网络安全加固建设
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全加固建设范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全加固建设范文第1篇
关键词:等级保护;网络安全;信息安全;安全防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)19-4433-03
随着我国国际地位的不断提高和经济的持续发展,我国的网络信息和重要信息系统面临越来越多的威胁,网络违法犯罪持续大幅上升,计算机病毒传播和网络非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木马间谍程序、网络钓鱼技术、黑客病毒技术等技术进行网络诈骗、网络盗窃、网络赌博等违法犯罪,给用户造成严重损失,因此,维护网络信息安全的任务非常艰巨、繁重,加强网络信息安全等级保护建设刻不容缓。
1 网络信息安全等级保护
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络信息安全等级保护体系包括技术和管理两大部分,如图1所示,其中技术要求分为数据安全、应用安全、网络安全、主机安全、物理安全五个方面进行建设。
图1 等级保护基本安全要求
1) 物理安全
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。
2) 主机安全
主机系统安全是计算机设备(包括服务器、终端/工作站等)在操作系统及数据库系统层面的安全;通过部署终端安全管理系统(TSM),准入认证网关(SACG),以及专业主机安全加固服务,可以实现等级保护对主机安全防护要求。
3) 网络安全
网络是保障信息系统互联互通基础,网络安全防护重点是确保网络之间合法访问,检测,阻止内部,外部恶意攻击;通过部署统一威胁管理网关USG系列,入侵检测/防御系统NIP,Anti-DDoS等网络安全产品,为合法的用户提供合法网络访问,及时发现网络内部恶意攻击安全威胁。
4) 应用安全
应用安全就是保护系统的各种应用程序安全运行,包括各种基本应用,如:消息发送、web浏览等;业务应用,如:电子商务、电子政务等;部署的文档安全管理系统(DSM),数据库审计UMA-DB,防病毒网关AVE等产品。并且通过安全网关USG实现数据链路传输IPSec VPN加密,数据灾备实现企业信息系统数据防护,降低数据因意外事故,或者丢失给造成危害。
5) 数据安全
数据安全主要是保护用户数据、系统数据、业务数据的保护;通过对所有信息系统,网络设备,安全设备,服务器,终端机的安全事件日志统一采集,分析,输出各类法规要求安全事件审计报告,制定标准安全事件应急响应工单流程。
2 应用实例
近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,某医院的核心系统按照等级保护三级标准建设信息系统安全体系,全面保护医院内网系统与外网系统的信息安全。
医院网络的安全建设核心内容是将网络进行全方位的安全防护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护;通过安全域划分,实现对不同系统的差异防护,并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异,各自可能具有不同的安全防护需求,因此需要将不同特性的系统进行归类划分安全域,并明确各域边界,分别考虑防护措施。经过梳理后的医院网络信息系统安全区域划分如图2所示,外网是一个星型的快速以太交换网,核心为一台高性能三层交换机,下联内网核心交换机,上联外网服务器区域交换机和DMZ隔离区,外联互联网出口路由器,内网交换机向下连接信息点(终端计算机),外网核心交换机与内网核心交换机之间采用千兆光纤链路,内网交换机采用百兆双绞线链路下联终端计算机,外网的网络安全设计至关重要,直接影响到等级保护系统的安全性能。
图 2 医院网络信息系统安全区域划分图
2.1外网网络安全要求
系统定级为3级,且等级保护要求选择为S3A2G3,查找《信息系统安全等级保护基本要求》得到该系统的具体技术要求选择,外网网络安全要求必须满足如下要求:边界完整性检查(S3) 、入侵防范(G3) 、结构安全(G3) 、访问控制(G3) 、安全审计(G3) 、恶意代码防范(G3) 和网络设备防护(G3) 。
2.2网络安全策略
根据对医院外网机房区域安全保护等级达到安全等级保护3级的基本要求,制定相应的网络安全策略
1) 网络拓扑结构策略
要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。要采取一定的技术措施,监控网络中存在的安全隐患、脆弱点。并利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
2) 访问控制策略
访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够连入内部网络,那些用户能够通过哪种方式登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
3) 网络入侵检测策略
系统中应该设置入侵检测策略,动态地监测网络内部活动并做出及时的响应。
4) 网络安全审计策略
系统中应该设置安全审计策略,收集并分析网络中的访问数据,从而发现违反安全策略的行为。
5) 运行安全策略
运行安全策略包括:建立全网的运行安全评估流程,定期评估和加固网络设备及安全设备。
2.3网络安全设计
根据对医院外网安全保护等级达到安全等级保护3级的基本要求,外网的网络安全设计包括网络访问控制,网络入侵防护,网络安全审计和其他安全设计。
1) 网络访问控制
实现以上等级保护的最有效方法就是在外网中关键网络位置部署防火墙类网关设备,采用一台天融信网络卫士猎豹防火墙、一台CISCO公司的PIX515和一台网络卫士入侵防御系统TopIDP。
①外网互联网边界防火墙:在局域网与互联网边界之间部署CISCO公司的PIX515百兆防火墙,该防火墙通过双绞线连接核心交换区域和互联网接入区域,对外网的互联网接入提供边界防护和访问控制。
②对外服务区域边界防火墙:对外服务区域与安全管理区域边界部署一台千兆防火墙(天融信NGFW4000-UF),该防火墙通过光纤连接核心交换机和对外服务区域交换机,通过双绞线连接区域内服务器,对其他区域向对外服务区域及安全管理区域的访问行为进行控制,同时控制两个区域内部各服务器之间的访问行为。
③网络入侵防御系统:在托管机房区域边界部署一台网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,为托管机房区域提供边界防护和访问控制。
2) 网络入侵防护
外网局域网的对外服务区域,防护级别为S2A2G2,重点要实现区域边界处入侵和攻击行为的检测,因此在局域网的内部区域边界部署网络入侵检测系统(天融信网络入侵防御系统TopIDP);对于外网托管机房的网站系统,防护级别为S3A2G3,由于其直接与互联网相连,不仅要实现区域边界处入侵和攻击行为的检测,还要能够有效防护互联网进来的攻击行为,因此在托管机房区域边界部署网络入侵防御系统(启明星辰天阗NS2200)。
①网络入侵防御系统:在托管机房区域边界部署一台采用通明模式的网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,其主要用来防御来自互联网的攻击流量。
②网络入侵检测系统:在外网的核心交换机上部署一台千兆IDS系统,IDS监听端口类型需要和核心交换机对端的端口类型保持一致;在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至IDS监听端口;IDS用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行检测。
3) 网络安全审计
信息安全审计管理应该管理最重要的核心网络边界,在外网被审计对象不仅仅包括对外服务区域中的应用服务器和安全管理区域的服务器等的访问流量,还要对终端的互联网访问行为进行审计;此外重要网络设备和安全设备也需要列为审计和保护的对象。
由于终端的业务访问和互联网访问都需要在网络设备产生访问流量,因此在外网的核心交换机上部署网络行为审计系统(天融信网络行为审计TopAudit),交换机必需映射一个多对一抓包端口,网络审计引擎通过抓取网络中的数据包,并对抓到的包进行分析、匹配、统计,从而实现网络安全审计功能。
①在外网的核心交换机上部署一台千兆网络安全审计系统,监听端口类型需要和核心交换机对端的端口类型保持一致,使用光纤接口;
②在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至网络安全审计系统的监听端口;
③网络安全审计系统用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行安全审计;
④开启各区域服务器系统、网络设备和安全设备的日志审计功能。
4) 其他网络安全设计
其他网络安全设计包括边界完整性检查,恶意代码防范,网络设备防护,边界完整性检查等。
①边界完整性检查:在托管机房的网络设备上为托管区域服务器划分独立VLAN,并制定严格的策略,禁止其他VLAN的访问,只允许来自网络入侵防御系统外部接口的访问行为;对服务器系统进行安全加固,提升系统自身的安全访问控制能力;
②恶意代码防范:通过互联网边界的入侵防御系统对木马类、拒绝服务类、系统漏洞类、webcgi类、蠕虫类等恶意代码进行检测和清除;部署服务器防病毒系统,定期进行病毒库升级和全面杀毒,确保服务器具有良好的防病毒能力。
③网络设备防护:网络设备为托管机房单位提供,由其提供网络设备安全加固服务,应进行以下的安全加固:开启楼层接入交换机的接口安全特性,并作MAC绑定; 关闭不必要的服务(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服务等), 登录要求和帐号管理, 其它安全要求(如:禁止从网络启动和自动从网络下载初始配置文件,禁止未使用或空闲的端口等)。
3 结束语
信息安全等级保护是实施国家信息安全战略的重大举措,也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据,在实行安全防护系统建设的过程中,应当按照等级保护的思想和基本要求进行建设,根据分级、分域、分系统进行安全建设的思路,针对一个特定的信息系统(医院信息管理系统)为例,提出全面的等级保护技术建设方案,希望能够为用户的等级保护建设提出参考。
参考文献:
[1] 徐宝海.市县级国土资源系统信息网络安全体系建设探讨[J].中国管理信息化,2014(4).
[2] 李光辉.全台网信息安全保障体系初探[J].电脑知识与技术,2013(33).
网络安全加固建设范文第2篇
路由器是局域网之中非常重要的一种网络设备,其主要在网络层实现子网之间以及内外数据的转发,是不同网络之间进行数据交换及通信的一个重要通道。当前,很多路由器可集成防火墙等安全模块,对网络起到安全加固的作用。所以,路由器往往是病毒入侵的第一道屏障。目前,各大小石油企业均使用Cisco(思科)路由器及交换机对该企业局域网进行安全加固,从而在很大程度上提高了石油企业的网络安全以及提高了企业的生产效益。
【关键词】Cisco路由器 交换机 安全加固
由“木桶”原理可以得知,一个木桶可以装多少水,受到该木桶最短的那块木板所决定。具体到信息系统的安全也是同样的道理,整个信息系统的安全程度也受到信息系统之中最薄弱的环节所决定,网络作为信息系统的主体,其安全需求的重要性是显而易见的。本文主要对石油企业Cisco路由器及交换机安全加固措施进行分析,旨在为石油企业的网络安全运行提供一定的参考依据。
1 概述
目前,很多石油企业局域网的建设全部或者部分采用Cisco(“思科”)的路由器与交换机,究其原因,笔者认为,这主要是由于该设备的功能非常强大,工作性能稳定性好,其互联网操作系统(IOS)在网络安全策略等方面均具有独特的考虑,使用IOS的安全策略功能,不需要单独地购置安全管理软件,就能够很好地实现绝大部分的安全功能,使得石油企业局域网运行于较安全的环境之中。
运用Cisco的路由器与交换机,构筑成为一个典型的基于第三层交换技术的高性能千兆石油企业局域网,其具体拓扑结构示意图如图1所示,以Catalyst-4006作为核心交换机,5台Catalyst-2950G构成汇聚层,20台Catalyst-2924与Catalyst-1924构成接入层,1台4500型路由器做边缘路由器,通过2MDDN线路与CERNET地区网络中心相连接,1台2511型做远程访问服务器,作用是提供拨号用户使用。
应用Cisco路由器与交换机,石油企业可实现如下几个方面的网络安全策略:路由器安全策略、用户主机安全策略、交换机安全策略、服务器安全策略以及网络访问安全策略等。
2 Cisco路由器安全加固策略
众所周知,对于一个网络而言,路由器是网络的核心部分,其实际配置情况对整个网络的正常工作与运行均具有十分重要的意义与价值,在实际过程中,应只允许授权的主机对路由器进行远程登录,而禁止未授权的主机进行登录。在路由器的全局配置条件下,设置标准访问控制表,且在全部的虚接口上进行应用,应用的方向为in,如此,就能够很好地保证只有授权的主机远程登录路由器且修改其配置,实际过程中,路由器的主要配置为:
access-list 1 permit 202.115.145.66 line vty 04
access-class 1 in
表示仅允许主机202.115.145.66远程登录至路由器。
3 Cisco交换机安全加固策略
3.1 Cisco交换机地址的配置
为了能够便于管理,可将交换机配置IP地址。例如可将IP地址进行配置,192.168.0.0,就能够禁止非本企业的主机对交换机进行访问。将企业内全部的交换机均应置于一个虚拟网络之中(常见的为VLAN-2)之中,在交换机之中可进行如下配置:
Interface vlan 2
in address 192.168.0.3 255.255.255.0
3.2 配置允许访问交换机的主机
经过上述的安全加固策略的实施,Cisco交换机的访问被限制于石油企业内部,而且还能够在石油企业内部网络的三层交换机4006上面,将访问控制表进行配置,将其用于Cisco交换机的虚拟网络之中,应用的方向属于in,仅仅允许石油企业内所指定的主机能够访问该交换机所在的虚拟网络,而其他主机(如其他石油企业的主机)不能对该虚拟网络进行访问,那么这就阻止了其对本石油企业Cisco交换机的访问,因此也就无法获取本企业Cisco交换机中的任何数据。在三层交换机4006型上进行如下的配置:
access-list 10 permit 202.115.145.66
interface vlan 2
in access-group 10 in
经过上述安全加固策略的实施,只有IP地址为202.115.145.66的配置能够访问本石油企业局域网网络交换机。
3.3 允许远程登录交换机主机的配置
允许访问交换机的主机,应该注意对远程登录该交换机的过程进行限制。只允许被授权的主机进行登录,从而对相关的配置参数加以修改。在交换机的全局配置条件下,设置标准的访问控制表,用于虚拟接口的0~15上面,应用的方向为in。交换机上面的具体配置如下:
access-list 1 permit 202.115.145.66
line vty 0 15
access-class 1 in
如此,仅仅允许主机202.115.145.66对交换机进行远程登录,从而能够修改交换机的具体配置。
4 结论
综上所述,本研究主要对Cisco路由器与交换机在石油企业网络之中的安全策略。若在石油企业网络构建过程中,采用本文所提出的网络安全解决策略,能够很好地满足石油企业的绝大多数安全需求,以最大程度地减少网络建设所需的各种费用。
参考文献
[1]张秀梅.网络入侵防御系统的分析与设计[J].信息与电脑,2009(07):1-2.
[2]马丽,袁建生,王雅超.基于行为的入侵防御系统研究[J].网络安全技术与应用,2010(06):33-35.
[3]郭翔,谢宇飞,李锐.校园网层次型网络安全设计[J].科技资讯,2010(9):26.
[4]杨森.浅谈思科路由器使用安全对策[J].房地产导刊,2013(7):371-372.
[5]王均.杨善林.VLAN技术在网络中的应用[J].电脑与信息技术,2000,(2).
作者单位
网络安全加固建设范文第3篇
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(Electronic Commerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准[2]。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查[3]。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
4结束语
本文分析了目前电子商务网络支付安全方面的主要技术状况,安全技术可以说是网络技术中较为尖端的技术,都是非常先进的技术手段;只要运用得当,配合相应的安全管理措施,基本能够保证电子商务中网络支付的安全;但不是100%的绝对安全,而是相对安全。随着网络安全技术的进步与信用机制的完善,网络支付定会越来越安全。
参考文献
[1]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
网络安全加固建设范文第4篇
关键词:勒索病毒;桌面安全管理系统;网络安全
一、事件背景介绍
2017年5月12日,WannaCry蠕虫病毒通过WindowsMS17-010漏洞在全球范围大规模爆发,感染了大量的计算机,随后会向计算机中植入敲诈勒索病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。很快,WannaCry勒索病毒出现了变种:WannaCry2.0,与之前版本的不同是,这个变种取消了KillSwitch,即不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度更快。攻击特点:WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。WannaCry主要利用了微软“视窗”系统的漏洞,以获得自动传播的能力,能够在数小时内感染一个系统内的全部电脑。勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。“永恒之蓝”是NSA泄露的漏洞利用工具的名称,并不是该病毒的名称。“永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”。
二、油田现阶段网络结构分析
油田网络属于小型局域网,能够实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。拓扑结构采用星型和树型混合结构。采取这种拓扑结构具有传输速度快、网络构形简单、建网容易、便于控制和管理的优点。因此,局内基本上所有电脑都在使用文件共享和打印机共享,必然会开放139、445等端口,这就为此次蠕虫病毒攻击打开了通道。经分析,总结出以下在平时网络使用中可能引发的网络安全问题:1.未能定时更新安全程序。单位所使用的操作系统多数为Windows操作系统。每隔一段时间微软都会新的安全更新程序,用来修补系统所存在的安全漏洞。但是,很多人认为安装更新程序耗时长,并且会造成系统运行卡顿,占用内存,因此,基本不会主动更新安全程序,甚至会关闭系统自动更新程序开关,来阻止系统进行安全程序更新。2.未能定时查杀病毒。病毒传播的途径有很多,比如:U盘传播、邮件传播、光盘传播和网络传播等。由于局内采用的是局域网,并且多台主机之间实现文件共享,这就容易发生一台主机瘫痪,其余主机跟着瘫痪的不可控局面。这也是此次蠕虫病毒的主要攻击特点。3.安全意识不强。很多人存在侥幸心理,认为病毒的传播没有那么快,补丁象征性的安装一些就行了,没有必要完全安装,需要查杀病毒的时候查杀一下,不需要的时候干脆不去理会,这样的行为就会有很大的安全风险,在病毒爆发的时候,由于没有及时安装安全更新程序或者查杀病毒,很容易发生意想不到的局面。4.没有定期备份文件的习惯。由于单位的计算机主要用于办公,有很多办公需要的资料,一次性备份需要花费较长的时间,而且往往没有如此大内存的存储设备来备份重要文件,员工多将资料直接存储于电脑中,即使发生资料变更也不进行备份,这就给资料的安全性带来了风险,一旦计算机中毒,文件受损,将带来不可挽回的局面。
三、预防措施
关于网络安全的管理和预防,一方面,玉门油田遵从总公司的决定进行桌面安全管理系统2.0的部署,另一方面,个人也应培养良好的网络安全意识,形成良好的网络安全预防习惯。1.桌面安全管理系统2.0。桌面安全管理系统2.0是桌面安全管理系统1.0的升级版,新建系统加固及管控平台两个子系统,替换了原有的防病毒、端点准入产品,升级和优化后台管理、补丁分发、电子文档保护三个子系统功能,同时对以上子系统在客户端进行了整合。(1)防病毒子系统。采用“流行病毒本地定义码+云端鉴定文件鉴定”防御方案,有效降低客户端资源占用,同时,构建企业自主控制文件黑白名单能力,实现全网文件样本的快速发现和查杀。(2)端点准入子系统。通过定制端点准入策略、客户端和端点准入设备有效联动,采用旁路部署端点准入设备,对桌面计算机进行合规性检验,为各单位提供有效、易用的管理工具和手段,支持修复页面跳转和非办公计算机例外保护,如IP电话、服务器、网络设备等。(3)后台管理子系统。具有计算机实名制注册、软硬件资产信息收集、策略下发、用户行为审计和违规日志查询的管理功能。通过系统进行基础安全策略的定制,建立桌面计算机安全基础,提供30类扩展安全策略,各单位可根据实际需求进行策略定制,深入完善桌面安全管理。(4)文档保护子系统。与中国石油USBKey相结合,为计算机用户提供登录保护、重要文件处理区、文件输出审计、电子文件销毁等功能,增加基于口令的文档加密功能,扩展文档加密功能适用范围,实现电子文档在创建、存储、使用、销毁等过程的安全保护。(5)补丁分发子系统。对微软补丁进行人工筛选和测试后,通过补丁分发子系统实现全网桌面计算机操作系统安全统一分发和自动安装,及时有效的降低操作系统漏洞带来的安全隐患。此次的勒索病毒WannaCry是利用该漏洞进行传播的,当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播,因此给系统打补丁是必须的。(6)系统加固子系统。提供安全基线和底层加固两个功能模块,通过统一模板控制、操作系统底层加固,实现集团公司安全基线要求在桌面计算机的强制管控,并且降低操作系统脆弱性带来的安全风险。2.培养个人安全意识。及时更新安全补丁:可以在官网或使用相关安全软件进行系统安全补丁的更新及安装,或者选择自动检查与安装。目的就是为了防止病毒利用系统漏洞进行二次攻击。定时查杀病毒:通过杀毒软件,如360安全卫士,定时进行病毒查杀与电脑安全诊断与防护。学习网络安全知识,培养网络安全意识:单位在安全培训中,适当加入网络安全培训的内容,培养员工的网络安全意识。定期备份重要文档资料:及时整理重要的文件资料,并选取适当的存储设备进行备份,或者将资料存放在不联网的计算机中,以防止文件遭到黑客病毒攻击造成损坏。3.防治蠕虫勒索病毒的步骤(1)关闭445端口等共享文件端口以64位Windows系统为例:在键盘上同时按下“WIN+R”后输入“regedit”图2运行窗口在注册表中按以下路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Param-eters添加“SMBDeviceEnable”,并设置键值为“0”=图3注册表编辑器图4键值单击“确定”即可。(2)关闭网络文件与打印机共享(3)安装系统补丁
四、结论
通过分析整个油田局域网的结构和特点,以及员工日常工作使用电脑的习惯,总结出油田局域网所存在的安全隐患,员工安全意识有待提高等相关问题。及时安装桌面安全系统2.0,提高网络安全意识,养成良好的安全上网习惯,将有助于整个油田的网络安全和安全生产运行。
作者:杜懿珊 单位:玉门油田信息中心
参考文献
网络安全加固建设范文第5篇
从2010年至今,短短几年间,工控网络安全成了人们关注的焦点,工业控制系统成为国家间网络空间对抗的主战场和反恐的新战场。在工业转型升级的大潮中,“创新+互联网”使得加强工控网络安全防范的迫切性日趋凸显,也催生了企业对工控网络安全防护的需求。而这一需求也随着企业内外网络应用、交互日趋频繁和深入变得越来越强烈。
基于此,匡恩网络在对工业控制系统和关键基础设施安全现状进行调研和技术产品研发的基础上,结合网络化、智能化的发展方向,创新性地提出面向智能工业体系的一体化大安全理念和“4+1”安全防护体系(即立体化的工控网络安全理念),实现工业控制系统内在安全和体系防护的有机统一。
所谓 “4+1”工控安全体系,即结构安全、本体安全、行为安全、基因安全,以及时间持续性防护。其中,结构安全和行为安全是工控安全体系的主体,是实现工控系统体系防护的关键因素,也是匡恩网络对工业控制系统进行安全改造和加固的切入点。基因安全和本体安全关系到工控安全体系的本质安全,其根本的解决之道是自主可控。但是,我国工业控制系统长期以来主要依赖进口,在装系统80%以上是国外设备,因此针对本体安全性的检测和补偿性防护措施显得尤为重要。
结构安全探讨的是基础设施建设过程中的网络结构,以及区域、层次的划分能否满足安全的要求。工业企业可以通过优化网络结构,以及采用隔离、过滤、认证、加密等技术,实现合理的安全区域划分、安全层级划分。对新装系统,应实现结构安全同步建设;对再装系统,应进行结构安全改造;对因条件限制无法进行改造的,应建立安全性补偿机制。
本体安全是指智能设备自身的安全性。智能设备在基础设施建设中被广泛使用,包括感知设备、网络设备、监控设备等,这些设备普遍存在漏洞、后门等安全隐患。为保障工控的本体安全性,工业企业应从智能设备的离线安全、入网安全、在线安全等维度进行持续检测与防护,检测工具应该标准化、规范化,并针对行业应用的特点进行优化。在检测过程中发现问题,而又无法实现升级和替换的设备,应采用外挂式补偿性措施予以防护。
行为安全主要包括两部分:系统内部发起的行为是否具有安全隐患,以及系统外部发起的行为是否具有安全威胁。工业企业的行为安全性防护首先应该具备感知能力,在云端接入大数据感知威胁和安全态势分析平台,获取威胁情报;在本地端通过靶场、蜜罐、审计、溯源等技术,对网络流量、文件传输、访问记录等进行综合分析与数据挖掘,从而实现对已知威胁和未知威胁的感知,以及全局安全态势和局部安全态势的感知。其次,行为安全性防护应具备联动和主动防御能力,与其他安全防护技术联动,根据行业特点考虑入侵容忍度,避免误报,并对行为进行审计。
基因安全即CPU、存储、操作系统内核、基本安全算法与协议等基础软硬件的完整可信、自主可控。工业企业在有条件的情况下,可采用经过基因安全性改造的自主工控系统与设备,以及经过基因安全性加固的进口系统与设备。在条件暂不具备的情况下,应采用安全补偿机制,在应用层进行完整性验证,使之具有一定的安全免疫能力。
