关键词:网络安全;解决方案;建议
中图分类号:P231文献标识码:A文章编号:1671-7597(2012)0610171-02
0引言
随着科学技术的发展,信息技术已经成为人们工作生活中必不可少的一个部分,而这种必要性使得计算机网络更呈现突飞猛进的发展趋势。而网络的发展以及其伴随而来的网络安全问题越来越受到人们的关注,由于网络安全所造成的严重损失已经有目共睹,所以如何在推广网络应用的同时提高网络的安全性打造安全网络成为广大计算机网络用户关心的话题,这不但关系着网络应用领域是否会受限,同时也关系着网络是否能够保持正常速度发展,以及是否能够在现代化建设中发挥应有的作用。
1网络安全威胁概述
1)安全威胁的产生
主要是由于因特网的全球性、开放性、无缝连通性、共享性、动态性发展,使得网络安全威胁从网络诞生就一直伴随着成长起来,而且随着网络发展速度不断加快,网络安全威胁问题也日益严重。而且随着互联网的应用领域日益广泛,如金融、政府部门以及电子商务的盛行,使得网络数据的安全重要性日益突出,如果网络安全无法保障,则互联网应用推广必将遇到致命的瓶颈问题。如果从安全威胁的来源来看,可以将安全威胁主要分为自然威胁和人为威胁,自然威胁如天气、环境、设备等;人为威胁如人为攻击,通过寻找系统的弱点,以便破坏、欺骗、窃取数据等。
2)网络安全面临的威胁
网络安全面临的主要威胁可分为四个方面:即中断、窃听、篡改和伪造。中断是对系统的可用性进行攻击,如破坏计算机硬件、线路和文件管理系统等;窃听是对系统的保密性进行攻击,如搭线窃听、对文件或程序的非法拷贝,包括获取消息的内容,进行业务流分析,获得消息的格式、通信双方的位置和身份、通信的次数和消息的长度等;篡改是对系统的完整性进行攻击,如修改数据文件中的数据,替换某一程序使其执行不同的功能、修改网络中传送的消息内容等,通常包括假冒合法实体通过防线、截获合法数据后进行拷贝或重新发送、通信数据在传输过程中被改变、删除或替代、业务拒绝即对通信设备的使用和管理被无条件的拒绝;伪造是对系统的真实性进行攻击,如在网络中插入伪造的消息或在文件中插入伪造的记录等。以上所划分的网络安全威胁的四个方面,其实可以从一个更加通俗地角度来说明,中断就是故意破坏对方之间的通信,而自己不需要获取这些信息,其目的就是让第三方也无法正确获得这些信息;而窃听就是不影响对方接收信息,但是希望获知对方的通信内容,所以对于窃听而言要讲究隐蔽性,即最好的情况就是第三方之间的通信丝毫没有觉察到他们之间的通信内容被己方所接收;篡改则更进一步,不但要窃听到对方的通信内容,而且需要将这些信息根据己方利益最大化的原则进行修改。
3)安全业务——安全防护措施
保密业务:保护数据以防被动攻击,保密业务流;加密机制,按照密钥的类型不同,对称密钥算法和非对称密钥算法两种,按照密码体制的不同,分为序列密码算法和分组密码算法两种;认证业务:保证通信的真实性,确保发送方或接收方的身份;完整性业务:防止对消息(流)的篡改和业务拒绝;不可否认业务:防止通信某一方对传输的否认;访问控制:防止对网络资源的非授权访问,使用认证。
2网络安全解决方案建议
1)整体安全体系构建的几个方面
网络本身就是一个体系,是一个系统性的概念,在网络通信中也涉及到多个实体或者协议,所以网络安全涉及到多个方面,为了打造安全的网络,就需要构建网络安全的整体保护体系,只有这样才能够有效保护网络的安全性。一般来说,网络安全体系的构建可以从如下几个方面加以考虑,也就是保护、检测、响应、恢复,这四者构成了一个完整的体系,如果每一部分都能够做好,则打造一个安全的计算机网络不再是一句空话。保护是通过使用加解密技术、访问控制技术、数字签名技术,以及可验证的信息交换过程等到方面对数据及其网上操作加以保护,保护也可以理解为对故意中断网络或者破坏数据的一种防护措施。检测是对信息传输的内容的可控性的检测,对信息平台访问过程的甄别检测,对违规与恶意攻击的检测,对系统与网络弱点与漏洞的检测等等,如果有对网络通信的恶意窃听发生也需要及时检测到。及时响应是网络的一个重要指标,响应是在复杂的信息环境中,保证在任何时候信息平台能高效正常运行,要求安全体系提供强有力的响应机制。无论防护措施多么严密,网络安全技术如何卓越,我们都无法承诺网络永远不会受到破坏,所以此时有效的恢复就显得尤为重要,恢复是指灾难恢复,在系统受到攻击的时候,评估系统受到的危害与损失,按紧急响应预案进行数据与系统恢复,启动备份系统恢复工作等。
2)保障物理安全
物理安全是最基本的,如果硬件发生故障或者被破坏,其他一切网络安全保护措施都成为无源之水,所以网络的物理安全保障是整个网络安全保障体系的基石。物理安全是用来保护计算机硬件和存储介质的装置和工作程序,物理安全防护包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁蔽三种类型。
3)整体部署
网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。在整个体系中的每一个部分,都是具有特定的功能需求,都是针对某一种安全需要而采取的安全措施。下面以一个实际的安全解决方案为例,建立网络安全防护体系。
在网关位置配置多接口防火墙,根据功能作用不同,将整个网络划分为外部网络、内部网络、DMZ区等多个安全区域,由于工作主机在整个网络中处于核心地位,而且主机如果发生安全问题将产生重要影响,所以将工作主机放置于内部网络区域可以更有效地保护主机的安全,将Web服务器、数据库服务器等服务器放置在DMZ区域,其他区域对服务器区的访问必须经过防火墙模块的检查,这就相当于在服务器区提供了加固的安全作用。在中心交换机上配置基于网络的IDS系统,监控整个网络内的网络流量,这是由于网络流量的异常也是网络是否安全是否受到攻击的一个重要特征。在DMZ区内的重要服务器上安装基于主机的IDS系统,对所有对上述服务器的访问进行监控,并对相应的操作进行记录和审计,这可以对故障诊断提供有效的辅助。
4)具体部署
下面对上一步中整个网络安全体系中各个部分的具体配置进行介绍。防火墙设备,防火墙是用来连接两个网络并控制两个网络之间相互访问的系统。包括用于网络连接的软件和硬件以及控制访问的方案。这类防范措施可以只用路由器实现,可以用主机、子网、专用硬件来实现。所有在内部网络和外部网络之间传输的数据必须通过防火墙;只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙;防火墙本身不受各种攻击的影响。在本方案中选用的防火墙设备是CheckPointFireWall-1防火墙。FireWall-1功能特点有对应用程序的广泛支持;集中管理下的分布式客户机/服务器结构;远程网络访问的安全保障(FireWall-1SecuRemote)。
防病毒设备。在本方案中防病毒设备选用的是趋势科技的整体防病毒产品和解决方案,包括中央管理控制、服务器防病毒和客户机防病毒三部分,这对于抵挡当前已知的绝大部分病毒已经非常有效,而且由于防病毒产品的更新服务,所以只要在实际应用中时刻保持病毒库版本为最新就可以保证系统的安全。
入侵监测设备就是为了当有入侵行为发生时系统可以及时获悉,在本方案中入侵监测设备采用的是NFR入侵监测设备,包括NFRNID和NFRHID。NFR把基于网络的入侵检测技术NID和基于主机的入侵检测技术HID完美地结合起来,构成了一个完整的,一致的实时入侵监控体系。
SAP身份认证设备对于任何系统的安全都是必不可少的,也是保障系统安全的基本措施。本方案采用的身份认证设备是SecureComputing的SafeWord。SafeWord具备分散式运作及无限制的可扩充特性。
3结论
网络安全是一个常说常新的话题,随着攻防不断升级,网络攻击入侵手段和网络安全保护技术手段都更加先进,所以网络的安全防护是一场没有终点的战役,只有时刻保持对网络安全的高度重视,采用先进的网络安全防护技术才有可能打造一个安全的网络,本文对于网络安全保障的一些措施希望能够为网络安全防护提供一些借鉴。
参考文献:
[1]陈丹丹,网络钓鱼与网络安全初探,消费电子,2012年,第5期.
[2]王志刚,浅谈计算机网络安全现状及对策,今日财富(金融发展与监管),2012年,第4期.
[3]王丽云,初中校园网络安全分析和策略,今日财富(金融发展与监管),2012年,第3期.
随着社会的快速发展,计算机信息管理技术应用到各个行业中,并得到广泛的推广。但是,随着计算机技术的发展,网络安全遇到了新的考验,这些威胁到网络安全的问题严重制约了计算机信息管理的发展。本文主要通过对计算机信息管理技术在网路安全的重要性进行探析,同是,还对网络安全中计算机使用的具体方案进行探析,并对相应的不足之处提供解决方案。
关键词:
计算机信息管理技术;网络安全;方案
1网络安全收到威胁
科学技术在快速发展,连带着计算机信息管理技也运用到各个行业并起到重大效用。据统计,我国的网络使用者在2014年的时候就已经达到六个亿,而手机上网者的也在不断突破,据统计也将超过五个亿,由此可见,网络使用者在逐渐发展壮大。此外,国内超过九成的企业都在用互联网,互联网的发展不仅走向广大群众,也促进我国经济的发展。所以,提高计算机信息管理技术就是提高网络安全,是非要有必要的。在未来的发展中,计算机技术的使用肯定渗透到各方各面,如何保证网络安全是整个社会发展的必然考虑因素。此外,为了增强网络安全,也必须要提高计算机管理信息管理技术。目前,危险网络安全最常见的是网络黑客,比方说盗取信息,篡改信息,或者网络钓鱼等,此类袭击网络安全的事件主要使用的是病毒,因此,只有加强计算机技术,才能确保网络安全,才能保证整个网络的使用。
2网络安全存在的风险
网络的安全不管是针对个人还是企业或者政府,因此,网络的安全尤其重要。目前,互联网是完全开放的,哪怕是一个很小的网络空间,也很难保证网络的安全。现在对网络管理极大功能的统计有计费、安全、故障、性能以及配置等几点。由此可见管理网络安全非常的重要。对于大多数的人来说,网络安全是一个尤为严重的事情,这是对每一个人都有影响的事情。我们目前使用的网络每个时间都会收到网络袭击,特别是在云计算发展的今天,如何保证互联网的安全是目前考虑的重要问题,因此,我们要注重网络安全的防御工作。
3增加计算机信息管理技术在网络安全中的方法
3.1做好网络风险的评估
通常来说,网络风险的评估主要通过以下几点:第一个就是对网络安全事件的危害程度进程判别;第二个就是对危害网络安全的控制以及使用的措施进行判别。因此,在今后的工作中只有确保网络风险的评估工作才能确保网络的安全,才能及时的发现危害网络安全的因素,以及制定出相应的措施。此外,还要做好防范方案的调整,只有这样才能充分确保网络安全的运行,才能规避运动的风险。总体来说,就是要使用科学的方案来确保网络安全。
3.2做好网络风险防范措施
网络风险的最好方式就是需要国家的有效政策,比方说构建有效的互联网网络安全管理组织,或者有针对性的建设一些平台,以便交流等。只有这样才能在网络安全受到威胁的时候有效的组织起来,将网络危害降低到最低,以完成对网络的完全的最终目的。
3.3完善网络安全制度
网络安全中如何有效的发挥计算机信息管理技术,首先要做的是建设晚上的网络安全制度,只有规范管理计算机信息网络,才能推进整个信息模块的建设,才能确保网络的安全。比方说目前使用的安全制度有防护网、防火墙、软件过滤、密码、身份验证等。所以,在未来的发展中要大力推广这些安全制度,只有这样才能及时采取有效措施组织对网络的破坏。
3.4加强网络安全防护意识
安全问题是网络肯定存在的问题,加强网络安全还有一个点就是要提高使用者的安全意识,只有充分了解网络安全的重要性,才能更大程度的规避危险。因此,计算机使用者要做好防范意识,以确保计算机信息管理技术充分的利用。3.5注意加强操作系统的安全工作确保计算机正常使用的重要系统就是操作系统。但是在实际情况中,有很多因素影响着操作系统方便运行,这些影响操作的都会给网络安全增加隐患。所以,确保网络安全的事情之一就是确保操作系统的正常使用。比方说,建设一个完善的安全防护体系,以弥补操作系统存在的漏洞,这些安全防护体系包括一些VPN,或者一些防火墙,只有这样才能完善操作,才能提高网络安全。
4结语
目前,计算机信息管理技术应用到网络上面还有着很多的问题,针对这些问题我们也在不断的提出解决方案。因此,在未来网络安全的问题上面,首要做的事情就是做好操作系统的安全问题,只有这样才能最大程度的利用计算机信息管理技术,才能提升网络安全等级。
参考文献
[1]刘博.计算机信息管理在网络安全中的应用研究[J].计算机光盘软件与应用,2013,(15):138-139.
[2]张统豪.计算机信息管理技术在网络安全中的应用[J].计算机光盘软件与应用,2012,(23):57+88.
关键词:档案数字化;企业档案管理;管理措施
作者简介:曲久凤(1971-),东北电力大学本科毕业,现在华能鹤岗发电有限公司任职
1概述
企业在信息化时代为增强市场竞争力,就应自觉根据信息时代有关要求、在激烈的市场竞争中采用信息化手段进行管理才能抢占先机。针对电力企业应紧跟自动化、智能化等发展趋势,尤其是在档案管理中也应紧跟时代需求,从而为促进企业发展提供更加有效的智力支持。但在电力企业实际工作中,因其特有的垄断地位使其在档案数字化管理方面的工作还存在一定的滞后性,尤其是受传统管理理念和管理模式影响,在管理创新方面还有待于不断提高。档案管理对于任何单位而言都属于一项重要的管理工作,档案管理系统不能孤立存在,是社会管理系统中不可或缺的重要组成部分。利用提供档案信息服务于社会实践。供电企业若要提高档案管理数字化水平,不只是采用信息化和智能化的管理手段,也要从管理理念、制度及机制等方面达到数字化要求,也就是供电企业档案管理在“硬件”和“软件”方面实现双重数字化。为切实提高供电企业档案数字化管理水平,就要加强档案数字化管理和安全保障措施,从而实现预期目标。
2供电企业档案数字化管理的有效措施
一是供电企业应采用多种方式实现档案资源数字化。随着信息化的发展,档案一定会从传统的纸质载体向电子介质载体逐步转变,并利用网络对信息实现迅速而远距离的传输和共享。供电企业档案管理部门应采用有效措施使企业档案逐步实现数字化,构建企业档案数据库,科学合理地管理企业档案。在条件允许的情况下,在企业内部建立网络,允许各部门根据权限远程访问档案数据,不只是提高档案浏览速度,也能提高工作效率,进而实现共享并高效利用企业档案资源信息的效果。目前,供电企业拥有的档案资料数量庞大且载体各异,针对传统介质档案,可采用文字输入、扫描等方式进行信息化处理,并存储于已建立的档案数据库。在建设档案数字化系统方面,档案管理部门应树立全局意识,结合企业发展实际需要,对系统建设方案进行统一规划,对各部门的工作积极协调,利用最小的人员及财物获得最大效益。对企业档案资料完成数字化处理后,应妥善保护好原有的纸质档案资料,并且利用数字化的档案资料可随时查询到原始的档案资料。
二是供电企业应充分利用网络技术优势实现档案管理网络化。目前在工作生活中,网络技术已得到迅速普及应用,不管是传统的计算机网络还是移动手机网络,都使网络技术的优势得到充分发挥,供电企业档案管理利用网络技术实现网络化,能够最大限度地利用好档案资料信息。供电企业档案管理网络化应涵盖以下几方面内容:可实现远程登录、信息共享、信息传输及收发电子邮件等功能,可利用互联网迅速检索所需信息,利用网络信息查询档案数据库信息,利用网络阅读其它供电企业或有关企业信息,存储内容丰富的信息资源,以实现不同部门工作的实际需要,可采用多元化方式比如检索关键词、按照用户实际需求进行模糊查询等对档案信息进行搜索,并提供所需导航服务,利用档案使用者可迅速得到所需信息。
3供电企业档案数字化管理的安全保障措施
档案完成数字化处理后,应保证档案安全妥善地保存,以免由于各种人为或意外因素而导致档案信息发生不必要的损失。
一是建立数字化档案安全管理制度并逐步以完善。制度约束可使有关工作人员不断提高的安全责任意识,供电企业对档案信息安全工作应设定专业岗位进行管理,并对管理规范和具体操作行为进行细化,或建立相应监督岗位,对档案信息安全相关事宜进行专门负责。对于重要档案信息应建立定期备份制度、信息安全预警及应急机制,而特别重要的档案信息不只应进行加密处理,还应禁止通过网络进行访问,以确保安全保密性。
二是加强物理环境和硬件环境安全性。物理隔离内外网环境,结合网络安全有关规定,不可将的计算机信息系统与国际互联网或其它公共信息网采用直接或间接方式进行连接,一定要采取物理隔离方式进行严格管理。所以,针对档案部门内网与国际互联网应实现物理隔离,以免利用网络连接将不宜公开及的内部档案信息泄露到公众网络。目前,多子网网关技术被认为是网络安全技术中一种最有效的防攻击技术。该技术将内部网络划分为多个不同安全级别的子网,实现内部中不同网段之间的物理隔离。从而有效防止某一个网段的安全问题传播到整个网络,在某种情况下,对于一些网络而言,部分局域网其中的某网段更受信任于另—个网段,或某网段的敏感性更高于另一个网段,将信任网段与不信任网段分别划分于不同网段中,就能够实现对局部网络安全问题影响全局网络安全的有消息限制。
三是提高系统安全性。应采用有效的防黑客扫描工具,对处于网络中的计算机设备定期进行扫描。若发现某设备存在黑客入侵情况或网络与系统结构发生变化,对发现的危险信号应及时进行报警,并采取有效措施对发现错误进行纠正,对档案网络安全策略进行相应调整。对档案网络信息采取安全审计方法,相应日志应自动形成,并对档案网络运行情况进行详细记录。此外,档案系统应具有消息监听功能,监听局域网客户端、服务器及其它网络设备可能存在的病毒,一旦发现可进行自动查杀局域网内全部设备的病毒。而且,还要采取措施设置跟踪机制,以追溯档案信息、数据来源。若发现存在网络攻击行为,档案系统应具有及时报警,并自动执行有关网络安全策略。比如将有关服务关闭、对物理线路切断连接等,从而确保档案数据及信息具有良好的可靠性。
4结论
综上所述,随着信息化时代的发展,档案数字化管理对于供电企业而言是与时展相符的,企业应积极应对信息化技术的挑战,逐步完善档案的数字化管理模式,以适应信息化社会的需要。所以,供电企业应加强数字化档案管理工作,企业高管更应对此项工作家中时,并提供相应支持,进而提高供电企业档案管理的数字化水平。
参考文献
[1]楚秀英,代慧敏.人事档案的重要作用及保管工作[J].经营管理者,2013,10.
[2]万秀萍.浅谈信息时代档案管理的现代化[J].徐州教育学院学报,2014,7.
[3]刘高鹏,张忠诚,李文晋.档案工作要为全面建设小康社会服务[J].档案管理,2012,8.
[4]刘东斌.档案利用和档案价值的反思[J].档案管理,2013,11.
论文摘要:档案信息安全是我院档案信息化建设中的一项重要保障工作。从技术角度讨论了档案信息安全5个保障措施:主机与客户机安全保障、网络安全保障、用户信息安全保障、应用系统安全保障、容灾备份安全保障;并对有效建立多层次多维度档案信息安全应急响应机制进行了讨论。
档案资源信息化是将档案资源和档案各项管理过程数字化,以通信技术、计算机技术以及相关信息技术为工作手段和技术支持,完成信息传输,实现档案资源的合理、有序、有效的开发和利用,最终实现档案信息资源的社会共享。档案信息化系统建设是我院在数字化校园一揽子建设方案中重要的一项工作。建设内容主要包括档案工作规范建设、数据的规范化、档案应用系统、数据中心、灾备中心等。
档案信息安全的重要性尤为突出。安全管理的最终目的就是保障网络上传输的、系统中存储的、用户使用的档案数据是真实、完整和有效的。档案信息化进程中的信息安全是档案信息化有效性的最基础性保障。高校档案信息化建设内容中重视档案信息安全保障体系及应急处理措施建设,从技术、管理两个方面提供上述解决方案。管理层面要从加强制度建设和档案工作人员对信息安全的认识着手;技术层面提供多层次、多角度的信息安全预防措施,并在信息安全危害一旦发生采取有效应对措施将损害降至最低。本文就技术层面如何进行高校档案信息化建设进程中的信息安全保障及恢复策略进行研究。
1技术保障方式
1.1主机及客户机安全保障
操作系统安全是档案信息安全最基础的屏障,不允许主机和客户机使用漏洞多的操作系统。随着信息攻击活动向纵深发展,安全攻击的目标往往是漏洞多的操作系统。因此我院在档案信息安全建设中,客户机和服务器应该使用安全、可靠、漏洞较少的操作系统。强调操作系统本身安全的前提下,更为重要的是要定期利用漏洞扫描工具检测系统漏洞和系统配置情况,定期给操作系统打补丁,及时发现安全隐患,堵住各种安全漏洞。
新型病毒及其变种层出不穷,病毒泛滥直接影响了档案信息化安全。防病毒技术是利用专用的防病毒软件和硬件,发现、诊断和消灭各种计算机病毒和网络病毒,主要措施是对客户机和主机服务器中的文件进行不定期的频繁扫描和检测,主机上采取防病毒芯片和设置网络目录及文件访问权限。从网络全局考虑,采取防病毒手段,要改变被动防御的不利局面,以主动防御为主。除了单机病毒预防之外,更为重要的是通过网络管理平台监控网络上的所有机器,充分利用定时查毒功能,对客户机进行扫描,检查病毒情况。拟利用网络管理平台在线报警功能,当网络上的每一台机器发生病毒入侵时,网络管理人员能及时做出响应。
1.2网络安全保障
防火墙技术是一种前端网络设备。主要部署在数字化校园的内部网络和外部网络之间,对非法信息进入计算机起到屏障作用,是两个网络之间执行控制与安全策略的保障设备,通过安全访问控制起到保护内部档案信息应用的安全。由于计算机技术进步的加快,破坏信息安全手段多样化,档案信息化系统要充分利用防火墙提供的功能自行设定符合要求的安全策略,仅允许有效的信息类型通过防火墙,对外部网络与内部网络之间数据流动进行检查。防火墙技术可以最大限度地保护档案信息不被非法更改、破坏、拷贝。
任何一种安全技术不是万能的,防火墙技术仅能保障外部的侵害。在网络安全领域本文除了采用防火墙技术,还采用人侵检测技术,该技术是防火墙技术的有效补充。人侵检测技术是一种主动的信息安全防护措施,它在检测来自外部入侵行为的同时,也能检测出内部用户的非法活动。其技术要领是收集计算机系统、网络及用户活动的过程信息,并对过程信息加以分析,来判断系统中是否有违反安全策略的行为和被攻击的证据。在档案信息化系统中,我们主要采用2种主要的入侵检测体系结构:基于主机的人侵检测系统和基于网络的人侵检测系统。入侵检测的重要对象是主机服务器,主要采用实时监视可疑的连接,监控非法访问,同时制订相应的工作方案对各种非法入侵行为立即做出响应。
1.3用户信息安全保障
随着信息安全技术发展起来的现代密码学,不仅被用于解决信息的保密性,而且也用于解决信息的完整性、可用性和可控性。密码是解决信息安全最有效的手段,密码技术是信息安全的核心技术。为防止核心档案数据发生泄漏,在保护档案信息安全的各种手段中,对密码技术的应用非常重视,主要从以下几个角度进行密码应用。一是用户密码强度必须符合一定的安全等级,二是采用定期更换核心密码策略。密码技术是保障档案信息安全最为最可靠且经济、直观的保护手段。
1.4应用系统安全保障
基于档案信息化的应用系统安全非常重要,我院在档案信息化应用系统建设、开发方案中拟定安全解决措施。
一是建设方案中单独建立权限管理平台进行访问控制。访问控制是一种档案信息安全的手段之一,其作用有:一是防止非法的用户进入受限的档案资源;二是允许合法的用户访问受保护的档案资源;三是防止合法的用户对受保护的档案资源进行非授权的访问。权限平台的建设保障权限的分层、分级控制,并能在安全需求提升的情况下满足扩展要求。
二是建设方案中单独建立全方位的日志文档中心,便于安全追踪。主要包含以下内容:访问日志、数据库操作日志、非结构化数据操作日志、审计平台建设。在一般电脑系统中,文件内容若有任何的改变,电脑并不会加以记录,而作为档案数据,任何更改文件的动作一定要留有痕迹在日志系统中,这使得在相应安全事件发生之后,便于事后的追查。日志忠实地记录下在存取电子文件时留下的所有异动记录,本文称为档案追踪记录,主要记录下操作人员、操作时间、操作内容、并对原文件内容进行备份存档。
1.5容灾备份保障
高校档案信息作为高校重要的资源,无论在何种不可控的因素发生时,要达到档案信息不可失性的要求。
网络环境中除了要保证计算中心的环境安全、设备安全、线路安全。我院在着手数字化校园建设规划这项工作中,还同时进行容灾备份中心的建设规划。容灾备份中心是档案信息化安全的最后一道“安全岛”,为了绝对的物理安全,计划将灾备中心与数据中心物理隔离。灾备中心采用独立的网络安全机制,进行双机直备,并将档案信息数据中心数据进行定期采集到灾备中心,防止数据中心意外发生造成的数据损失。
2档案信息安全应急响应机制
在档案信息安全发生时,如何有效地进行数据和应用的恢复是另外一项重要的课题。在我院档案信息安全体系方案中,我们将建立有效的安全应急响应机制,安全应急响应机制是多层次多维度的,以应对假想多种档案信息安全危害发生时能迅速启动应急方案,使档案信息系统尽快恢复正常,保证档案工作不受大的影响。主要进行以下安全机制的建设:一是灾备中心数据恢复机制;二是档案信息数据库安全应急响应机制;三是服务器发生故障时安全应急机制;四是针对数据中心网络故障应急响应机制。
上述相应机制的建设保证了多个层面数据、应用的可恢复性。在建设相应机制的基础上对相应机制进行检验。在建设后期,将模拟各种档案信息安全发生场景,来启动相应安全应急响应预案,根据演练反馈效果,完善相应的应急预案。这样最大程度地保证真实档案信息安全发生时,做到数据和应用有效地恢复、平滑地对接。
关键词:无线胖AP瘦AP无线交换控制器威胁安全管理
中图分类号:TN925文献标识码:A文章编号:1007-9416(2013)10-0203-01
随着移动互联设备应用日渐广泛,用户对无线网络的要求日渐提高。尤其在校园中,移动互联设备普及率极高,移动互联设备有智能手机、PDA、平板电脑、笔记本电脑等。但校园原有网络多以有线网络为主,对于校园网络无线化改造已经显得尤为重要。但由于无线网络的开放性,具有与生俱来的优点和易受外来安全威胁的缺点。面对这些问题,我们就探讨一下,校园互联网的无线化改造,以及面对安全威胁,采用的安全管理措施。
1无线网络的定义及标准
无线网络,是相对于我们所常见的有线网络来说的,指利用无线电波为传输媒介所建立起来的语音与数据传输网络。无线网络的标准有:IEEE(美国电气和电子工程师协会)802.11a:使用5GHz频段,传输速度54Mbps,与802.11b不兼容;IEEE802.11b:使用2.4GHz频段,传输速度11Mbps;IEEE802.11g:使用2.4GHz频段,传输速度主要有54Mbps、108Mbps,可向下兼容802.11b;IEEE802.11n:使用2.4GHz频段,传输速度可达300Mbps。随着技术的不断发展,标准方案会层出不穷,传输速率会不断提高。无线网络分为:无线局域网及无线广域网。无线广域网,包括GPRS网络(2G)、TD-SCDMA(3G)等。这些都属于无线广域网。无线局域网,英文名称WirelessLocalAreaNetworks,缩写WLAN。
2私建无线网络的局限及危害
这样做存在的局限及危害主要有以下五点:(1)家用无线AP(AccessPoint)功率有限,覆盖范围小,无法实现无线随身游;(2)为校园网络设置一个不安全的开放门户,方便攻击者进入;(3)受到攻击,不便于定位,攻击者处于一种“游走”状态;(4)蹭网者分享网速,使自身网速变慢;(5)对无线传输数据进行监视和窃取,使个人隐私或学术机密外泄。
3校园无线网络改造方案探讨
由于校园已经建设了有线网络,借用有线网络的路由,架设室外型无线AP天线,无路由的地区再增加路由节点,这样原有的网络建设得到保护,投资也较少。无线解决方案分为“胖AP(FATAP)”方案和“瘦AP(FITAP)+无线交换控制器”方案。
(1)所谓“胖AP”方案,即传统的无线网络方案。在传统的无线局域网络里面,无线AP都分散在覆盖区域里面,分别给各自有效的覆盖区域提供RF信号及用户安全管理和接入访问策略,每一个AP都是一个独立的工作体。用户在整个覆盖区指定的范围内通过临近AP制定的安全策略连接到无线网络。“胖AP”方案具有配置灵活、安装简单、适用性强、性价比高等优点,因而受到小企业或者个人用户的追捧。“胖AP”方案存在的缺点是:环境复杂的应用场景里难以部署;AP独立工作,缺乏统一的管理手段;缺乏有效的接入和安全控制策略;漫游支持不足;扩展性能差,实施工作繁琐。
(2)“瘦AP(FITAP)+无线交换控制器”方案,是基于无线网络交换控制器的解决方案。该方案由无线网络交换控制器、瘦AP、传感器、认证服务器等组成。以瘦AP和传感器为边界,以无线网络交换控制器为中心。“瘦AP(FITAP)+无线交换控制器”方案的优势:灵活的组网和扩展性,具有投资保护能力;实现自动部署,故障恢复;集中的网络管理和安全方案部署,节省网管人员时间和精力;强大的覆盖和漫游能力;无线侵入检测和定位。但其也有缺点,就是部署范围较小,部署无线AP较少,则投资太高,性价比低。
通过两种无线方案的优劣,我们可以总结出来:如果校园覆盖范围较小,部署的无线AP较少,则可以选择“胖AP”方案,投资较少。如果校园范围较大,部署的无线AP较多,则可以选择“瘦AP(FITAP)+无线交换控制器”方案。总之,无线网络方案选取的原则,就是没有最好的,只有最适应自己需求的。根据以往网络故障处理的经验,部署无线AP有以下建议:部署位置远离金属屏蔽物和强磁场环境;根据实际的需求进行功率调整;为接入点提供稳定电源支持;选取较为可靠的厂商,完善产品售后服务;完善AP密码设置,防止非管理人员进入配置界面。
4无线网络面临的安全威胁及应对措施
关键词:船舶计算机网络系统网络安全管理
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(SMIS)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(VLCC)的计算机局域网结构图。
图表2是船舶计算机网络拓扑结构图。其中,局域网服务器采用HPCOMPAQDX7400(PENTIUMDUALE2160/1.8GHZ/DDR2512M/80G);网关采用INDUSTRIALCOMPUTER610(P42.8GHZ/DDR333512M/80G);交换机采用D-LINKDES-1024D快速以太网交换机(10/100M自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用AMOSMAIL或Rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软Windows系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义ISMS的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循PDCA的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
【关键词】IDC;网络;信息;安全;解决措施
一、前言
当前,我国的IDC业务需求进入高速发展期,IDC的建设也步入快车道,如何更好地为客户提供一站式高质量服务,是决定IDC是否盈利的关键因素,从而,提高网络服务质量,保障IDC信息安全就成为急需面对的重大问题。
二、IDC网络信息安全的关键点
1.域名/IP备案
根据我国的法律法规,严禁未备案网站接入网络。在存在大量服务器的IDC中,如何有效、高效、全面地管控、审核确认备案信息是非常关键的一个问题,尤其是在内容镜像加速网络环境中,主服务器可能在外地,本地多个IP自动选择,加上客户自行安装的负载均衡系统,维护人员如何快速地分析到某一个应用所访问的IP地址所在服务器更是一个考验。
2.非法信息管控
此处非法信息指违反国家法律法规的、所有在网络上传播、存储的信息,如反动、色情、诈骗、谣言等信息。当前,因为网络信息过滤分析系统的复杂、昂贵,大多数IDC所有方并不具有实时侦测非法信息能力,只能被动地根据上级及相关监管部门的通知来应急处理。另一方面,随着人们的生活与网络联系得越来越紧密,以及创建和谐社会的要求,网络非法信息的管控重要性尤其突出,不能不引起高度重视并做好切实防范、应急处理措施。
3.主机入侵
如木马、漏洞攻击、暴力破解等,一旦来自IDC外部的入侵者控制了某台主机,通过植入木马并传播,利用这台主机作为堡垒主机,攻击、破坏其他主机,或从IDC内部向外部网络发动攻击,不但受控主机、业务不可用,而且此IDC的其他客户服务器因网络带宽被大量耗用而无法正常开展业务,危害极大。
4.行为的不可抵赖证据问题
完全意义上的不可抵赖性保障是经由数字签名技术处理的,需要第三方CA机构,而IDC所有方一般是进行资源出租、支撑服务等,具体应用一般在其客户的自有服务器上,对此需求不大。此处主要讨论网络非法行为的可跟踪、可记录、可查看、可分析,从而及时提供网络信息安全威胁行为的证据,使非法入侵、传播者无可抵赖。
三IDC网络信息安全的关键解决措施
由于影响IDC网络信息安全的各方面威胁实际是有着紧密、错综复杂的互相联系的,如主机入侵者控制了某台WEB服务器后,往往同时伴有非法信息的行为;又如,未备案的网站往往进行诈骗、谣言信息的传播等等。再加上往往一个安全措施即可防范多个安全威胁,例如防火墙,既可阻止对某台主机的攻击,又可进行行为的记录。所以,IDC信息安全部分的关键解决措施不再针对某一个威胁提出,而是总体性地归纳如下关键几点:
1.建立IDC信息安全管理平台
随着互联网与信息安全行业的发展,已出现专业的信息安全管理平台,也叫做IDC信息安全审计管理系统,可以实现:
(1)IP/域名管理按各种条件对域名信息进行查询,如根据IP查询域名、根据域名查询IP等,并可直接看到相关主机所在位置、所用的机房编号以及该主机的使用单位等信息。
(2)监控管理针对IDC对机房中的Http/WAPPost(网页发帖)、Http/WAPGet(网页浏览)、Ftp、Smtp、Pop3、Telnet等协议数据内容的有害信息进行审计和报警。
(3)封堵管理可针对IP、网站、特定网页(URL)进行添加封堵和取消封堵的功能。
(4)图片分析支持对JPG、PNG、GIF、TIFF、BMP等图片格式的分析。针对图片进行捕获分析,识别捕获到的图片是否违法,分为程序自动审查和人工审查,当程序自动审查有误时可人工审查进行更正。
(5)日志管理记录IDC机房中各种网络服务的访问日志,包括网页访问日志、Ftp访问日志、Telnet访问日志、邮件(Smtp、Pop3)日志等,并分类管理。
(6)报表管理对IDC机房的各种网络数据进行汇总和统计,提供直观的数据统计图(柱状图、饼状图、曲线图)和统计报表,包括服务类型(各种类型主机)统计、热点(访问量和排行)统计、访问趋势统计、机房流量趋势统计等。
(7)系统管理包括对系统用户权限、各种参数配置、探针服务器、命令和策略下况等进行管理。
(8)报处中心将系统收集到的报警信息、日志信息、IDC运行状态、客户端用户注册信息、及域名备案信息上传到第三方管理中心,为统一的分析管理提供对外接口。
2.密码管理
不论是网络核心设备、汇聚层/接入层设备,还是服务器、数据库主机等,都存在各种类型的密码,如系统登录、配置视图、数据库登录等等,密码的有效安全管理直接关系到能不能做好安全工作,不容忽视。首先,所有设备、主机、数据库系统等,必须修改其默认密码;其次,要求密码具有足够的位数和复杂度,但不能是人、物或组织的名字及其它词汇,也不能是键盘上有序的序列;再者,密码要以加密形式保存,输入时不显示明文;定期更改密码,可设置强制多长时间后系统要求修改密码功能,以免遗忘;最后,加强密码管理,提高相关维护人员的安全意识,防止丢失和无意中泄密。
3.有条件时尽量建立IDC运营管理系统
我国对IDC行业有“谁接入谁负责”的要求,在IP/ICP备案、不良信息监控方面有明确的政策,为了IDC能够持续健康运营,有必要建立一套标准化的运营体系。而实际当中,面对大量的机房资源、网络配置数据、客户资料以及网站备案信息等各种数据,在条件许可时,应尽可能建立一套运营管理系统,将IDC的各项工作有机地结合起来,使其更好地、更方便地、更节省时间地管得到、管得全、管得住。
四、结束语
“信息融合世界,安全保障发展”,IDC的信息安全需要对各个环节的安全防护进行考量、分析并提出保障措施。同时,网络和技术不断在发展,新的情况和新的问题会不断出现,安全问题的关键点及其解决措施自然也会发生变化。为保障IDC安全而建立的各种规章、制度、流程、安全技术措施等的顺利执行和落实到位也是有效保障IDC的信息安全的重要支撑。
参考文献:
[1]计算机网络安全基础北京:科学出版社2008.10
关键词:金融风险;防范;管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)10-2201-02
随着我国金融业的蓬勃发展,各金融机构不断加大金融电子化建设投入,扩大其网络规模和应用范围。但是,应该看到,金融电子化在给我们提供便利的同时,也带来了新的安全问题,并且,这个问题现在显得越来越紧迫。
1金融网络现状与面临的主要风险
金融活动越来越多地在计算机网络上建立,网上证券交易、资金转账、清算支付、信用卡交易、信用查询、电信银行业务等基于网络的金融产品不断被开发出来,各种不同规模的金融系统也在迅速的发展壮大,金融业务的网络化趋势,已经成为不可避免的发展方向。
在网络为我们提供巨大便利的同时,来自外部与内部的威胁与风险也在不断加大。绝大多数银行、金融机构都会通过各种方式进行互联互通,并与国际互联网直接或间接相连,如何有效防范来自外部的攻击、窃听、木马、病毒的多重入侵是金融网络组建与运行中必须首要考虑的问题。同时,机构内部的员工、终端、服务器、网络设备、软件等的管理也是不可忽视的,由于外部出口是一个点,而内部体系是一个面,所以来自内部的威胁往往要远远大于外部,必须加以足够的重视。
2金融网络的风险评估与防范
最有效的金融网络风险防范措施就是对网络系统进行等级保护,按照重要程度进行级别划分,对不同等级的网络系统通过物理隔离或逻辑隔离划定边界,并针对不同等级的网络系统,特别是核心业务网络定期进行风险评估,系统地分析所面临的威胁及其存在的脆弱性,查找薄弱环节和安全隐患,有针对性的提出防范和化解风险的整改措施,并及时进行整改。
风险评估根据网络系统等级划分后的的重要程度和机构自身的条件选择自评估或聘请第三方专业机构进行。评估过程大致可以分为现场检查、风险分析及策略选择3个步骤进行。
首先,现场检查阶段应明确目前网络资产情况、网络系统的安全需求、当前的安全控制措施情况、业务对网络系统的依赖性,明确网络系统的技术脆弱性,主要包括:设计弱点、实现弱点、配置弱点等等。现场检查切勿走形式,务必提前制定详细的检查方案与实施细则,并严格按照检查计划进行。只有现场检查阶段得到了全面、真实的业务数据,才能为后面的综合分析提供必要的基础支持。
风险分析阶段是整个风险评估的核心部分,需要利用现场检查阶段得到的各类数据,综合分析金融网络系统所存在的各类风险。具体实施则应包括关键资产安全需求(机密性、完整性和可用性)确定、关键资产威胁分析、脆弱性分析、综合风险计算及风险分析总结等几个方面。
安全需求分析包括应选择关键资产、并对关键资产进行安全需求分析与赋值。威胁分析针对环境因素和人为因素分析威胁来源、对威胁进行分类、研究威胁发生的可能性、分析威胁的严重程度。脆弱性分析包括以下几点:网络安全策略及管理规章制度是否健全;安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否合理;网络系统的体系结构、各类安全保障措施的组合是否合理;网络安全域划分、边界防护、内部网络防护、外部设备接入控制、内外网隔离等是否到位;网络设备、安全设备、主机和终端设备的安全性是否可靠,操作系统的安全配置、病毒防护、恶意代码防范等是否有效。此外,还应检查设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理情况;机房安全管控措施、防灾措施、供电和通信系统的保障措施等;关键资产采购时是否进行了安全性测试,对外部服务机构和人员的保密约束情况,在服务提供过程中是否采取了管控措施;应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况等。
综合风险分析主要是综合分析网络与信息系统的整体安全现状,对资产、威胁、薄弱环节、已有安全措施进行综合分析,分析安全事件发生的可能性;分析安全事件发生后可能造成的后果和影响;分析网络和信息系统的整体风险状况,最后根据风险的程度逐条列出风险列表,通常可将风险划分为3个等级,即一般风险、中级风险和高级风险。
策略选择阶段根据前一阶段得到的风险列表,结合安全需求和业务目标,开展相应的整改工作,开发和选择符合成本效益的信息安全保护策略,包括安全管理策略和安全运行策略,并制定合适的风险缓解计划。特别是针对高级风险应立即采取相应措施进行化解,对于短时间内受各种客观条件限制而不能及时处理的高级风险,应制定专项风险防范方案,并提出后期整改计划。
经过较为全面的风险评估与相应的整改,可以极大的降低金融网络安全事件的发生概率。需要注意的是,风险评估保证必须定期组织进行,并将责任落实到人,确保整改到位。
3金融网络的应急体系
做好风险评估与防范,千万不能忽视应急体系的建立与管理,即使金融网络各方面风险已得到控制,仍避免不了各类突发事件的发生,如何在紧急情况下以最快的速度恢复系统运行或使用替代方式继续进行业务处理,是衡量一个网络体系是否健全完善的重要指标。
金融网络比起其他普通网络系统,有着更加重要的地位,一个社区的网络或是一所学校的网络系统出现故障所产生的社会不良影响远不及一家银行资金业务或支付清算系统网络所出现的事故。金融网络的应急处理必须得到高度的重视。
金融网络应急体系建立的首要环节就是要建立一套全方位的应急组织协调机制,应涉及应急处理的各个部门、单位及相关政府职能部门,能在突发事件发生后的第一时间进行组织协调,确定应急方案,调动各方力量,实现应急联动。
其次,金融机构应结合自身的实际情况,制定和不断完善IT层面的应急预案,完善网络、机房环境等应急操作手册,提高金融网络系统应对突发事件的能力,有效、快速、合理地应对突发事件,最大程度地减少金融网络信息安全事件造成损失和影响,保障金融业务的连续运行。
应急预案的有效性取决于预案所涉及的人员对预案的理解。因此必须定期组织要对预案的宣传、培训和实战演练,确保参与应急处理的每个人均能充分理解应急预案的中心思路、应急处理的原则、应急处理的具体执行流程,以便在实际应急处理过程中迅速进入状态,确保应急处理的效果。
实战演练是为检验应急设施的有效性、锻炼应急队伍、改进应急预案等,针对真实运行的系统主动进行的演练,实战演练前应检查预防性措施的就绪情况,以防止可能发生的演练风险。演练必须注重真实性,不能走过场,要模拟出真实事件发生的效果,最好由第三方组织在不通知预案执行者的前提下进行,以达到更真实的现场效果。
4结束语
金融网络必须有足够强的安全防卫措施,否则将会影响到金融业的可持续发展。网络安全保障是一个综合集成的系统,它的规划、管理要求国家有关部门、金融机构及IT技术公司通力合作,进行科学的、强有力的干预、导向和防护。随着金融信息化的迅猛发展,金融网络不再局限于专网,而必须使用如互联网那样的公网。通过风险评估机制来建立完善的安全管理制度和智能、深度的安全防御技术手段,构建一个管理手段与技术手段相结合的全方位、多层次、可动态发展的纵深安全防范体系,为金融业务的发展提供一个坚实的信息系统基础保障。
参考文献:
1影响计算机网络优化的原因
1.1对计算机网络的基本认识
计算机是处理复杂数据的有效平台,但其处理复杂数据的复杂程度只限于二进制的数字。人们在进行计算机数据转换时,需要对相应的软件进行格式间的转换,以此来进行信息的有效传递发挥计算机的自身优势。计算机网络的认识要通过通信系统来了解。事实上,网络信息传递就是计算机通信的过程。计算机网络就是单条通道,相互交错的通信过程,它更能提高信息的传输效率,使人们在信息沟通中有效的加强信息在其之间的传递作用。
1.2影响计算机网络优化的原因
1.2.1管理的原因一般来说,计算机网络里的各种设备是由不同厂商生产的,然而每个厂商所生产的设备类型不同、型号不同在进行应用过程中其功能及使用寿命就会产生相应的差异,导致整个计算机网络环境复杂的原因是一个整体的计算机网络会有不同的编辑程序所行驶的指令也就有所不同他们像是密密麻麻的网散步在计算机网络环境中,一旦出现某一程序的错乱就会导致计算机环境收到损害不能将信息进行有效地传递。使用科学、有效的计算机网络管理技术,对维护网络数据良好运行起着非常关键的作用。加强计算机网络管理技术的主要措施不是要拥有相应的网络硬件条件,还要有相应的专业计算机网络管理技术人士。怎样培养出专业的网络计算机管理技术人员呢?需要学习计算机网络的人对其进行不断的专研,并开发出实用的计算机网络管理硬件。
1.2.2设备的原因用户端设备是影响计算机网络信息有效传递的保证。用户端数据传递的能力与计算机网络可靠性成正比。传输交换端设备在其他机房设备的故障中并不明显,其损坏原因更不容易找到。在一开始安装布线时就应该进行备份设置,一旦计算机网络线路出现故障就可以及时修理,保证其效能。
2计算机网络的优化设计
2.1优化设计的方向
总的来说,计算机网络优化设计的一个方向,是着重提高计算机中的硬件设施配置。在计算机网络最基本的要求满足后,同时增加链路条数,能使计算机网络在局域网中具有可靠性。而且还能在某种程度上降低计算机网络优化的成本。在该此方向上,计算机网络中的每个链条的自身可靠性与成本价值成正比。因此,计算机网络里的网络链条越少,相对应的计算机网络的可安全性就会越高。
2.2优化设计中的问题
为使计算机网络优化中的问题简单化,主次分明是重要的改善措施,因为只有这样才能将问题归结到简单的系统规划上面。随着社会的不断发展,计算机网络技术基础设施的功能成多样化,但其价格却掉得厉害。此种情形下,计算机网络优化设计中的任务调度尤为重要。用户使用者对计算机网络系统的影响受制于任务与信息传递时间顺序的不同。而任务调度问题中的关键是负载调度,是指以用户为单位的平均延时为目的的建模问题。按实际来说,在某些方面任务调度问题就是分配问题,也就是说按时间资源进行分配。当然计算机网络优化是一个不断经过市场锤炼的工程,设计出来后经过使用者评价进行优化,优化后在进行评价。就这此种高要求、严于应用的市场背景下,计算机网络优化中的各种问题在向前的迈进的过程中一个个的解决。
2.3优化设计的方法
优化计算机网络的设计方法的诞生,离不开设计时一个个具体运行方案,离不开一个个小元素的周全考虑。这一个个方案、元素堆积起来就是一项大工程,它包含了软件、计算机网络设备运行、网络协议、合理的分层等。其中有两种设计优化计算机网络的方法。第一种是试凑方式,是从多种可以实现的、有效的优化计算机网络设计方案中,择其成本低、性价比好的,能够有针对性的对网络技术的显著提高的综合性方案。如果资金许可,加上附加的硬件设备,不但能实现优化计算机网络技术,还能为扩充网络使用条件。第二种是分层解决法,对于计算机网络系统层次多的特点,优化时需要在每一层次上添加优化措施。此种方法昨早的使用者是美国,计算机网络被分成若干模块,采用逐个击破的解决问题方法,并成功开发出优化计算机网络的新技术。这是前人在进行优化设计时探索出来的方法,随着现代科技技术的发展,人们在研究优化计算机网络的各项措施中应注重方法的提炼,为日后开展计算机网络优化工作寻求捷径。
2.4优化设计的主旨
尽可能满足计算机网络用户的高质量追求的同时,走上先进网络技术的发展道路。计算机网络的整个领域包含两个方面,一个是生产研究者,一个消费使用者。其中生产研究者是为服务的对象提供资源的职能,而消费者则是使用生产者所分配的资源。随着用户不断增长的需求,有线宽带的市场已经被无线用户所取代。客户需求不仅促使研发人员注重合理利用资源,还催产了新技术的出生。计算机网络优化的研究者本着实现资源分配的有效性这一目的,网络资源的利用率得以提升、网络资源的公平性增强,为最终形成供求体系各尽其能。
3计算机网络优化实践方向
3.1物理性方向
现今的网络几乎使用的结构模型是汇聚层、接入层、核心层,它们根据自身的性能需求,发挥着各自的作用。优化的物理性方向是通过优化网络结构和传输介质的方法保证核心层快速、安全、有效的运行。然后保证的是汇聚层的实践性、可扩展性和接入层的可操作性。而优化网络结构是指在大厦内部建立汇聚层,并采用直接连接,把中间的节点省略掉。
3.2技术性方向
路由器协议是计算机网络在进行技术型方向实现优化的措施,想要提高网速及整体性能,只要有好的路由协议、适用的IP地址就能够达到。路由协议可使网络具有稳定性、快速的伸缩性。具体措施是减少路由表中的条目,重新设置路由数据流的使用方法,以达到精确控制的目的。适用的IP地址是指网络资源的有效使用和网络运行的顺利。一方面使路由协议的计算迅速,大大地提高了其转发效率。
3.3设备方向
在更新网络设备上通过网络应用的不同和对内网流量的分析。通过有效的利用设备,来更新软件版本以及添加新的应用部分,从而优化计算机网络。
3.4安全方向
安全方向是指当网络病毒或者黑客侵入网络,造成瘫痪的局面。所以,增加防火墙设置,建立起防御手段,才能使计算机网络优化的长期实现提供保障性。
3.5细节方向
细节是指在进行连线、接地要求、设备维护方面开展工作,在设备的日常清洁方面,提供适应的温度、湿度环境,确保设备的有效运行。
4计算机网络服务质量
4.1服务质量的概念
服务质量是指服务于计算机网络用户的水平。提高网络的服务宽度能更快的满足用户对于不同情况的需求,从而使网络的运行效率得到提高。服务质量的提高主要从通讯速率、网络通信时延、网络信息吞吐量、网络带宽等指标出发,切实解决用户的使用需求。在用户的使用过程中,信息传递速度是衡量服务质量的主要标准。如控制信息传递时间的网络时延,表示数据传递信息的多少吞吐量。此外,还有反映传输线路的实际信息多少的网络带宽。这些都是用户最关注的问题,也应该是优化计算机网络的研究者最关注的问题。总之,就是要把网络性能参数的提升,作为首先要提升的服务质量。
4.2提高优化服务质量的方案
服务质量的优化可从分布式、集中式等方法着手实施。集中式优化方案要靠集成控制器才能发挥作用,对其计算后的结果资源进行分配,从而达到调度任务的目的。分布式优化方案,使计算机网络优化的难点问题得到简化。相较于集中式的优化方案,其实现的是并行解决优化过程中的问题,在计算机网络优化实施的过程中节省了研究时间。此外分布式优化的实践中还具有一旦发生故障不会有全面瘫痪的状况发生,所以计算机网络优化的采用分布式的方式,其安全性更高。
5从安全防范手段上优化计算机网络
5.1管理手段
根据对各层计算机使用者的计算机网络安全培训和完善现有的管理制度,加强使用人员的安全意识。使得优化计算机网络时提供安全的保障。
5.2防火墙手段
防火墙是使用率最高的网络安全措施,防火墙是通过危险端口的关闭来防止外来病毒入侵。防火墙通过下面几个措施对计算机网络进行保护的。首先,是通过限制网页的来访人数,筛选不安全操作;其次,用户在进入不安全界面操作时,发出报警信息;最后计算机网络提供即时保护。
5.3加密数据手段
加密技术为用户的计算机数据提供保护手段。此措施对信息复杂度的加大,阻止其他人在未经许可时查看、用户使用信息。此种加密数据的手段有两种,一种是私钥加密,一种是公钥加密。
5.4控制访问手段
在陌生的网源访问中,访问控制保证计算机网络安全的有效手段。访问控制可使其在不熟悉的网源中,控制用户的安全操作范围以及系统资源的使用范围。在对网页信息进行浏览时,阻止其他人员在网页中进行采集。通常是通过填写验证码、设置问题或帐号登陆等措施,来维护网络从而确保网缘的安全运行。
5.5病毒防御手段
杀毒软件是计算机网络病毒防御系统的主要工具。有统计在册的杀毒软件主要分两类:一类是防病毒,一类是单机防病毒,后者是利用远程工作和本地工作站资源进行病毒扫描和查杀。一旦检测到病毒入侵,杀毒软件将随即将其查杀。由于病毒的网络传播将对网络资源产生很大影响,所以杀毒软件是必不可少的计算机使用工具。此外,在使用杀毒软时,要随时更新到最新版本,用来预防新型的病毒。
5.6优化环境手段
计算机对环境因素有着自身的要求,提前把计算机工作环境的危险性降到最低。对硬件设施进行不定期检查,如打印机、路由器。通过摄像头全天监控、值班人员定时巡查的方式,使计算机人为伤害几率降到最低。
6结语
关键词:中小学网络安全
在自然资源相对短缺,设备、技术力量相对薄弱的情况下,信息的滞后也是影响中小学发展的一个主要因素。所以,中小学对计算机网络的需求已迫在眉睫。虽然存在着经济等各方面条件的制约,但是信息网络的建立能够促进中小学的发展,为中小学新产品的开发提供大量信息,提高中小学教职员工的知识水平和技术能力,丰富职工生活。
办公自动化的应用,可以极大地提高工作效率,减少重复劳动的工作量,节约一定的资金;产品和技术开发的现代化应用,可以极大地提高技术研发的速度和竞争能力;网络资源的共享,可以为中小学的生产、技术、继续教育学习提供丰富的资源。中小学的发展离不开这些业务的需求。网络建设目的是为了创造更多的效益和利润,相反,网络的不安全因素可能造成中小学机密的泄漏,网络系统受到破坏,数据文件遭到破坏等都会给中小学造成不同程度的损失。所以,必须把网络建设的需求和网络安全的需求摆在相同的位置。
1.解决中小学网络安全的整体措施
为了确保网络安全,应建立中小学网络安全管理规章制度,组织现有中小学的安全管理技术人员和网络安全管理人员,成立“安全管理监督机构”,负责审核“网络安全管理制度”、“网络安全检查制度”、“网络安全审计制度”和“安全日志登记制度”。在制度的保障下,实施以下安全措施。
(1)制定“分级安全策略”,即分层次制定安全实施策略,划分安全项目,细分安全存在的隐患,制定相应的解决对策,确定安全等级,建立安全检查表或安全检查数据库。基本表结构如表1.1所示。有条件的情况下成立安全小组,采用分工负责制。
(2)策略审核。对“分级安全策略”进一步采取实验进行验证,在初次系统安装和网络集成过程中,以审核的安全策略为标准,检测系统的安全性。在网络运行过程中,对发现的新的安全问题及时作出响应。了解网络技术动态和Internet上关于网络安全的最新报道,依据所获得的有关新的安全报道和安全实施策略,进一步鉴别并作出响应措施。针对每一个安全响应,及时更新和完善安全策略,为后续网络检测提供新的措施和方法。
(3)安全监控。利用现有和最新安全检测技术,如网络扫描、流量监控等,通过扫描报告或流量记录分析判断网络是否正常,及时发现网络存在的入侵或安全漏洞。安全扫描是网络安全防御中的一项重要技术,其原理是采用仿真黑客入侵的手法测试系统上有没有安全上的漏洞,对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告。
扫描器基本上包含以下三种类型:
端口扫描工具,如端口扫描器NMAP等,它不仅能检测操作系统类型,也支持隐藏性扫描。但不能检测漏洞。漏洞扫描工具,如web脆弱性扫描器Whisker2.0版。该工具检测己知的基于web技术的安全漏洞,如CGI、ASP等。新版本包括内置的SSL支持,易用性更强。
中小学级的分布式安全检测评估系统,如CCNNSScanner,能从浏览器直接提交申请,实现多扫描用户权限管理。最终得出的安全报告能协助系统管理员了解系统上的安全漏洞和如何去修补这些漏洞,并能提供本地下载的升级程序补丁。
(4)安全响应。针对发现的问题,分析和检查原因,找出解决的办法,及时作出安全响应。设计一系列安全响应的常规措施、办法和紧急处理办法,处理一般问题应保证网络的正常运行,对于造成较大或重大损失的安全问题,可采取切断与Internet连接的特殊手段。安全响应的速度要快,办法必须有利,措施必须得当。
(5)安全日志登记。安全日志登记是网络安全管理基本手段,定期(不超过一天)登记安全检查记录,对出现的不安全因素应及时登记,为后续的安全工作提供方便。
(6)跟踪最新网络安全技术。充分利用Internet网络技术资源,及时了解网络技术发展动态,特别是国家和权威网站提供的网络安全资料和技术解决方案,补充和完善网络自己的安全策略。为中小学用户提供安全通告和技术支持。如下列网站可提供相关的网络资料。
国家计算机病毒应急处理中心:省略.cn/
国家计算机网络入侵防范中心:省略.省略
瑞星反病毒咨询网:省略
(7)动态完善安全策略。完善安全策略是网络安全检测的一部分工作。根据新的安全问题和Internet最新安全信息,及时更新和完善网络安全策略,利用新的安全策略实施新的网络安全检测,采用更新完善策略―网络检测―再更新完善―再检测的动态安全检测机制。
2.安全防范方案设计
根据网络安全防范体系的基本原则,综合层出不穷的安全问题,我们设计了中小学网络安全动态实施流程,如图2所示。
本方案的核心是网络安全技术人员,即坚持以人为本的策略。对于网络安全设备性能相对弱的网络系统,实施这种多层次、多方位、动态的网络安全实施策略,能够使网络安全达到最优化。
在当前网络安全技术人员短缺的情况下,要保证中小学网络安全健康发展,必须注重安全意识。安全的核心在于人,中小学必须培养自己的安全技术人员,把安全的投资作为中小学网络建设投资的一部分是中小学网络安全的基础。
网络发展建设迫在眉睫,网络建设随后带来的安全性问题就成为一个艰巨而又长期的问题。而在目前网络管理安全技术人员短缺、安全意识相对淡薄的情况下,中小学要能够在网络建设初期或正在建设过程中尽早使教员工建立起网络安全意识,了解网络安全存在的威胁,就必须选拔和培养自己的技术人才。新的技术人员能够了解和掌握基本安全防范措施,制定适合本单位网络安全的安全实施计划,最大限度地避免和减少网络威胁给本单位带来的不必要的损失。本课题研究的目的和意义就是:在以上这些方面,为中小学网络建设及网络安全管理提供参考指导和帮助,同时,在一些安全技术上,给出分析和经过具体实践的解决方案。
随着计算机技术和网络技术的不断发展,网络安全的技术会不断提高,但是,网络的应用范围会更加广阔,网络入侵的途径也会增多,网络安全也会不断出现新的问题,作为在网络安全上负有一定责任的人,需要站在技术的制高点来面对一切入侵和挑战,才可能永不言败。
参考文献:
[1]朱新生,张杨.网上考试系统的研究和开发[J].辽宁大学学报:自然科学版,2007,34,(3):229-232.
[2]刘必雄.多校区高校学生管理系统设汁方案研究[J].福建电脑,2006,(8):68-159.
[3]段建详,蔡腾跃.IP网络安全若干技术研究及其应用.现代电信科技,2003.8.
[4]高正宪,李中学.Web环境下基于角色的访问控制策略及实现.计算机工程,2004.4.
[5]陈钟.信息与网络安全.北京大学信息学院.电子教材,2004.
【关键词】企业信息化网络管理网络安全解决措施
1网络管理的基本知识
1.1网络管理的基本概念
所谓的企业网络管理指的是利用资源的调度和协调整个企业网络系统设计和规划、运行监控、管理控制和故障诊断,从而保护企业网络系统和稳定运行,优化网络环境,网络安全,以保证正常的企业工作安全、稳定、有效运行。
1.2网络管理的基本对象
企业网络管理主要包括网络设备、网络性能、网络系统和其他方面的管理。
2中小企业网络管理现状及解决办法
2.1网络管理在中小企业的现状
中小企业特是指一种员工相对较少,业务的规模也较小的企业。同时网络布局和管理在中小企业更加灵活,但由于没有雄厚的资金投入、及有限的技术人员等原因,以至于一些企业至今一直未能实施合理有效的网络管理。即使一些企业已有了一定程度网络管理,但是对于网络管理重视程度不够,关键技术细节理解不完整,造成网络管理还存在许多不足。
2.2中小型企业形势分析
经过对90%以上的中小型企业网络管理的数据分析,中小型企业网络问题的根源主要集中在以下几个方面:
2.2.1企业网络管理的安全意识薄弱
企业高层管理人员对于发展生产技术和扩大企业经营规模的兴趣,远远大于对于网络管理的学习和安全方面的重视,安全意识薄弱。对于企业网络安全的投资较少、有关管理领域较为宽松,无法满足现代网络信息安全的基本要求。另外中小企业对网络的稳定性和网络安全存在侥幸心理,对于网络安全没有充分积极的认识,一旦出现问题,更不会积极应对,这就导致一旦出现安全问题不但不会去解决,更会任由问题扩大。
2.2.2网络管理措施不足
中小企业由于专项资金不足,这也成为网络管理经验技术力量薄弱的的主要原因。路由器、交换机、服务器等网络设备、及软件系统在中小企业一般没有相关的管理策略。对于由其生产商或集成商发出的用来修补或升级软件系统信息没有有效的处理方式。对于服务器和其他重要数据不配备备份或数据加密,冗余措施。这些无法更新的系统和缺乏配置的硬件设备让恶意人员有机可乘,对病毒、木马或恶意程序的更是毫无抵抗,企业网络的可能性,存在着严重的安全隐患。通信设计与应用。
2.2.3全面解决方案的缺乏
在大多数中小型企业缺乏网络管理解决方案情况下,他们的安全意识大都建立在防火墙、防病毒软件及加密技术升级上,进而让自己的心理更加依赖。大家都知道,对于企业网络管理,简单的解决方案并不能完全保证企业网络安全性,随着信息技术的发展,网络的更新换代极快,网络安全这个问题远远不是单一的杀毒软件和防火墙就可以解决的,也不是很多标准的安全产品可以处理的。这些问题需要一个综合且全面的技术解决方案,而这个方案很大程度依赖专业的网络管理。
2.3中小型企业网络管理存在问题的解决方案
2.3.1加强企业网络管理实践,提高安全意识
企业想获得健康,稳定,快速的发展,规范网络管理经营行为,提高员工的网络安全意识势在必行。详细的解决方案措施:
(1)可分为虚拟VLAN网络段,应用数据控制和管理控制,将公司的主营业务和非主营业务分开有效管理或者将公司各个部门、小组按照业务不同分开管理。
(2)对于企业员工应用固定IP设置或者使用DCHP动态分配IP地址,与此同时进行MAC地址绑定,启动防网络风暴管理制度,强化互联网的网络安全。这样操作一方面便于监视与维护,另一方面减少了网络中毒,网络瘫痪等问题出现的可能性。
2.3.2采取切实可行的网络安全管理措施
对于企业来说,最典型的网络安全问题是数据的丢失、损坏与泄漏,数据的安全问题,以及网络安全协议的问题。提高整体网络安全意识,重要数据定期备份是网络管理中对信息进行有效处理的必要手段。
(1)为了解决数据安全的问题,需要进行业务关键数据进行远程备份,以防止数据因为木马、病毒、及人为原因导致数据安全问题。
(2)对于服务器、路由器、交换机等突然损坏的硬件问题,重要的是要进行设备冗余设置。网络的关键设备设置一用一备的组网方式。
(3)对于软件系统的问题,则需要检查系统的编码,严格编码标准,从而消除系统本身的问题。
(4)基于网络的安全协议问题,需要专用网络执行加密操作,以防止恶意黑客攻击。
2.3.3制定切实完备的网络技术应对方案
在当前的网络信息如此开放的大环境中,任何网络都不是百分之百保证安全的,所以一套完整有效的网络技术应对方案对于网络管理尤为重要。网络技术应对方案一方面是指应对网络安全方面的技术方案,一方面是应对网络故障方面的技术方案。因此,企业需要结合自己本身的实际情况,制定完善的应对措施及方案。
(1)制定一个完整的防火墙和防护软件的升级规则,及时更新系统补丁,避免网络安全漏洞。
(2)进行网络故障实战演练,提供网络管理人员的技术业务水平。
(3)对于发生的故障及安全事故要及时备案,分析,避免类似的情况再次发生。
3结论
随着网络信息技术的迅猛发展,信息容量在这个开放的环境中不断增长,网络规模也将随之增加,越来越多的企业的管理者们开始认识到网络管理的重要性,并且在企业资金的投入上有了一定的倾斜。信息化程度的高低已经成为衡量一个企业是否是现代化企业的重要标准。从在整个国民经济中有着非常重要地位的中小企业来看,一个高效、稳定、安全的网络是确保其健康发展的命脉之一。网络管理在中小企业的原材料采购、产品营销、客户关系等等方面也起着底层建筑的基础。目前很多企业在网络管理方面还有很大的完善空间,还有很多工作需要踏踏实实的去完成。
作者:侯炜
我国高速公路近几年来建设里程越来越远,而且随着互联网的迅速发展,高速公路进入了全国联网、信息交互的时代。一方面,这有助于高速公路网络信息的共享和传播。但另一方面,高速公路全面联网也对网络安全提出了新的要求。一旦网络被别有用心的人攻击,轻则导致信息泄露,重则有可能引起大的交通事故。
一、高速公路网络信息安全分析
针对目前高速公路信息网络系统安全的现状,很多专家学者都提出自己的观点和看法,例如:北京交科公路勘察设计研究院盛刚谈到网络安全问题时指出:一方面,不管是在设计还是建设方面,偏重于网络系统的技术和设备方面,缺乏整体系统的思想观念和管理理念;重点放在外部攻击与入侵,忽视内容的监管;重视网络安全的专业性知识,忽视培养技术人员,技术储备力量不足;新产品,技术发展快,信息安全隐患日益凸显,另一方面,针对高速收费、联网监控这方面,1、建设施工方面,相关的运营单位的认识和重视度不够,存在着投资大、效率低、操作难等问题;2、技术方面,未能严格按照国际相关标准规定执行,提出的技术不具备针对性。
网络安全现阶段的外部威胁主要来自黑客活动,包括:木马程序、网络安全漏洞、各种病毒,而内部人员监管手段的疏忽和不规范的操作也是导致网络安全系统受到威胁的原因之一。
在网络信息安全问题上,各省又都有各自的实际问题。例如:江苏高速公路呈现出:网络宽带分配不均、网络大小不同、网络技术复杂、网络资源分散、网络系统陈旧、网络结构多样化的特点。网络信息安全问题已经日趋严重,已成为当前高速网络首要解决的难题,治理措施刻不容缓。
二、网络信息安全的途径分析
基于现阶段高速公路网络信息存在的安全问题,多数学者提出自己的看法,其中盛刚提出需要从多角度、多方位的考虑,指出了全面的安全保障体系,包括:技术体系、运维体系、管理体系和标准体系。技术体系主要从主机安全、物理安全、数据安全、网络安全等多方面考虑的综合建设体系;运维体系分为四个部分:风险管理安全、安全体系的推广落实、安全维护、安全管理的工程建设这四部分;管理体系指信息安全的方针目标,以及在完成这些目标的过程中所使用的体系方法;标准体系具体主要确定网络信息安全的规章制度、管理办法,工作流程和总体框架。
针对各省份出现的安全问题,各自根据实际情况提出不同的解决方案,例如山西省针对本省高速公路网络信息安全也提出了自己的解决方案。从管理和技术两方面入手,管理具体从以下几方面着手:人员安全管理、系统运维管理、管理制度安全、安全管理机构、系统建设管理等方面提出的具体要求。技术方面主要分为:系统主机安全、物理安全、应用安全、数据安全和网络安全。管理和技术在维护系统安全中起着不可替代的作用,两者相辅相成,缺一不可。
山西省不仅从管理和技术两方面确保高速公路网络安全,在具体的实施过程中,更全面透彻地分析了全省高速公路在网络安全中存在的各种安全隐患,涉及网络安全、主机设备、物理安全、网络病毒、数据安全、业务管理、应用体系安全、主机系统安全、行为操作安全等各类隐患,针对具体存在的安全问题,对症下药,采取实施有效的安全防护措施。
除江苏和山西省外,福建省也提出了自己的安全措施,制定了详细的分析报告(确定框架―制定方案―修改方案―执行方案),从2013年试开始运行,截止目前为止,安全防护措施已步入正轨,已将相关制度运行管理制度实现了良好的衔接。