时间:2023-07-03 15:49:10
导言:作为写作爱好者,不可错过为您精心挑选的10篇网络安全加固建设,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
随着高校信息化建设的全面深入和快速推进,基础网络设施和信息应用系统日趋完备,形成了规模大、结构复杂、系统多、应用全面的网络与信息系统架构。信息化建设项目多、任务重,在高效率、高质量完成建设任务的同时,需要保证网络运维和信息安全运维的效果和效率,为师生提供良好的用户体验,这就对网络运维提出了更高的要求和标准。网络业务日益繁多、复杂多变,各种网络问题层出不穷,如黑客攻击、计算机病毒泛滥,高校园网络运维体系面临新的问题,能否适应新变化就显得非常重要。建立校园网运维体系、解决校园网面临的问题对保证高校正常的教学、科研、管理等工作有着重要意义。
1校园网络安全运维体系架构
随着信息化在高校的发展,硬件平台、应用软件、操作系统越来越复杂,难以集中管理,加之师生对网络的高度依赖性,使得保障网络的可靠性和安全性成为重中之重。具备故障管理、配置管理、变更管理、性能管理、安全管理等功能的网络管理技术为当前网络安全技术中的关键技术。高校校园网络中网络安全设备、业务系统数量众多、结构复杂,且管理控制平台多样,网络管理员需要掌握不同平台的管理及使用方法,去管理网络中的各种设备和系统,复杂度高;网络管理员对应用系统的使用权限不同,难以在不同的业务应用系统中保持控制策略和用户权限的全局一致性,管理网络安全事件日趋复杂化。只有对所有安全设备、业务系统发生的安全事件及其运行状态信息进行关联分析,才能有效发现新的、更深层次的安全隐患。安全管理技术主要包括安全事件采集、安全事件管理、安全设备监控三大模块。安全事件釆集,用于采集网络中所有安全设备及业务应用系统等的安全日志及运行状态,这些信息将为后续的关联分析提供数据源,是安全管理的基础。安全事件管理将采集得到的数据源进行关联分析、风险评估等处理,通过分析可能的安全威胁,提交安全对象的安全报告。安全设备监控,是通过监控各关键网络设备的运行状态信息,及时发现安全问题并第一时间进行处理。
2校园网络安全运维平台的组成
校园网络安全运维平台由监控中心、安全分析中心、运维中心组成,为保证高校校园网络的安全提供了科学合理的方法,有效保障了校园网络的安全和稳定。监控中心,通过事件采集器收集监控对象日志信息及安全事件,经过标准化、信息过滤和关联分析后,标记安全事件级别同时存入数据库。安全分析中心,通过资产识别、威胁识别、脆弱性识别、评价风险、风险计算等过程,评估校园网络综合资产的重要性、脆弱性以及面临的威胁,为管理员进行决策提供依据;采用事件关联分析算法,寻找海量事件相互关联事件,提取出真正有价值的少量安全事件威胁,包括业务连续性威胁、数据安全威胁、攻击威胁。运维中心,通过安全预警管理接收业务系统防护平台产生的自动安全预警信息或人工预警信息,再进行分级处理,并按规定的通知模板将预警信息传达给相关人员,并运用系统安全策略进行准确的预警,其中系统安全策略由告警的触发条件、分析规则、风险策略、设施管策略、存储策略等组成。
3安全运维的内容
3.1安全巡检
定期对校园网络安全设备的日志进行深入分析和审计,包括对防火墙、IDS、防病毒系统、动态口令认证、日志分析系统等的运行状态、运行事件、日志和关键配置文件进行收集、分析,并形成相应的安全建议。安全巡检内容如下:(1)制订安全设备巡检计划和巡检规范;(2)定期对网络安全设备进行巡检;(3)分析和解决在巡检中发现的问题;(4)提交巡检报告。
3.2漏洞扫描
通过漏洞扫描可以全面、准确发现校园网络中各系统存在的安全隐患及可能被攻击的方式,掌握信息系统的安全现状,为进一步保证建设校园网络的安全提供了数据参考和实际的依据,具有指导校园网络安全建设的作用。对信息系统进行标准的安全探测是漏洞扫描采用的主要技术手段,通过安全探测可以发现网络和系统潜在的安全隐患和薄弱环节。通过漏洞扫描设备、安全评估工具以扫描的方式对整个校园网中的信息系统、网络设备和安全设备进行安全扫描,从校园内网和校园外网络两个不同的网络环境来探测校园网络结构、网络设备部署、服务器主机配置、数据库管理员账号/口令等校园网络对象目标存在的漏洞、安全风险和潜在的威胁。漏洞扫描有利于发现系统层、网络层、应用层的安全问题。(1)系统层安全。各网络设备、安全设备、服务器的操作系统,主要存在操作系统自身的漏洞、风险和威胁,主要包括用户名、密码管理、访问权限分配和控制、系统漏洞等,以及操作系统的安全配置不够完善,存在被攻击的可能。(2)网络层安全。网络信息是网络层的主要安全问题,包括身份认证,控制不同身份对网络资源的访问、传输过程中的信息数据保密性与完整性、校外网络远程接入、入侵检测的发现及处理手段等。(3)应用层安全。应用软件和数据的安全性是应用层安全考虑的主要方面,主要有:学工系统、门户网站、教务系统、数据库系统、Web应用服务、电子邮件系统、防火墙及WAF系统及其他网络应用服务系统等。扫描流程如图1所示:
3.3安全加固
针对巡检、漏洞扫描、安全评估过程中发现的各种安全隐患、系统漏洞,通过补丁升级、漏洞修复、进行更加严格的安全配置、校园网络系统架构优化与调整、安全策略升级与完善等方式及时对系统进行安全加固,范围可覆盖资产梳理、终端检查、物理检查、管理体系优化、人工检查、漏洞扫描结果加固、渗透测试结果加固(涉及数据库加固),提高校园网络的安全性、抗攻击和防病毒入侵能力,降低网络安全事件发生的可能性。采用基本安全配置定期检测和优化,提高各系统、设备的密码复杂度及修改密码,系统漏洞检测、修复处理,访问控制策略完善配置,安全的远程接入方式,开启文件系统的审计策略,开启系统日志记录并定期进行分析,定期升级操作系统及更新安装补丁等手段对校园网络进行安全加固。加固完成后,定期对校园网络的安全性进行评估,确保校园网络中各业务系统、网络设备、安全设备具有较高的安全性和抗攻击能力。加固流程如图2所示:
4结语
科学合理成体系的校园网络安全运维能有效缓解校园网络面临的风险问题,将网络安全事件从传统的事后处理逐渐转变为事前防范,能极大提高网络运维和安全管理水平,增强校园网络的安全性,提供更好的用户体验,从而实现安全、稳定、抗风险能力强的校园网络环境。
参考文献
[1]庄天天.安全运维平台关键技术的研究与实现[D].北京:北京邮电大学,2013.
[2]吴京伟.大学校园网络运维体系研究[D].合肥:合肥工业大学,2009.
服务器虚拟化的互感器加密等级越高,其信息平台防扩散效果越好。采用位串描述检测器对计算机网络系统的模式匹配进行检测,从而提高网络安全的防护等级。强化对于技术人员计算机网络通信网络安全管理意识的培养,操作人员应该运用计算机多进制的通信加密方式,对繁杂的信息大数据进行传输和有效处理,实现网络信息系统的远程操纵,保证服务器虚拟加密过程不受外界的攻击。
1数据通信网络维护分析
由于网络中由于高速运行的过程中,往往会产生一些漏洞,这些漏洞一般是由病毒攻击导致的。如果出现无人照看的安全漏洞系统进一步发展,就会造成整个服务器瘫痪的严重问题。提升数据通信网络系统的安全性,技术人员应该定期对计算机病毒进行查杀,防止非自体的不良数据信息入侵网络系统。建立更加安全的计算机网络免疫系统,对非自串进行准确识别。在网站服务器搭建的过程中,针对互联网环境分配的情况不同,使用不同的IP段地址来保证信息传播的安全,或者使用划分VLAN的形式,对网站信息码流开展有效的逻辑隔离。
2数据通信网络维护分析及网络安全问题探讨
2.1运用新的防护墙技术,开展网络安全科学架构建设
由于计算机网络接入层中涉及到许多的硬件设备,硬件条件的稳定可靠决定了计算机网络的可靠程度的高低。可将相邻的两个介入交换机进行堆砌,同时将终端的服务器设备整体介入到连接线路中,再使用捆绑的形势将诸多的设备形成一条效率更高、性能更稳定的虚拟链接。开展数据通信网络状态分析,网络工程技术人员应该运用新的防护墙技术,开展网络安全科学架构建设。运用转入性防火墙技术规则结构,开展网络访问界面的信息过滤探索。并且,每一次登录后台系统,必须要采用输入安全密钥的方式,才能够顺利进入。采用此种登录方式,重点在于防止闲杂人员进入系统的后台,对网络信息的系统安全造成破坏。运用新的防火墙技术对系统安全进行防护,网络工程技术人员必须要使用安全操作允许的数据交换方式,进行网络后台系统的层层加固。在转入性防火墙的技术保护规则之下,用户访问的时候需要提供本身的端口协议,采用这种信息过滤技术,能够将不符合要求的信息进行过滤。并且,将带有安全隐患的信息端口自动转到其他的web控制台进行处理。开展网络安全系统加固操作,技术人员需要根据信息反馈进行技术规则优化。根据验证用户提供的端口协议进行分析,并且建立更加符合操作要求的规则协议模块。为了更好的维护计算机安全,必须要向广大的人民群众普及计算机故障排除和预防方法。从社会宣传和预防的角度来说,首先要制定强有力的计算机内部系统的法律法规,加强大众计算机常识性教育,通过多层网络结构有效地隔离各种故障,简化网络运行性,切实提高链接线路的使用效率和网卡介入水平。推行网络文明和信息安全,运用新的防护墙技术,技术人员应该对网络信息安全操作允许的系统记录和接口进行加密,安全操作的访问权限应该限制在网络内部人员中使用。
2.2加强网络环境信道测试,及时修复通信漏洞
采用信道测试的方式,对当前的网络环境进行安全测试,能够及时地发现安全系统中的漏洞,根据网络系统中的安全隐患进行修复,从而显著增强内部网络的安全性。在网络性能测试活动中,技术人员应该采用数据电路测试的方式,在DTE的两端接口处,进行信道测试。使用调制解调器进行规程测试,能够显著提升信道测试的有效性,从而有效排除数据电路测试中的信号干扰因素。内部系统盘尽量不要与外部信息端口随意接入,在网络运营中必须要进行科学的网络系统管理,如果确实需要进行外部端口接入时,一定要对其进行信息保障化处理。从网络安全防护体系建设出发,显著提升网络系统的安全性。对ACL访问方式进行控制,采用信息过滤的方式,对于不信任的访问进行拦截,从而有效防范DOS攻击。使用IPSEC-VPN组网方式,对数据通讯系统的安全性进行加固,从而提升数据通讯系统的数据处理能力。将NAT地址进行隐藏,从而减少黑客攻击的命中率。采用一系列的软件升级新技术,对网络环境安全进行深度保障性建设。
2.3重点防范木马攻击,建立严格的网路安全检查制度
为了提升数据通信的工作效率,维护网络整体安全,技术人员应该对WEB安全进行防护,重点防范可能存在的木马攻击。对于不明来历的储存卡和USB设备,应该禁止将其接入到内部网络中,防止出现数据系统感染问题。加强对于WEB系统的安全防范,经常性地检查内部窗口是否处于正常的运转状态,防止网页被恶意篡改。通常多层网络结构中包括计算机的接入层、操作室的核心层和内部信息的分布层,从计算机网络系统的管理方面来看,为了提高网络的可靠性,必须要对终端接入的可靠性进行稳定。加强设备自身安全性建设,对系统进行定期的检查,对于网络系统的脆弱部分进行定期的优化与升级处理。建立能够抵抗DOS和DDOS攻击的数据通信网络系统。核心设备的访问方面,应该采用管理员SSL加密登录的方式,实现业务与管理界面分离。并且登录密码应该采用防破解设计方式,采用固定密码配合动态密码的方式,提升密码系统的安全性。
3结束语
为了适应经济社会发展和办公环境的需要,必须要采取合理有效的措施提高计算机网络的可靠性.可以通过提高计算机网络的可靠性,注重计算机系统软件升级,运用新的安全防护方式,实现网络通信模式的升级。
参考文献
[1]郭建英.数据通信网络维护与网络安全问题的探讨[J].科技资讯,2011(26):9-9,11.
[2]石加歆.对通信网络维护以及网络的安全之我见[J].城市建设理论研究(电子版),2012(02).
1消防部队计算机网络的安全隐患
(1)人为因素方面存在的安全隐患
计算机网络技术的普及应用给官兵日常工作带来了极大的方便,只要用一台电脑就可以进行日常办公。然而,消防部队官兵网络安全意识淡薄,缺乏安全知识,或打开网页浏览网络信息后不能及时关闭网页,导致重要信息泄露;或数字证书使用后不能及时从电脑上取下,埋下安全隐患;或使用U盘、移动硬盘等移动数码存储介质时没有进行杀毒处理,极易导致系统感染病毒或造成系统信息泄露;或不注意对杀毒软件进行更新、升级,无法保证杀毒软件的监控功能和查杀功能。另外,消防部队官兵大部分不属于计算机专业,接触计算机网络项目少,缺乏网络安全维护知识,对网络安全防护操作不了解,在系统应用过程中容易出现一机两用、信息泄密、感染病毒等现象。消防部队官兵网络系统安全意识淡薄、安全防护知识缺乏为消防部队的网络系统埋下了极大的安全隐患。
(2)网络基础设施建设以及技术方面存在的安全隐患
由于受投入资金的限制,消防部分的网络信息化建设明显不完善,尤其是调度指挥网的建设以及各种专用网的建设均无法满足现实需求,即没有做到专网专机专用,在网络安全隔离方面也没有设置网闸、硬件防火墙等安全防护设施,而且仅仅采用双网卡接入方式实现部分网络的接入,使网络系统的安全性得不到保障。另外,部分网络为了调试方便,几乎在电脑硬件上不设置任何防护措施,使电脑端口呈开发状态,这样极易给一些不法人员以可乘之机吗,对系统实施恶意攻击,最终导致网络系统瘫痪。在网络安全防护技术应用方面,在安全防护技术方面的投入不足,杀毒软件等安全防护软件不能及时更新、升级,系统漏洞较多,容易受到攻击及病毒感染,甚至造成不同网络的病毒交叉感染,最终系统瘫痪。
(3)数据存储存方面存在的安全隐患
随着系统数量的不断增加,数据的存储问题越来越突出,如何保证数据的完整性、安全性使目前要解决的重要问题。导致系统数据丢失的因素有很多,网络硬件故障、系统管理不善或者自然灾害等情况均可以导致数据丢失。消防部队网络系统数据存储存在的安全风险主要体现在以下几个方面:①操作系统和数据库系统的安全防护能力不高,当系统造成恶意攻击时可导致系统崩溃,进而造成数据丢失;②系统的硬件由于兼容性的限制而无法实现数据的有效备份,一旦计算机硬盘发生故障即可导致存储数据丢失;③系统数据缺乏完善的保密机制,导致数据泄露现象频发。
2消防部队计算机网络安全隐患的应对策略
2.1加强硬件防护
硬件是实现信息化建设的基础设施,是解决网络安全问题的关键所在。首先要加强机房建设,健全机房设备,建立高效的、适用的供电系统、UPS系统、防雷系统等,机房交换机设备、路由器设备要保证具有较好的稳定性性和较高的运行速度,以确保网络通信畅通。机房服务器的运行指标要满足一定要求,保证服务器稳定、高效运行。网闸、硬件防火墙的等设备要符合公安要求,以便实现不同网络之间的对接,这对保证网络的安全运行非常重要。另外,在数据存储方面,一定要加强移动存储介质应用的管理,移动存储介质在对接公安网时要进行杀毒,存储介质在确定不含机密文件的情况下才能插入如联网。网络建设中各种硬件设备一旦发生故障要及时维修或者更换。
2.2加强软件防护
消防部队的网络建设需要安装正版的系统软件,一方面保证系统的性能,另一方面保证系统的安全。在数据库的管理和应用中,需要由专业的计算机网络管理人员进行数据库操作,在设计数据库的过程中要考虑到各数据之间的关系,并正确配置,对数据库的用户数量进行一定限制,明确不同用户的职责范围和使用权限,对于一些机密数据要进行加密处理。为了保证数据的完整性和有效性,要做好数据库数据备份工作,制定完善的数据备份策略。严格遵守软件的开发要求,有必要时需要关闭影响网络安全的服务,以确保系统的安全运行。加强网络安全技术应用,安装杀毒软件,设置防火墙,定期检查和修复系统漏洞,同时注意对杀毒软件的更新。目前应用较广泛的计算机网络安全防范技术有加密技术、防火墙、病毒防护技术、入侵检测技术等。①加密技术是进行网络安全防护的核心技术,经过多样的研究和开发,现代加密技术基本已经实现了数据保密性、数据完整性、数据真实性以及数据可控性的完美结合,在当前的网络信息安全管理中发挥着重要作用。②防火墙是阻挡网络外部风险的重要措施,是一种用于加强网络之间安全访问控制,阻止外部网络用户以非法手段进入内部网络,是一种非常有效的安全策略。根据所采用技术的不同,防火墙可分为多个类型,包括过滤性防火墙、型防火墙、监测型防火墙等等。③病毒是网络安全的最大隐患之一,采用有效的防病毒技术可以防止病毒对计算机系统造成破坏。当前的防病毒技术主要有病毒预防技术、病毒检测技术以及病毒消除技术等。
2.3加强管理
(1)建立健全的网络安全防范机制
其一,制定物理隔离相关规定,并加强执行力度,以消除一机两用的现象;其二,规范网络安全管理和维护,局域网内需安装网络版防病毒软件以及其他安全防护软件,并进行及时更新、升级,以便最大程度消除安全隐患。其三,针对网络病毒制定有效的应急预案,以应对大规模的病毒发作,提高系统运行性能和应急能力。
(2)对主机本身进行安全加固
服务器是网络系统中的关键部分,一定因为服务器问题引发安全问题或者导致系统瘫痪将会造成不可估量的损伤,所以网络系统的安全防护必须要重视对服务器的管理,对重点服务器进行安全加固。服务器加固的方法有多种,常见的有增打补丁、或利用安全扫描技术对系统服务器进行扫描分析,以便找出系统中潜在的安全隐患,并及时消除。另外,对重要的、安全级别较高的系统建立应急预案,同时建立数据安全策略。
(3)制定详细的管理措施
为了进一步加强安全管理,消防部队应根据实际需求制定比较详细的管理细节,同时对计算机系统进行安全风险评估,通过对系统的定期分析了解系统各个层次的安全状况以及潜在的风险,信息安全评估内容包括物理安全、网络安全、系统安全、软件安全、数据安全、应用安全、管理安全等等多个方面,其中尤其要重视软件的安全,详细分析各种安全要素,以保证系统软件的安全应用。
(4)制定完善的访问控制策略
有效的控制访问策略是提高系统安全抵抗能力,缺乏系统数据安全性的重要手段。网络系统的安全控制管理一方面要建立认证系统,为确保系统数据信息的安全性必须要加强访问权限管理。另一方面可以充分应用IP限制技术、或者与MAC绑定技术加强系统访问控制管理。
(5)提高全员的安全意识,加强安全知识学习
随着网络系统的普及应用,提高安全意识是保证网络系统安全性的关键所在。其一,必须要从思想上认识到网络安全防护的重要性,杜绝使用未经杀毒处理、或者其他来历不明的软件,不随便查看、阅读、下载网络上来历不明的邮件或者文件;其二,用户应增强安全防护意识,对计算机系统要设置密码,不使用影响系统完全的服务,取消完全共享,并定期对系统和相关软件进行杀毒,增打补丁。其三,对全体官兵进行网络安全知识教育和普及,并落实网络安全责任,培养高素质的计算机网络安全维护人才。
3结论
网络安全防护是一个比较复杂的、需要长期坚持的任务,随着计算机技术的快速发展,计算机病毒、网络攻击等威胁系统安全的技术也不断升级、更新,让人防不慎防范。在网络安全问题逐渐多样化、复杂化的趋势性,网络安全防护也需要从多方面加强防护措施,建立多层次的、立体的防护体系,全方位维护网络系统的安全。
作者:李哲强 单位:呼伦贝尔市公安消防支队司令部
引用:
[1]唐镇.基层消防部队网络和信息安全问题及管理对策[J].网络安全技术与应用,2015.
[2]郭浩.当前消防部队网络信息安全问题及措施分析[J].信息安全与技术,2013.
中图分类号:TP319.3 文献标识码:A 文章编号:1007-9599 (2011) 22-0000-01
"Computer Network Security" Teaching Study
Jiang Cui,Cheng Shoumian
(Xianning Vocational Technical College,Xianning 437100,China)
Abstract:"Computer Network Security"is a computer network or similar technical expertise of one major basic for reqiured courses.The following courses form course architecture in the position,course training objective,selection,curriculum design and teaching methods of teaching content and other aspects of elaboration of this course,teaching methods,to promote this course teaching reform and development,improve the teaching standard of this course.
Keywords:Network Security;Network technology
前言:通过计算机网络,人们可以非常方便地存储、交换以及搜索信息,在工作、生活以及娱乐中享受极大的便利。然而,人们在享受计算机网络所带来的巨大便利的同时,也受到计算机网络本身所暴露出的各种安全问题的困扰。这些安全问题给人类社会所依赖的“网络社会”蒙上了阴影。计算机网络安全问题已成为一个世界性的现实问题。可以说没有网络安全,就没有完全意义上的国家安全,也没有真正的政治安全、军事安全和经济安全。因此,加速计算机网络安全的研究和发展,增强计算机网络的安全保障能力,提高全民的网络安全意识,加速培养网络安全专门人才已成为我国网络化合信息化发展的当务之急。《计算机网络安全》课程在课程体系中占有重要的地位,《计算机网络安全》课程的教学不容忽视,《计算机网络安全》课程的教学研究探讨有重要的意义。
一、《计算机网络安全》在网络专业课程体系中的地位
先行课程:《计算机网络基础》、《网站建设》、《网络数据库》和《网络设备与互联》;并行课程:《网络管理》;后继课程:《网络攻击与防御》、《数据备份与灾难恢复技术》和《网络安全与电子商务》。
《计算机网络安全》这门课程在网络专业体系结构中位于网络安全领域课程的首位。是网络安全方向学习必不可少的课程。它依据《计算机网络基础》课程,系统的讲解了网络技术相关的基本原理和网络应用技术,使学生掌握了网络的理论基础知识和网络应用技术;《网络数据库》全面地介绍了数据库基础、SQL Server的安全性管理、SQL Server2005数据库系统管理、开发和应用的相关原理、方法和技术;《网站建设》系统地介绍了网站规划建设与管理维护的知识和技术,训练了学生网站建设和规划及维护的能力;《网络设备与互联》详细介绍了构建园区网所涉及的交换、路由、安全等方面的知识,以及将园区网接入到互联网的相关技术。这些课程为网络安全课程的学习奠定了良好的基础,为网络安全问题的解决提供了必要条件。
《计算机网络安全》是培养网络管理员,成就网络工程师课程体系中一个重要的组成部分。它属于“组网、用网、管网”中的“管网”部分。主要针对计算机网络的管理和网络应用专业岗位而设置。
二、《计算机网络安全》课程的培养目标
作为《计算机网络安全》课程设置的主要内容有:网络故障安全应急处理,黑客攻击造成的网络安全异常及诊断分析,病毒造成的主机网络异常诊断和分析,无线网络系统加固技术,网络安全架构设计和网络安全设备的部署,加密、解密技术及其应用,主机操作系统和应用服务器系统安全加固,故障后的数据恢复技术。对我们高职学生学习该课程,对应的职业岗位,主要是针对初级并界于中级的网络管理员以及为网络工程师职业打下坚实基础。要想成为中高级网络管理员必须经过后续课程的不断努力学习。
(一)职业所需的专业能力。(1)熟悉常见计算机病毒的现象特征,掌握其清除和防范技术,能清除常见计算机病毒,(2)熟悉操作系统的安全设置,能有效的保护所管理的计算机安全可靠运行,(3)掌握防火墙的原理及功能特性,掌握防火墙的配置技术,能保证园区网的网络设备可靠工作,(4)了解黑客的入侵过程,掌握防范黑客攻击的一般措施,能防范一般的黑客攻击,(5)掌握数据备份和恢复技术,能应对数据的急救处理。
(二)职业所需的通用能力。(1)网络安全的法律和法规意识。掌握我国制订的相关网络安全法规和法律知识,了解我国网络安全的发展趋势。(2)团队协作精神。网络安全是一个庞大而复杂的领域,需要团队的分工合作。(3)养成自学习惯。网络安全领域知识变化日新月异,需要不但学习,要培养“活到老,学到老”的自学习惯。(4)与人沟通意识。
三、《计算机网络安全》课程教学手段
“以职业活动为导向,以工作过程为导向”,本课程内容组织与安排遵循学生职业能力培养的基本规律,围绕职业能力目标的实现来展开。教学手段:虚拟、真实环境相结合。以学校的实训室为研究对象,按照项目实训步骤进行教学。教师在虚拟(计算机网络安全攻防实训系统,如泰谷网络攻防实验系统)和真实(计算机网络安全实训室)的网络安全环境中进行操作演示;学生在虚拟(计算机网络安全攻防实训系统)和真实(计算机网络安全实训室)的网络安全环境中进行操作练习;在实训室中,学生按分组用真实的网络软硬件进行网络攻防训练。并辅以课外学习,学习网站有:黑客基地(),黑客防线(.cn),中国黑客联盟(),中国黑客入侵组(),安全焦点()。然后输送学生到附近的校外实训基地真实的环境中学习锻炼,直接掌握职业岗位的需求知识和技能。
参考文献:
[1]辜川毅,主编.计算机网络安全技术[M].机械工业出版社,2009
中图分类号:TP393.08
1 安全管理体系结构及功能
1.1 安全管理体系结构
网络安全是企业安全有效运行的保障,安全管理体系主要包括安全策略、安全运作、安全管理等。安全策略管理是企业网络安全运行的体系基础,有利于项目建设规范化管理和运行和安全工作的开展。安全基础设施系统主要有访问控制、桌面管理、认证管理、防垃圾系统、服务器监控与日志统一管理系统、漏洞扫描系统、服务器加固系统等。莱钢计算机网络整体架构图如图1所示。
1.2 安全管理系统功能
安全管理系统的功能将所管辖的IP计算机信息根据分类登记,有利于其他安全管理模块进行数据连接和信息共享,并配备服务器和交换机加固工具,及时掌握网络中各个系统的最新安全风险动态,并及时的对服务器文件、进程、注册表等进行保护。安全监控系统是监控全网事件报警信息,对当前事件进行安全监督和实时监控,有利于企业网络安全运行和业务系统的安全性,监控的产品主要包括网络中的设备、日志相关信息、相关事件的报警信息等。
2 网络系统安全体系的设计与实施
2.1 身份认证系统设计分析
网络安全运维管理中心设置在信息中心,担负全网桌面安全管理,通过制定相关策略、委派安全角色,对全网数据进行统计分析和安全管理,并通过一系列的安全运行策略建立安全身份认证体系。莱钢统一身份认证系统架构图如图2所示。
RSA SeucrID由认证服务器RSA ACE/Server、软件RSA ACE/Agent、认证设备以及认证应用编程接口(API)组成。RSA ACE/Server软件是网络中的认证引擎,由安全管理员或网络管理员进行维护。
2.2 计算机资产安全管理系统
计算机资产安全管理为莱钢的高层管理人员提供全网资源的多维度分析报表。信息中心成为莱钢的IT系统的“安全策略中心”、“安全管理中心”、“数据汇聚中心”和“报表总中心”。下设一级管理中心,分布在各分部,由总中心授权负责对分部人员权限管理和桌面系统管理,并具体实现对各终端桌面目录、桌面管理、软件分发、系统自动升级管理、信息安全和管理监控功能。软件分发工具大大提高了莱钢桌面计算机管理的自动化程度,提高管理效率。自动化的工作流程还可以避免人工操作带来的风险,使莱钢的桌面计算机上的资产得到更好的保护。通过软件分发机制,从桌面计算机标准化支撑平台将软件分发到指定的桌面计算机和支撑平台内部指定的服务器,消除对桌面计算机和服务器的访问等人为因素导致的错误。及时安装操作系统更新补丁,避免成为黑客和病毒的攻击对象。及时安装应用程序的补丁,减少安全隐患,增加应用程序稳定性和功能。对服务器系统的补丁需要经过评估对现有系统的影响,避免出现业务系统故障。服务器系统的补丁需要利用自动检测技术,通过人工的评估,再实现自动分发和手工安装。
2.3 EAD端点准入防御体系
EAD安全准入主要是通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略的用户终端进行网络隔离,并帮助终端进行安全修复,以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。
2.4 网络安全模型的设计
从网络安全、应用安全、管理安全的角度出发,设计归纳莱钢网络系统安全模型,主要包括:(1)网络架构防护:采用网络边界防毒、统一身份认证技术和针对于网络设备和网络服务器的漏洞扫描技术;(2)应用系统风险防护:采用的主要技术包括防病毒技术、服务器系统加固技术、计算机资产安全管理技术、补丁管理技术、主页防篡改技术、防垃圾邮件技术、灾难备份恢复技术及统一日志管理技术;(3)安全管理体系建立:通过对安全策略进行有效的和贯彻执行,可以规范项目建设、运行维护相关的安全内容,指导各种安全工作的开展和流程,确保IP网的安全;(4)集中管理、整合监控:对计算机系统进行综合集中管理,对日常的系统、网络、资产以及安全等日常运行能够拥有较为统一的管理入口,对系统网络可用性、资产有效性、安全防范诸多管理功能的组件进行事件级的整合、分析和响应。
3 结束语
互联网已经深度渗透到各个领域,成为事关国家安全的基础设施和斗争,网络安全是保证各种应用系统数据安全的重要基础,必须加强和采取有效的预防措施,掌握网络资源状况及实用信息,可提高网络管理的效率。
参考文献:
[1]温贵江.基于数据包过滤技术的个人防火墙系统设计与研究[D].吉林大学,2010.
1基本情况
中国建材集团核心机房按照国家信息安全等级保护三级标准部署网络及安全防护设备,网络主干为双链路结构,采用电信+联通专线入网,具备冗余性,满足业务高峰期需求,2台网络核心交换机构成双机热备,用于连接网络边界区域、服务器区域、楼层等各个区域。机房内,各区域之间部署防火墙进行访问控制,网络边界部署防病毒网关、IPS入侵防御系统等安全设备对来自Internet的攻击行为进行防护,服务器区域部署入侵检测系统,核心交换机上部署网络审计系统以及审计服务器,对网络行为进行审计,办公网络部署上网行为管理,规避网络违法违规风险,强化内网安全率。门户网站及电子邮箱系统的安全防护体系按照中央企业网络与信息安全防护标准进行设计和部署,并依据国资监管网规划方案建设了一套专网专机分散部署的非信息系统。主要业务管理信息系统按照国家信息安全等级保护二级进行定级,重点信息系统达到国家信息安全等级保护三级管理标准,核心机房内独立运行的信息系统全部满足公安部对中央企业信息系统安全等级保护要求。同时定期组织内、外部专业技术力量开展信息安全检查、信息系统安全测评、信息系统等级保护备案以及信息安全培训工作,确保信息系统和门户网站运行稳定,安全监控到位,杜绝发生安全责任事故。
2技术体系架构
中国建材集团严格按照《信息安全技术信息系统等级保护安全设计技术要求》和《信息安全技术信息系统安全等级保护基本要求》设计、采购和部署符合等级保护基本要求的安全产品,从安全计算环境、安全通信网络、安全区域边界、安全管理中心等方面构建起有效的安全技术保障体系。根据实际业务情况,将网络划分Internet接入区、DMZ区、办公区、安全管理区、核心交换区、业务服务区共计6个安全区域,并根据业务系统的要求进行安全区域合理性划分,各区域到核心交换机之间为独立线路连接,数据处理系统以单机模式部署,同时按照安全风险和安全策略,具体从物理安全、网络安全、主机安全、应用安全、数据安全进行信息安全控制。物理安全。核心机房依据国家标准GB50173-93《电子计算机机房设计规范》、GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》,从环境安全、设备安全和媒体安全三个方面进行详细设计,严格按照计算机等各种微机电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、电源质量、备用电力、振动、防漏、防火、防雷和接地等要求建设,以此保证计算机信息系统各种设备的物理环境安全,同时采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。网络安全。网络主干采用双链路结构,考虑业务处理能力的数据流量,冗余空间充分满足高峰期需要,并根据业务系统服务的重要次序定义带宽分配的优先级。合理规划路由,业务终端与业务服务器之间建立安全路径保证网络结构安全。网络区域边界之间部署防火墙安全设备,制定严格的安全策略实现内外网络和内网不同信任域之间的隔离与访问控制,服务器区域部署防病毒网关来拦截病毒、检测病毒和杀毒,保护操作系统安全稳定。应用IPS入侵防御系统实时监控进出网段的所有操作行为从而防止针对网络的恶意攻击行为,同时以满足国家等级保护二级标准要求,通过人工加固的方式对网络安全设备进行配置加固,实现包括身份鉴别、访问控制、安全审计等多个方面的安全技术要求。主机安全。部署防火墙、入侵检测、防病毒网关和漏洞扫描等安全产品进行被动主机安全防护,同时根据国家信息安全等级保护二级标准,为系统信息交换的主客体分别加安全标记,制约了操作系统原有的自主访问控制策略(DAC),达到了强制访问控制(MAC),对服务器进行安全加固配置,进行资源监控、监测报警,避免服务器自身的安全漏洞被攻击者利用,实现统一管理的主机安全防护。应用安全。应用网络设备和安全设备自身审计功能,对设备管理日志、设备状态日志、用户登录行为等进行审计。核心交换机上部署网络审计系统和审计服务器,办公网络部署上网行为管理,对网络系统中的网络设备运行状况、网络流量等进行日志记录,同时应用服务器不开放远程协议端口号。系统全部采用正版WindowsServer2008和LinuxAS5操作系统并进行必要的安全配置、关闭非常用安全隐患的应用、对一些保存有用户信息及其口令的关键文件(如WindowsNT下的LMHOST、SAM等)使用权限进行严格限制。加强口令字的使用,并定期给系统打补丁、系统内部的相互调用不对外公开,同时通过配备漏洞扫描系统,并有针对性地对网络设备重新配置和升级。数据安全。数据库系统全部购买有效授权,采取数据库系统强口令、登录失败次数、操作超时等方式实现数据库系统对身份鉴别、访问控制要求,采用技术手段防止用户否认其数据发送和接收行为,为数据收发双方提供证据。应用系统针对数据存储开发加密功能实现系统管理数据、鉴别信息和重要业务数据传输完整性和保密性。同时建立热备和冷备结合的数据备份系统,保证在安全事件发生后及时有效地进行重要数据恢复。
我国高速公路近几年来建设里程越来越远,而且随着互联网的迅速发展,高速公路进入了全国联网、信息交互的时代。一方面,这有助于高速公路网络信息的共享和传播。但另一方面,高速公路全面联网也对网络安全提出了新的要求。一旦网络被别有用心的人攻击,轻则导致信息泄露,重则有可能引起大的交通事故。
一、高速公路网络信息安全分析
针对目前高速公路信息网络系统安全的现状,很多专家学者都提出自己的观点和看法,例如:北京交科公路勘察设计研究院盛刚谈到网络安全问题时指出:一方面,不管是在设计还是建设方面,偏重于网络系统的技术和设备方面,缺乏整体系统的思想观念和管理理念;重点放在外部攻击与入侵,忽视内容的监管;重视网络安全的专业性知识,忽视培养技术人员,技术储备力量不足;新产品,技术发展快,信息安全隐患日益凸显,另一方面,针对高速收费、联网监控这方面,1、建设施工方面,相关的运营单位的认识和重视度不够,存在着投资大、效率低、操作难等问题;2、技术方面,未能严格按照国际相关标准规定执行,提出的技术不具备针对性。
网络安全现阶段的外部威胁主要来自黑客活动,包括:木马程序、网络安全漏洞、各种病毒,而内部人员监管手段的疏忽和不规范的操作也是导致网络安全系统受到威胁的原因之一。
在网络信息安全问题上,各省又都有各自的实际问题。例如:江苏高速公路呈现出:网络宽带分配不均、网络大小不同、网络技术复杂、网络资源分散、网络系统陈旧、网络结构多样化的特点。网络信息安全问题已经日趋严重,已成为当前高速网络首要解决的难题,治理措施刻不容缓。
二、网络信息安全的途径分析
基于现阶段高速公路网络信息存在的安全问题,多数学者提出自己的看法,其中盛刚提出需要从多角度、多方位的考虑,指出了全面的安全保障体系,包括:技术体系、运维体系、管理体系和标准体系。技术体系主要从主机安全、物理安全、数据安全、网络安全等多方面考虑的综合建设体系;运维体系分为四个部分:风险管理安全、安全体系的推广落实、安全维护、安全管理的工程建设这四部分;管理体系指信息安全的方针目标,以及在完成这些目标的过程中所使用的体系方法;标准体系具体主要确定网络信息安全的规章制度、管理办法,工作流程和总体框架。
针对各省份出现的安全问题,各自根据实际情况提出不同的解决方案,例如山西省针对本省高速公路网络信息安全也提出了自己的解决方案。从管理和技术两方面入手,管理具体从以下几方面着手:人员安全管理、系统运维管理、管理制度安全、安全管理机构、系统建设管理等方面提出的具体要求。技术方面主要分为:系统主机安全、物理安全、应用安全、数据安全和网络安全。管理和技术在维护系统安全中起着不可替代的作用,两者相辅相成,缺一不可。
山西省不仅从管理和技术两方面确保高速公路网络安全,在具体的实施过程中,更全面透彻地分析了全省高速公路在网络安全中存在的各种安全隐患,涉及网络安全、主机设备、物理安全、网络病毒、数据安全、业务管理、应用体系安全、主机系统安全、行为操作安全等各类隐患,针对具体存在的安全问题,对症下药,采取实施有效的安全防护措施。
随着电信网络的全面IP化,原来互联网中才会存在的安全威胁被引入到电信网络中,如木马程序、僵尸程序、拒绝服务攻击等。在IP技术和传统电信网相融合的过程中,又出现了具有电信网特点的新安全威胁,例如利用IP技术针对电信网业务层面的攻击。
1.2移动终端的智能化存安全隐患
智能终端的接入方式多种多样、接入速度越来越宽带化,使得智能终端与通信网络的联系更加紧密。智能终端的安全性已严重威胁着电信网络和业务的安全,随着运营商全业务运营的不断深入,以前分散的业务支撑系统逐步融合集成,但核心网和业务网之间的连接通常采用直连的方式,安全防护措施相对薄弱。在智能终端处理能力不断提升的今天,如果终端经由核心网发起针对业务系统的攻击,将会带来巨大的安全威胁。另一方面,智能终端平台自身也面临着严峻的安全考验,其硬件架构缺乏完整性验证机制,导致模块容易被攻击篡改,并且模块之间的接口缺乏对机密性、完整性的保护,在此之上传递的信息容易被篡改和窃听。凭借智能终端高效的计算能力和不断扩展的网络带宽,终端本身的安全漏洞很可能转化为对运营商网络的安全威胁。
1.3安全防护体系建设相对滞后
随着云计算云服务、移动支付的引入和发展,给运营商现有的基础网络架构及其安全带来了不可预知的风险。新兴的电信增值业务规模不断扩大,用户数量不断增加,因此更易受到网络的攻击、黑客的入侵。新技术新业务在带来营收增长的同时,也带来了越来越多的安全威胁因素和越来越复杂的网络安全问题,使得运营商对新业务安全管控的难度越来越大。面对新技术新业务带来的风险,行业安全标准的制定相对滞后,现阶还不能够对威胁安全的因素做出一个全面客观的评估,因此也就谈不上制定相应的风险防范应对措施,并且业界对新领域的安全防护经验不够丰富,当出现重大威胁网络安全事件的时候,对故障的响应处理能力还有待商榷。
2电信运营商网络安全防护措施
2.1加强网络安全的维护工作
面对网络信息安全存在的挑战,基础安全维护工作是根本,运营商需要做好安全保障和防护工作,并在实践中不断加强和完善。对网络中各类系统、服务器、网络设备进行加固,定期开展安全防护检查,实现现有网络安全等级的提升。安全维护人员在日常工作中也必须按照规定严格控制网络维护设备的访问控制权限,加强网络设备账号口令及密码的管理,提高网络安全防护能力。
2.2加强新兴领域的安全建设
云计算、移动互联网等新技术新业务的发展,带来了复杂的网络信息安全问题,为了加强对新兴领域的安全管理,运营商需要从新领域安全策略的制定和安全手段的创新两方面着手。
2.2.1加强安全策略的制定
应对新技术新业务的挑战,对全网安全需要重新规划和管理,建立与之匹配的安全标准、安全策略作为行动指导,并形成对服务提供商的监控监管。在新业务规划时,安全规划要保持同步,从业务设计开始就应将安全因素植入,尽量早发现漏洞、弥补漏洞。
2.2.2加强安全手段的创新
新技术的发展让传统网络的安全系统和防御机制难以满足日益复杂的安全防护需求,需要有新的安全防御手段与之抗衡。因此集监控分析、快速处置为一体的云安全等新的技术手段就值得我们去不断研究,并进行商用部署。
2.3加强安全防护管理体系的建设
做好管理体系的建设,首先需要制定配套的规章制度。网络信息的安全,必须以行之有效的安全规章制度作保证。需明确安全管理的范围,确定安全管理的等级,把各项安全维护工作流程化、标准化,让安全管理人员和安全维护人员明确自身的职责,从而有效地实施安全防护措施和网络应急响应预案,提高运营商整体的安全防护能力。其次需要建立纵向上贯穿全国的安全支撑体系。随着网络的聚合程度越来越高,省份之间的耦合程度越来越密,全国就是一张密不可分的网。因此需建立全国一体化的、统一调度管理的安全管理支撑体系。当出现攻击时集团、省、市三级安全支撑队伍能联动起来,做到应对及时有效。
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)27-0037-03
Abstract: Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network (VPN) technology, security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project, enhance the efficiency of data transmission, and support the rapid creation of new security environment to meet the new application process requirements.
Key words: smart city; Xuzhou; network security; security
随着信息技术的迅速发展,世界各地有竞争力的城市已迎来了数字向智慧城市迈进的大潮。智慧城市建设注重城市物理基础设施与IT基础设施之间进行完美结合,旨在改变政府、企业和市民交互的方式,提高明确性、效率、灵活性和响应速度,促进城市内外部信息产生、交流、释放和传递向有序化、高效化发展,关注提高城市经济和社会活动的综合竞争力,越来越受到中国各个城市领导者的认同和肯定。
徐州市在“十二五”伊始,深刻认识到智慧徐州建设在提升综合竞争力、加快转变经济发展方式、加强社会建设与管理,解决发展深层次问题等方面的重要作用,将“智慧徐州”建设纳入了未来城市发展的战略主题,希望通过智慧徐州建设,以信息资源整合、共享、利用为抓手,健全公共服务,增进民生幸福,科技创新驱动产业转型升级,智能手段创新城市管理模式,采约建设实现信息基础全面领先,为把我市建设成“同类城市中环境最为秀美、文化事业最为繁荣、富民强市最为协调的江南名城”提供有力支撑。
网络系统作为智慧徐州信息资源枢纽工程及各部门接入的承载,需通过网络系统进行数据传输,规划一张合理的、高效的、安全的网络系统能够有效地保障智慧徐州信息资源枢纽工程能够安全、稳定、高速地运行。
1 网络安全建设
由于智慧徐州信息资源枢纽工程的信息资源的高度集中,带来的安全事件后果与风险也较传统应用高出很多,因此在建设中安全系统建设将作为一项重要工作加以实施。网络安全建设应包括以下几方面:
1.1 安全的网络结构
安全的网络结构应该能够满足为了保证主要的网络设备在进行业务处理时能够有足够的冗余空间,来满足处理高峰业务时期带来的需求;确保网络各部分的带宽能够满足高峰业务时期的需要;安全的访问路径则通过路由控制可以在终端与服务器之间建立;按照提出需求的业务的重要性进行排序来指定分配带宽优先级别,如果网络发生拥堵,则优先保护重要的主机;能够绘制出当前网络运行情况的拓扑结构图;参考不同部门之间的工作职能和涉及相关信息的重要程度等因素,来划分成不同的子网和网段,与此同时在以方便管理和控制的前提下,进行地址分配;重要网段部署不能处在网络的边界处而且不能与外部信息系统直接连接,应该采取安全的技术隔离手段将重要网段与其他网段进行必要的隔离。
1.2 访问控制安全
当在网络边界对控制设备进行访问时,能够启动访问控制功能;对实现过滤信息内容的功能,并且能对应用层的各种网络协议实现命令级的控制;能自动根据会话的状态信息为传输的数据流提供较为明确的允许或者拒绝访问的能力,将控制粒度设为端口级;能够及时限制网络的最大流量数和网络的连接数量;当会话结束或非活跃状态的会话处于一段时间后将终止网络的连接;要采取有效的技术手段防止对重要的网段地址欺骗;能在遵守系统和用户之间的访问规则条件下,来决定用户对受控系统进行资源的访问是否被允许或拒绝,同时将单个用户设置为控制粒度;具有拨号访问权限的用户数量受到限制。
在关键的位置部署网关设备是实现访问控制安全的最有效途径,政务网接入边界安全网关:为内部区域提供边界防护、访问控制和攻击过滤。
1.3 审计安全
安全审计方面应包括能够对网络系统中设备的用户行为、网络流量、运行状况等进行相关的记录;并且能够分析所记录的数据,生成相关的报表;为避免审计记录受到未预期的修改、覆盖或删除等操作,应当安全保护审计记录。通过防火墙可以实现网络审计的功能。
网络的审计安全主要内容有:为能够有效记录网络设备、各区域服务器系统和安全设备等这些设备以及经过这些设备的所有访问行为,应在这些设备上开启相应的审计功能,由安全管理员定期对日志信息和活动状态进行分析,并发现深层次的安全问题。
1.4 检查边界的完整性
为对私自联到内部网络的非授权设备行为进行安全检查,边界完整性检查要求能够准确定出其位置,并进行有效的阻断。
实现边界完整性检查的相关技术:
1)制定严格的检查策略,将服务器区域在网络设备上划分为具有独立功能的VLAN,同时禁止除来自网络入侵防御系统以外的其他VLAN的访问;
2)为提升系统自身的安全访问控制能力,应对安全加固服务器系统采取相应措施。
1.5 入侵防范
网络的入侵防范应能在网络边界处监视到木马后门攻击、拒绝服务攻击、IP碎片攻击、端口扫描、强力攻击、网络蠕虫攻击和缓冲区溢出攻击等攻击行为。当攻击行为被检测到时,应能记录攻击的时间、源IP、目的和类型,如果发生较为严重的入侵事件,应及时提供警报信息。通过前置防火墙实现入侵防御的功能。
1.6 恶意代码防范
在网络边界处检测和清除恶意代码,对恶意代码数据库的升级和系统检测的更新等,是恶意代码防范的范畴。目前,主要是通过网络边界的安全网关系统防病毒模块来检测和清除系统漏洞类、蠕虫类、木马类、webcgi类、拒绝服务类等一系列恶意代码进行来实现恶意代码防范的技术。
1.7 网络设备的安全防护
网络设备的安全防护要求能够限制网络设备管理员的登录地址;在网络设备用户的标识唯一的伯伯下,要能鉴别出登录用户的身份;主要网络设备对同一用户进行身份时鉴别时,应当选择几种组合的鉴别技术来鉴别,避免只使用一种鉴别技术;鉴别身份的信息应不易被冒用,网络口令应定期更换而且要有一定的复杂度,不易破解;当登录失败时,能自动采取限制登录次数、结束会话和当网络登录连接超时自动退出等相应措施;当网络设备被用户远程管理时,能够有防止网络传输过程的鉴别信息被窃听的相关措施。
网络设备安全防护的技术实现主要是通过提供网络设备安全加固服务,根据前面的网络结构分析,系统采用若干台核心交换机、汇聚交换机和接入交换机,实现各个安全区域的连接。
对于网络设备,应进行相应的安全加固:
1)将楼层接入交换机的接口安全特性开启,并将MAC进行绑定。
2)关闭不必要的服务,包括关闭CDP、Finger服务、NTP服务、BOOTp服务(路由器适用)等。
3)登录要求和帐号管理,包括采用enable secret设置密码、采用认证、采用多用户分权管理等。
4)SNMP协议设置和日志审计,包括设置SNMP读写密码、更改SNMP协议端口、限制SNMP发起连接源地址、开启日志审计功能。
5)其它安全要求,包括禁止从网络启动和自动从网络下载初始配置文件、禁止未使用或空闲的端口、启用源地址路由检查(路由器适用)等。
2 网络安全防护
边界防护:在智慧徐州信息资源枢纽工程的边界设立一定的安全防护措施,具体到智慧徐州信息资源枢纽工程中边界,就是在平台的物理网络之间,智慧徐州信息资源枢纽工程的产品和边界安全防护技术主要采用交换机接入、前置防火墙及网闸。
区域防护:比边界防护更小的范围是区域防护,指在一个区域设立的安全防护措施,具体到智慧徐州信息资源枢纽工程中,区域是比较小的网段或者网络,智慧徐州信息资源枢纽工程的区域防护技术和产品采用接入防火墙。
节点防护:节点防护主要是指系统健壮性的保护,查堵系统的漏洞,它已经具体到其中某一台主机或服务器的防护措施,建议智慧徐州信息资源枢纽工程中的产品和节点防护技术都应采用病毒防范系统、信息安全检查工具和网络安全评估分析系统等。
3 网络高可用
在智慧徐州信息资源枢纽工程网络建设中,网络设备本身以及设备之间的连接都具非常高的可靠性。为了保障智慧徐州信息资源枢纽工程网络的稳定性,在智慧徐州信息资源枢纽工程核心网络部分,核心交换机、接入防火墙等设备全部采用冗余配置,包括引擎、交换网、电源等。所有的连接线路全部采用双归属的方式,包括与电子政务局域网互联,与服务器接入交换机互联。在数据应用区,服务器通过双网卡与服务器接入交换机互联,保障了服务器连接的高可靠性。
4 数据安全
4.1 数据安全建设
数据的安全是整个安全建设中非常重要的一部分内容。数据的安全建设主要涉及数据的完整性、数据的保密性以及数据的备份和恢复。对于系统管理、鉴别信息和重要业务的相关数据在存储过程中进行检测,如检测到数据完整性有错误时采取必要的恢复措施,并且能对这些数据采用加密措施,以保证数据传输的保密性。
对于资源共享平台系统的数据安全及备份恢复要求如下:
1)对于鉴别信息数据存储的保密性要求,均可以通过加强物理安全及网络安全,并实施操作系统级数据库加固的方式进行保护;
2)对于备份及恢复要求,配置了备份服务器和虚拟带库对各系统重要数据进行定期备份;
3)需要通过制定并严格执行备份与恢复管理制度和备份与恢复流程,加强各系统备份恢复能力。
4.2 数据安全加密传输(VPN)
针对数据传输的安全性,部分接入部门到智慧徐州信息资源枢纽工程的数据进行VPN加密传输。接入部门和平台两端之间运行IPSec 或SSL VPN协议,保证数据在传输过程中的端到端安全性。
4.3 数据交换过程的安全保障
平台数据交换过程的安全保障主要指信息在交换过程中不能被非法篡改、不能被非法访问、数据交换后不能抵赖等功能。
平台业务系统在传递消息的过程中可以指定是否采用消息内容的校验,校验方法是由发送消息的业务系统提供消息的原始长度和根据某种约定的验证码生成规则(比如 MD5 校验规则)生成的验证码。
4.4 数据交换接口安全设计
平台提供的消息传输接口支持不同的安全标准。对于对安全性要求比较高的业务系统来说,在调用平台的Web Service接口时使用HTTPS 协议,保证了传输层面的安全;而对于安全性不那么重要,只想通过很少的改动使用平台功能的业务系统来说,可以简单的通过HTTP方式调用平台的Web Service接口进行消息的传输。
5 安全管理体系建设
在智慧徐州信息资源枢纽工程安全保障体系建设中,应该建立相应的安全管理体系,而不是仅靠技术手段来防范所有的安全隐患。安全建设的核心是安全管理。在安全策略的指导下,安全技术和安全产品的保障下,一个安全组织日常的安全保障工作才能简明高效。
完整的安全管理体系主要包括:安全策略、安全组织和安全制度的建立。为了加强对客户网络的安全管理,确保重点设施的安全,应该加强安全管理体系的建设。
5.1 安全策略
安全策略是管理体系的核心,在对信息系统进行细致的调查、评估之后,结合智慧徐州信息资源枢纽工程的流程,制定出符合智慧徐州信息资源枢纽工程实际情况的安全策略体系。应包括安全方针、主策略和子策略和智慧徐州信息资源枢纽工程日常管理所需要的制度。
安全方针是整个体系的主导,是安全策略体系基本结构的最高层,它指明了安全策略所要达到的最高安全目标及其管理和适用范围。
在安全方针的指导下,主策略定义了智慧徐州信息资源枢纽工程安全组织体系及其岗位职责,明确了子策略的管理和实施要求,它是子策略的上层策略,子策略内容的制定和执行不能与主策略相违背。安全策略体系的最低层是子策略,也是用于指导组成安全保障体系的各项安全措施正确实施的指导方针。
5.2 安全组织
由于智慧徐州信息资源枢纽工程信息化程度非常高,信息安全对于整个智慧徐州信息资源枢纽工程系统的安全建设非常重要。因此,需要建立具有适当管理权的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。建立和组织外部安全专家的联系,以跟踪行业趋势,监督安全标准和评估方法,并在处理安全事故时提供适当的联络渠道。
5.3 安全制度
智慧徐州信息资源枢纽工程对于安全性要求非常高,因此安全制度的建立要求也很严格。由管理层负责制定切实可行的日常安全保密制度、审计制度、机房管理、操作规程管理、系统管理等,明确定义日常安全审计的例行制度、实施日程安排与计划、报告的形式及内容、达到的目标等。
智慧徐州信息资源枢纽工程建成后,需要针对各系统制定完善的动作体系,保证系统的安全运行。
参考文献:
[1] 吴小坤,吴信训.智慧城市建设中的信息技术隐患与现实危机[J].科学发展,2013(10):50-54.
[2] 娄欢,窦孝晨,黄志华,等.智慧城市顶层设计的信息安全管理研究[J].中国管理信息化,2015(5):214-215.
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035
[中图分类号] TP343.08 [文献标识码] A [文章编号] 1673 - 0194(2012)10- 0062- 02
1 引 言
随着市场竞争的日益加剧,业务灵活性、成本控制成为企业经营者最关心的问题,弹性灵活的业务流程需求日益加强,办公自动化、生产上网、业务上网、远程办公等业务模式不断出现,促使企业加快信息网络的建设。越来越多的企业核心业务、数据上网,一个稳定安全的企业信息网络已成为企业正常运营的基本条件。同时为了规范企业治理,国家监管部门对企业的内控管理提出了多项规范要求,包括 IT 数据、流程、应用和基础结构的完整性、可用性和准确性等方面。
然而信息网络面临的安全威胁与日俱增,安全攻击渐渐向有组织、有目的、趋利化方向发展,网络病毒、漏洞依然泛滥,同时信息技术的不断更新,信息安全面临的挑战不断增加。特别是云的应用,云环境下的数据安全、应用安全、虚拟化安全是信息安全面临的主要问题。如何构建灵活有效的企业网络安全防护体系,满足业务发展的需要,已成为企业信息化建设、甚至是企业业务发展必须要考虑的问题。
2 大型企业网络面临的安全威胁
赛门铁克的《2011 安全状况调查报告》显示:29%的企业定期遭受网络攻击,71% 的企业在过去的一年里遭受过网络攻击。大型企业由于地域跨度大,信息系统多,受攻击面广等特点,更是成为被攻击的首选目标。
大型企业网络应用存在的安全威胁主要包括:(1)内网应用不规范。企业网络行为不加限制,P2P下载等信息占据大量的网络带宽,同时也不可避免地将互联网中的大量病毒、木马等有害信息传播到内网,对内网应用系统安全构成威胁。(2)网络接入控制不严。网络准入设施及制度的缺失,任何人都可以随时、随地插线上网,极易带来病毒、木马等,也很容易造成身份假冒、信息窃取、信息丢失等事件。(3)VPN系统安全措施不全。企业中的VPN系统,特别是二级单位自建的VPN系统,安全防护与审计能力不高,存在管理和控制不完善,且存在非系统员工用户,行为难以监管和约束。(4)卫星信号易泄密。卫星通信方便灵活,通信范围广,不受距离和地域限制,许多在僻远地区作业的一线生产单位,通过卫星系统传递生产、现场视频等信息。但由于无线信号在自由空间中传输,容易被截获。(5)无线网络安全风险较大。无线接入由于灵活方便,常在局域网络中使用,但是存在容易侵入、未经授权使用服务、地址欺骗和会话拦截、流量侦听等安全风险。(6)生产网隔离不彻底。企业中生产网络与管理网络尚没有明确的隔离规范,大多数二级单位采用防火墙逻辑隔离,有些单位防护策略制定不严格,导致生产网被来自管理网络的病毒感染。
3 大型企业网络安全防护体系建设
中国石油信息化建设处于我国大型企业领先地位,在国资委历年信息化评比中,都名列前茅,“十一五”期间,将企业信息安全保障体系建设列为信息化整体规划中,并逐步实施。其中涉及管理类项目3个,控制类项目3个,技术类项目5个。中国石油网络安全域建设是其重要建设内容。
中国石油网络分为专网、内网与外网3类。其中专网承载与实时生产或决策相关的信息系统,是相对封闭、有隔离的专用网络。内网是通过租用国内数据链路,承载对内服务业务信息系统的网络,与外网逻辑隔离。外网是实现对外提供服务和应用的网络,与互联网相连(见图1)。
为了构建安全可靠的中国石油网络安全架构,中国石油通过划分中国石油网络安全域,明确安全责任和防护标准,采取分层的防护措施来提高整体网络的安全性,同时,为安全事件追溯提供必要的技术手段。网络安全域实施项目按照先边界安全加固、后深入内部防护的指导思想,将项目分为:广域网边界防护、广域网域间与数据中心防护、广域网域内防护3部分。
广域网边界防护子项目主要包括数据中心边界防护和区域网络中心边界防护。数据中心边界防护设计主要是保障集团公司统一规划应用系统的安全、可靠运行。区域网络中心边界安全防护在保障各区域内员工访问互联网的同时,还需保障部分自建应用系统的正常运行。现中石油在全国范围内建立和完善16个互联网出口的安全防护,所有单位均通过16个互联网出口对外联系,规划DMZ,制定统一的策略,对外服务应用统一部署DMZ,内网与外网逻辑隔离,内网员工能正常收发邮件、浏览网页,部分功能受限。
域间防护方案主要遵循 “纵深防护,保护核心”主体思想,安全防护针对各专网与内网接入点进行部署,并根据其在网络层面由下至上的分布,保护策略强度依次由弱至强。数据中心安全防护按照数据中心业务系统的现状和定级情况,将数据中心划分为4个安全区域,分别是核心网络、二级系统区、三级系统区、网络管理区;通过完善数据中心核心网络与广域网边界,二级系统、三级系统、网络管理区与核心区边界,二、三级系统区内部各信息系统间的边界防护,构成数据中心纵深防御的体系,提升整体安全防护水平。
域内防护是指分离其他网络并制定访问策略,完善域内安全监控手段和技术,规范域内防护标准,实现实名制上网。中国石油以现有远程接入控制系统用户管理模式为基础,并通过完善现有SSL VPN系统、增加IPSEC远程接入方式,为出差员工、分支机构接入提供安全的接入环境。实名制访问互联网主要以用户身份与自然人一一对应关系为基础,实现用户互联网访问、安全设备管理准入及授权控制、实名审计;以部署设备证书为基础,实现数据中心对外提供服务的信息系统服务器网络身份真实可靠,从而确保区域网络中心、数据中心互联网接入的安全性。
4 结束语
一个稳定安全的企业信息网络已成为企业正常运营的基本条件,然而信息网络的安全威胁日益加剧,企业网络安全防护体系是否合理有效一直困扰着信息化主管部门。通过借鉴中国石油网络安全域建设,系统地解决网络安全问题,供其他企业参考。
主要参考文献