【关键词】电网通信安全防护技术问题需求
电力通信网为专用通信网络,作用是为电力系统的生产、经营、管理、数据采集和调度等信息和数据的基础网络,电网能否安全可靠的运行直接关系到电网的稳定性。为了确保电网的顺利安全运行,需要采取多种安全维护方式,包括数据的加密和备份、防火墙、病毒入侵检测和防病毒措施等。电网的稳定对国家能源战略也有着非常大的影响。电网的不断扩大,特别是特高压电网、智能化电网的建设和发展,电网的作用更加显著。因此,了解电力通信网自身的特点,确保其运行安全并支撑着电网智能化的发展需要,并指导电力通信网的安全防护体系的构建。
1电力通信网的特点
作为服务电力行业的专用通信网络,电力通信网的网络结构、服务对象和业务需要均和公网运营商不同。公网的服务对象为社会大众,其业务包括语音、图像和数据等信息的疏送。公网致力于提供高质量的通信服务,便利的电网接入,因此这些运营商大多建立在人口较为密集的区域。公网由于建设时间早,随着多年的不断完善和发展,逐渐形成科学合理的网络架构,且公网运营商非常明确其服务目标和管理内容,业务量的大量增加也促进了相应通信技术的发展。相应的,公网的安全防护水平也不断提高,目前已建立较完善的规范和标准体系。公网将网络结构的安全等级、风险评估、数据备份和恢复等进行结合,并对互联网、电信网、固网、支撑网和接入网等网络实行安全防护措施。
但电力通信网为专门服务电力通信系统的网络,用于电网的生产、经营和调度及电网管理等活动进行的数据通信。电力通信网的建设受线路、变电站和电厂的布局所限制。与公网不同,此网络常位于偏远地区,实时监测变电站和电力线路的运行状态,以使电力系统能够稳定运行。电网的不断扩大,促进了电力通信网的扩大发展,复杂度也随之提高,因而其安全防护技术的研究非常重要。不像公网具备较为完善的安全防护技术,电力通信网的安全防护技术较为薄弱,未形成相应的科学合理的规范和防护体系。所以,电力通信网的安全防护技术值得更加深入的研究。
2电力通信网安全防护措施中存在的问题
电力通信网的不断扩大发展,逐渐成为支撑着调度自动化、运营市场化和管理信息化的发展模式。电力通信网为一个大而完整的网络,各个部分相互联系与作用,任一部位出现故障都将对整个电力通信网的服务质量造成影响,严重的话还将威胁到电网自身的安全可靠运行。目前,我国已开展了许多电力通信、电网安全性等方面的相关研究,并获得了许多进展。但是电力通信网的安全防护技术尚未成熟,还存在许多问题,现介绍如下:
2.1安全防护措施未形成统一标准
尽管,目前已经存在一些安全防护标准和规范,但大多为企业内部规定的标准和规范。由于这些标准与建立标准的企业利益息息相关,局限性强,难以作为统一的标准应用于整个电力系统,也不利于安全防护系统的长足发展。
2.2缺少有效的评估方法
尽管安全防护方法不断涌现,但是安全防护能力的评估方法却存在许多争议。安全评估方法的缺乏,安全防护能力的评价指标也错综复杂,无法准确、合理的评估电力通信系统的安全防护能力。
2.3未能合理规划安全防护措施
电力通信网的防护偏重于电网运行和组织管理等方面,而未能合理、科学的规划安全防护措施。也就是,在安全防护工作的安排中忽视了防护策略的重要作用,而使防护方案较为紊乱,未能形成清晰的脉络。可以采用加大检修力度、查错排错,排除隐患。
2.4安全防护覆盖范围不够全面
我国电力通信网络的安全防护过度关注传输网和业务网,而较少关注接入网和支撑网的安全防护。由于任一部分电力通信网出现故障将影响到全网的通信服务,因此安全全面的防护措施,确保电力通信网全面的受保护很有必要。
2.5物理安全防护措施被忽略
电力通信网的安全防护措施对业务保障和维护通信设施等方面较为重视。但是物理安全防护措施的重要性也不容忽视,如实施板卡、电源和路由器等三种备份方式确保业务可靠承载。
3电力通信网安全防护需求
为了确保电力通信网络能够安全可靠运行,构建良好的安全防护体系的前提是我们明确电力系统的安全防范需求,主要有以下几点:(1)对电力通信网络的安全层级进行划分,理解安全防护的概念。
(2)了解各个层级的防护方式和对象,构建完善的安全防护体系,并系统性的实施安全保障行为。
(3)构建各层级的管理机制,使工作流程与管理都标准统一化,形成安全运维的管理方式。
(4)提高职工培训力度,优化考核方式。5)加强应对自然灾害的应急处理能力。
(5)安全管理平台统一化,实现告警、关联、响应和监控的集中管理。
4总结
本文首先分析了目前我国电力通信网的特点,并分析得到其安全防护技术覆盖面窄、系统性不强的缺陷。为全面促进电网安全性能的提升,应加强接入网和支撑网的安全防护,并对每个网络的安全防护进行等级划分,有针对性的制定安全防范标准,同时从电网组织、运行和策略几个方面完善防护管理工作,并优化评价方法和评价指标,以全面促进安全防范技术水平的提高。
参考文献
[1]苗新,陈希.电力通信网安全体系架构[J].电力系统通信,2012,33(231):34-38.
[2]王乘恩,黄红忠.电力通信网监测系统的安全防御体系研究[J].系统安全,2011,10(20):47,107.
[3]梁毅强.电力通信网的安全维护与管理措施[J].企业技术开发,2010,29(15):22-23.
[4]高会生,孙逸群,冉静学.电力光纤保护通道安全风险评估指标的研究[J].继电器,2007(03).
[关键词]烟草企业;网络安全防护;体系建设
doi:10.3969/j.issn.1673-0194.2016.24.028
[中图分类号]TP393.08[文献标识码]A[文章编号]1673-0194(2016)24-00-02
随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此,越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。
1威胁烟草企业网络信息体系安全的因素
受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。
1.1人为因素
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。
1.2软硬件因素
网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。
1.3结构性因素
烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。
2烟草企业网络安全防护体系建设现状
烟草企业网络安全防护体系建设,仍然存在着很多不容忽视的问题,亟待引起高度关注。
2.1业务应用集成整合不足
不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。
2.2信息化建设特征不够明显
网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。
2.3安全运维保障能力不足
缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。
3加强烟草企业网络安全防护体系建设的策略
烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。
3.1遵循网络防护基本原则
烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。
3.2合理确定网络安全区域
烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。
3.3大力推行动态防护措施
根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。
3.4构建专业防护人才队伍
人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。
3.5提升员工安全防护意识
技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。
4结语
烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战,以实事求是的态度,大力依托信息网络安全技术,构建更为安全的防护体系,为企业做大做强奠定坚实的基础。
主要参考文献
[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).
关键词:网络信息;安全防护体系;管理
中图分类号:G633.67文献标识码:B文章编号:1672-1578(2015)06-0142-01
近年来,科学技术的发展越来越快,信息化的时代已经到来,互联网技术与我们生活的联系也越来越紧密。信息技术已经涉及到我们的衣食住行各个方面,成为人们生活的重要组成部分。可是,网络是一种开放的资源,我们的个人信息很容易通过互联网途径泄露,被不法分子利用。因此,保证信息网络系统的安全变得愈加重要。我们要构建一个网络信息安全防护体系,有效解决网络安全威胁带来的问题。
1.网络信息安全内容
网络上的资源,举凡从个人电脑或伺服器上的扫毒的能力、编码、解码的能力、防火墙的设备、IDS/IPS的节点、具有追踪等功能的路由器、具有封包转送的节点及封包过滤器等资源,都可视为可用于防范网络安全的资源。但如何整合网络上可用于防御网络安全的各种资源,并可依需求的运用整合的资源,来解决网络安全的问题,实为一重要挑战。
2.构建网络信息的安全防护体系的策略
2.1完善网络的防火墙功能。为方便参与的协防节点,可以轻易的应用所开发的平台,执行或开发新的协防应用程式,我们设计以命令来执行的协防程式,使用者可利用所提供的平台,以命令列的方式进行服务、要求执行使用者所设计的网络协防程式。另外,亦提供将协防的服务资源,以动态连接(DLL)的方式存在,让使用者可以利用现有的协防服务,开发新的网络协防程式。最后,我们实作了封包转送、监督及过滤等资源服务,用来开发一个可追踪攻击来源的网络协防应用程式。
2.2加强杀毒软件的安装。在计算机上安装杀毒软件,是保护好网络信息安全一项必不可少的措施。杀毒软件既可以叫做防毒软件,还可叫做反病毒软件,其作用是一种安全防护软件,可以查找并消除电脑病毒、恶意软件和特洛伊木马。杀毒软件是把许多功能集中于一体,主要包括对计算机的实时监控、对病毒的扫描与清除、自动更新病毒库以及自动更新等,目前有一些杀毒软件还带有数据上传与恢复的功能。计算机的防御系统主要是由防火墙、杀毒软件、恶意软件查杀程序和入侵防御系统等构成,杀毒软件是计算机防御系统中极其重要的一部分。
2.3对虚拟专用网络进行加强。虚拟专用网络主要由隧道技术、加解密技术和密钥管理技术构成。隧道技术指的是在使用隧道传递数据的过程中,这些数据可以是不同协议的数据包或帧。有些移动用户已经被隧道技术允许授权,加上已授权的非移动用户,他们在浏览企业网络数据信息时,没有时间和IP地址的限制。加密技术作为一个相当成熟的数据通信,已经被广泛的应用在互联网数据传递中。为了保证未授权的用户不能获得相关的网络信息,加密技术是必不可少的一项措施。密钥管理技术有效保证了在网络上传递的数据的安全性,不被轻易窃取。现阶段的密钥管理技术主要被分为两类-ISAKMP/OAKIEY和SKIP。其中前者有公用和私用之分,后者则主要是在网络上传输的密钥。
2.4完善网络信息安全机制。若有两部电脑甲、乙及闸道伺服器丙。甲为被监听主机,乙是监听主机,甲正在对外部主机传送信息,如果它们所连接的设备是Switch,在正常环境下,甲传送给丙的封包会透过Switch,将甲的封包直接传送给丙,而回应给甲的封包会由丙直接传送给甲,所以甲传送的对外封包对乙而言是接收?到的。此时乙执?ARP欺骗服务,透过伪造的ARP封包,告诉甲?Gateway的MAC位址是乙的MAC位址,而甲收到这样的ARP封包时,会更新ARPCache里Gateway的MAC位址。此时甲再传送封包至外部网路时,其封包的MAC位址就会填入乙所属的MAC位址,封包传送路径就会由原先的甲传送给丙,变成甲先传送给乙,由乙再传给丙。此时乙就可以正常的监听甲的封包。以解决无法收到封包的问题。
2.5加强网络的安全管理。从日前的数据来看,超过百分之六十的信息安全出现了问题都归咎于管理方面。在安全管理网络信息系统上有三个原则:职责分离原则、任期有限原则以及多人负责原则。加强网络的安全管理不但要求管理网络的人员提高其监督意识,让使用人员的安全意识得以加强,还要对计算机的系统设置口令,非专业人员不得访问。网络管理人员也要做到尽职尽责,按照自己的职责与权限,对不同的系统设置不同的口令,在操作的过程中要保证其合法性,严格限制有些用户对网络资源进行非法的访问和使用。
2.6加强法律法规的宣传。根据现阶段的统计,我国正在使用的国际国内信息安全相关的准则有一百多条。信息安全保障体系是在网络信息安全标准的基础上建立的,保证了政府能够对网络进行合理有效的宏观调控。目前,信息安全起着至关重要的作用,没有网络信息安全,国家的利益和人民的安全便得不到保证。网络信息安全有利于产品实现互相操作和互相连接,是网络安全产品更加可信。现如今,由于网络不安全所产生的问题越来越多,网络违法的行为时常发生在我们身边,有些甚至因为网络纠纷而闹到了法庭。因此,必须加强与网络相关的法律法规的宣传,保证网络能在健康的环境下运行,切实保障国家和人民的利益得以实现。当我们遇到网络信息安全的纠纷时,必须走法律的途径,用法律的手段维护自身利益,打击网络违法犯罪行为。
3.结束语
随着社会的不断发展,网络在我们生活中所扮演的角色将会越来越多。我们生活在网络信息的社会中,很多信息都能通过网络所传递,这已经成为了当今社会传递信息的一种主要手段。网络信息的安全防护不是针对单一方面的安全防护,它要保证整个网络系统的安全不被威胁。当前,科技的更新速度越来越快,针对网络数据进行攻击的不安全因素也变得越来越复杂。因此,我们必须付诸于行动,构建网络安全防护体系,同危害网络信息安全的行为作斗争。
参考文献:
[1]彭B,高B.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011,39(1):121-124,178.
关键词:企业;计算机网络;安全防御体系;构建
中图分类号:TP393.08文献标识码:A文章编号:1674-7712(2012)16-0054-01
计算机网络的高效、便捷、快速等各项特征,使得企业在当前时期开展各项工作时获得了极大的助益,但是,与此同时,网络应用所固有的一些安全隐患也引发了企业的重视,不管是外部环境还是内部系统问题,都会将网络置于危险的境地,从而对企业造成程度不等的损失。因此,为计算机网络在工作中的应用构筑完善的防御体系,成为当前时期企业管理活动的又一重要内容。近年来,企业纷纷针对此项工作采取了充分的措施,并为安全防御体系这一工作积累了诸多的经验。
一、企业为计算机网络构筑安全防御体系的问题
计算机网络在企业中的应用面临着人员故意破坏、操作失误、设备运行故障、系统遭遇病毒木马等恶意入侵、网络线路损伤、外部环境磁干扰及雷击等诸多的安全威胁,每一项问题都会使企业正常的工作受到不良影响,因此,企业必须为网络构筑有效的安防体系。其构筑工作应当注意以两个大的问题:
首先,企业构筑安全防御体系应当将内部网络与外部网络进行分离的应用,做好对于网络流量的保护与控制,并且,为网络信息系统划分安全等级,以各个安全域作为载体实施安全管理。同时,企业还要利用防火墙、病毒网关、访问控制(网络授权、身份认证、网络密钥等)、故障的实时动态监测与隔离技术等对网络各个环节进行全面的安全保护,还要利用日志系统做好对于网络安全防御工作的日志记录与管理。
其次,企业对于网络安全体系的架构,要转变原有的单一平面结构,致力于构筑多样的层次化的结构体系,对企业所有工作进行属性划分,以办公网、日常应用网、生产网、外部服务网等几层机构构筑全面的独立的不同级别的安全管理。同时,要尽可能地利用高效屏蔽技术将内部网络与外部网络隔离开来,避免二者在运行过程中相互渗透和影响,并且为各层次结构的边界区域增加控制措施点的布设,切实地将各网络之间的信息流通置于可控状态。
二、企业为计算机网络进行安全防御体系构建的内容
安全防御体系一般包括路由器、交换机、安全防护这三个层面的内容,其中最后一项又包括了致力于实现网络安全的监测技术、隔离技术、授权与认证技术、防火墙技术、病毒防护体系与操作系统维护措施等几个方面。本文下面就具体地对这些方面加以分析:
(一)路由器与交换机
计算机网络安防体系一般都是由路由器与交换机两种关键因素共同布设的,其中前者为安防体系的第一道防护屏障,后者则为核心屏障,二者共同发挥作用为计算机网络尤其是局域网进行安全防御。
1.路由器。路由器作为安防体系第一层的结构设备,同时也是体系架构的边界防护,入侵者要想对网络进行非法入侵,首先就要对路由器进行攻击,突破其防线。因此,企业要为路由器设置全面完善的过滤规则,并根据网络问题的发生不断地对此规则加以补充,以切实地达到对于非法服务请求和IP地址的屏蔽。
2.交换机。交换机是安防体系架构的核心,它主要是用来对各种访问请求进行控制,并实施安全的信息交换功能。其中访问请求控制的实现主要是以ACL控制列表来实施,用户数据包展现的源地址端口、目的地址及端口、协议等各项因素,都要经过列表的筛选以及过滤。
(二)安全防护各项技术
1.监测技术。目前应用于网络行为监测工作的技术主要是入侵监测系统,企业通过为计算机网络关键部位设置此系统,能够在用户设置的监测规则指引下,扫描并监测各种端口,进而对各种异常访问行为实施动态的监控、捕捉以及报警,最终达到对于网络的安全防御。但是,它在当前的应用容易出现对于某些正常行为的监测与抵制,影响到正常应用的效果,一般要和其他的技术进行配合使用。
2.隔离技术。企业一般利用网闸(即物理隔离、信息交换)来开展,它会在企业应用外部网络服务系统时,对内部网络实施保护,通过将内部网络与其他的不可信网络实施物理的隔离,同时及时破除某些攻击性的行为,避免外部网络影响到内部网络的安全。
3.授权与认证技术。此种技术大致包括数据加密、数字签名认证以及漏洞控制这样几类,前者是企业通过对某些重要的数据资料进行强化的加密处理,以避免安全事故的发生,而数字签名则是要利用数字证书对各项文件资料进行签名与认证,使文件资料得以完整存储,并避免源发送者故意不承认所发送的信息。
4.防火墙技术。防火墙是当前应用于网络安全保护最普遍的技术,它通过以固定的访问控制尺度作为标准,对网络进行设置,进而将可以访问和不可以访问的数据与IP地址加以区分,从而将可以访问的数据及地址纳入本身的防御系统中,将其与其他的用户隔离开来,避免非法访问的用户入侵网络,使网络信息免于遭受恶意修改或其他破坏行为的威胁。
5.病毒防护与操作系统维护。企业可以利用网络上本身有的杀毒软件,与自身所选择的系统病毒诊断工具加以连接应用,以构筑有效的防止病毒的体系,进而有针对性地实现对于病毒的监测与抵御。而且,企业要为网络加设漏洞管理的服务器,并在日常应用中及时关闭那些不常使用或不使用的端口以及服务器,及时地清理磁盘,进而保证操作系统的安全。
三、结语
企业在当前时期针对计算机网络的使用构筑安全防御体系,已经成为其自身健康发展所必须落实的一项工作,因此,管理人员要加强对于此问题的重视,并着力完善体系的构建。
参考文献:
[1]杨永刚.计算机网络安全技术的影响因素与防范措施[J].中国管理信息化,2010,18.
一、高校校园网络存在的问题
1.信息安全危机四伏
目前校园网络处于内忧外患的境地。从外部环境来看,信息网络安全总体情况不太乐观,互联网地下经济促使病毒泛滥,病毒变种迅速得难以控制,多种技术配合进行攻击欺骗,移动介质蠕虫传染后下载木马程序频繁;从内部环境来看,安全意识薄弱使得网络攻击更加猖獗,学校学生或扮演黑客角色或感染病毒发展僵尸网络。网络在学校里被用得很充分,特别是一些新的应用,更是在校园网中层出不穷。
2.网络信息安全意识淡薄
在网络技术普及以后,网络安全受到的威胁系数增大。由于师生安全意识薄弱,对安全、技术一无所知的人比比皆是。这种状况直接构成了高校网络安全的隐患。有些校园网络用户从未安装杀毒软件,或者装后就没有再升级,往往在机器中毒后才急忙找对策。还有不少校园网用户,对于账号或是邮件密码的设定不重视,黑客要入侵计算机、破译不费吹灰之力。正是由于校园用户群体对网络安全不够重视,因而不能充分认识到网络安全遭到威胁后所带来的严重后果。
3.网络安全防护系统不完善,保护措施不力
很多高校对计算机网络建设普遍存在重技术、轻安全、轻管理的问题,对网络安全所需的软件、硬件设施上投入严重不足。并且很多高校没有专门的管理机构,没有定期对师生进行安全防护教育的管理部门,安全防护职责不明确,一遇到问题就互相埋怨,推脱责任。另外,由于办学经费紧张不能持续投入大量资金改善网络安全的软、硬件设施,也使得加强高校网络安全的措施无法到位。
二、高校校园网网络安全体系的构建
1.配置安全的系统服务器平台
安全的系统服务器是网络安全的基点,利用系统本地安全策略构建一个相对安全的防护林,对于校园网来说至关重要。具体措施包括:设置禁用,构建第一道防线;设置IIS,构建第二道防线;运用扫描程序,堵住安全漏洞;封锁端口,全面构建防线。
2.技术保证
目前,网络安全的技术主要包括杀毒软件、防火墙技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。技术保证包括以下一些技术措施。
(1)防火墙是校园网信息安全保障的核心点,它负责校园网中最根本的信息服务系统的安全。通过部署防火墙,实施严格的数据流监控,同时在防火墙和服务系统上做较为详细的日志记录,为安全事件的事后取证工作提供依据。
(2)访问控制是网络安全防范和保护的最主要措施之一,其主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制采用用户口令的识别与验证,以保证其唯一性。当用户进入网络后,网络系统就赋予其一定的访问权限,用户只能在其权限内进行操作。
3.网络安全管理规范
(1)建立并严格执行规章制度。高校网络安全防护方面发生问题都与管理者水平、管理制度是否完善有着极大的关系,因此必须提高管理者的管理水平,建立和完善管理体制,不断创造新的管理办法,做到严格按照安全管理制度进行规范操作,以防信息被破坏甚至丢失。
(2)应急响应。在发现新病毒或因系统安全漏洞威胁网络安全时,安全网络要及时向用户发出安全通告,并提供各种补丁程序以便下载。另外,还要做好计算机系统、网络、应用软件及各种资料数据的备份,并建立备份数据库系统。
4.用户教育
学校要加强网络安全管理意识,强化网络道德、网络心理、网络安全和法制教育,在师生的思想上、心理上安装防火墙,抵御来自校园网外部的攻击;要使广大师生员工都能意识到维护校园网络安全的重要性和紧迫感,并且自觉遵守有关网络安全的法律法规,从而自觉地维护校园网络安全;要安排师生参加安全技术培训,提高遵守相关安全制度的自觉性,增强整体安全防范能力。
三、结语
校园网络是学校的重要基础设施之一,其安全防范体系是一个动态的、不断发展的综合运行机制。我们必须全方位考虑各种不安全因素,制订合理的技术方案和管理制度,以保证校园网络高效可靠的运行。
参考文献:
[1]吴国新,吉逸.计算机网络[M].北京:高等教育出版社,2008.
[2]乔正洪,葛武滇.计算机网络技术与应用[M].北京:清华大学出版社,2008.
【关键词】局域网;网络安全;网络防护
随着计算机信息技术的发展,网络已成为人们工作中不可缺少的工具。虽然IPv6技术和标准已经相对成熟,但是IPv4仍然是当前互联网的主要协议,IP地址资源紧缺使大多数企业单位仍然使用局域网的方式,通过NAT技术访问互联网。因此,局域网网络信息安全和系统安全建设就显得尤为重要。
1局域网网络信息安全存在的问题
1.1安全防护架构
完整的网络安全防护架构主要有由硬件、防火墙、漏洞扫描、网络防病毒系统等技术构筑一道安全屏障,并通过把不同的产品集成在同一个安全管理平台上,实现网络安全的统一、集中的管理。然而,目前大多数的局域网仅仅安装防火墙,造成网络安全架构不完善,加上局域网采用的技术比较简单,使局域网的很容易被攻击和盗取信息。
1.2系统漏洞
局域网系统漏洞主要包括网络设备硬件漏洞和用户计算机系统漏洞。完整的网络设备、计算机系统是由硬件和软件组成,网络硬件漏洞就是在网络设备硬件、软件和协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。比如路由器系统存在BUG,访问控制规则设置存在错误等等。用户计算机系统漏洞是指用户没有及时的对系统漏洞进行更新,这些漏洞极易被黑客利用进行攻击,给局域网的信息安全带来巨大的隐患。
1.3人为因素
人为因素也是影响局域网信息安全的重要方面。由于个别用户安全意识不强,使用U盘等移动存储设备来进行数据的传递。这些外部数据没有经过必要的安全检查被带入内部局域网,使木马、蠕虫等病毒的非常容易地进入到内部网络。另外,许多用户将未经许可的设备擅自接入内部局域网络使用,也会造成病毒的传入和信息的泄密。比如,私自将个人无线路由接入到网络中,由于个人无线路由安全性比较低,黑客只要在路由器信号范围内就可以对局域网的数据进行盗取和攻击。此外,由于个人原因将局域网密码泄露、网线接入错误造成环网、ip地址冲突等问题都严重影响了局域网的信息安全。
1.4病毒和恶意代码
局域网的病毒来源主要通过以下几种方式:(1)黑客借助系统漏洞将病毒和恶意代码上传到局域网目的主机上;(2)由于人为因素,通过U盘等移动设备将病毒传入局域网;(3)访问互联网,从网站下载的软件带有病毒。一旦病毒进入到局域网,便对局域网信息数据进行盗取和破坏,比如ARP病毒能够进行路由欺骗和网关欺骗,不但影响局域网网络速度,而且对用户的私密信息威胁很大。
2安全防护策略与措施
2.1技术防护措施
2.1.1加密技术对重要数据进行加密是网络传输的常用的技术。在数据传输前对数据进行加密,综合数字签名、身份认证和动态验证等多种加密技术,杜绝数据在网络上以明文的方式传输,防止用户数据在传输过程中被截获,增加破解难度。建立复杂密码机制,并定期进行更换。2.1.2防火墙技术防火墙是内部网络与外部网络之间的网络安全系统,提供边界安全防护和访问权限控制。它使内部网络与Internet之间或与其他外部网络互相隔离,防范外部网络对内部网络的的攻击和非法访问。通过配置安全策略规则,实现对经过防火墙访问内部网络数据流的审计和控制,是保障网络安全的核心技术。网络防病毒系统是网络安全的另一形式的防火墙。在网络中安装网关杀毒设备,对网络数据进行病毒检测和扫描,确保病毒在到达用户计算机前被清除;配置全网杀毒策略,同步更新每台计算机的杀毒软件,定期进行全网杀毒;对U盘、移动硬盘等移动存储设备须经专业人员查杀后,方可进行文件的存储和拷贝等操作,这些安全防护是网络防病毒系统必不可少的防护措施。2.1.3入侵检测和入侵防御技术入侵检测是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。防火墙是按照事先设定的规则判断数据包的合法性,阻止非法的数据包进入,而入侵检测系统则监控网络、系统的入侵行为,通过该系统可以快速定位来自内部网络和外部网络的攻击行为以及网络的异常流量等等。入侵防御系统是位于防火墙和网络设备之间,对网络中的数据传输进行检测,对可能发现各种攻击企图、攻击行为进行防御,以保证网络资源的安全。2.1.4构建安全防护架构在完整的硬件防护系统下,搭建集中安全管理平台,设立用户、服务器等多区域安全防护机制,建立分级安全防护架构和管理机制。通过搭建文件备份服务器,对重要数据定期备份;设立网络的重要节点、链路设立备份机制,减少故障对网络信息安全的影响;配置网络漏洞扫描系统,及时发现网络安全漏洞、客户机或者服务器的安全漏洞并及时进行修补等方式,构建全面、安全的局域网网络防护体系。
2.2管理制度防护措施
保障信息安全要从多方面角度来实现。除了安全技术的应用,管理制度的完善和管理人员的组织配合是构成完整的信息安全防护体系的重要内容。管理工作是作为网络安全的重要组成部分,要确保信息安全工作的顺利进行,必须由管理人员把每个环节落实到具体的网络中,而人的不确定性使之成为网络安全中最薄弱环节。因此,必须用制度来规范人的行为,通过建立完善的安全管理制度达到网络信息安全的根本目标。具体是要根据企业单位信息系统安全管理需求,建立科学的人员管理、设备管理、灾难管理、应急响应、用户安全服务等管理制度,并与安全技术紧密结合,形成一套可靠、完备局域网信息系统安全管理保障体系。
3结束语
随着计算机网络技术的发展,网络攻击形式日趋复杂和多样化,局域网网络信息安全和防护作为一项长期而艰巨的任务,需要不断的探索和改进。合理地配置网络安全规则,以安全防护技术为依托,充分发挥网络安全防护设备的能效,建立多层次的、立体的网络安全防护体系,才能确保整个局域网网络系统信息安全。
参考文献
[1]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011,39(1):121-124.