时间:2024-03-21 10:24:15
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络安全终端管理,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词:机密 数据 威胁 网络安全 网络管理
一、概述
随着网络在企业生产经营中应用越来越广、越来越深,企业网络安全的问题也日益凸显。来自企业网外部和内部的攻击无时不刻都在威胁着企业网络的安全,也成了每一位网络管理人员都需要面临的考验。如何建立一个完整的企业网络安全解决方案,减少因网络攻击和病毒引发的生产经营数据的丢失和外泄引发的损失,本文将进行一个浅显的探讨。
二、网络安全的基础——网络设计
网络的设计与建设,是构建一个安全网络的基础。合理的网络构架设计将为未来网络安全的设计与构建节省一大部分开销,这些开销包括了设计、成本和系统的效率等。因此,在构建一个网络的初期,就必须将网络系统的安全作为设计的基本要素,考虑到整个系统中。一个大型的企业,如在地域上分部较为集中,其内网为了增大运行保险系数,一般主干采用双环网的网络构架。这种网络在一路主用线缆引故障停止时会自动切换到备用环上,当然,根据具体的系统配置的不同,双环网正常工作时又会被分为双路负载分担型和双路数据同步型等类型,在这里就不详细介绍了。一个企业如在地域上较为分散,下属有多家子公司且这些子公司又拥有自己的网络的情况下,最好采用以树形或星型网络结构为主的复合型网络设计。这种设计使得各网络层次的访问控制权限一目了然,便于内部网络的控制。
一个大型企业的网络在内部又会被分为许多特定的区域——普通的办公区,财务销售的核心业务区,应用服务器工作区,网络管理维护区,多方网络互联区域,VPN连接区等多个功能区域。其中普通的办公区有时是与财务销售类的业务区合并在一起的,但是,如果公司还涉及特殊业务的时候应当将这两个区域分开,甚至为其单独建立一套网络系统以增强其安全保密性。应用服务器区域一般承载着企业办公、生产等主要业务,因此在安全上其级别应当是最高的。一般对这一区域进行安全设置时最好将除所用端口以外的所有其他端口全部封锁,以避免多余端口通信造成的安全威胁。有条件的网络用户或对安全要求比较高的用户可以在不同的网络之间配置防火墙,使其对网络的访问进行更好的控制或者将不同的网络直接进行物理隔离,以完全绝断不同网络之间的互访。在网络中中有许多服务器,比如病毒服务器、邮件服务器等,有同时被内网及外网访问的需求,应当为这些有外网需求的服务器考虑设置DMZ区域。DMZ区域的安全级别较普通用户区高,即便得到访问授权的用户,其对DMZ区域的访问也是有限制的,只有管理人员才可以对这一区域的服务器进行完全的访问与控制。
三、终端的安全防护
病毒、木马无论通过何种途径传播,其最终都是感染终端为目的的,无论这个终端是指的服务器还是普通用户的终端,因此,对各类终端的安全防护可以说是网络安全构建的关键。对终端的安全防护可以分为两套系统;一种为硬件的防火墙类,一般由管理人员进行专业操作处理的防护系统,包括了反垃圾邮件系统、用户上网行为监控管理系统、网站防篡改系统等专业(服务器)终端防护系统;另一种为软件类的防火墙、杀毒软件及其他安装于各个用户终端由用户或管理人员进行操作管理的防护系统。现在多数的网络安全防护系统多由这两种类型的防护系统复合而成。这种复合式的系统所取得的效果在很大程度上依赖于终端用户的计算机水平及杀毒软件服务提供商的反应能力和软件更新能力,总之,这种方式是比较偏重于“被动防守”的一种防护措施。
现在有厂商提供了一种协调系统,使用这种系统能让以上所述的复合安全系统能够在网络管理员的干涉下实现主动的管理。这套系统一般在用户终端安装一个客户端,开机时,客户端自动判定本终端的安全状态并与安全服务器取得联系,当终端被判定正常时,终端可进行正常权限的网络访问;当终端被判定为非正常(威胁)时,此终端可根据预先堤定的安全策略,断绝与普通局域网的连接,只能与特定的服务器如病毒服务器等进行连接以解决问题。网络管理员可以通过这套系统实时监查每个终端的进程与数据状态,并通过管理终端对客户端进行控制,以解决安全威胁。此类系统的应用将所有用户的终端都纳入了系统管理员的控制下,以系统管理员专业化的技术知识实现对整个系统的监管与维护,能够在很大程度上减少威胁并提高系统的安全性和网络效率。
四、终端用户的规范
网络的安全除了在设计、硬件、技术管理上提高水平外,对网络用户进行必要的指导是十分重要的。普通的网络用户由于其计算机专业知识水平的不同,不可能要求其对终端进行专业的处理,告诫其正确的上网方式,减少各种网络(IE)软件、插件的使用及不明软件的下载是十分重要的。即使对于某些安全防护类软件(控件、插件)也应当控制使用,原因很简单,任何软件的编制都有BUG或漏洞的存在,终端用户所使用的网络软件(插件、控件)越多,这种硬伤类的安全威胁也就越多。终端所面临的威胁也就越多。不安装不必要的(网络)软件,也能在很大程度上避免网络威胁。
【关键词】计算机网络安全;CPK终端软件;安装CPK终端软件认证;CPK终端系统需求
为使互联网行业能够稳步快速、安全发展,国家相继起草并实行了一系列互联网安全管理草案,确保计算机用户可以安全放心地使用网络。要想互联网行业长久不衰、坚持走科学发展的长远道路,那么互联网行业除了安全综合政治管理以外,还要进行内外兼治,这样就不得不以科学的发展眼光引进CPK网络终端软件管理系统。它建立了交易信任和数据安全基础,然而CPK终端软件的核心是建立合理的管理机制,有效数据管理扼杀了木马病毒入侵计算机网络的摇篮之梦。
一、CPK终端软件管理系统的描述与分析
1.CPK终端软件管理系统
在网络广泛运行的今天,家庭及企事业单位等大型办公场所局域网可以随意自主安装,随意使用盗版软件、黑客软件及与工作业务无关的聊天、游戏等不良娱乐软件,这些网络终端软件的滥用威胁着系统的安全,影响网络的运行性能及速度,严重的影响整个网络的发展进程。所以合理化地管理网络管理终端软件已经迫在眉睫。CPK终端软件管理系统能够及时的拦截病毒的攻击。CPK终端软件管理系于1999年由南湘浩教授提案,2003年在《网络安全技术概论》中公布了基于椭圆形曲线ECC构造了基于标识的组合公钥。此密钥是离散对数难题型的基于标识的密钥生成与管理体制。依据对数据原理构建公开密钥与私有密钥的矩阵,采用杂凑函数与密码变换将实体的标识映射为矩阵的行作坐标与数列坐标序列中,用来对矩阵元素进行选取与组合,生成数量非常大的由公开密钥与私有密钥组成的公钥、私钥对,以此来实现基于标识的超达规模的密钥生成与分发。CPK密钥管理从体制上是依据数学原理离散对数问题的构建,也可以用椭圆形离散对数问题进行构建。
2.CPK终端软件管理系统的认证
网络安全问题伴随着互联网的成长逐步成为我们生活中不可避免的困扰。所以认证技术直接的建立安全可靠的基础设施平台,在网络交易事物的鉴别性证明和负责性证明提供了可信性的证明。从而为电子商务的有序发展提供了良好的环境。CPK身份认证无疑就是通过各种认证技术对用户的身份进行鉴别,是我们网络安全管理的重要基础,集防了互联网数据不被盗取与侵犯。合理的签名机制是核心问题,同时,签名机制要想顺利的实现,必须有好的密钥管理技术,互联网认证体系的密钥管理需要解决两个问题,就是有密钥管理规模化和基于密钥标识的分发。解决这两大问题的认证系统有基于PKI技术构建和CPK技术构建的认证系统的生成。
3.CPK终端软件管理系统的分析
网络安全问题不容忽视,网络安全中的认证技术是深入解决这一问题的核心技术,它具有规范化,机密性和完整性等特点。CPK认证体系具有抗抵赖性的安全服务,目前来说公钥基础设施、基于标识的加密系统和组合公钥系统得到大众的一致认可。在标识机制中,计算机用户可以设置自己的公钥证书要求,进一步提升了人们对于计算机认证体系的可信度。
二、CPK终端软件管理系统的需求分析
1.对于CPK终端软件管理系统感官认识
对于软件保护一般采用加密的方式进行数据保护,软件加密分为软加密和硬加密两种方式。软件加密一般的就是采取软件方法不依靠特殊硬件来配套加密,而硬加密就是将全部信息固定在硬件上,提供的数据是一个硬件实体,如CD指纹等一类电子产品。但是在互联网终端网络管理上通常一般通过360杀毒软件、补丁、网络行为管理和管理软件等方式进行计算机管理。网络行为管理是指通过过滤关键字、关闭特殊定的端口来管理终端软件的使用。软件实名认证则运用了公约密码数字签名技术,对于计算机软件进行身份认证和保护。同时对于计算机网的病毒损害提供了科学依据。
2.整合管理服务的体系结构
采用服务器的证书管理器和客户端的终端软件安全管理器,其中服务器端负责终端的注册和证书的发放工作,它的工作内容主要包括密钥因子生产、终端注册管理、密钥生成和资料库管理。那么客户端主要负责安装的软件注册、签名等认证工作的完成。终端系统利用其CPK标识认证实现身份认证,终端安装的软件进行注册管路。以此达到终端网络安全管理的理想模式。
三、终端软件系统的开发及市场分析
1.终端软件管理系统市场发展方向
网络安全产业不仅具有高度的前瞻性,同时也具有较高的技术含量、高附加值的特点,已经跨步成为众多发达国家保持经济持续性发展的重要产业结构。作为信息产业中最活跃、最智力密集也是发展最快的软件产业,更是各国人民政府关注的焦点,其发展关系到互联网行业的稳定性和长久可靠性,并可能成为未来最大产业规模和最具开拓前景的新型产业。作为大众青睐的新兴支柱产业,同时也是互联网行业发展的后盾力量,不仅大众对它关注有佳,作为经济支点部分的政府也是撑腰在即,竭尽全力的发展此行业。
随着互联网《网络安全管理草案》的顺利颁布,作为国家经济和社会发展的战略性基础,软件的价值及其所附加的巨大辐射性和带动性作用将得到社会各界人士的高度重视。终端网络管理软件市场的进一步完善将成为必然,此环节的全面创新将共同推动未来软件市场的可持续发展。
关键词:机密 数据 威胁 网络安全 网络管理
一、概述
随着网络在企业生产经营中应用越来越广、越来越深,企业网络安全的问题也日益凸显。来自企业网外部和内部的攻击无时不刻都在威胁着企业网络的安全,也成了每一位网络管理人员都需要面临的考验。如何建立一个完整的企业网络安全解决方案,减少因网络攻击和病毒引发的生产经营数据的丢失和外泄引发的损失,本文将进行一个浅显的探讨。
二、网络安全的基础——网络设计
网络的设计与建设,是构建一个安全网络的基础。合理的网络构架设计将为未来网络安全的设计与构建节省一大部分开销,这些开销包括了设计、成本和系统的效率等。因此,在构建一个网络的初期,就必须将网络系统的安全作为设计的基本要素,考虑到整个系统中。一个大型的企业,如在地域上分部较为集中,其内网为了增大运行保险系数,一般主干采用双环网的网络构架。这种网络在一路主用线缆引故障停止时会自动切换到备用环上,当然,根据具体的系统配置的不同,双环网正常工作时又会被分为双路负载分担型和双路数据同步型等类型,在这里就不详细介绍了。一个企业如在地域上较为分散,下属有多家子公司且这些子公司又拥有自己的网络的情况下,最好采用以树形或星型网络结构为主的复合型网络设计。这种设计使得各网络层次的访问控制权限一目了然,便于内部网络的控制。
一个大型企业的网络在内部又会被分为许多特定的区域——普通的办公区,财务销售的核心业务区,应用服务器工作区,网络管理维护区,多方网络互联区域,VPN连接区等多个功能区域。其中普通的办公区有时是与财务销售类的业务区合并在一起的,但是,如果公司还涉及特殊业务的时候应当将这两个区域分开,甚至为其单独建立一套网络系统以增强其安全保密性。应用服务器区域一般承载着企业办公、生产等主要业务,因此在安全上其级别应当是最高的。一般对这一区域进行安全设置时最好将除所用端口以外的所有其他端口全部封锁,以避免多余端口通信造成的安全威胁。有条件的网络用户或对安全要求比较高的用户可以在不同的网络之间配置防火墙,使其对网络的访问进行更好的控制或者将不同的网络直接进行物理隔离,以完全绝断不同网络之间的互访。在网络中中有许多服务器,比如病毒服务器、邮件服务器等,有同时被内网及外网访问的需求,应当为这些有外网需求的服务器考虑设置DMZ区域。DMZ区域的安全级别较普通用户区高,即便得到访问授权的用户,其对DMZ区域的访问也是有限制的,只有管理人员才可以对这一区域的服务器进行完全的访问与控制。
三、终端的安全防护
病毒、木马无论通过何种途径传播,其最终都是感染终端为目的的,无论这个终端是指的服务器还是普通用户的终端,因此,对各类终端的安全防护可以说是网络安全构建的关键。对终端的安全防护可以分为两套系统;一种为硬件的防火墙类,一般由管理人员进行专业操作处理的防护系统,包括了反垃圾邮件系统、用户上网行为监控管理系统、网站防篡改系统等专业(服务器)终端防护系统;另一种为软件类的防火墙、杀毒软件及其他安装于各个用户终端由用户或管理人员进行操作管理的防护系统。现在多数的网络安全防护系统多由这两种类型的防护系统复合而成。这种复合式的系统所取得的效果在很大程度上依赖于终端用户的计算机水平及杀毒软件服务提供商的反应能力和软件更新能力,总之,这种方式是比较偏重于“被动防守”的一种防护措施。
现在有厂商提供了一种协调系统,使用这种系统能让以上所述的复合安全系统能够在网络管理员的干涉下实现主动的管理。这套系统一般在用户终端安装一个客户端,开机时,客户端自动判定本终端的安全状态并与安全服务器取得联系,当终端被判定正常时,终端可进行正常权限的网络访问;当终端被判定为非正常(威胁)时,此终端可根据预先堤定的安全策略,断绝与普通局域网的连接,只能与特定的服务器如病毒服务器等进行连接以解决问题。网络管理员可以通过这套系统实时监查每个终端的进程与数据状态,并通过管理终端对客户端进行控制,以解决安全威胁。此类系统的应用将所有用户的终端都纳入了系统管理员的控制下,以系统管理员专业化的技术知识实现对整个系统的监管与维护,能够在很大程度上减少威胁并提高系统的安全性和网络效率。
四、终端用户的规范
网络的安全除了在设计、硬件、技术管理上提高水平外,对网络用户进行必要的指导是十分重要的。普通的网络用户由于其计算机专业知识水平的不同,不可能要求其对终端进行专业的处理,告诫其正确的上网方式,减少各种网络(IE)软件、插件的使用及不明软件的下载是十分重要的。即使对于某些安全防护类软件(控件、插件)也应当控制使用,原因很简单,任何软件的编制都有BUG或漏洞的存在,终端用户所使用的网络软件(插件、控件)越多,这种硬伤类的安全威胁也就越多。终端所面临的威胁也就越多。不安装不必要的(网络)软件,也能在很大程度上避免网络威胁。
关键词:校园 无线 网络安全 对策措施
中图分类号:TN925 文献标识码:A 文章编号:1672-3791(2014)05(a)-0029-01
近年来,随着无线通信技术的飞速发展,以及各种智能终端、笔记本电脑的普及,无线网络已经成为人们学习、工作的主要工具。高校校园网建设也从校园有线网络逐步发展成为校园无线网络。校园无线网络成为高校信息化的重要基础,广大校园师生可以在校园内任意地点通过无线接入校园网络,共享数字化校园资源。高校无线网络提高了管理效率,丰富了教学手段,在高校管理、教学和科研等方面发挥了重要的作用。
然而,在享受高校无线网络给高校带来的种种便利的同时,无线网络的安全问题也随之而来。一旦校园无线网络由于安全问题导致中断服务,将会给学校管理带来重大的损失。因此,必须重视校园无线网络安全问题,提出相关对策,确保校园无线网络稳定运行。
1 高校无线网路安全问题
1.1 手机病毒的攻击
计算机病毒的攻击是影响高校无线网络安全的重大因素之一。目前,接入高校无线网络的终端包括学生、教职工等个人电脑、智能手机以及各种移动终端。移动存储设备,如U盘、移动硬盘、数据卡在上述终端广泛使用,增加了病毒传播的途径和病毒感染的概率。一旦高校无线网络遭到病毒的入侵,轻则文件损坏、数据丢失,重则网络运行瘫痪,严重干扰高校教学、管理和科研的正常进行。
1.2 黑客恶意攻击
由于校园无线网络允许任何人、任何设备的接入,这种接入方式增加了被黑客恶意攻击的可能。黑客可以通过无线接入网络,攻击校园网络服务器。或者通过木马等恶意软件,在校园网络内部盗取个人帐号、密码等信息。特别是目前在线支付的广泛流行,一旦被盗取关键信息,会为广大校园师生带来重大的经济损失。
1.3 用户安全意识淡薄
校园无线网络的使用者主要以学生和教师为主。大多数教师对计算机、手机系统并不精通,安全意识淡薄,个人终端没有设置登录密码或设置的过于简单。这样的终端容易被入侵,严重时会形成数据丢失,进而威胁整个校园无线网的安全。
高校学生不仅具备较强的好奇心,而且他们还有比较专业的知识。他们有时会对校园无线网络造成有意无意的攻击。部分学生访问非法网站、下载视频文件,不仅容易遭到木马病毒的攻击,而且会造成网络带宽被大量占据,运行速度缓慢,影响高校管理、教学的正常进行。
2 高校无线网络安全对策
针对上述提出的高校无线网络存在的安全问题,我们应当一方面采用先进的管理技术,不断提高网络管理水平和技术水平来解决、避免安全问题的发生;另一方面,要加大无线网络安全宣传力度,提高广大师生无线网络安全意识,从而提高无线网络的安全性。具体提出几点策略:
2.1 安装杀毒软件
防止病毒攻击的最好办法就是安装杀毒软件。目前流行的杀毒软件不仅可以查杀计算机病毒,而且可以有效的阻止外部病毒的攻击。高校无线网络可以在网络中心配置一个专用的杀毒软件服务器,该服务器定期、自动的下载最新病毒库进行杀毒软件升级。该杀毒软件服务器向所有接入网络的终端提供杀毒软件的客户端,用于病毒查杀,最大限度的杜绝病毒对无线网络的攻击。
2.2 安装防火墙
校园无线网络应充分利用防火墙技术,将无线网络核心服务器和资源纳入防火墙防护的范围内,有效的隔离来自网络内部和外部的病毒、不良信息等。房后墙可以有效防止无线网络中的恶意攻击,还可以自行关闭一些非法端口,对不良信息进行预防。
2.3 增强广大师生网络安全意识
高校应该加强广大师生的校园网络安全意识,开展相关方面的学习和讲座,请专业认识介绍无线网络安全新技术以及个人防护措施,使大家都认识到网络安全问题的重要性,提高每一个使用网络人员的安全意识。用户要合理配置接入终端、不随意登录不安全的网站、设置并保存好个人账号密码,定期更新等,不让威胁无线网络安全的因素有机可乘。
2.4 加大资金、人员投入力度,创建信息安全机制
高校应该有计划、有步骤的投入资金,建设高校无线网络安全机制。由专人负责维护和管理高校无线网络,将高校网络信息安全教育纳入到日常教学当中。同时,对于关键信息和数据,应该进行及时的备份和加密,从而防止网络攻击造成数据丢失,造成不必要的损失和风险。
3 结论
高校无线网络安全的防范是一项系统且复杂的工作。因为,高校网络安全是整体的、动态的,因此为了进一步保障高校无线网络的安全,不仅要制定有效的策略,还需要建立完善的网络安全管理制度,培养专门的网络安全管理人才。当然还需要广大师生的全力配合,才能实现高校网络能够平稳、安全、可靠地运行。
参考文献
[1] 高永强,郭世泽,等.网络安全技术与应用大典[M].人民邮电出版社,2003.
[2] 宋佳丽,马少华.校园网络安全评估主要技术问题[M].网络安全技术与应用,2008,10.
[3] 杨国富.网络设备安全与防火墙[M].北京:清华大学出版社,2005.
关键词:煤炭企业;网络信息安全;问题;对策
引言:当前煤炭企业对网络安全威胁很难开展有效的监测,无法实现主动防御,只能处于一种被动防护状态,这无疑将会给煤炭企业引入极大的网络安全风险。煤炭企业上到领导下到普通职员,均对网络信息安全问题抱有侥幸的心理,觉得一般不会出大的问题,从而缺少积极的防范措施,使得煤炭企业当前在应对实际的网络安全威胁时不能有效的进行监测和防护。
一、关于煤炭企业当前面临的网络信息安全问题的分析
(1)煤炭企业员工的网络信息安全意识比较淡薄
当前很多煤炭企业对自身所处的网络信息安全现状依然缺少正确、完整的认识,他们企业管理者觉得煤炭企业信息化的水平不高,接入互联网的终端和用户比较少,因此企业的网络信息安全问题并不会给煤炭企业造成一定的威胁。另外,煤炭企业的管理层缺少对企业网络信息安全的有效支持,使得实际投入到企业网络和信息安全建设中的资金远远达不到应有的要求。
(2)煤炭企业内部网络信息系统的防护能力比较薄弱
从目前看来,依然存在一些煤炭企业缺少复杂的网络信息系统部署结构,已有的设备性能和配置也比较落后。在实际的网络系统部署中缺少有效的安全防护技术和手段,不能有效监测到网络安全的威胁,只能一直处于被动防护的状态。由于煤炭企业内部大多使用的还是比较老旧的操作系统,这些旧的终端设备本身就存在着大量的系统漏洞,很容易遭到黑客的攻击。当各个系统或软件厂商在网上修补漏洞的补丁时,很多煤炭企业员工和用户由于对这些网络安全问题缺少正确的认识,无法意识到这些系统和软件漏洞会给煤炭企业本身带来的安全威胁,使得企业内部网络终端设备很难全部完成漏洞的修补。
(3)煤炭企业缺乏有效的网络安全防范体系
调查发现,当前很多煤炭企业的网络信息安全管理较为混乱,没有形成一套科学完整的网络安全防范体系和机制。煤炭企业虽然制定了一些有关于网络信息安全的管理制度和工作方法,但是依然缺乏有效的网络安全威胁监测和应对方法,对于已有的网络安全管理办法也很难严格的去执行,不能达到预期的网络安全防护效果。另外,对于煤炭企业员工本身缺少有效的约束管理办法,大多数时候只能依靠員工本身的自律能力,没能从企业网络安全管理制度和办法上建立起一种行之有效的防范措施。
二、煤炭企业防范网络信息安全的对策
(1)加强企业内部网络信息安全管理
煤炭企业要想提高企业本身的网络安全防护能力,首先必须改变企业当前固有的网络安全管理方法,各个部门都需要制定出适合自己部门业务系统的网络安全防护管理机制和体系。煤炭企业必须加强企业内部自身的管理,为企业制定一套完整的网络安全审计体系,能够及时的发现潜在的安全威胁,并有效的追踪到问题责任人。煤炭企业的网络安全防护能力的强弱还需要根据企业员工网络安全意识的强弱来判断,因此在煤炭企业实际的运营当中,必须加大对企业网络安全技术培训和教育的投入。在煤炭企业中,网络信息安全相关知识的培训、教育以及宣传非常重要,尤其要加强企业员工对网络安全意识的培养,认识到网络安全对企业发展的重要性。要想让煤炭企业能够具备足够的网络安全知识和应急响应能力,就必须对企业员工开展定期的网络安全知识培训,从而不断维持煤炭企业较高的网络信息安全水平。
(2)引入先进的安全防护技术
除了刚刚提到的煤炭企业要加强企业内部网络信息安全管理之外,最为重要的就是煤炭企业必须要引入先进的网络安全防护技术。如果企业没有这些先进的安全防护技术,那么煤炭企业的网络信息安全管理做的再好也没有用,因为攻击者将能够直接不费吹之力拿下企业的整个网络系统,令企业面临巨大的经济或声誉损失。当前随着攻击者的攻击手段不断提高,网络安全防护技术也在不断地取得发展,因此煤炭企业必须要选择先进的安全防护技术来保护企业系统免受侵害。
首先,煤炭企业必须要给企业内部所有的办公终端安装网络版的防病毒软件,如此一来煤炭企业便可以实现对企业办公终端的集中式管理,使得企业的系统管理员能够及时的了解到当前网络环境中每个节点的网络安全状态,从而可以实现对企业办公终端的有效监管。此外,煤炭企业必须要在系统网络之间部署防火墙,避免攻击者通过非法的技术手段访问企业内部网络,从而有效保护企业内部网络的安全。防火墙技术能够实现煤炭企业内部网络和外部网络的有效隔离,所有来自煤炭企业外部网络的访问都需要经过防火墙的检查,从而提高企业内部网络的安全性。除此之外,煤炭企业还必须引入数据加密技术,来有效提高企业内部系统和数据的保密性,避免企业内部的机密数据被攻击者窃取或遭内部员工的泄露。机密数据在发送之前会被发送者使用密钥进行加密处理得到密文,然后密文会通过传输介质传送给接收者,接收者在拿到密文之后,需要利用密钥对密文进行解密处理得到原始的机密数据。这样一来便保证了数据信息的机密性,从而避免机密数据被黑客窃取给煤炭企业带来经济损失。
关键词:网络安全;安全防护;接入控制;防火墙;访问权限
随着计算机技术的发展和Internet的广泛应用,越来越多的企业都实现了业务系统的电子化和网络化,计算机网络安全已成为企业信息安全的重要组成部分。但计算机网络也面临着非法入侵,恶意攻击、病毒木马等多种威胁,对企业的信息系统安全造成损害。
因此,如何提高计算机网络的防御能力,增强网络的安全性和可靠性,已成为企业网络建设时必须考虑的问题。下面介绍一些网络安全建设方面的策略,希望能为企业网络建设提供一些参考。
一、 做好网络结构安全设计
网络结构安全的核心是网络隔离,即将整个网络按照系统功能、信息安全等级、工作地点等原则划分为相对独立的子网络,使得当某个子网络内发生安全故障时,有害信息不能或不易扩散到别的子网络中。
各个子网络之间应部署防火墙、网闸等网络安全设备,实现信息系统隔离和访问控制。同时,充分利用IP地址、VLAN、访问控制列表等工具,实现子网络之间的逻辑隔离。
二、 网络设备的安全防护
网络设备的安全防护是指同设备交互时的安全防护,一般用于设备的配置和管理。同设备的交互有以下几种方式:
* 通过设备Console 口访问。
* 异步辅助端口的本地/远程拨号访问
* TELNET访问
* SNMP访问
* HTTP访问
针对这几种交互方式,采取的安全策略如下:
(1) 用户登录验证
必须要求设备配置身份验证,如果设备未配,将拒绝接受用户登录,可以通过本地用户验证或RADIUS验证实现。
(2) 控制台超时注销
控制台访问用户超过一段时间对设备没有交互操作,设备将自动注销本次控制台配置任务,并切断连接。超时时间必须可配置,缺省为10分钟。
(3) 控制台终端锁定
配置用户离开配置现场,设备提供暂时锁定终端的能力,并设置解锁口令。
(4) 限制telnet用户数目
设备对telnet用户数量必需做出上限控制。
三、 部署用户安全接入控制系统
用户安全接入控制是指企业员工在使用终端访问企业资源前,先要经过身份认证和终端安全检查。用户在确认身份合法并通过安全检查后,终端可以访问用户授权的内部资源,认证不通过则被拒绝接入网络。终端安全接入控制主要是防止不安全的终端接入网络和防止非法终端用户访问企业内部网络。
用户接入控制可通过部署终端安全管理系统实现。终端安全管理系统是一个包括软件和硬件整体系统。在用户终端上安装安全服务程序,在用户使用网络前,必须启动程序,然后输入身份信息进行登录。由安全管控服务器对终端用户进行身份认证和安全检查。通过之后服务器把检查结果通知安全接入网关,安全接入网关根据用户的角色,开放终端用户的访问权限,有效的制止用户的非法访问和越权访问。
四、 网络数据流控制
网络数据流控制通过数据包过滤来实现。通过网络数据包过滤,可以限制网络通信量,限制网络访问到特定的用户和设备。
访问列表可用来控制网络上数据包的传递,限制终端线路的通信量或者控制路由选择更新,以达到增强网络安全性的目的。在端口上设定数据流过滤,防止企业内部的IP地址欺骗。严格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等数据流通过网络设备,原则上只允许本系统应用需要的应用数据流才能通过网络设备。
五、 部署网络防病毒软件
网络病毒的入口点是非常多的。在一个具有多个网络入口的连接点的企业网络环境中,病毒可以由软盘、光盘、U盘等传统介质进入,也可能由企业信息网等进入,还有可能从外部网络中通过文件传输等方式进入。所以不仅要注重单机的防毒,更要重要网络的整体防毒措施。
任何一点没有部署防病毒系统,对整个网络都是一个安全的威胁。网络中应部署一套网络防病毒系统,在所有重要服务器、操作终端安装杀毒软件。通过网络杀毒服务器及时更新病毒库及杀毒引擎,保证内部网络安全、稳定的运行。
六、 内部网络使用安全
* 内部系统中资源共享
严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。
* 信息存储
对有涉及企业秘密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份,包括本地备份和远程备份存储。
* 构建安全管理平台
构建安全管理平台将会降低很多因为无意的人为因素而造成的风险。构建安全管理平台从技术上如:组成安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统一管理软件。通过安全管理平台实现全网的安全管理。
总之,网络安全是一个系统的工程,要用系统的思想来建设全方位的、多层次的、立体的安全防护体系。这是一项长期而艰巨的任务,需要不断的探索。网络安全建设不能仅仅依靠于技术手段,而应建立包括安全规范、规章制度、人员培训等全面的管理体系,提高全体员工的安全防范意识,保护好每台接入网络中的设备,才能实现高速稳定安全的信息化网络系统。
参考文献:
关键词:气象信息网络;安全;病毒
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 06-0101-01
一、引言
气象信息网络已经成为气象业务正常运行的重要组成部分,它是相关人员了解气象政务和天气预报等信息的重要媒体。通过这一媒介,预报人员可通过气象信息网络传输的模式数据等,做出准确的天气预报和气候预测。决策服务人员可根据实际天气情况,气象灾害预警和气候预测等信息。公众气象信息网络的这些信息来安排自己的工作、学习和生活。但随着网络病毒、计算机黑客的不断入侵,互联网的安全性越来越低,我们的气象信息网络正面临日益严重的安全威胁。气象信息网络随时都有可能遭到有意或无意的黑客攻击或者病毒传播。人们是如此地依赖气象信息网络,以至于任何因素网络安全事故都可能造成无法估量的损失和社会影响。维护气象信息网络安全性已经刻不容缓。由于气象网络系统在管理和制度上普遍存在缺陷,一些条件较差的基层台站甚至没有专职计算机网络管理人员。还有一些再基层气象职工计算机水平较低,机房设备较差,这对气象网络的安全极为不利。
二、提高气象信息网络安全的几个途径
(一)加强路由器控制,防止IP地址非法探测
加强路由器控制,防止IP地址非法探测时提高气象信息网络安全的重要步骤之一。有时候非法黑客会采用“IP地址欺骗”的方法来进行网络攻击前的准备。其具体做法是:先假扮成气象信息网络内部的一个IP地址,通过Ping、traeeroute或其他命令探测网络命令来探测网络。一旦发现漏洞,黑客会利用这些漏洞对气象信息网络进行攻击。针这类安全隐患,网络管理人员应该在路由器上建立安全访问控制列表,以防止IP地址非法探测。当建立安全访问控制列表后,可将其放到路由器连接外网接口入口,形成一道控制墙,假如非法访问者频繁地利用Ping、traeeroute或其他网络探测命令攻击主机,可对其进行隔断或阻断处理。
(二)进行端口管理,阻止病毒传播
很多网络病毒利用固定的端口进行黑客攻击和病毒传播。例如,臭名昭著的Blaster蠕虫病毒往往利用TCP 4444端口和UDP 69端口向网络内部的正常主机传播病毒。在气象信息网络安全管理时,加强计算机端口管理可在一定程度上阻碍病毒的传播范围。例如,网络安全管理人员可在路由器的内、外网结构设置ACL,这样当到达路由器时,病毒数据会被路由器的ACL设置过滤。因此,进行端口管理是一种“防患于未然”的安全策略。当发生端口攻击等计算机信息系统安全事故和计算机违法犯罪案件时,网络管理人员应该立即向单位信息安全责任人报告,并采取必要的措施,避免危害扩大,并编写违章报告、运行日志和其他与计算机网络端口攻击有关的安全材料。
(三)提高内网安全级别,实行分级权限制度
气象部门为维护常规气象业务的正常运行,必须实行网络安全级别的安全管理。一般来说,可将气象部门的内部网络按照安全级别分为三个级别:即业务子网级别、办公子网级别和服务器级别,并实行分级权限制度。通过利用三层交换机策略对子网间的相互访问进行权限控制安全级别高的子网可以访问安全级别低的子网,同时禁止低级别的子网访问高级别的子网。当低级别的子网网络感染病毒后,不至于传染至高级别子网,这样可在很大程度上防止和阻断网络间病毒的传播。网络管理人员要执行气象信息网络安全的分级保护技术措施,对计算机信息系统安全运行情况进行检查,及时查处不安全因素,排除安全隐患。
(四)实行网络流量控制,确保业务数据正常通行
通常在气象信息网络没有感染病毒时网络带宽应该能够满足业务数据的正常传输。假如网络中的终端计算机感染了“蠕虫”病毒或一些木马程序后,网络流量会出现异动。有时,网络中会产生海量的数据流量,严重的甚至会将气象信息网络的带宽完全耗尽,并导致业务网络的阻塞或完全瘫痪。由于天气预报、气候预测等正常的气象业务运行需要气象数据及时准确的传输和传达,网络流量耗尽或阻塞将给气象业务的正常运行带来巨大的隐患。因此,为确保常规气象业务数据的准确、及时传输,必须要对一些非业务的数据流量加强管理和限制,防止因为少量终端计算机的不正常而殃及整个网络。气象信息安全的相关人员应根据国家法律法规和有关政策要求,遵循国家“积极防御、综合防范”的方针,确定气象信息安全工作的策略、重点、制度和措施顺利事实。
(五)终端计算机的网络安全管理
计算机终端的安全是是气象信息网络安全的重要组成部分。病毒、恶意软件、木马等电脑病毒以及终端本身的软硬件故障,常常给整个网络带来安全隐患,严重的甚至能导致系统崩溃。因此,对于终端计算机一定要加强网络安全管理。因此要定期或不定期组织终端计算机系统的安全风险评估,检查安全运行情况,并根据评估报告对系统安全措施进行完善与升级,及时排除安全隐患。具体的办法和措施有:进入安全模式,使用杀毒软件、360安全卫士、金山清理专家进行杀毒或者重装系统等。
三、结语
总之,气象信息网络的安全保障工作是一项关系气象业务健康稳定发展的长期任务,要充分认识加强信息安全保障工作的重要性和紧迫性,把信息安全工作列入重要议事日程,明确任务,落实责任,建立并认真落实信息安全责任制。在管理制度方面,要建立健全气象信息安全组织机构、建立健全气象信息网络安全责任体系、建立一整套气象信息网络安全管理和信息安全应急处置等制度,最后,相关部门要宣传贯彻国家信息安全相关法律、法规、规章和有关政策,并组织对气象信息网络管理人员进行信息安全教育建设并完善信息安全保障体系,推动信息安全工作的发展。信息网络安全责任人要正确处理好安全与发展的关系,建立信息安全长效机制,落实信息安全措施,切实履行好信息安全保障责任。
参考文献:
[1]陈晓字,王晓明,孙鹏.浅谈广东省气象局网络安全防护体系的部署[J].广东气象,2004,26(3):41-43
关键词:气象信息;网络安全;对策;隐患
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 22-0000-01
Yunnan Weather Information Network Security Analysis and Preventive Measures
Huang Jinran
(Yunnan Province Meteorological Information Center,Kunming 650034,China)
Abstract:With the computer network in the weather business applications,information security has become a network of Yunnan Meteorological important part of information security.By analyzing the status of Yunnan Meteorological Information Network,found that unauthorized access to meteorological information,network operating system or terminal application software vulnerabilities,malicious weather information network is currently facing three major security risk.This must be from a technical level,management level and user level,comprehensive prevention,Yunnan weather information network to ensure safe and efficient operation.
Keywords:Weather information;Network security;Responses;Risk
一、引言
随着现代气象事业的飞速发展,计算机网络在云南省气象业务中的应用越来越普及,在气象事业中的地位也越来越重要。在天气预报业务中,各种数值预报的结果需要计算机网络进行分析和分发,而预报结果的上传和下发更是离不开现代信息网络。在气象灾害的防灾减灾中,预警信号和灾情调查等也离不开信息网络的应用。在公共气象服务领域、云南省气象局的办公自动化等业务中,气象信息网络扮演的角色也越来越重要。本文以将云南现有的气象信息网络安全为分析样本,探讨了现阶段信息网络所面临的安全隐患等特征,并提出相关的气象信息网络安全防范方案,以期为气象信息安全提供参考依据。
二、云南气象信息网络安全隐患分析
随着云南省各类气象探测业务的飞速发展,气象信息网络承载的数据量越来越大,需要存储和传输的大量数据,保障和防范气象信息的安全成了云南省气象信息安全的重要任务。另外,由于云南省各类电脑终端的品种繁多,杀毒软件和品牌多种多样,面对来自网络的各类攻击,云南省的气象信息网络呈现较大的脆弱性和易损性。总的来说,云南气象信息网主要有气象信息的越权存取、网络操作系统或终端应用软件安全漏洞、恶意攻击气象信息网络等几类主要的安全隐患。
(一)气象信息的越权存取。目前云南省气象信息网络需要传输和存储海量的气象信息。在此过程中,气象信息网络必须既保证传输的迅捷和方便,又必须要有安全保障。为此,云南省气象信息网络根据不同等级的客户,设置的不同读写权限。由于各类用户往往对权限理解不清,因此经常出现错误的操作和违规操作。不仅普通的终端客户易于出现误操作给气象信息网络带来安全威胁,有时甚至网管也会因为一些越权处理给气象信息网络带来很大的安全隐患。当气象信息网络管理员在服务器系统进行更新和维护时,假如出现应用软件安装不适当、网络设备误操作、防火墙系统参数设置错误以及服务器端口开放不正确,都会对气象信息网络造成较大的威胁。因此在气象信息网络应用中,无论是普通用户还是高级网管,都应明了自己的操作权限,按照相关规定进行数据下载、分发和处理等,切不可随意越权,更不能将自己的个人信息和账号等借给他人使用。(二)网络操作系统或终端应用软件安全漏洞。通常操作系统是构成网络的主要软件系统,据统计差不多75%的网络攻击从操作系统这一层面展开。目前云南省气象信息网络上的各类终端操作系统呈多样化趋势,而网络操作系统也不可避免的存在一些漏洞。另外,各类终端的应用软件也存在许多安全漏洞。虽然在气象信息网络的维护周期中,信息中心安排有专人进行安全维护和质量控制,也采用各种方式对操作系统的安全性进行前期和后期测试,故操作系统和应用软件的安全漏洞对气象信息网络的危害不可低估。因此如何及时地发现信息网络中类似的安全这洞,并采取安全补丁等方法进行防范,成为目前气象信息网络安全的当务之急。(三)恶意攻击气象信息网络。恶意攻击通常是指某些怀有恶意企图的人或者集团,企图通过恶意攻击网络系统,来窃取、下载、篡改或者删除某些信息的操作。恶意攻击常常以两种方式进行。一种是主动显性攻击,即通过破坏性和明显性的操作来破坏信息的完整性和正确性;另一种是在被动隐性攻击,即在不影响信息网络正常运行的情况下,采用截获、窃取、破译等方式来获取信息。通常第一种攻击破坏性大,但更容易发现,而第二种恶意攻击则更为隐蔽。由于目前的气象还属于公益性行业,商业化程度不够,因此面对的恶意攻击相对较少。但正因为商业化程度不够,目前大量的气象信息未采用加密措施,数据以明文形式在网络上传输,因此黑客更方便辨识、截获和窃取信息。一旦黑客掌握气象信息的格式和编报规律,篡改气象信息时也更加隐蔽和容易。因此面对气象信息网络的恶意攻击,我们网络管理人员切切不可掉以轻心。
三、云南省气象信息网络安全威胁的防范对策
面对复杂多变的网络威胁,云南省气象信息网络安全必须持续不断进行安全性测试和检测,并不断革新技术,并制定各种防范对策和应急措施。总的说来,可以从技术层面、管理层面以及用户层面三个方面进行防范。在技术层面,气象信息网络安全管理人员需要提高自己的计算机技术,日常安全运营维护过程中,从网络安全架构、安全风险评估、终端安全控制等方面弥补网络安全漏洞。在管理层面,必须建立云南省气象信息网络的安全防护墙以及各类网络安全的应急备用体系,以“三分技术,七分管理”为座右铭,积极管理和防范各类安全隐患。在用户层面,必须提高网络安全和计算机终端安全意识,不仅要更注重使用的方便性,而且更应该注重气象信息网络的安全性。只有解决以上三方面的问题,才能云南省气象信息网络安全高效地运行。
参考文献:
[1]邱奕炜,邓肖任,詹利群.气象部门网络安全威胁与对策探讨[J].气象研究与应用,2009,S1
[2]王会品,张涛.无线网络技术在气象信息服务中的应用[J].气象与环境学报,2009,2
购物车(0)
