网络安全防护管理办法范例(12篇)
网络安全防护管理办法范文篇1
【关键词】办公局域网安全防护
现在网络是一个对人类来说极为方便的工具,自从其进入人类的生活和工作中后,一切都变得非常的方便。但是它发展得太过迅速导致有些人总想利用一些非法的途径来获得非法利益。由于各个大型企业的局域网中保存的信息都非常重要,所以对于办公局域网的安全问题就更加应该重视。网络是极为复杂的,要想让它更好地为人们服务,我们就必须好好地加以观察和研究以了解它的构造和工作原理,学会及时的处理和提早防范危机。
一、关于大型办公局域网
网络是一个很大的概念,大型办公局域网是其中的一员,但它有着自己的特点。办公局域网有两个基本部分组成,包括硬件和软件。硬件主要是复杂物理连接的部分,简单地说就是将计算机与计算机连接在一起的物体;软件是其中的核心,它的主要作用是将文件进行保存并且加以处理和分析。另外,由于办公局域网主要用于各个企业,它集中的信息都比较重要,所以它的网络覆盖范围相对比较的狭小以保证其工作运行时的安全性。对于大型办公局域网是有一定要求的:要确保机密,因为局域网中的资料是很重要的,所以要保证其中的数据和资料不会随意地泄露给其他人;要有完整性,保证局域网能将数据完整的保存下来而且没有其他人员可以将其进行随意修改;要有可用性,对其中的重要资料和数据设置访问权限确保可用;要有可控性,保证在局域网覆盖范围内,相关工作人员可以看到完整的分析和信息的流动情况;要有保密的设置,访问相关信息时加以问题的设置;还有就是要保证在一定范围内才可以使用办公局域网,除非是工作性问题,否则不允许利用大型办公局域网进行非工作性质的游戏或者聊天;最重要的是要保证有网管人员定期对大型办公局域网的安全问题进行检查并加以防护。
二、大型办公局域网风险
由于办公区域内的信息属于机密,且大型办公型局域网的覆盖面相对较大,有些企业还存在主网和子网,办公终端多,同时网络具有良好的兼容性和互操作性,以致大型办公型局域网的安全性让我们非常担忧。即使我们办公局域网面积相对非常狭小,但是非法人员的技术是高超的,他们可以通过远程控制或切入的方式让你在不知情的状况下丢失局域网内的重要信息,所以我们应该加强对局域网的安全检查和勘测监控。下面我们就大型办公局域网中主要几种安全隐患问题进行简单的讨论。
(一)病毒的侵害。随着网络的快速发展,病毒也随之较快的繁衍。病毒是非常可怕的,它不仅仅能让信息大量的流失,它还可以在一定的时间内造成局域网覆盖范围内全部计算机的系统瘫痪,这样整个企业的工作就会中断,不仅仅丢失了很多珍贵的资料还会因为工作进程的停止而让企业遭受严重的经济损失。
(二)黑客的入侵。因为网络具有良好的兼容性和互操作性,所以有很多人就利用网络的漏洞采取一些非法手段进行非法利益的获取,这些人就是我们所说的黑客。黑客们的技术是很高超的,他们总能利用非法手段窃取一些企业的机密资料然后转卖给其他企业以获得利益,当然还有一部分黑客,他们并不是为了钱财利益而是为了闲中作乐,他们的目的不是局域网中的信息而是让整个系统都瘫痪以让自己得到满足感。
(三)工作人员的工作态度。网络出现问题的原因包括外在和内在,相关工作人员的工作态度松散疏忽就是外在问题。特别是一些局域网连接着互联网时,工作人员如果因为长期的面对电脑产生了反感或者因为其他原因造成在工作时出现开小差的现象将会让很多黑客有机可乘。还有就是一些工作人员在工作中谈天说地时不小心说出了重要的信息,导致被截获。每个人都会有疏忽的时候,所以企业管理层要做到经常性监督。
(四)系统和应用程序自身存在的问题。许多使用过电脑的人都知道电脑本身的系统就存在许多漏洞,这些漏洞虽然很小,但是如果一旦被作为攻击目标就会成为很大的威胁,所以我们更应该注意防范。还有应用程序自身的问题,应用程序的动态性很强,设计的范围较为广泛,这样就会有很多的安全隐患,例如,工作人员为了在工作中看资料或传递资料的方便就会开启资源共享,这样就有可能因为某些文件的加密工作做得不好而导致信息的泄漏。还有就是通信工具,像电子邮件和一些聊天工具的使用也有可能会造成漏洞的出现。
三、相关问题的防护
(一)加强防范措施。为了更好的防止大型办公局域网出现安全隐患,我们要加强防范措施,要在办公区域的网络范围内健全网络危险预警设置,这样,在我们的网络系统出现问题时,防范预警系统可以及时的发现并通知网管人员及时进行问题的处理。同时,使用者还应注意网络安全防护原则,勤打补丁常杀毒。
(二)数据的双重管理。因为大型办公局域网容易受到侵害,而网络当中保存的相关数据又是非常重要的,为了防止受侵害时丢失重要信息,我们应该加强信息的保密工作。另外,对重要的数据系统要进行双机备份,对资料和信息要做好双重保险双备份,以备需要。
(三)制度的制约。企业管理层要加强对员工的管理力度,要经常性监督不能让他们处于松懈的状态;立法部门要健全法律制度,对于黑客应给予严惩同时又警告那些有着同样想法的人;使用者还要提高防范意识和警觉性。
四、结语
综上,本文主要就大型办公局域网的安全防护问题进行了探讨,大致分析了其中存在的安全隐患,通过简单的介绍其组成和作用并简要概括了它的工作原理和其重要之处。在工作中我们要注意一定要做到谨慎,要做好相关重要文件的加密,还有访问权限的设置,切记不能用它做非工作以外的任何事情。为了更好地保护大型办公局域网的安全我们还需要进一步分析和研究。
参考文献:
[1]颜艳华.办公局域网的组建、维护及安全防护探析[J].中国新通信,2011,05:84-91.
网络安全防护管理办法范文篇2
关键词:企业网络化;网络办公;信息安全管理
中图分类号:TP393文献标识码:A文章编号:1009-2374(2014)02-0153-02
近些年来,随着我国经济不断的发展,信息技术不断革新,企业的生存已经和计算机网紧紧绑定在一起。然而,网络的覆盖面和普及范围越来越广以及各种信息技术的不断更新,使得网络化办公存在诸多安全隐患,尤其是企业信息安全问题,因而在当今网络信息时代,保护信息等数据的安全是极为重要的。本文就针对网络信息办公中存在的安全问题进行了分析,并提出了相应的解决措施。
1企业网络化办公中存在的安全信息问题
1.1网络病毒
在当今的网络信息时代,病毒攻击防火墙随时随地都在上演;病毒感染、攻击防火墙作为盗窃信息数据的重要手段之一,其是网络办公不得不防的问题之一。如在网络办公中,经常会使用邮件进行交流、信息分享与交换,而邮件也作为当前网络病毒入侵的渠道之一,其隐藏在电子邮件及附件之中,若是没有采取相应的病毒防范措施,在邮件被打开的那一刻,企业的信息数据已然开始被复制或使得整个网络办公局域网瘫痪,给企业造成巨大的损失。
1.2数据备份存在缺陷
企业网络化办公的实时性极强,信息变化速度极快,因此数据备份就显得非常重要,如计算机中存档的数据、历史记录以及档案对企业领导层或用户来说是非常重要的,若是没有及时给予备份,一旦丢失,就会给企业造成不可预估的损失,轻则重要客户信息流失,重则导致企业的正常运行受到巨大阻碍,给生产、科研造成难以估计的损失。
1.3网络防火墙存在漏洞
防火墙软件作为保护企业网络化办公免疫病毒攻击的主要手段之一,其随着网络中病毒软件的开发而出现相应的变化,因此网络防火墙会及时更新,这也是充分发挥网络防火墙的作用,保证信息安全的主要手段之一。然而,由于管理人员不重视,认为实时更新防火墙软件麻烦,导致软件中存在漏洞,造成数据安全隐患。
2信息安全的防范措施
2.1安装防病毒软件
企业在开展网络化办公时,应考虑网络中可能被病毒感染或攻击的地方可以采取相应的防病毒措施,如以“纵深”的防御形式购买和安装相应的防病毒软件。网络技术在发展,防病毒软件在更新,病毒同样如此,尤其是企业网络化办公,单机防病毒已经不足以对网络病毒进行扫描和彻底清除,因此,必须购买和安装能适应局域网,且全方位、无死角的防病毒软件。防病毒软件的安装,能有效地识别网络内部交流中隐藏的病毒,如邮件或附件中隐藏的病毒。
2.2数据备份
为了保证企业重要数据不丢失,避免企业因数据丢失造成损失,对计算机中数据进行备份是极为重要的,也是必须采取的防范措施之一,这对保障企业的生产、产品研发、销售等正常运行,有着重要的意义。企业应根据自己的经济能力和信息的存储及更新能力,选择合适的数据备份方式,如网络硬盘备份、硬盘备份等。
2.3架设防火墙
防火墙作为当前应用最广泛、最有效的网络安全机制之一,其是预防和避免Internet上存在的不安全因素,如木马病毒等,蔓延到企业使用的局域网内部的有效措施之一,也是保证整个局域网安全的重要环节之一。架设防火墙对于一个需要保证信息安全的企业来说非常有必要,它会对外部网络和内部网络之间流通的所有数据进行检验和筛选,只有符合企业所设定的信息安全策略的交流数据才能避免被防火墙拦截,同时,防火墙本身还具有极强的抗攻击免疫能力。
2.4设定访问权限
访问权限设置和控制作为防范网络不安全因素和保证网络安全的重要手段之一,其主要任务是避免企业内部网络资源被非法或越权访问和使用,这是保障企业信息安全的核心策略之一。因此,依据企业对网络信息的实际要求,制定相应的访问控制权限,如目录级控制、属性控制、网络权限控制、网络IP地址控制以及入网访问控制等手段均可起到作用。
3网络办公信息安全管理策略
企业网络安全的核心在于管理,而安全管理的保证在于技术,因此“七分管理,三分技术”是保证企业网络信息安全的重要策略和实施手段。只有制定和完善信息安全的规章制度,规范企业用户使用信息的行为,同时与安全技术相互结合,企业使用的网络系统及信息数据安全才有保障。
3.1强化企业用户的信息安全防范意识,提升其综合素质
无论是企业决策人员,还是企业员工,其思想上对网络安全的重视和认识对企业信息安全是极为重要的,要落实安全保密工作的职责,定期开展数据安全防范教育,并制定相应的保密措施对企业员工或领导层进行要求,提升其数据安全的预防意识和保密意识。同时,网络信息安全管理需要专业的人才来进行相应的操作和监控,因此,企业要依据自身的实际需求,储备和招揽相应的计算机专业人才,并定期对其进行培训,提升企业数据安全的整体防护能力。
3.2完善管理制度,加强管理力度
企业在实施宏观的数据安全管理措施的同时,还要与重点、有针对性监控方式相结合,这样才能最大程度上保障企业信息安全。同时,依据企业各个部分涉及的信息量和核心信息量大小,加强管理力度,制定并实施相关的网络信息安全管理办法,将每个安全管理环节进行细化,落实信息安全防范的责任,做到“谁用谁负责”,这对保证企业网络化信息安全有着重要的意义。
3.3加强对核心数据的管理
企业核心数据涉及到企业未来发展战略的各个方面,其包含产品占据市场的方法、活动方案、策划方案等各种手段,这与企业的未来息息相关,因此,加强对企业核心数据等信息的管理是非常重要的。依据核心数据管理所涉及的对象,如领导层、决策层以及网络安全部门等人员,制定相应的制度进行规范,无论是信息的使用,还是数据的拷贝,都需要相应的秘钥进行确认,这能有效避免数据被非法盗取或使用。
4结语
计算机网络技术、信息技术的快速发展,使得企业的办公形式与业务发展发生了根本性的改变,企业的生存和盈利更是与网络紧紧联系在一起,而网络中存在的病毒、黑客等不安全因素也给企业网络化办公的信息安全带来巨大威胁,因此加强企业网络信息安全的管理和防范,对企业未来的发展将会显得越来越重要。
参考文献
[1]刘韫.企业网络信息安全面临风险及常用防护措
施[J].网络安全技术与应用,2013,(9).
[2]赵治谊.浅析企业网络信息安全管理机制[J].中
国电子商务,2012,(8).
[3]赵婷婷.关于企业网络信息安全的防范措施研究
[J].科海故事博览・科技探索,2013,(3).
[4]苟有来,周琦.大中型企业网络信息安全面临风险
网络安全防护管理办法范文篇3
网警在没有硝烟的战场上建功
2011年7月,中共中央政治局常委、中央政法委书记在广东调研时,先后考察了腾讯数据平台、深圳网警腾讯警务室,了解企业在QQ、微博等领域的发展情况和网络警察为维护网上秩序所做的工作。指出,网络虚拟社会对现实社会的影响越来越大,政府要依法加强管理,互联网企业也要加强行业自律,使互联网在服务民生、促进发展、维护和谐稳定中发挥更加积极的作用。
据了解,活跃在全国各地的网警队伍已经成为网络综合防控体系最为重要的一环。“网络安全综合防控体系”是预防、控制和打击各类网络违法犯罪活动,保障互联网络安全运行的一项系统工程。
为了进一步扩大虚拟社会管理和网络治安防控的深度和广度,天津市成立了由市委宣传部牵头,市网管办、市公安局、市通信管理局以及市维稳办、市防范办等政法系统有关部门参加的政法维稳宣传舆论工作联席会议,有针对性地开展维稳工作,全面加强对新兴媒体的管理。
网上治安防控向网下延伸
在互联网时代,随着加强和创新社会管理工作的开展和推进,有关部门充分利用互联网平台的优势,将网上治安防控网络向网下延伸,实现了有效联动。2010年以来,济南公安把推行“涉网警务”作为服务民生的重要切入点,开通了集网上办事、服务群众、政策宣传、政务公开、社会监督等功能于一体的电子警务平台――“济南公安服务在线”。为了大力推进互联网安全管理创新工作,积极构建专群结合、责任共担、合作共赢的虚拟社会群防群治机制,湖南省长沙市首家网安警务室――“红网网安警务室”也于2011年正式挂牌成立并投入使用。除了网上管理外,各级政府部门还积极将网上治安防控和虚拟社会管理工作与现实工作相结合,提高其实际效果。天津市在联合多部门进行网络治安防控和虚拟社会管理的过程中,积极组织开展上网服务场所信息安全管理系统建设,落实上网营业服务场所上网实名制度,推进非经营性上网服务场所的安全保护技术措施,全面提升了当地上网服务场所安全管理水平。此外,天津市还要求政府各相关部门加大对电信运营企业的监督检查力度,优化网络应用结构。
网络安全防护管理办法范文篇4
一、计算机涉密信息管理情况
今年以来,我局加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照局计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我局配备了防病毒软件、网络隔离卡,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
三是日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我局每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故;UPS运转正常。网站系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常
我局网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我局对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在局开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
六、网站安全及
我局对网站安全方面有相关要求,一是使用专属权限密码锁登陆后台;二是上传文件提前进行病素检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、安全制度制定落实情况
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我局结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全局人员学习有关网络知识,提高计算机使用水平,确保预防。
八、安全教育
为保证我局网络安全有效地运行,减少病毒侵入,我局就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
网络信息安全自查报告(二)
根据路局《关于在全局范围内开展网络与信息安全检查行动的通知》(XXXXXXXX)文件精神。我站对本站网络与信息安全情况进行了自查,现汇报如下:
一、信息安全自查工作组织开展情况
1、成立了信息安全检查行动小组。由站长、书记任组长,相关科室(车间)负责人、信息技术科全体人员为组员负责对全站的重要信息系统全面排查并填记有关报表、建档留存。
2、信息安全检查小组对照网络与信息系统的实际情况进行了逐项排查、确认,并对自查结果进行了全面的核对、梳理、分析。整改,提高了对全站网络与信息安全状况的掌控。
二、网络与信息安全工作情况
1)组织成立了网络与信息安全检查工作小组,由站长、书记任组长,相关科室(车间)负责人、信息技术科全体人员为组员。
2)研究制定自查实施方案,根据系统所承担的业务的独立性、责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素,对客票发售与预订系统、旅客服务系统、办公信息系统进行全面的梳理并综合分析。
2、8月6日前对客票发售与预订系统、旅客服务系统、办公信息系统的基本情况进行逐项排查。
1)系统安全基本情况自查
客票发售与预订系统为实时性系统,对车站主要业务影响较高。目前拥有IBM服务器2台、cisco路由器2台、cisco交换机13台,系统均采用windows操作系统,灾备情况为系统级灾备,该系统不与互联网连接,防火墙采用永达公司永达安全管控防火墙。
旅客服务系统为实时性系统,对车站主要业务影响较高。目前拥有HP服务器13台、H3C路由5台、H3C交换机15台,系统采用linix操作系统,数据库采用SQLServer,灾备情况为数据灾备,该系统不与互联网连接,安全防护策略采用按照使用需求开放端口,重要数据均采用加密防护。
2)安全管理自查情况
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
存储介质管理方面,完善了《存储介质管理制度》,建立了《存储介质管理记录表》。
运行维护管理方面,建立了《客服系统维护标准》、《运行维护操作记录表》,完善了《日常运行维护制度》。
3)网络与信息安全培训情况
三、自查发现的主要问题和面临的威胁分析
四、改进措施
五、整改效果
网络信息安全自查报告(三)
学校接到:“重庆市巴南区教育委员会关于转发巴南区信息网络安全大检查专项行动实施方案的通知”后,按文件精神立即落实相关部门进行自查,现将自查情况作如下报告:
一、充实领导机构,加强责任落实
接到文件通知后,学校立即召开行政办公会议,进一步落实领导小组及工作组,落实分工与责任人(领导小组见附件一)。鱼洞二小网络安全大检查专项行动由学校统一牵头,统一指挥,学校信息中心具体负责落实实施。信息中心设立工作小组(工作小组见附件一),小组成员及各自分工落实管理、维护、检查信及培训,层层落实,并坚决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则,保障我校校园网的绝对安全,给全校师生提供一个安全健康的网络使用环境。
二、开展安全检查,及时整改隐患
1、我校“网络中心、功能室、微机室、教室、办公室”等都建立了使用及安全管理规章制度,且制度都上墙张贴。
2、网络中心的安全防护是重中之重,我们分为:物理安全、网络入出口安全、数据安全等。物理安全主要是设施设备的防火防盗、物理损坏等;网络入出口安全是指光纤接入防火墙->路由器->核心交换机及内网访问出去的安全,把握好源头;数据安全是指对校园网的数据备份、对不安全的信息进行处理上报、对信息的过渡等。信息中心有独立的管理制度,如网络更新登记、服务器资源、硬盘分布统计资料、安全日志等,便于发现问题,既时查找。
4、强化网络安全管理工作,对所有接入我校核心交换机的计算机设备进行了全面安全检查,对操作系统存在漏洞、防毒软件配置不到位的计算机进行全面升级,确保网络安全。
5、规范信息的采集、审核和流程,严格信息审核,确保所信息内容的准确性和真实性。每周定时对我校门户网站的留言簿、二小博客上的贴子,留言进行审核,对不健康的信息进行屏蔽,对于反映情况的问题,备份好数据,及时向学校汇报。
6、本期第三周我校在教职工大会组织老师学习有关信息网络法律法规,提高老师们合理、正确使用网络资源的意识,养成良好的上网习惯,不做任何与有关信息网络法律法规相违背的事。
7、严格禁止办公内网电脑直接与互联网相连,经检查未发现在非涉密计算机上处理、存储、传递涉密信息,在国际互联网上利用电子邮件系统传递涉密信息,在各种论坛、聊天室、博客等、谈论国家秘密信息以及利用QQ等聊天工具传递、谈论国家秘密信息等危害网络信息安全现象。
三、存在的问题
1、由于我校的网络终端300多个点,管理难度大,学校没有多余的经费来购买正版杀毒软件,现在使用的是伪版的或者免费版本的杀毒软件,这给我们的网络安全带来了一定的风险。
2、我校的服务器共有5台,但我们没有一套网络管理软件,平时全靠人工手动去管理,管理难度大,所以平时难免有忘补丁升级的时候,这难免也存在一定的安全风险。
网络安全防护管理办法范文
关键词:网络管理维护
0引言
随着网络技术的发展和局域网的普及,高职院校基本建立了以信息资源服务为主要功能的办公网络,从而优化了办公环境,提高了办公效率。然而互联网运行环境“危机四伏”,病毒层出不穷,网络攻击越来越猖獗,管理不到位、网络不稳定等原因致使办公网络的安全稳定受到极大的挑战,作为现代化网络信息交流、办公平台的功能得不到完全发挥。因而对网络进行科学、规范、高效的管理与维护,保障办公网络系统、信息系统的安全运行就变得尤为重要。
我院新校区的投入使用,新、老校两地办公对网络办公的依赖越来越大。管理制度不完善、网络设备分布不均衡、更新不合理等原因使办公网的经常发生运行缓慢甚至中断的情况,给正常办公带来了很多不便。结合自己近几年在网络管理与维护的工作中的经验与教训,对以下解决策略进行分析和探讨。
1合理分配网络软硬件资源
高职院校多数是从中等职业技术学校合并、升格而来的,成立时间较短,网络信息化起步较晚,网络软硬件资源配备不完善,与其他高等院校相比均存在较大的差距。不少学校的软硬件设备更新、淘汰缓慢。有些院校的中心关键设备技术落后,有些部门的网络软硬设备是淘汰下来的或自主购买的,学院没有统一的购置管理。有的部门为了节约资金,购置低端的集线器和交换机等设备,造成软硬设备良莠不齐,网络稳定性比较差。因而要加快网络基础设施的更新,根据网路需要合理配置软硬件资源,为整个办公网络的稳定运行打下物质基础,为办公网提供稳定高效的信息技术平台。
2实施网络监控与安全管理
监视、控制和记录局域网上计算机在互联网上活动行为,它可以实时记录局域网内计算机所有收发的邮件、浏览的网页以及FTP上传下载的文件,监视和管理网内用户的聊天行为,限制、阻断网内用户访问指定网络资源或网络协议。
网络安全管理指保障合法用户对资源安全访问,防止并杜绝黑客蓄意攻击和破坏。它包括授权设施、访问控制、加密及密钥管理、认证和安全日志记录等功能。
2.1共享权限控制
2.1.1共享文件权限控制为防止网络滥用、保护机密文件,为网络内共享文件资料设置不同权限,防止用户匿名非法访问机密文件。
2.1.2共享硬件权限控制为充分利用办公资源,办公网内经常共享打印机、网络硬盘等硬件设备,要保证这些设备的安全使用,分配使用权限,杜绝非法用户的使用与控制。
2.2网络管理系统控制使用先进的网络行为管理系统软件和设备,对办公网实施监控和管理。在服务器端或是互联网络进出口处安装管理控制软件,对整个网络的各种活动进行监控,主要包括Email、上传下载、网页浏览、QQ/MSN即时通信、网络游戏、P2P等,保证网络中无娱乐、无色情、无私人文件、无病毒。
2.3实施客户机安全管理与维护
2.3.1为客户机安装系统还原一是使用如还原精灵、一键GHOST等工具软件为客户机安装系统备份与还原。一旦系统瘫痪或被病毒侵蚀,可以快速对系统进行恢复还原;二是使用硬盘保护还原工具软件如冰点还原,对系统所在分区进行保护,使电脑每次重新启动都是安全稳定的。从而使整个网络维护工作变得非常简单,有效保证了客户机的安全稳定。
2.3.2安装网络版杀毒软件,开启防毒监控购置网络版杀毒软件如瑞星、卡巴斯基等,为办公网内电脑安装网络版杀毒软件。对杀毒软件病毒库定期升级,开启防毒监控,防止病毒的扩散与传染,及时查杀病毒与木马程序。
2.3.3屏蔽电脑外接可移动设备,使用邮件等方式传输文件对客户机的USB端口采取物理隔离、系统限制补丁、BIOS限制等方式,使客户机不能插优盘等外接可移动设备,阻断病毒传染源。确需传输文件时可以使用电子邮件、及时通讯软件、网络共享等方式进行传输。
2.4实施服务器安全管理与维护
2.4.1网络管理人员权限管理提高网络管理人员的安全意识,使用不同的权限控制对系统资源的访问。各级网络管理根据自己的职责权限,使用不同的密码对系统数据进行合法操作,防止用户越权访问数据和使用网络资源。
在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
2.4.2安装杀毒软件和防火墙由服务器上的网络管理员集中设置和管理整个网络中的网络版杀毒软件,提供高效的网络病毒防范措施。病毒对网络上的资源进行破坏攻击时,可以通过服务器网关上的杀毒软件进行杀除和隔离。
在服务器端安装防火墙,可以有效的保护网络免遭黑客袭击。防火墙是一种用来加强网络访问控制,防止外部网络的非法用户进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
2.4.3服务器操作系统安全对服务器实施安全检查、漏洞修补、及系统备份、系统安全审计、入侵检测,保证服务器操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全。因而要对服务器操作系统定期升级、打补丁,对系统安全漏洞进行修补;通过制作系统备份可以快速的搭建服务器平台;还可以将网络链路层上提取的网络状态信息提供给入侵检测系统,判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。
3完善办公网络管理机构与制度
不少高职院校没有设立专门的网络管理机构,没有使网络管理工作细化到人,日常网络管理工作多由其他部门兼管,形同虚设,没有形成完善的办公网络管理制度。因而要建立有力的管理机构和配套的制度,保证网络正常稳定的运行。
3.1日常管理制度建立日常管理制度,加强网络中心环境、门锁安全管理;定期检测、备份网络运行状况、日志;对主干交换机等关键设备的性能和工作状态进行监视,维护网络关键设备的正常工作;及时做好网络故障处理工作,并进行详细记录。
3.2网络信息登记制度对网络内人员信息、硬件设备、
使用地点、IP、物理地址、网络拓扑、网络管理责任人等网络信息进行登记,不仅简化查询时间,而且方便管理。通过网络信息的登记,可以合理分配管理整个网络的软硬件资源,及时对网络故障进行定位和处理,提高网络管理与维护的效率。
3.3使用人员行为规范制度行为规范制度建设的滞后,是工作人员沉迷网络的重要原因。面对日益泛滥的非工作上网行为,从制度上制定条例和从执行上进行控制都是必要的。应对非工作上网行为的性质、类型、严重程度、奖惩标准进行明确的界定,制定管理条例,做到有章可依、有令可处,并加以宣传教育,从思想意识上规范上网行为,从制度上有效地减少非工作上网行为。
3.4网络管理人员工作考核细则及津贴发放方案制定网络管理人员工作考核细则及津贴发放方案,对网络管理人员进行绩效考核,有奖有罚,提高网络管理人员的工作主动性和积极性。使办公网络得到及时的维护,保证办公网的正常、高效的运行。
办公网的管理与维护涉及技术、管理、使用、维护等多方面的内容,既需要网络管人员具有高级的技术措施,又需要整个网络用户提高安全意识和安全措施,同时也有网络软硬件设备的巨大作用。因此办公网的管理与维护需要全方位的协作与配合,才能使之畅通无阻、高效运行。
参考文献:
[1]乔正洪等.计算机网络技术与应用.清华大学出版社.2008.
网络安全防护管理办法范文篇6
论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(smis)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。www.lw881.com究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(vlcc)的计算机局域网结构图。
图表2是船舶计算机网络拓扑结构图。其中,局域网服务器采用hpcompaqdx7400(pentiumduale2160/1.8ghz/ddr2512m/80g);网关采用industrialcomputer610(p42.8ghz/ddr333512m/80g);交换机采用d-linkdes-1024d快速以太网交换机(10/100m自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用amosmail或rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软windows系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义isms的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循pdca的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
网络安全防护管理办法范文篇7
【关键词】IEEE802.1X;网络安全;认证协议;网络准入;数网交换机
1背景
为保障办公网络信息系统的安全运行和业务正常开展,按照公司网络与信息安全保卫专项工作方案的要求,加强计算机终端接入管控、安全防护等工作,落实网络准入与终端防护等终端控制措施,确保合法用户和安全终端能够正常访问网络资源,非法用户或不符合安全管理办法终端不能够访问网络资源,保障网络与信息的安全为目的。按照公司计算机终端安全管理要求,强化网络准入控制与终端安全防护系统的设计,开展计算机终端的网络接入管控、安全防护等工作,落实网络准入与终端防护等终端控制措施,解决计算机终端安全管理措施落实难、控制难、覆盖面不全、防护技术不统一和支撑环境等问题,本文主要对IEEE802.1X认证技术在接入层交换的实现过程进行了详细探讨。
2总体架构
本项目重点增强终端接入公司网络的准入控制和入网安全检查能力,网络准入控制与终端安全防护系统主要包括:计算机终端、网络准入控制策略服务组件、数据存储组件、管理控制台。
具体的系统架构方式如图1系统架构方式示意图所示:
2.2接入层交换机配置实现方案
本次实现IEEE802.1x认证系统中使用设备主要为H3C3610系列交换机作为接入层交换机,以H3C9508系列作为汇聚层交换机。图2数据网交换机系统拓扑图为本系统数据网交换机网络拓扑图。
3网络中常见广播风暴的预防措施
办公楼数据网交换机日常使用出现网络广播风暴的原因主要是用户对网络不了解,在自己使用的电脑终端发生网络故障时盲目处理,看见有掉落的网线时就插上用户所能看见的网络端口,或办公室内的HUB上,导致产生物理环路,从而产生“广播风暴”[2]。产生物理环路的的常见现象有两种:
一种是在接入层交换机上两个物理端口被网线物理连接起来从而产生物理环路。此类环路现象利用STP-SpanningTreeProtocol(生成树协议)协议,能有效的防止该类故障出现。
第二种现象是接入层交换机下联的HUB(集线器)上面被一条物理网络线的两端,同时接在了HUB的两个端口上面。此类环路由于在接入层下联HUB上出现,HUB上没有相关端口配置,产生的物理环路不能由STP协议计算,所以当产生物理环路时广播数据包还是走进了数据网交换机,此类环路现象需要数据网交换机上另一个协议命令解决:loopback-detectionenable(数据网交换机端口环回监测功能)。
当用户开启数据网交换机端口环回监测功能后,交换机便定时监测各个端口是否被外部环回。如果发现某端口被环回,交换机会根据用户配置进行相应处理。
4实施过程遇到的问题
本系统采用SymantecEndpointProtection软件发起802.1X认证协议,在H3C交换在802.1x协议认证过程技术不成熟,存在部分缺陷,产生了认证循环。虽然认证通过了,但交换机还向客户端发送Authenticationtimeout的信息,而客户端接收到请求后回应一个EAP-Response报文给认证服务器,其中包括用户名、密码。当用户数量少的时候,网络还能承受,但用户数量达到一定数量的时候,网络质量明显下降。后来跟厂家协调,原来在其他地方也有出现类似问题,厂家提出解决方案在端口配置上加入undodot1xhandshake这个命令跳过“握手”阶段后,网络才能正常运行,具体端口配置如下:
interfaceEthernet1/0/5//进入端口E1/0/5
portlink-modebridge//端口工作为二层模式
portaccessvlan105//端口划入Vlan105
loopback-detectionenable//端口环路监测功能开启
stpedged-portenable//设置为STP生成的边缘端口
dot1xguest-vlan824//当认证失败是划入Vlan824
undodot1xhandshake//跳过802.1x认证的握手
dot1xport-methodportbased//基于端口的认证模式
dot1x//在本端口下启动802.1x认证协议
5办公网络中产生物理环路的相关测试
如果在交换机的的端口配置上缺少stpedged-portenable命令,在少量用户测试时是使用正常的,但推广到整个办公大楼上使用的时候发现每天早上8:30-9:00,办公大楼的网络总要中断4-5次,每次中断1-2分钟。经过分析,原来是整个办公网络上每一端口状态“开”跟“关”,都使得整个网络的生成树结构重新计算。上班开关机高峰期,发生了网络资源耗尽,导致网络中断的故障。
在百兆网络端口上使用stpedged-portenable(把网络端口设置为STP边缘端口)命令后,在接入层交换机的全局配置上使用stpenable,stpbpdu-protection命令,这样只有在整台交换机状态为“down”的时候STP生成树才重新计算。经测试证明,在交换机上相关配置能有效阻止由于网络物理连接线的错误连接导致的网络瘫痪现象。
6结论
本文基于一个以802.1x协议实现的网络接入认证方法,在搭建的办公网络中,实现802.1x协议中的认证系统和认证服务器端的功能。对办公网络安全机制和认证过程分析的基础上,结合实际的测试结果,得出以下结论:
(1)通过对802.1x协议的认证过程分析,采用对非法用户划分到隔离网段的方法,经认证服务器验证,若为合法用户则划分到办公网络中,分配正确的IP地址。如果为非法用户则划分到隔离网段。不能访问公司的办公网络划分到GUESTVLAN,能有效的控制非法用户的接入。
(2)在交换机配置对防止办公网络日常运行中经常出现的物理环路产生“广播风暴”有了明显的预防效果。系统运行了将近半年,没有一个由于物理网线形成环路,而导致网络瘫痪的现象。
参考文献:
[1]陈玲,王斐,夏暄.基于IEEE802.1x和EAP—TLS的无线局域网认证和密钥管理的研究与实现[D].北京:计算机应用与软件,2008.
网络安全防护管理办法范文
关键词:电子政务;信息安全;OAERP
1.背景
随着电子政府的飞速发展,在带来办公便利的同事,也使政务信息面临前所未有的网络信息安全的威胁。电子政务系统一旦发生信息被窃取,网络瘫痪,将瘫痪政府职能的履行,对政府职能部门以及社会公众产生严重的危害。
2.系统安全现状
根据省电子政务内外网的建设目标和建设原则,充分利用现有网络资源,充分整合市政府原有的办公资源网,公务外网,将原办公系统整合到统一的办公业务资源平台上。将办公业务资源网与公务外网、互联网实施物理隔离,公务外网与国际互联网实施逻辑隔离。
电子政务的网络平台,承载多个业务单位系统数据传输,核心交换区应具有良好的安全可控性,实现各业务网络的安全控制。由于安全防护为整个网络提供NET、防火墙、VPN、IDS、上网行为管理、防病毒、防垃圾邮件等功能,因此,政府建立办公业务资源网的工程虽是非涉密网,但安全保密仍然是工程建设的重点内容。存在的问题如下图:
图2.1
(1)缺乏统一的访问控制平台,各系统分别管理所属的系统资源,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;
(2)缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为;
(3)缺乏统一的权限管理,各应用系统有一套独立的授权管理,随着用户数据量的增多,角色定义的日益复杂,用户授权的任务越来越重;
(4)缺乏统一内部安全规范。为了保证生产、办公系统的稳定运行,总部及各部门制定了大量的安全管理规定,这些管理规定的执行和落实与标准的制定初衷存在一定距离。
3.网络与信息安全平台设计方案
3.1设计思路
信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念,即信息保障的WPDRR模型。
3.2安全体系设计方案
综合安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等。目前,政府网络中心安全设计主要包括:信息安全基础设施和网络安全防护体系的建设。
3.3.1信息安全基础设施设计方案
信息安全基础设施总体设计方案架构如下图:
图3.1信息安全基础设施设计方案
基于PKI/PMI的信任体系和授权体系提供了基本PKI数字证书认证机制的试题身份鉴别服务,建立全系统范围一致的新人基准,为整个政府信息化提供支撑。
网络病毒防治服务体系采取单机防病毒和网络防病毒两类相结合的形式来实施。网络防病毒用来检测网络各节点病毒入侵情况,保护网络操作系统不受病毒破坏。作为网络防病毒的补充,在终端部署单机反病毒软件,实现动态防御与静态杀毒相结合,有效防止病毒入侵。
边界访问采取防火墙和网闸来实施。网闸可以切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。可以根据需求采取不同的方案。
3.3.2网络安全防护体系设计方案
图3.2网络安全防护体系设计方案
由于网络是承载各种应用系统的载体,因而网络系统的安全是十分重要的,必须从访问控制、入侵检测、安全扫描、安全审计、VPN等方面来进行网络安全设计。
在应用层,根据网络的业务和服务,采用身份认证技术、防病毒技术、网站监控与恢复系统以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全。
在应用系统的开发过程中,要充分考虑到系统安全,采用先进的身份认证和加密技术,为整个系统提供一套完整的安全身份认证机制,以确保每个用户在合法的授权范围内对系统进行相应的操作。
3.3.3灾难备份系统设计方案
灾难备份是为在生产中心现场整体发生瘫痪故障时,备份中心以适当方式接管工作,从而保证业务连续性的一种解决方案。
备份中心具备与主中心相似的网络环境,例如光纤,E3/T3,ATM,确保数据的实时备份;具备日常维护条件;与主中心相距足够安全的距离。
当灾难情况发生,可以立即在备份中心的备份服务器上重新启动主中心应用系统,依靠实时备份数据恢复主中心业务。
4.网络架构
针对办公业务资源网和公务外网既要相互隔离又有数据交互的特点,在两网之间部署网闸;为了分别保证两网的安全,在核心交换区分别进行防火墙的部署,在核心交换区和应用服务器区分别部署IDS;建立智能安全管理中心,在办公业务资源、公务外网部署流量检测系统,于公务外网设置流量清洗系统,抗DDOS攻击。在系统安全方面部署防病毒系统,另外公务外网部署了Web应用防火墙、网页防篡改系统。通过安全集成在办公业务资源、公务外网各部署一套网络管理平台系统和安全管理平台系统。为防止外来终端接入对内部网络安全的影响,将引入终端准入产品。
5.电子政务公务外网安全设计总结
综上所述,根据市政府网络中心功能需求,我们在网络中心建立入侵监测系统、防火墙系统、防病毒系统、内网管理系统。在通过一系列技术手段对电子政务网络防护的同事,加强了安全管理手段。实现技术和行政双重方式来维护整个系统的安全,在通过对网络使用人员、管理人员进行信息安全知识培训,有效的发挥了网络安全防护效果,达到了放牧目的。
参考文献:
[1]龚俭.计算机网络安全导论[M].东南大学出版社.
[2]闫宏生,等.计算机网络安全与防护[M].电子工业出版社.
网络安全防护管理办法范文篇9
【关键词】办公自动化网络网络安全病毒黑客
引言
企业内部办公自动化网络一般是基于TcrilP协议并采用了Internet的通信标准和Web信息流通模式的Intra-net,它具有开放性,因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。
1.办公自动化网络常见的安全问题
1.1黑客入侵
目前的办公自动化网络基本上都采用以广播为技术基础的以太网。在同一以太网中,任何两个节点之间的通信数据包,不仅可以为这两个节点的网卡所接收,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。另外,为了工作方便,办公自动化网络都备有与外网和国际互联网相互连接的出入口,因此,外网及国际互联网中的黑客只要侵入办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息;而本网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。
1.2病毒感染
随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。
1.3数据破坏
在办公自动化网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵入,黑客基于各种原因侵入网络,其中恶意侵入对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、FAT表、文件目录等;病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件;病毒还可能攻击CMOS,破坏系统CMOS中的数据。第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。
2.网络安全策略
2.1网络安全预警
办公自动化网络安全预誓系统分为入侵预警和病毒预警两部分。
入侵预警系统中,入侵检测可以分析确定网络中传输的数据包是否经过授权。一旦检测到入侵信息,将发出警告,从而减少对网络的威胁。它把包括网络扫描、互联网扫描、系统扫描、实时监控和第三方的防火墙产生的重要安全数据综合起来,提供内部和外部的分析并在实际网络中发现风险源和直接响应。它提供企业安全风险管理报告,报告集中于重要的风险管理范围,如实时风险、攻击条件、安全漏洞和攻击分析;提供详细的入侵告警报告,显示入侵告警信息(如入侵IP地址及目的IP地址、目的端口、攻击特征),并跟踪分析入侵趋势,以确定网络的安全状态;信息可以发往相关数据库,作为有关网络安全的决策依据。
病毒预警系统通过对所有进出网络的数据包实施不间断的持续扫描,保持全天24小时监控所有进出网络的文件,发现病毒时可立即产生报警信息,通知管理员,并可以通过IP地址定位、端口定位追踪病毒来源,并产生功能强大的扫描日志与报告,记录规定时间内追踪网络所有病毒的活动。
2.2数据安全保护
对于数据库来说,其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类,入侵保护应主要考虑以下几条原则:物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。
2.3入侵防范
2.3.1内外网隔离
在内部办公自动化网络和外网之间,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。
第一层隔离防护措施是路由器。路由器滤掉被屏蔽的IP地址和服务。可以首先屏蔽所有的IP地址,然后有选择的放行一些地址进入办公自动化网络。
第二层隔离防护措施是防火墙。大多数防火墙都有认证机制,无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
2.3.2访问控制
办公自动化网络应采用访问控制的安全措施,将整个网络结构分为三部分,内部网络、隔离区以及外网。每个部分设置不同的访问控制方式。其中:内部网络是不对外开放的区域,它不对外提供任何服务,所以外部用户检测不到它的IP地址,也难以对它进行攻击。隔离区对外提供服务,系统开放的信息都放在该区,由于它的开放性,就使它成为黑客们攻击的对象,但由于它与内部网是隔离开的,所以即使受到了攻击也不会危及内部网,这样双重保护了内部网络的资源不受侵害,也方便管理员监视和诊断网络故障。
2.3.3内部网络的隔离及分段管理
内部网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。办公自动化网络可以根据部门或业务需要分段。网络分段可采用物理分段或逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层上分为若干网段,各网段相互之间无法进行直接通讯;逻辑分段则是指将整个系统在网络层上进行分段。并能实现子网隔离。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现隔离。
2.4病毒防治
相对于单机病毒的防护来说,网络病毒的防治具有更大的难度,网络病毒防治应与网络管理紧密结合。网络防病毒最大的特点在于网络的管理功能,如果没有管理功能,很难完成网络防毒的任务。只有管理与防范相结合,才能保证系统正常运行。
2.5数据恢复
办公自动化系统数据遭到破坏之后,其数据恢复程度依赖于数据备份方案。数据备份的目的在于尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:实时高速度、大容量自动的数据存储、备份与恢复;定期的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
结束语
网络安全防护管理办法范文1篇10
摘要:分析了调度自动化系统的不同应用对安全性、可靠性、实时性、保密性的不同特殊要求。提出了建立调度自动化系统的安全防护体系,在技术体制方面,应该在通道层建立调度专用数据网络;在防护措施方面,应该采取必要的技术手段,并建立严格的安全管理规章制度,以确保调度自动化系统的安全。
关键词:调度自动化系统数据网络安全防护
1.引言
目前数据网络在电力系统中的应用日益广泛,已经成为不可或缺的基础设施。国家电力数据网一级网从1992年2月一期工程开始规划建设,到1997年7月二期工程开通运行,迄今已有近十年的发展历史。目前国家电力数据网同时承载着实时准实时控制业务及管理信息业务,虽然网络利用率较高,但安全级别较低、实时性要求较低的业务与安全级别较高、实时性要求高的业务在一起混用,级别较低的业务严重影响级别较高的业务,并且存在较多的安全隐患。随着信息与网络技术的发展,计算机违法犯罪在不断增加,信息安全问题已经引起了政府部门和企业的高度重视。因此根据调度自动化系统中各种应用的不同特点,优化电力调度数据网,建立调度系统的安全防护体系具有十分重要的意义。
2.电力系统中各类网络应用的特点
电力系统中网络应用的分类方法有许多种,根据业务类型、实时等级、安全等级等因素,电力系统的网络应用主要可分为生产数据传输和管理信息传输两大类,另外其他的应用还包括话音视频传输和对外服务等。不同的应用系统对安全有不同的要求,如图1所示。
生产控制类中的基于TCP/IP的数据业务,速率要求不高,数据流基本恒定,但业务实时性较强,其中遥控遥调更与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。从应用范围来看,生产控制类业务分布在各网省调及大量发电厂和变电站,属于较特殊的一类窄带业务。
管理信息类业务突发性很强,速率要求较高,实时性不强,保密性要求较高,覆盖除生产控制类以外的所有数据业务,其网络布局集中于行政办公中心,一般要求为宽带网络。
话音视频类业务是指建立在IP平台上的电话及会议电视,对实时性要求高,安全可靠性无特殊要求,目前其质量还有待提高。对外服务类业务则是指根据市场的需要而建立的数据网络。
3.调度自动化系统的安全防护
3.1制定调度自动化系统安全防护策略的重要性
近年来调度自动化系统的内涵有了较快的延伸,由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、功角遥测、电力市场技术支持系统和调度生产管理系统等。数据网络是支持调度自动化系统的重要技术平台,一般要求数据网络安全可靠,实时性要求在秒级或数秒级,其中发电报价系统、市场信息等电力市场信息系统由于需要与公网连接,因而还要求做加密及隔离处理。
建立调度自动化系统的安全防护体系,首先要制定安全防护策略。应用系统的安全策略位于安全防范的最高一级,是决定系统的安全要素。从大的方面讲,安全策略决定了一个系统要达到的安全级别及可以付出的代价;从小的方面讲,安全策略的具体规则用于说明哪些行为是允许的,哪些行为是禁止的。系统是否安全,很大程度上依赖于最初设计时制定的安全策略,因为今后的安全措施,都围绕这一策略来选择和使用,如果在安全策略上出了问题,将会给今后的应用系统带来安全隐患,从而使将来的安全建设处于十分被动的局面。因此考虑调度自动化系统的安全,应首先根据系统对安全性、可靠性、实时性、保密性等方面的不同特殊要求,按照国家有关部门的规定,从应用系统的各个层面出发,制定完善的安全防护策略。
3.2信息系统的安全分层理论
一个信息系统的安全主要包含五个层面,即物理安全、网络安全、系统安全、应用安全、人员管理。调度自动化系统的安全防护体系应包含上述五个层面的所有内容。
物理安全主要包含主机硬件和物理线路的安全问题,如自然灾害、硬件故障、盗用、偷窃等,由于此类隐患而导致重要数据、口令及帐号丢失,称为物理安全。
网络安全是指网络层面的安全。由于联网计算机能被网上任何一台主机攻击,而网络安全措施不到位导致的安全问题。
系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全管理设置等安全问题,如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等。
应用安全是指主机系统上应用软件层面的安全。如Web服务器、Proxy服务器、数据库等的安全问题。
人员管理是指如何防止内部人员对网络和系统的攻击及误用等。
3.3国家对网络及信息安全问题的有关政策和法规
国家有关部门对安全问题的有关政策和法规,对制定电力调度控制系统的安全策略起到指导性的作用。
公安部是国家企事业单位及公共安全的主管部门,已经颁布了安全防护方面的一系列文件,正在制定安全保密和保护的等级,规定各部门应根据具体情况决定自己的安全等级,实行国家强制标准。公安部规定,从安全保密角度看,政府办公网应与外部因特网物理隔离,并认为自动控制系统应与外部网络绝对物理隔离,可根据业务的需要建立专用数据网络。
国家保密局是国家党政机关安全保密方面的主管部门,也颁布了一系列安全保密方面的文件。1998年10月国家保密局颁布的“涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法”规定,涉及国家秘密的通信、办公自动化和计算机信息系统的建设,必须与保密设施的建设同步进行,系统集成方案和信息保密方案不可混淆,应从整体考虑。1999年7月国家保密局发出的“关于加强政府上网信息保密管理的通知”、1999年12月10号文“计算机信息系统国际联网保密管理规定”和1998年1号文“计算机信息系统保密管理暂行规定”均确定,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。
1996年11月原电力部、国家保密局752号文“电力工业中国家秘密及具体范围的规定”明确了电力工业中涉及的国家秘密和重要企业秘密,均必须参照国家有关保密方面的规定。
电力生产事关国计民生,电力系统的安全和保密都很重要,电力自动化系统要求可靠、安全、实时,而电力信息系统要求完整、保密。两种业务应该隔离,特别是电力调度控制业务是电力系统的命脉,一定要与其他业务有效安全隔离。
3.4调度自动化系统数据网络的安全防护策略
3.4.1数据网络的技术体制
规划数据网络技术体制和电力系统安全防护体系,应根据电力生产业务对数据网络安全性、可靠性、实时性方面的特殊要求,并遵照国家对涉密单位和重要设施在网络安全方面的有关规定。首先应根据网络的规模、目的、服务对象、实时程度、安全级别等综合考虑,确定最基本的网络技术体制。
从应用和连接方式来看,企业内部网络有两类:一类是与公网完全隔离、在链路层上建立的企业内部网络一般称为专用网络;另一类是连接于公网、并利用公网作为通道的企业内部网。第一类网络除了面临来自物理层面的安全问题外,主要面临内部的计算机犯罪问题,如违规或越权使用某些业务、查看修改机密文件或数据库等,以及从内部发起的对计算机系统或网络的恶意攻击。第二类网络除了具有上述安全问题外,还要承受来自公网的攻击和威胁,由于公网上黑客、病毒盛行,网络安全的攻击与反攻击比较集中地体现在公网上。
由于电力调度数据网的服务对象、网络规模相对固定,并且主要满足自动化系统对安全性、可靠性、实时性的特殊需求,为调度自动化系统提供端到端的服务,符合建设专网的所有特征,所以电力调度数据网宜在通道层面上建立专网,以实现该网与其他网的有效安全隔离。
目前国家电力数据网同时承载着调度控制业务和管理信息业务,应当在将来通道资源允许的条件下,将现有电力调度数据网上的信息业务逐步分离出去,改造成为实时控制业务专用的数据网络。
电力系统中的光纤通信网络正在加紧建设,采用光纤+SDH+IP模式容易实现对不同IP应用业务之间的物理隔离,具有较高的传输效率,能满足控制、保护等电力系统的关键业务的要求,便于调度部门能对网络进行有效监控,并便于通信部门对外出租带宽。因此用光纤+SDH+IP模式建立调度数据专网是一个适当的选择,可以很好满足电力系统的下列要求:
(1)数据传输的实时性(继电保护毫秒级,自动化秒级),要求网络层次简化。
(2)传输的连续性,通信负荷基本恒定,需要恒定带宽。
(3)远方控制的可靠性(遥控、遥调、AGC等),要求有效隔离。
(4)因特网时代的安全防护体系(防黑客、防病毒、防破坏等)。
(5)网络拓扑结构必须覆盖远离城市的电厂、变电站。
(6)充分利用SPDnet的现有设备,节约大量资金,便于平滑过渡。
3.4.2调度专用数据网络的安全防护措施
调度专用数据网除了传送EMS数据外,还传送电能量计量计费、水调自动化、电力市场信息和调度生产信息(工作票和操作票、发电计划和交易计划、负荷预报、调度报表、运行考核等)。应根据各类应用的不同特点,采用不同的安全防护措施,如EMS等实时控制业务具有较高的优先级,应该优先保证,生产信息的优先级次之,而电力市场信息须进行加密处理等。
采用调度专用网络体制使数据网络在网络层的的安全得到最大程度的保证。但也不能保证100%的安全,对调度数据专用网络还必须做到技术措施和管理制度双管齐下,才有可能从根本上保障信息和控制系统的安全。在管理制度方面,要做到:
(一)对全网实施监管,所有与电力调度数据网连接的节点都必须在有效的管理范围内,保障安全的系统性和全局性。
(二)加强人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。
(三)加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络及系统安全作为经常性的工作。
(四)聘请网络安全顾问,跟踪网络安全技术。
在技术措施方面,要做到:
(一)在网络传输层,为了保证数据网络的安全,又能向外传输必要的数据,必须坚持调度控制系统与调度生产系统之间、调度生产管理系统与企业办公自动化系统(OA/MIS)之间有效安全隔离,它们之间的信息传输只能采用单向传输的方式。常采用的措施包括防火墙、专用网关(单向门)、网段选择器等进行有效隔离。另外在调度数据专用网络的广域网和局域网上,根据不同的业务系统,还可采取以下技术手段:
(1)网络安全访问控制技术。通过对特定网段和服务建立访问控制体系,可以将绝大多数攻击阻止在到达攻击目标之前。可实施的安全措施有:防火墙、VPN设备、VLAN划分、访问控制列表、用户授权管理、TCP同步攻击拦截、路由欺骗防范、实时入侵检测技术等。
(2)加密通信技术。该措施主要用于防止重要或敏感信息被泄密或篡改。该项技术的核心是加密算法。其加密方法主要有:对称型加密、不对称型加密、不可逆加密等。
(3)身份认证技术。该项技术广泛用于广域网、局域网、拔号网络等网络结构。用于网络设备和远程用户的身份认证,防止非授权使用网络资源。
(4)备份和恢复技术。对于网络关键资源如路由器、交换机等做到双机备份,以便出现故障时能及时恢复。
(二)在系统和应用层面,包括计算机防病毒技术、采用安全的操作系统(达B2级)、应用系统的关键软硬件及关键数据的热备份和冷备份等。防病毒技术和备份措施是通常采用的传统安全技术,而安全的操作系统是一个新的发展趋势。
4.结论
电力调度数据网络是调度自动化系统的支撑平台,网络安全是系统安全的保障,专用数据网络是整体安全防护体系的基础,专网体现在网络互联、网络边界、网络用户的可管性和可控性。目前,国际上正在制定相应的自动化系统网络安全标准,国内也开始进行相关课题的研究,对于调度自动化系统及数据网络的安全防护措施,首先应在网络技术体制方面,采用光纤+SDH+IP的数据专网模式,在全系统实现电力调度专用数据网络与其它公用信息网络、电力生产控制系统与办公自动化系统等的安全隔离,同时在调度专用数据网及各相关应用系统上采取必要的安全防护技术手段,建立严密的安全管理措施,以确保电力调度系统和电力系统的安全。
参考文献
1.余建斌.黑客的攻击手段及用户对策.北京:人民邮电出版社,1998年
2.OthmarKyas著.王霞,铁满霞,陈希南译.网络安全技术-风险分析、策略与防火墙.北京:中国水利水电出版社,1998年
3.赵遵廉等主编,电力市场运营系统,北京:中国电力出版社,2001年1月
4.辛耀中等,电力系统数据网络技术体制分析,电力系统自动化,2000年11月
网络安全防护管理办法范文篇11
关键词:网络隔离技术;军队办公自动化;网络内部防护
中图分类号:TP393.08
互联网技术的使用越来越普及,但是网络上也存在诸多的安全隐患。军队信息对于国家安全十分重要,军队在实现办公自动化给军队内部带来方便的同时,也给信息的安全带来了隐患。网络隔离技术在对军队网络内部防护问题上带来了福音,补缺了网络不良行为对军队办公网络的不利影响。这种技术的目标是隔离对网络进行的不良攻击,在可信网络之外和保证可信网络内部信息不泄露的条件下实现网络数据信息的安全交换。
1网络隔离技术
网络隔离技术是在进行信息交换使对网络进行隔离的技术。这种技术在在两个以上计算机使用上,网络断开的条件下实现信息的传送和资源共享。网络隔离技术对于网络用户的安全提供有力的保障。网络隔离技术一般由三个部分组成:内外网处理单元、外网处理单元和隔离交换控制单元。内外网处理单元拥有各自的接口和IP,隔离交换单元主要是受电路的控制。网络隔离技术的原理是:切断网络协议,对数据进行分解或者重组为静态数据,审查静态数据,数据流入内部单元供用户使用[1]。网络隔离技术有较高的安全性和防护性,能够对拦截的病毒进行查杀,用户要经过一些的身份认证后才能获取信息。关于这种技术的研发比较晚,因此在研制时产品之间会出现差别。但是,网络隔离技术不能提供透明的安全技术,因此在保护网络信息安全上发挥了重要作用。目前,该技术已经广泛的用于军队办公自动化网络中。
2军队办公自动化
军队单位在网络技术发展的时代也开始对军队的管理模式进行创新,在改革传统的管理模式上实现了军队管理信息化和自动化的发展。军队办公自动化系统一般采用B/S对整个军队的信息进行管理。这种系统尽管简单但是其功能十分强大,而且有很好的扩展能力。军队办公自动化采用的结构能够不受地域的限制实现网络通信,但是其存在的缺点是:处理数据的速度慢。军队自动化办公采用的另外一种技术是JSP技术[2]。这种技术能够处理动态网页,对网页的设计和显示进行分离。
军队实现办公自动化是其管理的内在要求。在信息时代,传统的办公模式已经无法满足军队管理的需求。目前,办公自动化在提高办公效率和实现协同工作上发挥着积极的作用[3]。利用网络通讯实现军队安全有效地信息网络对于军队管理水平和办公效率也有重要意义。因为网络技术的使用,工作人员可以在不同的时间,不同的地点实现交流和共同工作。办公自动化和军队的工作十分密切,在采集信息、查询信息等工作上提供支持,极大了方便了军队日常的领导和管理。
3办公自动化网络内部面临的问题
意识淡薄:军队十分注重对网络安全的防护和管理,平时制定了很多好的政策和相关的法规条文,极大地增加了办公的安全性,但仍有部分公勤人员安全意识淡薄,有的甚至在工作时没有关注网络安全问题,不经常进行病毒的查杀,这就为黑客攻击留下了隐患。
人才缺乏:现在军队中还没有足够的网络安全专业人才。军队使用网络技术的时间较短,内部缺乏专业的人才。
重视不足:一些单位在对待网络办公问题上还不够重视。同时,军队领导层没有建立一定的网络安全管理制度,没有对办公人员进行安全意识教育和培训。在硬件上,人为安装了防火墙等就可以防治信息的的泄露,因而没有对新的安全技术进行更新和升级,从而导致一些低级别的数据出现安全问题,影响整个核心信息的安全。
内部人员恶意破坏:网络办公的一些办公人员别有用心对网络信息进行严重的破坏。防火墙能够对一些行为进行阻拦,但是,对于人为的破坏不能进行组织。有的办公人员随意浏览网页和玩游戏会带来病毒。甚至有的同志不顾军队网络管理的限制私自用办公电脑上互联网,这也给网络安全带来了巨大的安全隐患。有的同志还自行用地方U盘下载军队信息导致信息流失外部酿成大错,这些事情的发生都是人为的,对网络信息安全带来安全隐患。
4网络隔离技术的防护应用
网络隔离技术对于军队办公自动化网络内部的防护主要是实现办公内网的多安全域划分。这种技术是根据内网的需求把不同的网段进行划分,这些网段被划分成独立的安全区域[4]。然后对这些区域进行访问控制来限制网络间的访问。这样的话,如果某个网络区域出现了问题,其他的安全域就不会受到影响了。
网络隔离技术对安全区域的划分内容如下:首先,根据军队办公内网的情况划分区域,然后划分不同的安全等级,如果安全等级越高,那么信任度也就越高。之后对安全区域进行网络技术设备的安全,管理员在设置网络隔离技术设备连接方向时要根据区域的安全度来定。网络内网单元作为高级安全区域是为网络用户提供服务请求的。外网处理单元则是负责安全级别低区域的数据,然后通过隔离的硬件把外网数据传送到内网处理单元中去。内网用户就可以通过网络隔离系统来访问外网的邮件以及网页等。另外,内网的管理员也可以在内外网之间进行数据的传输,在这个过程中外网的用户是无法对内网的资源进行访问的。这种访问的不对称性不仅能够实现不同区域的数据交互,还能实现信息的安全隔离和传输。
由于网络隔离技术是对内网进行区域安全和信任度的划分,这样军队办公的内网就更加的安全,在内网出现的安全问题也就容易控制。其防护效果如下:
首先,安装网络隔离设备后划分安全区域能让单位领导形成内网安全级别意识,对网络的各种情况有所了解。对内网安全的关注有利于提醒军队内部的同志足够的重视,同时更加注重对技术的培训,从而建立相应的网络安全岗位和安全管理制度。
其次,在网络隔离技术的防护下,对那些安全意识薄弱和恶意破坏网络的人进行防护。因为隔离防护,使这些人无法拷贝和修改网络内部信息,因为网络隔离设备隔离了他们对信息的访问。即使黑客进行攻击,在网络隔离技术下,也会被隔离到低安全区域从而遏制其不法行为。
5结论
本文对网络隔离技术以及军队的办公自动化进行了阐述,在此基础上分析了网络隔离技术对军队办公自动化网络内部的防护作用。在军队广泛使用网络的今天,为了保证军队高密级信息的安全,不仅需要技术的支持也要军队网络办公人员安全意识的提高。网络隔离技术具有的特点为其提供了良好的前景。
参考文献:
[1]Jiehong.Digitalpowergridinformationsecurityprotectiondesign[A].Proceedingsofthe2ndAsia-PacificConferenceonInformationNetworkandDigitalContentSecurity[C],2011:04.
[2]王金波,吴锋涛.办公信息化内部网络防护――网络隔离技术(GAP)的应用[J].计算机安全,2010,09:26-28.
[3]袁军,黄晓波,张敏,王晓华.电子政务安全中的网络隔离技术及应用[A].中国系统仿真学会、中国仪器仪表学会微型计算机应用学会、中国系统仿真学会复杂系统建模与仿真计算专业委员会筹备处.计算机技术与应用进展・2007――全国第18届计算机技术与应用学术会议论文集[C].2008:4.
[4]张野,刘苗辉,潘文良.网络隔离技术(GAP)及其应用研究[J].科技咨询导报,2009,26:175-176.
网络安全防护管理办法范文1篇12
关键词:办公自动化网络网络安全病毒黑客
1引言
企业内部办公自动化网络一般是基于TcrilP协议并采用了Internet的通信标准和Web信息流通模式的Intra-net,它具有开放性,因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。
2办公自动化网络常见的安全问题
2.1黑客入侵
目前的办公自动化网络基本上都采用以广播为技术基础的以太网。在同一以太网中,任何两个节点之间的通信数据包,不仅可以为这两个节点的网卡所接收,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。另外,为了工作方便,办公自动化网络都备有与外网和国际互联网相互连接的出入口,因此,外网及国际互联网中的黑客只要侵入办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息;而本网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。
2.2病毒感染
随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。
2.3数据破坏
在办公自动化网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵入,黑客基于各种原因侵入网络,其中恶意侵入对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、FAT表、文件目录等;病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件;病毒还可能攻击CMOS,破坏系统CMOS中的数据。第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。
3网络安全策略
3.1网络安全预警
办公自动化网络安全预誓系统分为入侵预警和病毒预警两部分。
入侵预警系统中,入侵检测可以分析确定网络中传输的数据包是否经过授权。一旦检测到入侵信息,将发出警告,从而减少对网络的威胁。它把包括网络扫描、互联网扫描、系统扫描、实时监控和第三方的防火墙产生的重要安全数据综合起来,提供内部和外部的分析并在实际网络中发现风险源和直接响应。它提供企业安全风险管理报告,报告集中于重要的风险管理范围,如实时风险、攻击条件、安全漏洞和攻击分析;提供详细的入侵告警报告,显示入侵告警信息(如入侵IP地址及目的IP地址、目的端口、攻击特征),并跟踪分析入侵趋势,以确定网络的安全状态;信息可以发往相关数据库,作为有关网络安全的决策依据。
病毒预警系统通过对所有进出网络的数据包实施不间断的持续扫描,保持全天24小时监控所有进出网络的文件,发现病毒时可立即产生报警信息,通知管理员,并可以通过IP地址定位、端口定位追踪病毒来源,并产生功能强大的扫描日志与报告,记录规定时间内追踪网络所有病毒的活动。
3.2数据安全保护
对于数据库来说,其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类,入侵保护应主要考虑以下几条原则:物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。
3.3入侵防范
3.3.1内外网隔离
在内部办公自动化网络和外网之间,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。
第一层隔离防护措施是路由器。路由器滤掉被屏蔽的IP地址和服务。可以首先屏蔽所有的IP地
[1][2]
址,然后有选择的放行一些地址进入办公自动化网络。
第二层隔离防护措施是防火墙。大多数防火墙都有认证机制,无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
..访问控制
办公自动化网络应采用访问控制的安全措施,将整个网络结构分为三部分,内部网络、隔离区以及外网。每个部分设置不同的访问控制方式。其中:内部网络是不对外开放的区域,它不对外提供任何服务,所以外部用户检测不到它的IP地址,也难以对它进行攻击。隔离区对外提供服务,系统开放的信息都放在该区,由于它的开放性,就使它成为黑客们攻击的对象,但由于它与内部网是隔离开的,所以即使受到了攻击也不会危及内部网,这样双重保护了内部网络的资源不受侵害,也方便管理员监视和诊断网络故障。
..内部网络的隔离及分段管理
内部网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。办公自动化网络可以根据部门或业务需要分段。网络分段可采用物理分段或逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层上分为若干网段,各网段相互之间无法进行直接通讯;逻辑分段则是指将整个系统在网络层上进行分段。并能实现子网隔离。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现隔离。
.病毒防治
相对于单机病毒的防护来说,网络病毒的防治具有更大的难度,网络病毒防治应与网络管理紧密结合。网络防病毒最大的特点在于网络的管理功能,如果没有管理功能,很难完成网络防毒的任务。只有管理与防范相结合,才能保证系统正常运行。
.数据恢复
办公自动化系统数据遭到破坏之后,其数据恢复程度依赖于数据备份方案。数据备份的目的在于尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:实时高速度、大容量自动的数据存储、备份与恢复;定期的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
结束语