時間:2024-03-21 10:24:15
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇網絡安全終端管理,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
關鍵詞:機密 數據 威脅 網絡安全 網絡管理
一、概述
隨著網絡在企業生產經營中應用越來越廣、越來越深,企業網絡安全的問題也日益凸顯。來自企業網外部和內部的攻擊無時不刻都在威脅著企業網絡的安全,也成了每一位網絡管理人員都需要面臨的考驗。如何建立一個完整的企業網絡安全解決方案,減少因網絡攻擊和病毒引發的生產經營數據的丟失和外泄引發的損失,本文將進行一個淺顯的探討。
二、網絡安全的基礎——網絡設計
網絡的設計與建設,是構建一個安全網絡的基礎。合理的網絡構架設計將為未來網絡安全的設計與構建節省一大部分開銷,這些開銷包括了設計、成本和系統的效率等。因此,在構建一個網絡的初期,就必須將網絡系統的安全作為設計的基本要素,考慮到整個系統中。一個大型的企業,如在地域上分部較為集中,其內網為了增大運行保險系數,一般主干采用雙環網的網絡構架。這種網絡在一路主用線纜引故障停止時會自動切換到備用環上,當然,根據具體的系統配置的不同,雙環網正常工作時又會被分為雙路負載分擔型和雙路數據同步型等類型,在這里就不詳細介紹了。一個企業如在地域上較為分散,下屬有多家子公司且這些子公司又擁有自己的網絡的情況下,最好采用以樹形或星型網絡結構為主的復合型網絡設計。這種設計使得各網絡層次的訪問控制權限一目了然,便于內部網絡的控制。
一個大型企業的網絡在內部又會被分為許多特定的區域——普通的辦公區,財務銷售的核心業務區,應用服務器工作區,網絡管理維護區,多方網絡互聯區域,VPN連接區等多個功能區域。其中普通的辦公區有時是與財務銷售類的業務區合并在一起的,但是,如果公司還涉及特殊業務的時候應當將這兩個區域分開,甚至為其單獨建立一套網絡系統以增強其安全保密性。應用服務器區域一般承載著企業辦公、生產等主要業務,因此在安全上其級別應當是最高的。一般對這一區域進行安全設置時最好將除所用端口以外的所有其他端口全部封鎖,以避免多余端口通信造成的安全威脅。有條件的網絡用戶或對安全要求比較高的用戶可以在不同的網絡之間配置防火墻,使其對網絡的訪問進行更好的控制或者將不同的網絡直接進行物理隔離,以完全絕斷不同網絡之間的互訪。在網絡中中有許多服務器,比如病毒服務器、郵件服務器等,有同時被內網及外網訪問的需求,應當為這些有外網需求的服務器考慮設置DMZ區域。DMZ區域的安全級別較普通用戶區高,即便得到訪問授權的用戶,其對DMZ區域的訪問也是有限制的,只有管理人員才可以對這一區域的服務器進行完全的訪問與控制。
三、終端的安全防護
病毒、木馬無論通過何種途徑傳播,其最終都是感染終端為目的的,無論這個終端是指的服務器還是普通用戶的終端,因此,對各類終端的安全防護可以說是網絡安全構建的關鍵。對終端的安全防護可以分為兩套系統;一種為硬件的防火墻類,一般由管理人員進行專業操作處理的防護系統,包括了反垃圾郵件系統、用戶上網行為監控管理系統、網站防篡改系統等專業(服務器)終端防護系統;另一種為軟件類的防火墻、殺毒軟件及其他安裝于各個用戶終端由用戶或管理人員進行操作管理的防護系統。現在多數的網絡安全防護系統多由這兩種類型的防護系統復合而成。這種復合式的系統所取得的效果在很大程度上依賴于終端用戶的計算機水平及殺毒軟件服務提供商的反應能力和軟件更新能力,總之,這種方式是比較偏重于“被動防守”的一種防護措施。
現在有廠商提供了一種協調系統,使用這種系統能讓以上所述的復合安全系統能夠在網絡管理員的干涉下實現主動的管理。這套系統一般在用戶終端安裝一個客戶端,開機時,客戶端自動判定本終端的安全狀態并與安全服務器取得聯系,當終端被判定正常時,終端可進行正常權限的網絡訪問;當終端被判定為非正常(威脅)時,此終端可根據預先堤定的安全策略,斷絕與普通局域網的連接,只能與特定的服務器如病毒服務器等進行連接以解決問題。網絡管理員可以通過這套系統實時監查每個終端的進程與數據狀態,并通過管理終端對客戶端進行控制,以解決安全威脅。此類系統的應用將所有用戶的終端都納入了系統管理員的控制下,以系統管理員專業化的技術知識實現對整個系統的監管與維護,能夠在很大程度上減少威脅并提高系統的安全性和網絡效率。
四、終端用戶的規范
網絡的安全除了在設計、硬件、技術管理上提高水平外,對網絡用戶進行必要的指導是十分重要的。普通的網絡用戶由于其計算機專業知識水平的不同,不可能要求其對終端進行專業的處理,告誡其正確的上網方式,減少各種網絡(IE)軟件、插件的使用及不明軟件的下載是十分重要的。即使對于某些安全防護類軟件(控件、插件)也應當控制使用,原因很簡單,任何軟件的編制都有BUG或漏洞的存在,終端用戶所使用的網絡軟件(插件、控件)越多,這種硬傷類的安全威脅也就越多。終端所面臨的威脅也就越多。不安裝不必要的(網絡)軟件,也能在很大程度上避免網絡威脅。
【關鍵詞】計算機網絡安全;CPK終端軟件;安裝CPK終端軟件認證;CPK終端系統需求
為使互聯網行業能夠穩步快速、安全發展,國家相繼起草并實行了一系列互聯網安全管理草案,確保計算機用戶可以安全放心地使用網絡。要想互聯網行業長久不衰、堅持走科學發展的長遠道路,那么互聯網行業除了安全綜合政治管理以外,還要進行內外兼治,這樣就不得不以科學的發展眼光引進CPK網絡終端軟件管理系統。它建立了交易信任和數據安全基礎,然而CPK終端軟件的核心是建立合理的管理機制,有效數據管理扼殺了木馬病毒入侵計算機網絡的搖籃之夢。
一、CPK終端軟件管理系統的描述與分析
1.CPK終端軟件管理系統
在網絡廣泛運行的今天,家庭及企事業單位等大型辦公場所局域網可以隨意自主安裝,隨意使用盜版軟件、黑客軟件及與工作業務無關的聊天、游戲等不良娛樂軟件,這些網絡終端軟件的濫用威脅著系統的安全,影響網絡的運行性能及速度,嚴重的影響整個網絡的發展進程。所以合理化地管理網絡管理終端軟件已經迫在眉睫。CPK終端軟件管理系統能夠及時的攔截病毒的攻擊。CPK終端軟件管理系于1999年由南湘浩教授提案,2003年在《網絡安全技術概論》中公布了基于橢圓形曲線ECC構造了基于標識的組合公鑰。此密鑰是離散對數難題型的基于標識的密鑰生成與管理體制。依據對數據原理構建公開密鑰與私有密鑰的矩陣,采用雜湊函數與密碼變換將實體的標識映射為矩陣的行作坐標與數列坐標序列中,用來對矩陣元素進行選取與組合,生成數量非常大的由公開密鑰與私有密鑰組成的公鑰、私鑰對,以此來實現基于標識的超達規模的密鑰生成與分發。CPK密鑰管理從體制上是依據數學原理離散對數問題的構建,也可以用橢圓形離散對數問題進行構建。
2.CPK終端軟件管理系統的認證
網絡安全問題伴隨著互聯網的成長逐步成為我們生活中不可避免的困擾。所以認證技術直接的建立安全可靠的基礎設施平臺,在網絡交易事物的鑒別性證明和負責性證明提供了可信性的證明。從而為電子商務的有序發展提供了良好的環境。CPK身份認證無疑就是通過各種認證技術對用戶的身份進行鑒別,是我們網絡安全管理的重要基礎,集防了互聯網數據不被盜取與侵犯。合理的簽名機制是核心問題,同時,簽名機制要想順利的實現,必須有好的密鑰管理技術,互聯網認證體系的密鑰管理需要解決兩個問題,就是有密鑰管理規模化和基于密鑰標識的分發。解決這兩大問題的認證系統有基于PKI技術構建和CPK技術構建的認證系統的生成。
3.CPK終端軟件管理系統的分析
網絡安全問題不容忽視,網絡安全中的認證技術是深入解決這一問題的核心技術,它具有規范化,機密性和完整性等特點。CPK認證體系具有抗抵賴性的安全服務,目前來說公鑰基礎設施、基于標識的加密系統和組合公鑰系統得到大眾的一致認可。在標識機制中,計算機用戶可以設置自己的公鑰證書要求,進一步提升了人們對于計算機認證體系的可信度。
二、CPK終端軟件管理系統的需求分析
1.對于CPK終端軟件管理系統感官認識
對于軟件保護一般采用加密的方式進行數據保護,軟件加密分為軟加密和硬加密兩種方式。軟件加密一般的就是采取軟件方法不依靠特殊硬件來配套加密,而硬加密就是將全部信息固定在硬件上,提供的數據是一個硬件實體,如CD指紋等一類電子產品。但是在互聯網終端網絡管理上通常一般通過360殺毒軟件、補丁、網絡行為管理和管理軟件等方式進行計算機管理。網絡行為管理是指通過過濾關鍵字、關閉特殊定的端口來管理終端軟件的使用。軟件實名認證則運用了公約密碼數字簽名技術,對于計算機軟件進行身份認證和保護。同時對于計算機網的病毒損害提供了科學依據。
2.整合管理服務的體系結構
采用服務器的證書管理器和客戶端的終端軟件安全管理器,其中服務器端負責終端的注冊和證書的發放工作,它的工作內容主要包括密鑰因子生產、終端注冊管理、密鑰生成和資料庫管理。那么客戶端主要負責安裝的軟件注冊、簽名等認證工作的完成。終端系統利用其CPK標識認證實現身份認證,終端安裝的軟件進行注冊管路。以此達到終端網絡安全管理的理想模式。
三、終端軟件系統的開發及市場分析
1.終端軟件管理系統市場發展方向
網絡安全產業不僅具有高度的前瞻性,同時也具有較高的技術含量、高附加值的特點,已經跨步成為眾多發達國家保持經濟持續性發展的重要產業結構。作為信息產業中最活躍、最智力密集也是發展最快的軟件產業,更是各國人民政府關注的焦點,其發展關系到互聯網行業的穩定性和長久可靠性,并可能成為未來最大產業規模和最具開拓前景的新型產業。作為大眾青睞的新興支柱產業,同時也是互聯網行業發展的后盾力量,不僅大眾對它關注有佳,作為經濟支點部分的政府也是撐腰在即,竭盡全力的發展此行業。
隨著互聯網《網絡安全管理草案》的順利頒布,作為國家經濟和社會發展的戰略性基礎,軟件的價值及其所附加的巨大輻射性和帶動性作用將得到社會各界人士的高度重視。終端網絡管理軟件市場的進一步完善將成為必然,此環節的全面創新將共同推動未來軟件市場的可持續發展。
關鍵詞:機密 數據 威脅 網絡安全 網絡管理
一、概述
隨著網絡在企業生產經營中應用越來越廣、越來越深,企業網絡安全的問題也日益凸顯。來自企業網外部和內部的攻擊無時不刻都在威脅著企業網絡的安全,也成了每一位網絡管理人員都需要面臨的考驗。如何建立一個完整的企業網絡安全解決方案,減少因網絡攻擊和病毒引發的生產經營數據的丟失和外泄引發的損失,本文將進行一個淺顯的探討。
二、網絡安全的基礎——網絡設計
網絡的設計與建設,是構建一個安全網絡的基礎。合理的網絡構架設計將為未來網絡安全的設計與構建節省一大部分開銷,這些開銷包括了設計、成本和系統的效率等。因此,在構建一個網絡的初期,就必須將網絡系統的安全作為設計的基本要素,考慮到整個系統中。一個大型的企業,如在地域上分部較為集中,其內網為了增大運行保險系數,一般主干采用雙環網的網絡構架。這種網絡在一路主用線纜引故障停止時會自動切換到備用環上,當然,根據具體的系統配置的不同,雙環網正常工作時又會被分為雙路負載分擔型和雙路數據同步型等類型,在這里就不詳細介紹了。一個企業如在地域上較為分散,下屬有多家子公司且這些子公司又擁有自己的網絡的情況下,最好采用以樹形或星型網絡結構為主的復合型網絡設計。這種設計使得各網絡層次的訪問控制權限一目了然,便于內部網絡的控制。
一個大型企業的網絡在內部又會被分為許多特定的區域——普通的辦公區,財務銷售的核心業務區,應用服務器工作區,網絡管理維護區,多方網絡互聯區域,VPN連接區等多個功能區域。其中普通的辦公區有時是與財務銷售類的業務區合并在一起的,但是,如果公司還涉及特殊業務的時候應當將這兩個區域分開,甚至為其單獨建立一套網絡系統以增強其安全保密性。應用服務器區域一般承載著企業辦公、生產等主要業務,因此在安全上其級別應當是最高的。一般對這一區域進行安全設置時最好將除所用端口以外的所有其他端口全部封鎖,以避免多余端口通信造成的安全威脅。有條件的網絡用戶或對安全要求比較高的用戶可以在不同的網絡之間配置防火墻,使其對網絡的訪問進行更好的控制或者將不同的網絡直接進行物理隔離,以完全絕斷不同網絡之間的互訪。在網絡中中有許多服務器,比如病毒服務器、郵件服務器等,有同時被內網及外網訪問的需求,應當為這些有外網需求的服務器考慮設置DMZ區域。DMZ區域的安全級別較普通用戶區高,即便得到訪問授權的用戶,其對DMZ區域的訪問也是有限制的,只有管理人員才可以對這一區域的服務器進行完全的訪問與控制。
三、終端的安全防護
病毒、木馬無論通過何種途徑傳播,其最終都是感染終端為目的的,無論這個終端是指的服務器還是普通用戶的終端,因此,對各類終端的安全防護可以說是網絡安全構建的關鍵。對終端的安全防護可以分為兩套系統;一種為硬件的防火墻類,一般由管理人員進行專業操作處理的防護系統,包括了反垃圾郵件系統、用戶上網行為監控管理系統、網站防篡改系統等專業(服務器)終端防護系統;另一種為軟件類的防火墻、殺毒軟件及其他安裝于各個用戶終端由用戶或管理人員進行操作管理的防護系統。現在多數的網絡安全防護系統多由這兩種類型的防護系統復合而成。這種復合式的系統所取得的效果在很大程度上依賴于終端用戶的計算機水平及殺毒軟件服務提供商的反應能力和軟件更新能力,總之,這種方式是比較偏重于“被動防守”的一種防護措施。
現在有廠商提供了一種協調系統,使用這種系統能讓以上所述的復合安全系統能夠在網絡管理員的干涉下實現主動的管理。這套系統一般在用戶終端安裝一個客戶端,開機時,客戶端自動判定本終端的安全狀態并與安全服務器取得聯系,當終端被判定正常時,終端可進行正常權限的網絡訪問;當終端被判定為非正常(威脅)時,此終端可根據預先堤定的安全策略,斷絕與普通局域網的連接,只能與特定的服務器如病毒服務器等進行連接以解決問題。網絡管理員可以通過這套系統實時監查每個終端的進程與數據狀態,并通過管理終端對客戶端進行控制,以解決安全威脅。此類系統的應用將所有用戶的終端都納入了系統管理員的控制下,以系統管理員專業化的技術知識實現對整個系統的監管與維護,能夠在很大程度上減少威脅并提高系統的安全性和網絡效率。
四、終端用戶的規范
網絡的安全除了在設計、硬件、技術管理上提高水平外,對網絡用戶進行必要的指導是十分重要的。普通的網絡用戶由于其計算機專業知識水平的不同,不可能要求其對終端進行專業的處理,告誡其正確的上網方式,減少各種網絡(IE)軟件、插件的使用及不明軟件的下載是十分重要的。即使對于某些安全防護類軟件(控件、插件)也應當控制使用,原因很簡單,任何軟件的編制都有BUG或漏洞的存在,終端用戶所使用的網絡軟件(插件、控件)越多,這種硬傷類的安全威脅也就越多。終端所面臨的威脅也就越多。不安裝不必要的(網絡)軟件,也能在很大程度上避免網絡威脅。
關鍵詞:校園 無線 網絡安全 對策措施
中圖分類號:TN925 文獻標識碼:A 文章編號:1672-3791(2014)05(a)-0029-01
近年來,隨著無線通信技術的飛速發展,以及各種智能終端、筆記本電腦的普及,無線網絡已經成為人們學習、工作的主要工具。高校校園網建設也從校園有線網絡逐步發展成為校園無線網絡。校園無線網絡成為高校信息化的重要基礎,廣大校園師生可以在校園內任意地點通過無線接入校園網絡,共享數字化校園資源。高校無線網絡提高了管理效率,豐富了教學手段,在高校管理、教學和科研等方面發揮了重要的作用。
然而,在享受高校無線網絡給高校帶來的種種便利的同時,無線網絡的安全問題也隨之而來。一旦校園無線網絡由于安全問題導致中斷服務,將會給學校管理帶來重大的損失。因此,必須重視校園無線網絡安全問題,提出相關對策,確保校園無線網絡穩定運行。
1 高校無線網路安全問題
1.1 手機病毒的攻擊
計算機病毒的攻擊是影響高校無線網絡安全的重大因素之一。目前,接入高校無線網絡的終端包括學生、教職工等個人電腦、智能手機以及各種移動終端。移動存儲設備,如U盤、移動硬盤、數據卡在上述終端廣泛使用,增加了病毒傳播的途徑和病毒感染的概率。一旦高校無線網絡遭到病毒的入侵,輕則文件損壞、數據丟失,重則網絡運行癱瘓,嚴重干擾高校教學、管理和科研的正常進行。
1.2 黑客惡意攻擊
由于校園無線網絡允許任何人、任何設備的接入,這種接入方式增加了被黑客惡意攻擊的可能。黑客可以通過無線接入網絡,攻擊校園網絡服務器。或者通過木馬等惡意軟件,在校園網絡內部盜取個人帳號、密碼等信息。特別是目前在線支付的廣泛流行,一旦被盜取關鍵信息,會為廣大校園師生帶來重大的經濟損失。
1.3 用戶安全意識淡薄
校園無線網絡的使用者主要以學生和教師為主。大多數教師對計算機、手機系統并不精通,安全意識淡薄,個人終端沒有設置登錄密碼或設置的過于簡單。這樣的終端容易被入侵,嚴重時會形成數據丟失,進而威脅整個校園無線網的安全。
高校學生不僅具備較強的好奇心,而且他們還有比較專業的知識。他們有時會對校園無線網絡造成有意無意的攻擊。部分學生訪問非法網站、下載視頻文件,不僅容易遭到木馬病毒的攻擊,而且會造成網絡帶寬被大量占據,運行速度緩慢,影響高校管理、教學的正常進行。
2 高校無線網絡安全對策
針對上述提出的高校無線網絡存在的安全問題,我們應當一方面采用先進的管理技術,不斷提高網絡管理水平和技術水平來解決、避免安全問題的發生;另一方面,要加大無線網絡安全宣傳力度,提高廣大師生無線網絡安全意識,從而提高無線網絡的安全性。具體提出幾點策略:
2.1 安裝殺毒軟件
防止病毒攻擊的最好辦法就是安裝殺毒軟件。目前流行的殺毒軟件不僅可以查殺計算機病毒,而且可以有效的阻止外部病毒的攻擊。高校無線網絡可以在網絡中心配置一個專用的殺毒軟件服務器,該服務器定期、自動的下載最新病毒庫進行殺毒軟件升級。該殺毒軟件服務器向所有接入網絡的終端提供殺毒軟件的客戶端,用于病毒查殺,最大限度的杜絕病毒對無線網絡的攻擊。
2.2 安裝防火墻
校園無線網絡應充分利用防火墻技術,將無線網絡核心服務器和資源納入防火墻防護的范圍內,有效的隔離來自網絡內部和外部的病毒、不良信息等。房后墻可以有效防止無線網絡中的惡意攻擊,還可以自行關閉一些非法端口,對不良信息進行預防。
2.3 增強廣大師生網絡安全意識
高校應該加強廣大師生的校園網絡安全意識,開展相關方面的學習和講座,請專業認識介紹無線網絡安全新技術以及個人防護措施,使大家都認識到網絡安全問題的重要性,提高每一個使用網絡人員的安全意識。用戶要合理配置接入終端、不隨意登錄不安全的網站、設置并保存好個人賬號密碼,定期更新等,不讓威脅無線網絡安全的因素有機可乘。
2.4 加大資金、人員投入力度,創建信息安全機制
高校應該有計劃、有步驟的投入資金,建設高校無線網絡安全機制。由專人負責維護和管理高校無線網絡,將高校網絡信息安全教育納入到日常教學當中。同時,對于關鍵信息和數據,應該進行及時的備份和加密,從而防止網絡攻擊造成數據丟失,造成不必要的損失和風險。
3 結論
高校無線網絡安全的防范是一項系統且復雜的工作。因為,高校網絡安全是整體的、動態的,因此為了進一步保障高校無線網絡的安全,不僅要制定有效的策略,還需要建立完善的網絡安全管理制度,培養專門的網絡安全管理人才。當然還需要廣大師生的全力配合,才能實現高校網絡能夠平穩、安全、可靠地運行。
參考文獻
[1] 高永強,郭世澤,等.網絡安全技術與應用大典[M].人民郵電出版社,2003.
[2] 宋佳麗,馬少華.校園網絡安全評估主要技術問題[M].網絡安全技術與應用,2008,10.
[3] 楊國富.網絡設備安全與防火墻[M].北京:清華大學出版社,2005.
關鍵詞:煤炭企業;網絡信息安全;問題;對策
引言:當前煤炭企業對網絡安全威脅很難開展有效的監測,無法實現主動防御,只能處于一種被動防護狀態,這無疑將會給煤炭企業引入極大的網絡安全風險。煤炭企業上到領導下到普通職員,均對網絡信息安全問題抱有僥幸的心理,覺得一般不會出大的問題,從而缺少積極的防范措施,使得煤炭企業當前在應對實際的網絡安全威脅時不能有效的進行監測和防護。
一、關于煤炭企業當前面臨的網絡信息安全問題的分析
(1)煤炭企業員工的網絡信息安全意識比較淡薄
當前很多煤炭企業對自身所處的網絡信息安全現狀依然缺少正確、完整的認識,他們企業管理者覺得煤炭企業信息化的水平不高,接入互聯網的終端和用戶比較少,因此企業的網絡信息安全問題并不會給煤炭企業造成一定的威脅。另外,煤炭企業的管理層缺少對企業網絡信息安全的有效支持,使得實際投入到企業網絡和信息安全建設中的資金遠遠達不到應有的要求。
(2)煤炭企業內部網絡信息系統的防護能力比較薄弱
從目前看來,依然存在一些煤炭企業缺少復雜的網絡信息系統部署結構,已有的設備性能和配置也比較落后。在實際的網絡系統部署中缺少有效的安全防護技術和手段,不能有效監測到網絡安全的威脅,只能一直處于被動防護的狀態。由于煤炭企業內部大多使用的還是比較老舊的操作系統,這些舊的終端設備本身就存在著大量的系統漏洞,很容易遭到黑客的攻擊。當各個系統或軟件廠商在網上修補漏洞的補丁時,很多煤炭企業員工和用戶由于對這些網絡安全問題缺少正確的認識,無法意識到這些系統和軟件漏洞會給煤炭企業本身帶來的安全威脅,使得企業內部網絡終端設備很難全部完成漏洞的修補。
(3)煤炭企業缺乏有效的網絡安全防范體系
調查發現,當前很多煤炭企業的網絡信息安全管理較為混亂,沒有形成一套科學完整的網絡安全防范體系和機制。煤炭企業雖然制定了一些有關于網絡信息安全的管理制度和工作方法,但是依然缺乏有效的網絡安全威脅監測和應對方法,對于已有的網絡安全管理辦法也很難嚴格的去執行,不能達到預期的網絡安全防護效果。另外,對于煤炭企業員工本身缺少有效的約束管理辦法,大多數時候只能依靠員工本身的自律能力,沒能從企業網絡安全管理制度和辦法上建立起一種行之有效的防范措施。
二、煤炭企業防范網絡信息安全的對策
(1)加強企業內部網絡信息安全管理
煤炭企業要想提高企業本身的網絡安全防護能力,首先必須改變企業當前固有的網絡安全管理方法,各個部門都需要制定出適合自己部門業務系統的網絡安全防護管理機制和體系。煤炭企業必須加強企業內部自身的管理,為企業制定一套完整的網絡安全審計體系,能夠及時的發現潛在的安全威脅,并有效的追蹤到問題責任人。煤炭企業的網絡安全防護能力的強弱還需要根據企業員工網絡安全意識的強弱來判斷,因此在煤炭企業實際的運營當中,必須加大對企業網絡安全技術培訓和教育的投入。在煤炭企業中,網絡信息安全相關知識的培訓、教育以及宣傳非常重要,尤其要加強企業員工對網絡安全意識的培養,認識到網絡安全對企業發展的重要性。要想讓煤炭企業能夠具備足夠的網絡安全知識和應急響應能力,就必須對企業員工開展定期的網絡安全知識培訓,從而不斷維持煤炭企業較高的網絡信息安全水平。
(2)引入先進的安全防護技術
除了剛剛提到的煤炭企業要加強企業內部網絡信息安全管理之外,最為重要的就是煤炭企業必須要引入先進的網絡安全防護技術。如果企業沒有這些先進的安全防護技術,那么煤炭企業的網絡信息安全管理做的再好也沒有用,因為攻擊者將能夠直接不費吹之力拿下企業的整個網絡系統,令企業面臨巨大的經濟或聲譽損失。當前隨著攻擊者的攻擊手段不斷提高,網絡安全防護技術也在不斷地取得發展,因此煤炭企業必須要選擇先進的安全防護技術來保護企業系統免受侵害。
首先,煤炭企業必須要給企業內部所有的辦公終端安裝網絡版的防病毒軟件,如此一來煤炭企業便可以實現對企業辦公終端的集中式管理,使得企業的系統管理員能夠及時的了解到當前網絡環境中每個節點的網絡安全狀態,從而可以實現對企業辦公終端的有效監管。此外,煤炭企業必須要在系統網絡之間部署防火墻,避免攻擊者通過非法的技術手段訪問企業內部網絡,從而有效保護企業內部網絡的安全。防火墻技術能夠實現煤炭企業內部網絡和外部網絡的有效隔離,所有來自煤炭企業外部網絡的訪問都需要經過防火墻的檢查,從而提高企業內部網絡的安全性。除此之外,煤炭企業還必須引入數據加密技術,來有效提高企業內部系統和數據的保密性,避免企業內部的機密數據被攻擊者竊取或遭內部員工的泄露。機密數據在發送之前會被發送者使用密鑰進行加密處理得到密文,然后密文會通過傳輸介質傳送給接收者,接收者在拿到密文之后,需要利用密鑰對密文進行解密處理得到原始的機密數據。這樣一來便保證了數據信息的機密性,從而避免機密數據被黑客竊取給煤炭企業帶來經濟損失。
關鍵詞:網絡安全;安全防護;接入控制;防火墻;訪問權限
隨著計算機技術的發展和Internet的廣泛應用,越來越多的企業都實現了業務系統的電子化和網絡化,計算機網絡安全已成為企業信息安全的重要組成部分。但計算機網絡也面臨著非法入侵,惡意攻擊、病毒木馬等多種威脅,對企業的信息系統安全造成損害。
因此,如何提高計算機網絡的防御能力,增強網絡的安全性和可靠性,已成為企業網絡建設時必須考慮的問題。下面介紹一些網絡安全建設方面的策略,希望能為企業網絡建設提供一些參考。
一、 做好網絡結構安全設計
網絡結構安全的核心是網絡隔離,即將整個網絡按照系統功能、信息安全等級、工作地點等原則劃分為相對獨立的子網絡,使得當某個子網絡內發生安全故障時,有害信息不能或不易擴散到別的子網絡中。
各個子網絡之間應部署防火墻、網閘等網絡安全設備,實現信息系統隔離和訪問控制。同時,充分利用IP地址、VLAN、訪問控制列表等工具,實現子網絡之間的邏輯隔離。
二、 網絡設備的安全防護
網絡設備的安全防護是指同設備交互時的安全防護,一般用于設備的配置和管理。同設備的交互有以下幾種方式:
* 通過設備Console 口訪問。
* 異步輔助端口的本地/遠程撥號訪問
* TELNET訪問
* SNMP訪問
* HTTP訪問
針對這幾種交互方式,采取的安全策略如下:
(1) 用戶登錄驗證
必須要求設備配置身份驗證,如果設備未配,將拒絕接受用戶登錄,可以通過本地用戶驗證或RADIUS驗證實現。
(2) 控制臺超時注銷
控制臺訪問用戶超過一段時間對設備沒有交互操作,設備將自動注銷本次控制臺配置任務,并切斷連接。超時時間必須可配置,缺省為10分鐘。
(3) 控制臺終端鎖定
配置用戶離開配置現場,設備提供暫時鎖定終端的能力,并設置解鎖口令。
(4) 限制telnet用戶數目
設備對telnet用戶數量必需做出上限控制。
三、 部署用戶安全接入控制系統
用戶安全接入控制是指企業員工在使用終端訪問企業資源前,先要經過身份認證和終端安全檢查。用戶在確認身份合法并通過安全檢查后,終端可以訪問用戶授權的內部資源,認證不通過則被拒絕接入網絡。終端安全接入控制主要是防止不安全的終端接入網絡和防止非法終端用戶訪問企業內部網絡。
用戶接入控制可通過部署終端安全管理系統實現。終端安全管理系統是一個包括軟件和硬件整體系統。在用戶終端上安裝安全服務程序,在用戶使用網絡前,必須啟動程序,然后輸入身份信息進行登錄。由安全管控服務器對終端用戶進行身份認證和安全檢查。通過之后服務器把檢查結果通知安全接入網關,安全接入網關根據用戶的角色,開放終端用戶的訪問權限,有效的制止用戶的非法訪問和越權訪問。
四、 網絡數據流控制
網絡數據流控制通過數據包過濾來實現。通過網絡數據包過濾,可以限制網絡通信量,限制網絡訪問到特定的用戶和設備。
訪問列表可用來控制網絡上數據包的傳遞,限制終端線路的通信量或者控制路由選擇更新,以達到增強網絡安全性的目的。在端口上設定數據流過濾,防止企業內部的IP地址欺騙。嚴格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等數據流通過網絡設備,原則上只允許本系統應用需要的應用數據流才能通過網絡設備。
五、 部署網絡防病毒軟件
網絡病毒的入口點是非常多的。在一個具有多個網絡入口的連接點的企業網絡環境中,病毒可以由軟盤、光盤、U盤等傳統介質進入,也可能由企業信息網等進入,還有可能從外部網絡中通過文件傳輸等方式進入。所以不僅要注重單機的防毒,更要重要網絡的整體防毒措施。
任何一點沒有部署防病毒系統,對整個網絡都是一個安全的威脅。網絡中應部署一套網絡防病毒系統,在所有重要服務器、操作終端安裝殺毒軟件。通過網絡殺毒服務器及時更新病毒庫及殺毒引擎,保證內部網絡安全、穩定的運行。
六、 內部網絡使用安全
* 內部系統中資源共享
嚴格控制內部員工對網絡共享資源的使用。在內部子網中一般不要輕易開放共享目錄,否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶,在共享時也必須加上必要的口令認證機制,即只有通過口令的認證才允許訪問數據。雖然說用戶名加口令的機制不是很安全,但對一般用戶而言,還是起到一定的安全防護,即使有刻意破解者,只要口令設得復雜些,也得花費相當長的時間。
* 信息存儲
對有涉及企業秘密信息的用戶主機,使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。對數據庫服務器中的數據庫必須做安全備份,包括本地備份和遠程備份存儲。
* 構建安全管理平臺
構建安全管理平臺將會降低很多因為無意的人為因素而造成的風險。構建安全管理平臺從技術上如:組成安全管理子網,安裝集中統一的安全管理軟件,如病毒軟件管理系統、網絡設備管理系統以及網絡安全設備統一管理軟件。通過安全管理平臺實現全網的安全管理。
總之,網絡安全是一個系統的工程,要用系統的思想來建設全方位的、多層次的、立體的安全防護體系。這是一項長期而艱巨的任務,需要不斷的探索。網絡安全建設不能僅僅依靠于技術手段,而應建立包括安全規范、規章制度、人員培訓等全面的管理體系,提高全體員工的安全防范意識,保護好每臺接入網絡中的設備,才能實現高速穩定安全的信息化網絡系統。
參考文獻:
關鍵詞:氣象信息網絡;安全;病毒
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 06-0101-01
一、引言
氣象信息網絡已經成為氣象業務正常運行的重要組成部分,它是相關人員了解氣象政務和天氣預報等信息的重要媒體。通過這一媒介,預報人員可通過氣象信息網絡傳輸的模式數據等,做出準確的天氣預報和氣候預測。決策服務人員可根據實際天氣情況,氣象災害預警和氣候預測等信息。公眾氣象信息網絡的這些信息來安排自己的工作、學習和生活。但隨著網絡病毒、計算機黑客的不斷入侵,互聯網的安全性越來越低,我們的氣象信息網絡正面臨日益嚴重的安全威脅。氣象信息網絡隨時都有可能遭到有意或無意的黑客攻擊或者病毒傳播。人們是如此地依賴氣象信息網絡,以至于任何因素網絡安全事故都可能造成無法估量的損失和社會影響。維護氣象信息網絡安全性已經刻不容緩。由于氣象網絡系統在管理和制度上普遍存在缺陷,一些條件較差的基層臺站甚至沒有專職計算機網絡管理人員。還有一些再基層氣象職工計算機水平較低,機房設備較差,這對氣象網絡的安全極為不利。
二、提高氣象信息網絡安全的幾個途徑
(一)加強路由器控制,防止IP地址非法探測
加強路由器控制,防止IP地址非法探測時提高氣象信息網絡安全的重要步驟之一。有時候非法黑客會采用“IP地址欺騙”的方法來進行網絡攻擊前的準備。其具體做法是:先假扮成氣象信息網絡內部的一個IP地址,通過Ping、traeeroute或其他命令探測網絡命令來探測網絡。一旦發現漏洞,黑客會利用這些漏洞對氣象信息網絡進行攻擊。針這類安全隱患,網絡管理人員應該在路由器上建立安全訪問控制列表,以防止IP地址非法探測。當建立安全訪問控制列表后,可將其放到路由器連接外網接口入口,形成一道控制墻,假如非法訪問者頻繁地利用Ping、traeeroute或其他網絡探測命令攻擊主機,可對其進行隔斷或阻斷處理。
(二)進行端口管理,阻止病毒傳播
很多網絡病毒利用固定的端口進行黑客攻擊和病毒傳播。例如,臭名昭著的Blaster蠕蟲病毒往往利用TCP 4444端口和UDP 69端口向網絡內部的正常主機傳播病毒。在氣象信息網絡安全管理時,加強計算機端口管理可在一定程度上阻礙病毒的傳播范圍。例如,網絡安全管理人員可在路由器的內、外網結構設置ACL,這樣當到達路由器時,病毒數據會被路由器的ACL設置過濾。因此,進行端口管理是一種“防患于未然”的安全策略。當發生端口攻擊等計算機信息系統安全事故和計算機違法犯罪案件時,網絡管理人員應該立即向單位信息安全責任人報告,并采取必要的措施,避免危害擴大,并編寫違章報告、運行日志和其他與計算機網絡端口攻擊有關的安全材料。
(三)提高內網安全級別,實行分級權限制度
氣象部門為維護常規氣象業務的正常運行,必須實行網絡安全級別的安全管理。一般來說,可將氣象部門的內部網絡按照安全級別分為三個級別:即業務子網級別、辦公子網級別和服務器級別,并實行分級權限制度。通過利用三層交換機策略對子網間的相互訪問進行權限控制安全級別高的子網可以訪問安全級別低的子網,同時禁止低級別的子網訪問高級別的子網。當低級別的子網網絡感染病毒后,不至于傳染至高級別子網,這樣可在很大程度上防止和阻斷網絡間病毒的傳播。網絡管理人員要執行氣象信息網絡安全的分級保護技術措施,對計算機信息系統安全運行情況進行檢查,及時查處不安全因素,排除安全隱患。
(四)實行網絡流量控制,確保業務數據正常通行
通常在氣象信息網絡沒有感染病毒時網絡帶寬應該能夠滿足業務數據的正常傳輸。假如網絡中的終端計算機感染了“蠕蟲”病毒或一些木馬程序后,網絡流量會出現異動。有時,網絡中會產生海量的數據流量,嚴重的甚至會將氣象信息網絡的帶寬完全耗盡,并導致業務網絡的阻塞或完全癱瘓。由于天氣預報、氣候預測等正常的氣象業務運行需要氣象數據及時準確的傳輸和傳達,網絡流量耗盡或阻塞將給氣象業務的正常運行帶來巨大的隱患。因此,為確保常規氣象業務數據的準確、及時傳輸,必須要對一些非業務的數據流量加強管理和限制,防止因為少量終端計算機的不正常而殃及整個網絡。氣象信息安全的相關人員應根據國家法律法規和有關政策要求,遵循國家“積極防御、綜合防范”的方針,確定氣象信息安全工作的策略、重點、制度和措施順利事實。
(五)終端計算機的網絡安全管理
計算機終端的安全是是氣象信息網絡安全的重要組成部分。病毒、惡意軟件、木馬等電腦病毒以及終端本身的軟硬件故障,常常給整個網絡帶來安全隱患,嚴重的甚至能導致系統崩潰。因此,對于終端計算機一定要加強網絡安全管理。因此要定期或不定期組織終端計算機系統的安全風險評估,檢查安全運行情況,并根據評估報告對系統安全措施進行完善與升級,及時排除安全隱患。具體的辦法和措施有:進入安全模式,使用殺毒軟件、360安全衛士、金山清理專家進行殺毒或者重裝系統等。
三、結語
總之,氣象信息網絡的安全保障工作是一項關系氣象業務健康穩定發展的長期任務,要充分認識加強信息安全保障工作的重要性和緊迫性,把信息安全工作列入重要議事日程,明確任務,落實責任,建立并認真落實信息安全責任制。在管理制度方面,要建立健全氣象信息安全組織機構、建立健全氣象信息網絡安全責任體系、建立一整套氣象信息網絡安全管理和信息安全應急處置等制度,最后,相關部門要宣傳貫徹國家信息安全相關法律、法規、規章和有關政策,并組織對氣象信息網絡管理人員進行信息安全教育建設并完善信息安全保障體系,推動信息安全工作的發展。信息網絡安全責任人要正確處理好安全與發展的關系,建立信息安全長效機制,落實信息安全措施,切實履行好信息安全保障責任。
參考文獻:
[1]陳曉字,王曉明,孫鵬.淺談廣東省氣象局網絡安全防護體系的部署[J].廣東氣象,2004,26(3):41-43
關鍵詞:氣象信息;網絡安全;對策;隱患
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2011) 22-0000-01
Yunnan Weather Information Network Security Analysis and Preventive Measures
Huang Jinran
(Yunnan Province Meteorological Information Center,Kunming 650034,China)
Abstract:With the computer network in the weather business applications,information security has become a network of Yunnan Meteorological important part of information security.By analyzing the status of Yunnan Meteorological Information Network,found that unauthorized access to meteorological information,network operating system or terminal application software vulnerabilities,malicious weather information network is currently facing three major security risk.This must be from a technical level,management level and user level,comprehensive prevention,Yunnan weather information network to ensure safe and efficient operation.
Keywords:Weather information;Network security;Responses;Risk
一、引言
隨著現代氣象事業的飛速發展,計算機網絡在云南省氣象業務中的應用越來越普及,在氣象事業中的地位也越來越重要。在天氣預報業務中,各種數值預報的結果需要計算機網絡進行分析和分發,而預報結果的上傳和下發更是離不開現代信息網絡。在氣象災害的防災減災中,預警信號和災情調查等也離不開信息網絡的應用。在公共氣象服務領域、云南省氣象局的辦公自動化等業務中,氣象信息網絡扮演的角色也越來越重要。本文以將云南現有的氣象信息網絡安全為分析樣本,探討了現階段信息網絡所面臨的安全隱患等特征,并提出相關的氣象信息網絡安全防范方案,以期為氣象信息安全提供參考依據。
二、云南氣象信息網絡安全隱患分析
隨著云南省各類氣象探測業務的飛速發展,氣象信息網絡承載的數據量越來越大,需要存儲和傳輸的大量數據,保障和防范氣象信息的安全成了云南省氣象信息安全的重要任務。另外,由于云南省各類電腦終端的品種繁多,殺毒軟件和品牌多種多樣,面對來自網絡的各類攻擊,云南省的氣象信息網絡呈現較大的脆弱性和易損性。總的來說,云南氣象信息網主要有氣象信息的越權存取、網絡操作系統或終端應用軟件安全漏洞、惡意攻擊氣象信息網絡等幾類主要的安全隱患。
(一)氣象信息的越權存取。目前云南省氣象信息網絡需要傳輸和存儲海量的氣象信息。在此過程中,氣象信息網絡必須既保證傳輸的迅捷和方便,又必須要有安全保障。為此,云南省氣象信息網絡根據不同等級的客戶,設置的不同讀寫權限。由于各類用戶往往對權限理解不清,因此經常出現錯誤的操作和違規操作。不僅普通的終端客戶易于出現誤操作給氣象信息網絡帶來安全威脅,有時甚至網管也會因為一些越權處理給氣象信息網絡帶來很大的安全隱患。當氣象信息網絡管理員在服務器系統進行更新和維護時,假如出現應用軟件安裝不適當、網絡設備誤操作、防火墻系統參數設置錯誤以及服務器端口開放不正確,都會對氣象信息網絡造成較大的威脅。因此在氣象信息網絡應用中,無論是普通用戶還是高級網管,都應明了自己的操作權限,按照相關規定進行數據下載、分發和處理等,切不可隨意越權,更不能將自己的個人信息和賬號等借給他人使用。(二)網絡操作系統或終端應用軟件安全漏洞。通常操作系統是構成網絡的主要軟件系統,據統計差不多75%的網絡攻擊從操作系統這一層面展開。目前云南省氣象信息網絡上的各類終端操作系統呈多樣化趨勢,而網絡操作系統也不可避免的存在一些漏洞。另外,各類終端的應用軟件也存在許多安全漏洞。雖然在氣象信息網絡的維護周期中,信息中心安排有專人進行安全維護和質量控制,也采用各種方式對操作系統的安全性進行前期和后期測試,故操作系統和應用軟件的安全漏洞對氣象信息網絡的危害不可低估。因此如何及時地發現信息網絡中類似的安全這洞,并采取安全補丁等方法進行防范,成為目前氣象信息網絡安全的當務之急。(三)惡意攻擊氣象信息網絡。惡意攻擊通常是指某些懷有惡意企圖的人或者集團,企圖通過惡意攻擊網絡系統,來竊取、下載、篡改或者刪除某些信息的操作。惡意攻擊常常以兩種方式進行。一種是主動顯性攻擊,即通過破壞性和明顯性的操作來破壞信息的完整性和正確性;另一種是在被動隱性攻擊,即在不影響信息網絡正常運行的情況下,采用截獲、竊取、破譯等方式來獲取信息。通常第一種攻擊破壞性大,但更容易發現,而第二種惡意攻擊則更為隱蔽。由于目前的氣象還屬于公益性行業,商業化程度不夠,因此面對的惡意攻擊相對較少。但正因為商業化程度不夠,目前大量的氣象信息未采用加密措施,數據以明文形式在網絡上傳輸,因此黑客更方便辨識、截獲和竊取信息。一旦黑客掌握氣象信息的格式和編報規律,篡改氣象信息時也更加隱蔽和容易。因此面對氣象信息網絡的惡意攻擊,我們網絡管理人員切切不可掉以輕心。
三、云南省氣象信息網絡安全威脅的防范對策
面對復雜多變的網絡威脅,云南省氣象信息網絡安全必須持續不斷進行安全性測試和檢測,并不斷革新技術,并制定各種防范對策和應急措施。總的說來,可以從技術層面、管理層面以及用戶層面三個方面進行防范。在技術層面,氣象信息網絡安全管理人員需要提高自己的計算機技術,日常安全運營維護過程中,從網絡安全架構、安全風險評估、終端安全控制等方面彌補網絡安全漏洞。在管理層面,必須建立云南省氣象信息網絡的安全防護墻以及各類網絡安全的應急備用體系,以“三分技術,七分管理”為座右銘,積極管理和防范各類安全隱患。在用戶層面,必須提高網絡安全和計算機終端安全意識,不僅要更注重使用的方便性,而且更應該注重氣象信息網絡的安全性。只有解決以上三方面的問題,才能云南省氣象信息網絡安全高效地運行。
參考文獻:
[1]邱奕煒,鄧肖任,詹利群.氣象部門網絡安全威脅與對策探討[J].氣象研究與應用,2009,S1
[2]王會品,張濤.無線網絡技術在氣象信息服務中的應用[J].氣象與環境學報,2009,2
