网络安全建设计划范文
时间:2024-01-12 17:39:57
导语:如何才能写好一篇网络安全建设计划,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
【关键词】信息化建设;网络安全;防护措施
随着信息技术的发展,各医院利用计算机技术、网络技术等现代化信息技术建设了相应的医疗信息系统,不仅提高了医院的工作效率,同时也对医院的发展打下了坚实的基础。但与此同时,信息化建设中也存在许多网络安全问题,影响着医疗信息系统的安全和稳定。因此,医院在信息化建设过程中,必须对网络安全问题做好相应的防范措施,这样才能够保证医疗信息的安全,才能够促进医院信息化建设的发展。
1医院信息化建设中存在的网络安全问题
医院信息化建设中存在的网络安全问题主要包含三个方面:网络安全、数据安全、系统安全。
1.1网络安全
针对网络安全来说,主要是指网络硬件、软件及其系统中的数据的安全,不会由于偶然或恶意的原因遭受到破坏、更改、泄露等,保证系统的正常运行,保证网络服务不中断。对于网络硬件、软件方面,主要会出现的安全问题是遭到恶意或故意的人为破坏,或出现漏洞等。而对于网络服务方面,主要的安全问题是黑客攻击、病毒入侵等。对于其他方面的安全问题主要是如自然灾害、操作失误、信息产品在研发过程中出现缺陷或在维护中出现安全隐患等。
1.2数据安全
针对数据安全来说,主要会出现的安全问题是数据被篡改、盗窃、丢失、损坏等。医院信息化建设中的网络安全和防护文/贾验龙1裴成霞2随着社会科技和医疗技术的不断发展,医院信息化建设也在不断的加强,为保障医院网络信息的安全和医院信息管理系统的稳定运行,对医院网络的安全进行防护已成为医院信息化建设过程中重点关注的对象之一。本文就医院信息化建设中存在的网络安全问题进行分析,并提出了相关的防护措施。摘要1.3系统安全针对系统安全,主要是防止非法用户及设备的接入以及操作系统、应用系统等方面的安全。
2医院信息化建设中网络安全问题的防护措施
2.1建立健全网络安全管理制度
提高医院信息化建设中的网络安全和稳定,建立健全网络安全管理制度是非常必要和非常关键的。首先,针对网络管理的相关工作人员:一要建立相应的安全管理登记制度、日常维护记录等相关管理制度,并督促工作人员落实实行,同时建立相应的考核制度,如若发现有为遵守相关规章制度的人员,应予以惩处,绝不姑息。二要不断加强对工作人员进行网络安全管理的知识和技能培训,不断提高工作人员的网络安全意识和操作技术,避免由于人为操作失误而导致发生网络安全问题。其次,要建立相应的应急措施,组建应急小组,针对网络安全突发事件进行第一时间进行检查和修复,以降低网络故障给医院到来的损失和社会影响。除此之外,医院还需要组织工作人员不断研究和创新新的网络安全管理及改进措施,不断加强网络安全管理,提高网络的安全性和稳定性,促进医院信息化建设的长远发展。
2.2加强网络安全软件的应用
随着网络科技的发展,网络中出现的各种安全问题越来越多,其中最为让人头疼的就是病毒和黑客。网络病毒传播途径多,破坏性强,而黑客的破坏性也不亚于病毒,这两者对网络系统构成的威胁最大。因此,在进行医院网络的防护过程中,工作人员首先要熟悉各个杀毒软件的功能和作用,选择最有效的杀毒软件,如SEP11防病毒软件,这款软件不仅具有防病毒、反间谍软件功能,同时还具有对客户端应用程序进行管控的作用,能够有效的防止病毒侵入。此外,还有我们熟知的一些杀毒软件,如金山毒霸、百度杀毒、360杀毒、小红伞等。因此,医院工作人员要积极运用这些杀毒软件,修复系统漏洞,防止病毒侵入。除了运用杀毒软件防止病毒侵入以外,针对于医院中的重要部门和关键网络用户,例如财务、人事资料等,这些都是存储了医院大量的重要数据和机密文件,如果泄露或丢失、损坏,那都是医院的巨大损失。因此,医院应进行有针对的医院网络安全隔离,防止非法用户及设备接入。如,医院课采用VLAN技术划分分子为,将医院的敏感网络使用用户划分到单独的子网中,以保护这些资料的安全。
2.3数据备份和恢复
数据备份和恢复是网络安全防护中的必要手段,能够在发生网络安全后将备份的数据全部恢复,对重要数据资料的保存至关重要。但需要注意的是,只有按照数字化医院实际的安全数据保护级别,及时做好数据备份,并按相应级别做好备份的保护工作,那样才能够将医院信息系统及数据进行恢复。因此,在实行数据备份和恢复时,医院可以利用HIS服务器存储数据,实现SAN存储结构、HIS服务器定时备份,还有定时进行备份库刻盘,以保证将医院重要的数据进行完全拷贝,避免因网络安全问题而造成重要数据不复存在的局面。
3结语
综上所述,随着信息技术的不断发展,网络中出现的安全问题也逐渐复杂多变,值此之际,医院在信息化建设过程中,加强对网络安全的防护已是重中之重的事。除上述所说的网络安全防护措施之外,还有很多不同的防护措施,同时,在未来的网络发展过程中,也会出现新的网络问题和网络安全防护措施,因此,医院应加强网络安全管理制度,做好相应的防范工作,确保网络安全、稳定的运行,以促进医院的建设发展。
参考文献
[1]李扬.浅谈医院信息化建设中的网络安全分析与防护[J].工程技术(文摘版),2016,10(61):57-58
篇2
关键词:校园网;信息化;网络安全
中图分类号:TP393.08
高校信息化建设是学校一项基础性、长期性和经常性的工作,是学校建设和人才培养的重要组成部分,其建设水平是学校整体办学水平、学校形象和地位的重要标志[1]。而校园网在学校的信息化建设中所占据的地位至关重要,作为数字化信息的最基础、也是最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题。
1 目前高校校园网络中存在的安全问题
1.1 网络基础交换设备落后
由于各高校信息化建设的一些历史原因,很多高校的校园网的底层交换设备采用的是不同品牌的非智能交换机,然后再通过光电收发器接入到汇聚交换机。随着设备服役时间的延长,光电收发器容易频繁的出现故障,引起通信中断;另外,由于底层接入交换机是非智能交换机,并不具备安全控制功能,这样就使得校园网内部一部分中毒的计算机可以通过校园网攻击其他用户,严重影响校园网的管理和使用。
1.2 来自网络内部的安全威胁
网络内部的攻击主要威胁来自病毒、木马和内部的非法访问。目前,互联网上有许多恶意网页,用户很容易在不知情的情况下访问了这些网页,就会被感染了病毒或者被种植了木马,继而通过校园网影响到其他用户。另外,由于缺乏统一的网络管理软件、网络认证系统和网络监控、日志系统,使得学校的网络管理各自为政,缺乏上网的有效监控和日志,上网用户的身份无法唯一识别,存在极大的安全隐患。因此,要管理好高校的校园网络,对于来自内部的威胁,必须将攻击行为限制在接入层;同时,也要管理和规范好上网行为,避免有些用户错误地进入恶意网页。
1.3 来自网络外部的安全威胁
对于网络外部的威胁主要有:入侵、攻击、扫描、病毒等各种安全问题。网络入侵是通过互联网进入校园网中,篡改数据,或实施破坏行为,造成网络业务的瘫痪。目前,这种攻击是主动的、有目的、甚至是有组织的行为。而病毒和木马等问题是与非安全网络的业务互联,在通讯中携带而来,一旦在校园网中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。
1.4 服务器的安全威胁
目前,很多高校的服务器都是直接上联到外网出口防火墙,或者是上联到核心交换机上,服务器对于来自网络内部的攻击行为无法做到安全防护。一旦出现病毒攻击或者出现来自内部的入侵行为,校园网中的应用服务将出现中断。
2 校园网络安全解决方案
基于对以上校园网中的安全威胁,我们提出了以下安全策略:
2.1 升级网络基础交换设备
将校园网内所有交换机全部升级为安全智能接入交换机。智能接入交换机具备大容量访问控制功能,能够屏蔽常见病毒端口,将病毒攻击,网关攻击等行为限制在接入层。并结合用户上网认证系统,对用户进入校园网的权限及可用资源实行规范、分级管理。
2.2 集中对校园网内所有上网场所进行监控和管理
配置上网认证系统和行为日志系统,使校园网内所有上网用户不但要通过统一的身份认证系统确认,而且,也要使得合法用户的所有上网行为受到统一的监控。上网行为日志系统需可根据不同的用户、时间以及应用等进行实时的监控,对访问威胁网页行为进行阻断,防止一些病毒和木马通过访问网站进行传播。上网行为的日志要集中保存在中心服务器上,保证记录的法律性和准确性。
2.3 配备系统的、完整的网络安全设备
在校园网的内网和外网接口处配置统一网络安全控制和监管设备,一般包括:防火墙、入侵检测与防御系统、系统漏洞扫描系统、网络版的防病毒系统等。此外,配置安全设备既要考虑到功能,同时也必须考虑性能和可扩展性,以避免成为网络的瓶颈。通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。具体可包括以下技术手段:
(1)配置防火墙。利用防火墙在网络通讯时执行一种访问控制尺度,允许防火墙同意校园网外部访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止黑客随意更改、移动甚至删除网络上的重要信息[2]。
(2)采用入侵检测与防御系统。针对网络中的入侵行为,增加入侵检测与防御系统是一种有效的解决方式。采用先进的协议分析技术,结合了高速信息包捕捉、协议分析、及行为描述代码来探测攻击。在网络和主机层面,将基于攻击特征分析和协议分析的入侵检测技术相结合,监控分析网络传输和系统事件,自动检测和响应可疑行为,使校园网络在系统受到危害之前截断并防范非法入侵和内部网络误用,最大程度降低安全风险,保护校园网络系统安全。
(3)使用漏洞扫描系统寻找网络中存在的安全隐患和脆弱点。针对大型校园网络的复杂性和变化性,如果只是依靠个人的经验和技术寻找安全漏洞来做评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患[3]。
2.4 确保校园网服务器的安全
在校园网中,校园网服务器通常数量众多,提供的服务对整个校园网而言也至关重要,并且要保证7x24小时不间断运行。而目前,多数学校的服务器都是直接与校园网相连,对于来自内部的安全威胁无法实施任何防护措施。出于以上考虑,为保障服务器的安全,应该在服务器前增加基于web的防火墙,进行安全隔离。另外,在服务器的日常管理和维护过程中,也要加强技术层面的管理,如建立服务器档案、安装补丁程序、加强操作系统权限管理和口令管理、监测系统日志、定期对服务器进行备份与维护等等操作。
3 结语
通过以上安全策略,校园网可以做到由内到外的整体防护,这将极大提高校园网的安全性,保证校园网能够稳定健康地为高校教学、管理及研究工作提供服务。
实际上,网络安全问题不仅仅是一个技术问题,也是一个管理问题[4]。通过技术方法尽可能去制止、减小一切非法的访问和操作,把不安全的因素降到最少。另外,要完善校园网管理制度,还要对相关的校园网管理人员进行培训,对学生进行网络道德的教育,多管齐下,从多个方面进行防范,才把校园网不安全因素降到最低。
参考文献:
[1]王奇.数字校园信息安全管理体系建立与研究[J].系统安全,2012(05).
[2]陈卫民.基于多网合一的校园网改造体系架构研究[J].微计算机信息,2011(09).
[3]梁俊.多业务融合安全校园网络平台[J].中国教育信息化,2011(22).
[4]王阳.高校数字化校园信息安全策略探讨[J].中国教育信息化,2011(05).
篇3
【 关键词 】 高校;科研机构;信息安全;对策
Discussion on Scientific Research Institution of Universities in
Information Security Management and Measures
Zhang Jian-hua
(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)
【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.
【 Keywords 】 universities; scientific research institution; information security; measures
1 引言
随着信息技术的发展和信息化应用的日趋深入,信息安全建设及其应用正在成为教育科研单位日常教育管理和科研生产不可或缺的一环。高校等科研单位对信息安全管理的认识程度越来越高,研究院等单位的信息系统规模和水平也在不断攀升,然而随着高校各系统建设程度的不断完善,以高校为代表的科研机构的信息安全管理问题也愈加突出。
2 高校科研机构存在的信息安全管理问题
近年来,高校等科研机构逐步认识到信息安全对于自身的重要性,于是不少单位成立了“信息管理部门”来推行统一的管理规范和进行信息安全知识普及,其主要目的是为了从安全技术和管理两个方面来解决高校中科研机构的信息安全问题,充分提高机构人员的信息安全管理意识和保密工作的能力。当下,虽然有一些高校的科研单位在信息安全和管理建设方面已经取得了长足的进步,但其科研单位内部仍然存在着很多问题。
(1)首先,在以往长期封闭的科研环境影响下,相关科研人员目前依然不具备良好的安全意识,对于信息安全的认识水平不高。同时高校等相关管理部门较容易忽视信息安全在其科研系统中的发展战略和计划,这些都间接导致了信息安全管理制度推行力度不够,实施安全教育的硬性条件有限。其次,由于学科建设和专业水平所限,也使得国内技术过硬的信息安全专业人才供应不足,间接影响了相关单位的人才储备水平。
(2)当下许多高校等科研单位在信息系统不断增加的情况下,对以往基础设施配备水平存在着一定的依赖性,不能够很好的适应新环境。在信息系统运作业务的安全风险和意识提升上,又缺乏有效性验证与评估办法。现实中的任何信息系统都是一连串复杂的环节,信息安全措施必须渗透到信息系统的每一个部位,其中一些问题的解决方案,需要信息系统的设计人员、测试人员和使用人员都熟知并能够成为规范来遵守。
(3)不安全因素对于信息系统而言总是存在的,没有任何一个信息管理方法能提供绝对的保障。因此,高校等科研单位在认识和进行信息系统安全管理教育的时候,应该着重加强基层人员的信息安全管理实践教育,应让相关人员充分意识到,虽然信息安全建设并非意在建设一个创收的平台,但它是一个保障科研成果和提升工作效率的平台。管理者有必要做出适合科研单位进行教育实施的信息安全教育发展战略和计划,充分加强信息安全教育在管理实践上的投入,严格有效地执行相应的安全策略、安全措施和安全管理制度,以最大限度避免使用和管理信息系统时的固有风险。
(4)近年来,我国大型科研单位相继出现过不同程度的泄密事件,这些事件的直接后果是不仅导致了科研成果的流失,还造成了较大程度的经济损失和不良的社会影响。虽然各大信息系统工程和信息化程度要求非常高的相关行业,也都出台了对信息安全技术产品的应用标准和规范,但只有建立一个严格的信息安全管理策略,才能全面的保障其安全性。
3 解决高校科研机构存在的信息安全的对策
3.1 技术层面
在技术层面上:高校科研管理系统是以计算机和数据库通信网络为基础的应用管理系统,是一个开放式的互联网络系统,与网络系统连接的任何终端用户都可以进人和访问网络中的资源。作为信息通讯数据平台,其所受到的安全威胁主要存在于信息通信传输、存储和加工的各个阶段。因此在制定技术对策方面就需要制定统一全面的安全策略,同时也注重建设统一认证和授权管理系统,通过硬件接入设备和定制化管理软件的配合部署,加强网络层面和应用层面的安全资源整合,形成覆盖全网的科研信息化安全保障能力,并充分利用自主创新的科研信息化安全技术,不断增强基础运行平台的网络安全能力,为科研信息化基础环境和应用系统提供有力的安全保障。
在保障网络基础设施和重要应用系统的安全方面,一方面需要构建身份认证管理系统、网络安全管理平台、恶意代码防护系统、安全审计平台等面向全网用户的网络安全基础设施,实现实时预警、事件分析、决策支持、资源调度等功能;另一方面需要建立起包括安全咨询、安全规划、安全检测、安全培训等环节在内的安全服务体系,引入除技术体系和管理体系以外的第三方服务支持,实现安全事件的及时发现。
3.2 管理和教育层面
在管理和教育层面上:以企业为参考标度,对高校科研机构工作人员进行信息安全意识以及管理实践知识的普及,将信息安全管理理念提到战略高度来看待。充分遵循信息安全流程制定相应管理制度,除技术保障外,将人员、网络、环境有关的技术和管理规程的有机集合充分纳入其中。充分认识到信息安全管理实践是保障信息实现有效管理与控制的重要途径。所在部门应客观评估实现信息安全管理的需求水平,落实安全的组织和管理人员,明确每个人的角色与职责;制定并开发安全规划和策略,定期开展培训和工作会议;实施风险管理制度,制定业务持续性计划和灾难环境下恢复计划;选择实施安全措施;保证配置、变更的正确与安全;进行安全审计;保证维护支持;进行监控、检查、处理安全事件。针对专业人员的培训和绩效需要有效结合目标管理和信息安全管理两方面来展开。
3.3 管理政策层面
在整个管理策略的制定上:建议采用分级策略,如果高校对于自身科研信息安全风险水平认定为较高,而自身建设能力有限,则可以考虑与相关专业咨询机构合作,引入专家机制来完成相关工作,提升建设效率。
4 结束语
在国家大力推行科教兴国与自主创新发展战略的今天,信息安全建设对于保障科技创新自有成果,确保自主知识产权的创造价值,都有着极其重要的作用。而如何确保其信息安全能够实现自主可控的目标,也是以高校为代表的科研机构行使和保障自身合法权益的重要途径。因此我们必须综合多方因素,系统考量,尽可能提供全面的、多方位的信息安全建设策略和信息安全管理与教育规范,以切实满足高校等科研单位对信息安全保障体系的需求,降低科研成果的安全风险,发挥高效的科研效率,保障科研生产的安全顺利进行。
参考文献
[1] 张广钦.信息管理教程[M].北京:北京大学出版社,2005.
[2] 徐茂智.信息安全概论[M].北京:人民邮电出版社,2007.
[3] 彭盛宏.浅析校园网存在的安全隐患及其对策[J].信息安全与技术,2012,(1).
篇4
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。
1安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1设计目标
贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。
1.2设计原则
1.2.1合规性原则
安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。
1.2.2技管结合原则
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
1.2.3实用原则
安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。
1.3设计依据
1.3.1“原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。
2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2“策略”符合风险管理
风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。
风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。
1.3.3“措施”符合P2DR模型
美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。
1.4安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。
“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
2安全保陳方案规划
2.1总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:
边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。
安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2安全域划分
划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。
Z3边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。
2.3.1边界措施选择
在边界上我们建议四种安全措施:
1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。
3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。
4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2策略更新管理
边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。
2.4行为审计体系规划
行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。
2.5安全监控体系规划
监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:
1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。
2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。
3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统
作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:
1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。
2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。
3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。
2.7IT基础设施规划
IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3安全筐理体系规划
在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3_1安全管理标准依据
以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。
3.2安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
3.3安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
3.4安全管理体系的建设具体内容
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。
3.5曰常安全运维3.5.1安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。
3.5.4应急响应计划
通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失
3.6安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4安全规划分期建设路线
信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1主要的工作内容
根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分,网络结构的改造。
2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。
3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。
4.2分期建设规划
4_2.1达标阶段(2015-2017)
1.等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别(一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过(2级3级系统)
7.安全服务:建立定期模式
8.渗透性测试服务(外部+内部)
9.安全加固服务,建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程,建设安全运维管理平台
14.定期安全演练与培训
4.2.2持续改进阶段(2018〜2019)
1.等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4.深度安全服务
5.有针对性安全演练,协调改进管理与技术措施
6.源代码安全审计服务(新上线业务)
7.信息安全管理
8.持续改进运维与应急流程与制度,提高应急反应能力
9.提高运维效率,开拓运维增值模式
5结東语
篇5
最近,国内某造船厂发生了一起有惊无险的网络安全事件。由于该造船厂的计算机系统内储存有大量的重要设计数据,某一天,系统突然报警,显示某个电脑终端正在非法拷贝这些重要文件数据,而网管人员通过内网审计系统的跟踪,立刻锁定了拷贝文件的电脑和登陆系统的用户名,从而在重要文件还没被外传之前,及时制止了该行为,避免了无谓的经济损失。
事实上,类似的内网安全事件在很多企业都有发生,但由于内网安全的完善程度不同,并非每个企业都能避免损失发生。有调查显示,超过85.0%的安全威胁来自企业内部,其中16.0%来自企业内部未经授权的非法访问,40.0%来自电子文件的泄露,由此可见,内网安全问题已是企业网络安全建设的重头戏。
为了确保网络安全,防火墙、杀毒软件、IPS等产品早已成为企业用户的普遍部署,但是,这些主要针对外网的安全防护在面对内网安全威胁时,往往形同虚设,因为“内忧”胜于“外患”,企业不仅需要坚固的边界安全,更需要稳定的内网安全。
那么,目前企业CIO们对于内网安全的认识是否到位,他们在内网安全部署方面处于何种程度,还存在哪些有待完善之处,内网安全在产品技术上又存在哪些发展趋势。
为此,《中国计算机用户》杂志社实施了为期一个月的用户调查,以期通过用户反馈呈现内网安全的现状及趋势。
过半企业重视内网安全
网络安全威胁层出不穷,网络安全问题无处不在,但是,事情总有轻重缓急之分,哪个领域的安全问题是企业用户当前首需解决的呢?调查反馈显示,“内网安全”以54.9%的比例占据第一位置,其次,25.7%的用户选择外网安全,10.6%的用户选择了终端安全,8.8%的用户选择了Web安全。
显然,企业网络安全建设行进之今,过半用户已经将“内网安全”设定为首需解决的问题。同时,这也表明用户对于内网安全重要性的认识已经达到相当程度。
北京互联通网络科技有限公司产品项目部顾问黄毅就明确表示,内网的安全管理,很多时候比外网安全管理更加重要,因为企业的机密信息泄漏、业务系统被如侵等,往往就是透过内部的非授权访问和木马泛滥导致的,所以,保障内网安全势在必行。
作为内网安全建设领域的专家,北京鼎普科技股份有限公司战略市场部经理万俊告诉记者,一直以来,企业安全防御的理念更多局限在常规的网管级别(防火墙等)、网络边界(漏洞扫描、安全审计、防病毒、IDS)等方面,主要的安全设施大多集中于机房、网络入口处。应该说,在这些安全设备的严密监控下,来自网络外部的安全威胁得到显著缓解。
然而,随着企业信息化的不断深入,来自网络内部的安全威胁开始逐步凸显出来,网络的内部安全问题大于外部问题渐渐成为业界共识。
对此,我们可以从企业用户当前对于安全细节问题的关注度得到印证。在“哪些安全细节问题是贵公司当前比较重视的”这一问题中,83.2%的用户选择了病毒查杀,69.0%的用户选择了数据库安全,46.9%的用户选择了网络设备安全,31.9%的用户选择了补丁升级管理,31.0%的用户选择了网站运维安全,27.4%的用户选择了身份认证,22.1%的用户选择了信息加密。
可以看出,不论是常见的病毒查杀,还是身份认证或信息加密,用户对此都持有相当的关注。
“提高意识管理到位”是首要
为什么需要管理内网安全,我们从企业员工的日常小事即可明白。如今,很多员工在上班闲暇时,偶尔聊聊QQ或MSN,要不上开心网玩“偷菜”或观看在线电影,要不干脆打开BT电驴等下载软件下载大容量文件。这些在大小企业中普遍存在的现象不仅影响了员工的工作效率,而且还会占用企业网络流量,从而影响其他正常业务的开展。
事实当然不仅如此,根据本次调查反馈,70.8%的企业存在“员工随便登陆MSN、QQ、BT等内容”,37.2%的企业存在“经常有人改动IP地址从而造成冲突”,62.8%的企业存在“经常出现某台电脑没有打补丁或补丁不全”,31.0%的企业存在“经常受到非法入侵”,48.7%的企业存在“不能完全限制内网的设备与重要信息的保管”。
可以看出,近七成左右的企业存在“员工随便登陆MSN、QQ、BT等内容”和“经常出现某台电脑没有打补丁或补丁不全”的现象,另外三项困扰也有近五成企业有所遭遇。
另外,根据调查反馈,目前企业网络主要遭遇的安全威胁中,76.1%的用户选择木马病毒,14.2%的用户选择蠕虫,8.8%的用户选择电子邮件攻击,0.9%的用户选择网络钓鱼/欺骗。可见,木马泛滥的确到了人人喊打的地步。
需要指出的是,木马病毒除了可以跟随Web应用从外网进入内网之外,还有一个重要的传播渠道,即通过移动U盘直接在内网终端上蔓延开来。
对此,在诸多安全厂商的内网安全产品中,都或多或少存在防止移动终端传播病毒的功能。比如鼎普科技的安全U盘系统,它是通过智能判断和权限访问控制技术,使数据信息在U盘上实现存取控制,同时也具备对U盘进行身份认证、敏感信息外带时防止非授权访问和病毒窃取等功能。目前,金融、电信等行业用户大多应用了类似系统以杜绝终端隐患。
抛开行业特殊性,抛开单一内网安全产品或功能,目前企业用户针对网络安全的部署现状如何呢。根据调查反馈,96.5%的用户选择了杀毒软件,78.8%的用户选择了防火墙,24.8%的用户选择了VPN(安全传输),20.4%的用户选择了身份认证系统,27.4%的用户选择了内网安全管理,8.8%的用户选择了IDS/IPS。
很明显,虽然近八成企业都部署了杀毒软件和防火墙,但这正好说明企业在网络安全建设过程中,外网安全是优先经历的阶段,而接下来的重点则在内网安全。
那么,内网安全建设应该从何处下手呢,首先,我们可以从“企业网络中发生安全事件的原因通常包括有哪些”这一问题的调查结果看,有48.7%的用户选择“网络或软件配置错误”,28.3%的用户选择“管理员弱口令”,62.8%的用户选择“系统漏洞”,74.3%的用户选择“员工安全意识淡薄、管理不到位”,15.0%的用户选择“DDoS攻击”。
显然,“员工安全意识淡薄、管理不到位”是企业发生网络安全事件的最普遍原因,这与很多企业CIO的看法也是一致。
山西省大同市阳高县畜牧服务中心饲料牧草管理站站长杭军表示,影响内网安全管理的因素很多,其中,用户
的认识水平、重视程度及使用习惯,尤其是普通用户的安全意识和相关管理人员的管理水平,尤为重要。
同样,在吉林吉恩镍业股份有限公司信息中心主任周军利看来,保障内网安全,首先需要制订科学完善的内网安全管理制度,从制度上规范员工的上网行为,其次要加大制度的执行和考核力度,让员工自觉地树立信息安全意识,最后就是使用先进的内网安全管理产品,从技术上保障内网的安全。
从“偏安全”到“偏管理”
从技术角度讲,内网安全包含的内容其实很多,比如如何发现客户端设备的系统漏洞并自动分发补丁,如何防范移动存储设备随意介入内网、如何防范内网设备非法外联,如何点对点控制异常客户端的运行,如何防范内部信息泄露等。
换句话说,与防范外网安全主要集中于边界部署不同,保障内网安全需要涉及的环节较多,相应的产品部署也相对更加多样。比如有的侧重内网终端防护,有的侧重流量和上网行为控制,有的侧重监控审计,有的侧重身份认证或信息加密等。
万俊介绍,过去几年,人们对于内网安全的管理主要偏向于防止信息泄密,因此,严格控制电脑终端的外设及各类端口成为各大厂商产品方案的重点诉求。
然而,随着网络安全形势的不断演变,企业用户开始不仅满足于对电脑终端的监控,而是希望从管理的角度对内网安全进行防护。比如本文开头所说的那家造船厂,通过内网审计系统锁定非法操作,再比如统计网络流量、补丁分发以及系统软硬件的升级管理等。
这在本次调查也有所反映。“在内网安全管理方面,贵公司期望在哪个部分得到加强”,有51.3%的用户选择了“监控审计”,26.5%的用户选择了“桌面管理”,14.2%的用户选择了“文档加密”,8.0%的用户选择了“磁盘加密”。
事实上,为了满足用户需求,厂商的产品策略上也在随之跟进。“当然,我们在产品策略上也从最初单纯的监控审计,到现在把监控审计和管理相结合,走向偏重管理的方向。”万俊表示,“毕竟,内网安全的重心已经从偏重安全转移到偏重管理,内网的概念已不仅集中在这块,许多非企业、非业务也开始从管理的角度落实内网安全。”
在实践应用中,偏重管理就是要求企业在运用内网功能的时候,不是为了在事后进行补救,而是一方面可以做到预防危险的发生,另一方面把公司一些理念、文化都能在计算机内网监控中得到体现。
比如鼎普科技最新研发的“猎隼”网络信息监测系统,这个系统通过对所有网络的内容进行解析,能够及时阻止内部的计算机通过互联网发生的敏感信息泄露,快速定位追查源头,防止违规事件发生。它还能对整个网络及计算机用户上网行为、网络流量进行监控,帮助网络高效、稳定、安全的运行,为信息化建设及管理提供有效的技术支撑。
打造立体防御体系
“未来一年,贵公司是否制定了进一步加强内网安全管理的计划”,结果显示,41.6%的企业表示有,32.7%的用户表示暂时没有,25.7%的用户表示不确定。可见,有四成多的用户打算加强内网安全部署。
不过,涉及内网安全的因素非常多,产品形式也比较多样,在哪些环节如何部署就显得非常重要。
总体而言,内网安全集中关注的对象包括引起信息安全威胁的内网用户、应用环境、应用环境边界和内网通信安全。
因此,如何在企业内网构建一个有机统一的安全控制系统,实现立体式实时监管,才是实施内网安全部署的关键所在。
在万俊看来,保障内网安全不能仅靠各种功用安全产品的堆叠,而需要由单纯的安全产品部署上升到如何实现可信、可控的立体防护体系。比如通过四级可信认证机制,则可以让系统既突出安全性,又注重管理性。
第一级认证:基于硬件级别的安全防护和访问控制。在最底层实现对计算机终端进行物理安全加固,例如使用鼎普计算机安全防护卡从BIOS级实现登录认证和全盘数据保护,一方面可以杜绝非法用户从光盘启动绕过软件防护窃取数据,同时还可令用户不能随意安装操作系统、卸载已安装的软件系统改变现有安全环境。
第二级认证:基于操作系统的身份认证和文件保护。采用基于USB-KEY的双因素认证技术实现操作系统登录的可信可控,即在计算机硬件启动之后,可以限制用户权限,如是否可以进一步登录操作系统,以及可以进行何种权限的文件操作,文件如何安全存放以及安全删除。
第三级认证:实现对程序安装运行的授权控制。对应用程序进行黑白名单控制,只有经过管理员签名授权的程序才能在单机终端上运行使用,进一步规范终端用户的软件程序使用行为,可以最大程度防止程序的随意安装使用带来的病毒、木马的传播。
第四级认证:实现可信计算机接入内网的认证管理。网络边界的安全可控是内网安全的基本问题,通过基于802.1X认证协议的可信终端认证子系统,实现网络的安全接入――只有经过授权许可的可信、可控、健康计算机才能接入到内网,并对人终端的运行、健康状态进行实时监控,通过创新的技术理念打造出一个信得过、进得来、控得住的健康可信内部网络。如果不健康,防护系统会采取进一步措施,如报警、断阿等。
在建立以上四级可信认证机制的纵深防御体系基础上,企业用户还要实现身份鉴别、介质管理,数据保护、安全审计、实时监控等防护要求,如此才能达到扎实有效的安全效果。
用户声音
对于完善企业内网安全管理,您认为哪些因素比较重要?
吉林吉恩镍业股份有限公司信息中心主任 周军利
首先要制订科学完善的内网安全管理制度,从制度上有所保障;要加大制度的执行和考核力度,要让员工自觉树立信息安全意识;要有先进的内网安全管理软件,从技术上保障内网安全。
中国石化管道储运公司技术作业分公司科研所高级工程师杨家琳
1、规范内网用户上网行为;2、堵塞系统漏洞;3、加强防范措施(网络监控和预警、防病毒、木马与非法入侵)
山东省泰安市国家税务局 胡志京
1、提高全员对信息安全的防护意识,建章立制,落实制度,规范操作;2、提高领导层的高度重视意识,每年要有一定投入,进行一些安全设备和杀毒软件的更新换代,以保证将病毒、不安全隐惠消灭在萌芽状态。3、加强日常管理,抓好制度落实,做到勤检查,常督促,把网络信息安全工作落到实处。
篇6
关键词:网络安全技术 企业网络 解决方案
中图分类号:TN711文献标识码: A 文章编号:
随着计算机网络技术的飞速发展,自由的、开放的、国际化的Internet给政府机构、企事业单位带来了前所未有的变革,使得企事业单位能够利用Internet提高办事效率和市场反应能力,进而提高竞争力。另外,网络安全问题也随着网络技术的发展而真多,凡是有网络的地方就存在着安全隐患。在2007年1月举行的达沃斯世界经济论坛上,与会者首次触及了互联网安全问题,表明网络安全已经成为影响互联网发展的重要问题。由于因特网所具有的开放性、国际性和自由性在增加应用自由度的同时,网络安全隐患也越来越大,如何针对企业的具体网络结构设计出先进的安全方案并选配合理的网络安全产品,以及搭建有效的企业网络安全防护体系是摆在计算机工作者面前的巨大课题。
一、企业网络安全隐患分析 企事业单位可以通过Internet获取重要数据,同时又要面对Internet开放性带来的数据安全问题。公安部网络安全状况调查结果显示:2009年,被调查的企业有49%发生过网络信息安全事件。在发生过安全事件的企业中,83%的企业感染了计算机病毒、蠕虫和木马程序,36%的企业受到垃圾电子邮件干扰和影响。59%的企业发生网络端口扫描,拒绝服务攻击和网页篡改等安全危机。如何保护企业的机密信息不受黑客和工业间谍的攻击,已成为政府机构、企事业单位信息化健康发展所要解决的一项重要工作。随着信息技术的发展,网络病毒和黑客工具软件具有技术先进、隐蔽性强、传播速度快、破坏力强等特点。这主要表现在: 1.网络安全所面临的是一个国际化的挑战,网络的攻击不仅仅来自本地网络的用户,而是可以来自Internet上的任何一个终端机器。2.由于网络技术是全开放的,任何一个团体组织或者个人都可能获得,开放性的网络导致网络所面临的破坏和攻击往往是多方面的,例如:对网络通信协议的攻击,对物理传输线路的攻击,对硬件的攻击,也可以是对软件的攻击等等。3.用户可以自由地使用和各种类型的信息,自由地访问网络服务器,因为网络最初对用户的使用并没有提供任何的技术约束。
二、企业网络安全解决方案
(一)物理隔离方案。其基本原理为:从物理上来隔离阻断网络上潜在的攻击连接。其中包括一系列阻断的特征,如:没有连接、没有命令、没有协议、没有TCP/IP连接,没有应用连接、没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击、无法入侵、无法破坏。比如可以采用DShield/宇宙盾通用双向网络信息安全隔离网闸。
(二)网络系统安全解决方案。网络应用服务器的操作系统选择是一个很重要的部分,网络操作系统的稳定性和安全性能决定了服务器的性能。网络操作系统的系统软件,管理并控制着计算机软硬件资源,并在用户与计算之间担任着重要的桥梁作用。一般对其采用下列设置保障其基本安全
1.关闭不必要的服务。2.制定严格的账户策略。3.科学的分配用户账户权限。4.科学的安全配置和分析。 (三)入侵检测解决方案。在现有的企业网络安全防护体系中,大部分企业都部署了防火墙对企业进行保护。但是传统防火墙设备有其自身的缺点。如果操作系统由于自身的漏洞也有可能带来较大的安全风险。根据企业网络的实际应用情况,对网络环境安全状况进行详细的分析研究认为,对外提供应用服务的服务器应该受到重点的监控和防护。在这一区域部署入侵检测系统,这样可以充分发挥IDS的优势,形成防火墙后的第二道防线,如果充分利用IDS与防火墙的互动功能优势,则可以大大提升动态防护的效果。
(四)安全管理解决方案。信息系统安全管理机构是负责信息安全日常事务工作的,应按照国家信息系统安全的有关法律、法规、制度、规范建立和健全有关的安全策略和安全目标,结合自身信息系统的安全需求建立安全实施细则,并负责贯彻实施。 单位安全网(即内网)系统安全管理机构主要实现以下职能:
1.建立和健全本系统的系统安全操作规程。
2.确定信息安全各岗位人员的职责和权限,实行相互授权、相互牵连,建立岗位责任制。
3.审议并通过安全规划,年度安全报告,有关安全的宣传、教育、培训计划。
篇7
关键词:信息管理系统 信息安全 系统安全建设
中图分类号:TP39 文献标识码:A 文章编号:1003-9082(2014)03-0001-02
一、引言
随着全球信息化不断在我国深化和发展,我国各地区、各行业使用信息系统开展工作的比例越来越大。一般来说,信息化程度越高,对信息管理系统的依赖性就越强,信息安全问题就越为突显和严重。而信息安全问题也正逐渐成为影响各企事业单位业务能否正常运行、生产力能否快速发展的重要因素之一。但是由于我国信息化建设起步相对较晚,与国外先进国家相比,无论在信息安全意识还是信息安全防护技术等诸多方面都还存在较大差距,各企事业单位的信息安全基本上均处于一个相对较为薄弱的环节。一旦信息管理系统中的个人信息和敏感数据发生丢失或者泄漏,可能会对自身造成无可估量的损失。因此,重点保障信息管理系统安全已成为各行各业的首要任务。信息管理系统安全建设应该系统地、有条理地进行全面规划,充分地、全方位地考虑安全需求和特性,从而达到各种安全产品、安全管理、整体安全策略和外部安全服务的统一,发挥其最大的效率,给予信息管理系统以最大保障。
二、信息管理系统安全建设原则
1.安全体系兼容性
安全体系有一个重要的思想是安全技术的兼容性,安全措施能够和目前主流、标准的安全技术和产品兼容。
2.信息管理系统体系架构安全性
系统的系统架构已经成为保护系统安全的重要防线,一个优秀的系统体系架构除了能够保证系统的稳定性以外,还能够封装不同层次的业务逻辑。各种业务组件之间的“黑盒子”操作,能够有效地保护系统逻辑隐蔽性和独立性。
3.传输安全性
由于计算机网络涉及很多用户的接入访问,因此如何保护数据在传输过程中不被窃听和撰改就成为重点考虑内的问题,建议采用传输协议的加密保护。
4.软硬件结合的防护体系
系统应支持和多种软硬件安全设备结合,构成一个立体防护体系,主要安全软硬件设备为防火墙系统、防病毒软件等。
5.可跟踪审计
系统应内置多粒度的日志系统,能够按照需要把各种不同操作粒度的动作都记录在日志中,用于跟踪和审计用户的历史操作。
6.身份确认及操作不可抵赖
身份确认对于系统来说有两重含义,一是用户身份的确认,二是服务器身份的确认,两者在信息安全体系建设中必不可少。
7.数据存储的安全性
系统中数据存储方面可以采取两道机制进行的保护,一是系统提供的访问权限控制,二是数据的加密存放。
三、信息管理系统安全建设内容
按照系统安全体系结构,结合安全需求、安全策略和安全措施,并充分利用安全设备包括防火墙、入侵检测、主机审计等,其建设内容主要有:
1.物理安全
机房要求保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染、电源故障、设备被盗、被毁等)破坏。
2.网络安全
利用现有的防火墙、路由器,实行访问控制,按用户与系统间的访问规则,决定允许或拒绝用户对受控系统进行资源访问。同时加强端口、拒绝服务攻击、网络蠕虫等的监控,保障系统网络运行的畅通。
2.1使用防火墙技术
通过使用防火墙技术,建立系统的第二道安全屏障。例如,防止外部网络对内部网络的未授权访问,建立系统的对外安全屏障。最好是采用不同技术的防火墙,增加黑客击穿防火墙的难度。
2.2使用入侵监测系统
使用入侵监测系统,建立系统的第三道安全屏障,提高系统的安全性能,主要包括:监测分析用户和系统的活动、核查系统配置和漏洞、评估系统关键资源和数据文件的完整性、识别已知的攻击行为、统计分析异常行为、操作系统日志管理,并识别违反安全策略的用户活动等功能。
3.主机安全
系统主机安全从主机身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等方面考虑。
3.1主机身份鉴别
对登录操作系统的用户进行身份设别和鉴别,对操作系统和数据库系统设置复杂的登录口令,并且定期进行更换。同时对操作系统和数据库用户分配不同的用户分配不同用户名。
3.2访问控制
通过三层交换机和防火墙设置对系统服务器的访问控制权限。对服务器实现操作系统和数据库系统特权用户的权限分离,限制默认账号的访问权限,重命名系统默认账户,修改默认密码。
3.3安全审计
服务器操作系统本身带有审计功能,要求审计范围覆盖到服务器上的每个操作系统用户,审计内容包括重要用户行为、系统资源异常使用并进行记录。
信息管理系统也应考虑安全审计功能,记录系统用户行为,系统用户操作事件日期、时间、类型、操作结果等。
3.4入侵防范
利用入侵检测系统和防火墙相应功能,检测对服务器入侵行为,记录入侵源IP、攻击的类型、攻击的目标、攻击时间,并在发生严重的入侵事件时提供报警。
3.5恶意代码防范
在服务器上安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力。
3.6资源控制
在核心交换机与防火墙配置详细访问控制策略,限制非法访问。
4.应用安全
4.1安全审计
信息管理系统应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计,审计记录内容至少包括事件的日期、时间、发起者信息、类型、描述和结果等,保证无法删除、修改或覆盖审计记录。
4.2资源控制
信息管理系统应限制用户对系统的最大并发会话连接数、限制单个账户的多重并发会话、限制某一时间段内可能的并发会话连接数。
5.数据安全
系统数据安全要求确保管理数据和业务数据等重要信息在传输过程和存储过程中的完整性和保密性。对于数据库中的敏感数据,需对数据项进行加密,保证管理数据、鉴别信息和重要业务数据在传输过程与存储过程中完整性不受到破坏。
对数据进行定期备份,确保存储过程中检测到数据完整性错误时,具有数据恢复能力。必须采用至少两种手段进行备份,备份手段以整体安全备份系统为主,配合其他备份手段,如GHOST、TRUE IMAGE或操作系统和数据库管理系统本身的备份服务等。备份具体要求如下:
5.1各服务器专职管理员根据所管服务器的具体情况与整体安全备份系统专职管理员协调制订好所管服务器的备份计划及备份策略。
5.2整体安全备份系统专职管理人员必须组织各服务器专职管理员对各服务器每个季度进行一次整体灾备(冷备)。若某台服务器的配置需要发生较大变更,该服务器的专职管理员应在对该服务器实施变更前和圆满完成变更后,分别对该服务器做一次整体灾备,必要时整体安全备份系统专职管理员需对整体灾备提供协助。
5.3数据备份主要分为月备份、周备份、日备份及日志(增量)备份。月备份每月对各服务器的所有系统、目录及数据库做一次全备(热备)。周备份每周对各服务器的所有系统、目录及数据库做一次全备(热备)。日备份每天对各服务器的重要目录及数据库做一次备份。日志(增量)备份针对数据更新较频繁的服务器,每天进行多次增量备份。
5.4除日志(增量)备份外,其它各种备份以每一次独立执行的备份作为一个独立版本。每个独立版本的备份必须存储在独立的备份介质上,不能混合存储在同一套备份介质。整体灾备(冷备)和月备份一般要求保留至少能覆盖当年及上一年全年时间的所有版本,周备份要求保留至少最近5个版本,日备份要求保留至少最近4个版本,日志(增量)备份保留至少自上一次周备份以来的所有版本。
5.5备份介质应放在机房以外安全的地方保管。所有备份介质必须有明确、详尽的标签文字说明。
5.6整体安全备份系统专职管理员必须定时检查备份作业的运行情况,备份异常情况应尽快查明原因,解决问题并在值班登记本上详细记录。
四、安全制度建设
建设严格、完整的基本管理制度包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理机制几个方面。
安全管理制度:包括安全策略、安全制度、操作规程等的管理制度;管理制度的制定和;管理制度的评审和修订。
安全管理机构:包括职能部门岗位设置;系统管理员、网络管理员、安全管理员的人员配备;授权和审批;管理人员、内部机构和职能部门间的沟通和合作;定期的安全审核和安全检查。
人员安全管理:包括人员录用;人员离岗;人员考核;安全意识教育和培训;外部人员访问管理。
系统建设管理:包括系统定级;安全方案设计;产品采购和使用;自行软件开发;外包软件开发;工程实施;测试验收;系统交付;系统备案;等级测评;安全服务商选择。
系统运维管理:包括机房环境管理;信息资产管理;介质管理;设备管理;监控管理和安全管理中心;网络安全管理;系统安全管理;恶意代码防范管理;密码管理;变更管理;备份与恢复管理;安全事件处置;应急预案管理。
五、结束语
信息化建设已经涉及到国民经济和社会生活的各个领域,信息管理系统也成为各行各业信息化建设发展中的重要工具。如何保障信息管理系统安全从而保证信息安全是关系到国家安全、社会安全和行业安全的大问题。我们只有在实现信息安全的条件下,才能有效利用信息管理系统这个有力的工具提高生产力,推动社会的发展。本文通过对信息系统安全建设原则、安全建设内容和安全制度建设三方面较为详细的探讨,应该对于各企事业单位信息管理系统的安全建设有所帮助和借鉴。
参考文献
[1] 林国恩,李建彬,信息系统安全,电子工业出版社,2010-03
[2] Dieter Gollmann, Computer Security 2 edition, Wiley, 2006
[3]《信息系统安全等级保护基本要求》,中华人民共和国国家标准,GB/T 22239-2008
[4] 尚邦治等,做好信息安全等级保护工作,中国卫生信息管理杂志,2012.5
篇8
关键词:网络安全;计算机软件;安全系统维护
中图分类号:TP393.08
1 硬件设置对网络安全的影响
1.1 网络系统布线
现代医院的主线和各个院部科室之间多采用的是光纤连接,并且在各个连接中都留有备线,线路之间有序连接,避免交叉连接,并且与强电之间保持着安全距离,以减少她们之间的相互干扰,对于后期可能会出现的网点,离交换机的距离要尽可能的近,这样可以减少信号的衰减,平时也要加上备份,以备不时之需。
1.2 服务器
信息系统安全的关键在于数据库的可靠和数据存储的安全,那么服务器就要保证所提供服务可靠和不间断,所以服务器的建设是系统安全建设的重点。首先对服务器必须要保证24不间断工作,这样就要使用不间断电源,避免停电造成数据库数据丢失。目前大部分医院使用的都是双机热备份加上磁盘阵列柜的模式,当一个服务器出现问题的时候,可以立刻启动备份的服务器,启动数据库,这样可以尽快的恢复医院业务处理,同时避免数据的丢失,应急备份服务器在正常情况下对整个系统的工作进行实时备份的,其数据与中心服务器是一样的,这样在应急服务器启动的时候,就确保了用户的使用方法和设置的信息不变,患者的信息与数据连续,这样使得工作人员的工作更加便利,同时也提高了系统的安全性。
2 注重计算机软件的安全性
医院计算机网络安全中最需要注意的重要问题是数据库的数据安全和完整,以及发生问题时,数据库数据的备份是否完善,医院的系统投入使用之后,就24小时不间断运行,如果中间发生故障中断,后果将会很严重,所以在进行系统的软件开发过程中,数据库的选择是重中之重,在发生故障后应能够自动保存数据,系统恢复后要能恢复到断点,这样可以保证数据的完整。目前现有医院计算机网络系统在数据库的选择上多采用SQL SERVER、ORACLE数据库。医院的数据库是在不断的发生变化的,不断的新的数据录入,如果操作人员进行定时备份是不够的,如果系统一旦发生问题,必然会有一部分最新数据保存不上,所以要建立一套实时备份系统,数据会自动保存,不会出现丢失的现象,现在医院采用的磁盘阵列的方式进行数据的实时备份,不过这种方式也存在着不足,成本过高,安全系数达不到理想的状态。所以根据医院网络系统的特殊性,可以设计一个数据保护计划,实现数据库的全脱机备份。比如,我们可以在各个系统分别使用服务器,在增加一台总的服务器,在总服务器中备份其他所有服务器的数据,与此同时也要做好磁带或者光盘的备份,如果有一台服务器出现问题,可以从总的服务器中找到需要的数据,也不影响其他服务器继续运行,这样的运行机制,在医院取得了很好的效果。
3 网络信息安全的维护措施
3.1 内外双网结构的安全设计
网络在组建的过程中要考虑外在和自身两方面的原因,外在的因素比如:病毒入侵,黑客攻击和窃取数据,拒绝服务访问等,自身的原因是网络自身。网络设计要保证合法的用户和正常的访问浏览可以进行,也要阻止黑客的和有不良目的的人攻击,为了达到这样的目的,要区分开内外网的安全设计。在内部网上可以看到核心的数据,主要储存内部的会议视频或者会议记录,医院的安全系统数据,财务记录,和实验室管理系统等核心数据,内网不能与外部的网络系统连接,这样可以避免外来的黑客攻击和重要数据的丢失,核心数据只对拥有访问权的用户开放,同时还要有专业的杀毒软件,这样可以使得网络的安全性更高。外网从字面意思就可以理解,这是与外界进行信息交流的通道,这样的系统有可以称之为综合办公网,外网可以与外界的网络系统连接,比如:邮寄接受、疫情上报、办公自动化系统等。我单位出资构建的本地内网,架构了从业健康体检及职业健康体检系统、动物咬伤处理系统、疫苗库管理系统,并且做到了与外网物理隔离。与外网物理隔离的本地内网的计算机将USB口和光驱全部禁用,在服务器上安装防病毒软件,用来提高安全性和稳定性。直接接入因特网的计算机在飞鱼星行为路由器的管理下安全工作。
3.2 计算机病毒的预防与控制
在计算机网络系统的安全设计中我们需要重点考虑病毒的侵袭,这是因为病毒的传播方式很多,传播的速度也很快,很多时候让人防不胜防,并且被传染之后的破坏性也很大,对于病毒的预防和控制我们主要做到以下几点:
(1)计算机系统里要安装正版的杀毒软件,启动实时防护功能,要及时升级到最新版本,现在我们单位全部安装的是360防护软件,通过这个软件保护整个单位的计算机安全。
(2)网络防病毒系统应基于策略集中管理的方式,并应提供病毒定义的实时自动更新功能。
(3)在做好硬件安全防护的同时,也要对计算机专业人员和医院计算机操作人员进行计算机信息系统安全培训,对于经常被攻击的程序要提供特殊的保护,形成人机一体合力形成对抗计算机黑客和病毒的安全体系。尤其是对外来的存储设备要加强管理和谨慎使用,不能轻易的将单位系统和外界的网络进行连接,增强计算机硬盘的安全性。
3.3 建立安全备份机制、灾难应急预案及演练灾难恢复
外界我们在做好系统硬件和软件安全措施的同时,也要做好备份,避免因为不可抗拒的因素造成数据的丢失。在进行数据备份的时候要注意对数据进行分类,根据科室的不同或者工作性质的不同,对不同系统的数据进行分类备份。这样使得备份的数据便于查找和恢复,提高工作的效率,可以把因为网络系统瘫痪造成的损失降到最小,安全备份的策略是根据中心系统的需求来制定的。详细的说就是对于不同的数据,我们对它的需求也是不一样的,数据的重要性不一样,要求恢复的时间和先后顺序也是有差异的,有的系统甚至可以允许部分数据的丢失,但是对于有的系统来说,数据丢失就到导致整个工作无法进行,对于系统和数据库的保护,我们提倡多种形式的备份,可以进行异地同步复制或者数据导出迁移等,根据实际情况的不同需要制定出合理的备份方案。
灾难恢复演练除了制定应急预案外,还可以定期进行灾难恢复演练,这样做就可以使得工作人员熟悉操作全过程,而且还能有效地检察已经制定的应急预案是否科学合理。当然,在演练过程中,工作人员要做详细的记录,便于发现问题进而解决问题,积累经验,确保真正灾难发生时,能尽快地完成系统的恢复。络安全技术没有最好.只有更好。这就要求中心从制度、人员、技术手段等各方面,建立起一整套网络安全管理策略.来指导中心的网络安全建设及维护工作。这是一个长期的系统工程,需要中心全员提高安企意识,遵守安全制度,同时。在数据传输安全保护上需要软件系统开发人员的共同努力,这样才能保障中心网络的正常运转。
参考文献:
篇9
随着高中校园网的普及,学校逐步实现了管理网络化和教学手段现代化,提高了管理水平和教学质量,为师生的教学和学习带来了方便,信息获取更加迅速方便。但是网络化的办公及教学也带来了网络的安全问题,数据的安全性和学校自身的利益都受到了一定的威胁。因此,实现高中校园网络系统的安全和正常运转便成为高中校园网络管理所面临的一个现实问题。
二、高中校园网络安全存在的主要问题
1.计算机病毒
计算机病毒是威胁高中校园网络安全的主要因素之一,计算机病毒是指人为设计的影响计算机使用并且能够自我复制的一种程序。在网络中存有大量计算机病毒,并且不断地复制变异。学生使用U盘等移动存储设备、下载、浏览网页、玩游戏、QQ等都有造成病毒传播的可能。大量病毒不仅侵占网络资源、降低网络运行效率,有时还会对学校网络设备、服务器等造成不可估量的破坏,对整个高中校园的网络系统的正常运作产生严重影响,甚至可能造成网络瘫痪、数据丢失等。
2.系统漏洞
高中校园网络服务器采用的Windows操作系统、TCP/IP协议等都有可能存在安全漏洞,同时高中校园网络上运行着高中校园网站和各部门基于Web的业务管理系统,为全校师生及社会提供资源,但是站点代码在编写设计过程中不够严谨或者留有后门,都有可能给攻击者留下入侵的途径。另外,一些高中校园网络硬件设备如交换机、防火墙等也存在着一些程序上的漏洞。这些都给高中校园网络安全留下了隐患。
3.高中校园网络宽带的滥用
高中校园网络主要是为了给广大师生提供学习和教研的平台,但也存在着严重的资源滥用及被盗用的问题,一些师生滥用网络做一些与工作学习不相干的事情,迷恋网络游戏、访问一些不健康网站等。这些行为严重影响宽带流量,造成网络拥堵、速度变慢等问题,甚至有些用户将免费的高中校园宽带资源提供给商业用途,占用学校的网络宽带资源。这些行为都会对高中校园网络产生不良影响,干扰学校正常用户的使用。
4.高中校园网络安全缺乏管理
当前众多高中校园网络建设普遍存在着重硬件轻软件及重运行轻管理的问题,由于网络管理员不具备丰富的网络安全管理经验和技术防范能力,所以网络管理只集中于简单的日常事务管理方面,如排除网络线路的故障、开通和维护用户账号、服务器的常规管理和系统的日常维护等工作。另外,有些学校缺乏网络安全管理人员,难以应对庞大的复杂多变的网络环境。高中校园网络安全制度不健全;监管机制存在严重的漏洞;高中校园网络安全法规的宣传力度不够;缺乏相关的网络安全规定;等等。
5.人为因素
高中校园网络的用户十分庞大,网络环境也较复杂,师生安全防范意识淡薄, 在网络上随意浏览或下载一些可能带有病毒的文件,造成高中校园网络故障。另外,有些教师或学生认为高中校园网络的安全是网管人员的责任,跟自己无关。高中校园网络道德教育严重缺乏,恶意使用高中校园网络资源、浏览不健康网站,接受、不良信息等问题日趋严重。
三、高中校园网络安全的应对策略
1.健全高中校园网络安全管理制度
学校应制订健全的校园网络安全管理规章制度,并严格执行,用规章制度约束校园网络用户的行为,不断强化相关网络管理人员的专业技能和责任意识的培训学习,不断提高他们的工作责任心和工作热情。
同时学校要进一步加大对师生的网络安全教育力度,积极开展高中校园网络安全法律法规的宣传教育活动,并将高中校园网络安全的相关教育融入日常教学活动中,使师生深知网络犯罪的危害,使教师和学生严格遵守学校制定的网络安全管理制度,人人都树立网络安全意识,自觉养成文明上网的良好习惯。
2.加强网络安全的技术应用
威胁高中校园网络安全最主要的因素就是计算机病毒,计算机病毒对高中校园网络的威胁必须得到重视,因此,建立全面完善的防御体系十分重要。
一方面,学校可以利用防火墙技术提高高中校园网络安全。使用防火墙技术经济、简单易行,该技术在高中校园网络安全建设中被广泛运用。利用防火墙技术加强学校内、外网之间的访问控制,防止学校内部资源被盗取。
另一方面,学校可根据高中校园网络的大小,部署正规的防病毒服务器,选择正版病毒防护软件,并在使用的过程中及时升级更新,及时修补其中存在的安全漏洞;制订对应的网络安全策略,实时监控高中校园网络动态,及时发现并隔离异常网络行为,限制非法用户对高中校园网络资源的访问。
3.做好备份和镜像技术
随着数字化高中校园的创建,高中校园网在教学和工作中占有不可替代的作用,一旦瘫痪,会给师生的教学、科研等工作带来极大的不便和不可估量的损失。而学校防范手段不可能设计得面面俱到,因此,必须做好备份与恢复,备份不仅包括校园网络重要数据的备份,也要做好校园网络中核心设备的系统备份。数据备份可以使用移动存储设备备份、异地备份等方法。最后,高中校园网络管理人员也应具备完整的应急修复方案,以便在发生网络故障后快速恢复,保障高中校园网络的安全、正常运行。
4.重视高中校园无线网的安全管理
随着信息技术的快速发展和教育信息数字化进程的推进,无线网技术在高中校园网络中的应用逐渐普及。无线网技术的传输介质是开放的,高中校园无线网络具有方便、灵活的组网方式和适用环境广等优点。数据在传播通信过程中有可能被一些非法的接收设备窃取,而且高中校园无线网络使用者比较多,网络覆盖范围广,终端设备种类多,因此无线网更易遭受攻击,在无线高中校园网络管理上可采取身份认证、访问控制等方式加强管理。
5.大力开展师生网络道德教育,增强师生网络安全道德意识
目前很多学校还没有把网络道德教育、信息安全教育引入课堂,致使高中校园网络道德教育滞后,学生网络犯罪频发。各学校应将网络道德教育纳入教学计划,运用多种方式进行宣传教育,如课堂教学、广播、宣传栏、讲座等形式,教育和规范师生的上网行为,避免一些师生因不懂网络安全法而导致网络犯罪。
在信息技术飞速发展的社会,网络已经成为人们工作、学习、生活中必不可少的工具。在使用网络的过程中养成良好的网络安全职业道德,一方面有助于加强彼此之间的理解和沟通,另一方面可以避免非主观意愿的计算机网络犯罪行为。
四、结语
随着计算机技术的快速发展,人们的工作、学习和生活越来越离不开网络,各个学校都在推行数字化高中校园建设。高中校园网络在数字化高中校园建设中担当着至关重要的角色,而在高中校@网络使用过程中,网络安全问题日益突出。
篇10
关键词:思科设备;企业网;安全方案
中图分类号:TP393.08 文献标识码:A 文章编号:1006-8937(2013)14-0083-01
随着企业网络不断的扩展和互联网技术的不断更新,各大中企业越来越多的通过网络来发展业务。由于大中企业的发展规模不断扩大,员工人数的不断增加,并且扩展了越来越多的分公司。现有的企业网络系统逐渐不能满足企业信息化建设在安全性和可靠性等方面的要求。因此,对大中型企业网络进行改善,以提高网络的可用性、安全性、可靠性、稳定性,并具有一定的可扩展性要求,用来满足企业业务发展的需求是十分必要的。通过按照企业网络的建设规划和总体要求,主要通过利用原有综合布线系统和设备的基础上,重新规划实施,建设安全性高的企业内联网,以满足网络整体性能的要求,并为各种网络服务和信息系统的使用提供运行良好的网络平台。
1 企业网安全建设需求分析
按照目前大中企业网络建设规划和总体要求,将对企业网络设备进行相关的配置和实施,使企业网络满足设计的要求,实现高效的企业网络的办公网络系统。将网络按照层次的要求满足发展中公司信息化的要求,并具有一定的可扩展性。同时,满足企业分公司和总公司的信息传输和资源共享的要求及员工增长的要求。主要进行如下需求分析。
①网络部分的总体设计需求。企业网络大都是通过路由器设备连接成一个统一的企业内联网,满足公司对网络统一管理的要求。本方案计划使用OSPF开放最短路径优先协议和BGP协议分别作为内部和外部路由协议。选用OSPF的好处在于OSPF作为链路状态协议已成为业界标准,并且具有行业内的各大厂商的支持基础,该协议的优点还具有路由信息传输的可控性,还能充分保证链路的负载均衡。在总体需求中,企业网络在结构上主要按网络层次进行分层设计,主要分为三层,分别为核心层,汇聚层和接入层,接入层交换机全部冗余上行链路,分别上联到汇聚层交换机,这个既保证了企业网络的安全性和可靠性,同时又实现了企业虚拟局域网的统一配置管理和企业网络环路避免。
②系统部分的总体设计需求。通过对企业网络的服务器及客户机进行安全方面的设计,以提高网络的安全性,而且公司的服务器等可以在总公司实现,分公司只使用总公司提供的应用服务,不需要自己建设。
③安全部分的总体设计需求。根据企业网的运行规律和安全现状,在企业网络中应用热备份路由协议对交换及路由设备进行备份。即保证了企业网的信息处理和传输系统安全,它侧重于保证企业网络系统正常运行,有效避免了企业网络系统的崩溃对企业信息的处理和资源共享造成大的故障。同时在企业网络的系统信息安全方面还通过域环境管理企业的资源访问,通过设置用户安全问题跟踪,计算机病毒防治,数据加密等避免有害的信息传播后造成的后果。同时为了避免企业网络上大量的机密信息失控,设计时,需要在企业网络的出口处设计防火墙技术,从而使出入企业网络的数据流量都必须经过防火墙的过滤,通过利用防火墙技术对企业网络数据包进行安全过滤,并实现安全访问控制。
④整体规划指导思想。企业网络建设将采用思科公司的网络设备和先进的计算机及软件,以及先进的管理模式,实现一个高效的企业网络的办公网络体系。企业网络的各类服务器以及各种操作系统和应用软件必须考虑技术上的先进性和通用性,并且要有良好的售后技术,而且需要方便维护和升级。
⑤方案实施主要依据原则。方案设计实施依照国家及行业有关标准完成。企业网络安全设计应满足企业未来发展的要求,具有充分的可扩展的能力,随着公司规模的扩大,本设计方案仍然能够满足公司运营的需求或变更和升级。而且项目设计应遵循实用的原则,并且提供良好的培训及售后服务。
2 安全方案设计
按照企业网络的总体建设规划和总体要求,现在将对企业网络新购的和原有的思科公司的设备进行相关的配置和实施,使公司网络满足设计的要求,实现高效的办公网络体系。将网络复杂化进行分层化的处理,满足大中企业发展的信息化的要求,并具有一定的可扩展性,同时满足企业分公司和总公司的规模增长的要求。
企业网络安全方案设计阶段主要分为以下几个部分,分别是交换机部分的设计,路由器部分设计,服务器部分设计,广域网部分设计和网络安全性部分设计。
①交换部分的设计。当企业网络的规模扩大,交换机数量增多时,可以减少管理员的工作量,在维护整个企业网络上VLAN的添加,删除和重命名工作时,还可以确保配置的一致性。从而降低了为止的复杂度,大大减轻了网络管理人员的工作负担,同时提高了安全性。
②MSTP多生成树的设计。企业网络的拥塞问题也会造成网络的效率大大的降低,通过多生成树协议可以避免网络广播的形成,多生成树协议的原理是把网络拓扑的环形结构变成树型结构,最主要的应用是为了避免企业网络中的网络环路,解决以太网网络的广播风暴问题,主要配置命令如下所示:
SW3-1(config)#spanning-tree vlan 10 root priority
③以太网通道的设计。以太网通道通过捆绑多条以太链路来提高链路带宽,并运行一种机制,将多个以太网端口捆绑成一条逻辑链路,主要配置命令如下:
channel-group 1 mode on
④热备份路由协议设计。企业网络的多台汇聚层交换机或路由器上启用热备份路由协议HSRP,其设计目标是支持特定情况下,当某一设备出现故障时,企业网络数据流量可以从故障设备切换到正常的设备上,并允许设备作为企业网络的网关,可以实现当实际第一条路由尝试失败的状态下,仍能保持整个企业网络的连通,主要命令如下:
SW3-1(config-if)#standby 10 IP IP-address
SW3-1(config-if)#standby 10 priority 120
⑤VPN专线技术设计。虚拟专用网在有总部和分公司的企业是十分有效的安全解决方案,VPN主要是通过一个公用网络建立一个安全隧道连接,它能够实现在公用网络中产生一条安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,通过虚拟专用网可以实现在企业外部的用户、分支机构、商业伙伴及供应商安全有效的与公司内部网建立可靠的安全访问连接,同时保证了数据的安全传输。
⑥网络防火墙安全性设计。防火墙位于企业网络的总公司与外网之间。企业的所有计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。一个防火墙作为阻塞点、控制点能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,网络环境变得更安全。所以,在企业网络方案中选择的防火墙是CISCOASA5520-BUN-K9,能更保证我们组建的网络更安全更可靠。
3 结 语
通过设计网络安全方案可以实现大中型企业网络的高效、安全和可靠性的正常运转,在基于思科公司的网络设备的基础上,利用各种交换技术和路由技术等构建适合大中型企业网络的安全解决方案设计,为企业网络的安全高效的运行提供良好的条件,当然随着网络技术的不断更新,还需要不断进行企业网络安全方面的设计。
参考文献:
相关期刊
精品范文
10网络监督管理办法