引论:我们为您整理了13篇网络安全内网管理范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
第三,外力侵害。我国很多的网吧、机房不具备抵御外界侵害的能力,主要外界侵害包括自然的灾祸以及周围环境侵害等,自然的灾祸指的是自然的灾祸,如雷电、洪涝灾害、火灾、电磁泄露等;周围环境侵害包括断电引起数据、设备损害问题和噪音问题导致的数据高误码率等。第四,用户意识不高。很多用户在进行计算机网络使用的时候,没有足够的网络安全意识,对于密码、权限、口令等私密的东西没有保护好,随意泄露,或者没有及时修补一些网络漏洞和补丁,黑客可以找到攻击点。除此以外,还存在网络安全技术人员素质不足、监管不到位等问题
改进计算机网网络安全管理对策
针对目前存在的计算机网网络安全管理问题,提出了以下对策。
第一,为了改进计算机网网络安全管理,要加强用户网络安全管理意识。对于密码、权限、口令等比较隐私的东西,用户要保护好,不要随意泄露,对于网络漏洞和补丁,要做到及时修补,不要给有心人有机可乘的机会,进行数据备份,防止突发意外事故发生之后,数据的丢失,保持数据完整性,做到能够及时恢复系统,减少延误损失;
第二,为了改进计算机网网络安全管理,要加强自然等各种外力侵害的防范。在网吧以及机房等公共场所,首先要安装空调,控制室内温度以及湿度,防止温度以及湿度过高,造成网络瘫痪。其次要装好相应的防止雷击的措施,多进行建筑检测,尤其注重电源、网络传输线等的防范措施,最后是防火措施要做好。各种装修材料有可能的话,尽量选择防火的,保持室内通风,放置好防火器等设施;
第三,为了改进计算机网网络安全管理,要加强计算机网网络安全管理技术问题的研究,管理人员要及时更新病毒数据库,强化对病毒的检测以及清除,加强防火墙的建设,发挥防火墙的作用,做到限制服务访问、防止无权限的外部网的入侵、统计相应的网络流量并进行适时限流等,进行网络入侵检测,一旦发生这些情况要及时的制止。要加强检测、扫描以及评估漏洞,减小安全隐患;
第四,为了改进计算机网网络安全管理,要加强对网络安全管理制度的建立和完善。要完善已有的计算机网网络安全管理制度,对一些过于形式化的网络安全管理制度,要缩小范围,提出其操作的细则,对其中有不适应现展的规则进行修正以及改善,使其更能与当代网络发展相适应,对于没有及时建立的法律以及法规,要及时建立,并在实践中不断改进以及发展;
篇2
医院内部无线网络(Hospital Internal Wireless Networks),既包括允许用户在医院内部范围内建立远距离无线连接的网络。
2009 年,国家新医改政策出台,其中信息系统首次成为我国医疗卫生体系建设的重要支撑。医院信息系统经过多年的发展,已经由以财务为核心的阶段过渡到以临床信息系统为核心的阶段,因此越来越多的医院开始应用无线网络,实施以患者为核心的无线医疗信息系统。随着无线网络技术的日趋成熟,医院内部无线网络在全球范围内医疗行业中的应用已经成为了一种趋势,在今后的医院应用中将会越来越广泛。通过无线医疗信息系统的应用,既拉近了与患者之间的距离,提高了医疗服务的效率和质量,也加强了医院的综合管理。
2医院内部无线网络的安全风险
随着医院对无线医疗信息系统应用的不断深入,医院对于内部无线网络的依赖程度也越来越深。医院内部无线网络作为原有医院内部有线网络的补充,扩展了有线网络的应用范围,但是也将相对封闭的医院内部有线局域网络环境转变成了相对开放式的网络环境。其安全性不仅影响到医院内部无线医疗信息系统的使用,同样也影响到与其相连的有线网络环境中应用的其他医院信息系统。因此医院内部无线网络的安全将直接影响到医院整体信息系统的安全。医院内部无线网络一旦被破坏,将会造成医院信息系统的数据被窃取、网络瘫痪、医疗业务被中断等等一系列严重的后果。由于医院医疗数据的敏感性,以及无线网络通过无线信号传输的特性,使得医院内部无线网络面临的安全风险越来越突出。
根据相关运行情况分析, 医院内部无线网络主要存在以下安全问题:①非法AP的接入:无线网络易于访问和配置简单的特性,使医院内部网络管理员和信息安全管理员非常头痛。因为任何人都可以通过自己购买的AP利用现有有线网络,绕过授权而连入医院内部网络。用户通过非法的AP接入手段,可能会给医院整体内部网络带来很大的安全隐患。②非授权用户的接入:非授权用户往往利用各类无线网络的攻击工具搜索并入侵,从而造成很严重的后果。非授权用户的入侵会造成网络流量被占用,导致网络速度大大变慢,降低网络带宽利用率;某些非授权用户会进行非法篡改,导致医院内部无线网络内的合法用户无法正常登陆;更有部分非授权用户会进行网络窃听和数据盗窃,对病人以及医院整体造成相当大的损失。③服务和性能的影响:医院内部无线网络的传输带宽是有限的,由于物理层的开销,无线网络的实际最高有效吞吐量仅为标准的50%。医院内部无线网络的带宽可以被几种方式吞噬,造成服务和性能的影响:如果攻击者从以太网发送大量的Ping流量,就会轻易地吞噬AP的带宽;如果发送广播流量,就会同时阻塞多个AP;传输较大的数据文件或者运行复杂的系统都会产生很大的网络流量负载。④地址欺骗和会话拦截:由于医院内部使用无线网络环境,攻击者可以通过地址欺骗帧去重定向数据流和使ARP表变得混乱。通过一些技术手段,攻击者可以获得站点的地址,这些地址可以被用来恶意攻击时使用。攻击者还可以通过截获会话,通过监测AP,然后装扮成AP进入,攻击者可以进一步获取认证身份信息从而进入网络。⑤数据安全问题:由于无线网络的信号是以开放的方式在空间中传送的,非法用户、黑客、恶意攻击者等会通过破解用户的无线网络的安全设置,冒充合法识别的身份进入无线网络进行非法操作,进行窃听和截取,从而达到不法操作或破坏信息的目的,从而给医院带来相对应的损失。
3医院内部无线网络的安全防护目标
早期的无线网络标准安全性并不完善,技术上存在一些安全漏洞。随着使用的推广,更多的专家参与了无线标准的制定,使其安全技术迅速成熟起来。具体地讲,为了有效保障无线网络的安全性,就必须实现以下几个安全目标:①提供接入控制:通过验证用户,授权接入特定的资源,同时拒绝为未经授权的用户提供接入。②确保连接的保密与完好:利用强有力的加密和校验技术,防止未经授权的用户窃听、插入或修改通过无线网络传输的数据。③防止拒绝服务攻击:确保不会有用户占用某个接入点的所有可用带宽,从而影响其他用户的正常接入。
4医院内部无线网络的安全防护技术
无线网络的安全技术这几年得到了快速的发展和应用,下面是目前业界常见的无线网络安全技术:
4.1服务区标识符(SSID)匹配 SSID(Service Set Identifier)将一个无线网络分为几个不同的子网络,每一个子网络都有其对应的身份标识(SSID),只有无线终端设置了配对的SSID才接入相应的子网络。所以可以认为SSID是一个简单的口令,提供了口令认证机制,实现了一定的安全性。
4.2无线网卡物理地址(MAC)过滤 每个无线工作站网卡都由唯一的物理地址(MAC)标识,该物理地址编码方式类似于以太网物理地址。网络管理员可在无线网络访问点AP中维护一组(不)允许通过AP访问网络地址列表,以实现基于物理地址的访问过滤。
4.3无线接入点(AP)隔离 AP(Access Point)隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法多用于对酒店和机场等公共热点(Hot Spot)的架设,让接入的无线客户端保持隔离,提供安全的网络接入。
4.4有线等效保密(WEP、WEP2) WEP(Wired Equivalent Privacy),IEEE80211.b标准规定的一种被称为有线等效保密的可选加密方案,其目的是为无线网络提供与有线网络相同级别的安全保护。WEP是采用静态的有线等同保密密钥的基本安全方式。WEP2,是根据WEP的特性,为了提供更高的无线网络安全性技术而产生。该技术相比WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量的长度由24位加长到128位。
4.5端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP) IEEE802.1x提出基于端口进行网络访问控制的安全性标准,利用物理层特性对连接到网络端口的设备进行身份认证。如果认证失败,则禁止该设备访问网络资源。
IEEE 802.1x引入了PPP协议定义的可扩展认证协议(EAP)。作为可扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
4.6无线网络访问保护(WPA、WPA2) WPA(Wifi Protected Access),率先使用802.11i中的加密技术-TKIP (Temporal Key Integrity Protocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。
WPA2是基于WPA的一种新的加密方式,向后兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。
4.7高级的无线网络安全标准(IEEE 802.11i) IEEE 802.11i安全标准是为了增强无线网络的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP、CCMP和WRAP三种加密机制,使得无线网络的安全程度大大提高。
5医院内部无线网络的安全实现
5.1合理放置无线设备 无线网络的信号是在空气中传播的,任一无线终端进入了设备信号的覆盖范围,都有可能连接到该无线网络。所以医院内部无线网络安全的第一步就是,合理规划AP的放置,掌控信号覆盖范围。在架设无线AP之前,必须选定一个合理的放置位置,以便能够限制信号在覆盖区以外的传输距离。最好放在需要覆盖的区域中心,尽量减少信号泄露到区域外。
5.2无线网络加密,建立用户认证 对于医院内部无线网络的进行加密,建立用户认证,设置相关登录用户名和密码,而且要定期进行变更,使非法用户不能登录到无线设备,修改相关参数。实际上对无线网络来说,加密更像是一种威慑。加密可细分为两种类型:数据保密业务和业务流保密业务。只有使用特定的无线网络加密方式,才会在降低方便性的情况下,提高安全性。
5.3 SSID设置 无线 AP 默认的设置会广播SSID,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWS自带扫描功能,可以将能联系到的所有无线网络的 SSID 罗列出来。因此,设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串,同时设置SSID隐藏起来,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出 SSID 全名也是无法接入到这个网络中去,以此保证医院内部无线网络的安全。
5.4 MAC地址过滤 MAC 地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的MAC 地址下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
5.5 SSL VPN 进行数据加密和访问控制 由于在实际医疗活动中,为了满足诊断、科研及教学需要,必须经常大量采集、、利用各种医疗数据。由于原有医院网络的相对封闭性,绝大多数的应用系统采用的都是未经加密的数据包进行数据交换,但是医院内部无线网络是相对开放性的网络,入侵者通过对无线信号中数据包的侦听与解析,使得医疗信息泄漏成为了医院不得不面对的问题。SSL VPN 即指采用SSL 协议来实现远程接入的一种VPN技术。SSL VPN 基于浏览器的认证方式,能兼容医院主流的无线终端设备操作系统,如Windows、Android、IOS,而VPN 的方式又能保证医院信息系统的正常运行。SSL VPN在解决医院无线网络数据加密的同时,最大限度地保障了医院信息系统的投资。
5.6核心网络隔离 一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击, 但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。所以必须将无线网络同易受攻击的核心网络进行一定的安全隔离保护,应将医院内部无线网络布置在核心网络防护外壳的外面, 如防火墙、网闸等安全设备的外面,接入访问核心网络采用SSL VPN等方式。
5.7入侵检测系统(IDS) IDS(Intrusion Detection Systems)入侵检测系统,不是只针对无线网络检测的系统,同样也适用于有线网络。入侵检测技术可以把无线网络的安全管理能力扩展到安全审计、安全检测、攻击识别和响应等范畴。这样不仅提高了网络的信息安全基础结构的完整性,而且帮助对付恶意用户对整体医院网络内其他用户的攻击。依照医院无线应用系统的安全策略,对网络及信息系统的运行状况进行监视,发现各种攻击企图、攻击行为及攻击结果,以保证网络系统资源的完整性、可用性和机密性。
5.8终端准入控制 终端准入控制主要为了在用户访问网络之前确保用户的身份信任关系。利用终端准入控制,医院能够减少对系统运作的部分干扰,因为它能够防止易损主机接入网络。在终端利用医院内部无线网络接入之前,首先要检查它是否符合制定的策略,可疑主机或有问题的主机将被隔离或限制接入。这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头,保证只有在满足终端准入控制策略的无线终端设备才能接入医院网络。
6结论
随着无线网络越来越受到普及,本文浅析了医院内部无线网络存在的几种安全隐患,并探讨了对应的几种防范策略。总的来说,世界上不存在绝对安全的网络,任何单一的安全技术都不能满足无线网络持续性的安全需求,只有增强安全防范意识,综合应用多种安全技术,根据不同的医院自身应用的特点,选择相应的安全防范措施,通过技术管理和使用方法上的不断改进,才能实现医院无线网络的安全运行。
参考文献:
[1]Zerone无线安全团队.无线网络黑客攻防[J].中国铁道出版社,2011(10).
篇3
一、网络安全维护在企业内部计算机存在的相关问题分析
(一)没有提升对网络安全维护的重视度
现阶段,虽然一些企业已经建立了较为完善的内部计算机系统,其在企业日常工作中发挥着不可替代的作用。但是,在对计算机网络安全维护问题上,很多企业并没有提升重视,没有很好地保护计算机内部信息,一旦计算机遭到网络袭击或者内部信息泄漏,那么企业将会受到很大的损失。大部分企业的内部计算机网络系统并没有全面覆盖,在管理内部网络过程中,管理执行交叉,致使企业内部计算机的网络安全维护存在问题,网络安全存在隐患。
(二)网络系统操作存在缺陷
在计算机中,操作系统是最为基础的软件,如果计算机缺少操作系统,那么其相关应用程序无法发挥重要作用。一些企业计算机操作系统还存在很多的问题和缺陷,这为病毒的侵入创造了良好条件。计算机操作系统构成复杂、程序繁多,如果出现问题,那么内部系统可能会出现瘫痪。在企业的内部管理中,对计算机安全问题不够重视,对一些应用软件也没有及时更新,导致出现很多不安全的因素。
(三)安全管理存在一定问题
一些企业缺少内部计算机网络安全维护的意识,因此,相关的管理工作也出现很多问题。企业内部的安全管理规定并不全面还有待完善,管理人员整体素质不高,缺少专业性技能和理论知识,没有很好地维护相关设备,一些设备没有发挥其用途,在使用移动硬盘时操作不当,致使病毒入侵,为企业内部计算机网络安全维护带来很大的难题。
(四)相关工作人员专业能力差
在企业内部计算机网络安全维护管理中,工作人员的专业程度对企业网络安全维护有很大影响。一些企业T工专业能力差,对待网络安全管理工作中的一些技术问题不重视,出现问题时也不愿意积极主动去解决,综合素质不高,导致在网络安全管理中,企业内部信息没有得到严密的保护,系统安全得不到很好的保障。
二、网络安全维护在企业内部计算机相关管理中的有效措施
(一)提升内部计算机网络安全维护意识
企业如果想安全有效地管理和维护内部的计算机网络安全,那么需要全面提升安全管理意识,了解网络安全维护在企业内部计算机管理中的重要作用,加强企业员工的教育培训工作,提升人员专业能力和专业知识,使员工能够掌握计算机的使用情况及设备性能,全面维护企业内部计算机的网络安全。
(二)网络安全技术应用需加强
近年来,随着社会的不断发展,企业内部计算机网络安全相关问题层出不穷,为企业带来很大挑战,阻碍了企业的快速发展。企业应当全面加强网络系统安全,使用专业的技术维护内部网络安全。针对计算机网络安全中出现的一些问题,使用对应的技术进行解决。
(三)不断完善计算机网络维护管理体系
在日常工作中,企业内部计算机在传递信息时可能会将病毒一并传播,很大程度上威胁了计算机网络安全运营,因此,企业需要不断完善内部计算机网络维护管理体系,对系统的运转情况实时监控,全面清理病毒信息,保障计算机可以安全运行。完善管理系统需要很多的专业技能及专业知识作为支撑,因此,需要加强对管理人员的培训和教育,不断提升员工的网络安全意识,通过不断的实践,总结安全维护管理经验,掌握计算机内部系统网络安全维护技能。
(四)不断加强计算机网络维护管理制度
篇4
一、内网存在的问题
为了维护网络的安全,通常的安全策略的一个基本假设是:网络的一边即外部的所有人是不可信任的,另一边即内部的所有人是可信任的。通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭。事实上来自内部的数据失窃和破坏,远远高于外部黑客的攻击。包括防火墙、入侵检测系统在内的一系列安全产品在对付内网安全的主要威胁时束手无策。
1.内网资源安全
内网一旦出现、破坏的事件将产生严重的后果,而目前内网安全存在许多问题,如:对计算机的外设不加限制,员工利用移动存储设备随意拷贝公司文件;员工非法访问Internet造成泄密;员工越权使用打印机造成文件泄密;员工非法安装软件,对网络造成潜在的安全隐患;员工非法访问他人机器,窃取他人资源;非法修改IP地址或占有他人IP窃取他人权限进行破坏活动等。
2.网络营运安全
内网安全除了保障内网资源不被窃取之外,还要保障整个内网的系统运营的安全。对于这个问题,好多单位认识不够,但它对整个系统的管理是至关重要的,例如:由于网络中不定时增减计算机数量和调整计算机分布,它们往往由于疏忽忘记备案而成为管理死角;笔记本电脑在任意地点接入内部网络,网管人员无法及时发现,即使发现也不清楚其接入位置;无法实时了解整个网络当前的运营状态,当网络出现故障,网管人员无法实时发现并定位故障点,进而解决故障;无法对网络间的流量进行监控,在出现异常流量的情况时没有报警通知管理员等等。
二、解决方案
1.网管软件
全世界有很多网管产品,国外著名的厂商有HP、3COM、Cisco等,所有的网管软件无一例外的采用SNMP协议读取网络设备配置信息,对网络进行管理。主要功能有:
(1)网络设备的基本描述信息采集
(2)设备的实时状态的信息采集
(3)网络拓扑图的自动生成
(4)简单的网络设备控制功能
(5)网络设备信息的统计分析
这些传统的网管软件,主要是针对网络进行管理,缺乏针对具体终端的管理,无法从根本上保证内网的安全。网管人员不仅关心整个网络的运营状态,而且更需要一个网络安全管理平台,对具体受控终端的使用进行全方位的审计和监控。
2.基于主机的审计和监控系统软件
基于主机的审计和监控系统软件主要针对终端管理,防止用户通过各种手段泄露文件,主要包括以下一些功能:
(1)文件操作审计与监控
(2)设备操作审计和监控
(3)网络共享及访问审计和监控
(4)进程审计和监控
这些软件虽然能够一定程度上防止内网资源信息泄露,保障内网的安全,但是存在明显的不足。首先缺乏对内网网络结构的一个统一的、整体的认识和管理,当有非法主机内联到网络,控制台根本无法监测到,更谈不上确定具体方位,无法有效保证这些非法内联主机不对网络进行破坏或窃取机密文件。其次,缺乏对内网营运安全问题的认识,无法实时了解当前网络的营运状况,当网络营运出现故障时也无能为力。
3.内网安全管理软件
目前,有很多厂家推出专门的内网安全管理软件。它着重于内网的安全管理和监控,以系统网络运营管理为基础,以防止内网泄密为目标,其核心功能由安全网管核心平台、审计监控客户端协同完成。
安全网管核心平台是整个系统的核心,它负责对审计监控客户端集中配置规则,同时采集客户端日志,为保障内网安全提供重要数据。安全网管能够发现整个网络的二、三层设备,生成整个网络的网络拓扑图,为网管管理整个网络提供方便。具体功能包括:
(1)显示所有网络设备配置信息。
(2)显示交换机的端口流量,当网络流量出现异常,超出系统设定阀值,控制台会发出报警信息。
(3)实现交换机端口的通断控制。
(4)自动发现非法内联设备,帮助网管人员维护网络安全。
(5)自动显示受控终端的当前状态,对各种不正常状态产生报警。
三、总结
“安全,是一种意识,而不是某种的技术就能实现真正的安全。除缺乏必要的安全产品和技术引起的不安全因素外,更多的不安全因素来自于管理上的漏洞”,要想保证网络的安全,在做好边界防护的同时,更要做好内部网络的管理。
从管理角度出发,网管中心应建立一整套完善的规章制度和日常管理与工作规范,编制有关安全方面的技术手册和建立安全管理档案,制定严格的值班制度和系统维护制度,做到有问题及时发现,及时解决,使网络的安全直接体现在有效的管理上。
参考文献:
篇5
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 088
[中图分类号] R197.3;TP309 [文献标识码] A [文章编号] 1673 - 0194(2017)05- 0164- 03
0 引 言
随着新医改的不断深入,作为其重要支柱之一的医院信息系统建设进入了高速发展的快车道,成为医院日常医疗工作和管理工作的基础平台。2013年,我院新建了医院信息系统项目,包括机房建设、网络建设、软件系统建设、硬件建设等部分。医院特点决定医院信息系统必须365*24小时不间断正常运行,网络、系统软硬件的损坏和故障,或者是数据信息泄露,都会医院带来不可估量的损失,影响患者正常就诊,甚至危及医院的生存和发展。因此,构建安全的医院网络系统,保障系统和信息系统安全,是各医院都很关心的问题。
医院网络安全系统是个系统工程,其符合“木桶原理”,系统的安全程度取决于最短的那块板,我院从硬件、网络、系统、审计监管、防病毒、安全制度等各个方面采取了多种措施,保障了信息系统安全、网络安全。
1 网络系统安全
1.1 链路安全
为避免核心网络系统单点故障,提高网络系统的健壮性、容错性和性能,我院在网络核心层采用了H3C的IRF2(Intelligent Resilient Framework,智能弹性架构)技术, IRF2将两台华三10508核心交换机通过IRF物理端口连接在一起,虚拟化成一台逻辑核心交换设备,集合了两台设备的硬件资源和软件处理能力,实现两台设备的统一简化管理和不间断维护,提高了网络对突发事故的自动容错能力,最大程序降低了网络的失效时间,提高了链路的利用率和转发效率。
在核心层10580交换机与会聚层5800交换机间采用万兆光纤交叉互联,线路间做链路聚合,增加链路带宽、实现链路传输弹性和冗余。同时,核心交换机与会聚层交换机全部配备双电源和双风扇组,双电源分别插两路不同PDU电源插痤,尽量避免单点故障。
1.2 网络层次分明,方便管理
数据中心服务器到所有的桌面终端计算机最多通过三层网络,即核心层、会聚层和接入层,三层网络交换机各师其职,层次分明。核心层是网络的高速交换主干,负责数据转发;汇聚层提供基于策略的连接,是网络接入层和核心层的“中介”,工作站接入核心层前须先做汇聚,实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能,减轻核心层设备的负荷;接入层提供工作站接入网络功能。同时,我院每栋业务楼都建设了网络设备间,安装了空调和不间断电源,统一管理该楼内所有的会聚层和接入层交换机,保证所有的设备都有良好的运行环境,同时便于管理和维护。
1.3 划分VLAN,提高性能和安全性
医院信息系统服务主要以访问数据库服务器为主,数据纵向访问多,横向少,同时,我院许多楼又都综合了门诊住院医疗系统、医技系统等,我们根据其特点,将网络按楼宇划分为10多个VLAN子网,并将有特殊需求的应用(如财务科账务专网等),单独划分VLAN。通过VLAN划分,控制广播范围,抑制广播风暴,提高了局域网的整体性能和安全性。
1.4 网络核心层安装防火墙板卡与IPS板卡,保证服务器区安全
医院服务器区是医院系统运行核心,一旦被侵入或感染病毒,将影响医院的正常医疗业务,影响病人就诊,我院每日门诊人次3 000多人,住院患者1 600多人,数据库出问题,将造成重大的社会影响和严重后果,故我们在核心层华三10 508交换机上安装了SecBlade FW Enhanced增强型防火墙业务处理板卡和PS插卡,设定了防入侵和攻击的规则,过滤非法数据,防范病毒确保服务器区安全。
1.5 智能网管中心
随着网络应用越来越复杂,网络安全控制、性能优化、运营管理等问题成为困扰用户的难题,并直接决定了医院核心业务能否顺利开展。我们采用了专门的网管系统,通过软件的灵活控制,与相应的硬件设备配合,建立了网络安全控制中心、性能优化中心和运营管理中心。通过网管系统,我们能实时监管网络的运行情况,监管网络的故障和报警,监管和分配网络流量,优化网络性能,使整个网络可管可控。我院网络管理员常用的网管功能有资源管理、拓扑管理和故障(告警/事件)管理等。
网管系统的资源管理可管理网络设备、接口,显示设备的详细信息和接口详细信息和实时性能状态; 拓扑管理可自动发现全网设备的拓扑视图,通过拓扑图能够清晰地看到医院网络的状态,包括运行是否正常、网络带宽、连通等。
故障(告警/事件)管理,是网管系统的核心功能之一,包括设备告警、网管站告警、网络性能监视告警、终端安全异常告警等,告警事件可通过手机短信或E-mail邮件的方式,及时通知管理员,实现远程网络的监控和管理。
1.6 医院内网、外网间隔离和访问通道
医院内部的网络分为医院办公外网(用于日常办公,可上互联网)和业务内网,为保证医院内部网络业务系统安全,防止非法入侵、病毒攻击等医院业务网与互联网必须物理隔离,同时,因医院内部众多软件厂商、服务器厂商、网络设备、安全厂商,需要远程维护内网设备,业务网和互联网之间须有个能访问的通道,我们采用了SSL VPN+网闸+堡垒机的方式实现了远程安全登录和物理隔离。
(1)在医院外网防火墙和医院内网防火墙之间安装了网神SecSIS 3600网闸,利用其“数据摆渡”的工作方式,开放须访问的端口,实现物理隔离。
(2)h程用户通过SSL VPN接入到医院外网。利用SSL 的私密性、确认性、可靠性、易用性特性,在远程用户和我院外网间建立起专用的VPN加密隧道。在SSL VPN中,将用户的登录设定为自动跳转到堡垒机,通过堡垒机再访问相关的设备和电脑,实现远程访问有监管有记录有审计,可管可控。
2 服务器和存储备份安全
系统服务器双机备份常用的是采用双机冷备份或通过心跳线热备份的方式实现。我院结合自身设备特点,采用了赛门特克Veritas Cluster Server技术,在IBM刀片机上建了一个N+1 VCS集群,即多台服务器对应一台备份机,当其中一台出现问题,都会自动切换到备机,实时快速,同时节约了备份机。两套IBM DS5020存储阵列(一台在主机房、一台在备份机房)通过光纤直连,采用remote mirror远程镜像备份技术,将主机房存储的实时数据复制到备份存储系统,提供于业务连续性和灾难恢复的复制功能。
3 保证操作系统安全
操作系统是软件系统基础,保证其安全是必须的。我们对服务器进行了主机加固,关闭了不必要的服务,安装了赛门铁克防火墙、赛门铁克网络版杀毒软件,莱恩塞克内网安全管理系统等来保证内网服务器和工作站操作系统安全。其中内网管理系统控制和监管了移动介质的使用,屏蔽了未经授权的移动介质接入网络,避免了医院数据的外泄及感染病毒,同时,还能对内网中每一个计算机进行远程的桌面管理、资产管理、配置管理和系统管理等。
4 核心设备配置修改和访问安全
服务器在注册表中关闭了远程访问功能, 网络交换机都关闭了TELNET功能,关闭命令: undo telnet server enable通过网络堡垒机可视化的web管理界面统一配置和管理所有服务器和交换机,利用堡垒机可控制、可审计、可记录、可追溯的特性,保证对服务器和交换机的安全管理,避免配置和修改服务器、交换机时不慎造成故障。
5 数据库和网络安全审计系统
为了保障网络和数据不受来自外部和内部用户的入侵和破坏,我院通过旁挂模式接入了数据库和网络安全审计系统,实时收集和监控网络、数据库中的系统状态、安全事件、活动,以便集中报警、记录、分析、处理,实现“事前评估―事中监控―事后审计”,对数据库和网络中的操作和更改进行追溯和还原。
6 健全安全管理制度,加强执行
建立了严格的规范的规章制度,规范网络管理、维护人员的各种行为,保障网络安全。如建立了“中心机房管理制度”“机房设备操作制度”“机房出入制度”“设备巡查制度”“工作站操作制度”等。
篇6
发现新的“蓝海”
至于当时选择鼎普科技的原因,王海洋表现出一丝自豪。她告诉记者,首先她认识到安全领域是一个朝阳产业。2003年开始,信息安全的重要性日益凸现,并被各大企事业单位所重视。一直以来,安全防御理念都局限在常规的网管级别(防火墙等)、网络边界(漏洞扫描、安全审计、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房、网络入口处。在这些设备的严密监控下,来自网络外部的安全威胁大大减小。
然而,来自网络内部的安全威胁却渐渐地突显出来,网络的内部安全威胁大于外部,已经成为业界共识。内网安全也顺理成章地成为网络安全市场的下一个热点和一片新的“蓝海”。一时间,建设一个可管理、可控制和可信任的内网成为内网安全发展的新趋势。王海洋说:“对于个人的信息安全,对于公司的安全,甚至是对于国家的安全来说,信息安全领域的发展前景非常宽广。而鼎普科技在内网安全领域的快速发展,给了我一个很好的发展平台。”在寻找到工作“蓝海”的同时,王海洋敏锐地发现了技术应用上的新“蓝海”。
更灵活的管理
从2003年开始,内网安全逐渐受到各企事业单位的关注。当时,内网安全的管理主要偏向于防止密级信息的外泄,对计算机外设以及各类端口的控制。
随着时间的发展,内网的概念已经不仅仅集中在这块了,内网安全的重心渐渐地从偏重安全转移到偏重管理。金融、教育、能源、电力等一些非单位也开始关注内网安全,而且他们关注的内网安全涉及面更广,需要更灵活的手段对内网的安全进行防护,比如统计网络流量,补丁的分发以及计算机软硬件的升级和管理等。
“以前,我们的客户大多都是政府部门,现在,我们也在往重要领域的非单位拓展。”王海洋说,“鼎普科技是以做起家的,但同时,我们也兼顾等级保护这方面,即对非单位的信息进行安全防护。”
内外部信息交互广泛存在于各企事业单位的办公网中。如果他们既要防止信息孤岛的产生,又要避免及敏感信息在交互中泄漏,那么在信息交互过程中就需要灵活的管理手段。
“一些客户需要网页浏览的权限设置,例如,他们需要内网管理系统允许员工上固定网站浏览新闻,但是又能够阻止或警告用户的违法上传等行为。而我们自主研发的‘鼎普网络单向导入管理系统’就能满足客户这一灵活的管理需求。我们的目标,就是能为客户提供更直观、更快捷操作、更方便理解的辅助管理手段。”王海洋说。
此外,鼎普科技的“数据单向导入管理系统”能够对移动存储介质的交叉使用进行控制,该系统通过光的物理单向传输的特性,在技术上极大地防范了内外网信息交互中的管理风险,同时实现对计算机违规非法外联的监控阻断,能有效地提高内网安全管理和信息交互的技术安全指数。
更全面的防护
篇7
影响校园网安全的因素很多。校园网一般分为校园内网、校园外网、提供各种服务的服务器群,内网主要包括:教学网、图书馆网、办公自动化网络、财务网;而外网则是实现内网与internet的对接,服务器群提供各自服务。根据对校园网络的基本结构的剖析,可以得出结论,校园网的安全问题来自以下几个方面:
2.1tcp/ip协议簇的安全性与操作系统的安全漏洞。
tcp/ip及其许多网络协议本身在设计之初并未全面考虑安全性问题,随着网络技术的发展与普及,协议的安全性问题日益突出。
目前使用的操作系统,包括windows系列,unix系列都不同程度上存在安全漏洞,对网络构成威胁。
2.2来自外部的威胁
校园网与internet相联,极易受到外部人员的攻击,一旦攻击成功,将有可能造成极大破坏。而校园网用户密集,速度快、规模大的特点,也使得安全问题容易被放大,影响更加严重。
2.3来自内部的安全隐患
(1)病毒、木马的威胁。由于校园内部使用网络的人员复杂,水平良莠不齐,在进行数据交换或数据上传、下载时可能造成病毒、木马在内网中的传播、泛滥。
(2)宽松、开放的网络环境也使得内网容易遭受攻击。由于教学、科研的特点,使得一些新技术、新应用在校园网上实施的时候不能施加过多的限制,这也可能会造成内网受到攻击。
(3)活跃而密集的用户群也是校园网不安全的因素之一。数量众多、具有一定的计算机方面的知识、无穷的探索精神而安全观念淡薄的也可能会对校园网造成一定程度的威胁。
2.4管理制度不健全、管理人员与维护力量不足成为校园网安全的一大隐患。
校园网的建设和管理对校园网安全的关注度通常不高,安全意识不强,管理制度不健全,对于管理与维护方面的投资也不大,网络中心的人员只能保证网络正常运行,对于安全问题无暇顾及。管理不到位,校园内可能出现各种网络并存,铁通、电信、光纤内网混搭,成为攻击者避开防火墙进行攻击的跳板。
3.校园网安全策略
安全策略是指在某个安全区域内,用于所有与安全相关活动的一套规则。安全有效的安全策略,可以最大程度降低校园网受到攻击而造成性能下降、失效、泄密、数据丢失的可能性。安全策略包括严格的管理、先进的技术和行之有效的管理制度。
3.1防火墙控制策略
防火墙是一种保护计算机网络安全的技术性措施,是用来阻止网络黑客进入内部网的屏障。防火墙分为专门设备构成的硬件防火墙和运行在服务器或计算机上的软件防火墙。无论哪一种,防火墙通常都安置在网络边界上,根据系统管理员设置的访问控制规则,对数据流进行过滤,通过网络通信监控系统隔离内部网络和外部网络,以阻档来自外部网络的入侵。防火墙是internet安全的最基本组成部分。
3.2访问控制策略
访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的内容。
3.3入侵检测系统(ids,intrusion detection system)
入侵检测系统是为保证计算机网络系统的安全而设计的一种用于检测违反安全策略行为的技术,它能够及时发现并报告网络中未授权的访问或异常现象。违反安全策略的行为,主要是指入侵和滥用--通常将非法用户的违规访问行为称为入侵,将合法用户的违规访问行为称为滥用。
入侵检测使用两种基本的检测技术:特征检测与异常检测。前者常常是对网上流动的数据内容进行分析,找出\"黑客\"攻击的表征。后者往往是对网络上的数据流量进行分析,找出表现异常的网络通信。功能简单的入侵检测系统可能只使用这两种技术中的一种。
3.4对病毒、木马定期查杀
由于频繁的数据交换,网络中数据的上传下载以及校园网使用者的水平良莠不齐,给病毒、木马在网络中的传播提供了机会,所以应选择合适的网络杀毒软件,及时更新病毒库,定期对病毒、木马进行查杀。
篇8
1硬件防火墙外网是要链接到Internet上的,所以网络安全尤为重要,硬件防火墙是必不可少的。通过硬件防火墙的设置,可以进行包括过滤和状态检测,过滤掉一些IP地址和有威胁的程序不进入办公网络。硬件防火墙针对病毒入侵的原理,可以做出相应的策略,从源头上确保网络安全。
2网络管理软件网络管理软件提供网络系统的配置、故障、性能及网络用户分布方面的基本管理,也就是说,网络管理的各种功能最终会体现在网络管理软件的各种功能的实现上,软件是网络管理的“灵魂”,也是网络管理系统的核心。
通过网络管理软件网管人员可以控制流量,设置不同用户访问的网址和使用的应用程序,设置不同时间可以访问的网址,以及屏蔽掉一些游戏、股票等非工作需要的程序。可以实时监控客户端的网络行为,查看是否有非工作内容的操作。定期备份日志,保证办公网正常有序的工作。
管理制度
篇9
二、技术要求:
(一)网管系统技术
1、各县(区)人民政府、管委会必须建立政务内网网络管理系统和政务外网管理系统。
2、网管系统服务器必须规划为VLAN9所在网段,不能随意更改。
3、网管系统服务器应专机专用,不得随意在网管服务器主机上安装与工作无关、不安全的软件,禁止利用网管系统服务器上互联网。
4、网管系统应能实时监测所有设备的运行状况,并有基本的设备管理、告警管理、拓扑管理等功能。网管系统的拓扑图应能真实反映本级政务信息网的网络结构。
5、网管系统应能实时监测本级政务信息网互联网出口、骨干节点、重要用户流量运行状况。
(二)安装实时监控软件
1、各县(区)人民政府、管委会政务信息网互联网出口应安装实时监控软件,如SNIFFERPRO,ETHERPEEK等。
2、监控软件应能实时显示网络中当前流量最大的主机(IP地址)。
3、监控软件应能在网络流量发生异常时,能捕获指定主机及指定网段所通过的报文,并能进行分析。
(三)防火墙地址设置
1、各县、区、管委会防火墙接口地址与政务网相连的互联地址应规划在VLAN7所在的网段,即防火墙接口地址为10.X.7.253/24,对应政务网设备上互联地址为10.X.7.254/24(X为所在地地域号)。
2、防火墙日志服务器下挂在核心交换机上,防火墙日志服务器地址与其它网管系统服务器地址均规划在VLAN9内,IP地址应规划在VLAN9所在网段,防火墙日志服务器IP地址为10.X.9.10/24,网关为10.X.9.254/24,且服务器不得重复他用。
(四)硬件设备配置
1、服务器配置及数量要求
服务器双核CPU3.0G、2G内存,操作系统WINDOWSSERVER2005及SQL2005。政务外网至少需要部署1台网络管理服务器,政务内网至少需要部署1台网络管理服务器。具有防火墙的还需部署1台防火墙日志服务器。
2、网管终端配置及数量要求
网管终端CPUP42.8G以上,内存1G,操作系统WINDOWSXP。政务外网至少需要1台PC终端,政务内网至少需要1台PC终端。
3、实时监控的交换机要求
用来实时监控抓包的交换机,需要支持百兆端口,支持端口镜像。
二、管理要求
(一)网管值班人员及职责
1、制定管理制度
各县(区)人民政府、管委会应建有政务网网络管理办法、用户计算机网络接入管理办法、计算机病毒防治管理办法、政务网安全保护管理办法、网络值班制度、数据及文档资料保密制度、数据备份制度、机房管理制度等。
2、人员安排
各县(区)人民政府、管委会每天应安排技术人员值班,并做好网络维护及值班记录。
(二)向上级汇报、备案制度
篇10
随着全国信息化建设的发展和消防信息化的深入,消防业务应用系统数量和提供服务的用户数不断增加,同时,公安部消防局统一开发的一体化消防业务信息系统逐步在各总队深入推广应用,因此,为保障总队信息系统的稳定可靠运行,总队在部局规划指导下,开展一体化信息系统信息安全保障项目建设,构建设计动态积极安全防御体系,保障全局一体化业务系统稳定可靠地运行。
2.系统特点
一体化消防业务信息系统是公安部消防局根据十一五期间信息化建设项目总体实施方案统一规划设计,根据整体业务进行需求分析研发的信息系统,系统实现了纵贯部局,总队,支队,大队,中队各级,横跨各业务部门的信息资源共享,互联互通。系统以基础数据及公众服务两大平台为建设核心,包含灭火救援指挥系统,消防监督管理系统,部队管理系统,公众服务平台,综合统计分析信息系统五大业务系统。并针对一体化业务平台,提供二次开发接口,保证和其他业务信息系统的衔接。系统采用面向服务的SOA的设计理念,最终实现音频,视频,数据的综合集成,使一体化业务系统能实现互联互通互操作。
系统建设主要依托“金盾工程”,利用“金盾工程”的现有公安网基础网络和信息资源,按照网络应用环境不同,分为公安信息网(以下简称“公安网”)应用系统、互联网应用系统、公安网与互联网同步应用系统。公安网应用系统是指仅在公安网上运行的消防业务信息系统,互联网应用系统是指在非公安网运行的消防业务信息系统。公安网与互联网同步应用系统是指同时在公安网和非公安网开展业务应用、并且相互间有数据交换要求的消防业务信息系统。
根据部局的一体化系统建设指导方案和系统设计架构,总队结合当前实际情况,对一体化消防业务信息系统暂采用混合部署模式,即整个总队的一体化业务系统的应用及服务均部署于总队信息中心,由总队统一规划,统一管理,开展一体化消防业务信息系统体系建设。
3. 系统信息安全管理体系设计
为保证一体化消防业务信息系统的高可用性和高可控性,总队按照武警消防部队信息化建设总体方案的要求,对全总队网络信息安全设备配备及部署进行统一规划、设计,购买相应设备,利用信息安全基础设施和信息系统防护手段,构建与基础网络相适应的信息安全管理体系。
3.1总队信息安全管理体系安全域划分
由于总队内部计算机数量众多,并涉及到公安网,互联网以及政务网多个网络的应用,为便于管理和控制网络广播风暴的发生,应根据计算机所属部门、物理位置、重要性的不同,把局域网划分为多个虚拟子网(VLAN1…VLANn)。根据各VLAN间的安全访问级别不同,实现各VLAN间的安全访问控制。
根据各类软硬件设备提供应用的范围、面向的用户群以及影响面、重要性的不同,站在全局的高度,合理划分安全域,确定安全需求和访问控制策略、安全硬件部署策略。
总队安全域划分:
(1)核心业务处理区:涉及一体化消防业务信息系统中的部分业务系统。该安全域中的业务系统支持本地内网的业务应用,无需与外部实体进行数据或业务的交互。
(2)119接处警系统区:涉及119接处警系统所有应用服务器、数据库服务器、数字录音仪、接处警终端以及其它附属设备。本区域设备支撑119报警的受理、处置、调度、反馈以及灾后数据分析等全流程业务应用,为全内网应用。总队119接处警系统将与一体化消防业务信息系统的灭火救援系统开发数据接口。
(3)特殊业务受理区:涉及一体化消防业务信息系统中部分业务系统,主要是面向移动终端的业务接入,包括灭火救援、消防监督的业务受理系统,特殊业务受理区的受理服务器可以将受理的业务数据“摆渡”到业务处理区进行处理,在得到处理区服务器的反馈后,再将反馈信息回传到移动终端上,完成整个业务处理流程。
(4)特殊业务处理区:涉及灭火救援指挥、消防监督的业务处理系统,实时处理由业务受理平台“摆渡”过来的数据,在处理后反馈给特殊业务受理区的受理服务器。
(5)内网终端区:由内网中的办公终端组成,内网终端区用户可以访问网络中授权访问的业务系统。
(6)内网管理区:将内网中的各类管理服务器置于内网管理中,集中进行安全策略的定制、下发,集中监控各类系统运行状态。主要包括设备管理、终端管理、防病毒管理等。内网管理区由内网中具备相应管理权限的管理员来访问。
3.2信息安全保障体系构成
总队信息系统安全保障技术体系由物理安全、通信网络安全、计算环境安全、数据安全、安全基础支撑和安全管理构成。其中,安全基础支撑为物理安全、网络安全、计算环境安全和数据安全提供支持,安全管理为整个安全保障体系提供全面的管理。
安全基础支撑主要涉及总队一体化系统中的身份认证与授权系统,包括服务器计算机硬件设备以及安全认证网关设备。通过部署身份认证与授权系统及安全认证网关于核心业务处理区,确保总队认证服务及CA系统正常运行,利用数字证书登录访问一体化消防业务信息系统的模式,加强一体化系统的访问控制安全,提高一体化系统的安全级别,是整个系统的基础和支撑,是实现总队信息系统安全保障的共性设施。
数据安全包括数据库入侵检测系统、数据库访问控制系统、数据库审计系统、数据容灾备份系统等,用于保障消防信息系统中的所有数据库安全。
总队通过在涉及到一体化消防业务信息系统的业务区对一体化业务系统数据库部署磁盘阵列以及硬盘自备份和移动存储备份方式,设置全量备份,增量备份策略,执行方式为日备份,周备份,月备份以及临时应急备份,确保一体化系统的数据安全可靠。同时通过部署数据库入侵监测及审计系统,加强系统的数据库安全,确保数据库无故障和稳定运行 。在核心业务信息系统和需要重点保护的信息系统中部署数据审计系统,实时监控数据库各种账户的数据库操作行为(如插入、删除、更新、用户自定义操作等),从而降低数据库安全风险,保护数据库安全。
网络安全包括隔离防火墙、网络入侵检测设备、信息内容审计监控等设备,主要在各级区域网络互连的边界位置进行安全防护和访问控制,对进出网络的数据进行实时的检测与访问控制,以发现异常流量,并进行分析、阻断和报告。
根据安全域划分,总队在各安全域间部署防火墙,并在防火墙上设置相应策略,实现安全域间的访问控制。在核心交换机上部署网络安全审计系统,在网络边界部署一台入侵防护系统,实现对外部流入数据的监测,一旦发现入侵行为及时报警并依据策略进行阻断。同时利用IPS系统的恶意代码防护模块对网络出口处的数据进行恶意代码防护。在核心交换机上利用入侵检测系统针对所要监控流量端口做镜像,实现对流经核心交换机的流量进行监测,一旦发现入侵行为或恶意行为,及时进行报警。
计算环境安全:通过公安网一机两用监控系统以及互联网一机两用监控两套终端安全管理监测系统对安全域内的终端设备进行监测管理及系统补丁集中分发工作,结合部署在公安网和互联网上的防病毒软件系统服务器进行集中控制和病毒防控升级工作,对部署在总队局域网的计算机终端、服务器、及其运行的应用系统进行安全防护。
物理安全包含环境安全,设备安全,介质安全三个方面。通过信息中心机房的门禁系统、防雷设施、防火设施、稳压UPS电源,机房温、湿度监控系统及LED显示,声光报警等多种手段及措施,构筑我总队一体化消防业务信息系统的物理安全防护体系。
安全管理主要指综合安全管理中心,通过集中的安全管理,保障整个安全系统在统一的安全策略指导下运作,通过制定统一的安全管理协议、安全管理接口规范和安全管理数据格式,实现对用户、设备、事件的统一集中管理,实现信息系统中各类安全设备的统一管理,安全服务的实时监控和安全审计,并提供安全策略的实施和维护。
目前,总队通过部署NCC网络监控和BCC业务系监控平台,对安全域的网络设备以及各业务服务器应用,数据库等设置阀值和策略,进行集中管理,通过NCC和BCC进行每日巡检。下一步将通过COSS管理平台并平台的二次开发接口,拟对一体化系统的深入推广应用进行全方位监控管理。
3.3信息安全管理体系应急预案制定演练
信息安全管理体系建设的最终目标是保障一体化业务的正常稳定运行,各类防护措施的应用最大程度的降低了安全风险,但由于各种新的病毒、黑客技术层出不穷,制订完善的应急预案,确保系统遭受安全攻击后的可恢复性就成了系统防御的最后保障。
在应急预案中,应明确从单机故障到全网络瘫痪、从影响个人办公到全单位业务乃至造成重大社会影响的不同级别网络安全事件的定义,逐一制订对应的技术措施和管理、处置、上报机制,明确每一个步骤的责任人、责任单位。在应急预案制订完成后,必须通过至少两到三次的不同级别、层级安全事件应急处置演练进行检验,查找缺陷,完善不足,同时根据单位信息系统建设、应用的发展和网络设备的更新不断进行调整,确保应急预案的最后保障作用。
4.结束语
通过安全技术措施及各类软硬件设备组合构筑一体化消防业务信息系统信息安全管理体系,确保系统稳定运行。但安全事故很多时候不是因为技术原因造成的,二是人们没有认识到信息安全,以至于忽视了安全流程或者躲避技术控制措施,对于各类与外网逻辑隔离或物理隔离的专用网络(如公安网)来说,其源自于内部的网络安全威胁比例更高。因此,建立健全单位内部网络安全管理制度,加强网络安全教育,提升内部人员的信息安全意识就成为了增强内部网络安全管理水平的首选措施。
总队在加强信息化建设过程中必须加强安全保密管理,设置安全保密管理机构,制定严格的安全保密管理制度,采用适当的安全保密管理技术将消防信息系统中的各种安全保密产品进行集成,并加强对涉密人员的管理,形成完整的安全管理体系。同时将各类网路安全技术手段和硬件设备进行有机组合,充分发挥各自的技术特长,以物理安全、通信网络安全、计算环境安全、数据安全、安全基础支撑和安全管理六大模块构成一体化信息安全保障管理体系,并辅之以具有高度可行性和可操作性的应急预案和规范的运维机制,做到网络不断,业务不瘫,数据不丢。
篇11
2)整合网络管理系统。计算机网络管理系统可以说是安装在硬件设备上的一系列软件,通过这些软件对网络进行监督和控制。因此,要对这些软件设备进行整体系统的管理和维护。不仅是软件的研发,更重要的是对软件实施管理和维护,让管理和维护形成一定的管理规范和制度,比如按不同类型进行分类,配置管理、性能管理、安全管理等,按不同类型来具体实施,这些都具有独立性,最后统一整合管理。
3)配置明确网络协议。网络中各个设备都是独立的,要靠网络管理协议来进行信息的交互和统一。通过配置和管理网络协议来整体规范和管理系统。
1.2计算机网络管理的日常工作制度
1)定期检查软件,进行升级管理。对于计算机网络系统的任何硬件和软件都应该进行定期检查,尤其服务器软件,需要定期检查,然后进行更新升级。主要是对服务器操作系统及应用软件系统进行升级、打补丁、防止系统漏洞。
2)数据定期备份。数据对整个计算机网络而言十分重要。为了防止数据丢失,保障数据安全,应该定期对数据进行备份。
3)加强网络防范。为了保障网络安全,需要加强网络防范。比如增加防火墙来防止外界入侵,保障网络安全。主要从网络系统的硬件和软件上做防范措施。工作人员应该定期参加网络知识培训,了解最新的动态,进行加强网络认识和防范意识。工作人员要严格遵守所在单位的管理制度,防止密码等保密信息外泄等。
4)定期排查网络,及时更改。作为网络管理员应该定期对网络做安全检查,在检查过程中,对发现的网络问题应该及时更改。作为一名网络管理员一定要认真负责检查每一处,从而保障网络安全。通过分类和整合,制定一定的管理规范,遇到故障时,合理分析、推断、排除、解决故障,保证计算机网络的正常运行。
2维护管理中常见问题的解决方法
作为一名网络管理员必须了解网络系统中的设备,熟悉硬件和软件,了解操作流程,要有丰富的工作经验。计算机网络管理和维护包括很多方面:①了解网络结构,熟悉设备管理,保障网络的正常运行。②了解配置文件,熟悉路由器和交换机等。③了解网络内部连接,发现故障问题及时检查定位,排查网络,排除安全隐患。④掌握用户资源,做好用户资源安全管理。
2.1日常维护,保证网络正常工作计算机网络管理员应该做好日常工作,经常性的查看监控软件,根据监控软件信息,了解整个网络。每天要对核心服务器、路由器、交换机、防火墙、用户接入口、出口等实施日志监控和查看,查看流量信息等,从而发现网络中潜在的故障或者攻击。2.2了解网络设备了解网络设备是指管理员一定要熟知网络系统中的各个设备,了解设备的型号、性能、配置方法、功能、数据配置等,从而把网络遇到问题及时排查。比如,要了解网络中每1台路由器的配置,是静态路由还是动态路由,熟悉RIP、OSPF等路由配置,掌握BGP等外网路由管理,要熟悉日常维护管理,进而排除故障。
2.3及时备份文件网络偶尔有突发状况发生,比如断电,会给网络造成很大损失,造成数据文件丢失等,所以,管理人员应该及时备份数据文件,也可以通过软件进行定期、定时备份。
2.4有效管理资源计算机网络系统中资源多、复杂,有各种设备资源,比如,交换机接口,路由器接口,网管接口等等,还有数据资源,IP地址、硬件资源等,这些都需要有效地分配和管理。只有合理规划各项资源,才能保证网络不会存在差错和冲突,才能保证网络正常运行。比如,IP地址资源,如果网络中是静态IP地址,就要防止IP地址重复分配,造成网络冲突。
2.5内网安全内网是属于本单位或本系统内部管理与使用的并相对独立于外网(互联网)的局域网或广域网。要想保证内网安全,重点是做好内网与外网之间的安全防护,增加安全隔离设备或进行物理隔离,杜绝内外网互联互通,以防止外网入侵。对于有些单位内外网无法完全隔离开来的情况下,内外网间安装防火墙软硬件,配置ACL访问控制列表,通过这些来保证安全。防火墙能阻挡外网的一些入侵,通过ACL来设置那些网段可以进去内容,从而避免恶意入侵。
2.6用户权限管理网络中用户很多,为了保证网络安全,应该了解用户需求及工作性质,为不同用户制定不同权限。管理员应经常查看日志文件,了解用户的网上应用和流量情况,及时调整用户权限,删除或禁用一些不正常的用户权限,保障网络安全。
2.7制定严格有效的上网管理制度建立上网管理制度,加强单位职工网络安全方面的教育,提高安全意识,加强上网行为管理,及时通报不良行为,创造一个良好的网络应用环境,对于保证网络系统能够长期安全、稳定、有效运行同样必不可少。
篇12
当今社会科技高速发展,信息技术应用逐渐广泛,不少企事业、单位均在内部建立了大型的网路(计算机网络),比如生产指挥系统,铁路局域网,车站客户购票系统等大型系统。随着信息技术带给人们极大的快捷、方便,网路信息技术的安全也就越来越重要。计算机网络安全所指的是计算机网络系统的软硬件及数据受到的保护,不因为人为因素的影响而被破坏、更改,从而正常工作。此文针对探讨的就是如何加强对内网安全的管理、维护,以及防范等问题。
2.企业内部计算机网络(以下简称内网)的特点
2.1与外界网络的隔离。
为了企业的生产、管理运行和工作,大多数企业都建立了内部网,比较独立,因此,物理连接方面与外界计算机网络联系很少,与外界不进行沟通。为了满足企业与外界的联系,内网中个别客户端计算机可能与外界联系,但绝大多数用户仍与外界隔绝。
2.2建立起S/C结构的应用。
内部网中普遍设立了大量的S/C结构,可以提供很多功能,如web服务、ftp服务、实时通讯、网上会议等功能。其中,一些企业安装了专门使用的软件,并且建立了专门数据库,可以帮助企业制造大量的公文,并且进行流转、处理,各种文件传输,也可以进行会议等。
2.3企业的日程运转越来越依赖于内网。
由于ERP、CAD等办公和生产系统的大量应用,企业的日常运转对信息流通的依赖性越来越大,尤其是内部信息网络。另外,内部网络由于生产和办公软件系统的电子化、智能化,已经成为单位信息和指令传输的重要组成部分。
2.4对网络安全提出了更高的要求。
大批量的终端、网络设备和服务器共同组成了内部网络,相互协调工作,成为严密的整体,因此,为了不使整个内部网络发生不必要的意外,企业在任何一方面的安全问题都应当引起足够的重视。这就要求内网中的各部分要有较高的稳定性、可靠性和可控性,尤其是服务器和数据库。
3.一般内网安全存在的问题
计算机的安全级别若从高到低来讲,可以分为主机系统的应用服务安全、文件系统安全,系统服务安全,操作系统内核安全,主机系统的物理安全。由于了解了内部网络的特征,我们可以很清楚地看出,内网安全存在着很明显的问题,特别是技术和管理使用方面。
3.1内网管理、使用方面存在问题。
3.1.1网络安全意识不强。
由于内网还未得到大面积普及,部分企业的内网组建比较仓促,导致一些管理、使用人员对计算机知识了解不清楚,对网络的安全问题意识不够,并且对信息资产保护的意识相对薄弱。因此,在每次计算机信息损坏,从而导致泄漏信息、文件遗失等安全问题。这些问题都会造成直接的经济损失。
3.1.2内部人员使用不规范。
使用人员对计算机设备操作错误而产生的问题在内网中占绝大多数。譬如,操作人员在计算机还未完全关闭后就关闭UPS电源,还有些操作人员在不经常杀毒的前提下随意在多台计算机上使用U盘、活动硬盘拷贝文件,给电脑病毒以可乘之机。有的用户在没有确定软件地安全性就随意地安装,还有的计算机用户随意地将自己的账户密码告知别人,给计算机安全问题造成巨大隐患。
3.2科技角度存在的漏洞。
3.2.1操作系统不能及时进行升级完善。
没有哪个操作系统是完美的,任何操作系统一定有自身的缺陷。正是这样才给计算机病毒提供了温床。原因在于内网系统是一个独立的体系,因而操作系统得不到及时升级,从而无法保证内网的安全。同样,在应用软件方面也存在着不足。一般而言IIS的漏洞方式有:远程溢出漏洞、配置错误漏洞、权限漏洞、解码漏洞等,数据库的漏洞形式注入式漏洞等。然而,有些编程人员却忽略了安全这一重大问题,产生了操作系统的缺陷和漏洞,更有甚者,为了便利而故意设置软件的漏洞。
3.2.2关注匮乏,信息安全无法顾及全面。
在部分企业管理人员的观念中对信息安全的关注不够,从而造缺乏对信息安全产品的投入。在部分企业中有放弃使用网络版防火墙和防病毒软件以单机版产品替代的,有的企业使用一套防病毒软件安装多台计算机,甚至有的企业根本没有使用任何防火墙和防病毒软件。
4.预防方案
4.1敲响网络安全的警钟。
企业管理人员要培养网络安全意识是稳定企业内网信息安全的先决条件。要及时对其进行相应的网络应用技术培训,促使其专业技术水平提高,真正为企业消除在设备性能、信息安全方面的后顾之忧。对于因一线操作人员水平存在缺陷或因工作疏忽误操作而造成的问题,技术人员应利用加密、屏幕保护加密、目录加密、文件加密、网络传输加密等专业技术来加以预防。
4.2加强有关规章完善,严格管理网络使用。
加强网络安全管理,提高有关规章制度完善程度,将有利于保障网络安全、可靠运行。完善计算机操作使用流程制度、网络操作规范制度、U盘、活动硬盘等信息介质的妥善管理规定、保密机和密钥等密码安全问责制度,同时建立健全计算机的维护制度和应急措施、预案,以保障网络系统的安全等。为使计算机安全工作有章可循,责任到人的目的,可尝试上网信息保密审批领导责任制等安全隐患问责制度,将计算机可能存在安全隐患的各个环节都能加以严格掌控。
4.3增强对计算机内部网络的技术维护。
4.3.1对专业人才进行针对培养,加大计算机硬件的防护措施。
在制定生存发展战略的同时,企业往往对专业人才的引进与培养倾注大量精力,而其中计算机专业的技术人员相对较为缺乏。为了推动企业发展,必须采取相应的针对措施。第一,加大对计算机专业技术人才的引进;第二,为了对计算机保持长期有效的维护,定期对内网技术专业人员进行集中技能培训,提高其专业素质;第三,为保证内网设备的正常运行,应针对设备的使用环境、运行情况进行周期性检查,及时更新和维护相应的配件。
4.3.2保持计算机操作系统的更新,修补减少编程堵塞漏洞。
第一,保证操作系统正常运行的首要条件就是定期对其进行更新和补漏,并且由于互联网没有与内网直通,更新与升级的任务需要靠维护人员手动完成。补丁管理软件能够针对这一情况减轻维护人员的工作量,每次只需在服务器上更新一次,相应所有客户端便能够自动更新,安全便捷。如微软公司(Microsoft)的WSUS(Windows Server Update Services)补丁管理软件等,在现如今内网服务器和终端较多的情况下,推荐使用这类软件。第二,为最大限度地保证信息安全,类似系统中的WEB服务,数据库读、写等由开发人员直接编程的专用程序应用,要求加大安全力度,尽量将程序编写的严密,将涉及用户名与口令的程序封在服务端,对于与数据库连接的用户名与口令应给予用户最小的权限,营造一个安全的信息环境。
4.3.3运用防火墙、防病毒软件等工具,定期对网络进行监测和检查。
为营造安全访问空间,阻挡木马病毒的传播与侵入,应在服务器、各终端边界上建立起通信监控系统,利用防火墙技术来进行实时检查与隔离,从而提高内网的安全性。安装网络监控软件,能够及时发现内网中存在的异常情况,并提供有效证据,为事后追查问题根源提供便捷。通过安装网络版防病毒软件来加强病毒检测,及时发现病毒并予以清杀,可有效阻止其在网络上的蔓延和破坏。
5.结语
网络安全是企业应该高度重视的一个综合性课题,它既包括信息系统本身的安全,又有物理和逻辑的技术措施,涉及技术、管理、使用等许多方面。企业应针对不同方面的问题,开发新技术,加强对硬件和软件的及时调整,研究维护网络安全的完备方法,建立起完善的网络安全管理体系,为保证企业信息系统的安全运行而积极防范。
参考文献:
[1]谢希仁.计算机网络(第6版)[M].北京:电子工业出版社,2011.
篇13
在自主创新、自我研发渐成企业发展新势的当下,独创性核心技术及相关经营信息,无疑是企业维持竞争优势、创造财富的商业秘密。然而,遗憾的是多数企业的核心技术,被商业间谍或竞争对手窃取,且越是高新技术企业,其商业泄密率越高。
基于网络管理、知识产权、网络人才缺失等成因,部分矿山企业的内网信息安全之忧渐次凸显:尽管网络信息防护投入不断增加,但病毒、木马的攻击仍频繁发生;硬件和带宽投入持续增长,网络却再依旧时断时续,关键应用性能无法得到保障,亟待企业网络信息技术人员对症破解。
1 矿山内网信心平台的特点
①数据传输安全无法保障。②硬盘存储的数据、文档资料,无安全保障。③移动存储等设备的内/外网杂乱使用,导致所存数据的安全风险。④终端计算机缺乏统一的高强度身份认证安全机制。⑤现有安全管理机制,无法对各计算机终端做全面的行为/网络管控。⑥终端外设端口缺乏统一的安全管理。⑦各应用系统自身的数据交互/存储,无可靠安全环境。⑧企业内网结构划分杂乱,各业务/职能部门间的访问显存风险。
2 主要数据泄密途径
2.1 主动泄密。拷贝、打印信息;收发电子邮件;QQ发送信息。
2.2 被动泄密。终端(笔记本)信息被盗;移动存储介质(U盘、移动硬盘)丢失/被盗;移动存储介质使用不当;计算机遭受间谍软件攻击,致无意识泄密。
3 矿山内网管理信息平台的技术要点
3.1 管理系统。可集成PDM系统、ERP系统、OA系统、CPC系统及设计分析等管理系统,对控制列表中不存在的管理系统提供现场集成功能,以充分满足企业内网的复杂需求。
3.2 应用程序。支持所有应用程序控制,如设计类的AutoCAD、办公类Office系列、汇编类VB系列等,均可产生文件的程序。
3.3 管理模式。具备大用户数管理模式,能满足大规模端点控制需求,可实现负载均衡、热备和多级管理模式等。
3.4 模块扩展。具有高度的模块化和扩展性,可根据制造业信息系统发展的需要,扩展其它功能,如:电子邮件加密、输出内容监控等模块。
3.5 端口管理。防止内部员工通过邮件、MSN、QQ、FTP下载等网络端口发送重要文档。
3.6 兼容系统。完全兼容现有网络、硬件系统,如路由器、网关及防火墙;完全兼容已知的安全软件,如杀毒软件、防火墙软件,加密进程不会因软件误判为病毒或木马而被清除或终止;也兼容最新的Windows系统平台,如Windows Vista、Win7等。
4 矿山内网管理信息平台的管理功能
4.1 安全控制管理。U盘使用管理;外设端口管理;网络访问管理;网页访问管理;共享权限管理;准接入管理;终端远程控制;在线/离线策略。
4.2 网络运维管理。应用程序管理;网络流量管理;软硬件资产管理;IP&MAC地址管理;补丁分发管理;远程桌面监控;灵活分级管理;终端进程查看;文件传输管理。
4.3 操作日记管理。文件操作日志;网页浏览日志;U盘使用日志;应用程序日志;打印文件日志;资产异动日志;身份识别系统;访客内联日志;其他应用日志。
4.4 系统保护管理。客户端自我保护;通信保护;服务器安全保护;数据库安全保护。
5 结束语
矿山内网信息管理平台的构建,与其说是信息技术问题,不如说是企业领导网络意识、产权意识及商业竞争诸意识的综合外化。惟其站在主动保护企业核心商业秘密的高度,才能关注、熟知企业内网信息管理平台的构建,进而避免企业因内部网络安全漏洞和网络管理漏洞遭受到巨大损失。
参考文献:
