网络安全防控体系范文

时间:2023-09-14 17:49:54

导语:如何才能写好一篇网络安全防控体系,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全防控体系

篇1

[论文摘要]随着高职院校数字校园建设的推进和信息系统的广泛应用,网络信息安全问题也随之不断涌现,这就要求我们必须对网络危险信号的入侵有所预测。本文建立了一套高效、通用、安全的高职院校数字化校园网络安全防控体系,确保高职院校数字化校园的网络安全。 

 

1 引言 

随着高职院校数字校园建设的推进和信息系统的广泛应用,也产生了网络信息安全的问题。信息时代,信息可以企业或个人受益,一些不法分子也会盗取破坏信息来谋利。因此,当今计算机网络安全已经上升为焦点问题。 

计算机网络安全包括组成网络系统的硬件、软件及在网络传输过程中信息的安全性,使其不遭受破坏。网络安全既有技术方面的问题,也有管理方面的问题。本文建立一个高效、通用、安全的高职数字化校园网络安全防控体系,进而提高工作效率,降低风险,减少不必要的损失。 

2 高职数字化校园网络安全防控体系 

高职数字化校园网络安全防控体系需要具有前瞻性,从而加强计算机的网络安全性的防控。 

2.1物理实体安全防控策略 

物理实体安全策略目的是保护网络服务器、计算机、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击等。 

(1)硬件环境。服务器机房的建设要严格按照国家统一标准进行建设。并将配电室、空调间、计算机机房等连接计算机系统的重要部门进行严格管理,同时配备防火、防水、防雷、防震、防盗、防磁等设备。 

(2)设备维护。建立维护日志管理系统。对计算机及网络设备定期检修、维护,并作好检修、维护日志记录。对突发安全事故处理有应急预案,对主要服务器及网络设备,需要指派专人负责,发生故障确保及时修复,力求所有设备处于最佳运行状态。 

(3)安全管理制度。制定健全的安全管理体制,不断地加强计算机信息网络的安全规范化管理力度,强化使用人员和管理人员的安全防范意识,尽可能地把不安全的因素降到最低,从而使广大用户的利益得到保障。 

2.2网络安全隔离防控策略 

网络安全隔离防控策略具体如下: 

(1)路由器。网络架构的第一层设备就是路由器,它也是黑客攻击的首要目标。所以,路由器必须设置一定的过滤规则,用以滤掉被屏蔽的1p地址及服务。 

(2)防火墙。防火墙是用于限制被保护校园网内部网络与外部网络之间进行信息存取、传递操作,是防止“黑客”进入网络的防御体系。它所处的位置在内部网络与外部网络之间。它是根据连接网络的数据包来进行监控的,掌管系统的各端口,对其进行身份核实,限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。如分布式防火墙。 

(3)ids(入侵监测系统)。它是安装在计算机网络的关键部位,负责监测网络上所有的包,用来实时监测网络和信息系统访问的异常行为。其目的就是捕捉危险或有恶意的动作.并及时发出警告信息。与防火墙的区别之处是按用户指定的规则对端口进行实时监测、扫描,及时发现入侵者,能识别防火墙通常不能识别的攻击,如来自企业内部的攻击。 

(4)网闸。它是物理隔离与信息交换系统,运用物理隔离网络安全技术设计的安全隔离系统。当企业网内部的生产系统因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性时,物理隔离与信息交换系统能够对内部网络与不可信网络进行物理隔断,可以及时阻止各种已知和未知的网络层和操作系统层攻击,提供比防火墙、入侵检测等技术更好的安全性能。 

(5)访问控制。它是网络安全防控的核心策略之一,其目的是保证网络资源不被非法使用和访问。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。传统的访问控制策略包括自主访问和强制访问,为考虑网络安全和传输流,目前采用的是基于对象和任务的访问控制。 

2.3网络主机安全防控策略 

网络主机的安全防控策略对保护数字化校园的网络安全至关重要,具体包括如下几个方面: 

(1)操作系统的安全。网络主机操作系统的安全极为重要,首先要确保是正版的操作系统,并实时更新。然后要保证以下几个内容:操作系统的裁剪,不安装或删除不必要使用的系统组件;操作系统服务裁剪,关闭所有不使用的服务和端口,并清除不使用的磁盘文件;操作系统漏洞控制,在内网中建立操作系统漏洞管理服务器。 

(2)数据库的备份与恢复。数据库的备份与恢复可以确保数据安全性和完整性,备份策略包括只备份数据库、备份数据库和事务日志、增量备份。做好数据的备份是解决数据安全问题的最直接与最有效措施之一,如双机热备份、异地备份。 

(3)密码技术。它是信息安全核心技术,为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一。 

(4)病毒防护。安装病毒防火墙、杀病毒软件,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。 

(5)数字签名与认证。应用系统须利用ca提供的数字证书进行应用级的身份认证,对文件和数据进行数字签名和认证,保证文件和数据的完整性以及防止源发送者抵赖。 

(6)虚拟机技术及其虚拟网络环境。虚拟机是支持多操作系统并行在单个物理服务器上的一种系统,能够提供更加有效的底层硬件使用。虚拟机能在同一台电脑使用好几个os,不但方便,而且可安全隔离。 

3 结论 

总之,高职院校数字化校园的发展及应用,方便了信息的共享、交流与获取的同时,网络安全的重要性也越显突出。本文构建了一套网络安全防控体系,全方位,多角度地实时防控,确保数字化校园的网络安全。安全管理制度是安全的基石,技术是安全的保障,执行是安全的防线,从而提高网络安全性,并不断增强全意识,完善安全技术,补充安全策略,加强安全教育和安全管理,从而提高防范风险的能力。 

 

参考文献: 

[1]熊晨潞.计算机网络安全与防范措施的认识[j].华章,2008(18). 

[2]吴建军. 2010年计算机网络安全前瞻[j].科技传媒,2010(9). 

[3]苏姗娜.浅谈计算机网络安全[j].电工理工,2008(1). 

篇2

计算机技术和信息技术的发展给人们的生活与工作带来了极大的便捷,但同时也引发不少的安全性风险,例如:网络银行账户丢失、身份信息盗用以及网络攻击等。面对这样的风险,本文对目前常见的几种防控策略进行阐述,表明了网络安全防控的重要性,希望社会各界可以引起重视,提高对网络风险的防范和控制。

关键词:

计算机;网络安全;威胁;防控

0引言

互联网+时代的到来,给我国经济形成了一股巨大的推力,不仅有效融合了线上和线下,更让人们的生活提供了更多的服务和功能。与此同时,互联网信息技术在紧密联系人们生活的同时也埋下了信息丢失的风险,诸如:黑客、病毒、以及系统内部泄密者等。目前,各国都在不断的丰富系统防控软件和技术,最主要的包括了防火墙、服务器以及通道控制机制等。然而,尽管如此,无论是发达国家,或是发展中国家,都或多或少的受到了来自于黑客活动的威胁,而且这类行为还有愈演愈烈的趋势,极大的危害了社会稳定性。因此,网络完全的防护就显得至关重要。不仅仅针对各种网络安全威胁进行治理,更是提升网络安全的防护水平,保障用户在网络上的数据和个人信息安全。

1网络安全性危害

1.1不良网络信息传播

计算机网络可以在其覆盖的范围内进行信息和数据的急速传播,而且具有很大程度的隐藏性特点,这使得计算机网络的监管十分困难。而各式各样不良信息和言论的网络传播也会正常社会价值观的养成,甚至误导青少年。因为青少年正处于人生观尚未形成的时期,当受到网络言论冲击和误导时,往往难以有效的进行辨别,最终会形成与社会发展相悖的道德观念,进而发生危害社会公众安全的状况。除此之外,网络信息传播还有不少的虚假广告和信息来误导人们的消费理念,或是欺骗用户的资金,造成严重的社会危害。

1.2计算机病毒传播的危害

病毒是人为创造的一种危害性计算机程序,通常会依附在计算机之中,并且通过不断的自我复制和传播在计算机网络中蔓延。这种传播相当迅速,而波及范围大,如果不加干预就会在很短的时间内造成大范围的破坏。一般情况下,计算机病毒的传播主要是通过程序或是文件下载、接受未知电子邮件以及已经感染病毒的U盘等方式,最终造成系统崩溃的结果,同时也会造成信息丢失或被盗用。

1.3防御信息库被入侵的危害

计算机网络的发展丰富了人们对信息的接受渠道,加快了信息的传接速率。然而,部分不法人士为了满足自身的利益,往往利用技术对数据库信息库进行攻击,对其中的数据信息进行删改。而这些行为往往在受害人没有注意的情况下进行,从而造成了使用者的利益受到极大的损害。

2网络安全防控的具体策略

2.1计算机网络安全访问控制策略

计算机网络安全的访问控制策略是一个很大的范围,需要从包括入网访问、网络使用、目录级安、属性、网络服务器以及网络端口和节点等在内的多个环节进行控制,这也是整个计算机网络安全的第一层安全保障。因此,为了保障对各个环节进行科学合理的控制,用户具有登录、进入服务器并获取网络信息资源的权利,同时还应对该类准许用户的网络访问时间与具体访问站点进行精准的控制。除此之外,计算机的网络还需要对服务器与用户端的访问申请进行审核,需要对申请用户的身份和全新进行验证,这也是用户在访问中必须拥有身份验证卡和密码发生器等标志的原因,用户则需要在身份和权限被验证之后才能进入到用户端。

2.2计算机网络信息加密策略

信息加密策略是目前一种比较常见的网络安全防护手段,可以有效的保护系统网内各信息数据、密令以及文件的安全,并且还能起到规范上传操作的作用。目前,比较常用的网络加密方式主要是链路加密、节点及端点加密等。网络加密方式主要是对连接网络各节点之间的信息链路进行保护,而端点加密则可以有效的保护各个源端用户的信息数据安全,而节点加密用于对源节点直至目的节点间传输链路提供的合理保护。因此,实际的应用过程中,需要各个网络安全管理人员根据系统的实际需求选择科学合理的加密方式,提高整个的安全防护级别,保障信息的安全。

2.3针对病毒攻击的防控策略

计算机网络所造成的环境具有高度的自由性、开放性、综合性以及共享性,这也使得该环境极易受到来自于病毒的影响,加速了病毒传播与影响的速度,因此,目前仅仅利用单机类型的防毒软件已经难以发挥预期的效果了。这样就需要防毒软件具有应对网络病毒高速传播和影响的特性,并且在不同的操作系统中也能发挥应有作用。对于一项长期运行的网络防毒软件而言,在进行杀毒和扫描的过程中,还需要对系统的网关进行控制,才能提高计算的网络安全防控水准,保障自身对综合配置的定期升级和更新处理。除此之外,用户在日常管理和应用中还需要养成自身良好的习惯,不仅需要提高对防病毒软件的功能熟悉,还需要减少病毒感染的渠道、及时进行系统软件和防毒软件的升级、减少非法复制的行为等。在进行软件下载的过程中一定要引起重视,不仅需要及时开启反病毒的监控软件,还需要在下载完成后对该文件进行及时扫描。

2.4系统漏洞攻击的应对策略

系统漏洞是系统在构建过程中是固有的一种属性,因此,通常可以利用需要通过专线监测、系统实时升级和补丁修复等方式来减少系统漏洞。通常来看,计算机网络系统会包含许多不同的服务,而其中对用户开放的功能越多,就会有越多几率产生系统漏洞,可以被不法分子所利用的漏洞也就越多。因此,系统在实际运行的过程中需要进行严格的管理,对于需求不强的功能要科学合理的进行关闭,不仅可以提高系统资源的利用效率,而且可以有效减少系统中存在的不良安全隐患。除此之外,还可以借助于系统防火墙的作用,对于多数端口的外部访问进行有效的隔断,减少来自于多余端口服务漏洞的不良影响。

2.5针对黑客攻击的应对策略

在面对网络黑客的攻击时,为了更好的进行防护和风险控制,需要综合利用防火墙技术、入侵检测技术以及加密型网络安全控制技术等,结合系统的实际运行状况,构建完整的防护体系。首先,在网络通信环节需要通过对防火墙控制技术的应用来辨识用户的身份和权限,在辨识合格之后才可以使之进入系统访问;而其中未能通过身份和权限审核的用户将会被限制在系统之外.这样一来,就可以减少来自于网络黑客的入侵和攻击行为。同时,入侵检测技术的应用也可以对提高对未获授权入侵行为的反应速率。因此,安全防控系统的构建人员需要强化对于审核记录和识别技术的开发,对系统中的不良活动进行有效鉴别,并且尽快限制其中的不法侵入行为,真切的发挥对计算机网络系统安全的保护功能。除此之外,还有必要融入计算机思想混合的检测技术,对具有入侵性和攻击性的行为进行有效的甄别。该项技术的实现主要是通过网络管理对网络与主机进行同时的行为检测,这使得应对黑客攻击的防御体系变得更加完备而高效。除了将身份和权限不符合的用户隔离在外,还需要对防火墙技术为主的被动防御型网络进行强化,这一想法主要是通过强化数据加密为主的开放型计算机网络安全保障体系来实现。而且,该类系统主体在应用了现代化的数据加密技术之后,也可以对系统内部的各用户数据进行保障,强化了对用户权限的审核与匹配,减少了对特殊安全性防护的要求,基本上可以满足网络系统安全对网络服务可用性及信息完整性的充分需求。

3结束语

防范网络安全问题不仅仅需要从技术层面采取措施,还需要强化用户和网管的安全责任意识。除此之外,综合防控体系的构建和完善还需要社会各界人士的支持,才能减少网络安全问题的出现频率。

作者:戴勇 单位:湖南工程职业技术学院

引用:

[1]郭仲侃.计算机网络安全防控技术实施策略探索[J].产业与科技论坛,2016.

[2]赵曼姿.网络安全犯罪防控问题研究[J].赤峰学院学报(汉文哲学社会科学版),2016.

[3]于志刚.网络安全对公共安全、国家安全的嵌入态势和应对策略[J].法学论坛,2014.

篇3

作者:侯炜

我国高速公路近几年来建设里程越来越远,而且随着互联网的迅速发展,高速公路进入了全国联网、信息交互的时代。一方面,这有助于高速公路网络信息的共享和传播。但另一方面,高速公路全面联网也对网络安全提出了新的要求。一旦网络被别有用心的人攻击,轻则导致信息泄露,重则有可能引起大的交通事故。

一、高速公路网络信息安全分析

针对目前高速公路信息网络系统安全的现状,很多专家学者都提出自己的观点和看法,例如:北京交科公路勘察设计研究院盛刚谈到网络安全问题时指出:一方面,不管是在设计还是建设方面,偏重于网络系统的技术和设备方面,缺乏整体系统的思想观念和管理理念;重点放在外部攻击与入侵,忽视内容的监管;重视网络安全的专业性知识,忽视培养技术人员,技术储备力量不足;新产品,技术发展快,信息安全隐患日益凸显,另一方面,针对高速收费、联网监控这方面,1、建设施工方面,相关的运营单位的认识和重视度不够,存在着投资大、效率低、操作难等问题;2、技术方面,未能严格按照国际相关标准规定执行,提出的技术不具备针对性。

网络安全现阶段的外部威胁主要来自黑客活动,包括:木马程序、网络安全漏洞、各种病毒,而内部人员监管手段的疏忽和不规范的操作也是导致网络安全系统受到威胁的原因之一。

在网络信息安全问题上,各省又都有各自的实际问题。例如:江苏高速公路呈现出:网络宽带分配不均、网络大小不同、网络技术复杂、网络资源分散、网络系统陈旧、网络结构多样化的特点。网络信息安全问题已经日趋严重,已成为当前高速网络首要解决的难题,治理措施刻不容缓。

二、网络信息安全的途径分析

基于现阶段高速公路网络信息存在的安全问题,多数学者提出自己的看法,其中盛刚提出需要从多角度、多方位的考虑,指出了全面的安全保障体系,包括:技术体系、运维体系、管理体系和标准体系。技术体系主要从主机安全、物理安全、数据安全、网络安全等多方面考虑的综合建设体系;运维体系分为四个部分:风险管理安全、安全体系的推广落实、安全维护、安全管理的工程建设这四部分;管理体系指信息安全的方针目标,以及在完成这些目标的过程中所使用的体系方法;标准体系具体主要确定网络信息安全的规章制度、管理办法,工作流程和总体框架。

针对各省份出现的安全问题,各自根据实际情况提出不同的解决方案,例如山西省针对本省高速公路网络信息安全也提出了自己的解决方案。从管理和技术两方面入手,管理具体从以下几方面着手:人员安全管理、系统运维管理、管理制度安全、安全管理机构、系统建设管理等方面提出的具体要求。技术方面主要分为:系统主机安全、物理安全、应用安全、数据安全和网络安全。管理和技术在维护系统安全中起着不可替代的作用,两者相辅相成,缺一不可。

山西省不仅从管理和技术两方面确保高速公路网络安全,在具体的实施过程中,更全面透彻地分析了全省高速公路在网络安全中存在的各种安全隐患,涉及网络安全、主机设备、物理安全、网络病毒、数据安全、业务管理、应用体系安全、主机系统安全、行为操作安全等各类隐患,针对具体存在的安全问题,对症下药,采取实施有效的安全防护措施。

除江苏和山西省外,福建省也提出了自己的安全措施,制定了详细的分析报告(确定框架―制定方案―修改方案―执行方案),从2013年试开始运行,截止目前为止,安全防护措施已步入正轨,已将相关制度运行管理制度实现了良好的衔接。

篇4

信息安全是信息化建设的基础工作,也是公司生产经营的重要前提。目前,中远国际货运有限公司(以下简称中远国际)的内部管理、业务操作等经营管理活动对网络、信息系统的依赖度日益提升。OA办公自动化系统、邮件处理系统、IP电话通信系统、视频会议系统、CRM客户关系管理系统、日常核心业务操作系统、SAP系统、电子商务系统以及智能分析系统,都需要基础网络提供稳定、持续、高效的支持。网络技术发展日新月异,黑客的攻击手段和技术越来越先进,信息安全风险防控不得不成为安全生产的重要组成部分。

网络安全风险具有隐蔽性、破坏性、针对性、衍生性、寄生性以及不可预见性。2008年6月,中远国际成立信息安全QC(Quality Control,质量控制)小组,并开始调研企业网络安全中的各种问题和隐患,通过PDAC循环方法,对各项政策循环渐进,逐步落实。

网络安全体系情况分析

信息安全QC小组调研得知,中远国际网络安全事故主要来自四方面的原因:网络布局本身存在缺陷,外部网络带来的威胁,客户端用户操作造成的威胁,缺乏有效的评估、控制和管理手段。

中远国际的网络部署情况是:通过路由器连接4兆光纤连接外网;网络督察设备负责对员工上网行为进行事后统计;外网防火墙负责抵御来自外网的侵袭,但相关功能未全部开启;核心交换机与三台接入层交换机串连;三台接入层交换机分别与相应的客户端计算机连接。

这种网络部署结构存在一定安全隐患,网络督察设备、核心交换机与多个接入层交换机的串连,可能导致病毒传播时无法及时定位。在网络不稳定时,中远国际同样需要若干环节联合诊断,才能对安全隐患进行溯源,排错效率较低。例如,当外网不能正常访问时,由于部分网络设备串连,导致不能立即确定阻塞的具体网络位置。而中远国际的IT人员缺乏技术手段,仅靠经验和直觉进行诊断发起病毒传播的源头,判断带有一定的盲目性。

在防病毒软件方面,以往中远国际一直使用瑞星企业版杀毒软件产品,其服务器端与核心交换机连接,从外网获取病毒库更新内容,同时向内网客户端计算机发送病毒库升级包。AD(Active Directory)域服务器负责对登入局域网的用户进行授权管理。但是瑞星企业版杀毒软件产品偶尔有无法正常升级的情况,客户端在遭遇病毒时不能及时查杀,导致病毒传播,影响网络稳定。

中远国际在遭遇网络病毒时,其传播途径主要有三种:客户端上网感染病毒,客户端软件没有正常升级导致中毒后无力查杀致使病毒传播,直接受到外部的攻击而遭遇病毒。从病毒的爆发次数上看,部署了防火墙之后则略有下降。但从病毒影响客户端数量上看,其破坏性呈逐渐上升之势,这意味着病毒对网络的影响越来越大,急需采取行之有效的措施加以遏制。

在上网行为管理方面,网络督察设备负责对员工上网行为进行事后统计。由于个别员工缺乏信息安全意识,不能自觉安装操作系统补丁,存在病毒和木马通过系统漏洞进行攻击和传播的隐患。因此,仅靠员工的信息安全意识和相关管理规定来防御上网带来的病毒,很难奏效。此外,网络督察设备在事前预防、围堵网页安全风险、流量控制方面的功能非常欠缺,需要改进。

多种举措提升风险防控能力

针对原有网络架构的弊端,中远国际进行了改善,将原有串连网络连接结构改为总分式结构,即将上网行为管理设备、以及接入层交换机的串连结构转变为总分式结构。同时在核心交换机上划分了虚拟网VLAN,将数据信息、语音信息及服务器数据信息有效分割,减少病毒影响范围。

改善网络基础架构之后,网络架构的物理层和逻辑层的设置更加合理,提高了发现问题、诊断问题的速度,同时降低了病毒扩散的风险。目前,中远国际的局域网由数据虚拟网、语音虚拟网和服务器虚拟网构成,按照用户群和应用特征将其区分,避免了病毒的交叉感染。

针对员工随意上网,上网行为管理设备不能进行事前控制和网页过滤的情况,中远国际部署了深信服上网行为管理设备,彻底屏蔽存在安全威胁的网站以及娱乐、体育、股票等非工作网站,同时对员工上网时间和流量进行限制,提高公司4M带宽的利用率,降低病毒入侵的风险。通过网址过滤及相关管理功能,中远国际由原有的单一事后统计向“事前防御、事中监控、事后追踪”多重防护转变,使上网行为管理更加科学、安全、富有弹性,同时更好地满足公司对员工上网管理的要求,更科学合理地统计员工上网行为。在安装了上网行为管理设备之后,中远国际的网络接收数据的峰值在1M以内,接收数据的平均流量在0.5M以内;发送数据的峰值在4M以内,发送数据的平均值在3M以内。总体有效控制在4M带宽内。

深层挖掘防火墙功能,对于提高企业的风险防控能力非常必要。为此,中远国际开启了防火墙的部分关键性安全功能。首先,将服务器部署在DMZ隔离安全区,实现了服务器与内网的安全隔离。这样做一方面能够阻止内网病毒的扩散,保证服务器的安全。另一方面,外网用户在严格的安全限制下(只开放http协议和80端口),通过映射访问这些服务器,以保证服务器安全,并进一步提高内网的安全保障。

另外,中远国际开启了防火墙VPN功能,为应用系统管理员远程进行服务器运行维护提供安全通道,公司局域网的安全性和灵活性大大增强,有效降低了遭遇黑客嗅探的风险,服务器安全性增强。

自从部署了防火墙以后,病毒侵入次数有所下降。而更换杀毒软件以来,公司内部从未出现过服务器控制中心不能升级的情况、未出现客户端防病毒软件无法及时升级的情况,效果符合预期。

在企业的信息安全防护策略中,除了技术手段外,加强对员工进行信息安全意识宣传和教育也至关重要。这是因为,半数以上的数据泄露事件是由于员工缺乏安全防护意识或者故意造成的。

为此,中远国际向公司员工定期发送互联网病毒警告,制定并持续完善信息安全管理方针策略,要求员工树立良好的信息安全意识,并养成操作电脑、访问互联网、处理邮件的正确方式和习惯。同时,为了保证在发生信息安全或者网络安全故障时,能立即响应,采取有效措施,信息安全QC小组制定了信息安全应急预案,并组织员工进行反复演练。

篇5

计算机局域网网络安全建设策略

1创建独立安全局域网服务器

当前,我国较多局域网体系没有单独创建针对服务器的安全措施,虽然简单的设置可令各类数据信息位于网络系统中高效快速的传播,然而同样为病毒提供了便利的传播感染渠道。局域网之中虽然各台计算机均装设了预防外界攻击影响的安全工具,制定了防范措施,然而该类措施恰恰成为网络安全的一类薄弱环节。在应对局域网络内部影响攻击时,效果不佳,尤其在其服务器受到病毒侵袭影响,会令全网系统不良崩溃。为此,对其服务器独立装设有效防护措施尤为重要。我们应在服务器内部安装单独的监控网内系统、各类病毒库的实时升级系统,令其在全过程的实时安全监督、优化互补管控之下安全快速的运行。当发觉网内计算机系统受到病毒侵袭时,应快速将联系中断,并面向处理中心报告病毒种类,实施全面系统的杀毒处理。而当服务器系统被不良攻击影响时,则可利用双机热备体系、阵列系统安全防护数据信息,提升整体系统安全水平。

树立安全防范意识,提升应用者防毒水平

局域网产生的众多安全问题之中,较多由于内网操作应用人员没有树立安全防范意识,令操作失误频繁发生。例如操作控制人员没有有效进行安全配置令系统存在漏洞、或是由于安全防范意识不强,令外网攻击借机入侵。在选择口令阶段中由于操作不慎,或将自身管理应用账号随意的借他人应用,均会给网络安全造成不良威胁影响。另外,网络钓鱼也成为影响计算机局域网络安全的显著隐患问题。不法分子惯用该类方式盗取网络系统账号、窃用密码,进而获取满足其利益需求的各类重要资讯、信息,还直接盗取他人经济财产。一些网络罪犯基于局域网络系统资源信息全面共享的客观特征而采取各类方式手段实施数据信息的不良截获,或借助垃圾邮件群发、发送不明数据包、危险链接等诱导迷惑方式,令收信方进行点击,对于计算机局域网络系统的优质安全管理运行形成了较大的隐患威胁。为此,应用管理局域网人员应明晰自身责任重大性,以身作则,对于陌生人传输信息、不明邮件不应理睬,还可利用删除、截获、屏蔽、权限管控等手段阻断钓鱼者侵入通道,不给他们以可乘之机,进而净化网络环境。

3实施制度化的文件信息备份管理,预防不可逆损失

一般来讲,各类网络攻击或者是病毒侵袭,均需要首先找到网络系统中的落脚点方能实现攻击窃取目标。而计算机系统漏洞、局域网络后门则为攻击者提供了落脚点,成为不安全攻击的主体目标。当然该类漏洞无法绝对全面的彻底消除。因而,为有效提升各单位计算机局域网络系统的综合安全防护性能,应对系统以及各类数据、信息与文件进行定期全面备份,并确保制度化的实时升级管理,令该项制度成为应用局域网的现实规范。只有快速、及时、全面的实施整体数据信息及系统备份,方能在系统受到不良侵袭、导致信息不慎丢失时能够快速恢复,杜绝不可逆影响的发生并产生永久损失。另外,对于资料信息的整体备份内容同日常应用储存数据不应放于同一计算机或服务器之中,不然该类备份便会毫无意义。如果备份程序还支持加密,我们则可借助数据加密处置,多为磁盘增设一道密码保护屏障。基于计算机病毒发展快速、更新频繁、攻击方式变幻莫测的状况,工作人员还应为整体系统做好维护管理、打补丁升级及全面更新的应用控制,提升整体系统防护病毒影响水平。可通过防火墙系统安装、监督控制手段应用、安装强力查杀病毒工具软件、定期备份杀毒、整理磁盘,注册表清理及冗余删除,规范文件应用及垃圾文件删除等方式,实现系统的安全最优化目标。

篇6

关键词:网络安全;发展方向

中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 06-0000-02

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。本质上来讲,网络安全就是网络上的信息安全。从广义来说,网络安全的研究领域包括涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论。

一、网络安全威胁和网络安全攻击

网络安全包括数据安全和系统安全。数据安全受到四个方面的威胁。设信息是从源地址流向目的地址,那么正常的信息流向是从信息源到信息目的地。网络安全的四种威胁分别是:中断威胁、伪造威胁、修改威胁和侦听威胁。其中,中断威胁是指使在用信息系统毁坏或不能使用的攻击。它主要破坏系统的可用性,如硬盘等一块硬件的毁坏,通信线路的切断,文件管理系统的瘫痪等。伪造威胁是指一个非授权方将伪造的客体插入系统中的攻击。它破坏系统信息的真实性。包括网络中插入假信件,或者在文件中追加记录等。修改威胁包括搭线窃听,文件或程序的不正当拷贝等。一个非授权方不仅介入系统而且在系统中瞎捣乱的攻击,破坏完整性。包括改变数据文件,改变程序使之不能正确执行,修改信件内容等。侦听威胁是指一个非授权方介入系统的攻击,破坏保密性。非授权方可以是一个人,一个程序,一台微机。它的威胁方式包括搭线窃听,文件或程序的不正当拷贝等。

网络安全攻击包括冒充攻击、重放攻击、修改攻击和拒绝服务攻击。其中冒充攻击是指一个实体假装成另外一个实体。在鉴别过程中,获取有效鉴别序列,在以后冒名重播的方式获得部分特权。重放攻击是指获取有效数据段以重播的方式获取对方信任。在远程登录时如果一个人的口令不改变,则容易被第三者获取,并用于冒名重放。修改攻击是指信件被改变、延时、重排,以至产生非授权效果。如信件“允许张三读机密帐簿”可被修改成“允许李四读机密帐簿”。拒绝服务攻击是指破坏设备的正常运行和管理。这种攻击往往有针对性或特定目标。其表现如一个实体抑制发往特定地址(如发往审计服务器)的所有信件。或将整个网络扰乱,扰乱的方法是发送大量垃圾信件使网络过载,以降低系统性能。

二、目前影响网络安全的主要因素

目前网络安全备受重视,其不受信任的因素主要包括以下几个方面。

第一,网络开放性的固有弱点。互联网的灵魂是“开放与共享”,给黑客提供了攻击的便利。开放和安全在一定程度上相互矛盾,如果采取了太多的防范措施来保证安全,势必会大大降低信息交流的效率,从而伤害“开放与共享”的初衷。

第二,大量的软件漏洞。每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。黑客就利用漏洞进行攻击。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。许多软件在推出前先要进行内部测试,之后发出几十万份进行外部测试。即便如此,在正式版本中,仍然漏洞多多,在软件运行的过程中,都可能存在危害网络安全的漏洞。另外,很多网站自行开发的程序,为黑客攻击大开方便之门。

第三,用户安全意识缺乏。用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。一些用户(尤其是知名公司等)甚至在明知遭受安全威胁之后,为名誉起见而不积极追究黑客的法律责任。一些公司被黑后损失惨重,但经常无声无息。有些公司为保证客户对其的信任,不敢公布自己的损失,更不敢把黑客送上法庭,这种“姑息养奸”的做法就进一步助长了黑客的嚣张气焰。

第四,网络法律规范不健全。作为新生事物,互联网对传统的法律提出了挑战。目前社会在认定网络犯罪行为上存在一定争议,比如单纯的“技术研究”和“网络攻击”之间就很难甄别。

三、保障网络安全防护体系的方法和途径

从保证计算机信息网络安全的层面看,目前广泛运用和比较成熟的网络安全技术包括以下几种:

(一)访问控制技术。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。其中,入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。网络权限控制是对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。另外,网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。

(二)防火墙技术。防火墙技术是网络安全的关键技术之一,只要网络世界存在利益之争,就必须要自立门户--有自己的网络防火墙。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤以Internet网络为最甚(Internet正以惊人的速度发展,每天都有成千上万的主机连入Internet,它的内在不安全性已受到越来越多的关注)。防火墙是一种将内部网和公众网分开的方法。它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。

但是防火墙技术也存在着一定的局限性。防火墙不能防范不经过防火墙的攻击(如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接)。具体的局限性如下:

1.防火墙不能防范网络内部的攻击。如:防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。

2.主要是基于IP控制而不是用户身份。

3.防火墙不能防止传送己感染病毒的软件或文件。不能期望防火墙去每一个文件进行扫描,查出潜在的病毒。

4.难于管理和配置。易造成安全漏洞(对产品了解和提供不同的安全策略)

(三)信息安全检测技术(IDS)。信息安全检测的基础是入侵检测系统。企图进入或滥用计算机系统的行为称为入侵。而入侵检测是指对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。由于防火墙和操作系统加固技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的响应,不能提供足够的安全性。而IDS能使系统对入侵事件和过程做出实时响应。入侵检测是系统动态安全的核心技术之一。入侵检测是防火墙的合理补充。IDS帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。目前IDS可分为三种,分别是:基于网络的IDS、基于主机的IDS和基于应用的IDS。

(四)隐患扫描技术。网络安全一直无法落实的主要原因是不知道漏洞的存在,甚至不去实时修补漏洞。漏洞扫描是对网络安全性进行风险评估的一项重要技术,也是网络安全防御中关键技术。其原理是:采用模拟黑客攻击的形式对目标可能存在的已知安全漏洞和弱点进行逐项扫描和检查,向系统管理员提供周密可靠的安全性分析报告。

四、未来网络安全技术发展的趋势

计算机网络信息安全技术的发展方向随着计算机网络的突飞猛进,网络中的攻击手段变化越来越快,恶意软件也越来越猖狂,使得信息安全新思想、新概念、新方法、新技术、新产品将不断涌现。据预测,未来网络安全技术发展呈现如下趋势:

(一)信息网络安全技术由单一安全产品向安全管理平台转变。形成以安全策略为核心,以安全产品有机组合的安全防护体系为表现形式,并由安全管理保证安全体系的落实和实施。

(二)信息安全技术发展从静态、被动向动态、主动方向转变。应急响应、攻击取证、攻击陷阱、攻击追踪定位、入侵容忍、自动恢复等主动防御技术得到重视和发展。

(三)内部网络信息安全技术将更趋完善,有效防范了解网络结构、防护措施部署情况、业务运行模式的内部网用户实施攻击或者误操作。

(四)网络安全可视化技术备受关注。通过各种可视化结构来表示数据,建立数据到可视化结构的映射,加快网络安全信息可视化的实行性、全局性和局部信息并发显示设计及网络安全可视化的人机交互设计的实现。安全是计算机信息网络中不可缺少的一门技术。要生成一个高效、通用、安全的计算机网络信息系统,我们必须仔细考虑系统的安全需求,采取强有力的信息网络安全技术手段,认真研究信息网络安全技术的新趋势,构建一个完善的安全保护体系,才能保证计算机信息网络系统安全、可靠地正常运行。

五、结语

网络安全问题不是一部分人或一个社会面临的问题,而是全世界共同面临的全球性问题。网络具有全球性、开放性、灵活性等优势,但也在一定程度上加大了网络安全防范管理的难度。保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则,更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则,分析网络系统的各个不安全环节,找到安全漏洞,做到有的放矢。

参考文献:

[1]林建平.计算机网络安全防控策略的若干分析田[J].山西广播电视大学学报,2006,6

[2]任红卫,邓飞其.计算机网络安全主要问题与对策田[J].网络安全技术与应用,2004,9

[3]张晓薇.浅谈计算机网络安全的影响因素与保证措施[J].黑龙江科技信息,2009,36

[4]安录平.试述计算机网络安全防护技术[J].黑龙江科技信息,2009,36

篇7

1.1网络未进行等级区分我国《全国电力二次系统安全防护总体方案》中明确指出,电力企业有义务对网络进行安全等级划分。具体分为横向和纵向两类,其中横向是要求能够实现实时监控系统与非实时监控系统之间的相互连接。纵向上是要求实现实时监控系统之间的互联。但实际生产经营过程中,很多电力企业没有实现网络化的数据传输,同时在主站与厂站之间也没有实现光纤载波双通道。

1.2网络信息安全防护能力不足当前,很多电力企业的信息化程度都在不断加强,但网络信息安全的防护还停留在以往的水平上,不能很好地满足日益增长的信息安全保障。在管理体系上,很多企业都没有完善的网络信息安全管理机制,在面对信息安全问题时无从下手处理。在软件应用上,缺乏专业的防病毒软件,很多企业都自主选择一些常用的网络杀毒软件,无法做到与企业信息防护相匹配。在信息备份和恢复方面,很多电力企业没有建立信息备份和恢复机制,信息一旦丢失将给企业带来巨大经济损失。

1.3电力企业服务器存在的安全隐患众所周知,电力企业的服务器种类和数量众多,既包含数据库服务器、应用服务器、Web服务器,还包含算费服务器、银电联网服务器等。当前网络上针对各类服务器的攻击时刻在发生,服务器的安全稳定直接关系到整个网络信息的安全。尽管这些服务器有各自的认证,但入侵者还可以采用QL注入、脚本注入、命令注入方式等方式来窃取数据库中的机密数据,同时,由于服务器内数据未进行加密,在信息交流传递过程中会存在信息泄露风险。

2电力企业网络信息安全防护措施

2.1进行网络安全风险评估电力企业在进行网络信息安全防护时,技术革新是一方面,加强信息安全管理是重中之重。因此,在进行网络信息安全建设实施阶段,需要对企业当前面临的网络信息安全环境进行分析总结,找出可以降低网络信息安全风险的突破口,并计算投入和降低风险带来的收益之前的差额,权衡电力企业进行网络信息安全建设的必要性。对于很多电力企业而言,弄清楚网络信息安全存在的风险点以及解决对策非常重要,对于后期的具体实施起到事半功的效果。

2.2构建防火墙防火墙是一种能有效保护计算机网络安全的技术性措施,有软件防火墙与硬件防火墙这两类。防火墙可以很好的帮助服务器阻挡外界信息和指令,同时对信息传输指令加以控制。电力企业可以通过“防火墙+杀毒软件”的配置来对内部的服务器与计算机进行安全保护。为了防止各种意外的发生,需要对各种数据进行定期的备份。电力企业防火墙体系构建如下:访问控制列表构建防火墙控制体系。通过对访问控制列表的调节能够有效的实现路由器对数据包的选择。通过对访问控制列表的增删,能有效的对网络进行控制,对流入和流出路由器接口的数据包进行过滤,达到部分网络防火墙的效果。

2.3加强对计算机病毒的预防控制对网络信息安全直接威胁最大的是网络病毒,而新型计算机病毒对电力企业网络安全的影响最大。目前,很多电力企业都是在病毒入侵导致系统或者数据瘫痪后才发现问题,此时挽救的几率已经很小。因此,需要企业网络管理部门在病毒入侵之前就能够切断,从根源上避免计算机病毒对信息造成威胁,建立一套科学完整的计算机病毒预防管理体系,从病毒监控、强制防止及恢复四个环节着手,将病毒对网络信息安全的影响降低到最小。前期预防具有重要意义,可以防止病毒继续扩散,同样的在病毒入侵之后的有效查杀也至关重要。很多电力企业已经建立了防毒系统,可以保证在病毒代码到来之前,就能够通过可疑信息过滤、端口屏蔽、共享控制、重要文件、文件夹写保护等各种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来的又没有扩散的途径。

2.4开展电力企业内部的全员信息安全教育和培训活动在企业安全管理建设过程中,安全意识和安全技能的培养至关重要。安全意识和安全技能的学习需要全体员工共同参与,各级主管及班长应积极带头,确保人人参与、人人掌握,防止实际工作中因个人操作不当造成风险发生。在具体学习和培训过程中,各个电力企业应当按需定制,针对中高级管理人员,应当着重管理和领导技能培训,学习企业信息安全的控制重点和需要达成的目标,便于指定决策。针对岗位负责人,应当充分灌输信息安全防护的意义,信息安全事故发生时应采取的处理方式。针对具体业务人员,应让他们学习确保信息安全而必须遵循的操作手法,同时强化个人责任意识并告知因个人原因发生信息安全风险需要承担的责任。只有逐层逐级开展全方位的安全教育和培训,才能从思想层面加强企业信息安全建设。

3结论

篇8

关键词:局域网 安全防治

中图分类号:TP 文献标识码:A 文章编号:1008-925X(2012)O9-0141-01

随着信息化建设的不断深入,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。而伴随而来的病毒侵略也在局域网内横行,为了确保网络安全高效运行,保证网络信息安全以及网络硬件及软件系统的正常运转是基本前提,因此计算机网络和系统安全及病毒防治工作建设就显得尤为重要。

一、局域网安全现状

目前,广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反局域网内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患,这也为病毒在网络内滋生蔓延创造了条件,造成局域网病毒爆发,导致网络瘫痪,从而影响了正常业务工作的开展。

二、局域网安全控制与病毒防治策略

(一)加强人员的网络安全培训

安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识,提高内部管理人员整体素质。同时要加强法制建设, 进一步完善关于网络安全的法律,以便更有利地打击不法分子。

(二)局域网安全控制策略

安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。

1、采用防火墙技术。防火墙技术是通常安装在单独的计算机上,与网络的其余部分隔开,它使内部网络与Internet之间或与其他外部网络互相隔离,限制网络互访,用来保护内部网络资源免遭非法使用者的侵入,执行安全管制措施,记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。

2、封存所有空闲的IP地址,启动IP地址绑定,采用上网计算机IP地址与MCA地址唯一对应,网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略,可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。

3、启用杀毒软件强制安装策略,监测所有运行在局域网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。

(三)病毒防治

病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略:

1、增加安全意识。 杜绝病毒,主观能动性起到很重要的作用。病毒的蔓延,经常是由于企业内部员工对病毒的传播方式不够了解,病毒传播的渠道有很多种,可通过网络、物理介质等。查杀病毒,首先要知道病毒到底是什么,它的危害是怎么样的,知道了病毒危害性,提高了安全意识,杜绝毒瘤的战役就已经成功了一半。平时,企业要从加强安全意识着手,对日常工作中隐藏的病毒危害增加警觉性,如安装一种大众认可的网络版杀毒软件,定时更新病毒定义,对来历不明的文件运行前进行查杀,每周查杀一次病毒,减少共享文件夹的数量,文件共享的时候尽量控制权限和增加密码等,都可以很好地防止病毒在网络中的传播。

2、小心邮件。 随着网络的普及,电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时,也无意之中成为了病毒的帮凶。有数据显示,如今有超过90%的病毒通过邮件进行传播。尽管这些病毒的传播原理很简单,但这块决非仅仅是技术问题,还应该教育用户和企业,让它们采取适当的措施。例如,如果所有的Windows用户都关闭了VB脚本功能,像库尔尼科娃这样的病毒就不可能传播。只要用户随时小心警惕,不要打开值得怀疑的邮件,就可把病毒拒绝在外。

3、小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,也可把病毒拒绝在外。

4、挑选网络版杀毒软件。选择一个功力高深的网络版病毒“杀手”就至关重要了。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。

三、结束语

局域网安全控制与病毒防治是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。

参考文献:

篇9

关键词:信息技术,互联网,信息安全

互联网安全隐患威胁着计算机设备的各种因素,一旦出现安全问题,那么将会导致计算机内部文件以及核心信息都有可能被窃取,严重时会导致计算机设备感染病毒,从而使用户的信息资料全部被删除,为用户带来难以挽回的损失。

1计算机互联网安全的核心隐患

互联网漏洞。互联网漏洞严重影响到计算机设备的安全使用,极易受到黑客以及病毒网站的攻击,相关技术人员以及互联网检查人员监测不到位或者安全意识不足,则会导致互联网漏洞频繁出现。一旦出现漏洞,将会导致计算机设备处于零防护状态,若是长期没有得到有效恢复,计算机将会逐渐失去防护功能,各个薄弱环节都暴露在黑客面前,从而使黑客人员不费吹灰之力就可以进入到电脑内部,展开系统破坏以及信息提取,使计算机设备出现各种安全隐患[1]。黑客攻击与入侵。大部分互联网黑客都具有较高的计算机应用能力,并且受到严格训练,若是在黑客入侵环节,没有过硬的安全防控系统来展开防护,黑客就可以随时进出计算机当中窃取文件,利用高科技技术来探索计算机位置以及核心信息,然后进行初次探查,若是计算机不容易入侵,那么多数黑客会选择放弃,回去研究出科学的入侵流程,再进行隐私文件以及账号密码窃取。除此之外,黑客还会在入侵计算机后在内部释放病毒,导致计算机在使用过程中出现迟钝以及死机等现象[2]。互联网病毒入侵带来的影响。若是计算机设备在连接互联网后,不能对互联网当中的病毒展开科学防护,就会导致计算机设备受到病毒侵害,严重时甚至会影响计算机系统安全,出现大量的信息泄露现象,导致计算机设备运行速度变慢,甚至出现死机等现象。互联网病毒是一种可以在计算机设备当中随意流动的程序,经常潜藏在网络游戏以及办公软件当中,当计算机用户使用这一软件就会导致病毒扩散,严重时甚至会导致整个计算机应用系统瘫痪。除此之外,病毒还会控制计算机系统,自动下载一些病毒软件以及无关紧要的文件,为用户带来难以挽回的损失以及不必要的麻烦。互联网诈骗行。互联网具有开放性这一特征,因此为人们社交提供了方便,改变了大众的生活方式以及娱乐方式。但由于互联网具备一定的开放性,导致不法分子也将目光放在互联网当中,在互联网平台当中展开诈骗,通常会在互联网当中引诱性信息以及虚假信息,对网络用户提出优质条件,使用户受到利益的驱使而走向上当的道路。互联网诈骗行为多种多样,但唯一不变的就是要求用户信以为真,一旦互联网用户进入到圈套当中,自身的人身安全就难以得到有效保障[3]。

2计算机与互联网应对风险的措施

为显著提升计算机设备的安全性与稳定性,互联网管理人员以及计算机用户应当引入先进的防控措施以及防控技术,对可能存在隐患的各个环节展开科学防控,删除不常用的软件,科学选择互联网连接方式,一旦计算机出现难以避免的安全隐患,应当提前做好预防措施尽量降低互联网安全问题而带来的损失。(1)提升计算机系统防火墙应用。计算机系统安装防火墙,可以有效防止他人入侵电脑,是最为优质、最为高效的安全保护膜,不仅可以保护计算机的互联网网络正常运转,而且可以有效管控外部互联网信息,强制拦截对互联网安全带来影响的各种内容,在黑客进行电脑入侵时,应当将防火墙控制在可控范围内,虽然很难做到完全抵挡攻击,但是可以有效保护计算机系统以及重要文件不被损坏,因此也为计算机设备安全带来了一定安全保障。相关计算机用户应当积极下载并且应用防火墙系统,在防火墙系统更新时会做出提示,用户结合相关提示来展开定期更新与定期维护,确保防火墙系统可以处于正常运转状态[4]。(2)必要的杀毒软件。用户在为计算机安度杀毒软件时,首先,应当明确杀毒软件是防止病毒入侵的有效方式,虽然杀毒软件不能完全排除病毒,但通常杀毒软件都可以检测出病毒根源,可以通过查杀的方式进行彻底防控,防止病毒进入计算机系统内部展开病毒扩散,为此计算机用户应当积极安装杀毒软件,选择正版杀毒软件,定期进行垃圾清理以及软件清理,确保杀毒软件处于最新版本状态,相关技术人员应当了解到病毒传播以及病毒存在特征,设置良好的杀毒范围,起到对症下药的良好效果,确保计算机系统不被病毒所侵犯[5-8]。(3)设置计算机互联网访问权限。计算机互联网权限是指在计算机应用环节当中通过互联网技术来展开权限设置,使其他用户在进行计算机访问时需要通过权限考核,通过这一设置环节,可以为计算机设备数据安全提供保障。若是没有访问权限的黑客进入到计算机系统就会被拒绝访问,这也使得用户获得更加良好的上网体验。(4)制定完善的安全防范预案。在互联网故障发生后,若是客户可以有效采取应对措施将会有效减少对计算机设备的损害,并且挽回部分丢失的数据以及文件。用户在进行预案使用时容易受到隐患区域以及紧急预案调度的影响,以便在计算机出现问题后发挥应有的作用与优势。(5)完善计算机用户的安全意识。目前国内计算机安全隐患虽然无法做到完全排除,但是经过计算机技术人员的研发,创建出很多品牌的优质杀毒软件以及杀毒工具,可以应对各种病毒入侵以及黑客入侵。但由于部分互联网网民的安全防控意识不足,导致很多有效管控措施没有得到合理运用,安全软件也无法发挥作用优势。逐渐成为形式化内容,若计算机设备缺少杀毒软件以及防火墙技术的保护,就会存在大量的病毒危害。为黑客以及其他犯罪分子带来可乘之机,针对这一情况,应当首先提升互联网用户的安全防控意识,并且积极发挥互联网管理人员功能,提升计算机用户与管理人员的协同作业深度,共同抵御不法分子的互联网入侵,为计算机设备的正常运转提供助力。计算机用户在拥有良好的安全意识后,可以通过安装杀毒软件以及设置访问权限、制定紧急预案来提升计算机安全管理效率,在为计算机用户带来良好上网体验的基础上,也有效减少互联网不法行为。

3结语

计算机互联网安全是计算机设备正常运转的重要保障,其中的安全隐患与安全管理措施极为契合,二者之间具有诸多互通之处。通过掌握互联网安全当中的核心隐患,可以制定出完善的防控措施为计算机互联网安全提供保障,计算机用户可以通过提升计算机系统防火墙应用、安装必要的杀毒软件、设置计算机互联网访问权限、制定完善的安全防范预案等方式来开展计算机安全管理工作,为计算机设备安全奠定坚实而稳固的基础。

参考文献

[1],孙洋,谢辉,张丽萍,万锋,王燕军.基于网络安全等级保护2.0的农业科研单位网络安全体系研究——以中国农业科学院为例[J].农业图书情报学报,2020,32(12):97-103.

[2]张海民,陶骏,伍岳.基于项目的任务驱动式课程设计探讨——以应用型本科高校《网络安全与实践》课程为例[J].电脑知识与技术,2020,16(01):153-156.

[3]李辉.计算机网络安全与对策[J].潍坊学院学报,2007(02):54-55+42.

[4]王晓楠,周婧.高职计算机网络基础信息化教学实践与探索——以网络安全的攻击与防卫为例[J].天津职业院校联合学报,2019,21(06):59-63+68.

[5]聂娅,朱一玮,郑炜.特殊时期基于SPOC的在线教学模式应用研究——以“中小型网络安全管理与维护”为例[J].科教导刊(中旬刊),2020(23):107-108.

[6]何永峰.谈“云计算”环境中的计算机网络安全[J].哈尔滨师范大学自然科学学报,2015,31(01):63-66.

[7]李晓利.数据加密技术在计算机网络安全中的应用探讨[J].数字技术与应用,2011(06):114.

篇10

【关键词】信息系统;安全建设;防护体系

1.企业信息系统安全防护的价值

随着企业信息化水平的提高,企业对于IT系统的依赖性也越来越高。一方面,“业务系统流程化”正在成为IT安全建设的驱动力。企业的新业务应用正在逐渐标准化和流程化,各种应用系统如ERP、MES为企业的生产效率的提高起到了关键的作用。有效的管控IT环境,确保IT业务系统的持续稳定运行作为企业竞争力的一部分,已成为IT系统安全防护的主要目标和关键驱动力。另一方面,企业IT安全的建设也是“法规遵从”的需要。IT系统作为企业财务应用系统的重要支撑,必须提供可靠的运行保障和数据正确性保证。

2.企业信息系统安全建设的现状分析

在企业信息化建设的过程中,业务系统的建设一直是关注的重点,但是IT业务系统的安全保障方面,往往成为整个信息化最薄弱的环节,尤其是在信息化水平还较低的情况下,IT系统的安全建设缺乏统一的策略作为指导。归结起来,企业在IT系统安全建设的过程中,存在以下几方面的不足:

2.1 安全危机意识不足,制度和规范不健全

尽管知道IT安全事故后果比较严重,但是企业的高层领导心中仍然存在着侥幸心理,更多的时候把IT安全建设的预算挪用到其他的领域。企业在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证,由此带来的后果是诸如对网络的任意使用,导致公司的机密文档被扩散。同时在发生网络安全问题的时候,也因为缺乏预先设置的各种应急防护措施,导致安全风险得不到有效控制。

2.2 应用系统和安全建设相分离,忽视数据安全存储建设

在企业IT应用系统的建设时期,由于所属的建设职能部门的不同,或者是因为投资预算的限制,导致在应用系统建设阶段并没有充分考虑到安全防护的需要,为后续的应用系统受到攻击瘫痪埋下了隐患。数据安全的威胁表现在核心数据的丢失;各种自然灾难、IT系统故障,也对数据安全带来了巨大冲击。遗憾的是很多企业在数据的安全存储方面,并没有意识到同城异地灾难备份或远程灾难备份的重要性。

2.3 缺乏整体的安全防护体系,“简单叠加、七国八制”

对于信息安全系统的建设,“头痛医头、脚痛医脚”的现象比较普遍。大多数企业仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段,缺乏对信息安全的全盘考虑和统一规划,这样的后果就是网络上的设备五花八门,设备方案之间各自为战,缺乏相互关联,从而导致了多种问题。

3.企业信息系统安全建设规划的原则

企业的信息化安全建设的目标是要保证业务系统的正常运转从而为企业带来价值,在设计高水平的安全防护体系时应该遵循以下几个原则:

(1)统一规划设计。信息安全建设,需要遵循“统一规划、统一标准、统一设计、统一建设”的原则;应用系统的建设要和信息安全的防护要求统一考虑。

(2)架构先进,突出防护重点。要采用先进的架构,选择成熟的主流产品和符合技术发展趋势的产品;明确信息安全建设的重点,重点保护基础网络安全及关键应用系统的安全,对不同的安全威胁进行有针对性的方案建设。

(3)技术和管理并重,注重系统间的协同防护。“三分技术,七分管理”,合理划分技术和管理的界面,从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建设和运维的多环节进行综合协同防范。

(4)统一安全管理,考虑合规性要求。建设集中的安全管理平台,统一处理各种安全事件,实现安全预警和及时响应;基于安全管理平台,输出各种合规性要求的报告,为企业的信息安全策略制定提供参考。

(5)高可靠、可扩展的建设原则。这是任何网络安全建设的必备要求,是业务连续性的需要,是满足企业发展扩容的需要。

4.企业信息系统安全建设的部署建议

以ISO27001等企业信息安全法规[1]遵从的原则为基础,通过分析企业信息安全面临的风险和前期的部署实践,建立企业信息安全建设模型,如图1所示。

图1 企业信息系统安全建设模型

基于上述企业信息安全建设模型,在建设终端安全、网络安全、应用安全、数据安全、统一安全管理和满足法规遵从的全面安全防护体系时,需要重点关注以下几个方面的部署建议:

4.1 实施终端安全,关注完整的用户行为关联分析

在企业关注的安全事件中,信息泄漏是属于危害比较严重的行为。现阶段由于企业对网络的管控不严,员工可以通过很多方式实现信息外泄,常见的方式有通过桌面终端的存储介质进行拷贝或是通过QQ/MSN等聊天工具将文件进行上传等。针对这些高危的行为,企业在建设信息安全防护体系的时候,单纯的进行桌面安全控制或者internet上网行为控制都不能完全杜绝这种行为。而在统一规划实施的安全防护体系中,系统从用户接入的那一时刻开始,就对用户的桌面行为进行监控,同时配合internet上网行为审计设备,对该员工的上网行为进行监控和审计,真正做到从员工接入网络开始的各种操作行为及上网行为都在严密的监控之中,提升企业的防护水平。

4.2 建设综合的VPN接入平台

无论是IPSec、L2TP,还是SSL VPN,都是企业在VPN建设过程中必然会遇到的需求。当前阶段,总部与分支节点的接入方式有广域网专线接入和通过internet接入两种。使用VPN进行加密数据传输是通用的选择。对于部分移动用户接入,也可以考虑部署SSL VPN的接入方式[2],在这种情况下,如何做好将多种VPN类型客户的认证方式统一是需要重点考虑的问题。而统一接入认证的方式,如采用USBKEY等,甚至在设备采购时就可以预先要求设备商使用一台设备同时支持这些需求。这将给管理员的日常维护带来极大的方便,从而提升企业整体的VPN接入水平。

4.3 优化安全域的隔离和控制,实现L2~L7层的安全防护

在建设安全边界防护控制过程中,面对企业的多个业务部门和分支机构,合理的安全域划分将是关键。按照安全域的划分原则,企业网络包括内部园区网络、Internet边界、DMZ、数据中心、广域网分支、网管中心等组成部分,各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。在多样化安全域划分的基础上,深入分析各安全域内的业务单元,根据企业持续性运行的高低优先级以及面临风险的严重程度,设定合适的域内安全防护策略及安全域之间的访问控制策略,实现有针对性的安全防护。例如,选择FW+IPS等设备进行深层次的安全防护,或者提供防垃圾邮件、Web访问控制等解决方案进行应对,真正实现L2~L7层的安全防护。

4.4 强调网络和安全方案之间的耦合联动,实现网络安全由被动防御到主动防御的转变

统一规划的技术方案,可以做到方案之间的有效关联,实现设备之间的安全联动。在实际部署过程中,在接入用户侧部署端点准入解决方案,实现客户端点安全接入网络。同时启动安全联动的特性,一旦安全设备检测到内部网用户正在对网络的服务器进行攻击,可以实现对攻击者接入位置的有效定位,并采取类似关闭接入交换机端口的动作响应,真正实现从被动防御向主动防御的转变。

4.5 实现统一的安全管理,体现对整个网安全事件的“可视、可控和可管”

统一建设的安全防护系统,还有一个最为重要的优势,就是能实现对全网安全设备及安全事件的统一管理。面对各种安全设备发出来的大量的安全日志,单纯靠管理员的人工操作是无能为力的,而不同厂商之间的安全日志可能还存在较大的差异,难以实现对全网安全事件的统一分析和报警管理。因此在规划之初,就需要考虑到各种安全设备之间的日志格式的统一化,需要考虑设定相关安全策略以实现对日志的归并分析并最终输出各种合规性的报表,只有这样才能做到对全网安全事件的统一可视、安全设备的统一批量配置下发,以及整网安全设备的防控策略的统一管理,最终实现安全运行中心管控平台的建设。[3]

4.6 关注数据存储安全,强调本地数据保护和远程灾难备份相结合

在整体数据安全防护策略中,可以采用本地数据保护和远程灾备相结合的方式。基于CDP的数据连续保护技术可以很好地解决数据本地安全防护的问题,与磁带库相比,它具有很多的技术优势。在数据库的配合下,通过连续数据快照功能实现了对重要数据的连续数据保护,用户可以选择在出现灾难后恢复到前面保存过的任何时间点的状态,同时支持对“渐变式灾难”的保护和恢复。在建设异地的灾备中心时,可以考虑从数据级灾备和应用级灾备两个层面进行。生产中心和异地灾备中心的网络连接方式可以灵活选择,即可采用光纤直连,也可采用足够带宽的IP网络连接。在数据同步方式选择上,生产中心和灾备中心采用基于磁盘阵列的异步复制技术,实现数据的异地灾备。异地灾备中心还可以有选择地部署部分关键应用服务器,以提供对关键业务的应用级接管能力,从而实现对数据安全的有效防护。

5.结束语

企业信息安全防护体系的建设是一个长期的持续的工作,不是一蹴而就的,就像现阶段的信息安全威胁也在不断的发展和更新,针对这些信息安全威胁的防护手段也需要逐步的更新并应用到企业的信息安全建设之中,这种动态的过程将使得企业的信息安全防护更有生命力和主动性,真正为企业的业务永续运行提供保障。

参考文献

[1]李纳.计算机系统安全与计算机网络安全浅析[J].科技与企业,2013.

[2]李群,周相广,陈刚.中国石油上游信息系统灾难备份技术与实践[J].信息技术与信息化,2010,06.