序論:速發表網結合其深厚的文秘經驗��,特別為您篩選了11篇網絡安全內網管理范文�����。如果您需要更多原創資料�,歡迎隨時與我們的客服老師聯系����,希望您能從中汲取靈感和知識���!
篇1
中圖分類號:TU714文獻標識碼: A 文章編號:
大企業集團的內部網絡往往結構復雜��、覆蓋面大����、節點眾多��,怎樣才能做好系統的網絡信息安全工作也就成為了各數據中心急需解決的問題�����。本文以某網絡信息安全為例���,簡要論述了Internet 快速發展下內網系統的網絡信息安全管理。
一�����、內部網系統計算機網絡信息面臨的安全威脅
1��、網絡邊界的安全威脅
計算機網絡邊界包括:遠程用戶 VPN 隧道�、Internet 鏈路�����、專用WAN鏈路、PSTN 撥號�、電子商務網絡��、外部網連接����。如果內部系統在此類區域沒用一定安全防護,那么其網絡系統就很可能會受到入侵者的攻擊�����。比如通過 Sniffer 等嗅探程序探測掃描網絡及操作系統安全漏洞�,如應用操作系統類型�����、網絡 IP 地址��、開放哪些TCP端口號�、系統保存的用戶名和口令等安全信息文件���,并針對不同的漏洞采取相應的攻擊程序進行網絡攻擊��。入侵者通過網絡監聽等獲得內部網用戶用戶名����、口令等假冒內部合法身份非法登錄,竊取內網重要信息���。又比如說惡意攻擊,入侵者發送大量 PING 包對內網服務器進行攻擊�����,造成服務器超負荷工作甚至是拒絕服務造成系統癱瘓����。
2����、內部網安全威脅
內網設備較為分散,而其中的用戶水平也是參差不齊����,不同的承載業務��,迥異的安全需求�����,這些都造成了內網安全建設的多元化和復雜性�����;移動辦公用戶���、遠程撥號用戶����、VPN 用戶���、合作伙伴、分支機構���、供應商��、無線局域網等擴展了網絡邊界,這讓邊界保護更為困難;蠕蟲病毒大肆泛濫�����、新病毒不斷涌現�����,這些讓內網用戶受到損失�����,同時�,網絡在病毒��、蠕蟲攻擊后�,不能及時隔離����、阻斷;內網安全防范較為脆弱��,抵御不了內外部的入侵和攻擊��,安全策略無法及時分發執行�,造成安全策略形同虛設;內部網通過 Modem�����、非法主機接入����、無線網卡非法外聯等安全防范不到位�,安全風險引入�;缺乏內網用戶行為監控,造成隱私和組織機密信息泄漏���。
二��、內部網系統網絡信息安全管理的策略
1、密碼技術
密碼技術是通過信息的變換或編碼��,將機密的敏感消息變換成黑客難以讀懂的亂碼型文字�����,以此達到不讓黑客截獲任何有意義的信息且黑客不能偽造信息的目的。采用密碼方法可以隱蔽和保護機要消息����,使未授權者不能提取信息����。目前對網絡加密主要有三種方式:鏈路加密方式、節點對節點加密方式和端對端加密方式�����。一般網絡安全系統主要采取第一種方式�����,即鏈路加密方式����。
2���、防火墻技術
防火墻是一種保護計算機網絡安全的技術型措施�����,它可以是軟件����,也可以是硬件�����,或兩者結合���。它在兩個網絡之間執行訪問控制策略系統�����,目的是保護網絡不被他人侵擾�。通常,防火墻位于內部網或不安全的網絡(Internet)之間�,它就像一道門檻�,通過對內部網和外部網之間的數據流量進行分析、檢測��、篩選和過濾��,控制進出兩個方向的通信,以達到保護網絡的目的���,實質上是一種隔離控制的技術。通常����,在單位內部網絡和外部網絡之間設置一個防火墻是防止非法入侵,確保單位內部網絡安全有效的防范措施之一�����。防火墻系統決定了哪些內部服務可以被外界訪問���,外界的哪些人可以訪問內部的哪些可以訪問的服務,以及哪些外部服務可以被內部人員訪問�����。要使一個防火墻必須只允許授權的數據通過��,并且防火墻本身也必須能夠免于滲透��。
3��、網絡病毒防范技術
威脅計算機網絡的病毒多種多樣���,既有單機上常見的計算機病毒�,也有專門攻擊計算機網絡的網絡型病毒����。計算機網絡一旦染上病毒�����,其影響要遠比單機染毒更大��,破壞性也更大。目前���,在網絡環境下�����,較為有效的防病毒方法是 Station Lock 方法�。通常�,防毒概念是建立在“病毒必須執行有限數量的程序后,才會產生感染”的基礎之上�。Station Lock 方法正是根據這一特點,辨別可能的病毒攻擊意圖�����,并在病毒未造成任何破壞之前進行攔截����。對付網絡病毒應該重點立足于服務器的防毒����,其防毒表現形式為集中式掃毒,它能實現實時掃描�,而且軟件升級也方便�����。選用可靠的網絡防病毒軟件也是網絡防毒的關鍵���。
三���、某內部網絡信息安全管理設計和實現
根據以上對網絡信息管理及安全策略研究���,設計基于 Web 網絡信息管理安全構架�,此構架兼顧訪問控制和安全監測兩方面。為有效管理此類信息��,利用 LDAP 目錄服務來解決網絡信息管理中冗余問題以滿足查詢需求�。該系統主要由管理服務器��、目錄服務器��、證書服務器和應用服務器 ( 可以多個 )組成�����。系統設計中遵循 PKI 規定����,通過簽發各種身份證書����、角色證書和權限證書����,實現層次化安全訪問控制��。管理服務器是一臺支持 SSL 的 Web 服務器,它提供管理界面和證書申請表格���,承擔了訪問控制的任務��。用戶通過管理服務器注冊基本信息�,管理服務器從目錄服務器中查詢訪問控制策略 (ACP) 信息����,把用戶信息和相應的訪問控制策略送到證書服務器�,證書服務器根據這些信息頒發給用戶相應角色的證書。管理服務器和證書服務器通過 LDAP 來訪問目錄服務器����。系統采用基于角色的訪問控制來實現安全訪問控制。任何人的訪問行為都要遞交相應的證書���,管理服務器驗證用戶的身份以及確定用戶的訪問權限,只有合法的用戶才可以訪問并進行相應的操作。
管理服務器同時承擔著安全監測任務�,它驅動相應的功能模塊對關鍵數據文件生成 MD5 摘要,并定時進行摘要監測和比較��。如發現應用服務器被攻擊�����,先報警��,并通知管理員將被攻擊的應用服務器從網上隔離開����,以防止入侵者進行更深入地破壞��。如果是服務被破壞���,則重新啟動服務;如果是關鍵數據被破壞���,則進行錯誤定位,并用備份數據恢復被破壞的文件��。所有的處理過程和結果都要生成報告通知管理人員�����。網絡信息管理系統的關鍵數據主要有:系統文件(口令文件����、網絡啟動文件等)、網絡信息服務的配置文件���、關鍵業務信息等。
在構建網絡安全實際技術中我們堅持:保護網絡系統可靠性���;保護網絡資源合法使用性�����;防范入侵者惡意攻擊與破壞�����;保護信息通過網上傳輸機密性、完整性及不可抵賴性��;防范病毒侵害;實現網絡安全管理�����。建立在對信息系統安全需求與環境客觀分析�����、評估基礎上�����,在系統應用性能及價格和安全保障需求之間確定“最佳平衡點”���,讓網絡安全保障引入開銷與它帶來相當效益。在外部網絡攻擊主要來源地��,即第一層網絡出口處部署硬件防火墻�����,保證外部訪問只到 Web���、應用服務器層。第二層網絡出口處部署 VPN�����、硬件防火墻來���,利用 VPN 加密技術及安全認證機制���,實現數據在網絡傳輸真實性、機密性��、完整性及可靠性��,保證只有授權用戶才可訪問內部網絡��。此外��,對來自第二、三����、四層內部網絡攻擊,通過網絡入侵檢測系統(IDS)作防火墻補充��,動態監視網絡流過所有數據包,識別來自本網段內�、其他網段及外部網絡全部攻擊�����,解決來自防火墻內由于用戶誤操作或內部人員惡意攻擊所帶來的安全威脅���。為減少由于安全事故造成的損失���,在系統設備及相關鏈路等物理安全保護方面采取必要數據庫服務器冗余與備份���、線路冗余備份��、異地容災等措施����。
四���、結論
信息安全是個綜合性課題,涉及技術�����、立法、管理�、使用等多方面��,對網絡信息安全保護有更高要求���,也讓網絡信息安全學科地位更重要,網絡信息安全在將來必然會隨著網絡應用不斷發展��。
篇2
1概述
醫院內部無線網絡(Hospital Internal Wireless Networks)��,既包括允許用戶在醫院內部范圍內建立遠距離無線連接的網絡���。
2009 年�,國家新醫改政策出臺����,其中信息系統首次成為我國醫療衛生體系建設的重要支撐。醫院信息系統經過多年的發展���,已經由以財務為核心的階段過渡到以臨床信息系統為核心的階段�����,因此越來越多的醫院開始應用無線網絡��,實施以患者為核心的無線醫療信息系統����。隨著無線網絡技術的日趨成熟�����,醫院內部無線網絡在全球范圍內醫療行業中的應用已經成為了一種趨勢���,在今后的醫院應用中將會越來越廣泛���。通過無線醫療信息系統的應用,既拉近了與患者之間的距離�,提高了醫療服務的效率和質量,也加強了醫院的綜合管理��。
2醫院內部無線網絡的安全風險
隨著醫院對無線醫療信息系統應用的不斷深入���,醫院對于內部無線網絡的依賴程度也越來越深�����。醫院內部無線網絡作為原有醫院內部有線網絡的補充��,擴展了有線網絡的應用范圍����,但是也將相對封閉的醫院內部有線局域網絡環境轉變成了相對開放式的網絡環境�����。其安全性不僅影響到醫院內部無線醫療信息系統的使用���,同樣也影響到與其相連的有線網絡環境中應用的其他醫院信息系統�。因此醫院內部無線網絡的安全將直接影響到醫院整體信息系統的安全���。醫院內部無線網絡一旦被破壞���,將會造成醫院信息系統的數據被竊取、網絡癱瘓��、醫療業務被中斷等等一系列嚴重的后果�����。由于醫院醫療數據的敏感性��,以及無線網絡通過無線信號傳輸的特性���,使得醫院內部無線網絡面臨的安全風險越來越突出�。
根據相關運行情況分析�����, 醫院內部無線網絡主要存在以下安全問題:①非法AP的接入:無線網絡易于訪問和配置簡單的特性��,使醫院內部網絡管理員和信息安全管理員非常頭痛��。因為任何人都可以通過自己購買的AP利用現有有線網絡����,繞過授權而連入醫院內部網絡����。用戶通過非法的AP接入手段,可能會給醫院整體內部網絡帶來很大的安全隱患。②非授權用戶的接入:非授權用戶往往利用各類無線網絡的攻擊工具搜索并入侵����,從而造成很嚴重的后果����。非授權用戶的入侵會造成網絡流量被占用,導致網絡速度大大變慢�,降低網絡帶寬利用率;某些非授權用戶會進行非法篡改�����,導致醫院內部無線網絡內的合法用戶無法正常登陸;更有部分非授權用戶會進行網絡竊聽和數據盜竊���,對病人以及醫院整體造成相當大的損失���。③服務和性能的影響:醫院內部無線網絡的傳輸帶寬是有限的,由于物理層的開銷��,無線網絡的實際最高有效吞吐量僅為標準的50%�����。醫院內部無線網絡的帶寬可以被幾種方式吞噬����,造成服務和性能的影響:如果攻擊者從以太網發送大量的Ping流量,就會輕易地吞噬AP的帶寬����;如果發送廣播流量�����,就會同時阻塞多個AP��;傳輸較大的數據文件或者運行復雜的系統都會產生很大的網絡流量負載�。④地址欺騙和會話攔截:由于醫院內部使用無線網絡環境,攻擊者可以通過地址欺騙幀去重定向數據流和使ARP表變得混亂�����。通過一些技術手段����,攻擊者可以獲得站點的地址,這些地址可以被用來惡意攻擊時使用���。攻擊者還可以通過截獲會話���,通過監測AP�,然后裝扮成AP進入,攻擊者可以進一步獲取認證身份信息從而進入網絡����。⑤數據安全問題:由于無線網絡的信號是以開放的方式在空間中傳送的,非法用戶�����、黑客�、惡意攻擊者等會通過破解用戶的無線網絡的安全設置����,冒充合法識別的身份進入無線網絡進行非法操作����,進行竊聽和截取���,從而達到不法操作或破壞信息的目的���,從而給醫院帶來相對應的損失���。
3醫院內部無線網絡的安全防護目標
早期的無線網絡標準安全性并不完善,技術上存在一些安全漏洞�����。隨著使用的推廣�,更多的專家參與了無線標準的制定�,使其安全技術迅速成熟起來。具體地講�,為了有效保障無線網絡的安全性,就必須實現以下幾個安全目標:①提供接入控制:通過驗證用戶����,授權接入特定的資源���,同時拒絕為未經授權的用戶提供接入�����。②確保連接的保密與完好:利用強有力的加密和校驗技術�����,防止未經授權的用戶竊聽�����、插入或修改通過無線網絡傳輸的數據�����。③防止拒絕服務攻擊:確保不會有用戶占用某個接入點的所有可用帶寬����,從而影響其他用戶的正常接入�。
4醫院內部無線網絡的安全防護技術
無線網絡的安全技術這幾年得到了快速的發展和應用,下面是目前業界常見的無線網絡安全技術:
4.1服務區標識符(SSID)匹配 SSID(Service Set Identifier)將一個無線網絡分為幾個不同的子網絡���,每一個子網絡都有其對應的身份標識(SSID)�����,只有無線終端設置了配對的SSID才接入相應的子網絡。所以可以認為SSID是一個簡單的口令�,提供了口令認證機制,實現了一定的安全性�。
4.2無線網卡物理地址(MAC)過濾 每個無線工作站網卡都由唯一的物理地址(MAC)標識�,該物理地址編碼方式類似于以太網物理地址。網絡管理員可在無線網絡訪問點AP中維護一組(不)允許通過AP訪問網絡地址列表�����,以實現基于物理地址的訪問過濾��。
4.3無線接入點(AP)隔離 AP(Access Point)隔離類似于有線網絡的VLAN���,將所有的無線客戶端設備完全隔離,使之只能訪問AP連接的固定網絡�。該方法多用于對酒店和機場等公共熱點(Hot Spot)的架設,讓接入的無線客戶端保持隔離����,提供安全的網絡接入。
4.4有線等效保密(WEP�、WEP2) WEP(Wired Equivalent Privacy),IEEE80211.b標準規定的一種被稱為有線等效保密的可選加密方案����,其目的是為無線網絡提供與有線網絡相同級別的安全保護。WEP是采用靜態的有線等同保密密鑰的基本安全方式�����。WEP2��,是根據WEP的特性�����,為了提供更高的無線網絡安全性技術而產生�。該技術相比WEP算法���,將WEP密鑰的長度由40位加長到128位�,初始化向量的長度由24位加長到128位�����。
4.5端口訪問控制技術(IEEE802.1x)和可擴展認證協議(EAP) IEEE802.1x提出基于端口進行網絡訪問控制的安全性標準�����,利用物理層特性對連接到網絡端口的設備進行身份認證�����。如果認證失敗�,則禁止該設備訪問網絡資源��。
IEEE 802.1x引入了PPP協議定義的可擴展認證協議(EAP)���。作為可擴展認證協議,EAP可以采用MD5���,一次性口令�����,智能卡,公共密鑰等等更多的認證機制�����,從而提供更高級別的安全。
4.6無線網絡訪問保護(WPA�����、WPA2) WPA(Wifi Protected Access)�,率先使用802.11i中的加密技術-TKIP (Temporal Key Integrity Protocol)�����,這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題��。
WPA2是基于WPA的一種新的加密方式�����,向后兼容��,支持更高級的AES加密�����,能夠更好地解決無線網絡的安全問題�����。
4.7高級的無線網絡安全標準(IEEE 802.11i) IEEE 802.11i安全標準是為了增強無線網絡的數據加密和認證性能���,定義了RSN(Robust Security Network)的概念����,并且針對WEP加密機制的各種缺陷做了多方面的改進���。IEEE 802.11i規定使用802.1x認證和密鑰管理方式��,在數據加密方面�,定義了TKIP、CCMP和WRAP三種加密機制�,使得無線網絡的安全程度大大提高。
5醫院內部無線網絡的安全實現
5.1合理放置無線設備 無線網絡的信號是在空氣中傳播的��,任一無線終端進入了設備信號的覆蓋范圍���,都有可能連接到該無線網絡。所以醫院內部無線網絡安全的第一步就是�����,合理規劃AP的放置,掌控信號覆蓋范圍����。在架設無線AP之前�,必須選定一個合理的放置位置,以便能夠限制信號在覆蓋區以外的傳輸距離�。最好放在需要覆蓋的區域中心,盡量減少信號泄露到區域外����。
5.2無線網絡加密�����,建立用戶認證 對于醫院內部無線網絡的進行加密���,建立用戶認證���,設置相關登錄用戶名和密碼,而且要定期進行變更����,使非法用戶不能登錄到無線設備,修改相關參數��。實際上對無線網絡來說���,加密更像是一種威懾���。加密可細分為兩種類型:數據保密業務和業務流保密業務。只有使用特定的無線網絡加密方式����,才會在降低方便性的情況下���,提高安全性��。
5.3 SSID設置 無線 AP 默認的設置會廣播SSID,接入終端可以通過掃描獲知附近存在哪些可用的無線網絡�����,例如WINDOWS自帶掃描功能����,可以將能聯系到的所有無線網絡的 SSID 羅列出來��。因此��,設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串���,同時設置SSID隱藏起來��,接入端就不能通過系統自帶的功能掃描到這個實際存在的無線網絡�����,即便他知道有一個無線網絡存在��,但猜不出 SSID 全名也是無法接入到這個網絡中去,以此保證醫院內部無線網絡的安全���。
5.4 MAC地址過濾 MAC 地址過濾在有線網絡安全措施中是一種常見的安全防范手段�����,因此其操作方法也和在有線網絡中操作交換機的方式一致�。通過無線控制器將指定的無線網卡的MAC 地址下發到各個AP中,或者直接存儲在無線控制器中�����,或者在AP交換機端進行設置�����。
5.5 SSL VPN 進行數據加密和訪問控制 由于在實際醫療活動中��,為了滿足診斷��、科研及教學需要�,必須經常大量采集�����、、利用各種醫療數據�。由于原有醫院網絡的相對封閉性,絕大多數的應用系統采用的都是未經加密的數據包進行數據交換����,但是醫院內部無線網絡是相對開放性的網絡���,入侵者通過對無線信號中數據包的偵聽與解析����,使得醫療信息泄漏成為了醫院不得不面對的問題。SSL VPN 即指采用SSL 協議來實現遠程接入的一種VPN技術���。SSL VPN 基于瀏覽器的認證方式����,能兼容醫院主流的無線終端設備操作系統�����,如Windows���、Android���、IOS,而VPN 的方式又能保證醫院信息系統的正常運行���。SSL VPN在解決醫院無線網絡數據加密的同時�,最大限度地保障了醫院信息系統的投資。
5.6核心網絡隔離 一旦攻擊者進入無線網絡����,它將成為進一步入侵其他系統的起點�����。很多網絡都有一套經過精心設置的安全設備作為網絡的外殼�,以防止非法攻擊, 但是在外殼保護的網絡內部確是非常的脆弱容易受到攻擊的�����。無線網絡可以通過簡單配置就可快速地接入網絡主干��,但這樣會使網絡暴露在攻擊者面前���。所以必須將無線網絡同易受攻擊的核心網絡進行一定的安全隔離保護�,應將醫院內部無線網絡布置在核心網絡防護外殼的外面, 如防火墻��、網閘等安全設備的外面��,接入訪問核心網絡采用SSL VPN等方式�。
5.7入侵檢測系統(IDS) IDS(Intrusion Detection Systems)入侵檢測系統,不是只針對無線網絡檢測的系統��,同樣也適用于有線網絡���。入侵檢測技術可以把無線網絡的安全管理能力擴展到安全審計�����、安全檢測、攻擊識別和響應等范疇�����。這樣不僅提高了網絡的信息安全基礎結構的完整性��,而且幫助對付惡意用戶對整體醫院網絡內其他用戶的攻擊���。依照醫院無線應用系統的安全策略�,對網絡及信息系統的運行狀況進行監視��,發現各種攻擊企圖���、攻擊行為及攻擊結果��,以保證網絡系統資源的完整性����、可用性和機密性����。
5.8終端準入控制 終端準入控制主要為了在用戶訪問網絡之前確保用戶的身份信任關系����。利用終端準入控制,醫院能夠減少對系統運作的部分干擾�����,因為它能夠防止易損主機接入網絡���。在終端利用醫院內部無線網絡接入之前�����,首先要檢查它是否符合制定的策略�,可疑主機或有問題的主機將被隔離或限制接入�。這樣不但可以防止這些主機成為蠕蟲和病毒攻擊的目標��,還可以防止這些主機成為傳播病毒的源頭�,保證只有在滿足終端準入控制策略的無線終端設備才能接入醫院網絡。
6結論
隨著無線網絡越來越受到普及���,本文淺析了醫院內部無線網絡存在的幾種安全隱患,并探討了對應的幾種防范策略�����?��?偟膩碚f���,世界上不存在絕對安全的網絡,任何單一的安全技術都不能滿足無線網絡持續性的安全需求��,只有增強安全防范意識����,綜合應用多種安全技術,根據不同的醫院自身應用的特點�,選擇相應的安全防范措施,通過技術管理和使用方法上的不斷改進���,才能實現醫院無線網絡的安全運行����。
參考文獻:
[1]Zerone無線安全團隊.無線網絡黑客攻防[J].中國鐵道出版社���,2011(10).
篇3
我局建立健全了電子政務內網領導體制和工作機制,制定了《公文網上交換工作制度》���、《電子政務內網安全保密制度》��、《縣食品藥品監管局電子政務內網管理制度》和《電子政務內網管理員職責》�,明確由副局長專門分管電子政務內網工作�,辦公室主任負責電子政務內網日常管理工作�����,由責公文網上交換、信息維護和設備管理�。
二、硬件管理及網絡安全
2014年���,我局一是嚴格安裝黨政網管中心的要求,電子政務內網實行專機專用�,嚴格執行公文網上交換機與互聯網等外部網絡物理隔離��、公文網上交換用戶名和密碼使用管理規定�,嚴格維護網絡的安全;二是配備了必要的安全防護設施并確定為管理人員���,該同志熟悉內網管理��,并認真參加相關培訓。三是內網計算機上沒有安裝游戲或與工作無的程序����,確保內網安全;四是認真做好電子政務內網終端設備的防病毒工作�����,配備隔離卡和防病毒軟件,軟件及時升級�����,及時給系統打補丁����,及時更新病毒庫�,經檢測,沒有測到內網計算機上有病毒�����、木馬等有害程序�;五是禁止在電子政務內網計算機上不隨意使用來歷不明或攜帶病毒的光盤、U盤等移動存儲設備禁止在電子政務內網計算機之間交叉使用U盤等移動存儲設備;禁止在沒有防護措施的情況下將國際互聯網等公共信息網絡上的數據拷貝到電子政務內網系統����;禁止在內網終端上使用具有無線互聯的設備��。六是內網計算機與互聯網等網絡物理隔離����,沒有接入過互聯網。
篇4
中圖分類號:TP393.18 文獻標識碼:A文章編號:1007-9599(2012)05-0000-02
一���、引言
大部分企業網管人員至今仍對內網威脅不重視��,他們認為只要做好內外網物理隔離,或在內外網間部署好網關�、防火墻等安全防護產品�,網絡安全就能萬無一失。內網安全僅依賴管理措施����,極少采用技術手段進行防護。中國國家信息安全測評認證中心的調查結果表明���,信息安全問題主要來自泄密和內部人員犯罪,而非病毒和外來黑客引起��。因此進一步分析企業內網威脅及防治技術����,構建內網安全防護模型顯得愈發重要。
二���、基于行為的內網威脅分析
隨著信息���、通信技術的發展,企業內部網絡的應用越來越復雜��,內網大多數的應用都是企業核心內容��,需嚴格保密����,一旦出現、破壞的事件����,后果將不堪設想,內網出現問題甚至能夠導致整個企業癱瘓�����。
企業內網威脅除了由系統缺陷引起的安全隱患�����,大部分是由于企業內部人員安全意識不足���,基于行的內網威脅�,具體表現在:
(一)移動存儲介質管理的不規范:如數據拷貝不受限�、違規交叉使用、單位和個人持有不區分等���,特別是在與非計算機間、內部與互聯網計算機間交叉使用�����,導致計算機或內部工作計算機感染木馬病毒��。
(二)服務端口過多開放:黑客一般是通過掃描端口獲取信息���,確定主機運行的服務,然后再尋找相關服務或程序漏洞���,最后通過漏洞服務或程序的端口攻擊目標主機。
(三)賬號口令管理不嚴:黑客攻擊的目的是為了非法獲取系統訪問權限�,一旦取得賬戶口令,他們就可以順利登陸到目標系統,進行犯罪活動��。
(四)用戶權限分配不合理:用戶權限往往未被限制����,即授予其所需要的最小權限�����。攻擊者就利用用戶過高的權限進行攻擊��。
(五)使用盜版����、破解軟件等:盜版軟件通過破解、反編譯等手段得到軟件程序源代碼�,修改源代碼往往影響到軟件模塊結構之間的邏輯性,導致一些軟件漏洞的出現���,黑客也常用一些工具來搜索存有漏洞的計算機來確定攻擊目標。
(六)內部的網絡攻擊�。有的員工為了泄私憤、或被策反成為敵方間諜�����,成為單位泄密者或破壞者。由于這些員工對單位內部的網絡架構熟悉�����,可利用管理上的漏洞����,侵入他人計算機進行破壞�����。
(七)網管人員工作量過大���、專業水平不夠高、工作責任心差����;用戶操作失誤,可能會損壞網絡設備如主機硬件等�����,誤刪除文件和數據�、誤格式化硬盤等,都將構成內網嚴重威脅�。
三、內網威脅檢測技術
內外網隔離���、防火墻�����、IDS及其他針對外部網絡的訪問控制系統,能夠有效防范來自網絡外部的進攻����。但對于企業內部的信息保密問題,卻一直沒有很好的防范措施:內部人員可以輕松地將計算機中的機密信息通過網絡�、存儲介質或打印等方式泄露。當前����,可通過主流技術對內網威脅進行檢測:
(一)準入控制技術。目前����,防范終端安全威脅可采用多種準入控制技術主動監控桌面電腦的安全狀態和管理狀態,將不安全的電腦隔離����,進行修復。使準入控制技術與傳統的網絡安全技術如防火墻�����、防病毒技術有機結合��,改變“被動的���、以事件驅動”為特征的傳統內網安全管理模式��,變被動防御為主動防御,有效促進內網規范化建設�。
(二)網絡安全防范技術及監控手段的集成?�?蓪⒎阑饓夹g��、漏洞掃描技術�、入侵檢測技術和安全管理����、安全監測和安全控制集成與融合,實現對內部網絡的安全防范����。網絡安全監測需要監測非授權外聯、非授權接入及非法入侵��、非授權信息存取���,對重要數據進行重點保護���、重點信息進行重點監測����,對可疑人物、可疑事件跟蹤監測��。
(三)網絡安全監控�����??刂凭W絡設備的運行狀態���,對網絡安全監測事件實時響應�����;這樣不僅能及時發現安全域內潛在的網絡安全威脅����,減少網絡安全事故的發生,而且能做到對安全事故的及時解決�����。
(四)建立用戶行為審計���。對用戶網絡行為進行審計���,包括:審計登錄主機的用戶、登錄時間���、退出時間等有詳細記錄���;對重點數據操作的全過程審計;對發現可疑操作如多次嘗試用戶名和密碼的行為�����,及時報警并采取必要的安全措施如關機等�。
四、內網安全防護模型
在內網威脅檢測技術的基礎上��,建設一個多層次的網絡安全防護體系�,使得安全管理員能夠全面掌握網絡的運行狀況�,掌握網絡的應用流量狀況,掌握網絡中發生的安全事件�,并在網絡出現異常或發生可疑事件時能夠方便快捷地對數據進行深入分析����,從而實現對內部網的全方位安全監控,提高對安全事件的監控和響應處理能力����。
(一)網絡準入控制與終端安全防護系統��。將安全策略及多種安全防護技術等結合起來�����,構成一個統一終端安全防護系統。包括安全策略制定與下發�����、桌面終端的管理與控制�����、認證與授權���、合規與審計。實現對進入內網的控制和安全策略符合診斷控制���,提高企業終端安全管理水平���。
(二)威脅分析監控系統。能盡早檢測出新的未知惡意軟件����,對數據泄漏快速響應。能通過檢測網絡中的破壞性應用程序和服務程序,節省帶寬和資源�����;通過集中式管理��,使威脅和事件信息管理更為容易���。
(三)網絡流量分析系統。通過該系統捕獲并分析網絡中傳輸的數據包��,有效反映網絡通訊狀況�,幫助網管人員快速準確定位故障點并解決網絡故障,并快速排查網絡故障��,從而提高網絡性能���,規避網絡安全風險,增大網絡可用性價值���,并確保整個網絡的持續可靠運行���。
(四)用戶行為審計系統。及時分析用戶行為日志的審計,可發現可疑的信息���,并重點跟蹤監測。有助于發現網絡中的薄弱環節及可疑因素�;有助于提高企業用戶的網絡安全意識,也是對網絡安全破壞分子的震懾�����。
五��、結束語
本文首先分析了基于行為的企業內網安全威脅,探討了當前內網威脅檢測技術����,設計了一套對網絡準入控制、終端安全防護�、流量分析�、用戶行為審計等內網威脅檢測和管理的網絡安全防護模型。使得企業可以全面了解網絡的運行狀況以及安全事件信息�,為安全管理中心和安全事件審計提供信息和證據。
參考文獻:
篇5
[關鍵詞] 網絡系統安全�;安全管理;管理制度��;木桶原理
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 088
[中圖分類號] R197.3����;TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2017)05- 0164- 03
0 引 言
隨著新醫改的不斷深入,作為其重要支柱之一的醫院信息系統建設進入了高速發展的快車道��,成為醫院日常醫療工作和管理工作的基礎平臺��。2013年�����,我院新建了醫院信息系統項目����,包括機房建設����、網絡建設�����、軟件系統建設���、硬件建設等部分���。醫院特點決定醫院信息系統必須365*24小時不間斷正常運行��,網絡�����、系統軟硬件的損壞和故障,或者是數據信息泄露�,都會醫院帶來不可估量的損失,影響患者正常就診�,甚至危及醫院的生存和發展。因此���,構建安全的醫院網絡系統�,保障系統和信息系統安全�����,是各醫院都很關心的問題���。
醫院網絡安全系統是個系統工程����,其符合“木桶原理”���,系統的安全程度取決于最短的那塊板����,我院從硬件����、網絡、系統��、審計監管、防病毒�����、安全制度等各個方面采取了多種措施�,保障了信息系統安全、網絡安全�����。
1 網絡系統安全
1.1 鏈路安全
為避免核心網絡系統單點故障,提高網絡系統的健壯性�����、容錯性和性能���,我院在網絡核心層采用了H3C的IRF2(Intelligent Resilient Framework,智能彈性架構)技術��, IRF2將兩臺華三10508核心交換機通過IRF物理端口連接在一起���,虛擬化成一臺邏輯核心交換設備�,集合了兩臺設備的硬件資源和軟件處理能力����,實現兩臺設備的統一簡化管理和不間斷維護,提高了網絡對突發事故的自動容錯能力����,最大程序降低了網絡的失效時間���,提高了鏈路的利用率和轉發效率��。
在核心層10580交換機與會聚層5800交換機間采用萬兆光纖交叉互聯���,線路間做鏈路聚合���,增加鏈路帶寬、實現鏈路傳輸彈性和冗余���。同時����,核心交換機與會聚層交換機全部配備雙電源和雙風扇組�,雙電源分別插兩路不同PDU電源插痤,盡量避免單點故障�。
1.2 網絡層次分明,方便管理
數據中心服務器到所有的桌面終端計算機最多通過三層網絡�����,即核心層�、會聚層和接入層�����,三層網絡交換機各師其職��,層次分明���。核心層是網絡的高速交換主干�����,負責數據轉發��;匯聚層提供基于策略的連接����,是網絡接入層和核心層的“中介”����,工作站接入核心層前須先做匯聚,實施策略�����、安全����、工作組接入���、虛擬局域網(VLAN)之間的路由、源地址或目的地址過濾等多種功能�����,減輕核心層設備的負荷����;接入層提供工作站接入網絡功能。同時�����,我院每棟業務樓都建設了網絡設備間���,安裝了空調和不間斷電源,統一管理該樓內所有的會聚層和接入層交換機��,保證所有的設備都有良好的運行環境���,同時便于管理和維護。
1.3 劃分VLAN���,提高性能和安全性
醫院信息系統服務主要以訪問數據庫服務器為主���,數據縱向訪問多���,橫向少�,同時,我院許多樓又都綜合了門診住院醫療系統�����、醫技系統等����,我們根據其特點,將網絡按樓宇劃分為10多個VLAN子網�,并將有特殊需求的應用(如財務科賬務專網等),單獨劃分VLAN�。通過VLAN劃分,控制廣播范圍����,抑制廣播風暴,提高了局域網的整體性能和安全性。
1.4 網絡核心層安裝防火墻板卡與IPS板卡�����,保證服務器區安全
醫院服務器區是醫院系統運行核心����,一旦被侵入或感染病毒,將影響醫院的正常醫療業務�,影響病人就診,我院每日門診人次3 000多人����,住院患者1 600多人���,數據庫出問題�����,將造成重大的社會影響和嚴重后果����,故我們在核心層華三10 508交換機上安裝了SecBlade FW Enhanced增強型防火墻業務處理板卡和PS插卡�,設定了防入侵和攻擊的規則�,過濾非法數據��,防范病毒確保服務器區安全。
1.5 智能網管中心
隨著網絡應用越來越復雜�,網絡安全控制、性能優化�����、運營管理等問題成為困擾用戶的難題�,并直接決定了醫院核心業務能否順利開展。我們采用了專門的網管系統����,通過軟件的靈活控制,與相應的硬件設備配合�,建立了網絡安全控制中心�、性能優化中心和運營管理中心。通過網管系統�����,我們能實時監管網絡的運行情況����,監管網絡的故障和報警�����,監管和分配網絡流量�,優化網絡性能����,使整個網絡可管可控。我院網絡管理員常用的網管功能有資源管理���、拓撲管理和故障(告警/事件)管理等。
網管系統的資源管理可管理網絡設備����、接口,顯示設備的詳細信息和接口詳細信息和實時性能狀態���; 拓撲管理可自動發現全網設備的拓撲視圖���,通過拓撲圖能夠清晰地看到醫院網絡的狀態,包括運行是否正常��、網絡帶寬、連通等��。
故障(告警/事件)管理���,是網管系統的核心功能之一����,包括設備告警、網管站告警�����、網絡性能監視告警��、終端安全異常告警等�����,告警事件可通過手機短信或E-mail郵件的方式��,及時通知管理員����,實現遠程網絡的監控和管理。
1.6 醫院內網���、外網間隔離和訪問通道
醫院內部的網絡分為醫院辦公外網(用于日常辦公�����,可上互聯網)和業務內網�,為保證醫院內部網絡業務系統安全���,防止非法入侵���、病毒攻擊等醫院業務網與互聯網必須物理隔離���,同時���,因醫院內部眾多軟件廠商、服務器廠商����、網絡設備、安全廠商�,需要遠程維護內網設備����,業務網和互聯網之間須有個能訪問的通道�,我們采用了SSL VPN+網閘+堡壘機的方式實現了遠程安全登錄和物理隔離�����。
(1)在醫院外網防火墻和醫院內網防火墻之間安裝了網神SecSIS 3600網閘���,利用其“數據擺渡”的工作方式,開放須訪問的端口��,實現物理隔離���。
(2)h程用戶通過SSL VPN接入到醫院外網���。利用SSL 的私密性、確認性���、可靠性、易用性特性�����,在遠程用戶和我院外網間建立起專用的VPN加密隧道。在SSL VPN中����,將用戶的登錄設定為自動跳轉到堡壘機,通過堡壘機再訪問相關的設備和電腦��,實現遠程訪問有監管有記錄有審計���,可管可控�����。
2 服務器和存儲備份安全
系統服務器雙機備份常用的是采用雙機冷備份或通過心跳線熱備份的方式實現。我院結合自身設備特點��,采用了賽門特克Veritas Cluster Server技術�,在IBM刀片機上建了一個N+1 VCS集群,即多臺服務器對應一臺備份機�����,當其中一臺出現問題,都會自動切換到備機����,實時快速,同時節約了備份機��。兩套IBM DS5020存儲陣列(一臺在主機房���、一臺在備份機房)通過光纖直連,采用remote mirror遠程鏡像備份技術��,將主機房存儲的實時數據復制到備份存儲系統�,提供于業務連續性和災難恢復的復制功能。
3 保證操作系統安全
操作系統是軟件系統基礎���,保證其安全是必須的。我們對服務器進行了主機加固���,關閉了不必要的服務��,安裝了賽門鐵克防火墻�����、賽門鐵克網絡版殺毒軟件��,萊恩塞克內網安全管理系統等來保證內網服務器和工作站操作系統安全��。其中內網管理系統控制和監管了移動介質的使用����,屏蔽了未經授權的移動介質接入網絡����,避免了醫院數據的外泄及感染病毒,同時�����,還能對內網中每一個計算機進行遠程的桌面管理�、資產管理、配置管理和系統管理等�����。
4 核心設備配置修改和訪問安全
服務器在注冊表中關閉了遠程訪問功能��, 網絡交換機都關閉了TELNET功能���,關閉命令: undo telnet server enable通過網絡堡壘機可視化的web管理界面統一配置和管理所有服務器和交換機�,利用堡壘機可控制���、可審計�����、可記錄��、可追溯的特性��,保證對服務器和交換機的安全管理����,避免配置和修改服務器�����、交換機時不慎造成故障�。
5 數據庫和網絡安全審計系統
為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞�����,我院通過旁掛模式接入了數據庫和網絡安全審計系統,實時收集和監控網絡�����、數據庫中的系統狀態���、安全事件、活動���,以便集中報警���、記錄、分析��、處理����,實現“事前評估―事中監控―事后審計”,對數據庫和網絡中的操作和更改進行追溯和還原�����。
6 健全安全管理制度�����,加強執行
建立了嚴格的規范的規章制度�,規范網絡管理、維護人員的各種行為��,保障網絡安全�。如建立了“中心機房管理制度”“機房設備操作制度”“機房出入制度”“設備巡查制度”“工作站操作制度”等。
篇6
作為專注于信息安全領域的專業研發企業��,信安寶在入網管理����、網絡安全、文檔安全�、文檔透明加密、云加密技術���、客戶端防護、打印安全與管理��、整體數據防泄漏防護(DLP)等應用方向擁有國際領先的科技��,產品完全擁有自主知識產權�����,并有眾多創新和專有技術�����,信安之星系列產品是聚幾十位專家工程師十余年研發之力而成就的完整信息安全解決方案�����,有數以千計的用戶應用積累以及實施經驗����,為廣大用戶提供全方位的���、可靠的信息安全屏障����。
信安之星(iSecStar)內網管理系統(企業版����、高級版、入網管理版���、文檔加密版�、定制版)是多功能多應用的內網管理系統,主要滿足十大內網管理需要:入網管理�、上網管理、文檔防護���、U盤管理���、打印管理、補丁更新���、行為管理�����、桌面管理��、設備管理�����、系統運維����,另外還有資產管理、網絡防護���、高級拓展功能等����,全面解決辦公網絡關聯的安全、防護��、管理�、監控、運維等問題����。
信安之星(iSecStar)打印管理系統(企業版、高級版)滿足當前重安全����,控成本、信息化�、移動��、集約辦公管理需要的新一代打印監控管理系統���。
信安之星(iSecStar)U盤安全管理系統(企業版���、高級版)是專業用來規范企業或組織內的U盤使用�,保護U盤及數據安全的軟件系統���。
篇7
2.校園網的安全隱患
影響校園網安全的因素很多��。校園網一般分為校園內網����、校園外網���、提供各種服務的服務器群,內網主要包括:教學網、圖書館網���、辦公自動化網絡����、財務網;而外網則是實現內網與Internet的對接,服務器群提供各自服務�����。根據對校園網絡的基本結構的剖析,可以得出結論,校園網的安全問題來自以下幾個方面:
2.1TCP/IP協議簇的安全性與操作系統的安全漏洞。
TCP/IP及其許多網絡協議本身在設計之初并未全面考慮安全性問題,隨著網絡技術的發展與普及,協議的安全性問題日益突出��。
目前使用的操作系統,包括Windows系列,Unix系列都不同程度上存在安全漏洞,對網絡構成威脅��。
2.2來自外部的威脅
校園網與Internet相聯,極易受到外部人員的攻擊,一旦攻擊成功,將有可能造成極大破壞����。而校園網用戶密集,速度快��、規模大的特點,也使得安全問題容易被放大,影響更加嚴重����。
2.3來自內部的安全隱患
(1)病毒����、木馬的威脅。由于校園內部使用網絡的人員復雜,水平良莠不齊,在進行數據交換或數據上傳���、下載時可能造成病毒�、木馬在內網中的傳播��、泛濫。
(2)寬松�����、開放的網絡環境也使得內網容易遭受攻擊��。由于教學�����、科研的特點,使得一些新技術��、新應用在校園網上實施的時候不能施加過多的限制,這也可能會造成內網受到攻擊�。
(3)活躍而密集的用戶群也是校園網不安全的因素之一���。數量眾多���、具有一定的計算機方面的知識、無窮的探索精神而安全觀念淡薄的學生也可能會對校園網造成一定程度的威脅���。
2.4管理制度不健全�、管理人員與維護力量不足成為校園網安全的一大隱患��。
校園網的建設和管理對校園網安全的關注度通常不高,安全意識不強,管理制度不健全,對于管理與維護方面的投資也不大,網絡中心的人員只能保證網絡正常運行,對于安全問題無暇顧及��。管理不到位,校園內可能出現各種網絡并存,鐵通���、電信�����、光纖內網混搭,成為攻擊者避開防火墻進行攻擊的跳板����。
3.校園網安全策略
安全策略是指在某個安全區域內,用于所有與安全相關活動的一套規則����。安全有效的安全策略,可以最大程度降低校園網受到攻擊而造成性能下降�����、失效���、泄密����、數據丟失的可能性�����。安全策略包括嚴格的管理�、先進的技術和行之有效的管理制度。
3.1防火墻控制策略
防火墻是一種保護計算機網絡安全的技術性措施,是用來阻止網絡黑客進入內部網的屏障���。防火墻分為專門設備構成的硬件防火墻和運行在服務器或計算機上的軟件防火墻�。無論哪一種,防火墻通常都安置在網絡邊界上,根據系統管理員設置的訪問控制規則,對數據流進行過濾,通過網絡通信監控系統隔離內部網絡和外部網絡,以阻檔來自外部網絡的入侵�。防火墻是Internet安全的最基本組成部分。
3.2訪問控制策略
訪問控制策略是網絡安全防范和保護的主要策略,其任務是保證網絡資源不被非法使用和非法訪問���。各種網絡安全策略必須相互配合才能真正起到保護作用,而訪問控制是保證網絡安全最重要的核心策略之一���。訪問控制策略包括入網訪問控制策略���、操作權限控制策略��、目錄安全控制策略����、屬性安全控制策略、網絡服務器安全控制策略��、網絡監測��、鎖定控制策略和防火墻控制策略等7個方面的內容����。
3.3入侵檢測系統(IDS,Intrusion Detection System)
入侵檢測系統是為保證計算機網絡系統的安全而設計的一種用于檢測違反安全策略行為的技術,它能夠及時發現并報告網絡中未授權的訪問或異常現象�。違反安全策略的行為,主要是指入侵和濫用--通常將非法用戶的違規訪問行為稱為入侵,將合法用戶的違規訪問行為稱為濫用。
入侵檢測使用兩種基本的檢測技術:特征檢測與異常檢測����。前者常常是對網上流動的數據內容進行分析,找出\"黑客\"攻擊的表征����。后者往往是對網絡上的數據流量進行分析,找出表現異常的網絡通信�。功能簡單的入侵檢測系統可能只使用這兩種技術中的一種。
3.4對病毒����、木馬定期查殺
由于頻繁的數據交換,網絡中數據的上傳下載以及校園網使用者的水平良莠不齊,給病毒、木馬在網絡中的傳播提供了機會,所以應選擇合適的網絡殺毒軟件,及時更新病毒庫,定期對病毒�、木馬進行查殺����。
篇8
天津醫院外網安全建設分析
1硬件防火墻外網是要鏈接到Internet上的�,所以網絡安全尤為重要,硬件防火墻是必不可少的���。通過硬件防火墻的設置���,可以進行包括過濾和狀態檢測�����,過濾掉一些IP地址和有威脅的程序不進入辦公網絡�����。硬件防火墻針對病毒入侵的原理����,可以做出相應的策略,從源頭上確保網絡安全�����。
2網絡管理軟件網絡管理軟件提供網絡系統的配置、故障��、性能及網絡用戶分布方面的基本管理����,也就是說,網絡管理的各種功能最終會體現在網絡管理軟件的各種功能的實現上����,軟件是網絡管理的“靈魂”,也是網絡管理系統的核心����。
通過網絡管理軟件網管人員可以控制流量��,設置不同用戶訪問的網址和使用的應用程序����,設置不同時間可以訪問的網址,以及屏蔽掉一些游戲����、股票等非工作需要的程序�?����?梢詫崟r監控客戶端的網絡行為�,查看是否有非工作內容的操作�����。定期備份日志�,保證辦公網正常有序的工作。
管理制度
篇9
當政府網絡部署無線系統后
與性能相關的各項技術指標則成為建設之重
用戶背景
深圳市司法局成立于1980年11月��,是市政府主管司法行政的工作部門���,其主要職能是貫徹、執行國家司法行政工作的方針�����、政策和法律��、法規�,負責起草涉及本市司法行政工作的法規及規章的草案,制訂本市司法行政工作的中長期規劃和年度工作計劃�����,并監督實施。
用戶需求
深圳市司法局初期為辦公大廈搭建了一套有線網絡系統�����。該網絡系統是深圳市司法局內部辦公網絡���,承載司法局內部重要信息和機密文件�,并支撐深圳市司法局電子政務系統的運行��。因此�,需要絕對的安全。
內部網絡不允許任何來自內網����、外網的安全威脅。而隨著業務延伸和應用多元化����,封閉式內部網絡已經無法滿足業務需求。因此��,深圳市司法局決定構建一套與業務網絡完全獨立的外網系統,以滿足更多的應用需求���。
深圳市司法局要求新網絡必須絕對獨立,以使物理層與業務網隔離��,從而完全杜絕所有來自內��、外網絡的隱患�����。新網絡必須靈活可用�,還需要作為原有網絡的補充和延伸��。此外�,除能夠為內部工作人員以及外來人員提供服務外,還需要滿足高速度���、高穩定�����、高安全�����、高可用等性能���。
解決方案
針對深圳市司法局的需求�,他們決定采用無線網絡����。并以高性能三層千兆交換機GSM7312作為深圳市司法局外
網的核心交換機�����,直接連接服務器���,通過防火墻接入Internet���,同時向下連接工作組智能交換機FS726T。
GSM7312提供12個10/100/1000M RJ-45端口(所有端口支持自協商和MDI/MDIX線纜自適應)��,12個MiniGBIC (SFP) 插槽可提供千兆光纖的連接(每一個1000Base-T與對應的MiniGBIC端口共享使用)��。靈活的端口配置為深圳市司法局組建外網提供了極大的靈活性�����。
通過GSM7312的光纖接口,以千兆光纖連接樓層機房的工作組交換機FS726T�。FS726T具有24個10/100 Mbps端口,2個10/100/1000 Mbps RJ-45上聯端口和1個可選用光纖連接的SFP插槽����。
無線接入點采用WG302 AP�����,其具IEEE 802.11g的特性,使得在Turbo模式下能最高支持108Mbps高速�。WG302內置了專為企業而設置的AutoCell技術���,保證強勁的RF射頻管理和控制�����。WG302支持WPA����、801.1x���,能充分保證內網安全����。
深圳司法局所在的天平大廈每層面積1000平米左右,共22層�����,通過信號測試并根據應用需求��,可以在每個樓層的不同位置設置數量不等的WG302作為無線接入點�,以保證接入效果和覆蓋面積。通過WG302內置的AutoCell技術可輕松調控無線性能�。
為了使整個網絡便于管理���,深圳司法局采用了ProSafe NMS100����,可以與任何一種使用工業標準的簡單網管協議(SNMP)的可網管設備一起運作�����,如二層交換機 �����、三層交換機、無線AP�、傳統的路由器、服務器和打印機等���。
NMS100可幫助深圳司法局配置���、管理和診斷網絡���,確保網絡能以適時的���、可靠的和最少花費的方式交付數據和服務。NMS100使用非常簡便�,同時����,它還提供預警和保護,NMS100使需要監測和控制的各種復雜的數據網絡的網絡管理任務變得更容易��。
此外����,深圳市司法局還配備WG111 IEEE802.11g 的USB 2.0無線網卡�����。WG111提供最大的無線局域網絡的安全性����,支持40位(也稱為64位)和128位WEP有線等效加密���。并且還可通過軟件升級將支持802.1x與WPA��,與WG302一同提供高安全特性的無線網絡�,確保只有合法的用戶才能聯入無線網絡�。
同時,WG111還采用特別設計的天線�����,擁有更強信號覆蓋范圍“拇指型”小巧外觀設計����。
方案特點安全性
司法機構存儲大量絕密文件���,要求極高的安全特性�,采用物理隔離的方式可充分保證內、外網安全�。本項目所采用的無線產品均具有802.1x、WPA�、WEP等多種加密方式,同樣可保證無線網絡安全����。
NMS100可以對網絡進行監測和預警,以保證網絡安全運行���。
可用性
三層交換機GSM7312功能強大,支持多種路由協議���,提供512條路由表項����、線速的IPv4路由����、VRRP、ICMP����、RIP v1和RIP v2、OSPF v2等����。并且還具有DHCP/BOOTP的中繼能力、鏈路聚合����、廣播風暴控制、廣泛的VLAN虛擬局域網支持等交換協議��,以及多種QoS�����。
FS726T網管智能交換機���,擁有超高性價比�����,并提供必要的管理功能����。
篇10
(一)網絡安全組織管理情況
為妥善地完成網絡安全工作,消除網絡安全隱患�����,XXX主要由電子信息科負責網絡安全工作��。嚴格按照上級部門要求���,積極完善各項安全制度,保證了網絡安全持續穩定運行���。
XXX制定了網絡安全工作的各項信息管理制度���,包括人員管理、機房管理��、資產和設備管理�����、數據和信息安全管理����、系統建設和運行維護管理等制度。
(二)技術防護情況
XXX辦公電腦均配備防病毒軟件�,采取了強口令密碼、數據庫存儲備份�、移動存儲設備管理、數據加密等安全防護措施���,明確了網絡安全責任����,強化了網絡安全工作�。在日常工作中切實抓好內網、外網和應用軟件管理��,確?����!吧婷苡嬎銠C不上網�,上網計算機不涉密”�,嚴格按照保密要求處理光盤、硬盤��、移動硬盤等管理、維護和銷毀工作���。重點抓好“三大安全”排查:一是加強對硬件安全的管理���,包括防塵、防潮�、防雷、防火�、防盜和電源連接等;二是加強網絡安全管理��,對計算機實行分網管理���,嚴格區分內網和外網�����,合理布線,優化網絡結構���,加強密碼管理��、IP管理、互聯網行為管理等;三是加強計算機應用安全管理�,包括郵件系統、資源庫管理�����、軟件管理等����。
(三)應急工作情況
XXX嚴格按照《網絡安全法》,制定了網絡安全事件預案�����,定期進行系統備份�����,以提高突發事件發生時的應對能力��。
(四)宣傳教育情況
為了保證網絡及各種設備安全有效地運行��,減少病毒侵入�,XXX定期組織工作人員學習有關網絡知識,確保工作人員學習到網絡安全防范技巧����,提高計算機使用水平和對網絡信息安全的認識力度,確保網絡安全��。
二��、自查中發現的主要問題
一是計算機網絡方面的專業技術人員較少����,網絡安全方面可投入的力量有限。
二是規章制度體系初步建立����,可能還不夠完善,未能覆蓋到網絡和信息系統安全的所有方面����。
篇11
1)明確管理對象。計算機網絡管理的對象很多��,可以按網絡節點設備分類��。如果從不同層次角度分類����,可分為:用戶數字接入復用器���、交換機�、路由器等。目前��,隨著網絡的發展����,我們把服務器����、防護墻等也歸屬于網絡管理中的設備。只有先分清楚管理對象���,才能根據相關管理和維護方法進行實施�����。
2)整合網絡管理系統���。計算機網絡管理系統可以說是安裝在硬件設備上的一系列軟件,通過這些軟件對網絡進行監督和控制�。因此���,要對這些軟件設備進行整體系統的管理和維護。不僅是軟件的研發���,更重要的是對軟件實施管理和維護�,讓管理和維護形成一定的管理規范和制度���,比如按不同類型進行分類��,配置管理��、性能管理�、安全管理等�,按不同類型來具體實施,這些都具有獨立性�����,最后統一整合管理����。
3)配置明確網絡協議�����。網絡中各個設備都是獨立的,要靠網絡管理協議來進行信息的交互和統一��。通過配置和管理網絡協議來整體規范和管理系統���。
1.2計算機網絡管理的日常工作制度
1)定期檢查軟件,進行升級管理����。對于計算機網絡系統的任何硬件和軟件都應該進行定期檢查,尤其服務器軟件���,需要定期檢查����,然后進行更新升級����。主要是對服務器操作系統及應用軟件系統進行升級、打補丁�����、防止系統漏洞。
2)數據定期備份����。數據對整個計算機網絡而言十分重要。為了防止數據丟失��,保障數據安全�����,應該定期對數據進行備份�。
3)加強網絡防范。為了保障網絡安全�,需要加強網絡防范。比如增加防火墻來防止外界入侵����,保障網絡安全。主要從網絡系統的硬件和軟件上做防范措施����。工作人員應該定期參加網絡知識培訓,了解最新的動態�����,進行加強網絡認識和防范意識。工作人員要嚴格遵守所在單位的管理制度�,防止密碼等保密信息外泄等����。
4)定期排查網絡,及時更改��。作為網絡管理員應該定期對網絡做安全檢查����,在檢查過程中��,對發現的網絡問題應該及時更改�����。作為一名網絡管理員一定要認真負責檢查每一處�����,從而保障網絡安全�。通過分類和整合,制定一定的管理規范,遇到故障時����,合理分析、推斷���、排除�����、解決故障�����,保證計算機網絡的正常運行���。
2維護管理中常見問題的解決方法
作為一名網絡管理員必須了解網絡系統中的設備,熟悉硬件和軟件���,了解操作流程���,要有豐富的工作經驗��。計算機網絡管理和維護包括很多方面:①了解網絡結構,熟悉設備管理���,保障網絡的正常運行�。②了解配置文件�,熟悉路由器和交換機等。③了解網絡內部連接���,發現故障問題及時檢查定位���,排查網絡,排除安全隱患�����。④掌握用戶資源�,做好用戶資源安全管理��。
2.1日常維護���,保證網絡正常工作計算機網絡管理員應該做好日常工作���,經常性的查看監控軟件,根據監控軟件信息,了解整個網絡�����。每天要對核心服務器��、路由器�、交換機、防火墻���、用戶接入口�、出口等實施日志監控和查看��,查看流量信息等����,從而發現網絡中潛在的故障或者攻擊���。2.2了解網絡設備了解網絡設備是指管理員一定要熟知網絡系統中的各個設備���,了解設備的型號、性能�、配置方法�、功能��、數據配置等�,從而把網絡遇到問題及時排查。比如�����,要了解網絡中每1臺路由器的配置���,是靜態路由還是動態路由�,熟悉RIP���、OSPF等路由配置�,掌握BGP等外網路由管理����,要熟悉日常維護管理,進而排除故障���。
2.3及時備份文件網絡偶爾有突發狀況發生,比如斷電�,會給網絡造成很大損失��,造成數據文件丟失等�����,所以,管理人員應該及時備份數據文件�����,也可以通過軟件進行定期���、定時備份��。
2.4有效管理資源計算機網絡系統中資源多��、復雜���,有各種設備資源,比如��,交換機接口���,路由器接口��,網管接口等等����,還有數據資源,IP地址���、硬件資源等�����,這些都需要有效地分配和管理��。只有合理規劃各項資源�,才能保證網絡不會存在差錯和沖突�,才能保證網絡正常運行。比如��,IP地址資源����,如果網絡中是靜態IP地址,就要防止IP地址重復分配���,造成網絡沖突。
2.5內網安全內網是屬于本單位或本系統內部管理與使用的并相對獨立于外網(互聯網)的局域網或廣域網�����。要想保證內網安全����,重點是做好內網與外網之間的安全防護,增加安全隔離設備或進行物理隔離���,杜絕內外網互聯互通��,以防止外網入侵�。對于有些單位內外網無法完全隔離開來的情況下�,內外網間安裝防火墻軟硬件,配置ACL訪問控制列表��,通過這些來保證安全���。防火墻能阻擋外網的一些入侵�����,通過ACL來設置那些網段可以進去內容��,從而避免惡意入侵����。
2.6用戶權限管理網絡中用戶很多,為了保證網絡安全����,應該了解用戶需求及工作性質,為不同用戶制定不同權限��。管理員應經常查看日志文件���,了解用戶的網上應用和流量情況���,及時調整用戶權限,刪除或禁用一些不正常的用戶權限���,保障網絡安全��。
2.7制定嚴格有效的上網管理制度建立上網管理制度���,加強單位職工網絡安全方面的教育,提高安全意識����,加強上網行為管理����,及時通報不良行為,創造一個良好的網絡應用環境���,對于保證網絡系統能夠長期安全、穩定�����、有效運行同樣必不可少�����。
