
内网――总局内的各职能部门办公使用,其中要处理的信息包含很多信息,并被下属单位相关部门用于向总局报送数据,发送邮件、传送文件;
外网――该局的门户网站,主要向社会公众提供公共信息查询,政策法规,政务信息公开以及政府办公使用。
与外界联系的增多,来自互联网的威胁(主要包括病毒和恶意攻击)显著增加,给单位内部与下属单位以及各职能部门之间日常的邮件通信、公文传输带来了更大的安全风险。此外,内网中重要的服务器也需要专门的防病毒保护,因此需要在互联网的入口处和内网中采取必要的防病毒、防攻击安全措施。
瑞星“综合立体防毒”整体解决方案
瑞星整体安全解决方案借鉴最新的安全思想,从“综合立体防毒”的观点出发,帮助该局建立一个覆盖全网、可伸缩、抗攻击的防病毒网络,对网关处部署防毒墙,构建病毒防护屏障。
在采纳了瑞星安全专家的建议后,该局同时在其网络外部和内部署了瑞星RSW-9300防毒墙。
外部――一台瑞星防毒墙部署在外网与互联网连接的边界,用于阻止来自互联网的威胁和攻击,保护外网中的WEB服务器和外网中用户终端的安全。
部署方式:网桥接入。这样接入的优点是:
1.对原有网络结构无影响;
2.安装方便,防毒墙配置相对简单;
3.可以通过网桥管理IP直接管理,无须另接管理口。
内部――内网部署多台瑞星防毒墙,在该局上级单位与各下属单位网络边缘分别部署一台防毒墙,不仅保证网络间传输数据的安全,而且可以实现对各办公网间传播的病毒进行查杀、过滤和拦截,有效防止病毒在全局网络的爆发,保障全局业务系统正常运行。
部署方式:网桥接入。外网使用网桥接入的优点是:
1.对原有网络结构的无影响;
2.支持集中管理,策略统一配发;
3.可以通过网桥管理IP直接管理,无须另接管理口;
4.对整个网络系统中的病毒进行过滤和查杀,清除已经进入网络的病毒,阻止病毒的相互传播;
【关键词】网络协议;安全系统;方案设计
1 引言
易连科技科技有限公司(Ningbo Ocean Network Technology)是一家专业生产机械塑料类产品。公司成立于1994年,地处境里发达的沿海城市—宁波。按照易连科技有限公司的网络建设规划和总体要求,我们计划对易连科技有限公司的网络在利用原有综合布线系统和设备的基础上,重新规划实施,建设易连科技有限公司的企业内联网,以满足网络整体性能的要求,并为各种网络服务和信息系统的使用提供运行良好的网络平台。
按照易连科技有限公司的网络建设规划和总体要求,现在将对易连科技有限公司新购的和原有的Cisco公司的设备进行相关的配置和实施,使易连科技有限公司网络满足设计的要求,实现高效的办公网络体系。将网络复杂化,分层化,满足发展的易连科技有限公司信息化的要求,并具有一定的可扩展性,满足企业分公司和总公司的员工增长的要求。
易连科技有限公司实施阶段分为五部分,分别是交换机部分,路由器部分,服务器部分,广域网部分和网络安全性部分。
易连科技有限公司地处发达的沿海城市—宁波,该公司通过网络来发展业务。随着该公司业务量的不断扩展,公司的规模不断扩大,员工人数的不断增加,并要在温州建立一个分公司。现有的网络系统逐渐不能满足企业信息化建设的要求。因此计划对宁波总公司的局域网与温州分公司网络进行改善,以提高网络的可用性,安全性,可靠性,并具有一定的可扩展性要求,用来满足企业业务发展的需求。
2 需求分析
(1)企业网络需求
宁波总公司和温州分公司的局域网络通过路由连接成一个统一的企业内联网,满足易连科技有限公司对网络统一管理的要求。宁波总公司和温州分公司的路由器相连,计划使用OSPF(开放最短路径优先协议)作为路由协议。选用OSPF的好处在于OSPF作为链路状态协议已成为业界标准,在各厂商中具有广泛的支持基础,并且具有路由信息传输的可控性和路由链路负载均衡的能力。
(2)企业系统的总体需求
温州分公司通过专线连接到宁波总公司网络,使用总公司的单一出口访问因特网,以提高网络的安全性,而且公司的服务器等全部在宁波总公司实现,分公司只使用总公司提供的应用服务,不需要自己建设。
出口处配置防火墙,出入因特网的通信流量都必须经过防火墙的过滤,通过防火墙对易连科技有线公司的网络加以保护,并实现安全的控制。
宁波总公司局域网部分在网络结构上分为3层,核心层,汇聚层和接入层,接入层交换机全部冗余上行链路,分别上联到2台汇聚层交换机,也保证了网络的安全性和可靠性。同时LAN部分会启用VTP和STP,实现VLAN的统一配置管理和环路避免。
(3)企业网安全总体需求分析
运行系统的安全,在宁波总公司应用HSRP对设备进行备份 。即保证信息处理和传输系统的安全,它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失。系统信息的安全,通过域环境管理用户账户,设置用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密;信息传播的安全,对非法、有害的信息传播后造成的后果,能进行防止和控制,避免公用网络上大量自由传输的信息失控。
(4)基于多协议的安全项目整体规划
此次易连科技有限公司网络建设将采用先进的计算机,网络设备和软件,以及先进的系统集成技术和管理模式,实现一个高效的办公网络体系。网络中的各类服务器设备和网络设备以及各种操作系统和应用软件必须考虑技术上的先进性,国内外及各行业的通用性,并且要有良好的市场形象和售后技术,便于维护和升级。
(5)设计原则
工程实施依照国家有关标准完成。项目设计应满足易连科技有限公司未来发展的要求,即公司规模扩大,本设计仍然能够满足公司运营的需求或方便的变更和升级。采用先进的,成熟的,业界标准的,在市场上有着广泛应用的技术。项目设计应遵循实用的原则,避免不切实际贪大求全。所有操作系统及应用软件采用正版软件。所有网络设备应是主流产品,保证所有设备均为新品并能提供良好的技术支持。工程实施严格按照合同规定日期完成并保证质量。工程实施需要提供详细的文档资料及配置手册。应提供完善的培训及售后服务。
3 多协议安全系统的设计与实现
按照易连科技科技有限公司的网络建设规划和总体要求,现在将对易连科技有限公司新购的和原有的Cisco公司的设备进行相关的配置和实施,使易连科技有限公司网络满足设计的要求,实现高效的企业办公网运行。将网络复杂化,分层化,满足发展的易连科技有限公司信息化的要求,并具有一定的可扩展性,满足企业分公司和总公司的员工的可扩展性。
易连科技有限公司安全系统的设计与实现主要为多协议的设计,分别是交换机VTP协议,STP和MSTP协议,HSRP协议,广域网协议和网络安全协议等。
(1)交换部分VTP设计实现
当易连科技有限公司网络扩大,交换机数量增多时,可以减少管理员的工作量,在维护整个企业网络上VLAN的添加,删除和重命名工作时,还可以确保配置的一致性。从而降低了为止的复杂度,大大减轻了网络管理人员的工作负担。
VTP版本为v1VTP域口令为SXY,VTP修剪设为启用,VTP Server包括SXY-SW3-1,SXY-SW3-2,SXY-SW3-3,VTP Client包括 SXY-SW1~5。
(2)交换部分STP的设计实现
生成树协议的原理是把网络拓扑的环形结构变成树型结构,最主要的应用是为了避免局域网中的网络环路,解决以太网网络的广播风暴问题,主要配置命令如下所示。
SW(config)#spanning-tree vlan ID priority 4096
SW(config)#spanning-tree vlan ID priority 4096
(3)Ethernet Channel以太网通道设计
EthernetChannel以太网通道通过链路聚合技术捆绑多条通道来提高整体带宽,并运行一种机制,将多个以太网端口捆绑成一条逻辑链路。
SW3-1(config)#interface range F0/6 - 7
SW3-1(config-if-range)#channel-group number mode on
(4)HSRP热备份路由协议设计实现
企业网络两台汇聚层交换机上启用热备份路由协议(HSRP),其设计目标是支持特定情况下IP流量可以从故障设备切换到其他设备上而不会引起混乱,并允许主机使用单臂路由作为网关,在实际第一条路由器使用失败的情况下,仍能保持与网络的连通。
SW(config)#interface vlan 10
SW(config-if)#standby 10 ip 192.168.110.1
SW(config-if)#standby 10 priority 120
(5)VPN专线技术设计
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
(6)网络安全性设计
防火墙位于易连科技科技有限公司总公司与外网之间。易连科技有限公司的所有网络通信通过进行流量过滤。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信。它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。所以,在易连科技有限公司网络中我们选择的防火墙是CISCO ASA5520,能更保证网络的安全性的要求。
参考文献:
