时间:2023-09-19 16:27:02
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全信息管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1落后的安全管理技术
现如今,计算机网络迅猛发展的同时,的确给人们带来了极大便利。但在一些领域也出现了很多问题。比如说,对于应用网络来进行管理的企业而言,网络故障一直是困扰各大企业的难题。对于一些网络管理,尤其是当工作领域达到深层次的管理,都会并且不可避免的遇到种种棘手的问题。面对这些无法逃避,而又必须解决的问题,首先要及时发现,及时排查,排除不利因素的干扰,这是属于及时处理的最重要的一步。因此,排除网络管理障碍的技术必须要加强,由于网络软件的罢工,导致管理体系无法正常运营工作,也不能及时找出解决方案,这就会在一定度上降低网络的工作进度,严重的制约着我们的企业发展。
2安全问题分析
(1)信息安全监测。信息安全监测工作在计算机工作过程中占据着十分重要的地位,它的成效影响着其他工作能否顺利进行。通过对安全的检测,网络系统的薄弱地区在很大程度上会被缓解,网络信息资源传播性之间的冲突也能得到缓解,此外,这将使网络信息安全的工作人员发觉安全隐患的效率提高,使问题得以及时处理,从而快速复原网络信息系统中的主要数据,是计算机的运行进入正轨。(2)控制信息访问。控制信息访问问题在整个计算机工作过程中起着主导作用。无论是信息资源的使用方还是信息资源的拥有方,二者之间若是想要进行网络信息通信的时候,都会为自己设定一定程度的访问控制要求。换而言之,把的资源信息与个人的信息进行合理的保存是信息安全防护系统所有工作的重中之重。
3网络信息安全防护措施
(1)合理配置防火墙。作为电脑隔离层的防火墙,它的作用就是将电台网络的内部信息与外部信息进行一定区分,保护与控制。我们可以从安全防范的角度来检测网络之间互相传送的信息,同时找出相应的安全及审查制约点,随之分析其是否存在互通性,以此来保护网络信息不受到外界非正式授权信息的威胁。除此之外,加强计算机网络的控制,监控网络通讯执行访问尺度也是必不可少的一步。确认好访问的人数,处理好计算机数据才能获得网络系统的进门卡,那些不被允许的人或者是一些其他的非法分子都会被拒之门外,另外,黑客等破坏计算机网络的行为要求我们及时拦截不法数据。(2)安全认证手段。在网络信息安全的措施中,数字信封技术发挥着极为重要的作用。以Hash为函数核心的数字摘要技术由于其严谨的逻辑性,可以充分保护电子商务信息的完整性。通过一系列对数字时间的实现,电子商务信息的有效性才得以保护。在现如今的商务平台应用中,数字签名技术无疑扮演了至关重要的角色。运用CA认证技术完成网络电子信息商务交易中对于每个人身份的鉴别与认证。
4结语
随着计算机网络应用在不同领域的迅猛发展以及局域网在世界各地的散布。网络信息技术不得不不断提升,在网络安全领域也有了更加严格的要求,针对攻破破坏性的网络病毒及黑客技术的措施也在渐渐增强。为了要加强网络安全的防范,维护电台网络安全,保证计算机网络运营正常,大家必须在提供防护技能的方面共同努力与研究。
作者:麦贤毅 单位:海南师范大学
关键词:企业网络安全;内网安全;安全防护管理
中图分类号:TP311 文献标识码:A 文章编号:1674-7712 (2013) 04-0069-01
一、企业网络安全防护信息管理系统的构建意义
据调查统计显示,源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右,网络安全问题大部分发生在企业内部网络,内部网络也是网络安全防护的关键部分。因此,对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击,这种方式只是将企业内部网络当作一个局域网进行安全防护,认为只要能够有效控制进入内部网络的入口,就可以保证整个网络系统的安全,但是,这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为,只有不断加强对企业内部网络的安全控制,规范每个用户的行为操作,并对网络操作行为进行实时监控,才能够真正解决企业内部网络信息资源安全防护问题。
二、企业网络安全防护信息管理系统总体设计
(一)内网安全防护模型设计。根据企业内部网络安全防护的实际需求,本文提出企业网络安全防护信息管理系统的安全防护模型,能够对企业内部网络的存在的安全隐患问题进行全面防护。
由图1可知,企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护,组成了多层次、多结构的企业内部网络安全防护体系,对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范,从而保障了企业内部网络信息资源的整体安全。
(二)系统功能设计。企业网络安全防护信息管理系统功能主要包括六个方面:一是主机登陆控制,主要负责对登录到系统的用户身份进行验证,确认用户是否拥有合法身份;二是网络访问控制,负责对企业内部网络所有用户的网络操作行为进行实时监控和监管,组织内网核心信息资源泄露;三是磁盘安全认证,负责对企业内部网络的计算机终端接入情况进行合法验证;四是磁盘读写控制,负责对企业内部网络计算机终端传输等数据信息流向进行控制;五是系统自防护,负责保障安全防护系统不会随意被用户卸载删除;六是安全审计,负责对企业内部网络用户的操作行为和过程进行实时审计。
(三)系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构,由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成,实时对企业内部网络进行安全防护,保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器,安全防护管理控制台发出指令,由安全防护服务器将指令传送给安全防护完成执行。
三、企业网络安全防护信息管理系统详细设计
(一)安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台,能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令,再传递给安全防护服务器,通过启动安全防护对企业内部网络计算机终端进行有效控制,制定完善的安全管理策略,完成对系统的日常安全管理工作。
安全管理人员登录管理控制台时,系统首先提示用户输入账号和密码,并将合法的USB Key数字认证设备插入主机,经过合法性验证之后,管理员获得对防护主机的控制权。为了对登录系统用户的操作严格控制,本系统采用用户名和密码登录方式,结合USB Key数字认证方式,有效提高了系统安全登录认证强度。用户采取分级授权管理的方式,系统管理人员的日常维护过程可以自动生成日志记录,由系统审计管理人员进行合法审计。
(二)安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递,作为一个信息中转中心,安全防护服务器还承担命令传递、数据处理等功能,其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此,安全防护服务器的设计不但要实现基本功能,还应该注重提高系统的可用性。
安全防护服务器的主要功能包括:负责将安全管理控制台发出的安全控制信息、安全策略信息和安全信息查询指令传送给安全防护;将安全防护上传到系统中的审计日志进行实时存储,及时响应安全管理控制台的相关命令;将安全防护下达的报警命令存储转发;实时监测安全管理控制台的状态,对其操作行为进行维护。
(三)安全防护设计。安全防护的主要功能包括:当安全防护建立新的网络连接时,需要与安全防护服务器进行双向安全认证。负责接收安全防护服务器发出的安全控制策略命令,包括用户身份信息管理、磁盘信息管理和安全管理策略的修改等。当系统文件已经超过设定的文件长度,或者超过了设定的时间间隔,则由安全防护向安全防护服务器发送违规操作信息;当其与安全防护服务器无法成功建立连接时,将日志信息存储在系统数据库中,等待与网络成功重新建立连接时,再将信息传送到安全防护服务器中。
综上所述,本文对企业内部网络信息安全问题进行了深入研究,构建了企业内部网络安全防护模型,提出了企业网络安全防护信息管理系统设计方案,从多方面、多层次对企业内部网络信息资源的安全进行全面防护,有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。
参考文献:
关键词:计算机;网络安全;管理
1计算机信息管理技术
1.1计算机的发展史
计算机就是我们平时使用的电脑,也是一种能够高速计算的电子计算软件,可以进行数值计算,也可以进行逻辑计算,更高级的还能进行存储记忆。计算机的发展始于1946年,世界上第一台电子数字计算机诞生于美国的宾夕法尼亚大学,那时计算机笨重,计算速度不快,计算质量也不高。随后出现了晶体管计算机,而晶体管的发明大大促进了计算机的发展,使得计算机信息管理又进了一步。后来出现了集成电路计算机,发展为大规模集成电路计算机。
1.2计算机信息管理技术现状
随着网络时代的到来,计算机信息管理技术的发展在经济社会发展中发挥着越来越重要的作用。网络能够给人们带来各种便利,但是也会存在一些问题。网络的使用利大于弊,应正确使用网络技术,据有关资料显示,目前有2/3的人在使用网络技术。
2加强计算机信息网络安全工作的重要措施
计算机信息管理技术在网络中的应用,安全化管理是首要解决的问题,要提升对其的关注,加强安全化管理,促进计算机信息管理技术的提升。
2.1提升安全防护意识
网络安全隐患在我国计算机信息管理中较为常见,这出现的原因是由于人们缺乏一定的安全防范意识,没有充分认识到网络安全的重要影响。为了促进计算机信息管理安全防护技术的发展,相关操作人员必须先提升防范安全意识,开展各项网络安全防护工作。只有将各项网络安全工作落到实处,才能促进计算机信息管理技术的快速发展。
2.2构建良好的网络安全机制
为了充分发挥计算机信息管理技术的优势,要逐步构建网络安全制度和网络安全信息系统,强化计算机信息网络的安全管理,加强安全管理信息技术监督,为网络的安全运行提供强有力的支撑和保障。当前较为常用的安全体系主要有数据包过滤、防火墙、数字签名、密钥加密、物理安全、身份验证、授权技术以及入侵检测系统等。应大力推广网络安全体系,做好推广,做好网络安全体系的长期规划工作。计算机网络安全是一项重要的任务,网络安全是其最为核心,也是最为关键的技术控制要素,要使用各种行之有效的措施促进网络安全体系的不断优化和调整,提升突发事件处理能力.
2.3做好网络安全分析防范管理工作
面对计算机信息管理技术的安全问题,不仅需要社会的协同合作,还需要国家的支持。国家要采取积极措施,防范计算信息管理安全风险。将网络信息安全漏洞共享平台、反网络病毒联盟组织等政府性和专门的安全风险组织团体联合起来,形成应对计算机网络安全风险的统一战线。通过这种方式,及时应对网络中出现的大规模安全问题,将网络攻击带来的损失降到最低。此外,国家还要及时做好网络不良信息防范工作,充分减轻网络带来的不良影响和隐患,促进网络安全技术的推广和使用,充分提高网络安全水平,实现我国计算机信息管理的又好又快发展。
2.4做好网络安全风险评估工作
对于网络安全分析的评估,要从以下几个方面出发:首先,对于网络安全事件的危害进行识别。其次,规范管理网络安全风险措施。最后,要对网络事件造成的风险进行评定。只有高效率地进行网络安全风险评估,才能在计算机的使用中及时发现潜在的安全隐患,及时对安全风险进行预防,对网络安全措施进行科学的优化和调整,促进网络的稳定运行,实现计算机信息管理技术的科学发展。网络安全问题凸显,计算机信息管理技术的应用应有效规避安全隐患。总之,只有采用有效的解决措施,才能促进计算机信息管理与网络安全防范能力的提升。
2.5做好操作系统的安全防护工作
操作系统是计算机信息管理技术运行的基础,对于计算机信息管理技术的发展具有十分重要的支撑作用。但是由于各种安全风险的存在,使得操作系统很容易出现各种安全漏洞和问题,存在较大的安全隐患。为了促进网络安全的健康发展,要提高对计算机操作系统安全的重视程度,及时做好防范,促进计算机网络安全性的提升。例如,可通过构建安全防护系统,及时发现计算机操作系统中存在的安全漏洞和安全隐患,采取科学措施对其进行及时的处理和修复,从而最大程度上防止各种病毒的入侵。此外,还要在管理网络中统一入侵检测、防火墙和VPN等安全产品,构建较为完整的安全系统操作日志,科学预防和应对网络中的各类安全风险。
2.6创建健全、安全的信息技术管理模式
创建健全、安全的信息技术管理模式,对于计算机信息技术的风险管理和安全防范具有重要的作用。为了构建健全、安全的网络环境,要落实具体的、详细的安全工作,制定周密的计划,促进健全、安全的计算机信息管理技术模型的建设。在计算机信息技术管理模式中,信息管理模型已初具雏形,得到了广大专家和政府的认可,不断推广和使用。在充分借鉴、研究的基础上,对安全化管理作出科学具体的规划,使用混合模式的安全化管理方式,加强对信息管理技术的控制,增强安全风险的防范意识,促进计算机信息管理技术在网络中的应用。
3计算机信息管理技术在网络安全中的应用探究
第一,不浏览非法网站,定期对个人电脑进行维修更新、查毒体检等。网络技术为我们提供了很多便利,网络资源丰富,如浏览器就有很多种,百度、搜狗、火狐等。用户在使用过程中,尽量不要打开一些非法链接,以免给用户电脑带来病毒,这样非法分子就会对电脑进行控制。用户的个人电脑应安装一些杀毒软件,比如电脑管家、360杀毒软件、360安全卫士等。经常给电脑进行体验、杀毒、更新,保证电脑的正常运行。第二,存储技术的安全对于一个国家、一个企业是最重要的工作之一。一般来说,我们的一些比较机密的文件都会存储起来,可是对于电脑、手机等这类高科技的系统来讲,一旦电脑或者是手机出现了破损或者丢失,那么我们存储的重要信息都可能将丢失。这样不管是对于企业、国家还是个人都会带来一定的损失,严重者还有可能产生无法估计的损失。所以我们在使用计算机信息管理技术的存储功能时,应该将其存储在专门的存储系统里面,这样就会很好的管理。第三,加密数据,入侵文件检测。目前,常见的安全管理技术主要有数据加密、密钥加密、身份验证、防火墙等。数据加密是为了有效存储一些机密文件,对数据进行更好的管理,需要在传输过程中,打开、存储过程中进行加密处理,这样就能更好地实现对数据的保密。而入侵文件的检测,就是为了保护网络的正常运行,阻止非法入侵者进入用户系统。这是一种由用户自己控制的计算机信息管理技术,也可简化网络管理员的工作。第四,电脑配置不高,就尽量不要安装过多软件。因为每一个软件在安装下载之后,电脑每次运行都会因为程序太多出现启动过慢、运行低效的问题,导致电脑卡顿。因此在使用电脑时,不要安装一些与工作无关的软件,保证电脑系统的干净与安全。
参考文献:
[1]游海英.探讨计算机网络安全与计算机病毒防范[J].电子测试,2017,(19):188-189.
应用软件的安全技术主要是有软件加密技术,首先利用指纹识别技术辨别合法与非法的软件,然后通过加密技术保护程序运行,最后利用反跟踪技术保护指纹识别和加密程序。操作系统的安全技术主要是包括软件加密和防病毒2种技术,用以保护WINDOWS和DOS等操作系统的安全。病毒主要通过移动硬盘、光驱和互联网传播,存在于文件中,所以完善防病毒的软件的功能,需要清楚病毒的传播途径和参数特征,通过扩充病毒防治软件,加强防病毒软件的检测和杀毒功能。计算机网络的安全技术包括有安全内核技术、Kerberos系统的鉴别技术和防火墙技术。其中安全内核技术是指删除操作系统中容易对系统安全造成威胁的部分,这样能直接有效地保护操作系统的安全。Kerberos系统的鉴别技术是一种验证保护的技术,用户在对网络提出访问的时候首先要经过Kerberos系统的身份验证。合法用户在通过验证后还需要经过访问权限的验证。这种系统被普遍应用于分布式的计算机中,能够安全有效地保护计算机的网络安全。防火墙技术主要包括服务器、数据包过滤、网络反病毒技术和SOCKS协议这几种。防火墙技术是计算机网络安全技术中最为常见的一种,研究和开发的重点主要是多级过滤、系统和加密鉴别技术。
2计算机网络在煤矿企业中的应用
2.1智能综合调度指挥系统
煤矿综合调度系统是在自动化控制、多媒体信息技术和计算机网络技术的基础上,将企业的采矿、挖掘、机械、运输、生产系统的调度信息和监测系统的视频图像和数据信息进行有机地结合,综合处理数据,并存储和传输到数据库,形成一个建立在计算机网络基础上的调度系统。这种智能的煤矿综合调度指挥系统,能够实现对煤矿井下工作的实时监控,掌握井下的生产状况,发现问题可以及时有效地进行调度,既能减少和避免出现人员伤亡,又能够实现企业生产效益的最大化,充分体现了基于网络的综合调度的集中化和可视化。
2.2煤矿安全监测系统
在计算机网络技术的基础上建立的分布式煤矿安全监测系统,通过智能网络监测和自动报警系统能够实现对整个煤矿生产区域的全程监控,对井下的安全通风和火灾、毒害气体等危险情况进行监测和报警。监测系统利用摄像头和视频服务器等设备与网络的连接,可以形成网络化的自动监控。另外也可以与原有的监测系统进行合并,实现更为严密的监控,做到统一管理。
2.3基于网络的数据库应用
基于网络的数据库信息管理系统,是将煤矿企业的生产、运输等数据信息全部存储至数据库以后,再通过网络对数据进行共享,工作人员可以对数据进行统一整理和分析,然后分级调用至各个部门。既能够实现对企业数据的严格统一管理,又能够方便管理者共同决策,达到资源共享。
2.4矿井生产集控
矿井生产集控主要依靠自动化控制系统、多媒体设备和煤矿井下的在线监测系统的配合,利用智能接口与设备连接并连通网络,形成井上井下的交互智能控制系统。(1)将煤矿井下的自动定位系统、人员跟踪管理系统、无线通讯系统和自动监测系统进行连接,通过井下信息与井上管理系统的交换,可以达到图像采集、数据统计和在线监测的效果,并且可以自动检测井下的安全状况自动报警,保证了煤矿井下的安全生产。(2)矿下机车场管理系统,基于PLC智能远程控制的车场管理系统,能够通过网络自动控制、机车通行监测、道路故障检测和修复、自动报警和自动指挥系统,对井下的机车运行进行有效管理和控制,保证机车工作状态良好,以及车场秩序的安全。(3)通过井下无线通讯系统、井下通风实时监测系统、移动多媒体设备、人员自动跟踪定位系统、矿下机车场管理系统、皮带运输监控子系统、主副井提升机运行监视系统、供电网络运行监视系统、矿灯智能使用监视系统、提升机运行监测系统、风机在线监视系统等的相互配合,并通过网络资源共享,可以通过远程控制和自动化管理对煤矿井下的工作进行有效管理,既安全又高效。
3煤矿安全信息系统的构建
3.1初步构想
要构建一个满足煤矿企业需求的安全信息系统,必须考虑煤矿企业生产经营特征,综合起来应该符合以下条件:①应当考虑系统的安全性;②最好是与原来的系统进行集成;③可以将平台和工具进行自由组合。由于.net环境的平台开放,能够满足web应用程序开发的需要,并且能够支持客户端使用任意浏览器,功能强大。为了满足以上条件,初步考虑选择.net技术作为建立煤矿安全信息系统的开发环境。
3.2煤矿安全信息系统分析
在.net的开发环境基础上,煤矿安全信息系统还需要服务器、信息网络、网络浏览器、工作站以及监控系统作为硬件环境支持。分析图1可以看出,工作站和服务器是系统的2个功能模块,工作站是系统与计算机的交互接口,负责图形以及报表等数据信息的输入、显示计算机的计算结果,以及将监控系统的数据传入服务器等;而服务器则是数据处理端,负责将系统接收的数据进行统一的计算和处理,并向工作站发出相应指令。为了解决安全联网的问题,企业可以将原有的安全监测系统进行改造,与电网监测、生产监控和网络管理系统进行集成,形成新的安全信息管理系统。由图2可以分析出系统的功能如下:(1)数据信息传输,其中有煤矿井下各个工作通道的通风结构和通风系统的数据信息等;(2)实时在线监测数据的显示,监测系统与通风系统的数据相结合,在线显示煤矿井下的CO2、瓦斯、CO等危险气体的体积分数动态变化数据,煤矿井下主要工作通道的温度和风速等的变化情况,井下通风设备的工作状况和运行状态,测得的风量等等,综合以上参数来判断煤矿井下的安全状况;(3)用户管理系统,主要负责对局级管理系统下的用户进行添加、删除以及用户账户安全的管理,并且根据用户的级别进行分类管理,利用不同的登录系统控制不同级别用户的操作权限;(4)信息资源网络共享,通过将数据信息在web上进行共享,企业管理人员可以共同决策,并且系统管理人员也可以根据企业的运行状况,对数据库、办公软件和其他应用程序进行合适的调整和修改,使系统更加完善。
4结语
关键词:电子政务外网 安全管理平台 SOC 安全策略
一、前言
国家电子政务外网作为一个支持跨部门和地区业务应用、数据交换和信息共享的电子政务建设的新生事物,尽管其建设规模还不大,建设时间也不长,但在国家有关部门的指导和支持下,依靠各部委和各地的通力合作,它已经充分展现了一个创新性网络巨大的活力,开始得到了各部门和各地的重视和关注。目前,已有30多个部门的系统平台接入政务外网,例如国务院应急办国家应急平台外网系统、自然资源和地理空间基础数据库、文化部文化信息资源共享平台等一批关系国计民生的重要系统接入政务外网。从政务外网建设及应用情况来看,各部门对政务外网的需求是紧迫的,同时也对政务外网的安全性有了更高的要求。
二、国家电子政务外网安全管理平台概述
如何对国家电子政务外网的安全进行有效的管理,如何保证利用政务外网开展业务的应用系统的安全性,是对负责政务外网网络安全的人员管理能力的一种考验。传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散、互不相通,安全策略难以保持一致。因此这种传统的管理运行方式成为许许多多安全隐患形成的根源,很难对国家电子政务外网进行统一的、有效的安全管理。
国家电子政务外网安全管理平台(Security Operation Center,SOC)为电子政务外网制定统一安全策略、统一安全标准,实现全网统一管理和监控,保障电子政务外网安全、稳定、高效地运行,实现政务外网基于安全的互联互通。国家电子政务外网安全管理平台实现了将不同位置、不同类型设备,不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出整个电子政务外网的全局安全风险事件,并形成统一的安全决策对安全事件进行响应和处理,从而保障电子政务业务应用系统的真实性、完整性和保密性。
三、国家电子政务外网安全管理平台框架
国家电子政务外网安全管理平台(SOC)的主要思想是采用多种安全产品的Agent和安全控制中心,最大化地利用技术手段,在统一安全策略的指导下,将系统中的各个安全部件协同起来,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,并且能够在多个安全部件协同的基础上实现实时监控、安全事件预警、报表处理、统计分析、应急响应等功能,使得网络安全管理工作由繁变简,更为有效。
国家电子政务外网安全管理平台(SOC)的体系架构具备适应性强(能够适用于不同省级节点接入网络和系统环境)、可扩充性强、集中化安全管理等优点,其框架体系主要是为了解决目前各类安全产品各自为阵、难以组成一个整体安全防御体系的问题。真正的整体安全是在一个整体的安全策略下,安全产品、安全管理、安全服务以及管理制度相互协调的基础上才能够实现。国家电子政务外网安全管理平台(SOC)框架如图1所示。
四、国家电子政务外网安全管理平台的主要功能
国家电子政务外网安全管理平台为系统管理员和用户提供对系统整体安全的监管,它在整个政务外网体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭起桥梁,使得各类安全手段能与现有的国家电子政务外网应用体系紧密结合而实现无缝连接,以促成网络安全与国家电子政务外网应用的真正一体化。目前,国家电子政务外网安全管理平台基本实现了对国家电子政务外网中央城域网、广域网骨干网的主要网络设备、安全设备和网络承载的业务系统的安全事件的管理,并具备监控、预警、响应、审计追踪等功能。
图2描述了国家电子政务外网安全管理平台的功能框架。以下对其功能予以详细阐述。
⒈统一管理
政务外网安全管理平台(SOC)建立在安全设备部署的基础之上,主要围绕安全的预防、发现、反应环节搭建,实现了安全预警、集中监控、安全事件处理等更高层次的安全管理。这些建立在安全设备部署之上的安全管理包括:预防环节的安全预警信息通告,安全评估结果综合分析的安全信息库;发现环节的收集防火墙、入侵检测、日志系统、防病毒系统中的有关安全事件,呈现安全告警的集中安全监控系统;反应环节的以电子流的方式,进行安全事件处理流转,保存安全事件处理经验的安全事件运行系统。
政务外网安全管理平台(SOC)对各种安全产品的监控和管理,可以利用各个安全子系统中已有的信息采集和控制机制来实现,也可以采用直接与安全设备交互的方式进行,主要取决于各个安全子系统自身的构架以及提供的管理接口。
⒉安全事件实时监控与实时通报
网络安全工作的本质在于控制网络安全风险,风险管理是安全管理的核心。考察安全成本和安全威胁后果之间的关系,以可接受的成本来降低安全风险到可接受的水平。
国家电子政务外网上的各种安全设备和产品每天都要产生大量的各种安全事件。对这些事件的集中监视是控制网络风险、保证网络业务正常运行的重要手段。国家电子政务外网安全管理平台专注于整个政务外网安全相关事件的实时监控,收集并汇总重大安全事件的数据(如:大规模蠕虫事件,重大攻击事件等),进行关联性分析,全面提高对网络事件的快速反应能力;同时,将安全事件备份到后台的数据库中,以备查询和生成安全运行报告。
安全事件通报与业务系统、工作流紧密结合。国家电子政务外网安全管理平台在发现某政务外网业务系统内出现安全事件后,还将及时把这些安全事件通知各业务系统的管理员以便及时予以处理。
⒊全网统一安全策略
对于电子政务外网的安全运行维护,最具有挑战性的莫过于保持全网策略的一致性。尤其是对于日新月异的网络安全技术,需要经常性频繁应对出现的新漏洞,根据新的业务调整安全策略。
国家电子政务外网安全管理平台支持统一、集成的策略管理,包括策略的制定、分发和策略执行情况的检查。安全策略管理包括设备安全策略、事件响应策略和全局安全策略等。
统一安全策略管理制订全网的安全策略,这些策略文件可下发给各相关部门,通过直接(也可以手工)的方式进行配置落实。策略的管理能够通过全局策略的调整、业务的变化、各网管和部门反馈来的意见等情况,不断调整、优化安全策略。
⒋基于角色的安全事件可视化
国家电子政务外网安全管理平台提供统一的安全管理,并为不同级别和性质的管理员提供不同层次和性质的管理视图。由于电子政务外网内部网络系统是一个复杂的分布式大规模网络,因此核心层、分布层以及接入层的网络管理员具有不同的职责。系统不但能够提供运行核心层的管理员对所有安全系统宏观的管理视图,也能够为各地主要业务网络的管理员对自己管辖区域内的安全设备和安全系统部件进行区域自治管理,此外,还能够通过安全管理平台(SOC)对分布于整个网络的某个安全子系统,进行整体安全策略的发放和状态监测及管理。
安全管理平台(SOC)根据需要设置可视化条件,实时在全网拓扑图中显示最重要的多组事件,包括设备名称、事件定位、风险概况、脆弱性等信息(如图3所示)。
⒌安全事件关联分析
安全管理平台(SOC)要对各个不同安全设备(入侵检测、漏洞扫描、防火墙等)报告的安全信息进行集中的数据挖掘和分析,进行全局的相关性分析和报表显示,以发现低级安全事件相关联后表现出的高级安全事件,以及异常行为之间、漏洞和入侵之间的对应关系,便于对攻击的确认和安全策略的调整。国家电子政务外网安全管理平台目前支持基于规则的关联分析、基于统计的关联分析和基于漏洞的关联分析等3种形式。根据此关联分析的功能,结合国家电子政务外网的业务应用系统的事件特征,通过分析与制定安全域与业务安全控制策略和基于业务应用的流程异常监控,制定相关的特定关联分析规则,配合事件监控、拓扑管理及综合显示等方面的内容,从而实现国家电子政务外网业务安全监控及追踪功能的事件定位。
⒍宏观分析与安全决策支持
安全管理平台(SOC)应支持对各安全设备上报的所有安全数据进行宏观统计、分析和决策支持。宏观统计分析主要是在大量数据的基础上,对安全事件进行综合分析,比如将攻击信息和安全漏洞信息关联起来,产生详尽的安全报告,提供安全决策支持,强有力地支持全网安全事件的及时发现(检测)、准确定位(追踪)、尽快处理(应急响应)、进一步防范(预警)以及全网安全策略制定(策略)。国家电子政务外网运行维护管理员根据宏观分析提供的全局安全状况和安全态势信息,并结合电子政务外网的管理体系、人员管理规章制度、管理流程以及行政管理规定,为针对安全事件的处理决策提供支持。图4、图5展示了安全管理人员可以借助安全管理平台展示的全方位安全信息对政务外网的安全态势进行宏观把握,为决策提供支持。
⒎安全事件全局预警
对于像冲击波、红色代码等危害较大的网络蠕虫的较大规模入侵,从一个地区向另一地区渗透可能有一定的延时。在这段延时期间,安全管理平台(SOC)有义务将这种警报到尚未受攻击的区域中去,以起到提前布防的预警作用。
国家电子政务外网安全管理平台接到的报警如果符合提前设定的全局预警范围,则将其下发到非来源的省级政务网络中心,结合报警信息转发及上传的功能,实现这一报警事件下发到所有省级政务外网结点(如图6所示)。
⒏安全事件知识库
为了实现安全事件的集中收集、记录、审计和流程化处理(集中、分类、入库、处理),共享最新安全知识,保证国家电子政务外网安全人才的储备,安全管理平台(SOC)建立安全事件知识库。知识库将国家电子政务外网各级安全管理平台的安全管理信息收集起来,为国家电子政务外网各级安全维护人员形成统一的安全共享知识库,以完成安全信息管理和WEB,主要实现安全管理信息、安全事件库、安全策略配置库、安全技术信息交流、处置预案库、补丁库、安全知识库等栏目的信息管理和浏览。安全管理员可以通过安全知识库的辅助工具学习,了解相关知识,辅助进行运维工作。图7是一个安全知识库的截屏。
五、国家电子政务外网安全管理平台的部署
根据国家电子政务外网安全管理平台的组成,政务外网安全管理平台最终建成分层分级结构:顶级为国家级安全管理平台,第二级为省部级安全管理平台,第三级为县市级安全管理平台。各级网络安全管理中心负责对本级电子政务外网实施安全监控和集中管理。上级网络安全管理中心可对下级网络安全管理中心进行统一安全策略、运行状态监控、安全信息收集等操作。下级网络安全管理中心可接受上级网络安全管理中心的安全预警信息。国家电子政务外网安全管理平台整体部署如图8所示。
在部署政务外网各级安全管理平台过程中,涉及两类下级安全管理平台:一是新建的安全管理平台,另一类是已建的安全管理平台。对于新建的安全管理平台在接入上级安全管理平台时将在统一设计、统一标准、统一技术规范、统一部署的原则下进行建设,与上级安全管理平台实现平滑和无缝对接。
部分电子政务建设比较好的省市,可能已建成安全管理平台。在这种情况下,由于早期建设的安全管理平台没有统一的标准和规范,在管理对象、管理方式、协议支持等方面不尽相同,所以此类安全管理平台不能直接与国家级安全管理平台进行对接。因此需要针对不同的安全管理平台进行调研和分析,本着最小改造的原则,为其增加设备,通过机制实现其与上级安全管理平台的对接。
六、总结
目前,国家电子政务外网中央安全管理平台的建设已基本建设完毕。通过几个月的建设工作,安全管理平台的实施为国家电子政务外网的安全运转提供了良好的保障。首先,国家电子政务外网安全管理平台提升了信息安全事件的处理水平。因为大量的安全事件通过安全管理平台的过滤、归并和排序后,降低到一个人工能够处理的数量级。另外,安全管理平台(SOC)自带的专家知识库能够帮助平台管理员正确地处理事件,减低了安全技术的门槛,为运维人员提供了有力的技术支持。其次,国家电子政务外网安全管理平台提供了良好的可视化技术,用图形化的方法向管理员展示了整个国家电子政务外网的安全整体状况,便于管理员从宏观上对全网的安全态势进行整体把握。
综上所述,国家电子政务外网安全管理平台的实施是针对政务网络系统传统管理方式的一种重大变革。它结合政务网络自身的特点,将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出全局角度的安全态势,并形成统一的安全决策对安全事件进行响应和处理。
作者简介:
郭红,女,1966年生,汉族,北京人,高级工程师,国家信息中心网络安全部处长,研究方向:网络安全。
王勇,男,1977年生,汉族,山东鄄城人,国家信息中心网络安全部工程师,研究方向:网络安全。
关键词:高校计算机校园网络;网络安全防护;计算机信息管理技术
目前在高校教学及其他多种业务管理中,网络信息技术得到广泛应用,同时也存在着极大的安全隐患,一旦发生网络信息安全事故,会造成严重的经济损失,因此高校加强网络安全信息防护至关重要,并对如何应用计算机管理技术,使网络信息的使用安全性得到有效保障加强研究。
1计算机系统网络安全内涵概述
1.1基本含义
计算机系统网络安全主要是指为了确保网络信息系统运行的安全性,对全方位的各种安全保护措施进行充分运用,从而有效保证系统所有相关网络数据的安全性,避免受到外界任何不利因素的影响和破坏,防止网络服务因恶意攻击而中断,从而使系统得以正常运行,并提供稳定、安全的网络服务[1]。
1.2加强网络安全研究的重要性
在社会经济发展中,高校网络发挥着重要的推动作用,也是现代化教育建设和实施的重要场域,随着高校网络的不断推广、应用及普及,对校园网络加强安全维护和管理至关重要。一旦高校计算机网络系统出现问题,极可能会对高校正常科研、教学活动以及学生管理工作带来不利影响,甚至造成严重的经济损失,所以对高校计算机校园网络安全防护问题加强研究,具有重要现实意义。首先校园网络安全能够有效保障学校教学、科研等各项活动的有序开展。随着高校计算机网络系统在教学中的广泛应用,可利用网络资源不断丰富高校教学资源,但同时也极容易导致网络系统出现安全问题,会严重影响正常教学秩序。另外校园网络安全能够有效促进学校信息化建设。在高校信息化工程中仍存在着较多的恶意节点链接,如此类链接被人利用会严重威胁网络数据信息的安全。目前在校园网络系统中所采用的安全策略包括了计算机网络访问控制技术,能够有效及时发现和避免对计算机网络资源的恶意非法访问,通过用户身份认证、有效划分用户访问权限和等级,以及对相应安全级别的防火墙设置,使计算机网络应用安全性有效提高。
2高校计算机网络信息安全技术应用中存在问题分析
2.1计算机配置不达标
随着计算机在高校中的广泛应用及不断普及,在高校教学及管理工作发挥着重要的保障作用,所以在实际应用中,需要对计算运行加强严格检查,确保其能够有效保障计算机信息安全,但计算机配置不达标的问题普遍存在,成为了对计算机信息安全造成威胁的重要因素之一。一旦网络系统中存在计算机配置过低,不仅会对计高校网络安全防护中计算机信息管理技术的应用周岩杜健持(菏泽医学专科学校山东省菏泽市274000)算机运行速度造成影响,使高校各项工作效率降低,同时还使系统安全无法有效保障,甚至会严重破坏高校计算机系统,导致信息损坏或丢失。
2.2电磁辐射泄漏
计算机产生的电磁辐射主要来自于计算机运行状态下主机、线路或外部设备等,通过其产生的电磁辐射及传导辐射,极容易造成信息泄漏问题的产生。信息不仅能够利用电磁辐射方式进行发射,同时信息还可以利用信号线、电源线等进行传导发射,从而严重影响和威胁高校计算机网络系统的信息安全性。
2.3网络软件存在安全风险
在高校计算机信息网络技术应用中,网络入侵会带来极高的信息安全风险。通过网络入侵,非法用户能够不经过网络身份确认,而直接破坏高校网络系统,对高校教学及管理等工作的正常运行造成严重影响。其次计算机网络系统最常见的风险来自于计算机病毒感染,其能够直接导致计算机瘫痪,无法运行,造成信息数据丢失和损坏,此类安全风险极具破坏力,并且影响范围广以及可逆性低。
3高校计算机网络信息安全技术分析
3.1匿名化
由于高校计算机网络系统在使用过程中存在着重要的用户隐私信息和数据,确保用户信息的安全性是计算机网络安全管理的核心内容,因此加强此类网络数据信息的保护才能更好地满足计算机网络系统发展的现实需求,其中有效的保护措施之一是采用网络数据信息匿名化。现阶段计算机网络数据信息匿名化主要包括了边匿名和点匿名两种方式,前者即关系匿名,主要是指网络数据信息时,对相应的用户间关系进行隐藏;后者主要是网络数据信息时,隐藏用户各种信息。
3.2水印化
通过对网络数据信息加强数字水印化技术应用,能够起到版权保护的作用,同时也是现阶段得到广泛推动和发展的安全技术[2]。目前此技术已广泛应用于视频、声音等数字媒体中。同时在关系网络数据信息库发展进程中,通过水印信息的有效嵌入,能够在开放的网络环境中,对信息数据来源进行确认,并对版权予以有效保护。
3.3跟踪与溯源
针对网络数据信息具有运动轨迹的特性,利用对其运动轨迹,以及用途和所处状态及用途的跟踪,能够对数据信息的运动路径进行溯源,尤其是在网络数据信息隐私出现泄露等安全事件后,能够利用此方式对攻击者进行追寻,对隐私泄露源头进行确定。另外因网络数据信息较易扩散和复制,溯源成本及难度相对较大,但采用网络数据信息跟踪和溯源技术具有较高的可行性。
4高校网络安全护中计算机网络信息技术应用分析
根据现阶段高校网络安全防护中计算机网络信息安全技术应用存在的问题,需要从以下方面入手,采取有针对性防护措施,使防护力度进一步提高。首先需要对防护制度进行科学制定和规范,提高有效性和可行性,使病毒感染、网络入侵等问题有效解决,使高校各项管理工作得以顺利开展。同时需要相关管理人员开展定期培训,使其综合素质与专业技能不断提高。其次需要建立相应的管理小组,使管理人员统一管理得以实现,并使其安全防范意识不断增强。另外计算机网络信息安全防范需要从网络软件、计算机以及客户端三方面出发,使安全保护力度增强。针对网络软件,应在计算机系统中全面安装杀毒、防毒软件,并及时进行更新升级;针对计算机,可利用弱电装置安装的方式,对计算机加强弱电保护;针对客户端,应对客户端类别加强把控,避免不良客户端侵入系统。最后还需要对计算机防火墙技术不断更新,通过加强防火墙技术的应用,能够使计算机所受到外界因素干扰最大程度减少,有效减少病毒入侵或黑客攻击发生几率,同时还应根据网络系统的实际需求和特点,采用不同的防火墙技术,使其与系统的兼容性得以保证[3]。
5网络安全防扩中计算机信息管理技术的应用策略
5.1线上综合交流平台构建
在高校学生管理工作中,计算机网络信息安全系统应用至关重要。在传统的管理模式中,教师对学生的具体学习以及生活情况较难全面、及时了解和掌握,进而导致教师与学生之间的有效沟通及思想教育工作的顺利开展受到制约和影响,使教师工作压力加大,严重阻碍高校学生管理工作质量和效率。在此状况下,可通过线上交流平台的构建和完善,充分发挥网络信息安全技术的普适性,使师生之间的无障碍、高效交流和沟通得以实现,同时使学生存在的问题能够及时解决,进一步对学生良好的身心发展起到促进作用。
5.2信息管理系统建立和完善
随着高校信息化建设力度的加大,现代化信息管理作为高校管理工作中重要基础工作,对教学管理质量和效率提高奠定了坚实的基础。目前高校信息管理系统不断完善,其所涉及的内容主要包括了OA办公系统、人事管理系统、专业课程系统、学生教学系统、选修课系统、课程管理系统、教师管理系统、事假系统、线上交流系统、科研系统、后勤管理系统等等。通过信息管理系统的不断建立和完善,能够对高校各项工作信息进行系统完整整合,对各环节的工作进度、工作情况加强管理,对工作最新动态及时掌握,从而使工作管理质量和效率有效提升。
5.3宿舍管理效率提升
目前高校宿舍管理中,通过计算机网络信息技术的应用,能够实现以下服务内容:首先随着近年来高校扩招力度的不断加大,学生宿舍资料数量和内容迅速增加,对学生资料管理提出了更高的要求,而传统管理模式中普遍存在着资料数据录入、查询难度较大,且容易丢失、疏漏等问题,另外在学生住校学习期间,因各种因素的影响,也会时常需要更换住宿地点,所以宿舍管理人员需要根据相关管理资料,对学生住宿进行重新安排和登记。而传统管理模式已逐渐呈现出不适应性,所以加强高校宿舍资料的信息化管理能够更有利于学生管理质量和效率的提升。其次针对宿舍缴费管理,可利用信息技术对网络缴费系统进行构建,为学生缴费提供便利,使其排队等待时间有效节省,并且因不及时缴费所造成的不利影响有效减少。另外通过宿舍服务系统的有效构建,能够对宿舍服务功能进行不断拓展,使宿舍服务管理中心实现统一化、标准化。最后在宿舍安全管理中通过网络信息化技术的应用,实现远程操控宿舍楼的报警设备、消防设备、摄像设备等进行远程操控,使其管理安全性切实提高。
5.4高校食品安全保障
随着社会各界对高校食品质量安全重视度的不断提高,在高校食品管理中加强计算机网络信息安全技术的运用也势在必行[4]。其实际应用主要从以下几方面入行:首先应用于食品物流管理层面,可通过管理系统的运用,实现远程监控食品材料的运输、加工、存储等各环节重要信息数据,并从食品物流环节以及食品标识等细节中调取食品详细信息,一旦发现食品安全问题,能够进行追踪和溯源,对产生问题的主要环节进行确定;其次针对食品安全数据管理,可利用网络信息技术,对食品安全数据库进行构建,主要涉及内容有食品材料配送信息以及材料品类等。另外通过食品安全系统化管理的实施,对管理规划进行科学制定,通过统一权限管理模式的运用,针对高校管理者、食品运输者、食品提供者、食品加工者等不同层级,授予不同的权限,并对各方管理责任予以明确。
在计算机网络使用盛行的大环境下,网络信息安全管理也是不可或缺的重要环节。本文主要针对当下计算机网络信息管理中存在的各种问题进行了阐述分析,并提出了与之相适用的安全防护对策,以供参考。
【关键词】计算机网络 信息管理 安全防护
在计算机网络技术日渐成熟完善的形势下,为信息化时代的到来提供了技术支持。随着计算机网络技术在各行各业的广泛应用实践,人们的生活、工作也和计算机、互联网建立了密切的联系,但伴随而来的计算机网络信息安全问题又成为人们新一轮的关注焦点。为了进一步提高对计算机网络信息的广泛应用,维护网络信息的安全已成为首要任务。
1 影响计算机网络信息管理的关键因素分析
1.1 黑客病毒攻击不断
在计算机网络信息安全管理过程中,黑客恶意攻击和病毒感染是最常见的问题。很多黑客可以依靠高超的计算机网络技术,随意登录不经允许的网络服务器进行信息网络干扰,轻松的获取重要的网络信息,给他人带来极大的安全隐患。
与此同时病毒感染对计算机网络信息管理造成的损失也不容小觑,在计算机技术发展的同时,病毒种类也在不断增加,让人难以轻易的辨认。通常病毒都是通过邮件、网页登录等方式悄无声息的入侵系统文件等,还有的病毒带有自启功能,潜伏在计算机核心部位,对一些系统的核心数据信息造成破坏。或是利用一定的计算机程序控制计算机操作,破坏计算机硬件或数据的正常传输,给计算机网络安全管理带来难题。
1.2 计算机系统漏洞诸多
通过不断的实践经验可知,计算机内部自身也是造成计算机网络信息不安全的一大因素,因此在关注黑客攻击、病毒感染的同时,也不能有所松懈。计算机是由硬件和软件等两大部分构成,其中软件系统存在的漏洞最多,往往成为不法分子入侵网络信息的主要渠道。例如在数据存储传输过程中,并未全面综合考虑数据通信渠道的安全问题,初步制定的TCP/IP协议集就自然存在了安全漏洞。或是CPU操作不当出现隐性通道或病毒,以及HTTP、FTP上的应用软件问题、安全防护设备不全、安全机制的缺乏等都会不同程度的影响计算机网络信息管理的安全。使计算机网络受到干扰、窃听等威胁,导致出现内部数据泄露、网络故障等问题。
1.3 缺乏信息安全管理意识
计算机的大范围普及,让越来越多的人享受到计算机网络给生活、工作带来的诸多便利,在惊叹计算机网络不可比拟的优越性的同时,忽略对计算机网络信息安全的防范,无形中给计算机网络信息留下安全隐患,致使隐私受侵,或是造成大量财产损失。主要表现为:很多人在使用计算机网络时,不注重规范操作,没有检查网络安全系统的意识,或是不关注一些安全软件的实时更新等,这些个人疏忽很容易导致计算机网络信息泄露。并且,很多人为了工作需求,常使用移动存储介质,如移动硬盘、U盘等来备份重要的数据信息等。一旦丢失就会造成信息的泄露,或是因移动介质自身携带病毒传播感染计算机网络文件或系统也是屡见不鲜的。还有的人,缺乏信息安全管理意识,使用生日、电话号码等简单数据作为计算机操作口令,或是所有的文件信息通用一个操作口令等,也不习惯定期更换操作口令,这样很容易被人破解口令,造成数据信息丢失。
2 计算机网络信息安全防护措施探析
2.1 加大计算机网络信息管理宣传
为了进一步强化计算机网络信息的安全管理,国家政府应当加大宣传教育,针对具有代表性的网络信息安全问题出台相应的法律法规、政策制度等,加大网络信息安全管理宣传力度,引导人们树立计算机网络信息管理安全意识。同时根据互联网和通信业行业的发展规划,需要不断建立健全信息网络安全保障体系,如建立国家信息安全管理中心、国家黔南实践应急响应中心、数据备份设施等。与此同时,也要鼓励各行各业根据自身实际情况,建立一定的网络信息安全管理体系,提升全体人员的安全管理意识。在不断的宣传教育中,计算机网络信息管理意识将深入每一个计算机网络使用者的心中,在平时的操作使用中就会更加小心、仔细,确保计算机网络的安全使用。
2.2 预防黑客攻击和病毒感染
尽管黑客攻击和病毒感染肆虐,造成不小的计算机网络信息损失,但也不是不可预防的问题。只要做好计算机网络的合理配置,强化防范意识,也能很好的减少网络信息的丢失、泄露,尤其是各项计算机信息技术能提供更强有力的安全防护保障。
(1)中心机房服务器和工作端都要加强病毒的防护,定期进行网络的维护升级,以及重要数据的备份管理,能有效的避免因计算机系统自身漏洞造成不必要的网络信息泄露。
(2)要对网络传输的邮件、移动介质等进行病毒扫描,有效的防御病毒的入侵。当然为了有效的防止病毒的入侵,在防病毒软件的选择上也不能随意,目前市面上常见的360安全卫士、金山毒霸、卡巴斯基等杀毒软件,具有强有效的杀毒、预防、监测效果。同时也会根据新病毒的发展不断的更新自身,对新型病毒起到一定的抑制作用,保障计算机网络信息数据的安全。
(3)通过网络防火墙,将计算机内、外部客户端访问隔离开,只有通过允许的用户才能进入内部数据系统网站,最大程度阻止黑客的入侵。
2.3 加强各种计算机信息技术的使用
信息化时代注定了信息数据安全的重要性,为此不断研发了多种新的计算机信息技术,为计算机网络信息安全提供了极大保护,包括数据加密技术、数字签名技术等等。
例如,生物特征识别技术是一种较为新型的计算机信息技术,它将人的脸部、虹膜,或是声音、笔迹等作为鉴定的标志,只有通过了生物特征的鉴定,才能使用一定的计算机网络数据信息,有效避免了网络信息数据的泄露。
3 结束语
给计算机网络信息管理带来安全隐患的因素众多,只要有针对性的提出安全防护对策并运用,就能有效推动计算机网络技术的全面发展,是信息化时代未来发展的主流趋势。
参考文献
[1]王宗兰.计算机网络信息安全防护策略探索[J].产业与科技论坛,2016(15).
[2]杨妍.计算机网络信息安全管理技术探讨[J].信息通信,2015(10).
[3]张秀艳.计算机网络信息安全管理技术探讨[J].军民两用技术与产品,2015(24).
[4]孟晔.计算机网络信息安全管理[J].科学与财富,2014(05).
作者简介
李宁(1980-),男,现供职于大连广播电视大学旅顺分校,从事计算机科学方面的研究。
实现系统安全风险的全面识别,才能采取有效安全防范策略。基于这种认识,本文对层次化网络安全威胁态势量化评估方法进行了分析,以期为关注网络安全评估话题的人们提供参考。
【关键词】
层次化网络;安全威胁态势;量化评估方法
引言
从服务和主机重要性角度出发对网络安全态势展开量化评估,将能提供直观安全威胁态势分析图,从而在降低网络安全管理人员的工作量的同时,为管理人员制定有针对性的安全策略提供科学依据。因此,相关人员还应该加强该种网络安全威胁态势量化评估方法的研究,以便更好的开展相关工作。
1网络安全威胁态势量化评估研究
所谓的网络态势,其实就是各种网络装备的运行状况,是整个网络当前状态和变化趋势。在用户行为和网络行为发生变化的情况下,网络态势则会随之变化。而网络安全态势则是网络安全状态的变化趋势,对其展开评估需要通过大范围网络监控完成大量网络安全信息的收集。自计算机出现以来,网络安全问题就一直存在,不仅将威胁个人权益,还将威胁国家安全。对网络安全进行评估,则有利于加强网络安全管理。目前,国内在网络安全威胁态势量化评估方面使用的指标比较片面,获得信息的途径也较为单一,很难满足实际需求。在网络空间状态意识框架建立上,未能完成圆形系统构建,以至于较难实现有效评估网络空间安全性的目标。得到广泛使用的评估方法则为SSARE,可以检测计算机攻击状态及呈现出的态势[1]。而利用IDS日志库开展取样分析工作,则能加深对主机了解,从而完成层次化网络安全威胁态势量化评估体系的建立,继而从网络、主机和服务多方面完成评估。
2网络安全威胁态势量化的评估方法
2.1评估模型
按照网络拓扑结构和规模,可以将网络系统划分为网络、主机和服务三个层次,而网络攻击多针对主机提供的特定服务。根据这一特点,可以采取“自下而上”、“先局部后整体”和“横向关联”的策略开展网络安全威胁态势量化评估工作。采取该策略建立评估模型,可以IDS报警和漏洞扫描结果为原始数据,然后在服务层完成单次攻击对信息安全造成的威胁的评估。通过对威胁的严重程度进行评估,则能够完成量化分析。而DoS类攻击主要会在主机层造成危害,该层别态势由攻击对信息和服务造成的威胁严重程度,需要分别结合单台主机上攻击路径和给服务可用性造成的影响展开评估。完成各主机层态势量化评估后,则可以通过计算态势指数加权和完成网络层态势指数的计算。在这一过程中,需要对每个主机服务潜在的威胁展开全面分析,并对威胁攻击的损失程度、网络宽带占用的数据和可能发起的攻击次数等内容展开分析,以便完成主机系统安全性的综合评定。
2.2定量分析
对于层次化网络来讲,网络服务造成的威胁将成为影响网络的重要因素。其中,威胁程度、严重后果和服务访问量都会对网络服务构成威胁。因为,受攻击时间的影响,服务访问量会产生一定差异性。所以在计算时,需要对时间窗口进行分析,并对具体某个时刻的服务威胁指数进行计算。在计算过程中,需完成时间段划分。具体来讲,就是将网络时间划分为晚上12点到8点、上午8点到6点、下午6点到晚上12点三个时间段,然后以各时间段的访问量平均值为依据对正常访问量向量进行赋值,即利用1、2、3、4、5分别代表超低级、低级、中级、高级、超高级这四个级别的访问量。对原始数据进行归一化处理后,则能够得到正常访问量向量值[2]。在此基础上,需要按照攻击事件严重程度开展一系列调查,以确定威胁指数的有效性,确保评估结果符合合理性标准。从有关研究来看,严重程度分别为1和2的分别发生100次和10次攻击,可以获得一致的威胁指数。所以在计算威胁指数时,应增加攻击严重程度,以免威胁指数计算结果因特殊状态而与现实之间出现偏差。
2.3参数确定
在对各层次的威胁指数进行计算时,需要对各层次的威胁程度指数、重要性权重和网络宽带占有率进行确定。确定威胁程度指数,可以将报警日志中的无效攻击尝试排除在外,从而使评估更加准确。因为,考虑无效攻击尝试,将导致成功攻击次数减少,从而导致攻击威胁指数减小。对网络宽带占有量进行测定,则可以为攻击次数的威胁分析提供依据,因为有效攻击将通过消耗网络宽带导致网络拒绝服务[3]。此外,还要通过评估服务器上数据动态、量变和人为因素进行服务和主机重要性权重的确定。
3结论
使用层次化网络安全威胁态势量化评估方法,可以从多个层次直观反映网络安全威胁态势,所以能够帮助网络管理人员更好掌握网络安全动态,并制定有针对性的安全策略。
作者:李智勇 单位:吉林省人力资源和社会保障信息管理中心
参考文献
[1]陈锋,刘德辉,张怡,等.基于威胁传播模型的层次化网络安全评估方法[J].计算机研究与发展,2011,06:945~954.
由于电力企业以发电、经营电力为主,信息网络安全问题并没有得到足够重视,管理方面存在重技术轻管理的问题,未建立完善的信息安全管理制度,面对上级检查,简单应付,脑子里轻视信息安全,信息安全观念淡薄,这都会增加企业信息系统的安全风险。例如,缺少对企业职工的信息安全教育培训、缺少定期对信息运维人员的安全技能的培训等等,都会严重威胁企业信息网络的安全。电力企业在针对信息系统的应用和信息网络安全两个方面时,更加注重的是前者。以此同时,可能部分职工还存在侥幸心理,忽视了网络安全问题的重要性。
2电力企业网络信息安全管理的有效策略
2.1注重建设基础设施和管理运行环境
需要严格的管理配电室、信息、通信机房等关键性的基础设施,对防水、防火、防盗装置进行合理配备;对电力二次设备安全防护要做到,安全分区、网络专用、横向隔离、纵向认证,生产控制大区与信息管理大区要做好物理强隔离;机房需要安装监控报警设备和动环监测系统;对桌面终端和主机等设备要做好补丁更新,控制权限;在网络安全设备上要做好安全策略;做好流量监测和行为监测;此外,建立设备运行日志,对设备的运行状况进行记录,并且建立操作规程,从而保证信息系统运行的稳定性和安全性。
2.2建立并完善信息安全管理制度
建立健全信息安全管理制度,注重安全管理,确保根据安全管理制度进行操作;做好安全防护记录、制定应急响应预案、系统操作规程、用户应用手册、网络安全规范、管理好口令、落实安全保密要求、人员分工、管理机房建设方案等制度,确保信息系统运行的稳定性和安全性。由内至外,全面的贯彻,实施动态性地管理,持续提高信息安全、优化网络拓扑结构。
2.3注重信息安全反违章督察工作的开展
建立信息安全督察队伍,明确职责,按照信息安全要求,开展定期的督察,发现问题,限期整改。电力企业要对企业信息系统软硬件设施、容灾系统、桌面终端、防护策略等进行定期督查,实现信息安全设备加固和更新,培养信息安全督查专家队伍,交叉互查、发现并解决问题,提高信息系统的安全性。
2.4积极探索电力企业信息安全等级保护
信息安全等级保护指的是,对涉及国计民生的基础信息网络和重要信息系统按照其重要程度及实际安全需求,合理投入,分级进行保护,分类指导,分阶段实施,保障信息系统安全。针对电力企业信息系统,应建立相应的信息安全等级保护机制。技术上分级落实物理安全、网络安全、主机安全、应用安全、数据安全;管理上要建立对应的安全管理制度、设置安全管理机构、做好人员安全管理、系统建设、运维管理。
2.5明确员工信息安全责任,实现企业信息安全文化建设
针对企业的所有员工,关键是明确自己需要担负的安全责任、熟悉有关的安全策略,理解一系列的信息安全要求。针对信息运维人员,需要对信息安全的管理策略进行有效地把握,明确安全评估的策略,准确使用维护技术安全操作;针对管理电力企业信息网络安全的管理人员,关键在于对企业的信息安全管理制度、信息安全体系的组成、信息安全目标的把握和熟悉。以上述作为基础,实现企业信息安全文化的建设。
2.6提升人员的信息安全意识
针对电力企业信息安全而言,员工信息安全意识的提高十分关键。企业需要组织一系列有关的信息安全知识培训,培养员工应用电脑的良好习惯,比如不允许在企业的电脑上使用未加密的存储介质,不应当将无关软件或者是游戏软件安装在终端上,对桌面终端进行强口令设置,以及启用安全组策略,备份关键性的文件等,从而使员工的信息安全意识逐步提高。
3结语
【关键词】数字电视;安全管理;策略分析
1数字电视网络安全管理的重要性
近年来社会上出现许多不法分子利用非法手段取得外网连接的机会推送非法内容,给人们造成了极大地影响更加破坏了数字电视安全播出。他们利用服务器配置上的漏洞以此控制服务器为了更加直接的传送非法内容,也有利用远程仓库管理材料技术维护平台等侵入网络连接来推送非法内容。有效防止设备的安全信息不受影响,设备安全包括几个方面:①机顶盒接收存在缺陷会导致显示菜单、广告、广播、节目指南等信息出现多次显示和缓存,更严重的会导致重启也无法清除,这样会使非法推送信息长时间停留。②随着经济全球化越来越多的人们会选择进口设备。因为进口设备在技术上,性能上,以及稳定性相对于国产都表现出明显的优势。但是过于依赖进口设备就会造成维护管理等相关问题,当备份不足,可能会直接导致设备出现死机并且无法快速的恢复运行。③由于一些软件本身存在漏洞或是操作不良比如U盘。在接受系统时候带来木马或是病毒这样就会对信息安全造成极大的安全隐患。为了广大群众能享受到更高的电视图像,网络安全必须增大维护力度定期检查,第一时间发现问题解决问题,并且要提升管理团队的综合素质,使老百姓享受到更好的服务体验。
2电视网络安全具体管理工作原则
2.1播出内容的安全保障
广播电视之所以受欢迎,是因为它丰富多彩的节目类型满足了人们日常的娱乐生活也可以及时传递各种方面的信息。所以把控节目内容的安全成为了安全管理的首要任务。确保选材的舆论方向,要将选材放的长远一些并且具有可靠性,可以结合当地的文化进行传播和宣传,最好能兼具教育意义。其次在后期制作节目的过程中要注重细节,将节目质量达到最优的状态。最后在制作节目完成后一定要认真审核,严格按照要求确认健康绿色后再进行播出。
2.2做好日常检查确保节目信号稳定
做好日常安全检测。作为管理人员要对设备材料同意采购合格的材料才能进入,降低或是杜绝故障的发生。信号检测的工作,因为数字电视信号影响是多种因素造成的。所以定期检查维护与日常故障处理是保证节目信号稳定重要的两个部分。
2.3加强管理人员提升团队素养
数字电视在不断发展过程中,需要相关专业高素质从业人员进行操作与管理。在维护管理过程中需要是科学、高效、成熟的管理制度作为基础,所以需要根据实际情况制定一套严格的规章制度。其次要提高招聘门槛招聘一些在设备维修、系统维护等专业化人才,优化人力资源的相关配置。对现有的员工则需要进行定期培训,及时补充专业化知识来丰富老员工从而成就高标准管理团队。新老员工一定要严格按照规章制度按照流程进行各项工作。
3数字电视网络安全相关策略
3.1深入落实系统维护工作
针对天线、电缆、变换器这些系统方面的重要组成要素要进行全面的维护,将检测结果逐一分类。安排合理的时间进行各项检查。绝缘子和电压驻波类要注意定期清理,对于参数各种数值确保在指标之内。由于发送设备各个零件种类多且不确定损坏的具体时间,所以要将备用品准备齐全,以便能及时更换。
3.2系统管理数据的重要性
网络和大量的数据是支撑数字电视系统正常运行的核心。为了保证数字电视安全播放,在日常管理中要避免数据丢失或是损坏的现象,需要备份数据,可以通过RAIDIO等磁盘列阵构建数据提高系统运行的稳定性和安全性。随着系统长时间运行会导致大量垃圾内存需要及时清理优化系统提高系统运行的效率减少系统的负担,增加系统使用寿命。此外还要定期检查磁盘,防止磁盘的损坏导致系统无法正常运行造成播放时数据丢失。
3.3做好防雷供电工作
播放设备防雷系数很低因为它是全固化、消耗能量小、运行效率高的半导体设计。雷击分为很多种类,若在电视播放过程中出现雷击现象要根据雷击的类型采取相应的应急对策。避免直接雷击可以在天线上改变天线结构,装置避雷针则是为了预防感应雷击的方法。数字电视能够安全播出供电是关键的一点。足够的电力可以保障节目安全顺利的播放,这和稳定的电力系统是分不开的。我们常用的10kV电压在用电高峰期就会出现跳闸情况,造成信号中断从而影响了节目的安全播出也降低了群众的收看率直接影响电视台的经济损失。所以播出系统的机房应提供不间断电源和多个发电系统,同时也要注意控制好机房的环境温度确保都在合理范围之内保障设备安全运行。
4结语
总之,现在人们随着科技的不断进步对数字电视的要求也越来越高。数字电视网络安全信息系统的管理与维护是一个复杂艰难的过程,需要管理人员和技术人员两手抓,相互配合才能推进数字电视网络信息安全系统更好的运转。随着数字电视的竞争越来越激烈,进一步提高管理团队和维护人员的综合素养显得尤为重要,人才是社会进步的动力,数字电视的建设需要创新高科技的人才加入,才能保证数字电视的安全稳定。只要我们按照严格的规章管理制度,加强队伍综合素质,提高安全意识,加大数字电视安全管理力度,科学管理,以群众的利益出发,为用户服务的准则,从而促进社会发展与精神建设,定能提高数字电视的收视巅峰,创下更多的收视效益,为数字电视安全信息管理系统赢得一个良好的大环境。
参考文献
信息技术的逐渐普及为企业日常业务发展搭建了一个广阔平台。在其给企业带来便利条件的同时,也给企业发展带来了巨大挑战,网络病毒多样化、黑客公开化等问题的出现便是一个有力佐证。虽然多数企业已经意识到网络系统安全的重要性,但是受到企业成本约束,网络环境变化迅速、企业管理制度有待完善、网络系统安全管理人员综合素质参差不齐等因素的影响,部分企业网络安全与现实要求存在较大差距。本文就某企业信息网络安全系统进行了分析,并对研究过程中设计的概念及关键技术进行了探讨分析,以便对企业信息网络安全系统加以完善。
1信息网络安全策略
信息系统安全策略,是为了确保系统安全运行,所采取的以先进技术为支撑的常见信息网络安全技术手段。就现阶段所采取的信息网络安全策略而言,主要包括文档加密、安全操作系统升级、采取先进的信息网络安全技术、强化安全管理等措施。
2信息网络安全技术
信息网络安全技术包括防火墙、病毒技术、密码技术等,而在网络安全技术的实际应用过程中多是通过合理配置多项技术来强化信息网路的良好运行。
2.1防火墙技术
该项技术是进阶段逐渐发展起来的一项技术,通过对网络拓扑结构与服务类型上的隔离来加强网络安全,形成一道安全屏障,阻止非法访问,确保内网数据安全。而就防火墙的关键控制措施而言,主要由过滤包、应用网关、服务等组成。从防火墙的功能技术经济合理性分析,其管理方式安全性较高、较为经济合理。就其具体的功能作用而言,首先是对内部网络进行划分,隔离关键网段,限制不符合规则的数据包通过,以避免因局部网络出现问题而使整个网络受到影响,降低了内部网络安全风险;其次,防火墙能够在日常的隔离过滤过程中形成访问日志,并形成自己的统计数据,在出现可疑情况时,其能做出快速响应,为网络是否受到检测与攻击提供详细的数据支持,从而为管理员合理分配网络资源提供决策依据。
2.2VPN技术
VPN(virtualPrivateNetwork,虚拟专用网)也是一种较为新颖的网络技术,以公共网络为媒介,通过对内部局域网的扩展,将分步在不同位置的网络构建成一个虚拟专用网。这种连接方式能够完成远程客户和企业内网临时虚拟连接,为远程用户以及企业分机构提供安全连接,在保障安全运输的同时,降低关于局域网与远程网络连接费用。对于VPN技术而言,通过运用防火墙、数据加密以及身份验证等技术,实现数据传输效率的大幅提升,并并确保数据传输安全。
2.3其他几项信息网络安全技术
就常用的信息网络安全技术而言,除了防火墙技术与VPN技术之外,还包括以下几种技术:防病毒技术、密码技术、入侵检测技术、身份认证技术以及安全漏洞检测技术等。(1)防病毒技术。从技术层面而言,多是从预防、检测、杀毒、免疫等四个不同技术角度对系统加以维护。(2)密码技术。数据加密是网络安全的基础手段,通过改变所传输内容加密钢的方式,实现在没有密钢的条件下对信息内容解析。(3)入侵检测技术。入侵检测系统(IntrusionDetectionSystem)简称IDS。该技术是一种自动监测信息保护防护技术,分别以主机型、网络型和混合型的形式,分析信息源的收集方式。(4)身份认证技术。该项技术分为身份识别和身份认证两个部分。其技术的难点在于身份认证环节。在这一过程中,系统需要准确对用户加以辨别,而用户也要准确向系统表明身份。(5)安全漏洞检测技术。安全漏洞检测技术按照定义的策略扫描系统,对系统网络服务所存在的漏洞进行扫描,对其进行详细的数据分析之后,形成漏洞报告,并及时想系统管理员反馈信息,由系统管理员根据漏洞报告提供有针对性的修补方案,进而以软件升级、关闭软件等形式确保系统免受攻击。
3企业信息网络安全技术框架
从实际运行需求而言,为确保网络系统中软硬件和有关数据受到良好保护,企业就应该加强关于信息网络安全管理,对系统所处物理环境进行分析,明确其安全现状之后,对企业信息网络安全系统框架加以调整,并根据安全系统子模块和相应功能重新划分。但是,值得一提的是,在对其调整之前,首先应明确调整框架的原则,即高性能和稳定性、扩展性、经济和时效性、安全性和保密性、标准化和开放性。在遵循了这五项原则之后,对其信息网络安全系统框架设计加以调整。现从信息网络安全系统的安全管理部分和安全技术部分两个方面进行阐述:
3.1安全管理部分
安全管理部分包含组织机构、人员管理、策略管理和运营管理等四个功能不一的子模块:(1)组织机构:建立一套满足企业信息网络系统安全需求的组织机构,确保组织的正常、有序运作,为信息网络安全系统的安全运行提供组织保障;(2)人员管理:在这一模块,对信息网络安全系统涉及的管理人员进行系统管理,提升他们的安全管理意识与业务能力,确保各项工作有序开展。(3)安全策略:就本模块而言,其目的是从宏观层面建立一套信息网络安全制度,从政策层面指导各项工作的有序开展,就具体的制度内容而言主要包括安全管理体制与安全管理制度两个方面。(4)运营管理:在该模块操作过程中,从微观层面出发,将各项制度落实到每一个环节中去,与安全管理策略相互配合,确保系统安全运营。
3.2安全技术部分
就安全技术部分而言,是从业务的角度出发,由漏洞管理、安全控制、响应管理、风险管理和资产管理四个模块组成,每一个模块都有不同的功能,而每一个子模块都由不同功能模块组合而成。就具体的组成模块而言:(1)漏洞管理包括入侵检测、漏洞扫描、网络监控及安全审计。(2)安全控制包括防病毒、防火墙、反垃圾邮件和防拒绝访问。(3)响应管理包括管理平台、产品响应和人工响应。(4)风险管理包括风险识别、风险监控、风险控制、风险避免、风险转移和风险评估。(5)资产管理包括物理环境、网络设备、服务器、主机系统、用户终端和应用系统。
4企业安全需求分析
在笔者对企业的信息网络安全系统分析之后,结合其安全信息现状,对其安全需求进行了归纳总结。认为其在网络安全实际建设过程中,需做出以下调整:(1)重构安全技术与安全控制架构;(2)重新划分安全区域;(3)配置网络威胁检测;(4)配置集中认证审计系统;(5)升级改造VPN系统和防火墙系统。
5企业信息网络安全系统部署思路
企业将其内部网络连接至Internet网络时,其网络安全问题自然会成为企业所关注的焦点问题。为保障企业内部网络安全,在避免企业内部用户提供非法网络服务同时,预防外界网络攻击,企业应当采取相应的安全措施防止外界对机构网络资源的非法利用。为此,企业需对网络结构加以优化,并且注重安全设备部署,有针对性制定控制策略。因此,对企业信息网络安全系统部署,需要从多个方面综合考虑,采取防病毒技术、密码技术、入侵检测技术、身份认证技术以及安全漏洞检测技术等综合技术手段确保信息网络安全系统的正常运行。
6结语
本文在介绍了信息网络安全的关键应用技术之后,就某企业信息网络安全技术框架的构建进行了探讨分析,并提出了相应的信息网络安全系统部署思路。为此,在今后的信息网络安全系统运行维护过程中,应从企业实际情况出发,明确其安全系统现状与安全需求,并充分结合相关理论与应用技术,优化信息网络安全管理系统,实现对其设计与部署的优化,确保企业信息网络系统安全稳定运行,为企业经营、管理以及业务不断发展壮大提供不竭动力。
引用:
[1]姚汝,肖尧.网络安全技术在校园网中的应用研究[J].网络安全技术与应用,2014.
[2]王蔚苹.网络安全技术在某企业网中应用研究[D].电子科技大学,2010.
[3]王柳人.计算机信息管理技术在网络安全应用中的研究[J].网络安全技术与应用,2014.
[4]杨曙光.计算机信息管理技术在网络安全中的应用[J].网络安全技术与应用,2015.
【关键词】网络安全;防火墙;VPN;VLAN
一、引言
随着电力施工企业信息化发展的不断深入,企业对信息系统的依赖程度越来越高,信息与网络安全直接影响到企业生产、经营及管理活动,甚至直接影响企业未来发展。企业网络规模的扩大、信息接入点增多、分布范围广,使信息接入点管控难度大。企业信息与网络安全面临各类威胁,笔者以构建某电力施工企业信息与网络安全体系为例,从信息安全管理、技术实施方面进行阐述与分析,建立一套比较完整信息化安全保障体系,保障业务应用的正常运行。
二、企业网络安全威胁问题分析
1.企业网络通信设备存的安全漏洞威胁,网络非法入侵者可以采用监听数据、嗅探数据、截取数据等方式收集信息,利用拒绝服务攻击、篡改数据信息等方式对合法用户进行攻击。
2.非法入侵用户对网络系统的知识结构非常清楚,包括企业外部人员、企业内部熟悉网络技术的工作人员,利用内部网络进行恶意操作。非法用户入侵企业内部网络主要采用非法授权访问对企业内部网络进行恶意操作,以达到窃取商业机密的目的;独占网络资源的方式,非业务数据流(如P2P文件传输与即时通讯等)消耗了大量带宽,轻则影响企业业务无法正常运作,重则致使企业IT系统瘫痪,对内部网络系统造成损坏。
3.恶意病毒程序和代码包括计算机病毒、蠕虫、间谍软件、逻辑复制炸弹和一系列未经授权的程序代码和软件系统。病毒感染可能造成网络通信阻塞、文件系统破坏,系统无法提供服务甚至重要数据丢失。病毒的传播非常迅速;蠕虫是通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪;间谍软件在用户不知情的情况下进行非法安装,并把截获的机密信息发送给第三者。
4.随着企业信息化平台、一体化系统投入运行,大量重要数据和机密信息都需要通过内部局域网和广域网来传输,信息被非法截取、篡改而造成数据混乱和信息错误的几率加大;当非法入侵者以不正当的手段获得系统授权后。可以对企业内部网络的信息资源执行非法操作,包括篡改数据信息、复制数据信息、植入恶意代码、删除重要信息等,甚至窃取用户的个人隐私信息,阻止合法用户的正常使用,造成破坏和损失。保护信息资源,保证信息的传递成为企业信息安全中重要的一环。
三、企业信息与网络安全策略
结合电力施工企业业务广范围大特点,提出一套侧重网络准入控制的信息安全解决方案,保障企业网络信息安全。
1.远程接入VPN安全解决方案
施工企业拥有多个项目部,地域范围广,项目部、出差人员安全访问企业信息系统是企业信息化的要求,确保网络连接间保密性是必要的。采用SSL VPN安全网关旁路部署在网络内部,通过设置用户级别、权限来屏蔽非授权用户的访问。访问内部网络资源的移动、项目用户先到SSL VPN上进行认证,根据认证结果分配相应权限,实现对内部资源的访问控制。
2.边界安全解决方案
在系统互联网出口部署防火墙(集成防病毒和网络安全监控模块)和IPS设备,同时通过防火墙和IPS将企业内部网、数据中心、互联网等安全区域分隔开,并通过制定相应的安全规则,以实现各区域不同级别、不同层次的安全防护。边界防护建立以防火墙为核心,邮件、WEB网关设备、IDS及IPS等设备为辅的边界防护体系。
(1)通过防火墙在网络边界建立网络通信监控系统,监测、限制、更改跨越防火墙的数据流以及对外屏蔽网络内部的信息、结构和运行状况,控制非法访问、增强网络信息保密性、记录和统计网络数据并对非法入侵报警提示等,达到保障计算机网络安全的目的。
(2)在防火墙上开启防病毒模块,可以在网关处阻止病毒、木马等威胁的传播,保护网络内部用户免受侵害,改变了原有被动等待病毒感染的防御模式,实现网络病毒的主动防御,切断病毒在网络边界传递的通道。
(3)以入侵防御系统IPS应用层安全设备,作为防火墙的重要补充,很好的解决了应用层防御安全威胁,通过在线部署,IPS可以检测并直接阻断恶意流量。
(4)将上网行为管理设备置于核心交换机与防火墙之间。通过对在线用户状态、Web访问内容、外发信息、网络应用、带宽占用情况等进行实时监控,在上网行为管理设备上设置不同的策略,阻挡P2P应用,释放网络带宽,有效地解决了内部网络与互联网之间的安全使用和管理问题。
3.内网安全解决方案
内网安全是网络安全建设的重点,由于内网节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,也是安全建设的难点。
(1)主要利用构建虚拟局域网VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,将信任网段与不信任网段划分在不同的VLAN段内,实现内部一个网段与另一个网段的物理隔离,防止影响一个网段的安全事故透过整个网络传播,限制局部网络安全问题对全局网络造成的影响。
(2)建立企业门户系统,用户的访问控制部署统一的用户认证服务,实现单点登录功能,统一存储所有应用系统的用户认证信息,而授权等操作则由各应用系统完成,即统一存储、分布授权。
(3)系统软件部署安全、漏洞更新,定期对系统进行安全更新、漏洞扫描,自动更新Windows操作系统和Office、Exchange Server以及SQL Server等安全、漏洞补丁。安装网络版的防病毒软件,定期更新最新病毒定义文件,制定统一的策略,客户端定期从病毒服务器下载安装新的病毒定义文件,有效减少了病毒的影响;配置邮件安全网关系统,为邮件用户提供屏蔽垃圾邮件、查杀电子邮件病毒和实现邮件内容过滤等功能,有效地从网络层到应用层保护邮件服务器不受各种形式的网络攻击。
4.数据中心安全解决方案
作为数据交换最频繁、资源最密集的地方,数据中心出现任何安全防护上的疏漏必将导致不可估量的损失,因此数据中心安全解决方案十分重要。
(1)构建网络链接从链路层到应用层的多层防御体系。由交换机提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上,通过防火墙可以把安全信任网络和非安全网络进行隔离,并提供对DDoS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络应用层的保护。
(2)建立数据备份和异地容灾方案,建立了完善的数据备份体系,保证数据崩溃时能够实现数据的完全恢复。同时在异地建立一个备份站点,通过网络以异步的方式,把主站点的数据备份到备份站点,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。
5.安全信息管理与培训
(1)网络管理是计算机网络安全重要组成部分,在组织架构上,应采用虚拟团队的模式,成立了相关信息安全管理小组。从决策、监督和具体执行三个层面为网络信息安全工作提供保障。建立规范严谨的管理制度,制定相应的规范、配套制度能保证规范执行到位,保障了网络信息安全工作的“有章可循,有据可查”。主要涉及:安全策略管理、业务流程管理、应用软件开发管理、操作系统管理、网络安全管理、应急备份措施、运行流程管理、场所管理、安全法律法规的执行等。
(2)人员素质的高低对信息安全方面至关重要;提高人员素质的前提就是加强培训,特别加强是对专业信息人员的培训工作。
四、结束语
该企业信息与网络安全体系建设以技术、管理的安全理念为核心,从组织架构的建设、安全制度的制定、先进安全技术的应用三个层面,构建一个多层次、全方位网络防护体系。在统一的安全策略基础上,利用安全产品间的分工协作,并针对局部关键问题点进行安全部署,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中管理,达到提升网络对安全威胁的整体防御能力。
参考文献
