网络安全内网管理
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全内网管理范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全内网管理范文第1篇
关键词:无线网络;安全风险;安全防范
1概述
医院内部无线网络(Hospital Internal Wireless Networks),既包括允许用户在医院内部范围内建立远距离无线连接的网络。
2009 年,国家新医改政策出台,其中信息系统首次成为我国医疗卫生体系建设的重要支撑。医院信息系统经过多年的发展,已经由以财务为核心的阶段过渡到以临床信息系统为核心的阶段,因此越来越多的医院开始应用无线网络,实施以患者为核心的无线医疗信息系统。随着无线网络技术的日趋成熟,医院内部无线网络在全球范围内医疗行业中的应用已经成为了一种趋势,在今后的医院应用中将会越来越广泛。通过无线医疗信息系统的应用,既拉近了与患者之间的距离,提高了医疗服务的效率和质量,也加强了医院的综合管理。
2医院内部无线网络的安全风险
随着医院对无线医疗信息系统应用的不断深入,医院对于内部无线网络的依赖程度也越来越深。医院内部无线网络作为原有医院内部有线网络的补充,扩展了有线网络的应用范围,但是也将相对封闭的医院内部有线局域网络环境转变成了相对开放式的网络环境。其安全性不仅影响到医院内部无线医疗信息系统的使用,同样也影响到与其相连的有线网络环境中应用的其他医院信息系统。因此医院内部无线网络的安全将直接影响到医院整体信息系统的安全。医院内部无线网络一旦被破坏,将会造成医院信息系统的数据被窃取、网络瘫痪、医疗业务被中断等等一系列严重的后果。由于医院医疗数据的敏感性,以及无线网络通过无线信号传输的特性,使得医院内部无线网络面临的安全风险越来越突出。
根据相关运行情况分析, 医院内部无线网络主要存在以下安全问题:①非法AP的接入:无线网络易于访问和配置简单的特性,使医院内部网络管理员和信息安全管理员非常头痛。因为任何人都可以通过自己购买的AP利用现有有线网络,绕过授权而连入医院内部网络。用户通过非法的AP接入手段,可能会给医院整体内部网络带来很大的安全隐患。②非授权用户的接入:非授权用户往往利用各类无线网络的攻击工具搜索并入侵,从而造成很严重的后果。非授权用户的入侵会造成网络流量被占用,导致网络速度大大变慢,降低网络带宽利用率;某些非授权用户会进行非法篡改,导致医院内部无线网络内的合法用户无法正常登陆;更有部分非授权用户会进行网络窃听和数据盗窃,对病人以及医院整体造成相当大的损失。③服务和性能的影响:医院内部无线网络的传输带宽是有限的,由于物理层的开销,无线网络的实际最高有效吞吐量仅为标准的50%。医院内部无线网络的带宽可以被几种方式吞噬,造成服务和性能的影响:如果攻击者从以太网发送大量的Ping流量,就会轻易地吞噬AP的带宽;如果发送广播流量,就会同时阻塞多个AP;传输较大的数据文件或者运行复杂的系统都会产生很大的网络流量负载。④地址欺骗和会话拦截:由于医院内部使用无线网络环境,攻击者可以通过地址欺骗帧去重定向数据流和使ARP表变得混乱。通过一些技术手段,攻击者可以获得站点的地址,这些地址可以被用来恶意攻击时使用。攻击者还可以通过截获会话,通过监测AP,然后装扮成AP进入,攻击者可以进一步获取认证身份信息从而进入网络。⑤数据安全问题:由于无线网络的信号是以开放的方式在空间中传送的,非法用户、黑客、恶意攻击者等会通过破解用户的无线网络的安全设置,冒充合法识别的身份进入无线网络进行非法操作,进行窃听和截取,从而达到不法操作或破坏信息的目的,从而给医院带来相对应的损失。
3医院内部无线网络的安全防护目标
早期的无线网络标准安全性并不完善,技术上存在一些安全漏洞。随着使用的推广,更多的专家参与了无线标准的制定,使其安全技术迅速成熟起来。具体地讲,为了有效保障无线网络的安全性,就必须实现以下几个安全目标:①提供接入控制:通过验证用户,授权接入特定的资源,同时拒绝为未经授权的用户提供接入。②确保连接的保密与完好:利用强有力的加密和校验技术,防止未经授权的用户窃听、插入或修改通过无线网络传输的数据。③防止拒绝服务攻击:确保不会有用户占用某个接入点的所有可用带宽,从而影响其他用户的正常接入。
4医院内部无线网络的安全防护技术
无线网络的安全技术这几年得到了快速的发展和应用,下面是目前业界常见的无线网络安全技术:
4.1服务区标识符(SSID)匹配 SSID(Service Set Identifier)将一个无线网络分为几个不同的子网络,每一个子网络都有其对应的身份标识(SSID),只有无线终端设置了配对的SSID才接入相应的子网络。所以可以认为SSID是一个简单的口令,提供了口令认证机制,实现了一定的安全性。
4.2无线网卡物理地址(MAC)过滤 每个无线工作站网卡都由唯一的物理地址(MAC)标识,该物理地址编码方式类似于以太网物理地址。网络管理员可在无线网络访问点AP中维护一组(不)允许通过AP访问网络地址列表,以实现基于物理地址的访问过滤。
4.3无线接入点(AP)隔离 AP(Access Point)隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法多用于对酒店和机场等公共热点(Hot Spot)的架设,让接入的无线客户端保持隔离,提供安全的网络接入。
4.4有线等效保密(WEP、WEP2) WEP(Wired Equivalent Privacy),IEEE80211.b标准规定的一种被称为有线等效保密的可选加密方案,其目的是为无线网络提供与有线网络相同级别的安全保护。WEP是采用静态的有线等同保密密钥的基本安全方式。WEP2,是根据WEP的特性,为了提供更高的无线网络安全性技术而产生。该技术相比WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量的长度由24位加长到128位。
4.5端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP) IEEE802.1x提出基于端口进行网络访问控制的安全性标准,利用物理层特性对连接到网络端口的设备进行身份认证。如果认证失败,则禁止该设备访问网络资源。
IEEE 802.1x引入了PPP协议定义的可扩展认证协议(EAP)。作为可扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
4.6无线网络访问保护(WPA、WPA2) WPA(Wifi Protected Access),率先使用802.11i中的加密技术-TKIP (Temporal Key Integrity Protocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。
WPA2是基于WPA的一种新的加密方式,向后兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。
4.7高级的无线网络安全标准(IEEE 802.11i) IEEE 802.11i安全标准是为了增强无线网络的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP、CCMP和WRAP三种加密机制,使得无线网络的安全程度大大提高。
5医院内部无线网络的安全实现
5.1合理放置无线设备 无线网络的信号是在空气中传播的,任一无线终端进入了设备信号的覆盖范围,都有可能连接到该无线网络。所以医院内部无线网络安全的第一步就是,合理规划AP的放置,掌控信号覆盖范围。在架设无线AP之前,必须选定一个合理的放置位置,以便能够限制信号在覆盖区以外的传输距离。最好放在需要覆盖的区域中心,尽量减少信号泄露到区域外。
5.2无线网络加密,建立用户认证 对于医院内部无线网络的进行加密,建立用户认证,设置相关登录用户名和密码,而且要定期进行变更,使非法用户不能登录到无线设备,修改相关参数。实际上对无线网络来说,加密更像是一种威慑。加密可细分为两种类型:数据保密业务和业务流保密业务。只有使用特定的无线网络加密方式,才会在降低方便性的情况下,提高安全性。
5.3 SSID设置 无线 AP 默认的设置会广播SSID,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWS自带扫描功能,可以将能联系到的所有无线网络的 SSID 罗列出来。因此,设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串,同时设置SSID隐藏起来,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出 SSID 全名也是无法接入到这个网络中去,以此保证医院内部无线网络的安全。
5.4 MAC地址过滤 MAC 地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的MAC 地址下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
5.5 SSL VPN 进行数据加密和访问控制 由于在实际医疗活动中,为了满足诊断、科研及教学需要,必须经常大量采集、、利用各种医疗数据。由于原有医院网络的相对封闭性,绝大多数的应用系统采用的都是未经加密的数据包进行数据交换,但是医院内部无线网络是相对开放性的网络,入侵者通过对无线信号中数据包的侦听与解析,使得医疗信息泄漏成为了医院不得不面对的问题。SSL VPN 即指采用SSL 协议来实现远程接入的一种VPN技术。SSL VPN 基于浏览器的认证方式,能兼容医院主流的无线终端设备操作系统,如Windows、Android、IOS,而VPN 的方式又能保证医院信息系统的正常运行。SSL VPN在解决医院无线网络数据加密的同时,最大限度地保障了医院信息系统的投资。
5.6核心网络隔离 一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击, 但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。所以必须将无线网络同易受攻击的核心网络进行一定的安全隔离保护,应将医院内部无线网络布置在核心网络防护外壳的外面, 如防火墙、网闸等安全设备的外面,接入访问核心网络采用SSL VPN等方式。
5.7入侵检测系统(IDS) IDS(Intrusion Detection Systems)入侵检测系统,不是只针对无线网络检测的系统,同样也适用于有线网络。入侵检测技术可以把无线网络的安全管理能力扩展到安全审计、安全检测、攻击识别和响应等范畴。这样不仅提高了网络的信息安全基础结构的完整性,而且帮助对付恶意用户对整体医院网络内其他用户的攻击。依照医院无线应用系统的安全策略,对网络及信息系统的运行状况进行监视,发现各种攻击企图、攻击行为及攻击结果,以保证网络系统资源的完整性、可用性和机密性。
5.8终端准入控制 终端准入控制主要为了在用户访问网络之前确保用户的身份信任关系。利用终端准入控制,医院能够减少对系统运作的部分干扰,因为它能够防止易损主机接入网络。在终端利用医院内部无线网络接入之前,首先要检查它是否符合制定的策略,可疑主机或有问题的主机将被隔离或限制接入。这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头,保证只有在满足终端准入控制策略的无线终端设备才能接入医院网络。
6结论
随着无线网络越来越受到普及,本文浅析了医院内部无线网络存在的几种安全隐患,并探讨了对应的几种防范策略。总的来说,世界上不存在绝对安全的网络,任何单一的安全技术都不能满足无线网络持续性的安全需求,只有增强安全防范意识,综合应用多种安全技术,根据不同的医院自身应用的特点,选择相应的安全防范措施,通过技术管理和使用方法上的不断改进,才能实现医院无线网络的安全运行。
参考文献:
[1]Zerone无线安全团队.无线网络黑客攻防[J].中国铁道出版社,2011(10).
[2]中国密码学会,无线网络安全[J].电子工业出版社,2011(9).
网络安全内网管理范文第2篇
[摘 要] 目的: 医院信息系统平台逐渐成为医院医疗业务的核心支撑平台,须加强医院信息系统安全;方法:通过网络安全的综合设计和实施,采用冗余设备、三层网络架构、统一网管中心控制、虚拟网络划分、核心防火墙及IPS、堡净统一管理设备、数据库和网络审计等多种技术,同时结合安全管理制度等;结果:构建较完备的医院网络安全体系,取得了良好的效果结果、结论 :信息系统安全是系统工程,要从各方面着手,防止短板。
[关键词] 网络系统安全;安全管理;管理制度;木桶原理
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 088
[中图分类号] R197.3;TP309 [文献标识码] A [文章编号] 1673 - 0194(2017)05- 0164- 03
0 引 言
随着新医改的不断深入,作为其重要支柱之一的医院信息系统建设进入了高速发展的快车道,成为医院日常医疗工作和管理工作的基础平台。2013年,我院新建了医院信息系统项目,包括机房建设、网络建设、软件系统建设、硬件建设等部分。医院特点决定医院信息系统必须365*24小时不间断正常运行,网络、系统软硬件的损坏和故障,或者是数据信息泄露,都会医院带来不可估量的损失,影响患者正常就诊,甚至危及医院的生存和发展。因此,构建安全的医院网络系统,保障系统和信息系统安全,是各医院都很关心的问题。
医院网络安全系统是个系统工程,其符合“木桶原理”,系统的安全程度取决于最短的那块板,我院从硬件、网络、系统、审计监管、防病毒、安全制度等各个方面采取了多种措施,保障了信息系统安全、网络安全。
1 网络系统安全
1.1 链路安全
为避免核心网络系统单点故障,提高网络系统的健壮性、容错性和性能,我院在网络核心层采用了H3C的IRF2(Intelligent Resilient Framework,智能弹性架构)技术, IRF2将两台华三10508核心交换机通过IRF物理端口连接在一起,虚拟化成一台逻辑核心交换设备,集合了两台设备的硬件资源和软件处理能力,实现两台设备的统一简化管理和不间断维护,提高了网络对突发事故的自动容错能力,最大程序降低了网络的失效时间,提高了链路的利用率和转发效率。
在核心层10580交换机与会聚层5800交换机间采用万兆光纤交叉互联,线路间做链路聚合,增加链路带宽、实现链路传输弹性和冗余。同时,核心交换机与会聚层交换机全部配备双电源和双风扇组,双电源分别插两路不同PDU电源插痤,尽量避免单点故障。
1.2 网络层次分明,方便管理
数据中心服务器到所有的桌面终端计算机最多通过三层网络,即核心层、会聚层和接入层,三层网络交换机各师其职,层次分明。核心层是网络的高速交换主干,负责数据转发;汇聚层提供基于策略的连接,是网络接入层和核心层的“中介”,工作站接入核心层前须先做汇聚,实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能,减轻核心层设备的负荷;接入层提供工作站接入网络功能。同时,我院每栋业务楼都建设了网络设备间,安装了空调和不间断电源,统一管理该楼内所有的会聚层和接入层交换机,保证所有的设备都有良好的运行环境,同时便于管理和维护。
1.3 划分VLAN,提高性能和安全性
医院信息系统服务主要以访问数据库服务器为主,数据纵向访问多,横向少,同时,我院许多楼又都综合了门诊住院医疗系统、医技系统等,我们根据其特点,将网络按楼宇划分为10多个VLAN子网,并将有特殊需求的应用(如财务科账务专网等),单独划分VLAN。通过VLAN划分,控制广播范围,抑制广播风暴,提高了局域网的整体性能和安全性。
1.4 网络核心层安装防火墙板卡与IPS板卡,保证服务器区安全
医院服务器区是医院系统运行核心,一旦被侵入或感染病毒,将影响医院的正常医疗业务,影响病人就诊,我院每日门诊人次3 000多人,住院患者1 600多人,数据库出问题,将造成重大的社会影响和严重后果,故我们在核心层华三10 508交换机上安装了SecBlade FW Enhanced增强型防火墙业务处理板卡和PS插卡,设定了防入侵和攻击的规则,过滤非法数据,防范病毒确保服务器区安全。
1.5 智能网管中心
随着网络应用越来越复杂,网络安全控制、性能优化、运营管理等问题成为困扰用户的难题,并直接决定了医院核心业务能否顺利开展。我们采用了专门的网管系统,通过软件的灵活控制,与相应的硬件设备配合,建立了网络安全控制中心、性能优化中心和运营管理中心。通过网管系统,我们能实时监管网络的运行情况,监管网络的故障和报警,监管和分配网络流量,优化网络性能,使整个网络可管可控。我院网络管理员常用的网管功能有资源管理、拓扑管理和故障(告警/事件)管理等。
网管系统的资源管理可管理网络设备、接口,显示设备的详细信息和接口详细信息和实时性能状态; 拓扑管理可自动发现全网设备的拓扑视图,通过拓扑图能够清晰地看到医院网络的状态,包括运行是否正常、网络带宽、连通等。
故障(告警/事件)管理,是网管系统的核心功能之一,包括设备告警、网管站告警、网络性能监视告警、终端安全异常告警等,告警事件可通过手机短信或E-mail邮件的方式,及时通知管理员,实现远程网络的监控和管理。
1.6 医院内网、外网间隔离和访问通道
医院内部的网络分为医院办公外网(用于日常办公,可上互联网)和业务内网,为保证医院内部网络业务系统安全,防止非法入侵、病毒攻击等医院业务网与互联网必须物理隔离,同时,因医院内部众多软件厂商、服务器厂商、网络设备、安全厂商,需要远程维护内网设备,业务网和互联网之间须有个能访问的通道,我们采用了SSL VPN+网闸+堡垒机的方式实现了远程安全登录和物理隔离。
(1)在医院外网防火墙和医院内网防火墙之间安装了网神SecSIS 3600网闸,利用其“数据摆渡”的工作方式,开放须访问的端口,实现物理隔离。
(2)h程用户通过SSL VPN接入到医院外网。利用SSL 的私密性、确认性、可靠性、易用性特性,在远程用户和我院外网间建立起专用的VPN加密隧道。在SSL VPN中,将用户的登录设定为自动跳转到堡垒机,通过堡垒机再访问相关的设备和电脑,实现远程访问有监管有记录有审计,可管可控。
2 服务器和存储备份安全
系统服务器双机备份常用的是采用双机冷备份或通过心跳线热备份的方式实现。我院结合自身设备特点,采用了赛门特克Veritas Cluster Server技术,在IBM刀片机上建了一个N+1 VCS集群,即多台服务器对应一台备份机,当其中一台出现问题,都会自动切换到备机,实时快速,同时节约了备份机。两套IBM DS5020存储阵列(一台在主机房、一台在备份机房)通过光纤直连,采用remote mirror远程镜像备份技术,将主机房存储的实时数据复制到备份存储系统,提供于业务连续性和灾难恢复的复制功能。
3 保证操作系统安全
操作系统是软件系统基础,保证其安全是必须的。我们对服务器进行了主机加固,关闭了不必要的服务,安装了赛门铁克防火墙、赛门铁克网络版杀毒软件,莱恩塞克内网安全管理系统等来保证内网服务器和工作站操作系统安全。其中内网管理系统控制和监管了移动介质的使用,屏蔽了未经授权的移动介质接入网络,避免了医院数据的外泄及感染病毒,同时,还能对内网中每一个计算机进行远程的桌面管理、资产管理、配置管理和系统管理等。
4 核心设备配置修改和访问安全
服务器在注册表中关闭了远程访问功能, 网络交换机都关闭了TELNET功能,关闭命令: undo telnet server enable通过网络堡垒机可视化的web管理界面统一配置和管理所有服务器和交换机,利用堡垒机可控制、可审计、可记录、可追溯的特性,保证对服务器和交换机的安全管理,避免配置和修改服务器、交换机时不慎造成故障。
5 数据库和网络安全审计系统
为了保障网络和数据不受来自外部和内部用户的入侵和破坏,我院通过旁挂模式接入了数据库和网络安全审计系统,实时收集和监控网络、数据库中的系统状态、安全事件、活动,以便集中报警、记录、分析、处理,实现“事前评估―事中监控―事后审计”,对数据库和网络中的操作和更改进行追溯和还原。
6 健全安全管理制度,加强执行
建立了严格的规范的规章制度,规范网络管理、维护人员的各种行为,保障网络安全。如建立了“中心机房管理制度”“机房设备操作制度”“机房出入制度”“设备巡查制度”“工作站操作制度”等。
我们规定网管人员每天必须查看智能网管系统、堡垒机、数据库审计、网络审计、中心服务器、杀毒软件等的日志,做好记录。通过日志,及时发现网络和设备故障隐患,发现非法入侵和使用,不正确的配置和修改。
网络安全内网管理范文第3篇
其他安全防范措施内网的网络安全直接关系到医院业务能否正常进转,所以我院的内网计算机是不允许接外部设备的,比如易于感染病毒的U盘,网管人员会在BIOS里把除了键盘鼠标等正常使用的设备以外的U口封掉并设置密码,确保病毒不会从外界侵入。同时,内网设置了详细的分级权限,不同的用户看到的和使用的功能不同,不同的医师用药和开处方的权限也不同。程序的进入每个用户可以设置自己的密码,保证信息不泄露。随着程序的不断升级,以后可以应用电子签名。电子签名就是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它类似于手写签名或印章,也可以说它就是电子印章。每个医生一个电子签名卡,进入系统程序不仅需要密码而且要刷卡,开处方和写病历后自动写上医生的电子签名,确保数据不被篡改。
天津医院外网安全建设分析
1硬件防火墙外网是要链接到Internet上的,所以网络安全尤为重要,硬件防火墙是必不可少的。通过硬件防火墙的设置,可以进行包括过滤和状态检测,过滤掉一些IP地址和有威胁的程序不进入办公网络。硬件防火墙针对病毒入侵的原理,可以做出相应的策略,从源头上确保网络安全。
2网络管理软件网络管理软件提供网络系统的配置、故障、性能及网络用户分布方面的基本管理,也就是说,网络管理的各种功能最终会体现在网络管理软件的各种功能的实现上,软件是网络管理的“灵魂”,也是网络管理系统的核心。
通过网络管理软件网管人员可以控制流量,设置不同用户访问的网址和使用的应用程序,设置不同时间可以访问的网址,以及屏蔽掉一些游戏、股票等非工作需要的程序。可以实时监控客户端的网络行为,查看是否有非工作内容的操作。定期备份日志,保证办公网正常有序的工作。
管理制度
要制定严格的计算机管理制度,业务科室屏蔽光驱、USB接口等输入输出设备,行政后勤科室使用输入输出设备时必须先杀毒再使用。全院每台机器使用固定IP和MAC地址绑定,防止外人使用移动电脑连接内部网络。优化电脑性能,屏蔽一些重要的操作系统功能和系统文件,防止操作人员误操作致使系统崩溃,带来不必要的麻烦。所有服务器、客户端都必须更新最新的系统补丁,防止病毒、黑客、灰色软件的侵袭。
网络安全内网管理范文第4篇
1.1计算机网络管理的基本规范要点
1)明确管理对象。计算机网络管理的对象很多,可以按网络节点设备分类。如果从不同层次角度分类,可分为:用户数字接入复用器、交换机、路由器等。目前,随着网络的发展,我们把服务器、防护墙等也归属于网络管理中的设备。只有先分清楚管理对象,才能根据相关管理和维护方法进行实施。
2)整合网络管理系统。计算机网络管理系统可以说是安装在硬件设备上的一系列软件,通过这些软件对网络进行监督和控制。因此,要对这些软件设备进行整体系统的管理和维护。不仅是软件的研发,更重要的是对软件实施管理和维护,让管理和维护形成一定的管理规范和制度,比如按不同类型进行分类,配置管理、性能管理、安全管理等,按不同类型来具体实施,这些都具有独立性,最后统一整合管理。
3)配置明确网络协议。网络中各个设备都是独立的,要靠网络管理协议来进行信息的交互和统一。通过配置和管理网络协议来整体规范和管理系统。
1.2计算机网络管理的日常工作制度
1)定期检查软件,进行升级管理。对于计算机网络系统的任何硬件和软件都应该进行定期检查,尤其服务器软件,需要定期检查,然后进行更新升级。主要是对服务器操作系统及应用软件系统进行升级、打补丁、防止系统漏洞。
2)数据定期备份。数据对整个计算机网络而言十分重要。为了防止数据丢失,保障数据安全,应该定期对数据进行备份。
3)加强网络防范。为了保障网络安全,需要加强网络防范。比如增加防火墙来防止外界入侵,保障网络安全。主要从网络系统的硬件和软件上做防范措施。工作人员应该定期参加网络知识培训,了解最新的动态,进行加强网络认识和防范意识。工作人员要严格遵守所在单位的管理制度,防止密码等保密信息外泄等。
4)定期排查网络,及时更改。作为网络管理员应该定期对网络做安全检查,在检查过程中,对发现的网络问题应该及时更改。作为一名网络管理员一定要认真负责检查每一处,从而保障网络安全。通过分类和整合,制定一定的管理规范,遇到故障时,合理分析、推断、排除、解决故障,保证计算机网络的正常运行。
2维护管理中常见问题的解决方法
作为一名网络管理员必须了解网络系统中的设备,熟悉硬件和软件,了解操作流程,要有丰富的工作经验。计算机网络管理和维护包括很多方面:①了解网络结构,熟悉设备管理,保障网络的正常运行。②了解配置文件,熟悉路由器和交换机等。③了解网络内部连接,发现故障问题及时检查定位,排查网络,排除安全隐患。④掌握用户资源,做好用户资源安全管理。
2.1日常维护,保证网络正常工作计算机网络管理员应该做好日常工作,经常性的查看监控软件,根据监控软件信息,了解整个网络。每天要对核心服务器、路由器、交换机、防火墙、用户接入口、出口等实施日志监控和查看,查看流量信息等,从而发现网络中潜在的故障或者攻击。2.2了解网络设备了解网络设备是指管理员一定要熟知网络系统中的各个设备,了解设备的型号、性能、配置方法、功能、数据配置等,从而把网络遇到问题及时排查。比如,要了解网络中每1台路由器的配置,是静态路由还是动态路由,熟悉RIP、OSPF等路由配置,掌握BGP等外网路由管理,要熟悉日常维护管理,进而排除故障。
2.3及时备份文件网络偶尔有突发状况发生,比如断电,会给网络造成很大损失,造成数据文件丢失等,所以,管理人员应该及时备份数据文件,也可以通过软件进行定期、定时备份。
2.4有效管理资源计算机网络系统中资源多、复杂,有各种设备资源,比如,交换机接口,路由器接口,网管接口等等,还有数据资源,IP地址、硬件资源等,这些都需要有效地分配和管理。只有合理规划各项资源,才能保证网络不会存在差错和冲突,才能保证网络正常运行。比如,IP地址资源,如果网络中是静态IP地址,就要防止IP地址重复分配,造成网络冲突。
2.5内网安全内网是属于本单位或本系统内部管理与使用的并相对独立于外网(互联网)的局域网或广域网。要想保证内网安全,重点是做好内网与外网之间的安全防护,增加安全隔离设备或进行物理隔离,杜绝内外网互联互通,以防止外网入侵。对于有些单位内外网无法完全隔离开来的情况下,内外网间安装防火墙软硬件,配置ACL访问控制列表,通过这些来保证安全。防火墙能阻挡外网的一些入侵,通过ACL来设置那些网段可以进去内容,从而避免恶意入侵。
2.6用户权限管理网络中用户很多,为了保证网络安全,应该了解用户需求及工作性质,为不同用户制定不同权限。管理员应经常查看日志文件,了解用户的网上应用和流量情况,及时调整用户权限,删除或禁用一些不正常的用户权限,保障网络安全。
2.7制定严格有效的上网管理制度建立上网管理制度,加强单位职工网络安全方面的教育,提高安全意识,加强上网行为管理,及时通报不良行为,创造一个良好的网络应用环境,对于保证网络系统能够长期安全、稳定、有效运行同样必不可少。
3结语
网络安全内网管理范文第5篇
一、企业网络安全威胁产生的原因
计算机网络作为现代交际工具,其快捷方便的独特优势赢得人们的信赖,企业网络应运而生。然而,由于计算机本身及系统、协议及数据库等设计上存在缺陷,网络操作系统在本身结构设计和代码设计时偏重考虑系统使用的方便性,导致系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞;同时,由于企业网络自身错误的管理和配置都可能导致网络的安全问题发生。众多企业网络信息遭侵袭的事件一再提醒我们,网络安全问题必须引起充分重视。网络安全同其他事物一样是有规可循的,应该从外部网络安全和内部网络安全两个层面进行分析:
第一层面,外部网络连接及数据访问所带来的安全威胁。包括:1、外部用户对内网的连接。由于出差员工、分公司及其他业务相关企业都需要和本企业进行数据交换,这就要通过互联网连接进入内部网络,这时,非法的网络用户也可以通过各种手段入侵内部网络。2、服务器网站对外提供的公共服务。由于企业宣传需要,企业网站提供对外的公共服务,这些公共服务在为用户提供便利的同时,也带来了安全隐患。3、办公自动化及业务网络与Internet连接。这些操作平台往往偏重于系统使用方便性,而忽视了系统安全性。
第二层面,内部网络主机之间的连接所带来的安全威胁。企业网络上的层次节点众多,网络应用复杂,网络管理困难。主要体现在:1、网络的实际结构无法控制。网络的物理连接经常会发生变化,如果不能及时发现并做出调整,很可能发生网络配置不当,造成网络安全的严重隐患。2、网管无法及时了解网络的运行状况。企业网络平台上运行着网站系统、办公系统、财务系统等多种应用系统。同时,可能发生用户运行其他应用程序的情况,这样做的后果一方面可能降低网络系统的工作效率;另一方面还可能破坏系统的总体安全策略,对网络安全造成威胁。3、无法了解网络的漏洞和可能发生的攻击。4、对于已经或正在发生的攻击缺乏有效的防御和追查手段。
由此可见,网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。它的风险将来自对企业网络的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。因此,维护办公局域网、服务器网站系统的安全,是企业网络的基本安全需求。
二、企业网络安全系统总体规划制定
根据计算机网络技术原理及实践经验,在进行计算机网络安全设计规划时应遵循以下原则:一是需求、风险、代价平衡分析的原则。对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,确定最优的安全策略,切忌只顾及需求而忽视安全;二是综合性、整体性原则。运用系统工程的方法,分析网络的安全问题,并制定具体措施,严防以偏概全,顾此失彼;三是一致性原则。这主要是指制定的网络安全体系结构必须与网络的安全需求相一致,防止文不对题,劳而无功;四是易操作性原则。安全措施要由人来完成,如果措施过于复杂,对人的技能要求过高,本身就降低了网络的安全性;五是适应性、灵活性原则。安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应和修改,网络的安全防范是一个过程,不可能一蹴而就;六是多重保护原则。任何安全保护措施都不是绝对安全的,需要建立一个多重保护系统,各层保护相互补充。据此,进行外部用户接入内部网的安全设计和内部网络安全管理的实现。
对外部用户进入内部网络应实施以下安全保障:(1)增强用户的认证。用户认证在网络和信息的安全中属于技术措施的第一道大门。用户认证的主要目的是提供访问控制和不可抵赖的作用。(2)授权。这主要为特许用户提供合适的访问权限,并监控用户的活动,使其不越权使用。(3)数据的传输加密,数据通过加密可以保证在存取与传送的过程中不被非法查看、篡改、窃取等。(4)审计和监控,确切地说,还应包括数据备份,这是系统安全的最后一道防线。系统一旦出了问题,这部分可以提供问题的再现、责任追查、重要数据复原等保障。
对内应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应规范,其具体工作是:(1)确定该系统的安全等级,并根据确定的安全等级,确定安全管理的范围;(2)制定相应的机房出入管理制度,对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域;(3)制定严格的操作规程,操作规程要根据职责分离和多人负责的原则,各负其责;(4)制定完备的系统维护制度,维护时必须有安全管理人员在场,故障原因、维护内容等要详细记录;(5)制定在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小。
三、网络安全方案设计应把握的几个关键点
1、应用防火墙技术,控制访问权限,实现网络安全集中管理。防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据用户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。使用防火墙的意义在于:通过过滤不安全的服务,可以极大地提高网络安全,保护脆弱的服务;可以提供对主机系统的访问控制;可以对企业内部网实现集中的安全管理,在防火墙上定义的安全规则可以运用于整个内部网络系统;可以阻止攻击者获取攻击网络系统的有用信息,增强了信息的保密性;可以记录和统计网络利用数据以及非法使用数据;提供了制定和执行网络安全策略的手段。
由于防火墙是内部网络和外部网络的唯一通讯渠道,能够在内外网之间提供安全的网络保护,因此防火墙可以对所有针对内部网络的访问进行详细的记录,形成完整的日志文件。
2、应用入侵检测技术保护主机资源。利用防火墙技术,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够,因为入侵者可寻找防火墙背后可能敞开的后门,也可能就在防火墙内。由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
入侵检测系统的功能是保护关键应用的服务器,它能精确地判断入侵事件,包括判断应用层的入侵事件,对入侵者可以立即进行反应,能对网络进行全方位的监控与保护。可有效地解决来自防火墙后由于用户误操作或内部人员恶意攻击所带来的安全威胁。
3、应用安全扫描技术主动探测网络安全漏洞,进行网络安全评估。网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、入侵监测系统互相配合,能够提供较高安全性的网络。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级,更正系统中的错误配置。如果说防火墙和入侵监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击的发生,做到防患于未然。
安全扫描器提供综合的审计工具,发现网络环境中的安全漏洞,保证网络安全的完整性。它可以评估企业内部网络、服务器、防火墙、路由器,扫描和测试确定存在的可被黑客利用的网络薄弱环节。我们应在局域网内设置该工具,定期对网络进行扫描。
4、应用VPN技术,保证外部用户访问内部网的安全性。企业网络接入到公网中,存在着两个主要危险:一是来自公网的未经授权的对企业内部网的存取;二是当网络系统通过公网进行通讯时,信息可能受到窃听和非法修改。如何保证外部用户远程访问内部网的安全性:首先,应严格限制外部用户所能访问的系统信息和资源,这一功能可通过在防火墙和应用服务来实现。其次,应加强对外部用户进入内部网的身份验证功能。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。这就应采用软件或防火墙所提供的VPN(虚拟专网)技术、完整的集成化的企业VPN安全解决方案、提供在公网上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。
