引論:我們為您整理了13篇網絡安全管理范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
在網絡化信息化快速發展的今天,網絡安全問題幾乎對任何一個團體都不再是可有可無的話題。據賽門鐵克諾頓2012 年 9 月11日公布的一年一度的諾頓網絡安全報告推測,在之前的一年中網絡犯罪致使全球個人用戶蒙受的直接損失高達 1,100億美元,而在中國,估計有超過2.57億人成為網絡犯罪受害者,所蒙受的直接經濟損失達人民幣2,890億元。
網絡安全已經受到各國家、企業團體的高度重視。美國國防部的《可信計算機系統評估準則》,將計算機安全劃分為四個等級,帶動了國際計算機安全的評估研究。加拿大頒布了《網絡加密法》《個人保護與電子文檔法》《保護消費者在電子商務活動中權益的規定》。我國也相繼制定了一系列信息安全管理的法規制度,包括《計算機信息系統安全保護條例》《商用密碼管理條例》《計算機信息網絡國際聯網安全保護管理辦法》《互聯網安全保護技術措施規定》《計算機病毒防治管理辦法》《信息安全等級保護管理辦法》等,并將計算機犯罪納入刑事立法體系。各國對網絡安全的重視也促進本國的企業團體的網絡安全建設。我國各企事業單位、社會團體對網絡安全管理越來越重視,紛紛制定本單位的網絡安全監測、管理制度。但是由于網絡技術的不斷進步、網絡新應用的持續發展,網絡安全新情況、新問題仍然不斷發生。
1目前網絡安全建設存在的問題
1.1忽視對網絡安全技術人員的培訓
很多單位對網絡和安全設備等有形資產舍得投資,但對網絡安全技術人員的培訓等方面的投資卻不夠重視。好的設備需要掌握相關技能的人員操作管理才能充分發揮其功能,由缺乏技能的人員管理安全設備常常并不能起到安全保護作用。配置不當的網絡和安全設備本身也有可能成為攻擊對象,例如使用telnet、http等非安全方式登錄管理設備,未限制或未關閉設備本身的FINGER 服務、tftp 服務等。
1.2對非信息安全部門的員工教育不足
現在很多網絡攻擊行為常常使用社會工程學等非技術方法,而且這種攻擊行為越來越多。社會工程學是利用人的弱點,以順從你的意愿、滿足你的欲望的方式,讓你上當的一些方法、一門藝術與學問。 Gartner集團信息安全與風險研究主任Rich Mogull認為:“社會工程學是未來10年最大的安全風險,許多破壞力最大的行為是由于社會工程學而不是黑客或破壞行為造成的。”
這種攻擊行為本身并不需要太多的計算機網絡技術,所以單純靠提高網絡安全技術人員的技術水平無法解決此類安全問題。這需要加強對員工的網絡安全教育,提高所有員工的網絡安全意識,使以符合網絡安全規則的方式做事成為員工的習慣。
1.2.1網絡安全管理制度建設缺乏持續性
網絡安全管理是一個動態的系統工程。網絡安全管理制度需要根據網絡安全技術的發展、業務系統的發展而更新改進。網絡安全管理制度既體現網絡安全管理者對團體成員的行為標準的要求,又建立了一個保證安全策略及時下發實施的上傳下達的通道,保證重大緊急事件的及時處理。例如安全事故處理流程既要規定各級管理人員能夠自行處理的事件的級別,又要規定事故匯報請示流程,保證領導層能夠掌握重要安全事件處理進度,及時做出決策。
1.2.2在網絡安全評估量化方面存在困難
現在存在很多以量化指標衡量網絡系統的安全程度的方法,例如以網絡系統中各個分量的重要程度、被入侵的概率等作為權重來計算整個系統的安全量化指標,或者以系統從受到攻擊到入侵成功所需時間來衡量其安全程度。這些方法對于網絡安全系統的建設和評估具有重要指導意義,但是由于現實中網絡安全涉及的不可控因素太多,這些衡量方法的使用效果并不總是令人滿意。網絡安全服從木桶理論,一個系統中的安全短板決定著這個系統整體的安全程度。不當的安全評估量化方法無法準確評估一個系統的安全程度,無法給領導層和網絡安全管理人員以正確的回饋。
2網絡安全建設建議
2.1結合本單位業務細化網絡安全管理
首先,根據業務特點和安全要求,對整體網絡進行物理和邏輯安全分區,在安全區域邊界設置訪問控制措施,防止越權訪問資源。對于不同安全需求,可以采用單獨組網、網閘隔離、防火墻等安全設備隔離、靜態和動態VLAN邏輯隔離和ACL訪問控制等。在服務器等重要區域,可以增設IPS或IDS、WEB防護設備、網頁防篡改系統等增強保護力度。
第二,加強對IP地址和接入端口的管理。在條件允許的情況下,對于平時位置和配置固定的服務器和PC機,采用用戶名/密碼/MAC地址結合網絡接入設備端口的身份驗證策略,強制用戶使用分配的IP地址和接入端口,不允許其隨意修改。對于暫時不用的交換機端口應該予以關閉,避免外來計算機隨意接入內部網絡。
第三,網絡和安全管理人員的管理權限、管理范圍必須界定清楚,網絡和安全設備的操作日志必須保存好。網絡和安全管理人員的管理權限和范圍根據各人的職責分工、管理能力進行劃分,保證每位管理人員必要的操作管理權限,同時防止設備管理混亂。網絡和安全設備操作日志應詳細記錄每個操作人員的操作,需要時應該可以追蹤到所有操作人員的操作過程。
第四,以統一的安全管理策略利用安全設備和安全軟件進行監管,減少人為干擾產生的例外情況。安全策略部署中的例外情況日后往往會成為安全隱患,例如,一些人員以各種借口拒絕在其工作用機上實施安全策略,或者需要開通特殊網絡服務等。對于無法避免的例外情況應該指定專人負責記錄、提醒、監督相關管理人員及時更改和恢復策略等。
2.2合理安排崗位職責
在一個大中型局域網中,網絡管理人員不但需要保證諸如重要服務器、存儲設備、門戶網站等的網絡暢通,而且常常需要擔負IP地址規劃、員工機器網絡故障處理、網絡系統升級改造、設備維保管理、機房環境管理、最新網絡和安全技術跟進、新型網絡和安全設備測試等諸多事項,所以一般無法做到單人單崗,人員的職責劃分難免出現重疊區域。對于這種情況,應該按照重要程度對各崗位職責進行等級劃分,把關系全局、實時性要求高的應用系統、數據存儲系統等關鍵網絡應用系統的網絡安全保障作為關鍵工作,指定2~3人重點負責,并且把關鍵工作的維護人員之間的分工合作方式以制度的形式確定下來。
2.3管理層的重視和支持
首先,網絡安全問題的暴露都具有滯后性,安全管理缺位造成的影響短期內并不一定能夠顯現出來,但是長期持續下去必然導致安全問題的發生。領導層應該對網絡安全建設常抓不懈,并以制度的方式予以保證。
其次,網絡安全基本數據、各部門對安全的需求等基礎信息收集工作的開展常需要管理層的支持和協調,網絡和安全管理策略的實施更是離不開管理層支持。目前網絡安全很多威脅不是來自外部,而是緣自內部人員對網絡安全知識的缺乏和對安全制度、措施的漠視,例如,個別內部機器不按要求安裝主機安全軟件、私自下載安裝來源不明軟件等。所以應該指定領導專門負責網絡安全的實施和監督,配合網絡安全部門技術人員完成安全措施的部署落實,做好網絡安全的定期檢查工作。
篇2
2.1加強網絡安全教育
加強網絡安全教育,需要從如下幾個方面著手:(1)宏觀層面上,國家要不斷的通過輿論引導、宣傳教育以及相關的標準制定,強化對網絡安全的要求,并且引導社會認識網絡安全的重要性;(2)中觀層面上,機關、團體、企事業單位要組織相關崗位的干部或者員工深入的開展網絡安全教育,從思想觀念、知識結構等方面加大網絡安全教育力度,在具體的教育過程中,要注意搞好疏堵結合,增強抵御能力。(3)微觀層面上,個人要認識到網絡安全的重要性,有目的的,有計劃的開展網絡安全學習,真正的從思想觀念的高度認識到網絡安全問題的嚴峻性。
2.2加大網絡安全管理力度
在現今的網絡信息化時代,對網絡系統進行嚴格的安全管理,對于維護網絡信息安全,促進網絡系統的可持續發展具有重要的現實意義。在實際的網絡安全管理過程中,管理者要將管理工作與自身的實際情況進行緊密聯系,從實際管理要求出發,對系統中存在的網絡安全問題進行科學研究,并探索相應的管理手段,進而有效地提高網絡安全管理質量。對于企業,有關的技術管理部門應該對某些保密級別高的臺式電腦實行嚴格的網絡安全管理,配置必要的干擾機以及屏蔽儀等安全防護設備,并推行安全口令,口令要定期或不定期地進行更換。如果有必要還可以對某些臺式機的網絡接口實施關閉管理。不僅如此,有關的管理部門還應該經常對網絡安全進行臨時檢測,如果發現存在人為的安全問題,要對操作者進行適當的懲處,以引起操作人員對網絡安全管理的重視,并在以后的工作中認真執行相應的安全管理。
2.3健全網絡安全制度
建立起嚴格的網絡使用制度,對于需要使用網絡的要經過一定的審批程序,固定Mac和IP地址。其次,要建立信息技術安全制度,從硬件的物理鏈接上保障信息傳輸安全。當前網絡安全態勢評估關鍵性的內容就是建立在系統配置信息基礎之上的網絡安全態勢評估。以COPS所提供的數據為基礎,Ortalo以及Deswarte利用權限圖理論構建起系統漏洞模型,利用馬爾科夫模型,得出黑客為擊潰網絡安全需要付出代價的平均值,從而對網絡系統安全作出定量性分析,總結出系統安全演化。但當前建立在系統安全態勢的評估,主要是對某個具體攻擊事件帶給網絡系統的威脅加以評估。在現有的研究成果的基礎之上,依據IDS日志庫取樣數據以及網絡寬帶占用率、系統曾經所遭受的攻擊的相關記錄,并綜合考察服務以及主機本身的重要性,構建網絡安全威脅態勢層次化定量評估模型,從服務、主機以及網絡3個層次評估網絡安全威脅態勢。本文來自于《科技創新與應用》雜志。科技創新與應用雜志簡介詳見
篇3
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不收偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常的運行,網絡服務器不中斷。它是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。
隨著教育信息化的發展,校園網絡在校園管理、日常教學等方面正扮演正扮演著越來越重要的角色。在國家“校校通”工程的推動下,許多學校都將自己的內網與Internet進行聯通,網絡安全逐漸成為Internet及其各項網絡服務和應用進一步發展的重要問題,網絡安全亦在與網絡攻擊的對抗中不斷發展。網絡的生命在于其安全性,如何構建相對可靠的校園網絡安全體系,就成了校園網絡管理人員的一個重要課題。
校園網與Internet相連,且速度快和規模大,在享受Internet方便快捷的同時局限性面臨著遭遇攻擊的風險。高校校園網目前普遍使用了百M到千M甚至萬M實現園區主干互聯。校園網的用戶群比較密集。正是由于高寬帶和用戶多的特點,網絡安全問題一般蔓延快,對網絡的影響比較嚴重。當前校園網網絡常見的安全隱患有以下幾種。
1.計算機系統漏洞
目前校園網中使用的操作系統存在安全漏洞,對網絡安全構成威脅。網絡服務器安裝的操作系統有INNT/2000、UNIX、LINUX等,這些系統安全風險級別不同,例如,WINNT/2000的普遍性和可操作性使它成為最不安全的系統:自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒木馬等,這些漏洞個就是一個個安全隱患。
2.計算機病毒的破壞
計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、是網絡效率下降,甚至造成計算機和網絡系統的癱瘓,是影響校園網絡安全的主要因素。計算機病毒具有以下特點:一是攻擊隱蔽性強;二是繁殖能力強;三是傳染途徑廣;四是潛伏期長;五是破壞力大。如ARP欺騙病毒、熊貓燒香病毒、網絡執行官、網絡特工、ARPKILLER、灰鴿子等木馬病毒、表現為集體掉線、部分掉線、單機掉線、游戲賬號、QQ賬號、網上銀行卡等賬號和密碼被盜等等,嚴重威脅了校園網絡的正常使用。
3.網絡攻擊
網絡攻擊包括很多方面,有黑客攻擊法、IP欺騙法、拒絕服務攻擊法和信息梗阻法。在校園網里普遍發生的是拒絕服務攻擊,這是因為校園用戶集中度高、密度大為拒絕攻擊提供了天然條件。加之學生的好奇心的因素,導致拒絕服務攻擊發生頻率較高,這種攻擊不是以獲得網絡的控制權和信息的訪問權為目的,而是為了使網絡服務不能正常運行。當Web服務器或FTP服務器這些專門的網絡應用服務遭到拒絕服務攻擊時,攻擊者能夠獲得并把持服務器支持的所有有用鏈接,而將服務器真正的用戶有效地關在外面。大部分拒絕服務攻擊是利用被攻擊系統整體結構設計上的弱點,而不是利用軟件的缺陷或安全漏洞。
前述各種網絡安全威脅,都是通過網絡安全缺陷和系統軟硬件漏洞來對網絡發起攻擊的。為杜絕網絡威脅,主要手段就是完善網絡病毒監管能力,堵塞網絡漏洞,從而達到網絡安全。
校園網安全管理包括各種網絡安全的規章制度、安全策略、口令規則等,其主要分為對硬件的安全管理、軟件的安全管理兩部分。
1.對硬件的安全管理
硬件設備的管理,包括交換機的地址管理、主交換機的虛擬網劃分、路由器的設置等。在局域網內,學校應盡量采用動態地址與靜態地址相結合的方法管理。一些重要處室應有固定IP地址,既方便與其他終端通信,又能夠在主服務器不I作的情況下正常工作,便于校內事務的管理和數據的傳輸、保存,其他的終端全部采用動態地址。合理劃分虛擬網,使各個功能相同或相近的終端位于同一虛擬網下,方便它們彼此間的通訊,保證數據的安全性。
2.對軟件的安全管理
軟件管理是整個校園網的核心,整個校同網的軟件系統主要包括以下幾個部分:網絡操作系統、網絡殺毒軟件、網絡管理軟件等。其中網絡操作系統是整個網絡的基礎,對于Windows操作系統,由于使用較方便,而且在其基礎上開發的各種軟件較多,故使用得較多,但系統的安全性相對較差。而對于Linux操作系統,它的穩定性和安全性都較Windows高,不過其要求的技術條件較高且應用軟件相對較少。一般可采用Windows2000 Server作為網絡操作系統,而服務器的配置與維護就是軟件管理的核心內容。數據的備份及保存是非常關鍵的,可以應用Windows 2000提供的系統備份功能進行數據的備份,也可采用數據庫本身的數據備份工具將數據備份到硬盤上,也可定期將數據存儲到光盤上。校園網還需要在其他方面進行安全設置,實現對網絡的安全管理,如設置防火墻、設置服務器等。
總之,由于互聯網絡的開放性和通信協議的安全缺陷,以及在網絡環境中數據信息存儲和對其訪問與處理的分布性特點,網上傳輸的數據信息很容易被泄露和破壞,因此校園網的高效運行更依賴于對網絡安全的管理、預防和維護,這樣才能提高網絡的利用率,保證數據的安全性,充分發揮校園網的作用,使其為學校的教學和管理服務。(新疆沙灣縣教師進修學校;新疆;沙灣;832100)
參考文獻
篇4
Network Security Management
YANG Wei-zhong
(Shanxi Prouincial Expressway Construction Group CO, Xi'an 710054, China)
Abstract: the basic aim of network security management is to ensure availability of network and system, it involves many factors, such as personnel, hardware, software, data and documentation, laws and regulations, etc. But here we have to consider from the global network security management, but only from the point of technology introduced two kinds of typical network security management protocol. Network management, network management system for the agreement provides methods and network components. They support such as configuration management and audit and management function, the event log for diagnosis of network problems and provides tools.
Key words: network; security; management; protocol; audit
1 安全審計追蹤對確保任何網絡安全都起了重要的作用
它可以用來檢測一個安全策略的正確性,確認與安全策略的一致性,幫助分析攻擊,并且收集用于攻擊者的證據。安全審計追蹤記錄了任何可疑的事件(可以產生一個安全警報),也可以記錄許多日常事件,如建立和終止連接、使用安全機制和訪問敏感資源。同類或不同類的系統都可以檢測到被審計的事件,并由系統中的安全審計追蹤日志來維護。安全審計追蹤功能為將事件信息傳遞給維護日志并創建和恢復日志實體的系統提供了必要的支持。
在這里講述的主要標準是安全審計追蹤功能(1SO/IEC 10164-8)。因為管理一個安全審計追蹤日志的機制基本上與網絡管理中的管理任何其他類型的事件日志一樣。該標準依賴于以下兩個標準――事件報告管理功能(1SO/IEC 10164-5)和日志控制功能(1SO/IEC 10164―6)。
通知一個安全審計追蹤的事件的過程類似于產生一個安全警報報告的過程。它包括一些受管對象對一個M-EVENT-REPORT的調用。一個安全審計追蹤日志可以記錄事件類型參數指示的幾乎任何管理通知,包括ISO/IECl0164―7中定義的安全警報報告通知。
安全審計追蹤功能標準另外定義了兩個特殊的通知,分別與服務報告和使用報告對應。服務報告表明了與一些服務的提供、拒絕或恢復有關的事件。使用報告用于有安全意義的日志統計信息。傳遞的參數和這些事件類型基本上與安全警報報告中使用的一樣,其中包括任何M-EVENT-REPORT通用的參數和任何管理警報通用的參數。服務報告事件類型中定義了一個額外的參數,稱為服務報告原因,用于表明報告的原因。這個參數是一個ASN.1對象標識符,也就是說任何人可以定義并注冊其值。該標準還定義了一些通用的值:服務請求、拒絕服務、來自服務的回答、服務失敗、服務恢復和其他原因。
審計追蹤過程的控制和從安全審計追蹤中檢索實體都獨立于上面的通知過程。它們利用了定義在其他標準中的通用過程。事件報告管理功能(1SO/IECl0164―5)為兩個系統之間的聯系建立了一個長期的事件報告。日志控制功能(1SO/IECl0164―6)支持用于安全審計追蹤和其他目的的日志的創建和刪除以及這些日志記錄的檢索。
2 管理資源的訪問控制
網絡管理有它自己的訪問控制要求,有必要控制誰能調用管理功能,誰能創建、刪除、修改、或讀取管理信息。這樣的訪問控制在任何使用網絡管理協議的網絡中都是至關重要的,因為對網絡管理資源的破壞也就等于破壞了整個網絡。
ISO/IECl0164―9標準中講述了這種類型的訪問控制(訪問控制中命名了對象和屬性)。該標準給出了一個訪問控制模型,以及支持系統之間傳遞訪問控制信息所需要的信息對象定義,并使用了訪問控制框架標準(1SO/IEC 10181―3)中的術語和概念模型。包括各種訪問控制策略以及各種訪問控制機制(如訪問控制列表、能力、安全標識和基于內容的控制)。
訪問控制決策應用于管理操作的調用例如M-GET或M=SET。包括的體系結構的部件。發起者是管理系統(或系統中的管理員),目標是受管系統的信息資源。一個目標可以是受管對象、受管對象的屬性、受管對象的屬性值或受管對象的行為。因此,可能為管理員提供了一個非常精確的控制級,在這個控制級上管理員可以為某一目的訪問某一管理信息。
基于訪問控制規則來決定是允許還是拒絕訪問請求。訪問規則本身可以表示成管理信息條目并且使用CMIP協議來管理(例如,讀或寫)。
訪問控制規則的三種不同類型是有區別的。一個安全區域權威機構根據特定的發起者或發起者類(例如,區域中可辨認的特定角色)用全局規則來保護區域中的所有對象。條目規則是用于特殊目標的特殊規則。當沒有合適的全局或條目規則使用時,可使用缺省規則來做訪問決策。
當有許多規則用于一個特定的訪問請求時,這些規則的優先級如下:
① 拒絕訪問的全局規則;
② 拒絕訪問的條目規則;
③ 允許訪問的全局規則;
④ 允許訪問的條目規則;
⑤ 缺省規則。
一個訪問控制規則能夠基于安全策略所要求的任何決策過程。一個規則的說明書中包含了許多要素,如:
① 訪問的許可:指明是與拒絕服務有關還是與允許訪問有關的規則;
② 發起者列表:可應用的發起者列表,以訪問控制列表、能力、或安全標簽形式表示;
③ 目標列表(只用于條目規則):可用的目標(例如,受管對象,屬性和屬性值)和作用在這些目標上的操作的列表;
④ 時間表:指明這些規則使用的時間點(如只能在規定的上班時間,或從星期一到星期五);
⑤ 狀態條件:指明使用規則的受管對象的屬性的狀態(例如,在系統處于診斷狀態時才可用);
⑥ 認證內容:當要認證發起者時,指明需要認證的等級。
訪問控制決策過程如下:首先,需要驗證伴隨訪問請求出現的任何訪問控制信息。需要標識發起者和目標使用的任何訪問規則的身份,并根據他們的全局/條目/缺省的意義進行歸組。然后根據優先級的限制來使用這些規則。
使用規則的方法取決于所使用的特定的訪問控制機制。在訪問控制列表機制中,將發起者的標識符與使用的訪問控制列表進行比較。在能力機制中,將發起者提供的能力與規則中陳述的能力進行比較。在基于標識的機制中,將與發起者相關的標識與規則所識別的標識集進行比較。還需使用基于內容的檢測,如時間表、狀態條件或認證級別。作出訪問決策后,就有其他一系列的行為發生。決策使用的信息需要暫時保存起來用于以后為相同的發起者作決策(這樣的信息被稱為保留的訪問控制決策信息或保留的ADI)。與目標有關的訪問控制信息需要修改,例如如果管理操作導致受管對象的建立或刪除。由于依賴于安全策略,因此也有必要生成一個安全警報和安全審計追蹤通知。
如果訪問被拒絕,則有各式各樣的方式來應答發起者。安全策略規定了下列類型的應答:指示出拒絕訪問的錯誤、沒有響應、錯誤的響應(例如,發起者看起來已經允許訪問)或中斷相關的應用。
為支持上面的過程,需要遠程管理(例如,創建、更新)來存儲用于決策訪問控制的信息。為此,標準提供了幾個受管對象類和屬性類型定義,用于表示訪問控制規則和支持信息結構。這些定義能夠使用ISO/IEC l0164―1中定義的過程來遠程控制訪問控制信息。
參考文獻:
篇5
在信息化社會建設的進程中,網絡的應用和開發已成為衡量一個國家政治、經濟和軍事綜合能力水平的重要標志,網絡的作用和地位越來越重要。網絡為信息交換、存儲和處理提供了極大的便利。計算機網絡因其開放性、互聯性的體系結構使網絡擴展更加便利,信息利用更加快捷高效,網絡的服務性和需求日益提高,社會、經濟、軍事等領域對網絡信息作用的依賴日益增強。然而,也正是網絡開放、互聯等特點增加了網絡的復雜性和脆弱性,網絡信息遭受來自網絡內部和外部的各種安全威脅。因此,網絡安全問題已成為信息時代人類共同面臨的挑戰,越來越被重視。就其本質而言,網絡安全就是信息安全。網絡安全是指通過各種技術和管理措施,使網絡系統正常運行,保護網絡數據(信息)的可用性、完整性、私密性和可控性。網絡安全是一個完整的體系,其防護主要包含技術方面和管理方面,二者相互補充,缺一不可。加強網絡安全不僅要從技術防護著手,更要注重網絡安全管理工作。本文試對網絡安全管理存在的問題簡要分析,并就加強網絡安全管理提出幾點措施。
1 網絡安全現狀及存在的原因
1.1 現狀
經過長期的努力,我國在信息安全管理上取得了一些成就,制定了一系列信息安全的制度法規,建立了專門的加強法制信息安全管理機構,出臺了一系列信息安全技術標準。從國家互聯網應急中心(CNCERT)的2011年互聯網網絡安全態勢報告,顯示我國基礎網絡防護水平明顯提升,政府網站安全事件顯著減少。其中,2011年我國大陸被篡改的政府網站數量較2010年下降39.4%。但由于缺乏自己的計算機網絡及信息安全核心技術,互聯網新技術和新應用快速發展而網絡安全法規建設相對滯后,加之人們對網絡信息安全的認識存有誤區,網絡信息安全事件頻繁發生。數據泄露事件層出不窮,釣魚網站數量持續增加,虛假信息和垃圾信息泛濫,用戶信息安全保障難度加大;病毒、木馬、蠕蟲變化多、更專業,其破壞性和危害性更強。有數據表明,我國2011年遭受境外網絡攻擊持續增多,網上銀行面臨的釣魚威脅、手機惡意程序、應用軟件漏洞、工業控制系統安全事件等也呈增長態勢。其中,2011年CNCERT捕獲移動互聯網惡意程序6249個,較2010年增加超過兩倍。為此這些將成為網絡安全管理工作的主要難點。
1.2 主要原因
1.2.1 網絡安全意識淡薄。
網絡安全實質就是要保障網絡信息安全。影響網絡安全的因素有許多,既有網絡硬件、軟件或系統等問題造成;也有人為因素造成。但是一些企事業單位機關對網絡安全的認識存在誤區,過度依賴網絡設備和技術方面的防御,把防范的重點放在外部,忽視從內外結合上,技術和管理上構建網絡信息系統的安全防范體系;對網絡管理制度、管理隊伍建設重視不夠;網絡工作人員和用戶安全意識淡薄,導致疏于安全管理的網絡安全問題時有發生。大量的調查表明,因人為因素或自然災害所造成的計算機信息系統的損失事件中,至少有70%是因為管理措施不得力或管理不善所致,而其中95%是可以通過正確的信息安全配置管理來消除的。增強網絡安全管理意識,強化管理措施是做好網絡信息系統安全保護工作不可缺少的保障。
1.2.2 網絡信息安全管理體系建設滯后于網絡技術的發展。
網絡安全是以安全技術為支撐,以安全管理為手段。雖然隨著網絡信息技術運用的不斷深入,網絡信息安全管理工作有所改進,但是由于沒有及早認識到網絡信息安全管理的重要性,網絡信息安全管理工作還存在諸多不足。一是我國安全管理法規制度建設不健全。相對網絡信息發展,我們在網絡立法方面明顯落后于信息技術的發展,難于滿足網絡信息發展的需要,不能有效地適應各類網絡非法行為。二是網絡建設處于分散管理狀態。信息安全管理條塊分割,各管理部門之間缺乏有效的溝通和聯系,網絡信息安全的多頭領導,極易引起信息安全管理的混亂。三是網絡信息管理隊伍建設發展不平衡。從整體而言,網絡信息管理隊伍重視程度遠低于網絡硬件建設,網絡安全管理的人才無論是數量還是質量都達不到信息發展及信息安全管理的需要。
2 加強網絡安全管理幾點建議
2.1 重視管理在網絡安全的作用
加強網絡信息安全必須從管理上著手,有人提出“網絡信息安全的工作是三分技術、七分管理”。諸多事實證明,僅從防火墻、密碼機單一設備加強信息安全已不能適應當今網絡安全的需要,盡管目前已經有成百上千種的安全產品,但人們仍然越來越感覺不安全。網絡的規模、復雜性、日趨增多的應用等,是造成這種狀況的主要原因之一。要保證真正的意義安全,必須從管理上著手,加強對網絡安全的防范意識、法規制度建設,加強網絡技術、市場和人員等管理。
2.2 完善網絡管理的法規制度
法規制度建設是管理運行的基本依據和最有效手段。經過長期的努力,我國在信息安全管理取得了一些成就,制定了一系列信息安全的制度法規,建立了專門的加強法制信息安全管理機構,出臺了一系列信息安全技術標準。但是,與信息技術發展比較,我們的信息安全管理工作相對落后,加之網絡發展速度迅速導致了法制的滯后性,使有關部門在打擊網絡犯罪的過程中面臨無法可依的尷尬局面。所以法制建設應該不斷健全,做到規范網絡運行商、企事業單位和用戶的行為,規范網絡信息與資源的管理制度,切實做到有法可依、有法必依、違法必究。
2.3 加大輿論宣傳
加強思想上網絡安全意識建設,文化和法制等部門在社會主要加大基本網絡安全知識的普及。同時加強網絡用戶的安全意識的宣傳,要求網絡用戶在思想上要引起高度重視,既要他們認識到網絡犯罪的概念與危害,增強法律意識;也要增進他們的自我安全意識,主動規避風險,最大限度地預防與減少網絡犯罪的發生。
2.4 制定切實可行的網絡安全管理策略
網絡的安全是保證網絡使用安全為前提,安全策略的制定應是建立在信息使用足夠方便的基礎上,尋求最有效的安全措施。第一,明確本網絡的開放性要求和安全性要求,尋求二者的均衡點,對兩者間有矛盾的根據實際情況決定取舍。第二,對本網絡拓撲結構和能夠承受的安全風險進行評估,從網絡安全技術方面為保證信息基礎的安全性提供了一個支撐。第三,要建立全網統一、有效的身份識別系統。遵循最小特權、最小泄露和多級管理的授權原則,未經授權相關信息和資源不允許訪問、引用和使用。第四,建立網絡信息監控機制。對信息、傳輸和使用等,需要有較全面的審計、記錄的機制,以便于事后的調查和處理。第五,制定各種網絡安全事件的應急預案,一旦網絡安全事故發生,能在第一時間予以控制,防止事態的擴大,減少損失。
參考文獻:
篇6
引言
目前電力系統改革在不斷的深入,已經由原來的工業體制轉變為市場方向,隨著網絡信息系統的建立,電力企業的管理水平和生產效率得到了大幅提升。但隨著網絡科技的不斷更新換代,網絡信息安全問題已經越來越引起人們的關注,如何將網絡信息技術更好的利用,如何更好地利用網絡信息技術服務于電力企業,已經成為目前所亟待解決的問題。
一、電力系統信息網絡安全存在的問題
1.缺乏完善的制度建設和信息化結構
在電力公司中,并沒有充分意識到信息部門的重要性,有些電力部門甚至沒有配備專門的機構,崗位和制度也沒有規范的建立和執行。由于很多是在生產技術部門下,附屬著信息部門,有的僅僅是設置一個信息化負責人員,造成了信息化結構和制度建設的不健全。作為一項系統工程,信息化建設必須由各個部門的協調配合,通過專門的信息化結構來推動,以適應新形式下的需求。
2.電力企業的網絡信息安全存在許多風險
2.1是網絡安全結構不合理,這種現象主要表現為核心交換系統安排不合理,沒有對網絡用戶進行分級處理,致使所有的用戶對信息的處理地位都是相同的,即任何人都能對網絡安全造成影響;
2.2是來自互聯網的威脅,目前,大部分的電力企業的網絡都與互聯網連接,這樣在方便企業內部員工進行信息瀏覽的同時,互聯網上的所有用戶都能訪問,給電力企業的網絡信息安全帶來了很大的潛在威脅;
2.3是來自與企業內部的影響,計算機網絡技術在電力企業中的廣泛應用,導致了越來越多的企業內部重要數據在網絡上傳輸,這樣為非法用戶竊取企業信息提供了便利,造成企業內部信息混亂,破壞企業的正常經營秩序。
3.網絡病毒的威脅
隨著自動化技術的發展,要求在調通中心、變電站、用戶等之間進行的數據交換也越來越頻繁,對電力控制系統和數據網絡的安全性、可靠性、實時性提出了新的嚴格要求。而另一方面,隨著計算機普及,病毒和黑客也日益猖獗。在電力二次系統安全防護體系不健全的情況下,來自外部有組織的團體、擁有豐富資源的威脅源發起的惡意攻擊,攻破電力系統二次安全防護網絡,導致電力一次系統事故或大面積停電事故。
4.管理人員技術水平低
電力企業作為重要的工業企業,其“重建設,輕管理”的思想是非常明顯的。安全管理體制不合理,導致企業疏于對管理人員的技術培養,最終導致管理人員的技術水平低下,即使網絡安全出現問題,也不能及時修理。
5.電力企業的安全意識不強
電力企業通常重視的是網絡的利用效率,在利用計算機網絡進行工作學習的時候,只關注其運行的效率,疏于對其信息的安全性的保護管理,并且沒有投入專項的資金和管理人員對網絡信息安全進行定期的維護,甚至即使出現問題,也懶得去理,這樣就導致了網絡信息系統的安全性一直處于被動的隱患狀態。
二、電力系統信息網絡安全技術應用策略
1.防病毒侵入技術
防病毒侵入系統能夠有效地阻止病毒的進入,進而有效地防止病毒對電力系統的信息進行破壞。這種措施通常是在電腦上下載安全的殺毒軟件,還應該安裝服務器,對防病毒系統進行定期的維護,保證其能夠有效正常地運行。此外,在網關出還應該安裝相應的網關防病毒系統。也就是說,通過在電力系統的所有信息系統中安裝全面防護的防病毒軟件,對各個環節進行防毒處理,并創建合理的管理體制,以起到對計算機可能出現的病毒侵入進行預防、監測和治理,同時還應該及時對防病毒系統進行定時的升級。通過上述的所有手段,這樣才能有效地對即將侵入信息管理系統的病毒進行處理。
2.防火墻技術
防火墻原意是指建筑物里用來防止火災蔓延的隔離墻,在這里引申為保護內部網絡安全的一道防護墻。防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,實際上是一個或一組在兩個網絡之間執行訪問控制策略的系統,它邏輯上處于內部網和外部網之間并由一組保證內部網正常安全運行的軟硬件有機的組成,包括硬件和軟件,目的是保護網絡不被可疑的人侵擾。其最基本的構建是構造防火墻的人的思想。它提供可控的網絡通信,只允許授權的通訊。本質上,它是一種訪問控制技術,也就是提供可控的過濾網絡通信,控制進出兩個方向的通信并且只允許授權的通訊。防火墻在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵入。它用來防止外部網上的各類危險傳播到某個受保護網內。保護安全網絡免受來自不安全網絡的入侵。
防火墻是一組由路由器、主機和軟件等構成的有機組合,它是一種保護裝置,用來保護網絡數據、資源和用戶的秘密。一個典型的防火墻由包過濾路由器、應用層網關(或服務器)、電路層網關等構成。如圖1.
圖1.典型防火墻網絡構成圖
3.身份認證技術
身份認證是指用戶必須提供它是誰的證明,是與密碼技術密不可分的。它是網絡安全的重要實現機制之一。在安全的網絡通信中,涉及各方必須通過某種形式的身份認證機制來證明他們的身份,驗證用戶的身份與所宣稱的是否一致,然后才能實現對不同用戶的訪問控制和記錄。身份認證技術是為主機或最終用戶建立身份的主要技術。在網絡中為了確保安全,必須使特定的網絡資源授權給特定的用戶使用,同時使得非法用戶無法訪問高于其權限相關網絡資源。
在實際認證過程中可采取如口令、密鑰、智能卡或指紋等方法來驗證主體的身份。在廣義的網絡普遍采取CA(CertificateAuthority)即證書授權的意思。在網絡中,所有客戶的證書都是由證書授權中心即CA中心分發并簽名,該證書內含公開密鑰,每一個客戶都擁有一個屬于自個的私密密鑰并對應于證書,同時公開密鑰加密信息必須用對應的私密密鑰來解密。數字簽名是公開密鑰加密技術的一類應用。
如今,隨著電力企業信息網絡的發展,在電力營銷、物質采購、客戶服務等領域,電力電子商務得到了迅速發展,并越來越成為電力企業信息網絡將來發展得趨勢。而網上交易的安全性是當前發展電子商務的關鍵,在網上電子交易中,數字證書就將成為參與網上交易活動的各方的“身份證”,每次交易時,都要通過數字證書對各方的身份進行驗證,因此研究身份認證技術對電力電子商務的安全就顯得很有意義了。
4.虛擬局域網網絡安全技術
擬局域網技術簡稱VLAN技術,VLAN 技術是將相關的 LAN 合理的分成幾個不同的區域,促使每一個 VLAN 都能夠滿足計算機的工作要求。由于LAN 的屬性決定其在邏輯上的物理劃分必須在不同的區域哈桑,在每一個工作站上都有特定的LAN網段,每一個VLAN中的信息都不能和其他的 VLAN 上的信息進行交換,這種技術能夠有效地控制信息的流動,并且有助于網絡控制的簡單化,從而提高網絡信息的安全性。
5.信息備份技術
電力系統的所有信息在進行傳輸之前,都應該進行備份,并且備份也要按等級進行,根據數據的重要程度,對信息進行分級備份,將這些備份信息進行統一管理,并且還應該定期的對備份的信息進行檢查,以確保其可用性和準確性,以此防止當電力系統信息出現故障的時候,因為數據丟失造成嚴重的損失。
結束語
對于電力行業來講,電力系統信息網絡安全占據著重要的地位,有各種各樣的因素會影響到電力系統信息網絡安全,所以加強信息網絡安全工作就顯得至關重要。不斷發展的計算機技術,為電力系統信息網絡安全提供了必要的技術保障和支撐,因此我們應該將各種技術充分利用起來,為電力網絡系統的安全運行營造一個安全的環境,確保電力的正常供應,為社會經濟的發展提供強有力的技術支撐。
參考文獻:
[1]馬進.加載隱私保護的網絡安全綜合管理關鍵技術研究[D].上海交通大學,2012.
[2]張彤.電力可信網絡體系及關鍵技術的研究[D].華北電力大學,2013.
[3]高瞻.網格環境下的校園網絡安全管理系統設計與實現[D].電子科技大學,2013.
篇7
一、影響網絡安全的因素
(1)網絡系統因素。由于網絡系統處于一個監管乏力的狀態,沒有相應的專業人員進行管理。通過一條網線或者無線連接,每個用戶都可以在互聯網上沒有約束的活動,所以個人信息或者企業信息可能在不經意間就暴露給別人,這樣就造成了信息的泄漏。另外網絡系統本身存在著許多漏洞,這些漏洞在被擁有相關技術的人員利用之后,可以對別人的信息以及網絡使用上造成一定的損害。(2)病毒、木馬以及黑客攻擊。通過病毒、木馬和黑客攻擊很容易使本就脆弱的安全系統受到毀滅性的打擊從而使更多的信息暴露在互聯網上,信息技術本身就是防御與攻擊并存,所以在信息技術的發展上不可能只發展防御技術,這樣就為黑客提供了便利條件[2]。(3)用戶原因。由于用戶本身缺乏網絡安全意識,對私人信息或者重要信息的保護不夠,或者對加密信息的泄漏造成別人輕易進入系統,對信息安全造成破壞。
二、常見網絡安全問題
(1)網絡物理層安全隱患。通過對網絡物理層實施電磁干擾、通訊線路破壞以及對物理設備進行監聽可以竊取網絡上傳播的信息。這里不僅可以針對傳輸線路,甚至還包括交換機、路由器以及網絡終端等[3]。(2)網絡層安全隱患。在對計算機進行安全配置過程中,可能由于疏忽造成安全策略等級不夠,或者網絡設備在啟用時安全策略設置等級過低都可能對網絡安全造成影響,埋下隱患。(3)操作系統安全隱患。操作系統是一個底層軟件系統,負責協調軟硬件的合理運行,但只要是軟件就會存在漏洞,這個漏洞是不可避免的,只是有沒有人發現而已。比如說近階段微軟宣布停止對windows XP系統的補丁更新,就意味著以后windows XP系統再被發現的漏洞都極有可能成為黑客攻擊的目標。(4)網絡數據安全隱患。在網絡數據傳輸過程中,有很多都是通過明文傳輸,這就增加了數據被竊取的風險。還有一部分簡單加密的數據同樣也只是起心理安慰作用罷了,在真正的黑客面前這樣的加密簡直是“紙糊的防御系統”。另外IP欺騙技術也不是什么復雜的技術,通過IP欺騙非常容易截取數據。
三、網絡安全管理技術
(1)策略模型。制定正確的策略模型是網絡安全管理系統最基本的步驟,這可以直接影響安全系統的實用性。通過安全策略可以描述安全模塊的結構和信息,并通過一定的方案實施,在信息傳遞過程中進行解析和后續安排,這就有效的方便了系統各個模塊的協調工作。(2)策略表示。策略表示與策略模型不同之處就是在策略表示中會對安全策略進行詳細描述,其中涵蓋的信息更加吩咐。這里可以采用的描述語言包括以下三種:RDL語言、SPL語言和Ponder語言。(3)策略機制。在設計與實現策略機制時進行相應的分析是重中之重,這里對目標一致性以及防止冗余有重要的作用,從而提高安全策略的實用性。同時可以解決策略沖突問題,一般包括形式沖突、應用沖突和服務沖突;采用的解決方法包括手動解除和靜態解除,兩種方法都是由系統進行判斷,但是區別在于后一種方法采用的是系統直接解除,不需要人工干預。還有一種特殊的解除方法是根據系統的優先級,設置安全策略的優先級為最高,如果發生與安全策略沖突的情況,直接解除當前情況,執行系統最高安全級。
四、總結
通過以上分析,網絡安全管理最基本的是用戶要有足夠的網絡安全意識,只有這樣才能保證不會由于基礎信息泄漏而產生網絡安全隱患。其次就是加強網絡安全管理系統的建設,通過技術與軟硬件相結合的方式增加服務器的處理能力,同時對相應的安全管理軟件和硬件正確的使用可以應對更多的攻擊形式,這樣才能有效管理網絡安全,為用戶提供高質量的安全服務。
參 考 文 獻
篇8
1計算機網絡安全現狀
隨著互聯網技術的不斷發展,信息數據資源被廣泛應用,在很多企業中大數據已經帶來了客觀的經濟價值,但是我們也可以看到安全威脅一直存在,并給用戶帶來了很大的損失,帳號竊取,核心資料泄露等安全威脅一直存在。網絡安全問題一直是企業需要應對和解決的頭等大事,在開放共享的互聯網環境下,用戶安全意識參差不齊,很多用戶安全意識薄弱,很容易受到網絡安全的攻擊和威脅,機密信息如帳號、密碼信息泄露,機密信息被篡改、系統被攻擊癱瘓,2013年是我國遭受網絡攻擊最平方很受損失最慘重一年,發生了多起重大的網絡安全事故,例如棱鏡門事件、路由器后門事件、APT攻擊、DDOS攻擊、全球范圍內的大規模信息泄露等等,這些安全事件的發生給我國經濟帶來了嚴重損失高達高達5000億美元,同時安群威脅還造成了嚴重的輿論影響,不利于社會穩定[1]。
2計算機網絡管理的主要內容
2.1計算機組網管理:計算機組網管理是這個網絡管理的基礎性工作,當計算機需要進行組網時,需要設計組網方式、網絡的承載能力、網絡功能的設計以及網絡地址的劃分等基礎性工作,當網絡建設方案敲定后,開始進行網絡的組網,計算機網絡組網首選是要核對網絡的組網用途、承載能力等,然后進行實施[2]。2.2網絡維護與安全管理:一旦網絡組網完成,下一步就是對網絡進行維護、監控和安全防范,其中安全防范是這個網絡生命周期中非常重要并且需要持續推進的工作。安全管理的內容非常廣泛,大到網絡安全的防火墻、病毒防范等,小到用戶賬號、密碼的申請與用戶行為日志的監控。總的來說,網絡安全主要問題表現在如下幾點:2.2.1企業內容人員不按規定操作,非法操作。隨著計算機技術的普及,一線人員對計算機知識有了一定程度的掌握,計算機操作也變得嫻熟。很多員工不遵守安全管理規定,存在僥幸心理,思想麻痹大意,同時企業對員工的安全教育不到位,考核問責不嚴厲,員工違規操作,導致了嚴重后果,付出了沉重代價。2.2.2外部人員的非法入侵。由于很多企業自身的計算機網絡的維護水平不夠,需要尋找網絡運營商等第三方廠家進行進行網絡維護,第三方廠家的維護人員由于自身安全意識薄弱,對網絡進行誤操作,導致網絡癱瘓,也存在第三方廠家的維護人員動機不存,竊取核心機密進行出賣,獲取非法收益。2.2.3電腦病毒、木馬的破環。在互聯互通的網絡世界里面,任何一臺計算機都存在被攻擊和破壞的可能,邪惡與正義一直在較量,出現了很多病毒,對計算機網絡系統進行了攻擊,帶來了很多威脅,產生了很大影響。2.2.4自然因素的損壞。存在一些不可抗拒的力量導致了計算機網絡系統的損壞,例如因火災、水災、地震等因素導致的計算機網絡設備的損壞,這些因素將導致計算機網絡設備的損壞、數據丟失等嚴重后果。
3計算機網絡安全防范措施
通過上述的歸納,網絡安全無時不在,嚴重威脅著人們的生產生活,網絡安全防范是企業健康運營的重要內容,一旦網絡受到威脅,將威脅計算機網絡的安全運行,嚴重的情況將導致整個網絡癱瘓,重要數據被竊取,導致無法估量的經濟損失,給企業的生產經營帶來嚴重后果。因此應該加強網絡安全防范,筆者認為應該在如下幾個方面開展網絡安全防范,提升網絡安全防范能力,確保計算機網絡持續健康運行[3]。3.1加強網絡內控管理體系,提升人員安全意識。很多網絡安全出現問題,都是由內部員工進行了非法操作進行的,很多企業的安全管理內控你健全,員工的安全生產意識薄弱,因此應該加強企業內部安全管理體系建設,形成網絡安全考核問責機制,對員工進行定期的安全培訓,增強企業員工的安全意識,形成問責、考核、獎懲并舉的安全機制,營造分清氣正的網絡安全運營環境。3.2加強外部企業如供應商的安全管理。對外部的訪問者進行流程化的網絡安全管理,對申請的帳號進行嚴格把關,形成安全管理考核機制,對操作進行日志管理,執行嚴格追責。3.3提升網絡硬件安全等級,當前的網絡安全威脅,需要加強安全防范,提高網絡安全防范登記,比如建立防火墻,防火墻是目前網絡安全防范體系中比較重要的安全設備,提升防火墻硬件的數據安全等級,從而提升網絡安全的登記,防火墻通過利用硬件和軟件技術結合來防范網絡安全攻擊。通過對不可信的安全行為進行鑒別和攔截,建立防火墻安全日志,同時對網絡進行內外隔離,通過建立級聯組網方式將內網和外網進行隔離,提升網絡的安全防范登記。通過防火墻技術實現數據包的過濾,同時可以對特定的網絡端口進行禁止訪問,防止非法的登入、連接與訪問。建立詳細的安全審計日志,對網絡安裝軟件進行監控,對不安全的軟件進行訪問攔截。3.4信息加密和對網絡進行限制訪問。通過采用鏈路加密、節點加密和端對端加密對網絡進行加密。通過鏈路加密技術對網絡網絡傳輸的數據進行加密,加密傳輸的數據報文,同時收到后進行解密,這樣就防止了數據被竊取,鏈路加密是目前非常常用的加密技術,但需要消耗一定的網絡性能,為了保障網絡安全,消耗一定的性能也是可以的。當傳輸的的信息需要經過多個節點時,通過節點加密技術對信息在每個節點傳輸時進行加密,保障信息數據中節點上以密文形勢呈現,提升了數據安全級別。對網絡進行限制訪問,能后有效的進行安全防范,在計算機網絡訪問中,有的是要訪問文件、有的是操作數據,按照文件、數據重要性和區域性對網絡用戶進行限制,分門別類的進行訪問控制,按照安全規則進行,提升網絡安全級別。3.5加強網絡病毒的防范。病毒是計算機網絡安全威脅中比較廣泛和嚴重的網絡威脅,一些簡單的網絡病毒可以通過殺毒軟件可以進行識別,但是很多比較復雜的病毒不容易被殺毒軟件識別,此時需要及時、頻繁的對網絡病毒庫進行更新,不斷擴大病毒庫,這樣就可以及時的識別新型病毒。網絡病毒的防范還需要用戶具有良好的操作習慣和很強的安全意識,通過良好的操作防范病毒攻擊是非常重要的也是可行的。3.6加強網絡安全人才隊伍建設。網絡安全需要人力支持,人才是關鍵,形成一直網絡技術過硬的人才隊伍是保障網絡安全的重要前提。國家需要在職業技術院校開展軟件安全專業,并進行扶持,網絡安全專業的人才目前來說非常欠缺,需要學校與社會培養相結合,將理論技術與實踐經驗相結合,培養過硬的網絡安全人才服務網絡安全防范陣地。3.7加強網絡設施備份,形成容災機制。少部分的網絡安全威脅來之于自然因素,例如火災、地震、磁盤損壞等,雖然這種網絡安全威脅發生的概率低,但一旦發生損失缺很嚴重,基本失去了恢復的可能,通過建立容災備份機制,特別是磁盤的備份如熱備、冷備等,對重要數據的物理設施進行備份,一旦發生了網絡安全威脅,如地震,斷電等情況發生,啟用備用機制,保障網絡在最低時間恢復,保障網絡正常、健康運行。
4結束語
網絡安全防范是一個永恒的話題,安全防范的內容復制、覆蓋面廣,需要我們攜手合作,不斷提升網絡安全防范的技術能力,突破技術瓶頸,研發更高級別的網絡安全設備,不僅僅如此還需要我們加強網絡安全教育,提升網絡安全防范意識,要從軟和硬兩個方面來進行網絡安全的防范,同時國家還要出臺網絡安全防范的制度標準,法律規范,將預防與懲戒落到實處,還有,需要我們加強合作與交流,不斷學習先進國家的安全管理理念與方式,,充實安全管理內容,加強安全管理人才隊伍建設,為安全防范提供有力的人力資源保障。
引用:
[1]吳巍.計算機網絡安全問題及有效防范措施研究[J].計算機光盤軟件與應用,2015:164-165.
篇9
在網絡計算機技術的發展背景下,對其進行維護與管理也成為了促進其持續發展的重要內容。網絡管理是計算機技術當中的一個重要組成部分,網絡管理水平的高低,直接影響著網絡運行的效率。一般網絡管理是指對網絡通信過程當中的服務以及信息處理過程當中所需要的各種活動進行一個監督、組織和控制,創造良好的計算機網絡技術運營環境。其主要目的就是保護計算機網絡系統中的硬件、軟件和數據資源,不因偶然或惡意的原因遭到破壞、更改、泄露,使網絡系統連續可靠性地正常運行,提供有序、正常的網絡服務。
二、計算機網絡技術存在的安全因素
(一)計算機軟件的固有缺陷
對于計算機網絡來說,各種軟件是支撐其多元化、多層次運行的重要基礎,由于軟件的開發方式、研究水平等因素的影響,容易造成計算機軟件在開發階段就存在漏洞,使得計算機網絡在正常運行的過程中,因為這些存在漏洞、缺陷而發生嚴重的故障。
(二)計算機網絡技術自身的特性
計算機網絡技術有著開放性以及共享性的特點,這就使得計算機網絡在使用的過程中,容易遭受網絡病毒的攻擊,給用戶造成損失。例如在今年我國出現的一種極為惡性的計算機病毒“勒索病毒”, 他是通過計算機網絡傳播病毒文件,一旦計算機被感染后,除非裝機,不然就只能通過給黑客發送比特幣來花錢解鎖,對計算機程序以及計算機系統造成極為嚴重的破壞。
(三)黑客攻擊
互聯網技術的深入與普及,造就了一些電腦高手,也造就了一些電腦黑客。黑客對計算機網絡安全的威脅極為顯著。他們的侵往往入網絡服務器,利用木馬程序等多種手段損壞與竊取用戶的信息與數據,給用戶帶來極大的損失。
三、企業網絡安全管理的措施
(一)設置科學的加密方式
企業的信息資源安全直接受到數據安全性能的影響,因此人們應該重點關注數據安全工作。其中的數據加密技術能夠在一定程度上?_保企業數據不被其他人隨意查看或者篡改,保護數據的安全。
(二)充分發揮防火墻的作用提升企業網絡安全管理水平
要想認真做好網絡安全工作,我們應該充分發揮防火墻的自身作用,通過分開企業的內部網和外部網,實現企業網絡安全管理水平的提升。防火墻在企業的內部網及外部網進行通信過程中起到了關鍵性的作用,能夠有效保護網絡邊界設備,還能減少外部網絡用戶利用非法手段進行內部網絡獲取信息的發生率。此外,防火墻還能夠對企業的內部或外部網絡站點進行阻擋或攻擊,限制IP的流量,還能提前設施訪問控制,把網絡安全風險降到最低;還能識別一些被授權的用戶,讓其順利進入企業的內部網絡,對于沒有授權的用戶就無法進入企業的內部網絡,非法入侵人員要想獲取企業資料就要突破防火墻,因此防火墻的存在意義重大。
(三)把企業網絡安全管理工作放在重要位置
篇10
一、電子商務中的主要網絡安全事件分析
歸納起來,對電子商務應用影響較多、發生率較高的互聯網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等,網頁篡改、網絡仿冒(Phishing),逐步成為影響電子商務應用與發展的主要威脅。
1.網頁篡改
網頁篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統本身不會產生直接的損失,但對電子商務等需要與用戶通過網站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業網站而言,網頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業形象與信譽造成嚴重損害。
2.網絡仿冒(Phishing)
網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等,隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來,隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及,網絡仿冒事件在我國層出不窮,諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用,特別是電子商務應用的主要威脅之一。
網絡仿冒者為了逃避相關組織和管理機構的打擊,充分利用互聯網的開放性,往往會將仿冒網站建立在其他國家,而又利用第三國的郵件服務器來發送欺詐郵件,這樣既便是仿冒網站被人舉報,但是關閉仿冒網站就比較麻煩,對網絡欺詐者的追查就更困難了,這是現在網絡仿冒犯罪的主要趨勢之一。
3.網絡蠕蟲
網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統,自我復制,并繼續向互聯網上的其他系統進行傳播。蠕蟲的不斷蛻變并在網絡上的傳播,可能導致網絡被阻塞的現象發生,從而致使網絡癱瘓,使得各種基于網絡的電子商務等應用系統失效。
4.拒絕服務攻擊(Dos)
拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。拒絕服務攻擊是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網進行的,加大了打擊犯罪的難度。
5.特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統中不為用戶所知的惡意程序,通常用于潛伏在計算機系統中來與外界聯接,并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得,并且該系統也會被外界所控制,也可能會被利用作為攻擊其他系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。
二、解決電子商務中網絡安全問題的對策研究
隨著網絡應用日益普及和更為復雜,網絡安全事件不斷出現,電子商務的安全問題日益突出,需要從國家相關法律建設的大環境到企業制定的電子商務網絡安全管理整體架構的具體措施,才能有效保護電子商務的正常應用與發展。
1.進一步完善法律與政策依據充分發揮應急響應組織的作用
我國目前對于互聯網的相關法律法規還較為欠缺,尤其是互聯網這樣一個開放和復雜的領域,相對于現實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發展的基于互聯網的各類網絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。根據互聯網的體系結構和網絡安全事件的特點,需要建立健全協調一致,快速反應的各級網絡應急體系。要制定有關管理規定,為網絡安全事件的有效處理提供法律和政策依據。
互聯網應急響應組織是響應并處理公共互聯網網絡與信息安全事件的組織,在我國,CNCERT/CC是國家級的互聯網應急響應組織,目前已經建立起了全國性的應急響應體系;同時,CNCERT/CC還是國際應急響應與安全小組論壇(FIRST,ForumofIncidentResponseandSecurityTeams)等國際機構的成員。應急響應組織通過發揮其技術優勢,利用其支撐單位,即國內主要網絡安全廠商的行業力量,為相關機構提供網絡安全的咨詢與技術服務,共同提高網絡安全水平,能有效減少各類的網絡事件的出現;通過聚集相關科研力量,研究相關技術手段,以及如何建立新的電子交易的信任體系,為電子商務等互聯網應用的普及和順利發展提供前瞻性的技術研究方面具有積極意義。
2.從網絡安全架構整體上保障電子商務的應用發展
網絡安全事件研究中看到,電子商務的網絡安全問題不是純粹的計算機安全問題,從企業的角度出發,應該建立整體的電子商務網絡安全架構,結合安全管理以及具體的安全保護、安全監控、事件響應和恢復等一套機制來保障電子商務的正常應用。
安全管理主要是通過嚴格科學的管理手段以達到保護企業網絡安全的目的。內容可包括安全管理制度的制定、實施和監督,安全策略的制定、實施、評估和修改,相關人員的安全意識的培訓、教育,日常安全管理的具體要求與落實等。
安全保護主要是指應用網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護主要是指靜態保護,通常是一些基本的防護,不具有實時性,如在防火墻的規則中實施一條安全策略,禁止所有外部網用戶到內部網Web服務器的連接請求,一旦這條規則生效,它就會持續有效,除非我們改變這條規則。這樣的保護能預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態保護。
安全監控和審計是實時保護的一種策略,它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時,黑客技術也在不斷的發展,網絡安全不是一成不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網絡安全的發展動向,以及網絡上發生的各種各樣的事情,以便及時發現新的攻擊,制定新的安全策略。可以這樣說,安全保護是基本,安全監控和審計是其有效的補充,兩者的有效結合,才能較好地滿足動態安全的需要。
事件響應與恢復主要針對發生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發生時,能及時做出響應,這需要建立一套切實有效、操作性強的響應機制,及時防止攻擊的進一步發展。響應是整個安全架構中的重要組成部分,因為網絡構筑沒有絕對的安全,安全事件的發生是不可能完全避免的,當安全事件發生的時候,應該有相應的機制快速反應,以便讓管理員及時了解攻擊情況,采取相應措施修改安全策略,盡量減少并彌補攻擊的損失,防止類似攻擊的再次發生。當安全事件發生后,對系統可能會造成不同程度的破壞,如網絡不能正常工作、系統數據被破壞等,這時,必須有一套機制能盡快恢復系統的正常應用,因為攻擊既然已經發生了,系統也遭到了破壞,這時只有讓系統以最快的速度運行起來才是最重要的,否則損失將更為嚴重。因此恢復在電子商務安全的整體架構中也是不可缺少的組成部分。
三、結論
Internet的快速發展,使電子商務逐漸進入人們的日常生活,而伴隨各類網絡安全事件的日益增加與發展,電子商務的安全問題也變得日益突出,建立一個安全、便捷的電子商務應用環境,解決好電子商務應用與發展的網絡安全問題必將對保障和促進電子商務的快速發展起到良好的推動作用。
參考文獻:
[1]CNCERT/CC.2005年上半年網絡安全工作報告
[2]李衛:計算機網絡安全與管理.北京:清華大學出版社,2000
篇11
(一)網絡系統中存在安全隱患
目前,現代企業網絡大多采用以廣播技術為基礎的快速以太網的類型,傳輸協議通常為TCP/IP協議,站點以CSMA/CD機制進行傳輸信息,網絡中各個節點之間的通信數據包,不僅能夠被這兩個節點所接受,同時又無法避免地被處在同一以太網上的任何一個節點的網卡截取。因此,只要能夠接入以太網上的任一節點進行偵聽,就可以捕獲在該以太網上的所有信息,對偵聽到信息加以分析,就能竊取到關鍵信息。這是企業網絡安全存在的普遍安全隱患。通常,大多數企業由于網絡建設經費的不足,沒有相應的網絡安全設備,對企業的網絡安全也沒有有效的安全措施和防范手段。
(二)缺少專業的網絡技術管理人員
企業大多都沒自己專業的網絡技術管理人員。企業對網絡的出口、網絡監控等都缺乏有效的技術管理,而且企業內部上網用戶的這也存在著極大的安全隱患。
(三)電子郵件的收發系統不完善,缺乏安全管理和監督的手段
企業收發電子郵件是網絡辦公的基礎活動,但是這些活動也是最容易感染病毒和垃圾的。而企業大多在公司內部網絡中沒有設置郵件過濾系統。對郵件的監督和管理都不完善,同時,這也不符合國家對安全郵件系統提出的要求。即使出現了侵害企業利益的事件也無法及時有效地解決。
(四)網絡病毒的肆虐。只要連通網絡便不可避免的會受到病毒的侵襲。一旦沾染病毒,就會造成企業的網絡性能急劇下降,還會造成很多審要數據的丟失,給企業帶來巨大的損失。
二、加強對企業網絡安全的管理
(一)建立健全企業關于絡安全的規章制度
只有建立了完善的規章制度,企業的各項工作才能得以順利開展。企業要針對網絡的安全責任和懲戒措施做出詳細的書面規定,并進行相關制度的學習工作,讓企業內部的員工都對網絡安全的規章制度有所了解。對違反制度的人員要進行嚴歷處罰,同時,企業還要建立并完善企業內部的安全保密制度。
(二)規范企業網絡管理員的行為
企業內部安全崗位的工作人員要經常進行輪換工作,在公司條件允許的情況下,可以每項上作指派兩到三入共同參與,形成制約機制。網絡管理員每天都要認真的查看日志,通過問志來清楚的發現有無外來人員進入公司網絡,以便做出應對策略。
(三)規范企業員工的上網行為
根據每個員工的上網習慣不同,很多員工會把在家里使用電腦的不良習慣帶到公司里來。這就要求企業要制定規范,規定員工的上網行為,如免費軟件、共享軟件等沒有充分安全保證的軟件盡量不要安裝,同時,還要培養企業員工的網絡安全意識,注意病毒的防范和查殺的問題,增強計算機保護方麗的知識。
(四)加強企業員工的網絡安全培訓
企業網絡安全的培訓大致可以包括理論培訓、產品培訓、業務培訓等。通過培訓可以任何兩有效解決企業的網絡安全問題,同時,還能減少企業進行網絡安全修護的費用。
三、企業網絡安全的維護措施
(一)使用防火墻技術。防火墻技術采用的核心思想是在相對不安全的網絡環境中建構一個相對安全的子網,也是目前國際上最流行、使用范圍最廣的一種網絡安全的技術。防火墻可以監控進出網絡的通信數據,讓允許訪問的計算機和數據進入內部網絡,將不允許進入計計算機的數據拒之門外,限制一般人員訪問內網及特殊站點,最大限度地阻止網絡中的黑客訪問企業內部網絡,防止他們更改、拷貝、毀壞重要信息。因此,防火墻可以有效阻擋外網的攻擊。目前,為了提高企業網絡的安全性,企業網絡中的防火墻設置一般遵循以下原則:依照企業的網絡安全策略及安全日標,設置有效的安全過濾規則,嚴格控制外網不必要的訪問;配置只允許在局域網內部使用的計算機的IP地址。供防火墻識別,以保證內網中的計算機之間能正確地迸行文件或打印機等資源的共享。
(二)數據加密技術。企業如果要通過外網傳送一些比較重要的機密文件和數據,則必須使用加密技術對文件和數據進行保護。加密技術和防火墻技術的配合使用,可以大幅度提高信息系統和數據的安全性,有效地做到防止文件和數據外漏的危險。
篇12
Campus Network Security Management
Wu Xiaohui
(Jiaxing Radio and TV University,Jiaxing 314001,China)
Abstract:As network technology development and human dependence on the network to enhance network security issues become more prominent.In particular,the campus network communication has been a threat to the security of the teachers and students work and learning,campus network security has become the campus network construction issues at stake.
Keywords:Campus network;Network security;LAN
一、引言
目前,網絡應用的焦點問題是網絡通訊安全問題。其主要表現在信息泄露、信息篡改、非法使用網絡資源、非法信息滲透、假冒等方面。在Internet上網絡系統既要開放,又要安全,以至于從技術方面講安全問題是整個互聯網技術里較為困難的問題。從Internet的角度看,對網絡的威脅主要來自于網絡硬件和軟件兩方面的不安全因素。一方面,電磁泄露、搭線竊聽、非法人侵、線路干擾、意外原因、病毒感染、信息截獲等。另一方面,操作系統本身的問題,各種應用服務存在安全問題。特別是近年來學校網絡安全問題日益嚴重,已經嚴重威脅到廣大師生的使用安全,因此,我們要加強校園網絡的安全管理。
二、校園網網絡結構簡介和主要威脅
校園網總體上分為校園內網和校園外網。校園內網主要包括教學局域網、圖書館局域網、辦公自動化局域網等校園外網主要指學校提供對外服務的服務器群、與CERNET的接入以及遠程移動辦公用戶的接入等。校園外網的服務器群構成了校園網的服務系統.一般包括DNS、WEB、FFP、PROXY以及MAIL服務等。外部網實現了校園網與CERNET及INTERNET的基礎接入,使學校教職工和學生能使用電子郵件和瀏覽器等應用方式.在教學、科研和管理工作中利用國內和國際網進行信息交流和共享。
校園網常見的風險威脅主要是校園網內外的各種病毒的威脅,外部用戶可能通過郵件以及文件傳輸等將病毒帶入校園內網。內部教職工以及學生可能由于使用盜版介質將病毒帶入校園內網;外來的系統對網絡及服務器發起DOS/DDOS攻擊,入侵等惡意破壞行為,有些計算機已經被攻破,用作黑客攻擊的工具;它的侵入在嚴重的情況下會使網絡系統癱瘓,重要數據無法訪問甚至丟失。其次,拒絕服務攻擊目前越來越普遍,不少開始針對重點高校的網站和服務器;它具有很強的破壞性,“電子郵件炸彈”、“垃圾郵件”等,就是一些典型的例子。用戶受到它的攻擊時,在很短的時間內收到大量的電子郵件,從而使用戶系統喪失功能,無法進行正常工作。最后,校園網內管理人員以及全體師生的安全意識不強、管理制度不健全,也給校園網帶來威脅。
三、網絡通訊安全的管理策略
(一)通過技術手段實現網絡安全
運用學校計算機網絡在技術上實現網絡系統的安全管理,確保網絡系統的安全、可靠地運行,如實行個人網訪問控制、網絡權限控制、網絡監測和鎖定控制、服務器的安全控制、防火墻和殺毒軟件結合進行安全控制等技術控制非法用戶對目錄、文件和其他網絡資源的訪問。校園網計算機網絡系統管理員對網絡系統進行網絡監控,網絡服務器應記錄用戶對網絡資源的訪問。對非法的網絡訪問,服務器應以文字、圖形或聲音等形式報警來提醒網絡管理員。如有非法黑客企圖攻擊、破壞網絡系統,網絡服務器應實施鎖定控制,自動記錄企圖攻擊網絡系統的次數,達到所設定的數值,該賬戶將被自動鎖定,確保網絡安全。
同時校園計算機中心應加強內部管理,建立事件的審計和跟蹤體系,提高整體信息安全意識。應由專人負責管理服務器或網絡設備,其他工作人員未經允許不得隨意更改配置;對服務器或網絡設備的操作應建立詳細的日志,減少內部工作人員的誤操作而引起的故障。對于學生,應加強網絡方面法律、法規的教育,提高學生的法律意識,防止出現破壞網絡安全的違法行為。
(二)建立一整套安全防護體系
1.防火墻。防火墻是設置在不同網絡之間的一系列軟硬件的組合,它在校園網與Internet網絡之間執行訪問控制策略,決定哪些內部站點允許外界訪問和允許訪問外界。從而保護內部網免受外部非法用戶的入侵。同時防火墻是預防黑客攻擊,病毒入侵的重要屏障。防火墻的建立提供了對網絡流量的可控過濾,以限制訪問特定的因特網端口號,而其余則被堵塞,這一點要求它必須是唯一的人口點。用來阻止未經認證的外部登錄。這就是防火墻與路由器是一個整體的原因。
2.端口控制機制。計算機服務器使用自動回呼設備、調制解調器對端口加以保護。并以加密的形式來識別節點的身份。外部用戶對校園網進行訪問時。端口對其進行身份探查,當確定其身份和法后才允許訪問校園網。
3.加密技術。在外部網絡的數據傳輸過程中,采用密碼技術對信息加密是最常用的安全保護手段。目前廣泛使用的有對稱算法和非對稱算法兩類加密算法,兩種方法結合使用。加上數字簽名、數字時間戳、數字水印及數字證書等技術,可以使通信安全得到保證。
4.封鎖系統安全漏洞。在發現新病毒或因系統安全漏洞威脅網絡安全時。應當及時提供各種補丁程序以便下載.許多操作系統和應用軟件也在不斷更新版本以修正錯誤或完善功能.對于校園網管理過程中,要及時下載和安裝各種補丁、升級程序,封鎖系統安全漏洞。這樣對保護網絡和信息系統的安全會起到很大作用,可以有效的防止一些“黑客”因為操作系統和各種應用軟件的設計漏洞對校園網資源進行非法訪問和有關操作。
(三)建立用戶管理制度
在保證學校教職工和廣大學生用戶合法權力的同時,限制非法用戶入侵,保證數據的安全,特別應制定和做好身份驗證和訪問授權限制。為了識別并證實用戶,系統可給合法用戶提供唯一的用戶標識符,提供一種驗證手段,來驗證登錄的用戶是不是真正的擁有該用戶標識符的合法用戶。也可通過口令、卡片密鑰、簽名或指紋來實現,通過身份驗證確保用戶機與服務器的相互身份。
總之,校園網絡安全是一個涉及多方面的系統工程,必須全面協調地運用各種防范技術手段,加強對人與物的管理,才能達到預期的目的,為學校建設多作貢獻。建立一個安全、穩定、高效的校園系統,是各大校園競相努力的目標。
參考文獻:
篇13
一、網絡安全問題
在實際應用過程中,遇到了不少網絡安全方面的問題。網絡安全是一個十分復雜的問題,它的劃分大體上可以分為內網和外網。如下表所示:
由上表可以看出,外部網的安全問題主要集中在入侵方面,主要的體現在:未授權的訪問,破壞數據的完整性,拒絕服務攻擊和利用網絡、網頁瀏覽和電子郵件夾帶傳播病毒。但是網絡安全不僅要防范外部網,同時更防范內部網。因為內部網安全措施對網絡安全的意義更大。據調查,在已知的網絡安全事件中,約70%的攻擊是來自內部網。內部網的安全問題主要體現在:物理層的安全,資源共享的訪問控制策略,網內病毒侵害,合法用戶非授權訪問,假冒合法用戶非法授權訪問和數據災難性破壞。
二、安全管理措施
綜合以上對于網絡安全問題的初步認識,有線中心采取如下的措施:
(一)針對與外網的一些安全問題
對于外網造成的安全問題,使用防火墻技術來實現二者的隔離和訪問控制。
防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制(允許、禁止、報警)。
防火墻可以監視、控制和更改在內部和外部網絡之間流動的網絡通信;用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,從而保護內部網絡操作環境。所以,安裝防火墻對于網絡安全來說具有很多優點:(1)集中的網絡安全;(2)可作為中心“扼制點”;(3)產生安全報警;(4)監視并記錄Internet的使用;(5)NAT的位置;(6)WWW和FTP服務器的理想位置。
但防火墻不可能完全防止有些新的攻擊或那些不經過防火墻的其它攻擊。為此,中心選用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一種基于主機的實時入侵檢測產品,一旦發現對主機的入侵,RealSecure可以中斷用戶進程和掛起用戶賬號來阻止進一步入侵,同時它還會發出警報、記錄事件等以及執行用戶自定義動作。RealSecureSystemAgent還具有偽裝功能,可以將服務器不開放的端口進行偽裝,進一步迷惑可能的入侵者,提高系統的防護時間。Re?鄄alSecureNetworkEngin是基于網絡的實時入侵檢測產品,在網絡中分析可疑的數據而不會影響數據在網絡上的傳輸。網絡入侵檢測RealSecureNetworkEngine在檢測到網絡入侵后,除了可以及時切斷攻擊行為之外,還可以動態地調整防火墻的防護策略,使得防火墻成為一個動態的、智能的防護體系。
通過部署入侵檢測系統,我們實現了以下功能:
對于WWW服務器,配置主頁的自動恢復功能,即如果WWW服務器被攻破、主頁被纂改,系統能夠自動識別并把它恢復至事先設定的頁面。
入侵檢測系統與防火墻進行“互動”,即當入侵檢測系統檢測到網絡攻擊后,通知防火墻,由防火墻對攻擊進行阻斷。
(二)針對網絡物理層的穩定
網絡物理層的穩定主要包括設備的電源保護,抗電磁干擾和防雷擊。
本中心采用二路供電的措施,并且在配電箱后面接上穩壓器和不間斷電源。所有的網絡設備都放在機箱中,所有的機箱都必須有接地的設計,在機房安裝的時候必須按照接地的規定做工程;對于供電設備,也必須做好接地的工作。這樣就可以防止靜電對設備的破壞,保證了網內硬件的安全。
(三)針對病毒感染的問題
病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用于降低或消除惡意代碼;廣告軟件和間諜軟件帶來的風險的相關技術。中心使用企業網絡版殺毒軟件,(例如:SymantecAntivirus等)并控制寫入服務器的客戶端,網管可以隨時升級并殺毒,保證寫入數據的安全性,服務器的安全性,以及在客戶端安裝由奇虎安全衛士之類來防止廣告軟件和間諜軟件。
(四)針對應用系統的安全
應用系統的安全主要面對的是服務器的安全,對于服務器來說,安全的配置是首要的。對于本中心來說主要需要2個方面的配置:服務器的操作系統(Windows2003)的安
全配置和數據庫(SQLServer2000)的安全配置。
1.操作系統(Windows2003)的安全配置
(1)系統升級、打操作系統補丁,尤其是IIS6.0補丁。
(2)禁止默認共享。
(3)打開管理工具-本地安全策略,在本地策略-安全選項中,開啟不顯示上次的登錄用戶名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帳號,并給guest加一個異常復雜的密碼。
(6)關閉不必要的端口。
(7)啟用WIN2003的自身帶的網絡防火墻,并進行端口的改變。
(8)打開審核策略,這個也非常重要,必須開啟。
2.數據庫(SQLServer2000)的安全配置
(1)安裝完SQLServer2000數據庫上微軟網站打最新的SP4補丁。
(2)使用安全的密碼策略
。設置復雜的sa密碼。
(3)在IPSec過濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQLServer。
(4)使用操作系統自己的IPSec可以實現IP數據包的安全性。
(五)管理員的工具
除了以上的一些安全措施以外,作為網絡管理員還要準備一些針對網絡監控的管理工具,通過這些工具來加強對網絡安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP協議的探測工具。
Ipconfig/winipcfg,查看和修改網絡中的TCP/IP協議的有關配置,
Netstat,利用該工具可以顯示有關統計信息和當前TCP/IP網絡連接的情況,用戶或網絡管理人員可以得到非常詳盡的統計結果。
SolarWindsEngineer''''sEditionToolset
另外本中心還采用SolarWindsEngineer''''sEditionToolset。它的用途十分廣泛,涵蓋了從簡單、變化的ping監控器及子網計算器(Subnetcalculators)到更為復雜的性能監控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介紹:
SolarWindsEngineer’sEdition是一套非常全面的網絡工具庫,包括了網絡恢復、錯誤監控、性能監控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition還增加了新的SwitchPortMapper工具,它可以在您的switch上自動執行Layer2和Layer3恢復。工程師版包含了SolarwindsMIB瀏覽器和網絡性能監控器(NetworkPerformanceMonitor),以及其他附加網絡管理工具。
SnifferPro能夠了解本機網絡的使用情況,它使用流量顯示和圖表繪制功能在眾多網管軟件中最為強大最為靈活;它能在于混雜模式下的監聽,也就是說它可以監聽到來自于其他計算機發往另外計算機的數據,當然很多混雜模式下的監聽是以一定的設置為基礎的,只有了解了對本機流量的監聽設置才能夠進行高級混雜模式監聽。
除了上面說的五個措施以外,還有不少其他的措施加強了安全問題的管理:
制訂相應的機房管理制度;
制訂相應的軟件管理制度;
制訂嚴格的操作管理規程;
