序言:寫作是分享個人見解和探索未知領域的橋梁�����,我們?yōu)槟x了8篇的安全網絡建設樣本���,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀�����。
第1篇
關鍵詞:油田內部�;網絡建設�����;安全維護
一�����、針對油田網絡的安全防范
1.1對于網絡攻擊的檢測�。這項內容大致是指在網絡設置防火墻�,當油田企業(yè)的網絡遭受攻擊或者有病毒侵入時�����,就會在頁面上顯示警告信息,安全管理人員就能夠第一時間得到報警信息���,采取有效的辦法來應對。在實際的網絡攻擊防范中���,需要設置防火墻的地方多種多樣,比如在服務器設備上進行防火墻設置���,對服務器的cpu狀態(tài)、流量變動等參數進行監(jiān)控管理�,這些參數在平時總是穩(wěn)定在一定的值�����,雖然也會跟隨時間變化�,但是還是可以尋找其變化規(guī)律的����,若是其變化出現異常,那么報警信息就會發(fā)出���,顯示在頁面上。但是對于報警信息的監(jiān)控來說�,需要人員不間斷地進行觀察��,這對于人力資源的角度來說不能盡到最大��,所以企業(yè)要大力開發(fā)新的報警方式���,比如警示燈、警示音等�����。當然企業(yè)要有一定的自我保護能力����,比如在確認遭到攻擊后馬上啟動查殺軟件、斷開網絡連接等��。
1.2對于網絡資源的管理����。在油田企業(yè)的網絡運行中,每日都需要設計龐大的數據流進出����,而這些互數據的安全性無法得到保障,所以油田企業(yè)需要建立一個信息提取過濾系統(tǒng)�,即能夠對進出企業(yè)的信息進行提取和過濾�����,判定事件的安全性與保密性��,高危信息需要拒之門外,屬于企業(yè)內部保密級別的信息不能流出去��,這就是這個系統(tǒng)的功能����。而對于油田企業(yè)的設備操作系統(tǒng)�,需要將其控制的設備的各種參數實時提取并進行判斷,這樣設備在發(fā)生事故時工作人員便可通過參數的變化來判斷機械出問題的部位����。
1.3良好的上網習慣����。很多網絡安全事故都是因為操作人員安全意識不高���,或者上網習慣不正確�����,胡亂打開不安全網站、下載危險文件包等����,所以企業(yè)內要推行正確的上網風氣�����,通過建立上網的規(guī)章制度來規(guī)范工作人員的上網習慣�����,以此來保證網絡安全��。
二、一些常見故障的維護
對于企業(yè)中網絡故障的發(fā)生����,我們要根據發(fā)生事故的規(guī)模采取不同的做法�,但是大致步驟都是先對操作電腦的人進行詢問�����,使用了那些操作����,然后對硬件軟件進行檢查�����,深入發(fā)掘問題�。對于規(guī)模較小的安全問題,如單個機子不能上網����,這時先不要請工作人員來檢查���,操作人員可以先對網卡進行檢查,查看其安裝的方式是否正確�����。對于網卡的安裝正誤來說�����,最常見的檢查方式就是Ping本機的地址,通過其是否通過的表現來判斷網卡的問題�。若是這步操作行不通的話�����,那么很有可能就是網卡和計算機中的設備有沖突,通過查看設備管理器來查看網卡究竟與那個設備有沖突����,也可以換張網卡再試一次��。若是硬件沒問題,那么借來依次檢查雙絞線的狀態(tài)��、交換機的端口���,這些都有備用的參考資料�����,可以通過對照來發(fā)現問題����。對于較大規(guī)模的停網現象���,也要根據不同情況加以區(qū)別�����。若是網絡中斷的計算機屬于同一系統(tǒng)���,即在一個VLAN的控制下運轉�,那么首先要對連接不同樓層的路由器的配置進行檢查。上述是按VLAN來區(qū)分維護方式的���,而是否屬于同一交換機也可以作為一種區(qū)分標準。若是不能上網的機子屬于同一交換機�,而且不能與企業(yè)內其他交換機控制的電腦通訊�����,那么這種情況大多數是交換機死機���,重啟即可��,若是重啟解決不了問題����,那么有可能使某一電腦自身的網卡故障導致的,逐個檢查就好�����。當某一交換機與多臺電腦連接時���,因為承受的負載過高�,使得交換機無法運行也會出現死機的現象��,此外因為過量的運載交換機與上級的網絡設備的連接也可能斷裂��。
作者:丁啟寧 單位:河南油田澗河社區(qū)
參考文獻:
第2篇
關鍵詞:ISP企業(yè);網絡安全
1概況
隨著互聯網呈幾何倍數的發(fā)展���,我們的生活越來越依賴互聯網�����,吃穿住行幾乎都可以用網絡來搞定。但是從網絡誕生那一刻起,就出現了其中不安定的因素����,我們對網絡越依賴��,一旦網絡安全出現問題�,造成的損失也就會越大���,作為一家運營商公司,更迫切的需要維護好自己的網絡安全��。
2現狀和分析
2.1目標公司發(fā)展現狀
某國有ISP企業(yè)省份公司���,擁有用戶各類20萬左右,因為規(guī)模不大���,所以在過去幾年,一直把發(fā)展用戶擴大市場放在首要位置�����,而忽視了網絡信息安全方面的建設�。這是一方面當時的情勢所迫造成的。隨著用戶的發(fā)展和企業(yè)壯大����,如今�����,省內ISP網絡構架屬于從核心層出口節(jié)點開始����,到下層的核心匯聚層交換機鏈接到底層BRAS設備,都是做的雙冗余保護����,在網絡結構上����,屬于合理的布局。并且設立了多個核心的IDC機房和設備機房�,存放各類資源服務器為網內的用戶提供服務和各網絡專業(yè)核心的設備。
2.2暴露出來的問題
隨著用戶的增加����,越來越多的信息網絡安全問題會開始暴露����,比如會有非法的流量開始試探底層設備的端口��,并且可以看到某些設備會出現異常的IP地址嘗試登入��,或者底層設備的鏈路利用率突發(fā)暴漲�����,雖然這些問題都被及時發(fā)現并處理了。但是并不是說這樣處理掉一兩起的安全問題事情就結束了���,從中暴露出網絡安全問題其實是很嚴重的。
(1)手段單一�,只有依靠簡單的防火墻����,或者是依靠核心設備本身的訪問控制列表對數據包進行篩選����,缺乏更多有效的系統(tǒng)手段幫助人們進行監(jiān)控保護網絡����,一直長期下去的話面對一些網絡層以上的疑難問題也就只能束手無策����。
(2)各部門對信息的安全性重視不夠���,對信息保密的重視層度不夠,也沒有接受過相關的社會工程學方面的培訓�,安全意識淡薄��。
(3)缺乏專業(yè)性的技術團隊和思路,完全是在閉門造車���。到現在處理問題的思路在技術層次還是停留在路由和交換級別的?,F在只能把每個事件單獨當作一個單獨事件來處理����,很難避免下次不會發(fā)生重復的問題��。
(4)從整個網絡的構架開始搭建起來��,就沒有把網絡安全放在重要的位置�,剛開始BRAS設備是有了雙向冗余就開始上線���,本應該考慮更多的迂回保護措施都是后期的時候慢慢彌補上去的����。物理上的冗余保護如此,網絡的安全保護也一直是沒有跟上網絡拓撲的擴展��。
3網絡安全的建設
3.1從認識思想上進行轉變
要建設公司的電信級網絡安全架構�����,需要公司從上到下有一個認識�����,就是對安全危機的認同感,網絡的安全投入的確是燒錢�����,并且它后期還會需要不斷的成本投入���。期待它能馬上給你利潤回報,那是不可能的�����。但是看看合作企業(yè)競爭對手��,無一不是對安全問題異常的重視。同時要做好網絡安全�,我們還要開始學�����,向服務商學習��,向設備商學習����。一步步踏實做下去���。
3.2改變公司組織結構
安全部門并不同于一般的網撐中心,數據中心�,它需要專注地負責網絡防御檢測和處理各類的網絡安全問題�,因此如果將這樣一個安全部門掛靠在網絡支撐下面是不合適的�����,從專業(yè)來看�,網絡安全防御����,社工防御,欺騙滲透防御都是它的職責����。而且將來的網絡布局���,都會需要他們提供安全方面的意見�����,所以這必須是一個獨立的部門,來區(qū)別于網絡建設部和網絡支撐中心�����。
3.3建立網絡安全制度
在公司內部建立網絡安全規(guī)范的制度���,強制性地規(guī)定員工登入設備的權限和密碼設置原則���,要求登入口令的密碼長度和復雜成分�����,區(qū)分開每個人的職責范圍,個人的權限只能存在幾臺服務器上�����,避免被人利用同樣的賬號密碼登入所有的設備�����。并且要求定期更換密碼。設置強硬的核心機房準入制度來防止設備遭受最直接的物理攻擊�����。對于敏感重要的數據�,要定期做異地備份���。
3.4建立可靠的安全網絡
要建立行之有效的安全網絡體系架構,建議對整個網絡進行統(tǒng)一的部署�����,構建網絡安全架構的安全設備類型通常有:
防火墻:firewall���,可以根據IP地址或服務端口過濾數據包,可以通過制定過濾規(guī)則來限制���。
流量分析系統(tǒng):它主要針對網內的流量流向鏡像進行監(jiān)控�、分析�、不僅可以提供用戶的使用偏好分析����,更多的可以監(jiān)控網內的流量過去和現在的數據是否異常�。
流量采集分析清洗設備:也叫ADS���,它可以針對于網內的異常流量進行篩選和清洗。特別是對于現在的DDOS攻擊有很好的效果��。
Web應用防護系統(tǒng):也稱WAF���。WEB應用防御產品��,針對應用層的攻擊做出反應。是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品��。
入侵防御檢測設備:也稱IPS,這是對防火墻和殺毒軟件的一個補充����??梢杂行Оl(fā)現阻止4到5層的異常流量,其中還有的入侵預防系統(tǒng)����,通過正常數據以及數據之間關系的通常的樣子�����,可以對照識別異常���。
審計系統(tǒng):針對互聯網行為提供有效的行為審計���、內容審計�����、行為報警��、行為控制及相關審計功能。滿足用戶對互聯網行為審計備案及安全保護措施的要求����,提供完整的上網記錄����,便于信息追蹤、系統(tǒng)安全管理和風險防范���。
值得一提的是隨著安全技術的演進,今后的防火墻將會兼容ADS之類的流量監(jiān)視和清洗功能����,是否還能將WAF和IPS設備的功能融合進來尚不得而知���,但是展望安全網絡的科技樹發(fā)展的方向�,這必然是未來安全行業(yè)的發(fā)展一段趨勢����?��?紤]到設備的使用安全性����,集眾家所長的安全設備固然能夠減少了接入的層次,降低了生產成本����。
關于安全網絡的組網�,還是要嚴格按照雙機備份的原則����,特別是涉及到防火墻,必須做到雙機冗余的原則��,保證一臺設備宕機的情況下����,另一臺能正常工作�,并且不影響到網絡流量的正常轉發(fā)����。建議還是聽從專業(yè)廠家或者服務商提供的方案進行部署。
關于DMZ區(qū)域和IDC的網絡安全構架建設:DMZ即緩沖區(qū)����,也是我們部署web服務器��,DNS系統(tǒng)���,3A系統(tǒng),ftp服務器的區(qū)域����,建議統(tǒng)一進行規(guī)劃�����。減少網絡的復雜性����,便于管理�����。包括IDC服務器組�����,如果條件允許。也應該統(tǒng)一納入網絡中�����。
3.5建設前后的測試
有人說過一個最大的錯誤是假定安全設備本身是安全的�。所以合理的部署和計劃是十分必要的而且重要的�����。開始建設前����,一方面應該進行足夠的壓力測試��,從設備的本身是否安全開始到演示當設備在網的時候出現的各種情況�,來判斷方案是否可行�,這是個漫長而枯燥的過程���,但卻是十分必要,沒有人愿意在完成建設后重新趕工修改自己的網絡部署�,另外一方面必須和廠家、集成商����、服務商溝通好���,要求其能夠提供足夠的應急預案來保障安全的運行。工程完成以后就應該開始進行各種的測試,測試設備能否正常工作發(fā)揮作用���,已經能否順利的升級,及時更新補丁等等�。如果有條件����,還應該定期執(zhí)行漏掃和進行滲透測試���。
第3篇
目前雙向網在5~1000MHz的范圍內可劃分為:上行頻段:5~65MHz��;過度頻段:65~87MHz;FM頻段:87~108MHz���;下行頻段:108~1000MHz。③數字電視���。數字電視一種將節(jié)目的全部過程利用數字處理信號的方式來運行或利用二進制數字串所形成的數字流傳播的電視?�;贒VB技術標準的廣播式和“交互式”的數字電視。是采用了先進客戶管理技術�����,可以為客戶才來更多好節(jié)目����,提高了畫面的清晰度和質量�。它還可以訂購各種業(yè)務��,如互動電視�、高清晰度電視���、標準清晰度電視、BSV液晶拼接等業(yè)務�。與傳統(tǒng)電視相比�,數字電視音質更好����、節(jié)目數量更多、畫面更清晰亮麗�����。
2現階段數字電視雙向網絡存在的安全問題
在雙向網絡出現之前��,數字電視一直使用的是單向網絡����。由于單向網絡與網絡連接少�����,收費低�,可獲取的利益少���,所以單向網絡安全問題多數集中在授權的安全����,不要出現盜版�,不要出現黑戶問題上。而數字電視雙向網絡業(yè)務更多��、用戶的增值項目也多���,使得他人可利用數字電視雙向網絡賺取大筆利潤����,由此將引起大量的黑客對數字電視雙向網絡的關注。數字電視雙向網絡不像數字電視單向網絡保守�,其安全問題不僅僅像數字電視單向網絡那樣只出現在終端而是前段終端都可能出現��。還要考慮終端對前端的影響和惡意攻擊�,這使得數字電視單向網絡的安全建設單獨大大加大���。
3數字電視雙向網絡的安全建設的建議
3.1建立一個開放性、標準性���,能夠取得第三方認證的系統(tǒng)結構
推薦使用兩種技術,一個是公約基礎設施(PublicKeyInfrastructure�,PKI)技術。另一個是安全套接層(SeeureSocketLayer����,SSL)技術�。①公約基礎設施(PublicKeyInfrastructure,PKI)技術����。所謂公約基礎設施(PublicKeyInfrastructure�����,PKI)技術其實就是一個用公鑰概念�、技術實施和提供安全服務的具有普適性的安全基礎設施�����。公約基礎設施(PublicKeyInfrastructure���,PKI)技術是一種新的安全技術����,它由公開密鑰密碼技術、數字證書�����、證書發(fā)放機構(CA)和關于公開密鑰的安全策略等基本成分共同組成的�����。公約基礎設施(PublicKeyInfrastructure,PKI)技術是利用公鑰技術實現電子商務安全的一種體系���,是一種基礎設施,網絡通訊����、網上交易是利用它來保證安全的�。公約基礎設施(PublicKeyInfrastructure,PKI)技術是提供公鑰加密和數字簽名服務的系統(tǒng)或平臺�����,目的是為了管理密鑰和證書�����。一個機構通過采用公約基礎設施(PublicKeyInfrastructure����,PKI)技術框架管理密鑰和證書可以建立一個安全的網絡環(huán)境���。公約基礎設施(PublicKeyInfrastructure,PKI)技術包括四個主要部分:X.509格式的證書(X.509V3)和證書廢止列表CRL(X.509V2)���;CA操作協(xié)議;CA管理協(xié)議���;CA政策制定。②安全套接層(SeeureSocketLayer��,SSL)技術����。SSL(SecureSocketLayer)安全套接層是Netscape公司率先采用的網絡安全協(xié)議�。它是在傳輸通信協(xié)議(TCP/IP)上實現的一種安全協(xié)議,采用公開密鑰技術����。SSL(SecureSocketLayer)安全套接層應用廣泛�����,各種網絡都可以使用它,不僅如此��,還提供了三中安全服務�。SSL(SecureSocketLayer)安全套接層是一種利用TCP的可靠的端到端的安全服務��,而且他還是一個二層協(xié)議�,底層是SSL記錄層���,此層是用來封裝各種上層協(xié)議。還有一層是SSL的握手協(xié)議����,它的作用是在服務器和客戶機之間傳送數據之前協(xié)商加密算法和加密密鑰,服務器將通過客戶及提出的加密算法來選擇最適合的算法��。還有三個更高層的協(xié)議�,分別為SSL的一部分:握手協(xié)議���、修改密文規(guī)約協(xié)議和告警協(xié)議。有這兩項技術作為基礎的數字電視雙向網絡安全系統(tǒng)����,既能獲取第三方的認證��,還能增加安全性��。
3.2網絡內容安全
網絡是把雙刃劍?����,F在網絡充斥著各種不良信息,還有一些不法分子制造網絡病毒損害電腦,盜取別人的個人信息和重要數據以此來謀取利益�����。當然隨著網購的興起�,更有不法分子通過網絡盜取和騙取錢財�。由此����,數字電視雙向網絡應該有一個安全的環(huán)境�,保護用戶的個人信息和錢財��,還要防止病毒的侵入�����。我建議利用消息鑒別碼(MessageAuthenticationCode�����,MAC),消息鑒別碼(MessageAuthenticationCode,MAC)可以鑒別信息的來源是否合法還可以保證信息的完整性�。消息鑒別碼(MessageAuthenticationCode,MAC)有一個認證標識是用公開函數和密鑰然后產生一個長度一定的值,消息鑒別碼用這個標識來判斷信息的完整性����。利用一個密鑰生成一個大小一定的數據塊(MAC),將其與信息一起傳送�,接收方利用發(fā)送方共享的密鑰進行鑒別認證等.消息鑒別碼(MessageAuthenticationCode�,MAC)僅僅認證消息MAC的完整性(不會被篡改)和可靠性(不會是虛假的消息或偽造的消息)�,但不負責數據MAC是否被安全傳輸。之所以要放棄信息的保密性(使用公鑰加密私鑰簽名的對稱密碼協(xié)議可以很好的保證信息MAC的保密性�����、完整性和可靠性)��,是因為在某些場合(政府部門公告、網絡管理通知等)并不需要對信息進行加密�����;或者是有些場合(例如廣播信息等)需要長時間傳輸大量信息�����。由于MAC函數是單向函數�����,因此對明文M進行摘要計算的時間遠比使用對稱算法或公開密鑰算法對明文加密的時間要小����。
3.3保證用戶信息的安全
在進行業(yè)務費用支付的時候��,會要求用戶輸入個人資料和密碼等�����。保護用戶的資料和密碼就成為結構系統(tǒng)需要注意的事項�。虛擬鍵盤技術大可解決此問題���。有了虛擬鍵盤技術�,機頂盒會出現一個鍵盤����,鍵盤上的數字都是隨機排列的���,這樣就算不法分子偷到了遙控器的紅外數據���,得到的也僅僅是上下左右����,而不是用戶密碼���,從而保證了信息輸入的安全�����。
4結語
第4篇
關鍵詞:計算機網絡;安全建設��;威脅因素�;安全技術
中圖分類號:TP393.08
目前計算機網絡實現了信息全球化��,被廣泛應用到人們的學習��、生活和工作之中����,甚至也被應用到了國家各種事務的處理之中�����。但是因為計算機網絡具有開放性����、互聯性和多樣性的特點�����,很容易受到攻擊�����,存在很多威脅因素。因此�����,就要采取必要的措施來網絡信息的安全、保密���、可靠。
1 計算機網絡安全存在的威脅因素
威脅計算機網絡安全的因素是多種多樣的����,涉及到很多個方面的�����,下面將對當前網絡安全存在的威脅進行總結:
1.1 無授權訪問�。無授權訪問指的是沒有經過預先同意的對網絡或計算機資源的使用�,主要包括:自作主張的擴大權限����,越權訪問不該訪問的信息;故意避開系統(tǒng)訪問的控制���,不正常的使用網絡資源和設備��。這些無授權訪問主要通過非法進入網絡系統(tǒng)����、違規(guī)操作���、假冒身份、身份攻擊以及合法的用戶不以授權的方式進行操作形式表現出來���。
1.2 數據的完整性遭到破壞。一些攻擊者使用違法手段盜竊數據的使用券�����,并對這些數據進行插入�����、修改、刪除或者是重發(fā)一些重要保密的信息�����,期望得到有益于自己的響應��。并且他們?yōu)榱擞绊懹脩舻恼J褂?��,惡意修改���、添加數據�����,破壞數據的完整性和正確性。
1.3 使用計算機網絡散播病毒��。計算機病毒通常是最先以一個計算機系統(tǒng)作為載體����,通過移動硬盤����、軟盤、網絡和光盤等媒質介體��,對其他的計算機系統(tǒng)進行惡意破壞��。計算機病毒能夠在特別短的時間內使整個計算機網絡癱瘓��,使得網絡損失慘重。用戶很難防范通過計算機網絡傳播的病毒���,單機系統(tǒng)和計算機系統(tǒng)很容易在病毒的干擾下發(fā)生異常和破壞。
1.4 丟失或泄露信息�����。被有意或者是無意丟失和泄露的信息往往是敏感數據和保密數據��,通常包括:信息在存儲介質中遭到泄露或丟失����、信息在傳輸過程中遭到泄露或丟失(最常見的就是黑客通過對通信長度或頻度��、信息流量和流向等數據的分析以及利用搭線竊聽或者是電磁泄露的方式截獲或破解機密信息,來推算出用戶的賬號、口令等重要的有用的信息)�、黑客建立隱蔽隧道來偷竊敏感保密的信息��。
1.5 干擾服務攻擊�����。主要是通過改變服務系統(tǒng)的正常的作業(yè)流程、執(zhí)行無關緊要的程序來減慢系統(tǒng)響應直至癱瘓等方式不斷地對計算機網絡服務系統(tǒng)進行干擾�����,干擾合法用戶的正常使用��,以及不使正常用戶進入計算機網絡系統(tǒng),無法得到服務等�。
1.6 管理不到位存在的威脅。計算機網絡的正常運行離不開正確的管理��,錯誤的管理會給企業(yè)造成非常巨大的損失��。需要進行的管理主要包括計算機網絡��、硬件設備和軟件系統(tǒng)�����,例如若是軟件系統(tǒng)沒有健全的安全管理����,不僅會破壞計算機網絡的安全����,還會使得計算機網絡錯誤的運行���。還有一個因素就是工作人員在工作過程中,不注意對移動U盤進行保護和管理���,加入病毒,在插入電腦之后����,又將帶著的病毒傳給電腦,病毒進入電腦之后����,就會電腦的網絡系統(tǒng)進行惡意破壞,使整個計算機網絡系統(tǒng)癱瘓不能使用����。
2 計算機網絡系統(tǒng)安全技術措施
2.1 檢測入侵�����。如果計算機網絡中存在可以被惡意攻擊者利用的漏洞����、安全弱點和不安全的配置(如應用程序��、網絡服務��、網絡設備、TCP/IP協(xié)議����、操作系統(tǒng)等幾個方面存在這樣的問題),就會遭到黑客或者攻擊者的網絡攻擊和惡意入侵���。網管人員在網絡系統(tǒng)沒有預警防護機制的情況下�����,是很難發(fā)現已經侵入到內部網絡和關鍵主機的攻擊者實施的非法操作的。檢測入侵系統(tǒng)可以說是計算機網絡系統(tǒng)的第二個安全閘門����,因為它在監(jiān)聽網絡的時候不影響計算機網絡系統(tǒng)的性能�����,并且可以及時地提供對誤操作�、外部攻擊和內部攻擊的保護���。
2.2 應用安全漏洞掃描技術�。安全漏洞掃描技術可以通過自動檢測本地或者是遠程主機安全上存在的弱點���,使網絡管理人員在黑客和入侵者找到漏洞之前就修補存在著的這些安全漏洞�。專門檢查數據庫安全漏洞的掃描器���、網路安全漏洞掃描和主機安全漏洞掃描等都是安全漏洞掃描軟件����。但是由于操作系統(tǒng)的安全漏洞隨時在�、安全資料庫時刻在更新,所以各種安全漏洞掃描器只有及時進行更新才能掃描出系統(tǒng)的全部安全漏洞�����,防止黑客的進入。
2.3 防治計算機病毒���。防治計算機病毒的首要做法就是要給所以計算機裝上殺毒軟件,并對這些殺毒軟件進行及時的更新和維護�����,還要定期對這些殺毒軟件進行升級����。殺毒軟件可以在病毒侵入到系統(tǒng)的時候及時地發(fā)現病毒庫中已經存在的可以代碼、可疑程序和病毒���,并警告給主系統(tǒng)準確的查找病毒的實際來源,對大多數病毒進行及時的隔離和清除�����。使用者要注意不要隨意打開或者安裝來歷不明的程序�、軟件和陌生郵件等�。發(fā)現已經感染病毒后要對病毒實行檢測和清除��,及時修補系統(tǒng)漏洞��。
2.4 使用防火墻技術���。防火墻指的是一個控制兩個網絡間互相訪問的一個系統(tǒng)����,它主要通過對硬件和軟件的結合為內部網絡和外部網絡的溝通建立一個“保護層”�����,只有經過這個保護層連接和檢查,獲得授權允許的通信才能通過這個保護層���。防火墻不僅能夠阻止外界非法訪問內部網絡資源,還能提供監(jiān)視Internet預警和安全的方便端點�����,控制內部訪問外部的特殊站點���。然而,防火墻并不能解決一切問題��,即使是通過精心配制的防火墻也不能抵擋住隱蔽在外觀看似正常的數據下的程序通道。為了更好的利用防火墻技術保護網絡的安全����,就要根據需求合理的配置防火墻����,采用加密的HTTP協(xié)議和過濾嚴格的WEB程序,不要多開端口����,經常升級����,管理好內部網絡的用戶。
2.5 黑客誘騙技術�����。黑客誘騙技術就是通過―個由網絡安全專家精心設置的特殊系統(tǒng)來引誘黑客�,并記錄和跟蹤黑客�,其最重點的功能就是經過特殊設置記錄和監(jiān)視系統(tǒng)中的所有操作,網絡安全專家經過精心的偽裝能夠達到使黑客和惡意的進攻者在進入目標系統(tǒng)后�,并不知道自己的行為已經處于別人的監(jiān)視之中�����。網絡安全專家故意在黑客誘騙技術系統(tǒng)中放置一些虛假的敏感信息或留下一些安全漏洞來吸引黑客自行上鉤����,使得黑客并不知道他們在目標系統(tǒng)中的所有行為都已經被記錄下來。黑客誘騙技術系統(tǒng)的管理人員可以仔細分析和研究這些記錄���,了解黑客采用的攻擊水平、攻擊工具���、攻擊目的和攻擊手段等,還可以分析黑客的聊天記錄來推算他們的下一個攻擊目標和活動范圍���,對系統(tǒng)進行防護性保護。同時這些記錄還可以作為黑客的證據�����,保護自身的利益����。
2.6 網絡安全管理��。確保網絡的安全,還要加強對網絡的管理,要限制用戶的訪問權限�、制定有關的規(guī)章制度�����、制定書面規(guī)定��、策劃網絡的安全措施��、規(guī)定好網絡人員的安全規(guī)則����。此外�����,還要制定網絡系統(tǒng)的應急措施和維護制度,確定安全管理和等級���,這樣才能確保網絡的安全�。
3 結束語
由于我們的工作和生活都離不開網絡���,所以計算機網絡安全是我們非常關注的事情。我們需要建立一個安全���、完善的計算機網絡系統(tǒng)來保證我們的利益���,需要計算機網絡進行不斷的完善�����,解決掉存在的各種安全威脅���。同時網絡的不安全也會影響到企業(yè)和國家的利益,所以只要網絡的安全性提高了���,企業(yè)和國家才能發(fā)展的更好,社會才會進步����。
參考文獻:
[1]張鏑.淺析計算機網絡安全建設方法及安全技術[J].電子世界�����,2014(08):21-22.
[2]趙洪斌.計算機網絡安全建設方法及安全技術[J].計算機光盤軟件和應用��,2013(11):35-38.
第5篇
在電信部門IDC機房部署應用服務器兩臺及以上���、數據庫服務器兩臺(或者四臺)分別做雙機熱備或多機互備�����,數據庫服務器通過光纖交換機與存儲系統(tǒng)相連接�,為了便于數據同步��,在單位部署一臺數據上傳服務器和電信部門IDC機房部署一臺前置數據庫服務器����,定期將內部需要在外網查詢的內容通過數據上傳服務器自動傳送到外網前置數據庫服務器上,在外網前置數據庫服務器上進行數據校驗和比對后自動同步到網站數據庫服務器上���,實現內外網數據的及時更新。
2網絡通信建設
由于門戶網站的所有硬件都托管在電信部門IDC機房�����,故在網絡通信方面完全利用電信部門IDC機房現有的網絡通信設備�,對外出口帶寬至少為兩條100MB鏈路。
3網絡安全防護建設
政府類門戶網站的安全建設按照計算機信息系統(tǒng)安全等級保護三級技術標準執(zhí)行�����。涉及內容包括:數據機房安全���、網絡通信安全���、主機系統(tǒng)安全�����、應用安全、數據安全幾個部分���。
3.1防護對象
政府門戶網站信息網絡大致可分為管理信息區(qū)域和信息區(qū)域,管理信息區(qū)域用于支撐該系統(tǒng)與業(yè)務相關的內部管理信息應用數據���。管理信息區(qū)域劃分為用于承載內部辦公的信息內網和用于支撐對外業(yè)務和互聯網用戶的信息外網��。信息區(qū)為面向公眾的信息平臺�,用于信息查詢、政策導向�����、公眾監(jiān)督等互聯網訪問需要�。
3.2設計思路
政府類門戶網站網絡安全防護體系是依據以下策略進行建設:雙網雙機:管理信息區(qū)劃分為信息內網和信息外網���,內外網間采用物理隔離,信息內外網分別采用獨立的服務器��,數據進行單向流動��,通過人工操作實現����,極大地保障了信息數據和內部網絡的安全��。等級防護:管理信息系統(tǒng)將以實現等級保護為基本出發(fā)點進行安全防護體系建設,并參照國家等級保護基本要求進行安全防護措施設計��;多層防御:在分域防護的基礎上����,將各安全域的信息系統(tǒng)劃分為邊界��、網絡�、主機��、應用四個層次進行安全防護設計����,以實現層層遞進�,縱深防御。
3.3防護措施
(1)基于網絡安全的訪問控制���。在網絡邊界部署訪問控制設備,啟用訪問控制功能����;根據會話狀態(tài)信息為數據流提供明確的允許/拒絕訪問的能力,控制粒度為端口級�����;對進出網絡的信息內容進行過濾�����,實現對應用層HTTP、FTP���、TELNET、SMTP�、POP3等協(xié)議命令級的控制�����;在會話處于非活躍時間或會話結束后終止網絡連接����;限制網絡最大流量數及網絡連接數�����;重要網段采取技術手段防止地址欺騙;按用戶和系統(tǒng)之間的允許訪問規(guī)則�,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問�����,控制粒度為單個用戶���;限制具有撥號訪問權限的用戶數量。
(2)設備和審計系統(tǒng)結合����。對網絡系統(tǒng)中的網絡設備運行狀況��、網絡流量��、用戶行為等進行日志記錄��;審計記錄包括:事件的日期和時間、用戶、事件類型�、事件是否成功及其他與審計相關的信息��;能夠根據記錄數據進行分析�����,并生成審計報表�����;對審計記錄進行保護��,避免受到未預期的刪除���、修改或覆蓋等;實現對應用系統(tǒng)的數據訪問與操作進行全面地監(jiān)控審計��,可實時顯示和監(jiān)視操作行為����,詳細記錄所有的操作行為和操作內容,提供審計查詢和關聯分析���,輸出完整地審計統(tǒng)計報告。
(3)基于安全事件的防護��。能夠對非法接入內部網絡的行為進行檢查�,準確定出位置�����,并對其進行有效阻斷�����。
(4)檢測和主動防御的融合����。在網絡邊界處監(jiān)視以下攻擊行為:端口掃描����、強力攻擊、木馬后門攻擊��、拒絕服務攻擊�����、緩沖區(qū)溢出攻擊��、IP碎片攻擊和網絡蠕蟲攻擊等�����;當檢測到攻擊行為時,記錄攻擊源IP�����、攻擊類型�、攻擊目的�����、攻擊時間,在發(fā)生嚴重入侵事件時提供報警��。
(5)病毒防御機制。在網絡邊界處對惡意代碼進行檢測和清除�;維護惡意代碼庫的升級和檢測系統(tǒng)的更新�。
(6)虛擬接入和防篡改技術。對登錄網絡設備的用戶進行身份鑒別�����;對網絡設備的管理員登錄地址進行限制�;網絡設備用戶的標識唯一���;當對網絡設備進行遠程管理時,采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽���;實現設備特權用戶的權限分離�����。通過主頁防篡改系統(tǒng)進一步防止黑客對門戶網站設備的入侵。
(7)主機系統(tǒng)防護���。主機系統(tǒng)安全防護包括對系統(tǒng)內服務器及存儲設備的安全防護����。服務器包括業(yè)務應用服務器、數據庫服務器�、WEB服務器���、文件與通信服務器等����。保護主機系統(tǒng)安全的目標是采用信息保障技術確保業(yè)務數據在進入���、離開或駐留服務器時保持可用性、完整性和保密性�,采用相應的身份認證����、訪問控制等手段阻止未授權訪問��,采用主機防火墻���、入侵檢測等技術確保主機系統(tǒng)的安全,進行事件日志審核以發(fā)現入侵企圖�,在安全事件發(fā)生后通過對事件日志的分析進行審計追蹤��,確認事件對主機的影響以進行后續(xù)處理�����。
3.4安全防護集成
綜上所述��,政府門戶網站信息網絡的可靠運轉是基于通訊子網�、計算機硬件���、操作系統(tǒng)、各種應用軟件等各方面�����、各層次的良好運行��。因此,其風險將來自對內部和外部的各個關鍵點可能造成的威脅�,這些威脅可能造成總體功能的失效����。網絡安全體系結構主要考慮安全對象和安全機制����,安全對象主要有網絡安全��、系統(tǒng)安全�、數據庫安全�、信息安全�、設備安全、病毒防治等�。
(1)網絡出口邊界部署能夠防御DoS/DDoS攻擊���、ARP欺騙攻擊、TCP報文標志位不合法攻擊���、LargeICMP報文攻擊����、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊的下一代防火墻���。保證正常訪問用戶的接入�����,對內網資源形成進行有效保護�。
(2)網絡出口部署入侵防御系統(tǒng)��,因為內部網絡中有很多服務器(如web服務器���、通訊服務器、應用服務器集群等等)����,各種服務器的操作系統(tǒng)和數據庫在網絡通訊傳輸中存在天然的安全隱患��,如對協(xié)議中的異常情況考慮不足���。外部非法訪問可利用協(xié)議的漏洞對服務器發(fā)起攻擊���。向服務器發(fā)送非標準或者緩沖區(qū)溢出的協(xié)議數據,從而奪取服務器控制權或者造成服務器宕機�����。密切跟蹤全球知名安全組織和軟件廠商的安全公告�,對各種威脅進行分析���、驗證,保證實時更新簽名庫��,跟進安全威脅的發(fā)展狀況���。不斷升級入侵防御系統(tǒng)檢測引擎以防護新出現的安全威脅,具備防御0-DAY攻擊能力�����。
(3)網絡內部署安全審計系統(tǒng)�����,在嚴格執(zhí)行安全保密規(guī)定的基礎上�����,對整個系統(tǒng)的監(jiān)控審計管理,保證系統(tǒng)的數據完整性�����、保密性和可信性��。實時顯示和監(jiān)視操作行為,詳細記錄所有的操作行為和操作內容�,提供審計查詢和關聯分析,輸出完整地審計統(tǒng)計報告�����。發(fā)生安全問題時�,可以從系統(tǒng)的審計記錄庫中快速查找違規(guī)操作活動和留下的痕跡��,獲取可靠的證據信息�,如果發(fā)生了安全事故也能夠快速查證并追根尋源���。
(4)在門戶網站服務器前端部署web應用防火墻系統(tǒng)���,對web服務器進行全面防護�����,發(fā)現并阻斷各種WEB攻擊��,定期檢查網站各種安全隱患���,發(fā)現問題及時預警并自動采取修補措施;實時防護各種WEB應用攻擊���、DDOS攻擊、網頁木馬攻擊等行為���。
(5)在Web服務器上部署網頁放篡改系統(tǒng)�����,采用HTTP請求過濾���、核心內嵌等技術�����;提供實時阻斷�����、事件觸發(fā)、數字水印和應用防護四種防護措施��,通過四種防護措施的合理組合達到起到更好的防護作用�。在安全審計系統(tǒng)對Web服務器的所有操作全面監(jiān)控進行告警�����、記錄的預防措施的前提下����,形成一套有機的保護體系,在發(fā)生篡改行為后迅速恢復Web網頁內容���,不影響正常訪問,避免業(yè)務中斷��。
(6)網絡出口部署的防病毒網關����,所有數據流都需要經過防病毒網關��。因此防病毒網關能夠有效地監(jiān)控進入內部網絡的流量���。提供兩種方式的病毒掃描,一種傳統(tǒng)的掃描方式����,文件完全掃描后推送給真正的接收者��,主要用來保護安全需求強烈的服務器或者重要區(qū)域�,另一種是邊傳輸邊緩存的方式,允許用戶實時接收數據�����,延時減小��。
3.5網絡安全技術服務
政府門戶網站信息網絡投入運行后���,如何保障系統(tǒng)的安全運行便成了重中之重�����。其中涉及的工作量巨大���,技術要求亦非常高��。因此�����,政府門戶網站常常采取安全服務外包方式聘請具備專業(yè)安全服務資質的機構進行網絡安全保障����。安全服務內容主要包括以下方面:
(1)Web安全監(jiān)測�����。針對WEB應用安全�,我們所提出日常安全檢測內容需包含:XSS跨站攻擊檢測���;SQL注入檢測����;URL重定向檢測��;FORM檢測(單表逃逸檢測)��;FORM弱口令檢測�;網頁木馬(惡意代碼)檢測;數據竊取檢測�����;GOOGLE-HACK檢測���;中間人攻擊檢測;Oracle密碼暴力破解����;WebSer-viceXPath注入檢測;Web2.0AJAX注入檢測�����;Cookies注入檢測��;雜項:其他各類CGI弱點檢測��,如:命令注入檢測、LDAP注入檢測���、CFS跨域攻擊檢測、敏感文件檢測�����、目錄遍歷檢測����、遠程文件包含檢測��、應用層拒絕服務檢測等�。(2)數據庫安全監(jiān)測����。數據庫安全檢測需實現的功能:發(fā)現不安全的數據庫安裝和配置;發(fā)現數據庫弱口令�;發(fā)現數據庫的變化或潛藏木馬��;發(fā)現數據庫弱點和補丁的層次���。從而在此基礎上形成一個綜合的分析報告及修復建議。
(3)漏洞及病毒通報.系統(tǒng)在運行期間�,計算機病毒及安全漏洞問題將是直接威脅整個系統(tǒng)運行的重要因素�����。因此����,我們需要安全服務提供商定期提供定向計算機漏洞及病毒情況通報。借此��,通過對這些情況的實時動態(tài)�、快速的掌握�,可提高管理部門的快速響應能力。
(4)風險評估���。該系統(tǒng)需定期進行風險評估工作。有效地借助專業(yè)安全服務提供商的力量����,來檢測本系統(tǒng)現行情況的安全現狀�����。
(5)系統(tǒng)安全加固�。安全服務提供商需指派專業(yè)人員定期針對加固的系統(tǒng)進行漏洞掃描�����、攻擊��、滲透等方面的測試����,確保核心設備�、核心系統(tǒng)的加固有效性����,并及時報告系統(tǒng)加固現狀。在業(yè)務系統(tǒng)上線之前檢查安全配置情況���,并提供安全加固建議。安全加固是指針對政府門戶網站的服務器��、安全設備的安全加固和安全配置優(yōu)化�,對網絡設備的安全加固建議����。通過定期的加固工作���,將系統(tǒng)的安全狀況提升到一個較高的水平����。將在漏洞掃描�����、安全審計�����、滲透測試的報告結果基礎上�����,對服務器�����、安全設備等方面存在的各類脆弱性問題進行提煉歸納��,提出合理的切實可行的安全加固方案。安全加固方案在提交并經過用戶方評審��、許可后,進行安全加固實施����,同時����,必須指導�����、協(xié)助對各應用系統(tǒng)的操作系統(tǒng)�、數據庫系統(tǒng)��、中間件和應用程序的安全配置�����、安全策略和安全機制進行電子政務云計算中心加固和完善�,使應用系統(tǒng)符合安全防護要求����,保證該信息系統(tǒng)的安全可靠運行���。
3.5.1應急響應目標
及時響應信息系統(tǒng)的安全緊急事件����,保證事件的損失降到最小。包括如下目標:
(1)7*24*365快速響應服務(本地)�,提供全天候的緊急響應服務��,本地在2個小時內到達現場�����;
(2)判定安全事件類型�,從網絡流量�����、系統(tǒng)和IDS日志記錄�����、桌面日志中判斷安全事件類型����。查明安全事件原因����,確定安全事件的威脅和破壞的嚴重程度�����。查明安全事件原因�,確定安全事件的威脅和破壞的嚴重程度:
(3)抑制事態(tài)發(fā)展�,抑制事態(tài)發(fā)展是為了將事故的損害降低到最小化���。在這一步中,通常會將受影響系統(tǒng)和服務隔離��。這一點對保持系統(tǒng)的可用性是非常重要的�����;
(4)排除系統(tǒng)故障�����,針對發(fā)現的安全事件來源����,排除潛在的隱患����,消除安全威脅,徹底解決安全問題�����;
(5)恢復信息系統(tǒng)正常操作���,在根除問題后����,將已經被攻擊設備或由于事故造成的系統(tǒng)損壞做恢復性工作,使網絡系統(tǒng)能在盡可能短的時間內恢復正常的網絡服務�����;
(6)信息系統(tǒng)安全加固����,對系統(tǒng)中發(fā)現的漏洞進行安全加固,消除安全隱患����;
(7)重新評估信息系統(tǒng)的安全性能����,重新評價系統(tǒng)的安全特性�����,確保在一定的時間范圍內���,不發(fā)生同類的安全事件��。
3.5.2應急響應內容
應急響應是處理各種惡意攻擊帶來的緊急破壞效果�����,這里包括如下方面:
(1)拒絕服務響應�����,當網絡遭受大量通問而造成我們正常業(yè)務無法提供服務的時候�,必須采取措施����,將惡意訪問抵擋在業(yè)務范圍之外;
(2)數據破壞響應�,當服務器的相關環(huán)節(jié)�����,包括文件服務器����,網站服務器����,數據庫服務器等的數據被惡意破壞,導致無法正常提供服務,并且此類現象可能還會重現��;
(3)病毒蠕蟲響應�����,當網絡遭受到病毒蠕蟲的攻擊,導致正常辦公網絡癱瘓無法正常實施業(yè)務�����,必須采取根治措施��,去除惡意影響���;
(4)其他情況應急響應��,除了上面列明外��,包括惡意竊聽�、代碼攻擊、網絡欺騙等�����,需要進一步找到攻擊根源,去除漏洞�����。
3.6等級保護測評
聘請第三方信息安全等級保護測評公司進行網站系統(tǒng)相關軟硬件是否達到信息安全等級保護三級的要求�����,并出具測評證書。
4建立及完善安全管理機制和網站維護隊伍
第6篇
關鍵詞:檔案網絡 信息安全保障 建設保障體系
1.引言
如今我們的網絡安全受到了嚴重的威脅�,我們必須把維護檔案網絡信息安全作為我們工作的重中之重。但是現在人們關注的焦點主要在于建設和完善檔案網絡信息系統(tǒng)����、應用軟件以及硬件設備�����,對維護檔案網絡信息安全的重視還不夠��,但檔案的信息安全事關人民群眾生活的方方面面�,基于這一情況,筆者重點闡述了建設檔案網絡信息保障體系的一些想法���。
2.建設檔案網絡信息保障體系的基本要求
在充分了解檔案網絡信息保障系統(tǒng)的前提下,為了保障檔案網絡信息的安全����,我們必須遵循以下要求:
第一�����,在檔案網絡信息部門創(chuàng)造一個安全可靠的環(huán)境�����。維護檔案信息安全的網絡部門環(huán)境是十分重要的�����,要對該部門網絡的信息查詢始端和終端以及網絡設備進行仔細的檢查����,并做好保護工作。
第二,創(chuàng)造一個安全可靠的檔案信息傳輸通道����。檔案信息在傳送的過程中很容易被竊取�,因此我們對傳輸過程的保密措施要做得十分到位,以防不法分子竊取檔案信息從而造成不必要的損失�。
第三����,嚴格限制用戶的訪問權限。用戶在申請權限的時候���,要證實用戶的身份,并且要保證用戶只能訪問授權的內容����,不能訪問受限制的內容。
第四����,完善密碼和密碼設備的協(xié)調機制���。所有用戶密碼以及密碼設備都應當進行統(tǒng)一的管理��,并且要把每個用戶的密碼與密碼設備對應起來��,確保準確����。
第五���,創(chuàng)造綜合管理檔案信息的工作環(huán)境。這個要求就是將全部用戶的檔案信息集中到一起進行管理�。這樣不僅方便管理檔案信息����,還能保證檔案信息不被丟失����,以達到安全管理檔案網絡信息保障系統(tǒng)的要求。
3.建設檔案網絡信息保障體系的具體方法
第一����,配備防止網絡病毒的設備����,其作用是檢測出已經存在的病毒對其查殺,并做好預防病毒的工作��。
第二�,配置掃描網絡漏洞的系統(tǒng)�,定時對主機���、操作系統(tǒng)����、軟件系統(tǒng)以及網口進行掃描����,防止漏洞入侵威脅網絡信息安全����。
第三�����,配備內網監(jiān)控審計系統(tǒng),先在PC機上安裝服務器�����,從而監(jiān)控所有PC機運作的全過程��。
第四�����,建立完善的用戶認證系統(tǒng)。對于想要進入該系統(tǒng)的用戶����,必須核實他們的真實身份和信息,嚴格做好用戶認證工作����。
第五,對服務器進行加密�。要對服務器做好加密工作,以防服務器在傳輸過程中丟失檔案信息�����。
第六�����,對保證網絡安全的服務器加密。要增設路由和防火墻的功用�����。
第七�����,建立一個良好的防火墻系統(tǒng)�。以防不法分子的入侵��。
第八���,對路由器進行加密。
上面闡述的都是比較好的方法����,我們在實際過程中,需要建立一個完善的安全保障體系�����,具體包括以下六方面的內容:
第一����、 物理安全
先對需要加密的檔案信息進行分類,根據他們需要加密的等級分為密文服務器以及明文服務器��,然后將這些檔案信息全部放置于屏蔽電磁的房間里�,接著利用內網監(jiān)控審計系統(tǒng)對整個網絡和所有的主機進行實時監(jiān)控��。需要注意的是��,我們要著重注意磁盤系統(tǒng)�,由于磁盤系統(tǒng)是所有檔案信息集中儲存的場所���,所以磁盤系統(tǒng)的安全與否決定著檔案信息的安全。我們可以利用其他的高科技來保護磁盤系統(tǒng)以防不法分子的入侵。一般說來���,物理安全保障體系是一種較為常見的手段,在實際應用中效果較為良好�����,而采用RAID 等技術來對磁盤的安全性加以保證��,更是能夠極大程度的提升整體的物理安全性能,為檔案的保護提供了便利���。
第二���、 網絡安全
儲存檔案信息的設備以及傳送檔案信息的設備一定要對終端和存儲服務器配備密碼機�����,只有這樣才能夠對檔案信息進行加密�。對于該部門的網絡IP地址�,要根據實際情況和工作需求,有效的進行規(guī)劃。在選擇硬件設施的時候�����,最好選擇具有自動保障安全的設備����。建設檔案網絡信息保障體系�����,對檔案信息的安全性的提升所具有的現實意義是非常巨大的����,通過必要的手段來對網絡訪問權限進行控制和管理��,能夠有效的提升網絡的整體安全程度���,對于保證檔案網絡信息的安全是具有重要的作用的。
第三����、 系統(tǒng)安全
有些檔案信息是需要特別加密的,通常我們都是采用Windows 2003且達到B級安全等級的操作系統(tǒng)����,這種系統(tǒng)可以實時的把握系統(tǒng)運行的情況�。必要時,還可以把國家認證的系統(tǒng)應用于此��,這樣可以增加保密的強度�����。此外��,還需要做好備份工作,完善備份機制���。應該看到,系統(tǒng)安全對于檔案的網絡信息安全保障體系的構建是具有特殊意義的����,這是因為����,只有一套安全有效的系統(tǒng)作為支持�����,才能夠保證所研發(fā)的系統(tǒng)具有實現預先設計功能的可能。
第四�����、 應用安全
加密文件服務器和不加密文件服務器可以分開來管理�����。先對檔案信息進行處理����,重要的信息要提高加密等級�,無關緊要的信息可以不進行加密����。應用系統(tǒng)在工作的時候,也要保障它的安全�,做好備份和預防工作。使用該系統(tǒng)的用戶也應當得到官方的認證�,同時對一些信息的訪問應當受到限制。保證系統(tǒng)的自我恢復功能�,在實際應用過程中具有極其重要的意義���,尤其是對于提升系統(tǒng)的整體穩(wěn)定性以及降低由于突發(fā)事件所導致的信息受損程度���,都有極其重要的積極作用����。
第五、 用戶安全
我們是為用戶服務的����,用戶安全也應當全力保證�。在選擇殺毒軟件的時候�����,最好選擇網絡版本的殺毒防毒系統(tǒng)�����,一旦系統(tǒng)出現了漏洞或者是補丁�,要立即進行修復���。網絡系統(tǒng)在運行的時候�����,要打開監(jiān)控設備全程監(jiān)控。已經設立好的IP地址不能隨意的改變�。用戶在應用系統(tǒng)之前,就要對其身份進行認證�,這不僅是為了保護檔案信息的安全�,也是為了保護用戶的安全。認證以及管理用戶的身份和信息是實現檔案網絡信息安全保證體系的基本前提�����。
第六����、 安全管理
我們進行安全管理主要是為了在分層管理網絡系統(tǒng),集中監(jiān)控檔案信息安全的基礎上��,建立一個全方位多層次的檔案網絡信息安全保障系統(tǒng)�。進行安全管理應當做到以下幾個方面:第一�����,建立嚴格的管理規(guī)章制度�����,具體包括保障系統(tǒng)運作制度��,用戶認證制度,安全操作制度����,程序規(guī)范制度,定期檢查制度等等����。第二�����,設立一個健全的組織機構�����,由專門的人對檔案網絡信息安全工作進行掌控����,具體的部門由專業(yè)人士進行管理��,各個部門的人要及時進行工作交流����,取長補短��。第三���,設立一個完善的安全保障機制,也就是說��,在出現故障或者檔案信息安全受到威脅的時候,要有相應的措施應對�,并且能夠有效的處理各種突況����。同時,還可以增設一些安全配套設施�,比如說安全管理器��、密碼服務器等等��。實際上��,一套行之有效的安全管理機制����,對于提升檔案信息安全是非常有必要的,人作為機器的控制者�,在工作中����,通過制度對人的行為加以規(guī)范,是安全管理的重要途徑之一�。
4.結語
隨著我國經濟的高速發(fā)展,我國的互聯網事業(yè)同樣取得了輝煌的成就��,而在科學技術和信息技術高速發(fā)展的社會��,卻連連遭遇檔案信息丟失或被竊的問題。然而我們知道����,保障檔案信息的安全是確保國家和軍隊的重要支撐力量,所以保護檔案信息安全是一件十分重要而且緊迫的事情���。無論是國家、政府�����、軍隊��,還是普通大眾�����,都要給予檔案信息安全足夠的重視����,并且要從理論和技術的角度�����,積極保護檔案信息的安全����。
參考文獻:
第7篇
【關鍵詞】圖書館信息安全 存在的問題 重要性 管理策略
一���、信息安全管理及其重要性
信息安全管理是一個極具綜合性的學科�����,它涉及計算機科學、管理學��、安全學如密碼科學等眾多專業(yè)領域��。其定義放眼望去可以說是眾說紛紜�,但綜合起來信息安全的主要任務或定義就是對信息的維護��,以保證信息的安全、完整��、及高度的保密性�。信息安全管理在我國的起步不是很早����,,但發(fā)展卻很迅速,我國的政府主管部門對信息安全特別是其管理給與了極大重視����。,借助于網絡通信和高新技術的發(fā)展,數字化圖書館的發(fā)展取得了巨大的進步,在信息化時代�����,每一種新興技術的出現�����,也附帶著一些隱患�,數字化圖書館也不例外��,數字化圖書館在很大程度上是很便利的��,但是�,當某一個環(huán)節(jié)出現問題時可能造成整個圖書館網絡出現癱瘓,因此����,保證圖書館網絡安全�,使其高效運行便顯得尤為重要。
二��、圖書館安全問題存在的隱患的幾個方面�;
(一)計算機病毒和木馬的威脅
隨著計算機技術的發(fā)展��,電腦病毒也不斷“升級”�����,病毒的傳播范圍愈來愈廣�,破壞力也不斷增強���,信息技術的發(fā)展也為病毒的傳播提供了便利,這些病毒和木馬通過各種方式侵擾網絡用戶��,如電子郵件、主動掃描等方式���,圖書館的安全信息系統(tǒng)也難逃其害,這對圖書館的安全管理和廣大用戶都產生了許多不利影響��。如果用戶沒有裝置相應的實施網頁主動防御軟件�,就可能被病毒和木馬所侵襲�����。用戶的重要賬號和密碼等有價值的信息被黑���,因此圖書館的網絡安全形式相當的嚴峻�����。
(二)自身系統(tǒng)存在的問題
目前大多數圖書館安裝的都是是windows操作系統(tǒng)�����,其特點是操作方便����,配置簡單,漏洞卻相當多����,很容易被病毒和黑客所攻擊和侵襲。另外internet的基礎協(xié)議tcp|ip協(xié)議的漏洞通過ip欺騙�,拒絕服務和數據監(jiān)聽等手段使得網絡出現安全問題����。
(三)網絡黑客的入侵
黑客多利用黑客特用工具進入服務器后臺程序對圖書館網絡進行攻擊破壞����,網絡內容被隨意篡改,許多不良信息涌入網絡�,對社會產生了惡劣影響。而且黑客的門檻降低��,圖書館的信息網絡往往會成為最直接的試驗地�。
(四)圖書館自我管理模式的落后
外部的侵擾和威脅會影響圖書館的安全,但自身管理的漏洞往往是對其網絡系統(tǒng)的最大威脅��。圖書館應該建立合理科學的管理系統(tǒng)和安全機制���,制定好相應的應急措施����,這樣才會有效減少安全問題出現的幾率�。相比之下��,許多單位的管理模式還是傳統(tǒng)的管理模式�����,在出現問題后才被動的去處理�����,這顯然不是我們采取的有效之法。而由于管理制度的落后導致的信息泄露往往引起了圖書館的重大安全問題���。
(五)網絡設備配置隱患
現如今,網絡設備配置很普遍也很必要����,但其中也出現了許多漏洞�����。網絡設備配置有很多種類�����,而正是多種類也為圖書館網絡管理增加了許多難度�,比如設備用戶設置的密碼過于簡單���,就會產生許多隱患�,容易讓不法分子鉆了空而去的設備控制權���,修改用戶設備配置��,盡管這只是小小的疏忽,卻為整個網絡管理帶來不便甚至是危險���。
三��、信息安全管理的目的和原則
(一)目的有如下;首先為了保證計算機必備硬件遭到自然災害的損害,其次�����,保證信息系統(tǒng)的處理信息的運行安全�,防止信息未被授權而遭更改和泄漏破壞�����,保證信息的保密性和完整性���。最后����,通過信息安全管理的制度規(guī)范和體系來保證業(yè)務的運行和管理安全����。
(二)原則如下��;第一是系統(tǒng)化原則,即信息安全管理要制定具體的��、有針對性的安全管理計劃和措施,根據具體要求來制定全方位更加細化的安全策略���。
第二是與時俱進原則,即信息安全管理應時刻關注信息技術變化����,考察安全環(huán)境動態(tài),與時俱進�,根據最新的發(fā)展制定最新的管理辦法�。
第三是預防控制為主的原則,信息安全管理以預防為主����,要求組織成員要有一定的信息安全管理的超前意識�,能夠預防大多數的安全事件。
第四是規(guī)范化原則����,遵照信息安全管理的規(guī)范,并結合組織的信息安全管理要求來制定安全策略制度����。
四、圖書館安全網絡信息環(huán)境的構建
(一)安裝智能防火墻
面對當前中很多的網絡漏洞����,安裝智能防火墻既是一種必要�,也是一種明確的選擇。所謂智能防火墻��,其智能之處就體現在它利用一系列細致高效的方法如統(tǒng)計�����、記憶�����、概率等進行數據控制���。新的數學的方法消除了匹配檢查所需的海量計算,使其高效的發(fā)現網絡行為的特征從而進行直接的訪問控制,智能防火墻綜合了包過濾和技術,能對數據鏈路層進行全方位的控制,實現tcp|ip協(xié)議的微內核.這種內核使得速度超過了傳統(tǒng)的防火墻,而且提供透明的技術,減輕客戶端的配置工作,還支持數據加密和解密,提供對虛擬網的vpn的強大支持,內部信息完全隱藏等使得圖書館的網絡系統(tǒng)處于一個更加安全的環(huán)境。智能防火墻還能有效的監(jiān)控和管理圖書館內部的局域網����,傳統(tǒng)的防火墻只防外不管內���,導致的后果是局域網速慢����,病毒和木馬橫行��。智能防火墻的安裝能有效發(fā)現圖書館內部的惡意流量并幫助管理人員找到受攻擊的源頭���。雖說不能100%的去防范網絡攻擊,但可以防御大部分的黑客攻擊�����。
(二)建立系統(tǒng)的病毒防殺體系
傳統(tǒng)的病毒防殺系統(tǒng)已無法有效抑制現行病毒的侵害�����,隨著信息化的發(fā)展���,網絡技術不斷更新,網絡病毒也出現了許多新特點����,如傳播的途徑多速度快、病毒種類多等�����。所以要更好的防護圖書館信息安全就必須要采用新型的集中式的病毒防殺措施���,這種集中式的病毒防殺系統(tǒng)可以管理很多的聯網計算機,并可以統(tǒng)一查殺病毒�,自動更新和升級病毒庫,有科學健全的病毒預警機制���,還可以提高電子郵件病毒網關和病毒引擎功能,對病毒郵件進行過濾�����。就目前來看可以說集中式病毒防殺系統(tǒng)對防御網絡病毒是非常有效的�。
(三)網絡使用者權限的分配合理化
網絡使用權限的安全實質上也就解釋了網絡安全的狀態(tài)��,因此要保證圖書館的網絡安全就必須要科學而有效的管理網絡賬號和權限�。所以在實際的操作中我們要注意以下幾點,首先是要提高使用者權限的分配合理度��,注意在設定和分配權限中的安全性,一定程度上限制高權限者的數量����,避免多用戶多漏洞的情況發(fā)生�。其次網絡管理員要對用戶和賬號進行統(tǒng)一的管理�,限制管理員賬號的登陸網站,將其網站登錄固定在本圖書館內�����,以防網外用戶對本館網絡的侵入���。
(四)注意重要數據的備份
圖書館系統(tǒng)永遠不可能是萬無一失,絕對安全的����,這時候,數據庫的備份工作是必要而且迫切的,他作為數據安全的最后一道防線,是圖書館進行網絡信息服務的基礎,數據安全是圖書館的核心部分在圖書館中���,數目與讀者的信息時最基礎也是最難以收集的數據,,萬一這些數據丟失以后可能對圖書館的正常工作造成不可彌補的損失,因此�����,我們應該把圖書館的數據備份工作放在絕對位置,并定期將數據轉存�����,在需要并條件許可時�,要對重要的數據進行雙重安全的保護,即采取雙機熱備份技術進行備份���,保障圖書館系統(tǒng)的正常運行。
(五)加強圖書館安全管理的制度建設
制度永遠是任何建設的基礎��,同樣��,有了健全的管理制度體系才能引導并保障圖書館安全管理向著更好的方向發(fā)展����。這個制度體系中包括很多方面�����,每個領域����、每個細節(jié)都應該將制度意識落到實處,包括游戲的管理機構完整的管理制度和針對性的培訓和明確的安全責任體系��。
其次���,技術部門也需要加強制度體系的建設,安全合理的管理體制是技術人員正確操作的保證��,在圖書館的網絡維護上也應該多下功夫�,建立專門的技術團隊來定是維護網絡安全����,并負責其中的制度與策略的實施���,當然�����,技術人員本身也應該注意自身的技術規(guī)范��,保證這一環(huán)節(jié)科學安全��,避免漏洞出現�。最后技術部門的一個職能就是對員工和讀者進行安全教育和技術培訓�����,增強器安全意��,還有圖書館其他工作人員也應學習一下網絡和技術培訓���,參加相關的操作了解來達到豐富自己網絡安全的知識。
圖書館的信息安全是相當重要的��,需要我們順應新時代的發(fā)展趨勢�����,來保證圖書館網絡事業(yè)的健康發(fā)展�����。
參考文獻����;
第8篇
一、以賬戶為核心進行管理
1.一個用戶��、一個賬戶(One userOne account)����,全校一卡通����。
2.賬戶靈活分組,賦予適當權限�����。
建教師組和學生組����。將賬戶加入其中��,分別賦予適當權限�。
有時也面對臨時目標設立虛擬工作組����。
二�、保證主干暢通�����,全網冗余設計�����,負載均衡
核心層采用高性能雙并列主干交換機結構����,一個鏈路失效后��,快速將負載轉移到集束的其他鏈路上�,使網絡正常運行����。
采用HSRP����,一個路由器不工作時�����,另一個可迅速接管�,不至整個網絡癱瘓��,在第三層上實現路由容錯�����、負載均衡���、對用戶通明����。
三����、合理設置和分配IP地址
1.靜、動結合
重要的服務器�、網關等少數設備為靜態(tài)IP���;其他機器通過DHCP服務器動態(tài)分配���。
2.劃分VLAN
為隔絕廣播風暴�,方便組內共享和教學�,合理劃分VLAN。
每個機房設一個VLAN����,可用于教學廣播系統(tǒng)授課、分發(fā)素材和控制���。
每個教研組設一個VLAN�,可訪問組內共享的教案����、課件等材料�����。
設置一管理VLAN���,連在核心三層交換機上����,配置ACL�,只許管理VLAN和特定主機直接訪問每一臺機器,其他均過濾�����。在管理VLAN中設一無線接入端口�,通過WPA-PSK(TKIP)加密鏈路����,但出于安全考慮平時不開通。
四��、設置VPN
1.LANtoLAN方式VPN
VPN網關上配輸入輸出過濾器�����,將VPN隧道數據流轉發(fā)給VPN服務器�,其他數據流按類型轉發(fā)給相應的服務器��,隧道使用IPSec提供安全保障�。
2.客戶到LAN方式VPN
采用SSL隧道安全協(xié)議���。設置教師和學生公用VPN賬號密碼和并發(fā)數���,Web登錄后,仍要進行個人賬戶驗證�����,才可訪問��。
開通專用管理員VPN賬號��,在進行證書認證后���,可遠程登錄維護��。
五��、數據庫的安全策略
1.采用分布式數據庫
為減少校際間帶寬的占用����、便于管理,采用分布式��,使數據庫的存儲和使用盡量在本校區(qū)內完成��。
2.站點間相互信任���、數據一致性維護、加密和備份
站點間通過Kerberos基于對稱密碼體制的雙向身份驗證協(xié)議來進行信任驗證���。
當多用戶并發(fā)訪問數據時�����,會產生丟失更新、讀過時數據�、讀臟數據等問題,采用兩段封鎖協(xié)議可使并發(fā)調度策略串行化�,避免帶來的問題:如死鎖,則強行撤銷引起死鎖的事務�����,數據庫回滾����。
分片設計上����,遵循完備性、重構和不相交條件��。
對敏感字段進行庫內加密�,常用于索引的字段明文存放����。
數據庫定期冷熱備份,多用增量備份��,建立日志和檢查點�,以便發(fā)生事務��、系統(tǒng)或介質故障和病毒破壞時進行數據恢復��。
六�����、防火墻配置
用ACL允許教師賬戶訪問Inter―net��,在規(guī)定時間以外拒絕學生賬戶訪問Internet����;對外過濾非法IP地址和協(xié)議�����,通過賬戶名口令登錄��。才能訪問內部資源���。
用服務器,分擔部分用戶認證�����,緩存設計大大分減了出校流量���、冗余���,使安全性和性能得以提高。
管理人員每天檢查日志��,及時發(fā)現異常進行處理���。
七、防毒措施
用卡巴斯基的網絡版進行實時監(jiān)控定期查殺�;每臺PC上安裝殺毒軟件�����,定時升級���,實時監(jiān)控和查殺�����。
學生機房克隆前,母盤要保證無毒���;中毒后可一鍵還原��。
以上就是我校網絡建設中安全策略和機制的設計實施情況��,在實際運行和使用中不斷改進取得了好的效果�����。
參考文獻:
