网络安全内网管理范文
时间:2023-06-08 17:39:24
导语:如何才能写好一篇网络安全内网管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:互联网+;网络安全;防火墙
1内部网络安全现状
随着当今信息技术的飞速发展,网络对人类生活方式的影响显著增强,网络技术在社会的各个领域迅速普及,计算机网络安全问题已成为亟待解决的问题。人们普遍对网络安全有一个错误的认识,也就是说,我们所使用的内部网络是安全的、没有威胁的,外部网络是有危险、不安全的,也是主要的网络威胁来源,所以计算机网络内部的威胁,往往被人们所忽视,因此,一般都会研究如何防止外部网络从外面攻击内部的网络,而忽视了单位内部网络的安全威胁。大多数人并不认为他们会成为网络攻击的目标或者自己本身成为网络威胁的来源,可是当危险发生,往往会因为以前没有予以重视而手忙脚乱,造成不应发生的损失。但随着内部网的迅速发展,网络日益成为人们生活和学习的重要组成部分。内部网络的安全性也凸显出来,网络安全难以得到很好的保障,单位的利益受到了不同程度的损害。面对上述情况,营造一个安全的内部网络环境,形成一个稳定、便捷、高效的内部网是各级各类单位网络管理工作者需要面对和解决的问题。然而,大多数单位网络都处于建设的初级阶段,往往更注重硬件的采购和系统的建设,很少关注单位内部网络的安全和威胁处理。面对内部网络安全威胁时,往往缺乏有效的应对策略和解决方案,因此,如何利用网络安全理论与相关技术,在建设单位网络的同时,形成网络安全屏障,保证网络的正常运行是单位网络管理者需要解决的重要问题。内部网络的安全防范,是一个系统工程,是一个人员、设备、技术及意识的综合问题。现在,越来越多的政府机构、企事业单位的各种业务和服务依托内部网络环境,但是单位内部职员却对现今的网络威胁普遍存在一个认识误区,导致内部网络的安全得不到保障。“互联网+”时代,有大量的信息流和数据流充斥着整个网络,这些信息包含了非常丰富的内容,因为互联网的环境是自由开放的,而网络安全系统以及数据安全性低,通常情况下潜在数据安全问题表现为通过非法、有意的窃取、截取、病毒攻击等途径造成信息泄露、损坏,导致数据的完整性、可靠性及可用性受到一定程度的影响,对当今互联网社会造成了一定的威胁。
2内部网络安全管理措施
针对以上问题,笔者提出了以下几个内部网络防范的要点,以最大限度防范内部网络受到外部或内部的网络威胁,最大限度防止信息泄漏,充分发挥“互联网+”的优越性,从而为人们的工作带来便利。
2.1保证内网操作系统的安全
终端用户程序、服务器中的应用程序等都在计算机操作系统上运行,因此,维护整个单位内部网络安全的根本就是要确保每个计算机操作系统(不管是服务器还是客户端)的安全。除了修补操作系统的补丁外,还需要设立一个针对单位内部网络中操作系统的监控系统,设置有效的用户访问控制操作和访问口令。
2.2隔离资源,部署防火墙
内部网络中的路由器和交换机是传输任何信息的基础和必须具备的设备,如果没有在路由器和交换机上配置一些安全策略,则网络中的数据就会使用广播技术,而采取广播技术就会导致网络中传输的数据包很容易被监听和非法截取,所以必须要拥有一个安全可靠的网络设备及采取可靠的安全访问策略。通过使用交换机和路由器进行划分组网,通过划分虚拟的网络对设备进行物理或逻辑上的划分,从而实现对网络资源的隔离,提高了内网的安全性。防火墙技术是内部网安全防护中最常用的保护措施,可以对访问的客户端进行过滤和访问限制,从而对单位内部网的安全控制起到很好的防护效果。可以根据对内部网络安全控制的需求,利用防火墙来设置一定的策略,既可以过滤数据包,保障内部网络不受网络攻击,又不影响内部网络对Internet的访问和FTP等下载服务。
2.3通过模拟攻击方式来检测内部网络防火墙
一般来说,拒绝服务攻击(如DDOS)威胁在内部网络安全威胁中占了很大一部分。可以通过合理配置防火墙,并且选择使用功能强大的防火墙,从而实现充分监控网络情况,达到保护内部网络安全的效果。通过分析数据包执行拦截行动,发现攻击者入侵时出现的异常情况,可以马上停止服务,从而有效保护单位的机密信息和敏感数据,达到保护信息的目的。通过防火墙的访问控制功能可以限制非法用户访问单位内部网络,规定必须是内部网络的工作站才能访问内部服务器和内部的网络设备,这样就可以防止外来的客户端非法配置内部网络设备,达到保护内部网络的目的。
2.4设立检测入侵系统
虽然有防火墙保护内部网络,但是往往有些来自内部的安全威胁,从而导致有意或无意的网络入侵事故发生,这就很难保证内网的安全性。所以,可以把防火墙和入侵检测系统结合起来运用,相互弥补各自的不足。可以及时预警和防范网络中的病毒、异常访问、非法登录、系统漏洞等安全威胁,从而使内部网络的安全性得到有效的加强,有效保障政府机关和企业各项重要业务的正常运行。
2.5VLAN虚拟局域网
虚拟局域网(VLAN)技术是一种人为划分管理网络的技术,它根据人们管理的需求将一个大的网络划分为不同的逻辑子网,网络中的站点可以与物理位置无关,从而实现安全管理的目的。VLAN技术可以把一个通过交换机相连的物理网络根据管理的需要人为划分为多个逻辑子网。划分完成后,网络里如果有广播包发送,只会发送到Vlan相同的网络中,从而实现了广播包在一定的小规模范围内传播,避免了广播包的大面积传播。交换机不向其他LAN端口发送消息。
2.6应用防病毒技术
可以采用结合基于会话流的高性能智能搜索算法和卡巴斯基的SafeStream病毒库,并采用多核操作系统分流技术来检测和清除网络中的病毒,克服了传统杀毒网关缺乏抗病毒性能的弊端,为内部网络安全提供了一种全新的安全解决方案。防病毒技术在内部网入口进行病毒检测,真正抵御网络病毒,为内部网提供了强有力的保护层。
2.7ACL访问控制列表
ACL技术通过在访问控制列表中添加访问规则,可以对计算机用户需要通过网络层访问的资源进行有效的控制,它可以在网络应用程序的两个网络之间的设备进行访问控制,为网络应用提供了一个安全和有效的手段。2.8加强网络安全防卫意识宣传除了单位内部的网络管理员和安全员认识到网络的安全重要性,大多数人缺乏足够的网络安全意识性,他们普遍认为,网络维护与管理人员有关,与自己无关,从而导致网络存在安全隐患,所以必须在单位内部加强网络安全防卫意识宣传。
3结语
篇2
遥控监测企业内网
不久前的一天早上,公司网管小王突然接到“E路无忧”网管中心的专家电话,网管专家通过远程监控平台发现正兴公司有一台PC电脑中了冲击波病毒,使得公司宽带线路只能上传数据包,不能下载数据包。小王立即查看了一下,果然发现宽带线虽然是通的,但无法连上互联网。经网管专家建议,小王立即切断宽带网络,使用上海电信商务领航企业在线安全系统,顺利地清除了内网上的病毒。当小王将公司宽带网再次接通后,网管专家用远程观测监控系统对正兴公司的网络进行仔细检测,在与小王共同协商后,远程调整了企业的网络安全配置策略,将病毒隐患彻底消除。中国电信网管专家的及时发现、及时提醒与专业的技术协助,在第一时间避免了网络病毒在正兴公司内网的进一步蔓延与扩大,为公司挽回了不少损失,这让小王感到十分欣慰。
现在,“谈生意靠上网,发报价靠邮件”已经成为许多企业白领的习惯。然而,很多企业对网络安全管理还没有提上日程,对员工的日常上网活动疏于管理,基本处于“放任自由”状态,员工在上班时间从网上买卖东西、访问不良网站、用BT下载电影、打网络游戏等现象十分普遍。这种状态不但影响工作效率,更严重的是受到来自互联网的电脑病毒传播和黑客攻击,让企业防不胜防。调查显示,超过97%的企业曾受到互联网病毒或黑客的攻击。尽管有些企业添置了网络安全硬件设备,配有专职的网管人员,但仍然缺乏有效的防范手段,一旦网络出现异常,在缺少网络安全专家的指导下,很难快速发现和定位故障,不能在最短时间内予以排除。
远程诊断安全漏洞
中国电信“E路无忧”网管服务解决了广大企业在互联网安全方面的困惑。基于中国电信网络监控管理中心平台,电信网络管理专家队伍能根据不同企业的个性化需求,为用户远程在线定制网络安全管理策略,网络监控管理中心更能够7×24小时主动为用户监控网络状态,一旦有异常状况,比如用户网络受到木马程序、冲击波、震荡波、蠕虫等病毒攻击时,网管专家能先于企业用户发现网络安全漏洞,在进行远程在线诊断故障的同时,及时通知企业用户立即采取措施,并协助用户制定网络安全漏洞应对措施。
篇3
[关键词]办公自动化;安全;三亚空管站;保密
doi:10.3969/j.issn.1673 - 0194.2016.06.124
[中图分类号]TP311 [文献标识码]A [文章编号]1673-0194(2016)06-0-02
1 概 述
多年以来,人们依赖于传统的纸质办公形式,但纸质办公效率低、成本高并且存在各种不安全因素,已经无法满足目前高效的工作需求。单位内部员工作为一个团队,为使团队能够在工作中及时交流,快速获取相关信息,高效率运转,管理者将目光投向信息网络技术,于是办公自动化系统(Office Automation,OA)在这种形势下应运而生。以往人们对OA系统的认识仅停留在文件流转、电子邮件、会议安排这些数据的处理过程,这也是大部分单位建设办公自动化系统所想要达到的目的。但随着网络科技的迅猛发展,人们对安全的防范意识逐步提高,如何确保网络内各核心业务的安全,已经成为使用者关注的焦点。
目前三亚空管站正使用一套由上海双杨公司生产的OA系统,该系统稳定可靠、使用简单,已经成为管理人员工作中必不可少的办公途径。但建设信息安全网络也面临着许多困难,如在信息传递过程中容易被窃取,终端中毒后攻击服务器等,都给建设办公网络带来了巨大挑战,本文主要对三亚空管站办公自动化系统网络安全目前存在的问题进行分析,并提出解决问题的方法。
2 自动化系统的网络构成及其安全分析
2.1 三亚空管站办公自动化系统网络现状
三亚空管站信息网络由一条带宽2M的ATM线路接入空管局广域网,接入路由器msr 2020,防火墙neteye 4120,核心交换机是一台h3c 7503。本单位网络为二层结构,配备12台交换机且直接接入核心交换机,接入的交换机多为傻瓜不可网管型交换机,终端用户约100个。
三亚空管站按照功能与部门将内部网络化分为四个区域,分别是:①服务器区;②技术保障部;③航务部;④东区机关本部,内部四个区域均使用私有IP地址分配,每个区域都是24位掩码的子网,如图1所示。
2.2 网络安全的必要性
单位管理层使用OA系统所传递的办公文件,有相当一部分会涉及到保密信息,如果使用者在传递过程中稍有疏忽,便会泄密而造成无法挽回的损失。如果网络安全得不到保障,办公自动化系统便会面临绝境最终失去市场。于是,如何为OA系统建设安全保密的办公专网已成为刻不容缓的问题。目前三亚空管站所使用的办公专网,安装了防火墙并做了基本安全策略。防火墙可以做到网络间的访问控制需求,过滤一些不安全服务,可针对协议、端口号、时间等条件实现安全的访问控制,它是解决安全网络层最经济、最有效的手段。但是有了防火墙并不代表高枕无忧,网络安全是整体的,动态的,不是依赖某一样产品便能实现的。
2.3 目前存在的安全隐患
根据本单位OA系统部署的实际情况,将威胁网络信息安全的原因分为三大类。
第一,没有内网专用杀毒软件和病毒库服务器,专网经常发生电脑病毒或木马及各类攻击,对于这些攻击没有抵抗能力,就算泄密了也不能及时发现。目前安装的360免费杀毒软件并不适用于内部局域网,原因在于它不能实时连接外网进行病毒库升级,对病毒并不具有强效的查杀能力,造成主机系统易受到各类病毒的破坏。第二,使用者网络安全意识不足,随意插拔非法优盘导致木马病毒在网内横行,容易造成传输过程中数据被窃取、修改及破坏。第三,使用的硬件性能老旧,已经无法满足目前人们对信息安全的需要。
3 强化网络安全的有效措施
3.1 加强外部网络管理
由于外部网络信息来源复杂,应当将办公局域网与外网进行有效隔离,禁止办公网络的专用计算机终端外连互联网,严格控制外网的接入可以很大程度地降低网络安全风险,有效减少木马病毒的入侵。
3.2 部署专用的网络安全审计系统
目前专用网络安全审计系统已实现多功能一体化,如启明星辰公司研发的一套“天内网络安全风险管理与审计系统”,可根据用户实际情况为其量身打造出一套适合自己使用的系统,根据用户需求设计基本安全策略,如监控内部人员的网络操作,及时切断非法访问连接并有效记录内部人员访问资源信息,对整个网络资源进行全面监控和更有效的管理,对计算机终端实行多层准入控制及网络准入控制等,全面提升内部局域网安全防护的能力,为使用者构建起安全可靠的合规内网。
3.3 对信息进行加密
为各部门配备办公网专用优盘,并且对优盘中重要文件进行加密,在网络安全审计系统安全策略中加入优盘认证、优盘加密等相关功能,禁止非法优盘接入办公电脑窃取资料。
3.4 提高主机防病毒能力
由于病毒危害性极大并且传播极为迅速,办公专网中连接了所有管理层人员的办公主机和服务器系统,必须从单机到服务器部署整体防病毒软件体系,同时在网络边界部署防病毒网关,拦截病毒,实现全网的病毒安全防护。需购买企业级杀毒软件,在所有计算机终端和服务器上安装部署网络版本的杀毒软件,防止病毒攻击。并新增病毒库服务器,用户在线即可对本机病毒库进行升级。
3.5 更新在用硬件
购买可网管型智能交换机,分别用来替换原先傻瓜式不可网管型交换机,并且根据内网区域配置DHCP服务器,在交换机上做DHCP Snooping、DAI、IP Source guard接入控制,防止终端非法外联、接入网络。
3.6 增强使用者的安全意识
由于信息网安全基础设施和各项安全管理制度尚不完善和健全,部分人员安全意识淡薄,各种与业务无关的BBS论坛、聊天室、电影、网络游戏随意开设,而计算机终端中了木马病毒并不能及时发现,又通过优盘拷贝的途径将病毒传播至内网,不仅对信息网的安全构成严重威胁,而且在一定程度上影响了正常业务工作的开展,损害了单位形象。应加强对使用者的培训将内、外网操作行为规范化,并提高他们对信息安全的意识。
4 结 语
网络安全是一个关系国家安全和社会稳定的重要问题,办公自动化系统作为一个具体的信息系统,对保障信息安全的要求十分高,信息网络的安全性已经成为办公自动化系统得以投入使用的前提条件。本文对三亚空管站办公自动化系统做了相关研究,并重点针对该办公自动化系统的信息安全进行分析,提出目前亟待解决的问题并找到原因,最后提出有效解决方案。
篇4
关键词:采编网络;内外网融合;网络安全;安全系数
内外网隔离的问题,在报业的争论已经由来已久了,是隔离还是融合,可谓各执己见、莫衷一是,毕竟接入Internet给报社局域网带来的潜在威胁是显而易见的。为了追求上网的简便易行,全国大多数报社均采取了内外网融合的办法;也有些报社采取强制措施,内外网完全隔离,单独开个小网吧供内部编采人员上网冲浪;还有一些报社则另辟蹊径,在内外网之间建立起信息中转缓冲机制。我们在这里无意仲裁优劣,从积极的角度考虑,既然多数报社采取了这种内外网融合的连网方式,不妨探讨一下如何加强这类网络的安全建设,规避由此带来的安全风险和隐患。
1 加强网络管理制度建设,避免后院失火
(1) 建立规章制度
所谓“七分管理、三分技术”,未免显得老生常谈,但事实确真如此。殊不知七成的网络安全隐患来自于内部,所以加强内部员工的教育、培训和管理甚为重要,颇见成效的办法就是建立和健全各种网络操作规程和管理制度。
(2) 执行规章制度
制定了严格的规章制度,关键在于坚决彻底地执行,做到令行禁止。技术部门一定要履行好技术监督的职能,严抓不放,就像交通警察维持交通秩序一样,一旦司机们不敢再违章之时,也就是交通井然之际。
2 做好技术管理工作,肃清系统漏洞
(1) 网管软件的部署
一些报社采用了经典的网络管理软件,在一台管理终端上实时监视网上数据流量或有选择地监控网上任一台终端的工作状况,甚至对其实施远程管理操作。这样的网管软件无疑增加了网络管理的灵活性和前瞻性,有助于及时发现、分析和解决问题。
(2) 操作系统漏洞
操作系统若存在漏洞,将会给不速之客和恶性病毒以可乘之机,所以很有必要未雨绸缪。首先彻底扫描网络上每台服务器和客户端,查清他们的漏洞情况,进而安装最新补丁或其他改良软件,服务器端尽量只开放用得上的服务,安装必要的软件。大多数报社使用Windows操作系统,所以勤于到微软站点下载升级最新补丁是网管员的基本事务。另外,特别提醒的是,管理员密码一定要难猜、勤换且保密,管理员名字尽可能不用默认的“Administrator”,而改用其他名字。
(3) 数据库漏洞
除了经常追加最新补丁外,切记“sa”账号一定要设置复杂口令,因为好多攻击SQL数据库的病毒主要针对该账号口令为空的情形。
(4) 网络配置
为了强化网络安全,网络的VLAN 尽可能按各职能部门划分,每个VLAN中终端数以上限不超过200个为宜。采编所在VLAN与其他VLAN(尤其是财务和外网)之间尽量追加访问控制列表,严格控制访问权限,必要时将端口与客户端电脑的Mac地址绑定。
3 因特网入口层层设防,御敌于外
(1) 防毒墙、防火墙当关
网络黑客、病毒和木马等大多是通过因特网的入口伺机侵入的,所以把好入口关卡,关系到内网的安危成败。首先,不妨在因特网的入口处设置一台硬件防毒墙,在数据流进入内网之前先进行一次病毒过滤,这就大大降低了内网染毒的概率。然后,在后面再串联一台硬件防火墙,将报社的网站服务器(WWW、FTP、E-mail等)均置于相对安全的DMZ区,而内、外口则分别连接内部网和因特网。最后,分别在三个端口上设置相应的规则,以达到控制不同服务类型的数据流流出流入端口的目的,其设置基本原则是:只开放需要使用的服务端口,其他的一律禁用。
(2) 入侵检测与防护系统(IDP)过滤
为了实时检测多种类型(TCP、UDP扫描、拒绝服务攻击等)的入侵行为,捕获网络安全违规行为,可将入侵检测与防护网络监控器置于有敏感数据需要保护的网络上,实时监视网络上的数据流,分析网络通讯会话轨迹,以便于分析、追踪乃至阻断。这就为报社的敏感业务(如财务等)安插了一个岗哨。
4 互联网访问控制系统监管,防护内部网络
为了在内外网之间再增加一道安全屏障,内部局域网用户访问因特网最好经由互联网访问控制系统的旁路过滤和实时阻断。因为,它可以对采编网络的上网行为进行规范和调整,避免员工面对网络分散精力和注意力,违规访问不健康、不安全的站点,从而保障生产性网络的畅通无阻。
5 多级部署网络防毒体系,立体交叉清剿病毒
任何病毒的出现与防病毒代码的更新都有个迟滞效应,任何防毒软件其病毒代码的更新永远滞后于新型病毒的出现,因此没有包杀所有病毒的软件。我们曾经作过试验,对一台严重染毒的电脑先用某杀毒软件查杀,再用另一杀毒软件扫描,有时依然能查出病毒。所以单纯依赖某一套杀毒软件防护整个网络,安全系数不是足够高。不妨同时采用两家权威的反病毒软件,有规划地部署于内网,再与因特网入口的防毒墙结合,筑起一个立体交叉清毒体系。这样,整个内部网络系统的防杀安全系数就会显著提高,经过实践检验,也确实证实了这一点。
在内外网融合环境下提升报社采编网络的安全系数,将是个永恒而紧要的课题,这里探讨的也仅仅是冰山一角。随着网络安全技术的飞速发展,各单位网络安全防范意识的增强,真正意义上的采编网络安全将不再是遥远的梦。
参考文献
[1]张红旗,等.信息网络安全[M],北京:清华大学出版社,2002.
篇5
关键词:安全防护;数字校园;信息资源;防护体系
中图分类号:TP393 文献标识码:B 文章编号:1673-8454(2012)21-0024-02
学校网络安全与信息资源保密工作的重点:一是确保交换、服务、存储、备份设备正常运行;二是确保网上信息资源不被破坏或窃取;三是严格防止计算机或存储介质在校园网与互联网间混用,导致泄密;四是杜绝不符合校园网接入要求的终端或不合法用户入网。为有效防范各种攻击破坏行为,确保网络及信息资源安全,构建数字校园网络安全防护系统。
一、建设目标与原则
建设“数字校园安全防护系统”的目标和原则包括:构建整体防御体系;注重安全性能平衡;立足终端控制;着眼主动防范攻击;发挥原有设备作用;强化制度规定落实。
二、建设内容与功能
1.防范来自外网的病毒及入侵行为
(1)防火墙
学院校园网与全军军事训练综合信息网相连,为防止来自外网的端口扫描、蠕虫等安全威胁,购置具有军队认证资质、性能优良、拥有自主知识产权的天融信NGFW4000(TG-470C)型防火墙,该设备最大并发连接数160万,每秒新建连接数6万,实现以下功能:采用在线模式部署、在优先保证业务持续的基础上提供全面的防护、基于状态的链路检测,可以识别并阻断非法报文、防统计型报文等攻击行为;可以根据数据包的来源和数据包的特征进行阻断设置;支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;具有完善的日志收集、传输、存储、分析、报告等解决方案。
配置位置:全军网入口处。
(2)防毒墙
为防止来自外网的病毒传播,利用已有的天融信TOPSEC防病毒网关,串接在内网到全军网的出口处,过滤拦截双向的病毒传播。
配置位置:防火墙串行后端。
(3)入侵防御系统
为防止外网对校园网网络、服务、存储、终端设备和内部信息资源的破坏与窃取,及时发现、处理和防御各种入侵行为,购置1台H3C IPS T200E入侵防御设备,配合相应软件构建内网入侵防御系统。该系统在跟踪数据流状态的基础上,对报文进行3层到7层信息的深度检测,可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断,有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击。
配置位置:防毒墙或防火墙串行后端。
2.防范非法与不安全用户接入内网
(1)身份认证(用户入网实名制)
为防止外来终端随意接入校园网,利用已有的H3C Cams认证系统,在客户端安装H3C认证软件,实现用户名、密码、IP地址、MAC地址绑定后的统一认证,实现数字校园网络接入的实名制。
配置位置:安装在1台服务器上,接入核心交换机。
(2)端点准入系统(EAD)
为有效解决用户不及时升级病毒库、不打操作系统补丁、携带众多安全漏洞上网、运行恶意程序、试用黑客程序等问题,购置1套H3C端点准入防御系统。该系统能够在身份认证(实名制)的基础上,支持终端安全的准入控制,实现下线、隔离、提醒、监控等多种控制方式,支持安全状态评估、网络中安全威胁定位、安全事件感知及保护措施执行等,预防终端补丁、防病毒、ARP攻击、异常流量、黑白软件安装和运行等因素可能带来的安全威胁,从端点接入上保证每一个接入网络的终端的安全,从而保证网络和信息安全。
配置位置:安装在1台工控机上,接入核心交换机。
(3)访问控制(ACL)
利用核心交换机的VLAN TAG划分及访问控制列表功能,对各VLAN之间的访问进行控制,杜绝非法的VLAN互访,从而通过设置只允许特定用户访问的VLAN,形成重要信息隔离区,以保证重要主机、系统和信息的安全,防止越权访问网络和使用资源。
配置位置:核心交换机。
3.用户终端安全防护
(1)防病毒感染
强制用户安装瑞星杀毒软件网络版或军事综合信息网防病毒系统,实时自动更新病毒库,有效防范病毒及木马。网管通过EAD端点准入防御系统,自动检测上网终端病毒库更新情况,遇有病毒库没有更新的终端,只允许其与杀毒软件服务器连接,不能访问网络上的其它任何设备或信息。
配置位置:安装于用户上网终端。
(2)防入侵攻击
网管利用网络提供各类个人防火墙软件,用户安装这些软件,以增强入网终端防攻击及部分木马的能力。
配置位置:安装于用户上网终端。
(3)防系统漏洞
用户利用网管已经构建的Windows UPDATA服务器(Windows补丁更新系统),及时更新系统漏洞补丁,杜绝因Windows操作系统漏洞带来的安全隐患。网管通过EAD端点准入防御系统,自动检测上网终端操作系统补丁安装情况,遇有没有安装补丁的终端,只允许其与Windows UPDATA服务器连接。
配置位置:用户上网终端与服务器连接自动更新。
4.网站及应用系统安全防护
(1)网站安全
网站安全是网络安全的重要组成部分,除了利用IPS系统防范蠕虫、病毒、木马、DoS/DDoS、后门等攻击,还要防止黑客向网站进行各类注入及跨站攻击,为此必须在网站建设初期做好安全防范,主要做好代码过滤、脚本防范、数据库防护、服务器安全配置等。
配置位置:网站建设代码及各服务器。
(2)应用系统安全
校园网运行的各类应用系统,必须使用校园“一卡通”统一安全认证机制,配合VLAN的ACL功能,在系统中设计权限控制功能,以保护应用系统及数据安全。
配置位置:应用系统程序权限管理系统。
5.军训网网络值勤综合管理系统
根据上级《关于配发军事训练信息网网络值勤综合管理系统的通知》精神,构建该系统运行环境。
6.安全管理制度规定
对网络及信息资源的安全管理是保证网络安全运行的基础,在采用上述网络安全技术措施的同时,建立一套数字校园安全管理与使用的制度章法体系,并采取切实有效的措施保证制度的落实与执行。包括:数字校园网安全管理实施细则;数字校园网使用管理规定;网管机房管理规定;数字校园网应急响应预案;教学训练信息资源使用规定。
篇6
关键词:交换机配置;网络管理;故障检测;网络安全。
一、交换机配置方法
1.本地配置
用翻转线将计算机COM口与交换机的“Console”端口直接连接起来,在Windows XP中打开超级终端,新建连接,参数如右图设置,单击确认后可通过命令方式对交换机进行设置,这里要注意交换机的三种模式,即普通用户模式、特权用户模式、全局配置模式,各种模式的设置权限不一样。
2.远程配置
远程配置可通过Telnet或者Web浏览器的方式实现的,如交换机IP地址为192.168.1.1,Telnet方式:在运行框中输入Telnet 192.168.1.1,确定后即可建立与远程交换机的连接;Web方式:打开Web浏览器,在地址栏输入交换机IP,按提示输入用户名和密码,建立连接。然后,就可以根据实际需要对该交换机进行相应的配置和管理了。
二、交换机配置与网络管理、故障检测
1.配置交换机名称
交换机名称要在全局模式下进行配置,使用命令hostname。在多交换机企业网络环境中,为每台交换机配置有意义且唯一的名称是非常有必要的,我们常常需要在一台计算机上通过Telnet同时对多台交换机进行配置,独特的名称能够方便的区分各交换机CLI命令行界面,提高工作效率。
2.配置交换机IP地址
交换机IP地址要在全局模式下进行配置,通过交换机管理地址,我们可以方便地利用网内计算机通过Telnet和Web实现交换机的管理访问。如下命令可以配置交换机IP地址为10.10.1.1,子网掩码为255.255.255.0,网关地址为10.10.1.254。
Interface vlan 1
Ip address 10.10.1.1 255.255.255.0
No shutdown
Ip default-gateway 10.10.1.254
3.配置交换机DNS
为了实现管理和排错的目的,在交换机上配置DNS是非常不错的选择,这样能够将域名解析成IP地址。在全局模式下如下命令可以指定域名服务器为10.10.1.1和10.10.1.2。
Ip domain-name
Ip name-server 10.10.1.1 10.10.1.2
4.配置系统日志
在默认情况下,交换机将关键信息记录到本地缓冲区中,但众所周知,将关键设备的状态信息记录到系统日志服务器中才是更好的选择,这样可以通过系统日志服务器集中监控企业网络中所有的交换机,并依据这些信息掌握设备的运行状况,及早发现问题,及时进行配置设定和排障,保障网络安全稳定地运行。在全局模式下输入命令logging 10.10.1.1可以配置系统日志服务器为10.10.1.1。
5.配置交换机集群
在企业局域网中,由一台交换机和若干计算机终端组成的局域网早已无法满足企业信息化的需要,多交换机局域网应运而生。我们可以通过交换机级联增加端口数量和拓展网络覆盖范围,通过交换机堆栈增加背板带宽,通过交换机集群管理技术实现交换机的集中管理、维护和网络监视。交换机集群管理配置只要配置主交换机即可,步骤如下:在命令方式下进入(启动)集群视图,先配置集群IP地址池、设置集群名称,然后设置自动收集加入成员。在交换机集群环境下,只要对主交换机配置即可实现对集群所有交换机的配置,无须逐一配置每台交换机,另外管理员通过集群管理套件利用Web接口即可实现对集换机所有端口状态信息的检查,这样能够大大缩短故障发现和解决时间。
三、交换机配置与网络安全
1.SNMP v3和SSH配置
安全网管SNMP v3 提出全新的体系结构,将各版本的SNMP 标准集中到一起,进而加强网管安全性。SNMP v3 建议的安全模型是基于用户的安全模型,即USM.USM对网管消息进行加密和认证是基于用户进行的。具体地说就是用什么协议和密钥进行加密和认证均由用户名称(userNmae)和权威引擎标识符(EngineID)来决定(推荐加密协议CBCDES,认证协议HMAC-MD5-96 和HMAC-SHA-96),通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户对管理信息的修改、伪装和窃听。
Telnet是以明文方式在管理平台和交换机设备之间传递口令和数据,所以很容易被别有用心的人窃取口令,受到攻击。但采用SSH进行通讯时,用户名及口令均进行了加密,有效防止了对口令的窃听,便于网管人员进行远程的安全网络管理。使用SSH要求先配置用户名和密码,可以使用crypto key generate rsa命令启用SSH。
2.配置安全端口
在局域网内部的不安全因素是非常多的,常见的有MAC地址攻击、ARP攻击、IP/MAC地址欺骗等,我们可以通过配置交换机安全端口地址绑定、设置安全端口最大连接数来避免这些攻击。在全局模式下switchport port-security mac-address 00do.f800.073c ip-address 192.168.1.10命令可以实现IP地址192.168.1.10与MAC地址00do.f800.073c的绑定,防止网络攻击。
3.配置访问控制列表ACL
访问控制列表(ACL)是在三层交换机和路由器上经常采用的一种流量控制技术,它可以在内网部署安全策略,保证内网安全权限的资源访问;可以在内网访问外网时,进行安全数据过滤;可以防止常见病毒、木马攻击对用户的破坏。ACL可以基于数据包源IP地址、目的IP地址、协议及端口号等信息来过滤流量。如下命令可以实现拒绝来自192.168.2.0的流量通过,允许来自192.168.1.0的流量通过:
Ip access-list standard aaa
Deny 192.168.2.0 0.0.0.255
Permit 192.168.1.0 0.0.0.255
Exit
Ip access-group aaa out
4.其他技术
流量控制。交换机六种安全设置的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机六种安全设置带宽的异常负荷,并可提高系统的整体效能,保持网络安全稳定的运行。
配置虚拟局域网(VLAN)。VLAN的出现打破了传统网络的许多固有观念,使网络结构变得更加灵活、方便和随心所欲。在企业局域交换网维中,VLAN可以不用考虑计算机终端的物理位置,而只根据功能、应用等因素将计算机在逻辑上划分为一个个功能相对独立的工作组,并可以实现不同工作组之间的单向访问。如上图是企业局域网拓扑图,VLAN10与VLAN20代表不同部门,它们可能分布在不同楼层,也可能分布在几座楼之间,通过配置交换机,可以实现不同VLAN间访问的任意控制,如VLAN10间的计算机可以随意互访,但不能访问VLAN20等。VLAN在交换机上的实现方式可以是基于端口划分的VLAN、基于MAC地址划分的VLAN、基于网络层协议划分的VLAN、基于IP组播划分的VLAN、基于策略划分的VLAN、按用户定义和非用户授权划分VLAN,形式相当灵活,功能相当好用。
通过交换机配置基本参数,能有效提高网络管理效率,快速检测、发现网络故障点。而通过设置密码、安全端口、ACL等,能有效提高网络安全系数。通过控制流量、划分VLAN等,可以满足企业用户更多的不同的要求。
篇7
【 关键词 】 局域网;行为控制;方案
1 电力企业局域网络现状
国内众多企业在建立自己的局域网后,往往面临单位早期开发的各种应用专业软件在网内由于数据格式对接困难而无法共享,造成大量数据的重复建立。而建立局域网的作用本身就是要有效地实现企业内部的资源共享、信息、技术交流、生产组织、企业管理等。
目前企业局域网大多都是按照千兆网络建立的,信息点覆盖整个单位的生产和管理全过程,从而给企业内各部门提供了一个快速、便捷的信息交流平台。在内部网运行的OA系统就可实现企业的无纸化电子办公。当然如果企业仅有内网是远远不够的,局域网必须要通过与外部Internet的连接,企业终端用户可以直接与互联网建立联接。利用千兆高速网络交换技术给用户提供了快速、方便的数据交换平台的同时,也为局域网的安全带来了更大的风险。当终端用户达到600个以上的情况后,局域网络管理就比较困难了。如网络欺骗、病毒攻击、用户越权访问等,往往将造成整个网络的瘫痪。因此;在已建成的企业局域网中严格建立并实施一套完整、可控制的用户上网行为解决方案就显得极为迫切。
1.1 网络中的安全构架
企业的组网技术可有多种不同选择,但常用的是以太网和ATM网,在电力企业局域网中,通常的网络结构是:局域网一般由内网和外网两部分组成。内网又分成主干网和一些相对独立的子网。VPN服务器可看做是局域网中的一个子网,通过VPN把企业内部网和外部网连接起来,从而在二者之间起隔离阻断作用,有效地防止外网黑客的入侵。
对于企业网内已运行的管理信息平台可采用VSEAF统一用户权限认证管理体系,该体系安全可靠,能实现多层次、精确的权限控制,可将内部用户和外部用户安全隔离,保证了管理信息系统安全稳定。
电力企业局域网按访问职能可以划分为内部网络和Internet两个区域。内部网络又可按照所属系统、安全重要程度划为不同子网,如电力调度远动系统、企业门户网站、OA办公系统、生产及人财物管理子系统、电网地理信息GIS系统、客户交费子网、事故应急指挥系统等。在网络安全方案设计中,要重点考虑基于网络用户的安全重要程度和要保护的对象,可以在Catalyst 型交换机中划分多个虚拟局域网(VLAN),在主交换机中将整个局域网划分成多个独立的不同网段。
1.2 企业局域网络中的安全隐患
电力企业局域网与Internet直接连结,作为网络管理者就要考虑与内网与外部Internet连结的风险,如Internet的非授权访问、DOS攻击、黑客攻击等。
局域网内公开服务器的安全隐患最大,往往就是这类公开服务器最易遭到攻击后扩散到内部网用户中。因此在企业建立网络时应该考虑多采用安全服务器。内部网络中应考虑将不同功能和安全级别的网络服务器分割开。
1.2.1网络安全防护的脆弱
网络安全防护是一个系统性和长期性的任务。一是随着网络的日益开放,电网中实时运行控制系统终端的大量增加,造成对网络数据库服务器的依赖性越来越强,电力生产控制系统也越来越庞大,大量数据的安全性相对也极脆弱。二是计算机网络技术的日新月异,黑客的攻击手段也发展很快,你今天能有很有效的防火墙或隔离装置、安全策略,可能明天就无效。因此,必须依靠一套不断更新和完善的安全措施来及时应对,堵住可能出现的漏洞,防患于未然。
1.2.2 内部网络用户的非授权访问
网络用户终端越权访问已成为局域网安全体系中的一个薄弱环节,一旦出现,将威胁到整个网络的安全。内部网络用户的非授权访问,也就是没有预先经过管理员同意和授权,就使用网络或数据资源,即被看作是非授权访问,部分用户有意避开网络访问控制机制,对网络设备及资源进行非正常使用,或擅自修改并扩大访问权限。
1.2.3 网络用户的越权登陆控制问题
内部局域网会出现假冒他人身份,未经授权而非法使用他人计算机的情况;信息资源的管理;由于出现越权访问,使得单位的一些重要资源泄露;企业员工经常在上班时间玩游戏,办理个人私事,比如上网聊天、炒股、购物等情况,管理员很难控制;由于个别或一批员工从互联网下载视频,导致整个局域网的网速缓慢,从而极大地影响了正常电子办公。
2 局域网络中安全行为管理控制对策
针对以上局域网管理普遍存在的问题,目前较为可行的就是采用一套基于局域网管理的安全访问控制解决方案。该局域网安全访问控制解决方案是基于PKI理论,通过软硬件结合的方式,实行统一的控制服务器来实现网络访问策略的集中管理。
在应用程序开发前就应考虑必需要有用户登录验证,防止非授权用户访问的功能。总之,在进行网络方案设计时,应综合考虑到电力企业对局域网在网络安全、畅通、稳定可靠的要求,要对电力企业网络中已开发运行的系统潜在的安全风险进行综合考虑。
在信息中心部署一台CA服务器,用来给内网用户发放数字证书;另外还需配备两台服务器,一台作认证服务器用于对终端用户的身份进行认证;另一台安装局域网终端访问控制软件,作为访问控制服务器用,在访问控制服务器上进行集中的安全部署策略,制定一套安全策略方案来实现对客户端计算机的安全管理。通过安全控制中心可实现对局域网客户端进行集中式的管理。
局域网中采用终端访问控制技术。通过局域网管理员在访问控制服务器上配置,授权不同的用户对网络的访问权限,对局域网内的每个终端用户都要建立或注册自己的数字证书。用户登录个人PC必须使用SecureKey,一旦将SecureKey从计算机上拔出,系统会自动锁定或注销该用户。这样就防止了局域网内非法使用他人的电脑。
在控制服务器中可以设置网内的PC终端用户是否准许其上网,在网络中指定允许终端用户运行的应用软件和访问的网址;同时对不可访问的资源,如禁止用户访问的应用软件、网络游戏、关键字网站、视频下载等。
网络中数据库的安全与控制。数据库的安全问题最主要的就是访问控制策略。访问控制策略主要应考虑用户的最小特权策略和最大共享策略。
最小特权策略就是把信息共享局限在实际工作中确实需要的部分用户的范围内。其余的访问权限一律封闭。这样可把企业数据信息外泄限制在最小范围内,同时数据库的完整性也能得到加强。
最大共享策略就是最大限度地利用数据库信息。在满足保密的前提下实现最大限度的共享。比如对厂务公开、图书馆资料、企业文化等数据库,一般都可随时登录查询。但有些非常机密珍贵的数据资源就需要专门的授权才能登录访问。
3 结论
本文提出的局域网访问控制解决思路与对策,可有效地解决企业面临的局域网终端用户管理失控问题,网络畅通了自然就减轻了网络管理员的负担,同时在局域网的建设中也提供了一些有意义的尝试和探索经验。通过建立一套行之有效的安全行为控制方案,从而实现和确保了企业局域网络用户的正常电子办公和数据处理。局域网安全管理控制方案的实施必将为电力企业信息网络正常运行提供一套可靠的防火墙。
参考文献
[1] 张沪寅,吴黎兵,吕慧.计算机网络管理实用教程(第2版).武汉大学出版社.
[2] 洛克哈特(Andrew Lockhart),陈新.网络安全Hacks(第2版).中国电力出版社.
[3] 国家电网公司人力资源部.电网调度自动化主站维护(套装上下册) .中国电力出版社.
篇8
[论文摘要]应用信息安全技术提高电子政务系统的安全性是一个迫切需要解决的问题。本文首先剖析了电子政务系统信息安全方面存在的问题,其次研究了信息安全技术在电子政务系统中的应用,涉及到安全区域的有效划分、重要信息的有效控制以及系统vpn的台理设计等等,在一定程度上保证了电子政务系统的安全。
1引言
电子政务是提升一个国家或地区特别是城市综合竞争力的重要因素之一,电子政务系统中有众多的政府公文在流转,其中不乏重要情报,有的甚至涉及国家安全,这些信息通过网络传送时不能被窃听、泄密、篡改和伪造。如果电子政务网络安全得不到保障,电子政务的便利与效率便无从保证,对国家利益将带来严重威胁。因此,研究信息安全技术及其在电子政务系统中的应用具有重要的现实意义。
2电子政务系统信息安全存在的问题剖析
2.1网络安全方面的问题
电子政务网在建网初期都是按照双网模式来进行规划与建设,即电子政务内网和外网,内网作为信息内部信息和公文传输平台,开通政府系统的一些日常业务,外网通过路由汇聚加防火墙过滤接入主要向公众一些公共服务信息和政府互动平台。双网实现了物理隔离,建网初期往往只看重网络带来的便利与高效,但是并没有同步充分考虑安全问题,也没有对互联网平台的潜在安全威胁进行过全面综合的风险评估,网络安全建设严重滞后。网络安全方面的问题主要涉及到以下几个方面:
(1)来自内部的恶意攻击这种攻击往往带有恶作剧的形式,虽然不会给信息安全带来什么大的危害,但对本单位正常的数据业务和敏感数据还是会带来一定的威胁。
(2)移动存储介质的交叉使用,对于电子内网pc来讲,把上互联网的pc上使用过的u盘,移动硬盘都不能在政务内网上使用。u盘病毒和“摆渡”间谍特马会把内网中的保密信息和敏感数据带到互联网上,回传给木马的制作者。并且,这种病毒还会在内网上传播,消耗系统资源,降低平台的新能,影响政务内网各种业务的正常流转。
(3)内网的身份认证和权限管理问题。防止内网一般用户越权管理数据库,服务器,和高权限的数据平台。
(4)内网中使用的带存储芯片的打印复印设备离开现场返公司维修问题。
(5)政务内网中使用的各种损坏移动存储介质的管理销毁问题。
以上各个网络环节管理不好都会给信息安全带来潜在的隐患,会造成国家重要机密的泄密。
2.2信息安全管理方面的问题
有些政府单位存在只重技术,不重管理的现象,没有认识到人是信息安全的关键,管理正是把人和技术结合起来,充分发挥安全技术保障能力的纽带。总体上说,我国网络安全管理与保卫工作是滞后的。许多部门内部没有从管理制度、人员和技术上建立相应的安全防范机制,缺乏行之有效的安全检查保护措施。内部人员拥有系统的一定的访问权限,可以轻易地绕过许多访问控制机制不少网络维护使用人员缺乏必要的网络安全意识和知识,有的不遵守安全保密规定,将内网直接或间接地与因特网连接,有的安全设施设备的配置不合理,访问控制不够严格,这些问题的存在直接带来了安全隐患。
3电子政务系统中的信息安全技术的应用掇讨
通常情况下,政务网建设将市、区县政务网连接在一起。为政府的内部办公和对外服务提供了极大的便利。本节针对以上提到的各种安全问题,探讨安全技术在政务系统中的具体应用。
3.1安全区域的有效划分
根据安全策略需要,安全域可以包括多级子域,相互关联的安全域也可以组成逻辑域。
电子政务网络域:网络基础设施层及其上层的安全保护功能的实现应由接入政务专网的用户系统负责实现。
电子政务业务处理域:电子政务业务处理域(简称“业务处理域”)包括那些在政务部门管理控制之下,用来承载电子政务业务系统的本地计算环境及其边界,以及电子政务信息系统的内部用户。业务处理域内主要包含相应政务部门的政务内网域、政务外网域和公众服务域,有些政务部门还有内部自成体系的独立业务域。每个子域都对应的本地计算环境和边界。政务内网域与政务外网域物理隔离,政务外网域与公众服务域逻辑隔离。
电子政务基础服务域:电子政务基础服务域主要包括为电子政务系统提供服务的信息安全基础设施信息安全基础设旌有:电子政务数字证书中心、信息安全测评中心、信息安全应急响应中心以及远程灾备中心等。
3.2重要信息的有效控制
电子政务系统的数据控制主要目的是阻止攻击者利用政务系统的管理主机作为跳板去攻击别的机器,但是只是尽量的减少,而不是杜绝这种行为。当然,针对政务内部网络任何的扫描、探测和连接管理主机是允许的,但是对从主机出去的扫描、探测、连接,网络安全系统却必须有条件的放行,如果发现出去的数据包有异常,那系统管理员必须加以制止。数据控制示意图如图3—1所示:
本文研究的政务系统的数据控制使用两层来进行数据控制:防火墙和信息检测系统(ids)。
防火墙为了防止政务系统的管理主机被作为跳板攻击其它正常系统。我们必须对管理主机的外连接数进行控制,如只允许在一定的时一间内发送一定数量的数据包。防火墙的主要功能是:设定单向地址拦截或双向地址拦截,在单向地址拦截时,~方到另一方的资料访问被禁止,但反向的数据访问依然能正常进行,不会受到影响;采用先进的状态监测数据包过滤技术,不仅仅是依靠单个的ip包来过滤,而是对每一个对话和连接进行分析和监控,在系统中自动维护其当前状态,根据连接的状态来对ip包进行高效快速安全过滤;对管理主机的外出连接进行控制。当外出连接达到一定数量时,阻断以后的连接,防止管理主机被攻击者攻破后用来作为发起攻击的“跳板对所有出入系统的连接进行日志记录。
3.3系统vpn的合理设计
使用vpn,可以在电子政务系统所连接不同的政府部门之间建虚拟隧道,使得两个政务网之间的相互访问就像在一个专用网络中一样。使用lrpn,可以使政务网用户在外网就象在内网一样的访问政务专用网的资源。使用vpn,也可以实现政务网内特殊管理的需要。vpn的建立有三种方式:一种是internet服务商(isp)建设,对企业透明;第二种是政府部门自身建设,对isp透明;第三种是isp和政府部门共同建设。
在政务网的基础上建立vpn,第二种方案比较合适,即政府部门自身建设,对isp透明。因为政务网是地理范围在政务网内的计算机网络,它有运行于internet的公网ip地址,有自己的路由设备,有自己的网络管理和维护机构,对政务网络有很强的自主管理权和技术支持。所以,在政务网基础上建立vpn,完全可以不依赖于isp,政府部门自身进行建设。这样可以有更大的自主性,也可以节省经费。
3.4其他信息安全技术的使用
此外,电子政务系统的安全性可以采用如下的措施加以保证:控制对网络设备的snep和telnet,在所有的骨干路由器上建立accesslist只对网管中心的地址段做permit,即通过网管中心的主机才能远程维护各骨干路由设备路由协议在不安全的端口上进行passive防止不必要的路由泄露;将所有重要事件进行纪录通过日志输出:采用防火墙设备对政务局域网进行保护。
篇9
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技
术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
摘要:随着“校校通”工程的深入实施,校园网作为学校重要的基础设施,担负着学校教学、教研、管理和对外交流等许多重要任务。校园网的安全问题,直接影响着学校的教学活动。文章结合十几年来校园网络使用安全及防范措施等方面的经验,对如何加强校园网络安全作了分析和探讨。
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.
篇10
关键词:网络安全;网络管理;防护;防火墙
中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2011)14-3302-02
随着企业信息化进程的不断发展,网络已成为提高企业生产效率和企业竞争力的有力手段。目前,石化企业网络各类系统诸如ERP系统、原油管理信息系统 、电子邮件系统 以及OA协同办公系统等都相继上线运行,信息化的发展极大地改变了企业传统的管理模式,实现了企业内的资源共享。与此同时,网络安全问题日益突出,各种针对网络协议和应用程序漏洞的新型攻击层出不穷,病毒威胁无处不在。
因此,了解网络安全,做好防范措施,保证系统安全可靠地运行已成为企业网络系统的基本职能,也是企业本质安全的重要一环。
1 石化企业网络安全现状
石化企业局域网一般包含Web、Mail等服务器和办公区客户机,通过内部网相互连接,经防火墙与外网互联。在内部网络中,各计算机处在同一网段或通过Vlan(虚拟网络)技术把企业不同业务部门相互隔离。
2 企业网络安全概述
企业网络安全隐患的来源有内、外网之分,网络安全系统所要防范的不仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问。企业网络安全隐患主要如下:
1) 操作系统本身存在的安全问题
2) 病毒、木马和恶意软件的入侵
3) 网络黑客的攻击
4) 管理及操作人员安全知识缺乏
5) 备份数据和存储媒体的损坏
针对上述安全隐患,可采取安装专业的网络版病毒防护系统,同时加强内部网络的安全管理;配置好防火墙过滤策略,及时安装系统安全补丁;在内、外网之间安装网络扫描检测、入侵检测系统,配置网络安全隔离系统等。
3 网络安全解决方案
一个网络系统的安全建设通常包含许多方面,主要为物理安全、数据安全、网络安全、系统安全等。
3.1 物理安全
物理安全主要指环境、场地和设备的安全及物理访问控制和应急处置计划等,包括机房环境安全、通信线路安全、设备安全、电源安全。
主要考虑:自然灾害、物理损坏和设备故障;选用合适的传输介质;供电安全可靠及网络防雷等。
3.2 网络安全
石化企业内部网络,主要运行的是内部办公、业务系统等,并与企业系统内部的上、下级机构网络及Internet互连。
3.2.1 VLAN技术
VLAN即虚拟局域网。是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。
借助VLAN技术,可将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境 ,就像使用本地LAN一样方便。一般分为:基于端口的VLAN、基于MAC地址的VLAN、基于第3层的VLAN、基于策略的VLAN。
3.2.2 防火墙技术
1) 防火墙体系结构
① 双重宿主主机体系结构
防火墙的双重宿主主机体系结构是指一台双重宿主主机作为防火墙系统的主体,执行分离外部网络和内部网络的任务。
② 被屏蔽主机体系结构
被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,强迫所有的外部主机与一个堡垒主机相连,而不让其与内部主机相连。
③ 被屏蔽子网体系结构
被屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器,位于堡垒主机的两端,一端连接内网,一端连接外网。为了入侵这种类型的体系结构,入侵者必须穿透两个屏蔽路由器。
2) 企业防火墙应用
① 企业网络体系中的三个区域
边界网络。此网络通过路由器直接面向Internet,通过防火墙将数据转发到网络。
网络。即DMZ,将用户连接到Web服务器或其他服务器,Web服务器通过内部防火墙连接到内部网络。
内部网络。连接各个内部服务器(如企业OA服务器,ERP服务器等)和内部用户。
② 防火墙及其功能
在企业网络中,常常有两个不同的防火墙:防火墙和内部防火墙。虽然任务相似,但侧重点不同,防火墙主要提供对不受信任的外部用户的限制,而内部防火墙主要防止外部用户访问内部网络并且限制内部用户非授权的操作。
在以上3个区域中,虽然内部网络和DMZ都属于企业内部网络的一部分,但他们的安全级别不同,对于要保护的大部分内部网络,一般禁止所有来自Internet用户的访问;而企业DMZ区,限制则没有那么严格。
3.2.3 VPN技术
VPN(Virtual Private Network)虚拟专用网络,一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。位于不同地方的两个或多个企业内部网之间就好像架设了一条专线,但它并不需要真正地去铺设光缆之类的物理线路。
企业用户采用VPN技术来构建其跨越公共网络的内联网系统,与Internet进行隔离,控制内网与Internet的相互访问。VPN设备放置于内部网络与路由器之间,将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问。
3.3 应用系统安全
企业应用系统安全包括两方面。一方面涉及用户进入系统的身份鉴别与控制,对安全相关操作进行审核等。另一方面涉及各种数据库系统、Web、FTP服务、E-MAIL等
病毒防护是企业应用系统安全的重要组成部分,企业在构建网络防病毒系统时,应全方位地布置企业防毒产品。
在网络骨干接入处,安装防毒墙,对主要网络协议(SMTP、FTP、HTTP)进行杀毒处理;在服务器上安装单独的服务器杀毒产品,各用户安装网络版杀毒软件客户端;对邮件系统,可采取安装专用邮件杀毒产品。
4 结束语
该文从网络安全及其建设原则进行了论述,对企业网络安全建设的解决方案进行了探讨和总结。石化企业日新月异,网络安全管理任重道远,网络安全已成为企业安全的重要组成部分、甚而成为企业的本质安全。加强网络安全建设,确保网络安全运行势在必行。
参考文献:
[1] 王达. 路由器配置与管理完全手册――H3C篇[M]. 武汉:华中科技大学出版社,2010.
[2] 王文寿. 网管员必备宝典――网络安全[M]. 北京:清华大学出版社,2007.
相关期刊
精品范文
10网络监督管理办法