网络安全建设总结范文

时间:2023-12-01 17:32:40

导语:如何才能写好一篇网络安全建设总结,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全建设总结

篇1

关键词:虚拟局域网;医院;网络安全;建设

引言

伴随医院信息化建设脚步的不断推进,众多医院挂号、门诊、住院等各个流程产生的数据均实现了网络传输,网络安全在全面医院信息系统安全中扮演着越来越重要的角色。引入一系列先进技术强化对网络的管理、促进网络结构优化,是保证网络安全的一大保障。虚拟局域网作为可靠、高效的信息网络管理系统,其可为医院网络安全建设打下有力基础,在医院网络安全建设中可发挥至关重要的作用。虚拟局域网技术的推广极大水平上推动了医院工作的开展,然而在发展过程中如何解决安全保障问题是当前的一大关键,医院唯有在更可靠、更安全的网络建设中,方可有序高水平的开展工作,这同样是医院网络安全有序发展的前提。由此可见,对虚拟局域网下医院网络安全建设开展研究,有着十分重要的现实意义。

1虚拟局域网技术概述

虚拟局域网指的是经由将局域网内的设备逻辑地而并非物理地划分为各个网段,进一步实现虚拟工作组的技术。换言之,虚拟局域网是网络设备上连接的不受物理位移影响的用户的1个逻辑组。可将各个逻辑组概括为1个特定的广播域;各个虚拟局域网均涵盖了1组有着一致需求的计算机终端,以物理上形成的局域网有着一致的属性。通常而言,虚拟局域网在交换机上实现方法,主要包括四种划分策略,即分别为以端口为前提划分的虚拟局域网、以MAC地址为前提划分的虚拟局域网、以网络层协议为前提划分的虚拟局域网以及以IP组播为前提划分的虚拟局域网。其中,以端口为前提划分的虚拟局域网指的是结合交换机上的物理端口开展的划分,其优点在于可直接定义,划分便捷,易于实现,技术完善;不足之处则是用户物理位置发生变化时,要求重新进行定义,缺乏灵活性;其通常适用于各种规模的网络。以MAC地址为前提划分的虚拟局域网指的是结合用户主机MAC地址开展的划分,其优点在于用户移动时,虚拟局域网无需重新定义;不足之处则是设备初始化,要求对每一位用户进行定义;其通常适用于小型局域网。以网络层协议为前提划分的虚拟局域网指的是结合IP、Banyan、DECnet等网络层协议开展的划分,其优点在于可依据协议不同类型对虚拟局域网进行划分,且广播域可实现对不同虚拟局域网的跨越;不足之处则是效率偏低,技术不完善;其通常适用于同时运行多协议的网络[1]。以IP组播为前提划分的虚拟局域网指的是一个IP组播即为一个虚拟局域网,其优点在于灵活性高,易于经由路由器实现扩展;不足之处则是设置难度大,效率偏低,技术不完善,通常适用于处在不同地理范围的用户组成的网络。

2医院网络安全建设面临的主要困境

2.1对网络安全建设缺乏有效认识

伴随信息时代的飞速发展,网络安全建设越来越为诸多行业领域所关注,医院同样如此。然而现阶段,医院网络安全建设依旧处在初级发展阶段,网络安全建设还存在各式各样的问题,人们并未对网络安全建设形成有效认识,因为认识不足使得在网络设备引入后其作用难以得到有效发挥,造成各项设备未能切实为医院医疗服务工作创造便利,因而应当提高对网络安全建设的有效认识,方可让网络安全建设切实为医院所用。

2.2缺乏健全的网络安全保障

在医院网络安全建设中,诸多安全问题往往会被忽略,而网络安全显然是网络安全建设中的重要内容。一些医院在网络信息管理中表现出安全意识不足,缺少计算机相关人力、物力的投入,对网络设备管理维护缺乏足够重视,往往会在应用过程中出现因故障而无法使用的情况。近年来,医院面对庞大的医疗数据、信息,对网络信息系统变得更加依赖。而由于缺乏健全的网络安全保障,使得信息数据难以得到有效备份,一旦遭受病毒或者不法分子的攻击,使得医院信息数据被篡改、盗取等,必然会对医院带来极大的损失。

2.3缺乏完善的网络系统管理

医院网络系统管理缺乏一个切实完善的制度标准。首先,在设备维护方面,系统管理人员对设备保护认识不足,未能开展定期清理,长此以往,对设备使用性能造成不利影响。其次,一些系统管理人员对工作管理制度缺乏足够重视,应用网络设备做与工作不相干的事情,对设备运行速度造成不利影响,因而这些均属于医院网络系统管理中亟待解决的问题。

3虚拟局域网下医院网络安全建设策略

虚拟局域网技术的推广极大水平上推动了医院工作的开展,然而在发展过程中如何解决安全保障问题是当前的一大关键,医院唯有在更可靠、更安全的网络建设中,方可有序高水平的开展工作,这同样是医院网络安全有序发展的前提。在信息时代背景下,全面医院应当紧紧跟随时代前进步伐,不断开展改革创新,强化对先进发展理念的学习借鉴,切实推动医院网络的安全有序运行。如何进一步强化虚拟局域网下医院网络安全建设可以将下述内容作为切入点:

3.1虚拟局域网在医院网络安全建设中应用优势

医院网络安全建设中应用虚拟局域网技术具备一系列优势,主要包括有:(1)阻止广播风暴,提升网络整体性能。在局域网中各个工作站均会发送出广播信号并获取大量的响应,极易引发局域网中的广播风暴现象,因而在虚拟局域网组中,将局域网中各项业务工作依据内容不同开展划分,以实现广播信号之间的有效隔离,进而切实解决由于广播信号泛滥而引发的网络阻塞问题[2]。与此同时,依托虚拟局域网技术可将网络的诸多资源配置给需要的部分使用,一方面确保不同部门相互间网络资源需求的最大化,一方面尽可能提升医院网络使用效率,提升医院网络整体性能。(2)促进网络的安全有序运行。传统局域网中传输的数据报极易受到相同网络中任一设备操作截取,进而对医院信息安全带来极大威胁。虚拟局域网划分完毕后,均需要经由路由来转发局域网相互间的数据,没有路由的局域网则会转变为一个独立的局域网,其对应的安全性能同样可得到有效提升。(3)为网络管理、维护创造极大便利。将各项工作依据业务内容差异划分至各个虚拟局域网中,有利于系统管理员开展集中管理,无需再移动工作站便可灵活地将工作由一个局域网转入至另一个局域网,针对移动的办公用户,局域网还对这一移动设备的接入点进行自动识别,其性能与在本单位的局域网中无明显差异,倘若某一局域网中引发故障并不会对其他网络设备运行造成影响,进而为系统管理员在开展故障排除时提供有效便利[3]。

3.2虚拟局域网在医院网络安全建设中应用实例

以端口为前提与以IP组播为前提相结合划分的虚拟局域网,其沿用了最常规的虚拟局域网成员定义方法,操作简单,易于推广应用。医院网络有着节点多、分布范围广等特征,因而可推行核心层、汇聚层以及接入层的层次化设计模式,真正意义上确保网络的可扩展性。于Extream核心交换机上依据端口划分成VLAN2、VLAN3等多个虚拟局域网,同时逐一对应医院内部的多个不同部门。通过对三层交换机的统一应用,核心层、汇聚层可实现有序转发;同时,核心层、汇聚层采取光纤技术接入,获得千兆级带宽。依据各个业务层,将汇聚层交换机端口划分成各个虚拟局域网,虚拟局域网划分相应的IP地址,某一虚拟局域网中计算机便以其地址为网关,其他虚拟局域网则不可与这一虚拟局域网处在同一子网。相同虚拟局域网的不同交换机端口的相互访问,可依托IEEE国际标准VLANTrunk得以实现。可将两台交换机级联端口调节成Trunk端口,如此一来,在交换机将数据包由级联口传输出去过程中,会于数据包中做一标记,以便于其他交换机识别这一数据包属于哪个虚拟局域网,然后,其他交换机接收到该数据包后,便会将这一数据包传输至对应指定的虚拟局域网,进一步实现跨越交换机的虚拟局域网内部数据传输接收[4]。虚拟局域网技术在医院网络安全建设中的应用,可极大水平减少医院信息网络数据包的传输,提升网络传输效率。与此同时,因为各个虚拟局域网必须要通过路由器转发方可完成通讯,由此为高级安全控制创造了可能,进一步极大水平提升了医院信息系统管理人员的管理效能及网络安全性。

4结束语

总而言之,当前时代背景下,医院网络安全有序运行与否,很大程度上影响着医院医疗工作的有序运行。鉴于此,医院相关人员务必要不断钻研研究、总结经验,提高对虚拟局域网技术内涵特征的有效认识,强化对医院网络安全建设面临主要困境的深入分析,强化对虚拟局域网技术的科学合理应用,积极促进医院网络的安全有序运行。

参考文献:

[1]张剑,张岩.虚拟局域网技术在医院网络建设中的应用[J].解放军医药杂志,2010,22(06):563-565.

[2]吕晓娟,王瑞,郭甲,等.运用虚拟局域网技术加强医院网络安全建设[J].医学信息(中旬刊),2011,24(07):3130-3131.

[3]杨瑾.浅谈虚拟局域网技术在医院网络建设中的应用[J].科技创新与应用,2016,16(31):106.

篇2

关键词:网络安全;网络管理;防护;防火墙

中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2011)14-3302-02

随着企业信息化进程的不断发展,网络已成为提高企业生产效率和企业竞争力的有力手段。目前,石化企业网络各类系统诸如ERP系统、原油管理信息系统 、电子邮件系统 以及OA协同办公系统等都相继上线运行,信息化的发展极大地改变了企业传统的管理模式,实现了企业内的资源共享。与此同时,网络安全问题日益突出,各种针对网络协议和应用程序漏洞的新型攻击层出不穷,病毒威胁无处不在。

因此,了解网络安全,做好防范措施,保证系统安全可靠地运行已成为企业网络系统的基本职能,也是企业本质安全的重要一环。

1 石化企业网络安全现状

石化企业局域网一般包含Web、Mail等服务器和办公区客户机,通过内部网相互连接,经防火墙与外网互联。在内部网络中,各计算机处在同一网段或通过Vlan(虚拟网络)技术把企业不同业务部门相互隔离。

2 企业网络安全概述

企业网络安全隐患的来源有内、外网之分,网络安全系统所要防范的不仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问。企业网络安全隐患主要如下:

1) 操作系统本身存在的安全问题

2) 病毒、木马和恶意软件的入侵

3) 网络黑客的攻击

4) 管理及操作人员安全知识缺乏

5) 备份数据和存储媒体的损坏

针对上述安全隐患,可采取安装专业的网络版病毒防护系统,同时加强内部网络的安全管理;配置好防火墙过滤策略,及时安装系统安全补丁;在内、外网之间安装网络扫描检测、入侵检测系统,配置网络安全隔离系统等。

3 网络安全解决方案

一个网络系统的安全建设通常包含许多方面,主要为物理安全、数据安全、网络安全、系统安全等。

3.1 物理安全

物理安全主要指环境、场地和设备的安全及物理访问控制和应急处置计划等,包括机房环境安全、通信线路安全、设备安全、电源安全。

主要考虑:自然灾害、物理损坏和设备故障;选用合适的传输介质;供电安全可靠及网络防雷等。

3.2 网络安全

石化企业内部网络,主要运行的是内部办公、业务系统等,并与企业系统内部的上、下级机构网络及Internet互连。

3.2.1 VLAN技术

VLAN即虚拟局域网。是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。

借助VLAN技术,可将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境 ,就像使用本地LAN一样方便。一般分为:基于端口的VLAN、基于MAC地址的VLAN、基于第3层的VLAN、基于策略的VLAN。

3.2.2 防火墙技术

1) 防火墙体系结构

① 双重宿主主机体系结构

防火墙的双重宿主主机体系结构是指一台双重宿主主机作为防火墙系统的主体,执行分离外部网络和内部网络的任务。

② 被屏蔽主机体系结构

被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,强迫所有的外部主机与一个堡垒主机相连,而不让其与内部主机相连。

③ 被屏蔽子网体系结构

被屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器,位于堡垒主机的两端,一端连接内网,一端连接外网。为了入侵这种类型的体系结构,入侵者必须穿透两个屏蔽路由器。

2) 企业防火墙应用

① 企业网络体系中的三个区域

边界网络。此网络通过路由器直接面向Internet,通过防火墙将数据转发到网络。

网络。即DMZ,将用户连接到Web服务器或其他服务器,Web服务器通过内部防火墙连接到内部网络。

内部网络。连接各个内部服务器(如企业OA服务器,ERP服务器等)和内部用户。

② 防火墙及其功能

在企业网络中,常常有两个不同的防火墙:防火墙和内部防火墙。虽然任务相似,但侧重点不同,防火墙主要提供对不受信任的外部用户的限制,而内部防火墙主要防止外部用户访问内部网络并且限制内部用户非授权的操作。

在以上3个区域中,虽然内部网络和DMZ都属于企业内部网络的一部分,但他们的安全级别不同,对于要保护的大部分内部网络,一般禁止所有来自Internet用户的访问;而企业DMZ区,限制则没有那么严格。

3.2.3 VPN技术

VPN(Virtual Private Network)虚拟专用网络,一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。位于不同地方的两个或多个企业内部网之间就好像架设了一条专线,但它并不需要真正地去铺设光缆之类的物理线路。

企业用户采用VPN技术来构建其跨越公共网络的内联网系统,与Internet进行隔离,控制内网与Internet的相互访问。VPN设备放置于内部网络与路由器之间,将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问。

3.3 应用系统安全

企业应用系统安全包括两方面。一方面涉及用户进入系统的身份鉴别与控制,对安全相关操作进行审核等。另一方面涉及各种数据库系统、Web、FTP服务、E-MAIL等

病毒防护是企业应用系统安全的重要组成部分,企业在构建网络防病毒系统时,应全方位地布置企业防毒产品。

在网络骨干接入处,安装防毒墙,对主要网络协议(SMTP、FTP、HTTP)进行杀毒处理;在服务器上安装单独的服务器杀毒产品,各用户安装网络版杀毒软件客户端;对邮件系统,可采取安装专用邮件杀毒产品。

4 结束语

该文从网络安全及其建设原则进行了论述,对企业网络安全建设的解决方案进行了探讨和总结。石化企业日新月异,网络安全管理任重道远,网络安全已成为企业安全的重要组成部分、甚而成为企业的本质安全。加强网络安全建设,确保网络安全运行势在必行。

参考文献:

[1] 王达. 路由器配置与管理完全手册――H3C篇[M]. 武汉:华中科技大学出版社,2010.

[2] 王文寿. 网管员必备宝典――网络安全[M]. 北京:清华大学出版社,2007.

篇3

关键词数字化环境;医院信息;安全建设

1数字化医院信息安全建设与管理存在问题及分析

1.1信息安全建设投入成本有限

数字化医院信息安全建设与管理并不是一朝一夕就能完成的,它在整体建设上非常繁杂的,需要专业的、系统的筹备才能完成的。在网络信息技术数字化的时代下,要想充分保障信息的安全性,足够快的更新换代医院的新设备,就需要大量的资金投入,才能保证。然而很多时候,由于发展的限制,医院在资金的投入使用中都有很大的限制,这就意味着信息安全建设和管理维护工作的投入资金过低,并不能更优先的发展[1]。

1.2信息安全管理体系尚未成熟

医院的信息安全管理体系是在应用风险管控的方式管理医疗数据的基础上进行改进的工作体系。但是,部分数字化医院仍然没有成熟的信息安全管理体系,在安全防范方面能力较为薄弱。

1.3操作方面的因素

在医院信息系统的应用过程中,由于操作人员主观失误、不按规定操作等行为都会出现数据输入输出错误等现象,或者泄露了本应该保密的口令,进而影响到系统运行的稳定性。

1.4系统管理方面的因素

数字化医院信息管理系统还处于不断完善的过程中,相关的安全管理制度建立不够完善,管理人员的技术水平也没有达到相关的标准。而且在安全事故预案建设方面也不够完善,导致安全事故发生之后无法高效地应对。

2数字化下医院信息安全建设的策略

2.1完善信息安全体系

首先要加强人员对信息安全的重视度。医院应对全体医务人员进行培训,并在医院各个工作环节加强信息安全系统管理。各科室要有专业信息技术人员来执行信息安全系统的维护工作[2]。根据《网络安全法》规定:“网络产品、服务具有收集用户信息功能的,其提供者应向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或非法向他人提供个人信息。”医院信息安全等级保护制度中关于用户管理制度中提到信息科对员工的账号与密码不得向任何人透露,具体规定如下:①信息科对新员工配置账号与密码;在其离院时账号与密码均应注销;人事科凭借‘已注销账号和密码’为依据批准员工离院并支付其相关费用。②员工不得将自己的账号与密码告知他人,定期修改密码。③任何人员不可以登录他人的账号与密码,在未得到授权的情况下不得将任何数据告知他人。④密码应是字母与数字的组合。信息技术人员充分的了解医院信息安全系统后,应制定科学、合理的安全管理制度,对相关的工作人员进行培训,确保其能够按照医院信息安全等级保护制度以及操作规范,并对实践中出现的问题进行总结与改进,将信息安全管理制度落实到位[3]。

2.2对基础的软硬件设备进行优化配置

数字化医院信息安全系統是医院信息系统管理的重要方式,对基础的硬件与软件设备进行优化,是建设数字化医院信息安全系统的本质所在,以此来保证系统运行的高效性与稳定性。首先,基础软件层的建设。在购买操作类与数据库类的软件上必须要进行综合地考虑。其次,在终端设备层上。在采购方面也要进行全方面的分析与考虑,在能够满足基本的业务需求的基础上,还要考虑到系统自身的升级问题,以此来确保设备的使用性能。再次,在服务层上。服务是整个系统的核心,直接地影响着系统的总能。所以要根据所应用系统的特性设备与之相匹配的服务器。而在存储上也要达到一定的要求。最后,在网络设备层上。要利用星型拓扑结构进行处理。核心层要与不同的楼宇进行连接,这样能够提高路由的交换效率。汇聚层也可以与接入层的设备进行网络直连,以此来对虚拟的局域网进行划分,避免出现网络风暴等现象,促进实际工作效率的提升。

2.3信息安全人才管理体系建设

数字化医院信息安全建设与管理说到底就是人才的建设,人与人之间的管理。信息技术本身就是服务于信息安全建设与管理的,所以医院要做到来制定符合医院具体情况的信息安全,建立一支专业的、负责任的信息安全队伍,长期规划,制定战略实施目标,根据医院的具体网络安全事态来调整原本的信息安全策略措施。在空余时间举办培训班,引进先进的人才为战略目标,加强内部员工的信息安全意识和信息安全教育的培养与提高[4]。

2.4加强数字化医院信息安全技术

首先应对信息安全系统的环境进行改善,中心机房避免建设在地下室、存在大型供电、供水设备的隔壁,机房应具有防水、防震的能力。其次,在安装设备时,要确保其安全性与稳定性,对设备要进行有效的安全管理。第三,应加强防范网络威胁,建立安全性较高的访问路径,当医院网络出现病毒、黑客入侵等不安全因素时,能够及时对服务器与客户端进行安全连接,提高信息系统的安全性。

篇4

一、加强领导

为进一步加强全委网络信息系统安全管理工作,我委成立了网络和信息安全督查自查领导小组,由主任任组长,副主任任副组长,综合股张俊为成员。做到分工明确,责任具体到人。制定了自查方案,严格按照自查目录情况表进行了自查。

二、我委网络安全现状

1、网络安全方面。我委配备了防病毒软件,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。

2、信息系统安全方面。实行领导审查签字制度,凡上传网站的信息,须经有关领导审查签字后方可上传。

3、日常管理方面。切实抓好外网、网站和应用软件“五层管理”,确保“计算机不上网,上网计算机不”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。

4、硬件设备情况。硬件设备使用合理,软件设置规范,设备运行状况良好。我委每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品。

5、通讯设备运转正常。我委网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。

6、严格管理、规范设备维护。我委对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在委开展网络安全知识宣传,使全体职工意识到计算机安全保护是“三防一保”工作的有机组成部分,而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。

三、网络安全存在的不足及整改措施

我们在自查过程中发现了一些管理方面存在的薄弱环节,今后还要在以下几个方面进行改进:

1、对于线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。

2、加强设备维护,及时更换和维护好故障设备。

篇5

关键词:通信网络;网络建设;安全性

一、引言

时至今日,国内居民与社会企业已经开始广泛的利用计算机与互联网技术实现了网上消费、网上推广、网络聊天等功能,为现代居民生活习惯、现代企业经营模式的改变带来了巨大影响。自我国改革开放以来,国内政治、经济、文化、社会、法律诸多环境得以完善,从而给当代国内科学技术的发展创造了良好的氛围、打造了坚实的基础。受到时代环境改变的影响,国内现有计算机与互联网技术得到了巨大的发展与提升,并在国内移动终端使用成本逐渐下降的背景下,不再成为了现代企业的专享之物,而且成为了国内社会大众的日常重要沟通与交流途径。但是,尽管互联网与计算机技术的应用领域、范围,及其涉及内容的逐渐增多,与此同时也极大的增加了现代互联网络中不稳定、不安全事件出现的几率,并且给该技术使用者的安全性、经济性等造成了严重影响。为此,不断增强现代国内通信网络建设的安全性,增强该技术应用的稳定性,将会为保障国内通信网络系统的功能优化和使用体验增强带来巨大支撑。因此,在本文中作者将结合时代背景针对该系统安全性的增强开展研究。

二、当前国内通信网络建设中存在的安全问题

1.法律法规的规范性、系统性不足

根据研究调查发现,当前国家对互联网通信网络建设的安全性法律尚且停留在宏观整体层面,而缺乏对微观细致层面网络行为的违法行为的抑制和防范意识的引导。我国对于互联网以及通信网络,所建立的法律法规并不完善,使得网络黑客有机可乘。现阶段,一些规范网络系统安全的条文较为零散,只有在地方法规、零散的规定中可见各种法律文件。这些法律文件的协调性、系统性以及权威性都不强。然而,面对互联网与计算机技术的快速发展,不但让众多与新事物消费的侵权事件大大增加,而且让众多黑客开始使用新技术窃取网络信息,侵犯网络使用的安全。而上述这些问题的出现,与当代法律的滞后,且无法m应如今的网络安全要求存在着较大的联系。

2.缺乏网络建设软硬件的安全防控

除了法律法规方面的安全性防控较为薄弱之外,由于该技术发展的水平依旧处于初期阶段,从而导致了该系统日常运维过程中容易出现安全性漏洞。例如:系统存在过期编制、过期老化、互串、过流、烧毁以及击穿等问题。因此,为建立完善的维护、管理系统以及支撑系统,提高系统设备的安全性,应当建立完整的冷热备用体制以及替代体制了,要求系统维护人员采取人工操作或自动化操作方式,更新网络,替换有关部件,更新线缆,补充、扩展网络。在互联网以及通信网络的建设过程中,未能够制定详细的计划,网络效率差,建设品质较低,维护管理力度不足,审批不严谨。这就要求人们对互联网以及通信网络建设引起高度重视,加强维护人员自身的安全意识,技术人员要全面提高自身的综合业务技能以及操作水平,尽量排除安全隐患。除此之外,还应当在软件层面增强安全性防控。例如:当前维护人员缺乏安全意识,缺乏维护管理能力,在建设过程中没有严格遵循有关技术规范,随意更改有关秘钥,密件明发,就会导致他人更改、盗取密码等问题出现。

三、提升计算机互联网与通信网络建设安全性的对策与建议

1.不断提升法律法规层面安全建设

我国政府应当不断针对当前通信网络建设发展的现状,积极调整对该行业法律法规的完善。在此过程中除了需要加强网络系统安全立法,立法机关应加强完善相关法律法规,强调网络安全建设,建立完整的信息安全智库,强调信息资源共享的安全性之外,还应当积极修订国家相关法律法规;严厉打击各种网络犯罪行为,对于情节要严重的网络犯罪行为,要采取相应的惩处措施。在此过程当中,国家政府应当不断保持与时俱进的思维,从当前通信网络建设过程中的现状及其出现的问题出发,积极发掘问题的共性,并从法律法规层面加以强制性引导与协调。与此同时,还应当增强对互联网通信安全法规颁布后的宣传和教育,让互联网使用者能够增强法律意识、防范意识,从而起到增强计算机互联网与通信网络建设中安全性的总体增强。

2.不断提高对软硬件层面安全建设

除了在法律法规层面给予安全建设之外,还应当在日常生活、工作以及学习过程中,对于互联网以及通信网络的运用更加广泛,对人们的生活以及社会生产起到了重要的作用。人们需要采用切实可行的对策,加强网络建设,尽量降低网络分享。因此,要求对互联网以及通信网络系统中的硬件设备以及软件组织加强管理,保障其不受到自然灾害以及认为的恶意破坏等,提高网络系统运行的安全性与稳定性,为人们提供优质、安全的网络服务,保障服务不会被随意中断。通过调查研究发现,提高预防自然灾害的能力,才能够维护好网络系统的安全。另外,还应当积极开发预警紧急状况发生机制,对出现的火种进行有效地防控,防止火势蔓延,从而确保互联网以及通信网络的安全运行。利用机制的构建和完善,实现对软硬件层面的微观防控,以增强通信网络系统运行的稳定性。

四、结语

通过上文的研究能够发现计算机与互联网技术作为当代最为先进的生产力,其应用范围及领域已经涉及到了各行各业。然而,由于该项技术在通信领域的应用尚且处于初始阶段,从而在使用过程中出现了大量安全性问题。在本文中作者首先针对国内计算机互联网与通信网络建设的背景开展研究,并针对其中容易引发安全性问题的诱因进行阐述,最终提出了些许有利于提升安全性的对策与建议。谨此希望能够利用本文研究为该领域研究做出贡献,并为计算机与互联网技术的实践应用及推广程度的提升带来帮助。

参考文献:

篇6

一、网站建设

(一)政务内网建设:建设有党政网接入线路,配备有专用微机、打印机等设备,并做到了与本局业务、办公网物理隔绝。指派有专人负责党政网终端的维护、管理,政务内网应用全面开展,并发挥了较好作用。

(二)政务网站建设:建设有“广电”网站网站,向广大市民提供公众广电服务以及政务公开等工作,设置有机构设置、办事指南、广电法规、广电、局务公开、廉政建设、局长信箱等栏目,做到了实时更新。在该网站提供了部分非保密资料的共享。并对政府公众信息网上涉及广电的相关栏目信息进行了更新。

(三)部门专业网建设:建设有省-地专网,并建设有公网接入专用线路,作为业务备份和公众服务应用。建设了系统内notes邮件系统,实现国家、省、市、县各级广电部门内部行政、业务信息交换。建设有互联网邮件系统,实现与外部的信息交流。根据公众服务需求,初步建设了我局广电实时数据库系统。建设了省-市间、市-县间视频会商系统,实现网络会议、广电等业务工作应用。

二、网上应用推广

(一)按要求接入市电子政务网站。

(二)利用电子政务网站平台,积极推进开发应用。按省、市政府“政府信息公开”工作要求,做好录入、上载信息的一切准备工作。

(三)按照《省政务公开规定》和公众关心的问题,推进网上政务公开工作,确保了至少四年的法律法规、规范性文件,本年度重大事项,全部行政审批事项等上网工作。

(四)及时更新网站信息。将单位领导姓名、领导分工、领导工作电话和电子信箱、科室职责、科室负责任人姓名、科室工作电话和本单位职能等有变化的都及时进行更改公布;将提供面向企业和个人的办事表格在网上全面公布;将工作简报(《广电工作》)每期完整公布;在网站首页的显着位置设置了投诉监督电话。

三、政府门户网站建设

进一步完善了公众信息门户网站建设,并开通了局长信箱,市民可对我局的 等发表看法,也有热心市民给我们提出了很好的建议。

四、网络安全保密

鉴于我部门网络建设的实际,网络安全建设显得更为重要。

(一)实现了党政网与本局其他网络的物理隔绝。

篇7

关键词:网站建设;网站维护;病毒侵扰;访问授权

在信息时代,无论是经济生产领域,还是教育领域,其工作效率都成为衡量其发展水平的重要因素。在中学校园管理的过程中,完善建立校园网站,能够有效推动信息传播效率的提升,实现校内资源共享,提升校内师生之间交流效率,进而达到提升整体教学与管理水平的效果。在此基础上,需要确保校园网站的安全,基于网站建设实际,从建设与维护的角度提出安全策略,从而能够显著提升网站运营的安全性能。

1中学网站建设中的安全问题

1.1信息泄露

对江苏省盐城市某所中学中的网站应用状况进行了调查,结果显示,学校内部教师拥有的个人账户,设置的密码都较为简单,或是常见的短密码,一些教师甚至未更改初始密码,这就导致其他人能够十分容易破解大部分的登录密码,进而获取网站内学生、教师以及学校的相关信息。这种弱口令漏洞是导致中学网站信息泄露的重要因素。中学网站当中包含大量的学生信息、教师信息以及相关教学信息,一旦发生信息泄露事故,如一些学生破解教师的登录账号,从中获取考试信息,并进行大规模传播,这种事故极有可能造成学校的考试活动终止,即便继续进行,也会严重影响考试的公平性与考察效果。

1.2非授权访问

非授权访问的几种形式包括假冒身份、身份攻击、合法用户未经授权就进行相关操作、非法用户进入网站系统进行违法操作等,这种安全问题的后果包含信息泄露,但常常也会引发一些高危风险。造成这种安全问题的主要原因在于两个方面,其一是网络安全管理不足,其二就是网站建设过程中,采用的网络加密技术与安全防护技术等存在缺陷[1]。在中学网站当中存在此类安全问题,与用户群体的网络安全教育不到位有一定的关联,也存在部分利益主义的影响,进而对学校财产与师生身份信息的安全造成极大的威胁,严重污染了网站的使用环境。

1.3病毒侵扰

病毒侵扰是影响网站及计算机本身安全的重要因素,在一些信息化水平较高的中学,高中与初中的网站实行一体化建设,一旦遭遇病毒侵害,极有可能造成大规模的网络瘫痪,进而影响阶段内计算机的正常使用,影响课堂教学进度与质量,进而对教学效果造成极大的不良影响。病毒本身具有高隐匿性、传播迅速等特点,且会对计算机造成严重的损坏,进而造成严重的直接与间接的财产损失。有效管控病毒最直接的途径就是建立病毒防火墙,相应加强网络安全管理,最大程度避免病毒的出现与传播。

2中学网站建设与维护的安全升级策略

2.1加强网站的安全建设

加强中学网站的网络安全建设,要基于中学网站的建设与使用特点,在明确上述常见安全问题的基础上,有针对性地对其进行优化完善。例如,上述信息泄露问题当中提到的弱口令漏洞,可在网站系统当中设置密码过滤程序,在教师设置密码的过程中,有效过滤过于简单的密码,同时相应提示教师所设置密码能够达到的安全等级,对简单密码进行风险提示。360库带计划当中提出的密码复杂度验证问题,对此有很高的借鉴价值。对于非授权访问问题,可引进UniBDP等网络安全技术,对网内数据、口令、文件、控制信息等进行全面的保护。通过身份验证技术,有效防止出现用户越权操作的现象。在整个网站的使用过程中,要尽量实现访问全过程的安全监控与安全传输。现阶段采用的加密方式主要有三种,即链接加密、节点加密以及首位加密,这三种方式都能够达到相应的数据传输加密效果,各个中学的网站建设与维护人员,可综合自身建设实际,有针对性地选取、应用,达到相应的优化效果[2]。与此同时,在网站建设过程中,配套建设入侵检测,对访问用户的所有操作行为进行实时监控与记录,通过相关预制策略,对操作行为作出报警、阻断以及发送E-mail等响应,进而达到预防网络攻击的效果。对于病毒侵害问题,有效应用防护墙技术是必要措施,其技术原理如图1所示,利用其分离、限制以及分析的功能特点,对网站内部进行有效的监控,进而确保内部网络的安全。基于中学网站涉及信息量大以及信息重要等特点,有必要在有效应用防护墙技术的基础上,推动网络备份技术的有效应用。在应用过程中,要全面考察应用程序的性能,一份优秀的网络备份方案,需要在备份全部数据信息的基础上,保障网站顺利运行。备份系统的完善建立,能够避免由于网络故障或计算机故障造成信息永久性丢失,间接形成不必要的经济与教育损失。

2.2完善网站的安全管理

出于对学校网站安全管理的考虑,盐城市多所中学都制定了如下的网络安全漏洞监测制度:(1)校内所有的接入计算机,都要安装防病毒软件、垃圾邮件消除软件以及防黑客软件,同时要及时升级已安装的软件;(2)校内所有接入计算机严禁安装含病毒软件,计算机使用者严禁攻击其他联网主机、严禁散播病毒;(3)校园网站服务器必须安装防火墙系统;(4)网管中心的管理人员,要实时关注网络运行状况,定期病毒信息,对网站内部的安全漏洞进行有效检测,与此同时,网络管理人员还要具备修补安全漏洞的能力[3]。(5)网管中心的管理人员,要定期对网站的安全进行细致检查,及时发现问题,并能够做到及时处理问题。上述管理措施的优化与完善,能够在很大程度上避免中学网站当中的弱点,进而避免病毒的恶意定向侵扰。

2.3创新安全维护措施

总结中学网站建设与维护经验发现,故障问题在绝大多数情况下集中于Web服务器当中,这种故障形式,与其本身的设置之间存在一定的关联关系。网站运行过程中,Web往往会向用户提供过多的非必要功能选项,其自身防护措施过于简单,也是故障或入侵问题的主要诱发原因,所以要对其进行更为周密的保护。通过对Web服务器实施有效的保护措施,能够显著提升中学网站整体的安全性能水平,在这一阶段,首先要注意硬件设施的优化选择,硬件设施的性能,直接关系到其应用过程中的流畅度与安全程度;其次,在对Web服务器进行功能配置的过程中,可优先分析中学网站建会遭到恶意修改。

2.4基于云客户端个人数据存储设备的保护措施

2.4.1加固主机系统安全(1)设置账号口令,将登录密码设为三重加密,即BIOS密码、系统启动密码以及系统用户密码,密码要包括大小写字母、数字或是特殊符号等,并且禁止在主机上使用USB以及光驱等移动存储设备。(2)对系统账户进行优化并删除不安全账号信息。(3)关闭自动播放与资源共享以及非必须服务。(4)禁止非授权用户操作,并且禁止系统进入安全模式。2.4.2加密并隐藏重要文件与文件夹按照不同保密需要及时隐藏硬盘分区以及重要的文件与文件夹。删除存储设备中不需要的文件,要确保删除彻底,防止被恶意恢复,比如运用360强力删除软件就可以实现。

3结语

基于云计算的个人信息泄露不单单是技术问题,只靠安全公司进行技术维护是不切实际的,通过强化个人信息安全防范意识、制定相关的法律法规等手段,才能够保障个人信息的安全。

参考文献

[1]王芸.网络环境下的个人信息保护研究——以“人肉搜索”案为视角[D].杭州:浙江大学,2011.

[2]王有刚.云环境数据服务中隐私保护相关技术研究[J].现代情报,2016,19(11):22-29.

篇8

【关键词】电力企业信息安全管理策略

电力是国民经济的命脉,电力系统的安全稳定,不但直接关系到国家经济的发展,还对民众的日常生活有着巨大的影响。当前随着电力企业市场业务的不断开展,其与互联网的联系也越来越密切,但互联网存在着很大的自由性和不确定性,可能会给电力企业带来潜在的不安全因素。而当前电力企业的信息安全建设仅仅停留在封堵现有安全漏洞的阶段,对于系统整体的信息安全意识还不够。因此有必要对电力企业信息系统整体安全管理进行分析研究,有针对性的采取应对策略,确保电力企业网络信息可以实现安全稳定运行。

1做好安全规划

做好电力企业的网络安全信息规划需要做到以下两点:

(1)要对电力企业的网络管理进行科学合理的规划,要结合实际情况对电力企业的网络信息安全管理进行综合考量,从整体上对网络信息安全进行考虑和布置。网络安全信息管理的具体开展主要依靠于安全管理体系,这一点上可以参照一些国外经验;

(2)电力企业因自身的独特性质,需要使用物理隔离的方法将内外网隔离开来,内网方面要合理规划安全区域,要结合实际情况,将安全区域划分成重点防范区域与普通防范区域。电力企业信息安全的内部核心是重点防范区域,在此区域应当设置访问权限,权限不足的普通用户无法查看网页。重要的数据运行如OA系统和应用系统等应该在安全区域内进行,这样可以保证其信息安全。

2加强制度建设

安全制度是保障電力企业网络信息安全的关键部分,安全制度可以提升企业员工和企业领导对网络信息安全的意识,电力企业需要将安全制度作为企业的工作核心,要结合当前的实际情况,建立起符合电力企业网络信息安全的管理制度,具体操作如下:

(1)做好安全审计,很多入侵检测系统都有审计日志的功能,加强安全制度建设就需要利用好检测系统的审计功能,做好对网络日常工作的管理工作,对审计的数据必须要进行严格的管理,不经过允许任何人不得擅自修改删除审计记录。

(2)电力企业网络系统需要安装防病毒软件来保障网络信息的安全,安装的防病毒软件需要具备远程安装、报警及集中管理等功能。此外,电力企业要建立好网络使用管理制度,不要随便将网络上下载的数据复制在内网主机上,不要让来历不清的存储设备在企业的计算机中随意使用。

(3)电力企业的管理者要高度重视其企业的网络安全制度建设,不要把网络信息安全管理仅仅看作是技术部门的工作,企业中应建立起一支专门负责网络信息安全的工作领导小组,要做好对企业内所有职工的培训,最好能让每一名职工都拥有熟练掌握网络信息安全管理的能力。企业管理者要明确相关负责人的工作职责,定期对网络安全工作开展督导检查,管理制度需要具备严肃性、强制性和权威性,安全制度一旦形成,就必须要求职工严格执行。

3设置漏洞防护

随着当前计算机网络技术的迅速发展,很多已经投入运行性的网络信息系统和设备的技术漏洞也随着网络技术的不断发展而日益增加,这在很大程度上给了不法分子窃取电力企业网络信息系统数据的机会,对此电力企业需要做好以下两项工作:

(1)电力企业需要利用一些漏洞扫描技术来维护企业的网络安全,要对企业的网络信息系统经常开展扫描工作,从而及时发现系统漏洞并完成修复。这样可以提升企业网络信息安全系数,不但能阻断不法分子入侵企业信息系统的途径,还可以使企业避免需要经常性更换网络信息系统设备可能增加的经济负担,从而促进企业实现长远发展;

(2)电力企业需要提升对网络信息安全的风险防范意识,增强企业应对突发事件的应急处理能力,针对不同的信息安全风险需要设置好不同的预警机制。要定期检查企业的网络信息安全技术,防止网络安全漏洞的出现。还要及时做好对网络信息防护新手段的更新工作,从而提升企业网络信息系统的保护强度。

4提高管理手段

科学合理的企业网络信息安全管理手段不仅可以维持电力企业的工作进度,还能有效规避企业网络信息中所存在的安全隐患。提高企业网络信息安全管理手段需要做到以下两点:

(1)建立入侵保护系统IPS,提升企业网络信息安全管理指标。在电力企业网络管理系统中建立网络入侵保护系统IPS,可以为网络信息提供一种快速主动的防御体系,IPS的设计理念是对常规网络流量中携带的恶意数据包进行数据安全检测,若发现可疑数据IPS将发挥网络安全防御功能,来阻止可疑数据侵入电力系统的网络信息系统。与常规的网络防火墙相比,IPS具备更加完善的安全防御功能,其不仅能对网络恶意数据流量进行检测还能够及时消除隐患。此外,IPS还能为电力企业的网络提供虚拟补丁,从而预先对黑客攻击和网络病毒做出拦截,保证企业的网络不受损害;

(2)电力企业要加大对新型网络信息安全技术的研发投入,在组建企业网络信息安全系统时,要对系统各组成部分做严格检查,确保设备符合安全标准。对于组建网络信息系统所需要的设备和部件则必须要求供应商提供相应的安检报告,严防设备和部件的安全隐患。对于企业已投入使用的系统和设备,必须定期做好检查,以确保安全系统能够顺利有效的开展防护工作。

5总结

综上所述,本文通过维护电力企业网络信息安全管理的相关策略进行研究发现,运用做好安全规划、加强制度建设、设置漏洞防护和提高管理手段四项措施可以起到提升企业网络信息系统的保护强度、建立起符合电力企业网络信息安全的管理制度从而确保安全系统能够顺利有效的开展防护工作的良好效果,希望本文的研究可以更好的提升我国电力企业的网络信息系统的安全管理水平,为维护我国电力系统的安全运行做出贡献。

参考文献 

[1]郑玉山.电力企业网络和信息安全管理策略思考[J].网络安全技术与应用,2017(06):121+123. 

篇9

关键词:财政信息化建设;计算机网络;信息安全

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2008)16-21205-02

Local Finance computer Network Security and Countermeasures

XIE Jiao-hong, WU Yan-min, YAN Hao

(Information Center of Dalian Finance and Taxes,Dalian 116001,China)

Abstract:With the rapid development and extensive application of information technology, LocalFinance computer Network application rapid development. Network information security is obviously lagging behind in network building. Based on the current situation of the local finance computer network security and discussed the existing problems and threats, In view of these problems and the corresponding solutions strategy.

Key words: Finance Information Construction ;computer network; Information security

随着我国财政信息化建设突飞猛进的发展,地方财政计算机网络应也用快速发展,计算机网络信息的安全问题变的尤为突出和重要,由于网络本身的诸多特性,如共享性、开放性、复杂性等,网络信息系统自身的脆弱性,如操作系统的漏洞、网络协议的缺陷、通信线路的不稳定、人为因素等,给网络信息系统的安全带来了严重威胁。因此网上资源的安全和保密是显得尤为重要,如何保护重要的数据、提高计算机网络系统的安全已成为计算机网络应用必须考虑和必须解决的问题。

1 地方财政目前计算机网络信息安全存在的威胁

网络安全所面临的威胁来自很多方面,总体来讲这些威胁可以分为人为威胁和非人为威胁。

1.1 人为威胁

现对大连市财政局计算机网络进行充分调查分析,总结了其面临的人为威胁主要分为以下几类:①内部人员安全威胁。内部人员安全威胁往往由内部人员造成,他们具有对网络信息系统的合法访问权限。内部安全威胁分为恶意和非恶意两种。恶意内部人员攻击是指出于各种目的而对所使用的信息系统实施的攻击;非恶意威胁则是由于合法用户无意行为造成了对网络信息系统的攻击,主要由于误操作、经验不足、培训不足而导致对系统造成了无意破坏②被动攻击。这类攻击主要包括被动监视开放的通信信道(如:无线电、卫星、微波和公共通信系统)上的信息传送,例如:监视通信数据、口令截获。③主动攻击。攻击者主动对信息系统实施攻击,包括企图避开安全保护,引入恶意代码,以及破坏数据和系统完整性。例如:修改在传输、存储、处理过程中的数据,破坏了政令、社情信息的完整和准确性。④临近攻击(接近攻击)。此类攻击的攻击者试图在地理上尽可能接近被攻击的网络、系统和设备,目的是修改、收集信息或者破坏系统,临近攻击最容易发生在没有良好保安措施的地方,临近攻击最典型的例子有:偷取磁盘后又还回、偷窃屏幕信息、收集作废的打印纸、物理毁坏通信线路等。⑤分发攻击。这种攻击是指在软件和硬件的开发、生产、运输和安装阶段,攻击者恶意修改设计、配置等行为。作为地方财政尤其要注意使用合法的软件产品,从正式厂家选购硬件产品,由有资质的集成商提供外包服务。否则,设备、软件的采购和交付,系统建设等阶段都可能出现构成安全威胁的行为,例如:在开发制造商的设备上非法修改软硬件配置、在产品分发、安装时非法修改软硬件配置等。

1.2 非人为威胁

非人为威胁也可分两类,一类是指来自于各种自然灾害,一类来自于信息技术的局限性、漏洞和缺陷。恶劣的运行环境、电磁辐射、电磁干扰等方面的威胁,典型的自然灾难包括:地震、水灾、火灾、风灾等自然灾难可以对信息系统造成毁灭性的破坏。另外,同所有技术一样,信息技术也不是十全十美的,它的局限性、漏洞、缺陷,人们很难预先知道。典型的漏洞包括:系统、硬件、软件的技术漏洞、实现漏洞和配置漏洞。信息系统的高度复杂以及信息技术的高速发展和变化,使得信息系统的漏洞成为严重威胁信息系统安全的最大隐患。

2 地方财政计算机网络信息安全防范措施

2.1 技术措施

目前最具有代表性的网络安全技术主要有:防火墙、网络入侵检测、防病毒网关、漏洞扫描系统、安全审计系统、终端安全管理系统、CA身份认证授权系统、网页防篡改系统,图1是大连市财政局网络安全拓扑图:

大连市财政局网络安全建设是基于ISSE(Information system security engineering)信息安全体系的设计思路,通过统一协调的安全策略形成动态的纵深安全防护体系。其实现流程示意如图2所示:

从图中可以看出外部访问大连市财政局财政内部网络的信息通过加密的方式首先流经具有VPN功能的防火墙,根据我们预设的规则,对访问请求进行规则匹配,符合规则放行,否则阻挡丢弃,此时外部符合防火墙规则的信息流进入内部网,这时入侵检测产品在不占用网络带宽的情况下对包括内外用户的信息流进行通用应用侦测,并对具有攻击行为的TCP连接进行阻塞,同时通知防火墙更新规则阻断后续攻击,通过入侵检测侦测的用户访问信息流接下来进行基于用户的身份认证和财政专用的应用审计确定用户的相关访问控制权限,然后用户访问信息流通过中间件平台对财政信息资源数据库进行访问,在访问过程中还要经过核心防火墙的访问规则过滤和遍及全网的防病毒检测和查杀;网关人员可根据安全产品的日志、警告等随时调整规则已便更好的达到动态的纵深安全防护体系。

它的技术设计不是一劳永逸的,是有其生命周期的,我们可以通过ISSE安全建设设计思路保证该安全建设项目是一个动态的、环状闭合的ISMS(信息安全管理体系)。

2.2 管理措施

一个强健而完整的信息安全保障体系仅有先进的科学技术保障手段是不够的。技术本身是信息安全体系的一部分,是辅助实现信息安全的手段。在人员不经过系统培训,没有运行程序指导其应用的情况下,信息系统配备的各种安全措施并没有多大价值。而人是信息安全系统的使用者,是信息安全中最活跃的因素。统计结果表明,在所有的信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成,而70%-80%是由于内部员工的疏忽或有意泄密造成。人,特别是内部员工可以是对信息系统的最大潜在威胁。反之,通过以人为本的有效的信息安全管理,人也可以是信息系统最可靠的安全防线。安全管理能够充分发挥系统安全设备和安全技术措施的作用,有效的程序性安全机制更可以弥补安全设备和技术措施的不足,减低信息系统安全的剩余风险,使网络及计算环境的安全运行得到保证。因此要建立安全的计算机网络系统,必须有完善的规章制度,同时,无论是系统管理人员还是使用者养成良好的计算机使用习惯也是重要的安全防范手段,提高工作人员的保密观念和责任心,严守操作规程,防止人为事故的发生。还要加强对信息的安全管理,对各种信息进行登记分类,有绝密、机密、秘密和非秘密信息,对有密级数据从采集、传输、处理、存储和使用等整个过程,都要对数据采取相应的安全措施,防止数据有意或无意泄露。

2.3 完善物理安全措施

物理安全管理是系统安全管理的重要组成部分,它包括网络和基础设施、计算环境设施、支持性基础设施的物理安全。它是为了防止未授权个人或团体以更改、收集或拒绝访问信息为目的,物理上接近网络、系统或设备,破坏、修改或盗窃网络基础设施、业务系统服务器或应用软件,或者窃取各种介质(如磁盘、光盘、硬盘)上的重要数据。物理安全管理可以采取以下措施:①规定信息安全区域。应区分公共区域,内部办公人员区域及保护区域。在限制的内部办公人员区域及保护区域设立相应的出入控制制度。在机房等保护区域的门禁制度应更加严格,可以要求出入人员提供身份证明,并对其出入时间和进入原因、完成什么工作进行记录。②指定专人对机房内各种设备进行管理,列出机房设备清单,对设备进行标注,对各设备的配线连接和配置进行记录。③指定专人负责机密信息和数据的载体,如备份磁盘、光盘、硬盘等的保存、传输和销毁,制订出相应的操作规程。

3 结束语

计算机网络信息安全是一个复杂的系统工程,它涉及管理,制度法规,物理环境等诸多方面因素;以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。是一个综合性很强的工作。任何安全系统都不可能提供一劳永逸的安全保障,随着技术的发展,安全问题也层出不穷,只有各个方面结合起来,相互弥补,不断完善,才能有效地实现网络信息的安全。

参考文献:

[1] 信息技术-安全技术-GB/T.18336-2001. 信息技术安全性评估准则.

[2] 中华人民共和国财政部《政府财政管理信息系统安全总体标准》.

篇10

关键词:网络安全 网络建设 安全 策略

1 引言

随着信息技术的广泛应用,对信息技术的依赖性越来越大,信息安全问题日益突出。如何对计算机网络系统的安全特性进行评估成为一个迫切而具有挑战的课题。

对于来自外部的威胁,可以采用防火墙、入侵监测等产品。但对于来自内部人员(合法用户)的一些误操作,滥用权力,有意犯罪,越权访问机密信息,或者恶意篡改数据,缺乏管理机制,这些更加难以防范。需要相关的安全审计产品予以监督,能够做到时候有据可查,对于误操作、或者恶意事件能够追溯,也可以对内部人员的操作起到很好的警示作用。

2 信息安全保护技术概述

网络安全的防护主要是防止内部的网络系统或对外的网络系统遭受到攻击或者非法的侵入,从而造成数据的泄露,这些敏感数据的泄露会对国家的安全产生很大的影响。所以首先要解决的问题就是要防止内部敏感数据信息的非法复制和泄露,还要能够防御外部人员的非法入侵,做好系统网络的安全防护工作[1-2]。

3 网络安全的现状分析

目前,网络系统内主要运行的网络协议为TCP/IP协议,而TCP/IP网络协议并非专为安全通信而设计。所以,网络系统可能存在的安全威胁来自以下方面:

(1)物理层的安全威胁

物理层的安全威胁,主要来自对物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)、电磁辐射等,针对这类威胁主要依靠物理设备和线路的保护以及设备防电磁辐射技术来防范,建立完善的备份系统。

(2)网络层的安全威胁

网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或窃听,对于这类威胁,主要依靠采用访问控制、网络信息检测和监控的手段来防范、划分VLAN(局域网)、加密通讯(广域网)等手段来进行防范。

(3)操作系统和数据库管理系统的安全威胁

目前流行的许多操作系统和数据库管理系统均存在安全漏洞,对付这类的安全威胁最好采用安全的操作系统和安全数据库管理系统。

(4)应用平台的安全威胁

应用平台的安全威胁主要包括建立在网络系统之上的应用软件服务,如文件传输服务器、电子邮件服务器、Web服务器等存在安全问题。通常采用OS安全增强技术、SSL技术等来增强应用平台的安全性。

(5)应用系统的安全威胁

应用系统完成网络系统的最终目的是为用户服务。主要采用各种基于PKI的技术、加密技术、防火墙技术等等来保证信息存储安全,通讯双方的认证,审计等。

(6)系统安全管理上的漏洞威胁

一个网络系统虽然采用了很先进和严密的安全技术措施,但是由于内部人员使用不当或安全管理员疏忽,对安全策略设置不严密、管理制度不健全,都可能给系统带来安全漏洞或安全隐患,这就需要系统安全管理员要有极强的责任心加强对系统安全管理 [3]。

4 计算机网络的安全策略

4.1 物理安全策略

在保留原有的安全技术措施的基础上,在接入交换机上采用IP+MAC进行绑定的方式进一步控制非法用户的接入,对于不在使用的空余交换机端口全部采用DOWN方式,完全可以控制非法用户的接入。

4.2 访问控制策略

IP+MAC绑定功能可以简化网管人员的工作,因为限制了客户机的接入,既增加了网络的安全性、又减少了IP冲突的可能。在实际的配置中,可以通过中心的网管软件,实现IP+MAC的端口绑定,对于不用的端口全部DOWN掉。

当非法用户1接入已经DOWN端口的交换机时候,不会有任何的物理连接,非法接入行为不会发生。

当非法用户2接入到正常使用的交换机端口后,首先终端管理软件会提示IP地址冲突并阻断接入的行为。

当非法用户2通过仿冒正确IP的方式接入到交换机端口后,交换机系统会根据预设的IP地址+MAC地址,进行检查比对,发现不一致后会立即阻断仿冒IP接入的非法行为。

4.3 网络安全管理策略

安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。

网络安全管理系统分为三个层次:管理层、接入层和远程访问。

(1)管理层

由2台集中认证控制管理平台构成。提供用户集中的访问管理门户,所有的远程KVM会话,串口会话,带内控制会话和电源管理操作,全部在认证控制管理平台上操作完成;同时,所有用户要进行以上的操作,必须要经过系统的集中认证后,才能登陆。所有的操作全部会被记录至管理平台。

(2)接入层连接

机房内所有服务器的键盘、鼠标和显示器接口都通过一根服务器接口线缆获取KVM信号,接口线缆再通过普通五类线连接至设备。设备的本地控制端口连接控制台,提供用户在机架旁的本地化管理。机房内所有网络设备的接口都通过一根串口转借线缆获取串口信号,再通过普通五类网线连接至串口管理设备。所有设备的双电源连接至电源管理设备。

(3)远程访问

远程IP操作用户只需要在IE浏览器内输入主认证服务器的IP地址经过权限认证后即可对机房内的所有的各类服务器和网络设备进行集中统一管理。不同的IP用户都通过开放式的Web浏览器只需鼠标点击即可访问到机房内相应的设备,通过简单的用户分组和权限设置后不同部门的操作用户根据各自权限的不同可以访问各自不同部门的设备。

远程用户通过认证控制管理平台,还可以实现对机房设备的电源进行集中管控,可以实现远程开、关和重启等操作,并可以统计设备的端口电压和电流。实现最小化访问权限控制,实现从单点技术管理、普通系统管理、区域本地管理过渡到全面集中管理、安全系统管理和远程控制管理。

5 总结

本文以中小型网络建设和安全防范的实例为基础,探讨了网络建设的基本思路,分析了网络不同层次和不同系统中当前网络存在隐患和威胁,并设计了相应的防范对策,从而提出了网络安全建设的基本方案。

参考文献:

[1]张锦蜀.军工企业信息网络系统安全的研究和解决方案[D].电子科技大学,2010-03-01