网络管理与网络安全范文

时间:2023-09-12 17:20:01

导语:如何才能写好一篇网络管理与网络安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络管理与网络安全

篇1

关键词:网络安全 网络管理

中国拥有四千万中小企业,据权威部门调研发现,90%以上的中小企业至少都已经建立了内部网络。但是,随之而来的,就是企业内部网络的安全性问题。多核、万兆安全、云安全这些新技术对于他们而言或许过于高端,中小企业应该如何进行网络安全管理?又该从哪入手呢?

1 企业内部网络建设的三原则

在企业网络安全管理中,为员工提供完成其本职工作所需要的信息访问权限、避免未经授权的人改变公司的关键文档、平衡访问速度与安全控制三方面分别有以下三大原则。

原则一:最小权限原则

最小权限原则要求我们在企业网络安全管理中,为员工仅仅提供完成其本职工作所需要的信息访问权限,而不提供其他额外的权限。

如企业现在有一个文件服务器系统,为了安全的考虑,我们财务部门的文件会做一些特殊的权限控制。财务部门会设置两个文件夹,其中一个文件夹用来放置一些可以公开的文件,如空白的报销凭证等等,方便其他员工填写费用报销凭证。还有一个文件放置一些机密文件,只有企业高层管理人员才能查看,如企业的现金流量表等等。此时我们在设置权限的时候,就要根据最小权限的原则,对于普通员工与高层管理人员进行发开设置,若是普通员工的话,则其职能对其可以访问的文件夹进行查询,对于其没有访问权限的文件夹,则服务器要拒绝其访问。

原则二:完整性原则

完整性原则指我们在企业网络安全管理中,要确保未经授权的个人不能改变或者删除信息,尤其要避免未经授权的人改变公司的关键文档,如企业的财务信息、客户联系方式等等。

完整性原则在企业网络安全应用中,主要体现在两个方面。一是未经授权的人,不能更改信息记录。二是指若有人修改时,必须要保存修改的历史记录,以便后续查询。

原则三:速度与控制之间平衡的原则

我们在对信息作了种种限制的时候,必然会对信息的访问速度产生影响。为了达到这个平衡的目的,我们可以如此做。一是把文件信息进行根据安全性进行分级。对一些不怎么重要的信息,我们可以把安全控制的级别降低,从而来提高用户的工作效率。二是尽量在组的级别上进行管理,而不是在用户的级别上进行权限控制。三是要慎用临时权限。

2 企业内部网络暴露的主要问题

2.1 密码单一

2.1.1 邮件用统一密码或者有一定规律的密码

对于邮件系统、文件服务器、管理系统等等账户的密码,设置要稍微复杂一点,至少规律不要这么明显,否则的话,会有很大的安全隐患。

2.1.2 重要文档密码复杂性差,容易破解

纵观企业用户,其实,他们对于密码的认识性很差。有不少用户,知道对一些重要文档要设置密码,但是,他们往往出于方便等需要,而把密码设置的过于简单。故我们对用户进行网络安全培训时,要在这方面给他们重点提示才行。

2.2 网络拥堵、冲突

2.2.1 下电影、游戏,大量占用带宽资源

现在不少企业用的都是光纤接入,带宽比较大。但是,这也给一些酷爱电影的人,提供了契机。他们在家里下电影,下载速度可能只有10K,但是,在公司里下电影的话,速度可以达到1M,甚至更多。这对于喜欢看电影的员工来说,有很大的吸引力。

2.2.2 IP地址随意更改,导致地址冲突

有些企业会根据IP设置一些规则,如限制某一段的IP地址不能上QQ等等一些简单的设置。这些设置的初衷是好的,但是也可能会给我们网络维护带来一些麻烦。

2.3 门户把关不严

2.3.1 便携性移动设备控制不严

虽然我们公司现在对于移动存储设备,如U盘、移动硬盘、MP3播放器等的使用有严格的要求,如要先审批后使用,等等。但是,很多用户还是私自在使用移动存储设备。

私自采用便携性移动存储设备,会给企业的内部网络带来两大隐患。

一是企业文件的安全。因为企业的有些重要文件,属于企业的资源,如客户信息、产品物料清单等等,企业规定是不能够外传的。二是,若利用移动存储设备,则病毒就会漏过我们的设在的病毒防火墙,而直接从企业的内部侵入。

2.3.2 邮件附件具有安全隐患

邮件附件的危害也在慢慢增大。现在随着电子文档的普及,越来越多的人喜欢利用邮件附件来传递电子文档。而很多电子文档都是OFFICE文档、图片格式文件或者RAR压缩文件,但是,这些格式的文件恰巧是病毒很好的载体。

据相关网站调查,现在邮件附件携带病毒的案例在逐年攀升。若企业在日常管理中,不加以控制的话,这迟早会影响企业的网络安全。

3 企业内部网络的日常行为管理

由于组织内部员工的上网行为复杂多变,没有哪一付灵药包治百病,针对不同的上网行为业界都已有成熟的解决方案。现以上网行为管理领域领导厂商深信服科技的技术为基础,来简单介绍一下基本的应对策略。

3.1 外发Email的过滤和延迟审计。

防范Email泄密需要从事前和事后两方面考虑。首先外发前基于多种条件对Email进行拦截和过滤,但被拦截的邮件未必含有对组织有害的内容,如何避免机器识别的局限性?深信服提供的邮件延迟审计技术可以拦截匹配上指定条件的外发Email,人工审核后在外发,确保万无一失。

事后审计也不容忽视。将所有外发Email全部记录,包括正文及附件。另外由于Webmail使用的普遍,对Webmail外发Email也应该能做到过滤、记录与审计。

3.2 URL库+关键字过滤+SSL加密网页识别。

通过静态预分类URL库实现明文网页的部分管控是基础,但同时必须能够对搜索引擎输入的关键字进行过滤,从而实现对静态URL库更新慢、容量小的补充。而对于SSL加密网页的识别与过滤,业界存在通过SSL加密流量、解密SSL加密流量的方式实现,但对于组织财务部、普通员工操作网上银行账户的数据也被解密显然是存在极大安全隐患的。深信服上网行为管理设备通过对SSL加密网站的数字证书的进行识别、检测与过滤,既能满足用户过滤 SSL加密网址的要求,同时也不会引入新的安全隐患。

3.3 网络上传信息过滤。

论坛灌水、网络发贴、文件上传下载都需要基于多种关键字进行过滤,并应该能对所有成功上传的内容进行详细记录以便事后查验。但这是不够的,如藏污纳垢的主要场所之一的互联网WEB聊天室绝大多数都是采用随机动态端口访问,识别、封堵此类动态端口网址成为当下上网行为管理难题之一,只有部分厂商能妥善解决该问题,这是用户在选择上网行为管理网关时需要着重考虑的问题。

3.4 P2P的精准识别与灵活管理。

互联网上的P2P软件层出不穷,如果只能封堵“昨天的BT”显然是不足的。在P2P的识别方面深信服科技的P2P智能识别专利技术――基于行为统计学的分析的确有其独到之处。基于行为特征而非基于P2P软件本身精准识别了各种P2P,包括加密的、不常见的、版本泛滥的等。有了精准识别,这样的设备对P2P的流控效果格外出众。

3.5 管控各种非工作无关网络行为。

篇2

关键词:网络威胁;技术;管理;法律

中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)15-30686-02

Management is More Important than Technology for Network Security

NING Meng-li1, MA Zhan-bao2

(1.Shanxi Tourism Vocational College,Taiyuan 030031, China; 2.Henan Communication Vocational Technical College,Zhengzhou 450005, China)

Abstract:Based on the current network security condition, through to each kind of network security threat analysis, introduces the realization of technical on the network security initiative defense system. It proposes the solution measure that management is more important than technology based on the analysis of the situation on the current network security management.

Key words:Network threats; Technology; Management; Legal

1 引言

随着计算机网络的普及和应用,网络对人们工作和生活的重要性越来越明显。全世界正对这个海量的信息库进行不断的挖掘和利用,人们在获取有用信息和利益的同时,也面临着各种各样的威胁。以高科技为特征的网络安全威胁带来的损害与人们对网络的依赖程度成正比,因此网络安全关系到国计民生,需要全社会的重视。

网络安全威胁来自多种渠道,内部的或外部的、恶意的或无意的。根据互联网信息中心(2006年)报告显示,在经济利益驱动下的网络安全事件更加隐蔽、复杂和频繁,涉及政府机构和信息系统部门的网络纂改、网络仿冒以及针对互联网企业的DDoS等事件,而其中利用漏洞攻击是网络系统安全威胁的最重要根源,目前黑客利用木马和僵尸网络攻击获取经济利益已经成为发展趋势。各种攻击方法相互融合,除了代码和数据流攻击外,还包括信息渗透、破坏机密资料以及人工物理接触攻击等。从整体上来说,网络都存在着被人忽视的管理漏洞,而攻击的定向性和专业性使网络安全防御更加困难。

2 安全威胁

2.1 恶意软件

恶意软件是指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含计算机病毒。它处于合法商业软件和计算机病毒之间,表面有一定使用价值,但其隐蔽性、对抗性的、恶意性的特点给用户带来各种危害,包括常见的广告软件、间谍软件、浏览器劫持、恶意共享软件、行为记录软件以及网络钓鱼等。这些恶意软件轻则频繁弹出,影响电脑运行速度,重则窃取用户重要数据及隐秘资料用作其他商业利益。由于网络所具有的易隐蔽、技术性强和无地理界限性的空间特点,已经成为恶意软件争夺利益的市场,而最终受害的是网络使用者。

2.2 泛滥且变化的病毒

病毒是能自行执行、自我复制的程序代码或指令,具有很强的感染性、破坏性和隐蔽性。蠕虫是一种恶性病毒,一般通过网络传播。它具有病毒的一些共性,同时具有自己的特征,不依赖文件寄生,通常利用系统漏洞进行传播,而目前二者界限越来越模糊,且相互融合进行传播破坏,如熊猫烧香病毒等。

2.3 有缺陷的软硬件和网络

根据计算机系统安全的分级标准,计算机安全性能由高到低分为A、B、C、D四大等级,其中A级最高,理论上安全级别越高,系统也就越安全,但是系统本身所具有的或设置上存在的某些缺陷,在某些条件下被某些人故意利用,就成为系统安全方面的漏洞,有软硬件方面、网络协议方面、管理上和人为方面等。

计算机操作系统在本身结构设计和代码设计时偏重考虑使用的方便性,但功能又相对的复杂和全面,从而导致系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。随着版本改进,新增加的功能又带来新的漏洞。如:UNIX OS建立于60年代,由于其源代码的开放性,从而开发出不同版本的UNIX OS和应用程序,但其协作方式松散,框架没有经过严密论证。源代码公开的特性使开发人员及软件爱好者能发现漏洞,促使其不断完善本系统,同时也使某些人有足够条件分析软件中可能存在的漏洞,由于补丁往往滞后于漏洞,因而补了旧的又产生新的漏洞。

互联网的基础是TCP/IP,TCP/IP是一个工业标准的协议,在协议制定之初,由于没有预料到网络发展如此之快,对安全问题考虑不周,而本身开放的特性,从而成了网络攻击的主要途径。同样网络中的各种结点也存在漏洞问题,Router是网络互联中最繁重的转发和指挥枢纽,功能强大而复杂,以目前技术而言,不可能完全避免漏洞,如Cisco产品就有几十种漏洞。

由于经验的缺乏和错误的理论,硬件系统和应用程序的错误配置也会成为安全隐患,这种隐患目前是许多部门网络普遍存在的现象。

2.4 单薄的制度和法律

法律对网络调整是一个不可忽略的因素。法律具有相对稳定性,而计算机与网络技术是不断发展的,同时病毒与漏洞也在不断变化,也就是再完备的法律也无法适应变化的网络需要。因为一方面,法律进行的程序难以适应网络的特点,例如取证困难等;另一方面根据目前网络的发展情况,缺乏有针对性的法律依据。

恶意代码的传播方式在不断演化,病毒流行的速度越来越快、变种周期越来越短,日益增加的网络、软硬件漏洞正被越来越多的恶意软件和病毒所利用,而法律和制度的相对滞后性及不完备性,使网络正成为一个高风险的安全薄弱的高技术领域。

3 安全管理

安全问题来自不同软、硬件设备,不同设备构成的不同系统之间,以及系统的不同设置条件等。随着使用时间推移,网络系统中存在的安全问题不断被暴露,因此安全问题是一个动态的不断变化和发展的问题。

网络安全是一个综合概念,也是一项比较复杂的系统工程,不是单一的某个安全产品或把各种安全技术的简单叠加就能够实现的网络安全。根据“木桶理论”,木桶容积取决于最短的木板,因此网络安全要求把各种技术、管理有机结合,各部分之间应相互协调,相互补充。

3.1 技术方面

根据网络变化和发展趋势,应该重视主动型、动态型的防御体系,通过制定严密的安全策略,运用新技术、新观点和新产品构建一个安全的网络保障体系。在整体的安全策略控制和指导下,在综合运用各种防护技术(包括使用防火墙技术、认证技术、加密技术等)的同时,利用检测技术(入侵检测技术、漏洞扫描技术等),安装杀毒软件、进行容灾备份等,组成一个策略、防护、监测和响应四部分的抵抗网络威胁的体系结构,将系统调整到最高安全级别和风险最低状态。

策略是可根据不同安全级别的资产制定不同的合理保护措施,根据2006年公安部对计算机安全产品进行质量监督中发现,各种安全产品都有自己的优缺点:

目前国内的防火墙产品实现技术多采用数据包过滤技术,且开发都是基于开放源代码的操作系统为主。审计监测产品大部分是国内产品,一般用agent(引擎,在远端主机上安装)/console(控制台)结构,技术上没有太大的创新,且审计不够全面和完善,但是比较注重专业化的应用。入侵监测产品目前以硬件为多,IDS(入侵监测产品)是将下载的数据包与自建或默认的攻击规则库进行对比,属于被动式反应技术;随着主动防御需求的日益增加,IPS(入侵防御系统)除了具有IDS的功能外,还能在检测到攻击后采取行动阻止攻击,但技术上国内产品稍有欠缺。现在社会对网络系统的依赖程度越来越深,但天灾人祸难免,重要部门对系统、信息进行容灾备份势在必行,由于资金、规划和认识方面的原因,至今能够实现的还是很少。

3.2 安全管理

管理重于技术,这是最重要也是目前最容易起到效果和达到长久有效的安全措施,在网络安全的管理上是一个持续发展的行为,可以从以下几个方面考虑:

3.2.1 完善法律体系

目前我们好多网络系统的安全预防能力处于初级阶段,许多应用系统除了安装杀毒软件外几乎不设防,法律制裁更是存在许多空白。因此,加快网络安全的立法速度,建立完善的网络安全法制体系刻不容缓,包括专业化的司法、执法程序和司法、执法人员,以及国家、组织和公民在使用网络资源及保护网络安全方面的权利和义务,在违反时应当承担的法律责任和接受的法律惩罚,以便做到网络安全管理的有法可依。

3.2.2 树立治理途径的多元化

在立法的同时,从国家长远发展的高度对网络安全提出要求,并提供理论指导性和政策性的文件,把网络安全作为一项关乎国计民生大事来落实,作为任务来完成。首先建立以国家部门为主导的联动机制,发挥国家有关部门的强制作用,通过政府机关、法律部门、非政府组织及一些有影响的组织和个人协同工作,制定相关政策,进行信息共享、制度整合、措施联动,从组织上、法律上、行政措施上形成完善的管理机制。同时加强与应急组织、网络运营商和网络服务提供商的联系与合作,提供技术保障。

3.2.3 加强网络市场监管力度

管理部门应该引导网络市场,树立正确商业意识,提高软件的网络准入制度。通过健全网络市场环境,建立网络市场规则体系逐步引导和规范网络行为。

3.2.4 提高使用者的安全意识

网络安全威胁来自多种渠道,根据研究发现来自内部的威胁影响更严重,由于内部用户相对于外部用户来说,有更好的条件了解网络结构、防护措施、部署情况、服务运行模式以及访问内部网络,若内部用户实施攻击或误操作,则造成的损失会更大。因此应该加强网络使用者的指导和培训,进行安全教育,提高网络与软件用户的安全意识与技术识别能力,以便实现自我保护。

3.2.5 进行技术合作和专业人才培养

提高网络安全保障能力,需要网络安全领域的商家和学术机构紧密合作,提供可信的软件和优质的服务,因而需要有较高技术水平的专业队伍来解决问题,因此重视对专业人员进行专门培训,并形成指导文件,成为一个严谨的详细的培训体系。相关部门和组织应技术合作,如实现软件安全工程和软件功能可信性等,在技术上封杀、围堵网络攻击和恶意软件的入侵途径,共同为用户创造一个可信赖的计算机网络环境。

4 总结

网络安全是一个不断发展和变化的研究课题,伴随着安全威胁事件的发生网络管理也在不断的完善和发展,相信随着技术的发展和法律法规的健全,在更具有前瞻性的管理思维模式下,网络会得到更好的发展。

参考资料:

[1] 蒋建春. 信息安全技术的8个发展趋势[J]. 计算机世界,2007.4.

[2] 黄家林. 主动防御系统及应用研究[J]. 网络安全,2007.3.

篇3

人们的生活随着互联网技术的高速发展,得到了非常显著的提高,并且让人们的生活方式以及生活习惯,都有了非常巨大的改变。互联网已经成为了人们交流各种信息的一个重要平台。因此,互联网的安全问题也逐渐的暴露了出现,成为了我国当下的一个重要的研究领域。

1网络信息资源的安全管理之中存在的问题

1.1操作系统中存在的漏洞

计算机拥有庞大的软件系统,但是其中最基本也最重要的系统就是计算机的操作系统。操作系统是提供一个用户正常使用计算机或者对其他程序进行安装的一个可以运行的平台。并且,操作系统还能够对计算机之中储存的资源进行管理。例如,对于计算机的硬件和软件之中存在的问题,利用一定的操作就能够轻松的进行查看和管理。在这个过程之中,就有可能会涉及到一个模块或者程序的安全问题。如果这些程序之中,存在着一些问题,但没有被发现和及时解决的化,可能就会造成计算机的整个系统崩溃,从而影响用户对计算机的正常使用。信息的传输、程序的加载等功能都能通过操作系统进行实现,尤其是通过ftp传输一些特殊的文件。而当这些特殊文件之中包括了一些可执行的文件,对于计算机也会造成不安全的影响。这些ftp文件,大都是由程序员编写出来的,在编写的过程之中可能会出现很多的漏洞,这些漏洞就会造成计算机资源的安全威胁,甚至引起系统的崩溃。计算机操作系统的不安全因素出现的原因,主要是操作系统会允许用户在计算机上创建一定的进程,并且能够对其进行远程激活。这种手段一旦被一些不法分子所利用,就有可能造成计算机被远程控制的威胁,也就是俗称的被“黑”。操作系统还能够实现对计算机的远程硬件和软件调用,从而通过网络节点流失很多相关的信息,从而带来一定的损失和安全威胁。

1.2网络开放性存在的问题

计算机最显著的特点就是其具有开放性,这是互联网技术发展的必然趋势,但是这种趋势却会给网络的安全带来比较大的隐患。首先,由于网络开放性的存在,就使得网络接入的门槛比较低,来自不同地区,不同身份的人都能够接入网络来交流一些信息或者问题。因此,在这些接入的人群之中,很有可能会存在一些图谋不轨的人,从而使得网络受到攻击,有可能会是针对计算机一些软件漏洞所发起的攻击,也有可能是针对网络之中的传输协议发起的攻击。并且这些攻击的范围包括本地的用户,也包括外地甚至国外的用户。这种入侵行为,在国家之间的存在早已经屡见不鲜,有些攻击行为一旦得逞可能会让某个国家造成严重的损失。所以,互联网的安全问题不仅仅是个人的问题,也是国家和世界的问题。

2网络安全技术

在我国比较常见的网络安全技术主要有入侵检测、可视化、防火墙、漏洞扫描、数据加密等技术。这些技术的应用,让当前的互联网安全有了一个比较好的保障,为用户提供了一个相对安全的上网环境。入侵检测技术主要指通过对审计数据的收集,从而将对网络安全日志以及网络行为进行分析,进而判断在近期的计算机系统之中是否存在被攻击或者一些违法的网络行为。这是一种积极主动的安全防御技术,是除了防火墙之外的第一道安全防护的闸门,该技术在检测时能够避免对网络性能的影响,从而更好的检测出网络供给的行为。进行入侵检测,可以随时对来自外部以及内部的网络攻击进行监控,让计算机资源的安全性得到有效的提高。目前的计算机入侵检测方法主要有混合入侵检测,基于主机以及网络的入侵检测等。入侵检测技术在网络资源安全的应用中,属于应用比较广泛的技术之一。可视化技术是建立在入侵检测、防火墙和漏洞扫描技术基础上的一种技术。该技术是网络安全可视操作的一种延伸,是各种安全技术的一种补充。该技术可以让网络数据之中的比较抽象的网络结构,以图像化的形式,被人们所观察,并且对网络中出现的一些特殊信息,进行实时的反应。该技术可以监控整个网络的运行状态,并且能够向网络安全管理员提示网络之中可能会出现的一些安全风险,使网络安全工作得到了便利。网络安全的管理人员,可以将网络的具体状况采用高维信息技术进行展开,从而使网络入侵行为更加清晰的暴露在管理人员的眼前。同时,采用可视化技术,还能够对未来网络安全事件的发展形势进行估计和判断,并且采取相应的针对措施来进行预防。可视化技术的应用,使得网络资源安全的防护更加的方便、智能。防火墙技术是普通大众最为熟悉的一种网络安全技术。该技术事先制定好一定的网络安全规则,然后强制性的检查内外网之间的信息交流行为,对不安全的外网访问行为进行限制。这种技术主要是根据实际情况对外网的访问权限进行设定,从而防止外网之中一些非法行为对计算机的入侵,使网络资源的安全得到保证。同时,防火墙技术还能够将内网之间的访问行为进行一定的规范,保证内部网络资源的真正安全。当前的防火墙技术主要有网络层防火墙以及应用层防火墙这两种类型的技术。网络层防火墙,可以被当作是在最底层的TCP/IP协议上工作的一种IP封包过滤器。网络管理员在对其进行设置的时候,可以设置成只允许自己需要的或者符合要求的封包通过,这样就可以禁止其他封包穿过防火墙。虽然,在理论上来说防火墙技术能够防止所有的外界数据流对计算机的入侵,但是防火墙并不能够对病毒的入侵有效的防止。漏洞扫描技术,是通过漏洞扫描的程序,对计算机的本地主机或者远程设备进行安全扫描,从而发现计算机系统之中存在的一些安全漏洞,并对这些漏洞进行打补丁形式的修补。以这种形式来保证整个系统的安全。漏洞扫描程序,通过对TCP/IP的相关服务端口监控主机系统的扫描,并利用模拟网络攻击记录目标主机的响应情况,从而对有用的数据信息进行收集。漏洞扫描能够将计算机之中存在的一些安全漏洞及时的掌握和发现,让网络运行的状况得到有效的反应,为用户提供一个安全的网络环境。并且,漏洞扫描还能够针对一些漏洞及时的做出有效的弥补措施,进行漏洞的修复,使漏洞引起的网络安全风险降到最低。数据加密技术,是目前比较常用的一种安全技术,是通过制定一定的规则,从而使得明文能够重新进行编码,变成别人没有办法识别的数据。这样在传输的过程之中即使被不法人员所截获,但是没有相应的密钥就不能够破解加密的信息,从而无法知道信息的具体内容。数据加密的技术主要是应用在对信息以及动态数据保存的方面。计算机的数据加密系统,主要包括密钥集合、明文集合、密文集合以及相关的算法所构成。而算法以及数据是数据加密系统之中最基本的组成部分,采用一系列的数学法则形成的算法,是数据加密能够实现的真正核心。

3提升网络信息资源管理的策略

3.1提升管理人员的业务技能

对于网络信息资源的安全而言,所面临的大部分威胁都是来自人为的威胁,包括黑客攻击等威胁。按照网络信息资源受到攻击的形式,主要可以分为主动攻击和被动攻击两种形式。主动攻击指的是一些不法分子,利用非法手段将信息的完整性进行破坏,并对数据包之中的内容进行更改,从而让接收者受到误导。或者是不法分子,进入计算机系统之中,将系统的大量资源进行占用,让系统不能够为用户提供正常的服务。被动攻击主要指的是,不对信息的传输造成影响的截取并破解传递信息的手段,这种手段具有极大的危险性。所以针对网络资源被攻击的形式,网络安全管理部门应该定期对管理人员进行专业技能水平的训练,并且让管理人员加强对安全网络的监测力度。同时制定不同攻击形式下的防御措施,让管理人员熟练掌握应对的方式,并且加强与国内外先进技术部门的合作,共同探讨防止网络攻击的新技术和新方法。

3.2加强计算机软硬件的管理

计算机的软件管理在计算机的网络信息资源安全保障方面,存在着非常重要的作用,所以在平时,网络安全管理人员要注重对软件的管理。对于计算机软件而言,主要的威胁是存在于计算机之中,或者一些外来的病毒,管理员应该定期的对计算机进行杀毒,并且注重杀毒软件的更新和补丁的下载等。对于计算机的硬件管理,主要需要从两个方面进行,首先是要为计算机的运行创造出一个非常良好的外部环境,要注重计算机的防火以及防潮等工作,避免外部环境对计算机造成一些不良影响。其次,对于机箱等硬件的管理,要制定一个详细、严格的管理制度,规定在没有经过系统管理员允许的情况之下,不能够打开机箱进行硬件的更换。此外,在平时,管理人员还需要对计算机的硬件进行定期的检测,使出现问题的硬件能够及时的发现并进行修理。

4结束语

总而言之,在当前的社会形式和时代背景之下,网络信息资源的安全管理技术的研究是非常重要的一件事情。所以有关部门要加强对技术的创新,加强对管理人员的培训,并且加强对计算机软硬件的良好管理,让我国的互联网处在一个安全、干净的环境之中,让每一位用户都能够放心的使用互联网技术。

作者:赵杰 单位:晋中职业技术学院电子信息系

引用:

[1]汪江.谈网络安全技术与电力企业网络安全解决方案研究[J].价值工程,2012.

[2]杨岭.基于网络安全维护的计算机网络安全技术应用研究[J].信息系统工程,2015.

篇4

关键词:长庆油田;网络安全;防范

0引言

随着国家信息化建设的快速发展,信息网络安全问题日益突出,信息网络安全面临严峻考验。当前互联网络结构无序、网络行为不规范、通信路径不确定、IP地址结构无序、难以实现服务质量保证、网络安全难以保证。长庆油田网络同样存在以上问题,可靠性与安全性是长庆油田网络建设目标。文章以长庆油田网络为例进行分析说明。

1长庆油田网络管理存在的问题

长庆油田公司计算机主干网是以西安为网络核心,包括西安、泾渭、庆阳、银川、乌审旗、延安、靖边等7个二级汇聚节点以及咸阳等多个三级节点为架构的高速广域网络。网络庞大,存在的问题也很多,这对日常网络管理是一份挑战,由于管理的不完善,管理存在以下几个方面问题:

1.1出现问题才去解决问我们习惯人工战术,习惯凭经验办事。网络维护人员更像是消防员,哪里出现险情才去扑救。设备故障的出现主要依靠使用者报告的方式,网管人员非常被动,无法做到主动预防,无法在影响用户使用之前就预见故障并将其消除在萌芽状态。因此,这种维护模式已经很难保障网络的平稳运行,能否平稳影响网络安全与否。

1.2突发故障难以快速定位仅仅依靠人工经验,难以对故障根源做出快速定位,影响故障处理。而且随着网络的复杂程度的提高,在故障发生时,难以快速全面的了解设备运行状况,导致解决故障的时间较长,网络黑客侵犯可以趁机而来,带来网络管理的风险。

1.3无法对全网运行状况作出分析和评估在传统模式下,这些都需要去设备近端检查,或远程登录到设备上查看,不仅费时费力,而且对于历史数据无法进行连续不间断的监测和保存,不能向决策人员提供完整准确的事实依据,影响了对网络性能及质量的调优处理,庞大的网络系统,不能通盘管理,不能保证网络运行稳定,安全性时刻面临问题。

2网络安全防范措施

计算机网络的安全性可以定义为保障网络服务的可用性和网络信息的完整性,为了有效保护网络安全,应做好防范措施,保证网络的稳定性,提高网络管理的效率。

2.1完善告警机制,防患于未然告警监控是一种手段,设备维护人员、网络分析人员需要通过告警信息去分析、判断设备出现的问题并尽可能的找出设备存在隐患,通过对一般告警的处理将严重告警发生的概率降下来。告警机制的完善一般从告警信息、告警通知方式两方面着手:

2.1.1在告警信息的配置方面目前,长庆油田计算机主干网包括的97台网络设备、71台服务器,每台设备又包含cpu、接口状态、流量等等性能参数,每一种参数在不同的时间段正常值范围也不尽相同。

例如同样为出口防火墙,西安与银川的各项性能阀值的设置也不尽相同,西安的会话数达到25万,而银川的超过20万就发出同样的告警。再比如,西安电信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的,因为这个时候在线用户很少,但是如果在晚上8:00-10:00,流量只有二、三十兆的流量,就要发出告警信息。

因此必须根据监控的对象(设备或链路)、内容(各项性能指标)以及时间段,设置不同的触发值及重置值。

2.1.2告警通知方式的多样化任何时间我们都无法保证能全天候死盯着屏幕,所以一方面需要制定相应的运维管理制度和轮班值守职责,另一方面则需要选择更加人性化的运维管理方式。维护人员不但需要页面显示的告警触发通知,也迫切需要在移动办公状态或休假状态第一时间得到预警,从而做出应有的反应,所以我们需要开发出例如声音、邮件、短信等多种告警方式。

通过以上两个方面,我们可以建成一个完善的故障告警系统,便于隐患的及时消除,提高了网络的稳定性。

2.2网络拓扑的动态化如果一个个设备检查起来显然费时费力,如果我们能将所有设备的状态及其连接状况用一张图形实时动态的直观显示出来,那么无疑会大大缩短故障定位时间(见图1,2)。

说明:2009-10-11日17:05,庆阳、延安、靖边、银川四个区域的T1200-02的连接西安的2.5GPOS口,泾渭T1200-01连西安的2.5GPOS口,以及西峰、吴起连接庆阳汇聚交换机Z8905-02的千兆光口,以上接口同时发出中断告警。

因此,综合告警信息与全网拓扑图,当出现大规模告警的情况下能够非常高效地找出故障源,避免了一步步繁琐的人工排查,从而达到有效提高故障的解决效率,提高了网络的稳定性。

2.3全网资源管理的动态化

2.3.1通过对网管系统的二次开发,实现全网动态资源分析,他的最重要特点就是动态,系统通过PollingEngine从设备上自动提取资料数据,如设备硬件信息、网络运行数据、告警信息、发生事件等。定时动态更新,最大限度的保持与现网的一致性。

2.3.2通过一个集中的浏览器界面上就可以快速、充分地了解现有网络内各种动态和静态资源的状况,彻底转变了传统的网络依赖于文字表格甚至是依赖于维护人员的传统维护模式,变个人资料为共享资料。

2.4提高安全防范意识只要我们提高安全意识和责任观念,很多网络安全问题也是可以防范的。我们要注意养成良好的上网习惯,不随意打开来历不明的电子邮件及文件,不随便运行陌生人发送的程序;尽量避免下载和安装不知名的软件、游戏程序;不轻易执行附件中的EXE和COM等可执行程序;密码设置尽可能使用字母数字混排;及时下载安装系统补丁程序等。

总之,影响网络稳定的因素有很多,本文基于日常网络安全管理经验,从日常网络管理的角度,提出一些安全防范措施,以期提高网络稳定性。

参考文献:

[1]石志国,计算机网络安全教程,北京:清华大学出版社,2008.

[2]张庆华,网络安全与黑客攻防宝典,北京:电子工业出版社,2007.

篇5

关键词:电信计算机;网络安全;管理策略

随着我国电信事业的快速发展,计算机网络技术的广泛应用,使人们的沟通方式发生了改变,电信网络成为传递信息的一种重要手段,随着社会经济信息化进程的发展,电信网络为社会创造了巨大的经济价值和社会价值,与此同时随着黑客的攻击,电信网络安全也受到了严重威胁,导致人们间的信息沟通遇到障碍,给社会带来了无可估量的经济损失。

1.目前导致电信网络安全问题的因素

影响通信网络安全的因素有很多,其中包括:病毒感染、系统漏洞、网络内部攻击、外部攻击、人为因素、资料存储与输出,下面分别做出详细讲解。

(1)病毒感染:病毒是计算机系统中最大的安全隐患,直接威胁到整个系统的正常运作,网络对于病毒的快速传播更是提供了便利条件,通过服务器上的软件下载、聊天工具的点击查看、电子邮件的收发等方式,对计算机展开攻击,破坏安全系统,给用户造成损失。

(2)系统漏洞:无论操作系统还是网络软件,都存有这样或那样的漏洞,没有百分百完善的,这样无疑给黑客入侵提供了切入口,造成了严重的网络事件。

(3)网络内部攻击:不少非法用户,用假冒的合法身份登入到局域网的内部网站,对机密的信息进行查看、窜改,从而严重破坏了内部的网络应用系统。

(4)网络外部攻击:顾名思义就是来自局域网以外的攻击破坏,比如:在中间站读取截获机密信息;修改窃取网络数据;破译机密信息;伪造合法身份占用信息资源;破坏软件执行等等。

(5)人为因素:一些人为失误的原因,造成的口令丢失、管理员安全配置不合理、资源访问没有得到合理控制等,对于网络安全系统造成了一定的破坏。

(6)资料存储与传输:当系统受到攻击时,存储的资料很容易被窃取,造成机密文件外泄,因此在机密文件的存储和传输也是网络安全的威胁因素。

2.分析目前我国电信网络安全存在的问题

现代化的网络环境,为我们相互间进行信息交流、信息共享和信息服务提供了便利的条件和广阔的空间,满足了人们所向往的信息开放、快速和灵活的共享,随着网络技术的广泛推广及应用,极大的促进了社会经济的发展。然而因为互联网所具有的开放性和交互性令其不可避免的受到安全威胁。目前计算机病毒的肆意横行和快速传播,为我国电网络的安全带来了严重威胁,为社会带来了极大的经济损失。当前电信网络技术在我国各行各业都得到了普及应用,无论是商务活动还是社会互动,都离不开电信网络技术的信息传递,但随着黑客的攻击,企业间的绝密信息被遭到了肆意的破坏或截取。

     通过我国电信保障局的相关网络安全管理人士分析,我国目前电信网络安全防护工作面临着巨大挑战,他指出我国的电信基础设施受到了严重的危害,针对计算机网络系统所与生具有的开放性和分散性等特点,要求必须加强网络安全管理,提升管理人员的技能水平,强化管理人员的安全意识,从而使通信网络安全隐患得到有效的控制,所以必须大力加强网络安全管理人员的保密意识和安全意识。

     在传输信道上存在的安全隐患。假如在传输信道上没有采取相应的安全电磁屏蔽手段,信息在传输过程中就会对外产生磁辐射,不法分子会利用特制的盗取设备截获机要信息。在硬件或软件设备中存在的安全隐患。IT人员在设计软硬件系统时,有可能会设计远程的终端控制登陆通道,加之商用软件源的程序大多具有公开性,信息就会因不法分子对通信系统的直接入侵而遭到窃取。

     3.我国电信网络安全的管理策略

     下面将从安全技术、网络安全策略和人员管理方面提出一些提高我国通信网络安全的管理策略。

3.1提高网络安全技术管理

(1)防火墙防护技术

      防火墙技术作为网络安全最基础的防护手段,已经得到了广泛的应用,通过防火墙可以防止网络中不安全的因素的入侵及蔓延,极大限度的阻挡了来自外部的黑客攻击,防止外部不发分子未经授权的恶意访问,从而保护内部的网络安全,防止黑客随意移动、更换、或者移除重要的信息。

       (2)采用入侵检测技术

入侵检测技术不同于防火墙技术,它是一种对于网络内部安全环境的入侵检测,是对防火墙技术的一种有效补充。入侵检测技术为外部攻击、内部攻击及失误操作提供了积极的实时保护,及时的拦截病毒入侵,从而保证网络系统不会受到恶意侵害,从而确保信息的安全性。

(3)采用漏洞扫描技术

      当前随着网络技术的不断变化,网络技术更加的复杂化,仅凭网络管理人员的经验和技术来,对于安全漏进行人工式的寻找是远远不够的,因此我们就要借助于网络安全漏洞的扫描技术,利用打补丁和优化系统的资源配置等方式,尽可能的消除安全隐患和弥补安全漏洞。在网络安全要求不高的情形下,通过利用各种不同的黑客工具,进行网络模拟攻击进而使网络的漏洞暴露出来。

(4)采用身份验证技术

      通过提供身份验证技术能够保障信息的完整性、可控性、机密性和不可否认性等方面的安全性能。

(5)采用网络加密技术

    作为网络安全的核心技术,加密技术主要是防止信息在网络上被恶意窃取或拦截,采用加密技术,可以通过对公共网络中传输的IP地址包实行封锁或进行加密,以此实现数据在网络传输中的完整和安全,从而确保远程用户可以安全的访问内网。

     (6)采用虚拟专用网技术

      在一个因特网上建立一个临时的链接,它是一条横穿混乱公用网络的稳定通道,通过这条安全的数据通道把公司的分支部门、远程用户、公司业务搭档等和公司的内部网络进行贯穿链接,构成一个安全的虚拟扩展网络,使所有的计算机都仿佛都处于同一个网络中。

3.2制定网络安全策略

     在特定的环境中,要从政策法规、技术、管理等方面制定相应的安全策略,从而实现下面五项安全目的:

(1)利用授权机制,使网络管理对终端用户释放访问权利,防止未授权的用户进入到网络系统,通过对用户使用权限的控制,结合内审机制,达到对网络信息或资源的控制目的。

(2)利用访问控制机制。例如:用身份鉴别,输入用户口令及密码,网络系统达到权限分级,通过鉴别真伪,进行访问限制,假如是权 限受限用户或者是无权用户,系统会自动屏蔽部分访问地址或者终止用户的全部访问,从而有效阻止非法用户的进入。

(3)利用防抵赖、监控、审计等方面的安全机制,将网络系统抵赖者、破坏者和攻击者一网打尽,并对出现的网络安全提供可查依据,使网络信息的安全具有可审查性。

(4)利用加密机制,保证信息数据在传输或者储存设备上不被非法用户看到或者窃取,以此保证信息数据不会暴露给未经许可查看的实体,从而达到使信息数据得到保密的目的。

(5)利用数据完整性识别的机制,使数据的查核方式得到进一步的优化,从而确保只有经过许可的人才能够更改或删除信息数据,最终防止了信息数据的恶意修改、插入、删除等现象的发生,达到了保证信息数据完整的目的。

3.3强化电信管理人员安全意识

   人员的保密意识和安全意识尤为关键,如果仅凭网络安全技术,没有可靠的人员,通讯网络安全无从得到真正的保障,因此要大力加强网络管理人员的培训,强化他们的专业技能的同时,提高他们的职业道德水准,选拔优秀的职业技能高手,扩大他们的网络技术知识,对电讯网络进行有效的防护管理。

结束语:随着电信网络功能的日益强大,电讯网络在人们日常的生活中,经济贸易往来中,占据了相当重要的地位,因此,针对电信网络安全问题,我们要采取有效的管理策略,使网络安全隐患得到最大限度的控制。

参考文献:

[1]张咏梅.计算机通信网络安全概述[J].中国科技信息,2008(03)

[2]杨华.网络安全技术的研究与应用[J].计算机与网络,2008(06)i

篇6

关键词:计算机;网络管理;安全防护

中图分类号: G623 文献标识码: A

一、计算机及网络安全

所谓计算机及网络安全,它指的是人们通过监控网络管理的手段,或者是采取相关的安全防护技术方法,保证某一个网络环境中,用户数据保持完整,且用户的隐私可以得到有效的保护,避免信息泄露现象的发生。总的来说,计算机及网络安全包括两个方面的内容,一方面是物理安全,即计算机系统设备及相关的设施可以得到良好保护,从而不被损坏;另一方面是逻辑安全,即保障计算机及网络上的信息完整,具有良好的保密性能。

二、计算机及网络安全中存在的问题分析

(1)系统漏洞

在计算机网络中,由于系统本身就有一定数量的漏洞,例如Windows操作系统、UNIX操作系统等,尤其是在局域网网络系统中,若用户使用盗版软件及网管的疏忽,也容易造成网络系统漏洞。网络攻击具有影响范围大、破坏性强和威胁网络安全质量的特点,所以,网络中所存在的漏洞主要是因为TCP/IP协议的不完善、不可靠的UDP协议及错误的计算机程序做造成的,面对当前的系统漏洞,大多数人都是束手无策的,只有通过建立完善、严密的管理制度,并采用科学、合理的技术方法,尽可能提高网络的安全性和可靠性,从而降低漏洞的风险。

(2)病毒威胁

计算机在给人们带来方便的同时,也给计算机病毒提供了有利的机会,计算机病毒是在计算机程序中插入破坏计算机功能与数据、能自我复制的程序代码。当计算机被被病毒感染后,其将在短时间内进行繁殖传播并扩大到整个系统中,造成计算机系统工作效率下降,甚至可能造成计算机系统死机及文件数据损毁等。在计算机网络病毒中,当前最为普遍的则属于木马病毒,其具有极大破坏性的特点,虽然木马病毒不会主动计算机,但是,在安装程序过程中,若程序中携带了木马病毒,则该病毒将立刻向计算机中的其他程序进行病毒攻击,进而造成计算中更多程序的感染,从而破坏了计算机网路的安全。另外,熊猫烧香病毒也是计算机病毒中的一种,其主要是利用下载文档的方法侵入网络来传播病毒,这样就给计算机用户带来了难以估量的损失。

(3)内部管理不当

随着现代计算机技术和网络信息技术的发展,计算机网络在各行各业中的应用越来越普遍。但是在一些用户中缺乏专业的计算机网络管理人员,没有专业的网络安全知识,对计算机网络没有采取有效的防护措施,容易受到计算机病毒和黑客的攻击,造成计算机系统瘫痪。一些企业的内部员工为了自身利益,将企业内部的计算机信息泄露给别人,降低了计算机网络的安全性。

三、加强计算机及网络安全防护的具体措施

(1)建立完善的计算机网络安全管理机制

构建完善的网络安全管理机制不仅可以提高对网络破坏的实时预警,也可以提高计算机网络防护能力,因此,注重网络管理人员的培训工作,安排专业技术强、道德素质高的专业人员来加强网络安全方面的管理,明确网络管理人员的责任和义务,使网络管理人员或计算机使用人员规范操作计算机,进而避免网络安全问题的出现。另外,对于计算机病毒的威胁,随着计算机网络技术的发展,计算病毒也逐渐升级,这就造成了计算机病毒对计算机网络安全构成了严重的威胁。因此,在今后的计算机使用过程中,首先,应安装计算机杀毒软件来减少计算机病毒的入侵,从而减少计算机网络安全问题的发生;其次,安装杀毒软件后,应定期对电脑进行杀毒清理,由于计算机在使用过程中难免会出现一些安全漏洞,因此,定期对电脑进行清理,删除不必要的文件或软件,这样就可以有效减少病毒的入侵;最后,由于一些病毒主要是通过电子邮件、网站文档下载等方式侵入计算机的,因此,对电力邮件、网站信息进行杀毒,并对网站下载的文件信息进行病毒检查,以达到方式病毒入侵的目的。

(2)提高计算机用户的网络安全意识

在计算机网络中,计算机用户网络安全意识的缺乏是造成计算机网络安全问题的最主要因素,尤其是计算机用户使用不当所造成的安全隐患,如计算机信息的丢失、计算机程序的破坏等。因此,在今后的计算机使用中,不仅要加强网络管理人员计算机基础知识的普及,也应加强对计算机用户相关维护措施的讲解,确保每一位计算机网络使用人员能做好计算机维护工作。然而,对于计算机用户来说,也应加强自身网络安全意识的提高,安装正版的杀毒软件,如360、瑞星等杀毒软件,提供用户计算机网络安全防范意识的提高,避免威胁计算机网络安全的行为出现。

(3)加强权限设置和数据保护

在计算机网络上设置访问权限,有利于加强计算机网络的安全运行。对于设置访问权限的系统,只有通过权限身份认证的人才能够进入计算机网络中,阻止没有通过身份认证的人员进入,可以防止计算机系统的信息的流失。权限设置主要包括证明用户身份的合法、权限级别的设置以及记录用户访问的内容。除此之外,做好数据保护工作也非常重要,通过数据加密技术,保证数据在传输过程中的安全性,数据加密技术是指在传输的数据上设置密码,即使被别人通过非法手段获得了传输的数据,也不容易获得数据的内容,也比较容易发现更改的数据信息,这样就可以大大提高计算机网络的安全性。

(4)运用多种技术手段

1、防火墙技术

防火墙技术是目前大家比较常用的一种计算机及网络安全防护技术,它的实现手段非常灵活,既可以通过软件来实现,又可以借助硬件来完成,还可以将硬件和软件有机结合起来达到有效保护计算机及网络安全的目的。

2、网络入侵检测技术

计算机及网络中存在很多的网络入侵行为,造成计算机信息泄露。针对这种行为,人们就可以充分运用网络入侵检测技术,有效保障计算机及网络安全。这种技术一般又称作网络实时监控技术,主要是通过相关软件(或者硬件)对被保护的网络数据流进行实时检查,然后将检查的结果与系统中的入侵特征数据进行比对,如果发现两者的结果一致,则存在计算机及网络被攻击的迹象,这时候计算机就会参照用户所定义的相关操作作出反应,比如马上切断网络连接,防止计算机病毒的传播;或者是直接通知安装在计算机上的防火墙系统,调整计算机访问控制策略,过滤掉那些被入侵的数据包等,从而有效保证计算机及网络的安全。因此,人们可以通过采用网络入侵检测技术,可以有效识别网络上的入侵行为,然后采取相关措施加以解决。

此外,人们还可以运用数据加密技术、黑客诱骗技术、网络安全扫描技术等,从而有效保障计算机及网络安全。

四、结语

综上所述,计算机及网络管理中存在一些问题,既有计算机自身方面的因素存在,也存在很多人为因素。计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。除此之外,在计算机网络使用过程中,应做好计算机网络安全保护工作,安装杀毒软件,并及时对其进行杀毒清理,使计算机网络处于安全的环境中,以保证计算机正常运行。

参考文献

[1]杨光,孙洋,王磊,吴冰.计算机及网络的管理与安全防护[J].内蒙古林业调查设计,2013(02).

篇7

关键词:网络安全管理;网络安全管理系统;企业信息安全

中图分类号:TP271 文献标识码:A 文章编号:1009-3044(2012)33-7915-03

计算机网络是通过互联网服务来为人们提供各种各样的功能,如果想保证这些服务的有效提供,一是需要全面完善计算机网络的基础设施和配置;二是需要有可靠完善的保障体系。可靠完善的保障体系是为了能够保证网络中的信息传输、信息处理和信息共享等功能能够安全进行。

1 网络安全的定义

网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题,也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。

网络安全的本质就是网络中信息传输、共享、使用的安全,网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。

2 网络安全技术介绍

2.1 安全威胁和防护措施

网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。

安全威胁可以分为故意安全威胁和偶然安全威胁两种,而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等,而不对这些数据进行篡改,主动安全威胁则是对网络中的数据信息进行故意篡改等行为。

2.2 网络安全管理技术

目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。

网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。

在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。

2.3 防火墙技术

互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。

防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。

将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。

2.4 入侵检测技术

入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。

3 企业网络安全管理系统架构设计

3.1 系统设计目标

该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。

3.2 系统原理框图

该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。

3.2.1 系统总体架构

网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。

网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。

网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。

网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。

3.2.2 系统网络安全管理中心组件功能

系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。

系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。

3.3 系统架构特点

3.3.1 统一管理,分布部署

该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。

3.3.2 模块化开发方式

本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。

3.3.3 分布式多级应用

对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。

4 结论

随着网络技术的飞速发展,互联网中存储了大量的保密信息数据,这些数据在网络中进行传输和使用,随着网络安全技术的不断更新和发展,新型的网络安全设备也大量出现,由此,企业对于网络安全的要求也逐步提升,因此,该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。

参考文献:

篇8

关键词:计算机网络;安全管理;防火墙;数据加密

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2013) 20-0000-01

一、引言

随着计算机网络规模的高速发展,分布式网络系统的应用也越来越广泛,人们日常生活对网络的依附程度越来越大。网络安全的管理也越来越引起众多工程师和研究学者的关注,因为也正是由于网络应用大规模增加这一特点,网络受攻击的可能性也随之提高。在这种情况下,计算机网络安全预防就成为应用系统不可缺少的一个部分,而且要引起整个社会的重视,以提高计算机应用系统的安全保护。

二、网络安全管理面临的威胁

目前,网络安全管理是网络研究者的一项重要课题,通常是指网络通信的安全,传输数据的安全两部分组成。今天,计算机网络安全面临的安全威胁分为网络设备遭受的威胁和网络传输的信息遭受的威胁。影响计算机网络安全的原因有很多,有意的人为因素比如“黑客”对网络系统的攻击,无意的比如系统内部的合法用户对系统资源的非法使用。总之,网络安全面临的威胁概括为以下几个方面。

(一)人为因素

人为因素包括网络管理人员配置安全措施造成系统的安全漏洞,使用者安全意识薄弱等都会造成对网络安全的威胁;另外是“黑客”攻击计算机网络,这种威胁又包括主动攻击和被动攻击,主动攻击是指凭借各种力量有选择地破坏网络数据的有效性和完整性,被动攻击是指在不影响网络正常工作的情况下,对用户的信息进行截获、窃取和破译,以从中牟利。

(二)软件漏洞

现如今,网络上使用的应用软件或者是系统软件总是存在各种各样的技术漏洞,并不是非常完美和安全。这些漏洞正是“黑客”等利用各种技术进行攻击的薄弱部位。

(三)病毒威胁

计算机病毒始终是对计算机系统安全的一个无法根除的威胁,破坏操作系统和应用软件。尤其是在网络环境下,传播速度快,辐射范围广,更加难以彻底根除,一旦病毒侵入计算机网络系统,就会导致网络利用率大幅下降,系统资源遭到严重破坏,也可能造成网络系统整个瘫痪。

三、计算机网络安全管理技术

网络安全管理涉及网络操作系统、数据库系统和应用系统,它们的安全管理是非常关键的。操作系统的安全通过口令、加密等措施实现安全访问;数据库系统是网络系统安全防范的核心,网络中传输的数据大部分都存贮在数据库中,数据库管理系统的安全级别要与网络操作系统的相对应,可以动态的为用户授权,对数据库进行加密。网络应用系统各异,对安全的程度不是完全一样,应该具体系统具体分析,设计相应的安全机制,从而达到系统安全的要求。

(一)防火墙技术

防火墙在网络或网络安全地带之间建立了一道安全屏障,在网络边界建立起来的相应网络通信监控系统来隔离内部和外部网络,阻挡外部网络的非法侵入,通常使用分组过滤、应用网关、服务器等安全控制手段实现其安全防护功能。但是防火墙有一个缺点,那就是不能很有效的控制网络内部的非法访问和病毒感染程序或文件的传输。

(二)实时网络监测技术

网络管理员或者网络总监可以通过实时的网络监控软件为合法的网络用户预先设置访问权限,并对网络实施实时监控,阻止非法的网络访问。这些实时网络监测技术可以使用报警信号及时的通知网络管理员,有非法访问侵入网络。网络服务器可以自动阻止进入网络的访问者并记录其访问的次数,超过一定的阈值那么非法访问者将被自动锁定。

(三)计算机杀毒软件

病毒对计算机以及网络系统安全的影响是灾难性的,网络中应配置有效的杀毒软件和防毒策略,阻止病毒在系统或者是网络上传播,定时进行扫描,以便病毒在进入局域网之前就被查杀,保证整个网络的安全。

(四)网络传输数据加密

数据加密是网络传输数据最基本的安全保障之一,防止数据被篡改盗用等。目前网络传输数据使用的加密技术包括密钥共享加密、公开密钥机密和不可逆加密等技术。密钥共享加密要求数据收发双方必须拥有同一密钥,密钥管理成为系统安全的重要因素。公开密钥加密要求收信方和发信方使用相同的密钥,公开密钥加密的性能不好,应用范围局限。实际应用中,通常将公开密钥加密和共享密钥加密结合使用。不可逆加密系统不需要密钥加密,加密的数据无法还原,只有输入与原文相同的数据,才能得到相同的密文,适用于传输数据量非常小的情况。

四、结束语

计算机网络安全管理是有机的、动态的,不能单一的使用某一种网络安全措施就完全能避免网络故障或者网络陷阱,必须使用多种技术,全方位多层次得结合,建立一个有机的网络安全保障体系,才能够保证网络传输数据的真是可靠、满足实时需求,同时,对于计算机网络安全管理来讲,必须制定一个好的安全管理制度,培训网络操作员以及相关使用人员,扎实做好人事安全管理,加强计算机网络使用人员的操作素养。一个健全规范的制度是确保网络安全运行基石。

参考文献:

[1]王礼赞.网络安全管理监控[J].电脑知识与技术,2009(05).

[2]韩锐生,赵彬,徐开勇.基于策略的一体化网络安全管理系统[J].计算机工程,2009(08).

篇9

关键词:高校网络;运维管理;网络安全;探讨

中图分类号:TP393.18 文献标识码:A 文章编号:1006-8937(2016)03-0067-02

高校网络建设对我国的教育工作有积极的意义,能极大的推动教育现代和信息化建设。所以,现阶段已经成为高校建设工作中的重要环节。现代高校的各个工作环节,如行政、教学和科研等工作,也越来越离不开校园网络了。然而,在校园网用户快速增长的情况下,对整个校园网络的管理、维护和高效运行等也提出了更高的要求。因此,有关高校网络的建设、管理和维护工作也愈发的受到人们的重视。

1 高效网络存在的问题

1.1 高校网络的特点

高校网络建设的特点主要集中在以下两个方面:

第一,现代高校因为在校学生的规模越来越大,而且更多的是采用信息化教学的方式开展教学工作,这势必要求校园网络增加更多的终端节点来满足越来越大的用户需求,而在此基础上,就必须要增强网络数据的传输能力。因此,对于高校网络最基本一大要求就是能够高效运行[1]。

第二,基于高效运行校园网络的前提,应该合理提高管理维护的力度,从而为网络运行的高效稳定和安全提供可靠保障,让整个网络系统更加理想的运转起来。因为目前高校的上网计费是学生实名认证,所以,在大规模的学生用户群情况下,要想更好地满足网络的需求,并使其更加安全与稳定就成为目前亟待解决的问题。由此看来,对高校网络建设的要求除了运行的稳定高效以及安全可靠以外,还要求针对校园网络的建设和管理制度更加完善有效。

1.2 高校网络发展现状

①缺乏网络安全意识,校园网络管理机制不完善。网络安全的问题出现最主要的原因就是管理制度的不完善以及管理工作人员的安全意识比较薄弱。大多数的网络管理工作人员在日常工作中,对网络系统安全监测以及病毒防治工作严重忽视,并且疏于对网络设备定期进行维护工作,从而导致整个网络系统出现安全隐患,容易受到病毒的感染或者黑客攻击[2]。由于大部分高校网络用户都不是专业人员,他们并不具备专业的计算机知识,对于网络信息安全的防范意识、虚假信息鉴别能力和威胁处理能力都相对较弱,所以导致网络安全隐患严重。在高校网络管理制度不完善的情况下,一旦发生网络安全问题,网络系统不能第一时间做出应对以及防范处理,将会导致严重的后果。

②技术水平存在差距和不足。由于高校网络的用户数量多,因此网络信息节点就比较多,环境也相对比较复杂,存在多种多样的局域网内部Web应用程序,同时需要明确区分学生宿舍网络和教学办公区网络,因此网络拓扑结构在设计的过程中应站在整体的角度上进行规划。大部分的高校在校园网络初期建设的时候会受到技术与资金的限制,所以仅在校园网内外部的互联网间加设防火墙,有的还会直接与互联网相连,不能及时采取路由策略、监控流量措施以及其他相关安全措施。随着高校信息化建设进程的不断深化,这样的安全状况无疑是将校园内部网络暴露于整个互联网的大环境中,其中存在的巨大安全隐患是不言而喻的。此外就是,技术水平的不足会降低大量网络使用者的上网体验度,无形中也会增加接入用户管理的工作难度。

③单一的网路出口链路。就目前来说,让国内主要就是包括以下种网络运营商,电信、移动、联通,但是,实际上并不能及时解决三者互相联通的问题。高校在校园网建设初期,网络运行商的数量仅有一家,所以,对于网络用户来讲,很容易出现互联网资源无法访问的情况。更严重的就是,只要网络的出口链路出现了物理性的损坏,就会导致高校全部的网络用户无法访问互联网[3]。

2 高校网络运维管理策略

2.1 建立健全完善的校园网络管理机制

针对校园网络的运行和维护,校方一方面需要建设完善的校园网管理机制,另一方面应该设立专门负责网络管理的部门直接进行管理,建立一整套运行、管理以及反馈机制,将责任落到实处。此外,制定机房管理制度和科学合理网络管理制度,保障日常的网络维护整体质量,详细分析安全系统日志,定期检查和分析,如果发生安全事故,及时进行处理上报[4]。此外,还需要做好对高校网络用户的安全意识教育和培养,引导用户养成良好的上网习惯,提高用户的安全防范意识,这样也可以极大的较少校园网络的安全隐患。

2.2 依据相关技术手段,增加网络利用率

①从整体上规划网络结构。应根据高校整体的结构来对网络结构进行规划,分成两个功能区域,即教学行政区域和学生生活区域,进而对上述两区域进行细化。在各楼栋间应划分VLAN隔离,这样就需要利用汇聚交换机与中心机房相连,并且应在中心机房中合理设置认证用户身份、流量控制、上网行为的管理、防火墙等相关系统,而后合理连接出口网设备以及互联网[5]。

②控制流量以及负载均衡。流量控制与负载均衡最重要实际上是确保应用宽带,并建立网络通道,在符合学校购买运营商宽带基本规范的基础上,对网络相配合时间段进行合理设置,在相应网络通道中合理的规划和设计控制流量的方式。从整体来看,应合理控制P2P、视频等高带宽应用,而对于单个用户,则需要对最大宽带进行限制,同时根据网络的上下行来分别限制,控制网络会话数,避免形成网络异常现象[6]。应实现网络用户计费认证在接入层交换机中的处理,有效地提高认证的效率,并且能够使各建筑汇聚层的交换机负担减少,进而对接入的网络用户更有效地控制,并为其认证计费提供有力的保障。

③引入多家网络运营商,采用策略路由。要更好地增加网路链路质量以和抗风险能力,此时需要合理引进多家网络运营商。规划网络的过程中,保证能够合理分配各运营商线路宽带。通过适当应用策略路由技术以及智能DNS技术,可以在一定程度上访问高效外部网络中,线路智能切换,并且还可以智能识别高校内部用户向互联网访问,从而增加访问的速度,阻止运营商间出现互联。此外,如果某运营商的线路出现了物理性损坏,应该及时启动备用网络线路,这样就能够使高校和外部互联始终保持连接状态。

3 结 语

综上所述,在教育信息化建设不断深入的背景下,校园网的网络也会逐渐被高校的日常教学、科研以及管理工作广泛应用,并且成为其重要的基础设施。

而要建立完善有效的高校网络安全系统,网络运维管理拥有一定效果,就要全面认识到网络自身存在的脆弱性特点以及其中潜在的安全隐患。积极制定出高校信息系统的安全管理制度并贯彻落实,同时有机集合身份认真技术、管理上网行为、控制流量等有关技术,确保建设高校网络的时候,可以为信息化提供更好的服务,以便于完全展示自身价值。

参考文献:

[1] 周健飞.高校网络运维管理与安全讨论[J].企业技术开发(下半月),

2014,(7).

[2] 郭智泉.高校网络运维管理平台建设探讨[J].信息安全与技术,2013,

(9).

[3] 王宇,温占考,吴炜鑫,等.高校网站运维队伍建设之道[J].中国教育网 络,2015,(7).

[4] 杨坤.高校网络安全管理体系研究[D].大连:大连海事大学,2010.

篇10

以Internet、云计算、物联网为代表的信息化浪潮一次次席卷全球,信息技术的应用不断深入,逐渐覆盖到日常生产、生活的方方面面。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了越来越高的要求。如何保障信息网络系统安全已成为政府机构、企事业单位信息化健康发展所必需考虑和解决的重要问题。企业园区网络作为企业的神经中枢,它的安全稳定运行对于整个企业的日常生产与信息安全都具有重要的意义。

作为企业园区网络的网络管理员,我们必须了解园区网络面临的多方面的安全威胁,从而制定相应的管理措施,以保障网络的安全与稳定。

1 园区安全风险分析

1.1 内部局域网的安全威胁

在已知的网络维护安全事件中,约70%的攻击是来自局域网。首先,局域网中用户之间经常通过网络共享资源,给病毒的传播提供了便捷;其次,内部管理人员有意或者无意泄漏系统管理员的用户名、口令、内部网的网络结构以及其他一些重要信息等,这有可能加大网络安全事件造成的损失。另外,由于局域网内的用户主机、服务器等直接或者间接连接到同一台网络设备上,局域网的高带宽也在加快病毒的传播速度的同时,加剧病毒对网络的影响程度。

1.2 广域网、用户迁移的安全威胁

其他区域网络感染的病毒有可能通过广域网传播到本地区域网,也可能随着用户出差、变换工作地点、同一台机器在不同的网络环境中使用等原因将病毒带入本地区域网。

1.3 电子邮件应用安全威胁

电子邮件是最为广泛的网络应用之一。局域网用户除了使用企业内部邮箱收发系统内办公邮件以外,也会接受一些来自Internet的不明邮件,这给入侵者提供机会,给系统带来了不安全因素。

1.4 来自Internet的安全威胁

来自Internet的安全威胁非常多,园区网络一般只会开启互联网的网页浏览功能,但网页浏览也是网络系统被入侵的一个不安全因素,这也是园区网络最主要的病毒来源之一。浏览网页、下载资料都可能带来病毒程序或者木马,还有利用假冒手段骗取你的关键信息等手段。

2网络管理措施

2.1网络拓扑设计

园区网络的管理应从设计阶段就加以考虑。关键节点双机热备、关键传输链路采用多条不同路由、设备互联采用动态路由环状连接等,这些冗余架构都能从很大程度上增强基础网络的稳定性。但我们也需要在网络的复杂性和简洁性上做好权衡,过于复杂的网络结构反倒会给后期的运维管理埋下隐患。笔者在长期的网络运维管理实践中就遇到过不少这样的问题。个别局域网系统设计考虑非常多,采用双机热备、多链路上联等多种方式,VRRP、STP也都用上了,以期增强网络的稳定性。结果在后期运维中,由于选用设备版本不够稳定,经常出现莫名其妙的问题,反倒降低了整个系统的可用性。

2.2 网络管理文档的建立

网络维护的绝大部分工作在于平时细致的管理和准备,需要对网络的每一个细节做到了然于胸,当故障发生时,我们能够迅速定位到故障点,以最快速度排除故障。为了做好网络的管理,我们需要持续做好网络管理文档的完善工作。如:交换机端口信息表、ip和mac地址的对应表、网络拓扑图、故障处理报告等等,这些信息都会为我们应对突发网络故障提供帮助。例如:经常在园区内泛滥的ARP病毒,由于其影响范围广、难以查杀而让网管人员颇为头疼。如果我们有ip和mac地址对应表,就能够非常快的定位病毒源,以最快速度处理掉故障。

2.3 网络的日常检查及性能分析

我们需要经常对核心网络、应用服务器进行细致的检查,分析性能,察看日志,发现可疑情况及时处理。这种工作虽然枯燥但却很重要。每天的重复劳动不一定总能发现异常,但这是我们发现问题,对故障进行预判的依据。例如:一次日常检查我们发现某主干交换机CPU、内存使用率偏高,通过进一步分析日志发现某接口错误。经过细致排查,我们发现接口光纤质量不好导致接口报错,更换光纤后故障排除,避免了问题的进一步升级。

2.4 系统及时升级、补丁、病毒定义及时更新

网络设备、服务器的软件系统需要及时升级,服务器、客户端也要及时打补丁、更新病毒定义,这是我们防患于未然的必要措施。目前国内客户端使用微软的用户比较多,那WSUS就非常重要。防病毒服务器也必须统一部署,能够使病毒定义统一更新,避免网内有安全短板。

2.5 网络管理系统、日志系统、网管工具的使用

通过使用网络管理系统,可以实现设备的轮询、故障的报警等功能。通过一些阀值的设定,系统可以第一时间将故障预警信息通过邮件或者短信发送给系统管理员或者网管中心,能够帮助我们实现对故障的预判。并且,网络管理系统图形化、自动化的管理方式,也将大大提高我们网络管理的效率。

日志系统也非常重要,通过对日志系统记录的设备运行状态进行分析,能够帮助我们发现系统存在的问题,为排错、优化系统提供依据。

各种网管工具更是我们做网络管理的必要的帮手,比如抓包软件、可视光源、测线工具、标签机、螺丝刀等等,所以网管人员往往都是背着背包的,应手的家伙一个也不能少。

2.6 做好设备、线缆标识工作

好记性不如烂笔头,一个人做过的事也很容易就忘掉,更何况网络管理团队中有好多人,很多时候一件事往往追溯不到源头。所以标识、记录工作非常重要。如果标识工作不到位,很容易会发生设备、线缆用途无人知晓,谁都不敢动的情况。

2.7对用户的培训

很多网络故障是由人为因素造成的,比如碰掉设备的电源、办公室HUB出现环接等等,通过适当的时机对用户进行网络知识的教育,能够有效地避免类似网络故障的发生,给网络管理工作降低工作量和难度。

2.8其他

机房环境设施的运维管理,也是对网络的安全与运维管理产生重要影响的一个方面。除此之外,如果有互联网出口的,还需要部署防火墙、上网行为管理设备等,既要做好安全防护,又要做到有迹可查。