網絡安全應急服務范文

時間:2023-09-13 17:18:12

導語:如何才能寫好一篇網絡安全應急服務,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

網絡安全應急服務

篇1

    隨著互聯網的不斷發展,電子商務正在越來越多地受到人們的青睞,而在為人們帶來無限商機的同時,也使世界各地面臨著一個共同的障礙——電子商務網絡支付的安全問題。

    為了提高網上交易的安全,便出現了CA認證中心。CA雖然不直接參加買賣雙方的交易,但由于它是買賣雙方共同信任的機構,在交易中起著不可替代的作用,成為整個電子商務中最為關鍵的組成部分。

    一、CA認證的概念

    CA是Certificate Authority的縮寫,是證書授權的意思,是負責簽發認證、簽發、管理證書的機關,是合法的、中立的、權威的、公正的第三方電子認證中心。它所承擔的角色類似于網絡上的“公安局”,給個人、企事業單位和政府機構簽發數字證書——網上身份證,用來確認電子商務活動中各自的身份,并通過加/解密方法來實現網上安全的信息交換與安全交易。

    二、CA認證技術的作用

    在傳統商務活動中,交易雙方可以現場確認對方身份,由于有交易開具的發票和客戶支付的資金證明,無須擔心發生糾紛。但網上交易,買賣雙方無法現場確認對方的合法身份,一旦發生糾紛,必須要能夠提供仲裁憑證,CA 認證就起著重要的作用。

    (一)驗證交易雙方身份的真實性

    電子商務不是面對面的交易,交易對象的真實性很難辨析,因而驗證交易雙方身份的真實性顯得尤為重要。而借助于CA認證中心的口令、公開密鑰和電子簽名技術,經過一種能支持多種國際標準協議的證書服務系統認證后,取得的個人客戶端數字證書和服務器數字證書是交易用戶在互聯網上的電子身份證,它能有效鑒別特定用戶的登記情況、資信情況和經營情況,從而建立起交易當事人相互間的信任。

    (二)維護交易數據的保密性

    防止非法用戶進入系統及合法用戶對系統資源的非法使用。而借助CA認證機構簽發的數字認證證書,運用包含哈希函數加密法、私人密鑰加密法、公開密鑰加密法及數字信封技術等在內的一系列技術手段,對一些敏感的數據文件進行加密,使加密數據在發送過程中不會被第三方竊取,即便被他人獲取文件,內容也無法得到破譯,從而保證傳遞的交換數據的安全性。

    (三)保證交易信息的完整性

    防止在交易結束后,交易當事人出于某種目的而否認自己所做過的交易,從而給對方造成損失。信息的完整性辨析通過CA認證散列函數(Hash函數)的電子簽名技術和數字證書技術即可以實現。由于CA機構所簽發的數字證書只被證書上所標識的當事人唯一擁有,故利用其數字證書在傳送前對交易信息進行電子簽名,即能證明交易信息是最初信息發送人發送的,發送者無法否認發送過該交易信息或進行過該項交易活動。

    三、CA認證技術在電子商務安全支付中的應用

    CA認證中心為建立身份認證過程的權威性框架奠定了基礎,保證了信息的完整性、真實性和不可抵賴性。

    (一)CA認證技術保證網絡安全支付

    證書認證中心(CA中心)是公正的第三方,是保證電子商務安全的關鍵,CA中心對含有公鑰的證書進行數字簽名,使證書無法偽造,每個用戶可以獲得CA中心的公開密鑰(CA根證書),驗證任何一張數字證書的數字簽名,從而確定證書是否是CA中心簽發。

    1、身份認證技術

    目前在 Internet上主要使用基于公共密鑰的安全策略進行身份認證。具體而言,使用符合X.509的身份證明,必須有一個第三方的證明授權(CA)中心為客戶簽發身份證明,客戶和服務器各自從CA獲取證明。

    在實際的應用中,發送方先用自己的私鑰對信息進行加密,再發給對方。接收方接收到信息后,利用發送方的公開密鑰進行解密,如能還原出明文來,就可證明接收到的信息是經過發送方簽名了的。接收者和第三者不能偽造簽名的文件,因為只有發送方才知道自己的私鑰,這就符合簽名的惟一性、不可仿冒、不可否認三大特征和要求。

    2、信息加密

    只有身份認證技術是不夠的,如果其他人通過一些方式獲得了發送方發送的密文,他也可以利用發送方的公鑰進行解密,從而得到發送方的信息,這樣就不能保證信息的安全性和完整性了。因此,我們還需要利用CA認證技術來實現信息的加密過程。

    發送方在發送文件時,首先要用接收方的公鑰對信息進行加密,生成加密文件,然后用自己的私  鑰進行數字簽名,再將密文發送給接收方。接收方接受到密文后,先用發送方的公鑰對數字簽名進行解密,驗證對方身份,得到加密文件,再用自己的私鑰對加密文件進行解密,得到原文件。 (二)利用CA認證技術解決網絡安全支付問題的流程 目前,電子商務系統的安全體系結構主要是通過構建認證中心(CA)證書的信任過程來實現的

    。

    在電子商務應用中主要有以下五個交易參與方:買家、服務商、供貨商、銀行和認證中心(CA)。電子商務的交易流程主要有以下三個階段:

    第一階段:注冊申請認證中心(CA)證書。交易各方獲取各自的數字安全證書。

    第二階段:銀行的支付中心對買家的數字安全證書進行驗證后,將買家的所付款凍結在銀行中。買賣雙方相互通過數字安全證書的驗證后,履行交易內容進行發貨。

    第三階段:銀行驗證服務商和供貨商的數字安全證書后,將買家凍結在銀行中的貨款轉到服務商和供貨商的戶頭上,完成了此項電子交易。

    具體的實施步驟如圖3-1所示。

    四、CA認證技術的發展趨勢

    中國的CA認證體系的建設應以政府部門的名義建立國家級根CA,再通過橋CA鏈接金融CA,省級CA,和行業核心CA;再由這些核心CA鏈接各個子CA認證系統。在這種架構下,統一制定各級CA的管理標準,允許民間資本介入,組建行業協會,建立現代企業制度,完善行業內的準入制度及市場競爭體系等一系列措施。根據推斷,中國的CA認證中心主要應有以下幾種發展趨勢。   (一)國際化趨勢

    隨著電子商務的深入發展,中國經濟與世界經濟的聯系將越來越緊密,為滿足電子商務的國際化需求,必然要求國內的CA中心與國際性的CA公司接軌。在證書結構、申請流程、認證方式、使用流程上都應該提出全球性的統一標準,方便各國之間進行交叉認證以及使用證書。

    (二)商業化趨勢

    網絡并不是一個可信的交易環境,人與人之間不能建立信任,同樣政府也不能出面證明,所以CA認證既不同于管理,也不同于法律,而更接近于一種契約,顯然這種契約形式的關系更適應于商業化運作。而且可以預計,目前具有濃厚政府色彩的CA中心也將逐步從政府中剝離出來,采取商業化運作。

    (三)集中化趨勢

    現在已經建設的多個CA中心幾乎都有明顯的局部特征和探索性質,規模較小而且簡單重復,難以滿足社會化服務的要求。由于CA中心自身的權威性,必然需要運作規范,技術、資金實力雄厚,并能適應國際化趨勢的大型CA中心來為社會服務。在行業,地區以及第三方獨立運營的幾個方面的CA認證中心,在未來的發展過程中,應該是不斷地進行橫向或豎向地合并,實現集中化管理。

    (四)綜合化趨勢

    隨著各行各業信息化的發展,在人們周邊的各種生活用品都會被信息化所覆蓋。以后的CA認證完全可以做到電子身份證里。人們只要帶上自己的電子身份證,就可以隨時隨地地享受電子商務帶來的便捷。另外,電子借書證,電子社會保障卡都完全可以統一起來,以CA認證為基礎,使人們真正生活在一個信息化的高效社會里。

    五、結束語

    CA認證技術是網絡安全支付的關鍵,隨著CA認證技術的不斷發展,數字證書之間的信任模型、使用的加/解密算法、密鑰管理的方案等也在不斷的變化。網絡,特別是Internet網絡的安全應用己經離不開CA認證技術的支持。中國作為一個網絡發展大國,發展自己的CA認證技術是很有必要而且是非常迫切的。因此,研究和開發我國自主的、完整的CA認證系統,以支持政府、銀行和企業安全地使用信息資源和國家信息基礎設施已是刻不容緩。

    參考文獻:

    [1]楊堅爭.電子商務基礎與應用.第4版.西安:西安電子科技大學出版社,2004.

    [2]夏露.電子商務與CA認證.黑龍江社會科學,2004年,第6期.

篇2

網絡武器民用化

將導致勒索成為最流行模式

齊向東在演講中稱,網絡戰“不費一槍一炮”,就能達到傳統戰爭破壞政府、經濟、社會正常秩序的系列目的,勒索病毒攻擊就是這種形式。

在剛剛過去的6月底,勒索病毒變種Petya卷土重來,距Wannacry事件僅過去了一個多月。齊向東總結說,經過對比分析,勒索病毒變種有傳播速度更快、破壞性更強以及目的性更復雜的趨勢。

傳播速度上,新病毒變種的傳播速度達到了每10分鐘感染5000余臺電腦;破壞性上,大量基礎設施遭到攻擊,危害性極大;目的性上,“黑客”不再單純地以盈利為目的,而是為了搞破壞,而帶有國家背景的攻擊極有可能隱藏在黑產面具的背后。

齊向東認為,以“永恒之藍”勒索病毒為標志,網絡攻擊已經從過去的“弱感知”變成了“強感知”,大部分人從“圍觀者”被迫成為了“受害者”。同時,“網絡武器民用化”的趨勢將導致勒索成為未來最流行的模式。

“以前網絡攻擊的目的是破壞,但在大數據時代,用網絡漏洞進行勒索不僅能快速地破壞企業和機構的基礎設施,還能實現盈利?!饼R向東說。安全行業將演變為

人才密集型的服務行業

面對越來越復雜的網絡攻擊,傳統的安全防護思路和技術已經失效,建設全新的網絡安全體系迫在眉睫。

齊向東表示,在建設全新的網絡安全體系時,人的作用會越來越大,安全行業將演變為人才密集型的服務行業。原來用硬件設備和軟件構成的、以防護為主的安全體系已經不適用了,取而代之的將是防護系統與安全人員應急處置相結合的新體系。

除了強調人的作用,齊向東認為,網絡安全態勢感知與應急響應是網絡安全系統的核心。勒索病毒事件充分證明,安全應急響應的速度和質量,對保障網絡安全至關重要,而態勢感知系統能夠自動感知預警,為應急響應提供保證。

此外,終端、網絡、服務器三方聯動的防護體系是應急響應結果的關鍵。齊向東說,360對100余家機構抽樣統計表明,即便是大型的機構,建設了終端管控體系,也存在明顯的安全死角,導致應急措施無法有效執行。如果能組成三方聯動的防護體系最好,如果不能,至少三條線分別能自動響應,比如在云端“一鍵執行”統一安全策略,這能為響應贏得寶貴時間。

我國網絡安全建設的投入

與美國相差15倍

齊向東認為,一直以來,我國在網絡建設上存在著重業務應用、輕網絡安全的現象。目前,我網絡安全建設的投入與美國相差15倍,應盡快補齊。

“我國網絡安全投資占整體信息化建設經費的比例不足1%,與美國的15%、歐洲的10%相比存在巨大差距?!饼R向東說。

篇3

一、學校網絡與信息安全工作情況

本次檢查內容主要包含網絡與信息系統安全的管理機構、規章制度、設施設備、網站和信息運行情況、人技防護、隊伍建設等5個方面,同時從物理安全差距、網絡安全差距、主機安全差距、應用安全差距、數據安全及恢復差距等5個方面對主機房和14個信息系統、1個網站進行等級保護安全技術差距分析,通過差距分析,明確各層次安全域相應等級的安全差距,為下一步安全技術解決方案設計和安全管理建設提供依據。

從檢查情況看,我校網絡與信息安全總體運維情況良好,未出現任何一起重大網絡安全與信息安全事件(事故)。近幾年,學校領導重視學校網絡信息安全工作,始終把網絡信息安全作為信息化工作的重點內容;網絡信息安全工作機構健全、責任明確,日常管理維護工作比較規范;管理制度較為完善,技術防護措施得當,信息安全風險得到有效降低;比較重視信息系統(網站)系統管理員和網絡安全技術人員培訓,應急預案與應急處置技術隊伍有落實;加強對學生網絡宣傳引導教育,日常重視微信、微博、QQ群的管理,提倡爭當“綠色網民”;工作經費有一定保障,網絡安全工作經費納入年度預算,在最近一年學校信息化經費投入中,網絡建設與設備購置費用約占56、5%,數字資源與平臺開發費用約占40、6%,培訓費用約占0、6%,運行與維護費用約占1、04%,研究及其他費用約占1、23%,總計投入占學校同期教育總經費支出的比例約1、57%,基本保證了校園網信息系統(網站)持續安全穩定運行。

1、網絡信息安全組織管理

20xx年學校成立網絡與信息安全工作領導小組,校主要領導擔任組長,網絡與信息安全工作辦公室設在黨委工作部,領導小組全面負責學校網絡信息安全工作,教育技術與信息中心作為校園網運維部門承擔信息系統安全技術防護與技術保障工作,對全校網絡信息安全工作進行安全管理和監督責任。各部門承擔本單位信息系統和網站信息內容的直接安全責任。20xx年,由于人動,及時調整網絡安全和信息安全領導小組成員名單,依照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,明確各部門負責人為部門網站的具體負責人,建立學校網絡信息員隊伍,同時,還組建網絡文明志愿者隊伍,對網絡出現的熱點問題,及時跟蹤、跟帖、匯報。

2、信息系統(含網站)日常安全管理

學校建有“校園網絡系統安全管理(暫行)條例”、“學生上網管理辦法“、“校園網絡安全保密管理條例(試行)”、“校園網管理制度”、“網絡與信息安全處理預案”、“網上信息監控制度”等系列規章制度。各系統(網站)使用單位基本能按要求,落實責任人,較好地履行網站信息上傳審簽制度、信息系統數據保密與防篡改制度。日常監控對象包括主要網絡設備、安全設備、應用服務器等,其中網絡中的邊界防火墻、網絡核心交換機和路由器、學校站服務器均納入重點監控。日常維護操作較規范,多數單位做到了杜絕弱口令并定期更改,嚴密防護個人電腦,定期備份數據,定期查看安全日志等,隨時掌握系統(網站)狀態,保證正常運行。

3、信息系統(網站)技術防護

學校網絡信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件,20xx年為加強校園網絡安全管理,購置了“網頁防篡改、教師行為管理、負載均衡”等相關安全設備,20xx年二月中旬完成校園信息系統(含網站)等級保護的定級和備案,并上報xxx市網安支隊。同時,按二級等保要求,約投資110萬元,完成“網絡入侵防御系統、網絡安全審計系統、運維審計-堡壘機系統、服務及測評及機房改造(物理安全)”等網絡安全設備的采購工作,目前,方案已經通過專家論證。

20xx年4月-6月及20xx年3月對網站系統進行安全測評,特別對系統層和應用層漏洞掃描,發現(教務管理系統、教學資源庫)出現漏洞,及時整改,并將結果上報省教育廳、省網安大隊、xxx市網安支隊。同時,對各防火墻軟件7個庫進行升級,對服務器操作系統存在的漏洞及時補丁和修復,做好網站的備份工作等。

4、網絡信息安全應急管理

20xx年學校制定了《xxx職業技術學校網絡與信息安全處理預案》、《xxx職業技術學校網絡安全和學生校內聚集事件應急處置預案》。教育技術與信息中心為應急技術支持單位,在重大節日及敏感時期,采用24小時值班制度,對網絡安全問題即知即改,確保網絡安全事件快速有效處置。

二、檢查發現的主要問題

對照《通知》中的具體檢查項目,我校在網絡與信息安全技術和安全管理建設上還存在一定的問題:

1、由于學校信息化建設尚處于起步階段,學院數據中心建設相對薄弱,未建成完善的數據中心共享體系,各應用系統的數據資源安全及災備均由相關使用部門獨自管理。同時,網絡安全保障平臺(校園網絡安全及信息安全等級保護)尚在建設中。

2、部分系統(網站)日常管理維護不夠規范,仍存在管理員弱口令、數據備份重視不夠、信息保密意識較差等問題;學校子網頁網管員為兼職,投入精力難以保證,而且未取得相應資格證書;由于經費問題,個別應用系統未能及時升級,容易發生安全事故。

3、目前尚未開展網絡安全預案演練,還未真正組建一支校內外聯合的網絡安全專家隊伍,未與社會企業簽訂應急支持協議和完成應急隊伍建設規劃。

三、整改措施

針對存在的問題,學校網絡與信息安全工作領導小組專門進行了研究部署。

1、全面開展信息系統等級保護工作。按照相關《通知》要求,20xx年8月底全面完成網絡安全保障平臺建設,根據系統在不同階段的需求、業務特性及應用重點,采用等級化與體系化相結合的安全體系設計方案,形成整體的等級化的安全保障體系,同時根據安全技術建設和安全管理建設,保障信息系統整體的安全。

2、完善網絡安全管理制度。根據等級保護要求,進行信息安全策略總綱設計、信息安全各項管理制度設計、信息安全技術規范設計等,保障信息系統整體安全。

篇4

關鍵詞:高校 校園網 網絡監控 安全管理制度

中圖分類號:G642 文獻標識碼:A 文章編號:1672-8882(2013)03-060-02

目前,高校校園網為廣大師生提供了非常便利的服務,但由于網絡的開放互聯和共享的特性, 使得我們在享受便利的同時又不可避免地需要承擔一定的風險。要加強高校網絡安全維護校園網安全穩定運行,就需要從管理機制的建設入手。

一、制定健全可行的網絡安全管理制度

1.機房安全管理

第一,出入機房制度。網絡中心機房是數據管理中心,非本區域工作人員不得擅自進入機房,外來人員只能在機房廊道進行參觀,未經允許禁止進入網絡機房。

第二,機房設備管理。所有人員未經允許不得擅自關閉UPS電源、市電開關與交換機設備。全部網絡設備都要接入UPS。相關管理員負責機房服務器的日常維護與管理,不得擅自操作職責范圍外的網絡設備。維護機房用電網絡設備時要帶防靜電手套。機房內的網絡設備要干凈整潔,電源線路與網絡線路要分開排線,各種網絡設備要實行標簽化管理。機房內所有設備要有管理日志。

第三,機房衛生管理。相關工作人員要保持機房的干凈、整潔,要做到防塵、防潮、防靜電,所有人員禁止在機房內吸煙。

第四,安全管理制度。網絡中心管理人員要時刻把安全放在第一位,牢固樹立安全第一的思想。保證機房的設備與人員的自身安全,防止任何危險的發生。機房要設立安全責任制度,設立組長、組員,各司其職,專人專崗,按照制度規范進行安全檢查。安全用電,按照操作程序操作各種用電設備,禁止超載,管理人員離開工作崗位時,應檢查好用電器的安全,重要崗位要全天候有人員在崗值班。愛護機器設備,不得隨意拆卸機器,未經批準,不得隨意挪動設備,不得將設備外借。機房走廊嚴禁擺放雜物,要保證逃生通道的暢通。定期對人員進行安全教育培訓,提高安全意識,采取定期與抽查的方式進行安全檢查,防止事故發生。

2. 入網管理制度

接入互聯網的單位與個人必須嚴格遵守國家相關規定,遵守《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》與《中華人民共和國計算機信息系統安全保護條例》,不得利用互聯網從事違法犯罪活動。任何組織與個人不得在網上危害國家與社會安全的信息,不得從事破壞網絡安全的活動。高校校園網要嚴格遵守《中國教育和科研計算機網暫行管理辦法》,遵守入網用戶守則,定期對本校網絡秩序進行安全檢查,發現違規行為要及時上報和改正。

3. 網絡維護制度

為了保證高校網絡的健康運行,要定期對網絡進行維護,主要包括:

第一,維護的方法。高校校園網要按照不同的部門進行維護。其中,網絡管理中心作為核心部門主要負責總服務器,核心網絡設備與傳輸線路的維護。機關、各院系分別設立網絡管理部門,安排專人進行本級的服務器、網絡終端維護。網絡管理中心對機關、院系進行必要的技術指導。

第二,設備的維護。網絡設備是校園網能否安全、平穩運行的關鍵,主要包括:大型機,路由器,交換機,機柜等等。這些設備主要有網絡中心負責維護保養,相關管理人員要定期檢查設備的運行情況,發現問題要及時排查,做好設備的備份,定期修改維護密碼,并記好維修日志。

第三,服務器的維護。服務器是網絡中心的關鍵設備,包含高校的重要信息數據。服務器由網絡中心總服務器與各院系單位的二級服務器構成。網絡中心人員要每日檢查服務器的運行情況,各院系單位也要定期檢查服務器的運行狀況,網絡中心管理人員要不定時檢查指導下屬二級服務器的運行情況,做到及時排查,及時備份,使校園網路安全運行[40]。

此外,服務器只能安裝規定的系統軟件,嚴禁私自安裝其它任何軟件程序,嚴禁重要服務器連接網絡。

第四,網絡線路與終端設備的維護。網絡線路負責數據的傳輸,是高校網絡安全構建的基礎,未經管理部門同意,嚴禁更改線路。如線路發生問題,則上報本級網絡管理人員或網絡中心管理人員。相關人員應及時查找問題,排查故障。如果網絡終端設備發生故障,則按照相關責任人進行檢修或者更換。

4. 值班制度

網絡中心與各二級網絡本門要制定科學合理的值班制度,安排專人值班。各級值班人員要遵守值班守則,堅守崗位各盡其職,遇到網絡安全問題要逐級上報,盡力排查,并記錄好沒每日的值班日志。

5. 管理員職責

網絡中心管理員負責高校校園網的整體管理維護工作,并為二級網絡部門提供必要的技術支持。網絡中心管理員負責網絡中心服務器和設備的維護保養。二級網絡單位管理員負責本部門的網絡安全穩定運行。各級管理人員應不斷加強自身的業務素質,不斷學習新的網絡管理技術,確保各級網絡設備都能安全平穩的運行。

6. 違規處罰管理辦法

為了使校園網健康穩定的運行,制止一切利用網絡的違法犯罪活動,保護網名的正當合法利益,特制定以下的違規處理辦法:

當違規行為較輕時,應通報違規人的單位,并令其做出書面檢查,暫時停止其校園網的登錄權限兩周以上。當違規行為嚴重時,對違規人給予行政處分,取消其校園網賬號,危害嚴重者追究其法律責任。如違規造成經濟損失的,依法進行賠償。

二、建立校園網絡安全突發事件管理機制

對待突發事件的處置辦法可從以下幾方面入手。

第一,處置方法。對待網絡突發事件的處置分為事故發生前和發生后兩種不同的情況:

(a)事故發生前。網絡中心與各級主管部門要制定網絡突發事件應急辦法,建設事故管理系統,進行事故評估,制定緊急事故通道,確保一旦發生事故,網絡備用通道的暢通。平時還應加強處置突發事件演練,在真正的事故中做到有條不紊,把損失降到最小。

(b)事故發生后。發生網絡安全事故時應立即采用突發事件應急措施,上報主管部門,采取最合理科學的處理方法,及時排查事故,確保網絡在最短的時間恢復運行。

第二,處置步驟。

(a)及時發現事故。各級網絡部門要遵守各項規定,以確保在最早的時間發現突發網絡事件。

(b)啟動應急預案。當網絡突發事件發生時藥劑師啟動應急措施,按照預案進行緊急處理。

(c)應急處置措施。網絡突發事件可分為自然災害與人為破壞兩種情況,這兩種情況的處理方式也有不同。

當網絡事故為自然災害引起時,應根據實際,先保障信息的安全,而后在保護網絡設備。

當由于人為的原因對網絡進行惡意的破壞時,要分析其損壞途徑,迅速切斷惡意鏈接,而后對損壞的數據進行修復,同時配合公安機關抓捕破壞分子,按照相關法律給予制裁。

第三,保障方法。網絡突發事件處理是一項長期的、艱巨的、困難的系統性工作,因此高校網絡主管部門必須引起足夠的重視,協調社會力量,共同做好平時與遇到突發事件時的保障工作。

(a)對人員的保障。高校主管領導要重視技術人員的培養,建立網絡突發事件應急領導小組,定期組織突發事件應急演練。

(b)對技術的保障。平時要對網絡設備進行保養與維護,做好相關備份,保障重要信息安全,做好遇突發事件的技術保障。

(c)對物資的保障。做好校園網經費的預算與保障,確保資金對技術、人員、設備的支持。做好突發事件資金保障預算,確保應急保障工作的順利,從而將損失降到最低。

三、加強對校園網用戶的內部網絡監控機制的建設

依據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》與《中國教育和科研計算機網暫行管理辦法》的相關規定,為保證高校校園網安全運行,應制定網絡信息監控制度。高校校園網是向校內傳輸信息的平臺,為校內用戶使用網絡提供各種服務,所有使用者不得從事任何違法犯罪,侵害集體或他人利益的活動,具體的監控措施如下:

第一,對服務器的監控。網絡服務器包括FTP、WEB、郵件、數據庫等服務器,大量數據信息要經過這些服務器,因此保證它們的安全穩定至關重要。高校各級網絡部門要采取監控手段,確保服務器的正常運行。各級管理工作人員要嚴格遵守各項規章制度,恪盡職守,杜絕各種危害網絡健康的現象發生。

第二,對各部門的監控。各網絡主管部門要成立本級的網絡工作小組,派專人負責網絡信息監控工作。各負責人員要掌握本部門的網絡運行情況,發現問題及時采取措施并上報相關部門,以確保本部門網絡的安全運行。

此外,在網絡平穩運行時,可以通過IDS入侵檢測系統,IPS入侵防御系統,安全偵測與監聽系統等內部監控措施保護網絡安全。通過這些內部監控措施,可以提高網絡的防御水平,及時發現安全隱患,保證網絡正常運行。還可以通過使用網絡管理軟件,日志記錄軟件等分析工具,輔助分析網絡安全請情況,從而完善內部監控機制,提高網絡管理水平。

總之,高校校園網的網絡安全是一項綜合的工程,要進行多角度主動的防范。在網絡安全形勢十分嚴峻的環境下,校園網的安全問題也日益突出,因此,完善校園網絡管理制度,加強軟件安全監控,提高管理人員業務水平,加強學生網絡道德教育等等針對網絡安全的措施顯得十分重要。作為校園網的管理者要多角度維護防范,減小危險的發生率,最大限度的維護校園網安全穩定運行。

參考文獻:

[1] 徐云娟,校園網安全技術的研究[D].復旦大學碩士論文,2008

[2] 韓曉雨,韓東.高校網絡管理淺談[J].科技信息,2011(3):76

[3] 張娟,高校網絡安全問題研究[J].信息通信,2012(3):172-173

The Consolidation?of?the?Management?Mechanism?of the University?Network?Security

篇5

關鍵詞:網絡安全;ARP;攻擊防護;應急演練

1引言

隨著互聯網應用的高速發展,人們的日常生活越來越離不開網絡,業務往來、網上購物都需要網絡。網絡給大家帶來了方面快捷的服務,也給商家帶來了不少的利益,因此對網絡安全需求越來越高?,F在廣電網絡公司不僅以傳統的廣播電視系統為載體,而且以互聯網和專線業務為主盈利點。但由于有時故障處理得不及時,導致用戶體驗度下降,直接影響客戶離網率,造成了部分用戶的流失。因為網絡維護人員多為有線廣播電視的業務提供保障,對互聯網及專線業務難免會不熟悉,所以對網絡維護人員的培訓以及網絡安全應急演練很有必要,也是公司加強信息安全的重要組成部分。下面便以某公司遭受ARP攻擊進行應急防護為例,掌握突發事件上報處理流程,通過事件識別、安全防御、應急響應、故障排查、業務恢復、故障原理分析、預防及處理措施等多個環節,測試和提高維護人員應對網絡安全事件的處理能力,增強維護人員的網絡安全意識。

2應急演練過程

2.1事件發生

時間:14:30。接到業務單位網絡時斷時續,無法進行正常業務操作的故障申報,經排查物理鏈路狀態正常,但檢查該單位匯聚交換機有ARP攻擊告警,馬上向安全負責人匯報情況。隨即啟動網絡安全應急預案,安排安全服務人員進行分析處置,并上報公司網絡安全小組。

2.2應急響應

時間:14:40。經排查分析,業務單位鏈路狀態正常,故障現象僅在某一專線網點局域網內,疑似內網中網絡感染病毒或受到攻擊,并將判斷上報安全負責人。

2.3故障排查

時間:14:45。申請某專網及業務點位內網測試,獲得批準后接入某點位內網后進行抓包分析,在網絡正??蒔ing通該專網服務器時,查詢網關設備的MAC地址信息,使用arp-a命令查詢測試機ARP表中顯示網關信息(172.16.160.2542065-8e86-6e09),在故障出現時ARP表中顯示信息(172.16.160.2540090-27e2-e0c7)。經正常業務抓包顯示該專網匯聚交換網關MAC地址為2065-8e86-6e09,因此判斷業務單位內網受到ARP欺騙攻擊,登錄業務點位交換根據偽裝網關MAC地址查詢為某臺PC。事件定位后及時上報網絡安全領導小組,并著手進行故障清除工作。

2.4業務恢復

時間:15:00。肇事電腦斷網刪除相關攻擊軟件并進行深度殺毒,針對業務單位交換機端口進行IP-MAC地址綁定,各終端電腦安裝ARP防火墻。

2.5事件總結

經調查,本次事件發生于專線用戶內網,未造成較大影響,屬于IV級網絡安全事件;14:30接報用戶側網絡故障,經初步排查確認系ARP欺騙攻擊,立刻啟動網絡安全事件應急預案,經應急工作組成員的共同配合處理下,在半個小時內清除了ARP欺騙軟件,并且對用戶側局域網內交換機進行了MAC地址綁定,用戶終端電腦進行了ARP攻擊與防護演練在局域網中的實踐王金亭朱清華趙煒斌河北廣電信息網絡集團股份有限公司邢臺分公司摘要:伴隨近些年國家信息技術與數字經濟的發展,頻發的網絡安全事件已嚴重威脅到企業的安全生產以及穩定運營,給企業造成了不同程度的損失,怎樣有效地應對網絡安全事件成為各企業亟待面對的問題。因此,主動地進行網絡安全演練,成為有效輔助企業預防網絡安全突發事件,提高應對能力,迅速進行災難恢復的必要手段。本文結合ARP攻擊事件的防護演練過程,對網絡維護人員的風險識別、應急響應、業務恢復等方面相關能力進行ARP防護軟件安裝,維護了網絡安全,公司網絡安全演練評估組將調查結果模擬報告了公司網絡安全領導小組,最后參加演練的全體人員對本次事件進行總結分析,如表1所示。

3ARP欺騙攻擊的分析

主機之間進行通信前需要了解相互的物理地址,即MAC地址,而ARP地址解析協議,就是將主機的IP地址轉換成實際物理地址的協議。但由于ARP協議本身的安全機制缺陷導致出現了ARP欺騙與ARP攻擊2種針對局域網絡的破壞手段。

3.1ARP攻擊

ARP攻擊的主要目的是對局域網絡通信的破壞,主要針對局域網內的網關或終端設備MAC地址,使正常設備將攻擊者誤認為正常網絡設備MAC地址,從而導致局域網內無法正常通信。通常情況下,肇事者主要采用以下2種方式進行攻擊。(1)肇事主機發送偽造帶有被攻擊終端MAC地址和IP地址的ARP應答報文給局域網中除被攻擊的所有主機。(2)肇事主機發送偽造的局域網內除被攻擊終端,所有設備的MAC地址和IP地址的ARP應答報文給被攻擊終端。無論肇事者采用哪種方式,目的是破壞目標主機與網絡間的正常通信聯系從而導致網絡中斷。通常采用的手段有中間人攻擊、廣播攻擊、拒絕服務攻擊以及會話劫持等。

3.2ARP欺騙

ARP欺騙的主要作用并不在于破壞正常的網絡通信,而是通過偽裝欺騙手段對網絡內數據進行轉發、竊取、控制甚至篡改,進而達到獲取重要信息或者控制數據流量的目的。由于ARP協議誕生之初是基于局域網內主機互信基礎下的,因此忽略了協議本身的安全機制,動態更新又無安全認證的ARP緩存地址表成了最大漏洞,由于局域網內的ARP請求包均是以廣播形式發送,因此攻擊主機可以根據其ARP信息偽造以它的MAC地址和被攻擊設備IP地址映射關系的ARP請求包高頻次地向被目標發送,從而更新目標主機的ARP緩存表,使目標主機的通信重新定向將通信數據發送給攻擊者。

4ARP欺騙攻擊的解決方法

局域網內一旦出現網絡經常掉線或者網頁被掛木馬等情況就很可能是被ARP欺騙攻擊了,此時可以采用IP-MAC地址綁定和ARP防火墻2種方法進行判斷和解決。

4.1IP-MAC地址綁定

一般情況下,針對局域網內ARP欺騙攻擊,最切實有效的方法就是進行IP和MAC信息綁定,通過確認局域網內網關及主機的真實MAC地址進行信息綁定,可以杜絕ARP欺騙攻擊。(1)收集網關及主機真實的IP及MAC地址信息,路由器登錄有后可查詢真實網關MAC地址,主機可在本地連接詳細信息中查看物理地址,通過arp–s命令進行綁定,如圖1所示。(2)三層交換機(以華為為例)上綁定可采用命令(arpstatic10.20.8.88d8bb-c123-4567)進行綁定,采用“undoarpstatic10.20.8.88d8bb-c123-4567”以及“displayarpstatic”命令進行綁定狀態查詢。另外,也可以使用IP地址、MAC地址及端口進行精確綁定,非綁定主機的報文會被直接丟棄。由于路由器品牌不同,管理界面也不相同,因此登錄后需查找內部或局域網設置選項,進行主機的IP地址和MAC地址的綁定操作,如圖2所示。相對于交換機命令進行靜態綁定的煩瑣復雜操作,路由器的綁定操作較為簡單,只需在路由器管理中核對用戶MAC地址是否真實即可進行相應IP地址及MAC地址綁定。但為了安全,盡量進行雙向綁定,即路由器和用戶終端電腦都進行IP-MAC地址綁定。

4.2使用防火墻軟件

使用ARP防火墻,自動抵御ARP欺騙和ARP攻擊。主機上開啟防護軟件,在此以某衛士為例,在功能大全中點擊使用流量防火墻功能,其中的局域網防護中就包含ARP主動防御功能,防火墻的主界面顯示統計數據,包括ARP攻擊攔截統計、自動綁定IP/MAC地址、網關等。此方法全視圖操作使用較為簡便。

5結語

篇6

一、2020年度網絡安全檢查工作組織開展情況

一、統一思想認識,提高政治站位。迅速召開專題會議,傳達學習財政部網絡安全和信息化領導小組辦公室《關于地方財政部門進一步強化網絡安全暨開展2020年網絡安全檢查的通知》文件精神,并對網絡安全工作作出了重要指示和部署。

二、加強統一領導,落實安全責任。為進一步加強對網絡安全檢查自查工作的組織領導,成立了由局黨組書記、局長吳冰同志為組長,各黨組成員為副組長的自查工作領導小組,負責網絡安全檢查自查工作安排部署,嚴格對照核查內容和工作要求,認真開展了自查工作。

三、加強督查督導,確保整改到位。結合我縣財政實際情況,組織安排好本地區財政系統網絡安全檢查工作,全面排查網絡風險、漏洞和突出問題,及時部署整改措施,提高網絡安全防護能力。

二、2020年網絡安全檢查情況匯總

一是組織領導方面。成立了由主要領導擔任第一責任人、各相關股室參與、信息中心負責具體工作的財政系統安全保護工作領導小組,統一協調全局開展財政專網運行安全管理工作。

二是網絡安全方面。一是做好本級計算機安全檢查。從內外網是否混接、財政應用軟件是否使用ukey登錄、計算機殺毒、系統漏洞補丁修復、計算機實名制管理等方面對全局所有財政專網計算機進行網絡安全檢查。二是重新部署內網殺毒確保安全。所有金財網pc端及服務器均安裝了省廳統一部署的亞信防病毒軟件,所有外網安裝了360、金山毒霸等殺毒軟件;pc端及服務器均采用了登錄強口令密碼、數據庫異地存儲備份、數據加密等安全防護措施。三是切實抓好金財網、外網、媒介和應用軟件的管理,對金財網pc端、外網pc端實行分網管理,嚴格區分內網和外網,確保內外網不混用、不同用。四是加強對硬件安全的管理,包括防塵、防潮、防雷、防火、防盜、和電源連接等;加強密碼管理、ip管理、互聯網行為管理等;加強計算機應用安全管理,包括郵件系統、資源庫管理、軟件管理等。

三是落實責任方面。一是建立健全相關制度。為確保計算機網絡安全、建立健全了《計算機安全保密制度》、《網絡信息安全管理制度》等一系列規章制度,確保本單位信息系統建設和網絡安全能夠正常運行。二是制定了《縣財政局網絡安全應急預案》,按照要求定期開展應急演練。三是按照州財政局要求,聯合縣電信公司對全縣金財網ip地址進行了規范改造。四是結合省財政廳相關要求,正在對關鍵系統開展等保評測工作,嚴格按照網絡安全行業主管部門的要求,及時查漏補缺,完成評測整改工作。確保核心業務系統安全運行,保障全縣財政業務正常開展。五是對照國家等級保護2.0標準及省財政廳制定的相關技術規范添置入侵檢測、入侵防護、安全審計、數據備份等網絡安全防護設備。強化網絡安全硬件保障基礎,補齊網絡安全硬件建設上的短板。

四是宣傳教育方面。一是加強網絡安全學習培訓。定期不定期組織全局人員專題培訓等方式全方位宣傳學習《網絡安全法》等。二是積極主動對接當地網信辦及網安部門,參加網絡安全宣傳周活動,每年定期組織預算單位財務人員集中培訓網絡安全知識與日常管理技巧,提高網絡安全意識,防范不規范操作,規避內外網互聯風險。

五是落實經費方面。將網絡安全建設經費納入年初預算,確保經費保障充足,相繼采購防火墻、堡壘機、安全管理系統等網絡安全產品,進一步提高了網絡安全技術保障能力。

三、存在的問題

一、整體安全狀況的基本判斷

從檢查情況看,網絡與信息安全總體情況良好。始終把信息安全作為信息化工作的重點內容,網絡信息安全工作機構健全、責任明確,日常管理維護工作比較規范;管理制度完善,技術防護措施得當,信息安全風險得到有效降低;比較重視信息系統系統管理員和網絡安全技術人員培訓,應急預案與應急處置技術隊伍有落實,工作經費有一定保障,基本保證了網信息系統持續安全穩定運行。

二、發現的主要問題和薄弱環節

雖然我縣財政系統網絡安全在上級部門的指導下取得了一定的成績,但在檢查過程中也發現了一些管理方面存在的薄弱環節,如網絡信息安全知識宣傳較少、網絡安全管理專業技術力量薄弱等。

篇7

關鍵詞:醫院計算機;信息網絡;安全管理;對策優化

隨著網絡技術的飛速發展,計算機網絡給我們的生活帶來了諸多便捷,尤其在醫院計算機系統中的運用。通過信息系統工程的建立,對醫院日常醫療服務、資源管理、分配決策等各個方面進行整體規劃、收集處理、歸檔存儲等等。一方面數據的支撐與網絡的快捷可以大大提高醫院工作效率與服務治療。但同時也暴露出許多安全問題,信息安全受到破壞與威脅都給醫院計算機信息網絡安全管理工作帶來了極大的困難。因此對于設備管理理念,專業技術操作均有待提升。從加強信息網絡安全管理著手,并提出相應對策。

1醫院計算機信息網絡安全管理現狀

1.1信息網絡內部問題

在影響醫院計算機網絡安全的因素當中,常常出現許多意外因素,導致計算機信息系統安全完整性受到破壞。突發事件與不恰當操作往往是此類問題的根源,例如設備硬件受損,軟件崩潰破壞,工作人員錯誤操作使用,電路故障,以及突發暴風暴雨,雷電等不可抗的自然災害等此類安全隱患。同時,醫院計算機用戶隨意下載網絡未經安全檢測的相關文件及軟件,防范意識不足,也容易造成計算機癱瘓。還有在共享局域網類隨意使用外部存儲設備u盤等工具交換數據,造成數據破壞,病毒感染,保密文件泄露等安全問題。同時,醫院計算機安全管理預案中,就文件共享環節往往極為薄弱,為了方便資料讀取傳輸,電腦資料可以隨時隨意瀏覽提取修改。出現錯誤操作難以避免,自然也就導致了信息遭到破壞。同時個別醫務人員對于工作存在不負責的情況,工作態度消極,在電腦上安裝游戲或以前娛樂軟件,這顯然是極不正確的。不僅增大了病毒傳播的途徑與可能性,還降低了工作效率與醫院服務在患者心中的形象,失去信任,造成糾紛。有的操作人員為了便捷上網,常常在客戶端修改地址,不僅增加了維護人員工作量,特定情況下地址相同產生沖突,將影響信息系統的正常運行。

1.2外部安全問題

由于醫院客戶計算機數目龐大,無法將所有客戶端全力優化,因此存在安全補丁延遲,反應遲鈍的情況。一旦出現攻擊性較強的病毒就會導致網絡及相關服務器癱瘓,整個網絡系統停止工作。某些黑客軟件便常常利用這些隱患,通過非法破譯密碼,訪問醫院數據庫,存在極大的信息安全隱患。如果加以破壞,某些數據無法恢復將造成信息系統的極大漏洞,造成無法估計的損失。醫院計算機信息網絡系統自身并不具備較強的防御能力,在現實中,就有某些非法組織與個人為達到特殊目的對醫院信息進行破壞干擾、盜取修改。例如行業商業情報人員,為得到相關詳細內容數據,對醫院計算機信息系統進行攻擊,對系統構成了威脅與安全隱患。就醫院自身防范而言,由于業務開展需要,難以避免與外部網絡系統進行溝通連接。信息傳遞聯系,為提高業務能力與效率,借助外部信息網絡,在這些操作過程中,就可能發生破壞病毒攜帶的情況。

2醫院計算機信息網絡安全管理對策

通過對上述現狀分析,發現目前計算機信息網絡存在問題與安全隱患。探究其中的深層原因,從根本解決問題,總結了如下應對策略。

2.1硬件交互安全管理

首先就醫院硬件設施,應當注意網絡布線安全。醫院主要干線與各子資源避免布線交叉接觸,減少相互串擾。縮短交換距離,控制好信號衰減度,并及時備份,做好應急預案。就醫院計算機場地具體情況,水電,環境,電磁干擾,考慮周全,使用穩定性較好的機組電源。其中中心服務器注意在線雙機熱備份,當出現故障或其他意外情況時,立即接替交換。一方面信息完備性較好,隨意切換,時間極短,達到了應急預案中高效便捷的功能。同時為增大安全性,如果條件允許,可以采用多臺服務器達到集群備份,安全管理。并制訂定期安全維護計劃,建立安全管理制度與可靠措施。例如固定監測運行,重啟運維,病毒檢測,常規殺毒,特定區加固。對于數據儲存硬件,注意異地備份,多方式備份等多種策略信息存儲。在非特殊業務期時,及時將內外網斷開,可以有效地防止外界黑客的進攻入侵。無論任何新軟件,不可以掉以輕心,保險謹慎起見,獨立子網運行,確保安全后在植用于內網之中。

2.2軟件交互安全管理

首先就系統軟件中操作系統應該注意嚴密安全控制。例如針對個人賬號,用戶權限,鏈路網站訪問,文件讀取等信息網絡操作進行嚴格的監管和管理。做好監控監督,審查加固,日常特殊事件日志記錄分析。在減少杜絕違規訪問的同時,通過日志記錄出錯報告與警告信息,及時預警問題癥結。屏蔽非辦公意外的相關信息內容,限制敏感資源訪問,及時進行補丁更新,彌補系統后門漏洞帶來的安全隱患。并適當減少不必要的外接數據交換端口,以避免外來存儲交換設備可能進行的病毒傳播,數據信息修改竊取。

2.3應急預案的建立

針對醫院技術安全信息網絡安全管理中,應急預案的建立不可或缺,應該針對方案實施的范圍、時間、細節等展開討論制定后實施。對于急診、護理、財務、檢測、藥劑、后勤等各職能部門與醫療科室實施應急預案。并保證通信網絡設備,服務軟件等安全重點設置保障細則。對于掛號、收費、檢查、手術等應急業務也應當建立非計算機應對流程。在網絡故障無法使用時,仍能夠保證醫院相關業務如用藥,檢測的正常開展等問題排除后,再進行后續完善工作。

3結語

一言概之,醫院技術信息網絡安全管理,在醫院整個有序運作中起到了關鍵的保障作用,應當結合具體情況,高效積極采取措施應對解決問題,提高安全性,幫助醫院更好地工作。

參考文獻

篇8

關鍵詞:石油企業 計算機網絡 安全隱患 對策

隨著計算機網絡技術的發展,關于其網絡安全問題尤為突出。我國石油企業的現代化建設起步晚,企業計算機網絡環境相對脆弱,網絡安全容易受到多方面的因素影響。加之,在開放的互聯網平臺下,計算機網絡的安全問題呈現出多渠道、多層次的特點。因此,凈化網絡運行環境,尤其是設置有效的登錄控制,以及網絡防火墻,是實現安全網絡環境的基礎。石油企業在現代化建設中,基于網絡安全問題的解決尤為重要。

1、石油企業計算機網絡中存在的安全隱患

1.1 網絡攻環境下的病毒與黑客入侵

石油企業計算機網絡的運行平臺,基于開放的互聯網環境。企業網絡中的漏洞,都會成為網絡攻擊的對象。黑客入侵就是基于網絡漏洞,對企業的網絡環境造成威脅。同時企業的網絡服務端以員工為主,所以網絡環境相對復雜,關于網頁的瀏覽或東西的下載,都存在病毒的入侵的隱患。并且,員工的網絡安全意識比較淡薄,對于網絡環境的潛在安全隱患缺乏重視,造成企業網絡安全環境比較復雜,易受外界入侵源的攻擊。

1.2 人為因素下的網絡安全問題

人為因素下的網絡安全問題,主要表現在網絡管理端和用戶端。員工作為主要的用戶端,諸多不當的網絡操作,都會帶來安全隱患。同時,網絡管理員在安全管理中,關于數據接入端和服務器的管理力度缺乏,造成網絡數據管理上的不足。企業網絡的網絡平臺都設有權限,管理員在權限的設計上存在漏洞,在病毒的入侵下,造成局部網絡出現信息癱瘓的問題。

1.3 網絡連接的不規范,尤其是各系統間的網絡連接

石油企業在構建信息化的管理平臺中,各管理系統的網絡一體化,是平臺構建的核心內容。企業在系統的連接中,缺乏網絡風險的認識,信息系統與管理系統的連接,造成病毒對于管理網絡的入侵,最終造成整個網絡平臺的癱瘓。同時,網絡連接不規范,在構建安全的以太網環境中,存在諸多安全的操作,諸如一臺computer構建兩個以太網,在病毒的入侵防范上比較欠缺。

1.4 企業缺乏完善的網絡安全管理

石油企業的信息平臺構建,注重平臺的形式,而對平臺缺乏完善的后期維護,網絡安全管理工作不到位,以至于受到多方面的因素影響。在安全管理中,管理人員對于網絡漏洞和軟件不能及時修補和升級。同時,對于用戶端的下載和網頁瀏覽,管理力度缺乏,用戶端可以基于各網絡站點,隨意的東西下載,造成內部網絡的安全隱患。而且,對于登陸的密碼和賬號,員工隨意的共享或轉借,造成網絡運行中的各類隱患。

2、計算機網絡安全隱患的應對措施

在石油企業的現代化進程中,計算機網絡安全問題顯得尤為突出。企業網絡安全問題主要來源于管理、網絡操作,以及網絡安全體系等方面。因此,在對于安全隱患的防范中,強化網絡安全管理,以構建完善的防范體系,營造安全的網絡環境,加速企業信息平臺的構建于完善。

2.1 強化網絡安全管理

石油企業的計算機網絡安全隱患,很大程度上源于安全管理不到位,尤其是網絡權限的控制,是強化安全管理的重要內容。構建完善的權限控制系統,對用戶端進行有效的約束,進而凈化網絡運行環境。

2.1.1 構建完善的權限控制系統

企業的計算機網絡,在登錄端采用權限控制的方式,對網絡的使用進行保護。因而,企業網絡在安全管理的進程中,強化控制系統的構建。系統主要針對密碼驗證、身份識別等內容,形成完善的控制系統。在網絡的使用前,用戶端需要進行身份的認證后,才能進行相關網絡的使用。而且,對于身份認證失敗的用戶,可以將其列為黑名單,進行集中的安全管理,以針對性的防范該類用戶的登陸。于此,在權限控制系統的構建中,要明確好登陸系統和控制系統,兩系統同時進行網絡的保護,以凈化用戶端的網絡環境。

2.1.2 構建網絡安全體系

企業網絡安全環境的營造,在于安全體系的構建。基于網絡防火墻的構建,強化外來網絡威脅的阻止,以營造安全的網絡環境。同時,基于復雜的用戶端,企業網絡環境相對薄落。于是,在安全體系的構建中,以多級防護體系為主,形成多層保護機制,強化網絡安全管理的力度。對于網絡的數據,做到封閉式的管理,關鍵的數據要進行加密處理,以防止信息的泄漏。

2.2 強化網絡設備的管理

企業的網絡設備是安全隱患預防的重要部分,尤其是對網絡主機或服務器,是強化網絡安全管理的重點。對于網絡的相關設備,進行妥善的管理,網絡的電纜線在鋪設和管理中,要做到管理的封閉性,以防止外界物理輻射的影響,而造成信息傳輸的問題。同時,對于相關的網絡軟件,進行及時的升級或修補,以防止網絡系統出現漏洞,這樣可以避免各類潛在的安全隱患。

2.3 建立網絡安全應急機制

在開放的互聯網環境下,企業網路存在諸多的安全隱患。構建網絡安全應急機制,對于企業的信息管理系統具有重要的意義?;谕晟频陌踩珣睓C制,可以及時地對各類安全威脅進行處理,避免外來入侵源對于網絡平臺的深入攻擊。同時,對于重要的數據信息,要進行加密或備份,以應對數據意外丟失的情況。在實際的網絡安全管理中,關于網絡運行環境的實時監控,是及時發現系統漏洞或外來入侵源的重要工作。

2.4 強化用戶端的安全意識

隨著互聯網絡技術的不斷發展,企業網絡的運行環境越來越復雜。企業用戶端在網絡的使用中,要強化其網絡安全意識,規范相關的上網操作,諸如網頁的瀏覽或數據的下載等活動,要在安全的環境下進行。同時,做好網絡安全的宣傳工作,強調網絡犯罪的嚴重性,進而約束員工的網絡活動。

3、結語

石油企業在現代化建設中,網絡信息平臺的構建十分關鍵。而基于開放的互聯網環境,企業計算機網絡存在諸多的安全隱患,嚴重制約著企業信息平臺的構建。因而,強化企業網絡安全管理,尤其是安全網絡體系的構建,對于凈化網絡環境,防范網絡威脅,具有重要的作用。

參考文獻

[1]劉冬梅.企業計算機網絡中存在的安全隱患和對策[J].新疆石油科技,2009(03).

篇9

關鍵詞:金融服務;外匯管理;網絡安全

中圖分類號:F830.92 文獻標識碼:B 文章編號:1674-0017-2016(12)-0098-03

一、引言

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。

近年來,利用網絡漏洞實施網絡攻擊,造成金融信息泄漏、金融服務中斷的事件屢見不鮮。2015年我國金融行業遭受網站仿冒頁面10.62萬余個,占總量的59%,發生數據外泄事件33起,被盜數據77605972項,遭遇1Gbit/s以上的DDos(分布式拒絕服務)攻擊近38萬次,金融領域已成為網絡安全防護的重點。

基層外匯局承擔著轄區外匯管理改革和相關外匯服務的職能,信息化應用和網絡規劃較早,現所有業務受理、數據監測統計都依托系統和網絡開展。近年來,系統經過了多次升級完善,但網絡未進行較大改進,已經無法滿足新時期網絡安全的要求,急需采取措施防范風險。本文通過分析當前基層骨干網絡存在的安全問題,研究安全網絡應具有的特性,提出安全防控的建議,旨在建立安全可信的網絡環境,確?;A網絡和關鍵信息系y的安全運行。考慮到網絡自有信息的敏感性,本文對網絡產品型號、參數配置等信息進行了屏蔽。

二、基層骨干網絡基本情況

(一)基層骨干網絡的定義及作用。基層骨干網絡是指國家外匯管理局(以下簡稱“總局”)和各省分局之間,通過租用運營商線路,形成的獨立的、專用的網絡。區別于公共互聯網以及人民銀行分行到總行、分行到中心支行的網絡,專門承載外匯局各業務系統和內部門戶的基礎支撐網絡。骨干網絡涵蓋終端、服務器、網絡設備和運營商線路等硬件,各類操作系統、數據庫、中間件、安全防護等軟件,獨立IP地址、權限管理和運維應急手冊等相關制度。

(二)基層骨干網絡的歷史和現狀。20世紀90年代我國互聯網應用初期,分局與總局之間采用撥號上網的方式互聯,2000年分局申請了與總局的幀中繼專線。

隨著網絡技術的發展和外匯局信息化要求的提高,2003年底,為了實現骨干網全網提速,支持新興的網絡應用,全面提高網絡可用性、穩定性和可靠性,在總局的統一部署下,對分局骨干網絡進行了擴容改造。改造后的骨干網繼續采用原有的星型拓撲結構,分局增加了1臺路由器,通過租用電信運營商2條專用鏈路,與總局核心路由器直連。制定了分局IP地址管理規范,和總局上聯的路由設備及分局服務器使用外匯局網段的IP地址,PC終端部分保留外匯局的IP地址,作為人民銀行的一個虛擬網絡管理,其余終端使用人民銀行的局域網絡和網段的IP地址,并通過地址映射訪問分局服務器和總局網絡。外匯局基層骨干網絡雛形基本形成。

2008年為進一步優化網絡結構,總局為分局骨干網絡新增了2臺交換機和1臺路由器。將原來與總局連接的2條捆綁2M鏈路拆分,將其中1條連接到新增的路由器上,重新部署動態路由協議,使得拆分后的2條鏈路實現熱備和負載均衡。2臺新增交換機通過堆疊方式互聯,并分別與原有的及新增的路由器連接,另一邊連接分局內部網絡。內部網絡方面,分局與轄內中心支局使用人民銀行廣域網連接,與轄內商業銀行使用人民銀行金融城域網實現互聯。至此基層骨干網絡構建完成,一直沿用至今。

三、基層骨干網絡安全特性研究

(一)總體來說,安全的網絡要遵循以下幾個原則。1.平衡分析原則。絕對安全的網絡是不存在的,也沒有存在的必要。在設計網絡時,要綜合考慮需求、風險和實現代價這三方面的因素,平衡三者之間的關系,確定最優的方案。

2.網絡安全原則。網絡安全體系應當包括安全防護、安全監測和安全恢復三個方面,能對各類安全威脅進行及時防護,第一時間發現并阻止對系統造成的攻擊和在安全措施失效時及時進行應急處置和內容恢復,減少帶來的損失。

3.高可用性原則。網絡是基礎環境,通過其上運行的各類系統和應用實現價值。因此網絡要滿足應用提出的穩定性、可靠性和方便性等要求。

4.可發展性原則。整體規劃設計要綜合考慮網絡規模的升級改造,網絡結構的優化調整,要求網絡能適應規模及安全需求在一定時間和范圍的變化,具有可發展性,容易進行調整和升級改造。

安全的基層骨干網絡應通過應用當前最新的網絡技術和產品,設計合理的網絡結構,滿足當前外匯業務系統需求并預留足夠的可擴展性,在兼顧方便高效的同時,符合網絡信息安全的要求。

安全的基層骨干網絡要具備以下特性。

1.網絡結構合理,功能區域明確,網間邊界清晰。

2.采用必要的線路和設備冗余,避免單點故障,提高整體網絡的可用性。

3.對網絡中的IP地址進行合理規劃,采用訪問控制和身份認證等手段,防止未經授權的用戶和終端接入內部網絡。

4.構建運行維護及應急響應等管理機制。

四、基層骨干網絡安全防控建議

(一)按功能分區優化網絡結構。為了確保合理的網絡結構,骨干網絡應按照功能劃分為三個區域。骨干網絡上聯區域(以下簡稱“上聯區域”)、分局局域網服務器區域(以下簡稱“服務器區域”)和分局局域網終端區域(以下簡稱“終端區域”)。所有區域采用設備冗余和鏈路冗余的方法,防止發生單點故障。最外層部署核心路由器,一端通過運營商線路和總局網絡相連,另一端通過防火墻和里層核心交換機相連接,核心交換機的另一端分別與分局局域網中的服務器區域和終端區域相連。

(二)拆分鏈路,調整與總局互聯方式??偩謨傻厝行膹V域網的主體結構,采用光傳輸線路,分別是生產中心與同城備份中心基于裸光纖的鏈路、生產中心與災備中心基于SDH的鏈路、災備中心與同城備份中心基于SDH的鏈路,形成底層數據的光傳輸環狀主干網絡。

基層骨干網絡與總局的互聯方式需要調整,首先由原來租用單一線路運營商的2條SDH專用鏈路改為租用兩家線路運營商各1條SDH專用鏈路,提高線路可用性。其次調整互聯目的地,原來2條線路均接入生產中心,新的骨干網絡1條線路接入生產中心,另1條線路連接災備中心,兩條鏈路互為備份。當連接生產中心的線路出現故障時,分局網絡通過連接災備中心的線路,經過總局環狀廣域網與生產中心連通。該調整,既保證了與生產中心的鏈路冗余,又實現了與災備中心的互聯,在滿足安全要求的同時,節約了成本。

(三)從管理和技術入手,構建網絡安全。安全的網絡要擁有合理的網絡結構,有效的安全防護策略和完備的日常管理?;鶎庸歉删W絡主要從結構優化、身份認證、訪問控制、杜絕單點故障、安全產品選擇和運維保障等方面構建安全的網絡。

結構優化:基層骨干網絡按照功能進行分區,與人民銀行內部網絡實現分離,分局終端統一部署在人民銀行網段,網絡結構清晰明確,便于安全防護。

身份認證:采用固定IP地址對接入網絡中的終端進行身份標識,通過MAC物理地址綁定的功能實現身份認證,當終端發起上網請求時,首先判斷其IP地址和MAC物理地址是否匹配,匹配的情況下,終端才被容許接入網絡。同時,關閉交換機中不使用的端口,防止其它非法計算機和用戶接入網絡。

訪問控制:對網絡中的IP地址進行分組,根據訪問需要,制定組與組之間的訪問策略,容許滿足條件的訪問,防止條件外的非法訪問,禁止各分局之間的直接訪問。同時關閉網絡設備的PING、TELNET、FTP、SNMP等高危服務,嚴禁協議數據、業務數據和管理數據以外的數據在網絡中傳遞。

杜絕單點故障:基層骨干網絡應采取雙機熱備模式,即網絡中配置雙路由器、雙通信鏈路、多交換機和雙防火墻。每個節點由原來單一的設備改造為兩臺同型號設備,分別定位為主備設備,主備設備間要實現互聯,主設備發生故障時,備設備要在規定時間內接管主設備的任務,提供不間斷的網絡服務。

安全產品選擇:基層骨干網絡在關鍵設備上均應采用我國自主研發產品取代現有的國外設備。

運維保障:構建運維保障長效機制,從管理的角度實現網絡安全。編制《分局信息安全管理辦法》、《系統運行維護制度》、《應急預案》、《網絡設備用戶手冊》等文檔。內容涵蓋網絡日常巡檢、安全風險評估和應急響應等,具有詳細的操作流程和實施步驟,并在日常工作中嚴格執行。

參考文獻

[1]李偉.網絡安全實用技術標準教程[M].北京:清華大學出版社,2005。

[2]朱萍.計算機網絡信息安全及防護策略研究[J].科技資訊.2016,(2):29-30。

[3]王世偉,曹磊,羅天雨.再論信息安全、網絡安全、網絡空間安全.中國圖書館學報,2016,(4):4-28。

[4]楊晨.信息時代下計算機網絡安全技術初探[J].網絡安全技術與應用,2014,(1):108-109。

[5]宋欣蔚.計算機網絡可靠性研究[J].信息與電腦:理論版,2016,(6):158-159。

The Study on the Backbone Network of SAFE Branches

Based on the Perspective of Security

WANG Mengyang

(Xi’an Branch PBC,Xi’an Shaanxi 710075)

篇10

關鍵詞:供電企業;計算機信息系統;網絡安全防范

前言:

信息技術的發展為人類社會帶來了更多的便利,因此國內的諸多行業為提高其工作的效率均廣泛采用計算機網絡技術以實現其信息化建設,與此同時,相應的各種網絡安全問題也日漸突出。供電企業為更好地向社會提供優質可靠的電力服務也在其供電管理系統中應用了計算機網絡,如果計算機信息系統的運行安全出現了問題則不僅會對供電企業的正常工作產生影響,同時也會影響到所在地居民的正常生活,因此必須要加強供電企業計算機信息系統的網絡安全性,并做好相關防范工作。

一、供電企業計算機信息系統網絡方面的安全防范現狀

實際上我國的供電企業在計算機網絡方面的建設已有多年的歷程,并且在規模以及技術上也有所發展,但隨著現今信息網絡的發展,其計算機網絡的發展也面臨著更多的挑戰。供電企業的管理系統關系著其財務、銷售、管理等多項涉及到其日常經營的業務,為此則必須要對計算機在其管理系統中的應用進行分析,以了解當前的計算機網絡安全現狀。

1. 計算機網絡在管理方面的安全防范現狀

隨著供電企業在信息化方面的建設工作不斷開展,其在管理方面尤其是安全性方面的管理工作取得了一定的進展,在原先的管理模式上做出了與計算機網絡向適應的針對性調整,使得其與信息化建設的要求也逐步向適應。但是由于我國計算機網絡在技術方面的飛速發展,不僅使供電企業對其依賴程度加深,同樣也使得其在管理方面的所存在的一些隱患問題暴露出來。安全防范的管理不足具體體現在機房管理不夠嚴謹,包括計算機的設備以及系統都存在不同程度的落后情況,在進行數據的存儲時無法提供可靠的記錄和存儲;在電源方面也是有所疏忽,一旦機房的主電源出現了問題則會迅速導致其信息數據的傳輸出現錯誤,進而使整個供電企業管理系統出現問題,后備電源的缺失以及供應不及時都會影響到整個計算機信息系統網絡方面的安全性,如下圖所示。

2. 計算機網絡在系統方面的安全防范現狀

在供電企業計算機信息系統中,其網絡的核心通常是匯聚交換機,并與其下屬的各個單位設備進行連接,從而形成一個系統化的大型局域網絡。然而由于在同各下屬單位之間進行連接時,對于網絡的傳輸安全未能予以相應的保護,再加上交換設備的常年使用使得其穩定性與安全性有所下降,進而導致其網絡在安全防范方面存在著較大的漏洞。在這種情況下一旦出現問題將會使其下屬的各個單位的管理系統也受到影響,造成區域性的供電系統紊亂。供電企業內部與外部通過網絡傳遞信息,結構較為簡單,在風險抵御上偏弱;同時由于操作業務的多樣性,使得其對于網絡網絡傳輸的接口以及性能方面有著較高的要求。當遭受來自廣域網上的攻擊,若未能抵御,容易出現網絡異常,嚴重者可能造成網絡癱瘓,或是數據丟失、信息外泄等情況,這對于供電系統的運行而言是相當危險的,因此必須要針對其網絡系統問題進行安全協議的優化以提高其系統的安全性[1]。同時,需要確保局域網中設備的穩定運行,維護正常的數據通信。

二、供電企業計算機信息系統網絡方面的優化分析

供電企業在對其計算機信息系統網絡進行管理時一般會將其歸為三部分,分別是外網管理、內網管理以及日常數據管理等,并且對這三個部分進行強化保護,以提升其網絡安全的等級。一般來講會將其內網應用于日常的數據處理中去,主要是客戶終端的各項業務服務;而外網的話則會將其用于客戶業務辦理,當然也可以用于客戶的訪問與咨詢。在其計算機信息系統網絡安全中,可以通過建立相互獨立的主機以及服務器從而將外網與內網進行隔離以保證其安全性,防止計算機網絡因局部故障而導致整體的運行受阻,有效地避免了供電網絡癱瘓的情況。內外網隔離的方法也可以實現計算機網絡在縱向與橫向之間的隔離,并且可以使供電系統的信息實現區域化管理,從而有效提高其對于外界的防御能力。同時也要注意對網絡結構進行相應的優化,供電企業在對管理系統進行計算機網絡配置時可以根據情況考慮使用新型骨干交換機,并且在每一臺交換機上配備兩套電源系統,一個是常規電源,另一個則是備用電源,從而保證設備能夠在出現電力故障時依然能夠正常運轉,并且出于機器散熱的考慮,需要配備相應的風扇以提高其散熱能力。在交換機上進行管理模塊的設置,使其既能夠完成冗余資料的備份,同時也能夠完成冗余荷載[2]。

三、供電企業計算機信息系統網絡方面的安全應急處理

為了能夠使供電企業管理系統安全性得到進一步的加強,則必須要充分考慮各種突發意外,并依此制定周全的應急處理機制,從而確保供電管理系統的計算機網絡能夠具備較好的抗災能力。首先是需要針對目前比較常見的黑客以及計算機病毒的攻擊,對資料與數據進行安全加密處理,并做好其備份工作,以降低其危害。在制定應急預案時應當對可能出現的各種情況進行詳細的分析,對于各個預案進行模擬演練,在演練完成后要做出正確的評估,以了解其對于災害的抵御能力,并對其中的不足予以指正,從而確保應急方案能夠及時有效的抵御外界入侵。同時也要對系統中計算機網絡的相關責任人員以及技術人員進行?;瘶I化的技術培訓,從而提高其計算機網絡安全的技術水平,使其能夠為計算機網絡系統的運行安全予以技術支持。在權限方面需要對系統中的計算機網絡進行嚴格的權限等級設置,對于不符合其權限等級的操作要嚴格禁止,并進行相應的記錄,以便后期的檢查[3]。

四、總結

供電企業計算機信息系統網絡安全是一項長期而復雜的工程,需要根據供電企業現有的網絡運行環境和信息系統環境,加強安全和防護技術,從而使其能夠為供電企業的生產經營管理發揮更加優質、便捷的服務,促進電網企業的發展。

參考文獻:

[1]李偉?電力系統計算機信息網絡安全技術與防范探討[J]?通訊世界,2014,(9):69.