办公网络的网络安全问题范文
时间:2023-09-22 17:20:37
导语:如何才能写好一篇办公网络的网络安全问题,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
中图分类号:F232;TP309
近年来,各院校为适应高等教育信息化建设和人才培养的需要,纷纷实现了网络化办公。这一趋势不仅是社会发展的需要,而且也是院校改革与发展的需要。办公网络化的普及使得院校信息基础设施建设得到不断的完善,为广大师生及时了解和掌握最新科学技术信息提供了有力的条件和保障,也有力促进了高校教学和科研水平的提高。它的巨大作用已被广大教育和科研工作者所广泛承认并引起高度重视。但是,院校网络化办公条件存在着一些安全问题,是我们不得不重视和亟待解决的。
1 院校网络化办公条件下的安全问题
1.1 计算机病毒问题
计算机病毒简单的来说就是一种可以执行的计算机的程序。它不仅能够自我复制,而且会寄附在所寻找的寄主体内,传播能力极强,就和生物病毒一样。随着计算机网络的不断发展和普及,计算机病毒的总数已经超过30000种,而且还在不断的增加,它的破坏性也在不断地增强。网络环境下的办公,收发邮件是人们交流的主要工具,据有关资料表明,约三分之一以上的计算机病毒都是通过电子邮件而得到传播的,而且,这种传播途径的病毒隐蔽性强,经常令人防不胜防。
1.2 网络黑客问题
目前的网络化办公会基本上都采用以太网。在同一以太网中,任何两个节点之间的通信数据包,不仅可以为这两个节点的网卡所接受,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。所以,黑客通过互联网就可以入侵院校网络中的任意节点进行侦听,从而获取发生在这个网段上的所有数据包,造成信息失窃。一旦院校中的重要信息被黑客攻击,将给院校带来很大的损失。尤其是一些的计算机,更可能成为不法分子关注的目标。
1.3 管理漏洞
严格管理网络通信系统是企业、机构及用户免受攻击的重要措施。但是各院校在推行网络化办公的同时却没有做好这方面的工作,这给一些黑客有机可乘。管理的缺陷还可能出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄露。
此外,由于院校网络化办公发展的时间还不是很长,使得相关管理人员还缺乏足够的经验,没有相应的知识结构去应对各方面的难题。而网络的用户对网络化办公条件下可能存在的安全问题认识可能也存在不足,但是,网络用户对网络安全知识的缺乏恰恰是网络办公条件下安全问题的最大威胁。
1.4 网络的缺陷及漏洞
Intemet的共享性和开放性,使网上信息安全存在先天不足。因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而且因特网最初设计时也没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。
1.5 其他问题
(1)自然灾害
自然灾害也会引发网络化办公条件下的安全问题,而且这一问题越来越明显。自然灾害会对构成计算机网络的电缆、通信光缆、局域网等造成很大威胁,也可能对计算机本身的硬件造成损害,间接地导致网络用户的信息丢失、利益受损,另外我国的网络安全系统在预测、反应、防范和恢复能力方面也存在许多薄弱环节。
(2)由于突然停电、强烈震动、误操作等造成的数据破坏或丢失。
2 网络办公环境下的安全策略
尽管到目前为止,人们还没有研究出一种方法可以一劳永逸的完全消除网络安全问题。但是,我们可以采用各种安全策略来使网络化办公条件下的风险降到最低。
2.1 技术方面
(1)安装防火墙和杀毒软件,及时下载安装补丁。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以确定网络之间的通信是否被允许,并监视网络运行状态。
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品,及时查杀病毒,同时要注意及时升级杀毒软件,确保可以查杀最新病毒。寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
目前这样的产品很多,如,瑞星、360杀毒及360安全卫士、金山毒霸、卡巴斯基等。
(2)数据备份。计算机里面重要的数据、档案或历史记录,要采取先进、有效的措施,对数据进行备份、防范于未然,以防被窃取或者损坏,造成不可估量的损失。
(3)数据加密。通过网络中的加密机构,把各种原始的数据信息,按照某种特定的加密算法变换成与明文完全不同的数据信息,即密文的过程。目前常用的数据加密技术,主要有链路加密、节点加密和端对加密等三种方式。
(4)身份鉴别。主要是通过核查用户输入的口令,因此,为了保障网络安全,对口令的使用进行严格管理是必不可少的。除此之外,还可以采用磁性卡片、指纹、声音、等方法对用户进行鉴别。
2.2 管理方面
七分管理,三分技术。安全管理贯穿整个安全防范体系,是安全防范体系的核心,管理是单位网络安全的核心,技术是安全管理的保证。只有制定完整的规章制度、行为准则并和安全技术手段合理结合,网络系统的安全才会有最大的保障。
(1)加强安全管理力度,健全管理制度。作为单位应制订机房管理制度、各类人员职责分工、安全保密规定、口令管理制度、网络安全指南、用户上网使用手册、系统操作规程、应急响应方案、安全防护记录一系列的制度保证网络的核心部门高安全、高可靠地运作。
(2)加强安全防范意识,提高相关人员素质。培养或培训一支精通网络技术和管理的队伍,惟其如此,方能保证网络化管理安全、平稳、正常地运行。必须加强用户的安全意识,引导用户自觉安装防病毒软件,打补丁,自动更新操作系统,对不熟悉的软件不要轻易安装。
(3)充分保障设备安全。严格管控硬件系统的运行环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要设置具体的要求和标准,同时要做到防盗、防毁、防止线路截获。计算机房场地选择时,要注意其外部环境安全性、可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁,还要注意出入口的管理。
(4)法律监督。计算机保密防范必须以法律法规为依据。目前我国已有《保密法》、《计算机信息系统安全保护条例》和《计算机信息网络国际联网管理暂行规定》,按照规定和要求,做好相关工作,确保网络信息的安全。
3 结束语
信息化进程的迅猛发展使各院校的工作和网络紧紧连在了一起。然而现在的网络随着接入技术的日新月异也越来越开放,病毒、黑客以及其他复杂的攻击手段给网络带来巨大的威胁,安全已经成为企业继续生存发展所面临的重要问题。这就需要通过不断的改进和学习来努力营造安全的网络环境,维护网络信息的安全。
参考文献:
[1]李桂兰,王少先.计算机网络安全问题初探[J].辽宁工程技术大学学报(社会科学版),2002,4(3):8081.
[2]姜威,阚小松.计算机网络安全浅谈[J].科技天地,http://.
[3]李嫒媛.浅谈网络安全管理与防病毒策略[J].陕西林业科技,2010(4):54-55.
篇2
办公网络面临的内部安全威胁
正如我们所知道的那样,70%的安全威胁来自网络内部,其形式主要表现在以下几个方面。
内部办公人员安全意识淡漠
内部办公人员每天都专注于本身的工作,认为网络安全与己无关,因此在意识上、行为上忽略了安全的规则。为了方便,他们常常会选择易于记忆但同时也易于被猜测或被黑客工具破解的密码,不经查杀病毒就使用来历不明的软件,随便将内部办公网络的软硬件配置、拓扑结构告之外部无关人员,给黑客入侵留下隐患。
别有用心的内部人员故意破坏
办公室别有用心的内部人员会造成十分严重的破坏。防火墙、IDS检测系统等网络安全产品主要针对外部入侵进行防范,但面对内部人员的不安全行为却无法阻止。一些办公人员喜欢休息日在办公室内上网浏览网页,下载软件或玩网络游戏,但受到网络安全管理规定的限制,于是绕过防火墙的检测偷偷拨号上网,造成黑客可以通过这些拨号上网的计算机来攻入内部网络。而有些办公人员稍具网络知识,又对充当网络黑客感兴趣,于是私自修改系统或找到黑客工具在办公网络内运行,不知不觉中开启了后门或进行了网络破坏还浑然不觉。更为严重的是一些人员已经在准备跳槽或被施利收买,办公内部机密信息被其私自拷贝、复制后流失到外部。此外,还有那些被批评、解职、停职的内部人员,由于对内部办公网络比较熟悉,会借着各种机会(如找以前同事)进行报复,如使用病毒造成其传播感染,或删除一些重要的文件,甚至会与外部黑客相勾结,攻击、控制内部办公网络,使得系统无法正常工作,严重时造成系统瘫痪。
单位领导对办公网络安全没有足够重视
有些单位对办公网络存在着只用不管的现象,有的领导只关心网络有没有建起来,能否连得上,而对其安全没有概念,甚至对于网络基本情况,包括网络规模、网络结构、网络设备、网络出口等概不知情。对内部办公人员,公司平时很少进行安全技术培训和安全意识教育,没有建立相应的办公网络安全岗位和安全管理制度,对于黑客的攻击和内部违规操作则又存在侥幸心理,认为这些是非常遥远的事情。在硬件上,领导普遍认为只要安装了防火墙、IDS、IPS,设置了Honeypot就可以高枕无忧。而没有对新的安全技术和安全产品做及时升级更新,对网络资源没有进行细粒度安全级别的划分,使内部不同密级的网络资源处于同样的安全级别,一旦低级别的数据信息出现安全问题,将直接影响核心保密信息的安全和完整。
缺乏足够的计算机网络安全专业人才
由于计算机网络安全在国内起步较晚,许多单位缺乏专门的信息安全人才,使办公信息化的网络安全防护只能由一些网络公司代为进行,但这些网络安全公司必定不能接触许多高级机密的办公信息区域,因此依然存在许多信息安全漏洞和隐患。没有内部信息安全专业人员对系统实施抗攻击能力测试,单位则无法掌握自身办公信息网络的安全强度和达到的安全等级。同时,网络系统的漏洞扫描,操作系统的补丁安装和网络设备的软、硬件升级,对办公网内外数据流的监控和入侵检测,系统日志的周期审计和分析等经常性的安全维护和管理也难以得到及时的实行。
网络隔离技术(GAP)初探
GAP技术
GAP是指通过专用硬件使两个或两个以上的网络在不连通的情况下进行网络之间的安全数据传输和资源共享的技术。简而言之,就是在不连通的网络之间提供数据传输,但不允许这些网络间运行交互式协议。GAP一般包括三个部分:内网处理单元、外网处理单元、专用隔离交换单元。其内、外网处理单元各拥有一个网络接口及相应的IP地址,分别对应连接内网(网)和外网(互联网),专用隔离交换单元受硬件电路控制高速切换,在任一瞬间仅连接内网处理单元或外网处理单元之一。
GAP可以切断网络之间的TCP/IP连接,分解或重组TCP/IP数据包,进行安全审查,包括网络协议检查和内容确认等,在同一时间只和一边的网络连接,与之进行数据交换。
GAP的数据传递过程
内网处理单元内网用户的网络服务请求,将数据通过专用隔离硬件交换单元转移至外网处理单元,外网处理单元负责向外网服务器发出连接请求并取得网络数据,然后通过专用隔离交换单元将数据转移回内网处理单元,再由其返回给内网用户。
GAP具有的高安全性
GAP设备具有安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计和身份认证等安全功能。由于GAP断开链路层并切断所有的TCP连接,并对应用层的数据交换按安全策略进行安全检查,因此能够保证数据的安全性并防止未知病毒的感染破坏。
使用网络隔离技术(GAP)进行内部防护
我们知道,单台的计算机出现感染病毒或操作错误是难以避免的,而这种局部的问题较易解决并且带来的损失较小。但是,在办公信息化的条件下,如果这种错误在网络所允许的范围内无限制地扩大,则造成的损失和破坏就难以想象。因此,对办公内部网络的安全防范不是确保每一台网络内的计算机不发生安全问题,而是确保发生的安全问题只限于这一台计算机或这一小范围,控制其影响的区域。目前,对内网采取“多安全域划分”的技术较好地解决了这个问题,而GAP系统的一个典型的应用就是对内网的多个不同信任域的信息交换和访问进行控制。因此,使用GAP系统来实现办公内网的“多安全域划分”,是一个比较理想的方法。
“多安全域划分”技术
“多安全域划分”技术就是根据内网的安全需求将内网中具有不同信任度(安全等级)网段划分成独立的安全域,通过在这些安全域间加载独立的访问控制策略来限制内网中不同信任度网络间的相互访问。这样,即使某个低安全级别区域出现了安全问题,其他安全域也不会受到影响。
利用网络隔离技术(GAP)实现办公内网的“多安全域划分”
首先,必须根据办公内网的实际情况将内网划分出不同的安全区域,根据需要赋予这些安全区域不同的安全级别。安全级别越高则相应的信任度越高,安全级别较低则相应的信任度较低,然后安全人员按照所划分的安全区域对GAP设备进行安装。系统管理员依照不同安全区域的信任度高低,设置GAP设备的连接方向。GAP设备的内网处理单元安装在高安全级别区域,GAP设备的外网处理单元安装在低信任度的安全区域,专用隔离硬件交换单元则布置在这两个安全区域之间。内网处理单元高安全级别区域(假设为A区域)用户的网络服务请求,外网处理单元负责从低安全级别区域(设为B区域)取得网络数据,专用隔离硬件则将B区域的网络数据转移至A区域,最终该网络数据返回给发出网络服务请求的A区域用户。这样,A区域内用户可通过GAP系统访问B区域内的服务器、邮件服务器、进行邮件及网页浏览等。同时,A区域内管理员可以进行A区域与B区域之间的批量数据传输、交互操作,而B区域的用户则无法访问A区域的资源。这种访问的不对称性符合不同安全区域信息交互的要求,实现信息只能从低安全级别区域流向高安全级别区域的“安全隔离与信息单向传输”。
这样,较易出现安全问题的低安全区(包括人员和设备)就不会对高安全区造成安全威胁,保证了核心信息的机密性和完整性。同时,由于在GAP外网单元上集成了入侵检测和防火墙模块,其本身也综合了访问控制、检测、内容过滤、病毒查杀,因此,GAP可限制指定格式的文件,采用专用映射协议实现系统内部的纯数据传输,限定了内网局部安全问题只能影响其所在的那个安全级别区域,控制了其扩散的范围。
“多安全域划分”的防护效果
由于GAP实现内网的信任度划分和安全区域设定,使办公内网的安全性极大提高,办公内网易出现的安全问题得到有效控制。
篇3
关键词:信息标准化;流程;应用
近年来,互联网技术发展是非常快速的,这样就使得网络安全问题也慢慢受到了人们的关注,供电企业在发展过程中对信息安全的要求也在不断提高,在这种情况下,供电企业在发展过程中,开始在办公终端上进行了改变,这样也使得计算机安全方面得到了更好的控制,同时在操作的时候也能更加方便,这样能够更好的促进供电企业安全防护能力。规范计算机入网前软件安装及系统设置为入手点,这样能够更好的将终端和管理方式进行结合,同时也能更好的避免出现终端口令问题,同时也能防止病毒软件和系统补丁对供电企业的信息安全一定的影响。
1 办公计算机接入管理现状及存在的问题
计算机在接入到公司网络的时候,经常是存在着终端用户往往为了保证不被桌面终端管控系统阻断,通常会在第一时间就会按照桌面终端管控注册安装,在这种情况下是经常会发生信息违规告警的,因此,在进行安装的时候是经常会出现口令比较弱,或者是防病毒软件不符合情况的。导致口令比较弱和操作系统是有很大的关系的,因此,企业在发展计算机网络的时候,要对企业业务应用系统的适应性进行调整,很多的办公网络在终端方面通常会选择Windows XP操作系统,在进行操作时,企业可以建立一个新的计算机管理员,这样在进行操作的时候,能够避免下次登录计算机的时候出现登录入口,这样能够更好的方便计算机在使用的时候切换到安全模式,这样在登录界面就可以看到账号的记录,在这种情况下,在其他计算机上进行账号登录是会发出违规信号的,因此,也能更好的保证登录安全。终端运行维护人员要对系统中的所有账号都设置非常强的口令,这样能够更好的保证账号的安全。同时,在出现一键还原的情况下,很多的计算机在使用过程中经常是存在着反映速度非常慢的情况的,在这种情况下,很多的操作人员通常会自行使用一键还原对系统进行重置,在这种情况下能够对系统反应慢的情况进行解决,但是,也是会导致出现弱口令的情况的,因此,在使用计算机系统的时候要避免出现操作系统随意安装的情况,这样能够更好的保证系统的操作安全。
系统在使用过程中是要进行运行维护的,但是,现在市场中很多的操作系统都存在着无法对操作系统进行补丁升级的情况,在这种情况下进行手动补丁的安装也是存在无法进行的情况。在进行补丁安装时,系统的终端要通过注册接入到企业的办公网络,在这种情况下是非常容易出现很多的系统漏洞的,同时也是会出现漏洞被病毒、木马和黑客利用的,这样就会导致终端在进行使用的时候出现公司网络安全受到影响的情况,同时也是存在着网络不畅通的情况的。计算机在接入公司网络以前,要对其应用程序进行很好的检测和管理,这样能够避免出现对办公网络发生冲击的情况,同时在很多的情况下,操作人员在进行操作的时候经常是会下载很多的系统的,很多的系统通常都是存在着很多的漏洞的,同时对系统也是会带来很大的影响,因此,非常容易导致域名解析故障和网络无法使用的情况,这样也是会导致办公业务出现无法运行的情况的,因此,对办公终端操作系统的安全问题要进行重视,在管理方面也要进行加强。
2 标准化注册管理介绍
在计算机接入到办公网络前没有进行系统加固是会导致很多的违规现象的出现,因此,在公司员工计算机水平不断提高的情况下,操作人员可以自行安装一些操作系统,这样是会导致更多的违规现象的出现,因此,在进行终端安全运行维护时,要对出现的问题进行解决,加强终端入网标准化注册流程,这样能够更好的保证网络安全。对桌面终端管理控制系统进行研究能够更好的在计算机桌面安装终端客户端软件,同时,也能对计算机运行的环境进行检查,这样能够更好的保证安全性,同时也能更好的将数据传输到桌面终端后台服务器上,这样一旦用户没有安装杀毒软件或者是没有设置账号口令,都是能够发出告警的,对入网流程进行规范,能够避免出现信息违规的现象。
供电公司入网管理办法的入网设置流程:首先,用户填写《供电分公司内网终端接入申请表》;确认预接入的计算机未连接网络;完成操作系统版本确认。通过计算机桌面“我的电脑”右键属性,查看计算机操作系统版本是否合格;完成应用程序清理。通过“控制面板”-“添加删除程序”进行互联网应用程序、游戏软件、炒股软件及娱乐软件的卸载。要求所有接入内网的计算机不允许存在非办公用应用程序;完成操作系统补丁加固。按照查看计算机操作系统版本的方法查看当前系统补丁版本。要求Windows XP必须安装SP3或以上的补丁集;完成所有系统帐号的密码加固。对系统所有帐号进行密码设置,要求密码长度大于8位,且必须为字母、数字及符号的混合字串;完成计算机名称的更改。
3 终端标准化管理工作的创新
为了进一步规范终端标准化管理,落实公司计算机入网设置流程规定,避免基层终端用户习惯性操作违规,降低基层终端运维人员的操作难度,为此,公司自主研发了一套终端标准化注册程序,实现计算机入网前对系统进行关键加固项检查,以技术手段为管理工作提供保障。
标准化注册程序是以运城供电公司计算机入网设置流程为依据,其主要功能实现了,通过技术手段在计算机注册入网前,对计算机名称是否规范、是否安装非办公软件、防病毒软件是否规范、操作系统补丁是否合格、系统是否存在弱口令等方面进行检查,若存在不合格项,则阻止该计算机注册并提示用户进行整改,从而借助桌面终端管理系统实现了阻止未经过系统加固的计算机接入办公网络。流程图见图1。
通过在运城供电公司办公网内试运行标准化注册程序,公司终端运行指标得到显著提升,通过观察,自2012年3月开始至今,公司终端弱口令违规数量逐月降低,防病毒软件安装情况得到极大的改善,表1和表2分别为运城公司2012年和2013年的终端违规统计说明。
4结束语
对计算机入网进行规范化管理,能够更好的避免出现公司内网受到病毒、木马以及黑客攻击的情况,这样也能更好的减轻终端运行维护人员的工作量,同时也能对运行维护人员的技术要求进行降低。在入网标准化管理不断推进的情况下,能够更好的保证公司网络的安全性,同时也能更好的促进供电公司获得更好的发展。
参考文献
篇4
摘要:如同计算机网络最初用于校园研究一样,它的迅猛发展同样离不开校园这个特殊环境的大力支持。现代社会,各行各业对于网络的需求和依赖达到了前所未有的高度,以至于很多时候离开了计算机网络会使人们产生一种举步维艰的乏力感,这种感觉既表现在生活上、娱乐上,更加突出地表现在工作当中。高等院校各行政职能部门之间通过信息网络互联,最大限度的使信息资源共享,从而提高了各部门和教学单位的工作效率。然而,网络诞生时的特殊性决定了它是脆弱的,容易受到各类恶意软件、病毒、黑客和其他非法攻击。如何保护计算机网络信息安全,已成为一个备受关注的问题。
关键词:网络安全 OSI 入侵检测系统
高等院校的计算机网络系统,一般是在一个跨区域的局域网内,其中包括信息管理、资源共享、业务窗口应用服务平台、网络数据库等部分,为各部门提供资源管理、数据采集、信息、流程审批和网络视频会议等应用,从而大大提高了工作效率日常工作,成为办公室里一个非常重要的工具,它需要一个拥有强大可操作性、安全性和保密性的计算机网络。
一、互联网的开放性决定了办公网的不安全性
OSI系统模型即开放式系统互联模型,将网络通信分为了七层,每一层的结构都不相同,分别承担着不同的通信任务。下面针对各网络层的体系结构,从5个方面来对它们的安全因素进行了讨论。
1、物理层:这层的安全要素包括通信线路、网络设备、网络基础设施的安全。设备之间的连接是否遵从物理层协议标准,通信线路是否可靠,硬件和软件设施是否具备抗干扰能力,网络设备的操作环境(温度、湿度、空气清洁度)是否合适,是否具有安全电源(UPS不间断电源)等。
2、网络层:本层安全要素在于网络数据传输的安全。网络层数据的保密性和完整性、资源访问控制机制、身份认证、访问安全、路由系统的安全、域名系统安全与入侵检测应用的安全和硬件设备的防病毒能力等方面。
3、系统层:系统层的安全要素是建立在软件环境上的,主要体现在网络服务器、客户端操作系统的安全性,这取决于操作系统的缺陷和不足以及用户身份认证、访问控制、安全、操作系统的安全配置和系统层病毒攻击的预防手段。
4、应用层:这一层的安全元素主要考虑的是网络数据库和有关信息安全的应用类软件,包括应用网络信息平台、网络信息系统、电子邮件系统、网络服务器等。
5、管理层:本层的安全要素包括网络设备的技术配置和安全操作,管理人员的安全培训和安全管理规章制度的完善。
二、多人员参与决定了校园办公网的不安全性
越来越完善的校园网络与管理信息系统的使用,使得几乎所有人都可以很容易地访问校园网,一些别有用心的人就可能潜藏其中,他们试图通过各种手段和途径来攻击网络、破坏网络、传播计算机病毒,还有的可能窃取保密的技术资料及数据等等,面对这种情况,校园网络的安全管理就显得特别的重要。高校办公网的安全主要包括物理与逻辑两方面的安全性;物理安全主要是指网络硬件的维护和使用管理;逻辑安全是从软件的角度出发,主要是指数据的保密性、完整性、可用性等。
由于高等院校计算机网络系统要保证整个学校职能部门和各教学单位所有的办公活动和教学活动,采取的是集中存储、统一数据管理的方式,所以这一信息的安全性是至关重要的。因此,学校办公网络信息的安全,人员占据重要的地位,网络安全的各要素中都涉及人员的参与,因此对人员的安全管理是行政机关网络信息安全的重点。为了保证信息的安全共享,应该从数据安全管理和系统管理两个方面确保安全。首先组织领导要高度重视网络信息的安全性,建立周密的安全制度,包括网络机房安全制度、计算机操作员技术规范等,提高从业人员的素质和业务水平,防范人为因素造成的损失;其次是组织员工进行信息安全培训教育,提高安全意识,对专业技术人员做深入的安全管理和安全技术培训;再次是网络中心工作人员要定期对设备巡检维护,及时修改和更新与实际相应的安全策略,如防火墙、入侵检测系统、防病毒软件等;最后是安全管理人员定期检查员工的网络信息方面的安全问题。
三、高等院校办公网安全策略
1、防火墙。所谓“防火墙”,是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
2、入侵检测。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
3、反病毒软件。反病毒软件的任务是实时监控和扫描磁盘。部分反病毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。反病毒软件的实时监控方式因软件而异。有的反病毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与反病毒软件自身所带的病毒库的特征码相比较,以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。
篇5
关键词:气象网络;安全隐患;防御
所谓网络安全,主要是指为了保护网络,避免受到侵害而采取的相关措施。采取科学合理的网络安全保护措施,从而保证网络的正常运转。随着信息时代的快速发展,计算机信息技术在气象部门也得到了广泛的应用。很多气象信息利用计算机技术被迅速高效的传送到社会生活中的各个方面。
1 气象网络安全隐患分析
气象网络安全保障包含了计算机的物理组成部分以及信息安全和功能的安全等。首先是其物理组成部分的保护,主要是计算机的相关配件设施、运行环境等等,保障计算机系统不会受到人为因素以及自然因素事故的危害,为气象网络信息处理提供安全的环境。这种安全环境的建设需要领导以及网管防护能力等的支持,还需要使用人员增强安全意识。气象网络安全方面存在的隐患主要包含了几个方面。
1.1 网络边界模糊
那些经过网络规划和设计的信息系统能够起到很好的防范网络安全的作用。但是在气象网络系统中,经常出现互联网、业务网、办公网以及一般性网络边界不清晰的状况。主要原因是当前的服务器在登录的时候具体的权限没有具体到个人,因此网络的边界出现了模糊问题,还有人员角色也不清晰。
1.2 人员安全意识淡薄
随着信息技术的发展,微机在我们的工作与生活中已经得到迅速的普及,随之而来的就是各种网络安全问题。而网络攻击方式也在逐渐多样化,主要呈现出隐藏性以及突发性的特点。但是,一些实用人员对于怎样的措施才能很好的保护自身信息安全。除此之外,气象工作人员比较盲目迷信杀毒软件,认为要保护气象网络的安全只是依靠杀毒软件就能很好的实现,往往在安装了杀毒软件之后却没有重视升级病毒库。
1.3 基层网络管理人员缺位
对于各个地区的县局级别的台站来说,基本取消了人工站,相继铺开了自动化的气象网络传输的业务。但是随着自动化业务的发展壮大,需要同步跟进保障人员。但是事实上,我们要看到,很多县局级别的期望网络业务的保障能力不是特别强,缺少相应的人员,很多地区的保障人员基本都是一个人承担比较多的业务,负担过重。
2 气象网络安全隐患的防护措施
2.1 技术对策
2.1.1 资源和特权
对于期望网络的安全保护来说,网络访问技术是主要的核心策略。其主要的任务就是保障网络资源不会被非法的占用和破坏。在气象系统中进行访问控制,要建立在身份识系统的基础上,根据身份对于资源访问的要求进行控制。这对于气象网络系统资源的保护起到了很好的作用,也是气象系统中最重要的安全机制。气象系统访问控制涉及的技术相对比较广泛,包含了入网的访问控制、网络权限的控制以及目录级的控制和安全控制等等。
2.1.2 防火墙技术
在气象系统中,防火墙技术主要是设置在不同网络之间的部件的组合,属于不同网络或者网络安全域之间信息的唯一的出入口,可以根据不同的网络主体根据安全政策控制出入网络的信息流,抗击攻击的能力相对比较强。防火墙主要提供了网络信息安全服务,属于信息安全的一项基础设施。在具体的逻辑问题上,一个是分离器,还有一个是限制器,加上分析器,能够有效的监控气象内部网络跟互联网之间的活动,从而保障了内部网络安全。防火墙是气象网络安全的重要屏障,能够很好的提高内部网络的安全性,通过对不完全服务的过滤来降低相应的风险。只有通过精心的选择之后的应用协议才能通过防火墙,所以就使得气象网络环境变得比较安全。
2.1.3 安全域
要解决很多市一级气象系统内部网络中,办公网跟互联网等网络设备缠在一起的现象,需要划分具体的安全域。网络的安全域可以在划分的时候跨科室进行也可以是跨部门进行,但是在考虑到具体的实现方式的情况下,可以在行政部门内部各自进行划分,再通过一定的技术手段实现局域网中同一安全等级的安全才能够互相连接。
2.2 管理对策
2.2.1 制定严格的气象网络安全管理制度
在气象网络系统中,不存在绝对的安全,但是制定相应的安全管理制度可以把网络安全问题降低到最小。要通过气象部分网络管理人员和全体使用人员的一起努力,尽可能的减少非法行为的产生,把系统中的安全隐患降低到最低。还要建立防病毒系统,防病毒具有被动意义,主要是预防和防范,没有病毒时做好预防工作,病毒到来时则被动防范。漏洞检测主要是采用专业工具对系统进行漏洞检测,及时安装补丁程序。病毒预防要从制度上堵塞漏洞,建立一套行之有效的制度;不要随意使用外来光盘、U盘等存储设备。气象部门要建立相应的检查机制,定期或者不定期的对系统内部的网络进行检查,看网络安全的具体落实状况,避免内部制度流于形式。另外,要给县局级别的基础台站配备足够的网络安全保障人员,减少他们的具体工作量,把这项措施当作制度执行下去。
2.2.2 强化人员的网络安全观念
要想提高气象终端网络的安全性能,就需要操作这些终端机器的人员具备很强的安全防护能力。首先,要具备信息安全防护意识,强化气象部门的宣传工作;其次,要定期开展气象网络教育工作,要把教与导结合起来,促使工作人员养成比较好的微机使用习惯,使得气象网络信息安全深入到大家的观念中;再次,要合理的配置杀毒软件,及时更新病毒度信息,保障气象网络不受病毒的侵害。
3 结束语
综上所述,随着气象业务系统的发展,网络技术的应用越来越普及。在气象部门内部系统中,一些实时的气象数据以及雷达图像产品等都能在最短时间内通过网络输送到数值产品使用者的桌面上。但是,从另一个方面来说,计算机在气象系统中普及开来,使得气象工作人员在进行工作的时候过分的一来网络讯通系统,而网络故障的出现以及病毒的盛行,都会对气象系统的网络产生不同程度的影响,气象网络安全问题受到很多人的重视。所以,气象部门要从技术措施和管理措施入手,切实保障气象网络安全。
参考文献
[1]张新,刘忠礼.气象信息网络安全隐患与防御措施[J].科技与生活,2012(13).
篇6
摘要: 随着信息的发展,网络安全问题已经引起越来越多人的关注。而校园网作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。随着校园网应用的深入,校园网上各种数据急剧增加,结构性不断提高,用户对网络性能要求的不断提高,网络安全也逐步成为网络技术发展中一个极为关键的任务。从分析校园网信息安全需求入手,就校园网络系统控制安全措施提出笔者的几点浅见。
关键词: 网络安全 安全需求 措施
1 校园网的概念
简单地说,校园网络是“校校通”项目的基础,是为学院教师和学生提供教学,科研等综合信息服务的宽带多媒体。根据上述要求,校园网必须是一个宽带,互动功能和高度专业化的局域网络。
2 校园网的特点
校园网的设计应具备以下特点:
1)提供高速网络连接;2)满足复杂的信息结构;3)强大的可靠性和安全性保证;4)操作方便,易于管理;5)提供可运营的特性;6)经济实用。
3 校园网络系统信息安全需求
3.1 用户安全
用户安全分成两个层次即管理员用户安全和业务用户安全。
1)管理员用户拥有校园网的最高执行权限,因此对信息系统的安全负有最大的执行责任。应该制定相应的管理制度,例如对管理员的政治素质和网络信息安全技术管理的业务素质,对于涉及到某大学的网络安全策略配置、调整、审计信息调阅等重要操作,应实行多人参与措施等等。
2)业务用户必须在管理员分配的权限内使用校园网资源和进行操作,严禁超越权限使用资源和泄露、转让合法权限,需要对业务人员进行岗前安全培训。
3.2 网络硬环境安全
通过调研分析,初步定为有以下需求:
1)校园网与教育网的网络连接安全二需要在连接处,对进/出的数据包进行访问控制与隔离,重点对源地址为教育网,而目的地址为某大学的数据包进行严格的控制。2)校园网中,教师/学生宿舍网络与其他网络连接的网络安全。3)校园网中,教学单位网络与其他网络的网络连接安全。4)校园网中,行政办公网络与其他网络的网络连接安全。5)校园网中,网络管理中心网络与其他网络的网络连接安全。6)校园网中,公众服务器所在的网络与其他网络的网络连接安全。7)各个专用的业务子网的安全,即按信息的敏感程度,将各教学单位的网络和行政办公网络划分为多个子网,例如:专用业务子网(财务处、教务处、人事部等)和普通子网,对这些专用业务子网提供网络连接控制。
3.3 网络软环境安全
网络软环境安全即校园网的应用环境安全。对于一些涉及到有敏感信息的业务专用网,如:财务处、教务处、人事处等等,必须确保这些子网的信息安全,包括:防病毒、数据备份与灾难恢复、规范网络通信秩序、对保存有敏感信息的重要服务器软/硬件资源进行层次化监控,防止敏感信息被窃取。
3.4 传输安全
数据的传输安全,主要是指校园网内部的传输安全、校园网与教育网之间的数据传输安全以及校园网与老校区之间的数据传输安全。
4 校园网络系统控制安全措施
4.1 通过使用访问控制及内外网的隔离
访问控制体现在如下几个方面:
1)要制订严格的规章管理制度:可制定的相应:《用户授权实施细则》、《口令字及账户管理规范》、《权限管埋制度》。例如在内网办公系统中使用的用户登录及管理模块就是基于这些制度创建。
篇7
摘要:
文章结合发电企业信息安全保障要求及企业网络现状特点,首先阐述了开展发电企业内外网隔离工作的必要性,然后详细介绍了内外网隔离的技术路线、技术架构及方案设计要点,并对方案的技术创新点进行了分析和阐述,可为发电企业后续开展内外网隔离建设提供典型案例借鉴。
关键词:
发电企业;内外网隔离;网络安全
0引言
根据发电企业信息安全保障相关规定要求,在企业运营过程中,要加强办公网络与互联网访问控制,提高员工使用计算机应用系统的信息安全标准,防范由于互联网攻击导致的数据泄露、系统崩溃等安全隐患。本文首先对神华国华电力公司(以下简称“公司”)现有网络情况及网络隔离技术的现状进行了描述,然后介绍了双网隔离技术的应用,通过双网隔离技术对现有网络进行了一系列改造措施:部署无线网络,方便笔记本、手机及平板电脑等移动终端接入;部署终端安全管理设备、内网防火墙等,建立了安全可靠的内网办公环境,实现公司内部办公网络与外部互联网的隔离,从而避免了由于互联网攻击导致的企业内部信息外泄,提升发电企业整体信息安全水平。
1研究背景
随着通信技术、信息技术、网络技术的不断发展,越来越多的用户通过手机、PC等终端连接到网络,网络中用户数据和信息的安全引起了学术界和产业界的广泛重视。为了确保网络中用户的信息安全,一系列的技术被提出,例如隐私保护技术[1-3]、网络隔离技术[4-6]等。网络隔离技术是指2个或2个以上的计算机或网络在断开连接的基础上,实现信息交换和资源共享。通过网络隔离技术既可以使2个网络实现物理隔离,同时又能在安全的网络环境下进行数据交换。网络隔离技术的主要目标是将有害的网络安全威胁隔离开,以保障数据信息在可信网络内在进行安全交互[7]。本文主要针对内外网隔离技术在企业中的应用进行了介绍。典型发电企业网络是集团型网络构架,由局域网、广域网、互联网3个部分组成,员工使用笔记本电脑可通过局域网访问企业内部应用,通过广域网访问下属单位应用,同时可以通过互联网访问互联网资源。
1)目前公司局域网由2台核心交换机、若干台汇聚及接入交换机组成,部分信息点已进行端口认证。由于原信息点少且部分信息点老旧损坏,导致很多用户只能通过集线器或小型交换机接入,影响内网的统一安全管理。
2)公司广域网由2台核心路由器分别连接下属单位路由设备,分别组成视频网和数据网,用于承载日常办公数据和视频会议数据传输业务,部分单位在数据网专线设置防火墙等安全设备进行安全防护。
3)公司互联网出口采用中国电信光纤专线方式,经外网交换机连接防火墙,通过串接的上网行为管理设备后接入汇聚交换机进而接入核心交换机,为公司用户提供互联网访问服务的同时,为邮件、外网网站等互联网应用提供映射服务,暂未设置隔离区,存在一定安全风险。由于公司员工电脑能同时访问内部办公网、其他单位网站(简称内网)和外部互联网(简称外网),本身可能成为病毒或木马的跳板,进而影响内网安全。同时由于部分员工不注意信息安全防护,私装未授权软件、私自设立无线设备等情况时有发生,导致公司内部信息系统极易受到病毒和黑客的攻击,核心数据资源存在泄露的风险,因此亟需开展内外网隔离研究工作,避免企业核心数据资产泄露的风险。
2系统总体设计
2.1建设目标
1)部署无线网络设备以访问互联网,提供笔记本、手机及平板电脑等移动接入。
2)部署终端安全管理设备、内网防火墙建立安全可靠的办公内网环境,实现公司内部办公网与外部互联网的隔离,防范来自互联网的攻击,避免企业内部信息外泄,提升公司整体信息安全水平。
2.2设计原则
1)先进性:整个系统保持一定的先进性,采用的设备和技术应能适应未来的技术发展。
2)实用性:系统性价比高,易维护、易使用、运行费用低。
3)扩展性:系统采用结构化设计,能够适应不断增加的扩展需求,当系统扩容时,只需简单增加硬件设备即可。
4)兼容性:整个系统能运行于不同的操作平台和语言环境,并能与不同厂商的产品兼容。
5)灵活性:系统构建方式简单,功能配置灵活,充分利用现有设备资源,能满足不同业务部门的需要。
6)可靠性:系统安全可靠性高,有足够的抗干扰能力。
7)安全性:在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境采取不同的措施,包括系统安全机制、数据存取的权限控制等,如划分VLAN、MAC地址绑定、802.1x、802.1d、802.1w、802.1s、ACL、PORT+IP+MAC绑定等。
8)高性价比:系统所选用的设备性能卓越,并尽可能降低工程造价。
3系统方案设计
根据信息安全保障相关要求,加强办公网络与互联网访问控制,提高员工使用计算机应用系统的信息安全标准,保障数据流转的安全可靠,防范互联网攻击导致的数据泄露、系统崩溃等风险隐患,通过对公司网络及应用系统分析研究,结合国华网络布线现状,采用双网隔离技术对网络进行统一改造:新部署无线网用于互联网访问,提供笔记本、平板电脑等移动接入;新购终端安全管理设备、内网防火墙加强有线网络防护,建立安全可靠的办公内网环境,通过台式一体机电脑安全接入内网,提升公司内网的安全性,保障公司核心业务系统和数据的安全。通过部署三层交换机、POE交换机、无线AC、无线AP及无线控制系统,在公司3座办公楼宇开通无线互联网访问服务,支持便捷的访客网络授权及监管。公司原有网络架构如图1所示。用户接入无线网络需要通过安全的认证方式以保障使用者的合法性,无线网络采用基于用户名和密码+主机的认证方式进行用户认证[8],使用接入认证系统对网络中接入的终端设备进行识别及统一管理,可对员工、访客、设备管理员进行基于角色、设备类型、接入时间、接入地点的网络访问控制,无线网通过无线控制器实现对接入用户的控制,公司用户通过MAC地址审核后方可接入无线网络[9],实现互联网访问。同时为外来人员提供Guest账号,外来人员需先提交MAC地址入网申请,经过管理员审批后可接入无线网络。升级改造现有有线办公网络,在用户接入网络与服务器网络之间增加防火墙,设置访问策略,进行用户访问控制,保障ERP等内网应用安全。在公司的网络边界处设置防火墙及访问策略,加强内网边界安全防护,避免其他未隔离单位对国华内网安全的影响。利用防火墙将公司的网络隔离为5个逻辑区域,分别为广域网、数据网、视频网、内网服务器区、内网用户区,区域间根据公司的业务特点和重要信息资产的分布,对进出公司内网的访问进行控制,实现以下安全目标:
1)控制从内网用户区到内网服务器区、数据网、视频网和广域网的访问,限制各区域内用户访问公司数据的权限;
2)控制逻辑区域之间的访问,限制访问类型,确保只有授权许可的访问才能进行,未经允许的访问全部被禁止;
3)重点保护内网服务器区,特别是针对重要信息的访问,必须经过防火墙的访问授权后方可实现,杜绝非授权的访问;
4)利用防火墙有效记录区域间的访问日志,为出现安全问题时提供备查资料。在互联网出口设置支持应用防护的防火墙,并为需要进行互联网数据交换的系统(如邮件、补丁服务器)设立安全DMZ区,有效抵御来自互联网的攻击。利用防火墙为公司的DMZ服务器区提供安全保护,在DMZ服务器区与其他区域之间配置相应策略,并对进出公司DMZ区域的访问进行控制[10],同时配合现有上网行为管理设备加强对互联网访问的有效管控,避免过度的带宽占用,并按相关要求保存访问记录。内外网隔离网络拓扑如图2所示。部署终端安全管控及网络准入服务器,加强内网接入及终端安全管理,对内部终端计算机进行集中的安全保护、监控、审计和管理,自动向终端计算机分发系统补丁,控制计算机终端的并口、串口、移动存储设备、Modem拨号、蓝牙、USB等外设的使用情况,能够自动收集终端曾经使用过的USB设备的历史记录,并能够单独禁用无法确定用途的USB设备,保障USB接口的正常使用,同时还能够对未知设备进行自动检测和采样,实现对未知和新增设备的有效控制和管理,灵活、有效地保护企业机密,确保企业员工与外界的数据交换可控,防止通过终端外设进行非法外联,防范非法设备接入内网,有效管理终端资产,降低病毒传播的风险[11]。升级原有交换机IOS版本到最新版本,开启Radus认证并将认证服务器指向新部署的准入服务器,在用户终端(服务器)安装准入程序对用户进行实名管理(将用户名、工号、计算机MAC地址进行绑定)[12],统一部署用户外设管理策略及网络访问策略。建立安全便捷的访客网络管理机制,制定用户接入内网或外网的管理制度及审批流程,实现对内网或外网访客行为的有效管控。
4技术创新点
4.1以无线+有线方式实现企业内外网隔离
公司原有信息布线系统信息点少且分布不均,如果采取传统双网隔离手段必须对办公楼墙面和地面重新开槽挖沟布线,成本高昂,而本次隔离工作通过建设公司无线应用网络及认证系统,实现了用户移动设备互联网访问的安全接入,同时通过对原有有线网络进行改造,实施网络准入认证和边界控制,实现了内网用户的安全接入,进而实现企业内外网访问的安全有效隔离,而且结构简单,管理便捷。
4.2实现员工、访客个人移动设备互联网访问安全接入
新建成的无线网络除了通过用户名密码+MAC认证方式实现员工通过笔记本电脑访问互联网的同时,还可以通过Portal认证、访客管理等方式实现办公区域内用户及访客个人手机、平板电脑的安全接入,有效满足后PC时代用户的网络接入需求。同时通过VLAN隔离及访问带宽限制,配合上网行为管理设备,采取疏解和封堵相结合的方式,方便用户访问互联网的同时避免了用户私接无线AP导致的安全隐患。
4.3多技术结合实现内网接入安全认证
1)通过部署终端安全管控及网络准入服务器,对内部终端计算机进行集中的安全保护、监控、审计和管理,自动向终端计算机分发系统补丁,控制计算机终端的并口、串口、移动存储设备、Modem拨号、蓝牙、USB等外设的使用情况,实现对未知和新增设备的有效控制和管理。
2)升级原有交换机IOS版本到最新版本,开启Radus认证并将认证服务器指向新部署的准入服务器,在用户终端(服务器)安装准入程序,对用户进行实名管理(将用户名、工号、计算机MAC地址进行绑定),统一部署用户外设管理策略及网络访问策略。
3)实现对用户内网计算机软件的标准化安装,统一部署安全认证程序,实现客户端软件标准化。通过多种安全手段的综合应用,确保企业员工与外界的数据交换可控,防范非授权设备接入内网,防止通过内部终端非法外联行为,确保内网的数据安全。
5结语
本文围绕保障信息安全、加强办公网络与互联网访问控制的目标,结合后PC时代移动设备无线接入需求,创新性地采取无线+有线方式实现内外网隔离,避免采取传统双网隔离手段对办公楼墙面、地面重新开槽挖沟布线的改造,可节省大量实施成本并缩短实施工期,避免对现有办公环境的破坏及正常办公秩序的影响,实现网络结构的简化和管理方式的优化。同时无线网络还实现了用户及访客个人手机、平板电脑的安全接入,有效满足后PC时代用户网络接入需求,通过疏解和封堵相结合的手段避免用户私接无线AP导致的安全隐患。通过升级交换机IOS版本、开启端口Radus认证,部署终端安全管控及网络准入服务器,加强网络边界安全管控、标准化用户终端软件等多技术相结合的方式,实现对内网接入及访问安全的有效管控,确保内网数据安全。通过本文方案可实现公司内部办公网与外部互联网的安全隔离,实现对互联网攻击行为的有效防范和内网数据的有效保护,提升企业信息安全的整体水平。
参考文献:
[1]兰丽辉,鞠时光.基于差分隐私的权重社会网络隐私保护[J].通信学报,2015,36(9):145-159.
[2]兰丽辉,鞠时光.基于向量相似的权重社会网络隐私保护[J].电子学报,2015(8):1568-1574.
[3]孙福林.面向权重隐私的社会网络隐私保护技术研究[D].南京:东南大学,2014.
[4]万平国.网络隔离与网闸[M].北京:机械工业出版社,2004.
[5]邓智群,刘福,慕德俊,等.网络隔离体系结构研究[J].计算机应用研究,2005,22(5):219-221.
[6]李正茂.网络隔离理论与关键技术研究[D].上海:同济大学,2006.
[7]周铀,黎强,刘宇.基于网络的远动状态监测系统研究与应用[J].电网与清洁能源,2014,30(11):65-67.
[8]贾铁军.网络安全技术与应用[M].北京:机械工业出版社,2014.
[9]姚琳.无线网络安全技术[M].北京:清华大学出版社,2013.
[10]特南鲍姆.计算机网络[M].北京:清华大学出版社,2012.
[11]冯登国,赵险峰.信息安全技术概论[M].北京:电子工业出版社,2014.
篇8
四川移动通信有限公司在办公网二期工程建立起来以后,就面临着下一步的升级和改造问题,他们希望通过设置门户网站,让公司内部员工可以随时随地访问内部办公网,进行公文处理。
移动办公需求迫切
由于四川移动通信公司办公网二期工程所建立的企业Intranet只覆盖到地市州一级,没有将各郊县局连接起来,但郊县局又需要访问企业办公网,因此必须要有一种郊县访问办公网的解决方案;而对于出差人员来说,要想访问办公网,如果通过拨号方式访问,不仅访问速度慢,而且操作复杂,费用高。为了解决各地市州移动分公司区、县局的办公问题,形成一个真正覆盖四川全省移动通信公司的办公平台,公司的移动办公问题就日益突出,因此提出了二期扩容问题。
但是,问题并不那么简单。传统的局域网虽然功能完善,但没有对外出口。而一旦想让在外办公的人员能够顺利访问局域网,就必须建立合适的门户网站以便访问。最关键的是,此门户网站因为设在互联网上,而又要与局域网相联,安全问题必须有保障。
双认证保安全
基于这种需求,四川移动通信公司企业用户门户网站的建议方案采用了Sun ONE Portal Server,将传统办公系统架构在Internet网上,扩大了应用范围,实现了动态密码与无线通讯的结合。
Sun ONE Portal Server支持多种认证方式,包括简单的UNIX,Web Form,Cookies,LDAP,X.509数字证书,四川移动可以根据需要,结合自己的实际情况选择合适的认证方式,系统提供完整的PKI数字证书管理系统。当四川移动的员工访问该门户网站,通过身份认证后,浏览器和服务器之间就建立了一条通过SSL加密过的通路,而所有数据的传递都将在此通路上完成。所有数据在互联网上传输是加密的,其加密强度可以根据系统效率的需要设置为128位或40位的加密方式。
整个二期工程使用的Sun一揽子方案,包括Sun 公司高性能Unix 服务器、工作站和Sun ONE Portal Server软件,其中Sun ONE Portal Server软件系统是该套方案的核心。按照设计,客户端不用安装任何软件,使用浏览器就可以解决问题,最大程度的方便了使用者。另外,将来,四川移动的员工甚至可以通过访问此门户网站实现更多的附加功能,如在线订制等。
四川移动介绍,"当这套解决方案被介绍给我们时,我们有三个最满意的地方。一是它的安全性。我们最宝贵的资源就是我们的员工和资料,既要保证员工能够安全地访问整个内部网,还要保证内部网的资料全部完好,此系统采用LDAP技术和PKI来管理大规模的用户个性化服务信息,并提供网络安全传输信息必须的X.509电子证书生成/管理系统,为我们的安全和查证留下了好的工具;二是它的集成功能。该系统可以提供信息聚集、知识管理等个性化服务,为我们不同员工提供了不同的服务内容,另外,这种个性化服务也为以后我们的系统升级留下了接口;三是成熟的电子商务。该方案可以建立数字化电子市场、企业在线采购、销售等,这对于未来我们实现网上采购,网上决策打下了良好的基础。说实话,该系统全面满足我们看中的安全性和可扩展性需求,这促使我们毫不犹豫地选择了Sun ONE,选择了Sun ONE Portal Server。"
就这样,从2001年10月开始,四川移动公司内部首先建立了一个Portal Server--由Portal Gateway和Portal Server两部分组成,其中Portal Gateway负责与移动办公者之间的数据加密(即建立与用户之间的SSL);Portal Server为Portal的主要实体,存有所有四川移动员工的信息、域的设置等Portal设置信息。当郊区县局或四川移动的员工出差外地时要进行移动办公时,无论何时何地,都可以通过浏览器进入界面中,首先访问此Portal Server,通过此Portal Server认证之后,并与Portal Server建立SSL,然后再通过此Portal Server去访问OA服务器,这样用户与OA服务器之间建立了安全的通信。同时,移动用户进入OA系统之前需要进行身份认证。这样,两次身份认证,保证了整个四川移动内部办公网络的安全。
对于四川移动内部办公网来说,由于移动办公用户访问OA系统时,先访问门户网站,而OA服务器并不暴露给Internet用户,保证了OA系统不受黑客的攻击。
当然,四川移动享受的不仅仅是这些,Sun ONE Portal Server在客户端使用浏览器即可,不用安装管理和配置任何软件,也不需要在局域网的Web服务器中使用任何插件,省去了很多麻烦;可以利用现有的企业验证系统,防止了系统验证的不一致性;由于Sun ONE Portal Server 可采用域和角色方式以及统一的用户管理来实现,四川移动登录并通过验证之后,Portal 会自动连接到其所应连接的服务器,因此虽然四川移动内部有多台OA服务器分别为不同的地市县服务,但统一的界面为个地市县实现移动接入,每个移动的员工,不论在哪里,所看到的界面都是一样的。
效果显著
由于Portal Server软件对硬件系统的要求并不高――双CPU即可,因此为四川移动最经济最高效地解决了移动办公问题。同时,该系统也可以提供许多其它内容服务,如员工在出差时访问企业内部一些站点,查询电子邮件等。
以现在移动通信公司办公室的工作为例,以前发重要的内部文件,需要打印并传真给县一级的部门,然后再打电话确认是否收到,对于在外地出差的工作人员,甚至不能及时传达,因此办公室工作非常复杂,偶尔还会有疏漏。现在,他们只用把该文件顺利的放在局域网上,县级的用户通过门户进入局域网后自然能够看到该文件,而出差在外的人,也可以随时进行工作访问和查询,大大提高了效率和准确度。
篇9
【关键词】 网络工程 安全问题 防护
信息技术的蓬勃发展,成为主导现代社会的支柱性产业,网络已经成为人们生活中必不可少的工具,经济、文化、政治、军事等的发展已经离不开网络技术,其中网络安全问题备受关注。自信息时代来临之后,网络信息数据被窥探,系统被攻击导致瘫痪、垃圾信息的传播以及病毒的不断侵入,此类问题愈演愈烈,严重威胁着网络安全建设,首先了解当前网络安全问题的现状是基本工作。
一、网络工程中常见的安全性问题分析
1、黑客攻击。在网络工程运行的过程中,黑客攻击是其最为突出性的安全隐患,其对网络信息的安全性构成严重的威胁。黑客攻击主要是通过计算机专业过硬的人才,利用网络系统现存的漏洞和缺陷进行网络目标的破坏行动[1],以盗取目标人员的信息,导致网络系统陷入瘫痪,计算机用户信息被盗用与窥探,信息的安全性受到严重威胁。作为网络安全问题中的重大隐患,黑客攻击是有目的性的攻击,从中盗取所需的机密性文件,是对网络安全技术提出的一项重大挑战。
2、病毒侵入。除了黑客之外,病毒侵入是另一项网络重大安全隐患。病毒编制人员会通过编写相关的程序,将该程序植入到计算机系统中,使得计算机内部的程序发生变更,且计算机会受到操纵者的操控,以达到破坏或盗取计算机内部信息的目的,对计算机系统的破坏性很大,且病毒的传染性很强,以木马、火焰为主。这些病毒的入侵,会破坏我们的生产网、办公网,这会严重影响到我们的生产。
3、垃圾信息传播。网络是一个巨大的资源库,具有丰富的网络资源,在满足信息需求的同时,还会产生各类垃圾信息、不良信息,会对人们的心理、思想产生负面影响,垃圾信息对网络环境造成了严重的污染,对社会造成恶劣的影响,尤其是对于正在成长的青少年。由于网络垃圾信息的传播,导致青少年的犯罪率在不断提升,影响青少年的成长与社会的稳定[2]。
二、加强网络工程的安全防护策略
1、完善网络工程运行系统。网络工程安全问题的不断涌现,对社会造成消极的影响,解决安全隐患是当前面临的主要问题。为此,应从网络工程自身着手,强化网络工程运行系统的完整性与稳定性,对网络系统进行及时的升级,强化对网络安全问题的重视,加大在安全宣传上的投入力度,建立基本的网络安全系统,防火墙、病毒入侵检测、杀毒软件、数据加密等,运用以上方式来强化对网络工程的保护。最基本的网络安全保护系统是加强工程保护的重要保障和盾牌,能够达到与黑客袭击、病毒侵入的目的,能保护信息的安全性和完整性,是网络系统的优化与创新[3]。
2、加大网络安全宣传力度。现如今,人们在使用计算机网络技术的同时,只意识到其积极性的一面,往往会忽视了对网络安全性问题的关注,对系统的安全性重视程度不高,信息保护意识不强,缺乏对信息保护的重视。为了让人们增强对网络安全的重视,应加大网络安全宣传力度,借助网络平台开展宣传工作,通过文本宣传页、视频或图片等方式进行宣传,将其放置在各个网站的首页,能够让用户在使用网络的同时提高警惕,随时具备保护意识,在运用网络的同时,也实现了对网络安全性的宣传,选择以往网络安全问题所产生的危害进行举例说明,借助网络的强大力量,实现对安全问题的全面宣传。
3、优化计算机网络安全技术。软件开发人员应发挥自身的专业素养,研发新型的网络安全保护技术,发明预防、识别与阻碍一体化的安全技术,发挥安全技术的强大功能,实现对网络工程的全面防护。云计算机技术是新产生的技术,对信息的发展与传播具有积极影响,能够让用户对信息的安全性进行有效的识别,也能保证个人数据的安全性与完整性,将相关数据上传至云端,借助云技术来控制数据访问权限,提高网络信息存储与数据传输保密性,将云计算机技术应用到网络系统中,定会取得满意的效果。
结束语:综上所述,当前网络工程面临主要安全问题以黑客攻击、病毒侵入以及垃圾信息的迅速传播,成为网络安全的重大隐患,网络工程质量受到严重影响。无论是对于商业、文化还是军事、经济而言,网络工程都将其优势发挥到极致,但是由于网络系统问题存在漏洞,技术不够完善,导致信息丢失。为解决此项问题,应完善网络运行系统,加大网络安全宣传力度,以增强对安全的重视,同时优化计算机网络安全技术,以强化对网络安全系统的保护。
参 考 文 献
[1]毕妍.关于网络工程中的安全防护技术的思考[J].电脑知识与技术,2013,21:4790-4791+4814.
篇10
关键词:信息安全;威胁;管理模式;桌面终端
在当今的信息时代,我们的生活和工作方式受到信息技术发展的巨大影响,时时刻刻都在发生着改变,而现行企事业单位的管理模式也在这种“大环境”下不断地推陈出新。作为各大国有企事业信息管理部门,必须考虑到当前技术的发展给我们的工作带来的机遇和威胁。
一、当前信息网络的安全形势
目前,几乎所有企业、事业单位、行政部门都面临着内部信息泄漏的问题。FBI对484家公司调查显示:85%的安全损失是由企业内部原因造成的。面对来自于公司内部的安全威胁,很多员工都有切身感受,虽然不会有股票的跌涨刺激感官强烈,但是他们一定遇到过类似的事情。由于粗心误操作造成公司服务器上重要文档丢失;由于没有设定员工在系统内的访问权限,使一些业务秘密出现在本不应有查阅权的员工计算机上,并不小心将其泄露……对于这些来自公司内部的信息安全问题,不是简单的安装了杀毒软件或防火墙就能解决的,单纯的“免疫”手段在“网络风险”、“软件风险”日益严重的今天,都已经不足以让人信任和依赖。
据调查统计,90%以上的计算机终端用户使用的是windows2000,XP或以上的操作系统,而这些系统的安全漏洞及系统缺陷非常多。虽然微软公司会通过定期在网站上安全补丁来弥补这些漏洞,而一些软件公司也会对自己开发的软件进行不断地更新和升级,但由于终端用户缺乏相关知识,导致补丁安装的不及时、不完全,这就会影响终端计算机的安全,从而影响整个内部网络安全。
二、企事业单位网络终端计算机安全现状
大中型企事业单位、政府办公网络,桌面终端计算机数量随着办公的需要不断增多,而出现的网络问题也日趋明显。常见的情况主要有:计算机感染病毒、被安装木马;有些不明程序不断抢占IP地址(ARP病毒)堵塞整个网段,使该网段用户都不能上网。除此以外,部分员工使用公司办公电脑私自从网络上下载海量资源,迅雷、BT、电驴这些下载工具都会抢占网络通道,这样就导致了其他一些用户使用办公电脑办公时网速非常低,严重时网页无法显示,不仅影响了其他员工的工作,还降低了整个公司的工作效率。
这种问题在当下的网络时代普遍存在于现有的企事业单位,尤其是一些已经摆脱了纸张,进入“无纸化”办公的先进单位更为明显。由于难于发现高危计算机,并对其进行定位,因此一旦问题发生,就需要大量的故障排查时间。如果同时有多台计算机感染网络病毒或者进行非法操作,就会造成网络瘫痪,从而致使其他正常网络业务无法使用。
现阶段,所有企业都在努力寻找一种有效的手段来扭转这种严峻的局面,并尽可能地出台大量的信息网络管理规定。例如:禁止在办公计算机内安装BT下载软件,禁止在个人终端设备中安装网络游戏软件,禁止私自更改电脑的安全设置,禁止将外部的电脑接入单位的内部网络等行为。但是,由于缺乏技术和管理手段、考核制度、使用标准、用机规范等,都不能够有效切实地执行,这样就使企业内部的信息网络安全水平很低,衍生了诸多不可控制的安全隐患。
三、通过网络防护与终端防护共筑信息安全长城
以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS(入侵检测)、网御设备、网络交换设备的管理上,却忽略了对网络环境中的计算单元――服务器、台式机乃至便携机的管理。
近两年的安全防御调查表明,政府、企事业单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,随着信息技术的不断进步,网络安全防护的工作重点开始发生转移,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。网络管理员已经不是信息安全的唯一负责人,计算机终端用户才是信息安全的第一责任人。
四、建设桌面终端安全管理系统的意义
伴随着网络管理业务密集度的增加,在信息安全防护领域兴起了终端桌面安全管理技术。作为网络管理技术衍生的边缘产物,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系的重要组成部分。由此看来,终端桌面管理的发展趋势和技术特点,才是信息安全防护趋势的导向。在进行桌面终端安全防护部署时,必须把提升信息安全的关键放在提升计算机终端安全水平上。
如何有效地管理计算机终端成了当前的热点话题,而桌面计算机安全管理系统的应运而生就显得尤为重要了。第一可以通过批量设置计算机的安全保护措施提高桌面计算机的安全性,及时更新桌面计算机的安全补丁,减少被攻击的可能;第二,它还可以实现动态安全评估,实时评估计算机的安全状态及其是否符合管理规定,比如说,评估计算机的网络流量是否异常,评估计算机是否做了非法操作,评估计算机的安全设置是否合理等;第三,通过系统中进行策略的配置,对计算机终端进行批量的软件安装、批量的安全设置等,防止外来电脑非法接入,避免网络安全遭受破坏或者信息泄密;第四,利用桌面系统的高科技手段,能够确保本单位的计算机使用制度得到落实,使“禁止拨号上网,禁止使用外部邮箱,禁止访问非法网站,禁止将单位机密文件复制、发送到外部”等这一系列管理措施得以贯彻和执行;第五,在网络出现安全问题后,桌面终端系统可以对有问题的IP/MAC/主机名等进行快速的定位,便于管理员迅速排查故障;最后一点可以称之为桌面系统的“增值服务”,在保证信息网络安全的同时,还能对计算机的资产进行有效地管理和控制。
这些功能的实现,浅表地说能够持续有效地解决大批量的计算机终端安全管理问题,真正的意义在于能够切实地帮助企业内部各种管理规定有效地执行。如今凭借这些高科技手段,全面提升企事业单位内部信息化工作水平已经不再是纸上谈兵。
五、结语
企事业单位要在信息技术高速发展的今天立于不败之地,就必须结合自身客户的网络结构、终端特点和管理模式,搭建安全、稳固的内部IT架构。而桌面终端安全管理的应用,将极大地提高信息安全系数,使企业信息风险降到最低。
参考文献:
[1] 闫龙川,刘永志,来凤刚.计算机终端安全管理系统及其应用[J].电力信息化,2009,(7).
[2] 马国胜.桌面安全管理系统的应用[J].中国金融电脑,2009,(4).
