序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁�����,我們?yōu)槟x了8篇的安全網(wǎng)絡(luò)建設(shè)樣本��,期待這些樣本能夠為您提供豐富的參考和啟發(fā)�����,請盡情閱讀�。
第1篇
關(guān)鍵詞:油田內(nèi)部�;網(wǎng)絡(luò)建設(shè)�;安全維護
一、針對油田網(wǎng)絡(luò)的安全防范
1.1對于網(wǎng)絡(luò)攻擊的檢測。這項內(nèi)容大致是指在網(wǎng)絡(luò)設(shè)置防火墻�,當油田企業(yè)的網(wǎng)絡(luò)遭受攻擊或者有病毒侵入時,就會在頁面上顯示警告信息�����,安全管理人員就能夠第一時間得到報警信息��,采取有效的辦法來應(yīng)對。在實際的網(wǎng)絡(luò)攻擊防范中����,需要設(shè)置防火墻的地方多種多樣�����,比如在服務(wù)器設(shè)備上進行防火墻設(shè)置,對服務(wù)器的cpu狀態(tài)�、流量變動等參數(shù)進行監(jiān)控管理����,這些參數(shù)在平時總是穩(wěn)定在一定的值,雖然也會跟隨時間變化�����,但是還是可以尋找其變化規(guī)律的�,若是其變化出現(xiàn)異常�����,那么報警信息就會發(fā)出�,顯示在頁面上�����。但是對于報警信息的監(jiān)控來說��,需要人員不間斷地進行觀察,這對于人力資源的角度來說不能盡到最大�����,所以企業(yè)要大力開發(fā)新的報警方式����,比如警示燈�����、警示音等�。當然企業(yè)要有一定的自我保護能力�����,比如在確認遭到攻擊后馬上啟動查殺軟件����、斷開網(wǎng)絡(luò)連接等��。
1.2對于網(wǎng)絡(luò)資源的管理。在油田企業(yè)的網(wǎng)絡(luò)運行中,每日都需要設(shè)計龐大的數(shù)據(jù)流進出����,而這些互數(shù)據(jù)的安全性無法得到保障����,所以油田企業(yè)需要建立一個信息提取過濾系統(tǒng),即能夠?qū)M出企業(yè)的信息進行提取和過濾�����,判定事件的安全性與保密性����,高危信息需要拒之門外����,屬于企業(yè)內(nèi)部保密級別的信息不能流出去����,這就是這個系統(tǒng)的功能�。而對于油田企業(yè)的設(shè)備操作系統(tǒng)�,需要將其控制的設(shè)備的各種參數(shù)實時提取并進行判斷,這樣設(shè)備在發(fā)生事故時工作人員便可通過參數(shù)的變化來判斷機械出問題的部位。
1.3良好的上網(wǎng)習慣�。很多網(wǎng)絡(luò)安全事故都是因為操作人員安全意識不高��,或者上網(wǎng)習慣不正確�����,胡亂打開不安全網(wǎng)站����、下載危險文件包等�,所以企業(yè)內(nèi)要推行正確的上網(wǎng)風氣��,通過建立上網(wǎng)的規(guī)章制度來規(guī)范工作人員的上網(wǎng)習慣����,以此來保證網(wǎng)絡(luò)安全。
二�、一些常見故障的維護
對于企業(yè)中網(wǎng)絡(luò)故障的發(fā)生����,我們要根據(jù)發(fā)生事故的規(guī)模采取不同的做法,但是大致步驟都是先對操作電腦的人進行詢問����,使用了那些操作�,然后對硬件軟件進行檢查��,深入發(fā)掘問題�����。對于規(guī)模較小的安全問題��,如單個機子不能上網(wǎng)��,這時先不要請工作人員來檢查�����,操作人員可以先對網(wǎng)卡進行檢查�,查看其安裝的方式是否正確。對于網(wǎng)卡的安裝正誤來說�,最常見的檢查方式就是Ping本機的地址����,通過其是否通過的表現(xiàn)來判斷網(wǎng)卡的問題。若是這步操作行不通的話,那么很有可能就是網(wǎng)卡和計算機中的設(shè)備有沖突�����,通過查看設(shè)備管理器來查看網(wǎng)卡究竟與那個設(shè)備有沖突,也可以換張網(wǎng)卡再試一次�����。若是硬件沒問題,那么借來依次檢查雙絞線的狀態(tài)、交換機的端口����,這些都有備用的參考資料,可以通過對照來發(fā)現(xiàn)問題�����。對于較大規(guī)模的停網(wǎng)現(xiàn)象����,也要根據(jù)不同情況加以區(qū)別�����。若是網(wǎng)絡(luò)中斷的計算機屬于同一系統(tǒng)�����,即在一個VLAN的控制下運轉(zhuǎn),那么首先要對連接不同樓層的路由器的配置進行檢查�����。上述是按VLAN來區(qū)分維護方式的����,而是否屬于同一交換機也可以作為一種區(qū)分標準�����。若是不能上網(wǎng)的機子屬于同一交換機����,而且不能與企業(yè)內(nèi)其他交換機控制的電腦通訊�����,那么這種情況大多數(shù)是交換機死機,重啟即可����,若是重啟解決不了問題����,那么有可能使某一電腦自身的網(wǎng)卡故障導(dǎo)致的�,逐個檢查就好�。當某一交換機與多臺電腦連接時����,因為承受的負載過高,使得交換機無法運行也會出現(xiàn)死機的現(xiàn)象,此外因為過量的運載交換機與上級的網(wǎng)絡(luò)設(shè)備的連接也可能斷裂。
作者:丁啟寧 單位:河南油田澗河社區(qū)
參考文獻:
第2篇
關(guān)鍵詞:ISP企業(yè)�����;網(wǎng)絡(luò)安全
1概況
隨著互聯(lián)網(wǎng)呈幾何倍數(shù)的發(fā)展�,我們的生活越來越依賴互聯(lián)網(wǎng),吃穿住行幾乎都可以用網(wǎng)絡(luò)來搞定。但是從網(wǎng)絡(luò)誕生那一刻起,就出現(xiàn)了其中不安定的因素�����,我們對網(wǎng)絡(luò)越依賴����,一旦網(wǎng)絡(luò)安全出現(xiàn)問題�����,造成的損失也就會越大����,作為一家運營商公司,更迫切的需要維護好自己的網(wǎng)絡(luò)安全�����。
2現(xiàn)狀和分析
2.1目標公司發(fā)展現(xiàn)狀
某國有ISP企業(yè)省份公司��,擁有用戶各類20萬左右��,因為規(guī)模不大�,所以在過去幾年,一直把發(fā)展用戶擴大市場放在首要位置,而忽視了網(wǎng)絡(luò)信息安全方面的建設(shè)��。這是一方面當時的情勢所迫造成的�����。隨著用戶的發(fā)展和企業(yè)壯大,如今�,省內(nèi)ISP網(wǎng)絡(luò)構(gòu)架屬于從核心層出口節(jié)點開始��,到下層的核心匯聚層交換機鏈接到底層BRAS設(shè)備����,都是做的雙冗余保護��,在網(wǎng)絡(luò)結(jié)構(gòu)上�����,屬于合理的布局�。并且設(shè)立了多個核心的IDC機房和設(shè)備機房�����,存放各類資源服務(wù)器為網(wǎng)內(nèi)的用戶提供服務(wù)和各網(wǎng)絡(luò)專業(yè)核心的設(shè)備�。
2.2暴露出來的問題
隨著用戶的增加,越來越多的信息網(wǎng)絡(luò)安全問題會開始暴露,比如會有非法的流量開始試探底層設(shè)備的端口,并且可以看到某些設(shè)備會出現(xiàn)異常的IP地址嘗試登入,或者底層設(shè)備的鏈路利用率突發(fā)暴漲�����,雖然這些問題都被及時發(fā)現(xiàn)并處理了����。但是并不是說這樣處理掉一兩起的安全問題事情就結(jié)束了,從中暴露出網(wǎng)絡(luò)安全問題其實是很嚴重的�。
(1)手段單一,只有依靠簡單的防火墻�,或者是依靠核心設(shè)備本身的訪問控制列表對數(shù)據(jù)包進行篩選��,缺乏更多有效的系統(tǒng)手段幫助人們進行監(jiān)控保護網(wǎng)絡(luò)�����,一直長期下去的話面對一些網(wǎng)絡(luò)層以上的疑難問題也就只能束手無策。
(2)各部門對信息的安全性重視不夠��,對信息保密的重視層度不夠�����,也沒有接受過相關(guān)的社會工程學(xué)方面的培訓(xùn)����,安全意識淡薄。
(3)缺乏專業(yè)性的技術(shù)團隊和思路����,完全是在閉門造車�。到現(xiàn)在處理問題的思路在技術(shù)層次還是停留在路由和交換級別的。現(xiàn)在只能把每個事件單獨當作一個單獨事件來處理,很難避免下次不會發(fā)生重復(fù)的問題��。
(4)從整個網(wǎng)絡(luò)的構(gòu)架開始搭建起來,就沒有把網(wǎng)絡(luò)安全放在重要的位置��,剛開始BRAS設(shè)備是有了雙向冗余就開始上線����,本應(yīng)該考慮更多的迂回保護措施都是后期的時候慢慢彌補上去的��。物理上的冗余保護如此,網(wǎng)絡(luò)的安全保護也一直是沒有跟上網(wǎng)絡(luò)拓撲的擴展����。
3網(wǎng)絡(luò)安全的建設(shè)
3.1從認識思想上進行轉(zhuǎn)變
要建設(shè)公司的電信級網(wǎng)絡(luò)安全架構(gòu)�,需要公司從上到下有一個認識��,就是對安全危機的認同感,網(wǎng)絡(luò)的安全投入的確是燒錢�����,并且它后期還會需要不斷的成本投入��。期待它能馬上給你利潤回報��,那是不可能的�。但是看看合作企業(yè)競爭對手,無一不是對安全問題異常的重視��。同時要做好網(wǎng)絡(luò)安全��,我們還要開始學(xué)��,向服務(wù)商學(xué)習����,向設(shè)備商學(xué)習��。一步步踏實做下去�。
3.2改變公司組織結(jié)構(gòu)
安全部門并不同于一般的網(wǎng)撐中心,數(shù)據(jù)中心,它需要專注地負責網(wǎng)絡(luò)防御檢測和處理各類的網(wǎng)絡(luò)安全問題��,因此如果將這樣一個安全部門掛靠在網(wǎng)絡(luò)支撐下面是不合適的�����,從專業(yè)來看��,網(wǎng)絡(luò)安全防御����,社工防御,欺騙滲透防御都是它的職責��。而且將來的網(wǎng)絡(luò)布局��,都會需要他們提供安全方面的意見�����,所以這必須是一個獨立的部門�,來區(qū)別于網(wǎng)絡(luò)建設(shè)部和網(wǎng)絡(luò)支撐中心。
3.3建立網(wǎng)絡(luò)安全制度
在公司內(nèi)部建立網(wǎng)絡(luò)安全規(guī)范的制度�,強制性地規(guī)定員工登入設(shè)備的權(quán)限和密碼設(shè)置原則,要求登入口令的密碼長度和復(fù)雜成分�,區(qū)分開每個人的職責范圍��,個人的權(quán)限只能存在幾臺服務(wù)器上�����,避免被人利用同樣的賬號密碼登入所有的設(shè)備��。并且要求定期更換密碼��。設(shè)置強硬的核心機房準入制度來防止設(shè)備遭受最直接的物理攻擊����。對于敏感重要的數(shù)據(jù)�,要定期做異地備份。
3.4建立可靠的安全網(wǎng)絡(luò)
要建立行之有效的安全網(wǎng)絡(luò)體系架構(gòu)��,建議對整個網(wǎng)絡(luò)進行統(tǒng)一的部署�����,構(gòu)建網(wǎng)絡(luò)安全架構(gòu)的安全設(shè)備類型通常有:
防火墻:firewall����,可以根據(jù)IP地址或服務(wù)端口過濾數(shù)據(jù)包����,可以通過制定過濾規(guī)則來限制����。
流量分析系統(tǒng):它主要針對網(wǎng)內(nèi)的流量流向鏡像進行監(jiān)控��、分析�、不僅可以提供用戶的使用偏好分析,更多的可以監(jiān)控網(wǎng)內(nèi)的流量過去和現(xiàn)在的數(shù)據(jù)是否異常�。
流量采集分析清洗設(shè)備:也叫ADS,它可以針對于網(wǎng)內(nèi)的異常流量進行篩選和清洗����。特別是對于現(xiàn)在的DDOS攻擊有很好的效果。
Web應(yīng)用防護系統(tǒng):也稱WAF�����。WEB應(yīng)用防御產(chǎn)品����,針對應(yīng)用層的攻擊做出反應(yīng)。是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護的一款產(chǎn)品����。
入侵防御檢測設(shè)備:也稱IPS��,這是對防火墻和殺毒軟件的一個補充�?����?梢杂行Оl(fā)現(xiàn)阻止4到5層的異常流量��,其中還有的入侵預(yù)防系統(tǒng)�����,通過正常數(shù)據(jù)以及數(shù)據(jù)之間關(guān)系的通常的樣子��,可以對照識別異常�。
審計系統(tǒng):針對互聯(lián)網(wǎng)行為提供有效的行為審計、內(nèi)容審計��、行為報警�、行為控制及相關(guān)審計功能。滿足用戶對互聯(lián)網(wǎng)行為審計備案及安全保護措施的要求�����,提供完整的上網(wǎng)記錄,便于信息追蹤�����、系統(tǒng)安全管理和風險防范��。
值得一提的是隨著安全技術(shù)的演進����,今后的防火墻將會兼容ADS之類的流量監(jiān)視和清洗功能����,是否還能將WAF和IPS設(shè)備的功能融合進來尚不得而知,但是展望安全網(wǎng)絡(luò)的科技樹發(fā)展的方向��,這必然是未來安全行業(yè)的發(fā)展一段趨勢�����??紤]到設(shè)備的使用安全性,集眾家所長的安全設(shè)備固然能夠減少了接入的層次��,降低了生產(chǎn)成本����。
關(guān)于安全網(wǎng)絡(luò)的組網(wǎng)�����,還是要嚴格按照雙機備份的原則�����,特別是涉及到防火墻��,必須做到雙機冗余的原則����,保證一臺設(shè)備宕機的情況下�����,另一臺能正常工作�����,并且不影響到網(wǎng)絡(luò)流量的正常轉(zhuǎn)發(fā)�����。建議還是聽從專業(yè)廠家或者服務(wù)商提供的方案進行部署。
關(guān)于DMZ區(qū)域和IDC的網(wǎng)絡(luò)安全構(gòu)架建設(shè):DMZ即緩沖區(qū)�,也是我們部署web服務(wù)器,DNS系統(tǒng)�����,3A系統(tǒng)����,ftp服務(wù)器的區(qū)域�,建議統(tǒng)一進行規(guī)劃。減少網(wǎng)絡(luò)的復(fù)雜性�,便于管理。包括IDC服務(wù)器組�,如果條件允許。也應(yīng)該統(tǒng)一納入網(wǎng)絡(luò)中�����。
3.5建設(shè)前后的測試
有人說過一個最大的錯誤是假定安全設(shè)備本身是安全的����。所以合理的部署和計劃是十分必要的而且重要的。開始建設(shè)前����,一方面應(yīng)該進行足夠的壓力測試����,從設(shè)備的本身是否安全開始到演示當設(shè)備在網(wǎng)的時候出現(xiàn)的各種情況�����,來判斷方案是否可行����,這是個漫長而枯燥的過程,但卻是十分必要�,沒有人愿意在完成建設(shè)后重新趕工修改自己的網(wǎng)絡(luò)部署,另外一方面必須和廠家�����、集成商�����、服務(wù)商溝通好�����,要求其能夠提供足夠的應(yīng)急預(yù)案來保障安全的運行。工程完成以后就應(yīng)該開始進行各種的測試��,測試設(shè)備能否正常工作發(fā)揮作用�,已經(jīng)能否順利的升級,及時更新補丁等等�。如果有條件,還應(yīng)該定期執(zhí)行漏掃和進行滲透測試�����。
第3篇
目前雙向網(wǎng)在5~1000MHz的范圍內(nèi)可劃分為:上行頻段:5~65MHz����;過度頻段:65~87MHz��;FM頻段:87~108MHz����;下行頻段:108~1000MHz。③數(shù)字電視�����。數(shù)字電視一種將節(jié)目的全部過程利用數(shù)字處理信號的方式來運行或利用二進制數(shù)字串所形成的數(shù)字流傳播的電視�?����;贒VB技術(shù)標準的廣播式和“交互式”的數(shù)字電視����。是采用了先進客戶管理技術(shù)�����,可以為客戶才來更多好節(jié)目��,提高了畫面的清晰度和質(zhì)量����。它還可以訂購各種業(yè)務(wù),如互動電視��、高清晰度電視�����、標準清晰度電視�、BSV液晶拼接等業(yè)務(wù)。與傳統(tǒng)電視相比��,數(shù)字電視音質(zhì)更好、節(jié)目數(shù)量更多��、畫面更清晰亮麗�。
2現(xiàn)階段數(shù)字電視雙向網(wǎng)絡(luò)存在的安全問題
在雙向網(wǎng)絡(luò)出現(xiàn)之前,數(shù)字電視一直使用的是單向網(wǎng)絡(luò)�。由于單向網(wǎng)絡(luò)與網(wǎng)絡(luò)連接少,收費低��,可獲取的利益少����,所以單向網(wǎng)絡(luò)安全問題多數(shù)集中在授權(quán)的安全,不要出現(xiàn)盜版�����,不要出現(xiàn)黑戶問題上�。而數(shù)字電視雙向網(wǎng)絡(luò)業(yè)務(wù)更多�、用戶的增值項目也多,使得他人可利用數(shù)字電視雙向網(wǎng)絡(luò)賺取大筆利潤��,由此將引起大量的黑客對數(shù)字電視雙向網(wǎng)絡(luò)的關(guān)注����。數(shù)字電視雙向網(wǎng)絡(luò)不像數(shù)字電視單向網(wǎng)絡(luò)保守�����,其安全問題不僅僅像數(shù)字電視單向網(wǎng)絡(luò)那樣只出現(xiàn)在終端而是前段終端都可能出現(xiàn)�����。還要考慮終端對前端的影響和惡意攻擊�,這使得數(shù)字電視單向網(wǎng)絡(luò)的安全建設(shè)單獨大大加大��。
3數(shù)字電視雙向網(wǎng)絡(luò)的安全建設(shè)的建議
3.1建立一個開放性�、標準性,能夠取得第三方認證的系統(tǒng)結(jié)構(gòu)
推薦使用兩種技術(shù)��,一個是公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure����,PKI)技術(shù)。另一個是安全套接層(SeeureSocketLayer����,SSL)技術(shù)。①公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure��,PKI)技術(shù)�。所謂公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure�,PKI)技術(shù)其實就是一個用公鑰概念����、技術(shù)實施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure����,PKI)技術(shù)是一種新的安全技術(shù),它由公開密鑰密碼技術(shù)�、數(shù)字證書、證書發(fā)放機構(gòu)(CA)和關(guān)于公開密鑰的安全策略等基本成分共同組成的��。公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure��,PKI)技術(shù)是利用公鑰技術(shù)實現(xiàn)電子商務(wù)安全的一種體系�����,是一種基礎(chǔ)設(shè)施����,網(wǎng)絡(luò)通訊����、網(wǎng)上交易是利用它來保證安全的����。公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure����,PKI)技術(shù)是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺,目的是為了管理密鑰和證書��。一個機構(gòu)通過采用公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure����,PKI)技術(shù)框架管理密鑰和證書可以建立一個安全的網(wǎng)絡(luò)環(huán)境。公約基礎(chǔ)設(shè)施(PublicKeyInfrastructure����,PKI)技術(shù)包括四個主要部分:X.509格式的證書(X.509V3)和證書廢止列表CRL(X.509V2);CA操作協(xié)議��;CA管理協(xié)議�����;CA政策制定�。②安全套接層(SeeureSocketLayer,SSL)技術(shù)。SSL(SecureSocketLayer)安全套接層是Netscape公司率先采用的網(wǎng)絡(luò)安全協(xié)議��。它是在傳輸通信協(xié)議(TCP/IP)上實現(xiàn)的一種安全協(xié)議�,采用公開密鑰技術(shù)。SSL(SecureSocketLayer)安全套接層應(yīng)用廣泛�,各種網(wǎng)絡(luò)都可以使用它,不僅如此�,還提供了三中安全服務(wù)。SSL(SecureSocketLayer)安全套接層是一種利用TCP的可靠的端到端的安全服務(wù)��,而且他還是一個二層協(xié)議�,底層是SSL記錄層,此層是用來封裝各種上層協(xié)議����。還有一層是SSL的握手協(xié)議,它的作用是在服務(wù)器和客戶機之間傳送數(shù)據(jù)之前協(xié)商加密算法和加密密鑰�����,服務(wù)器將通過客戶及提出的加密算法來選擇最適合的算法�。還有三個更高層的協(xié)議,分別為SSL的一部分:握手協(xié)議�����、修改密文規(guī)約協(xié)議和告警協(xié)議�。有這兩項技術(shù)作為基礎(chǔ)的數(shù)字電視雙向網(wǎng)絡(luò)安全系統(tǒng),既能獲取第三方的認證�����,還能增加安全性��。
3.2網(wǎng)絡(luò)內(nèi)容安全
網(wǎng)絡(luò)是把雙刃劍?,F(xiàn)在網(wǎng)絡(luò)充斥著各種不良信息,還有一些不法分子制造網(wǎng)絡(luò)病毒損害電腦�,盜取別人的個人信息和重要數(shù)據(jù)以此來謀取利益。當然隨著網(wǎng)購的興起����,更有不法分子通過網(wǎng)絡(luò)盜取和騙取錢財。由此��,數(shù)字電視雙向網(wǎng)絡(luò)應(yīng)該有一個安全的環(huán)境��,保護用戶的個人信息和錢財����,還要防止病毒的侵入。我建議利用消息鑒別碼(MessageAuthenticationCode�����,MAC),消息鑒別碼(MessageAuthenticationCode��,MAC)可以鑒別信息的來源是否合法還可以保證信息的完整性����。消息鑒別碼(MessageAuthenticationCode,MAC)有一個認證標識是用公開函數(shù)和密鑰然后產(chǎn)生一個長度一定的值,消息鑒別碼用這個標識來判斷信息的完整性。利用一個密鑰生成一個大小一定的數(shù)據(jù)塊(MAC),將其與信息一起傳送����,接收方利用發(fā)送方共享的密鑰進行鑒別認證等.消息鑒別碼(MessageAuthenticationCode�����,MAC)僅僅認證消息MAC的完整性(不會被篡改)和可靠性(不會是虛假的消息或偽造的消息)����,但不負責數(shù)據(jù)MAC是否被安全傳輸��。之所以要放棄信息的保密性(使用公鑰加密私鑰簽名的對稱密碼協(xié)議可以很好的保證信息MAC的保密性��、完整性和可靠性),是因為在某些場合(政府部門公告��、網(wǎng)絡(luò)管理通知等)并不需要對信息進行加密�;或者是有些場合(例如廣播信息等)需要長時間傳輸大量信息�。由于MAC函數(shù)是單向函數(shù),因此對明文M進行摘要計算的時間遠比使用對稱算法或公開密鑰算法對明文加密的時間要小。
3.3保證用戶信息的安全
在進行業(yè)務(wù)費用支付的時候,會要求用戶輸入個人資料和密碼等��。保護用戶的資料和密碼就成為結(jié)構(gòu)系統(tǒng)需要注意的事項。虛擬鍵盤技術(shù)大可解決此問題。有了虛擬鍵盤技術(shù)�����,機頂盒會出現(xiàn)一個鍵盤,鍵盤上的數(shù)字都是隨機排列的��,這樣就算不法分子偷到了遙控器的紅外數(shù)據(jù)�,得到的也僅僅是上下左右�,而不是用戶密碼�����,從而保證了信息輸入的安全����。
4結(jié)語
第4篇
關(guān)鍵詞:計算機網(wǎng)絡(luò);安全建設(shè)����;威脅因素;安全技術(shù)
中圖分類號:TP393.08
目前計算機網(wǎng)絡(luò)實現(xiàn)了信息全球化�����,被廣泛應(yīng)用到人們的學(xué)習、生活和工作之中����,甚至也被應(yīng)用到了國家各種事務(wù)的處理之中。但是因為計算機網(wǎng)絡(luò)具有開放性�、互聯(lián)性和多樣性的特點,很容易受到攻擊�,存在很多威脅因素。因此��,就要采取必要的措施來網(wǎng)絡(luò)信息的安全、保密����、可靠。
1 計算機網(wǎng)絡(luò)安全存在的威脅因素
威脅計算機網(wǎng)絡(luò)安全的因素是多種多樣的����,涉及到很多個方面的�����,下面將對當前網(wǎng)絡(luò)安全存在的威脅進行總結(jié):
1.1 無授權(quán)訪問����。無授權(quán)訪問指的是沒有經(jīng)過預(yù)先同意的對網(wǎng)絡(luò)或計算機資源的使用,主要包括:自作主張的擴大權(quán)限�����,越權(quán)訪問不該訪問的信息�;故意避開系統(tǒng)訪問的控制�����,不正常的使用網(wǎng)絡(luò)資源和設(shè)備�。這些無授權(quán)訪問主要通過非法進入網(wǎng)絡(luò)系統(tǒng)、違規(guī)操作、假冒身份��、身份攻擊以及合法的用戶不以授權(quán)的方式進行操作形式表現(xiàn)出來��。
1.2 數(shù)據(jù)的完整性遭到破壞�。一些攻擊者使用違法手段盜竊數(shù)據(jù)的使用券����,并對這些數(shù)據(jù)進行插入����、修改�����、刪除或者是重發(fā)一些重要保密的信息��,期望得到有益于自己的響應(yīng)��。并且他們?yōu)榱擞绊懹脩舻恼J褂?,惡意修改��、添加?shù)據(jù)��,破壞數(shù)據(jù)的完整性和正確性����。
1.3 使用計算機網(wǎng)絡(luò)散播病毒。計算機病毒通常是最先以一個計算機系統(tǒng)作為載體�����,通過移動硬盤、軟盤����、網(wǎng)絡(luò)和光盤等媒質(zhì)介體,對其他的計算機系統(tǒng)進行惡意破壞�����。計算機病毒能夠在特別短的時間內(nèi)使整個計算機網(wǎng)絡(luò)癱瘓����,使得網(wǎng)絡(luò)損失慘重。用戶很難防范通過計算機網(wǎng)絡(luò)傳播的病毒�����,單機系統(tǒng)和計算機系統(tǒng)很容易在病毒的干擾下發(fā)生異常和破壞��。
1.4 丟失或泄露信息�。被有意或者是無意丟失和泄露的信息往往是敏感數(shù)據(jù)和保密數(shù)據(jù),通常包括:信息在存儲介質(zhì)中遭到泄露或丟失��、信息在傳輸過程中遭到泄露或丟失(最常見的就是黑客通過對通信長度或頻度�、信息流量和流向等數(shù)據(jù)的分析以及利用搭線竊聽或者是電磁泄露的方式截獲或破解機密信息,來推算出用戶的賬號�、口令等重要的有用的信息)、黑客建立隱蔽隧道來偷竊敏感保密的信息��。
1.5 干擾服務(wù)攻擊�����。主要是通過改變服務(wù)系統(tǒng)的正常的作業(yè)流程�����、執(zhí)行無關(guān)緊要的程序來減慢系統(tǒng)響應(yīng)直至癱瘓等方式不斷地對計算機網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾��,干擾合法用戶的正常使用�,以及不使正常用戶進入計算機網(wǎng)絡(luò)系統(tǒng),無法得到服務(wù)等����。
1.6 管理不到位存在的威脅。計算機網(wǎng)絡(luò)的正常運行離不開正確的管理����,錯誤的管理會給企業(yè)造成非常巨大的損失。需要進行的管理主要包括計算機網(wǎng)絡(luò)��、硬件設(shè)備和軟件系統(tǒng)����,例如若是軟件系統(tǒng)沒有健全的安全管理�,不僅會破壞計算機網(wǎng)絡(luò)的安全�,還會使得計算機網(wǎng)絡(luò)錯誤的運行。還有一個因素就是工作人員在工作過程中��,不注意對移動U盤進行保護和管理��,加入病毒�����,在插入電腦之后��,又將帶著的病毒傳給電腦�,病毒進入電腦之后,就會電腦的網(wǎng)絡(luò)系統(tǒng)進行惡意破壞����,使整個計算機網(wǎng)絡(luò)系統(tǒng)癱瘓不能使用。
2 計算機網(wǎng)絡(luò)系統(tǒng)安全技術(shù)措施
2.1 檢測入侵�����。如果計算機網(wǎng)絡(luò)中存在可以被惡意攻擊者利用的漏洞�、安全弱點和不安全的配置(如應(yīng)用程序��、網(wǎng)絡(luò)服務(wù)�����、網(wǎng)絡(luò)設(shè)備、TCP/IP協(xié)議�、操作系統(tǒng)等幾個方面存在這樣的問題),就會遭到黑客或者攻擊者的網(wǎng)絡(luò)攻擊和惡意入侵�����。網(wǎng)管人員在網(wǎng)絡(luò)系統(tǒng)沒有預(yù)警防護機制的情況下��,是很難發(fā)現(xiàn)已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò)和關(guān)鍵主機的攻擊者實施的非法操作的����。檢測入侵系統(tǒng)可以說是計算機網(wǎng)絡(luò)系統(tǒng)的第二個安全閘門,因為它在監(jiān)聽網(wǎng)絡(luò)的時候不影響計算機網(wǎng)絡(luò)系統(tǒng)的性能�����,并且可以及時地提供對誤操作����、外部攻擊和內(nèi)部攻擊的保護�����。
2.2 應(yīng)用安全漏洞掃描技術(shù)����。安全漏洞掃描技術(shù)可以通過自動檢測本地或者是遠程主機安全上存在的弱點��,使網(wǎng)絡(luò)管理人員在黑客和入侵者找到漏洞之前就修補存在著的這些安全漏洞�����。專門檢查數(shù)據(jù)庫安全漏洞的掃描器�、網(wǎng)路安全漏洞掃描和主機安全漏洞掃描等都是安全漏洞掃描軟件。但是由于操作系統(tǒng)的安全漏洞隨時在����、安全資料庫時刻在更新,所以各種安全漏洞掃描器只有及時進行更新才能掃描出系統(tǒng)的全部安全漏洞��,防止黑客的進入�。
2.3 防治計算機病毒。防治計算機病毒的首要做法就是要給所以計算機裝上殺毒軟件��,并對這些殺毒軟件進行及時的更新和維護,還要定期對這些殺毒軟件進行升級��。殺毒軟件可以在病毒侵入到系統(tǒng)的時候及時地發(fā)現(xiàn)病毒庫中已經(jīng)存在的可以代碼�、可疑程序和病毒,并警告給主系統(tǒng)準確的查找病毒的實際來源�����,對大多數(shù)病毒進行及時的隔離和清除�。使用者要注意不要隨意打開或者安裝來歷不明的程序�、軟件和陌生郵件等。發(fā)現(xiàn)已經(jīng)感染病毒后要對病毒實行檢測和清除����,及時修補系統(tǒng)漏洞。
2.4 使用防火墻技術(shù)�。防火墻指的是一個控制兩個網(wǎng)絡(luò)間互相訪問的一個系統(tǒng),它主要通過對硬件和軟件的結(jié)合為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的溝通建立一個“保護層”�,只有經(jīng)過這個保護層連接和檢查,獲得授權(quán)允許的通信才能通過這個保護層�。防火墻不僅能夠阻止外界非法訪問內(nèi)部網(wǎng)絡(luò)資源,還能提供監(jiān)視Internet預(yù)警和安全的方便端點��,控制內(nèi)部訪問外部的特殊站點�����。然而,防火墻并不能解決一切問題��,即使是通過精心配制的防火墻也不能抵擋住隱蔽在外觀看似正常的數(shù)據(jù)下的程序通道�����。為了更好的利用防火墻技術(shù)保護網(wǎng)絡(luò)的安全�,就要根據(jù)需求合理的配置防火墻,采用加密的HTTP協(xié)議和過濾嚴格的WEB程序�����,不要多開端口��,經(jīng)常升級��,管理好內(nèi)部網(wǎng)絡(luò)的用戶�����。
2.5 黑客誘騙技術(shù)�。黑客誘騙技術(shù)就是通過―個由網(wǎng)絡(luò)安全專家精心設(shè)置的特殊系統(tǒng)來引誘黑客,并記錄和跟蹤黑客����,其最重點的功能就是經(jīng)過特殊設(shè)置記錄和監(jiān)視系統(tǒng)中的所有操作����,網(wǎng)絡(luò)安全專家經(jīng)過精心的偽裝能夠達到使黑客和惡意的進攻者在進入目標系統(tǒng)后��,并不知道自己的行為已經(jīng)處于別人的監(jiān)視之中�。網(wǎng)絡(luò)安全專家故意在黑客誘騙技術(shù)系統(tǒng)中放置一些虛假的敏感信息或留下一些安全漏洞來吸引黑客自行上鉤,使得黑客并不知道他們在目標系統(tǒng)中的所有行為都已經(jīng)被記錄下來�����。黑客誘騙技術(shù)系統(tǒng)的管理人員可以仔細分析和研究這些記錄�,了解黑客采用的攻擊水平�、攻擊工具、攻擊目的和攻擊手段等�����,還可以分析黑客的聊天記錄來推算他們的下一個攻擊目標和活動范圍��,對系統(tǒng)進行防護性保護�����。同時這些記錄還可以作為黑客的證據(jù),保護自身的利益����。
2.6 網(wǎng)絡(luò)安全管理。確保網(wǎng)絡(luò)的安全�����,還要加強對網(wǎng)絡(luò)的管理��,要限制用戶的訪問權(quán)限�����、制定有關(guān)的規(guī)章制度����、制定書面規(guī)定、策劃網(wǎng)絡(luò)的安全措施�����、規(guī)定好網(wǎng)絡(luò)人員的安全規(guī)則����。此外��,還要制定網(wǎng)絡(luò)系統(tǒng)的應(yīng)急措施和維護制度�����,確定安全管理和等級�����,這樣才能確保網(wǎng)絡(luò)的安全�。
3 結(jié)束語
由于我們的工作和生活都離不開網(wǎng)絡(luò)�����,所以計算機網(wǎng)絡(luò)安全是我們非常關(guān)注的事情����。我們需要建立一個安全����、完善的計算機網(wǎng)絡(luò)系統(tǒng)來保證我們的利益,需要計算機網(wǎng)絡(luò)進行不斷的完善�,解決掉存在的各種安全威脅。同時網(wǎng)絡(luò)的不安全也會影響到企業(yè)和國家的利益��,所以只要網(wǎng)絡(luò)的安全性提高了,企業(yè)和國家才能發(fā)展的更好��,社會才會進步����。
參考文獻:
[1]張鏑.淺析計算機網(wǎng)絡(luò)安全建設(shè)方法及安全技術(shù)[J].電子世界,2014(08):21-22.
[2]趙洪斌.計算機網(wǎng)絡(luò)安全建設(shè)方法及安全技術(shù)[J].計算機光盤軟件和應(yīng)用�,2013(11):35-38.
第5篇
在電信部門IDC機房部署應(yīng)用服務(wù)器兩臺及以上、數(shù)據(jù)庫服務(wù)器兩臺(或者四臺)分別做雙機熱備或多機互備��,數(shù)據(jù)庫服務(wù)器通過光纖交換機與存儲系統(tǒng)相連接��,為了便于數(shù)據(jù)同步����,在單位部署一臺數(shù)據(jù)上傳服務(wù)器和電信部門IDC機房部署一臺前置數(shù)據(jù)庫服務(wù)器,定期將內(nèi)部需要在外網(wǎng)查詢的內(nèi)容通過數(shù)據(jù)上傳服務(wù)器自動傳送到外網(wǎng)前置數(shù)據(jù)庫服務(wù)器上�,在外網(wǎng)前置數(shù)據(jù)庫服務(wù)器上進行數(shù)據(jù)校驗和比對后自動同步到網(wǎng)站數(shù)據(jù)庫服務(wù)器上,實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的及時更新����。
2網(wǎng)絡(luò)通信建設(shè)
由于門戶網(wǎng)站的所有硬件都托管在電信部門IDC機房,故在網(wǎng)絡(luò)通信方面完全利用電信部門IDC機房現(xiàn)有的網(wǎng)絡(luò)通信設(shè)備��,對外出口帶寬至少為兩條100MB鏈路�。
3網(wǎng)絡(luò)安全防護建設(shè)
政府類門戶網(wǎng)站的安全建設(shè)按照計算機信息系統(tǒng)安全等級保護三級技術(shù)標準執(zhí)行�����。涉及內(nèi)容包括:數(shù)據(jù)機房安全����、網(wǎng)絡(luò)通信安全�、主機系統(tǒng)安全、應(yīng)用安全�、數(shù)據(jù)安全幾個部分。
3.1防護對象
政府門戶網(wǎng)站信息網(wǎng)絡(luò)大致可分為管理信息區(qū)域和信息區(qū)域�,管理信息區(qū)域用于支撐該系統(tǒng)與業(yè)務(wù)相關(guān)的內(nèi)部管理信息應(yīng)用數(shù)據(jù)。管理信息區(qū)域劃分為用于承載內(nèi)部辦公的信息內(nèi)網(wǎng)和用于支撐對外業(yè)務(wù)和互聯(lián)網(wǎng)用戶的信息外網(wǎng)��。信息區(qū)為面向公眾的信息平臺����,用于信息查詢、政策導(dǎo)向����、公眾監(jiān)督等互聯(lián)網(wǎng)訪問需要�����。
3.2設(shè)計思路
政府類門戶網(wǎng)站網(wǎng)絡(luò)安全防護體系是依據(jù)以下策略進行建設(shè):雙網(wǎng)雙機:管理信息區(qū)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng),內(nèi)外網(wǎng)間采用物理隔離�����,信息內(nèi)外網(wǎng)分別采用獨立的服務(wù)器��,數(shù)據(jù)進行單向流動�,通過人工操作實現(xiàn),極大地保障了信息數(shù)據(jù)和內(nèi)部網(wǎng)絡(luò)的安全����。等級防護:管理信息系統(tǒng)將以實現(xiàn)等級保護為基本出發(fā)點進行安全防護體系建設(shè),并參照國家等級保護基本要求進行安全防護措施設(shè)計�;多層防御:在分域防護的基礎(chǔ)上,將各安全域的信息系統(tǒng)劃分為邊界��、網(wǎng)絡(luò)��、主機�����、應(yīng)用四個層次進行安全防護設(shè)計�,以實現(xiàn)層層遞進,縱深防御�����。
3.3防護措施
(1)基于網(wǎng)絡(luò)安全的訪問控制。在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備�,啟用訪問控制功能;根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力�����,控制粒度為端口級��;對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾�,實現(xiàn)對應(yīng)用層HTTP、FTP�����、TELNET��、SMTP�����、POP3等協(xié)議命令級的控制����;在會話處于非活躍時間或會話結(jié)束后終止網(wǎng)絡(luò)連接;限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)�����;重要網(wǎng)段采取技術(shù)手段防止地址欺騙��;按用戶和系統(tǒng)之間的允許訪問規(guī)則����,決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問,控制粒度為單個用戶����;限制具有撥號訪問權(quán)限的用戶數(shù)量。
(2)設(shè)備和審計系統(tǒng)結(jié)合��。對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況����、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄��;審計記錄包括:事件的日期和時間����、用戶����、事件類型�、事件是否成功及其他與審計相關(guān)的信息;能夠根據(jù)記錄數(shù)據(jù)進行分析�,并生成審計報表;對審計記錄進行保護�,避免受到未預(yù)期的刪除、修改或覆蓋等�;實現(xiàn)對應(yīng)用系統(tǒng)的數(shù)據(jù)訪問與操作進行全面地監(jiān)控審計,可實時顯示和監(jiān)視操作行為�����,詳細記錄所有的操作行為和操作內(nèi)容����,提供審計查詢和關(guān)聯(lián)分析,輸出完整地審計統(tǒng)計報告��。
(3)基于安全事件的防護�����。能夠?qū)Ψ欠ń尤雰?nèi)部網(wǎng)絡(luò)的行為進行檢查,準確定出位置����,并對其進行有效阻斷。
(4)檢測和主動防御的融合�。在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描��、強力攻擊�����、木馬后門攻擊�����、拒絕服務(wù)攻擊����、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等����;當檢測到攻擊行為時,記錄攻擊源IP��、攻擊類型、攻擊目的�、攻擊時間,在發(fā)生嚴重入侵事件時提供報警��。
(5)病毒防御機制��。在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除�;維護惡意代碼庫的升級和檢測系統(tǒng)的更新。
(6)虛擬接入和防篡改技術(shù)��。對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別�����;對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制��;網(wǎng)絡(luò)設(shè)備用戶的標識唯一��;當對網(wǎng)絡(luò)設(shè)備進行遠程管理時����,采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離��。通過主頁防篡改系統(tǒng)進一步防止黑客對門戶網(wǎng)站設(shè)備的入侵��。
(7)主機系統(tǒng)防護。主機系統(tǒng)安全防護包括對系統(tǒng)內(nèi)服務(wù)器及存儲設(shè)備的安全防護�。服務(wù)器包括業(yè)務(wù)應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器�����、WEB服務(wù)器��、文件與通信服務(wù)器等�。保護主機系統(tǒng)安全的目標是采用信息保障技術(shù)確保業(yè)務(wù)數(shù)據(jù)在進入�����、離開或駐留服務(wù)器時保持可用性�����、完整性和保密性�����,采用相應(yīng)的身份認證�、訪問控制等手段阻止未授權(quán)訪問,采用主機防火墻��、入侵檢測等技術(shù)確保主機系統(tǒng)的安全,進行事件日志審核以發(fā)現(xiàn)入侵企圖����,在安全事件發(fā)生后通過對事件日志的分析進行審計追蹤,確認事件對主機的影響以進行后續(xù)處理����。
3.4安全防護集成
綜上所述,政府門戶網(wǎng)站信息網(wǎng)絡(luò)的可靠運轉(zhuǎn)是基于通訊子網(wǎng)����、計算機硬件、操作系統(tǒng)����、各種應(yīng)用軟件等各方面、各層次的良好運行�����。因此��,其風險將來自對內(nèi)部和外部的各個關(guān)鍵點可能造成的威脅�,這些威脅可能造成總體功能的失效。網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要考慮安全對象和安全機制��,安全對象主要有網(wǎng)絡(luò)安全、系統(tǒng)安全�����、數(shù)據(jù)庫安全����、信息安全、設(shè)備安全��、病毒防治等�。
(1)網(wǎng)絡(luò)出口邊界部署能夠防御DoS/DDoS攻擊、ARP欺騙攻擊��、TCP報文標志位不合法攻擊�、LargeICMP報文攻擊�����、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊的下一代防火墻����。保證正常訪問用戶的接入,對內(nèi)網(wǎng)資源形成進行有效保護��。
(2)網(wǎng)絡(luò)出口部署入侵防御系統(tǒng),因為內(nèi)部網(wǎng)絡(luò)中有很多服務(wù)器(如web服務(wù)器����、通訊服務(wù)器、應(yīng)用服務(wù)器集群等等)����,各種服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫在網(wǎng)絡(luò)通訊傳輸中存在天然的安全隱患,如對協(xié)議中的異常情況考慮不足����。外部非法訪問可利用協(xié)議的漏洞對服務(wù)器發(fā)起攻擊。向服務(wù)器發(fā)送非標準或者緩沖區(qū)溢出的協(xié)議數(shù)據(jù)����,從而奪取服務(wù)器控制權(quán)或者造成服務(wù)器宕機。密切跟蹤全球知名安全組織和軟件廠商的安全公告�,對各種威脅進行分析、驗證����,保證實時更新簽名庫,跟進安全威脅的發(fā)展狀況�����。不斷升級入侵防御系統(tǒng)檢測引擎以防護新出現(xiàn)的安全威脅,具備防御0-DAY攻擊能力��。
(3)網(wǎng)絡(luò)內(nèi)部署安全審計系統(tǒng)�����,在嚴格執(zhí)行安全保密規(guī)定的基礎(chǔ)上����,對整個系統(tǒng)的監(jiān)控審計管理,保證系統(tǒng)的數(shù)據(jù)完整性��、保密性和可信性�����。實時顯示和監(jiān)視操作行為�,詳細記錄所有的操作行為和操作內(nèi)容�����,提供審計查詢和關(guān)聯(lián)分析�,輸出完整地審計統(tǒng)計報告。發(fā)生安全問題時�,可以從系統(tǒng)的審計記錄庫中快速查找違規(guī)操作活動和留下的痕跡����,獲取可靠的證據(jù)信息��,如果發(fā)生了安全事故也能夠快速查證并追根尋源�����。
(4)在門戶網(wǎng)站服務(wù)器前端部署web應(yīng)用防火墻系統(tǒng)�����,對web服務(wù)器進行全面防護��,發(fā)現(xiàn)并阻斷各種WEB攻擊�����,定期檢查網(wǎng)站各種安全隱患����,發(fā)現(xiàn)問題及時預(yù)警并自動采取修補措施;實時防護各種WEB應(yīng)用攻擊�����、DDOS攻擊、網(wǎng)頁木馬攻擊等行為����。
(5)在Web服務(wù)器上部署網(wǎng)頁放篡改系統(tǒng),采用HTTP請求過濾��、核心內(nèi)嵌等技術(shù)��;提供實時阻斷�、事件觸發(fā)、數(shù)字水印和應(yīng)用防護四種防護措施��,通過四種防護措施的合理組合達到起到更好的防護作用��。在安全審計系統(tǒng)對Web服務(wù)器的所有操作全面監(jiān)控進行告警����、記錄的預(yù)防措施的前提下,形成一套有機的保護體系�,在發(fā)生篡改行為后迅速恢復(fù)Web網(wǎng)頁內(nèi)容,不影響正常訪問��,避免業(yè)務(wù)中斷�����。
(6)網(wǎng)絡(luò)出口部署的防病毒網(wǎng)關(guān)��,所有數(shù)據(jù)流都需要經(jīng)過防病毒網(wǎng)關(guān)����。因此防病毒網(wǎng)關(guān)能夠有效地監(jiān)控進入內(nèi)部網(wǎng)絡(luò)的流量。提供兩種方式的病毒掃描�����,一種傳統(tǒng)的掃描方式�,文件完全掃描后推送給真正的接收者,主要用來保護安全需求強烈的服務(wù)器或者重要區(qū)域�����,另一種是邊傳輸邊緩存的方式����,允許用戶實時接收數(shù)據(jù),延時減小�。
3.5網(wǎng)絡(luò)安全技術(shù)服務(wù)
政府門戶網(wǎng)站信息網(wǎng)絡(luò)投入運行后,如何保障系統(tǒng)的安全運行便成了重中之重��。其中涉及的工作量巨大,技術(shù)要求亦非常高��。因此����,政府門戶網(wǎng)站常常采取安全服務(wù)外包方式聘請具備專業(yè)安全服務(wù)資質(zhì)的機構(gòu)進行網(wǎng)絡(luò)安全保障。安全服務(wù)內(nèi)容主要包括以下方面:
(1)Web安全監(jiān)測����。針對WEB應(yīng)用安全,我們所提出日常安全檢測內(nèi)容需包含:XSS跨站攻擊檢測����;SQL注入檢測;URL重定向檢測����;FORM檢測(單表逃逸檢測);FORM弱口令檢測�;網(wǎng)頁木馬(惡意代碼)檢測;數(shù)據(jù)竊取檢測�����;GOOGLE-HACK檢測����;中間人攻擊檢測��;Oracle密碼暴力破解;WebSer-viceXPath注入檢測��;Web2.0AJAX注入檢測����;Cookies注入檢測;雜項:其他各類CGI弱點檢測��,如:命令注入檢測��、LDAP注入檢測��、CFS跨域攻擊檢測����、敏感文件檢測、目錄遍歷檢測�����、遠程文件包含檢測�����、應(yīng)用層拒絕服務(wù)檢測等。(2)數(shù)據(jù)庫安全監(jiān)測�����。數(shù)據(jù)庫安全檢測需實現(xiàn)的功能:發(fā)現(xiàn)不安全的數(shù)據(jù)庫安裝和配置�;發(fā)現(xiàn)數(shù)據(jù)庫弱口令;發(fā)現(xiàn)數(shù)據(jù)庫的變化或潛藏木馬�;發(fā)現(xiàn)數(shù)據(jù)庫弱點和補丁的層次。從而在此基礎(chǔ)上形成一個綜合的分析報告及修復(fù)建議�����。
(3)漏洞及病毒通報.系統(tǒng)在運行期間����,計算機病毒及安全漏洞問題將是直接威脅整個系統(tǒng)運行的重要因素。因此����,我們需要安全服務(wù)提供商定期提供定向計算機漏洞及病毒情況通報。借此�,通過對這些情況的實時動態(tài)、快速的掌握�����,可提高管理部門的快速響應(yīng)能力。
(4)風險評估�����。該系統(tǒng)需定期進行風險評估工作��。有效地借助專業(yè)安全服務(wù)提供商的力量�,來檢測本系統(tǒng)現(xiàn)行情況的安全現(xiàn)狀�。
(5)系統(tǒng)安全加固。安全服務(wù)提供商需指派專業(yè)人員定期針對加固的系統(tǒng)進行漏洞掃描�����、攻擊�、滲透等方面的測試,確保核心設(shè)備�����、核心系統(tǒng)的加固有效性��,并及時報告系統(tǒng)加固現(xiàn)狀�。在業(yè)務(wù)系統(tǒng)上線之前檢查安全配置情況�,并提供安全加固建議�。安全加固是指針對政府門戶網(wǎng)站的服務(wù)器、安全設(shè)備的安全加固和安全配置優(yōu)化�,對網(wǎng)絡(luò)設(shè)備的安全加固建議。通過定期的加固工作����,將系統(tǒng)的安全狀況提升到一個較高的水平。將在漏洞掃描�����、安全審計�����、滲透測試的報告結(jié)果基礎(chǔ)上�,對服務(wù)器、安全設(shè)備等方面存在的各類脆弱性問題進行提煉歸納����,提出合理的切實可行的安全加固方案。安全加固方案在提交并經(jīng)過用戶方評審��、許可后,進行安全加固實施��,同時����,必須指導(dǎo)、協(xié)助對各應(yīng)用系統(tǒng)的操作系統(tǒng)��、數(shù)據(jù)庫系統(tǒng)����、中間件和應(yīng)用程序的安全配置、安全策略和安全機制進行電子政務(wù)云計算中心加固和完善�,使應(yīng)用系統(tǒng)符合安全防護要求��,保證該信息系統(tǒng)的安全可靠運行��。
3.5.1應(yīng)急響應(yīng)目標
及時響應(yīng)信息系統(tǒng)的安全緊急事件�,保證事件的損失降到最小。包括如下目標:
(1)7*24*365快速響應(yīng)服務(wù)(本地)��,提供全天候的緊急響應(yīng)服務(wù)�,本地在2個小時內(nèi)到達現(xiàn)場;
(2)判定安全事件類型�,從網(wǎng)絡(luò)流量、系統(tǒng)和IDS日志記錄、桌面日志中判斷安全事件類型�。查明安全事件原因,確定安全事件的威脅和破壞的嚴重程度�。查明安全事件原因,確定安全事件的威脅和破壞的嚴重程度:
(3)抑制事態(tài)發(fā)展��,抑制事態(tài)發(fā)展是為了將事故的損害降低到最小化����。在這一步中,通常會將受影響系統(tǒng)和服務(wù)隔離����。這一點對保持系統(tǒng)的可用性是非常重要的;
(4)排除系統(tǒng)故障����,針對發(fā)現(xiàn)的安全事件來源,排除潛在的隱患�,消除安全威脅,徹底解決安全問題�����;
(5)恢復(fù)信息系統(tǒng)正常操作��,在根除問題后,將已經(jīng)被攻擊設(shè)備或由于事故造成的系統(tǒng)損壞做恢復(fù)性工作�,使網(wǎng)絡(luò)系統(tǒng)能在盡可能短的時間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù);
(6)信息系統(tǒng)安全加固�,對系統(tǒng)中發(fā)現(xiàn)的漏洞進行安全加固,消除安全隱患��;
(7)重新評估信息系統(tǒng)的安全性能�����,重新評價系統(tǒng)的安全特性�����,確保在一定的時間范圍內(nèi)����,不發(fā)生同類的安全事件��。
3.5.2應(yīng)急響應(yīng)內(nèi)容
應(yīng)急響應(yīng)是處理各種惡意攻擊帶來的緊急破壞效果����,這里包括如下方面:
(1)拒絕服務(wù)響應(yīng),當網(wǎng)絡(luò)遭受大量通問而造成我們正常業(yè)務(wù)無法提供服務(wù)的時候����,必須采取措施��,將惡意訪問抵擋在業(yè)務(wù)范圍之外�;
(2)數(shù)據(jù)破壞響應(yīng)�,當服務(wù)器的相關(guān)環(huán)節(jié),包括文件服務(wù)器�����,網(wǎng)站服務(wù)器��,數(shù)據(jù)庫服務(wù)器等的數(shù)據(jù)被惡意破壞����,導(dǎo)致無法正常提供服務(wù),并且此類現(xiàn)象可能還會重現(xiàn)����;
(3)病毒蠕蟲響應(yīng),當網(wǎng)絡(luò)遭受到病毒蠕蟲的攻擊����,導(dǎo)致正常辦公網(wǎng)絡(luò)癱瘓無法正常實施業(yè)務(wù),必須采取根治措施��,去除惡意影響;
(4)其他情況應(yīng)急響應(yīng)��,除了上面列明外��,包括惡意竊聽��、代碼攻擊�、網(wǎng)絡(luò)欺騙等,需要進一步找到攻擊根源�,去除漏洞。
3.6等級保護測評
聘請第三方信息安全等級保護測評公司進行網(wǎng)站系統(tǒng)相關(guān)軟硬件是否達到信息安全等級保護三級的要求�,并出具測評證書。
4建立及完善安全管理機制和網(wǎng)站維護隊伍
第6篇
第一�,檔案網(wǎng)絡(luò)信息部門要建立一個安全的網(wǎng)絡(luò)環(huán)境。維護檔案信息安全的網(wǎng)絡(luò)部門環(huán)境是十分重要的�,要對該部門網(wǎng)絡(luò)信息的查詢始端和終端以及移動端設(shè)備進行仔細的檢查,并做好保護工作��。第二�����,建立起安全可靠的檔案信息傳輸通道����。檔案信息在傳送的過程中很容易被竊取,因此我們加強檔案資料信息傳輸過程的保密措施�,以防不法分子竊取檔案信息,從而造成不必要的損失����。第三,要嚴格限制用戶的訪問權(quán)限�����。用戶在申請訪問權(quán)限時��,檔案管理部門要驗證用戶的身份信息�����,保證用戶只能訪問授權(quán)的內(nèi)容����,不能訪問受限制的內(nèi)容。第四��,完善密碼和密碼設(shè)備的協(xié)調(diào)機制�。所有用戶密碼以及密碼設(shè)備都應(yīng)當進行統(tǒng)一的管理,并且要把每個用戶的密碼與密碼設(shè)備對應(yīng)起來��,確保準確。第五��,創(chuàng)造綜合管理檔案信息的工作環(huán)境��。這個要求就是將全部用戶的檔案信息集中到一起進行管理����。這樣不僅方便管理檔案信息,還能保護檔案信息��,防止檔案資料損壞或者是丟失�����。
2檔案網(wǎng)絡(luò)信息保障體系建設(shè)的內(nèi)容
檔案網(wǎng)絡(luò)信息保障體系建設(shè)的主要內(nèi)容有物理安全�、網(wǎng)絡(luò)安全、系統(tǒng)安全��、應(yīng)用安全�����、用戶安全和安全管理六個方面����。物理安全是預(yù)先對需要加密的檔案信息進行分類,依據(jù)檔案資料的保密程度進行分等級的加密����,將加密好的檔案資料儲存到?jīng)]有電磁影響的檔案室中,對存儲檔案資料的設(shè)備要安裝監(jiān)控系統(tǒng)�,并設(shè)專人進行實時的監(jiān)控,一旦發(fā)現(xiàn)安全隱患及時上報����。此外,由于電子設(shè)備對電磁比較敏感����,所以,要特別注意電子設(shè)備所在檔案室的檢查和維護�。物理安全保障體系是比較常見的一種保障方法,應(yīng)用的范圍較廣����,可以保障檔案資料儲存的安全。網(wǎng)絡(luò)安全主要是對電子設(shè)備進行加密����,無論是檔案資料的存儲設(shè)備還是檔案資料的傳輸設(shè)備都需要進行加密,要為每一個設(shè)備終端和服務(wù)器安裝密碼機�����,并不定時的修改密碼。在選取存儲設(shè)備和加密設(shè)備時����,要選擇具有行業(yè)信譽的品牌,或者是上級管理機構(gòu)規(guī)定的品牌�,不可選擇質(zhì)量較差的設(shè)備。此外��,相關(guān)管理部門要科學(xué)的規(guī)劃和分配檔案管理機構(gòu)的網(wǎng)絡(luò)地址��,最好與普通網(wǎng)絡(luò)用戶相區(qū)別開��。系統(tǒng)安全是對存儲檔案資料的電子設(shè)備的操作系統(tǒng)進行保護��,操作系統(tǒng)對于電子設(shè)備來說是非常重要的��,操作系統(tǒng)的好壞不僅直接影響著電子設(shè)備運行速度的快慢����,還影響著操作人員學(xué)習的難易。人性化的操作系統(tǒng)不僅可以減小操作人員學(xué)習的時間和勞動強度�����,還可以提高工作效率。對于加密程度較高的檔案資料信息�,先進的系統(tǒng)是可以進行實時監(jiān)控的,并對檔案信息資料儲存和傳遞過程中出現(xiàn)的問題進行反饋�����,由此可見��,系統(tǒng)安全對于檔案資料信息化建設(shè)的重要性�����,所以����,在選擇電子設(shè)備的操作系統(tǒng)時要格外注意����,最好選擇比較先進的系統(tǒng),對于有特殊要求的檔案資料存儲設(shè)備�,可以依據(jù)自身的特點進行系統(tǒng)的開發(fā)。應(yīng)用安全的建設(shè)主要是對檔案的實際應(yīng)用進行保護��,由于檔案資料的加密程度不同,所以對于加密文件和不加密文件可以分開管理����。在進行檔案加密程度分類時,要仔細認真����,不要弄錯檔案資料的類別。要保障應(yīng)用系統(tǒng)的安全����,及時對檔案資料進行備份,防止因特殊情況造成檔案資料的丟失��。此外��,要確定檔案資料的瀏覽權(quán)限�,對于保密級別較高或嚴格保密的資料要加強保護的力度,保障檔案信息的安全�����。用戶安全是為了保護用戶信息安全而建立的����,用戶是檔案資料信息化建設(shè)的服務(wù)對象����,保障用戶的網(wǎng)絡(luò)安全是十分必要的�。用戶在選擇殺毒軟件時,要選擇適當?shù)臍⒍痉烙到y(tǒng)����,最好是可以實時更新補丁和修復(fù)系統(tǒng)漏洞的殺毒系統(tǒng),當有病毒攻擊時��,可以保護用戶的電子設(shè)備和檔案信息的安全�����。此外�����,用戶最好不要隨意改變已經(jīng)設(shè)立好的網(wǎng)絡(luò)地址�,特別是經(jīng)過檔案管理機構(gòu)網(wǎng)絡(luò)驗證的網(wǎng)址����,在進入應(yīng)用系統(tǒng)前,一定要按照系統(tǒng)的提示進行驗證�����,保障檔案網(wǎng)絡(luò)系統(tǒng)客戶端的安全。安全管理是在監(jiān)控檔案信息安全的基礎(chǔ)上�,建立一個完善的檔案網(wǎng)絡(luò)信息安全保障系統(tǒng)。完善安全管理應(yīng)當做到以下幾個方面:首先要建立規(guī)范的管理規(guī)章制度����,現(xiàn)階段我國的檔案管理制度還不是很完善,有些政策無法落實到位�,無法規(guī)范檔案管理者的行為,因此��,要加大規(guī)章制度建設(shè)的力度�����,對于網(wǎng)絡(luò)系統(tǒng)的安全管理可以通過建立保障系統(tǒng)運作制度��、用戶認證制度�、安全操作制度、程序規(guī)范制度等具體的制度來實現(xiàn)����;其次要設(shè)立一個健全的組織機構(gòu),設(shè)置一個專門的工作人員實時掌控檔案網(wǎng)絡(luò)信息安全工作�,具體的部門要由專業(yè)能力的工作人員進行管理��,各個部門的工作人員要及時進行工作交流�;最后要設(shè)立一個完善的安全保障體系��,在檔案管理系統(tǒng)出現(xiàn)故障或者檔案信息安全受到威脅的時候����,有能力和方法來處理各種突況。此外�,還可以增設(shè)一些安全配套設(shè)施,保障安全管理工作的順利進行����。
3檔案網(wǎng)絡(luò)信息保障體系建設(shè)的具體方法
第7篇
關(guān)鍵詞:網(wǎng)絡(luò)空間�����;安全防護����;安全體系;建設(shè)
中圖分類號:TP309 文獻標識碼:A
隨著信息技術(shù)的迅猛發(fā)展及推廣應(yīng)用����,網(wǎng)絡(luò)信息已成為各行各業(yè)管理控制的神經(jīng)中樞�,近期發(fā)現(xiàn)的勒索病毒又一次敲響了網(wǎng)絡(luò)安全的警鐘�����,因此��,網(wǎng)絡(luò)空間安全體系建設(shè)已成為影響單位發(fā)展乃至社會穩(wěn)定的重大課題�。
一、網(wǎng)絡(luò)空間面臨的主要安全威脅
近年來�����,網(wǎng)絡(luò)空間安全得到高度重視�,將其設(shè)為一級學(xué)科、頒發(fā)《中華人民共和國網(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》等�����,這也說明網(wǎng)絡(luò)空間面臨的安全威脅越來越嚴峻��,具體來說����,主要包括以下4個方面。
一是安防技術(shù)總體滯后�。網(wǎng)絡(luò)空間攻擊與防護自從網(wǎng)絡(luò)誕生以來就一直存在��,但安全防護技術(shù)總是在出現(xiàn)了新的漏洞�����、新的攻擊方法后����,再研究有效的應(yīng)對之策����。目前網(wǎng)絡(luò)空間安全防護體系基本上是基于已知的攻擊手段和常規(guī)攻擊流程構(gòu)建的,以被動防御策略為主�����,通過封堵端口�、修補漏洞��、邊界防護等方法實現(xiàn)����,因此,安防技術(shù)的滯后性給網(wǎng)絡(luò)空間安全防護體系的構(gòu)建帶來了技術(shù)上的現(xiàn)實威脅��。
二是安防設(shè)備可控性差。目前我們使用的網(wǎng)絡(luò)空間軟硬件系統(tǒng)�����、標準規(guī)范大多靠國外引進�����,90%以上的CPU和存儲單元�、95%以上的系統(tǒng)軟件和應(yīng)用軟件、85%以上網(wǎng)絡(luò)交換元器件都采用國外產(chǎn)品或基于國外開發(fā)平臺研制��。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心抽樣監(jiān)測����,2016年,中國境內(nèi)有1699萬余臺主機被黑客利用作為木馬或僵尸網(wǎng)絡(luò)受控端�,境內(nèi)約1.7萬個網(wǎng)站被篡改、8.2萬余個網(wǎng)站被植入后門程序��,監(jiān)測到1Gbps以上DDoS攻擊事件日均452起�����。這一系列數(shù)字表明,安防設(shè)備可控性已成為日益嚴峻的安全威脅�。
三是安防機構(gòu)機制不全。我國2014年2月成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組����,積極推動網(wǎng)絡(luò)安全防護管理體系的構(gòu)建。即將于2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》����,對國家網(wǎng)信部門、國務(wù)院電信主管部門����、公安部門和其他有關(guān)機關(guān)的職責進行了明確,但總體上看�����,安全保密聯(lián)管��、網(wǎng)絡(luò)安全聯(lián)防和信息安全聯(lián)控的工作機制也還沒有完全建立�����,同時�����,信息系統(tǒng)重建設(shè)輕安全�����、重使用輕防護等現(xiàn)象在一定程度上還存在�����。
四是安防責任意識不強�。在日常應(yīng)用中將用戶密碼設(shè)置為簡單數(shù)字、或者設(shè)置與用戶名同名�,通過即時通信工具發(fā)送用戶密碼,用戶密碼在某些共享空間中明碼存放等現(xiàn)象時常存在�����;在非密級互聯(lián)網(wǎng)交流平臺談?wù)撁舾行畔⒌氖录步?jīng)常發(fā)生����。同時,信息服務(wù)提供商的安全意識也不強����,2016年12月雅虎先后證實總共超過15億用戶信息遭竊取。因此,無論是普通用戶�����,還是系統(tǒng)設(shè)計�����、運維管理人員�,都存在安全意識不強的問題,自以為信息系統(tǒng)的日常使用出不了安全問題�����。
二����、強力推進技術(shù)與裝備體系自主可控
目前我們的網(wǎng)絡(luò)信息系統(tǒng)絕大多數(shù)是基于國外軟硬件產(chǎn)品構(gòu)建,是否安全難以掌控����,必須強力推進自主可控相關(guān)工作。
一是加快自主可控安全技術(shù)與裝備的研發(fā)�����。在研制桌面計算機、服務(wù)器�����、手持式�、便攜式終端等軟硬件裝備的基礎(chǔ)上��,統(tǒng)一規(guī)劃構(gòu)建網(wǎng)絡(luò)空間安全自主可控技術(shù)產(chǎn)品規(guī)范��,研制防火墻�、路由器、無線接入��、證書分發(fā)�����、入侵檢測�����、輿情監(jiān)控�、防病毒軟件、安全操作系統(tǒng)�、安全數(shù)據(jù)庫管理系統(tǒng)等軟硬件產(chǎn)品�,真正構(gòu)建成體系的網(wǎng)絡(luò)空間安全自主可控產(chǎn)品體系�,實現(xiàn)從被動防護到主動防護、從靜態(tài)防護到動態(tài)防護����、從局域防護到全域防護的轉(zhuǎn)變。
二是通過示范試點強力推廣應(yīng)用��。信息技術(shù)產(chǎn)品具有很高的技術(shù)應(yīng)用創(chuàng)新性與很強的用戶體驗性�����,長期處于實驗室驗證階段��,難以促進產(chǎn)品的優(yōu)化完善����,真正好的信息技術(shù)產(chǎn)品都是用出來的,只有投放市場接受用戶的體驗��,才有可能出現(xiàn)這樣那樣的問題����。因此,應(yīng)將研制出來的產(chǎn)品在一定范圍內(nèi)積極組織示范試點�����,研發(fā)單位動態(tài)跟進,不斷優(yōu)化升級��,不斷修改完善�。對于重要的信息系統(tǒng)����,應(yīng)在全自主、高可信的基礎(chǔ)上構(gòu)建更加安全可靠的保底手段�����。
三是在實際應(yīng)用中優(yōu)化完善自主可控技術(shù)與裝備體系����。要實現(xiàn)真正有效的安全防護,僅靠幾個產(chǎn)品是不太可能的��,而是要從技術(shù)研究�、裝備應(yīng)用兩方面入手構(gòu)建體系化安全防護。在技術(shù)研究方面�����,應(yīng)從物理安全、網(wǎng)絡(luò)安全�、主機安全、應(yīng)用安全��、數(shù)據(jù)安全��、安全支撐出發(fā)��,分等級構(gòu)建相應(yīng)的技品�����、參數(shù)配置策略��、技術(shù)實現(xiàn)方案�����、應(yīng)急處置預(yù)案等����;在裝備應(yīng)用方面,依據(jù)信息系統(tǒng)的重要程度及遭到破壞后的影響程度����,明確提出裝備使用具體要求�,使用戶在病毒與木馬查殺�、入侵檢測、防火墻�、訪問控制等系統(tǒng)的使用中,能做到設(shè)備與設(shè)備之間優(yōu)化配合�����、安全策略不斷優(yōu)化��,真正發(fā)揮自主可控技術(shù)與裝備的作用��。
三��、不斷強化運維與監(jiān)管體系集約高效
通過系統(tǒng)監(jiān)控��、用戶申報�����、在線支持等多種技術(shù)手段接收�����、處理各類安全事件����,通過風險評估、監(jiān)察預(yù)警�����、攻擊測試����、應(yīng)急響應(yīng)、安全審計�����、檢查評比����、強制整改等方式,不斷加強對網(wǎng)絡(luò)空間安全體系的監(jiān)督管理�。
一是強化制度管理和全員安全教育。運維和監(jiān)管都離不開制度的約束�����,在國家立法、行業(yè)規(guī)章等方面已有一些網(wǎng)絡(luò)空間安全管理措施規(guī)定�,但對于一個具體的單位或應(yīng)用系統(tǒng),還有必要制定更為詳細具體�、針對性更強的制度措施,并定期有計劃地開展全員安全教育�����,讓全體人員知曉哪些操作能做��、哪些不能做�,在運維人員自我監(jiān)督、相互監(jiān)督的基礎(chǔ)上����,不斷完善專業(yè)監(jiān)管體系��。
二是強化內(nèi)部管控和各項技術(shù)手段運用�����。大多數(shù)網(wǎng)絡(luò)空間安全事件來自于內(nèi)部����,既要依靠各項規(guī)章制度管理和約束,又要將各類網(wǎng)絡(luò)空間安全技術(shù)手段和軟硬件設(shè)備進行有機組合,形成有效的結(jié)構(gòu)化立體安全運維監(jiān)管體系��,使網(wǎng)絡(luò)空間安全運維監(jiān)管在技術(shù)上做到有效監(jiān)測��、即時發(fā)現(xiàn)�、主動防御,并具備安全事件追蹤能力�,才能真正震懾各種內(nèi)部及外部人員的不安全行為。
三是強化人才培養(yǎng)和網(wǎng)絡(luò)攻防演習演訓(xùn)�����。真正要確保網(wǎng)絡(luò)空間安全運維與安全監(jiān)管����,人才是根本保證,網(wǎng)絡(luò)空間安全在技術(shù)上高新尖的特點�����,使得人才的價值更為突出�。建設(shè)高素質(zhì)的網(wǎng)絡(luò)空間安全防護隊伍,既是社會發(fā)展的必然要求��,也是網(wǎng)絡(luò)空間安全的現(xiàn)實需要��。因此,國務(wù)院學(xué)位委員會��、教育部于2015年增設(shè)網(wǎng)絡(luò)空間安全一級學(xué)科�,加快推進網(wǎng)絡(luò)空間安全高層次人才培養(yǎng)?���?偟膩碚f,要堅持科學(xué)籌劃�、整體部署、突出重點��、集約高效����,把握網(wǎng)絡(luò)空間領(lǐng)域人才成長特點規(guī)律,積極創(chuàng)新網(wǎng)絡(luò)空間安全人才隊伍培養(yǎng)模式�����,優(yōu)化網(wǎng)絡(luò)空間安全人才知識能力結(jié)構(gòu)和培養(yǎng)目標����,建立良好的網(wǎng)絡(luò)攻防演習演訓(xùn)機制�,努力培養(yǎng)一批會管理、懂技術(shù)的高素質(zhì)網(wǎng)絡(luò)空間安全專業(yè)人才。
參考文獻
[1]王偉光.網(wǎng)絡(luò)空間安全視角下我國信息安全戰(zhàn)略理論構(gòu)建與實現(xiàn)路徑分析[J].電子技術(shù)與軟件工程�����,2015(3):229-230.
[2]周季禮��,黃朝輝.2014我國周邊國家網(wǎng)絡(luò)和信息安全建設(shè)大掃描[J].中國信息安全�����,2015(1):86-98.
[3]徐曉軍.軍工企業(yè)信息安全面臨的形勢及對策探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�����,2015(6):11-12.
第8篇
一����、以賬戶為核心進行管理
1.一個用戶、一個賬戶(One userOne account)����,全校一卡通。
2.賬戶靈活分組��,賦予適當權(quán)限��。
建教師組和學(xué)生組。將賬戶加入其中�,分別賦予適當權(quán)限。
有時也面對臨時目標設(shè)立虛擬工作組�����。
二�����、保證主干暢通����,全網(wǎng)冗余設(shè)計,負載均衡
核心層采用高性能雙并列主干交換機結(jié)構(gòu)��,一個鏈路失效后�,快速將負載轉(zhuǎn)移到集束的其他鏈路上,使網(wǎng)絡(luò)正常運行�。
采用HSRP,一個路由器不工作時�����,另一個可迅速接管��,不至整個網(wǎng)絡(luò)癱瘓����,在第三層上實現(xiàn)路由容錯、負載均衡�����、對用戶通明��。
三����、合理設(shè)置和分配IP地址
1.靜、動結(jié)合
重要的服務(wù)器����、網(wǎng)關(guān)等少數(shù)設(shè)備為靜態(tài)IP;其他機器通過DHCP服務(wù)器動態(tài)分配�����。
2.劃分VLAN
為隔絕廣播風暴�,方便組內(nèi)共享和教學(xué),合理劃分VLAN����。
每個機房設(shè)一個VLAN����,可用于教學(xué)廣播系統(tǒng)授課����、分發(fā)素材和控制。
每個教研組設(shè)一個VLAN����,可訪問組內(nèi)共享的教案、課件等材料��。
設(shè)置一管理VLAN����,連在核心三層交換機上,配置ACL�����,只許管理VLAN和特定主機直接訪問每一臺機器��,其他均過濾����。在管理VLAN中設(shè)一無線接入端口����,通過WPA-PSK(TKIP)加密鏈路�����,但出于安全考慮平時不開通��。
四����、設(shè)置VPN
1.LANtoLAN方式VPN
VPN網(wǎng)關(guān)上配輸入輸出過濾器�����,將VPN隧道數(shù)據(jù)流轉(zhuǎn)發(fā)給VPN服務(wù)器����,其他數(shù)據(jù)流按類型轉(zhuǎn)發(fā)給相應(yīng)的服務(wù)器,隧道使用IPSec提供安全保障�����。
2.客戶到LAN方式VPN
采用SSL隧道安全協(xié)議。設(shè)置教師和學(xué)生公用VPN賬號密碼和并發(fā)數(shù)��,Web登錄后��,仍要進行個人賬戶驗證�����,才可訪問�。
開通專用管理員VPN賬號,在進行證書認證后����,可遠程登錄維護。
五�、數(shù)據(jù)庫的安全策略
1.采用分布式數(shù)據(jù)庫
為減少校際間帶寬的占用、便于管理�,采用分布式,使數(shù)據(jù)庫的存儲和使用盡量在本校區(qū)內(nèi)完成�。
2.站點間相互信任、數(shù)據(jù)一致性維護�����、加密和備份
站點間通過Kerberos基于對稱密碼體制的雙向身份驗證協(xié)議來進行信任驗證。
當多用戶并發(fā)訪問數(shù)據(jù)時����,會產(chǎn)生丟失更新、讀過時數(shù)據(jù)�、讀臟數(shù)據(jù)等問題,采用兩段封鎖協(xié)議可使并發(fā)調(diào)度策略串行化��,避免帶來的問題:如死鎖��,則強行撤銷引起死鎖的事務(wù)��,數(shù)據(jù)庫回滾����。
分片設(shè)計上�����,遵循完備性�����、重構(gòu)和不相交條件�。
對敏感字段進行庫內(nèi)加密,常用于索引的字段明文存放。
數(shù)據(jù)庫定期冷熱備份�,多用增量備份,建立日志和檢查點�,以便發(fā)生事務(wù)、系統(tǒng)或介質(zhì)故障和病毒破壞時進行數(shù)據(jù)恢復(fù)��。
六�����、防火墻配置
用ACL允許教師賬戶訪問Inter―net�,在規(guī)定時間以外拒絕學(xué)生賬戶訪問Internet;對外過濾非法IP地址和協(xié)議�����,通過賬戶名口令登錄�。才能訪問內(nèi)部資源。
用服務(wù)器��,分擔部分用戶認證�,緩存設(shè)計大大分減了出校流量、冗余����,使安全性和性能得以提高����。
管理人員每天檢查日志��,及時發(fā)現(xiàn)異常進行處理��。
七����、防毒措施
用卡巴斯基的網(wǎng)絡(luò)版進行實時監(jiān)控定期查殺;每臺PC上安裝殺毒軟件����,定時升級��,實時監(jiān)控和查殺�����。
學(xué)生機房克隆前����,母盤要保證無毒;中毒后可一鍵還原����。
以上就是我校網(wǎng)絡(luò)建設(shè)中安全策略和機制的設(shè)計實施情況��,在實際運行和使用中不斷改進取得了好的效果��。
參考文獻:
