网络安全管理策略
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全管理策略范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全管理策略范文第1篇
关键词:实验室网络安全 校园网安全 防火墙 安全策略
中图分类号:TP303.08 文献标识码:A 文章编号:1007-9416(2013)09-0173-02
引言
高校计算机实验室承担着教学、培训、考试等大量繁重的教学任务。特点是:应用软件众多,实验操作繁杂且不固定,机器台数多,上机学生不固定。因此可能会导致很多计算机或网络异常,如何有效的对计算机实验室网络进行安全管理就成为一个值得研究的问题。
1 实验室网络结构与任务分析
1.1 网络结构
结合众多课程实训要求,大多数实验室为学生搭建了一套满足各种局域网交换和广域网路由测试需求的基础网络平台,使学生在学习众多应用软件的同时,还可实现用户管理、服务器配置、模拟各类实验环境。80%以上都是基于10/100M交换机或路由器连接成星型拓扑结构,利用校园局域网连入互联网。
1.2 实验任务
软件应用实验:办公自动化、网页设计、图片处理、图象、声音等媒体数据处理。
网络应用实验: DNS、DHCP、WWW、域控制器、邮件服务器等多种服务器的配置;网站建设,基于Socket的C/S编程,基于B/S编程等。
2 计算机实验室网络普遍存在的问题
(1)为了满足教学需要安装了多种软件,电脑的运行速度较慢。计算机实验室几乎全天对学生开放,在超负荷运行下计算机出现故障率高,机器维护任务较重。(2)学生对计算机操作不熟练或不当操作,容易造成部分系统文件删除或破坏;学生随意修改主机密码、CMOS设置、修改注册表内容或本地安全策略,导致电脑系统无法正常运行。(3)学生私自将个人移动硬盘、U盘、MP3等带入机房,安装大量的个人文件、导致电脑系统运行速度降低,甚至导致大量文件感染病毒,使管理的难度加大。(4)学生从外网下载文件或者访问带有病毒的网站时,感染病毒可能造成系统及网络的瘫痪甚至崩溃。(5)基于教学要求,在局域网上实现资源共享或者教学广播,使病毒在局域网内大面积传播,加重了计算机病毒的查杀难度。
(6)学生在实验室内吃零食、早餐,污染实验室环境或导致计算机短路,还有学生私自移动机器,可能造成计算机硬件损坏。
因此,为保证学生机快速恢复、优化,必须建立起一套行之有效的系统维护方案,用以保证实验教学的顺利进行,减轻实验室管理人员的工作量。
3 安全管理策略
3.1 基础校园网网络安全策略
3.1.1 网络安全结构
校园网络安全是实验室网络安全的基础保障。应制定统一的骨干网安全策略,保证基础网络平台的安全性。
校园网可采用了包括路由器、防火墙和入侵检测系统在内的三层结构化防御系统。
第一层防护由防火墙实现。可独立配置防火墙,对内外网之间的通信进行严格过滤,保障内网信息安全。
第二层防护由边界路由器实现。边界路由器提供Internet与校园网的连接,利用Cisco路由器上所具有的PIX防火墙功能,可将学校的WWW服务器、DNS服务器、E-Mail等服务器一起放于PIX防火墙的DMZ区,从而阻止外部用户对各服务器进行删除、修改等非法操作,防止来自外部的攻击。
第三层防护由入侵检测系统来完成。合理配置检测系统,对校园网内用户操作、设备、端口、服务、账户管理、流量等信息进行统计分析,可利用故障自动报警、检测日志,及时发现网络异常并处理。
3.1.2 IP规划
目前我校为实现网络统一管理,使用静态IP地址,学生在首次利用帐户和口令登陆校园网后,网络中心负责身份审核的服务器在身份验证的同时,将其IP与MAC地址进行绑定。在后期用户通信中定时检测地址信息,发现MAC地址变换时,强行退出连接,但此种方法IP利用率明显降低,而且给用户使用带来诸多限制,且接入层上只能使用交换机。学生为实现帐户共享而选择其他网络接入方式,给我们后期网络安全管理埋下隐患。
为解决上述问题,建议配置DHCP服务器,动态配置IP地址。但此举措实施后,用户如果私自建立DHCP服务器,可能造成网络管理的混乱。
为防止用户私自建立DHCP服务器造成网络管理的混乱,在建网初期可选用支持DHCP Snooping功能的接入交换机。保证用户的IP地址只能由网络中心分配,而不能接受非法的IP提供。
为防止用户将IP地址手动设置成与服务器地址相同的地址而造成IP冲突,建议职能部门全部采用支持IP Source Guard的交换机,用户必须从合法的DHCP服务器上取得IP地址才可进行正常通信,私设IP地址将会被交换机自动禁止。
3.2 公共实验室安全管理策略
目前,有些实验室为简化工作,采用安装还原卡的方式来保证系统安全,但此举措会给实验操作带来诸多限制,特别是计算机网络方面的实验,大都要求计算机重启后才能完成实验任务,而还原卡的使用在此时就成为一道不可逾越的围墙,阻碍了实验的正常进行。
为保证实验操作的顺利进行,应根据各校实际情况合理制定实验室管理制度,以便对人员,设备,安全等实施管理。
(1)学生在机房不能吃零食、抽烟;学生不能私自使用U盘等移动硬盘;需认真填写好机器使用情况登记表。(2)加强对学生的教育,培养其良好的网络使用习惯。如不去浏览不安全的网页;不接受来路不明的邮件,附件应先下载,杀毒后再打开;不随意打开QQ等即时通信软件中弹出的超连接等。(3)在每台学生机上安装杀毒软件并及时升级。(4)及时打上系统漏洞补丁。(5)有条件的可以通过视频监控实验室的设备安全,应保证实验室的监控设备正常运行。(6)对系统核心数据进行备份,方便系统还原。(7)做好防火、防盗、防毒、防漏等安全工作。对水源、电源、火源必须必须细心检查,严防死守,杜绝事故发生。(8)实验设备在使用的过程中应注意保养维护,做好设备使用的档案记录,确保设备完好、安全和有效地使用,避免损坏,造成浪费。对已达到或超过使用年限的设备,按有关规定申请报废或降级使用。(9)制定完善的实验室管理规章制度并严格执行。
3.3 专业实验室安全管理策略
3.3.1 物理安全
网络应用实验中需完成 DNS、DHCP、WWW、域控制器、邮件服务器等多种服务器的配置,并验证服务器功能,查看运行效果;若在连网状态下,会受到校园网上各服务器影响,建议不连接校园网,仅用交换机或路由器连接,构成星型拓扑结构的小型局域网即可。
统一规划IP。建议默认使用静态IP地址。根据具体需求可合理设置子网掩码,划分子网。也可基于交换机端口划分VLAN。
3.3.2 用户安全
根据实际情况,可对所有用户进行划分,如:实验室管理员,教师,学生。并进行分级授权,避免出现越权操作。
管理员为每一级用户设置一个账号和密码,通过身份验证才能进行权限内操作。
3.3.3 其他安全策略
(1)IP安全策略。可在学生机上设置安全策略,关闭某些服务和端口,以减少遭受攻击的机率。例如:禁止使用139端口。
第一步,点击“开始”菜单/设置/控制面板/管理工具,打开“本地安全策略”,选中“IP安全策略,选择“本地计算机”;再选择“创建IP安全策略”。第二步,在IP安全策略“属性”对话框中,添加新的筛选器。第三步,在“筛选器属性”对话框中,设置源地址为“任何IP地址”,目标地址为“我的IP地址”;“协议”选择“TCP”,设置“从任意端口到此端口(139),完成筛选器建立。第四步,选中“新IP筛选器列表”,设置“筛选器操作”为“阻止”。第五步、“指派”。激活该IP安全策略。
(2)端口重定向。如果默认端口不能关闭,可将它“重定向”。即把该端口重定向到另一个地址,这样便可隐藏公认的默认端口,降低受破坏机率,保护系统安全。
例如可将远程终端服务(Terminal Server)端口(默认是3389),重定向到另一个端口(例如1234),方法是:
1)在本机上(服务器端)修改。
定位到下列两个注册表项,将其中的PortNumber,全部改成自定义的端口(例如1234)即可:
[HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\Wds\rdpwd\Tds\tcp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\WinStations\RDP-Tcp]
2)在客户端上修改。
依次单击“开始程序附件通讯远程桌面连接”,打开“远程桌面连接”窗口,单击“选项”按钮扩展窗口,填写完相关参数后,单击“常规”下的“另存为”按钮,将该连接参数导出为.rdp文件。用记事本打开并在文件最后添加一行:server port:i:1234
以后,直接双击这个.rdp文件即可连接到服务器的此自定义端口了。
4 结语
实验室网络安全管理同其他网络安全管理一样,没有一劳永逸的方法。因此管理人员需对实验室系统数据定期进行备份。根据实际情况,合理安装并配置操作系统,网络协议,杀毒软件;合理禁止帐户、服务、端口;关注校园网网络安全动态,适时调整相关安全设置;设置审核机制,监视运行情况,及时修复系统异常。并定期进行硬件维护、软件维护、网络维护和日常维护,方能保证计算机实验室系统的正常、稳定运行。
参考文献
[1]石淑华,池瑞楠.计算机网络安全技术(第3版) [M].人民邮电出版社,2012-8.
[2]袁津生,吴砚农.计算机网络安全基础(第4版) [M].人民邮电出版社,2013-7.
[3]王薇.内部网络安全管理系统分析 [J]. 计算机光盘软件与应用 .2011.
[4]张东辉,王晓宇.校园网络安全问题及对策[J].华东科技,2011-3.
[5]周英.多域网络安全管理系统策略一致性研究与设计[N].四川文理学院学报,2013-3.
[6]蒲天银.计算机网络环境下可达性研究关键技术分析[N].湖南科技大学学报,2013-6.
[7]章思宇.基于DNS的隐蔽通道流量检测[N],通信学报.2013-5.
[8]邓越萍.校园网的安全防范策略[N].山西煤炭管理干部学院院报,2013-5.
[9]王锦.基于PK工的校园网身份认证系统的设计与实现「J].科技创新导报,2011-3.
[10]乔振,乔丽平,陈晓纪.PK工技术在校园网身份认证系统中的应用研究[J].福建电脑,2012.07.
[11]李晋丽,段小波,王琳 . 基于过滤驱动的安全密码框的研究与实现[J].软件,2013-3.
[12]王薇.内部网络安全管理系统分析[J].计算机光盘软件与应用,2011-11.
网络安全管理策略范文第2篇
1.1网络病毒
传统病毒只是要破坏它们感染的设备,但是现代的病毒通常会通过Internet进行传播、复制并破坏其他计算机。现在的网络病毒具有明显的功利性,不再是显耀技术。很多这样的病毒都会在感染的设备上安装一个特洛伊木马程序,特洛伊木马程序可能不会进行任何直接的损坏,但是会将用户的信息从它安装的电脑上通过Internet发送到黑客那里,然后这个黑客了解它正在运行什么。软件以及哪些位置易于攻击,就可以对该设备发起一个有目标的攻击了。更甚者是盗取客户的银行账户信息、股票账户信息、QQ信息、游戏账户信息、重要商业秘密等,进而进行实际的盗窃活动,造成客户严重的资金损失。
1.2网络入侵
(1)数据包嗅探器最普遍的安全威胁来自,同时这些威胁通常都是致命的。其中网络嗅探对于安全防护一般的网络来说威胁巨大,很多黑客也使用嗅探器进行网络入侵的渗透。网络嗅探器对信息安全的威胁来自其被动性和非干扰性,使得其具有很强的隐蔽性,往往使信息泄密不易被发现。数据包嗅探器指的是与局域网相连并从以太网帧获取信息的应用程序软件或硬件设备。这些系统的最初意图在于对以太网通信进行故障排除和分析,或者深入了解帧以检查单个的IP数据包。嗅探器以混合模式运行,即它们侦听物理线路上的每个数据包(2)IP欺骗IP欺骗是指对IP数据包的源地址进行更改以隐藏发送方的身份。因为Internet中的路由操作只使用目标地址将数据包发送到它的路径上,而会忽略源地址,所以黑客可能会伪装这个源地址向您的系统发送破坏性的数据包,而您不了解它来自何处。欺骗不一定具有破坏性,但是它表明入侵随时会出现。该地址可能位于您的网络之外(来隐藏入侵者的身份),也可能是一个具有特许权限的受信任内部地址。(3)拒绝服务攻击拒绝服务攻击是最难阻止的攻击,这些攻击与其他类型的攻击不同,因为它们不会对网络产生永久性破坏,而是通过对某个特定的计算机或者网络设备发起攻击,或者将网络链路的吞吐量降低到足以造成客户厌烦和业务损失的程度,从而停止网络的运行。拒绝服务攻击利用TCP/IP协议的缺陷,有些DoS攻击是消耗带宽,有些是消耗网络设备的CPU和内存。(4)应用程序层攻击应用程序层攻击通常是最引人注意的攻击,通常利用应用程序(如Web服务器和数据库服务器)中众所周知的弱点。这些应用程序的问题在于它们被设计为供公共用户访问,这些用户是未知的并且不可信任,尤其对于Web服务器来说更是这样。大多数攻击是针对应用程序产品中的已知缺陷的,因此最好的防护是安装软件生产商提供的最新更新。
2加强油田网络安全的措施
2.1采用入侵检测系统
虽然现在提倡使用入侵防御系统,但是入侵防御系统对于用户的要求较高,需要用户能够分别出哪些程序与进程是无害的。而油田局域网内的大多数用户并没有这个能力。因此应该在核心机上添加入侵检测系统,对于入侵检测系统所捕获的数据自有专业人士来进行分析,找出其中不正常的数据流。利用入侵检测系统当发现网络违规行为和未授权的网络访问时,入侵检测系统中一般都有相应的安全策略来对不同的情况进行响应,而且用户还能够自定义自己需要的安全策略。防火墙与入侵检测系统之间通过联动协议能够更好的对攻击进行防御。
2.2防火墙之后串联防毒网关,增强病毒查杀与垃圾邮件过滤功能
防毒网关在病毒杀除、关键字过滤、垃圾邮件阻止等方面有着较强的功能,能有效的弥补杀毒软件与防火墙的不足,同时防毒网关还具有部分防火墙的功能,同时还能够对VLAN进行划分。防毒网关会对进出网络的数据进行检测,并对HTTP、FTP、SMTP、IMAP这四种协议的数据进行扫描,如果发现病毒就会采取相应的措施,例如隔离或者查杀。而且防毒网关还具有垃圾邮件的阻止功能也让油田网络免受垃圾邮件的干扰。
2.3应用漏洞扫描系统,规范各种应用
就现阶段而言网络漏洞扫描还是一种相当先进的系统安全评估技术,能够及时的发现内网中的各种安全漏洞。然而这种技术虽然十分先进,但是仍然存在缺陷。因此在选用网络漏洞扫描系统时要注意这样几个标准:①必须要通过国家相应的权威认证,目前主要有这些组织的认证,公安部信息安全产品测评中心、国家信息安全产品测评中心、安全产品测评中心、国家保密局测评认证中心;②漏洞扫描系统的最新漏洞数量与升级速度,非专业的人员也要能够容易掌握系统的升级方法与漏洞更新方法;③漏洞扫描系统本身的安全性能,对于漏洞扫描系统本身的抗攻击能力与安全性必须要进行考查、确定;④是否支持分布式扫描,扫描系统必须要具有灵活、携带方便、穿透防火墙的特性,如果扫描所发出的数据包当中的一部分被路由器、防火墙过滤,那么将会降低扫描的准确性。
3结语
网络安全管理策略范文第3篇
总体管理要求
首先看一下数字出版的特点。
数字业务形态多样:目前数字出版产品形态主要包括电子图书、数字报纸、数字期刊、网络原创文学、网络教育出版物、网络地图、数字音乐、网络动漫、网络游戏、数据库出版物、手机出版、App应用程序等,丰富的业务形态要求网络提供多种接入方式、多种内容共享方式,同时要保证安全。
强调对数字化资源的管理:国外知名出版公司特别强调对数字化资源的管理,很多公司通过建设自己的内容管理平台来更有效地建设、管理和重用数字化资源。汤姆森公司委托其下属的Course Technology、Delmar、Promotric和NETg开发内容管理平台LLG,计划五年内完成;培生内部已经运行了WPS,与前台的Coursecompass结合以更加有效的建设模式为学校提供服务;麦格劳-希尔出版公司已经成功地将内容管理平台运用在百科全书的出版上。
整体安全性要求高:数据化资源对整体安全性要求较高,现在网上支付手段丰富,如快钱、Paypal、支付宝等都需要在纯净的网络环境进行操作,以保护机构和个人财产安全;要求建立完善的数字版权机制,保障作者、编辑单位的合法权益;网上交易和传播的数字内容越来越多。网络安全形势十分严峻,域名劫持、网页篡改等事件时有发生,给网民和机构造成了严重影响和重大损失。工业和信息化部2010年的数据表明,仅中国网民每年需要为网络攻击支付的费用就达到153亿元之多。
笔者认为,网络的应用在出版机构一般经过三个发展阶段:第一为沟通交流阶段,在这个阶段,出版机构的工作人员上互联网、了解外界知识、通过即时通信工具沟通信息等。第二阶段为管理应用阶段,在这个阶段,工作人员通过网络协同办公,出版机构采用ERP、财务管控系统等内部业务管理系统。第三阶段为创造、创新阶段,出版机构使用综合业务系统进行数字内容收集、组织或加工,形成数字资产,通过网络进行推广。
根据这三个阶段的应用特点,可以将管理要求归结为:第一个阶段应用比较简单,用户都可以使用网络,要求网速快、安全性要求不高;第二个阶段,并非所有用户都能进入内部网络,设定上网权限,同时能对带宽进行有效管理,防止员工滥用网络而挤占主要业务的网络带宽,防止堡垒在内部被攻破;第三个阶段有了较多的数字资产,要防止网窥和盗窃行为发生,主动防御来自互联网端的威胁,防止业务流数据和内容数据出现问题,保证数据安全,即能处理来自外部、内部的威胁,保存好数据,防范非法入侵。
管理及技术分析
根据数字出版的业务特点,笔者总结了消除网络安全隐患的策略。
在第一应用阶段,网络中有防火墙、核心路由等元素,要保障物理线路畅通,具备一定的安全性。篇幅所限,这里不详细描述了。
第二应用阶段要求建立终端准入机制和应用控制机制。
此阶段遇到的挑战:用户多导致内部安全问题,带宽滥用情况严重。内网的安全事件约有70%来源于内网的接入终端,虽然网络中使用了一些安全措施如应用防火墙、网络设备访问控制规则等改进了网络的安全性,但由于网内终端数量较大、Windows系统的不稳定和多处漏洞,终端用户的应用水平参差不齐等造成内网安全事件频发。对内网终端的安全隐患管理和处理方法概括如下:建立用户接入准入制度,防止截取地址信息随意接入,对合法用户接入访问权限进行细化,加强整网应用安全机制。
同时,应用也存在监管的问题,如员工在日常工作时间进行P2P下载、看影视等从而挤占正常业务的网络带宽。因此,系统中要设应用控制网关,对带宽进行有效管理,提供足够带宽给ERP、财务处理等主要业务,满足吞吐量要求。网内用户上网行为复杂,网络中的异常流量、即时通信流量逐步增大,侵占了原本就不富余的出口带宽;爆发内网安全事件时也会出现相应的流量异常,因此网内要设有行之有效的流量控制和分析手段,以便对网络进行流量监管以及安全事件的快速定位。
在第三应用阶段,可通过入侵检测系统进行主动防御,对入网设备进行终端准入,建立独立存储甚至远程异地灾备系统。网络入侵防御系统是一种在线部署产品,旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,提供一个全新的入侵保护。
第三阶段是较高级应用阶段,因数字出版应用内容丰富、强调应用安全、响应速度,网络技术参数设定要对应用需求有足够响应。
安全网络应用实例
下面是一个出版公司在保障网络安全方面的具体方案,其他数字出版企业也可以从中借鉴。
一、使用一台IP存储解决专业存储问题。
信息或数据在IT系统中,必然处于计算、存储、传输三个状态之一。这三个方面也正好对应于整个IT架构的三个基础架构单元――计算、存储和网络。该方案选用一套高端SAN存储作为整个信息系统的核心在线存储。
该方案中,核心存储设备通过IP SAN交换机与局域网多台服务器建立连接。服务器通过普通千兆网卡或iSCSI HBA卡接入IP SAN。核心存储设备提供海量存储空间,实现高稳定性、高可靠性的数据集中和存储资源统一管理。核心存储设备可以混插高性能的SAS磁盘和大容量的SATA II磁盘,单台设备即可满足两种不同的应用需求,大大提高设备性价比。核心存储也可以满足包括数据库、Web、OA、文件等多个应用的集中访问需求。ERP应用作为关键应用之一,IX3000存储上为其提供独立的存储空间,并采用15000转的SAS硬盘。
二、以应用控制网关解决带宽利用和用户上网行为监管问题。
公司员工越来越依赖于互联网的同时,上网行为却不能得到有效控制和管理,不正当地使用互联网从事各种活动(如网上炒股、玩游戏等)会造成公司外网运行效率下降、带宽资源浪费、商业信息泄密等问题。该公司的财务部曾反映,在制作半年报期间网络时常不通,导致工作无法进行。经查是防火墙严重超负荷造成,负载时常超过90%,这些都是过度使用网络资源产生的后果。
该公司的解决方案如下:在公司出口防火墙与核心交换机之间部署一台应用控制网关。该网关可以很好地完成公司信息中心对员工行为监管的需求,针对P2P/IM、网络游戏、炒股、非法网站访问等行为,可以进行精细化识别和控制,解决带宽滥用影响正常业务、员工工作效率低下、访问非法网站感染病毒蠕虫的问题,帮助公司规范网络的应用层流量,为公司创造一个良好的网络使用环境。
三、通过端点安全准入系统EAD解决终端安全问题。
为了弥补公司现有安全防御体系中存在的不足,公司部署了一套端点安全准入防御系统,旨在加强对员工电脑的集中管理,统一实施安全策略,提高网络终端的主动抵抗能力。终端安全准入防御将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御,变单点防御为全面防御,变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
终端安全准入防御通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”客户端对网络安全的损害,避免“易感”客户端受病毒、蠕虫的攻击。
四、使用入侵检测系统阻止来自互联网的攻击行为。
在公司互联网出口部署1套千兆硬件入侵防御系统,专门针对公司服务器应用层进行防护,填补防火墙安全级别不够的问题,并与防火墙一起实现公司网络L2-L7层立体的、全面的安全防护。
千兆高性能IPS入侵检测系统可以针对公司Web服务器三层架构中的底层操作系统、中间层数据库服务、上层网页程序的每一层提供安全防护。为公司Web服务器提供包括漏洞利用、SQL注入、蠕虫、病毒、木马、协议异常等在内的应用层安全威胁的防范,防止网页被篡改的发生,并在每检测和阻断一个针对Web服务器的安全威胁之后,记录一条安全日志,为公司服务器的安全审计和安全优化提供全面的依据。
综合管理措施
笔者认为,要维护数字出版公司网络安全,在网络综合管理上要同时做好以下几点:
制定合理有效的计算机网络系统工作管理规定,明确责任,分工到人。
设置全集团(公司)网络管理员制度,各分(子)公司专人对网络和终端进行管理。
中心机房设置专人管理机房网络设备,定期检查并分析设备日志,定期升级软件和补丁,防止“破窗”出现,发现异常及时处理。
定期召开网络应用会议,通报网络安全情况,部署下一阶段工作重点。要打造一支能协同的团队,这比单纯有几台好设备要复杂,培训、协同和组织要付出更多心血。
网络安全管理策略范文第4篇
【关键词】电力企业信息安全管理策略
电力是国民经济的命脉,电力系统的安全稳定,不但直接关系到国家经济的发展,还对民众的日常生活有着巨大的影响。当前随着电力企业市场业务的不断开展,其与互联网的联系也越来越密切,但互联网存在着很大的自由性和不确定性,可能会给电力企业带来潜在的不安全因素。而当前电力企业的信息安全建设仅仅停留在封堵现有安全漏洞的阶段,对于系统整体的信息安全意识还不够。因此有必要对电力企业信息系统整体安全管理进行分析研究,有针对性的采取应对策略,确保电力企业网络信息可以实现安全稳定运行。
1做好安全规划
做好电力企业的网络安全信息规划需要做到以下两点:
(1)要对电力企业的网络管理进行科学合理的规划,要结合实际情况对电力企业的网络信息安全管理进行综合考量,从整体上对网络信息安全进行考虑和布置。网络安全信息管理的具体开展主要依靠于安全管理体系,这一点上可以参照一些国外经验;
(2)电力企业因自身的独特性质,需要使用物理隔离的方法将内外网隔离开来,内网方面要合理规划安全区域,要结合实际情况,将安全区域划分成重点防范区域与普通防范区域。电力企业信息安全的内部核心是重点防范区域,在此区域应当设置访问权限,权限不足的普通用户无法查看网页。重要的数据运行如OA系统和应用系统等应该在安全区域内进行,这样可以保证其信息安全。
2加强制度建设
安全制度是保障電力企业网络信息安全的关键部分,安全制度可以提升企业员工和企业领导对网络信息安全的意识,电力企业需要将安全制度作为企业的工作核心,要结合当前的实际情况,建立起符合电力企业网络信息安全的管理制度,具体操作如下:
(1)做好安全审计,很多入侵检测系统都有审计日志的功能,加强安全制度建设就需要利用好检测系统的审计功能,做好对网络日常工作的管理工作,对审计的数据必须要进行严格的管理,不经过允许任何人不得擅自修改删除审计记录。
(2)电力企业网络系统需要安装防病毒软件来保障网络信息的安全,安装的防病毒软件需要具备远程安装、报警及集中管理等功能。此外,电力企业要建立好网络使用管理制度,不要随便将网络上下载的数据复制在内网主机上,不要让来历不清的存储设备在企业的计算机中随意使用。
(3)电力企业的管理者要高度重视其企业的网络安全制度建设,不要把网络信息安全管理仅仅看作是技术部门的工作,企业中应建立起一支专门负责网络信息安全的工作领导小组,要做好对企业内所有职工的培训,最好能让每一名职工都拥有熟练掌握网络信息安全管理的能力。企业管理者要明确相关负责人的工作职责,定期对网络安全工作开展督导检查,管理制度需要具备严肃性、强制性和权威性,安全制度一旦形成,就必须要求职工严格执行。
3设置漏洞防护
随着当前计算机网络技术的迅速发展,很多已经投入运行性的网络信息系统和设备的技术漏洞也随着网络技术的不断发展而日益增加,这在很大程度上给了不法分子窃取电力企业网络信息系统数据的机会,对此电力企业需要做好以下两项工作:
(1)电力企业需要利用一些漏洞扫描技术来维护企业的网络安全,要对企业的网络信息系统经常开展扫描工作,从而及时发现系统漏洞并完成修复。这样可以提升企业网络信息安全系数,不但能阻断不法分子入侵企业信息系统的途径,还可以使企业避免需要经常性更换网络信息系统设备可能增加的经济负担,从而促进企业实现长远发展;
(2)电力企业需要提升对网络信息安全的风险防范意识,增强企业应对突发事件的应急处理能力,针对不同的信息安全风险需要设置好不同的预警机制。要定期检查企业的网络信息安全技术,防止网络安全漏洞的出现。还要及时做好对网络信息防护新手段的更新工作,从而提升企业网络信息系统的保护强度。
4提高管理手段
科学合理的企业网络信息安全管理手段不仅可以维持电力企业的工作进度,还能有效规避企业网络信息中所存在的安全隐患。提高企业网络信息安全管理手段需要做到以下两点:
(1)建立入侵保护系统IPS,提升企业网络信息安全管理指标。在电力企业网络管理系统中建立网络入侵保护系统IPS,可以为网络信息提供一种快速主动的防御体系,IPS的设计理念是对常规网络流量中携带的恶意数据包进行数据安全检测,若发现可疑数据IPS将发挥网络安全防御功能,来阻止可疑数据侵入电力系统的网络信息系统。与常规的网络防火墙相比,IPS具备更加完善的安全防御功能,其不仅能对网络恶意数据流量进行检测还能够及时消除隐患。此外,IPS还能为电力企业的网络提供虚拟补丁,从而预先对黑客攻击和网络病毒做出拦截,保证企业的网络不受损害;
(2)电力企业要加大对新型网络信息安全技术的研发投入,在组建企业网络信息安全系统时,要对系统各组成部分做严格检查,确保设备符合安全标准。对于组建网络信息系统所需要的设备和部件则必须要求供应商提供相应的安检报告,严防设备和部件的安全隐患。对于企业已投入使用的系统和设备,必须定期做好检查,以确保安全系统能够顺利有效的开展防护工作。
5总结
综上所述,本文通过维护电力企业网络信息安全管理的相关策略进行研究发现,运用做好安全规划、加强制度建设、设置漏洞防护和提高管理手段四项措施可以起到提升企业网络信息系统的保护强度、建立起符合电力企业网络信息安全的管理制度从而确保安全系统能够顺利有效的开展防护工作的良好效果,希望本文的研究可以更好的提升我国电力企业的网络信息系统的安全管理水平,为维护我国电力系统的安全运行做出贡献。
参考文献
[1]郑玉山.电力企业网络和信息安全管理策略思考[J].网络安全技术与应用,2017(06):121+123.
网络安全管理策略范文第5篇
【关键词】计算机;网络信息;安全管理;管理策略
引言
自21世纪以来,互联网的普及与应用,使现实世界中的信息资源实现了数据化转变,这也使人们在日常生产生活中能够通过互联网来随时随地地获取这些信息资源,从而极大程度地提高了社会生产效率,信息化社会也由此来临。在互联网中包含着海量的数据信息,而这些数据信息在经济、社会等方面有着巨大的价值,但因互联网具有开放性特点,这也使这些极具价值的数据信息极易发生泄漏,其安全性正面临着极大威胁。现实社会中频繁出现的网络信息泄漏问题,正不断提醒着人们需要采取相应的措施来防范网络信息安全问题,为此,探讨和分析计算机网络信息安全管理的相关策略。
1对计算机网络信息安全技术予以高度重视和积极运用
在信息化时代下,我国对计算机网络信息安全技术开展了大量的研究,并涌现出了许多行之有效的技术手段,从而为我国计算机的网络信息安全管理打下了坚实的基础。用户在进行计算机网络信息安全管理过程中,必须要对与网络信息安全相关的一系列技术手段进行全面掌握,使这些技术手段能够在管理工作中得到有效的运用。通常来说,在现有的网络信息安全管理中,比较富有成效的措施及方法主要有以下几种。第1种是身份认证及鉴别技术,通过这种技术手段,能够对管理主体在进行系统操作时的身份信息以及是否具备操作权限来进行辨别和验证。第2种是密文技术,即数据加密技术,该技术需要具有合法使用权的主体,采用一系列的加密措施来打乱数据结构,使其成为外人无法看懂的密文,从而确保数据安全。现阶段,数据加密技术主要有两种经常被使用,分别是对称加密技术和非对称加密技术。第3种是防火墙技术,将该技术应用到互联网平台之中,能够实现内外部网络的有效隔离,从而屏蔽存在风险的网络地址,其通过分析和过滤的方式来验证流出IP包的风险性,以使内网安全得到可靠保护。第4种是虚拟专用网络技术,该技术又被称之为VPN技术,通过该技术的应用,能够使用户在公共网络中组建对应的局域网络,该技术以路由过滤技术和隧道技术作为其两大主流机制。在计算机网络信息保护中,该技术的应用不需花费较高的成本,而且组网效率较高。第5种是安全隔离技术。近年来,互联网在使用过程中所面临的攻击手段正变得越来越多样化,为了有效应对这些层出不穷的攻击手段,就需要通过安全隔离技术来进行风险隔离,通过信任列表来添加安全的应用程序,以此防止风险程序给计算机中的数据安全造成威胁。现阶段,安全隔离技术主要由双网隔离与安全隔离网闸所组成。第6种是入侵检测技术。在用户系统遭到网络攻击时,入侵检测技术能够自动对用户的计算机及其网络内部进行检测,当其发现网络攻击存在时,会提前发出预警,并采取相应的措施来对即将到来的网络攻击进行有效应对,以此消除网络攻击威胁。该技术相比于其他技术来说,具有主动性特征。现阶段,随着入侵检测技术的发展,这种技术已经逐渐从智能化检测发展为全面化的安全防御方案,这也是该技术的未来发展趋势所在。上面所阐述的技术,只是现有计算机网络信息安全技术中的几种,在互联网高速发展的新时代下,将有更多的信息安全技术得以涌现出来,而这也使其必将更加有效地应对信息安全威胁。用户在进行计算机网络信息管理时,必须要对这些技术有所了解和掌握,并在实际管理中积极地运用这些技术,这样才能使计算机网络信息的安全管理工作得以高效进行,从而全面提高网络信息管理水平。
2对信息安全管理体系进行不断完善
在计算机网络信息管理中,科学技术的发展,使各种信息安全技术为管理工作的高效性提供了可靠保障,不过仅仅依赖于信息安全技术的应用,势必无法满足用户对网络信息管理的工作要求。在对各种信息安全技术进行运用的同时,用户更应从以下方面来不断完善信息安全管理体系,这样才能真正提高计算机的信息安全管理水平。
2.1法律法规的可靠支持
计算机网络信息安全的管理需要具有相应的法律法规来予以可靠支撑,只有在法律法规的支持下,才能更好地维护计算机的网络环境安全,保障信息不会发生泄漏。而这对计算机用户而言是至关重要的,因此,通过法制保障,能够使社会各类群体乃至每个个体都能对法律法规进行严格的遵守,这样可使计算机网络的使用变得更加规范、安全、合理。对于计算机网络信息管理而言,其在开展过程中需要将法律法规作为依据,我国自出台《中华人民共和国网络安全法》以来,使法律在计算机网络信息安全管理中发挥着重要的引导和规范作用,同时,该部法律的出台还能有效威慑不法分子的网络违法行为,进而保障计算机网络中的信息安全。因此,计算机用户在进行网络信息管理时,也要根据法律法规中的相关规定,并结合自身实际情况及需求,在信息安全管理中对具有可行性的规章制度及管理办法进行制定,以便于保障信息安全的规范化管理。
2.2组织保障
在信息安全管理工作中,组织保障也是必不可少的,而这就需要管理主体来提供组织保障,在此过程中,需要成立专门的部门来对组织保障中的架构进行制定与完善,同时明确内部责任,以此全面提高计算机网络的信息安全管理成效。在信息管理中,信息安全管理部门需要制定相应的管理战略及措施,以确保该部门能够在信息安全管理工作中发挥出应有的统筹指导作用。除此之外,该部门还要下设信息安全技术中心、网络信息安全研究办公室等下属机构,以便于更好地开展信息安全管理任务,提高其工作有效性。
2.3专业团队
对于计算机用户而言,网络信息安全管理需要具备强大的团队来进行支撑,因此需要组建一支高素质、高能力的专业化管理团队,通过该团队来保障计算机网络信息安全管理的顺利开展。所以,信息安全管理部门应在组建专业化团队过程中,明确人才引进方式,并制定科学的人才培养方案,使专业化团队中的成员具备出色的信息安全管理能力,同时,还要对团队人员的法制观念进行重点培养,确保专业化团队在进行计算机网络信息安全管理时能够全方位地提高其整体质量。
2.4安全教育
安全教育工作也至关重要,只有做好安全教育工作,才能增强计算机用户的网络信息安全防范意识,提高其安全管理能力,这也是提高计算机信息安全管理水平的必由之路。因此,对于信息安全管理部门而言,需要积极宣传法律法规,同时大力推广信息安全管理技术,对工作人员的计算机使用行为进行严格规范,以此全面提高计算机系统对网络攻击的抵御能力。
