網絡安全保障措施范文

時間:2023-04-02 03:16:36

導語:如何才能寫好一篇網絡安全保障措施,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

篇1

關鍵詞:數字圖書館 網絡安全 保障措施

一、數字圖書館網絡信息安全的概念

數字圖書館網絡信息安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然因素和惡意原因而遭到破壞、更改、泄露,系統連續正常運行,網絡服務不中斷。網絡信息安全是一個非常復雜的問題,它不僅僅是技術方面的問題,而且還涉及到人的心理、社會環境以及法律等方面的內容。數字圖書館的網絡信息安全是一個系統概念,包括設備安全、自動化管理系統安全、各種數據安全、網絡通信安全、人員管理安全、環境安全等幾個方面。

數字圖書館網絡信息安全有下列三個目標:完整性,保證非授權操作不能修改、增刪數據;有效性,保證非授權操作不能破壞各種數據;保密性,保證非授權操作不能獲取受保護的信息資源。

二、影響數字圖書館網絡信息安全的因素

1、環境因素和意外事故

計算機網絡系統對外部環境條件有一定的要求。外部環境條件不符合有關標準會對數字圖書館的信息安全造成一些危害,包括數字圖書館網絡控制中心機房場地和工作站安置環境不合要求;機房設計不合理,建造不符合標準;電源質量差;溫度不適應;無抗靜電、抗磁場干擾;無防塵、防火、防水、防雷擊、防漏電、防盜竊的設施和措施。

2、管理因素

數字圖書館網絡系統是一項復雜的計算機網絡工程。若缺乏嚴格的、科學的管理,缺乏緊急情況下的應急措施,對其網絡信息系統的危害遠遠大于其它方面造成的危害。由于網絡安全管理人員和有關技術人員缺乏必要的專業安全知識;不能安全地配置和管理網絡;不能及時發現已經存在的和隨時可能出現的安全問題;對突發的安全事件不能做出積極、有序和有效的反應;圖書館的網絡系統沒有建立完善的安全管理制度,從而導致網絡安全體系和安全控制措施不能充分、有效地發揮效能;業務活動中存在安全疏漏,造成不必要的信息泄露,給攻擊者造成可乘之機。

3、計算機網絡病毒

由于計算機軟件的脆弱性與互聯網的開放性,我們將與病毒。隨著計算機技術、網絡技術的發展,網絡病毒不斷出現了以下新特點:主動通過網絡和郵件系統傳播、傳播速度快、危害大、變種多、難于控制、難于根治且容易引起多種疫情等特點。據粗略統計,全世界已發現的計算機病毒有上萬種,并且正以平均每月300-500種的速度瘋狂增長。

4、黑客的攻擊

“黑客”(Hacker)出自英文Hack,是計算機網絡系統搗亂分子的代名詞。他們攻擊計算機網絡系統的方法很多,他們通常使用猜測口令、破譯密碼、WWW欺騙、放置特洛伊木馬程序、利用系統缺陷和通過電子郵件引誘等方法攻擊網絡系統。

5、版權保護問題

文獻信息資源的數字化為讀者檢索利用信息提供了極大的便利,使得數據的交換和傳輸變成了一個相對簡單且快捷的過程。讀者借助于現代網絡可以將數字化信息傳輸到世界各地,進行各種信息交流和電子商務活動,但隨之而來卻出現了另一個問題―數字版權問題。有些人或團體在未經著作權人的許可非法使用、傳播有版權的作品,所以數字圖書館建設的過程中網絡信息安全包括版權安全。

三、數字圖書館網絡安全的保障措施

建立數字圖書館網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄露等,從而為各類用戶提供安全可靠的網絡資源,更好地發揮網絡的優勢,使館藏資源可以不受時間、空間的限制,圖書館建設才能真正朝著數字化的方向邁進。為確保網絡安全,可從網絡層、系統層和應用層等3個方面著手采取防護措施。

1、網絡層的安全防護

網絡層的安全保護首先是對網關的防護,通過設置邊界防火墻達到訪問控制、狀態包檢測、集中式管理、網關入侵檢測和報警、網絡地址轉化(NAT)、流量審核日志等目的。其次是對內網網絡層的防護。內網網絡層防護由網絡入侵監測系統和內網防火墻來共同完成。在檢測到入侵行為或異常行為后,網絡入侵監測系統的控制臺就會實時顯示,并根據預先定義的事件響應規則報警,同時將報警信息寫入日志,以備審計核查。第三是對主機的防護。主機防護由主機防火墻和主機入侵檢測產品完成。安裝在被保護主機的操作系統上,并嵌入到操作系統的核心層。

2、系統層的安全防護

要使用漏洞掃描技術,定期掃描操作系統和數據庫系統的安全漏洞與錯誤配置,盡早采取補救措施,避免各種損失。同時應加強口令的使用,及時給系統打補丁。還要增強訪問控制管理,包括對文件的訪問控制,提供讀、寫、執行權限以及建立、搜索、刪除、更改和控制等權限;對計算機進程提供安全保護,防止非法用戶啟動或制止關鍵進程;控制對網絡和端口的訪問。最后,應注意對病毒的防范和提供對重要的數據庫服務器和Web服務器的專門保護。

3、應用層的安全保護

應用層的安全保護是指安全管理。加強對用戶的安全管理十分重要,應制定完善的安全管理體制、構建安全管理平臺、增強用戶的安全防范意識等,提高全體工作人員的網絡安全意識。

數字圖書館網絡安全工作是圖書館不容忽視的重要工作。它是目前乃至今后圖書館各項工作的基礎,貫穿數字圖書館發展的始終。網絡是一把雙刃劍,它在給我們的工作和生活帶來了便利的同時,也向我們提出了嚴峻的挑戰,我們不能因噎廢食,而應充分發揮我們的主觀能動性,在利用網絡的過程中積極探索限制其發展的方法。網絡安全是圖書館的重點工作,必須強化數字化圖書館網絡安全保障體系,切實做好網上數字圖書館的安全管理工作。一方面確保系統自身的安全,即數據安全、系統運行安全和運行環境安全;另一方面要防止非法用戶的非法使用和合法用戶的越權使用而造成對數據的竊取、篡改和破壞或造成網絡系統的癱瘓。制定和實施圖書館網絡安全保障計劃是當務之急,構建牢不可破的網絡安全保障系統,是時代賦予我們的責任。

參考文獻:

篇2

關鍵詞:密碼;安全策略;后門;備份;補丁

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2013) 02-0077-01

在網絡管理過程中,盡管安全管理員盡了最大努力,仍然會有許多常見的網絡安全錯誤發生。有一個列表列出了排名前十位的在網絡中經常出現的安全錯誤。有一些是配置錯誤,而其他都是程序方法方面的錯誤。這個列表決不是惟一的,卻是一個對網絡安全級別進行快速評估的好方法。下面談談排名前十位在網絡中經常出現的安全錯誤。

一、脆弱的密碼

網絡環境中發現排名第一的錯誤是脆弱的密碼。脆弱密碼產生的原因是密碼策略過于嚴格或者沒有密碼策略。密碼策略已經預先制定好,但沒有實施,也沒發揮作用。此外,也包括沒有更改的默認密碼。網絡設備的所有默認賬號,在可能的情況下,應該改名,默認密碼應該更改。如果賬號不再需要了,應該刪除或者禁用服務。

比默認密碼更為嚴重的錯誤是系統沒有密碼保護。如果設備不需要密碼或者其他形式的安全密鑰來登錄的話,它不應該成為企業網絡的一部分。

二、未創建安全策略

公司的最大錯誤之一是未創建一個牢固、有效和實際可行的安全策略。用戶和管理員除非在得到通知的情況下,否則都不愿意去了解如何處理安全問題。

安全策略應該很好地用文檔說明,要考慮到不僅是安全需要,而且也是業務需要,以及也是網絡用戶的需要。如果策略過于嚴格,它妨礙了用戶有效地完成工作;用戶就會開始找尋其他方法繞過這一策略,此時安全策略也就不起作用了。

效率低下的安全策略也無法檢查整個網絡并且可能留下被攻擊者輕易利用的更大漏洞。設計安全策略時要涉及到系統管理員和所有部門的管理人員,使他們在策略更新時得到通知。使用清晰和易于理解的語言通知用戶關于安全策略的內容,并給他們解釋安全限制的必要性。安全策略的溝通方式越有效,網絡用戶就越可能支持它。

三、非安全方式訪問設備

網絡上使用的許多設備允許管理員通過Telnet、FTP和其他不加密的方式進行訪問。這是產品供應商的錯誤,不應該在企業網絡中長期存在。

四、過分依賴防火墻

防火墻很優秀。它能夠為網絡提供許多保護,極大增強網絡安全。然而,研究員應該是保障網絡安全的惟一途徑。通常情況下,系統管理員依賴防火墻來完全保護網絡,但是防火墻要做到這些也不容易。使用防火墻并結合其他領域的嚴格安全實踐可以為網絡提供多個層面的安全性和更好的保護。

在防火墻規則集得不到正確管理的情況下,過分依賴防火墻會導致特別嚴重的災難性后果。通常在開始時要對防火墻進行非常嚴格的配置,然后隨著需要的增加,擴充規則集。

五、后門訪問

管理員通常會創建第二個賬戶,增加第二個網絡接口或者尋找其他途徑為自己訪問服務器或者網絡提供一種備份方式。只要這種方式已經正確地用文檔說明,同時采用了正確的安全預防措施,這本身并沒有什么錯誤。

多數情況下,這些訪問方式既沒有相關文檔說明,也沒有進行正確的安全漏洞測試。創建這些訪問方式只是為了方便,但是這可能會在網絡內部形成很大的安全漏洞。

六、備份

備份本身并沒有錯,但是許多管理員沒有采取正確的安全預警措施,也沒有備份正確的信息資料。特別是對網絡設備更是如此。路由器和交換機在初次部署時的配置信息或者更改配置時都沒有備份。防火墻配置也常常沒有備份。規則集更改時也不實行備份。

每天都要對服務器和其他對網絡基礎設施等非常重要的機器進行備份。路由器、防火墻和交換機的配置在每次更改后都要進行備份。在動態網絡中,網絡設備經常變動,應該與服務器一樣每天都進行備份。

七、不更新防病毒軟件

防病毒定義必須經常更新。病毒定義至少應該每周更新,如果是病毒的高發期,則需要提高更新頻率。這可能看起來很極端,但是要記住,Melissa病毒從開始到傳播到三大洲用了不到24小時。

考慮在網絡中運行來自兩個不同產品供應商的防病毒軟件,以此作為附加的安全保護層。一個產品供應商的產品應該側重于郵件和組件服務器,在這些設備上進行病毒掃描是非常重要的,要防止病毒文件進入系統或通過網絡傳播。第二個開發商的產品應該用于工作站,捕捉訪問層上引入的任何病毒,也可能捕獲服務器上的軟件漏殺的病毒。

八、未持續實施安全策略

安全策略實現以后,必須堅持一貫地執行。已經制定的安全策略,系統管理員、管理人員和其他網絡用戶應該遵守和維護。如果用戶違反了安全策略。應該采取恰當的行動,人力資源部門應該主動堅持執行處罰措施,如果網絡用戶沒有認真對待安全策略,這些安全策略將不可能得到實施,會在很大程度上使網絡安全措施失去作用。

在公司之間存在一個趨勢,對網絡安全問題熱情很高,安全事故發生以后,都能下決心實施嚴格的安全策略。

九、未及時更新系統

系統管理員會很繁忙,他們總是看起來有堆積如山的工作要做。總是感覺時間不夠用,一些事情不得不拖延。軟件補丁是此類事情的一個主要例子。由于在使用補丁之前必須完成一些測試工作,所以經常被拖延。

這種思維方式在安全敏感的組織當中是不允許存在的。補丁程序,特別是潛在影響安全的補丁,應該盡可能快地測試和安裝。安全漏洞公開以后,會有很多攻擊者尋找某些系統以利用這個漏洞。如果組織沒有給系統應用補丁程序,那么可能成為目標。

每天應該預留出一些時間用于查找網絡中網絡設備新的可用安全補丁。將所有潛在的安全漏洞匯編成列表同時按重要性劃分等級。創建了這樣的列表以后,應該有人員每星期抽出一天來測試這些補丁程序,這樣他們就可以應用到需要更新的系統中。

當然,如果補丁程序被認為對良好的網絡安全非常重要,那它應該比其他的日常工作有更高的優先級,并馬上進行測試和安裝。

十、不能允許不安全的遠程訪問和管理軟件

黑客侵入網站最常用的手段之一就是使用遠程訪問和管理軟件包,比如PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。通常,這些應用軟件都缺乏最基本的保障措施

篇3

關鍵詞:安全;電子政務外網平臺;電子政務外網云平臺;保障體系;傳統架構;云計算

中圖分類號:TP393.08 文獻標識碼:A 文章編號:2095-1302(2016)11-0-03

0 引 言

隨著電子政務外網的發展,各省市電子政務外網平臺的建設均已成熟,多數省市電子政務外網平臺建設之初采用的是物理機傳統架構部署方式。隨著信息技術的發展,云計算技術應運而生,電子政務云平臺的建設風生水起。然而無論是傳統架構還是在云計算環境下,電子政務外網平臺面臨的風險越來越多,本文就這兩種架構下電子政務外網平臺的安全如何建設進行分析,提出相應的解決方案。

1 建設方案

電子政務外網平臺的安全建設應根據業務應用特點及平臺架構層特性,應用入侵檢測、入侵防御、防病毒網關、數據加密、身份認證、安全存儲等安全技術,構建面向應用的縱深安全防御體系。電子政務外網平臺安全建設可從分析確定定級對象及安全等級、構建安全保障體系、明確安全邊界、安全技術保障、安全運維保障、安全制度保障、云計算環境下電子政務外網平臺安全保障幾方面考慮。

1.1 分析確定定級對象及安全等級

信息系統安全等級共分為五級,根據“中華人民共和國國家質量監督檢驗檢疫總局 中國國家標準化管理委員會”的《信息安全技術 信息系統安全等級保護定級指南(GB/T 22240-2008)》,結合國家相關行業標準規范,分析確定定級對象及安全等級。本文以構建信息系統安全等級第三級標準安全建設進行探討。

1.2 構建安全保障體系

電子政務外網平臺安全保障可從安全技術保障、安全運維保障、安全制度保障三個方面著手考慮,根據“中華人民共和國國家質量監督檢驗檢疫總局 中國國家標準化管理委員會”的《信息安全技術 信息系統安全等級保護定級基本要求(GB/T 22239-2008)》進行建設。物理機傳統架構下的電子政務外網平臺安全保障體系架構如圖1所示。

1.3 明確安全邊界

1.3.1 安全邊界劃分原則

安全邊界劃分原則[1]如下所示:

(1)以保障電子政務外網平臺信息系統的業務、管理、控制數據處理活動、數據流的安全為根本出發點,保障平臺安全;

(2)每個安全域的信息資產價值相近,具有相同或相近的安全等級、安全環境、安全策略等;

(3)根據“信息安全等?!币?,網絡規劃時避免將重要網段部署在網絡邊界處且直接連接外部信息系統,重要網段與其他網段之間采取可靠的技術隔離手段;

(4)根據《國家電子政務外網跨網數據安全交換技術要求與實施指南》,部署數據安全交換隔離系統,保障數據交換安全;

(5)對接入邊界進行安全防護。

1.3.2 安全邊界劃分

電子政務外網平臺可劃分為DMZ區、內部數據中心、互聯網出口區、安全及運維管理區、邊界接入區五大區域。電子政務外網安全邊界劃分圖如圖2所示。

(1)DMZ區

DMZ區部署面向互聯網的業務系統,包括門戶網站、郵件服務等,應根據實際需求部署相應的安全策略。

(2)內部數據中心

內部數據中心區部署協同辦公等內部應用系統,可根據實際需求分為多個邏輯區域,如辦公業務區、測試區等,應根據實際需求部署相應安全策略。

(3)互聯網出口區

互聯網出口區為電子政務外網平臺互聯網接入邊界,與運營商網絡直連。該區域直接面向互聯網出口區域,易被不法分子利用網絡存在的漏洞和安全缺陷對系統硬件、軟件進行攻擊,可在該區部署相應的防火墻策略,并結合入侵防御、安全審計等技術提供立體的、全面的、有效的安全防護,允許合法用戶通過互聯網訪問電子政務外網。

(4)安全及運維管理區

提供安全管理運維服務,保障電子政務外網平臺的安全。提供統一網絡管控運維服務,保障整網設備及業務系統信息正常運行。

(5)邊界接入區

根據國家相關規范,對專網、企事業接入單位或其它系統接入電子政務外網時,應在訪問邊界部署防火墻、入侵防御系統,與“政務云”實現物理邏輯隔離,進行安全防護。

1.4 安全技術保障

采用傳統架構的電子政務外網平臺技術安全保障可從物理安全、網絡安全、主機安全、應用安全、數據安全五個方面進行考慮,可通過部署相應產品或配置服務進行安全保障。

1.4.1 物理安全

物理安全主要涉及環境安全(防火、防水、防雷擊等)設備和介質的防盜竊防破壞等。具體包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等方面。該部分主要體現為機房及弱電的建設標準、規范,技術環節應符合相關等級保護要求。

1.4.2 網絡安全

網絡安全主要包括網絡結構、網絡邊界以及網絡設備自身安全等,具體包括結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護七個方面,關鍵安全技術保障措施如下所示:

(1)劃分安全域,根據各安全域安全建設需求采用相應的安全策略。

(2)通過合理部署IPS、防火墻對網絡進行邊界隔離和訪問控制,并實現對網絡攻擊的實時監測,即時中斷、調整或隔離一些不正?;蚓哂袀π缘木W絡行為。

(3)部署防DDoS攻擊設備,及時發現背景流量中各種類型的攻擊流量,針對攻擊類型迅速對攻擊流量進行攔截,保證正常流量通過。

(4)可在互聯網出口處部署鏈路負載均衡設備,加強網絡數據處理能力、提高網絡的靈活性和可用性。

(5)采用上網行為管理、流量控制等設備,對網絡流量進行實時監控管理,實現員工對終端計算機的管理和控制,規范員工上網行為,提高工作效率,實現流量控制和帶寬管理,優化網絡。

(6)對關鍵設備采用冗余設計,并在重要網段配置ACL策略以保障帶寬優先級。

(7)采用安全審計技術,按照一定的安全策略,利用記錄、系統活動和用戶活動等信息,檢查、審查和檢驗操作事件的環境及活動,從而發現系統漏洞、入侵行為或改善系統性能。

1.4.3 主機、應用安全

主機安全主要包括訪問控制、安全審計、剩余信息保護、惡意代碼防護等幾個方面。應用安全主要包括身份鑒別、訪問控制、安全審計、抗抵賴性等幾方面,關鍵安全技術保障措施如下所示:

(1)惡意代碼可直接利用操作系統或應用程序的漏洞進行傳播,可部署惡意代碼監測、病毒防護系統及漏洞掃描等系統,通過主動防御可有效阻止病毒的傳播,及時發現網絡、主機、應用及數據庫漏洞并修復,保障電子政務外網平臺安全。

(2)利用身份認證技術及訪問控制策略等技術保障主機應用安全,不允許非預期客戶訪問。

(3)運用審計技術保障主機應用安全,實時收集和監控信息系統狀態、安全事件、網絡活動,以便進行集中報警、記錄、分析、處理。

(4)采用應用負載均衡技術、操作系統用戶登錄等技術實現資源的優化控制。

(5)可部署Web應用防火墻、網頁防篡改等系統,做到事前主動防御,智能分析、屏蔽或阻斷對目錄中的網頁、電子文檔、圖片、數據庫等類型文件的非法篡改和破壞,保障系統業務的正常運營,全方位保護Web應用安全。

1.4.4 數據安全

數據安全主要包括數據的保密性、完整性及備份和恢復,關鍵安全技術保障措施如下所示:

(1)可對不同類型業務數據進行物理上或邏輯上隔離,并建設數據交換與隔離系統以保障不同安全等級的網絡間的數據交換安全。

(2)采用雙因素認證進行數據訪問控制,不允許非預期客戶訪問,對違規操作實時審計報警。

(3)采用VPN、數據加密、消息數據簽名、摘要等技術對數據傳輸進行加密,防止越權訪問機密信息或惡意篡改。

(4)采用數據庫冗余部署,防范數據丟失風險,為業務系統穩定運行提供保障,可考慮建設同城或異地容災。

(5)部署數據庫審計設備可在不影響被保護數據庫性能的情況下,對數據庫的操作實現跟蹤記錄、定位,實現數據庫的在線監控,為數據庫系統的安全運行提供了有力保障。

1.5 安全運維保障

安全運維保障可通過安全管理平臺,建立與安全工作相配套的集中管理手段,提供統一展現、統一告警、統一運維流程處理等服務,可使管理人員快速準確的掌握網絡整體運行狀況,整體反映電子政務外網平臺安全問題,體現安全投資的價值,提高安全運維管理水平。安全運維管理平臺需考慮與安全各專項系統、網管系統和運管系統之間以及上下級系統之間的接口。

1.6 安全制度保障

面對形形的安全解決方案,“三分技術、七分管理”。若僅有安全技術防護,而無嚴格的安全管理相配合,則難以保障網絡系統的運行安全。系統必須有嚴密的安全管理體制來保證系統安全。安全制度保障可從安全管理組織、安全管理制度、安全管理手段等方面考慮,建立完善的應急體制。

1.7 云計算環境下電子政務外網平臺的安全保障

云技術是基于云計算商業模式應用的網絡技術、信息技術、整合技術、管理平臺技術、應用技術等的總稱,可以組成資源池,按需所用,靈活便利。隨著時代的發展,云計算技術已變成信息系統主流基礎架構支撐。由于云計算平臺重要支撐技術是采用虛擬化實現資源的邏輯抽象和統一表示,因此在云計算環境下進行電子政務外網云平臺安全保障體系建設,僅僅采用傳統的安全技術是不夠的,除滿足上述物理安全、網絡安全、主機安全、應用安全、數據安全技術保障,運維安全保障,安全制度保障需求之外,還應考慮虛擬化帶來的新的安全風險。云計算環境下電子政務外網云平臺安全保障體系如圖3所示。

1.8 虛擬化安全

當前,云計算虛擬化安全技術還不成熟,對虛擬化的安全防護和保障技術測評則成為云環境等級保護的一大難題,主要涉及的安全包括虛擬機逃逸防范、虛擬機通信風險、虛擬機管理平臺安全等方面??刹扇∪缦掳踩U洗胧2]:

(1)將可信計算技術與虛擬化技術相結合,構建可信的虛擬化平臺,形成完整的信任鏈;

(2)可建設分級訪問控制機制,根據分層分級原則制定訪問控制策略,實現對平臺中所有虛擬機的監控管理,為數據的安全使用和訪問建立一道屏障;

(3)可通過虛擬防火墻、虛擬IPS、虛擬防病毒軟件或虛擬安全網關等技術實現虛擬機間的安全隔離。

2 SDS安全保障技術簡介

軟件定義安全(Software Defined Security,SDS)是從軟件定義網絡(Software Defined Network,SDN)延伸而來,將安全資源進行池化,通過軟件進行統一調度,以完成相應的安全功能,實現靈活的安全防護。簡單來說,傳統的安全設備是單一防護軟件架構在一臺硬件設備之上,通常串接或旁掛于網絡中,不僅將網絡結構復雜化,對不同廠家的安全設備進行統一管理的復雜度也較高,需單獨的物理安裝空間。而SDS可以將其看作一個軟件,靈活調配安全設備資源,實現靈活的網絡安全防護框架,方便調整。

3 結 語

在大數據時代下,SDS是順應時展趨勢、簡化安全管理的訴求,但由于SDS應用尚未完全成熟,仍需經過實踐的檢驗。

參考文獻

篇4

目前,我國網絡安全勢態嚴峻。據工信部日前透露,1月4日至10日,我國境內被篡改的政府網站數量為178個,與前一周相比大幅增長409%。此消息的依據來自于國家互聯網應急中心的監測結果。

緊接著,全球最大的中文搜索引擎百度也遭遇攻擊,從而導致用戶不能正常訪問。眾多網站最近頻遭網絡攻擊的消息,不禁引起業界及廣大網民的深刻反思:“我們的互聯網真的安全嗎?”

據中國互聯網絡信息中心的調查報告,2009年我國網民規模達到3.84億人,普及率達28.9%,網民規模較2008年底增長8600萬人,年增長率為28.9%。中國互聯網呈現出前所未有的發展與繁榮。

然而,在高速發展的背后,我們不能忽視的是互聯網安全存在的極大漏洞,期盼互聯網增長的不僅有渴望信息的網民,也有心存不善的黑客,不僅有滾滾而來的財富,也有讓人猝不及防的損失。此次發生的政府網站篡改事件、百度被攻擊事件已經給我們敲響了警鐘:“重視互聯網安全刻不容緩!”

顯然,互聯網以其網絡的開放性、技術的滲透性、信息傳播的交互性而廣泛滲透到各個領域,有力地促進了經濟社會的發展。但同時,網絡信息安全問題日益突出,如不及時采取積極有效的應對措施,必將影響我國信息化的深入持續發展,對我國經濟社會的健康發展帶來不利影響。進一步加強網絡安全工作,創建一個健康、和諧的網絡環境,需要我們深入研究,落實措施。

二、關于互聯網安全的幾點建議

第一,要深刻認識網絡安全工作的重要性和緊迫性。

黨的十七大指出,要大力推進信息化與工業化的融合。推進信息化與工業化融合發展,對網絡安全必須有新的要求。信息化發展越深入,經濟社會對網絡的應用性越強,保證網絡安全就顯得越重要,要求也更高。因此,政府各級主管部門要從戰略高度認識網絡安全的重要性、緊迫性,始終堅持一手抓發展,一手抓管理。在加強互聯網發展,深入推動信息化進程的同時,采取有效措施做好網絡安全各項工作,著力構建一個技術先進、管理高效、安全可靠的網絡信息安全保障體系。

第二,要進一步完善網絡應急處理協調機制。

網絡安全是一項跨部門、跨行業的系統工程,涉及政府部門、企業應用部門、行業組織、科研院校等方方面面,各方面要秉承共建共享的理念,建立起運轉靈活、反應快速的協調機制,形成合力有效應對各類網絡安全問題。特別是,移動互聯網安全防護體系建設包含網絡防護、重要業務系統防護、基礎設施安全防護等多個層面,包含外部威脅和內部管控、第三方管理等多個方位的安全需求,因此應全面考慮不同層面、多個方位的立體防護策略。

第三,要著力加強網絡安全隊伍建設和技術研究。

要牢固樹立人才第一觀念,為加強網絡管理提供堅實的人才保障和智力支持。要發揮科研院所和高校的優勢,積極支持網絡安全學科專業和培訓機構的建設,努力培養一支管理能力強、業務水平高、技術素質過硬的復合型隊伍。不斷加強創新建設,是有效提升網絡安全水平的基礎,要加強相關技術,特別是關鍵核心技術的攻關力度,積極研究制訂和推動出臺有關扶持政策,有效應對網絡安全面臨的各種挑戰。

第四,要進一步加強網絡安全國際交流與合作。

在立足我國國情,按照政府主導、多方參與、民主決策、透明高效的互聯網管理原則的基礎上,不斷增強應急協調能力,進一步加強網絡安全領域的國際交流與合作,推動形成公平合理的國際互聯網治理新格局,共同營造和維護良好的網絡環境。

第五,要加強網絡和信息安全戰略與規劃的研究,針對網絡信息安全的薄弱環節,不斷完善有關規章制度。

如在當前的市場準入中,要求運營商必須承諾信息安全保障措施和信息安全責任,并監督其自覺履行相關義務。還要充分發揮行業自律及社會監督作用,利用行業自律組織完善行業規范、制定行業章程、推廣安全技術、倡導網絡文明。

第六,協調各方職能,建立網絡安全管理的長效機制。

篇5

關鍵詞:電子政務外網 安全保障體系 計算區域 網絡基礎設施 計算區域邊界 安全域 等級保護 風險評估

一、前言

國家電子政務外網(以下簡稱政務外網)是中辦發[2002]17號文件明確規定要建設的政務網絡平臺。政務外網是政府的業務專網,主要為黨委、人大、政府、政協、法院和檢察院各級政務部門服務,運行各級政務部門面向社會的專業業務和不需要在內網上運行的業務。

為保證電子政務外網的安全運行,中辦發[2003]27號文和[2006]18號文明確提出,電子政務外網與政務內網之間采用物理隔離,政務外網與互聯網之間采用邏輯隔離。政務外網的建設要按照信息安全等級保護的有關要求,分別采用相應的保護措施,通過建立統一的密碼和密鑰管理體系、網絡信任體系和安全管理體系,分級、分層、分域保障信息安全。

二、政務外網(一期工程)安全需求

⒈政務外網安全防護對象

政務外網的基礎網絡環境如圖1所示。

依據政務外網的網絡環境,政務外網的安全防護對象分為如下三類:計算區域、網絡基礎設施和計算區域邊界。

⑴計算區域

政務外網所涉及的計算環境有:中央網絡管理中心計算區域、各省市節點的二級網絡管理中心計算區域、中央城域網接入單位計算區域以及外網骨干網接入的各省市節點的計算區域。

在各計算區域內主要防護如下對象:

①數據資源,主要包括各應用系統管理的數據資源;

②軟件資源,包括系統軟件、網絡軟件、支撐軟件和應用系統等;

③中心計算機;

④存儲介質,包括數據備份磁帶、軟盤、可讀寫光盤等;

⑤用戶,包括普通操作員、業務管理員、高級業務管理員以及系統(數據庫)管理員和網絡管理員等。

⑵網絡基礎設施

政務外網所要防護的網絡基礎設施主要有:各計算區域的網絡基礎設施,以及實現各計算區域相聯的網絡基礎設施。

⑶計算區域邊界

由于計算區域與其他外部實體相聯而產生區域邊界,區域邊界與計算區域直接相關,與計算區域相聯的外部實體的性質直接決定區域邊界的保護的策略。

政務外網中的計算區域邊界主要有:與中央城域網相聯的各計算區域因與中央城域網相聯而產生的區域邊界以及這些區域與互聯網等外部實體相聯而產生的區域邊界、各省市節點計算區域因與政務外網骨干網相聯而產生的區域邊界以及這些區域與互聯網等外部實體相聯而產生的區域邊界。

⒉安全需求

根據政務外網的特點,政務外網的安全需求體現在如下幾方面:

①建設政務外網安全信任體系,確保政務外網資源不能被非法用戶訪問;

②建設政務外網數據交換中心,確保不同安全域之間的安全數據交換;

③確保政務外網的安全保障體系具有高可靠性,并具有可審計、可監控性;

④實現政務外網統一的安全管理體系;

⑤確保政務外網與互聯網的安全互連。

三、政務外網安全保障體系框架

政務外網要為政務部門的業務系統提供網絡、信息、安全等支撐服務,為社會公眾提供政務信息服務。從政務外網的實際出發,政務外網的安全保障體系設計應重點針對政務外網的如下特點:

①政務外網必須與互聯網邏輯隔離;

②政務外網主要運行面向社會的專業業務,這些業務所涉及的業務信息具有面向公眾的特性,所以保護業務信息的完整性、可鑒別性以及抗抵賴性十分重要;

③政務外網是國家電子政務的基礎性網絡環境,支持電子政務系統互聯互通、數據交換、信息共享、業務互動、便民服務的需求,所以政務外網要滿足公用網絡安全可信的需求;

根據以上分析,政務外網(一期工程)安全保障體系由網絡防護體系、網絡信任體系、安全管理體系、安全服務體系等構成,邏輯模型如圖2所示。

⒈網絡安全防護體系

網絡安全防護系統是政務外網安全保障體系中最重要的安全設施,主要保護電子政務外網的各子網網絡節點及整個電子政務外網,保證整個政務外網及相關業務系統的可用性、完整性、可控性等。網絡安全防護系統重點要考慮防火墻系統、入侵防御系統、防病毒系統、遠程安全接入系統、流量監測系統等的配置和建設。

政務外網的網絡安全防護體系將涵蓋以下幾個方面:

⑴物理安全

保證政務外網中各種骨干設備的物理安全是整個政務外網安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。

⑵網絡安全

網絡安全主要考慮VPN、防火墻、入侵檢測系統、非法外聯監控系統、PKI接入認證網關等安全設備在政務外網中的配置與部署。

⑶系統層安全

系統層安全主要包括漏洞掃描、操作系統安全加固、數據庫安全加固。

⑷應用層安全

應用層安全主要考慮應用系統的鑒別、授權和訪問控制等安全機制。

⒉網絡信任體系

網絡信任體系是為網絡用戶、設備提供信息安全服務的具有普適性的信息安全基礎設施。該體系在統一的安全認證標準和規范基礎上提供在線身份認證、授權管理和責任認定。其核心是要解決信息網絡空間中的信任問題,確定信息網絡空間中各種經濟和管理行為主體(包括組織和個人)身份的唯一性、真實性和合法性,保護信息網絡空間中各種主體的安全利益。政務外網網絡信任體系的建設與政務外網的安全運營息息相關,是電子政務安全運行的支撐基礎設施。

政務外網(一期工程)的網絡信任體系,主要是在國家主管部門的指導下,建設政務外網身份認證系統,組建政務外網身份認證管理協調機構和技術保障隊伍,制定有關政務外網身份認證的相關標準體系、管理運行規章制度和規范,逐步形成統一的政務外網網絡信任體系。

⒊安全服務體系

政務外網安全服務體系主要由安全評估和安全培訓組成。安全評估主要是對政務外網及其處理的傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學識別和掃描評估的過程。安全評估的主要目的是定期對網絡系統進行安全性分析,及時發現并修正動態運行的網絡系統中存在的弱點和漏洞,認清信息安全環境、信息安全狀況,明確責任,采取或完善安全保障措施,并使信息安全策略保持一致性和持續性。

⒋安全管理體系

安全并非只是一個技術問題,它也是一個關于人和管理的問題。安全不是個產品,它是一個完整的過程。作為一個過程,它有人、技術、流程這3個組成部分,這些組成部分匹配得越好,過程進展得就越順利。

安全管理在政務外網的安全保密中占有非常重要的地位,即使有了較完善的安全保密技術措施,如果管理的力度不夠,將會造成很大的安全隱患。因此,必須加強安全保密管理,設置安全保密管理機構,制定嚴格的安全保密管理制度,采用適當的安全保密管理技術將政務外網中各種安全保密產品進行集成,并加強對人員的管理。

安全管理體系的建設包括安全保密管理機構的建立、安全保密制度的制定、安全保密管理技術的使用以及人員的管理等幾方面內容,這里不再予以贅述。只有通過建立科學、嚴密的安全管理體系,不斷完善管理行為,形成一個動態的安全過程,才能為政務外網提供制度上的保證。

四、幾個重要問題

在整個政務外網(一期工程)安全保障體系的規劃和建設當中,有幾個重要問題需要特別說明。

⒈安全域劃分

政務外網要為政務部門的業務系統提供網絡、信息、安全等支撐服務,為社會公眾提供政務信息服務,要滿足政府公用網絡安全可信的需求。所以,在政務外網內有必要劃分不同的安全域,定義每個安全域的物理或邏輯邊界,形成隸屬于由單一安全策略權威定義和執行的公共安全策略的安全要素的集合,有利于每個安全域共享相似的安全策略。

政務外網具有數據量龐大、業務復雜多樣、安全等級各異的特點,因此安全域的劃分遵循以下原則:

①根據信任等級劃分安全域。在政務外網中,要為政務信息資源和國家基礎信息資源的登記、備案、、交換和共享提供服務,同時相關的業務系統也要有連接到互聯網和有需求的其它單位,不同的系統由于處理的數據和交互的實體不同,需要在不同的位置或業務流程中,劃分不同的安全域。

②根據業務節點類型,對不同的節點劃分相應的安全域,并配置和節點業務量相匹配的安全措施和安全設備。在政務外網中,政務外網要連接不同類型的網絡節點,網絡節點的安全等級決定了安全域的劃分和安全設施的投資建設規模。

③依據數據的安全等級,在存儲和傳輸的不同區域,劃分安全域,并采用不同的安全策略,體現數據的分等級保護。

根據以上原則,在政務外網中,網絡各節點的局域網構成相對獨立的安全域,并在各節點內部進行安全域細化。政務外網中,按節點所劃分的安全域有中央網絡管理中心局域網、中央城域網接入節點單位、各省市節點的二級網絡管理中心局域網和各省市節點的各自的接入網絡。

⒉等級保護

根據公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室2007年聯合頒布的43號文件《信息安全等級保護管理辦法》的相關規定,為保障電子政務外網的網絡安全,對電子政務外網需采用等級保護機制。等級保護以網絡安全域劃分為基礎,電子政務外網包括網絡基礎設施,包括眾多接入網絡,各個子網絡又包括不同的應用系統。只有根據這些資產的重要性以及它們面臨的安全威脅的不同,結構化地劃分為安全域,才能有效地進行安全保護。

根據政務外網的邏輯結構、安全域劃分情況、面向對象及應用模式,中央網絡管理中心局域網、中央城域網接入節點單位二級網絡管理中心局域網和各省區市接入節點二級網絡管理中心局域網,至少要達到第三級(監督保護級)的要求。對于這類的安全域,將依照國家管理規范和技術標準進行自主保護,并接受信息安全監管職能部門的監督、檢查。

中央城域網接入節點單位接入網絡和各省區市接入節點單位接入網絡至少要達到第二級(指導保護級)的要求。對于這類安全域,將在信息安全監管職能部門的指導下,依照國家管理規范和技術標準進行自主保護。

⒊風險評估

在政務外網(一期工程)安全保障體系規劃和設計時,國家信息中心網絡安全部將風險管理的思想引入到政務外網的建設中,獲取規劃和設計階段的政務外網的安全風險,提出并確定外網安全建設的要求,改進規劃中的不合理因素,為后續的網絡建設的實施提供安全建設依據。此次事前評估范圍主要是政務外網一期工程第一階段工程初步設計規劃方案,評估著重考慮外網規劃中系統平臺的安全性。為支持整個風險評估過程的推進,國家信息中心網絡安全部成立了由領導層、相關業務骨干、外網相關人員等組成的風險評估小組。評估結束后,針對不可接受的風險,風險評估小組對規劃和設計做了相應的修改,很好地兼顧了風險與成本的平衡。

五、結語

根據政務外網(一期工程)安全保障體系整體規劃和一期工程建設進度安排,政務外網中央節點安全保障體系已初步建成。通過幾個月的試運行,整個政務外網安全保障體系運轉良好,初步達到了預期的設計目標。下一步的工作重點將是:進一步完善政務外網安全保障體系,建立健全政務外網安全管理機制,明確各級網管部門安全管理責任;開展信息安全風險評估工作,按照信息安全等級保護的要求,對全網分級、分層、分域確定信息安全等級;從技術和管理兩方面入手,不斷完善信息安全保障體系,初步建成統一的政務外網信任體系,形成面向外網用戶的服務能力。

作者簡介:

王勇,男,漢族,1977年生,山東鄄城人,國家信息中心網絡安全部工程師;研究方向:網絡安全。

篇6

    無線網絡在網絡協議中規定的安全體系主要是WAP中規定的應用。主要是保障數據通信在保密性、真實性、完整性以及不可否認性四個屬性中的安全。保密性主要是從數據加密技術上來進行保障與防御,保密性是為了確保個人隱私不被截取或者中間閱讀,通過強密碼加密明文致使明文不可能被別人截取,除非在接受者能夠獲取口令的情況下,否則密鑰保護足以抵擋被入侵的風險。為此,無線網絡安全體系必須保障加密系統在理論上是不可攻破的,其次是在實際操作中也是不可攻破的。系統不能依賴于自身密碼的保護,而應該依賴于密鑰的保護,否則當前的黑客軟件配上密碼表通過最笨的方法也能夠不斷的測試出其中的密碼設計;真實性是用來確保信息人的身份內容,它同樣是一種技術,是為了在無線網絡應用中確定對方同樣為身份識別人的一種要求;完整性相對于安全體系來說是要確定所接收的數據是原始的,完整的,在其數據傳輸過程的中間環節沒有被修改過。

    通過數字簽名等技術制約可以降低完整性不足的風險,在大多數的網絡攻擊情況下,完整性的重要意義甚至高于保密性,這說明一個問題,我們所保密的不一定的完整的,而完整的起碼是保密的;不可否認性的意義在于強調認證系統的安全性,即整個安全系統的認證是無法被篡改的,考驗這種安全性的內容主要有,確認信息的不可更改性和不能抵賴性,接受者能通過驗證并合法,其他人無法更改和否定信息等內容。除了數據通信的安全性外還需要無線網絡的安全性保障與防御,即無線傳輸層的安全保障。無線傳輸層的安全保障(WirelessTrans-PortationLayerSeeurity)主要包括無線傳輸層的規范、無線傳輸層的結構、真實性、密鑰交換、完整性與保密性。無線傳輸層通過安全連接來保證層級規范協議的有效性,通過將客戶與整個安全網絡的連接來保障協議的實現。通過控制網關使用參數的可能性,確保數據的安全。

    協議規定要求雙方安全協商,只有本區域的網絡代表才能夠有資格進入協商層級,從而在虛擬的結構中實現了有線網絡式的單線單網??蛻襞c網絡兩個終端間也能夠有效的互相驗證。無線網絡的結構是一個層級協議,握手、報警、密鑰交換以及應用使得結構趨于完整。無線網絡中的真實性是通過網絡證書來實現的,通過網絡證書的交換,實現了應用網絡中的真實性確認;無線網絡中的完整性則是通過信息驗證程序來進行維護和保障,通過不同的計算方法來實現網絡完整;無線網絡中的密鑰交換是一個關鍵步驟,是無線網絡安全性的一個具體保障措施,首先是Server發送一個Server密鑰交換信息,通過計算的方式轉移到客戶層面,客戶也通過相應的的計算機輔助計算來實現密鑰的交換,雙方互相驗證,獲得通關密碼的生成;最后,主密碼通過20字節的序號加諸于計算公式中得到保密性驗證。這便形成了一系列的無線網絡安全定制,從而有效的保障的無線網絡數據傳輸的安全保衛與防御工作。

篇7

為切實做好保障國慶網絡安全,有效防范和遏制安全事故發生,營造良好的安全網絡環境,根據區教育發展中心的要求和相關部署,我校認真落實安全運行的各項保障措施,在節前的周一例會上布置將信息安全自查內容例入到日常工作中,并進一步落實各項信息安全責任制度,有效地提高應對各種事件的能力,在“國慶70周年”期間力求做到積極部署、嚴格檢查、密切監控,保證我會在“國慶”期間網絡和信息零故障,確保網絡與信息系統運行安全。

一是積極部署。我單位在收到區的《緊急!關于落實教育行業網絡安全保障工作的通知》的通知后,立即召集人員,認真研究文件精神,積極部署保障工作,將工作分解落實到人,及時成立我單位網絡與信息系統安全工作領導小組,并確定專人負責“國慶”期間網絡與信息安全工作,做好啟動網絡與重要業務系統應急預案準備。

二是完善預案。針對信息安全突發事件,我校專門明確了預警預防機制,并邀請專業人員查看電子系統故障的應急處理流程、網絡中斷緊急處理流程、大規模病毒(含惡意軟件)攻擊的應急處理、軟件系統故障的應急處理流程、數據庫系統故障的應急處理流程、設備硬件故障的應急處理流程等應急措施流程,同時,對突發事件的后期處理進行了相關部署,為處理突發事件提供了有效的保障。

三是嚴格檢查。我單位于9月26至30日組織自查小組對本單位的信息系統進行了檢查,重點檢查了網絡、視頻監控系統、互聯網等使用管理情況,并對重要信息系統數據進行了備份。

四是密切監控。在國慶期間安排專人對網絡、病毒、重要信息系統、網站運行狀態進行實時監控,加強網絡信息安全管理和內聯網保密工作的管理,確保國慶期間信息安全。在此期間中暫未出現病毒傳播、網絡中斷、系統故障、數據丟失等重大信息安全事件。

篇8

關鍵詞:計算機網絡;信息安全系統;系統構建;關鍵技術

引言

計算機網絡自問世以來,就以前所未有的卓越信息傳遞和處理能力和方便快捷的使用方式帶給人類社會帶來翻天覆地的巨大變化。它深刻改變了人們的思考與生活方式,深入到人們社會活動的每一個角落,對世界經濟、政治、軍事、社會、文化、宗教等各方面都造成了重大影響。計算機網絡在人們生活的客觀物質世界之外,又創造了一個純粹的信息世界。這個信息世界沒有界限,理論上允許任何人登錄,拉近了人與人之間的距離,即使世界上遠隔萬里的兩個人在網絡世界里也可觸手可及,并肩而行。計算機網絡的這種特性是柄雙刃劍,在滿足了人們高度的信息需求的同時,也產生了很大的信息安全隱患。構建基于計算機網絡的信息安全系統是時展的需求,是業界一直不斷探索的現實問題。

1 計算機網絡安全威脅來源

1.1 網絡的共享性帶來的威脅

創建計算機網絡的一個最根本原因就是為了實現網絡資源共享。通過計算機網絡,不同的計算機用戶可以實現對其他人的資源利用。而這種利用有可能是積極的,也可能是消極的,甚至是違法的。利用計算機網絡的資源共享性發動針對目標計算機或網絡的破壞行為是當前計算機網絡威脅中的最主要的類型。

1.2 網絡的開放性帶來的威脅

任何人登錄到網絡上后,理論上都可以實現對網絡上共享信息的閱讀與使用,比如機關團體、企事業單位或個人的信息內容。其中往往有許多部分具有保密性質,如果這些信息被人隨意擴散或非法利用,極有可能造成嚴重后果。

1.3 網絡的復雜性帶來的威脅

計算機網絡技術是一門非常復雜的高端綜合性學科。大體上包含網絡硬件設備和控制軟件兩個方面,組成極其復雜,其中任何一個部分發生問題都有可能威脅到網絡安全。

1.4 網絡邊界及傳輸的不確定性帶來的威脅

可擴展性是當前計算機網絡的一個重要性質。由于可以不斷擴展,使得網絡的邊界和信息傳遞路徑相對模糊而不確定。而這種不確定性給網絡安全隱患的形成提供了基礎,網絡安全保障工作難度加大。

1.5 海量信息帶來的威脅

信息資源是網絡承載的主要內容,在為使用者提供服務的同時,龐大的信息量也給網絡穩定造成影響,過于巨大的信息傳輸量極可能導致網絡阻塞。

2 計算機網絡與信息安全系統

2.1 系統物理環境的安全措施

計算機機房是安置計算機網絡與信息系統主體硬件設備的專用設施。國家對機房的設計與實施都有明確的標準,信息和數據安全是其基本前提。防火防潮是機房必備的基本特性。(1)在選址方面,計算機網絡機房要與危險建筑保持安全距離,如果機房位于樓房,則需選擇方便整個組織機構網絡建設的位置。(2)在安全保衛方面,由于機房是保存信息的重要設施,安全保衛措施必須加強。通常都要設置現代化的環境調節、監控和門禁等設施,以維持機房環境適宜條件,監視機房設備運行情況,防范外部非法侵入等。(3)在消防安全方面,機房一直都是防火重地。如今的計算機機房都配有自動滅火裝置,一旦發生火災即可自動啟動實施滅火。

2.2 系統運行環境的安全措施

加強制度管理,建立健全科學規范的計算機網絡管理與使用制度,落實安全保障措施,從組織角度、管理角度和技術角度來保障網絡系統數據傳輸的安全性、完整性與使用性。(1)加強計算機網絡硬件設施及場所的標示管理。在機房入口處張貼警示標語和門牌。在交換機、路由器以及中心服務器等重要設施上張貼標示,提高辨識度,方便管理與維護。(2)做好設備備份工作。為防止因為突發性機器故障導致的網絡事故,重要網絡設備、設施都要做好備份,一旦發生事故立即切換,保障網絡正常使用。(3)加強信息傳輸通道的安全防護。一般采用在傳輸的信息中加入冗余信息,從而便于及時發現信息傳輸過程中變化與改動。

2.3 系統的軟件及數據環境的安全措施

(1)及時完善操作系統。任何系統、軟件都有漏洞。系統開發商會經常系統補丁,計算機用戶要及時下載安裝,彌補系統不足。(2)劃分用戶權限。根據用戶使用需求設定用戶權限,不同權限的用戶使用系統資源,訪問網絡的情況也不一樣,從而可以有效避免威脅系統安全的情況發生。(3)物理隔離。網絡資源共享的前提是網絡硬件連接。關鍵部門使用獨立的局域網,與萬維網硬件上不連通,徹底消除來自外部網絡的入侵的可能性。(4)做好數據備份。安全系統的防護能力并非絕對有效。為減少系統安全事故帶來的損失,對于重要數據可定期備份,備份介質單獨存放。

3 計算機網絡與信息安全關鍵技術

3.1 防病毒軟件和防火墻

針對計算機病毒開發的防病毒軟件是最常用的網絡安全防護技術。根據使用環境不同分為單機版和網絡版。無論哪種,都具有較強的局限性。由于防病毒軟件是根據具體病毒而開發的,而病毒更新速度很快,使得防病毒軟件的實效性大打折扣。要較好地保障網絡安全,還需要其他技術、措施的配套支持。如系統數據定期備份,關鍵業務信息采用加密技術等。

防火墻是抵御網絡攻擊的重要措施。其原理是通過預先設置對訪問行為進行選擇性限制,從而維護內部網絡環境的相對安全。

3.2 入侵檢測技術

入侵檢測是針對非法入侵行為實施的防護機制,通過及時察覺非法入侵行為并展開相應的防護措施來實現。其技術的關鍵部分就是要建立一套準確的判斷規則,任何不符合該規則的行為都將被視為入侵行為。對于入侵行為判斷的精準程度直接關系到防護機制的運行質量。粗獷的判斷標準使得系統誤報率非常高。

3.3 密碼技術

加密技術主要應用于信息網絡傳遞方面。通過將信息按照某種算法進行編譯再傳輸的方式減少數據被他人非法獲取后造成的信息泄露,從而起到網絡信息安全保障的作用。

3.4 訪問控制技術

訪問控制限制了計算機對外部網絡的訪問行為。根據危險程度不同,對外部網絡環境的不同區域進行了劃分。再按照預先設置的規則,對計算機的訪問行為進行選擇性限制,允許其訪問安全區域,禁止訪問危險區域。對危險網絡的遠離,使得計算機遭受攻擊的概率大幅下降,從而提高了網絡的安全性。訪問控制策略的制定分為入網訪問控制環節、網絡權限劃分環節和客戶端防護策略制定三個部分。系統根據預先設置的詳細規則,允許被授權的設備及用戶訪問網絡,所訪問的網絡范圍受到嚴格控制。使用防火墻的數據包過濾和功能、VLAN技術的區域劃分功能控制訪問行為。使用交換機802.1X協議實現對用戶訪問行為的授權。

4 結束語

計算機網絡技術是當今世界最偉大的發明之一。其存在在一定程度上主導了人類發展的方向。在網絡技術逐漸普及的今天,建立安全可靠的網絡信息安全保障體系意義非常重大。計算機網絡安全保障,需要政府的引導,更需要社會各方面的配合與努力,從制度、技術和管理等方面構建安全系統。要高度重視計算機網絡軟件、硬件產品的開發與研制,加大安全體系研發投入。同時,要做好網絡信息安全的宣傳普及工作,特別是對于政府機關和企事業單位的要害部門,更加要加強信息安全防護,避免因為網絡和信息安全事故給國家經濟建設和社會穩定帶來的重大損失。

參考文獻

篇9

隨著科技和計算機技術的不斷發展,在我們的生活和工作中,網絡已經成為了非常重要的組成部分,但是計算機的安全問題也與之俱來。在我們進行計算機管理的時候,各種安全隱患也層出不窮。本文主要對計算機網絡管理中存在的安全問題進行分析,并根據問題的癥結找到了一些措施,希望能夠提高計算機網絡管理的安全性。

【關鍵詞】計算機 網絡安全 安全技術

隨著經濟和科技的不斷發展,計算機技術也得到了飛速的發展,互聯網的存在,在一定程度上改變了人們的交往方式,在現代生活和工作中,人們是離不開上網的。但是隨著計算機網絡的不斷發展,計算機病毒以及黑客等一些安全隱患也在不斷的存在和發展。在計算機網絡使用過程中,安全管理是非常重要的,所以必須增強防范意識,了解安全威脅因素,并做好各個方面的安全措施,這樣才能夠提高計算機網絡管理的安全性。

1 現在給計算機網絡安全造成威脅的因素

在計算機中,給網絡安全造成隱患的安全威脅比比皆是。按照威脅對象方面來進行劃分,可以分成對計算機網絡設備以及系統造成的威脅和對網絡信息造成的威脅;而就威脅主體而言,又可以分成無意攻擊以及主動攻擊兩種。

1.1 對計算機網絡信息造成威脅的因素

在計算機和互聯網之間最重要的紐帶便是計算機網絡信息,一般情況下,網絡信息會和用戶的一些隱私和機密有著重要聯系,比如說銀行賬戶、個人資料、重要文件等等,這些信息在進行網絡傳播的時候很容易被攔截,導致信息的丟失,從而對用戶造成嚴重的損失。

1.2 給計算機網絡設備以及系統造成威脅的因素

這方面的威脅主要和計算機網絡關口安全設置以及內部系統漏洞的修復有著直接的關系。就目前而言,我們使用的很多計算機軟件本身都是具有安全漏洞的,這些漏洞的存在會遭到黑客的攻擊。如果網絡設備本身不夠規范也會給計算機的安全造成嚴重的威脅,特別是進行內部局域網端口設置的時候,必須重視權限方面的設置,不斷的提高用戶本身的安全意識。

1.3 第三方網絡攻擊

此處的第三方網絡攻擊,一般指的是計算機病毒、木馬植入以及黑客的攻擊等等。不法分子利用木馬能夠侵入計算機系統中去,破壞計算機內部的程序,而用戶卻很難察覺到。計算機病毒的生命力非常的頑強,并且隨著計算機的進步和發展,病毒也在不斷的更新。此外,計算機病毒有著隱蔽性、傳播性以及破壞性的特征,都給計算機造成了非常大的威脅。

2 計算機網絡管理以及安全技術

在人們應用計算機網絡的時候,安全問題是不得不考慮的一個重要問題,只有做好網絡安全管理,才能夠保證人們在使用計算機網絡的時候,信息是相對安全的,而做好計算機網絡安全管理,也是計算機專業人才的一個重要責任。

2.1 對網絡安全保障措施進行完善,確保其是完整的

計算機網絡本身并不是獨立存在的,其是一個完整的系統,所以在采取措施進行計算機網絡安全維護的時候必須考慮到計算機系統本身的整體性,采取措施確保網絡安全保障本身是完整的,這就需要做好各個環節的安全維護工作,比如說系統內部、應用程序、網絡端口、文件管理以及內網和外網的過渡帶等一些地方,都必須采取措施保證安全防范的嚴密性,這樣才能夠更好地保證安全技術本身的整體性能。

2.2 網絡管理以及通信安全方面的技術

一般情況下,網絡管理指的便是全面監控計算機內部網絡的實際使用情況,比如說對計算機上網的流量進行監控、進行故障檢測報警、管理計算機網關。在進行工作的時候,網絡管理系統會職能自動化的檢測計算機的實際網絡情況,這樣能夠更好的提高計算機網絡本身的可信度和可靠性。

2.3 計算機加密方面的技術

計算機加密技術主要是對計算機的一些內部信息進行一定的維護,從而確保計算機以及網絡信息本身是安全的。就目前而言,現在的加密技術已經有了一定的進步,結構不再像以往加密技術一樣的單一,并形成了計算機加密系統,新的系統已經將保密性、完整性、真實性以及可控性結合在了一起,這對計算機信息安全起到了重要的保護作用。

2.4 計算機防火墻方面的技術

防火墻技術能夠更好的防止計算機網絡訪問非法的情況,其類型也比較多,比如說過濾型防火墻、網絡地址轉換型防火墻、型防火墻、監測型防火墻。雖然這些防火墻本身的類型有一定的區別,但是都可以對網絡訪問控制進行加強,在一定程度上避免外部網絡用戶非法侵入的出現,維護了用戶的網絡使用安全。

2.5 計算機網絡防病毒的相關技術

一般情況下,網絡防病毒技術指的便是利用一些專門的技術或者手段來對計算機病毒造成的系統破壞進行一定的預防。目前的計算機防病毒技術一般包含了病毒的預防以及病毒的清理兩個重要方面,計算機病毒預防是和病毒檢測技術的實際發展情況有著直接聯系的,系統應該根據最新發現的病毒及時的進行病毒庫的更新。在計算機病毒檢測結束之后,就必須根據實際的情況進行計算機病毒的清理,由此我們也能夠發現計算機病毒清理的被動性比較的明顯。

3 結語

現在,在人們的生活和工作中,計算機已經成為了人們的必需品,但是,現在網絡所面臨的安全威脅還非常的嚴重,所以應該根據實際的需求不斷地對計算機網絡安全管理進行一定的加強。在進行網絡安全技術運用的時候,我們應該及時的發現計算機網絡中存在的缺陷以及漏洞,并根據實際情況迅速采取應對措施,保護好計算機,并采取合適的辦法及時的進行漏洞的修復,清除計算機中存在的病毒,全方位的做好計算機管理工作,保證人們網絡應用以及網絡信息的安全性。

參考文獻

[1]唐壘,馮浩,封宇華.計算機網絡管理及相關安全技術分析[J].電子世界,2012(05).

[2]孫勇.計算機網絡管理及相關安全技術分析[J].才智,2012(20).

[3]宮婷.計算機網絡管理及相關安全技術分析[J].硅谷,2013(21).

[4]張福岳.論計算機網絡管理及相關安全技術[J].計算機光盤軟件與應用,2013(04).

[3]李萍.網絡環境下信息安全管理問題探討[J].電大理,2008(03).

作者簡介

劉瑛(1979-),女,江蘇省高郵市人。大學本科學歷?,F供職于上海良友金伴便利連鎖有限公司。

篇10

第一條為加強水利信息網的管理,保障水利信息網正常、高效、安全運行,促進水利信息網健康發展,推動水利信息化工作,依據國家有關法律法規,制定本規則。

第二條水利信息網是水利行業各單位計算機網絡互連構成的網絡系統,是防汛抗旱、水資源管理、水土保持等各類水利信息傳輸的專用網絡,是水利信息化的重要基礎設施。

第三條水利信息網分為政務內網和政務外網,政務內網與政務外網之間實行物理隔離。政務外網分為廣域網、部門網和接入網,其中廣域網由骨干網、省市網和縣區網組成。

第四條本規則適用于接入水利信息網政務外網與內網的水利行業各單位。

第二章管理機構

第五條水利信息網的運行管理遵循分級管理的原則,各單位要理順管理體制,明確專門的網絡管理部門,配備專職的技術人員,設定崗位,強化責任,保障網絡運行管理工作的正常進行。

第六條市防汛抗旱指揮部辦公室負責水利信息網的硬件運行管理工作,其主要職責是:組織制定水利信息網的管理規則、規范和技術標準,監督和檢查實施情況;分配水利信息網ip地址;運行、監視和管理骨干網線路、設備;指導、檢查和協調縣區網的運行管理工作;組織水利信息網資源和運行情況的調查,水利信息網運行情況公告、公報和年報;組織有關的技術培訓和交流;水利信息網的技術咨詢和技術服務;與中國互聯網管理部門和其他相關單位的業務聯系。

市水利局辦公室負責水利信息網政務網站的管理工作,其主要職責是:組織制定水利系統信息管理考評規則和進行考評工作;負責網站的日常維護和信息的更新工作;負責各類水利信息、行政公告、普發性文件、統計資料的審查、頁面編輯及對外工作。

第七條縣(區)水利(水保)局的網絡管理部門負責所屬縣區網的運行管理工作,其主要職責是:組織制定所屬縣區網的管理規則、規范和技術標準,監督和檢查實施情況;分配所屬縣區網ip地址;運行、監視所屬縣區網和所在單位網;指導、檢查和協調下級網絡的運行管理工作;組織所屬縣區網及所在單位部門網資源和運行情況的調查,有關數據;組織有關的技術培訓和交流;所屬縣區網的技術咨詢和技術服務;與其他相關單位的業務聯系。

第三章局域網網絡管理與接入

第八條水利信息網局域網包括辦公樓的交換機、網線、接口、網絡系統等,全部設備均屬本局所有,用戶只能按規定使用,不能占為己有。

第九條用戶使用網絡,由市防辦負責給以接入、開通和調試。嚴禁用戶擅自接入網絡。

第十條入網用戶的ip地址、計算機名、分組等基本信息,必須依據《水利信息網命名及ip地址分配規定》(sl307-)進行,由市防辦統一分配管理,用戶不得擅自更改。

第十一條各用戶要愛護網絡,不得擅自移動和損害。安裝、裝潢等施工涉及到網絡的要提前與局防辦聯系,制定防護措施。每個用戶都有保護網絡設備和線路的義務,發現正在對網絡實施損害的行為有權制止,發現網絡有損壞的有義務報告。

第十二條加強對接入水利信息網的因特網等其他網絡的管理,保證水利信息網與其他網絡的安全隔離。

第四章網絡服務

第十三條網絡服務是指利用水利信息網資源為信息傳輸和應用系統運行提供的服務。

第十四條水利信息網政務網站是我市水利行業面向社會的窗口,是與公眾互動的渠道,面向社會提供水利政務信息和與水利相關的在線服務。

第十五條凡市水利局工作人員,均可到市防辦申請辦理5m的免費電子郵箱,科室單位申請辦理10m的免費郵箱。

第十六條加強系統網站、郵件、文件服務、數據應用服務器、ftp服務器等網絡應用的管理,保證網絡應用的正常運行。

第五章網絡安全

第十七條加強網絡安全管理,落實網絡安全責任制;定期分析、評估所屬網絡的安全狀況,配備網絡安全設施,制定有效的安全保障方案;加強網絡安全監視,落實安全保障措施;明確專門的網絡安全管理人員,負責網絡安全管理工作。

第十八條網絡管理部門對于網絡故障,要及時發現、及時定位、及時解決;對于影響到骨干網運行的故障,必須及時處理;對于影響到其他上級網絡的故障,要及時向上級網絡管理部門報告。

第十九條各級網絡管理部門要加強計算機網絡病毒的防范工作,建立計算機網絡病毒防控體系。采取有力措施,預防和控制計算機病毒的產生、傳播、復制和擴散,做到及時發現、及時隔離、及時處理,及時升級操作系統和防病毒軟件。

第二十條各級網絡管理部門要加強用戶、系統和設備等的賬號口令管理,重要系統和設備的賬號口令由專人保管,并嚴格限定使用范圍,嚴防賬號口令泄露。

第二十一條不得在水利信息網上存放或傳輸任何信息。

第六章網絡用戶

第二十二條各級網絡管理部門負責所屬網絡用戶的監督和管理。

第二十三條網絡用戶必須遵守國家有關法律法規,遵守水利信息網管理規章制度,配合相關的管理工作。網絡用戶要積極參加單位組織的網絡、信息和安全方面的培訓,提高使用技能,增強安全意識。

第二十四條網絡用戶在遇到網絡故障、攻擊、事故,收到非法信息,感染計算機病毒時,應及時向本單位網絡管理部門報告。

第二十五條網絡用戶須對本人的網絡行為負責,不得有下列行為:

1、私自修改和刪除本人計算機的網絡配置;

2、私自安裝影響網絡運行的軟件或系統;

3、私自接入他人的網絡端口;

4、私自接入未經允許的網絡設備;

5、私自接入政務內網等其他網絡;

6、在網絡上傳播信息或違反國家法律、法規的不良信息;

7、安裝盜版軟件;

8、卸載統一安裝的網絡防病毒軟件;

9、故意制作、下載、傳播計算機病毒等惡意程序和其他有害數據;

10、向社會虛假的計算機病毒疫情;

11、未經允許,登錄他人計算機信息系統或者使用計算機信息系統資源;

12、其他危害網絡安全和信息安全的行為。

第七章網絡機房和設備

第二十六條按照網絡機房的標準和規范建立專用的網絡機房,為網絡設備提供良好的運行環境。

第二十七條各級網絡管理部門要制定完善的網絡機房管理制度,對機房內的溫濕度和設備運行情況進行實時監控。無關人員未經允許,不得進入機房。

第二十八條各級網絡管理部門要加強網絡設備管理,對各類設備進行歸類編碼,建立檔案。實行網絡設備責任制,做到專人專管,并對相關操作進行詳細記錄。

第二十九條各級網絡管理部門要對各類設備定期檢查、監視和維護,加強訪問權限控制;建立關鍵設備的備份和報修制度;加強各類設備的配置參數管理。

第八章保障措施

第三十條各單位要高度重視水利信息網運行管理工作,加強對運行管理工作的領導。

第三十一條各單位要積極籌措和落實網絡運行維護經費,將網絡運行維護經費列入部門預算,為網絡的正常運行維護提供保障。

第三十二條各單位要建立結構合理、人員相對穩定的網絡運行管理隊伍,制定培訓計劃,完善培訓制度,加強人員培訓和技術交流,提高網絡運行和管理的技術水平。

第三十三條各級網絡管理部門要加強防汛等重點線路、重點設備、重點應用的管理,重視網絡應急預案建設,提高預警、響應和應急處理能力,網絡應急預案應報上級網絡管理部門備案。

第三十四條網絡運行管理部門要保證骨干網有關設備724小時不間斷運行,對于因檢修或其他原因需停機的,應提前通知有關部門。

第三十五條各級網絡管理部門應加強值班特別是汛期值班工作,加強日常網絡維護管理,配備必要的維護軟件和工具,落實管理責任制,規范管理流程,提高管理效率,做好工作日志,加強制度落實的檢查和考核。

第三十六條各級網絡管理部門要加強網絡用戶服務,規范服務流程,對用戶進行定期檢查,對網絡故障采用多種方式(電話、網絡、郵件、上門等)進行維護,保障用戶和應用系統的正常工作。

第九章獎勵與處罰

第三十七條對于在網絡運行管理工作中做出顯著成績的單位和個人,予以表彰和獎勵。

第三十九條對于違反本規則第二十五條的網絡用戶,對于因管理不善和失職,導致網絡管理工作失誤,造成嚴重影響的單位和個人,予以通報批評,情節嚴重的根據有關規定予以追究責任。

第十章附則