关键词:医院;网络安全管理;重要措施
一、序言
随着信息化技术的全面进步,网络作为人们通用的信息传播工具,为全世界提供了一个庞大的信息平台,为世界各地的网民们提供了大量的空间、充足的信息资源和通畅的交流渠道。医院作为重要的学术研究基地和治病救人的专业机构,由于发展的需要,必须进行信息化建设,信息化对信息化建设对医院的全面发展起着重要的推动作用,表现在科研思想、诊治模式、医学专业技术人员培养模式、经济效益、社会效益等方面。医院在信息化建设中由于专业技术力量薄弱等问题的存在,造成了医院网络安全状况不佳的后果,如何进行医院网络安全管理,成为各个医院都面临的并且是必须解决的问题。客观、全面、科学地分析医院网络安全管理中存在的问题,开展有针对性的调查研究,提出切实可行的网络安全管理解决方案,是各个医院网络安全管理健康发展的方向。
二、医院网络安全管理的重要措施
2.1提高对医院网络安全管理重要性的认识,建立健全网络安全管理规章制度
提高对医院网络安全管理重要性的认识,建立健全网络安全管理规章制度是加强医院网络安全管理的重要措施。医院领导班子必须给予网络安全管理工作以高度的的重视,加大投入,及时更新网络安全管理设备,完备硬件设施,加强网络安全管理专业队伍的建设,选派配备责任心强、网络应用技术熟练的人员,建立健全医院网络安全管理机制,坚持技术创新、管理创新,根据网络安全管理系统的运行情况,建立健全网略安全规章制度,从容应对网络危机,充分网络安全管理系统的作用。
2.2定期做好医院网络安全管理系统的维护和保养
定期做好医院网络安全管理系统的维护和保养是加强医院网络安全管理在技术装备及工具方面的重要措施。在网络安全管理系统装备和工具的管理过程中,要定期进行检查、定期进行维护,确保网络安全管理系统运转顺畅,特别是备份、系统恢复等工具及网络安全工具等核心工具的维护和保养。网络安全管理系统必须配备先进的备份、系统恢复技术和工具及先进的网络安全产品,这些先进的工具和产品属于保证网络安全系统正常运行的核心,保养和维护工作尤为重要。及时进行调整才能物尽其用,确保医院网络的安全。设备的环境卫生及使用状况在一定程度上制约着这些技术工具的使用效果。因此,要保持这些装备的通风散热,减少设备的开关次数,定期进行清洁是非常必要的。同时,要经常查看网络安全工具应用软件的设置是否同原装时保持齐全,及时清理垃圾文件,整理碎片,及时清除网络安全工具上的积尘,用吹气球或电吹风吹去灰尘。定期检查扩充插槽、各种插头、内存插槽及所有插卡的接触,经常对网络安全工具进行自我维护,确保网络安全工具的正常运行等等。
2.3运用技术手段,及时发现安全隐患并快速清除
运用技术手段,及时发现安全隐患并快速清除是加强医院网络安全管理的关键措施。威胁医院网络安全的隐患主要是网络系统内部的漏洞、黑客攻击、计算机网络病毒等方面。因此,要确保网络信息的可靠和安全,就必须运用技术手段,及时发现安全隐患并快速清除。首先,要建立健全安全机制采取恰当的安全策略,配备先进的备份、系统恢复技术和工具及先进的网络安全产品,堵塞来自系统内部的各个操作系统的漏洞。系统漏洞是“引狼入室”的重要原因,所以,及时堵塞各个操作系统的漏洞非常必要,先进的技术和工具有利于及时监测并发现各个操作系统存在的漏洞,快速下载补丁并安装。以此来保护医院网络系统的安全。其次,要建立医院网络的防火墙系统,在医院网络与不可信网络之间竖起一道安全屏障,全面保护医院网络的资源和内网的安全,对进出医院网络的访问和服务进行审计和控制。主要应当建立应用级防火墙,为医院网络提供最高级别的安全控制和防护。第三,要建立黑客入侵检测系统,适时进行黑客入侵检测,及时捕获网络传输的数据,检查是否有可疑活动及黑客入侵的可能。
三结论
总之,在因特网日益发达、网络信息技术飞速发展的新形势下,各个医院必须立足于本院实际,认真分析制约医院网络安全的障碍因素,切实转变网络安全管理观念,按照网络发展新形势的要求,制定好本医院的网络安全管理发展规划,不断提高网络技术装备的整体利用水平,逐步建立健全推动网络安全管理健康发展的规章制度,采取一系列的措施,坚决突破制约各个医院网络安全管理进一步发展的瓶颈,为医院信息化的技术的广泛采用及发挥重要作用作出积极的贡献。
参考文献:
[1]孙平波,《基于医院的网络安全解决方案》,[J],《电脑知识与技术》,2009年第26期。
[2]周爽,《谈计算机网络安全维护》,[J],《科技风》,2010年第6期。
[3]张真真,《大型医院网络安全防护体系的架构》,[J],《现代医院管理》,2008年第6期。
1、信息系统保密性差
应用软件安全、数据库安全及操作系统安全都属于信息系统安全的范畴,应用软件安全性低主要是指一些网上免费下载的软件可能带有病毒,使公安信息系统安全性不高;以ORACLE数据库为主的公安业务信息系统,因为缺乏加密保护措施和身份认证体系,信息很容易被泄露,存在较大的安全问题;作为应用服务的一种公共平台,操作系统的安全审计和访问权限设置不完善,存在许多安全漏洞,导致公安部门操作软件的系统安全性能低。
2、网络系统本身安全性较低
网络通信设备安全及通信传输信道安全是网络系统安全的主要内容,其中交换机和路由器等具有远程访问及维护功能的设备都属于网络通信设备,很可能被非法用户操控。而网络系统通信传输信道包括帧中继、邮电专线及DDN等,也有少数是微波信道或自建光纤,这些传输信道普遍存在线路不稳定、中间环节多和质量较差的缺点,如果出现问题的话就需要占用大量时间进行检测和维修,导致网络不能正常工作。对于通过电话拨号上网的地区,用户越多越有利于非法用户的攻击,给公安计算机信息网络带来巨大的安全隐患。
3、管理能力较差
一些公安部门的网络管理忽视日志审计的作用,加上管理能力较差,不能正确的检测出运行故障,缺乏应变和处理问题的能力。面对“黑客”的攻击,在无法检测的情况下不能做到及时上报,使非法人员得不到应有惩治。
4、管理人员缺乏安全意识
管理人员应正确的认识到公安计算机信息网络与互联网有很大的关系,同样存在安全问题,应加强管理。网络中任何一个环节受到破坏都会影响整个公安网络的正常运行,因此要加强自身的安全意识,将信息网络的安全管理工作作为重心,避免非法人员的攻击。此外还要对内部网络进行完善和改进,及时的修补内部安全漏洞,从内、外部两方面入手来进行安全管理工作。
二、加大安全管理的措施
1、加强信息系统的安全管理
网络安全隔离、应用系统的安全管理以及数据安全管理都属于信息安全管理的范围。具体措施如下:一是网络安全隔离。可以采取在网络出入口设置防火墙的方式来达到隐蔽内部网络、强化和集中控制安全措施以及对网上非法活动进行记录的目的。其中将内部网络屏蔽的操作是将地址进行转换来实现内外网络的隔离,从而确保内部网络信息不会被外部用户获取;强化和集中控制安全措施主要是指通过复杂的安全管理策略来实现不同用户对不同安全性的要求;而对网上非法活动进行记录的过程能审计非法用户的入侵并自动报警,维护了网络系统的安全。二是应用系统的安全管理。首先,要保证数据库系统结构的完整和安全,可以通过对重要数据的读取和保存过程进行解密及加密等密码机制来强化软件系统的管理,配备专门的网络信息管理人员进行操作,规范软件应用的范围和相关条例;其次,在应用网上下载软件前必须进行检测,防止病毒入侵;最后,对于安全性能强的操作系统时要做到审核用户的访问权限,记录操作内容和流程。三是数据安全管理。利用计算机安全产品对数据进行安全管理,参考密级评判标准来决定信息是否传到网上,从根本上提高数据的安全性。
2、加强网络系统的安全管理
网络设备和网络信道的安全管理是保障网络系统安全的基础,可以通过以下几种措施来实现:一是严格管理远程访问和维护功能。一方面要在信息中心设置统一的远程拨号入口,逐渐减少入口的数量,加强对账号的管理,通过回拨认证等服务系统的方式来完成一个账号只能由一人登录的身份认证,避免非公安人员随意登录的现象发生;另一方面加强远程维护的抗破解性能,采取设置安全性高的密码来强化安全管理工作,提高网络的安全性。二是通过链路层连接认证的方式完成网络设备的互联。因为网络中存在一些虚假的设备,因此可以设置PPP协议认证来确保互联设备的安全性。其三,线路加密。在网络信道的线路上配备能够进行抗流量分析及对数据进行保密的加密设备,这样能使数据更加完整,不易受到外界入侵。其四,由公安部门自建信道。由于租用信道存在线路不稳定和质量较差的弊端,可以利用保密性强、质量保证和抗干扰能力强的光纤线路自建信道,从而提高网络传输的安全性能。
3、完善行政管理制度
有效的技术是保障信息网络安全的一方面,另一方面还要加强行政管理和保障机制,通过规范的管理制度不仅可以避免外部非法人员的入侵,还能防止内部人为破坏,完善的行政管理制度对公安计算机信息网络的安全管理具有重要意义。
(1)对信息管理及网络运行设置严格的规章管理制度。公安机关可以通过严格的规章制度来规范信息的管理和网络的运行,这样不仅方便管理,还能提高信息网络的安全性,具体可以采取加强指导、强化监督和明确管理条例的方法来加强信息网络安全管理工作。
(2)培养专业的安全管理人员。由于公安计算机信息网络的特殊性和重要性,对安全管理人员的要求也较高,其中信息管理员必须做到对信息系统的运行进行定期的检测,严格的审核网络信息的安全保密性,针对网络安全的现状提出意见和改进方案,网络安全员除了要定期检测网络和分析网络安全性能外,还要对管理工作进行设计和规划。公安机关必须加强对管理人员能力和专业素质的培养,建立一个专业的安全管理团队来维护信息和网络的安全。
(3)创建信息网络管理部门。通过创建信息网络管理部门来对公安计算机信息网络的安全进行专门的管理,其工作内容主要有:第一,管理应用系统的安全。在保证应用系统正常工作的基础上,定期维护系统的安全和用户授权工作。第二,监测和安全管理。监控网络的运行状况,及时发现和处理网络漏洞,预防和终止非法人员的破坏,此外合理的配置网络系统设备,使信息网络更加安全可靠。第三,管理密钥及认证中心。对网络密钥、密码的计算以及网络系统设备的管理做到规范,统一发放警察及服务器的认证证书。
三、结语
关键词:网络信息安全防护技术;网络信息安全产品;网络信息安全管理
网络世界不仅是经济产业竞争的战场,而且是意识形态争夺的战场,更是现代军事斗争的战场。强调:“把网络信息安全和信息化看作是一体之两翼、驱动之双轮,进行统一谋划、统一部署、统一推进、统一实施”。针对涉及国家安全的中小部门和单位,本文提出网络信息安全技术体系建设的意见和建议。
1网络信息安全技术体系
网络信息安全技术体系可以分安全保密管理、安全防护策略、安全防护体系、安全值勤维护、技术安全服务和终端安全防护等六个方面。
1.1安全保密管理
安全保密管理要求网络安全保密领导组织健全,单位主管领导负责,保密、通信、网管、机要等有关职能部门参加,能够积极履行工作职责;制定严格的入网审批、安全值勤、检测监控、网络审计、应急响应、监督检查等规章制度和操作规程;建立健全信息和监管制度,信息审查审批手续严格,信息调阅权限明确,信息密级标识准确清晰,公开信息服务网段没有信息;网络设备购置、保管、使用、维修、报废管理规范,保密设备相关文档完备,信息资料、应用软件及存储载体管理严格;设置专门网络安全保密管理人员,熟悉安全保密政策法规,具备专业知识技能,能够认真尽职履责;采用IP地址静态分配和实名管理,准确掌握IP地址归属,管理档案完备;信息导入网络和计算机前要经过病毒、木马和恶意代码查杀。拷贝存储设备专盘专用,管控严格;网络环境,电磁辐射等符合国家相关标准要求,机房等重要部位采取严密防范措施。
1.2安全防护策略
安全防护策略包括制定完整的访问控制、设备配置、事件监测、病毒防范、安全审计、灾难恢复和应急响应等安全策略,并根据实际情况动态调整;园区网与互联网实施有效的物理或逻辑隔离;根据入网区域、程度和使用范畴,整体规划网络拓扑结构,设置最小安全域,严格域间信任关系,合理划分网段与公开网段,进行必要的逻辑隔离,采取相应密级的保护措施;网络边界防护策略科学,防火墙、路由器、防病毒网关、入侵检测系统等规则配置合理并做到动态调整,能够及时发现、阻断外部入侵和攻击行为;网络内部访问控制措施严格,制定了有效的网络接入、终端安全、用户鉴别、层级管理、访问授权和监控审计等重要环节集成化管控策略;各类网络设备、专用信息系统指定专门的管理终端和IP地址。
1.3安全防护体系
安全防护体系包括如下几个方面。配备网络防火墙、入侵检测、内网审计、补丁分发等安全防护系统,安装覆盖全网的防病毒系统;建立统一的网络身份管理机制,对入网终端IP地址、MAC地址和交换机端口进行绑定;对路由器、交换机进行服务安全性配置,合理划分VLAN,设置访问控制列表;网络安全防护系统安装部署正确,规则配置合理,严禁非授权操作;服务器关闭不必要端口和服务,帐户权限划分明确,口令设置规范,开启安全事件审计功能。专用和公用信息系统使用不同服务器,专用服务器仅提供专用服务。提供信息服务的服务器,具备抵御攻击和防篡改等防护能力;数据库管理系统进行严格的帐户管理和权限划分,开启审计功能,制订备份策略,及时安装补丁程序;配备满足实际需求的网络安全检测系统或设备。安全保密防护和检测产品,须经过国家信息安全相关测评机构测评认证。
1.4安全值勤维护
安全值勤维护包括建立严格的网络安全值勤制度,定期检查值勤日志及网络设备、安全设备、应用系统、服务器工作状况,及时发现和排除安全隐患;实时掌握网络安全预警、监控信息,对各类入侵行为、病毒侵害、木马传播、异常操作等安全事件及时做出正确处置;定期组织网络安全行为审计,检测和分析审计记录,对可疑行为和违规操作采取相应措施。审计日志保留不少于30天,每季度撰写安全审计评估报告;定期组织安全保密检测评估,对计算机、存储载体、应用系统和重要数据库等进行漏洞扫描和隐患排查;对网络重大安全事件能够迅速定位和取证,及时采取有效的管控补救措施。根据应急响应预案,能够适时组织应急处置训练或演练;定期对重要数据库、重要应用系统、网络核心设备以及安全设备配置文件、日志信息等进行备份。
1.5技术安全服务
技术安全服务包括及时病毒和木马预警信息,定期升级病毒、木马查杀软件和特征库;定期组织全网范围病毒和木马查杀,能够及时发现、清除各类病毒和木马;定期更新各类漏洞补丁库,及时下发操作系统、数据库和应用软件补丁,系统没有高风险安全漏洞;深入开展技术指导,积极组织对入网用户进行防护知识教育和技能培训。
1.6终端安全防护
终端安全防护包括终端入网履行严格的审批手续,对入网帐户、访问权限、IP地址、MAC地址、硬盘信息等登记备案清楚、更新及时;入网终端标识明确、专人管理,按规定设置BIOS、操作系统和屏幕保护口令,正确安装使用“计算机及其载体保密管理系统”;入网终端及时修补系统漏洞,关闭不必要的服务和端口,安装防病毒软件和个人防火墙,清除病毒和木马程序,禁用红外、蓝牙、无线网卡等功能;入网终端没有公私混用现象,没有不安全共享,没有存储超越防护等级的信息;入网终端或入网地点发生变更时,对访问权限、安全配置和绑定措施进行及时调整。
2构建网络信息安全防护体系
2.1网络信息安全防护体系组成部分
建设网络信息安全防护体系,依赖不同的信息安全产品,这些信息安全产品满足不同的信息安全管理目标,具体描述如下。
(1)使用可网管交换机和网管软件。网管软件通过管理端口执行监控交换机端口等管理功能。以网络设备(路由器,交换机)、线路、防火墙、安全设备、小型机、服务器、PC机、数据库、邮件系统、中间件、办公系统、UPS电源、机房温湿度等等的日常管理为着眼点,帮助网络管理人员提高网络利用率和网络服务的质量。
(2)使用“防火墙”安全系统。“防火墙”安全系统可以有效地对网络内部的外部扫描或攻击做出及时的响应,并且提供灵活的访问控制功能,确保网络抵御外来攻击。
(3)使用防病毒过滤网关。在进出网络之前,防病毒过滤网关将进出信息中附带的计算机病毒进行扫描和清除。
(4)使用入侵保护系统(IPS)。入侵保护系统对网络中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动拦截或采取措施将攻击源阻断。
(5)使用入侵检测系统(IDS)。通过系统检测、分析网络中的数据流量,入侵检测系统从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象,检测网络内部对核心服务器的攻击。
(6)实行IEEE802.1X认证。802.1X认证能够比较好地解决一系列网络安全问题,增强了网络的可控性和安全性,比如可控制新接入计算机安装指定软件(如瑞星杀毒),之后才能获得入网账号,才允许访问所有网络资源。由于接入固定账号,假如发生安全事件,也可迅速查找到嫌疑人。
(7)安装信息安全管理与防护系统。信息安全管理与防护系统通过服务器监测客户端电脑上网情况,有效防止非法上网情况的发生。
(8)安装计算机及其载体保密管理系统。计算机及其载体保密管理系统可以杜绝通过移动存储设备进行数据摆渡的安全保密隐患。
(9)安装网络版查杀毒软件系统。建议采用具有自主产权并经过国家信息安全评估测试的杀毒软件系统,并实现网络用户病毒特征库实时在线升级。
2.2安全设备选用策略
市场提供各式各样的满足信息安全管理要求的信息安全产品,从网络管理安全目的出发,选用网络信息安全系统和设备应该注意如下三个方面,从国别看,选择国产的网络安全产品,排除敌对势力可能的恶意潜伏;从质量看,选择国家信息安全认证产品,确保其专业资质和产品安全可靠;从性能看,选择满足网络安全管理功能的网络安全系统。
3强化确保技术防护体系顺利运行的管理措施
网络信息安全需要技术防护体系支持,网络信息安全技术防护体系需要强有力的管理体系保驾护航,离开网络信息安全管理体系,技术防护体系如同虚设。
3.1完善网络信息安全管理措施
网络信息安全管理措施就是一整套严密的网络信息安全管理信息制度,其中最基础的工作就是上网审查登记和信息流通管理。
3.1.1上网审查登记
必须认真履行上网审查登记工作。上网审查登记范围包括与信息管理有关的人、设备两方面内容。人员管理包括实名登记网络用户、上网资格认证、实名绑定IP地址、使用设备登记、明确网络管理权限和使用权限等,落实身份认证管理和可信任网络用户接入制度。设备管理包括登记入网计算机的型号、标识、IP地址和硬盘等主要信息,登记移动存储设备,登记服务器、路由器、交换机的设备基本资料、管理职责和存放地点,登记网线走向和布局图,登记信息点的地点、开通与否等信息内容。
3.1.2信息流通管理
必须认真履行信息流通管理工作。信息流通管理工作包括安装上网记录软件和安全管理系统等,监控信息流动状态,最大限度堵塞安全漏洞。规范信息、信息审查与监管,指定专职人员负责,落实逐级审批要求。落实信息交互管理秩序,无论是上传资料、下载影视,还是发表言论、娱乐休闲,都要从严进行筛选、过滤和“消毒”。重点对聊天室、论坛、微博等敏感栏目、网络社区进行全程监管,及时屏蔽不良信息,防止造成负面影响,严防失泄密问题发生。采取定期检查和随机抽查相结合的办法,每月对网络信息和网上言论进行全面检查和监控,对各种网络违纪现象,要依法进行惩处。
3.2加强日常信息管控技术手段
除了建设网络安全防护体系之外,在日常信息管控方面,也有必要采取技术手段,以确保信息安全、政治安全。
3.2.1加强不良信息的屏蔽能力
通过开发信息过滤软件,强制性地检查并过滤网络外部信息,屏蔽具有色情、封建迷信等内容的不良信息,有效阻止有害信息的入侵,最大限度阻止各类不健康的信息进入。
3.2.2加强“垃圾”信息的清理能力
通过开发信息扫描软件,建立“垃圾”信息报警系统,加强对网络内部垃圾信息的监控,通过扫描网络信息,及时发现并删除网上“垃圾”,清除网络思想垃圾,控制网络信息污染,防止毒害,净化网络空间,提供一个良好的网上活动空间。
【关键词】计算机;信息安全;技术措施
随着计算机及网络技术的迅速发展,计算机及网络的应用越来越广泛,人们对计算机的依赖越来越强,以至于离开计算机及网络,很多工作都无法进行。但人们对于计算机及网络存在的问题重视不够,特别是一些要害部门,如:财务数据、具有保密性文件资料、军事秘密、国家安全信息等;对于个人用户来说,一些长期积累的个人资料、网上银行的交易密码等。上述信息一旦遭受破坏或被窃取,将给国家、军队、单位和个人造成重大损失,有些损失甚至是难以弥补的。
1.计算机信息安全存在的问题
计算机及网络用户是一个非常复杂的群体,有关安全问题也是非常复杂。主要存在两个方面的问题,即计算机信息安全技术问题和计算机信息安全管理问题。
1.1计算机信息安全技术问题
1.1.1缺乏自主的计算机网络软、硬件核心技术
我国信息化建设缺乏自主的核心技术支撑,计算机网络的主要软、硬件,如CPU芯片、操作系统和数据库、网关软件大多依赖进口。信息设备的核心部分CPU由美国和我国台湾制造。计算机中普遍使用的操作系统来自国外,这些系统都存在大量的安全漏洞,极易留下嵌入式病毒、隐性通道和可恢复密钥的密码等隐患。这些客观因素使计算机的信息安全性能大大降低,网络处于被窃听、干扰、监视和欺诈等多种安全威胁中,计算机信息安全处于极脆弱的状态。
1.1.2长期存在被病毒感染的风险
现代病毒可以借助文件、邮件、网页等诸多方式在网络中进行传播和蔓延,它们具有自启动功能,常常潜入系统核心与内存,为所欲为。计算机一旦受感染,它们就会利用被控制的计算机为平台,破坏数据信息,毁损硬件设备,阻塞整个网络的正常信息传输,甚至造成整个计算机网络数据传输中断和系统瘫痪。
1.1.3计算机信息在网络中传输的安全可靠性低
隐私及信息存储在网络系统内,很容易被搜集而造成泄密。这些资料在传输过程中,由于要经过许多外节点,且难以查证,在任何中介节点均可能被读取或恶意修改,包括数据修改、重发和假冒。
1.1.4存在来自网络外部、内部攻击的潜在威胁
网络中毫无防备的电脑很容易受到局域网外部的入侵,修改硬盘数据,种下木马等。入侵者会有选择地破坏网络信息的有效性和完整性,或伪装为合法用户进入网络并占用大量资源,修改网络数据、窃取、破译机密信息、破坏软件执行,在中间站点拦截和读取绝密信息等。在网络内部,则会有一些非法用户冒用合法用户的口令以合法身份登录网站后,查看机密信息,修改信息内容及破坏应用系统的运行。有些非法用户还会修改自己的IP和MAC地址,使其与合法用户IP和MAC地址一样,绕过网络管理员的安全设置。
1.2计算机信息安全管理问题
1.2.1计算机及网络中的重要数据缺少备份
在计算机的的操作使用过程中,由于用户操作不当,将一些重要文件误删除;或是因为发生自然灾害。如:雷电、地震、火灾、水灾等导致计算机的设备损坏;或是因为计算机故障和意外事情发生,如:突然停电、硬盘损坏、设备使用寿命到期等原因导致一些重要数据丢失;或因为病毒、黑客的恶意攻击破坏导致重要文件和数据遭到毁灭性的损坏。因为没有数据的备份都将给经济、生产、科研和安全造成不可估量的损失。
1.2.2计算机信息安全缺乏严格的管理规定
计算机及网络中的重要信息、程序和数据哪些用户能使用,哪些用户不能使用,哪些用户可以修改、哪些用户只能浏览、哪些用户是不可见的等使用权限缺乏严格规定;重要的账户、密码和密钥等重要安全信息集中在某个人或某几个人手中,缺乏安全保障制度和措施。
1.2.3有关领导计算机信息安全意识淡薄
在计算机网络建设中,高投入地进行网络基础设施建设,而相应的管理措施却没有跟上,在网络安全上的投资也是微乎其微。有些领导错误地认为,网络安全投资只有投入却不见效果,网络安全投不投资影响不大。因此,对安全领域的投入和管理远远不能满足安全防范的要求。有相当部分事业单位、中小型企业没有配备专职的计算机管理人员,有部分单位虽然配备了专门的计算机管理人员,但由于薪酬偏低只能聘请到专业水平偏低的人员,不能采取有效措施管理计算机。导致一旦安全上出了问题,没有行之有效的措施补救,有的甚至是采取关闭网络、禁止使用的消极手段,根本问题依然得不到实质性的解决。
1.2.4计算机信息安全缺乏有效的应对措施
网络运行管理机制存在缺陷,计算机网络安全管理人才匾乏,安全措施不到位,出现安全问题后缺乏综合性的解决力案,整个信息安全系统在迅速反应、快速行动和预案防范等主要方面,缺少应对能力和措施。在整个网络运行过程中,缺乏行之有效的安全检查和应对保护制度。
1.2.5管理和使用计算机信息的人员素质不高、安全意识淡薄
据调查,目前国内90%的网站存在安全问题,其主要原因是管理者缺少或没有安全意识。计算机网络用户飞速增长,然而大多数人员网络安全知识掌握很少,安全意识不强,经常是在没有任何防范措施的前提下,随便把电脑接入网络;在不知情的情况下将带有保密信息的计算机连入因特网,或使用因特网传递保密信息;对系统不采取有效的防病毒、防攻击措施,杀毒软件不能及时升级。
2.加强计算机信息安全的对策
解决计算机信息安全问题,关键在于建立和完善计算机信息安全防护体系,总体对策是。在技术层面上:建立完整的网络安全解决方案、在管理层面上制定和落实严格的网络安全管理制度。
2.1计算机信息安全技术对策
2.1.1采用安全性较高的系统和使用数据加密技术
对计算机信息在网络中的存储和传输可以使用传统的信息加密技术和新兴的信息隐藏技术来提供安全保证,在传发保存计算机信息的过程中,不但要用加密技术隐藏信息内容,还要用信息隐藏技术来隐藏信息的发送者、接收者,甚至信息本身,通过隐藏术、数字水印、数据隐藏和数据嵌入、指纹等技术手段可以将秘密资料先隐藏到一般的文件中,然后再通过网络来传递,提高信息保密的可靠性。
2.1.2安装防病毒软件和防火墙
在主机上安装防病毒软件,能对病毒进行定时或实时的扫描及漏洞检测,变被动清毒为主动截杀,既能查杀未知病毒,又可对文件、邮件、内存、网页进行全面实时监控,发现异常情况及时处理,防火墙是硬件和软件的组合,它在内部网和外部网间建立起个安全网关,过滤数据包,决定是否转发到目的地,通过安全过滤规则严格控制外网用户非法访问,并只打开必须的服务,防范外部来的拓展服务攻击,通过设置IP地址与MAC地址绑定,防止目的IP地址欺骗,更重要的是,防火墙不但将大量的恶意攻击直接阻挡在外面,同时也屏蔽来自网络内部的不良行为,让其不能把某些保密的信息散播到外部的公共网络上去。
2.1.3使用安全路由器和虚拟专用网技术
安全路由器采用了密码算法和加/解密专用芯片,通过在路由器主板上增加安全加密模件来实现路由器信息和IP包的加密、身份鉴别和数据完整性验证、分布式密钥管理等功能,使用安全路由器可以实现内部网络与外部网络的互联、隔离、流量控制、网络和信息安全维护,也可以阻塞广播信息和不知名地址的传输,达到保护内部信息化与网络建设安全的目的。
2.1.4安装入侵检测系统和网络诱骗系统
入侵检测能力是衡量全防御体系是否完整有效的重要因素,入侵检测的软件和硬件共同组成了入侵检测系统,网络诱骗系统是通过构建全欺骗环境真实的网络、主机,或用软件模拟的网络和主机,诱骗入侵者对其进行攻击或在检测出对实际系统的攻击行为后,将攻击重定向到该严格控制的环境中,从而保护实际运行的系统。
2.2计算机信息安全管理对策
2.2.1强化思想教育、加强制度落实是计算机信息安全管理工作的基础
搞好信息安全管理工作,首要的是做好人的工作,认真学习有关法规文件和安全教材,更新安全保密观念,增强安全保密意识,增长网络安全保密知识,提高网络保密素质,改善网络安全保密环境。
2.2.2制定严格的信息安全管理制度
设立专门的信息安全管理机构,人员应包括领导和专业人员。一是按照不同任务进行分工以确立各自的职责,一类人员负责确定安全措施,包括方针、政策、策略的制定,并协调、监督、检查安全措施的实施;另一类人员负责分工具体管理系统的安全工作,包括信息安全管理员、信息保密员和系统管理员等,在分工的基础上,应有具体的负责人负责整个网络系统的安全,确立“多人负责”的安全管理原则,即在从事某项安全相关的活动时,必须有两人以上在场;二是任期有限原则,即任何人不得长期担任与安全相关的职务,应不定期地循环任职、三是职责分离原则,如计算机的编程与操作、机密资料的传送和接收、操作与存储介质保密、系统管理与安全管理等工作职责应当由不同人员负责。此外,要制定操作规程,要求用户必须定期升级杀毒软件、备份重要资料、不得随意安装来路不明的软件、不得打开陌生邮件等,并制定处罚制度,对违反规定的,视情节轻得作出处罚等。
2.2.3重视网络信息安全人才的培养
加强计算机网络人员的培训,使网络人员熟练通过计算机网络,实施正确有效的安全管理,保证网络信息安全;加强操作人员和管理人员的安全培训,主要是在平时训练过程中提高能力,通过不间断的培训,提高保密观念和责任心,并加强业务、技术的培训,提高操作技能;对内部人员更要加强人事管理,定期组织思想教育和安全业务培训,不断提高人员的思想素质、技术素质和职业道德。
2.2.4重要信息要做好备份
建议在计算机中安装光盘刻录机,将一些不再修改的重要数据,直接刻录在光盘上,分别存放在不同的地点、一些还需要修改的数据,可通过U盘或移动硬盘分别存放在不同场所的计算机中,对于有局域网的单位用户,一些重要的不需要保密的数据,可分别存放在本地计算机和局域网服务器中、对于一些较小的数据文件,也可压缩后保存在自己的邮箱中,数据备份的要点,一是要备份多分,分别存放在不同地点、二是备份要及时更新,不存在侥幸心理,否则一旦造成损失,后悔莫及。特别是一些有局域网的单位,最好做到同步备份数据,一旦发生问题能最大程度地减少数据丢失量。
3.结束语
随着计算机网络技术的发展,计算机网络的应用已普及到各个方面,当人们分享计算机网络给工作、生活、学习和办公带来方便快捷的同时,计算机的信息安全问题必须引起用户的高度重视,制定和落实严格的网络安全管理制度,加强计算机网络人员的培训,实施正确有效的安全管理,通过大家的共同努力,建立和完善计算机信息安全防护体系,确保计算机信息安全。
【参考文献】
[1]何万里等.供水企业营业管理信息系统建设的探索[J].城镇供水,2012,3.
关键词:网络安全;安全防护;网络技术
中图分类号:TP393.08文献标识码:A文章编号:1007-9599(2011)23-0000-01
SecurityTechnologyinNetworkEngineering
LiuDeda
(HainanUniversity,Haikou571101,China)
Abstract:InthecontextoftheInternetera,networktechnologyinallsectorsofsociety,theincreasinglywidespreadapplicationinthefield,andgraduallybecomeadailyexchangeofinformationaccessandthemainway.Intheapplication,securityisoneofthemostconcerninthispaper,networkengineeringsecurityissuesandsomespecificmeasuresforabriefanalysis.
Keywords:Networksecurity;Security;Networktechnology
网络安全是一个关系国家安全和、社会稳定、民族文化的继承和发扬的重要问题,其重要性正随着全球信息化步伐的加快而变得越来越重要,安全问题刻不容缓。安全技术在网络工程中的有效应用是至关重要的。本文据此谈谈网络工程中常见的安全防护措施。
一、重视管理
管理上要对计算机网络重视安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。建立安全管理制度,提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。
二、采用物理安全防范技术
在计算机网络的安全防护中,物理安全技术主要是指在其物理介质层面进行各类网络信息的安全防护,是保障计算机网络安全的重要技术措施之一。在计算机网络物理安全体系的构建时,应重点考虑以下问题:(1)对于各类自然灾害、设备故障、物理损坏的有效防护;(2)尽量降低因意外疏漏、人为操作失误等造成的安全隐患。在计算机网络的安全领域中,物理安全技术的研发长期处于被忽视的地位,这个问题是必须给予解决的,以确保在计算机网络的使用中避免各种恶意远程入侵和移动代码的感染。
三、采用防火墙和入侵检测技术
防火墙是设置在不同类型网络间的一系列硬件和软件的集合,旨在控制不同网络间的访问、拒绝外部网络对内部网络或网络资源的非法访问,保证通过防火墙的数据包符合预设的安全策略,从而确保了网络信息的服务安全。入侵检测作为防火墙技术的补充手段,是对成功绕过防火墙限制而入侵内部网络系统的行为进行技术攻防的策略。其实质是在不损耗网络性能的前提下进行监听分析用户系统活动和违反安全策略的行为,对已威胁网络安全的入侵行为识别并发出警报,同时生成异常行为分析,评估入侵行为带来的损害程度。目前,利用防火墙和入侵检测相结合的方式,是防护网络、拒绝外部网络攻击的最有效手段之一
四、采用密码技术及数据库的备份
应用密码技术是信息安全心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整的最主要方法之一。核数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法;恢复是在意外发生后利用备份来恢复数据的操作。
五、采用杀毒软件及安全监控扫描
漏洞扫描。客观地说,任何一个系统都会存在安全漏洞,这包含己知的和未知的在应用软件和操作系统两方面上的安全漏洞。在进行漏洞扫描时,可以及时系统和网络存在的安全漏洞,并打上漏洞补丁,进行未雨绸缪的主动防御。在使用时,通常将漏洞扫描与防火墙技术、入侵检测技术三者相结合,形成网络安全防范和防御的“黄金三角”。计算机网络病毒普遍具有传染方式多、激发形式多样、破坏性强、传播范围广、传播速度快、潜在性强、清除困难等特点,其对计算机网络安全的影响是不容忽视的。为了有效切除各类病毒的传播途径,必须加强专业杀毒软件技术的研发和应用。目前,在国内计算机市场中销售的杀毒软件种类繁多,但是各种杀毒软件的病毒查杀与清除能力存在一定的差异,所以用户在进行选择时,应结合自身的实际用途及软件性能、价格等因素。
六、基于云计算的网络安全技术防范措施
在过去的2年时间内,云计算取得了快速的市场拓展,越来越多的云计算用户将关心软件即服务安全和自己的数据安全,而基于云计算的网络安全技术是一块至关重要的基石。(1)网络数据访问权限控制。用户在对云计算的数据进行网络访问时,应该能够控制访问属于自己的数据的访问者身份,并且可以对访问者的访问情况进行审核。这种访问权限的控制,需要开发相应的权限控制程度,以作为安全防范措施使用。(2)网络信息存储的保密性措施。用户在对云计算网络的数据进行存储时,其他用户及云服务提供商在未被所有者允许的情况下不得对数据进行查看及更改。这需要将数据在网络存储时,对其他用户实行存储隔离措施,同时对服务提供商实行存储加密和文件系统的加密措施。(3)数据网络传输的保密性措施。鉴于云平台的搭建多数基于商业方面,因此用户的数据在基于云计算的网络上进行传输时要具有极高的保密性,包括在计算中心的内部网络和开放互联网络上。所以,应该对所传输的数据信息在传输层进行加密(HTTPS、VPN和SSL等),对服务提供商进行网络加密。(4)数据可用性和恢复措施。由于基于云计算的网络的数据重要性,为了防止各种数据毁灭性灾难和突发性事件,进行按期定时的数据备份,使用数据库镜像策略和分布式存储策略等,是确保网络信息安全的一系列防范措施。
【关键词】计算机网络安全策略
在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。
一、计算机网络的安全策略
网络安全应该包括信息安全和控制安全。前者是指信息的完整性、可用性、保密性和可靠性,后者是指身份认证、不可否认性、授权和访问控制等。安全策略应该包括物理安全策略和访问控制策略。
1.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受人为破坏和搭线攻击;验证访问者的身份和使用权限、防止用户越权操作;建立完备的安全管理制度,防止非法进入计算机系统等。
1.2访问控制策略
访问控制策略至少应该包括如下内容:(1)入网访问控制。入网访问控制为网络访问把第一道关。网络控制权限规范哪些用户和用户组可以访问哪些目录、子目录、文件和其它资源。(2)目录级安全控制。网络管理员应该规范用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效。
1.3防火墙技术
防火墙技术主要包括有四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。防火墙在使用的过程中,应该考虑到几个方面的问题:首先要考虑的是防火墙不能够防病毒的攻击,虽然有不少的防火墙产品声称具有这个功能。其次要考虑防火墙技术中数据与防火墙之间的更新问题,如果延时太长,将无法支持实时服务要求。并且防火墙采用的滤波技术会降低网络的性能,如果购置高速路由器来改变网络的性能,那样会大大增加网络成本。再次是防火墙不能防止来自网络内部的攻击,也无法保护绕过防火墙的病毒攻击。
1.4访问控制技术
访问控制技术是对信息系统资源进行保护的重要措施,它设计的三个基本概念为:主体、客体和授权访问。访问控制技术的访问策略通常有三种:自主访问控制、强制访问控制以及基于角色的访问控制。访问控制的技术与策略主要有:入网访问控制、网络权限控制、目录级控制、属性控制以及服务器安全控制等多种手段。
1.5数据加密技术
网络数据加密的三种技术为:链路加密、节点加密和端到端加密。链路加密是将所有信息在传输前进行加密,在每一个节点对接收到的信息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。节点加密与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密,消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
二、网络安全技术防范措施
网络安全技术防范措施主要涉及常用的局域网安全技术防范措施和广域网安全技术防范措施。
2.1局域网安全技术防范措施
2.1.1网络分段
网络分段是控制网络广播风暴的一种基本方法,也是保证网络安全的一项重要措施,其目的就是将非法用户与网络资源相互隔离,从而防止可能的非法窥听。
2.1.2以交换式集线器代替共享式集线器
在对局域网的中心交换机进行网络分段的处理以后,以太网遭遇窥听的危险依然存在。应该以交换式集线器代替共享式集线器,控制单播数据包只能在两个节点之间传送,从而防止非法窥听。
2.1.3VLAN的划分
在分布式网络环境下,应该以机构或部门的设置来划分VLAN。部门内部的所有用户节点和服务器都必须在各自的VLAN内,互相不受侵扰。VLAN内部的连接采用交换实现,而VLAN之间的连接则采用路由实现。
2.2广域网安全技术防范措施
由于广域网多数采用公网传输数据,信息在广域网上被截取的可能性要比局域网大得多。网络黑客只要利用一些简单的包检测工具软件,就可以很轻松地实施对通信数据包的截取和破译。广域网安全应该采用以下防范技术措施:(1)加密技术。加密型网络安全技术是指通过对网络数据的加密来保证网络安全的可靠性,而不依赖于网络中数据通道的安全性。数据加密技术可以分为对称型加密、不对称型加密和不可逆加密三种。计算机系统中的口令一般是利用不可逆加密算法加密的。(2)VPN技术。该技术是指所谓的虚拟加密隧道技术,是指将企业私网的数据加密封装后,通过虚拟的公网隧道进行传输。企业在VPN建网选型时,应该注意优选技术先进的VPN服务提供商和VPN设备。(3)身份认证技术。要特别注意处置从外部拨号网络访问总部内部网的用户。因为使用公共电话网通讯风险很大,必须严格身份认证。常用的身份认证技术有Cisco公司的TACACS+,行业标准RADIUS等。
2.3安全管理队伍的建设
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
计算机网络的安全问题涉及到网络安全策略和网络安全技术防范措施,也涉及到国家对网络安全的防范监管机制及相关的法律问题,还涉及到网络安全当事者的职业道德和高技术与高感情的平衡问题。相对网络技术专业工作者来说,如果能够牢固树立正确的网络安全策略,在力所能及的范围之内,制定和实施经济有效的安全技术防范措施,并且能够经常评估和不断改进,相信计算机网络安全的局面将会永远是魔高一尺道高一丈。
参考文献
[1]严明.多媒体技术应用基础[M].武汉:华中科技大学出版社,2004.
[2]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.
[3]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003.
1.1网络实体的安全
图书馆网络中心机房是图书馆工作运行的心脏,非管理人员应禁止入内。图书馆中心机房要配备空调,使机房保持合适的温度、湿度和洁净度,从而使系统正常工作。机房应采取一定的除尘和防尘措施,为避免静电的影响,还要配置防静电地板。同时要注意中心机房的防火、防盗。
1.2网络的硬件和软件保护
要保障图书馆网络的正常运行,首先要做好计算机网络硬件和软件的防护。硬件防护的主要措施有储存器保护、虚拟内存保护、输入&输出通道控制等。软件防护措施包括设计安全的操作系统和内核,实行合理的隔离手段,安装实时记录监视程序和组织安全有效的文件保护等。
1.3图书馆网络安全管理
工作人员的培训。为正确使用图书馆管理系统,要选派本馆技术人员和业务骨干参加由软件开发部门组织的专门培训。密码管理。在图书馆管理系统的每台工作站上设置开机密码和系统管理密码,并且密码应定期更改。权限管理。
2.图书馆计算机房网络安全防范措施
2.1建立完善的网络安全管理制度
针对图书馆计算机网络系统中不安全因素,图书馆必须制定科学的、系统的网络安全管理制度。加强对图书馆计算机网络管理人员的教育,并制订严格的人员管理制度,使网络信息系统管理制度化。加强对网络计算机操作人员的职业道德、事业心、责任心的培养教育以及技术培训,使有关人员有较高的安全意识。高校图书馆应指定专业人员进行管理和监督。图书馆应指定专人负责整个网络系统硬件的维护。
2.2图书馆网络安全措施
网络防毒:在网络上安装基于Internet的在线扫毒软件,在服务器上安装基于主机的实时防病毒软件。防火墙:所谓防火墙是指一种将内部网和公众网络分开的方法。将防火墙安装在单独的计算机上,与网络的其余部分隔开,并在防火墙中安装最新的安全修补程序,保护图书馆网络资源免遭其他网络使用者的擅用或侵入。安全审计:利用安全日志做好安全审计,以便及时发现非法访问和攻击。安全扫描与入侵检测:在网络系统中利用安全扫描技术测试和评价系统的安全性,及时发现安全漏洞。
3.结语
电力信息的迅猛发展使得电力系统及数据信息网络迎来了前所未有的挑战。本文分析研究了网络系统信息安全存在的问题,全面规划了网络安全系统,提出了合理有效的安全措施、方法,大大提升了电力企业信息网络安全工作的效率。
一、网络系统信息安全存在问题分析
(一)计算机及信息网络安全意识不强
由于计算机信息技术高速发展,计算机信息安全策略和技术也有大的进展。设计院各种计算机应用对信息安全的认识离实际需要差距较大,对新出现的信息安全问题认识不足。
(二)缺乏统一的信息安全管理规范
设计院虽然对计算机安全一直非常重视,但由于各种原因目前还没有一套统一、完善的能够指导整个院计算机及信息网络系统安全运行的管理规范。
(三)缺乏适应电力行业特点的计算机信息安全体系
近几年来计算机在整个电力行业的生产、经营、管理等方面应用越来越广,但在计算机安全策略、安全技术和安全措施上投入较少。为保证网络系统安全、稳定、高效运行,应建立一套结合电力行业计算机应用特点的计算机信息安全体系。
(四)缺乏预防各种外部安全攻击的措施
计算机网络化使过去孤立的个人电脑在联成局域网后,面临巨大的外部安全攻击。局域网较早的计算机系统是NOVELL网.并没有同外界连接。计算机安全只是防止意外破坏或者内部人员的安全控制就可以了,但现在要面对国际互联网上各种安全攻击,如网络病毒和电脑“黑客”等。
二、保证网络系统信息安全的对策
(一)建立信息安全体系结构框架
实现网络系统信息安全.首要的问题是时时跟踪分析国内外相关领域信息安全技术的发展和应用情况,及时掌握国际电力工业信息安全技术应用发展动向。结合我国电力工业的特点和企业计算机及信息网络技术应用的实际,建立网络系统信息安全体系一的总体结构框架和基本结构。完善网络系统信息安全体系标准以指导规范网络系统信息安全体系建设工作。
按信息安全对网络系统安全稳定运行、生产经营和管理及企业发展所造成的危害程度,确定计算机应用系统的安全等级,制定网络系统信息安全控制策略.建立适应电力企业发展的网络系统信息安全体系,利用现代网络及信息安全最新技术,研究故障诊断、处理及系统优化管理措施。在不同条件下提供信息安全防范措施。
(二)建立网络系统信息安全身份认证体系
CA即证书授权。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。为保证网络系统信息一和安全.应建立企业的CA机构对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间,上下级CA机构之间与其他需要CA机构之间的交叉认证的技术研究工作。
(三)建立数据备份中心
数据备份及灾难恢复是信息安全的重要组成部分。理想的备份系统应该是全方位、多层次的。硬件系统备份是用来防止硬件系统故障,使用网络存储备份系统和硬件容错相结合的方式。可用来防止软件故障或人为误操作造成的数据逻辑损坏。这种对系统的多重保护措施不仅能防止物理损坏还能有效地防止逻辑损坏。结合电力行业计算机应用的特点,选择合理的备份设备和备份系统.在企业建立数据备份中心,根据其应用的特点,制定相应的备份策略。
(四)建立网络级计算机病毒防范体系
计算机病毒是一种进行自我复制、广泛传染,对计算机程序及其数据进行严重破坏的病毒,具有隐蔽性与随机性,使用户防不胜防。设计院信息网络系统采取在现有网络防病毒体系基础上.加强对各个可能被计算机病毒侵入的环节进行病毒防火墙的控制,在计算中心建立计算机病毒管理中心,按其信息网络管辖范围,分级进行防范计算机病毒的统一管理。在计算机病毒预防、检测和病毒定义码的分发等环节建立较完善的技术等级和管理制度。
(五)建立网络系统信息安全监测中心
计算机信息系统出现故障或遭受外来攻击造成的损失.绝大多数是由于系统运行管理和维护、系统配置等方面存在缺陷和漏洞,使系统抗干扰能力较差所致。信息安全监测系统可模仿各种黑客的攻击方法不断测试信息网络安全漏洞并可将测出的安全漏洞按照危害程度列表。根据列表完善系统配置,消除漏洞并可实现实时网络违规、入侵识别和响应。它在敏感数据的网络上.实时截获网络数据流,当发现网络违规模式和未授权网络访问时,自动根据制定的安全策略作出相应的反映.如实时报警、事件登录、自动截断数据通讯等。利用网络扫描器在网络层扫描各种设备来发现安全漏洞.消除网络层可能存在的各类隐患。
(六)建立完备信息网络系统监控中心
一、组织安排。xx队组织成立自查工作小组,组长为队长xxx担任,由兼职信息系统责任、运行维护和信息安全管理科室的办公室人员组成自查工作小组工作人员,按照自查任务要求,制定具体自查方案,明确本地检查对象和具体要求,落实各项保障措施,开展自查工作,撰写自查报告,并填写相应自查表。
二、制度检查。自查工作小组根据《关于开展重要信息系统及重点网站安全检查工作的通知》,对前郭队的网络安全工作的基本情况以及网站的安全保护情况的相关制度进行了检查,现有制度有:网络与信息安全管理制度、内网计算机与互联网连接制度、终端计算机安全管理制度、桌面安全管理系统制度及其他网络安全管理手段及措施制度。及时发现了问题,要求建立健全信息安全年度预算制度、信息安全发展规划。
三、完备设施。自建互联网局域网网络安全防护措施:xx队接入互联网出口数量只有一个;终端计算机已安装有效的防病毒软件;终端计算机已设置管理员口令;有专门封网计算机可处理涉密信息;机房安全中防盗、消防、供电相关设施完备。
关键词:网络环境;计算机信息;安全防护;措施
计算机技术被广泛的应用于各个领域,甚至于很多的企事业单位组建了自己的局域网,同时也伴有互联网,实现了两者之间的互联。互联网系统覆盖的范围较广、覆盖面较大,因此内部局域网会面临着严重的安全威胁,网络节点也随时会被黑客攻击。在网络环境下,办公系统的服务器和其他主机上的信息都可能会泄密,如果内部网络中的计算机受到了攻击,可能会被其他病毒感染,这样便会影响到其他的主机信息安全。网络环境的开放性、分散性等特点,为信息的交流共享创造了理想空间,与之相关的网络技术取得了更快发展,为社会进步与发展增添了活力。
1网络环境下计算机信息安全面临的威胁
(一)缺乏安全意识
计算机技术最大的优势就是实现资源的共享,同时在端口开放的条件下实现文件的传输,相对于网络环境中的其他用户信息是透明的。某些机关、企业对服务器的保护意识不足,根据相关的统计分析,存在80%的公共网站没有采取任何的防护措施,还有些企业网站在受到恶意攻击之后,并没有引起足够的重视,殊不知企业内部的重要文件早已泄密,引发经济上的重大损失。
(二)网络技术影响
计算机信息就是以互联网为重要依托,构建起一个无行政管理的世界性网络,在没有监护措施与防护措施的前提下,安全性能相对较差,因此网络犯罪具有跨区域、跨国界等特点,会给行政执法带来巨大困难,如网络木马、黑客病毒、信息间谍等成为威胁计算机信息安全的重要因素。
(三)存储潜在风险
计算机信息需要利用多种硬件介质加以存储,但是介质属于电子类产品,经过长时间的存放,往往会出现无法读取的情况。这种问题的产生主要是受到介质寿命的影响,由于硬件载体不可能永久可用,也会受到环境、磁场等影响,很容易出现变质情况,证明存储设备拥有一定的使用年限。伴随着科学技术的发展,网络环境下的信息载体技术也发生了改变,当更换读取设备时,存取的文件将无法正常读取出来。
(四)人为因素影响
新世纪面临新挑战,其中涉及到信息的竞争、人才的竞争,主要原因是对网络安全的重视程度不足,同时缺乏技术型人才的培养。很多企业中,网络维护人员并不是专业技术型人才,因此只关注对网站信息的定时更新,如配置的网络设备仍然存在着诸多漏洞,极易被非法人员利用。
2网络环境下计算机信息安全防护措施
(一)建立健全网络管理制度
企事业单位应该建立健全网络管理制度,并且将计算机信息安全视为头等大事,在法律法规基础上,根据企业的实际情况,将计算机信息的安全工作责任具体到个人。安全维护人员需要制定可行性保障,强化对全体人员的信息安全维护意识,同时加强监管监控,对运行网络的安全施以全方位管理,针对其中的薄弱环节采取适当的改进措施,不断完善企业的信息保护规章制度,对企业内部员工的账号及密码实行合理监管,若存在非法登录情况,应该及时进行维护,特别是管理人员及重要部门人员的口令与密码,特定时间内加以更换。
(二)合理维护备份文件安全
计算机硬件与网络若是遭遇了安全威胁,或发生不可抵抗的损坏时,其内部的所有文件也随之出现损坏情况,由此可见备份文件十分重要。文件的备份需要采取全方位、多层次的措施,注重软件及硬件的相互结合。硬件备份能够让系统逐渐恢复运行,软件备份可以保证重要的信息及时恢复,在对系统进行全方位多级防护的过程中,确保网络环境下计算机信息的安全可靠。
(三)病毒引擎防护措施
结合当前的网络环境分析,计算机信息安全防护情况不容乐观,因此需要采取病毒引擎防护措施,为计算机信息提供安全保障。智能化安全防护引擎可以实现对不同病毒特征码的准确扫描,同时也能实行靶向控制。利用智能化病毒引擎防护,能够对未知病毒进行严格的检查,采取针对性举措防护病毒,突破传统病毒扫描技术的限制,把高新技术手段及措施有机结合到一起,通过对存在病毒的系统防护,可以增强计算机信息对病毒的免疫力。当病毒攻击计算机时,智能化病毒引擎防护可以准确快速的进行查杀,虽然能够起到良好的病毒防护效果,但是很多时候此项举措还是显得较为被动,现阶段,实践中常用的病毒软件有Outlook、NetAnt等。
(四)安装系统漏洞补丁程序
在计算机系统设计的过程中,为了计算机信息的安全,需要软件开发商补丁程度,从而及时纠正漏洞问题。伴随着计算机系统的应用,需要定时更新网络补丁程序,同时对其进行安装,为网络系统的实际运行创造优质的安全环境。如COPS软件的应用,就是专门用来扫描漏洞的设备。
3结语
在科学技术飞速发展的今天,计算机信息安全风险逐渐增大,从实践过程分析,需要综合各方努力,为计算机信息安全提供可靠保障。在当前的时代背景下,网络成为了一种特色标志,象征着时代的进步与发展,计算机信息安全防护工作的重要性日益体现出来,与之相关的安全维护难度也随之增大。现阶段的技术条件下,计算机信息安全防护问题只能在避免的过程中不断强化具体措施,但是却无法根除,只能结合技术优选组合,保障计算机信息的安全。
参考文献
[1]陆俊,侯雅莉.浅析计算机信息安全防护措施[J].赤峰学院学报(自然科学版),2016,(12):10-12.
[2]张康荣.计算机网络信息安全及其防护对策分析[J].网络安全技术与应用,2015,(02):92+94.
[3]张嘉.网络环境下计算机信息安全防护措施[J].计算机光盘软件与应用,2014,(03):189+191.
[4]朱亮.计算机网络信息管理及其安全防护策略[J].电脑知识与技术,2012,(18):4389-4390+4395.
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内
计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
一、校园网络安全现状分析
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。
(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。
(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
参考文献:
1、王文寿,王珂.网管员必备宝典――网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.
7、孟晓明.网络信息的安全问题与安全防护策略研究[J].情报杂志,2004(3).
1主要的网络安全隐患
从目前的情况来看,计算机网络中存在的安全隐患主要包括以下几种。
1.1硬件设备安全隐患
维持网络畅通的硬件包括防火墙、路由器及交换机等,如硬件本身存在缺陷、工作环境或运行环境不良,给网络安全运行埋下严重的隐患。例如,静电、电磁波、温湿度及粉尘等环境因素,可导致硬件设备运行技术参数出现偏离问题,进而影响硬件运行的逻辑性,还可能造成热敏元件出现短路、腐蚀生锈、放电及打火等问题。
1.2网络泄密隐患
一方面,由于网络结构当中存储的数据具有一定的共享性,非法用户能够通过长期试探及冒名顶替等方法进入网络结构中窃取数据信息。另一方面,操作系统中存在漏洞也是泄密隐患存在的重要原因,在操作系统存在漏洞的情况下,非法用户可以将病毒程序种植在软件当中,进而利用软件窃取信息。此外,使用Internet的过程中也存在泄密隐患,其主要原因包括Internet连接方式可能遭到非法攻击,采用操作系统对涉密信息进行处理的过程中没有做好物理隔离措施,为网络黑客提供了利用Internet进行攻击的机会。
1.3制度与人员方面的安全隐患
在安全管理制度不健全与管理人员责任意识不强的情况下,网络极易出现各类安全隐患。例如,在管理人员的网络防范意识不强或管理人员不具备专业知识的情况下,就会造成网络安全设置难以满足安全保护需要,造成网络出现漏洞,并由此为网络的安全运行埋下多种安全隐患。
2计算机网络安全管理措施分析
2.1硬件维护管理
为了做好计算机硬件维护工作及消除网络安全隐患,可以采用以下措施。首先,应注意优化硬件设备运行环境。控制好运行环境的温湿度,减少粉尘对设备运行过程造成的影响。同时,注意避免辐射源对硬件设备的运行造成影响,并对硬件设备的工作状态进行定期检查,一旦发现存在腐蚀生锈、电磁泄漏及不良放电等问题,则应及时进行处理,注意排除非法外接及搭线窃听等影响网络安全的行为。其次,可以通过加速硬件改善网络安全隐患的防范性能。校园网络、家用网络及商用网络等通常需要传输大数据流,数据流中含有大量垃圾信息,对此可以通过加速硬件,改善硬件性能,以充分释放CPU空间及提升网络对于外界不良攻击的防御能力,进而保障网络安全。在加速处理硬件的过程中,可以根据网络系统实际吞吐量优化硬件模块算法,使硬件安全性与软件安全性均可以得到有效保障,进而为安全性能实现进一步提升奠定良好的基础。此外,可以通过优化管理路由器防范网络安全隐患。例如,可以对薄弱口令进行更新,适时修改路由器默认口令,从而起到消除安全隐患的作用,也可以尽量将路由器中的SNMP配置或HTTP配置更改为WEB配置。同时,采用混合模式的网络配置形式,包括Web通信、口令及POP3等,从而有效避免网络受到物理层面的不良攻击。
2.2网络保密管理
针对网络泄密隐患的特点与发生机制,在实际工作中应做好网络保密管理工作,从而有效消除网络中存在的安全隐患。为了确保网络保密工作的有效性,可以使用的管理措施包括以下几种。首先,应在计算机中应用访问控制保密技术,控制入网访问、网络权限、用户端等可能对网络安全带来威胁的因素,从而有效实现保密管理与消除安全隐患。控制入网访问是指对合法用户在规定时间、指定工作站登录主服务器中获取信息资源的过程加以控制,控制方法包括缺省限制用户账号、验证及识别用户口令、验证及识别用户名等,以有效阻止非法用户侵入网络中,从而确保信息处于机密状态。控制网络权限是指限制用户及用户组在主服务器中访问的资源种类,如文件、子目录及目录等,确保用户能够在规定的权限内完成操作,避免因非法操作而造成泄密问题。用户端的安全防护管理措施包括不随便在计算机中安装不明软件或程序,定期更新杀毒软件,避免随意打开存在安全隐患的邮件等。其次,在开展网络保密管理工作的过程中,还应注意处理好信息安全传输工作。同时,在计算机中安装防火墙及安全监测软件,以便可以及时了解操作系统存在的漏洞及计算机是否出现不良入侵行为,在发现不良入侵后,可以及时切断Internet连接,并查看相应的日志及应用加密技术。
2.3强化制度管理与人员管理