前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇部队网络安全管理范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
当前,学校计算机网络已经成为学校教学、科研、管理的重要支撑,随着信息技术的不断发展,校园网络的规模也在不断扩大。学校在信息共享以及教育方面对网络的依赖越来越大,网络安全问题也在逐渐变得越来越突出。因此,有必要对计算机网络安全管理进行深入研究探讨。
一、学校网络安全管理的意义分析
计算机网络在教学、管理、科研中的作用越来越突出,因此,加强网络的安全管理就成为当务之急,其重要的意义表现在以下两个方面:
1.关乎学校的形象
伴随着计算机网络技术的不断发展,学校要想在信息化时代脱颖而出,走在前列,就必须强化对计算机网路的重视。教育管理走向智能化是今后学校管理发展的必然趋势。因此,校园网络安全与学校的整体形象和长远发展具有非常重要的意义。
2.关乎学校的利益
当前,各级学校的校园网络中都存放在大量的内部教学信息,包括学生的成绩、档案信息等,许多重要的工作也是依靠网络来进行,这些数据一旦丢失或者被人窃取,将会给学校带来非常大的损失。因此,强化学校计算机网络安全管理具有非常重要的意义。
二、学校网络安全管理的现状分析
当前,校园网络安全管理的现状不容乐观,存在着诸多问题,这些问题主要表现在以下几个方面:
1.病毒侵入严重
学校网络在为师生提供巨大便利的同时,也成了病毒传播的主要途径。随着一些黑客技术水平的不断提升,网络病毒的越来越严重。一些病毒不仅会破坏用户的硬盘,严重的话还会使得重要的数据信息丢失,给个人和学校造成不可挽回的损失。
2.恶意破坏现象严重
进行恶意破坏包括对设备和系统两个方面的破坏。设备包括服务器、交换机等等,他们都分布在校园的各个地方,管理起来不是很容易。一些人可能会利用这些管理上的缺口,对网络设备进行破坏,这样一来就会造成整个校园网的瘫痪。
三、加强学校网络安全管理的措施
1.加快建设网络防毒体系
学校网络中的防护体系可以分为服务器防护以及工作站的防护。首先是服务器的防毒,防毒体系中的服务端产品应该能够进行远程安装,同时还能够对病毒进行实时的监控。现在学校内部电子邮件的应用逐渐变多,这又给病毒入侵增添了一条通道。因此,在防毒体系中再增设一道关卡,确保邮件的安全;再者就是工作站的防毒,工作站的病毒防护居于防毒体系的最底层,因此,学校网络用户要特别注意工作站防毒的工作。
2.建立用户账号管理机制
在对校园网的用户进行管理的时候,应该给每一位教师设置一个账号,学生可以使用公共账号。除此之外,还要加强对密码的设置和管理。密码的安全性是网络安全性的基本内容。因此,在设置密码的时候,必须保证三个月更换一次,只有这样才能确保密码安全。对于校园用户来说,应该规定按时对密码进行更新。
综上所述,学校计算机网络安全管理对于保证学校信息安全,加快学校信息化建设具有十分重要的意义。对于网络安全管理中存在的问题,一定要高度重视。在制定管理措施的时候,不仅要提升技术水平,更要加强制度建设,唯有如此,学校计算机网络的安全才能得到保证,才能更好地服务于教学管理。
1.1入侵检测应用
入侵检测手段为一类主动防御技术,可在系统遭受侵害影响前期进行拦截,进而完成实时保护处理。主体功能在于检测各类非法入侵。再者可部分的核查出不可阻止的入侵行为前兆。有效应用入侵检测技术可对各类影响事件具体威胁等级展开评估,还可做好整理以及归档,进而提供可靠的法律依据。
1.2有效预防病毒
病毒会对计算机网络体系形成较强的破坏作用,为此防杀病毒成为确保部队网络安全的核心构成内容。应树立预防为主的工作原则,预防计算机系统感染病毒。应定期对计算机做全盘扫描并快速的发掘与清除病毒。应用杀毒软件应持续的升级,进而符合网络安全应用的核心需要。伴随网络技术的快速发展,病毒会变得的更为复杂并且高级,对于病毒做好防范处理应把握好硬件、软件系统、网络等多元化因素,通过全面预防,防杀结合,软硬有效互补,治标又治本,进而开创优质的网络安全系统模式。
1.3装设防火墙系统,全面扫描漏洞
防火墙为创建于网络通信以及信息安全手段之上的技术,可拒绝不准许通过的一切信息数据。较多防火墙应用多重功能集成的模式保护网络系统不受到恶意传输影响攻击。其在网络传输过程中对访问站点实施访问控制策略,防护功能依据安全等级可划分成静态以及动态分组、状态规律以及服务器手段等。防火墙可为网络系统安全提供完善的屏障,其提供了优质的信息安全管理服务。为此,用户可装设防火墙,对不安全管理服务进行有效过滤,全面提升内网可靠安全性。系统漏洞为软件进行设计过程中包含的不足以及缺陷,或是在编写程序过程中出现的错误。应用计算机系统势必均包含漏洞,形成潜在威胁。可被不法之徒进行攻击并窃取有用资料。为此部队应做好系统漏洞的全面扫描处理,创建良好的安全体系。依据安全策略,发挥安全辅助功能。可通过扫描网络漏洞,快速的应用有效措施做好漏洞修补处理,并良好的预防系统漏洞引发的威胁影响。
1.4有效应用数据加密手段,引入VPN处理技术
有效应用数据加密手段,可通过复杂的加密运算确保网络系统安全。加密人员可进行破解还原处理,而外界人员则较难实现该目标,进而可良好的进行数据保密。可依据系统需求应用对称或是非对称处理技术,实现良好的加密以及解密处理。另外,还可应用虚拟专用技术手段,位于公共网络系统之中创建专用网络,进而令数据在可靠安全的管理工作下,位于公共网络进行高效传播。其依据设备连接端口以及用户各个节点MAC地址,可令原本物理互联网络分成较多虚拟子网。应用该类手段技术可良好的管控网络流量,预防传播风暴。还可科学应用MAC层之中的数据包过滤手段,对具有较高安全水平要求的端口进行帧过滤。该技术手段主要应用隧道技术手段、加密解密方式以及秘钥管理,认证辨别身份技术手段做好安全可靠的保障。
2结语
关键词:网络;安全;防火墙
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)23-0028-02
网络安全是一门涉及计算机科学、网络技术、通讯技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。而网络接入信息基础设施数量迅速增加,加之系统软件多样化,加速了网络得复杂性。计算机网络在使用的过程中存在一定的安全问题,由于很多信息设计到机密问题,需要保证网络的安全运行。计算机网络运行最为突出的问题就是信息技术相对落后,安全意识低下、管理制度不完善等需要妥善解决。完善网络信息安全不但能够避免机密资料外泄,而且提高我国信息化建设。所以,在此基础上需要对网络信息安全问题采取必要的解决方法,这对我国安全具有比较重要的意义。
1 计算网络面临的威胁
1.1 网络外部和内部攻击
计算机方便人们的同时也会受到不同程度的问题,如果计算机网络中没有采取必要的安全措施很容易受到网络黑客的攻击,导致自身局域网受到破坏,内部资料外泄,比如,木马或者硬盘数据遭到修改等。在部队网络中,黑客会对网络内部环境采用选择性的对网络信息完整性进行破坏,直接影响到网络正常运行。黑客还会采用伪装技术进入到网络中占有资源,并且窃取信息等行为,破坏电脑中软件,严重者导致网络瘫痪。网络内部中有很多非法用户采用合法用户的身份进入到合法网站中进行破坏,影响系统运行,这种行为对网络安全造成的后果非常严重。一些非法用户通过非正常途径进入到其他用户中更改其他用户的IP地址,通过这种方法避免网络管理员的阻止。
1.2 病毒感染
随着计算机技术的发展,病毒的种类也在不断更新,目前种类较多并且很多较难辨认,导致病毒的入侵。病毒主要是以邮件和网页登陆方式进入到用户网络系统中,对系统和文件进行破坏,并且进行不断的蔓延。病毒最大的一个功能就是自启功能,通过不断复制和蔓延潜伏在计算机核心部位和内存中,对核心系统和内存中的信息进行破坏,如果受到病毒感染,它会利用某种程序对感染计算机进行控制,硬件和数据就会遭到不同程度的破坏,并且在此基础上对计算机信息的传输进行阻止,使计算机不能正常的运行。计算机如果受到病毒的感染,硬件和数据有极大的可能遭到破坏,使数据传输不能正常运行,甚至网络瘫痪,给使用者造成不必要的损失。
1.3 网络系统本身漏洞问题
我国网络安全技术更新有较大的发展,但是对于一些网络安全技术的建设还存在不同技术限制,使网络系统本身出现漏洞。计算机网络的主要组成部分有硬件,芯片和操作系统等,由于我国技术的限制,很多都需要向国外购买[4-6],比如,计算机CPU是由美国制造,我国网络运行中的操作系统一些是从国外购买,但是操作系统存在着不同程度的漏洞,造成很大的安全隐患,在运行中如果操作不慎很容易出现隐性通道和病毒,这就导致了计算机运行本身漏洞的发生,大大降低了部队的网络安全性,网络受到干扰和窃听等不同威胁。
1.4 信息安全管理问题
网络安全较低和安全管理也有较大的影响,我国针对网络安全出台了多种法律法规,但是在一定程度上实施效果不能满足部队网络发展的需要,管理机制存在比较大的问题,专业管理人才不足,导致安全管理出现问题。问题出现后没有一个较为系统的解决方法;对于整个网络系统在预警防范和反应速度等方面没有特别明确的目标,敏感度比较低,对事情的处理能力不足,整个网络系统没有较为完整的检测和保护制度。网络管理人员的素质较低,没有较高的安全意识。通过有关部门对网络的调查,我国91%的网络都存在不同程度的安全问题。
2 计算机网络的安全策略
2.1 数据加密技术
进行机密文件传输过程中为了避免病毒的侵入,可以在传输的过程中对传输信息进行必要的加密,加密能够有效保证信息在传输过程中的安全性,还可以采用目前最新的信息隐藏技术,在传输过程中进行信息的隐藏,以此来提高信息传输的安全。由于传输的是机密文件,所以,应采用对传输内容进行隐藏并且对隐藏内容进行加密,与此同时,还需要对发送者和接受者进行隐藏,有效保证信息的安全传输,如图1所示,为上网安全桌面加密涉及相关要素。对传输保护方法比较多,比如,隐藏方法、数字水印和指纹等一系列方法,首先把需要传输的文件隐藏到一个特定的文件夹中,在通过网络进行文件夹的传输,这种方法能够有提高网络安全。
2.2 防病毒软件和防火墙的安装
除了对传输数据进行加密之外,计算机本身还需要进行病毒软件和 防火墙的安装,保护计算机软件和硬件的安全,杀毒软件的安装能够对计算机中的病毒进行有效的扫描,并且清除,还可以对系统软件中出现的漏洞进行修复,不但可以对病毒进行清理,而且还可以对计算机中的信息和文件进行实时性的监控,如果出现异常立即清理。防火墙在网络中尤为重要,它是内外部的一个网关,对传输的文件进行过滤,如果出现不安全文件会被防火墙拦截,并且还可以对信息流向进行检测和控制,比如对网络使用情况,IP地址的隐藏和网络结构等。还可以进行系统的安全隔离,控制非法用户的进入,防火墙能够进行安全规则变化方法,对用户的访问时间进行实时性的控制,预防IP地址遭到窃取.如图2为一种较为完善的防火墙体系结构图。
2.3 安全路由器技术
安全路由器在计算机网络安全的保护中也比较重要,在计算机网络中使用安全路由器有多种优势,比如,不同单位之间的内外部网络通过路由器进行有效连接和流量控制等,并且对网络信息有很大的安全保证,在很大程度上还可以对外部未知信息进行阻止,起到对内部网络保护的作用,能够有效的保证各种有效连接,为我国信息安全提供了比较大的安全保证。
2.4 加强网络安全管理
一是强化思想教育,遵守制度:在计算机网络安全方面需要通过政府颁布的法律和各种书籍来提高自身网络安全意识和保密意识,通过对其进行思想教育来提高网络。还可以进行各种培训和讲座来提高思想意识;二是安全管理制度的制定。需要进行专门的网络安全管理部门,部门构成应当完善,根据任务不同进行明确的分工,比如,有专门负责方法的制定和实施监督;有负责信息安全工作和管理;对资料定期备份和不能随意安装不明来源的软件等;三是网络信息安全人才的培养。保证网络信息的安全尤为重要,在此基础上需要对计算机网络维护的专业人才进行必要的技术培训,以此对计算机信息中各环节的正常运行进行有效管理。对专业人才进行管理和实际操作上的培训,以此来提高其设计操作能力和加强实际业务的训练。
3 结束语
进入21世纪,信息化是这个时代重要特征,严格地说国家已经进入了信息化战争,在此前提下,信息化建设直接反映出我国整个经济发展实力,如果网络系统遭到不同程度的破坏,导致部队信息泄露会使机密外泄,机密信息被篡改或者截获,致使整个网络系统出现瘫痪。由此可以看出,网络安全对整个国家的重要性,所以,必须要对网络信息安全进行强化,保证网络信息的安全尤为重要。
参考文献:
[1] 楚狂等. 网络安全与防火墙技术[M]. 北京: 人民邮电出版社, 2000.
[2] 张千里, 陈光英.网络安全新技术[M]. 北京: 人民邮电出版社, 2003.
[3] 香方桂. 软件加密解密技术及应用[M]. 长沙: 中南工业大学出版社, 2004.
[4] 殷伟. 计算机安全与病毒防治[M]. 合肥: 安徽科学技术出版社, 2004.
关键词:金盾网;安全防护体系;信息化
1991年爆发的海湾战争第一次将信息化作战发挥到了极致,掀起了世界性新军革大潮,这也促使我国军事理论从以机械化战争为核心向以信息化战争为核心转变,十政府工作报告中提到要全面加强军队革命化现代化正规化建设,坚定不移把信息化作为军队现代化建设发展方向,推动信息化建设加速发展。与此同时,在军队全面进行信息化建设的过程中,网络安全问题日益严峻,提高军队网络安全防御能力,建立完善的军队网络安全防御体系刻不容缓。
90年代末,我国政府为适应全球信息化趋势,启动政府信息化系统工程――“十二金”工程。“金盾工程”(公安信息化)作为其中之一,自1998年开始实行。消防信息化对实现消防业务办公自动化和消防业务信息共享和综合利用,提高消防部队预防和扑救火灾以及处置其它灾害事故的实战能力,优化消防业务工作流程,实现消防业务管理科学化、规范化,提高工作质量和管理水平等方面,都起到了积极作用。与此同时,由于网络协议的开放性、系统的通用性、计算机自身的脆弱性及在系统平台搭建中的一些不稳定因素不可避免的产生了一些安全问题,这些安全问题将有可能导致病毒传播、非法入侵、信息泄漏甚至整个平台崩溃。因此,如何预防和解决信息化建设中存在的安全问题,使网络更好的服务于当前的消防工作,是信息化建设中亟待解决的问题。
在信息化建设的浪潮中,信息技术对军校教育产生了前所未有的巨大冲击,从教育理念、教育目标到教育环境、教育模式、教育管理,都在这场冲击中发生着变革。我校作为一所培养消防部队基层指挥人才的专业学校,也响应消防部队信息化建设的号召,紧跟网络建设发展的步伐,全面推进我校信息化建设。随着我校规模逐年扩大,信息化建设全面铺开,我校金盾网的安全防护体系也需要随之不断完善。
1 我校金盾网脆弱性分析
根据我校金盾网软硬件部署情况,将我校金盾网脆弱性分析如下:
1.1 软件弱点
第一:首先我校金盾网覆盖面较大,金盾网终端数量大,每台终端根据应用需要都运行着操作系统和一定数量的应用软件,无论是操作系统还是应用软件都由大量的计算机代码构成的。研究表明,正常情况下,每一千行计算机代码,存在5到15个漏洞,假设在我校金盾网终端中运行的这数百万计的计算机代码行中,存在的漏洞中只有一小部分和网络安全相关,这一小部分漏洞中又只有一小部分可以被攻击者利用,那么这样的安全漏洞也有几千个,攻击者往往就是利用刚才所述的漏洞进行攻击,入侵系统的。
第二:我校金盾网终端均安装了“一机两用”监控软件,严禁任何终端同时接入金盾网和互联网,终端不能通过互联下载安装系统和软件补丁,这也成为了我校金盾网终端系统和软件升级难的原因之一,加之使用人员还没有养成良好的使用习惯,网络安全意识还比较淡漠,没有及时在金盾网上下载补丁、升级和更新病毒库,这就不可避免的造成了软件漏洞,让攻击者有机可乘,为病毒传播提供了温床。
1.2 硬件弱点
我校金盾网硬件均使用国产硬件,有效杜绝了国外敌对势力利用可编程硬件,人为在硬件上设置“后门”进行攻击。
1.3 配置弱点
第一:我校的金盾网配置了复杂访问控制策略的防火墙进行保护,防火墙配置了几百条规则用于拒绝和允许各种流量, 由于规则数量较大,准确无误的配置规则对网络管理人员自身的素质要求较高,两方面因素增加了配置错误的几率。
第二:我校金盾网处于建设阶段,各种网络安全措施在不断的完善,网络管理人员对于新的网络安全措施中的硬件配置规则掌握不全面,不熟练,也造成了配置上的弱点。
第三:由于我校网络管理人员自身业务水平的局限性增加了出现配置错误的几率。
1.4 策略弱点
无论何种网络,所遵循的安全策略是基本相同的,由安全策略的不完善引发的安全问题具有一定的普遍性,近年来,各种网络策略弱点屡屡被曝光,我校网络管理人员可以通过各种渠道及时掌握网络安全资讯,调整我校金盾网安全策略,从而避免策略弱点导致的安全问题。
1.5 使用弱点
我校严格执行《公安消防部队计算机信息系统保密管理暂行规定》等网络安全的规章制度,并结合我校实际制定了具体的工作制度。但由于金盾网覆盖面广,终端数量大,干部、士兵以及学员都有一定的权限使用金盾网,使用人员网络安全意识参差不齐、使用经验不足违反了安全策略,造成使用弱点。
2 金盾网安全防护体系的改善
巩固和改善我校金盾网安全防护体系是一个长期的、专业化的、不断发展变化的任务。以技术手段为主,以制度建设为辅,两者相结合,有效的维护我校金盾网的安全、稳定和有效运行。
2.1 金盾网安全管理制度的改善
⑴建立健全物理安全制度。我校金盾网覆盖教学楼、办公楼和各学员大队,网络设备分布广泛,管理存在一定难度,一旦线路和设备遭到破坏,将引起网络中断;包含敏感数据的设备被盗或电磁泄漏,将造成信息的泄露,造成无可弥补的损失,所以维护我校金盾网的物理安全是维护我校金盾网安全最基础的环节。在信息中心等重点环节安装门禁系统,可有效防止无关人员有意无意的造成机房安全事故;配备视频监控系统,全面监视网络设备和线路的安全,可有效防止人为破坏和盗窃等安全事故的发生。为了防止我校金盾网敏感数据通过电磁辐射泄露,根据信息的重要性和防护成本,采取一定的电磁波防护措施;使用磁带、磁盘存放柜,并采取物理保护措施,对载有机密以上内容的磁盘、磁带,需保存在防磁屏蔽容器内;室内采用六类屏蔽双绞线,消除电磁泄漏的隐患,室外远程传输采用光纤。机房内的所有设备、物体表面的磁场强度允许范围在800A/m内,以防磁场强度超标对存储介质上的信息造成破坏。
⑵网络安全日常管理制度。据调查数据表明,80%的网络攻击都来源于网络内部,规范内部用户的网络行为,制定相应的处罚制度,从源头上消除安全隐患是保障我校金盾网安全最为行之有效的制度手段。信息中心、教研室和各学员大队都应建立一套责任落实、目标明确的管理制度,制定出具体安全操作制度、安全监测记录制度以及软件升级制度,将日常的安全管理工作落实到人,部门领导承担起督促的责任。严格按《公安机关人民警察使用公安信息网违规行为行政处分暂行规定》,对我校网上违规行为进行查处,制定责任追究方案,规范责任追究程序,明确责任追究部门,加大通报力度,制定具体的处罚细则,建立督促整改制度。
⑶建立网络安全管理人才的培训制度。提高我校网络管理人员的业务素质,培养网络技术人才也是提高金盾网安全的重要手段。先进的安全防范设施只有由精通网络安全管理技术的人员使用才能发挥作用。我校未来应该和实力雄厚的安全公司、厂家积极沟通交流,定期开展网络安全知识讲座,普及网络安全知识,提高全员网络安全意识;对本身具有计算机网络专业知识的人员进行定期培训,使之了解网络安全形势动态,掌握网络安全先进技术,培养优秀的网络安全管理人才为我校信息化建设注入新鲜的血液。
2.2 金盾网安全技术的改善
⑴防火墙系统部署的改善。鉴于我校金盾局域网和整个金盾广域网的交流联系越来越密切,需要重新考虑一些服务器放置的位置,例如WEB服务器,如果直接将其暴露于防火墙外,无疑是不安全的;现状是:将其放置在防火墙后,防火墙的配置原则是:允许Web信息通过端口80到达Web服务器,这样的配置可以防止攻击者直接攻击网络内部,但是攻击者可以通过端口80攻击Web服务器并获得远程超级用户权限,进而通过Web服务器攻击内部网络。目前,虽然在整个金盾网广域网的内部还没有发生严重的攻击事件,但从整个网络环境上看,网络安全形势严峻,其次从发展变化的角度看,必须未雨绸缪,基于以上理由,提出新的防火墙部署方案。
该部署方案最大的特色就是设置了DMZ(停火区),DMZ的安全性高于外部网络(除我校金盾网以外的金盾网),低于内部网络(我校内部金盾网)。在DMZ中放置公共服务器,例如WEB、FTP、SMTO、POP3、MAIL等服务器,这些服务器只承担数据访问职责并不涉及敏感数据,将数据库系统、应用程序等涉及敏感数据的服务器保护在内网当中。内部网络即可访问DMZ又可访问外部网络,但对访问DMZ做一定的限制,防止内部用户对DMZ进行攻击;一般情况下,对于内部网络和外部网络,DMZ均可访问,但是为了保持内部网络的高安全级别,严格限制DMZ访问内部网络,在必要的情况下,只将内部网络某些特定端口的访问权限授予DMZ;严禁外部网络访问内部网络。设置DMZ的优点显而易见,为内部网络设置了一道保护屏障,任何攻击者企图攻击内部网络必须先突破此道屏障,这显然比直接攻击内部网络要困难的多。
目前,很流行部署双防火墙,层次结构为外部防火墙、DMZ、内部防火墙、这种部署方案的动机在于用内部防火墙来弥补外部防火墙的漏洞,但是防火墙如果没有达到预期的安全效果,问题是在于防火墙的安全配置策略有漏洞或者不完善,部署双层防火墙并不会增加安全性,并且有成本高、管理复杂等一系列问题,基于以上分析,建议我校未来的防火墙部署方案采取以下部署方案,如图:
⑵认证系统的改善。随着信息化建设的推进,将从公安部自上而下按照行政层级建立层级式的证书中心CA,部局二级证书中心为我校设立的三级证书中心颁发身份证书,我校证书中心CA为本信息系统的使用人员颁发证书。同时,我校也将部署总队级权限管理中心,为我校信息系统提供分配和回收用户权限等服务,对我校金盾网系统资源进行访问控制,并且可以实现上下级用户权限的转换以实现与其他各级信息系统的互通。我校金盾网信息系统将逐步实现使用者每人配备一个身份认证设备,以实现身份认证和权限管理的配合。对于认证系统来说,如何正确使用证书关系到整个金盾网信息系统的安全,鉴于证书使用的重要性,提出以下建议:
定期开展网络安全讲座,普及数字证书安全使用方法以及相关管理规定,提高全员网络安全意识;完善数字证书管理机制,建立专门数字证书管理台账,责任落实到人,“谁使用,谁负责”,数字证书一旦遗失,及时上报注销,尽可能降低网络安全风险;对本部门挂职、借调、转业、退休人员数字证书的上缴和变更要做出具体的规定;定期撰写我校数字证书使用情况报告书,分析存在问题,清理从未使用的数字证书,提高数字证书的使用率,充分发挥数字证书的作用。
⑶终端安全系统的改善。调查显示,在全球计算机网络遭受的攻击和破坏当中,八成来源于网络内部,而防火墙,入侵检测系统等传统的安全防护手段往往对来源于网络内部的攻击和破坏束手无策。我国通常采用制度监管的方式监控和审计内部网络行为,而国外多采用了先进的技术手段监管内部网络行为,效果更为明显。我校金盾网终端分布范围广,使用人员杂,人员网络安全意识参差不齐,网络终端安全问题较为突出。从网络终端入手,建立牢固的终端安全体系,才能形成全面立体的安全防护系统。
我校的终端安全体系中除按照规定部署“一机两网”监控软件、补丁分发管理系统和桌面管理系统以外,还部署了“360安全卫士8.1企业定制版”和“病毒防治系统,下面重点分析后两者。
第一:病毒防治系统部署情况
我校网络终端数量大,任何一台终端感染病毒,都将威胁整个网络的安全,影响网络正常运行的性能,建立完善的病毒防治系统是我校网络安全防护系统中必不可少的环节。病毒防治系统查杀潜伏病毒、保护系统抵御攻击、将安全风险降低。我校共设置三个网段,每个网段由一台病毒防治服务器负责,负责训练部网段的病毒防治服务器和负责学员队机关的病毒防治服务器均安装了瑞星杀毒软件服务器端,负责多媒体教学网段的病毒防治服务器安装了卡巴斯基杀毒软件服务器端,各终端上均安装防病毒客户端软件。这三台病毒服务器定期升级病毒库和主程序,然后再升级各自负责的防病毒客户端,形成了体系化的病毒防治系统。我校多媒体终端分布于教学楼各层的每间教室,承担了我校绝大多数的教学工作,此外还承担了转播教育等一系列日常工作,接触人员多,使用频繁,感染病毒的风险大,感染病毒的种类杂,在负责这一网段的病毒防治服务器上安装卡巴斯基杀毒软件,是鉴于该软件在世界杀毒软件排行榜位居首位,杀毒性能卓越,可实现真正意义上的带毒杀毒,使用它在这一病毒形势严峻的网段,更能确保全面的查杀病毒。但卡巴斯基杀毒软件的缺点也是显而易见,运行时大量占用内存,升级频繁,影响系统运行速度和功能,鉴于此,在使用人员相对单纯的训练部网段和机关各学员大队网段安装了瑞星杀毒软件服务器端的病毒服务器进行管理和控制,既可以保证查杀病毒的需要,又能确保系统性能的稳定。
第二:360安全卫士8.1企业定制版部署情况
安装360安全卫士8.1企业定制版的主要目的在于便于我校信息中心的网络管理人员监管我校所有的计算机终端和我校终端用户主动维护计算机终端安全运行环境,360安全卫士在查杀插件、木马,修复系统,修补漏洞方面功能非常强大,弥补其他终端安全手段的不足,巩固终端安全系统。
[参考文献]
[1]贺雪晨.信息对抗与网络安全.清华大学出版社(第2版),2010,5.
关键词:信息化建设;网络安全;发展现状;对策措施
如今信息化系统建设迅速发展,开放的网络带来了优势,同时开放性的存在也导致了许多安全方面的漏洞,诸如信息窃取、黑客攻击、网络恶意行为等,维护网络安全的压力越来越大。
一、信息化系统网络安全标志
(一)系统正常运行。系统正常运行是指信息化系统能够安全运行,避免出现系统损坏或崩溃而导致系统中需要传输、处理以及储存的信息出现损失或破坏。(二)系统信息安全。系统信息安全包含数据加密、病毒防治、安全问题跟踪、安全审计、方式控制、数据存取权限、用户存取限制以及用户的口令鉴别等内容。(三)网络信息安全。网络信息安全是指信息的保密性、完整性、可用性、可控性,防止攻击者利用系统安全漏洞对合法用户的信息进行诈骗、冒充以及窃听等。(四)传播途径安全。传播途径安全是指采取信息过滤,对有害和非法的信息进行控制及制止,防止在公用网络上出现大量失控的自由信息传输。
二、信息化系统网络安全威胁
(一)网络软件存在安全漏洞。系统的很多软件使用一段时间后,不可避免地会出现缺陷,需要及时补丁来进行漏洞弥补;系统使用的一些商用软件,源程序会逐渐变得公开或者半公开化,存在漏洞容易被攻击;管理员为方便维护管理,设置远程终端登录,加大了病毒或者黑客攻击的可能性,给网络系统造成了很大的安全漏洞。(二)网络协议存在安全缺陷。系统使用的基本协议TCP/IP存在着较多安全缺陷,主要包括:应用层协议中的SMT、FTP等协议缺乏保密以及认证措施;以软件所配置的IP地址为基础,形成地址欺骗以及地址假冒;现有的IP地址可以支持源路由方式,在一定程度上为原路由的攻击提供了条件。(三)产品技术不能完全国产。目前,任何一个国家的信息技术发展不可能尽善尽美,完全依赖自主研发,我国也不例外。有调查数据显示,我国有67%左右的信息产品与技术都是从国外进口的。因此,信息化系统建设不可能达到完全国产化,硬件设施和操作系统难免会使用国外产品,这就可能存在安全陷阱,使网络安全管理受制于人。
三、信息化系统网络安全防护
(一)防火墙技术。在信息化系统中使用防火墙技术可以使数据、信息等在进行网络层访问时产生一定的控制。经过鉴别限制或者更改越过防火墙的各种数据流,可以实现网络安全保护,极大限度地对网络中出现的黑客进行阻止,在一定层面上可以防止黑客恶意更改、随意移动网络重要信息。(二)安全检查技术。安全检查技术主要用于对用户的合法性进行鉴别,在鉴别过程中,通常需要用户输入口令,由于口令本身较容易被猜到以及失窃,可能增加黑客入侵的几率。为了提高其安全性,用户可使用更为可靠、稳妥的认证方案,经过身份认证的技术可以在一定范围内保证信息的完整性机密性。(三)数字签名技术。所谓签名就是验证用户真实身份的一种独有信息,数字签名技术在使用过程中,通常采用解密、加密的方式对报文的数字签名进行实现。决定其安全性的主要因素就是密码体制的安全程度,随着密码体制的不断改进,其安全性也会随之提高。(四)入侵检测技术。防火墙只是保护内部的网络不被外部攻击,对于内部网络存在的非法活动监控程度还不够,入侵系统就是为了弥补这一点而存在,它可以对内部、外部攻击积极地进行实时保护,在网络受到攻击前就可以将信息拦截,提高信息的安全性。(五)漏洞扫描技术。如今网络不断复杂且变幻莫测,仅仅依靠网络管理员进行安全漏洞以及风险评估显然不行,只有依靠网络的安全扫描工具才可以在优化的系统配置下将安全漏洞以及安全隐患消除掉。在某些安全程度较低的状况下可以使用黑客工具进行网络的模拟攻击,这样可以一定层面地将网络漏洞暴露出来。
(六)密码技术。密码技术就是使用密码机对明文信息进行组合、交换,产生密文,然后将加密的信息在网络上传播。恶意者若将密文截获,必须进行正确的解码才能获取有用信息,否则也是徒劳无获,这就在一定程度上避免了信息的泄漏。(七)侦听监测技术。使用配置分析软件来对网络进行扫描,一旦发现原有的设置参数出现了改动,就必须采取相应的措施来对其进行处理。对内部网络中的违规操作行为进行实时监控。其响应对策主要有发送警告信息,拒绝存储。
作者:王艳 单位:93897部队
参考文献