网络安全管控措施
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全管控措施范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全管控措施范文第1篇
关键词:内部信息网络;信息安全;管理
中图分类号:F270.7 文献标志码:A 文章编号:1674-9324(2014)21-0018-02
做好企业信息安全管控工作,首先要结合所在企业的实际情况,了解来自内部和外部环境的主要威胁,抓住工作重点,发现解决难点问题。下面就信息安全管控的一些重点和难点问题,谈一点看法。
一、信息安全管控的重点
我们常说,“信息安全控制三分靠技术、七分靠管理”,尤其是对非IT行业来说,它首先是信息系统的使用者,其次才是运行和维护者。它的内部信息网络运行人员,可能仅占到总人数的1%甚至更低。所以技术措施主要是作为管理人员的手段来发挥作用,维持信息网络安全稳定运行,最重要的还是明确管理制度、细化安全职责、加强监督考核。大部分企业的内部网络出口,都装有防火墙和入侵检测系统,理论上说一个外界的入侵者想绕过防火墙和入侵检测系统进入到企业内部网络进行非法操作,难度很大。
二、信息安全管控的难点
随着企业各项业务的信息化,其信息资产的价值也在迅速提升,这势必会吸引一些有目的性的内部或外部威胁,从而带来信息安全性的下降。信息系统可用性已经不再是信息安全管控的唯一目标,系统数据的保密性和完整性也已经成为了信息安全工作的重要内容。在信息网络运行工作中,这就需要我们关注更广的范围,监控更多的节点,进入更多的层面。
同时我们必须认识到,在某些方面,信息安全性的提高是以降低应用的便利性为代价的。例如:一些员工为了避免一系列限制,不使用企业统一的外网出口,而是自己利用3G上网,虽然有很强的自由性,也能提高访问速度,但是这样就打开了一个不经过防火墙和入侵检测系统的外网接口,一旦外部有影响恶劣的新型病毒爆发,病毒就可以在信息管理人员做好准备之前入侵内部网络,造成较大的安全事故。安全性和便利性的这种冲突,需要我们针对网络和信息系统重要程度,划分级别,寻找一个两者之间的平衡,在达到安全标准的前提下,提高应用的便利性。
三、安全管控的实施原则
基于以上理解,在企业内部信息网络中进行安全管控措施规划、实施时,可以遵循以下原则。
1.整体性原则。从应用系统的视角,分析信息网络的安全的具体措施。安全措施主要包括各种管理制度以及专业技术措施等。一个较好的安全措施往往是多种方法适当综合的应用结果,只有从系统综合整体的角度去看待、分析,才能选取有效可行的措施,着重加以落实。
2.平衡性原则。对于一个计算机网络,绝对的安全很难达到,也不一定非要达到不可。应结合企业实际,对其内部网络的性能结构进行研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后选取急需落实执行的规范和措施,确定当前一个时间段的重点安全策略。
3.一致性原则。一致性原则主要是指网络安全措施应与整个网络的生命周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设的开始就有前瞻性的考虑到网络安全问题,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
4.容易性原则。安全制度需要人去遵守,安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
5.动态性原则。企业信息系统的应用范围将越来越广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。应该随着企业信息化的发展,不断完善现有网络安全体系结构,适时增加或减少应该重点落实的安全措施。
6.多重性原则。任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,采取多项安全措施进行多层防护,各层防护相互补充,当一层保护出现漏洞时,其他层仍可保护信息网络的安全。
四、安全管控的重点措施
信息安全的保障,还要靠制度细则的执行,具体措施的落实。近几年来,在电力行业内部,各级单位制定了一系列的安全管理措施,来保障内部信息网络的安全可靠。
1.“不上网、上网不”,切实避免将的计算机、存储设备与信息网络连接,避免在接入外部网络或互联网的计算机设备上存储、处理、传递信息或内部办公信息。
2.计算机接入信息内网必须严格执行审批登记制度,使用规范的计算机名称,实现IP和MAC绑定。必须纳入企业统一的域安全管理,接受统一的监管。
3.执行统一的互联网出口策略,禁止单位和个人私自设置互联网出口。
4.接入企业信息内网的计算机设备,应严禁配置、使用无线上网卡等无线设备,严禁通过电话拨号、无线技术等各种方式与互联网互联。信息内网应避免使用无线网络组网方式。
5.在计算机的运行使用中,所涉及到的用户帐户应执行口令强度的要求与定期更换的规定,采取有效措施监控、发现、并及时修改弱口令,防止被他人利用。应禁止内部员工未经授权侵犯他人通信秘密,擅自利用他人业务系统权限获取企业电子商密信息。
6.应使用企业集中统一的内外网邮件系统,接受统一的内容审计管理。对于在外部网络和互联网上传输的内容,也要采用加密压缩方式进行传输。
7.连接内网的传真、打印、复印一体机,应切断电话线连接,取消智能存储功能。应禁止将普通移动存储介质和扫描仪、打印机等计算机外设在信息内网和外部网络上交叉使用。
网络安全管控措施范文第2篇
关键词:地县一体化;后台网络;MAC地址绑定;安全管控
中图分类号:F270.7 ; ; ; ; ;文献标识码:A ; ; ; ; ;文章编号:1007-0079(2014)17-0123-02
调度是智能电网六大环节(发电、输电、变电、配电、用电和调度)之一,是电网运行的中枢,指导电力系统的整体运行,负责系统内重要操作和事故处理。调度自动化系统作为电网运行控制的基础,其性能好坏对电网的安全经济运行起着重要作用。
为满足国家电网公司“大运行”体系建设的要求,实现调控运行的“标准化、一体化建设,精益化、集约化管理”,合理利用调度自动化系统建设资金,优化配置大二次系统运行维护资源和技术资源,近年来许多地区开展了地县调控一体化自动化系统建设。地县调控一体化自动化系统建设的快速推进使计算机网络成为电网调度机构的主要技术支撑平台。随着地区调度自动化系统后台网络覆盖面快速扩大,系统接入信息点数量倍增,系统后台网络的安全隐患也在逐渐增大。系统网络应用和功能不断增加,促使电力生产对调度自动化系统后台网络的安全性、稳定性、可靠性提出了更高的要求。[1]本研究通过分析地县调控一体化自动化系统后台网络安全现状,采取相应的技术措施完善交换机配置,并制定配套的设备接入管理措施,为地县调控一体化自动化系统后台网络管理工作提供了一种行之有效的安全管控策略。
一、当前系统网络安全存在的问题
在地县调控一体化自动化系统中,后台网络作为整个系统的骨架,承担着传输前置实时数据以及后台同步数据的重要责任,是实现自动化数据采集和系统有序工作的基础设施,网络的安全稳定是保证地县一体化系统安全、正确运行的基础。据统计,目前地县调控一体化自动化系统后台网络安全工作存在以下几个问题:第一,调度自动化系统实行地县调控一体化后,任何一台存在错误配置的服务器或工作站接入后台网络都可能引起自动化系统SCADA(数据采集与监控)服务器消息接收异常,严重时甚至会带来网络风暴,影响整个一体化系统的运行。由于缺乏规范的设备接入管理措施,该类故障发生后故障源难以快速定位,对调控运行人员的监控工作带来影响。第二,调度自动化系统后台网络接入信息点的增多,超出了网络管理员的人工监管范围。许多县局存在私自从接入层交换机或现有接入点挂接HUB等网络设备的情况,任意接入或搬移工作站的行为在给系统安全带来威胁的同时也会导致自动化资产管理混乱。第三,外部人员(如厂家)所携带的计算机设备随意接入后台网络,极有可能给电力调度自动化系统带来病毒、木马甚至恶意攻击。[2]第四,地县调控一体化运行模式实施后,每个地区分别配备两台接入交换机。除地调接入交换机与地县一体化汇聚交换机置于地调外,其他接入交换机分别布置于备调及各个县局。当前接入交换机设备未开启远程访问功能,给网络维护人员的故障排查及处理带来困难。同时,接入交换机设备未配置任何登陆身份认证机制,交换机配置可轻易被篡改,存在安全隐患。
综上所述,网络维护人员急需对地县调控一体化自动化系统后台网络采取一定的整改措施,以实现对网络中接入的交换机、工作站及服务器等设备的有效管理,确保一体化系统后台网络的安全稳定运行。
二、制定解决方案及措施
地县调控一体化调度自动化系统改变了过去地区、县局自动化系统分散建设的模式,其网络运行、维护管理模式也必须与之相适应,做出适当调整。本文提出的地县调控一体化自动化系统后台网安全管控策略通过对调度自动化系统后台网交换机实施一系列的安全措施,同时配合后台网设备接入相关管理流程的制定,达到对后台网的安全管控目的,防止电网调度自动化系统后台网遭受非法设备入侵。
1.主要实施步骤
一是开启基于口令的SSH远程访问功能,设置交换机console口登陆密码与IP访问控制表,指定所有接入层交换机只能通过地调指定服务器进行远程登陆访问。该措施可有效提升网络设备的安全性,并缩短网络故障排查及处理时间。二是通过交换机指令查询各端口的状态信息。根据图1所示方法对交换机端口进行归类,制作《地县调控一体化后台网设备接入信息表》。表格主要登记了一体化系统后台网络所有接入层交换机各端口的设备连接信息,内容主要包括接入设备的机器名、IP地址、MAC地址、所连端口号、所连交换机名称等。然后关闭无任何设备连接的闲置端口。三是核查《地县调控一体化自动化系统后台网工作站接入信息登记表》的信息与实际情况是否相符,纠正不正确的设备连接,并及时更新信息登记表。四是根据核查更新后的《地县调控一体化自动化系统后台网工作站接入信息登记表》,对有设备接入的非级联端口进行端口MAC地址绑定,交换机级联端口不做绑定。
2.交换机配置方法
本文提出的后台网络安全管控策略的关键措施是实施了交换机端口MAC地址绑定技术。以下以思科C3560交换机为例阐述该技术的主要实现方法:[3]
(1)当交换机端口只连接一台工作站时,可进行如下配置:
Switch#config terminal
Switch(config)#interface 端口号
//输入配置端口号
Switch(config-if)#switchport port-security mac-address Mac地址//给端口添加安全MAC地址
Switch(config-if)#switchport port-security maximum 1 //限制此端口允许通过的MAC地址为1
Switch(config-if)#switchport port-security violation protect //丢弃违规访问设备的数据包,不发警告
(2)当交换机端口通过挂接HUB或其他交换机设备(非接入交换机)连接多台终端设备时,使用如下配置方法:
Switch#config terminal
Switch(config)#interface 端口号//输入配置端口号
Switch(config-if)#switchport port-security mac-addressMac地址1 //给端口添加安全MAC地址1
Switch(config-if)#switchport port-security mac-addressMac地址2 //给端口添加安全MAC地址2
Switch(config-if)#switchport port-security mac-addressMac地址N //给端口添加安全MAC地址N
Switch(config-if)#switchport port-security maximum N //限制此端口允许通过的MAC地址数量为N
Switch(config-if)#switchport port-security violation protect //丢弃违规访问设备的数据包,不发警告
三、制定相应的安全管理流程
接入交换机安全配置的完善及端口安全技术的实施是一个可行的局域网管理方法,但在使用该策略时,必须建立配套的管理制度并有效执行,这样才能使该安全策略起到良好的持续的效果。[4]本文提出的安全管控策略除了实施相关技术措施外,还制定了配套的管理措施:
第一,根据《地县调控一体化自动化系统后台网工作站接入信息登记表》绘制了《温州地县调控一体化自动化系统后台网交换机连接拓扑图》及各接入层交换机设备连接状况拓扑图,为网络维护与故障排缺工作带来极大便利。第二,制定《地县调控一体化后台网设备接入管理规程》,规定当新设备需接入后台网或老设备需更换接入端口时,必须按要求填写《地县调控一体化后台网设备接入申请表》,地调侧网络管理人员与县调侧维护人员确定设备接入时间后,按照申请表信息对相应交换机进行具体安全配置。当有多台设备需要接入网络时须按顺序逐台连接。每接入一台设备必须检查地县调控一体化自动化系统应用及网络状态是否异常,若一切正常再继续接入第二台设备。若系统有异常现象出现(如其他工作站的网速被明显拖慢),则立即将该设备断网,检查该设备是否存在配置错误,错误消除后方可接入后台网,以此实现对接入设备的风险管控。
自动化网络管理员对交换机实施安全措施的流程如图2所示。
四、 结语
基于地县调控一体化调度自动化系统的后台网安全管控策略目前已实际应用于温州地县调控一体化自动化系统的网络安全管理。该策略的实施有效降低了温州地区自动化系统后台网络的故障发生率,提升了网络运行的稳定性,并推进了地县调控一体化建设管理工作的规范化。
参考文献:
[1]叶芸.浅议电力调度自动化网络安全与实现[J].科技传播,2011,
(4):161-162.
[2]张才俊.交换机端口安全策略在网络中的应用案例[J].科技资讯,2009,(31).
[3]汪宇昕.MAC地址与交换机端口的绑定――交换机端口安全配置[J].统计与管理,2009,(10):28.
网络安全管控措施范文第3篇
【关键词】现代网络安全;云安全技术;模式
1云安全技术概述
1.1云安全技术内涵分析
近几年,由于网络技术的大面积普及,网络安全问题成为了社会关注的重点,如何建构系统化的网络管理模型,需要相关部门结合实际需求提升管控层级的实际水平,并且利用新型管理技术进行管理升级。云安全技术是一种新兴技术,是在云计算和云存储项目发展起来后产生的技术体系。并且,在经过网络技术和云计算技术后,云安全技术融合了相关优势,提升整体管理效果和管控需求,确保升级模型和运行维度的最优化。在技术运行机制建立过程中,不仅能有效处理网络计算过程以及未知病毒,也能对不安全行为进行集中判断,从而建构系统化的升级模型和安全控制规划,从根本上升级网络信息安全要求。在云安全技术实际操作过程中,能实现对数据和信息的综合管理,确保相关管理维度能得到有效传递,通过网状客户端有效监测网络中相关软件的实际问题,并且针对具体问题提出有效的改善措施。值得一提的是,能对互联网结构中的木马病毒以及恶性程序软件进行集中的处理和消除。并且,要对其进行综合维护和集中管理,确保新信息传达机制能得到有效处理和综合控制,利用Server端自行分析和系统化处理。从而有效升级整体控制模型的实际效果,积极建构优化客户端模型。也就是说,在云安全技术应用模型中,要结合互联网维度提升整体管理效果,确保相关平台的有效性。既能监测带有恶意性的软件,也能有效处理系统中的病毒,确保管理效果和应用模型的最优化。云安全技术不再是以往的单机杀毒模式,转变成为网络化防毒模式,将传统被动管理维度转变为主动管理。
1.2云安全技术特征分析
在云安全技术运行过程中,要结合技术模型的基本特征,建立健全完整的管控模型,能实现病毒查杀能力的纵向提高。也就是说,在技术应用体系中,能结合相关管理维度和处理措施,对“云安全”项目进行综合分析,确保病毒软件体系的稳定性。在云技术应用过程中,需要结合相关技术模型进行综合分析,并且根据实际情况进行自身改良。其一,多数安全厂商会结合市场要求和具体软件结构,开始改进自己的病毒软件,以满足市场。在实际软件结构应用过程中,其实际的病毒处理能力以及收集能力都会得到有效提升。不仅仅是病毒处理能力,对于一些特殊问题也能建立具有针对性的系统模块。其二,在软件升级的过程中,技术人员能对相关参数进行系统化升级,并且保证其反病毒对抗时间,一定程度上优化了实际处理效率,也就是说,在样本采集后能直接建立有效的处理措施,保证病毒处理效果的最优化。其三,在实际技术应用和处理过程中,逐步实现了智能化发展框架,也能为用户提供更到位的服务,从根本上减少相关处理机制对于用户的影响。
1.3云安全技术优势分析
在云安全技术应用过程中,具有一定的软件处理优势。对于安全厂商来说,只需要借助网络渠道实现杀毒处理,减少了人力物力投资,不仅能提升工作效率也能有效处理相关问题。对于用户而说,要在实际管理机制建立过程中,为了不损坏电脑的能源,提升杀毒效率也能实现资源的有效利用,提高病毒查杀能力,减少消耗水平。
2现代网络安全中应用云安全技术的模式分析
在网络安全中应用云安全技术,针对广大互联网用户,能在提高管理效果的同时,确保管理维度和管理效果的最优化。第一种模式,主要集中在国内,一些软件安全厂商针对实际问题建立并设计了相关软件,在软件中能对病毒以及具体问题进行有效处理。面对的对象主要集中在互联网用户,要想实现有效的杀毒操作,就要在用户的客户端上安装相应的软件,从而对异常情况集中提取并消除,建立针对性的处理报告,根据用户需求进行系统漏洞查杀。在这种处理模式中,对于发现的恶性程序以及木马病毒要对其特征进行集中收集和上传,具体软件就会在服务器上对其展开有效分析和解构,提出相应的解决方案和相关补丁,对病毒和木马进行集中处理。第二种模式,是一部分科技公司提出的安全云系统,是一种云端客户端,能保证其安全性,建立在Web信誉服务体系上。在实际应用过程中,病毒特征会以文件的形式保留在互联网的云端数据库中,进行集中验证和校对,利用服务器群对其进行综合处理,优化并行能力的同时,对威胁用户的病毒展开阻拦操作,从而有效处理,充分发挥其保护网络的重要作用。在系统运行过程中,不仅仅能有效感知未知威胁,也能提升客户的实际体验。
3结束语
总而言之,在云安全技术应用过程中,要建立健全完善的管理机制和控制模型,确保防御水平的综合提升,优化用户的实际体验,实现计算机保护机制的可持续发展。
参考文献
[1]汤永利,李伟杰,于金霞等.基于改进D-S证据理论的网络安全态势评估方法[J].南京理工大学学报(自然科学版),2015,34(04):405-411.
[2]刘玉岭,冯登国,连一峰等.基于时空维度分析的网络安全态势预测方法[J].计算机研究与发展,2014,51(08):1681-1694.
[3]李赛飞,闫连山,郭伟等.高速铁路信号系统网络安全与统一管控[J].西南交通大学学报,2015,26(03):478-484,503.
网络安全管控措施范文第4篇
关键词:民航空管;计算机;网络安全
0引言
保障民航空管的信息网络的安全性,是国家维护网络信心安全工作的重中之重。但是因为网络存在一定的开放性,因此很容易受到各种因素的影响与攻击,导致民航空管的机密性或重要文件与信息被不法分子窃取与泄露。因此我国民航空管要加强对计算机的网络信息安全的管控与保护。
1民航空管的计算机网络安全重要性
在“互联网+”发展的新业态环境之下,各行各业都逐渐开始凭借互联网技术来获取更强的竞争力。而民航空管部门也需要与时代相挂钩,将信息技术、计算机技术、互联网通讯技术融合起来,从而提高民航空管的现代化管理水平以及数据处理能力。另一方面,计算机网络技术为民航空管实现了信息的共享、资源的优化配置。但是由于计算机网络安全问题一直在困扰着民航空管部门,以及网络环境的复杂、病毒入侵的手段日益更新,使得民航空管的重要文件与机密信息的安全性得不到确定的保障。如果被黑客入侵,就对国家的民航空管信息造成泄露与丢失,给民航企业造成严重打击。因此加强对计算机系统的安全管理,是目前民航空管部门迫切解决的问题之一。
2民航空管的计算机网络安全存在的问题
2.1操作系统不完善
大部分电脑黑客多数情况会首先从计算机的操作系统下手,如果操作系统存在漏洞,就很容易遭到外网的攻击,通过植入病毒文件,致使电脑系统瘫痪。而且在网络环境中传输文件,计算机对安装程序的执行系统也存在缺陷,如果在加载程序中或者是文件传输的过程中,一旦某一环节出现漏洞,就会致使系统整个瘫痪,机密文件被窃取或者丢失。而在调用和创建程序时,如果中间任意环节出现问题,将有可能致使通信环节遭到监控,甚至有可能被破坏。另外电脑黑客也会充分利用民航空管的计算机操作系统后门,以防止安全控制,从而为民航空管的计算机网络安全造成重大的威胁。
2.2网络环境问题
随着互联网的功能越来越复杂,支持的数据系统也越来越复杂,从而给民航空管部门的计算机网络安全管理提出了更高的要求。大多数的民航空管的计算机网络信息都需要通过利用电信的网络基础设施,并且对重要信息进行远程的维护与管理。一切工作都是需要借助电信运营商来进行的,因此在这样网络环境中,民航空管的重要信息就很容易遭到篡改与窃取。另外很多民航空管部门在创建计算机网络安全管理系统时,容易出现重功能轻安全的情况。还有网络技术人员对于安全防护的意识不强,技术水平较低,也是导致网络安全问题迟迟得不到解决的重要原因。
3民航空管中计算机网络安全管理策略
3.1健全计算机网络安全管理规章
制度是保障与约束管理行为的根本手段,民航空管部门应该建立健全计算机网络的安全管理规范条例,制度措施等,让安全管理趋于系统化、科学化与合理化。并明确计算机网络安全系统的建立、维护与管理等目标与要求。建立责任追求制度与奖惩措施,并将制定完善的制度规章严格贯彻落实。
3.2加强计算机网络的安全监管
由于计算机网络具有较强的变化性与开放性,所以安全监管也要将各种影响因素考虑进去。与时俱进,学习与借鉴先进的民航空管的计算机网络安全监管技术与手段,从而将不安全因素排除出去。在日常的安全监管中,要充分利用检查列表、资产信息收集系统等手段来把控计算机网络的风险性。此外还要加大科研的力量,不断创新监管技术,从而提高计算机对数据分析以及安全隐患的排查能力。
4培养专业化的技术人才
专业的技术人才是保护民航空管的计算机网络信息的主力军。强化引进机制与培训机制,引进有创新意识、安全技术与有经验的复合型人才,其次要加强岗前培训与岗中学习,实行“走出去”与“走进来”,派遣优秀技术人员到国外学习先进的技术与安全管理手段;还可以让国外优秀的技术人员到部门进行系统的指导与传授。此外还要不断加强计算机网络技术人员的法律意识、责任意识以及职业道德素养水平。
5民航空管中的安全管理的技术手段
5.1防病毒技术
防病毒技术主要包括三个方面:预防病毒、检测病毒与消除病毒。预防病毒技术,主要是指要监测计算机系统的运行、保护磁盘以及控制计算机的读写、加密技术的执行等,旨在防止潜在病毒的入侵。病毒检测技术能够有效降低病毒对数据的影响程度,加强对病毒的防范与抵制,组织病毒的入侵。病毒检测技术主要是围绕病毒的特征、关键字以及传播方式进行分类病毒与检测病毒。而消除病毒就是在检测的条件下,运用杀毒技术来对计算机病毒进行消除。而现阶段病毒预防技术的最新功能就是将检测与消除功能完美的融合在一起。不只包括对病毒的自动、准确的识别功能,更能对计算机系统进行杀毒,能够有效地清除计算机中的病毒。但是对病毒的消除势必是滞后的,一旦病毒类型更新,消除技术就失去了对病毒的控制能力。
5.2用户认证技术
对不同级别的用户给予相对应的授权,也就是用户信息技术的运用。通过数字签名、人脸识别、指纹认证以及身份信息认证等技术手段,成功抵制非法用户侵犯计算机,窃取文件信息。比如说数字签名的用户认证技术,主要是保障用户签名信息的完整性与真实性,并且也包括了认证信息发送方的身份信息的功能。数字签名技术的应用主要是根据非对称性的加密算法实现的,也就是指用户相当于拥有了一对密钥。数字签名的具体过程是:首先由信息发送方对拟签名信息采取数字摘要运算法进行计算,然后将运算出来的摘要信息和上下文信息或者是认证算法等随机信息进行语法组合之后,利用密钥进行加密之后继而可以生成数字签名信息。而已被签名的数字信息会对会话密钥进行加密之后一并传送给对方。信息的接受方收到以后,就会通过会话密钥对原始信息进行解密并运算,然后与发送方所得出的摘要信息进行比较,如果相同则信息真实。而对摘要信息引入随机的信息则是为了提高数字签名技术的随机性。
6防止不法人员入侵检测技术
防入侵检测技术又简称为IDS,它主要负责对非法与非授权用户以及授权合法的误用用户的权限与行为进行识别,可以检测到非授权用户对计算机系统文件、用户文件与信息、网络组件中表信息以及计算机资源的篡改与使用。现在不法入侵检测技术已经得到广泛应用,并取得较为显著的效果。防止不法人员入侵的检测技术是将异常的检测与特征检测相结合,并对其进行全面与系统的检测,从而防止系统与操作程序存在漏洞。检测技术不仅对计算机网络信息系统中的外部入侵有效,更加能对内部入侵起到检测与防控效果,通过采取警报与拦截等措施,比如说防火墙对存在问题的操作系统的检测。防入侵检测方法主要包括以下几种:
(1)异常检测。该方法也被叫做是基本行为检测,是对系统或者用户非正常操作行为以及计算机资源在非正常情况下使用行为进行检测。比如说如果用户使用计算机的时间是早上9点到下午5点,而在晚上用户对计算机的操作是异常的,则很有可能计算机被非法或非授权用户入侵了。异常检测最大的优势在于可以对未知的入侵方法进行检测,但是由于无法对用户行为进行全面描述,因此误检率很高。
(2)统计异常检测。该法主要是运用异常检测器来对主体活动进行观察,最终刻画出该主体的行为轮廓,并定时将存储轮廓与当前轮廓进行合并,通过二者之间的重合度来判断主体的异常行为。其最大的优势在于可以掌握用户对计算机的使用习惯,来提高检测率与实用性。
(3)误用检测是通过已知的入侵模式来检测。误用检测可以通过汇总过往的入侵模式来对新入侵者进行匹配,如果正好符合模式库中的一种,即被检测出来,入侵模式表明了误用事件中的条件、特征、关系与排列。
7安全扫描技术
安全扫描技术可以将安全隐患进行深度排查,在为进行入侵动作时,就将危险因子扫描出来,提高计算机网络信息的安全性,是属于主动防范的一种安全措施。现阶段我国的计算机网络信息系统中的安全扫描技术有两种,一种是检测计算机网络,提前设计好脚本文件,对计算机网络系统攻击,并发现其系统漏洞。另一种是计算机的主机对于系统的检测,检测对象是计算机系统中是否含有不合理的设置与口令,是否存在与网络安全法令法规不相符的内容等。到现在为止,计算机的完全扫描技术已日渐成熟。安全扫描技术主要分为主机形安全扫描器与网络型安全扫描器。主机型安全扫描器主要对本地的主机进行木马、病毒、蠕虫等恶意程序的查杀,还包括口令解密、补丁等功能。网络型的安全扫描器主要是运用网络来对主机的安全性进行测试,主要对可能被远程恶意攻击的安全隐患、漏洞以及安全脆弱点进行查杀。
8结束语
综上所述,民航空管部门加大对计算机网络的安全管理对保障民航安全以及提高国家的综合实力都有着非常重要的推动作用。民航企业要积极引进新的计算机病毒查杀技术,结合本国实情,将安全防护手段有效融合在日常的计算机系统的安全管理中。通过建立完善的操作系统、健全病毒检测、防入侵以及查杀功能等措施,让病毒无机可乘;保护好民航空管的计算机网络系统。
参考文献:
[1]许婷.民航空管中计算机网络信息安全分析[J].硅谷,2014.
[2]张瑞.民航空管中的计算机网络安全分析[J].信息通信,2015.
[3]丁亚平.关于民航空管中计算机网络信息安全探讨[J].现代经济信息,2015.
[4]赵世季.民航空管网络信息安全对策分析[J].硅谷,2013.
[5]靳红志,于洋.对确保民航空管网络信息安全可靠的措施分析[J].电子制作,2013.
[6]蔡明.民航空管网络与信息安全保障的实践与思考[J].中国民用航空,2016.
[7]尚杰.民航空管中计算机网络信息安全分析[J].文摘版:自然科学,2015.
网络安全管控措施范文第5篇
关键词:生物免疫; 多维网络安全; 开放式管理框架; 安全联动
中图分类号:TN915.08-34; TP393文献标识码:A文章编号:1004-373X(2011)21-0122-03
Research on Security Model of Multi-dimensional Campus Network
SUN Xiao-le, GAO Dong-huai, JIN Hao-jie
(Network Center, Fourth Military Medical University, Xi’an 710032,China)
Abstract:
The basic principle of biological immunology is introduced, which was used in the design of multidimensional campus network security model. Several important clues for constructing a robust network security system by biological immunology system are analyzed. Moreover, the inter-operation and interaction management requirements of network security products (belongs to the network security layer) are analyzed. The related technologies of open system management framework OPSEC are introduced. The implementation of interaction management between network security monitoring system and other security products is studied, such as firewall and IDS. All of these make campus network more secure.
Keywords: biological immunology; multi-dimensional network security; OPSEC; interaction of security
1 校园网络存在的严峻安全问题
随着网络应用的深入,校园网所面临的安全问题也日益严峻。当前校园网络采取的安全防御技术手段主要有部署安全路由器,加强用户接入认证等等,这些防御手段对防止系统被非法入侵有一定效果,但由于它们是被动方式的防御,针对性和灵活性不强,对未知攻击的防御效果不明显,防护措施的有效程度仅在网络层以下[1],不能起到很好的整体防御效果。
防火墙和入侵检测系统在一定程度上能有效弥补被动防御的不足,提供对内、外部攻击和误操作的实时保护。但是传统集中式架构是在网络的不同网段放置一个或者多个传感器来搜集信息, 然后将这些信息传送到控制中心进行处理和分析[2]。这样的集中处理存在着如控制中心负荷太大、网络传输时延较为严重、网络性能降低等诸多问题,特别是在异构、高速的校园网络中这些问题就显得尤为突出。校园网安全面临着各种挑战,这也对网络安全技术提出了更高要求。智能联动管理机制、生物神经网络和免疫原理等在计算机网络安全领域的融合和使用已成为行业主要发展趋势。本文主要研究怎样借鉴生物免疫原理和智能联动管理机制来构建一个安全可信的网络计算环境。
2 生物免疫原理与应用
网络安全问题与生物免疫问题具有惊人的相似性:二者都要在不断变化、恶意丛生的外在环境中维持系统的内在安全[3]。计算机安全系统的构建可以借鉴生物免疫系统多种有效的问题解决机制。
生物免疫系统是生物体长期进化过程中不断地适应环境而产生的,它包括天然免疫和获得性免疫。天然免疫与生俱来,对各种病原体都有一定的防御功能;获得性免疫主要由自适应免疫系统(由淋巴细胞组成)产生。根据免疫功能的不同,淋巴细胞可以分为B,T两种[4]。B细胞通过分泌抗体与抗原相结合,以实现对抗原的清除,T细胞在免疫反应过程中能刺激和抑制B细胞的增殖和分化[5]。对免疫调节有重要的作用。获得性免疫系统在“初次响应”抗原之后,免疫系统便使用免疫记忆来记住抗原特征;当再次遇到时会产生“再次响应”,从而迅速、有效地消除病原体[6]。
3 基于免疫原理的多维网络安全系统的构建
综上所述,可以看到生物免疫系统是一个复杂的多层系统[7]。尊重生物免疫的多层保护机制、高度分布机制和独特性等原理,这里为校园网络设计了三层安全防护技体系:
用户安全 向用户提供网络版的终端杀毒软件、系统补丁自动更新服务,并且要求用户设立三级密码。
接入安全 接入终端根据不同的物理环境、业务要求和保密等级,严格执行“专机入网,专线连接,专室放置,专盘存储,专人管理”的“五专”要求,根据安全级别要求采用IP和MAC绑定、802.1X接入认证,用户名、计算机、交换机和IP地址“四绑定”以及出口网关控制等管控措施。
网络安全 在网络重要区域部署防火墙、防毒墙、入侵检测、漏洞扫描、信息审计、防篡改等系统安全防护设施。
用户安全和接入安全相关措施能在一定程度上防御外网风险,但对于IP/MAC欺骗攻击或从校园网内部发起的攻击没有很好的防御效果。在校园网的相应安全管控措施中,针对不同级别的校内用户开放不同权限的服务,对于内网重要服务器和网站指定专人授权管理并定时更换各级管理员账号密码;监督校内用户及时升级杀毒软件、更新病毒库,打造相对安全的校园网络环境;及时升级网络出口、提高网速,做到主干万兆、区域千兆、桌面百兆,尽量降低IP欺骗攻击中TCP会话劫持的可能性;对于校外用户的访问实现端口限制,关闭不必要的端口,部分对外开放校园网络访问功能,以降低风险。
网络安全这一层面需要的是一个综合的解决方案,木桶原理就形象地说明了这一点。面对层出不穷的网络安全问题,各种品牌的网络安全产品应运而生,如防火墙、网络安全隐患扫描器、系统实时监控器、VPN网关、网络防病毒软件等。目前单一的网络安全产品已经远远不能满足网络安全方面的诸多需要;多个网络安全产品的简单堆叠也只是各个单一功能的组合,甚至还可能出现功能方面的相互制约。
