公司網絡安全建設范文
時間:2024-02-29 18:07:10
導語:如何才能寫好一篇公司網絡安全建設,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
互聯網最初發展的目的在于方便人們的工作與生活,但是在發展的過程中逐漸形成了擴張性、滲透性、互動性的特點,這些特點為各種的權益主張、思想激蕩碰撞有時甚至是違法犯罪提供了一個廣闊的媒介和平臺。在一定程度上為網友的訴求提供了新的途徑,給他們一個發表言論的平臺;但是一旦利用不好就會給公安機關帶來極大的管理壓力,在意識形態、輿論引導、社會管控等方面產生的新情況、新問題也讓黨在進行執政能力建設遭遇到了一定程度上的阻力。在新的形勢下,公安機關要更加重視對網絡的安全保衛工作,將網絡保護放在工作中更為重要的位置,在進行戰略部署時,要對網上網下進行雙向部署,保證部署的全面性。根據當前所面臨的局勢在原有政策的基礎上不斷創造與發展的同時要進一步加強組織決策者的領導能力,能夠在大方向正確的基礎上穩步推進網絡安全保護工作的發展。
關鍵詞:
網絡安全;公安信息建設;公安工作
0引言
網絡日益發展,公安機關建設的公安網在各種打擊違法犯罪中起到了重要的作用,這是“科技強警”“向科技要警力”口號的一個具體落實。[1]公安機關將信息化運用于“網絡追逃”“網絡打拐”等偵查破案中,并成為了基本的偵察手段,公安網的迅速發展有利于不斷促進社會的穩定、打擊預防犯罪并維護良好的社會治安。我國公安機關對公安內網的建設投入了很多的人力物力,因為一旦公安內網出現安全問題,就會導致大量的內部工作信息和保密數據被泄露,后果無法想象。從基層各級基本單位到公安部都存在著同樣的風險,常常出現的問題有“一機兩用”等。目前擺在公安機關面前的問題是如何運用更加先進的技術對公安內網的大量信息和數據進行良好的保護。
1公安網安全問題分析
1.1概述
公安信息網一般分為內網和外網。內網的用途一般是用來進行日常的辦公、辦案以及違法處理;外網是用在民警搜集、檢索信息和材料所需要使用的網。外網所遭受的攻擊和破壞主要是來自于病毒和木馬的攻擊,這往往能夠通過防火墻等一系列措施進行安全保護。內網的攻擊來源與外網是不同的,主要來自于內部,并且比外網更容易遭到破壞的同時防范的難度也會更高。為了防止外網的入侵,在公安網的設計之初就將內網和外網的物理層斷開,阻斷外網對內網進行入侵,同時也為內網加裝了防火墻和入侵檢測設備,但是這些所起到的作用并不十分顯著。[2]
1.2時常受到攻擊的原因
(1)隨著信息化網絡技術的不斷發展,我國公安機關的網絡建設逐漸優化,網上辦案系統的運用達到一個新的層次。辦公自動化系統、網上執法辦案系統、道路交通違法信息處理系統等大規模系統的使用和普及,對內部網絡的通暢要求越來越高。這是網絡常常遭到攻擊的原因之一。
(2)公安系統內部網絡仍然具有一定的安全風險。網絡在使用的過程中常常會產生漏洞但是由于系統較多而沒有及時的進行修補,這給黑客的攻擊提供了便利和降低入侵的難度。隨著黑客技術不斷快速發展,對黑客的技術水平和要求也越來越低,因此從事黑客的難度也會越來越低。外網時常面臨著黑客攻擊的風險,內部所面臨的威脅也不少,公安內網大量的工作信息和數據也有被竊取的可能性,所以黑客對于公安網具有很強的破壞性和威脅性。湖南湘潭市公安局發生的工作人員使用黑客手段竊取內部網絡的信息和公安網的服務器密碼便是一個很好證明,也為公安機關敲響了警鐘。
(3)部分攻擊來自于內網。數據保護在目前的公安網受到重視的程度不高,給一些不法之徒提供了破壞或者是盜竊的便利。保護不力主要體現在以下幾個方面:用戶直接對數據庫和服務器進行操作,這導致了入侵者常常對關鍵數據進行破壞或者是竊取;民警進行數據處理時忽視了數據加密,使數據處于一種公開狀態;公安機關在設計之初對用戶進行了權限等級的排序,加大了管理難度,這也會導致更高權限的用戶被出現越權操作的情況;還有一種越權操作的情況是民警經常使用別人的賬戶的情況。數據庫管理的不嚴格、不嚴密導致了數據容易處于透明狀態、文件有時具有的共享屬性以及用戶使用的不嚴謹都導致了內部網絡經常遭到了破壞。
2安全措施
通過前文的原因分析,受到攻擊后的內網造成的嚴重后果是顯而易見的。如何對內網進行安全建設,加強網絡保護,盡量減少因為遭受攻擊而導致的后果是目前我國的公安系統必須要重視的一個重點。通過筆者自身的基層實習,對公安機關有以下幾個建議:
(1)完整公安網絡體系的建設。公安機關必須摒棄過去混亂的網絡管理和使用模式,進行至上而下的完整體系建設。配備裝置良好的安全防護工具是首先要做到的,并對從上公安部到下的基層民警都需要進行統一建設。在選擇安全防護產品是要注意售后服務系統的完善,重點在保密和防護各方面都需要有良好的性能。在有了優秀的安全防護工具之后,需要有一批高水平的專業技術人才進行日常系統建設和維護,建設一支具有高水平的網絡安全維護隊伍有利于提高公安系統整體的水平和素質。
(2)對網絡安全的重要性向廣大民警大力宣傳,提高廣大民警的計算機安全保護意識。宣傳不僅要在公安部進行,更要在各個基層公安機關進行不同方式的宣傳,主要方式有全體民警會議等。宣傳主要分為三個方面:一是提高廣大民警對計算機網絡安全保密工作的重要性;二是操作公安網計算機安全保密的重要性;三是增強民警計算機網絡安全信息保密的重要性,概括來說即為網絡安全、操作安全、信息安全三個主要方面。公安機關所使用的計算機必須要設置難度較大的密碼,無密碼設置給黑客攻擊提供了一定的便利;進行數據備份,避免因為電腦的故障或者是黑客的入侵導致數據破壞導致數據丟失;公安機關定期對電腦計算機網絡進行檢修或是出現故障需要外界人員對電腦進行接觸時,要有專人在場進行監督,避免數據被竊取,并在接觸之后離開之前將設備取回。
(3)加強公安機關內網的安全管理建設。在安全管理方面,公安機關要盡快的形成一套完整的管理方法,將安全管理建設落實到制度中去,將每個人的責任界定清楚避免出現責任不明確相互推諉的情況。公安機關內的計算機的用戶和權限都要進行明確的劃分,民警簽訂每臺機子的網絡安全責任書,避免出現“一機兩用”的情況。因為這種情況可能造成計算機感染病毒,其中的數據遭到竊取或是破壞。這很有可能導致公安機關內部網絡信息泄露。提高民警網絡安全保護意識的同時要嚴格的執行各項安全保護制度,“八條紀律”和“四個嚴禁”要嚴格遵守,違者將會受到嚴厲的處罰,若是造成了數據破壞或是泄露的情況,將會追究相關的法律責任。《公安網絡安全考核準則》中規定了各個單位都要有網絡安全主管領導和網絡安全管理員對本單位的網絡安全進行實時監控和管理。
(4)提高網絡安全技術的水平和層次。入侵檢測、攻擊防范、數據修復是網絡安全策略的三個重點。內部安全防范的技術水平已經達到一個較高的水準,因此應在對防范人的方面提高重視程度。只有及時的發現入侵者,才能更好的解決問題,不多走彎路。入侵檢測工作的同時我們要注意對黑客攻擊進行防范。數據傳輸的過程是比較容易遭到黑客竊取的時間點,因此在進行數據傳輸時要采取相應的加密措施。安全的密匙分發制度能夠防止用戶對業務的否認和抵賴,同時數據遭竊后被破解的可能性也會降低,提高了數據傳輸時的安全性。要時刻注意數據備份,當網絡被黑客入侵,關鍵數據被破壞時能夠及時使用備份,減少對公安機關正常工作帶來的影響。
3結束語
公安系統網絡安全建設是一項長期建設的過程。公安機關首先要真正認識到建設的重要性并對其加以重視并采取相應的措施進行建設才能推動網絡安全建設的不斷發展。筆者作為公安機關計算機教育的從業人員,對信息安全的重要性有一個明確的認識。前文所提到的只是想為公安機關敲響一個警鐘,希望有關部門能夠重視起來并進行溝通建設,努力推動網絡安全技術的不斷革新與發展。
作者:趙冉 單位:山東省昌邑市公安局
參考文獻:
篇2
油田企業的數據信息資源,對油田企業非常重要,一旦受到破壞,將會給油田企業帶來巨大的經濟損失。所以在油田網絡信息安全體系建設的過程中,需要將其安全性提升,加強外部安全建設。在預防為主的基礎上進行,對外部因素、病毒因素的影響,只有將系統的安全性提升,才可以杜絕此類影響的發生。在油田網絡信息安全體系建設中,建立防火墻,可以將體系的安全性提升,在網絡和油田網絡信息安全體系之間建立一個安全網關,保護體系不受非法入侵者侵入和攻擊。防火墻的建設,將體系的安全性、網絡的安全性提升,有效地阻止了體系的非法訪問,不允許外網訪問內網。在建設網絡防火墻的基礎,增加入侵檢測設置,對系統入侵進行控制。入侵檢測技術是防火墻的一種互補,可以提升油田網絡信息安全體系中信息管理的性能,保證信息的完整性,減少網絡威脅。
2加強內部建設
在加強外部安全建設之后,油田網絡安全信息體系的建設,想要保證信息管理的安全性,保證信息的完整性,還需要加強系統的內部建設。從當前油田網絡信息安全體系建設現狀進行分析,加強內部建設,可以從設置系統訪問權限、對網絡病毒進行防治、加強網絡信息安全體系的管理等方面入手。保證油田網絡信息安全體系以及信息安全的有效手段之一,就是設置系統的訪問權限,采用虛擬網絡技術對油田企業的數據信息安全進行保護。其次是加強病毒防治技術的應用,提高網絡信息體系的安全。病毒在網絡中的傳播途徑和傳播方法有多種,為了提升油田網絡信息安全體系的安全,提升信息管理質量,需要堅持層層設防、集中控制、以防為主防治結合的原則,進行系統安全性的建設。最后加強系統的安全管理,如果網絡安全管理缺乏,系統在工作的過程中,也會對數據信息的安全產生一定的威脅,為此需要在油田網絡信息安全體系運用中,加強網絡安全管理,提高系統的病毒防治有效性。
3結語
篇3
網絡武器民用化
將導致勒索成為最流行模式
齊向東在演講中稱,網絡戰“不費一槍一炮”,就能達到傳統戰爭破壞政府、經濟、社會正常秩序的系列目的,勒索病毒攻擊就是這種形式。
在剛剛過去的6月底,勒索病毒變種Petya卷土重來,距Wannacry事件僅過去了一個多月。齊向東總結說,經過對比分析,勒索病毒變種有傳播速度更快、破壞性更強以及目的性更復雜的趨勢。
傳播速度上,新病毒變種的傳播速度達到了每10分鐘感染5000余臺電腦;破壞性上,大量基礎設施遭到攻擊,危害性極大;目的性上,“黑客”不再單純地以盈利為目的,而是為了搞破壞,而帶有國家背景的攻擊極有可能隱藏在黑產面具的背后。
齊向東認為,以“永恒之藍”勒索病毒為標志,網絡攻擊已經從過去的“弱感知”變成了“強感知”,大部分人從“圍觀者”被迫成為了“受害者”。同時,“網絡武器民用化”的趨勢將導致勒索成為未來最流行的模式。
“以前網絡攻擊的目的是破壞,但在大數據時代,用網絡漏洞進行勒索不僅能快速地破壞企業和機構的基礎設施,還能實現盈利。”齊向東說。安全行業將演變為
人才密集型的服務行業
面對越來越復雜的網絡攻擊,傳統的安全防護思路和技術已經失效,建設全新的網絡安全體系迫在眉睫。
齊向東表示,在建設全新的網絡安全體系時,人的作用會越來越大,安全行業將演變為人才密集型的服務行業。原來用硬件設備和軟件構成的、以防護為主的安全體系已經不適用了,取而代之的將是防護系統與安全人員應急處置相結合的新體系。
除了強調人的作用,齊向東認為,網絡安全態勢感知與應急響應是網絡安全系統的核心。勒索病毒事件充分證明,安全應急響應的速度和質量,對保障網絡安全至關重要,而態勢感知系統能夠自動感知預警,為應急響應提供保證。
此外,終端、網絡、服務器三方聯動的防護體系是應急響應結果的關鍵。齊向東說,360對100余家機構抽樣統計表明,即便是大型的機構,建設了終端管控體系,也存在明顯的安全死角,導致應急措施無法有效執行。如果能組成三方聯動的防護體系最好,如果不能,至少三條線分別能自動響應,比如在云端“一鍵執行”統一安全策略,這能為響應贏得寶貴時間。
我國網絡安全建設的投入
與美國相差15倍
齊向東認為,一直以來,我國在網絡建設上存在著重業務應用、輕網絡安全的現象。目前,我網絡安全建設的投入與美國相差15倍,應盡快補齊。
“我國網絡安全投資占整體信息化建設經費的比例不足1%,與美國的15%、歐洲的10%相比存在巨大差距。”齊向東說。
篇4
隨著企業信息化的深入發展,企業業務系統對信息技術的高度依賴,網絡信息安全問題也變得日益嚴重,新的安全威脅不斷涌現,并且成為黑客攻擊的重要對象。
面對越來越嚴重的威脅,企業需要建設主動的、深層的、立體的信息安全保障體系,保障業務系統的正常運轉,保障企業經營使命的順利實現。
在面對不斷發展的安全威脅時,許多企業不斷地擴充自己的安全體系,希望通過不斷地部署安全產品,來確保網絡的安全。在企業部署安全體系的時候,遇到了一個相同的問題,即防范惡意攻擊、降低安全風險,應該用入侵檢測產品還是入侵防護產品?
實際上,幾年前,很多企業都利用入侵檢測監控風險,了解網絡中的脆弱點。隨著近幾年入侵防護技術的出現,企業在建立安全架構的時候,面對入侵檢測和入侵防護,不知何去何從?
從2003年Gartner公司副總裁Richard?Stiennon發表的《入侵檢測已壽終正寢,入侵防御將萬古長青》報告引發的安全業界震動至今,關于入侵檢測系統與入侵防御系統之間關系的討論已經趨于平淡,2006年IDC年度安全市場報告更是明確指出入侵檢測系統和入侵防御系統是兩個獨立的市場,給這個討論畫上了一個句號。
可以說,目前無論是從業于信息安全行業的專業人士還是普通用戶,都認為入侵檢測系統和入侵防御系統是兩類產品,并不存在入侵防御系統要替代入侵檢測系統的可能。但由于入侵防御產品的出現,給用戶帶來新的困惑:到底什么情況下該選擇入侵檢測產品,什么時候該選擇入侵防御產品呢?啟明星辰公司產品管理中心總工程師萬卿表示,“在入侵防護產品剛出來的時候,有些用戶對于選擇入侵防護還是入侵檢測拿不定主意,不知何去何從?實際上,入侵檢測和入侵防護根本就不是同類的產品。兩者不是互相取代或升級的關系。企業需要根據自身的網絡環境和系統環境,選擇合適的產品。”具體的兩種產品的選型上來講,需要從產品的價值和產品的應用角度出發,就能夠明確自己的需求了。
從產品價值角度講,入侵檢測系統注重的是網絡安全狀況的監管。用戶進行網絡安全建設之前,通常要考慮信息系統面臨哪些威脅;這些威脅的來源以及進入信息系統的途徑;信息系統對這些威脅的抵御能力如何等方面的信息。
在信息系統安全建設中以及實施后也要不斷的觀察信息系統中的安全狀況,了解網絡威脅發展趨勢。只有這樣才能有的放矢的進行信息系統的安全建設,才能根據安全狀況及時調整安全策略,減少信息系統被破壞的可能。
入侵防御系統關注的是對入侵行為的控制。當用戶明確信息系統安全建設方案和策略之后,可以在入侵防御系統中實施邊界防護安全策略。與防火墻類產品可以實施的安全策略不同,入侵防御系統可以實施深層防御安全策略,即可以在應用層檢測出攻擊并予以阻斷,這是防火墻所做不到的,當然也是入侵檢測產品所做不到的。
從產品應用角度來講,為了達到可以全面檢測網絡安全狀況的目的,入侵檢測系統需要部署在網絡內部的中心點,需要能夠觀察到所有網絡數據。如果信息系統中包含了多個邏輯隔離的子網,則需要在整個信息系統中實施分布部署,即每子網部署一個入侵檢測分析引擎,并統一進行引擎的策略管理以及事件分析,以達到掌控整個信息系統安全狀況的目的。
而為了實現對外部攻擊的防御,入侵防御系統需要部署在網絡的邊界。這樣所有來自外部的數據必須串行通過入侵防御系統,入侵防御系統即可實時分析網絡數據,發現攻擊行為立即予以阻斷,保證來自外部的攻擊數據不能通過網絡邊界進入網絡。
入侵檢測系統的核心價值在于通過對全網信息的分析,了解信息系統的安全狀況,進而指導信息系統安全建設目標以及安全策略的確立和調整,而入侵防御系統的核心價值在于安全策略的實施―對黑客行為的阻擊;入侵檢測系統需要部署在網絡內部,監控范圍可以覆蓋整個子網,包括來自外部的數據以及內部終端之間傳輸的數據,入侵防御系統則必須部署在網絡邊界,抵御來自外部的入侵,對內部攻擊行為無能為力。
明確了入侵檢測和入侵防護的區別之后,萬卿提出了三種不同的應用環境:若用戶計劃在一次項目中實施較為完整的安全解決方案,則應同時選擇和部署入侵檢測系統和入侵防御系統兩類產品。在全網部署入侵檢測系統,在網絡的邊界點部署入侵防御系統。若用戶計劃分布實施安全解決方案,可以考慮先部署入侵檢測系統進行網絡安全狀況監控,后期再部署入侵防御系統。若用戶僅僅關注網絡安全狀況的監控(如金融監管部門,電信監管部門等),則可在目標信息系統中部署入侵檢測系統即可。
合理的選擇產品類型之后,下一個問題就是選擇什么樣的入侵檢測系統或者入侵防御系統才能最有效的發揮作用呢?
萬卿表示,任何產品的開發應該圍繞著核心產品價值展開,產品的各種能力都應該為核心產品價值服務。
篇5
棉花監測系統網絡支撐平臺是提供信息數據傳輸、交換、儲存、處理、共享、的綜合業務平臺,通過構建數據處理中心、數據處理分中心(國家發改委價格監測中心)、國家棉花市場監測系統信息中心以及國家棉花市場監測系統總公司的網絡、計算機、配套設備、運行環境,實現信息的處理、共享、傳輸和備份,以滿足系統運行的各方面功能要求。
1.在基礎平臺建設的同時開展全面、有效的安全體系規劃和建設;2.選用最可靠最穩定的安全產品構建安全防御系統;3.在最大限度保障安全運行的同時,又兼顧良好的運行效率;4.全面兼顧安全技術、業務運維流程和人員在信息安全保障中的積極協調作用;5.有效監控全網的安全情況,快速發現可能的安全隱患和異常行為;6.實現7×24×365的安全運行狀態監控與安全運行維護處理;7.建立完善的應急響應機制和流程;8.在短短兩個月時間內高效率、高質量地完成所有的工作。
一套平臺 兩種思想 三個系統
國家棉花市場監測系統安全建設和保障工作涉及到安全體系規劃、安全系統集成、安全運維管理、信息安全專業服務、高端安全管理咨詢、日常安全支持以及安全值守服務等眾多內容。安全建設工作千頭萬緒,安全保護對象龐大復雜,安全管理要求苛刻嚴格,對安全保障體系的規劃和設計提出了非常高的要求。
針對安全建設和管理需求,太極組織了大量的安全專家認真、深入地分析了國家棉花市場監測系統可能面臨的各類安全問題,參照ISO17799等安全管理國際標準,結合太極多年在安全領域的經驗,提出了解決方案。太極與相關合作伙伴緊密合作,針對國家棉花市場監測系統的安全設計和建設可以總結為:建設一套集中的安全運行管理平臺,融合兩種核心的安全建設思想,建立三個不同角度的信息安全子系統。
一個平臺,是指通過部署安全運行管理中心產品建立國家棉花市場監測系統的集中安全運行管理平臺。通過對網絡中各種網絡安全設備和安全軟件的集中管理和監控,把一個個原本分離的網絡安全孤島聯結成有機協作互動的一個整體,并自動實現對安全事件的處理,從而實現網絡安全管理過程中的實時狀態監測,動態策略調整,綜合安全審計以及恰當及時的威脅響應,從而有效提升網絡的可管理性和安全服務水平。
兩種思想是指動態信息安全風險管理體系建設思想和構建信息安全縱深防御體系建設思想。
動態信息安全體系思想的根本目的,是要保障安全系統設計具備良好的動態建設過程和安全可擴展性,促進建立易擴展的信息安全保障體系。縱深防御思想是保障安全系統設計的廣度和深度,促進建立全面綜合、高效安全的網絡安全保障體系。其在廣度上要求從網絡架構、網絡設備、操作系統、應用系統、數據庫系統等各個層面考慮安全系統建設;在深度上要求分層次,由外而內,從網絡邊界、內部網絡、核心服務器乃至桌面PC各個層面考慮安全防御功能的建設。其核心體現就是進行合理的網絡安全域規劃,實現安全事件影響范圍的有效控制。
本次項目,太極協助國家棉花市場監測系統規劃了完善的動態信息安全風險管理體系的建設,包括三大信息安全體系安全功能技術體系、安全服務支持體系、安全管理咨詢體系。
優點多多
系統的安全規劃、建設和運營管理解決方案,覆蓋了信息系統的整個生命周期;充分重視業務安全管理,將傳統分立的安全產品管理進行有效整合;提出了安全運行管理中心解決方案,實現了安全產品和管理的集中統一;將安全監控和安全維護有機結合,實現閉環管理,提高了安全管理效率;將各種安全設備所報告的安全事件匯總在一起進行關聯分析,消除安全事件的誤報和重復報警,并推斷問題根源,給出該事件的解決建議。
應用效果與收益
安全運行管理中心的部署,實現了分散的、異構的安全產品的集中管理,高效提煉和分析海量的安全信息和各類報警事件;實現了安全事件的閉環處理;實現了信息安全的“可控、可見和可管理”,協助國家棉花市場監測系統邁向信息安全管理乃至IT管理的新臺階。
用戶評議
國家棉花市場監測系統由于其特殊性和重要性,安全是第一重要的因素。我們在進行項目建設過程中對安全產品提供商和安全集成服務商進行了嚴格的選擇,我們在項目建設中采用了最好的產品、最嚴格的管理、最優秀的集成商和最高效的服務來確保網站的安全。
篇6
隨著教育網基礎建設的逐步完成,其構成的信息化高速公路在學校教學、科研、管理和對外交流等多方面扮演著越來越重要的角色。
楊浦區早在1996年就成立了區教育信息中心,并將其建成了連接各校園網的門戶站點,校際共享的教育教學的資料庫,教育行政部門管理的網絡中心。
全區中小學信息中心網絡實現24小時開通,建立了全區中小學電子郵件系統,通知、提示、文件全部網上運行,加快了信息的傳遞速度,提高了工作效率。分批推進校園網建設,實施“校校通”工程,做到“線路通、資源通、應用通”。
但是,數字化技術的大量應用,也使惡意和非惡意性的侵害和攻擊行為發生的可能性大大提高,如何保障信息系統安全、優良的運行,實行高效、及時的管理?同時維護也成為重點考慮的問題。
楊浦區教育信息系統是教育行業內發展快、基礎架構完善的網絡,承載著整個區的網絡教育以及教職員的研究項目的任務。由于網絡系統比較出名,容易招致黑客的惡意攻擊。
每當攻擊導致網絡出現故障時,學生將無法完成自己的課堂作業,教職人員無法進行自己的研究項目,行政管理人員則無法完成日常的管理任務。攻擊也會給網絡小組造成極大的麻煩,此外,學校還必須投入數十萬元的資金用于恢復網絡。
如何尋求新的解決方案給網絡安全再上一道門。那么,什么樣的門才能實現這個功能呢?防火墻的目標是用于網絡訪問控制,對于黑客使用緩沖區溢出等應用或攻擊OS弱點無能為力。
另外,對于通過郵件傳播的蠕蟲病毒,防火墻也無法阻擋。而且,黑客的攻擊都是利用防火墻允許通過的協議發起的針對主機漏洞的攻擊。IDS只能是被動的報警,有時候還有相當大的漏報和誤報現象發生。
最終,IPS(入侵防護系統)吸引了信息中心同事們的注意。他們發現,IPS不僅具有IDS的預警功能,而且,還可以在報警的同時,截獲惡意的數據包,實現主動防御。
通過對防火墻、IDS以及IPS等安全工具的優劣勢進行比較分析,楊浦區教育信息中心的技術人員都覺得IPS是最佳的選擇,于是,他們決定引進IPS系統。
通過多家公司的產品測試,最后決定購買McAfee的設備。McAfee具有全面的安全產品,如防病毒、病毒網關、入侵防護以及安全風險管理。目前主要是解決網絡安全事情,特別是蠕蟲和非法攻擊。經過嚴格的測試和對比,最后決定選擇McAfee Intrushield 2600。
McAfee Intmshield 2600可同時以In-Line的方式防護四條鏈路,做到對網絡入侵攻擊的實時阻斷。提供一對千兆端口和三對百兆快速以太網端口,吞吐量高達600Mb/s,不僅滿足了楊浦區教育信息中心的現有網絡需求,并且為信息中心網絡今后的擴展提供了很大空間。
同時,可以根據楊浦區教育城局域的需求,在McAfee Intrushield2600上針對VLAN和CIDR設定虛擬IPS,以做到更進一步的細致防護,確保整個楊浦區教育城域網網絡的安全。
在安全系統中,將McAfee Intrushield 2600的一對檢測防護端口以In-Line的方式串接在核心交換機和鏈路負載均衡設備Radware LinkProof之間,以做到實時的阻斷整個楊浦區教育城域網內網對外網及外網對內網的入侵攻擊。
一對檢測防護端口同樣以In-Line的方式串接在核心交換機和電信MPLSVPN接入之間,以做到實時的阻斷內部網絡中各學校對信息中心應用服務器群的入侵攻擊,有效的保護信息中心的安全。
MsAfee IntruShield能夠通過先進的簽名檢測、異常檢測以及DoS攻擊檢測來預防各種各樣的攻擊,其先進的功能也使楊浦區教育信息中心的工作人員受益匪淺。自從部署了McAfee IntruShield以后,楊浦區教育城域網被攻擊的次數顯著降低了。
加油IC卡:防毒也“加油”
文 斌
如今80%的病毒通過電子郵件進行傳播,那么加油IC卡系統是如何對整個防病毒系統進行集中管理,如何在網關處就將帶病毒的電子郵件掃除門外?
中國石化加油IC卡系統是中國石化集團公司與銀行合作開展的跨系統、跨地區的特大型IC卡應用項目。
IC卡系統通過以現代支付工具IC卡取代傳統的現金、油票等結算,實現加油款的電子支付和交易數據的自動采集,在各級石油公司和加油站建設零售業務管理信息系統,以高科技的經營管理和服務提高工作效率、降低經營成本,使企業在市場競爭中處于有利的地位。
項目的建設不僅為開展油品電子商務業務奠定基礎,也有利于逐步以加油卡這一現代金融工具替代傳統的現金、油票結算,同時采用銀企合作方式建設通用加油卡系統,也為國有商業銀行開辟了新的業務領域和新的服務市場。由于中國石化加油IC卡系統需要完成各種交易信息的傳送和處理,因此,確保系統的安全可靠至關重要。
全方位保護系統
為了全面實現“中國石化加油Ic卡防病毒管理系統”的目標,最大限度地防范病毒危害,在建立“中國石化加油IC卡防病毒管理系統”時,針對網絡構造和應用環境的實際情況,采用McAfee Active Virus Defense(AVD)和McAfee安全網關解決方案。
建立全方位的、統一完整的加油IC卡防病毒系統,從桌面客戶端、服務器、群件以及網關上進行全方位、多層次的整體防護,并通過McAfee AVD的核心產品ePolicy Orchestrator(ePO)對整個防病毒系統進行集中管理,分級控制,確保保護整個企業網絡遠離各種病毒攻擊。
針對桌面客戶端的防病毒產品VirusScan,VirusScan支持多種操作系統,從而能夠對最廣大的用戶群提供支持,同時集成了一些功能強大的輔助技術,可以自動地保護系統免于崩潰和數據的意外丟失。
針對服務器的防病毒產品NetShield,NetShield支持Novell、Win NT、Win2000S和NetApp等多種操作系統,能夠從一個直觀的控制臺保護整個企業的文件、應用程序和群件服務器,方便地從本地服務器或工作站監測、配置和執行遠程服務。
分別專門針對Lotus Domino和Microsoft Exchange群件環境的防病毒產品GroupShield for Domino和GroupShield for Exchange。
傳統的反病毒產品并不能對專有數據庫內部以及群件環境中使用的通信進行掃 描,但群件服務器級的病毒防護功能對于企業防止病毒的擴散是十分重要的。應用了McAfee高級掃描技術的GroupShield能夠有效防止病毒在信息傳遞過程中發作,在病毒擴散到網絡其他部分時有效地將其查殺。
VirusScan防范多威脅
VirusScan Enterprise 8.Oi使得用戶和管理員能夠從容應對最常見的潛在惡意軟件程序,包括蠕蟲、間諜軟件以及廣告軟件。
VirusScan Enterprise 8.Oi擴展了對新類型惡意代碼的檢測功能,這就意味著它能夠為企業的敏感信息和資產提供更有效、更強大的保護。該產品在初始配置情況下能夠預防約200多種最具危險性的潛在惡意程序,用戶還可以按照計劃在潛在惡意程序安全列表中添加新發現的惡意程序。
網關攔截病毒
電子郵件已經成為計算機病毒傳播的主要媒介,據統計,80%的病毒通過電子郵件進行傳播。
如果能夠在網關處就開始對電子郵件進行掃描,在病毒進入網絡之前就將其截住,從而將對關鍵業務系統可能造成的危害減到最低。
McAfee安全網關全面集成了軟硬件技術的防病毒硬件設備。利用McAfee安全網關,企業用戶能夠對出入網絡的電子郵件、HTTP數據與FTP數據進行掃描以搜尋病毒信號。一旦偵探到病毒信號,能夠將其清除、阻止或隔離該信息或數據。
中國石化加油IC卡系統是中國石化集團公司的重要系統,整個系統的穩定性直接影響著業務的發展。自從利用McAfee構建起全面防病毒系統后,整個系統運行穩定,實現了全方位的病毒防護,確保了整個系統免遭病毒的攻擊和危害,保障了業務的順利發展。
SOC建設劍指金融安全
劉 巖
安全管理已經被業界所認可,那么如何將這些管理上的制度和規范落實,將這些安全管理目標真正用技術手段加以控制?
正如ISO 17799國際標準所強調的,“信息安全是管理的過程,而不能僅僅考慮技術因素。”隨著信息技術的發展,金融領域的科技工作重點已經由網絡建設、數據大集中、安全基礎設施建設,發展到安全管理的階段。
那么如何才能更加體系化、流程化、平臺化的進行信息安全管理系統的建設呢?
從BS7799談起
由英國標準協會(BSI)在1999年首次提出的BS7799安全管理標準,2000年正式成為ISO/IEC 17799,并于2005年發展為最新版本ISO/IEC 27001。
該標準通過11個大類的安全目標和安全控制,構建了信息安全管理系統的框架,為各機構進行信息安全管理工作提供基礎的依據。
七分管理,三分技術,管理和技術在金融領域的安全工作中是密不可分的,管理需要以強大的技術手段作為依托,技術的實施需要以管理目標作為依據。
近年來,國內的各大銀行均在加強安全策略和規范的建設,如人民銀行早在2003年牽頭編制了《銀行和相關金融服務信息安全管理規范》,而交通銀行也正在制定信息安全總體規劃,并制定相應的規范。
國外的同行業機構已經將7799的認證工作確實的落實到具體的安全技術體系之上,例如英國的SmileBank,其網上銀行最早獲得了英國BSI的7799 ISMS認證,并以此認證工作為契機為網銀的客戶提供強有力的安全保障。
如何將安全管理上的目標真正用技術手段做到控制呢?SOC(Seevturity Op-eration Center)就是在這樣的大環境之下順理成章出現并不斷發展,它是從單一的技術手段向管理過渡的重要里程碑。
四個中心,五個模塊
啟明星辰提出的SOC解決方案,其體系架構如圖1所示,由“四個中心、五個功能模塊”組成:
“四個中心”是漏洞評估中心、事件流量監控中心、綜合分析決策支持與預警中心和響應管理中心;
“五個功能模塊”是策略管理、資產管理、用戶管理、安全知識管理和自身系統維護管理。常用的關鍵系統功能:
脆弱性管理
通過脆弱性管理可以掌握全網各個系統中存在的安全漏洞情況,結合當前安全的安全動態和預警信息,有助于各級安全管理機構及時調整安全策略,開展有針對性的安全工作,并且可以借助弱點評估中心的技術手段和安全考核機制可以有效督促各級安全管理機構將安全工作落實。
綜合分析與預警
綜合分析與預警是安全運營中心的核心模塊,依據資產管理和脆弱性管理中心進行綜合的事件協同關聯分析,并基于資產(CIA屬性+價值)進行風險評估分析,按照風險優先級針對各個業務區域和具體事件產生預警,參照網絡安全運行知識管理平臺的信息,并依據安全策略管理平臺的策略驅動響應管理中心進行響應處理。
響應管理
響應管理是根據當前的網絡安全狀態,及時調動有關資源做出響應,降低風險對網絡的負面影響。
網絡安全響應模塊負責根據預定義好的安全策略規則,及時工作指令,調動有關資源做出響應。實現人機接口,通過人工派單方式發送到相應的工單處理部門。工單的通知方式包括圖形顯示、SNMP Trap、郵件和短信。
安全策略管理
網絡安全的整體性要求需要有統一安全策略和基于工作流程的管理。通過為全網安全管理人員提供統一的安全策略,指導各級安全管理機構因地制宜的做好安全策略的部署工作,有利于在全網形成安全防范的合力,提高全網的整體安全防御能力。
同時通過策略和配置管理平臺的建設可以進一步完善整個IP網絡的安全策略體系建設,為指導各項安全工作的開展提供行動指南,有效解決目前因缺乏口令、認證、訪問控制等方面策略而帶來到安全風險問題。
安全知識管理
安全信息管理是安全信息的WEB系統,不僅可以充分共享各種安全信息資源,而且也會成為各級網絡安全運行管理機構和技術人員之間進行安全知識和經驗交流的平臺,有助于提高人員的安全技術水平和能力。
實現在安全管理中心WEB門戶提供統一界面以安全WEB的形式最新的安全信息,并將處理的安全事件方法和方案收集起來,形成一個安全共享知識庫,該信息庫的數據以數據庫的形式存儲及管理,為培養高素質的網絡技術人員提供培訓資源。
SOC架起安全橋梁
SOC是安全管理工作的重要工具之一。機構資產的梳理、防火墻的配置、入侵檢測系統的事件分析、甚至整個信息系統的脆弱性和威脅分析,這些都不能做到整體的安全管理。因為管理者不可能過多的關注某些細節,安全管理需要對整體的安全現狀和態勢進行宏觀地把握,并果斷 有效的傳達旨意,采取措施。所以SOC的首要價值是通過技術的實現手段加強對安全管理的關注。應該關注的問題有:
銜接宏觀與微觀
金融機構的安全建設提出了更多管理層面的問題,需要對多種資源的整合管理更加重視。目前企業的安全運行管理普遍現象是,不同類安全產品分別有其自身的管理控制臺,網絡與主機設備由網管系統管理。特別對于金融行業而言,需要有效地整合各系統,對事件的數據格式、分級進行標準化,從全局上對整個網絡安全事件進行分析。
解決人員依賴性
企業需要解決人力嚴重不足的問題,降低對人員技術水平、經驗以及責任心的依賴,把人員所造成的安全風險降到最低。考慮到事件優先級判斷與參與人員的技術水平和經驗相關,很難有客觀的分析和判斷,需要建立一套完整的事件采集、統計、判斷和處理機制。
關注業務風險
對于技術型的人員來說,往往采用技術型語言來描述問題。這種情況下,容易與領導和非技術部門人員產生溝通和交流的問題。因此需要將技術型問題上升到管理型的問題,風險數字化,損失數據化。
合規性
BS 7799作為系統的安全管理標準,在國際金融界廣為使用。所謂7分管理、3分技術。管理和技術一直很難整合起來,管理不僅是制度,還需要有一種系統來實現管理的目的。SOC將安全管理需求與安全技術解決方案的整合,將管理和日常技術工作融合在一起。
有效顯示
第一時間發現病毒或者入侵事件源頭和發展趨勢,通過圖形化顯示,直觀了解全網的情況。
SOC能夠把問題顯示出來,能夠量化。每天發現了多少次,解決了多少次,從而了解到網絡安全的真實現狀。
通過監控大屏幕的顯示可以將整個網絡管理的現狀和態勢展示出來,機構領導者可以直觀的在監控中心了解宏觀安全,并指揮各地的安全工作的落實。
例如,交通管理指揮中心人員不需要親自前往各個擁堵的路段,他們只需要通過各種手段采集交通信息作匯總和,統一的指揮調度。安全管理工作也同樣需要這樣的機制進行全局的管控。
有效提煉,實施預警
SOC系統可以從海量的安全事件報警中得出有價值的信息,及時采取報警措施。
有效投資
安全風險是無限的,而安全投資是有限的。應該利用有限的安全投資解決無限的安全風險(安全投資ROI=減少的安全損失/安全投入)。
與安全域劃分相結合
安全域的劃分和賦值是金融行業網絡安全建設的重要環節。啟明星辰的泰合SOC解決方案的另一大特點,也是安全建設非常有價值的功能之一,是可以部署基于安全域的SOC平臺,從而實現多層次可定制的安全域管理,基于域的細粒度風險計算和監控能力,并且以安全域的思想進行風險管理。
安全域作為安全建設的核心,需要長期的管理,SOC是安全域管理監控的有效工具。使用資源管理中的安全域管理的核心功能,可以使安全建設從單純的信息安全工作向業務保障轉換,同時將宏觀的信息安全建設向下落實。
中國的信息安全起步和發展都處于世界前列,特別是在金融領域,2000年以來信息安全的技術和管理層面都已經作了大量的工作。但是行業科技人員和管理者還需要繼續腳踏實地的落實信息安全管理工作,從而切實地為我們的金融客戶提供高可靠、高質量的服務,使金融機構穩步健康地發展。
雙認證護航遠程安全
滿 欣
由于RSA SecurlD認證器上每隔60秒轉換一次6位數的無窮盡無重復口令多么高明的黑客都無法在如此短的時間內猜測出如此復雜的口令。
中國大地財產保險股份有限公司(簡稱大地財險)由包括中國再保險(集團)公司在內的10家境內外投資人共同發起設立,總部設在上海,目前全國有15家分公司。
為了建設一個高起點和高標準的信息化系統,大地財險與IBM公司合作,引進國際先進的保險理念和信息技術,初步建立起公司的信息技術基礎平臺。
基于VPN的種種優勢以及最大化保險人的工作效率,大地財險的許多業務資源訪問已經開始通過VPN實現,具備合法身份的工作人員可以利用VPN訪問公司的核心資源。
VPN是把雙刃劍?
大地財險的運營越來越依賴企業的核心力系統和數據,在通過VPN提高工作效率的同時,也看到了潛在的安全風險。
畢竟,VPN所應用的通信隧道,需要通過公共網絡并且必須向各種各樣的用戶打開自己的“網絡之門”。如果是正確的人存取了正確的信息,就等于你找到了一種功能無與倫比的商務工具。但是,當VPN的遠程存取權落入錯誤的掌握之下時,就無疑是一場大災難。
如何為企業的VPN訪問建立一個更加安全的環境,成為大地財險完善VPN服務的一個關鍵因素。
VPN網絡安全認證主要有以下幾種形式:密碼屬于一種最弱的安全形式,密碼公認的優點在于易于部署應用并且費用非常低廉。但是,密碼非常容易被猜中、被竊取或者受到其他的破壞。
雙因素認證必須提供兩種形式的認證內容。這就象是一部銀行的自動取款機(ATM),用戶既需要知道身份(卡)號碼,還需要擁有認證設備(令牌或者智能卡)。
隨著互聯網交易數量的增長,將數字證書作為一種認證形式變得更加廣泛。數字證書可以幫助識別用戶,因為它要求使用具有唯一性的數字信用證明。
使用智能卡的安全等級最強。這不僅在于使用智能卡得到了雙因素認證保護,而且還因為雙密鑰可以在智能卡上生成并儲存。
生物認證利用的是某個用戶所擁有的唯一生物特征。利用這種技術需要掌握某些生物數據,例如:指紋、視網膜掃描以及聲波紋等等。
最終,大地財險決定采用雙因素認證來保障其VPN網絡的安全登錄。
虛擬專用網絡(VPN)正迅速成為遠程存取應用中最普及的一種方法。通過建立在復雜交織的公共網絡中的一個專用通信隧道,VPN可以使用戶充分利用互聯網的強大功能,不僅大大節省了用戶遠程存取應用的費用,而且還進一步提高了工作效率。
但是,作為個人專用并不一定意味著一個虛擬的個人網絡具備應有的安全性,這是由于VPN經常采用的保護手段僅限于一種門檻偏低的密碼屏障。
大地財險通過對業界知名安全廠商所提供解決方案的對比,最終采用了RSA SecurID和Web Express認證解決方案。
同步令牌雙認證
目前,大地財險僅僅為其符合資格的保險人配備了RSA SecurID令牌。RSA SecurID時間同步令牌提供功能強大的雙因素認證,這種技術要求用戶提供他們知道的口令和他們擁有的硬件令牌。
這些令牌被設計成一種易于操作使用并且便于攜帶的小件產品,用來替代口令這種可以被輕松猜中或破解的安全性能偏弱的認證形式。
雙因素用戶認證系統能夠代替基本的密碼安全機制,有效抵御非法入侵,使寶貴的網絡資源獲得完善的保護,免受意外造成的破壞及惡意入侵。
RSA SecurID雙因素用戶認證產品的操作,如同使用取款卡一樣簡單方便。用戶只需在進入受保護的網絡前,先行輸入個人識別密碼,以及在RSA SecurlD認證器上每隔60秒轉換一次口令,就能通過認證。
篇7
關鍵詞:電力自動化系統;網絡安全;因素;對策
作者簡介:白璟(1985—),女,陜西西安人,學士,工程師,研究方向:電力系統自動化方面
1.前言
隨著網絡技術的快速發展,電力系統的規模逐漸擴大,電力自動化系統在不斷完善,該系統的實用化應用水平也在不斷深入,同時,隨著電力服務質量的提高,其可靠性與安全性均提出了更高的要求。電力自動化系統是電力生產、輸送、分配和消費一體化的控制系統,其可靠性與安全性要求作為提高電力服務質量的重要保障。隨著網絡信息技術的日益提高及電力系統規模的擴張,電力自動化系統工作量隨之成倍增加,該系統的實際運用能力在不斷提升。建立相關質量規范在一定程度上有助于提高電力自動化系統的可靠性與安全性,然而作為具有開放性的網絡信息系統,該系統也必然存在著一些潛在的安全隱患,該系統一旦被網絡黑客攻擊,就可以導致大范圍停電,從而造成極大的經濟損失。所以,新時期必須充分重視電力自動化系統網絡安全問題,積極應對各類安全隱患,并使其不斷完善,以實現電力自動化系統的可持續發展。
2.認識電力自動化系統安全體系
病毒隱患:MIS系統與外部直接相連,這就使得病毒感染具有很大的可能性,如求職信病毒等,當MIS網中的機器被病毒感染后,會隨之在整個網絡中傳播,造成SCADA系統的損害,直接影響調度工作的正常運行。
3.影響電力自動化系統網絡安全的因素
3.1設定防火墻系統比較繁瑣,致使用戶容易產生抵制情緒,從而降低防護性能。
3.2電力自動化系統的建立程度不統一,在使用過程中容易出現意料之外的狀況,致使安全設置無法得以應用。
4.提高電力自動化系統網絡安全能力的對策
4.1加強防火墻建設:電力自動化系統網絡應用的安全重點應該放在防火墻上。防火墻作為網絡安全保障的重要保障設施,其主要作用是在電力系統內部網絡與外部網絡完成數據交換時,對相關信息實施過濾與限制的作用,也就是說,其作為網絡數據出入口的一個邏輯控制器,無論是數據之間的交換處理還是系統內部的相關數據管理,防火墻都可以實施很好的控制,從而確保系統安全。防火墻可分為兩種類型:硬件防火墻及軟件防火墻,電力自動化系統中普遍采用內嵌式硬件防火墻,規模較大的系統可采用芯片式硬件防火墻,所以,使用防火墻時,需要“對癥下藥”,確保電力自動系統的網絡安全得以實現。
4.2選用有效的殺毒軟件:殺毒軟件對實現電力自動化系統的網絡安全具有保障作用,通過安裝殺毒軟件,并在病毒進出口設置系統防護,能夠有效避免木馬病毒對系統文檔、電子郵件等的破壞;通過對硬盤、軟盤、網絡、文件和郵件等進行檢測查殺,實現對電力自動化系統的全方位保護,此外,需及時更新殺毒軟件,以避免新病毒成為病毒查殺的“漏網之魚”。
4.3進一步完善網絡的維護與管理:電力自動化系統的網絡安全建設除了在設計方面增加安全服務功能外,還需要重視網絡的日常維護與管理,需從以下三個方面入手。
4.3.1物理安全管理:具體包括防盜、防火、防靜電及防雷擊等;
4.3.2網絡備份管理:該管理目的是為了盡快恢復計算機系統所需要的信息,備份不僅在硬件設備故障或者操作失誤時能夠起到保護作用,還可以在入侵者攻擊系統時發揮保護作用。
4.3.3應用軟件安全管理:操作人員使用軟件時需從安全角度出發,規范操作,如當操作人員長時間離開操作界面時應該注銷當前賬戶,系統管理人員、操作人員、和維護人員應該設置不同的使用權限等。
4.4切實提升網絡操作系統的可靠性:操作系統作為計算機網絡的核心,所以應該選用具有完善系統設計且運行穩定的網絡操作系統,如可選用LINUX或UNIX,選擇之后,應該及時安裝最新補丁程序,進一步提升網絡操作的可靠性。
5結語
電力自動化系統作為確保電網經濟可靠運行的重要手段,該系統的網絡安全建設是一項不斷發展變化的系統工程,所以,應該充分利用規劃、管理和維護等多種途徑確保電力自動化系統的網絡安全,發現安全隱患應該及時解決,確保電力自動化系統的網絡安全,實現其社會與經濟效益。
參考文獻:
[1]姜偉一.關于電力自動化系統網絡安全的幾點思考[J].科技論壇,2012.
[2]李宜恒.關于電力自動化系統網絡安全的幾點思考[J].企業技術開發,2013,32(6).
[3]蔣濤.電力自動化系統網絡安全的幾點思考[J].電力技術資訊,2013.
[4]黃芬.淺論電力調度自動化系統網絡安全隱患及其防止[J].信息與電腦,2011.
[5]葉蕓.淺議電力調度自動化網絡安全與實現[J].科技傳播,2011.
[6]傅達宏.淺談電力調度自動化系統及其網絡安全性分析[J].機電信息,2011.
[7]張莘茸.探討電力自動化系統的網絡安全[J].科技資訊,2011.
篇8
關鍵詞:計算機網絡系統安全;含義;威脅因素;解決措施
一、計算機網絡系統安全的含義
計算機網絡系統的安全就是通過對網絡系統的管理,能保證數據的保密性和完整性在一定的網絡環境中不受侵害。而安全性有主要包括兩個方面,物理和邏輯安全。物理安全主要是保證相關網絡設備的完整不受破壞,而邏輯安全主要是信息的私密、完整。
二、威脅計算機信息網絡系統安全的主要因素
(一)非人為因素
非人為因素主要分為自然因素與偶發因素,以及網絡自身缺陷兩點。風、霜、雨、雪等自然因素會對計算機系統的硬件與相應的設施造成影響,甚而破壞其組成,無形中威脅著計算機信息系統安全。此外,互聯網作為一個具有共享性與開放性的平臺進入到人們的工作與生活,初始設計并未將安全性納入其設計重點,這便造成了網絡信息在安全防范問題上的缺陷,及系統漏洞。
(二)人為因素
1、黑客的惡意攻擊
“黑客攻擊”是人們最熟知的危害網絡安全的因素之一,“黑客”往往專攻于計算機網絡技術并慣用不同的攻擊方式攻破網絡系統漏洞而竊取信息或使被侵害計算機系統癱瘓。由于黑客技術被深入的挖掘與研究,造成該技術的不良傳播與黑客數量的不斷增加。在互聯網這個共享與開放平臺上,一旦有計算機網絡受到攻擊,無疑將會影響到其他網絡系統的安全。
2、計算機病毒的侵害
計算機病毒主要是人為的惡性程序代碼,它往往存在于各種程序種種,通常處于潛伏狀態。其破壞性極強,一旦被激活,因其傳播的速度極快,范圍極廣,是危害網絡安全的最主要因素。被侵害的計算機會有不同程度地反應,較輕的后果是降低了系統的運行效率,嚴重的則可導致整個系統的癱瘓,信息因此泄露和丟失,甚而影響計算機的硬件與其他的設施。
三、計算機信息網絡安全的建設措施
(一)增強基礎設施建設
計算機機房應增設防火、防水、防雷電、抗震等基礎設施,增加網絡冗余資源,盡量防止由外部環境和自然因素對計算機系統帶來的不良影響和安全隱患。比如交換機對疊配置,就是由一些通過堆疊口相連的以太網交換機組成的一個管理域,其中包括一個主交換機和若干個從交換機。堆疊在一起的以太網交換機可看作為一個設備,用戶可通過主交換機實現對堆疊內所有交換機的管理。堆疊是通過堆疊口的連接來判斷的,無論主交換機還是從交換機,只要發現連接斷開,則自動退出堆疊。
(二)選取合適的網絡結構并應用先進的組網技術
選取合適的網絡結構并應用新的組網技術可以有效減少因網絡自身缺陷而帶來的安全風險,并在一定程度上對網絡病毒有一定的免疫力,從而降低網絡安全風險。傳統的DDN或者FR等技術已經無法滿足需求,一些先進的虛擬專網技術給這類需求提供了解決方案。如較新的組網技術中MPLS-VPN可以在骨干的寬帶IP網絡上構建企業IP專網,MPLSVPN的網絡采用標簽交換,一個標簽對應一個用戶數據流,非常易于用戶間數據的隔離,利用區分服務體系可以輕易地解決困擾傳統IP網絡的QoS/CoS問題,MPLS自身提供流量工程的能力,可以最大限度地優化配置網絡資源,自動快速修復網絡故障,提供高可用性和高可靠性。
(三)利用防火墻控制訪問權
防火墻作為連接企業等性質的群體計算機與外界用戶的通道,起到了外界用戶與企業內部網絡相互訪問的權限的限制作用。在兩臺計算機網絡相連接時,這種限制作用便可有效地防止非法一方的入侵,從而降低遭黑客襲擊與被計算機病毒侵害的可能性,大大保證了網絡系統的不被攻擊與侵害。防火墻因其經濟有效的特點,成為網絡系統安全的重要屏障并逐漸得到人們重視。
(四)排查系統漏洞,升級殺毒軟件
系統漏洞是系統自身存在的不可避免的問題,加強系統漏洞的排查與安全防范,可大大地降低黑客的可乘之機。針對漏洞問題已開發了許多的漏洞掃描技術,運用這些技術研發出了一系列的安全掃描工具,常見的有Nikto和Parosproxy等。這些工具主要是幫助用戶檢測網絡系統的安全并進行相應的評估,讓用戶及時準確地發現系統中漏洞與了解計算機的安全性能,在排查漏洞的同時也采取相應的措施加強安全防范。用戶需要配置防病毒的系統,經常對電腦進行安全檢測,并且平時在使用網落得過程中盡量避免或攔截非法程序的入侵。當系統出現漏洞時,要及時修復。
四、結語
如今我國的計算機網絡技術也在蓬勃發展,但本文也提到了我國網絡技術存在的缺陷,因此構建一個安全的網絡系統是一項重要的發展方向。然而很多網絡用戶的網絡技術知識還太淺薄,對于如何進行安全防護,如何對突況進行處理都還不懂。因此對于網絡管理運營者來說更應該肩負起更大的責任,不但要向廣大的網絡用戶宣傳計算健全防護知識,還要加大對網絡系統的管理監控和干預,不斷吸收新的技術,對我國目前存在的網絡安全問題做出有效地解決和改進。只有逐步加強改進網絡的安全建設,才能讓人們更好更放心地使用網絡資源。
參考文獻
[1]寧家駿.關于加強我國基礎網絡和重要信息系統安全建設的思考[J].中國建設信息,2011,10:27-33.
[2]遲洪偉.關于計算機信息網絡安全管理的幾點思考[J].硅谷,2015,02:158+156.
[3]肖成禹.關于計算機網絡信息安全的思考[J].鍋爐制造,2006,01:50-52.
篇9
關鍵詞:網絡信息安全;應對策略;網絡攻擊
1背景介紹
當今社會的發展和計算網絡信息緊密相連。網絡信息所涉及的領域非常廣,不僅是在民用領域,在國家經濟等領域的影響也非常大。網絡信息是一把雙刃劍,為我們帶來巨大利益的同時,我們要應對其產生的不良現象。網絡攻擊手段繁多,由于其具有開放性,應對較為復雜。當今強化全球計算機網絡信息安全技術是世界各國所面臨的難題。
2網絡信息安全
2.1網絡信息安全的含義
計算機網絡信息安全,是指計算機網絡在運行中保持其軟硬件不受外界惡意破壞、盜取或非法訪問,從而保持其系統的穩定性。對于不同的使用者,網絡安全的意義不同。對于個人,網絡安全就是指個人信息、財產、隱私等不遭到泄露或者竊取;對于企業或者國家,網絡信息包括了經濟、政治等多個領域,要做好網絡防護,避免產生巨大損失。
2.2網絡信息安全的發展方向
當前市面上存在多種網絡安全軟硬件產品,還有一些公司針對信息安全推出全面檢測產品。在我國的網絡信息安全產品非常豐富,其市場競爭也相對激烈。各個廠商都追求服務于信息安全的各個領域,研究出具有更完整的解決方案的產品,這個趨勢也預示著計算機網絡信息的發展具有廣闊的前景。
3網絡信息安全技術
3.1防火墻技術
防火墻技術可以隔絕信息請求端和信息反饋端的直接聯系,它能夠對二者之間所傳輸的數據包進行抓包檢測、分析,把數據庫中的不安全信息進行過濾,盡可能對外網的危險地址進行攔截或者屏蔽,從而實現對內網的保護。防火墻技術原理其實就是“包過濾技術”,該技術發展至今已經成為應用最廣泛的安全技術,并且使得網絡信息安全性提高。
3.2數字加密技術
數字加密技術原理是通過某種算法對信息加密,使其變成“密碼”,在傳輸的的過程即使被竊取也無法被破解,在接收端收到加密信息后,再通過一定算法對信息進行解密,使其變成“明碼”。
3.3訪問控制技術
網絡訪問控制技術,主要是限制用戶對網絡信息的訪問,只限定資源對用戶可開放,這種技術可以有效保護敏感信息,防止用戶對資源進行越權訪問。該技術作為網絡信息安全保障的核心內容,可以對計算機內系統資源予以最基本的保護,其缺陷是無法阻止已授權資源被訪問者故意破壞。多訪問控制技術如自主訪問控制技術已廣泛應用到商業領域。
3.4虛擬專用網技術
虛擬專用技術也就是VPN技術,也是當前最新的網絡安全技術。VPV技術作為互聯網發展的附屬產品,已經廣泛地運用到企業當中進行營銷或者銷售。該技術是利用因特網來模擬安全性較高的局域網,成本低,運行安全。它整合了大量的用戶資源,若果在此基礎上廣泛采用VPN技術,可以有效防止信息泄露,增強訪問控制。
3.5安全隔離技術
隨著網絡技術的發展,各種新型攻擊手段越來越多,于是誕生了安全隔離技術。它主要是隔離危險網站或者網絡攻擊,既可以保證內網信息不泄露,又能實現網絡信息的交換。其主要技術包括安全隔離網閘、雙網隔離技術。
3.6身份認證技術
身份認證技術是網絡安全中一項重要的技術,其地位甚于信息加密技術。這種技術只有認證方可以操作,其他人員無法進行身份偽造。常見的身份認證技術有兩種,基于密碼的認證和生物特征認證。
4常見的網絡安全威脅及應對策略
常見的網絡攻擊技術包括:拒絕服務攻擊;利用型攻擊;信息收集攻擊;假消息攻擊;腳本攻擊等,這些攻擊技術都是通過修改注冊文件來進行的,相應地,可以通過注冊表編輯器對修改過的注冊文件的鍵值刪除,就能將文件恢復正常;對于當前流行較廣的計算機病毒、木馬的攻擊,可以采用殺毒軟件或者防火墻等軟件進行監護信息;對于蠕蟲病毒,由于其可以不斷利用網絡漏洞自我復制,所以應當在發現后立刻用防火墻隔離,并分析蠕蟲病毒特征修補漏洞。
5網絡安全建設
當前我國面臨網絡信息威脅,相關部門建立了相應機構,完善法律法規,加強危機應對。針對我國當前信息安全保障現狀,尤其是關于法律法規不夠健全,缺乏高端人才去建設國家級信息安全保障等問題,要同社會各界進行積極合作,解決整體研發能力低下等問題,政府應該做到:加強宏觀調控力度;完善政策法規;加大投入,培養高端技術人才;建立網絡信息安全技術創新體系等。
6總結與展望
在未來信息時代的發展過程,網絡信息安全問題仍會是各個地區面臨的重大難題。快速發展的社會對安全的需求也更加多樣化,尤其是企業或者國家對于信息技術的依賴性,迫切要求能夠盡快治理好網絡信息等問題。要將管理和技術系統化,在政府的帶動下,逐步建立完善信息安全體系,這不僅是對于經濟和政治安全的重要保障,也是增強人民福祉的重要途徑。
參考文獻:
[1]家庭網絡安全防范技術與管理手段探討[J].吳忠坤.科技信息.2009(15)
[2]全面規劃,綜合管理,保障信息安全[J].陳禹.科學決策.2007(05)
[3]防火墻技術與網絡安全[J].孫曉南.科技信息(學術研究).2008(03)
篇10
【關鍵詞】計算機系統;安全管理;現狀問題;解決方案
1.引言
近些年來,為了達到強化消防部隊信息建設的目的,有許多并非是內部的人員都逐漸開始參與到消防安全的研究之中。很多不穩定因素(例如:網絡自身所存在的脆弱、系統缺陷等外部原因和一些個人因素)促使消防部門的計算機系統安全問題花樣百出,而這些問題又反過來使計算機不斷出現病毒與泄密等情況,甚至會出現系統崩潰的問題。計算機系統安全問題如果不能得到很好地解決,那么勢必會引起更加嚴峻的問題,甚至會影響到消防部門電子辦公建設的進程。
2.消防部隊計算機信息系統建設的現狀
消防信息化簡而言之就是借助現代計算機網絡這種工具對有關消防的信息進行分析處理、采集儲存等活動,這樣有利于一切消防資源的高度共享與共用。而它的實質是各個級別的消防部門在每一項消防任務中的實踐活動對其所掌握的的消防資料進行下一步的研究,這樣可以為以后一切有關滅火、救援等事件提供參考意見。
近幾年來,所有的消防部門都以計算機網絡為基礎的通信建設為前提,將“金盾工程”作為依托,他們都差不多完成了有關網絡運行的基本設施建設。到此為止,按照消防部門所接到的統一安排,我國所有的消防部門正在積極的推進“消防業務一體化的信息系統”的任務進程,我們會用信息化的手段對各種消防業務進行整理和整合,在最大程度上實現數據的共享,并且將消防信息的作用發揮到最大,最少要在消防部門中形成一個消防信息安全系統,以期望大幅度的提高消防部門的信息化水準,達到以信息化帶動其他現代化的目的。這樣不僅可以將消防部門工作人員的基層基礎進行夯實,還可以提高消防人員對滅火救援等能力。
3.消防部隊計算機信息系統安全管理方面的問題
3.1 計算機網絡接入環節有一定的安全隱患
隨著現代化的不斷推進,我國消防部門也在推進消防信息化方面的建設,隨之而來的是消防信息網的接入方式也在不斷發展變化,它們已經從傳統意義上的有線與無線的接入方法變成了甚至是可以通過手機進行信息網絡連接,這種信息接入法的多樣化與接入終端的多樣化就決定了消防信息網具有開放性的特征,既然存在開放性的特征,那么一些病毒木馬、安全漏洞以及信息泄密等安全問題肯定會接踵而至。
3.2 消防部門的計算機信息系統安全意識薄弱,安全管理等制度難以全面落實
在我國,各個地區的消防部門為了保護計算機信息系統的安全,都制定了相關的管理制度,并且這些制度在一定程度上是非常嚴格的。可是在實際的操作中卻不是如此,很多人都漠視這些制度,越權使用和泄密等現象是普遍存在的。
3.3 缺少具有專業素質的管理人員
到目前為止,有很多的消防部門都缺少經過培訓后具有專業素養的網絡安全管理人員。因為一旦管理人員沒有必備的網絡安全管理素質,那么就會留下很多的管理漏洞,而這些漏洞將可能成為黑客等網絡不安全因素所攻擊的突破口,這樣會造成很多不必要的損失。并且絕大多數的消防信息安全網絡管理員基本上都是使用靜態的口令來保證系統的安全,一旦靜態口令遺失了,那么很可能就意味著整個消防網絡計算機系統會全面崩潰。
3.4 消防計算機系統缺乏備份系統,會給重建計算機系統帶來麻煩
一旦出現系統崩潰的情況后,有很多的消防計算機網絡信息安全系統在重建的時候,為了經濟考慮而沒有建立一個備份系統,并且建設完成的網絡計算機安全系統沒有隨著系統的更新而更新,這樣會導致網絡系統存在者安全隱患,由于沒有備份系統,一旦出現了問題也很難及時的去修復它。
3.5 網絡安全相關的技術人員比較缺乏,在開發的過程中存在著安全隱患
近幾年來,由于消防部門信息化的進程越來越快,部門內部的技術人員已經到了很難滿足技術需要的程度了,因此會有很多的軟件部門或公司參與到消防部隊計算機信息安全建設中來,并且這種情況越來越多,因此這些軟件公司等工作人員對消防部隊的計算機信息安全技術的掌握,給整個系統的安全增加了負擔。
4.對策分析
針對上述的消防部隊計算機信息安全出現的隱患,將會從技術與管理這兩方面提出自己的一點看法。
4.1 技術方面
(1)建立一個全面的網絡安全管理系統,從而對網絡進行監控和掃描評估,并且要查找網絡安全漏洞,再經過修補漏洞和對計算機系統進行優化配置在最大程度上消除安全隱患和修補安全漏洞。
(2)個計算機配置防火墻,利用防火墻的功能來制定安全訪問的控制標準,將自己所允許的數據與訪問人員進入自己的內部網絡系統,而那些不被自己認可的資料與人員拒之門外,并且要注意禁止一些黑客來自的網絡進行訪問,這樣可以有效地防止他們將網絡上的重要數據進行刪改和移除。
(3)首先建立一個科學合理的定期計算機系統安全評估程序,并且可以自動對其進行更新處理,其次要對一些重要的數據進行備份,最后制定一個應對緊急事件的具體可行的措施。必須要為計算機網絡系統的安全提供有力的保障,鑰匙系統隨時都處于安全狀態。
(4)安裝一個“一機兩用”的監控系統,這樣可以對消防計算機網絡新安安全系統進行密切監控,一旦有一些違規接入互聯網事件的發生,可以快速的鎖定計算機并且發出警告,同時還要將監控記錄記錄下來。
(5)在計算機中安裝一個全方面防毒的殺毒軟件,將網絡上的病毒設置與之相對的軟件,通過這些殺毒軟件對電腦進行全方位的保護,并且將它們進行自動升級,這樣也可以是計算機免遭病毒危害。
4.2 管理方面
(1)加大消防部隊見算計信息網絡安全的宣傳力度。在消防部隊內部進行計算機系統安全重要性的基本教育和基礎防范理論的傳播,要讓消防部隊所有人員都知道計算機信息系統安全的重要性,并且了解到基礎防范知識。
(2)要對消防內部計算機信息網絡安全管理人員進行培訓,并且要積極的引進人才。積極的引進計算機人才可以把消防部隊招收人員的范圍擴大到招收大學生的層次上,可以提高消防部隊工作人員的整體知識素養。另一方面還要對內部的計算機人才進行培訓,制定科學的培訓計劃。
(3)制作一套切實可行的安全計劃,和專業的網絡公司簽訂維修保護協議,并且與該網絡公司的人員一起為本消防計算機系統制定可行的安全計劃,可以和具有經驗的網絡工程師進行商談或者直接將其聘請,以指導消防部門進行對計算機信息網絡安全的監察工作。
(4)貫徹實行已經制定的計算機信息網絡安全管理制。制定一些安全管理制度,比如說:外部人員訪問網絡需要登記報備、消防部隊工作人員進出機房的管理制度以及管理人員維護計算機網絡安全的制度等。在指定這些制度的時候,必須要所有人都堅決履行,并且相互監督。
5.結束語
隨著計算機網絡技術的發展,它的安全問題也會作為重大話題出現在會議室等地方,因此為了防止消防部隊計算機系統出現問題,我們要努力提高自己的隱患警覺力與在商討出新形勢下對計算機系統的安全保護措施,并將其不斷完善。
參考文獻
[1]曾明譯.網絡工程與網絡管理[M].北京:電子工業出版社,2003.
- 上一篇:初中安全教育的心得體會
- 下一篇:新教師個人考察報告