序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁�,我們?yōu)槟x了8篇的安全網(wǎng)絡(luò)建設(shè)樣本�,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀���。
第1篇
關(guān)鍵詞:油田內(nèi)部�;網(wǎng)絡(luò)建設(shè);安全維護
一�����、針對油田網(wǎng)絡(luò)的安全防范
1.1對于網(wǎng)絡(luò)攻擊的檢測���。這項內(nèi)容大致是指在網(wǎng)絡(luò)設(shè)置防火墻,當油田企業(yè)的網(wǎng)絡(luò)遭受攻擊或者有病毒侵入時�,就會在頁面上顯示警告信息,安全管理人員就能夠第一時間得到報警信息���,采取有效的辦法來應(yīng)對�。在實際的網(wǎng)絡(luò)攻擊防范中��,需要設(shè)置防火墻的地方多種多樣���,比如在服務(wù)器設(shè)備上進行防火墻設(shè)置����,對服務(wù)器的cpu狀態(tài)����、流量變動等參數(shù)進行監(jiān)控管理����,這些參數(shù)在平時總是穩(wěn)定在一定的值�����,雖然也會跟隨時間變化�,但是還是可以尋找其變化規(guī)律的,若是其變化出現(xiàn)異常�,那么報警信息就會發(fā)出,顯示在頁面上���。但是對于報警信息的監(jiān)控來說���,需要人員不間斷地進行觀察,這對于人力資源的角度來說不能盡到最大��,所以企業(yè)要大力開發(fā)新的報警方式�����,比如警示燈、警示音等��。當然企業(yè)要有一定的自我保護能力�,比如在確認遭到攻擊后馬上啟動查殺軟件、斷開網(wǎng)絡(luò)連接等�。
1.2對于網(wǎng)絡(luò)資源的管理。在油田企業(yè)的網(wǎng)絡(luò)運行中�����,每日都需要設(shè)計龐大的數(shù)據(jù)流進出�����,而這些互數(shù)據(jù)的安全性無法得到保障���,所以油田企業(yè)需要建立一個信息提取過濾系統(tǒng),即能夠?qū)M出企業(yè)的信息進行提取和過濾�����,判定事件的安全性與保密性���,高危信息需要拒之門外�����,屬于企業(yè)內(nèi)部保密級別的信息不能流出去�����,這就是這個系統(tǒng)的功能�。而對于油田企業(yè)的設(shè)備操作系統(tǒng),需要將其控制的設(shè)備的各種參數(shù)實時提取并進行判斷���,這樣設(shè)備在發(fā)生事故時工作人員便可通過參數(shù)的變化來判斷機械出問題的部位���。
1.3良好的上網(wǎng)習(xí)慣。很多網(wǎng)絡(luò)安全事故都是因為操作人員安全意識不高��,或者上網(wǎng)習(xí)慣不正確����,胡亂打開不安全網(wǎng)站、下載危險文件包等���,所以企業(yè)內(nèi)要推行正確的上網(wǎng)風氣���,通過建立上網(wǎng)的規(guī)章制度來規(guī)范工作人員的上網(wǎng)習(xí)慣,以此來保證網(wǎng)絡(luò)安全。
二�����、一些常見故障的維護
對于企業(yè)中網(wǎng)絡(luò)故障的發(fā)生�,我們要根據(jù)發(fā)生事故的規(guī)模采取不同的做法,但是大致步驟都是先對操作電腦的人進行詢問�����,使用了那些操作�����,然后對硬件軟件進行檢查�����,深入發(fā)掘問題�����。對于規(guī)模較小的安全問題�����,如單個機子不能上網(wǎng)����,這時先不要請工作人員來檢查,操作人員可以先對網(wǎng)卡進行檢查��,查看其安裝的方式是否正確�����。對于網(wǎng)卡的安裝正誤來說�����,最常見的檢查方式就是Ping本機的地址����,通過其是否通過的表現(xiàn)來判斷網(wǎng)卡的問題。若是這步操作行不通的話�����,那么很有可能就是網(wǎng)卡和計算機中的設(shè)備有沖突����,通過查看設(shè)備管理器來查看網(wǎng)卡究竟與那個設(shè)備有沖突����,也可以換張網(wǎng)卡再試一次����。若是硬件沒問題,那么借來依次檢查雙絞線的狀態(tài)�����、交換機的端口����,這些都有備用的參考資料,可以通過對照來發(fā)現(xiàn)問題����。對于較大規(guī)模的停網(wǎng)現(xiàn)象,也要根據(jù)不同情況加以區(qū)別����。若是網(wǎng)絡(luò)中斷的計算機屬于同一系統(tǒng)�����,即在一個VLAN的控制下運轉(zhuǎn),那么首先要對連接不同樓層的路由器的配置進行檢查�����。上述是按VLAN來區(qū)分維護方式的�,而是否屬于同一交換機也可以作為一種區(qū)分標準。若是不能上網(wǎng)的機子屬于同一交換機�,而且不能與企業(yè)內(nèi)其他交換機控制的電腦通訊,那么這種情況大多數(shù)是交換機死機�����,重啟即可���,若是重啟解決不了問題����,那么有可能使某一電腦自身的網(wǎng)卡故障導(dǎo)致的�����,逐個檢查就好�����。當某一交換機與多臺電腦連接時,因為承受的負載過高�����,使得交換機無法運行也會出現(xiàn)死機的現(xiàn)象����,此外因為過量的運載交換機與上級的網(wǎng)絡(luò)設(shè)備的連接也可能斷裂。
作者:丁啟寧 單位:河南油田澗河社區(qū)
參考文獻:
第2篇
關(guān)鍵詞:ISP企業(yè)�;網(wǎng)絡(luò)安全
1概況
隨著互聯(lián)網(wǎng)呈幾何倍數(shù)的發(fā)展,我們的生活越來越依賴互聯(lián)網(wǎng)�����,吃穿住行幾乎都可以用網(wǎng)絡(luò)來搞定��。但是從網(wǎng)絡(luò)誕生那一刻起�����,就出現(xiàn)了其中不安定的因素����,我們對網(wǎng)絡(luò)越依賴,一旦網(wǎng)絡(luò)安全出現(xiàn)問題�,造成的損失也就會越大,作為一家運營商公司�����,更迫切的需要維護好自己的網(wǎng)絡(luò)安全�����。
2現(xiàn)狀和分析
2.1目標公司發(fā)展現(xiàn)狀
某國有ISP企業(yè)省份公司����,擁有用戶各類20萬左右,因為規(guī)模不大�����,所以在過去幾年���,一直把發(fā)展用戶擴大市場放在首要位置�����,而忽視了網(wǎng)絡(luò)信息安全方面的建設(shè)�����。這是一方面當時的情勢所迫造成的���。隨著用戶的發(fā)展和企業(yè)壯大�,如今����,省內(nèi)ISP網(wǎng)絡(luò)構(gòu)架屬于從核心層出口節(jié)點開始,到下層的核心匯聚層交換機鏈接到底層BRAS設(shè)備����,都是做的雙冗余保護,在網(wǎng)絡(luò)結(jié)構(gòu)上�,屬于合理的布局。并且設(shè)立了多個核心的IDC機房和設(shè)備機房�����,存放各類資源服務(wù)器為網(wǎng)內(nèi)的用戶提供服務(wù)和各網(wǎng)絡(luò)專業(yè)核心的設(shè)備����。
2.2暴露出來的問題
隨著用戶的增加,越來越多的信息網(wǎng)絡(luò)安全問題會開始暴露�,比如會有非法的流量開始試探底層設(shè)備的端口,并且可以看到某些設(shè)備會出現(xiàn)異常的IP地址嘗試登入,或者底層設(shè)備的鏈路利用率突發(fā)暴漲�����,雖然這些問題都被及時發(fā)現(xiàn)并處理了�����。但是并不是說這樣處理掉一兩起的安全問題事情就結(jié)束了�,從中暴露出網(wǎng)絡(luò)安全問題其實是很嚴重的�。
(1)手段單一,只有依靠簡單的防火墻���,或者是依靠核心設(shè)備本身的訪問控制列表對數(shù)據(jù)包進行篩選��,缺乏更多有效的系統(tǒng)手段幫助人們進行監(jiān)控保護網(wǎng)絡(luò)��,一直長期下去的話面對一些網(wǎng)絡(luò)層以上的疑難問題也就只能束手無策����。
(2)各部門對信息的安全性重視不夠��,對信息保密的重視層度不夠��,也沒有接受過相關(guān)的社會工程學(xué)方面的培訓(xùn),安全意識淡薄�。
(3)缺乏專業(yè)性的技術(shù)團隊和思路,完全是在閉門造車�。到現(xiàn)在處理問題的思路在技術(shù)層次還是停留在路由和交換級別的。現(xiàn)在只能把每個事件單獨當作一個單獨事件來處理��,很難避免下次不會發(fā)生重復(fù)的問題�����。
(4)從整個網(wǎng)絡(luò)的構(gòu)架開始搭建起來�����,就沒有把網(wǎng)絡(luò)安全放在重要的位置�����,剛開始BRAS設(shè)備是有了雙向冗余就開始上線����,本應(yīng)該考慮更多的迂回保護措施都是后期的時候慢慢彌補上去的。物理上的冗余保護如此�,網(wǎng)絡(luò)的安全保護也一直是沒有跟上網(wǎng)絡(luò)拓撲的擴展。
3網(wǎng)絡(luò)安全的建設(shè)
3.1從認識思想上進行轉(zhuǎn)變
要建設(shè)公司的電信級網(wǎng)絡(luò)安全架構(gòu)�,需要公司從上到下有一個認識,就是對安全危機的認同感,網(wǎng)絡(luò)的安全投入的確是燒錢���,并且它后期還會需要不斷的成本投入�����。期待它能馬上給你利潤回報����,那是不可能的�����。但是看看合作企業(yè)競爭對手�����,無一不是對安全問題異常的重視����。同時要做好網(wǎng)絡(luò)安全�,我們還要開始學(xué),向服務(wù)商學(xué)習(xí)����,向設(shè)備商學(xué)習(xí)�。一步步踏實做下去�����。
3.2改變公司組織結(jié)構(gòu)
安全部門并不同于一般的網(wǎng)撐中心��,數(shù)據(jù)中心�����,它需要專注地負責網(wǎng)絡(luò)防御檢測和處理各類的網(wǎng)絡(luò)安全問題����,因此如果將這樣一個安全部門掛靠在網(wǎng)絡(luò)支撐下面是不合適的,從專業(yè)來看�����,網(wǎng)絡(luò)安全防御����,社工防御,欺騙滲透防御都是它的職責�。而且將來的網(wǎng)絡(luò)布局����,都會需要他們提供安全方面的意見����,所以這必須是一個獨立的部門,來區(qū)別于網(wǎng)絡(luò)建設(shè)部和網(wǎng)絡(luò)支撐中心�����。
3.3建立網(wǎng)絡(luò)安全制度
在公司內(nèi)部建立網(wǎng)絡(luò)安全規(guī)范的制度����,強制性地規(guī)定員工登入設(shè)備的權(quán)限和密碼設(shè)置原則�,要求登入口令的密碼長度和復(fù)雜成分,區(qū)分開每個人的職責范圍�����,個人的權(quán)限只能存在幾臺服務(wù)器上��,避免被人利用同樣的賬號密碼登入所有的設(shè)備����。并且要求定期更換密碼�。設(shè)置強硬的核心機房準入制度來防止設(shè)備遭受最直接的物理攻擊�����。對于敏感重要的數(shù)據(jù)����,要定期做異地備份。
3.4建立可靠的安全網(wǎng)絡(luò)
要建立行之有效的安全網(wǎng)絡(luò)體系架構(gòu)�����,建議對整個網(wǎng)絡(luò)進行統(tǒng)一的部署����,構(gòu)建網(wǎng)絡(luò)安全架構(gòu)的安全設(shè)備類型通常有:
防火墻:firewall,可以根據(jù)IP地址或服務(wù)端口過濾數(shù)據(jù)包���,可以通過制定過濾規(guī)則來限制�����。
流量分析系統(tǒng):它主要針對網(wǎng)內(nèi)的流量流向鏡像進行監(jiān)控�����、分析�����、不僅可以提供用戶的使用偏好分析����,更多的可以監(jiān)控網(wǎng)內(nèi)的流量過去和現(xiàn)在的數(shù)據(jù)是否異常。
流量采集分析清洗設(shè)備:也叫ADS�����,它可以針對于網(wǎng)內(nèi)的異常流量進行篩選和清洗����。特別是對于現(xiàn)在的DDOS攻擊有很好的效果�。
Web應(yīng)用防護系統(tǒng):也稱WAF�����。WEB應(yīng)用防御產(chǎn)品,針對應(yīng)用層的攻擊做出反應(yīng)�����。是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護的一款產(chǎn)品。
入侵防御檢測設(shè)備:也稱IPS�����,這是對防火墻和殺毒軟件的一個補充�。可以有效發(fā)現(xiàn)阻止4到5層的異常流量�����,其中還有的入侵預(yù)防系統(tǒng)�����,通過正常數(shù)據(jù)以及數(shù)據(jù)之間關(guān)系的通常的樣子����,可以對照識別異常。
審計系統(tǒng):針對互聯(lián)網(wǎng)行為提供有效的行為審計�、內(nèi)容審計、行為報警��、行為控制及相關(guān)審計功能�。滿足用戶對互聯(lián)網(wǎng)行為審計備案及安全保護措施的要求,提供完整的上網(wǎng)記錄�����,便于信息追蹤、系統(tǒng)安全管理和風險防范�����。
值得一提的是隨著安全技術(shù)的演進���,今后的防火墻將會兼容ADS之類的流量監(jiān)視和清洗功能���,是否還能將WAF和IPS設(shè)備的功能融合進來尚不得而知,但是展望安全網(wǎng)絡(luò)的科技樹發(fā)展的方向�����,這必然是未來安全行業(yè)的發(fā)展一段趨勢���?��?紤]到設(shè)備的使用安全性����,集眾家所長的安全設(shè)備固然能夠減少了接入的層次�,降低了生產(chǎn)成本�。
關(guān)于安全網(wǎng)絡(luò)的組網(wǎng),還是要嚴格按照雙機備份的原則�,特別是涉及到防火墻,必須做到雙機冗余的原則����,保證一臺設(shè)備宕機的情況下,另一臺能正常工作����,并且不影響到網(wǎng)絡(luò)流量的正常轉(zhuǎn)發(fā)。建議還是聽從專業(yè)廠家或者服務(wù)商提供的方案進行部署����。
關(guān)于DMZ區(qū)域和IDC的網(wǎng)絡(luò)安全構(gòu)架建設(shè):DMZ即緩沖區(qū),也是我們部署web服務(wù)器���,DNS系統(tǒng)����,3A系統(tǒng)���,ftp服務(wù)器的區(qū)域�,建議統(tǒng)一進行規(guī)劃。減少網(wǎng)絡(luò)的復(fù)雜性��,便于管理���。包括IDC服務(wù)器組��,如果條件允許����。也應(yīng)該統(tǒng)一納入網(wǎng)絡(luò)中��。
3.5建設(shè)前后的測試
有人說過一個最大的錯誤是假定安全設(shè)備本身是安全的�����。所以合理的部署和計劃是十分必要的而且重要的���。開始建設(shè)前�,一方面應(yīng)該進行足夠的壓力測試��,從設(shè)備的本身是否安全開始到演示當設(shè)備在網(wǎng)的時候出現(xiàn)的各種情況���,來判斷方案是否可行����,這是個漫長而枯燥的過程����,但卻是十分必要,沒有人愿意在完成建設(shè)后重新趕工修改自己的網(wǎng)絡(luò)部署���,另外一方面必須和廠家���、集成商、服務(wù)商溝通好��,要求其能夠提供足夠的應(yīng)急預(yù)案來保障安全的運行���。工程完成以后就應(yīng)該開始進行各種的測試����,測試設(shè)備能否正常工作發(fā)揮作用�����,已經(jīng)能否順利的升級,及時更新補丁等等����。如果有條件,還應(yīng)該定期執(zhí)行漏掃和進行滲透測試�。
第3篇
目前雙向網(wǎng)在5~1000MHz的范圍內(nèi)可劃分為:上行頻段:5~65MHz;過度頻段:65~87MHz�;FM頻段:87~108MHz;下行頻段:108~1000MHz�����。③數(shù)字電視��。數(shù)字電視一種將節(jié)目的全部過程利用數(shù)字處理信號的方式來運行或利用二進制數(shù)字串所形成的數(shù)字流傳播的電視�。基于DVB技術(shù)標準的廣播式和“交互式”的數(shù)字電視�。是采用了先進客戶管理技術(shù),可以為客戶才來更多好節(jié)目��,提高了畫面的清晰度和質(zhì)量��。它還可以訂購各種業(yè)務(wù)���,如互動電視����、高清晰度電視、標準清晰度電視���、BSV液晶拼接等業(yè)務(wù)。與傳統(tǒng)電視相比��,數(shù)字電視音質(zhì)更好����、節(jié)目數(shù)量更多、畫面更清晰亮麗����。
2現(xiàn)階段數(shù)字電視雙向網(wǎng)絡(luò)存在的安全問題
在雙向網(wǎng)絡(luò)出現(xiàn)之前,數(shù)字電視一直使用的是單向網(wǎng)絡(luò)�����。由于單向網(wǎng)絡(luò)與網(wǎng)絡(luò)連接少���,收費低����,可獲取的利益少,所以單向網(wǎng)絡(luò)安全問題多數(shù)集中在授權(quán)的安全��,不要出現(xiàn)盜版�����,不要出現(xiàn)黑戶問題上�。而數(shù)字電視雙向網(wǎng)絡(luò)業(yè)務(wù)更多、用戶的增值項目也多�����,使得他人可利用數(shù)字電視雙向網(wǎng)絡(luò)賺取大筆利潤����,由此將引起大量的黑客對數(shù)字電視雙向網(wǎng)絡(luò)的關(guān)注。數(shù)字電視雙向網(wǎng)絡(luò)不像數(shù)字電視單向網(wǎng)絡(luò)保守���,其安全問題不僅僅像數(shù)字電視單向網(wǎng)絡(luò)那樣只出現(xiàn)在終端而是前段終端都可能出現(xiàn)���。還要考慮終端對前端的影響和惡意攻擊,這使得數(shù)字電視單向網(wǎng)絡(luò)的安全建設(shè)單獨大大加大����。
3數(shù)字電視雙向網(wǎng)絡(luò)的安全建設(shè)的建議
3.1建立一個開放性����、標準性���,能夠取得第三方認證的系統(tǒng)結(jié)構(gòu)
推薦使用兩種技術(shù)���,一個是公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure,PKI)技術(shù)���。另一個是安全套接層(SeeureSocketLayer,SSL)技術(shù)���。①公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure����,PKI)技術(shù)����。所謂公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure,PKI)技術(shù)其實就是一個用公鑰概念���、技術(shù)實施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施�����。公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure��,PKI)技術(shù)是一種新的安全技術(shù)���,它由公開密鑰密碼技術(shù)����、數(shù)字證書�����、證書發(fā)放機構(gòu)(CA)和關(guān)于公開密鑰的安全策略等基本成分共同組成的���。公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure��,PKI)技術(shù)是利用公鑰技術(shù)實現(xiàn)電子商務(wù)安全的一種體系���,是一種基礎(chǔ)設(shè)施,網(wǎng)絡(luò)通訊����、網(wǎng)上交易是利用它來保證安全的���。公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure,PKI)技術(shù)是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺����,目的是為了管理密鑰和證書。一個機構(gòu)通過采用公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure���,PKI)技術(shù)框架管理密鑰和證書可以建立一個安全的網(wǎng)絡(luò)環(huán)境�����。公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure���,PKI)技術(shù)包括四個主要部分:X.509格式的證書(X.509V3)和證書廢止列表CRL(X.509V2)����;CA操作協(xié)議;CA管理協(xié)議���;CA政策制定�����。②安全套接層(SeeureSocketLayer��,SSL)技術(shù)���。SSL(SecureSocketLayer)安全套接層是Netscape公司率先采用的網(wǎng)絡(luò)安全協(xié)議����。它是在傳輸通信協(xié)議(TCP/IP)上實現(xiàn)的一種安全協(xié)議���,采用公開密鑰技術(shù)��。SSL(SecureSocketLayer)安全套接層應(yīng)用廣泛����,各種網(wǎng)絡(luò)都可以使用它���,不僅如此����,還提供了三中安全服務(wù)���。SSL(SecureSocketLayer)安全套接層是一種利用TCP的可靠的端到端的安全服務(wù)���,而且他還是一個二層協(xié)議���,底層是SSL記錄層,此層是用來封裝各種上層協(xié)議�����。還有一層是SSL的握手協(xié)議�����,它的作用是在服務(wù)器和客戶機之間傳送數(shù)據(jù)之前協(xié)商加密算法和加密密鑰����,服務(wù)器將通過客戶及提出的加密算法來選擇最適合的算法。還有三個更高層的協(xié)議�,分別為SSL的一部分:握手協(xié)議��、修改密文規(guī)約協(xié)議和告警協(xié)議�����。有這兩項技術(shù)作為基礎(chǔ)的數(shù)字電視雙向網(wǎng)絡(luò)安全系統(tǒng),既能獲取第三方的認證��,還能增加安全性���。
3.2網(wǎng)絡(luò)內(nèi)容安全
網(wǎng)絡(luò)是把雙刃劍?���,F(xiàn)在網(wǎng)絡(luò)充斥著各種不良信息���,還有一些不法分子制造網(wǎng)絡(luò)病毒損害電腦��,盜取別人的個人信息和重要數(shù)據(jù)以此來謀取利益��。當然隨著網(wǎng)購的興起��,更有不法分子通過網(wǎng)絡(luò)盜取和騙取錢財���。由此,數(shù)字電視雙向網(wǎng)絡(luò)應(yīng)該有一個安全的環(huán)境����,保護用戶的個人信息和錢財,還要防止病毒的侵入�。我建議利用消息鑒別碼(MessageAuthenticationCode���,MAC),消息鑒別碼(MessageAuthenticationCode����,MAC)可以鑒別信息的來源是否合法還可以保證信息的完整性。消息鑒別碼(MessageAuthenticationCode,MAC)有一個認證標識是用公開函數(shù)和密鑰然后產(chǎn)生一個長度一定的值,消息鑒別碼用這個標識來判斷信息的完整性���。利用一個密鑰生成一個大小一定的數(shù)據(jù)塊(MAC)����,將其與信息一起傳送�,接收方利用發(fā)送方共享的密鑰進行鑒別認證等.消息鑒別碼(MessageAuthenticationCode,MAC)僅僅認證消息MAC的完整性(不會被篡改)和可靠性(不會是虛假的消息或偽造的消息)����,但不負責數(shù)據(jù)MAC是否被安全傳輸。之所以要放棄信息的保密性(使用公鑰加密私鑰簽名的對稱密碼協(xié)議可以很好的保證信息MAC的保密性���、完整性和可靠性)��,是因為在某些場合(政府部門公告���、網(wǎng)絡(luò)管理通知等)并不需要對信息進行加密;或者是有些場合(例如廣播信息等)需要長時間傳輸大量信息��。由于MAC函數(shù)是單向函數(shù)��,因此對明文M進行摘要計算的時間遠比使用對稱算法或公開密鑰算法對明文加密的時間要小�����。
3.3保證用戶信息的安全
在進行業(yè)務(wù)費用支付的時候���,會要求用戶輸入個人資料和密碼等���。保護用戶的資料和密碼就成為結(jié)構(gòu)系統(tǒng)需要注意的事項。虛擬鍵盤技術(shù)大可解決此問題���。有了虛擬鍵盤技術(shù)��,機頂盒會出現(xiàn)一個鍵盤���,鍵盤上的數(shù)字都是隨機排列的,這樣就算不法分子偷到了遙控器的紅外數(shù)據(jù)����,得到的也僅僅是上下左右����,而不是用戶密碼���,從而保證了信息輸入的安全���。
4結(jié)語
第4篇
關(guān)鍵詞:計算機網(wǎng)絡(luò);安全建設(shè)���;威脅因素���;安全技術(shù)
中圖分類號:TP393.08
目前計算機網(wǎng)絡(luò)實現(xiàn)了信息全球化,被廣泛應(yīng)用到人們的學(xué)習(xí)����、生活和工作之中,甚至也被應(yīng)用到了國家各種事務(wù)的處理之中�����。但是因為計算機網(wǎng)絡(luò)具有開放性����、互聯(lián)性和多樣性的特點�����,很容易受到攻擊,存在很多威脅因素��。因此��,就要采取必要的措施來網(wǎng)絡(luò)信息的安全��、保密��、可靠��。
1 計算機網(wǎng)絡(luò)安全存在的威脅因素
威脅計算機網(wǎng)絡(luò)安全的因素是多種多樣的����,涉及到很多個方面的,下面將對當前網(wǎng)絡(luò)安全存在的威脅進行總結(jié):
1.1 無授權(quán)訪問����。無授權(quán)訪問指的是沒有經(jīng)過預(yù)先同意的對網(wǎng)絡(luò)或計算機資源的使用,主要包括:自作主張的擴大權(quán)限���,越權(quán)訪問不該訪問的信息���;故意避開系統(tǒng)訪問的控制����,不正常的使用網(wǎng)絡(luò)資源和設(shè)備����。這些無授權(quán)訪問主要通過非法進入網(wǎng)絡(luò)系統(tǒng)、違規(guī)操作��、假冒身份��、身份攻擊以及合法的用戶不以授權(quán)的方式進行操作形式表現(xiàn)出來��。
1.2 數(shù)據(jù)的完整性遭到破壞����。一些攻擊者使用違法手段盜竊數(shù)據(jù)的使用券,并對這些數(shù)據(jù)進行插入�����、修改���、刪除或者是重發(fā)一些重要保密的信息����,期望得到有益于自己的響應(yīng)。并且他們?yōu)榱擞绊懹脩舻恼J褂?��,惡意修改��、添加?shù)據(jù),破壞數(shù)據(jù)的完整性和正確性����。
1.3 使用計算機網(wǎng)絡(luò)散播病毒。計算機病毒通常是最先以一個計算機系統(tǒng)作為載體���,通過移動硬盤�、軟盤��、網(wǎng)絡(luò)和光盤等媒質(zhì)介體��,對其他的計算機系統(tǒng)進行惡意破壞����。計算機病毒能夠在特別短的時間內(nèi)使整個計算機網(wǎng)絡(luò)癱瘓,使得網(wǎng)絡(luò)損失慘重���。用戶很難防范通過計算機網(wǎng)絡(luò)傳播的病毒���,單機系統(tǒng)和計算機系統(tǒng)很容易在病毒的干擾下發(fā)生異常和破壞�。
1.4 丟失或泄露信息��。被有意或者是無意丟失和泄露的信息往往是敏感數(shù)據(jù)和保密數(shù)據(jù)����,通常包括:信息在存儲介質(zhì)中遭到泄露或丟失、信息在傳輸過程中遭到泄露或丟失(最常見的就是黑客通過對通信長度或頻度�����、信息流量和流向等數(shù)據(jù)的分析以及利用搭線竊聽或者是電磁泄露的方式截獲或破解機密信息���,來推算出用戶的賬號�����、口令等重要的有用的信息)����、黑客建立隱蔽隧道來偷竊敏感保密的信息。
1.5 干擾服務(wù)攻擊��。主要是通過改變服務(wù)系統(tǒng)的正常的作業(yè)流程�、執(zhí)行無關(guān)緊要的程序來減慢系統(tǒng)響應(yīng)直至癱瘓等方式不斷地對計算機網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾,干擾合法用戶的正常使用����,以及不使正常用戶進入計算機網(wǎng)絡(luò)系統(tǒng),無法得到服務(wù)等����。
1.6 管理不到位存在的威脅。計算機網(wǎng)絡(luò)的正常運行離不開正確的管理����,錯誤的管理會給企業(yè)造成非常巨大的損失�����。需要進行的管理主要包括計算機網(wǎng)絡(luò)��、硬件設(shè)備和軟件系統(tǒng)����,例如若是軟件系統(tǒng)沒有健全的安全管理����,不僅會破壞計算機網(wǎng)絡(luò)的安全,還會使得計算機網(wǎng)絡(luò)錯誤的運行�。還有一個因素就是工作人員在工作過程中��,不注意對移動U盤進行保護和管理��,加入病毒,在插入電腦之后���,又將帶著的病毒傳給電腦,病毒進入電腦之后�,就會電腦的網(wǎng)絡(luò)系統(tǒng)進行惡意破壞����,使整個計算機網(wǎng)絡(luò)系統(tǒng)癱瘓不能使用�。
2 計算機網(wǎng)絡(luò)系統(tǒng)安全技術(shù)措施
2.1 檢測入侵�。如果計算機網(wǎng)絡(luò)中存在可以被惡意攻擊者利用的漏洞���、安全弱點和不安全的配置(如應(yīng)用程序�、網(wǎng)絡(luò)服務(wù)����、網(wǎng)絡(luò)設(shè)備�、TCP/IP協(xié)議、操作系統(tǒng)等幾個方面存在這樣的問題)���,就會遭到黑客或者攻擊者的網(wǎng)絡(luò)攻擊和惡意入侵。網(wǎng)管人員在網(wǎng)絡(luò)系統(tǒng)沒有預(yù)警防護機制的情況下���,是很難發(fā)現(xiàn)已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò)和關(guān)鍵主機的攻擊者實施的非法操作的�。檢測入侵系統(tǒng)可以說是計算機網(wǎng)絡(luò)系統(tǒng)的第二個安全閘門�����,因為它在監(jiān)聽網(wǎng)絡(luò)的時候不影響計算機網(wǎng)絡(luò)系統(tǒng)的性能�����,并且可以及時地提供對誤操作���、外部攻擊和內(nèi)部攻擊的保護���。
2.2 應(yīng)用安全漏洞掃描技術(shù)����。安全漏洞掃描技術(shù)可以通過自動檢測本地或者是遠程主機安全上存在的弱點�,使網(wǎng)絡(luò)管理人員在黑客和入侵者找到漏洞之前就修補存在著的這些安全漏洞���。專門檢查數(shù)據(jù)庫安全漏洞的掃描器、網(wǎng)路安全漏洞掃描和主機安全漏洞掃描等都是安全漏洞掃描軟件���。但是由于操作系統(tǒng)的安全漏洞隨時在��、安全資料庫時刻在更新�����,所以各種安全漏洞掃描器只有及時進行更新才能掃描出系統(tǒng)的全部安全漏洞��,防止黑客的進入��。
2.3 防治計算機病毒����。防治計算機病毒的首要做法就是要給所以計算機裝上殺毒軟件,并對這些殺毒軟件進行及時的更新和維護���,還要定期對這些殺毒軟件進行升級�����。殺毒軟件可以在病毒侵入到系統(tǒng)的時候及時地發(fā)現(xiàn)病毒庫中已經(jīng)存在的可以代碼�、可疑程序和病毒���,并警告給主系統(tǒng)準確的查找病毒的實際來源�����,對大多數(shù)病毒進行及時的隔離和清除。使用者要注意不要隨意打開或者安裝來歷不明的程序���、軟件和陌生郵件等�����。發(fā)現(xiàn)已經(jīng)感染病毒后要對病毒實行檢測和清除���,及時修補系統(tǒng)漏洞���。
2.4 使用防火墻技術(shù)。防火墻指的是一個控制兩個網(wǎng)絡(luò)間互相訪問的一個系統(tǒng)�,它主要通過對硬件和軟件的結(jié)合為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的溝通建立一個“保護層”,只有經(jīng)過這個保護層連接和檢查����,獲得授權(quán)允許的通信才能通過這個保護層。防火墻不僅能夠阻止外界非法訪問內(nèi)部網(wǎng)絡(luò)資源��,還能提供監(jiān)視Internet預(yù)警和安全的方便端點���,控制內(nèi)部訪問外部的特殊站點�����。然而��,防火墻并不能解決一切問題����,即使是通過精心配制的防火墻也不能抵擋住隱蔽在外觀看似正常的數(shù)據(jù)下的程序通道。為了更好的利用防火墻技術(shù)保護網(wǎng)絡(luò)的安全����,就要根據(jù)需求合理的配置防火墻,采用加密的HTTP協(xié)議和過濾嚴格的WEB程序����,不要多開端口,經(jīng)常升級�,管理好內(nèi)部網(wǎng)絡(luò)的用戶。
2.5 黑客誘騙技術(shù)���。黑客誘騙技術(shù)就是通過―個由網(wǎng)絡(luò)安全專家精心設(shè)置的特殊系統(tǒng)來引誘黑客���,并記錄和跟蹤黑客,其最重點的功能就是經(jīng)過特殊設(shè)置記錄和監(jiān)視系統(tǒng)中的所有操作���,網(wǎng)絡(luò)安全專家經(jīng)過精心的偽裝能夠達到使黑客和惡意的進攻者在進入目標系統(tǒng)后�����,并不知道自己的行為已經(jīng)處于別人的監(jiān)視之中�����。網(wǎng)絡(luò)安全專家故意在黑客誘騙技術(shù)系統(tǒng)中放置一些虛假的敏感信息或留下一些安全漏洞來吸引黑客自行上鉤����,使得黑客并不知道他們在目標系統(tǒng)中的所有行為都已經(jīng)被記錄下來����。黑客誘騙技術(shù)系統(tǒng)的管理人員可以仔細分析和研究這些記錄����,了解黑客采用的攻擊水平��、攻擊工具����、攻擊目的和攻擊手段等����,還可以分析黑客的聊天記錄來推算他們的下一個攻擊目標和活動范圍����,對系統(tǒng)進行防護性保護����。同時這些記錄還可以作為黑客的證據(jù),保護自身的利益����。
2.6 網(wǎng)絡(luò)安全管理。確保網(wǎng)絡(luò)的安全����,還要加強對網(wǎng)絡(luò)的管理,要限制用戶的訪問權(quán)限���、制定有關(guān)的規(guī)章制度、制定書面規(guī)定、策劃網(wǎng)絡(luò)的安全措施�、規(guī)定好網(wǎng)絡(luò)人員的安全規(guī)則。此外���,還要制定網(wǎng)絡(luò)系統(tǒng)的應(yīng)急措施和維護制度����,確定安全管理和等級,這樣才能確保網(wǎng)絡(luò)的安全����。
3 結(jié)束語
由于我們的工作和生活都離不開網(wǎng)絡(luò),所以計算機網(wǎng)絡(luò)安全是我們非常關(guān)注的事情。我們需要建立一個安全�����、完善的計算機網(wǎng)絡(luò)系統(tǒng)來保證我們的利益���,需要計算機網(wǎng)絡(luò)進行不斷的完善�����,解決掉存在的各種安全威脅���。同時網(wǎng)絡(luò)的不安全也會影響到企業(yè)和國家的利益��,所以只要網(wǎng)絡(luò)的安全性提高了�����,企業(yè)和國家才能發(fā)展的更好���,社會才會進步��。
參考文獻:
[1]張鏑.淺析計算機網(wǎng)絡(luò)安全建設(shè)方法及安全技術(shù)[J].電子世界,2014(08):21-22.
[2]趙洪斌.計算機網(wǎng)絡(luò)安全建設(shè)方法及安全技術(shù)[J].計算機光盤軟件和應(yīng)用����,2013(11):35-38.
第5篇
在電信部門IDC機房部署應(yīng)用服務(wù)器兩臺及以上�、數(shù)據(jù)庫服務(wù)器兩臺(或者四臺)分別做雙機熱備或多機互備,數(shù)據(jù)庫服務(wù)器通過光纖交換機與存儲系統(tǒng)相連接����,為了便于數(shù)據(jù)同步�,在單位部署一臺數(shù)據(jù)上傳服務(wù)器和電信部門IDC機房部署一臺前置數(shù)據(jù)庫服務(wù)器���,定期將內(nèi)部需要在外網(wǎng)查詢的內(nèi)容通過數(shù)據(jù)上傳服務(wù)器自動傳送到外網(wǎng)前置數(shù)據(jù)庫服務(wù)器上�����,在外網(wǎng)前置數(shù)據(jù)庫服務(wù)器上進行數(shù)據(jù)校驗和比對后自動同步到網(wǎng)站數(shù)據(jù)庫服務(wù)器上����,實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的及時更新。
2網(wǎng)絡(luò)通信建設(shè)
由于門戶網(wǎng)站的所有硬件都托管在電信部門IDC機房����,故在網(wǎng)絡(luò)通信方面完全利用電信部門IDC機房現(xiàn)有的網(wǎng)絡(luò)通信設(shè)備,對外出口帶寬至少為兩條100MB鏈路。
3網(wǎng)絡(luò)安全防護建設(shè)
政府類門戶網(wǎng)站的安全建設(shè)按照計算機信息系統(tǒng)安全等級保護三級技術(shù)標準執(zhí)行���。涉及內(nèi)容包括:數(shù)據(jù)機房安全����、網(wǎng)絡(luò)通信安全�����、主機系統(tǒng)安全���、應(yīng)用安全�、數(shù)據(jù)安全幾個部分�。
3.1防護對象
政府門戶網(wǎng)站信息網(wǎng)絡(luò)大致可分為管理信息區(qū)域和信息區(qū)域��,管理信息區(qū)域用于支撐該系統(tǒng)與業(yè)務(wù)相關(guān)的內(nèi)部管理信息應(yīng)用數(shù)據(jù)。管理信息區(qū)域劃分為用于承載內(nèi)部辦公的信息內(nèi)網(wǎng)和用于支撐對外業(yè)務(wù)和互聯(lián)網(wǎng)用戶的信息外網(wǎng)。信息區(qū)為面向公眾的信息平臺���,用于信息查詢、政策導(dǎo)向、公眾監(jiān)督等互聯(lián)網(wǎng)訪問需要�����。
3.2設(shè)計思路
政府類門戶網(wǎng)站網(wǎng)絡(luò)安全防護體系是依據(jù)以下策略進行建設(shè):雙網(wǎng)雙機:管理信息區(qū)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng),內(nèi)外網(wǎng)間采用物理隔離����,信息內(nèi)外網(wǎng)分別采用獨立的服務(wù)器����,數(shù)據(jù)進行單向流動,通過人工操作實現(xiàn),極大地保障了信息數(shù)據(jù)和內(nèi)部網(wǎng)絡(luò)的安全���。等級防護:管理信息系統(tǒng)將以實現(xiàn)等級保護為基本出發(fā)點進行安全防護體系建設(shè)�����,并參照國家等級保護基本要求進行安全防護措施設(shè)計����;多層防御:在分域防護的基礎(chǔ)上����,將各安全域的信息系統(tǒng)劃分為邊界����、網(wǎng)絡(luò)、主機����、應(yīng)用四個層次進行安全防護設(shè)計,以實現(xiàn)層層遞進����,縱深防御����。
3.3防護措施
(1)基于網(wǎng)絡(luò)安全的訪問控制�。在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備��,啟用訪問控制功能����;根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,控制粒度為端口級�;對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾,實現(xiàn)對應(yīng)用層HTTP��、FTP����、TELNET、SMTP����、POP3等協(xié)議命令級的控制;在會話處于非活躍時間或會話結(jié)束后終止網(wǎng)絡(luò)連接�����;限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)���;重要網(wǎng)段采取技術(shù)手段防止地址欺騙���;按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問����,控制粒度為單個用戶;限制具有撥號訪問權(quán)限的用戶數(shù)量����。
(2)設(shè)備和審計系統(tǒng)結(jié)合。對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況�����、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄��;審計記錄包括:事件的日期和時間���、用戶��、事件類型����、事件是否成功及其他與審計相關(guān)的信息�;能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表���;對審計記錄進行保護�,避免受到未預(yù)期的刪除���、修改或覆蓋等�;實現(xiàn)對應(yīng)用系統(tǒng)的數(shù)據(jù)訪問與操作進行全面地監(jiān)控審計����,可實時顯示和監(jiān)視操作行為����,詳細記錄所有的操作行為和操作內(nèi)容���,提供審計查詢和關(guān)聯(lián)分析,輸出完整地審計統(tǒng)計報告���。
(3)基于安全事件的防護����。能夠?qū)Ψ欠ń尤雰?nèi)部網(wǎng)絡(luò)的行為進行檢查�,準確定出位置,并對其進行有效阻斷�。
(4)檢測和主動防御的融合。在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描�、強力攻擊、木馬后門攻擊�、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊���、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等��;當檢測到攻擊行為時����,記錄攻擊源IP、攻擊類型�����、攻擊目的�、攻擊時間,在發(fā)生嚴重入侵事件時提供報警���。
(5)病毒防御機制�����。在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除���;維護惡意代碼庫的升級和檢測系統(tǒng)的更新。
(6)虛擬接入和防篡改技術(shù)����。對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別;對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制����;網(wǎng)絡(luò)設(shè)備用戶的標識唯一����;當對網(wǎng)絡(luò)設(shè)備進行遠程管理時����,采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離����。通過主頁防篡改系統(tǒng)進一步防止黑客對門戶網(wǎng)站設(shè)備的入侵����。
(7)主機系統(tǒng)防護。主機系統(tǒng)安全防護包括對系統(tǒng)內(nèi)服務(wù)器及存儲設(shè)備的安全防護���。服務(wù)器包括業(yè)務(wù)應(yīng)用服務(wù)器�、數(shù)據(jù)庫服務(wù)器�����、WEB服務(wù)器����、文件與通信服務(wù)器等����。保護主機系統(tǒng)安全的目標是采用信息保障技術(shù)確保業(yè)務(wù)數(shù)據(jù)在進入�、離開或駐留服務(wù)器時保持可用性���、完整性和保密性���,采用相應(yīng)的身份認證、訪問控制等手段阻止未授權(quán)訪問����,采用主機防火墻、入侵檢測等技術(shù)確保主機系統(tǒng)的安全�����,進行事件日志審核以發(fā)現(xiàn)入侵企圖����,在安全事件發(fā)生后通過對事件日志的分析進行審計追蹤,確認事件對主機的影響以進行后續(xù)處理���。
3.4安全防護集成
綜上所述���,政府門戶網(wǎng)站信息網(wǎng)絡(luò)的可靠運轉(zhuǎn)是基于通訊子網(wǎng)�、計算機硬件���、操作系統(tǒng)����、各種應(yīng)用軟件等各方面����、各層次的良好運行��。因此���,其風險將來自對內(nèi)部和外部的各個關(guān)鍵點可能造成的威脅,這些威脅可能造成總體功能的失效����。網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要考慮安全對象和安全機制,安全對象主要有網(wǎng)絡(luò)安全��、系統(tǒng)安全��、數(shù)據(jù)庫安全�����、信息安全����、設(shè)備安全、病毒防治等����。
(1)網(wǎng)絡(luò)出口邊界部署能夠防御DoS/DDoS攻擊����、ARP欺騙攻擊����、TCP報文標志位不合法攻擊、LargeICMP報文攻擊���、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊的下一代防火墻���。保證正常訪問用戶的接入,對內(nèi)網(wǎng)資源形成進行有效保護�����。
(2)網(wǎng)絡(luò)出口部署入侵防御系統(tǒng)�����,因為內(nèi)部網(wǎng)絡(luò)中有很多服務(wù)器(如web服務(wù)器����、通訊服務(wù)器���、應(yīng)用服務(wù)器集群等等)����,各種服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫在網(wǎng)絡(luò)通訊傳輸中存在天然的安全隱患�����,如對協(xié)議中的異常情況考慮不足���。外部非法訪問可利用協(xié)議的漏洞對服務(wù)器發(fā)起攻擊����。向服務(wù)器發(fā)送非標準或者緩沖區(qū)溢出的協(xié)議數(shù)據(jù)�,從而奪取服務(wù)器控制權(quán)或者造成服務(wù)器宕機。密切跟蹤全球知名安全組織和軟件廠商的安全公告�����,對各種威脅進行分析��、驗證����,保證實時更新簽名庫����,跟進安全威脅的發(fā)展狀況。不斷升級入侵防御系統(tǒng)檢測引擎以防護新出現(xiàn)的安全威脅���,具備防御0-DAY攻擊能力。
(3)網(wǎng)絡(luò)內(nèi)部署安全審計系統(tǒng)����,在嚴格執(zhí)行安全保密規(guī)定的基礎(chǔ)上����,對整個系統(tǒng)的監(jiān)控審計管理,保證系統(tǒng)的數(shù)據(jù)完整性���、保密性和可信性���。實時顯示和監(jiān)視操作行為,詳細記錄所有的操作行為和操作內(nèi)容����,提供審計查詢和關(guān)聯(lián)分析,輸出完整地審計統(tǒng)計報告�����。發(fā)生安全問題時����,可以從系統(tǒng)的審計記錄庫中快速查找違規(guī)操作活動和留下的痕跡,獲取可靠的證據(jù)信息�,如果發(fā)生了安全事故也能夠快速查證并追根尋源。
(4)在門戶網(wǎng)站服務(wù)器前端部署web應(yīng)用防火墻系統(tǒng)�����,對web服務(wù)器進行全面防護,發(fā)現(xiàn)并阻斷各種WEB攻擊����,定期檢查網(wǎng)站各種安全隱患����,發(fā)現(xiàn)問題及時預(yù)警并自動采取修補措施���;實時防護各種WEB應(yīng)用攻擊���、DDOS攻擊、網(wǎng)頁木馬攻擊等行為����。
(5)在Web服務(wù)器上部署網(wǎng)頁放篡改系統(tǒng),采用HTTP請求過濾、核心內(nèi)嵌等技術(shù)���;提供實時阻斷����、事件觸發(fā)���、數(shù)字水印和應(yīng)用防護四種防護措施,通過四種防護措施的合理組合達到起到更好的防護作用�����。在安全審計系統(tǒng)對Web服務(wù)器的所有操作全面監(jiān)控進行告警����、記錄的預(yù)防措施的前提下,形成一套有機的保護體系����,在發(fā)生篡改行為后迅速恢復(fù)Web網(wǎng)頁內(nèi)容,不影響正常訪問��,避免業(yè)務(wù)中斷����。
(6)網(wǎng)絡(luò)出口部署的防病毒網(wǎng)關(guān)����,所有數(shù)據(jù)流都需要經(jīng)過防病毒網(wǎng)關(guān)���。因此防病毒網(wǎng)關(guān)能夠有效地監(jiān)控進入內(nèi)部網(wǎng)絡(luò)的流量�。提供兩種方式的病毒掃描����,一種傳統(tǒng)的掃描方式,文件完全掃描后推送給真正的接收者���,主要用來保護安全需求強烈的服務(wù)器或者重要區(qū)域����,另一種是邊傳輸邊緩存的方式���,允許用戶實時接收數(shù)據(jù)��,延時減小���。
3.5網(wǎng)絡(luò)安全技術(shù)服務(wù)
政府門戶網(wǎng)站信息網(wǎng)絡(luò)投入運行后,如何保障系統(tǒng)的安全運行便成了重中之重。其中涉及的工作量巨大�����,技術(shù)要求亦非常高���。因此����,政府門戶網(wǎng)站常常采取安全服務(wù)外包方式聘請具備專業(yè)安全服務(wù)資質(zhì)的機構(gòu)進行網(wǎng)絡(luò)安全保障�����。安全服務(wù)內(nèi)容主要包括以下方面:
(1)Web安全監(jiān)測��。針對WEB應(yīng)用安全���,我們所提出日常安全檢測內(nèi)容需包含:XSS跨站攻擊檢測�����;SQL注入檢測���;URL重定向檢測���;FORM檢測(單表逃逸檢測);FORM弱口令檢測����;網(wǎng)頁木馬(惡意代碼)檢測;數(shù)據(jù)竊取檢測�;GOOGLE-HACK檢測;中間人攻擊檢測���;Oracle密碼暴力破解���;WebSer-viceXPath注入檢測;Web2.0AJAX注入檢測�����;Cookies注入檢測���;雜項:其他各類CGI弱點檢測���,如:命令注入檢測��、LDAP注入檢測�、CFS跨域攻擊檢測�����、敏感文件檢測�、目錄遍歷檢測、遠程文件包含檢測��、應(yīng)用層拒絕服務(wù)檢測等�。(2)數(shù)據(jù)庫安全監(jiān)測����。數(shù)據(jù)庫安全檢測需實現(xiàn)的功能:發(fā)現(xiàn)不安全的數(shù)據(jù)庫安裝和配置;發(fā)現(xiàn)數(shù)據(jù)庫弱口令���;發(fā)現(xiàn)數(shù)據(jù)庫的變化或潛藏木馬��;發(fā)現(xiàn)數(shù)據(jù)庫弱點和補丁的層次���。從而在此基礎(chǔ)上形成一個綜合的分析報告及修復(fù)建議。
(3)漏洞及病毒通報.系統(tǒng)在運行期間��,計算機病毒及安全漏洞問題將是直接威脅整個系統(tǒng)運行的重要因素。因此�,我們需要安全服務(wù)提供商定期提供定向計算機漏洞及病毒情況通報。借此����,通過對這些情況的實時動態(tài)、快速的掌握�,可提高管理部門的快速響應(yīng)能力。
(4)風險評估����。該系統(tǒng)需定期進行風險評估工作。有效地借助專業(yè)安全服務(wù)提供商的力量����,來檢測本系統(tǒng)現(xiàn)行情況的安全現(xiàn)狀。
(5)系統(tǒng)安全加固��。安全服務(wù)提供商需指派專業(yè)人員定期針對加固的系統(tǒng)進行漏洞掃描�����、攻擊����、滲透等方面的測試���,確保核心設(shè)備、核心系統(tǒng)的加固有效性����,并及時報告系統(tǒng)加固現(xiàn)狀。在業(yè)務(wù)系統(tǒng)上線之前檢查安全配置情況��,并提供安全加固建議����。安全加固是指針對政府門戶網(wǎng)站的服務(wù)器、安全設(shè)備的安全加固和安全配置優(yōu)化���,對網(wǎng)絡(luò)設(shè)備的安全加固建議�����。通過定期的加固工作,將系統(tǒng)的安全狀況提升到一個較高的水平�。將在漏洞掃描、安全審計�、滲透測試的報告結(jié)果基礎(chǔ)上,對服務(wù)器��、安全設(shè)備等方面存在的各類脆弱性問題進行提煉歸納,提出合理的切實可行的安全加固方案���。安全加固方案在提交并經(jīng)過用戶方評審�����、許可后�,進行安全加固實施�,同時,必須指導(dǎo)����、協(xié)助對各應(yīng)用系統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)����、中間件和應(yīng)用程序的安全配置、安全策略和安全機制進行電子政務(wù)云計算中心加固和完善���,使應(yīng)用系統(tǒng)符合安全防護要求��,保證該信息系統(tǒng)的安全可靠運行��。
3.5.1應(yīng)急響應(yīng)目標
及時響應(yīng)信息系統(tǒng)的安全緊急事件���,保證事件的損失降到最小����。包括如下目標:
(1)7*24*365快速響應(yīng)服務(wù)(本地)�,提供全天候的緊急響應(yīng)服務(wù),本地在2個小時內(nèi)到達現(xiàn)場���;
(2)判定安全事件類型��,從網(wǎng)絡(luò)流量���、系統(tǒng)和IDS日志記錄、桌面日志中判斷安全事件類型����。查明安全事件原因,確定安全事件的威脅和破壞的嚴重程度���。查明安全事件原因,確定安全事件的威脅和破壞的嚴重程度:
(3)抑制事態(tài)發(fā)展�����,抑制事態(tài)發(fā)展是為了將事故的損害降低到最小化。在這一步中�,通常會將受影響系統(tǒng)和服務(wù)隔離。這一點對保持系統(tǒng)的可用性是非常重要的�����;
(4)排除系統(tǒng)故障���,針對發(fā)現(xiàn)的安全事件來源��,排除潛在的隱患����,消除安全威脅����,徹底解決安全問題;
(5)恢復(fù)信息系統(tǒng)正常操作���,在根除問題后���,將已經(jīng)被攻擊設(shè)備或由于事故造成的系統(tǒng)損壞做恢復(fù)性工作,使網(wǎng)絡(luò)系統(tǒng)能在盡可能短的時間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù);
(6)信息系統(tǒng)安全加固����,對系統(tǒng)中發(fā)現(xiàn)的漏洞進行安全加固,消除安全隱患���;
(7)重新評估信息系統(tǒng)的安全性能��,重新評價系統(tǒng)的安全特性����,確保在一定的時間范圍內(nèi)�����,不發(fā)生同類的安全事件�。
3.5.2應(yīng)急響應(yīng)內(nèi)容
應(yīng)急響應(yīng)是處理各種惡意攻擊帶來的緊急破壞效果,這里包括如下方面:
(1)拒絕服務(wù)響應(yīng)����,當網(wǎng)絡(luò)遭受大量通問而造成我們正常業(yè)務(wù)無法提供服務(wù)的時候,必須采取措施����,將惡意訪問抵擋在業(yè)務(wù)范圍之外����;
(2)數(shù)據(jù)破壞響應(yīng)�����,當服務(wù)器的相關(guān)環(huán)節(jié)��,包括文件服務(wù)器����,網(wǎng)站服務(wù)器�����,數(shù)據(jù)庫服務(wù)器等的數(shù)據(jù)被惡意破壞���,導(dǎo)致無法正常提供服務(wù)���,并且此類現(xiàn)象可能還會重現(xiàn);
(3)病毒蠕蟲響應(yīng)���,當網(wǎng)絡(luò)遭受到病毒蠕蟲的攻擊��,導(dǎo)致正常辦公網(wǎng)絡(luò)癱瘓無法正常實施業(yè)務(wù)����,必須采取根治措施,去除惡意影響���;
(4)其他情況應(yīng)急響應(yīng)���,除了上面列明外,包括惡意竊聽����、代碼攻擊、網(wǎng)絡(luò)欺騙等�����,需要進一步找到攻擊根源����,去除漏洞。
3.6等級保護測評
聘請第三方信息安全等級保護測評公司進行網(wǎng)站系統(tǒng)相關(guān)軟硬件是否達到信息安全等級保護三級的要求�,并出具測評證書。
4建立及完善安全管理機制和網(wǎng)站維護隊伍
第6篇
關(guān)鍵詞:檔案網(wǎng)絡(luò) 信息安全保障 建設(shè)保障體系
1.引言
如今我們的網(wǎng)絡(luò)安全受到了嚴重的威脅���,我們必須把維護檔案網(wǎng)絡(luò)信息安全作為我們工作的重中之重���。但是現(xiàn)在人們關(guān)注的焦點主要在于建設(shè)和完善檔案網(wǎng)絡(luò)信息系統(tǒng)�����、應(yīng)用軟件以及硬件設(shè)備,對維護檔案網(wǎng)絡(luò)信息安全的重視還不夠���,但檔案的信息安全事關(guān)人民群眾生活的方方面面���,基于這一情況,筆者重點闡述了建設(shè)檔案網(wǎng)絡(luò)信息保障體系的一些想法���。
2.建設(shè)檔案網(wǎng)絡(luò)信息保障體系的基本要求
在充分了解檔案網(wǎng)絡(luò)信息保障系統(tǒng)的前提下����,為了保障檔案網(wǎng)絡(luò)信息的安全����,我們必須遵循以下要求:
第一,在檔案網(wǎng)絡(luò)信息部門創(chuàng)造一個安全可靠的環(huán)境�。維護檔案信息安全的網(wǎng)絡(luò)部門環(huán)境是十分重要的���,要對該部門網(wǎng)絡(luò)的信息查詢始端和終端以及網(wǎng)絡(luò)設(shè)備進行仔細的檢查,并做好保護工作��。
第二�����,創(chuàng)造一個安全可靠的檔案信息傳輸通道�����。檔案信息在傳送的過程中很容易被竊取����,因此我們對傳輸過程的保密措施要做得十分到位,以防不法分子竊取檔案信息從而造成不必要的損失�。
第三,嚴格限制用戶的訪問權(quán)限����。用戶在申請權(quán)限的時候,要證實用戶的身份����,并且要保證用戶只能訪問授權(quán)的內(nèi)容���,不能訪問受限制的內(nèi)容。
第四��,完善密碼和密碼設(shè)備的協(xié)調(diào)機制����。所有用戶密碼以及密碼設(shè)備都應(yīng)當進行統(tǒng)一的管理,并且要把每個用戶的密碼與密碼設(shè)備對應(yīng)起來�����,確保準確���。
第五,創(chuàng)造綜合管理檔案信息的工作環(huán)境�。這個要求就是將全部用戶的檔案信息集中到一起進行管理。這樣不僅方便管理檔案信息���,還能保證檔案信息不被丟失����,以達到安全管理檔案網(wǎng)絡(luò)信息保障系統(tǒng)的要求����。
3.建設(shè)檔案網(wǎng)絡(luò)信息保障體系的具體方法
第一���,配備防止網(wǎng)絡(luò)病毒的設(shè)備,其作用是檢測出已經(jīng)存在的病毒對其查殺�����,并做好預(yù)防病毒的工作�����。
第二�����,配置掃描網(wǎng)絡(luò)漏洞的系統(tǒng)���,定時對主機��、操作系統(tǒng)��、軟件系統(tǒng)以及網(wǎng)口進行掃描�,防止漏洞入侵威脅網(wǎng)絡(luò)信息安全�。
第三�����,配備內(nèi)網(wǎng)監(jiān)控審計系統(tǒng)����,先在PC機上安裝服務(wù)器��,從而監(jiān)控所有PC機運作的全過程���。
第四�����,建立完善的用戶認證系統(tǒng)。對于想要進入該系統(tǒng)的用戶����,必須核實他們的真實身份和信息,嚴格做好用戶認證工作���。
第五��,對服務(wù)器進行加密����。要對服務(wù)器做好加密工作,以防服務(wù)器在傳輸過程中丟失檔案信息���。
第六�����,對保證網(wǎng)絡(luò)安全的服務(wù)器加密���。要增設(shè)路由和防火墻的功用。
第七����,建立一個良好的防火墻系統(tǒng)。以防不法分子的入侵��。
第八�,對路由器進行加密。
上面闡述的都是比較好的方法�,我們在實際過程中,需要建立一個完善的安全保障體系����,具體包括以下六方面的內(nèi)容:
第一���、 物理安全
先對需要加密的檔案信息進行分類,根據(jù)他們需要加密的等級分為密文服務(wù)器以及明文服務(wù)器����,然后將這些檔案信息全部放置于屏蔽電磁的房間里,接著利用內(nèi)網(wǎng)監(jiān)控審計系統(tǒng)對整個網(wǎng)絡(luò)和所有的主機進行實時監(jiān)控����。需要注意的是,我們要著重注意磁盤系統(tǒng)��,由于磁盤系統(tǒng)是所有檔案信息集中儲存的場所���,所以磁盤系統(tǒng)的安全與否決定著檔案信息的安全��。我們可以利用其他的高科技來保護磁盤系統(tǒng)以防不法分子的入侵。一般說來���,物理安全保障體系是一種較為常見的手段���,在實際應(yīng)用中效果較為良好,而采用RAID 等技術(shù)來對磁盤的安全性加以保證,更是能夠極大程度的提升整體的物理安全性能���,為檔案的保護提供了便利�����。
第二�����、 網(wǎng)絡(luò)安全
儲存檔案信息的設(shè)備以及傳送檔案信息的設(shè)備一定要對終端和存儲服務(wù)器配備密碼機����,只有這樣才能夠?qū)n案信息進行加密����。對于該部門的網(wǎng)絡(luò)IP地址,要根據(jù)實際情況和工作需求����,有效的進行規(guī)劃。在選擇硬件設(shè)施的時候����,最好選擇具有自動保障安全的設(shè)備����。建設(shè)檔案網(wǎng)絡(luò)信息保障體系����,對檔案信息的安全性的提升所具有的現(xiàn)實意義是非常巨大的,通過必要的手段來對網(wǎng)絡(luò)訪問權(quán)限進行控制和管理���,能夠有效的提升網(wǎng)絡(luò)的整體安全程度���,對于保證檔案網(wǎng)絡(luò)信息的安全是具有重要的作用的。
第三�����、 系統(tǒng)安全
有些檔案信息是需要特別加密的����,通常我們都是采用Windows 2003且達到B級安全等級的操作系統(tǒng),這種系統(tǒng)可以實時的把握系統(tǒng)運行的情況����。必要時�����,還可以把國家認證的系統(tǒng)應(yīng)用于此,這樣可以增加保密的強度����。此外,還需要做好備份工作���,完善備份機制����。應(yīng)該看到����,系統(tǒng)安全對于檔案的網(wǎng)絡(luò)信息安全保障體系的構(gòu)建是具有特殊意義的,這是因為����,只有一套安全有效的系統(tǒng)作為支持,才能夠保證所研發(fā)的系統(tǒng)具有實現(xiàn)預(yù)先設(shè)計功能的可能���。
第四��、 應(yīng)用安全
加密文件服務(wù)器和不加密文件服務(wù)器可以分開來管理�����。先對檔案信息進行處理�,重要的信息要提高加密等級,無關(guān)緊要的信息可以不進行加密����。應(yīng)用系統(tǒng)在工作的時候,也要保障它的安全����,做好備份和預(yù)防工作。使用該系統(tǒng)的用戶也應(yīng)當?shù)玫焦俜降恼J證����,同時對一些信息的訪問應(yīng)當受到限制。保證系統(tǒng)的自我恢復(fù)功能��,在實際應(yīng)用過程中具有極其重要的意義����,尤其是對于提升系統(tǒng)的整體穩(wěn)定性以及降低由于突發(fā)事件所導(dǎo)致的信息受損程度,都有極其重要的積極作用���。
第五���、 用戶安全
我們是為用戶服務(wù)的,用戶安全也應(yīng)當全力保證�����。在選擇殺毒軟件的時候����,最好選擇網(wǎng)絡(luò)版本的殺毒防毒系統(tǒng),一旦系統(tǒng)出現(xiàn)了漏洞或者是補丁�,要立即進行修復(fù)。網(wǎng)絡(luò)系統(tǒng)在運行的時候����,要打開監(jiān)控設(shè)備全程監(jiān)控。已經(jīng)設(shè)立好的IP地址不能隨意的改變���。用戶在應(yīng)用系統(tǒng)之前���,就要對其身份進行認證,這不僅是為了保護檔案信息的安全����,也是為了保護用戶的安全����。認證以及管理用戶的身份和信息是實現(xiàn)檔案網(wǎng)絡(luò)信息安全保證體系的基本前提�����。
第六�����、 安全管理
我們進行安全管理主要是為了在分層管理網(wǎng)絡(luò)系統(tǒng)�,集中監(jiān)控檔案信息安全的基礎(chǔ)上,建立一個全方位多層次的檔案網(wǎng)絡(luò)信息安全保障系統(tǒng)���。進行安全管理應(yīng)當做到以下幾個方面:第一���,建立嚴格的管理規(guī)章制度,具體包括保障系統(tǒng)運作制度���,用戶認證制度���,安全操作制度,程序規(guī)范制度,定期檢查制度等等�����。第二�����,設(shè)立一個健全的組織機構(gòu)���,由專門的人對檔案網(wǎng)絡(luò)信息安全工作進行掌控,具體的部門由專業(yè)人士進行管理���,各個部門的人要及時進行工作交流����,取長補短���。第三�����,設(shè)立一個完善的安全保障機制��,也就是說���,在出現(xiàn)故障或者檔案信息安全受到威脅的時候����,要有相應(yīng)的措施應(yīng)對���,并且能夠有效的處理各種突況���。同時,還可以增設(shè)一些安全配套設(shè)施����,比如說安全管理器、密碼服務(wù)器等等����。實際上,一套行之有效的安全管理機制�,對于提升檔案信息安全是非常有必要的,人作為機器的控制者����,在工作中,通過制度對人的行為加以規(guī)范,是安全管理的重要途徑之一���。
4.結(jié)語
隨著我國經(jīng)濟的高速發(fā)展�����,我國的互聯(lián)網(wǎng)事業(yè)同樣取得了輝煌的成就���,而在科學(xué)技術(shù)和信息技術(shù)高速發(fā)展的社會,卻連連遭遇檔案信息丟失或被竊的問題��。然而我們知道�,保障檔案信息的安全是確保國家和軍隊的重要支撐力量����,所以保護檔案信息安全是一件十分重要而且緊迫的事情。無論是國家����、政府、軍隊�����,還是普通大眾,都要給予檔案信息安全足夠的重視���,并且要從理論和技術(shù)的角度���,積極保護檔案信息的安全。
參考文獻:
第7篇
【關(guān)鍵詞】圖書館信息安全 存在的問題 重要性 管理策略
一���、信息安全管理及其重要性
信息安全管理是一個極具綜合性的學(xué)科����,它涉及計算機科學(xué)�、管理學(xué)、安全學(xué)如密碼科學(xué)等眾多專業(yè)領(lǐng)域��。其定義放眼望去可以說是眾說紛紜����,但綜合起來信息安全的主要任務(wù)或定義就是對信息的維護��,以保證信息的安全�����、完整、及高度的保密性����。信息安全管理在我國的起步不是很早���,,但發(fā)展卻很迅速,我國的政府主管部門對信息安全特別是其管理給與了極大重視����。,借助于網(wǎng)絡(luò)通信和高新技術(shù)的發(fā)展,數(shù)字化圖書館的發(fā)展取得了巨大的進步,在信息化時代����,每一種新興技術(shù)的出現(xiàn),也附帶著一些隱患����,數(shù)字化圖書館也不例外,數(shù)字化圖書館在很大程度上是很便利的����,但是,當某一個環(huán)節(jié)出現(xiàn)問題時可能造成整個圖書館網(wǎng)絡(luò)出現(xiàn)癱瘓����,因此,保證圖書館網(wǎng)絡(luò)安全��,使其高效運行便顯得尤為重要�����。
二、圖書館安全問題存在的隱患的幾個方面�;
(一)計算機病毒和木馬的威脅
隨著計算機技術(shù)的發(fā)展,電腦病毒也不斷“升級”���,病毒的傳播范圍愈來愈廣���,破壞力也不斷增強,信息技術(shù)的發(fā)展也為病毒的傳播提供了便利���,這些病毒和木馬通過各種方式侵擾網(wǎng)絡(luò)用戶����,如電子郵件�����、主動掃描等方式�,圖書館的安全信息系統(tǒng)也難逃其害���,這對圖書館的安全管理和廣大用戶都產(chǎn)生了許多不利影響��。如果用戶沒有裝置相應(yīng)的實施網(wǎng)頁主動防御軟件��,就可能被病毒和木馬所侵襲�。用戶的重要賬號和密碼等有價值的信息被黑,因此圖書館的網(wǎng)絡(luò)安全形式相當?shù)膰谰?/p>
(二)自身系統(tǒng)存在的問題
目前大多數(shù)圖書館安裝的都是是windows操作系統(tǒng)���,其特點是操作方便�,配置簡單���,漏洞卻相當多���,很容易被病毒和黑客所攻擊和侵襲。另外internet的基礎(chǔ)協(xié)議tcp|ip協(xié)議的漏洞通過ip欺騙�����,拒絕服務(wù)和數(shù)據(jù)監(jiān)聽等手段使得網(wǎng)絡(luò)出現(xiàn)安全問題����。
(三)網(wǎng)絡(luò)黑客的入侵
黑客多利用黑客特用工具進入服務(wù)器后臺程序?qū)D書館網(wǎng)絡(luò)進行攻擊破壞,網(wǎng)絡(luò)內(nèi)容被隨意篡改��,許多不良信息涌入網(wǎng)絡(luò),對社會產(chǎn)生了惡劣影響。而且黑客的門檻降低����,圖書館的信息網(wǎng)絡(luò)往往會成為最直接的試驗地。
(四)圖書館自我管理模式的落后
外部的侵擾和威脅會影響圖書館的安全�,但自身管理的漏洞往往是對其網(wǎng)絡(luò)系統(tǒng)的最大威脅。圖書館應(yīng)該建立合理科學(xué)的管理系統(tǒng)和安全機制���,制定好相應(yīng)的應(yīng)急措施�,這樣才會有效減少安全問題出現(xiàn)的幾率��。相比之下����,許多單位的管理模式還是傳統(tǒng)的管理模式,在出現(xiàn)問題后才被動的去處理�,這顯然不是我們采取的有效之法。而由于管理制度的落后導(dǎo)致的信息泄露往往引起了圖書館的重大安全問題�����。
(五)網(wǎng)絡(luò)設(shè)備配置隱患
現(xiàn)如今���,網(wǎng)絡(luò)設(shè)備配置很普遍也很必要����,但其中也出現(xiàn)了許多漏洞�����。網(wǎng)絡(luò)設(shè)備配置有很多種類�,而正是多種類也為圖書館網(wǎng)絡(luò)管理增加了許多難度,比如設(shè)備用戶設(shè)置的密碼過于簡單���,就會產(chǎn)生許多隱患��,容易讓不法分子鉆了空而去的設(shè)備控制權(quán)�����,修改用戶設(shè)備配置��,盡管這只是小小的疏忽�����,卻為整個網(wǎng)絡(luò)管理帶來不便甚至是危險�。
三���、信息安全管理的目的和原則
(一)目的有如下����;首先為了保證計算機必備硬件遭到自然災(zāi)害的損害,其次��,保證信息系統(tǒng)的處理信息的運行安全�,防止信息未被授權(quán)而遭更改和泄漏破壞,保證信息的保密性和完整性�。最后,通過信息安全管理的制度規(guī)范和體系來保證業(yè)務(wù)的運行和管理安全�����。
(二)原則如下����;第一是系統(tǒng)化原則,即信息安全管理要制定具體的��、有針對性的安全管理計劃和措施��,根據(jù)具體要求來制定全方位更加細化的安全策略�����。
第二是與時俱進原則,即信息安全管理應(yīng)時刻關(guān)注信息技術(shù)變化�����,考察安全環(huán)境動態(tài)�,與時俱進�,根據(jù)最新的發(fā)展制定最新的管理辦法。
第三是預(yù)防控制為主的原則����,信息安全管理以預(yù)防為主,要求組織成員要有一定的信息安全管理的超前意識�����,能夠預(yù)防大多數(shù)的安全事件�����。
第四是規(guī)范化原則�,遵照信息安全管理的規(guī)范,并結(jié)合組織的信息安全管理要求來制定安全策略制度���。
四�、圖書館安全網(wǎng)絡(luò)信息環(huán)境的構(gòu)建
(一)安裝智能防火墻
面對當前中很多的網(wǎng)絡(luò)漏洞,安裝智能防火墻既是一種必要�,也是一種明確的選擇。所謂智能防火墻�,其智能之處就體現(xiàn)在它利用一系列細致高效的方法如統(tǒng)計、記憶�、概率等進行數(shù)據(jù)控制。新的數(shù)學(xué)的方法消除了匹配檢查所需的海量計算,使其高效的發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征從而進行直接的訪問控制,智能防火墻綜合了包過濾和技術(shù),能對數(shù)據(jù)鏈路層進行全方位的控制,實現(xiàn)tcp|ip協(xié)議的微內(nèi)核.這種內(nèi)核使得速度超過了傳統(tǒng)的防火墻,而且提供透明的技術(shù),減輕客戶端的配置工作,還支持數(shù)據(jù)加密和解密,提供對虛擬網(wǎng)的vpn的強大支持,內(nèi)部信息完全隱藏等使得圖書館的網(wǎng)絡(luò)系統(tǒng)處于一個更加安全的環(huán)境��。智能防火墻還能有效的監(jiān)控和管理圖書館內(nèi)部的局域網(wǎng)�����,傳統(tǒng)的防火墻只防外不管內(nèi)����,導(dǎo)致的后果是局域網(wǎng)速慢,病毒和木馬橫行����。智能防火墻的安裝能有效發(fā)現(xiàn)圖書館內(nèi)部的惡意流量并幫助管理人員找到受攻擊的源頭。雖說不能100%的去防范網(wǎng)絡(luò)攻擊�����,但可以防御大部分的黑客攻擊�。
(二)建立系統(tǒng)的病毒防殺體系
傳統(tǒng)的病毒防殺系統(tǒng)已無法有效抑制現(xiàn)行病毒的侵害���,隨著信息化的發(fā)展,網(wǎng)絡(luò)技術(shù)不斷更新�����,網(wǎng)絡(luò)病毒也出現(xiàn)了許多新特點��,如傳播的途徑多速度快��、病毒種類多等�。所以要更好的防護圖書館信息安全就必須要采用新型的集中式的病毒防殺措施�,這種集中式的病毒防殺系統(tǒng)可以管理很多的聯(lián)網(wǎng)計算機,并可以統(tǒng)一查殺病毒����,自動更新和升級病毒庫,有科學(xué)健全的病毒預(yù)警機制�,還可以提高電子郵件病毒網(wǎng)關(guān)和病毒引擎功能,對病毒郵件進行過濾�����。就目前來看可以說集中式病毒防殺系統(tǒng)對防御網(wǎng)絡(luò)病毒是非常有效的����。
(三)網(wǎng)絡(luò)使用者權(quán)限的分配合理化
網(wǎng)絡(luò)使用權(quán)限的安全實質(zhì)上也就解釋了網(wǎng)絡(luò)安全的狀態(tài)�����,因此要保證圖書館的網(wǎng)絡(luò)安全就必須要科學(xué)而有效的管理網(wǎng)絡(luò)賬號和權(quán)限�����。所以在實際的操作中我們要注意以下幾點���,首先是要提高使用者權(quán)限的分配合理度,注意在設(shè)定和分配權(quán)限中的安全性�,一定程度上限制高權(quán)限者的數(shù)量,避免多用戶多漏洞的情況發(fā)生�。其次網(wǎng)絡(luò)管理員要對用戶和賬號進行統(tǒng)一的管理,限制管理員賬號的登陸網(wǎng)站�����,將其網(wǎng)站登錄固定在本圖書館內(nèi)����,以防網(wǎng)外用戶對本館網(wǎng)絡(luò)的侵入。
(四)注意重要數(shù)據(jù)的備份
圖書館系統(tǒng)永遠不可能是萬無一失�����,絕對安全的,這時候��,數(shù)據(jù)庫的備份工作是必要而且迫切的,他作為數(shù)據(jù)安全的最后一道防線,是圖書館進行網(wǎng)絡(luò)信息服務(wù)的基礎(chǔ),數(shù)據(jù)安全是圖書館的核心部分在圖書館中�����,數(shù)目與讀者的信息時最基礎(chǔ)也是最難以收集的數(shù)據(jù)��,,萬一這些數(shù)據(jù)丟失以后可能對圖書館的正常工作造成不可彌補的損失,因此���,我們應(yīng)該把圖書館的數(shù)據(jù)備份工作放在絕對位置,并定期將數(shù)據(jù)轉(zhuǎn)存�,在需要并條件許可時,要對重要的數(shù)據(jù)進行雙重安全的保護�����,即采取雙機熱備份技術(shù)進行備份�����,保障圖書館系統(tǒng)的正常運行�。
(五)加強圖書館安全管理的制度建設(shè)
制度永遠是任何建設(shè)的基礎(chǔ)�����,同樣�����,有了健全的管理制度體系才能引導(dǎo)并保障圖書館安全管理向著更好的方向發(fā)展����。這個制度體系中包括很多方面����,每個領(lǐng)域、每個細節(jié)都應(yīng)該將制度意識落到實處�,包括游戲的管理機構(gòu)完整的管理制度和針對性的培訓(xùn)和明確的安全責任體系。
其次�����,技術(shù)部門也需要加強制度體系的建設(shè)��,安全合理的管理體制是技術(shù)人員正確操作的保證�����,在圖書館的網(wǎng)絡(luò)維護上也應(yīng)該多下功夫,建立專門的技術(shù)團隊來定是維護網(wǎng)絡(luò)安全����,并負責其中的制度與策略的實施,當然���,技術(shù)人員本身也應(yīng)該注意自身的技術(shù)規(guī)范�,保證這一環(huán)節(jié)科學(xué)安全���,避免漏洞出現(xiàn)�。最后技術(shù)部門的一個職能就是對員工和讀者進行安全教育和技術(shù)培訓(xùn)�,增強器安全意,還有圖書館其他工作人員也應(yīng)學(xué)習(xí)一下網(wǎng)絡(luò)和技術(shù)培訓(xùn)�,參加相關(guān)的操作了解來達到豐富自己網(wǎng)絡(luò)安全的知識�����。
圖書館的信息安全是相當重要的���,需要我們順應(yīng)新時代的發(fā)展趨勢���,來保證圖書館網(wǎng)絡(luò)事業(yè)的健康發(fā)展���。
參考文獻;
第8篇
作為一門綜合性的新學(xué)科�,網(wǎng)絡(luò)空間安全覆蓋物理層、網(wǎng)絡(luò)層��、數(shù)據(jù)層等多個層面的問題[1]�����。網(wǎng)絡(luò)安全信息化領(lǐng)導(dǎo)小組于2014年2月正式成立[2]��,表明網(wǎng)絡(luò)空間安全人才的培養(yǎng)迫在眉睫�����。2015年6月��,教育部批示在工學(xué)中設(shè)立網(wǎng)絡(luò)空間安全一級學(xué)科�,學(xué)科代碼為0839[3]。2016年6月�,中央網(wǎng)信辦《關(guān)于加強網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》(中網(wǎng)辦發(fā)文[2016]4號)文件[4],至此國家對網(wǎng)絡(luò)空間安全人才培養(yǎng)的重要性和需求也提升至一個嶄新的層面�����。
1 網(wǎng)絡(luò)空間安全的教學(xué)體系
網(wǎng)絡(luò)空間安全是一門交叉性學(xué)科,融合了數(shù)學(xué)�、信息論、計算復(fù)雜理論�、控制論、系統(tǒng)論�、認知科學(xué)、博弈論����、管理學(xué)、法學(xué)等學(xué)科知識���,其研究內(nèi)容不僅涉及非傳統(tǒng)網(wǎng)絡(luò)安全理論與技術(shù)���,如網(wǎng)絡(luò)安全、網(wǎng)絡(luò)攻防�、網(wǎng)絡(luò)安全的管理、信息安全等�����,還囊括網(wǎng)絡(luò)應(yīng)用的安全����,如數(shù)據(jù)的恢復(fù)與取證、輿情分析�、工程系統(tǒng)和物聯(lián)網(wǎng)安全等。與其他學(xué)科相比�����,網(wǎng)絡(luò)空間安全不僅采用理論分析��、實驗驗證�、技術(shù)實現(xiàn)等常規(guī)手段,還采用逆向分析等技術(shù)�����,從攻方和守方兩個不同的角度分析當前網(wǎng)絡(luò)空間安全所面臨的威脅[5]����。網(wǎng)絡(luò)空間安全的教學(xué)體系框架如圖1所示。
2 課程改革的發(fā)展與建設(shè)
2.1 課程體系教學(xué)改革
現(xiàn)有的網(wǎng)絡(luò)安全或信息安全教學(xué)體系分為兩種�����,一種是傳統(tǒng)課堂教學(xué)模式�,另一種是互聯(lián)網(wǎng)在線教學(xué)。傳統(tǒng)課堂教學(xué)模式可以實現(xiàn)良好的師生互動,但是授課內(nèi)容大都是授課教師擬定�����,學(xué)生不能根據(jù)自身喜好���、知識水平�、技術(shù)能力等實際情況選擇適合自己的課程��?�;诨ヂ?lián)網(wǎng)的在線教學(xué)雖然解決了學(xué)習(xí)地域以及時間受限的問題�����,但是還存在缺少互動實踐環(huán)節(jié)�、不能及時鞏固練習(xí)及反饋學(xué)習(xí)內(nèi)容的問題。針對兩種教學(xué)模式的固有缺點�,結(jié)合網(wǎng)絡(luò)空間安全的學(xué)習(xí)更需要可知、可感和可實踐的特點���,教師可嘗試設(shè)計網(wǎng)絡(luò)空間安全課程的實踐教學(xué)模式�,涵蓋可實施性的應(yīng)用教學(xué)案例����,滿足更輕量、更豐富且更自由的新型學(xué)習(xí)理念�����,提高學(xué)生的創(chuàng)新能力與實踐能力�����。
2.2 實踐教學(xué)課程建設(shè)
網(wǎng)絡(luò)空間安全實踐教學(xué)設(shè)計采用層層深入各個知識點�����、關(guān)鍵技術(shù)的原理演示與課后練習(xí)實踐等多種教學(xué)模式�,課程設(shè)計要能夠理清網(wǎng)絡(luò)空間安全學(xué)科涉及的各個主要教學(xué)內(nèi)容,融合網(wǎng)絡(luò)空間安全�����、網(wǎng)絡(luò)安全和信息安全相互之間的聯(lián)系和區(qū)別�。
實踐教學(xué)的內(nèi)容設(shè)計涵蓋了學(xué)習(xí)者所需要的大部分重難點知識體系。學(xué)生既可以通過實踐教學(xué)系統(tǒng)搭建仿真環(huán)境自主學(xué)習(xí)��,又可以點播��、跟蹤指導(dǎo)教師授課視頻進行學(xué)習(xí),不斷強化學(xué)習(xí)者對網(wǎng)絡(luò)空間安全的整體規(guī)劃意識��。這個整體規(guī)劃意識是網(wǎng)絡(luò)空間安全��、網(wǎng)絡(luò)安全��、信息安全相互之間的聯(lián)系�,三者之間存在相互區(qū)別又相互促進的關(guān)系。
每節(jié)課都提供詳細的PPT教案與教學(xué)視頻供學(xué)生學(xué)習(xí)�,課程涵蓋基本的知識量且在完成規(guī)定的授課學(xué)時后,還將課程進行深度與廣度的拓展�,如挖掘應(yīng)用技術(shù)和國內(nèi)外網(wǎng)絡(luò)空間安全領(lǐng)域發(fā)展的最新進展,不僅為學(xué)生提供充足的����、具有自主性的學(xué)習(xí)資源,還可為教師提供一次學(xué)習(xí)提高的機會�����。課程中除了知識講解�,還需設(shè)定學(xué)生提出問題并布置作業(yè)的模塊。完善建設(shè)中的實踐教學(xué)系統(tǒng)如圖2和圖3所示�。
3 實踐教學(xué)體系結(jié)構(gòu)
文獻[6]提出 “一個通過規(guī)則管理的虛擬的空間,這種空間稱為‘網(wǎng)絡(luò)空間’�����。網(wǎng)絡(luò)空間的安全涉及設(shè)備層、系統(tǒng)層�����、數(shù)據(jù)層和應(yīng)用層這四大層面上的問題�,這是網(wǎng)絡(luò)空間安全概念的初步定義�����。教學(xué)內(nèi)容建設(shè)是課程建設(shè)的核心�����,綜合考慮教學(xué)內(nèi)容的可實踐性�、可擴展性、綜合完備性等方面因素之后�,我們利用網(wǎng)絡(luò)自主學(xué)習(xí)的整體性原則,把網(wǎng)絡(luò)空間安全課程的教學(xué)內(nèi)容劃分為設(shè)備安全�、系統(tǒng)安全、數(shù)據(jù)安全和應(yīng)用安全4個部分����,每一部分重視和強化實踐與實驗環(huán)節(jié)��,強調(diào)學(xué)生自學(xué)能力���,以激發(fā)學(xué)生獨立思考的思維。實踐教學(xué)內(nèi)容見表1�。實踐教學(xué)內(nèi)容體系框架如圖4所示。
4 實踐教學(xué)任務(wù)規(guī)劃
4.1 教學(xué)規(guī)劃
綜合表1和圖4�����,具體的教學(xué)任務(wù)安排如下��。
(1)設(shè)備安全:①防火墻建設(shè)與保護�����,如Linux防火墻配置���、事件審計���、狀態(tài)檢測等;②入侵異常檢測��,如HIDS部署實驗、入侵行為檢測實驗��、異常行為檢測等�;③容災(zāi)數(shù)據(jù)安全備份,如NAS存儲�、Linux RAID實驗、IP SAN存儲管理等�����;④通信安全�,如語言保密通信實驗���、MAP信息安全傳輸���、認證實驗等;⑤服務(wù)器安全����,如Linux日志管理、遠程桌面安全配置�����、Windows網(wǎng)絡(luò)管理等�����;⑥無線保護,如無線組測試�����、WEP密碼破解測試�����、WPA配置測試等����。
(2)系統(tǒng)安全:①操作系統(tǒng)安全,如Web安全配置��、Linux用戶管理�����、FTP服務(wù)安全配置等���;②數(shù)據(jù)庫安全保障�,如MYSQL與SQLServer的安全審計、數(shù)據(jù)的安全備份與恢復(fù)等�����;③身份認證���,如動態(tài)口令認證系統(tǒng)實驗�����、人臉識別與檢測編程實驗等�����;④安全審計等,如文件事件審查�、網(wǎng)絡(luò)事件審查、主機監(jiān)控實驗等����。
(3)數(shù)據(jù)安全:①密碼學(xué)及應(yīng)用,如密碼學(xué)�����、PKI、PMI等��;②密碼破解�����,如Linux密碼破解�����、Win密碼破解����、遠程密碼破解等;③信息防護�����,如圖像信息和音頻信息的隱藏與加密實驗等���。
(4)應(yīng)用安全:①計算機病毒�����,如腳本病毒實驗��、木馬攻擊實驗���、PE型病毒實驗等�����;②網(wǎng)絡(luò)掃描與嗅探�����,如網(wǎng)絡(luò)連通實驗�����、路由信息探測實驗�����、網(wǎng)絡(luò)嗅探實驗等;③逆向工程�����,如Aspck加殼�����、 Aspack反匯編分析、逆向工程高級實驗等�;④網(wǎng)絡(luò)欺騙,如ARP_DNS欺騙實驗�、MAC地址欺騙實驗、DOS攻擊實驗等�����;⑤緩沖區(qū)溢出����,如緩沖區(qū)溢出初等級實驗、緩沖區(qū)溢出中等級實驗等�����。
4.2 實施路徑
實施路徑涉及教學(xué)內(nèi)容的安排����、教學(xué)大綱的撰寫、實驗驗證與仿真����、原理演示����、實驗步驟�����、復(fù)習(xí)討論等方面�����,每一章節(jié)內(nèi)容的路徑設(shè)計如圖5所示�。
網(wǎng)絡(luò)空間安全實踐教學(xué)系統(tǒng)的設(shè)計具有以下4個方面的特點:①云部署,課程資源包部署于云端�����,可隨時隨地開展學(xué)習(xí)和分享�;②進度掌控,隨時掌握學(xué)習(xí)進度情況�,通過作業(yè)了解學(xué)習(xí)效果;③斷點保存��,保存實驗進度�����,分階段完成課程����;④靈活擴展,教師可靈活定制和調(diào)整課程�,系統(tǒng)可靈活擴展和完善。
圍繞網(wǎng)絡(luò)空間安全學(xué)科��,探索高校計算機專業(yè)在此領(lǐng)域的課程建設(shè)和教學(xué)改革���,建成一個高質(zhì)量�����、可共享的課程體系和培養(yǎng)方案���,課程的建設(shè)成果將開源開放。
