公司网络安全建设范文

时间:2024-02-29 18:07:10

导语:如何才能写好一篇公司网络安全建设,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

公司网络安全建设

篇1

互联网最初发展的目的在于方便人们的工作与生活,但是在发展的过程中逐渐形成了扩张性、渗透性、互动性的特点,这些特点为各种的权益主张、思想激荡碰撞有时甚至是违法犯罪提供了一个广阔的媒介和平台。在一定程度上为网友的诉求提供了新的途径,给他们一个发表言论的平台;但是一旦利用不好就会给公安机关带来极大的管理压力,在意识形态、舆论引导、社会管控等方面产生的新情况、新问题也让党在进行执政能力建设遭遇到了一定程度上的阻力。在新的形势下,公安机关要更加重视对网络的安全保卫工作,将网络保护放在工作中更为重要的位置,在进行战略部署时,要对网上网下进行双向部署,保证部署的全面性。根据当前所面临的局势在原有政策的基础上不断创造与发展的同时要进一步加强组织决策者的领导能力,能够在大方向正确的基础上稳步推进网络安全保护工作的发展。

关键词:

网络安全;公安信息建设;公安工作

0引言

网络日益发展,公安机关建设的公安网在各种打击违法犯罪中起到了重要的作用,这是“科技强警”“向科技要警力”口号的一个具体落实。[1]公安机关将信息化运用于“网络追逃”“网络打拐”等侦查破案中,并成为了基本的侦察手段,公安网的迅速发展有利于不断促进社会的稳定、打击预防犯罪并维护良好的社会治安。我国公安机关对公安内网的建设投入了很多的人力物力,因为一旦公安内网出现安全问题,就会导致大量的内部工作信息和保密数据被泄露,后果无法想象。从基层各级基本单位到公安部都存在着同样的风险,常常出现的问题有“一机两用”等。目前摆在公安机关面前的问题是如何运用更加先进的技术对公安内网的大量信息和数据进行良好的保护。

1公安网安全问题分析

1.1概述

公安信息网一般分为内网和外网。内网的用途一般是用来进行日常的办公、办案以及违法处理;外网是用在民警搜集、检索信息和材料所需要使用的网。外网所遭受的攻击和破坏主要是来自于病毒和木马的攻击,这往往能够通过防火墙等一系列措施进行安全保护。内网的攻击来源与外网是不同的,主要来自于内部,并且比外网更容易遭到破坏的同时防范的难度也会更高。为了防止外网的入侵,在公安网的设计之初就将内网和外网的物理层断开,阻断外网对内网进行入侵,同时也为内网加装了防火墙和入侵检测设备,但是这些所起到的作用并不十分显著。[2]

1.2时常受到攻击的原因

(1)随着信息化网络技术的不断发展,我国公安机关的网络建设逐渐优化,网上办案系统的运用达到一个新的层次。办公自动化系统、网上执法办案系统、道路交通违法信息处理系统等大规模系统的使用和普及,对内部网络的通畅要求越来越高。这是网络常常遭到攻击的原因之一。

(2)公安系统内部网络仍然具有一定的安全风险。网络在使用的过程中常常会产生漏洞但是由于系统较多而没有及时的进行修补,这给黑客的攻击提供了便利和降低入侵的难度。随着黑客技术不断快速发展,对黑客的技术水平和要求也越来越低,因此从事黑客的难度也会越来越低。外网时常面临着黑客攻击的风险,内部所面临的威胁也不少,公安内网大量的工作信息和数据也有被窃取的可能性,所以黑客对于公安网具有很强的破坏性和威胁性。湖南湘潭市公安局发生的工作人员使用黑客手段窃取内部网络的信息和公安网的服务器密码便是一个很好证明,也为公安机关敲响了警钟。

(3)部分攻击来自于内网。数据保护在目前的公安网受到重视的程度不高,给一些不法之徒提供了破坏或者是盗窃的便利。保护不力主要体现在以下几个方面:用户直接对数据库和服务器进行操作,这导致了入侵者常常对关键数据进行破坏或者是窃取;民警进行数据处理时忽视了数据加密,使数据处于一种公开状态;公安机关在设计之初对用户进行了权限等级的排序,加大了管理难度,这也会导致更高权限的用户被出现越权操作的情况;还有一种越权操作的情况是民警经常使用别人的账户的情况。数据库管理的不严格、不严密导致了数据容易处于透明状态、文件有时具有的共享属性以及用户使用的不严谨都导致了内部网络经常遭到了破坏。

2安全措施

通过前文的原因分析,受到攻击后的内网造成的严重后果是显而易见的。如何对内网进行安全建设,加强网络保护,尽量减少因为遭受攻击而导致的后果是目前我国的公安系统必须要重视的一个重点。通过笔者自身的基层实习,对公安机关有以下几个建议:

(1)完整公安网络体系的建设。公安机关必须摒弃过去混乱的网络管理和使用模式,进行至上而下的完整体系建设。配备装置良好的安全防护工具是首先要做到的,并对从上公安部到下的基层民警都需要进行统一建设。在选择安全防护产品是要注意售后服务系统的完善,重点在保密和防护各方面都需要有良好的性能。在有了优秀的安全防护工具之后,需要有一批高水平的专业技术人才进行日常系统建设和维护,建设一支具有高水平的网络安全维护队伍有利于提高公安系统整体的水平和素质。

(2)对网络安全的重要性向广大民警大力宣传,提高广大民警的计算机安全保护意识。宣传不仅要在公安部进行,更要在各个基层公安机关进行不同方式的宣传,主要方式有全体民警会议等。宣传主要分为三个方面:一是提高广大民警对计算机网络安全保密工作的重要性;二是操作公安网计算机安全保密的重要性;三是增强民警计算机网络安全信息保密的重要性,概括来说即为网络安全、操作安全、信息安全三个主要方面。公安机关所使用的计算机必须要设置难度较大的密码,无密码设置给黑客攻击提供了一定的便利;进行数据备份,避免因为电脑的故障或者是黑客的入侵导致数据破坏导致数据丢失;公安机关定期对电脑计算机网络进行检修或是出现故障需要外界人员对电脑进行接触时,要有专人在场进行监督,避免数据被窃取,并在接触之后离开之前将设备取回。

(3)加强公安机关内网的安全管理建设。在安全管理方面,公安机关要尽快的形成一套完整的管理方法,将安全管理建设落实到制度中去,将每个人的责任界定清楚避免出现责任不明确相互推诿的情况。公安机关内的计算机的用户和权限都要进行明确的划分,民警签订每台机子的网络安全责任书,避免出现“一机两用”的情况。因为这种情况可能造成计算机感染病毒,其中的数据遭到窃取或是破坏。这很有可能导致公安机关内部网络信息泄露。提高民警网络安全保护意识的同时要严格的执行各项安全保护制度,“八条纪律”和“四个严禁”要严格遵守,违者将会受到严厉的处罚,若是造成了数据破坏或是泄露的情况,将会追究相关的法律责任。《公安网络安全考核准则》中规定了各个单位都要有网络安全主管领导和网络安全管理员对本单位的网络安全进行实时监控和管理。

(4)提高网络安全技术的水平和层次。入侵检测、攻击防范、数据修复是网络安全策略的三个重点。内部安全防范的技术水平已经达到一个较高的水准,因此应在对防范人的方面提高重视程度。只有及时的发现入侵者,才能更好的解决问题,不多走弯路。入侵检测工作的同时我们要注意对黑客攻击进行防范。数据传输的过程是比较容易遭到黑客窃取的时间点,因此在进行数据传输时要采取相应的加密措施。安全的密匙分发制度能够防止用户对业务的否认和抵赖,同时数据遭窃后被破解的可能性也会降低,提高了数据传输时的安全性。要时刻注意数据备份,当网络被黑客入侵,关键数据被破坏时能够及时使用备份,减少对公安机关正常工作带来的影响。

3结束语

公安系统网络安全建设是一项长期建设的过程。公安机关首先要真正认识到建设的重要性并对其加以重视并采取相应的措施进行建设才能推动网络安全建设的不断发展。笔者作为公安机关计算机教育的从业人员,对信息安全的重要性有一个明确的认识。前文所提到的只是想为公安机关敲响一个警钟,希望有关部门能够重视起来并进行沟通建设,努力推动网络安全技术的不断革新与发展。

作者:赵冉 单位:山东省昌邑市公安局

参考文献:

篇2

油田企业的数据信息资源,对油田企业非常重要,一旦受到破坏,将会给油田企业带来巨大的经济损失。所以在油田网络信息安全体系建设的过程中,需要将其安全性提升,加强外部安全建设。在预防为主的基础上进行,对外部因素、病毒因素的影响,只有将系统的安全性提升,才可以杜绝此类影响的发生。在油田网络信息安全体系建设中,建立防火墙,可以将体系的安全性提升,在网络和油田网络信息安全体系之间建立一个安全网关,保护体系不受非法入侵者侵入和攻击。防火墙的建设,将体系的安全性、网络的安全性提升,有效地阻止了体系的非法访问,不允许外网访问内网。在建设网络防火墙的基础,增加入侵检测设置,对系统入侵进行控制。入侵检测技术是防火墙的一种互补,可以提升油田网络信息安全体系中信息管理的性能,保证信息的完整性,减少网络威胁。

2加强内部建设

在加强外部安全建设之后,油田网络安全信息体系的建设,想要保证信息管理的安全性,保证信息的完整性,还需要加强系统的内部建设。从当前油田网络信息安全体系建设现状进行分析,加强内部建设,可以从设置系统访问权限、对网络病毒进行防治、加强网络信息安全体系的管理等方面入手。保证油田网络信息安全体系以及信息安全的有效手段之一,就是设置系统的访问权限,采用虚拟网络技术对油田企业的数据信息安全进行保护。其次是加强病毒防治技术的应用,提高网络信息体系的安全。病毒在网络中的传播途径和传播方法有多种,为了提升油田网络信息安全体系的安全,提升信息管理质量,需要坚持层层设防、集中控制、以防为主防治结合的原则,进行系统安全性的建设。最后加强系统的安全管理,如果网络安全管理缺乏,系统在工作的过程中,也会对数据信息的安全产生一定的威胁,为此需要在油田网络信息安全体系运用中,加强网络安全管理,提高系统的病毒防治有效性。

3结语

篇3

网络武器民用化

将导致勒索成为最流行模式

齐向东在演讲中称,网络战“不费一枪一炮”,就能达到传统战争破坏政府、经济、社会正常秩序的系列目的,勒索病毒攻击就是这种形式。

在刚刚过去的6月底,勒索病毒变种Petya卷土重来,距Wannacry事件仅过去了一个多月。齐向东总结说,经过对比分析,勒索病毒变种有传播速度更快、破坏性更强以及目的性更复杂的趋势。

传播速度上,新病毒变种的传播速度达到了每10分钟感染5000余台电脑;破坏性上,大量基础设施遭到攻击,危害性极大;目的性上,“黑客”不再单纯地以盈利为目的,而是为了搞破坏,而带有国家背景的攻击极有可能隐藏在黑产面具的背后。

齐向东认为,以“永恒之蓝”勒索病毒为标志,网络攻击已经从过去的“弱感知”变成了“强感知”,大部分人从“围观者”被迫成为了“受害者”。同时,“网络武器民用化”的趋势将导致勒索成为未来最流行的模式。

“以前网络攻击的目的是破坏,但在大数据时代,用网络漏洞进行勒索不仅能快速地破坏企业和机构的基础设施,还能实现盈利。”齐向东说。安全行业将演变为

人才密集型的服务行业

面对越来越复杂的网络攻击,传统的安全防护思路和技术已经失效,建设全新的网络安全体系迫在眉睫。

齐向东表示,在建设全新的网络安全体系时,人的作用会越来越大,安全行业将演变为人才密集型的服务行业。原来用硬件设备和软件构成的、以防护为主的安全体系已经不适用了,取而代之的将是防护系统与安全人员应急处置相结合的新体系。

除了强调人的作用,齐向东认为,网络安全态势感知与应急响应是网络安全系统的核心。勒索病毒事件充分证明,安全应急响应的速度和质量,对保障网络安全至关重要,而态势感知系统能够自动感知预警,为应急响应提供保证。

此外,终端、网络、服务器三方联动的防护体系是应急响应结果的关键。齐向东说,360对100余家机构抽样统计表明,即便是大型的机构,建设了终端管控体系,也存在明显的安全死角,导致应急措施无法有效执行。如果能组成三方联动的防护体系最好,如果不能,至少三条线分别能自动响应,比如在云端“一键执行”统一安全策略,这能为响应赢得宝贵时间。

我国网络安全建设的投入

与美国相差15倍

齐向东认为,一直以来,我国在网络建设上存在着重业务应用、轻网络安全的现象。目前,我网络安全建设的投入与美国相差15倍,应尽快补齐。

“我国网络安全投资占整体信息化建设经费的比例不足1%,与美国的15%、欧洲的10%相比存在巨大差距。”齐向东说。

篇4

随着企业信息化的深入发展,企业业务系统对信息技术的高度依赖,网络信息安全问题也变得日益严重,新的安全威胁不断涌现,并且成为黑客攻击的重要对象。

面对越来越严重的威胁,企业需要建设主动的、深层的、立体的信息安全保障体系,保障业务系统的正常运转,保障企业经营使命的顺利实现。

在面对不断发展的安全威胁时,许多企业不断地扩充自己的安全体系,希望通过不断地部署安全产品,来确保网络的安全。在企业部署安全体系的时候,遇到了一个相同的问题,即防范恶意攻击、降低安全风险,应该用入侵检测产品还是入侵防护产品?

实际上,几年前,很多企业都利用入侵检测监控风险,了解网络中的脆弱点。随着近几年入侵防护技术的出现,企业在建立安全架构的时候,面对入侵检测和入侵防护,不知何去何从?

从2003年Gartner公司副总裁Richard・Stiennon发表的《入侵检测已寿终正寝,入侵防御将万古长青》报告引发的安全业界震动至今,关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡,2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场,给这个讨论画上了一个句号。

可以说,目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?启明星辰公司产品管理中心总工程师万卿表示,“在入侵防护产品刚出来的时候,有些用户对于选择入侵防护还是入侵检测拿不定主意,不知何去何从?实际上,入侵检测和入侵防护根本就不是同类的产品。两者不是互相取代或升级的关系。企业需要根据自身的网络环境和系统环境,选择合适的产品。”具体的两种产品的选型上来讲,需要从产品的价值和产品的应用角度出发,就能够明确自己的需求了。

从产品价值角度讲,入侵检测系统注重的是网络安全状况的监管。用户进行网络安全建设之前,通常要考虑信息系统面临哪些威胁;这些威胁的来源以及进入信息系统的途径;信息系统对这些威胁的抵御能力如何等方面的信息。

在信息系统安全建设中以及实施后也要不断的观察信息系统中的安全状况,了解网络威胁发展趋势。只有这样才能有的放矢的进行信息系统的安全建设,才能根据安全状况及时调整安全策略,减少信息系统被破坏的可能。

入侵防御系统关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后,可以在入侵防御系统中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。

从产品应用角度来讲,为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。

而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。

入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统的核心价值在于安全策略的实施―对黑客行为的阻击;入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。

明确了入侵检测和入侵防护的区别之后,万卿提出了三种不同的应用环境:若用户计划在一次项目中实施较为完整的安全解决方案,则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统,在网络的边界点部署入侵防御系统。若用户计划分布实施安全解决方案,可以考虑先部署入侵检测系统进行网络安全状况监控,后期再部署入侵防御系统。若用户仅仅关注网络安全状况的监控(如金融监管部门,电信监管部门等),则可在目标信息系统中部署入侵检测系统即可。

合理的选择产品类型之后,下一个问题就是选择什么样的入侵检测系统或者入侵防御系统才能最有效的发挥作用呢?

万卿表示,任何产品的开发应该围绕着核心产品价值展开,产品的各种能力都应该为核心产品价值服务。

篇5

棉花监测系统网络支撑平台是提供信息数据传输、交换、储存、处理、共享、的综合业务平台,通过构建数据处理中心、数据处理分中心(国家发改委价格监测中心)、国家棉花市场监测系统信息中心以及国家棉花市场监测系统总公司的网络、计算机、配套设备、运行环境,实现信息的处理、共享、传输和备份,以满足系统运行的各方面功能要求。

1.在基础平台建设的同时开展全面、有效的安全体系规划和建设;2.选用最可靠最稳定的安全产品构建安全防御系统;3.在最大限度保障安全运行的同时,又兼顾良好的运行效率;4.全面兼顾安全技术、业务运维流程和人员在信息安全保障中的积极协调作用;5.有效监控全网的安全情况,快速发现可能的安全隐患和异常行为;6.实现7×24×365的安全运行状态监控与安全运行维护处理;7.建立完善的应急响应机制和流程;8.在短短两个月时间内高效率、高质量地完成所有的工作。

一套平台 两种思想 三个系统

国家棉花市场监测系统安全建设和保障工作涉及到安全体系规划、安全系统集成、安全运维管理、信息安全专业服务、高端安全管理咨询、日常安全支持以及安全值守服务等众多内容。安全建设工作千头万绪,安全保护对象庞大复杂,安全管理要求苛刻严格,对安全保障体系的规划和设计提出了非常高的要求。

针对安全建设和管理需求,太极组织了大量的安全专家认真、深入地分析了国家棉花市场监测系统可能面临的各类安全问题,参照ISO17799等安全管理国际标准,结合太极多年在安全领域的经验,提出了解决方案。太极与相关合作伙伴紧密合作,针对国家棉花市场监测系统的安全设计和建设可以总结为:建设一套集中的安全运行管理平台,融合两种核心的安全建设思想,建立三个不同角度的信息安全子系统。

一个平台,是指通过部署安全运行管理中心产品建立国家棉花市场监测系统的集中安全运行管理平台。通过对网络中各种网络安全设备和安全软件的集中管理和监控,把一个个原本分离的网络安全孤岛联结成有机协作互动的一个整体,并自动实现对安全事件的处理,从而实现网络安全管理过程中的实时状态监测,动态策略调整,综合安全审计以及恰当及时的威胁响应,从而有效提升网络的可管理性和安全服务水平。

两种思想是指动态信息安全风险管理体系建设思想和构建信息安全纵深防御体系建设思想。

动态信息安全体系思想的根本目的,是要保障安全系统设计具备良好的动态建设过程和安全可扩展性,促进建立易扩展的信息安全保障体系。纵深防御思想是保障安全系统设计的广度和深度,促进建立全面综合、高效安全的网络安全保障体系。其在广度上要求从网络架构、网络设备、操作系统、应用系统、数据库系统等各个层面考虑安全系统建设;在深度上要求分层次,由外而内,从网络边界、内部网络、核心服务器乃至桌面PC各个层面考虑安全防御功能的建设。其核心体现就是进行合理的网络安全域规划,实现安全事件影响范围的有效控制。

本次项目,太极协助国家棉花市场监测系统规划了完善的动态信息安全风险管理体系的建设,包括三大信息安全体系安全功能技术体系、安全服务支持体系、安全管理咨询体系。

优点多多

系统的安全规划、建设和运营管理解决方案,覆盖了信息系统的整个生命周期;充分重视业务安全管理,将传统分立的安全产品管理进行有效整合;提出了安全运行管理中心解决方案,实现了安全产品和管理的集中统一;将安全监控和安全维护有机结合,实现闭环管理,提高了安全管理效率;将各种安全设备所报告的安全事件汇总在一起进行关联分析,消除安全事件的误报和重复报警,并推断问题根源,给出该事件的解决建议。

应用效果与收益

安全运行管理中心的部署,实现了分散的、异构的安全产品的集中管理,高效提炼和分析海量的安全信息和各类报警事件;实现了安全事件的闭环处理;实现了信息安全的“可控、可见和可管理”,协助国家棉花市场监测系统迈向信息安全管理乃至IT管理的新台阶。

用户评议

国家棉花市场监测系统由于其特殊性和重要性,安全是第一重要的因素。我们在进行项目建设过程中对安全产品提供商和安全集成服务商进行了严格的选择,我们在项目建设中采用了最好的产品、最严格的管理、最优秀的集成商和最高效的服务来确保网站的安全。

篇6

随着教育网基础建设的逐步完成,其构成的信息化高速公路在学校教学、科研、管理和对外交流等多方面扮演着越来越重要的角色。

杨浦区早在1996年就成立了区教育信息中心,并将其建成了连接各校园网的门户站点,校际共享的教育教学的资料库,教育行政部门管理的网络中心。

全区中小学信息中心网络实现24小时开通,建立了全区中小学电子邮件系统,通知、提示、文件全部网上运行,加快了信息的传递速度,提高了工作效率。分批推进校园网建设,实施“校校通”工程,做到“线路通、资源通、应用通”。

但是,数字化技术的大量应用,也使恶意和非恶意性的侵害和攻击行为发生的可能性大大提高,如何保障信息系统安全、优良的运行,实行高效、及时的管理?同时维护也成为重点考虑的问题。

杨浦区教育信息系统是教育行业内发展快、基础架构完善的网络,承载着整个区的网络教育以及教职员的研究项目的任务。由于网络系统比较出名,容易招致黑客的恶意攻击。

每当攻击导致网络出现故障时,学生将无法完成自己的课堂作业,教职人员无法进行自己的研究项目,行政管理人员则无法完成日常的管理任务。攻击也会给网络小组造成极大的麻烦,此外,学校还必须投入数十万元的资金用于恢复网络。

如何寻求新的解决方案给网络安全再上一道门。那么,什么样的门才能实现这个功能呢?防火墙的目标是用于网络访问控制,对于黑客使用缓冲区溢出等应用或攻击OS弱点无能为力。

另外,对于通过邮件传播的蠕虫病毒,防火墙也无法阻挡。而且,黑客的攻击都是利用防火墙允许通过的协议发起的针对主机漏洞的攻击。IDS只能是被动的报警,有时候还有相当大的漏报和误报现象发生。

最终,IPS(入侵防护系统)吸引了信息中心同事们的注意。他们发现,IPS不仅具有IDS的预警功能,而且,还可以在报警的同时,截获恶意的数据包,实现主动防御。

通过对防火墙、IDS以及IPS等安全工具的优劣势进行比较分析,杨浦区教育信息中心的技术人员都觉得IPS是最佳的选择,于是,他们决定引进IPS系统。

通过多家公司的产品测试,最后决定购买McAfee的设备。McAfee具有全面的安全产品,如防病毒、病毒网关、入侵防护以及安全风险管理。目前主要是解决网络安全事情,特别是蠕虫和非法攻击。经过严格的测试和对比,最后决定选择McAfee Intrushield 2600。

McAfee Intmshield 2600可同时以In-Line的方式防护四条链路,做到对网络入侵攻击的实时阻断。提供一对千兆端口和三对百兆快速以太网端口,吞吐量高达600Mb/s,不仅满足了杨浦区教育信息中心的现有网络需求,并且为信息中心网络今后的扩展提供了很大空间。

同时,可以根据杨浦区教育城局域的需求,在McAfee Intrushield2600上针对VLAN和CIDR设定虚拟IPS,以做到更进一步的细致防护,确保整个杨浦区教育城域网网络的安全。

在安全系统中,将McAfee Intrushield 2600的一对检测防护端口以In-Line的方式串接在核心交换机和链路负载均衡设备Radware LinkProof之间,以做到实时的阻断整个杨浦区教育城域网内网对外网及外网对内网的入侵攻击。

一对检测防护端口同样以In-Line的方式串接在核心交换机和电信MPLSVPN接入之间,以做到实时的阻断内部网络中各学校对信息中心应用服务器群的入侵攻击,有效的保护信息中心的安全。

MsAfee IntruShield能够通过先进的签名检测、异常检测以及DoS攻击检测来预防各种各样的攻击,其先进的功能也使杨浦区教育信息中心的工作人员受益匪浅。自从部署了McAfee IntruShield以后,杨浦区教育城域网被攻击的次数显著降低了。

加油IC卡:防毒也“加油”

文 斌

如今80%的病毒通过电子邮件进行传播,那么加油IC卡系统是如何对整个防病毒系统进行集中管理,如何在网关处就将带病毒的电子邮件扫除门外?

中国石化加油IC卡系统是中国石化集团公司与银行合作开展的跨系统、跨地区的特大型IC卡应用项目。

IC卡系统通过以现代支付工具IC卡取代传统的现金、油票等结算,实现加油款的电子支付和交易数据的自动采集,在各级石油公司和加油站建设零售业务管理信息系统,以高科技的经营管理和服务提高工作效率、降低经营成本,使企业在市场竞争中处于有利的地位。

项目的建设不仅为开展油品电子商务业务奠定基础,也有利于逐步以加油卡这一现代金融工具替代传统的现金、油票结算,同时采用银企合作方式建设通用加油卡系统,也为国有商业银行开辟了新的业务领域和新的服务市场。由于中国石化加油IC卡系统需要完成各种交易信息的传送和处理,因此,确保系统的安全可靠至关重要。

全方位保护系统

为了全面实现“中国石化加油Ic卡防病毒管理系统”的目标,最大限度地防范病毒危害,在建立“中国石化加油IC卡防病毒管理系统”时,针对网络构造和应用环境的实际情况,采用McAfee Active Virus Defense(AVD)和McAfee安全网关解决方案。

建立全方位的、统一完整的加油IC卡防病毒系统,从桌面客户端、服务器、群件以及网关上进行全方位、多层次的整体防护,并通过McAfee AVD的核心产品ePolicy Orchestrator(ePO)对整个防病毒系统进行集中管理,分级控制,确保保护整个企业网络远离各种病毒攻击。

针对桌面客户端的防病毒产品VirusScan,VirusScan支持多种操作系统,从而能够对最广大的用户群提供支持,同时集成了一些功能强大的辅助技术,可以自动地保护系统免于崩溃和数据的意外丢失。

针对服务器的防病毒产品NetShield,NetShield支持Novell、Win NT、Win2000S和NetApp等多种操作系统,能够从一个直观的控制台保护整个企业的文件、应用程序和群件服务器,方便地从本地服务器或工作站监测、配置和执行远程服务。

分别专门针对Lotus Domino和Microsoft Exchange群件环境的防病毒产品GroupShield for Domino和GroupShield for Exchange。

传统的反病毒产品并不能对专有数据库内部以及群件环境中使用的通信进行扫 描,但群件服务器级的病毒防护功能对于企业防止病毒的扩散是十分重要的。应用了McAfee高级扫描技术的GroupShield能够有效防止病毒在信息传递过程中发作,在病毒扩散到网络其他部分时有效地将其查杀。

VirusScan防范多威胁

VirusScan Enterprise 8.Oi使得用户和管理员能够从容应对最常见的潜在恶意软件程序,包括蠕虫、间谍软件以及广告软件。

VirusScan Enterprise 8.Oi扩展了对新类型恶意代码的检测功能,这就意味着它能够为企业的敏感信息和资产提供更有效、更强大的保护。该产品在初始配置情况下能够预防约200多种最具危险性的潜在恶意程序,用户还可以按照计划在潜在恶意程序安全列表中添加新发现的恶意程序。

网关拦截病毒

电子邮件已经成为计算机病毒传播的主要媒介,据统计,80%的病毒通过电子邮件进行传播。

如果能够在网关处就开始对电子邮件进行扫描,在病毒进入网络之前就将其截住,从而将对关键业务系统可能造成的危害减到最低。

McAfee安全网关全面集成了软硬件技术的防病毒硬件设备。利用McAfee安全网关,企业用户能够对出入网络的电子邮件、HTTP数据与FTP数据进行扫描以搜寻病毒信号。一旦侦探到病毒信号,能够将其清除、阻止或隔离该信息或数据。

中国石化加油IC卡系统是中国石化集团公司的重要系统,整个系统的稳定性直接影响着业务的发展。自从利用McAfee构建起全面防病毒系统后,整个系统运行稳定,实现了全方位的病毒防护,确保了整个系统免遭病毒的攻击和危害,保障了业务的顺利发展。

SOC建设剑指金融安全

刘 岩

安全管理已经被业界所认可,那么如何将这些管理上的制度和规范落实,将这些安全管理目标真正用技术手段加以控制?

正如ISO 17799国际标准所强调的,“信息安全是管理的过程,而不能仅仅考虑技术因素。”随着信息技术的发展,金融领域的科技工作重点已经由网络建设、数据大集中、安全基础设施建设,发展到安全管理的阶段。

那么如何才能更加体系化、流程化、平台化的进行信息安全管理系统的建设呢?

从BS7799谈起

由英国标准协会(BSI)在1999年首次提出的BS7799安全管理标准,2000年正式成为ISO/IEC 17799,并于2005年发展为最新版本ISO/IEC 27001。

该标准通过11个大类的安全目标和安全控制,构建了信息安全管理系统的框架,为各机构进行信息安全管理工作提供基础的依据。

七分管理,三分技术,管理和技术在金融领域的安全工作中是密不可分的,管理需要以强大的技术手段作为依托,技术的实施需要以管理目标作为依据。

近年来,国内的各大银行均在加强安全策略和规范的建设,如人民银行早在2003年牵头编制了《银行和相关金融服务信息安全管理规范》,而交通银行也正在制定信息安全总体规划,并制定相应的规范。

国外的同行业机构已经将7799的认证工作确实的落实到具体的安全技术体系之上,例如英国的SmileBank,其网上银行最早获得了英国BSI的7799 ISMS认证,并以此认证工作为契机为网银的客户提供强有力的安全保障。

如何将安全管理上的目标真正用技术手段做到控制呢?SOC(Seevturity Op-eration Center)就是在这样的大环境之下顺理成章出现并不断发展,它是从单一的技术手段向管理过渡的重要里程碑。

四个中心,五个模块

启明星辰提出的SOC解决方案,其体系架构如图1所示,由“四个中心、五个功能模块”组成:

“四个中心”是漏洞评估中心、事件流量监控中心、综合分析决策支持与预警中心和响应管理中心;

“五个功能模块”是策略管理、资产管理、用户管理、安全知识管理和自身系统维护管理。常用的关键系统功能:

脆弱性管理

通过脆弱性管理可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。

综合分析与预警

综合分析与预警是安全运营中心的核心模块,依据资产管理和脆弱性管理中心进行综合的事件协同关联分析,并基于资产(CIA属性+价值)进行风险评估分析,按照风险优先级针对各个业务区域和具体事件产生预警,参照网络安全运行知识管理平台的信息,并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。

响应管理

响应管理是根据当前的网络安全状态,及时调动有关资源做出响应,降低风险对网络的负面影响。

网络安全响应模块负责根据预定义好的安全策略规则,及时工作指令,调动有关资源做出响应。实现人机接口,通过人工派单方式发送到相应的工单处理部门。工单的通知方式包括图形显示、SNMP Trap、邮件和短信。

安全策略管理

网络安全的整体性要求需要有统一安全策略和基于工作流程的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力。

同时通过策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。

安全知识管理

安全信息管理是安全信息的WEB系统,不仅可以充分共享各种安全信息资源,而且也会成为各级网络安全运行管理机构和技术人员之间进行安全知识和经验交流的平台,有助于提高人员的安全技术水平和能力。

实现在安全管理中心WEB门户提供统一界面以安全WEB的形式最新的安全信息,并将处理的安全事件方法和方案收集起来,形成一个安全共享知识库,该信息库的数据以数据库的形式存储及管理,为培养高素质的网络技术人员提供培训资源。

SOC架起安全桥梁

SOC是安全管理工作的重要工具之一。机构资产的梳理、防火墙的配置、入侵检测系统的事件分析、甚至整个信息系统的脆弱性和威胁分析,这些都不能做到整体的安全管理。因为管理者不可能过多的关注某些细节,安全管理需要对整体的安全现状和态势进行宏观地把握,并果断 有效的传达旨意,采取措施。所以SOC的首要价值是通过技术的实现手段加强对安全管理的关注。应该关注的问题有:

衔接宏观与微观

金融机构的安全建设提出了更多管理层面的问题,需要对多种资源的整合管理更加重视。目前企业的安全运行管理普遍现象是,不同类安全产品分别有其自身的管理控制台,网络与主机设备由网管系统管理。特别对于金融行业而言,需要有效地整合各系统,对事件的数据格式、分级进行标准化,从全局上对整个网络安全事件进行分析。

解决人员依赖性

企业需要解决人力严重不足的问题,降低对人员技术水平、经验以及责任心的依赖,把人员所造成的安全风险降到最低。考虑到事件优先级判断与参与人员的技术水平和经验相关,很难有客观的分析和判断,需要建立一套完整的事件采集、统计、判断和处理机制。

关注业务风险

对于技术型的人员来说,往往采用技术型语言来描述问题。这种情况下,容易与领导和非技术部门人员产生沟通和交流的问题。因此需要将技术型问题上升到管理型的问题,风险数字化,损失数据化。

合规性

BS 7799作为系统的安全管理标准,在国际金融界广为使用。所谓7分管理、3分技术。管理和技术一直很难整合起来,管理不仅是制度,还需要有一种系统来实现管理的目的。SOC将安全管理需求与安全技术解决方案的整合,将管理和日常技术工作融合在一起。

有效显示

第一时间发现病毒或者入侵事件源头和发展趋势,通过图形化显示,直观了解全网的情况。

SOC能够把问题显示出来,能够量化。每天发现了多少次,解决了多少次,从而了解到网络安全的真实现状。

通过监控大屏幕的显示可以将整个网络管理的现状和态势展示出来,机构领导者可以直观的在监控中心了解宏观安全,并指挥各地的安全工作的落实。

例如,交通管理指挥中心人员不需要亲自前往各个拥堵的路段,他们只需要通过各种手段采集交通信息作汇总和,统一的指挥调度。安全管理工作也同样需要这样的机制进行全局的管控。

有效提炼,实施预警

SOC系统可以从海量的安全事件报警中得出有价值的信息,及时采取报警措施。

有效投资

安全风险是无限的,而安全投资是有限的。应该利用有限的安全投资解决无限的安全风险(安全投资ROI=减少的安全损失/安全投入)。

与安全域划分相结合

安全域的划分和赋值是金融行业网络安全建设的重要环节。启明星辰的泰合SOC解决方案的另一大特点,也是安全建设非常有价值的功能之一,是可以部署基于安全域的SOC平台,从而实现多层次可定制的安全域管理,基于域的细粒度风险计算和监控能力,并且以安全域的思想进行风险管理。

安全域作为安全建设的核心,需要长期的管理,SOC是安全域管理监控的有效工具。使用资源管理中的安全域管理的核心功能,可以使安全建设从单纯的信息安全工作向业务保障转换,同时将宏观的信息安全建设向下落实。

中国的信息安全起步和发展都处于世界前列,特别是在金融领域,2000年以来信息安全的技术和管理层面都已经作了大量的工作。但是行业科技人员和管理者还需要继续脚踏实地的落实信息安全管理工作,从而切实地为我们的金融客户提供高可靠、高质量的服务,使金融机构稳步健康地发展。

双认证护航远程安全

满 欣

由于RSA SecurlD认证器上每隔60秒转换一次6位数的无穷尽无重复口令多么高明的黑客都无法在如此短的时间内猜测出如此复杂的口令。

中国大地财产保险股份有限公司(简称大地财险)由包括中国再保险(集团)公司在内的10家境内外投资人共同发起设立,总部设在上海,目前全国有15家分公司。

为了建设一个高起点和高标准的信息化系统,大地财险与IBM公司合作,引进国际先进的保险理念和信息技术,初步建立起公司的信息技术基础平台。

基于VPN的种种优势以及最大化保险人的工作效率,大地财险的许多业务资源访问已经开始通过VPN实现,具备合法身份的工作人员可以利用VPN访问公司的核心资源。

VPN是把双刃剑?

大地财险的运营越来越依赖企业的核心力系统和数据,在通过VPN提高工作效率的同时,也看到了潜在的安全风险。

毕竟,VPN所应用的通信隧道,需要通过公共网络并且必须向各种各样的用户打开自己的“网络之门”。如果是正确的人存取了正确的信息,就等于你找到了一种功能无与伦比的商务工具。但是,当VPN的远程存取权落入错误的掌握之下时,就无疑是一场大灾难。

如何为企业的VPN访问建立一个更加安全的环境,成为大地财险完善VPN服务的一个关键因素。

VPN网络安全认证主要有以下几种形式:密码属于一种最弱的安全形式,密码公认的优点在于易于部署应用并且费用非常低廉。但是,密码非常容易被猜中、被窃取或者受到其他的破坏。

双因素认证必须提供两种形式的认证内容。这就象是一部银行的自动取款机(ATM),用户既需要知道身份(卡)号码,还需要拥有认证设备(令牌或者智能卡)。

随着互联网交易数量的增长,将数字证书作为一种认证形式变得更加广泛。数字证书可以帮助识别用户,因为它要求使用具有唯一性的数字信用证明。

使用智能卡的安全等级最强。这不仅在于使用智能卡得到了双因素认证保护,而且还因为双密钥可以在智能卡上生成并储存。

生物认证利用的是某个用户所拥有的唯一生物特征。利用这种技术需要掌握某些生物数据,例如:指纹、视网膜扫描以及声波纹等等。

最终,大地财险决定采用双因素认证来保障其VPN网络的安全登录。

虚拟专用网络(VPN)正迅速成为远程存取应用中最普及的一种方法。通过建立在复杂交织的公共网络中的一个专用通信隧道,VPN可以使用户充分利用互联网的强大功能,不仅大大节省了用户远程存取应用的费用,而且还进一步提高了工作效率。

但是,作为个人专用并不一定意味着一个虚拟的个人网络具备应有的安全性,这是由于VPN经常采用的保护手段仅限于一种门槛偏低的密码屏障。

大地财险通过对业界知名安全厂商所提供解决方案的对比,最终采用了RSA SecurID和Web Express认证解决方案。

同步令牌双认证

目前,大地财险仅仅为其符合资格的保险人配备了RSA SecurID令牌。RSA SecurID时间同步令牌提供功能强大的双因素认证,这种技术要求用户提供他们知道的口令和他们拥有的硬件令牌。

这些令牌被设计成一种易于操作使用并且便于携带的小件产品,用来替代口令这种可以被轻松猜中或破解的安全性能偏弱的认证形式。

双因素用户认证系统能够代替基本的密码安全机制,有效抵御非法入侵,使宝贵的网络资源获得完善的保护,免受意外造成的破坏及恶意入侵。

RSA SecurID双因素用户认证产品的操作,如同使用取款卡一样简单方便。用户只需在进入受保护的网络前,先行输入个人识别密码,以及在RSA SecurlD认证器上每隔60秒转换一次口令,就能通过认证。

篇7

关键词:电力自动化系统;网络安全;因素;对策

作者简介:白璟(1985—),女,陕西西安人,学士,工程师,研究方向:电力系统自动化方面

1.前言

随着网络技术的快速发展,电力系统的规模逐渐扩大,电力自动化系统在不断完善,该系统的实用化应用水平也在不断深入,同时,随着电力服务质量的提高,其可靠性与安全性均提出了更高的要求。电力自动化系统是电力生产、输送、分配和消费一体化的控制系统,其可靠性与安全性要求作为提高电力服务质量的重要保障。随着网络信息技术的日益提高及电力系统规模的扩张,电力自动化系统工作量随之成倍增加,该系统的实际运用能力在不断提升。建立相关质量规范在一定程度上有助于提高电力自动化系统的可靠性与安全性,然而作为具有开放性的网络信息系统,该系统也必然存在着一些潜在的安全隐患,该系统一旦被网络黑客攻击,就可以导致大范围停电,从而造成极大的经济损失。所以,新时期必须充分重视电力自动化系统网络安全问题,积极应对各类安全隐患,并使其不断完善,以实现电力自动化系统的可持续发展。

2.认识电力自动化系统安全体系

病毒隐患:MIS系统与外部直接相连,这就使得病毒感染具有很大的可能性,如求职信病毒等,当MIS网中的机器被病毒感染后,会随之在整个网络中传播,造成SCADA系统的损害,直接影响调度工作的正常运行。

3.影响电力自动化系统网络安全的因素

3.1设定防火墙系统比较繁琐,致使用户容易产生抵制情绪,从而降低防护性能。

3.2电力自动化系统的建立程度不统一,在使用过程中容易出现意料之外的状况,致使安全设置无法得以应用。

4.提高电力自动化系统网络安全能力的对策

4.1加强防火墙建设:电力自动化系统网络应用的安全重点应该放在防火墙上。防火墙作为网络安全保障的重要保障设施,其主要作用是在电力系统内部网络与外部网络完成数据交换时,对相关信息实施过滤与限制的作用,也就是说,其作为网络数据出入口的一个逻辑控制器,无论是数据之间的交换处理还是系统内部的相关数据管理,防火墙都可以实施很好的控制,从而确保系统安全。防火墙可分为两种类型:硬件防火墙及软件防火墙,电力自动化系统中普遍采用内嵌式硬件防火墙,规模较大的系统可采用芯片式硬件防火墙,所以,使用防火墙时,需要“对症下药”,确保电力自动系统的网络安全得以实现。

4.2选用有效的杀毒软件:杀毒软件对实现电力自动化系统的网络安全具有保障作用,通过安装杀毒软件,并在病毒进出口设置系统防护,能够有效避免木马病毒对系统文档、电子邮件等的破坏;通过对硬盘、软盘、网络、文件和邮件等进行检测查杀,实现对电力自动化系统的全方位保护,此外,需及时更新杀毒软件,以避免新病毒成为病毒查杀的“漏网之鱼”。

4.3进一步完善网络的维护与管理:电力自动化系统的网络安全建设除了在设计方面增加安全服务功能外,还需要重视网络的日常维护与管理,需从以下三个方面入手。

4.3.1物理安全管理:具体包括防盗、防火、防静电及防雷击等;

4.3.2网络备份管理:该管理目的是为了尽快恢复计算机系统所需要的信息,备份不仅在硬件设备故障或者操作失误时能够起到保护作用,还可以在入侵者攻击系统时发挥保护作用。

4.3.3应用软件安全管理:操作人员使用软件时需从安全角度出发,规范操作,如当操作人员长时间离开操作界面时应该注销当前账户,系统管理人员、操作人员、和维护人员应该设置不同的使用权限等。

4.4切实提升网络操作系统的可靠性:操作系统作为计算机网络的核心,所以应该选用具有完善系统设计且运行稳定的网络操作系统,如可选用LINUX或UNIX,选择之后,应该及时安装最新补丁程序,进一步提升网络操作的可靠性。

5结语

电力自动化系统作为确保电网经济可靠运行的重要手段,该系统的网络安全建设是一项不断发展变化的系统工程,所以,应该充分利用规划、管理和维护等多种途径确保电力自动化系统的网络安全,发现安全隐患应该及时解决,确保电力自动化系统的网络安全,实现其社会与经济效益。

参考文献:

[1]姜伟一.关于电力自动化系统网络安全的几点思考[J].科技论坛,2012.

[2]李宜恒.关于电力自动化系统网络安全的几点思考[J].企业技术开发,2013,32(6).

[3]蒋涛.电力自动化系统网络安全的几点思考[J].电力技术资讯,2013.

[4]黄芬.浅论电力调度自动化系统网络安全隐患及其防止[J].信息与电脑,2011.

[5]叶芸.浅议电力调度自动化网络安全与实现[J].科技传播,2011.

[6]傅达宏.浅谈电力调度自动化系统及其网络安全性分析[J].机电信息,2011.

[7]张莘茸.探讨电力自动化系统的网络安全[J].科技资讯,2011.

篇8

关键词:计算机网络系统安全;含义;威胁因素;解决措施

一、计算机网络系统安全的含义

计算机网络系统的安全就是通过对网络系统的管理,能保证数据的保密性和完整性在一定的网络环境中不受侵害。而安全性有主要包括两个方面,物理和逻辑安全。物理安全主要是保证相关网络设备的完整不受破坏,而逻辑安全主要是信息的私密、完整。

二、威胁计算机信息网络系统安全的主要因素

(一)非人为因素

非人为因素主要分为自然因素与偶发因素,以及网络自身缺陷两点。风、霜、雨、雪等自然因素会对计算机系统的硬件与相应的设施造成影响,甚而破坏其组成,无形中威胁着计算机信息系统安全。此外,互联网作为一个具有共享性与开放性的平台进入到人们的工作与生活,初始设计并未将安全性纳入其设计重点,这便造成了网络信息在安全防范问题上的缺陷,及系统漏洞。

(二)人为因素

1、黑客的恶意攻击

“黑客攻击”是人们最熟知的危害网络安全的因素之一,“黑客”往往专攻于计算机网络技术并惯用不同的攻击方式攻破网络系统漏洞而窃取信息或使被侵害计算机系统瘫痪。由于黑客技术被深入的挖掘与研究,造成该技术的不良传播与黑客数量的不断增加。在互联网这个共享与开放平台上,一旦有计算机网络受到攻击,无疑将会影响到其他网络系统的安全。

2、计算机病毒的侵害

计算机病毒主要是人为的恶性程序代码,它往往存在于各种程序种种,通常处于潜伏状态。其破坏性极强,一旦被激活,因其传播的速度极快,范围极广,是危害网络安全的最主要因素。被侵害的计算机会有不同程度地反应,较轻的后果是降低了系统的运行效率,严重的则可导致整个系统的瘫痪,信息因此泄露和丢失,甚而影响计算机的硬件与其他的设施。

三、计算机信息网络安全的建设措施

(一)增强基础设施建设

计算机机房应增设防火、防水、防雷电、抗震等基础设施,增加网络冗余资源,尽量防止由外部环境和自然因素对计算机系统带来的不良影响和安全隐患。比如交换机对叠配置,就是由一些通过堆叠口相连的以太网交换机组成的一个管理域,其中包括一个主交换机和若干个从交换机。堆叠在一起的以太网交换机可看作为一个设备,用户可通过主交换机实现对堆叠内所有交换机的管理。堆叠是通过堆叠口的连接来判断的,无论主交换机还是从交换机,只要发现连接断开,则自动退出堆叠。

(二)选取合适的网络结构并应用先进的组网技术

选取合适的网络结构并应用新的组网技术可以有效减少因网络自身缺陷而带来的安全风险,并在一定程度上对网络病毒有一定的免疫力,从而降低网络安全风险。传统的DDN或者FR等技术已经无法满足需求,一些先进的虚拟专网技术给这类需求提供了解决方案。如较新的组网技术中MPLS-VPN可以在骨干的宽带IP网络上构建企业IP专网,MPLSVPN的网络采用标签交换,一个标签对应一个用户数据流,非常易于用户间数据的隔离,利用区分服务体系可以轻易地解决困扰传统IP网络的QoS/CoS问题,MPLS自身提供流量工程的能力,可以最大限度地优化配置网络资源,自动快速修复网络故障,提供高可用性和高可靠性。

(三)利用防火墙控制访问权

防火墙作为连接企业等性质的群体计算机与外界用户的通道,起到了外界用户与企业内部网络相互访问的权限的限制作用。在两台计算机网络相连接时,这种限制作用便可有效地防止非法一方的入侵,从而降低遭黑客袭击与被计算机病毒侵害的可能性,大大保证了网络系统的不被攻击与侵害。防火墙因其经济有效的特点,成为网络系统安全的重要屏障并逐渐得到人们重视。

(四)排查系统漏洞,升级杀毒软件

系统漏洞是系统自身存在的不可避免的问题,加强系统漏洞的排查与安全防范,可大大地降低黑客的可乘之机。针对漏洞问题已开发了许多的漏洞扫描技术,运用这些技术研发出了一系列的安全扫描工具,常见的有Nikto和Parosproxy等。这些工具主要是帮助用户检测网络系统的安全并进行相应的评估,让用户及时准确地发现系统中漏洞与了解计算机的安全性能,在排查漏洞的同时也采取相应的措施加强安全防范。用户需要配置防病毒的系统,经常对电脑进行安全检测,并且平时在使用网落得过程中尽量避免或拦截非法程序的入侵。当系统出现漏洞时,要及时修复。

四、结语

如今我国的计算机网络技术也在蓬勃发展,但本文也提到了我国网络技术存在的缺陷,因此构建一个安全的网络系统是一项重要的发展方向。然而很多网络用户的网络技术知识还太浅薄,对于如何进行安全防护,如何对突况进行处理都还不懂。因此对于网络管理运营者来说更应该肩负起更大的责任,不但要向广大的网络用户宣传计算健全防护知识,还要加大对网络系统的管理监控和干预,不断吸收新的技术,对我国目前存在的网络安全问题做出有效地解决和改进。只有逐步加强改进网络的安全建设,才能让人们更好更放心地使用网络资源。

参考文献

[1]宁家骏.关于加强我国基础网络和重要信息系统安全建设的思考[J].中国建设信息,2011,10:27-33.

[2]迟洪伟.关于计算机信息网络安全管理的几点思考[J].硅谷,2015,02:158+156.

[3]肖成禹.关于计算机网络信息安全的思考[J].锅炉制造,2006,01:50-52.

篇9

关键词:网络信息安全;应对策略;网络攻击

1背景介绍

当今社会的发展和计算网络信息紧密相连。网络信息所涉及的领域非常广,不仅是在民用领域,在国家经济等领域的影响也非常大。网络信息是一把双刃剑,为我们带来巨大利益的同时,我们要应对其产生的不良现象。网络攻击手段繁多,由于其具有开放性,应对较为复杂。当今强化全球计算机网络信息安全技术是世界各国所面临的难题。

2网络信息安全

2.1网络信息安全的含义

计算机网络信息安全,是指计算机网络在运行中保持其软硬件不受外界恶意破坏、盗取或非法访问,从而保持其系统的稳定性。对于不同的使用者,网络安全的意义不同。对于个人,网络安全就是指个人信息、财产、隐私等不遭到泄露或者窃取;对于企业或者国家,网络信息包括了经济、政治等多个领域,要做好网络防护,避免产生巨大损失。

2.2网络信息安全的发展方向

当前市面上存在多种网络安全软硬件产品,还有一些公司针对信息安全推出全面检测产品。在我国的网络信息安全产品非常丰富,其市场竞争也相对激烈。各个厂商都追求服务于信息安全的各个领域,研究出具有更完整的解决方案的产品,这个趋势也预示着计算机网络信息的发展具有广阔的前景。

3网络信息安全技术

3.1防火墙技术

防火墙技术可以隔绝信息请求端和信息反馈端的直接联系,它能够对二者之间所传输的数据包进行抓包检测、分析,把数据库中的不安全信息进行过滤,尽可能对外网的危险地址进行拦截或者屏蔽,从而实现对内网的保护。防火墙技术原理其实就是“包过滤技术”,该技术发展至今已经成为应用最广泛的安全技术,并且使得网络信息安全性提高。

3.2数字加密技术

数字加密技术原理是通过某种算法对信息加密,使其变成“密码”,在传输的的过程即使被窃取也无法被破解,在接收端收到加密信息后,再通过一定算法对信息进行解密,使其变成“明码”。

3.3访问控制技术

网络访问控制技术,主要是限制用户对网络信息的访问,只限定资源对用户可开放,这种技术可以有效保护敏感信息,防止用户对资源进行越权访问。该技术作为网络信息安全保障的核心内容,可以对计算机内系统资源予以最基本的保护,其缺陷是无法阻止已授权资源被访问者故意破坏。多访问控制技术如自主访问控制技术已广泛应用到商业领域。

3.4虚拟专用网技术

虚拟专用技术也就是VPN技术,也是当前最新的网络安全技术。VPV技术作为互联网发展的附属产品,已经广泛地运用到企业当中进行营销或者销售。该技术是利用因特网来模拟安全性较高的局域网,成本低,运行安全。它整合了大量的用户资源,若果在此基础上广泛采用VPN技术,可以有效防止信息泄露,增强访问控制。

3.5安全隔离技术

随着网络技术的发展,各种新型攻击手段越来越多,于是诞生了安全隔离技术。它主要是隔离危险网站或者网络攻击,既可以保证内网信息不泄露,又能实现网络信息的交换。其主要技术包括安全隔离网闸、双网隔离技术。

3.6身份认证技术

身份认证技术是网络安全中一项重要的技术,其地位甚于信息加密技术。这种技术只有认证方可以操作,其他人员无法进行身份伪造。常见的身份认证技术有两种,基于密码的认证和生物特征认证。

4常见的网络安全威胁及应对策略

常见的网络攻击技术包括:拒绝服务攻击;利用型攻击;信息收集攻击;假消息攻击;脚本攻击等,这些攻击技术都是通过修改注册文件来进行的,相应地,可以通过注册表编辑器对修改过的注册文件的键值删除,就能将文件恢复正常;对于当前流行较广的计算机病毒、木马的攻击,可以采用杀毒软件或者防火墙等软件进行监护信息;对于蠕虫病毒,由于其可以不断利用网络漏洞自我复制,所以应当在发现后立刻用防火墙隔离,并分析蠕虫病毒特征修补漏洞。

5网络安全建设

当前我国面临网络信息威胁,相关部门建立了相应机构,完善法律法规,加强危机应对。针对我国当前信息安全保障现状,尤其是关于法律法规不够健全,缺乏高端人才去建设国家级信息安全保障等问题,要同社会各界进行积极合作,解决整体研发能力低下等问题,政府应该做到:加强宏观调控力度;完善政策法规;加大投入,培养高端技术人才;建立网络信息安全技术创新体系等。

6总结与展望

在未来信息时代的发展过程,网络信息安全问题仍会是各个地区面临的重大难题。快速发展的社会对安全的需求也更加多样化,尤其是企业或者国家对于信息技术的依赖性,迫切要求能够尽快治理好网络信息等问题。要将管理和技术系统化,在政府的带动下,逐步建立完善信息安全体系,这不仅是对于经济和政治安全的重要保障,也是增强人民福祉的重要途径。

参考文献:

[1]家庭网络安全防范技术与管理手段探讨[J].吴忠坤.科技信息.2009(15)

[2]全面规划,综合管理,保障信息安全[J].陈禹.科学决策.2007(05)

[3]防火墙技术与网络安全[J].孙晓南.科技信息(学术研究).2008(03)

篇10

【关键词】计算机系统;安全管理;现状问题;解决方案

1.引言

近些年来,为了达到强化消防部队信息建设的目的,有许多并非是内部的人员都逐渐开始参与到消防安全的研究之中。很多不稳定因素(例如:网络自身所存在的脆弱、系统缺陷等外部原因和一些个人因素)促使消防部门的计算机系统安全问题花样百出,而这些问题又反过来使计算机不断出现病毒与泄密等情况,甚至会出现系统崩溃的问题。计算机系统安全问题如果不能得到很好地解决,那么势必会引起更加严峻的问题,甚至会影响到消防部门电子办公建设的进程。

2.消防部队计算机信息系统建设的现状

消防信息化简而言之就是借助现代计算机网络这种工具对有关消防的信息进行分析处理、采集储存等活动,这样有利于一切消防资源的高度共享与共用。而它的实质是各个级别的消防部门在每一项消防任务中的实践活动对其所掌握的的消防资料进行下一步的研究,这样可以为以后一切有关灭火、救援等事件提供参考意见。

近几年来,所有的消防部门都以计算机网络为基础的通信建设为前提,将“金盾工程”作为依托,他们都差不多完成了有关网络运行的基本设施建设。到此为止,按照消防部门所接到的统一安排,我国所有的消防部门正在积极的推进“消防业务一体化的信息系统”的任务进程,我们会用信息化的手段对各种消防业务进行整理和整合,在最大程度上实现数据的共享,并且将消防信息的作用发挥到最大,最少要在消防部门中形成一个消防信息安全系统,以期望大幅度的提高消防部门的信息化水准,达到以信息化带动其他现代化的目的。这样不仅可以将消防部门工作人员的基层基础进行夯实,还可以提高消防人员对灭火救援等能力。

3.消防部队计算机信息系统安全管理方面的问题

3.1 计算机网络接入环节有一定的安全隐患

随着现代化的不断推进,我国消防部门也在推进消防信息化方面的建设,随之而来的是消防信息网的接入方式也在不断发展变化,它们已经从传统意义上的有线与无线的接入方法变成了甚至是可以通过手机进行信息网络连接,这种信息接入法的多样化与接入终端的多样化就决定了消防信息网具有开放性的特征,既然存在开放性的特征,那么一些病毒木马、安全漏洞以及信息泄密等安全问题肯定会接踵而至。

3.2 消防部门的计算机信息系统安全意识薄弱,安全管理等制度难以全面落实

在我国,各个地区的消防部门为了保护计算机信息系统的安全,都制定了相关的管理制度,并且这些制度在一定程度上是非常严格的。可是在实际的操作中却不是如此,很多人都漠视这些制度,越权使用和泄密等现象是普遍存在的。

3.3 缺少具有专业素质的管理人员

到目前为止,有很多的消防部门都缺少经过培训后具有专业素养的网络安全管理人员。因为一旦管理人员没有必备的网络安全管理素质,那么就会留下很多的管理漏洞,而这些漏洞将可能成为黑客等网络不安全因素所攻击的突破口,这样会造成很多不必要的损失。并且绝大多数的消防信息安全网络管理员基本上都是使用静态的口令来保证系统的安全,一旦静态口令遗失了,那么很可能就意味着整个消防网络计算机系统会全面崩溃。

3.4 消防计算机系统缺乏备份系统,会给重建计算机系统带来麻烦

一旦出现系统崩溃的情况后,有很多的消防计算机网络信息安全系统在重建的时候,为了经济考虑而没有建立一个备份系统,并且建设完成的网络计算机安全系统没有随着系统的更新而更新,这样会导致网络系统存在者安全隐患,由于没有备份系统,一旦出现了问题也很难及时的去修复它。

3.5 网络安全相关的技术人员比较缺乏,在开发的过程中存在着安全隐患

近几年来,由于消防部门信息化的进程越来越快,部门内部的技术人员已经到了很难满足技术需要的程度了,因此会有很多的软件部门或公司参与到消防部队计算机信息安全建设中来,并且这种情况越来越多,因此这些软件公司等工作人员对消防部队的计算机信息安全技术的掌握,给整个系统的安全增加了负担。

4.对策分析

针对上述的消防部队计算机信息安全出现的隐患,将会从技术与管理这两方面提出自己的一点看法。

4.1 技术方面

(1)建立一个全面的网络安全管理系统,从而对网络进行监控和扫描评估,并且要查找网络安全漏洞,再经过修补漏洞和对计算机系统进行优化配置在最大程度上消除安全隐患和修补安全漏洞。

(2)个计算机配置防火墙,利用防火墙的功能来制定安全访问的控制标准,将自己所允许的数据与访问人员进入自己的内部网络系统,而那些不被自己认可的资料与人员拒之门外,并且要注意禁止一些黑客来自的网络进行访问,这样可以有效地防止他们将网络上的重要数据进行删改和移除。

(3)首先建立一个科学合理的定期计算机系统安全评估程序,并且可以自动对其进行更新处理,其次要对一些重要的数据进行备份,最后制定一个应对紧急事件的具体可行的措施。必须要为计算机网络系统的安全提供有力的保障,钥匙系统随时都处于安全状态。

(4)安装一个“一机两用”的监控系统,这样可以对消防计算机网络新安安全系统进行密切监控,一旦有一些违规接入互联网事件的发生,可以快速的锁定计算机并且发出警告,同时还要将监控记录记录下来。

(5)在计算机中安装一个全方面防毒的杀毒软件,将网络上的病毒设置与之相对的软件,通过这些杀毒软件对电脑进行全方位的保护,并且将它们进行自动升级,这样也可以是计算机免遭病毒危害。

4.2 管理方面

(1)加大消防部队见算计信息网络安全的宣传力度。在消防部队内部进行计算机系统安全重要性的基本教育和基础防范理论的传播,要让消防部队所有人员都知道计算机信息系统安全的重要性,并且了解到基础防范知识。

(2)要对消防内部计算机信息网络安全管理人员进行培训,并且要积极的引进人才。积极的引进计算机人才可以把消防部队招收人员的范围扩大到招收大学生的层次上,可以提高消防部队工作人员的整体知识素养。另一方面还要对内部的计算机人才进行培训,制定科学的培训计划。

(3)制作一套切实可行的安全计划,和专业的网络公司签订维修保护协议,并且与该网络公司的人员一起为本消防计算机系统制定可行的安全计划,可以和具有经验的网络工程师进行商谈或者直接将其聘请,以指导消防部门进行对计算机信息网络安全的监察工作。

(4)贯彻实行已经制定的计算机信息网络安全管理制。制定一些安全管理制度,比如说:外部人员访问网络需要登记报备、消防部队工作人员进出机房的管理制度以及管理人员维护计算机网络安全的制度等。在指定这些制度的时候,必须要所有人都坚决履行,并且相互监督。

5.结束语

随着计算机网络技术的发展,它的安全问题也会作为重大话题出现在会议室等地方,因此为了防止消防部队计算机系统出现问题,我们要努力提高自己的隐患警觉力与在商讨出新形势下对计算机系统的安全保护措施,并将其不断完善。

参考文献

[1]曾明译.网络工程与网络管理[M].北京:电子工业出版社,2003.