網絡安全設施建設范文

時間:2023-11-13 17:50:48

導語:如何才能寫好一篇網絡安全設施建設,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

網絡安全設施建設

篇1

關鍵詞:計算機網絡;安全建設;威脅因素;安全技術

中圖分類號:TP393.08

目前計算機網絡實現了信息全球化,被廣泛應用到人們的學習、生活和工作之中,甚至也被應用到了國家各種事務的處理之中。但是因為計算機網絡具有開放性、互聯性和多樣性的特點,很容易受到攻擊,存在很多威脅因素。因此,就要采取必要的措施來網絡信息的安全、保密、可靠。

1 計算機網絡安全存在的威脅因素

威脅計算機網絡安全的因素是多種多樣的,涉及到很多個方面的,下面將對當前網絡安全存在的威脅進行總結:

1.1 無授權訪問。無授權訪問指的是沒有經過預先同意的對網絡或計算機資源的使用,主要包括:自作主張的擴大權限,越權訪問不該訪問的信息;故意避開系統訪問的控制,不正常的使用網絡資源和設備。這些無授權訪問主要通過非法進入網絡系統、違規操作、假冒身份、身份攻擊以及合法的用戶不以授權的方式進行操作形式表現出來。

1.2 數據的完整性遭到破壞。一些攻擊者使用違法手段盜竊數據的使用券,并對這些數據進行插入、修改、刪除或者是重發一些重要保密的信息,期望得到有益于自己的響應。并且他們為了影響用戶的正常使用,惡意修改、添加數據,破壞數據的完整性和正確性。

1.3 使用計算機網絡散播病毒。計算機病毒通常是最先以一個計算機系統作為載體,通過移動硬盤、軟盤、網絡和光盤等媒質介體,對其他的計算機系統進行惡意破壞。計算機病毒能夠在特別短的時間內使整個計算機網絡癱瘓,使得網絡損失慘重。用戶很難防范通過計算機網絡傳播的病毒,單機系統和計算機系統很容易在病毒的干擾下發生異常和破壞。

1.4 丟失或泄露信息。被有意或者是無意丟失和泄露的信息往往是敏感數據和保密數據,通常包括:信息在存儲介質中遭到泄露或丟失、信息在傳輸過程中遭到泄露或丟失(最常見的就是黑客通過對通信長度或頻度、信息流量和流向等數據的分析以及利用搭線竊聽或者是電磁泄露的方式截獲或破解機密信息,來推算出用戶的賬號、口令等重要的有用的信息)、黑客建立隱蔽隧道來偷竊敏感保密的信息。

1.5 干擾服務攻擊。主要是通過改變服務系統的正常的作業流程、執行無關緊要的程序來減慢系統響應直至癱瘓等方式不斷地對計算機網絡服務系統進行干擾,干擾合法用戶的正常使用,以及不使正常用戶進入計算機網絡系統,無法得到服務等。

1.6 管理不到位存在的威脅。計算機網絡的正常運行離不開正確的管理,錯誤的管理會給企業造成非常巨大的損失。需要進行的管理主要包括計算機網絡、硬件設備和軟件系統,例如若是軟件系統沒有健全的安全管理,不僅會破壞計算機網絡的安全,還會使得計算機網絡錯誤的運行。還有一個因素就是工作人員在工作過程中,不注意對移動U盤進行保護和管理,加入病毒,在插入電腦之后,又將帶著的病毒傳給電腦,病毒進入電腦之后,就會電腦的網絡系統進行惡意破壞,使整個計算機網絡系統癱瘓不能使用。

2 計算機網絡系統安全技術措施

2.1 檢測入侵。如果計算機網絡中存在可以被惡意攻擊者利用的漏洞、安全弱點和不安全的配置(如應用程序、網絡服務、網絡設備、TCP/IP協議、操作系統等幾個方面存在這樣的問題),就會遭到黑客或者攻擊者的網絡攻擊和惡意入侵。網管人員在網絡系統沒有預警防護機制的情況下,是很難發現已經侵入到內部網絡和關鍵主機的攻擊者實施的非法操作的。檢測入侵系統可以說是計算機網絡系統的第二個安全閘門,因為它在監聽網絡的時候不影響計算機網絡系統的性能,并且可以及時地提供對誤操作、外部攻擊和內部攻擊的保護。

2.2 應用安全漏洞掃描技術。安全漏洞掃描技術可以通過自動檢測本地或者是遠程主機安全上存在的弱點,使網絡管理人員在黑客和入侵者找到漏洞之前就修補存在著的這些安全漏洞。專門檢查數據庫安全漏洞的掃描器、網路安全漏洞掃描和主機安全漏洞掃描等都是安全漏洞掃描軟件。但是由于操作系統的安全漏洞隨時在、安全資料庫時刻在更新,所以各種安全漏洞掃描器只有及時進行更新才能掃描出系統的全部安全漏洞,防止黑客的進入。

2.3 防治計算機病毒。防治計算機病毒的首要做法就是要給所以計算機裝上殺毒軟件,并對這些殺毒軟件進行及時的更新和維護,還要定期對這些殺毒軟件進行升級。殺毒軟件可以在病毒侵入到系統的時候及時地發現病毒庫中已經存在的可以代碼、可疑程序和病毒,并警告給主系統準確的查找病毒的實際來源,對大多數病毒進行及時的隔離和清除。使用者要注意不要隨意打開或者安裝來歷不明的程序、軟件和陌生郵件等。發現已經感染病毒后要對病毒實行檢測和清除,及時修補系統漏洞。

2.4 使用防火墻技術。防火墻指的是一個控制兩個網絡間互相訪問的一個系統,它主要通過對硬件和軟件的結合為內部網絡和外部網絡的溝通建立一個“保護層”,只有經過這個保護層連接和檢查,獲得授權允許的通信才能通過這個保護層。防火墻不僅能夠阻止外界非法訪問內部網絡資源,還能提供監視Internet預警和安全的方便端點,控制內部訪問外部的特殊站點。然而,防火墻并不能解決一切問題,即使是通過精心配制的防火墻也不能抵擋住隱蔽在外觀看似正常的數據下的程序通道。為了更好的利用防火墻技術保護網絡的安全,就要根據需求合理的配置防火墻,采用加密的HTTP協議和過濾嚴格的WEB程序,不要多開端口,經常升級,管理好內部網絡的用戶。

2.5 黑客誘騙技術。黑客誘騙技術就是通過―個由網絡安全專家精心設置的特殊系統來引誘黑客,并記錄和跟蹤黑客,其最重點的功能就是經過特殊設置記錄和監視系統中的所有操作,網絡安全專家經過精心的偽裝能夠達到使黑客和惡意的進攻者在進入目標系統后,并不知道自己的行為已經處于別人的監視之中。網絡安全專家故意在黑客誘騙技術系統中放置一些虛假的敏感信息或留下一些安全漏洞來吸引黑客自行上鉤,使得黑客并不知道他們在目標系統中的所有行為都已經被記錄下來。黑客誘騙技術系統的管理人員可以仔細分析和研究這些記錄,了解黑客采用的攻擊水平、攻擊工具、攻擊目的和攻擊手段等,還可以分析黑客的聊天記錄來推算他們的下一個攻擊目標和活動范圍,對系統進行防護性保護。同時這些記錄還可以作為黑客的證據,保護自身的利益。

2.6 網絡安全管理。確保網絡的安全,還要加強對網絡的管理,要限制用戶的訪問權限、制定有關的規章制度、制定書面規定、策劃網絡的安全措施、規定好網絡人員的安全規則。此外,還要制定網絡系統的應急措施和維護制度,確定安全管理和等級,這樣才能確保網絡的安全。

3 結束語

由于我們的工作和生活都離不開網絡,所以計算機網絡安全是我們非常關注的事情。我們需要建立一個安全、完善的計算機網絡系統來保證我們的利益,需要計算機網絡進行不斷的完善,解決掉存在的各種安全威脅。同時網絡的不安全也會影響到企業和國家的利益,所以只要網絡的安全性提高了,企業和國家才能發展的更好,社會才會進步。

參考文獻:

[1]張鏑.淺析計算機網絡安全建設方法及安全技術[J].電子世界,2014(08):21-22.

[2]趙洪斌.計算機網絡安全建設方法及安全技術[J].計算機光盤軟件和應用,2013(11):35-38.

篇2

作為一門綜合性的新學科,網絡空間安全覆蓋物理層、網絡層、數據層等多個層面的問題[1]。網絡安全信息化領導小組于2014年2月正式成立[2],表明網絡空間安全人才的培養迫在眉睫。2015年6月,教育部批示在工學中設立網絡空間安全一級學科,學科代碼為0839[3]。2016年6月,中央網信辦《關于加強網絡安全學科建設和人才培養的意見》(中網辦發文[2016]4號)文件[4],至此國家對網絡空間安全人才培養的重要性和需求也提升至一個嶄新的層面。

1 網絡空間安全的教學體系

網絡空間安全是一門交叉性學科,融合了數學、信息論、計算復雜理論、控制論、系統論、認知科學、博弈論、管理學、法學等學科知識,其研究內容不僅涉及非傳統網絡安全理論與技術,如網絡安全、網絡攻防、網絡安全的管理、信息安全等,還囊括網絡應用的安全,如數據的恢復與取證、輿情分析、工程系統和物聯網安全等。與其他學科相比,網絡空間安全不僅采用理論分析、實驗驗證、技術實現等常規手段,還采用逆向分析等技術,從攻方和守方兩個不同的角度分析當前網絡空間安全所面臨的威脅[5]。網絡空間安全的教學體系框架如圖1所示。

2 課程改革的發展與建設

2.1 課程體系教學改革

現有的網絡安全或信息安全教學體系分為兩種,一種是傳統課堂教學模式,另一種是互聯網在線教學。傳統課堂教學模式可以實現良好的師生互動,但是授課內容大都是授課教師擬定,學生不能根據自身喜好、知識水平、技術能力等實際情況選擇適合自己的課程?;诨ヂ摼W的在線教學雖然解決了學習地域以及時間受限的問題,但是還存在缺少互動實踐環節、不能及時鞏固練習及反饋學習內容的問題。針對兩種教學模式的固有缺點,結合網絡空間安全的學習更需要可知、可感和可實踐的特點,教師可嘗試設計網絡空間安全課程的實踐教學模式,涵蓋可實施性的應用教學案例,滿足更輕量、更豐富且更自由的新型學習理念,提高學生的創新能力與實踐能力。

2.2 實踐教學課程建設

網絡空間安全實踐教學設計采用層層深入各個知識點、關鍵技術的原理演示與課后練習實踐等多種教學模式,課程設計要能夠理清網絡空間安全學科涉及的各個主要教學內容,融合網絡空間安全、網絡安全和信息安全相互之間的聯系和區別。

實踐教學的內容設計涵蓋了學習者所需要的大部分重難點知識體系。學生既可以通過實踐教學系統搭建仿真環境自主學習,又可以點播、跟蹤指導教師授課視頻進行學習,不斷強化學習者對網絡空間安全的整體規劃意識。這個整體規劃意識是網絡空間安全、網絡安全、信息安全相互之間的聯系,三者之間存在相互區別又相互促進的關系。

每節課都提供詳細的PPT教案與教學視頻供學生學習,課程涵蓋基本的知識量且在完成規定的授課學時后,還將課程進行深度與廣度的拓展,如挖掘應用技術和國內外網絡空間安全領域發展的最新進展,不僅為學生提供充足的、具有自主性的學習資源,還可為教師提供一次學習提高的機會。課程中除了知識講解,還需設定學生提出問題并布置作業的模塊。完善建設中的實踐教學系統如圖2和圖3所示。

3 實踐教學體系結構

文獻[6]提出 “一個通過規則管理的虛擬的空間,這種空間稱為‘網絡空間’。網絡空間的安全涉及設備層、系統層、數據層和應用層這四大層面上的問題,這是網絡空間安全概念的初步定義。教學內容建設是課程建設的核心,綜合考慮教學內容的可實踐性、可擴展性、綜合完備性等方面因素之后,我們利用網絡自主學習的整體性原則,把網絡空間安全課程的教學內容劃分為設備安全、系統安全、數據安全和應用安全4個部分,每一部分重視和強化實踐與實驗環節,強調學生自學能力,以激發學生獨立思考的思維。實踐教學內容見表1。實踐教學內容體系框架如圖4所示。

4 實踐教學任務規劃

4.1 教學規劃

綜合表1和圖4,具體的教學任務安排如下。

(1)設備安全:①防火墻建設與保護,如Linux防火墻配置、事件審計、狀態檢測等;②入侵異常檢測,如HIDS部署實驗、入侵行為檢測實驗、異常行為檢測等;③容災數據安全備份,如NAS存儲、Linux RAID實驗、IP SAN存儲管理等;④通信安全,如語言保密通信實驗、MAP信息安全傳輸、認證實驗等;⑤服務器安全,如Linux日志管理、遠程桌面安全配置、Windows網絡管理等;⑥無線保護,如無線組測試、WEP密碼破解測試、WPA配置測試等。

(2)系統安全:①操作系統安全,如Web安全配置、Linux用戶管理、FTP服務安全配置等;②數據庫安全保障,如MYSQL與SQLServer的安全審計、數據的安全備份與恢復等;③身份認證,如動態口令認證系統實驗、人臉識別與檢測編程實驗等;④安全審計等,如文件事件審查、網絡事件審查、主機監控實驗等。

(3)數據安全:①密碼學及應用,如密碼學、PKI、PMI等;②密碼破解,如Linux密碼破解、Win密碼破解、遠程密碼破解等;③信息防護,如圖像信息和音頻信息的隱藏與加密實驗等。

(4)應用安全:①計算機病毒,如腳本病毒實驗、木馬攻擊實驗、PE型病毒實驗等;②網絡掃描與嗅探,如網絡連通實驗、路由信息探測實驗、網絡嗅探實驗等;③逆向工程,如Aspck加殼、 Aspack反匯編分析、逆向工程高級實驗等;④網絡欺騙,如ARP_DNS欺騙實驗、MAC地址欺騙實驗、DOS攻擊實驗等;⑤緩沖區溢出,如緩沖區溢出初等級實驗、緩沖區溢出中等級實驗等。

4.2 實施路徑

實施路徑涉及教學內容的安排、教學大綱的撰寫、實驗驗證與仿真、原理演示、實驗步驟、復習討論等方面,每一章節內容的路徑設計如圖5所示。

網絡空間安全實踐教學系統的設計具有以下4個方面的特點:①云部署,課程資源包部署于云端,可隨時隨地開展學習和分享;②進度掌控,隨時掌握學習進度情況,通過作業了解學習效果;③斷點保存,保存實驗進度,分階段完成課程;④靈活擴展,教師可靈活定制和調整課程,系統可靈活擴展和完善。

圍繞網絡空間安全學科,探索高校計算機專業在此領域的課程建設和教學改革,建成一個高質量、可共享的課程體系和培養方案,課程的建設成果將開源開放。

篇3

職業技術學院的校園安全網絡需要從硬件、軟件以及校園網絡的安全管理方面加強防范,確保校園網絡的安全建設。

2把握容易出現的問題

2.1網絡病毒

校園網絡安全最容易遭受的就是網絡病毒。計算機病毒肆虐,會導致計算機網絡癱瘓,對計算機網絡起著極大的破壞作用。計算機病毒一旦合并在操作系統被激活,不但會對計算機系統產生影響,減少內存,甚至破壞文件和扇區,引起數據丟失。而有些病毒雖然并不改變文件本身,但是通過計算機網絡傳播,將自身的病毒通過網絡發送,導致計算機系統被感染,甚至后臺應用程序被篡改、賬號被盜。如蠕蟲病毒、ARP病毒會造成局域網癱瘓,Trojan/Agent木馬病毒運行實現開機自棄,實現了黑客遠程控制后門,給用戶帶來一定的損失,Backdoor/Huigezi后門病毒被計算機感染后,計算機會變成網絡僵尸,網絡中機密資料將會被盜取,而機器狗木馬病毒讀寫計算機數據,給感染計算機用戶帶來不同損失。

2.2利用漏洞進行人為的惡意攻擊

校園網絡改變著教師的工作方式以及學生的學習方式,為師生的教學提供了便利的條件。但是校園網絡不可避免會受到人為惡意的攻擊。如黑客收集網絡系統中的信息、探測目標網絡系統的安全性,并進行網絡攻擊,使得校園網絡信息泄露,校園網內部安全受到了外部的安全威脅。而院校的學生由于好奇等行為,在校園網內部進行的誤操作導致校園網出現漏洞,對網絡安全造成一定的危害。另外,校園網絡操作系統出現的安全漏洞,導致計算機更容易受到外界的攻擊,如果管理員對系統安全管理不當,或者網絡安全意識淡薄,也容易造成網絡安全問題。

2.3校園網絡管理員的素質有待提升

校園網絡安全管理的過程中,需要管理員能夠針對不同的網絡安全問題采取不同的策略。但是有些網絡管理員專業能力有待提升,造成一些網絡漏洞無法彌補,網絡安全得不到保障,因此網絡管理員要不斷提升自身業務素質。

3采用數據處理技術進行管理安全保護

3.1網絡安全的脆弱性

校園網絡安全建設直接決定著校園網絡是否能夠正常運行,校園網內的軟件以及數據是否會因為惡意的原因或者偶然的狀況被更改和泄露。在這種情況下,校園網絡管理員要采用各種技術以及管理措施,保證校園網絡的安全。管理員既要保證計算機網絡的物理安全,也要保證計算機網絡的邏輯安全。但是校園網絡計算機系統本身因為網絡安全具有一定的脆弱性使得校園網絡不可避免被冒充合法用戶非授權訪問,甚至網絡安全系統被破壞,同時網絡病毒以及黑客的侵擾也干擾了校園網絡的正常運行。

3.2采用防火墻進行網絡安全防范

校園網絡安全防范的重點是計算機病毒以及黑客犯罪,而這兩個安全危害首先需要網絡防火墻技術的安全防范。要防止校園網絡遭受黑客惡意攻擊,加強管理,防止頁面被篡改,防火墻不僅在本地網絡和外界網絡之間進行隔離,而且防火墻技術能夠保證可信用戶內部網不會受到非可信的外部網的訪問,能夠隔離風險區域與安全區域的連接,只讓安全以及核準的信息進入內部網絡。而對于黑客的防范,防火墻也采取了一種安全性極強的方式確保關鍵的服務器能夠正常運行。針對校園網絡安全建設需要提供的保護方式以及水平的不同,校園網絡安全防火墻可以分為信息包過濾防火墻、鏈路級網關、應用級網關以及復合型防火墻。

4定期進行病毒檢測確保校園網絡安全

4.1采用防病毒技術提供安全保障

在校園網絡安全建設管理的過程中,校園網絡管理員要在校園網絡中為每一臺電腦安裝殺毒軟件,并定期使用殺毒軟件對校園網絡進行殺毒,使計算機病毒對校園網絡的安全性的破壞降到最低。在校園網絡安全病毒防御的過程中,使用校園網絡平臺不會因為病毒入侵導致文件丟失或者發生其他重大的網絡安全事故。除了安裝計算機病毒軟件之外,更重要的是要定期對殺毒軟件進行升級,對來歷不明的帶有病毒的磁盤以及移動硬盤要先殺毒再使用。

4.2采用信息加密、報文驗證等技術輔助安全防范

在校園網絡安全建設中,不容忽視的是管理員要進行外來網絡的報文驗證、身份識別、數字簽名、信息加密等安全防范技術進行安全防范。在外來網絡進行校園網絡的訪問的時候,要通過公共密匙的身份驗證,并對校園網絡中的相關信息進行信息加密。

5加強安全責任和組織管理

5.1組建安全責任和組織管理

校園網絡的建設要認真觀察校園計算機網絡安全管理制度,由分管校長牽頭,成立信息安全管理小組,負責校園計算機網絡日常運行管理,同時各部門也要配備相應的計算機網絡管理員,使計算機網絡能夠在遇到網絡安全問題的最開時間內得到處理。學院各部門要與計算機網絡中心共同做好計算機網絡安全的運行以及管理工作。

5.2加強校園網的用戶管理

校園網要做好安全防范,才能確保每一個校園網用戶的正常使用。校園網每一個用戶在使用校園網絡時,要確保IP地址和上網賬號不要隨意讓校園網外的用戶知曉,并采用技術手段防止IP地址被盜用。另外,校園網絡管理要提高網絡安全管理意識,針對校園網絡用戶對網絡的使用程度制定相應的監管策略,杜絕來自于校園網絡內部的網絡攻擊,同時針對校園網絡使用者的素質的不同,要完善管理制度,提高學生的網絡使用能力。對于教師辦公用的計算機要安裝殺毒軟件,并教會每一個教師使用殺毒軟件進行病毒查殺,約束教師員工以及學生的上網行為,促使校園網絡的安全管理。

6提升網絡安全管理者的業務素質

6.1為安全管理者提供業務提升平臺

校園網絡管理者要具備相當的校園網絡安全管理能力,才能保證校園網絡的安全。一方面,院校在選擇校園網絡安全管理者的時候,對業務水平高的教師要優選考慮。在這個基礎上,要為網管提供業務素質提升的平臺,為網絡安全管理者的業務發展創造機會。

6.2管理者要加強校園網絡的監控

校園網絡管理人員要加強對校園網絡安全的監控,一旦發現校園網與校外單位以及個人進行互聯網聯接,立即隔離切斷,并采用技術手段以及方法屏蔽校外網絡對校內網絡的連接。管理員對網絡配備的防火墻、計算機病毒軟件要及時更新升級。另外,在校園網絡中要安裝局域網監控軟件,形成終端管理、網絡管理、內容管理以及資產管理,對校園網絡安全進行重點保護,從而實現校園內部局域網科學高效地訪問互聯網,真正實現校園網絡安全。

7結束語

篇4

關鍵詞:事業單位;網絡安全等級保護;部署建議

0引言

網絡安全等級保護制度是保障各事業單位網絡安全的重要方法,通過進行網絡安全分級保護,可以高效解決目前事業單位所面臨的網絡安全問題,按照“重點優先”的思想,將資源有的放矢地投入到網絡安全建設中,有助于快速夯實網絡安全等級保護的基礎。

1網絡安全等級保護定義

網絡安全等級保護是指對單位內的秘密信息和專有信息以及可以公開的信息進行分級保護,對信息系統中的防火墻進行分級設置,對產生的網絡安全事件建立不同的響應機制。這種保護制度共分為五個級別:自主保護、指導保護、監督保護、強制保護、專控保護。不同的信息擁有不同的機密性,就會有相應的安全保護機制。近期,網絡安全等級保護制度2.0國家標準正式,這對加強網絡安全保衛工作、提升網絡能力具有重大意義。

2網絡安全等級保護現狀分析

按照新的網絡安全等級保護要求,絕大多數單位在網絡安全技術和管理方面存在差距和盲點,網絡安全保障體系仍需完善。主要表現在以下幾個方面:(1)網絡安全管理工作有待進一步加強在網絡安全管理制度方面存在不夠完善,對信息資產管理、服務外包管理等缺乏網絡安全方面有關要求。未建立體系化的內部操作規程,而且對網絡安全管理和技術人員專業技能培訓相對較少,網絡安全等級保護的定級、備案及測評等未開展。運維工作的部分操作不規范,隨意性較強,對網絡、系統安全穩定運行造成風險。(2)網絡架構存在安全隱患和較為明顯的脆弱性有的內網連接,雖部署了防火墻進行網絡訪問控制,但是部分防火墻缺乏安全配置及管理,訪問控制策略不嚴格,同時某些單位內部網絡也缺乏分區和邊界控制措施,無法限制非授權用戶接入內網和授權用戶濫用授權違規外聯外網的行為,部分單位發現終端跨接內外網的現象,導致整個單位的內網存在“一點接入,訪問全網,攻擊全網”的安全風險。(3)主機計算環境抵御攻擊能力較低主機服務器未及時更新系統安全補丁,導致存在比如MS17-010(永恒之藍)、弱口令等高危漏洞;部分服務器未部署防病毒軟件、病毒庫未更新,沒有惡意代碼防范措施,部分單位的終端感染木馬病毒,一旦被利用,可能導致內部服務器主機大面積感染惡意程序等事件發生。(4)應用系統安全防范措施缺失有的運行在內網應用系統,存在高風險安全漏洞;在應用系統身份鑒別、數據完整性、保密性保護等方面存在策略配置不足問題,結合其他安全風險,會帶來系統服務安全、數據安全等較嚴重的安全問題。(5)數據安全保護能力不足有的未對專網的重要數據進行分級分類管理,數據安全保護措施缺失,專網中的數據庫普遍存在弱口令、遠程代碼執行漏洞等高危安全漏洞,極易被攻擊利用,大量的業務數據和敏感信息存在較高的安全風險。(6)物理安全基礎保障欠缺有的機房未對進出人員進行鑒別登記,易造成機房遭受惡意人員破壞,存在安全風險。有的機房未部署門禁系統,未安裝防盜報警系統等進行盜竊防護。

3網絡安全等級保護部署建議

3.1構建等保系統框架

根據安全等級保護的總體思想,提出如圖1的網絡安全管理體系架構?!翱傮w安全策略”處于網絡安全管理體系的最高層級,是單位網絡安全管理體系的首要指導策略?!鞍踩芾斫M織框架”位于網絡安全管理體系的第二層,負責建立該單位網絡安全管理組織框架。它既確保了信息系統運行時資料不會被泄露,也塑造了一個能穩定運行信息系統的管理體系,保證網絡安全管理活動的有效開展?!鞍踩芾碇贫瓤蚣堋蔽挥诰W絡安全管理體系的第三層,分別從安全管理機構及崗位職責、信息系統的硬件設備的安全管理、系統建設管理、安全運行管理、安全事件處置和應急預案管理等方面提出規范的安全管理要求。網絡安全管理體系的第四層描述的是如何進行規范配置和具體的操作流程以及如何對運行活動進行記錄。從日常安全管理活動的執行出發,對主要安全管理活動的具體配置、操作流程、執行規范等各種各樣的安全管理活動做出具體操作指示,指導安全管理工作的具體執行[1]。

3.2劃分安全域

根據安全等級保護系統總體架構,重新劃分網絡安全域。各安全域安全管理策略應遵循統一的基本要求,具體如下:(1)保證關鍵網絡設備的業務處理能力滿足高峰期業務需求,通過網絡拓撲結構設計,避免存在網絡單點故障。(2)部署高效的防火墻設備,防止包括DDOS在內的各類網絡攻擊;在通信網絡中部署IPS、入侵檢測系統、監控探針等,監視各種網絡攻擊行為。(3)在關鍵位置部署數據庫審計系統,對數據庫重要配置、操作、更改進行審計記錄。(4)對于每一個訪問網絡的用戶將會進行身份驗證,確保配置管理的操作只有被賦予權限的網絡管理員才能進行[2]。(5)部署流量檢測設備,通過Flow采集技術,建立流量圖式基線,根據應用情況控制和分配流量。(6)增加除口令以外的技術措施,實現雙因素認證[3]。(7)如需遠程管理網絡設備和安全設備,應采用加密方式,避免身份鑒別信息在網絡傳輸過程中被竊取。(8)能夠及時有效阻斷接入網絡的非授權設備。

3.3控制安全邊界

基于部署的網絡安全軟硬件設備,設置相應的安全規則,從而實現對安全邊界的控制管理。主要安全策略包括:(1)互聯網區域應用安全:必須經過邊界防火墻的邏輯隔離和安全訪問控制。(2)專網區域應用安全:對于訪問身份和訪問權限有明顯界定,必須經過邊界防火墻的邏輯隔離和安全訪問控制,其他區域和用戶都不允許直接訪問。(3)互聯網區域數據安全:只允許外部應用域的應用服務器訪問,其他區域用戶不能直接訪問。對數據域的訪問受到訪問身份和訪問權限的約束,必須經邊界防火墻的邏輯隔離和安全訪問控制。(4)專網區域數據安全:只允許內部應用域的應用服務器訪問,其他區域和用戶都不允許直接訪問。要訪問也必須具有受信的訪問身份和訪問權限。(5)互聯網區域和專網區域交互安全:對于內外部之間的信息交互,采用數據擺渡和應用協議相結合的方式進行,嚴格控制雙網之間存在TCP/IP協議以及其他網絡協議的連接。(6)開發測試安全:開發測試域作為非信任區域,要求只能在受限的前提下進行網絡訪問,必須經過邊界防火墻的邏輯隔離和安全訪問控制。(7)密碼應用安全:所有涉及密碼應用的網絡安全設備,所采用的密碼算法必須為國密算法。(8)統一安全管理:防火墻、IDS、IPS、防病毒網關、網絡安全審計和數據庫安全審計系統的日志統一發送到安全管理區的安全管理平臺進行分析。(9)終端安全管理:辦公設備統一部署終端安全管理系統,并能夠有效管理終端安全配置,準入控制、防病毒功能,以及系統補丁升級。(10)設備知識產權:所涉及網絡安全設備的,必須是具有國產知識產權。

4總結

網絡安全等級保護工作事關重大,它是一個系統工程,需要各級人員多方面的協調合作。只有盡快補齊安全防護短板,才能切實提高一個單位的安全支撐能力、安全檢測能力、安全防護能力、應急響應能力和容災恢復能力,從而更好地保障一個單位網絡安全建設的可持續發展。

參考文獻

[1]歐陽莎茜.運用大數據制定園區安全環保用電策略的實例分析[D].西南交通大學,2017.

篇5

1.1完全依賴于網絡存儲設備,存儲設備自身安全作為網絡媒體數據安全的保障

在線存儲體采用主備控制器機制,存儲硬盤采用RAID安全機制;根據策略進行在線存儲到近線帶庫的遷移備份,保障核心媒資數據的多級存儲;核心媒體數據網內根據策略或手動定期備份。上述解決方案雖在很大程度上保障了網內媒體數據安全,但存在過分依賴存儲硬件設備,問題數據恢復長等問題,嚴重影響編輯記者前臺操作和資源使用時效。

1.2依靠網絡技術實現媒體數據的多級存儲,并實現對前使用者透明,數據恢復采用軟硬件結合的方式完成,存儲故障不影響編輯業務

采用本地+網絡編輯的方式,媒體數據同時存儲于在線存儲和編輯機本地,降低網絡存儲故障對節目編輯的影響;采用媒體數據雙讀雙寫,主備在線存儲方式,實現媒體數據的雙重備份,降低存儲故障對編輯記者的影響;建設最小應急系統,核心媒體數據根據策略實現向最小應急系統的備份,數據多級存儲,保證核心編輯業務安全。

2媒體數據多級存儲備份解決方案下的編輯操作模式

正常工作時:雙讀雙寫。在主備存儲都正常時,上層應用站點在文件寫入時同步寫入主備存儲體,實現數據鏡像同步備份;在讀取時,上層應用站點,選擇主存儲路徑進行優先讀取。主存儲故障時:延遲平滑切換到備存儲,進行單路讀寫。在系統運行過程中,如果主存儲癱瘓,上層所有應用站點平滑切換到備路存儲路徑進行讀寫,無切換時間,用戶毫無感覺,實現真正的0秒透明切換。主存儲恢復后:策略控制中心,調度后臺同步服務器,實現數據主備存儲同步。該功能的實現得益于兩點:一是由于素材路徑存在雙份,在正常時數據完全主備鏡像;二是策略控制中心,實時監控收集存儲狀態,如主存儲的故障信息。工作站讀寫訪問過程中,由于所有文件I/O通過IDA引擎,獲知策略中心的存儲故障狀態,因此直接指向備份存儲進行實時訪問,訪問過程無間斷,非常平滑。

2.2單在線存儲體:“本地+網絡”雙讀雙寫策略,實現媒體數據雙路存儲

編輯站點本地存儲作為網絡存儲備份使用,優先編輯網絡存儲數據。網絡和本地的文件路徑,作為該素材的主備路徑記錄在資源上。采用雙讀雙寫模式,采集、打包等生成的視音頻素材在網絡和本地上都存在;同時對于字幕、故事板以及字幕中的圖片也都在網絡和本地磁盤上同時存在。在雙讀雙寫模式下,用戶所生成的資源在本地都有一個中碼流的版本,通過雙讀雙寫機制,用戶可以直接調用網絡的版本進行編輯。如網絡故障用戶可直接切換到本地,保證編輯業務連續不間斷。在網絡數據庫中斷的情況下,需要手動切換數據庫連接,將系統連接到本地數據庫上。系統軟件可提供快捷的一鍵切換功能,將網路數據庫連接切換到本地數據庫,在網絡數據庫斷開的情況下繼續進行節目的編輯。優點:雙讀雙寫保證系統媒體數據安全,優先編輯網絡存儲,實現媒體數據網絡共享,編輯記者可在任意網內節目編輯站點完成節目編輯。缺點:網絡存儲讀寫性能要求較高,系統建設在存儲領域的投資比重較大。網絡存儲作為編輯站點本地存儲的備份,優先編輯本地存儲數據。媒體數據在網絡存儲體和本機存儲體實現冗余備份,優先讀取本地存儲路徑。這種模式充分利用了單機的穩定性和安全性,同時網絡化的實時備份存儲又完全能實現網絡化的資源共享以及關鍵數據的多重備份。在編輯過程中,采用本地編輯為主,網絡編輯為備份的編輯方式,正常編輯模式下各站點直接讀取本地素材進行節目編輯,后臺打包調用網絡高碼流文件進行合成的編輯方式。對于上載節目資源的工作站A在被占用的情況下,用戶需要到工作站B進行編輯,此時通過同步資源的方式到本地,用戶在打開故事板和打開素材的情況下,系統自動判定當前資源不在本地存儲路徑,完成從網絡到本地的同步遷移,編輯人員可以進行編輯使用。優點:雙讀雙寫保證系統媒體數據安全,優先編輯站點本地數據,大大減低對存儲和網絡的依賴,系統建設存儲領域投資較低。缺點:鑒于采用本地編輯的模式,如編輯人員更換站點,需重新將網絡數據同步到本次,有一定時效性的損耗。

2.3最小應急備份系統:實現核心媒體數據備份

系統在備份時,會同時進行物理文件和元數據的備份,以確保一旦主網出現問題,工作站點可以直接完全脫離主網且接入應急系統中使用。只需退出非編軟件,重新連接最小應急備份系統的數據庫,即可繼續完成工作。節目采集及合成時可以自動寫入最小應急備份系統,實現多存儲區域數據完全一致,寫入數據時不會占用過多的網絡帶寬資源,而且不影響系統的正常運轉;當主網存儲區數據刪除時,最小應急備份區能根據數據的變化,自動對數據進行刪除;當主存儲區出現故障的時候,能夠迅速的切換到最小應急備份區上,使用最小應急備份數據;備份策略可以按照欄目、用戶等方式進行,根據實際需求選擇性進行備份。優點:最小應急備份系統可以作為全網應急解決方案,作為核心業務的終極保證。此外應急系統可作為外場系統使用,通過快速拆分,便捷的完成外場系統的遠程移動。缺點:最小應急備份系統需要臺內額外投資建設,將引入部分投資增加。

3系統主備存儲不同選型下的編輯操作模式

網絡系統建設過程中,對于核心存儲設備的選擇將決定媒體數據安全策略。如何在數據安全和臺內投資間實現平衡是網絡設計必須要考慮的問題。

3.1系統選用相同性能與容量的存儲

鑒于主備存儲體性能容量完全相同,網絡系統服務的所有欄目均可選用同樣的媒體數據安全策略,網絡中媒體數據全部主備兩份,即所有站點全部支持雙讀雙寫。系統任意存儲故障均不影響編輯業務,節目編輯和系統數據實現雙重保障。優點:業務安全級別高。缺點:臺內投資相對較大,存儲領域投資需要考慮。

3.2系統選用不同性能與相同容量的存儲

鑒于主備存儲體僅容量相同,系統主存儲體可滿足網內所有站點的讀寫需求,備存儲體僅能支持部分站點的讀寫,媒體數據通過策略備份的方式實現主備雙重備份。該種情況下,僅能保證網內核心欄目站點的雙讀雙寫和媒體數據實時雙備份需求,即網絡故障情況下網內部分編輯業務需中斷,或全網轉換為低碼流編輯,高碼審核打包的操作模式,方能實現全部業務不中斷。優點:業務安全級較高。缺點:臺內投資相對較大低,網絡故障將導致部分編輯業務中斷或全網采用低碼流編輯,對編輯業務有較大影響。鑒于主備存儲體性能與容量均不相同,系統主存儲體可滿足網內所有站點的讀寫需求,備存儲體僅能支持部分站點的讀寫。該種情況下,僅能保證網內核心欄目站點的雙讀雙寫和媒體數據實時雙備份需求,非核心欄目僅能讀取主存儲,媒體數據不再備份。即網絡故障情況下網內部分編輯業務需求中斷。優點:核心欄目業務安全級高,非核心欄目安全級別較低。缺點:臺內投資相對較低,網絡故障將導致部分編輯業務中斷,對編輯業務有較大影響。

4結束語

篇6

關鍵詞:數字電視;監管平臺;信號監測

為了進一步加強對全省各地市分公司數字電視安全播出的管理,填補對縣級分公司播出管理的空白,加強對違規播出情況的監管控制,從多個維度做到對數字電視信號的安全、質量和內容監測,山東省廣電網絡有限公司(以下簡稱省網絡公司)于2015年建設了數字電視安全監管平臺。

1監管平臺架構

數字電視安全監管平臺系統是在省監測中心現有監測調度系統的基礎上建設而成,由安裝在市、縣網絡公司機房的廣播電視前端監測采集系統和位于省網絡公司的中心監管業務平臺兩大部分組成。整個系統采用人機交互界面、模塊化的設計,直接通過瀏覽器登錄訪問系統。系統采用由縣到市、由市到省的分級監測及統一管理的方式,通過遍布全省的廣電OTN及SDH主干網和市(地)、縣廣電支線網連接各縣監測前端,由安裝在各監測前端的信號采集設備,將廣播電視信號和異態數據回傳至省網絡公司中心監管業務平臺,通過業務平臺對信號進行查看、分析,實現對全省市縣級廣播電視播出信號的監管。此監管平臺與省監測中心的播控系統對接,將兩方的設備、信號最大限度地進行資源共享,然后根據平臺不同功能與選項完成各方不同的安全監管職能,利用完善的安全播出指揮調度系統對全省各地的信號進行監測調度,實施有效的安全播出管理。

2平臺具體構成

廣播電視前端監測采集系統,即有線數字電視信號采集、監測系統,位于各市縣前端播出機房,完成對所需監控信號的采集、回傳,如圖1所示。中心監管業務平臺:主要包括中心數據處理業務系統、數字電視監測處理業務系統、系統配置及維護管理系統、報表管理業務系統、資源共享業務系統、監測預警信息系統、平臺管理及中心存儲系統,如圖2所示。中心監管平臺位于省網絡公司總部,負責對其所屬各個監測前端的廣播電視播出情況進行實時監測,采集監測前端的監測數據和對監測結果進行匯總分析,為安全播出提供技術保障。

3平臺技術方案

(1)信號采集目前已有全省13個市(地)40個縣級播出機構建立了監測前端,各監測前端可實現2個頻點的有線數字電視節目的采集與監測。其中,數字電視監測中的一個頻點上選擇3套節目用于監測,另一頻點作輪巡監測。采集板卡根據前期規劃,對選定的頻點上的數字電視信號進行采集、編碼壓縮,以每套節目764K左右的碼率回傳至所屬地市,再由地市回傳至省網絡公司??h級監測前端以10M的帶寬,將采集的信號通過縣、市(地)廣電有線網絡傳至市(地)有線電視網絡公司,信號經過匯聚后,通過市(地)廣電網100M帶寬絡專用線路,傳至省網絡公司傳輸機房,再通過核心交換機接入省網絡公司安全監管平臺,完成一百多套節目的監控。后期會逐步完成全省大部分縣的監測點布局及信號監控。(2)信號分析與處理省網絡公司總部辦公樓內建立了一套多業務、多系統的統一業務操作平臺,通過自己配置的監控平臺系統服務器及相關軟件、操作臺主機等必要設備,完成對全省多個縣、市電視信號的監測、數據分析及處理、實時報警信息的分級管理與分析等功能;同時能夠從省監測中心的存儲設備上調用在規定時間內存儲的信號,完成對已往相關信號的查詢等功能。(3)信號監看與監管為高效、方便、實時的對回傳的多個信號進行監看監聽,在省網絡公司總部辦公樓內建設了4×3無縫拼接大屏與多畫面分割及顯示系統,每個大屏可以顯示1~25套不同地市的信號;也可以根據需要,通過大屏控制器在多個屏幕上顯示某一套節目。實現了將目前一百多套回傳至監管平臺的節目通過大屏實時顯示,并通過PC機平臺操作界面的方式進行節目輪巡、頻點與節目選看、回看、處理等功能。該系統在前期規劃時,建設性地加入了省網絡公司前端播出信號,從而對回傳信號的監管更加有比較的依據、更加直觀。(4)系統建設原則與設計依據此次數字電視安全監管平臺的建設本著適用性、可靠性、安全性、先進性、開放性、擴展性與兼容性的原則,并將嚴格按照國家相關政策文件、技術要求和標準協議進行,不僅現期達到預計技術要求和需求,還可以根據業務及技術發展進行平滑升級與擴容,滿足不斷增長與變化的實際需求。

4平臺建設規劃

數字電視安全監管平臺建設分多期完成,第一期項目由13個市(地)的前端信號采集系統和一個省級中心監管平臺組成,通過省公司的干線網和地市支線網連接各縣監測前端,由各監測前端的信號采集板卡,根據實際需要,回傳選定的廣播電視信號和異態數據,實現對全省市縣級廣播電視播出信號的監測。目前全省13個市40個縣的信號采集工作已完成,這些地市縣的信號已經接入我方監管平臺進行監管;后期項目將在一期的基礎上平滑升級及擴容,對需要重點監控的市、縣,增加前端信號采集系統,爭取完成全省所有地市及絕大部分縣的播出信號監測。

5項目一期完成的功能與配置設備

篇7

關鍵詞:信息化建設;網絡安全;解決方案

中圖分類號:TP393.18 文獻標識碼:A 文章編號:1007-9416(2017)01-0209-02

企業信息化任務的建設與集成,其首要任務為網絡構架與網絡安全設計。建立一套安全的網絡系統,不僅可以為企業的信息交流、信息與信息傳輸創造一個安全平臺,確保企業的安全生產,還可優化調度管理,為企業決策提供參考數據,避免惡意篡改與非法盜取現象的發生。因此,加強企業信息化建設集成與網絡安全的研究,確保企業生產環境安全可靠,已逐漸成為現代化企業發面所面臨的重點研究課題。

1 企業實現信息化建設集成的意義

1.1 強化企業管理

隨著企業管理模式的發展,企業業務經營逐漸多元化和區域不集中化,從而造成了管理任務的復雜與多變化。實行信息化集成管理的核心就是在企業內部,以業務整合、流程與資源配置優化的方式,建立起信息化的組織架構、管理服務和流程控制體系,而這一目標的實現則需通過信息集成化處理的手段,并將企業先進的管理理念與技術搭建在所構平臺上,以此進行運行。

1.2 時展的必然性

實踐證明,傳統的管理模式還不足以使集成化效率最大化,甚至有時候會帶來更加嚴重的風險和漏洞,如管理人員的壓縮,引發的現場安全管理、資金管理和用工管理等風險,信息技術快速發展的當下,企業只有對管理系統進行重新綜合集成,充分挖掘各方面潛能和整體效力,方可在集成化管理和市場競爭中把握先機,從而實現企業效益的最大化。

1.3 自身優勢的使然

目前,大型企業集團均通過對在生產和管理方面的信息化建設,利用互聯網技術把企業信息集成起來組成一個管理信息平臺,達到數據共享,并借助專用軟件,將企業管理向集成化、網絡化改造,既能為企業的高層決策者提供決策支持,又能減少結構冗員,提高運營效率和服務質量。

2 加強企業信息化集成網絡安全的措施

基于非法入侵、病毒傳播與數據丟失等網絡安全問題,本文針對性的從以下兩點進行防護措施的論述。

2.1 加快信息化安全標準建設

在信息化方面,目前,無論是處于單項技術、單機、單線的應用狀態,還是型號工程實現了CIMS(計算機集成制造系統)的企業,要實現數字化,構建高水平、高安全的企業信息化體系,信息安全標準及其標準化工作都是非常重要的。例如IS0/IEC JTC1/SC27正在制定的有關信息安全管理體系方面的標準:

?ISO/IEC 27001 信息安全管理體系要求(現在的標準 IS0/IEC FCD 24743)。

?ISO/IEC 27002 保留現在的標準ISO/IEC 17799 信息安全管理實用規則。

?ISO/IEC 27003 保留編號。

?ISO/IEC 27004 信息安全管理度量機制和測量措施(現在的標準IS0/IEC 24742)。

?ISO/IEC JTC1/SC27 NP 信息安全管理體系實施指南。

此類標準實施的目的在于幫助企業建立與健全信息安全管理體系,促使其管理水平與保證能力得到提高,做到日常生產安全順利運行。因此,企業要想構建高水平、高質量的信息化安保體系,必須要加強信息化集成任務的標準化實施。

2.2 利用先進的網絡安全技術

2.2.1 防火墻技術

以防護范圍與防護能力劃分,可將防火墻技術分為網絡級與應用級兩大類,其中,網絡級防火墻是以整體網絡的非法入侵為防護對象,實施全方位保護,而應用級防火墻是以具體的應用程序為防護對象,只是在程序接入時進行防護控制,功能比較單一但針對性強,因此,一套完整的防火墻技術,應是以網絡級和應用級的共同結合使用。日常生活中,我們一般所用防火墻大多擁有基于、動態防護、包過濾和屏蔽路由等技術。

2.2.2 入侵檢測技術

作為一種動態網絡檢測技術,入侵檢測技術的實施可有效識別惡意使用網絡系統,通過分析與辨別,將非法入侵行為及時發現,其檢測范圍包括內部未經授權的活動和外部用戶的非法入侵,并能夠對入侵行為作出相應的反映,該系統的組成由相應的軟件與硬件共同完成,運行后能夠做到數據分析并得到結果,大大降低了管理人員的工作量。除此之外,入侵檢測技術對于網絡攻擊也有一定的反防護能力,但效果不及防火墻技術,因此不能做到代替。

2.2.3 信息加密技術

對稱加密與非對稱加密作為信息加密技術的兩種表現形式,隨著網絡技術的快速發展,使其得到了不斷優化與發展。該技術的應用是以防止數據受到非法盜取為目的,通過數據加密技術對某些重要數據與信息采取保密處理后,以此達到確保信息安全的效果,其主要包括數據傳輸、數據存儲、數據完整性鑒別和密匙管理四種方式。

2.2.4 訪問控制技術

訪問控制技術簡稱AC,它的作用是能夠確保網絡資源不會被非法訪問和非法使用,能夠起到網絡安全防范和保護的作用。訪問控制是檢測訪問者的相關信息,限制或者禁止訪問者使用資源的控制技術。訪問控制技術能維護網絡系統安全和保護網絡資源,是確保網絡安全的主要措施。訪問控制分為高層訪問控制和低層訪問控制兩種,高層訪問控制檢測對象是用戶口令、用戶權限、資源屬性;低層訪問控制對象是通信協議中的特征信息通過分析然后做出判斷控制訪問者能否訪問信息。

3 結語

綜上所述,作為現代企業的發展方向,信息化的建設與集成在給人們帶來便利的同時又隱藏著許多網絡安全隱患,相比于傳統管理模式上的失誤,這種安全隱患具有威脅更大,速度更快等特點,動輒就是成千萬的經濟損失。因此,作為現代企業的管理者,我們只有不斷研究,不斷實踐,立足于企業信息化建設與集成任務的標準化與多元化發展方向,做到不斷的自我完善與自我修正,方能促進現代企業的健康發展。

參考文獻

篇8

 

前言

 

隨著社會的發展工業有了不斷的進步,特別是計算機網絡技術應用于工業的生產、管理使工業取得了長足的進步和良性的發展,當前工業的相關業務和活動中計算機網絡正在發揮輔助決策、功能倍增和參與管理等重要工作,可以不夸張地說計算機網絡正在引導著工業的新革命。但是由于計算機技術和網絡技術存在著漏洞和安全隱患,這導致工業在運用計算機網絡時出現了各種問題,來自計算機網絡內部和外部的威脅和隱患,無時無刻可能爆發,既影響了計算機網絡的安全和問題,又影響工業生產和管理,成為當前工業生產和計算機網絡乃至全社會共同關注的問題。實現工業計算機網絡的安全應該做好對近一段時間工業計算機網絡建設、運用和維護工作的梳理,明確了解和清晰認知工業計算機網絡安全的具體問題,在科學分析工業計算機網絡存在安全隱患和安全問題的基礎上,尋找提高工業計算機網絡安全的設計原則和方法,并結合具體的實際工作形成工業計算機網絡安全的方法和技術,在細節方面為切實做到工業計算機網絡安全起到經驗積累、方向提供和技術指導,在宏觀方面提升工業行業計算機網絡的安全水平。

 

1工業計算機網絡存在的安全隱患

 

1.1工業計算機網絡的外部隱患

 

常見的工業計算機網絡的外部隱患有:火災、電擊、水災等外部災害對工業計算機網絡設備或傳輸介質的損壞;工業計算機網絡的病毒發作;工業計算機網絡的黑客攻擊等。

 

1.2工業計算機網絡的內部隱患

 

工業計算機網絡的內部隱患有:工業計算機網絡的操作人員的非安全、非規范操作;工業計算機網絡本身存在地域能力地、系統脆弱和自身缺陷;管理員對安全權限設置不當、備份不及時等。

 

2工業計算機網絡安全的策略設計

 

2.1工業計算機網絡物理安全的設計

 

設計中應該確保工業計算機網絡的實體部分免受自然災害、人為破壞等影響;設計中應該對工業計算機網絡的操作進行條件控制,防止不具備操作權限的人員進入關鍵部位;建立工業計算機網絡的相關制度和規定,確保電擊、漏水、跌落等外部傷害。

 

2.2網絡加密傳輸與認證

 

應該設計好工業計算機網絡第一道防線——用戶名和密碼,通過嚴格的設置和驗證手段起到對工業計算機網絡的保護作用。

 

2.3工業計算機網絡防火墻的設計

 

工業計算機網絡可以控制進出兩個方向的信息安全,有效防止工業計算機網絡的外部非法用戶對數據的訪問和操作,應實現工業計算機網絡對數據的過濾和保護作用。

 

2.4數據加密

 

工業計算機網絡的數字加密技術可以保證工業計算機網絡信息的安全,實現對數據流進行加密傳輸,直到用戶退出系統為止。

 

2.5“最小授權”原則

 

“最小授權”原則是指網絡中帳號設置、服務配置、主機間信任關系配置等為網絡正常運行所需的最小限度,及時刪除不必要的帳號等措施可以將系統的危險大大降低。

 

3工業計算機網絡建設的技術要點

 

3.1做好病毒防范,及時更新系統

 

安裝必須的組件,關閉不需要的服務,及時更新系統和補丁程序,經常檢測系統是否存在安全漏洞、是否有入侵偵測的可疑活動。安裝正版防病毒軟件并及時更新病毒庫,定期查毒、殺毒。對從網上下載的軟件進行殺毒處理,對外來U盤需查毒后才能使用,做到防患于未然。

 

3.2設置安全有效的服務器密碼

 

擴大密碼的設置范圍,提高密碼的破解難度,并且做到每臺服務器的密碼不同并經常更換。另外,系統管理員也很注意密碼的保護,做到不泄漏、不共享,避免了使用密碼的安全風險。

 

3.3采用分層方式管理服務器

 

將工業計算機網絡管理系統與其他系統放置在兩臺服務器上,不僅使管理方便,更有助于整體的安全性。

 

3.4定期進行數據備份

 

系統備份是防止由于硬件設備損壞或受黑客攻擊導致數據丟失的防范措施和方法,因此,對工業計算機網絡管理系統的數據進行備份是一項十分必要的任務。推薦工業計算機網絡的備份方式是每天對整個系統進行包括系統和數據的完全備份,當發生數據丟失時,只要進行恢復,就可以找回完整的數據。

 

3.5采用虛擬網技術

 

在工業計算機網絡網絡中,應采用VLAN技術,各網段用戶在網上鄰居上只可以訪問自己網段的計算機,從而提高VLAN內數據傳遞效率以及各VLAN之間數據的安全性,解決了不同網段、不同部門間病毒的傳播問題。

 

結語

 

綜上所述,根據實際的工業計算機網絡安全設計、管理和維護經驗,從效果上看已經正在起到逐步優化工業計算機網絡環境,有效提升工業計算機網絡抵御病毒感染的能力,進一步加強了工業計算機網絡操作者防范黑客入侵的觀念,這些進步為工業計算機網絡實現安全運行提供了先期的保證,并成為工業企業和行業科技進步和人員素質提高的手段。同時,我們應該有清醒、客觀的認知——絕對安全的工業計算機網絡是不存在的,因此,需要我們繼續做好工業計算機網絡的技術防范,加強工業計算機網絡操作人員的素質教育,提升全員的工業計算機網絡應用安全意識,在實際的工作中盡量減少違法操作和物力損壞,以操作規程和安全守則為指導,規范地進行工業計算機網絡的應用、管理和維護,也只有這樣,才能確保為工業計算機網絡提供一個優良的環境,才能真正發揮工業計算機網絡的功能,促進工業的生產、活動、管理,在客觀上促進經濟、社會的發展。

篇9

【關鍵詞】網絡安全;實踐教學;課程改革;工作過程

近年來,我國的高職高專在教學改革方面的研究得到了迅速的發展,為了培養出高素質技能型專門人才,培養學生的學習能力、實踐能力、創造能力、就業能力和創業能力、學會交流溝通和團隊協作能力,各高職院校的專任教師也在研究適合本專業課程的課程建設模式和教學模式。

1.“網絡設備的安全配置和管理”課程介紹

“網絡設備的安全配置和管理”是一門理論實踐一體化、符合網絡技術領域職業崗位任職要求的學習領域課程。本學習領域根據網絡管理員崗位必須具備的綜合職業能力出發,以完整的工作過程為行動體系,加強校企合作,以企業實際的工作任務為教學原型,主要培養學生網絡設備安全配置和安全防護能力,并為就業做好充分準備。

2.現行“網絡設備的安全配置和管理”課程教學中存在的問題

在高職網絡安全課程的教學中,傳統教學模式難以滿足職業崗位需求,不能適應就業需要,主要有以下幾個原因:

2.1 培養定位模糊,崗位需求不明確

傳統教學模式更多考慮知識體系的結構與完整性,較少考慮學生畢業后的職業崗位需求。學生在學習的過程中不知道自己學習的知識未來有哪些用途,不知道在什么樣的情況下會需要這些知識,難以形成職業帶入感,在學習的過程中不能與教師形成共鳴,學生和教師都難以達到最佳狀態。學生知識學習了很多,但分散、刻板,空有知識卻不知如何運用,實踐運用能力不強,難以滿足職業崗位需求。

2.2 理論多實踐少,知識分散,缺乏針對性

“網絡設備的安全配置和管理”課程不同于《計算機網絡技術》,該課程要求更多的實踐課時比例、更多的針對實際工作的實踐教學情境。而傳統教學模式下由于重知識、輕實踐,且實踐內容多為知識驗證性實驗,難以滿足實踐能力的培養需求,也不能調動學生學習積極性,教學效果較差。

2.3 教學內容更新緩慢,難以適應網絡發展需要

網絡技術發展迅速,新技術、新規范層出不窮,網絡安全新問題也不斷出現,如何及時更新網絡安全課程的教學內容,調整實踐教學環節,使學生快速適應網絡安全新狀態,也是“網絡設備的安全配置和管理”課程教學中面臨的重要問題。以教科書為知識傳授藍本的傳統教學模式顯然難以滿足實際需求。

3.基于工作過程的“網絡設備的安全配置和管理”的教學改革與實踐

經過兩年的教學經驗積累,針對過去教學中存在的各種問題,本校啟動“網絡設備的安全配置和管理”課程的實踐教學改革與探索研究。經過廣泛的調研與分析,明確了研究方向,確立了“網絡設備的安全配置和管理”的課程改革與研究思路。經過幾年的研究與實踐,形成了以下幾個方面的研究成果。

3.1 明確課程定位,適應職業崗位需求

新的研究思路改變了課程分析的方向,由過去面向知識結構體系的完整性轉變為面向學生就業后的職業崗位需求。通過大量的社會調查與認真分析,明確了新的課程定位:“網絡設備的安全配置和管理”課程是計算機相關專業的核心課程,主要培養學生網絡安全意識,掌握網絡安全知識,發現、研究和解決具有網絡安全問題的能力,使學生勝任網絡安全管理員的職業崗位需求。

3.2 課程內容編排與教學方法改革

在課程內容的編排上,要考慮到學生的認知水平,由淺入深的安排課程內容,實現能力的遞進。能力的遞進不是根據流程的先后關系確定的,而是按工作任務的難易程度確定的,例如先安排網絡硬件設備還是傳輸媒體與流程關系不大,主要是要考慮哪個項目需要的知識和技能是相對簡單一些,就把哪個項目安排在前面。如本課程就將網絡傳輸媒體任務安排在最前面,這樣有利于提高學生后期學習的積極性和主動性。

課程設計的學習任務必須能夠滿足多方面的要求,所以每個學習任務都應以典型案例為載體進行設計的活動來進行,以工作任務為中心整合理論與實踐,實現理論與實踐的一體化。教學過程中,通過校企合作,校內校外實訓基地建設等多種途徑,采取工學結合的培養模式,充分利用校內校外實訓基地和學校網絡對外服務中心,讓學生親臨真實工作環境,參與或者分組獨立完成對外服務的實際網絡項目,提高學生的技能水平和團隊合作精神。

3.3 課程學習考核方法

打破單一的試卷考核方式,學生學習成績的考核采取三結合的方式進行,第一是理論知識的考核,此階段的考核安排在課程學習完后,以筆試形式進行考核,占總成績的20%。第二是項目技能的考核,在課程的學習過程中同時進行考核,占總成績的40%;第三是綜合技能的考核,在課程學習完后,通過為期一個月的實訓,包括崗位素質、團隊協作、專業技能、實習報告的撰寫等考核點,此階段占總成績的40%;三項成績之和為學生本門課程的學期總成績。學生每個階段都必須達到該階段的及格分,如理論考核,必須達到相應分數,否則必須進行重新學習和考試,以致達到規定的教學要求,學生本門課程才算合格。課程的第一部分的考核采取教考分離,項目技能考核由課任老師考核,綜合技能的考核由教師團隊集體考核,最終達到考試的公平性和全面性。

綜合實習項目完成后,教師完成實習報告的批改后,舉行至少一天的學生實習體會交流、教師評論和答疑,這樣不但解決了學生在實習中存在的問題和潛在的問題,同時對教師以后的教學改革指明了方向。最終使學生的組網和用網的能力能真正達到教學要求。

4.結語

“網絡設備的安全配置和管理”課程教學改革和實踐促進了信息技術服務業專業工學結合人才培養。以課程建設為主線,通過深度校企合作,對專業教師隊伍、校內實訓基地建設、課程教學內容、方法和手段提出了新的要求,需要不斷突破和創新。

參考文獻

[1]李棟學.工學結合的動因分析及其有效實施[J].中國職業技術教育,2011(9).

[2]李小峰.“工學結合”的相關表述及其歷史淵源[J].職業教育研究,2013(6).

[3]孫寧玲.高職院校師資隊伍建設方案研究[J].教育與職業,2012(11).

[4]及風云,張培成.對高職教育“雙師型”教師隊伍建設的思考[J].職業時空,2012(6).

篇10

新的形勢對銀行的軟硬件設施建設提出了新的挑戰。其中網絡的運行情況,尤其是網絡安全問題尤其突出。目前,銀行逐步建立了基于ip技術的業務骨干網,但銀行電子網絡建設存在的問題也不容忽視。

一、銀行網絡改造工作中存在的問題

1.來自互聯網的風險

網上銀行、電子商務、網上交易系統都是通過internet公網并且都與銀行發生關系,銀行系統網絡如果與internet公網直接或間接互聯,那么由于互聯網自身的廣泛性、自由性等特點,銀行網絡系統自然會被惡意的入侵者列入其攻擊目標的前列。

2.來自互聯單位的風險

銀行與電信局、水電部門、保險公司、證券交易所等單位網絡互聯。由于銀行與這些單位之間不可能是完全信任的關系,因此它們之間的互聯,也使得銀行網絡系統存在著來自外單位的安全威脅。

3.來自內部的風險

據調查統計,已發生的網絡安全事件中,70%的攻擊是來自內部,因此內部網的安全風險更嚴重。內部員工對自身企業網絡結構、應用比較熟悉,自我攻擊或泄露重要信息,內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。

4.管理安全風險

銀行內部員工的安全意識薄弱,企業的安全管理體制不健全也是網絡存在安全風險的重要因素之一,健全的安全管理體制是一個企業網絡安全得以保障及維系的關鍵因素。

5.網絡系統維護費用高

原有的網絡系統還存在維護費用高,技術復雜的缺點。因此網絡改造要求有先進友好的網絡管理軟件以降低網絡維護費用。

二、形成原因分析

銀行計算機網絡需要可靠的安全保障支持。銀行網絡安全的威脅主要來自內部和外部兩個方面。在過去的幾年中很多報告都指出,企業內部員工的破壞行為是對信息安全的最大威脅,主要包括:缺乏有效的網絡防護手段,網絡協議分析工具帶來的威脅,執行不安全代碼以及個人能力的不正當炫耀。另一方面非法的外來侵入攻擊數量近幾年有了驚人的增長。商業銀行計算機網絡系統很快地將要面對有組織有計劃的黑客的更大威脅,主要包括:廣為流傳的黑客攻擊技術,有組織的信息網絡入侵活動,新的網絡應用和技術的大規模涌現,硬件的高速發展使得破譯加密信息成為可能。據統計,銀行業基于網絡的信息失竊在過去5年中以200%以上的速度遞增。網絡安全已經成為銀行業務安全的重要組成部分,同時也是國家網絡經濟發展的關鍵。

三、對銀行網絡安全改造解決方案的探討

通過審慎的調查研究和親身產品使用,筆者建議對銀行網絡系統實行全面改造,以達到網絡安全要求。

首先,全行的主要主干電路可采取面向網絡安全端到端的safe(security architecture for e-business)解決方案,結合現有運行網絡的實際情況,完成網絡安全性設計。方案的模塊化方法可為銀行網絡提供最大的靈活性。使銀行能夠針對特定的業務來選擇特定的模塊。同時方案也可提供根據業務需要逐步實現安全的cisco avvid基礎設施的可能。這保護了銀行在現有安全設施上的投資,降低整個網絡系統的費用,同時也可知道每一個模塊的工作原理及在整個網絡安全框架中的作用。

其次,在整個網絡的安全性設計上,進行全面的規劃,制定整體的安全策略。同時對局域網、廣域網以及外聯網與internet等公共信息網互連的安全保障規定。使用思科的安全策略管理器cspm指定整體的安全策略,并實施定期的監控和改進。原有的應用服務器與其他系統服務器以及辦公及管理信息系統相連,存在一定的安全隱患。在系統改造中這一問題將得到解決,通過采用內部防火墻,兩者可實現安全隔離,應用主機安全性可得到更好的保障。

為了保障基于因特網和基于web交易的保密性和完整性,可以實現虛擬專用網(vpn)。就像裝甲車一樣,vpn在金融資源從銀行傳到其他位置的途中能為它們提供保駕護航作用。在遠程用戶和銀行之間,vpn提供安全可靠的加密式端對端"隧道"。即使是最狡猾的網絡黑客,vpn的強勁安全性也能防止他們截取隧道傳輸的內容,使他們的陰謀不能得逞。vpn的創建宗旨就是要在每個遠程訪問會話期間保障其安全性,它對用戶是透明的。一般而言,具有vpn功能的防火墻和客戶計算機配置的許多操作系統都支持vpn。

改造后的網絡可在廣域網中心增設了專用的路由器。原來既作為dlsw+節點又作為廣域網路由的中心路由器實現功能上的拆分,新增專門路由器作為dlsw+路由器,負責sna和tcp/ip的協議轉換。所有路由器位于高性能防火墻的兩側,防止外部對應用主機的非法操作,同時網絡對sna協議的處理能力也得到提高。

顯然,有效的安全性設計來源于網絡本身。網絡基礎架構必須具有嵌入式防火墻、驗證和vpn等安全功能。不僅設計安全的網絡很重要,而且設計網絡時所采用的方法同樣也重要,不能使銀行的日常運營脫離正常軌道。當超負荷網絡發生故障或崩潰時,將會給銀行業務造成令人可怕的后果。