时间:2023-05-15 16:08:38
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全培训技术范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
(一)安全规划为了能够使信息化建设顺利开展,医院必须要制定好全年的安全管理规划。在制定计划之前应该对国家刚刚出台的法律法规进行充分了解,例如十三五规划以及网络安全法中所提出来的信息安全要求以及战略,进一步制定有利于区域医联体,互联网医疗,互联网互通信共享平台医等网络安全互联策略,将相关的安全区域以及规则进行合理划分。另外医院还要对过去一年有关安全保护的措施进行整理,同时要对上级部门的检查结果进行适当的经验总结,根据已经发生的问题制定整改计划,其中主要包括本年度应该实行的长期整改方案以及完成工作的时间节点,有利于保证医院的安全建设计划更加清晰有效。
(二)制度修订与落实根据具体的整改和安全计划制定医院的安全管理制度,还要对当前已经实行的制度进行不定期的调整和审察。根据医院对实际发展情况的需求对其进行改善,最终由安全管理委员会对相关制度进行进一步的修订评审,完成之后需要通过信息中心进行信息的传递和,让在医院工作的所有人员都能够深刻了解具体安全管理的内容以及审批流程,这样可以有效地提高医院信息中心技术工作人员对操作的深刻了解。另外还可以对制度配套的记录单据以及审批过程进行进一步优化,保障网络准入、物理变更、人员管理、权限分配、数据统计等信息安全保护要求。
(三)安全培训要想进一步保证医院网络安全管理工作的落实,必须要对相关的工作人员进行安全意识的培训,在医院信息安全培训制度的引导下制定适合工作人员的培训计划,针对进修医师临床管理人员和新入职的员工要每年培训一次,同时在培训过程当中还要进一步强调密码安全、防病毒知识、风险上报等意识。对于信息技术人员来说,必须要要进行每年2~4次的技术以及安全意识培训。其中网络或者机房软硬件变更后,所掌握的故障以及问题处理和排查方式需要由培训中心提出,在进行安全意识培养的过程当中,主要内容是强化信息技术人员的职业道德意识。所有的安全培训过程都必须要实时准确的记录下来。
二、大型医院网络安全运维工作要点
大型医院的网络安全区域不可以只依靠一种防护措施,必须要进行差异性的防护,在内外网布置多台的安全设备,同时也要做好安全防护政策,在进行安全防护的时候,大型医院的网络安全设备比较多,安全策略需要及时调整,而且信息系统业务也比较复杂,所以必须要对相关环节进行实时监控,定期优化和巡检,保证医院网络安全防护手段能够始终发挥作用,从而有效的防控风险。
(一)安全巡检信息网络中心工作中,必须要做好巡检规范的书面文字记录,可以根据医院的安全管理制度做好记录,同时安排好工作人员的排班情况,每日都要对机房内设备环境数据库状态以及备份情况进行检查,同时还要将检查的结果记录下来,如果出现潜在风险,必须要及时反馈给管理人员进行解决。网络管理员还要通过现场巡视以及监控平台的方法对网络设备进行巡检,主要是对本地和异地所涉及到的备份内容进行验证和检查,特别是在非工作日以及节假日期间对重点设备进行备份,保证医院在全年任何时间段都可以正常运转。
(二)设备优化保证安全规划管理正常运行的基础上,要对网络安全设备以及储存设备进行优化,而且还要对磁盘阵列的CPU服务器以及内存存储空间进行适当地扩充,对于一些老化的线路和老旧的网络设备要及时更换,尽量延长网络设备的寿命,保证医院网络能够稳定应用。针对医院内网中的安全区间以及防火墙的策略以及性能要进行及时检查,以免影响工作,及时管理好网串联链路上的单点设备,保证互联网业务内外网之间的联系通畅。
网络安全基线是阻止未经授权信息泄露、丢失或损害的第一级安全标准。确保与产品相关的人员、程序和技术都符合基线,将有效提高政府的网络安全等级。网络安全基线应体现在采办程序的技术需求以及性能标准中,以明确在整个采办生命周期内产品或服务的网络风险。由于资源有限以及采办中风险的多样性,政府应采取渐进和基于风险的方法,逐步增加超越基线的网络安全需求。这种需求应在合同内清晰且专门列出。
开展网络安全培训
政府应对工业合作伙伴开展采办网络安全培训。通过这种培训向工业合作伙伴明确展示,政府正通过基于风险的方法调整与网络安全相关的采购活动,且将在特定采办活动中提出更多网络安全方面的要求。
明确通用关键网络安全事项定义
明确联邦采办过程中关键网络安全事项的定义将提高政府和私营部门的效率和效益。需求的有效开发和完善很大程度上依赖于对关键网络安全事项的共同认识。在采办过程中,不清晰、不一致的关键网络安全事项定义将导致网络安全不能达到最优效果。定义的清晰界定应建立在公认或国际通用的标准上。
建立采办网络风险管理战略
政府需要一个部门内普遍适用的采办网络风险管理战略。该战略将成为政府企业风险管理战略的一部分,并要求政府部门确保其行为符合采办网络风险目标。该战略应建立在政府通用的采办愿景基础上,并与美国家标准与技术研究院制定的“网络安全框架”相匹配。战略应为采办建立网络风险等级,并包含基于风险的采办优先次序。战略还应包含完整的安全需求。制定战略时,政府应将网络风险列入企业风险管理,并积极与工业界、民间和政府机构以及情报机构合作,共享已验证的、基于结果的风险管理程序和最佳经验。
加强采购来源的网络风险管控
中图分类号:TP393.18 文献标识码:A 文章编号:1671-489X(2009)06-0087-03
Research of Digital Campus Security System//Liu Changzheng, Teng Jianmin
Abstract Good application platform and sound business system are important in Digital Campus, But establishing a comprehensive security system to ensurethe whole system is safe, reliable operation is even more important. It researches from digital campus security system components, construction methods, which is of great significance to the digital campus of sustainable development and efficient operation.
Key words digital campus;security;system
Author’s address Bengbu Tank Institute Educational Technology Center, Bengbu, Anhui 233050
随着军队院校信息化进程的推进,校园网上运行的服务越来越多,数字化校园变得越来越庞大和复杂。校园网用户对信息系统的依赖性不断增加,因此对信息系统的服务质量也提出更高的要求,要求信息系统能够提供每周7×24小时的优质服务。如何保证信息系统的正常运行,如何能够以最少的投入来完成系统的维护,保证信息系统的服务质量,就成为军队院校信息化发展到一定程度时必须考虑的问题。同时,数字化校园也面临着一系列的安全问题,如会受到来自外部和内部的攻击、病毒困扰、非授权访问、重要信息泄露等问题,这些将影响整个数字校园系统的安全并带来极大的隐患。从总体上来讲,当前一般的校园网安全方案存在的问题是安全手段单一,没有覆盖整个校园网的各个层次、全方位的安全措施[1]。
结合蚌埠坦克学院数字化校园建设的实际情况,提出校园信息管理中心(DMC)的概念。作为学院信息化系统的枢纽,信息中心因存放大量的关键数据,与各个业务部门之间有着频繁的重要通讯。如何保证关键数据安全,保证各类数字化校园服务的安全运行,就成为信息中心一项最为重要的职责。然而,随着网络技术的发展,黑客攻击手段日益先进,而校园信息中心内的安全对象也不是简单系统,而是开放的、各类用户参与其中的、与学校和社会紧密耦合的复杂系统,攻击者可以只攻一点,而信息中心需要处处设防,这些都使得校园信息中心网络安全的复杂性大大提高。所以,单一的网络安全产品,或者各种安全产品、安全技术的简单堆砌,并不能保证网络的安全性能。只有在安全策略的指导下,建立有机的、智能化的网络安全保障体系,才能有效地保证校园信息中心内关键业务和关键数据的安全。
1 安全保障体系的组成
在多年实际工作的基础上,蚌埠坦克学院采用一种动态的、多方位的校园信息中心安全保障体系构建方法。
首先,网络安全保障体系应该是动态变化的。安全防护是一个动态的过程,新的安全漏洞不断出现,黑客的攻击手法不断翻新,而校园信息中心自身的情况也在不断地发展变化。在完成安全保障体系的架设后,必须不断对此体系进行及时的维护和更新,才能保证网络安全保障体系的良性发展,确保它的有效性和先进性。
网络安全保障体系构建是以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段,并通过安全培训加强所有人的安全意识,完善安全体系赖以生存的大环境。安全体系的组成如图1所示。
下面逐一描述安全体系的各个组成部分。
1)安全策略。安全策略是一个成功的网络安全体系的基础与核心。安全策略描述校园信息中心的安全目标(包括近期目标和长期目标),能够承受的安全风险,保护对象的安全优先级等方面的内容。
2)安全技术。常见的安全技术和工具主要包括防火墙、安全漏洞扫描、安全评估分析、入侵检测、网络陷阱、入侵取证、备份恢复和病毒防范等。这些工具和技术手段是网络安全体系中直观的部分,缺少任何一种都会有巨大的危险,因为网络入侵防范是一个整体概念。但校园信息中心往往经费有限,不能全部部署,这时就需要在安全策略的指导下分步实施。需要说明的是,虽然是单元安全产品,但在网络安全体系中它们并不是简单的堆砌,而是要合理部署,互联互动,形成一个有机的整体。
3)安全管理。安全管理贯穿整个安全保障体系,是安全保障体系的核心,代表安全保障体系中人的因素。安全不是简单的技术问题,不落实到管理,再好的技术、设备也是徒劳的。一个有效的安全保障体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实。安全管理不仅包括行政意义上的安全管理,更主要的是对安全技术和安全策略的管理。
4)安全培训。最终用户的安全意识是信息系统是否安全的决定因素,因此对校园信息中心用户的安全培训和安全服务是整个安全体系中重要的、不可或缺的一部分。
2 安全保障体系构建方法
2.1 制定安全策略基于数字化校园建设目标和建设思想的要求,结合蚌埠坦克学院信息化安全现状,制定符合
学院数字化校园分期建设规划对安全要求的相关策略[2]。要点:安全体系的近期目标是保证所有的机器都必须设防,能够抵御一般水平的黑客进攻;安全体系的远期目标是实现完善的安全审计和取证机制,保证受到入侵后有证可查,鉴于大多数安全事件来自于管理员的误操作,审计在明确事故责任上也能发挥重大作用;安全体系的长期目标是建立安全预警系统,能够抵御较高水平的黑客攻击。
2.2 安全技术的应用及安全工具的部署在安全策略的指导下进行安全工具和技术的部署,形成图2所示的直观的网络安全体系。
在校园网的入口架设千兆防火墙,并实现VPN的功能。在数据中心网络入口处建立第一层的安全屏障,VPN保证管理员在家里或出差时能够安全接入数据中心。利用防火墙的网段隔离功能,设置DMZ区。使用千兆入侵监测系统对信息中心内的所有数据流动进行实时检测入侵。使用认证服务器对数据访问进行统一的认证。实现网络防病毒功能,在信息中心建立病毒控管中心,为信息中心和办公网络提供防毒服务。根据功能将服务器划分成服务器群,使用多级防火墙实施进一步的保护:二级防火墙保护应用服务器群,三级防火墙保护数据库服务器群。使用安全日志及审计服务器保护关键日志,方便管理员管理,并作为取证的依据。
2.3 形成以系统管理员为核心的安全管理制度良好的网络信息安全保障离不开规范严谨的管理制度[3]。实践一再告诉人们,仅有安全技术防范,而无严格的安全管理体系相配套,是难以保障网络系统安全的。必须制订《防火墙安装规范》《防火墙运行维护规范》《安全检查规范》《日志管理规范》《补丁安装规范》《安全紧急事件响应规范》等安全管理制度及规范,对安全技术和安全设施进行规范化管理。
实现安全管理必须遵循可操作、全局性、动态性、管理与技术的有机结合、责权分明、分权制约及安全管理的制度化等原则。建立图3所示系统管理员为中心的日常安全管理流程,并根据日常的安全管理工作情况制定安全体系,以此来保证整个安全体系的动态性和有效性。
2.4 安全培训与用户服务最终用户的安全意识是信息系统是否安全的决定因素,因此对校园信息中心用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分,可以理解成为校园信息中心网络安全体系的生存土壤。特别是在目前病毒泛滥的大环境下,要通过定期培训、及时发放病毒警告通知、敦促大家打补丁等方法,坚持不懈地努力增强所有教职员工的安全意识,提高他们的安全防范技能。
3 结论
安全保障体系的建立不是一劳永逸的,数据中心自身的情况不断变化,新的安全问题不断涌现,必须根据情况的变化和现有体系中暴露出的一些问题,不断对此体系进行及时的维护和更新,保证网络安全保障体系的良性发展,确保它的有效性和先进性。图4显示了蚌埠坦克学院校园信息中心安全保障体系的动态发展过程。
参考文献
员工对IT安全政策的疏忽,以及对网络威胁的漠不关心是云安全最大的障碍之一。员工显然对安全问题缺乏充分的了解。调查显示,几乎2/3的企业将“员工缺乏网络安全知识”归结为最大的内部威胁,公司内仅有1/10的员工完全了解网络攻击实施的全过程。
近期思杰和波耐蒙研究所(Ponemon Institute)针对IT安全基础设施所展开的一项题为《全球调查:需要一种新的IT安全架构》的全球调查显示,超过一半(66%)的被访者表示,由于操作太过复杂,员工和第三方选择绕过安全策略和技术。事实上,这种复杂性更会加剧“影子IT设备或软件”的增多,它们不受IT管理员监管。
缺乏安全培训和安全意识不足常常导致两种截然不同的结果――知道自己遭遇了黑客入侵,以及完全不知道自己的网络被入侵。如果企业员工没有充分了解攻击是如何发生的,既没有采取措施保护数据安全,也不会对网络风险进行监控并向IT管理人员求助,那么遭受网络攻击的隐患就会一直存在。
企业怎样才能既让员工享有移动、高效、便捷的工作方式,又确保数据、应用和具备竞争优势的知识产权的存储安全?企业该如何提倡灵活、积极的IT安全管理文化,又该如何通过增加培训来提升员工的安全意识?
首先,要让员工成为安全卫士,而非安全隐患。
企业要确保把安全问题放在第一位,并使安全性要求牢牢植根于业务流程之中。安全要求需要嵌入到企业的日常运作中,让“人体防火墙”发挥作用,让员工成为安全解决方案,而不是安全隐患的组成部分。
严格说来,应该在公司制定从上到下的安全策略,让尽可能多的部门员工、利益相关方提出意见和建议,网络安全问题人人有责。集中开展安全讲座,每年应该组织一次以上的常规培训。
开展有趣的网络安全教育活动,数据泄露事件与社会工程学事件和鱼叉式网络钓鱼攻击有关。网络钓鱼攻击通常是电子邮件钓鱼,骗取受害者点击恶意链接。有些企业据此“定制”了假的钓鱼邮件,将邮件发送给员工,使IT团队能够了解哪些员工更容易受到攻击,从而为这些员工提供额外的培训,帮助他们了解如何发现更复杂的欺诈和骗局。思杰 (Citrix) 公司大中华区总裁曹衡康表示:“我们提倡企业有责任为所有员工提供必要的工具、指导和培训,以提升员工保护企业安全的主观能动性。通过提供认证、全面的课程培训,以及免费的学习机会,提高员工识别潜在攻击并及时做出响应的能力。”
其次,要激励员工守护企业网络安全。
进一步说,企业还应该让员工更加积极地参与到抵御安全攻击、维护网络安全的日常工作中去。明智的企业应该让员工树立安全观――安全是发展的前提,也是发展的保障,员工必须帮助企业保护知识产权等数据安全,与企业共筑网络安全防线。
与此同时,树立持久的安全保护意识,提倡员工学习安全知识,让员工感到网络安全防护能力对个人成长至关重要。比如,此前提到的用“伪造”钓鱼邮件“模拟”安全攻击,就是帮助员工提升安全意识的一种方式,旨在培养员工识别潜在攻击的能力。
这种模拟安全攻击是行之有效的培训工具,既可以测试企业员工遇到威胁、受到攻击时的反应,也可以作为一种互动式的员工培训活动。向员工介绍最佳实践和安全做法,激励员工创造一种自然抵制安全威胁的公司文化,减少大规模安全事件的发生几率。
这种方法同时能够赋予企业员工更大的预防攻击的责任,每个人都可以养成相应的安全习惯和意识,共同推进和保护企业网络安全。
最后,要自下而上保护数据安全。
员工的安全意识很重要,但采取协作和移动办公的新员工们,不仅需要培养安全防护知识,更应该获得具有保障的技术基础设施,以确保应用、数据等安全。没有这样的IT安全基础设施,任何“有安全意识的”企业文化本质上都是脆弱的。
【分类号】:TM73
二十一世纪是一个信息的时代,随着电网规模的扩大和改革的深入,企业各部门之间、企业和社会之间信息的交换也更加频繁,对信息的及时性、准确性和可靠性的要求越来越高。因此,基于当前安全机制下,电力公司对信息管理要求也将越来越高。
一、电力企业信息网络系统存在的安全问题
随着电力企业互联网的发展,其信息网络的安全也日益尖锐。网络的信息安全是一种涉及了通信技术、计算机技术、信息安全技术、密码技术等多种技术的边缘综合性学科,国际标准化组织把信息安全定义为“信息的完整性、可用性、可靠性及保密性”,但因其是新生事物,人们接触它主要忙于工作、学习和娱乐,对于它的安全性,则无暇顾及,从下到下普遍存在侥幸心理,没有形成主动防范、积极应对的意识,所以很难从根本上提高网络监测、抗击、防护等能力。
其次,在整体运行管理过程中,有关信息安全的政策、手段都存在问题,如因互联网复杂多变,网络用户对此缺乏足够的认识,在未进入安全状态时就急于操作,导致敏感数据暴露,使系统遭受了风险;还有很多用户都越来越以来“银弹”方案,即加上防火墙或者加密技术,使用户产生了虚假的安全感,丧失了警惕。
还有,不少单位没有从管理制度上建立相应的安全防范机制,在整个运行过程中,缺乏行之有效的安全检查制度,这些不完善的制度滋长了网络管理者和内部人士自身的违法行为。
二、当前电力公司网络信息安全的技术手段
而随着电力体制改革的不断深化,计算机网络将承载着大量的企业生产和经营的重要数据。所以,保障计算机网络信息系统安全、稳定运行至关重要,目前确保电力公司信息安全技术有如下几种:
1、 防病毒技术
计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序,其在网上的传播极其迅速,且传播具有相当大的随机性,从而增加了网络防杀病毒的难度,所以,这就要求做到对整个网络集中进行病毒防范、统一管理,在预定时间自动从网站下载最新的升级文件,并自动分发到局域网中所有安装防病毒软件的机器上。
2、入侵检测技术
入侵检测是对入侵行为的发觉,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
3、风险评估技术
风险评估是网络安全防御中的一项重要技术,其原理是根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查,它包括了网络模拟攻击,漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等功能,帮助用户控制可能发生的安全事件,最大可能的消除安全隐患。
除了上述几种技术之外,还有一些被广泛应用的安全技术,如虚拟专用网VPN技术、虚拟局域网VLAN技术、身份验证、安全协议等,网络的信息安全是一个系统的工程,只有根据实际情况、综合各安全技术的优点,才能形成一个由多种安全技术构成的网络安全系统。
三、电力企业网络安全防范措施
1、完善网络信息安全的管理机制
首先,网络与信息安全需要制度化、规范化,将网络信息安全管理纳入到安全生产管理体系中,制定相应的管理制度,比如建立用户权限管理制度、网络信息安全管理制度、病毒防范制度等,这一旦形成,就必须严格执行,保证落实。同时,明确网络与信息安全体系的四个关键系统,即安全决策指挥系统、安全管理制度系统、安全管理技术系统和安全教育培训系统,实行企业行政正职负责制,明确主管领导部门职责。
2、强化企业内部人员安全培训
根据企业性质与人员的职责、业务不同,将安全培训分成三个不同的层次,即初级、中级和高级,初级培训可针对全部人员,主要强化员工安全意识和责任;中级培训对象一般包括高层领导、技术管理人员、合同管理者等,培训内容包括安全核心知识、风险管理、资源需求与合同需求。高级安全培训的人群包括信息安全人员、系统管理人员,内容主要包括操作/应用系统、协议、安全工具、技术控制、风险评估、安全计划和认证与评估,旨在提高企业的整体安全管理。
综上所述,企业必须充分重视网络信息系统的安全威胁所在,制定保障网络安全的应对措施,落实严格的安全管理制度,才能使网络信息得以安全运行。
参考文献
中图分类号:TN8 文献标识码:A
1局域网安全形势分析
随着社会经济的飞速发展,人们对生活质量的要求也越来越高。互联网的迅速普及,使广域网应用和局域网应用成为企事业发展中不可缺少的一部分。然而,在感受网络所带来的便利的同时,也面临着各种各样的进攻和威胁:机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等等。目前在广域网中已有了相对完善的安全防御体系,防火墙、防毒墙、IDS等重要的安全设施大致集中在机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。但在局域网中,虽然有些企业也建立了相应的局域网络安全系统,并制定了相应的网络安全使用制度,但在实际使用中,并未起到较好的效果。由于用户对操作系统安全使用策略的配置及各种技术选项意义不明确,各种安全工具得不到正确的使用,导致系统漏洞、违规软件、病毒、恶意代码入侵等现象层出不穷。针对来自网络内部的计算机客户端缺乏必要和有效的安全管理措施,导致未经授权的网络设备或用户就可能通过局域网的网络设备自动进入网络,形成极大的安全隐患。目前局域网的安全隐患正是来自网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏则增加了安全问题的严重程度,局域网安全形势十分严峻,不可忽视。
2局域网安全隐患分析
由于局域网的结构和采用的技术比较简单,仅包括少数网络设备,安全措施相对较少,这给病毒传播提供了有效的通道,为数据信息的安全埋下了隐患。通常局域网的安全威胁有以下几类:
2.1漏洞和黑客攻击
由于局域网的主要功能就是资源共享,而正是由于共享资源的“数据开放性”,导致系统存在很多漏洞,黑客就是利用了这些系统漏洞对系统进行攻击,对数据信息进行篡改和删除。最常用的手段就是冒充一些真正的网站来骗取用户的敏感数据,如用户名、口令、账号ID或信用卡详细信息等。由于用户缺乏数据备份和系统管理等方面的安全意识和安全手段,因此经常会造成数据丢失、信息泄漏等问题。
2.2病毒威胁
由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。病毒和恶意代码攻击电脑后,轻则使系统工作效率下降,重则造成系统死机或瘫痪,使部分文件或全部数据丢失,甚至造成计算机硬件设备的损坏,严重影响正常工作。
2.3 用户安全意识不强
许多用户使用移动存储设备来进行数据传递,经常将外部数据不经过必要的安全检查就通过移动存储设备带入内部局域网,同时将内部数据带出局域网,这给木马、蠕虫等病毒的进入提供了方便,同时也增加了数据泄密的可能性。另外一机两用甚至多用情况普遍,笔记本电脑在内外网之间频繁切换使用,许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用,造成病毒的传入和机密信息的泄露。
3局域网安全控制分析
3.1人员网络安全培训
网络安全是个系统,它是一个汇集了硬件、软件、网络、人员、协议等诸多元素的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上。而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,注意管理方式和实现方法,从而加强工作人员的安全培训,增强内部人员的安全防范意识,提高内部管理人员整体素质。对于局域网内部人员可以从以下几方面进行培训:
3.1.1加强安全意识培训,让每个工作人员明白数据信息安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任。
3.1.2加强安全知识培训,使每个计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地数据,保证本地数据信息的安全可靠。
3.1.3加强网络知识培训,通过培训掌握一定的网络知识,能够掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。
3.2 局域网安全技术和防控措施
网络安全管理是指保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作最重要的部分是客户端安全,对网络安全运行威胁最大的也是客户端安全。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全问题的关键所在。
[关键词]企业;信息化建设;网络安全管理
doi:10.3969/j.issn.1673 - 0194.2017.10.040
[中图分类号]F270.7 [文献标识码]A [文章编号]1673-0194(2017)10-00-01
0 引 言
在互联网时代,企业应用网络信息技术和计算机技术,逐步建立了网络信息化平台,以对海量信息数据进行有效收集,为企业的运行和发展提供有效依据。但是企业在信息化建设中还存在一些问题,其中一个严重的问题就是,企业信息数据容易遭受到网络攻击或窃取,即网络安全问题。这些问题的存在,非常不利于企业的信息化建设,不利于企业的进一步发展。因此,相关人员需要对企业在信息化建设中存在的网络安全管理问题以及解决方法进行研究和分析,以全面提高企业信息化建设的质量和水平,更好地推进企业的进步与发展。
1 企业在信息化建设中存在的网络安全管理问题
1.1 外部因素
时代的发展和社会的进步使网络信息安全问题日益严重。例如,企业在进行市场竞争时,需要获得大量准确的信息并保证其安全,但一些不法分子应用网络攻击和非法链接等方式@取企业内部大量信息,并将此类信息在市场中出售牟利,这种情况的出现加剧了企业网络信息安全问题的程度。
1.2 内部因素
企业在信息化的建设过程中,没有对自身的网络信息安全问题给予足够的重视,因此,没有采用高质量的信息安全管理模式,进行有效的网络信息防护,使网络黑客应用网络病毒和信息窃取手段,轻易获取企业内部的各种信息数据。同时,企业内部工作人员也没有受过良好的网络信息安全培训,在应用中存在操作不规范等问题,导致企业的信息安全受到严重威胁。
2 提高企业网络安全管理水平的方法
2.1 加强企业信息化系统的管理
企业需要在信息化建设中加强对信息化系统的管理质量和水平,提升企业网络安全管理的效率。具体来讲,首先,企业需要树立起网络安全管理的意识,对工作中存在的网络安全问题及时处理,建立完备的网络安全管理平台,对企业运行发展中的重要信息数据进行集中性保存。其次,定期对企业员工开展网络安全培训工作,提升员工信息化系统规范操作的能力,对重要信息进行加密处理,并做好多重备份工作。最后,企业员工应定期使用网络安全软件对操作环境进行检查,有效处理和抵御各类网络病毒的攻击和入侵。
2.2 应用有效的数据信息加密技术
企业需要应用有效的数据加密技术,提升网络信息管理质量和水平,保障网络信息的安全,更好的开展企业信息化建设工作,为企业的进步和发展打好基础。第一,企业需要有效的应用链路加密、节点加密、端对端加密等多种技术,提高企业网络信息加密的强度,为重要的业务数据和信息做好保护。第二,企业需要在应用网络信息数据加密技术的同时,对重要数据信息进行切实有效的存储,使其具有完整性,为提升企业数据信息安全水平打好基础。
2.3 部署高质量的安全防护软件
企业需要合理应用各类的防护软件,提升自身网络信息安全的强度。例如现在已经普遍应用的360安全卫士、腾讯电脑管家、金山毒霸等,合理应用可以提高企业整个网络信息安全管理的质量,同时对外部的非法链接进行有效抵制,对网络病毒攻击和入侵进行有效预防。
2.4 设置必要的安全管理权限
企业需要依据自身的需求,建立严密、分层的安全管理权限系统,对登录到系统中的用户进行严格的管理权限设定。通过这种方式,使操作系统或应用系统的用户,需要掌握不同的权限密码才能进行不同权限的操作、进行数据信息的获得,然后进行这些数据信息的应用。
2.5 配置防火墙和访问控制模式
企业在信息化建设中需建立高效的防火墙系统,设置专业化访问控制模式,提升网络信息安全能力,有效抵御各种网络风险,保障企业的内部网络安全。
2.6 信息隐藏模式的有效应用
企业可以有效应用信息隐藏技术,提高网络信息安全质量和水平,保障信息及数据安全。例如,采用高效的编码修改方法进行数据嵌入,如矩阵编码,其可减少修改幅度;扩频嵌入,其使编码更加专业化、高级化、复杂化,很难进行破译,降低密文信号的能量,使其不易被检测到,增强信息的安全性和保密性。这些模式有利于企业对各种网络攻击进行有效抵御,保障企业信息化建设的稳定性和安全性,实现企业应有的经济效益和社会价值。
3 结 语
对企业信息化建设中网络安全管理问题进行分析,有利于企业应用各种有效的方法,提高企业网络安全管理的质量和水平,保障企业网络和信息管理的安全性,最终为企业实现良好的信息化建设做出重要贡献。
主要参考文献
[1]程华.对企业信息化建设中的网络安全管理问题探讨[J].民营科技,2016(1).
引言
在互联网时代,企业应用网络信息技术和计算机技术,逐步建立了网络信息化平台,以对海量信息数据进行有效收集,为企业的运行和发展提供有效依据。但是企业在信息化建设中还存在一些问题,其中一个严重的问题就是,企业信息数据容易遭受到网络攻击或窃取,即网络安全问题。这些问题的存在,非常不利于企业的信息化建设,不利于企业的进一步发展。因此,相关人员需要对企业在信息化建设中存在的网络安全管理问题以及解决方法进行研究和分析,以全面提高企业信息化建设的质量和水平,更好地推进企业的进步与发展。
1企业在信息化建设中存在的网络安全管理问题
1.1外部因素
时代的发展和社会的进步使网络信息安全问题日益严重。例如,企业在进行市场竞争时,需要获得大量准确的信息并保证其安全,但一些不法分子应用网络攻击和非法链接等方式获取企业内部大量信息,并将此类信息在市场中出售牟利,这种情况的出现加剧了企业网络信息安全问题的程度。
1.2内部因素
企业在信息化的建设过程中,没有对自身的网络信息安全问题给予足够的重视,因此,没有采用高质量的信息安全管理模式,进行有效的网络信息防护,使网络黑客应用网络病毒和信息窃取手段,轻易获取企业内部的各种信息数据。同时,企业内部工作人员也没有受过良好的网络信息安全培训,在应用中存在操作不规范等问题,导致企业的信息安全受到严重威胁。
2提高企业网络安全管理水平的方法
2.1加强企业信息化系统的管理
企业需要在信息化建设中加强对信息化系统的管理质量和水平,提升企业网络安全管理的效率。具体来讲,首先,企业需要树立起网络安全管理的意识,对工作中存在的网络安全问题及时处理,建立完备的网络安全管理平台,对企业运行发展中的重要信息数据进行集中性保存。其次,定期对企业员工开展网络安全培训工作,提升员工信息化系统规范操作的能力,对重要信息进行加密处理,并做好多重备份工作。最后,企业员工应定期使用网络安全软件对操作环境进行检查,有效处理和抵御各类网络病毒的攻击和入侵。
2.2应用有效的数据信息加密技术
企业需要应用有效的数据加密技术,提升网络信息管理质量和水平,保障网络信息的安全,更好的开展企业信息化建设工作,为企业的进步和发展打好基础。第一,企业需要有效的应用链路加密、节点加密、端对端加密等多种技术,提高企业网络信息加密的强度,为重要的业务数据和信息做好保护。第二,企业需要在应用网络信息数据加密技术的同时,对重要数据信息进行切实有效的存储,使其具有完整性,为提升企业数据信息安全水平打好基础。
2.3部署高质量的安全防护软件
企业需要合理应用各类的防护软件,提升自身网络信息安全的强度。例如现在已经普遍应用的360安全卫士、腾讯电脑管家、金山毒霸等,合理应用可以提高企业整个网络信息安全管理的质量,同时对外部的非法链接进行有效抵制,对网络病毒攻击和入侵进行有效预防。
2.4设置必要的安全管理权限
企业需要依据自身的需求,建立严密、分层的安全管理权限系统,对登录到系统中的用户进行严格的管理权限设定。通过这种方式,使操作系统或应用系统的用户,需要掌握不同的权限密码才能进行不同权限的操作、进行数据信息的获得,然后进行这些数据信息的应用。
2.5配置防火墙和访问控制模式
企业在信息化建设中需建立高效的防火墙系统,设置专业化访问控制模式,提升网络信息安全能力,有效抵御各种网络风险,保障企业的内部网络安全。
2.6信息隐藏模式的有效应用
企业可以有效应用信息隐藏技术,提高网络信息安全质量和水平,保障信息及数据安全。例如,采用高效的编码修改方法进行数据嵌入,如矩阵编码,其可减少修改幅度;扩频嵌入,其使编码更加专业化、高级化、复杂化,很难进行破译,降低密文信号的能量,使其不易被检测到,增强信息的安全性和保密性。这些模式有利于企业对各种网络攻击进行有效抵御,保障企业信息化建设的稳定性和安全性,实现企业应有的经济效益和社会价值。
3结语
对企业信息化建设中网络安全管理问题进行分析,有利于企业应用各种有效的方法,提高企业网络安全管理的质量和水平,保障企业网络和信息管理的安全性,最终为企业实现良好的信息化建设做出重要贡献。
主要参考文献
[1]程华.对企业信息化建设中的网络安全管理问题探讨[J].民营科技,2016(1).
[2]李永湘.企业信息化建设中的网络安全问题研究[J].科技资讯,2016(8).
2系统漏洞威胁网络安全
只要是网络系统,都难免存在一定的漏洞,诸如我们常用的Win-dows系统就存在一些问题。此外,盗版系统软件也存在一定的系统漏洞,在进行网络管理时因为疏于重视也常常导致网络系统漏洞问题。
3针对计算机网络安全问题采取的防范措施
3.1培养网络人才,增大投入,积极开发网络技术
国家要适应当前的网络发展现状,积极投入,大力培育网络技术人才,不断开发先进网络技术,只有有了丰富的人才资源,不断创新技术,才能具有强大的技术威慑,及时制止网络破坏。
3.2增强网络安全意识,强化网络管理
当前,网络安全问题大多是由于人为的操作失误导致的,网络安全关键还是要加强管理,增强网络安全的意识,所谓加强管理,不是空话,就要在以下几个方面加大管理力度。首先要加强密码的设置工作,计算机设备和主机都要相应进行密码设置,密码设置要趋于复杂化,这样就不易被破解,而且还要做到定期更换密码。其次,要设置控制路由器的访问权限,经过多中权限密码的设置,通过权限设置,不仅保护了计算机拓扑结构,而且有利于路由器自身安全,有利于保护计算机系统安全,防止非法IP的登录活动。
3.3积极了解网络攻击方式,对症下药
要从根本上解决网络安全问题,就要积极的对网络攻击进行深入了解,以了解其攻击途径。分析其攻击方式,不外乎几种主要方法:通过公开的工具或者协议来进入系统,将主机的各种信息进行收集,或者通过合法协议,进行计算机网络信息的采集。
3.4在网络设备上设置防护安全措施,构建一个全方位的防卫体系
通过对每台设备进行安全防护的设置,可以有效的抵御安全威胁,将危险隔离在系统安全之外。对交换机的VLAN设置进行设置,达到用户与系统的分离;划分路由器及交换机的网段,做到系统与用户的有效隔离;为了防止DOS对系统产生危害,一定要合理设置防火墙。有效的安全防护技术还有以下几个:身份验证、防火墙、加密杀毒技术、访问控制及入侵检测技术等。
3.5有效加强安全防护的管理手段
科学化、合理化的网络管理是网络安全管理的首要任务,只有做到科学管理才能有效增加网络的安全性增强。通过管理主干交换机等重要网络设备实现安全管理;合理铺设网络通信线路、埋设重要线路,记录好其对应线路;终端网络设备要落实到人,严格控制,防止人为原因造成安全问题。此外,加强网络安全管理就要有一套科学的安全管理制度,定期对网络管理人员和网络用户进行安全培训,同时要加强网络用户的安全意识。同时,要有应急措施应对网络安全事件,为防止数据丢失,要建立数据恢复和备份的有利保障体系。
亨达集团先后被评为 “贵州省通信行业协会副理事长单位”、“贵州省通信体育协会副主席单位”,连续五年被省工商行政管理局评为“重信用、守合同”单位,并获得“全国十佳诚信单位”称号。目前已建成了集网络信息安全监控、网络攻防演练、信息安全培训、软件开发以及信息安全产品测评认证于一体的信息化综合服务保障平台。
亨达集团自2011年底取得等级保护测评资质以来,配合贵州省公安厅推进信息系统等级保护测评工作,开展了近百家单位共计500多个信息系统的安全等级保护测评,包括贵州省财政厅、贵州省统计局、贵州省交通厅、中国工商银行贵州分行、中国建设银行贵州分行、贵阳银行、贵阳海关、贵州省农村商业银行、遵义商行、贵州省人民医院、贵州省肿瘤医院、贵阳医学院等各大单位重要信息系统。
据网络安全巨头Cisco估计,全球有100多万个安全类岗位空缺。2015年,ISACA(国际信息系统审计协会)的一份报告显示,86%的被调查人员认同网络安全是一个人才紧缺的行业这一说法,只有38%的人感觉自己已经准备好应对复杂的数字攻击。
“网络安全人才正面临严重缺乏的状况,这也是在过去几年间,我们看到信息安全事故频发的主要原因之一。”ISACA网络安全顾问委员会的主席兼网络安全公司White Ops的CEO Eddie Schwartz说道。
Schwartz表示,网络安全专业人才的稀缺始于本世纪初。学校、网络行业对中等水平网络安全人才教育的关心导致尖端人才得不到培养,从而进一步加剧了人才紧缺的状况。其后果是,对已知漏洞的修修补补、安装防火墙和杀毒软件成了维护信息安全的首要措施,很少有人再去关心是否需要革新技术以对抗越来越复杂的网络安全袭击。“如果全世界面临更高级的威胁,当下大部分的合规框架都不足以用来保卫我们的安全。”Schwartz说。
同样缺乏的还有精通“白帽黑客技术”的专业人士。所谓白帽黑客技术,就是指运用恶意黑客的手段,进行安全检查来发现漏洞的技术。“在这方面我们还没有系统的教育体制,”科罗拉多安全公司Coalfire的副总裁Mike Weber说,“也没有特定的职业晋升道路能够发掘出这类人才。”
另一大挑战是,如果想大学毕业直接进入网络安全行业工作,也比较困难。大学毕业生往往需要在科技行业工作一段时间,积攒足够的经验才能判断出系统漏洞可能存在的区域。
“想要确定错误的所在位置,就得分析出如果是自己,会在哪里犯错,”Weber说,“这类工作相当于逆向工程,而一个人只有在掌握了正向工程的技术后,才能进行逆向工程。”
为了帮助填补安全领域所缺人才,包括ISACA在内的不少公司和大学都开始提供实习培训课程,专业培养白帽黑客技术人才。
佛蒙特州的诺威治大学是全美最古老的私立军事学校,该校提供相应的大学水平课程,以及网络安全领域的证书课程,教授学生计算机取证与漏洞管理等知识。“我们的安全检测实验室在很多年前就成立了,当时是应一家大型公司的要求,帮助他们对内部IT员工进行安全检测培训。”诺威治大学信息安全与保障硕士生学位项目的负责人Rosemarie Pelletier说道。
诺威治大学接收的学生主要分为两类:一是安全行业的专业人士,想要提升自己的技能水平;二是退伍官兵,想要学习一门技术来回归平民生活。诺威治大学的网络安全专业毕业生很少有找不到工作的。
Offensive Security因开发了专注培养道德黑客的操作平台Kali Linux而闻名业内,这家公司目前又上线了自己的培训与证书项目,并提供实习机会,而不仅仅是考试过关即可。
“我们认可的基础水平是通过一项24小时的测试,”Offensive Security的总裁Jim O’Gorman说道。“学员连入一个网络,该网络中存在一定数量的系统。我们会给学员制定一系列任务,学员要么选择完成,要么干脆别做。之后,学员需要写一份文档来解释这些结果,我们的导师会根据一部分确定的评分标准,以及与学员的交流进行打分,最终只有通过与不通过两种成绩。”
