引論:我們?yōu)槟砹?3篇網(wǎng)絡(luò)安全內(nèi)網(wǎng)管理范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
第三,外力侵害。我國很多的網(wǎng)吧、機(jī)房不具備抵御外界侵害的能力,主要外界侵害包括自然的災(zāi)禍以及周圍環(huán)境侵害等,自然的災(zāi)禍指的是自然的災(zāi)禍,如雷電、洪澇災(zāi)害、火災(zāi)、電磁泄露等;周圍環(huán)境侵害包括斷電引起數(shù)據(jù)、設(shè)備損害問題和噪音問題導(dǎo)致的數(shù)據(jù)高誤碼率等。第四,用戶意識不高。很多用戶在進(jìn)行計算機(jī)網(wǎng)絡(luò)使用的時候,沒有足夠的網(wǎng)絡(luò)安全意識,對于密碼、權(quán)限、口令等私密的東西沒有保護(hù)好,隨意泄露,或者沒有及時修補(bǔ)一些網(wǎng)絡(luò)漏洞和補(bǔ)丁,黑客可以找到攻擊點(diǎn)。除此以外,還存在網(wǎng)絡(luò)安全技術(shù)人員素質(zhì)不足、監(jiān)管不到位等問題
改進(jìn)計算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理對策
針對目前存在的計算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理問題,提出了以下對策。
第一,為了改進(jìn)計算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理,要加強(qiáng)用戶網(wǎng)絡(luò)安全管理意識。對于密碼、權(quán)限、口令等比較隱私的東西,用戶要保護(hù)好,不要隨意泄露,對于網(wǎng)絡(luò)漏洞和補(bǔ)丁,要做到及時修補(bǔ),不要給有心人有機(jī)可乘的機(jī)會,進(jìn)行數(shù)據(jù)備份,防止突發(fā)意外事故發(fā)生之后,數(shù)據(jù)的丟失,保持?jǐn)?shù)據(jù)完整性,做到能夠及時恢復(fù)系統(tǒng),減少延誤損失;
第二,為了改進(jìn)計算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理,要加強(qiáng)自然等各種外力侵害的防范。在網(wǎng)吧以及機(jī)房等公共場所,首先要安裝空調(diào),控制室內(nèi)溫度以及濕度,防止溫度以及濕度過高,造成網(wǎng)絡(luò)癱瘓。其次要裝好相應(yīng)的防止雷擊的措施,多進(jìn)行建筑檢測,尤其注重電源、網(wǎng)絡(luò)傳輸線等的防范措施,最后是防火措施要做好。各種裝修材料有可能的話,盡量選擇防火的,保持室內(nèi)通風(fēng),放置好防火器等設(shè)施;
第三,為了改進(jìn)計算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理,要加強(qiáng)計算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理技術(shù)問題的研究,管理人員要及時更新病毒數(shù)據(jù)庫,強(qiáng)化對病毒的檢測以及清除,加強(qiáng)防火墻的建設(shè),發(fā)揮防火墻的作用,做到限制服務(wù)訪問、防止無權(quán)限的外部網(wǎng)的入侵、統(tǒng)計相應(yīng)的網(wǎng)絡(luò)流量并進(jìn)行適時限流等,進(jìn)行網(wǎng)絡(luò)入侵檢測,一旦發(fā)生這些情況要及時的制止。要加強(qiáng)檢測、掃描以及評估漏洞,減小安全隱患;
第四,為了改進(jìn)計算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理,要加強(qiáng)對網(wǎng)絡(luò)安全管理制度的建立和完善。要完善已有的計算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理制度,對一些過于形式化的網(wǎng)絡(luò)安全管理制度,要縮小范圍,提出其操作的細(xì)則,對其中有不適應(yīng)現(xiàn)展的規(guī)則進(jìn)行修正以及改善,使其更能與當(dāng)代網(wǎng)絡(luò)發(fā)展相適應(yīng),對于沒有及時建立的法律以及法規(guī),要及時建立,并在實(shí)踐中不斷改進(jìn)以及發(fā)展;
篇2
醫(yī)院內(nèi)部無線網(wǎng)絡(luò)(Hospital Internal Wireless Networks),既包括允許用戶在醫(yī)院內(nèi)部范圍內(nèi)建立遠(yuǎn)距離無線連接的網(wǎng)絡(luò)。
2009 年,國家新醫(yī)改政策出臺,其中信息系統(tǒng)首次成為我國醫(yī)療衛(wèi)生體系建設(shè)的重要支撐。醫(yī)院信息系統(tǒng)經(jīng)過多年的發(fā)展,已經(jīng)由以財務(wù)為核心的階段過渡到以臨床信息系統(tǒng)為核心的階段,因此越來越多的醫(yī)院開始應(yīng)用無線網(wǎng)絡(luò),實(shí)施以患者為核心的無線醫(yī)療信息系統(tǒng)。隨著無線網(wǎng)絡(luò)技術(shù)的日趨成熟,醫(yī)院內(nèi)部無線網(wǎng)絡(luò)在全球范圍內(nèi)醫(yī)療行業(yè)中的應(yīng)用已經(jīng)成為了一種趨勢,在今后的醫(yī)院應(yīng)用中將會越來越廣泛。通過無線醫(yī)療信息系統(tǒng)的應(yīng)用,既拉近了與患者之間的距離,提高了醫(yī)療服務(wù)的效率和質(zhì)量,也加強(qiáng)了醫(yī)院的綜合管理。
2醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的安全風(fēng)險
隨著醫(yī)院對無線醫(yī)療信息系統(tǒng)應(yīng)用的不斷深入,醫(yī)院對于內(nèi)部無線網(wǎng)絡(luò)的依賴程度也越來越深。醫(yī)院內(nèi)部無線網(wǎng)絡(luò)作為原有醫(yī)院內(nèi)部有線網(wǎng)絡(luò)的補(bǔ)充,擴(kuò)展了有線網(wǎng)絡(luò)的應(yīng)用范圍,但是也將相對封閉的醫(yī)院內(nèi)部有線局域網(wǎng)絡(luò)環(huán)境轉(zhuǎn)變成了相對開放式的網(wǎng)絡(luò)環(huán)境。其安全性不僅影響到醫(yī)院內(nèi)部無線醫(yī)療信息系統(tǒng)的使用,同樣也影響到與其相連的有線網(wǎng)絡(luò)環(huán)境中應(yīng)用的其他醫(yī)院信息系統(tǒng)。因此醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的安全將直接影響到醫(yī)院整體信息系統(tǒng)的安全。醫(yī)院內(nèi)部無線網(wǎng)絡(luò)一旦被破壞,將會造成醫(yī)院信息系統(tǒng)的數(shù)據(jù)被竊取、網(wǎng)絡(luò)癱瘓、醫(yī)療業(yè)務(wù)被中斷等等一系列嚴(yán)重的后果。由于醫(yī)院醫(yī)療數(shù)據(jù)的敏感性,以及無線網(wǎng)絡(luò)通過無線信號傳輸?shù)奶匦裕沟冕t(yī)院內(nèi)部無線網(wǎng)絡(luò)面臨的安全風(fēng)險越來越突出。
根據(jù)相關(guān)運(yùn)行情況分析, 醫(yī)院內(nèi)部無線網(wǎng)絡(luò)主要存在以下安全問題:①非法AP的接入:無線網(wǎng)絡(luò)易于訪問和配置簡單的特性,使醫(yī)院內(nèi)部網(wǎng)絡(luò)管理員和信息安全管理員非常頭痛。因?yàn)槿魏稳硕伎梢酝ㄟ^自己購買的AP利用現(xiàn)有有線網(wǎng)絡(luò),繞過授權(quán)而連入醫(yī)院內(nèi)部網(wǎng)絡(luò)。用戶通過非法的AP接入手段,可能會給醫(yī)院整體內(nèi)部網(wǎng)絡(luò)帶來很大的安全隱患。②非授權(quán)用戶的接入:非授權(quán)用戶往往利用各類無線網(wǎng)絡(luò)的攻擊工具搜索并入侵,從而造成很嚴(yán)重的后果。非授權(quán)用戶的入侵會造成網(wǎng)絡(luò)流量被占用,導(dǎo)致網(wǎng)絡(luò)速度大大變慢,降低網(wǎng)絡(luò)帶寬利用率;某些非授權(quán)用戶會進(jìn)行非法篡改,導(dǎo)致醫(yī)院內(nèi)部無線網(wǎng)絡(luò)內(nèi)的合法用戶無法正常登陸;更有部分非授權(quán)用戶會進(jìn)行網(wǎng)絡(luò)竊聽和數(shù)據(jù)盜竊,對病人以及醫(yī)院整體造成相當(dāng)大的損失。③服務(wù)和性能的影響:醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的傳輸帶寬是有限的,由于物理層的開銷,無線網(wǎng)絡(luò)的實(shí)際最高有效吞吐量僅為標(biāo)準(zhǔn)的50%。醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的帶寬可以被幾種方式吞噬,造成服務(wù)和性能的影響:如果攻擊者從以太網(wǎng)發(fā)送大量的Ping流量,就會輕易地吞噬AP的帶寬;如果發(fā)送廣播流量,就會同時阻塞多個AP;傳輸較大的數(shù)據(jù)文件或者運(yùn)行復(fù)雜的系統(tǒng)都會產(chǎn)生很大的網(wǎng)絡(luò)流量負(fù)載。④地址欺騙和會話攔截:由于醫(yī)院內(nèi)部使用無線網(wǎng)絡(luò)環(huán)境,攻擊者可以通過地址欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂。通過一些技術(shù)手段,攻擊者可以獲得站點(diǎn)的地址,這些地址可以被用來惡意攻擊時使用。攻擊者還可以通過截獲會話,通過監(jiān)測AP,然后裝扮成AP進(jìn)入,攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。⑤數(shù)據(jù)安全問題:由于無線網(wǎng)絡(luò)的信號是以開放的方式在空間中傳送的,非法用戶、黑客、惡意攻擊者等會通過破解用戶的無線網(wǎng)絡(luò)的安全設(shè)置,冒充合法識別的身份進(jìn)入無線網(wǎng)絡(luò)進(jìn)行非法操作,進(jìn)行竊聽和截取,從而達(dá)到不法操作或破壞信息的目的,從而給醫(yī)院帶來相對應(yīng)的損失。
3醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的安全防護(hù)目標(biāo)
早期的無線網(wǎng)絡(luò)標(biāo)準(zhǔn)安全性并不完善,技術(shù)上存在一些安全漏洞。隨著使用的推廣,更多的專家參與了無線標(biāo)準(zhǔn)的制定,使其安全技術(shù)迅速成熟起來。具體地講,為了有效保障無線網(wǎng)絡(luò)的安全性,就必須實(shí)現(xiàn)以下幾個安全目標(biāo):①提供接入控制:通過驗(yàn)證用戶,授權(quán)接入特定的資源,同時拒絕為未經(jīng)授權(quán)的用戶提供接入。②確保連接的保密與完好:利用強(qiáng)有力的加密和校驗(yàn)技術(shù),防止未經(jīng)授權(quán)的用戶竊聽、插入或修改通過無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。③防止拒絕服務(wù)攻擊:確保不會有用戶占用某個接入點(diǎn)的所有可用帶寬,從而影響其他用戶的正常接入。
4醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的安全防護(hù)技術(shù)
無線網(wǎng)絡(luò)的安全技術(shù)這幾年得到了快速的發(fā)展和應(yīng)用,下面是目前業(yè)界常見的無線網(wǎng)絡(luò)安全技術(shù):
4.1服務(wù)區(qū)標(biāo)識符(SSID)匹配 SSID(Service Set Identifier)將一個無線網(wǎng)絡(luò)分為幾個不同的子網(wǎng)絡(luò),每一個子網(wǎng)絡(luò)都有其對應(yīng)的身份標(biāo)識(SSID),只有無線終端設(shè)置了配對的SSID才接入相應(yīng)的子網(wǎng)絡(luò)。所以可以認(rèn)為SSID是一個簡單的口令,提供了口令認(rèn)證機(jī)制,實(shí)現(xiàn)了一定的安全性。
4.2無線網(wǎng)卡物理地址(MAC)過濾 每個無線工作站網(wǎng)卡都由唯一的物理地址(MAC)標(biāo)識,該物理地址編碼方式類似于以太網(wǎng)物理地址。網(wǎng)絡(luò)管理員可在無線網(wǎng)絡(luò)訪問點(diǎn)AP中維護(hù)一組(不)允許通過AP訪問網(wǎng)絡(luò)地址列表,以實(shí)現(xiàn)基于物理地址的訪問過濾。
4.3無線接入點(diǎn)(AP)隔離 AP(Access Point)隔離類似于有線網(wǎng)絡(luò)的VLAN,將所有的無線客戶端設(shè)備完全隔離,使之只能訪問AP連接的固定網(wǎng)絡(luò)。該方法多用于對酒店和機(jī)場等公共熱點(diǎn)(Hot Spot)的架設(shè),讓接入的無線客戶端保持隔離,提供安全的網(wǎng)絡(luò)接入。
4.4有線等效保密(WEP、WEP2) WEP(Wired Equivalent Privacy),IEEE80211.b標(biāo)準(zhǔn)規(guī)定的一種被稱為有線等效保密的可選加密方案,其目的是為無線網(wǎng)絡(luò)提供與有線網(wǎng)絡(luò)相同級別的安全保護(hù)。WEP是采用靜態(tài)的有線等同保密密鑰的基本安全方式。WEP2,是根據(jù)WEP的特性,為了提供更高的無線網(wǎng)絡(luò)安全性技術(shù)而產(chǎn)生。該技術(shù)相比WEP算法,將WEP密鑰的長度由40位加長到128位,初始化向量的長度由24位加長到128位。
4.5端口訪問控制技術(shù)(IEEE802.1x)和可擴(kuò)展認(rèn)證協(xié)議(EAP) IEEE802.1x提出基于端口進(jìn)行網(wǎng)絡(luò)訪問控制的安全性標(biāo)準(zhǔn),利用物理層特性對連接到網(wǎng)絡(luò)端口的設(shè)備進(jìn)行身份認(rèn)證。如果認(rèn)證失敗,則禁止該設(shè)備訪問網(wǎng)絡(luò)資源。
IEEE 802.1x引入了PPP協(xié)議定義的可擴(kuò)展認(rèn)證協(xié)議(EAP)。作為可擴(kuò)展認(rèn)證協(xié)議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認(rèn)證機(jī)制,從而提供更高級別的安全。
4.6無線網(wǎng)絡(luò)訪問保護(hù)(WPA、WPA2) WPA(Wifi Protected Access),率先使用802.11i中的加密技術(shù)-TKIP (Temporal Key Integrity Protocol),這項(xiàng)技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問題。
WPA2是基于WPA的一種新的加密方式,向后兼容,支持更高級的AES加密,能夠更好地解決無線網(wǎng)絡(luò)的安全問題。
4.7高級的無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(IEEE 802.11i) IEEE 802.11i安全標(biāo)準(zhǔn)是為了增強(qiáng)無線網(wǎng)絡(luò)的數(shù)據(jù)加密和認(rèn)證性能,定義了RSN(Robust Security Network)的概念,并且針對WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。IEEE 802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式,在數(shù)據(jù)加密方面,定義了TKIP、CCMP和WRAP三種加密機(jī)制,使得無線網(wǎng)絡(luò)的安全程度大大提高。
5醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的安全實(shí)現(xiàn)
5.1合理放置無線設(shè)備 無線網(wǎng)絡(luò)的信號是在空氣中傳播的,任一無線終端進(jìn)入了設(shè)備信號的覆蓋范圍,都有可能連接到該無線網(wǎng)絡(luò)。所以醫(yī)院內(nèi)部無線網(wǎng)絡(luò)安全的第一步就是,合理規(guī)劃AP的放置,掌控信號覆蓋范圍。在架設(shè)無線AP之前,必須選定一個合理的放置位置,以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。最好放在需要覆蓋的區(qū)域中心,盡量減少信號泄露到區(qū)域外。
5.2無線網(wǎng)絡(luò)加密,建立用戶認(rèn)證 對于醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的進(jìn)行加密,建立用戶認(rèn)證,設(shè)置相關(guān)登錄用戶名和密碼,而且要定期進(jìn)行變更,使非法用戶不能登錄到無線設(shè)備,修改相關(guān)參數(shù)。實(shí)際上對無線網(wǎng)絡(luò)來說,加密更像是一種威懾。加密可細(xì)分為兩種類型:數(shù)據(jù)保密業(yè)務(wù)和業(yè)務(wù)流保密業(yè)務(wù)。只有使用特定的無線網(wǎng)絡(luò)加密方式,才會在降低方便性的情況下,提高安全性。
5.3 SSID設(shè)置 無線 AP 默認(rèn)的設(shè)置會廣播SSID,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò),例如WINDOWS自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的 SSID 羅列出來。因此,設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個不容易猜解的長字符串,同時設(shè)置SSID隱藏起來,接入端就不能通過系統(tǒng)自帶的功能掃描到這個實(shí)際存在的無線網(wǎng)絡(luò),即便他知道有一個無線網(wǎng)絡(luò)存在,但猜不出 SSID 全名也是無法接入到這個網(wǎng)絡(luò)中去,以此保證醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的安全。
5.4 MAC地址過濾 MAC 地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過無線控制器將指定的無線網(wǎng)卡的MAC 地址下發(fā)到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機(jī)端進(jìn)行設(shè)置。
5.5 SSL VPN 進(jìn)行數(shù)據(jù)加密和訪問控制 由于在實(shí)際醫(yī)療活動中,為了滿足診斷、科研及教學(xué)需要,必須經(jīng)常大量采集、、利用各種醫(yī)療數(shù)據(jù)。由于原有醫(yī)院網(wǎng)絡(luò)的相對封閉性,絕大多數(shù)的應(yīng)用系統(tǒng)采用的都是未經(jīng)加密的數(shù)據(jù)包進(jìn)行數(shù)據(jù)交換,但是醫(yī)院內(nèi)部無線網(wǎng)絡(luò)是相對開放性的網(wǎng)絡(luò),入侵者通過對無線信號中數(shù)據(jù)包的偵聽與解析,使得醫(yī)療信息泄漏成為了醫(yī)院不得不面對的問題。SSL VPN 即指采用SSL 協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)。SSL VPN 基于瀏覽器的認(rèn)證方式,能兼容醫(yī)院主流的無線終端設(shè)備操作系統(tǒng),如Windows、Android、IOS,而VPN 的方式又能保證醫(yī)院信息系統(tǒng)的正常運(yùn)行。SSL VPN在解決醫(yī)院無線網(wǎng)絡(luò)數(shù)據(jù)加密的同時,最大限度地保障了醫(yī)院信息系統(tǒng)的投資。
5.6核心網(wǎng)絡(luò)隔離 一旦攻擊者進(jìn)入無線網(wǎng)絡(luò),它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼,以防止非法攻擊, 但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無線網(wǎng)絡(luò)可以通過簡單配置就可快速地接入網(wǎng)絡(luò)主干,但這樣會使網(wǎng)絡(luò)暴露在攻擊者面前。所以必須將無線網(wǎng)絡(luò)同易受攻擊的核心網(wǎng)絡(luò)進(jìn)行一定的安全隔離保護(hù),應(yīng)將醫(yī)院內(nèi)部無線網(wǎng)絡(luò)布置在核心網(wǎng)絡(luò)防護(hù)外殼的外面, 如防火墻、網(wǎng)閘等安全設(shè)備的外面,接入訪問核心網(wǎng)絡(luò)采用SSL VPN等方式。
5.7入侵檢測系統(tǒng)(IDS) IDS(Intrusion Detection Systems)入侵檢測系統(tǒng),不是只針對無線網(wǎng)絡(luò)檢測的系統(tǒng),同樣也適用于有線網(wǎng)絡(luò)。入侵檢測技術(shù)可以把無線網(wǎng)絡(luò)的安全管理能力擴(kuò)展到安全審計、安全檢測、攻擊識別和響應(yīng)等范疇。這樣不僅提高了網(wǎng)絡(luò)的信息安全基礎(chǔ)結(jié)構(gòu)的完整性,而且?guī)椭鷮Ω稅阂庥脩魧φw醫(yī)院網(wǎng)絡(luò)內(nèi)其他用戶的攻擊。依照醫(yī)院無線應(yīng)用系統(tǒng)的安全策略,對網(wǎng)絡(luò)及信息系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,發(fā)現(xiàn)各種攻擊企圖、攻擊行為及攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的完整性、可用性和機(jī)密性。
5.8終端準(zhǔn)入控制 終端準(zhǔn)入控制主要為了在用戶訪問網(wǎng)絡(luò)之前確保用戶的身份信任關(guān)系。利用終端準(zhǔn)入控制,醫(yī)院能夠減少對系統(tǒng)運(yùn)作的部分干擾,因?yàn)樗軌蚍乐挂讚p主機(jī)接入網(wǎng)絡(luò)。在終端利用醫(yī)院內(nèi)部無線網(wǎng)絡(luò)接入之前,首先要檢查它是否符合制定的策略,可疑主機(jī)或有問題的主機(jī)將被隔離或限制接入。這樣不但可以防止這些主機(jī)成為蠕蟲和病毒攻擊的目標(biāo),還可以防止這些主機(jī)成為傳播病毒的源頭,保證只有在滿足終端準(zhǔn)入控制策略的無線終端設(shè)備才能接入醫(yī)院網(wǎng)絡(luò)。
6結(jié)論
隨著無線網(wǎng)絡(luò)越來越受到普及,本文淺析了醫(yī)院內(nèi)部無線網(wǎng)絡(luò)存在的幾種安全隱患,并探討了對應(yīng)的幾種防范策略。總的來說,世界上不存在絕對安全的網(wǎng)絡(luò),任何單一的安全技術(shù)都不能滿足無線網(wǎng)絡(luò)持續(xù)性的安全需求,只有增強(qiáng)安全防范意識,綜合應(yīng)用多種安全技術(shù),根據(jù)不同的醫(yī)院自身應(yīng)用的特點(diǎn),選擇相應(yīng)的安全防范措施,通過技術(shù)管理和使用方法上的不斷改進(jìn),才能實(shí)現(xiàn)醫(yī)院無線網(wǎng)絡(luò)的安全運(yùn)行。
參考文獻(xiàn):
[1]Zerone無線安全團(tuán)隊(duì).無線網(wǎng)絡(luò)黑客攻防[J].中國鐵道出版社,2011(10).
篇3
一、網(wǎng)絡(luò)安全維護(hù)在企業(yè)內(nèi)部計算機(jī)存在的相關(guān)問題分析
(一)沒有提升對網(wǎng)絡(luò)安全維護(hù)的重視度
現(xiàn)階段,雖然一些企業(yè)已經(jīng)建立了較為完善的內(nèi)部計算機(jī)系統(tǒng),其在企業(yè)日常工作中發(fā)揮著不可替代的作用。但是,在對計算機(jī)網(wǎng)絡(luò)安全維護(hù)問題上,很多企業(yè)并沒有提升重視,沒有很好地保護(hù)計算機(jī)內(nèi)部信息,一旦計算機(jī)遭到網(wǎng)絡(luò)襲擊或者內(nèi)部信息泄漏,那么企業(yè)將會受到很大的損失。大部分企業(yè)的內(nèi)部計算機(jī)網(wǎng)絡(luò)系統(tǒng)并沒有全面覆蓋,在管理內(nèi)部網(wǎng)絡(luò)過程中,管理執(zhí)行交叉,致使企業(yè)內(nèi)部計算機(jī)的網(wǎng)絡(luò)安全維護(hù)存在問題,網(wǎng)絡(luò)安全存在隱患。
(二)網(wǎng)絡(luò)系統(tǒng)操作存在缺陷
在計算機(jī)中,操作系統(tǒng)是最為基礎(chǔ)的軟件,如果計算機(jī)缺少操作系統(tǒng),那么其相關(guān)應(yīng)用程序無法發(fā)揮重要作用。一些企業(yè)計算機(jī)操作系統(tǒng)還存在很多的問題和缺陷,這為病毒的侵入創(chuàng)造了良好條件。計算機(jī)操作系統(tǒng)構(gòu)成復(fù)雜、程序繁多,如果出現(xiàn)問題,那么內(nèi)部系統(tǒng)可能會出現(xiàn)癱瘓。在企業(yè)的內(nèi)部管理中,對計算機(jī)安全問題不夠重視,對一些應(yīng)用軟件也沒有及時更新,導(dǎo)致出現(xiàn)很多不安全的因素。
(三)安全管理存在一定問題
一些企業(yè)缺少內(nèi)部計算機(jī)網(wǎng)絡(luò)安全維護(hù)的意識,因此,相關(guān)的管理工作也出現(xiàn)很多問題。企業(yè)內(nèi)部的安全管理規(guī)定并不全面還有待完善,管理人員整體素質(zhì)不高,缺少專業(yè)性技能和理論知識,沒有很好地維護(hù)相關(guān)設(shè)備,一些設(shè)備沒有發(fā)揮其用途,在使用移動硬盤時操作不當(dāng),致使病毒入侵,為企業(yè)內(nèi)部計算機(jī)網(wǎng)絡(luò)安全維護(hù)帶來很大的難題。
(四)相關(guān)工作人員專業(yè)能力差
在企業(yè)內(nèi)部計算機(jī)網(wǎng)絡(luò)安全維護(hù)管理中,工作人員的專業(yè)程度對企業(yè)網(wǎng)絡(luò)安全維護(hù)有很大影響。一些企業(yè)T工專業(yè)能力差,對待網(wǎng)絡(luò)安全管理工作中的一些技術(shù)問題不重視,出現(xiàn)問題時也不愿意積極主動去解決,綜合素質(zhì)不高,導(dǎo)致在網(wǎng)絡(luò)安全管理中,企業(yè)內(nèi)部信息沒有得到嚴(yán)密的保護(hù),系統(tǒng)安全得不到很好的保障。
二、網(wǎng)絡(luò)安全維護(hù)在企業(yè)內(nèi)部計算機(jī)相關(guān)管理中的有效措施
(一)提升內(nèi)部計算機(jī)網(wǎng)絡(luò)安全維護(hù)意識
企業(yè)如果想安全有效地管理和維護(hù)內(nèi)部的計算機(jī)網(wǎng)絡(luò)安全,那么需要全面提升安全管理意識,了解網(wǎng)絡(luò)安全維護(hù)在企業(yè)內(nèi)部計算機(jī)管理中的重要作用,加強(qiáng)企業(yè)員工的教育培訓(xùn)工作,提升人員專業(yè)能力和專業(yè)知識,使員工能夠掌握計算機(jī)的使用情況及設(shè)備性能,全面維護(hù)企業(yè)內(nèi)部計算機(jī)的網(wǎng)絡(luò)安全。
(二)網(wǎng)絡(luò)安全技術(shù)應(yīng)用需加強(qiáng)
近年來,隨著社會的不斷發(fā)展,企業(yè)內(nèi)部計算機(jī)網(wǎng)絡(luò)安全相關(guān)問題層出不窮,為企業(yè)帶來很大挑戰(zhàn),阻礙了企業(yè)的快速發(fā)展。企業(yè)應(yīng)當(dāng)全面加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全,使用專業(yè)的技術(shù)維護(hù)內(nèi)部網(wǎng)絡(luò)安全。針對計算機(jī)網(wǎng)絡(luò)安全中出現(xiàn)的一些問題,使用對應(yīng)的技術(shù)進(jìn)行解決。
(三)不斷完善計算機(jī)網(wǎng)絡(luò)維護(hù)管理體系
在日常工作中,企業(yè)內(nèi)部計算機(jī)在傳遞信息時可能會將病毒一并傳播,很大程度上威脅了計算機(jī)網(wǎng)絡(luò)安全運(yùn)營,因此,企業(yè)需要不斷完善內(nèi)部計算機(jī)網(wǎng)絡(luò)維護(hù)管理體系,對系統(tǒng)的運(yùn)轉(zhuǎn)情況實(shí)時監(jiān)控,全面清理病毒信息,保障計算機(jī)可以安全運(yùn)行。完善管理系統(tǒng)需要很多的專業(yè)技能及專業(yè)知識作為支撐,因此,需要加強(qiáng)對管理人員的培訓(xùn)和教育,不斷提升員工的網(wǎng)絡(luò)安全意識,通過不斷的實(shí)踐,總結(jié)安全維護(hù)管理經(jīng)驗(yàn),掌握計算機(jī)內(nèi)部系統(tǒng)網(wǎng)絡(luò)安全維護(hù)技能。
(四)不斷加強(qiáng)計算機(jī)網(wǎng)絡(luò)維護(hù)管理制度
篇4
一、內(nèi)網(wǎng)存在的問題
為了維護(hù)網(wǎng)絡(luò)的安全,通常的安全策略的一個基本假設(shè)是:網(wǎng)絡(luò)的一邊即外部的所有人是不可信任的,另一邊即內(nèi)部的所有人是可信任的。通常認(rèn)為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲。事實(shí)上來自內(nèi)部的數(shù)據(jù)失竊和破壞,遠(yuǎn)遠(yuǎn)高于外部黑客的攻擊。包括防火墻、入侵檢測系統(tǒng)在內(nèi)的一系列安全產(chǎn)品在對付內(nèi)網(wǎng)安全的主要威脅時束手無策。
1.內(nèi)網(wǎng)資源安全
內(nèi)網(wǎng)一旦出現(xiàn)、破壞的事件將產(chǎn)生嚴(yán)重的后果,而目前內(nèi)網(wǎng)安全存在許多問題,如:對計算機(jī)的外設(shè)不加限制,員工利用移動存儲設(shè)備隨意拷貝公司文件;員工非法訪問Internet造成泄密;員工越權(quán)使用打印機(jī)造成文件泄密;員工非法安裝軟件,對網(wǎng)絡(luò)造成潛在的安全隱患;員工非法訪問他人機(jī)器,竊取他人資源;非法修改IP地址或占有他人IP竊取他人權(quán)限進(jìn)行破壞活動等。
2.網(wǎng)絡(luò)營運(yùn)安全
內(nèi)網(wǎng)安全除了保障內(nèi)網(wǎng)資源不被竊取之外,還要保障整個內(nèi)網(wǎng)的系統(tǒng)運(yùn)營的安全。對于這個問題,好多單位認(rèn)識不夠,但它對整個系統(tǒng)的管理是至關(guān)重要的,例如:由于網(wǎng)絡(luò)中不定時增減計算機(jī)數(shù)量和調(diào)整計算機(jī)分布,它們往往由于疏忽忘記備案而成為管理死角;筆記本電腦在任意地點(diǎn)接入內(nèi)部網(wǎng)絡(luò),網(wǎng)管人員無法及時發(fā)現(xiàn),即使發(fā)現(xiàn)也不清楚其接入位置;無法實(shí)時了解整個網(wǎng)絡(luò)當(dāng)前的運(yùn)營狀態(tài),當(dāng)網(wǎng)絡(luò)出現(xiàn)故障,網(wǎng)管人員無法實(shí)時發(fā)現(xiàn)并定位故障點(diǎn),進(jìn)而解決故障;無法對網(wǎng)絡(luò)間的流量進(jìn)行監(jiān)控,在出現(xiàn)異常流量的情況時沒有報警通知管理員等等。
二、解決方案
1.網(wǎng)管軟件
全世界有很多網(wǎng)管產(chǎn)品,國外著名的廠商有HP、3COM、Cisco等,所有的網(wǎng)管軟件無一例外的采用SNMP協(xié)議讀取網(wǎng)絡(luò)設(shè)備配置信息,對網(wǎng)絡(luò)進(jìn)行管理。主要功能有:
(1)網(wǎng)絡(luò)設(shè)備的基本描述信息采集
(2)設(shè)備的實(shí)時狀態(tài)的信息采集
(3)網(wǎng)絡(luò)拓?fù)鋱D的自動生成
(4)簡單的網(wǎng)絡(luò)設(shè)備控制功能
(5)網(wǎng)絡(luò)設(shè)備信息的統(tǒng)計分析
這些傳統(tǒng)的網(wǎng)管軟件,主要是針對網(wǎng)絡(luò)進(jìn)行管理,缺乏針對具體終端的管理,無法從根本上保證內(nèi)網(wǎng)的安全。網(wǎng)管人員不僅關(guān)心整個網(wǎng)絡(luò)的運(yùn)營狀態(tài),而且更需要一個網(wǎng)絡(luò)安全管理平臺,對具體受控終端的使用進(jìn)行全方位的審計和監(jiān)控。
2.基于主機(jī)的審計和監(jiān)控系統(tǒng)軟件
基于主機(jī)的審計和監(jiān)控系統(tǒng)軟件主要針對終端管理,防止用戶通過各種手段泄露文件,主要包括以下一些功能:
(1)文件操作審計與監(jiān)控
(2)設(shè)備操作審計和監(jiān)控
(3)網(wǎng)絡(luò)共享及訪問審計和監(jiān)控
(4)進(jìn)程審計和監(jiān)控
這些軟件雖然能夠一定程度上防止內(nèi)網(wǎng)資源信息泄露,保障內(nèi)網(wǎng)的安全,但是存在明顯的不足。首先缺乏對內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的一個統(tǒng)一的、整體的認(rèn)識和管理,當(dāng)有非法主機(jī)內(nèi)聯(lián)到網(wǎng)絡(luò),控制臺根本無法監(jiān)測到,更談不上確定具體方位,無法有效保證這些非法內(nèi)聯(lián)主機(jī)不對網(wǎng)絡(luò)進(jìn)行破壞或竊取機(jī)密文件。其次,缺乏對內(nèi)網(wǎng)營運(yùn)安全問題的認(rèn)識,無法實(shí)時了解當(dāng)前網(wǎng)絡(luò)的營運(yùn)狀況,當(dāng)網(wǎng)絡(luò)營運(yùn)出現(xiàn)故障時也無能為力。
3.內(nèi)網(wǎng)安全管理軟件
目前,有很多廠家推出專門的內(nèi)網(wǎng)安全管理軟件。它著重于內(nèi)網(wǎng)的安全管理和監(jiān)控,以系統(tǒng)網(wǎng)絡(luò)運(yùn)營管理為基礎(chǔ),以防止內(nèi)網(wǎng)泄密為目標(biāo),其核心功能由安全網(wǎng)管核心平臺、審計監(jiān)控客戶端協(xié)同完成。
安全網(wǎng)管核心平臺是整個系統(tǒng)的核心,它負(fù)責(zé)對審計監(jiān)控客戶端集中配置規(guī)則,同時采集客戶端日志,為保障內(nèi)網(wǎng)安全提供重要數(shù)據(jù)。安全網(wǎng)管能夠發(fā)現(xiàn)整個網(wǎng)絡(luò)的二、三層設(shè)備,生成整個網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)鋱D,為網(wǎng)管管理整個網(wǎng)絡(luò)提供方便。具體功能包括:
(1)顯示所有網(wǎng)絡(luò)設(shè)備配置信息。
(2)顯示交換機(jī)的端口流量,當(dāng)網(wǎng)絡(luò)流量出現(xiàn)異常,超出系統(tǒng)設(shè)定閥值,控制臺會發(fā)出報警信息。
(3)實(shí)現(xiàn)交換機(jī)端口的通斷控制。
(4)自動發(fā)現(xiàn)非法內(nèi)聯(lián)設(shè)備,幫助網(wǎng)管人員維護(hù)網(wǎng)絡(luò)安全。
(5)自動顯示受控終端的當(dāng)前狀態(tài),對各種不正常狀態(tài)產(chǎn)生報警。
三、總結(jié)
“安全,是一種意識,而不是某種的技術(shù)就能實(shí)現(xiàn)真正的安全。除缺乏必要的安全產(chǎn)品和技術(shù)引起的不安全因素外,更多的不安全因素來自于管理上的漏洞”,要想保證網(wǎng)絡(luò)的安全,在做好邊界防護(hù)的同時,更要做好內(nèi)部網(wǎng)絡(luò)的管理。
從管理角度出發(fā),網(wǎng)管中心應(yīng)建立一整套完善的規(guī)章制度和日常管理與工作規(guī)范,編制有關(guān)安全方面的技術(shù)手冊和建立安全管理檔案,制定嚴(yán)格的值班制度和系統(tǒng)維護(hù)制度,做到有問題及時發(fā)現(xiàn),及時解決,使網(wǎng)絡(luò)的安全直接體現(xiàn)在有效的管理上。
參考文獻(xiàn):
篇5
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 088
[中圖分類號] R197.3;TP309 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194(2017)05- 0164- 03
0 引 言
隨著新醫(yī)改的不斷深入,作為其重要支柱之一的醫(yī)院信息系統(tǒng)建設(shè)進(jìn)入了高速發(fā)展的快車道,成為醫(yī)院日常醫(yī)療工作和管理工作的基礎(chǔ)平臺。2013年,我院新建了醫(yī)院信息系統(tǒng)項(xiàng)目,包括機(jī)房建設(shè)、網(wǎng)絡(luò)建設(shè)、軟件系統(tǒng)建設(shè)、硬件建設(shè)等部分。醫(yī)院特點(diǎn)決定醫(yī)院信息系統(tǒng)必須365*24小時不間斷正常運(yùn)行,網(wǎng)絡(luò)、系統(tǒng)軟硬件的損壞和故障,或者是數(shù)據(jù)信息泄露,都會醫(yī)院帶來不可估量的損失,影響患者正常就診,甚至危及醫(yī)院的生存和發(fā)展。因此,構(gòu)建安全的醫(yī)院網(wǎng)絡(luò)系統(tǒng),保障系統(tǒng)和信息系統(tǒng)安全,是各醫(yī)院都很關(guān)心的問題。
醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)是個系統(tǒng)工程,其符合“木桶原理”,系統(tǒng)的安全程度取決于最短的那塊板,我院從硬件、網(wǎng)絡(luò)、系統(tǒng)、審計監(jiān)管、防病毒、安全制度等各個方面采取了多種措施,保障了信息系統(tǒng)安全、網(wǎng)絡(luò)安全。
1 網(wǎng)絡(luò)系統(tǒng)安全
1.1 鏈路安全
為避免核心網(wǎng)絡(luò)系統(tǒng)單點(diǎn)故障,提高網(wǎng)絡(luò)系統(tǒng)的健壯性、容錯性和性能,我院在網(wǎng)絡(luò)核心層采用了H3C的IRF2(Intelligent Resilient Framework,智能彈性架構(gòu))技術(shù), IRF2將兩臺華三10508核心交換機(jī)通過IRF物理端口連接在一起,虛擬化成一臺邏輯核心交換設(shè)備,集合了兩臺設(shè)備的硬件資源和軟件處理能力,實(shí)現(xiàn)兩臺設(shè)備的統(tǒng)一簡化管理和不間斷維護(hù),提高了網(wǎng)絡(luò)對突發(fā)事故的自動容錯能力,最大程序降低了網(wǎng)絡(luò)的失效時間,提高了鏈路的利用率和轉(zhuǎn)發(fā)效率。
在核心層10580交換機(jī)與會聚層5800交換機(jī)間采用萬兆光纖交叉互聯(lián),線路間做鏈路聚合,增加鏈路帶寬、實(shí)現(xiàn)鏈路傳輸彈性和冗余。同時,核心交換機(jī)與會聚層交換機(jī)全部配備雙電源和雙風(fēng)扇組,雙電源分別插兩路不同PDU電源插痤,盡量避免單點(diǎn)故障。
1.2 網(wǎng)絡(luò)層次分明,方便管理
數(shù)據(jù)中心服務(wù)器到所有的桌面終端計算機(jī)最多通過三層網(wǎng)絡(luò),即核心層、會聚層和接入層,三層網(wǎng)絡(luò)交換機(jī)各師其職,層次分明。核心層是網(wǎng)絡(luò)的高速交換主干,負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā);匯聚層提供基于策略的連接,是網(wǎng)絡(luò)接入層和核心層的“中介”,工作站接入核心層前須先做匯聚,實(shí)施策略、安全、工作組接入、虛擬局域網(wǎng)(VLAN)之間的路由、源地址或目的地址過濾等多種功能,減輕核心層設(shè)備的負(fù)荷;接入層提供工作站接入網(wǎng)絡(luò)功能。同時,我院每棟業(yè)務(wù)樓都建設(shè)了網(wǎng)絡(luò)設(shè)備間,安裝了空調(diào)和不間斷電源,統(tǒng)一管理該樓內(nèi)所有的會聚層和接入層交換機(jī),保證所有的設(shè)備都有良好的運(yùn)行環(huán)境,同時便于管理和維護(hù)。
1.3 劃分VLAN,提高性能和安全性
醫(yī)院信息系統(tǒng)服務(wù)主要以訪問數(shù)據(jù)庫服務(wù)器為主,數(shù)據(jù)縱向訪問多,橫向少,同時,我院許多樓又都綜合了門診住院醫(yī)療系統(tǒng)、醫(yī)技系統(tǒng)等,我們根據(jù)其特點(diǎn),將網(wǎng)絡(luò)按樓宇劃分為10多個VLAN子網(wǎng),并將有特殊需求的應(yīng)用(如財務(wù)科賬務(wù)專網(wǎng)等),單獨(dú)劃分VLAN。通過VLAN劃分,控制廣播范圍,抑制廣播風(fēng)暴,提高了局域網(wǎng)的整體性能和安全性。
1.4 網(wǎng)絡(luò)核心層安裝防火墻板卡與IPS板卡,保證服務(wù)器區(qū)安全
醫(yī)院服務(wù)器區(qū)是醫(yī)院系統(tǒng)運(yùn)行核心,一旦被侵入或感染病毒,將影響醫(yī)院的正常醫(yī)療業(yè)務(wù),影響病人就診,我院每日門診人次3 000多人,住院患者1 600多人,數(shù)據(jù)庫出問題,將造成重大的社會影響和嚴(yán)重后果,故我們在核心層華三10 508交換機(jī)上安裝了SecBlade FW Enhanced增強(qiáng)型防火墻業(yè)務(wù)處理板卡和PS插卡,設(shè)定了防入侵和攻擊的規(guī)則,過濾非法數(shù)據(jù),防范病毒確保服務(wù)器區(qū)安全。
1.5 智能網(wǎng)管中心
隨著網(wǎng)絡(luò)應(yīng)用越來越復(fù)雜,網(wǎng)絡(luò)安全控制、性能優(yōu)化、運(yùn)營管理等問題成為困擾用戶的難題,并直接決定了醫(yī)院核心業(yè)務(wù)能否順利開展。我們采用了專門的網(wǎng)管系統(tǒng),通過軟件的靈活控制,與相應(yīng)的硬件設(shè)備配合,建立了網(wǎng)絡(luò)安全控制中心、性能優(yōu)化中心和運(yùn)營管理中心。通過網(wǎng)管系統(tǒng),我們能實(shí)時監(jiān)管網(wǎng)絡(luò)的運(yùn)行情況,監(jiān)管網(wǎng)絡(luò)的故障和報警,監(jiān)管和分配網(wǎng)絡(luò)流量,優(yōu)化網(wǎng)絡(luò)性能,使整個網(wǎng)絡(luò)可管可控。我院網(wǎng)絡(luò)管理員常用的網(wǎng)管功能有資源管理、拓?fù)涔芾砗凸收希ǜ婢?事件)管理等。
網(wǎng)管系統(tǒng)的資源管理可管理網(wǎng)絡(luò)設(shè)備、接口,顯示設(shè)備的詳細(xì)信息和接口詳細(xì)信息和實(shí)時性能狀態(tài); 拓?fù)涔芾砜勺詣影l(fā)現(xiàn)全網(wǎng)設(shè)備的拓?fù)湟晥D,通過拓?fù)鋱D能夠清晰地看到醫(yī)院網(wǎng)絡(luò)的狀態(tài),包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬、連通等。
故障(告警/事件)管理,是網(wǎng)管系統(tǒng)的核心功能之一,包括設(shè)備告警、網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、終端安全異常告警等,告警事件可通過手機(jī)短信或E-mail郵件的方式,及時通知管理員,實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)的監(jiān)控和管理。
1.6 醫(yī)院內(nèi)網(wǎng)、外網(wǎng)間隔離和訪問通道
醫(yī)院內(nèi)部的網(wǎng)絡(luò)分為醫(yī)院辦公外網(wǎng)(用于日常辦公,可上互聯(lián)網(wǎng))和業(yè)務(wù)內(nèi)網(wǎng),為保證醫(yī)院內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)安全,防止非法入侵、病毒攻擊等醫(yī)院業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)必須物理隔離,同時,因醫(yī)院內(nèi)部眾多軟件廠商、服務(wù)器廠商、網(wǎng)絡(luò)設(shè)備、安全廠商,需要遠(yuǎn)程維護(hù)內(nèi)網(wǎng)設(shè)備,業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)之間須有個能訪問的通道,我們采用了SSL VPN+網(wǎng)閘+堡壘機(jī)的方式實(shí)現(xiàn)了遠(yuǎn)程安全登錄和物理隔離。
(1)在醫(yī)院外網(wǎng)防火墻和醫(yī)院內(nèi)網(wǎng)防火墻之間安裝了網(wǎng)神SecSIS 3600網(wǎng)閘,利用其“數(shù)據(jù)擺渡”的工作方式,開放須訪問的端口,實(shí)現(xiàn)物理隔離。
(2)h程用戶通過SSL VPN接入到醫(yī)院外網(wǎng)。利用SSL 的私密性、確認(rèn)性、可靠性、易用性特性,在遠(yuǎn)程用戶和我院外網(wǎng)間建立起專用的VPN加密隧道。在SSL VPN中,將用戶的登錄設(shè)定為自動跳轉(zhuǎn)到堡壘機(jī),通過堡壘機(jī)再訪問相關(guān)的設(shè)備和電腦,實(shí)現(xiàn)遠(yuǎn)程訪問有監(jiān)管有記錄有審計,可管可控。
2 服務(wù)器和存儲備份安全
系統(tǒng)服務(wù)器雙機(jī)備份常用的是采用雙機(jī)冷備份或通過心跳線熱備份的方式實(shí)現(xiàn)。我院結(jié)合自身設(shè)備特點(diǎn),采用了賽門特克Veritas Cluster Server技術(shù),在IBM刀片機(jī)上建了一個N+1 VCS集群,即多臺服務(wù)器對應(yīng)一臺備份機(jī),當(dāng)其中一臺出現(xiàn)問題,都會自動切換到備機(jī),實(shí)時快速,同時節(jié)約了備份機(jī)。兩套IBM DS5020存儲陣列(一臺在主機(jī)房、一臺在備份機(jī)房)通過光纖直連,采用remote mirror遠(yuǎn)程鏡像備份技術(shù),將主機(jī)房存儲的實(shí)時數(shù)據(jù)復(fù)制到備份存儲系統(tǒng),提供于業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的復(fù)制功能。
3 保證操作系統(tǒng)安全
操作系統(tǒng)是軟件系統(tǒng)基礎(chǔ),保證其安全是必須的。我們對服務(wù)器進(jìn)行了主機(jī)加固,關(guān)閉了不必要的服務(wù),安裝了賽門鐵克防火墻、賽門鐵克網(wǎng)絡(luò)版殺毒軟件,萊恩塞克內(nèi)網(wǎng)安全管理系統(tǒng)等來保證內(nèi)網(wǎng)服務(wù)器和工作站操作系統(tǒng)安全。其中內(nèi)網(wǎng)管理系統(tǒng)控制和監(jiān)管了移動介質(zhì)的使用,屏蔽了未經(jīng)授權(quán)的移動介質(zhì)接入網(wǎng)絡(luò),避免了醫(yī)院數(shù)據(jù)的外泄及感染病毒,同時,還能對內(nèi)網(wǎng)中每一個計算機(jī)進(jìn)行遠(yuǎn)程的桌面管理、資產(chǎn)管理、配置管理和系統(tǒng)管理等。
4 核心設(shè)備配置修改和訪問安全
服務(wù)器在注冊表中關(guān)閉了遠(yuǎn)程訪問功能, 網(wǎng)絡(luò)交換機(jī)都關(guān)閉了TELNET功能,關(guān)閉命令: undo telnet server enable通過網(wǎng)絡(luò)堡壘機(jī)可視化的web管理界面統(tǒng)一配置和管理所有服務(wù)器和交換機(jī),利用堡壘機(jī)可控制、可審計、可記錄、可追溯的特性,保證對服務(wù)器和交換機(jī)的安全管理,避免配置和修改服務(wù)器、交換機(jī)時不慎造成故障。
5 數(shù)據(jù)庫和網(wǎng)絡(luò)安全審計系統(tǒng)
為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞,我院通過旁掛模式接入了數(shù)據(jù)庫和網(wǎng)絡(luò)安全審計系統(tǒng),實(shí)時收集和監(jiān)控網(wǎng)絡(luò)、數(shù)據(jù)庫中的系統(tǒng)狀態(tài)、安全事件、活動,以便集中報警、記錄、分析、處理,實(shí)現(xiàn)“事前評估―事中監(jiān)控―事后審計”,對數(shù)據(jù)庫和網(wǎng)絡(luò)中的操作和更改進(jìn)行追溯和還原。
6 健全安全管理制度,加強(qiáng)執(zhí)行
建立了嚴(yán)格的規(guī)范的規(guī)章制度,規(guī)范網(wǎng)絡(luò)管理、維護(hù)人員的各種行為,保障網(wǎng)絡(luò)安全。如建立了“中心機(jī)房管理制度”“機(jī)房設(shè)備操作制度”“機(jī)房出入制度”“設(shè)備巡查制度”“工作站操作制度”等。
篇6
發(fā)現(xiàn)新的“藍(lán)海”
至于當(dāng)時選擇鼎普科技的原因,王海洋表現(xiàn)出一絲自豪。她告訴記者,首先她認(rèn)識到安全領(lǐng)域是一個朝陽產(chǎn)業(yè)。2003年開始,信息安全的重要性日益凸現(xiàn),并被各大企事業(yè)單位所重視。一直以來,安全防御理念都局限在常規(guī)的網(wǎng)管級別(防火墻等)、網(wǎng)絡(luò)邊界(漏洞掃描、安全審計、防病毒、IDS)等方面的防御,重要的安全設(shè)施大致集中于機(jī)房、網(wǎng)絡(luò)入口處。在這些設(shè)備的嚴(yán)密監(jiān)控下,來自網(wǎng)絡(luò)外部的安全威脅大大減小。
然而,來自網(wǎng)絡(luò)內(nèi)部的安全威脅卻漸漸地突顯出來,網(wǎng)絡(luò)的內(nèi)部安全威脅大于外部,已經(jīng)成為業(yè)界共識。內(nèi)網(wǎng)安全也順理成章地成為網(wǎng)絡(luò)安全市場的下一個熱點(diǎn)和一片新的“藍(lán)海”。一時間,建設(shè)一個可管理、可控制和可信任的內(nèi)網(wǎng)成為內(nèi)網(wǎng)安全發(fā)展的新趨勢。王海洋說:“對于個人的信息安全,對于公司的安全,甚至是對于國家的安全來說,信息安全領(lǐng)域的發(fā)展前景非常寬廣。而鼎普科技在內(nèi)網(wǎng)安全領(lǐng)域的快速發(fā)展,給了我一個很好的發(fā)展平臺。”在尋找到工作“藍(lán)海”的同時,王海洋敏銳地發(fā)現(xiàn)了技術(shù)應(yīng)用上的新“藍(lán)海”。
更靈活的管理
從2003年開始,內(nèi)網(wǎng)安全逐漸受到各企事業(yè)單位的關(guān)注。當(dāng)時,內(nèi)網(wǎng)安全的管理主要偏向于防止密級信息的外泄,對計算機(jī)外設(shè)以及各類端口的控制。
隨著時間的發(fā)展,內(nèi)網(wǎng)的概念已經(jīng)不僅僅集中在這塊了,內(nèi)網(wǎng)安全的重心漸漸地從偏重安全轉(zhuǎn)移到偏重管理。金融、教育、能源、電力等一些非單位也開始關(guān)注內(nèi)網(wǎng)安全,而且他們關(guān)注的內(nèi)網(wǎng)安全涉及面更廣,需要更靈活的手段對內(nèi)網(wǎng)的安全進(jìn)行防護(hù),比如統(tǒng)計網(wǎng)絡(luò)流量,補(bǔ)丁的分發(fā)以及計算機(jī)軟硬件的升級和管理等。
“以前,我們的客戶大多都是政府部門,現(xiàn)在,我們也在往重要領(lǐng)域的非單位拓展。”王海洋說,“鼎普科技是以做起家的,但同時,我們也兼顧等級保護(hù)這方面,即對非單位的信息進(jìn)行安全防護(hù)。”
內(nèi)外部信息交互廣泛存在于各企事業(yè)單位的辦公網(wǎng)中。如果他們既要防止信息孤島的產(chǎn)生,又要避免及敏感信息在交互中泄漏,那么在信息交互過程中就需要靈活的管理手段。
“一些客戶需要網(wǎng)頁瀏覽的權(quán)限設(shè)置,例如,他們需要內(nèi)網(wǎng)管理系統(tǒng)允許員工上固定網(wǎng)站瀏覽新聞,但是又能夠阻止或警告用戶的違法上傳等行為。而我們自主研發(fā)的‘鼎普網(wǎng)絡(luò)單向?qū)牍芾硐到y(tǒng)’就能滿足客戶這一靈活的管理需求。我們的目標(biāo),就是能為客戶提供更直觀、更快捷操作、更方便理解的輔助管理手段。”王海洋說。
此外,鼎普科技的“數(shù)據(jù)單向?qū)牍芾硐到y(tǒng)”能夠?qū)σ苿哟鎯橘|(zhì)的交叉使用進(jìn)行控制,該系統(tǒng)通過光的物理單向傳輸?shù)奶匦?在技術(shù)上極大地防范了內(nèi)外網(wǎng)信息交互中的管理風(fēng)險,同時實(shí)現(xiàn)對計算機(jī)違規(guī)非法外聯(lián)的監(jiān)控阻斷,能有效地提高內(nèi)網(wǎng)安全管理和信息交互的技術(shù)安全指數(shù)。
更全面的防護(hù)
篇7
影響校園網(wǎng)安全的因素很多。校園網(wǎng)一般分為校園內(nèi)網(wǎng)、校園外網(wǎng)、提供各種服務(wù)的服務(wù)器群,內(nèi)網(wǎng)主要包括:教學(xué)網(wǎng)、圖書館網(wǎng)、辦公自動化網(wǎng)絡(luò)、財務(wù)網(wǎng);而外網(wǎng)則是實(shí)現(xiàn)內(nèi)網(wǎng)與internet的對接,服務(wù)器群提供各自服務(wù)。根據(jù)對校園網(wǎng)絡(luò)的基本結(jié)構(gòu)的剖析,可以得出結(jié)論,校園網(wǎng)的安全問題來自以下幾個方面:
2.1tcp/ip協(xié)議簇的安全性與操作系統(tǒng)的安全漏洞。
tcp/ip及其許多網(wǎng)絡(luò)協(xié)議本身在設(shè)計之初并未全面考慮安全性問題,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展與普及,協(xié)議的安全性問題日益突出。
目前使用的操作系統(tǒng),包括windows系列,unix系列都不同程度上存在安全漏洞,對網(wǎng)絡(luò)構(gòu)成威脅。
2.2來自外部的威脅
校園網(wǎng)與internet相聯(lián),極易受到外部人員的攻擊,一旦攻擊成功,將有可能造成極大破壞。而校園網(wǎng)用戶密集,速度快、規(guī)模大的特點(diǎn),也使得安全問題容易被放大,影響更加嚴(yán)重。
2.3來自內(nèi)部的安全隱患
(1)病毒、木馬的威脅。由于校園內(nèi)部使用網(wǎng)絡(luò)的人員復(fù)雜,水平良莠不齊,在進(jìn)行數(shù)據(jù)交換或數(shù)據(jù)上傳、下載時可能造成病毒、木馬在內(nèi)網(wǎng)中的傳播、泛濫。
(2)寬松、開放的網(wǎng)絡(luò)環(huán)境也使得內(nèi)網(wǎng)容易遭受攻擊。由于教學(xué)、科研的特點(diǎn),使得一些新技術(shù)、新應(yīng)用在校園網(wǎng)上實(shí)施的時候不能施加過多的限制,這也可能會造成內(nèi)網(wǎng)受到攻擊。
(3)活躍而密集的用戶群也是校園網(wǎng)不安全的因素之一。數(shù)量眾多、具有一定的計算機(jī)方面的知識、無窮的探索精神而安全觀念淡薄的也可能會對校園網(wǎng)造成一定程度的威脅。
2.4管理制度不健全、管理人員與維護(hù)力量不足成為校園網(wǎng)安全的一大隱患。
校園網(wǎng)的建設(shè)和管理對校園網(wǎng)安全的關(guān)注度通常不高,安全意識不強(qiáng),管理制度不健全,對于管理與維護(hù)方面的投資也不大,網(wǎng)絡(luò)中心的人員只能保證網(wǎng)絡(luò)正常運(yùn)行,對于安全問題無暇顧及。管理不到位,校園內(nèi)可能出現(xiàn)各種網(wǎng)絡(luò)并存,鐵通、電信、光纖內(nèi)網(wǎng)混搭,成為攻擊者避開防火墻進(jìn)行攻擊的跳板。
3.校園網(wǎng)安全策略
安全策略是指在某個安全區(qū)域內(nèi),用于所有與安全相關(guān)活動的一套規(guī)則。安全有效的安全策略,可以最大程度降低校園網(wǎng)受到攻擊而造成性能下降、失效、泄密、數(shù)據(jù)丟失的可能性。安全策略包括嚴(yán)格的管理、先進(jìn)的技術(shù)和行之有效的管理制度。
3.1防火墻控制策略
防火墻是一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,是用來阻止網(wǎng)絡(luò)黑客進(jìn)入內(nèi)部網(wǎng)的屏障。防火墻分為專門設(shè)備構(gòu)成的硬件防火墻和運(yùn)行在服務(wù)器或計算機(jī)上的軟件防火墻。無論哪一種,防火墻通常都安置在網(wǎng)絡(luò)邊界上,根據(jù)系統(tǒng)管理員設(shè)置的訪問控制規(guī)則,對數(shù)據(jù)流進(jìn)行過濾,通過網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),以阻檔來自外部網(wǎng)絡(luò)的入侵。防火墻是internet安全的最基本組成部分。
3.2訪問控制策略
訪問控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,其任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用,而訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制策略包括入網(wǎng)訪問控制策略、操作權(quán)限控制策略、目錄安全控制策略、屬性安全控制策略、網(wǎng)絡(luò)服務(wù)器安全控制策略、網(wǎng)絡(luò)監(jiān)測、鎖定控制策略和防火墻控制策略等7個方面的內(nèi)容。
3.3入侵檢測系統(tǒng)(ids,intrusion detection system)
入侵檢測系統(tǒng)是為保證計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全而設(shè)計的一種用于檢測違反安全策略行為的技術(shù),它能夠及時發(fā)現(xiàn)并報告網(wǎng)絡(luò)中未授權(quán)的訪問或異常現(xiàn)象。違反安全策略的行為,主要是指入侵和濫用--通常將非法用戶的違規(guī)訪問行為稱為入侵,將合法用戶的違規(guī)訪問行為稱為濫用。
入侵檢測使用兩種基本的檢測技術(shù):特征檢測與異常檢測。前者常常是對網(wǎng)上流動的數(shù)據(jù)內(nèi)容進(jìn)行分析,找出\"黑客\"攻擊的表征。后者往往是對網(wǎng)絡(luò)上的數(shù)據(jù)流量進(jìn)行分析,找出表現(xiàn)異常的網(wǎng)絡(luò)通信。功能簡單的入侵檢測系統(tǒng)可能只使用這兩種技術(shù)中的一種。
3.4對病毒、木馬定期查殺
由于頻繁的數(shù)據(jù)交換,網(wǎng)絡(luò)中數(shù)據(jù)的上傳下載以及校園網(wǎng)使用者的水平良莠不齊,給病毒、木馬在網(wǎng)絡(luò)中的傳播提供了機(jī)會,所以應(yīng)選擇合適的網(wǎng)絡(luò)殺毒軟件,及時更新病毒庫,定期對病毒、木馬進(jìn)行查殺。
篇8
1硬件防火墻外網(wǎng)是要鏈接到Internet上的,所以網(wǎng)絡(luò)安全尤為重要,硬件防火墻是必不可少的。通過硬件防火墻的設(shè)置,可以進(jìn)行包括過濾和狀態(tài)檢測,過濾掉一些IP地址和有威脅的程序不進(jìn)入辦公網(wǎng)絡(luò)。硬件防火墻針對病毒入侵的原理,可以做出相應(yīng)的策略,從源頭上確保網(wǎng)絡(luò)安全。
2網(wǎng)絡(luò)管理軟件網(wǎng)絡(luò)管理軟件提供網(wǎng)絡(luò)系統(tǒng)的配置、故障、性能及網(wǎng)絡(luò)用戶分布方面的基本管理,也就是說,網(wǎng)絡(luò)管理的各種功能最終會體現(xiàn)在網(wǎng)絡(luò)管理軟件的各種功能的實(shí)現(xiàn)上,軟件是網(wǎng)絡(luò)管理的“靈魂”,也是網(wǎng)絡(luò)管理系統(tǒng)的核心。
通過網(wǎng)絡(luò)管理軟件網(wǎng)管人員可以控制流量,設(shè)置不同用戶訪問的網(wǎng)址和使用的應(yīng)用程序,設(shè)置不同時間可以訪問的網(wǎng)址,以及屏蔽掉一些游戲、股票等非工作需要的程序。可以實(shí)時監(jiān)控客戶端的網(wǎng)絡(luò)行為,查看是否有非工作內(nèi)容的操作。定期備份日志,保證辦公網(wǎng)正常有序的工作。
管理制度
篇9
二、技術(shù)要求:
(一)網(wǎng)管系統(tǒng)技術(shù)
1、各縣(區(qū))人民政府、管委會必須建立政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)和政務(wù)外網(wǎng)管理系統(tǒng)。
2、網(wǎng)管系統(tǒng)服務(wù)器必須規(guī)劃為VLAN9所在網(wǎng)段,不能隨意更改。
3、網(wǎng)管系統(tǒng)服務(wù)器應(yīng)專機(jī)專用,不得隨意在網(wǎng)管服務(wù)器主機(jī)上安裝與工作無關(guān)、不安全的軟件,禁止利用網(wǎng)管系統(tǒng)服務(wù)器上互聯(lián)網(wǎng)。
4、網(wǎng)管系統(tǒng)應(yīng)能實(shí)時監(jiān)測所有設(shè)備的運(yùn)行狀況,并有基本的設(shè)備管理、告警管理、拓?fù)涔芾淼裙δ堋>W(wǎng)管系統(tǒng)的拓?fù)鋱D應(yīng)能真實(shí)反映本級政務(wù)信息網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)。
5、網(wǎng)管系統(tǒng)應(yīng)能實(shí)時監(jiān)測本級政務(wù)信息網(wǎng)互聯(lián)網(wǎng)出口、骨干節(jié)點(diǎn)、重要用戶流量運(yùn)行狀況。
(二)安裝實(shí)時監(jiān)控軟件
1、各縣(區(qū))人民政府、管委會政務(wù)信息網(wǎng)互聯(lián)網(wǎng)出口應(yīng)安裝實(shí)時監(jiān)控軟件,如SNIFFERPRO,ETHERPEEK等。
2、監(jiān)控軟件應(yīng)能實(shí)時顯示網(wǎng)絡(luò)中當(dāng)前流量最大的主機(jī)(IP地址)。
3、監(jiān)控軟件應(yīng)能在網(wǎng)絡(luò)流量發(fā)生異常時,能捕獲指定主機(jī)及指定網(wǎng)段所通過的報文,并能進(jìn)行分析。
(三)防火墻地址設(shè)置
1、各縣、區(qū)、管委會防火墻接口地址與政務(wù)網(wǎng)相連的互聯(lián)地址應(yīng)規(guī)劃在VLAN7所在的網(wǎng)段,即防火墻接口地址為10.X.7.253/24,對應(yīng)政務(wù)網(wǎng)設(shè)備上互聯(lián)地址為10.X.7.254/24(X為所在地地域號)。
2、防火墻日志服務(wù)器下掛在核心交換機(jī)上,防火墻日志服務(wù)器地址與其它網(wǎng)管系統(tǒng)服務(wù)器地址均規(guī)劃在VLAN9內(nèi),IP地址應(yīng)規(guī)劃在VLAN9所在網(wǎng)段,防火墻日志服務(wù)器IP地址為10.X.9.10/24,網(wǎng)關(guān)為10.X.9.254/24,且服務(wù)器不得重復(fù)他用。
(四)硬件設(shè)備配置
1、服務(wù)器配置及數(shù)量要求
服務(wù)器雙核CPU3.0G、2G內(nèi)存,操作系統(tǒng)WINDOWSSERVER2005及SQL2005。政務(wù)外網(wǎng)至少需要部署1臺網(wǎng)絡(luò)管理服務(wù)器,政務(wù)內(nèi)網(wǎng)至少需要部署1臺網(wǎng)絡(luò)管理服務(wù)器。具有防火墻的還需部署1臺防火墻日志服務(wù)器。
2、網(wǎng)管終端配置及數(shù)量要求
網(wǎng)管終端CPUP42.8G以上,內(nèi)存1G,操作系統(tǒng)WINDOWSXP。政務(wù)外網(wǎng)至少需要1臺PC終端,政務(wù)內(nèi)網(wǎng)至少需要1臺PC終端。
3、實(shí)時監(jiān)控的交換機(jī)要求
用來實(shí)時監(jiān)控抓包的交換機(jī),需要支持百兆端口,支持端口鏡像。
二、管理要求
(一)網(wǎng)管值班人員及職責(zé)
1、制定管理制度
各縣(區(qū))人民政府、管委會應(yīng)建有政務(wù)網(wǎng)網(wǎng)絡(luò)管理辦法、用戶計算機(jī)網(wǎng)絡(luò)接入管理辦法、計算機(jī)病毒防治管理辦法、政務(wù)網(wǎng)安全保護(hù)管理辦法、網(wǎng)絡(luò)值班制度、數(shù)據(jù)及文檔資料保密制度、數(shù)據(jù)備份制度、機(jī)房管理制度等。
2、人員安排
各縣(區(qū))人民政府、管委會每天應(yīng)安排技術(shù)人員值班,并做好網(wǎng)絡(luò)維護(hù)及值班記錄。
(二)向上級匯報、備案制度
篇10
隨著全國信息化建設(shè)的發(fā)展和消防信息化的深入,消防業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)量和提供服務(wù)的用戶數(shù)不斷增加,同時,公安部消防局統(tǒng)一開發(fā)的一體化消防業(yè)務(wù)信息系統(tǒng)逐步在各總隊(duì)深入推廣應(yīng)用,因此,為保障總隊(duì)信息系統(tǒng)的穩(wěn)定可靠運(yùn)行,總隊(duì)在部局規(guī)劃指導(dǎo)下,開展一體化信息系統(tǒng)信息安全保障項(xiàng)目建設(shè),構(gòu)建設(shè)計動態(tài)積極安全防御體系,保障全局一體化業(yè)務(wù)系統(tǒng)穩(wěn)定可靠地運(yùn)行。
2.系統(tǒng)特點(diǎn)
一體化消防業(yè)務(wù)信息系統(tǒng)是公安部消防局根據(jù)十一五期間信息化建設(shè)項(xiàng)目總體實(shí)施方案統(tǒng)一規(guī)劃設(shè)計,根據(jù)整體業(yè)務(wù)進(jìn)行需求分析研發(fā)的信息系統(tǒng),系統(tǒng)實(shí)現(xiàn)了縱貫部局,總隊(duì),支隊(duì),大隊(duì),中隊(duì)各級,橫跨各業(yè)務(wù)部門的信息資源共享,互聯(lián)互通。系統(tǒng)以基礎(chǔ)數(shù)據(jù)及公眾服務(wù)兩大平臺為建設(shè)核心,包含滅火救援指揮系統(tǒng),消防監(jiān)督管理系統(tǒng),部隊(duì)管理系統(tǒng),公眾服務(wù)平臺,綜合統(tǒng)計分析信息系統(tǒng)五大業(yè)務(wù)系統(tǒng)。并針對一體化業(yè)務(wù)平臺,提供二次開發(fā)接口,保證和其他業(yè)務(wù)信息系統(tǒng)的銜接。系統(tǒng)采用面向服務(wù)的SOA的設(shè)計理念,最終實(shí)現(xiàn)音頻,視頻,數(shù)據(jù)的綜合集成,使一體化業(yè)務(wù)系統(tǒng)能實(shí)現(xiàn)互聯(lián)互通互操作。
系統(tǒng)建設(shè)主要依托“金盾工程”,利用“金盾工程”的現(xiàn)有公安網(wǎng)基礎(chǔ)網(wǎng)絡(luò)和信息資源,按照網(wǎng)絡(luò)應(yīng)用環(huán)境不同,分為公安信息網(wǎng)(以下簡稱“公安網(wǎng)”)應(yīng)用系統(tǒng)、互聯(lián)網(wǎng)應(yīng)用系統(tǒng)、公安網(wǎng)與互聯(lián)網(wǎng)同步應(yīng)用系統(tǒng)。公安網(wǎng)應(yīng)用系統(tǒng)是指僅在公安網(wǎng)上運(yùn)行的消防業(yè)務(wù)信息系統(tǒng),互聯(lián)網(wǎng)應(yīng)用系統(tǒng)是指在非公安網(wǎng)運(yùn)行的消防業(yè)務(wù)信息系統(tǒng)。公安網(wǎng)與互聯(lián)網(wǎng)同步應(yīng)用系統(tǒng)是指同時在公安網(wǎng)和非公安網(wǎng)開展業(yè)務(wù)應(yīng)用、并且相互間有數(shù)據(jù)交換要求的消防業(yè)務(wù)信息系統(tǒng)。
根據(jù)部局的一體化系統(tǒng)建設(shè)指導(dǎo)方案和系統(tǒng)設(shè)計架構(gòu),總隊(duì)結(jié)合當(dāng)前實(shí)際情況,對一體化消防業(yè)務(wù)信息系統(tǒng)暫采用混合部署模式,即整個總隊(duì)的一體化業(yè)務(wù)系統(tǒng)的應(yīng)用及服務(wù)均部署于總隊(duì)信息中心,由總隊(duì)統(tǒng)一規(guī)劃,統(tǒng)一管理,開展一體化消防業(yè)務(wù)信息系統(tǒng)體系建設(shè)。
3. 系統(tǒng)信息安全管理體系設(shè)計
為保證一體化消防業(yè)務(wù)信息系統(tǒng)的高可用性和高可控性,總隊(duì)按照武警消防部隊(duì)信息化建設(shè)總體方案的要求,對全總隊(duì)網(wǎng)絡(luò)信息安全設(shè)備配備及部署進(jìn)行統(tǒng)一規(guī)劃、設(shè)計,購買相應(yīng)設(shè)備,利用信息安全基礎(chǔ)設(shè)施和信息系統(tǒng)防護(hù)手段,構(gòu)建與基礎(chǔ)網(wǎng)絡(luò)相適應(yīng)的信息安全管理體系。
3.1總隊(duì)信息安全管理體系安全域劃分
由于總隊(duì)內(nèi)部計算機(jī)數(shù)量眾多,并涉及到公安網(wǎng),互聯(lián)網(wǎng)以及政務(wù)網(wǎng)多個網(wǎng)絡(luò)的應(yīng)用,為便于管理和控制網(wǎng)絡(luò)廣播風(fēng)暴的發(fā)生,應(yīng)根據(jù)計算機(jī)所屬部門、物理位置、重要性的不同,把局域網(wǎng)劃分為多個虛擬子網(wǎng)(VLAN1…VLANn)。根據(jù)各VLAN間的安全訪問級別不同,實(shí)現(xiàn)各VLAN間的安全訪問控制。
根據(jù)各類軟硬件設(shè)備提供應(yīng)用的范圍、面向的用戶群以及影響面、重要性的不同,站在全局的高度,合理劃分安全域,確定安全需求和訪問控制策略、安全硬件部署策略。
總隊(duì)安全域劃分:
(1)核心業(yè)務(wù)處理區(qū):涉及一體化消防業(yè)務(wù)信息系統(tǒng)中的部分業(yè)務(wù)系統(tǒng)。該安全域中的業(yè)務(wù)系統(tǒng)支持本地內(nèi)網(wǎng)的業(yè)務(wù)應(yīng)用,無需與外部實(shí)體進(jìn)行數(shù)據(jù)或業(yè)務(wù)的交互。
(2)119接處警系統(tǒng)區(qū):涉及119接處警系統(tǒng)所有應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)字錄音儀、接處警終端以及其它附屬設(shè)備。本區(qū)域設(shè)備支撐119報警的受理、處置、調(diào)度、反饋以及災(zāi)后數(shù)據(jù)分析等全流程業(yè)務(wù)應(yīng)用,為全內(nèi)網(wǎng)應(yīng)用。總隊(duì)119接處警系統(tǒng)將與一體化消防業(yè)務(wù)信息系統(tǒng)的滅火救援系統(tǒng)開發(fā)數(shù)據(jù)接口。
(3)特殊業(yè)務(wù)受理區(qū):涉及一體化消防業(yè)務(wù)信息系統(tǒng)中部分業(yè)務(wù)系統(tǒng),主要是面向移動終端的業(yè)務(wù)接入,包括滅火救援、消防監(jiān)督的業(yè)務(wù)受理系統(tǒng),特殊業(yè)務(wù)受理區(qū)的受理服務(wù)器可以將受理的業(yè)務(wù)數(shù)據(jù)“擺渡”到業(yè)務(wù)處理區(qū)進(jìn)行處理,在得到處理區(qū)服務(wù)器的反饋后,再將反饋信息回傳到移動終端上,完成整個業(yè)務(wù)處理流程。
(4)特殊業(yè)務(wù)處理區(qū):涉及滅火救援指揮、消防監(jiān)督的業(yè)務(wù)處理系統(tǒng),實(shí)時處理由業(yè)務(wù)受理平臺“擺渡”過來的數(shù)據(jù),在處理后反饋給特殊業(yè)務(wù)受理區(qū)的受理服務(wù)器。
(5)內(nèi)網(wǎng)終端區(qū):由內(nèi)網(wǎng)中的辦公終端組成,內(nèi)網(wǎng)終端區(qū)用戶可以訪問網(wǎng)絡(luò)中授權(quán)訪問的業(yè)務(wù)系統(tǒng)。
(6)內(nèi)網(wǎng)管理區(qū):將內(nèi)網(wǎng)中的各類管理服務(wù)器置于內(nèi)網(wǎng)管理中,集中進(jìn)行安全策略的定制、下發(fā),集中監(jiān)控各類系統(tǒng)運(yùn)行狀態(tài)。主要包括設(shè)備管理、終端管理、防病毒管理等。內(nèi)網(wǎng)管理區(qū)由內(nèi)網(wǎng)中具備相應(yīng)管理權(quán)限的管理員來訪問。
3.2信息安全保障體系構(gòu)成
總隊(duì)信息系統(tǒng)安全保障技術(shù)體系由物理安全、通信網(wǎng)絡(luò)安全、計算環(huán)境安全、數(shù)據(jù)安全、安全基礎(chǔ)支撐和安全管理構(gòu)成。其中,安全基礎(chǔ)支撐為物理安全、網(wǎng)絡(luò)安全、計算環(huán)境安全和數(shù)據(jù)安全提供支持,安全管理為整個安全保障體系提供全面的管理。
安全基礎(chǔ)支撐主要涉及總隊(duì)一體化系統(tǒng)中的身份認(rèn)證與授權(quán)系統(tǒng),包括服務(wù)器計算機(jī)硬件設(shè)備以及安全認(rèn)證網(wǎng)關(guān)設(shè)備。通過部署身份認(rèn)證與授權(quán)系統(tǒng)及安全認(rèn)證網(wǎng)關(guān)于核心業(yè)務(wù)處理區(qū),確保總隊(duì)認(rèn)證服務(wù)及CA系統(tǒng)正常運(yùn)行,利用數(shù)字證書登錄訪問一體化消防業(yè)務(wù)信息系統(tǒng)的模式,加強(qiáng)一體化系統(tǒng)的訪問控制安全,提高一體化系統(tǒng)的安全級別,是整個系統(tǒng)的基礎(chǔ)和支撐,是實(shí)現(xiàn)總隊(duì)信息系統(tǒng)安全保障的共性設(shè)施。
數(shù)據(jù)安全包括數(shù)據(jù)庫入侵檢測系統(tǒng)、數(shù)據(jù)庫訪問控制系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、數(shù)據(jù)容災(zāi)備份系統(tǒng)等,用于保障消防信息系統(tǒng)中的所有數(shù)據(jù)庫安全。
總隊(duì)通過在涉及到一體化消防業(yè)務(wù)信息系統(tǒng)的業(yè)務(wù)區(qū)對一體化業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫部署磁盤陣列以及硬盤自備份和移動存儲備份方式,設(shè)置全量備份,增量備份策略,執(zhí)行方式為日備份,周備份,月備份以及臨時應(yīng)急備份,確保一體化系統(tǒng)的數(shù)據(jù)安全可靠。同時通過部署數(shù)據(jù)庫入侵監(jiān)測及審計系統(tǒng),加強(qiáng)系統(tǒng)的數(shù)據(jù)庫安全,確保數(shù)據(jù)庫無故障和穩(wěn)定運(yùn)行 。在核心業(yè)務(wù)信息系統(tǒng)和需要重點(diǎn)保護(hù)的信息系統(tǒng)中部署數(shù)據(jù)審計系統(tǒng),實(shí)時監(jiān)控數(shù)據(jù)庫各種賬戶的數(shù)據(jù)庫操作行為(如插入、刪除、更新、用戶自定義操作等),從而降低數(shù)據(jù)庫安全風(fēng)險,保護(hù)數(shù)據(jù)庫安全。
網(wǎng)絡(luò)安全包括隔離防火墻、網(wǎng)絡(luò)入侵檢測設(shè)備、信息內(nèi)容審計監(jiān)控等設(shè)備,主要在各級區(qū)域網(wǎng)絡(luò)互連的邊界位置進(jìn)行安全防護(hù)和訪問控制,對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行實(shí)時的檢測與訪問控制,以發(fā)現(xiàn)異常流量,并進(jìn)行分析、阻斷和報告。
根據(jù)安全域劃分,總隊(duì)在各安全域間部署防火墻,并在防火墻上設(shè)置相應(yīng)策略,實(shí)現(xiàn)安全域間的訪問控制。在核心交換機(jī)上部署網(wǎng)絡(luò)安全審計系統(tǒng),在網(wǎng)絡(luò)邊界部署一臺入侵防護(hù)系統(tǒng),實(shí)現(xiàn)對外部流入數(shù)據(jù)的監(jiān)測,一旦發(fā)現(xiàn)入侵行為及時報警并依據(jù)策略進(jìn)行阻斷。同時利用IPS系統(tǒng)的惡意代碼防護(hù)模塊對網(wǎng)絡(luò)出口處的數(shù)據(jù)進(jìn)行惡意代碼防護(hù)。在核心交換機(jī)上利用入侵檢測系統(tǒng)針對所要監(jiān)控流量端口做鏡像,實(shí)現(xiàn)對流經(jīng)核心交換機(jī)的流量進(jìn)行監(jiān)測,一旦發(fā)現(xiàn)入侵行為或惡意行為,及時進(jìn)行報警。
計算環(huán)境安全:通過公安網(wǎng)一機(jī)兩用監(jiān)控系統(tǒng)以及互聯(lián)網(wǎng)一機(jī)兩用監(jiān)控兩套終端安全管理監(jiān)測系統(tǒng)對安全域內(nèi)的終端設(shè)備進(jìn)行監(jiān)測管理及系統(tǒng)補(bǔ)丁集中分發(fā)工作,結(jié)合部署在公安網(wǎng)和互聯(lián)網(wǎng)上的防病毒軟件系統(tǒng)服務(wù)器進(jìn)行集中控制和病毒防控升級工作,對部署在總隊(duì)局域網(wǎng)的計算機(jī)終端、服務(wù)器、及其運(yùn)行的應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)。
物理安全包含環(huán)境安全,設(shè)備安全,介質(zhì)安全三個方面。通過信息中心機(jī)房的門禁系統(tǒng)、防雷設(shè)施、防火設(shè)施、穩(wěn)壓UPS電源,機(jī)房溫、濕度監(jiān)控系統(tǒng)及LED顯示,聲光報警等多種手段及措施,構(gòu)筑我總隊(duì)一體化消防業(yè)務(wù)信息系統(tǒng)的物理安全防護(hù)體系。
安全管理主要指綜合安全管理中心,通過集中的安全管理,保障整個安全系統(tǒng)在統(tǒng)一的安全策略指導(dǎo)下運(yùn)作,通過制定統(tǒng)一的安全管理協(xié)議、安全管理接口規(guī)范和安全管理數(shù)據(jù)格式,實(shí)現(xiàn)對用戶、設(shè)備、事件的統(tǒng)一集中管理,實(shí)現(xiàn)信息系統(tǒng)中各類安全設(shè)備的統(tǒng)一管理,安全服務(wù)的實(shí)時監(jiān)控和安全審計,并提供安全策略的實(shí)施和維護(hù)。
目前,總隊(duì)通過部署NCC網(wǎng)絡(luò)監(jiān)控和BCC業(yè)務(wù)系監(jiān)控平臺,對安全域的網(wǎng)絡(luò)設(shè)備以及各業(yè)務(wù)服務(wù)器應(yīng)用,數(shù)據(jù)庫等設(shè)置閥值和策略,進(jìn)行集中管理,通過NCC和BCC進(jìn)行每日巡檢。下一步將通過COSS管理平臺并平臺的二次開發(fā)接口,擬對一體化系統(tǒng)的深入推廣應(yīng)用進(jìn)行全方位監(jiān)控管理。
3.3信息安全管理體系應(yīng)急預(yù)案制定演練
信息安全管理體系建設(shè)的最終目標(biāo)是保障一體化業(yè)務(wù)的正常穩(wěn)定運(yùn)行,各類防護(hù)措施的應(yīng)用最大程度的降低了安全風(fēng)險,但由于各種新的病毒、黑客技術(shù)層出不窮,制訂完善的應(yīng)急預(yù)案,確保系統(tǒng)遭受安全攻擊后的可恢復(fù)性就成了系統(tǒng)防御的最后保障。
在應(yīng)急預(yù)案中,應(yīng)明確從單機(jī)故障到全網(wǎng)絡(luò)癱瘓、從影響個人辦公到全單位業(yè)務(wù)乃至造成重大社會影響的不同級別網(wǎng)絡(luò)安全事件的定義,逐一制訂對應(yīng)的技術(shù)措施和管理、處置、上報機(jī)制,明確每一個步驟的責(zé)任人、責(zé)任單位。在應(yīng)急預(yù)案制訂完成后,必須通過至少兩到三次的不同級別、層級安全事件應(yīng)急處置演練進(jìn)行檢驗(yàn),查找缺陷,完善不足,同時根據(jù)單位信息系統(tǒng)建設(shè)、應(yīng)用的發(fā)展和網(wǎng)絡(luò)設(shè)備的更新不斷進(jìn)行調(diào)整,確保應(yīng)急預(yù)案的最后保障作用。
4.結(jié)束語
通過安全技術(shù)措施及各類軟硬件設(shè)備組合構(gòu)筑一體化消防業(yè)務(wù)信息系統(tǒng)信息安全管理體系,確保系統(tǒng)穩(wěn)定運(yùn)行。但安全事故很多時候不是因?yàn)榧夹g(shù)原因造成的,二是人們沒有認(rèn)識到信息安全,以至于忽視了安全流程或者躲避技術(shù)控制措施,對于各類與外網(wǎng)邏輯隔離或物理隔離的專用網(wǎng)絡(luò)(如公安網(wǎng))來說,其源自于內(nèi)部的網(wǎng)絡(luò)安全威脅比例更高。因此,建立健全單位內(nèi)部網(wǎng)絡(luò)安全管理制度,加強(qiáng)網(wǎng)絡(luò)安全教育,提升內(nèi)部人員的信息安全意識就成為了增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理水平的首選措施。
總隊(duì)在加強(qiáng)信息化建設(shè)過程中必須加強(qiáng)安全保密管理,設(shè)置安全保密管理機(jī)構(gòu),制定嚴(yán)格的安全保密管理制度,采用適當(dāng)?shù)陌踩C芄芾砑夹g(shù)將消防信息系統(tǒng)中的各種安全保密產(chǎn)品進(jìn)行集成,并加強(qiáng)對涉密人員的管理,形成完整的安全管理體系。同時將各類網(wǎng)路安全技術(shù)手段和硬件設(shè)備進(jìn)行有機(jī)組合,充分發(fā)揮各自的技術(shù)特長,以物理安全、通信網(wǎng)絡(luò)安全、計算環(huán)境安全、數(shù)據(jù)安全、安全基礎(chǔ)支撐和安全管理六大模塊構(gòu)成一體化信息安全保障管理體系,并輔之以具有高度可行性和可操作性的應(yīng)急預(yù)案和規(guī)范的運(yùn)維機(jī)制,做到網(wǎng)絡(luò)不斷,業(yè)務(wù)不癱,數(shù)據(jù)不丟。
篇11
2)整合網(wǎng)絡(luò)管理系統(tǒng)。計算機(jī)網(wǎng)絡(luò)管理系統(tǒng)可以說是安裝在硬件設(shè)備上的一系列軟件,通過這些軟件對網(wǎng)絡(luò)進(jìn)行監(jiān)督和控制。因此,要對這些軟件設(shè)備進(jìn)行整體系統(tǒng)的管理和維護(hù)。不僅是軟件的研發(fā),更重要的是對軟件實(shí)施管理和維護(hù),讓管理和維護(hù)形成一定的管理規(guī)范和制度,比如按不同類型進(jìn)行分類,配置管理、性能管理、安全管理等,按不同類型來具體實(shí)施,這些都具有獨(dú)立性,最后統(tǒng)一整合管理。
3)配置明確網(wǎng)絡(luò)協(xié)議。網(wǎng)絡(luò)中各個設(shè)備都是獨(dú)立的,要靠網(wǎng)絡(luò)管理協(xié)議來進(jìn)行信息的交互和統(tǒng)一。通過配置和管理網(wǎng)絡(luò)協(xié)議來整體規(guī)范和管理系統(tǒng)。
1.2計算機(jī)網(wǎng)絡(luò)管理的日常工作制度
1)定期檢查軟件,進(jìn)行升級管理。對于計算機(jī)網(wǎng)絡(luò)系統(tǒng)的任何硬件和軟件都應(yīng)該進(jìn)行定期檢查,尤其服務(wù)器軟件,需要定期檢查,然后進(jìn)行更新升級。主要是對服務(wù)器操作系統(tǒng)及應(yīng)用軟件系統(tǒng)進(jìn)行升級、打補(bǔ)丁、防止系統(tǒng)漏洞。
2)數(shù)據(jù)定期備份。數(shù)據(jù)對整個計算機(jī)網(wǎng)絡(luò)而言十分重要。為了防止數(shù)據(jù)丟失,保障數(shù)據(jù)安全,應(yīng)該定期對數(shù)據(jù)進(jìn)行備份。
3)加強(qiáng)網(wǎng)絡(luò)防范。為了保障網(wǎng)絡(luò)安全,需要加強(qiáng)網(wǎng)絡(luò)防范。比如增加防火墻來防止外界入侵,保障網(wǎng)絡(luò)安全。主要從網(wǎng)絡(luò)系統(tǒng)的硬件和軟件上做防范措施。工作人員應(yīng)該定期參加網(wǎng)絡(luò)知識培訓(xùn),了解最新的動態(tài),進(jìn)行加強(qiáng)網(wǎng)絡(luò)認(rèn)識和防范意識。工作人員要嚴(yán)格遵守所在單位的管理制度,防止密碼等保密信息外泄等。
4)定期排查網(wǎng)絡(luò),及時更改。作為網(wǎng)絡(luò)管理員應(yīng)該定期對網(wǎng)絡(luò)做安全檢查,在檢查過程中,對發(fā)現(xiàn)的網(wǎng)絡(luò)問題應(yīng)該及時更改。作為一名網(wǎng)絡(luò)管理員一定要認(rèn)真負(fù)責(zé)檢查每一處,從而保障網(wǎng)絡(luò)安全。通過分類和整合,制定一定的管理規(guī)范,遇到故障時,合理分析、推斷、排除、解決故障,保證計算機(jī)網(wǎng)絡(luò)的正常運(yùn)行。
2維護(hù)管理中常見問題的解決方法
作為一名網(wǎng)絡(luò)管理員必須了解網(wǎng)絡(luò)系統(tǒng)中的設(shè)備,熟悉硬件和軟件,了解操作流程,要有豐富的工作經(jīng)驗(yàn)。計算機(jī)網(wǎng)絡(luò)管理和維護(hù)包括很多方面:①了解網(wǎng)絡(luò)結(jié)構(gòu),熟悉設(shè)備管理,保障網(wǎng)絡(luò)的正常運(yùn)行。②了解配置文件,熟悉路由器和交換機(jī)等。③了解網(wǎng)絡(luò)內(nèi)部連接,發(fā)現(xiàn)故障問題及時檢查定位,排查網(wǎng)絡(luò),排除安全隱患。④掌握用戶資源,做好用戶資源安全管理。
2.1日常維護(hù),保證網(wǎng)絡(luò)正常工作計算機(jī)網(wǎng)絡(luò)管理員應(yīng)該做好日常工作,經(jīng)常性的查看監(jiān)控軟件,根據(jù)監(jiān)控軟件信息,了解整個網(wǎng)絡(luò)。每天要對核心服務(wù)器、路由器、交換機(jī)、防火墻、用戶接入口、出口等實(shí)施日志監(jiān)控和查看,查看流量信息等,從而發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的故障或者攻擊。2.2了解網(wǎng)絡(luò)設(shè)備了解網(wǎng)絡(luò)設(shè)備是指管理員一定要熟知網(wǎng)絡(luò)系統(tǒng)中的各個設(shè)備,了解設(shè)備的型號、性能、配置方法、功能、數(shù)據(jù)配置等,從而把網(wǎng)絡(luò)遇到問題及時排查。比如,要了解網(wǎng)絡(luò)中每1臺路由器的配置,是靜態(tài)路由還是動態(tài)路由,熟悉RIP、OSPF等路由配置,掌握BGP等外網(wǎng)路由管理,要熟悉日常維護(hù)管理,進(jìn)而排除故障。
2.3及時備份文件網(wǎng)絡(luò)偶爾有突發(fā)狀況發(fā)生,比如斷電,會給網(wǎng)絡(luò)造成很大損失,造成數(shù)據(jù)文件丟失等,所以,管理人員應(yīng)該及時備份數(shù)據(jù)文件,也可以通過軟件進(jìn)行定期、定時備份。
2.4有效管理資源計算機(jī)網(wǎng)絡(luò)系統(tǒng)中資源多、復(fù)雜,有各種設(shè)備資源,比如,交換機(jī)接口,路由器接口,網(wǎng)管接口等等,還有數(shù)據(jù)資源,IP地址、硬件資源等,這些都需要有效地分配和管理。只有合理規(guī)劃各項(xiàng)資源,才能保證網(wǎng)絡(luò)不會存在差錯和沖突,才能保證網(wǎng)絡(luò)正常運(yùn)行。比如,IP地址資源,如果網(wǎng)絡(luò)中是靜態(tài)IP地址,就要防止IP地址重復(fù)分配,造成網(wǎng)絡(luò)沖突。
2.5內(nèi)網(wǎng)安全內(nèi)網(wǎng)是屬于本單位或本系統(tǒng)內(nèi)部管理與使用的并相對獨(dú)立于外網(wǎng)(互聯(lián)網(wǎng))的局域網(wǎng)或廣域網(wǎng)。要想保證內(nèi)網(wǎng)安全,重點(diǎn)是做好內(nèi)網(wǎng)與外網(wǎng)之間的安全防護(hù),增加安全隔離設(shè)備或進(jìn)行物理隔離,杜絕內(nèi)外網(wǎng)互聯(lián)互通,以防止外網(wǎng)入侵。對于有些單位內(nèi)外網(wǎng)無法完全隔離開來的情況下,內(nèi)外網(wǎng)間安裝防火墻軟硬件,配置ACL訪問控制列表,通過這些來保證安全。防火墻能阻擋外網(wǎng)的一些入侵,通過ACL來設(shè)置那些網(wǎng)段可以進(jìn)去內(nèi)容,從而避免惡意入侵。
2.6用戶權(quán)限管理網(wǎng)絡(luò)中用戶很多,為了保證網(wǎng)絡(luò)安全,應(yīng)該了解用戶需求及工作性質(zhì),為不同用戶制定不同權(quán)限。管理員應(yīng)經(jīng)常查看日志文件,了解用戶的網(wǎng)上應(yīng)用和流量情況,及時調(diào)整用戶權(quán)限,刪除或禁用一些不正常的用戶權(quán)限,保障網(wǎng)絡(luò)安全。
2.7制定嚴(yán)格有效的上網(wǎng)管理制度建立上網(wǎng)管理制度,加強(qiáng)單位職工網(wǎng)絡(luò)安全方面的教育,提高安全意識,加強(qiáng)上網(wǎng)行為管理,及時通報不良行為,創(chuàng)造一個良好的網(wǎng)絡(luò)應(yīng)用環(huán)境,對于保證網(wǎng)絡(luò)系統(tǒng)能夠長期安全、穩(wěn)定、有效運(yùn)行同樣必不可少。
篇12
當(dāng)今社會科技高速發(fā)展,信息技術(shù)應(yīng)用逐漸廣泛,不少企事業(yè)、單位均在內(nèi)部建立了大型的網(wǎng)路(計算機(jī)網(wǎng)絡(luò)),比如生產(chǎn)指揮系統(tǒng),鐵路局域網(wǎng),車站客戶購票系統(tǒng)等大型系統(tǒng)。隨著信息技術(shù)帶給人們極大的快捷、方便,網(wǎng)路信息技術(shù)的安全也就越來越重要。計算機(jī)網(wǎng)絡(luò)安全所指的是計算機(jī)網(wǎng)絡(luò)系統(tǒng)的軟硬件及數(shù)據(jù)受到的保護(hù),不因?yàn)槿藶橐蛩氐挠绊懚黄茐摹⒏模瑥亩9ぷ鳌4宋尼槍μ接懙木褪侨绾渭訌?qiáng)對內(nèi)網(wǎng)安全的管理、維護(hù),以及防范等問題。
2.企業(yè)內(nèi)部計算機(jī)網(wǎng)絡(luò)(以下簡稱內(nèi)網(wǎng))的特點(diǎn)
2.1與外界網(wǎng)絡(luò)的隔離。
為了企業(yè)的生產(chǎn)、管理運(yùn)行和工作,大多數(shù)企業(yè)都建立了內(nèi)部網(wǎng),比較獨(dú)立,因此,物理連接方面與外界計算機(jī)網(wǎng)絡(luò)聯(lián)系很少,與外界不進(jìn)行溝通。為了滿足企業(yè)與外界的聯(lián)系,內(nèi)網(wǎng)中個別客戶端計算機(jī)可能與外界聯(lián)系,但絕大多數(shù)用戶仍與外界隔絕。
2.2建立起S/C結(jié)構(gòu)的應(yīng)用。
內(nèi)部網(wǎng)中普遍設(shè)立了大量的S/C結(jié)構(gòu),可以提供很多功能,如web服務(wù)、ftp服務(wù)、實(shí)時通訊、網(wǎng)上會議等功能。其中,一些企業(yè)安裝了專門使用的軟件,并且建立了專門數(shù)據(jù)庫,可以幫助企業(yè)制造大量的公文,并且進(jìn)行流轉(zhuǎn)、處理,各種文件傳輸,也可以進(jìn)行會議等。
2.3企業(yè)的日程運(yùn)轉(zhuǎn)越來越依賴于內(nèi)網(wǎng)。
由于ERP、CAD等辦公和生產(chǎn)系統(tǒng)的大量應(yīng)用,企業(yè)的日常運(yùn)轉(zhuǎn)對信息流通的依賴性越來越大,尤其是內(nèi)部信息網(wǎng)絡(luò)。另外,內(nèi)部網(wǎng)絡(luò)由于生產(chǎn)和辦公軟件系統(tǒng)的電子化、智能化,已經(jīng)成為單位信息和指令傳輸?shù)闹匾M成部分。
2.4對網(wǎng)絡(luò)安全提出了更高的要求。
大批量的終端、網(wǎng)絡(luò)設(shè)備和服務(wù)器共同組成了內(nèi)部網(wǎng)絡(luò),相互協(xié)調(diào)工作,成為嚴(yán)密的整體,因此,為了不使整個內(nèi)部網(wǎng)絡(luò)發(fā)生不必要的意外,企業(yè)在任何一方面的安全問題都應(yīng)當(dāng)引起足夠的重視。這就要求內(nèi)網(wǎng)中的各部分要有較高的穩(wěn)定性、可靠性和可控性,尤其是服務(wù)器和數(shù)據(jù)庫。
3.一般內(nèi)網(wǎng)安全存在的問題
計算機(jī)的安全級別若從高到低來講,可以分為主機(jī)系統(tǒng)的應(yīng)用服務(wù)安全、文件系統(tǒng)安全,系統(tǒng)服務(wù)安全,操作系統(tǒng)內(nèi)核安全,主機(jī)系統(tǒng)的物理安全。由于了解了內(nèi)部網(wǎng)絡(luò)的特征,我們可以很清楚地看出,內(nèi)網(wǎng)安全存在著很明顯的問題,特別是技術(shù)和管理使用方面。
3.1內(nèi)網(wǎng)管理、使用方面存在問題。
3.1.1網(wǎng)絡(luò)安全意識不強(qiáng)。
由于內(nèi)網(wǎng)還未得到大面積普及,部分企業(yè)的內(nèi)網(wǎng)組建比較倉促,導(dǎo)致一些管理、使用人員對計算機(jī)知識了解不清楚,對網(wǎng)絡(luò)的安全問題意識不夠,并且對信息資產(chǎn)保護(hù)的意識相對薄弱。因此,在每次計算機(jī)信息損壞,從而導(dǎo)致泄漏信息、文件遺失等安全問題。這些問題都會造成直接的經(jīng)濟(jì)損失。
3.1.2內(nèi)部人員使用不規(guī)范。
使用人員對計算機(jī)設(shè)備操作錯誤而產(chǎn)生的問題在內(nèi)網(wǎng)中占絕大多數(shù)。譬如,操作人員在計算機(jī)還未完全關(guān)閉后就關(guān)閉UPS電源,還有些操作人員在不經(jīng)常殺毒的前提下隨意在多臺計算機(jī)上使用U盤、活動硬盤拷貝文件,給電腦病毒以可乘之機(jī)。有的用戶在沒有確定軟件地安全性就隨意地安裝,還有的計算機(jī)用戶隨意地將自己的賬戶密碼告知別人,給計算機(jī)安全問題造成巨大隱患。
3.2科技角度存在的漏洞。
3.2.1操作系統(tǒng)不能及時進(jìn)行升級完善。
沒有哪個操作系統(tǒng)是完美的,任何操作系統(tǒng)一定有自身的缺陷。正是這樣才給計算機(jī)病毒提供了溫床。原因在于內(nèi)網(wǎng)系統(tǒng)是一個獨(dú)立的體系,因而操作系統(tǒng)得不到及時升級,從而無法保證內(nèi)網(wǎng)的安全。同樣,在應(yīng)用軟件方面也存在著不足。一般而言IIS的漏洞方式有:遠(yuǎn)程溢出漏洞、配置錯誤漏洞、權(quán)限漏洞、解碼漏洞等,數(shù)據(jù)庫的漏洞形式注入式漏洞等。然而,有些編程人員卻忽略了安全這一重大問題,產(chǎn)生了操作系統(tǒng)的缺陷和漏洞,更有甚者,為了便利而故意設(shè)置軟件的漏洞。
3.2.2關(guān)注匱乏,信息安全無法顧及全面。
在部分企業(yè)管理人員的觀念中對信息安全的關(guān)注不夠,從而造缺乏對信息安全產(chǎn)品的投入。在部分企業(yè)中有放棄使用網(wǎng)絡(luò)版防火墻和防病毒軟件以單機(jī)版產(chǎn)品替代的,有的企業(yè)使用一套防病毒軟件安裝多臺計算機(jī),甚至有的企業(yè)根本沒有使用任何防火墻和防病毒軟件。
4.預(yù)防方案
4.1敲響網(wǎng)絡(luò)安全的警鐘。
企業(yè)管理人員要培養(yǎng)網(wǎng)絡(luò)安全意識是穩(wěn)定企業(yè)內(nèi)網(wǎng)信息安全的先決條件。要及時對其進(jìn)行相應(yīng)的網(wǎng)絡(luò)應(yīng)用技術(shù)培訓(xùn),促使其專業(yè)技術(shù)水平提高,真正為企業(yè)消除在設(shè)備性能、信息安全方面的后顧之憂。對于因一線操作人員水平存在缺陷或因工作疏忽誤操作而造成的問題,技術(shù)人員應(yīng)利用加密、屏幕保護(hù)加密、目錄加密、文件加密、網(wǎng)絡(luò)傳輸加密等專業(yè)技術(shù)來加以預(yù)防。
4.2加強(qiáng)有關(guān)規(guī)章完善,嚴(yán)格管理網(wǎng)絡(luò)使用。
加強(qiáng)網(wǎng)絡(luò)安全管理,提高有關(guān)規(guī)章制度完善程度,將有利于保障網(wǎng)絡(luò)安全、可靠運(yùn)行。完善計算機(jī)操作使用流程制度、網(wǎng)絡(luò)操作規(guī)范制度、U盤、活動硬盤等信息介質(zhì)的妥善管理規(guī)定、保密機(jī)和密鑰等密碼安全問責(zé)制度,同時建立健全計算機(jī)的維護(hù)制度和應(yīng)急措施、預(yù)案,以保障網(wǎng)絡(luò)系統(tǒng)的安全等。為使計算機(jī)安全工作有章可循,責(zé)任到人的目的,可嘗試上網(wǎng)信息保密審批領(lǐng)導(dǎo)責(zé)任制等安全隱患問責(zé)制度,將計算機(jī)可能存在安全隱患的各個環(huán)節(jié)都能加以嚴(yán)格掌控。
4.3增強(qiáng)對計算機(jī)內(nèi)部網(wǎng)絡(luò)的技術(shù)維護(hù)。
4.3.1對專業(yè)人才進(jìn)行針對培養(yǎng),加大計算機(jī)硬件的防護(hù)措施。
在制定生存發(fā)展戰(zhàn)略的同時,企業(yè)往往對專業(yè)人才的引進(jìn)與培養(yǎng)傾注大量精力,而其中計算機(jī)專業(yè)的技術(shù)人員相對較為缺乏。為了推動企業(yè)發(fā)展,必須采取相應(yīng)的針對措施。第一,加大對計算機(jī)專業(yè)技術(shù)人才的引進(jìn);第二,為了對計算機(jī)保持長期有效的維護(hù),定期對內(nèi)網(wǎng)技術(shù)專業(yè)人員進(jìn)行集中技能培訓(xùn),提高其專業(yè)素質(zhì);第三,為保證內(nèi)網(wǎng)設(shè)備的正常運(yùn)行,應(yīng)針對設(shè)備的使用環(huán)境、運(yùn)行情況進(jìn)行周期性檢查,及時更新和維護(hù)相應(yīng)的配件。
4.3.2保持計算機(jī)操作系統(tǒng)的更新,修補(bǔ)減少編程堵塞漏洞。
第一,保證操作系統(tǒng)正常運(yùn)行的首要條件就是定期對其進(jìn)行更新和補(bǔ)漏,并且由于互聯(lián)網(wǎng)沒有與內(nèi)網(wǎng)直通,更新與升級的任務(wù)需要靠維護(hù)人員手動完成。補(bǔ)丁管理軟件能夠針對這一情況減輕維護(hù)人員的工作量,每次只需在服務(wù)器上更新一次,相應(yīng)所有客戶端便能夠自動更新,安全便捷。如微軟公司(Microsoft)的WSUS(Windows Server Update Services)補(bǔ)丁管理軟件等,在現(xiàn)如今內(nèi)網(wǎng)服務(wù)器和終端較多的情況下,推薦使用這類軟件。第二,為最大限度地保證信息安全,類似系統(tǒng)中的WEB服務(wù),數(shù)據(jù)庫讀、寫等由開發(fā)人員直接編程的專用程序應(yīng)用,要求加大安全力度,盡量將程序編寫的嚴(yán)密,將涉及用戶名與口令的程序封在服務(wù)端,對于與數(shù)據(jù)庫連接的用戶名與口令應(yīng)給予用戶最小的權(quán)限,營造一個安全的信息環(huán)境。
4.3.3運(yùn)用防火墻、防病毒軟件等工具,定期對網(wǎng)絡(luò)進(jìn)行監(jiān)測和檢查。
為營造安全訪問空間,阻擋木馬病毒的傳播與侵入,應(yīng)在服務(wù)器、各終端邊界上建立起通信監(jiān)控系統(tǒng),利用防火墻技術(shù)來進(jìn)行實(shí)時檢查與隔離,從而提高內(nèi)網(wǎng)的安全性。安裝網(wǎng)絡(luò)監(jiān)控軟件,能夠及時發(fā)現(xiàn)內(nèi)網(wǎng)中存在的異常情況,并提供有效證據(jù),為事后追查問題根源提供便捷。通過安裝網(wǎng)絡(luò)版防病毒軟件來加強(qiáng)病毒檢測,及時發(fā)現(xiàn)病毒并予以清殺,可有效阻止其在網(wǎng)絡(luò)上的蔓延和破壞。
5.結(jié)語
網(wǎng)絡(luò)安全是企業(yè)應(yīng)該高度重視的一個綜合性課題,它既包括信息系統(tǒng)本身的安全,又有物理和邏輯的技術(shù)措施,涉及技術(shù)、管理、使用等許多方面。企業(yè)應(yīng)針對不同方面的問題,開發(fā)新技術(shù),加強(qiáng)對硬件和軟件的及時調(diào)整,研究維護(hù)網(wǎng)絡(luò)安全的完備方法,建立起完善的網(wǎng)絡(luò)安全管理體系,為保證企業(yè)信息系統(tǒng)的安全運(yùn)行而積極防范。
參考文獻(xiàn):
[1]謝希仁.計算機(jī)網(wǎng)絡(luò)(第6版)[M].北京:電子工業(yè)出版社,2011.
篇13
在自主創(chuàng)新、自我研發(fā)漸成企業(yè)發(fā)展新勢的當(dāng)下,獨(dú)創(chuàng)性核心技術(shù)及相關(guān)經(jīng)營信息,無疑是企業(yè)維持競爭優(yōu)勢、創(chuàng)造財富的商業(yè)秘密。然而,遺憾的是多數(shù)企業(yè)的核心技術(shù),被商業(yè)間諜或競爭對手竊取,且越是高新技術(shù)企業(yè),其商業(yè)泄密率越高。
基于網(wǎng)絡(luò)管理、知識產(chǎn)權(quán)、網(wǎng)絡(luò)人才缺失等成因,部分礦山企業(yè)的內(nèi)網(wǎng)信息安全之憂漸次凸顯:盡管網(wǎng)絡(luò)信息防護(hù)投入不斷增加,但病毒、木馬的攻擊仍頻繁發(fā)生;硬件和帶寬投入持續(xù)增長,網(wǎng)絡(luò)卻再依舊時斷時續(xù),關(guān)鍵應(yīng)用性能無法得到保障,亟待企業(yè)網(wǎng)絡(luò)信息技術(shù)人員對癥破解。
1 礦山內(nèi)網(wǎng)信心平臺的特點(diǎn)
①數(shù)據(jù)傳輸安全無法保障。②硬盤存儲的數(shù)據(jù)、文檔資料,無安全保障。③移動存儲等設(shè)備的內(nèi)/外網(wǎng)雜亂使用,導(dǎo)致所存數(shù)據(jù)的安全風(fēng)險。④終端計算機(jī)缺乏統(tǒng)一的高強(qiáng)度身份認(rèn)證安全機(jī)制。⑤現(xiàn)有安全管理機(jī)制,無法對各計算機(jī)終端做全面的行為/網(wǎng)絡(luò)管控。⑥終端外設(shè)端口缺乏統(tǒng)一的安全管理。⑦各應(yīng)用系統(tǒng)自身的數(shù)據(jù)交互/存儲,無可靠安全環(huán)境。⑧企業(yè)內(nèi)網(wǎng)結(jié)構(gòu)劃分雜亂,各業(yè)務(wù)/職能部門間的訪問顯存風(fēng)險。
2 主要數(shù)據(jù)泄密途徑
2.1 主動泄密。拷貝、打印信息;收發(fā)電子郵件;QQ發(fā)送信息。
2.2 被動泄密。終端(筆記本)信息被盜;移動存儲介質(zhì)(U盤、移動硬盤)丟失/被盜;移動存儲介質(zhì)使用不當(dāng);計算機(jī)遭受間諜軟件攻擊,致無意識泄密。
3 礦山內(nèi)網(wǎng)管理信息平臺的技術(shù)要點(diǎn)
3.1 管理系統(tǒng)。可集成PDM系統(tǒng)、ERP系統(tǒng)、OA系統(tǒng)、CPC系統(tǒng)及設(shè)計分析等管理系統(tǒng),對控制列表中不存在的管理系統(tǒng)提供現(xiàn)場集成功能,以充分滿足企業(yè)內(nèi)網(wǎng)的復(fù)雜需求。
3.2 應(yīng)用程序。支持所有應(yīng)用程序控制,如設(shè)計類的AutoCAD、辦公類Office系列、匯編類VB系列等,均可產(chǎn)生文件的程序。
3.3 管理模式。具備大用戶數(shù)管理模式,能滿足大規(guī)模端點(diǎn)控制需求,可實(shí)現(xiàn)負(fù)載均衡、熱備和多級管理模式等。
3.4 模塊擴(kuò)展。具有高度的模塊化和擴(kuò)展性,可根據(jù)制造業(yè)信息系統(tǒng)發(fā)展的需要,擴(kuò)展其它功能,如:電子郵件加密、輸出內(nèi)容監(jiān)控等模塊。
3.5 端口管理。防止內(nèi)部員工通過郵件、MSN、QQ、FTP下載等網(wǎng)絡(luò)端口發(fā)送重要文檔。
3.6 兼容系統(tǒng)。完全兼容現(xiàn)有網(wǎng)絡(luò)、硬件系統(tǒng),如路由器、網(wǎng)關(guān)及防火墻;完全兼容已知的安全軟件,如殺毒軟件、防火墻軟件,加密進(jìn)程不會因軟件誤判為病毒或木馬而被清除或終止;也兼容最新的Windows系統(tǒng)平臺,如Windows Vista、Win7等。
4 礦山內(nèi)網(wǎng)管理信息平臺的管理功能
4.1 安全控制管理。U盤使用管理;外設(shè)端口管理;網(wǎng)絡(luò)訪問管理;網(wǎng)頁訪問管理;共享權(quán)限管理;準(zhǔn)接入管理;終端遠(yuǎn)程控制;在線/離線策略。
4.2 網(wǎng)絡(luò)運(yùn)維管理。應(yīng)用程序管理;網(wǎng)絡(luò)流量管理;軟硬件資產(chǎn)管理;IP&MAC地址管理;補(bǔ)丁分發(fā)管理;遠(yuǎn)程桌面監(jiān)控;靈活分級管理;終端進(jìn)程查看;文件傳輸管理。
4.3 操作日記管理。文件操作日志;網(wǎng)頁瀏覽日志;U盤使用日志;應(yīng)用程序日志;打印文件日志;資產(chǎn)異動日志;身份識別系統(tǒng);訪客內(nèi)聯(lián)日志;其他應(yīng)用日志。
4.4 系統(tǒng)保護(hù)管理。客戶端自我保護(hù);通信保護(hù);服務(wù)器安全保護(hù);數(shù)據(jù)庫安全保護(hù)。
5 結(jié)束語
礦山內(nèi)網(wǎng)信息管理平臺的構(gòu)建,與其說是信息技術(shù)問題,不如說是企業(yè)領(lǐng)導(dǎo)網(wǎng)絡(luò)意識、產(chǎn)權(quán)意識及商業(yè)競爭諸意識的綜合外化。惟其站在主動保護(hù)企業(yè)核心商業(yè)秘密的高度,才能關(guān)注、熟知企業(yè)內(nèi)網(wǎng)信息管理平臺的構(gòu)建,進(jìn)而避免企業(yè)因內(nèi)部網(wǎng)絡(luò)安全漏洞和網(wǎng)絡(luò)管理漏洞遭受到巨大損失。
參考文獻(xiàn):
