时间:2024-01-20 16:42:48
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇网络安全终端管理范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
中图分类号:TP311
我国航天研制、发射任务日益增加,信息环境复杂、多样,导致测发控信息暴露于越来越多、越来越广的威胁和脆弱性当中,测发控信息资产需要加以适应的保护。同时,测发控网络系统建立年代较早,其网络安全性设计与意识远远落后。因此,保障网络正常安全运行并建立测发控网络安全管理系统是测发控网络的工作重点,加强网络安全管理迫在眉睫。
1 测发控网络安全现状
目前,网络安全防护采用“技术30%,管理70%”的布局,偏颇管理和加强人员网络安全意识的效力,并且技术上仅通过采用杀毒软件、防火墙以实现网络安全防护,技术措施单一,缺乏解决深层次网络安全问题和威胁的能力。现有测发控网络安全图如图1所示。为此,从系统综合整体的角度去看待、分析,在提供灵活且高效的网络通讯及信息服务,组成并协调建立地面测发控网络安全系统已事在必行。
2 新型网络安全管理系统
2.1 新型网络安全管理功能
测发控网络安全的解决是一个综合性问题,涉及到诸多因素,包括技术、产品和管理等。进行网络安全体系建设,要综合考虑、注重实效,在考虑网间安全、防火墙、病毒查杀、入侵检测,甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时,也要同时考虑来自内部网络的可信环境下的非授权网络行为和授权滥用行为,才可能最大限度的构建和谐、干净的测发控网络环境。测发控网络安全管理系统主要实现以下功能:
(1)对测发控网络分系统工作站进行集中的安全保护、监控、审计和管理;
(2)防范非法设备接入内网,确保测发控网络内网安全;
(3)整体规划测发控网络与设备的网络传输行为的计算机网络安全设备;
(4)建立网间防护,保证各分系统与C3I、异地协同网络之间的网间安全;
(5)安全隔离与信息交换与数据加密,保障测试数据在网络传输过程中可靠完整;
(6)测发控网络设备与工作站等资产的统一配置、监控、预警、评估、响应,策略、检测、防护,实现安全资产和安全信息的归一化等功能。
2.2 测发控网络安全管理系统组成
立足现有测发控网络现状,结合远期异地协同规划,测发控网络安全管理确保在安全、可靠和保密的网络环境下完成测试任务,帮助各分系统网络设备使用统一优化、规范管理,并在远期实现与北京总部的异地协同项目加强网间安全。
测发控网络安全管理系统
(1)安全防护子系统。安全防护子系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。
安全防护子系统由客户端模块、服务器模块、控制台三部分组成。客户端模块对终端计算机进行监控,需要部署于每台需要被管理的终端计算机上,用于收集数据信息,并执行来自服务器模块的指令。服务器模块存储终端安全策略、终端计算机信息、漏洞补丁数据等等,并由服务器向终端计算机客户模块发送指令。
(2)网间防护子系统。采用安全边际技术,通过防火墙、防病毒墙、入侵防护等技术,整体规划测发控网络或网络设备的网络传输行为的计算机网络安全设备,增加子网与网间安全,实时动态保护技术以全面、有效地保护网络不受侵害,使测发控网络与异地协同网络实现数据交换。
(3)数据加密子系统。通过安全隔离与信息交换与数据加密,保障数据在网络传输过程中可靠完整,保护关键业务的机密数据安全,同时保障数据在传输过程中不被破坏和恶意窃取。网络加密机制建立可信的安全连接,保证数据的安全传输,实现安全通信的虚拟专用线路,提供全面、可靠、安全和多层次的数据保护。
(4)管理配置子系统。以资产设备为中心,通过策略配置、设备监控、审计预警、态势评估、安全响应的全流程管理,进行安全资产和安全信息的归一化处理、监控、分析、审计、报警、响应、存储和报告等功能。管理配置子系统采用三层分布式体系结构,主要由被管对象层、管理中心层、控制台层组成。
3 结论
新型地面测发控网络安全管理系统立足现有测发控网络,解决现有病毒查杀费时费力、网络设备与存储介质的管理失控、各分系统应用软件安装不受控、IP地址更改随意等现状;结合异地协同项目,完善管理配置子系统网间防护子系统,统筹规划各分系统子网与C3I之间的网络架构,消除网络边际隐患。同时,建立集中安全信息管理系统;加强应用覆盖范围。
新型网络安全管理系统以测发控网络为基点,重新规划、提高和完善测试环境,从软件和硬件上采取控制措施以避免安全漏洞,提高测发控网络安全水平,在测发控网络中具有极为重要的意义。
为使互联网行业能够稳步快速、安全发展,国家相继起草并实行了一系列互联网安全管理草案,确保计算机用户可以安全放心地使用网络。要想互联网行业长久不衰、坚持走科学发展的长远道路,那么互联网行业除了安全综合政治管理以外,还要进行内外兼治,这样就不得不以科学的发展眼光引进CPK网络终端软件管理系统。它建立了交易信任和数据安全基础,然而CPK终端软件的核心是建立合理的管理机制,有效数据管理扼杀了木马病毒入侵计算机网络的摇篮之梦。
一、CPK终端软件管理系统的描述与分析
1.CPK终端软件管理系统
在网络广泛运行的今天,家庭及企事业单位等大型办公场所局域网可以随意自主安装,随意使用盗版软件、黑客软件及与工作业务无关的聊天、游戏等不良娱乐软件,这些网络终端软件的滥用威胁着系统的安全,影响网络的运行性能及速度,严重的影响整个网络的发展进程。所以合理化地管理网络管理终端软件已经迫在眉睫。CPK终端软件管理系统能够及时的拦截病毒的攻击。CPK终端软件管理系于1999年由南湘浩教授提案,2003年在《网络安全技术概论》中公布了基于椭圆形曲线ECC构造了基于标识的组合公钥。此密钥是离散对数难题型的基于标识的密钥生成与管理体制。依据对数据原理构建公开密钥与私有密钥的矩阵,采用杂凑函数与密码变换将实体的标识映射为矩阵的行作坐标与数列坐标序列中,用来对矩阵元素进行选取与组合,生成数量非常大的由公开密钥与私有密钥组成的公钥、私钥对,以此来实现基于标识的超达规模的密钥生成与分发。CPK密钥管理从体制上是依据数学原理离散对数问题的构建,也可以用椭圆形离散对数问题进行构建。
2.CPK终端软件管理系统的认证
网络安全问题伴随着互联网的成长逐步成为我们生活中不可避免的困扰。所以认证技术直接的建立安全可靠的基础设施平台,在网络交易事物的鉴别性证明和负责性证明提供了可信性的证明。从而为电子商务的有序发展提供了良好的环境。CPK身份认证无疑就是通过各种认证技术对用户的身份进行鉴别,是我们网络安全管理的重要基础,集防了互联网数据不被盗取与侵犯。合理的签名机制是核心问题,同时,签名机制要想顺利的实现,必须有好的密钥管理技术,互联网认证体系的密钥管理需要解决两个问题,就是有密钥管理规模化和基于密钥标识的分发。解决这两大问题的认证系统有基于PKI技术构建和CPK技术构建的认证系统的生成。
3.CPK终端软件管理系统的分析
网络安全问题不容忽视,网络安全中的认证技术是深入解决这一问题的核心技术,它具有规范化,机密性和完整性等特点。CPK认证体系具有抗抵赖性的安全服务,目前来说公钥基础设施、基于标识的加密系统和组合公钥系统得到大众的一致认可。在标识机制中,计算机用户可以设置自己的公钥证书要求,进一步提升了人们对于计算机认证体系的可信度。
二、CPK终端软件管理系统的需求分析
1.对于CPK终端软件管理系统感官认识
对于软件保护一般采用加密的方式进行数据保护,软件加密分为软加密和硬加密两种方式。软件加密一般的就是采取软件方法不依靠特殊硬件来配套加密,而硬加密就是将全部信息固定在硬件上,提供的数据是一个硬件实体,如CD指纹等一类电子产品。但是在互联网终端网络管理上通常一般通过360杀毒软件、补丁、网络行为管理和管理软件等方式进行计算机管理。网络行为管理是指通过过滤关键字、关闭特殊定的端口来管理终端软件的使用。软件实名认证则运用了公约密码数字签名技术,对于计算机软件进行身份认证和保护。同时对于计算机网的病毒损害提供了科学依据。
2.整合管理服务的体系结构
采用服务器的证书管理器和客户端的终端软件安全管理器,其中服务器端负责终端的注册和证书的发放工作,它的工作内容主要包括密钥因子生产、终端注册管理、密钥生成和资料库管理。那么客户端主要负责安装的软件注册、签名等认证工作的完成。终端系统利用其CPK标识认证实现身份认证,终端安装的软件进行注册管路。以此达到终端网络安全管理的理想模式。
三、终端软件系统的开发及市场分析
1.终端软件管理系统市场发展方向
网络安全产业不仅具有高度的前瞻性,同时也具有较高的技术含量、高附加值的特点,已经跨步成为众多发达国家保持经济持续性发展的重要产业结构。作为信息产业中最活跃、最智力密集也是发展最快的软件产业,更是各国人民政府关注的焦点,其发展关系到互联网行业的稳定性和长久可靠性,并可能成为未来最大产业规模和最具开拓前景的新型产业。作为大众青睐的新兴支柱产业,同时也是互联网行业发展的后盾力量,不仅大众对它关注有佳,作为经济支点部分的政府也是撑腰在即,竭尽全力的发展此行业。
一、概述
随着网络在企业生产经营中应用越来越广、越来越深,企业网络安全的问题也日益凸显。来自企业网外部和内部的攻击无时不刻都在威胁着企业网络的安全,也成了每一位网络管理人员都需要面临的考验。如何建立一个完整的企业网络安全解决方案,减少因网络攻击和病毒引发的生产经营数据的丢失和外泄引发的损失,本文将进行一个浅显的探讨。
二、网络安全的基础——网络设计
网络的设计与建设,是构建一个安全网络的基础。合理的网络构架设计将为未来网络安全的设计与构建节省一大部分开销,这些开销包括了设计、成本和系统的效率等。因此,在构建一个网络的初期,就必须将网络系统的安全作为设计的基本要素,考虑到整个系统中。一个大型的企业,如在地域上分部较为集中,其内网为了增大运行保险系数,一般主干采用双环网的网络构架。这种网络在一路主用线缆引故障停止时会自动切换到备用环上,当然,根据具体的系统配置的不同,双环网正常工作时又会被分为双路负载分担型和双路数据同步型等类型,在这里就不详细介绍了。一个企业如在地域上较为分散,下属有多家子公司且这些子公司又拥有自己的网络的情况下,最好采用以树形或星型网络结构为主的复合型网络设计。这种设计使得各网络层次的访问控制权限一目了然,便于内部网络的控制。
一个大型企业的网络在内部又会被分为许多特定的区域——普通的办公区,财务销售的核心业务区,应用服务器工作区,网络管理维护区,多方网络互联区域,VPN连接区等多个功能区域。其中普通的办公区有时是与财务销售类的业务区合并在一起的,但是,如果公司还涉及特殊业务的时候应当将这两个区域分开,甚至为其单独建立一套网络系统以增强其安全保密性。应用服务器区域一般承载着企业办公、生产等主要业务,因此在安全上其级别应当是最高的。一般对这一区域进行安全设置时最好将除所用端口以外的所有其他端口全部封锁,以避免多余端口通信造成的安全威胁。有条件的网络用户或对安全要求比较高的用户可以在不同的网络之间配置防火墙,使其对网络的访问进行更好的控制或者将不同的网络直接进行物理隔离,以完全绝断不同网络之间的互访。在网络中中有许多服务器,比如病毒服务器、邮件服务器等,有同时被内网及外网访问的需求,应当为这些有外网需求的服务器考虑设置DMZ区域。DMZ区域的安全级别较普通用户区高,即便得到访问授权的用户,其对DMZ区域的访问也是有限制的,只有管理人员才可以对这一区域的服务器进行完全的访问与控制。
三、终端的安全防护
病毒、木马无论通过何种途径传播,其最终都是感染终端为目的的,无论这个终端是指的服务器还是普通用户的终端,因此,对各类终端的安全防护可以说是网络安全构建的关键。对终端的安全防护可以分为两套系统;一种为硬件的防火墙类,一般由管理人员进行专业操作处理的防护系统,包括了反垃圾邮件系统、用户上网行为监控管理系统、网站防篡改系统等专业(服务器)终端防护系统;另一种为软件类的防火墙、杀毒软件及其他安装于各个用户终端由用户或管理人员进行操作管理的防护系统。现在多数的网络安全防护系统多由这两种类型的防护系统复合而成。这种复合式的系统所取得的效果在很大程度上依赖于终端用户的计算机水平及杀毒软件服务提供商的反应能力和软件更新能力,总之,这种方式是比较偏重于“被动防守”的一种防护措施。
现在有厂商提供了一种协调系统,使用这种系统能让以上所述的复合安全系统能够在网络管理员的干涉下实现主动的管理。这套系统一般在用户终端安装一个客户端,开机时,客户端自动判定本终端的安全状态并与安全服务器取得联系,当终端被判定正常时,终端可进行正常权限的网络访问;当终端被判定为非正常(威胁)时,此终端可根据预先堤定的安全策略,断绝与普通局域网的连接,只能与特定的服务器如病毒服务器等进行连接以解决问题。网络管理员可以通过这套系统实时监查每个终端的进程与数据状态,并通过管理终端对客户端进行控制,以解决安全威胁。此类系统的应用将所有用户的终端都纳入了系统管理员的控制下,以系统管理员专业化的技术知识实现对整个系统的监管与维护,能够在很大程度上减少威胁并提高系统的安全性和网络效率。
四、终端用户的规范
【正文】
根据省市财政相关工作要求,我局对本年度网络安全检查和整改工作进行了梳理,现将相关情况总结如下:
一、2020年度网络安全检查工作组织开展情况
自勒索病毒爆发后,我局主要领导和分管领导高度重视,立即对相关工作作出安排。
1、加强领导,完善制度。根据省市工作要求,我局成立以局党委书记、局长为组长、分管领导为副组长、相关股室股长为成员的网信领导小组,负责我局网络安全各项具体工作,结合自身实际,健全完善相关制度。
2、加强网络安全检查。在前期勒索病毒排查工作基础上,我局再次组织技术力量,对局内以及我市各预算单位接入财政网络的情况开展检查工作。我市要求所有使用财政内网的单位必须按照网络安全相关规定和上级要求,所有的终端设备必须做到:
1、所有设备必须内外网分离。
2、所有终端电脑必须设置6位三种符号以上的开机密码。
3、所有终端电脑必须安装亚信杀毒软件。
4、所有设备必须使用有线连接。
5、所有终端除正常办公需要的软件外,其它无关软件全部卸载。
3、加强基础设施建设。我局机房建设时间长,缺乏网络安全设备,我局在勒索病毒爆发后立即进行整改,按照省市相关文件和网络安全等级保护制度制定专业的网络机房建设方案,已通过招标进行实施。
二、存在的主要问题
通过前期的网络安全检查和整改,目前我市所有预算单位已规范接入财政网络,使用人员的安全防范意识明显提高,全市财政网络运行总体较为安全平稳。但仍存在一些问题和薄弱环节,主要表现在以下三方面。
1、制度建设方面。我局虽然制订了《阆中市财政局网络安全制度》,但根据中省财政部门的要求,仍存在日常管理操作不规范、未定期对安全管理制度进行更新等问题。
2、安全意识方面。在前期工作中,我局对使用财政网络的用户,均进行了网络安全宣传教育,但宣传教育的内容比较片面,没有细化普及安全知识和培训相关的防范技能。
3、组织保障方面。我局虽然成立网信领导小组,但由于编制受限,没有专门的网络安全技术人员,无法分设系统管理员、安全管理员等岗位。
三、整改措施及计划
1、强化制度建设。根据《中华人民共和国网络安全法》和中省制定的各项财政网络安全规定,建立健全网络安全和应急处置机制,完善各种制度和文件资料。
引言:当前煤炭企业对网络安全威胁很难开展有效的监测,无法实现主动防御,只能处于一种被动防护状态,这无疑将会给煤炭企业引入极大的网络安全风险。煤炭企业上到领导下到普通职员,均对网络信息安全问题抱有侥幸的心理,觉得一般不会出大的问题,从而缺少积极的防范措施,使得煤炭企业当前在应对实际的网络安全威胁时不能有效的进行监测和防护。
一、关于煤炭企业当前面临的网络信息安全问题的分析
(1)煤炭企业员工的网络信息安全意识比较淡薄
当前很多煤炭企业对自身所处的网络信息安全现状依然缺少正确、完整的认识,他们企业管理者觉得煤炭企业信息化的水平不高,接入互联网的终端和用户比较少,因此企业的网络信息安全问题并不会给煤炭企业造成一定的威胁。另外,煤炭企业的管理层缺少对企业网络信息安全的有效支持,使得实际投入到企业网络和信息安全建设中的资金远远达不到应有的要求。
(2)煤炭企业内部网络信息系统的防护能力比较薄弱
从目前看来,依然存在一些煤炭企业缺少复杂的网络信息系统部署结构,已有的设备性能和配置也比较落后。在实际的网络系统部署中缺少有效的安全防护技术和手段,不能有效监测到网络安全的威胁,只能一直处于被动防护的状态。由于煤炭企业内部大多使用的还是比较老旧的操作系统,这些旧的终端设备本身就存在着大量的系统漏洞,很容易遭到黑客的攻击。当各个系统或软件厂商在网上修补漏洞的补丁时,很多煤炭企业员工和用户由于对这些网络安全问题缺少正确的认识,无法意识到这些系统和软件漏洞会给煤炭企业本身带来的安全威胁,使得企业内部网络终端设备很难全部完成漏洞的修补。
(3)煤炭企业缺乏有效的网络安全防范体系
调查发现,当前很多煤炭企业的网络信息安全管理较为混乱,没有形成一套科学完整的网络安全防范体系和机制。煤炭企业虽然制定了一些有关于网络信息安全的管理制度和工作方法,但是依然缺乏有效的网络安全威胁监测和应对方法,对于已有的网络安全管理办法也很难严格的去执行,不能达到预期的网络安全防护效果。另外,对于煤炭企业员工本身缺少有效的约束管理办法,大多数时候只能依靠員工本身的自律能力,没能从企业网络安全管理制度和办法上建立起一种行之有效的防范措施。
二、煤炭企业防范网络信息安全的对策
(1)加强企业内部网络信息安全管理
煤炭企业要想提高企业本身的网络安全防护能力,首先必须改变企业当前固有的网络安全管理方法,各个部门都需要制定出适合自己部门业务系统的网络安全防护管理机制和体系。煤炭企业必须加强企业内部自身的管理,为企业制定一套完整的网络安全审计体系,能够及时的发现潜在的安全威胁,并有效的追踪到问题责任人。煤炭企业的网络安全防护能力的强弱还需要根据企业员工网络安全意识的强弱来判断,因此在煤炭企业实际的运营当中,必须加大对企业网络安全技术培训和教育的投入。在煤炭企业中,网络信息安全相关知识的培训、教育以及宣传非常重要,尤其要加强企业员工对网络安全意识的培养,认识到网络安全对企业发展的重要性。要想让煤炭企业能够具备足够的网络安全知识和应急响应能力,就必须对企业员工开展定期的网络安全知识培训,从而不断维持煤炭企业较高的网络信息安全水平。
(2)引入先进的安全防护技术
除了刚刚提到的煤炭企业要加强企业内部网络信息安全管理之外,最为重要的就是煤炭企业必须要引入先进的网络安全防护技术。如果企业没有这些先进的安全防护技术,那么煤炭企业的网络信息安全管理做的再好也没有用,因为攻击者将能够直接不费吹之力拿下企业的整个网络系统,令企业面临巨大的经济或声誉损失。当前随着攻击者的攻击手段不断提高,网络安全防护技术也在不断地取得发展,因此煤炭企业必须要选择先进的安全防护技术来保护企业系统免受侵害。
随着电信网络的全面IP化,原来互联网中才会存在的安全威胁被引入到电信网络中,如木马程序、僵尸程序、拒绝服务攻击等。在IP技术和传统电信网相融合的过程中,又出现了具有电信网特点的新安全威胁,例如利用IP技术针对电信网业务层面的攻击。
1.2移动终端的智能化存安全隐患
智能终端的接入方式多种多样、接入速度越来越宽带化,使得智能终端与通信网络的联系更加紧密。智能终端的安全性已严重威胁着电信网络和业务的安全,随着运营商全业务运营的不断深入,以前分散的业务支撑系统逐步融合集成,但核心网和业务网之间的连接通常采用直连的方式,安全防护措施相对薄弱。在智能终端处理能力不断提升的今天,如果终端经由核心网发起针对业务系统的攻击,将会带来巨大的安全威胁。另一方面,智能终端平台自身也面临着严峻的安全考验,其硬件架构缺乏完整性验证机制,导致模块容易被攻击篡改,并且模块之间的接口缺乏对机密性、完整性的保护,在此之上传递的信息容易被篡改和窃听。凭借智能终端高效的计算能力和不断扩展的网络带宽,终端本身的安全漏洞很可能转化为对运营商网络的安全威胁。
1.3安全防护体系建设相对滞后
随着云计算云服务、移动支付的引入和发展,给运营商现有的基础网络架构及其安全带来了不可预知的风险。新兴的电信增值业务规模不断扩大,用户数量不断增加,因此更易受到网络的攻击、黑客的入侵。新技术新业务在带来营收增长的同时,也带来了越来越多的安全威胁因素和越来越复杂的网络安全问题,使得运营商对新业务安全管控的难度越来越大。面对新技术新业务带来的风险,行业安全标准的制定相对滞后,现阶还不能够对威胁安全的因素做出一个全面客观的评估,因此也就谈不上制定相应的风险防范应对措施,并且业界对新领域的安全防护经验不够丰富,当出现重大威胁网络安全事件的时候,对故障的响应处理能力还有待商榷。
2电信运营商网络安全防护措施
2.1加强网络安全的维护工作
面对网络信息安全存在的挑战,基础安全维护工作是根本,运营商需要做好安全保障和防护工作,并在实践中不断加强和完善。对网络中各类系统、服务器、网络设备进行加固,定期开展安全防护检查,实现现有网络安全等级的提升。安全维护人员在日常工作中也必须按照规定严格控制网络维护设备的访问控制权限,加强网络设备账号口令及密码的管理,提高网络安全防护能力。
2.2加强新兴领域的安全建设
云计算、移动互联网等新技术新业务的发展,带来了复杂的网络信息安全问题,为了加强对新兴领域的安全管理,运营商需要从新领域安全策略的制定和安全手段的创新两方面着手。
2.2.1加强安全策略的制定
应对新技术新业务的挑战,对全网安全需要重新规划和管理,建立与之匹配的安全标准、安全策略作为行动指导,并形成对服务提供商的监控监管。在新业务规划时,安全规划要保持同步,从业务设计开始就应将安全因素植入,尽量早发现漏洞、弥补漏洞。
2.2.2加强安全手段的创新
新技术的发展让传统网络的安全系统和防御机制难以满足日益复杂的安全防护需求,需要有新的安全防御手段与之抗衡。因此集监控分析、快速处置为一体的云安全等新的技术手段就值得我们去不断研究,并进行商用部署。
2.3加强安全防护管理体系的建设
做好管理体系的建设,首先需要制定配套的规章制度。网络信息的安全,必须以行之有效的安全规章制度作保证。需明确安全管理的范围,确定安全管理的等级,把各项安全维护工作流程化、标准化,让安全管理人员和安全维护人员明确自身的职责,从而有效地实施安全防护措施和网络应急响应预案,提高运营商整体的安全防护能力。其次需要建立纵向上贯穿全国的安全支撑体系。随着网络的聚合程度越来越高,省份之间的耦合程度越来越密,全国就是一张密不可分的网。因此需建立全国一体化的、统一调度管理的安全管理支撑体系。当出现攻击时集团、省、市三级安全支撑队伍能联动起来,做到应对及时有效。
在当今的信息时代,我们的生活和工作方式受到信息技术发展的巨大影响,时时刻刻都在发生着改变,而现行企事业单位的管理模式也在这种“大环境”下不断地推陈出新。作为各大国有企事业信息管理部门,必须考虑到当前技术的发展给我们的工作带来的机遇和威胁。
一、当前信息网络的安全形势
目前,几乎所有企业、事业单位、行政部门都面临着内部信息泄漏的问题。FBI对484家公司调查显示:85%的安全损失是由企业内部原因造成的。面对来自于公司内部的安全威胁,很多员工都有切身感受,虽然不会有股票的跌涨刺激感官强烈,但是他们一定遇到过类似的事情。由于粗心误操作造成公司服务器上重要文档丢失;由于没有设定员工在系统内的访问权限,使一些业务秘密出现在本不应有查阅权的员工计算机上,并不小心将其泄露……对于这些来自公司内部的信息安全问题,不是简单的安装了杀毒软件或防火墙就能解决的,单纯的“免疫”手段在“网络风险”、“软件风险”日益严重的今天,都已经不足以让人信任和依赖。
据调查统计,90%以上的计算机终端用户使用的是windows2000,XP或以上的操作系统,而这些系统的安全漏洞及系统缺陷非常多。虽然微软公司会通过定期在网站上安全补丁来弥补这些漏洞,而一些软件公司也会对自己开发的软件进行不断地更新和升级,但由于终端用户缺乏相关知识,导致补丁安装的不及时、不完全,这就会影响终端计算机的安全,从而影响整个内部网络安全。
二、企事业单位网络终端计算机安全现状
大中型企事业单位、政府办公网络,桌面终端计算机数量随着办公的需要不断增多,而出现的网络问题也日趋明显。常见的情况主要有:计算机感染病毒、被安装木马;有些不明程序不断抢占IP地址(ARP病毒)堵塞整个网段,使该网段用户都不能上网。除此以外,部分员工使用公司办公电脑私自从网络上下载海量资源,迅雷、BT、电驴这些下载工具都会抢占网络通道,这样就导致了其他一些用户使用办公电脑办公时网速非常低,严重时网页无法显示,不仅影响了其他员工的工作,还降低了整个公司的工作效率。
这种问题在当下的网络时代普遍存在于现有的企事业单位,尤其是一些已经摆脱了纸张,进入“无纸化”办公的先进单位更为明显。由于难于发现高危计算机,并对其进行定位,因此一旦问题发生,就需要大量的故障排查时间。如果同时有多台计算机感染网络病毒或者进行非法操作,就会造成网络瘫痪,从而致使其他正常网络业务无法使用。
现阶段,所有企业都在努力寻找一种有效的手段来扭转这种严峻的局面,并尽可能地出台大量的信息网络管理规定。例如:禁止在办公计算机内安装BT下载软件,禁止在个人终端设备中安装网络游戏软件,禁止私自更改电脑的安全设置,禁止将外部的电脑接入单位的内部网络等行为。但是,由于缺乏技术和管理手段、考核制度、使用标准、用机规范等,都不能够有效切实地执行,这样就使企业内部的信息网络安全水平很低,衍生了诸多不可控制的安全隐患。
三、通过网络防护与终端防护共筑信息安全长城
以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS(入侵检测)、网御设备、网络交换设备的管理上,却忽略了对网络环境中的计算单元――服务器、台式机乃至便携机的管理。
近两年的安全防御调查表明,政府、企事业单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,随着信息技术的不断进步,网络安全防护的工作重点开始发生转移,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。网络管理员已经不是信息安全的唯一负责人,计算机终端用户才是信息安全的第一责任人。
四、建设桌面终端安全管理系统的意义
伴随着网络管理业务密集度的增加,在信息安全防护领域兴起了终端桌面安全管理技术。作为网络管理技术衍生的边缘产物,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系的重要组成部分。由此看来,终端桌面管理的发展趋势和技术特点,才是信息安全防护趋势的导向。在进行桌面终端安全防护部署时,必须把提升信息安全的关键放在提升计算机终端安全水平上。
如何有效地管理计算机终端成了当前的热点话题,而桌面计算机安全管理系统的应运而生就显得尤为重要了。第一可以通过批量设置计算机的安全保护措施提高桌面计算机的安全性,及时更新桌面计算机的安全补丁,减少被攻击的可能;第二,它还可以实现动态安全评估,实时评估计算机的安全状态及其是否符合管理规定,比如说,评估计算机的网络流量是否异常,评估计算机是否做了非法操作,评估计算机的安全设置是否合理等;第三,通过系统中进行策略的配置,对计算机终端进行批量的软件安装、批量的安全设置等,防止外来电脑非法接入,避免网络安全遭受破坏或者信息泄密;第四,利用桌面系统的高科技手段,能够确保本单位的计算机使用制度得到落实,使“禁止拨号上网,禁止使用外部邮箱,禁止访问非法网站,禁止将单位机密文件复制、发送到外部”等这一系列管理措施得以贯彻和执行;第五,在网络出现安全问题后,桌面终端系统可以对有问题的IP/MAC/主机名等进行快速的定位,便于管理员迅速排查故障;最后一点可以称之为桌面系统的“增值服务”,在保证信息网络安全的同时,还能对计算机的资产进行有效地管理和控制。
这些功能的实现,浅表地说能够持续有效地解决大批量的计算机终端安全管理问题,真正的意义在于能够切实地帮助企业内部各种管理规定有效地执行。如今凭借这些高科技手段,全面提升企事业单位内部信息化工作水平已经不再是纸上谈兵。
五、结语
企事业单位要在信息技术高速发展的今天立于不败之地,就必须结合自身客户的网络结构、终端特点和管理模式,搭建安全、稳固的内部IT架构。而桌面终端安全管理的应用,将极大地提高信息安全系数,使企业信息风险降到最低。
参考文献:
[1] 闫龙川,刘永志,来凤刚.计算机终端安全管理系统及其应用[J].电力信息化,2009,(7).
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 22-0000-01
Yunnan Weather Information Network Security Analysis and Preventive Measures
Huang Jinran
(Yunnan Province Meteorological Information Center,Kunming 650034,China)
Abstract:With the computer network in the weather business applications,information security has become a network of Yunnan Meteorological important part of information security.By analyzing the status of Yunnan Meteorological Information Network,found that unauthorized access to meteorological information,network operating system or terminal application software vulnerabilities,malicious weather information network is currently facing three major security risk.This must be from a technical level,management level and user level,comprehensive prevention,Yunnan weather information network to ensure safe and efficient operation.
Keywords:Weather information;Network security;Responses;Risk
一、引言
随着现代气象事业的飞速发展,计算机网络在云南省气象业务中的应用越来越普及,在气象事业中的地位也越来越重要。在天气预报业务中,各种数值预报的结果需要计算机网络进行分析和分发,而预报结果的上传和下发更是离不开现代信息网络。在气象灾害的防灾减灾中,预警信号和灾情调查等也离不开信息网络的应用。在公共气象服务领域、云南省气象局的办公自动化等业务中,气象信息网络扮演的角色也越来越重要。本文以将云南现有的气象信息网络安全为分析样本,探讨了现阶段信息网络所面临的安全隐患等特征,并提出相关的气象信息网络安全防范方案,以期为气象信息安全提供参考依据。
二、云南气象信息网络安全隐患分析
随着云南省各类气象探测业务的飞速发展,气象信息网络承载的数据量越来越大,需要存储和传输的大量数据,保障和防范气象信息的安全成了云南省气象信息安全的重要任务。另外,由于云南省各类电脑终端的品种繁多,杀毒软件和品牌多种多样,面对来自网络的各类攻击,云南省的气象信息网络呈现较大的脆弱性和易损性。总的来说,云南气象信息网主要有气象信息的越权存取、网络操作系统或终端应用软件安全漏洞、恶意攻击气象信息网络等几类主要的安全隐患。
(一)气象信息的越权存取。目前云南省气象信息网络需要传输和存储海量的气象信息。在此过程中,气象信息网络必须既保证传输的迅捷和方便,又必须要有安全保障。为此,云南省气象信息网络根据不同等级的客户,设置的不同读写权限。由于各类用户往往对权限理解不清,因此经常出现错误的操作和违规操作。不仅普通的终端客户易于出现误操作给气象信息网络带来安全威胁,有时甚至网管也会因为一些越权处理给气象信息网络带来很大的安全隐患。当气象信息网络管理员在服务器系统进行更新和维护时,假如出现应用软件安装不适当、网络设备误操作、防火墙系统参数设置错误以及服务器端口开放不正确,都会对气象信息网络造成较大的威胁。因此在气象信息网络应用中,无论是普通用户还是高级网管,都应明了自己的操作权限,按照相关规定进行数据下载、分发和处理等,切不可随意越权,更不能将自己的个人信息和账号等借给他人使用。(二)网络操作系统或终端应用软件安全漏洞。通常操作系统是构成网络的主要软件系统,据统计差不多75%的网络攻击从操作系统这一层面展开。目前云南省气象信息网络上的各类终端操作系统呈多样化趋势,而网络操作系统也不可避免的存在一些漏洞。另外,各类终端的应用软件也存在许多安全漏洞。虽然在气象信息网络的维护周期中,信息中心安排有专人进行安全维护和质量控制,也采用各种方式对操作系统的安全性进行前期和后期测试,故操作系统和应用软件的安全漏洞对气象信息网络的危害不可低估。因此如何及时地发现信息网络中类似的安全这洞,并采取安全补丁等方法进行防范,成为目前气象信息网络安全的当务之急。(三)恶意攻击气象信息网络。恶意攻击通常是指某些怀有恶意企图的人或者集团,企图通过恶意攻击网络系统,来窃取、下载、篡改或者删除某些信息的操作。恶意攻击常常以两种方式进行。一种是主动显性攻击,即通过破坏性和明显性的操作来破坏信息的完整性和正确性;另一种是在被动隐性攻击,即在不影响信息网络正常运行的情况下,采用截获、窃取、破译等方式来获取信息。通常第一种攻击破坏性大,但更容易发现,而第二种恶意攻击则更为隐蔽。由于目前的气象还属于公益性行业,商业化程度不够,因此面对的恶意攻击相对较少。但正因为商业化程度不够,目前大量的气象信息未采用加密措施,数据以明文形式在网络上传输,因此黑客更方便辨识、截获和窃取信息。一旦黑客掌握气象信息的格式和编报规律,篡改气象信息时也更加隐蔽和容易。因此面对气象信息网络的恶意攻击,我们网络管理人员切切不可掉以轻心。
三、云南省气象信息网络安全威胁的防范对策
面对复杂多变的网络威胁,云南省气象信息网络安全必须持续不断进行安全性测试和检测,并不断革新技术,并制定各种防范对策和应急措施。总的说来,可以从技术层面、管理层面以及用户层面三个方面进行防范。在技术层面,气象信息网络安全管理人员需要提高自己的计算机技术,日常安全运营维护过程中,从网络安全架构、安全风险评估、终端安全控制等方面弥补网络安全漏洞。在管理层面,必须建立云南省气象信息网络的安全防护墙以及各类网络安全的应急备用体系,以“三分技术,七分管理”为座右铭,积极管理和防范各类安全隐患。在用户层面,必须提高网络安全和计算机终端安全意识,不仅要更注重使用的方便性,而且更应该注重气象信息网络的安全性。只有解决以上三方面的问题,才能云南省气象信息网络安全高效地运行。
参考文献:
[1]邱奕炜,邓肖任,詹利群.气象部门网络安全威胁与对策探讨[J].气象研究与应用,2009,S1
中图分类号:文献标识码:A文章编号:1007-9416(2010)05-0000-00
1 前言
随着计算机网络的快速发展,网络已成为企业生产经营不可缺少的工具。网络发展的初期注重设备的互通性、链路的可靠性,从而达到信息共享的通畅。经过多年的应用与发展,伴随着我们对网络软硬件技术认识的深入,网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为企业网最关心的问题,网络安全基础设施也日渐成为企业网建设的重中之重。在企业网中,新的安全威胁不断涌现,病毒和蠕虫日益肆虐。他们自我繁殖的本性使其对网络的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪,使企业生产经验蒙受严重损失。在企业网中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全。不符合安全策略的终端(如防病毒库版本低,补丁未升级)容易遭受攻击、感染病毒,如果某台终端感染了病毒,它将不断在网络中试图寻找下一个受害者,并使其感染;在一个没有安全防护的网络中,最终的结果可能是全网瘫痪,所有终端都无法正常工作。因此,研究设计一个能够解决这一危害的防御系统尤为必要。
有鉴于此,通过对目前唐钢企业网状况的调研及其需求分析,研究设计了端点准入防御系统。端点准入防御系统在实际应用中切实可行,以下从其架构和组网方法做出分析。
2 端点准入防御系统架构
端点准入防御系统是整合了孤立的单点防御系统,加强对用户的集中管理,统一实施企业网安全策略,提高网络终端的主动抵抗能力。该系统可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。其基本功能是通过安全客户端、安全策略服务器、安全联动设备(如交换机、路由器)以及第三方服务器(如防病毒服务器、补丁服务器)的联动实现的。
2.1安全客户端
安全客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体。其主要功能包括:
(1)利用802.1X认证协议通过接入层交换机实现对终端进行身份验证(用户名、密码、IP、MAC、VLAN),从而实现了端点准入控制。
(2)检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。
(3)安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表、禁止、禁止多网卡)、系统修复补丁升级、病毒库升级等功能。不按要求实施安全策略的用户终端将被限制在隔离区。
(4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
2.2安全策略服务器
安全策略服务器是端点准入系统的管理与控制中心。集中、统一的安全策略管理和安全事件监控。具有用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
(1)用户管理。对用户身份信息、权限、分组策略等管理。网络中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
(2)安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。(3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。(4)日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。
2.3安全联动设备
安全联动设备是网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全联动设备采用H3C 3600交换机,利用802.1X协议认证实现端点准入控制。安全联动设备主要实现以下功能:
(1)强制网络接入终端进行身份认证和安全状态评估。(2)隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后,可以通过ACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。(3)提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如利用H3C 3600交换机的ACL、VLAN功能可以实现按不同用户需求访问不同的信息资源。
2.4第三方服务器
系统中隔离区的资源称为第三方服务器。用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,当用户终端的系统补丁不能满足安全要求时,可以通过补丁服务器进行补丁下载和升级。
3 端点准入防御系统组网方法
该系统组网,不需要对原有主要网络结构进行改动。需要更改的设备只有接入层交换机。接入层交换机只要能支持802.1X协议、ACL、VLAN等功能即可。利用这种组网方法对不符合安全策略的用户隔离严格,可以有效防止来自企业网络内部的安全威胁。
4端点准入防御系统实施的效果
该系统整合防病毒与网络接入控制,大幅提高安全性。确保所有正常接入网络的用户终端符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离区”,只能访问网络管理员指定的资源,直到按要求完成相应的升级操作。通过端点准入防御系统的强制措施,可以保证用户终端与企业安全策略的一致,防止其成为网络攻击的对象或“帮凶”。
提高了网络安全性的同时,对网络有效利用率也有很大的提高。减少了用户终端故障频率,提高了工作效率。
5结语
2石油行业信息网络安全管理存在的安全隐患
无论是反病毒还是反入侵,或者对其他安全威胁的防范,其目的主要都是保护数据的安全———避免公司内部重要数据的被盗或丢失、无意识泄密、违反制度的泄密、主动泄密等行为。
2.1外部非法接入。
包括客户、访客、合作商、合作伙伴等在不经过部门信息中心允许情况下与油田公司网络的连接,而这些电脑在很多时候是游离于企业安全体系的有效管理之外的。
2.2局域网病毒、恶意软件的泛滥。
公司内部员工对电脑的了解甚少,没有良好的防范意识,造成病毒、恶意软件在局域网内广泛传播以至于影响到网络系统的正常运行。
2.3资产管理失控。
网络用户存在不确定性,每个资产硬件配件(cpu、硬盘、内存等)随意拆卸组装,随意更换计算机系统,应用软件安装混乱,外设(U盘、移动硬盘等)无节制使用。
2.4网络资源滥用。
IP未经允许被占用,违规使用,疯狂下载电影占用网络带宽和流量,上班时间聊天、游戏等行为,影响网络的稳定,降低了运行效率。
3常用技术防范措施与应用缺陷
3.1防火墙技术。
目前,防火墙技术已经成为网络中必不可少的环节,通过防火墙技术,实现局域网与互联网的逻辑隔离,使用有效的安全设置一定程度上保障了企业局域网的安全。
3.2计算机病毒防护技术。
即通过建立SYMANTEC网络防病毒软件系统,为企业内部员工提供有效的桌面安全防护技术手段,提高了计算机终端防病毒与查杀病毒的能力。
3.3入侵检测系统。
入侵检测帮助办公计算机系统应对网络攻击,提高了系统安全管理员的管理能力,保持了信息安全基础结构的完整性。从网络中的各个关键点收集和分析信息,确认网络中是否存在违反安全策略的行为和遭到网络攻击的可疑迹象。
3.4应用网络分析器检测网络运行状况。
部署如Sniffer等扫描工具,通过其对网络中某台主机或整个网络的数据进行检测、分析、诊断、将网络中的故障、安全、性能问题形象地展现出来。为监视网络的状态、数据流动情况等提供了有效的管理手段。
3.5交换机安全管理配置策略。
综合评估石油企业网络,在节点设备部署上以可控设备为主,通常的可控设备都具备遵循标准协议的网络安全方案。较为常用的安全策略包括IP与MAC绑定、ACL访问控制、QOS等。通过一系列的安全策略,有效提高了对企业网络的管理。
3.6部署内网安全管理系统。
目前,企业局域网的安全威胁70%来自于内部员工的计算机。针对计算机终端桌面存在的问题,目前出现的主流产品是内网安全管理系统。其采取C/S架构,实现对网络终端的强制性管理方法。后台管理中心采取B/S结构,实现与管理终端交互式管控。
4多种技术措施联动,保障网络与信息安全
4.1网络边界管理
①防火墙。通过包过滤技术来实现允许或阻隔访问与被访问的对象,对通过内容进行过滤以保护用户有效合法获取网络信息;通过防火墙上的NAT技术实现内外地址动态转换,使需要保护的内部网络主机地址映射成防火墙上的为数不多的互联网IP地址。②入侵检测系统。入侵检测作为防火墙的合理补充,帮助办公计算机系统应对网络攻击,提高了系统安全管理员的管理能力,保持了信息安全基础结构的完整性。③防病毒系统。应用防病毒技术,建立全面的网络防病毒体系;在网络中心或汇聚中心选择部署诸如Symantec等防病毒服务器,按照分级方式,实行服务器到终端机强制管理方式,实现逐级升级病毒定义文件,制定定期病毒库升级与扫描策略,提高计算机终端防病毒与查杀病毒的能力。
4.2安全桌面管理。
桌面安全管理产品能够解决网络安全管理工作中遇到的常见问题。在网络安全管理中提高了对计算机终端的控制能力,企业桌面安全管理系统包括区域配置管理、安全策略、补丁分发、数据查询、终端管理、运维监控、报表管理、报警管理、级联总控、系统维护等。
4.3网络信息管理。
对于网络信息要按等级采取相应必要的隔离手段:①建立专网,达到专网专用;②信息通过技术手段进行加密管理;③信息与互联网隔离。
4.4网络安全管理防范体系。
根据防范网络安全攻击的需求、对应安全机制需要的安全服务等因素以及需要达到的安全目标,参照“系统安全工程能力成熟模型”和信息安全管理标准等国际标准。