期刊在线咨询服务,期刊咨询:400-888-9411 订阅咨询:400-888-1571股权代码(211862)
购物车(0)
网络安全方案模板(10篇)
时间:2022-08-05 10:52:34
导言:作为写作爱好者,不可错过为您精心挑选的10篇网络安全方案,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
篇1
在现代企业的生存与发展过程中,企业网络安全威胁与企业网络安全防护是并行存在的。虽然企业网络安全技术与以往相比取得了突破性的进展,但过去企业网络处于一个封闭或者是半封闭的状态,只需简单的防护设备和防护方案即可保证其安全性。而当今大多数企业网络几乎处于全球互联的状态,这种时空的无限制性和准入的开放性间接增加了企业网络安全的影响因素,自然给企业网络安全带来了更多的威胁。因此,企业网络安全防护一个永无止境的过程,对其进行研究无论是对于网络安全技术的应用,还是对于企业的持续发展,都具有重要的意义。
1企业网络安全问题分析
基于企业网络的构成要素以及运行维护条件,目前企业网络典型的安全问题主要表现于以下几个方面。
1.1网络设备安全问题
企业网络系统服务器、网络交换机、个人电脑、备用电源等硬件设备,时常会发生安全问题,而这些设备一旦产生安全事故很有可能会泄露企业的机密信息,进而给企业带来不可估量经济损失。以某企业为例,该企业网络的服务器及相关网络设备的运行电力由UPS接12V的SOAK蓄电池组提供,该蓄电池组使用年限行、容量低,在长时间停电的情况下,很容易由于蓄电池的电量耗尽而导致整个企业网络的停运。当然,除了电源问题外,服务器、交换机也存在诸多安全隐患。
1.2服务器操作系统安全问题
随着企业规模的壮大以及企业业务的拓展,对企业网络服务器的安全需求也有所提高。目前诸多企业网络服务器采用的是WindowsXP或Windows7操作系统,由于这些操作系统存在安全漏洞,自然会降低服务器的安全防御指数。加上异常端口、未使用端口以及不规范的高权限账号管理等问题的存在,在不同程度上增加了服务器的安全威胁。
1.3访问控制问题
企业网络访问控制安全问题也是较为常见的,以某企业为例,该企业采用Websense管理软件来监控企业内部人员的上网行为,但未限制存在安全隐患的上网活动。同时对于内部上网终端及外来电脑未设置入网认证及无线网络访问节点安全检查,任何电脑都可在信号区内接入到无线网络。
2企业网络安全防护方案
基于上述企业网络普遍性的安全问题,可以针对性的提出以下综合性的安全防护方案来提高企业网络的整体安全性能。
2.1网络设备安全方案
企业网络相关设备的安全性能是保证整个企业网络安全的基本前提,为了提高网络设备的整体安全指数,可采取以下具体措施。首先,合适传输介质的选用。尽量选择抗干扰能力强、传输频带宽、传输误码率低的传输介质,例如屏蔽式双绞线、光纤等。其次是保证供电的安全可靠。企业网络相关主干设备对交流电源的生产质量、供电连续性、供电可靠性以及抗干扰性等指标提出了更高的要求,这就要求对企业网络的供电系统进行优化。以上述某企业网络系统电源供电不足问题为例,为了彻底解决传统电源供给不足问题,可以更换为大容量的蓄电池组,并安装固定式发电机组,进而保证在长时间停电状态下企业网络设备的可持续供电,避免因为断电而导致文件损坏及数据丢失等安全问题的发生。
2.2服务器系统安全方案
企业网络服务器系统的安全尤为重要,然而其安全问题的产生又是多方面因素所导致的,需要从多个层面来构建安全防护方案。
2.2.1操作系统漏洞安全
目前企业网络服务器操作系统以Windows为主,该系统漏洞的出现成为了诸多攻击者的重点对象,除了采取常规的更新Windows系统、安装系统补丁外,还应针对企业网络服务器及个人电脑的操作系统使用实际情况,实施专门的漏洞扫描和检测,并根据扫描结果做出科学、客观、全面的安全评估,如图1所示,将证书授权入侵检测系统部署在核心交换机的监控端口,并在不同网段安装由中央工作站控制的网络入侵检测,以此来检测和响应网络入侵威胁。图1漏洞扫描及检测系统
2.2.2Windows端口安全
在Windows系统中,端口是企业实现网络信息服务主要通道,一般一台服务器会绑定多个IP,而这些IP又通过多个端口来提高企业网络服务能力,这种多个端口的对外开放在一定程度反而增加了安全威胁因素。从目前各种服务器网络攻击的运行路径来看,大多数都要通过服务器TCP/UDP端口,可充分这一点来预防各种网络攻击,只需通过命令或端口管理软件来实现系统端口的控制管理即可。
2.2.3Internet信息服务安全
Internet信息服务是以TCP/IP为基础的,可通过诸多措施来提高Internet信息服务安全。(1)基于IP地址实现访问控制。通过对IIS配置,可实现对来访IP地址的检测,进而以访问权限的设置来阻止或允许某些特定计算机的访问站点。(2)在非系统分区上安装IIS服务器。若在系统分区上安装IIS,IIS就会具备非法访问属性,给非法用户侵入系统分区提供便利,因此,在非系统分区上安全IIS服务器较为科学。(3)NTFS文件系统的应用。NTFS文件系统具有文件及目录管理功能,服务器Windows2000的安全机制是基于NTFS文件系统的,因此Windows2000安装时选用NTFS文件系统,安全性能更高。(4)服务端口号的修改。虽然IIS网络服务默认端口的使用为访问提供了诸多便捷,但会降低安全性,更容易受到基于端口程序漏洞的服务器攻击,因此,通过修改部分服务器的网络服务端口可提高企业网络服务器的安全性。
2.3网络结构安全方案
2.3.1强化网络设备安全
强化企业网络设备的自身安全是保障企业网络安全的基础措施,具体包含以下措施。(1)网络设备运行安全。对各设备、各端口运行状态的实时监控能有效发现各种异常,进而预防各种安全威胁。一般可通过可视化管理软件的应用来实现上述目标,例如What’supGold能实现对企业网络设备状态的监控,而SolarWindsNetworkPerformancemonitor可实现对各个端口流量的实时监控。(2)网络设备登录安全。为了保证网络设备登录安全指数,对于企业网络中的核心设备应配置专用的localuser用户名,用户名级别设置的一级,该级别用户只具备读权限,一般用于console、远程telnet登录等需求。除此之外,还可设置一个单独的super密码,只有拥有super密码的管理员才有资格对核心交换机实施相关配置设置。(3)无线AP安全。一般在企业内部有多个无线AP设备,应采用较为成熟的加密技术设置一个较为复杂的高级秘钥,从而确保无线接入网的安全性。
2.3.2细分网络安全区域
目前,广播式局域的企业网络组网模式存在着一个严重缺陷就是当其中各个局域网存在ARP病毒时,未设置ARP本地绑定或未设置ARP防火墙的终端则无法有效访问系统,同时还可能泄露重要信息。为了解决这种问题,可对整个网络进行细分,即按某种规则如企业职能部门将企业网络终端设备划分为多个网段,在每个网段均有不同的vlan,从而保证安全性。
2.3.3加强通问控制
针对企业各个部门对网络资源的需求,在通问控制时需要注意以下几点:对内服务器应根据提供的业务与对口部门互通;对内服务器需要与互联网隔离;体验区只能访问互联网,不能访问办公网。以上功能的实现,可在核心路由器和防火墙上共同配合完成。
篇2
2.网络防火墙系统设计方案
网络安全是按照网络协议(TCP/IP协议)的2-7层来进行划分的,要想保证网络的安全,就一定保证网络协议的2至7层每一层的安全。而防火墙负责的是网络协议2至4层的网络安全。以下为防火墙可以实现的功能:第一,网络隔离。将网络分割为不同的网络区域,进而控制不同区域之间的数据交流,作用于网络协议的2-4层,把可能出现的安全风险分别局限于相对独立的网络区域内,使风险不至于大规模扩散。第二,网络协议2至4层防范攻击的能力。TCP/IP协议本身存在弊端,没有考虑到足够的安全特性,因此,给网络用户带来了诸如IP地址窃取、IP地址假冒等非常大的安全隐患,而防火墙可以弥补TCP/IP协议本身的漏洞,能够有效地检测和防范对2至4层的攻击行为。第三,流量管理。首先为了保证关键用户和关键应用的网络带宽,防火墙可以提供灵活的流量管理能力,同时要保证数据传输的质量。另外,还可以对4至7层的常见网络协议提供某些控制和过滤的能力,例如,可以支持EMAIL的过滤能力。第四,用户管理。学校档案系统内部用户接入外网Internet,在不影响正常业务需要的情况下,控制用户对外网的应用行为。例如,控制上网时间,不可访问网站,禁用一些软件的网络端口等等。
3.网络入侵防御系统设计方案
防火墙只针对网络安全2至4层,难以防御对网络协议4至7层的网络威胁,不可能识别出伪装成正常业务的蠕虫、攻击、间谍软件等的非法数据流,缺乏对经过自身的数据流进行全面、深度监测的能力。入侵防御系统(IPS)就是专门针对网络协议的4至7层对数据流进行分析并实时采用防御措施的系统,与防火墙进行安全层次的互补,丰富了网络传输过程中的安全层次,对于在阻止蠕虫病毒的传播、黑客攻击等方面起到重要的作用。在网络中部署防火墙+IPS,可使网络更加安全、健壮,更好地抵御来自外部网络的威胁。
4.外网主网络设计
为了保证档案系统网络数据安全,需要通过网闸使内网、外网进行“网络隔离”,并进行安全的数据交换。档案数字化管理系统内网数据区含有大量的敏感数据及数据,互联网用户及高校外网用户访问内网数据区数据,对数据区形成了严重的威胁,通过部署网闸,在保证内网数据区数据安全的前提下实现业务的正常访问,并使内网数据免遭窃取与破坏。本文来自于《辽宁医学院学报(社会科学版)》杂志。辽宁医学院学报(社会科学版)杂志简介详见
篇3
当前网络技术的快速发展,大部分高校已经建立了学校校园网络,为学校师生提供了更好的工作及学习环境,有效实现了资源共享,加快了信息的处理,提高了工作效率【1】。然而校园网网络在使用过程中还存在着安全问题,极易导致学校的网络系统出现问题,因此,要想保证校园网的安全性,首先要对校园网网络安全问题深入了解,并提出有效的网络安全方案设计,合理构建网络安全体系。本文就对校园网网络安全方案设计与工程实践深入探讨。
1.校园网网络安全问题分析
1.1操作系统的漏洞
当前大多数学校的校园网都是采用windows操作系统,这就加大了安全的漏洞,服务器以及个人PC内部都会存在着大量的安全漏洞【2】。随着时间的推移,会导致这些漏洞被人发现并利用,极大的破坏了网络系统的运行,给校园网络的安全带来不利的影响。
1.2网络病毒的破坏
网络病毒是校园网络安全中最为常见的问题,其能够使校园网网络的性能变得较为低下,减慢了上网的速度,使计算机软件出现安全隐患,对其中的重要数据带来破坏,严重的情况下还会造成计算机的网络系统瘫痪。
1.3来自外部网络的入侵和攻击等恶意破坏行为
校园网只有连接到互联网上,才能实现与外界的联系,使校园网发挥出重要的作用。但是,校园网在使用过程中,会遭到外部黑客的入侵和攻击的危险,给校园互联网内部的服务器以及数据库带来不利的影响,使一些重要的数据遭到破坏,给电脑系统造成极大的危害。
1.4来自校园网内部的攻击和破坏
由于大多数高校都开设了计算机专业,一些学生在进行实验操作的时候,由于缺乏专业知识,出于对网络的兴趣,不经意间会使用一些网络攻击工具进行测试,这就给校园网络系统带来一定的安全威胁。
2.校园网网络安全的设计思路
2.1根据安全需求划分相关区域
当前高校校园网都没有重视到安全的问题,一般都是根据网络互通需要为中心进行设计的。以安全为中心的设计思路能够更好的实现校园网的安全性。将校园网络分为不同的安全区域,并对各个区域进行安全设置。其中可以对高校校园网网络安全的互联网服务区、广域网分区、远程接入区、数据中心区等进行不同的安全区域。
2.2用防火墙隔离各安全区域
通过防火墙设备对各安全区域进行隔离,同时防火墙作为不同网络或网络安全区域之间信息的出入口,配置不同的安全策略监督和控制出入网络的数据流,防火墙本身具有一定的抗攻击能力。防火墙把网络隔离成两个区域,分别为受信任的区域和不被信任的区域,其中对信任的区域将对其进行安全策略的保护,设置有效的安全保护措施,防火墙在接入的网络间实现接入访问控制。
3.校园网网络安全方案设计
3.1主干网设计主干网可采用三层网络构架,将原本较为复杂的网络设计分为三个层次,分别为接入层、汇聚层、核心层。每个层次注重特有的功能,这样就将大问题简化成多个小问题。
3.2安全技术的应用3.2.1VLAN技术的应用。虚拟网是一项广泛使用的基础,将其应用于校园网络当中,能够有效的实现虚拟网的划分,形成一个逻辑网络。使用这些技术,能够优化校园网网络的设计、管理以及维护。
3.2.2ACL技术的应用。这项技术不仅具有合理配置的功能,而且还有交换机支持的访问控制列表功能。应用于校园网络当中,能够合理的限制网络非法流量,从而实现访问控制。
3.3防火墙的使用防火墙是建立在两个不同网络的基础之间,首先对其设置安全规则,决定网络中传输的数据包是否允许通过,并对网络运行状态进行监视,使得内部的结构与运行状况都对外屏蔽,从而达到内部网络的安全防护【3】。如图一所示。防火墙的作用主要有这几个方面:一是防火墙能够把内、外网络、对外服务器网络实行分区域隔离,从而达到与外网相互隔离。二是防火墙能够将对外服务器、网络上的主机隔离在一个区域内,并对其进行安全防护,以此提升网络系统的安全性。三是防火墙能够限制用户的访问权限,有效杜绝非法用户的访问。四是防火墙能够实现对访问服务器的请求控制,一旦发现不良的行为将及时阻止。五是防火墙在各个服务器上具有审计记录,有助于完善审计体系。
4.结语
总而言之,校园网络的安全是各大院校所关注的问题,当前校园网网络安全的主要问题有操作系统的漏洞、网络病毒的破坏、来自外部网络的入侵和攻击等恶意破坏行为、来自校园网内部的攻击和破坏等【4】。要想保障校园网网络的安全性,在校园网网络安全的设计方面,应当根据安全需求划分相关区域,用防火墙隔离各安全区域。设计一个安全的校园网络方案,将重点放在主干网设计、安全技术的应用以及防火墙的使用上,不断更新与改进校园网络安全技术,从而提升校园网的安全性。
作者:金茂 单位:杭州技师学院
参考文献:
[1]余思东,黄欣.校园网网络安全方案设计[J]软件导刊,2012,06:138-139
篇4
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)13-0153-01
学籍管理制度是一项基本的教育管理制度,学籍管理是学校和教育行政部门重要的日常工作。为规范中小学学生学籍管理,加快推进中小学学生学籍管理信息化工作,某省教育厅决定组织建设省级中小学学籍管理系统平台,实现义务教育阶段、高中教育阶段的学籍管理信息化、网络化和规范化,为教育规划、行政决策提供了科学的依据,并为省内其他教育业务管理系统提供所需的基础数据服务。
1 物理安全
我们认为,物理安全是系统安全的第一道关口,所以,我们采取严格的中心机房建设和管理规范,采取双回路UPS供电和严格的防火、防盗、防静电、防雷击等措施,对进入中心机房的人员进行严格管理。网络线路尽可能进桥架、管道,注意设备的安装环境,特别是室外设备的物理安全。
2 接入安全
为了保证内部网的安全,防止外部对内部网络的攻击,我们在网络边界部署一台华为USG 3030防火墙,USG 3030华为公司新一代网关型安全防护设备,基于华为专业的硬件平台以及强大的VRP软件平台,不仅具备优异的攻击防范处理能力,而且能够提供完善的虚拟专网(VPN)功能以及完备的地址转换(NAT)功能,实现基于安全区域的隔离和防护。我们在防火墙中制定了如下规则:允许外部网络访问我们DMZ区的WEB SERVER及 MAIL SERVER,但只能访问几个特定的端口,如80/tcp(http),25/tcp(smtp),110/tcp(pop3)等,允许内部网络访问DMZ区和外部网络;拒绝所有的外部IP地址对内部网络的访问,拒绝DMZ区对内部网络的访问;内部网络有限制的访问数据库服务器和文件服务器;为出差人员建立了安全、可靠的VPN通道,他们可以通过VPN方式接入到内部网络。这样,首先可以保证我们的学籍管理系统对外服务不受影响,同时可以保证我们内部系统的安全。
3 虚拟网络(VLAN)划分
内部网络的核心交换机采用一台华为S5328C-EI三层交换机。该交换机能够识别和处理四到七层的应用业务流,能根据不同的业务流进行不同的管理和控制。我们使用华为S5328C-EI三层交换机将内部网划分为10个VLAN,VLAN 1-VLAN 8分配给不同的科室和部门,VLAN9分配给信息中心,VLAN10分配给内部服务器组(数据库服务器和文件服务器),不同的VLAN之间通过三层交换机通讯,并根据实际需要设置不同的访问权限;通过合理划分VLAN,隔离了不同VLAN之间的广播包,提高了网络的性能,同时大大增强了内部网络的安全性
4 防病毒技术
为实现病毒的全面防范,我们部署了瑞星杀毒软件网络版 2008。首先,在信息中心建立一个一级系统中心,在科室和其他部门分别建立二级系统中心。上级中心统一发送查杀病毒命令、下达版本升级提示,并及时掌握全部系统中心的病毒分布情况等。另外,下级中心既可以在收到上级中心的命令后做出响应,也可以管理本级,并主动向上级中心发送请求和汇报信息。通过该系统,可实现反病毒的统一管理和分级管理。通过部署网络版反病毒软件,整个单位和省级数据中心的计算机受到病毒和恶意软件破坏的情况得到明显改善。
5 健全网络安全管理机制
网络安全问题不是单纯的技术问题,影响网络安全的因素有很多,但其中最重要的因素是人的因素。在省级数据中心建成之后,我们制订了网络安全管理办法,主要措施如下:多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核;任期有限原则,技术人员不定期轮岗;职责分离原则,非本岗人员不得掌握用户名、密码等关键信息;及时升级系统补丁,关闭不用的服务和端口;对重要的数据服务器,每日必须进行数据备份;管理员的密码必须达到一定的强度并且每周修改一次等等。
目前,省级数据中心网络系统运行良好,网络安全状况大大改善,网络系统的安全性有很大程度的提高。但还存在不少问题,比如说防止网络攻击方面,尽管使用了防火墙,但是,对内部网络的攻击防范力度有限,我们计划在下一步部署入侵检测系统,并与防火墙实现联动,进一步提高防范内外网攻击的能力。网络系统的安全是一项长期的工作,需要我们不断地学习新技术、不断地积累和借鉴经验,并及时付诸实施,才能确保省级数据中心网络系统的安全。
参考文献
篇5
中图分类号TP393 文献标识码A 文章编号 1674-6708(2010)31-0211-01
1 企业内部网络安全面临的主要威胁
一般来说,计算机网络系统的安全威胁主要来自以下几个方面:
1)计算机病毒的侵袭。计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪;
2)黑客侵袭。黑客非法进入网络使用网络资源。例如通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号和密码;非法获取网上传输的数据等;
3)拒绝服务攻击。例如“邮件炸弹”,使用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统关机,网络瘫痪;
4)通用网关接口(CGI)漏洞。搜索引擎是通过CGI脚本执行的方式实现的,黑客可以修改这些CGI脚本以执行他们的非法任务;
5)恶意代码。恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹等。
2 企业网络安全目标
1)建立一套完整可行的网络安全与管理策略,将内部网络、公开服务器网络和外网进行有效隔离;2)建立网站各主机和服务器的安全保护措施,保证系统安全;3)对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝;4)加强合法用户的访问认证,同时将用户的访问权限控制在最低限度,全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为;5)加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完整的系统日志备份与灾难恢复;6)提高系统全体人员的网络安全意识和防范技术。
3 安全方案设计原则
对企业局域网网络安全方案设计、规划时,应遵循以下原则:
1)综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
2)需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定必要。对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略,是比较经济的方法。
3)一致性原则:网络安全问题贯穿整个网络的生命周期,因此制定的安全体系结构必须与网络的安全需求相一致。在网络建设开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,要有效得多。
4)易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
5)分步实施原则:由于网络规模的扩展及应用的增加。一劳永逸地解决网络安全问题是不现实的,费用支出也较大。因此可以分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
6)多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。因此需要建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它保护仍可保护信息安全。
4 主要防范措施
1)依据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制和安全制度,加强网络安全教育和培训。
2)网络病毒的防范。作为企业应用网络,同时需要基于服务器操作系统平台、桌面操作系统、网关和邮件服务器平台的防病毒软件。所以最好使用全方位的防病毒产品,通过全方位、多层次的防病毒系统的配置,使网络免受病毒的侵袭。
3)配置防火墙。防火墙是一种行之有效且应用广泛的网络安全机制。利用防火墙执行一种访问控制尺度,将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,同时防止Internet上的不安全因素蔓延到局域网内部。
4)采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,用于检测计算机网络中违反安全策略行为。利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。最好采用混合入侵检测,同时采用基于网络和基于主机的入侵检测系统,构架成一套完整立体的主动防御体系。
5)漏洞扫描系统。解决网络安全问题,要清楚网络中存在哪些安全隐患、脆弱点。仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估显然是不现实的。能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具是较好的解决方案,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
6)IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
篇6
前言
电力调度数据网络在电力系统的运行中起到不可忽视的重要作用,良好的电力调度数据网络环境有效保证电网经济、安全、可靠、稳定的运行,为电力系统中的电力生产、燃料调度、水库调度以及电网调度自动化、继电保护等提供了便捷的通信条件,它为电力企业的生产与管理提供了良好保障。为了满足基于虚拟专用网的电力调度数据网络的安全性需求,相关技术人员要不断在实际工作中总结经验,设计出合理、科学的安全方案,以保证电力调度数据网络更好地服务于企业,为企业带来更多的经济效益。
1电力调度数据网络建设的必要性
随着经济社会的快速发展,各种现代化管理方式应运而生,电网管理方式的创新与管理水平的提高,带动了电力调度业务的发展,良好的电力调度数据网络能够有效保障电网系统的安全性与经济性,确保电网运行的稳定性。目前我国电力调度数据业务还局限在传统模式上,运用的是传统的数字专线模式,这种传统电力调度数据模式使信息共享受到阻碍,造成了通信资源的浪费,随着各种高科技产品的生产,各种电力调度业务不断上线,对电网通道资源与数据共享的需求也逐渐增高。只有建设良好的电力调度数据网络,才能保证电力系统的经济性与安全性。
1.1电力调度数据网络建设是自动化系统发展的需要
人们在经营各种生产生活等的活动中,都离不开电网的支持,为了更好地适应电网的发展需求,调度自动化系统在其功能上得到不断的改进和完善,除了安全自动装置、继电保护以及传统的调度自动化系统之外,一些现代化的系统诸如配网自动化系统、电能量计量系统、无人值班变电站监控设备等逐渐应用到电网系统中,这些新型系统设备的有效运用,使得信息传输容量得到了很大的提高。由于信息传输容量的增加,各个调度系统之间要进行更多的信息共享与数据转换,这就对通信网络的要求越来越高,传统的通信网络在传统实时数据时其数量和质量都受到了很大的局限,不能够再适应现代电网自动化应用系统的需求。建立安全的基于VPN的电力调度数据网络,在一些地区已经得到运用,其运行情况很好,对信息数据的传输速率与质量都有了明显的提高,有效保证了自动化应用系统的发展需求。建立一个基于VPN的电力调度数据安全网络,能够有效提高电网运行的信息共享程度、传输速率,满足电网自动化系统发展的需求。
1.2电力调度数据网络建设是提高实时数据传输可靠性的需要
目前我国一些电力系统变电站的实时监控信息采用的是模拟和数字专线通道与地调调度自动化系统相结合的通信方式,每台终端设备和地调之间要独自单用一条或者是两条专用的数据通道。这种采用模拟和数字专线通道与地调调度自动化系统进行通信的模式在通信传输时速率普遍较低,传输的信号会受到通道较大的干扰,传输的数据不稳定,也没有网络层间的保护系统,如果数据通道出现故障,那么数据信息就会立即丢失并且不能够进行数据的恢复,这种点对点的传输方式需要在主站端设置较多的接口设备,由于操作配置的复杂性,使其在后期维护时工作量增大。建立电力调度数据网,能够实现调度生产应用系统的网络性模式,通过直接上网的方式来进行数据交换,有效的提高了信息传输的可靠性。基于VPN的电力调度数据网络的建设,能够保证信息数据传输的可靠性,不会因为通道出现故障而导致数据丢失的情况,主站端不必要设置大量的终端设备,方便了工作人员进行设备维护。
2基于VPN的电力调度数据网络安全方案
基于VPN的电力调度数据网络安全方案在设计时要遵循经济性、流量优化、扩展性、节点可靠性以及拓扑可靠性等的原则。设计电力调度数据网络安全方案时,在充分确保电力调度数据网络的畅通性和可靠性的前提下,最大限度的减少网络电路的数量、网络电路的总里程以及宽带,以此来尽量减小网络的运行费用,为企业带来更多的经济效益。根据电力调度数据网络的流量以及流向,在设置电路和宽带时要保证其合理性配置,均匀的将网络流量分布开来,保证各个电路宽带均能充分的利用网络流量,避免使网络带宽达到瓶颈,影响电力调度数据网络的安全性。进行主干网络的拓扑设计时,要充分遵循N-1的设备可靠性和电路可靠性原则,增加、修改或者减少网络电路和节点时,要保证网络的总体拓扑不受到影响。在设置网络中各个骨干、核心的节点时,要采用双设备配置,根据实际情况需求,进行设备的风扇、引擎以及电源灯冗余设计,注意电力调度数据网络节点的热插拨等特性。
在网络设计中包括电力调度数据网络的核心层、汇聚层以及接入层三层的设计。在核心层中进行核心路由器和核心层交换机的联通性时,要注意保证核心层交换机的业务服务器在传输数据时具有不间断性,顺畅地发送到核心层路由器,再由核心层路由器再次转发数据。核心层交换机要具备全局的地址,能够保证网管服务器的正常访问。核心层与汇聚层进行具体网络的联通时,要注意核心层交换机下联的网络管理服务器可以正常的对汇聚层的设备进行访问,下联的业务服务器能够顺利的连接汇聚层的业务地址并进行正常访问。即使发生部分线路中断的情况,汇聚层的各个业务地址仍然可以在冗余的网络拓扑结构中进行数据的传输,或者是通过高可靠性的路由协议来完成数据的上传,保证业务或者网管服务器正常接收数据。此外还应当注意汇聚层的不同站点业务地址不需要进行互通。电力调度数据网的核心层和骨干层的数据处理能力较强,因此在设计方案中将仿真分析集中于接入层。对于电力调度数据网络安全方案的接入层设计,应当保证接入层中的业务流量可以进行不间断的数据发送,接入层中的业务终端可以与核心层的业务服务器进行正常互通,接入层的网络设备可以与核心层的网络管理服务器进行正常的互通,只有同时达到这三个要求,才能保证接入层的网络连通性。接入层采用的是低端网络的嵌入式远动监控设备,在安全方案设计中将基于IPSec的VPN内核进一步裁剪,在裁剪后的VPN安全框架中融入新的身份认证和密钥协商算法,这样能够有利于新设计安全方案的实现,同时可以大幅度降低接入层设备在安全数据处理中的费用,减少电力调度数据网络安全方案的设计投入。
3结语
总而言之,在电力系统的生产管理工作中,电力调度数据网络起到对其的直接控制作用,电力调度数据网的重要性不容忽视。电力企业一定要重视电力调度数据网的安全性和实时性,不断借鉴国外先进的技术,在实际运行工作中,注意总结和归纳,设计出一种合理的基于VPN的身份认证与密钥协商相互融合的安全方案,消除电力调度数据网络中实时性与安全性两者之间的矛盾,使其为企业带来更多的应用价值。
篇7
计算机网络受到威胁后果严重
1.国家安全将遭受到威胁
网络黑客攻击的目标常包括银行、政府及军事部门,窃取和修改信息。这会对社会和国家安全造成严重威胁,有可能带来无法挽回的损失。
2.损失巨大
很多网络是大型网络,像互联网是全球性网络,这些网络上连接着无数计算机及网络设备,如果攻击者攻击入侵连接在网络上的计算机和网络设备,会破坏成千上万台计算机,从而给用户造成巨大经济损失。
3.手段多样,手法隐蔽
网络攻击所需设备简单,所花时间短,某些过程只需一台连接Internet的PC即可完成。这个特征决定了攻击者的方式多样性和隐蔽性。比如网络攻击者既可以用监视网上数据来盗取他人的保密信息;可以通过截取他人的帐号和口令潜入他人的计算机系统;可以通过一些方法来绕过或破坏他人安装的防火墙等等。
网络安全防范技术
1.病毒的防范
计算机病毒变得越来越复杂,对计算机信息系统构成极大的威胁。在网络环境中对计算机病毒的防范是网络安全性建设中重要的一环。它的入侵检测技术包括基于主机和基于网络两种。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。对网络病毒的防范主要包括预防病毒、检测病毒和杀毒三种技术。网络版防病毒系统包括:(1)系统中心:系统中心实时记录计算机的病毒监控、检测和清除的信息,实现对整个防护系统的自动控制。(2)服务器端:服务器端为网络服务器操作系统应用而设计。(3)客户端:客户端对当前工作站上病毒监控、检测和清除,并在需要时向系统中心发送病毒监测报告。(4)管理控制台:管理控制台是为了网络管理员的应用而设计的,通过它可以集中管理网络上所有已安装的防病毒系统防护软件的计算机。
2.防火墙的配置
首先我们了解防火墙所处的位置决定了一些特点包括(1)所有的从外部到内部的通信都必须经过它(。2)只有有内部访问策略授权的通信才能被允许通过。(3)系统本身具有很强的高可靠性。所以防火墙是网络安全的屏障,配置防火墒是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是所有安全工具中最重要的一个组成部分。它在内部信任网络和其他任何非信任网络上提供了不同的规则进行判断和验证,确定是否允许该类型的信息通过。一个防火墙策略要符合4个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。也可对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时,也能提供网络使用情况的统计数据。当有网络入侵或攻击时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次,利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响,防止内部信息的外泄。
3.数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密包括传输过程中的数据加密和存储数据加密,对于传输加密,一般有硬件加密和软件加密两种方法实现。网络中的数据加密,要选择加密算法和密钥,可以将这些加密算法分为对称密钥算法和公钥密钥算法两种。对称密钥算法中,收发双方使用相同的密钥。比较著名的对称密钥算法有:美国的DES、欧洲的IDEA等。
4.应用入侵检测技术
入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统。入侵检测系统的功能包括:监控和分析系统、用户的行为;评估系统文件与数据文件的完整性,检查系统漏洞;对系统的异常行为进行分析和识别,及时向网络管理人员报警;跟踪管理操作系统,识别无授仅用户活动。具体应用就是指对那些面向系统资源和网络资源的未经授权的行为进行识别和响应。入侵检测通过监控系统的使用情况,来检测系统用户的越权使用以及系统外部的人侵者利用系统的安全缺陷对系统进行入侵的企图。目前主要有两类入侵检测系统基于主机的和基于网络的。前者检查某台主机系统日志中记录的未经授权的可疑行为,并及时做出响应。后者是在连接过程中监视特定网段的数据流,查找每一数据包内隐藏的恶意入侵,并对发现的人侵做出及时的响应。
5.规范安全管理行为
篇8
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2电信网络安全面临的形势及问题
2.1互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4主机、操作系统、数据库配置方案
篇9
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1 电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2 电信网络安全面临的形势及问题
2.1 互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2 新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3 运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4 相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3 电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1 发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2 网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3 网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4 主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5 系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
篇10
一、公安网络系统中存在的安全问题
1、公安系统存在问题的特征。1)系统安全问题具有动态性。随着信息技术的飞速发展,不同时期有不同的安全问题,安全问题不断地被解决,但也不断地出现新的安全问题。例如线路窃听劫持事件会因为加密协议层的使用而减少。安全问题具有动态性特点,造成系统安全问题不可能拥有一劳永逸的解决措施。2)系统安全问题来自于管理层、逻辑层和物理层,并不是单一的。管理层的安全主要包括安全政策及人员组织管理指标方面的内容。逻辑层的安全主要涉及到信息保密性,也就是在授权情况下,高密级信息向低密级的主体及客体传递,确保信息双方的完整性,信息不会被随意篡改,可以保证信息的一致性。一旦双方完成信息交易,任何一方均不可单方面否认这笔交易。物理层的安全涉及的内容是多个关键设备、信息存放地点等,如计算机主机、网络等,防止信息丢失和破坏。
2、公安网络系统中存在的安全问题。1)一机两用的现象比较普遍。部分公安值班人员在公安网络中接入自己的私人电脑,同时还包括一些无线上网设备等。外接上网设备通常安装了无线网卡,外界侵入公安网络的可能性增大,公安网络的安全隐患扩大。此外,公安系统中的计算机出现故障,需要检查维修时,没有事先格式化计算机,导致系统计算机中的资料泄露,甚至出现“一机两用”的情况,可以将病毒引入系统中引起信息泄露。
3、安全意识淡薄。公安网络中的计算机存在滥用的情况,非在编的基层人员在未经允许、教育培训的情况私自使用公安网络,从而出现信息泄露的情况,给网络带来严重的安全隐患。此外,公安部门人员缺乏安全意识,办公室计算机的保密性不强,安全等级不高,重要软件、文件等均没有进行必要的加密处理,很多人员可以随意访问公安网络,降低了公安网络中计算机及其信息的安全性。
二、网络安全技术与公安网络系统的维护方案
1、积极建设网络信息安全管理队伍。网络安全管理队伍对管理公安网络具有重要作用。为提升公安网络的安全性与稳定性,可以定期组织信息安全管理人员进行培训,强化技术教育与培训,增强网络安全管理人员的责任意识,改善管理效率,提升管理水平。
2、充分运用网络安全技术。1)防毒技术。随着病毒的传播速度、频率、范围的不断扩大,公安网络系统中也需要建立全方位、立体化的防御体系,运用全平台反病毒技术、自动解压缩技术与实时监视技术等完善病毒防御方案。为了实现系统低层和反病毒软件之间的相互配合,达到杀除病毒的目的,公安网络中的计算机应运用全平台反病毒技术。利用光盘、网络等媒介所传播的软件通常是以压缩状态存在的,反病毒软件要对系统内部所有的压缩文件进行解压缩,清除压缩包内的病毒,若不运用自动解压技术,存在于文件中的病毒会随意传播。
3、提高系统的可靠性。安网络系统中一般是以敏感性资料、社会安全资料为主,这些资料被泄漏或者损坏均会产生严重后果。为了提升信息资料的安全性,必须定期备份,同时还应增强系统的可靠性。此外,还应明确系统灾难的原因,如雷电、地震等环境因素,资源共享中,人为入侵等,针对可能出现的系统灾难,可以建立起对应的灾难备份系统。灾难恢复指的是计算机系统遭遇灾难之后,重组各种资源并恢复系统运行。
