網絡管理與網絡安全范文
時間:2023-09-12 17:20:01
導語:如何才能寫好一篇網絡管理與網絡安全,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:網絡安全 網絡管理
中國擁有四千萬中小企業,據權威部門調研發現,90%以上的中小企業至少都已經建立了內部網絡。但是,隨之而來的,就是企業內部網絡的安全性問題。多核、萬兆安全、云安全這些新技術對于他們而言或許過于高端,中小企業應該如何進行網絡安全管理?又該從哪入手呢?
1 企業內部網絡建設的三原則
在企業網絡安全管理中,為員工提供完成其本職工作所需要的信息訪問權限、避免未經授權的人改變公司的關鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則。
原則一:最小權限原則
最小權限原則要求我們在企業網絡安全管理中,為員工僅僅提供完成其本職工作所需要的信息訪問權限,而不提供其他額外的權限。
如企業現在有一個文件服務器系統,為了安全的考慮,我們財務部門的文件會做一些特殊的權限控制。財務部門會設置兩個文件夾,其中一個文件夾用來放置一些可以公開的文件,如空白的報銷憑證等等,方便其他員工填寫費用報銷憑證。還有一個文件放置一些機密文件,只有企業高層管理人員才能查看,如企業的現金流量表等等。此時我們在設置權限的時候,就要根據最小權限的原則,對于普通員工與高層管理人員進行發開設置,若是普通員工的話,則其職能對其可以訪問的文件夾進行查詢,對于其沒有訪問權限的文件夾,則服務器要拒絕其訪問。
原則二:完整性原則
完整性原則指我們在企業網絡安全管理中,要確保未經授權的個人不能改變或者刪除信息,尤其要避免未經授權的人改變公司的關鍵文檔,如企業的財務信息、客戶聯系方式等等。
完整性原則在企業網絡安全應用中,主要體現在兩個方面。一是未經授權的人,不能更改信息記錄。二是指若有人修改時,必須要保存修改的歷史記錄,以便后續查詢。
原則三:速度與控制之間平衡的原則
我們在對信息作了種種限制的時候,必然會對信息的訪問速度產生影響。為了達到這個平衡的目的,我們可以如此做。一是把文件信息進行根據安全性進行分級。對一些不怎么重要的信息,我們可以把安全控制的級別降低,從而來提高用戶的工作效率。二是盡量在組的級別上進行管理,而不是在用戶的級別上進行權限控制。三是要慎用臨時權限。
2 企業內部網絡暴露的主要問題
2.1 密碼單一
2.1.1 郵件用統一密碼或者有一定規律的密碼
對于郵件系統、文件服務器、管理系統等等賬戶的密碼,設置要稍微復雜一點,至少規律不要這么明顯,否則的話,會有很大的安全隱患。
2.1.2 重要文檔密碼復雜性差,容易破解
縱觀企業用戶,其實,他們對于密碼的認識性很差。有不少用戶,知道對一些重要文檔要設置密碼,但是,他們往往出于方便等需要,而把密碼設置的過于簡單。故我們對用戶進行網絡安全培訓時,要在這方面給他們重點提示才行。
2.2 網絡擁堵、沖突
2.2.1 下電影、游戲,大量占用帶寬資源
現在不少企業用的都是光纖接入,帶寬比較大。但是,這也給一些酷愛電影的人,提供了契機。他們在家里下電影,下載速度可能只有10K,但是,在公司里下電影的話,速度可以達到1M,甚至更多。這對于喜歡看電影的員工來說,有很大的吸引力。
2.2.2 IP地址隨意更改,導致地址沖突
有些企業會根據IP設置一些規則,如限制某一段的IP地址不能上QQ等等一些簡單的設置。這些設置的初衷是好的,但是也可能會給我們網絡維護帶來一些麻煩。
2.3 門戶把關不嚴
2.3.1 便攜性移動設備控制不嚴
雖然我們公司現在對于移動存儲設備,如U盤、移動硬盤、MP3播放器等的使用有嚴格的要求,如要先審批后使用,等等。但是,很多用戶還是私自在使用移動存儲設備。
私自采用便攜性移動存儲設備,會給企業的內部網絡帶來兩大隱患。
一是企業文件的安全。因為企業的有些重要文件,屬于企業的資源,如客戶信息、產品物料清單等等,企業規定是不能夠外傳的。二是,若利用移動存儲設備,則病毒就會漏過我們的設在的病毒防火墻,而直接從企業的內部侵入。
2.3.2 郵件附件具有安全隱患
郵件附件的危害也在慢慢增大。現在隨著電子文檔的普及,越來越多的人喜歡利用郵件附件來傳遞電子文檔。而很多電子文檔都是OFFICE文檔、圖片格式文件或者RAR壓縮文件,但是,這些格式的文件恰巧是病毒很好的載體。
據相關網站調查,現在郵件附件攜帶病毒的案例在逐年攀升。若企業在日常管理中,不加以控制的話,這遲早會影響企業的網絡安全。
3 企業內部網絡的日常行為管理
由于組織內部員工的上網行為復雜多變,沒有哪一付靈藥包治百病,針對不同的上網行為業界都已有成熟的解決方案。現以上網行為管理領域領導廠商深信服科技的技術為基礎,來簡單介紹一下基本的應對策略。
3.1 外發Email的過濾和延遲審計。
防范Email泄密需要從事前和事后兩方面考慮。首先外發前基于多種條件對Email進行攔截和過濾,但被攔截的郵件未必含有對組織有害的內容,如何避免機器識別的局限性?深信服提供的郵件延遲審計技術可以攔截匹配上指定條件的外發Email,人工審核后在外發,確保萬無一失。
事后審計也不容忽視。將所有外發Email全部記錄,包括正文及附件。另外由于Webmail使用的普遍,對Webmail外發Email也應該能做到過濾、記錄與審計。
3.2 URL庫+關鍵字過濾+SSL加密網頁識別。
通過靜態預分類URL庫實現明文網頁的部分管控是基礎,但同時必須能夠對搜索引擎輸入的關鍵字進行過濾,從而實現對靜態URL庫更新慢、容量小的補充。而對于SSL加密網頁的識別與過濾,業界存在通過SSL加密流量、解密SSL加密流量的方式實現,但對于組織財務部、普通員工操作網上銀行賬戶的數據也被解密顯然是存在極大安全隱患的。深信服上網行為管理設備通過對SSL加密網站的數字證書的進行識別、檢測與過濾,既能滿足用戶過濾 SSL加密網址的要求,同時也不會引入新的安全隱患。
3.3 網絡上傳信息過濾。
論壇灌水、網絡發貼、文件上傳下載都需要基于多種關鍵字進行過濾,并應該能對所有成功上傳的內容進行詳細記錄以便事后查驗。但這是不夠的,如藏污納垢的主要場所之一的互聯網WEB聊天室絕大多數都是采用隨機動態端口訪問,識別、封堵此類動態端口網址成為當下上網行為管理難題之一,只有部分廠商能妥善解決該問題,這是用戶在選擇上網行為管理網關時需要著重考慮的問題。
3.4 P2P的精準識別與靈活管理。
互聯網上的P2P軟件層出不窮,如果只能封堵“昨天的BT”顯然是不足的。在P2P的識別方面深信服科技的P2P智能識別專利技術――基于行為統計學的分析的確有其獨到之處。基于行為特征而非基于P2P軟件本身精準識別了各種P2P,包括加密的、不常見的、版本泛濫的等。有了精準識別,這樣的設備對P2P的流控效果格外出眾。
3.5 管控各種非工作無關網絡行為。
篇2
關鍵詞:網絡威脅;技術;管理;法律
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2007)15-30686-02
Management is More Important than Technology for Network Security
NING Meng-li1, MA Zhan-bao2
(1.Shanxi Tourism Vocational College,Taiyuan 030031, China; 2.Henan Communication Vocational Technical College,Zhengzhou 450005, China)
Abstract:Based on the current network security condition, through to each kind of network security threat analysis, introduces the realization of technical on the network security initiative defense system. It proposes the solution measure that management is more important than technology based on the analysis of the situation on the current network security management.
Key words:Network threats; Technology; Management; Legal
1 引言
隨著計算機網絡的普及和應用,網絡對人們工作和生活的重要性越來越明顯。全世界正對這個海量的信息庫進行不斷的挖掘和利用,人們在獲取有用信息和利益的同時,也面臨著各種各樣的威脅。以高科技為特征的網絡安全威脅帶來的損害與人們對網絡的依賴程度成正比,因此網絡安全關系到國計民生,需要全社會的重視。
網絡安全威脅來自多種渠道,內部的或外部的、惡意的或無意的。根據互聯網信息中心(2006年)報告顯示,在經濟利益驅動下的網絡安全事件更加隱蔽、復雜和頻繁,涉及政府機構和信息系統部門的網絡纂改、網絡仿冒以及針對互聯網企業的DDoS等事件,而其中利用漏洞攻擊是網絡系統安全威脅的最重要根源,目前黑客利用木馬和僵尸網絡攻擊獲取經濟利益已經成為發展趨勢。各種攻擊方法相互融合,除了代碼和數據流攻擊外,還包括信息滲透、破壞機密資料以及人工物理接觸攻擊等。從整體上來說,網絡都存在著被人忽視的管理漏洞,而攻擊的定向性和專業性使網絡安全防御更加困難。
2 安全威脅
2.1 惡意軟件
惡意軟件是指未明確提示用戶或未經用戶許可,在用戶計算機或其他終端上安裝運行,侵害用戶合法權益的軟件,但不包含計算機病毒。它處于合法商業軟件和計算機病毒之間,表面有一定使用價值,但其隱蔽性、對抗性的、惡意性的特點給用戶帶來各種危害,包括常見的廣告軟件、間諜軟件、瀏覽器劫持、惡意共享軟件、行為記錄軟件以及網絡釣魚等。這些惡意軟件輕則頻繁彈出,影響電腦運行速度,重則竊取用戶重要數據及隱秘資料用作其他商業利益。由于網絡所具有的易隱蔽、技術性強和無地理界限性的空間特點,已經成為惡意軟件爭奪利益的市場,而最終受害的是網絡使用者。
2.2 泛濫且變化的病毒
病毒是能自行執行、自我復制的程序代碼或指令,具有很強的感染性、破壞性和隱蔽性。蠕蟲是一種惡性病毒,一般通過網絡傳播。它具有病毒的一些共性,同時具有自己的特征,不依賴文件寄生,通常利用系統漏洞進行傳播,而目前二者界限越來越模糊,且相互融合進行傳播破壞,如熊貓燒香病毒等。
2.3 有缺陷的軟硬件和網絡
根據計算機系統安全的分級標準,計算機安全性能由高到低分為A、B、C、D四大等級,其中A級最高,理論上安全級別越高,系統也就越安全,但是系統本身所具有的或設置上存在的某些缺陷,在某些條件下被某些人故意利用,就成為系統安全方面的漏洞,有軟硬件方面、網絡協議方面、管理上和人為方面等。
計算機操作系統在本身結構設計和代碼設計時偏重考慮使用的方便性,但功能又相對的復雜和全面,從而導致系統在遠程訪問、權限控制和口令管理等許多方面存在安全漏洞。隨著版本改進,新增加的功能又帶來新的漏洞。如:UNIX OS建立于60年代,由于其源代碼的開放性,從而開發出不同版本的UNIX OS和應用程序,但其協作方式松散,框架沒有經過嚴密論證。源代碼公開的特性使開發人員及軟件愛好者能發現漏洞,促使其不斷完善本系統,同時也使某些人有足夠條件分析軟件中可能存在的漏洞,由于補丁往往滯后于漏洞,因而補了舊的又產生新的漏洞。
互聯網的基礎是TCP/IP,TCP/IP是一個工業標準的協議,在協議制定之初,由于沒有預料到網絡發展如此之快,對安全問題考慮不周,而本身開放的特性,從而成了網絡攻擊的主要途徑。同樣網絡中的各種結點也存在漏洞問題,Router是網絡互聯中最繁重的轉發和指揮樞紐,功能強大而復雜,以目前技術而言,不可能完全避免漏洞,如Cisco產品就有幾十種漏洞。
由于經驗的缺乏和錯誤的理論,硬件系統和應用程序的錯誤配置也會成為安全隱患,這種隱患目前是許多部門網絡普遍存在的現象。
2.4 單薄的制度和法律
法律對網絡調整是一個不可忽略的因素。法律具有相對穩定性,而計算機與網絡技術是不斷發展的,同時病毒與漏洞也在不斷變化,也就是再完備的法律也無法適應變化的網絡需要。因為一方面,法律進行的程序難以適應網絡的特點,例如取證困難等;另一方面根據目前網絡的發展情況,缺乏有針對性的法律依據。
惡意代碼的傳播方式在不斷演化,病毒流行的速度越來越快、變種周期越來越短,日益增加的網絡、軟硬件漏洞正被越來越多的惡意軟件和病毒所利用,而法律和制度的相對滯后性及不完備性,使網絡正成為一個高風險的安全薄弱的高技術領域。
3 安全管理
安全問題來自不同軟、硬件設備,不同設備構成的不同系統之間,以及系統的不同設置條件等。隨著使用時間推移,網絡系統中存在的安全問題不斷被暴露,因此安全問題是一個動態的不斷變化和發展的問題。
網絡安全是一個綜合概念,也是一項比較復雜的系統工程,不是單一的某個安全產品或把各種安全技術的簡單疊加就能夠實現的網絡安全。根據“木桶理論”,木桶容積取決于最短的木板,因此網絡安全要求把各種技術、管理有機結合,各部分之間應相互協調,相互補充。
3.1 技術方面
根據網絡變化和發展趨勢,應該重視主動型、動態型的防御體系,通過制定嚴密的安全策略,運用新技術、新觀點和新產品構建一個安全的網絡保障體系。在整體的安全策略控制和指導下,在綜合運用各種防護技術(包括使用防火墻技術、認證技術、加密技術等)的同時,利用檢測技術(入侵檢測技術、漏洞掃描技術等),安裝殺毒軟件、進行容災備份等,組成一個策略、防護、監測和響應四部分的抵抗網絡威脅的體系結構,將系統調整到最高安全級別和風險最低狀態。
策略是可根據不同安全級別的資產制定不同的合理保護措施,根據2006年公安部對計算機安全產品進行質量監督中發現,各種安全產品都有自己的優缺點:
目前國內的防火墻產品實現技術多采用數據包過濾技術,且開發都是基于開放源代碼的操作系統為主。審計監測產品大部分是國內產品,一般用agent(引擎,在遠端主機上安裝)/console(控制臺)結構,技術上沒有太大的創新,且審計不夠全面和完善,但是比較注重專業化的應用。入侵監測產品目前以硬件為多,IDS(入侵監測產品)是將下載的數據包與自建或默認的攻擊規則庫進行對比,屬于被動式反應技術;隨著主動防御需求的日益增加,IPS(入侵防御系統)除了具有IDS的功能外,還能在檢測到攻擊后采取行動阻止攻擊,但技術上國內產品稍有欠缺。現在社會對網絡系統的依賴程度越來越深,但天災人禍難免,重要部門對系統、信息進行容災備份勢在必行,由于資金、規劃和認識方面的原因,至今能夠實現的還是很少。
3.2 安全管理
管理重于技術,這是最重要也是目前最容易起到效果和達到長久有效的安全措施,在網絡安全的管理上是一個持續發展的行為,可以從以下幾個方面考慮:
3.2.1 完善法律體系
目前我們好多網絡系統的安全預防能力處于初級階段,許多應用系統除了安裝殺毒軟件外幾乎不設防,法律制裁更是存在許多空白。因此,加快網絡安全的立法速度,建立完善的網絡安全法制體系刻不容緩,包括專業化的司法、執法程序和司法、執法人員,以及國家、組織和公民在使用網絡資源及保護網絡安全方面的權利和義務,在違反時應當承擔的法律責任和接受的法律懲罰,以便做到網絡安全管理的有法可依。
3.2.2 樹立治理途徑的多元化
在立法的同時,從國家長遠發展的高度對網絡安全提出要求,并提供理論指導性和政策性的文件,把網絡安全作為一項關乎國計民生大事來落實,作為任務來完成。首先建立以國家部門為主導的聯動機制,發揮國家有關部門的強制作用,通過政府機關、法律部門、非政府組織及一些有影響的組織和個人協同工作,制定相關政策,進行信息共享、制度整合、措施聯動,從組織上、法律上、行政措施上形成完善的管理機制。同時加強與應急組織、網絡運營商和網絡服務提供商的聯系與合作,提供技術保障。
3.2.3 加強網絡市場監管力度
管理部門應該引導網絡市場,樹立正確商業意識,提高軟件的網絡準入制度。通過健全網絡市場環境,建立網絡市場規則體系逐步引導和規范網絡行為。
3.2.4 提高使用者的安全意識
網絡安全威脅來自多種渠道,根據研究發現來自內部的威脅影響更嚴重,由于內部用戶相對于外部用戶來說,有更好的條件了解網絡結構、防護措施、部署情況、服務運行模式以及訪問內部網絡,若內部用戶實施攻擊或誤操作,則造成的損失會更大。因此應該加強網絡使用者的指導和培訓,進行安全教育,提高網絡與軟件用戶的安全意識與技術識別能力,以便實現自我保護。
3.2.5 進行技術合作和專業人才培養
提高網絡安全保障能力,需要網絡安全領域的商家和學術機構緊密合作,提供可信的軟件和優質的服務,因而需要有較高技術水平的專業隊伍來解決問題,因此重視對專業人員進行專門培訓,并形成指導文件,成為一個嚴謹的詳細的培訓體系。相關部門和組織應技術合作,如實現軟件安全工程和軟件功能可信性等,在技術上封殺、圍堵網絡攻擊和惡意軟件的入侵途徑,共同為用戶創造一個可信賴的計算機網絡環境。
4 總結
網絡安全是一個不斷發展和變化的研究課題,伴隨著安全威脅事件的發生網絡管理也在不斷的完善和發展,相信隨著技術的發展和法律法規的健全,在更具有前瞻性的管理思維模式下,網絡會得到更好的發展。
參考資料:
[1] 蔣建春. 信息安全技術的8個發展趨勢[J]. 計算機世界,2007.4.
[2] 黃家林. 主動防御系統及應用研究[J]. 網絡安全,2007.3.
篇3
人們的生活隨著互聯網技術的高速發展,得到了非常顯著的提高,并且讓人們的生活方式以及生活習慣,都有了非常巨大的改變。互聯網已經成為了人們交流各種信息的一個重要平臺。因此,互聯網的安全問題也逐漸的暴露了出現,成為了我國當下的一個重要的研究領域。
1網絡信息資源的安全管理之中存在的問題
1.1操作系統中存在的漏洞
計算機擁有龐大的軟件系統,但是其中最基本也最重要的系統就是計算機的操作系統。操作系統是提供一個用戶正常使用計算機或者對其他程序進行安裝的一個可以運行的平臺。并且,操作系統還能夠對計算機之中儲存的資源進行管理。例如,對于計算機的硬件和軟件之中存在的問題,利用一定的操作就能夠輕松的進行查看和管理。在這個過程之中,就有可能會涉及到一個模塊或者程序的安全問題。如果這些程序之中,存在著一些問題,但沒有被發現和及時解決的化,可能就會造成計算機的整個系統崩潰,從而影響用戶對計算機的正常使用。信息的傳輸、程序的加載等功能都能通過操作系統進行實現,尤其是通過ftp傳輸一些特殊的文件。而當這些特殊文件之中包括了一些可執行的文件,對于計算機也會造成不安全的影響。這些ftp文件,大都是由程序員編寫出來的,在編寫的過程之中可能會出現很多的漏洞,這些漏洞就會造成計算機資源的安全威脅,甚至引起系統的崩潰。計算機操作系統的不安全因素出現的原因,主要是操作系統會允許用戶在計算機上創建一定的進程,并且能夠對其進行遠程激活。這種手段一旦被一些不法分子所利用,就有可能造成計算機被遠程控制的威脅,也就是俗稱的被“黑”。操作系統還能夠實現對計算機的遠程硬件和軟件調用,從而通過網絡節點流失很多相關的信息,從而帶來一定的損失和安全威脅。
1.2網絡開放性存在的問題
計算機最顯著的特點就是其具有開放性,這是互聯網技術發展的必然趨勢,但是這種趨勢卻會給網絡的安全帶來比較大的隱患。首先,由于網絡開放性的存在,就使得網絡接入的門檻比較低,來自不同地區,不同身份的人都能夠接入網絡來交流一些信息或者問題。因此,在這些接入的人群之中,很有可能會存在一些圖謀不軌的人,從而使得網絡受到攻擊,有可能會是針對計算機一些軟件漏洞所發起的攻擊,也有可能是針對網絡之中的傳輸協議發起的攻擊。并且這些攻擊的范圍包括本地的用戶,也包括外地甚至國外的用戶。這種入侵行為,在國家之間的存在早已經屢見不鮮,有些攻擊行為一旦得逞可能會讓某個國家造成嚴重的損失。所以,互聯網的安全問題不僅僅是個人的問題,也是國家和世界的問題。
2網絡安全技術
在我國比較常見的網絡安全技術主要有入侵檢測、可視化、防火墻、漏洞掃描、數據加密等技術。這些技術的應用,讓當前的互聯網安全有了一個比較好的保障,為用戶提供了一個相對安全的上網環境。入侵檢測技術主要指通過對審計數據的收集,從而將對網絡安全日志以及網絡行為進行分析,進而判斷在近期的計算機系統之中是否存在被攻擊或者一些違法的網絡行為。這是一種積極主動的安全防御技術,是除了防火墻之外的第一道安全防護的閘門,該技術在檢測時能夠避免對網絡性能的影響,從而更好的檢測出網絡供給的行為。進行入侵檢測,可以隨時對來自外部以及內部的網絡攻擊進行監控,讓計算機資源的安全性得到有效的提高。目前的計算機入侵檢測方法主要有混合入侵檢測,基于主機以及網絡的入侵檢測等。入侵檢測技術在網絡資源安全的應用中,屬于應用比較廣泛的技術之一。可視化技術是建立在入侵檢測、防火墻和漏洞掃描技術基礎上的一種技術。該技術是網絡安全可視操作的一種延伸,是各種安全技術的一種補充。該技術可以讓網絡數據之中的比較抽象的網絡結構,以圖像化的形式,被人們所觀察,并且對網絡中出現的一些特殊信息,進行實時的反應。該技術可以監控整個網絡的運行狀態,并且能夠向網絡安全管理員提示網絡之中可能會出現的一些安全風險,使網絡安全工作得到了便利。網絡安全的管理人員,可以將網絡的具體狀況采用高維信息技術進行展開,從而使網絡入侵行為更加清晰的暴露在管理人員的眼前。同時,采用可視化技術,還能夠對未來網絡安全事件的發展形勢進行估計和判斷,并且采取相應的針對措施來進行預防。可視化技術的應用,使得網絡資源安全的防護更加的方便、智能。防火墻技術是普通大眾最為熟悉的一種網絡安全技術。該技術事先制定好一定的網絡安全規則,然后強制性的檢查內外網之間的信息交流行為,對不安全的外網訪問行為進行限制。這種技術主要是根據實際情況對外網的訪問權限進行設定,從而防止外網之中一些非法行為對計算機的入侵,使網絡資源的安全得到保證。同時,防火墻技術還能夠將內網之間的訪問行為進行一定的規范,保證內部網絡資源的真正安全。當前的防火墻技術主要有網絡層防火墻以及應用層防火墻這兩種類型的技術。網絡層防火墻,可以被當作是在最底層的TCP/IP協議上工作的一種IP封包過濾器。網絡管理員在對其進行設置的時候,可以設置成只允許自己需要的或者符合要求的封包通過,這樣就可以禁止其他封包穿過防火墻。雖然,在理論上來說防火墻技術能夠防止所有的外界數據流對計算機的入侵,但是防火墻并不能夠對病毒的入侵有效的防止。漏洞掃描技術,是通過漏洞掃描的程序,對計算機的本地主機或者遠程設備進行安全掃描,從而發現計算機系統之中存在的一些安全漏洞,并對這些漏洞進行打補丁形式的修補。以這種形式來保證整個系統的安全。漏洞掃描程序,通過對TCP/IP的相關服務端口監控主機系統的掃描,并利用模擬網絡攻擊記錄目標主機的響應情況,從而對有用的數據信息進行收集。漏洞掃描能夠將計算機之中存在的一些安全漏洞及時的掌握和發現,讓網絡運行的狀況得到有效的反應,為用戶提供一個安全的網絡環境。并且,漏洞掃描還能夠針對一些漏洞及時的做出有效的彌補措施,進行漏洞的修復,使漏洞引起的網絡安全風險降到最低。數據加密技術,是目前比較常用的一種安全技術,是通過制定一定的規則,從而使得明文能夠重新進行編碼,變成別人沒有辦法識別的數據。這樣在傳輸的過程之中即使被不法人員所截獲,但是沒有相應的密鑰就不能夠破解加密的信息,從而無法知道信息的具體內容。數據加密的技術主要是應用在對信息以及動態數據保存的方面。計算機的數據加密系統,主要包括密鑰集合、明文集合、密文集合以及相關的算法所構成。而算法以及數據是數據加密系統之中最基本的組成部分,采用一系列的數學法則形成的算法,是數據加密能夠實現的真正核心。
3提升網絡信息資源管理的策略
3.1提升管理人員的業務技能
對于網絡信息資源的安全而言,所面臨的大部分威脅都是來自人為的威脅,包括黑客攻擊等威脅。按照網絡信息資源受到攻擊的形式,主要可以分為主動攻擊和被動攻擊兩種形式。主動攻擊指的是一些不法分子,利用非法手段將信息的完整性進行破壞,并對數據包之中的內容進行更改,從而讓接收者受到誤導。或者是不法分子,進入計算機系統之中,將系統的大量資源進行占用,讓系統不能夠為用戶提供正常的服務。被動攻擊主要指的是,不對信息的傳輸造成影響的截取并破解傳遞信息的手段,這種手段具有極大的危險性。所以針對網絡資源被攻擊的形式,網絡安全管理部門應該定期對管理人員進行專業技能水平的訓練,并且讓管理人員加強對安全網絡的監測力度。同時制定不同攻擊形式下的防御措施,讓管理人員熟練掌握應對的方式,并且加強與國內外先進技術部門的合作,共同探討防止網絡攻擊的新技術和新方法。
3.2加強計算機軟硬件的管理
計算機的軟件管理在計算機的網絡信息資源安全保障方面,存在著非常重要的作用,所以在平時,網絡安全管理人員要注重對軟件的管理。對于計算機軟件而言,主要的威脅是存在于計算機之中,或者一些外來的病毒,管理員應該定期的對計算機進行殺毒,并且注重殺毒軟件的更新和補丁的下載等。對于計算機的硬件管理,主要需要從兩個方面進行,首先是要為計算機的運行創造出一個非常良好的外部環境,要注重計算機的防火以及防潮等工作,避免外部環境對計算機造成一些不良影響。其次,對于機箱等硬件的管理,要制定一個詳細、嚴格的管理制度,規定在沒有經過系統管理員允許的情況之下,不能夠打開機箱進行硬件的更換。此外,在平時,管理人員還需要對計算機的硬件進行定期的檢測,使出現問題的硬件能夠及時的發現并進行修理。
4結束語
總而言之,在當前的社會形式和時代背景之下,網絡信息資源的安全管理技術的研究是非常重要的一件事情。所以有關部門要加強對技術的創新,加強對管理人員的培訓,并且加強對計算機軟硬件的良好管理,讓我國的互聯網處在一個安全、干凈的環境之中,讓每一位用戶都能夠放心的使用互聯網技術。
作者:趙杰 單位:晉中職業技術學院電子信息系
引用:
[1]汪江.談網絡安全技術與電力企業網絡安全解決方案研究[J].價值工程,2012.
[2]楊嶺.基于網絡安全維護的計算機網絡安全技術應用研究[J].信息系統工程,2015.
篇4
關鍵詞:長慶油田;網絡安全;防范
0引言
隨著國家信息化建設的快速發展,信息網絡安全問題日益突出,信息網絡安全面臨嚴峻考驗。當前互聯網絡結構無序、網絡行為不規范、通信路徑不確定、IP地址結構無序、難以實現服務質量保證、網絡安全難以保證。長慶油田網絡同樣存在以上問題,可靠性與安全性是長慶油田網絡建設目標。文章以長慶油田網絡為例進行分析說明。
1長慶油田網絡管理存在的問題
長慶油田公司計算機主干網是以西安為網絡核心,包括西安、涇渭、慶陽、銀川、烏審旗、延安、靖邊等7個二級匯聚節點以及咸陽等多個三級節點為架構的高速廣域網絡。網絡龐大,存在的問題也很多,這對日常網絡管理是一份挑戰,由于管理的不完善,管理存在以下幾個方面問題:
1.1出現問題才去解決問我們習慣人工戰術,習慣憑經驗辦事。網絡維護人員更像是消防員,哪里出現險情才去撲救。設備故障的出現主要依靠使用者報告的方式,網管人員非常被動,無法做到主動預防,無法在影響用戶使用之前就預見故障并將其消除在萌芽狀態。因此,這種維護模式已經很難保障網絡的平穩運行,能否平穩影響網絡安全與否。
1.2突發故障難以快速定位僅僅依靠人工經驗,難以對故障根源做出快速定位,影響故障處理。而且隨著網絡的復雜程度的提高,在故障發生時,難以快速全面的了解設備運行狀況,導致解決故障的時間較長,網絡黑客侵犯可以趁機而來,帶來網絡管理的風險。
1.3無法對全網運行狀況作出分析和評估在傳統模式下,這些都需要去設備近端檢查,或遠程登錄到設備上查看,不僅費時費力,而且對于歷史數據無法進行連續不間斷的監測和保存,不能向決策人員提供完整準確的事實依據,影響了對網絡性能及質量的調優處理,龐大的網絡系統,不能通盤管理,不能保證網絡運行穩定,安全性時刻面臨問題。
2網絡安全防范措施
計算機網絡的安全性可以定義為保障網絡服務的可用性和網絡信息的完整性,為了有效保護網絡安全,應做好防范措施,保證網絡的穩定性,提高網絡管理的效率。
2.1完善告警機制,防患于未然告警監控是一種手段,設備維護人員、網絡分析人員需要通過告警信息去分析、判斷設備出現的問題并盡可能的找出設備存在隱患,通過對一般告警的處理將嚴重告警發生的概率降下來。告警機制的完善一般從告警信息、告警通知方式兩方面著手:
2.1.1在告警信息的配置方面目前,長慶油田計算機主干網包括的97臺網絡設備、71臺服務器,每臺設備又包含cpu、接口狀態、流量等等性能參數,每一種參數在不同的時間段正常值范圍也不盡相同。
例如同樣為出口防火墻,西安與銀川的各項性能閥值的設置也不盡相同,西安的會話數達到25萬,而銀川的超過20萬就發出同樣的告警。再比如,西安電信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的,因為這個時候在線用戶很少,但是如果在晚上8:00-10:00,流量只有二、三十兆的流量,就要發出告警信息。
因此必須根據監控的對象(設備或鏈路)、內容(各項性能指標)以及時間段,設置不同的觸發值及重置值。
2.1.2告警通知方式的多樣化任何時間我們都無法保證能全天候死盯著屏幕,所以一方面需要制定相應的運維管理制度和輪班值守職責,另一方面則需要選擇更加人性化的運維管理方式。維護人員不但需要頁面顯示的告警觸發通知,也迫切需要在移動辦公狀態或休假狀態第一時間得到預警,從而做出應有的反應,所以我們需要開發出例如聲音、郵件、短信等多種告警方式。
通過以上兩個方面,我們可以建成一個完善的故障告警系統,便于隱患的及時消除,提高了網絡的穩定性。
2.2網絡拓撲的動態化如果一個個設備檢查起來顯然費時費力,如果我們能將所有設備的狀態及其連接狀況用一張圖形實時動態的直觀顯示出來,那么無疑會大大縮短故障定位時間(見圖1,2)。
說明:2009-10-11日17:05,慶陽、延安、靖邊、銀川四個區域的T1200-02的連接西安的2.5GPOS口,涇渭T1200-01連西安的2.5GPOS口,以及西峰、吳起連接慶陽匯聚交換機Z8905-02的千兆光口,以上接口同時發出中斷告警。
因此,綜合告警信息與全網拓撲圖,當出現大規模告警的情況下能夠非常高效地找出故障源,避免了一步步繁瑣的人工排查,從而達到有效提高故障的解決效率,提高了網絡的穩定性。
2.3全網資源管理的動態化
2.3.1通過對網管系統的二次開發,實現全網動態資源分析,他的最重要特點就是動態,系統通過PollingEngine從設備上自動提取資料數據,如設備硬件信息、網絡運行數據、告警信息、發生事件等。定時動態更新,最大限度的保持與現網的一致性。
2.3.2通過一個集中的瀏覽器界面上就可以快速、充分地了解現有網絡內各種動態和靜態資源的狀況,徹底轉變了傳統的網絡依賴于文字表格甚至是依賴于維護人員的傳統維護模式,變個人資料為共享資料。
2.4提高安全防范意識只要我們提高安全意識和責任觀念,很多網絡安全問題也是可以防范的。我們要注意養成良好的上網習慣,不隨意打開來歷不明的電子郵件及文件,不隨便運行陌生人發送的程序;盡量避免下載和安裝不知名的軟件、游戲程序;不輕易執行附件中的EXE和COM等可執行程序;密碼設置盡可能使用字母數字混排;及時下載安裝系統補丁程序等。
總之,影響網絡穩定的因素有很多,本文基于日常網絡安全管理經驗,從日常網絡管理的角度,提出一些安全防范措施,以期提高網絡穩定性。
參考文獻:
[1]石志國,計算機網絡安全教程,北京:清華大學出版社,2008.
[2]張慶華,網絡安全與黑客攻防寶典,北京:電子工業出版社,2007.
篇5
關鍵詞:電信計算機;網絡安全;管理策略
隨著我國電信事業的快速發展,計算機網絡技術的廣泛應用,使人們的溝通方式發生了改變,電信網絡成為傳遞信息的一種重要手段,隨著社會經濟信息化進程的發展,電信網絡為社會創造了巨大的經濟價值和社會價值,與此同時隨著黑客的攻擊,電信網絡安全也受到了嚴重威脅,導致人們間的信息溝通遇到障礙,給社會帶來了無可估量的經濟損失。
1.目前導致電信網絡安全問題的因素
影響通信網絡安全的因素有很多,其中包括:病毒感染、系統漏洞、網絡內部攻擊、外部攻擊、人為因素、資料存儲與輸出,下面分別做出詳細講解。
(1)病毒感染:病毒是計算機系統中最大的安全隱患,直接威脅到整個系統的正常運作,網絡對于病毒的快速傳播更是提供了便利條件,通過服務器上的軟件下載、聊天工具的點擊查看、電子郵件的收發等方式,對計算機展開攻擊,破壞安全系統,給用戶造成損失。
(2)系統漏洞:無論操作系統還是網絡軟件,都存有這樣或那樣的漏洞,沒有百分百完善的,這樣無疑給黑客入侵提供了切入口,造成了嚴重的網絡事件。
(3)網絡內部攻擊:不少非法用戶,用假冒的合法身份登入到局域網的內部網站,對機密的信息進行查看、竄改,從而嚴重破壞了內部的網絡應用系統。
(4)網絡外部攻擊:顧名思義就是來自局域網以外的攻擊破壞,比如:在中間站讀取截獲機密信息;修改竊取網絡數據;破譯機密信息;偽造合法身份占用信息資源;破壞軟件執行等等。
(5)人為因素:一些人為失誤的原因,造成的口令丟失、管理員安全配置不合理、資源訪問沒有得到合理控制等,對于網絡安全系統造成了一定的破壞。
(6)資料存儲與傳輸:當系統受到攻擊時,存儲的資料很容易被竊取,造成機密文件外泄,因此在機密文件的存儲和傳輸也是網絡安全的威脅因素。
2.分析目前我國電信網絡安全存在的問題
現代化的網絡環境,為我們相互間進行信息交流、信息共享和信息服務提供了便利的條件和廣闊的空間,滿足了人們所向往的信息開放、快速和靈活的共享,隨著網絡技術的廣泛推廣及應用,極大的促進了社會經濟的發展。然而因為互聯網所具有的開放性和交互性令其不可避免的受到安全威脅。目前計算機病毒的肆意橫行和快速傳播,為我國電網絡的安全帶來了嚴重威脅,為社會帶來了極大的經濟損失。當前電信網絡技術在我國各行各業都得到了普及應用,無論是商務活動還是社會互動,都離不開電信網絡技術的信息傳遞,但隨著黑客的攻擊,企業間的絕密信息被遭到了肆意的破壞或截取。
通過我國電信保障局的相關網絡安全管理人士分析,我國目前電信網絡安全防護工作面臨著巨大挑戰,他指出我國的電信基礎設施受到了嚴重的危害,針對計算機網絡系統所與生具有的開放性和分散性等特點,要求必須加強網絡安全管理,提升管理人員的技能水平,強化管理人員的安全意識,從而使通信網絡安全隱患得到有效的控制,所以必須大力加強網絡安全管理人員的保密意識和安全意識。
在傳輸信道上存在的安全隱患。假如在傳輸信道上沒有采取相應的安全電磁屏蔽手段,信息在傳輸過程中就會對外產生磁輻射,不法分子會利用特制的盜取設備截獲機要信息。在硬件或軟件設備中存在的安全隱患。IT人員在設計軟硬件系統時,有可能會設計遠程的終端控制登陸通道,加之商用軟件源的程序大多具有公開性,信息就會因不法分子對通信系統的直接入侵而遭到竊取。
3.我國電信網絡安全的管理策略
下面將從安全技術、網絡安全策略和人員管理方面提出一些提高我國通信網絡安全的管理策略。
3.1提高網絡安全技術管理
(1)防火墻防護技術
防火墻技術作為網絡安全最基礎的防護手段,已經得到了廣泛的應用,通過防火墻可以防止網絡中不安全的因素的入侵及蔓延,極大限度的阻擋了來自外部的黑客攻擊,防止外部不發分子未經授權的惡意訪問,從而保護內部的網絡安全,防止黑客隨意移動、更換、或者移除重要的信息。
(2)采用入侵檢測技術
入侵檢測技術不同于防火墻技術,它是一種對于網絡內部安全環境的入侵檢測,是對防火墻技術的一種有效補充。入侵檢測技術為外部攻擊、內部攻擊及失誤操作提供了積極的實時保護,及時的攔截病毒入侵,從而保證網絡系統不會受到惡意侵害,從而確保信息的安全性。
(3)采用漏洞掃描技術
當前隨著網絡技術的不斷變化,網絡技術更加的復雜化,僅憑網絡管理人員的經驗和技術來,對于安全漏進行人工式的尋找是遠遠不夠的,因此我們就要借助于網絡安全漏洞的掃描技術,利用打補丁和優化系統的資源配置等方式,盡可能的消除安全隱患和彌補安全漏洞。在網絡安全要求不高的情形下,通過利用各種不同的黑客工具,進行網絡模擬攻擊進而使網絡的漏洞暴露出來。
(4)采用身份驗證技術
通過提供身份驗證技術能夠保障信息的完整性、可控性、機密性和不可否認性等方面的安全性能。
(5)采用網絡加密技術
作為網絡安全的核心技術,加密技術主要是防止信息在網絡上被惡意竊取或攔截,采用加密技術,可以通過對公共網絡中傳輸的IP地址包實行封鎖或進行加密,以此實現數據在網絡傳輸中的完整和安全,從而確保遠程用戶可以安全的訪問內網。
(6)采用虛擬專用網技術
在一個因特網上建立一個臨時的鏈接,它是一條橫穿混亂公用網絡的穩定通道,通過這條安全的數據通道把公司的分支部門、遠程用戶、公司業務搭檔等和公司的內部網絡進行貫穿鏈接,構成一個安全的虛擬擴展網絡,使所有的計算機都仿佛都處于同一個網絡中。
3.2制定網絡安全策略
在特定的環境中,要從政策法規、技術、管理等方面制定相應的安全策略,從而實現下面五項安全目的:
(1)利用授權機制,使網絡管理對終端用戶釋放訪問權利,防止未授權的用戶進入到網絡系統,通過對用戶使用權限的控制,結合內審機制,達到對網絡信息或資源的控制目的。
(2)利用訪問控制機制。例如:用身份鑒別,輸入用戶口令及密碼,網絡系統達到權限分級,通過鑒別真偽,進行訪問限制,假如是權 限受限用戶或者是無權用戶,系統會自動屏蔽部分訪問地址或者終止用戶的全部訪問,從而有效阻止非法用戶的進入。
(3)利用防抵賴、監控、審計等方面的安全機制,將網絡系統抵賴者、破壞者和攻擊者一網打盡,并對出現的網絡安全提供可查依據,使網絡信息的安全具有可審查性。
(4)利用加密機制,保證信息數據在傳輸或者儲存設備上不被非法用戶看到或者竊取,以此保證信息數據不會暴露給未經許可查看的實體,從而達到使信息數據得到保密的目的。
(5)利用數據完整性識別的機制,使數據的查核方式得到進一步的優化,從而確保只有經過許可的人才能夠更改或刪除信息數據,最終防止了信息數據的惡意修改、插入、刪除等現象的發生,達到了保證信息數據完整的目的。
3.3強化電信管理人員安全意識
人員的保密意識和安全意識尤為關鍵,如果僅憑網絡安全技術,沒有可靠的人員,通訊網絡安全無從得到真正的保障,因此要大力加強網絡管理人員的培訓,強化他們的專業技能的同時,提高他們的職業道德水準,選拔優秀的職業技能高手,擴大他們的網絡技術知識,對電訊網絡進行有效的防護管理。
結束語:隨著電信網絡功能的日益強大,電訊網絡在人們日常的生活中,經濟貿易往來中,占據了相當重要的地位,因此,針對電信網絡安全問題,我們要采取有效的管理策略,使網絡安全隱患得到最大限度的控制。
參考文獻:
[1]張詠梅.計算機通信網絡安全概述[J].中國科技信息,2008(03)
[2]楊華.網絡安全技術的研究與應用[J].計算機與網絡,2008(06)i
篇6
關鍵詞:計算機;網絡管理;安全防護
中圖分類號: G623 文獻標識碼: A
一、計算機及網絡安全
所謂計算機及網絡安全,它指的是人們通過監控網絡管理的手段,或者是采取相關的安全防護技術方法,保證某一個網絡環境中,用戶數據保持完整,且用戶的隱私可以得到有效的保護,避免信息泄露現象的發生。總的來說,計算機及網絡安全包括兩個方面的內容,一方面是物理安全,即計算機系統設備及相關的設施可以得到良好保護,從而不被損壞;另一方面是邏輯安全,即保障計算機及網絡上的信息完整,具有良好的保密性能。
二、計算機及網絡安全中存在的問題分析
(1)系統漏洞
在計算機網絡中,由于系統本身就有一定數量的漏洞,例如Windows操作系統、UNIX操作系統等,尤其是在局域網網絡系統中,若用戶使用盜版軟件及網管的疏忽,也容易造成網絡系統漏洞。網絡攻擊具有影響范圍大、破壞性強和威脅網絡安全質量的特點,所以,網絡中所存在的漏洞主要是因為TCP/IP協議的不完善、不可靠的UDP協議及錯誤的計算機程序做造成的,面對當前的系統漏洞,大多數人都是束手無策的,只有通過建立完善、嚴密的管理制度,并采用科學、合理的技術方法,盡可能提高網絡的安全性和可靠性,從而降低漏洞的風險。
(2)病毒威脅
計算機在給人們帶來方便的同時,也給計算機病毒提供了有利的機會,計算機病毒是在計算機程序中插入破壞計算機功能與數據、能自我復制的程序代碼。當計算機被被病毒感染后,其將在短時間內進行繁殖傳播并擴大到整個系統中,造成計算機系統工作效率下降,甚至可能造成計算機系統死機及文件數據損毀等。在計算機網絡病毒中,當前最為普遍的則屬于木馬病毒,其具有極大破壞性的特點,雖然木馬病毒不會主動計算機,但是,在安裝程序過程中,若程序中攜帶了木馬病毒,則該病毒將立刻向計算機中的其他程序進行病毒攻擊,進而造成計算中更多程序的感染,從而破壞了計算機網路的安全。另外,熊貓燒香病毒也是計算機病毒中的一種,其主要是利用下載文檔的方法侵入網絡來傳播病毒,這樣就給計算機用戶帶來了難以估量的損失。
(3)內部管理不當
隨著現代計算機技術和網絡信息技術的發展,計算機網絡在各行各業中的應用越來越普遍。但是在一些用戶中缺乏專業的計算機網絡管理人員,沒有專業的網絡安全知識,對計算機網絡沒有采取有效的防護措施,容易受到計算機病毒和黑客的攻擊,造成計算機系統癱瘓。一些企業的內部員工為了自身利益,將企業內部的計算機信息泄露給別人,降低了計算機網絡的安全性。
三、加強計算機及網絡安全防護的具體措施
(1)建立完善的計算機網絡安全管理機制
構建完善的網絡安全管理機制不僅可以提高對網絡破壞的實時預警,也可以提高計算機網絡防護能力,因此,注重網絡管理人員的培訓工作,安排專業技術強、道德素質高的專業人員來加強網絡安全方面的管理,明確網絡管理人員的責任和義務,使網絡管理人員或計算機使用人員規范操作計算機,進而避免網絡安全問題的出現。另外,對于計算機病毒的威脅,隨著計算機網絡技術的發展,計算病毒也逐漸升級,這就造成了計算機病毒對計算機網絡安全構成了嚴重的威脅。因此,在今后的計算機使用過程中,首先,應安裝計算機殺毒軟件來減少計算機病毒的入侵,從而減少計算機網絡安全問題的發生;其次,安裝殺毒軟件后,應定期對電腦進行殺毒清理,由于計算機在使用過程中難免會出現一些安全漏洞,因此,定期對電腦進行清理,刪除不必要的文件或軟件,這樣就可以有效減少病毒的入侵;最后,由于一些病毒主要是通過電子郵件、網站文檔下載等方式侵入計算機的,因此,對電力郵件、網站信息進行殺毒,并對網站下載的文件信息進行病毒檢查,以達到方式病毒入侵的目的。
(2)提高計算機用戶的網絡安全意識
在計算機網絡中,計算機用戶網絡安全意識的缺乏是造成計算機網絡安全問題的最主要因素,尤其是計算機用戶使用不當所造成的安全隱患,如計算機信息的丟失、計算機程序的破壞等。因此,在今后的計算機使用中,不僅要加強網絡管理人員計算機基礎知識的普及,也應加強對計算機用戶相關維護措施的講解,確保每一位計算機網絡使用人員能做好計算機維護工作。然而,對于計算機用戶來說,也應加強自身網絡安全意識的提高,安裝正版的殺毒軟件,如360、瑞星等殺毒軟件,提供用戶計算機網絡安全防范意識的提高,避免威脅計算機網絡安全的行為出現。
(3)加強權限設置和數據保護
在計算機網絡上設置訪問權限,有利于加強計算機網絡的安全運行。對于設置訪問權限的系統,只有通過權限身份認證的人才能夠進入計算機網絡中,阻止沒有通過身份認證的人員進入,可以防止計算機系統的信息的流失。權限設置主要包括證明用戶身份的合法、權限級別的設置以及記錄用戶訪問的內容。除此之外,做好數據保護工作也非常重要,通過數據加密技術,保證數據在傳輸過程中的安全性,數據加密技術是指在傳輸的數據上設置密碼,即使被別人通過非法手段獲得了傳輸的數據,也不容易獲得數據的內容,也比較容易發現更改的數據信息,這樣就可以大大提高計算機網絡的安全性。
(4)運用多種技術手段
1、防火墻技術
防火墻技術是目前大家比較常用的一種計算機及網絡安全防護技術,它的實現手段非常靈活,既可以通過軟件來實現,又可以借助硬件來完成,還可以將硬件和軟件有機結合起來達到有效保護計算機及網絡安全的目的。
2、網絡入侵檢測技術
計算機及網絡中存在很多的網絡入侵行為,造成計算機信息泄露。針對這種行為,人們就可以充分運用網絡入侵檢測技術,有效保障計算機及網絡安全。這種技術一般又稱作網絡實時監控技術,主要是通過相關軟件(或者硬件)對被保護的網絡數據流進行實時檢查,然后將檢查的結果與系統中的入侵特征數據進行比對,如果發現兩者的結果一致,則存在計算機及網絡被攻擊的跡象,這時候計算機就會參照用戶所定義的相關操作作出反應,比如馬上切斷網絡連接,防止計算機病毒的傳播;或者是直接通知安裝在計算機上的防火墻系統,調整計算機訪問控制策略,過濾掉那些被入侵的數據包等,從而有效保證計算機及網絡的安全。因此,人們可以通過采用網絡入侵檢測技術,可以有效識別網絡上的入侵行為,然后采取相關措施加以解決。
此外,人們還可以運用數據加密技術、黑客誘騙技術、網絡安全掃描技術等,從而有效保障計算機及網絡安全。
四、結語
綜上所述,計算機及網絡管理中存在一些問題,既有計算機自身方面的因素存在,也存在很多人為因素。計算機網絡安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。除此之外,在計算機網絡使用過程中,應做好計算機網絡安全保護工作,安裝殺毒軟件,并及時對其進行殺毒清理,使計算機網絡處于安全的環境中,以保證計算機正常運行。
參考文獻
[1]楊光,孫洋,王磊,吳冰.計算機及網絡的管理與安全防護[J].內蒙古林業調查設計,2013(02).
篇7
關鍵詞:網絡安全管理;網絡安全管理系統;企業信息安全
中圖分類號:TP271 文獻標識碼:A 文章編號:1009-3044(2012)33-7915-03
計算機網絡是通過互聯網服務來為人們提供各種各樣的功能,如果想保證這些服務的有效提供,一是需要全面完善計算機網絡的基礎設施和配置;二是需要有可靠完善的保障體系。可靠完善的保障體系是為了能夠保證網絡中的信息傳輸、信息處理和信息共享等功能能夠安全進行。
1 網絡安全的定義
網絡安全問題不但是近些年來網絡信息安全領域經常討論和研究的重要問題,也是現代網絡信息安全中亟待解決的關鍵問題。網絡安全的含義是保證整個網絡系統中的硬件、軟件和數據信息受到有效保護,不會因為網絡意外故障的發生,或者人為惡意攻擊,病毒入侵而受到破壞,導致重要信息的泄露和丟失,甚至造成整個網絡系統的癱瘓。
網絡安全的本質就是網絡中信息傳輸、共享、使用的安全,網絡安全研究領域包括網絡上信息的完整性、可用性、保密性和真實性等一系列技術理論。而網絡安全是集合了互聯網技術、計算機科學技術、通信技術、信息安全管理技術、密碼學、數理學等多種技術于一體的綜合性學科。
2 網絡安全技術介紹
2.1 安全威脅和防護措施
網絡安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略、機制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種,而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網絡中的數據信息進行監聽、竊聽等,而不對這些數據進行篡改,主動安全威脅則是對網絡中的數據信息進行故意篡改等行為。
2.2 網絡安全管理技術
目前,網絡安全管理技術越來越受到人們的重視,而網絡安全管理系統也逐漸地應用到企事業單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統建設的規模不斷發展和擴大,網絡安全防范技術也得到了迅猛發展,同時出現了若干問題,例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題、網絡安全預警響應問題,以及網絡中大量數據的安全存儲和使用問題等等。
網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分,從信息安全管理的方向來看,網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問、系統認證、數據傳輸安全和外界攻擊保護等等。
在實際應用中,網絡安全管理并不僅僅是一個軟件系統,它涵蓋了多種內容,包括網絡安全策略管理、網絡設備安全管理、網絡安全風險監控等多個方面。
2.3 防火墻技術
互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入,是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統,目的是為了保證整個網絡系統不受到任何侵犯。
防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業不同網絡之間,或者多個局域網之間進行數據信息交換的出入接口。防火墻是保證網絡信息安全、提供安全服務的基礎設施,它不僅是一個限制器,更是一個分離器和分析器,能夠有效控制企業內部網絡與外部網絡之間的數據信息交換,從而保證整個網絡系統的安全。
將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全,很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務,更容易受到網絡的攻擊和竊聽。目前,互聯網中較為常用的協議就是TCP/IP協議,而TCP/IP的制定并沒有考慮到安全因素,防火墻的設置從很大程度上解決了子網系統的安全問題。
2.4 入侵檢測技術
入侵檢測是一種增強系統安全的有效方法。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。通過對系統中用戶行為或系統行為的可疑程度進行評估,并根據評價結果來判斷行為的正常性,從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為:異常檢測、行為檢測、分布式免疫檢測等。
3 企業網絡安全管理系統架構設計
3.1 系統設計目標
該文的企業網絡安全管理系統的設計目的是需要克服原有網絡安全技術的不足,提出一種通用的、可擴展的、模塊化的網絡安全管理系統,以多層網絡架構的安全防護方式,將身份認證、入侵檢測、訪問控制等一系列網絡安全防護技術應用到網絡系統之中,使得這些網絡安全防護技術能夠相互彌補、彼此配合,在統一的控制策略下對網絡系統進行檢測和監控,從而形成一個分布式網絡安全防護體系,從而有效提高網絡安全管理系統的功能性、實用性和開放性。
3.2 系統原理框圖
該文設計了一種通用的企業網絡安全管理系統,該系統的原理圖如圖1所示。
3.2.1 系統總體架構
網絡安全管理中心作為整個企業網絡安全管理系統的核心部分,能夠在同一時間與多個網絡安全終端連接,并通過其對多個網絡設備進行管理,還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件,以及在網絡中發生響應命令等功能。
網絡安全是以分布式的方式,布置在受保護和監控的企業網絡中,網絡安全是提供網絡安全事件采集,以及網絡安全設備管理等服務的,并且與網絡安全管理中心相互連接。
網絡設備管理包括了對企業整個網絡系統中的各種網絡基礎設備、設施的管理。
網絡安全管理專業人員能夠通過終端管理設備,對企業網絡安全管理系統進行有效的安全管理。
3.2.2 系統網絡安全管理中心組件功能
系統網絡安全管理中心核心功能組件:包括了網絡安全事件采集組件、網絡安全事件查詢組件、網絡探測器管理組件和網絡管理策略生成組件。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加、刪除的功能,它是到系統探測器模塊數據庫中進行選擇,找出與功能相互匹配的模塊,將它們添加到網絡安全探測器上。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中。網絡安全事件查詢組件是為企業網絡安全專業管理人員提供對網絡安全數據庫進行一系列操作的主要結構。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢,并將管理策略發送給網絡安全。
系統網絡安全管理中心數據庫模塊組件:包括了網絡安全事件數據庫、網絡探測器模塊數據庫,以及網絡響應策略數據庫。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的,它主要是對安裝在網絡探測器上的功能模塊進行存儲。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統計,主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略,并且對各種策略進行存儲。
3.3 系統架構特點
3.3.1 統一管理,分布部署
該文設計的企業網絡安全管理系統是采用網絡安全管理中心對系統進行部署和管理,并且根據網絡管理人員提出的需求,將網絡安全分布地布置在整個網絡系統之中,然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上,網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理。
3.3.2 模塊化開發方式
本系統的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式,如果需要在企業網絡管理系統中增加新的網絡設備或管理策略時,只需要對相應的新模塊和響應策略進行開發實現,最后將其加載到網絡安全中,而不必對網絡安全管理中心、網絡安全進行系統升級和更新。
3.3.3 分布式多級應用
對于機構比較復雜的網絡系統,可使用多管理器連接,保證全局網絡的安全。在這種應用中,上一級管理要對下一級的安全狀況進行實時監控,并對下一級的安全事件在所轄范圍內進行及時全局預警處理,同時向上一級管理中心進行匯報。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監視和防范。
4 結論
隨著網絡技術的飛速發展,互聯網中存儲了大量的保密信息數據,這些數據在網絡中進行傳輸和使用,隨著網絡安全技術的不斷更新和發展,新型的網絡安全設備也大量出現,由此,企業對于網絡安全的要求也逐步提升,因此,該文設計的企業網絡安全管理系統具有重要的現實意義和實用價值。
參考文獻:
篇8
關鍵詞:計算機網絡;安全管理;防火墻;數據加密
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2013) 20-0000-01
一、引言
隨著計算機網絡規模的高速發展,分布式網絡系統的應用也越來越廣泛,人們日常生活對網絡的依附程度越來越大。網絡安全的管理也越來越引起眾多工程師和研究學者的關注,因為也正是由于網絡應用大規模增加這一特點,網絡受攻擊的可能性也隨之提高。在這種情況下,計算機網絡安全預防就成為應用系統不可缺少的一個部分,而且要引起整個社會的重視,以提高計算機應用系統的安全保護。
二、網絡安全管理面臨的威脅
目前,網絡安全管理是網絡研究者的一項重要課題,通常是指網絡通信的安全,傳輸數據的安全兩部分組成。今天,計算機網絡安全面臨的安全威脅分為網絡設備遭受的威脅和網絡傳輸的信息遭受的威脅。影響計算機網絡安全的原因有很多,有意的人為因素比如“黑客”對網絡系統的攻擊,無意的比如系統內部的合法用戶對系統資源的非法使用。總之,網絡安全面臨的威脅概括為以下幾個方面。
(一)人為因素
人為因素包括網絡管理人員配置安全措施造成系統的安全漏洞,使用者安全意識薄弱等都會造成對網絡安全的威脅;另外是“黑客”攻擊計算機網絡,這種威脅又包括主動攻擊和被動攻擊,主動攻擊是指憑借各種力量有選擇地破壞網絡數據的有效性和完整性,被動攻擊是指在不影響網絡正常工作的情況下,對用戶的信息進行截獲、竊取和破譯,以從中牟利。
(二)軟件漏洞
現如今,網絡上使用的應用軟件或者是系統軟件總是存在各種各樣的技術漏洞,并不是非常完美和安全。這些漏洞正是“黑客”等利用各種技術進行攻擊的薄弱部位。
(三)病毒威脅
計算機病毒始終是對計算機系統安全的一個無法根除的威脅,破壞操作系統和應用軟件。尤其是在網絡環境下,傳播速度快,輻射范圍廣,更加難以徹底根除,一旦病毒侵入計算機網絡系統,就會導致網絡利用率大幅下降,系統資源遭到嚴重破壞,也可能造成網絡系統整個癱瘓。
三、計算機網絡安全管理技術
網絡安全管理涉及網絡操作系統、數據庫系統和應用系統,它們的安全管理是非常關鍵的。操作系統的安全通過口令、加密等措施實現安全訪問;數據庫系統是網絡系統安全防范的核心,網絡中傳輸的數據大部分都存貯在數據庫中,數據庫管理系統的安全級別要與網絡操作系統的相對應,可以動態的為用戶授權,對數據庫進行加密。網絡應用系統各異,對安全的程度不是完全一樣,應該具體系統具體分析,設計相應的安全機制,從而達到系統安全的要求。
(一)防火墻技術
防火墻在網絡或網絡安全地帶之間建立了一道安全屏障,在網絡邊界建立起來的相應網絡通信監控系統來隔離內部和外部網絡,阻擋外部網絡的非法侵入,通常使用分組過濾、應用網關、服務器等安全控制手段實現其安全防護功能。但是防火墻有一個缺點,那就是不能很有效的控制網絡內部的非法訪問和病毒感染程序或文件的傳輸。
(二)實時網絡監測技術
網絡管理員或者網絡總監可以通過實時的網絡監控軟件為合法的網絡用戶預先設置訪問權限,并對網絡實施實時監控,阻止非法的網絡訪問。這些實時網絡監測技術可以使用報警信號及時的通知網絡管理員,有非法訪問侵入網絡。網絡服務器可以自動阻止進入網絡的訪問者并記錄其訪問的次數,超過一定的閾值那么非法訪問者將被自動鎖定。
(三)計算機殺毒軟件
病毒對計算機以及網絡系統安全的影響是災難性的,網絡中應配置有效的殺毒軟件和防毒策略,阻止病毒在系統或者是網絡上傳播,定時進行掃描,以便病毒在進入局域網之前就被查殺,保證整個網絡的安全。
(四)網絡傳輸數據加密
數據加密是網絡傳輸數據最基本的安全保障之一,防止數據被篡改盜用等。目前網絡傳輸數據使用的加密技術包括密鑰共享加密、公開密鑰機密和不可逆加密等技術。密鑰共享加密要求數據收發雙方必須擁有同一密鑰,密鑰管理成為系統安全的重要因素。公開密鑰加密要求收信方和發信方使用相同的密鑰,公開密鑰加密的性能不好,應用范圍局限。實際應用中,通常將公開密鑰加密和共享密鑰加密結合使用。不可逆加密系統不需要密鑰加密,加密的數據無法還原,只有輸入與原文相同的數據,才能得到相同的密文,適用于傳輸數據量非常小的情況。
四、結束語
計算機網絡安全管理是有機的、動態的,不能單一的使用某一種網絡安全措施就完全能避免網絡故障或者網絡陷阱,必須使用多種技術,全方位多層次得結合,建立一個有機的網絡安全保障體系,才能夠保證網絡傳輸數據的真是可靠、滿足實時需求,同時,對于計算機網絡安全管理來講,必須制定一個好的安全管理制度,培訓網絡操作員以及相關使用人員,扎實做好人事安全管理,加強計算機網絡使用人員的操作素養。一個健全規范的制度是確保網絡安全運行基石。
參考文獻:
[1]王禮贊.網絡安全管理監控[J].電腦知識與技術,2009(05).
[2]韓銳生,趙彬,徐開勇.基于策略的一體化網絡安全管理系統[J].計算機工程,2009(08).
篇9
關鍵詞:高校網絡;運維管理;網絡安全;探討
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1006-8937(2016)03-0067-02
高校網絡建設對我國的教育工作有積極的意義,能極大的推動教育現代和信息化建設。所以,現階段已經成為高校建設工作中的重要環節。現代高校的各個工作環節,如行政、教學和科研等工作,也越來越離不開校園網絡了。然而,在校園網用戶快速增長的情況下,對整個校園網絡的管理、維護和高效運行等也提出了更高的要求。因此,有關高校網絡的建設、管理和維護工作也愈發的受到人們的重視。
1 高效網絡存在的問題
1.1 高校網絡的特點
高校網絡建設的特點主要集中在以下兩個方面:
第一,現代高校因為在校學生的規模越來越大,而且更多的是采用信息化教學的方式開展教學工作,這勢必要求校園網絡增加更多的終端節點來滿足越來越大的用戶需求,而在此基礎上,就必須要增強網絡數據的傳輸能力。因此,對于高校網絡最基本一大要求就是能夠高效運行[1]。
第二,基于高效運行校園網絡的前提,應該合理提高管理維護的力度,從而為網絡運行的高效穩定和安全提供可靠保障,讓整個網絡系統更加理想的運轉起來。因為目前高校的上網計費是學生實名認證,所以,在大規模的學生用戶群情況下,要想更好地滿足網絡的需求,并使其更加安全與穩定就成為目前亟待解決的問題。由此看來,對高校網絡建設的要求除了運行的穩定高效以及安全可靠以外,還要求針對校園網絡的建設和管理制度更加完善有效。
1.2 高校網絡發展現狀
①缺乏網絡安全意識,校園網絡管理機制不完善。網絡安全的問題出現最主要的原因就是管理制度的不完善以及管理工作人員的安全意識比較薄弱。大多數的網絡管理工作人員在日常工作中,對網絡系統安全監測以及病毒防治工作嚴重忽視,并且疏于對網絡設備定期進行維護工作,從而導致整個網絡系統出現安全隱患,容易受到病毒的感染或者黑客攻擊[2]。由于大部分高校網絡用戶都不是專業人員,他們并不具備專業的計算機知識,對于網絡信息安全的防范意識、虛假信息鑒別能力和威脅處理能力都相對較弱,所以導致網絡安全隱患嚴重。在高校網絡管理制度不完善的情況下,一旦發生網絡安全問題,網絡系統不能第一時間做出應對以及防范處理,將會導致嚴重的后果。
②技術水平存在差距和不足。由于高校網絡的用戶數量多,因此網絡信息節點就比較多,環境也相對比較復雜,存在多種多樣的局域網內部Web應用程序,同時需要明確區分學生宿舍網絡和教學辦公區網絡,因此網絡拓撲結構在設計的過程中應站在整體的角度上進行規劃。大部分的高校在校園網絡初期建設的時候會受到技術與資金的限制,所以僅在校園網內外部的互聯網間加設防火墻,有的還會直接與互聯網相連,不能及時采取路由策略、監控流量措施以及其他相關安全措施。隨著高校信息化建設進程的不斷深化,這樣的安全狀況無疑是將校園內部網絡暴露于整個互聯網的大環境中,其中存在的巨大安全隱患是不言而喻的。此外就是,技術水平的不足會降低大量網絡使用者的上網體驗度,無形中也會增加接入用戶管理的工作難度。
③單一的網路出口鏈路。就目前來說,讓國內主要就是包括以下種網絡運營商,電信、移動、聯通,但是,實際上并不能及時解決三者互相聯通的問題。高校在校園網建設初期,網絡運行商的數量僅有一家,所以,對于網絡用戶來講,很容易出現互聯網資源無法訪問的情況。更嚴重的就是,只要網絡的出口鏈路出現了物理性的損壞,就會導致高校全部的網絡用戶無法訪問互聯網[3]。
2 高校網絡運維管理策略
2.1 建立健全完善的校園網絡管理機制
針對校園網絡的運行和維護,校方一方面需要建設完善的校園網管理機制,另一方面應該設立專門負責網絡管理的部門直接進行管理,建立一整套運行、管理以及反饋機制,將責任落到實處。此外,制定機房管理制度和科學合理網絡管理制度,保障日常的網絡維護整體質量,詳細分析安全系統日志,定期檢查和分析,如果發生安全事故,及時進行處理上報[4]。此外,還需要做好對高校網絡用戶的安全意識教育和培養,引導用戶養成良好的上網習慣,提高用戶的安全防范意識,這樣也可以極大的較少校園網絡的安全隱患。
2.2 依據相關技術手段,增加網絡利用率
①從整體上規劃網絡結構。應根據高校整體的結構來對網絡結構進行規劃,分成兩個功能區域,即教學行政區域和學生生活區域,進而對上述兩區域進行細化。在各樓棟間應劃分VLAN隔離,這樣就需要利用匯聚交換機與中心機房相連,并且應在中心機房中合理設置認證用戶身份、流量控制、上網行為的管理、防火墻等相關系統,而后合理連接出口網設備以及互聯網[5]。
②控制流量以及負載均衡。流量控制與負載均衡最重要實際上是確保應用寬帶,并建立網絡通道,在符合學校購買運營商寬帶基本規范的基礎上,對網絡相配合時間段進行合理設置,在相應網絡通道中合理的規劃和設計控制流量的方式。從整體來看,應合理控制P2P、視頻等高帶寬應用,而對于單個用戶,則需要對最大寬帶進行限制,同時根據網絡的上下行來分別限制,控制網絡會話數,避免形成網絡異常現象[6]。應實現網絡用戶計費認證在接入層交換機中的處理,有效地提高認證的效率,并且能夠使各建筑匯聚層的交換機負擔減少,進而對接入的網絡用戶更有效地控制,并為其認證計費提供有力的保障。
③引入多家網絡運營商,采用策略路由。要更好地增加網路鏈路質量以和抗風險能力,此時需要合理引進多家網絡運營商。規劃網絡的過程中,保證能夠合理分配各運營商線路寬帶。通過適當應用策略路由技術以及智能DNS技術,可以在一定程度上訪問高效外部網絡中,線路智能切換,并且還可以智能識別高校內部用戶向互聯網訪問,從而增加訪問的速度,阻止運營商間出現互聯。此外,如果某運營商的線路出現了物理性損壞,應該及時啟動備用網絡線路,這樣就能夠使高校和外部互聯始終保持連接狀態。
3 結 語
綜上所述,在教育信息化建設不斷深入的背景下,校園網的網絡也會逐漸被高校的日常教學、科研以及管理工作廣泛應用,并且成為其重要的基礎設施。
而要建立完善有效的高校網絡安全系統,網絡運維管理擁有一定效果,就要全面認識到網絡自身存在的脆弱性特點以及其中潛在的安全隱患。積極制定出高校信息系統的安全管理制度并貫徹落實,同時有機集合身份認真技術、管理上網行為、控制流量等有關技術,確保建設高校網絡的時候,可以為信息化提供更好的服務,以便于完全展示自身價值。
參考文獻:
[1] 周健飛.高校網絡運維管理與安全討論[J].企業技術開發(下半月),
2014,(7).
[2] 郭智泉.高校網絡運維管理平臺建設探討[J].信息安全與技術,2013,
(9).
[3] 王宇,溫占考,吳煒鑫,等.高校網站運維隊伍建設之道[J].中國教育網 絡,2015,(7).
[4] 楊坤.高校網絡安全管理體系研究[D].大連:大連海事大學,2010.
篇10
以Internet、云計算、物聯網為代表的信息化浪潮一次次席卷全球,信息技術的應用不斷深入,逐漸覆蓋到日常生產、生活的方方面面。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了越來越高的要求。如何保障信息網絡系統安全已成為政府機構、企事業單位信息化健康發展所必需考慮和解決的重要問題。企業園區網絡作為企業的神經中樞,它的安全穩定運行對于整個企業的日常生產與信息安全都具有重要的意義。
作為企業園區網絡的網絡管理員,我們必須了解園區網絡面臨的多方面的安全威脅,從而制定相應的管理措施,以保障網絡的安全與穩定。
1 園區安全風險分析
1.1 內部局域網的安全威脅
在已知的網絡維護安全事件中,約70%的攻擊是來自局域網。首先,局域網中用戶之間經常通過網絡共享資源,給病毒的傳播提供了便捷;其次,內部管理人員有意或者無意泄漏系統管理員的用戶名、口令、內部網的網絡結構以及其他一些重要信息等,這有可能加大網絡安全事件造成的損失。另外,由于局域網內的用戶主機、服務器等直接或者間接連接到同一臺網絡設備上,局域網的高帶寬也在加快病毒的傳播速度的同時,加劇病毒對網絡的影響程度。
1.2 廣域網、用戶遷移的安全威脅
其他區域網絡感染的病毒有可能通過廣域網傳播到本地區域網,也可能隨著用戶出差、變換工作地點、同一臺機器在不同的網絡環境中使用等原因將病毒帶入本地區域網。
1.3 電子郵件應用安全威脅
電子郵件是最為廣泛的網絡應用之一。局域網用戶除了使用企業內部郵箱收發系統內辦公郵件以外,也會接受一些來自Internet的不明郵件,這給入侵者提供機會,給系統帶來了不安全因素。
1.4 來自Internet的安全威脅
來自Internet的安全威脅非常多,園區網絡一般只會開啟互聯網的網頁瀏覽功能,但網頁瀏覽也是網絡系統被入侵的一個不安全因素,這也是園區網絡最主要的病毒來源之一。瀏覽網頁、下載資料都可能帶來病毒程序或者木馬,還有利用假冒手段騙取你的關鍵信息等手段。
2網絡管理措施
2.1網絡拓撲設計
園區網絡的管理應從設計階段就加以考慮。關鍵節點雙機熱備、關鍵傳輸鏈路采用多條不同路由、設備互聯采用動態路由環狀連接等,這些冗余架構都能從很大程度上增強基礎網絡的穩定性。但我們也需要在網絡的復雜性和簡潔性上做好權衡,過于復雜的網絡結構反倒會給后期的運維管理埋下隱患。筆者在長期的網絡運維管理實踐中就遇到過不少這樣的問題。個別局域網系統設計考慮非常多,采用雙機熱備、多鏈路上聯等多種方式,VRRP、STP也都用上了,以期增強網絡的穩定性。結果在后期運維中,由于選用設備版本不夠穩定,經常出現莫名其妙的問題,反倒降低了整個系統的可用性。
2.2 網絡管理文檔的建立
網絡維護的絕大部分工作在于平時細致的管理和準備,需要對網絡的每一個細節做到了然于胸,當故障發生時,我們能夠迅速定位到故障點,以最快速度排除故障。為了做好網絡的管理,我們需要持續做好網絡管理文檔的完善工作。如:交換機端口信息表、ip和mac地址的對應表、網絡拓撲圖、故障處理報告等等,這些信息都會為我們應對突發網絡故障提供幫助。例如:經常在園區內泛濫的ARP病毒,由于其影響范圍廣、難以查殺而讓網管人員頗為頭疼。如果我們有ip和mac地址對應表,就能夠非常快的定位病毒源,以最快速度處理掉故障。
2.3 網絡的日常檢查及性能分析
我們需要經常對核心網絡、應用服務器進行細致的檢查,分析性能,察看日志,發現可疑情況及時處理。這種工作雖然枯燥但卻很重要。每天的重復勞動不一定總能發現異常,但這是我們發現問題,對故障進行預判的依據。例如:一次日常檢查我們發現某主干交換機CPU、內存使用率偏高,通過進一步分析日志發現某接口錯誤。經過細致排查,我們發現接口光纖質量不好導致接口報錯,更換光纖后故障排除,避免了問題的進一步升級。
2.4 系統及時升級、補丁、病毒定義及時更新
網絡設備、服務器的軟件系統需要及時升級,服務器、客戶端也要及時打補丁、更新病毒定義,這是我們防患于未然的必要措施。目前國內客戶端使用微軟的用戶比較多,那WSUS就非常重要。防病毒服務器也必須統一部署,能夠使病毒定義統一更新,避免網內有安全短板。
2.5 網絡管理系統、日志系統、網管工具的使用
通過使用網絡管理系統,可以實現設備的輪詢、故障的報警等功能。通過一些閥值的設定,系統可以第一時間將故障預警信息通過郵件或者短信發送給系統管理員或者網管中心,能夠幫助我們實現對故障的預判。并且,網絡管理系統圖形化、自動化的管理方式,也將大大提高我們網絡管理的效率。
日志系統也非常重要,通過對日志系統記錄的設備運行狀態進行分析,能夠幫助我們發現系統存在的問題,為排錯、優化系統提供依據。
各種網管工具更是我們做網絡管理的必要的幫手,比如抓包軟件、可視光源、測線工具、標簽機、螺絲刀等等,所以網管人員往往都是背著背包的,應手的家伙一個也不能少。
2.6 做好設備、線纜標識工作
好記性不如爛筆頭,一個人做過的事也很容易就忘掉,更何況網絡管理團隊中有好多人,很多時候一件事往往追溯不到源頭。所以標識、記錄工作非常重要。如果標識工作不到位,很容易會發生設備、線纜用途無人知曉,誰都不敢動的情況。
2.7對用戶的培訓
很多網絡故障是由人為因素造成的,比如碰掉設備的電源、辦公室HUB出現環接等等,通過適當的時機對用戶進行網絡知識的教育,能夠有效地避免類似網絡故障的發生,給網絡管理工作降低工作量和難度。
2.8其他
機房環境設施的運維管理,也是對網絡的安全與運維管理產生重要影響的一個方面。除此之外,如果有互聯網出口的,還需要部署防火墻、上網行為管理設備等,既要做好安全防護,又要做到有跡可查。
