時間:2023-06-04 10:49:56
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全管理規劃,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:網絡技術;計算機;安全隱患
中圖分類號:TP309 文獻標識碼:A文章編號:1007-9599(2011)07-0000-01
Computer Network Security Management
Zhang Tianzhen
(Panjin Vocational and Technical College,Panjin124010,China)
Abstract:Computer information systems of the important areas in the country play the role can not be ignored,the computer network application gives us a lot of convenience,and gradually melt into our lives,learning andtheir work,the computer network to promote its development and progress.
Keywords:Network technology;Computer;Security risks
隨著計算機網絡在我國的迅速發展,特別是與國際計算機網絡互連之后,網絡系統的安全問題越來越受到重視。網絡系統的安全對于國家機關、學校、企業是至關重要的,特別是對于學校、科研機關甚至個人也是如此。然而,絕對安全的計算機是根本不存在的,絕對安全的網絡也是不可能實現的。美國國防部制定的可靠計算機標準評估準則將計算機安全劃分為從A到D四個級別,每個級別之內又再細分為若干次級等。其中A1級為最高,但除了放在一個無人知曉的地方又未插電的計算機可以算得上A1級外,其它的計算機均無法達到這個標準。網絡安全性越高,同時也意味著對網絡使用的限制越強。網絡的安全性與網絡使用的便利性是一對矛盾的概念,在考慮網絡安全時,必須兩者兼顧。
一、計算機網絡安全的基本特征
(一)整體的完整與保密
數據在存儲和傳輸的過程中沒有經過授權不能被修改、破壞和丟失,防治對網絡程序的修改,預防病毒、黑客的入侵,來保證數據和信息的完整和安全。 目前,國內開始出現了一些介紹防火墻及其產品的文章,但是對于防火墻內部的技術細節很少進行深入的分析。為此,我們根據國際上關于防火墻實現的技術文獻和自己的經驗,對防火墻的概念和實現技術進行了較深入的解析,希望能對讀者有所裨益。 防火墻的概念與構成 以前,人們常在木屋和其它建筑物之間修筑一道磚墻,以便在發生火災時火勢不會從一座建筑物漫延到另一座建筑物。非常自然地,這種磚墻被人們稱為防火墻。在現代的計算機網絡如Internet之中,類似的方法被用來保護重要的網絡資源免受危險的"火災"影響,這種災害有可能導致一個企業喪失與競爭有關或其它至關重要的信息。
(二)信息以及網絡的可控
具有控制數據和信息的內容和傳播的能力,所有的信息數據都要在一定的范圍內可以控制。客戶能夠順利的,并且按照需要的進行使用,能夠用戶和在服務器上進行所需要的數據的獲取。
二、計算機網絡安全管理存在的問題
(一)安全管理制度不健全。制度是促進管理最有效的手段,在計算機網絡安全管理上也是同樣的道理。但是在管理中這種意識相當的不足,管理辦法相對滯后。雖然對于這塊有著相應的制度和規定,也只是停留在嘴上,沒有真正的落實到實際的行動中。并且由于教育經費這個問題,許多院校為了降低成本,沒有采取對于網絡相應的防護措施,為安全管理工作埋下了隱患。
(二)安全管理組織效率不高。要進行科學的管理,光有經驗是遠遠不夠的,它必須有一個強有力的管理組織體系,制定科學的程序標準來進行控制和調節。高校的管理人員對于計算機網絡安全管理缺乏創新意識和整體觀念。相當一部分的領導者仍舊習慣于舊的管理模式,管理上存在著誤區,過度重視外界的保護,沒有考慮到內部人員的素質,重視已經發生的問題的解決,忽視了工作的計劃和預案。
(三)安全管理人員管理不到位。安全防范無論采用哪種手段,人都是管理中的重要的原因,近幾年的計算機事故的情況來看,許多都是由于工作人員使用不當造成的,工作人員對于網絡熟悉、應用程度直接導致了網絡使用的安全與否,因此全面提高機房管理工作人員的道德品質和技術水平是安全管理的最重要因素。
三、計算機網絡安全管理的對策
(一)加強計算機網絡安全中防火墻的作用。計算機網絡安全中防火墻的作用:防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。首先,可以說防火墻是網絡安全的屏障。因為只有經過選擇的安全的應用協議能通過防火墻,所以可以大大提高網絡質量,可以讓網絡環境變得更加安全。比如防火墻可以禁止大家都知道的不安全的NFS協議進出受保護網絡,比如說選項中源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻的管理員。其次,防火墻可以大大的強化網絡的安全策略,可以對網絡存取和訪問進行監控審計。以防火墻為中心的安全方案配置,能將所有安全軟件,配置在防火墻上。與把網絡安全問題分散在每個主機上相比較,這樣的防火墻的集中安全管理就更為經濟了。再者,網絡使用統計對網絡需求分析和威脅分析等也是非常重要的。計算機網絡安全中防火墻的類型:防火墻是非常重要的網絡防護設備。
(二)對系統計算機網絡安全管理高度重視。管理要從職能部門開始,來構建計算機網絡安全的防護體系。學校領導班子要積極重視計算機的安全管理,此外,要建立專門的計算機安全管理的領導小組跟上物理的防盜、防火、防水、防雷等措施,來確保計算機網絡的安全應用。
(三)重視計算機網絡安全中的網絡規劃 網絡的安全是保證網絡使用安全的前提,網絡規劃是網絡安全運行的一項重要內容,強化網絡的監督手段,防止內網外聯現象,進行科學、合理的網絡規劃來確保系統網絡安全有效運行。學校要結合自身實際科學地進行網絡規劃,網絡安全意識不強,監督力度不夠,計算機安全存在著巨大的隱患。要結合自身實際利用多種技術加強網絡防護力度,發現違規應當及時的通知和處理。
參考文獻:
[1]龍冬陽.網絡安全技術及應用[J].華南理工大學出版社,2006
【關鍵詞】 信息技術 電網企業 網絡信息 安全管理
一、我國電網企業網絡信息發展現狀
近幾年來,我國電網企業網絡信息發展迅猛,電網企業信息化基礎設施較為完善,電網企業和其他企業相比信息化程度相對較高,電網企業各部門人員都使用計算機進行辦公。電網企業營銷管理系統應用廣泛,我國各地區電網企業都建立了網絡信息管理系統,電網企業業務受理都呈現出信息化特征。隨著信息技術的不斷提高,我國電網企業網絡管理信息系統逐漸建立起來,并在一定程度上得到推廣,國家電網企業大力開展網絡管理信息系統建設,在電力生產、電力設備使用、安全監督和電力營銷等方面都應用到網絡管理信息系統,電網企業的網絡化和信息化增強,電網企業將網絡信息建設和管理放到首位,旨在通過信息技術推動電網企業的可持續發展。
二、電網企業網絡信息安全管理中存在的問題
1.信息化機構建設尚不完善。電網企業網絡信息部門沒有受到足夠的重視,電網企業信息管理部門沒有在企業內部設置專門的信息化機構,電網企業沒有科學合理的信息管理崗位,電網企業信息管理部門建設落后,信息化機構建設尚不完善,電網企業缺乏專業技能良好、綜合素質較高的復合型人才。2.電網企業網絡信息化管理水平低下。和我國信息技術的發展和應用相比,國家電網企業網絡信息化管理水平相對較低,電網企業沒有對網絡信息化管理進行不斷優化和革新,雖然我國很多電網企業都將先進的信息系統和網絡管理系統運用到企業運營中,但是并沒有及時對電網企業的網絡信息管理模式進行革新和完善,這就導致網絡信息系統不能達到預期的使用效果。
三、加強電網企業網絡安全管理的有效措施
1.重視電網企業網絡信息安全規劃。對我國電網企業網絡信息進行規劃的主要目的是提升網絡信息系統的安全性,對電網企業網絡信息系統的安全問題進行全面考慮,對電網企業網絡信息安全進行科學合理的規劃,建立全面統一的網絡信息安全管理體系,能在一定程度上提高電網企業網絡信息的安全性。
2.合理劃分網絡安全區域。要對電網企業網絡安全區域進行合理劃分,根據電網企業各部分網絡信息的安全密級和安全規劃對網絡安全區域進行科學合理的劃分,通常情況下可以將電網企業網絡安全區域劃分為三部分,即重點防范區域、一般防范區域和完全開放區域,這樣才能實現電網企業網絡信息的安全管理,使得個網絡區域的工作能夠順利開展。
3.加強網絡信息安全管理和制度建設。為確保電網企業網絡信息的安全性良好,電網企業應該將網絡信息安全管理和相關制度建設當做重點內容,對電網企業網絡信息日志進行嚴格管理和安全審計,充分利用防火墻和入侵檢測系統的審計功能,對電網企業網絡信息日志進行準確記錄。重視并加強電網企業網絡信息管理制度建設,明確電網企業從業人員的職責和義務,制定網絡信息安全事故應急處理程序,加強電網企業網絡信息管理基礎設施建設,確保網絡信息系統運行環境良好,電網企業應該做好防火防水設計,確保電網企業網絡信息系統安全性能良好,運行可靠。
4.加強電網企業網絡信息管理人員的綜合培訓。電網企業網絡信息管理人員的專業水平和綜合素質對網絡信息安全具有極大的影響,電網企業必須重視并加強網絡信息管理人員的綜合培訓,提高網絡信息高級管理人員的綜合能力,使其了解網絡信息安全管理的策略及目標,制定科學合理的電網企業網絡安全管理制度。加強網絡信息系統安全運行管理和維護人員綜合能力的培訓,使其能夠充分理解電網企業網絡信息安全管理策略,掌握網絡信息系統安全操作和維護技術。讓網絡信息管理人員充分了解網絡信息安全操作流程,獲得全面的電網企業網絡信息安全知識,提高網絡信息管理人員的安全意識和技能,確保網絡信息管理人員專業水平較高,綜合素質良好,使其在電網企業網絡信息系統運行、管理和維護上充分發揮自己的職能。
總結:隨著信息技術的快速發展,電網企業信息化成為一種必然的發展趨勢,電網企業在電力生產和運營的過程中只有做好網絡信息安全管理工作,在不斷的實踐過程中發現電網企業網絡安全管理中存在的問題,探索出加強電網企業網絡信息安全管理的有效措施,才能實現電網企業的可持續發展。
參 考 文 獻
[1]朱貴強.論企業網絡信息安全管理[J].中國科教博覽,2005,(6).
[2]閆斌,曲俊華,齊林海.電力企業網絡信息安全系統建設方案的研究[J].現代電力,2003,(1).
1網絡安全概述及發展現狀分析
隨著社會經濟的不斷發展,網絡信息技術也在不斷更新完善,這就要求網絡安全工作也必須不斷做出改革和創新。信息安全及系統安全是構成網絡安全管理工作的兩大核心內容,其中前者主要指的是對數據在傳輸和處理過程中的安全保護,尤其是對一些保密性較強的數據進行保護,避免數據被非法盜用,出現修改的狀況,并最大限度的維護數據的可用性,使其能夠在突發意外的情況下也可以正常應用于各項工作,不影響網絡數據信息的使用效果,提高數據信息的安全性;而后者則主要指的是從硬件設施和軟件裝備來提高系統的可靠程度,涉及各個網絡運行元件的安全。就我國當前網絡安全管理工作的現狀來看,我國已經頒布了一系列的政策措施并投入了一定的資金,在網絡安全保障工作方面取得了一定的成效,構建了網絡信息管理安全體系,但仍存在一些問題。惡意篡改、非法侵入數據信息庫、病毒感染、網絡黑客等違法行為,對網絡信息系統安全造成了極大的危害,不利于信息可用性和真實性的保護,是當前信息安全保障工作的重中之重。
2增強信息安全保障體系的措施
2.1落實網絡信息安全基礎保障工作
由于網絡環境的虛擬化、信息傳輸超高速化和區域無界化,網絡信息安全保障工作具有一定的特殊性,其本質可以看作是實時性的安全預防、管理和應對。因此,不僅需要對國家現有的網絡平臺進行鞏固,確保基本的信息管理設備和裝置的合理應用和正常運行,還需要研制重點網絡安全問題的應對機制。同時為了更好地開展信息安全保障工作,應加大網絡安全的宣傳力度,通過不同的途徑和渠道讓廣大民眾認識到信息安全保障工作的重要性和必要性,樹立正確的網絡安全意識,從而更好的遵守網絡行為規范。還要打造一支網絡安全意識強、安全管理能力高的專業化團隊,為增強網絡信息安全管理提供堅實的保障。除此之外,職能部門也應制定相應的安全管理計劃方案,通過法律制度和標準,為信息安全管理工作的開展提供更好的政策依據。
2.2政府要加大對信息安全體系的構建力度
根據我國網絡安全的重點問題,政府職能部門必須加強對信息安全的管控。可以采取試驗試點的方式,對多種安全防治措施和方案進行探索和研究。在研發過程中可以從用戶身份識別、信息來源追蹤及用戶對所接受消息的檢測三個角度進行分析。譬如研發一套規范的數字證書驗證體系,對網絡用戶的身份進行實名制認證,實現對用戶信息和權限的系統化管理。這樣,一旦發現問題,便可以立即采取有效的措施進行解決,從而創建一個安全的網絡服務平臺。
2.3構建健全的網絡信息安全保障體系
在網絡信息安全保障體系的構建過程中,除了做好基礎保障工作,還應該不斷地提高網絡管理者的專業技能,完善網絡體系的硬件和軟件,讓體系內的各個組成部分都擁有自身安全管理的機制。同時應明確網絡環境中信息保護的根本目的,圍繞信息安全的各個方面開展工作,提高和改善網絡信息安全系統的監測能力、恢復能力、防御能力、反擊能力、預警能力及應急能力。只有具備了以上六項能力才能做到運籌帷幄,對網絡安全進行全面監控,對入侵行為進行有效的反擊,對突發問題做出快速反應和及時處理,對數據信息進行合理的備份存儲,使網絡安全管理效率得到最大程度的提升。此外,還應制定一套系統自檢測方案,對系統的安全性進行定時檢測,對其中存在的漏洞問題進行處理,完成網絡設備的自主檢測和檢測結果分析匯報。
3結語
1.1電力調度自動化系統和網絡結構缺乏規范由于電力調度自動化系統的建設處于不同時期,在管理方面沒有進行統一的規劃,使得網絡結構混亂,如安全管理、崗位授權和賬號口令等環節的設置都形同虛設,遠沒有達到安全管理方面的要求。
1.2物理安全管理方面隱患多多電力調度自動化的物理安全隱患主要存在于兩個方面:自然因素和人為因素帶來的安全隱患。自然因素主要是指雷擊、洪水、臺風和滑坡等自然災害所導致的通電線路損壞,使得電力調度自動化系統無法對重要場站進行監控;人為因素主要指通信器材與自動化的設備被偷竊,以及通信線路被野蠻施工破壞,從而導致電力調度系統出現障礙。
1.3安全管理人員素質有待提高很多電力自動化的管理人員缺乏網絡安全意識。一方面管理人員隨意拷貝或者泄露系統信息,使得電力調度自動化系統的數據失去有效監控;另一方面管理人員缺乏職業素養,沒有按照規定流程實施安全技術方面的操作,從而為電力調度自動化系統的安全埋下隱患。
1.4缺乏有效的網絡安全管理措施部分電力企業對網絡安全的管理的力度不夠,沒有對企業內網網絡進行安全分區和隔離。當企業網絡遭到不法分子的惡意攻擊時,會因為缺乏有效防御措施,而使電力調度自動化的網絡系統出現運行障礙。
2電力調度自動化網絡安全管理需要遵循的原則
2.1整體化原則電力企業想要電力調度自動化的網絡系統免受惡意攻擊的破壞,就需要加大網絡系統的管理力度,建立和完善系統化的安全保障機制,如做好網絡系統的安全防護、安全監測和安全恢復等方面的機制建設。這些安全機制的職能各不相同,安全防護機制側重于分析威脅系統安全的因素,負責網絡系統的防護;安全監測機制側重于監測系統運行狀況,并依據檢測結果發現與阻止外部力量對系統的入侵;安全恢復機制側重于防護機制失效后,最大化地恢復系統信息,將系統被破壞的程度降到最低。這些安全機制彼此相互協作,保證電力調度自動化網絡系統的安全。
2.2等級性原則電力調度自動化的網絡系統需要分成不同的等級,這樣既有利于管理人員對信息進行層次化的管理,也有利于管理人員選擇安全的算法和機制,以滿足電力調度自動化網絡中不同層次的多種需求,從而確保電力調度自動化網絡系統的安全平穩運轉。
2.3一致性原則管理人員在安全管理的過程中需要保持電力調度自動化網絡系統的安全需求與安全結構相一致,這有利于電力企業依據實際情況開展系統安全的維護工作。因此,電力企業在建立電力調度自動化網絡的時候,就需要做好相應的安全對策工作,建立系統的安全措施。
3加強電力調度自動化網絡安全管理的措施
3.1加強物理安全隱患的防治工作在預防雷擊和洪水等自然因素對電力調度自動化網絡安全的破壞方面,電力企業的工作人員需要及時對室外設備進行加固和整治存在的安全隱患,而在處理靜電問題時,技術人員需要做好主板和內存條拆裝過程中的靜電預防工作,以面因電腦軟硬件的損壞而影響電力調度自動化系統的安全運行。在治理盜竊和野蠻施工等人為因素對電力調度自動化網絡安全造成的破壞方面,電力企業既要加強對電力網絡安全重要性的宣傳,以減少盜竊通信器材和自動化設備等犯罪行為的發生幾率,又要做好與公安系統的協作,對偷竊行為進行嚴懲,對不法分子起到震懾的作用。
3.2提高自動化管理人員的綜合素質電力企業需要加強對自動化管理人員的網絡安全教育和職業素質培訓。電力企業可以定期組織管理人員進行網絡安全知識培訓。同時,電力企業需要加強對管理人員的專業技能培訓,掌握全面的網絡安全管理和維護技術。
【關鍵詞】發電企業;網絡安全;管理;技術
近些年,隨著電力體制改革的逐步深入和信息技術的飛速發展,發電企業對信息系統的依賴性逐漸提高,信息系統在企業生產經營和管理中扮演的角色越來越重要。發電企業通過信息化方式進行生產管理和辦公得到了廣泛認同,并因此大幅提高了生產效率和管理水平。
其中,網絡安全工作的落實情況是企業信息化管理水平的集中體現。作為國家能源行業的一份子,發電企業的信息網絡安全尤為重要,保障發電企業的網絡安全也是保障國家和社會安全的重要一環。發電企業對于信息化的重視程度也體現在加強自身信息網絡安全工作上,網絡安全已經成為發電企業安全生產的一項重要內容,不論對于火力、水力、核電、風能、太陽能還是新能源發電企業,網絡安全同等重要。
從電力行業信息化的發展現狀來看,網絡安全工作大致可以分為以下幾個方面:網絡安全管理、安全防護技術、應急保障和宣傳教育等。網絡安全管理包括:企業要有網絡安全領導責任制、管理機構和信息化網絡專責工作人員;網絡安全責任制的具體落實以及責任追究機制;人員、信息化經費、信息資產、采購、培訓、外包人員等日常安全管理;完整、完善的網絡安全管理制度體系;安全監測、硬件冗余、安全審計、補丁管理。安全防護技術包括:防病毒、防篡改、防癱瘓、防攻擊、防泄密等安全措施;服務器、防火墻、物理隔離設備等網絡安全設備的安全策略和功能有效性;局域網、互聯網、無線網絡安全措施;和非計算機、移動介質及密碼設備的安全防護措施。應急保障工作包括:信息安全事件應急預案、數據備份和恢復演練、應急技術支撐隊伍、重大安全事件處置等。宣傳教育工作包括:企業日常網絡安全培訓(包含:企業領導、信息化人員和業務人員)和網絡安全管理員專業技術培訓。
發電企業已經在網絡安全方面取得了很大的成績,軟件正版化率、自主開發軟件和國產信息系統的使用率都在逐年提高,國產網絡安全防護設備也已經大范圍應用在企業網絡中。發電企業在取得一些成績的同時,還需要充分認識到自身的不足之處,很多發電企業認為發電才是自己的主業,對企業信息化不夠重視,人員和資金的投入都很少,導致企業網絡安全得不到有效的保障,網絡安全事件時有發生,這對于企業和國家都是一筆損失。
綜上所述,發電企業要從以下幾個方面入手,逐步改進并完善網絡信息安全工作:企業應該有獨立的信息化管理部門,設置專門負責網絡安全管理員,明確崗位安全責任制,成立信息化領導小組、信息安全工作小組和招標小組等信息化工作組織機構;定期召開網絡安全管理工作會議,商議決策企業信息化工作,強化網絡安全;做好企業網絡安全規劃,按照年度、短期和長期規劃來制定,信息安全工作的整體策略及總體規劃(方案)需要完善,在今后工作中不斷補充、調整與細化;將信息網絡安全管理納入到企業年度工作計劃和績效考核中;每年都要進行定期的信息安全培訓和宣傳,讓員工充分了解和熟知網絡安全對于企業的重要性;劃分明確的分區界限,根據生產、管理等要素進行分區管理;完善企業網絡信息安全管理制度,并落實執行;加強局域網、廣域網和對外網站的管理;按照公安部和上級部門的有關要求,進行信息系統安全等級保護備案工作,進行安全風險測評;定期開展網絡安全自查工作,并按照檢查問題進行相關整改,需要定期開展網絡安全自查及整改工作,有條件的企業可以請外面高水平的專家組來企業做安全測評指導,通過這些檢查可以及時發現問題,進行有效的整改工作,保障企業信息網絡安全,使得員工可以通過信息系統提高生產管理和辦公效率;定期進行信息系統數據備份和恢復演練,進一步完善企業的網絡與信息安全應急管理體系,保障應急資源的及時到位,進一步制定有針對性的、實用化的專項應急預案,同時預案的演練要實現常態化;設定賬戶鎖定時間、賬戶鎖定閥值、重置賬戶鎖定計數器等安全策略;信息系統管理員需要定期檢查補丁更新、防病毒軟件和防惡意代碼軟件工作日志;口令執行策略需要包括:密碼必須符合復雜性要求、密碼長度最小值、密碼短期使用期限、密碼長期使用期限、強制密碼歷史和用可還原的加密來存儲密碼等安全策略;盡可能采用每個賬戶和每個人一一對應的關系,避免了賬戶的重復和共享賬戶的存在,對于多余的、過期的賬戶進行定期檢查和及時刪除;實現操作系統和數據庫系統特權用戶的權限分離,實現數據庫賬戶獨立管理;要有完整的機房進出記錄和系統安全維護檢查記錄;完善備份系統建設;企業應建立長效機制以確保信息安全建設及運行維護經費及時到位,以實現經費投入的常態化;加大信息安全產品的投入力度并盡量采購國內廠家的安全產品,降低對國外產品的依賴程度;對在信息安全崗位及其他敏感崗位工作的人員一定要搞好審查工作,只有符合規定的人員才能上崗,一旦人員離崗必須簽署保密承諾書且其權限要及時收回;按照國家有關要求,需要做到所有計算機類產品不安裝Windows 8操作系統,并采取措施應對Windows XP停止安全服務;安全防護產品采取白名單、卸載與工作無關的應用程序、關閉不必要服務和端口等安全措施情況。
不論在哪個行業或領域,安全都是第一位的,而網絡安全在涉及國家安全的發電企業更是尤為重要。發電企業要按照“誰主管誰負責,誰運營誰負責”的原則,明確任務,落實責任,加強網絡安全工作,保障企業網絡與信息系統的安全穩定運行。因為電力屬于國家能源行業的重要一環,必須遵循“上網不、不上網”的原則。總之,發電企業面臨的網絡安全形勢是復雜多變的,還有很長的路要走。
參考文獻
[1]羅寧.P2P安全問題初探[A].第十七次全國計算機安全學術交流會暨電子政務安全研討會論文集[C].2002.
[2]祝崇光,姚旺.檢察系統信息網絡安全的風險評估[A].全國計算機安全學術交流會論文集(第二十二卷)[C].2007.
[3] 朱修陽. 檢察機關專網系統信息網絡安全體系初探[A].全國計算機安全學術交流會論文集(第二十二卷)[C].2007.
[4]曾德賢,李睿.信息網絡安全體系及防護[A].第十八次全國計算機安全學術交流會論文集[C].2003.
[5]劉威,劉鑫,杜振華.2010年我國惡意代碼新特點的研究[A].第26次全國計算機安全學術交流會論文集[C].2011.
[關鍵詞]網絡安全;計算機;信息管理;技術;防御能力
0引言
在計算機網絡技術的迅猛發展和網絡應用日益廣泛的今天,人們除了應關注計算機網絡給自身生活和工作帶來有利影響的同時,也應注意到網絡安全問題的嚴重性。這主要是因為病毒擴散、黑客攻擊和網絡犯罪早已屢見不鮮,這些違法事件輕則會影響計算機自身的使用性能,重則將會對人們的生活、環境、經濟及社會安全造成重大甚至是災難性的影響。可見,應用計算機信息管理技術來維護網絡安全,提高計算機網絡運行的可靠性對確保整個國家、社會和企業的穩定發展,保障人們的經濟財產安全至關重要。
1網絡安全現狀
據第36次全國互聯網發展統計報告顯示,截止2015年6月,互聯網普及率已達到48.8%,網民總數已達到6.68億人。就當前的數據看來,網絡已在人們的生活中占據著不可替代的地位。然而,放眼于當前的計算機網絡安全現狀,雖然有許多技術(如數據加密技術、防火墻技術和智能卡技術等)來確保網絡安全和信息安全,但仍存在著諸多不安全因素(如系統漏洞、木馬病毒、黑客攻擊等),不僅會對計算機網絡自身功能的充分發揮產生不良影響,增加信息泄露和丟失的風險,還會影響社會的穩定發展。
2網絡安全中計算機信息管理技術的應用
2.1安全風險評估
通常情況下,計算機網絡安全評估包括識別網絡安全事故危害和網絡安全風險的管理及危害,即對計算機信息的產生、存儲和傳輸等過程中的完整性、機密性和可用性遭到破壞的可能性和由此產生的后果進行評估,這是一個組織確定信息安全需求的過程。在計算機信息管理技術中,可及時發現現存的和潛在的安全風險,并能有效預防風險所帶來的危害,針對此采取網絡安全措施進行優化,不斷提高網絡安全防御能力,為計算機網絡的穩定、安全運行提供良好的保障。
2.2構建安全管理模型
為提高計算機信息管理技術的有效性,在應用該技術來維護網絡安全時,應做好充足的規劃和設計工作,構建安全管理模型。首先是網絡信息環境目標的構建,在建模前,除了要總結之前的管理經驗外,還應根據未來的目標來為網絡安全管理工作提供相應的參考,以此來制定出長遠發展戰略。其次是安全管理模型的目的的確定,即指導實際工作的順利開展和進行、利用模型對信息管理中存在的問題進行分析。再次是檢查模型建立的科學性和準確性,可借鑒大量的安全管理資料使管理模型本身具備高效和高質這兩種特征。現下最為常用的一種安全管理模型為混合網絡管理模型,它在靈活性、可擴展性、有效性和可靠性等方面具有明顯優勢。最后是管理模型的后續執行和維護,相關技術人員應不斷對構建好的管理模型進行調整和優化,確保管理模型后續執行的時效性,以最大程度將管理模型對網絡安全的控制性能發揮出來。
2.3強化系統安全防護
系統安全防護是網絡安全的一個重要組成部分,理應予以重視。在計算機信息管理技術應用過程中,除了可建立一個安全防護系統,定期檢測系統中的漏洞,及時發現和修補漏洞,避免其侵入系統外,還可設置防火墻和賬戶密碼,前者具有非常強的抗攻擊免疫力,將局域網和互聯網相互隔離,即在網絡連接之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網絡的服務和訪問的審計和控制。后者可限制網絡的訪問權限,即根據不同的賬戶賦予其不同的權限,這樣的方法能強化安全防護水平,尤其是在減少違法用戶對機密信息的獲取這一塊有著重要的應用價值。此外,還可應用數字簽名技術來防止冒充、抵賴、偽造和篡改等問題的發生,該技術不僅可對用戶身份進行驗證與鑒別,也可對信息的真實性和可靠性進行驗證和鑒別。
2.4完善網絡安全管理制度
為推動計算機信息管理技術的發展,保障網絡運行的穩定性和安全性,完善網絡安全管理制度勢在必行。一方面,應完善人才管理制度,除了可招聘高素質計算機信息管理專業人才外,還應加大人才引進力度,以擴充現有的網絡安全維護人才隊伍。同時,要加大現有人才的培訓力度,以提高整體人才隊伍的綜合能力和素質,為網絡安全管理工作提供良好的人才支撐。另一方面,應制定網絡硬件和軟件檢查制度,成立專門的安全管理小組來負責,不僅要對硬件和軟件進行定期檢查,還要及時更新一些無法滿足網絡安全運行需求的軟硬件,從源頭上來提高軟硬件的安全性能,創建一種良好的網絡環境來提高計算機信息管理技術的應用成效。
3結語
關鍵詞:事業單位;網絡安全等級保護;部署建議
0引言
網絡安全等級保護制度是保障各事業單位網絡安全的重要方法,通過進行網絡安全分級保護,可以高效解決目前事業單位所面臨的網絡安全問題,按照“重點優先”的思想,將資源有的放矢地投入到網絡安全建設中,有助于快速夯實網絡安全等級保護的基礎。
1網絡安全等級保護定義
網絡安全等級保護是指對單位內的秘密信息和專有信息以及可以公開的信息進行分級保護,對信息系統中的防火墻進行分級設置,對產生的網絡安全事件建立不同的響應機制。這種保護制度共分為五個級別:自主保護、指導保護、監督保護、強制保護、專控保護。不同的信息擁有不同的機密性,就會有相應的安全保護機制。近期,網絡安全等級保護制度2.0國家標準正式,這對加強網絡安全保衛工作、提升網絡能力具有重大意義。
2網絡安全等級保護現狀分析
按照新的網絡安全等級保護要求,絕大多數單位在網絡安全技術和管理方面存在差距和盲點,網絡安全保障體系仍需完善。主要表現在以下幾個方面:(1)網絡安全管理工作有待進一步加強在網絡安全管理制度方面存在不夠完善,對信息資產管理、服務外包管理等缺乏網絡安全方面有關要求。未建立體系化的內部操作規程,而且對網絡安全管理和技術人員專業技能培訓相對較少,網絡安全等級保護的定級、備案及測評等未開展。運維工作的部分操作不規范,隨意性較強,對網絡、系統安全穩定運行造成風險。(2)網絡架構存在安全隱患和較為明顯的脆弱性有的內網連接,雖部署了防火墻進行網絡訪問控制,但是部分防火墻缺乏安全配置及管理,訪問控制策略不嚴格,同時某些單位內部網絡也缺乏分區和邊界控制措施,無法限制非授權用戶接入內網和授權用戶濫用授權違規外聯外網的行為,部分單位發現終端跨接內外網的現象,導致整個單位的內網存在“一點接入,訪問全網,攻擊全網”的安全風險。(3)主機計算環境抵御攻擊能力較低主機服務器未及時更新系統安全補丁,導致存在比如MS17-010(永恒之藍)、弱口令等高危漏洞;部分服務器未部署防病毒軟件、病毒庫未更新,沒有惡意代碼防范措施,部分單位的終端感染木馬病毒,一旦被利用,可能導致內部服務器主機大面積感染惡意程序等事件發生。(4)應用系統安全防范措施缺失有的運行在內網應用系統,存在高風險安全漏洞;在應用系統身份鑒別、數據完整性、保密性保護等方面存在策略配置不足問題,結合其他安全風險,會帶來系統服務安全、數據安全等較嚴重的安全問題。(5)數據安全保護能力不足有的未對專網的重要數據進行分級分類管理,數據安全保護措施缺失,專網中的數據庫普遍存在弱口令、遠程代碼執行漏洞等高危安全漏洞,極易被攻擊利用,大量的業務數據和敏感信息存在較高的安全風險。(6)物理安全基礎保障欠缺有的機房未對進出人員進行鑒別登記,易造成機房遭受惡意人員破壞,存在安全風險。有的機房未部署門禁系統,未安裝防盜報警系統等進行盜竊防護。
3網絡安全等級保護部署建議
3.1構建等保系統框架
根據安全等級保護的總體思想,提出如圖1的網絡安全管理體系架構。“總體安全策略”處于網絡安全管理體系的最高層級,是單位網絡安全管理體系的首要指導策略。“安全管理組織框架”位于網絡安全管理體系的第二層,負責建立該單位網絡安全管理組織框架。它既確保了信息系統運行時資料不會被泄露,也塑造了一個能穩定運行信息系統的管理體系,保證網絡安全管理活動的有效開展。“安全管理制度框架”位于網絡安全管理體系的第三層,分別從安全管理機構及崗位職責、信息系統的硬件設備的安全管理、系統建設管理、安全運行管理、安全事件處置和應急預案管理等方面提出規范的安全管理要求。網絡安全管理體系的第四層描述的是如何進行規范配置和具體的操作流程以及如何對運行活動進行記錄。從日常安全管理活動的執行出發,對主要安全管理活動的具體配置、操作流程、執行規范等各種各樣的安全管理活動做出具體操作指示,指導安全管理工作的具體執行[1]。
3.2劃分安全域
根據安全等級保護系統總體架構,重新劃分網絡安全域。各安全域安全管理策略應遵循統一的基本要求,具體如下:(1)保證關鍵網絡設備的業務處理能力滿足高峰期業務需求,通過網絡拓撲結構設計,避免存在網絡單點故障。(2)部署高效的防火墻設備,防止包括DDOS在內的各類網絡攻擊;在通信網絡中部署IPS、入侵檢測系統、監控探針等,監視各種網絡攻擊行為。(3)在關鍵位置部署數據庫審計系統,對數據庫重要配置、操作、更改進行審計記錄。(4)對于每一個訪問網絡的用戶將會進行身份驗證,確保配置管理的操作只有被賦予權限的網絡管理員才能進行[2]。(5)部署流量檢測設備,通過Flow采集技術,建立流量圖式基線,根據應用情況控制和分配流量。(6)增加除口令以外的技術措施,實現雙因素認證[3]。(7)如需遠程管理網絡設備和安全設備,應采用加密方式,避免身份鑒別信息在網絡傳輸過程中被竊取。(8)能夠及時有效阻斷接入網絡的非授權設備。
3.3控制安全邊界
基于部署的網絡安全軟硬件設備,設置相應的安全規則,從而實現對安全邊界的控制管理。主要安全策略包括:(1)互聯網區域應用安全:必須經過邊界防火墻的邏輯隔離和安全訪問控制。(2)專網區域應用安全:對于訪問身份和訪問權限有明顯界定,必須經過邊界防火墻的邏輯隔離和安全訪問控制,其他區域和用戶都不允許直接訪問。(3)互聯網區域數據安全:只允許外部應用域的應用服務器訪問,其他區域用戶不能直接訪問。對數據域的訪問受到訪問身份和訪問權限的約束,必須經邊界防火墻的邏輯隔離和安全訪問控制。(4)專網區域數據安全:只允許內部應用域的應用服務器訪問,其他區域和用戶都不允許直接訪問。要訪問也必須具有受信的訪問身份和訪問權限。(5)互聯網區域和專網區域交互安全:對于內外部之間的信息交互,采用數據擺渡和應用協議相結合的方式進行,嚴格控制雙網之間存在TCP/IP協議以及其他網絡協議的連接。(6)開發測試安全:開發測試域作為非信任區域,要求只能在受限的前提下進行網絡訪問,必須經過邊界防火墻的邏輯隔離和安全訪問控制。(7)密碼應用安全:所有涉及密碼應用的網絡安全設備,所采用的密碼算法必須為國密算法。(8)統一安全管理:防火墻、IDS、IPS、防病毒網關、網絡安全審計和數據庫安全審計系統的日志統一發送到安全管理區的安全管理平臺進行分析。(9)終端安全管理:辦公設備統一部署終端安全管理系統,并能夠有效管理終端安全配置,準入控制、防病毒功能,以及系統補丁升級。(10)設備知識產權:所涉及網絡安全設備的,必須是具有國產知識產權。
4總結
網絡安全等級保護工作事關重大,它是一個系統工程,需要各級人員多方面的協調合作。只有盡快補齊安全防護短板,才能切實提高一個單位的安全支撐能力、安全檢測能力、安全防護能力、應急響應能力和容災恢復能力,從而更好地保障一個單位網絡安全建設的可持續發展。
參考文獻
[1]歐陽莎茜.運用大數據制定園區安全環保用電策略的實例分析[D].西南交通大學,2017.
建設和接入管理規范等幾方面內容進行簡要的概括和規劃,對各級單位的規范、有序、安全接入廣域網,促進行業信息化資源整合和信息共享的快速發展,具有一
定的指導作用和重要的現實意義。
關鍵詞:廣域網;接入;SDH;VLSM;安全
中圖分類號:TN915.6 文獻標識碼:A 文章編號:1671—7597(2012)0120057-02
0 引言
廣域網建成初期,各接入單位基本都是單機接入廣域網,訪問廣域網
內共享資源的計算機數量有所限制,為使全系統的所有計算機都能便捷地
訪問廣域網內共享資源,需把各接入單位的局域網都接入到廣域網,但由
于歷史原因,各單位的網絡建設情況各不相同,安全和規范程度參差不
齊。因此,在接入前進行設計并提出接入要求已成為廣域網接入工作的迫
切需要。
廣域網接入要求可以從接入技術規范和接入管理規范兩方面去定制。
接入技術規范主要對網絡接入過程中可能涉及到的網絡架構、主要網絡設
備等作出規劃,提出規范性要求。接入管理規范主要從管理的角度出發,
在規章制度、管理規范方面對網絡接入過程中可能涉及到的某些問題作出
原則性要求。
1 接入技術規范
1.1 接入架構要求
良好的網絡架構設計是使網絡具備可擴展能力的關鍵。網絡架構的建
立要考慮環境、設備配置、遠程聯網方式、通信量的大小、網絡應用與業
務定位等多種因素。合理的網絡架構應該有結構化的設計,并遵循分層模
型。分層模型的實現核心是將網絡架構設計中的復雜問題分解為較小的、
易于管理的問題。分層體系中的每一層解決不同的問題,有助于實現模塊
化,容易添加、替換和取消網絡中的獨立部件,具有很高的可擴展性
。
1.2 接入設備技術要求
構建廣域網由于受各種條件的限制,必須借助公共傳輸網絡,用戶只
需了解公共傳輸網絡提供的接口以及如何實現與公共傳輸網絡之間的連接
即可。
1.2.1 接入技術分析及選擇
ISP提供了多種同步和異步廣域網連接服務,常用的有以下3類:
1)ATM
ATM是建立在電路交換和分組交換的基礎上的一種面向連接的快速分
組交換技術,它采用定長分組作為傳輸和交換的單位。本身具有良好
的流量控制均衡能力以及故障恢復能力,但對IP路由的支持一般,在復制
多路廣播方面缺乏高效率,管理復雜。
2)SDH
SDH對IP路由的支持能力強,具有很高的IP傳輸效率;符合
Internet業務的特點,有利于實施多路廣播方式;能利用SDH技術本身的
環路,故可利用自愈合能力達到鏈路糾錯,同時又利用OSPF協議防止設各
和鍵路故障造成的網絡停頓,提高網絡的穩定性;省略了不必要的ATM
層,簡化了網絡結構,降低了運行費用。但其僅對IP業務提供好的支持,
不適于多業務平臺;不能像IP over ATM技術那樣提供較好的服務質量保
障。
3)WDM
WDM是一個真正的鏈路層數據網,它充分利用光纖的帶寬資源,極大
地提高了帶寬和相對的傳輸速率。但目前,對于波長標準化還沒有實現;
WDM系統的網絡管理應與其傳輸的信號的網管分離。但在光域上加上開銷
和光信號的處理礎還不完善,從而導致WDM系統的網絡管理還不成熟。
綜合比較,廣域網可選國家公用通信網的SDH技術來組建廣域網絡的
骨干鏈路。SDH網絡的引入和使用,為信息高速公路提供了一個高智能
的、高效的、操作運行廉價的實施方案。
1.2.2 接入設備要求
接入設備主要涉及路由器和交換機,現分別予以介紹并做出要求:
1)路由器
路由器是一種多端口的網絡設備,它能夠連接多個不同的網段和網
絡,并能將不同網段或網絡之間的數據信息進行傳輸。路由器應當被
放置于最頻繁訪問廣域網的位置,盡量直接連接在核心交換機上。在組網
結構比較簡單的網絡中,通過認真設置和使用靜態路由不僅可以改進網絡
的性能,還能為重要應用保證帶寬。路由器擔當著保護內部網絡和數據安
全的重要責任,在具體的實施過程中可以借助地址轉換和訪問列表來實
現。
2)交換機
作為網絡傳輸樞紐的交換機,在網絡接入規范中的重要地位也是無可
取代的。無論是控制廣播風暴的產生、拒絕用戶之間非授權訪問、限制用
戶的網絡服務與應用、禁止未授權計算機接入網絡,還是拒絕非法用戶訪
問網絡,都離不開對交換機的深入配置。交換機應具有以下五項功能:風
暴控制、保護端口、端口安全、創建VLAN、IEEE 802.1X認證協議。
1.2.3 接入地址規劃
合理的IP地址規劃與分配,在整個網絡的維護和擴展過程中占據了舉
足輕重的地位,其結果將直接影響到后期的維護管理、擴容升級及系統運
作的效率。IP地址空間分配,要與網絡拓撲層次結構相適應,既要有效地
利用地址空間,又要體現出網絡的可擴展性和靈活性,同時能滿足路由協
議的要求,以便于網絡中的路由匯聚,減少路由器中路由表的長度,減少
對路由器CPU、內存的消耗,加快路由變化的收斂速度,同時還要考慮到
網絡地址的可管理性。
1.2.4 接入安全要求
根據廣域網絡的整體運行情況,本著因地制宜、實事求是的原則,對
廣域網網絡接入安全要求分別說明:中心網絡接入安全要求和接入單位網
絡接入安全要求。
1)中心網絡接入安全要求
中心網絡接入的安全建設應分為以下三個階段來逐步完善:網絡安全
體系的建立、網絡安全體系的提升和網絡安全體系的完善。
①網絡安全體系的建立
建立廣域網主節點的信息安全基礎體系,形成一個從無到有的基本防
護框架,確保各二級單位在接入廣域網后主節點業務系統的穩定性和安全
性。這是中心安全建設第一階段的主要目標。在這一階段中需要建立的安
全防護體系主要有:計算機防雷系統、防火墻系統、網絡訪問控制系統、
網絡防病毒系統和安全訪問域的劃分。
②網絡安全體系的提升
第二階段的主要任務是在建立健全中心網絡安全基本防護系統的基礎
上,利用多種監控技術和防御手段,建成一個從內到外、從被動防御到主
動預防的更高層次的安全架構。這一階段中需要建立的安全監控與防御體
系主要有:入侵防御系統和安全漏洞掃描系統。
③網絡安全體系的完善
第三階段的主要任務是從應用層方面入手,在防護體系和監控體系不
斷完善的基礎上,通過多種加密技術和用戶認證手段,建立一個穩定、高
效、健壯的立體安全防護架構。這一階段中需要建立的安全體系主要有:
SSL VPN移動辦公系統和補丁分發管理系統。
2)接入單位網絡接入安全要求
接入單位網絡接入安全規劃與中心的接入安全規劃在進度上大體一
致,但具體到內容方面有所區別。各接入單位的網絡安全建設內容主要涉
及到以下四個方面:
①安全規劃,確定系統的安全框架與建設步驟,包括為系統定級
等;
②重點資源的保護及各項安全技術的應用;
③安全管理平臺的建設,及時準確地把握整個系統的安全運行狀
況;
④日常的運行維護,充分發揮好作為廣域網二級節點的堡壘作用。
2 接入管理規范
管理規范是所有技術措施發揮功效的能動因素,是實現整個廣域網網
絡接入有序化的重要保證。廣域網接入管理規范可以從兩個方面進行規
劃。一是從純粹的管理上及管理制度上來實現,二是從技術上建立高效的
管理平臺,包括網絡管理和安全管理。
2.1 管理制度
為了提高整個網絡系統的健壯性,除了在網絡結構上合理規劃,系統
設計上增加安全服務功能外,還必須花大力氣加強網絡系統管理制度的建
立。
2.1.1 管理制度內容
管理制度是信息系統內部依據系統必要的國家、團體的安全需求制定
的一系列內部規章制度,在廣域網接入規劃和建設的過程中,應切實做好
以下管理制度的建設和完善:機房與設施管理規范制度、設備管理規范制
度、操作安全管理規范制度、計算機網絡安全管理規范制度、計算機病毒
防治管理規范制度、系統管理員崗位責任管理規范制度、安全管理員崗位
責任管理規范制度、網站管理員崗位責任管理規范制度、網絡信息安全審
計管理規范制度、應用軟件安全管理規范制度、技術文檔管理規范制度、
數據安全管理規范制度、密碼安全管理規范制度、計算機網絡系統重大安
全事件預警及應急恢復管理規范制度以及系統備份及災難恢復管理規范制
度。
2.1.2 管理制度實現
各單位信息系統的管理部門應根據管理制度建立原則和該系統處理數
據的實際需求,制定相應的管理制度。具體工作包括:
1)根據工作的重要程度,確定該系統的安全等級;
2)根據確定的安全等級,確定管理實施的范圍;
3)對于安全等級要求較高的系統,要實行分區控制;
4)制定嚴格的操作規程;
5)制定完備的系統維護制度;
6)制定應急措施。
2.2 管理平臺
建立管理平臺的主要內容包括:定義完善的網絡管理模型;貫徹規范
的網絡管理措施;建立恰當的安全審計機制,并且進行經常性的規則審
核。
2.2.1 網絡管理
網絡管理是指對網絡的運行狀態進行監測和控制,并能提供有效、可
靠、安全、經濟的服務。一個好的網管系統能夠確定故障發生在哪
里,能夠對網絡管理員提出進一步優化網絡的建議。網絡管理系統還可以
在數據庫中查詢電纜和網絡設備有關的資料從而確定故障的性質。
2.2.2 安全審計
安全審計主要是對網絡系統中的安全設備和網絡設備,應用系統和運
行狀況進行全面的監測、分析、評估。廣域網絡中各種安全設備(防
火墻、過濾網關等)、操作系統(包括Windows和Linux)、應用服務(E—
mail、WEB、FTP、DNS)等都可產生大量的日志數據。這些日志數據翔實
地記錄了系統和網絡的運行事件,是安全審計的重要數據。這些日志信息
對于記錄、檢測、分析、識別各種安全事件和威脅有著非常重要的作用。
通過在各接入單位辦公局域網內的關鍵節點處部署安全審計產品,可
以監視并記錄網絡中的各類操作,實時地分析出網絡中發生的安全相關事
件。
3 結束語
隨著信息化的進一步發展,將會有越來越多的單位建成其自身局域
網,也會有把其局域網接入廣域網的需求,本論文可以指導各接入單位把
其局域網安全有序的接入廣域網,屆時將會真正建成一個覆蓋全系統的廣
域網絡,各級部門之間能夠方便、快捷的共享各種信息資源,進而推動本
系統信息化進入一個新的時期。
參考文獻:
[1]易建勛著,計算機網絡設計,北京:人民郵電出版社,2007.
[2]王冀魯著,計算機網絡應用技術,北京:清華大學出版社,北京交通
大學出版社,2006.
[3]郝志恒著,組網用網基礎與提高,北京:電子工業出版社,2007.
[4]楊英鵬著,計算機網絡原理與實踐,北京:電子工業出版社,2007.
[5]Patrick Regan著,廣域網,北京:清華大學出版社,2006.
[6]云紅艷、杜祥軍、趙志剛著,計算機網絡管理,北京:人民郵電出版
社,2008.
[7]楊遠紅、劉飛著,通信網絡安全技術,北京:機械工業出版社,2006.
作者簡介:
關鍵詞:計算機信息管理技術;網絡安全
中圖分類號:TP393.08
在當前信息化的時代背景下,計算機信息管理技術越來越深入到社會各階層和各個生活方面,并且得到了廣泛的應用,對社會的廣大用戶和整個社會利益產生了巨大的影響。網絡已然成為人們日常生活中必不可少的一部分,許許多多重要的計算機信息化管理、服務系統都依托于網絡而運行,因此,網絡安全便成為計算機信息管理系統中安全能動性的重要組成部分,它貫穿在計算機信息管理系統的規劃、設計、運行、實施和維護的各個階段,提高網絡安全的警惕性,保證計算機信息管理可以在網絡安全中應用更加合理、可行,成為推動整個社會信息化建設步伐的重要內容。
1 網絡安全的現狀
《CNNIC:2014年第33次中國互聯網絡發展狀況統計報告》提供的統計數據顯示:截至2013年12月,我國網民規模達6.18億,我國手機網民規模達5億,域名總數為1844萬個,相較于2012年都有很大比例的增長;我國企業使用互聯網的比例為83.2%,全國寬帶的普及率也越來越高,我國的信息安全技術和研究依然處于初級階段,目前常見的網絡不安全現象有:木馬病毒、手機病毒、網站攻擊事件、網絡釣魚事件、漏洞情況、瀏覽器的惡意篡等典型的網絡安全事件等等,病毒威脅成為普遍的網絡不安全現象,給網絡使用者帶來了極大的不便,甚至產生了很大的損失。
2 網絡安全的主要內容
網絡安全對政府、企事業單位和個人使用者來說都是極端重要的,而在互聯網絡中沒有絕對的安全,網絡是在一個國際性的開放性的環境中存在,所以,“安全”的這種擔保就顯得日益薄弱,甚至在一個比較小型的環境中的安全也顯得格外的困難。在國際標準化組織(OSI)網絡管理標準中規定了網絡管理的五大功能,配置管理、性能管理、故障管理、安全管理和計費管理,由此可以看出,安全管理是網絡管理五大功能中非常重要的一個功能。
網絡安全管理的內容有:
(1)計算機信息管理系統(即軟件)的安全。計算機信息管理系統(即軟件)的安全可以采用用戶認證、訪問控制、數據傳輸、數據維護、數據存儲的保密與完整性機制等內容,保障網絡管理系統本身的安全。
(2)網絡資源的安全。網絡資源包括有:IP地址資源、域名資源、服務器資源(Web服務器、E-mail服務器、FTP服務器、DNS服務器、Proxy服務和數據庫服務器等)、用戶資源、網絡信息資源(信息的、過濾、導航、查詢、統計、匯總、分類等)和磁盤資源等等,我們能夠通過控制這些網絡資源來保證網絡資源的安全訪問,從而使得網絡為用戶提供更好、更優質、更有保證的服務。
(3)網絡存儲技術安全。網絡存儲數據的安全性是網絡安全管理中極其重要的一個組成部分,若重要的計算機存貯數據被損壞或者丟失,會對企業日常生產、經營、銷售等各個環節產生很大的危害,甚至是會形成無法估計和難以彌補的損失,影響是相當大的,所以計算機系統不是永遠可靠的,也不是絕對安全的,僅僅依靠雙機熱備份、磁盤陣列、磁盤鏡像、數據庫軟件的自動復制等備份功能已經解決不了網絡安全的問題,所以,計算機網絡需要有完整的數據存儲模式。
3 網絡安全防御與改善措施:
網絡安全問題潛藏在我們每一個人周邊的現實存在著威脅,網絡攻擊時刻都在發生,威脅無處不在。在云計算、大數據等現代化技術日益進化的今天,在即將到來的移動互聯網、物聯網新時代,計算機信息管理技術在網絡安全中的實際應用越來越明顯,我們有必要加強網絡安全的防御,提高個人防范意識,提出相應的改善網絡應用問題的相關措施與策略。
3.1 網絡安全風險評估
網絡安全風險評估主要有:識別網絡安全事故的危害、評估危害的風險和控制網絡安全風險的措施及管理。通過進行網絡安全風險評估,我們可以做到實時發現問題,及時地防范風險帶來的危害,有步驟的調整網絡安全措施,從而達到保障網絡安全運行的目的,保證計算機信息管理系統更加及時地應對不斷發展變化著的網絡安全問題,提出解決方案,提高自身網絡安全的防御能力。
3.2 網絡安全風險防范管理
國家可以通過建立網絡信息安全漏洞共享平臺和反網絡病毒聯盟組織等政府性、專門性質網絡安全風險防范組織或團體等,盡可能減小或者避免網絡攻擊所造成的損失,做好對不良因素的防范工作,減輕網絡危害的效果及帶來的影響,更深層次地、有針對性地應用網絡安全技術,全面地提高網絡安全水平,推動我國信息化縱向發展。
3.3 建立良好的網絡安全機制
為了有效地發揮計算機信息管理技術在網絡安全中的作用,要求建立良好的網絡安全機制和網絡信息安全系統,強化機信息網絡的安全規范化管理力度,構建信息管理技術模型,從而確保網絡系統的安全。
目前,我們常用的安全機制有身份驗證、授權技術、數據加密、密鑰加密和數字簽名、數據包過濾、防火墻、入侵監測系統、物理安全等。這些網絡安全管理機制,需要得到社會性的推廣和應用,我們依然需要進行詳細、具體和長期的規劃與實踐,網絡安全機制是計算機信息技術網絡安全管理中的重要組成部分,也是最核心與關鍵的技術控制環節,我們要不斷的進行研究與改進,提高應對突發事件處理和解決的能力,全方位、多角度的做好這部分工作。
4 結束語
隨著經濟全球化的發展和信息化的浪潮不斷壯大,計算機信息管理技術得到了越來越多的普及及應用,加強網絡安全系統建設刻不容緩,網絡安全業務的發展離不開個人、企業、組織、國家和國際社會的共同努力,只有依靠各方各盡其責、緊密合作,才能保障互聯網的健康、有序和持續發展。同時,要提高網絡信息安全的防范和應對處理意識,做好網絡安全風險的防范計劃與策略,保證我國的信息網絡安全,為我國的國民經濟發展做出有利的鋪墊,進而使得計算機信息管理在網絡安全應用中的管理技術能夠健康、全面的發展,推動整個社會的信息化的步伐。
參考文獻:
[1]耿金秀.淺談計算機網絡安全防范措施[J].中國科技信息,2011(08).
[2]馬小娟.淺談計算機信息管理技術在網絡安全中的應用[J].2013(03).
[3]張統豪.計算機信息管理技術在網絡安全中的應用[J].計算機光盤軟件與應用,2012.
[4]堯新遠.計算機信息管理技術在網絡安全中的應用[J].軟件,2012(07).
作者簡介:周軍輝(1973.01-),男,湖南岳陽人,計算機副教授,研究方向:網絡技術、信息處理。
[摘 要] 隨著計算機網絡技術的發展,網絡安全越來越重要。文章從信息安全策略技術和管理兩個方面出發,介紹信息安全體系的構成,詳細闡述信息安全體系的基本要素以及相關的技術和管理構件,建構信息安全體系的技術構架和管理框架。
[關鍵詞] 網絡安全;安全架構;安全技術
[作者簡介] 陳寶光,河北省信息資源管理中心,河北 石家莊,050071
[中圖分類號] tp393.08 [文獻標識碼] a [文章編號] 1007-7723(2013)04-0021-0003
一、引 言
由于網絡的開放性,交換與共享平臺在提供高效、友好信息資源交換共享服務的同時,將不可避免地面臨網絡入侵、病毒侵襲、信息篡改等安全問題,從而為使用人員和管理部門帶來了一定的威脅、風險和責任。
本體系從信息安全策略技術和管理兩個方面出發,深入了解信息安全體系的構成,詳細闡述信息安全體系的基本要素以及相關的技術和管理構件,詳細闡述它們在信息安全系統中的地位和作用以及它們之間的關聯性、互補性,采用縱深防御的戰略思想,建構信息安全體系的技術構架和管理框架。
二、總體框架
信息安全是整體的、動態的,安全體系不是指單一的某種安全設備,而是指幾種安全設備的綜合。建立網絡安全系統也不是一件一勞永逸的事情,針對安全體系的特性,可以采用“統一規劃、分步實施”的原則。先對整個網絡進行整體的安全規劃,然后根據實際狀況逐步建立一個安全防護體系,提高整個信息系統基礎的安全性,保證應用系統的安全性。
信息安全體系包括三個要素:安全策略、管理和技術。
位于頂層的是平臺安全總體策略,這是整個平臺安全體系的基本標準,是所有安全行為的指導方針,是整個平臺信息安全建設的依據,用于指導管理體系和技術體系來實現整體安全目標,因此它是信息安全的最核心問題,是平臺安全規劃的基礎。
其次是在以上策略制度指導下制定的一系列針對系統自身漏洞和外部威脅的管理措施,即安全管理體系,包含法規、制度、培訓、組織、程序等,是對安全策略的更具體化體現。
最下面的是安全技術體系,包括各種基礎的安全技術、工具、產品和服務等,為整個安全體系提供基本的技術支撐。
信息網絡的安全技術體系是根據網絡不同層次采用不同的安全技術來緩解網絡安全風險,層次化和體系化地解決網絡安全問題。如圖1所示。
三、安全技術
(一)物理安全
物理安全是保障整個平臺網絡與計算機信息系統各種設備的安全。物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;確保計算機系統有一個良好的電磁兼容工作環境;防止非法進入計算機控制室和各種偷竊、破壞活動的發生。物理安全是信息安全的保障,是系統不可缺少或忽視的。
安全域劃分
1.安全策略
(1)實施“分級保護”,依據安全等級要求確定平臺安全等級并實施網絡系統安全防護措施;
(2)實施“分域保護”,合理劃分安全域,進行安全域邊界保護和邏輯隔離,控制平臺各安全域之間的訪問;
對平臺的所有網絡訪問行為進行監控和審計追蹤;
(3)對操作系統、數據庫系統進行嚴格的安全配置,及時更新安全補丁;
(4)部署網絡防病毒系統,并定期更新病毒庫,防止病毒和木馬的入侵和攻擊;
(5)定期對系統進行漏洞掃描和安全風險評估,及時發現系統存在的漏洞和風險,提出安全改進報告;
(6)建立完備的容災備份和應急響應機制,建設平臺統一的容災體系和應急響應體系;
(7)建立有效的安全管理保障體系,以適應網絡安全的動態性、復雜性和長期性特點。
2.部署漏洞掃描系統,定期掃描、及時堵塞漏洞
在網絡安全體系的建設中, 安全掃描工具的運行相對獨立,能較全面檢測流行漏洞,檢測最嚴重的安全問題,安裝運行簡單,可以大規模減少安全管理員的手工勞動,降低安全審計人員的勞動強度,有利于保持全網安全政策的統一和穩定。
3.ca認證
有效地防止信息篡改的方法就是ca認證。在交換平臺的應用層實施細粒度的訪問控制,實現對用戶的身份鑒別、實現信息的保密性、完整性、真實性和抗抵賴性等保護。應用系統以基于數字證書以及相關的經國家有關部門認可的密碼算法認證登錄用戶的真實身份,采用數字簽名技術解決抗抵賴性和數據完整性的問題,利用安全系統提供的加密算法,解決信息的保密性問題。
4.終端管理
終端管理主要解決內網安全管理被動和執行力低下的問題,通過實現從“準入控制”、“主動防御”、“數據防泄密”、“桌面信息管理”和“終端審計”的動態閉環的內網管理體系,在應對內網安全威脅的斗爭中,掌握主動權和制高點,依靠有限的安全控制手段,有效應對無限的內網威脅。
5.ip管理
ip地址管理支持ip-mac綁定,mac-ip綁定,user-ip綁定。ip-mac綁定功能保護特定的ip地址只能由特定的mac地址的電腦使用,這保護了服務器、網絡設備或重要用戶的ip地址不被其他人隨便使用。mac-ip綁定功能使指定的電腦只能使用指定的ip地址,或強制使用dhcp。user-ip綁定確保每個用戶使用專屬于自己的ip地址,配合動態vlan技術,user-ip綁定使用戶在企業內漫游時也能始終使用自己的ip地址。支持批量設置綁定,減輕管理員的工作負荷。
6.移動存儲管理
移動存儲管理,是解決終端通過移動存儲進行數據交換和共享過程中,防泄密控制的要求,通過實現終端的移動存儲的認證、數據加密和共享受控管理,徹底解決用戶對防泄密控制中通過移動存儲進行數據安全交換和受控共享的迫切要求。
7.防火墻
防火墻是以訪問控制技術為代表的傳統網絡安全設備,是在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障,是一種獲取安全性方法的形象說法。它是一種計算機硬件和軟件的結合,使internet與intranet之間建立起一個安全網關(security gateway),從而保護內部網免受非法用戶的侵入。
8.入侵檢測(ids)
ids是一種網絡安全系統,當有惡意用戶試圖通過internet進入網絡甚至計算機系統時,ids能夠根據已有的、最新的信息代碼對進出網段的所有操作行為進行實時監控、記錄,并進行報警,通知網絡該采取措施進行響應。
9.入侵防御(ips)
它是一種主動的、積極的入侵防范、阻止系統,可以
簡單理解為入侵檢測系統和防火墻的結合體。它部署到放火墻和內網之間,可以有效地彌補防火墻阻斷不了的入侵行為。一般來說,我們關注的是自己的網絡能否避免被攻擊,對于能檢測到多少攻擊并不是很熱衷。但這并不是說入侵檢測系統就沒有用處,在一些專業的機構,或者說如果我們對網絡安全要求很高,除了部署ips和防火墻之外,還要部署入侵檢測系統,入侵檢測系統和其他審計跟蹤產品結合,可以提供針對平臺信息資源全面的審計資料,這些資料對于攻擊還原、入侵取證、異常事件識別、網絡故障排除等都有很重要的作用。
(二)數據安全
數據的安全主要是通過數據傳輸過程中的保密性、完整性保護、完善的存儲設施和適當的備份策略來實現。在前面論述的ca認證可以實現數據在傳輸過程中的保密性、完整性保護。
1.構建數據庫集群
利用oracle數據庫集群技術解決數據安全性、高可用性的需求。oracle數據庫集群技術可以將多臺數據庫服務器整合至集群環境中,并通過負載均衡機制實現數據庫服務器的并發訪問處理,而且能夠實現快速的故障切換。由于交換平臺的各應用系統(交換系統除外)采用的是典型的b/s架構,即客戶端-中間件服務器-數據庫集群。如下圖3所示:
數據庫集群主要構成:
oracle rac :全稱為oracle real application clusters,主要實現數據庫的集群,集群可以提高系統性能并充分實現數據庫服務器的高可靠性,當出現單一的數據庫故障時應用系統可以迅速地切換至備機繼續運行。
數據庫軟件:采用oracle 10
ibm小型機:采用集群技術需要有多臺數據庫服務器構成,平臺一般采用ibm p520小型機,oracle rac集群支持硬件的異構,只要新購置的機器操作系統一致就可以構建集群環境。
光纖交換機:連接磁盤陣列和服務器,為高性能的數據存儲提供保障。
磁盤陣列:用于存儲數據,當一臺數據庫服務器有意外發生時,另一臺服務器從磁盤陣列中讀取數據,迅速完成切換。
2.數據備份
由于存儲設備的限制,現在采用基于用戶的邏輯備份的方法,這種備份在數據規模不大、數據完整性要求不高的時候是可以用的,隨著業務的發展,服務器和存儲設備的擴展,就需要建立一套完善的備份計劃。好的備份策略可以減輕管理員的工作壓力,提高工作效率,也可以在災難發生后及時地恢復系統。
3.數據庫備份策略
以物理備份為主,同時使用邏輯備份作為輔助備份方式。導出產生的數據文件可以保存在一個合適的位置。在備份管理系統中選定這些文件件作為一個備份作業,使用磁帶保存相應的備份。
從邏輯形式上分,數據庫的備份主要分為兩種:一種是物理備份,主要是對數據庫的數據文件、日志文件、控制文件進行備份,它需要通過使用數據庫的備份工具如oracle的rman等;另一種備份為邏輯備份,是表一級的備份。通常情況下,大型數據庫的備份以物理備份為主,邏輯備份為輔,因為物理備份/恢復速度快。物理備份又分為在線備份和脫機備份兩種。在線備份是在數據庫運行的情況下實施的備份,而脫機備份則是在數據庫關閉的情況下進行。對于7x24的數據庫只能進行在線備份。
4.網絡存儲
隨著交換與共享應用的深入,數據規模會越來越大,平臺可以采用san和nas相結合的技術構建立存儲備份系統。存儲系統將獨立于主機環境和操作系統環境,為多臺服務器提供集中的存儲備份服務,并通過高度自動化的大型磁帶庫和智能化的備份管理軟件對業務數據進行用戶化、策略化的自動備份。在保證現有應用系統存儲模式到新存儲模式的平滑過渡,可以將現有的主機系統、直聯存儲設備等整合集成到san存儲網絡中。
四、安全管理
安全管理是為實現安全目標而進行的有關決策、計劃、組織和控制等方面的活動;主要運用現代安全管理原理、方法和手段,分析和研究各種不安全因素,從技術上、組織上、管理上采取有力的措施,解決和消除各種不安全因素,防止事故的發生。主要是通過一系列的規章制度,明確機房管理人員的安全職責,強化機房管理人員的安全意識,確保各項安全措施的實施并真正發揮作用。可以制定人員安全管理制度、文檔管理制度、物理環境安全管理制度、應用系統安全管理制度、訪問控制制度、應急安全管理制度和安全評估制度。
五、結 語
為保障平臺網絡安全,應采取網絡安全管理措施,加強網絡安全策略、安全管理組織和安全技術培訓,加大經費投入,一起做好平臺網絡的安全管理工作,建設一個安全、可靠的網絡環境。
[參考文獻]
[1]史曉紅.網絡安全技術寶典[m].北京:中國鐵道出版社,2010.
[2]周學廣,等.信息安全學[m].北京:機械工業出版社,2003.
計算機信息網絡安全管理所指的就是計算機內部硬件與軟件系統受到惡意攻擊以及破壞,泄漏其內部各方面信息,之所以進行管理,其目的就是將關于計算機的相對穩定安全體系建立起來。所建立體系應當具備保密性、完整性以及可審計性。所謂可審計性所指的就是在結束網絡交流之后,對于自身所接受信息用戶無法執行其它操作,而保密性所指的就是用戶不能向另外實體以及個人隨意泄漏計算機網絡信息,更加不能向他人提供使用,完整性所指的就是對于未得到準許網絡信息用戶不得擅自進行修改,并且在傳輸信息過程中也不可將信息擅自損壞、修改以及插入。
2公安計算機信息網絡中安全問題
2.1信息系統缺乏較強保密性
數據庫安全、操作系統安全以及應用軟件安全,這些均在信息系統安全范圍之內。應用軟件的安全性比較低所指的主要是在網上能夠免費下載軟件中可能會攜帶病毒,導致公安信息系統的安全性比較低。對于公安業務信息系統而言,其主要就是ORACLE數據庫,由于加密保護措施以及身份認證體系比較缺乏,很容易泄漏信息,有很大安全問題存在。公安業務信息系統屬于一種應用服務的公共平臺,該操作系統缺乏完善安全審計以及訪問權限的設置,有很多安全漏洞存在,造成公安部門內部的操作軟件缺乏較強安全性能。
2.2網絡系統本身較差的安全性
對于網絡系統安全而言,其主要內容就是通信傳輸的信道安全以及網絡通信設備的安全,其中具備遠程訪問功能以及維護功能設備,比如交換機與路由器,這些均屬于網絡通信設備,其很可能會被非法用戶所操控。而在網絡系統的通信傳輸信道內所包括部分主要有郵電專線、幀中繼以及DDN,也有一少部分為自建光纖或者微波信道。對于這些傳輸信道而言,普遍有線路不穩定、質量較差以及中間環節較多等缺點存在,若有問題出現,在檢測以及維修時需要耗費大量時間,造成網絡無法正常進行工作。對于利用電話撥號方式進行上網地區而言,使用用戶越多則對非法用戶攻擊越有利,因而導致公安計算機信息網絡存在很大安全隱患。
2.3管理人員安全意識缺乏
對于公安計算機信息網絡的管理人員而言,應當對公安計算機信息網絡及互聯網之間所存在密切關系正確認識,應當明白同樣有安全問題存在,應當對其加強管理。在整個網絡中,無論哪個環節被破壞,均會對整個公安網絡正常運行產生很大影響,所以管理人員要將自身安全意識加強,在工作中將信息網絡安全管理當作重心,防止非法人員對其進行攻擊。另外,還要完善并改進內部網絡,對內部所存在安全漏洞及時進行修補,由內部以及外部兩個方面作為入手點實施安全管理。
2.4管理能力差
在有些公安部門內,在進行網絡安全管理過程中,將日志審計所具備作用忽視,另外由于管理能力比較差,對于運行過程中所出現故障無法進行正確檢測,在應變以及處理問題方面缺乏相應能力。對于不法攻擊,在無法檢測時無法將其及時上報,導致無法懲治非法人員。
3加強安全管理措施
3.1對信息系統加強安全管理
應用系統安全管理、數據安全管理以及網絡安全隔離,這些內容均在信息安全管理范圍之內。其具體措施主要包括以下幾個方面:第一,應用系統安全管理,首先應當使數據庫系統保證完整且安全結構,可以利用加密與解密讀取以及保存重要數據過程等相關密碼機制使軟件系統管理得到強化,在進行操作時選擇專門網絡信息管理人員,對軟件應用范圍以及相關條例進行規范;其次,在對網上所下載軟件進行應用之前進行檢測,從而避免有病毒入侵;再次,在操作具備較強安全性系統時,應當對用戶訪問權限進行審核,對操作內容以及流程進行記錄。第二,數據安全管理,通過計算機安全產品安全管理數據,通過對密級評判標準進行參考,確定是否通過互聯網上傳信息,從根本上將數據安全性提高。第三,網絡安全隔離,在該方面可以選擇將防火墻設置在網絡出入口方式,從而對內部網絡隱藏,對安全措施強化并集中控制,并且記錄網上非法活動,其中屏蔽內部網路操作是通過轉換地址而使內外網絡隔離得以實現,從而保證外部用戶無法獲取內部網路信息;強化以及集中控制所指的主要是利用復雜安全管理策略使得不同門戶對于不同安全性要求得以實現;而記錄網上非法活動能夠對非法用戶入侵進行審計,并且自動報警,能夠使網絡系統安全得到維護。
3.2對網絡系統加強安全管理
對于網絡系統安全而言,安全管理網絡設備以及網絡信道是其保障基礎,可以利用以下措施使其實現:第一,對遠程訪問以及維護功能進行嚴格管理,一方面而言應將統一遠程撥號口設置在信息中心,使入口數量逐漸減少,對賬號加強管理,利用回撥認證方式來使身份認證完成,保證一個賬號只能由一個登陸,防止發生非公安人員隨意登錄現象;另一方面而言,應當使遠程維護加強抗破解性能,選擇設置較高安全性密碼使安全管理工作得到強化,使網絡安全性得到提高。第二,利用鏈路層連接認證方式使網絡設備互聯完成,由于網絡中有一些虛假設備存在,因而可以通過PPP協議認證的設置使互聯網安全性得到保證。第三,加密線路,將能夠抗流量分析以及加密數據的加密設備配備在網絡信道線路上,這樣一來能夠使數據完整性更強,不容易被外界入侵。第四,公安部門內部自行信道,對于所租用信道而言,其有線路不穩定以及質量較差等缺點存在,因此可以選擇具有較強保密性以及質量保證與抗干擾能力較強光纖線路將信道自行建立,從而使網絡傳輸提高安全性能。
3.3對行政管理制度進行完善
第一,設置嚴格規章管理制度。在公安機關內部,可以利用嚴格規章制度對信息管理以及網絡運行進行規范,這樣一來不僅在管理上比較方便,還能夠使信息網絡提高安全性,具體而言,可以選擇加強指導、強化監督以及明確管理條例等方法使信息網絡的安全管理工作加強。第二,對專業安全管理人員進行培養。對于公安計算機信息網絡而言,由于其重要性以及特殊性,對于管理人員也有著較高要求,對于信息管理員而言,必須要定期檢測信息系統運行,對網絡信息安全保密性進行嚴格審核,對于網絡安全現狀提出有關意見以及改進方案,除此之外,還應當設計并規劃管理工作。因此,公安機關必須加強培養管理人員能力以及專業素質。
4結語
【關鍵詞】網絡安全設備維護報文傳輸意義
一、引言
網絡安全性的含義是信息安全的引伸。信息安全是對信息的保密性、完整性和可用性的保護。網絡安全是對網絡信息保密性、完整性和網絡系統的可用性的保護。網絡安全包括物理安全、網絡系統安全、數據安全、信息內容安全和信息基礎設施安全等。搞好網絡安全,除在網絡設計增加安全服務功能,完善系統的安全措施外,還必須花大力氣加強網絡的安全管理。因為諸多不安全因素恰恰反映在管理方面。良好的系統管理有助于增強系統的安全性。
二、良好的通風
自動氣象站的網絡設備中任何一個部件出現問題都會造成網絡通訊傳輸的不正常,現在基層業務臺站的通訊網絡設備硬件包括光端機、路由器、交換機等,這些網絡設備的使用需要一個良好的通風環境,溫度不宜過高或過低,保障機柜空氣流暢,這樣有利于機器的散熱。過高的溫度會使儀器工作是產生的熱量不易散發出去從而使儀器部件的溫度不斷上升,當超過額定的工作溫度,會導致硬件工作不穩定,造成網絡傳輸不通暢。
三、網絡設備的安放位置
不合理的安放也是影響網絡傳輸正常的一個因素,現在的網絡設備都安放專用的機柜里,我站之前將UPS電源和所有的網絡設備都放在一個柜子里,而這些網絡設備又相互重疊放在一起,各電源線與信號線路都交叉在一起,所以很容易受供電系統等電源電磁場干擾和外界不良因素的影響,設備之間也沒有良好的散熱空間,都會導致設備因溫度過高而散熱不及時。出現“發燒”的癥狀。解決的方案就是,將UPS電源和供電系統這些電源設備單獨放在一起,遠離網絡設備,其次將網絡設備合理的放置在機柜的不同高度上,以便相互不影響,有良好的通風散熱空間。
四、清除設備上的灰塵
因網絡設備進入較多的灰塵,就有可能堵塞設備內部的各種接口,使硬件的正常工作受到影響。不斷積累的灰塵會使硬件在運行的時候產生靜電,過高的靜電有可能擊穿半導體芯片,另外過多的灰塵一樣可使設備的工作溫度升高。因此要保持機柜及網絡設備的清潔,像自動站采集器維護一樣,用干凈的毛刷定期清理附注在儀器上的灰塵,也可用皮老虎進行吹拂。
五、定期檢查儀器設備的工作狀態
檢查指示燈電源工作狀態,電源線是否有破損,接線處是否有松動現象;所有的設備否有良好的接地,接地電阻應小于5歐姆,接地電阻不符合規范要求對于自動站供電更是不容許的,如果自動站設備的一項絕緣損壞而使設備的外殼帶電時,會導致零地電壓高達110v,而零地電壓過高(>2v)可引起自動站設備硬件損壞,還可能造成報文誤碼率上升,丟包率增加,網絡傳輸時好時壞,影響資料的正常上傳;另外當儀器設備出現故障時還需要則檢查是否有短路之處,由于氣象臺站光纜接入從地溝里進入值班室,所有進線和出線都在值班室墻角地溝里,要求值班室和地溝里杜絕老鼠的進入,以免破壞地溝里的光纜而造成網絡中斷,作為網絡維護員應將所有設備處在正常的狀態下的情況記錄下來,以備儀器出現故障時及時查明原因,快速處理。
六、氣象信息網絡安全對策
1.技術方面
1.1 防火墻
利用防火墻可以將氣象專網與互聯網進行有效隔離。防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互連環境中。在大型網絡系統與因特網互連的第一道屏障就是防火墻。防火墻通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理,其基本功能為:過濾進、出網絡的數據;管理進、出網絡的訪問行為;封堵某些禁止行為;記錄通過防火墻的信息內容和活動;對網絡攻擊進行檢測和告警。
1.2訪問控制
訪問控制的目的是防止非法訪問。訪問控制是采取各種措施保證系統資源不被非法訪問和使用。一般采用基于資源的集中式控制、基于源和目的地址的過濾管理、以及網絡簽證技術等技術來實現。
1.3 建立網絡防毒體系
殺毒系統可以預防、掃描和殺除計算機病毒,防止病毒的傳播擴散。網絡防毒體系主要分為服務器的防護和工作站的防護。防毒體系中的服務器端產品,應該具有實時病毒監控功能,遠程安裝、遠程調用功能,病毒碼自動更新功能以及病毒活動日志、多種報警通知方式等功能,可為文件服務器的病毒防護提供便利和效能。網絡工作站的病毒防護位于防毒體系中的最底層,對計算機用戶而言,也是最后一道防殺病毒的要塞。
1.4 運用漏洞掃描技術,主動預防網絡入浸
漏洞掃描技術是一種彌補防火墻系統不足的技術手段,用以自動檢測系統的脆弱點,發現安全漏洞,及時進行修補,并可提供相應的安全建議,是一種非常積極的安全防護技術。如配備操作系統安全掃描系統,有利于發現操作系統可能存在的安全漏洞,從而提高了更新配置或升級的針對性。關閉一些不經常用的端口,從而減少受攻擊的漏洞。定期對系統漏洞進行掃描和修補,確保系統的正常運行。
2.管理方面
2.1加強網絡規劃
在網絡建設期,就要明確安全需求。制定安全政策,在邊界建立符合安全政策的防火墻體系,劃分內部的安全政策域,對特定的主機節點進行防護加固處理,使用合理的訪問控制政策鑒別機制和安全體制,建立有效的可承受的監測體制等,并要考慮采用合適的操作系統、應用系統、安全系統。
2.2加強日常的安全管理
日常管理中,要有明確的安全管理目標,定期對網絡和系統的安全性進行評估,確保訪問控制政策的實施,了解網絡的行為,了解用戶的行為,保證網絡和系統的可用性。網絡中心應設立安全管理機構,負責網絡安全規劃、安全系統管理、安全管理培訓等方面的內容。
七、小結
以上所述,為了自動氣象站資料的正常傳輸,保障網絡暢通是非常必要的,所以要將網絡設備的維護,要納入自動氣象站日常維護中,以避免網絡時通時斷地情況發生,對資料的傳輸造成影響。制定系統安全策略、安裝網絡安全系統只是網絡系統安全性實施的第一步。只有切實提高網絡安全意識,建立完善的系統管理制度,加強對人員的安全教育,嚴格執行網絡安全的各項規定,才能保證網絡系統的整體安全性。
參考文獻:
[1]劉蔭銘,李金海,劉國麗等. 計算機安全技術[M]. 北京:清華大學出版社,2005:225-232.
[2]郭軍. 網絡安全管理[M]. 北京: 郵電傳版社,2001:118.
