对网络安全提出的建议范文

时间:2023-09-17 15:15:24

导语:如何才能写好一篇对网络安全提出的建议,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

对网络安全提出的建议

篇1

 

为了准确掌握我校学生网络信息安全意识现状,为分析原因、加强防范、堵塞漏洞提供依据,我们在部分学生中专题开展了网络信息安全意识问卷调查。从调查反馈的情况来看,我校学生网络信息安全意识相对有一定的基础,但总体仍不够强,值得我们深入分析研究并采取有效对策,及时全面提高学生的防范意识和防范能力,在充分享受互联网和信息社会带来好处的同时,严防网络信息违法犯罪现象和受骗受害现象的发生。具体报告如下:

 

一、调查概况

 

本次调查对象为东校区学生,采取随机确定的方式,共发放问卷300份,收回291份,回收率达97%。调查的主要方式是实际接触被调查者,交谈了解基本情况,要求被调查者独立填写不记名调查问卷。调查得到了同学们的积极支持,大家普遍比较认真地回答了每一个问题,并且比较真实地表述了自己的情况、表达了自己的想法。

 

二、数据分析

 

本次问卷调查共15道题目,以多选题为主,占三分之二;另有单选题5道。内容主要涉及大学生网络信息安全知识的掌握、对本人及他人信息安全的认知态度等多个方面,具体分析如下:

 

1)网络信息安全知识了解情况。291名被调查大学生中,有93人表示经常有意识地了解网络信息安全知识,占31.96%;有84人表示非常少;有65人表示偶尔了解;有49人表示从来没有了解。说明大学生普遍还没有及时掌握必要的网络信息安全知识。

 

2)个人信息安全的认知情况。291名被调查大学生中,有98人次认为个人信息安全是指在使用计算机时个人信息不泄露或不会被他人获取;有74人次认为是信息网络的硬件、软件及其系统中的个人数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,信息服务不中断;有63人次认为是日常生活中个人信息不被他人知道和窃取;有80人次认为是一切与个人有关的信息的保护。可见相当一部分大学生对个人信息安全的概念仍不清楚,不知道个人信息安全与计算机技术、网络技术发展密切相关。

 

3)利用网络搜索他人信息情况。291名被调查大学生中,有110人表示经常会利用网络搜索他人信息,因为想解他人;有145人表示仅在有需要的时候偶尔会利用网络搜索他人信息;有36人表示从不这样,因为很无聊。三者比例分别占37.80%、49.83%和12.37%,说明大学生网搜他人信息行为总体正常。

 

4)网络安全问题认知情况。291名被调查大学生中,有53人次认为破坏分子作伪装绕过安全检查属于网络安全问题,有128人认为网络服务器因断电停机属于网络安全问题,有83人认为因病毒导致系统瘫痪属于网络安全问题,有61人次认为伪造IP地址骗取其口令获取对计算机的访问权限属于网络安全问题。说明有近一半的大学生对网络安全问题内涵不太清楚。

 

5)遭遇过哪些网络安全问题。291名被调查大学生中,有121人次反映遭遇过垃圾邮件侵扰,有89人次表示受到过病毒攻击,有119人次表示信息曾经被盗,有76人次表示遇到过其它形式的网络安全问题。说明侵犯网络信息安全的现象已经较多地影响到大学生。

 

6)个人信息泄露原因。291名被调查大学生中,有83人认为个人信息泄露最主要的原因是网络普及管理不规范,有112人认为是法律不健全,存在个人信息买卖市场,有72人认为是学生个人信息安全意识薄弱,有69人认为是电脑病毒、木马横行。总体上表明大学生对个人信息泄露原因是有思考的。

 

7)对校内个人信息安全建设的满意度。291名被调查大学生中,有182人对校内的个人信息安全建设表示满意,有109人表示不满意。说明校园个人信息安全建设尽管得到大部分大学生的认可,但仍有值得加强的地方。

 

8)对学校信息安全保障的期待。291名被调查大学生中,关于学校应当采取哪些措施保障个人信息安全,有114人次提出应该建设个人信息安全平台并绑定个人,137人次提出应该加强后续处理监督,121人次提出应该加强对于学生信息安全教育。应该说学生们的期待是建立在关心信息安全基础上的合理要求。

 

9)网络安全信息技术了解情况。291名被调查大学生中,了解网络信息安全技术的情况不太乐观,有97人次表示知道密匙管理技术,有103人次表示知道数字签名和认证技术,有141人次表示知道网络入侵检测和防火墙技术,有107人次表示了解电子商务安全技术。

 

10)获取网络信息安全知识的途径。291名被调查大学生中,有131人表示从网络获得相关知识,107人表示从书籍上获得,146人表示从课堂上获得,123人次表示从新闻媒体上获得。应该说大学生获取信息安全知识的途径是多方面的,基本上不存在获取不到的困难,主要是看不看的问题。

 

11)提高大学生网络安全意识的办法。291名被调查大学生中,有121人次建议开设讲座,97人次建议开主题班会,27人次提出发宣传单,101人次提出通过网络视频。应该说,大家对提高网络安全意识是有期待的,也希望有更多的渠道来加强个人信息安全保障。

 

综合以上数据进行分析,调研组认为,我校大学生信息安全意识有待提高,尽管越来越多地利用网络、自媒体进行交流、娱乐和学习,但主要精力花在如何从网上得到信息, 较少考虑如何在网络环境下保护自己的信息。交谈得知,不少学生会将自己的真实材料到网上, 碰到过QQ 密码会被盗, 登录口令过于简单等现象。大学生信息安全防范知识和操作能力有待加强,尽管因为新闻宣传、课堂教育等因素对防火墙、病毒等基本知识比较了解,但比较完全的网络信息安全管理和防范知识知之不多,一些学生不会安装操作系统、配置防火墙,不知道需要定期升级病毒防治产品, 不懂得如何更好的配置自己的计算机,也没有掌握保护自身信息安全的基本防范技能。

 

三、对策建议

 

大学生的学习、生活和准备就业已经越来越离不开网络,网络的发展对当代大学生的思维方式、行为模式、心理发展、价值观念和政治趋向等都产生了深远的影响。在越来越多地参与网上购物,使用网上银行等网上商务活动的过程中,涉世不深的大学生也日渐成为网络信息盗取和网络诈骗、网络盗窃等违法犯罪行为的猎物,一些不良商家也通过盗取信息来达到不正当竞争的目的。作为学校要重视和提高大学生的网络综合素质,加强学生的网络素质、网络技能、实践运用网络综合能力和网络安全意识的培养,督促提高安全上网意识,学会使用杀毒软件及防火墙,学会为别人也为自己提供一个安全和谐的网络空间。具体有四个方面的建议:

 

1)加强大学生网络法制教育。网络安全教育一个不可忽视的方面是思想教育,这其中最重要的是法制教育。目前网络犯罪是十分常见的包括网络欺诈、网络谣言的散播等。网络的匿名性特点给了许多人一种“漠视法律的理由”,认为没有具体监管就不算犯罪,其实不然。这体现的是网络法制教育的缺失,所以教育学生们什么在网络上是可以做的、是合法的,什么是不可以做的、是违法的是十分重要的,对维护网络安全运行也是有重要作用的。

 

2)充分利用课堂教育普及网络安全知识和技能。建议在计算机普及课程中除讲授常用软件知识外,增加计算机网络安全知识,让学生了解系统管理用户、文件和其他硬件资源的安全机制。对网络安全的基本理论知识和系统安全策略,如加密解密算法、防火墙的工作原理与作用、系统漏洞及修补方法、硬盘保护卡的工作原理与使用方法也要多加讲授。同时,要加强对大学生的网络安全法制教育,提高学生的网上自我约束能力、自控能力,不利用网络散播其它同学和老师的私密信息,不参与网络信息违法活动。

 

3)积极拓展课外空间,开展形式多样的网络信息安全防范活动。可以定期开设网络安全知识专题讲座,就课堂教学中不能深入讲解的问题或薄弱环节,如网络行为规范、个人计算机安全策略、计算机病毒的新动向、病毒查杀软件的使用,引导有兴趣、有需要的大学生深入学习并积极参与防范。 建议每年举办网络安全知识大赛、网络安全知识调查、网络安全主题漫画比赛等,丰富大学生的业余生活,实现以生教生,在校园中普及网络安全知识,构建网络安全防范的群防群治机制。

 

4)建议成立校级的信息安全管理机构。主要负责校园网的日常安全与管理工作,及时了解本校学生的网络使用情况;定期最新的网络安全信息,让大学生及时了解网络不安全因素的动态。现代大学生作为国家未来的接班人,有责任与义务充分意识到网络安全隐患,在经济全球化,网络快捷化的浪潮里,不被外界因素迷失本心,努力做到规范上网,不触犯法律法规,提高网络安全意识,做一名合格的大学生。

篇2

作者结合自身多年从事计算机网络安全与防火墙技术的相关研究与工作经验,在通过对大量文献进行阅读与研究基础上,对我国如何推广和优化计算机网络安全与防火墙技术提出相应的对策与建议。

关键词:

计算机;网络安全;防火墙技术

随着我国社会主义现代化的飞速发展,我国各行各业都发生了剧烈的变化与变革。他们对于传统技术的使用逐渐娴熟,在此基础上,对新技术来改善其日常业务流程,增加日常运营规范提出了新的要求。二十一世纪是计算机与互联网飞速发展的时代,在这一时代当中依托计算机技术的互联网技术与多个行业之间实现了有效的相加。利用互联网与计算机技术能够极大的提出当前我国企业的日常流程运行规范程度,加强我国企业内部各业务部分之间沟通,从而满足当前我国企业对于新技术的需求。但是,便随着计算机与互联网技术的飞速发展,相关的问题也随之而生。计算机网络安全逐渐被社会各界利用互联网来进行日常交流的人们,进行日常业务操作与规划的企业引以关注。缺失了计算机网络安全与防火墙技术的当代企业容易在起内部引发操作风险、舞弊风险、被盗用损失等。因此,作者结合当今时代我国计算机与互联网技术的飞速发展,对目前我国该领域技术的发展展开讨论,并讨论如何改善技术,扩大技术应用范围,提升技术推行普及化程度的对策与建议。

1我国目前计算机网络安全与防火墙技术的开发与研究现状

针对我国目前计算机网络安全与防火墙技术其主要包含以下几种技术类型:

1.1加密技术该种技术在当前计算机网络安全与防火墙技术当中的应用最为普遍,其主要的作用及目的是为了保护人们储存在移动终端或者是云终端的数据、文件及图像信息不被其他用户所盗用、破坏,从而起到对使用加密技术者信息安全的保证。加密技术的使用是一种主动的防护,他会起到预先防御的作用,从而能够使得用户能够在计算机与互联网使用过程当中占据更加主动的地位。另外,除了能够实现加密的特定功能之外,使用该技术还更加易于对信息的识别、数据的整理,从而在起到防护作用的同时,加强企业计算机网络防火墙的功能性地位。加密技术又可以根据其特点划分为两个类别:(1)秘密秘钥;(2)公开秘钥。秘密钥匙通常是指拥有一对钥匙的秘钥。其包括有公开的秘钥和私有的秘钥。如果拥有了公开的秘钥,就能够对该系统的内容及信息进行访问、查询,或者是修改。而只有拥有了私有的秘钥之后,才能够实现对系统的真正登陆,获取系统使用的最高权限。因此,在通常使用加密技术对系统的安全进行有效防护时,通常是需要针对上述两个秘钥设置不同的密码内容。在现实的日常操作与加密实施过程当中,通常又根据系统的不同及保护内容的不同,将上述的加密技术划分为了三个类型:第一是来链接线路内的加密,其主要是针对不同的业务流程节点进行加密,以防止系统操作人员跨区操作,实现对个人职能的约束;第二种是端点加密,其主要是针对输入和输出两个端口进行加密操作,其主要适用于信息的源头获取者,针对用户分组,为其设置能够修改、查看、调用等权限。

1.2存取控制技术该种技术主要是为了对用户的身份进行认证与识别,从而保障进入系统调用数据的人员符合相关规定的要求,从而实现对系统信息的有效保护。存取控制技术又可以根据其实际管控的内容主要是身份的认证技术。根据发出指令进入系统人员所提供的物品、口令及生理特征(步伐、心跳、眼球等),使用存取控制技术调用系统当中的原始信息,与上述所提供的信息进行比对,从而判断发出系统进入指令的人员是否拥有与初始信息对应的条件。通过上述技术的稳定操作与实施,将能够更好的实现对人员的控制。相比加密技术而言,其更多的作用及实现目的是为了实现对数据的控制而言,存取控制技术为了实现对人的控制,将需要更加复杂的程序设计以便于其目的实现。

1.3实体保护实体保护通常指的是基础设施的保护。其包括:日常对企业信息数据库的维护、对进出秘密设施区域人员的控制、系统设备周围设置的电磁干扰等具体的保护方式。例如:在大多数军事基地,为了更好的帮助系统实现健康、稳定的运行,并防止外部侵入者的干扰与盗用,通常会在军事基地的信息数据库周围设置电磁干扰、电磁屏蔽等设施,从而利用实体保护技术,达到对计算机网络的严密保护和严格监控。另外,在较多的社会大型考试时,也会使用该技术以避免不必要的信息传入考场之中,实现对整个考场纪律的维护和保护。

2对我国目前计算机网络安全与防火墙技术应用提出的对策与建议

通过上文的研究,可以发现,我国目前计算机网络安全与防火墙技术已经较为成熟。但是,并不能够代表我国大多数使用计算机网络从事日常工作、学习与生活的人们能够有效利用该种技术实现对自身信息的保护。因此,作者提出了以下对策与建议:(1)提升企业、人们对计算机网络的安全保护意识。大多数由于计算机网络原因出现安全故障、风险的企业及人们都是由于自身对于安全保护的意识较为薄弱。购买正版杀毒软件、安装拥有定期更新的杀毒软件及防火墙等都会有助于计算机网络使用者的安全程度,降低由其所引发的各项风险。(2)加强对计算机网络安全及防火墙技术的更新与研究。当前我国互联网与计算机技术的发展非常迅速,该领域是一个快速发展,高速更新的领域。为此,为了能够更好的应对网络复杂的环境,就必须加强该领域研发的投入,针对新出现的安全问题展开评估、分析、整理,并设计出具有针对性的解决途径与方法,实现对新环境中风险的控制。

3结论

通过本文的研究,可以发现,互联网与计算机技术对于当今时代的发展十分重要与关键,其能够帮助人们提高日常信息使用的安全、存贮的安全。为此,我们应当加强对该领域的研究,在现有技术分类设计与使用基础上,针对新出现问题展开讨论,搭配多种技术,以便于解决现实当中出现的新问题,实现计算机网络安全及防火墙技术的创新与变革。

参考文献

[1]贾花萍.浅析网络安全技术——防火墙技术[J].科技信息(学术研究),2007(06).

篇3

【关键词】质监网络安全事件;应急机制;演练

1引言

“随着我国经济的快速发展,我国网络经济空间发展也得到了非常明显的发展,为促进信息技术服务做出巨大的贡献,并且也逐渐向着更加智能以及将传统领域方面相互融合的阶段不断发展。但是,在信息技术创新的过程当中,还存在一定的安全问题,这样一来,就让网络空间的安全问题变得相对复杂,最终导致网络安全风险逐渐增加。作为行政执法部门,近年来河北省质监局深化拓展信息化应用领域,发挥信息化特有的支撑引领作用,建设应用了覆盖全部核心业务的信息化系统、搭建了质监数据中心,推进数据互联互通和交换共享;核心机房接入了互联网、省公务外网、公务内网、质监业务网、财政专网、总局数据网和视频网等7大网络,支撑着质监系统省市县三级机关和直属事业单位的监管执法工作;随着“互联网+”行动不断深入推进,质监业务数据量逐年增加,预计到2020年质监数据中心理论计算存储量为7.0T。面对安全问题越来越复杂、隐蔽的网络空间,要求我们不但要从技术上加强安全防范措施,还要建立健全网络安全事件应急工作机制,切实做好网络安全事件实战演练,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保障重要网络和信息系统的安全稳定运行,保护公众利益,维护国家安全和社会秩序。

2网络安全事件应急机制

2.1工作原则

在网络安全事件的应急机制当中,主要的工作原则是要服从领导指挥,对突况做出快速反映,并对其进行科学的处置,每个部门之间要充分发挥出各自的工作职能,完成好网络安全事件的应急处置。

2.2事件分级

通常情况下,网络安全事件应急响应主要分为四个等级,一是特别重大的网络安全事件,二是重大网络安全事件,三是较大网络安全事件,四是一般网络安全事件。

2.3领导机构与职责

在河北省质量技术监督局网络安全以及信息化领导小组的指导过程中,省局网信领导小组办公室积极配合并协助省局完成网络安全事件应急工作,不断完善网络安全应急处置体系。如果在发生比较重大的网络安全事件的时候,需成立省局局网络安全事件应急指挥部,指挥部成员由网信领导小组相关成员组成,负责事件的处置、指挥和协调。

2.4监测与预警

(1)预警分级在网络安全事件的预警过程当中,主要分为四个等级,从高到低分别由不同的颜色进行表示,比如红色、橙色、黄色以及蓝色。(2)预警研判和各处室、各直属事业单位组织对监测信息进行研判,认为需要立即采取防范措施的,应当及时通知有关部门和单位,对可能发生重大及以上网络安全事件的信息及时向省局网信办报告。省局网信办组织对上报信息进行研判,对可能发生特别重大网络安全事件的信息及时向省委网信办、质检总局网信办报告。(3)预警响应1)红色预警响应第一,省局网信办根据省委网信办指示组织预警响应工作,联系相关单位或部门和应急支援单位,组织对事态发展情况进行跟踪研判,并共同协商制定出相应的防范措施以及多项预警相应应急工作方案,有效的组织并协调组织资源调度以及与其他部门进行合作的前期准备工作。第二,相关单位以及部门对于网络安全事件的应急处置,要求相关机构实行24小时值班制度,并且与之相关的工作人员应该时刻保持联络通讯畅通。与此同时,还要不断提高网络安全事件监测以及事态发展信息的搜集工作,负责人员要对应急团队进行正确指挥,其他相关单位要辅助完成工作,如果出现紧急情况一定要上报到省局网信办。第三,网络安全应急技术支撑队伍、应急支援单位应时刻保持待命的状态,并且还要根据红色预警所提供的信息进行详细的研究,制定出不同的应对方案,另外,还要保障应急设备、软件工具以及车辆等使用正常。2)橙色预警响应第一,相关单位或部门网络安全事件应急处置机构启动相应的应急预案,根据省局网信办指示组织开展预警响应工作,完成相关的风险评估工作,并提前做好应急准备。第二,当橙色预警相应时,有关单位以及部门应立刻把事情的具体状况上报到省局网信办公室。省局网信办密切关注事态发展,有关重大事项及时通报相关单位或部门。第三,网络安全应急技术支撑队伍、应急支援单位保持联络畅通,检查应急设备、软件工具、车辆等,确保处于良好状态。3)黄色、蓝色预警响应事发单位或部门网络安全事件应急处置机构启动相应应急预案,指导组织开展预警响应。

2.5网络安全事件的应急处置

(1)事件报告网络安全事件的应急处置,主要在当网络安全事件发生之后,事发单位要对网络安全事件进行应急处置,一是要马上对事件进行报告,先要启动应急预案,对事件进行处置。二是事发单位的相关部门要将事态稳定住,保留证据,完成好相关的信息通报工作。(2)应急响应通常情况下,在网络安全事件的四个等级当中,I级的网络安全事件是属于最高响应的级别。Ⅰ级响应:省局网信办在接到事发单位或部门报告后组织对事件信息进行研判,属特别重大网络安全事件的,立即上报省委网信办,同时向省局网信领导小组提出启动Ⅰ级响应的建议,经网信领导小组批准后,成立专项应急响应指挥部。由专门的指挥部来实行应急处置工作的统一领导部署,并领导相关完成好协调职责。对于指挥部的成员来说,要时刻保持24小时的联络。其他单位以及部门要确保应急处置机构随时保持应急状态,然后当指挥部发出命令之后,完成相应的工作。Ⅱ级响应:省局网信办在接到事发单位或部门报告后组织对事件信息进行研判,根据事件的性质和情况,属重大网络安全事件的,指示事发单位或部门启动Ⅱ级响应。事发单位或部门的应急处置机构进入应急状态,在省局网信办指导下按照相关应急预案做好应急处置工作。处置中需要省局应急技术支撑队伍和应急支援单位配合和支持的,商省局网信办予以协调。事发单位或部门与省局应急技术支撑队伍、应急支援单位应根据各自职责,积极配合、提供支持。Ⅲ级响应:网络安全事件的Ⅲ级响应,由事发单位或部门根据事件的性质和情况确定。事发单位或部门跟踪事态发展,有关事项及时通报有关部门和单位。Ⅳ级响应:事发单位或部门按相关预案进行应急响应。(3)应急结束Ⅰ级响应结束由指挥部提出建议,报省局网信领导小组批准后,及时通报相关单位。Ⅱ级响应结束由事发单位提出建议,报省局网信办批准后,及时通报相关单位或部门。Ⅲ、Ⅳ级响应结束由事发单位或部门决定,通报有关部门和单位。

2.6调查与评估

特别重大网络安全事件由指挥部组织相关单位或部门进行调查处理和总结评估,并按程序上报至省委网信办、质检总局网信办。重大及以下网络安全事件由事件发生单位或部门自行组织调查处理和总结评估,并将相关总结调查报告报省局网信办。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。

3网络安全事件实战演练

省局网信办应协调各处室、各直属事业单位定期组织演练,检验和完善预案,提高实战能力。应急演练方案应明确演练内容和目的、准备工作、演练步骤和考核办法。

3.1内容和目的

应急演练主要内容包括机房突发事件、设备故障、安全事件等三个方面。

3.2准备工作

明确与演练内容相关的人员、环境、设备和设施应满足的条件、状态。

3.3考核办法

明确演练的考核对象、考核内容、完成时限、分值以及评分标准。一般情况下,每个演练项目考核满分为十分,如得分少于6分,应进一步完善网络安全事件应急预案。

篇4

一、我国互联网网络安全形势

(一)基础网络防护能力明显提升,但安全隐患不容忽视。根据工信部组织开展的2011年通信网络安全防护检查情况,基础电信运营企业的网络安全防护意识和水平较2010年均有所提高,对网络安全防护工作的重视程度进一步加大,网络安全防护管理水平明显提升,对非传统安全的防护能力显著增强,网络安全防护达标率稳步提高,各企业网络安全防护措施总体达标率为98.78%,较2010年的92.25%、2009年的78.61%呈逐年稳步上升趋势。

但是,基础电信运营企业的部分网络单元仍存在比较高的风险。据抽查结果显示,域名解析系统(DNS)、移动通信网和IP承载网的网络单元存在风险的百分比分别为6.8%、17.3%和0.6%。涉及基础电信运营企业的信息安全漏洞数量较多。据国家信息安全漏洞共享平台(CNVD)收录的漏洞统计,2011年发现涉及电信运营企业网络设备(如路由器、交换机等)的漏洞203个,其中高危漏洞73个;发现直接面向公众服务的零日DNS漏洞23个, 应用广泛的域名解析服务器软件Bind9漏洞7个。涉及基础电信运营企业的攻击形势严峻。据国家计算机网络应急技术处理协调中心(CNCERT)监测,2011年每天发生的分布式拒绝服务攻击(DDoS)事件中平均约有7%的事件涉及到基础电信运营企业的域名系统或服务。2011年7月15日域名注册服务机构三五互联DNS服务器遭受DDoS攻击,导致其负责解析的大运会官网域名在部分地区无法解析。8月18日晚和19日晚,新疆某运营商DNS服务器也连续两次遭到拒绝服务攻击,造成局部用户无法正常使用互联网。

(二)政府网站安全事件显著减少,网站用户信息泄漏引发社会高度关注。据CNCERT监测,2011年中国大陆被篡改的政府网站为2807个,比2010年大幅下降39.4%;从CNCERT专门面向国务院部门门户网站的安全监测结果来看,国务院部门门户网站存在低级别安全风险的比例从2010年的60%进一步降低为50%。但从整体来看,2011年网站安全情况有一定恶化趋势。在CNCERT接收的网络安全事件(不含漏洞)中,网站安全类事件占到61.7%;境内被篡改网站数量为36612个,较2010年增加5.1%;4月-12月被植入网站后门的境内网站为12513个。CNVD接收的漏洞中,涉及网站相关的漏洞占22.7%,较2010年大幅上升,排名由第三位上升至第二位。网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底, CSDN、天涯等网站发生用户信息泄露事件引起社会广泛关注,被公开的疑似泄露数据库26个,涉及帐号、密码信息2.78亿条,严重威胁了互联网用户的合法权益和互联网安全。根据调查和研判发现,我国部分网站的用户信息仍采用明文的方式存储,相关漏洞修补不及时,安全防护水平较低。

(三)我国遭受境外的网络攻击持续增多。

黑影服务器-僵尸网络控制端数量排名(2012年3月14日)

麦咖啡

赛门铁克

赛门铁克——病毒邮件排名(2011年11月)

赛门铁克——钓鱼网站排名(2011年11月)

赛门铁克-垃圾邮件数量排名(2011年11月)

索菲斯

索菲斯—垃圾邮件排名

2011年,CNCERT抽样监测发现,境外有近4.7万个IP地址作为木马或僵尸网络控制服务器参与控制我国境内主机,虽然其数量较2010年的22.1万大幅降低,但其控制的境内主机数量却由2010年的近500万增加至近890万,呈现大规模化趋势。其中位于日本(22.8%)、美国(20.4%)和韩国(7.1%)的控制服务器IP数量居前三位,美国继2009年和2010年两度位居榜首后,2011年其控制服务器IP数量下降至第二,以9528个IP控制着我国境内近885万台主机,控制我国境内主机数仍然高居榜首。在网站安全方面,境外黑客对境内1116个网站实施了网页篡改;境外11851个IP通过植入后门对境内10593个网站实施远程控制,其中美国有3328个IP(占28.1%)控制着境内3437个网站,位居第一,源于韩国(占8.0%)和尼日利亚(占5.8%)的IP位居第二、三位;仿冒境内银行网站的服务器IP有95.8%位于境外,其中美国仍然排名首位——共有481个IP(占72.1%)仿冒了境内2943个银行网站的站点,中国香港(占17.8%)和韩国(占2.7%)分列二、三位。总体来看,2011年位于美国、日本和韩国的恶意IP地址对我国的威胁最为严重。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2011年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名约有65%在境外注册。此外,CNCERT在2011年还监测并处理多起境外IP对我国网站和系统的拒绝服务攻击事件。这些情况表明我国面临的境外网络攻击和安全威胁越来越严重。

(四)网上银行面临的钓鱼威胁愈演愈烈。随着我国网上银行的蓬勃发展,广大网银用户成为黑客实施网络攻击的主要目标。2011年初,全国范围大面积爆发了假冒中国银行网银口令卡升级的骗局,据报道此次事件中有客户损失超过百万元。据CNCERT监测,2011年针对网银用户名和密码、网银口令卡的网银大盗、Zeus等恶意程序较往年更加活跃, 3月-12月发现针对我国网银的钓鱼网站域名3841个。CNCERT全年共接收网络钓鱼事件举报5459件,较2010年增长近2.5倍,占总接收事件的35.5%;重点处理网页钓鱼事件1833件,较2010年增长近两倍。

(五)工业控制系统安全事件呈现增长态势。继2010年伊朗布舍尔核电站遭到Stuxnet病毒攻击后,2011年美国伊利诺伊州一家水厂的工业控制系统遭受黑客入侵导致其水泵被烧毁并停止运作,11月Stuxnet病毒转变为专门窃取工业控制系统信息的Duqu木马。2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京亚控和北京三维力控等国内外知名工业控制系统制造商的产品。相关企业虽然能够积极配合CNCERT处置安全漏洞,但在处置过程中部分企业也表现出产品安全开发能力不足的问题。

(六)手机恶意程序现多发态势。随着移动互联网生机勃勃的发展,黑客也将其视为攫取经济利益的重要目标。2011年CNCERT捕获移动互联网恶意程序6249个,较2010年增加超过两倍。其中,恶意扣费类恶意程序数量最多,为1317个,占21.08%,其次是恶意传播类、信息窃取类、流氓行为类和远程控制类。从手机平台来看,约有60.7%的恶意程序针对Symbian平台,该比例较2010年有所下降,针对Android平台的恶意程序较2010年大幅增加,有望迅速超过Symbian平台。2011年境内约712万个上网的智能手机曾感染手机恶意程序,严重威胁和损害手机用户的权益。

(七)木马和僵尸网络活动越发猖獗。2011年,CNCERT全年共发现近890万余个境内主机IP地址感染了木马或僵尸程序,较2010年大幅增加78.5%。其中,感染窃密类木马的境内主机IP地址为5.6万余个,国家、企业以及网民的信息安全面临严重威胁。根据工业和信息化部互联网网络安全信息通报成员单位报告,2011年截获的恶意程序样本数量较2010年增加26.1%,位于较高水平。黑客在疯狂制造新的恶意程序的同时,也在想方设法逃避监测和打击,例如,越来越多的黑客采用在境外注册域名、频繁更换域名指向IP等手段规避安全机构的监测和处置。

(八)应用软件漏洞呈现迅猛增长趋势。2011年,CNVD共收集整理并公开信息安全漏洞5547个,较2010年大幅增加60.9%。其中,高危漏洞有2164个,较2010年增加约2.3倍。在所有漏洞中,涉及各种应用程序的最多,占62.6%,涉及各类网站系统的漏洞位居第二,占22.7%,而涉及各种操作系统的漏洞则排到第三位,占8.8%。除预警外,CNVD还重点协调处置了大量威胁严重的漏洞,涵盖网站内容管理系统、电子邮件系统、工业控制系统、网络设备、网页浏览器、手机应用软件等类型以及政务、电信、银行、民航等重要部门。上述事件暴露了厂商在产品研发阶段对安全问题重视不够,质量控制不严格,发生安全事件后应急处置能力薄弱等问题。由于相关产品用户群体较大,因此一旦某个产品被黑客发现存在漏洞,将导致大量用户和单位的信息系统面临威胁。这种规模效应也吸引黑客加强了对软件和网站漏洞的挖掘和攻击活动。

(九)DDoS攻击仍然呈现频率高、规模大和转嫁攻击的特点。2011年,DDoS仍然是影响互联网安全的主要因素之一,表现出三个特点。一是DDoS攻击事件发生频率高,且多采用虚假源IP地址。据CNCERT抽样监测发现,我国境内日均发生攻击总流量超过1G的较大规模的DDoS攻击事件365起。其中,TCP SYN FLOOD和UDP FLOOD等常见虚假源IP地址攻击事件约占70%,对其溯源和处置难度较大。二是在经济利益驱使下的有组织的DDoS攻击规模十分巨大,难以防范。例如2011年针对浙江某游戏网站的攻击持续了数月,综合采用了DNS请求攻击、UDP FLOOD、TCP SYN FLOOD、HTTP请求攻击等多种方式,攻击峰值流量达数十个Gbps。三是受攻击方恶意将流量转嫁给无辜者的情况屡见不鲜。2011年多家省部级政府网站都遭受过流量转嫁攻击,且这些流量转嫁事件多数是由游戏私服网站争斗引起。

二、国内网络安全应对措施

(一)相关互联网主管部门加大网络安全行政监管力度,坚决打击境内网络攻击行为。针对工业控制系统安全事件愈发频繁的情况,工信部在2011年9月专门印发了《关于加强工业控制系统信息安全管理的通知》,对重点领域工业控制系统信息安全管理提出了明确要求。2011年底,工信部印发了《移动互联网恶意程序监测与处置机制》,开展治理试点,加强能力建设。6月起,工信部组织开展2011年网络安全防护检查工作,积极将防护工作向域名服务和增值电信领域延伸。另外还组织通信行业开展网络安全实战演练,指导相关单位妥善处置网络安全应急事件等。公安部门积极开展网络犯罪打击行动,破获了2011年12月底CSDN、天涯社区等数据泄漏案等大量网络攻击案件;国家网络与信息安全信息通报中心积极发挥网络安全信息共享平台作用,有力支撑各部门做好网络安全工作。

(二)通信行业积极行动,采取技术措施净化公共网络环境。面对木马和僵尸程序在网上的横行和肆虐,在工信部的指导下,2011年CNCERT会同基础电信运营企业、域名从业机构开展14次木马和僵尸网络专项打击行动,次数比去年增加近一倍。成功处置境内外5078个规模较大的木马和僵尸网络控制端和恶意程序传播源。此外,CNCERT全国各分中心在当地通信管理局的指导下,协调当地基础电信运营企业分公司合计处置木马和僵尸网络控制端6.5万个、受控端93.9万个。根据监测,在中国网民数和主机数量大幅增加的背景下,控制端数量相对2010年下降4.6%,专项治理工作取得初步成效。

(三)互联网企业和安全厂商联合行动,有效开展网络安全行业自律。2011年CNVD收集整理并漏洞信息,重点协调国内外知名软件商处置了53起影响我国政府和重要信息系统部门的高危漏洞。中国反网络病毒联盟(ANVA)启动联盟内恶意代码共享和分析平台试点工作,联合20余家网络安全企业、互联网企业签订遵守《移动互联网恶意程序描述规范》,规范了移动互联网恶意代码样本的认定命名,促进了对其的分析和处置工作。中国互联网协会于2011年8月组织包括奇虎360和腾讯公司在内的38个单位签署了《互联网终端软件服务行业自律公约》,该公约提倡公平竞争和禁止软件排斥,一定程度上规范了终端软件市场的秩序;在部分网站发生用户信息泄露事件后,中国互联网协会立即召开了“网站用户信息保护研讨会”,提出安全防范措施建议。

(四)深化网络安全国际合作,切实推动跨境网络安全事件有效处理。作为我国互联网网络安全应急体系对外合作窗口,2011年CNCERT积极推动“国际合作伙伴计划”,已与40个国家、79个组织建立了联系机制,全年共协调国外安全组织处理境内网络安全事件1033起,协助境外机构处理跨境事件568起。其中包括针对境内的DDoS攻击、网络钓鱼等网络安全事件,也包括针对境外苏格兰皇家银行网站、德国邮政银行网站、美国金融机构Wells Fargo网站、希腊国家银行网站和韩国农协银行网站等金融机构,加拿大税务总局网站、韩国政府网站等政府机构的事件。另外CNCERT再次与微软公司联手,继2010年打击Waledac僵尸网络后,2011年又成功清除了Rustock僵尸网络,积极推动跨境网络安全事件的处理。2011年,CNCERT圆满完成了与美国东西方研究所(EWI)开展的为期两年的中美网络安全对话机制反垃圾邮件专题研讨,并在英国伦敦和我国大连举办的国际会议上正式了中文版和英文版的成果报告“抵御垃圾邮件 建立互信机制”,增进了中美双方在网络安全问题上的相互了解,为进一步合作打下基础。

三、2012年值得关注的网络安全热点问题

随着我国互联网新技术、新应用的快速发展,2012年的网络安全形势将更加复杂,尤其需要重点关注如下几方面问题:

(一)网站安全面临的形势可能更加严峻,网站中集中存储的用户信息将成为黑客窃取的重点。由于很多社交网站、论坛等网站的安全性差,其中存储的用户信息极易被窃取,黑客在得手之后会进一步研究利用所窃取的个人信息,结合社会工程学攻击网上交易等重要系统,可能导致更严重的财产损失。

(二)随着移动互联网应用的丰富和3G、wifi网络的快速发展,针对移动互联网智能终端的恶意程序也将继续增加,智能终端将成为黑客攻击的重点目标。由于Android手机用户群的快速增长和Android应用平台允许第三方应用的特点,运行Android操作系统的智能移动终端将成为黑客关注的重点。

(三)随着我国电子商务的普及,网民的理财习惯正逐步向网上交易转移,针对网上银行、证券机构和第三方支付的攻击将急剧增加。针对金融机构的恶意程序将更加专业化、复杂化,可能集网络钓鱼、网银恶意程序和信息窃取等多种攻击方式为一体,实施更具威胁的攻击。

(四)APT 攻击将更加盛行,网络窃密风险加大。APT攻击具有极强的隐蔽能力和针对性,传统的安全防护系统很难防御。美国等西方发达国家已将APT攻击列入国家网络安全防御战略的重要环节,2012年APT攻击将更加系统化和成熟化,针对重要和敏感信息的窃取,有可能成为我国政府、企业等重要部门的严重威胁。

(五)随着2012年ICANN正式启动新通用顶级域名(gTLD)业务,新增的大量gTLD及其多语言域名资源,将给域名滥用者或欺诈者带来更大的操作空间。

(六)随着宽带中国战略开始实施,国家下一代互联网启动商用试点,以及无线城市的大规模推进和云计算大范围投入应用, IPv6网络安全、无线网安全和云计算系统及数据安全等方面的问题将会越来越多地呈现出来。

篇5

关键词:银行网络 网络安全 防火墙 安全体系

新世纪以现代信息技术为代表的高新技术迅猛发展,将彻底改变人类的生活方式,促使金融行业产生根本性的变革。特别是在我国加入世贸组织、金融业务全面开放后,国内外同行业的竞争将更加激烈。面对科技的不断发展和金融的日益全球化,建立一个安全、高效的计算机网络是当前亟待解决的重要课题。

1 银行计算机网络面临的安全威胁

银行计算机网络系统的安全问题一般来说,计算机网络安全包括物理安全和逻辑安全两大部分[1]。物理安全指的是网络系统设备及相关设施受到物理保护,免于被破坏、被丢失等。逻辑安全包括信息完整性、保密性和可用性。银行网络安全的威胁主要是来自于网络传送过程、网络服务过程、企业内部病毒传输及软件应用过程中的威胁[2]。

2 银行网络安全体系设计

为了构筑银行网络安全体系,将银行网络安全体系的构建分布到广域网、局域网、外联网等处,不同的功能区域设置不同的安全防范体系。

2.1 广域网安全 广域网部分网络安全重点关注是网络自身安全及数据传送安全,广域网的设计可靠性及安全性主要涉及的网络协议层次及以下。解决网络设备安全、组网安全及数据传送安全是提高广域网安全性的有效方式。①设备安全。主要通过路由器的ISPKeeper功能流量的检测、分析及流量处理等方式来预防流量攻击。②组网安全。通过OSPF+BGP的路由方案,BGP在自身功能的管理和控制上比较严格,使得数据重心和各一、二级网点局域网络的路由到广域网时严格受控。③数据传送安全。通过IPSec技术进行数据加密,加密操作通常通过主机或网络两端来进行,中间网络数据传输透明化。如有必要也可对个别线路进行IPSec加密。

2.2 局域网安全 银行各网点局域网实现的功能较多,设计复杂,包括多个网络模块,网络安全的构建大致涵盖了核心交换区、服务器群、大前置机处理中心区等,针对各功能区特点使用与之对应的安全措施。①银行网络核心交换区。局域网的核心是银行中心机房。局域网的路由处理、数据高速转发和流量交换全部通过中心机房来完成,该部分的安全处理并不复杂,设备安全是重点。操作过程中,可以在核心交换设备上利用端口镜像功能,把符合条件的流量镜像到流量分析设备上,进行更高级别的网络流量分析,如有安全隐患,可及时对网络规划进行调整。②银行网络服务器群。中心机房关系整个局域网的安全运行,此区域集中了很多服务器,应该严格控制用户对该中心机房区域的访问行为。如有需要,可将防火墙设在核心交换机与服务器换机之间。以服务器的功能特点为依据划分为不同功能类别的VLAN,功能相同的服务器与同一VLAN连接,按要求对用户的访问行为严加控制。③处理中心区、开发环境区、测试环境区及监控中心区。这几部分虽然各自的功能不同,但是安全设计的重点都是对接入用户/主机的管理。在此类区域中,先以该区域内用户/主机的功能和访问权限为依据划分VLAN,在终结VLAN的三层交换机上,利用ACL对各VLAN之间互访以及VLAN访问其它网络资源的权限进行控制。

2.3 外联网络 该区域的安全设计重点是防范来自外部的攻击。主要采用在机构/Internet接入路由器的后面设置防火墙的方式。部署防火墙时,基于安全因素的考虑,必须应遵循几个基本原则:一是最小授权,只有必要的流量,才能被授权通过防火墙;二是高度容错,即使防火墙出现问题,也不能降低内部系统的安全程度;三是深度防御,虽然系统已有防火墙的相关配置,内部网络仍有必要采用独立于防火墙的安全措施。

3 服务器安全及计算机病毒防治

3.1 服务器系统安全 为了确保服务器系统的安全使用性能,笔者建议使用安全扫描软件,定期扫描比较重要的主机系统及网络,从而找出网络弱点以及策略配置方面的缺陷。根据扫描结果,及时更新操作系统补丁,进行病毒查杀,更新安全策略。

3.2 计算机病毒防治 蠕虫病毒通过大量繁殖,以主机为点、通过网络构成面的计算机自我复制机制对现有网络展开了大规模的网络流量攻击,所以在网络技术上防止蠕虫病毒,可以从设备选择及组网技术两个方面进行考虑。为防止病毒攻击引起的局域网络瘫痪,很多情况下是与交换机的交换方式相关的,如很多中低端交换机甚至一些主流厂商早期的高端交换机都采用了流交换方式,当网络感染蠕虫病毒后,病毒不断变化IP发起网络流量攻击,导致网络中的流不断更新,流数目迅速增长,超出交换机能处理的流数目,交换机转而将报文交给CPU处理,由于交换机的CPU处理能力低,最终造成设备瘫痪。因此建议采用支持逐包转发模式的交换机,尤其是在高端。

4 结束语

构建完全彻底的安全网络只是一个神话,安全只是相对而言,安全保护是一个有始有终的过程,不断的分析、计划、实施和维护,以最具有成本——效益的方式降低风险,时刻提高警惕,保持系统稳固。

参考文献:

[1]吴蓓,刘海光.银行网络安全管理体系构建路径探讨.电脑知识与技术,2010-07-25.

[2]董会敏.银行网络信息安全的实现.华东师范大学,2011-05-01.

[3]张明贤.当前银行网络安全的主要威胁及防范策略探析.科技与企业,2011-12-22.

篇6

ENISA对2002~2012年期间举行的85次不同层级的网络演习进行了调研,既有单个国家演习又有多国演习,既有针对私营企业或政府机构的演习又有二者结合的演习。全球共计84个国家参加多国网络演习,欧洲共有22个国家组织过全国性网络演习。

主要结论

欧洲网络与信息安全局认为此次调研评估较好地总结了国家及国际网络演习的现状,主要结论如下。

(1)网络演习次数逐年增多。

网络演习日渐普遍,2010年后演习数量更是激增,这与政策支持和网络攻击威胁不断增多不无关系。很多演习作为系列演习的一部分,每年都举行,这种趋势在未来数年仍将继续。

(2)网络危机合作不断发展。

不仅网络演习日渐普遍,网络危机合作方面的举措也在不断发展。网络安全已成为欧洲国家的紧要事务,受到越来越多的关注。

(3)多数欧洲国家参与了国家和多国网络演习。

多数欧盟和欧洲自由贸易区国家既组织过国家演习又参加过多国网络演习。这说明参与国际演习对组织国家层面的网络演习能够起到补益作用,国际网络危机合作能够在这些演习中得到发展。对于本身能力有限的国家(例如没有能力组织国家演习),参加国际演习能够帮助他们达到欧盟制定的国家网络安全标准。网络危机往往超越国境,这一事实也为大国帮助网络安全应急能力较弱的邻邦提供了动力,凸显了多国联合组织跨国网络演习的必要性。ENISA通过组织网络演习研讨会和泛欧洲地区网络演习的方式支持各国的网络演习活动。

(4)政府机构与私营企业之间的交流合作至关重要。

鉴于很多私营企业是重要信息基础设施的所有者、管理者和使用者,因此未来的网络演习更需要加强政府机构与私营企业的合作。

(5)必须更加重视演习管理工具。

对演习管理工具的重要性认识不足是所有网络演习普遍存在的问题。演习管理工具可以用来协助进行演习准备和评估。

(6)促进演习规划、监控与评估方法的使用。

演习规划、监控和评估关系到演习是否能够成功,演习规划包括完善演习方案、程序,修改演习策略等,监控和评估能够进一步帮助演习组织者建立反馈机制,总结经验教训。本次调研发现演习监控、评估方法的使用有限,在未来演习中应该更多地使用这些方法。

建议

报告提出了一些能够提高演习质量、增加演习数量的建议,这些建议有助于增强重要网络基础设施及服务对网络安全事件的承受能力。

(1)打造更为协调的网络演习环境。

随着网络演习范围的不断扩大,网络危机合作的不断发展,应该努力打造一个更加协调的网络演习环境,让全球网络演习领域的利益方能够充分交流与探讨该领域的好做法、挑战及经验教训。如何以取长补短为目的,协调网络计划,实现同步化是网络演习界面临的一个艰巨的挑战。此外,建议继续组织网络危机合作国际会议,为建立更加协调的网络演习群体创造条件。

(2)建立公私合作,加强网络演习经验交流。

公共机构与私营企业之间通过合作共同保护重要信息基础设施非常重要,而组织联合演习和分享好的做法和经验则是实现合作不可或缺的手段。经验交流可以通过建立专门的数据库、观摩演习、学习交流等方式实现。

(3)继续推进演习管理工具的开发。

在网络演习中,良好的方法和自动化的工具能够有效地提高演习设计、实施及评估的效率。包括模拟器和仿真机在内的各种演习管理工具能够在提高演习效率的同时使演习质量更高,效果更好。报告呼吁业界人士支持网络演习管理工具的开发、应用和共享。

(4)力求在部门间、国际和欧洲层级举行更复杂的网络演习。

网络事件/危机大多是跨界的,包括跨国境、跨部门等,这种情况带来的挑战就是,如何组织能够检验跨界网络事件各种复杂情况的网络演习,特别是在需要同时检验不同层级应急响应能力的时候(包括战役、战术和战略演习层面)。报告建议业界人士与ENISA一起,共同为组织更为复杂的网络演习而努力。

(5)将网络演习纳入网络危机应急方案。

各国应制定、维护并及时更新网络危机应急方案和标准合作程序。响应结构的持续完善需要网络演习的支撑。为了更好地备战网络危机,建议欧盟成员国相关决策者将网络演习纳入网络危机应急方案和标准合作程序。ENISA曾过一份《国家网络应急方案实践指南》。

(6)及时更新网络演习方法。

2009年,ENISA颁布了《国家演习实践指南》,代表着网络演习向着用更正规的方法进行规划和实施迈出了第一步。报告建议ENISA根据近几年欧洲相关政策的变化、本次调研的研究成果以及有关论坛获得的相关报告整合、改进上述文件推荐的网络演习方法,利用相关工具设计出正规的网络演习规划及组织办法。

篇7

关键词:计算机网络安全;基层行政单位;保护策略

0引言

近年来,随着社会的进步和科学技术的发展,互联网悄无声息地深入到社会各个领域,给人们的工作和生活带来了便利。然而,计算机技术也有其自身的弊端:由于计算机网络具有开放性、多样性、互联性的特点,在提供便利的同时也给私有信息和重要数据受到破坏提供了可能。目前,并没有成熟的技术能做到从根本上避免问题的发生,只能采取部分手段尽可能降低安全隐患。而基层行政单位作为政府行政部门,肩负责任巨大,任何存在重要数据、信息泄露的安全隐患都应坚决杜绝,因此保障计算机信息网络安全工作尽管艰难,但意义重大。

1基层单位信息网络和信息系统安全管理现状

总体上说,尽管计算机网络安全问题已逐步受到重视,但基层单位信息网络和信息系统安全管理现状依然值得担心。目前,基层信息网络依然受到病毒、木马、黑客攻击、系统漏洞等方面的威胁,而部分工作人员对网络安全问题重视程度不高、缺乏相应安全防护知识和技术等自身原因更是加剧了安全防范的难度。在信息系统安全管理方面,基层行政单位并不具有健全的管理制度,不能对重要数据和信息进行有效保护,部分单位甚至没有专门设置维护网络信息安全的相关技术人员,即使发现安全隐患也不能及时处理。

2基层单位信息网络和系统安全管理存在的主要问题

2.1操作系统存在的安全问题

操作系统具有帮助管理计算机系统的软件和硬件资源的功能,计算机系统存在问题往往会给基层单位带来安全隐患,若系统内程序有问题则容易造成计算机整个系统的瘫痪,带来不可预计的损失。此外,操作系统能够创建进程和支持远程,这也为远端服务器安装黑客软件提供了平台。2.2数据库存在的安全问题数据库用于存储数据和管理数据信息,而基层单位对数据库的安全维护工作并没有做的很好。由于数据库系统内包含多种存储的数据信息,若数据库系统维护工作不当,系统便不能安全、及时提供可靠信息。此外,非法人员利用非法手段破坏数据库信息也是当前基层单位面临的巨大威胁。

2.3管理方面存在的安全问题

基层单位往往存在内部网络建设时间不长、技术人员缺乏必要安全意识等普遍现象。另外,计算机网络管理和维护机制不健全、安全管理执行力度不强也不利于网络安全的维护。加之基层单位内部人员不按规范操作,移动存储器随意插用,为病毒的传播提供了条件。

2.4网络技术存在的安全问题

没有对操作系统及时更新和升级,为操作系统存在受到病毒、木马侵入留下了安全隐患,给单位计算机网络维护增加了难度。此外,计算机软件自身存在的漏洞和不足,以及基层单位对网络技术安全投入不高,只重视眼前效益都会在一定程度上带来网络技术的安全问题。

3加强基层信息系统及网络安全管理工作的建议

3.1安全的计算机物理网络建设

(1)杀(防)毒软件不可少:

病毒侵入已成为影响计算机安全的最大隐患,且破坏性极强,令人谈“毒”色变。因此,在网络信息安全建设中杀(防)毒软件的安装必不可少。通常,防毒软件分单机防病毒软件和网络防病毒软件,单机防病毒软件可以对本地工作站连接的远程资源进行扫描监测,消除病毒;网络防病毒软件侧重网络防病毒,避免病毒传染到其他网络。

(2)防火墙控制:

防火墙是一相对新型的计算机网络安全保护技术,防火墙由软件设备和硬件设备组成,主要通过控制进出口方面的通信门槛,限制外界用户对内部网络访问以及管理内部用户访问权限,实现对网络安全的保护。此外,防火墙能够对访问进行记录,同时计算机管理员提供统计数据,当可以动作发生时,及时报警能有效保障用户使用安全。

(3)数据加密与密码保护:

数据加密策略具有方便、灵活的特点,尤其适用于开放性网络。数据加密能够有效保护网内的口令、文件等动态数据,它主要通过监测动态攻击和避免被动攻击两个方面实现。而数据加密的本质是对以符号为基础数据进行移位和置换,其加密过程由各种各样的加密算法实施,尽管代价较小,但效果十分显著。

(4)网络权限控制:

网络权限控制主要是针对网络非法操作所采取的保护措施,即对操作用户进行权限设置,防止非法人员访问。通常,网络访问控制包含用户的识别和验证、口令的识别与验证以及账号的缺省限制检查三个步骤。应注意的是,用户需对验证口令进行加密,并严防泄露;另一方面,服务器对用户输入的用户名和口令进行验证的过程中,应当避免口令在屏幕上显示。若多次输入口令不正确,则视为非法入侵,及时给出报警信息。

(5)入侵检测技术:

入侵检测技术是一种检测计算机网络中是否存在违反安全策略行为的一项技术,主要通过监视和分析用户及系统活动、查看非法用户和合法用户的操作权限实现。入侵检测系统已得到业内人士普遍认同,被认为是防火墙之后的第二道安全闸门。在入侵攻击前,它能及时检测并利用报警和防护系统对入侵进行拦截,在系统受到攻击过程中,能有效减少入侵造成的损失,在系统受到攻击后,能够收集入侵信息,便于系统后期防范能力的提高。

3.2加强基层信息系统及网络安全管理工作措施

(1)建立完善的计算机网络安全系统

多年来,以传播速度快、危害性强为特点计算机病毒已成为影响计算机网络安全的最大因素,并且随着技术的发展,计算机病毒的形式呈现更为复杂和多样的发展趋势。计算机网络安全系统作为保障用户信息数据安全的重要屏障,其建设意义重大。这就要求基层单位务必完善计算机网络安全系统,并做好单位内部计算机网络的监控工作,确保网络安全稳定运行,最大限度防止病毒入侵,减轻病毒带来的危害。

(2)做好基层单位内部网络的安全维护工作

计算机技术在基层行政单位的使用越来越广泛,涉及到的操作人员较多,加强内部网络安全维护工作,防止用户信息泄露具有重要意义。由于网络的开放性特点,基层单位网络仍然面临着黑客和病毒的直接威胁,建议引入先进的防火墙技术,对单位内部系统进行隔离,保障单位内部网络安全。

(3)不断完善维护网络安全的规章制度

建立完善的网络安全规章制度不仅是网络安全部门的义务,也是基层行政单位的职责。单位也可根据自身实际情况出发,制定相应维护制度和使用规范,包括定时对网络安全问题进行检查、严格禁止操作人员不按规范对计算机操作、禁止外来人员访问计算机等。对于数据的传输和接收工作,需采取一定的维护手段,保证单位内部信息安全。

(4)大力引进和培养网络信息安全人才

缺乏维护网络安全的专业技术人才是基层行政单位面临的普遍问题,而基层单位工作人员缺乏安全意识和必要的网络安全维护技术更是在很大程度上加大了安全隐患。加强网络安全维护刻不容缓。这就要求基层行政单位一方面要对工作人员进行培训,加强工作人员安全意识,提升工作人员的整体素质。另一方面要加大引进网络信息安全人才工作的力度,提升信息网络安全保护能力。只有这样才能在最大程度上保证网络信息安全。

4结语

可以看出,计算机技术在为基层行政单位的工作提供便利的同时也留下了巨大的安全隐患。目前,基层行政单位存在信息网络安全管理制度不健全、工作缺员缺乏信息安全管理意识、网络安全技术维护人员不足等诸多困难。因此,在保障基层行政单位计算机网络安全方面仍然需要做出很大的努力。在计算机网络系统中,绝对的安全是不存在的,但相信随着科学技术的发展,通过网络管理人员和使用人员的共同努力,网络安全问题一定能得到妥善解决。

引用:

[1]成启明.浅谈影响计算机网络安全的因素与防范措施[J].承德民族师专学报,2009.

[2]曾令军.谈影响计算机网络安全的因素与防范措施[J].信息与电脑(理论版),2010.

篇8

关键词:实验室网络安全 校园网安全 防火墙 安全策略

中图分类号:TP303.08 文献标识码:A 文章编号:1007-9416(2013)09-0173-02

引言

高校计算机实验室承担着教学、培训、考试等大量繁重的教学任务。特点是:应用软件众多,实验操作繁杂且不固定,机器台数多,上机学生不固定。因此可能会导致很多计算机或网络异常,如何有效的对计算机实验室网络进行安全管理就成为一个值得研究的问题。

1 实验室网络结构与任务分析

1.1 网络结构

结合众多课程实训要求,大多数实验室为学生搭建了一套满足各种局域网交换和广域网路由测试需求的基础网络平台,使学生在学习众多应用软件的同时,还可实现用户管理、服务器配置、模拟各类实验环境。80%以上都是基于10/100M交换机或路由器连接成星型拓扑结构,利用校园局域网连入互联网。

1.2 实验任务

软件应用实验:办公自动化、网页设计、图片处理、图象、声音等媒体数据处理。

网络应用实验: DNS、DHCP、WWW、域控制器、邮件服务器等多种服务器的配置;网站建设,基于Socket的C/S编程,基于B/S编程等。

2 计算机实验室网络普遍存在的问题

(1)为了满足教学需要安装了多种软件,电脑的运行速度较慢。计算机实验室几乎全天对学生开放,在超负荷运行下计算机出现故障率高,机器维护任务较重。(2)学生对计算机操作不熟练或不当操作,容易造成部分系统文件删除或破坏;学生随意修改主机密码、CMOS设置、修改注册表内容或本地安全策略,导致电脑系统无法正常运行。(3)学生私自将个人移动硬盘、U盘、MP3等带入机房,安装大量的个人文件、导致电脑系统运行速度降低,甚至导致大量文件感染病毒,使管理的难度加大。(4)学生从外网下载文件或者访问带有病毒的网站时,感染病毒可能造成系统及网络的瘫痪甚至崩溃。(5)基于教学要求,在局域网上实现资源共享或者教学广播,使病毒在局域网内大面积传播,加重了计算机病毒的查杀难度。

(6)学生在实验室内吃零食、早餐,污染实验室环境或导致计算机短路,还有学生私自移动机器,可能造成计算机硬件损坏。

因此,为保证学生机快速恢复、优化,必须建立起一套行之有效的系统维护方案,用以保证实验教学的顺利进行,减轻实验室管理人员的工作量。

3 安全管理策略

3.1 基础校园网网络安全策略

3.1.1 网络安全结构

校园网络安全是实验室网络安全的基础保障。应制定统一的骨干网安全策略,保证基础网络平台的安全性。

校园网可采用了包括路由器、防火墙和入侵检测系统在内的三层结构化防御系统。

第一层防护由防火墙实现。可独立配置防火墙,对内外网之间的通信进行严格过滤,保障内网信息安全。

第二层防护由边界路由器实现。边界路由器提供Internet与校园网的连接,利用Cisco路由器上所具有的PIX防火墙功能,可将学校的WWW服务器、DNS服务器、E-Mail等服务器一起放于PIX防火墙的DMZ区,从而阻止外部用户对各服务器进行删除、修改等非法操作,防止来自外部的攻击。

第三层防护由入侵检测系统来完成。合理配置检测系统,对校园网内用户操作、设备、端口、服务、账户管理、流量等信息进行统计分析,可利用故障自动报警、检测日志,及时发现网络异常并处理。

3.1.2 IP规划

目前我校为实现网络统一管理,使用静态IP地址,学生在首次利用帐户和口令登陆校园网后,网络中心负责身份审核的服务器在身份验证的同时,将其IP与MAC地址进行绑定。在后期用户通信中定时检测地址信息,发现MAC地址变换时,强行退出连接,但此种方法IP利用率明显降低,而且给用户使用带来诸多限制,且接入层上只能使用交换机。学生为实现帐户共享而选择其他网络接入方式,给我们后期网络安全管理埋下隐患。

为解决上述问题,建议配置DHCP服务器,动态配置IP地址。但此举措实施后,用户如果私自建立DHCP服务器,可能造成网络管理的混乱。

为防止用户私自建立DHCP服务器造成网络管理的混乱,在建网初期可选用支持DHCP Snooping功能的接入交换机。保证用户的IP地址只能由网络中心分配,而不能接受非法的IP提供。

为防止用户将IP地址手动设置成与服务器地址相同的地址而造成IP冲突,建议职能部门全部采用支持IP Source Guard的交换机,用户必须从合法的DHCP服务器上取得IP地址才可进行正常通信,私设IP地址将会被交换机自动禁止。

3.2 公共实验室安全管理策略

目前,有些实验室为简化工作,采用安装还原卡的方式来保证系统安全,但此举措会给实验操作带来诸多限制,特别是计算机网络方面的实验,大都要求计算机重启后才能完成实验任务,而还原卡的使用在此时就成为一道不可逾越的围墙,阻碍了实验的正常进行。

为保证实验操作的顺利进行,应根据各校实际情况合理制定实验室管理制度,以便对人员,设备,安全等实施管理。

(1)学生在机房不能吃零食、抽烟;学生不能私自使用U盘等移动硬盘;需认真填写好机器使用情况登记表。(2)加强对学生的教育,培养其良好的网络使用习惯。如不去浏览不安全的网页;不接受来路不明的邮件,附件应先下载,杀毒后再打开;不随意打开QQ等即时通信软件中弹出的超连接等。(3)在每台学生机上安装杀毒软件并及时升级。(4)及时打上系统漏洞补丁。(5)有条件的可以通过视频监控实验室的设备安全,应保证实验室的监控设备正常运行。(6)对系统核心数据进行备份,方便系统还原。(7)做好防火、防盗、防毒、防漏等安全工作。对水源、电源、火源必须必须细心检查,严防死守,杜绝事故发生。(8)实验设备在使用的过程中应注意保养维护,做好设备使用的档案记录,确保设备完好、安全和有效地使用,避免损坏,造成浪费。对已达到或超过使用年限的设备,按有关规定申请报废或降级使用。(9)制定完善的实验室管理规章制度并严格执行。

3.3 专业实验室安全管理策略

3.3.1 物理安全

网络应用实验中需完成 DNS、DHCP、WWW、域控制器、邮件服务器等多种服务器的配置,并验证服务器功能,查看运行效果;若在连网状态下,会受到校园网上各服务器影响,建议不连接校园网,仅用交换机或路由器连接,构成星型拓扑结构的小型局域网即可。

统一规划IP。建议默认使用静态IP地址。根据具体需求可合理设置子网掩码,划分子网。也可基于交换机端口划分VLAN。

3.3.2 用户安全

根据实际情况,可对所有用户进行划分,如:实验室管理员,教师,学生。并进行分级授权,避免出现越权操作。

管理员为每一级用户设置一个账号和密码,通过身份验证才能进行权限内操作。

3.3.3 其他安全策略

(1)IP安全策略。可在学生机上设置安全策略,关闭某些服务和端口,以减少遭受攻击的机率。例如:禁止使用139端口。

第一步,点击“开始”菜单/设置/控制面板/管理工具,打开“本地安全策略”,选中“IP安全策略,选择“本地计算机”;再选择“创建IP安全策略”。第二步,在IP安全策略“属性”对话框中,添加新的筛选器。第三步,在“筛选器属性”对话框中,设置源地址为“任何IP地址”,目标地址为“我的IP地址”;“协议”选择“TCP”,设置“从任意端口到此端口(139),完成筛选器建立。第四步,选中“新IP筛选器列表”,设置“筛选器操作”为“阻止”。第五步、“指派”。激活该IP安全策略。

(2)端口重定向。如果默认端口不能关闭,可将它“重定向”。即把该端口重定向到另一个地址,这样便可隐藏公认的默认端口,降低受破坏机率,保护系统安全。

例如可将远程终端服务(Terminal Server)端口(默认是3389),重定向到另一个端口(例如1234),方法是:

1)在本机上(服务器端)修改。

定位到下列两个注册表项,将其中的PortNumber,全部改成自定义的端口(例如1234)即可:

[HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\Wds\rdpwd\Tds\tcp]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\WinStations\RDP-Tcp]

2)在客户端上修改。

依次单击“开始程序附件通讯远程桌面连接”,打开“远程桌面连接”窗口,单击“选项”按钮扩展窗口,填写完相关参数后,单击“常规”下的“另存为”按钮,将该连接参数导出为.rdp文件。用记事本打开并在文件最后添加一行:server port:i:1234

以后,直接双击这个.rdp文件即可连接到服务器的此自定义端口了。

4 结语

实验室网络安全管理同其他网络安全管理一样,没有一劳永逸的方法。因此管理人员需对实验室系统数据定期进行备份。根据实际情况,合理安装并配置操作系统,网络协议,杀毒软件;合理禁止帐户、服务、端口;关注校园网网络安全动态,适时调整相关安全设置;设置审核机制,监视运行情况,及时修复系统异常。并定期进行硬件维护、软件维护、网络维护和日常维护,方能保证计算机实验室系统的正常、稳定运行。

参考文献

[1]石淑华,池瑞楠.计算机网络安全技术(第3版) [M].人民邮电出版社,2012-8.

[2]袁津生,吴砚农.计算机网络安全基础(第4版) [M].人民邮电出版社,2013-7.

[3]王薇.内部网络安全管理系统分析 [J]. 计算机光盘软件与应用 .2011.

[4]张东辉,王晓宇.校园网络安全问题及对策[J].华东科技,2011-3.

[5]周英.多域网络安全管理系统策略一致性研究与设计[N].四川文理学院学报,2013-3.

[6]蒲天银.计算机网络环境下可达性研究关键技术分析[N].湖南科技大学学报,2013-6.

[7]章思宇.基于DNS的隐蔽通道流量检测[N],通信学报.2013-5.

[8]邓越萍.校园网的安全防范策略[N].山西煤炭管理干部学院院报,2013-5.

[9]王锦.基于PK工的校园网身份认证系统的设计与实现「J].科技创新导报,2011-3.

[10]乔振,乔丽平,陈晓纪.PK工技术在校园网身份认证系统中的应用研究[J].福建电脑,2012.07.

[11]李晋丽,段小波,王琳 . 基于过滤驱动的安全密码框的研究与实现[J].软件,2013-3.

[12]王薇.内部网络安全管理系统分析[J].计算机光盘软件与应用,2011-11.

篇9

【关键词】信息系统;网络安全;管理

随着计算机技术的发展和计算机应用的普及,计算机技术逐渐从一门较为独立的学科向多学科渗透,并成为其他学科和生产发展的基础性工具和推动力量。在这种形势下,计算机应用水平逐渐成为衡量大学生能力的一个重要标志。为了培养大学生对计算机的学习兴趣,提高计算机的应用能力,各大学除了加大对计算机房及相应设施的投入,还采取了其他措施,以提高计算机及相关课程的教学水平和效果,同时为大学生提供一个较好的学习计算机知识的环境和条件。在此过程中,计算机机房是学生学习计算机知识的重要场所。从现实角度看,如果机房的管理跟不上就不能充分发挥其在教学中的作用[1]。

1.大学计算机机房的日常维护与管理的现状

大学有信息管理、软件技术、网络技术、多媒体技术及动漫等专业,学生多,利用计算机教学的课程多,面向全校各系部各专业的教学。大学的计算机型号多、机器系统应用软件多,而且每个机房均安装有监控摄像头系统,可通过网络远程监控录像,配备有线网络、无线网络,设有多台服务器。大学机房主要用来组织各级各类考试多:每年两次的全国计算机等级考试、每年一次的会计从业资格考试、全市上教师计算机应用能力考试等。在网络安全维护方面,大学每次开学前,根据教学要求,安装相应的软件 ,平时要进行系统软件的安装维护,每周据教师的课程进度,安排机房使用。晚间及双休日向学生开放,大学一般是根据教学需要,开放或断开互连网。

2.大学计算机机房的网络安全维护的技术

目前,大学已自主编制机房管理系统软件,可实现对班级课程上机申请、学生开机上课(考勤)、成绩的统一管理。

2.1防火墙技术

网络防火墙技术是“一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络技术。”它对两个或多个网络之间传输的数据包,如链接方式,按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。当前形势下,堡垒主机、包过滤路由器、应用层网关(服务器)及电路层网关、屏蔽主机防火墙、双宿主机等类型是现在的主要防火墙产品。

2.2加密技术

信息交换加密技术分为两类:即对称加密和非对称加密,具体如下所述:

在对称加密技术中,通常是用的一把钥匙开把锁,对信息的加密和解密都使用相同的密钥。这样有利于简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法,这样更省心。

在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存[2]。

3.计算机机房的日常维护与管理对策

大学计算机机房的各级领导、组织和部门工作人员不仅仅需要从思想上重视机房信息系统网络安全这一问题,更需要从行动上加以重视,体现在学校的领导以及相关的工作人员应该定期学习相关知识,大学计算机机房可以举办相关讲座,培训,考试,考核等等内容,这样既可以使工作人员学到更多的网络安全知识,维护大学计算机机房的网络安全,又可以丰富大家的生活,增强单位人员的集体责任心和安全感。同时,人员的管理和培训应该制定具体的细则,用过对每一个操作员工安排网前培训,这样不仅仅可以让他们熟悉入网的操作流程和相关的规章制度,同时还能够增强操作人员的网络安全知识和网络安全的意识。此外,我们建议建立起日常操作规章制度、网络安全的保密制度等等。大学计算机机房的网络化管理已经是现代化管理不能够缺少的系统工程,而且大学计算机机房的网络化管理在大学计算机机房的日常工作中起着十分重要的作用,一定不能无视,网络安全管理对大学计算机机房的日常正常运行起着越来越重要的作用。

众所周知,整个大学计算机机房信息系统的运行的命脉就是网络,全大学计算机机房工作是否可以正常的进行下去,就看网络是否畅通无阻,所以网络安全是大学计算机机房日常工作正常进行的保证和支持[3]。

第一,网络硬件的安全。

平日在生活学习中,大多数人喜欢把注意力集中到非法入侵、恶意攻击、病毒和其他涉及到软件方面的威胁,以为这些是网络的安全问题,其实不然,他们反而忽略了最重要的方面,就是网络的硬件安全。

第二,网络设计。

关于安全网络设计的问题,建议在设计适合注意网络设计缺陷和网络设备选型缺陷对网络安全的影响问题。网络总体设计应以高性能、高可靠性、高安全性、良好的可扩展性、可管理性为原则,并采用模块化的设计方法。网络采用三层架构模式,即核心层、汇聚层和接入层。

第三,工作站上的安全措施。

目前,大多数的大学计算机机房都在使用Windows操作系统,但是也存在安全隐患,因为网络用户可以修改其中的网络配置,这样的安全问题不容无视。所以根据我们的使用状况,应该将与网络安全有关的设置运用到实际中去,应该进行相应的修改防护措施,这样可以保证网络的安全性。

【参考文献】

[1]周建坤.基于模块化的思想部署高校机房的研究[J].计算机光盘软件与应用,2012,09.

篇10

    关键词:关键词:计算机网络;安全;隐患;建议

    中图分类号:TP393.08    文献标识码:A     文章编号:

    1. 计算机网络安全的主要隐患及攻击的主要方式

    1.1 计算机网络安全的主要隐患

    (1)当前许多计算机网络用户的个人计算机并未安装相应的杀毒软件及防火墙,这就导致用户计算机非常容易受到计算机病毒的攻击。

    (2)当前许多计算机网络用户计算机的操作系统存在安全漏洞,计算机网络木马、病毒和黑客攻击都会导致计算机受到威胁。由于计算机系统软件方面的问题,用户的计算机系统或多或少都存在着各种各样的漏洞,计算机网络又是开放共享的,从而导致接入计算机网络的用户会由于自身系统的漏洞而对于整个计算机网络产生安全威胁,而流行于计算机网络上的“震荡波、冲击波、尼姆达”等各种各样的病毒都是利用系统的漏洞来进行病毒传播的,这对于计算机网络带来了非常严重的安全隐患。

    (3)当前许多计算机网络用户设置目录共享导致信息的外泄。计算机网络用户通常会通过设置目录共享的方式来进行文件传输,然而,大部分计算机网络用户却并未充分认识到他们在设置目录共享之后的后果,计算机网络中的多台计算机都能够对共享目录进行访问,这就导致其共享的信息面临着安全隐患。

    (4)当前许多计算机网络用户的网络安全意识不强,这就导致计算机网络络中频繁出现黑客入侵他人计算机,盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜。

    1.2 进行计算机网络安全的攻击的主要方式

    (1)计算机病毒攻击方式。计算机病毒主要是利用计算机网络和操作系统的薄弱环节来发起攻击。在当前的计算机系统尤其是在视窗操作系统中都会有一定的安全漏洞,特别是在计算机网络系统软件方面也都有一定的安全漏洞。所以,计算机病毒就会通过计算机软件的破绽以及开发的过程中由于程序员的疏忽而留下的“后门”而大肆发起对计算机网络的攻击。

    (2)网络攻击方式。网络攻击方式具有非常强的破坏力,主要包括电子邮件攻击、利用黑客软件攻击、拒绝服务攻击等几种。其中,拒绝服务攻击最为常见,这是一种通过攻击计算机主机、服务器、路由器、交换机等网络设备,导致被攻击的网络不能够继续提供服务的网络攻击方式。通常情况下,拒绝服务攻击表现为攻击者向被攻击网络发送巨量的数据导致其资源被消耗殆尽,从而导致用不能够进行访问,因此造成了拒绝服务的局面。

    2. 从管理的角度加强计算机网络安全的建议

    2.1 加强计算机网络用户的法制教育和德育教育

    计算机网络用户在使用计算机的过程中出于兴趣和好奇而进行的相应的操作和验证,会给计算机网络的管理和监测造成许多困难。怎样去正确引导计算机网络用户就成为我们工作的重点之一,作为计算机网络管理人员,一定要想方设法加强计算机网络用户的法制教育和德育教育。

    2.2 计算机网络管理员应该做好计算机操作系统权限管理以及密码管理

    计算机网络管理员应该在保证计算机网络安全可靠运行的前提条件下,按照用户的实际需要,为所有的用户设置账户、密码和分配不同的网络访问权限,保证用户只能够在其特定的权限范围内进行计算机网络的访问,避免非法用户的访问。同时,计算机网络管理员应该以IP为目标或以注册的用户名为目标限制非法用户的网络访问,监控在线用户的网络访问,能责任落实到人。

    3. 从技术的角度加强计算机网络安全的建议

    3.1 安装防火墙,合理设置访问控制列表

    在与计算机网络相连接的每一台计算机上,都必须安装防火墙,将防火墙作为内外网之间的一道牢固的安全屏障。在安装配置防火墙的过程中,一定要严格遵守下面的方法,从而确实保证计算机网络的安全:

    (1)按照计算机网络安全策略和安全目标,规划设置正确的安全过滤规则,对于IP数据包的下列内容进行审核:端口、源地址、协议、目的地址、流向等,严格禁止来自非法用户的入侵。总体上遵从“不被允许的服务就是被禁止”的原则。

    (2)禁止对于HTTP、FTP等一系列的系统级别的服务的访问。计算机网络内部的计算机仅仅可以对于文件、打印机共享服务进行访问。使用动态规则管理,允许授权运行的程序提供服务,比如网络游戏或者视频语音电话软件提供的服务,严格禁止未授权的服务。

    (3)对于在计算机网络中的所有用户,都必须科学合理的设置他们在计算机网络中的IP地址,从而保证防火墙系统真正识别出数据包的来源,进一步确保计算机网络中的所有用户都能够正常使用HTTP、FTP等服务。

    (4)计算机管理员对于防火墙访问日志要定期进行查看,及时发现各种各样的网络攻击行为以及不正常的网络访问日志信息,并且采取有效的措施来予以应对。

    (5)允许通过配置网卡来合理安装配置防火墙,大幅度提升防火墙管理的安全性。

    另外,为了真正确保计算机网络的安全,一定要在进行防火墙的安装的过程中,合理设置访问控制列表,从而有效地限制外来访问和对外访问,能够禁止无关的对外访问,避免不必要的对外访问,达到节约计算机网络带宽、防范于未然的目的。

    3.2 采用入侵检测系统

    入侵检测系统是防火墙的合理补充,帮助系统对付网络攻击,扩展计算机网络管理员的安全管理能力,能够在最大限度上保证计算机网络的安全。入侵检测系统可以实时捕获在计算机网络中传输的数据,可以通过其内置的攻击特征库,并且通过模式匹配和智能分析的方法,及时发现计算机网络中存在着的各种各样的入侵行为和异常现象,并且进行详细的记录。与此同时,入侵检测系统也能够进行实时报警,以便计算机网络管理员可以迅速发现问题并且解决问题,从源头上遏制计算机网络安全隐患的发生。

    3.3 计算机网络管理员应该定期监测系统日志

    计算机网络管理员应该定期查看系统日志记录,从而能够及时有效地发现问题并且解决问题。对于系统日志,要求除系统管理员外其他所有人都不能够进行删除等操作,并且对于重要的日志记录以及计算机网络安全解决策略一定要进行记录并且备案,以备下次出现同样的问题的时候能够借鉴以前的经验。

    3.4 计算机网络管理员应该定期对服务器进行备份与维护

    为了防止出现不可预知的计算机网络故障或者用户无意之中的非法操作,计算机网络管理员应该必须定期备份服务器上的重要系统文件,比如操作系统盘、用户账号等。文件资料可以用RAID方式进行每周备份,重要的资料必须保存在另外的服务器上或者备份在光盘中。计算机网络管理员应该定期监视服务器上资源的使用情况,将过期和无用的文件及时删掉,从而保证服务器能够高效运行。

    3.5 合理运用身份认证技术

    通过合理运用身份验证技术,能够最大限度地避免由于非法用户的登陆对计算机网络进行恶意破坏的问题的发生。在用户对于计算机网络中的任何信息进行访问之前,一定要要求用户提供有效的 Microsoft  Windows用户帐户、用户名和密码,实现“身份验证”。另外,也可以在计算机网络的FTP站点、目录或文件级别分别设置适当的身份验证方式,也能够使用Internet信息服务(IIS提供的)身份验证方法来控制用户的操作,切实保证计算机网络的安全。

    4. 结束语

    计算机网络的建设与应用,极大地丰富和完善了各种各样的信息资源,拓宽了人们获取资源的渠道,方便了人们的工作、生活和学习。在今后的工作中,仍然需要进一步搞好计算机网络的建设,保证计算机网络的安全。

    参考文献:

    [1] 徐诚. 浅论局域网安全管理[J]. 信息与电脑(理论版),2010,(01) .

    [2] 李桂岩,魏宾. 计算机信息安全问题及对策[J]. 科技风,2008,(01) .

    [3] 罗新华. 浅析计算机病毒的危害及防范[J]. 科技资讯,2010,(03) .

    [4] 熊英. 计算机网络安全管理研究[J]. 科技风,2010,(21) .

    [5] 石晓玉. 浅析计算机网络安全[J]. 科技情报开发与经济,2010,(24) .

    [6] 刘洋. 浅谈校园网安全隐患及应对策略[J]. 华章,2011,(07) .

    [7] 汪海洋. 浅谈提升局域网安全的策略[J]. 才智,2011,(08) .