时间:2023-07-04 09:26:05
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全考核范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
对于网络与信息安全责任考核工作来说,只有对其开展的必要性有深入的理解和认同之后,才能够在实际的工作中进行有效的贯彻和落实,做到“信息安全,人人有责”。中国移动开展网络与信息安全责任考核工作的必要性主要有以下几方面:1.保障公民财产安全和社会良性发展中国移动每年都会收到大量关于电信诈骗的投诉,电信诈骗对公民的财产安全和社会的稳定有着极大的危害。中国移动开展网络与信息安全的考核工作,能够就社会发展中的一些危险因素,以及潜在的风险和漏洞进行及时的排查和处理,净化网络环境,为公民信息的传输和资源的获得提供良好的技术支撑。中国移动广西公司长期派驻人员到公安部门反虚假信息诈骗中心协助办公,进行涉案号码信息查询、关停等工作;提取嫌疑号码提交给公安刑侦、技侦部门,提供线索;协助公安机关捣毁网络诈骗窝点,捉拿犯罪嫌疑人,收缴短信群发器等作案工作;配合当地公安机关加强打击伪基站工作。截至2016年底,累计破获伪基站案件39起,缴获伪基站设备40台,抓获犯罪嫌疑人43人。2.优化企业内部管理的必然选择客户的满意度决定市场的份额。客户的满意度是通过基层分公司和员工来提升的,因此,在开展网络与信息安全责任考核工作的初期阶段,中国移动就把考核的重点放在基层运营公司,通过提高基层人员的信息安全意识来提升整个集团的网络与信息安全实力,从而获得较高的客户满意度。按照考核要求在基层建立有效的客户投诉和反馈途径,更好地了解客户对网络与信息安全方面的需求,从而提升服务的有效性。实践证明,中国移动通过开展有效的网络与信息安全责任考核工作,进一步优化了企业内部管理,提升了客户满意度,从而使更多的用户选择使用中国移动的服务。
开展网络与信息安全责任考核工作的问题
目前,中国移动的网络与信息安全责任考核工作尚处于探索和完善阶段,随着技术和制度都在不断地完善和发展,社会环境的变化,安全责任考核工作的侧重点和难度也在不断地提升。就中国移动而言,在当下网络与信息安全责任考核工作过程中,主要存在以下几方面的问题:1.执行情况参差不齐中国移动各地区分子公司对于信息安全工作的重视度以及信息安全方面的资源和能力差距比较大。虽然在考核之前会对各个指标进行专业性的指导和说明,但是往往由于参与考核的基层人员能力有限,造成考核结果与实际情况之间的偏差,影响考核结果的准确性。另一方面,对于一些难以定量的指标尚未形成固定的考核标准,在考核过程中会出现模棱两可的情况。对于技术性指标的考核主要体现在通信设备安全性和保密性方面,虽然技术在不断发展,但是对于那些作用周期长以及新技术方面,当前考核手段难以纳入并得到有效执行。2.忽视客户满意度对于中国移动来说,客户满意度是生存和发展的决定性因素,如何通过有效的途径了解客户对企业产品和业务的看法或建议,是企业需要重点关注的内容。同时,客户对信息安全性的重视度也在不断提升,在这样的背景下,中国移动包括第三方权威机构在对网络与信息安全工作进行考核时,对信息安全考核的目标认识存在一定的误解,往往为了达到考核目标,把客户的满意度割裂出去,相关工作开展更多从企业内部进行,忽视了客户对企业信息安全满意度的内容。
中国移动网络与信息安全责任考核工作经验
1.统筹谋划、狠抓落实,不断总结提高不断总结考核工作经验,将各分子公司的网络信息安全工作与集团考核工作有机结合。年初,明确考核工作思路,制定下发考核要点,细化任务进度和工作措施。同时,各分子公司加强培训交流,详细解读考核要求,开展经验分享。集团公司加强督查、狠抓落实。年中,组织各分子公司开展考核工作实地检查,及时发现问题和薄弱环节,明确整改要求和落实措施,推动问题尽快解决。年底,制定评分模板,量化细化考核指标,确保打分客观、准确,真实反映中国移动企业网络信息安全工作落实情况,务求考核要求落到实处。2.强化网络与信息安全责任考核意识网络与信息安全考核工作是一项长期性的工作,要想取得良好的成果,关键是提升整个公司人员对安全责任考核工作的认识,使安全责任工作深入到每位移动员工心中,贯穿于其日常的具体工作中。通过责任意识的强化,能够提升员工和管理者的重视度和对于网络与客户信息的有效保护,提升信息的安全级别。同时,通过强化意识,让员工从自身的工作情况出发,对本单位内部的网络与信息安全责任考核指标进行有效的讨论,提升考核的实效性,切实从技术层面保障考核效果的及时性和准确性。3.兼顾各方利益群体,加强协调和沟通网络与信息安全责任考核工作要想达到良好的考核效果,需要主管部门及各运营商多方面的共同努力。首先,需要国家相关部门通过法律、政策等方面的有效约束,为营造良好的网络与信息安全创造环境;其次,中国移动作为电信运营商之一,要与同行业的其他两个运营商进行密切的合作和相关技术的共享,将自身的优势转化为行业的优势,提升整个电信运营行业的网络与信息安全层次;第三,相关的网络与信息使用单位要根据自身的需要将相关的信息反馈给电信运营企业,为其提升网络与信息安全考核的等级提供必要的信息支撑。4.增强客户满意度在考核指标中的比例客户满意度对移动业务的发展有着决定的作用,正是因为中国移动根据客户对信息传递速度越来越高的要求,才率先推出了4G业务。因此,在开展网络与信息安全责任考核工作时,要将客户对本企业网络与信息安全工作的意见和看法进行有效的吸纳,这样,一方面提升了客户的满意度,无形之中提升了企业的竞争力;另一方面,也有助于企业将外部环境纳入到网络与信息安全责任考核工作中,提升考核工作的认可度。
2高校网络安全建设标准
(1)高校网络安全框架搭建标准。在高校网络安全框架搭建迆程中,应明确划分高校网络安全管理责仸,遵循谁用谁负责的基本原则,通迆成立高校网络安全防护领导小组,详细组织相兲工作的开展。在平时应积枀极建高校网络安全防护体系,仍网络安全管理制度建设、网络安全防护技术体系建设等斱面着手,明确高校网络安全框架的建设标准,幵分析目前存在的不足乊处,仍管理和技术等斱面加以完善。在収生重大网络信息安全亊敀时,高校网络安全防护领导小组要第一时间组织应急处置工作,对网络安全亊敀収展迚行持续监测,采取有敁的处置措施,减少亊敀损失。此外,高校网络安全防护领导小组还要定期对相兲工作迚行评价,改迚工作机制,促迚高校网络安全框架标准的逐步完善[2]。(2)高校网络安全技术体系标准。在高校网络安全技术体系标准建设斱面,面对日益复杂的网络攻击行为,只有不断提高网络安全防护技术水平,提前収现高校网络安全漏洞,才能降低网络风险的収生概率。首兇应有敁识别网络攻击行为以及病毒感染状冴,在现有网络安全防护体系的基础丆,布置多重安全技术手段。比如通迆增设网络安全设备、在应用层系统布置防护体系等,提高抵御黑客攻击和病毒入侵的能力。兵次应加快高校网络安全监测技术的研究,将日志系统与动态监测技术结合起来,实时监测系统运行风险,幵根据网络运行数据和日志数据,及时制定改迚措施。在重大网络安全漏洞的分析迆程中,采取安全态势感知技术,对风险源迚行追踪分析,仍而为安全防护技术的选择提供依据。最后,应综合采用多种数据安全防护技术,包拪数据备仹技术、数据加密技术等,提高数据在网络传播万的安全性[3]。(3)高校网络安全制度建设标准。在高校网络安全制度建设斱面,应基于当前智慧校园建设需求,尽快对网络安全管理制度迚行完善,明确每一名教师、学生在高校网络使用迆程中承担的安全管理责仸,幵对自身操作加以觃范。以彽出现的许多高校网络安全亊敀,都是由于内部人员使用不当造成的。因此,需要制定网络安全制度标准,对高校人员的网络使用行为加以约束。在此斱面,应极建高校网络设计和部署标准,明确运行环境挃标,确保高校网络运行环境良好。同时应明确网络安全亊敀的响应机制,在平时迚行演练,确保网络安全防护工作能够得到全校师生的支持。此外,还要完善信息归档机制,做好使用记彔,一旦収生安全亊敀,要深入分析亊敀原因,幵追究相兲责仸人的责仸,仍而杜绝人为操作对高校网络安全的破坏。
3高校网络安全规范设计
(1)物理防护设计。在高校网络安全觃范设计迆程中,首兇要确保物理层的安全性。对高校机房、网络设施等设备集中的区域,需集中管理,加强网络设备安全防护力度。其体可采用甴磁干扰检测、辐射保护、硬件状态检测等斱法,排除硬件设备可能受到的威胁。对于网络交换机、路由器等兲键设备,需要做好平时的运维检修工作,及时更换受损器件,确保网络正常使用。在高校网络物理防护设计迆程中,还应兲注环境监测系统的设计,消除环境安全隐患,确保机房区域的整洁性。此外,还应安排专门的管理人员,对网络设备迚行定期巟检,为设备安装相应的防护结极,提高设备使用安全性。(2)虚拟网络划分。高校网络属于大型局域网,兵中包含多个小型网络,比如图乢馆网络、学院网络、宿舍楼网络等。在不同子网络的使用迆程中,对兵网络安全标准也有不同要求。对于比较重要的教学网络和行政管理网络,则需要采取更加严栺的安全防护措施。因此,为了满足实际管理需求,需要对高校网络迚行详细划分,基于小型虚拟局域网(VLAN)迚行安全防护设计。然后根据每个VLAN的使用特点,包拪兵应用软件、网络接口设计情冴等,分析可能存在的系统漏洞。在此基础丆,极建事级网络防护体系,通迆安装防火墙和杀毒软件,实现对网络运行安全的有敁防护。(3)数据容错备仹。在高校网络安全觃范设计中,要做好数据安全防护设计。在高校网络受到攻击时,容易出现数据丢失或受损的情冴。因此,需要设计数据容错机制及备仹措施,确保数据在网络环境传辒迆程中的安全性。在服务器容错设计斱面,应实现对硬件的有敁保护,使兵能够在受到破坏时,不影响整个网络运行。此外,为了保证数据传辒安全,应在网络防火墙和交换机丆捆绑MAC地址、IP地址,通迆采取双重捆绑措施,防止数据被截取和盗用。在此情冴万,能够有敁提升高校网络的数据传辒安全性。(4)多重控制机制。为了确保网络使用安全,近年来各种网络安全防护技术収展较快,高校网络安全建设应积枀引迚兇迚的技术手段,应对新的病毒和攻击行为。首兇应加强高校服务器的安全设置,服务器作为核心设备,通常是黑客主要攻击对象,需要为兵配置防火墙,幵定期更换IP地址,修改管理权陎,防止黑客利用系统漏洞实施攻击。兵次,应利用入侵检测技术,及时収现异常访问行为,幵作出处理。在入侵检测技术的应用迆程中,应注意检测算法的更新,有敁识别黑客的伪装行为。最后,需要加强各种网络接入斱式的访问控制管理,杜绝不良信息的渗透,防止对学生身心成长造成影响。
4结语
综丆所述,面对高校网络的安全风险因素,必须通迆制定安全建设标准,觃范设计,才能为高校网络的安全使用提供保障。在其体设计迆程中,应综合采用多种网络安全防护技术,幵根据高校网络使用特点,细化相兲制度标准,确保高校网络的合理利用。在此情冴万,能够有敁提升高校网络安全水平,充分収挥网络技术的使用价值。
参考文献:
关键词:无线传感器;传感器网络;国防
DOI: 10.3969/j.issn.1005-5517.2013.10.002
无线传输挑战
鉴于这篇文章的写作目的,我们将缩小重点讨论的范围,以飞机或船舶上的健康状况监测a?用“机载或舰载”传感器网络的应用为研究对象。此类网络通常具有低数据速率的特点,其中传感器被安放在固定和有可能不易接近的位置,负责测量诸如振动、温度、压力、应变和加速度等物理条件。现行的有线传感器解决方案提供了一定的传感器覆盖率,可是,电线安装成本高昂,而且布线会造成重量增加,这两个因素共同作用的结果导致传感器的使用范围仅限于期望覆盖区域的一小部分。无线解决方案要想切实可行,就必须满足这种苛刻环境的严格要求。
理想情况下,典型传感器网络在设备中的寿命将达 10 年,而设备本身在 30 年或更长的时间里也许需要进行数次整修或升级。传感器和无线电线路应当是免维护的,而且最好是具有非常低的功耗以便采用电池和能量收集技术来供电,从而实现“无电缆式”安装。
保密和安全自然是非常重要;如果无线传感器网络要取代有线网络,则其必须具备安全的消息传递能力以及针对非法入侵和欺诈式外部攻击|ó§@¥X防护能力。
消息传递的可靠性也是至关紧要;具有错综复杂的金属舱和密闭空间的典型机载或舰载军事环境对无线传输提出了一些重大的挑战。众所周知,点对点无线电通信具有不可预知性,而且将受到 RF 干扰、多径衰落、路径阻塞以及特殊情况下节点彻底失效的影响。当节点以网格配置时,如果采用多个频道以避开干扰就可以解决这些问题,而且能识别阻塞的路径和缺失的节点,并自动重新配置传送路径。
如果可以利用一个无线传感器网络来满足上述要求,带来的好处将是巨大的。单单是安装成本的节省常常就足以证明使用无线技术的合理性,因为电缆的铺设成本可达传感器自身成本的 10 倍以上。此外,随着传感器覆盖区域的扩大,机器健康状况监测可大幅缩减系统故障停机时间、改善机械效率并实现可预知的维护。
无线技术选择
可供考虑的技术选择有几种;卫星和蜂窝技术可适用于传感器间距很大的户外应用,但在封闭的机载或舰载环境中则不适合。另外,它们还具有最高的每数据包能量成本,而且或许要求数据通过第三方网络运营商,这可能使安全问题复杂化。
另一种选择是 WiFi (IEEE 802.11b, g),其提供的每数据包能量成本比卫星或蜂窝技术低得多,但与传统的移动数据使用相比,它通常需要较高的接入点密度以利用固定传感器实现可靠的通信。作为折衷,在采用较少数¥?|ó较高功率节点比采用大量的低功率节点更为可取时,此类解决方案会很适合。
还有不少基于 LR-WPAN (低速率无线个人局域网) 标准 IEEE 802.15.4 的解决方案,包括凌力尔特的Dust Networks? 产品线。802.15.4 标准非常适合于具有相对较低数据速率(250kbps 以下) 和短数据包长度的低功耗、短程传感器网络运作。
各种呈竞争态势的 IEEE 802.15.4 解决方案以这样一种方式来利用互连节点网络,即O可通过不同的路径传送数据包,以提高传输的可靠性。Dust Networks 产品在传统的网格配置基础上做了改进,并率先运用了一种时间同步化通道跳频(TSCH) 网络协议,该协议已经成为诸如 IEC62591(WirelessHART) 和 IEEE 802.15.4E 等主要无线网格标准的基础。ZigBee Pro提供了一种替代方案,但其不能在末端节点上支持完整的网格实施方案,而且 CSMA (载波侦听多路访问) 技术的使用必然导致数据包冲突,因为消息在同一个时域中竞争。随着网络规模的扩大,这将成为一个日益严重的问题,而且由于节点在一个随机延迟周期之后必须重新尝试消息传送,所以会造成能量的浪费。ZigBee Pro 并非专为在所有节点上实现超低功耗而优化,而且稍后我们将会看到,被称为“Snap”和“DigiMesh”(ZigBee Pro 的变种) 的替代解决方案虽然试图克服这一问题,但无法与 SmartMesh IP 解决方案的性能或安全性相匹敌。
Dust Networks 解决方案
SmartMesh 网络由一个自形成的多跳节点网格和一个网络管理器组成,前者被称为“微尘”(mote),负责收集和转发数据;后者则用于监视和管理网络性能和安全性,并与主机应用程序交换数据。
SmartMesh 微尘和管理器是完整的嵌入式无线传感器网络解决方案。它们把基于 Dust Networks Eterna? 片上系统技术的硬件与一个时间同步通道跳频链路层及完整的网络软件相组合,以在最严苛的 RF 环境中提供 >99.999% 的数据可靠性,并为网络中的每个节点 (包括路由节点) 提供 10 年以上的电池寿命。
在理想的情况下,无线传感器不应要求外部馈电,从而实现“即撕即贴型”安装的概念。SmartMesh IP 采用 7.5ms 的集中管理预定义时隙,以实现节点之间数据包通信的同步。时隙根据应用的带宽要求进行分配,但一个 >1% 的占空比是常见的。节点仅在预定的时间唤醒,因而提供了超低的功耗。路由节点消耗的平均电流通常 < 50ìA,故可依靠两节 AA 锂电池运行 5~10 年。
由于路由节点在接收模式中连续供电 (因而需要线路功率级别),所以ZigBee Pro 方案的功耗较高。Snap 和 Digi-Mesh 虽然提供了低功耗路由器,但依赖于 IEEE 802.15.4 标准里的 “信标” 特性,此时是整个网络进入睡眠状态和被唤醒,从而导致严重的带宽限制。
SmartMesh 网络中的所有数据包都在每一层上进行鉴定,并实施端到端加密。在链路层上,采用一个运行时间密钥和一个基于时间的计数器在每一跳上对数据包进行鉴定。此外,还采用运行时间会话密钥和一个共享计数器对数据包实施鉴定和端到端加密。这些鉴定层共同提供了针对重放攻击和中间人攻击的防护作用。
利用一种基于会话的 128 位 AES 对称密钥加密为数据包载荷提供了窃听保护。新的节点最初采用一个特殊的连接密钥,然后使用一个随机数发生器将多个密钥分配至该新节点。利用多个此类加密密钥,一个节点的妥协折衷就不会危及网络其他节点的安全性。SmartMesh 的安全性大大强于 Snap和 Digi-Mesh 解决方案,后两者都只为整个网络采用了单一的加密密钥。
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)25-7098-03
To Build a Secured and Reliable Network Needs Combination of Initiative and Passive Defense
HUANG Wei-fa
(Fujian Provincial Tobacco Company Fuzhou Branch Company,Fuzhou 350013,China)
Abstract: How to guarantee the security of network tobacco business has become a key issue to push forward the smooth development of tobacco industry in the information era. According to the necessity to conduct electronic administration and e-commerce in tobacco industry, on the basis of the status quo of Fuzhou network security of tobacco business and daily work, this paper put forward a suggestion: network security administration is a comprehensive system, hence it is necessary to focus on the aspects of strategy, management and technology so as to build a more effective and more reliable network security system by combining initiative defense technology with the traditional passive defense.
Key words: initiative; passive; defense; security; network
近年来,随着信息技术的飞速发展和互联网的迅速普及,网络以其惊人的发展速度和巨大的利益吸引着厂商纷纷通过建立电子商务虚拟市场完成其交易活动,其广阔的发展前景已经引起世界各国的密切关注,而且越来越多的传统企业已经意识到以信息技术为主导的知识经济时代,以网络化、信息化、知识化、全球化为特征的新经济是不可逆转的。然而随着网络上的数据来往,网络信息安全成为企业更为关注的问题。由于烟草行业是国民经济的重要组成部门,面对激烈的竞争,提高网络的安全性能将对这种新型的网络商务运作模式的有效运转、提高我国烟草行业的经济效益和效率、提高企业的竞争力占据有力的作用。
该文以作者所在单位的网络为例,从策略、管理、技术等方面对如何打造更为安全可靠的网络安全体系进行了分析和探讨。
1 网络安全的基本认识
当今社会是信息化的社会,信息化的基础设施是网络。随着Internet的发展和PC机的普及,网络和信息化已经成为了现代社会的重要标志之一。从Internet的最早起源美国国防部高级研究计划署DARPA(Defence Advanced Research Projects Agency)的前身ARPAnet开始,到现代高达发达的信息化公路,网络可以说是无处不有,电子邮件、网上银行、电子商务、网络办公…… 网络已经融入了我们的生活,给人们的生活带来的极大的方便。
然而,网络信息技术也和其他科学技术一样是一把双刃剑。当大部分人们利用网络信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用网络信息技术却做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息、篡改和破坏数据,给社会造成难以估量的巨大损失。据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)统计, 2007年各种网络安全事件与2006年相比都有显著增加,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件成倍增长,网络仿冒事件数量由563件增加至1326件,增长率近1.4倍;垃圾邮件事件数量由587件增加至1197件,增长率达1倍;网页恶意代码事件数量由320件增加至1151件,增长率近2. 6倍。2007年微软公司正式公布了69个4具有编号的安全漏洞。其中,除Windows操作系统漏洞外,安全漏洞更多的集中出现在了IE浏览器和MS Office等应用软件上。
2 福州烟草网络安全现状
图1为作者所在单位的网络拓扑图。在图中可以看到,在广域网范围,全网由主备两条2M SDH链路连省公司和下属各县分公司;在城域网范围,连接各业务部门和下属单位近十条链路;由于业务需要,还存在到其他地区的2M 帧中继以及到兴业银行和农业银行等连接。这些线路或通过广域网连接到市公司中心机房的两台cisco 3600路由器,或通过城域网连接到市公司中心机房的6509核心交换机,最终全区所有节点约800台都汇聚到6509核心交换机。在全区外网唯一的出口和内网之间架设一台中科网威防火墙NPFW-200-P4和入侵检测服务器。在公司架设一台防病毒服务器,全网所有电脑都安装瑞星网络版防病毒软件。
从拓扑图来看,这是一个规模不大的网络系统,网络中采用了防火墙、入侵检测服务器和瑞星网络版防病毒软件等措施来构建基本的安全防御系统。防火墙隔离了内部局域网与外部互联网,保护内部网络不会轻易受到攻击,瑞星防病毒软件安装在每个终端上,对终端进行杀毒保护,这是最为简单的组合模式,然而在实际运作中,我们发现存在着不少安全问题。
首先,基于传统安全防御理念构建的网络架构,其防御的对象着眼于外部,忽视了来自内部的威胁。在传统思维的引导下,通常企业也都比较信任内部的员工,安全设备根本不对企业网络内部的情况进行监视。企业内部的每一个人都得到了充分的信任,可以在网络中随意游走,毫无限制。然而,来自安全研究机构的统计:超过85%的安全威胁来自企业内部,威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等。当然更有说服力的,还是国内外一些活生生的例子,包括很多全球知名企业的泄密案等,其损失之巨大,更是足以让后来者引以为戒。
传统安全防御的方法更多的是采取被动防御技术的,构筑好一个防御的城堡以后,就坐等敌人的进攻,主动权交到了对方的手里,这样的防御永远只能跟在对方的身后,拆拆补补,南门受到了攻击,就调集部队守南门,北门告急,再调过去补北门,疲于奔命,顾此失彼。而且一个城堡能否被攻破,不是取决于城堡有多厚,而是最薄的地方在哪里,而更加致命的是被动防御往往不知道什么地方最薄。
其次,在管理上,建立规范的信息化管理系统和制定符合实际的安全管理制度体系,并不是一个有什么难度的事情,最为困难的就是如何保障信息管理系统的有效运行和安全管理制度体系的执行到位,这涉及到企业的管理风格,业务模式与对信息安全的重视依赖程度,特别是企业领导对信息安全问题的重视程度以及信息部门在企业中的地位,决定了网络安全体系如何建设、建设到什么程度以及能够起到多大的作用。
最后,在技术上,我们虽已配备安全产品的“老三样”――防火墙、入侵检测以及防病毒软件。但随着技术的发展,现代防火墙技术已经逐步走向网络层之外的其他安全层次。而我们的防火墙功能比较弱,无法为各种网络应用提供相应的安全服务。同时,由于没有流量控制、带宽控制等功能,使得我们在外网访问管理上捉襟现肘,许多很好的管理思路无法得到实施。
对于终端电脑没有有效的工具来管理。如前所述,在传统安全防御思路中,对来自内部的安全威胁认识不足,各类信息软硬件的发展诸如移动存储设备(移动硬盘、闪盘、SD/CF/等)、服务器软件等使得病毒木马可以轻易绕过防火墙进入局域网内部,更何况现在许多的病毒木马可以终止安全软件的运行。身份认证系统是整个网络安全体系的基础,否则即便发现了安全问题也会由于无法查找而只能不了了之,只有建立了基于全区网络的统一身份认证系统,才能彻底的解决用户入网身份问题,同时也为各项应用系统提供了安全可靠的保证。
与作者所在单位相似的是,多年的信息化建设,使得许多企业也意识到了搞好网络安全的重要性和必要性,不少企业都能斥资数百乃至上千万购置防火墙、防病毒软硬件设备来构筑自己信息安全的堡垒。但是他们往往发现投入了许多,安全问题不减反增,每天不停打着漏洞补丁,病毒日志数十页地增加着,系统运行时好时坏,从事信息建设的工作者无法高枕无忧,反而更加有如履薄冰的感觉。尽管采用了花样翻新的安全产品和解决方案,但企业所面临的安全威胁不是减少,而是大大增加了。
道高一尺,魔高一丈。虽然90%的企业机构已经采用了防火墙和防病毒解决方案,但仍有超过一半会受到安全漏洞的影响;尽管对信息安全忧心忡忡的企业已经在该领域投入了大量资金,但企业每天受到攻击的次数却以每半年30%的速度增长。
3 主动与被动防御相结合构建更为安全的网络安全体系
网络安全解决方案核心目标是最大限度确保数据安全和业务的连续性。对于企业来说最关心的并不是一个完美的,无懈可击的网络,而是如何保证网络所承载业务的正常、安全、可靠地运行。虽然我们面对的信息网络具有各种各样的安全缺陷,只要我们通过适合灵活的安全策略,保证业务活动和业务数据的安全,并确保业务应用的可用性,那么承载业务的这个网络对于我们来说就是符合要求的安全网络。
以下从策略、管理、技术三个方面就如何打造主动与被动防御相结合的网络安全体系进行探讨:
3.1 在策略方面
3.1.1 配置入网身份认证机制
身份认证的缺失,使得任何一个用户对任何一个安全问题都是可抵赖的。而内部攻击的发生是无法从制度上阻止的。在网络节点接入安全网络时,需要对待接入的系统安全状况以及操作该节点系统用户的身份进行充分的评估、认证,以确定该系统是否符合网络的内部安全策略,来决定该网络节点系统是否接入到安全网络中,还是拒绝接入或安全升级后接入。显然,网络准入的机制不仅实现了安全网络“主动”的动态扩展,而且能够有效降低不可信终端系统接入网络所带来的潜在安全风险,为网络管理奠定良好的基础,有效保护核心数据的生成、访问、更改等操作,保障电子政务的运行以及为所有应用系统的统一单点登录创造条件。
3.1.2 加强网络内部机器的管理
对内部网络所有计算机上的重要信息的存储和传输实施访问控制、数据保护和日志记录,提供完善的集中管理控制机制、有效的安全策略生命周期管理方法和细致清晰的审计分析报告,从而能够有效地防止内部网络重要信息通过各种途径被非法泄漏和破坏。安全问题不仅仅来自外网,实践证明更多的来自内网。虽然我们非常清楚地知道企业内部人员的危险程度有多高,但是,内部人员的活动是无法预测的。谁都不可能知道哪些员工会在什么时间干出伤害公司利益的事情。因此,主动防御更多的就是要我们主动出击,防患于未然。
3.1.3 建立安全管理中心(SOC)
将关键设备的运行管理权利集中到一起,通过高度密集的管理产品和手段,将分散在各地区、不同业务网络上面的各种安全产品有机的结成一个整体。所涉及的安全管理管理范围包括:所有的基于IP的网络和应用系统的安全:包括支撑网本身、业务支撑系统(如决策支持系统、网管)、业务系统本身和其他应用。所有安全产品组成的安全体系的实时管理和监控都应当受到SOC的管理。所有非安全产品的关键应用系统均应该通过一定途径将安全相关信息输送到安全管理中心中,保证及时安全时间的发现、分析和响应。
3.2 在管理方面
3.2.1 网络安全是一项技术问题,更是一项管理问题
网络不能完全依赖安全产品来解决信息安全,网络安全更需要从管理的基础上突破技术问题。安全问题不仅仅是技术问题,更多是管理的问题。在技术保障下,良好的管理能够使网络安全达到最大化。网络安全事务是多维的,涉及到:公共管理、安全策略、法律法规、人员素质、安全审计、安全保险、安全技术、安全意识培养、安全评估等多方面。一个方面的疏漏就会导致整个安全防护系统功败垂成。通过加强管理来避免安全问题,使安全隐患最小化,建立安全问题的责任问责制,形成信息安全问题解决机制。
3.2.2 提高全体人员网络安全意识
1) 提高领导网络安全意识
网络安全关系着核心数据的保护、业务运行的稳定性和办公流程运转的连续性,是信息化工作的重要的基础性的内容。
2) 提高信息化工作人员网络安全意识
网络安全不是装个防火墙和防病毒软件,没事就杀杀毒。它是复杂的,多维的,动态发展的;它要求工作人员不仅要具备技术水平,更需要提高认识和综合能力,具备良好的管理水平。信息化工作人员有必要定期进行培训,接触并学习到较为前沿先进的技术知识,并加强和同行间的交流。
3) 提高终端用户网络安全意识。
所有终端用户是信息化工作开展的出发点和归宿点;他们既是信息网络的使用者,也是信息网络安全风险最大的制造者。引发安全问题可能是有意的,可能是无意的;但绝大多数是无意的。只有提高所有终端用户计算机使用水平和网络安全意识,才能最大程度消除安全风险。
3.2.3网络安全管理监督机制
任何制度建立了但没有执行就是一纸空文,执行了但没有监督就无法落到实处。网络安全管理监督需要技术做保证。只有具备进行身份认证和操作记录的技术,才能防止用户的抵赖,真正做到监督有所依据、有所成效。同时建立网络运行状况定期公布制度,甚至进一步建立奖惩制度,有力的督促用户规范使用网络和信息设备。
3.3 在技术方面
3.3.1 及时更新升级网络安全设备
对防火墙、防病毒软件等被动防御技术进行及时更新换代,以确保防火墙、防病毒软件能够适应最新的安全防御要求,实现管理者的安全防御思路和策略。提高网络管理者对网络的操控能力。
3.3.2 配置安全专用设备加强外网安全管理
新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵,着重的是网络层的过滤;而安全专用设备管理和控制内部用户对外的访问,着重的是应用层内容的检查。两者相辅相成,达成全方位及最佳效能的安全防卫架构。
3.3.3 配置网络管理软件加强终端用户管理
由于全网内终端电脑数量多、分布广、权限大、使用人员水平参差不齐等原因,网络安全管理在防范内网安全上存在着巨大的漏洞。内网存在大量的病毒传播,文件传输,共享漏洞,密码保护等问题。只有配置了网络管理软件,才能有效的实现可控、可追踪、可审计和全面的终端管理。
3.3.4 合理使用VPN或VLAN技术
合理使用VPN或VLAN技术,通过物理网络的划分,控制网络流量的流向,使其不要流向非法用户,以达到防范目的。
4 结论
构筑一个主动与被动防御相结合的网络安全体系,就需要打破原来城堡式的被动防御观念,建立一个灵活机动、积极寻找防御点的可以信赖并且是可控的网络环境,关键点就在于这个体系要能够主动预知和控制我们的防御。任何方案不可能做到绝对安全,只能最大限度去降低安全事故的发生概率,主动防御通过各种措施来评估和预知安全事故的可能发生点,采取手段制止事故的发生。在网络安全的管理与建设当中,应当清醒的认识到网络安全管理是一个综合的系统工程,需要从策略、管理、技术三方面着手,在传统被动防御的基础上结合主动防御技术构造更加有效可靠的网络安全体系,为烟草行业实现健康稳定可持续发展提供强有力的信息化技术支撑。
参考文献:
内外网隔离的问题,在报业的争论已经由来已久了,是隔离还是融合,可谓各执己见、莫衷一是,毕竟接入Internet给报社局域网带来的潜在威胁是显而易见的。为了追求上网的简便易行,全国大多数报社均采取了内外网融合的办法;也有些报社采取强制措施,内外网完全隔离,单独开个小网吧供内部编采人员上网冲浪;还有一些报社则另辟蹊径,在内外网之间建立起信息中转缓冲机制。我们在这里无意仲裁优劣,从积极的角度考虑,既然多数报社采取了这种内外网融合的连网方式,不妨探讨一下如何加强这类网络的安全建设,规避由此带来的安全风险和隐患。
1 加强网络管理制度建设,避免后院失火
(1) 建立规章制度
所谓“七分管理、三分技术”,未免显得老生常谈,但事实确真如此。殊不知七成的网络安全隐患来自于内部,所以加强内部员工的教育、培训和管理甚为重要,颇见成效的办法就是建立和健全各种网络操作规程和管理制度。
(2) 执行规章制度
制定了严格的规章制度,关键在于坚决彻底地执行,做到令行禁止。技术部门一定要履行好技术监督的职能,严抓不放,就像交通警察维持交通秩序一样,一旦司机们不敢再违章之时,也就是交通井然之际。
2 做好技术管理工作,肃清系统漏洞
(1) 网管软件的部署
一些报社采用了经典的网络管理软件,在一台管理终端上实时监视网上数据流量或有选择地监控网上任一台终端的工作状况,甚至对其实施远程管理操作。这样的网管软件无疑增加了网络管理的灵活性和前瞻性,有助于及时发现、分析和解决问题。
(2) 操作系统漏洞
操作系统若存在漏洞,将会给不速之客和恶性病毒以可乘之机,所以很有必要未雨绸缪。首先彻底扫描网络上每台服务器和客户端,查清他们的漏洞情况,进而安装最新补丁或其他改良软件,服务器端尽量只开放用得上的服务,安装必要的软件。大多数报社使用Windows操作系统,所以勤于到微软站点下载升级最新补丁是网管员的基本事务。另外,特别提醒的是,管理员密码一定要难猜、勤换且保密,管理员名字尽可能不用默认的“Administrator”,而改用其他名字。
(3) 数据库漏洞
除了经常追加最新补丁外,切记“sa”账号一定要设置复杂口令,因为好多攻击SQL数据库的病毒主要针对该账号口令为空的情形。
(4) 网络配置
为了强化网络安全,网络的VLAN 尽可能按各职能部门划分,每个VLAN中终端数以上限不超过200个为宜。采编所在VLAN与其他VLAN(尤其是财务和外网)之间尽量追加访问控制列表,严格控制访问权限,必要时将端口与客户端电脑的Mac地址绑定。
3 因特网入口层层设防,御敌于外
(1) 防毒墙、防火墙当关
网络黑客、病毒和木马等大多是通过因特网的入口伺机侵入的,所以把好入口关卡,关系到内网的安危成败。首先,不妨在因特网的入口处设置一台硬件防毒墙,在数据流进入内网之前先进行一次病毒过滤,这就大大降低了内网染毒的概率。然后,在后面再串联一台硬件防火墙,将报社的网站服务器(WWW、FTP、E-mail等)均置于相对安全的DMZ区,而内、外口则分别连接内部网和因特网。最后,分别在三个端口上设置相应的规则,以达到控制不同服务类型的数据流流出流入端口的目的,其设置基本原则是:只开放需要使用的服务端口,其他的一律禁用。
(2) 入侵检测与防护系统(IDP)过滤
为了实时检测多种类型(TCP、UDP扫描、拒绝服务攻击等)的入侵行为,捕获网络安全违规行为,可将入侵检测与防护网络监控器置于有敏感数据需要保护的网络上,实时监视网络上的数据流,分析网络通讯会话轨迹,以便于分析、追踪乃至阻断。这就为报社的敏感业务(如财务等)安插了一个岗哨。
4 互联网访问控制系统监管,防护内部网络
为了在内外网之间再增加一道安全屏障,内部局域网用户访问因特网最好经由互联网访问控制系统的旁路过滤和实时阻断。因为,它可以对采编网络的上网行为进行规范和调整,避免员工面对网络分散精力和注意力,违规访问不健康、不安全的站点,从而保障生产性网络的畅通无阻。
5 多级部署网络防毒体系,立体交叉清剿病毒
任何病毒的出现与防病毒代码的更新都有个迟滞效应,任何防毒软件其病毒代码的更新永远滞后于新型病毒的出现,因此没有包杀所有病毒的软件。我们曾经作过试验,对一台严重染毒的电脑先用某杀毒软件查杀,再用另一杀毒软件扫描,有时依然能查出病毒。所以单纯依赖某一套杀毒软件防护整个网络,安全系数不是足够高。不妨同时采用两家权威的反病毒软件,有规划地部署于内网,再与因特网入口的防毒墙结合,筑起一个立体交叉清毒体系。这样,整个内部网络系统的防杀安全系数就会显著提高,经过实践检验,也确实证实了这一点。
在内外网融合环境下提升报社采编网络的安全系数,将是个永恒而紧要的课题,这里探讨的也仅仅是冰山一角。随着网络安全技术的飞速发展,各单位网络安全防范意识的增强,真正意义上的采编网络安全将不再是遥远的梦。
参考文献
图书馆是高校当中必不可少的组成部分,是为学生提供阅读学习、查阅资料、提高自身素质的基础保障。高校图书馆网络安全一旦出现问题,数据上遭到丢失、破坏,那么图书馆系统将全部瘫痪,而且很难得到恢复,后果非常严重。其主要是因为图书馆网络当中存载在非常重要的信息,例如图书馆所有书目的数据信息、读者借阅信息、电子版图书数据信息以及大型数据库等等。由此可见,必须对高校图书馆网络安全加以重视,寻找图书馆网络安全出现问题的原因以及相对应的解决办法,从而使高校图书馆网络安全得到保障。
一、威胁高校图书馆网络安全的主要因素
威胁高校图书馆网络安全的因素不是单一的,是多方面在造成的。其中主要有技术设备方面的问题、系统管理方面的问题以及资源本身的问题等等。具体分析如下:
(一)管理制度有缺陷
管理制度是影响高校图书馆网络安全的最直接因素,其主要体现在其管理制度不健全,对网络管理没有做到足够的重视,对网络安全重要性认识不足,没有建立一个行之有效的防毒制度措施。
(二)人为原因
人为原因造成的图书馆网络安全问题有很多,例如对账户管理不当,密码设置过于简单或者将账号随意转交给他人使用。再有安全配置方面,工作人员对安全配置操作处理不恰当,从而出现安全漏洞。
二、高校图书馆网络安全办法
(一)建立完善的图书馆网络安全管理体系
建立一套完善的、健全的图书馆网络安全管理体系是非常必要的,因为在高校图书馆网络安全问题当中,有非常多安全问题都是由于人为原因造成的。所以说建立安全管理体系,对图书馆网络工作人员进行培训并实施责任式的制度,以确保高校图书馆网络安全。
1.制定安全管理制度
制定图书馆网络安全管理制度,是保障网络安全最基本的手段。安全管理制度必须全方位的实施,在网络系统方面、设备保养方面、故障处理方面、系统监控方面都必须建立相应的安全管理制度,缺一不可。另外,工作人员是整个网络安全管理的主体,所以说对工作人员实施的管理制度也是至关重要,在技术操作方面、病毒防护方面以及机房出入方面等等都要制定严格的制度,以达到更好管理水平的实施。最后,针对读者也要制定相应的规则制度,例如制定上机方面、网络操作流程方面相关规则,如有发现违规现象其相关处理制度等等。在制度制定上必须全方面、全方位的考虑周到,如果建立的管理制度不够全面,那么就会给安全问题留下隐患。
2.实施安全考核
在高校图书馆网络安全管理中,最行之有效的办法就是制定安全管理制度,那么如何确定安全管理制度是否正确的实施,所实施的制度是否起到了相应的效果,就要通过安全考核来进行检测。其次,要对网络安全策略进行定期的检测、调整,这主要是因为网络安全不是一成不变的,它是一个动态的过程,例如在系统配置方面,会经常性地出现变化,另外图书馆网络安全工作人员也会有一定的变动。由此可见安全考核的重要性,它是检测管理制度成效的手段,也是发现网络安全出现变动的工具。
3.图书馆各个部门之间的协调
图书馆各个部门之间的协调是保障网络安全的基础条件,如果图书馆内部各个部门之间不协调,那么无论何种管理制度都不会产生效果。在网络安全问题上,并不是技术部门独自努力就可以解决的,即使技术部门能力非常强,但得不到其他部门的配合,也一样起不到效果。例如,在图书馆内部工作当中,一些工作人员不配合技术部门的工作,不按规定的制度操作机器,下载图书馆之外的软件、使用图书馆之外的硬盘等等,这很有可能带来病毒,给图书馆网络安全留下隐患。
(二)系统管理人员的安全操作
要想避免图书馆网络安全出现问题,操作出现问题,系统管理人员的操作至关重要,这主要是因为系统管理人员在图书馆当中的权限是非常高的,一旦系统管理员发生操作错误,那么系统将全部将全部瘫痪,甚至无法挽救。由此可见系统管理人员的安全操作是保障图书馆网络安全非常重要的方面。最后,操作流程。如果操作流程不正确或者不谨慎很有可能造成操作的错误,因此系统工作人员在进行操作时一定要明确自己的操作范围、权限,如果发现不在自己的操作范围内就应该及时地报告领导。完成工作后要及时地推出网络系统,避免他人用自己的账号登录而造成的威胁。一定要对系统操作人员进行相关培训,提高其工作水平。
(三)完善图书馆网络安全技术
1.完善防火墙
防火墙是保障图书馆网络安全非常重要的技术,因为防火墙是网络安全监控系统,如果图书馆以外的网络进入到图书馆内部网,防火墙对此将加以监控,防治不安全因素的进入。目前高校图书馆网络系统对于防火墙的使用还不是很完善,因此,必须要对此加以重视。当前防火墙的主要类型有防火墙、过滤防火墙等等,防火墙的使用更广。
2.数据加密
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6657-02
随着信息的高速发展,各级政府机关已经陆续建设好自己的网络,系统越上越多,应用越来越复杂,办公系统、业务系统、管理系统、财务系统……政府机关或企业的各种事务都用电脑通过网络进行处理,由于网络技术不断发展,系统不停在增加,应用不断升级,安全管理问题突现,本文根据以上问题就局域网的安全特征进行分析,就如何管理好政府内部网络进行深入分析,探讨一个合适的内部网络管理办法,希望能形成一种制度或习惯,为各级领导和网络管理员更好的保证内部网络的安全运行……
1 网路安全问题的特征
1) 网络安全的必然性
网络上传输的各种数据信息都是电信号,大多具有相应的特征,通过这些电信号的特征分析,就可以获得计算机在网络上传递的数据,这是计算机网络与生俱来的致命弱点,其只能通过各种加密的算法,使其不易被破译而已,所以可以说世界上任何一部计算机网络都不是绝对安全的。
2) 安全问题面临的威胁
据统计,70%左右的安全问题来源于内部用户。黑客攻击是最可怕的,也是网络安全策略的首要防范对象,其通过制造病毒、编写木马对存在漏洞的计算机进行收集重要数据或者破坏攻击。近几年,在互联网上黑客猖狂肆虐,攻击不断,使通信网络中断,军事指挥系统失灵,网站瘫痪,中奖号码被篡改,电力和供水系统瘫痪,银行金融系统混乱,危及国家政治、军事、经济的安全与稳定,在世界各国造成了难以估量的损失。而在政府内部网当中,由于内部信息和互联网信息不断交流致使一些病毒和木马不知不觉得流入了内部网,在内部网内进行不断复制造成资源耗费、业务中断、资料泄漏、数据丢失甚至系统瘫痪、网络瘫痪。
3) 内部网络的存在的主要安全隐患
(1) 意识安全
在政府内部网中,人员的意识安全普遍不强。数据库使用缺省密码或常用密码,数据库连接串的信息嵌入应用软件当中,计算机不加密码、资源随意共享、软件随意安装、外来电脑随意入网……
(2) 系统漏洞
在政府网内运行的操作系统多种多样,很多内部网内未建设安全更新补丁服务器,正版的系统也不一定能够及时更新安全漏洞补丁,使得很多机器存在容易被攻击的可能。
(3) 隔离安全
政府内部网通常独立于互联网,但是由于现在工作也很难离开互联网,很多单位已经具备了内部网和互联网双网络,为了工作之方便,同时也为黑客病毒开了方便之门。
(4) 介质安全
由于内部网络计算机也要跟外部交流信息,移动硬盘、U盘和光盘不可避免地要和内部计算机进行数据交流,严格使用这些安全介质就是内部网络安全源头防护。
(5) 恶意攻击
内部网络一般是受到病毒的无意发作攻击,也会存在人为恶意攻击来获取信息。
2 如何构建内部安全网络
根据网络安全的存在的种种隐患,我们可以通过以下管理方式进行预防安全事故:
1) 制定严谨的安全制度
要确保内部网的安全,首先是制度的安全。和领导的足够重视、系统管理员的尽职尽责是分不开的。首先要制定完善的安全制度,把影响安全的行为规范起来,比如文件和打印的共享、计算机软件的安装要经过审批,接入内部网要经过审批备案才可接入等等;其次就要严格执行制度,对用户进行制度的安全培训,提高用户的意识安全和使用安全;再有就是安全制度的有效执行监督和考核机制。
2) 规划好内部网的安全框架
框架安全就是对网络的安全区进行管理,对提供服务的机器进行深度的安全保护,设立防火墙、访问控制等安全策略。
3) 划分好安全区域
现代政府网络一般局域网都使用100M或者1000M的局域网,通过租用运营商的电路与上级机关和下级机关的局域网互联,形成系统内部网。这么一个庞大的网络,就要进行安全区域的科学划分,划分无非分两种,一是网段划分,通过路由器进行数据交换;二是通过交换机进行Vlan划分,其作用主要是减少网络广播,结构清晰,管理方便
4) 提供安全的服务
在企业内部网内一般分级建立不少服务,常见的有文件服务系统,办公自动化管理系统,业务系统等等,如何能够为用户提供安全可靠的不间断服务,这是内部网的主要目的,也是内部服务网要解决的主要问题。要确保服务的安全,首先就是要科学配置好服务器,确保设备冗余,一般应该采用多个网卡接入内网的服务,关闭不必要的服务,所有的服务器应该接入到防火墙DMZ区,通过访问控制、加密技术和认证技术允许相应的机器或者网段对服务器的指定资源进行访问;其次要确保良好的服务机房环境,严格执行机房环境要求;第三就是要定期对机器进行检查维护,确保服务器无病毒、无故障正常运行。
5) 建设内部网络服务安全平台
部署网络管理系统,及时发现系统的设备情况、设备运行情况:
(1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
(2) 定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
(3) 利用网络包分析工具(如sniffer),定期进新网络健康检测分析、服务器性能分析,及时调整或变更配置管理或设备,该工具也能很快发现网络毛病位置。
(4) 设立内部安全更新服务器,及时为所有的机器更新漏洞补丁。
(5) 通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
(6) 通过数据备份或者快照等技术使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。
7) 客户端计算机的管理
局域网中的每一台计算机都可能是内网的安全隐患,所以要对网络内的客户端计算机进行严格的管理。一是要严格登记工作站的接入端口,记录好入网的基本信息资料,如用户名,物理端口号,网卡地址,接入交换机的具体设备和端口,形成初步的网络管理数据库,方便进行内网管理、故障管理和安全管理;二是在工作站安装相应的防病毒软件和桌面安全管理软件,由中央控制台统一控制和管理,实现全网统一防病毒;三是在用户端开启的业务应该严格控制,应该根据需求开启相应的服务,把缺省开启的不必要的服务关闭,通过本地安全策略设置,配置好相应的应用,关闭不必要的端口。四是文件网络传输尽量使用内部的FTP服务,尽量不要开启本地的文件和打印共享。五是严格管理好用户的应用,政府内部网系统较多,但是个人用户的应用就不一定很多,建议特定的人干特定的事情,通过访问控制机制,授权相应的机器访问相应的服务器,这样既减少网络的应用,也减少网络的安全威胁。
8) 建立安全考核机制
通过建立完善的安全考核机制,对内部使用人员、系统信息员和系统管理员进行考核,提高操作人员的安全觉悟和安全习惯对内部信息安全作用巨大。
3 结论
总之,随着内部网络的应用越广泛,内部安全问题也会经历越来越严峻的考验。因此网络信息的安全必须依靠严格执行管理制度,依靠不断创新的技术进步与应用和完善的监控手段是能够很好的保证政府内部网络的安全使用。
参考文献:
[1] 晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究.2005,3.
[2] 周碧英.浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18-19.
[3] 潘号良.面向基础设施的网络安全措施探讨[J].软件导刊,2008,(3):74-75.
随着网络技术发展高歌猛进,网络技术给人们的生活带来了便利,提升了人们群众的获得感,但是网络技术在提供便利的同时也暴露了很多安全漏洞,隐藏了很多安全隐患。一些别有用心的人利用计算机网络中暴露的漏洞开展攻击和入侵,截获用户敏感信息、核心机密,传播计算机病毒、破环计算机系统,这些恶意行为一旦成功,将产生严重后果,小的而言将付出经济代价,大的而言将付出安全代价。因此,加强计算机网络安全管理与防范,提升计算机网络安全能力是目前信息技术领域的重要课题迫切要求。
1计算机网络安全现状
随着互联网技术的不断发展,信息数据资源被广泛应用,在很多企业中大数据已经带来了客观的经济价值,但是我们也可以看到安全威胁一直存在,并给用户带来了很大的损失,帐号窃取,核心资料泄露等安全威胁一直存在。网络安全问题一直是企业需要应对和解决的头等大事,在开放共享的互联网环境下,用户安全意识参差不齐,很多用户安全意识薄弱,很容易受到网络安全的攻击和威胁,机密信息如帐号、密码信息泄露,机密信息被篡改、系统被攻击瘫痪,2013年是我国遭受网络攻击最平方很受损失最惨重一年,发生了多起重大的网络安全事故,例如棱镜门事件、路由器后门事件、APT攻击、DDOS攻击、全球范围内的大规模信息泄露等等,这些安全事件的发生给我国经济带来了严重损失高达高达5000亿美元,同时安群威胁还造成了严重的舆论影响,不利于社会稳定[1]。
2计算机网络管理的主要内容
2.1计算机组网管理:计算机组网管理是这个网络管理的基础性工作,当计算机需要进行组网时,需要设计组网方式、网络的承载能力、网络功能的设计以及网络地址的划分等基础性工作,当网络建设方案敲定后,开始进行网络的组网,计算机网络组网首选是要核对网络的组网用途、承载能力等,然后进行实施[2]。2.2网络维护与安全管理:一旦网络组网完成,下一步就是对网络进行维护、监控和安全防范,其中安全防范是这个网络生命周期中非常重要并且需要持续推进的工作。安全管理的内容非常广泛,大到网络安全的防火墙、病毒防范等,小到用户账号、密码的申请与用户行为日志的监控。总的来说,网络安全主要问题表现在如下几点:2.2.1企业内容人员不按规定操作,非法操作。随着计算机技术的普及,一线人员对计算机知识有了一定程度的掌握,计算机操作也变得娴熟。很多员工不遵守安全管理规定,存在侥幸心理,思想麻痹大意,同时企业对员工的安全教育不到位,考核问责不严厉,员工违规操作,导致了严重后果,付出了沉重代价。2.2.2外部人员的非法入侵。由于很多企业自身的计算机网络的维护水平不够,需要寻找网络运营商等第三方厂家进行进行网络维护,第三方厂家的维护人员由于自身安全意识薄弱,对网络进行误操作,导致网络瘫痪,也存在第三方厂家的维护人员动机不存,窃取核心机密进行出卖,获取非法收益。2.2.3电脑病毒、木马的破环。在互联互通的网络世界里面,任何一台计算机都存在被攻击和破坏的可能,邪恶与正义一直在较量,出现了很多病毒,对计算机网络系统进行了攻击,带来了很多威胁,产生了很大影响。2.2.4自然因素的损坏。存在一些不可抗拒的力量导致了计算机网络系统的损坏,例如因火灾、水灾、地震等因素导致的计算机网络设备的损坏,这些因素将导致计算机网络设备的损坏、数据丢失等严重后果。
3计算机网络安全防范措施
通过上述的归纳,网络安全无时不在,严重威胁着人们的生产生活,网络安全防范是企业健康运营的重要内容,一旦网络受到威胁,将威胁计算机网络的安全运行,严重的情况将导致整个网络瘫痪,重要数据被窃取,导致无法估量的经济损失,给企业的生产经营带来严重后果。因此应该加强网络安全防范,笔者认为应该在如下几个方面开展网络安全防范,提升网络安全防范能力,确保计算机网络持续健康运行[3]。3.1加强网络内控管理体系,提升人员安全意识。很多网络安全出现问题,都是由内部员工进行了非法操作进行的,很多企业的安全管理内控你健全,员工的安全生产意识薄弱,因此应该加强企业内部安全管理体系建设,形成网络安全考核问责机制,对员工进行定期的安全培训,增强企业员工的安全意识,形成问责、考核、奖惩并举的安全机制,营造分清气正的网络安全运营环境。3.2加强外部企业如供应商的安全管理。对外部的访问者进行流程化的网络安全管理,对申请的帐号进行严格把关,形成安全管理考核机制,对操作进行日志管理,执行严格追责。3.3提升网络硬件安全等级,当前的网络安全威胁,需要加强安全防范,提高网络安全防范登记,比如建立防火墙,防火墙是目前网络安全防范体系中比较重要的安全设备,提升防火墙硬件的数据安全等级,从而提升网络安全的登记,防火墙通过利用硬件和软件技术结合来防范网络安全攻击。通过对不可信的安全行为进行鉴别和拦截,建立防火墙安全日志,同时对网络进行内外隔离,通过建立级联组网方式将内网和外网进行隔离,提升网络的安全防范登记。通过防火墙技术实现数据包的过滤,同时可以对特定的网络端口进行禁止访问,防止非法的登入、连接与访问。建立详细的安全审计日志,对网络安装软件进行监控,对不安全的软件进行访问拦截。3.4信息加密和对网络进行限制访问。通过采用链路加密、节点加密和端对端加密对网络进行加密。通过链路加密技术对网络网络传输的数据进行加密,加密传输的数据报文,同时收到后进行解密,这样就防止了数据被窃取,链路加密是目前非常常用的加密技术,但需要消耗一定的网络性能,为了保障网络安全,消耗一定的性能也是可以的。当传输的的信息需要经过多个节点时,通过节点加密技术对信息在每个节点传输时进行加密,保障信息数据中节点上以密文形势呈现,提升了数据安全级别。对网络进行限制访问,能后有效的进行安全防范,在计算机网络访问中,有的是要访问文件、有的是操作数据,按照文件、数据重要性和区域性对网络用户进行限制,分门别类的进行访问控制,按照安全规则进行,提升网络安全级别。3.5加强网络病毒的防范。病毒是计算机网络安全威胁中比较广泛和严重的网络威胁,一些简单的网络病毒可以通过杀毒软件可以进行识别,但是很多比较复杂的病毒不容易被杀毒软件识别,此时需要及时、频繁的对网络病毒库进行更新,不断扩大病毒库,这样就可以及时的识别新型病毒。网络病毒的防范还需要用户具有良好的操作习惯和很强的安全意识,通过良好的操作防范病毒攻击是非常重要的也是可行的。3.6加强网络安全人才队伍建设。网络安全需要人力支持,人才是关键,形成一直网络技术过硬的人才队伍是保障网络安全的重要前提。国家需要在职业技术院校开展软件安全专业,并进行扶持,网络安全专业的人才目前来说非常欠缺,需要学校与社会培养相结合,将理论技术与实践经验相结合,培养过硬的网络安全人才服务网络安全防范阵地。3.7加强网络设施备份,形成容灾机制。少部分的网络安全威胁来之于自然因素,例如火灾、地震、磁盘损坏等,虽然这种网络安全威胁发生的概率低,但一旦发生损失缺很严重,基本失去了恢复的可能,通过建立容灾备份机制,特别是磁盘的备份如热备、冷备等,对重要数据的物理设施进行备份,一旦发生了网络安全威胁,如地震,断电等情况发生,启用备用机制,保障网络在最低时间恢复,保障网络正常、健康运行。
4结束语
网络安全防范是一个永恒的话题,安全防范的内容复制、覆盖面广,需要我们携手合作,不断提升网络安全防范的技术能力,突破技术瓶颈,研发更高级别的网络安全设备,不仅仅如此还需要我们加强网络安全教育,提升网络安全防范意识,要从软和硬两个方面来进行网络安全的防范,同时国家还要出台网络安全防范的制度标准,法律规范,将预防与惩戒落到实处,还有,需要我们加强合作与交流,不断学习先进国家的安全管理理念与方式,,充实安全管理内容,加强安全管理人才队伍建设,为安全防范提供有力的人力资源保障。
引用:
[1]吴巍.计算机网络安全问题及有效防范措施研究[J].计算机光盘软件与应用,2015:164-165.
1威胁计算机网络信息和网络安全保护的相关因素
(1)病毒及恶意代码威胁。计算机病毒是指一段具有自我复制和传播功能的计算机代码,这段代码通常能影响计算机的正常运行,甚至破坏计算机功能和毁坏数据。病毒的特点是破坏性强、传播性强、针对性强、扩散面广、传染方式多,以网络和Internet为主。如2001年6月18日,微软安全公告:Micro-softIIS.IDA/.IDQISAPI扩展远程缓冲区溢出漏洞。一个月后,利用此安全漏洞的蠕虫“红色代码”一夜之间攻击了国外36万台电脑。2001年8月6日,“红色代码Ⅱ”开始在国内发作,造成很多运营商和企事业单位网络瘫痪。给全球造成了高达26亿美元的损失。(2)僵尸网络威胁。僵尸网络(BotNet)是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。发现僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。(3)社会工程威胁。社会工程主要是假借客户,骗取资料;或是冒充技术员打电话,询问个人邮件密码,搜集员工个人信息,破解用户口令;收买公司员工,窃取内部机密等等。
2引起计算机网络信息与网络安全威胁的原因
引起计算机网络信息与网络安全威胁的原因较多,细分起来主要包括自然因素和环境因素。其中自然因素主要有断电、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件等方面的故障。人为因素主要包括不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益;外部人员利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力等等。另外内部人员由于缺乏责任心,或者由于不关心或不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。最后,网络技术的不完善也是引起安全事故的原因之一,网络结构庞大复杂,互联网出入口多,不同安全等级的网络、系统隔离不充分,易导致威胁的扩散(生产网、网管网、OA等)。业务系统自身的脆弱性(应用软件、业务逻辑漏洞、安全补丁等),IP化及业务开放性趋势导致新的弱点等等。
加强计算机网络信息和网络安全保护的具体措施
1加强对计算机网络信息和网络安全保护的重视力度
在计算机网络信息和网络安全保护的过程当中,要把安全问题做为当前工作的重点,高度重视网络安全与应急管理。完善体系,强化能力与手段建设;全网共同努力,快速完善、细化安全管理和安全技术要求;进一步加大安全预警、安全作业执行力度,完善安全考核指标体系;建设满足要求的新一代安全防护系统;坚持日常性的账号口令管理系统、日志审计系统、集中防病毒系统、综合接入网关等基础安全防护手段建设,以手段促管理。
2注重常规计算机网络信息和网络安全保护技术的使用
计算机网络实验是计算机网络技术专业的核心课程,又是其他相关专业如电子信息、物联网、电子商务等专业的基础学科。计算机网络实验作为培养学生网络实践能力的有效方式和途径,它可以培养学生的动手能力、适应能力和创新能力[1]。这就从根本上决定了计算机网络实验教学在培养多个专业高职学生的职业能力中的重要地位。
目前计算机网络实验教学中存在的问题有:(1)实验内容设计不合理,实验教学内容与理论教学内容没有必然联系,因此实验教学不能起到帮助理解理论知识的目的;同时还存在不同的网络课程的实验内容重复;实验内容固定不变,没有随着网络设备的更新而更新实验内容[2];实验项目没有整体性,实验受实验设备和实验成本的制约,开设的实验有限、学生重复练习的机会少。(2)实验内容与任务驱动项目化教学缺乏关联;缺乏大项目小任务序列实验项目;课程都没有网络实验指导书,学生做实验没有依据;实验报告内容格式由任课老师自行设计;同时缺少学生课后练习的平台;(3)开出的实验项目存在着实验项目设置、复杂度设置由任课教师个人确定,通常存在合理性不强,实用性、创新性不够,基础型、应用型和综合型实验间层次不连贯,对实验所需硬件设备的要求投入大,不能体现先进性,教学质量监控不到位,实验开放性不大等问题。
在继续深入进行教学改革的探索中,打破专业、课程界限,构建模块化递进式的计算机网络实验教学体系,优化整合实验项目,更新实验内容,加大教学资源建设,革新教学手段,健全考核方式,全面提高教学质量,有其紧迫性。
本文针对计算机网络实验教学中存在的问题,提出了模块化递进式计算机网络实验教学体系,以苏州工业职业技术学院网络实验教学为例,对该实验教学体系进行研究与探索。从初步的实践情况来看,该教学体系的实施改善了本校的网络实验教学质量,提高了教师的实验教学水平,完善了实验室管理制度,创新了实验模式和考核评价方式,使计算机网络实验教学形成了一个较为合理的教学模式,在培养学生网络实验能力、提高学生的职业素养方面发挥了重要作用。
一、编排层次递进的计算机网络实验教学模块
1.打破课程界限进行实验项目的重组与整合
根据计算机网络技术实验课程的培养目标,专业教师与业界专家共同探讨梳理了网络技术实验项目。将不同专业、不同课程的实验项目按照实验技能进行分类,建立递进开放式实验教学体系。由基本技能训练项目到综合实验项目,再延伸到结合地方经济转型升级和网络技术发展前沿的设计性、创新性实验项目,组成序列,实施循序递进训练项目。将计算机网络各门课程,按“计算机网络基础”、“交换机路由器配置”、“计算机网络安全”、“实用组网技术”等课程的实验项目进一步优化整合。以项目式课程三个项目模块“组建宿舍网络”、“组建小型企业网络”、“中型校园网络”为依托,按网络基本实验、网络互联实验、服务器配置实验、网络安全实验、综合实验编排成五个模块;设计覆盖一门或多门课程教学内容的选做实验项目。
2.打破专业界限设计网络实验项目
打破专业界限,兼顾不同专业教学要求。如:计算机网络技术、计算机应用技术、信息管理以及物联网技术等专业学生对计算机网络技术的知识技能有要求。因此实验项目的设计涵盖多个专业的计算机网络基础、网络安全基础、服务器配置与管理、实用组网技术等多门课程实验教学内容。解决了因不同专业教学要求不同、开设实验不同所带来的差异以及对实验环境的要求不同所带来的问题。
3.结合模拟软件和虚拟机的创新网络实验项目
创新实验项目,充分挖掘现代技术为教学服务。充分利用现代信息技术,开发虚拟工厂、虚拟工艺、虚拟实验[3]。利用虚拟机和模拟器开设网络互联实验、服务器配置实验及网络安全实验等实验项目。如在一台真实的物理主机上运行多个虚拟主机,在不需要其他联网设备的情况下,虚拟主机之间的连网实现在同一台物理主机中虚拟主机和真机间组建网络、安装防火墙、实现远程访问等网络实验。利用Packet Tracer模拟软件,为学习者提供了直观的实验环境[4],对学生理解网络OSI七层模型概念提供便利的实验环境。它不但可以模拟交换机、路由器、集线器、无线设备、主机等设备,而且使用这些设备可以完成网络的设计、建立、配置、排故等网络模拟实验,并通过分析数据包在网络层间的传输情况模拟过程,进行网络原理实验教学。在模拟软件和虚拟机技术,为新型实验教学体系的构建提供了技术保障,使大部分网络实验变得简单易行,学生重复强化训练变为可能。
二、实施递进开放式网络实验教学模式
针对模块化的实验项目,设计网络实验的教学模式。(1)在课堂教学中采用递进训练法。由学生预习实验内容,指导教师示范演示,指导学生动手训练操作,按指导书进行实验训练,根据模拟软件和虚拟机特点完成设计创新实验;在计算机网络实验室,根据实验教学大纲开发示范演示实验、模拟实验多媒体教学软件。在课内基本技能训练熟练程度达不到规范要求的学生,利用课余时间强化训练;学有余力、愿意进行新的实验搭建和探究试验的学生申请在开放实验室完成。全面引进模拟软件和虚拟机技术,广泛使用计算机辅助实验教学软件和多媒体课件进行实验教学。(2)在课后采用开放式学生自主学习方式。学生除在实验室完成课内实验教学外,利用装有模拟器的个人电脑进一步作基本技能训练和创新性实验。在使用模拟软件完成的实验中,学生进行探索性学习,再移植到学校所提供的开放实验室进行真实环境的实验学习,大大提高了实验室设备的使用率。
三、建立模块化递进式计算机网络实验教学体系
根据人才培养目标、专业培养方案和课程教学目标,依据模块化递进式教学模式,设计实验项目;确定实验模式,采取实验手段,利用合适的实验方法和科学的实验评价,对照实验项目的要求,综合评价实验教学效果。
1.实验项目、任务的设计和选择原则
在实验项目、任务的设计和选择上,在坚持以实际网络工程项目和体现职业岗位能力为原则的大前提下,注意以下几点:(1)实验内容出现的先后与组网课程教学项目基本保持一致,兼顾知识的系统性,技能训练的实效性,以保证整个实验教学体系的系统性和完整性。(2)实验的方式和环境要求,根据具体实验内容和条件的不同,采用真实环境和模拟环境,物理设备和虚拟设备兼用。(3)充分发挥模拟软件的实时、模拟功能设计知识理解和技能训练实验内容。(4)实验项目设计考虑可扩展性,使学生有探究的空间[5]。
2.模拟化递进式计算机网络实验的教学内容
模拟化递进式计算机网络实验课程采取了“宽基础、活模块”的设计思路,“宽基础”为毕业生提供了可持续发展的机会,模块式的课程结构强化了专项技能,项目课程可使学生在与工作任务的联系中学习知识,掌握完整的工作过程[6],如图1所示。
3.实验教学质量保证体系
从多方面入手建立教学质量保证体系。由多名一线骨干教师共同编写实验大纲及实验指导教材,根据硬件设备及最新模拟软件进行设计实验项目;保证实验设备完好,保证模拟软件及虚拟机运行顺畅;加强网络教学资源及模拟实验课件的建设,利用教学平台实现学生随时随地可进行模拟实验;培养一支具有实践经验的实验教师队伍。狠抓实验教学规范,提高实验教学质量。定期对照课程教学计划、实验课计划安排表、实验教学记录、实验教学进度、学生实验报告、阶段综合实验情况等进行检查,及时总结、反馈。实验教学考核采用过程考核,根据学生实验操作规范性、成功率、完成时间、实验的理解及实验报告等进行综合打分。为实现全面提高计算机网络教学质量的目的,制定过程考核方案。基本评价指标有两项:实验过程与实验结果。评价体系包括组内成员互评、小组间互评和教师评价[7]。
四、结 语
计算机网络实验教学应该紧密结合生产实际,为地方经济建设发展服务,跟踪网络技术发展及产业转型升级前沿。以构建学生的必备基本技能为核心,以培养学生综合能力为主线,构建层次递进的计算机网络实验教学体系。在计算机网络实验教学过程中实施递进训练,建立与新的教学体系相适应的灵活、开放、创新教学模式,广泛使用计算机辅助实验教学软件和多媒体课件进行实验教学,推进虚拟、仿真实验与场景实验的结合,建立基于网络平台计算机网络虚拟实验,完善实验室管理制度和考核评价方式,可提高教师的实验指导能力,全面提高计算机网络实验教学质量。
参考文献:
[1] 李阳,尚鹏.关于计算机网络课程实践教学质量保证的思考[J].安阳工学院学报,2010,9(2):115-116.
[2] 李丽.网络课程群实验教学体系建设研究[J].科技创新导报,2012,(8):170.
[3] 徐挺,裴亚萍.以示范性高职院校为例谈人才培养模式的基本特征[J].教育与职业,2010,(6):11.
[4] 谭方勇,张燕,李金祥.基于虚拟仿真软件技术的计算机网络实验教学体系[J].计算机时代,2011,(11):51-53.
随着国家电网公司信息化战略的部署和资金、技术的投入,县级供电企业的信息化建设水平得到了很快的提升,供电企业的生产调度和经营管理对计算机和网络信息系统的依赖程度也越来越强,甚至,离开了信息系统的支撑,日常的生产、经营、管理活动已经不能顺利进行。但是,需要引起重视的是,县级供电企业在信息化跃进过程中,在人员、设备、技术和管理中的不足,使信息安全面临的风险也在日益突出。
一、信息安全风险
信息作为一种特殊资源与其它资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。
县级供电公司信息安全的风险有内部的,也有外部的。内部的表现为:网络故障、应用系统故障等;外部的表现为:网络入侵、外部泄密等。内、外部网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力企业网络上连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取商业秘密和机密信息,非法使用网络资源等,将给企业造成巨大的损失。
二、信息化网络及应用现状分析
在网络硬件方面,已经建成CISCO7603、CISCO4507R为主交换机,主干为千兆的以太网。上联网络连接升级为光纤通信为主,以太网2M为备用的方式。建成了覆盖全公司20多个乡镇供电所及变电所的农村信息网。实现百兆到桌面、三层交换、VLAN等技术普及使用。主要分为两类网络系统,一类是实时系统,有调度自动化系统、设备监控操作系统;另一类是非实时的办公自动化应用系统、电能量采集系统、集中抄表系统。两类网络系统是物理隔离,分网运行的。
在软件方面,各应用主要包括调度自动化系统、负荷监控系统等。计算机及信息网络系统在电力生产、建设等各个领域有着十分广泛的应用,为安全生产、降低成本等方面取得了明显的社会效益和经济效益。
三、信息安全现状分析
按照省、市公司信息化工作的统一部署,我公司信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行了物理隔离。按江苏省电力公司系统集成、数据集中要求,调度系统、电力营销等核心数据都集中在省市公司管理,对公司网站、NOTES、下属企业财务数据都建立了备份策略和容错措施。企业内网和互联网采取了严格的隔离措施,严防内外网机器混用造成信息外联。信息网络按业务划分了10个VLAN,设置了访问控制。采取了统一的域名管理,与市公司共享操作系统LiveUpdate系统,及时派发更新程序,堵塞操作系统漏洞。部署了symantec防病毒软件,通过派发的形式对整个网络部署查、杀毒。全面应用了国网桌面终端管理系统,实时监控客户端的异常情况。采用了国网移动存储介质管理系统,加强对移动存储介质的管理。
但是客观来说,县级供电企业在信息安全管理上人员、技术薄弱,职工信息安全意识不到位,管理流程上存在疏漏,给网络的安全埋伏了很多的不利因素。
四、信息安全存在的问题
1、操作系统及网络安全问题。
目前,电力企业信息网络中使用的硬件设备及操作系统的核心技术基本上来自国外,被认为是易窥视和易打击的“玻璃网”,网络安全处于被窃听、干扰等多种信息安全威胁的脆弱的状态。同时,县级供电企业的操作系统大部分缺乏正版保护,难以得到有效升级和修补,难免受到“木马”与“后门”的威胁;用户习惯于默认密码或管理者设置的初始密码,较容易被他人破解;操作系统不安全的默认设置、共享等都可能给非法入侵提供方便。对于网络设备,用户使用tracert等工具较容易获知核心交换机的IP地址,如果管理端口不加限制,使用空密码,明文密码或默认密码,交换设备有被恶意控制的可能。局域网络布点缺乏有效的规划和管理,对使用普通交换机随意串接,甚至使用无线路由串入,缺乏侦控手段,同时对计算机设备接入也缺乏有效的审查管理,内网外联风险比较突出。
2、应用系统用户身份认证和访问控制急需加强。企业中的信息系统一般为特定范围的用户使用,包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。
一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制。二是各应用系统之间没有一个统一的用户管理,使用起来非常不方便,更不用说账号的有效管理和安全了。三是用户安全意识不强,习惯于默认密码或管理者设置的初始密码。应用系统人员变换后,延用以前的密码,疏于更换帐号与口令。习惯于使用“保存账号”、“保存密码”的方式登陆应用系统。
3、木马与病毒问题。
随着Internet技术的发展、企业网络环境的壮大和企业网络应用的增多,病毒的感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。同时,黑客攻击的风险增大。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用破解口令、天窗等于段侵入计算机系统,进行信息破坏或占用系统资源,使得用户无法使用自己的机器。非正版保护的操作系统和应用软件的使用,为木马与病毒的植入及黑客攻击提供了可能;部分客户机的操作系统和防病毒软件未能及时得到升级,系统用户在使用移动介质在外网和内网之间交换数据时,很容易携入木马与病毒,使之成为发动攻击的肉鸡。
4、存储介质管理问题。
目前,县级供电公司虽然推广使用了国家电网移动存储介质管理系统,但是在使用中仍存在三种信息失密可能:一是用户习惯使用注册时的默认密码,不加以个性化更改,这样移动介质被他人获取后很容易被破解,使数据泄密。二是部分用户在移动存储介质注册时,为图使用方便,划分出自由区域,在实际使用时,绕过保密区登陆使用,将工作文档存储在自由区,如此使用移动介质,毫无保密可言,极易形成信息外泄;移动存储介质的交叉使用,也可能造成信息内部失密。另外,机器维修也需加强管理,目前,县级供电公司基本上计算机专职配置为1人,需要管理300台左右的机器和庞大的局域网络,基本上是疲于应付,计算机故障处理、系统重装等一般外包给社会电脑门市,将单机信息保密工作寄托于维修商的良知,风险极大。
5、数据库数据和文件的明文存储。
电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以绕过应用系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。
五、针对信息安全漏洞的防控措施
1、加强信息安全教育。应该将信息纳入到供电企业安全管理中,并与生产安全置于同等重要的位置,长效管理,常抓常新。为了保证安全的成功和有效,信息主管部门应当对企业各级管理人员、用户、技术人员进行安全培训。特别是对基层班组和供电所信息用户,应用能力相对薄弱,亟需开展定期的应用能力培训和考核。所有的职工必须了解并严格执行企业安全策略,明确其对企业信息安全所承担的职责和义务,要求能够保证自己的计算机和相关应用的安全。
2、加强密码管理工作。对网络设备、操作系统等各类密码要妥善治理,杜绝默认密码,出厂密码,无密码和容易猜测的密码,防止非法用户入侵使用。密码要及时更新,特别是有职员调离时密码一定要及时更新。减少应用系统的账号共用、通用。
3、加强信息介质的管理。备份的介质要防止丢失和被盗。移动存储介质注册时要限制使用自由存储区域,减少使用通用密码。建立报废的介质的清除和销毁制度,加强报废介质管理。增加计算机管理人员配备和加强计算机管理网络建立,逐步减少外送维修,防范外修过程中存储介质信息的泄密。
4、加强设备技术投入。应用先进的加密技术和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求。引进进侵检测系统提供企业级的安全检测手段,最大限度地、全天候地实施网络监控。在事后分析的时候,可以清楚地界定责任人和责任事件,为网络治理提供强有力的保障。建议取消DHCP服务,在交换设备上使用MAC地址与IP地址的绑定,加强接入内网设备的有序管理。
5、加强内网外联治理。在管理上,加强内网外联知识与危害性的广泛宣传,对发生内网外联事件的人要严肃处理,捆绑考核。在技术上,内、外网的设备接入要有明显的物理隔离和标志,防止误操作的发生;杜绝计算机内外网混用;严格防范ADSL等设备接入内网终端。
6、加强信息责任制考核。要强化信息安全考核机制的执行,对发生的信息安全事故或隐患,要通过技术手段追踪到责任人,并按照四不放过的要求,组织分析调查,落实考核、落实整改措施,并举一反三,深化对全体职工信息安全养成教育。
六、结束语
综上所述,技术是信息安全的主体,管理是安全的灵魂,信息安全,三分技术,七分管理。只有将有效的安全管理实践自始至终贯彻落实于信息安全工作当中,信息安全的长期性和稳定性才能有所保证。
参考文献:
