引言:易發(fā)表網(wǎng)憑借豐富的文秘實踐����,為您精心挑選了九篇網(wǎng)絡(luò)安全內(nèi)網(wǎng)管理范例�����。如需獲取更多原創(chuàng)內(nèi)容,可隨時聯(lián)系我們的客服老師。
第1篇
關(guān)鍵詞:互聯(lián)網(wǎng)+�;網(wǎng)絡(luò)安全���;防火墻
1內(nèi)部網(wǎng)絡(luò)安全現(xiàn)狀
隨著當(dāng)今信息技術(shù)的飛速發(fā)展���,網(wǎng)絡(luò)對人類生活方式的影響顯著增強���,網(wǎng)絡(luò)技術(shù)在社會的各個領(lǐng)域迅速普及�,計算機網(wǎng)絡(luò)安全問題已成為亟待解決的問題�。人們普遍對網(wǎng)絡(luò)安全有一個錯誤的認識,也就是說,我們所使用的內(nèi)部網(wǎng)絡(luò)是安全的�、沒有威脅的���,外部網(wǎng)絡(luò)是有危險�����、不安全的�����,也是主要的網(wǎng)絡(luò)威脅來源,所以計算機網(wǎng)絡(luò)內(nèi)部的威脅���,往往被人們所忽視,因此��,一般都會研究如何防止外部網(wǎng)絡(luò)從外面攻擊內(nèi)部的網(wǎng)絡(luò)����,而忽視了單位內(nèi)部網(wǎng)絡(luò)的安全威脅。大多數(shù)人并不認為他們會成為網(wǎng)絡(luò)攻擊的目標或者自己本身成為網(wǎng)絡(luò)威脅的來源����,可是當(dāng)危險發(fā)生,往往會因為以前沒有予以重視而手忙腳亂,造成不應(yīng)發(fā)生的損失����。但隨著內(nèi)部網(wǎng)的迅速發(fā)展���,網(wǎng)絡(luò)日益成為人們生活和學(xué)習(xí)的重要組成部分�����。內(nèi)部網(wǎng)絡(luò)的安全性也凸顯出來,網(wǎng)絡(luò)安全難以得到很好的保障�,單位的利益受到了不同程度的損害��。面對上述情況,營造一個安全的內(nèi)部網(wǎng)絡(luò)環(huán)境���,形成一個穩(wěn)定、便捷�����、高效的內(nèi)部網(wǎng)是各級各類單位網(wǎng)絡(luò)管理工作者需要面對和解決的問題��。然而�����,大多數(shù)單位網(wǎng)絡(luò)都處于建設(shè)的初級階段,往往更注重硬件的采購和系統(tǒng)的建設(shè),很少關(guān)注單位內(nèi)部網(wǎng)絡(luò)的安全和威脅處理。面對內(nèi)部網(wǎng)絡(luò)安全威脅時,往往缺乏有效的應(yīng)對策略和解決方案��,因此��,如何利用網(wǎng)絡(luò)安全理論與相關(guān)技術(shù)�����,在建設(shè)單位網(wǎng)絡(luò)的同時�����,形成網(wǎng)絡(luò)安全屏障�,保證網(wǎng)絡(luò)的正常運行是單位網(wǎng)絡(luò)管理者需要解決的重要問題�����。內(nèi)部網(wǎng)絡(luò)的安全防范�����,是一個系統(tǒng)工程,是一個人員��、設(shè)備�、技術(shù)及意識的綜合問題。現(xiàn)在�����,越來越多的政府機構(gòu)����、企事業(yè)單位的各種業(yè)務(wù)和服務(wù)依托內(nèi)部網(wǎng)絡(luò)環(huán)境,但是單位內(nèi)部職員卻對現(xiàn)今的網(wǎng)絡(luò)威脅普遍存在一個認識誤區(qū)�,導(dǎo)致內(nèi)部網(wǎng)絡(luò)的安全得不到保障��。“互聯(lián)網(wǎng)+”時代��,有大量的信息流和數(shù)據(jù)流充斥著整個網(wǎng)絡(luò),這些信息包含了非常豐富的內(nèi)容���,因為互聯(lián)網(wǎng)的環(huán)境是自由開放的,而網(wǎng)絡(luò)安全系統(tǒng)以及數(shù)據(jù)安全性低����,通常情況下潛在數(shù)據(jù)安全問題表現(xiàn)為通過非法、有意的竊取�、截取����、病毒攻擊等途徑造成信息泄露����、損壞,導(dǎo)致數(shù)據(jù)的完整性�、可靠性及可用性受到一定程度的影響���,對當(dāng)今互聯(lián)網(wǎng)社會造成了一定的威脅�����。
2內(nèi)部網(wǎng)絡(luò)安全管理措施
針對以上問題,筆者提出了以下幾個內(nèi)部網(wǎng)絡(luò)防范的要點�,以最大限度防范內(nèi)部網(wǎng)絡(luò)受到外部或內(nèi)部的網(wǎng)絡(luò)威脅��,最大限度防止信息泄漏,充分發(fā)揮“互聯(lián)網(wǎng)+”的優(yōu)越性��,從而為人們的工作帶來便利�。
2.1保證內(nèi)網(wǎng)操作系統(tǒng)的安全
終端用戶程序、服務(wù)器中的應(yīng)用程序等都在計算機操作系統(tǒng)上運行���,因此,維護整個單位內(nèi)部網(wǎng)絡(luò)安全的根本就是要確保每個計算機操作系統(tǒng)(不管是服務(wù)器還是客戶端)的安全�����。除了修補操作系統(tǒng)的補丁外�,還需要設(shè)立一個針對單位內(nèi)部網(wǎng)絡(luò)中操作系統(tǒng)的監(jiān)控系統(tǒng),設(shè)置有效的用戶訪問控制操作和訪問口令�。
2.2隔離資源��,部署防火墻
內(nèi)部網(wǎng)絡(luò)中的路由器和交換機是傳輸任何信息的基礎(chǔ)和必須具備的設(shè)備,如果沒有在路由器和交換機上配置一些安全策略����,則網(wǎng)絡(luò)中的數(shù)據(jù)就會使用廣播技術(shù),而采取廣播技術(shù)就會導(dǎo)致網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包很容易被監(jiān)聽和非法截取,所以必須要擁有一個安全可靠的網(wǎng)絡(luò)設(shè)備及采取可靠的安全訪問策略。通過使用交換機和路由器進行劃分組網(wǎng),通過劃分虛擬的網(wǎng)絡(luò)對設(shè)備進行物理或邏輯上的劃分���,從而實現(xiàn)對網(wǎng)絡(luò)資源的隔離,提高了內(nèi)網(wǎng)的安全性���。防火墻技術(shù)是內(nèi)部網(wǎng)安全防護中最常用的保護措施,可以對訪問的客戶端進行過濾和訪問限制����,從而對單位內(nèi)部網(wǎng)的安全控制起到很好的防護效果�?����?梢愿鶕?jù)對內(nèi)部網(wǎng)絡(luò)安全控制的需求����,利用防火墻來設(shè)置一定的策略���,既可以過濾數(shù)據(jù)包�,保障內(nèi)部網(wǎng)絡(luò)不受網(wǎng)絡(luò)攻擊,又不影響內(nèi)部網(wǎng)絡(luò)對Internet的訪問和FTP等下載服務(wù)。
2.3通過模擬攻擊方式來檢測內(nèi)部網(wǎng)絡(luò)防火墻
一般來說�,拒絕服務(wù)攻擊(如DDOS)威脅在內(nèi)部網(wǎng)絡(luò)安全威脅中占了很大一部分���?��?梢酝ㄟ^合理配置防火墻�����,并且選擇使用功能強大的防火墻��,從而實現(xiàn)充分監(jiān)控網(wǎng)絡(luò)情況����,達到保護內(nèi)部網(wǎng)絡(luò)安全的效果。通過分析數(shù)據(jù)包執(zhí)行攔截行動,發(fā)現(xiàn)攻擊者入侵時出現(xiàn)的異常情況�����,可以馬上停止服務(wù)�����,從而有效保護單位的機密信息和敏感數(shù)據(jù)����,達到保護信息的目的���。通過防火墻的訪問控制功能可以限制非法用戶訪問單位內(nèi)部網(wǎng)絡(luò)�,規(guī)定必須是內(nèi)部網(wǎng)絡(luò)的工作站才能訪問內(nèi)部服務(wù)器和內(nèi)部的網(wǎng)絡(luò)設(shè)備,這樣就可以防止外來的客戶端非法配置內(nèi)部網(wǎng)絡(luò)設(shè)備�,達到保護內(nèi)部網(wǎng)絡(luò)的目的����。
2.4設(shè)立檢測入侵系統(tǒng)
雖然有防火墻保護內(nèi)部網(wǎng)絡(luò)�,但是往往有些來自內(nèi)部的安全威脅,從而導(dǎo)致有意或無意的網(wǎng)絡(luò)入侵事故發(fā)生���,這就很難保證內(nèi)網(wǎng)的安全性。所以����,可以把防火墻和入侵檢測系統(tǒng)結(jié)合起來運用��,相互彌補各自的不足?��?梢约皶r預(yù)警和防范網(wǎng)絡(luò)中的病毒���、異常訪問��、非法登錄��、系統(tǒng)漏洞等安全威脅,從而使內(nèi)部網(wǎng)絡(luò)的安全性得到有效的加強�,有效保障政府機關(guān)和企業(yè)各項重要業(yè)務(wù)的正常運行�����。
2.5VLAN虛擬局域網(wǎng)
虛擬局域網(wǎng)(VLAN)技術(shù)是一種人為劃分管理網(wǎng)絡(luò)的技術(shù),它根據(jù)人們管理的需求將一個大的網(wǎng)絡(luò)劃分為不同的邏輯子網(wǎng)��,網(wǎng)絡(luò)中的站點可以與物理位置無關(guān)��,從而實現(xiàn)安全管理的目的����。VLAN技術(shù)可以把一個通過交換機相連的物理網(wǎng)絡(luò)根據(jù)管理的需要人為劃分為多個邏輯子網(wǎng)��。劃分完成后�����,網(wǎng)絡(luò)里如果有廣播包發(fā)送,只會發(fā)送到Vlan相同的網(wǎng)絡(luò)中���,從而實現(xiàn)了廣播包在一定的小規(guī)模范圍內(nèi)傳播,避免了廣播包的大面積傳播����。交換機不向其他LAN端口發(fā)送消息����。
2.6應(yīng)用防病毒技術(shù)
可以采用結(jié)合基于會話流的高性能智能搜索算法和卡巴斯基的SafeStream病毒庫���,并采用多核操作系統(tǒng)分流技術(shù)來檢測和清除網(wǎng)絡(luò)中的病毒�����,克服了傳統(tǒng)殺毒網(wǎng)關(guān)缺乏抗病毒性能的弊端�����,為內(nèi)部網(wǎng)絡(luò)安全提供了一種全新的安全解決方案。防病毒技術(shù)在內(nèi)部網(wǎng)入口進行病毒檢測�,真正抵御網(wǎng)絡(luò)病毒�,為內(nèi)部網(wǎng)提供了強有力的保護層��。
2.7ACL訪問控制列表
ACL技術(shù)通過在訪問控制列表中添加訪問規(guī)則�,可以對計算機用戶需要通過網(wǎng)絡(luò)層訪問的資源進行有效的控制���,它可以在網(wǎng)絡(luò)應(yīng)用程序的兩個網(wǎng)絡(luò)之間的設(shè)備進行訪問控制�,為網(wǎng)絡(luò)應(yīng)用提供了一個安全和有效的手段。2.8加強網(wǎng)絡(luò)安全防衛(wèi)意識宣傳除了單位內(nèi)部的網(wǎng)絡(luò)管理員和安全員認識到網(wǎng)絡(luò)的安全重要性�����,大多數(shù)人缺乏足夠的網(wǎng)絡(luò)安全意識性����,他們普遍認為,網(wǎng)絡(luò)維護與管理人員有關(guān),與自己無關(guān)�,從而導(dǎo)致網(wǎng)絡(luò)存在安全隱患���,所以必須在單位內(nèi)部加強網(wǎng)絡(luò)安全防衛(wèi)意識宣傳���。
3結(jié)語
第2篇
關(guān)鍵詞:內(nèi)部網(wǎng)絡(luò);安全;Web Service
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 11-0000-02
Analysis of Internal Network Security Management System
Wang Wei
(Heilongjiang Land Reclamation College,Harbin150025,China)
Abstract:The current network security products within a category and technical analysis,information system security through research P2DR theoretical system model proposed regulation within the network security audit system.Internal network security management system is based on static security strategy,covering P2DR security model of protection,detection and response in three stages,internal computer network device management,management covers access control,behavioral monitoring,network management,patch management,asset management,auditing platform six areas,support large-scale multi-stage deployment for intranet Security Management provides a unified platform.And internal network security management system through the application of implementation,further confirmed its feasibility and efficiency.
Keywords:Internal network;Security;Web service
一、系統(tǒng)安全模型
內(nèi)網(wǎng)即Intranet����,是相對于外網(wǎng)Extranet而言的�����。廣義上人們認為所有的黨政機關(guān)、企事業(yè)單位的內(nèi)部網(wǎng)絡(luò)都稱為內(nèi)網(wǎng),而狹義上我們認為與互聯(lián)網(wǎng)物理隔離的辦公網(wǎng)���、局域網(wǎng)、城域網(wǎng)或是廣域網(wǎng)都可能是內(nèi)網(wǎng)。在內(nèi)網(wǎng)安全監(jiān)管審計系統(tǒng)中��,我們所定義的內(nèi)網(wǎng)是指物理上直接連接或通過交換機�����、路由器等設(shè)備間接連接的企業(yè)內(nèi)部信息網(wǎng)絡(luò)�,它可以是單一的局域網(wǎng)���,也可以是跨越Internet的多個局域網(wǎng)的集合�。如圖1所示,是典型企業(yè)局域網(wǎng)網(wǎng)絡(luò)拓撲圖����。
圖1.企業(yè)局域網(wǎng)網(wǎng)絡(luò)拓撲圖
內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)的目的就是通過系統(tǒng)部署��,能在企業(yè)內(nèi)網(wǎng)中,建立一種更加全面、客觀和嚴格的信任體系和安全體系��,通過更加細粒度的安全控制措施����,對內(nèi)網(wǎng)的計算機終端行為進行更加具有針對性的管理和審計,對信息進行生命周期的完善管理,借助這個整體一致的內(nèi)網(wǎng)安全管理平臺��,為內(nèi)網(wǎng)構(gòu)建一個立體的防泄密體系��,使內(nèi)網(wǎng)達到可信任、可控制和可管理的目的�����。根據(jù)P2DR安全模型得出結(jié)論����,要實現(xiàn)內(nèi)網(wǎng)的安全,必須做到及時的檢測�����、響應(yīng)。因此���,內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)的安全模型是基于靜態(tài)的安全防護策略,覆蓋了P2DR安全模型中的防護���、檢測和響應(yīng)三個階段,由安全策略��、策略執(zhí)行��、監(jiān)控響應(yīng)��、審計和管理支持五個環(huán)節(jié)組成。
安全策略是整個內(nèi)網(wǎng)安全監(jiān)管審計系統(tǒng)的核心,它滲透到系統(tǒng)的策略執(zhí)行、監(jiān)控響應(yīng)����、審計�、管理支持等各個環(huán)節(jié)����,所有的監(jiān)控響應(yīng)、審計都是依據(jù)安全策略實施的����。安全策略包括監(jiān)控策略、審計策略�����、響應(yīng)策略����、系統(tǒng)管理策略。管理支持是指系統(tǒng)管理員操作的相關(guān)接口��,即用戶界面�。它提供對系統(tǒng)運行相關(guān)參數(shù)的配置、各類策略的制定�����、系統(tǒng)的授權(quán)管理操作���。策略執(zhí)行是指通知制定的策略�,并確保策略的成功實施。監(jiān)控響應(yīng)是根據(jù)制定的安全策略�����,對系統(tǒng)管理員和內(nèi)網(wǎng)的計算機終端活動進行監(jiān)測和響應(yīng)����,提供對安全事件的記錄和上報。它是強制實施安全策略的有利工具����,也是內(nèi)網(wǎng)安全監(jiān)管審計系統(tǒng)最為重要的一個環(huán)節(jié)���,是系統(tǒng)功能的核心�����,主要通NDIS-HOOK數(shù)據(jù)包技術(shù)��、Win Pcap網(wǎng)絡(luò)管理技術(shù)等來實現(xiàn)��。審計是指對安全事件的報警、日志的統(tǒng)計分析。安全事件是由“監(jiān)控響應(yīng)”環(huán)節(jié)生成的��。根據(jù)安全事件的嚴重程度����,按照報警策略,向系統(tǒng)管理員提供能夠報警信息。
二����、系統(tǒng)結(jié)構(gòu)設(shè)計
(一)系統(tǒng)功能
系統(tǒng)的總體設(shè)計�����,旨在從系統(tǒng)應(yīng)用的角度�,明確系統(tǒng)的功能��;從系統(tǒng)開發(fā)的角度����,設(shè)計系統(tǒng)的邏輯結(jié)構(gòu)模塊�,便于編程實現(xiàn);從系統(tǒng)部署的角度���,規(guī)劃系統(tǒng)的物理結(jié)構(gòu)分布以實施系統(tǒng)的運行。內(nèi)網(wǎng)安全網(wǎng)絡(luò)管理系統(tǒng)的目的是構(gòu)建一個整體一致的內(nèi)網(wǎng)安全體系����,從網(wǎng)絡(luò)協(xié)議方面看��,內(nèi)網(wǎng)安全監(jiān)管審計系統(tǒng)適合于任何基于TCP/IP協(xié)議的網(wǎng)絡(luò)�,不管是Internet還是Intranet,都能充分發(fā)揮作用。從操作系統(tǒng)方面看�����,內(nèi)網(wǎng)安全監(jiān)管審計系統(tǒng)主要針對目前主流的Windows桌面操作系統(tǒng)�����,包括Windows2000����,Windows XP�,可隨著操作系統(tǒng)的發(fā)展和用戶的實際需求,開發(fā)相應(yīng)的適用版本。
從用戶群方面看�,內(nèi)網(wǎng)安全監(jiān)管審計系統(tǒng)適用于幾乎所有對內(nèi)網(wǎng)安全管理有需求的單位���,特別是黨政軍警機要部門����、國家核心技術(shù)研究院所����、高新科技企業(yè)、金融機構(gòu)等部門。根據(jù)對內(nèi)網(wǎng)安全產(chǎn)品的分析和內(nèi)網(wǎng)安全的特點��,內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)的功能主要包括接入控制����,行為監(jiān)控,網(wǎng)絡(luò)管理�,補丁管理����,實時監(jiān)聽��,WEB管理平臺六個方面,并且這六個方面是緊密結(jié)合����、相互聯(lián)動的�。
(二)客戶端模塊設(shè)計
1.接入控制線程:包括終端接入控制�,非法外聯(lián)實時監(jiān)測和策略管理模塊,實現(xiàn)終端信息注冊���、用戶登錄、登錄策略更新���、客戶端軟件安裝版本驗證、客戶端操作系統(tǒng)版本及補丁驗證��、客戶端殺毒軟件版本驗證�、安全策略版本驗證、安全策略更新以及網(wǎng)絡(luò)層防護策略����,包括IP地址訪問控制��、TCP端口訪問控制、UDP端口訪問控制��、IP地址+端口號的訪問控制,終端流量的監(jiān)控等功能�����。
2.客戶端監(jiān)控線程:包括終端軟件安裝管理��,終端進程管理����,終端殺毒軟件管理模塊��,用于監(jiān)控終端行為并根據(jù)策略對違規(guī)行為進行處理�,同時加密發(fā)送事件報警信息并記錄日志�。具體做法是讀取終端安全策略�����,根據(jù)安全策略進行進程運行監(jiān)控��、服務(wù)運行監(jiān)控、軟件安裝監(jiān)控�、網(wǎng)絡(luò)流量監(jiān)控����,并對違規(guī)事件進行事件告警和日志記錄等功能�����。
3.終端實時控制監(jiān)聽線程:包括點對點實時監(jiān)控管理模塊��,接收服務(wù)端實時查詢消息,獲取客戶端運行時信息����,包括系統(tǒng)CPU使用率����,內(nèi)存�����,硬盤使用情況���,系統(tǒng)進程列表��,系統(tǒng)服務(wù)列表、硬件清單����、安裝程序清單和網(wǎng)絡(luò)流量,并把終端信息加密發(fā)送到服務(wù)器��。
4.補丁管理線程:包括操作系統(tǒng)版本和補丁管理模塊��,掃描本機注冊表中的Hot fix項��,得到本機的補丁安裝信息,對比指派給本機的補丁策略,得到需要下載安裝的補丁列表,再從局域網(wǎng)服務(wù)器下載并安裝相應(yīng)補丁���。
(三)服務(wù)器模塊設(shè)計
1.內(nèi)網(wǎng)終端安全主程序:負責(zé)啟動或停止登錄驗證進程、運行狀態(tài)監(jiān)控進程、終端實時控制信息進程�����。維護進程之間的共享數(shù)據(jù)(終端會話列表)�,實時策略下發(fā)功能。
2.登錄驗證進程:包括終端注冊管理、終端登錄管理��、TCP監(jiān)聽�、加解密密鑰協(xié)商、策略下發(fā)模塊。實現(xiàn)監(jiān)聽終端請求�����,接收并解密客戶端消息����,處理終端注冊請求,并記入數(shù)據(jù)庫��;處理終端的登錄請求,驗證終端的登錄信息,驗證通過后向客戶端發(fā)送最新安全策略�。
3.運行狀態(tài)監(jiān)控進程:包括探測消息�,終端告警消息處理模塊�,實現(xiàn)探測消息接收,以確定客戶端是否在線,并修改終端會話狀態(tài)�;接收終端告警消息��,進行解密處理并將相關(guān)信息記入數(shù)據(jù)庫,以便管理員查詢。
4.終端實時控制信息進程:包括終端信息實時查詢和策略下發(fā)模塊����。接收客戶端程序發(fā)來的終端信息,為WEB服務(wù)提供終端信息實時查詢的功能。另外在管理員通過WEB界面更改策略后,后實時向相關(guān)終端下發(fā)最新策略��。
5.網(wǎng)絡(luò)管理進程:基于Win Pcap實現(xiàn)防止局域網(wǎng)A印欺騙的功能�����。Win Pcap(windows packet capture)它具有訪問網(wǎng)絡(luò)底層的能力�,提供了捕獲原始數(shù)據(jù)包�����,按照一定規(guī)則過濾數(shù)據(jù)包��,以及發(fā)送原始數(shù)據(jù)包功能。通過捕獲并分析局域網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包�,可以判斷局域網(wǎng)是否發(fā)生欺騙�,進而采取措施來防止欺騙����。
6.補丁管理進程:基于CXF和WSS4J的安全的Web.Service實現(xiàn),通過這種方式從遠程TJHN服務(wù)器獲取最近補丁列表��,通過比對當(dāng)前本機服務(wù)器獲取遠程補丁列表���,從官方網(wǎng)站下載所需補丁�����。
(四)Web管理平臺模塊設(shè)計
用戶管理模塊:對可以登錄Web的用戶進行管理��;提供用戶登錄。終端審批模塊:對申請接入的終端請求進程審批��。策略配置模塊:對單個策略進行管理����,主要包括進程����,服務(wù),安裝軟件的黑白名單策略����,網(wǎng)絡(luò)過濾策略����,流量閡值設(shè)置��;對策略分組進行管理�。終端查詢模塊:向終端發(fā)送點對點消息���,查詢并展示實時的終端運行信息�����,包括CPU占用率����,硬盤�,內(nèi)存使用情況,運行進程�����,服務(wù)�����,安裝軟件���,實時流量信息�。日志查詢模塊:查詢終端運行告警日志���,包括運行進程告警��,服務(wù)告警���,安裝軟件告警�,流量異常告警��,網(wǎng)絡(luò)阻斷告警�。
參考文獻:
[1]黃澤界.一種遠程視頻監(jiān)控系統(tǒng)的實現(xiàn)[J].安防科技,2008,2
[2]胡愛閩.基于DM642的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)[J].安防科技,2008,9
[3]王文聯(lián),侯,周先存.基于NDIS中間驅(qū)動程序的防火墻的研究與實現(xiàn)[J].安徽建筑工業(yè)學(xué)院學(xué)報(自然科學(xué)版),2004,1
[4]胡珊,張冰.利用SPI控制計算機上網(wǎng)[J].鞍山科技大學(xué)學(xué)報,2004,5
第3篇
關(guān)鍵詞 OSI安全體系���;安全管理系統(tǒng)��;企業(yè)內(nèi)網(wǎng)�����;運用方法
中圖分類號:TP317 文獻標識碼:A 文章編號:1671-7597(2014)07-0088-01
隨著計算機互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,企業(yè)都建立了廣泛的計算機網(wǎng)絡(luò)管理系統(tǒng),旨在提升企業(yè)管理效率及管理安全水平����,降低企業(yè)運營成本����。但是使用計算機網(wǎng)絡(luò)技術(shù)也讓企業(yè)暴露在互聯(lián)網(wǎng)的大環(huán)境下��,不可避免會遭受到黑客和病毒的侵襲��。企業(yè)內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)的緊密聯(lián)系造成了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全遭到更多侵襲���,多是由于網(wǎng)絡(luò)安全管理防范不過關(guān)��、企業(yè)員工操作不當(dāng)及網(wǎng)絡(luò)安全管理人員維護不當(dāng)引起的��,造成對企業(yè)的數(shù)據(jù)危害,嚴重威脅著企業(yè)的數(shù)據(jù)安全。因此,必須加強企業(yè)的計算機網(wǎng)絡(luò)的數(shù)據(jù)安全�����。
1 OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)及安全標準
由于目前網(wǎng)絡(luò)安全技術(shù)相對要落后于網(wǎng)絡(luò)入侵技術(shù)���,在這種背景下�����,國際標準化組織制定了相應(yīng)的協(xié)議來加強計算機網(wǎng)絡(luò)的安全性―OSI安全體系�,提出了一個安全服務(wù)和安全機制的概念���,將安全服務(wù)劃分成認證、訪問控制以及數(shù)據(jù)保密����、數(shù)據(jù)完整性和防入侵服務(wù)五大類���,并將安全機制劃分為特定性安全機制和普通性安全機制����。但是需要將國際安全策略和企業(yè)內(nèi)部的安全策略緊密結(jié)合起來����,才能實現(xiàn)對企業(yè)網(wǎng)絡(luò)安全管理水平的提升��。因此��,需要結(jié)合從企業(yè)的網(wǎng)絡(luò)桌面安全管理軟件系統(tǒng)的運用出發(fā),研究統(tǒng)一策略下的強制策略執(zhí)行機制�����,并具體分析策略配置,以及對客戶端系統(tǒng)的監(jiān)控和防護��,進而實現(xiàn)局域網(wǎng)內(nèi)客戶端桌面系統(tǒng)的安全管理和防護�����,實現(xiàn)對企業(yè)網(wǎng)絡(luò)安全桌面系統(tǒng)的網(wǎng)絡(luò)安全管理及數(shù)據(jù)防泄密的安全管理����。
2 計算機桌面安全管理系統(tǒng)在企業(yè)內(nèi)網(wǎng)的具體運用
2.1 制定多種安全策略����,提升客戶端桌面系統(tǒng)的安全性
企業(yè)的局域網(wǎng)相對復(fù)雜,各種基于網(wǎng)絡(luò)的應(yīng)用很多,數(shù)據(jù)采用集中管理方式����,一旦遭遇數(shù)據(jù)泄密就會給企業(yè)造成嚴重經(jīng)濟損失���。引入計算機桌面安全管理系統(tǒng)�����,從技術(shù)層面協(xié)助計算機網(wǎng)絡(luò)維護人員處理極其復(fù)雜的客戶端問題,能有效提升安全管理效率����。同時,還可以融合OSI網(wǎng)絡(luò)安全管理標準�,實現(xiàn)網(wǎng)絡(luò)和客戶端安全防護并重的態(tài)勢����;能隨時監(jiān)控客戶端的狀態(tài)并實現(xiàn)行為管理����,通過計算機桌面安全管理系統(tǒng)解決網(wǎng)絡(luò)管理和客戶端管理的諸多問題。因此���,計算機桌面安全管理系統(tǒng)在面對企業(yè)較為復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)環(huán)境下,具有更好的兼容性���。下面具體地分析桌面安全管理系統(tǒng)的多功能運用。
1)在客戶端強制安裝客戶端管理程序��。網(wǎng)絡(luò)桌面安全管理系統(tǒng)采用的是服務(wù)器客戶端架構(gòu)�,只有客戶端安裝了管理軟件,才能通過服務(wù)器端對這些客戶端進行網(wǎng)絡(luò)安全管理�。
2)實現(xiàn)客戶端系統(tǒng)的監(jiān)視功能��。包括客戶端的端口、軟硬件信息及各種系統(tǒng)資源進行實時監(jiān)控�,對桌面終端的各種進程進行管理���,準確了解客戶端各種行為和資源運行狀況����,對主機的安全情況進行分析并及時處理��。
3)管理系統(tǒng)軟件具有系統(tǒng)補丁分發(fā)的功能�。服務(wù)器接收微軟的系統(tǒng)補丁�,并經(jīng)過服務(wù)端對這些補丁的檢查之后,再由服務(wù)端對這些系統(tǒng)補丁進行分發(fā)���,讓客戶端實現(xiàn)升級。
4)具有殺毒軟件檢測功能����。能對客戶端是否安裝了殺毒軟件進行監(jiān)控,并對客戶端的殺毒軟件的版本號、病毒庫信息等進行檢測����。
5)防止IP地址修改����。服務(wù)端的策略是具有讓客戶端在更改IP地址之后能迅速恢復(fù)到原分配的IP地址�����。
6)禁用非法的軟件����。能對操作系統(tǒng)的安裝進程進行限制,同時將軟件���、P2P下載軟件等工具納入到進程黑名單,從而達到對非法使用軟件的管理目的�����。
7)遠程協(xié)助管理能力���。當(dāng)客戶端出現(xiàn)問題時�����,計算機桌面網(wǎng)絡(luò)安全管理系統(tǒng)則提供了的遠程協(xié)助的功能�����,從而實現(xiàn)遠程協(xié)助維護和管理并排查主機故障��。
8)實現(xiàn)系統(tǒng)檢測功能��。對客戶端的系統(tǒng)資源進行監(jiān)視,并設(shè)置相應(yīng)的閾值�����,當(dāng)這個閾值超出了管理員的設(shè)定之后��,客戶端就會向服務(wù)器端發(fā)出警報����,方便管理員進行及時的管理和
維護��。
9)實現(xiàn)了網(wǎng)卡禁用的功能���。當(dāng)服務(wù)器端發(fā)現(xiàn)客戶端工作站出現(xiàn)了網(wǎng)絡(luò)安全故障���,可以通過服務(wù)器端直接對其進行網(wǎng)卡禁用����,防范此客戶機利用局域網(wǎng)發(fā)送蠕蟲病毒等病毒代碼��,給局域網(wǎng)帶來嚴重的安全隱患��。
10)消息發(fā)送功能。這個功能可以對特定的用戶和用戶組發(fā)出相應(yīng)的提示信息�����,從而實現(xiàn)管理目標和計劃的��。
11)軟件分發(fā)功能。結(jié)合FTP服務(wù)器�����,讓服務(wù)器端將一些特定的軟件下發(fā)到相應(yīng)的客戶機上����,強制或者讓客戶端有選擇的安裝相應(yīng)的軟件,客戶機使用軟件的整個過程是在服務(wù)器端的監(jiān)控之下的����。
12)流量的檢測功能�。隨時監(jiān)控客戶端對網(wǎng)絡(luò)資源的使用情況�,對于特殊的流量信息進行及時警告,利用管理系統(tǒng)對不同客戶端設(shè)定不同的流量限制策略�,達到合理分配網(wǎng)絡(luò)資源的目的�。
2.2 結(jié)合相關(guān)網(wǎng)絡(luò)安全管理工具
在企業(yè)的網(wǎng)絡(luò)安全管理環(huán)節(jié)中�,除了桌面網(wǎng)絡(luò)安全管理系統(tǒng)之外,需要結(jié)合目前主流的安全管理工具來使用�。
1)Sniffer嗅探器����。將Sniffer嗅探器放在防火墻能對所有訪問互聯(lián)網(wǎng)的IP地址進行實施監(jiān)視,再結(jié)合桌面網(wǎng)絡(luò)安全管理系統(tǒng)就能有效地對網(wǎng)絡(luò)流量進行檢測和控制���,同時還能保障用戶能正常地訪問互聯(lián)網(wǎng)。
2)有關(guān)思科的安全解決工具��。將思科網(wǎng)絡(luò)安全解決方案和計算機桌面安全管理系統(tǒng)相結(jié)合能提升企業(yè)內(nèi)網(wǎng)的安全能力�。制定訪問控制策略能對內(nèi)網(wǎng)安全有效地防護,確保網(wǎng)絡(luò)資源不被非法盜用及非法資源占用���,與安全管理系統(tǒng)部分功能相結(jié)合能提升網(wǎng)絡(luò)安全;通過思科的ARP表將IP地址和客戶端的MAC地址綁定��,結(jié)合網(wǎng)絡(luò)管理系統(tǒng)中的IP地址限制修改策略����,從而徹底解決隨意占用他人IP地址的行為,提升管理人員的工作
效率�。
3 總結(jié)
企業(yè)使用計算機網(wǎng)絡(luò)桌面安全管理系統(tǒng)后��,極大提升了企業(yè)網(wǎng)絡(luò)安全���,也提升了客戶端用戶的工作效率�,還獲得了更高效的服務(wù)。當(dāng)客戶端出現(xiàn)安全問題后�����,網(wǎng)絡(luò)管理人員就能及時通過網(wǎng)絡(luò)安全管理軟件的遠程協(xié)助功能����,迅速幫助客戶端解決安全問題。利用服務(wù)端對殺毒軟件的自動更新功能及系統(tǒng)補丁分發(fā)功能��,能進一步提升客戶端的防病毒和黑客入侵的能力��。通過對企業(yè)使用計算機安全管理軟件的實際使用情況來分析�,計算機桌面安全管理系統(tǒng)在提升企業(yè)安全管理效率�����,對保障企業(yè)生產(chǎn)數(shù)據(jù)的安全性方面具有十分重要的作用�。
參考文獻
[1]張鴻久��,王少杰.利用桌面管理系統(tǒng)�,提升信息安全水平[J].河南電力�����,2010(1).
[2]王義申.終端安全管理系統(tǒng)在企事業(yè)單位內(nèi)網(wǎng)應(yīng)用的分析[J].計算機安全����,2007(7).
第4篇
遙控監(jiān)測企業(yè)內(nèi)網(wǎng)
不久前的一天早上�����,公司網(wǎng)管小王突然接到“E路無憂”網(wǎng)管中心的專家電話,網(wǎng)管專家通過遠程監(jiān)控平臺發(fā)現(xiàn)正興公司有一臺PC電腦中了沖擊波病毒,使得公司寬帶線路只能上傳數(shù)據(jù)包,不能下載數(shù)據(jù)包�����。小王立即查看了一下����,果然發(fā)現(xiàn)寬帶線雖然是通的,但無法連上互聯(lián)網(wǎng)。經(jīng)網(wǎng)管專家建議�,小王立即切斷寬帶網(wǎng)絡(luò)�����,使用上海電信商務(wù)領(lǐng)航企業(yè)在線安全系統(tǒng),順利地清除了內(nèi)網(wǎng)上的病毒。當(dāng)小王將公司寬帶網(wǎng)再次接通后�,網(wǎng)管專家用遠程觀測監(jiān)控系統(tǒng)對正興公司的網(wǎng)絡(luò)進行仔細檢測����,在與小王共同協(xié)商后,遠程調(diào)整了企業(yè)的網(wǎng)絡(luò)安全配置策略,將病毒隱患徹底消除�����。中國電信網(wǎng)管專家的及時發(fā)現(xiàn)、及時提醒與專業(yè)的技術(shù)協(xié)助,在第一時間避免了網(wǎng)絡(luò)病毒在正興公司內(nèi)網(wǎng)的進一步蔓延與擴大,為公司挽回了不少損失�,這讓小王感到十分欣慰��。
現(xiàn)在,“談生意靠上網(wǎng)��,發(fā)報價靠郵件”已經(jīng)成為許多企業(yè)白領(lǐng)的習(xí)慣��。然而,很多企業(yè)對網(wǎng)絡(luò)安全管理還沒有提上日程,對員工的日常上網(wǎng)活動疏于管理��,基本處于“放任自由”狀態(tài)��,員工在上班時間從網(wǎng)上買賣東西��、訪問不良網(wǎng)站、用BT下載電影、打網(wǎng)絡(luò)游戲等現(xiàn)象十分普遍。這種狀態(tài)不但影響工作效率����,更嚴重的是受到來自互聯(lián)網(wǎng)的電腦病毒傳播和黑客攻擊���,讓企業(yè)防不勝防���。調(diào)查顯示��,超過97%的企業(yè)曾受到互聯(lián)網(wǎng)病毒或黑客的攻擊。盡管有些企業(yè)添置了網(wǎng)絡(luò)安全硬件設(shè)備��,配有專職的網(wǎng)管人員�����,但仍然缺乏有效的防范手段�����,一旦網(wǎng)絡(luò)出現(xiàn)異常,在缺少網(wǎng)絡(luò)安全專家的指導(dǎo)下,很難快速發(fā)現(xiàn)和定位故障���,不能在最短時間內(nèi)予以排除。
遠程診斷安全漏洞
中國電信“E路無憂”網(wǎng)管服務(wù)解決了廣大企業(yè)在互聯(lián)網(wǎng)安全方面的困惑。基于中國電信網(wǎng)絡(luò)監(jiān)控管理中心平臺,電信網(wǎng)絡(luò)管理專家隊伍能根據(jù)不同企業(yè)的個性化需求�����,為用戶遠程在線定制網(wǎng)絡(luò)安全管理策略���,網(wǎng)絡(luò)監(jiān)控管理中心更能夠7×24小時主動為用戶監(jiān)控網(wǎng)絡(luò)狀態(tài)�,一旦有異常狀況����,比如用戶網(wǎng)絡(luò)受到木馬程序、沖擊波��、震蕩波��、蠕蟲等病毒攻擊時����,網(wǎng)管專家能先于企業(yè)用戶發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞��,在進行遠程在線診斷故障的同時�����,及時通知企業(yè)用戶立即采取措施,并協(xié)助用戶制定網(wǎng)絡(luò)安全漏洞應(yīng)對措施���。
第5篇
1.1 企業(yè)信息化建設(shè)現(xiàn)狀
隨著信息技術(shù)的飛速發(fā)展,特別是進入新世紀以來����,我國信息化基礎(chǔ)設(shè)施普及已達到較高水平����,但應(yīng)用深度有待進一步建設(shè)。從《第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》的一組數(shù)據(jù)顯示出����,截至2014年12月,全國使用計算機辦公的企業(yè)比例為90.4%����,截至2014年12月�����,全國使用互聯(lián)網(wǎng)辦公的企業(yè)比例為78.7%。近些年��,我國企業(yè)在辦公中使用計算機的比例基本保持在90%左右的水平上���,互聯(lián)網(wǎng)的普及率也保持在80%左右���,在使用互聯(lián)網(wǎng)辦公的企業(yè)中�,固定寬帶的接入率也連續(xù)多年超過95% ?�;A(chǔ)設(shè)施普及工作已基本完成���,但根據(jù)企業(yè)開展互聯(lián)網(wǎng)應(yīng)用的實際情況來看�����,仍存在很大的提升空間����。
一方面�����,是采取提升內(nèi)部運營效率措施的企業(yè)比例較低����,原因之一在于企業(yè)的互聯(lián)網(wǎng)應(yīng)用意識不足�,之二在于內(nèi)部信息化改造與傳統(tǒng)業(yè)務(wù)流程的契合度較低�����,難以實現(xiàn)真正互聯(lián)網(wǎng)化��,之三在于軟硬件和人力成本較高,多數(shù)小微企業(yè)難以承受;另一方面�����,營銷推廣��、電子商務(wù)等外部運營方面開展互聯(lián)網(wǎng)活動的企業(yè)比例較低���,且在實際應(yīng)用容易受限于傳統(tǒng)的經(jīng)營理念��,照搬傳統(tǒng)方法。
1.2 企業(yè)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀
根據(jù)最新的《第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》中的數(shù)據(jù)顯示,企業(yè)開展的互聯(lián)網(wǎng)應(yīng)用種類較為豐富��,基本涵蓋了企業(yè)經(jīng)營的各個環(huán)節(jié)�����。電子郵件作為最基本的互聯(lián)網(wǎng)溝通類應(yīng)用��,普及率最高,達83.0%;互聯(lián)網(wǎng)信息類應(yīng)用也較為普遍,各項應(yīng)用的普及率的都超過50%;而在商務(wù)服務(wù)類和內(nèi)部支撐類應(yīng)用中���,除網(wǎng)上銀行、與政府機構(gòu)互動、網(wǎng)絡(luò)招聘的普及率較高以外,其他應(yīng)用均不及50%�。我國大部分企業(yè)尚未開展全面深入的互聯(lián)網(wǎng)建設(shè)���,仍停留在基礎(chǔ)應(yīng)用水平上�。
由于目前我國網(wǎng)民數(shù)量已經(jīng)突破6億���,在人們的日常工作���、學(xué)習(xí)中網(wǎng)絡(luò)已經(jīng)扮演了不可替代的角色��,因此網(wǎng)絡(luò)安全問題就凸顯出來���,2014年�����,總體網(wǎng)民中有46.3%的網(wǎng)民遭遇過網(wǎng)絡(luò)安全問題,我國個人互聯(lián)網(wǎng)使用的安全狀況不容樂觀��。在安全事件中���,電腦或手機中病毒或木馬�、賬號或密碼被盜情況最為嚴重,分別達到26.7%和25.9%,在網(wǎng)上遭遇到消費欺詐比例為12.6%�。
1.3 網(wǎng)絡(luò)安全防護現(xiàn)狀
當(dāng)前企業(yè)網(wǎng)絡(luò)中已部署的基本的網(wǎng)絡(luò)安全設(shè)備如防火墻等�����,但網(wǎng)絡(luò)使用安全意識不高且網(wǎng)絡(luò)安全是一個動態(tài)維護的過程,企業(yè)面臨的內(nèi)外部安全威脅日益巨增����,整體安全形勢不容樂觀��。在網(wǎng)絡(luò)安全威脅中,對于來著企業(yè)內(nèi)網(wǎng)的安全威脅特別難以防范��,傳統(tǒng)的安全防護措施��,只能面對外部威脅�����,對內(nèi)不具備防護能力��。
高校在校園網(wǎng)信息化過程中數(shù)字化校園就是一典型例子���,數(shù)字化校園網(wǎng)可以方便學(xué)生使用各類網(wǎng)絡(luò)學(xué)習(xí)資源�。但也有部分學(xué)生在好奇心的驅(qū)使下�,往往會在網(wǎng)絡(luò)中進行試探性的病毒傳播、網(wǎng)絡(luò)攻擊等等�。也有部分學(xué)生以獲得學(xué)院某臺服務(wù)器或者網(wǎng)站的控制權(quán)來顯示其在黑客技術(shù)水平����。因此���,在內(nèi)網(wǎng)中維護網(wǎng)絡(luò)安全��,保護信息安全�,就顯得更加重要和緊迫了�。
2 內(nèi)網(wǎng)面臨的網(wǎng)絡(luò)威脅
筆者在高校內(nèi)網(wǎng)信息化建設(shè)過程中,通過多年的研究調(diào)查發(fā)現(xiàn)�����,學(xué)生的攻擊往往是盲目地����,且由于部分高校內(nèi)網(wǎng)管理較混亂,學(xué)生可以繞過一些身份認證等安全檢測�,進入校園核心網(wǎng)絡(luò)���。學(xué)生的這些行為��,一般不存在惡意性質(zhì),也不會進行蓄意破壞��,但這就向我們提出了警示�,一旦有不法分子輕松突破防線��,其帶來的危害也是災(zāi)難性的����。
筆者以本單位學(xué)生通過校園網(wǎng)絡(luò)攻擊校園網(wǎng)服務(wù)器的例子,說明其網(wǎng)絡(luò)攻擊有時往往非常容易,其造成的危害卻非常之大���。
2.1 突破內(nèi)網(wǎng),尋找突破口
學(xué)生通過學(xué)院內(nèi)網(wǎng)IP地址管理漏洞,輕松接入校園內(nèi)部辦公網(wǎng)絡(luò),并獲得內(nèi)網(wǎng)地址網(wǎng)段劃分情況。通過流行黑客軟件掃描學(xué)院內(nèi)網(wǎng)獲得內(nèi)網(wǎng)安全薄弱處���,檢測出共青團委員會 http://10.0.1.30:90/該網(wǎng)頁存在漏洞。進一步利用路徑檢測工具進行掃描����,獲得了后臺地址http://10.0.1.30:90/wtgy/login.php�。
2.2 一擊得手
學(xué)生在獲得了正確的管理地址后�,只是進行了簡單的嘗試就取得了戰(zhàn)果,通過弱口令掃描發(fā)現(xiàn)系統(tǒng)存在弱口令�����,于是嘗試了如admin admin admin admin888 admin 123456等�����,居然順利進入后臺��。
然后利用后臺的附件管理里面的功能,添加了php格式�,從而實現(xiàn)了上傳�����。得到了內(nèi)網(wǎng)的webshell(如圖1)。
2.3 再接再厲,權(quán)限提升
學(xué)生不斷嘗試�,測試了asp和aspx 的支持情況,答案是支持asp���,不支持aspx的。自然就上傳了 asp webshell�����,可以實現(xiàn)跨目錄訪問�����。訪問權(quán)限進一步提升�����,如圖,目標主機D盤內(nèi)容一覽無余,其中不乏一些關(guān)鍵目錄信息就展現(xiàn)在攻擊者眼前(如圖2):
2.4 獲得系統(tǒng)管理員權(quán)限����,完全掌控目標主機服務(wù)器
查看系統(tǒng)所支持的組件�����,獲取目標服務(wù)器系統(tǒng)關(guān)鍵信息?���?梢钥吹絯s這個組件沒有被禁用�����,從而上傳cmd,以獲得終極權(quán)限系統(tǒng)管理員權(quán)限��。首先想到的是利用webshell中的上傳進行����,但是權(quán)限問題���,webshell上傳均失敗���,所以轉(zhuǎn)向ftp上傳(同樣存在弱口令)�����,從而繞過了限制�����,上傳了cmd.exe�。
實驗性的執(zhí)行命令Systeminfo查看系統(tǒng)信息命令�,結(jié)果可以正常運行,終極權(quán)限獲得(如圖3):
可以看出��,學(xué)生攻擊學(xué)院內(nèi)網(wǎng)的手段并不高明����,其用到的黑客攻擊工具,網(wǎng)絡(luò)上也都能隨意下載到�,但其通過自己的仔細琢磨�����,充分利用了內(nèi)網(wǎng)管理的漏洞,獲得了關(guān)鍵信息���。好在這是實驗性,未造成實質(zhì)性破壞����。內(nèi)網(wǎng)管理員也及時發(fā)現(xiàn)了問題,并對目標服務(wù)器進行了安全加固工作�����。
但我們不難發(fā)現(xiàn)���,其實網(wǎng)絡(luò)安全的程度存在著“木桶原理”的問題��,也就是網(wǎng)絡(luò)最薄弱的環(huán)節(jié)�����,決定著內(nèi)網(wǎng)的安全程度。在現(xiàn)實中往往由于管理者的疏忽或者使用者貪圖一時方便的原因�,給網(wǎng)絡(luò)中潛在的攻擊者留下致命的后門�。3 建立信息防泄露的內(nèi)網(wǎng)訪問控制模型
針對上述服務(wù)器網(wǎng)絡(luò)攻擊���,最有效的方法就是對用戶訪問進行準入控制���,隔離潛在威脅用戶�����。例如����,在內(nèi)網(wǎng)中對所有用戶進行身份認證���,分配相應(yīng)的網(wǎng)絡(luò)訪問權(quán)限�����。在內(nèi)網(wǎng)安全架構(gòu)中,訪問控制是非常重要的一環(huán),其承擔(dān)著與后臺策略決策系統(tǒng)交互����,決定終端對網(wǎng)絡(luò)訪問權(quán)限發(fā)分配����。目前主要使用的訪問控制技術(shù)主要有:
3.1 802.1X 訪問控制技術(shù)
802.1X 是一個二層協(xié)議����,需要接入層交換機支持。在終端接入時,端口缺省只打開802.1X的認證通道����,終端通過802.1X認證之后��,交換機端口才打開網(wǎng)絡(luò)通信通道。其優(yōu)點是:在終端接入網(wǎng)絡(luò)時就進行準入控制���,控制力度強�,已經(jīng)定義善的協(xié)議標準��。
其缺點是:對以網(wǎng)交換機技術(shù)要求高����,必須支持802.1X認證�,配置過程比較復(fù)雜,需要考慮多個設(shè)備之間的兼容性,交換機下可能串接HUB��,交換機可能對一個端口上的多臺PC 當(dāng)成一個狀態(tài)處理�����,存在訪問控制漏洞���。
3.2 ARP spoofing訪問控制技術(shù)
在每個局域網(wǎng)上安裝一個ARP spoofing,對終端發(fā)起ARP 請求代替路由網(wǎng)關(guān)回ARP spoofing,從而使其他終端的網(wǎng)絡(luò)流量必須經(jīng)過���。在這個ARP spoofing上進行準入控制。其優(yōu)點是:ARP適用于任何IP 網(wǎng)絡(luò),并且不需要改動網(wǎng)絡(luò)和主機配置,易于安裝和配置���。其缺點是:類似DHCP控制,終端可以通過配置靜態(tài)ARP表,來繞過準入控制體系�����。此外����,終端安全軟件和網(wǎng)絡(luò)設(shè)備可能會將ARP spoofing當(dāng)成惡意軟件處理。
3.3 DNS重定向訪問控制技術(shù)
在DNS重定向機制中����,將終端的所有DNS解析請求全部指定到一個固定的服務(wù)器IP地址���。其優(yōu)點是:類似DHCP管理和ARP spoofing��,適用于任何適用DNS協(xié)議的網(wǎng)絡(luò),易于安裝和部署�,支持WEB portal頁面����,可以通過DNS 重定向����,將終端的HTML 請求重定向到WEB認證和安全檢查頁面。其缺點是:類似DHCP控制和ARP spoofing,終端可以通過不使用DNS 協(xié)議來繞開準入控制限制(例如:使用靜態(tài)HOSTS文件)����。
以上是內(nèi)網(wǎng)安全設(shè)備主流使用的準入控制方式�����,每種方式都具有其特定的優(yōu)缺點����,一般來說每個設(shè)備都會支持兩種以上的準入控制方式。
但是���,網(wǎng)絡(luò)管控對于網(wǎng)絡(luò)使用的便捷性是一對矛盾體,如果既要使用的便捷性�,又要對網(wǎng)絡(luò)進行有效管控���,這對網(wǎng)絡(luò)安全設(shè)備的性能提出了相當(dāng)高的要求���。然而���,高性能的安全設(shè)備價格非常昂貴���,這也是很多企業(yè)寧可暴露威脅����,也不防范的原因之一�����。
3.4 網(wǎng)關(guān)準入控制——UTM(統(tǒng)一威脅管理)
UTM產(chǎn)品的設(shè)計初衷是為了中小型企業(yè)提供網(wǎng)絡(luò)安全防護解決方案�,其低廉的價格和強大的集成功能,在企業(yè)內(nèi)網(wǎng)中扮演著重要的角色��。UTM將安全網(wǎng)關(guān)�、終端軟件、終端策略服務(wù)器�、認證控制點四位一體化部署���,可以在內(nèi)網(wǎng)中進行多點部署,從而構(gòu)建出內(nèi)網(wǎng)用戶訪問控制模型�����,實現(xiàn)全面覆蓋用戶內(nèi)網(wǎng)每一個區(qū)域和角落��。
(1)合理部署網(wǎng)關(guān)位置
UTM的位置本身即位于安全域邊界�����,由于UTM的設(shè)備性能參數(shù),一般不建議部署在互聯(lián)網(wǎng)出口�����、服務(wù)器出口及辦公網(wǎng)出口等網(wǎng)絡(luò)核心節(jié)點����,在內(nèi)網(wǎng)訪問控制模型中,可以部署在網(wǎng)絡(luò)拓撲中的匯聚節(jié)點��。
從安全理論的角度講���,對某一區(qū)域網(wǎng)絡(luò)中的所有用戶進行控制(包括訪問控制�、準入控制、業(yè)務(wù)控制等);同時���,UTM設(shè)備的入侵防御、防病毒����、外連控制等模塊可以與準入控制功能相互配合��,UTM一旦發(fā)現(xiàn)某用戶行為違規(guī),就可以通過內(nèi)網(wǎng)管理系統(tǒng)直接斷開該用戶的所有連接�����。
(2)UTM優(yōu)勢分析
采用UTM網(wǎng)關(guān)配合內(nèi)網(wǎng)管理系統(tǒng)實現(xiàn)訪問控制�,用戶只需要購買少量UTM設(shè)備����,采用透明方式部署至網(wǎng)絡(luò)關(guān)鍵節(jié)點處,即可以實現(xiàn)全面的準入控制�。與基于DHCP控制��,ARP spoofing,DNS 劫持等準入控制相比�����,UTM 準入控制能力更強���、更全面�����,終端用戶在任何情況下均無法突破或繞過準入控制�。
除此以外�����,UTM設(shè)備還可根據(jù)終端的安全情況自動配置合適的安全策略�����,如在終端未滿足某些安全要求的情況下開放其訪問修復(fù)服務(wù)器的權(quán)限。
網(wǎng)絡(luò)安全���,不應(yīng)只關(guān)注網(wǎng)絡(luò)出口安全��,更應(yīng)關(guān)注內(nèi)網(wǎng)中的信息安全��,信息的泄漏往往是從內(nèi)部開始�,因此����,構(gòu)建內(nèi)網(wǎng)訪問控制模型就非常重要,采取UTM幫助內(nèi)網(wǎng)進行安全管控是一個非常便捷��、高效的手段�����。
第6篇
關(guān)鍵詞 醫(yī)院計算機 內(nèi)網(wǎng) 安全 管理
中圖分類號:TP393 文獻標識碼:A
1醫(yī)院計算機管理的現(xiàn)狀
上世紀末期��,我國醫(yī)院計算機信息系統(tǒng)已經(jīng)初步上線,經(jīng)過近二十年的發(fā)展,我國綜合醫(yī)院已經(jīng)基本實現(xiàn)信息化管理��,特別是以收費為主要內(nèi)容的系統(tǒng)已較為完善���。當(dāng)前����,各地條件較好的醫(yī)院都開始實行“以病人為中心,以醫(yī)療信息為主線”的綜合臨床信息系統(tǒng)��,極大地方便了醫(yī)院業(yè)務(wù)流程�。病人治療用藥信息與醫(yī)保、新農(nóng)合保險的實時結(jié)算方式對于計算機內(nèi)網(wǎng)安全運行提出了更高的要求��。當(dāng)前大中型醫(yī)院的計算機管理系統(tǒng)基本上已經(jīng)覆蓋全院系統(tǒng)��,各科室部門等子系統(tǒng)均被納入其中�,這位各科室提供數(shù)據(jù)搜尋和技術(shù)支撐提供了方便�����,業(yè)務(wù)防范醫(yī)療糾紛提供了依據(jù)。醫(yī)院內(nèi)部之間各項醫(yī)療業(yè)務(wù)數(shù)據(jù)能夠快速在內(nèi)部得以交換和共享�����,為科學(xué)決策提供了重要保證�。但是,在醫(yī)院系統(tǒng)建設(shè)過程中���,醫(yī)院計算機內(nèi)網(wǎng)的安全逐漸引起人們的關(guān)注,醫(yī)院內(nèi)網(wǎng)系統(tǒng)只有是安全的�����,才能保證病患的隱私和推動醫(yī)院的發(fā)展���。而我國部分醫(yī)院在實現(xiàn)信息管理數(shù)據(jù)化的同時����,對網(wǎng)絡(luò)安全的建設(shè)和管理重視程度不高,黑客攻擊�、病毒感染����、木馬侵擾無不使得醫(yī)院計算機內(nèi)網(wǎng)面臨種種威脅�,必須予以重視和防范解決。
2醫(yī)院計算機內(nèi)網(wǎng)風(fēng)險因素
2.1操作系統(tǒng)的脆弱性及醫(yī)院U盤介質(zhì)管理不規(guī)范
目前大多醫(yī)院的操作系統(tǒng)使用的是Windows系統(tǒng)�,該操作系統(tǒng)存在脆弱性�,系統(tǒng)漏洞難以得到及時修補��。這是因為醫(yī)院的計算機大多無法連接到外網(wǎng)����,不能自動更新系統(tǒng)補丁�����,而醫(yī)院內(nèi)部網(wǎng)絡(luò)的補丁升級和更新常存在較大的技術(shù)漏洞,計算機管理部分無法及時了解醫(yī)院內(nèi)部電腦的補丁安裝情況�����。雖然醫(yī)院使用內(nèi)網(wǎng),外網(wǎng)感染不會發(fā)生,但工作人員使用的U盤介質(zhì)等還是可以使得醫(yī)院內(nèi)網(wǎng)系統(tǒng)感染病毒和木馬�,這樣的行為是醫(yī)院電腦終端感染病毒的最主要的途徑����。
2.2惡意代碼和木馬的潛伏性
通過偵測��,很多醫(yī)院的內(nèi)網(wǎng)被發(fā)現(xiàn)有木馬和惡意代碼�,而市面和網(wǎng)絡(luò)上流傳的殺毒軟件主要是用于網(wǎng)絡(luò)病毒的查收��,對于單位內(nèi)部網(wǎng)絡(luò)的惡意代碼和木馬沒有查殺能力��,醫(yī)院內(nèi)網(wǎng)與外網(wǎng)的隔絕,使得醫(yī)院內(nèi)部的這些威脅無法通過網(wǎng)絡(luò)殺毒軟件進行及時處理�����,潛伏在電腦終端里��,將為醫(yī)院計算機內(nèi)網(wǎng)爆發(fā)重大病毒感染埋下隱患�����。
2.3病毒防護軟件失效
醫(yī)院計算機內(nèi)網(wǎng)安全防護軟件失效指的是這些軟件在內(nèi)網(wǎng)運行中沒有正常運行,其預(yù)期功能沒有發(fā)揮。使得內(nèi)部計算機出現(xiàn)無法上網(wǎng)�����,防病毒軟件無法升級查殺����。醫(yī)院計算機的單機防病毒體系,使得電腦終端的防病毒情況無法被及時掌握,醫(yī)院計算機內(nèi)網(wǎng)安全隱患較大。
3醫(yī)院計算機內(nèi)網(wǎng)安全管理方法
3.1全面監(jiān)控內(nèi)網(wǎng)管理
醫(yī)院計算機內(nèi)網(wǎng)安全�,首先必須從整體出發(fā),建立針對醫(yī)院內(nèi)部所有計算機終端的監(jiān)控管理體系����,為每一臺電腦終端安裝電腦管理軟件�����,對終端桌面進行管理監(jiān)控,部署終端與控制中心的網(wǎng)絡(luò),由控制中心集中對電腦終端進行管理和維護��,整理分析和掌握內(nèi)網(wǎng)運行狀況����。內(nèi)網(wǎng)入侵中,入侵者會采用專門的算法來破解口令,這要求醫(yī)院內(nèi)網(wǎng)的管理人員一定要注重內(nèi)網(wǎng)密碼的設(shè)置�����,口令應(yīng)設(shè)置得較為復(fù)雜并定期使用破解口令程序來檢測內(nèi)網(wǎng)的安全性�。
3.2建立整體安全防御體系
由于計算機網(wǎng)絡(luò)安全威脅不斷變化,種類繁多�,因地針對網(wǎng)絡(luò)安全的防御體系也應(yīng)及時作出調(diào)整甚至應(yīng)當(dāng)超前���,建立醫(yī)院內(nèi)部網(wǎng)絡(luò)的整體防御安全體系�。雖然醫(yī)院計算機內(nèi)網(wǎng)終端基本上都裝有防病毒軟件����,但因為內(nèi)網(wǎng)與外網(wǎng)的隔絕,內(nèi)網(wǎng)計算機終端的防病毒軟件無法進行及時更新升級��,對系統(tǒng)安全的隱患較大�,無法有效對內(nèi)網(wǎng)安全進行全面的防護。醫(yī)院內(nèi)網(wǎng)應(yīng)建立其計算機終端防護和終端查殺結(jié)合的安全防御體系�,正確做好內(nèi)網(wǎng)管理軟件的接入管理和介質(zhì)管理����,減少計算機受病毒感染的概率�,實現(xiàn)內(nèi)網(wǎng)修復(fù)管理和威脅管理的及時性����。整體安全防御體系中,可以使用網(wǎng)關(guān)訪問外網(wǎng)�。網(wǎng)關(guān)的設(shè)置����,使得內(nèi)網(wǎng)終端訪問外網(wǎng)需要經(jīng)過網(wǎng)關(guān)的把關(guān)�����,讓網(wǎng)絡(luò)數(shù)據(jù)無法在內(nèi)網(wǎng)和外網(wǎng)之間進行交換���,有效保護內(nèi)網(wǎng)數(shù)據(jù)的安全��。
3.3建立防火墻和病毒防御系統(tǒng)
在醫(yī)院內(nèi)網(wǎng)終端上配置防火墻和網(wǎng)絡(luò)防病毒系統(tǒng)����,能有效預(yù)防計算機操作系統(tǒng)感染病毒并在內(nèi)網(wǎng)上蔓延����,引發(fā)內(nèi)網(wǎng)數(shù)據(jù)丟失和醫(yī)院正常工作的開展。醫(yī)院網(wǎng)絡(luò)建設(shè)規(guī)模一般較大���,需要多臺大型網(wǎng)絡(luò)設(shè)備進行分流,如交換機和路由器�。此外�,由于繳費和社保要求��,醫(yī)院內(nèi)網(wǎng)還需專線連接銀行���、醫(yī)保等機構(gòu)��,如此多樣化的需求要求必須在醫(yī)院計算機系統(tǒng)內(nèi)配置防火墻過濾網(wǎng)關(guān)和病毒防系統(tǒng)���,防治病毒入侵����。防火墻設(shè)置的基本功能在于對未經(jīng)授權(quán)訪問計算機的請求被阻止,減少醫(yī)院計算機內(nèi)網(wǎng)被非法和惡意入侵的概率����。
總之��,計算機信息時代的醫(yī)院內(nèi)網(wǎng)必須加強安全管理,以管理手段和技術(shù)手段共同保證內(nèi)網(wǎng)的安全��,實現(xiàn)系統(tǒng)的安全可靠運行�。
參考文獻
[1] 孫揚.淺析校園內(nèi)部局域網(wǎng)信息安全[J].信息科學(xué),2012(9).
第7篇
[關(guān)鍵詞]辦公自動化����;安全�����;三亞空管站;保密
doi:10.3969/j.issn.1673 - 0194.2016.06.124
[中圖分類號]TP311 [文獻標識碼]A [文章編號]1673-0194(2016)06-0-02
1 概 述
多年以來,人們依賴于傳統(tǒng)的紙質(zhì)辦公形式�,但紙質(zhì)辦公效率低����、成本高并且存在各種不安全因素�����,已經(jīng)無法滿足目前高效的工作需求���。單位內(nèi)部員工作為一個團隊���,為使團隊能夠在工作中及時交流,快速獲取相關(guān)信息,高效率運轉(zhuǎn)����,管理者將目光投向信息網(wǎng)絡(luò)技術(shù)���,于是辦公自動化系統(tǒng)(Office Automation���,OA)在這種形勢下應(yīng)運而生����。以往人們對OA系統(tǒng)的認識僅停留在文件流轉(zhuǎn)����、電子郵件��、會議安排這些數(shù)據(jù)的處理過程,這也是大部分單位建設(shè)辦公自動化系統(tǒng)所想要達到的目的。但隨著網(wǎng)絡(luò)科技的迅猛發(fā)展,人們對安全的防范意識逐步提高��,如何確保網(wǎng)絡(luò)內(nèi)各核心業(yè)務(wù)的安全�����,已經(jīng)成為使用者關(guān)注的焦點����。
目前三亞空管站正使用一套由上海雙楊公司生產(chǎn)的OA系統(tǒng)���,該系統(tǒng)穩(wěn)定可靠�、使用簡單,已經(jīng)成為管理人員工作中必不可少的辦公途徑�����。但建設(shè)信息安全網(wǎng)絡(luò)也面臨著許多困難�,如在信息傳遞過程中容易被竊取��,終端中毒后攻擊服務(wù)器等��,都給建設(shè)辦公網(wǎng)絡(luò)帶來了巨大挑戰(zhàn),本文主要對三亞空管站辦公自動化系統(tǒng)網(wǎng)絡(luò)安全目前存在的問題進行分析�����,并提出解決問題的方法�����。
2 自動化系統(tǒng)的網(wǎng)絡(luò)構(gòu)成及其安全分析
2.1 三亞空管站辦公自動化系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀
三亞空管站信息網(wǎng)絡(luò)由一條帶寬2M的ATM線路接入空管局廣域網(wǎng)���,接入路由器msr 2020,防火墻neteye 4120���,核心交換機是一臺h3c 7503���。本單位網(wǎng)絡(luò)為二層結(jié)構(gòu),配備12臺交換機且直接接入核心交換機,接入的交換機多為傻瓜不可網(wǎng)管型交換機,終端用戶約100個。
三亞空管站按照功能與部門將內(nèi)部網(wǎng)絡(luò)化分為四個區(qū)域�,分別是:①服務(wù)器區(qū);②技術(shù)保障部��;③航務(wù)部;④東區(qū)機關(guān)本部�,內(nèi)部四個區(qū)域均使用私有IP地址分配,每個區(qū)域都是24位掩碼的子網(wǎng)�����,如圖1所示��。
2.2 網(wǎng)絡(luò)安全的必要性
單位管理層使用OA系統(tǒng)所傳遞的辦公文件�����,有相當(dāng)一部分會涉及到保密信息���,如果使用者在傳遞過程中稍有疏忽�����,便會泄密而造成無法挽回的損失��。如果網(wǎng)絡(luò)安全得不到保障��,辦公自動化系統(tǒng)便會面臨絕境最終失去市場���。于是,如何為OA系統(tǒng)建設(shè)安全保密的辦公專網(wǎng)已成為刻不容緩的問題�。目前三亞空管站所使用的辦公專網(wǎng),安裝了防火墻并做了基本安全策略��。防火墻可以做到網(wǎng)絡(luò)間的訪問控制需求��,過濾一些不安全服務(wù)��,可針對協(xié)議����、端口號�、時間等條件實現(xiàn)安全的訪問控制����,它是解決安全網(wǎng)絡(luò)層最經(jīng)濟、最有效的手段�����。但是有了防火墻并不代表高枕無憂�,網(wǎng)絡(luò)安全是整體的,動態(tài)的����,不是依賴某一樣產(chǎn)品便能實現(xiàn)的����。
2.3 目前存在的安全隱患
根據(jù)本單位OA系統(tǒng)部署的實際情況��,將威脅網(wǎng)絡(luò)信息安全的原因分為三大類�。
第一��,沒有內(nèi)網(wǎng)專用殺毒軟件和病毒庫服務(wù)器���,專網(wǎng)經(jīng)常發(fā)生電腦病毒或木馬及各類攻擊���,對于這些攻擊沒有抵抗能力���,就算泄密了也不能及時發(fā)現(xiàn)�����。目前安裝的360免費殺毒軟件并不適用于內(nèi)部局域網(wǎng)��,原因在于它不能實時連接外網(wǎng)進行病毒庫升級����,對病毒并不具有強效的查殺能力����,造成主機系統(tǒng)易受到各類病毒的破壞�����。第二���,使用者網(wǎng)絡(luò)安全意識不足��,隨意插拔非法優(yōu)盤導(dǎo)致木馬病毒在網(wǎng)內(nèi)橫行,容易造成傳輸過程中數(shù)據(jù)被竊取、修改及破壞�。第三�����,使用的硬件性能老舊,已經(jīng)無法滿足目前人們對信息安全的需要����。
3 強化網(wǎng)絡(luò)安全的有效措施
3.1 加強外部網(wǎng)絡(luò)管理
由于外部網(wǎng)絡(luò)信息來源復(fù)雜����,應(yīng)當(dāng)將辦公局域網(wǎng)與外網(wǎng)進行有效隔離�,禁止辦公網(wǎng)絡(luò)的專用計算機終端外連互聯(lián)網(wǎng),嚴格控制外網(wǎng)的接入可以很大程度地降低網(wǎng)絡(luò)安全風(fēng)險�����,有效減少木馬病毒的入侵。
3.2 部署專用的網(wǎng)絡(luò)安全審計系統(tǒng)
目前專用網(wǎng)絡(luò)安全審計系統(tǒng)已實現(xiàn)多功能一體化���,如啟明星辰公司研發(fā)的一套“天內(nèi)網(wǎng)絡(luò)安全風(fēng)險管理與審計系統(tǒng)”,可根據(jù)用戶實際情況為其量身打造出一套適合自己使用的系統(tǒng)����,根據(jù)用戶需求設(shè)計基本安全策略,如監(jiān)控內(nèi)部人員的網(wǎng)絡(luò)操作��,及時切斷非法訪問連接并有效記錄內(nèi)部人員訪問資源信息�����,對整個網(wǎng)絡(luò)資源進行全面監(jiān)控和更有效的管理��,對計算機終端實行多層準入控制及網(wǎng)絡(luò)準入控制等,全面提升內(nèi)部局域網(wǎng)安全防護的能力���,為使用者構(gòu)建起安全可靠的合規(guī)內(nèi)網(wǎng)。
3.3 對信息進行加密
為各部門配備辦公網(wǎng)專用優(yōu)盤�,并且對優(yōu)盤中重要文件進行加密��,在網(wǎng)絡(luò)安全審計系統(tǒng)安全策略中加入優(yōu)盤認證、優(yōu)盤加密等相關(guān)功能���,禁止非法優(yōu)盤接入辦公電腦竊取資料。
3.4 提高主機防病毒能力
由于病毒危害性極大并且傳播極為迅速�,辦公專網(wǎng)中連接了所有管理層人員的辦公主機和服務(wù)器系統(tǒng)���,必須從單機到服務(wù)器部署整體防病毒軟件體系����,同時在網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)����,攔截病毒,實現(xiàn)全網(wǎng)的病毒安全防護�����。需購買企業(yè)級殺毒軟件��,在所有計算機終端和服務(wù)器上安裝部署網(wǎng)絡(luò)版本的殺毒軟件�����,防止病毒攻擊。并新增病毒庫服務(wù)器���,用戶在線即可對本機病毒庫進行升級��。
3.5 更新在用硬件
購買可網(wǎng)管型智能交換機,分別用來替換原先傻瓜式不可網(wǎng)管型交換機����,并且根據(jù)內(nèi)網(wǎng)區(qū)域配置DHCP服務(wù)器���,在交換機上做DHCP Snooping�、DAI����、IP Source guard接入控制,防止終端非法外聯(lián)��、接入網(wǎng)絡(luò)���。
3.6 增強使用者的安全意識
由于信息網(wǎng)安全基礎(chǔ)設(shè)施和各項安全管理制度尚不完善和健全�����,部分人員安全意識淡薄�����,各種與業(yè)務(wù)無關(guān)的BBS論壇��、聊天室�����、電影�����、網(wǎng)絡(luò)游戲隨意開設(shè),而計算機終端中了木馬病毒并不能及時發(fā)現(xiàn),又通過優(yōu)盤拷貝的途徑將病毒傳播至內(nèi)網(wǎng)�,不僅對信息網(wǎng)的安全構(gòu)成嚴重威脅�,而且在一定程度上影響了正常業(yè)務(wù)工作的開展��,損害了單位形象�。應(yīng)加強對使用者的培訓(xùn)將內(nèi)����、外網(wǎng)操作行為規(guī)范化,并提高他們對信息安全的意識����。
4 結(jié) 語
網(wǎng)絡(luò)安全是一個關(guān)系國家安全和社會穩(wěn)定的重要問題�����,辦公自動化系統(tǒng)作為一個具體的信息系統(tǒng),對保障信息安全的要求十分高�,信息網(wǎng)絡(luò)的安全性已經(jīng)成為辦公自動化系統(tǒng)得以投入使用的前提條件����。本文對三亞空管站辦公自動化系統(tǒng)做了相關(guān)研究����,并重點針對該辦公自動化系統(tǒng)的信息安全進行分析,提出目前亟待解決的問題并找到原因,最后提出有效解決方案�����。
第8篇
關(guān)鍵詞:消防���;通信;信息安全
中圖分類號:TP393.08
全國消防計算機通信網(wǎng)絡(luò)以公安信息網(wǎng)為依托���,由消防信息網(wǎng)和指揮調(diào)度網(wǎng)構(gòu)成,分別形成三級網(wǎng)絡(luò)結(jié)構(gòu)�。消防信息網(wǎng)是各級消防部門的日常辦公網(wǎng)絡(luò)�����,作為消防業(yè)務(wù)傳輸網(wǎng);指揮調(diào)度網(wǎng)主要用于部局����、總隊���、支隊���、大隊(中隊)等單位的視頻會議��、遠程視頻監(jiān)控�、滅火救援指揮調(diào)度系統(tǒng)應(yīng)用等業(yè)務(wù)���,作為消防指揮調(diào)度專用傳輸網(wǎng)�����。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大�����,來自內(nèi)部網(wǎng)絡(luò)的威脅也日漸增多�,必須利用信息安全基礎(chǔ)設(shè)施和信息系統(tǒng)防護手段,構(gòu)建與基礎(chǔ)網(wǎng)絡(luò)相適應(yīng)的信息安全保障體系�����。
1 計算機網(wǎng)絡(luò)安全防護措施
計算機網(wǎng)絡(luò)安全防護措施主要有防火墻�、入侵防護、病毒防護���、攻擊防護、入侵檢測��、網(wǎng)絡(luò)審計和統(tǒng)一威脅管理系統(tǒng)等幾項(如下圖)����。
1.1 防火墻。防火墻主要部署在網(wǎng)絡(luò)邊界���,可以實現(xiàn)安全的訪問控制與邊界隔離,防范攻擊行為。防火墻的規(guī)則庫定義了源IP地址、目的IP地址�、源端口和目的端口����,一般攻擊通常會有很多征兆����,可以及時將這些征兆加入規(guī)則庫中。目前網(wǎng)上部署的防火墻主要是網(wǎng)絡(luò)層防火墻�,可實時在各受信級網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略�����,且具備包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換����、狀態(tài)性協(xié)議檢測、VPN等技術(shù)。
1.2 入侵防御系統(tǒng)(Intrusion Prevention System����,IPS)����。IPS串接在防火墻后面����,在防火墻進行訪問控制��,保證了訪問的合法性之后,IPS動態(tài)的進行入侵行為的保護,對訪問狀態(tài)進行檢測、對通信協(xié)議和應(yīng)用協(xié)議進行檢測��、對內(nèi)容進行深度的檢測����。阻斷來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。防火墻降低了惡意流量進出網(wǎng)絡(luò)的可能性,并能確保只有與協(xié)議一致的流量才能通過防火墻。如果惡意流量偽裝成正常的流量�,并且與協(xié)議的行為一致����,這樣的情況,IPS設(shè)備能夠在關(guān)鍵點上對網(wǎng)絡(luò)和主機進行監(jiān)視并防御�����,以防止惡意行為�����。
1.3 防病毒網(wǎng)關(guān)�。防病毒網(wǎng)關(guān)部署在病毒風(fēng)險最高��、最接近病毒發(fā)生源的安全邊界處,如內(nèi)網(wǎng)終端區(qū)和防火墻與路由器之間��,可以對進站或進入安全區(qū)的數(shù)據(jù)進行病毒掃描���,把病毒完全攔截在網(wǎng)絡(luò)的外部�,以減少病毒滲入內(nèi)網(wǎng)后造成的危害。為使得達到最佳防毒效果��,防病毒網(wǎng)關(guān)設(shè)備和桌面防病毒軟件應(yīng)為不同的廠家產(chǎn)品����。網(wǎng)絡(luò)版殺毒軟件的病毒掃描和處理方式主要是通過客戶端殺毒,通過企業(yè)版防毒軟件統(tǒng)一對已經(jīng)進入內(nèi)部網(wǎng)絡(luò)的病毒進行處理�。
1.4 網(wǎng)絡(luò)安全審計系統(tǒng)����。網(wǎng)絡(luò)安全審計系統(tǒng)作為一個完整安全框架中的一個必要環(huán)節(jié),作為對防火墻系統(tǒng)和入侵防御系統(tǒng)的一個補充�����,其功能:首先它能夠檢測出某些特殊的IPS無法檢測的入侵行為(比如時間跨度很大的長期攻擊特征)�;其次它可以對入侵行為進行記錄、報警和阻斷等,并可以在任何時間對其進行再現(xiàn)以達到取證的目的�;最后它可以用來提取一些未知的或者未被發(fā)現(xiàn)的入侵行為模式等����。網(wǎng)絡(luò)安全審計系統(tǒng)與防火墻�、入侵檢測的區(qū)別主要是對網(wǎng)絡(luò)的應(yīng)用層內(nèi)容進行審計與分析。
1.5 統(tǒng)一威脅管理系統(tǒng)(UTM)���。UTM常定義為由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備���,它主要提供一項或多項安全功能,同時將多種安全特性集成于一個硬件設(shè)備里���,形成標準的統(tǒng)一威脅管理平臺�����。UTM設(shè)備具備的基本功能包括網(wǎng)絡(luò)防火墻�����、網(wǎng)絡(luò)入侵檢測/防御和網(wǎng)關(guān)防病毒功能。雖然UTM集成了多種功能����,但卻不一定會同時開啟��。根據(jù)不同用戶的不同需求以及不同的網(wǎng)絡(luò)規(guī)模,UTM產(chǎn)品分為不同的級別��。UTM部署在安全域邊界上,可以根據(jù)保護對象所需的安全防護措施��,靈活的開啟防火墻、IPS�����、防病毒、內(nèi)容過濾等防護模塊��,實現(xiàn)按需防護����、深度防護的建設(shè)目標。采用UTM設(shè)備來構(gòu)成本方案的核心產(chǎn)品����,可有效節(jié)約建設(shè)資金,又能達到更好的防護效果�����。
2 消防指揮網(wǎng)絡(luò)安全設(shè)備部署
市級消防指揮網(wǎng)絡(luò)是市支隊與各區(qū)(縣)大隊或中隊之間部署的專網(wǎng)��,規(guī)模相對較小��,主要用途為視頻會議、遠程視頻監(jiān)控、接處警終端和滅火救援指揮調(diào)度應(yīng)用系統(tǒng)等業(yè)務(wù),可按需選擇部署防火墻��、入侵防護系統(tǒng)�、防病毒網(wǎng)關(guān)、統(tǒng)一威脅管理系統(tǒng)、入侵檢測系統(tǒng)��、網(wǎng)絡(luò)安全審計七類設(shè)備��。(如圖)
2.1 計算機安全防護軟件:在網(wǎng)內(nèi)計算機終端統(tǒng)一安裝防病毒軟件��、終端安全軟件、一機兩用監(jiān)控軟件�����。補丁分發(fā)管理系統(tǒng)和終端漏洞掃描系統(tǒng)統(tǒng)一由省級指揮中心部署��,用來管理市級指揮調(diào)度網(wǎng)內(nèi)計算機����。這樣��,可以防止安全風(fēng)險擴散���,保障由終端�、服務(wù)器及應(yīng)用系統(tǒng)等構(gòu)成的計算環(huán)境的安全。
2.2 指揮調(diào)度網(wǎng)安全邊界:在市級指揮調(diào)度網(wǎng)與省級指揮調(diào)度網(wǎng)聯(lián)網(wǎng)邊界部署統(tǒng)一威脅管理系統(tǒng)(UTM),開啟防火墻�����、入侵防護�����、網(wǎng)關(guān)防病毒、VPN等功能模塊�����,在專網(wǎng)安全邊界對各種風(fēng)險統(tǒng)一防護���。在核心交換機上部署網(wǎng)絡(luò)審計系統(tǒng)對內(nèi)網(wǎng)中的網(wǎng)絡(luò)通信進行記錄和分析����,及時發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)事件。
2.3 內(nèi)網(wǎng)終端區(qū):內(nèi)網(wǎng)終端區(qū)主要有計算機接處警終端、視頻會議終端�、視頻監(jiān)控終端等�,操作應(yīng)用人員比較復(fù)雜�,隨意使用移動存儲設(shè)備的可能性大���,在內(nèi)網(wǎng)終端區(qū)安全邊界區(qū)部署一臺防病毒網(wǎng)關(guān)進行病毒過濾���,防止病毒向其他區(qū)域擴散���。
2.4 核心業(yè)務(wù)處理區(qū):主要包括滅火救援指揮調(diào)度相關(guān)的業(yè)務(wù)系統(tǒng)���、綜合統(tǒng)計分析�、綜合報表管理等業(yè)務(wù)系統(tǒng)。部署一臺防火墻對核心業(yè)務(wù)處理區(qū)進行訪問控制,阻斷對安全區(qū)內(nèi)的業(yè)務(wù)服務(wù)的非法訪問��;再部署一臺IPS�,實時發(fā)現(xiàn)并阻斷針對核心業(yè)務(wù)處理區(qū)的入侵和攻擊行為���。
2.5 指揮中心邊界:部署一臺防火墻對支隊指揮中心與上級指揮中心之間的業(yè)務(wù)訪問進行訪問控制和攻擊防御���。
2.6 內(nèi)網(wǎng)管理區(qū):區(qū)中主要有各類管理服務(wù)器���,用于集中進行安全策略的定制���、下發(fā)���、集中監(jiān)控各類系統(tǒng)的運行狀態(tài)�。主要包括設(shè)備管理、終端管理���、防病毒管理等。
如果市級指揮中心規(guī)模較小���,可以將核心業(yè)務(wù)處理區(qū)、內(nèi)網(wǎng)管理區(qū)和指揮中心區(qū)合并為同一個安全域�,共同部署一臺IPS和防火墻���。
3 總結(jié)
總之�����,網(wǎng)絡(luò)安全是一項綜合性的課題,它涉及技術(shù)����、管理�����、應(yīng)用等許多方面����,既包括信息系統(tǒng)本身的安全問題,又有網(wǎng)絡(luò)防護的技術(shù)措施�。我們必須綜合考慮安全因素�����,在采用各種安全技術(shù)控制措施的同時,制定層次化的安全策略�,完善安全管理組織機構(gòu)和人員配備�����,才能有效地實現(xiàn)網(wǎng)絡(luò)信息的相對安全。
參考文獻:
[1]楊義先�,任金強.信息安全新技術(shù)[M].北京:北京郵電大學(xué)出版社����,2002.
[2]公安部.信息安全等級保護培訓(xùn)教材[M].2007.
第9篇
為加強網(wǎng)絡(luò)管理����,確保網(wǎng)絡(luò)安全運行,按廳相關(guān)要求���,中心認真組織落實,對中心網(wǎng)絡(luò)安全進行逐一排查���,現(xiàn)將情況總結(jié)匯報如下:
一、加強領(lǐng)導(dǎo),強化網(wǎng)絡(luò)安全責(zé)任制
為進一步加強中心網(wǎng)絡(luò)系統(tǒng)安全管理工作���,成立了以中心主任為組長����、分管領(lǐng)導(dǎo)為副組長���、辦公室人員為成員的網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組���,做到分工明確,責(zé)任具體到人�。明確中心主任為計算機網(wǎng)絡(luò)安全工作第一責(zé)任人�����,全面負責(zé)計算機網(wǎng)絡(luò)與信息安全管理工作�����,副組長分管計算機網(wǎng)絡(luò)與信息安全管理工作���。為確保網(wǎng)絡(luò)安全工作順利開展��,要求全體干部充分認識網(wǎng)絡(luò)安全工作的重要性�,認真學(xué)習(xí)網(wǎng)絡(luò)安全知識��,按照網(wǎng)絡(luò)安全的各種規(guī)定���,正確使用計算機網(wǎng)絡(luò)和各類信息系統(tǒng)���。
二����、計算機和網(wǎng)絡(luò)安全情況
中心分管領(lǐng)導(dǎo)牽頭�,對中心計算機網(wǎng)絡(luò)與信息安全工作進行了安全排查,中心所有計算機均配備了防病毒軟件,采用了數(shù)據(jù)庫存儲備份�����、移動存儲設(shè)備管理����、數(shù)據(jù)加密等安全防護措施�,明確了網(wǎng)絡(luò)安全責(zé)任,強化了網(wǎng)絡(luò)安全工作。
切實抓好內(nèi)網(wǎng)�����、外網(wǎng)和應(yīng)用軟件管理��,確?���!吧婷苡嬎銠C不上網(wǎng),上網(wǎng)計算機不涉密”�,嚴格按照保密要求處理光盤���、硬盤�����、移動硬盤等管理、維修和銷毀工作����。重點抓好“三大安全”排查:一是加強對硬件安全的管理��,包括防塵、防潮、防雷���、防火、防盜和電源連接等。對機房可能存在的安全隱患����,進行防雷電處理;二是加強網(wǎng)絡(luò)安全管理���,對中心計算機實行分網(wǎng)管理�����,嚴格區(qū)分內(nèi)網(wǎng)和外網(wǎng)�,合理布線���,優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)�����,加強密碼管理���、IP管理�����、互聯(lián)網(wǎng)行為管理等;三是加強計算機應(yīng)用安全管理�,包括郵件系統(tǒng)�、資源庫管理��、軟件管理等��。
為進一步加強中心網(wǎng)絡(luò)安全,對部分計算機設(shè)備進行了升級�,為主要計算機配備了UPS,每臺終端機都安裝了防病毒軟件�����,硬件的運行環(huán)境符合要求。今年更換了已經(jīng)老化的服務(wù)器����,目前服務(wù)器�����、交換機等網(wǎng)絡(luò)硬件設(shè)備運轉(zhuǎn)正常,各種計算機及輔助設(shè)備��、軟件運轉(zhuǎn)正常���。
三、計算機涉密信息管理情況
加強對涉密計算機的管理��。對計算機外接設(shè)備���、移動設(shè)備的管理����,采取專人保管、涉密文件單獨存放,嚴禁攜帶存在涉密內(nèi)容的移動介質(zhì)到上網(wǎng)的計算機上加工、貯存、傳遞處理文件���,形成了良好的安全保密環(huán)境。嚴格區(qū)分內(nèi)網(wǎng)和外網(wǎng)��,對涉密計算機實行了與國際互聯(lián)網(wǎng)及其他公共信息網(wǎng)物理隔離��,落實保密措施����,到目前為止�����,未發(fā)生一起計算機失密、泄密事故。其他非涉密計算機及網(wǎng)絡(luò)使用,也嚴格按照有關(guān)計算機網(wǎng)絡(luò)與信息安全管理規(guī)定��,加強管理���,確保了中心網(wǎng)絡(luò)信息安全�。
四、嚴格管理��,規(guī)范設(shè)備維護
對電腦及其設(shè)備實行“誰使用、誰管理、誰負責(zé)”的管理制度�。一是堅持“制度管人”�。二是強化信息安全教育�����、提高工作人員計算機技能��。同時利用遠程教育、科普宣傳等開展網(wǎng)絡(luò)安全知識宣傳,增強黨員干部網(wǎng)絡(luò)安全意識。在設(shè)備維護方面����,對出現(xiàn)問題的設(shè)備及時進行維護和更換��,對外來維護人員,要求有相關(guān)人員陪同���,并對其身份進行核實,規(guī)范設(shè)備的維護和管理���。
