引論:我們?yōu)槟砹?3篇網(wǎng)絡(luò)安全內(nèi)網(wǎng)管理范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
第三,外力侵害。我國(guó)很多的網(wǎng)吧、機(jī)房不具備抵御外界侵害的能力,主要外界侵害包括自然的災(zāi)禍以及周圍環(huán)境侵害等,自然的災(zāi)禍指的是自然的災(zāi)禍,如雷電、洪澇災(zāi)害、火災(zāi)、電磁泄露等;周圍環(huán)境侵害包括斷電引起數(shù)據(jù)、設(shè)備損害問(wèn)題和噪音問(wèn)題導(dǎo)致的數(shù)據(jù)高誤碼率等。第四,用戶意識(shí)不高。很多用戶在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)使用的時(shí)候,沒(méi)有足夠的網(wǎng)絡(luò)安全意識(shí),對(duì)于密碼、權(quán)限、口令等私密的東西沒(méi)有保護(hù)好,隨意泄露,或者沒(méi)有及時(shí)修補(bǔ)一些網(wǎng)絡(luò)漏洞和補(bǔ)丁,黑客可以找到攻擊點(diǎn)。除此以外,還存在網(wǎng)絡(luò)安全技術(shù)人員素質(zhì)不足、監(jiān)管不到位等問(wèn)題
改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理對(duì)策
針對(duì)目前存在的計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理問(wèn)題,提出了以下對(duì)策。
第一,為了改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理,要加強(qiáng)用戶網(wǎng)絡(luò)安全管理意識(shí)。對(duì)于密碼、權(quán)限、口令等比較隱私的東西,用戶要保護(hù)好,不要隨意泄露,對(duì)于網(wǎng)絡(luò)漏洞和補(bǔ)丁,要做到及時(shí)修補(bǔ),不要給有心人有機(jī)可乘的機(jī)會(huì),進(jìn)行數(shù)據(jù)備份,防止突發(fā)意外事故發(fā)生之后,數(shù)據(jù)的丟失,保持?jǐn)?shù)據(jù)完整性,做到能夠及時(shí)恢復(fù)系統(tǒng),減少延誤損失;
第二,為了改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理,要加強(qiáng)自然等各種外力侵害的防范。在網(wǎng)吧以及機(jī)房等公共場(chǎng)所,首先要安裝空調(diào),控制室內(nèi)溫度以及濕度,防止溫度以及濕度過(guò)高,造成網(wǎng)絡(luò)癱瘓。其次要裝好相應(yīng)的防止雷擊的措施,多進(jìn)行建筑檢測(cè),尤其注重電源、網(wǎng)絡(luò)傳輸線等的防范措施,最后是防火措施要做好。各種裝修材料有可能的話,盡量選擇防火的,保持室內(nèi)通風(fēng),放置好防火器等設(shè)施;
第三,為了改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理,要加強(qiáng)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理技術(shù)問(wèn)題的研究,管理人員要及時(shí)更新病毒數(shù)據(jù)庫(kù),強(qiáng)化對(duì)病毒的檢測(cè)以及清除,加強(qiáng)防火墻的建設(shè),發(fā)揮防火墻的作用,做到限制服務(wù)訪問(wèn)、防止無(wú)權(quán)限的外部網(wǎng)的入侵、統(tǒng)計(jì)相應(yīng)的網(wǎng)絡(luò)流量并進(jìn)行適時(shí)限流等,進(jìn)行網(wǎng)絡(luò)入侵檢測(cè),一旦發(fā)生這些情況要及時(shí)的制止。要加強(qiáng)檢測(cè)、掃描以及評(píng)估漏洞,減小安全隱患;
第四,為了改進(jìn)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理,要加強(qiáng)對(duì)網(wǎng)絡(luò)安全管理制度的建立和完善。要完善已有的計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全管理制度,對(duì)一些過(guò)于形式化的網(wǎng)絡(luò)安全管理制度,要縮小范圍,提出其操作的細(xì)則,對(duì)其中有不適應(yīng)現(xiàn)展的規(guī)則進(jìn)行修正以及改善,使其更能與當(dāng)代網(wǎng)絡(luò)發(fā)展相適應(yīng),對(duì)于沒(méi)有及時(shí)建立的法律以及法規(guī),要及時(shí)建立,并在實(shí)踐中不斷改進(jìn)以及發(fā)展;
篇2
醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)(Hospital Internal Wireless Networks),既包括允許用戶在醫(yī)院內(nèi)部范圍內(nèi)建立遠(yuǎn)距離無(wú)線連接的網(wǎng)絡(luò)。
2009 年,國(guó)家新醫(yī)改政策出臺(tái),其中信息系統(tǒng)首次成為我國(guó)醫(yī)療衛(wèi)生體系建設(shè)的重要支撐。醫(yī)院信息系統(tǒng)經(jīng)過(guò)多年的發(fā)展,已經(jīng)由以財(cái)務(wù)為核心的階段過(guò)渡到以臨床信息系統(tǒng)為核心的階段,因此越來(lái)越多的醫(yī)院開(kāi)始應(yīng)用無(wú)線網(wǎng)絡(luò),實(shí)施以患者為核心的無(wú)線醫(yī)療信息系統(tǒng)。隨著無(wú)線網(wǎng)絡(luò)技術(shù)的日趨成熟,醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)在全球范圍內(nèi)醫(yī)療行業(yè)中的應(yīng)用已經(jīng)成為了一種趨勢(shì),在今后的醫(yī)院應(yīng)用中將會(huì)越來(lái)越廣泛。通過(guò)無(wú)線醫(yī)療信息系統(tǒng)的應(yīng)用,既拉近了與患者之間的距離,提高了醫(yī)療服務(wù)的效率和質(zhì)量,也加強(qiáng)了醫(yī)院的綜合管理。
2醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)
隨著醫(yī)院對(duì)無(wú)線醫(yī)療信息系統(tǒng)應(yīng)用的不斷深入,醫(yī)院對(duì)于內(nèi)部無(wú)線網(wǎng)絡(luò)的依賴程度也越來(lái)越深。醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)作為原有醫(yī)院內(nèi)部有線網(wǎng)絡(luò)的補(bǔ)充,擴(kuò)展了有線網(wǎng)絡(luò)的應(yīng)用范圍,但是也將相對(duì)封閉的醫(yī)院內(nèi)部有線局域網(wǎng)絡(luò)環(huán)境轉(zhuǎn)變成了相對(duì)開(kāi)放式的網(wǎng)絡(luò)環(huán)境。其安全性不僅影響到醫(yī)院內(nèi)部無(wú)線醫(yī)療信息系統(tǒng)的使用,同樣也影響到與其相連的有線網(wǎng)絡(luò)環(huán)境中應(yīng)用的其他醫(yī)院信息系統(tǒng)。因此醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)的安全將直接影響到醫(yī)院整體信息系統(tǒng)的安全。醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)一旦被破壞,將會(huì)造成醫(yī)院信息系統(tǒng)的數(shù)據(jù)被竊取、網(wǎng)絡(luò)癱瘓、醫(yī)療業(yè)務(wù)被中斷等等一系列嚴(yán)重的后果。由于醫(yī)院醫(yī)療數(shù)據(jù)的敏感性,以及無(wú)線網(wǎng)絡(luò)通過(guò)無(wú)線信號(hào)傳輸?shù)奶匦裕沟冕t(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)越來(lái)越突出。
根據(jù)相關(guān)運(yùn)行情況分析, 醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)主要存在以下安全問(wèn)題:①非法AP的接入:無(wú)線網(wǎng)絡(luò)易于訪問(wèn)和配置簡(jiǎn)單的特性,使醫(yī)院內(nèi)部網(wǎng)絡(luò)管理員和信息安全管理員非常頭痛。因?yàn)槿魏稳硕伎梢酝ㄟ^(guò)自己購(gòu)買的AP利用現(xiàn)有有線網(wǎng)絡(luò),繞過(guò)授權(quán)而連入醫(yī)院內(nèi)部網(wǎng)絡(luò)。用戶通過(guò)非法的AP接入手段,可能會(huì)給醫(yī)院整體內(nèi)部網(wǎng)絡(luò)帶來(lái)很大的安全隱患。②非授權(quán)用戶的接入:非授權(quán)用戶往往利用各類無(wú)線網(wǎng)絡(luò)的攻擊工具搜索并入侵,從而造成很嚴(yán)重的后果。非授權(quán)用戶的入侵會(huì)造成網(wǎng)絡(luò)流量被占用,導(dǎo)致網(wǎng)絡(luò)速度大大變慢,降低網(wǎng)絡(luò)帶寬利用率;某些非授權(quán)用戶會(huì)進(jìn)行非法篡改,導(dǎo)致醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)內(nèi)的合法用戶無(wú)法正常登陸;更有部分非授權(quán)用戶會(huì)進(jìn)行網(wǎng)絡(luò)竊聽(tīng)和數(shù)據(jù)盜竊,對(duì)病人以及醫(yī)院整體造成相當(dāng)大的損失。③服務(wù)和性能的影響:醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)的傳輸帶寬是有限的,由于物理層的開(kāi)銷,無(wú)線網(wǎng)絡(luò)的實(shí)際最高有效吞吐量?jī)H為標(biāo)準(zhǔn)的50%。醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)的帶寬可以被幾種方式吞噬,造成服務(wù)和性能的影響:如果攻擊者從以太網(wǎng)發(fā)送大量的Ping流量,就會(huì)輕易地吞噬AP的帶寬;如果發(fā)送廣播流量,就會(huì)同時(shí)阻塞多個(gè)AP;傳輸較大的數(shù)據(jù)文件或者運(yùn)行復(fù)雜的系統(tǒng)都會(huì)產(chǎn)生很大的網(wǎng)絡(luò)流量負(fù)載。④地址欺騙和會(huì)話攔截:由于醫(yī)院內(nèi)部使用無(wú)線網(wǎng)絡(luò)環(huán)境,攻擊者可以通過(guò)地址欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂。通過(guò)一些技術(shù)手段,攻擊者可以獲得站點(diǎn)的地址,這些地址可以被用來(lái)惡意攻擊時(shí)使用。攻擊者還可以通過(guò)截獲會(huì)話,通過(guò)監(jiān)測(cè)AP,然后裝扮成AP進(jìn)入,攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。⑤數(shù)據(jù)安全問(wèn)題:由于無(wú)線網(wǎng)絡(luò)的信號(hào)是以開(kāi)放的方式在空間中傳送的,非法用戶、黑客、惡意攻擊者等會(huì)通過(guò)破解用戶的無(wú)線網(wǎng)絡(luò)的安全設(shè)置,冒充合法識(shí)別的身份進(jìn)入無(wú)線網(wǎng)絡(luò)進(jìn)行非法操作,進(jìn)行竊聽(tīng)和截取,從而達(dá)到不法操作或破壞信息的目的,從而給醫(yī)院帶來(lái)相對(duì)應(yīng)的損失。
3醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)的安全防護(hù)目標(biāo)
早期的無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)安全性并不完善,技術(shù)上存在一些安全漏洞。隨著使用的推廣,更多的專家參與了無(wú)線標(biāo)準(zhǔn)的制定,使其安全技術(shù)迅速成熟起來(lái)。具體地講,為了有效保障無(wú)線網(wǎng)絡(luò)的安全性,就必須實(shí)現(xiàn)以下幾個(gè)安全目標(biāo):①提供接入控制:通過(guò)驗(yàn)證用戶,授權(quán)接入特定的資源,同時(shí)拒絕為未經(jīng)授權(quán)的用戶提供接入。②確保連接的保密與完好:利用強(qiáng)有力的加密和校驗(yàn)技術(shù),防止未經(jīng)授權(quán)的用戶竊聽(tīng)、插入或修改通過(guò)無(wú)線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。③防止拒絕服務(wù)攻擊:確保不會(huì)有用戶占用某個(gè)接入點(diǎn)的所有可用帶寬,從而影響其他用戶的正常接入。
4醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)的安全防護(hù)技術(shù)
無(wú)線網(wǎng)絡(luò)的安全技術(shù)這幾年得到了快速的發(fā)展和應(yīng)用,下面是目前業(yè)界常見(jiàn)的無(wú)線網(wǎng)絡(luò)安全技術(shù):
4.1服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配 SSID(Service Set Identifier)將一個(gè)無(wú)線網(wǎng)絡(luò)分為幾個(gè)不同的子網(wǎng)絡(luò),每一個(gè)子網(wǎng)絡(luò)都有其對(duì)應(yīng)的身份標(biāo)識(shí)(SSID),只有無(wú)線終端設(shè)置了配對(duì)的SSID才接入相應(yīng)的子網(wǎng)絡(luò)。所以可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令,提供了口令認(rèn)證機(jī)制,實(shí)現(xiàn)了一定的安全性。
4.2無(wú)線網(wǎng)卡物理地址(MAC)過(guò)濾 每個(gè)無(wú)線工作站網(wǎng)卡都由唯一的物理地址(MAC)標(biāo)識(shí),該物理地址編碼方式類似于以太網(wǎng)物理地址。網(wǎng)絡(luò)管理員可在無(wú)線網(wǎng)絡(luò)訪問(wèn)點(diǎn)AP中維護(hù)一組(不)允許通過(guò)AP訪問(wèn)網(wǎng)絡(luò)地址列表,以實(shí)現(xiàn)基于物理地址的訪問(wèn)過(guò)濾。
4.3無(wú)線接入點(diǎn)(AP)隔離 AP(Access Point)隔離類似于有線網(wǎng)絡(luò)的VLAN,將所有的無(wú)線客戶端設(shè)備完全隔離,使之只能訪問(wèn)AP連接的固定網(wǎng)絡(luò)。該方法多用于對(duì)酒店和機(jī)場(chǎng)等公共熱點(diǎn)(Hot Spot)的架設(shè),讓接入的無(wú)線客戶端保持隔離,提供安全的網(wǎng)絡(luò)接入。
4.4有線等效保密(WEP、WEP2) WEP(Wired Equivalent Privacy),IEEE80211.b標(biāo)準(zhǔn)規(guī)定的一種被稱為有線等效保密的可選加密方案,其目的是為無(wú)線網(wǎng)絡(luò)提供與有線網(wǎng)絡(luò)相同級(jí)別的安全保護(hù)。WEP是采用靜態(tài)的有線等同保密密鑰的基本安全方式。WEP2,是根據(jù)WEP的特性,為了提供更高的無(wú)線網(wǎng)絡(luò)安全性技術(shù)而產(chǎn)生。該技術(shù)相比WEP算法,將WEP密鑰的長(zhǎng)度由40位加長(zhǎng)到128位,初始化向量的長(zhǎng)度由24位加長(zhǎng)到128位。
4.5端口訪問(wèn)控制技術(shù)(IEEE802.1x)和可擴(kuò)展認(rèn)證協(xié)議(EAP) IEEE802.1x提出基于端口進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制的安全性標(biāo)準(zhǔn),利用物理層特性對(duì)連接到網(wǎng)絡(luò)端口的設(shè)備進(jìn)行身份認(rèn)證。如果認(rèn)證失敗,則禁止該設(shè)備訪問(wèn)網(wǎng)絡(luò)資源。
IEEE 802.1x引入了PPP協(xié)議定義的可擴(kuò)展認(rèn)證協(xié)議(EAP)。作為可擴(kuò)展認(rèn)證協(xié)議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認(rèn)證機(jī)制,從而提供更高級(jí)別的安全。
4.6無(wú)線網(wǎng)絡(luò)訪問(wèn)保護(hù)(WPA、WPA2) WPA(Wifi Protected Access),率先使用802.11i中的加密技術(shù)-TKIP (Temporal Key Integrity Protocol),這項(xiàng)技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問(wèn)題。
WPA2是基于WPA的一種新的加密方式,向后兼容,支持更高級(jí)的AES加密,能夠更好地解決無(wú)線網(wǎng)絡(luò)的安全問(wèn)題。
4.7高級(jí)的無(wú)線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(IEEE 802.11i) IEEE 802.11i安全標(biāo)準(zhǔn)是為了增強(qiáng)無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)加密和認(rèn)證性能,定義了RSN(Robust Security Network)的概念,并且針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。IEEE 802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式,在數(shù)據(jù)加密方面,定義了TKIP、CCMP和WRAP三種加密機(jī)制,使得無(wú)線網(wǎng)絡(luò)的安全程度大大提高。
5醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)的安全實(shí)現(xiàn)
5.1合理放置無(wú)線設(shè)備 無(wú)線網(wǎng)絡(luò)的信號(hào)是在空氣中傳播的,任一無(wú)線終端進(jìn)入了設(shè)備信號(hào)的覆蓋范圍,都有可能連接到該無(wú)線網(wǎng)絡(luò)。所以醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)安全的第一步就是,合理規(guī)劃AP的放置,掌控信號(hào)覆蓋范圍。在架設(shè)無(wú)線AP之前,必須選定一個(gè)合理的放置位置,以便能夠限制信號(hào)在覆蓋區(qū)以外的傳輸距離。最好放在需要覆蓋的區(qū)域中心,盡量減少信號(hào)泄露到區(qū)域外。
5.2無(wú)線網(wǎng)絡(luò)加密,建立用戶認(rèn)證 對(duì)于醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)的進(jìn)行加密,建立用戶認(rèn)證,設(shè)置相關(guān)登錄用戶名和密碼,而且要定期進(jìn)行變更,使非法用戶不能登錄到無(wú)線設(shè)備,修改相關(guān)參數(shù)。實(shí)際上對(duì)無(wú)線網(wǎng)絡(luò)來(lái)說(shuō),加密更像是一種威懾。加密可細(xì)分為兩種類型:數(shù)據(jù)保密業(yè)務(wù)和業(yè)務(wù)流保密業(yè)務(wù)。只有使用特定的無(wú)線網(wǎng)絡(luò)加密方式,才會(huì)在降低方便性的情況下,提高安全性。
5.3 SSID設(shè)置 無(wú)線 AP 默認(rèn)的設(shè)置會(huì)廣播SSID,接入終端可以通過(guò)掃描獲知附近存在哪些可用的無(wú)線網(wǎng)絡(luò),例如WINDOWS自帶掃描功能,可以將能聯(lián)系到的所有無(wú)線網(wǎng)絡(luò)的 SSID 羅列出來(lái)。因此,設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個(gè)不容易猜解的長(zhǎng)字符串,同時(shí)設(shè)置SSID隱藏起來(lái),接入端就不能通過(guò)系統(tǒng)自帶的功能掃描到這個(gè)實(shí)際存在的無(wú)線網(wǎng)絡(luò),即便他知道有一個(gè)無(wú)線網(wǎng)絡(luò)存在,但猜不出 SSID 全名也是無(wú)法接入到這個(gè)網(wǎng)絡(luò)中去,以此保證醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)的安全。
5.4 MAC地址過(guò)濾 MAC 地址過(guò)濾在有線網(wǎng)絡(luò)安全措施中是一種常見(jiàn)的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過(guò)無(wú)線控制器將指定的無(wú)線網(wǎng)卡的MAC 地址下發(fā)到各個(gè)AP中,或者直接存儲(chǔ)在無(wú)線控制器中,或者在AP交換機(jī)端進(jìn)行設(shè)置。
5.5 SSL VPN 進(jìn)行數(shù)據(jù)加密和訪問(wèn)控制 由于在實(shí)際醫(yī)療活動(dòng)中,為了滿足診斷、科研及教學(xué)需要,必須經(jīng)常大量采集、、利用各種醫(yī)療數(shù)據(jù)。由于原有醫(yī)院網(wǎng)絡(luò)的相對(duì)封閉性,絕大多數(shù)的應(yīng)用系統(tǒng)采用的都是未經(jīng)加密的數(shù)據(jù)包進(jìn)行數(shù)據(jù)交換,但是醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)是相對(duì)開(kāi)放性的網(wǎng)絡(luò),入侵者通過(guò)對(duì)無(wú)線信號(hào)中數(shù)據(jù)包的偵聽(tīng)與解析,使得醫(yī)療信息泄漏成為了醫(yī)院不得不面對(duì)的問(wèn)題。SSL VPN 即指采用SSL 協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)。SSL VPN 基于瀏覽器的認(rèn)證方式,能兼容醫(yī)院主流的無(wú)線終端設(shè)備操作系統(tǒng),如Windows、Android、IOS,而VPN 的方式又能保證醫(yī)院信息系統(tǒng)的正常運(yùn)行。SSL VPN在解決醫(yī)院無(wú)線網(wǎng)絡(luò)數(shù)據(jù)加密的同時(shí),最大限度地保障了醫(yī)院信息系統(tǒng)的投資。
5.6核心網(wǎng)絡(luò)隔離 一旦攻擊者進(jìn)入無(wú)線網(wǎng)絡(luò),它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。很多網(wǎng)絡(luò)都有一套經(jīng)過(guò)精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼,以防止非法攻擊, 但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無(wú)線網(wǎng)絡(luò)可以通過(guò)簡(jiǎn)單配置就可快速地接入網(wǎng)絡(luò)主干,但這樣會(huì)使網(wǎng)絡(luò)暴露在攻擊者面前。所以必須將無(wú)線網(wǎng)絡(luò)同易受攻擊的核心網(wǎng)絡(luò)進(jìn)行一定的安全隔離保護(hù),應(yīng)將醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)布置在核心網(wǎng)絡(luò)防護(hù)外殼的外面, 如防火墻、網(wǎng)閘等安全設(shè)備的外面,接入訪問(wèn)核心網(wǎng)絡(luò)采用SSL VPN等方式。
5.7入侵檢測(cè)系統(tǒng)(IDS) IDS(Intrusion Detection Systems)入侵檢測(cè)系統(tǒng),不是只針對(duì)無(wú)線網(wǎng)絡(luò)檢測(cè)的系統(tǒng),同樣也適用于有線網(wǎng)絡(luò)。入侵檢測(cè)技術(shù)可以把無(wú)線網(wǎng)絡(luò)的安全管理能力擴(kuò)展到安全審計(jì)、安全檢測(cè)、攻擊識(shí)別和響應(yīng)等范疇。這樣不僅提高了網(wǎng)絡(luò)的信息安全基礎(chǔ)結(jié)構(gòu)的完整性,而且?guī)椭鷮?duì)付惡意用戶對(duì)整體醫(yī)院網(wǎng)絡(luò)內(nèi)其他用戶的攻擊。依照醫(yī)院無(wú)線應(yīng)用系統(tǒng)的安全策略,對(duì)網(wǎng)絡(luò)及信息系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,發(fā)現(xiàn)各種攻擊企圖、攻擊行為及攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的完整性、可用性和機(jī)密性。
5.8終端準(zhǔn)入控制 終端準(zhǔn)入控制主要為了在用戶訪問(wèn)網(wǎng)絡(luò)之前確保用戶的身份信任關(guān)系。利用終端準(zhǔn)入控制,醫(yī)院能夠減少對(duì)系統(tǒng)運(yùn)作的部分干擾,因?yàn)樗軌蚍乐挂讚p主機(jī)接入網(wǎng)絡(luò)。在終端利用醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)接入之前,首先要檢查它是否符合制定的策略,可疑主機(jī)或有問(wèn)題的主機(jī)將被隔離或限制接入。這樣不但可以防止這些主機(jī)成為蠕蟲(chóng)和病毒攻擊的目標(biāo),還可以防止這些主機(jī)成為傳播病毒的源頭,保證只有在滿足終端準(zhǔn)入控制策略的無(wú)線終端設(shè)備才能接入醫(yī)院網(wǎng)絡(luò)。
6結(jié)論
隨著無(wú)線網(wǎng)絡(luò)越來(lái)越受到普及,本文淺析了醫(yī)院內(nèi)部無(wú)線網(wǎng)絡(luò)存在的幾種安全隱患,并探討了對(duì)應(yīng)的幾種防范策略。總的來(lái)說(shuō),世界上不存在絕對(duì)安全的網(wǎng)絡(luò),任何單一的安全技術(shù)都不能滿足無(wú)線網(wǎng)絡(luò)持續(xù)性的安全需求,只有增強(qiáng)安全防范意識(shí),綜合應(yīng)用多種安全技術(shù),根據(jù)不同的醫(yī)院自身應(yīng)用的特點(diǎn),選擇相應(yīng)的安全防范措施,通過(guò)技術(shù)管理和使用方法上的不斷改進(jìn),才能實(shí)現(xiàn)醫(yī)院無(wú)線網(wǎng)絡(luò)的安全運(yùn)行。
參考文獻(xiàn):
[1]Zerone無(wú)線安全團(tuán)隊(duì).無(wú)線網(wǎng)絡(luò)黑客攻防[J].中國(guó)鐵道出版社,2011(10).
篇3
一、網(wǎng)絡(luò)安全維護(hù)在企業(yè)內(nèi)部計(jì)算機(jī)存在的相關(guān)問(wèn)題分析
(一)沒(méi)有提升對(duì)網(wǎng)絡(luò)安全維護(hù)的重視度
現(xiàn)階段,雖然一些企業(yè)已經(jīng)建立了較為完善的內(nèi)部計(jì)算機(jī)系統(tǒng),其在企業(yè)日常工作中發(fā)揮著不可替代的作用。但是,在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)問(wèn)題上,很多企業(yè)并沒(méi)有提升重視,沒(méi)有很好地保護(hù)計(jì)算機(jī)內(nèi)部信息,一旦計(jì)算機(jī)遭到網(wǎng)絡(luò)襲擊或者內(nèi)部信息泄漏,那么企業(yè)將會(huì)受到很大的損失。大部分企業(yè)的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)并沒(méi)有全面覆蓋,在管理內(nèi)部網(wǎng)絡(luò)過(guò)程中,管理執(zhí)行交叉,致使企業(yè)內(nèi)部計(jì)算機(jī)的網(wǎng)絡(luò)安全維護(hù)存在問(wèn)題,網(wǎng)絡(luò)安全存在隱患。
(二)網(wǎng)絡(luò)系統(tǒng)操作存在缺陷
在計(jì)算機(jī)中,操作系統(tǒng)是最為基礎(chǔ)的軟件,如果計(jì)算機(jī)缺少操作系統(tǒng),那么其相關(guān)應(yīng)用程序無(wú)法發(fā)揮重要作用。一些企業(yè)計(jì)算機(jī)操作系統(tǒng)還存在很多的問(wèn)題和缺陷,這為病毒的侵入創(chuàng)造了良好條件。計(jì)算機(jī)操作系統(tǒng)構(gòu)成復(fù)雜、程序繁多,如果出現(xiàn)問(wèn)題,那么內(nèi)部系統(tǒng)可能會(huì)出現(xiàn)癱瘓。在企業(yè)的內(nèi)部管理中,對(duì)計(jì)算機(jī)安全問(wèn)題不夠重視,對(duì)一些應(yīng)用軟件也沒(méi)有及時(shí)更新,導(dǎo)致出現(xiàn)很多不安全的因素。
(三)安全管理存在一定問(wèn)題
一些企業(yè)缺少內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)的意識(shí),因此,相關(guān)的管理工作也出現(xiàn)很多問(wèn)題。企業(yè)內(nèi)部的安全管理規(guī)定并不全面還有待完善,管理人員整體素質(zhì)不高,缺少專業(yè)性技能和理論知識(shí),沒(méi)有很好地維護(hù)相關(guān)設(shè)備,一些設(shè)備沒(méi)有發(fā)揮其用途,在使用移動(dòng)硬盤時(shí)操作不當(dāng),致使病毒入侵,為企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)帶來(lái)很大的難題。
(四)相關(guān)工作人員專業(yè)能力差
在企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)管理中,工作人員的專業(yè)程度對(duì)企業(yè)網(wǎng)絡(luò)安全維護(hù)有很大影響。一些企業(yè)T工專業(yè)能力差,對(duì)待網(wǎng)絡(luò)安全管理工作中的一些技術(shù)問(wèn)題不重視,出現(xiàn)問(wèn)題時(shí)也不愿意積極主動(dòng)去解決,綜合素質(zhì)不高,導(dǎo)致在網(wǎng)絡(luò)安全管理中,企業(yè)內(nèi)部信息沒(méi)有得到嚴(yán)密的保護(hù),系統(tǒng)安全得不到很好的保障。
二、網(wǎng)絡(luò)安全維護(hù)在企業(yè)內(nèi)部計(jì)算機(jī)相關(guān)管理中的有效措施
(一)提升內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)意識(shí)
企業(yè)如果想安全有效地管理和維護(hù)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)安全,那么需要全面提升安全管理意識(shí),了解網(wǎng)絡(luò)安全維護(hù)在企業(yè)內(nèi)部計(jì)算機(jī)管理中的重要作用,加強(qiáng)企業(yè)員工的教育培訓(xùn)工作,提升人員專業(yè)能力和專業(yè)知識(shí),使員工能夠掌握計(jì)算機(jī)的使用情況及設(shè)備性能,全面維護(hù)企業(yè)內(nèi)部計(jì)算機(jī)的網(wǎng)絡(luò)安全。
(二)網(wǎng)絡(luò)安全技術(shù)應(yīng)用需加強(qiáng)
近年來(lái),隨著社會(huì)的不斷發(fā)展,企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)安全相關(guān)問(wèn)題層出不窮,為企業(yè)帶來(lái)很大挑戰(zhàn),阻礙了企業(yè)的快速發(fā)展。企業(yè)應(yīng)當(dāng)全面加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全,使用專業(yè)的技術(shù)維護(hù)內(nèi)部網(wǎng)絡(luò)安全。針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全中出現(xiàn)的一些問(wèn)題,使用對(duì)應(yīng)的技術(shù)進(jìn)行解決。
(三)不斷完善計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)管理體系
在日常工作中,企業(yè)內(nèi)部計(jì)算機(jī)在傳遞信息時(shí)可能會(huì)將病毒一并傳播,很大程度上威脅了計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)營(yíng),因此,企業(yè)需要不斷完善內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)管理體系,對(duì)系統(tǒng)的運(yùn)轉(zhuǎn)情況實(shí)時(shí)監(jiān)控,全面清理病毒信息,保障計(jì)算機(jī)可以安全運(yùn)行。完善管理系統(tǒng)需要很多的專業(yè)技能及專業(yè)知識(shí)作為支撐,因此,需要加強(qiáng)對(duì)管理人員的培訓(xùn)和教育,不斷提升員工的網(wǎng)絡(luò)安全意識(shí),通過(guò)不斷的實(shí)踐,總結(jié)安全維護(hù)管理經(jīng)驗(yàn),掌握計(jì)算機(jī)內(nèi)部系統(tǒng)網(wǎng)絡(luò)安全維護(hù)技能。
(四)不斷加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)管理制度
篇4
一、內(nèi)網(wǎng)存在的問(wèn)題
為了維護(hù)網(wǎng)絡(luò)的安全,通常的安全策略的一個(gè)基本假設(shè)是:網(wǎng)絡(luò)的一邊即外部的所有人是不可信任的,另一邊即內(nèi)部的所有人是可信任的。通常認(rèn)為黑客、病毒以及各種蠕蟲(chóng)的攻擊大都來(lái)自外部的侵襲。事實(shí)上來(lái)自內(nèi)部的數(shù)據(jù)失竊和破壞,遠(yuǎn)遠(yuǎn)高于外部黑客的攻擊。包括防火墻、入侵檢測(cè)系統(tǒng)在內(nèi)的一系列安全產(chǎn)品在對(duì)付內(nèi)網(wǎng)安全的主要威脅時(shí)束手無(wú)策。
1.內(nèi)網(wǎng)資源安全
內(nèi)網(wǎng)一旦出現(xiàn)、破壞的事件將產(chǎn)生嚴(yán)重的后果,而目前內(nèi)網(wǎng)安全存在許多問(wèn)題,如:對(duì)計(jì)算機(jī)的外設(shè)不加限制,員工利用移動(dòng)存儲(chǔ)設(shè)備隨意拷貝公司文件;員工非法訪問(wèn)Internet造成泄密;員工越權(quán)使用打印機(jī)造成文件泄密;員工非法安裝軟件,對(duì)網(wǎng)絡(luò)造成潛在的安全隱患;員工非法訪問(wèn)他人機(jī)器,竊取他人資源;非法修改IP地址或占有他人IP竊取他人權(quán)限進(jìn)行破壞活動(dòng)等。
2.網(wǎng)絡(luò)營(yíng)運(yùn)安全
內(nèi)網(wǎng)安全除了保障內(nèi)網(wǎng)資源不被竊取之外,還要保障整個(gè)內(nèi)網(wǎng)的系統(tǒng)運(yùn)營(yíng)的安全。對(duì)于這個(gè)問(wèn)題,好多單位認(rèn)識(shí)不夠,但它對(duì)整個(gè)系統(tǒng)的管理是至關(guān)重要的,例如:由于網(wǎng)絡(luò)中不定時(shí)增減計(jì)算機(jī)數(shù)量和調(diào)整計(jì)算機(jī)分布,它們往往由于疏忽忘記備案而成為管理死角;筆記本電腦在任意地點(diǎn)接入內(nèi)部網(wǎng)絡(luò),網(wǎng)管人員無(wú)法及時(shí)發(fā)現(xiàn),即使發(fā)現(xiàn)也不清楚其接入位置;無(wú)法實(shí)時(shí)了解整個(gè)網(wǎng)絡(luò)當(dāng)前的運(yùn)營(yíng)狀態(tài),當(dāng)網(wǎng)絡(luò)出現(xiàn)故障,網(wǎng)管人員無(wú)法實(shí)時(shí)發(fā)現(xiàn)并定位故障點(diǎn),進(jìn)而解決故障;無(wú)法對(duì)網(wǎng)絡(luò)間的流量進(jìn)行監(jiān)控,在出現(xiàn)異常流量的情況時(shí)沒(méi)有報(bào)警通知管理員等等。
二、解決方案
1.網(wǎng)管軟件
全世界有很多網(wǎng)管產(chǎn)品,國(guó)外著名的廠商有HP、3COM、Cisco等,所有的網(wǎng)管軟件無(wú)一例外的采用SNMP協(xié)議讀取網(wǎng)絡(luò)設(shè)備配置信息,對(duì)網(wǎng)絡(luò)進(jìn)行管理。主要功能有:
(1)網(wǎng)絡(luò)設(shè)備的基本描述信息采集
(2)設(shè)備的實(shí)時(shí)狀態(tài)的信息采集
(3)網(wǎng)絡(luò)拓?fù)鋱D的自動(dòng)生成
(4)簡(jiǎn)單的網(wǎng)絡(luò)設(shè)備控制功能
(5)網(wǎng)絡(luò)設(shè)備信息的統(tǒng)計(jì)分析
這些傳統(tǒng)的網(wǎng)管軟件,主要是針對(duì)網(wǎng)絡(luò)進(jìn)行管理,缺乏針對(duì)具體終端的管理,無(wú)法從根本上保證內(nèi)網(wǎng)的安全。網(wǎng)管人員不僅關(guān)心整個(gè)網(wǎng)絡(luò)的運(yùn)營(yíng)狀態(tài),而且更需要一個(gè)網(wǎng)絡(luò)安全管理平臺(tái),對(duì)具體受控終端的使用進(jìn)行全方位的審計(jì)和監(jiān)控。
2.基于主機(jī)的審計(jì)和監(jiān)控系統(tǒng)軟件
基于主機(jī)的審計(jì)和監(jiān)控系統(tǒng)軟件主要針對(duì)終端管理,防止用戶通過(guò)各種手段泄露文件,主要包括以下一些功能:
(1)文件操作審計(jì)與監(jiān)控
(2)設(shè)備操作審計(jì)和監(jiān)控
(3)網(wǎng)絡(luò)共享及訪問(wèn)審計(jì)和監(jiān)控
(4)進(jìn)程審計(jì)和監(jiān)控
這些軟件雖然能夠一定程度上防止內(nèi)網(wǎng)資源信息泄露,保障內(nèi)網(wǎng)的安全,但是存在明顯的不足。首先缺乏對(duì)內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的一個(gè)統(tǒng)一的、整體的認(rèn)識(shí)和管理,當(dāng)有非法主機(jī)內(nèi)聯(lián)到網(wǎng)絡(luò),控制臺(tái)根本無(wú)法監(jiān)測(cè)到,更談不上確定具體方位,無(wú)法有效保證這些非法內(nèi)聯(lián)主機(jī)不對(duì)網(wǎng)絡(luò)進(jìn)行破壞或竊取機(jī)密文件。其次,缺乏對(duì)內(nèi)網(wǎng)營(yíng)運(yùn)安全問(wèn)題的認(rèn)識(shí),無(wú)法實(shí)時(shí)了解當(dāng)前網(wǎng)絡(luò)的營(yíng)運(yùn)狀況,當(dāng)網(wǎng)絡(luò)營(yíng)運(yùn)出現(xiàn)故障時(shí)也無(wú)能為力。
3.內(nèi)網(wǎng)安全管理軟件
目前,有很多廠家推出專門的內(nèi)網(wǎng)安全管理軟件。它著重于內(nèi)網(wǎng)的安全管理和監(jiān)控,以系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)管理為基礎(chǔ),以防止內(nèi)網(wǎng)泄密為目標(biāo),其核心功能由安全網(wǎng)管核心平臺(tái)、審計(jì)監(jiān)控客戶端協(xié)同完成。
安全網(wǎng)管核心平臺(tái)是整個(gè)系統(tǒng)的核心,它負(fù)責(zé)對(duì)審計(jì)監(jiān)控客戶端集中配置規(guī)則,同時(shí)采集客戶端日志,為保障內(nèi)網(wǎng)安全提供重要數(shù)據(jù)。安全網(wǎng)管能夠發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)的二、三層設(shè)備,生成整個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)鋱D,為網(wǎng)管管理整個(gè)網(wǎng)絡(luò)提供方便。具體功能包括:
(1)顯示所有網(wǎng)絡(luò)設(shè)備配置信息。
(2)顯示交換機(jī)的端口流量,當(dāng)網(wǎng)絡(luò)流量出現(xiàn)異常,超出系統(tǒng)設(shè)定閥值,控制臺(tái)會(huì)發(fā)出報(bào)警信息。
(3)實(shí)現(xiàn)交換機(jī)端口的通斷控制。
(4)自動(dòng)發(fā)現(xiàn)非法內(nèi)聯(lián)設(shè)備,幫助網(wǎng)管人員維護(hù)網(wǎng)絡(luò)安全。
(5)自動(dòng)顯示受控終端的當(dāng)前狀態(tài),對(duì)各種不正常狀態(tài)產(chǎn)生報(bào)警。
三、總結(jié)
“安全,是一種意識(shí),而不是某種的技術(shù)就能實(shí)現(xiàn)真正的安全。除缺乏必要的安全產(chǎn)品和技術(shù)引起的不安全因素外,更多的不安全因素來(lái)自于管理上的漏洞”,要想保證網(wǎng)絡(luò)的安全,在做好邊界防護(hù)的同時(shí),更要做好內(nèi)部網(wǎng)絡(luò)的管理。
從管理角度出發(fā),網(wǎng)管中心應(yīng)建立一整套完善的規(guī)章制度和日常管理與工作規(guī)范,編制有關(guān)安全方面的技術(shù)手冊(cè)和建立安全管理檔案,制定嚴(yán)格的值班制度和系統(tǒng)維護(hù)制度,做到有問(wèn)題及時(shí)發(fā)現(xiàn),及時(shí)解決,使網(wǎng)絡(luò)的安全直接體現(xiàn)在有效的管理上。
參考文獻(xiàn):
篇5
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 088
[中圖分類號(hào)] R197.3;TP309 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194(2017)05- 0164- 03
0 引 言
隨著新醫(yī)改的不斷深入,作為其重要支柱之一的醫(yī)院信息系統(tǒng)建設(shè)進(jìn)入了高速發(fā)展的快車道,成為醫(yī)院日常醫(yī)療工作和管理工作的基礎(chǔ)平臺(tái)。2013年,我院新建了醫(yī)院信息系統(tǒng)項(xiàng)目,包括機(jī)房建設(shè)、網(wǎng)絡(luò)建設(shè)、軟件系統(tǒng)建設(shè)、硬件建設(shè)等部分。醫(yī)院特點(diǎn)決定醫(yī)院信息系統(tǒng)必須365*24小時(shí)不間斷正常運(yùn)行,網(wǎng)絡(luò)、系統(tǒng)軟硬件的損壞和故障,或者是數(shù)據(jù)信息泄露,都會(huì)醫(yī)院帶來(lái)不可估量的損失,影響患者正常就診,甚至危及醫(yī)院的生存和發(fā)展。因此,構(gòu)建安全的醫(yī)院網(wǎng)絡(luò)系統(tǒng),保障系統(tǒng)和信息系統(tǒng)安全,是各醫(yī)院都很關(guān)心的問(wèn)題。
醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)是個(gè)系統(tǒng)工程,其符合“木桶原理”,系統(tǒng)的安全程度取決于最短的那塊板,我院從硬件、網(wǎng)絡(luò)、系統(tǒng)、審計(jì)監(jiān)管、防病毒、安全制度等各個(gè)方面采取了多種措施,保障了信息系統(tǒng)安全、網(wǎng)絡(luò)安全。
1 網(wǎng)絡(luò)系統(tǒng)安全
1.1 鏈路安全
為避免核心網(wǎng)絡(luò)系統(tǒng)單點(diǎn)故障,提高網(wǎng)絡(luò)系統(tǒng)的健壯性、容錯(cuò)性和性能,我院在網(wǎng)絡(luò)核心層采用了H3C的IRF2(Intelligent Resilient Framework,智能彈性架構(gòu))技術(shù), IRF2將兩臺(tái)華三10508核心交換機(jī)通過(guò)IRF物理端口連接在一起,虛擬化成一臺(tái)邏輯核心交換設(shè)備,集合了兩臺(tái)設(shè)備的硬件資源和軟件處理能力,實(shí)現(xiàn)兩臺(tái)設(shè)備的統(tǒng)一簡(jiǎn)化管理和不間斷維護(hù),提高了網(wǎng)絡(luò)對(duì)突發(fā)事故的自動(dòng)容錯(cuò)能力,最大程序降低了網(wǎng)絡(luò)的失效時(shí)間,提高了鏈路的利用率和轉(zhuǎn)發(fā)效率。
在核心層10580交換機(jī)與會(huì)聚層5800交換機(jī)間采用萬(wàn)兆光纖交叉互聯(lián),線路間做鏈路聚合,增加鏈路帶寬、實(shí)現(xiàn)鏈路傳輸彈性和冗余。同時(shí),核心交換機(jī)與會(huì)聚層交換機(jī)全部配備雙電源和雙風(fēng)扇組,雙電源分別插兩路不同PDU電源插痤,盡量避免單點(diǎn)故障。
1.2 網(wǎng)絡(luò)層次分明,方便管理
數(shù)據(jù)中心服務(wù)器到所有的桌面終端計(jì)算機(jī)最多通過(guò)三層網(wǎng)絡(luò),即核心層、會(huì)聚層和接入層,三層網(wǎng)絡(luò)交換機(jī)各師其職,層次分明。核心層是網(wǎng)絡(luò)的高速交換主干,負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā);匯聚層提供基于策略的連接,是網(wǎng)絡(luò)接入層和核心層的“中介”,工作站接入核心層前須先做匯聚,實(shí)施策略、安全、工作組接入、虛擬局域網(wǎng)(VLAN)之間的路由、源地址或目的地址過(guò)濾等多種功能,減輕核心層設(shè)備的負(fù)荷;接入層提供工作站接入網(wǎng)絡(luò)功能。同時(shí),我院每棟業(yè)務(wù)樓都建設(shè)了網(wǎng)絡(luò)設(shè)備間,安裝了空調(diào)和不間斷電源,統(tǒng)一管理該樓內(nèi)所有的會(huì)聚層和接入層交換機(jī),保證所有的設(shè)備都有良好的運(yùn)行環(huán)境,同時(shí)便于管理和維護(hù)。
1.3 劃分VLAN,提高性能和安全性
醫(yī)院信息系統(tǒng)服務(wù)主要以訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器為主,數(shù)據(jù)縱向訪問(wèn)多,橫向少,同時(shí),我院許多樓又都綜合了門診住院醫(yī)療系統(tǒng)、醫(yī)技系統(tǒng)等,我們根據(jù)其特點(diǎn),將網(wǎng)絡(luò)按樓宇劃分為10多個(gè)VLAN子網(wǎng),并將有特殊需求的應(yīng)用(如財(cái)務(wù)科賬務(wù)專網(wǎng)等),單獨(dú)劃分VLAN。通過(guò)VLAN劃分,控制廣播范圍,抑制廣播風(fēng)暴,提高了局域網(wǎng)的整體性能和安全性。
1.4 網(wǎng)絡(luò)核心層安裝防火墻板卡與IPS板卡,保證服務(wù)器區(qū)安全
醫(yī)院服務(wù)器區(qū)是醫(yī)院系統(tǒng)運(yùn)行核心,一旦被侵入或感染病毒,將影響醫(yī)院的正常醫(yī)療業(yè)務(wù),影響病人就診,我院每日門診人次3 000多人,住院患者1 600多人,數(shù)據(jù)庫(kù)出問(wèn)題,將造成重大的社會(huì)影響和嚴(yán)重后果,故我們?cè)诤诵膶尤A三10 508交換機(jī)上安裝了SecBlade FW Enhanced增強(qiáng)型防火墻業(yè)務(wù)處理板卡和PS插卡,設(shè)定了防入侵和攻擊的規(guī)則,過(guò)濾非法數(shù)據(jù),防范病毒確保服務(wù)器區(qū)安全。
1.5 智能網(wǎng)管中心
隨著網(wǎng)絡(luò)應(yīng)用越來(lái)越復(fù)雜,網(wǎng)絡(luò)安全控制、性能優(yōu)化、運(yùn)營(yíng)管理等問(wèn)題成為困擾用戶的難題,并直接決定了醫(yī)院核心業(yè)務(wù)能否順利開(kāi)展。我們采用了專門的網(wǎng)管系統(tǒng),通過(guò)軟件的靈活控制,與相應(yīng)的硬件設(shè)備配合,建立了網(wǎng)絡(luò)安全控制中心、性能優(yōu)化中心和運(yùn)營(yíng)管理中心。通過(guò)網(wǎng)管系統(tǒng),我們能實(shí)時(shí)監(jiān)管網(wǎng)絡(luò)的運(yùn)行情況,監(jiān)管網(wǎng)絡(luò)的故障和報(bào)警,監(jiān)管和分配網(wǎng)絡(luò)流量,優(yōu)化網(wǎng)絡(luò)性能,使整個(gè)網(wǎng)絡(luò)可管可控。我院網(wǎng)絡(luò)管理員常用的網(wǎng)管功能有資源管理、拓?fù)涔芾砗凸收希ǜ婢?事件)管理等。
網(wǎng)管系統(tǒng)的資源管理可管理網(wǎng)絡(luò)設(shè)備、接口,顯示設(shè)備的詳細(xì)信息和接口詳細(xì)信息和實(shí)時(shí)性能狀態(tài); 拓?fù)涔芾砜勺詣?dòng)發(fā)現(xiàn)全網(wǎng)設(shè)備的拓?fù)湟晥D,通過(guò)拓?fù)鋱D能夠清晰地看到醫(yī)院網(wǎng)絡(luò)的狀態(tài),包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬、連通等。
故障(告警/事件)管理,是網(wǎng)管系統(tǒng)的核心功能之一,包括設(shè)備告警、網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、終端安全異常告警等,告警事件可通過(guò)手機(jī)短信或E-mail郵件的方式,及時(shí)通知管理員,實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)的監(jiān)控和管理。
1.6 醫(yī)院內(nèi)網(wǎng)、外網(wǎng)間隔離和訪問(wèn)通道
醫(yī)院內(nèi)部的網(wǎng)絡(luò)分為醫(yī)院辦公外網(wǎng)(用于日常辦公,可上互聯(lián)網(wǎng))和業(yè)務(wù)內(nèi)網(wǎng),為保證醫(yī)院內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)安全,防止非法入侵、病毒攻擊等醫(yī)院業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)必須物理隔離,同時(shí),因醫(yī)院內(nèi)部眾多軟件廠商、服務(wù)器廠商、網(wǎng)絡(luò)設(shè)備、安全廠商,需要遠(yuǎn)程維護(hù)內(nèi)網(wǎng)設(shè)備,業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)之間須有個(gè)能訪問(wèn)的通道,我們采用了SSL VPN+網(wǎng)閘+堡壘機(jī)的方式實(shí)現(xiàn)了遠(yuǎn)程安全登錄和物理隔離。
(1)在醫(yī)院外網(wǎng)防火墻和醫(yī)院內(nèi)網(wǎng)防火墻之間安裝了網(wǎng)神SecSIS 3600網(wǎng)閘,利用其“數(shù)據(jù)擺渡”的工作方式,開(kāi)放須訪問(wèn)的端口,實(shí)現(xiàn)物理隔離。
(2)h程用戶通過(guò)SSL VPN接入到醫(yī)院外網(wǎng)。利用SSL 的私密性、確認(rèn)性、可靠性、易用性特性,在遠(yuǎn)程用戶和我院外網(wǎng)間建立起專用的VPN加密隧道。在SSL VPN中,將用戶的登錄設(shè)定為自動(dòng)跳轉(zhuǎn)到堡壘機(jī),通過(guò)堡壘機(jī)再訪問(wèn)相關(guān)的設(shè)備和電腦,實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)有監(jiān)管有記錄有審計(jì),可管可控。
2 服務(wù)器和存儲(chǔ)備份安全
系統(tǒng)服務(wù)器雙機(jī)備份常用的是采用雙機(jī)冷備份或通過(guò)心跳線熱備份的方式實(shí)現(xiàn)。我院結(jié)合自身設(shè)備特點(diǎn),采用了賽門特克Veritas Cluster Server技術(shù),在IBM刀片機(jī)上建了一個(gè)N+1 VCS集群,即多臺(tái)服務(wù)器對(duì)應(yīng)一臺(tái)備份機(jī),當(dāng)其中一臺(tái)出現(xiàn)問(wèn)題,都會(huì)自動(dòng)切換到備機(jī),實(shí)時(shí)快速,同時(shí)節(jié)約了備份機(jī)。兩套IBM DS5020存儲(chǔ)陣列(一臺(tái)在主機(jī)房、一臺(tái)在備份機(jī)房)通過(guò)光纖直連,采用remote mirror遠(yuǎn)程鏡像備份技術(shù),將主機(jī)房存儲(chǔ)的實(shí)時(shí)數(shù)據(jù)復(fù)制到備份存儲(chǔ)系統(tǒng),提供于業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的復(fù)制功能。
3 保證操作系統(tǒng)安全
操作系統(tǒng)是軟件系統(tǒng)基礎(chǔ),保證其安全是必須的。我們對(duì)服務(wù)器進(jìn)行了主機(jī)加固,關(guān)閉了不必要的服務(wù),安裝了賽門鐵克防火墻、賽門鐵克網(wǎng)絡(luò)版殺毒軟件,萊恩塞克內(nèi)網(wǎng)安全管理系統(tǒng)等來(lái)保證內(nèi)網(wǎng)服務(wù)器和工作站操作系統(tǒng)安全。其中內(nèi)網(wǎng)管理系統(tǒng)控制和監(jiān)管了移動(dòng)介質(zhì)的使用,屏蔽了未經(jīng)授權(quán)的移動(dòng)介質(zhì)接入網(wǎng)絡(luò),避免了醫(yī)院數(shù)據(jù)的外泄及感染病毒,同時(shí),還能對(duì)內(nèi)網(wǎng)中每一個(gè)計(jì)算機(jī)進(jìn)行遠(yuǎn)程的桌面管理、資產(chǎn)管理、配置管理和系統(tǒng)管理等。
4 核心設(shè)備配置修改和訪問(wèn)安全
服務(wù)器在注冊(cè)表中關(guān)閉了遠(yuǎn)程訪問(wèn)功能, 網(wǎng)絡(luò)交換機(jī)都關(guān)閉了TELNET功能,關(guān)閉命令: undo telnet server enable通過(guò)網(wǎng)絡(luò)堡壘機(jī)可視化的web管理界面統(tǒng)一配置和管理所有服務(wù)器和交換機(jī),利用堡壘機(jī)可控制、可審計(jì)、可記錄、可追溯的特性,保證對(duì)服務(wù)器和交換機(jī)的安全管理,避免配置和修改服務(wù)器、交換機(jī)時(shí)不慎造成故障。
5 數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)安全審計(jì)系統(tǒng)
為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶的入侵和破壞,我院通過(guò)旁掛模式接入了數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)安全審計(jì)系統(tǒng),實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)中的系統(tǒng)狀態(tài)、安全事件、活動(dòng),以便集中報(bào)警、記錄、分析、處理,實(shí)現(xiàn)“事前評(píng)估―事中監(jiān)控―事后審計(jì)”,對(duì)數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)中的操作和更改進(jìn)行追溯和還原。
6 健全安全管理制度,加強(qiáng)執(zhí)行
建立了嚴(yán)格的規(guī)范的規(guī)章制度,規(guī)范網(wǎng)絡(luò)管理、維護(hù)人員的各種行為,保障網(wǎng)絡(luò)安全。如建立了“中心機(jī)房管理制度”“機(jī)房設(shè)備操作制度”“機(jī)房出入制度”“設(shè)備巡查制度”“工作站操作制度”等。
篇6
發(fā)現(xiàn)新的“藍(lán)海”
至于當(dāng)時(shí)選擇鼎普科技的原因,王海洋表現(xiàn)出一絲自豪。她告訴記者,首先她認(rèn)識(shí)到安全領(lǐng)域是一個(gè)朝陽(yáng)產(chǎn)業(yè)。2003年開(kāi)始,信息安全的重要性日益凸現(xiàn),并被各大企事業(yè)單位所重視。一直以來(lái),安全防御理念都局限在常規(guī)的網(wǎng)管級(jí)別(防火墻等)、網(wǎng)絡(luò)邊界(漏洞掃描、安全審計(jì)、防病毒、IDS)等方面的防御,重要的安全設(shè)施大致集中于機(jī)房、網(wǎng)絡(luò)入口處。在這些設(shè)備的嚴(yán)密監(jiān)控下,來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。
然而,來(lái)自網(wǎng)絡(luò)內(nèi)部的安全威脅卻漸漸地突顯出來(lái),網(wǎng)絡(luò)的內(nèi)部安全威脅大于外部,已經(jīng)成為業(yè)界共識(shí)。內(nèi)網(wǎng)安全也順理成章地成為網(wǎng)絡(luò)安全市場(chǎng)的下一個(gè)熱點(diǎn)和一片新的“藍(lán)海”。一時(shí)間,建設(shè)一個(gè)可管理、可控制和可信任的內(nèi)網(wǎng)成為內(nèi)網(wǎng)安全發(fā)展的新趨勢(shì)。王海洋說(shuō):“對(duì)于個(gè)人的信息安全,對(duì)于公司的安全,甚至是對(duì)于國(guó)家的安全來(lái)說(shuō),信息安全領(lǐng)域的發(fā)展前景非常寬廣。而鼎普科技在內(nèi)網(wǎng)安全領(lǐng)域的快速發(fā)展,給了我一個(gè)很好的發(fā)展平臺(tái)。”在尋找到工作“藍(lán)海”的同時(shí),王海洋敏銳地發(fā)現(xiàn)了技術(shù)應(yīng)用上的新“藍(lán)海”。
更靈活的管理
從2003年開(kāi)始,內(nèi)網(wǎng)安全逐漸受到各企事業(yè)單位的關(guān)注。當(dāng)時(shí),內(nèi)網(wǎng)安全的管理主要偏向于防止密級(jí)信息的外泄,對(duì)計(jì)算機(jī)外設(shè)以及各類端口的控制。
隨著時(shí)間的發(fā)展,內(nèi)網(wǎng)的概念已經(jīng)不僅僅集中在這塊了,內(nèi)網(wǎng)安全的重心漸漸地從偏重安全轉(zhuǎn)移到偏重管理。金融、教育、能源、電力等一些非單位也開(kāi)始關(guān)注內(nèi)網(wǎng)安全,而且他們關(guān)注的內(nèi)網(wǎng)安全涉及面更廣,需要更靈活的手段對(duì)內(nèi)網(wǎng)的安全進(jìn)行防護(hù),比如統(tǒng)計(jì)網(wǎng)絡(luò)流量,補(bǔ)丁的分發(fā)以及計(jì)算機(jī)軟硬件的升級(jí)和管理等。
“以前,我們的客戶大多都是政府部門,現(xiàn)在,我們也在往重要領(lǐng)域的非單位拓展。”王海洋說(shuō),“鼎普科技是以做起家的,但同時(shí),我們也兼顧等級(jí)保護(hù)這方面,即對(duì)非單位的信息進(jìn)行安全防護(hù)。”
內(nèi)外部信息交互廣泛存在于各企事業(yè)單位的辦公網(wǎng)中。如果他們既要防止信息孤島的產(chǎn)生,又要避免及敏感信息在交互中泄漏,那么在信息交互過(guò)程中就需要靈活的管理手段。
“一些客戶需要網(wǎng)頁(yè)瀏覽的權(quán)限設(shè)置,例如,他們需要內(nèi)網(wǎng)管理系統(tǒng)允許員工上固定網(wǎng)站瀏覽新聞,但是又能夠阻止或警告用戶的違法上傳等行為。而我們自主研發(fā)的‘鼎普網(wǎng)絡(luò)單向?qū)牍芾硐到y(tǒng)’就能滿足客戶這一靈活的管理需求。我們的目標(biāo),就是能為客戶提供更直觀、更快捷操作、更方便理解的輔助管理手段。”王海洋說(shuō)。
此外,鼎普科技的“數(shù)據(jù)單向?qū)牍芾硐到y(tǒng)”能夠?qū)σ苿?dòng)存儲(chǔ)介質(zhì)的交叉使用進(jìn)行控制,該系統(tǒng)通過(guò)光的物理單向傳輸?shù)奶匦?在技術(shù)上極大地防范了內(nèi)外網(wǎng)信息交互中的管理風(fēng)險(xiǎn),同時(shí)實(shí)現(xiàn)對(duì)計(jì)算機(jī)違規(guī)非法外聯(lián)的監(jiān)控阻斷,能有效地提高內(nèi)網(wǎng)安全管理和信息交互的技術(shù)安全指數(shù)。
更全面的防護(hù)
篇7
影響校園網(wǎng)安全的因素很多。校園網(wǎng)一般分為校園內(nèi)網(wǎng)、校園外網(wǎng)、提供各種服務(wù)的服務(wù)器群,內(nèi)網(wǎng)主要包括:教學(xué)網(wǎng)、圖書(shū)館網(wǎng)、辦公自動(dòng)化網(wǎng)絡(luò)、財(cái)務(wù)網(wǎng);而外網(wǎng)則是實(shí)現(xiàn)內(nèi)網(wǎng)與internet的對(duì)接,服務(wù)器群提供各自服務(wù)。根據(jù)對(duì)校園網(wǎng)絡(luò)的基本結(jié)構(gòu)的剖析,可以得出結(jié)論,校園網(wǎng)的安全問(wèn)題來(lái)自以下幾個(gè)方面:
2.1tcp/ip協(xié)議簇的安全性與操作系統(tǒng)的安全漏洞。
tcp/ip及其許多網(wǎng)絡(luò)協(xié)議本身在設(shè)計(jì)之初并未全面考慮安全性問(wèn)題,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展與普及,協(xié)議的安全性問(wèn)題日益突出。
目前使用的操作系統(tǒng),包括windows系列,unix系列都不同程度上存在安全漏洞,對(duì)網(wǎng)絡(luò)構(gòu)成威脅。
2.2來(lái)自外部的威脅
校園網(wǎng)與internet相聯(lián),極易受到外部人員的攻擊,一旦攻擊成功,將有可能造成極大破壞。而校園網(wǎng)用戶密集,速度快、規(guī)模大的特點(diǎn),也使得安全問(wèn)題容易被放大,影響更加嚴(yán)重。
2.3來(lái)自內(nèi)部的安全隱患
(1)病毒、木馬的威脅。由于校園內(nèi)部使用網(wǎng)絡(luò)的人員復(fù)雜,水平良莠不齊,在進(jìn)行數(shù)據(jù)交換或數(shù)據(jù)上傳、下載時(shí)可能造成病毒、木馬在內(nèi)網(wǎng)中的傳播、泛濫。
(2)寬松、開(kāi)放的網(wǎng)絡(luò)環(huán)境也使得內(nèi)網(wǎng)容易遭受攻擊。由于教學(xué)、科研的特點(diǎn),使得一些新技術(shù)、新應(yīng)用在校園網(wǎng)上實(shí)施的時(shí)候不能施加過(guò)多的限制,這也可能會(huì)造成內(nèi)網(wǎng)受到攻擊。
(3)活躍而密集的用戶群也是校園網(wǎng)不安全的因素之一。數(shù)量眾多、具有一定的計(jì)算機(jī)方面的知識(shí)、無(wú)窮的探索精神而安全觀念淡薄的也可能會(huì)對(duì)校園網(wǎng)造成一定程度的威脅。
2.4管理制度不健全、管理人員與維護(hù)力量不足成為校園網(wǎng)安全的一大隱患。
校園網(wǎng)的建設(shè)和管理對(duì)校園網(wǎng)安全的關(guān)注度通常不高,安全意識(shí)不強(qiáng),管理制度不健全,對(duì)于管理與維護(hù)方面的投資也不大,網(wǎng)絡(luò)中心的人員只能保證網(wǎng)絡(luò)正常運(yùn)行,對(duì)于安全問(wèn)題無(wú)暇顧及。管理不到位,校園內(nèi)可能出現(xiàn)各種網(wǎng)絡(luò)并存,鐵通、電信、光纖內(nèi)網(wǎng)混搭,成為攻擊者避開(kāi)防火墻進(jìn)行攻擊的跳板。
3.校園網(wǎng)安全策略
安全策略是指在某個(gè)安全區(qū)域內(nèi),用于所有與安全相關(guān)活動(dòng)的一套規(guī)則。安全有效的安全策略,可以最大程度降低校園網(wǎng)受到攻擊而造成性能下降、失效、泄密、數(shù)據(jù)丟失的可能性。安全策略包括嚴(yán)格的管理、先進(jìn)的技術(shù)和行之有效的管理制度。
3.1防火墻控制策略
防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,是用來(lái)阻止網(wǎng)絡(luò)黑客進(jìn)入內(nèi)部網(wǎng)的屏障。防火墻分為專門設(shè)備構(gòu)成的硬件防火墻和運(yùn)行在服務(wù)器或計(jì)算機(jī)上的軟件防火墻。無(wú)論哪一種,防火墻通常都安置在網(wǎng)絡(luò)邊界上,根據(jù)系統(tǒng)管理員設(shè)置的訪問(wèn)控制規(guī)則,對(duì)數(shù)據(jù)流進(jìn)行過(guò)濾,通過(guò)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),以阻檔來(lái)自外部網(wǎng)絡(luò)的入侵。防火墻是internet安全的最基本組成部分。
3.2訪問(wèn)控制策略
訪問(wèn)控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,其任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用,而訪問(wèn)控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制策略包括入網(wǎng)訪問(wèn)控制策略、操作權(quán)限控制策略、目錄安全控制策略、屬性安全控制策略、網(wǎng)絡(luò)服務(wù)器安全控制策略、網(wǎng)絡(luò)監(jiān)測(cè)、鎖定控制策略和防火墻控制策略等7個(gè)方面的內(nèi)容。
3.3入侵檢測(cè)系統(tǒng)(ids,intrusion detection system)
入侵檢測(cè)系統(tǒng)是為保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全而設(shè)計(jì)的一種用于檢測(cè)違反安全策略行為的技術(shù),它能夠及時(shí)發(fā)現(xiàn)并報(bào)告網(wǎng)絡(luò)中未授權(quán)的訪問(wèn)或異常現(xiàn)象。違反安全策略的行為,主要是指入侵和濫用--通常將非法用戶的違規(guī)訪問(wèn)行為稱為入侵,將合法用戶的違規(guī)訪問(wèn)行為稱為濫用。
入侵檢測(cè)使用兩種基本的檢測(cè)技術(shù):特征檢測(cè)與異常檢測(cè)。前者常常是對(duì)網(wǎng)上流動(dòng)的數(shù)據(jù)內(nèi)容進(jìn)行分析,找出\"黑客\"攻擊的表征。后者往往是對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)流量進(jìn)行分析,找出表現(xiàn)異常的網(wǎng)絡(luò)通信。功能簡(jiǎn)單的入侵檢測(cè)系統(tǒng)可能只使用這兩種技術(shù)中的一種。
3.4對(duì)病毒、木馬定期查殺
由于頻繁的數(shù)據(jù)交換,網(wǎng)絡(luò)中數(shù)據(jù)的上傳下載以及校園網(wǎng)使用者的水平良莠不齊,給病毒、木馬在網(wǎng)絡(luò)中的傳播提供了機(jī)會(huì),所以應(yīng)選擇合適的網(wǎng)絡(luò)殺毒軟件,及時(shí)更新病毒庫(kù),定期對(duì)病毒、木馬進(jìn)行查殺。
篇8
1硬件防火墻外網(wǎng)是要鏈接到Internet上的,所以網(wǎng)絡(luò)安全尤為重要,硬件防火墻是必不可少的。通過(guò)硬件防火墻的設(shè)置,可以進(jìn)行包括過(guò)濾和狀態(tài)檢測(cè),過(guò)濾掉一些IP地址和有威脅的程序不進(jìn)入辦公網(wǎng)絡(luò)。硬件防火墻針對(duì)病毒入侵的原理,可以做出相應(yīng)的策略,從源頭上確保網(wǎng)絡(luò)安全。
2網(wǎng)絡(luò)管理軟件網(wǎng)絡(luò)管理軟件提供網(wǎng)絡(luò)系統(tǒng)的配置、故障、性能及網(wǎng)絡(luò)用戶分布方面的基本管理,也就是說(shuō),網(wǎng)絡(luò)管理的各種功能最終會(huì)體現(xiàn)在網(wǎng)絡(luò)管理軟件的各種功能的實(shí)現(xiàn)上,軟件是網(wǎng)絡(luò)管理的“靈魂”,也是網(wǎng)絡(luò)管理系統(tǒng)的核心。
通過(guò)網(wǎng)絡(luò)管理軟件網(wǎng)管人員可以控制流量,設(shè)置不同用戶訪問(wèn)的網(wǎng)址和使用的應(yīng)用程序,設(shè)置不同時(shí)間可以訪問(wèn)的網(wǎng)址,以及屏蔽掉一些游戲、股票等非工作需要的程序。可以實(shí)時(shí)監(jiān)控客戶端的網(wǎng)絡(luò)行為,查看是否有非工作內(nèi)容的操作。定期備份日志,保證辦公網(wǎng)正常有序的工作。
管理制度
篇9
二、技術(shù)要求:
(一)網(wǎng)管系統(tǒng)技術(shù)
1、各縣(區(qū))人民政府、管委會(huì)必須建立政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)管理系統(tǒng)和政務(wù)外網(wǎng)管理系統(tǒng)。
2、網(wǎng)管系統(tǒng)服務(wù)器必須規(guī)劃為VLAN9所在網(wǎng)段,不能隨意更改。
3、網(wǎng)管系統(tǒng)服務(wù)器應(yīng)專機(jī)專用,不得隨意在網(wǎng)管服務(wù)器主機(jī)上安裝與工作無(wú)關(guān)、不安全的軟件,禁止利用網(wǎng)管系統(tǒng)服務(wù)器上互聯(lián)網(wǎng)。
4、網(wǎng)管系統(tǒng)應(yīng)能實(shí)時(shí)監(jiān)測(cè)所有設(shè)備的運(yùn)行狀況,并有基本的設(shè)備管理、告警管理、拓?fù)涔芾淼裙δ堋>W(wǎng)管系統(tǒng)的拓?fù)鋱D應(yīng)能真實(shí)反映本級(jí)政務(wù)信息網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)。
5、網(wǎng)管系統(tǒng)應(yīng)能實(shí)時(shí)監(jiān)測(cè)本級(jí)政務(wù)信息網(wǎng)互聯(lián)網(wǎng)出口、骨干節(jié)點(diǎn)、重要用戶流量運(yùn)行狀況。
(二)安裝實(shí)時(shí)監(jiān)控軟件
1、各縣(區(qū))人民政府、管委會(huì)政務(wù)信息網(wǎng)互聯(lián)網(wǎng)出口應(yīng)安裝實(shí)時(shí)監(jiān)控軟件,如SNIFFERPRO,ETHERPEEK等。
2、監(jiān)控軟件應(yīng)能實(shí)時(shí)顯示網(wǎng)絡(luò)中當(dāng)前流量最大的主機(jī)(IP地址)。
3、監(jiān)控軟件應(yīng)能在網(wǎng)絡(luò)流量發(fā)生異常時(shí),能捕獲指定主機(jī)及指定網(wǎng)段所通過(guò)的報(bào)文,并能進(jìn)行分析。
(三)防火墻地址設(shè)置
1、各縣、區(qū)、管委會(huì)防火墻接口地址與政務(wù)網(wǎng)相連的互聯(lián)地址應(yīng)規(guī)劃在VLAN7所在的網(wǎng)段,即防火墻接口地址為10.X.7.253/24,對(duì)應(yīng)政務(wù)網(wǎng)設(shè)備上互聯(lián)地址為10.X.7.254/24(X為所在地地域號(hào))。
2、防火墻日志服務(wù)器下掛在核心交換機(jī)上,防火墻日志服務(wù)器地址與其它網(wǎng)管系統(tǒng)服務(wù)器地址均規(guī)劃在VLAN9內(nèi),IP地址應(yīng)規(guī)劃在VLAN9所在網(wǎng)段,防火墻日志服務(wù)器IP地址為10.X.9.10/24,網(wǎng)關(guān)為10.X.9.254/24,且服務(wù)器不得重復(fù)他用。
(四)硬件設(shè)備配置
1、服務(wù)器配置及數(shù)量要求
服務(wù)器雙核CPU3.0G、2G內(nèi)存,操作系統(tǒng)WINDOWSSERVER2005及SQL2005。政務(wù)外網(wǎng)至少需要部署1臺(tái)網(wǎng)絡(luò)管理服務(wù)器,政務(wù)內(nèi)網(wǎng)至少需要部署1臺(tái)網(wǎng)絡(luò)管理服務(wù)器。具有防火墻的還需部署1臺(tái)防火墻日志服務(wù)器。
2、網(wǎng)管終端配置及數(shù)量要求
網(wǎng)管終端CPUP42.8G以上,內(nèi)存1G,操作系統(tǒng)WINDOWSXP。政務(wù)外網(wǎng)至少需要1臺(tái)PC終端,政務(wù)內(nèi)網(wǎng)至少需要1臺(tái)PC終端。
3、實(shí)時(shí)監(jiān)控的交換機(jī)要求
用來(lái)實(shí)時(shí)監(jiān)控抓包的交換機(jī),需要支持百兆端口,支持端口鏡像。
二、管理要求
(一)網(wǎng)管值班人員及職責(zé)
1、制定管理制度
各縣(區(qū))人民政府、管委會(huì)應(yīng)建有政務(wù)網(wǎng)網(wǎng)絡(luò)管理辦法、用戶計(jì)算機(jī)網(wǎng)絡(luò)接入管理辦法、計(jì)算機(jī)病毒防治管理辦法、政務(wù)網(wǎng)安全保護(hù)管理辦法、網(wǎng)絡(luò)值班制度、數(shù)據(jù)及文檔資料保密制度、數(shù)據(jù)備份制度、機(jī)房管理制度等。
2、人員安排
各縣(區(qū))人民政府、管委會(huì)每天應(yīng)安排技術(shù)人員值班,并做好網(wǎng)絡(luò)維護(hù)及值班記錄。
(二)向上級(jí)匯報(bào)、備案制度
篇10
隨著全國(guó)信息化建設(shè)的發(fā)展和消防信息化的深入,消防業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)量和提供服務(wù)的用戶數(shù)不斷增加,同時(shí),公安部消防局統(tǒng)一開(kāi)發(fā)的一體化消防業(yè)務(wù)信息系統(tǒng)逐步在各總隊(duì)深入推廣應(yīng)用,因此,為保障總隊(duì)信息系統(tǒng)的穩(wěn)定可靠運(yùn)行,總隊(duì)在部局規(guī)劃指導(dǎo)下,開(kāi)展一體化信息系統(tǒng)信息安全保障項(xiàng)目建設(shè),構(gòu)建設(shè)計(jì)動(dòng)態(tài)積極安全防御體系,保障全局一體化業(yè)務(wù)系統(tǒng)穩(wěn)定可靠地運(yùn)行。
2.系統(tǒng)特點(diǎn)
一體化消防業(yè)務(wù)信息系統(tǒng)是公安部消防局根據(jù)十一五期間信息化建設(shè)項(xiàng)目總體實(shí)施方案統(tǒng)一規(guī)劃設(shè)計(jì),根據(jù)整體業(yè)務(wù)進(jìn)行需求分析研發(fā)的信息系統(tǒng),系統(tǒng)實(shí)現(xiàn)了縱貫部局,總隊(duì),支隊(duì),大隊(duì),中隊(duì)各級(jí),橫跨各業(yè)務(wù)部門的信息資源共享,互聯(lián)互通。系統(tǒng)以基礎(chǔ)數(shù)據(jù)及公眾服務(wù)兩大平臺(tái)為建設(shè)核心,包含滅火救援指揮系統(tǒng),消防監(jiān)督管理系統(tǒng),部隊(duì)管理系統(tǒng),公眾服務(wù)平臺(tái),綜合統(tǒng)計(jì)分析信息系統(tǒng)五大業(yè)務(wù)系統(tǒng)。并針對(duì)一體化業(yè)務(wù)平臺(tái),提供二次開(kāi)發(fā)接口,保證和其他業(yè)務(wù)信息系統(tǒng)的銜接。系統(tǒng)采用面向服務(wù)的SOA的設(shè)計(jì)理念,最終實(shí)現(xiàn)音頻,視頻,數(shù)據(jù)的綜合集成,使一體化業(yè)務(wù)系統(tǒng)能實(shí)現(xiàn)互聯(lián)互通互操作。
系統(tǒng)建設(shè)主要依托“金盾工程”,利用“金盾工程”的現(xiàn)有公安網(wǎng)基礎(chǔ)網(wǎng)絡(luò)和信息資源,按照網(wǎng)絡(luò)應(yīng)用環(huán)境不同,分為公安信息網(wǎng)(以下簡(jiǎn)稱“公安網(wǎng)”)應(yīng)用系統(tǒng)、互聯(lián)網(wǎng)應(yīng)用系統(tǒng)、公安網(wǎng)與互聯(lián)網(wǎng)同步應(yīng)用系統(tǒng)。公安網(wǎng)應(yīng)用系統(tǒng)是指僅在公安網(wǎng)上運(yùn)行的消防業(yè)務(wù)信息系統(tǒng),互聯(lián)網(wǎng)應(yīng)用系統(tǒng)是指在非公安網(wǎng)運(yùn)行的消防業(yè)務(wù)信息系統(tǒng)。公安網(wǎng)與互聯(lián)網(wǎng)同步應(yīng)用系統(tǒng)是指同時(shí)在公安網(wǎng)和非公安網(wǎng)開(kāi)展業(yè)務(wù)應(yīng)用、并且相互間有數(shù)據(jù)交換要求的消防業(yè)務(wù)信息系統(tǒng)。
根據(jù)部局的一體化系統(tǒng)建設(shè)指導(dǎo)方案和系統(tǒng)設(shè)計(jì)架構(gòu),總隊(duì)結(jié)合當(dāng)前實(shí)際情況,對(duì)一體化消防業(yè)務(wù)信息系統(tǒng)暫采用混合部署模式,即整個(gè)總隊(duì)的一體化業(yè)務(wù)系統(tǒng)的應(yīng)用及服務(wù)均部署于總隊(duì)信息中心,由總隊(duì)統(tǒng)一規(guī)劃,統(tǒng)一管理,開(kāi)展一體化消防業(yè)務(wù)信息系統(tǒng)體系建設(shè)。
3. 系統(tǒng)信息安全管理體系設(shè)計(jì)
為保證一體化消防業(yè)務(wù)信息系統(tǒng)的高可用性和高可控性,總隊(duì)按照武警消防部隊(duì)信息化建設(shè)總體方案的要求,對(duì)全總隊(duì)網(wǎng)絡(luò)信息安全設(shè)備配備及部署進(jìn)行統(tǒng)一規(guī)劃、設(shè)計(jì),購(gòu)買相應(yīng)設(shè)備,利用信息安全基礎(chǔ)設(shè)施和信息系統(tǒng)防護(hù)手段,構(gòu)建與基礎(chǔ)網(wǎng)絡(luò)相適應(yīng)的信息安全管理體系。
3.1總隊(duì)信息安全管理體系安全域劃分
由于總隊(duì)內(nèi)部計(jì)算機(jī)數(shù)量眾多,并涉及到公安網(wǎng),互聯(lián)網(wǎng)以及政務(wù)網(wǎng)多個(gè)網(wǎng)絡(luò)的應(yīng)用,為便于管理和控制網(wǎng)絡(luò)廣播風(fēng)暴的發(fā)生,應(yīng)根據(jù)計(jì)算機(jī)所屬部門、物理位置、重要性的不同,把局域網(wǎng)劃分為多個(gè)虛擬子網(wǎng)(VLAN1…VLANn)。根據(jù)各VLAN間的安全訪問(wèn)級(jí)別不同,實(shí)現(xiàn)各VLAN間的安全訪問(wèn)控制。
根據(jù)各類軟硬件設(shè)備提供應(yīng)用的范圍、面向的用戶群以及影響面、重要性的不同,站在全局的高度,合理劃分安全域,確定安全需求和訪問(wèn)控制策略、安全硬件部署策略。
總隊(duì)安全域劃分:
(1)核心業(yè)務(wù)處理區(qū):涉及一體化消防業(yè)務(wù)信息系統(tǒng)中的部分業(yè)務(wù)系統(tǒng)。該安全域中的業(yè)務(wù)系統(tǒng)支持本地內(nèi)網(wǎng)的業(yè)務(wù)應(yīng)用,無(wú)需與外部實(shí)體進(jìn)行數(shù)據(jù)或業(yè)務(wù)的交互。
(2)119接處警系統(tǒng)區(qū):涉及119接處警系統(tǒng)所有應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、數(shù)字錄音儀、接處警終端以及其它附屬設(shè)備。本區(qū)域設(shè)備支撐119報(bào)警的受理、處置、調(diào)度、反饋以及災(zāi)后數(shù)據(jù)分析等全流程業(yè)務(wù)應(yīng)用,為全內(nèi)網(wǎng)應(yīng)用。總隊(duì)119接處警系統(tǒng)將與一體化消防業(yè)務(wù)信息系統(tǒng)的滅火救援系統(tǒng)開(kāi)發(fā)數(shù)據(jù)接口。
(3)特殊業(yè)務(wù)受理區(qū):涉及一體化消防業(yè)務(wù)信息系統(tǒng)中部分業(yè)務(wù)系統(tǒng),主要是面向移動(dòng)終端的業(yè)務(wù)接入,包括滅火救援、消防監(jiān)督的業(yè)務(wù)受理系統(tǒng),特殊業(yè)務(wù)受理區(qū)的受理服務(wù)器可以將受理的業(yè)務(wù)數(shù)據(jù)“擺渡”到業(yè)務(wù)處理區(qū)進(jìn)行處理,在得到處理區(qū)服務(wù)器的反饋后,再將反饋信息回傳到移動(dòng)終端上,完成整個(gè)業(yè)務(wù)處理流程。
(4)特殊業(yè)務(wù)處理區(qū):涉及滅火救援指揮、消防監(jiān)督的業(yè)務(wù)處理系統(tǒng),實(shí)時(shí)處理由業(yè)務(wù)受理平臺(tái)“擺渡”過(guò)來(lái)的數(shù)據(jù),在處理后反饋給特殊業(yè)務(wù)受理區(qū)的受理服務(wù)器。
(5)內(nèi)網(wǎng)終端區(qū):由內(nèi)網(wǎng)中的辦公終端組成,內(nèi)網(wǎng)終端區(qū)用戶可以訪問(wèn)網(wǎng)絡(luò)中授權(quán)訪問(wèn)的業(yè)務(wù)系統(tǒng)。
(6)內(nèi)網(wǎng)管理區(qū):將內(nèi)網(wǎng)中的各類管理服務(wù)器置于內(nèi)網(wǎng)管理中,集中進(jìn)行安全策略的定制、下發(fā),集中監(jiān)控各類系統(tǒng)運(yùn)行狀態(tài)。主要包括設(shè)備管理、終端管理、防病毒管理等。內(nèi)網(wǎng)管理區(qū)由內(nèi)網(wǎng)中具備相應(yīng)管理權(quán)限的管理員來(lái)訪問(wèn)。
3.2信息安全保障體系構(gòu)成
總隊(duì)信息系統(tǒng)安全保障技術(shù)體系由物理安全、通信網(wǎng)絡(luò)安全、計(jì)算環(huán)境安全、數(shù)據(jù)安全、安全基礎(chǔ)支撐和安全管理構(gòu)成。其中,安全基礎(chǔ)支撐為物理安全、網(wǎng)絡(luò)安全、計(jì)算環(huán)境安全和數(shù)據(jù)安全提供支持,安全管理為整個(gè)安全保障體系提供全面的管理。
安全基礎(chǔ)支撐主要涉及總隊(duì)一體化系統(tǒng)中的身份認(rèn)證與授權(quán)系統(tǒng),包括服務(wù)器計(jì)算機(jī)硬件設(shè)備以及安全認(rèn)證網(wǎng)關(guān)設(shè)備。通過(guò)部署身份認(rèn)證與授權(quán)系統(tǒng)及安全認(rèn)證網(wǎng)關(guān)于核心業(yè)務(wù)處理區(qū),確保總隊(duì)認(rèn)證服務(wù)及CA系統(tǒng)正常運(yùn)行,利用數(shù)字證書(shū)登錄訪問(wèn)一體化消防業(yè)務(wù)信息系統(tǒng)的模式,加強(qiáng)一體化系統(tǒng)的訪問(wèn)控制安全,提高一體化系統(tǒng)的安全級(jí)別,是整個(gè)系統(tǒng)的基礎(chǔ)和支撐,是實(shí)現(xiàn)總隊(duì)信息系統(tǒng)安全保障的共性設(shè)施。
數(shù)據(jù)安全包括數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)、數(shù)據(jù)庫(kù)訪問(wèn)控制系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、數(shù)據(jù)容災(zāi)備份系統(tǒng)等,用于保障消防信息系統(tǒng)中的所有數(shù)據(jù)庫(kù)安全。
總隊(duì)通過(guò)在涉及到一體化消防業(yè)務(wù)信息系統(tǒng)的業(yè)務(wù)區(qū)對(duì)一體化業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)部署磁盤陣列以及硬盤自備份和移動(dòng)存儲(chǔ)備份方式,設(shè)置全量備份,增量備份策略,執(zhí)行方式為日備份,周備份,月備份以及臨時(shí)應(yīng)急備份,確保一體化系統(tǒng)的數(shù)據(jù)安全可靠。同時(shí)通過(guò)部署數(shù)據(jù)庫(kù)入侵監(jiān)測(cè)及審計(jì)系統(tǒng),加強(qiáng)系統(tǒng)的數(shù)據(jù)庫(kù)安全,確保數(shù)據(jù)庫(kù)無(wú)故障和穩(wěn)定運(yùn)行 。在核心業(yè)務(wù)信息系統(tǒng)和需要重點(diǎn)保護(hù)的信息系統(tǒng)中部署數(shù)據(jù)審計(jì)系統(tǒng),實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)各種賬戶的數(shù)據(jù)庫(kù)操作行為(如插入、刪除、更新、用戶自定義操作等),從而降低數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn),保護(hù)數(shù)據(jù)庫(kù)安全。
網(wǎng)絡(luò)安全包括隔離防火墻、網(wǎng)絡(luò)入侵檢測(cè)設(shè)備、信息內(nèi)容審計(jì)監(jiān)控等設(shè)備,主要在各級(jí)區(qū)域網(wǎng)絡(luò)互連的邊界位置進(jìn)行安全防護(hù)和訪問(wèn)控制,對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行實(shí)時(shí)的檢測(cè)與訪問(wèn)控制,以發(fā)現(xiàn)異常流量,并進(jìn)行分析、阻斷和報(bào)告。
根據(jù)安全域劃分,總隊(duì)在各安全域間部署防火墻,并在防火墻上設(shè)置相應(yīng)策略,實(shí)現(xiàn)安全域間的訪問(wèn)控制。在核心交換機(jī)上部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng),在網(wǎng)絡(luò)邊界部署一臺(tái)入侵防護(hù)系統(tǒng),實(shí)現(xiàn)對(duì)外部流入數(shù)據(jù)的監(jiān)測(cè),一旦發(fā)現(xiàn)入侵行為及時(shí)報(bào)警并依據(jù)策略進(jìn)行阻斷。同時(shí)利用IPS系統(tǒng)的惡意代碼防護(hù)模塊對(duì)網(wǎng)絡(luò)出口處的數(shù)據(jù)進(jìn)行惡意代碼防護(hù)。在核心交換機(jī)上利用入侵檢測(cè)系統(tǒng)針對(duì)所要監(jiān)控流量端口做鏡像,實(shí)現(xiàn)對(duì)流經(jīng)核心交換機(jī)的流量進(jìn)行監(jiān)測(cè),一旦發(fā)現(xiàn)入侵行為或惡意行為,及時(shí)進(jìn)行報(bào)警。
計(jì)算環(huán)境安全:通過(guò)公安網(wǎng)一機(jī)兩用監(jiān)控系統(tǒng)以及互聯(lián)網(wǎng)一機(jī)兩用監(jiān)控兩套終端安全管理監(jiān)測(cè)系統(tǒng)對(duì)安全域內(nèi)的終端設(shè)備進(jìn)行監(jiān)測(cè)管理及系統(tǒng)補(bǔ)丁集中分發(fā)工作,結(jié)合部署在公安網(wǎng)和互聯(lián)網(wǎng)上的防病毒軟件系統(tǒng)服務(wù)器進(jìn)行集中控制和病毒防控升級(jí)工作,對(duì)部署在總隊(duì)局域網(wǎng)的計(jì)算機(jī)終端、服務(wù)器、及其運(yùn)行的應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)。
物理安全包含環(huán)境安全,設(shè)備安全,介質(zhì)安全三個(gè)方面。通過(guò)信息中心機(jī)房的門禁系統(tǒng)、防雷設(shè)施、防火設(shè)施、穩(wěn)壓UPS電源,機(jī)房溫、濕度監(jiān)控系統(tǒng)及LED顯示,聲光報(bào)警等多種手段及措施,構(gòu)筑我總隊(duì)一體化消防業(yè)務(wù)信息系統(tǒng)的物理安全防護(hù)體系。
安全管理主要指綜合安全管理中心,通過(guò)集中的安全管理,保障整個(gè)安全系統(tǒng)在統(tǒng)一的安全策略指導(dǎo)下運(yùn)作,通過(guò)制定統(tǒng)一的安全管理協(xié)議、安全管理接口規(guī)范和安全管理數(shù)據(jù)格式,實(shí)現(xiàn)對(duì)用戶、設(shè)備、事件的統(tǒng)一集中管理,實(shí)現(xiàn)信息系統(tǒng)中各類安全設(shè)備的統(tǒng)一管理,安全服務(wù)的實(shí)時(shí)監(jiān)控和安全審計(jì),并提供安全策略的實(shí)施和維護(hù)。
目前,總隊(duì)通過(guò)部署NCC網(wǎng)絡(luò)監(jiān)控和BCC業(yè)務(wù)系監(jiān)控平臺(tái),對(duì)安全域的網(wǎng)絡(luò)設(shè)備以及各業(yè)務(wù)服務(wù)器應(yīng)用,數(shù)據(jù)庫(kù)等設(shè)置閥值和策略,進(jìn)行集中管理,通過(guò)NCC和BCC進(jìn)行每日巡檢。下一步將通過(guò)COSS管理平臺(tái)并平臺(tái)的二次開(kāi)發(fā)接口,擬對(duì)一體化系統(tǒng)的深入推廣應(yīng)用進(jìn)行全方位監(jiān)控管理。
3.3信息安全管理體系應(yīng)急預(yù)案制定演練
信息安全管理體系建設(shè)的最終目標(biāo)是保障一體化業(yè)務(wù)的正常穩(wěn)定運(yùn)行,各類防護(hù)措施的應(yīng)用最大程度的降低了安全風(fēng)險(xiǎn),但由于各種新的病毒、黑客技術(shù)層出不窮,制訂完善的應(yīng)急預(yù)案,確保系統(tǒng)遭受安全攻擊后的可恢復(fù)性就成了系統(tǒng)防御的最后保障。
在應(yīng)急預(yù)案中,應(yīng)明確從單機(jī)故障到全網(wǎng)絡(luò)癱瘓、從影響個(gè)人辦公到全單位業(yè)務(wù)乃至造成重大社會(huì)影響的不同級(jí)別網(wǎng)絡(luò)安全事件的定義,逐一制訂對(duì)應(yīng)的技術(shù)措施和管理、處置、上報(bào)機(jī)制,明確每一個(gè)步驟的責(zé)任人、責(zé)任單位。在應(yīng)急預(yù)案制訂完成后,必須通過(guò)至少兩到三次的不同級(jí)別、層級(jí)安全事件應(yīng)急處置演練進(jìn)行檢驗(yàn),查找缺陷,完善不足,同時(shí)根據(jù)單位信息系統(tǒng)建設(shè)、應(yīng)用的發(fā)展和網(wǎng)絡(luò)設(shè)備的更新不斷進(jìn)行調(diào)整,確保應(yīng)急預(yù)案的最后保障作用。
4.結(jié)束語(yǔ)
通過(guò)安全技術(shù)措施及各類軟硬件設(shè)備組合構(gòu)筑一體化消防業(yè)務(wù)信息系統(tǒng)信息安全管理體系,確保系統(tǒng)穩(wěn)定運(yùn)行。但安全事故很多時(shí)候不是因?yàn)榧夹g(shù)原因造成的,二是人們沒(méi)有認(rèn)識(shí)到信息安全,以至于忽視了安全流程或者躲避技術(shù)控制措施,對(duì)于各類與外網(wǎng)邏輯隔離或物理隔離的專用網(wǎng)絡(luò)(如公安網(wǎng))來(lái)說(shuō),其源自于內(nèi)部的網(wǎng)絡(luò)安全威脅比例更高。因此,建立健全單位內(nèi)部網(wǎng)絡(luò)安全管理制度,加強(qiáng)網(wǎng)絡(luò)安全教育,提升內(nèi)部人員的信息安全意識(shí)就成為了增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理水平的首選措施。
總隊(duì)在加強(qiáng)信息化建設(shè)過(guò)程中必須加強(qiáng)安全保密管理,設(shè)置安全保密管理機(jī)構(gòu),制定嚴(yán)格的安全保密管理制度,采用適當(dāng)?shù)陌踩C芄芾砑夹g(shù)將消防信息系統(tǒng)中的各種安全保密產(chǎn)品進(jìn)行集成,并加強(qiáng)對(duì)涉密人員的管理,形成完整的安全管理體系。同時(shí)將各類網(wǎng)路安全技術(shù)手段和硬件設(shè)備進(jìn)行有機(jī)組合,充分發(fā)揮各自的技術(shù)特長(zhǎng),以物理安全、通信網(wǎng)絡(luò)安全、計(jì)算環(huán)境安全、數(shù)據(jù)安全、安全基礎(chǔ)支撐和安全管理六大模塊構(gòu)成一體化信息安全保障管理體系,并輔之以具有高度可行性和可操作性的應(yīng)急預(yù)案和規(guī)范的運(yùn)維機(jī)制,做到網(wǎng)絡(luò)不斷,業(yè)務(wù)不癱,數(shù)據(jù)不丟。
篇11
2)整合網(wǎng)絡(luò)管理系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)可以說(shuō)是安裝在硬件設(shè)備上的一系列軟件,通過(guò)這些軟件對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)督和控制。因此,要對(duì)這些軟件設(shè)備進(jìn)行整體系統(tǒng)的管理和維護(hù)。不僅是軟件的研發(fā),更重要的是對(duì)軟件實(shí)施管理和維護(hù),讓管理和維護(hù)形成一定的管理規(guī)范和制度,比如按不同類型進(jìn)行分類,配置管理、性能管理、安全管理等,按不同類型來(lái)具體實(shí)施,這些都具有獨(dú)立性,最后統(tǒng)一整合管理。
3)配置明確網(wǎng)絡(luò)協(xié)議。網(wǎng)絡(luò)中各個(gè)設(shè)備都是獨(dú)立的,要靠網(wǎng)絡(luò)管理協(xié)議來(lái)進(jìn)行信息的交互和統(tǒng)一。通過(guò)配置和管理網(wǎng)絡(luò)協(xié)議來(lái)整體規(guī)范和管理系統(tǒng)。
1.2計(jì)算機(jī)網(wǎng)絡(luò)管理的日常工作制度
1)定期檢查軟件,進(jìn)行升級(jí)管理。對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的任何硬件和軟件都應(yīng)該進(jìn)行定期檢查,尤其服務(wù)器軟件,需要定期檢查,然后進(jìn)行更新升級(jí)。主要是對(duì)服務(wù)器操作系統(tǒng)及應(yīng)用軟件系統(tǒng)進(jìn)行升級(jí)、打補(bǔ)丁、防止系統(tǒng)漏洞。
2)數(shù)據(jù)定期備份。數(shù)據(jù)對(duì)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)而言十分重要。為了防止數(shù)據(jù)丟失,保障數(shù)據(jù)安全,應(yīng)該定期對(duì)數(shù)據(jù)進(jìn)行備份。
3)加強(qiáng)網(wǎng)絡(luò)防范。為了保障網(wǎng)絡(luò)安全,需要加強(qiáng)網(wǎng)絡(luò)防范。比如增加防火墻來(lái)防止外界入侵,保障網(wǎng)絡(luò)安全。主要從網(wǎng)絡(luò)系統(tǒng)的硬件和軟件上做防范措施。工作人員應(yīng)該定期參加網(wǎng)絡(luò)知識(shí)培訓(xùn),了解最新的動(dòng)態(tài),進(jìn)行加強(qiáng)網(wǎng)絡(luò)認(rèn)識(shí)和防范意識(shí)。工作人員要嚴(yán)格遵守所在單位的管理制度,防止密碼等保密信息外泄等。
4)定期排查網(wǎng)絡(luò),及時(shí)更改。作為網(wǎng)絡(luò)管理員應(yīng)該定期對(duì)網(wǎng)絡(luò)做安全檢查,在檢查過(guò)程中,對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)問(wèn)題應(yīng)該及時(shí)更改。作為一名網(wǎng)絡(luò)管理員一定要認(rèn)真負(fù)責(zé)檢查每一處,從而保障網(wǎng)絡(luò)安全。通過(guò)分類和整合,制定一定的管理規(guī)范,遇到故障時(shí),合理分析、推斷、排除、解決故障,保證計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行。
2維護(hù)管理中常見(jiàn)問(wèn)題的解決方法
作為一名網(wǎng)絡(luò)管理員必須了解網(wǎng)絡(luò)系統(tǒng)中的設(shè)備,熟悉硬件和軟件,了解操作流程,要有豐富的工作經(jīng)驗(yàn)。計(jì)算機(jī)網(wǎng)絡(luò)管理和維護(hù)包括很多方面:①了解網(wǎng)絡(luò)結(jié)構(gòu),熟悉設(shè)備管理,保障網(wǎng)絡(luò)的正常運(yùn)行。②了解配置文件,熟悉路由器和交換機(jī)等。③了解網(wǎng)絡(luò)內(nèi)部連接,發(fā)現(xiàn)故障問(wèn)題及時(shí)檢查定位,排查網(wǎng)絡(luò),排除安全隱患。④掌握用戶資源,做好用戶資源安全管理。
2.1日常維護(hù),保證網(wǎng)絡(luò)正常工作計(jì)算機(jī)網(wǎng)絡(luò)管理員應(yīng)該做好日常工作,經(jīng)常性的查看監(jiān)控軟件,根據(jù)監(jiān)控軟件信息,了解整個(gè)網(wǎng)絡(luò)。每天要對(duì)核心服務(wù)器、路由器、交換機(jī)、防火墻、用戶接入口、出口等實(shí)施日志監(jiān)控和查看,查看流量信息等,從而發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的故障或者攻擊。2.2了解網(wǎng)絡(luò)設(shè)備了解網(wǎng)絡(luò)設(shè)備是指管理員一定要熟知網(wǎng)絡(luò)系統(tǒng)中的各個(gè)設(shè)備,了解設(shè)備的型號(hào)、性能、配置方法、功能、數(shù)據(jù)配置等,從而把網(wǎng)絡(luò)遇到問(wèn)題及時(shí)排查。比如,要了解網(wǎng)絡(luò)中每1臺(tái)路由器的配置,是靜態(tài)路由還是動(dòng)態(tài)路由,熟悉RIP、OSPF等路由配置,掌握BGP等外網(wǎng)路由管理,要熟悉日常維護(hù)管理,進(jìn)而排除故障。
2.3及時(shí)備份文件網(wǎng)絡(luò)偶爾有突發(fā)狀況發(fā)生,比如斷電,會(huì)給網(wǎng)絡(luò)造成很大損失,造成數(shù)據(jù)文件丟失等,所以,管理人員應(yīng)該及時(shí)備份數(shù)據(jù)文件,也可以通過(guò)軟件進(jìn)行定期、定時(shí)備份。
2.4有效管理資源計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中資源多、復(fù)雜,有各種設(shè)備資源,比如,交換機(jī)接口,路由器接口,網(wǎng)管接口等等,還有數(shù)據(jù)資源,IP地址、硬件資源等,這些都需要有效地分配和管理。只有合理規(guī)劃各項(xiàng)資源,才能保證網(wǎng)絡(luò)不會(huì)存在差錯(cuò)和沖突,才能保證網(wǎng)絡(luò)正常運(yùn)行。比如,IP地址資源,如果網(wǎng)絡(luò)中是靜態(tài)IP地址,就要防止IP地址重復(fù)分配,造成網(wǎng)絡(luò)沖突。
2.5內(nèi)網(wǎng)安全內(nèi)網(wǎng)是屬于本單位或本系統(tǒng)內(nèi)部管理與使用的并相對(duì)獨(dú)立于外網(wǎng)(互聯(lián)網(wǎng))的局域網(wǎng)或廣域網(wǎng)。要想保證內(nèi)網(wǎng)安全,重點(diǎn)是做好內(nèi)網(wǎng)與外網(wǎng)之間的安全防護(hù),增加安全隔離設(shè)備或進(jìn)行物理隔離,杜絕內(nèi)外網(wǎng)互聯(lián)互通,以防止外網(wǎng)入侵。對(duì)于有些單位內(nèi)外網(wǎng)無(wú)法完全隔離開(kāi)來(lái)的情況下,內(nèi)外網(wǎng)間安裝防火墻軟硬件,配置ACL訪問(wèn)控制列表,通過(guò)這些來(lái)保證安全。防火墻能阻擋外網(wǎng)的一些入侵,通過(guò)ACL來(lái)設(shè)置那些網(wǎng)段可以進(jìn)去內(nèi)容,從而避免惡意入侵。
2.6用戶權(quán)限管理網(wǎng)絡(luò)中用戶很多,為了保證網(wǎng)絡(luò)安全,應(yīng)該了解用戶需求及工作性質(zhì),為不同用戶制定不同權(quán)限。管理員應(yīng)經(jīng)常查看日志文件,了解用戶的網(wǎng)上應(yīng)用和流量情況,及時(shí)調(diào)整用戶權(quán)限,刪除或禁用一些不正常的用戶權(quán)限,保障網(wǎng)絡(luò)安全。
2.7制定嚴(yán)格有效的上網(wǎng)管理制度建立上網(wǎng)管理制度,加強(qiáng)單位職工網(wǎng)絡(luò)安全方面的教育,提高安全意識(shí),加強(qiáng)上網(wǎng)行為管理,及時(shí)通報(bào)不良行為,創(chuàng)造一個(gè)良好的網(wǎng)絡(luò)應(yīng)用環(huán)境,對(duì)于保證網(wǎng)絡(luò)系統(tǒng)能夠長(zhǎng)期安全、穩(wěn)定、有效運(yùn)行同樣必不可少。
篇12
當(dāng)今社會(huì)科技高速發(fā)展,信息技術(shù)應(yīng)用逐漸廣泛,不少企事業(yè)、單位均在內(nèi)部建立了大型的網(wǎng)路(計(jì)算機(jī)網(wǎng)絡(luò)),比如生產(chǎn)指揮系統(tǒng),鐵路局域網(wǎng),車站客戶購(gòu)票系統(tǒng)等大型系統(tǒng)。隨著信息技術(shù)帶給人們極大的快捷、方便,網(wǎng)路信息技術(shù)的安全也就越來(lái)越重要。計(jì)算機(jī)網(wǎng)絡(luò)安全所指的是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的軟硬件及數(shù)據(jù)受到的保護(hù),不因?yàn)槿藶橐蛩氐挠绊懚黄茐摹⒏模瑥亩9ぷ鳌4宋尼槍?duì)探討的就是如何加強(qiáng)對(duì)內(nèi)網(wǎng)安全的管理、維護(hù),以及防范等問(wèn)題。
2.企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)(以下簡(jiǎn)稱內(nèi)網(wǎng))的特點(diǎn)
2.1與外界網(wǎng)絡(luò)的隔離。
為了企業(yè)的生產(chǎn)、管理運(yùn)行和工作,大多數(shù)企業(yè)都建立了內(nèi)部網(wǎng),比較獨(dú)立,因此,物理連接方面與外界計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)系很少,與外界不進(jìn)行溝通。為了滿足企業(yè)與外界的聯(lián)系,內(nèi)網(wǎng)中個(gè)別客戶端計(jì)算機(jī)可能與外界聯(lián)系,但絕大多數(shù)用戶仍與外界隔絕。
2.2建立起S/C結(jié)構(gòu)的應(yīng)用。
內(nèi)部網(wǎng)中普遍設(shè)立了大量的S/C結(jié)構(gòu),可以提供很多功能,如web服務(wù)、ftp服務(wù)、實(shí)時(shí)通訊、網(wǎng)上會(huì)議等功能。其中,一些企業(yè)安裝了專門使用的軟件,并且建立了專門數(shù)據(jù)庫(kù),可以幫助企業(yè)制造大量的公文,并且進(jìn)行流轉(zhuǎn)、處理,各種文件傳輸,也可以進(jìn)行會(huì)議等。
2.3企業(yè)的日程運(yùn)轉(zhuǎn)越來(lái)越依賴于內(nèi)網(wǎng)。
由于ERP、CAD等辦公和生產(chǎn)系統(tǒng)的大量應(yīng)用,企業(yè)的日常運(yùn)轉(zhuǎn)對(duì)信息流通的依賴性越來(lái)越大,尤其是內(nèi)部信息網(wǎng)絡(luò)。另外,內(nèi)部網(wǎng)絡(luò)由于生產(chǎn)和辦公軟件系統(tǒng)的電子化、智能化,已經(jīng)成為單位信息和指令傳輸?shù)闹匾M成部分。
2.4對(duì)網(wǎng)絡(luò)安全提出了更高的要求。
大批量的終端、網(wǎng)絡(luò)設(shè)備和服務(wù)器共同組成了內(nèi)部網(wǎng)絡(luò),相互協(xié)調(diào)工作,成為嚴(yán)密的整體,因此,為了不使整個(gè)內(nèi)部網(wǎng)絡(luò)發(fā)生不必要的意外,企業(yè)在任何一方面的安全問(wèn)題都應(yīng)當(dāng)引起足夠的重視。這就要求內(nèi)網(wǎng)中的各部分要有較高的穩(wěn)定性、可靠性和可控性,尤其是服務(wù)器和數(shù)據(jù)庫(kù)。
3.一般內(nèi)網(wǎng)安全存在的問(wèn)題
計(jì)算機(jī)的安全級(jí)別若從高到低來(lái)講,可以分為主機(jī)系統(tǒng)的應(yīng)用服務(wù)安全、文件系統(tǒng)安全,系統(tǒng)服務(wù)安全,操作系統(tǒng)內(nèi)核安全,主機(jī)系統(tǒng)的物理安全。由于了解了內(nèi)部網(wǎng)絡(luò)的特征,我們可以很清楚地看出,內(nèi)網(wǎng)安全存在著很明顯的問(wèn)題,特別是技術(shù)和管理使用方面。
3.1內(nèi)網(wǎng)管理、使用方面存在問(wèn)題。
3.1.1網(wǎng)絡(luò)安全意識(shí)不強(qiáng)。
由于內(nèi)網(wǎng)還未得到大面積普及,部分企業(yè)的內(nèi)網(wǎng)組建比較倉(cāng)促,導(dǎo)致一些管理、使用人員對(duì)計(jì)算機(jī)知識(shí)了解不清楚,對(duì)網(wǎng)絡(luò)的安全問(wèn)題意識(shí)不夠,并且對(duì)信息資產(chǎn)保護(hù)的意識(shí)相對(duì)薄弱。因此,在每次計(jì)算機(jī)信息損壞,從而導(dǎo)致泄漏信息、文件遺失等安全問(wèn)題。這些問(wèn)題都會(huì)造成直接的經(jīng)濟(jì)損失。
3.1.2內(nèi)部人員使用不規(guī)范。
使用人員對(duì)計(jì)算機(jī)設(shè)備操作錯(cuò)誤而產(chǎn)生的問(wèn)題在內(nèi)網(wǎng)中占絕大多數(shù)。譬如,操作人員在計(jì)算機(jī)還未完全關(guān)閉后就關(guān)閉UPS電源,還有些操作人員在不經(jīng)常殺毒的前提下隨意在多臺(tái)計(jì)算機(jī)上使用U盤、活動(dòng)硬盤拷貝文件,給電腦病毒以可乘之機(jī)。有的用戶在沒(méi)有確定軟件地安全性就隨意地安裝,還有的計(jì)算機(jī)用戶隨意地將自己的賬戶密碼告知?jiǎng)e人,給計(jì)算機(jī)安全問(wèn)題造成巨大隱患。
3.2科技角度存在的漏洞。
3.2.1操作系統(tǒng)不能及時(shí)進(jìn)行升級(jí)完善。
沒(méi)有哪個(gè)操作系統(tǒng)是完美的,任何操作系統(tǒng)一定有自身的缺陷。正是這樣才給計(jì)算機(jī)病毒提供了溫床。原因在于內(nèi)網(wǎng)系統(tǒng)是一個(gè)獨(dú)立的體系,因而操作系統(tǒng)得不到及時(shí)升級(jí),從而無(wú)法保證內(nèi)網(wǎng)的安全。同樣,在應(yīng)用軟件方面也存在著不足。一般而言IIS的漏洞方式有:遠(yuǎn)程溢出漏洞、配置錯(cuò)誤漏洞、權(quán)限漏洞、解碼漏洞等,數(shù)據(jù)庫(kù)的漏洞形式注入式漏洞等。然而,有些編程人員卻忽略了安全這一重大問(wèn)題,產(chǎn)生了操作系統(tǒng)的缺陷和漏洞,更有甚者,為了便利而故意設(shè)置軟件的漏洞。
3.2.2關(guān)注匱乏,信息安全無(wú)法顧及全面。
在部分企業(yè)管理人員的觀念中對(duì)信息安全的關(guān)注不夠,從而造缺乏對(duì)信息安全產(chǎn)品的投入。在部分企業(yè)中有放棄使用網(wǎng)絡(luò)版防火墻和防病毒軟件以單機(jī)版產(chǎn)品替代的,有的企業(yè)使用一套防病毒軟件安裝多臺(tái)計(jì)算機(jī),甚至有的企業(yè)根本沒(méi)有使用任何防火墻和防病毒軟件。
4.預(yù)防方案
4.1敲響網(wǎng)絡(luò)安全的警鐘。
企業(yè)管理人員要培養(yǎng)網(wǎng)絡(luò)安全意識(shí)是穩(wěn)定企業(yè)內(nèi)網(wǎng)信息安全的先決條件。要及時(shí)對(duì)其進(jìn)行相應(yīng)的網(wǎng)絡(luò)應(yīng)用技術(shù)培訓(xùn),促使其專業(yè)技術(shù)水平提高,真正為企業(yè)消除在設(shè)備性能、信息安全方面的后顧之憂。對(duì)于因一線操作人員水平存在缺陷或因工作疏忽誤操作而造成的問(wèn)題,技術(shù)人員應(yīng)利用加密、屏幕保護(hù)加密、目錄加密、文件加密、網(wǎng)絡(luò)傳輸加密等專業(yè)技術(shù)來(lái)加以預(yù)防。
4.2加強(qiáng)有關(guān)規(guī)章完善,嚴(yán)格管理網(wǎng)絡(luò)使用。
加強(qiáng)網(wǎng)絡(luò)安全管理,提高有關(guān)規(guī)章制度完善程度,將有利于保障網(wǎng)絡(luò)安全、可靠運(yùn)行。完善計(jì)算機(jī)操作使用流程制度、網(wǎng)絡(luò)操作規(guī)范制度、U盤、活動(dòng)硬盤等信息介質(zhì)的妥善管理規(guī)定、保密機(jī)和密鑰等密碼安全問(wèn)責(zé)制度,同時(shí)建立健全計(jì)算機(jī)的維護(hù)制度和應(yīng)急措施、預(yù)案,以保障網(wǎng)絡(luò)系統(tǒng)的安全等。為使計(jì)算機(jī)安全工作有章可循,責(zé)任到人的目的,可嘗試上網(wǎng)信息保密審批領(lǐng)導(dǎo)責(zé)任制等安全隱患問(wèn)責(zé)制度,將計(jì)算機(jī)可能存在安全隱患的各個(gè)環(huán)節(jié)都能加以嚴(yán)格掌控。
4.3增強(qiáng)對(duì)計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)的技術(shù)維護(hù)。
4.3.1對(duì)專業(yè)人才進(jìn)行針對(duì)培養(yǎng),加大計(jì)算機(jī)硬件的防護(hù)措施。
在制定生存發(fā)展戰(zhàn)略的同時(shí),企業(yè)往往對(duì)專業(yè)人才的引進(jìn)與培養(yǎng)傾注大量精力,而其中計(jì)算機(jī)專業(yè)的技術(shù)人員相對(duì)較為缺乏。為了推動(dòng)企業(yè)發(fā)展,必須采取相應(yīng)的針對(duì)措施。第一,加大對(duì)計(jì)算機(jī)專業(yè)技術(shù)人才的引進(jìn);第二,為了對(duì)計(jì)算機(jī)保持長(zhǎng)期有效的維護(hù),定期對(duì)內(nèi)網(wǎng)技術(shù)專業(yè)人員進(jìn)行集中技能培訓(xùn),提高其專業(yè)素質(zhì);第三,為保證內(nèi)網(wǎng)設(shè)備的正常運(yùn)行,應(yīng)針對(duì)設(shè)備的使用環(huán)境、運(yùn)行情況進(jìn)行周期性檢查,及時(shí)更新和維護(hù)相應(yīng)的配件。
4.3.2保持計(jì)算機(jī)操作系統(tǒng)的更新,修補(bǔ)減少編程堵塞漏洞。
第一,保證操作系統(tǒng)正常運(yùn)行的首要條件就是定期對(duì)其進(jìn)行更新和補(bǔ)漏,并且由于互聯(lián)網(wǎng)沒(méi)有與內(nèi)網(wǎng)直通,更新與升級(jí)的任務(wù)需要靠維護(hù)人員手動(dòng)完成。補(bǔ)丁管理軟件能夠針對(duì)這一情況減輕維護(hù)人員的工作量,每次只需在服務(wù)器上更新一次,相應(yīng)所有客戶端便能夠自動(dòng)更新,安全便捷。如微軟公司(Microsoft)的WSUS(Windows Server Update Services)補(bǔ)丁管理軟件等,在現(xiàn)如今內(nèi)網(wǎng)服務(wù)器和終端較多的情況下,推薦使用這類軟件。第二,為最大限度地保證信息安全,類似系統(tǒng)中的WEB服務(wù),數(shù)據(jù)庫(kù)讀、寫等由開(kāi)發(fā)人員直接編程的專用程序應(yīng)用,要求加大安全力度,盡量將程序編寫的嚴(yán)密,將涉及用戶名與口令的程序封在服務(wù)端,對(duì)于與數(shù)據(jù)庫(kù)連接的用戶名與口令應(yīng)給予用戶最小的權(quán)限,營(yíng)造一個(gè)安全的信息環(huán)境。
4.3.3運(yùn)用防火墻、防病毒軟件等工具,定期對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和檢查。
為營(yíng)造安全訪問(wèn)空間,阻擋木馬病毒的傳播與侵入,應(yīng)在服務(wù)器、各終端邊界上建立起通信監(jiān)控系統(tǒng),利用防火墻技術(shù)來(lái)進(jìn)行實(shí)時(shí)檢查與隔離,從而提高內(nèi)網(wǎng)的安全性。安裝網(wǎng)絡(luò)監(jiān)控軟件,能夠及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)中存在的異常情況,并提供有效證據(jù),為事后追查問(wèn)題根源提供便捷。通過(guò)安裝網(wǎng)絡(luò)版防病毒軟件來(lái)加強(qiáng)病毒檢測(cè),及時(shí)發(fā)現(xiàn)病毒并予以清殺,可有效阻止其在網(wǎng)絡(luò)上的蔓延和破壞。
5.結(jié)語(yǔ)
網(wǎng)絡(luò)安全是企業(yè)應(yīng)該高度重視的一個(gè)綜合性課題,它既包括信息系統(tǒng)本身的安全,又有物理和邏輯的技術(shù)措施,涉及技術(shù)、管理、使用等許多方面。企業(yè)應(yīng)針對(duì)不同方面的問(wèn)題,開(kāi)發(fā)新技術(shù),加強(qiáng)對(duì)硬件和軟件的及時(shí)調(diào)整,研究維護(hù)網(wǎng)絡(luò)安全的完備方法,建立起完善的網(wǎng)絡(luò)安全管理體系,為保證企業(yè)信息系統(tǒng)的安全運(yùn)行而積極防范。
參考文獻(xiàn):
[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第6版)[M].北京:電子工業(yè)出版社,2011.
篇13
在自主創(chuàng)新、自我研發(fā)漸成企業(yè)發(fā)展新勢(shì)的當(dāng)下,獨(dú)創(chuàng)性核心技術(shù)及相關(guān)經(jīng)營(yíng)信息,無(wú)疑是企業(yè)維持競(jìng)爭(zhēng)優(yōu)勢(shì)、創(chuàng)造財(cái)富的商業(yè)秘密。然而,遺憾的是多數(shù)企業(yè)的核心技術(shù),被商業(yè)間諜或競(jìng)爭(zhēng)對(duì)手竊取,且越是高新技術(shù)企業(yè),其商業(yè)泄密率越高。
基于網(wǎng)絡(luò)管理、知識(shí)產(chǎn)權(quán)、網(wǎng)絡(luò)人才缺失等成因,部分礦山企業(yè)的內(nèi)網(wǎng)信息安全之憂漸次凸顯:盡管網(wǎng)絡(luò)信息防護(hù)投入不斷增加,但病毒、木馬的攻擊仍頻繁發(fā)生;硬件和帶寬投入持續(xù)增長(zhǎng),網(wǎng)絡(luò)卻再依舊時(shí)斷時(shí)續(xù),關(guān)鍵應(yīng)用性能無(wú)法得到保障,亟待企業(yè)網(wǎng)絡(luò)信息技術(shù)人員對(duì)癥破解。
1 礦山內(nèi)網(wǎng)信心平臺(tái)的特點(diǎn)
①數(shù)據(jù)傳輸安全無(wú)法保障。②硬盤存儲(chǔ)的數(shù)據(jù)、文檔資料,無(wú)安全保障。③移動(dòng)存儲(chǔ)等設(shè)備的內(nèi)/外網(wǎng)雜亂使用,導(dǎo)致所存數(shù)據(jù)的安全風(fēng)險(xiǎn)。④終端計(jì)算機(jī)缺乏統(tǒng)一的高強(qiáng)度身份認(rèn)證安全機(jī)制。⑤現(xiàn)有安全管理機(jī)制,無(wú)法對(duì)各計(jì)算機(jī)終端做全面的行為/網(wǎng)絡(luò)管控。⑥終端外設(shè)端口缺乏統(tǒng)一的安全管理。⑦各應(yīng)用系統(tǒng)自身的數(shù)據(jù)交互/存儲(chǔ),無(wú)可靠安全環(huán)境。⑧企業(yè)內(nèi)網(wǎng)結(jié)構(gòu)劃分雜亂,各業(yè)務(wù)/職能部門間的訪問(wèn)顯存風(fēng)險(xiǎn)。
2 主要數(shù)據(jù)泄密途徑
2.1 主動(dòng)泄密。拷貝、打印信息;收發(fā)電子郵件;QQ發(fā)送信息。
2.2 被動(dòng)泄密。終端(筆記本)信息被盜;移動(dòng)存儲(chǔ)介質(zhì)(U盤、移動(dòng)硬盤)丟失/被盜;移動(dòng)存儲(chǔ)介質(zhì)使用不當(dāng);計(jì)算機(jī)遭受間諜軟件攻擊,致無(wú)意識(shí)泄密。
3 礦山內(nèi)網(wǎng)管理信息平臺(tái)的技術(shù)要點(diǎn)
3.1 管理系統(tǒng)。可集成PDM系統(tǒng)、ERP系統(tǒng)、OA系統(tǒng)、CPC系統(tǒng)及設(shè)計(jì)分析等管理系統(tǒng),對(duì)控制列表中不存在的管理系統(tǒng)提供現(xiàn)場(chǎng)集成功能,以充分滿足企業(yè)內(nèi)網(wǎng)的復(fù)雜需求。
3.2 應(yīng)用程序。支持所有應(yīng)用程序控制,如設(shè)計(jì)類的AutoCAD、辦公類Office系列、匯編類VB系列等,均可產(chǎn)生文件的程序。
3.3 管理模式。具備大用戶數(shù)管理模式,能滿足大規(guī)模端點(diǎn)控制需求,可實(shí)現(xiàn)負(fù)載均衡、熱備和多級(jí)管理模式等。
3.4 模塊擴(kuò)展。具有高度的模塊化和擴(kuò)展性,可根據(jù)制造業(yè)信息系統(tǒng)發(fā)展的需要,擴(kuò)展其它功能,如:電子郵件加密、輸出內(nèi)容監(jiān)控等模塊。
3.5 端口管理。防止內(nèi)部員工通過(guò)郵件、MSN、QQ、FTP下載等網(wǎng)絡(luò)端口發(fā)送重要文檔。
3.6 兼容系統(tǒng)。完全兼容現(xiàn)有網(wǎng)絡(luò)、硬件系統(tǒng),如路由器、網(wǎng)關(guān)及防火墻;完全兼容已知的安全軟件,如殺毒軟件、防火墻軟件,加密進(jìn)程不會(huì)因軟件誤判為病毒或木馬而被清除或終止;也兼容最新的Windows系統(tǒng)平臺(tái),如Windows Vista、Win7等。
4 礦山內(nèi)網(wǎng)管理信息平臺(tái)的管理功能
4.1 安全控制管理。U盤使用管理;外設(shè)端口管理;網(wǎng)絡(luò)訪問(wèn)管理;網(wǎng)頁(yè)訪問(wèn)管理;共享權(quán)限管理;準(zhǔn)接入管理;終端遠(yuǎn)程控制;在線/離線策略。
4.2 網(wǎng)絡(luò)運(yùn)維管理。應(yīng)用程序管理;網(wǎng)絡(luò)流量管理;軟硬件資產(chǎn)管理;IP&MAC地址管理;補(bǔ)丁分發(fā)管理;遠(yuǎn)程桌面監(jiān)控;靈活分級(jí)管理;終端進(jìn)程查看;文件傳輸管理。
4.3 操作日記管理。文件操作日志;網(wǎng)頁(yè)瀏覽日志;U盤使用日志;應(yīng)用程序日志;打印文件日志;資產(chǎn)異動(dòng)日志;身份識(shí)別系統(tǒng);訪客內(nèi)聯(lián)日志;其他應(yīng)用日志。
4.4 系統(tǒng)保護(hù)管理。客戶端自我保護(hù);通信保護(hù);服務(wù)器安全保護(hù);數(shù)據(jù)庫(kù)安全保護(hù)。
5 結(jié)束語(yǔ)
礦山內(nèi)網(wǎng)信息管理平臺(tái)的構(gòu)建,與其說(shuō)是信息技術(shù)問(wèn)題,不如說(shuō)是企業(yè)領(lǐng)導(dǎo)網(wǎng)絡(luò)意識(shí)、產(chǎn)權(quán)意識(shí)及商業(yè)競(jìng)爭(zhēng)諸意識(shí)的綜合外化。惟其站在主動(dòng)保護(hù)企業(yè)核心商業(yè)秘密的高度,才能關(guān)注、熟知企業(yè)內(nèi)網(wǎng)信息管理平臺(tái)的構(gòu)建,進(jìn)而避免企業(yè)因內(nèi)部網(wǎng)絡(luò)安全漏洞和網(wǎng)絡(luò)管理漏洞遭受到巨大損失。
參考文獻(xiàn):
