引論:我們為您整理了13篇網絡安全內網管理范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
第三,外力侵害。我國很多的網吧、機房不具備抵御外界侵害的能力,主要外界侵害包括自然的災禍以及周圍環境侵害等,自然的災禍指的是自然的災禍,如雷電、洪澇災害、火災、電磁泄露等;周圍環境侵害包括斷電引起數據、設備損害問題和噪音問題導致的數據高誤碼率等。第四,用戶意識不高。很多用戶在進行計算機網絡使用的時候,沒有足夠的網絡安全意識,對于密碼、權限、口令等私密的東西沒有保護好,隨意泄露,或者沒有及時修補一些網絡漏洞和補丁,黑客可以找到攻擊點。除此以外,還存在網絡安全技術人員素質不足、監管不到位等問題
改進計算機網網絡安全管理對策
針對目前存在的計算機網網絡安全管理問題,提出了以下對策。
第一,為了改進計算機網網絡安全管理,要加強用戶網絡安全管理意識。對于密碼、權限、口令等比較隱私的東西,用戶要保護好,不要隨意泄露,對于網絡漏洞和補丁,要做到及時修補,不要給有心人有機可乘的機會,進行數據備份,防止突發意外事故發生之后,數據的丟失,保持數據完整性,做到能夠及時恢復系統,減少延誤損失;
第二,為了改進計算機網網絡安全管理,要加強自然等各種外力侵害的防范。在網吧以及機房等公共場所,首先要安裝空調,控制室內溫度以及濕度,防止溫度以及濕度過高,造成網絡癱瘓。其次要裝好相應的防止雷擊的措施,多進行建筑檢測,尤其注重電源、網絡傳輸線等的防范措施,最后是防火措施要做好。各種裝修材料有可能的話,盡量選擇防火的,保持室內通風,放置好防火器等設施;
第三,為了改進計算機網網絡安全管理,要加強計算機網網絡安全管理技術問題的研究,管理人員要及時更新病毒數據庫,強化對病毒的檢測以及清除,加強防火墻的建設,發揮防火墻的作用,做到限制服務訪問、防止無權限的外部網的入侵、統計相應的網絡流量并進行適時限流等,進行網絡入侵檢測,一旦發生這些情況要及時的制止。要加強檢測、掃描以及評估漏洞,減小安全隱患;
第四,為了改進計算機網網絡安全管理,要加強對網絡安全管理制度的建立和完善。要完善已有的計算機網網絡安全管理制度,對一些過于形式化的網絡安全管理制度,要縮小范圍,提出其操作的細則,對其中有不適應現展的規則進行修正以及改善,使其更能與當代網絡發展相適應,對于沒有及時建立的法律以及法規,要及時建立,并在實踐中不斷改進以及發展;
篇2
醫院內部無線網絡(Hospital Internal Wireless Networks),既包括允許用戶在醫院內部范圍內建立遠距離無線連接的網絡。
2009 年,國家新醫改政策出臺,其中信息系統首次成為我國醫療衛生體系建設的重要支撐。醫院信息系統經過多年的發展,已經由以財務為核心的階段過渡到以臨床信息系統為核心的階段,因此越來越多的醫院開始應用無線網絡,實施以患者為核心的無線醫療信息系統。隨著無線網絡技術的日趨成熟,醫院內部無線網絡在全球范圍內醫療行業中的應用已經成為了一種趨勢,在今后的醫院應用中將會越來越廣泛。通過無線醫療信息系統的應用,既拉近了與患者之間的距離,提高了醫療服務的效率和質量,也加強了醫院的綜合管理。
2醫院內部無線網絡的安全風險
隨著醫院對無線醫療信息系統應用的不斷深入,醫院對于內部無線網絡的依賴程度也越來越深。醫院內部無線網絡作為原有醫院內部有線網絡的補充,擴展了有線網絡的應用范圍,但是也將相對封閉的醫院內部有線局域網絡環境轉變成了相對開放式的網絡環境。其安全性不僅影響到醫院內部無線醫療信息系統的使用,同樣也影響到與其相連的有線網絡環境中應用的其他醫院信息系統。因此醫院內部無線網絡的安全將直接影響到醫院整體信息系統的安全。醫院內部無線網絡一旦被破壞,將會造成醫院信息系統的數據被竊取、網絡癱瘓、醫療業務被中斷等等一系列嚴重的后果。由于醫院醫療數據的敏感性,以及無線網絡通過無線信號傳輸的特性,使得醫院內部無線網絡面臨的安全風險越來越突出。
根據相關運行情況分析, 醫院內部無線網絡主要存在以下安全問題:①非法AP的接入:無線網絡易于訪問和配置簡單的特性,使醫院內部網絡管理員和信息安全管理員非常頭痛。因為任何人都可以通過自己購買的AP利用現有有線網絡,繞過授權而連入醫院內部網絡。用戶通過非法的AP接入手段,可能會給醫院整體內部網絡帶來很大的安全隱患。②非授權用戶的接入:非授權用戶往往利用各類無線網絡的攻擊工具搜索并入侵,從而造成很嚴重的后果。非授權用戶的入侵會造成網絡流量被占用,導致網絡速度大大變慢,降低網絡帶寬利用率;某些非授權用戶會進行非法篡改,導致醫院內部無線網絡內的合法用戶無法正常登陸;更有部分非授權用戶會進行網絡竊聽和數據盜竊,對病人以及醫院整體造成相當大的損失。③服務和性能的影響:醫院內部無線網絡的傳輸帶寬是有限的,由于物理層的開銷,無線網絡的實際最高有效吞吐量僅為標準的50%。醫院內部無線網絡的帶寬可以被幾種方式吞噬,造成服務和性能的影響:如果攻擊者從以太網發送大量的Ping流量,就會輕易地吞噬AP的帶寬;如果發送廣播流量,就會同時阻塞多個AP;傳輸較大的數據文件或者運行復雜的系統都會產生很大的網絡流量負載。④地址欺騙和會話攔截:由于醫院內部使用無線網絡環境,攻擊者可以通過地址欺騙幀去重定向數據流和使ARP表變得混亂。通過一些技術手段,攻擊者可以獲得站點的地址,這些地址可以被用來惡意攻擊時使用。攻擊者還可以通過截獲會話,通過監測AP,然后裝扮成AP進入,攻擊者可以進一步獲取認證身份信息從而進入網絡。⑤數據安全問題:由于無線網絡的信號是以開放的方式在空間中傳送的,非法用戶、黑客、惡意攻擊者等會通過破解用戶的無線網絡的安全設置,冒充合法識別的身份進入無線網絡進行非法操作,進行竊聽和截取,從而達到不法操作或破壞信息的目的,從而給醫院帶來相對應的損失。
3醫院內部無線網絡的安全防護目標
早期的無線網絡標準安全性并不完善,技術上存在一些安全漏洞。隨著使用的推廣,更多的專家參與了無線標準的制定,使其安全技術迅速成熟起來。具體地講,為了有效保障無線網絡的安全性,就必須實現以下幾個安全目標:①提供接入控制:通過驗證用戶,授權接入特定的資源,同時拒絕為未經授權的用戶提供接入。②確保連接的保密與完好:利用強有力的加密和校驗技術,防止未經授權的用戶竊聽、插入或修改通過無線網絡傳輸的數據。③防止拒絕服務攻擊:確保不會有用戶占用某個接入點的所有可用帶寬,從而影響其他用戶的正常接入。
4醫院內部無線網絡的安全防護技術
無線網絡的安全技術這幾年得到了快速的發展和應用,下面是目前業界常見的無線網絡安全技術:
4.1服務區標識符(SSID)匹配 SSID(Service Set Identifier)將一個無線網絡分為幾個不同的子網絡,每一個子網絡都有其對應的身份標識(SSID),只有無線終端設置了配對的SSID才接入相應的子網絡。所以可以認為SSID是一個簡單的口令,提供了口令認證機制,實現了一定的安全性。
4.2無線網卡物理地址(MAC)過濾 每個無線工作站網卡都由唯一的物理地址(MAC)標識,該物理地址編碼方式類似于以太網物理地址。網絡管理員可在無線網絡訪問點AP中維護一組(不)允許通過AP訪問網絡地址列表,以實現基于物理地址的訪問過濾。
4.3無線接入點(AP)隔離 AP(Access Point)隔離類似于有線網絡的VLAN,將所有的無線客戶端設備完全隔離,使之只能訪問AP連接的固定網絡。該方法多用于對酒店和機場等公共熱點(Hot Spot)的架設,讓接入的無線客戶端保持隔離,提供安全的網絡接入。
4.4有線等效保密(WEP、WEP2) WEP(Wired Equivalent Privacy),IEEE80211.b標準規定的一種被稱為有線等效保密的可選加密方案,其目的是為無線網絡提供與有線網絡相同級別的安全保護。WEP是采用靜態的有線等同保密密鑰的基本安全方式。WEP2,是根據WEP的特性,為了提供更高的無線網絡安全性技術而產生。該技術相比WEP算法,將WEP密鑰的長度由40位加長到128位,初始化向量的長度由24位加長到128位。
4.5端口訪問控制技術(IEEE802.1x)和可擴展認證協議(EAP) IEEE802.1x提出基于端口進行網絡訪問控制的安全性標準,利用物理層特性對連接到網絡端口的設備進行身份認證。如果認證失敗,則禁止該設備訪問網絡資源。
IEEE 802.1x引入了PPP協議定義的可擴展認證協議(EAP)。作為可擴展認證協議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認證機制,從而提供更高級別的安全。
4.6無線網絡訪問保護(WPA、WPA2) WPA(Wifi Protected Access),率先使用802.11i中的加密技術-TKIP (Temporal Key Integrity Protocol),這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。
WPA2是基于WPA的一種新的加密方式,向后兼容,支持更高級的AES加密,能夠更好地解決無線網絡的安全問題。
4.7高級的無線網絡安全標準(IEEE 802.11i) IEEE 802.11i安全標準是為了增強無線網絡的數據加密和認證性能,定義了RSN(Robust Security Network)的概念,并且針對WEP加密機制的各種缺陷做了多方面的改進。IEEE 802.11i規定使用802.1x認證和密鑰管理方式,在數據加密方面,定義了TKIP、CCMP和WRAP三種加密機制,使得無線網絡的安全程度大大提高。
5醫院內部無線網絡的安全實現
5.1合理放置無線設備 無線網絡的信號是在空氣中傳播的,任一無線終端進入了設備信號的覆蓋范圍,都有可能連接到該無線網絡。所以醫院內部無線網絡安全的第一步就是,合理規劃AP的放置,掌控信號覆蓋范圍。在架設無線AP之前,必須選定一個合理的放置位置,以便能夠限制信號在覆蓋區以外的傳輸距離。最好放在需要覆蓋的區域中心,盡量減少信號泄露到區域外。
5.2無線網絡加密,建立用戶認證 對于醫院內部無線網絡的進行加密,建立用戶認證,設置相關登錄用戶名和密碼,而且要定期進行變更,使非法用戶不能登錄到無線設備,修改相關參數。實際上對無線網絡來說,加密更像是一種威懾。加密可細分為兩種類型:數據保密業務和業務流保密業務。只有使用特定的無線網絡加密方式,才會在降低方便性的情況下,提高安全性。
5.3 SSID設置 無線 AP 默認的設置會廣播SSID,接入終端可以通過掃描獲知附近存在哪些可用的無線網絡,例如WINDOWS自帶掃描功能,可以將能聯系到的所有無線網絡的 SSID 羅列出來。因此,設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串,同時設置SSID隱藏起來,接入端就不能通過系統自帶的功能掃描到這個實際存在的無線網絡,即便他知道有一個無線網絡存在,但猜不出 SSID 全名也是無法接入到這個網絡中去,以此保證醫院內部無線網絡的安全。
5.4 MAC地址過濾 MAC 地址過濾在有線網絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網絡中操作交換機的方式一致。通過無線控制器將指定的無線網卡的MAC 地址下發到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。
5.5 SSL VPN 進行數據加密和訪問控制 由于在實際醫療活動中,為了滿足診斷、科研及教學需要,必須經常大量采集、、利用各種醫療數據。由于原有醫院網絡的相對封閉性,絕大多數的應用系統采用的都是未經加密的數據包進行數據交換,但是醫院內部無線網絡是相對開放性的網絡,入侵者通過對無線信號中數據包的偵聽與解析,使得醫療信息泄漏成為了醫院不得不面對的問題。SSL VPN 即指采用SSL 協議來實現遠程接入的一種VPN技術。SSL VPN 基于瀏覽器的認證方式,能兼容醫院主流的無線終端設備操作系統,如Windows、Android、IOS,而VPN 的方式又能保證醫院信息系統的正常運行。SSL VPN在解決醫院無線網絡數據加密的同時,最大限度地保障了醫院信息系統的投資。
5.6核心網絡隔離 一旦攻擊者進入無線網絡,它將成為進一步入侵其他系統的起點。很多網絡都有一套經過精心設置的安全設備作為網絡的外殼,以防止非法攻擊, 但是在外殼保護的網絡內部確是非常的脆弱容易受到攻擊的。無線網絡可以通過簡單配置就可快速地接入網絡主干,但這樣會使網絡暴露在攻擊者面前。所以必須將無線網絡同易受攻擊的核心網絡進行一定的安全隔離保護,應將醫院內部無線網絡布置在核心網絡防護外殼的外面, 如防火墻、網閘等安全設備的外面,接入訪問核心網絡采用SSL VPN等方式。
5.7入侵檢測系統(IDS) IDS(Intrusion Detection Systems)入侵檢測系統,不是只針對無線網絡檢測的系統,同樣也適用于有線網絡。入侵檢測技術可以把無線網絡的安全管理能力擴展到安全審計、安全檢測、攻擊識別和響應等范疇。這樣不僅提高了網絡的信息安全基礎結構的完整性,而且幫助對付惡意用戶對整體醫院網絡內其他用戶的攻擊。依照醫院無線應用系統的安全策略,對網絡及信息系統的運行狀況進行監視,發現各種攻擊企圖、攻擊行為及攻擊結果,以保證網絡系統資源的完整性、可用性和機密性。
5.8終端準入控制 終端準入控制主要為了在用戶訪問網絡之前確保用戶的身份信任關系。利用終端準入控制,醫院能夠減少對系統運作的部分干擾,因為它能夠防止易損主機接入網絡。在終端利用醫院內部無線網絡接入之前,首先要檢查它是否符合制定的策略,可疑主機或有問題的主機將被隔離或限制接入。這樣不但可以防止這些主機成為蠕蟲和病毒攻擊的目標,還可以防止這些主機成為傳播病毒的源頭,保證只有在滿足終端準入控制策略的無線終端設備才能接入醫院網絡。
6結論
隨著無線網絡越來越受到普及,本文淺析了醫院內部無線網絡存在的幾種安全隱患,并探討了對應的幾種防范策略。總的來說,世界上不存在絕對安全的網絡,任何單一的安全技術都不能滿足無線網絡持續性的安全需求,只有增強安全防范意識,綜合應用多種安全技術,根據不同的醫院自身應用的特點,選擇相應的安全防范措施,通過技術管理和使用方法上的不斷改進,才能實現醫院無線網絡的安全運行。
參考文獻:
[1]Zerone無線安全團隊.無線網絡黑客攻防[J].中國鐵道出版社,2011(10).
篇3
一、網絡安全維護在企業內部計算機存在的相關問題分析
(一)沒有提升對網絡安全維護的重視度
現階段,雖然一些企業已經建立了較為完善的內部計算機系統,其在企業日常工作中發揮著不可替代的作用。但是,在對計算機網絡安全維護問題上,很多企業并沒有提升重視,沒有很好地保護計算機內部信息,一旦計算機遭到網絡襲擊或者內部信息泄漏,那么企業將會受到很大的損失。大部分企業的內部計算機網絡系統并沒有全面覆蓋,在管理內部網絡過程中,管理執行交叉,致使企業內部計算機的網絡安全維護存在問題,網絡安全存在隱患。
(二)網絡系統操作存在缺陷
在計算機中,操作系統是最為基礎的軟件,如果計算機缺少操作系統,那么其相關應用程序無法發揮重要作用。一些企業計算機操作系統還存在很多的問題和缺陷,這為病毒的侵入創造了良好條件。計算機操作系統構成復雜、程序繁多,如果出現問題,那么內部系統可能會出現癱瘓。在企業的內部管理中,對計算機安全問題不夠重視,對一些應用軟件也沒有及時更新,導致出現很多不安全的因素。
(三)安全管理存在一定問題
一些企業缺少內部計算機網絡安全維護的意識,因此,相關的管理工作也出現很多問題。企業內部的安全管理規定并不全面還有待完善,管理人員整體素質不高,缺少專業性技能和理論知識,沒有很好地維護相關設備,一些設備沒有發揮其用途,在使用移動硬盤時操作不當,致使病毒入侵,為企業內部計算機網絡安全維護帶來很大的難題。
(四)相關工作人員專業能力差
在企業內部計算機網絡安全維護管理中,工作人員的專業程度對企業網絡安全維護有很大影響。一些企業T工專業能力差,對待網絡安全管理工作中的一些技術問題不重視,出現問題時也不愿意積極主動去解決,綜合素質不高,導致在網絡安全管理中,企業內部信息沒有得到嚴密的保護,系統安全得不到很好的保障。
二、網絡安全維護在企業內部計算機相關管理中的有效措施
(一)提升內部計算機網絡安全維護意識
企業如果想安全有效地管理和維護內部的計算機網絡安全,那么需要全面提升安全管理意識,了解網絡安全維護在企業內部計算機管理中的重要作用,加強企業員工的教育培訓工作,提升人員專業能力和專業知識,使員工能夠掌握計算機的使用情況及設備性能,全面維護企業內部計算機的網絡安全。
(二)網絡安全技術應用需加強
近年來,隨著社會的不斷發展,企業內部計算機網絡安全相關問題層出不窮,為企業帶來很大挑戰,阻礙了企業的快速發展。企業應當全面加強網絡系統安全,使用專業的技術維護內部網絡安全。針對計算機網絡安全中出現的一些問題,使用對應的技術進行解決。
(三)不斷完善計算機網絡維護管理體系
在日常工作中,企業內部計算機在傳遞信息時可能會將病毒一并傳播,很大程度上威脅了計算機網絡安全運營,因此,企業需要不斷完善內部計算機網絡維護管理體系,對系統的運轉情況實時監控,全面清理病毒信息,保障計算機可以安全運行。完善管理系統需要很多的專業技能及專業知識作為支撐,因此,需要加強對管理人員的培訓和教育,不斷提升員工的網絡安全意識,通過不斷的實踐,總結安全維護管理經驗,掌握計算機內部系統網絡安全維護技能。
(四)不斷加強計算機網絡維護管理制度
篇4
一、內網存在的問題
為了維護網絡的安全,通常的安全策略的一個基本假設是:網絡的一邊即外部的所有人是不可信任的,另一邊即內部的所有人是可信任的。通常認為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲。事實上來自內部的數據失竊和破壞,遠遠高于外部黑客的攻擊。包括防火墻、入侵檢測系統在內的一系列安全產品在對付內網安全的主要威脅時束手無策。
1.內網資源安全
內網一旦出現、破壞的事件將產生嚴重的后果,而目前內網安全存在許多問題,如:對計算機的外設不加限制,員工利用移動存儲設備隨意拷貝公司文件;員工非法訪問Internet造成泄密;員工越權使用打印機造成文件泄密;員工非法安裝軟件,對網絡造成潛在的安全隱患;員工非法訪問他人機器,竊取他人資源;非法修改IP地址或占有他人IP竊取他人權限進行破壞活動等。
2.網絡營運安全
內網安全除了保障內網資源不被竊取之外,還要保障整個內網的系統運營的安全。對于這個問題,好多單位認識不夠,但它對整個系統的管理是至關重要的,例如:由于網絡中不定時增減計算機數量和調整計算機分布,它們往往由于疏忽忘記備案而成為管理死角;筆記本電腦在任意地點接入內部網絡,網管人員無法及時發現,即使發現也不清楚其接入位置;無法實時了解整個網絡當前的運營狀態,當網絡出現故障,網管人員無法實時發現并定位故障點,進而解決故障;無法對網絡間的流量進行監控,在出現異常流量的情況時沒有報警通知管理員等等。
二、解決方案
1.網管軟件
全世界有很多網管產品,國外著名的廠商有HP、3COM、Cisco等,所有的網管軟件無一例外的采用SNMP協議讀取網絡設備配置信息,對網絡進行管理。主要功能有:
(1)網絡設備的基本描述信息采集
(2)設備的實時狀態的信息采集
(3)網絡拓撲圖的自動生成
(4)簡單的網絡設備控制功能
(5)網絡設備信息的統計分析
這些傳統的網管軟件,主要是針對網絡進行管理,缺乏針對具體終端的管理,無法從根本上保證內網的安全。網管人員不僅關心整個網絡的運營狀態,而且更需要一個網絡安全管理平臺,對具體受控終端的使用進行全方位的審計和監控。
2.基于主機的審計和監控系統軟件
基于主機的審計和監控系統軟件主要針對終端管理,防止用戶通過各種手段泄露文件,主要包括以下一些功能:
(1)文件操作審計與監控
(2)設備操作審計和監控
(3)網絡共享及訪問審計和監控
(4)進程審計和監控
這些軟件雖然能夠一定程度上防止內網資源信息泄露,保障內網的安全,但是存在明顯的不足。首先缺乏對內網網絡結構的一個統一的、整體的認識和管理,當有非法主機內聯到網絡,控制臺根本無法監測到,更談不上確定具體方位,無法有效保證這些非法內聯主機不對網絡進行破壞或竊取機密文件。其次,缺乏對內網營運安全問題的認識,無法實時了解當前網絡的營運狀況,當網絡營運出現故障時也無能為力。
3.內網安全管理軟件
目前,有很多廠家推出專門的內網安全管理軟件。它著重于內網的安全管理和監控,以系統網絡運營管理為基礎,以防止內網泄密為目標,其核心功能由安全網管核心平臺、審計監控客戶端協同完成。
安全網管核心平臺是整個系統的核心,它負責對審計監控客戶端集中配置規則,同時采集客戶端日志,為保障內網安全提供重要數據。安全網管能夠發現整個網絡的二、三層設備,生成整個網絡的網絡拓撲圖,為網管管理整個網絡提供方便。具體功能包括:
(1)顯示所有網絡設備配置信息。
(2)顯示交換機的端口流量,當網絡流量出現異常,超出系統設定閥值,控制臺會發出報警信息。
(3)實現交換機端口的通斷控制。
(4)自動發現非法內聯設備,幫助網管人員維護網絡安全。
(5)自動顯示受控終端的當前狀態,對各種不正常狀態產生報警。
三、總結
“安全,是一種意識,而不是某種的技術就能實現真正的安全。除缺乏必要的安全產品和技術引起的不安全因素外,更多的不安全因素來自于管理上的漏洞”,要想保證網絡的安全,在做好邊界防護的同時,更要做好內部網絡的管理。
從管理角度出發,網管中心應建立一整套完善的規章制度和日常管理與工作規范,編制有關安全方面的技術手冊和建立安全管理檔案,制定嚴格的值班制度和系統維護制度,做到有問題及時發現,及時解決,使網絡的安全直接體現在有效的管理上。
參考文獻:
篇5
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 088
[中圖分類號] R197.3;TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2017)05- 0164- 03
0 引 言
隨著新醫改的不斷深入,作為其重要支柱之一的醫院信息系統建設進入了高速發展的快車道,成為醫院日常醫療工作和管理工作的基礎平臺。2013年,我院新建了醫院信息系統項目,包括機房建設、網絡建設、軟件系統建設、硬件建設等部分。醫院特點決定醫院信息系統必須365*24小時不間斷正常運行,網絡、系統軟硬件的損壞和故障,或者是數據信息泄露,都會醫院帶來不可估量的損失,影響患者正常就診,甚至危及醫院的生存和發展。因此,構建安全的醫院網絡系統,保障系統和信息系統安全,是各醫院都很關心的問題。
醫院網絡安全系統是個系統工程,其符合“木桶原理”,系統的安全程度取決于最短的那塊板,我院從硬件、網絡、系統、審計監管、防病毒、安全制度等各個方面采取了多種措施,保障了信息系統安全、網絡安全。
1 網絡系統安全
1.1 鏈路安全
為避免核心網絡系統單點故障,提高網絡系統的健壯性、容錯性和性能,我院在網絡核心層采用了H3C的IRF2(Intelligent Resilient Framework,智能彈性架構)技術, IRF2將兩臺華三10508核心交換機通過IRF物理端口連接在一起,虛擬化成一臺邏輯核心交換設備,集合了兩臺設備的硬件資源和軟件處理能力,實現兩臺設備的統一簡化管理和不間斷維護,提高了網絡對突發事故的自動容錯能力,最大程序降低了網絡的失效時間,提高了鏈路的利用率和轉發效率。
在核心層10580交換機與會聚層5800交換機間采用萬兆光纖交叉互聯,線路間做鏈路聚合,增加鏈路帶寬、實現鏈路傳輸彈性和冗余。同時,核心交換機與會聚層交換機全部配備雙電源和雙風扇組,雙電源分別插兩路不同PDU電源插痤,盡量避免單點故障。
1.2 網絡層次分明,方便管理
數據中心服務器到所有的桌面終端計算機最多通過三層網絡,即核心層、會聚層和接入層,三層網絡交換機各師其職,層次分明。核心層是網絡的高速交換主干,負責數據轉發;匯聚層提供基于策略的連接,是網絡接入層和核心層的“中介”,工作站接入核心層前須先做匯聚,實施策略、安全、工作組接入、虛擬局域網(VLAN)之間的路由、源地址或目的地址過濾等多種功能,減輕核心層設備的負荷;接入層提供工作站接入網絡功能。同時,我院每棟業務樓都建設了網絡設備間,安裝了空調和不間斷電源,統一管理該樓內所有的會聚層和接入層交換機,保證所有的設備都有良好的運行環境,同時便于管理和維護。
1.3 劃分VLAN,提高性能和安全性
醫院信息系統服務主要以訪問數據庫服務器為主,數據縱向訪問多,橫向少,同時,我院許多樓又都綜合了門診住院醫療系統、醫技系統等,我們根據其特點,將網絡按樓宇劃分為10多個VLAN子網,并將有特殊需求的應用(如財務科賬務專網等),單獨劃分VLAN。通過VLAN劃分,控制廣播范圍,抑制廣播風暴,提高了局域網的整體性能和安全性。
1.4 網絡核心層安裝防火墻板卡與IPS板卡,保證服務器區安全
醫院服務器區是醫院系統運行核心,一旦被侵入或感染病毒,將影響醫院的正常醫療業務,影響病人就診,我院每日門診人次3 000多人,住院患者1 600多人,數據庫出問題,將造成重大的社會影響和嚴重后果,故我們在核心層華三10 508交換機上安裝了SecBlade FW Enhanced增強型防火墻業務處理板卡和PS插卡,設定了防入侵和攻擊的規則,過濾非法數據,防范病毒確保服務器區安全。
1.5 智能網管中心
隨著網絡應用越來越復雜,網絡安全控制、性能優化、運營管理等問題成為困擾用戶的難題,并直接決定了醫院核心業務能否順利開展。我們采用了專門的網管系統,通過軟件的靈活控制,與相應的硬件設備配合,建立了網絡安全控制中心、性能優化中心和運營管理中心。通過網管系統,我們能實時監管網絡的運行情況,監管網絡的故障和報警,監管和分配網絡流量,優化網絡性能,使整個網絡可管可控。我院網絡管理員常用的網管功能有資源管理、拓撲管理和故障(告警/事件)管理等。
網管系統的資源管理可管理網絡設備、接口,顯示設備的詳細信息和接口詳細信息和實時性能狀態; 拓撲管理可自動發現全網設備的拓撲視圖,通過拓撲圖能夠清晰地看到醫院網絡的狀態,包括運行是否正常、網絡帶寬、連通等。
故障(告警/事件)管理,是網管系統的核心功能之一,包括設備告警、網管站告警、網絡性能監視告警、終端安全異常告警等,告警事件可通過手機短信或E-mail郵件的方式,及時通知管理員,實現遠程網絡的監控和管理。
1.6 醫院內網、外網間隔離和訪問通道
醫院內部的網絡分為醫院辦公外網(用于日常辦公,可上互聯網)和業務內網,為保證醫院內部網絡業務系統安全,防止非法入侵、病毒攻擊等醫院業務網與互聯網必須物理隔離,同時,因醫院內部眾多軟件廠商、服務器廠商、網絡設備、安全廠商,需要遠程維護內網設備,業務網和互聯網之間須有個能訪問的通道,我們采用了SSL VPN+網閘+堡壘機的方式實現了遠程安全登錄和物理隔離。
(1)在醫院外網防火墻和醫院內網防火墻之間安裝了網神SecSIS 3600網閘,利用其“數據擺渡”的工作方式,開放須訪問的端口,實現物理隔離。
(2)h程用戶通過SSL VPN接入到醫院外網。利用SSL 的私密性、確認性、可靠性、易用性特性,在遠程用戶和我院外網間建立起專用的VPN加密隧道。在SSL VPN中,將用戶的登錄設定為自動跳轉到堡壘機,通過堡壘機再訪問相關的設備和電腦,實現遠程訪問有監管有記錄有審計,可管可控。
2 服務器和存儲備份安全
系統服務器雙機備份常用的是采用雙機冷備份或通過心跳線熱備份的方式實現。我院結合自身設備特點,采用了賽門特克Veritas Cluster Server技術,在IBM刀片機上建了一個N+1 VCS集群,即多臺服務器對應一臺備份機,當其中一臺出現問題,都會自動切換到備機,實時快速,同時節約了備份機。兩套IBM DS5020存儲陣列(一臺在主機房、一臺在備份機房)通過光纖直連,采用remote mirror遠程鏡像備份技術,將主機房存儲的實時數據復制到備份存儲系統,提供于業務連續性和災難恢復的復制功能。
3 保證操作系統安全
操作系統是軟件系統基礎,保證其安全是必須的。我們對服務器進行了主機加固,關閉了不必要的服務,安裝了賽門鐵克防火墻、賽門鐵克網絡版殺毒軟件,萊恩塞克內網安全管理系統等來保證內網服務器和工作站操作系統安全。其中內網管理系統控制和監管了移動介質的使用,屏蔽了未經授權的移動介質接入網絡,避免了醫院數據的外泄及感染病毒,同時,還能對內網中每一個計算機進行遠程的桌面管理、資產管理、配置管理和系統管理等。
4 核心設備配置修改和訪問安全
服務器在注冊表中關閉了遠程訪問功能, 網絡交換機都關閉了TELNET功能,關閉命令: undo telnet server enable通過網絡堡壘機可視化的web管理界面統一配置和管理所有服務器和交換機,利用堡壘機可控制、可審計、可記錄、可追溯的特性,保證對服務器和交換機的安全管理,避免配置和修改服務器、交換機時不慎造成故障。
5 數據庫和網絡安全審計系統
為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,我院通過旁掛模式接入了數據庫和網絡安全審計系統,實時收集和監控網絡、數據庫中的系統狀態、安全事件、活動,以便集中報警、記錄、分析、處理,實現“事前評估―事中監控―事后審計”,對數據庫和網絡中的操作和更改進行追溯和還原。
6 健全安全管理制度,加強執行
建立了嚴格的規范的規章制度,規范網絡管理、維護人員的各種行為,保障網絡安全。如建立了“中心機房管理制度”“機房設備操作制度”“機房出入制度”“設備巡查制度”“工作站操作制度”等。
篇6
發現新的“藍海”
至于當時選擇鼎普科技的原因,王海洋表現出一絲自豪。她告訴記者,首先她認識到安全領域是一個朝陽產業。2003年開始,信息安全的重要性日益凸現,并被各大企事業單位所重視。一直以來,安全防御理念都局限在常規的網管級別(防火墻等)、網絡邊界(漏洞掃描、安全審計、防病毒、IDS)等方面的防御,重要的安全設施大致集中于機房、網絡入口處。在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。
然而,來自網絡內部的安全威脅卻漸漸地突顯出來,網絡的內部安全威脅大于外部,已經成為業界共識。內網安全也順理成章地成為網絡安全市場的下一個熱點和一片新的“藍海”。一時間,建設一個可管理、可控制和可信任的內網成為內網安全發展的新趨勢。王海洋說:“對于個人的信息安全,對于公司的安全,甚至是對于國家的安全來說,信息安全領域的發展前景非常寬廣。而鼎普科技在內網安全領域的快速發展,給了我一個很好的發展平臺。”在尋找到工作“藍海”的同時,王海洋敏銳地發現了技術應用上的新“藍海”。
更靈活的管理
從2003年開始,內網安全逐漸受到各企事業單位的關注。當時,內網安全的管理主要偏向于防止密級信息的外泄,對計算機外設以及各類端口的控制。
隨著時間的發展,內網的概念已經不僅僅集中在這塊了,內網安全的重心漸漸地從偏重安全轉移到偏重管理。金融、教育、能源、電力等一些非單位也開始關注內網安全,而且他們關注的內網安全涉及面更廣,需要更靈活的手段對內網的安全進行防護,比如統計網絡流量,補丁的分發以及計算機軟硬件的升級和管理等。
“以前,我們的客戶大多都是政府部門,現在,我們也在往重要領域的非單位拓展。”王海洋說,“鼎普科技是以做起家的,但同時,我們也兼顧等級保護這方面,即對非單位的信息進行安全防護。”
內外部信息交互廣泛存在于各企事業單位的辦公網中。如果他們既要防止信息孤島的產生,又要避免及敏感信息在交互中泄漏,那么在信息交互過程中就需要靈活的管理手段。
“一些客戶需要網頁瀏覽的權限設置,例如,他們需要內網管理系統允許員工上固定網站瀏覽新聞,但是又能夠阻止或警告用戶的違法上傳等行為。而我們自主研發的‘鼎普網絡單向導入管理系統’就能滿足客戶這一靈活的管理需求。我們的目標,就是能為客戶提供更直觀、更快捷操作、更方便理解的輔助管理手段。”王海洋說。
此外,鼎普科技的“數據單向導入管理系統”能夠對移動存儲介質的交叉使用進行控制,該系統通過光的物理單向傳輸的特性,在技術上極大地防范了內外網信息交互中的管理風險,同時實現對計算機違規非法外聯的監控阻斷,能有效地提高內網安全管理和信息交互的技術安全指數。
更全面的防護
篇7
影響校園網安全的因素很多。校園網一般分為校園內網、校園外網、提供各種服務的服務器群,內網主要包括:教學網、圖書館網、辦公自動化網絡、財務網;而外網則是實現內網與internet的對接,服務器群提供各自服務。根據對校園網絡的基本結構的剖析,可以得出結論,校園網的安全問題來自以下幾個方面:
2.1tcp/ip協議簇的安全性與操作系統的安全漏洞。
tcp/ip及其許多網絡協議本身在設計之初并未全面考慮安全性問題,隨著網絡技術的發展與普及,協議的安全性問題日益突出。
目前使用的操作系統,包括windows系列,unix系列都不同程度上存在安全漏洞,對網絡構成威脅。
2.2來自外部的威脅
校園網與internet相聯,極易受到外部人員的攻擊,一旦攻擊成功,將有可能造成極大破壞。而校園網用戶密集,速度快、規模大的特點,也使得安全問題容易被放大,影響更加嚴重。
2.3來自內部的安全隱患
(1)病毒、木馬的威脅。由于校園內部使用網絡的人員復雜,水平良莠不齊,在進行數據交換或數據上傳、下載時可能造成病毒、木馬在內網中的傳播、泛濫。
(2)寬松、開放的網絡環境也使得內網容易遭受攻擊。由于教學、科研的特點,使得一些新技術、新應用在校園網上實施的時候不能施加過多的限制,這也可能會造成內網受到攻擊。
(3)活躍而密集的用戶群也是校園網不安全的因素之一。數量眾多、具有一定的計算機方面的知識、無窮的探索精神而安全觀念淡薄的也可能會對校園網造成一定程度的威脅。
2.4管理制度不健全、管理人員與維護力量不足成為校園網安全的一大隱患。
校園網的建設和管理對校園網安全的關注度通常不高,安全意識不強,管理制度不健全,對于管理與維護方面的投資也不大,網絡中心的人員只能保證網絡正常運行,對于安全問題無暇顧及。管理不到位,校園內可能出現各種網絡并存,鐵通、電信、光纖內網混搭,成為攻擊者避開防火墻進行攻擊的跳板。
3.校園網安全策略
安全策略是指在某個安全區域內,用于所有與安全相關活動的一套規則。安全有效的安全策略,可以最大程度降低校園網受到攻擊而造成性能下降、失效、泄密、數據丟失的可能性。安全策略包括嚴格的管理、先進的技術和行之有效的管理制度。
3.1防火墻控制策略
防火墻是一種保護計算機網絡安全的技術性措施,是用來阻止網絡黑客進入內部網的屏障。防火墻分為專門設備構成的硬件防火墻和運行在服務器或計算機上的軟件防火墻。無論哪一種,防火墻通常都安置在網絡邊界上,根據系統管理員設置的訪問控制規則,對數據流進行過濾,通過網絡通信監控系統隔離內部網絡和外部網絡,以阻檔來自外部網絡的入侵。防火墻是internet安全的最基本組成部分。
3.2訪問控制策略
訪問控制策略是網絡安全防范和保護的主要策略,其任務是保證網絡資源不被非法使用和非法訪問。各種網絡安全策略必須相互配合才能真正起到保護作用,而訪問控制是保證網絡安全最重要的核心策略之一。訪問控制策略包括入網訪問控制策略、操作權限控制策略、目錄安全控制策略、屬性安全控制策略、網絡服務器安全控制策略、網絡監測、鎖定控制策略和防火墻控制策略等7個方面的內容。
3.3入侵檢測系統(ids,intrusion detection system)
入侵檢測系統是為保證計算機網絡系統的安全而設計的一種用于檢測違反安全策略行為的技術,它能夠及時發現并報告網絡中未授權的訪問或異常現象。違反安全策略的行為,主要是指入侵和濫用--通常將非法用戶的違規訪問行為稱為入侵,將合法用戶的違規訪問行為稱為濫用。
入侵檢測使用兩種基本的檢測技術:特征檢測與異常檢測。前者常常是對網上流動的數據內容進行分析,找出\"黑客\"攻擊的表征。后者往往是對網絡上的數據流量進行分析,找出表現異常的網絡通信。功能簡單的入侵檢測系統可能只使用這兩種技術中的一種。
3.4對病毒、木馬定期查殺
由于頻繁的數據交換,網絡中數據的上傳下載以及校園網使用者的水平良莠不齊,給病毒、木馬在網絡中的傳播提供了機會,所以應選擇合適的網絡殺毒軟件,及時更新病毒庫,定期對病毒、木馬進行查殺。
篇8
1硬件防火墻外網是要鏈接到Internet上的,所以網絡安全尤為重要,硬件防火墻是必不可少的。通過硬件防火墻的設置,可以進行包括過濾和狀態檢測,過濾掉一些IP地址和有威脅的程序不進入辦公網絡。硬件防火墻針對病毒入侵的原理,可以做出相應的策略,從源頭上確保網絡安全。
2網絡管理軟件網絡管理軟件提供網絡系統的配置、故障、性能及網絡用戶分布方面的基本管理,也就是說,網絡管理的各種功能最終會體現在網絡管理軟件的各種功能的實現上,軟件是網絡管理的“靈魂”,也是網絡管理系統的核心。
通過網絡管理軟件網管人員可以控制流量,設置不同用戶訪問的網址和使用的應用程序,設置不同時間可以訪問的網址,以及屏蔽掉一些游戲、股票等非工作需要的程序。可以實時監控客戶端的網絡行為,查看是否有非工作內容的操作。定期備份日志,保證辦公網正常有序的工作。
管理制度
篇9
二、技術要求:
(一)網管系統技術
1、各縣(區)人民政府、管委會必須建立政務內網網絡管理系統和政務外網管理系統。
2、網管系統服務器必須規劃為VLAN9所在網段,不能隨意更改。
3、網管系統服務器應專機專用,不得隨意在網管服務器主機上安裝與工作無關、不安全的軟件,禁止利用網管系統服務器上互聯網。
4、網管系統應能實時監測所有設備的運行狀況,并有基本的設備管理、告警管理、拓撲管理等功能。網管系統的拓撲圖應能真實反映本級政務信息網的網絡結構。
5、網管系統應能實時監測本級政務信息網互聯網出口、骨干節點、重要用戶流量運行狀況。
(二)安裝實時監控軟件
1、各縣(區)人民政府、管委會政務信息網互聯網出口應安裝實時監控軟件,如SNIFFERPRO,ETHERPEEK等。
2、監控軟件應能實時顯示網絡中當前流量最大的主機(IP地址)。
3、監控軟件應能在網絡流量發生異常時,能捕獲指定主機及指定網段所通過的報文,并能進行分析。
(三)防火墻地址設置
1、各縣、區、管委會防火墻接口地址與政務網相連的互聯地址應規劃在VLAN7所在的網段,即防火墻接口地址為10.X.7.253/24,對應政務網設備上互聯地址為10.X.7.254/24(X為所在地地域號)。
2、防火墻日志服務器下掛在核心交換機上,防火墻日志服務器地址與其它網管系統服務器地址均規劃在VLAN9內,IP地址應規劃在VLAN9所在網段,防火墻日志服務器IP地址為10.X.9.10/24,網關為10.X.9.254/24,且服務器不得重復他用。
(四)硬件設備配置
1、服務器配置及數量要求
服務器雙核CPU3.0G、2G內存,操作系統WINDOWSSERVER2005及SQL2005。政務外網至少需要部署1臺網絡管理服務器,政務內網至少需要部署1臺網絡管理服務器。具有防火墻的還需部署1臺防火墻日志服務器。
2、網管終端配置及數量要求
網管終端CPUP42.8G以上,內存1G,操作系統WINDOWSXP。政務外網至少需要1臺PC終端,政務內網至少需要1臺PC終端。
3、實時監控的交換機要求
用來實時監控抓包的交換機,需要支持百兆端口,支持端口鏡像。
二、管理要求
(一)網管值班人員及職責
1、制定管理制度
各縣(區)人民政府、管委會應建有政務網網絡管理辦法、用戶計算機網絡接入管理辦法、計算機病毒防治管理辦法、政務網安全保護管理辦法、網絡值班制度、數據及文檔資料保密制度、數據備份制度、機房管理制度等。
2、人員安排
各縣(區)人民政府、管委會每天應安排技術人員值班,并做好網絡維護及值班記錄。
(二)向上級匯報、備案制度
篇10
隨著全國信息化建設的發展和消防信息化的深入,消防業務應用系統數量和提供服務的用戶數不斷增加,同時,公安部消防局統一開發的一體化消防業務信息系統逐步在各總隊深入推廣應用,因此,為保障總隊信息系統的穩定可靠運行,總隊在部局規劃指導下,開展一體化信息系統信息安全保障項目建設,構建設計動態積極安全防御體系,保障全局一體化業務系統穩定可靠地運行。
2.系統特點
一體化消防業務信息系統是公安部消防局根據十一五期間信息化建設項目總體實施方案統一規劃設計,根據整體業務進行需求分析研發的信息系統,系統實現了縱貫部局,總隊,支隊,大隊,中隊各級,橫跨各業務部門的信息資源共享,互聯互通。系統以基礎數據及公眾服務兩大平臺為建設核心,包含滅火救援指揮系統,消防監督管理系統,部隊管理系統,公眾服務平臺,綜合統計分析信息系統五大業務系統。并針對一體化業務平臺,提供二次開發接口,保證和其他業務信息系統的銜接。系統采用面向服務的SOA的設計理念,最終實現音頻,視頻,數據的綜合集成,使一體化業務系統能實現互聯互通互操作。
系統建設主要依托“金盾工程”,利用“金盾工程”的現有公安網基礎網絡和信息資源,按照網絡應用環境不同,分為公安信息網(以下簡稱“公安網”)應用系統、互聯網應用系統、公安網與互聯網同步應用系統。公安網應用系統是指僅在公安網上運行的消防業務信息系統,互聯網應用系統是指在非公安網運行的消防業務信息系統。公安網與互聯網同步應用系統是指同時在公安網和非公安網開展業務應用、并且相互間有數據交換要求的消防業務信息系統。
根據部局的一體化系統建設指導方案和系統設計架構,總隊結合當前實際情況,對一體化消防業務信息系統暫采用混合部署模式,即整個總隊的一體化業務系統的應用及服務均部署于總隊信息中心,由總隊統一規劃,統一管理,開展一體化消防業務信息系統體系建設。
3. 系統信息安全管理體系設計
為保證一體化消防業務信息系統的高可用性和高可控性,總隊按照武警消防部隊信息化建設總體方案的要求,對全總隊網絡信息安全設備配備及部署進行統一規劃、設計,購買相應設備,利用信息安全基礎設施和信息系統防護手段,構建與基礎網絡相適應的信息安全管理體系。
3.1總隊信息安全管理體系安全域劃分
由于總隊內部計算機數量眾多,并涉及到公安網,互聯網以及政務網多個網絡的應用,為便于管理和控制網絡廣播風暴的發生,應根據計算機所屬部門、物理位置、重要性的不同,把局域網劃分為多個虛擬子網(VLAN1…VLANn)。根據各VLAN間的安全訪問級別不同,實現各VLAN間的安全訪問控制。
根據各類軟硬件設備提供應用的范圍、面向的用戶群以及影響面、重要性的不同,站在全局的高度,合理劃分安全域,確定安全需求和訪問控制策略、安全硬件部署策略。
總隊安全域劃分:
(1)核心業務處理區:涉及一體化消防業務信息系統中的部分業務系統。該安全域中的業務系統支持本地內網的業務應用,無需與外部實體進行數據或業務的交互。
(2)119接處警系統區:涉及119接處警系統所有應用服務器、數據庫服務器、數字錄音儀、接處警終端以及其它附屬設備。本區域設備支撐119報警的受理、處置、調度、反饋以及災后數據分析等全流程業務應用,為全內網應用。總隊119接處警系統將與一體化消防業務信息系統的滅火救援系統開發數據接口。
(3)特殊業務受理區:涉及一體化消防業務信息系統中部分業務系統,主要是面向移動終端的業務接入,包括滅火救援、消防監督的業務受理系統,特殊業務受理區的受理服務器可以將受理的業務數據“擺渡”到業務處理區進行處理,在得到處理區服務器的反饋后,再將反饋信息回傳到移動終端上,完成整個業務處理流程。
(4)特殊業務處理區:涉及滅火救援指揮、消防監督的業務處理系統,實時處理由業務受理平臺“擺渡”過來的數據,在處理后反饋給特殊業務受理區的受理服務器。
(5)內網終端區:由內網中的辦公終端組成,內網終端區用戶可以訪問網絡中授權訪問的業務系統。
(6)內網管理區:將內網中的各類管理服務器置于內網管理中,集中進行安全策略的定制、下發,集中監控各類系統運行狀態。主要包括設備管理、終端管理、防病毒管理等。內網管理區由內網中具備相應管理權限的管理員來訪問。
3.2信息安全保障體系構成
總隊信息系統安全保障技術體系由物理安全、通信網絡安全、計算環境安全、數據安全、安全基礎支撐和安全管理構成。其中,安全基礎支撐為物理安全、網絡安全、計算環境安全和數據安全提供支持,安全管理為整個安全保障體系提供全面的管理。
安全基礎支撐主要涉及總隊一體化系統中的身份認證與授權系統,包括服務器計算機硬件設備以及安全認證網關設備。通過部署身份認證與授權系統及安全認證網關于核心業務處理區,確保總隊認證服務及CA系統正常運行,利用數字證書登錄訪問一體化消防業務信息系統的模式,加強一體化系統的訪問控制安全,提高一體化系統的安全級別,是整個系統的基礎和支撐,是實現總隊信息系統安全保障的共性設施。
數據安全包括數據庫入侵檢測系統、數據庫訪問控制系統、數據庫審計系統、數據容災備份系統等,用于保障消防信息系統中的所有數據庫安全。
總隊通過在涉及到一體化消防業務信息系統的業務區對一體化業務系統數據庫部署磁盤陣列以及硬盤自備份和移動存儲備份方式,設置全量備份,增量備份策略,執行方式為日備份,周備份,月備份以及臨時應急備份,確保一體化系統的數據安全可靠。同時通過部署數據庫入侵監測及審計系統,加強系統的數據庫安全,確保數據庫無故障和穩定運行 。在核心業務信息系統和需要重點保護的信息系統中部署數據審計系統,實時監控數據庫各種賬戶的數據庫操作行為(如插入、刪除、更新、用戶自定義操作等),從而降低數據庫安全風險,保護數據庫安全。
網絡安全包括隔離防火墻、網絡入侵檢測設備、信息內容審計監控等設備,主要在各級區域網絡互連的邊界位置進行安全防護和訪問控制,對進出網絡的數據進行實時的檢測與訪問控制,以發現異常流量,并進行分析、阻斷和報告。
根據安全域劃分,總隊在各安全域間部署防火墻,并在防火墻上設置相應策略,實現安全域間的訪問控制。在核心交換機上部署網絡安全審計系統,在網絡邊界部署一臺入侵防護系統,實現對外部流入數據的監測,一旦發現入侵行為及時報警并依據策略進行阻斷。同時利用IPS系統的惡意代碼防護模塊對網絡出口處的數據進行惡意代碼防護。在核心交換機上利用入侵檢測系統針對所要監控流量端口做鏡像,實現對流經核心交換機的流量進行監測,一旦發現入侵行為或惡意行為,及時進行報警。
計算環境安全:通過公安網一機兩用監控系統以及互聯網一機兩用監控兩套終端安全管理監測系統對安全域內的終端設備進行監測管理及系統補丁集中分發工作,結合部署在公安網和互聯網上的防病毒軟件系統服務器進行集中控制和病毒防控升級工作,對部署在總隊局域網的計算機終端、服務器、及其運行的應用系統進行安全防護。
物理安全包含環境安全,設備安全,介質安全三個方面。通過信息中心機房的門禁系統、防雷設施、防火設施、穩壓UPS電源,機房溫、濕度監控系統及LED顯示,聲光報警等多種手段及措施,構筑我總隊一體化消防業務信息系統的物理安全防護體系。
安全管理主要指綜合安全管理中心,通過集中的安全管理,保障整個安全系統在統一的安全策略指導下運作,通過制定統一的安全管理協議、安全管理接口規范和安全管理數據格式,實現對用戶、設備、事件的統一集中管理,實現信息系統中各類安全設備的統一管理,安全服務的實時監控和安全審計,并提供安全策略的實施和維護。
目前,總隊通過部署NCC網絡監控和BCC業務系監控平臺,對安全域的網絡設備以及各業務服務器應用,數據庫等設置閥值和策略,進行集中管理,通過NCC和BCC進行每日巡檢。下一步將通過COSS管理平臺并平臺的二次開發接口,擬對一體化系統的深入推廣應用進行全方位監控管理。
3.3信息安全管理體系應急預案制定演練
信息安全管理體系建設的最終目標是保障一體化業務的正常穩定運行,各類防護措施的應用最大程度的降低了安全風險,但由于各種新的病毒、黑客技術層出不窮,制訂完善的應急預案,確保系統遭受安全攻擊后的可恢復性就成了系統防御的最后保障。
在應急預案中,應明確從單機故障到全網絡癱瘓、從影響個人辦公到全單位業務乃至造成重大社會影響的不同級別網絡安全事件的定義,逐一制訂對應的技術措施和管理、處置、上報機制,明確每一個步驟的責任人、責任單位。在應急預案制訂完成后,必須通過至少兩到三次的不同級別、層級安全事件應急處置演練進行檢驗,查找缺陷,完善不足,同時根據單位信息系統建設、應用的發展和網絡設備的更新不斷進行調整,確保應急預案的最后保障作用。
4.結束語
通過安全技術措施及各類軟硬件設備組合構筑一體化消防業務信息系統信息安全管理體系,確保系統穩定運行。但安全事故很多時候不是因為技術原因造成的,二是人們沒有認識到信息安全,以至于忽視了安全流程或者躲避技術控制措施,對于各類與外網邏輯隔離或物理隔離的專用網絡(如公安網)來說,其源自于內部的網絡安全威脅比例更高。因此,建立健全單位內部網絡安全管理制度,加強網絡安全教育,提升內部人員的信息安全意識就成為了增強內部網絡安全管理水平的首選措施。
總隊在加強信息化建設過程中必須加強安全保密管理,設置安全保密管理機構,制定嚴格的安全保密管理制度,采用適當的安全保密管理技術將消防信息系統中的各種安全保密產品進行集成,并加強對涉密人員的管理,形成完整的安全管理體系。同時將各類網路安全技術手段和硬件設備進行有機組合,充分發揮各自的技術特長,以物理安全、通信網絡安全、計算環境安全、數據安全、安全基礎支撐和安全管理六大模塊構成一體化信息安全保障管理體系,并輔之以具有高度可行性和可操作性的應急預案和規范的運維機制,做到網絡不斷,業務不癱,數據不丟。
篇11
2)整合網絡管理系統。計算機網絡管理系統可以說是安裝在硬件設備上的一系列軟件,通過這些軟件對網絡進行監督和控制。因此,要對這些軟件設備進行整體系統的管理和維護。不僅是軟件的研發,更重要的是對軟件實施管理和維護,讓管理和維護形成一定的管理規范和制度,比如按不同類型進行分類,配置管理、性能管理、安全管理等,按不同類型來具體實施,這些都具有獨立性,最后統一整合管理。
3)配置明確網絡協議。網絡中各個設備都是獨立的,要靠網絡管理協議來進行信息的交互和統一。通過配置和管理網絡協議來整體規范和管理系統。
1.2計算機網絡管理的日常工作制度
1)定期檢查軟件,進行升級管理。對于計算機網絡系統的任何硬件和軟件都應該進行定期檢查,尤其服務器軟件,需要定期檢查,然后進行更新升級。主要是對服務器操作系統及應用軟件系統進行升級、打補丁、防止系統漏洞。
2)數據定期備份。數據對整個計算機網絡而言十分重要。為了防止數據丟失,保障數據安全,應該定期對數據進行備份。
3)加強網絡防范。為了保障網絡安全,需要加強網絡防范。比如增加防火墻來防止外界入侵,保障網絡安全。主要從網絡系統的硬件和軟件上做防范措施。工作人員應該定期參加網絡知識培訓,了解最新的動態,進行加強網絡認識和防范意識。工作人員要嚴格遵守所在單位的管理制度,防止密碼等保密信息外泄等。
4)定期排查網絡,及時更改。作為網絡管理員應該定期對網絡做安全檢查,在檢查過程中,對發現的網絡問題應該及時更改。作為一名網絡管理員一定要認真負責檢查每一處,從而保障網絡安全。通過分類和整合,制定一定的管理規范,遇到故障時,合理分析、推斷、排除、解決故障,保證計算機網絡的正常運行。
2維護管理中常見問題的解決方法
作為一名網絡管理員必須了解網絡系統中的設備,熟悉硬件和軟件,了解操作流程,要有豐富的工作經驗。計算機網絡管理和維護包括很多方面:①了解網絡結構,熟悉設備管理,保障網絡的正常運行。②了解配置文件,熟悉路由器和交換機等。③了解網絡內部連接,發現故障問題及時檢查定位,排查網絡,排除安全隱患。④掌握用戶資源,做好用戶資源安全管理。
2.1日常維護,保證網絡正常工作計算機網絡管理員應該做好日常工作,經常性的查看監控軟件,根據監控軟件信息,了解整個網絡。每天要對核心服務器、路由器、交換機、防火墻、用戶接入口、出口等實施日志監控和查看,查看流量信息等,從而發現網絡中潛在的故障或者攻擊。2.2了解網絡設備了解網絡設備是指管理員一定要熟知網絡系統中的各個設備,了解設備的型號、性能、配置方法、功能、數據配置等,從而把網絡遇到問題及時排查。比如,要了解網絡中每1臺路由器的配置,是靜態路由還是動態路由,熟悉RIP、OSPF等路由配置,掌握BGP等外網路由管理,要熟悉日常維護管理,進而排除故障。
2.3及時備份文件網絡偶爾有突發狀況發生,比如斷電,會給網絡造成很大損失,造成數據文件丟失等,所以,管理人員應該及時備份數據文件,也可以通過軟件進行定期、定時備份。
2.4有效管理資源計算機網絡系統中資源多、復雜,有各種設備資源,比如,交換機接口,路由器接口,網管接口等等,還有數據資源,IP地址、硬件資源等,這些都需要有效地分配和管理。只有合理規劃各項資源,才能保證網絡不會存在差錯和沖突,才能保證網絡正常運行。比如,IP地址資源,如果網絡中是靜態IP地址,就要防止IP地址重復分配,造成網絡沖突。
2.5內網安全內網是屬于本單位或本系統內部管理與使用的并相對獨立于外網(互聯網)的局域網或廣域網。要想保證內網安全,重點是做好內網與外網之間的安全防護,增加安全隔離設備或進行物理隔離,杜絕內外網互聯互通,以防止外網入侵。對于有些單位內外網無法完全隔離開來的情況下,內外網間安裝防火墻軟硬件,配置ACL訪問控制列表,通過這些來保證安全。防火墻能阻擋外網的一些入侵,通過ACL來設置那些網段可以進去內容,從而避免惡意入侵。
2.6用戶權限管理網絡中用戶很多,為了保證網絡安全,應該了解用戶需求及工作性質,為不同用戶制定不同權限。管理員應經常查看日志文件,了解用戶的網上應用和流量情況,及時調整用戶權限,刪除或禁用一些不正常的用戶權限,保障網絡安全。
2.7制定嚴格有效的上網管理制度建立上網管理制度,加強單位職工網絡安全方面的教育,提高安全意識,加強上網行為管理,及時通報不良行為,創造一個良好的網絡應用環境,對于保證網絡系統能夠長期安全、穩定、有效運行同樣必不可少。
篇12
當今社會科技高速發展,信息技術應用逐漸廣泛,不少企事業、單位均在內部建立了大型的網路(計算機網絡),比如生產指揮系統,鐵路局域網,車站客戶購票系統等大型系統。隨著信息技術帶給人們極大的快捷、方便,網路信息技術的安全也就越來越重要。計算機網絡安全所指的是計算機網絡系統的軟硬件及數據受到的保護,不因為人為因素的影響而被破壞、更改,從而正常工作。此文針對探討的就是如何加強對內網安全的管理、維護,以及防范等問題。
2.企業內部計算機網絡(以下簡稱內網)的特點
2.1與外界網絡的隔離。
為了企業的生產、管理運行和工作,大多數企業都建立了內部網,比較獨立,因此,物理連接方面與外界計算機網絡聯系很少,與外界不進行溝通。為了滿足企業與外界的聯系,內網中個別客戶端計算機可能與外界聯系,但絕大多數用戶仍與外界隔絕。
2.2建立起S/C結構的應用。
內部網中普遍設立了大量的S/C結構,可以提供很多功能,如web服務、ftp服務、實時通訊、網上會議等功能。其中,一些企業安裝了專門使用的軟件,并且建立了專門數據庫,可以幫助企業制造大量的公文,并且進行流轉、處理,各種文件傳輸,也可以進行會議等。
2.3企業的日程運轉越來越依賴于內網。
由于ERP、CAD等辦公和生產系統的大量應用,企業的日常運轉對信息流通的依賴性越來越大,尤其是內部信息網絡。另外,內部網絡由于生產和辦公軟件系統的電子化、智能化,已經成為單位信息和指令傳輸的重要組成部分。
2.4對網絡安全提出了更高的要求。
大批量的終端、網絡設備和服務器共同組成了內部網絡,相互協調工作,成為嚴密的整體,因此,為了不使整個內部網絡發生不必要的意外,企業在任何一方面的安全問題都應當引起足夠的重視。這就要求內網中的各部分要有較高的穩定性、可靠性和可控性,尤其是服務器和數據庫。
3.一般內網安全存在的問題
計算機的安全級別若從高到低來講,可以分為主機系統的應用服務安全、文件系統安全,系統服務安全,操作系統內核安全,主機系統的物理安全。由于了解了內部網絡的特征,我們可以很清楚地看出,內網安全存在著很明顯的問題,特別是技術和管理使用方面。
3.1內網管理、使用方面存在問題。
3.1.1網絡安全意識不強。
由于內網還未得到大面積普及,部分企業的內網組建比較倉促,導致一些管理、使用人員對計算機知識了解不清楚,對網絡的安全問題意識不夠,并且對信息資產保護的意識相對薄弱。因此,在每次計算機信息損壞,從而導致泄漏信息、文件遺失等安全問題。這些問題都會造成直接的經濟損失。
3.1.2內部人員使用不規范。
使用人員對計算機設備操作錯誤而產生的問題在內網中占絕大多數。譬如,操作人員在計算機還未完全關閉后就關閉UPS電源,還有些操作人員在不經常殺毒的前提下隨意在多臺計算機上使用U盤、活動硬盤拷貝文件,給電腦病毒以可乘之機。有的用戶在沒有確定軟件地安全性就隨意地安裝,還有的計算機用戶隨意地將自己的賬戶密碼告知別人,給計算機安全問題造成巨大隱患。
3.2科技角度存在的漏洞。
3.2.1操作系統不能及時進行升級完善。
沒有哪個操作系統是完美的,任何操作系統一定有自身的缺陷。正是這樣才給計算機病毒提供了溫床。原因在于內網系統是一個獨立的體系,因而操作系統得不到及時升級,從而無法保證內網的安全。同樣,在應用軟件方面也存在著不足。一般而言IIS的漏洞方式有:遠程溢出漏洞、配置錯誤漏洞、權限漏洞、解碼漏洞等,數據庫的漏洞形式注入式漏洞等。然而,有些編程人員卻忽略了安全這一重大問題,產生了操作系統的缺陷和漏洞,更有甚者,為了便利而故意設置軟件的漏洞。
3.2.2關注匱乏,信息安全無法顧及全面。
在部分企業管理人員的觀念中對信息安全的關注不夠,從而造缺乏對信息安全產品的投入。在部分企業中有放棄使用網絡版防火墻和防病毒軟件以單機版產品替代的,有的企業使用一套防病毒軟件安裝多臺計算機,甚至有的企業根本沒有使用任何防火墻和防病毒軟件。
4.預防方案
4.1敲響網絡安全的警鐘。
企業管理人員要培養網絡安全意識是穩定企業內網信息安全的先決條件。要及時對其進行相應的網絡應用技術培訓,促使其專業技術水平提高,真正為企業消除在設備性能、信息安全方面的后顧之憂。對于因一線操作人員水平存在缺陷或因工作疏忽誤操作而造成的問題,技術人員應利用加密、屏幕保護加密、目錄加密、文件加密、網絡傳輸加密等專業技術來加以預防。
4.2加強有關規章完善,嚴格管理網絡使用。
加強網絡安全管理,提高有關規章制度完善程度,將有利于保障網絡安全、可靠運行。完善計算機操作使用流程制度、網絡操作規范制度、U盤、活動硬盤等信息介質的妥善管理規定、保密機和密鑰等密碼安全問責制度,同時建立健全計算機的維護制度和應急措施、預案,以保障網絡系統的安全等。為使計算機安全工作有章可循,責任到人的目的,可嘗試上網信息保密審批領導責任制等安全隱患問責制度,將計算機可能存在安全隱患的各個環節都能加以嚴格掌控。
4.3增強對計算機內部網絡的技術維護。
4.3.1對專業人才進行針對培養,加大計算機硬件的防護措施。
在制定生存發展戰略的同時,企業往往對專業人才的引進與培養傾注大量精力,而其中計算機專業的技術人員相對較為缺乏。為了推動企業發展,必須采取相應的針對措施。第一,加大對計算機專業技術人才的引進;第二,為了對計算機保持長期有效的維護,定期對內網技術專業人員進行集中技能培訓,提高其專業素質;第三,為保證內網設備的正常運行,應針對設備的使用環境、運行情況進行周期性檢查,及時更新和維護相應的配件。
4.3.2保持計算機操作系統的更新,修補減少編程堵塞漏洞。
第一,保證操作系統正常運行的首要條件就是定期對其進行更新和補漏,并且由于互聯網沒有與內網直通,更新與升級的任務需要靠維護人員手動完成。補丁管理軟件能夠針對這一情況減輕維護人員的工作量,每次只需在服務器上更新一次,相應所有客戶端便能夠自動更新,安全便捷。如微軟公司(Microsoft)的WSUS(Windows Server Update Services)補丁管理軟件等,在現如今內網服務器和終端較多的情況下,推薦使用這類軟件。第二,為最大限度地保證信息安全,類似系統中的WEB服務,數據庫讀、寫等由開發人員直接編程的專用程序應用,要求加大安全力度,盡量將程序編寫的嚴密,將涉及用戶名與口令的程序封在服務端,對于與數據庫連接的用戶名與口令應給予用戶最小的權限,營造一個安全的信息環境。
4.3.3運用防火墻、防病毒軟件等工具,定期對網絡進行監測和檢查。
為營造安全訪問空間,阻擋木馬病毒的傳播與侵入,應在服務器、各終端邊界上建立起通信監控系統,利用防火墻技術來進行實時檢查與隔離,從而提高內網的安全性。安裝網絡監控軟件,能夠及時發現內網中存在的異常情況,并提供有效證據,為事后追查問題根源提供便捷。通過安裝網絡版防病毒軟件來加強病毒檢測,及時發現病毒并予以清殺,可有效阻止其在網絡上的蔓延和破壞。
5.結語
網絡安全是企業應該高度重視的一個綜合性課題,它既包括信息系統本身的安全,又有物理和邏輯的技術措施,涉及技術、管理、使用等許多方面。企業應針對不同方面的問題,開發新技術,加強對硬件和軟件的及時調整,研究維護網絡安全的完備方法,建立起完善的網絡安全管理體系,為保證企業信息系統的安全運行而積極防范。
參考文獻:
[1]謝希仁.計算機網絡(第6版)[M].北京:電子工業出版社,2011.
篇13
在自主創新、自我研發漸成企業發展新勢的當下,獨創性核心技術及相關經營信息,無疑是企業維持競爭優勢、創造財富的商業秘密。然而,遺憾的是多數企業的核心技術,被商業間諜或競爭對手竊取,且越是高新技術企業,其商業泄密率越高。
基于網絡管理、知識產權、網絡人才缺失等成因,部分礦山企業的內網信息安全之憂漸次凸顯:盡管網絡信息防護投入不斷增加,但病毒、木馬的攻擊仍頻繁發生;硬件和帶寬投入持續增長,網絡卻再依舊時斷時續,關鍵應用性能無法得到保障,亟待企業網絡信息技術人員對癥破解。
1 礦山內網信心平臺的特點
①數據傳輸安全無法保障。②硬盤存儲的數據、文檔資料,無安全保障。③移動存儲等設備的內/外網雜亂使用,導致所存數據的安全風險。④終端計算機缺乏統一的高強度身份認證安全機制。⑤現有安全管理機制,無法對各計算機終端做全面的行為/網絡管控。⑥終端外設端口缺乏統一的安全管理。⑦各應用系統自身的數據交互/存儲,無可靠安全環境。⑧企業內網結構劃分雜亂,各業務/職能部門間的訪問顯存風險。
2 主要數據泄密途徑
2.1 主動泄密。拷貝、打印信息;收發電子郵件;QQ發送信息。
2.2 被動泄密。終端(筆記本)信息被盜;移動存儲介質(U盤、移動硬盤)丟失/被盜;移動存儲介質使用不當;計算機遭受間諜軟件攻擊,致無意識泄密。
3 礦山內網管理信息平臺的技術要點
3.1 管理系統。可集成PDM系統、ERP系統、OA系統、CPC系統及設計分析等管理系統,對控制列表中不存在的管理系統提供現場集成功能,以充分滿足企業內網的復雜需求。
3.2 應用程序。支持所有應用程序控制,如設計類的AutoCAD、辦公類Office系列、匯編類VB系列等,均可產生文件的程序。
3.3 管理模式。具備大用戶數管理模式,能滿足大規模端點控制需求,可實現負載均衡、熱備和多級管理模式等。
3.4 模塊擴展。具有高度的模塊化和擴展性,可根據制造業信息系統發展的需要,擴展其它功能,如:電子郵件加密、輸出內容監控等模塊。
3.5 端口管理。防止內部員工通過郵件、MSN、QQ、FTP下載等網絡端口發送重要文檔。
3.6 兼容系統。完全兼容現有網絡、硬件系統,如路由器、網關及防火墻;完全兼容已知的安全軟件,如殺毒軟件、防火墻軟件,加密進程不會因軟件誤判為病毒或木馬而被清除或終止;也兼容最新的Windows系統平臺,如Windows Vista、Win7等。
4 礦山內網管理信息平臺的管理功能
4.1 安全控制管理。U盤使用管理;外設端口管理;網絡訪問管理;網頁訪問管理;共享權限管理;準接入管理;終端遠程控制;在線/離線策略。
4.2 網絡運維管理。應用程序管理;網絡流量管理;軟硬件資產管理;IP&MAC地址管理;補丁分發管理;遠程桌面監控;靈活分級管理;終端進程查看;文件傳輸管理。
4.3 操作日記管理。文件操作日志;網頁瀏覽日志;U盤使用日志;應用程序日志;打印文件日志;資產異動日志;身份識別系統;訪客內聯日志;其他應用日志。
4.4 系統保護管理。客戶端自我保護;通信保護;服務器安全保護;數據庫安全保護。
5 結束語
礦山內網信息管理平臺的構建,與其說是信息技術問題,不如說是企業領導網絡意識、產權意識及商業競爭諸意識的綜合外化。惟其站在主動保護企業核心商業秘密的高度,才能關注、熟知企業內網信息管理平臺的構建,進而避免企業因內部網絡安全漏洞和網絡管理漏洞遭受到巨大損失。
參考文獻:
