网络安全防护管理办法篇1
关键词:办公自动化网络网络安全病毒黑客
1、前言
企业内部办公自动化网络一般是基于tcrilp协议并采用了internet的通信标准和web信息流通模式的intra-net,它具有开放性,因而使用极其方便。但开放性却带来了系统人侵、病毒人侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。
办公自动化系统的安全包括网络设备、配套设备的安全、数据的安全、通讯的安全、运行环境的安全,还包括网络内部每台计算机的安全、计算机功能的正常发挥等部分。办公自动化网络安全问题的解决主要应从预警、防护、灾难恢复等三方面人手,下面就安全预警、数据安全防护、人侵防范、病毒防治以及数据恢复等方面分别探讨。
2、办公自动化网络常见的安全问题
(1)网络病毒的传播与感染
随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。网络病毒普遍具有较强的再生机制,可以通过网络扩散与传染。一旦某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。
(2)黑客网络技术的入侵
目前的办公自动化网络基本上都采用以广播为技术基础的以太网。在同一以太网中,任何两个节点之间的通信数据包,不仅可以为这两个节点的网卡所接收,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。另外,为了工作方便,办公自动化网络都备有与
外网和国际互联网相互连接的出人口,因此,外网及国际互联网中的黑客只要侵人办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息;而本网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。
(3)系统数据的破坏
在办公自动化网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵人,黑客基于各种原因侵人网络,其中恶意侵人对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、Fat表、文件目录等;病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件;病毒还可能攻击CmoS,破坏系统CmoS中的数据。第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。
3、网络安全策略
(1)网络安全预警
办公自动化网络安全预誓系统分为人侵预警和病毒预警两部分。人侵预警系统中,人侵检测可以分析确定网络中传输的数据包是否经过授权。一旦检测到人侵信息,将发出警告,从而减少对网络的威胁。它把包括网络扫描、互联网扫描、系统扫描、实时监控和第三方的防火墙产生的重要安全数据综合起来,提供内部和外部的分析并在实际网络中发现风险源和直接响应。它提供企业安全风险管理报告,报告集中于重要的风险管理范围,如实时风险、攻击条件、安全漏洞和攻击分析;提供详细的人侵告警报告,显示人侵告警信息(如人侵ip地址及目的ip地址、目的端口、攻击特征),并跟踪分析人侵趋势,以确定网络的安全状态;信息可以发往相关数据库,作为有关网络安全的决策依据。病毒预警系统通过对所有进出网络的数据包实施不间断的持续扫描,保持全天24小时监控所有进出网络的文件,发现病毒时可立即产生报警信息,通知管理员,并可以通过ip地址定位、端口定位追踪病毒来源,并产生功能强大的扫描日志与报告,记录规定时间内追踪网络所有病毒的活动。
(2)数据安全保护
①针对入侵的安全保护:对于数据库来说,其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类,人侵保护应主要考虑以下几条原则:物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。用户对数据的存取应有明确的授权策略,保证用户只能打开自己权限范围之内的文件;通过审计和留痕技术避免非法者从系统外取得系统数据或是合法用户为逃避系统预警报告的监督而从系统中取得数据;客户端安全保护,客户端的安全主要是要求能配合服务器的安全措施,提供身份认证、加密、解密、数字签名和信息完整性验证功能,并通过软件强制实现各客户机口令的定期更换,以防止口令泄漏可能带来的损失。
②针对病毒破坏及灾难破坏的安全保护:对于病毒和灾难破坏的数据保护来说,最为有效的保护方式有两大类:物理保护和数据备份。要防止病毒和灾难破坏数据,首先要在网络核心设备上设置物理保护措施,包括设置电源冗余模块和交换端口的冗余备份;其次是采用磁盘镜像或磁盘阵列存储数据,避免由于磁盘物理故障造成数据丢失;另外,还要使用其他物理媒体对重要的数据进行备份,包括实时数据备份和定期数据备份,以便数据丢失后及时有效地恢复。
(3)人侵防范
要有效地防范非法入侵,应做到内外网隔离、访问控制、内部网络隔离和分段管理。
①内外网隔离:在内部办公自动化网络和外网之间,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。第一层隔离防护措施是路由器。路由器滤掉被屏蔽的ip地址和服务。可以首先屏蔽所有的ip地址,然后有选择的放行一些地址进人办公自动化网络。第二层隔离防护措施是防火墙。大多数防火墙都有认证机制,无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
②访问控制:公自动化网络应采用访问控制的安全措施,将整个网络结构分为三部分,内部网络、隔离区以及外网。每个部分设置不同的访问控制方式。其中:内部网络是不对外开放的区域,它不对外提供任何服务,所以外部用户检测不到它的ip地址,也难以对它进行攻击。隔离区对外提供服务,系统开放的信息都放在该区,由于它的开放性,就使它成为黑客们攻击的对象,但由于它与内部网是隔离开的,所以即使受到了攻击也不会危及内部网,这样双重保护了内部网络的资源不受侵害,也方便管理员监视和诊断网络故障。
③内部网络的隔离及分段管理:内部网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。办公自动化网络可以根据部门或业务需要分段.网络分段可采用物理分段或逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层上分为若干网段,各网段相互之间无法进行直接通讯;逻辑分段则是指将整个系统在网络层上进行分段。并能实现子网隔离。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现隔离。采取相应的安全措施后,子网间可相互访问。对于tCp/ip网络,可把网络分成若干ip子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在这里,防火墙被用来隔离内部网络的一个网段与另一个网段,可以限制局部网络安全问题对全局网络造成的影响。
(4)病毒防治
相对于单机病毒的防护来说,网络病毒的防治具有更大的难度,网络病毒防治应与网络管理紧密结合。网络防病毒最大的特点在于网络的管理功能,如果没有管理功能,很难完成网络防毒的任务。只有管理与防范相结合,才能保证系统正常运行。计算机病毒的预防在于完善操作系统和应用软件的安全机制。在网络环境下,病毒传播扩散快,仅用单机防杀病毒产品已经难以清除网络病毒,必须有适用于局域网、广域网的全方位防杀病毒产品。为实现计算机病毒的防治,可在办公自动化网络系统上安装网络病毒防治服务器,并在内部网络服务器上安装网络病毒防治软件,在单机上安装单机环境的反病毒软件。安装网络病毒防治服务器的目标是以实时作业方式扫描所有进出网络的文件。本地网络与其它网络间的数据交换、本地网络工作站与服务器间的数据交换、本地网络各工作站之间的数据交换都要经过网络病毒防治服务器的检测与过滤,这样就保证了网络病毒的实时查杀与防治。
(5)数据恢复
网络安全防护管理办法篇2
关键词:办公自动化网络网络安全病毒黑客
1、前言
企业内部办公自动化网络一般是基于tcrilp协议并采用了internet的通信标准和web信息流通模式的intra-net,它具有开放性,因而使用极其方便。但开放性却带来了系统人侵、病毒人侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。
办公自动化系统的安全包括网络设备、配套设备的安全、数据的安全、通讯的安全、运行环境的安全,还包括网络内部每台计算机的安全、计算机功能的正常发挥等部分。办公自动化网络安全问题的解决主要应从预警、防护、灾难恢复等三方面人手,下面就安全预警、数据安全防护、人侵防范、病毒防治以及数据恢复等方面分别探讨。
2、办公自动化网络常见的安全问题
(1)网络病毒的传播与感染
随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。网络病毒普遍具有较强的再生机制,可以通过网络扩散与传染。一旦某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。
(2)黑客网络技术的入侵
目前的办公自动化网络基本上都采用以广播为技术基础的以太网。在同一以太网中,任何两个节点之间的通信数据包,不仅可以为这两个节点的网卡所接收,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。另外,为了工作方便,办公自动化网络都备有与
外网和国际互联网相互连接的出人口,因此,外网及国际互联网中的黑客只要侵人办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息;而本网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。
(3)系统数据的破坏
在办公自动化网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵人,黑客基于各种原因侵人网络,其中恶意侵人对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、Fat表、文件目录等;病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件;病毒还可能攻击CmoS,破坏系统CmoS中的数据。第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。
3、网络安全策略
(1)网络安全预警
办公自动化网络安全预誓系统分为人侵预警和病毒预警两部分。人侵预警系统中,人侵检测可以分析确定网络中传输的数据包是否经过授权。一旦检测到人侵信息,将发出警告,从而减少对网络的威胁。它把包括网络扫描、互联网扫描、系统扫描、实时监控和第三方的防火墙产生的重要安全数据综合起来,提供内部和外部的分析并在实际网络中发现风险源和直接响应。它提供企业安全风险管理报告,报告集中于重要的风险管理范围,如实时风险、攻击条件、安全漏洞和攻击分析;提供详细的人侵告警报告,显示人侵告警信息(如人侵ip地址及目的ip地址、目的端口、攻击特征),并跟踪分析人侵趋势,以确定网络的安全状态;信息可以发往相关数据库,作为有关网络安全的决策依据。病毒预警系统通过对所有进出网络的数据包实施不间断的持续扫描,保持全天24小时监控所有进出网络的文件,发现病毒时可立即产生报警信息,通知管理员,并可以通过ip地址定位、端口定位追踪病毒来源,并产生功能强大的扫描日志与报告,记录规定时间内追踪网络所有病毒的活动。
(2)数据安全保护
①针对入侵的安全保护:对于数据库来说,其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类,人侵保护应主要考虑以下几条原则:物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。用户对数据的存取应有明确的授权策略,保证用户只能打开自己权限范围之内的文件;通过审计和留痕技术避免非法者从系统外取得系统数据或是合法用户为逃避系统预警报告的监督而从系统中取得数据;客户端安全保护,客户端的安全主要是要求能配合服务器的安全措施,提供身份认证、加密、解密、数字签名和信息完整性验证功能,并通过软件强制实现各客户机口令的定期更换,以防止口令泄漏可能带来的损失。
②针对病毒破坏及灾难破坏的安全保护:对于病毒和灾难破坏的数据保护来说,最为有效的保护方式有两大类:物理保护和数据备份。要防止病毒和灾难破坏数据,首先要在网络核心设备上设置物理保护措施,包括设置电源冗余模块和交换端口的冗余备份;其次是采用磁盘镜像或磁盘阵列存储数据,避免由于磁盘物理故障造成数据丢失;另外,还要使用其他物理媒体对重要的数据进行备份,包括实时数据备份和定期数据备份,以便数据丢失后及时有效地恢复。
(3)人侵防范
网络安全防护管理办法篇3
关键词:网络管理维护
0引言
随着网络技术的发展和局域网的普及,高职院校基本建立了以信息资源服务为主要功能的办公网络,从而优化了办公环境,提高了办公效率。然而互联网运行环境“危机四伏”,病毒层出不穷,网络攻击越来越猖獗,管理不到位、网络不稳定等原因致使办公网络的安全稳定受到极大的挑战,作为现代化网络信息交流、办公平台的功能得不到完全发挥。因而对网络进行科学、规范、高效的管理与维护,保障办公网络系统、信息系统的安全运行就变得尤为重要。
我院新校区的投入使用,新、老校两地办公对网络办公的依赖越来越大。管理制度不完善、网络设备分布不均衡、更新不合理等原因使办公网的经常发生运行缓慢甚至中断的情况,给正常办公带来了很多不便。结合自己近几年在网络管理与维护的工作中的经验与教训,对以下解决策略进行分析和探讨。
1合理分配网络软硬件资源
高职院校多数是从中等职业技术学校合并、升格而来的,成立时间较短,网络信息化起步较晚,网络软硬件资源配备不完善,与其他高等院校相比均存在较大的差距。不少学校的软硬件设备更新、淘汰缓慢。有些院校的中心关键设备技术落后,有些部门的网络软硬设备是淘汰下来的或自主购买的,学院没有统一的购置管理。有的部门为了节约资金,购置低端的集线器和交换机等设备,造成软硬设备良莠不齐,网络稳定性比较差。因而要加快网络基础设施的更新,根据网路需要合理配置软硬件资源,为整个办公网络的稳定运行打下物质基础,为办公网提供稳定高效的信息技术平台。
2实施网络监控与安全管理
监视、控制和记录局域网上计算机在互联网上活动行为,它可以实时记录局域网内计算机所有收发的邮件、浏览的网页以及ftp上传下载的文件,监视和管理网内用户的聊天行为,限制、阻断网内用户访问指定网络资源或网络协议。
网络安全管理指保障合法用户对资源安全访问,防止并杜绝黑客蓄意攻击和破坏。它包括授权设施、访问控制、加密及密钥管理、认证和安全日志记录等功能。
2.1共享权限控制
2.1.1共享文件权限控制为防止网络滥用、保护机密文件,为网络内共享文件资料设置不同权限,防止用户匿名非法访问机密文件。
2.1.2共享硬件权限控制为充分利用办公资源,办公网内经常共享打印机、网络硬盘等硬件设备,要保证这些设备的安全使用,分配使用权限,杜绝非法用户的使用与控制。
2.2网络管理系统控制使用先进的网络行为管理系统软件和设备,对办公网实施监控和管理。在服务器端或是互联网络进出口处安装管理控制软件,对整个网络的各种活动进行监控,主要包括email、上传下载、网页浏览、qq/msn即时通信、网络游戏、p2p等,保证网络中无娱乐、无色情、无私人文件、无病毒。
2.3实施客户机安全管理与维护
2.3.1为客户机安装系统还原一是使用如还原精灵、一键ghost等工具软件为客户机安装系统备份与还原。一旦系统瘫痪或被病毒侵蚀,可以快速对系统进行恢复还原;二是使用硬盘保护还原工具软件如冰点还原,对系统所在分区进行保护,使电脑每次重新启动都是安全稳定的。从而使整个网络维护工作变得非常简单,有效保证了客户机的安全稳定。
2.3.2安装网络版杀毒软件,开启防毒监控购置网络版杀毒软件如瑞星、卡巴斯基等,为办公网内电脑安装网络版杀毒软件。对杀毒软件病毒库定期升级,开启防毒监控,防止病毒的扩散与传染,及时查杀病毒与木马程序。
2.3.3屏蔽电脑外接可移动设备,使用邮件等方式传输文件 对客户机的usb端口采取物理隔离、系统限制补丁、bios限制等方式,使客户机不能插优盘等外接可移动设备,阻断病毒传染源。确需传输文件时可以使用电子邮件、及时通讯软件、网络共享等方式进行传输。
2.4实施服务器安全管理与维护
2.4.1网络管理人员权限管理提高网络管理人员的安全意识,使用不同的权限控制对系统资源的访问。各级网络管理根据自己的职责权限,使用不同的密码对系统数据进行合法操作,防止用户越权访问数据和使用网络资源。
在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个nt服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
2.4.2安装杀毒软件和防火墙由服务器上的网络管理员集中设置和管理整个网络中的网络版杀毒软件,提供高效的网络病毒防范措施。病毒对网络上的资源进行破坏攻击时,可以通过服务器网关上的杀毒软件进行杀除和隔离。
在服务器端安装防火墙,可以有效的保护网络免遭黑客袭击。防火墙是一种用来加强网络访问控制,防止外部网络的非法用户进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
2.4.3服务器操作系统安全 对服务器实施安全检查、漏洞修补、及系统备份、系统安全审计、入侵检测,保证服务器操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全。因而要对服务器操作系统定期升级、打补丁,对系统安全漏洞进行修补;通过制作系统备份可以快速的搭建服务器平台;还可以将网络链路层上提取的网络状态信息提供给入侵检测系统,判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。
3 完善办公网络管理机构与制度
不少高职院校没有设立专门的网络管理机构,没有使网络管理工作细化到人,日常网络管理工作多由其他部门兼管,形同虚设,没有形成完善的办公网络管理制度。因而要建立有力的管理机构和配套的制度,保证网络正常稳定的运行。
3.1日常管理制度建立日常管理制度,加强网络中心环境、门锁安全管理;定期检测、备份网络运行状况、日志;对主干交换机等关键设备的性能和工作状态进行监视,维护网络关键设备的正常工作;及时做好网络故障处理工作,并进行详细记录。
3.2网络信息登记制度对网络内人员信息、硬件设备、使用地点、ip、物理地址、网络拓扑、网络管理责任人等网络信息进行登记,不仅简化查询时间,而且方便管理。通过网络信息的登记,可以合理分配管理整个网络的软硬件资源,及时对网络故障进行定位和处理,提高网络管理与维护的效率。
3.3使用人员行为规范制度行为规范制度建设的滞后,是工作人员沉迷网络的重要原因。面对日益泛滥的非工作上网行为,从制度上制定条例和从执行上进行控制都是必要的。应对非工作上网行为的性质、类型、严重程度、奖惩标准进行明确的界定,制定管理条例,做到有章可依、有令可处,并加以宣传教育,从思想意识上规范上网行为,从制度上有效地减少非工作上网行为。
3.4网络管理人员工作考核细则及津贴发放方案 制定网络管理人员工作考核细则及津贴发放方案,对网络管理人员进行绩效考核,有奖有罚,提高网络管理人员的工作主动性和积极性。使办公网络得到及时的维护,保证办公网的正常、高效的运行。
办公网的管理与维护涉及技术、管理、使用、维护等多方面的内容,既需要网络管人员具有高级的技术措施,又需要整个网络用户提高安全意识和安全措施,同时也有网络软硬件设备的巨大作用。因此办公网的管理与维护需要全方位的协作与配合,才能使之畅通无阻、高效运行。
参考文献:
[1]乔正洪等.计算机网络技术与应用.清华大学出版社.2008.
网络安全防护管理办法篇4
为了加强我校教育信息网络安全管理,保护信息系统的安全,促进我校信息技术的应用和发展,保障教育教学和管理工作的顺利进行,并配合省公安厅、省教育厅(豫公通[2004]220号文件精神,对我校计算机信息系统开展以“反黑客、反破坏、扫黄打非、清理垃圾邮件”为主要内容的安全大检查,净化校园网络环境,不断提高学校计算机信息系统安全防范能力,从而为学生提供健康,安全的上网环境。
一、领导重视,责任分明,加强领导
为了认真做好迎检准备工作,进一步提高教育网络信息安全工作水平,促进教育信息化健康发展,我校建立了专门的网络信息安全管理组织,成立了由分管领导、网络管理员组成的计算机网络信息安全管理领导小组。负责制定学校计算机信息系统安全管理的办法和规定,协调处理全校有关计算机信息系统安全的重大问题;负责学校计算机信息系统的建设、管理、应用等工作;负责信息系统安全的监督、事故的调查和处罚。学校网络管理人员要在学校计算机安全管理领导小组的领导下,负责校园网的安全保护工作和设备的维护工作,必须模范遵守安全管理制度,积极采取必要的防范技术措施,预防网络安全事故的发生。
二、完善制度,加强管理
为了更好的安全管理网络,我校建立了健全的安全管理制度:
(一)计算机机房安全管理制度
1、重视安全工作的思想教育,防患于未然。
2、遵守“教学仪器设备和实验室管理办法”,做好安全保卫工作。
3、凡进入机房的人员除须遵守校规校纪外,还必须遵守机房的各项管理规定,爱护机房内的所有财产,爱护仪器设备,未经管理人员许可不得随意使用,更不得损坏,如发现人为损坏将视情节按有关规定严肃处理。
4、机房内禁止吸烟,严禁明火。
5、工作人员必须熟悉实验室用电线路、仪器设备性能及安全工作的有关规定。
6、实验室使用的用电线路必须符合安全要求,定期检查、检修。
7、杜绝黄色、迷信、反动软件,严禁登录黄色、迷信、反动网站,做好计算机病毒的防范工作。
8、工作人员须随时监测机器和网络状况,确保计算机和网络安全运转。
9、机房开放结束时,工作人员必须要关妥门窗,认真检查并切断每一台微机的电源和所有电器的电源,然后切断电源总开关。
(二)操作人员权限等级分配制度
1、校领导统一确定操作人员职能权限。
2、电教组成员负责管理、维修学校所有计算机,出现重大事故应及时报上级领导。
3、教师用户帐号、密码由网络管理员发放,并统一管理。
4、学校计算机管理人员需定期维护计算机软件和数据,重要信息定期进行检查和备份。
5、网络管理员负责校园用户计算机系统能够正常上网,为用户提供日常网络维护服务和日常数据备份。
(三)账号安全保密制度
1、网络用户的账号、密码不得外传、外借。
2、非法用户使用合法用户的账号进入校园网的,追究该帐号拥有者的安全责任。
(四)计算机病毒防治制度
1、学校购买使用公安部颁布批准的电脑杀毒产品。
2、未经许可证,任何人不得携入软件使用,防止病毒传染。
3、凡需引入使用的软件,均须首先防止病毒传染。
4、电脑出现病毒,操作人员不能杀除的,须及时报电脑主管处理。
5、在各种杀毒办法无效后,须重新对电脑格式化,装入正规渠道获得的无毒系统软件。
6、建立双备份制度,对重要资料除在电脑贮存外,还应拷贝到软盘上,以防遭病毒破坏而遗失。
7、及时关注电脑界病毒防治情况和提示,根据要求调节电脑参数,避免电脑病毒侵袭。
(五)安全教育培训制度
1、学校组织教师认真学习《计算机信息网络国际互联网安全保护管理办法》,提高教师的维护网络安全的警惕性和自觉性。
2、学校负责对本校教师进行安全教育和培训,使教师自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
3、校管理中心对信息源接入的骨干人员进行安全教育和培训,使之自觉遵守和维护《计算机信息网络国际互联安全保护管理办法》,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的信息内容。
(六)、事故和案件及时报告制度
1、任何单位和个人不得利用互联网制作、复制、查阅和传播下列信息:
煽动抗拒、破坏宪法和法律、行政法规实施。
煽动颠覆国家政权,社会主义制度。
煽动分裂国家、破坏国家统一。
煽动民族仇恨、民族歧视、破坏民族团结。
捏造或者歪曲事实、散布谣言,扰乱社会秩序。
宣扬封建迷信、、色情、、暴力、凶杀、恐怖、教唆犯罪。
公然侮辱他人或者捏造事实诽谤他人。
损害国家机关信誉。
其他违反宪法和法律、行政法规。
如发现有上述行为,保留有关原始记录,并填写好《安全日志》,在12小时内向上级报告。
2、接受并配合区电教中心和公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
3、发现有关计算机病毒、危害国家安全、违反国家有关法律、法规等计算机安全案情的,应在12小时以内向上级报告。
4、计算机机房设管理员一名,其职责是每天不定期浏览主页或自己页面,负责领导还应经常巡视操作者,如发现有违反上述规定者应立即制止并报告校园网安全领导小组。
(七)、面对大面积病毒应急处理方案
1、制定计算机病毒防治管理制度和技术规程,并检查执行情况;
2、培训计算机病毒防治管理人员;
3、采取计算机病毒安全技术防治措施;
4、对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训;
5、及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;
6、购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
7、向公安机关报告发现的计算机病毒,并协助公安机关追查计算机病毒的来源;
8、对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场。
除以上健全的安全管理制度外,我校也认真落实相关安全技术措施,安全基础措施良好拥有完善的安全保护措施,设有学校重要部位值班制度,做到昼夜值班,任何人不得擅自进入微机房。
xxx小学
2006、02
xxx小学网络信息安全管理领导小组
组长:xxx
网络安全防护管理办法篇5
1办公自动化网络常见的安全问题主要有
1.1黑客入侵。为了工作方便,办公自动化网络都备有与外网和国际互联网相互连接的出入口,因此,外网及国际互联网中的黑客只要侵入办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个网上的所有数据包,对其进行解包分析,从而窃取关键信息。
1.2病毒感染。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。
1.3数据破坏。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。
1.4病毒破坏。病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、Fat表、文件目录等;病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件;病毒还可能攻击CmoS,破坏系统CmoS中的数据。
1.5灾难破坏。因此,在网络开放的信息时代,为了保护数据的安全,让网络办公系统免受黑客的威胁,就需要考虑网络化办公中的安全问题并予以解决。由于自然灾害、突然停电、强烈震动、错误操作等会造成数据破坏。
2要保证网络化办公中的信息安全
首先要保证网络安全,让我们的自动化办公设备置于一个安全的网络环境中。现阶段为了保证网络信息的安全,学校办公的正常运行,我们将采用以下几种方式来对网络安全进行防范:
2.1网络分段。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
2.2利用防火墙。利用防火墙可以将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
2.3漏洞扫描系统。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。安装网络病毒防治服务器的目标是以实时作业方式扫描所有进出网络的文件。
2.4配置防病毒设施和采取相应措施。最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。采取相应的安全措施后,子网间可相互访问。对于tCp/ip网络,可把网络分成若干ip子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在这里,防火墙被用来隔离内部,网络病毒普遍具有较强的再生机制,可以通过网络扩散与传染。一旦某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。相对于单机病毒的防护来说,网络病毒的防治具有更大的难度,网络病毒防治应与网络管理紧密结合。网络防病毒最大的特点在于网络的管理功能,如果没有管理功能,很难完成网络防毒的任务。只有管理与防范相结合,才能保证系统正常运行。计算机病毒的预防在于完善操作系统和应用软件的安全机制。在网络环境下,病毒传播扩散快,仅用单机防杀病毒产品已经难以清除网络病毒,必须有适用于局域网、广域网的全方位防杀病毒产品。为实现计算机病毒的防治,可在办公自动化网络系统上安装网络病毒防治的数据交换、本地网络各工作站之间的数据交换都要经过网络病毒防治服务器的检测与过滤,这样就保证了网络病毒的实时查杀与防治。
网络安全防护管理办法篇6
【关键词】办公自动化网络网络安全病毒
【中图分类号】G434【文献标识码】a【文章编号】2095-3089(2012)05-0008-01
1.引言
企业内部办公自动化网络一般是基于tcrilp协议并采用了internet的通信标准和web信息流通模式的intra ̄net,它具有开放性,因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此,企业需要一个更安全的办公自动化网络系统。
2.办公自动化网络常见的安全问题
2.1病毒感染
随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。
2.2数据破坏
在办公自动化网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵入,黑客基于各种原因侵入网络,其中恶意侵入对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、Fat表、文件目录等;病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件;病毒还可能攻击CmoS,破坏系统CmoS中的数据。第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。
3.网络安全策略
3.1网络安全预警
3.1.1入侵预警系统中,入侵检测可以分析确定网络中传输的数据包是否经过授权。一旦检测到入侵信息,将发出警告,从而减少对网络的威胁。它把包括网络扫描、互联网扫描、系统扫描、实时监控和第三方的防火墙产生的重要安全数据综合起来,提供内部和外部的分析并在实际网络中发现风险源和直接响应。它提供企业安全风险管理报告,报告集中于重要的风险管理范围,如实时风险、攻击条件、安全漏洞和攻击分析。
3.1.2病毒预警系统通过对所有进出网络的数据包实施不间断的持续扫描,保持全天24小时监控所有进出网络的文件,发现病毒时可立即产生报警信息,通知管理员,并可以通过ip地址定位、端口定位追踪病毒来源,并产生功能强大的扫描日志与报告,记录规定时间内追踪网络所有病毒的活动。
3.2保护数据安全
对于数据库来说,其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类,入侵保护应主要考虑以下几条原则:物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。
3.3入侵防范
3.3.1内外网隔离
在内部办公自动化网络和外网之间,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要,同时也是最有效、最经济的措施之一。
第一层隔离防护措施是路由器。路由器滤掉被屏蔽的ip地址和服务。可以首先屏蔽所有的ip地址,然后有选择地放行一些地址进入办公自动化网络。
第二层隔离防护措施是防火墙。大多数防火墙都有认证机制,无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
网络安全防护管理办法篇7
关键词:办公自动化威胁因素保护安全设计原则
0前言
所谓办公自动化是指运用微机及相关外设,有效地管理和传输各种信息,以达到提高工作效率的目的。办公自动化系统的安全包括网络设备、配套设备的安全、数据的安全、通讯的安全、运行环境的安全,还包括网络内部每台计算机的安全、计算机功能的正常发挥等部分。办公自动化网络是一个中小型的局部网络。办公自动化网络系统是自动化无纸办公系统的重要组成部分。在实现联网办公时,由于覆盖面大,使用人员混杂,管理水平各异,往往不能保证公文在网络上安全传输和管理。还有一些人专门在网络上从事信息破坏活动,给国家、企业造成巨大的损失。
一、系统安全威胁因素
1.网络安全
网络环境的不确定度极高,故oa的安全不能局限于对系统数据、服务器等静态资源的保护,而需要综合网络环境的动态因素进行总体规划。
(一)网络通信安全
1.内部安全。
将内部局域网划分为若干子网(VLan),0a服务器划分到服务器专用VLan,在该VLan边界安装防火墙,并设置合策略,达到访问控制却又不影响0a正常办公的目的。针对oa,防火墙应设置以下策略:关闭0a与英特网的数据交换,除了合法远程用户外,禁止访问Da;仅开放oa提供服务所必须的端口,关闭其它一切不必要的端口。
2.外部安全。
考虑到跨单位、跨地域办公等因素,采用虚拟专用网(Vpn)技术来实现0a远程办公。Vpn可以在公用网络上建立一条虚拟专用连接,即对局域网的扩展,同时它提供的是安全的连接隧道。
(二)网络数据安全
数据在公用网络中传输就要面临被黑客截取监测的风险。要保证数据安全,只有对数据进行加密发送,以密文方式传输、在接收端解密。上面提到的Vpn即可实现这一功能。
3.物理设备威胁:
黑客入侵
目前的办公自动化网络基本上都采用以广播为技术基础的以太网。在同一以太网中,任何两个节点之间的通信数据包,不仅可以为这两个节点的网卡所接收,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。另外,为了工作方便,办公自动化网络都备有与外网和国际互联网相互连接的出人口,因此,外网及国际互联网中的黑客只要侵人办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息;而本网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。
4.线缆连接威胁:
包括拨号进入、连线或非连线窃听等方式窃取重要信息。
5.身份鉴别威胁:
包括口令被破解、加密算法不周全等漏洞性因素。
6.病毒或编程威胁:
病毒袭击己成为计算机系统的最大威胁,一旦某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。
二、针对自动化网络安全威胁因素的保护
1.物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。用户对数据的存取应有明确的授权策略,保证用户只能打开自己权限范围之内的文件。通过审计和留痕技术避免非法者从系统外取得系统数据或是合法用户为逃避系统预警报告的监督而从系统中取得数据。客户端安全保护,客户端的安全主要是要求能配合服务器的安全措施,提供身份认证、加密、解密、数字签名和信息完整性验证功能,并通过软件强制实现各客户机口令的定期更换,以防止口令泄漏可能带来的损失。
2.病毒防治
相对于单机病毒的防护来说,网络病毒的防治具有更大的难度,网络病毒防治应与网络管理紧密结合。网络防病毒最大的特点在于网络的管理功能,如果没有管理功能,很难完成网络防毒的任务。只有管理与防范相结合,才能保证系统正常运行。
3.耍有效地防范非法入侵,应做到内外网隔离、访问控制、内部网络隔离和分段管理。
4.内外网隔离。在内部办公自动化网络和外网之间,设置物理隔离,以实现外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。第一层隔离防护措施是路由器。路由器滤掉被屏蔽的ip地址和服务。可以首先屏蔽所有的ip地址,然后有选择的放行一些地址进人办公自动化网络。第二层隔离防护措施是防火墙。大多数防火墙都有认证机制,无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据:管理进、出网络的访问行为;封堵某些禁止的业务:记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
三、办公自动化网络系统安全设计原则
由于众多的因素造成了对数据完整性威胁和安全威胁,因此,办公自动化网络系统必须建设一套完整的策略和安全措施来保障整个系统的安全。
1.安全性第一的原则:由于安全性和网络的性能是一对矛盾,两者不能兼得。建议选择前者,以牺牲网络的性能,来换取安全性的增强,但采取的措施应让用户感觉不到网络性能受到的影响。
2.多重保护的原则:任何安全保护措施都可能被攻破。建立一个多重保护系统,各重保护相互补充,当一重保护被攻破时,其它重保护仍可保护信息系统的安全。
3.多层次(oSi参考模型中的逻辑层次)的原则:如在链路层和网络层实施包过滤,在表示层实施加密传送,在应用层设置专用程序代码、运行应用审计软件,在应用层之上启动服务等。
4.多个安全单元的原则:把整个网络的安全性赋予多个安全单元,如路由器、屏蔽子网、网关,形成了多道安全防线。
5.网络分段的原则:网络分段是保证安全的重要措施.网络分段可分为物理分段和逻辑分段。网络可通过交换器连接各段,也可把网络分成若干ip子网,各子网通过路由器连接,并在路由器上建立可访问表,来控制各子网的访问。
6.最小授权的原则:对特权(超级)网络要有制约措施,分散权力,以降低灾难程度。
7.综合性原则:计算机网络系统的安全应从物理上、技术上、管理制度上以及安全教育上全面采取措施,相互弥补和完善,尽可能地排除安全漏洞。
结束语
随着企业各部门之间、企业和企业之间、国际间信息交流的日益频繁,办公自动化网络的安全问题已经提到重要的议事日程上来,一个技术上可行、设计上合理、投资上平衡的安全策略已经成为成功的办公自动化网络的重要组成部分。为企业带来更高经济效益和社会效益。
参考文献:
【1】李海泉.计算机系统安全技术与方法【m】.西安:西安电子科技大学出版社.1991。
网络安全防护管理办法篇8
关键词:审批系统;安全体系;电子政务
中图分类号:tp393
文献标识码:a
文章编号:1009-2374(2009)04-0158-02
电子政务网上审批系统是通过网络政府行政许可与审批信息并提供许可、审批、服务的网上协同办公系统,审批过程通常涉及大量机密数据的通信,由于网络的开放性和复杂性,各种类型的网络欺诈和入侵攻击等网络犯罪行为对电子政务系统的安全构成了严重威胁。因此,构建高可信度和高安全性的电子政务审批系统成为目前政府部门和软件行业亟待解决的重要问题。
一、网上行政审批系统介绍
(一)系统的构成
网上行政申报审批系统是一个基于网络运行的,面向社会公众和企业用户,以在线申报为主要申请渠道、以政府行政审批服务为核心的信息处理系统。审批业务办理主要由外网(公众平台)受理服务子系统和内网(政府办公网)审批办理子系统协同完成。
1.外网受理服务子系统。面向公众、企业提供审批事项相关信息的、用户审批事项的申报、申报表格下载及审批办理反馈查询等服务功能,与内网审批办理系统进行数据交换,根据实际情况作出受理、补件及退件等操作。
2.内网审批办理子系统。该子系统是各厅局政府办事人员的办公门户,提供集中式审批工作、查询统计、在线咨询等服务功能,相当于网上虚拟政府处理平台,是外网受理服务子系统运行的内部支撑。
(二)系统的主要特点
1.开放性。全面支持XmL、Soap、webService、UDDi等当前受到普遍支持的开放标准,保证系统能与其他平台的应用系统、数据库等相互交换数据并进行应用级的互操作性和互连性。
2.易用性。系统易于使用和推广,整个系统采用B/S结构,所有的数据及应用统一在服务器端维护,用户端只要支持浏览器就可完成全部操作。
3.可维护性、可管理性。由于审批系统使用面广,系统稳定性要求高,因此系统平台还必须具有良好的可管理和易维护的特点。系统具备较强的系统管理手段,能够合理地被配置、调整、监视及控制,保证系统的良好运作。
二、系统安全的内容要求及目标
网上行政申报审批通常涉及大量政府职能信息,因此对信息的安全性要求非常严格,如信息的有效性、机密性、完整性和修改的不可否认性等。安全系统是构成整个审批系统的所有组件、环境及人员(管理者和用户)的物理安全、网络安全、系统安全、数据安全、信息内容安全、信息基础设施安全的总和,是一个多元素、多层次的复杂系统,包括系统的可控性、服务可用性及可审查性等,其最终目标是控制该信息系统的总风险最小化。
三、行政审批安全支撑系统建设方案
安全性是关系系统生命力的决定性要素,也是保证应用系统实用性的基础。充分考虑政府系统的安全级别和应用安全性的特殊需要,提出一个南物理安全、网络安全、系统安全、应用安全和安全管理等五个层而构成的科学的安全保障体系。
(一)物理安全保障
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。行政审批系统物理安全主要从环境安全、设备安全、媒体安全及设备冗余等方面考虑,包括区域保护和灾难排除、主要设备的防盗、防线路截获、电源保护及双机容错等。
(二)网络安全是安全体系建设的重点内容
行政审批整个网络系统由内网、政务专网和外网组成,内网与政务网连接,外网与互联网连接。可综合采用虚拟网、防火墙、安全隔离网闸等安全技术策略,力求从多层次、多角度来保证网络系统的安全。
1.实行物理隔离及VLan(虚拟局域网)策略。针对内网和外网建设两套没有直接物理连接的信息网络,实现物理隔离。该方案能最大意义地防止来自internet等外部网络的攻击。在内网系统中采用VLan“网巾网”工作模式,按照业务特性和部门划分虚拟子网,通过减小广播域、设置访问控制从而增强网络的安全性;建立内网DmZ(隔离)区,将所有提供对政务专网服务的服务器系统放人统一的DmZ区,省政务网上用户只能访问DmZ区的服务资源。
2.设置物理隔离网闸,保护内网数据安全。内外网审批数据的直接交换极易导致攻击代码的入侵和重要信息的泄露。在内外网之间设置安全隔离网闸,实现外网到内网单向数据传输,即数据从外网进入内网相应的数据库服务器:而内网数据进入外网,只能将其有效信息通过导出方式生成相应文件刻录到光盘,将光盘中的数据导入外网相应的数据库中。
3.建立防火墙与入侵检测系统。在内网和政务网之间采用具有Vpn功能的防火墙实现逻辑隔离,严格控制信息访问的内容和流向,实现包过滤、内外网地址绑定等功能,防止非授权用户经过政务网非法访问内网;在外网和互联网之间选用具有相应入侵检测和安全审计功能的防火墙设备,有效防止黑客的袭击。同时,在内网中心建立起完善的入侵检测系统作为防火墙的合理补充,可实现从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供主动的实时保护。
4.建设良好的网络防毒系统。网上行政审批系统是三网互联的开放网络结构,网路结构复杂。计算机病毒的防范应采用技术手段和管理手段相结合的办法进行综合防范,为内外网服务器设置主域和次域并安装网络版反病毒软件,形成分层立体的反病毒系统,主要包括桌面防毒、服务器防毒、群件防毒及网关防毒等,形成一套严密的多级跨平台防病毒安全域。
5.构建网络管理系统。网络安全管理和监测是审批系统安全设施和安全机制有效发挥作用的重要保证。根据系统采用的网络产品、网络规模,选择优秀的网络管理平台及软件。
网管软件应实时展示网络及其设备的工作情况,能提供策略机制管理、过滤机制管理。当发生安全事件时,报警信息自动报送到平台,提醒安全管理员。安全事件的响应按安全策略实施,当出现安全策略之外的事件时,管理员通过管理平台做出响应。
(三)系统安全解决方案
网络安全防护管理办法篇9
关键词:电力通信网;可靠性;维护;现状;解决措施
中图分类号:tp393文献标识码:a文章编号:1006-8937(2013)35-0064-01
1电力通信网中对可靠性的影响因素
电力通信的过程比较复杂和开放,其中影响可靠性的因素也是多方面的。从网络的角度来看可以把这些影响因素分为外部因素和内部因素。所谓的外部因素就是指通信设备和相关的网络环境,外部因素又可以细分为可控制因素和不可控制因素。其中的可控制因素就是指通信设备的环境,像是温度、防震、湿度、防尘等因素;不可控制因素就是指通信设备周边的突发外部情况,像是自然灾害、突发事故和人为原因等因素。内部因素主要是受到了通信技术的冲击。随着通信技术的大力发展,加强了新设备和新技术的大量使用,从而使得电力通信中的可靠性受到了巨大的威胁。虽然新设备和新技术的使用能够有效的提升网络的运行速度和管理维修的效率,对电力通信网的可靠性产生了积极的效用,但是相应的新设备和新技术也会提升网络的复杂程度。随着网络规模的不断拓展,一定会给网络的维修和管理工作带来巨大的问题,如果出现意外情况,就会造成十分严重的后果。
2电力信息网安全防护技术措施
电力通信网络出现安全问题,会使得整个系统出现故障,一些实际效用不能发挥。为了更好的保证电力系统的安全运作,就需要采取一些具有针对性的安全防护办法,从而更好的提升电力通信系统在运行过程中的安全。现在使用最多的就是安全维护技术,其中有网络防火墙、网络防病毒、数据加密、数据备份、入侵检测系统等等。
2.1网络防火墙
防火墙是企业局域网和外界联系的通道,很多外来访问都要经过防火墙的检测才可以进行运行,没有任何一个访问能够逃避防火墙。在电力信息网中,设置企业对外进行服务的服务器,不但能够保证服务系统的正常运行,还可以有效的防止电力通信中的服务器受到意外的伤害。
2.2入侵检测系统
使用先进的通信技术可以构建起入侵检测框架,从而实现稳固性、科学性和有效性的监管,给电力通信技术的安全运作提供强有力的保障。还要针对电力通信的实际状况进行分析,合理的划分责任人、责任实践,通过这样的方式帮助信息管理人员制定出更加科学的管理办法。因为入侵检测系统使用的技术是为了攻击防卫技术,所以在可靠性和识别程度方面都有很大的优势。
2.3网络防病毒
病毒进攻是电力信息网中最为常见的问题,也是为了避免信息网受到网络破坏,从而保证网络系统信息安全的有效措施。这还需要在信息网中建立起主机到服务器的科学防病毒体系,其中的服务器就是网络中的重点内容。对于整个网络进行查杀、杀毒等措施,从而保证服务器通过互联网时能够获得现在最新的病毒代码信息,并且对病毒代码资料库进行及时的更新。
2.4数据加密
这个工作主要是通过对文件进行加密、信息摘要、访问控制等一些办法来保护文件的存储、运输加密、信息完整等资料的传播。在制定通信安全时要使用一些数据加密、数字认证和信息摘要等方法,这样就能够保证电力通信网中的有关资料进行有效的运作,在遇到远程接入的时候,可以使用Vpn技术来保护信息在传播过程中的保密性和安全性。
2.5数据备份
在日常的运作中,对于一些比较重要的资料经常存储于存储介质中,但是这样的方式还是存在很多问题的,如果在通信网中的硬件设备出现问题,就会造成系统的破坏,甚至是瘫痪。在这样的情况下,数据信息就会遗失,所以,数据备份和容错方案是必不可少的,需要建立集中、分散两种模式的数据备份设施和相应的数据备份方案。
3电力信息网安全防护管理措施
为了更好的保证电力信息网的安全运行,不但要使用积极的措施防护其中的安全问题,还要结合实际状况处理好各方面的管理工作。
3.1人员管理
对电力信息网的管理人员进行适当的培训,从而提升工作人员的专业水平,加强工作的责任心,防止网络机密泄漏出去,特别是工作人员在调离的状况下最容易泄漏机密。
3.2密码管理
密码在电力通信中具有重要的作用,如果密码丢失,想要取回就十分困难。管理时要避免默认密码、出厂密码、无密码的情况,按时更新密码,有效的预防密码被盗。
3.3技术管理
进行科学的安全防护是保证电力通信的主要维护措施。现在要制定的网络安全技术有防火墙、入侵检测设备、路由器、物理隔离设备等。此外还要学会综合使用。
3.4数据管理
数据管理的直接办法有设置密码、数据备份。进行密码的设置是为了防止信息的丢失,而数据备份是为了防止数据在丢失和网络出现问题后信息出现遗失的情况。
3.5信息管理
对于信息设备要进行有效的防护,要对计算机、路由器、交换器、服务器等设备进行科学有效的管理,从而减少受到“火、水、潮、盗、防”等安全问题的影响。
4维修工作中需要注意的方面
为了更好的保证电力通信的有效运作,还要采取积极有效的措施进行防护,在实际操作的过程中需要注意一些问题,从而更好的保证电力通信网的安全。
4.1技术协调管理
科学技术促进了电力信息网技术的改革,在处理安全问题的时候,要以技术为基本点,但是不能一味的注重技术的更新,对于管理人员的自身道德建设也要进行有效的锻炼和培养,从而避免出现重技术轻管理的情况。
4.2安全融合经济
通信网络维护方案要和安全效果以及经济利益融合起来进行设定,从而保证安全措施能够发挥实际的保护效用,避免因为安全方案的更新和改造造成更多经济的投入。
4.3局部帮助全局
电力通信网络安全是全局的问题,如果其中的某个部件出现问题,就会影响到整个网络的运作,可以实行系统工程的方案,从而更好的保证网络的安全运作。
5总结
电力通信网在电力系统中的地位越来越重要,不仅能够保护电力系统的安全,还能够保证企业的市场化要求。但是,随之而来的问题也产生了,为了更好的保证电力信息网的安全,不但要采取积极的措施,还要做好电力通信网络的维护工作,从而保证电力系统的正常运作。
参考文献:
[1]邓雪波,王小强,陈曦,等.基于效能模型的电力通信网可靠性研究[J].重庆邮电大学学报(自然科学版),2012,24(3).
[2]高会生.电力通信网可靠性研究[D].保定:华北电力大学,2009.
网络安全防护管理办法篇10
关键词网络安全;系统安全;企业信息安全;内部网络安全
中图分类号tp393.08文献标识码a文章编号167随着网络技术的不断发展和互联网的日益普及,许多企业都建立起了办公网络并投入使用,使企业内部人员方便快捷地共享信息,高效的协同工作。改变过去复杂而低效的手工办公方式,能迅速实现全方位的信息采集、信息处理,为企业的管理和决策提供科学的依据。这无疑对提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但企业办公网络在信息处理能力,信息流通能力提高的同时,网络安全问题的威胁也在日益增加。所以企业在积极发展办公自动化的同时,也应加强对办公网络安全的重视。网络的生命在于其安全性,因此,如何在现有的网络条件下,提高网络的安全性,就成了企业办公网络管理人员的一个重要课题。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络不中断。网络安全从其本质上来讲是网络信息系统的安全性。就企业办公网络而言,包括网络系统安全、企业信息安全和内部网络安全。
1网络系统安全
网络系统安全,即保证信息处理和传输系统的安全。它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏,产生信息泄露,干扰他人,受他人干扰。企业办公网络的系统安全包括网络物理传输媒介的安全和企业内部各应用服务器的安全。为保证办公网正常运行,在网络物理传输媒介安全方面,对于办公网中的核心设备,如电源、路由器、交换机可以采用热备份或冷备份,热备用就是平时双机都上电在网运行,当其中一台设备故障时,另一台设备立即启用。通过完善网络布局和数据配置,热备用方式可以做到全自动主备用倒换,无需人工参与,倒换时间短。冷备用就是备机平时不上电联网运行,只有主用机发生故障时才替换主机,代替主机的工作。冷备用方式倒换时间长,需要故障处理人员现场更换。另外平时要定期按主机的数据对备机进行配置,以备故障时使用。对于企业办公网和外网(或本企业的上级网络)相连的物理链路,有条件的企业要尽量采用不同路径的双链路,以避免在诸如市政施工造成光缆中断等非正常情况下内网和外界全部中断联接,影响企业的正常办公。内部应用服务器是整个企业办公网络的核心所在,企业办公过程中的信息处理都在上面进行,应用服务器能不能正常运行事关整个企业的工作是否能正常开展。应用服务器要安全运行,一方面从硬件上保证,采用双路不间断电源给服务器供电,配备应急备用服务器,在主用服务器出故障时立即应急启用备用服务器。另一方面要从软件上保证,采用各种安全检测和监控技术确保服务器系统不受到非法入侵,防止不法分子通过网络,局域网等途径通过入侵电脑使系统无法正常启动,或超负荷让机子运行大量算法,并关闭cpu风扇,使cpu过热烧坏等破坏性活动。对于核心网络设备和服务器,要有厂家的24小时在线技术服务支持,以便故障时迅速有效的排除故障。
2企业信息安全
企业运行过程中的各类信息处理如信息采集,统计,分析等工作都直接在办公网上进行,各种形态的信息也都存储在联网的应用服务器上。这些信息涉及企业基础台帐、商业经济、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息,其中有很多是敏感信息,甚至是国家机密,所以难免会吸引各种人为攻击,如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等。保证信息安全,最根本的就是保证信息的完整性,保密性,可用性,不可否认性,可控性。当前威胁网络信息安全的主要有木马病毒,蠕虫病毒,拒绝服务攻击,地址欺骗,漏洞攻击等。在企业办公网的建设和日常维护中如何保证信息的安全呢?结合威胁网络信息安全的各种手段,本人认为主要从以下几个方面来入手:
2.1做好网络病毒的防范
在网络环境下,病毒传播扩散很快,用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。因此要在各应用服务器上安装基于服务器操作系统平台的防毒杀毒软件,对服务器实时病毒监控,定期对服务器进行全面杀毒,定期升级病毒库,以确保能查层出不穷的病毒,密切关注网站论坛公布的病毒信息,提前做好防范工作。在企业范围内对办公网络使用人员进行网络病毒安全防范知识普及:如U盘要先杀毒后使用,收到不明邮件不要打开,不随意更改主机的安全级别,不随意点击弹出广告等,让全员都重视网络安全并切身维护网络安全。对于办公局域网上的每一台操作主机,要安装防毒杀毒软件并定期查杀病毒,以避免局域网内的主机中毒后变成病毒向内网发起攻击。
2.2完善服务器配置
从安全角度出发关闭不使用的tCp/ip服务端口,只开放使用的服务端口。比如应用服务器只提供文件传送服务,那就只开放Ftp服务,把其它服务关闭,以防止病毒利用服务器向外发起攻击。严格配置服务器的安全策略,严格设置服务器的权限,按部门办公需要设置相关权限,如非行政办公部门只设置浏览文件权限即可,不必设置可写和可执行文件权限,以防止恶意上传病毒程序文件到服务器上并执行病毒。在服务器上设置ip访问列表,只允许本企业办公局域网ip段对服务器进行访问,其它地址段全部拒绝访问。
2.3加强漏洞补丁工作
对软件和服务进行升级补丁,经常登录各有关网络安全网站和知名论坛,对本企业有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要地补丁和升级。定期检测服务器系统是否存在弱点与漏洞,如果存在则及时到官方网站下载程序打上补丁,比如使用360安全卫士软件就可以很方便地扫描系统出系统漏洞并自动联网打上补丁。
2.4建立专门的数据容灾系统
除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据,这就需要建立数据容灾系统。其主要内容是数据容灾和应用容灾,数据容灾是指建立一个异地数据系统,该系统是本地关键应用的一个实时复制,当本地数据及整个应用系统发生灾难时,系统至少在异地保存一份可用的关键业务数据。应用容灾是在数据容灾的基础上在异地建立的一套完整的,与本地相当的备份应用系统,在遇到灾难时,远程系统可以迅速接管业务运行,从而保证企业运作不中断。如果企业不具备建立数据容灾系统的条件,则要注重做好数据备份工作。
3内部网络安全
为了保证企业办公局域网的安全,办公内网和外网(互联网或上级网络)最好进行访问隔离,常用的措施是在内网与外网之间采用访问控制,以增强机构内部网的安全性。同时也要加强办公内网本身内部的安全防范。
3.1内外网访问控制
在内外网隔离及访问系统中,采用防火墙技术是保护内网安全最有效最经济的措施之一。防火墙技术是提供信息安全服务,实现网络和信息安全的基础设施,它能防止外网上的不安全因素蔓延到办公局域网内部,能最大限度的阻止外网中的不法分子来访问内部办公网络,防止他们随意访问、更改、甚至删除内网上的重要信息。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,可以决定哪些内部服务可以被外界访问,外界哪些人可以访问内部的哪些服务,以及哪些内部人员可以访问外部网络。其基本功能有:过滤进出的数据;管理进出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙安全保护融合到系统的整体安全策略中,才能实现真正的安全。防火墙有硬件防火墙和软件防火墙,企业应根据自身网络的实际要求进行配备。
3.2办公网内部安全
常规安全防御理念往往局限在网关级别、网络边界的防御。重要的安全设施大都集中于网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。然而,来自办公局域网内部计算机客户端的安全问题也在威胁着整个办公网络的安全,应该引起众多网络安全管理人员的高度重视。为做好办公网本身的内部安全防范,本人认为可以从以下两方面入手:一是按部门严格划分vlan(虚拟局域网),将不同的部门划分到不同的vlan中,同个部门的主机之间可以互相访问,但不能访问别的部门的主机。这样从二层上把各个部门分开,就避免一台主机出问题影响整个办公局域网,大大减少了广播风暴。二是在内网实行授权认证制度。在内网建立认证服务器,为每个办公人员分配合法的用户名,办公人员拨入认证服务器,服务器验证是合法用户后,才分配内网ip地址,进而才可以访问办公网上资源。认证服务器将用户帐号和所分配的ip地址以及网络行为记录在案,如果内网出现异常,网络管理员可以立即调出记录表查看是否存在流量异常的用户等,及时封堵问题用户。
4结语
建立健全的网络管理制度是保证企业办公网络安全的一项重要措施,高效稳定安全的企业办公网络需要企业全体人员的共同维护。
参考文献
[1]王越.中小型办公网安全防护措施[J].牡丹江大学学报,2007,06:120-122.