网络安全管控体系范文

时间:2024-01-04 17:45:06

导语:如何才能写好一篇网络安全管控体系,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全管控体系

篇1

关键词:地县一体化;后台网络;MAC地址绑定;安全管控

中图分类号:F270.7 ; ; ; ; ;文献标识码:A ; ; ; ; ;文章编号:1007-0079(2014)17-0123-02

调度是智能电网六大环节(发电、输电、变电、配电、用电和调度)之一,是电网运行的中枢,指导电力系统的整体运行,负责系统内重要操作和事故处理。调度自动化系统作为电网运行控制的基础,其性能好坏对电网的安全经济运行起着重要作用。

为满足国家电网公司“大运行”体系建设的要求,实现调控运行的“标准化、一体化建设,精益化、集约化管理”,合理利用调度自动化系统建设资金,优化配置大二次系统运行维护资源和技术资源,近年来许多地区开展了地县调控一体化自动化系统建设。地县调控一体化自动化系统建设的快速推进使计算机网络成为电网调度机构的主要技术支撑平台。随着地区调度自动化系统后台网络覆盖面快速扩大,系统接入信息点数量倍增,系统后台网络的安全隐患也在逐渐增大。系统网络应用和功能不断增加,促使电力生产对调度自动化系统后台网络的安全性、稳定性、可靠性提出了更高的要求。[1]本研究通过分析地县调控一体化自动化系统后台网络安全现状,采取相应的技术措施完善交换机配置,并制定配套的设备接入管理措施,为地县调控一体化自动化系统后台网络管理工作提供了一种行之有效的安全管控策略。

一、当前系统网络安全存在的问题

在地县调控一体化自动化系统中,后台网络作为整个系统的骨架,承担着传输前置实时数据以及后台同步数据的重要责任,是实现自动化数据采集和系统有序工作的基础设施,网络的安全稳定是保证地县一体化系统安全、正确运行的基础。据统计,目前地县调控一体化自动化系统后台网络安全工作存在以下几个问题:第一,调度自动化系统实行地县调控一体化后,任何一台存在错误配置的服务器或工作站接入后台网络都可能引起自动化系统SCADA(数据采集与监控)服务器消息接收异常,严重时甚至会带来网络风暴,影响整个一体化系统的运行。由于缺乏规范的设备接入管理措施,该类故障发生后故障源难以快速定位,对调控运行人员的监控工作带来影响。第二,调度自动化系统后台网络接入信息点的增多,超出了网络管理员的人工监管范围。许多县局存在私自从接入层交换机或现有接入点挂接HUB等网络设备的情况,任意接入或搬移工作站的行为在给系统安全带来威胁的同时也会导致自动化资产管理混乱。第三,外部人员(如厂家)所携带的计算机设备随意接入后台网络,极有可能给电力调度自动化系统带来病毒、木马甚至恶意攻击。[2]第四,地县调控一体化运行模式实施后,每个地区分别配备两台接入交换机。除地调接入交换机与地县一体化汇聚交换机置于地调外,其他接入交换机分别布置于备调及各个县局。当前接入交换机设备未开启远程访问功能,给网络维护人员的故障排查及处理带来困难。同时,接入交换机设备未配置任何登陆身份认证机制,交换机配置可轻易被篡改,存在安全隐患。

综上所述,网络维护人员急需对地县调控一体化自动化系统后台网络采取一定的整改措施,以实现对网络中接入的交换机、工作站及服务器等设备的有效管理,确保一体化系统后台网络的安全稳定运行。

二、制定解决方案及措施

地县调控一体化调度自动化系统改变了过去地区、县局自动化系统分散建设的模式,其网络运行、维护管理模式也必须与之相适应,做出适当调整。本文提出的地县调控一体化自动化系统后台网安全管控策略通过对调度自动化系统后台网交换机实施一系列的安全措施,同时配合后台网设备接入相关管理流程的制定,达到对后台网的安全管控目的,防止电网调度自动化系统后台网遭受非法设备入侵。

1.主要实施步骤

一是开启基于口令的SSH远程访问功能,设置交换机console口登陆密码与IP访问控制表,指定所有接入层交换机只能通过地调指定服务器进行远程登陆访问。该措施可有效提升网络设备的安全性,并缩短网络故障排查及处理时间。二是通过交换机指令查询各端口的状态信息。根据图1所示方法对交换机端口进行归类,制作《地县调控一体化后台网设备接入信息表》。表格主要登记了一体化系统后台网络所有接入层交换机各端口的设备连接信息,内容主要包括接入设备的机器名、IP地址、MAC地址、所连端口号、所连交换机名称等。然后关闭无任何设备连接的闲置端口。三是核查《地县调控一体化自动化系统后台网工作站接入信息登记表》的信息与实际情况是否相符,纠正不正确的设备连接,并及时更新信息登记表。四是根据核查更新后的《地县调控一体化自动化系统后台网工作站接入信息登记表》,对有设备接入的非级联端口进行端口MAC地址绑定,交换机级联端口不做绑定。

2.交换机配置方法

本文提出的后台网络安全管控策略的关键措施是实施了交换机端口MAC地址绑定技术。以下以思科C3560交换机为例阐述该技术的主要实现方法:[3]

(1)当交换机端口只连接一台工作站时,可进行如下配置:

Switch#config terminal

Switch(config)#interface 端口号

//输入配置端口号

Switch(config-if)#switchport port-security mac-address Mac地址//给端口添加安全MAC地址

Switch(config-if)#switchport port-security maximum 1 //限制此端口允许通过的MAC地址为1

Switch(config-if)#switchport port-security violation protect //丢弃违规访问设备的数据包,不发警告

(2)当交换机端口通过挂接HUB或其他交换机设备(非接入交换机)连接多台终端设备时,使用如下配置方法:

Switch#config terminal

Switch(config)#interface 端口号//输入配置端口号

Switch(config-if)#switchport port-security mac-addressMac地址1 //给端口添加安全MAC地址1

Switch(config-if)#switchport port-security mac-addressMac地址2 //给端口添加安全MAC地址2

Switch(config-if)#switchport port-security mac-addressMac地址N //给端口添加安全MAC地址N

Switch(config-if)#switchport port-security maximum N //限制此端口允许通过的MAC地址数量为N

Switch(config-if)#switchport port-security violation protect //丢弃违规访问设备的数据包,不发警告

三、制定相应的安全管理流程

接入交换机安全配置的完善及端口安全技术的实施是一个可行的局域网管理方法,但在使用该策略时,必须建立配套的管理制度并有效执行,这样才能使该安全策略起到良好的持续的效果。[4]本文提出的安全管控策略除了实施相关技术措施外,还制定了配套的管理措施:

第一,根据《地县调控一体化自动化系统后台网工作站接入信息登记表》绘制了《温州地县调控一体化自动化系统后台网交换机连接拓扑图》及各接入层交换机设备连接状况拓扑图,为网络维护与故障排缺工作带来极大便利。第二,制定《地县调控一体化后台网设备接入管理规程》,规定当新设备需接入后台网或老设备需更换接入端口时,必须按要求填写《地县调控一体化后台网设备接入申请表》,地调侧网络管理人员与县调侧维护人员确定设备接入时间后,按照申请表信息对相应交换机进行具体安全配置。当有多台设备需要接入网络时须按顺序逐台连接。每接入一台设备必须检查地县调控一体化自动化系统应用及网络状态是否异常,若一切正常再继续接入第二台设备。若系统有异常现象出现(如其他工作站的网速被明显拖慢),则立即将该设备断网,检查该设备是否存在配置错误,错误消除后方可接入后台网,以此实现对接入设备的风险管控。

自动化网络管理员对交换机实施安全措施的流程如图2所示。

四、 结语

基于地县调控一体化调度自动化系统的后台网安全管控策略目前已实际应用于温州地县调控一体化自动化系统的网络安全管理。该策略的实施有效降低了温州地区自动化系统后台网络的故障发生率,提升了网络运行的稳定性,并推进了地县调控一体化建设管理工作的规范化。

参考文献:

[1]叶芸.浅议电力调度自动化网络安全与实现[J].科技传播,2011,

(4):161-162.

[2]张才俊.交换机端口安全策略在网络中的应用案例[J].科技资讯,2009,(31).

[3]汪宇昕.MAC地址与交换机端口的绑定――交换机端口安全配置[J].统计与管理,2009,(10):28.

篇2

可信专用网TPN(Trusted Private Network)系统是针对“全网行为管理”的网络安全系统,该系统将VPN技术、边界行为管理、内网行为管理及主机控制技术融为一体,借助处于网络边界位置的TPN安全网关和安装在每台主机上的主机威胁引擎的联动体系,将本地局域网、远地局域网、移动接入节点的资源和安全策略进行统一管理,一体化解决全网的边界威胁、内网威胁、主机威胁和接入威胁的防护问题,确保用户的网络平台可信、可控、可管。

在内网和主机行为管理方面,TPN具有强制身份认证、实时动态主机风险评估、主机准入控制、主机程序管控、洪流病毒爆发隔离、防ARP欺骗、补丁自动升级、内网主机端口控制、非法外联和非法接入管控等功能。

在边界行为管理方面,TPN具有全功能状态监测防火墙,软硬联动的动态访问控制机制,基于从用户到角色再到资源的访问控制、基于角色的QOS管理和内容过滤功能。

在VPN接入网行为管理方面,TPN可对通过VPN接入的外网用户进行安全评估的“准入控制”。对全网进行可信管理,使安全策略在全网所有接入点统一管理,使安全等级大幅提升。

在全网行为审计方面,TPN的网络行为审计系统,实时接收并分析来自TPN网关的大量日志和数据,提供包括威胁报告分析、用户流量分析、URL访问分析、系统日志分析在内的各种审计报告;

产品特点

基于“TPN安全网关”和“主机威胁引擎”联动的安全体系。

该体系避免了依靠单一网关防御,或单一客户端防御而形成的功能瓶颈,充分发挥出了网关和客户端的各自优势。

完备、统一和可扩展的安全认证体系。

TPN系统构建了一个完备的认证体系,包括USBKEY、CA证书、LDAP/Radius等多样化的认证方式,多种认证体系支持授权机制。更为重要的是,TPN具有标准接口以支持可扩展性,以便提供多种认证体系协同工作和串行处理等多样化认证功能,以及方便研发人员开发的标准化对外接口。

高效、准确、大容量、易扩展的程序系统管控。

TPN系统可对木马后门、间谍软件、安全扫描、嗅探检测、蠕虫等威胁软件进行严格管控,用户可定义不允许运行如聊天、下载游戏等公司规定的禁用软件。为了保证PC的系统安全,用户可定义强制运行防火墙、杀毒软件等软件。

基于“角色”的动态访问控制,减少了配置任务量,并提高系统的可维护性。

独有的风险评估和准入控制技术,是安达通TPN系统中的独创技术,可与“主机风险评估”技术结合使用。全网用户(远程移动接入用户和总部内网用户)登录TPN时,首先需要通过恶意程序和补丁级别、端口等风险评估检查,只有达到TPN系统规定的安全级别,用户(特别是VPN接入用户)才能够顺利接入到总部,以确保各种威胁不会被带进内网。

丰富的主机控制功能,除了对软件程序进行监管和控制之外,TPN还能监测主机的非法外联、风险评估、补丁分发,以及外设的使用情况等,并可进行相应控制。自动隔离染毒主机,成为网管的好帮手。

篇3

【关键词】 信息系统 信息安全 关键技术 管控

一、信息系统信息安全关键技术相关分析

(一)现状和存在的问题。(1)信息系统没有建立完善的信息安全管理规范。对于信息系统的安全运行来说,建立一个完善的管理规范是非常必要的,它可以指导整个信息系统正确运作,保证其安全性。(2)企业的网络安全意识不到位,需要进一步提高。信息技术发展速度是非常快速的,在技术与安全策略方面已经取得了很大的进展,但是,很多员工对于网络技术各方面的认识还不够,尤其是对很多新的信息安全认识不到位。(3)需要建立一个与信息系统相匹配的信息安全体系。信息系统的类别是比较多的,只有与不同的类别特点相适应的安全管理体系才能发挥出最大的作用。另外,在企业的内网与外网之间建立一定的隔离也是非常有必要的。

(二)密码保护措施。当开始进行网络交易的时候,我们最应该担心的就是怎样才能使交易更加安全,数据信息不会受到侵袭、篡改以及切取等。因此,我们应该重视网络信息安全的管理。(1)DES快速加密。在数据的加密和解密方面,DES资料加密的速度是非常快速的,我们从AES候选算法的测试结果可知,软件加密的速度可以达到每秒十兆或十兆以上。由于该算法是公开的,因此,制造商可以降低很多成本就能实现加密,因此,这种芯片被大量生产和运用在信息系统中。(2)RSA数字签名。DES加密的一个最大缺点就是密匙分发与管理通常比较困难,价格也比较高。而RSA加密系统的特点就是加密的钥匙与解码是不一样的。在密匙的分发与管理上尤其简单,可以实现数字签名,从而使信息数据可以更加完整,因此,这一加密系统在电子商务领域得到广泛使用。

(三)安全防范措施。(1)防火墙。防火墙是一种处于内网与外网之间的系统,主要目的是保证内网可以安全有效地运行。防火墙可以提供可以进行控制的网络通信,一般只会允许得到授权的通讯进入。通常,防火墙主要包括滤油器、网关等等。(2)身份认证。身份认证技术主要是针对主机和终端用户的一种技术。为了确保网络安全,网络资源一定要得到授权以后才能使用,另外,如果没有得到授权则是没有办法进入网络的,也没有办法使用相关的网络资源。在认证过程中主要采用口令、密匙等方法确认身份。

二、信息系统信息安全关键技术的管控措施

(一)加强技术手段的防控措施。(1)设置安全的密码保护。在网络安全中,密码的安全显得尤为重要。如果密码不小心被泄漏,网络系统很有可能遭到入侵。因为穷举软件的广泛使用,Root的密码要求相当高,最少的密码设置也要十位数,而一般的用户密码设置也至少是八位数,另外还要求具有英文字母、数字、符号等加入其中。另一方面,要求用户不能将自己的姓名、生日等简单的信息作为密码。(2)提高职员的网络安全意识。由于思想上面放松警惕,很有可能给网络安全带来重大隐患。另外,设置一些不恰当的密码、把密码写下来、将密码存在电脑中、长时间不换密码等都是错误的行为,很可能让一些非法用户进入到企业的信息系统中。(3)对于网络的端口和节点进行实时监控,严密检测信息的流向。同时,要定期、不定期地检查信息网络、对日志进行审计,进行病毒扫描、重要数据备份等都是非常重要的。因此,对于企业的信息网络安全来讲,建立完善的安全管理系统是具有重要作用的。

(二)加强管理手段的管控措施。(1)信息系统主要可以通过内部的局域网和其他的监控系统联系在一起。通过信息数据的调度可以实现不同级别、不同地区的信息数据互联。信息监控系统与其他的一些系统通过网络连接在一起的时候,一定要根据相关部门的认证进行,并采取一定的隔离措施。(2)建立比较完善的信息调度数据网络,可以在专用的内部网络上建立组网,使用专线、准同步数字序列以及同步数字序列等等方式使内部网络与公用信息网络建立起物理隔离。(3)信息监控系统以及信息调度数据网络不能接入网络,此外,不能使用电子邮件。

信息系统是一个比较重要的网络系统,它的网络安全性也比较重要。其中的关键技术运用对于安全保障是一个重要措施。因此,我们可以通过采用不同的手段来确保信息系统的安全、可靠、完整,例如防火墙、密码设置等等,这些方法只要使用恰当便可以有效保障信息系统的网络安全。

参 考 文 献

篇4

企业实施信息化工程规划为复杂大规模的系统工程,应基于信息工程理论为科学引导。该理论为二十世纪八十年代美国学者提出,并研究开创了企业管理模型、数据以及过程模型。相比于以往软件工程,信息工程理论外延更为广泛,实现了多重技术以及学科知识的全面融合。本文基于该理论进行了制造业企业信息化工程规划模型的探讨分析,研究了业务以及数据模型,对企业的持续全面发展,具有重要的实践意义。

2信息化系统框架

基于战略发展目标、企业业务要求以及信息化标准,立足全局,由功能、信息体系以及设施架构等层面做好科学规划。功能架构为制造企业信息系统发挥丰富功能的核心整体,包括内部信息、供应链管理以及决策支持体系等。信息体系为各个子系统的集合组成,基于数据以及应用互相分离,还可将其划分成应用体系以及信息资源架构。前者实现资源应用,有效应对现实问题,将整体应用体系进行了综合描述。后者核心内容为数据建模,借助数据库设计完成各类资源的科学组织以及有效维护。基础信息体系架构对企业处理信息综合能力以及实践水平产生作用影响,包括硬件、网络系统以及软件。

3制造企业信息化工程规划

制造企业基于信息工程理论下的信息工程规划涵盖生产过程、管理信息化、办公、集成管理以及硬件建设等内容。其中生产过程涵盖辅助设计体系、工程体系、工艺以及制造体系、柔性生产、仓库管理等,借助该类方式可令制造企业完成由设计分析直至优质生产建设的现代化、智能化、高效性发展。管理信息化涵盖资源计划、一卡通以及条形码应用体系等,可真正实现协作化的信息流管理、资金流应用、现代物流管理、可视化管控。办公信息化涵盖自动化体系、数字化监控管理、网络电话以及视频会议等模式,可完成制造企业内部以及外部的高效优质互联,强化工作时效性。集成管理系统包括数据中心以及系统主页等,可创建优质的数据平台,辅助决策层完成高效、精准理性的调节管控,并可为经营方针供给优质的数据参考支持。硬件基础包括网络系统、安全管理、软硬件系统调节配置等内容,为实现信息化工作目标的有效系统平台。

4构建实施框架,提升信息化管控效能

基于制造企业发展战略目标与信息化系统架构,应创建演示以及讨论方式的过程控制模型。演示及讨论为企业信息化规划阶段中,借助直观演示以及综合探讨,同各类实施关联人员展开科学的沟通与全面交流,进而快速的发觉有可能包含的弊端问题。并利用对员工知识经验的全面汇集综合,有效的创建可行科学的应对解决方案。过程模型涵盖硬件基础层、扩展层、软件应用以及他类应用层等。其中硬件基础层涵盖网络基础构建以及互联网系统创建。前者涵盖对服务器系统的科学配设,完成专线的有效连接、网络接入、设施采购配置、设备连接等。互联网络系统则涵盖创建网络服务器、、完成主页的设计,实现网络采购以及销售管理,并组织开展视频联系会议等。

硬件扩展涵盖电话以及网络安全体系,前者应做好交换机的科学配设与组网建设,应用可视电话体系、创建网络电话系统等。网络安全涵盖内网、数据信息以及外网安全、计算机系统安全等。软件应用层涵盖资源计划管理、自动化办公、管理软件服务应用等。资源计划之中的辅助管理涵盖企业一卡通的应用以及工业管理系统。一卡通可辅助企业实现高效的考勤管理,安全管控、餐费管理等。工业管控体系则需要应用条形码手段,创建立体化的仓库管理系统,并完善设备管控。另外还有一些他类应用层,具体包括电子化的信息档案管理存储、安全保障系统创建应用、监督管理系统应用、创建多媒体技术中心以及内网建设等。

通过框架创建,制造企业借助规划模型可完成逐级的优质信息化管控,并实现各类数据信息同供应链企业的集成共享,提升获取相关信息的综合效率以及精准高效性。企业生产现场将实现全面的信息化管理,令作业效率大幅提升,管理水平更为优质,办公管理可实现智能化,令各单位均可实现既定目标。企业将进一步完善健全管控体制以及工作流程,实现有效的重组与整合,提升应变水平与综合竞争效能。应基于演示以及讨论方式作为科学引导,就企业实践阶段中包含的问题以及设计规划的不足性实施有效的整改与全面的优化管理。

5结论

篇5

【关键词】 美国;可信身份;战略意图;启示

0 引言

2011年4月15日,美国了《网络空间可信身份国家战略》(NSTIC),计划用10年左右的时间,构建一个网络身份生态体系,推动个人和组织在网络上使用安全、高效、易用的身份解决方案。国内有观点认为,NSTIC战略是美国加强网络管控的新动向,标志着美国从“网络自由”向“网络管控”的重要转变。笔者认为,从NSTIC战略的出台背景、主要目标和内容来看,NSTIC并不是立足于加强网络管控,其核心目的是通过建立身份管理提高网络空间安全水平,以繁荣网络经济,巩固美国全球经济霸权地位。

1 NSTIC的出台背景

NSTIC是对2009年的《网络空间安全评估》(以下简称《安全评估》)的响应。2009年5月,奥巴马政府了《安全评估》,突出强调了网络空间的战略地位,指出美国当前网络安全形势严峻,必须建立身份管理,如果不能提高身份认证水平,不能识别和确知网络行动主体,将无法提高网络空间的安全性。为此,报告明确:要建立基于网络安全的身份管理。NSTIC的推出是对该报告的响应。

1.1 美国网络安全形势严峻,网络身份管理重要性日益凸显

美国是高度依赖信息网络的国家,整个社会运转已经与网络密不可分。随着网络成为国家依赖生存的神经单元,美国网络空间安全形势日益严峻。据2009年美国国土安全部的报告称,2005年共有4095起针对美国政府和私营部门的网络攻击,但2008年这一数字已增长至7.2万起,这些攻击使关键基础设施和敏感信息保护面临威胁,给美国造成巨大损失。美国政府日益认识到一个可以确认网络主体身份的网络空间越来越重要,但目前,美国网络欺诈、身份盗用等相关问题非常突出,使得一些服务难以在线提供。据统计,2010年美国有810万人遭受身份盗用或网络欺诈,造成370亿美元损失;美国金融机构每周会遭受16次网络钓鱼攻击,每年造成240-940万美元损失。

1.2 HSPD-12实施效果明显,有必要将网络身份管理从联邦政府推广至整个网络空间

2004 年8 月,美国出台了国土安全总统令第12 号(HSPD-12),为政府部门管理联邦雇员与合同制雇员提供了一套新型身份管理标准策略。该总统令有79个政府部门参与执行,2009年政府还出台了联邦身份、凭证与接入管理路线图与实施指南等相关政策和措施。

该政策实施效果明显,在保障网络安全方面发挥很大作用,以国防部为例,实施强身份认证后网络攻击数量降低了46%以上。在联邦政府之外,很多商业企业也在网络身份管理方面做努力,如OpenID 身份管理平台、微软的Windows CardSpace 等,Facebook也正在展开“1账号N用途”服务,任何拥有Facebook账号的人可以通过Facebook账户登录其他网站。随着美国经济运作、商业活动越来越依赖庞大而复杂的网络,美国政府认识到有必要将身份管理推广到包括私人部门在内整个网络空间。

1.3 欧盟、韩国等国家和地区加快在信息网络中引入和部署身份管理

欧盟在战略层面、技术层面为网络身份管理的大范围部署与推广作了充足的准备。欧盟从2002开始的FP6计划,相继开展了FIDIS、Traser、Stork等与身份管理相关的研究,包括电子政务、信息网络与未来网络中如何引入并部署身份管理,包括关键技术、架构、平台、应用场景等。欧盟的eIDM一揽子研究计划在2010年实现整个欧盟范围内电子身份(eID)的启用,欧盟成员国公民持有电子身份,即可在欧盟内的任一国家享受相应的求职、医疗、保险等一系列社会。韩国推行“I-PIN”认证多年,授权几家“身份服务提供商”建立身份验证平台,给网络用户发I-PIN,并以此注册所有实名业务。

2 NSTIC的主要内容

与欧盟国家发放电子身份证(eID)不同,NSTIC不是要拥有或者寻求建立国家性的在线身份,而是指在通过政府推动和产业界努力,建立一个以用户为中心的身份生态体系。

2.1 NSTIC核心内容包括指导原则、前景构想、身份生态体系构成、任务目标和行动实施

NSTIC明确身份生态体系必须遵循四个原则。一是身份解决方案应当是增强隐私的并且由公众自愿应用;二是身份解决方案应当是安全、可扩展的;三是身份解决方案应当是互操作的;四是身份解决方案应当是高效且易于应用的。这四个指导原则是任务目标和行动实施的基础。

NSTIC前景构想反映了一种以用户为中心的身份生态体系。NSTIC提出的构想是:个人和组织可利用安全、高效、易用和具备互操作的身份解决方案,在一种信心提高、隐私增强、选择增多和创新活跃的环境下获得在线服务。该构想反映了一种以用户为中心的身份生态体系,适用于个人、企业、非盈利组织、宣传团体、协会和各级政府。

NSTIC提出身份生态体系由参与者、策略、流程和相关技术构成。参与者主要包括个人、非个人实体、身份提供者、属性提供者、依赖方等。个人或非个人实体(如组织、软件、硬件和服务等)是在线交易或使用在线业务的主体,他们从身份提供者获得身份证书,从属性提供者获得相关属性声明,并将身份证书和属性声明直接展示给依赖方,以从事在线交易或使用在线业务。身份生态体系的策略基础是身份生态体系框架,该框架为体系的所有参与者提供一套基础标准和政策,这些基础标准和政策提供了最低的安全保障,同时也说明更高级别安全保障的详细细节,以确保参与者能获得足够的保护。

为确保身份生态体系的建立,NSTIC明确了四项任务和目标。一是制定身份生态体系框架,细分任务包括建立隐私增强保护机制、建立基于风险模型的身份鉴别和认证标准、界定参与者的责任并建立问责机制、建立指导小组对制定标准和认证流程进行管理;二是建立和实施身份生态体系,细分任务包括发挥私人部门、联邦政府以及国家、地方、司法、国土等政府部门的作用,建立和实施身份生态体系互操作基础设施;三是增强用户参与身份生态体系的信心和意愿;四是确保身份生态体系的长期成功和可持续性。

NSTIC明确了身份生态体系实施各方职责和进度计划。实施身份生态体系需要政府部门和私人部门的共同努力,NSTIC明确私人企业负责具体建立和实施身份生态体系,联邦政府负责指引和保障,NPO负责制定实施路线图等。同时,NSTIC明确在3-5年内身份生态体系的技术、标准初步具备实施条件;10年内身份生态体系基本建成。

2.2 NSTIC主张以用户为中心、以私营机构为主导的身份生态系统,用户隐私可以获得更强的保护

NSTIC明确身份生态系统是自愿参与的。用户是否参与身份生态系统是自愿的,政府不会强迫用户必须获得属于身份生态系统的凭证,机构也不会强迫要求用户提供属于身份生态系统的凭证作为唯一的交互工具。用户可以自由选择满足依赖方要求的最低风险的身份生态系统凭证,或者使用由信任方提供的非身份生态系统机制的服务。

NSTIC将增强对用户个人隐私的保护。

一是NSTIC将建立加强隐私保护的机制,建立清晰的隐私保护规则和指南,不仅将明确服务提供商和依赖方共享信息的问题,而且还将明确他们什么情况下可以收集用户信息、可以收集用户哪类信息、这些信息如何被管理和使用等。

二是NSTIC鼓励采用隐私增强的技术,用户在应用中仅向服务机构提供必要的信息,而不必泄露其他不必要的信息。NSTIC允许用户以匿名、假名方式使用相关服务,不必泄露自己的真实姓名等信息。

三是根据白宫网络安全负责人霍华德・施密特《NSTIC和隐私》文章的介绍,隐私增强技术还可以让用户使用不同的身份标识登录不同的网站,从而没有任何人可以建立集中的数据库,通过身份凭证跟踪用户的网上行为。

NSTIC主张私营机构主导身份生态系统的建立。NSTIC明确,参与身份生态系统的主体将以私营机构为主,几乎所有的身份提供商、属性提供商和评估认可机构都将属于私营机构,政府在其中的角色主要是支持私营机构建立身份生态系统,并成为身份解决方案的先行者,实施身份生态系统提供服务,政府一般不会直接控制用户身份信息,在不必要的情况下也不会要求私营机构提供用户身份等信息。

3 NSTIC的战略意图

随着全球经济社会发展对信息网络依赖性增强,一个可以确认身份的网络空间越来越重要,身份管理成为确保网络空间繁荣和健康发展的重要因素。NSTIC是在美国网络安全战略发生重大转变背景下提出的,是美国网络安全战略的重要构成。作为美国首个网络空间身份管理战略,其战略意图主要有两个。

3.1 积极应对网络安全威胁,增强网络防御并建立网络威慑

奥巴马总统上台后,开始全面谋求制网权,在加强网络防御的同时,实施网络威慑,旨在遏制日益增长的网络攻击,保护美国关键基础设施安全。网络安全与身份管理关系不言而喻,身份管理对网络防御极其关键,要想积极防御必须先了解网络上有哪些主体;而网络威慑重在影响对手,必须识别和确知最有能力的网络行动者,这需要通过身份管理进行归因判断。NSTIC的出台,极大推进了对个人、组织以及相关基础设施的识别能力,通过身份管理建立了网络空间的信任,从而增强网络防御并建立网络威慑。

3.2 繁荣网络经济,巩固美国全球经济霸权地位

奥巴马政府上台后,将网络创新视为重振经济的引擎,在政府的推动下,美国网络技术发展进入新一轮,云计算、智慧地球、物联网、移动互联网等均引领世界潮流。随着美国经济越来越依赖网络,网络环境面临的信任威胁越来越突出,各项在线业务发展受到阻碍,可信网络环境非常重要。NSTIC的推出,旨在通过在网络空间部署身份管理,推进在线业务安全、便利、高效开展,增进网络信任,促进更多业务在网上开展和服务创新,从而繁荣网络经济,占领未来全球经济的制高点,进一步维护美国全球经济霸权地位。

由上可见,NSTIC并不是以加强网络管控为目的的。尽管如此,提出将建立和维护可信数字身份,构建网络身份生态系统,这一愿景的实现,必然会增强美国对网络空间的掌控。

(1)身份生态系统的成功实现,将使身份管理推向政府服务、社会服务等大量在线业务,这必然有利于美国对网上身份、行为的更好掌控。NSTIC主张的身份生态系统,依赖于大量在线业务的参与。当政府、社会等多种服务成为该系统的参与者,用户为使用各种服务将不得不采用相关身份解决方案。目前已经有Yahoo、PayPal、Google、Equifax、AOL、VeriSign等科技厂商宣布支持NSTIC实施。用户信息掌握在作为服务提供商的私营机构手中,不排除在必要情况下会被提供给美国国家机构,根据美国《爱国法》、《国土安全法》等法律,服务提供商有义务向美国政府提供用户的有关信息。这必然加强美国对网上身份、行为的掌控。

(2)NSTIC提出将推动身份生态系统的最终国际化,美国一旦主导国际身份管理策略标准的制定,必然将增强其对网络空间的掌控。

NSTIC提出,将推动身份生态系统的国际化,实现身份生态系统的国际互操作,事实上是要将其身份管理的策略和标准推向国际。美国很早就开始身份管理技术的研发,国家标准协会、国家标准技术研究所成立了标准组并了相关标准,目前在全球身份管理标准化工作中,美国是研究工作的主导力量。由于身份管理涉及到技术、社会、法律、国家政策等多方面,关系到对不同国家的法律法规、国家利益和安全,各国都希望发挥自己在此领域的主导作用。美国在网络空间有着巨大优势,从芯片到操作系统,从根服务器到域名管理,美国对网络空间的掌控已经远远超出其他任何国家,形成了垄断性优势。美国推动身份生态系统的国际化,必将进一步加强美国在网络空间的影响力,确保其对网络空间的掌控。

4 对我国的几点启示

身份管理关系到未来网络空间的繁荣和健康发展,我国必须充分发挥在此领域的主导作用。

4.1 尽快制定我国网络空间可信身份国家政策

随着我国经济社会活动对网络依赖性增强,各行业对网络空间可信身份都提出了需求,如网上购物、网上银行、网上社保等,身份管理成为确保网络空间繁荣和健康发展的关键。未来身份管理将更加重要,美国、欧盟等都在加强身份管理技术研发和部署,已经形成较强的技术优势;对我国而言,如果不及时加以部署和研发,将很可能丧失在未来网络中的话语权。为此,必须将可信身份上升到国家战略高度,出台相关政策措施,整合各类资源,建立政府主导、市场主体的推动机制,促进网络空间身份管理的发展。

4.2 支持网络空间身份管理技术研发和应用示范

目前美欧在身份管理技术和产品研发方面具有优势,我国在此方面还处于跟随阶段,缺乏相关的实施和尝试。鉴于身份管理的基础性和重要性,建议政府通过科技支撑计划等,支持研究机构、企业等开展相关技术研究和产品研发,支持建设应用示范系统,着力推进在电子政务、电子商务等方面的应用示范,探讨解决不同身份管理系统之间互联互通问题,在技术成熟时可以建立国家性身份管理平台,确保关系国家民生的关键身份信息把握在国家而不是国外企业手中。

4.3 积极参与国际标准制定,掌握话语权

身份管理关系到未来网络架构,美国、欧盟等发达国家都在争夺技术、标准方面话语权,目前有大量组织也在对身份管理标准进行研究,如自由联盟、OpenID、OASIS、W3C、ITU-T、ETSI、3GPP、ATIS和IETF等,但还没有形成统一标准。建议我国统筹协调研究、产业等各方面资源,有计划开展身份管理系列标准研究工作,同时组织国内力量积极向国际组织提交议案,争取设立由我国主导的研究议题,增强我国在身份管理标准化工作中的话语权与主导权。

参考文献

[1] The White House,National Strategy for Trusted Identities in Cyberspace,http://whitehouse.gov,2011.4.15.

[2] Howard A. Schmidt,The National Strategy for Trusted Identities in Cyberspace and Your Privacy,whitehouse.gov,2011.4.26

[3] Howard A. Schmidt,Advancing the National Strategy for Trusted Identities in Cyberspace: Government as Early Adopter,whitehouse.gov,2011.10.14

[4] 魏亮.身份管理策略思考.电信网技术,2009年第3期,36-39.

[5] 陈剑勇,吴桂华.身份管理技术及其发展趋势.电信科学,2009年第2期,35-41.

[6] 王功明,关勇等.可信网络框架及研究.计算机工程与设计,2007年3月,第28卷,第5期,1016-1018.

作者简介:

篇6

[关键词]网络安全;潜在威胁;防范措施

doi:10.3969/j.issn.1673 - 0194.2015.20.112

[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2015)20-0-01

1 引 言

随着互联网技术应用及普及,尤其是云计算、移动互联网、物联网等新兴业务的涌现,使得人们对互联网的依赖性越来越高。在高额经济利益的诱使下,借助野蛮的DDoS攻击力,来进行公众个人隐私窃取、篡改网页、网站钓鱼等的违法行为,对网络信息安全造成了严重威胁,且逐年增长。现在,网络信息安全普遍存在,网络俨然化身为一种攻击性武器,且可使人在毫无防范意识下遭受攻击,防不胜防。对于目前的网络威胁现状,笔者在查阅相关报道及数据后发现,即便是全球领先的反病毒制造商也不得不承认传统反病毒软件已无力对抗高速且潜伏性强大的恶意网络攻击的事实。资料显示,在1 000例遭受恶意软件入侵的取证追踪组织案例中,约84%组织因自身缺乏安全意识而被恶意软件攻击,且该原因导致的感染率还在逐年递增。这提醒我们只有找准问题源头,提出行之有效的解决策略,并以此指导行动,才能治标治本。

2 我国网络信息安全所存在的隐患

2.1 病毒木马为用户主要威胁

2015年计算机用户发生网络安全事件比例调查结果显示,无论是传统PC还是移动终端,安全事件和病毒感染率都呈现上升趋势。垃圾邮件层出不穷,电子邮件变身为针对性攻破口,以窃取用户个人隐私或商业信息来进行网络攻击为目的,以求取经济利益。

各类社交钓鱼网站鱼目混珠,真假难辨,约近30%的用户因此遭受网络欺骗或网络钓鱼,该攻击通过用户点击相关图标而窃取敏感信息。移动互联网的发展使得用户的网络安全威胁呈现叠加性。2014年,移动端遭受网络攻击的概率已超过PC,隐私泄露频频发生。电商的发展,手机支付的受宠,刺激了各类山寨电商、银行支付APP,散布在应用商城的各个APP真假难辨,用户因安全意识薄弱,一次不经意的点击下载即可误入黑客支付程序,手机病毒正迈向智能化。

2.2 网络安全管理的缺陷

我国各单位及部门的网络信息安全主要还是通过自身的技术人才来管理与维护,问题的排查及处理均由其完成。再者,因网络安全投入不足,某些行业缺乏成熟的网络安全管理体系,网络运营人员的安全素质均较低下,很多企业网站外包给第三方公司开发,没有交付信息安全公司进行评估,更有可能留下信息安全风险。一些企业为了节约成本,往往将数据库、服务器都放在公网上,甚至未设置身份验证、防火墙等安全措施,很容易被黑客攻破。上述网络安全管理方式均为自身及用户的信息安全埋下了隐患,使得自身处于信息安全防御的被动地位。

3 网络威胁的应对之道

笔者认为,推行网络安全意识教育是当下迫在眉睫的推进项目。面对猝不及防的黑客攻击,相关部门必须要建立一个信息安全应对组织,以便随时做好迎战准备,以便有效应对潜在而无处不在的网络攻击。虽然网络攻击在目前而言尚不能完全有效防御,但并不意味着不作为。

3.1 树立网络信息的安全意识

笔者认为,树立用户的网络安全意识最为基本,在网络安全防御工作开展过程中,帮助用户树立网络安全意识为实现网络安全的第一步。安全意识的普及可帮助用户依靠自身意识判断来避免网络攻击及损失,使用户成为网络安全的主动方。开展网络安全宣传周,通过各种途径举办网络安全知识大讲堂,网络安全产品展示、体验等系列活动,提高用户在网络空间对于自身个人信息的保密意识。

3.2 完善网络安全管理体系

我国向来重视安全信息的保密,而要应对日趋多态势的网络安全威胁,需要国家层面的推动,以战略高度来集结各方力量、协调相关部门来提升我国整体的网络信息安全问题。就技术层面而言,网络安全的维护不是靠哪个技术人员就可以完成的,必须建立一套完善的“制度防内、技术防外”安全管控体系。网站建设时就应强化各类软件植入的预警及检测,以确保用户的个人隐私及资金安全;对于各类攻击信息应及时整理,采集分析信息有助于找准关键点,以便于及时检测网络遭受攻击的蛛丝马迹,判断有无违反安全策略的行为;成立动态防御体系,据采集到的攻击信息,及时制定补救策略;更新防火墙应用设置;加强上网行为的管控,在进行网络安全设置时,不但要考虑用户的上网效率,更应强化用户的身份认证、信息过滤、安全保护、账户安全检测分析等;建立全面病毒防御系统,统一安装防病毒软件,以便于及时发现病毒危险,定时更新并升级病毒库,及时进行病毒的查杀。

4 结 语

目前,我国网络信息安全的防御工作引起了广泛关注,国家相关部门对网络信息安全的管理工作给予了高度重视,各个职能管理部门通力协调配合、共同努力,取得了一定的进展,但总体管理水平仍有待提高。分析原因主要为国民整体安全防范意识薄弱,技术欠缺,网络信息安全管理尚未形成系统化,相关法律法规亟待完善等。面对网络信息安全的新形势与新挑战,应始终对基础网络及机要信息系统进行积极防御,坚持发展与安全并举,借助国家管理的驱动力,充分挖掘专业技术人才力量,保持协同的战斗力。

主要参考文献

篇7

关键词:信息安全;防护体系

随着企业各个业务系统的深化应用,企业的日常运作管理越来越倚重信息化,越来越多的数据都存储在计算机上。信息安全防护变得日益重要,信息安全就是要保证信息系统安全、可靠、持续运行,防范企业机密泄露。信息安全包括的内容很多,包括主机系统安全、网络安全、防病毒、安全加密、应用软件安全等方面。其中任何一个安全漏洞便可以威胁全局。随着信息化建设地不断深入和发展,数据通信网改造后,市县信息网络一体化相互融合,安全防护工作尤显重要。如何保障县公司信息网络安全成为重要课题。信息安全健康率主要由两方面体现,一是提升安全防护技术手段,二是完善安全管理体系。安全防护技术手段主要侧重于安全设备的应用、防病毒软件的部署、安全策略的制定、桌面终端的监管、安全移动介质、主机加固和双网双机等方面,安全管理则侧重于信息安全目标的建立、制度的建设、人员及岗位的规范、标准流程的制定、安全工作记录、信息安全宣传等方面[1]。因此,企业要提升信息安全,必须从管理机制、技术防护、监督检查、风险管控等方面入手,并行采取多种措施,严密部署县公司信息安全防护体系,确保企业信息系统及网络的安全稳定运行,主要体现在以下几方面:

1机制建立是关键

企业信息安全防护“七分靠管理,三分靠技术”,没有严谨的管理机制,安全工作是一纸空谈,因此,做好防护工作必须先建立管理体系。一是完善组织机制。在企业信息安全工作领导小组之下,设立县公司数据通信网安全防护工作组,由信通管理部门归口负责日常工作,落实信息安全各级责任。将信息安全纳入县公司安全生产体系,进而明确信息安全保障管理和监督部门的职责。建立健全信息安全管理等规章制度,加强信息安全规范化管理。二是强化培训机制。根据近年来信息安全的研究,企业最大信息安全的威胁来自于内部,因此,企业应以“时时讲信息安全,人人重信息安全,人人懂信息安全”为目标,开展“教育培训常态化、形式内容多样化、培训范围全员化、内容难度层次化”培训工作,为信息安全工作开展提供充分的智力保障。企业应充分利用网络大学、企业门户、即时通讯等媒介,充实信息安全内容,营造信息安全氛围,进而强化全员信息安全意识。三是建立应急机制。完善反应灵敏、协调有力的信息安全应急协调机制,修订完善县公司数据网现场应急处置预案,加强演练。严格执行特殊时期领导带班和骨干技术人员值班制度,进一步畅通安全事件通报渠道,规范信息安全事件通报程序,做好应急抢修人员、物资和车辆准备工作,及时响应和处理县公司信息安全事件。重点落实应对光缆中断、电源失去、设备故障应急保障措施,确保应急处置及时有效。杜绝应急预案编制后束之高阁和敷衍应付的行为。

2技术防护是基础

技术防护要从基础管理、边界防护、安全加固等方面入手[2]。(1)基础管理方面。一是技术资料由专人负责组织归类、整理,设备或接线如有变化,其图纸、模拟图板、设备台帐和技术档案等均应及时进行修正。二是将设备或主要部件进行固定,并设置明显的不易除去的标识,屏(柜)前后屏眉有信息专业统一规范的名称。三是设备自安装运行之日起建立单独的设备档案,有月度及年度检修计划并按计划进行检修,检修记录完整。所有设备的调试、修复、移动及任一信息线或网络线的拔插和所有设备的开关动作,都按有关程序严格执行,并在相应的设备档案中做好记录。四是加强运行值班监视和即时报告,确保系统缺陷和异常及时发现,及时消除。(2)安全隔离方面。安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡,从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略,既可以实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。(3)边界防护方面。一是部署防火墙,做好网络隔离。在路由器与核心交换机之间配置防火墙,并设置详细的安全防护策略。防火墙总体策略应是白名单防护策略(即整体禁止,根据需要开放白名单中地址)。将内部区域(下联口)权限设置为禁止、外部区域(上联口)权限设置为允许。定义防火墙管理地址范围,针对PING、Webui、Gui三种服务进行设置:只允许特定管理员地址远程管理。二是严格执行防火墙策略调整审批程序,需要进行策略调整的相关单位,必须填写申请单,且必须符合相关安全要求,经审批后进行策略调整。三是严禁无线设备接入。(4)安全加固方面。一是应以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限,删除系统多余用户,避免使用弱口令。二是安装系统安全补丁,对扫描或手工检查发现的系统漏洞进行修补。三是关闭网络设备中不安全的服务,确保网络设备只开启承载业务所必需的网络服务。四是配置网络设备的安全审计功能和访问控制策略。五是开展风险评估工作中,认真分析网络与信息系统安全潜在威胁、薄弱环节,综合运用评估工具,在常规评估内容基础上,加强渗透性验证测试和密码脆弱性测试,重视对系统结构与配置的安全评估。根据评估结果,及时提出并落实整改方案,实施安全加固措施。

3监督检查是保障

全面落实“按制度办事,让标准说话”的信息安全管理准则,在企业指导下,由县公司信通专业牵头,业务部门主导,分工协作建立督查机制,加强过程安全管控与全方位安全监测,推进安全督查队伍一体化管理,完善督查流程和标准,开展好安全督查工作,以监督促进安全提升。一是全面提升责任部门安全人员专业技术水平,加强督查队伍建设。二是完善督查机制,对督查中发现的问题督促落实整改,并开展分析总结,通报相关情况。三是开展常态督查,通过软件扫描、终端监测等手段,确保监测全方位。四是加强考核,开展指标评价。保障督查管理水平和工作质量。

险管控是对策

为确保公司信息化网络安全,公司要将被动的事件驱动型管理模式转变为主动的风险管控模式,主动地对威胁和风险进行评估,主动地采取风险处置措施。通过资源的调控实现对信息安全工作的调控。公司应在信息安全治理过程中大量借鉴管理学方法,进行动态的控制和治理,通过治理的流程控制措施进行资源的调配,实现对关键项目、关键技术、关键措施的扶持,对非关键活动的控制,确保公司信息化网络安全。数据通信网升级改造为企业信息化发展扩展了领域,同时,对信息安全工作提出了新的课题和更高的要求。本文通过分析企业信息化安全管理过程中的一些薄弱环节,提出了安全防护经验的措施,从管理机制、技术防护、监督检查、风险管控等方面入手,提高了县公司全体人员信息化安全意识,极大地保障了企业系统(含县公司)信息网络系统的安全、稳定运行,完善了县公司信息安全策略及总体防护体系,密织信息安全防护网,保障数据网不失密、不泄密,不发生信息安全事件。公司下一步将加强信息化常态安全巡检,加强信息化相关资料的管理,加强单位干部员工的信息化安全培训力度,进一步完善信息安全策略及总体防护体系。提高全体人员信息化安全意识,保障信息化网络安全。企业信息安全建设是一项复杂的综合系统工程,涵盖了公司员工、技术、管理等多方面因素。企业要实现信息安全,必须加强安全意识培训,制定明确的规章制度,综合各项信息安全技术,建立完善的信息安全管理体系,并将信息安全管理始终贯彻落实于企业各项活动的方方面面,做到管理和技术并重,形成一套完善的信息安全防护体系。

参考文献:

[1]马贵峰,马巨革.构建网络信息安全防护体系的思路及方法——浅谈网络信息安全的重要发展方向[J].信息系统工程,2010(6).

篇8

由于计算机技术发展迅猛,网络电子邮件传输的数量也不断增加,根据相关统计结果显示,在我国垃圾邮件的日传输量高达1200亿封,从全球范围内来看,我国计算机用户平均每天都会受到接近20封的垃圾邮件,有绝大多数的邮件都是由病毒计算机发送出来的,一旦查看了这些病毒邮件就会使得病毒侵入计算机,令人防不胜防,因此,企业与个人应了解这些病毒邮件的危害,并且将有效的防护措施做好。

2内部员工泄密问题

根据公安机关的统计结果显示,大约有70%的泄密案件其犯罪源头都来源于企业内部,由于当前烟草公司的网络安全管理体制不健全或体制贯彻力度不够,致使员工对网络安全的防范意识无法满足公司需求,构成安全系统的投入资金与维护资金存在较大矛盾,致使电脑安全管理方面的安全技术和安全措施无法有效的实施出来。假若相关操作人员有意违规操作,即使公司的安全系统十分强大也无法保证网络运行环境和网络信息的安全。另外,因为计算机的技术发展与人的认知能力都存在较强的局限性,所以在设计软硬件过程中难免会留下很多技术问题,使得计算机网络安全存在很多不安全的因素。

3防范措施

1)构建有效的防病毒体系通过对病毒系统的完善采用主流网络版的病毒防护软件,其中包括客户端和服务器两个部分,服务器采用的是病毒防护系统,下载的是更新的病毒库,系统客户机端主要由计算机统一进行管理,并且其必须可以自动更新病毒库,这样就在很大程度上保证了县级烟草公司的信息安全,从而实现全面的病毒清杀,在硬件角度上,为了阻拦来自外部的病毒,企业应由其出口处设置网络病毒网,从而有效抑制病毒在主干网络上的扩散。根据相关实践经验,我们应将病毒防护体系统一纳入到全局安全体系中进行统一规划和管理,从而以规章体制为基础,用技术手段保障网络安全,营造出可靠、安全的网络运行环境。

2)入侵检测将防火墙和入侵检测系统连接起来,通过防火墙检测局域网内外的攻击程序,与此同时,监测服务器的主要网络异常现象,防止局域网的内部攻击,预防无意的滥用行为和误用行为,这样有效的扩充了计算机系统的安全防御能力。

3)建立安全信息管理制度,采取访问控制手段构建行之有效、切合实际的管理体制,规范日常的管理活动,确保计算机运行的效率和流程,在计算机安全管理问题上也同样应该如此,建立健全的管理体制,规范和完善计算机的网络安全程序,网络信息安全的组织结构应实行责任制度,将领导负责体制建立健全,在组织结构上确保计算机安全体制的执行。访问控制能够决定网络访问的范围,明确使用端口和协议,对访问用户的资源进行有效的管控,采用基于角色的访问审计机制和访问控制体制,通过对网管的控制,为不同单位和不同职位的员工设置差异化的网络访问策略和网络访问权限,从而确保网络访问的有效性和可靠性。强化日常检查体系,对业务实行监控,部署检测入侵系统,将完善的病毒反应系统和安全预警体系建立健全,对计算机内出现的所有入侵行为进行有效的阻断和报警。

4总结

篇9

本刊讯 10月10日下午,2014年广东省高等学校和直属学校教育网络与信息安全工作会议在广东省教育厅19楼会议室召开。省委教育工委书记、省教育厅厅长罗伟其,教育部教育管理信息中心副主任曾德华、省教育厅副厅长朱超华等领导出席会议。

省委教育工委书记、省教育厅厅长罗伟其作重要讲话。罗厅长指出,没有网络安全就没有国家安全,教育承担着培养国家未来人才的重任,教育网络与信息安全工作十分重要。我省教育系统具有网络普及面广,应用积极性高,注重网络技术开发等特点,但还存在网络信息安全意识不强,网络和信息管理不到位等问题,要高度重视教育网络与信息安全,着力提高教育信息化水平、信息网络安全水平和信息网络应用水平。罗厅长要求各高校和中职学校及单位要切实做到“五个到位”:一是认识到位。要从国家安全的高度及整个教育事业的长远发展来认识网络安全的意义和价值。二是技术到位。要充分发挥自身的技术基础,从管理和技术两个层面上定期研究分析、研判安全问题。三是管理到位。网络安全工作要严格遵循“谁使用谁管理谁负责”的原则,建立严格规范的管理制度,确立信息使用的权限和责任人。四是责任到位。每一个部门、每个岗位都要落实信息网络安全管理责任,明确工作要求以及应急措施。五是保障到位。不管是网络自管还是托管,务必做到人员分配与资金投入的充足与恰当。

教育部教育管理信息中心副主任曾德华强调,要正确理解教育网络与信息安全在当前教育信息化发展中的意义,各级教育行政部门要建立健全网络与信息安全的有关制度,设立有力的技术支撑部门,加强同各级政府网络与信息安全管理部门、公安部门建立跨部门协调和事件处理机制,充分发挥纵向衔接、横向协调的组织保证作用,切实加强教育网络与信息安全。

省教育厅副厅长朱超华同志作重点工作部署。他要求围绕“一个目标”,健全“两个机制”,建设“三个体系”,重点抓好八个方面工作:一是建立和完善教育网络与信息安全管理制度;二是加快推进教育网络与信息安全基础设施升级;三是严格实行网站审核备案制度;四是全面落实教育系统信息安全等级保护定级备案;五是切实强化网络与信息安全的依法治理和制度化管理;六是大力推进舆情管控体系和网络文明建设;七是全面开

篇10

关键词:计算机网络安全 影响因素 控制对策

中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2014)02(a)-0047-01

随着信息技术水平不断提高,信息技术应用领域越来越广泛,人们生活和工作越来越离不开信息技术的发展。但是,由于计算机网络具有联结性,并且形式多种多样,这种分布特征使得网络安全控制与管理工作存在很多隐患,如病毒扩散、黑客入侵以及网络犯罪等。影响计算机网络安全的因素有很多,分析影响网络安全的因素,并且针对安全漏洞采用强有力的安全防范措施,对于保障计算机网络安全有着重要的作用和意义。

1 影响计算机网络安全的影响因素及存在问题

1.1 计算机系统本身存在的问题

计算机系统一般是硬件和软件两部分共同组成,操作系统是整个计算机运行的支撑软件,主要是管理系统中的软件资源和硬件资源。由于互联网是一个大家庭的共享网络,其开放性、共享性以及自由性等特点构成网络安全的脆弱性,给计算机网络安全管理带来很大的挑战。一旦发生安全问题,如果计算机自身操作系统的抵抗能力非常差,就会造成严重的损失。

1.2 外界非法入侵的威胁

外界非法入侵的威胁主要指随着互联网技术视屏的不断提高,很多电脑黑客、病毒等方面的技术和软件水平也在不断提高,甚至出现很多以入侵企业或者个人网络为目的的非法活动。外界的入侵直接盗取用户信息和重要的数据信息,会给单位和个人带来严重的危害,尤其是单位内部重要的客户信息资源,被称为“商业机密”,一旦被外界盗取,就会给内部造成严重的损失。

1.3 数据库存储内容方面存在的问题

计算机网络最大的功能和优势就是具有庞大的数据采集、处理以及管理等方面的功能,但是,正是由于这种数据库储存的内容十分丰富和多样,使用数据库资源的用户形形,无法实现一个统一有效的规范化管理,导致计算机网络在一个大的环境下,其个体或者单位用户的数据库信息资源的储存和使用也会受到一定的影响和威胁。

2 计算机网络安全防范措施

由此可见,影响计算机网络安全的因素有很多,从影响因素来看,可以将其归结为两个方面,一方面,技术层面,这个方面主要是指计算机自身操作系统、网络安全防范水平等方面;另一方面,网络安全管控方面。因此,要确保单位内部网络安全问题,必须要针对影响因素,采取强有力的计算机网络安全防范措施,提高单位内部计算机操作系统的防范能力。

2.1 提高整体计算机网络安全技术水平

计算机网络安全技术方面包括很多方面,首先,从目前普遍使用的技术方面来看,应该要使用网络隔离技术和“安全域”技术,网络隔离技术能把两个或以上可路由的网络通过不可路由的协议进行数据交换以达到隔离的效果,能将单位内部网络与互联网隔离,构建单位内部的局域网。这种环境下,单位可以在不连通网络的情况下,将所要储存的数据输入数据库中保存。这种网络安全技术存在一定的缺陷,不能实现网络之间运行交互式协议,从而才能将有害攻击隔离起来。其次,电脑操作系统的防范能力,需要安装防火墙、正版的杀毒软件以及网络防火墙技术,防火墙以及杀毒技术都是十分重要的网络安全技术,其中网络防火墙可以用来加强网络之间访问控制,防止外界网络中不明身份用户通过非法手段入侵内部计算机网络,起到一种保护内部网络操作环境不被非授权用户访问的作用。防火墙技术是目前使用比较广泛的一种防止外界非法不被授权用户访问的网络安全保护技术,控制网络用户对计算机系统的访问。随着防火墙技术研究的不断深入,目前技术较为先进且安全级别非常高的防火墙是隐蔽智能网关技术和多充识别技术等,它将网关隐蔽在公共系统的漏洞补丁中,关闭不使用的服务进程、做好各种安全设置,同时,安装瑞星防病毒性软件,多重防毒和杀毒并存使用,控制网络安全。再者,网络访问控制技术,这是确保计算机网络安全的主要策略。其主要工作内容是保护网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。最后,数据加密技和身份认证技术,计算机中数据存储都具是一定的程序编码所构成,为了确保系统中数据传输的安全,单位工作人员可以在数据输入时添加密码,即使数据信息被盗取也不会轻易的流失,避免了单位的严重损失。加密和身份认证的最终目的是保护网内的数据文件口令在运输过程中的安全,能防止非法授权用户的入侵和破坏。

2.2 加强计算机网络安全管控能力

计算机网络安全管控的防范措施就是从安全规则、监控以及安全设置等各个方面确保计算机网络的安全运行。首先,制定严格的网络安全规则,对进出系统内部的信息进行严格的限定,尤其是要避免电脑黑客的入侵。单位技术人员可以设置和调整网络的TCP超时,将其缩短到一定的时间范围内,进而能减少黑客入侵时间,避免一次性攻破。同时,还可以扩大连接表,增加外界非法入侵的难度。其次,要时刻监测系统的登录数据和网络信息流向,对于同一个IP地址多次访问的用户身份要引起重视,发现异常行为一定要及时制定防范措施,经常对整个网络进行扫描,随时掌控整个系统运行情况,发现网络中存在的安全隐患。最后,要尽可能减少暴露在互联网上的系统和服务数量,为自己营造一种比较安全的网络环境。网络安全管理与控制工作是一项十分复杂的系统工程,网络安全防范策略是将操作系统技术、防火墙技术以及病毒防护技术等综合起来的网络安全防护体系,技术人员要加强各项技术研究,全面控制整个网络系统的安全。

3 结语

综上所述,影响计算机网络安全的因素有很多,尤其是在网络环境越来越复杂的情况下,互联网使用领域越来越广泛,正是由于这种共享性、开放性以及自由行等特点,导致网络安全存在很多隐患。因此,从影响因素方面分析,一定要加强计算机系统自身的防入侵能力,从安全技术方面提高系统的防范能力。如采用现代化的网络隔离技术和“安全域”技术,安装防火墙和杀毒软件、控制网络访问等,净化网络环境,为用户和单位提供安全、可靠的计算机网络使用环境,确保数据存储的安全性。

参考文献

[1] 倪超凡.计算机网络安全技术初探[J].赤峰学院学报:自然科学版,2009(12).

[2] 黄汇.家庭计算机的网络安全问题研究[J].硅谷,2010(10).