網絡安全防護方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全防護方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全防護方案范文
在大型的企業網絡中不同的子網各有特點,對于網絡安全防護有不同的等級要求和側重點。因此,網絡安全域的“同構性簡化”思路就顯得非常適合安徽中煙網絡安全防護的需求,下面將具體介紹安徽中煙基于安全域的網絡安全防護體系建設思路。
網絡安全域是使網絡滿足等級保護要求的關鍵技術,每一個邏輯區域有相同的安全保護需求,具有相同的安全訪問控制和邊界控制策略,區域間具有相互信任關系,而且相同的網絡安全域共享同樣的安全防護手段。通過建設基于安全域的網絡安全防護體系,我們可以實現以下的目標:通過對系統進行分區域劃分和防護,構建起有效的縱深防護體系;明確各區域的防護重點,有效抵御潛在威脅,降低風險;保證系統的順暢運行,保證業務服務的持續、有效提供。
1安全域劃分
由于安徽中煙網絡在網絡的不同層次和區域所關注的角度不同,因此進行安全域劃分時,必須兼顧網絡的管理和業務屬性,既保證現有業務的正常運行,又要考慮劃分方案是否可行。在這樣的情況下,獨立應用任何一種安全域劃分方式都不能實現網絡安全域的合理劃分,需要多種方式綜合應用,互相取長補短,根據網絡承載的業務和企業的管理需求,有針對性地選擇合理的安全域劃分方式。
1.1安全域劃分原則
業務保障原則安全域劃分應結合煙草業務系統的現狀,建立持續保障機制,能夠更好的保障網絡上承載的業務。在保證安全的同時,還要保障業務的正常運行和運行效率。結構化原則安全域劃分的粒度可以從系統、設備到服務、進程、會話等不斷細化,在進行安全域劃分時應合理把握劃分粒度,只要利于使用、利于防護、利于管理即可,不可過繁或過簡。等級保護原則屬于同一安全域內的系統應互相信任,即保護需求相同。建立評估與監控機制,設計防護機制的強度和保護等級。要做到每個安全域的信息資產價值相近,具有相同或相近的安全等級、安全環境、安全策略等。生命周期原則安全域的劃分不應只考慮到靜態設計,還要考慮因需求、環境不斷變化而產生的安全域的變化,所以需考慮到工程化管理。
1.2安全域劃分方式
1.2.1安全域劃分模型根據安徽中煙網絡和業務現狀,安徽中煙提出了如下安全域劃分模型,將整個網絡劃分為互聯網接口區、內部網絡接口區,核心交換區,核心生產區四部分:核心生產區本區域僅和該業務系統其它安全子域直接互聯,不與任何外部網絡直接互聯。該業務系統中資產價值最高的設備位于本區域,如服務器群、數據庫以及重要存儲設備,外部不能通過互聯網直接訪問該區域內設備。內部互聯接口區本區域放置的設備和公司內部網絡,包括與國家局,商煙以及分支煙草連接的網絡。互聯網接口區本區域和互聯網直接連接,主要放置互聯網直接訪問的設備。該區域的設備具備實現互聯網與內部核心生產區數據的轉接作用。核心交換區負責連接核心生產區、內部互聯接口區和外部互聯接口區等安全域。
1.2.2安全域邊界整合1)整合原則邊界整合原則是主要依據分等級保護的原則和同類安全域合并。分等級防護是安全域方法的基本思想,這自然不必多說,同類安全域合并原則在落實時應以一下思想為指導:集中化:在具備條件的情況下,同一業務系統應歸并為一個大的安全域;次之,在每個機房的屬于同一數據業務系統的節點應歸并為一個大的安全域。跨系統整合:不同的數據業務系統之間的同類安全域應在保證域間互聯安全要求的情況下進行整合,以減小邊界和進行防護。最小化:應將與外部、內部互聯的接口數量最小化,以便于集中、重點防護。2)整合方法為了指導邊界整合,安徽中煙提出了兩種邊界整合方法、適用場景。這些邊界整合方法都側重于跨系統或同一系統不同節點間的邊界整合,側重于數據業務系統與互聯網、外部系統間的接口的整合。(1)單一傳輸出口的邊界整合此種整個方法適用于:具備傳輸條件和網絡容災能力,將現有數據業務系統和互聯網的傳輸接口整合至單一或幾個互備接口。(2)多個傳輸出口的邊界整合此種整個方法適用于:數據業務系統和互聯網之間有多個物理位置不同的接口,并且尚不具備傳輸條件整合各接口。
2安全防護策略
2.1安全防護原則
集中防護通過安全域劃分及邊界整合后,可以形成所謂的“大院”,減少了邊界,進而可以在安全域的邊界和內部部署防火墻、入侵檢測系統的網絡探頭、異常流量檢測和過濾設備、網絡安全管控平臺的采集設備、防病毒系統的客戶端等基礎安全技術防護手段,集中部署基礎安全服務設施,對不同業務系統、不同的安全子域進行防護,共享其提供的安全服務。分等級防護根據煙草行業信息安全等級保護要求,對不同的數據業務系統、不同的安全子域,按照其保護等級進行相應的防護。對于各系統共享的邊界按“就高不就低”的原則進行防護。縱深防護從外部網絡到核心生產域,以及沿用戶(或其他系統)訪問(或入侵)系統的數據流形成縱深的安全防護體系,對關鍵的信息資產進行有效保護。
2.2系統安全防護
為適應安全防護需求,統一、規范和提升網絡和業務的安全防護水平,安徽中煙制定了由安全域劃分和邊界整合、設備自身安全、基礎安全技術防護手段、安全運行管理平臺四層構成的安全技術防護體系架構。其中,安全域劃分和邊界整合是防護體系架構的基礎。
2.2.1設備自身安全功能和配置一旦確定了設備所在的安全域,就可以根據其落入的安全域防護策略對設備進行安全功能設置和策略部署。針對設備的安全配置,安徽中煙后期會制定《安徽中煙設備安全功能和配置系列規范》提供指導。
2.2.2基礎安全技術防護手段業務系統的安全防護應以安全域劃分和邊界整合為基礎,通過部署防火墻、入侵檢測、防病毒、異常流量檢測和過濾、網絡安全管控平臺等5類通用的基礎安全技術防護手段進行防護。在通用手段的基礎上,還可根據業務系統面臨的威脅種類和特點部署專用的基礎安全技術防護手段,如網頁防篡改、垃圾郵件過濾手段等。
防火墻部署防火墻要部署在各種互聯邊界之處:
–在互聯網接口區和互聯網的邊界必須部署防火墻;
–在核心交換區部署防火墻防護互聯網接口區、內部互聯接口區和核心生產區的邊界;
–在內部互聯接口區和內部網絡的邊界也需部署防火墻。考慮到內部互聯風險較互聯網低,內部互聯接口區防火墻可復用核心交換區部署的防火墻。另外,對于同一安全域內的不同安全子域,可采用路由或交換設備進行隔離和部署訪問控制策略,或者采用防火墻進行隔離并設置訪問控制策略。入侵檢測設備的部署應在互聯網接口區、內部互聯接口區必須部署入侵檢測探頭,并統一接受網管網集中部署的入侵檢測中央服務器的控制。在經濟許可或相應合理要求下,也可在核心交換區部署入侵檢測探頭,實現對系統間互訪的監控。防病毒系統的部署運行Windows操作系統的設備必須安裝防病毒客戶端,并統一接受網管網集中部署的防病毒中央控制服務器的統一管理。同時,為了提高可用性和便于防護,可在內部互聯接口區部署二級防病毒服務器。異常流量檢測和過濾可在數據業務系統互聯網接口子域的互聯網邊界防火墻外側部署異常流量檢測和過濾設備,防范和過濾來自互聯網的各類異常流量。
網絡安全管控平臺網絡安全管控平臺應部署在網管網側,但為了簡化邊界和便于防護,建議:
–在內部互聯接口區部署帳號口令采集設備以實現帳號同步等功能。
–在內部互聯接口區必須部署日志采集設備,采集業務系統各設備的操作日志。
2.2.3應用層安全防護數據業務系統應用安全防護主要是防范因業務流程、協議在設計或實現方面存在的漏洞而發生安全事件。其安全防護與系統架構、業務邏輯及其實現等系統自身的特點密切相關。安徽中煙通過參考IAARC模型,提出鑒別和認證、授權與訪問控制、內容安全、審計、代碼安全五個防護方面。
2.2.4安全域的管理除了實施必要的安全保障措施控制外,加強安全管理也是不可缺少的一個重要環節。安全域管理主要包括:從安全域邊界的角度考慮,應提高維護、加強對邊界的監控,對業務系統進行定期或不定期的風險評估及實施安全加固;從系統的角度考慮,應規范帳號口令的分配,對服務器應嚴格帳號口令管理,加強補丁的管理等;人員安全培訓。
第2篇:網絡安全防護方案范文
工業控制系統網絡安全防護體系是工業行業現代化建設體系中的重要組成部分,對保證工業安全、穩定、可持續競爭發展具有重要意義。基于此,文章從工業控制系統相關概述出發,對工業控制系統存在的網絡安全問題,以及當今工業控制系網絡安全防護體系設計的優化進行了分析與闡述,以供參考。
關鍵詞:
工業控制系統;網絡安全;防護體系
0引言
工業控制系統是我國工業領域建設中的重要組成部分,在我國現代化工業生產與管理中占有重要地位。隨著近年來我國工業信息化、自動化、智能化的創新與發展,工業控制系統呈現出網絡化、智能化、數字化發展趨勢,并在我國工業領域各行業控制機制中,如能源開發、水文建設、機械制作生產、工業產品運輸等得到了廣泛應用。因此,在網絡安全隱患頻發的背景下,對工業控制系統網絡安全防護體系的研究與分析具有重要現實意義,已成為當今社會關注的重點內容之一。
1工業控制系統
工業控制系統(IndustrialControlSystem,ICS)是由一定的計算機設備與各種自動化控制組件、工業信息數據采集、生產與監管過程控制部件共同構成且廣泛應用與工業生產與管理建設中的一種控制系統總稱[1]。工業控制系統體系在通常情況下,大致可分為五個部分,分別為“工業基礎設施控制系統部分”、“可編程邏輯控制器/遠程控制終端系統部分(PLC/RTU)”、“分布式控制系統部分(DCS)”、“數據采集與監管系統部分(SCADA)”以及“企業整體信息控制系統(EIS)”[2]。近年來,在互聯網技術、計算機技術、電子通信技術以及控制技術,不斷創新與廣泛應用的推動下,工業控制系統已經實現了由傳統機械操作控制到網絡化控制模式的發展,工業控制系統的結構核心由最初的“計算機集約控制系統(CCS)”轉換為“分散式控制系統(DCS)”,并逐漸趨向于“生產現場一體化控制系統(FCS)”的創新與改革發展。目前,隨著我國工業領域的高速發展,工業控制系統已經被廣泛應用到水利建設行業、鋼鐵行業、石油化工行業、交通建設行業、城市電氣工程建設行業、環境保護等眾多領域與行業中,其安全性、穩定性、優化性運行對我國經濟發展與社會穩定具有重要影響作用。
2工業控制系統存在的網絡安全威脅
2.1工業控制系統本身存在的問題
由于工業控制系統是一項綜合性、技術復雜性的控制體系,且應用領域相對較廣。因此,在設計與應用過程中對工作人員具有較高的要求,從而導致系統本身在設計或操作中容易出現安全隱患。
2.2外界網絡風險滲透問題
目前,工業控制系統網絡化設計與應用,已成為時展的必然趨勢,在各領域中應用工業控制系統時,對于數據信息的采集、分析與管理,需要工業控制系統與公共網絡系統進行一定的鏈接或遠程操控。在這一過程中,工業控制系統的部分結構暴露在公共網絡環境中,而目前公共網絡環境仍存在一定的網絡信息安全問題,這在一定程度上將會導致工業控制系統受到來自網絡病毒、網絡黑客以及人為惡意干擾等因素的影響,從而出現工業控制系統網絡安全問題。例如,“百度百科”網站,通過利用SHODAN引擎進行OpenDirectory搜索時,將會獲得八千多個處于公共網絡環境下與“工業控制系統”相關的信息,一旦出現黑客或人為惡意攻擊,將為網站管理系統帶來嚴重的影響[3]。
2.3OPC接口開放性以及協議漏洞存在的問題
由于工業控制系統中,其網絡框架多是基于“以太網”進行構建的,因此,在既定環境下,工業過程控制標準OPC(Ob-jectLinkingandEmbeddingforProcessControl)具有較強的開放性[4]。當對工業控制系統進行操作時,基于OPC的數據采集與傳輸接口有效網絡信息保護舉措的缺失,加之OPC協議、TCP/IP協議以及其他專屬代碼中存在一定的漏洞,且其漏洞易受外界不確定性風險因素的攻擊與干擾,從而形成工業控制系統網絡風險。
2.4工業控制系統脆弱性問題
目前,我國多數工業控制系統內部存在一定的問題,致使工業控制系統具有“脆弱性”特征,例如,網絡配置問題、網絡設備硬件問題、網絡通信問題、無線連接問題、網絡邊界問題、網絡監管問題等等[5]。這些問題,在一定程度上為網絡信息風險因素的發生提供了可行性,從而形成工業控制系統網絡安全問題。
3加強工業控制系統網絡安全防護體系的建議
工業控制系統網絡安全防護體系的構建,不僅需要加強相關技術的研發與利用,同時也需要相關部門(如,設備生產廠家、政府結構、用戶等)基于自身實際情況與優勢加以輔助,從而實現工業控制系統網絡安全防護體系多元化、全方位的構建。
3.1強化工業控制系統用戶使用安全防護能力
首先,構建科學且完善的網絡防護安全策略:安全策略作為工業控制系統網絡安全防護體系設計與執行的重要前提條件,對保證工業控制系統的網絡安全性具有重要指導作用。對此,相關工作人員應在結合當今工業控制系統存在的“脆弱性”問題,在依據傳統網絡安全系統構建策略優勢的基礎上,有針對性的制定一系列網絡防護安全策略,用以保證工業控制系統安全設計、操作、管理、養護維修規范化、系統化、全面化、標準化施行。例如,基于傳統網絡安全策略——補丁管理,結合工業控制系統實際需求,對工業控制系統核心系統進行“補丁升級”,用以彌補工業控制系統在公共網絡環境下存在的各項漏洞危機[6]。在此過程中,設計人員以及相關工作者應通過“試驗測驗”的方式,為工業控制系統營造仿真應用環境,并在此試驗環境中對系統進行反復測驗、審核、評價,并對系統核心配置、代碼進行備份處理,在保證補丁的全面化升級的同時,降低升級過程中存在的潛在風險。其次,注重工業控制系統網絡隔離防護體系的構建:網絡隔離防護的構建與執行,對降低工業控制系統外界風險具有重要意義。對此,相關設計與工作人員應在明確認知與掌握工業控制系統網絡安全防護目標的基礎上,制定相應的網絡隔離防護方案,并給予有效應用。通常情況下,工業控制系統設計人員應依據不同領域中工業控制系統類型與應用需求,對系統所需設備進行整理,并依據整理內容進行具體測評與調試,用以保證各結構設備作用與性能的有效發揮,避免出現設備之間搭配與連接不和諧等問題的產生;根據工業控制系統功能關鍵點對隔離防護區域進行分類與規劃(包括工業控制系統內網區域、工業控制系統外部區域、工業控制系統生產操作區域、工業控制系統安全隔離區域等),并針對不同區域情況與待保護程度要求,采用相應的舉措進行改善,實現不同風險的不同控制[7]。與此同時,構建合理、有效的物理層防護體系:實踐證明,物理層防護體系的構建(物理保護),對工業控制系統網絡安全防護具有至關重要的作用,是工業控制系統實現網絡安全管理與建設的重要基礎項目,也是核心項目,對工業控制和系統網絡防護體系整體效果的優化,具有決定性作用。因此,在進行工業控制防護系統網絡安全防護體系優化設計時,設計人員以及相關企業應注重對工業控制系統物理層的完善與優化。例如,通過配置企業門禁體系,用以避免外來人員對工業現場的侵害;依據企業特色,配設相應的生產應急設備,如備用發電機、備用操作工具、備用電線、備用油庫等,用以避免突發現象導致設計或生產出現問題;通過配置一定的監測管理方案或設施,對系統進行一體化監管,用以及時發現問題(包括自然風險因素、設備生產安全風險因素等)并解決問題,保證工業控制系統運行的優化性。此外,加強互聯網滲透與分析防治:設計工作人員為避免工業控制系統互聯網滲透安全威脅問題,可通過換位思考的形式,對已經設計的工業控制系統網絡安全防護體系進行測評,并從對方的角度進行思考,制定防護對策,用以提升工業控制系統網絡安全性。
3.2強化工業控制系統生產企業網絡安全防護能力
工業控制系統生產企業,作為工業控制系統的研發者與生產者,應提升自身對工業控制系統網絡安全設計的重視程度,從而在生產過程中保證工業控制系統的質量。與此同時,系統生產企業在引進先進設計技術與經驗的基礎上,強化自身綜合能力與開發水平,保證工業控制系統緊跟時展需求,推動工業控制系統不斷創新,從根源上降低工業控制系統自身存在安全風險。
3.3加大政府扶持與監管力度
由上述分析可知,工業控制系統在我國各領域各行業中具有廣泛的應用,并占據著重要的地位,其安全性、穩定性、創新性、優化性對我國市場經濟發展與社會的穩定具有直接影響作用。由此可見,工業控制系統網絡安全防護體系的構建,不僅是各企業內部組織結構體系創新建設問題,政府以及社會等外部體系的構建同樣具有重要意義。對此,政府以及其他第三方結構應注重自身社會責任的執行,加強對工業控制系統安全防護體系環境的管理與監督,促進工業控制系統安全防護外部體系的構建。例如,通過制定相應的網絡安全運行規范與行為懲罰措施,用以避免互聯網惡意破壞行為的發生;通過制定行業網絡安全防護機制與準則,嚴格控制工業控制系統等基礎設施的網絡安全性,加大自身維權效益。
4結論
綜上所述,本文針對“工業控制系統網絡安全防護體系”課題研究的基礎上,分析了工業控制系統以及當今工業控制系統存在的網絡安全問題,并在工業控制系統網絡安全防護體系設計的基礎上,提供了加強工業控制系統網絡安全防護體系設計的優化對策,以期對工業控制系統網絡安全具有更明確的認知與理解,從而促進我國工業控制系統網絡安全防護體系建設的優化發展。
參考文獻:
[1]王棟,陳傳鵬,顏佳,郭靚,來風剛.新一代電力信息網絡安全架構的思考[J].電力系統自動化,2016(2):6-11.
[2]薛訓明,楊波,汪飛,郭磊,唐皓辰.煙草行業制絲生產線工業控制系統安全防護體系設計[J].科技展望,2016(14):264-265.
[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關鍵基礎設施工業控制系統安全保障探索[J].網絡安全技術與應用,2016(5):81-86.
[4]羅常.工業控制系統信息安全防護體系在電力系統中的應用研究[J].機電工程技術,2016(12):97-100.
[5]劉秋紅.關于構建信息安全防護體系的思考——基于現代計算機網絡系統[J].技術與市場,2013(6):314.
[6]孟雁.工業控制系統安全隱患分析及對策研究[J].保密科學技術,2013(4):16-21.
第3篇:網絡安全防護方案范文
關鍵詞:通信網絡;安全隱患;管理體系;安全與防護
中圖分類號:TN918.91文獻標識碼:A文章編號:1007-9599 (2012) 02-0000-02
Thinking of Communication Network Security and Protection
Li Jian
(Qinhuangdao Branch of China Tietong Group Ltd.,Qinhuangdao066100,China)
Abstract:The rapid development of information technology naturally led to the rapid rise of the communications network,both communications network to provide rare opportunities for development,but also inevitable to the communications network to bring some security risks.This paper discusses the security threats that currently exist on the communication network,in-depth thinking on the communication network security and protection,protection strategies to improve the security of network communications.
Keywords:Communication network;Security risks;Management system;Safety and Protection
一、前言
計算機網絡包括兩個部分:計算機和通信網絡,計算機是信源或者終端,通信網絡則是進行數據傳輸和交換,它最終實現計算機網絡的資源共享。隨著信息技術的不斷更新,我國通信網絡產業也在快速發展。目前,國內的通信網絡系統覆蓋地域廣闊,設備復雜多樣,針對各種特定類型的通信設備,很多的網管系統基本實現了使用專用的接口協議。
信息技術的快速發展,自然而然就帶動了通信網絡的快速發展,隨著國民經濟信息化進程的加快,使得信息技術得到普及,而各行業通信網絡的依賴程度越來越高。通常,機遇與挑戰是并存的,一方面給通信網絡帶來了發展機遇;另一方面又不可避免的給通信網絡的安全造成一定的挑戰。當前,通信網絡安全問題日漸凸顯,如病毒,黑客等等竊取信息的方式也不計其數,所以如何應對這些通信網絡出現的安全問題,也就是保證網絡通信的安全性是目前通信工程需要急需解決的難題。
為了維護網絡通信的信息系統的正常工作,預防網絡安全事故以保證通信網絡的安全,防范猖狂的網絡犯罪。需要制定相關的網絡通信信息系統的安全防護策略。
二、通信網絡安全防護工作現狀
通信網絡安全防護包括:網絡安全的等級保護、網絡安全的風險評估和網絡安全的災難備份等,這些都以事前防護和準備為主的,最終通過技術和管理落實和改進通信網絡安全的維護和管理,并且與網絡安全的重要性及潛在的威脅相適應,以提高通信網絡的安全水平,降低重大網絡安全事件的發生概率,以“積極防御、綜合防范”為指導方針,以“預防為主”的原則,關鍵是進行事前預防保護。
通信網絡安全是根據網絡特性,通過相應的安全技術和措施以防止通信網絡中泄露、破壞或更改了操作系統、軟件、硬件和數據等資源,預防非法用戶竊取服務,以確保通信網絡的正常運行;網絡通信安全包括設備安全、用戶識別安全以及數據傳輸安全等內容。
國內外對通信網絡安全的研究一直在進行,國外很早就進行信息網絡安全研究,研究全面而廣泛。上個世紀70年代美國在網絡安全技術基礎理論研究成果“計算機保密模型”的基礎上,制定了“可信計算機系統安全評估準則”(TCSEC),之后又制定了網絡系統數據庫方面和系列安全解釋,形成了安全信息體系結構的準則[3]。安全協議對信息安全而言是必不可少的,包括基于狀態機、代數工具和模態邏輯三種分析方法。而今密碼學成為網絡信息安全的重要技術,近年來各個國家和地區相繼舉辦信息學及安全密碼學術會議。當前研究的熱點是密鑰密碼,而電子商務的安全性也受到極大關注,目前處于研究和發展的階段,加快了密鑰管理及論證理論的研究步伐。國內的信息網絡安全研究經歷了兩個階段:通信保密和數據保護。目前主要從安全體系結構、現代密碼結論、安全協議、信息分析和監控等方面提出的系統完整和協同的通信網絡安全與防護的方案。2009年開始,國家的信息化部及工業計劃每年對通信網絡進行安全等級保護、通信風險評估,網絡通信的災難備份等相關防護工作。
三、探討通信網絡中的安全隱患
隨著通信網絡的一體化和互聯互通,以及共享資源步伐的加快,通信的安全和保密問題就顯得非常重要。
(一)關于安全管理體系建設
首先,網絡安全機構不夠健全,網絡安全維護隊伍還不充實。目前,非傳統安全問題不斷增加,而企業在進行人員素質培養、人員的配備及機構的設置未能很好地適應管理工作。其次,未能很好的統籌網絡安全管理工作,整體性不足。雖然在業務發展中,各運營企業相繼建設了不少的網絡和系統,但沒有統籌謀劃和監督管理,缺乏統一標準,運營企業各自管理網絡和系統的安全,因此,必然存在安全隱患。再者,由于缺乏安全技術手段。網絡的應急處置、預警監控、安全防護和審計等技術水平不高。最后,網絡安全制度未完善,未能涉及每個環節。安全管理主要集中在運行維護環節而忽略其他環節,最近幾年企業建設了不少IT系統,但上線前未對設備和系統進行徹底的安全檢測,同樣帶來安全隱患。
(二)關于適應形勢的發展
運營企業未能深入認識到通信網絡的基礎性以及全局性作用,隨著通信網絡移動化、IP化、智能化的發展,網絡安全觀念相對滯后,傳統的網絡通信安全意識仍停在設備可靠性等物理安全層面上,而對網絡攻擊、非法遠程控制和病毒傳播等威脅意識仍然不夠,對通信網絡安全防護的投入很少,對網絡安全存在僥幸心理。
(三)關于規范第三方服務的管理
運營企業在信息和網絡系統的安全的保障、規劃的設計、建設集成和網絡的運行維護等環節基本都依賴第三方服務。但是由于缺乏規程規范和制度,運營企業對第三方服務的管控力度不夠,致使服務過程存在較大風險。
(四)防護措施落實不到位
目前,網絡通信防護內容主要是防病毒、防攻擊、防入侵。但是,防護措施落實不夠,未能防范和抵御網絡系統的內外部安全風險,DDOS攻擊堵塞城域網和IDC的事件時有發生;未能及時升級軟件,漏洞管理不及時,被保護主機或系統會因為漏洞遭到黑客的攻擊;如果沒做好不同安全域之間和內外網隔離及其訪問控制工作,就可能導致不同系統間的非授權訪問;服務器或者系統開放不必要的服務和端口就會給黑客有機可乘,通過遠程攻擊和入侵;沒有啟用安全日志或者沒做好日志審計工作就會對故障的排查及處理,安全事件的還原工作帶來困難。
(五)關于網絡的安全意識
目前,運營企業的網絡和系統本身安全性不足,存在很多安全漏洞,而運營企業本身的內部網絡防范措施不足,太過依賴邊界安全,因此存在嚴重的安全隱患。
(六)關于遠程維護管控措施
有的遠程維護管理網絡平臺本身就有漏洞,而遠程維護管理控制的審批的管理、平臺的管理、日志的審計以及實時的監控等措施也不足,因此業務系統同時存在內外部的安全隱患。
(七)災難備份工作不夠完善
隨著網絡的集中管控程度的提高,在部分網絡單元中,還存在同管道、單節點、單路由等問題。
四、關于網絡安全的防護
(一)關于網絡安全維護的新情況和新問題
監管部門應該加強管理及隨時研究新技術帶來的安全問題,為提高工作的有效性和主動性,應及時提出相關的措施。
(二)關于安全防護的檢查力度
在傳統的安全防護檢查的基礎上,需要制訂和完善安全防護標準以針對非傳統安全的薄弱環節和突出問題,深入開展風險和安全評測。
(三)貫徹落實各項制度標準
電信監管部門應該積極組織開展《互聯網網絡安全應急預案》、《通信網絡安全防護管理辦法》等制度的學習宣傳和貫徹,落實安全防護工作。
(四)對應急事件的處理
隨著網絡技術的發展,網絡安全事件發生頻率將越來越高,電信監管部門應及時通報網絡安全信息,重視重大的網絡安全事件。
(五)關于主機、操作系統、數據庫配置方案
基于Intranet體系結構的運營企業的網絡系統,同時兼備廣域網和局域網的特性,是一個范圍覆蓋廣且充分利用了Intranet技術的分布式的計算機網絡,面臨的安全隱患很多,應安裝核心防護產品在需要保護的核心服務器上,部署中央管理控制臺在中央安全管理平臺上,以對全部的核心防護產品進行統一管理。
(六)關于網絡的安全技術水平
監管部門在網絡安全工作中應重視技術手段建設,隨時關注通信網絡的發展趨勢,加強技術研發,提高運營企業的抗擊能力。一直以來,運營企業的安身立命需要保證通信網絡的安全穩定運行。隨著信息通信技術的飛速發展,通信網絡所涉及的各種業務已經滲透到國家社會、政治及生活的各個方面,其地位和作用日趨重要。在新的發展形勢下,網絡的安全穩定已經成為通信運營企業所擔負的社會責任。
五、結語
當今是信息時代,掌握了信息就掌握了主動權,不管是經濟的發展還是戰爭的對抗,信息就是決定一切的先決條件。整個社會都在努力追趕信息時代的步伐,為的就是及時追隨時代的步伐,走在信息時代的最前沿才能掌握發言權。
參考文獻:
[1]楊朝軍.關于計算機通信網絡安全與防護策略的幾點思考[J].應用科學
[2]丁全文.淺談通信網絡的安全與防護[J].信息與電腦,2011,5
[3]馮登國.國內外信息安全研究現狀及其發展趨勢[J].網絡安全技術與應用,2001,1:8-13
[4]姜濱,于湛.通信網絡安全與防護[J].甘肅科技,2006,12,22
第4篇:網絡安全防護方案范文
關鍵詞:計算機網絡;安全;防護;對策
計算機網絡安全具有機密性、完整性、可用性、可控性、可審查性的特點,由于計算機自身的脆弱性、開放性和自由性,使計算機網絡難免存在安全問題,因此,要分析計算機網絡安全問題及其成因,并采取針對性措施,加強內網防護:
1計算機內部網絡的常見安全問題及成因
計算機內部網絡存在的安全問題主要包括:客戶端存在系統漏洞,沒有及時更新補丁,缺乏統一的內部網絡安全策略;筆記本電腦和移動存儲設備隨意接入計算機內部網絡,導致內部網絡信息安全受到威脅;缺乏對計算機內部網絡的點對點監控,對于網絡客戶端的應用軟件缺乏統一化的管理,無法快速、準確、有效地進行對計算機網絡安全事件的響應。
2計算機網絡安全防護對策
計算機網絡安全防護最常見的網絡安全模型是PDRR模型,也即:Protection(防護)、Detection(檢測)、Response(響應)、Recovery(恢復),如下圖所示:防護是預先阻止網絡攻擊事件的發生,是網絡安全的首道屏障;檢測是采用入侵檢測系統和工具,及早檢測出網絡入侵問題,是第二道安全屏障;響應是在發生網絡攻擊(入侵)事件后進行處理,恢復到安全狀態,包括系統恢復和信息恢復。
2.1計算機內網終端安全防護管理系統的設計方案和應用
在計算機網絡安全防護管理系統之中,主要采用三級結構,即:探測器主要監聽網絡動態變化情況;管理中心主要進行計算機網絡數據處理、存儲安全管理;控制臺中樞則通過管理界面、事件查看系統和報表查看系統進行操作和管理,負責網絡數據的轉換、交互和策略分發等工作,并依據報警等級進行安全事件的自動響應、安全檢測、監視。
2.1.1安全防護管理系統接入控制計算機網絡系統要對接入網絡的終端進行掃描、認證和安全檢測,判定接入網絡終端的合法性,查詢其是否安裝殺毒軟件、防火墻,并綁定IP地址、MAC地址,合格后方可接入內網,并對其進行監測和審計。(1)終端接入控制。基于802.1X協議實施終端訪問控制和認證,在認證服務器、核心交換機、用戶認證交換機、用戶終端的支持下,通過不同的通道開展認證業務。同時,要考慮計算機網絡的規模,合理選取不同的認證組網方式,如:集中式組網、分布式組網、本地認證組網等。(2)地址綁定。主要采用TCP/IP協議進行地址綁定,IP協議對應網絡層,使網絡主機的IP地址與其物理地址相對應,能夠采用對應的IP地址訪問網絡資源。(3)終端監控。由監視服務器實現對計算機網絡終端桌面的監視,并生成終端屏幕監控視圖,還利用Windows系統消息處理平臺進行應用程序的監控,及時獲悉和判斷計算機網絡終端用戶的行為。(4)補丁分發。通常由網絡管理員進行補丁分發工作,主要是通過內網部署WSUS服務器,再利用WSUS服務器從網站下載系統補丁,由內網WSUS服務器將該補丁信息傳送至內網終端用戶,實現統一的安全設置,避免內網管理的人為漏洞,提高計算機內部網絡終端的更新效率。
2.1.2日志審計平臺的應用在日志審計平臺之中包括各級模塊,即:日志采集模塊、日志采集中心模塊、日志審計中心模塊和日志存儲中心模塊。具體來說,由日志采集模塊采集計算機網絡數據,使之具有高可靠性、高準確性和高效性,能夠幫助審計系統通過匹配關鍵詞來檢測網絡攻擊或入侵。由日志采集中心模塊接收并緩存各類日志數據,體現出高可靠性和安全性。由日志審計中心模塊采集日志采集中心轉發的系統日志數據,進行關鍵詞匹配檢測和響應處理。由日志存儲中心進行日志數據的分類檢索、數據挖掘、統計分析和存儲。
2.1.3安全聯動技術的應用采用防火墻和入侵檢測系統的安全聯動技術,通過開放式接口實現安全聯動,可以將入侵檢測系統嵌入到防火墻之中,形成嵌入式的安全聯動防護,防止偽造地址實施身份替代攻擊,并有效防止攻擊者化身為入侵檢測系統而導致的網絡安全問題。
2.1.4入侵檢測技術的應用(1)防火墻系統的應用。利用防火墻審查通信的IP源地址、目的地址及端口號,實現對路由器、主機網關、子網的屏蔽,較好地控制網絡進出行為。(2)入侵檢測系統。通過主動的網絡安全防護策略,從系統內部和網絡資源中采集各種信息數據,進行計算機網絡入侵或攻擊行為分析和預測。(3)硬件加密機。采用TCP/IP協議進行硬件加密機和主機之間的通信,能夠支持RSA、DES、SDHI、MD5等多種密碼算法,包括三層密鑰體系,即:本地主密鑰、傳輸主密鑰、工作密鑰等,為計算機網絡提供安全保密的數據通信服務。可以在計算機網絡中配置開源、分布式的Snort入侵檢測系統,通過調用外部捕包程序庫來抓包,捕獲發往計算機網絡主機的數據包,再由包解碼器進行解碼,按照數據鏈路層、網絡層、傳輸層進行逐層解析,再進入預處理程序,由檢測引擎對每個包進行入侵檢測。
2.2計算機網絡安全預警系統的構建
要構建針對網絡行為的計算機網絡安全預警系統,在對網絡使用行為進行分析和預測的前提下,進行及時快速的預警和響應,有效提高計算機網絡的可靠性和安全性。如下圖2所示。
2.2.1數據采集模塊的應用該模塊實時采集受監控子網的數據信息,并進行數據流信息的預處理、統計查詢和分析預測,最后將其存儲于NetFlow數據庫之中。
2.2.2網絡行為分析模塊的應用依據源IP、目的IP、源端口、目的端口、數據包數量等基礎特征值數據,進行網絡行為特征的提取、統計和分析處理。同時,要構建網絡行為分析功能模型,采用聚類分析和關聯分析的方法,構建網絡使用行為序列和模式,進行網絡行為特征分析、檢測,以此作為計算機網絡安全策略決策的依據和參考。
2.2.3網絡行為預測模塊的應用在挖掘獲悉計算機網絡使用行為模式之后,要生成網絡使用行為帶權有向圖,獲悉不同網絡使用行為之間的關聯性,再利用系統模型進行網絡使用行為預測,進行網絡使用行為權值的實時調整,提高計算機網絡安全預警系統的精準性。
2.2.4網絡預警及響應模塊的應用在網絡預警模塊的應用之中,該模塊主要鑒定和識別網絡用戶行為,判定其是否屬于攻擊行為,對攻擊行為的類別、企圖、對象、范圍、可能造成的后果進行分析,并生成計算機網絡安全預警報告表。在策略響應模塊中,主要在發現或預測攻擊行為時采取對應的應急處置和響應,并生成記錄日志,快速高效地擬定計算機網絡安全防護策略。
2.2.5信息模塊的應用該模塊提供直接面向用戶的交互性界面,向網絡管理員直觀展示檢測到的網絡使用行為特征信息,為其提供數據庫和狀態監控功能,分類存儲于不同的數據庫,如:用戶行為模式數據庫、特征值數據庫、有向圖數據庫等。
第5篇:網絡安全防護方案范文
關鍵詞:網絡安全;防護機制;煙草公司;互聯網
隨著Internet技術的不斷發展和網絡應用技術的普及,網絡安全威脅頻繁地出現在互聯網中。近年來,網絡攻擊的目的逐漸轉變為獲取不正當的經濟利益。在此種情況下,加強網絡安全建設已成為各個企業的迫切需要。煙草公司的網絡安全防護機制和安全技術是確保其網絡信息安全的關鍵所在。只有加強防護體系建設和創新安全技術,才能在保證網絡安全的前提下,促進煙草公司的發展。
1縣級煙草公司網絡現面臨的威脅
目前,煙草公司計算機網絡面臨的威脅從主體上可分為對網絡信息的威脅、對網絡設備的威脅。
1.1人為無意的失誤
如果網絡的安全配置不合理,則可能會出現安全漏洞,加之用戶選擇口令時不謹慎,甚至將自己的賬號隨意轉借給他人或與他人共享,進而為網絡埋下了安全隱患。
1.2人為惡意的攻擊
人為惡意的攻擊可分為主動攻擊和被動攻擊,這兩種攻擊都會對煙草公司的計算機網絡造成較大的破壞,導致機密數據存在泄露的風險。比如,相關操作者未及時控制來自Internet的電子郵件中攜帶的病毒、Web瀏覽器可能存在的惡意Java控件等,進而對計算機網絡造成巨大的影響。
1.3網絡軟件的漏洞
對于網絡軟件而言,會存在一定的缺陷和漏洞,而這些缺陷和漏洞為黑客提供了可乘之機。
1.4自然災害和惡性事件
該種網絡威脅主要是指無法預測的自然災害和人為惡性事件。自然災害包括地震、洪水等,人為惡性事件包括惡意破壞、人為縱火等。雖然這些事件發生的概率較低,但一旦發生,則會造成異常嚴重的后果,必須嚴以防范。
2構建煙草公司信息網絡安全防護體系
要想形成一個完整的安全體系,并制訂有效的解決方案,就必須在基于用戶網絡體系結構、網絡分析的基礎上開展研究。對于安全體系的構建,除了要建立安全理論和研發安全技術外,還要將安全策略、安全管理等各項內容囊括其中。總體來看,構建安全體系是一項跨學科、綜合性的信息系統工程,應從設施、技術、管理、經營、操作等方面整體把握。安全系統的整體框架如圖1所示。安全系統的整體框架可分為安全管理框架和安全技術框架。這兩個部分既相互獨立,又相互融合。安全管理框架包括安全策略、安全組織管理和安全運作管理三個層面;安全技術框架包括鑒別與認證、訪問控制、內容安全、冗余與恢復、審計響應五個層面。由此可見,根據煙草公司網絡信息安全系統提出的對安全服務的需求,可將整個網絡安全防護機制分為安全技術防護、安全管理和安全服務。
2.1安全技術防護機制
在此環節中,旨在將安全策略中的各個要素轉化成為可行的技術。對于內容層面而言,必須明確安全策略的保護方向、保護內容,如何實施保護、處理發生的問題等。在此情況下,一旦整體的安全策略形成,經實踐檢驗后,便可大幅推廣,這有利于煙草公司整體安全水平的提高。此外,安全技術防護體系也可劃分為1個基礎平臺和4個子系統。在這個技術防護體系中,結合網絡管理等功能,可對安全事件等實現全程監控,并與各項技術相結合,從而實現對網絡設備、信息安全的綜合管理,確保系統的持續可用性。
2.2安全管理機制
依據ISO/IEC17700信息安全管理標準思路及其相關內容,信息安全管理機制的內容包括制訂安全管理策略、制訂風險評估機制、建設日常安全管理制度等。基于該項內容涉及的管理、技術等各個方面,需各方面資源的大力支持,通過技術工人與管理者的無隙合作,建立煙草公司內部的信息安全防范責任體系。2.3安全服務機制安全服務需結合人、管理、產品與技術等各方面,其首要內容是定期評估整個網絡的風險,了解網絡當前的安全狀況,并根據評估結果調整網絡安全策略,從而確保系統的正常運行。此外,還可通過專業培訓,進一步促進煙草公司員工安全意識的增強。
3煙草公司的網絡信息安全技術
3.1訪問控制技術
在煙草公司的網絡信息安全技術中,訪問控制技術是最重要的一項,其由主體、客體、訪問控制策略三個要素組成。煙草公司訪問用戶的種類多、數量大、常變化,進而增加了授權管理工作的負擔。因此,為了避免發生上述情況,直接將訪問權限授予了主體,從而便于管理。此外,還應革新并采用基于角色的訪問控制模型RBAC。
3.2數字簽名技術
在煙草公司,數字簽名技術的應用很普遍。數字簽名屬于一種實現認證、非否認的方法。在網絡虛擬環境中,數字簽名技術仍然是確認身份的關鍵技術之一,可完全代替親筆簽名,其無論是在法律上,還是技術上均有嚴格的保證。在煙草公司的網絡安全中應用數字簽名技術,可更快地獲得發送者公鑰。但在這一過程中需要注意,應對發送者私鑰嚴格保密。
3.3身份認證技術
身份認證是指在計算機與網絡系統這一虛擬數字環境中確認操作者身份的過程。在網絡系統中,用戶的所有信息是用一組特定的數據來表示的;而在現實生活中,每個人都有著獨一無二的物理身份。如何確保這兩種身份的對應性,已成為相關工作者遇到的難題。而采用身份認證技術可很好地解決該難題。該技術主要包括基于隨機口令的雙因素認證和基于RKI體制的數字證書認證技術等。基于口令的身份認證技術具有使用靈活、投入小等特點,在一些封閉的小型系統或安全性要求較低的系統中非常適用;基于PKI體制的數字證書認證技術可有效保證信息系統的真實性、完整性、機密性等。
4結束語
綜上所述,安全是煙草公司網絡賴以生存的重要前提,網絡安全的最終目標是確保在網絡中交換的數據信息不會被刪除、篡改、泄露甚至破壞,從而提高系統應用的可控性和保密性。因此,煙草公司必須具備一套行之有效的網絡安全防護機制,增強自身網絡的整體防御能力,研發網絡安全立體防護技術。只有建立完善的信息安全防范體系,才能使煙草公司內部的重要信息資源得到有效保護。
參考文獻
[1]張玨,田建學.網絡安全新技術[J].電子設計工程,2011,19(12).
第6篇:網絡安全防護方案范文
【關鍵詞】計算機 網絡 安全與防護
在第三次科技革命中,計算機與互聯網的廣泛應用正在改變著我們的生產與生活的方式。二十一世紀以來,計算機技術的發展速度可以說是舉世矚目,在快速發展的信息技術以及巨大的應用市場的帶動下,計算機以其獨有的優勢,正逐漸被廣泛應用在我們生產與生活的各個方面。特別是隨著網絡的普及,信息的全球互聯與分享已經讓世界逐漸地形成了一個地球村。我們在領略與享受這種由計算機網絡所帶來的巨大的快捷與便利的同時,也在遭受著由于計算機網絡的漏洞以及黑客與病毒的攻擊而帶來的一系列困擾,甚至還會造成嚴重的經濟損失。據報道,在幾年前的我國網上傳播的一個“熊貓燒香”的網絡病毒,直接導致很多網站無法正常打開與運營,間接經濟損失超過億元,這為我們的計算機網絡的安全與防護再次敲響了警鐘。加強與提升對計算機網絡安全的防護水平已經提上了議事日程。本文從計算機安全的相關概念入手,在分析我國當前的計算機網絡安全與防護的現狀的基礎上,對其今后的網絡安全防護提出了一些參考性的建議,希望能有助于我國計算機網絡安全與防護理論的進一步發展與完善。
1 計算機網絡安全的概念與基本組成
1.1 計算機網絡安全的概念
計算機網絡安全是計算機安全的重要組成部分,它主要是指信息在計算機網絡的傳播過程中,能夠避免或保證信息的丟失、泄漏與篡改等方面。最為計算機安全的一部分,計算機網絡安全是針對計算機安全中的信息安全而界定的。我們平常所熟悉的計算機安全主要涉及計算機的兩個層面,一個是我們比較熟悉的硬件層面,也就是關于計算機的相關硬件一設備在操作過程中避免人為的損害。另一種是計算機的軟件層面,主要包括對計算機內部主要操作系統與應用軟件的有效保護,避免在操作過程中的惡意攻擊而造成操作系統的無法正常運行等。在計算機安全領域,我們還會將計算機安全進一步劃分為物理層面的安全,這與上文所提到的計算機的硬件安全,內涵基本趨同。另一點就是計算機在邏輯層面的安全,這也就是本文所要研究的重點,計算機的網絡安全,主要是涉及計算機的信息安全。
1.2 計算機網絡安全的基本組成
計算機網絡安全是一個比較復雜的體系,它一方面包含著具體的網絡安全所需要的相關數據與設備支持,另一方面,還包括一系列的對計算機網絡安全的防護與管理。具體來說,在計算機網絡安全體系中,首先是要確保網絡硬件的安全,也就是要確保信息傳遞過程中所經由的基本物理實體要安全保密,保障信息在傳輸過程中的高效與無誤,在確保包括傳輸線路等一系列的網絡實體的安全過程中,還要確保包括文件傳輸協議在內的相關信息與數據的安全傳輸,從而避免由于不正當的入侵而造成信息的丟失,復制與篡改。在此基礎上,計算機網絡安全中,還需要一系列的預警與防護機制來更好地實現對計算機網絡安全的有效防護。這其中包括對計算機網絡運營安全的監管,以及相關制度與法規的設立。
2 我國計算機網絡安全的發展現狀
根據國家信息產業部的最新的統計數字表明,在未來的10到20年,我國的與計算機有關的相關技術產品的研發與推廣,將會為整個經濟技術的發展注入更大的推動力。目前據世界計算機應用機構的粗略統計,到目前為止,每年與計算機網絡系統相關的銷售將會突破近千億大關,這是一個非常龐大的數字。我國在計算機網絡的發展與建設方面取得了比較可喜的成就,互聯網絡已經基本覆蓋了我國社會發展與生產、生活的各個層面。但是在如此迅速發展的互聯網的背后,我們的計算機網絡安全的發展現狀與歐美等發達國家相比還存在著很大的發展空間,這種安全的問題一方面來自系統的設計本身有可能存在著一定的數據與安全隱患與缺陷,另一方面,是來自包括互聯網在內的,各種可能的病毒的攻擊,因此安全問題不可以輕視。在快速發展的時代,網絡安全是大眾普遍的也是必然的需求,只有不斷地提升計算機網絡的安全性,才會更好的服務與滿足越來越多樣的大眾需求。目前我國計算機網絡安全問題主要表現在:
2.1 計算機網絡安全技術有待提升
我國已經成了計算機網絡大國,但是與計算機網絡強國之間還存在著很大的差距,由于在計算機網絡的發展過程中,我國比較注重量的覆蓋,在質的方面留下了很多的安全隱患。特別是在一些比較尖端的計算機網絡安全技術方面的創新性不足,甚至一些領域的應用軟件還對國外計算機技術存在著一定的依賴性。這些都嚴重地制約了我國的計算機網絡安全的獨立發展。
2.2 計算機網絡安全的防護意識有待加強
在計算機網絡的主要應用領域,特別是最近比較火爆的電子商務等領域,由于計算機網絡安全與防護方面的意識比較淡薄,很多企業缺乏足夠的防范意識與預警機制,在日常的網絡維護的過程中,缺乏高標準的防火墻體系,這些都為計算機網絡安全埋下了隱患。尤其是,隨著計算機網絡的普及,我國雖然設立了包括實名上網的制度,但是對于計算機病毒的防護等方面還處在一個比較被動的局面。
2.3 計算機網絡安全的防護法規的不健全
我國正在經歷一個經濟、政治發展的轉型期,在這個階段,我們的計算機網絡安全的立法與執法方面的體系與制度還需要進一步地完善。這種由于法規監管的缺失,每年因為計算機網絡安全而造成的經濟損失已經高達上億元。因此,加強相關法規對計算機網絡安全的有效監管與防護是下一步政府相關職能部門工作的主要方向。
3 計算機網絡安全與防護的對策分析
從計算機安全,特別是計算機網絡安全的基本概念我們可以看出防護計算機的安全應該從物理與邏輯兩個層面來入手。具體來說:
3.1 物理層面的計算機網絡安全的防護對策
從物理層面上對計算機網絡安全的防護,就是在一些涉及國家民生與關鍵領域的計算機網絡中。要從物理層面與公共網絡進行一定的隔離或者是保密處理,對與網站機相關數據的訪問設定嚴格的準入制度,最大限度的保持網絡的相對獨立性。在此基礎上,要進一步對計算機的相關操作硬件進行性能的提升,提高其抗病毒機黑客入侵的干擾的與防護的水平與能力。需要指出的是,計算機作為網絡運行的主要載體,要不斷地對其主要的系統進行不斷地升級以滿足不斷升級的技術要求。爭取在計算機物理系統運用之前,測試并診斷,從而保證其呈現出最佳的工作狀態。與此同時,在物理系統的具體運用的階段,要不斷的根據生產與生活運用過程中,出現的新問題,來不斷的進行系統的調試與更新,不斷保持其物理系統的先進性。
3.2 邏輯層面的計算機網絡安全的防護對策
邏輯層面的防護主要是指在信息的傳遞過程中那個的網絡安全。目前比較常用的就是防火墻技術。利用防火墻技術可以有效的阻止不明身份的登錄以及對網絡相關信息的讀取,從而在源頭上為網絡信息的安全構筑一個屏障。具體來說,隨著計算機網絡安全與防護技術的不斷進步與升級,對于信息的加密傳輸的技術也在不斷地應用在計算機網絡安全防護領域。通過這種信息的加密處理可以有助于網絡傳輸過程中的相關信息的準確傳遞。同時,相關的計算機技術部門應該本著高度負責的態度,在計算機網絡安全的研發與檢測階段,將系統的缺陷與不足進行最大程度的改良與提升。特別是在測試方面要不斷豐富測試的相關數據指標與內容,不斷鉆研測試的信度與可靠性,為邏輯層面的網絡安全防護提供更為有利的技術支持。
3.3 開展全球網絡安全防護應對機制
在當今的網絡發展的時代,網絡已經真正地跨越了國家與地區,成為人類交流信息的共有資源與平臺,在全球互聯的今天,我們也要看到由于網絡的這種傳播性,一些具有較強的攻擊力的計算機網絡病毒極易造成大面積乃至全球范圍的影響與破環。因此,在國際上建立網絡安全的預警機制與防護平臺有助于在第一時間將計算機病毒的全球破壞性降到最低。這一方面,是計算機網絡的世界互聯為一體的特性決定的,另一方面,也是面對計算機網絡安全與防護的嚴峻形勢所必須要采取的舉措。
3.4 繼續推進計算機網絡安全的監管法規的建設
在我國計算機網絡的發展過程中,法制的建設應該是先行的,至少應該與其發展保持同步,從而發揮保駕護航的價值與作用。可是由于我國當前正處于經濟發展的轉型階段,因此,一些法律與法規還有待進一步地修訂與完善。特別是關于計算機網絡資源的監管,以及具體的實施方案還需要在實踐中發揮更好的法律規范的效力。由于計算機網絡帶有很大的匿名性,很多的計算機網絡黑客會利用一些技術手段來對網絡的安全漏洞進行破環。這種威脅計算機網絡安全的行為需要借助法律的手段來進行嚴厲的打擊。由于我國在計算機網絡安全的監管法規等方面的不完善,目前我國的計算機網絡安全的法規與制度還無法適應與滿足當前的計算機網絡安全的防護需要。因此,我國立法機關,應該在借鑒歐美等發達國家相關法規的基礎上,從我國的計算機網絡安全的具體實際出發,制定具有中國特色的計算機網絡安全的監管法規,從而為計算機網絡安全的防護保駕護航。
3.5 加強科技創新,提高計算機網絡安全的技術水平
計算機網絡安全的防護是一個系統的過程,需要我們從硬件到軟件都要進行全方位的考慮。一方面,我們要大力構筑安全的計算機網絡安全實體,另一方面要不斷加強科技創新,不斷地提升我國在計算機領域,特別是在計算機網絡與安全領域的技術水平。當然這需要一大批的計算機專業人才的不懈努力,所以,培養具有較高科研水平的計算機網絡安全防護人才是未來我國計算機教育培養的重點方向。
3.6 提高計算機網絡安全的防護意識
在所有的計算機網絡安全與防護的對策中,除了技術手段的更新與升級以外,應該從計算機網絡整體發展考慮進一步地提升大家在網絡使用時的安全防護意識。從信息的輸入到相關文件與程序的打開要主要進行病毒的掃描與清除。只有提高每一位計算機用戶的網絡安全的使用意識,才會進一步減少網絡安全受到破壞而帶來的不利影響。與此同時,計算機網絡安全使用者應該積極的舉報發現的計算機網絡病毒,為相關的政府職能部門制定相應的解決策略提供必要的支持,形成一個全民反計算機病毒的氛圍,構筑良好的計算機網絡安全發展的環境。
4 結語
計算機網絡是上個世紀最偉大的發明之一,它的出現讓我們的生產與生活發生了翻天覆地的變化。我們在享受計算機網絡所帶來的發展的便捷的同時,也要最大限度地避免由于計算機網絡安全而帶來的一系列的問題。本文簡要分析了計算機網絡安全的基本組成,從計算機網絡的防護的主要層面進行了剖析,并從立法與全球合作與技術創新等維度對加強計算機網絡安全提出了一些參考性的建議,希望能為計算機網絡安全的理論研究與發展貢獻綿薄之力。
參考文獻
[1]官有保,晉國卿.計算機網絡安全問題和防范措施[J].科技廣場,2011(09):45-46.
[2]馬睿.淺談計算機網絡安全的防控[J].北方經貿,2011(11):125-127.
[3]陳祖新.談現代計算機網絡安全和防范技術[J].信息與電腦(理論版),2011(11):110-111.
[4]黎明.計算機網絡安全與防護[J].現代營銷(學苑版),2011(11):47-49.
[5]鄭懷宇,王建烽.常見網絡攻擊手段及安全防范探討[J].科技創新導報,2009(22):60-61.
作者簡介
李玉輝(1993-),男,遼寧省錦州市人。大學本科學歷。計算機科學與技術師范專業。
第7篇:網絡安全防護方案范文
通信網絡是指將各個孤立的設備進行物理連接,實現人與人、人與計算機、計算機與計算機之間進行信息交換的鏈路,從而達到資源共享和通信的目的,應用通信網絡信息可以為各個領域的管理提供堅實的信息支持。主要針對通信網絡信息應用意義及安全防護措施進行分析。
關鍵詞:
通信網絡信息;應用意義;安全防護
0引言
所謂的通信網絡信息就是指由網絡和通信技術組合而成的綜合信息系統,這為建設現代化科學社會作出了巨大的貢獻。隨著通信技術的不斷發展,通信網絡技術發展水平也日益提高,具有了更加廣泛的應用價值。同時,通信網絡信息安全防護也成為了當前網絡發展的首要問題,有關單位、部門要重視通信網絡信息的安全性,采取有效的保護措施,建立一個健康穩定的通信網絡環境。
1通信網絡信息的應用意義
1.1在電力系統領域
在通信網絡信息迅猛發展的今天,通信網絡技術在電力線路通信領域也得到了相應的推廣和使用,為我國的電力系統發展提供了強有力的保證。以電力線路為基礎下的PLC網絡通信技術,具備快速、方便等多元化的特點。為了保障PLC網絡通信技術得到廣泛使用,需要在一定的空間范圍內以頻帶的方式完成,通常會采用調制技術和信號兩種方式實現。①需要進行數據信息的調制。②將合成的數據信息進行有效的傳播。③通過特定的接受設備接收信號。在對相對應的數據信息進行接收時,第一步要做的就是將信號進行還原,對有效信息數據進行過濾處理。在數據信號傳送時,普遍采用多載波正交頻分復用技術,該技術可以大幅提升信息傳送效率,在電力系統領域具有重大的應用意義。
1.2企業管理方面
在企業管理中應用通信網絡信息技術有著重要的意義。主要表現在TCP/IP套接字技術的應用,此類技術可以及時解決企業運營中出現的問題。在TCP/IP網絡通信技術中最為基礎的單元就是套接字,通過套接字技術能夠將網際與主機之間構成一個有效的編程界面,建成每個相連主機的通信節點。TCP/IP套接字技術普遍需要以網絡環境為基礎,同時要在每一個節點都構建相對應的套接字,只有這樣才能為企業管理工作的開展提供信息支持。
1.3航海導航方面
在海艦船舶中最為關鍵核心的部分當屬導航儀,導航儀能夠為船舶提供準確的位置、落點和發射等數據。隨著海艦船舶技術的不斷發展進步,也對導航儀的精準性提出了越來越高的要求。在導航儀中加入通信網路信息技術,對于提高海艦船舶作戰效率有著積極的作用。傳統的海艦船舶導航儀在數據信息傳送中通常采用串行口技術進行信息的交流,這種技術雖然具有極高的安全可靠性,但是在進行龐大信息交流時,傳輸效率與質量并不高,很容易出現信息延誤的情況。在這一背景下,CAN通信網絡信息技術應運而生。CAN通信網絡信息技術不僅具有傳統技術的安全可靠性,同時也具有了良好的創新力,滿足了信息數據傳輸的高效、快速、低成本與遠距離需求。
2通信網絡信息的安全防護措施
2.1加強信息安全構建管理
通信網絡信息技術雖然有著顯著的優勢,但是也有著一些不足,其中最為突出的就是信息安全性問題。一旦信息安全性受到影響,必然會給使用者帶來損失。根據現階段國家的相關規范,相關企業在設計通信網絡信息安全防護體制和流程時,必須要首先確保其科學性和合理性,制訂出完善的通信網絡信息安全防控方案,利用權限約束和監管方式,對網絡管理人員進行必要的監管和約束。此外,還要以國家通信網絡信息安全防護規章制度為中心,大力展開網絡信息安全防護管理措施,對通信網絡進行全方位的監管,突出重點問題,實現全員參加、專人監管的戰略目標。
2.2加強網絡信息安全人員的管理
政府和網絡信息安全相關部門、單位要在全國范圍內設立不同級別的網絡信息安全常設領導單位,完善我國通信網絡信息安全專門監管組織,對通信網絡信息相關安全事宜作出明確的規定與監管。在通信網絡信息監管職能的設定上,要因地制宜,發揮出每一個工作人員的才能,將工作職能進行有效的劃分。在對通信網絡信息人員進行培訓時,不僅注重專業技能的培訓,還要做好保密培訓工作。在通信網絡信息客戶的篩選工作中,無論是政府部門還是企業單位,在實施第三方信息數據搜索時都要進行嚴格的審查,利用危害解析等方式最大限度地提升通信網絡信息的安全性。
3結語
在對國內外通信網絡信息監管措施和經驗借鑒的基礎上,還要依據我國的互聯網發展情況和政府要求,從宏觀大局到微觀控制上構建通信網絡信息安全監管系統,保證地區劃分、IP專網接入和產品安全檢測等領域的安全性,不斷完善通信網絡信息安全保證體系、安全監管系統和網絡信息安全運營體制。只有采取這種多管齊下的措施,才能夠充分發揮出通信網絡信息的應用效果。
參考文獻:
[1]如先姑力•阿布都熱西提.信息時代的計算機網絡安全及防護策略研究[J].電腦知識與技術,2015(6).
[2]劉忻.基于信息安全的移動APP開發策略研究[J].網絡安全技術與應用,2015(11).
[3]劉國慶,閆桂林.計算機網絡信息安全及防護策略研究[J].電子技術與軟件工程,2015(8).
第8篇:網絡安全防護方案范文
近年來,隨著我國社會經濟的不斷發展,國家對教育事業的支持和投入不斷增加,我國的高等教育從深度和廣度上都有了顯著的發展和提高。信息化、網絡與計算機技術的不斷發展也為教育事業提供了強有力的支持手段,為教育模式的創新、先進教育理念提供了可靠的實現方法。
高校信息化主要以數字化校園建設為主,主要內容包括校園信息管理系統、數據中心、統一信息門戶、統一身份認證、校園一卡通、網絡安全體系等;大學數字化校園建設通常先提出總體解決方案,確定數字化校園的體系結構,制定數字化校園的信息標準,以及各系統之間的接口標準,然后分階段實施。建立全校的網絡安全體系,保證校園網絡的安全,保證關鍵數據、關鍵應用的安全以及關鍵業務部門的安全,實現校園網絡及其應用系統的安全高效運行。
1教育信息化中的安全體系建設
在教育信息化建設過程中,信息安全體系是保障教育信息系統的信息完整、系統可用和信息保密的重要支撐體系,對各級學校、職業教育、教育主管機構的正常工作起到了至關重要的保障作用。各級教育主管部門對教育信息系統的安全體系建設給予了充分的重視,也是由于教育信息系統的復雜性、多樣性、異構性和應用環境的開放性,給整個信息系統帶來了巨大安全威脅。以高校數字校園信息系統為例,高校數字校園信息系統的建設是由高校業務需求驅動的,初始的建設大多沒有統一規劃,有些系統是獨立的網絡,有些系統又是共用一個網絡。而這些系統的業務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。當前高校網絡系統是一個龐大復雜的系統,在支撐高校業務運營、發展的同時,信息系統面臨的信息安全威脅也在不斷增長、被發現的脆弱性或弱點越來越多、信息安全風險日益突出,成為高校面臨的重要的、急需解決的問題之一。在進行數字化校園建設的過程中,也曾發生不少信息安全事件,如某高校數據中心一臺服務器被黑客入侵,成為肉雞,被植入僵尸木馬程序,受黑客控制瘋狂往外網發包,導致學校網絡出口癱瘓;某高校在高招中發現網站被掛馬、篡改,并且學校內部也曾經發現學生成績的數據庫,有被惡意篡改的痕跡。
2網絡安全威脅分析
(1)高校網站的安全威脅,包括高校門戶網站、高校招生網站、二級各院系等網站,由于高考、招生、學生就業等敏感時期,聚集了大量的學生及家長訪問流量,也引起黑客的關注,高校網站面臨的主要安全威脅有:網頁被掛馬、被篡改,黑客通過SQL注入、跨站腳本等攻擊方式,可以輕松的拿到高校網站的管理權限,進而篡改網頁代碼;部分攻擊者將高校網站替換成黃色網站,影響極其惡劣。每年高考招生及高校重要節日期間,高校門戶網站極易被DDOS攻擊,這種由互聯網上發起的大量同時訪問會話,導致高校網站負載加劇,無法提供正常的訪問。入侵者成功獲取WEB服務器的控制權限后,以該服務器為跳板,對內網進行探測掃描,發起攻擊,對內網核心數據造成影響。(2)隨著校園網信息化的逐步深入,業務系統眾多,“一卡通”、教學信息管理系統、電子圖書館、教育資源庫等信息化業務系統均普遍的被各大高校采用,而這些系統由于管理及防護不到位,面臨著較嚴重的安全威脅:業務系統缺乏必要的入侵防護手段,高校網絡規模擴張迅速,網絡帶寬及處理能力都有很大的提升,但是管理和維護人員方面的投入明顯不足,沒有條件管理和維護數萬臺計算機的安全,一旦受到黑客攻擊,無法阻斷攻擊并發現攻擊源;部分高校“一卡通”充值系統與銀行互聯,邊界缺乏必要的隔離和審計措施,出現問題不方便定位,難以追查取證;校園網數據中心內的系統應用眾多、服務器眾多,管理及維護方式也不盡相同,無法做到所有的系統實施統一的漏洞管理政策。同時,對于存在安全隱患的配置檢查,也缺乏自動化的高效檢查工具和控制手段;業務系統權限控制不合理,有安全隱患。
3需求分析
根據對高校校園網絡的威脅分析,得出在校園網絡安全體系建設中,各個網絡區域和業務系統的安全需求如下:
(1)校園網絡出口應對可能發生的拒絕服務攻擊進行有效識別、過濾、清洗,保證網絡出口的暢通,保證骨干鏈路的負載處于正常范圍之內。(2)網絡出口鏈路應有相應措施,對來源于公網或內網的黑客入侵、病毒傳播等安全威脅進行實時識別與阻斷。(3)DMZ區及內網服務器區出口鏈路上,應對針對WEB應用的7層攻擊,如SQL注入、XSS、HTTP GET FLOOD等威脅進行全面深入的防護。(4)應對流經核心交換區域的所有流量進行深入的檢測,以識別內部各網絡區域之間發生的入侵事件和可疑行為。(5)應對內網用戶的網絡行為,如公網訪問、數據庫訪問等進行全面的記錄和審計,以滿足違規事件發生后的追查取證。(6)應在不同校區之間的鏈路接口進行訪問控制、病毒檢測、入侵防護等安全控制措施。
應對全網的網絡節點進行漏洞風險管理,實現漏洞預警、漏洞加固和漏洞審計的全程風險控制。(7)應對全網的網絡節點進行配置合規管理,實現違規配置及時識別、配置整改全面深入、配置風險全程可控。(8)應對運維管理人員進行詳細嚴格的權限劃分,并通過技術手段控制運維行為權限,對運維行為進行全程審計,對違規運維操作進行實時告警。
4遵循等保要求
2009年11月,教育部為進一步加強教育系統信息安全工作,由辦公廳印發《關于開展信息系統安全等級保護工作的通知》(教辦廳函[2009]80號),決定在教育系統全面開展信息安全等級保護工作;等級保護不僅是對信息安全產品或系統的檢測、評估以及定級,更重要的是,等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,是一項基礎性和制度性的工作。通過等級化方法和高校信息安全體系建設有效結合,設計一套符合高校需求的信息安全保障體系,是適合我國國情、系統化地解決高校信息安全問題的一個非常有效的方法。
5網絡安全建設方案
(1)在校園網出口處旁路部署抗拒絕服務攻擊系統(ADS)對拒絕服務攻擊流量進行清洗,并且旁路部署網絡流量分析系統(NTA)對網絡流量組成和DDOS攻擊成分進行分析和判斷。在正常環境下,旁路部署的ADS不參與網絡出口流量的路由和交換,邊界路由器通過NETFLOW等技術將流量信息發送給NTA,由NTA分析流量特征,判斷是否遭受DDOS攻擊。當發現遭受DDOS攻擊時,NTA將激活ADS,由ADS向邊界路由器發送針對特定防護目標IP的路由,將所有去往被攻擊目標IP的流量牽引至ADS設備。ADS系統進行惡意流量的識別和清洗,將不含有攻擊成分的合法流量回注至邊界路由器,按正常路由路徑發送至目標IP。(2)在出口鏈路部署入侵防護系統,對接入互聯網的訪問流量進行深入過濾,有效抵御源自公網的入侵威脅,消除安全風險。(3)在DMZ區和內網服務器出口處部署WEB應用防火墻,對服務器區的WEB服務器進行全方面的防護,對針對WEB站點的黑客攻擊,惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網頁篡改等攻擊手段進行深入防護。保障網站、電子教務系統、一卡通系統等應用系統的正常工作。(4)在核心交換區旁路部署安全審計系統,通過將核心交換機上各端口的流量鏡像到安全審計系統的監聽鏈路,實現對流經核心交換機的網絡數據進行全程的審計和過濾。通過制定詳細的安全審計策略,對違反審計策略的網絡行為進行實時告警。此外,安全審計系統由部署在網絡運維區的安全中心進行統一監控與策略下發,并實時收集網絡時間日志和告警信息。(5)在核心交換區域的出口鏈路部署下一代防火墻,實現出口鏈路的流量檢測和安全過濾,保護內部網絡安全。建議在核心交換區域與各個校區的網絡邊界處部署下一代防火墻,通過下一代防火墻對應用層攻擊、病毒進行全面阻斷,可實現基于源/目的IP地址、協議/端口、時間、用戶、VLAN、VPN、安全區的訪問控制,保證不同網絡區域之間的安全防護邊界完整。同時,通過安全管理區的安全管理服務器上安裝安全中心對該設備進行全面的管理。
第9篇:網絡安全防護方案范文
關鍵詞:信息管理;網絡安全;存在隱患;防范策略
中圖分類號:TN948文獻標識碼: A
引言
隨著計算機應用的不斷普及,其網絡安全的重要性也在不斷的提高。網絡安全出現問題不但會給個人或者企業造成嚴重的損失,甚至會直接威脅到國家的安全,所以,我們必須提高網絡安全方面的意識。在網絡運用的過程中,病毒以及各種黑客攻擊是無法避免的,所以必須根據實際的需要進行安全防范體系的建立,不斷的進行技術的更新,利用各種技術進行防御,并有針對性的制定網絡管理方面的制度,做好管理方面的工作,避免出現人為泄密的情況,保證計算機網絡應用的安全,維護個人利益和國家利益。
一、現階段計算機網絡安全技術的局限性
如果談到網絡安全技術,就必須提到網絡安全技術的三大主流那就是防火墻技術、入侵檢測技術以及防病毒技術。我們任何一個用戶,在剛剛開始面對安全問題的時候,考慮的往往就是這三方面的問題。可以說,這三種網絡安全技術為整個網絡安全建設起到了功不可沒的作用,但是傳統的安全問題或者說是以其為主的安全產品正面臨著許多新的問題,安全最麻煩的問題所在是“復雜性”,也可以說網絡的安全問題是組織管理和決策的問題。首先,從用戶角度來看,雖然系統中安裝了防火墻,但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾。其次,未經大規模部署的入侵檢測單個產品在提前預警方面存在著先天的不足,且在精確定位和全局管理方面還有很大的空間。再次,雖然很多用戶在單機、終端上都安裝了防病毒產品,但是內網的安全并不僅僅是防病毒的問題,還包括安全策略的執行、外來非法侵入、補丁管理以及合規管理等方面。
二、計算機網絡安全的隱患
1、計算機軟件漏洞
無論多強大的軟件都存在缺陷以及漏洞,攻擊者可以很“方便”的通過漏洞對計算機系統進行破壞,造成主機癱瘓、重要資料丟失等,嚴重影響系統的正常運行。
2、黑客攻擊
這是一種最嚴重的網絡安全威脅。攻擊者通過各種方式尋找系統脆弱點或系統漏洞,由于網絡系統同構冗余環境的弱點是相同的,多個系統同時故障的概率雖小,但被攻破可能性卻大,通過攔截、竊取等多種方式,向系統實施攻擊,破壞系統重要數據,甚至系統癱瘓,給網絡安全帶來嚴重威脅。
3、病毒的危害
網絡病毒發病和傳播速度極快,不僅嚴重地危害了用戶計算機安全,而且極大的消耗了網絡資源,造成網絡擁塞,給每一個用戶都帶來極大的不便。同時外來攻擊和內部用戶的攻擊越來越多、危害越來越大,已經嚴重影響到了網絡的正常使用。
4、網絡自身的安全缺陷
網絡是一個開放的環境,TCP/IP是一個通用的協議,即通過IP地址作為網絡節點的唯一標識,基于IP地址進行多用戶的認證和授權,并根據IP包中源IP地址判斷數據的真實和安全性,但該協議的最大缺點就是缺乏對IP地址的保護,缺乏對源IP地址真實性的認證機制,這就是TCP/IP協議不安全的根本所在。通過TCP/IP協議缺陷進行的常見攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協議攻擊、SYN攻擊等等。
三、對網絡安全的防范策略
1、物理安全策略的防范
物理安全策略的目的在于:第一,保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;第二,驗證用戶的身份和使用權限,防止用戶越權操作;第三,確保計算機系統有一個良好的電磁兼容工作環境;第四,建立完善的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞等活動的發生。所以,要保證計算機網絡系統的安全、可靠,必須保證系統實體有一個安全的物理環境條件。
安全的環境是指機房及其設施,主要包括:第一,計算機系統的環境條件。計算機系統的安全環境條件包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,它們都有具體的要求和嚴格的標準;第二,機房場地環境的選擇。為計算機系統選擇一個合適的安裝場所十分重要,它直接影響到系統的安全性和可靠性。所以,在選擇計算機機房場地時,要注意其外部環境的安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強噪聲源,避免設在建筑物高層和用水設備的下層或隔壁,還要注意出口和入口的管理;第三,機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數據而采取的安全措施和對策。
為保障區域安全,首先,應考慮通過物理訪問控制來識別訪問用戶的身份,并對其合法性進行驗證;其次,必須限定訪問者的活動范圍;第三,在計算機系統中心設備外設置多層安全防護圈,以防止非法暴力入侵;第四,設備所在的建筑物應具有抵御各種自然災害的設施。
2、訪問控制策略的防范
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。以下是常用的訪問控制策略:
2.1入網訪問控制
入網訪問控制為網絡訪問提供了第一層訪問控制,它控制著哪些用戶能夠登錄服務器,并獲取網絡資源,還能控制準許用戶入網的時間以及允許他們在哪臺工作站入網。用戶的入網訪問控制分用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查這三個步驟。只有用戶通過全部關卡,才能進入該網絡,任何一關沒有通過,便不能進入該網絡。
2.2網絡的權限控制
網絡的權限控制是針對網絡非法操作而提出的一種安全保護措施。用戶和用戶組被賦予一定的權限,控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源,也可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。
2.3目錄級安全控制
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指一個網絡系統管理員應當為用戶指定適當的訪問權限,這些訪問權限控制著用戶對服務器的訪問。
2.4屬性安全控制
當使用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。用戶對網絡資源的訪問權限對應一張訪問控制表,用以表明用戶對網絡資源的訪問能力。
2.5網絡監測和鎖定控制
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源以及非法網絡的訪問,服務器應以圖形、文字或聲音等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進入網絡,網絡服務器就會自動記錄企圖進入網絡的次數,如果非法訪問的次數達到設定的數值,那么該賬戶將被自動鎖定。
2.6網絡服務器安全控制
網絡允許在服務器控制臺上執行一系列操作,用戶使用控制臺可以裝載和卸載模塊,也可以安裝和刪除軟件等操作。
2.7網絡端口和節點的安全控制
網絡中服務器的端口往往使用自動回呼設備和靜默調制解調器加以保護,并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶,靜默調制解調器用以防范黑客的自動撥號程序對計算機造成的攻擊。
2.8防火墻控制
防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低局部重點或敏感網絡安全問題對全局網絡造成的影響。
結束語
綜上所述,根據對計算機信息管理技術在網絡安全之中的應用進行全面的分析,從實際的角度出發論述了現代化的計算機信息管理技術的安全性增強措施與技術方案,旨在進一步的推動技術的創新,完善信息安全技術的管理手段。
參考文獻
[1]堯新遠.計算機信息管理技術在網絡安全中的應用[J].軟件,2013.06.
