时间:2024-01-08 11:20:35
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全管理策略范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
1 引言
如今,经济迅速发展带动网络技术的发展,企业网络化管理被广泛应用,给企业内部、企业与外界的联系以及企业的管理带来了便利,业务的灵活性被企业经营者广泛关注,同时也发展了企业信息网络。一系列诸如生产上网、办公自动化、远程办公以及业务上网的新的业务模式得到了开发与发展。但是与此同时,网络环境下的企业安全问题引发了管理者的担心,能否创建安全稳固的企业网络是企业管理者最为看重的问题,也逐渐变成一个企业能否正常运转的前提。因此,运用切实可靠的网络安全管理方法、提高网络的安全防护能力已经企业一个重要研究的内容。
2 影响企业网络安全的因素
网络安全关系到许多方面,不但涉及到网络信息系统自身的安全问题,而且囊括逻辑的和物理的技术策略等。WWW、TCP/IP、电子邮件数据库、数据库是当前企业网络通用标准和技术,其广域连接采用多种通信方式,大部分单位的系统被覆盖。行业内部信息存在于企业网络的传输、处理和存储各个环节。这些信息资源的保护和管理以及确保企业网络内部的各种信息在各个环节保持信息的完整、真实和防止非法截获非常重要。
影响企业网络安全的因素既有软硬件的因素,也有人为的因素,既有来自网络外部的,也来自网络内部的,归结起来主要有几方面。
2.1 网络硬件的安全隐患
网络中的的拓扑结构还有硬件设备两者均有对企业网络安全造成威胁可能,如一种硬件设备路由器的安全性较差的原因是其自身性能差。
2.2 软件缺陷和漏洞
在企业网络中有各种各样如应用软件、操作系统的软件,这些软件都有存在漏洞或缺陷的可能,而狡猾的黑客正是利用这些漏洞或缺陷从中获利,企业也由此蒙受巨大的损失,这样的例子在现实生活中层出不穷。比如,一些不为人知的软件研发者为了个人原因(升级或自便)而设置的“后门”,黑客一旦破解打开这些“后门”,便可以肆虐的操作,完全控制用户计算机,篡改数据,后果不堪设想,损失更是不可估量;又如以方便快捷应用为目的的TCP/IP协议为网络系统普遍应用,但是其并没有对安全性进行全面估计考虑,更是在认证和保密措施方面做得非常欠缺,若是一些IT高手对此很了解,便可以轻松利用其缺陷攻击网络。
2.3 计算机病毒与恶意程序
网络被普遍应用和告诉发展的时代,病毒传播的主要途径是网络。一些企业的内部网络很容易被蠕虫、病毒侵入,其特点是范围广、变化快、种类多、传播速度快、破坏性大,其破坏性是巨大的。在网络安全领域,病毒问题一直难以从根本上解决,原因总结为两点:其一,技术原因,杀毒软件总是在病毒出现后给用户或是企业造成巨大损失后更新,滞后性和被动性不言而喻;其二,用户的安全防范意识不高,对病毒的了解不够,不主动安装杀毒软件,或是不及时升级杀毒软件,给传播病毒提供了机会,巨大的威胁了网络安全。
2.4 网络入侵
网络人侵的意思是网络攻击者在非授权的情况下获得非法的权限,并通过这些非法的权限对用户进行非法的操作,获得网络资源或是文件访问,入侵进入公司或是企业内部网络,极大地危害计算机网络,给社会带来巨大财产或是信息损失。
2.5 人为因素
用户安全意识淡薄,企业内局域网应用不规范。企业内网在实际运行中没有限制,木马、病毒等破坏性信息在p2p下载过程中传播到企业内网中,系统的安全应用收到影响;接入网络没有很好地限制,如没有限制接入的人员、时间方面,随意、随时上网不但容易使系统容易传染上病毒,还有信息泄露、丢失的可能;不完善的专用虚拟系统安全防范措施;管理措施不到位;复杂的用户人群,很多不是本系统专业的工作者,约束和监管困难;卫星信号很容易就被泄密,在空中传输无限信号的过程中,无线信号很容易被黑客截获并利用;在很多企业中,没有制定规范的管理网络和生产网络的隔离措施,一旦管理网络沾染病毒,生产网络也很容易被传染。
2.6 其它的安全因素
威胁网络安全的因素还有很多,比如,传输过程中的数据很容易被电磁辐射物破坏;非授权的恶意删除或攻击数据、破坏系统;非法窃取复制或是盗用系统文件、资料、数据、信息,导致企业或是公司泄密等,其后果非常严重。
3 企业网络的安全管理
企业网络安全管理是保证网络安全运行的基石,一些人为因素导致的网络安全问题可以通过加强和敦促管理工作可以尽最大可能的避免。企业应把建立健全企业网络安全管理制度作为安全管理的重点,制定系统的安全管理方案,采取有效切实的管理政策。
企业的网络管理主要从几点努力。
3.1 健立健全企业规章制度
要保证网络的相对安全,就务必制定详细系统的安全制度,了解并认识网络安全的重要性,一旦出现网络安全事故,其相应处罚力度就必须严格按照处罚条例执行到位,绝不能姑息手软。为了做到切实保证企业的机密不泄露,建立对应的详细的安全保密制度势在必行,管理者还要经常不断检查制度的实施情况。记录出现违规的人员及情况、相应处罚情况、检查的结果报告,做到今后有据可循,为以后出现类似情况提供管理依据。
3.2 树立员工网络安全意识
网络安全工作要想做好,树立企业工作人员的信息安全意识是首要任务,只有员工切身真正认识到信息安全对企业发展和前进的重要性,才能切实在实际工作中重视起来。企业要实常加强员工相应的信息安全的知识培训,采用各种形式来增强员工的网络安全意识,促使员工养成健康的使用计算机的习惯。
4 企业网络安全防护措施
为了使企业网络保持安全状态,企业网络的安全防护措施必须与其具体需求要相结合,整合各种安全方案,创立一个多层次、完整的企业网络防护体系,在为企业网络安全设计防护措施时,应主要从几点考虑:其一是要选择进行安全策略的工具,但安全风险是不可避免的也是必须承担的;其二是要注意企业网络的可访问性以及安全性平衡的保持;其三是考虑安全问题是在系统管理的多个层次、多个方面都存在的。在企业网络中,主要有几种安全防护的措施。
4.1 防火墙技术
防火墙技术是当下一种被广泛应用的也是最为流行的网络安全技术,其核心主题是在外界网络环境不安全的大前提下创建一个相对安全有保证的子网。防火墙能实时监测进出于企业网络的通讯交流数据,允许安全合法的访问的数据和计算机进入到企业网络的内部,把非授权的非法的数据和计算机挡在网络,企业内网及特殊站点应限制企业一般人员或是无关人员访问,最大可能地阻止外部社会网络中的黑客访问链接企业内部的网络,阻止或是制止他们复制、篡改、破坏重要的或是机密信息。所以,防火墙是一道屏障,是在被保护的企业内部网络和社会外界网络之间设置的,在网络内部网络合外部非授权的网络之间,企业内部网不同的网络安全环境之间,达到隔离和控制的目标,外部网络的攻击合截获被有效控制。
4.2 数据加密技术
如果一些重要的机密的数据需要通过外部网络传送的,该数据的加密工作则需运用加密技术。防火墙技术以及数据加密技术两者结合使用,增强网络信息系统及内部数据的保密性和安全性,谨防外部破坏重要的机密数据。
4.3 入侵检测技术
安装入侵监测系统在企业内部网络中,信息从企业内部计算机网络中若干关键点中收集,并分析数据,从中检查企业内部网络中是否存在与安全策略相违背的行为或是入侵现象,如果检测到可疑的未授权的IP地址,则来自此入侵地址的信息就会被自动切断、同时给网络管理员发送警告,企业内部动态的网络安全保护就可以实现。
4.4 网络蠕虫、病毒防护技术
尽管无法避免来自蠕虫、病毒对企业内部网络的危害,但采取切实有效的防护方案还是有帮助的,尽最大可能阻止病毒的传播,减小它的危害范围,或是没有危害。在企业内部网络内,由于网络节点不但存在于局域网中,又有接入到互联网中的可能,一般的防护技术是很难做到把蠕虫、病毒的威胁降低很多,在防病毒方面、通常要设计多层次阻止病毒体系。在企业安装一般的常见的杀毒软件时,通常要定时自动扫描系统,另外,用户在收发邮件时一定要打开杀毒软件的实时监控邮件病毒功能,实时地同步地对检查邮件,抑制传播邮件病毒。如果用户安装的网络版杀毒软件,那么全部网络环境中每一个节点的病毒检测情况可以被企业网络的安全管理员如实准确的掌握,当然越先进的防病毒产品或是技术效果也就越好。
4.5 系统平台与漏洞的处理
网络安全管理员可以运用安全漏洞扫描技术了解掌握网络的安全设备和正在进行的应用进程,提前得到有可能被截获的脆弱步骤,准时检查安全漏洞,尽快改正网络安全系统存在漏洞和网络系统存在的有误差配置,防范措施应该在黑客攻击之前提早进行。
5 结束语
企业网络安全不是最终的目的,更恰当和准确地说只是一种保障。随着企业自身的发展和规模的壮大,企业网络的普及也是势在必行,网络安全管理变得也就越来越复杂,网络的安全管理和防护是企业发展的一项重要和艰巨的任务。在执行维护网络安全任务的同时,我们一定要注意把网络安全防护技术、影响网络安全的因素结合起来,制定有效的管理措施和技术方案,采取可行性高的防护措施,建立健全防护体系,增强企业内部员工的网络安全意识,从源头上解决网络安全问题。
参考文献
[1] 宋军.浅谈企业网络安全防护策略[J].TECHNOLOGY AND MARKET,2011,(18);116-117.
[2] 赵尹琛,马国华,文开丰.企业信息安全防护策略的研究[J].电脑知识与技术,2011,(7);5346-5347.
[3] 邵琳,刘源.浅谈企业网络安全问题及其对策[J].科技传播,2010,(10);186.
[4] 王希忠,曲家兴,黄俊强等.网络数据库安全检测与管理程序设计实现[J].信息网络安全,2012,(02):14-18.
中图分类号:TP303.08 文献标识码:A 文章编号:1007-9416(2013)09-0173-02
引言
高校计算机实验室承担着教学、培训、考试等大量繁重的教学任务。特点是:应用软件众多,实验操作繁杂且不固定,机器台数多,上机学生不固定。因此可能会导致很多计算机或网络异常,如何有效的对计算机实验室网络进行安全管理就成为一个值得研究的问题。
1 实验室网络结构与任务分析
1.1 网络结构
结合众多课程实训要求,大多数实验室为学生搭建了一套满足各种局域网交换和广域网路由测试需求的基础网络平台,使学生在学习众多应用软件的同时,还可实现用户管理、服务器配置、模拟各类实验环境。80%以上都是基于10/100M交换机或路由器连接成星型拓扑结构,利用校园局域网连入互联网。
1.2 实验任务
软件应用实验:办公自动化、网页设计、图片处理、图象、声音等媒体数据处理。
网络应用实验: DNS、DHCP、WWW、域控制器、邮件服务器等多种服务器的配置;网站建设,基于Socket的C/S编程,基于B/S编程等。
2 计算机实验室网络普遍存在的问题
(1)为了满足教学需要安装了多种软件,电脑的运行速度较慢。计算机实验室几乎全天对学生开放,在超负荷运行下计算机出现故障率高,机器维护任务较重。(2)学生对计算机操作不熟练或不当操作,容易造成部分系统文件删除或破坏;学生随意修改主机密码、CMOS设置、修改注册表内容或本地安全策略,导致电脑系统无法正常运行。(3)学生私自将个人移动硬盘、U盘、MP3等带入机房,安装大量的个人文件、导致电脑系统运行速度降低,甚至导致大量文件感染病毒,使管理的难度加大。(4)学生从外网下载文件或者访问带有病毒的网站时,感染病毒可能造成系统及网络的瘫痪甚至崩溃。(5)基于教学要求,在局域网上实现资源共享或者教学广播,使病毒在局域网内大面积传播,加重了计算机病毒的查杀难度。
(6)学生在实验室内吃零食、早餐,污染实验室环境或导致计算机短路,还有学生私自移动机器,可能造成计算机硬件损坏。
因此,为保证学生机快速恢复、优化,必须建立起一套行之有效的系统维护方案,用以保证实验教学的顺利进行,减轻实验室管理人员的工作量。
3 安全管理策略
3.1 基础校园网网络安全策略
3.1.1 网络安全结构
校园网络安全是实验室网络安全的基础保障。应制定统一的骨干网安全策略,保证基础网络平台的安全性。
校园网可采用了包括路由器、防火墙和入侵检测系统在内的三层结构化防御系统。
第一层防护由防火墙实现。可独立配置防火墙,对内外网之间的通信进行严格过滤,保障内网信息安全。
第二层防护由边界路由器实现。边界路由器提供Internet与校园网的连接,利用Cisco路由器上所具有的PIX防火墙功能,可将学校的WWW服务器、DNS服务器、E-Mail等服务器一起放于PIX防火墙的DMZ区,从而阻止外部用户对各服务器进行删除、修改等非法操作,防止来自外部的攻击。
第三层防护由入侵检测系统来完成。合理配置检测系统,对校园网内用户操作、设备、端口、服务、账户管理、流量等信息进行统计分析,可利用故障自动报警、检测日志,及时发现网络异常并处理。
3.1.2 IP规划
目前我校为实现网络统一管理,使用静态IP地址,学生在首次利用帐户和口令登陆校园网后,网络中心负责身份审核的服务器在身份验证的同时,将其IP与MAC地址进行绑定。在后期用户通信中定时检测地址信息,发现MAC地址变换时,强行退出连接,但此种方法IP利用率明显降低,而且给用户使用带来诸多限制,且接入层上只能使用交换机。学生为实现帐户共享而选择其他网络接入方式,给我们后期网络安全管理埋下隐患。
为解决上述问题,建议配置DHCP服务器,动态配置IP地址。但此举措实施后,用户如果私自建立DHCP服务器,可能造成网络管理的混乱。
为防止用户私自建立DHCP服务器造成网络管理的混乱,在建网初期可选用支持DHCP Snooping功能的接入交换机。保证用户的IP地址只能由网络中心分配,而不能接受非法的IP提供。
为防止用户将IP地址手动设置成与服务器地址相同的地址而造成IP冲突,建议职能部门全部采用支持IP Source Guard的交换机,用户必须从合法的DHCP服务器上取得IP地址才可进行正常通信,私设IP地址将会被交换机自动禁止。
3.2 公共实验室安全管理策略
目前,有些实验室为简化工作,采用安装还原卡的方式来保证系统安全,但此举措会给实验操作带来诸多限制,特别是计算机网络方面的实验,大都要求计算机重启后才能完成实验任务,而还原卡的使用在此时就成为一道不可逾越的围墙,阻碍了实验的正常进行。
为保证实验操作的顺利进行,应根据各校实际情况合理制定实验室管理制度,以便对人员,设备,安全等实施管理。
(1)学生在机房不能吃零食、抽烟;学生不能私自使用U盘等移动硬盘;需认真填写好机器使用情况登记表。(2)加强对学生的教育,培养其良好的网络使用习惯。如不去浏览不安全的网页;不接受来路不明的邮件,附件应先下载,杀毒后再打开;不随意打开QQ等即时通信软件中弹出的超连接等。(3)在每台学生机上安装杀毒软件并及时升级。(4)及时打上系统漏洞补丁。(5)有条件的可以通过视频监控实验室的设备安全,应保证实验室的监控设备正常运行。(6)对系统核心数据进行备份,方便系统还原。(7)做好防火、防盗、防毒、防漏等安全工作。对水源、电源、火源必须必须细心检查,严防死守,杜绝事故发生。(8)实验设备在使用的过程中应注意保养维护,做好设备使用的档案记录,确保设备完好、安全和有效地使用,避免损坏,造成浪费。对已达到或超过使用年限的设备,按有关规定申请报废或降级使用。(9)制定完善的实验室管理规章制度并严格执行。
3.3 专业实验室安全管理策略
3.3.1 物理安全
网络应用实验中需完成 DNS、DHCP、WWW、域控制器、邮件服务器等多种服务器的配置,并验证服务器功能,查看运行效果;若在连网状态下,会受到校园网上各服务器影响,建议不连接校园网,仅用交换机或路由器连接,构成星型拓扑结构的小型局域网即可。
统一规划IP。建议默认使用静态IP地址。根据具体需求可合理设置子网掩码,划分子网。也可基于交换机端口划分VLAN。
3.3.2 用户安全
根据实际情况,可对所有用户进行划分,如:实验室管理员,教师,学生。并进行分级授权,避免出现越权操作。
管理员为每一级用户设置一个账号和密码,通过身份验证才能进行权限内操作。
3.3.3 其他安全策略
(1)IP安全策略。可在学生机上设置安全策略,关闭某些服务和端口,以减少遭受攻击的机率。例如:禁止使用139端口。
第一步,点击“开始”菜单/设置/控制面板/管理工具,打开“本地安全策略”,选中“IP安全策略,选择“本地计算机”;再选择“创建IP安全策略”。第二步,在IP安全策略“属性”对话框中,添加新的筛选器。第三步,在“筛选器属性”对话框中,设置源地址为“任何IP地址”,目标地址为“我的IP地址”;“协议”选择“TCP”,设置“从任意端口到此端口(139),完成筛选器建立。第四步,选中“新IP筛选器列表”,设置“筛选器操作”为“阻止”。第五步、“指派”。激活该IP安全策略。
(2)端口重定向。如果默认端口不能关闭,可将它“重定向”。即把该端口重定向到另一个地址,这样便可隐藏公认的默认端口,降低受破坏机率,保护系统安全。
例如可将远程终端服务(Terminal Server)端口(默认是3389),重定向到另一个端口(例如1234),方法是:
1)在本机上(服务器端)修改。
定位到下列两个注册表项,将其中的PortNumber,全部改成自定义的端口(例如1234)即可:
[HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\Wds\rdpwd\Tds\tcp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\WinStations\RDP-Tcp]
2)在客户端上修改。
依次单击“开始程序附件通讯远程桌面连接”,打开“远程桌面连接”窗口,单击“选项”按钮扩展窗口,填写完相关参数后,单击“常规”下的“另存为”按钮,将该连接参数导出为.rdp文件。用记事本打开并在文件最后添加一行:server port:i:1234
以后,直接双击这个.rdp文件即可连接到服务器的此自定义端口了。
4 结语
实验室网络安全管理同其他网络安全管理一样,没有一劳永逸的方法。因此管理人员需对实验室系统数据定期进行备份。根据实际情况,合理安装并配置操作系统,网络协议,杀毒软件;合理禁止帐户、服务、端口;关注校园网网络安全动态,适时调整相关安全设置;设置审核机制,监视运行情况,及时修复系统异常。并定期进行硬件维护、软件维护、网络维护和日常维护,方能保证计算机实验室系统的正常、稳定运行。
参考文献
[1]石淑华,池瑞楠.计算机网络安全技术(第3版) [M].人民邮电出版社,2012-8.
[2]袁津生,吴砚农.计算机网络安全基础(第4版) [M].人民邮电出版社,2013-7.
[3]王薇.内部网络安全管理系统分析 [J]. 计算机光盘软件与应用 .2011.
[4]张东辉,王晓宇.校园网络安全问题及对策[J].华东科技,2011-3.
[5]周英.多域网络安全管理系统策略一致性研究与设计[N].四川文理学院学报,2013-3.
[6]蒲天银.计算机网络环境下可达性研究关键技术分析[N].湖南科技大学学报,2013-6.
[7]章思宇.基于DNS的隐蔽通道流量检测[N],通信学报.2013-5.
[8]邓越萍.校园网的安全防范策略[N].山西煤炭管理干部学院院报,2013-5.
[9]王锦.基于PK工的校园网身份认证系统的设计与实现「J].科技创新导报,2011-3.
[10]乔振,乔丽平,陈晓纪.PK工技术在校园网身份认证系统中的应用研究[J].福建电脑,2012.07.
[11]李晋丽,段小波,王琳 . 基于过滤驱动的安全密码框的研究与实现[J].软件,2013-3.
【关键词】
校园网;安全;措施;策略
1引言
近年随着中职学校的快速发展,信息化建设在不断推进,校园网的规模上在扩大,应用在增加,服务师生的能力在增强,我们通过校园网办公更便捷,教学资源更丰富,教学效果更好。但我们清醒地看到校园网络安全也存在很多问题:校园网络拥塞引起的网络崩溃;网络规划不科学,存在Bug;无线网络开放,教室信息点开放,病毒泛滥;校园网建设中,安全性、可扩展性的需求较为明显。
2校园网络安全方面存在的问题
2.1病毒和木马入侵
中职学校的网络资源价值不高,但是安全防护技术低下,已经成为初级黑客实习训练的重要场所。校园网络奇慢,打开网页慢,播放流媒体文件慢。ARP攻击使网络遭受到了ARP入侵,攻击者通过IP地址与MAC地址绑定,在校园网中产生大量的通信量,使校园网络阻塞,或者达到断开其他用户连接,增加被攻击者带宽的目的。
2.2APP攻击
Android软件开发的技术已经开始发酵,目前手机的应用越来越丰富,开发能力和水平越来越高,甚至APP开发和网络应用越来越紧密。开发能够控制网络设备的APP应用已经很常见了,这样就给校园WLAN带来了很大压力。学生的好奇心使然,通过某些APP控制学校的网络设备,向网络发送大量垃圾文件,就会形成APP攻击,导致校园网络出现拥塞。
2.3开放信息点
中职学校网络大多采用核心、汇聚、接入三级,树型与星星混合的拓扑结构模式的网络结构相对简单,教室、宿舍等公共场所存在大量开放信息点,通过连接终端,可直接进入校园网络。以某校为例,校园WLAN信号覆盖范围有限,为了补充不足,老师自带无线路由器,仅办公楼四楼的路由器数量多达15台,大部分教师将路由器的LAN口当作WAN口来用,连接方式错误,致使路由选择路径发生变化,网络连接错误。教师使用的无线路由器发出的信号容易被学生或攻击者接收,稍加分析,便可以接入校园网络,轻松获得网络资源,登录办公管理平台,甚至入侵网内其他主机。
2.4校园网拥塞
中职学校财力薄弱,为了节约成本,通常采取监控与网络使用公共传输介质,公用同一网段,不建立独立监控网络。另外,近些年中职校的网络教学设备不断增多,多媒体一体机大量投入使用,获取校内教学资源和互联网教学资源占用大量带宽。目前,师生使用手机数量已达每人一部,同时通过APP获取互联网多媒体资源和流媒体业务,导致校园网络带宽不足,网络处理能力不够,产生网络拥塞现象。校园网络崩溃。
2.5技术力量不足
中等职业学校网络拓扑混乱,缺少科学规划。缺少专业的网络管理、网络设计人员,现有技术人员技术能力急需提升。然而,学校网络的规模在日益扩大,网络的应用(业务)在不断丰富,网络结构越来越复杂,技术力量不足的问题也尤为凸显。
3校园网安全管理的措施和策略
3.1网内主机
主机备份。网内重要主机、服务器恢复注册表,不使用共享文件夹。对存放重要资源的主机服务器、应用服务器,要对系统和注册表等信息进行备份。当遭受攻击、瘫痪后可以快速恢复系统和注册表,使系统正常工作。禁止网内使用文件夹共享的方式传送问文件,此方式极容易被工具软件检测到,并利用共享机会向主机埋下病毒或木马。清理僵尸节点。僵尸节点不但节点本身有病毒,反应慢,而且会感染相邻节点,具有传播特性。对网络节点进行排查,清理带有大量病毒的主机节点,关闭没有重要业务的计算机和服务器。
3.2网络本身
入网认证。使用校园网络需要认证,使用防火墙技术,静态IP与MAC地址绑定,增加MAC地址的过滤,将校园网络的资源分类分级,建立开放网络和认证网络,并加强管理。杜绝随意使用校园网络,禁止未经身份认证的用户登录、获得校园网络重要资源。建立基于流量约束的网络拓扑结构。网络拓扑结构设计的合理与否,关系到网络流量问题,同时也影响网络安全。可以说网络拓扑结构是网络安全的基础,改变传统的核心、汇聚、接入三级的网络模式,变为核心、接入二级网络模式,既简单又相对安全。此种模式减少了汇聚层对核心层流量压力,同时实现了校园主干网络的负载均衡,使整个校园网络更加稳定、安全。增加网络架构的冗余设计。目前,学校网络应用(业务)越来越丰富,师生交流的平台越来越重要,保护好数据资源十分重要。主要方法就是在使核心节点之间建立链路冗余,节点与核心节点间有至少两条通路,当两个核心节点之间断掉,节点可以通过其他冗余链路连接到核心节点。
3.3策略
提高网络安全意识。不断培训师生的信息技术知识,加强信息安全方面的教育,建立网络安全防范机制,定期和随机检查关键主机的网络连接,病毒防御状态等情况。定期检查校内网络线路连接状况,禁止私自连线。关键网络节点、设备要进行监控。总之,要树立网络安全防范的思想,强化安全意识。建立高水平的管理团队。通过聘请、培训等方式组建和培养一批网络管理、网络设计能力强,网络知识扎实,业务水平高的队伍,通过开展网络对抗赛等活动对网络管理员进行强化训练。建立网络监管机制。在学校建立网络安全管理制度。网络管理是三分技术七分管理。建立管理员负责制度,鼓励网络管理员进行有针对性的培训;建立奖励制度,奖励在学校网络安全方面解决了实际问题的管理员。总之,不但要在网络布局上,网络设备上进行技术监管,还要在使用者的行为上进行监管,更要形成制度。
4结束语
校园网安全的提升,不要盲目扩大校园网络规模,应该科学规划学校的网络,建立技术过硬的管理团队,提升管理者和使用者的素质,采取有效的具体防范措施,使用恰当的网络技术。
中图分类号: TP393 文献标识码:A
随着互联网的普及,校园网的发展正面临着来自各方面的威胁和攻击,网络安全问题日益突出。尤其是高校校园信息化应用系统的集成,实现统一门户平台,建立一个数据存储中心,以及各种各样的信息共享和交流,都需要切实做好校园网络安全体系建设,建立事故预警机制,做好善后处理工作,结合硬件、软件,采取各种技术措施,建立基础的管理措施和各种技术学院校园网络安全体系,以确保所有类型的校园信息化建设的基础设施不受到来自未经授权的访问和破坏。
1 高校校园网络面临的安全威胁
高校校园网络通常接入着成千上万台计算机、服务器、交换机等终端设备,这些终端位于不同的物理位置,并且有不同的用途,不同的用户操作。用户的安全意识薄弱、网络安全防范措施不及时,技术实施不到位或恶意攻击造成损失的发生。高校校园网络常见的安全威胁主要有以下几个方面:
1.1 终端系统漏洞
入侵者攻击校园网主要是利用软件或攻击代码对网络软件或硬件的安全漏洞加以攻击,获得相应权限后,非法获取目标主机的资源, 也可能会在控制目标主机后,以其为跳板( 俗称肉鸡) , 对其他计算机或网络实施攻击和非法访问并隐藏真实身份。
1.2 计算机病毒肆虐
校园网站各单位基于WEB 的业务管理系统等代码漏洞。校园网络上运行着大量的网站和众多的业务管理系统,对校内和校外提供丰富多彩的工作、 学习和娱乐等内容,但这些站点的代码在编写过程中,存在很多不严谨的地方。校园网中的可移动存储设备的使用、下载程序、发电子邮件、浏览网页,甚至是即时通讯有可能导致下载和传播病毒。大量的病毒传播,不仅占用网络资源,使网络效率下降,而且还破坏网络设备,服务器或独立,并最终影响到整个学校的网络系统的正常运行,严重的还会引起校园网络的瘫痪。
1.3 黑客类恶意入侵行为
外部用户经常会实施对校园网络的恶意入侵,发起对校园网络核心设备(如服务器、路由器等)的攻击,窃取服务器上的重要信息,特别是一些重要业务系统服务器。而校园网内部用户对网络的结构和应用模式通常比较了解,部分用户( 如学生) 出于对网络的好奇和实践的欲望, 经常会用学习到的各种方法,非法攻击校园网络核心设备及应用系统,也有的是为了获得一些机密数据(如期末考试题),严重影响校园网络的安全稳定运行和校园管理秩序。目前,任何人在互联网上均可自由下载黑客类工具,且种类繁多、功能丰富、设置简单、使用方便、破坏力大,一个完全不懂技术的普通攻击者都可以利用相应的工具软件成为一个对校园网络系统造成巨大危害的黑客。
2 高校校园网络管理存在的问题
(1)当前高校校园网络的建设存在重规模轻安全的误区。一些高校,多年来主要精力集中在了校园网的建设,扩大和网络安全意识的重视程度不够,没有架构有效的网络安全防御系统。(2)网络用户安全防范意识薄弱, 缺乏足够的网络安全防御技术和能力。大部分学校校园网络用户的网络安全防范意识淡薄,认为网络的安全防范不是自己承担的责任,而是网管人员的责任;另外,除少数的计算机专业教师或学生外,大部分网络用户都不具备基本的网络安全常识和网络安全防御技术。(3) 大学网络安全管理人员缺乏。大多数的许多高校现有的网络管理人员,从事网络安全技术和缺乏经验,难以应付复杂的网络环境中,缺乏经验和能力,处理突发的网络安全事件的管理。一些网络管理员通常是不够的努力,投入的安全性问题研究,安全管理是不正确的轨道上。(4)网络道德教育严重滞后的问题日益严重。恶意利用网络资源,浏览黄色网页,接受不良信息的,大学生在网络犯罪有上升的趋势。
3 保障高校校园网络安全的策略
3.1 配置安全的系统服务器平台
安全的系统服务器是网络安全的基点,利用系统本地安全策略构建一个相对安全的防护林,对于校园网来说至关重要。具体措施包括:设置禁用,构建第一道防线;设置IIS,构建第二道防线;运用扫描程序,堵住安全漏洞;封锁端口,全面构建防线。
3.2 网络安全管理规范
(1)建立并严格执行规则和条例。高校网络安全问题发生的经理层,完善的管理制度有很大的关系,因此,管理人员必须提高管理水平,建立和完善各项管理制度,并不断创造新的管理方法,严格按照安全管理制度,规范操作,避免信息丢失。
(2)应急响应。发现了一种新的病毒,或者是因为系统中的安全威胁的网络安全漏洞,安全的网络及时发送到用户的安全注意事项,并提供各种补丁下载。此外,做好的计算机系统,网络,应用软件,以及各种信息和数据备份,并创建一个备份的数据库系统。
3.3 技术保证
目前,网络安全的技术主要包括杀毒软件、防火墙技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。技术保证包括以下一些技术措施。
(1)访问控制是网络安全防范和保护的最主要措施之一,其主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制采用用户口令的识别与验证,以保证其唯一性。(2)防火墙是校园网信息安全保障的核心点。通过部署防火墙,实施严格的数据流监控,同时在防火墙和服务系统上做较为详细的日志记录,为安全事件的事后取证工作提供依据。
参考文献
[1] 马强.基于群联动策略的安全技术模型的研究[J]. 清远职业技术学院学报. 2009(06).
[2] 朱智谋.新时期高校网络安全问题分析与防范对策[J]. 教育教学论坛. 2011(15).
传统病毒只是要破坏它们感染的设备,但是现代的病毒通常会通过Internet进行传播、复制并破坏其他计算机。现在的网络病毒具有明显的功利性,不再是显耀技术。很多这样的病毒都会在感染的设备上安装一个特洛伊木马程序,特洛伊木马程序可能不会进行任何直接的损坏,但是会将用户的信息从它安装的电脑上通过Internet发送到黑客那里,然后这个黑客了解它正在运行什么。软件以及哪些位置易于攻击,就可以对该设备发起一个有目标的攻击了。更甚者是盗取客户的银行账户信息、股票账户信息、QQ信息、游戏账户信息、重要商业秘密等,进而进行实际的盗窃活动,造成客户严重的资金损失。
1.2网络入侵
(1)数据包嗅探器最普遍的安全威胁来自,同时这些威胁通常都是致命的。其中网络嗅探对于安全防护一般的网络来说威胁巨大,很多黑客也使用嗅探器进行网络入侵的渗透。网络嗅探器对信息安全的威胁来自其被动性和非干扰性,使得其具有很强的隐蔽性,往往使信息泄密不易被发现。数据包嗅探器指的是与局域网相连并从以太网帧获取信息的应用程序软件或硬件设备。这些系统的最初意图在于对以太网通信进行故障排除和分析,或者深入了解帧以检查单个的IP数据包。嗅探器以混合模式运行,即它们侦听物理线路上的每个数据包(2)IP欺骗IP欺骗是指对IP数据包的源地址进行更改以隐藏发送方的身份。因为Internet中的路由操作只使用目标地址将数据包发送到它的路径上,而会忽略源地址,所以黑客可能会伪装这个源地址向您的系统发送破坏性的数据包,而您不了解它来自何处。欺骗不一定具有破坏性,但是它表明入侵随时会出现。该地址可能位于您的网络之外(来隐藏入侵者的身份),也可能是一个具有特许权限的受信任内部地址。(3)拒绝服务攻击拒绝服务攻击是最难阻止的攻击,这些攻击与其他类型的攻击不同,因为它们不会对网络产生永久性破坏,而是通过对某个特定的计算机或者网络设备发起攻击,或者将网络链路的吞吐量降低到足以造成客户厌烦和业务损失的程度,从而停止网络的运行。拒绝服务攻击利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。(4)应用程序层攻击应用程序层攻击通常是最引人注意的攻击,通常利用应用程序(如Web服务器和数据库服务器)中众所周知的弱点。这些应用程序的问题在于它们被设计为供公共用户访问,这些用户是未知的并且不可信任,尤其对于Web服务器来说更是这样。大多数攻击是针对应用程序产品中的已知缺陷的,因此最好的防护是安装软件生产商提供的最新更新。
2加强油田网络安全的措施
2.1采用入侵检测系统
虽然现在提倡使用入侵防御系统,但是入侵防御系统对于用户的要求较高,需要用户能够分别出哪些程序与进程是无害的。而油田局域网内的大多数用户并没有这个能力。因此应该在核心机上添加入侵检测系统,对于入侵检测系统所捕获的数据自有专业人士来进行分析,找出其中不正常的数据流。利用入侵检测系统当发现网络违规行为和未授权的网络访问时,入侵检测系统中一般都有相应的安全策略来对不同的情况进行响应,而且用户还能够自定义自己需要的安全策略。防火墙与入侵检测系统之间通过联动协议能够更好的对攻击进行防御。
2.2防火墙之后串联防毒网关,增强病毒查杀与垃圾邮件过滤功能
防毒网关在病毒杀除、关键字过滤、垃圾邮件阻止等方面有着较强的功能,能有效的弥补杀毒软件与防火墙的不足,同时防毒网关还具有部分防火墙的功能,同时还能够对VLAN进行划分。防毒网关会对进出网络的数据进行检测,并对HTTP、FTP、SMTP、IMAP这四种协议的数据进行扫描,如果发现病毒就会采取相应的措施,例如隔离或者查杀。而且防毒网关还具有垃圾邮件的阻止功能也让油田网络免受垃圾邮件的干扰。
2.3应用漏洞扫描系统,规范各种应用
就现阶段而言网络漏洞扫描还是一种相当先进的系统安全评估技术,能够及时的发现内网中的各种安全漏洞。然而这种技术虽然十分先进,但是仍然存在缺陷。因此在选用网络漏洞扫描系统时要注意这样几个标准:①必须要通过国家相应的权威认证,目前主要有这些组织的认证,公安部信息安全产品测评中心、国家信息安全产品测评中心、安全产品测评中心、国家保密局测评认证中心;②漏洞扫描系统的最新漏洞数量与升级速度,非专业的人员也要能够容易掌握系统的升级方法与漏洞更新方法;③漏洞扫描系统本身的安全性能,对于漏洞扫描系统本身的抗攻击能力与安全性必须要进行考查、确定;④是否支持分布式扫描,扫描系统必须要具有灵活、携带方便、穿透防火墙的特性,如果扫描所发出的数据包当中的一部分被路由器、防火墙过滤,那么将会降低扫描的准确性。
一、前言
随着Internet的普及和广泛发展,当今社会已进入了网络信息高速流通的时代,它使信息与信息之间的距离拉近了,计算机网络被广泛应用于越来越多的专业领域,包括传统学科图书馆学。随着数字图书馆的概念提出和在高职院校图书馆的广泛应用,数字图书馆的网络安全问题受到越来越多的关注,实现网络安全是保证高职院校数字图书馆健康发展的基础保障。因此,全面分析高职院校数字图书馆的网络安全影响因素,制定和实施行之有效的网络安全管理策略,对构建安全稳定的高职院校数字图书馆具有重要积极意义。
二、高职院校数字图书馆的网络安全概述
网络安全涉及的保护对象为网络系统中的硬件、软件及系统中的数据。因此,高职院校数字图书馆网络安全管理也可以概括为对维护高职院校数字图书馆这一网络系统中的硬件、软件及数据的正常安全运行的一系列管理工作内容。
三、高职院校数字图书馆的网络安全影响因素
当下,大部分高职院校搭建网络时选择采用树型加星型的混合型拓扑结构,采用以太网标准,用五类或超五类双绞线进行综合布线,将宽带或专线接入网络中的路由器,从而与外网相联,最终实现信息交换,同时在多校区院校多数采用光纤进行中长距离连接。而高职院校数字图书馆依建在学院的计算机大网络系统中,成为其一部分,因此大网络的安全管理对数字图书馆的安全存在着不可忽视的影响。除此之外,还有以下几点涉及数字图书馆日常管理中的影响因素。
(一)计算机技术应用的影响因素
黑客、木马、病毒这类危害网络安全的计算机技术发展迅速,相应的各类防病毒技术也日新月异,计算机技术应用层次成为影响网络安全的重要影响因素。
1.硬件技术因素。部分高职院校计算机网络受旧有规划、经费限制等原因制约,以致网络设备老旧换代缓慢,致使网络运行稳定性、兼容性差。
2.软件技术因素。大量的计算机病毒和木马在互联网上传播,而其中的大部分病毒和木马都是利用了用户计算机上的各种软件系统的漏洞进行传播与扩散。越来越多的通讯及共享软件技术在系统普通用户中推广应用,加速了形式多样的安全漏洞的出现。在新的软件技术推广应用过程中,往往忽略了对其安全管理的培训。
(二)人员配备因素
虽然随着图书馆信息化的进一步深入,不少高职院校图书馆采取了一系列措施来解决网络安全人才配备的问题,如引进计算机专业人才、增加现有工作人员的网络安全技术培训等。但这些只是初步改善了网络安全管理人才上的数量配置问题,而事实上由于人员所拥有的经验、专业系统性等方面因素也存在着差异,最终影响网络安全管理效果。同时各级管理人员及基层操作人员在安全水平与意识上也存在着一定的差异,往往造成上下理解不同,操作无法规范化,致使网络安全方面的措施很难达到预期的成效。
四、高职院校数字图书馆的网络安全管理策略
(一)建立和落实网络安全管理制度
作为加强高职院校数字图书馆网络安全管理的重要措施,必须提高全馆对网络安全管理规范化重要性的认识,从而建立健全网络安全管理规章制度。网络安全管理制度主要可从以下几方面建立。
1.建立网络硬件维护、使用及维修制度。
定期做好网络安全管理系统硬件设备的维护和保养是加强数字图书馆网络安全管理在硬件技术方面的重要措施。在日常工作体系中,针对中心机房、服务器、中心交换机、二级交换机和Hub等网络中的关键设备的维护和保养,建立周期性的检查、维护制度,明确各类设备的管理与使用责任分工至具体管理人员,建立维修文档跟踪机制,确保网络安全管理系统运转顺畅。
在周期性的维护工作期间,要重视设备所处环境的卫生状况。良好的外部环境在一定程度上影响着这些硬件设备的使用寿命及效果。因此,要保持环境的通风低温、电源常通电压稳定,减少设备的意外断电情况。定期进行环境清洁,尽可能保持密闭,避免过多的灰尘堆积。根据天气的变化,对设备进行防潮防燥工作。
为数字图书馆系统配备相应的备份、系统恢复硬件设备,这些设备属于保证网络安全系统正常运行的核心。设备更新时,对整体设备的配置及时进行调整,以做到新旧结合合理,并达到物尽其用。
对于受客观条件限制而必须设置在外部环境下使用的设备要进行定期的检查,发现物理损坏要及时维修更替。
2.建立软件维护及使用制度。
操作系统软件作为支撑软件是用户和计算机的接口,控制网络用户对网络系统的访问及数据的存取,但无论是Windows NT还是Unix或Linux都存在着后门,为病毒侵入和黑客攻击留下了可乘之机[1]。每周应固定对服务器及操作机器进行杀毒、病毒库升级及系统升级工作,及时填补安全漏洞。
数据库系统软件作为实际可运行存储、维护和为应用系统提供数据的软件系统,其具有一套独立的安全认证体制[2]。在管理过程中可运用数据加密技术,设置严密的授权规则,例如:账户、口令和权限控制等访问控制方法。同时,尽量避免与操作系统的安全认证体制捆绑,例如,避免数据库系统与操作系统使用相同的管理员用户名及密码。保持数据库系统在磁盘上与其他应用程序的相互独立性,保证在操作系统不安全的情况下,数据库系统中的数据最大限度地不被损坏。
应用软件作为满足用户应用需求而提供的那部分软件,拓宽了操作系统的应用领域。但同时在使用过程中,也增加了因其不完善性造成的网络安全漏洞,因此在应用软件使用及选择上应进行规范控制,特别是针对基层计算机的应用软件安装管理上。在满足业务需要的同时应适当规范使用范围,例如:对于P2P软件,应限制在少数业务计算机中使用。对于前台检索机的IE浏览器应设置严格的上网分级审查级别,避免读者在使用时误入不良网站而引起病毒及木马感染,从而影响整个数字图书馆系统的网络安全。
除对以上三类软件建立日常维护制度外,同时把周期性的系统备份及数据备份列入软件维护制度中。例如:对数字资源服务器的整体操作环境和重要的数据库系统进行备份,以避免在出现重大网络安全事故导致数字图书馆系统数据出现丢失时,无法尽快恢复或重建系统数据。
3.建立突况处理机制。
数字图书馆系统较常发生的突况分为:一是自然灾害,指天灾引起的网络与系统的损坏;二是事故灾难,指电力中断、设备故障引起的网络与系统的损坏;三是人为破坏,指人为破坏网络设备设施,黑客攻击等引起的系统无法正常运行。
网络安全突发事件虽然有不可预见性,但在长期的实践过程中,也可摸索出一般的发生规律。而针对其建立的处理机制,就是立足对规律的总结,做好事前的预防及事后的补救工作。例如:在特殊气候来临前,设备的提前转移,环境的检查加固;在系统无法正常运行时,起用备用系统的处理流程,等等。
4.制定网络安全管理人员操作手册。
在加强网络安全管理专业队伍的建设中,除了选派配备责任心强、网络应用技术熟练的人员担任管理职务外,并要建立一套有明确指引的网络安全管理人员操作手册,以保证管理人员在处理各项网络安全事务时,有根可寻、有源可溯,以避免因失误操作引起进一步的安全问题。
(二)加强各级用户的网络安全培训
据权威部门统计结果表明,网络上的安全攻击事件有70%来自内部攻击[3]。全馆的各级领导、部门工作人员和读者应加强数字图书馆系统的网络安全意识,并首先从培训开始。高职院校图书馆可以定期举办相关讲座,培训,考核等内容,这样既可使工作人员学到更多的网络安全知识,又可增强工作人员的责任心及参与感。
为达到最佳效果,各类培训应根据人员特质来设定。专职专岗的管理人员多参与校外最新专业技能的培训课程;部门工作人员的培训内容以日常操作规范、防病毒及系统优化等内容为主。而普通读者在每年的新生教育中,融入上网守则、计算机的信息安全保护和病毒防范等知识的培训。
五、结语
随着数字图书馆的快速发展,严防黑客入侵、努力保障网络安全,不但是高职院校图书馆信息化发展的基本需求,而且对全院的整体数字信息化发展起着重要的作用,所以各级领导与工作人员应该对网络安全问题给予高度的重视。通过实施有效的高职院校数字图书馆的网络安全管理策略能有效减少数字图书馆系统受网络安全隐患的困扰。但要构建和维护一个长期稳定的数字图书馆运行网络环境和更好地为读者提供优质服务,并不是几个人或短期行为就能解决的事,更需要建立加强安全教育和培训,增强安全防范的意识,采取安全防范技术措施,提高网络安全水平和防范能力,降低各种不安全因素的长效工作机制。
参考文献
【关键词】医疗单位 计算机网络 安全管理 维护策略
1 前言
计算机网络在医院各个科室和工作单位均得到广泛的推广和应用,对提高医疗单位服务质量、改善医务人员工作效率产生至关重要的作用。计算机网络的应用对于患者病理信息的管理和查阅、治疗记录以及既往治疗史的调阅均提供详细的记录,可谓是医院病患信息管理的重大变革。此外对于医疗耗材和设备的引入、记录等也具有重要作用。由此可知,提高医院计算机网络完全管理工作的质量和水平对保障病患合法权益、保证调阅资料的便捷性和畅通性作用巨大。基于此本文对医院计算机网络安全管理技术和维护策略进行重点叙述和分析,详情如下。
2 引入医院计算机网络安全管理技术
计算机网络安全管理技术的引入对提高网络安全管理质量和水平提供了基础的保障,主要包括防火墙技术、数据加密技术及软件安全管理技术等。各种计算机网络安全管理技术能够从不同方面为医院数据安全提供技术保障,以下是对各种技术的应用分析。
2.1 防火墙技术
防火墙技术是医院计算机网络安全管理技术的核心,在计算机网络技术中占据重要地位。该技术具有安全性高、实用性强、通用性广等优势,在与计算机硬件相结合的条件下充分增强计算机网络安全性,形成坚实的盾墙从而为低于外部网络的侵袭和干扰奠定基础。据。。研究表明,计算机用户能够依据自己个性化的需求对网络防火墙加以设置,如设置密码、智能阻断病毒侵袭等保护医院计算机网络安全,避免数据流失,将各种医院信息置于可保护的范围内。如果有计算机网络数据流外的信息侵袭计算机,防火墙能够对其进行辨别过滤,降低病毒、木马侵入计算机网络的可能性,最终达到保障医院计算机网络安全的目的。
2.2 数据加密技术
数据加密技术是医院计算机网络安全技术中的关键,能够为网络信息安全提供重要的保障。数据加密技术主要通过对网络数据传输、存储的保护防止数据信息以及医院重要资料等网络资源被盗取。尽管应用多种医院计算机网络安全管理技术,但是在实际操作过程中数据信息的传输仍存在一定的风险性,未经授权的网络用户一旦侵入医院计算机网络将会造成重大的损失,尤其是对于存储多方面重要信息的综合性医院来说,数据信息安全存储至关重要。数据加密技术的应用能够在信息传输过程中为其增加一层“保护壳”,为其保密性、安全性提供保障,即便有电脑用户将信息盗取,也难以获得真实、准确的内容。
2.3 软件安全管理技术
软件安全管理技术既能够避免计算机安装带有木马、漏洞或者病毒的软件,又能保障医院计算机网络信息资源的安全性。医院可采用软件管理技术对计算机网络进行动态监测,以及时发现木马、病毒和漏洞并给予适当处理,降低系统崩溃和医院计算机信息资源外泄的可能性,为医院计算机网络安全管理发挥有利作用。
3 医院计算机网络安全维护策略
仅仅通过医院计算机网络安全技术的引入和应用远不能满足安全性的要求,还必须加强日常安全维护,方能保证医院计算机网络在持续安全的环境中正常运行。
3.1 建立并完善计算机网络安全管理制度
只有建立并完善医院计算机网络安全管理制度才能保证令行禁止,确保医院数据信息的安全性。首先应当成立专门的计算机网络安全管理机构,对专人明确指派管理任务,加强计算机网络安全维护。其次还应当健全奖惩制度,切实追究计算机网络安全管理人员的责任,督促工作人员时刻保持警惕。最后还要改善计算机安全管理人员的工作责任感及安全意识,避免滋生网络病毒影响计算机网络的正常运行。
3.2 构建安全的数据中心
构建安全的数据中心对医院多个部门和科室计算机网络信息均具有重要的保护作用,能够满足医院日常运营的多方面需求,将数据形式呈多样化表现出来。而数据形式多样化给计算机网络安全管理及维护带来巨大的困难,并且如果处理不够谨慎将很有可能导致医院数据信息丢失,甚至可能发生安全事件给医院导致重大的损失。因此必须要建立一个具有较高安全性的数据中心,提高安全级别,避免医院重要的信息丢失或者被损坏。医院各个科室和单位的信息必须通过集中整理将其上传至有安全保障的数据中心,由专职的计算机网络安全人员对中心子系统进行动态、持续性地管理,并设置各种权限避免非院内人士获取医院内部信息,提高安全系数。
3.3 提高计算机操作系统的安全性
目前医院计算机网络中有超过九成的用户使用的是Windows系统,但是目前微软公司对于XP系统已经放弃开发和优化,因此计算机网络信息的安全性也逐渐降低。因此必须有专职的计算机网络安全管理人员利用数据加密技术、防火墙技术等提升计算机操作系统的安全性。此外,还可以考虑将计算机用户的操作系统更换为相对较新的Windows8.1系统,以提高医院计算机操作系统的安全性。有效的杀毒软件的充分利用、定时更新杀毒软件和病毒库等均是提高计算机操作系统安全性的重要举措。
3.4 重视数据的备份和恢复
非人为因素导致的医院计算机网络数据信息丢失也较为常见,医院出提高网络安全性外,还必须预防意外因素导致的数据信息丢失,重视数据的备份和恢复。数据备份和恢复能够在意外事件发生后将医院的损失降至最低。但是盲目的数据备份和恢复不仅会导致专职计算机网络安全管理人员的工作效率降低,还会消耗大量的精力。因此必须制定详实、具有较强系统性和可复制性的数据备份和恢复计划,方能达到理想的安全管理效果。
4 结束语
计算机网络技术的发展给医院工作造成极大便利的同时也影响其信息的安全性,尤其是对于一些需要的保密的内部数据来说,医院应当加强计算机网络安全管理方能避免造成损失。提高医院计算机网络安全性的主要技术包括防火墙技术、数据加密技术及软件安全管理技术,还应当参照上述策略加强日常维护,方能为医院计算机网络安全管理提供双重保障。
参考文献
[1]王巍.关于医院计算机网络安全管理工作的维护策略分析[J].计算机光盘软件与应用,2013(20):126+128.
首先看一下数字出版的特点。
数字业务形态多样:目前数字出版产品形态主要包括电子图书、数字报纸、数字期刊、网络原创文学、网络教育出版物、网络地图、数字音乐、网络动漫、网络游戏、数据库出版物、手机出版、App应用程序等,丰富的业务形态要求网络提供多种接入方式、多种内容共享方式,同时要保证安全。
强调对数字化资源的管理:国外知名出版公司特别强调对数字化资源的管理,很多公司通过建设自己的内容管理平台来更有效地建设、管理和重用数字化资源。汤姆森公司委托其下属的Course Technology、Delmar、Promotric和NETg开发内容管理平台LLG,计划五年内完成;培生内部已经运行了WPS,与前台的Coursecompass结合以更加有效的建设模式为学校提供服务;麦格劳-希尔出版公司已经成功地将内容管理平台运用在百科全书的出版上。
整体安全性要求高:数据化资源对整体安全性要求较高,现在网上支付手段丰富,如快钱、Paypal、支付宝等都需要在纯净的网络环境进行操作,以保护机构和个人财产安全;要求建立完善的数字版权机制,保障作者、编辑单位的合法权益;网上交易和传播的数字内容越来越多。网络安全形势十分严峻,域名劫持、网页篡改等事件时有发生,给网民和机构造成了严重影响和重大损失。工业和信息化部2010年的数据表明,仅中国网民每年需要为网络攻击支付的费用就达到153亿元之多。
笔者认为,网络的应用在出版机构一般经过三个发展阶段:第一为沟通交流阶段,在这个阶段,出版机构的工作人员上互联网、了解外界知识、通过即时通信工具沟通信息等。第二阶段为管理应用阶段,在这个阶段,工作人员通过网络协同办公,出版机构采用ERP、财务管控系统等内部业务管理系统。第三阶段为创造、创新阶段,出版机构使用综合业务系统进行数字内容收集、组织或加工,形成数字资产,通过网络进行推广。
根据这三个阶段的应用特点,可以将管理要求归结为:第一个阶段应用比较简单,用户都可以使用网络,要求网速快、安全性要求不高;第二个阶段,并非所有用户都能进入内部网络,设定上网权限,同时能对带宽进行有效管理,防止员工滥用网络而挤占主要业务的网络带宽,防止堡垒在内部被攻破;第三个阶段有了较多的数字资产,要防止网窥和盗窃行为发生,主动防御来自互联网端的威胁,防止业务流数据和内容数据出现问题,保证数据安全,即能处理来自外部、内部的威胁,保存好数据,防范非法入侵。
管理及技术分析
根据数字出版的业务特点,笔者总结了消除网络安全隐患的策略。
在第一应用阶段,网络中有防火墙、核心路由等元素,要保障物理线路畅通,具备一定的安全性。篇幅所限,这里不详细描述了。
第二应用阶段要求建立终端准入机制和应用控制机制。
此阶段遇到的挑战:用户多导致内部安全问题,带宽滥用情况严重。内网的安全事件约有70%来源于内网的接入终端,虽然网络中使用了一些安全措施如应用防火墙、网络设备访问控制规则等改进了网络的安全性,但由于网内终端数量较大、Windows系统的不稳定和多处漏洞,终端用户的应用水平参差不齐等造成内网安全事件频发。对内网终端的安全隐患管理和处理方法概括如下:建立用户接入准入制度,防止截取地址信息随意接入,对合法用户接入访问权限进行细化,加强整网应用安全机制。
同时,应用也存在监管的问题,如员工在日常工作时间进行P2P下载、看影视等从而挤占正常业务的网络带宽。因此,系统中要设应用控制网关,对带宽进行有效管理,提供足够带宽给ERP、财务处理等主要业务,满足吞吐量要求。网内用户上网行为复杂,网络中的异常流量、即时通信流量逐步增大,侵占了原本就不富余的出口带宽;爆发内网安全事件时也会出现相应的流量异常,因此网内要设有行之有效的流量控制和分析手段,以便对网络进行流量监管以及安全事件的快速定位。
在第三应用阶段,可通过入侵检测系统进行主动防御,对入网设备进行终端准入,建立独立存储甚至远程异地灾备系统。网络入侵防御系统是一种在线部署产品,旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,提供一个全新的入侵保护。
第三阶段是较高级应用阶段,因数字出版应用内容丰富、强调应用安全、响应速度,网络技术参数设定要对应用需求有足够响应。
安全网络应用实例
下面是一个出版公司在保障网络安全方面的具体方案,其他数字出版企业也可以从中借鉴。
一、使用一台IP存储解决专业存储问题。
信息或数据在IT系统中,必然处于计算、存储、传输三个状态之一。这三个方面也正好对应于整个IT架构的三个基础架构单元――计算、存储和网络。该方案选用一套高端SAN存储作为整个信息系统的核心在线存储。
该方案中,核心存储设备通过IP SAN交换机与局域网多台服务器建立连接。服务器通过普通千兆网卡或iSCSI HBA卡接入IP SAN。核心存储设备提供海量存储空间,实现高稳定性、高可靠性的数据集中和存储资源统一管理。核心存储设备可以混插高性能的SAS磁盘和大容量的SATA II磁盘,单台设备即可满足两种不同的应用需求,大大提高设备性价比。核心存储也可以满足包括数据库、Web、OA、文件等多个应用的集中访问需求。ERP应用作为关键应用之一,IX3000存储上为其提供独立的存储空间,并采用15000转的SAS硬盘。
二、以应用控制网关解决带宽利用和用户上网行为监管问题。
公司员工越来越依赖于互联网的同时,上网行为却不能得到有效控制和管理,不正当地使用互联网从事各种活动(如网上炒股、玩游戏等)会造成公司外网运行效率下降、带宽资源浪费、商业信息泄密等问题。该公司的财务部曾反映,在制作半年报期间网络时常不通,导致工作无法进行。经查是防火墙严重超负荷造成,负载时常超过90%,这些都是过度使用网络资源产生的后果。
该公司的解决方案如下:在公司出口防火墙与核心交换机之间部署一台应用控制网关。该网关可以很好地完成公司信息中心对员工行为监管的需求,针对P2P/IM、网络游戏、炒股、非法网站访问等行为,可以进行精细化识别和控制,解决带宽滥用影响正常业务、员工工作效率低下、访问非法网站感染病毒蠕虫的问题,帮助公司规范网络的应用层流量,为公司创造一个良好的网络使用环境。
三、通过端点安全准入系统EAD解决终端安全问题。
为了弥补公司现有安全防御体系中存在的不足,公司部署了一套端点安全准入防御系统,旨在加强对员工电脑的集中管理,统一实施安全策略,提高网络终端的主动抵抗能力。终端安全准入防御将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御,变单点防御为全面防御,变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
终端安全准入防御通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”客户端对网络安全的损害,避免“易感”客户端受病毒、蠕虫的攻击。
四、使用入侵检测系统阻止来自互联网的攻击行为。
在公司互联网出口部署1套千兆硬件入侵防御系统,专门针对公司服务器应用层进行防护,填补防火墙安全级别不够的问题,并与防火墙一起实现公司网络L2-L7层立体的、全面的安全防护。
千兆高性能IPS入侵检测系统可以针对公司Web服务器三层架构中的底层操作系统、中间层数据库服务、上层网页程序的每一层提供安全防护。为公司Web服务器提供包括漏洞利用、SQL注入、蠕虫、病毒、木马、协议异常等在内的应用层安全威胁的防范,防止网页被篡改的发生,并在每检测和阻断一个针对Web服务器的安全威胁之后,记录一条安全日志,为公司服务器的安全审计和安全优化提供全面的依据。
综合管理措施
笔者认为,要维护数字出版公司网络安全,在网络综合管理上要同时做好以下几点:
制定合理有效的计算机网络系统工作管理规定,明确责任,分工到人。
设置全集团(公司)网络管理员制度,各分(子)公司专人对网络和终端进行管理。
中心机房设置专人管理机房网络设备,定期检查并分析设备日志,定期升级软件和补丁,防止“破窗”出现,发现异常及时处理。
随着信息化的发展,企业网络的用户计算机不断增多,企业网络安全管理的难度会变的越来越大,如果用户的计算机的安全设置需要网络管理员一台台进行,那么将给网络管理员带来很大的负担,同时也给企业带来了较大的网络安全管理费用,虽然通过配置本地安全策略加强了工作组中计算机的安全性。但在企业网络域环境中,如果要对多台客户机进行同样的安全设置,可以通过“组策略”对多台企业计算机客户机进行统一的配置。通过在公司网络系统中应用域的组策略,网络管理员可以很方便地管理活动目录中的用户和计算机的工作环境,如用户桌面环境、用户计算机启动、关机与用户登录、注销时所执行的脚本文件、软件安装、计算机安全设置等,大大提高了企业网络系统的管理效率和安全性。总体来说,在企业网络中利用域组策略可以影响整个域的工作环境,对OU设置组策略影响本OU下的工作环境,有利于降低布置用户和计算机环境的总费用;只须设置一次,相应的用户或计算机即可全部使用规定的设置,有利于减少用户不正确配置环境的可能性;有利于推行公司使用计算机的规范。
一、域组策略结构分析
组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以很方便地设置各种软件、计算机和用户策略。例如,可使用"组策略"从桌面删除图标、自定义开始菜单并简化控制面板。此外还可添加在计算机上运行的脚本,甚至可配置IE。组策略是以一个管理单元的形式存在,可以帮助系统管理员针对整个计算机或是特定组策略界面图用户来设置多种配置,包括桌面配置和安全配置。组策略在类别以及功能结构上进行了细化,并且按照客户端,服务器和序列号,把整个组策略划分为三大部分,客户端的管理在安全性方面除了已经出现的是否允许在客户端保存密码和对客户端的登陆验证策略之外,更加强调了它的安全性管理,通过远程桌面服务远程访问的程序,它们看起来像是运行在最终用户的本地计算机上一样。远程桌面服务向管理员提供分组和个性化以及虚拟桌面的能力,使最终用户在运行计算机的开始菜单上可以使用它们。
域组策略GPO,在域控制器上针对站点,域或OU来配置组策略,其中域策略内的配置应用到所有域内计算机和用户上,OU对应到该OU内,如果本机冲突则以域或OU组策略的配置优先,本机无效。组策略的组件组策略的具体设置数据保存在GPO组策略对象中,被视为活动目录中的一种特殊形象,可以将GPO和活劢目录的容器站点、域和OU连接起来,以影响容器中的计算机和用户。组策略是通过使用组策略对象来进行管理的。服务器的管理,在更早版本的系统中,因为分类不清晰,当需要实施一条新的组策略时,要在根目录下逐条寻找策略,这就无形之中就增加了实施的时间成本。相对而言,Win2008的组策略设置具有了类别化,系统管理员更加容易从这些类别目录中找到自己所需要的策略。
二、域组策略应用规则
继承与阻止继承,在默认情况下,下层容器会继承来自上层容器的GPO,子容器可以阻止继承上级的组策略;累加,容器的多个组策略设置如果不冲突,则最终有效策略是所有组策略设置的总和,容器的多个组策略设置如果冲突,则后应用的组策略覆盖先应用的组策略,组策略按以下顺序被应用:首先应用本地组策略对象,如果有站点组策略对象,则应用之,然后应用域组策略对象,如果计算机或用户属于某个OU,则应用OU上的组策略对象,如果计算机或用户属于某个OU的子OU,则应用子OU上的组策略对象,如果同一个容器下链接了多个组策略对象,则按照策略优先级从大到小逐个应用。组策略的“强制生效”会覆盖“阻止继承”设置,也就是如果上级容器中的策略设置强制生效,那么下级容器与其相冲突的一律无效。但NTFS权限的继承与阻止继承是哪个后设置,后设置的生效。
三、域组策略的实现方法
用组策略实现软件分发,准备MSI软件数据包,它是实现软件分发功能所必要的文件格式,通常包含了安装内置程序所要的环境信息和安装或卸载时需要的指令数据。首先创建软件分发点,包含有用来分发软件的包文件所在的共享文件夹,创建分发点要或分配的计算机程序,必须在服务器上创建一个点。然后以管理员登录并创建共享,放入msi文件和可执行文件,分配文件夹权限;创建组策略对象,设置组策略不链接组策略对象,计算机配置到软件设置到软件安装选择新建数据包再打开已分配时选择启动时自动安装。
使用组策略配置脚本,一般情况下,如果管理员需要实现某项管理功能,而现有的组策略设置选项又不能实现,则需要创建一个脚本来完成,然后使用组策略自劢运行该脚本。在win 2008中,可以使用组策略中的脚本功能来运行的脚本主要有批处理文件、可执行程序,以及支持脚本的windows脚本主机等。组策略脚本设置可以集中存储脚本文件,在计算机启劢、关闭、用户登录,以及退出时自劢运行,而且必须将组策略脚本添加到组策略模版的指定位置后才能自动运行。组策略脚本复制可以实现使用组策略重定向文件夹到主目录,使用组策略重定向文件夹到根目录,使用组策略重定向文件夹到本地配置文件位置,使用组策略为丌同的用户组指定位置,使用组策略重定向特殊文件夹到指定位置,使用组策略自动运行脚本,先要将脚本复制到适当的组策略模版文件夹中。另外使用组策略还可以制定软件限制策略,使用路径规则实现软件限制,使用哈希规则实现软件限制。
在网络环境下,现代信息技术的快速发展和广泛应用对机关档案管理产生重要影响,特别是机关数字档案安全管理,更是面临着巨大挑战[1]。因此,要对网络环境下的机关数字档案安全风险进行系统研究,根据机关数字档案安全风险特点与问题,制定和实施有针对性的解决措施。机关档案数字化带来新的问题,涉及新的载体安全、内容安全、过程安全等诸多问题,是机关档案管理传统模式所不曾遇到的,必须以新的思想、技术、方法与路径,对机关数字档案管理系统开展安全管理[2]。特别是在网络环境下,数字档案存储和查询利用时空分离,更要对机关数字档案的安全性进行实时动态管理,避免机关数字档案在查询利用各个环节中受到外在侵害。加强机关数字档案安全管理,可以有效保障机关档案信息的安全。
一、网络环境下的机关数字档案安全管理内容
网络环境下的机关数字档案安全管理,内容涵盖了数字档案管理各个环节,主要包含了机关数字档案基础设施和运行环境安全管理、机关数字档案数据安全管理、机关数字档案的网络安全管理、机关数字档案应用安全管理、机关数字档案系统安全管理、机关数字档案的人员安全管理、机关数字档案的授权和审计安全管理等方面内容[3]。1.机关数字档案的基础设施和运行环境安全管理。机关档案数字化建设,需要投入大量资金,购置专门档案管理设备和专业档案管理系统。由于资金投入的限制,一定程度上导致机关数字档案主机系统安全等级较低问题,供电条件、防火防盗、温度和湿度等必备条件难以保障,甚至把机关数字档案简单地存储在一台未加密、未备份的普通电脑中,给机关数字档案带来很大的安全隐患。2.机关数字档案的数据安全管理。载体与介质安全、档案数据访问安全、档案数据完整性和可用性、档案数据存储备份等,都是机关数字档案的数据安全管理主要内容[4]。在机关数字档案的数据安全管理中,介质损坏、电脑病毒、硬盘损坏等,都可能导致机关数字档案资源被破坏或者被非法使用、被恶意篡改等。数据是机关数字档案的核心,机关档案数据一旦发生上述问题,将给机关数字档案带来无法估量的损失。3.机关数字档案的网络安全管理。机关数字档案的网络安全管理,主要是对网络窃取、网络非法接入、网络故障、网络ARP攻击(地址解析协议)和DDOS攻击(分布式拒绝服务)等进行安全防护。这些网络安全问题,不仅可能导致机关数字档案系统无法正常使用,甚至可能导致档案数据外泄问题,特别是网络ARP攻击,会导致数字档案管理系统被非法侵入和非法控制。4.机关数字档案系统安全管理。档案管理系统的稳定运行,是机关数字档案管理的重要支撑保障。由于技术本身的不完善,系统在运行过程中存在各种安全隐患,如数字档案的平台故障、网络故障和设备故障等。这些故障的出现将会直接影响机关数字档案的安全和机关数字档案系统正常运行。因此,机关数字档案系统安全管理,主要承担了降低运行安全隐患,快速解决运行安全问题,以最快速度恢复档案管理系统运行的责任。5.机关数字档案的应用安全管理。由于机关数字档案自身价值较高,从而引发许多非法用户以各种非正常手段入侵机关数字档案管理系统,非法获取系统操作权限,导致档案管理系统数据外泄、数据损毁、非法篡改等;或者合法用户以不合法手段实施了超越权限的操作,非法获取机关档案信息、篡改档案数据等;档案管理系统设计缺陷,导致查询利用不规范或不合理等。这些都可能导致机关数字档案应用安全风险,只有加强机关数字档案的应用安全管理,才能为用户提供稳定的档案信息服务。6.机关数字档案的人员安全管理。在机关档案管理中,由于编制紧张,未能配备专门档案管理人员,无法有效保障机关数字档案的运行维护工作;或者是由于人员培训不足,导致机关档案管理人员专业技能缺乏,很难胜任新形势下的机关数字档案安全管理工作;档案安全意识薄弱,甚至个别机关档案管理人员在外在诱惑之下,对机关档案数据进行非法篡改或窃取,产生机关档案数据的“安全风险”;机关数字档案管理中,缺乏规范性操作流程和要求,导致管理漏洞。人是机关数字档案安全管理最为活跃的影响因素,应加强对机关数字档案工作人员的安全管理,形成安全风险防范第一道防线。7.机关数字档案的授权和审计安全管理。主要对机关数字档案管理中的授权和审计过程进行管理。由于机关数字档案管理中的授权机制不完善,导致权限混乱、乱授权和过度授权等问题;由于系统审计日志缺失,从而导致无法对非法入侵及时阻止、有效跟踪、快速追查等问题。机关档案的授权和审计管理,需要建立完善的授权管理机制和系统的审计日志,对非法入侵进行提前防控。
二、加强网络环境下机关数字档案安全管理策略与路径
针对网络环境下机关数字档案安全管理内容与问题,应从以下几个方面加强机关数字档案安全管理。1.强化机关数字档案安全管理意识。首先,随着网络技术的发展和应用,无论是机关档案自身,还是机关档案管理,都发生了根本性变化,机关档案数字化是必然发展趋势,加强机关数字档案安全管理刻不容缓[5]。因此,要从思想认识上强化机关数字档案安全管理,突破传统档案管理思维束缚,根据现代信息技术特点,探索更加适合网络环境的机关数字档案安全管理路径。其次,网络环境下的机关数字档案安全管理,不仅要求增强档案管理人员的安全意识,还要对档案管理人员信息技术水平进行考核。因此,机关档案管理人员要切实提升自身的数字档案安全管理能力,重视档案管理人员数字档案安全管理能力培训,加大专业人才引进力度,通过提升服务技能达到提高机关数字档案安全管理的目标。2.构建机关数字档案信息安全存储基础。在信息时代,数据将会以指数级增长,而且数据类型和形式更加多样化,增加了机关数字档案信息安全存储的难度和风险。特别是机关数字档案信息体量十分庞大,容易受到网络黑客恶意攻击,导致机关数字档案信息被非法使用。因此,要对机关数字档案信息安全存储进行重点关注,构建稳定可靠的安全存储基础,构建全面的档案信息存储防护体系。第一,要扩充机关数字档案存储容量,为机关档案信息存储提供足够的数字空间。机关档案管理中形成的大量存储数据,不仅数量急剧增加,而且结构更加复杂,现有的存储方式已很难满足实际需要,因此要构建容量足够大、安全性足够高的机关数字档案安全存储方式。第二,要在众多的机关档案信息存储方式中,择最为合适的方式,改变传统的单一存储方式。对于结构松散的半结构化机关档案数据,采取面向文档需要的分布式存储方式;对于结构化的机关档案数据,采取主题存储方式。要针对信息类型的不同,采取不同的数据存储方式,提高机关数字档案信息安全和开发利用的有效性。3.加强大数据技术在机关数字档案安全管理中的应用。纸质馆藏内容基本上依靠手工整理、人工编目,是传统机关档案管理的主要技术手段。但是在网络环境下的机关数字档案管理中,档案管理工作借助于现代信息技术完成,特别是大数据技术的出现,在机关数字档案安全管理中得到广泛应用。首先,通过大数据与机关数字档案安全管理的深度融合,提升机关数字档案系统的安全防御级别,更好地应对更高级别的持续性网络攻击,对各类计算机病毒、网络黑客的非法入侵进行有效防御。其次,在推进机关档案数字化管理过程中,通过大数据技术的应用,对机关档案管理全流程进行实时上传,建立机关数字档案全路程跟踪溯源,确保数据不被恶意篡改。再次,通过大数据技术的应用,实现机关档案数据安全管理系统的多节点接入,更好地实现对机关档案数据的授权访问,强化了机关数字档案的安全性。4.建立安全高效的机关数字档案信息管理系统。机关数字档案本身具有与载体分离、高度依赖系统等特点,从而对机关数字档案信息管理系统的安全性提出了更高要求。配置更为优质、先进的硬件设施,建立集收集、存储、分析、开发、应用为一体的机关数字档案信息管理系统,是机关数字档案安全管理的重要任务。因此,要建立一个基于云计算技术的机关数字档案信息管理系统,不仅能对数量繁杂、类型多样的机关数字档案进行收集、分类和分析,挖掘机关数字档案之间的关联性,还要具备快速扩容和安全存储能力,提高机关数字档案信息管理系统安全性,为机关档案管理人员提高工作效率和服务水平奠定基础,同时也提高机关数字档案安全管理水平。
三、总结
数字档案管理,是机关档案管理的必然发展趋势,不仅可以降低机关档案管理成本,而且还可以提高机关档案服务水平,但同时也面临着新的安全风险。因此,要构建完善的机关数字档案安全管理体系,确保在机关档案数字化过程中的数据安全,使机关档案数字化建设得以顺利实施。
参考文献
[1]范园园.浅议档案风险及安全管理[J].兰台世界,2019(12):4-5.
[2]肖茜.关于构建高校数字档案信息安全保障管理体系的探讨[J].档案天地,2018,294(10):45-47.
[3]李雅琼.数字档案馆网络信息安全根源探讨[J].兰台世界,2017(2):19-20.
电力是国民经济的命脉,电力系统的安全稳定,不但直接关系到国家经济的发展,还对民众的日常生活有着巨大的影响。当前随着电力企业市场业务的不断开展,其与互联网的联系也越来越密切,但互联网存在着很大的自由性和不确定性,可能会给电力企业带来潜在的不安全因素。而当前电力企业的信息安全建设仅仅停留在封堵现有安全漏洞的阶段,对于系统整体的信息安全意识还不够。因此有必要对电力企业信息系统整体安全管理进行分析研究,有针对性的采取应对策略,确保电力企业网络信息可以实现安全稳定运行。
1做好安全规划
做好电力企业的网络安全信息规划需要做到以下两点:
(1)要对电力企业的网络管理进行科学合理的规划,要结合实际情况对电力企业的网络信息安全管理进行综合考量,从整体上对网络信息安全进行考虑和布置。网络安全信息管理的具体开展主要依靠于安全管理体系,这一点上可以参照一些国外经验;
(2)电力企业因自身的独特性质,需要使用物理隔离的方法将内外网隔离开来,内网方面要合理规划安全区域,要结合实际情况,将安全区域划分成重点防范区域与普通防范区域。电力企业信息安全的内部核心是重点防范区域,在此区域应当设置访问权限,权限不足的普通用户无法查看网页。重要的数据运行如OA系统和应用系统等应该在安全区域内进行,这样可以保证其信息安全。
2加强制度建设
安全制度是保障電力企业网络信息安全的关键部分,安全制度可以提升企业员工和企业领导对网络信息安全的意识,电力企业需要将安全制度作为企业的工作核心,要结合当前的实际情况,建立起符合电力企业网络信息安全的管理制度,具体操作如下:
(1)做好安全审计,很多入侵检测系统都有审计日志的功能,加强安全制度建设就需要利用好检测系统的审计功能,做好对网络日常工作的管理工作,对审计的数据必须要进行严格的管理,不经过允许任何人不得擅自修改删除审计记录。
(2)电力企业网络系统需要安装防病毒软件来保障网络信息的安全,安装的防病毒软件需要具备远程安装、报警及集中管理等功能。此外,电力企业要建立好网络使用管理制度,不要随便将网络上下载的数据复制在内网主机上,不要让来历不清的存储设备在企业的计算机中随意使用。
(3)电力企业的管理者要高度重视其企业的网络安全制度建设,不要把网络信息安全管理仅仅看作是技术部门的工作,企业中应建立起一支专门负责网络信息安全的工作领导小组,要做好对企业内所有职工的培训,最好能让每一名职工都拥有熟练掌握网络信息安全管理的能力。企业管理者要明确相关负责人的工作职责,定期对网络安全工作开展督导检查,管理制度需要具备严肃性、强制性和权威性,安全制度一旦形成,就必须要求职工严格执行。
3设置漏洞防护
随着当前计算机网络技术的迅速发展,很多已经投入运行性的网络信息系统和设备的技术漏洞也随着网络技术的不断发展而日益增加,这在很大程度上给了不法分子窃取电力企业网络信息系统数据的机会,对此电力企业需要做好以下两项工作:
(1)电力企业需要利用一些漏洞扫描技术来维护企业的网络安全,要对企业的网络信息系统经常开展扫描工作,从而及时发现系统漏洞并完成修复。这样可以提升企业网络信息安全系数,不但能阻断不法分子入侵企业信息系统的途径,还可以使企业避免需要经常性更换网络信息系统设备可能增加的经济负担,从而促进企业实现长远发展;
(2)电力企业需要提升对网络信息安全的风险防范意识,增强企业应对突发事件的应急处理能力,针对不同的信息安全风险需要设置好不同的预警机制。要定期检查企业的网络信息安全技术,防止网络安全漏洞的出现。还要及时做好对网络信息防护新手段的更新工作,从而提升企业网络信息系统的保护强度。
4提高管理手段
科学合理的企业网络信息安全管理手段不仅可以维持电力企业的工作进度,还能有效规避企业网络信息中所存在的安全隐患。提高企业网络信息安全管理手段需要做到以下两点:
(1)建立入侵保护系统IPS,提升企业网络信息安全管理指标。在电力企业网络管理系统中建立网络入侵保护系统IPS,可以为网络信息提供一种快速主动的防御体系,IPS的设计理念是对常规网络流量中携带的恶意数据包进行数据安全检测,若发现可疑数据IPS将发挥网络安全防御功能,来阻止可疑数据侵入电力系统的网络信息系统。与常规的网络防火墙相比,IPS具备更加完善的安全防御功能,其不仅能对网络恶意数据流量进行检测还能够及时消除隐患。此外,IPS还能为电力企业的网络提供虚拟补丁,从而预先对黑客攻击和网络病毒做出拦截,保证企业的网络不受损害;
(2)电力企业要加大对新型网络信息安全技术的研发投入,在组建企业网络信息安全系统时,要对系统各组成部分做严格检查,确保设备符合安全标准。对于组建网络信息系统所需要的设备和部件则必须要求供应商提供相应的安检报告,严防设备和部件的安全隐患。对于企业已投入使用的系统和设备,必须定期做好检查,以确保安全系统能够顺利有效的开展防护工作。
5总结
综上所述,本文通过维护电力企业网络信息安全管理的相关策略进行研究发现,运用做好安全规划、加强制度建设、设置漏洞防护和提高管理手段四项措施可以起到提升企业网络信息系统的保护强度、建立起符合电力企业网络信息安全的管理制度从而确保安全系统能够顺利有效的开展防护工作的良好效果,希望本文的研究可以更好的提升我国电力企业的网络信息系统的安全管理水平,为维护我国电力系统的安全运行做出贡献。
参考文献
