网络安全考核大全11篇
时间:2023-06-06 16:07:07绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇网络安全考核范文,希望它们能为您的写作提供参考和启发。
篇(1)
对于网络与信息安全责任考核工作来说,只有对其开展的必要性有深入的理解和认同之后,才能够在实际的工作中进行有效的贯彻和落实,做到“信息安全,人人有责”。中国移动开展网络与信息安全责任考核工作的必要性主要有以下几方面:1.保障公民财产安全和社会良性发展中国移动每年都会收到大量关于电信诈骗的投诉,电信诈骗对公民的财产安全和社会的稳定有着极大的危害。中国移动开展网络与信息安全的考核工作,能够就社会发展中的一些危险因素,以及潜在的风险和漏洞进行及时的排查和处理,净化网络环境,为公民信息的传输和资源的获得提供良好的技术支撑。中国移动广西公司长期派驻人员到公安部门反虚假信息诈骗中心协助办公,进行涉案号码信息查询、关停等工作;提取嫌疑号码提交给公安刑侦、技侦部门,提供线索;协助公安机关捣毁网络诈骗窝点,捉拿犯罪嫌疑人,收缴短信群发器等作案工作;配合当地公安机关加强打击伪基站工作。截至2016年底,累计破获伪基站案件39起,缴获伪基站设备40台,抓获犯罪嫌疑人43人。2.优化企业内部管理的必然选择客户的满意度决定市场的份额。客户的满意度是通过基层分公司和员工来提升的,因此,在开展网络与信息安全责任考核工作的初期阶段,中国移动就把考核的重点放在基层运营公司,通过提高基层人员的信息安全意识来提升整个集团的网络与信息安全实力,从而获得较高的客户满意度。按照考核要求在基层建立有效的客户投诉和反馈途径,更好地了解客户对网络与信息安全方面的需求,从而提升服务的有效性。实践证明,中国移动通过开展有效的网络与信息安全责任考核工作,进一步优化了企业内部管理,提升了客户满意度,从而使更多的用户选择使用中国移动的服务。
开展网络与信息安全责任考核工作的问题
目前,中国移动的网络与信息安全责任考核工作尚处于探索和完善阶段,随着技术和制度都在不断地完善和发展,社会环境的变化,安全责任考核工作的侧重点和难度也在不断地提升。就中国移动而言,在当下网络与信息安全责任考核工作过程中,主要存在以下几方面的问题:1.执行情况参差不齐中国移动各地区分子公司对于信息安全工作的重视度以及信息安全方面的资源和能力差距比较大。虽然在考核之前会对各个指标进行专业性的指导和说明,但是往往由于参与考核的基层人员能力有限,造成考核结果与实际情况之间的偏差,影响考核结果的准确性。另一方面,对于一些难以定量的指标尚未形成固定的考核标准,在考核过程中会出现模棱两可的情况。对于技术性指标的考核主要体现在通信设备安全性和保密性方面,虽然技术在不断发展,但是对于那些作用周期长以及新技术方面,当前考核手段难以纳入并得到有效执行。2.忽视客户满意度对于中国移动来说,客户满意度是生存和发展的决定性因素,如何通过有效的途径了解客户对企业产品和业务的看法或建议,是企业需要重点关注的内容。同时,客户对信息安全性的重视度也在不断提升,在这样的背景下,中国移动包括第三方权威机构在对网络与信息安全工作进行考核时,对信息安全考核的目标认识存在一定的误解,往往为了达到考核目标,把客户的满意度割裂出去,相关工作开展更多从企业内部进行,忽视了客户对企业信息安全满意度的内容。
中国移动网络与信息安全责任考核工作经验
1.统筹谋划、狠抓落实,不断总结提高不断总结考核工作经验,将各分子公司的网络信息安全工作与集团考核工作有机结合。年初,明确考核工作思路,制定下发考核要点,细化任务进度和工作措施。同时,各分子公司加强培训交流,详细解读考核要求,开展经验分享。集团公司加强督查、狠抓落实。年中,组织各分子公司开展考核工作实地检查,及时发现问题和薄弱环节,明确整改要求和落实措施,推动问题尽快解决。年底,制定评分模板,量化细化考核指标,确保打分客观、准确,真实反映中国移动企业网络信息安全工作落实情况,务求考核要求落到实处。2.强化网络与信息安全责任考核意识网络与信息安全考核工作是一项长期性的工作,要想取得良好的成果,关键是提升整个公司人员对安全责任考核工作的认识,使安全责任工作深入到每位移动员工心中,贯穿于其日常的具体工作中。通过责任意识的强化,能够提升员工和管理者的重视度和对于网络与客户信息的有效保护,提升信息的安全级别。同时,通过强化意识,让员工从自身的工作情况出发,对本单位内部的网络与信息安全责任考核指标进行有效的讨论,提升考核的实效性,切实从技术层面保障考核效果的及时性和准确性。3.兼顾各方利益群体,加强协调和沟通网络与信息安全责任考核工作要想达到良好的考核效果,需要主管部门及各运营商多方面的共同努力。首先,需要国家相关部门通过法律、政策等方面的有效约束,为营造良好的网络与信息安全创造环境;其次,中国移动作为电信运营商之一,要与同行业的其他两个运营商进行密切的合作和相关技术的共享,将自身的优势转化为行业的优势,提升整个电信运营行业的网络与信息安全层次;第三,相关的网络与信息使用单位要根据自身的需要将相关的信息反馈给电信运营企业,为其提升网络与信息安全考核的等级提供必要的信息支撑。4.增强客户满意度在考核指标中的比例客户满意度对移动业务的发展有着决定的作用,正是因为中国移动根据客户对信息传递速度越来越高的要求,才率先推出了4G业务。因此,在开展网络与信息安全责任考核工作时,要将客户对本企业网络与信息安全工作的意见和看法进行有效的吸纳,这样,一方面提升了客户的满意度,无形之中提升了企业的竞争力;另一方面,也有助于企业将外部环境纳入到网络与信息安全责任考核工作中,提升考核工作的认可度。
篇(2)
中图分类号:TN915.08;TN943.6
1 三网融合概述
1.1 三网融合概念。三网融合是通信融合的广义说法,主要是指广播电视网、互联网、电信网的融合,现阶段三网融合的发展已经不仅仅局限于三大通讯网络的物理结合,而是通过高层业务应用的应用对网络通信系统的优化。三网融合主要表现三个以上网络技术的趋向一致性,从而实现通讯信息在网络上的互通互联,业务上的交叉和渗透。在网络应用上,一般使用统一的IP协议,在经营上互相合作、相互竞争、明确职能关系、从而构建出完善的信息服务监管体系。
三网融合建设完成之后,网络用户不需要使用电话、电视、物联网等多个线路来实现信号的传送,只需要三网融合线路就可以获得所有通讯服务,也就是说用户可以通过一条通讯线路就可以完成打电话、看电视、上网等日常信息处理,但是随着用户通讯途径的拓广,随着而来的网络安全问题也变得日益严重起来。
1.2 我国三网融合发展现状。近几年来,世界上很多发达国家、发展中国家都陆续投身到三网融合建设中来,我国相较于发达国家,三网融合建设仍处于起步阶段。2002年我国首次提出三网融合建设纲要,倡导“电视、电信、计算机三网融合”,2009年,在我国国务院常务会议上,提出“加快推进广播电视网、互联网、电信网的三网融合,同时会议还明确提出了三网融合建设方针,可见三网融合建设是我国经济建设的重要组成部分。2010年后,我国先后在20多个试点城市开展三网融合建设,这也标志着我国三网融合建设进入实质性推行阶段。
2 三网融合下计算机网络安全问题
三网融合下的计算机网络安全问题,一直困扰着我国计算机网络技术安全科研人员,如何快速找到网络危险来源进而更好的抵制网络威胁,是科研人员要考虑的重要问题。三网融合下计算机网络安全威胁主要分为两类,即人为故意攻击和破坏、非人为灾害和系统故障。本文主要从计算机网络安全角度介绍人为故意攻击和破坏手段,主要有以下几种。
2.1. 网络协议欺诈攻击。此类计算机网络安全攻击是利用网络协议漏洞进行信息系统攻击的,通过假定的数据包和一系列欺诈信息,造成计算机网络出现“错误认证”现象的网络攻击手段,如源路由和源IP地址欺骗攻击,通过对网络节点IP的自封包装或修改,冒充可信IP网络对其进行网络攻击。
2.2 拒绝服务攻击。在三网融合的网络环境下,会经常出现拒绝服务现象,攻击者会加载多个服务侵占对方全部网络信息资源,使得网络无法供其他用户使用。其攻击目的就是让网络系统失去全部或一部分服务功能,使网络失去服务请求能力,实现对整体网络安全系统的破坏。在这些网络服务攻击中,以网络协议为核心的服务攻击最为普遍,由于网络协议是针对不同网络平台制定的,其本质上没有太大区别,所以该网络攻击手段具有良好的平台无关性。
2.3 内存缓冲攻击。在程序缓存时,内存缓冲攻击经常将大量垃圾内容加载到缓冲区当中,致使缓冲区溢出,程序将无法执行当前命令,从而破坏网络程序的正常堆栈。普通的缓冲区堆积信息一般不会造成网络系统的瘫痪,所以为了实现其攻击目标,网络攻击黑客通常会在缓冲区溢出程序中运行shell用户,通过shell执行攻击指令。在网络程序有root权限的情况下,攻击者就可以通过内存缓冲攻击对网络系统实施任意操作指令。
2.4 计算机病毒攻击,是网络安全攻击中最常见的一种攻击手段,通过计算机病毒的传播行为和不断自我复制干扰计算机网络程序正常运行。计算机病毒会广泛传播的主要原因就是目前我国计算机windows系统安全级别较低,对访问权限和系统资源都没有进行有效的保护措施。
3 传统的计算机网络安全技术
计算机网络安全技术是为了抵御网络攻击应运而生的网络技术,传统的计算机网络安全技术主要有以下几种。
3.1 虚拟计算机网路技术。是指不同区域内的计算机通过网络管理设备虚拟连接组成的虚拟网络,它消除了不同区域内的通讯限制,使多个网络可以共享一个信息平台。目前的虚拟计算机网络技术有局域网技术、虚拟专网技术等。
3.2 防火墙技术。防火墙是互联网在各基层网络之间设置的安全保护屏障,在网络进行信息传送之前对信息来源进行安全检测。防火墙主要分为三类:服务型、应用网关型和过滤型,其安全技术主要是对信息数据进行检测。防火墙有软件防火墙和硬件防火墙之分,硬件防火墙的安全性能好,但是其造价非常昂贵,只使用于对网络安全环境要求较高的网络系统;软件防火墙虽然安全性能较差,成本造价低,对于网络安全环境要求较低的网络系统软件防火墙应用更为广泛。
3.3 入侵检测技术。入侵检测技术是防火墙的加强和延伸,它是一种检测网络安全策略的行为技术,能够同时应对不同网络形式的攻击。入侵检测技术主要分为三类:基于网络的入侵检测技术、基于主机的入侵检测技术、分布入侵检测技术。
3.4 用户访问控制技术和数据加密技术。对网络通讯信息进行数据加密可以有效的保护网络传输过程中的内部文件和数据信息,是对动态网络信息的保护。访问控制主要是对静态网络信息的保护,通过不同系统的安全检测,对传送至各个系统的文件进行安全检测。
4 三网融合下的计算机网络安全架构
三网融合下的计算机网络安全体系,主要采用分级、分层处理。
4.1 分级处理。分级就是根据计算机网路安全的级别制定不同的防护措施,对安全级别要求高的领域如政务系统、公安系统、电台系统等采用级别、安全系数较高的计算机网路安全技术;对安全级别要求不高的如普通网络用户采用级别、安全系数一般的计算机网路安全技术。级别、安全系数较高的计算机网路技术主要是通过专用的防火墙、各类网闸、杀毒软件、入侵检测系统等,使网络系统在安全环境下进行信息传递。级别、安全系数一般的计算机网络技术主要是通过杀毒软件、普通的网络防火墙实施对计算机网路系统的安全防护工作。以上文提到的电台计算机网络安全维护技术为例,电台的外网和内网的网络安全技术就是分级处理的,电视制作播放的视频数据需要级别、安全系数较高的安全保护,因此在内网制作播出的视频数据传送之间的网络采用隔离网闸技术和杀毒软件双重保护,外网采用级别、安全系数较低的入侵检测系统和普通防火墙保护。
4.2 分层处理。(1)分层处理从信息内容和网络安全两个层面选用计算机网路安全技术,并建立完善的网络安全体系。三网融合下的网络信息量非常庞大,在大量危险信息充斥网络的情况下,单一过滤危险信息解决不了网络安全的根本问题。所以在计算机网络安全技术改革中,首先要制定完善的计算机网络法律体系,确定信息安全标准。之后在通过计算机网络安全技术的分层处理,对计算机网络安全进行保护,采用的技术手段主要有:1)利用数据加密技术对通讯信息内容进行加密;2)通过网络防病毒技术实时检测信息内容的病毒并进行处理;3)设置网络监听、过滤不良信息机制。计算机网络层面技术方法有网路访问控制、入侵检测、防火墙等技术,在需要保护网络和单元之间设置一个安全屏障,以便对外来信息进行安全检测或过滤。(2)分层处理也可以从广域网、大型局域网、中型局域网、小型局域网、TC机的角度划分,以基础网络为基准,把网络分为内网、外网、内外网之间三个部分。主要是为了解决内网和内外网之间的计算机网络安全问题,针对每个基层网络的特点制定不同的安全策略。
5 总结
近年来,我国三网融合建设已经具备了网络基础、市场空间和安全技术等发展条件。随着三网融合的飞速发展,建设过程中的信息和网络安全也备受关注,通过对计算机网络安全技术的改革和创新,目前我国的三网融合安全体系已初步建立,相信未来的三网融合建设会更加稳定向前发展。
参考文献:
[1]熊磊.三网融合下广电网络运营商发展战略研究[D].华中科技大学,2012(10).
篇(3)
下面,我们介绍计算机网络可靠性模型和成本模型,并根据可靠性模型分析影响计算机网络可靠性的因素,并针对这些因素提出解决方案。
一、影响计算机网络可靠性的因素
从可靠性模型中可以看出,节点的可靠性和链路的可靠性都会对计算机网络的可靠性造成影响,但是还有一些因素是隐藏的,在模型中是无法体现出来的,接下来我们就分析这些因素对整体的网络可靠性有何影响:
(一)终端设备对计算机网络可靠性的影响
终端设备也就是模型中的节点,负责与用户的交互工作。终端设备要么是网络的一个源点,要么是网络的一个汇点,它们是直接面向用户的设备,用户通过终端设备产生用户体验,而用户的体验满意度从侧面反映的就是计算机网络的可靠性,因此终端设备的可靠性非常重要。
(二)传输交换设备对计算机网络可靠性的影响
传输设备在不同的终端与终端之间或是终端与服务器之间传输数据分组,而交换设备则负责将数据分组转发到正确地的输出端口(即正确的传输链路)。传输设备既包括传输链路,又包括信号中继站等,传输设备一旦出现故障将直接影响网络数据的传输,造成数据丢失,而且难以定位故障位置,因此通常要部署冗余设备以提高网络的容错性,保证网络不会因为传输链路故障而中断。
(三)网络拓扑结构对计算机网络可靠性的影响
网络的拓扑结构则是一个完全与硬件设备无关的影响因素,可以说网络的拓扑结构是计算机网络可靠性的一个决定性因素。常见的网络拓扑结构有总结拓扑结构、星形拓扑结构、网状拓扑结构、二元N维蝶形网拓扑结构和金字塔形拓扑结构。一个合理的网络拓扑结构能够大大地提高网络的容错能力和可靠性。
(四)网络管理对网络可靠性的影响
网络管理是一个隐藏因素,在可靠性模型中无法体现出来,但是网络管理对计算机网络的可靠性也有非常大的影响。大规模的网络中包含多种多样的设备以及错综复杂的线路,这对网络管理提出了重大的挑战。要保障网络正常运行,就必须采用科学先进的管理理念,实时监控网络的运行状况,分析网络中可能存在的问题并且及时排除潜在故障。
二、提高网络可靠性的措施
针对影响计算机网络可靠性模型的因素,我们从网络容错性、冗余网络和多层网络结构等角度提出提高计算机网络可靠性的措施。
(一)双主机热备份提高计算机网络可靠性
如果网络中只有一台服务器在运行,那么一旦服务器发生故障后整个网络都将不可用,为防止这种情况出现,我们将服务器设计为双主机热备份模式,某一时刻只有一台主机在工作,另一台主机是作为备份主机的,它只监视工作主机的运行状况,工作主机发生故障时它才接替工作主机的工作,并通知网络管理员对故障主机进行修复。故障主机修复完成后可做为备份主机也可切换为工作主机。
(二)冗余核心交换机与双网络冗余提高计算机网络可靠性
核心交换机是工作在网络主干部分(核心层)的交换机,核心层交换机是所有接入层交换设备的汇聚点,它必须能够处理来自接入层设备的所有通信量,为所有上行的数据分组提供链路,同时也要为所有下行的数据分组提供链路,可以说核心交换机是网络传输结构的骨干。核心交换机一旦发生故障则会导致所有与其相连的接入层设备无法正常工作,对整个网络造成重大影响,因此有必要部署冗余核心交换机。
正常情况下两台核心交换机都参与数据转发工作,接入层交换机可以选择将数据分组交付给两台核心层交换机中的任何一台。当其中一台核心交换机发生故障时,此时所有接入层交换机都将数据分组交付给正常运行的核心交换机,保证网络正常运行。
双网络冗余实际上就是在单一网络的基础上再部署一个备用网络,形成双网络结构,也就是网络中的两个节点之间存在两条网络。当网络中的节点需要发送数据报文时可以通过两条网络中的任何一个网络向外发送报文,这样可以预防单一网络失效时造成的网络中断。
冗余核心交换机和双网络冗余的策略都是提高了传输交换设备的可靠性,保证数据分组在传输途中的安全性,从而提高了计算机网络的可靠性。
(三) 采用多层网络结构提高计算机网络可靠性
将网络结构设计为多层次的网络结构,各个层次提供不同的功能,支持不同的网络通信协议,可以增强整个网络的灵活性和扩展性,对网络故障进行了很好的隔离,可以方便地排查定位网络故障,一旦网络陷入瘫痪可以迅速修复,极大地提高网络的可靠性。
我们将网络结构设计为三个层次,分别为接入层、分布层与核心层。接入层是面向用户的网络层次,负责将用户接入计算机网络。在接入层可以通过访问控制等控制网络用户的流量和访问权限。分布层是介于接入层和核心层的一个层次结构,是连通接入层和核心层的一个管道,在分布层实现对网络数据资源的预处理等功能。核心层是整个计算机网络的主干部分,核心交换机就部署在核心层,核心层负责高速转发数据分组,提供优化可靠的网络骨干传输结构,具有高吞吐量的特性,是整个网络的心脏。
三、结束语
目前计算机网络正在民航的安全生产中发挥越来越重要的作用,计算机网络的规模也随着其应用范围的扩大而不断扩大,各项工作对网络的依赖不断加强,因此对计算机网络可靠性的要求也越来越高。研究计算机网络的可靠性,提出提高计算机网络可靠性的方案不仅对计算机网络的发展,对民航的生产工作具有重要意义,而且对于与计算机网络相似的电力网络、交通网络也具有重要的借鉴参考意义,甚至许多方案可以直接应用于这类网络。但是,随着计算机网络的发展,计算机可靠性的指标和要求也会不断发生变化,因此要求我们紧跟计算机网络技术前进的步伐,不断开辟新的思路,提高计算机网络的可靠性。
参考文献:
[1]李宗英.计算机网络可靠性优化技术.[J].软件导刊.2008(06):15-17
篇(4)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)25-7098-03
To Build a Secured and Reliable Network Needs Combination of Initiative and Passive Defense
HUANG Wei-fa
(Fujian Provincial Tobacco Company Fuzhou Branch Company,Fuzhou 350013,China)
Abstract: How to guarantee the security of network tobacco business has become a key issue to push forward the smooth development of tobacco industry in the information era. According to the necessity to conduct electronic administration and e-commerce in tobacco industry, on the basis of the status quo of Fuzhou network security of tobacco business and daily work, this paper put forward a suggestion: network security administration is a comprehensive system, hence it is necessary to focus on the aspects of strategy, management and technology so as to build a more effective and more reliable network security system by combining initiative defense technology with the traditional passive defense.
Key words: initiative; passive; defense; security; network
近年来,随着信息技术的飞速发展和互联网的迅速普及,网络以其惊人的发展速度和巨大的利益吸引着厂商纷纷通过建立电子商务虚拟市场完成其交易活动,其广阔的发展前景已经引起世界各国的密切关注,而且越来越多的传统企业已经意识到以信息技术为主导的知识经济时代,以网络化、信息化、知识化、全球化为特征的新经济是不可逆转的。然而随着网络上的数据来往,网络信息安全成为企业更为关注的问题。由于烟草行业是国民经济的重要组成部门,面对激烈的竞争,提高网络的安全性能将对这种新型的网络商务运作模式的有效运转、提高我国烟草行业的经济效益和效率、提高企业的竞争力占据有力的作用。
该文以作者所在单位的网络为例,从策略、管理、技术等方面对如何打造更为安全可靠的网络安全体系进行了分析和探讨。
1 网络安全的基本认识
当今社会是信息化的社会,信息化的基础设施是网络。随着Internet的发展和PC机的普及,网络和信息化已经成为了现代社会的重要标志之一。从Internet的最早起源美国国防部高级研究计划署DARPA(Defence Advanced Research Projects Agency)的前身ARPAnet开始,到现代高达发达的信息化公路,网络可以说是无处不有,电子邮件、网上银行、电子商务、网络办公…… 网络已经融入了我们的生活,给人们的生活带来的极大的方便。
然而,网络信息技术也和其他科学技术一样是一把双刃剑。当大部分人们利用网络信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用网络信息技术却做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息、篡改和破坏数据,给社会造成难以估量的巨大损失。据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)统计, 2007年各种网络安全事件与2006年相比都有显著增加,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件成倍增长,网络仿冒事件数量由563件增加至1326件,增长率近1.4倍;垃圾邮件事件数量由587件增加至1197件,增长率达1倍;网页恶意代码事件数量由320件增加至1151件,增长率近2. 6倍。2007年微软公司正式公布了69个4具有编号的安全漏洞。其中,除Windows操作系统漏洞外,安全漏洞更多的集中出现在了IE浏览器和MS Office等应用软件上。
2 福州烟草网络安全现状
图1为作者所在单位的网络拓扑图。在图中可以看到,在广域网范围,全网由主备两条2M SDH链路连省公司和下属各县分公司;在城域网范围,连接各业务部门和下属单位近十条链路;由于业务需要,还存在到其他地区的2M 帧中继以及到兴业银行和农业银行等连接。这些线路或通过广域网连接到市公司中心机房的两台cisco 3600路由器,或通过城域网连接到市公司中心机房的6509核心交换机,最终全区所有节点约800台都汇聚到6509核心交换机。在全区外网唯一的出口和内网之间架设一台中科网威防火墙NPFW-200-P4和入侵检测服务器。在公司架设一台防病毒服务器,全网所有电脑都安装瑞星网络版防病毒软件。
从拓扑图来看,这是一个规模不大的网络系统,网络中采用了防火墙、入侵检测服务器和瑞星网络版防病毒软件等措施来构建基本的安全防御系统。防火墙隔离了内部局域网与外部互联网,保护内部网络不会轻易受到攻击,瑞星防病毒软件安装在每个终端上,对终端进行杀毒保护,这是最为简单的组合模式,然而在实际运作中,我们发现存在着不少安全问题。
首先,基于传统安全防御理念构建的网络架构,其防御的对象着眼于外部,忽视了来自内部的威胁。在传统思维的引导下,通常企业也都比较信任内部的员工,安全设备根本不对企业网络内部的情况进行监视。企业内部的每一个人都得到了充分的信任,可以在网络中随意游走,毫无限制。然而,来自安全研究机构的统计:超过85%的安全威胁来自企业内部,威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等。当然更有说服力的,还是国内外一些活生生的例子,包括很多全球知名企业的泄密案等,其损失之巨大,更是足以让后来者引以为戒。
传统安全防御的方法更多的是采取被动防御技术的,构筑好一个防御的城堡以后,就坐等敌人的进攻,主动权交到了对方的手里,这样的防御永远只能跟在对方的身后,拆拆补补,南门受到了攻击,就调集部队守南门,北门告急,再调过去补北门,疲于奔命,顾此失彼。而且一个城堡能否被攻破,不是取决于城堡有多厚,而是最薄的地方在哪里,而更加致命的是被动防御往往不知道什么地方最薄。
其次,在管理上,建立规范的信息化管理系统和制定符合实际的安全管理制度体系,并不是一个有什么难度的事情,最为困难的就是如何保障信息管理系统的有效运行和安全管理制度体系的执行到位,这涉及到企业的管理风格,业务模式与对信息安全的重视依赖程度,特别是企业领导对信息安全问题的重视程度以及信息部门在企业中的地位,决定了网络安全体系如何建设、建设到什么程度以及能够起到多大的作用。
最后,在技术上,我们虽已配备安全产品的“老三样”――防火墙、入侵检测以及防病毒软件。但随着技术的发展,现代防火墙技术已经逐步走向网络层之外的其他安全层次。而我们的防火墙功能比较弱,无法为各种网络应用提供相应的安全服务。同时,由于没有流量控制、带宽控制等功能,使得我们在外网访问管理上捉襟现肘,许多很好的管理思路无法得到实施。
对于终端电脑没有有效的工具来管理。如前所述,在传统安全防御思路中,对来自内部的安全威胁认识不足,各类信息软硬件的发展诸如移动存储设备(移动硬盘、闪盘、SD/CF/等)、服务器软件等使得病毒木马可以轻易绕过防火墙进入局域网内部,更何况现在许多的病毒木马可以终止安全软件的运行。身份认证系统是整个网络安全体系的基础,否则即便发现了安全问题也会由于无法查找而只能不了了之,只有建立了基于全区网络的统一身份认证系统,才能彻底的解决用户入网身份问题,同时也为各项应用系统提供了安全可靠的保证。
与作者所在单位相似的是,多年的信息化建设,使得许多企业也意识到了搞好网络安全的重要性和必要性,不少企业都能斥资数百乃至上千万购置防火墙、防病毒软硬件设备来构筑自己信息安全的堡垒。但是他们往往发现投入了许多,安全问题不减反增,每天不停打着漏洞补丁,病毒日志数十页地增加着,系统运行时好时坏,从事信息建设的工作者无法高枕无忧,反而更加有如履薄冰的感觉。尽管采用了花样翻新的安全产品和解决方案,但企业所面临的安全威胁不是减少,而是大大增加了。
道高一尺,魔高一丈。虽然90%的企业机构已经采用了防火墙和防病毒解决方案,但仍有超过一半会受到安全漏洞的影响;尽管对信息安全忧心忡忡的企业已经在该领域投入了大量资金,但企业每天受到攻击的次数却以每半年30%的速度增长。
3 主动与被动防御相结合构建更为安全的网络安全体系
网络安全解决方案核心目标是最大限度确保数据安全和业务的连续性。对于企业来说最关心的并不是一个完美的,无懈可击的网络,而是如何保证网络所承载业务的正常、安全、可靠地运行。虽然我们面对的信息网络具有各种各样的安全缺陷,只要我们通过适合灵活的安全策略,保证业务活动和业务数据的安全,并确保业务应用的可用性,那么承载业务的这个网络对于我们来说就是符合要求的安全网络。
以下从策略、管理、技术三个方面就如何打造主动与被动防御相结合的网络安全体系进行探讨:
3.1 在策略方面
3.1.1 配置入网身份认证机制
身份认证的缺失,使得任何一个用户对任何一个安全问题都是可抵赖的。而内部攻击的发生是无法从制度上阻止的。在网络节点接入安全网络时,需要对待接入的系统安全状况以及操作该节点系统用户的身份进行充分的评估、认证,以确定该系统是否符合网络的内部安全策略,来决定该网络节点系统是否接入到安全网络中,还是拒绝接入或安全升级后接入。显然,网络准入的机制不仅实现了安全网络“主动”的动态扩展,而且能够有效降低不可信终端系统接入网络所带来的潜在安全风险,为网络管理奠定良好的基础,有效保护核心数据的生成、访问、更改等操作,保障电子政务的运行以及为所有应用系统的统一单点登录创造条件。
3.1.2 加强网络内部机器的管理
对内部网络所有计算机上的重要信息的存储和传输实施访问控制、数据保护和日志记录,提供完善的集中管理控制机制、有效的安全策略生命周期管理方法和细致清晰的审计分析报告,从而能够有效地防止内部网络重要信息通过各种途径被非法泄漏和破坏。安全问题不仅仅来自外网,实践证明更多的来自内网。虽然我们非常清楚地知道企业内部人员的危险程度有多高,但是,内部人员的活动是无法预测的。谁都不可能知道哪些员工会在什么时间干出伤害公司利益的事情。因此,主动防御更多的就是要我们主动出击,防患于未然。
3.1.3 建立安全管理中心(SOC)
将关键设备的运行管理权利集中到一起,通过高度密集的管理产品和手段,将分散在各地区、不同业务网络上面的各种安全产品有机的结成一个整体。所涉及的安全管理管理范围包括:所有的基于IP的网络和应用系统的安全:包括支撑网本身、业务支撑系统(如决策支持系统、网管)、业务系统本身和其他应用。所有安全产品组成的安全体系的实时管理和监控都应当受到SOC的管理。所有非安全产品的关键应用系统均应该通过一定途径将安全相关信息输送到安全管理中心中,保证及时安全时间的发现、分析和响应。
3.2 在管理方面
3.2.1 网络安全是一项技术问题,更是一项管理问题
网络不能完全依赖安全产品来解决信息安全,网络安全更需要从管理的基础上突破技术问题。安全问题不仅仅是技术问题,更多是管理的问题。在技术保障下,良好的管理能够使网络安全达到最大化。网络安全事务是多维的,涉及到:公共管理、安全策略、法律法规、人员素质、安全审计、安全保险、安全技术、安全意识培养、安全评估等多方面。一个方面的疏漏就会导致整个安全防护系统功败垂成。通过加强管理来避免安全问题,使安全隐患最小化,建立安全问题的责任问责制,形成信息安全问题解决机制。
3.2.2 提高全体人员网络安全意识
1) 提高领导网络安全意识
网络安全关系着核心数据的保护、业务运行的稳定性和办公流程运转的连续性,是信息化工作的重要的基础性的内容。
2) 提高信息化工作人员网络安全意识
网络安全不是装个防火墙和防病毒软件,没事就杀杀毒。它是复杂的,多维的,动态发展的;它要求工作人员不仅要具备技术水平,更需要提高认识和综合能力,具备良好的管理水平。信息化工作人员有必要定期进行培训,接触并学习到较为前沿先进的技术知识,并加强和同行间的交流。
3) 提高终端用户网络安全意识。
所有终端用户是信息化工作开展的出发点和归宿点;他们既是信息网络的使用者,也是信息网络安全风险最大的制造者。引发安全问题可能是有意的,可能是无意的;但绝大多数是无意的。只有提高所有终端用户计算机使用水平和网络安全意识,才能最大程度消除安全风险。
3.2.3网络安全管理监督机制
任何制度建立了但没有执行就是一纸空文,执行了但没有监督就无法落到实处。网络安全管理监督需要技术做保证。只有具备进行身份认证和操作记录的技术,才能防止用户的抵赖,真正做到监督有所依据、有所成效。同时建立网络运行状况定期公布制度,甚至进一步建立奖惩制度,有力的督促用户规范使用网络和信息设备。
3.3 在技术方面
3.3.1 及时更新升级网络安全设备
对防火墙、防病毒软件等被动防御技术进行及时更新换代,以确保防火墙、防病毒软件能够适应最新的安全防御要求,实现管理者的安全防御思路和策略。提高网络管理者对网络的操控能力。
3.3.2 配置安全专用设备加强外网安全管理
新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵,着重的是网络层的过滤;而安全专用设备管理和控制内部用户对外的访问,着重的是应用层内容的检查。两者相辅相成,达成全方位及最佳效能的安全防卫架构。
3.3.3 配置网络管理软件加强终端用户管理
由于全网内终端电脑数量多、分布广、权限大、使用人员水平参差不齐等原因,网络安全管理在防范内网安全上存在着巨大的漏洞。内网存在大量的病毒传播,文件传输,共享漏洞,密码保护等问题。只有配置了网络管理软件,才能有效的实现可控、可追踪、可审计和全面的终端管理。
3.3.4 合理使用VPN或VLAN技术
合理使用VPN或VLAN技术,通过物理网络的划分,控制网络流量的流向,使其不要流向非法用户,以达到防范目的。
4 结论
构筑一个主动与被动防御相结合的网络安全体系,就需要打破原来城堡式的被动防御观念,建立一个灵活机动、积极寻找防御点的可以信赖并且是可控的网络环境,关键点就在于这个体系要能够主动预知和控制我们的防御。任何方案不可能做到绝对安全,只能最大限度去降低安全事故的发生概率,主动防御通过各种措施来评估和预知安全事故的可能发生点,采取手段制止事故的发生。在网络安全的管理与建设当中,应当清醒的认识到网络安全管理是一个综合的系统工程,需要从策略、管理、技术三方面着手,在传统被动防御的基础上结合主动防御技术构造更加有效可靠的网络安全体系,为烟草行业实现健康稳定可持续发展提供强有力的信息化技术支撑。
参考文献:
篇(5)
(一)全面提升本质安全水平
坚持一手抓安全风险管控和隐患排查治理,一手抓长效化机制建设,从增强“四个意识”、坚定“四个自信”、做到“两个维护”的政治高度,统筹安排,明确时间进度和工作要求,抓好组织实施和督促落实,提升本质安全水平。
(二)开展安全检查和隐患排查治理工作
充分认识日常安全检查和隐患治理的重要性,加强源头控制和日常隐患排查治理。加强日常安全巡查,杜绝各类事故发生。
(三)落实网络安全工作责任制
加强网络安全工作的统筹领导,健全网络安全管理组织体系,压实网络安全主体责任,建立网络安全考核机制加强网络安全宣传,增强职工网络安全防范意识,确保公司网络信息安全。
二、制定计划、落实措施,确保安全生产
1.认真做好疫情防控常态化下的各项工作,严格落实安全生产、安全行车和疫情防控常态化责任制,安全和疫情防控责任做到层层传递,层层落实,始终坚持“安全第一”的思想。
2.严格执行操作规程、巡回检查制度、设备管理制度,确保备机备泵完好,重要设备发生故障,及时上报、及时抢修,决不过夜。
3.加强工作管理,做好正常施工项目的监护,确保安全运行。
篇(6)
中图分类号:TM769 文献标识码:A 文章编号:1671-2064(2017)05-0168-02
1 概述
HTP模型[1]是中国IT治理研究中心提出的“以人为本”的信息安全体系模型,其主要结构抽象描述包括[2]:人员与管理(Human and management)、技术与产品(Technology and products)、流程与体系(Process and Framework)。
2 网络架构与技术
通过对电力公司移动交互平台网络架构的分析,总结出网络中存在的安全薄弱点。针对这些薄弱点,在网络架构和技术方面提出如下几点建议。
(1)对信息外网进出口提供更多样的防护措施,并增加备用线路,防止单点故障。建议在信息外网进出口设立统一威胁管理系统(UTM),具体拓扑如图1所示。作为电力公司移动交互平台网络的边界,面临的混合式攻击越来越多,传统的安全解决方案如单一的防火墙功能、入侵检测功能已经无法有效解决这种混合式的攻击威胁,而全面地设立多种独立功能的安全设备往往需要巨大的投资成本,并且设备过多会带来更高的管理成本。统一威胁管理系统将各种安全防护功能集中到一个设备上,在增加安全性的同时,很好的控制了资费成本与管理成本。
(2)在信息外网的支撑服务处增加入侵检测系统(IDS),具体改进拓扑如图2所示。支撑服务作为移动应用的内容提供者,在信息外网中是黑客主要的攻击目标,并且移动应用提供的业务是已知的,所以用户的请求行为是可以预测的,这种情况下使用IDS是非常好的选择。根据对用户业务请求行为的预测,将正常行为与不正常行为归纳建立模型。使用入侵检测系统,采用异常检测和误用检测两种模式相结合的方式对流量进行检测。
(3)在信息外网与信息内网中同时增加安全审计系统。在信息外网使用安全审计,可以对用户访问移动应用服务资源的行为进行安全审计,并且可以对移动应用操作内网数据的行为做详细记录,通过审计系统的日志,不仅可以对潜在威胁进行分析,并且可以提供事故发生的线索做出评估,快速进行故障恢复,提供责任追究的依据。信息内网使用安全审计,可以对内部员工的操作进行管理。审计系统可以成为追踪入侵、恢复系统的直接证据,所以,其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。审计事件的查阅应该受到严格的限制,避免日志被篡改。
(4)在信息内网的数据库服务器处增加数据库防火墙,具体改进拓扑如图10所示。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等,从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。
3 人员管理机制分析
3.1 健全以责任分离和安全考核为原则的用人系统
信息网络安全人员的使用具有一些特殊的要求,必须以安全可靠为最高原则。相应地,应该健全以责任分离和安全考核为原则的用人系统。
一方面,在用人过程中必须坚持责任分离的原则。其具体要求是:(1)明确信息网络安全系统中每个人的职责,要求“谁管理,谁负责”;(2)关键岗位的人员不得再兼任其他职位,严格控制使用兼职人员;(3)重要的任务有两人以上共同完成,避免一个人保管组织所有安全信息;(4)坚持岗位轮换原则,确保一个员工的工作有另一个员工进行审核。
另一方面,信息网络安全人员一旦录用,就要确定其职责范围,对其实施安全考核,重点考核其安全事故发生情况。信息网络安全人员考核不能像一般工作人员那样以年终考核为主,而应加强平时考核以实现日常监控,对其考核时间越短,就越有利于确保安全;而且,不仅考核工作时间内的表现,也考察工作时间外的表现,比如生活作风与非工作行为是否正常等。
3.2 推行以增强意识和战略开发为指导的育人系统
信息网络安全工作是一种长期而艰巨的工作,保密意识贯穿始终,但随着时间的推移,信息网络安全人员难免产生工作倦怠,其“保密之弦”也会出现松弛。因此,国网公司应该不断强化保密意识培训,以形成坚固的信息安全“思想意识防线”。而且,还应该立足信息安全战略规划与开发信息网络安全人员,以长远眼光加强信息网络安全人才培养。
3.3 实施以目标激励和待遇倾斜为特色的留人系统
信息网络安全工作任务重、压力大、内容单调,加上工作环境封闭,容易使信息网络安全人员人心不稳。因此应该通过目标激励,增强他们对自己所从事工作的荣誉感、神圣感和责任感,促使他们安心工作。而且,由于信息网络安全人员作用特殊、责任大、风险高,因此在待遇上应该给予倾斜。
4 结语
本文通过对典型内外网网络安全防护方案的研究与对电力公司移动交互平台网络结构分析,结合典型的HTP网络安全体系模型,针对电力公司移动交互平台网络安全薄弱点,提出关于电力公司移动交互平台网络加固的建议,对电力公司移动交互平台安全提升做了有益的探索。
篇(7)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6657-02
随着信息的高速发展,各级政府机关已经陆续建设好自己的网络,系统越上越多,应用越来越复杂,办公系统、业务系统、管理系统、财务系统……政府机关或企业的各种事务都用电脑通过网络进行处理,由于网络技术不断发展,系统不停在增加,应用不断升级,安全管理问题突现,本文根据以上问题就局域网的安全特征进行分析,就如何管理好政府内部网络进行深入分析,探讨一个合适的内部网络管理办法,希望能形成一种制度或习惯,为各级领导和网络管理员更好的保证内部网络的安全运行……
1 网路安全问题的特征
1) 网络安全的必然性
网络上传输的各种数据信息都是电信号,大多具有相应的特征,通过这些电信号的特征分析,就可以获得计算机在网络上传递的数据,这是计算机网络与生俱来的致命弱点,其只能通过各种加密的算法,使其不易被破译而已,所以可以说世界上任何一部计算机网络都不是绝对安全的。
2) 安全问题面临的威胁
据统计,70%左右的安全问题来源于内部用户。黑客攻击是最可怕的,也是网络安全策略的首要防范对象,其通过制造病毒、编写木马对存在漏洞的计算机进行收集重要数据或者破坏攻击。近几年,在互联网上黑客猖狂肆虐,攻击不断,使通信网络中断,军事指挥系统失灵,网站瘫痪,中奖号码被篡改,电力和供水系统瘫痪,银行金融系统混乱,危及国家政治、军事、经济的安全与稳定,在世界各国造成了难以估量的损失。而在政府内部网当中,由于内部信息和互联网信息不断交流致使一些病毒和木马不知不觉得流入了内部网,在内部网内进行不断复制造成资源耗费、业务中断、资料泄漏、数据丢失甚至系统瘫痪、网络瘫痪。
3) 内部网络的存在的主要安全隐患
(1) 意识安全
在政府内部网中,人员的意识安全普遍不强。数据库使用缺省密码或常用密码,数据库连接串的信息嵌入应用软件当中,计算机不加密码、资源随意共享、软件随意安装、外来电脑随意入网……
(2) 系统漏洞
在政府网内运行的操作系统多种多样,很多内部网内未建设安全更新补丁服务器,正版的系统也不一定能够及时更新安全漏洞补丁,使得很多机器存在容易被攻击的可能。
(3) 隔离安全
政府内部网通常独立于互联网,但是由于现在工作也很难离开互联网,很多单位已经具备了内部网和互联网双网络,为了工作之方便,同时也为黑客病毒开了方便之门。
(4) 介质安全
由于内部网络计算机也要跟外部交流信息,移动硬盘、U盘和光盘不可避免地要和内部计算机进行数据交流,严格使用这些安全介质就是内部网络安全源头防护。
(5) 恶意攻击
内部网络一般是受到病毒的无意发作攻击,也会存在人为恶意攻击来获取信息。
2 如何构建内部安全网络
根据网络安全的存在的种种隐患,我们可以通过以下管理方式进行预防安全事故:
1) 制定严谨的安全制度
要确保内部网的安全,首先是制度的安全。和领导的足够重视、系统管理员的尽职尽责是分不开的。首先要制定完善的安全制度,把影响安全的行为规范起来,比如文件和打印的共享、计算机软件的安装要经过审批,接入内部网要经过审批备案才可接入等等;其次就要严格执行制度,对用户进行制度的安全培训,提高用户的意识安全和使用安全;再有就是安全制度的有效执行监督和考核机制。
2) 规划好内部网的安全框架
框架安全就是对网络的安全区进行管理,对提供服务的机器进行深度的安全保护,设立防火墙、访问控制等安全策略。
3) 划分好安全区域
现代政府网络一般局域网都使用100M或者1000M的局域网,通过租用运营商的电路与上级机关和下级机关的局域网互联,形成系统内部网。这么一个庞大的网络,就要进行安全区域的科学划分,划分无非分两种,一是网段划分,通过路由器进行数据交换;二是通过交换机进行Vlan划分,其作用主要是减少网络广播,结构清晰,管理方便
4) 提供安全的服务
在企业内部网内一般分级建立不少服务,常见的有文件服务系统,办公自动化管理系统,业务系统等等,如何能够为用户提供安全可靠的不间断服务,这是内部网的主要目的,也是内部服务网要解决的主要问题。要确保服务的安全,首先就是要科学配置好服务器,确保设备冗余,一般应该采用多个网卡接入内网的服务,关闭不必要的服务,所有的服务器应该接入到防火墙DMZ区,通过访问控制、加密技术和认证技术允许相应的机器或者网段对服务器的指定资源进行访问;其次要确保良好的服务机房环境,严格执行机房环境要求;第三就是要定期对机器进行检查维护,确保服务器无病毒、无故障正常运行。
5) 建设内部网络服务安全平台
部署网络管理系统,及时发现系统的设备情况、设备运行情况:
(1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
(2) 定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
(3) 利用网络包分析工具(如sniffer),定期进新网络健康检测分析、服务器性能分析,及时调整或变更配置管理或设备,该工具也能很快发现网络毛病位置。
(4) 设立内部安全更新服务器,及时为所有的机器更新漏洞补丁。
(5) 通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
(6) 通过数据备份或者快照等技术使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。
7) 客户端计算机的管理
局域网中的每一台计算机都可能是内网的安全隐患,所以要对网络内的客户端计算机进行严格的管理。一是要严格登记工作站的接入端口,记录好入网的基本信息资料,如用户名,物理端口号,网卡地址,接入交换机的具体设备和端口,形成初步的网络管理数据库,方便进行内网管理、故障管理和安全管理;二是在工作站安装相应的防病毒软件和桌面安全管理软件,由中央控制台统一控制和管理,实现全网统一防病毒;三是在用户端开启的业务应该严格控制,应该根据需求开启相应的服务,把缺省开启的不必要的服务关闭,通过本地安全策略设置,配置好相应的应用,关闭不必要的端口。四是文件网络传输尽量使用内部的FTP服务,尽量不要开启本地的文件和打印共享。五是严格管理好用户的应用,政府内部网系统较多,但是个人用户的应用就不一定很多,建议特定的人干特定的事情,通过访问控制机制,授权相应的机器访问相应的服务器,这样既减少网络的应用,也减少网络的安全威胁。
8) 建立安全考核机制
通过建立完善的安全考核机制,对内部使用人员、系统信息员和系统管理员进行考核,提高操作人员的安全觉悟和安全习惯对内部信息安全作用巨大。
3 结论
总之,随着内部网络的应用越广泛,内部安全问题也会经历越来越严峻的考验。因此网络信息的安全必须依靠严格执行管理制度,依靠不断创新的技术进步与应用和完善的监控手段是能够很好的保证政府内部网络的安全使用。
参考文献:
[1] 晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究.2005,3.
[2] 周碧英.浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18-19.
[3] 潘号良.面向基础设施的网络安全措施探讨[J].软件导刊,2008,(3):74-75.
篇(8)
2运行环境安全
在终端计算机安全防护体系建设中,运行环境至关重要。运行环境主要有物理环境、网络环境等。本文主要介绍网络环境,在网络环境中给终端计算机加几把锁,把握其方向轨迹和动态。
2.1IP地址固定
在网络中,IP地址固定可以解决信息安全事故溯源、IP地址冲突、准确掌握上网计算机数量等问题。实施中通过管理和技术相结合的办法,技术上在网络设备里通过DHCPSnooping和A-CL列表,实现IP和MAC地址绑定。
2.2控制上互联网计算机
因工作性质和安全考虑,部分终端计算机仅处理企业内部业务不需上互联网。因此加大终端计算机上互联网权限审核力度,技术上实施是在IP地址固定的前提下,在网络设备通过访问控制列表ACL或者互联网出口安全设备里进行配置。
2.3部署准入设备
为保证网络安全,在网络边界或内部部署准入设备,设立终端计算机入网规则,如必须安装企业桌面安全软件和配置安全基线等等,通过进程检测合规后入网或可访问关键业务。
2.4部署内容审计系统
在互联网出口边界部署内容审计系统,在线对终端计算机访问互联网的行为进行2~7层的识别,可进行关键字的设置过滤、URL过滤,对于计算机的互联网行为做到可控制、可管理、可审计,以保证网络信息的安全。
2.5部署服务器
为保证终端计算机上网安全,一般建议在互联网出口设置服务器,用户通过服务器访问互联网。通过服务器访问互联网可以提高访问速度,方便对用户行为进行管理和审计,起到防火墙作用,保护局域网安全。
3安全管理
三分技术七分管理,是终端计算机安全防护体系建设的准绳。在自身系统和运行环境建设中,技术操作都是通过管理来实施的,因此形成一套安全管理机制并始终贯彻运行,是十分重要的。
3.1建立终端计算机管理制度
建立终端计算机管理制度也是终端计算机安全防护体系建设的组成部分和重要措施,如《计算机信息系统管理》《计算机安全管理实施细则》《计算机工作考核评比细则》《计算机保密管理规定》《信息化考核体系》等都是非常重要的制度,通过建立健全这些制度,形成信息化考核机制,使得终端计算机安全工作有章可循。
3.2提高计算机安全管理的力度和深度
在企业计算机安全管理管理中,管理人员首先要提高各级领导和员工网络安全重视程度,其次定期通过各种手段完成终端计算机安全检查工作,如通过桌面安全系统、审计系统检查计算机违规行为,根据规定实施处罚等,最后安全管理人员要主动识别和评估安全风险,制定和落实安全整改措施,确保终端计算机持续安全稳定运行。
3.3建设完整的计算机实名库
通过建设终端计算机实名库,掌握计算机管理动态,实现计算机资产管理,给领导提供决策依据。实名库建设可采用各单位签字盖章上报、在桌面安全管理系统里注册、定期现场抽查等,从而完成终端计算机实名库的建设。
3.4建立网络建设标准
通过网络建设标准的建立,保障终端计算机安全运行环境,也加强了桌面安全防护体系在网络体系建设中的作用。
3.5建设一支过硬的信息化队伍
在企业中,建立信息安全组织架构、明确组织责任、设置相应岗位,建立一支过硬的专业信息化安全队伍,切实加强计算机管理、维护终端计算机安全。
篇(9)
陈肇雄从行业发展、监管、安全三个方面,通报了2015年工信部信息通信管理相关工作进展情况。
在行业发展方面,一是全面落实提速降费。年度任务目标基本完成。二是积极优化发展环境。在完善普遍服务补偿机制、创建“宽带中国”示范城市、深化共建共享和推进光纤到户等方面取得了积极成效。三是稳妥推进市场开放。截至目前,共有39家转售企业累计发展用户超过1500万户,宽带接入业务开放试点已覆盖26个省份61个城市。四是统筹编制专项规划。五是着力强化招投标管理。
篇(10)
计算机网络实验是计算机网络技术专业的核心课程,又是其他相关专业如电子信息、物联网、电子商务等专业的基础学科。计算机网络实验作为培养学生网络实践能力的有效方式和途径,它可以培养学生的动手能力、适应能力和创新能力[1]。这就从根本上决定了计算机网络实验教学在培养多个专业高职学生的职业能力中的重要地位。
目前计算机网络实验教学中存在的问题有:(1)实验内容设计不合理,实验教学内容与理论教学内容没有必然联系,因此实验教学不能起到帮助理解理论知识的目的;同时还存在不同的网络课程的实验内容重复;实验内容固定不变,没有随着网络设备的更新而更新实验内容[2];实验项目没有整体性,实验受实验设备和实验成本的制约,开设的实验有限、学生重复练习的机会少。(2)实验内容与任务驱动项目化教学缺乏关联;缺乏大项目小任务序列实验项目;课程都没有网络实验指导书,学生做实验没有依据;实验报告内容格式由任课老师自行设计;同时缺少学生课后练习的平台;(3)开出的实验项目存在着实验项目设置、复杂度设置由任课教师个人确定,通常存在合理性不强,实用性、创新性不够,基础型、应用型和综合型实验间层次不连贯,对实验所需硬件设备的要求投入大,不能体现先进性,教学质量监控不到位,实验开放性不大等问题。
在继续深入进行教学改革的探索中,打破专业、课程界限,构建模块化递进式的计算机网络实验教学体系,优化整合实验项目,更新实验内容,加大教学资源建设,革新教学手段,健全考核方式,全面提高教学质量,有其紧迫性。
本文针对计算机网络实验教学中存在的问题,提出了模块化递进式计算机网络实验教学体系,以苏州工业职业技术学院网络实验教学为例,对该实验教学体系进行研究与探索。从初步的实践情况来看,该教学体系的实施改善了本校的网络实验教学质量,提高了教师的实验教学水平,完善了实验室管理制度,创新了实验模式和考核评价方式,使计算机网络实验教学形成了一个较为合理的教学模式,在培养学生网络实验能力、提高学生的职业素养方面发挥了重要作用。
一、编排层次递进的计算机网络实验教学模块
1.打破课程界限进行实验项目的重组与整合
根据计算机网络技术实验课程的培养目标,专业教师与业界专家共同探讨梳理了网络技术实验项目。将不同专业、不同课程的实验项目按照实验技能进行分类,建立递进开放式实验教学体系。由基本技能训练项目到综合实验项目,再延伸到结合地方经济转型升级和网络技术发展前沿的设计性、创新性实验项目,组成序列,实施循序递进训练项目。将计算机网络各门课程,按“计算机网络基础”、“交换机路由器配置”、“计算机网络安全”、“实用组网技术”等课程的实验项目进一步优化整合。以项目式课程三个项目模块“组建宿舍网络”、“组建小型企业网络”、“中型校园网络”为依托,按网络基本实验、网络互联实验、服务器配置实验、网络安全实验、综合实验编排成五个模块;设计覆盖一门或多门课程教学内容的选做实验项目。
2.打破专业界限设计网络实验项目
打破专业界限,兼顾不同专业教学要求。如:计算机网络技术、计算机应用技术、信息管理以及物联网技术等专业学生对计算机网络技术的知识技能有要求。因此实验项目的设计涵盖多个专业的计算机网络基础、网络安全基础、服务器配置与管理、实用组网技术等多门课程实验教学内容。解决了因不同专业教学要求不同、开设实验不同所带来的差异以及对实验环境的要求不同所带来的问题。
3.结合模拟软件和虚拟机的创新网络实验项目
创新实验项目,充分挖掘现代技术为教学服务。充分利用现代信息技术,开发虚拟工厂、虚拟工艺、虚拟实验[3]。利用虚拟机和模拟器开设网络互联实验、服务器配置实验及网络安全实验等实验项目。如在一台真实的物理主机上运行多个虚拟主机,在不需要其他联网设备的情况下,虚拟主机之间的连网实现在同一台物理主机中虚拟主机和真机间组建网络、安装防火墙、实现远程访问等网络实验。利用Packet Tracer模拟软件,为学习者提供了直观的实验环境[4],对学生理解网络OSI七层模型概念提供便利的实验环境。它不但可以模拟交换机、路由器、集线器、无线设备、主机等设备,而且使用这些设备可以完成网络的设计、建立、配置、排故等网络模拟实验,并通过分析数据包在网络层间的传输情况模拟过程,进行网络原理实验教学。在模拟软件和虚拟机技术,为新型实验教学体系的构建提供了技术保障,使大部分网络实验变得简单易行,学生重复强化训练变为可能。
二、实施递进开放式网络实验教学模式
针对模块化的实验项目,设计网络实验的教学模式。(1)在课堂教学中采用递进训练法。由学生预习实验内容,指导教师示范演示,指导学生动手训练操作,按指导书进行实验训练,根据模拟软件和虚拟机特点完成设计创新实验;在计算机网络实验室,根据实验教学大纲开发示范演示实验、模拟实验多媒体教学软件。在课内基本技能训练熟练程度达不到规范要求的学生,利用课余时间强化训练;学有余力、愿意进行新的实验搭建和探究试验的学生申请在开放实验室完成。全面引进模拟软件和虚拟机技术,广泛使用计算机辅助实验教学软件和多媒体课件进行实验教学。(2)在课后采用开放式学生自主学习方式。学生除在实验室完成课内实验教学外,利用装有模拟器的个人电脑进一步作基本技能训练和创新性实验。在使用模拟软件完成的实验中,学生进行探索性学习,再移植到学校所提供的开放实验室进行真实环境的实验学习,大大提高了实验室设备的使用率。
三、建立模块化递进式计算机网络实验教学体系
根据人才培养目标、专业培养方案和课程教学目标,依据模块化递进式教学模式,设计实验项目;确定实验模式,采取实验手段,利用合适的实验方法和科学的实验评价,对照实验项目的要求,综合评价实验教学效果。
1.实验项目、任务的设计和选择原则
在实验项目、任务的设计和选择上,在坚持以实际网络工程项目和体现职业岗位能力为原则的大前提下,注意以下几点:(1)实验内容出现的先后与组网课程教学项目基本保持一致,兼顾知识的系统性,技能训练的实效性,以保证整个实验教学体系的系统性和完整性。(2)实验的方式和环境要求,根据具体实验内容和条件的不同,采用真实环境和模拟环境,物理设备和虚拟设备兼用。(3)充分发挥模拟软件的实时、模拟功能设计知识理解和技能训练实验内容。(4)实验项目设计考虑可扩展性,使学生有探究的空间[5]。
2.模拟化递进式计算机网络实验的教学内容
模拟化递进式计算机网络实验课程采取了“宽基础、活模块”的设计思路,“宽基础”为毕业生提供了可持续发展的机会,模块式的课程结构强化了专项技能,项目课程可使学生在与工作任务的联系中学习知识,掌握完整的工作过程[6],如图1所示。
3.实验教学质量保证体系
从多方面入手建立教学质量保证体系。由多名一线骨干教师共同编写实验大纲及实验指导教材,根据硬件设备及最新模拟软件进行设计实验项目;保证实验设备完好,保证模拟软件及虚拟机运行顺畅;加强网络教学资源及模拟实验课件的建设,利用教学平台实现学生随时随地可进行模拟实验;培养一支具有实践经验的实验教师队伍。狠抓实验教学规范,提高实验教学质量。定期对照课程教学计划、实验课计划安排表、实验教学记录、实验教学进度、学生实验报告、阶段综合实验情况等进行检查,及时总结、反馈。实验教学考核采用过程考核,根据学生实验操作规范性、成功率、完成时间、实验的理解及实验报告等进行综合打分。为实现全面提高计算机网络教学质量的目的,制定过程考核方案。基本评价指标有两项:实验过程与实验结果。评价体系包括组内成员互评、小组间互评和教师评价[7]。
四、结 语
计算机网络实验教学应该紧密结合生产实际,为地方经济建设发展服务,跟踪网络技术发展及产业转型升级前沿。以构建学生的必备基本技能为核心,以培养学生综合能力为主线,构建层次递进的计算机网络实验教学体系。在计算机网络实验教学过程中实施递进训练,建立与新的教学体系相适应的灵活、开放、创新教学模式,广泛使用计算机辅助实验教学软件和多媒体课件进行实验教学,推进虚拟、仿真实验与场景实验的结合,建立基于网络平台计算机网络虚拟实验,完善实验室管理制度和考核评价方式,可提高教师的实验指导能力,全面提高计算机网络实验教学质量。
参考文献:
[1] 李阳,尚鹏.关于计算机网络课程实践教学质量保证的思考[J].安阳工学院学报,2010,9(2):115-116.
[2] 李丽.网络课程群实验教学体系建设研究[J].科技创新导报,2012,(8):170.
[3] 徐挺,裴亚萍.以示范性高职院校为例谈人才培养模式的基本特征[J].教育与职业,2010,(6):11.
[4] 谭方勇,张燕,李金祥.基于虚拟仿真软件技术的计算机网络实验教学体系[J].计算机时代,2011,(11):51-53.
篇(11)
中图分类号TM7 文献标识码A 文章编号 1674-6708(2011)43-0075-02
Some Security Problem of the Network Information Systems of Electricity Systems
GU Fei,ZHANG Min
Chuzhou suburban Electricity Company limited CO LTD,Chuzhou 239000
Abstract With the diversity of internet users and internet have been sink into every area. Objectively, no one internet can abstain boring of safe. Electricity System is a form with single and large, but inner information is also hard to avoid any other safety issues. This essay carefully analysis every safety aspects of internet currently, and summarize which issues should abbey in electricity internet.
Keywords Network systems;Information security;Intrusion detection
社会在进步,各种技术发展突飞猛进,互联网亦然。一方面,随着全球各种人群的介入,网络黑客的各种手段攻击和入侵手段多样和密集;另一方面,各行各业与互联网的联系越来越密切,互联网信息成为关键的一环。网络安全以及网络数据信息的安全,正在成为与公司,政府,国防,以及个人的切身利益有重大关联的头等大事。没有任何一个网络能够免受安全的困扰,依据Financial Times曾做过的统计,平均每20s就有一个网络遭到入侵。仅在美国,每年由于网络安全问题造成的经济损失就超过100亿美元。
中国电力电网公司的行业特殊性导致电力系统分支庞大,很多分公司,供电所,电厂已经相配套的能源设施分布复杂,经常跨省跨地区,设置国外设置分公司,偏远山区的供电所,变电站多不胜数。电力公司总部,各公司各分支部门的业务网,信息网,收费服务网相互交叉,如何合理安排,如何合理连接,如何保证各部门高效安全进行信息交流和沟通是电力组网网络管理部门必须解决的头等大事。
省市一级的公司、总部规模一般都比较大,相应的业务组网都采用专用专线,通过租借网络运营商来连接总部,分部的业务信息等内网,在内部网络上进行内部的业务信息沟通,这种组网方式存在的问题在于组网贵,信息不安全,网络覆盖率差,很多偏远地方也没有能力让专线覆盖到,这些多公司的整体业务规划,运营模式都造成了很多反向影响。
网络安全系统是一个要求高可靠性和安全性的网络系统,若干重要的公文信息在网络传输过程中不可泄露,如果数据被黑客修改或者删除,那么就会严重的影响工作。所以安全产品的选型事关重大,要提到国家战略的高度来衡量,否则一旦被黑客或者敌国攻入,其代价将是不能想象的。
网络与信息安全平台的任务就是创建一个完善的安全防护体系,对所有非法网络行为,如越权访问、病毒传播、恶意破坏等等,做到事前预防、事中报警并阻止,事后能有效的将系统恢复。著名的木桶原理(木桶的容量由其最短的木板决定)在网络安全里尤其适用。所以,我们的方案必须是一个完整的网络安全解决方案,对网络安全的每一个环节,都要有仔细的考虑。所以网络安全系统方案必须遵循如下原则:
全局考虑:遵循中心统一调配,各单位分类分别监察的原则,水总是从最矮的环节漏出,全局整体考虑,不遗漏。
综合协调:网络安全不单靠技术措施,必须结合管理,在各地方建立网络安全设施体系的同时必须建立相应的制度和管理体系。
保持平衡:安全措施的实施必须以根据安全级别和经费限度统一考虑,保持协调。网络中相同安全级别的保密强度保持一致。
集中管理:所有的数据产品要求在数据中心进行集中管理,这样才能保证在中心服务器上可以掌握备份和处理全局敏感数据。
交叉控制:防火墙产品在管理上面不仅在数据中心可以完全控制外,在地方还需要分配适当的角色使地方可以在自己的权利下修改和查看防火墙策略和审计。
综上所述,一个好的网络安全解决方案应该由如下几个部分组成:
1)防火墙
网络防火墙是保证网络数据和控制安全的重要防线,阻隔网络黑客的恶意攻击。其主要作用是根据网络访问数据的来源和目的对访问数据流识别,禁止非法访问,放行合法数据流。其最大的意义就是筑起一道防护墙,提供统一的安全策略。降低管理成本和内在风险。所以设置安全策略是非常重要的
2)入侵检测
检测入侵就是通过扫描访问数据流里的某些特征字段,或者探测网络本身系统的异常,例如主机病毒等来发觉某些系统攻击。察觉异样就报警并作出相应处理,或者根据预定的处理步骤作出反应,例如隔断该数据流的IP,或者不返回数据。从某种意义上说,入侵检测不能完全精确的发现所谓的攻击痕迹。Hacker可以讲一些常用的网络攻击交叉,并行组合成另外形式的攻击,而入侵预防系统不可能把所有的攻击形式或者相变异的形式都概括进来。所以不能在思想上确定入侵检测系统是万能的概念,随时做好预防补救措施。
3)安全考核管理
该系统必须时刻检测网络中和主机系统,客户交换系统中各类与安全息息相关的事件,比如资料复制,资料外泄,文件删除、破坏,非法登录等,将这些情况真实记录,并能对重大违规行为及时中断。所有的这些手段就好像让罪犯留下证据,在后期处理时能够提供宝贵的侦破和取证数据,并防止被销毁和篡改。其后续步骤应该是根据证据和数据,跟踪下次违规行为并提前做出防范措施。经过多次学习剔除等,系统考虑做出记录什么样的数据已经在什么条件下记录等。
4)防病毒以及特洛伊木马
计算机病毒的危害不言而喻,计算机病毒发展到今天,已经和特洛伊木马结合起来,成为黑客的又一利器。微软的原码失窃案,就是一黑客使用特洛伊木马所为。
5)做好安全保密教育工作
网络安全的宣传普及,相关的防泄密保安全的措施的严格执行是保证公司内部安全的重要保障。做好重要文件和数据的隔段备份,也是信息安全的重要后补措施,防止恶意攻击和意外灾害带来的无可挽回性损失。
我们假设某电力系统整体结构是―通过WAN连接的二级网络,整个网络分为内网和外网两个网,内外网之间物理隔离。网络中心与下属7个分单位通过网络进行数据传输,在网络每一级的节点上具有一个局域网,在二级网络上运行着电力业务系统、办公自动化服务等,该网由网络中心和7个分单位组成。在给各局域网出入口安装防火墙。在关键部位安放入侵检测系统,而且所有的服务器和普通PC机需要安装防病毒软件。而且这些防火墙和入侵检测系统需要集中在数据中心进行管理和审计。对重要的数据和文件做好隔期备份,切实做好网络安全是高效完成经营业务的有效保证。
参考文献
[1]肖红亮.电力系统网络安全及其对策浅析[J].科技信息,2010(3).
[2]赵聪锐.数字图书馆的网络安全与防范对策[J].科技情报开发与经济,2007(13).
[3]马莉.基于防火墙病毒防护的计算机网络安全[J].科技资讯,2010(2).
[4]赵建平.信息安全风险及对策研究[J].科技情报开发与经济,2004(5).
[5]丁振波.浅论医院信息系统的安全管理[J].今日科苑,2009(6).
