網絡安全考核匯總十篇
時間:2023-07-27 16:16:08
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇網絡安全考核范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)23-905-03
Network Reliability and Safety of the Design Fault-tolerant
SHEN Wen-yao, ZHOU Song-bo
(Shaoyang Medical College of Computer Centre, Shaoyang 422000, China)
Abstract: Linking to Internet, users can obtain all kinds of information. Internet is open and information resources sharing, so its security system is rather slack. On the contrary, users demand higher safety, any unauthorized interview accessing the information of internal data and files is forbidden. So, design and develop security system to protect internal information safety is the key points to achieve smoothly process of the internal network.
Key words: network, safe, design, fault tolerance
1 網絡安全和防火墻
除了關注全球互聯網對用戶單位業務的積極影響之外,同時也要充分考慮到將因特網作為用戶單位內部計算機網絡延伸后的安全問題,若沒有合適的防火墻解決方案,系統就會成為網絡黑客們的眾矢之的,所以惡意闖入來自四面八方,并進行某些惡意行為,例如:信息偷竊,甚至故意破壞。除了日趨嚴重的外部威脅以外,單位內部對系統安全構成危害的行為也在不斷增加,許多系統侵入者都非常隱蔽,給網絡系統安全造成潛在的很大損害,而當其所造成的危害被發現時往往已為時過晚。
網絡安全的主要技術是防火墻技術(Firewall),防火墻技術的核心思想是在不安全的網間網環境中構造一個相對安全的子網環境。目前其實現方式有兩種,即基于包過濾(Packet Filter)的防火墻和基于(Proxy)的防火墻。包過濾型防火墻處在網絡層,根據IP包的包頭信息來對信息的訪問進行控制,而IP包的包頭主要包括以下信息:IP包的源地址、目的地址、包類型、端口號,因此包過濾型防火墻主要完成基于地址和端口的過濾功能。基于的防火墻,也叫應用層防火墻,處于應用層,可對IP地址和發生在該IP地址上的具體應用進行控制,由于它能識別應用協議,因此可對應用的整個過程進行控制,比如在應用建立時的密碼驗證、在FIP應用中允許某站點get而不允許put等等。這兩種防火墻各有優缺點,包過濾型防火墻由于基于網絡層,因此對用戶來說比較透明,但它一般采用“沒被禁止的就是允許的”這一策略,在它失效時,網絡是暢通的,這時內部網絡將失去安全的屏障,而應用層防火墻采用“沒被允許的就是禁止的”這一策略,在它失效時,內部網絡與外部網絡是隔離的,因此應用層防火墻要比包過濾型防火墻安全。
大多數路由器均支持包過濾功能,比如在Cisco路由器上可以通過設置稱為access-list的過濾規則來實現包過濾功能:禁止外部網絡對內部網絡的某些重要機器的訪問,禁止內部網絡主機對Internet上部分站點的訪問;并可利用端口號來選擇控制的應用協議,比如TELNET的端口號為23、FTP的端口號為21、WWW的端口號為80等,這樣就可以設置一些較復雜的規則,比如可以允許某臺機器對Internet具有Email訪問功能,卻不能利用WWW和FIP等。
2 網絡容錯
計算機網絡系統是整個業務運行的平臺,服務器是整個網絡運行的心臟,它能否可靠運行直接影響到日常業務的運作。
在主服務器發生故障的情況下,備用機能自動啟動為主服務器,全面代替主服務器響應全部的網絡服務請求,直至主服務器被恢復。由于采用了雙機模式,備份服務器和主服務器的數據和程序完全一致,不會出現數據丟失的情況。
2.1 概述
近年來,計算機和網絡技術的普及大大提高了我們的工作效率,但同時也給我們的工作提出了更高的要求,無論是主管領導還是網絡系統管理員都要面對一些非常嚴峻的問題,其中最值得關注的就是系統失效問題和數據安全。
造成計算機系統失效的因素歸納起來可分為兩類:一類是自然災害(包括人為破壞);另一類是系統缺陷,即計算機系統自身的不可靠因素,如:誤操作、軟件缺陷、硬件老化、病毒等。電壓突然波動等原因都有可能造成硬盤損壞。主要有下列兩種故障:
網絡設備故障:傳輸距離過長、設備添加與移動、傳輸介質的質量問題和老化都有可能造成網絡故障。
2.2 邏輯故障
邏輯故障包括兩種,第一種是系統雖然能夠正常運行,但實際已經有部分損壞,如數據文件丟失、程序丟失等。第二種是系統本身雖然完好無損,可是系統中的部分數據是錯誤的,這類故障的隱蔽性很強,通常難以發現,更難以修復。
常見的幾種邏輯故障包括:
1)數據不完整:系統缺少完成業務所必須的數據;
2)數據不一致:系統數據是完全的,但邏輯關系不正確;
3)數據錯誤:系統數據是完全的,也符合邏輯關系,但數據是錯誤的,與實際不符。
邏輯故障隱蔽性強,往往帶有巨大的破壞性,是造成損失的主要原因。系統的正常運轉和數據的安全對我們如此重要,而不安全因素又不能回避。那么怎樣才能提高系統的可用性?以及在遇到災難時又如何盡快恢復系統,將損失減少到最小?
2.3 措施方案
對服務器進行容錯,對整個網絡系統采取完善的備份措施。常言道有備無患,只有這樣網絡才會發揮它的效能,而不是包袱。
系統擁有好的備份系統和備份方案,可以將災難的損失減小到最低程度。一般地,在硬件一級有磁盤鏡像、磁盤陣列、雙機容錯等備份方案;在軟件一級有熱修復、數據拷貝等措施。
磁盤鏡像/硬盤雙工:可以防止單個硬盤的物理故障,但無法防止邏輯故障,而且當一個硬盤出現故障時,系統無法工作。對普通網絡應用這是最基本的容錯手段,WindowsNT和Netware均支持軟件硬盤鏡像,但運行時系統資源被大量占用,且不穩定,系統盤的鏡像往往不能正常啟動。
磁盤陣列:磁盤陣列(RAID)是一項非常優秀的容錯技術,以Escort系列為例,它支持RAID0至RAID5,可以防止單個硬盤的物理故障。不但滿足了容錯的要求,容量可以很大且性能得以極大提升。磁盤陣列以SCSI與服務器相連,支持各種操作系統,磁盤陣列的應用解決了磁盤上的數據安全問題,對于系統級物理故障可以采取雙機容錯的方式。
雙機容錯:可以防止單臺計算機的物理故障,當一臺計算機出現故障時,系統仍然可以工作。數據不會丟失,備份服務器可以在很短時間內接替工作。
熱修復:可以防止硬盤的區域性損壞,但無法防止邏輯故障,當出現故障時,系統予以修復后,可以繼續工作。
數據拷貝:可以防止系統的物理故障,在一定程度上防止邏輯故障。
由上述可知,前四種措施可以防止一般的物理故障,在出現系統損壞(整個系統遭受災難性打擊)和邏輯故障的情況下,則需要采取第五種措施。在有嚴格的備份方案和計劃的前提下,數據備份能夠在一定程度上防止邏輯故障。然而,上述方案中沒有一種措施能夠使系統從大的災難中迅速恢復出來。當災難發生時,即使所有5種措施都采用了,仍然需要按下列步驟進行恢復:1)恢復硬件;2)重新裝入操作系統;3)設置操作系統(驅動程序設置、系統設置、用戶設置等);4)重新裝入應用程序,進行系統設置;5)用最新的備份恢復系統數據。
即使一切順利,這一過程也至少需要1~3天時間。這么漫長的恢復時間幾乎是不可忍受的,也會嚴重損害企業聲譽。由此可見:完善的安全的系統數據方案應有雙機容錯和嚴格的備份和災難恢復計劃。
雙機容錯軟件針對不同的操作系統有不同軟件和版本,如Novell的FSTIII、Standby,WindowsNT中有Ncr 的Lifekeeper for NT、Neocluster、WindowsNTmscluster,Unix環境下的容錯軟件有DHBS、GDS、東方龍馬等等。服務器可以是任何INTEL基礎上的平臺,SERVER的型號、配置不必一致,只需硬件平臺能保證NT運行;磁盤陣列正常使用。
3 局域網防火墻及防病毒解決方案
網絡安全風險分析
對于信息網所面臨的安全風險涉及網絡環境多方面,包括:1)自然災害――水災、火災、地震等; 2)電子化系統故障――系統硬件、電力系統故障等; 3)人員無意識行為――編碼缺陷、系統配置漏洞、誤操作及無意泄漏等; 4)人員蓄意行為――網絡環境可用性破壞、惡意攻擊等。
其中,前三個方面的風險能夠通過增強對網絡環境的抗自然災害的能力、加強網絡設備管理維護、系統操作管理等手段來加以完善,盡可能將風險降低到能夠被控制和管理的程度。
而對于第四方面的安全風險,對整個信息網的安全環境所構成的危害最大,同時也是最難于管理與防范的。且不僅僅能夠通過加強對網絡環境及人員的安全管理所能夠實現的,盡管安全管理非常重要。同時需要相應的安全技術手段輔助完成。這也是本安全方案所要詳細闡述的。
對于在信息網環境中,采取何種安全技術手段且如何實現,就需要通過對前面提到第四方面的安全風險的分析的基礎上,針對信息網安全需求來確定。
對于風險來說,它應包括那些可以被管理但又不能被清除的,以及那些能夠中斷網絡工作流并對工作環境造成破壞性的威脅。其中,主要包括:1)對于網絡應用服務的非授權訪問; 2)信息交互的保密性; 3)網絡病毒的傳播與滲入; 4)網絡黑客行為。
通過對以上主要的網絡威脅分析,能夠準確把握信息網的網絡安全需求。
4 安全管理的兩個方面
4.1 內部安全管理
主要是建立內部安全管理制度,如機房管理制度、設備管理制度、安全系統管理制度、病毒防范制度、操作安全管理制度、安全事件應急制度等,并采取切實有效的措施保證制度的執行。內部安全管理主要采取行政手段和技術手段相結合的方法。
4.2 網絡安全管理
在網絡上設置防病毒安全檢測系統后,必須保證防病毒系統的設置正確,且其配置不允許被隨便修改。采用用戶和口令認證機制加強對用戶的管理,可以通過軟件本身和一些網絡層的管理工具來實現。
安全方案:根據對信息網現階段的安全需求分析,在設計安全方案時,將采取一切有力的措施,來實現信息網現階段的安全目標,考慮到現階段對網絡病毒的管理要求,提出對網絡病毒防范和管理控制建議,并提出了現階段的網絡安全管理方案。如可選用防病毒的是瑞星企業版。
網絡設備的安全配置:信息網中,整個網絡的安全首先要確保網絡設備的安全,保證非授權用戶不能訪問網絡任意的網絡通訊設備(例如:路由器,交換機等)。對不同型號、廠家的網絡設備,要防范的內容是一樣的,但具體的配置方法須依照設備要求來實現。
對服務器訪問的控制:對于服務器用戶可以設置不同的用戶權限,如“非特權”和“特權”兩種訪問權限,非特權訪問權限允許用戶在服務器上查詢某些公眾信息但無法對服務器進行配置,特權訪問權限則允許用戶對服務器進行完全的配置。
對服務器訪問的控制建議使用以下的方式:1)控制臺訪問控制; 2)限制訪問空閑時間;3)口令的保護; 4)多級管理員權限。
采用六級安全機制:路由器級(包過濾)、硬件防火墻級、網管級、操作系統級、數據庫級、應用級,涵蓋了從物理層到應用層的所有范圍。
路由器級:第一道防火墻采用Cisco2811路由器實現包過濾,完成系統的訪問控制功能,屏蔽掉關鍵服務器的MAC地址,禁止外部對內部某些重要主機的訪問,同時禁止內部對外部某些站點或網絡的訪問。
防火墻級:系統采用Cisco公司的防火墻產品PIX520,它是一種硬件解決方案。主要優點在于,比其它防火墻方式更安全有效,而且,更好的支持多媒體信息的傳輸,使用與管理更方便。PIX具有雙以太網口(內部網與DMZ各一個);可組成虛擬專用網并加密;在防止非法侵入的同時還可有效的限制內部對外的訪問。
網管級:利用CISCO公司CISCOWORKSWINDOWS 的網管功能,劃分VLAN。
操作系統級:選用Windows 2000 SEVER或windows 2003 swever作為服務器操作系統,它采用了增強的安全措施,通過登陸認證、用戶授權、信息加密等安全機制限制了用戶對關鍵數據的非法操作。
數據庫級(ORACLE):ORACLE支持維護管理數據庫服務器、各種數據庫設備,對象(包括表),用戶及擁有的權限等,建立具有不同訪問權限的多種類型的用戶組,并能對用戶進行分組授權。
Oracle完全滿足NCSC的C2級安全標準,并早已通過相應的標準測試,在B1級的操作系統上,ORACLE早已提供滿足NCSC的B1級或ITSEC的ITSE。
5 如何實現防火墻
每一種不徹底公開的內部網絡與Internet最大的區別是安全性,網絡建成后,內部網與公共網之間將實現單向訪問控制,通過防火墻進行隔離。防火墻技術是實現網絡安全的重要保證。它可分為兩種,即基于包過濾(PACKET FILTER)的網絡級防火墻和基于(PROXY)的應用級防火墻。
6 結束語
這兩種防火墻各有優缺點,在一般的內部網防火墻構架中,綜合利用了這兩種技術,下面是整個防火墻系統的介紹:第一道防火墻采用CISCO路由器實現包過濾,完成訪問控制功能:禁止外部對內部某些重要主機的訪問,同時禁止內部對外部某些站點或網絡的訪問。第二道防火墻采用一臺工作站來充當服務器,實現內部網對INTERNET的訪問,同時實現隔離功能,禁止外部網絡對內部網絡的訪問。
參考文獻:
[1] 楊洪振.實現Microsoft Windows 2000 網絡基礎結構[M].北京:中國科學技術出版社,2005.
篇(2)
關鍵詞:
網絡安全;信息技術;發展態勢;思考
我國作為世界第二大經濟體,必然是互聯信息化的主要受益者。近十年以來,我國信息化建設得到空前發展,網絡信息化發展經濟基礎與社會基礎逐漸完善,社會對互聯網大信息時代依賴性也不斷加深。因此,網絡安全問題成為信息化發展重要阻礙,國家需要制定相關政策,全面監管網絡信息化市場發展,對信息化市場出現問題進行深入探討,全面提升網絡環境安全性。
一、互聯網發展趨勢
(一)新型互聯網架構
自互聯網建立至今,其發展僅僅花了30余年就在全球得到全面普及,其應用從開始的信息傳遞到現在的商業運營、個人娛樂、公共服務、機構管理的重要平臺,成為特殊的社會空間。由于互聯網的特殊架構原則,互聯網的核心信息傳遞方式是通過TCP/IP協議為基礎的,這類基本架構使得網絡信息傳遞限制程度低,匿名訪問與網絡攻擊難以阻止,使用者在互聯網上難以保證自己的隱私。如果想在根本上解決網絡安全問題,就必須對互聯網架構模式進行革新,引入全新的網絡架構模式,而這種新型網絡架構技術基礎就是不依靠單一的協議路線進行信息傳輸,以確保使用者信息安全性與隱私性為基本思想,對網絡安全與信息技術進行全面分析研討,明確國家未來網絡布局與信息技術革新計劃。
(二)新型信息資源掌控技術
目前,互聯網在實際的運營過程中,其核心是通過邏輯手段對網絡信息資源進行發出與接收,建立全面的層次性管理與區域性管理。互聯網基本信息資源主要是通過個人身份、域名與IP地址進行定位與識別,其具體分布范圍較廣,信息資源不夠集中,這些特點使得互聯網信息發送與接收過程必須依靠邏輯信號進行運轉。新型信息資源掌控技術需要依靠管理技術與管理權限為基本原則,將其作為互聯網運行的核心競爭點。
(三)新型搜索技術
目前,互聯網使用的搜書技術主要通過用戶輸入數據命令進行檢測,隨著社會步入大數據時代,數據全面性成為信息傳遞主要任務。新型信息檢索系統需要將數據與傳遞模式同時進行,將信息中檢索關鍵詞與信息進行全面整合,建立云計算、語意網絡、內容信息局域網絡綜合數據庫,在此基礎上優化檢索流程與傳遞效率,提高互聯網信息檢索針對性與目的性。
二、網絡安全發展態勢
(一)新型信息媒體成為網絡攻擊的新途徑
我國目前對新一代信息媒體在互聯網信息技術與網絡安全保障方面不夠重視,網絡安全與安全意識相對落后,由于互聯網信息復雜性與無序性,個人與企業互聯網受到攻擊也成為常態,網絡攻擊者主要通過互聯網數據傳遞的核心薄弱點進行攻擊,導致整個數據庫出現崩潰。新型信息媒體之所以成為受攻擊重災區主要原因是由于互聯網邏輯程序具有局限性,攻擊者主要通過建立與原信息數據相似的信任鏈,將信息庫中漏洞最大化放大,使其對互聯網系統甚至是整個社會信息接收與發送造成嚴重威脅。
(二)以主動式監聽技術為代表的復雜攻擊成為網絡攻擊的新方式
由于互聯網攻擊行為成為網絡信息傳遞的主要威脅,國家政府部門與大型企業成為不法分子重點攻擊對象,攻擊目標也從純粹互聯網攻擊轉移到通信領域,互聯網攻擊方式也趨于多樣化。傳統網絡攻擊模式主要是對通過互聯網存儲數據庫進行攻擊,目前主動式監聽技術主要針對網絡游戲商、網絡服務商、網絡設備商與網絡定位服務商的數據傳輸進行監聽,從而獲得企業內部關鍵性信息。我國許多依靠互聯網平臺大型服務商都受到主動式監聽攻擊,這種復雜的網絡攻擊方式嚴重干擾網絡信息安全傳遞,是國家網絡安全的重要隱患。
三、結語
隨著信息化與大數據化時代全面到來,網絡空間安全性成為當下急需解決的問題,互聯網也是國家的經濟、軍事、政治文化信息重要載體。個人計算機信息化全面發展也使得網絡安全成為影響社會穩定性關鍵因素,互聯網時代的全面到來使得國家經濟發展過分趨于數據化。不可否認,互聯網為我國的經濟發展做出重要的貢獻,但是互聯網信息中存在的漏洞成為了不法分子牟利的新途徑,因此,國家需要全面深入對網絡空間制度的改革,深刻認識到網絡安全與信息化的發展趨勢,明確網絡發展的內在規律,結合國內外網絡安全的改革經驗,對復雜的網絡環境進行全面改革,保障網絡安全與信息技術健康穩定發展。
參考文獻:
[1]陳明奇,洪學海,王偉,連一峰.關于網絡安全和信息技術發展態勢的思考[J].信息網絡安全,2015,04:1-4.
[2]文玉鋒,趙雪梅.關于網絡環境下會計信息系統安全問題的思考———采用網絡安全新技術,為網絡財務安全提供先進的技術平臺[J].農業科技與信息,2006,12:51-52.
[3]包東智.信息網絡安全技術市場現狀及發展策略的思考[J].當代通信,2004,22:46-49.
篇(3)
中圖分類號:TN915.08;TN943.6
1 三網融合概述
1.1 三網融合概念。三網融合是通信融合的廣義說法,主要是指廣播電視網、互聯網、電信網的融合,現階段三網融合的發展已經不僅僅局限于三大通訊網絡的物理結合,而是通過高層業務應用的應用對網絡通信系統的優化。三網融合主要表現三個以上網絡技術的趨向一致性,從而實現通訊信息在網絡上的互通互聯,業務上的交叉和滲透。在網絡應用上,一般使用統一的IP協議,在經營上互相合作、相互競爭、明確職能關系、從而構建出完善的信息服務監管體系。
三網融合建設完成之后,網絡用戶不需要使用電話、電視、物聯網等多個線路來實現信號的傳送,只需要三網融合線路就可以獲得所有通訊服務,也就是說用戶可以通過一條通訊線路就可以完成打電話、看電視、上網等日常信息處理,但是隨著用戶通訊途徑的拓廣,隨著而來的網絡安全問題也變得日益嚴重起來。
1.2 我國三網融合發展現狀。近幾年來,世界上很多發達國家、發展中國家都陸續投身到三網融合建設中來,我國相較于發達國家,三網融合建設仍處于起步階段。2002年我國首次提出三網融合建設綱要,倡導“電視、電信、計算機三網融合”,2009年,在我國國務院常務會議上,提出“加快推進廣播電視網、互聯網、電信網的三網融合,同時會議還明確提出了三網融合建設方針,可見三網融合建設是我國經濟建設的重要組成部分。2010年后,我國先后在20多個試點城市開展三網融合建設,這也標志著我國三網融合建設進入實質性推行階段。
2 三網融合下計算機網絡安全問題
三網融合下的計算機網絡安全問題,一直困擾著我國計算機網絡技術安全科研人員,如何快速找到網絡危險來源進而更好的抵制網絡威脅,是科研人員要考慮的重要問題。三網融合下計算機網絡安全威脅主要分為兩類,即人為故意攻擊和破壞、非人為災害和系統故障。本文主要從計算機網絡安全角度介紹人為故意攻擊和破壞手段,主要有以下幾種。
2.1. 網絡協議欺詐攻擊。此類計算機網絡安全攻擊是利用網絡協議漏洞進行信息系統攻擊的,通過假定的數據包和一系列欺詐信息,造成計算機網絡出現“錯誤認證”現象的網絡攻擊手段,如源路由和源IP地址欺騙攻擊,通過對網絡節點IP的自封包裝或修改,冒充可信IP網絡對其進行網絡攻擊。
2.2 拒絕服務攻擊。在三網融合的網絡環境下,會經常出現拒絕服務現象,攻擊者會加載多個服務侵占對方全部網絡信息資源,使得網絡無法供其他用戶使用。其攻擊目的就是讓網絡系統失去全部或一部分服務功能,使網絡失去服務請求能力,實現對整體網絡安全系統的破壞。在這些網絡服務攻擊中,以網絡協議為核心的服務攻擊最為普遍,由于網絡協議是針對不同網絡平臺制定的,其本質上沒有太大區別,所以該網絡攻擊手段具有良好的平臺無關性。
2.3 內存緩沖攻擊。在程序緩存時,內存緩沖攻擊經常將大量垃圾內容加載到緩沖區當中,致使緩沖區溢出,程序將無法執行當前命令,從而破壞網絡程序的正常堆棧。普通的緩沖區堆積信息一般不會造成網絡系統的癱瘓,所以為了實現其攻擊目標,網絡攻擊黑客通常會在緩沖區溢出程序中運行shell用戶,通過shell執行攻擊指令。在網絡程序有root權限的情況下,攻擊者就可以通過內存緩沖攻擊對網絡系統實施任意操作指令。
2.4 計算機病毒攻擊,是網絡安全攻擊中最常見的一種攻擊手段,通過計算機病毒的傳播行為和不斷自我復制干擾計算機網絡程序正常運行。計算機病毒會廣泛傳播的主要原因就是目前我國計算機windows系統安全級別較低,對訪問權限和系統資源都沒有進行有效的保護措施。
3 傳統的計算機網絡安全技術
計算機網絡安全技術是為了抵御網絡攻擊應運而生的網絡技術,傳統的計算機網絡安全技術主要有以下幾種。
3.1 虛擬計算機網路技術。是指不同區域內的計算機通過網絡管理設備虛擬連接組成的虛擬網絡,它消除了不同區域內的通訊限制,使多個網絡可以共享一個信息平臺。目前的虛擬計算機網絡技術有局域網技術、虛擬專網技術等。
3.2 防火墻技術。防火墻是互聯網在各基層網絡之間設置的安全保護屏障,在網絡進行信息傳送之前對信息來源進行安全檢測。防火墻主要分為三類:服務型、應用網關型和過濾型,其安全技術主要是對信息數據進行檢測。防火墻有軟件防火墻和硬件防火墻之分,硬件防火墻的安全性能好,但是其造價非常昂貴,只使用于對網絡安全環境要求較高的網絡系統;軟件防火墻雖然安全性能較差,成本造價低,對于網絡安全環境要求較低的網絡系統軟件防火墻應用更為廣泛。
3.3 入侵檢測技術。入侵檢測技術是防火墻的加強和延伸,它是一種檢測網絡安全策略的行為技術,能夠同時應對不同網絡形式的攻擊。入侵檢測技術主要分為三類:基于網絡的入侵檢測技術、基于主機的入侵檢測技術、分布入侵檢測技術。
3.4 用戶訪問控制技術和數據加密技術。對網絡通訊信息進行數據加密可以有效的保護網絡傳輸過程中的內部文件和數據信息,是對動態網絡信息的保護。訪問控制主要是對靜態網絡信息的保護,通過不同系統的安全檢測,對傳送至各個系統的文件進行安全檢測。
4 三網融合下的計算機網絡安全架構
三網融合下的計算機網絡安全體系,主要采用分級、分層處理。
4.1 分級處理。分級就是根據計算機網路安全的級別制定不同的防護措施,對安全級別要求高的領域如政務系統、公安系統、電臺系統等采用級別、安全系數較高的計算機網路安全技術;對安全級別要求不高的如普通網絡用戶采用級別、安全系數一般的計算機網路安全技術。級別、安全系數較高的計算機網路技術主要是通過專用的防火墻、各類網閘、殺毒軟件、入侵檢測系統等,使網絡系統在安全環境下進行信息傳遞。級別、安全系數一般的計算機網絡技術主要是通過殺毒軟件、普通的網絡防火墻實施對計算機網路系統的安全防護工作。以上文提到的電臺計算機網絡安全維護技術為例,電臺的外網和內網的網絡安全技術就是分級處理的,電視制作播放的視頻數據需要級別、安全系數較高的安全保護,因此在內網制作播出的視頻數據傳送之間的網絡采用隔離網閘技術和殺毒軟件雙重保護,外網采用級別、安全系數較低的入侵檢測系統和普通防火墻保護。
4.2 分層處理。(1)分層處理從信息內容和網絡安全兩個層面選用計算機網路安全技術,并建立完善的網絡安全體系。三網融合下的網絡信息量非常龐大,在大量危險信息充斥網絡的情況下,單一過濾危險信息解決不了網絡安全的根本問題。所以在計算機網絡安全技術改革中,首先要制定完善的計算機網絡法律體系,確定信息安全標準。之后在通過計算機網絡安全技術的分層處理,對計算機網絡安全進行保護,采用的技術手段主要有:1)利用數據加密技術對通訊信息內容進行加密;2)通過網絡防病毒技術實時檢測信息內容的病毒并進行處理;3)設置網絡監聽、過濾不良信息機制。計算機網絡層面技術方法有網路訪問控制、入侵檢測、防火墻等技術,在需要保護網絡和單元之間設置一個安全屏障,以便對外來信息進行安全檢測或過濾。(2)分層處理也可以從廣域網、大型局域網、中型局域網、小型局域網、TC機的角度劃分,以基礎網絡為基準,把網絡分為內網、外網、內外網之間三個部分。主要是為了解決內網和內外網之間的計算機網絡安全問題,針對每個基層網絡的特點制定不同的安全策略。
5 總結
近年來,我國三網融合建設已經具備了網絡基礎、市場空間和安全技術等發展條件。隨著三網融合的飛速發展,建設過程中的信息和網絡安全也備受關注,通過對計算機網絡安全技術的改革和創新,目前我國的三網融合安全體系已初步建立,相信未來的三網融合建設會更加穩定向前發展。
參考文獻:
[1]熊磊.三網融合下廣電網絡運營商發展戰略研究[D].華中科技大學,2012(10).
篇(4)
第一,如何反垃圾郵件?
垃圾郵件每天都消耗著CEO、CIO的寶貴時間,據較早前英國媒體報道,英國企業員工在處理垃圾郵件上平均每天要花一個小時。垃圾郵件所帶來的不僅是安全隱患,更重要的是導致員工工作效率低下。
因此,有自建郵件系統能力的大企業要加強對垃圾郵件區分以及監控;租用外包郵件系統的企業,則需選擇反垃圾郵件出色的企業郵箱服務商。筆者認為中國諾網企業全球郵值得信賴,因為企業全球郵擁有Linux CentOS release 4 5(Fianal)與McAfee uvscan for linux的高級反病毒結合。即時郵件殺毒監控,有效攔截附件中的病毒文件或者是郵件內容中的惡意代碼。及時更新垃圾郵件數據庫,每天有專人負責收集互聯網上的信息,通過篩選、分析、整改等一系列細致過程來更新垃圾郵件數據庫。
還可以通過設置策略,判斷郵件來源、郵件內容、郵件容量和類型等各項功能來實現避免對正常郵件的誤判:也可以對收到的所有郵件進行以下處理方法:“直接丟棄”、“保存在指定的郵件文件夾”、“轉發到其他郵箱”、“拒收并回復你想說的內容”或“自動回復來告訴對方你已經收到信”,最大限度地減少垃圾郵件的接收。
同時,支持IP白名單、域名白名單、發件人白名單、IP黑名單、域名黑名單、發件人黑名單等項目功能。總而言之,經過三重過濾、五重凈化,反病毒、垃圾郵件過濾率都能達到98.32%。
第二,提高邊界防御能力以及對局域網的管理
通過網絡基礎設備進行過濾、抵抗外網的攻擊,如防火墻、IPS、IDS能防范大多數的網絡攻擊,起到一定的保護作用。同時,局域網也進行安全防御,萬一某臺計算機中毒就可以避免連累整個網絡系統。局域網內計算機要及時更新個人防火墻和殺毒軟件,定時進行殺毒以及對安全漏洞進行補丁。
第三,加強公司對外信息交流的審核以及監控
企業商業機密信息泄露有可能危及到企業競爭,甚至生存,企業也應該從即時聊天、HTTP、FTP等各個出口,進行外發信息審計和監控,包括對關鍵字審計。
第四,對網絡應用進行管理
篇(5)
在三網融合的情況下,廣電的相關運營商為了進一步提高客戶的ARPU值,開始進行各種例如互動電視、寬帶上網等多項常識的增值業務。廣電網絡已經開始在傳統的廣電網絡轉變為一項綜合信息網絡,NGB也會作為三網融合下的廣電網絡的承載平臺。因為各項相關增值業務都一定要建立于雙向網絡的條件下,廣電網絡也會有原本的封閉的網絡轉變為開放式的網絡,這些轉變無疑又給了網絡安全更大的挑戰,所以廣電實際運營商能不能在它的網絡里面建設起相對可靠的安全網絡體系對于保障廣電的生存和發展都有著非常重要的作用。
一、現在廣電雙向相關網絡所面臨的安全問題
網絡安全囊括了內容層面的相關安全以及接入層面的相關安全,現今廣電的雙向HFC網絡作為一個廣播型的相關網絡,不管是應用EPON還是OMTS方案,進行網絡傳輸的相關數據都非常容易被一些黑客所截獲,所以接入終端的相關設備相關合法性以及傳輸數據的實際保密性都顯得尤為重要。
接入層的相關安全是對于接入終端相關設備的實際合法性的保證,禁止有關非法設備進行網絡接入。現今廣電運營商對于終端設備的相關認證都采取MAC相關設備的認證方式。這種認證方式對于客戶的相關操作沒有過多的要求,對用戶很友好。但是接入的MAC設備地址是可以進行修改的,有關黑客會運用多種途徑進行MAC的實際地址修改,從而假冒實際的用戶入侵網絡。所以只是通過相關MAC的設備進行認證接入有著很大的網絡安全隱患,尤其是在電視支付等相關增值業務來說。由此可見,進行可靠安全的認證接入服務,有效保證用戶的可溯源和合法性的相關研究和探討對于廣電實際運營商的增值業務發展十分有必要。
二、PKI相關技術
對于網絡安全問題進行多年的研究,已經有著一套相對完整的解決網絡安全的方案,也就是公鑰基礎設施簡稱PKI。PKI是建立在非對稱性的密鑰技術上的安全體系,它通過數字證書來進行公鑰管理,從而有效的了解密鑰的管理和分發問題,為客戶提供可靠安全的接入認證服務,有效的確保信息傳輸的不可都任性、真實性、完整性和保密性。
三、廣電雙向網絡的實際安全方案
1.接入層的相關安全
接入層的相關安全需要對于局端設備具有對接入相關終端設備自身進行認證的作用,有效的防止有關非法用戶進行網絡接入,OKI技術能夠提供可靠安全的身份認證的服務。以下進行PKI的相關認證身份方案的一些簡單介紹。
(1)用戶端的相關設備把自己所在ID傳送給了局端認證相關服務器進行接入申請,局端認證的相關服務器在接收到用戶傳送的ID之后,就要對相關用戶的實際管理系統進行確認,了解該用戶的所在ID是否是合法用戶,如果是就可以給用戶發送一個用他ID關聯的一個隨機數值N給相關用戶端,若不是就可以直接拒接相關接入。
(2)用戶端在接收到相關隨機數值N之后,要根據自己的實際私鑰對于N進行加密,之后再將加墨過的隨機數值傳送給相關局端認證的實際服務器。
(3)局端認證的相關服務器在接收到已經進行加密的數值之后,在利用該用戶的相關公鑰進行解密,再與原有的隨機數值N進行相關對比,如果一直就確認該用戶是合法用戶,就可以允許其終端相關設備能夠通過相關認證并且接入網路。否則就對于相關終端設備進行盡職接入網絡。
現在有很多的廣電運營商都在進行相關數字電視的轉換是都會對于用戶實行實名登記,并進行智能卡的配發,在智能卡中有相關用戶的私鑰存入,所以在進行雙向的相關增值業務的時候能夠利用相關智能卡的實際ID以及用戶的私鑰來進行終端設備的相關接入認證,從而有效保證網絡接入層的實際安全。
2.內容層的相關安全方案
內容曾的相關安全是為了對于所傳輸的相關數據進行安全保障。因為廣電的網絡HFC經常在網絡上進行數據傳輸的時候遭到相關黑客的接貨,所以廣電實際運營商在進行電視支付等相關廣電增值業務的時候必須要確保其信息能夠進行安全傳輸。PKI中的數字信封、數字傳輸等相關技術就是確保傳輸信息的不可否認性、真實性、完整性、保密性。
數字簽名的實際作用類似于現實中的相關個人印章或者個人簽名,用來進行簽署人的實際發生信息的相關認可,利用相關數字簽名來對于信息安全進行保護的基本方案則如圖1所示。
數字信封是保證那些僅僅特定接受方能夠進行信息讀取的相關安全技術,它對于非對稱的相關密鑰的實際加密時間以及對稱密鑰的實際分發困難問題有著有效的解決。其基本的信息安全保護的方案實施如下:
(1)發送方將需要發送的信息通過對稱密鑰進行加密,之后在用相關接收方得公鑰進行加密從而形成一個數字信封。并且將其同經過加密的相關信息一起發送給相關接收方。
(2)接收方使用自己的相關私鑰來解開設定的對稱密鑰,之后在利用對稱密鑰來將經過加密的相關信息解開。
現今數字電視的相關條件接收系統也就是運用了類似于相關數字信封的方式,由于目前的節目流的相關詩句非常大,所以通過對稱密鑰來進行加密之后再使用非對稱的相關密鑰來對于經對稱密鑰進行相關加密,之后再將其與加密的相關節目一起發送給實際的用戶端,相關用戶端就能夠先通過私鑰解開相關數字信封來得到控制字CW,之后再利用控制字對于實際節目流進行解擾。
3.數字證書的相關安全方案
通過上述分析表明,不管是內容層還是接入層的相關安全方案都需要對于公鑰以及用戶的實際用戶信息保證其一致,也就是要保證公鑰和其實際擁有者的實際信息不會被篡改和盜取,PKI技術中的相關數字證書就是將公鑰以及其實際擁有者的相關身份信息有效綁定的一個機制。
數字證書同我們現實生活中使用的身份證類似,廣電運營商在進行電視支付等相關增值業務的開展時,為了保證網上的交易實體的相關身份信息的實際真實性,確保其公鑰屬于其實際擁有者,就可以建立起自己的數字證書庫和認證機構CA,為相關服務提供商和用戶提供管理和簽發數字證書,也就是網上的相關實體的身份信息同其自身的公鑰進行綁定從而形成數字證書,確保相關數字證書不會遭到篡改。廣電實際運營商可以運用自己的實際私鑰來對于這項證書進行相關數字簽名之后在將其存入到數字證書的相關管理庫,這樣就使得每一個在網上的實體都能夠借由廣電運營商的相關數字證書的自身管理庫來進行交易雙方真實身份信息的驗證,并且還能夠得到真實的公鑰,對于相關信息進行加密、解密等相關安全應用,有效的確保各項相關業務的安全進行。
四、PKI技術采用的安全性
PKI技術所使用的公鑰技術的相關加密算法的相關安全性主要是建立在一些大數離散、分解對數等相對比較難解的一些數學問題上的,現今公約技術的算法其安全性還是比較高的。但是伴隨著信息技術和計算機能力的不斷提高,其相關算法的實際安全性必然會遭到威脅。再就是用戶私鑰的實際保存上也存在著安全威脅,不管是在內容層還是接入層,對于用戶的四月保護都是安全體系整個運營中的關鍵點所在。保護用戶私鑰目前有兩種相關方式:一是將用戶的私鑰和起進行加密的相關算法固化在配發的智能卡內部的IC芯片里面,在加密解密的整個過程都是在IC芯片內部進行和完成。在一個就是將加密算法和私鑰存在通過Ukey所謂相關代表的小型設備存儲器里面.Ukey它所使用的是EPROM的相關CPU進行芯片級別的相關操作系統,加解密的所有相關運算都會在芯片里面進行和完成。不管是應用Ukey或者智能卡作為實際的私鑰載體,都會與相關用戶端進行同村,這進行通訊的時候其內容很有可能被截獲,并且在私鑰載體內部的IC芯片也有被復制和破解的可能性,所以人們必須要對于IC芯片的防盜技術和生產工藝進行不斷的改進,并對于終端設備與私鑰載體之間的通訊實行加密保護。
五、總結
三網融合又給了廣電運營商新的發展機遇,使得廣電運營商實際承載的相關內容更為豐富,并且其網絡的實際安全性也帶來更大的挑戰。廣電相關運營商在通過對于雙向網絡改造的推進、增值業務的開展等的同時,還應該在網絡中進行網絡安全保護體系的建立,從而有效的保障網絡運營商、服務提供商以及用戶三方面的利益。
參考文獻
[1]余漢江,幸伍洲.“三屏互動”――廣電網絡的理想與彼岸[J].中國數字電視,2011(11).
[2]BOSS助力貴州廣電網絡飛躍發展 貴州廣電網絡業務運營支撐系統(BOSS)應用案例[J].中國數字電視,2011(6).
[3]山東廣電網絡:與浪潮簽訂戰略合作協議[J].中國數字電視,2012(1).
篇(6)
(一)全面提升本質安全水平
堅持一手抓安全風險管控和隱患排查治理,一手抓長效化機制建設,從增強“四個意識”、堅定“四個自信”、做到“兩個維護”的政治高度,統籌安排,明確時間進度和工作要求,抓好組織實施和督促落實,提升本質安全水平。
(二)開展安全檢查和隱患排查治理工作
充分認識日常安全檢查和隱患治理的重要性,加強源頭控制和日常隱患排查治理。加強日常安全巡查,杜絕各類事故發生。
(三)落實網絡安全工作責任制
加強網絡安全工作的統籌領導,健全網絡安全管理組織體系,壓實網絡安全主體責任,建立網絡安全考核機制加強網絡安全宣傳,增強職工網絡安全防范意識,確保公司網絡信息安全。
二、制定計劃、落實措施,確保安全生產
1.認真做好疫情防控常態化下的各項工作,嚴格落實安全生產、安全行車和疫情防控常態化責任制,安全和疫情防控責任做到層層傳遞,層層落實,始終堅持“安全第一”的思想。
2.嚴格執行操作規程、巡回檢查制度、設備管理制度,確保備機備泵完好,重要設備發生故障,及時上報、及時搶修,決不過夜。
3.加強工作管理,做好正常施工項目的監護,確保安全運行。
篇(7)
1當前網絡存在的主要安全威脅因素
1.1安全漏洞。只要有漏洞,應該就存在漏洞,幾乎每天都有新的漏洞被發現,程序設計員在修補已知漏洞時,又可能產生新的漏洞。現在各類的操作系統和應用軟件都會有不同程度的漏洞存在,雖然操作系統的無口令入口為系統開發人員帶來了便捷,但是它也成為黑客進入的通道。并且操作系統可能還存在一些隱蔽通道,給黑客以可乘之機。同時,這些操作系統中都包括了各種通用的服務供應戶使用,而它具有一定的專屬性,假如安裝時沒有關閉一些不相關的服務,就可能成為黑客進入的渠道。對于一些不懷好意的人,他們都有可能利用這些漏洞向企業網絡發起攻擊,從而使某個甚至整個網絡喪失功能,威脅到企業的網絡安全。1.2病毒感染。計算機病毒就像人體感冒發燒,也會出現相應的身體排斥的現象。在當代社會中,人們通過下載帶有病毒的軟件,讓自己的電腦在無形中感染病毒,或者在沒有查殺病毒的前提下通過U盤實行資源共享,同樣也會造成病毒感染。可以說,有計算機的地方,就有出現計算機病毒的可能性。它隨著計算機網絡技術的發展而發展,現在的計算機病毒更具有隱蔽性,其破壞性更大,傳播速度更快。當然,病毒的“毒性”不同,所產生的負面影響也就不同。輕者只會出現警告信息,重者則會破壞或危及個人計算機乃至整個企業網絡的安全。按其種類可分為一下幾種:木馬病毒,蠕蟲病毒,腳本病毒,間諜病毒。病毒往往在計算機的后臺強制運行,讓人防不勝防。1.3黑客攻擊。網絡作為一個開放式的資源共享平臺,一些重要的企業機密和很高商業價值的文件成為黑客的攻擊對象,它往往決定著一些企業的生存命脈,競爭對手往往會盯住了這部分商機,通過黑客的力量進行網絡攻擊得到資源。非法入侵企業網絡系統,不管動機是什么,對企業的網絡安全危害都是非常大的。黑客故意篡改網絡信息,利用企業機密文件進行不法交易和冒充,干擾破壞數據加密過程中的信息互通,這些行為嚴重影響網絡安全的行為,成為企業信息化、網絡化發展的最大阻礙。1.4內部竊取和破壞。內部人員對網絡系統可能會造成以下威脅:內部人員有意或無意泄密,更改信息記錄;內部非授權人員有意或無意偷盜機密文件,更改網絡配置和記錄信息;內部人員破壞網絡系統。1.5其他威脅。對網絡系統的的威脅還包括電磁泄漏、設備失效、線路阻斷、停電、操作失誤。
2計算機網絡安全的措施
2.1安裝防火墻。防火墻作為計算機網絡安全技術,已經廣泛應用到企業當中。防火墻技術可以從根本上防范和控制計算機病毒。現階段,防火墻可分為兩種形式:應用級防火墻和包過濾防火墻。應用性防火墻可以保護服務器的安全,通過掃描服務器終端的數據,發現異常數據對計算機的攻擊后,及時斷開企業網與服務器的聯系,來保護企業網不受病毒的侵害。包過濾防火墻通過及時過濾路由器傳輸給計算機的數據,阻擋病毒進入計算機,并通知計算機用戶對病毒進行攔截,保護企業網的安全。2.2數據加密。數據加密技術是保證企業網絡安全的另一計算機安全技術。該項技術可以對企業網內的數據信息進行加密,在數據傳輸和接收時必須要輸入正確的密碼,從技術上提高了企業數據信息的安全。所以,企業如果想要保證和提高其數據信息的安全,必須在企業網中加強對數據加密技術的使用,數據加密通常會用到以下兩種算法,一是對稱加密算法,即保持加密方法和解密方法的一致;二是非對稱加密算法,即加密方法和解密方法的不一致性,以上兩種加密方法已經廣泛應用到企業當中2.3病毒查殺。及時進行病毒查殺也是提高企業網的網絡安全的另一方法。計算機病毒對計算及終端設備和計算機網絡的危害極大,可能會造成網頁腳本病毒、計算機數據信息被盜或丟失、計算機系統癱瘓等,使用病毒查殺軟件可以及時檢測和更新計算機的操作系統,修補系統漏洞、對網頁病毒進行攔截,更新病毒數據庫信息,對下載的文件等進行病毒查殺后在進行查看和使用,以防止計算機病毒對計算及終端設備的損害2.4入侵檢測。入侵檢測對企業網的安全有非常重要的意義,它會在不影響企業網絡正常運行的情況下,對網絡運行的情況進行檢測,入侵檢測不僅可以收集計算機相關的數據信息,而且還可以對計算機內可能存在的侵害進行自動尋找,在計算機受到侵害時,它會對計算機用戶發出警報,并切斷入侵的途徑,對其進行攔截,所以,入侵檢測技術可以加強計算機的抗攻擊性。入侵檢測技術包括誤用檢測和異常檢測。誤用檢測誤報率低,響應快,而異常檢測的誤報率高,檢測時需要全盤掃描計算機,兩種入侵檢測均需要較長的檢測時間。2.5企業內部加強網絡信息安全的規章制度的建立。企業根據其實際情況,遵照相關的規定,制定出符合本公司的全面規范,切實可行的安全管理制度。例如:計算機日常使用規范、崗位責任制度、責任追究制度、崗位責任制度等,管理制度中應明確描述出所有信息技術人員以及信息系統使用人員的網絡信息安全職責和信息系統的使用規范,規范網絡信息系統規范流程,減少人為操作失誤。通過規章制度的建設,以制度管人,靠制度管事,為企業網絡安全建立強有力的依據和有效的保障。2.6加強網絡安全考核力度。企業不僅建立網絡信息安全的規章制度,還應實行網絡信息安全考核制度,采取適合企業自身的考核方式,使規章制度的制定落到實處,而不是形同虛設。把網絡信息安全作為企業員工年終考核的重要指標之一。在檢查到有違反其相關制度或網絡安全事件發生后,負責網絡信息安全的監督部門應對相關事件的發生原因,嚴重程度,損失,性質等進行調查確認,形成分析評價資料,對其責任人進行相應的處罰2.7環境、設備及介質安全。檢測機房及相關設備是否安全;觀察環境與人員是否安全,預防自然災害。考慮計算機的防盜、防毀、防電磁泄漏發射、抗電磁干擾及電源保護等。防止媒體自身的防盜、防毀、防霉,以及數據的盜取、破壞或非法使用。
3結語
企業信息化建設已經成為這個時代不可或缺的產物,為各個企業帶來了極大的便利,它是企業發展的必要條件,也是企業發展的必要前提。所以在市場經濟發展的今天,企業想要在激烈的市場競爭中取得優勢,就必須大力發展其網絡文化,當然在發展企業網絡的同時,還應加強對網絡安全的管理,提高企業網絡系統的安全性,以提高企業的效益。
參考文獻
[1]韓加軍.企事業及政府機關單位網絡安全解決方案[J].科技風,2013
[2]李長英.企業內部網絡的規劃設計與實現[D].吉林大學,2013
篇(8)
當今,由于網絡技術的不斷更新,對局域網絡進行攻擊的手段也是層出不窮,但最為普遍的攻擊手段還是拒絕服務攻擊。它的攻擊方式是通過向用戶主機、網絡服務器、路由器、交換機等網絡設備發送大量的、超過設備處理能力的數據,占用設備資源,導致設備不能提供服務,使用戶無法訪問所需信息。
一、從技術方面
(1)安裝防病毒軟件及防火墻
用戶應該在局域網絡內可能感染和傳播病毒的區域安裝相應的防病毒軟件,使局域網內的計算機不被病毒感染,不成為病毒的傳播源,不使病毒在自身發作。同時,為了便于實施和管理局域網的防病毒系統,防病毒軟件應該能夠實現集中管理、遠程安裝、遠程報警、智能升級、分布查殺等多種功能。
防火墻是由軟、硬件組成,在網與網之間建立一個安全的關隘,保護局域內的用戶免受非法用戶的侵害。它將局域網內、外區域有效的分離,強化網絡安全策略,集中有效的管理信息流,是局域網邊緣的“衛兵”。用戶應當安裝防火墻,它可以有效地阻止非法用戶對局域網內的訪問,保護局域網的安全。
(2)使用虛擬局域網技術
用戶應當使用虛擬局域網技術,將局域網內各工作站按照不同的應用業務和不同的安全級別邏輯的劃分為多個網段,局域網絡中相同類型的用戶劃分在同一網段與其他類型的用戶相隔離,并且段與段之間用戶的訪問要有一定的限制,以實現控制用戶非法訪問的目的,增強局域網的安全性。
(3)采用網絡內容過濾技術
采用網絡內容過濾技術能有效屏蔽網絡中傳播的不良信息,使局域網內用戶上網的行為得到規范,且能夠最大限度地阻止病毒對局域網的危害,增強局域網的安全性。
(4)使用網絡安全掃描及安全評估工具
該工具是根據已知的安全漏洞數據庫,對局域網內容易產生安全隱患的軟、硬件進行掃描檢查,在發現與之匹配的安全漏洞時,將所發現的問題向用戶報告,并向其提供安全建議,從而增強局域網的安全性。它具有及時發現漏洞、評估風險等級、提供修改建議等作用,是一種主動式的安全防護措施。
(5)使用入侵檢測技術
它通過實時地監測局域網內的關鍵設備,監控用戶的上網行為、上網所產生的數據流量,形成日志對其進行分析,從中發現危害局域網絡安全的行為,及時報警做出響應,使管理員實時了解網絡系統的運行狀態。入侵檢測技術與防火墻技術、網絡安全掃描技術及安全評估工具共同建立起了一個高級別的局域網絡安全系統。
二、從管理方面
(1)在局域網內、外接口處配置統一、具有完整系統的網絡安全控制和監管設備,對局域網出口進行規范管理,是形成局域網絡安全系統的基礎。
(2)建立局域網內統一的上網身份認證系統,能夠有效阻止非法用戶的訪問,減少其對局域網絡的危害,同時也能起到在局域網絡出現安全問題時,迅速地找到導致問題出現的用戶,從根本上杜絕產生安全隱患的作用。
篇(9)
2運行環境安全
在終端計算機安全防護體系建設中,運行環境至關重要。運行環境主要有物理環境、網絡環境等。本文主要介紹網絡環境,在網絡環境中給終端計算機加幾把鎖,把握其方向軌跡和動態。
2.1IP地址固定
在網絡中,IP地址固定可以解決信息安全事故溯源、IP地址沖突、準確掌握上網計算機數量等問題。實施中通過管理和技術相結合的辦法,技術上在網絡設備里通過DHCPSnooping和A-CL列表,實現IP和MAC地址綁定。
2.2控制上互聯網計算機
因工作性質和安全考慮,部分終端計算機僅處理企業內部業務不需上互聯網。因此加大終端計算機上互聯網權限審核力度,技術上實施是在IP地址固定的前提下,在網絡設備通過訪問控制列表ACL或者互聯網出口安全設備里進行配置。
2.3部署準入設備
為保證網絡安全,在網絡邊界或內部部署準入設備,設立終端計算機入網規則,如必須安裝企業桌面安全軟件和配置安全基線等等,通過進程檢測合規后入網或可訪問關鍵業務。
2.4部署內容審計系統
在互聯網出口邊界部署內容審計系統,在線對終端計算機訪問互聯網的行為進行2~7層的識別,可進行關鍵字的設置過濾、URL過濾,對于計算機的互聯網行為做到可控制、可管理、可審計,以保證網絡信息的安全。
2.5部署服務器
為保證終端計算機上網安全,一般建議在互聯網出口設置服務器,用戶通過服務器訪問互聯網。通過服務器訪問互聯網可以提高訪問速度,方便對用戶行為進行管理和審計,起到防火墻作用,保護局域網安全。
3安全管理
三分技術七分管理,是終端計算機安全防護體系建設的準繩。在自身系統和運行環境建設中,技術操作都是通過管理來實施的,因此形成一套安全管理機制并始終貫徹運行,是十分重要的。
3.1建立終端計算機管理制度
建立終端計算機管理制度也是終端計算機安全防護體系建設的組成部分和重要措施,如《計算機信息系統管理》《計算機安全管理實施細則》《計算機工作考核評比細則》《計算機保密管理規定》《信息化考核體系》等都是非常重要的制度,通過建立健全這些制度,形成信息化考核機制,使得終端計算機安全工作有章可循。
3.2提高計算機安全管理的力度和深度
在企業計算機安全管理管理中,管理人員首先要提高各級領導和員工網絡安全重視程度,其次定期通過各種手段完成終端計算機安全檢查工作,如通過桌面安全系統、審計系統檢查計算機違規行為,根據規定實施處罰等,最后安全管理人員要主動識別和評估安全風險,制定和落實安全整改措施,確保終端計算機持續安全穩定運行。
3.3建設完整的計算機實名庫
通過建設終端計算機實名庫,掌握計算機管理動態,實現計算機資產管理,給領導提供決策依據。實名庫建設可采用各單位簽字蓋章上報、在桌面安全管理系統里注冊、定期現場抽查等,從而完成終端計算機實名庫的建設。
3.4建立網絡建設標準
通過網絡建設標準的建立,保障終端計算機安全運行環境,也加強了桌面安全防護體系在網絡體系建設中的作用。
3.5建設一支過硬的信息化隊伍
在企業中,建立信息安全組織架構、明確組織責任、設置相應崗位,建立一支過硬的專業信息化安全隊伍,切實加強計算機管理、維護終端計算機安全。
篇(10)
一、 自查工作的組織開展情況
根據濟南市辦關于開展網絡信息安全考核的通知精神,我單位積極組織落實,對網絡安全基礎設施建設情況、網絡安全防范技術情況及網絡信息安全保密管理情況進行了自查,對我單位的網絡信息安全建設進行了深刻的剖析。
學校信息化建設基本情況
萊蕪區雪野街道辦事處中心小學,座落在美麗的雪野旅風景區。歷經13年合并西峪河南小學、大廠小學、北欒宮小學、南欒宮小學組建新的中心小學。學校現輻射省扶貧村莊5個,涉及扶貧學生人數:125人 ,占比:27%。目前,在校學生 634名;43名教師都具備大專及以上學歷。多年來,在上級部門的扶貧支持下,我校信息化建設有了飛躍提升,學校擁有2個50座網絡計算機教室, 45臺教師用計算機,50套教師用智能平板,180套學生用智能平板(配備了4個教學班),并且實現了智能平板與智能黑板的無線連接。6臺辦公用機,生機比為11:1,師機比達到1:1。學校有20套多媒體電子白板設備,15臺智慧教室互動黑板,普通教室、學科專用教室、會議室均配備了現代化多媒體教學設備。學校建高標準錄播室1個,錄播系統功能完善。互聯網100MB光纖接入,教學辦公實現了自動化、網絡化、信息化。學校建設了寬帶數字化校園網絡、學校網站、智能廣播系統、監控系統、視頻會議系統。
學校有各種教學光盤超過150GB,有教師自制課件光盤15GB,學校信息網擁有各學科教學資源超過100GB,教師在學校網站上可自己的博客,實現與校內外教師的交流與學習。
為推動學校課堂教學改革深化發展,全面提升課堂教學質量,打造精品課程,促進教師成長,我校于2014年2月建立了電子錄課教室。錄課室采用一機雙模錄播設備,既支持全自動錄制方式,也支持半自動和手動人工導方式。錄課室在天花板上分別設有6個聲音采集器。錄課室投入使用后,因為其具有抗干擾,使用方便,跟蹤切換靈活的特點,一直受到老師們的青睞。錄課室實現了同步錄制、實時直播、在線點播、自動跟蹤、多方交互、后期編輯等多種功能于一身,它讓在錄課室外看課的教師隨機點評無拘束,也讓室內上課的教師和學生積極投入無負擔。在歷年度的“一師一優課一課一名師”活動中,我校所有教師的課都是在錄課室進行錄制的。效果非常好,幾位教師的課也脫穎而出。錄課室的使用也提高了教師的信息技術水平。
在這些先進設備的使用中,智慧黑板、電子白板設備的使用,得到了最大化的運用,這也大大提高了教師的教育教學能力及教學效果,學生學習積極性也得到提高,接受知識的方法正逐步向多元化發展。
學校現配有1名專職信息技術教師,信息化設備使用率高,設備完好率達到95%以上.
信息化“三通”建設情況
1.微機室更新建設
2013年11月,政府投入扶貧資金 40萬元,為我校配備當時新款聯想臺式機的微機室。全新的微機室配備50臺學生機,1 臺教師機,架構了100兆網絡。2018年合并幾處小學,組建了學校的電子閱覽室,配備50臺學生機,1 臺教師機,架構了100兆網絡。
2.“班班通”工程建設
2013年11月,為實施“班班通”工程建設,政府投入扶貧專項資金40萬元,為 20個教學班全部配齊校園網終端計算機,配置了20塊交互式電子白板配置EPSON D290教育用液晶投影儀。2016年在新教學樓啟用之前投資148萬元用于內部配套,購進15套智能黑板。在教學和學習中學空間、用空間,發揮教育信息化的強大功能,進一步提升了信息技術與課程融合的深度和廣度,助力全校智慧教育快速發展。
3.“校校通”工程建設
我校現已經安裝100兆帶寬聯通公司光纖設備與外網相連,實現了校園網與雪野教育系統局域網、互聯網的連接。與上級主管部門、兄弟學校之間構成了“校校通”。時時網上接收通知,網絡報送。節省了時間,提高了辦事速度效率和準確率。
4.“人人通”工程建設
學校就強化網絡安全和做好教育信息化工作的重要意義提出了明確要求,通過校本培訓,老師們就空間基礎架構、各大板塊功能、后臺數據搭建、資源建設應用等與學生進行了認真學習,并在開通和應用方面的操作技能也得到提高。廣大教師和學生開通空間,充分感受利用空間開展教學、學習和互通交流帶來的便利。
二、 網絡安全等級保護工作開展情況
學校的網絡未開展網絡安全等級認定工作。但成立中心小學網絡安全領導小組,成立由校長任組長,安全委員任副組長,班主任任安全員的領導機構。
三、關鍵信息基礎設施安全保護工作開展情況
學校已經制定安全建設整改方案,對關鍵信息基礎設施進行了防護,保證每一臺電腦自帶防護措施。關鍵網站,密碼由專人管理。網站關鍵信息基礎設施已加軟件防護。
四、網絡與信息安全信息通報工作開展情況
已就網絡與信息安全信息通報工作開通了網絡安全事件預警機制,做到了人盡其責,形成了機制。
五、網絡安全防護類平臺建設工作開展情況
學校就網絡安全防護類制度已全部制定。形成人人有責,人人有任。制定了微機室、電子閱覽室制度、網絡運行運維制度。形成的制度規范成體系。
六、當前網絡安全方面存在的突出問題
1、學校各類人員就網絡安全意識還有欠缺。
2、設備防護缺乏專業化的指導,各種防護知識有欠缺。
七、下一步網絡安全工作計劃
