序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇網絡安全管理策略范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系��,希望您能從中汲取靈感和知識��!
篇1
1 引言
如今�����,經濟迅速發展帶動網絡技術的發展�����,企業網絡化管理被廣泛應用�,給企業內部��、企業與外界的聯系以及企業的管理帶來了便利,業務的靈活性被企業經營者廣泛關注����,同時也發展了企業信息網絡��。一系列諸如生產上網、辦公自動化、遠程辦公以及業務上網的新的業務模式得到了開發與發展�。但是與此同時�,網絡環境下的企業安全問題引發了管理者的擔心�����,能否創建安全穩固的企業網絡是企業管理者最為看重的問題����,也逐漸變成一個企業能否正常運轉的前提����。因此����,運用切實可靠的網絡安全管理方法����、提高網絡的安全防護能力已經企業一個重要研究的內容���。
2 影響企業網絡安全的因素
網絡安全關系到許多方面�,不但涉及到網絡信息系統自身的安全問題��,而且囊括邏輯的和物理的技術策略等。WWW����、TCP/IP�、電子郵件數據庫���、數據庫是當前企業網絡通用標準和技術�,其廣域連接采用多種通信方式����,大部分單位的系統被覆蓋�。行業內部信息存在于企業網絡的傳輸��、處理和存儲各個環節�。這些信息資源的保護和管理以及確保企業網絡內部的各種信息在各個環節保持信息的完整、真實和防止非法截獲非常重要。
影響企業網絡安全的因素既有軟硬件的因素,也有人為的因素�,既有來自網絡外部的���,也來自網絡內部的���,歸結起來主要有幾方面��。
2.1 網絡硬件的安全隱患
網絡中的的拓撲結構還有硬件設備兩者均有對企業網絡安全造成威脅可能,如一種硬件設備路由器的安全性較差的原因是其自身性能差����。
2.2 軟件缺陷和漏洞
在企業網絡中有各種各樣如應用軟件、操作系統的軟件,這些軟件都有存在漏洞或缺陷的可能,而狡猾的黑客正是利用這些漏洞或缺陷從中獲利�,企業也由此蒙受巨大的損失,這樣的例子在現實生活中層出不窮。比如�,一些不為人知的軟件研發者為了個人原因(升級或自便)而設置的“后門”�,黑客一旦破解打開這些“后門”���,便可以肆虐的操作����,完全控制用戶計算機���,篡改數據,后果不堪設想,損失更是不可估量��;又如以方便快捷應用為目的的TCP/IP協議為網絡系統普遍應用,但是其并沒有對安全性進行全面估計考慮,更是在認證和保密措施方面做得非常欠缺�,若是一些IT高手對此很了解����,便可以輕松利用其缺陷攻擊網絡����。
2.3 計算機病毒與惡意程序
網絡被普遍應用和告訴發展的時代,病毒傳播的主要途徑是網絡��。一些企業的內部網絡很容易被蠕蟲��、病毒侵入��,其特點是范圍廣、變化快、種類多、傳播速度快�、破壞性大,其破壞性是巨大的��。在網絡安全領域,病毒問題一直難以從根本上解決,原因總結為兩點:其一����,技術原因�,殺毒軟件總是在病毒出現后給用戶或是企業造成巨大損失后更新��,滯后性和被動性不言而喻��;其二��,用戶的安全防范意識不高���,對病毒的了解不夠,不主動安裝殺毒軟件,或是不及時升級殺毒軟件���,給傳播病毒提供了機會,巨大的威脅了網絡安全�。
2.4 網絡入侵
網絡人侵的意思是網絡攻擊者在非授權的情況下獲得非法的權限�,并通過這些非法的權限對用戶進行非法的操作�,獲得網絡資源或是文件訪問�,入侵進入公司或是企業內部網絡,極大地危害計算機網絡��,給社會帶來巨大財產或是信息損失。
2.5 人為因素
用戶安全意識淡薄��,企業內局域網應用不規范����。企業內網在實際運行中沒有限制����,木馬、病毒等破壞性信息在p2p下載過程中傳播到企業內網中,系統的安全應用收到影響��;接入網絡沒有很好地限制�����,如沒有限制接入的人員、時間方面,隨意���、隨時上網不但容易使系統容易傳染上病毒,還有信息泄露���、丟失的可能��;不完善的專用虛擬系統安全防范措施;管理措施不到位;復雜的用戶人群��,很多不是本系統專業的工作者,約束和監管困難;衛星信號很容易就被泄密�����,在空中傳輸無限信號的過程中����,無線信號很容易被黑客截獲并利用;在很多企業中�����,沒有制定規范的管理網絡和生產網絡的隔離措施���,一旦管理網絡沾染病毒,生產網絡也很容易被傳染。
2.6 其它的安全因素
威脅網絡安全的因素還有很多,比如�,傳輸過程中的數據很容易被電磁輻射物破壞��;非授權的惡意刪除或攻擊數據、破壞系統;非法竊取復制或是盜用系統文件、資料�、數據�、信息�,導致企業或是公司泄密等�����,其后果非常嚴重�。
3 企業網絡的安全管理
企業網絡安全管理是保證網絡安全運行的基石,一些人為因素導致的網絡安全問題可以通過加強和敦促管理工作可以盡最大可能的避免。企業應把建立健全企業網絡安全管理制度作為安全管理的重點�����,制定系統的安全管理方案�����,采取有效切實的管理政策�����。
企業的網絡管理主要從幾點努力�。
3.1 健立健全企業規章制度
要保證網絡的相對安全,就務必制定詳細系統的安全制度���,了解并認識網絡安全的重要性����,一旦出現網絡安全事故�,其相應處罰力度就必須嚴格按照處罰條例執行到位��,絕不能姑息手軟��。為了做到切實保證企業的機密不泄露,建立對應的詳細的安全保密制度勢在必行�,管理者還要經常不斷檢查制度的實施情況。記錄出現違規的人員及情況、相應處罰情況、檢查的結果報告�����,做到今后有據可循,為以后出現類似情況提供管理依據���。
3.2 樹立員工網絡安全意識
網絡安全工作要想做好,樹立企業工作人員的信息安全意識是首要任務�����,只有員工切身真正認識到信息安全對企業發展和前進的重要性���,才能切實在實際工作中重視起來。企業要實常加強員工相應的信息安全的知識培訓�,采用各種形式來增強員工的網絡安全意識����,促使員工養成健康的使用計算機的習慣。
4 企業網絡安全防護措施
為了使企業網絡保持安全狀態,企業網絡的安全防護措施必須與其具體需求要相結合�,整合各種安全方案����,創立一個多層次�����、完整的企業網絡防護體系,在為企業網絡安全設計防護措施時,應主要從幾點考慮:其一是要選擇進行安全策略的工具�,但安全風險是不可避免的也是必須承擔的�;其二是要注意企業網絡的可訪問性以及安全性平衡的保持�;其三是考慮安全問題是在系統管理的多個層次、多個方面都存在的����。在企業網絡中�����,主要有幾種安全防護的措施���。
4.1 防火墻技術
防火墻技術是當下一種被廣泛應用的也是最為流行的網絡安全技術���,其核心主題是在外界網絡環境不安全的大前提下創建一個相對安全有保證的子網。防火墻能實時監測進出于企業網絡的通訊交流數據,允許安全合法的訪問的數據和計算機進入到企業網絡的內部���,把非授權的非法的數據和計算機擋在網絡,企業內網及特殊站點應限制企業一般人員或是無關人員訪問,最大可能地阻止外部社會網絡中的黑客訪問鏈接企業內部的網絡,阻止或是制止他們復制�����、篡改、破壞重要的或是機密信息��。所以,防火墻是一道屏障����,是在被保護的企業內部網絡和社會外界網絡之間設置的���,在網絡內部網絡合外部非授權的網絡之間����,企業內部網不同的網絡安全環境之間��,達到隔離和控制的目標����,外部網絡的攻擊合截獲被有效控制。
4.2 數據加密技術
如果一些重要的機密的數據需要通過外部網絡傳送的���,該數據的加密工作則需運用加密技術�����。防火墻技術以及數據加密技術兩者結合使用,增強網絡信息系統及內部數據的保密性和安全性,謹防外部破壞重要的機密數據�。
4.3 入侵檢測技術
安裝入侵監測系統在企業內部網絡中�����,信息從企業內部計算機網絡中若干關鍵點中收集��,并分析數據,從中檢查企業內部網絡中是否存在與安全策略相違背的行為或是入侵現象�,如果檢測到可疑的未授權的IP地址,則來自此入侵地址的信息就會被自動切斷����、同時給網絡管理員發送警告,企業內部動態的網絡安全保護就可以實現����。
4.4 網絡蠕蟲�、病毒防護技術
盡管無法避免來自蠕蟲��、病毒對企業內部網絡的危害,但采取切實有效的防護方案還是有幫助的,盡最大可能阻止病毒的傳播��,減小它的危害范圍����,或是沒有危害�����。在企業內部網絡內����,由于網絡節點不但存在于局域網中,又有接入到互聯網中的可能�����,一般的防護技術是很難做到把蠕蟲����、病毒的威脅降低很多�����,在防病毒方面、通常要設計多層次阻止病毒體系。在企業安裝一般的常見的殺毒軟件時����,通常要定時自動掃描系統��,另外,用戶在收發郵件時一定要打開殺毒軟件的實時監控郵件病毒功能��,實時地同步地對檢查郵件,抑制傳播郵件病毒�����。如果用戶安裝的網絡版殺毒軟件�����,那么全部網絡環境中每一個節點的病毒檢測情況可以被企業網絡的安全管理員如實準確的掌握,當然越先進的防病毒產品或是技術效果也就越好�����。
4.5 系統平臺與漏洞的處理
網絡安全管理員可以運用安全漏洞掃描技術了解掌握網絡的安全設備和正在進行的應用進程�����,提前得到有可能被截獲的脆弱步驟,準時檢查安全漏洞��,盡快改正網絡安全系統存在漏洞和網絡系統存在的有誤差配置�,防范措施應該在黑客攻擊之前提早進行。
5 結束語
企業網絡安全不是最終的目的�����,更恰當和準確地說只是一種保障�����。隨著企業自身的發展和規模的壯大,企業網絡的普及也是勢在必行�,網絡安全管理變得也就越來越復雜�����,網絡的安全管理和防護是企業發展的一項重要和艱巨的任務����。在執行維護網絡安全任務的同時,我們一定要注意把網絡安全防護技術��、影響網絡安全的因素結合起來��,制定有效的管理措施和技術方案����,采取可行性高的防護措施�����,建立健全防護體系����,增強企業內部員工的網絡安全意識,從源頭上解決網絡安全問題。
參考文獻
[1] 宋軍.淺談企業網絡安全防護策略[J].TECHNOLOGY AND MARKET��,2011�,(18)����;116-117.
[2] 趙尹琛,馬國華,文開豐.企業信息安全防護策略的研究[J].電腦知識與技術�����,2011���,(7)�����;5346-5347.
[3] 邵琳�����,劉源.淺談企業網絡安全問題及其對策[J].科技傳播���,2010,(10)����;186.
[4] 王希忠�,曲家興����,黃俊強等.網絡數據庫安全檢測與管理程序設計實現[J].信息網絡安全��,2012��,(02):14-18.
篇2
中圖分類號:TP303.08 文獻標識碼:A 文章編號:1007-9416(2013)09-0173-02
引言
高校計算機實驗室承擔著教學�、培訓、考試等大量繁重的教學任務��。特點是:應用軟件眾多,實驗操作繁雜且不固定���,機器臺數多,上機學生不固定。因此可能會導致很多計算機或網絡異常,如何有效的對計算機實驗室網絡進行安全管理就成為一個值得研究的問題。
1 實驗室網絡結構與任務分析
1.1 網絡結構
結合眾多課程實訓要求����,大多數實驗室為學生搭建了一套滿足各種局域網交換和廣域網路由測試需求的基礎網絡平臺��,使學生在學習眾多應用軟件的同時�����,還可實現用戶管理�����、服務器配置、模擬各類實驗環境���。80%以上都是基于10/100M交換機或路由器連接成星型拓撲結構���,利用校園局域網連入互聯網����。
1.2 實驗任務
軟件應用實驗:辦公自動化、網頁設計����、圖片處理、圖象�、聲音等媒體數據處理�����。
網絡應用實驗: DNS���、DHCP�����、WWW���、域控制器��、郵件服務器等多種服務器的配置;網站建設,基于Socket的C/S編程���,基于B/S編程等�。
2 計算機實驗室網絡普遍存在的問題
(1)為了滿足教學需要安裝了多種軟件,電腦的運行速度較慢����。計算機實驗室幾乎全天對學生開放,在超負荷運行下計算機出現故障率高��,機器維護任務較重����。(2)學生對計算機操作不熟練或不當操作,容易造成部分系統文件刪除或破壞;學生隨意修改主機密碼��、CMOS設置����、修改注冊表內容或本地安全策略,導致電腦系統無法正常運行��。(3)學生私自將個人移動硬盤����、U盤、MP3等帶入機房��,安裝大量的個人文件��、導致電腦系統運行速度降低����,甚至導致大量文件感染病毒����,使管理的難度加大�����。(4)學生從外網下載文件或者訪問帶有病毒的網站時,感染病毒可能造成系統及網絡的癱瘓甚至崩潰��。(5)基于教學要求,在局域網上實現資源共享或者教學廣播���,使病毒在局域網內大面積傳播,加重了計算機病毒的查殺難度。
(6)學生在實驗室內吃零食��、早餐����,污染實驗室環境或導致計算機短路���,還有學生私自移動機器,可能造成計算機硬件損壞��。
因此����,為保證學生機快速恢復�、優化���,必須建立起一套行之有效的系統維護方案,用以保證實驗教學的順利進行���,減輕實驗室管理人員的工作量。
3 安全管理策略
3.1 基礎校園網網絡安全策略
3.1.1 網絡安全結構
校園網絡安全是實驗室網絡安全的基礎保障�����。應制定統一的骨干網安全策略,保證基礎網絡平臺的安全性���。
校園網可采用了包括路由器��、防火墻和入侵檢測系統在內的三層結構化防御系統����。
第一層防護由防火墻實現�?��?瑟毩⑴渲梅阑饓?,對內外網之間的通信進行嚴格過濾����,保障內網信息安全�����。
第二層防護由邊界路由器實現。邊界路由器提供Internet與校園網的連接�����,利用Cisco路由器上所具有的PIX防火墻功能���,可將學校的WWW服務器、DNS服務器����、E-Mail等服務器一起放于PIX防火墻的DMZ區���,從而阻止外部用戶對各服務器進行刪除�、修改等非法操作���,防止來自外部的攻擊。
第三層防護由入侵檢測系統來完成��。合理配置檢測系統���,對校園網內用戶操作����、設備、端口、服務�、賬戶管理����、流量等信息進行統計分析����,可利用故障自動報警、檢測日志��,及時發現網絡異常并處理���。
3.1.2 IP規劃
目前我校為實現網絡統一管理��,使用靜態IP地址��,學生在首次利用帳戶和口令登陸校園網后�����,網絡中心負責身份審核的服務器在身份驗證的同時���,將其IP與MAC地址進行綁定��。在后期用戶通信中定時檢測地址信息,發現MAC地址變換時����,強行退出連接,但此種方法IP利用率明顯降低��,而且給用戶使用帶來諸多限制����,且接入層上只能使用交換機��。學生為實現帳戶共享而選擇其他網絡接入方式,給我們后期網絡安全管理埋下隱患。
為解決上述問題,建議配置DHCP服務器,動態配置IP地址。但此舉措實施后��,用戶如果私自建立DHCP服務器,可能造成網絡管理的混亂。
為防止用戶私自建立DHCP服務器造成網絡管理的混亂��,在建網初期可選用支持DHCP Snooping功能的接入交換機。保證用戶的IP地址只能由網絡中心分配���,而不能接受非法的IP提供。
為防止用戶將IP地址手動設置成與服務器地址相同的地址而造成IP沖突,建議職能部門全部采用支持IP Source Guard的交換機����,用戶必須從合法的DHCP服務器上取得IP地址才可進行正常通信��,私設IP地址將會被交換機自動禁止��。
3.2 公共實驗室安全管理策略
目前,有些實驗室為簡化工作��,采用安裝還原卡的方式來保證系統安全,但此舉措會給實驗操作帶來諸多限制,特別是計算機網絡方面的實驗��,大都要求計算機重啟后才能完成實驗任務�,而還原卡的使用在此時就成為一道不可逾越的圍墻,阻礙了實驗的正常進行����。
為保證實驗操作的順利進行���,應根據各校實際情況合理制定實驗室管理制度����,以便對人員����,設備���,安全等實施管理��。
(1)學生在機房不能吃零食、抽煙����;學生不能私自使用U盤等移動硬盤;需認真填寫好機器使用情況登記表��。(2)加強對學生的教育,培養其良好的網絡使用習慣���。如不去瀏覽不安全的網頁�����;不接受來路不明的郵件,附件應先下載,殺毒后再打開;不隨意打開QQ等即時通信軟件中彈出的超連接等���。(3)在每臺學生機上安裝殺毒軟件并及時升級。(4)及時打上系統漏洞補丁。(5)有條件的可以通過視頻監控實驗室的設備安全���,應保證實驗室的監控設備正常運行。(6)對系統核心數據進行備份,方便系統還原。(7)做好防火��、防盜、防毒、防漏等安全工作��。對水源、電源���、火源必須必須細心檢查,嚴防死守,杜絕事故發生。(8)實驗設備在使用的過程中應注意保養維護,做好設備使用的檔案記錄,確保設備完好、安全和有效地使用,避免損壞����,造成浪費�。對已達到或超過使用年限的設備,按有關規定申請報廢或降級使用。(9)制定完善的實驗室管理規章制度并嚴格執行。
3.3 專業實驗室安全管理策略
3.3.1 物理安全
網絡應用實驗中需完成 DNS、DHCP、WWW、域控制器��、郵件服務器等多種服務器的配置��,并驗證服務器功能�,查看運行效果;若在連網狀態下��,會受到校園網上各服務器影響���,建議不連接校園網,僅用交換機或路由器連接,構成星型拓撲結構的小型局域網即可。
統一規劃IP。建議默認使用靜態IP地址。根據具體需求可合理設置子網掩碼����,劃分子網���。也可基于交換機端口劃分VLAN���。
3.3.2 用戶安全
根據實際情況��,可對所有用戶進行劃分,如:實驗室管理員���,教師����,學生�。并進行分級授權��,避免出現越權操作�。
管理員為每一級用戶設置一個賬號和密碼��,通過身份驗證才能進行權限內操作�����。
3.3.3 其他安全策略
(1)IP安全策略��。可在學生機上設置安全策略���,關閉某些服務和端口����,以減少遭受攻擊的機率����。例如:禁止使用139端口����。
第一步����,點擊“開始”菜單/設置/控制面板/管理工具����,打開“本地安全策略”����,選中“IP安全策略���,選擇“本地計算機”�����;再選擇“創建IP安全策略”���。第二步����,在IP安全策略“屬性”對話框中,添加新的篩選器�。第三步�����,在“篩選器屬性”對話框中,設置源地址為“任何IP地址”,目標地址為“我的IP地址”;“協議”選擇“TCP”��,設置“從任意端口到此端口(139),完成篩選器建立。第四步,選中“新IP篩選器列表”,設置“篩選器操作”為“阻止”。第五步��、“指派”�����。激活該IP安全策略��。
(2)端口重定向�。如果默認端口不能關閉,可將它“重定向”����。即把該端口重定向到另一個地址��,這樣便可隱藏公認的默認端口,降低受破壞機率,保護系統安全。
例如可將遠程終端服務(Terminal Server)端口(默認是3389)��,重定向到另一個端口(例如1234),方法是:
1)在本機上(服務器端)修改。
定位到下列兩個注冊表項��,將其中的PortNumber,全部改成自定義的端口(例如1234)即可:
[HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\Wds\rdpwd\Tds\tcp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\WinStations\RDP-Tcp]
2)在客戶端上修改����。
依次單擊“開始程序附件通訊遠程桌面連接”���,打開“遠程桌面連接”窗口��,單擊“選項”按鈕擴展窗口,填寫完相關參數后����,單擊“常規”下的“另存為”按鈕�,將該連接參數導出為.rdp文件��。用記事本打開并在文件最后添加一行:server port:i:1234
以后�,直接雙擊這個.rdp文件即可連接到服務器的此自定義端口了����。
4 結語
實驗室網絡安全管理同其他網絡安全管理一樣,沒有一勞永逸的方法����。因此管理人員需對實驗室系統數據定期進行備份。根據實際情況,合理安裝并配置操作系統�,網絡協議���,殺毒軟件���;合理禁止帳戶�、服務�����、端口����;關注校園網網絡安全動態�����,適時調整相關安全設置���;設置審核機制��,監視運行情況,及時修復系統異常。并定期進行硬件維護、軟件維護、網絡維護和日常維護����,方能保證計算機實驗室系統的正常�、穩定運行���。
參考文獻
[1]石淑華�����,池瑞楠.計算機網絡安全技術(第3版) [M].人民郵電出版社����,2012-8.
[2]袁津生��,吳硯農.計算機網絡安全基礎(第4版) [M].人民郵電出版社����,2013-7.
[3]王薇.內部網絡安全管理系統分析 [J]. 計算機光盤軟件與應用 .2011.
[4]張東輝�,王曉宇.校園網絡安全問題及對策[J].華東科技�,2011-3.
[5]周英.多域網絡安全管理系統策略一致性研究與設計[N].四川文理學院學報�����,2013-3.
[6]蒲天銀.計算機網絡環境下可達性研究關鍵技術分析[N].湖南科技大學學報,2013-6.
[7]章思宇.基于DNS的隱蔽通道流量檢測[N],通信學報.2013-5.
[8]鄧越萍.校園網的安全防范策略[N].山西煤炭管理干部學院院報,2013-5.
[9]王錦.基于PK工的校園網身份認證系統的設計與實現「J].科技創新導報���,2011-3.
[10]喬振��,喬麗平,陳曉紀.PK工技術在校園網身份認證系統中的應用研究[J].福建電腦,2012.07.
[11]李晉麗����,段小波�,王琳 . 基于過濾驅動的安全密碼框的研究與實現[J].軟件,2013-3.
篇3
【關鍵詞】
校園網;安全��;措施�;策略
1引言
近年隨著中職學校的快速發展,信息化建設在不斷推進��,校園網的規模上在擴大���,應用在增加�,服務師生的能力在增強����,我們通過校園網辦公更便捷�����,教學資源更豐富����,教學效果更好。但我們清醒地看到校園網絡安全也存在很多問題:校園網絡擁塞引起的網絡崩潰���;網絡規劃不科學�����,存在Bug�����;無線網絡開放,教室信息點開放���,病毒泛濫;校園網建設中����,安全性、可擴展性的需求較為明顯����。
2校園網絡安全方面存在的問題
2.1病毒和木馬入侵
中職學校的網絡資源價值不高,但是安全防護技術低下��,已經成為初級黑客實習訓練的重要場所。校園網絡奇慢�����,打開網頁慢,播放流媒體文件慢��。ARP攻擊使網絡遭受到了ARP入侵,攻擊者通過IP地址與MAC地址綁定�����,在校園網中產生大量的通信量�����,使校園網絡阻塞,或者達到斷開其他用戶連接��,增加被攻擊者帶寬的目的����。
2.2APP攻擊
Android軟件開發的技術已經開始發酵��,目前手機的應用越來越豐富,開發能力和水平越來越高���,甚至APP開發和網絡應用越來越緊密����。開發能夠控制網絡設備的APP應用已經很常見了���,這樣就給校園WLAN帶來了很大壓力。學生的好奇心使然��,通過某些APP控制學校的網絡設備,向網絡發送大量垃圾文件����,就會形成APP攻擊,導致校園網絡出現擁塞���。
2.3開放信息點
中職學校網絡大多采用核心、匯聚�����、接入三級����,樹型與星星混合的拓撲結構模式的網絡結構相對簡單��,教室���、宿舍等公共場所存在大量開放信息點����,通過連接終端�����,可直接進入校園網絡���。以某校為例��,校園WLAN信號覆蓋范圍有限��,為了補充不足��,老師自帶無線路由器��,僅辦公樓四樓的路由器數量多達15臺,大部分教師將路由器的LAN口當作WAN口來用��,連接方式錯誤,致使路由選擇路徑發生變化,網絡連接錯誤。教師使用的無線路由器發出的信號容易被學生或攻擊者接收�,稍加分析���,便可以接入校園網絡,輕松獲得網絡資源�����,登錄辦公管理平臺,甚至入侵網內其他主機���。
2.4校園網擁塞
中職學校財力薄弱,為了節約成本�,通常采取監控與網絡使用公共傳輸介質���,公用同一網段��,不建立獨立監控網絡�����。另外�,近些年中職校的網絡教學設備不斷增多,多媒體一體機大量投入使用�,獲取校內教學資源和互聯網教學資源占用大量帶寬���。目前���,師生使用手機數量已達每人一部��,同時通過APP獲取互聯網多媒體資源和流媒體業務,導致校園網絡帶寬不足,網絡處理能力不夠����,產生網絡擁塞現象。校園網絡崩潰�����。
2.5技術力量不足
中等職業學校網絡拓撲混亂����,缺少科學規劃。缺少專業的網絡管理、網絡設計人員����,現有技術人員技術能力急需提升。然而��,學校網絡的規模在日益擴大,網絡的應用(業務)在不斷豐富�,網絡結構越來越復雜����,技術力量不足的問題也尤為凸顯�。
3校園網安全管理的措施和策略
3.1網內主機
主機備份�����。網內重要主機��、服務器恢復注冊表,不使用共享文件夾。對存放重要資源的主機服務器���、應用服務器,要對系統和注冊表等信息進行備份����。當遭受攻擊�����、癱瘓后可以快速恢復系統和注冊表��,使系統正常工作。禁止網內使用文件夾共享的方式傳送問文件����,此方式極容易被工具軟件檢測到�����,并利用共享機會向主機埋下病毒或木馬�����。清理僵尸節點。僵尸節點不但節點本身有病毒��,反應慢,而且會感染相鄰節點�����,具有傳播特性。對網絡節點進行排查����,清理帶有大量病毒的主機節點����,關閉沒有重要業務的計算機和服務器��。
3.2網絡本身
入網認證。使用校園網絡需要認證�,使用防火墻技術����,靜態IP與MAC地址綁定,增加MAC地址的過濾����,將校園網絡的資源分類分級�,建立開放網絡和認證網絡,并加強管理�����。杜絕隨意使用校園網絡,禁止未經身份認證的用戶登錄���、獲得校園網絡重要資源�����。建立基于流量約束的網絡拓撲結構�����。網絡拓撲結構設計的合理與否�,關系到網絡流量問題,同時也影響網絡安全�����?����?梢哉f網絡拓撲結構是網絡安全的基礎����,改變傳統的核心����、匯聚、接入三級的網絡模式����,變為核心��、接入二級網絡模式����,既簡單又相對安全����。此種模式減少了匯聚層對核心層流量壓力���,同時實現了校園主干網絡的負載均衡�,使整個校園網絡更加穩定�����、安全�����。增加網絡架構的冗余設計。目前��,學校網絡應用(業務)越來越豐富,師生交流的平臺越來越重要�,保護好數據資源十分重要。主要方法就是在使核心節點之間建立鏈路冗余�����,節點與核心節點間有至少兩條通路��,當兩個核心節點之間斷掉�����,節點可以通過其他冗余鏈路連接到核心節點。
3.3策略
提高網絡安全意識���。不斷培訓師生的信息技術知識��,加強信息安全方面的教育,建立網絡安全防范機制�,定期和隨機檢查關鍵主機的網絡連接�,病毒防御狀態等情況�����。定期檢查校內網絡線路連接狀況��,禁止私自連線。關鍵網絡節點�����、設備要進行監控��。總之�����,要樹立網絡安全防范的思想,強化安全意識����。建立高水平的管理團隊�。通過聘請、培訓等方式組建和培養一批網絡管理�、網絡設計能力強����,網絡知識扎實,業務水平高的隊伍����,通過開展網絡對抗賽等活動對網絡管理員進行強化訓練�����。建立網絡監管機制�。在學校建立網絡安全管理制度�����。網絡管理是三分技術七分管理�����。建立管理員負責制度���,鼓勵網絡管理員進行有針對性的培訓��;建立獎勵制度�����,獎勵在學校網絡安全方面解決了實際問題的管理員�?�?傊坏诰W絡布局上�����,網絡設備上進行技術監管����,還要在使用者的行為上進行監管�����,更要形成制度。
4結束語
校園網安全的提升�,不要盲目擴大校園網絡規模,應該科學規劃學校的網絡���,建立技術過硬的管理團隊����,提升管理者和使用者的素質,采取有效的具體防范措施�,使用恰當的網絡技術����。
篇4
中圖分類號: TP393 文獻標識碼:A
隨著互聯網的普及��,校園網的發展正面臨著來自各方面的威脅和攻擊���,網絡安全問題日益突出����。尤其是高校校園信息化應用系統的集成�,實現統一門戶平臺,建立一個數據存儲中心����,以及各種各樣的信息共享和交流�,都需要切實做好校園網絡安全體系建設,建立事故預警機制����,做好善后處理工作����,結合硬件��、軟件�,采取各種技術措施��,建立基礎的管理措施和各種技術學院校園網絡安全體系,以確保所有類型的校園信息化建設的基礎設施不受到來自未經授權的訪問和破壞�。
1 高校校園網絡面臨的安全威脅
高校校園網絡通常接入著成千上萬臺計算機�、服務器、交換機等終端設備��,這些終端位于不同的物理位置�,并且有不同的用途�����,不同的用戶操作。用戶的安全意識薄弱��、網絡安全防范措施不及時,技術實施不到位或惡意攻擊造成損失的發生。高校校園網絡常見的安全威脅主要有以下幾個方面:
1.1 終端系統漏洞
入侵者攻擊校園網主要是利用軟件或攻擊代碼對網絡軟件或硬件的安全漏洞加以攻擊���,獲得相應權限后���,非法獲取目標主機的資源����, 也可能會在控制目標主機后����,以其為跳板( 俗稱肉雞) ���, 對其他計算機或網絡實施攻擊和非法訪問并隱藏真實身份���。
1.2 計算機病毒肆虐
校園網站各單位基于WEB 的業務管理系統等代碼漏洞�����。校園網絡上運行著大量的網站和眾多的業務管理系統,對校內和校外提供豐富多彩的工作����、 學習和娛樂等內容,但這些站點的代碼在編寫過程中��,存在很多不嚴謹的地方����。校園網中的可移動存儲設備的使用、下載程序���、發電子郵件����、瀏覽網頁�,甚至是即時通訊有可能導致下載和傳播病毒。大量的病毒傳播����,不僅占用網絡資源���,使網絡效率下降�����,而且還破壞網絡設備�����,服務器或獨立��,并最終影響到整個學校的網絡系統的正常運行,嚴重的還會引起校園網絡的癱瘓���。
1.3 黑客類惡意入侵行為
外部用戶經常會實施對校園網絡的惡意入侵���,發起對校園網絡核心設備(如服務器、路由器等)的攻擊����,竊取服務器上的重要信息����,特別是一些重要業務系統服務器����。而校園網內部用戶對網絡的結構和應用模式通常比較了解��,部分用戶( 如學生) 出于對網絡的好奇和實踐的欲望�����, 經常會用學習到的各種方法�����,非法攻擊校園網絡核心設備及應用系統����,也有的是為了獲得一些機密數據(如期末考試題),嚴重影響校園網絡的安全穩定運行和校園管理秩序����。目前����,任何人在互聯網上均可自由下載黑客類工具�,且種類繁多�����、功能豐富���、設置簡單��、使用方便����、破壞力大�,一個完全不懂技術的普通攻擊者都可以利用相應的工具軟件成為一個對校園網絡系統造成巨大危害的黑客。
2 高校校園網絡管理存在的問題
(1)當前高校校園網絡的建設存在重規模輕安全的誤區�。一些高校����,多年來主要精力集中在了校園網的建設,擴大和網絡安全意識的重視程度不夠����,沒有架構有效的網絡安全防御系統����。(2)網絡用戶安全防范意識薄弱����, 缺乏足夠的網絡安全防御技術和能力。大部分學校校園網絡用戶的網絡安全防范意識淡薄����,認為網絡的安全防范不是自己承擔的責任,而是網管人員的責任����;另外��,除少數的計算機專業教師或學生外�����,大部分網絡用戶都不具備基本的網絡安全常識和網絡安全防御技術���。(3) 大學網絡安全管理人員缺乏����。大多數的許多高?,F有的網絡管理人員��,從事網絡安全技術和缺乏經驗,難以應付復雜的網絡環境中,缺乏經驗和能力�,處理突發的網絡安全事件的管理�。一些網絡管理員通常是不夠的努力��,投入的安全性問題研究,安全管理是不正確的軌道上�。(4)網絡道德教育嚴重滯后的問題日益嚴重�����。惡意利用網絡資源,瀏覽黃色網頁�,接受不良信息的��,大學生在網絡犯罪有上升的趨勢����。
3 保障高校校園網絡安全的策略
3.1 配置安全的系統服務器平臺
安全的系統服務器是網絡安全的基點��,利用系統本地安全策略構建一個相對安全的防護林�,對于校園網來說至關重要���。具體措施包括:設置禁用,構建第一道防線�����;設置IIS,構建第二道防線;運用掃描程序�����,堵住安全漏洞��;封鎖端口����,全面構建防線。
3.2 網絡安全管理規范
(1)建立并嚴格執行規則和條例���。高校網絡安全問題發生的經理層,完善的管理制度有很大的關系���,因此,管理人員必須提高管理水平�����,建立和完善各項管理制度,并不斷創造新的管理方法�,嚴格按照安全管理制度��,規范操作���,避免信息丟失��。
(2)應急響應���。發現了一種新的病毒��,或者是因為系統中的安全威脅的網絡安全漏洞����,安全的網絡及時發送到用戶的安全注意事項�,并提供各種補丁下載。此外�����,做好的計算機系統,網絡���,應用軟件����,以及各種信息和數據備份�,并創建一個備份的數據庫系統�。
3.3 技術保證
目前���,網絡安全的技術主要包括殺毒軟件���、防火墻技術�、身份驗證����、存取控制��、數據的完整性控制和安全協議等內容。技術保證包括以下一些技術措施���。
(1)訪問控制是網絡安全防范和保護的最主要措施之一����,其主要任務是保證網絡資源不被非法使用和非法訪問�。用戶的入網訪問控制采用用戶口令的識別與驗證,以保證其唯一性�。(2)防火墻是校園網信息安全保障的核心點�����。通過部署防火墻�,實施嚴格的數據流監控���,同時在防火墻和服務系統上做較為詳細的日志記錄��,為安全事件的事后取證工作提供依據��。
參考文獻
[1] 馬強.基于群聯動策略的安全技術模型的研究[J]. 清遠職業技術學院學報. 2009(06).
[2] 朱智謀.新時期高校網絡安全問題分析與防范對策[J]. 教育教學論壇. 2011(15).
篇5
傳統病毒只是要破壞它們感染的設備���,但是現代的病毒通常會通過Internet進行傳播�����、復制并破壞其他計算機?���,F在的網絡病毒具有明顯的功利性,不再是顯耀技術�。很多這樣的病毒都會在感染的設備上安裝一個特洛伊木馬程序���,特洛伊木馬程序可能不會進行任何直接的損壞,但是會將用戶的信息從它安裝的電腦上通過Internet發送到黑客那里���,然后這個黑客了解它正在運行什么��。軟件以及哪些位置易于攻擊��,就可以對該設備發起一個有目標的攻擊了�����。更甚者是盜取客戶的銀行賬戶信息、股票賬戶信息���、QQ信息�、游戲賬戶信息、重要商業秘密等����,進而進行實際的盜竊活動��,造成客戶嚴重的資金損失���。
1.2網絡入侵
(1)數據包嗅探器最普遍的安全威脅來自��,同時這些威脅通常都是致命的���。其中網絡嗅探對于安全防護一般的網絡來說威脅巨大�����,很多黑客也使用嗅探器進行網絡入侵的滲透。網絡嗅探器對信息安全的威脅來自其被動性和非干擾性�����,使得其具有很強的隱蔽性,往往使信息泄密不易被發現�。數據包嗅探器指的是與局域網相連并從以太網幀獲取信息的應用程序軟件或硬件設備�。這些系統的最初意圖在于對以太網通信進行故障排除和分析�,或者深入了解幀以檢查單個的IP數據包。嗅探器以混合模式運行���,即它們偵聽物理線路上的每個數據包(2)IP欺騙IP欺騙是指對IP數據包的源地址進行更改以隱藏發送方的身份�。因為Internet中的路由操作只使用目標地址將數據包發送到它的路徑上,而會忽略源地址�,所以黑客可能會偽裝這個源地址向您的系統發送破壞性的數據包,而您不了解它來自何處�。欺騙不一定具有破壞性�����,但是它表明入侵隨時會出現。該地址可能位于您的網絡之外(來隱藏入侵者的身份)��,也可能是一個具有特許權限的受信任內部地址。(3)拒絕服務攻擊拒絕服務攻擊是最難阻止的攻擊�����,這些攻擊與其他類型的攻擊不同�����,因為它們不會對網絡產生永久性破壞���,而是通過對某個特定的計算機或者網絡設備發起攻擊����,或者將網絡鏈路的吞吐量降低到足以造成客戶厭煩和業務損失的程度,從而停止網絡的運行��。拒絕服務攻擊利用TCP/IP協議的缺陷����,有些DoS攻擊是消耗帶寬����,有些是消耗網絡設備的CPU和內存���。(4)應用程序層攻擊應用程序層攻擊通常是最引人注意的攻擊��,通常利用應用程序(如Web服務器和數據庫服務器)中眾所周知的弱點。這些應用程序的問題在于它們被設計為供公共用戶訪問,這些用戶是未知的并且不可信任���,尤其對于Web服務器來說更是這樣����。大多數攻擊是針對應用程序產品中的已知缺陷的�,因此最好的防護是安裝軟件生產商提供的最新更新�。
2加強油田網絡安全的措施
2.1采用入侵檢測系統
雖然現在提倡使用入侵防御系統��,但是入侵防御系統對于用戶的要求較高,需要用戶能夠分別出哪些程序與進程是無害的���。而油田局域網內的大多數用戶并沒有這個能力�����。因此應該在核心機上添加入侵檢測系統,對于入侵檢測系統所捕獲的數據自有專業人士來進行分析����,找出其中不正常的數據流��。利用入侵檢測系統當發現網絡違規行為和未授權的網絡訪問時�����,入侵檢測系統中一般都有相應的安全策略來對不同的情況進行響應��,而且用戶還能夠自定義自己需要的安全策略��。防火墻與入侵檢測系統之間通過聯動協議能夠更好的對攻擊進行防御��。
2.2防火墻之后串聯防毒網關,增強病毒查殺與垃圾郵件過濾功能
防毒網關在病毒殺除���、關鍵字過濾、垃圾郵件阻止等方面有著較強的功能�,能有效的彌補殺毒軟件與防火墻的不足��,同時防毒網關還具有部分防火墻的功能����,同時還能夠對VLAN進行劃分����。防毒網關會對進出網絡的數據進行檢測,并對HTTP�、FTP、SMTP�、IMAP這四種協議的數據進行掃描���,如果發現病毒就會采取相應的措施����,例如隔離或者查殺�。而且防毒網關還具有垃圾郵件的阻止功能也讓油田網絡免受垃圾郵件的干擾�。
2.3應用漏洞掃描系統����,規范各種應用
就現階段而言網絡漏洞掃描還是一種相當先進的系統安全評估技術,能夠及時的發現內網中的各種安全漏洞���。然而這種技術雖然十分先進�,但是仍然存在缺陷����。因此在選用網絡漏洞掃描系統時要注意這樣幾個標準:①必須要通過國家相應的權威認證,目前主要有這些組織的認證����,公安部信息安全產品測評中心�����、國家信息安全產品測評中心�����、安全產品測評中心��、國家保密局測評認證中心���;②漏洞掃描系統的最新漏洞數量與升級速度��,非專業的人員也要能夠容易掌握系統的升級方法與漏洞更新方法;③漏洞掃描系統本身的安全性能��,對于漏洞掃描系統本身的抗攻擊能力與安全性必須要進行考查��、確定�;④是否支持分布式掃描��,掃描系統必須要具有靈活��、攜帶方便、穿透防火墻的特性�,如果掃描所發出的數據包當中的一部分被路由器��、防火墻過濾,那么將會降低掃描的準確性。
篇6
一����、前言
隨著Internet的普及和廣泛發展���,當今社會已進入了網絡信息高速流通的時代��,它使信息與信息之間的距離拉近了�����,計算機網絡被廣泛應用于越來越多的專業領域�����,包括傳統學科圖書館學�。隨著數字圖書館的概念提出和在高職院校圖書館的廣泛應用,數字圖書館的網絡安全問題受到越來越多的關注��,實現網絡安全是保證高職院校數字圖書館健康發展的基礎保障�����。因此�����,全面分析高職院校數字圖書館的網絡安全影響因素,制定和實施行之有效的網絡安全管理策略�����,對構建安全穩定的高職院校數字圖書館具有重要積極意義�。
二���、高職院校數字圖書館的網絡安全概述
網絡安全涉及的保護對象為網絡系統中的硬件�、軟件及系統中的數據��。因此,高職院校數字圖書館網絡安全管理也可以概括為對維護高職院校數字圖書館這一網絡系統中的硬件���、軟件及數據的正常安全運行的一系列管理工作內容�。
三��、高職院校數字圖書館的網絡安全影響因素
當下����,大部分高職院校搭建網絡時選擇采用樹型加星型的混合型拓撲結構���,采用以太網標準���,用五類或超五類雙絞線進行綜合布線��,將寬帶或專線接入網絡中的路由器,從而與外網相聯�����,最終實現信息交換�,同時在多校區院校多數采用光纖進行中長距離連接���。而高職院校數字圖書館依建在學院的計算機大網絡系統中,成為其一部分����,因此大網絡的安全管理對數字圖書館的安全存在著不可忽視的影響�����。除此之外�,還有以下幾點涉及數字圖書館日常管理中的影響因素。
(一)計算機技術應用的影響因素
黑客、木馬�����、病毒這類危害網絡安全的計算機技術發展迅速,相應的各類防病毒技術也日新月異,計算機技術應用層次成為影響網絡安全的重要影響因素�����。
1.硬件技術因素�����。部分高職院校計算機網絡受舊有規劃、經費限制等原因制約�,以致網絡設備老舊換代緩慢,致使網絡運行穩定性����、兼容性差。
2.軟件技術因素����。大量的計算機病毒和木馬在互聯網上傳播��,而其中的大部分病毒和木馬都是利用了用戶計算機上的各種軟件系統的漏洞進行傳播與擴散。越來越多的通訊及共享軟件技術在系統普通用戶中推廣應用��,加速了形式多樣的安全漏洞的出現�。在新的軟件技術推廣應用過程中����,往往忽略了對其安全管理的培訓。
(二)人員配備因素
雖然隨著圖書館信息化的進一步深入����,不少高職院校圖書館采取了一系列措施來解決網絡安全人才配備的問題����,如引進計算機專業人才����、增加現有工作人員的網絡安全技術培訓等�����。但這些只是初步改善了網絡安全管理人才上的數量配置問題,而事實上由于人員所擁有的經驗�����、專業系統性等方面因素也存在著差異,最終影響網絡安全管理效果�。同時各級管理人員及基層操作人員在安全水平與意識上也存在著一定的差異,往往造成上下理解不同����,操作無法規范化����,致使網絡安全方面的措施很難達到預期的成效�。
四�、高職院校數字圖書館的網絡安全管理策略
(一)建立和落實網絡安全管理制度
作為加強高職院校數字圖書館網絡安全管理的重要措施�,必須提高全館對網絡安全管理規范化重要性的認識,從而建立健全網絡安全管理規章制度����。網絡安全管理制度主要可從以下幾方面建立。
1.建立網絡硬件維護����、使用及維修制度�。
定期做好網絡安全管理系統硬件設備的維護和保養是加強數字圖書館網絡安全管理在硬件技術方面的重要措施����。在日常工作體系中�,針對中心機房����、服務器、中心交換機�����、二級交換機和Hub等網絡中的關鍵設備的維護和保養,建立周期性的檢查�、維護制度,明確各類設備的管理與使用責任分工至具體管理人員����,建立維修文檔跟蹤機制��,確保網絡安全管理系統運轉順暢。
在周期性的維護工作期間��,要重視設備所處環境的衛生狀況��。良好的外部環境在一定程度上影響著這些硬件設備的使用壽命及效果�。因此,要保持環境的通風低溫��、電源常通電壓穩定�����,減少設備的意外斷電情況�����。定期進行環境清潔,盡可能保持密閉�����,避免過多的灰塵堆積。根據天氣的變化���,對設備進行防潮防燥工作。
為數字圖書館系統配備相應的備份��、系統恢復硬件設備,這些設備屬于保證網絡安全系統正常運行的核心���。設備更新時�,對整體設備的配置及時進行調整����,以做到新舊結合合理����,并達到物盡其用��。
對于受客觀條件限制而必須設置在外部環境下使用的設備要進行定期的檢查,發現物理損壞要及時維修更替。
2.建立軟件維護及使用制度����。
操作系統軟件作為支撐軟件是用戶和計算機的接口����,控制網絡用戶對網絡系統的訪問及數據的存取���,但無論是Windows NT還是Unix或Linux都存在著后門,為病毒侵入和黑客攻擊留下了可乘之機[1]。每周應固定對服務器及操作機器進行殺毒���、病毒庫升級及系統升級工作,及時填補安全漏洞����。
數據庫系統軟件作為實際可運行存儲����、維護和為應用系統提供數據的軟件系統,其具有一套獨立的安全認證體制[2]��。在管理過程中可運用數據加密技術�,設置嚴密的授權規則,例如:賬戶�����、口令和權限控制等訪問控制方法�����。同時�����,盡量避免與操作系統的安全認證體制捆綁�,例如���,避免數據庫系統與操作系統使用相同的管理員用戶名及密碼。保持數據庫系統在磁盤上與其他應用程序的相互獨立性,保證在操作系統不安全的情況下��,數據庫系統中的數據最大限度地不被損壞。
應用軟件作為滿足用戶應用需求而提供的那部分軟件��,拓寬了操作系統的應用領域�。但同時在使用過程中���,也增加了因其不完善性造成的網絡安全漏洞,因此在應用軟件使用及選擇上應進行規范控制����,特別是針對基層計算機的應用軟件安裝管理上���。在滿足業務需要的同時應適當規范使用范圍����,例如:對于P2P軟件,應限制在少數業務計算機中使用���。對于前臺檢索機的IE瀏覽器應設置嚴格的上網分級審查級別�����,避免讀者在使用時誤入不良網站而引起病毒及木馬感染��,從而影響整個數字圖書館系統的網絡安全��。
除對以上三類軟件建立日常維護制度外�,同時把周期性的系統備份及數據備份列入軟件維護制度中�。例如:對數字資源服務器的整體操作環境和重要的數據庫系統進行備份�,以避免在出現重大網絡安全事故導致數字圖書館系統數據出現丟失時�,無法盡快恢復或重建系統數據。
3.建立突況處理機制�����。
數字圖書館系統較常發生的突況分為:一是自然災害,指天災引起的網絡與系統的損壞��;二是事故災難,指電力中斷���、設備故障引起的網絡與系統的損壞�;三是人為破壞�,指人為破壞網絡設備設施,黑客攻擊等引起的系統無法正常運行����。
網絡安全突發事件雖然有不可預見性��,但在長期的實踐過程中,也可摸索出一般的發生規律����。而針對其建立的處理機制����,就是立足對規律的總結����,做好事前的預防及事后的補救工作�����。例如:在特殊氣候來臨前,設備的提前轉移�,環境的檢查加固�;在系統無法正常運行時�����,起用備用系統的處理流程��,等等��。
4.制定網絡安全管理人員操作手冊。
在加強網絡安全管理專業隊伍的建設中����,除了選派配備責任心強����、網絡應用技術熟練的人員擔任管理職務外���,并要建立一套有明確指引的網絡安全管理人員操作手冊���,以保證管理人員在處理各項網絡安全事務時,有根可尋��、有源可溯��,以避免因失誤操作引起進一步的安全問題�。
(二)加強各級用戶的網絡安全培訓
據權威部門統計結果表明����,網絡上的安全攻擊事件有70%來自內部攻擊[3]�����。全館的各級領導�����、部門工作人員和讀者應加強數字圖書館系統的網絡安全意識����,并首先從培訓開始����。高職院校圖書館可以定期舉辦相關講座��,培訓��,考核等內容,這樣既可使工作人員學到更多的網絡安全知識�����,又可增強工作人員的責任心及參與感。
為達到最佳效果��,各類培訓應根據人員特質來設定���。專職專崗的管理人員多參與校外最新專業技能的培訓課程�����;部門工作人員的培訓內容以日常操作規范�、防病毒及系統優化等內容為主��。而普通讀者在每年的新生教育中,融入上網守則����、計算機的信息安全保護和病毒防范等知識的培訓�。
五、結語
隨著數字圖書館的快速發展���,嚴防黑客入侵�����、努力保障網絡安全���,不但是高職院校圖書館信息化發展的基本需求�,而且對全院的整體數字信息化發展起著重要的作用�,所以各級領導與工作人員應該對網絡安全問題給予高度的重視����。通過實施有效的高職院校數字圖書館的網絡安全管理策略能有效減少數字圖書館系統受網絡安全隱患的困擾。但要構建和維護一個長期穩定的數字圖書館運行網絡環境和更好地為讀者提供優質服務���,并不是幾個人或短期行為就能解決的事��,更需要建立加強安全教育和培訓�����,增強安全防范的意識���,采取安全防范技術措施,提高網絡安全水平和防范能力����,降低各種不安全因素的長效工作機制�����。
參考文獻
篇7
【關鍵詞】醫療單位 計算機網絡 安全管理 維護策略
1 前言
計算機網絡在醫院各個科室和工作單位均得到廣泛的推廣和應用���,對提高醫療單位服務質量����、改善醫務人員工作效率產生至關重要的作用��。計算機網絡的應用對于患者病理信息的管理和查閱���、治療記錄以及既往治療史的調閱均提供詳細的記錄���,可謂是醫院病患信息管理的重大變革���。此外對于醫療耗材和設備的引入�、記錄等也具有重要作用。由此可知���,提高醫院計算機網絡完全管理工作的質量和水平對保障病患合法權益、保證調閱資料的便捷性和暢通性作用巨大�����?����;诖吮疚膶︶t院計算機網絡安全管理技術和維護策略進行重點敘述和分析���,詳情如下。
2 引入醫院計算機網絡安全管理技術
計算機網絡安全管理技術的引入對提高網絡安全管理質量和水平提供了基礎的保障�����,主要包括防火墻技術、數據加密技術及軟件安全管理技術等��。各種計算機網絡安全管理技術能夠從不同方面為醫院數據安全提供技術保障,以下是對各種技術的應用分析���。
2.1 防火墻技術
防火墻技術是醫院計算機網絡安全管理技術的核心,在計算機網絡技術中占據重要地位。該技術具有安全性高��、實用性強���、通用性廣等優勢�����,在與計算機硬件相結合的條件下充分增強計算機網絡安全性�����,形成堅實的盾墻從而為低于外部網絡的侵襲和干擾奠定基礎��。據。�。研究表明����,計算機用戶能夠依據自己個性化的需求對網絡防火墻加以設置,如設置密碼����、智能阻斷病毒侵襲等保護醫院計算機網絡安全���,避免數據流失,將各種醫院信息置于可保護的范圍內��。如果有計算機網絡數據流外的信息侵襲計算機��,防火墻能夠對其進行辨別過濾�,降低病毒、木馬侵入計算機網絡的可能性���,最終達到保障醫院計算機網絡安全的目的�����。
2.2 數據加密技術
數據加密技術是醫院計算機網絡安全技術中的關鍵,能夠為網絡信息安全提供重要的保障。數據加密技術主要通過對網絡數據傳輸�����、存儲的保護防止數據信息以及醫院重要資料等網絡資源被盜取。盡管應用多種醫院計算機網絡安全管理技術�����,但是在實際操作過程中數據信息的傳輸仍存在一定的風險性,未經授權的網絡用戶一旦侵入醫院計算機網絡將會造成重大的損失����,尤其是對于存儲多方面重要信息的綜合性醫院來說�����,數據信息安全存儲至關重要。數據加密技術的應用能夠在信息傳輸過程中為其增加一層“保護殼”,為其保密性��、安全性提供保障����,即便有電腦用戶將信息盜取���,也難以獲得真實、準確的內容。
2.3 軟件安全管理技術
軟件安全管理技術既能夠避免計算機安裝帶有木馬�����、漏洞或者病毒的軟件,又能保障醫院計算機網絡信息資源的安全性����。醫院可采用軟件管理技術對計算機網絡進行動態監測����,以及時發現木馬��、病毒和漏洞并給予適當處理,降低系統崩潰和醫院計算機信息資源外泄的可能性����,為醫院計算機網絡安全管理發揮有利作用。
3 醫院計算機網絡安全維護策略
僅僅通過醫院計算機網絡安全技術的引入和應用遠不能滿足安全性的要求�,還必須加強日常安全維護�,方能保證醫院計算機網絡在持續安全的環境中正常運行�。
3.1 建立并完善計算機網絡安全管理制度
只有建立并完善醫院計算機網絡安全管理制度才能保證令行禁止�,確保醫院數據信息的安全性��。首先應當成立專門的計算機網絡安全管理機構�����,對專人明確指派管理任務��,加強計算機網絡安全維護���。其次還應當健全獎懲制度����,切實追究計算機網絡安全管理人員的責任,督促工作人員時刻保持警惕���。最后還要改善計算機安全管理人員的工作責任感及安全意識,避免滋生網絡病毒影響計算機網絡的正常運行�����。
3.2 構建安全的數據中心
構建安全的數據中心對醫院多個部門和科室計算機網絡信息均具有重要的保護作用�����,能夠滿足醫院日常運營的多方面需求����,將數據形式呈多樣化表現出來。而數據形式多樣化給計算機網絡安全管理及維護帶來巨大的困難�,并且如果處理不夠謹慎將很有可能導致醫院數據信息丟失�,甚至可能發生安全事件給醫院導致重大的損失�。因此必須要建立一個具有較高安全性的數據中心���,提高安全級別�����,避免醫院重要的信息丟失或者被損壞。醫院各個科室和單位的信息必須通過集中整理將其上傳至有安全保障的數據中心��,由專職的計算機網絡安全人員對中心子系統進行動態、持續性地管理��,并設置各種權限避免非院內人士獲取醫院內部信息��,提高安全系數�����。
3.3 提高計算機操作系統的安全性
目前醫院計算機網絡中有超過九成的用戶使用的是Windows系統��,但是目前微軟公司對于XP系統已經放棄開發和優化���,因此計算機網絡信息的安全性也逐漸降低�����。因此必須有專職的計算機網絡安全管理人員利用數據加密技術����、防火墻技術等提升計算機操作系統的安全性。此外�����,還可以考慮將計算機用戶的操作系統更換為相對較新的Windows8.1系統�����,以提高醫院計算機操作系統的安全性。有效的殺毒軟件的充分利用����、定時更新殺毒軟件和病毒庫等均是提高計算機操作系統安全性的重要舉措���。
3.4 重視數據的備份和恢復
非人為因素導致的醫院計算機網絡數據信息丟失也較為常見��,醫院出提高網絡安全性外���,還必須預防意外因素導致的數據信息丟失����,重視數據的備份和恢復。數據備份和恢復能夠在意外事件發生后將醫院的損失降至最低����。但是盲目的數據備份和恢復不僅會導致專職計算機網絡安全管理人員的工作效率降低���,還會消耗大量的精力。因此必須制定詳實�����、具有較強系統性和可復制性的數據備份和恢復計劃,方能達到理想的安全管理效果�����。
4 結束語
計算機網絡技術的發展給醫院工作造成極大便利的同時也影響其信息的安全性��,尤其是對于一些需要的保密的內部數據來說���,醫院應當加強計算機網絡安全管理方能避免造成損失��。提高醫院計算機網絡安全性的主要技術包括防火墻技術����、數據加密技術及軟件安全管理技術�,還應當參照上述策略加強日常維護,方能為醫院計算機網絡安全管理提供雙重保障����。
參考文獻
[1]王巍.關于醫院計算機網絡安全管理工作的維護策略分析[J].計算機光盤軟件與應用,2013(20):126+128.
篇8
首先看一下數字出版的特點����。
數字業務形態多樣:目前數字出版產品形態主要包括電子圖書�、數字報紙����、數字期刊、網絡原創文學���、網絡教育出版物�����、網絡地圖、數字音樂��、網絡動漫、網絡游戲�����、數據庫出版物���、手機出版�����、App應用程序等��,豐富的業務形態要求網絡提供多種接入方式�����、多種內容共享方式,同時要保證安全��。
強調對數字化資源的管理:國外知名出版公司特別強調對數字化資源的管理,很多公司通過建設自己的內容管理平臺來更有效地建設��、管理和重用數字化資源。湯姆森公司委托其下屬的Course Technology���、Delmar�、Promotric和NETg開發內容管理平臺LLG��,計劃五年內完成����;培生內部已經運行了WPS���,與前臺的Coursecompass結合以更加有效的建設模式為學校提供服務�����;麥格勞-希爾出版公司已經成功地將內容管理平臺運用在百科全書的出版上����。
整體安全性要求高:數據化資源對整體安全性要求較高�,現在網上支付手段豐富�,如快錢�����、Paypal��、支付寶等都需要在純凈的網絡環境進行操作,以保護機構和個人財產安全����;要求建立完善的數字版權機制����,保障作者、編輯單位的合法權益�����;網上交易和傳播的數字內容越來越多�。網絡安全形勢十分嚴峻,域名劫持����、網頁篡改等事件時有發生��,給網民和機構造成了嚴重影響和重大損失����。工業和信息化部2010年的數據表明�,僅中國網民每年需要為網絡攻擊支付的費用就達到153億元之多。
筆者認為���,網絡的應用在出版機構一般經過三個發展階段:第一為溝通交流階段,在這個階段����,出版機構的工作人員上互聯網、了解外界知識��、通過即時通信工具溝通信息等����。第二階段為管理應用階段���,在這個階段��,工作人員通過網絡協同辦公����,出版機構采用ERP�����、財務管控系統等內部業務管理系統����。第三階段為創造、創新階段��,出版機構使用綜合業務系統進行數字內容收集�、組織或加工,形成數字資產�����,通過網絡進行推廣��。
根據這三個階段的應用特點,可以將管理要求歸結為:第一個階段應用比較簡單�����,用戶都可以使用網絡��,要求網速快���、安全性要求不高;第二個階段���,并非所有用戶都能進入內部網絡�,設定上網權限�����,同時能對帶寬進行有效管理��,防止員工濫用網絡而擠占主要業務的網絡帶寬,防止堡壘在內部被攻破����;第三個階段有了較多的數字資產�,要防止網窺和盜竊行為發生���,主動防御來自互聯網端的威脅,防止業務流數據和內容數據出現問題�����,保證數據安全,即能處理來自外部、內部的威脅��,保存好數據���,防范非法入侵。
管理及技術分析
根據數字出版的業務特點���,筆者總結了消除網絡安全隱患的策略。
在第一應用階段�����,網絡中有防火墻�����、核心路由等元素���,要保障物理線路暢通��,具備一定的安全性����。篇幅所限,這里不詳細描述了�����。
第二應用階段要求建立終端準入機制和應用控制機制。
此階段遇到的挑戰:用戶多導致內部安全問題��,帶寬濫用情況嚴重。內網的安全事件約有70%來源于內網的接入終端��,雖然網絡中使用了一些安全措施如應用防火墻、網絡設備訪問控制規則等改進了網絡的安全性�,但由于網內終端數量較大��、Windows系統的不穩定和多處漏洞��,終端用戶的應用水平參差不齊等造成內網安全事件頻發。對內網終端的安全隱患管理和處理方法概括如下:建立用戶接入準入制度,防止截取地址信息隨意接入��,對合法用戶接入訪問權限進行細化,加強整網應用安全機制�����。
同時,應用也存在監管的問題���,如員工在日常工作時間進行P2P下載、看影視等從而擠占正常業務的網絡帶寬�����。因此,系統中要設應用控制網關���,對帶寬進行有效管理,提供足夠帶寬給ERP��、財務處理等主要業務,滿足吞吐量要求����。網內用戶上網行為復雜��,網絡中的異常流量、即時通信流量逐步增大�����,侵占了原本就不富余的出口帶寬����;爆發內網安全事件時也會出現相應的流量異常,因此網內要設有行之有效的流量控制和分析手段����,以便對網絡進行流量監管以及安全事件的快速定位。
在第三應用階段��,可通過入侵檢測系統進行主動防御����,對入網設備進行終端準入��,建立獨立存儲甚至遠程異地災備系統���。網絡入侵防御系統是一種在線部署產品����,旨在準確監測網絡異常流量�����,自動對各類攻擊性的流量����,尤其是應用層的威脅進行實時阻斷�,而不是在監測到惡意流量的同時或之后才發出告警。這類產品彌補了防火墻、入侵檢測等產品的不足����,提供動態的�����、深度的��、主動的安全防御,提供一個全新的入侵保護����。
第三階段是較高級應用階段���,因數字出版應用內容豐富�����、強調應用安全�����、響應速度,網絡技術參數設定要對應用需求有足夠響應����。
安全網絡應用實例
下面是一個出版公司在保障網絡安全方面的具體方案�����,其他數字出版企業也可以從中借鑒。
一、使用一臺IP存儲解決專業存儲問題�����。
信息或數據在IT系統中,必然處于計算、存儲�����、傳輸三個狀態之一�。這三個方面也正好對應于整個IT架構的三個基礎架構單元――計算����、存儲和網絡�。該方案選用一套高端SAN存儲作為整個信息系統的核心在線存儲。
該方案中���,核心存儲設備通過IP SAN交換機與局域網多臺服務器建立連接���。服務器通過普通千兆網卡或iSCSI HBA卡接入IP SAN����。核心存儲設備提供海量存儲空間��,實現高穩定性、高可靠性的數據集中和存儲資源統一管理�����。核心存儲設備可以混插高性能的SAS磁盤和大容量的SATA II磁盤,單臺設備即可滿足兩種不同的應用需求�����,大大提高設備性價比。核心存儲也可以滿足包括數據庫��、Web、OA�����、文件等多個應用的集中訪問需求���。ERP應用作為關鍵應用之一����,IX3000存儲上為其提供獨立的存儲空間�,并采用15000轉的SAS硬盤�。
二、以應用控制網關解決帶寬利用和用戶上網行為監管問題����。
公司員工越來越依賴于互聯網的同時��,上網行為卻不能得到有效控制和管理�����,不正當地使用互聯網從事各種活動(如網上炒股����、玩游戲等)會造成公司外網運行效率下降��、帶寬資源浪費���、商業信息泄密等問題。該公司的財務部曾反映��,在制作半年報期間網絡時常不通����,導致工作無法進行�����。經查是防火墻嚴重超負荷造成���,負載時常超過90%����,這些都是過度使用網絡資源產生的后果��。
該公司的解決方案如下:在公司出口防火墻與核心交換機之間部署一臺應用控制網關��。該網關可以很好地完成公司信息中心對員工行為監管的需求���,針對P2P/IM��、網絡游戲、炒股���、非法網站訪問等行為���,可以進行精細化識別和控制,解決帶寬濫用影響正常業務�、員工工作效率低下�����、訪問非法網站感染病毒蠕蟲的問題���,幫助公司規范網絡的應用層流量��,為公司創造一個良好的網絡使用環境��。
三�����、通過端點安全準入系統EAD解決終端安全問題���。
為了彌補公司現有安全防御體系中存在的不足��,公司部署了一套端點安全準入防御系統���,旨在加強對員工電腦的集中管理,統一實施安全策略����,提高網絡終端的主動抵抗能力�����。終端安全準入防御將防病毒、補丁修復等終端安全措施與網絡接入控制��、訪問權限控制等網絡安全措施整合為一個聯動的安全體系,通過對網絡接入終端的檢查����、隔離��、修復���、管理和監控,使整個網絡變被動防御為主動防御�����,變單點防御為全面防御�����,變分散管理為集中策略管理,提升了網絡對病毒����、蠕蟲等新興安全威脅的整體防御能力�����。
終端安全準入防御通過安全客戶端��、安全策略服務器���、接入設備以及病毒庫服務器、補丁服務器的相互配合�,可以將不符合安全要求的終端限制在“隔離區” 內�����,防止“危險”客戶端對網絡安全的損害��,避免“易感”客戶端受病毒����、蠕蟲的攻擊。
四���、使用入侵檢測系統阻止來自互聯網的攻擊行為。
在公司互聯網出口部署1套千兆硬件入侵防御系統����,專門針對公司服務器應用層進行防護��,填補防火墻安全級別不夠的問題,并與防火墻一起實現公司網絡L2-L7層立體的��、全面的安全防護。
千兆高性能IPS入侵檢測系統可以針對公司Web服務器三層架構中的底層操作系統�、中間層數據庫服務、上層網頁程序的每一層提供安全防護���。為公司Web服務器提供包括漏洞利用���、SQL注入、蠕蟲����、病毒�、木馬����、協議異常等在內的應用層安全威脅的防范����,防止網頁被篡改的發生�����,并在每檢測和阻斷一個針對Web服務器的安全威脅之后,記錄一條安全日志��,為公司服務器的安全審計和安全優化提供全面的依據�����。
綜合管理措施
筆者認為��,要維護數字出版公司網絡安全����,在網絡綜合管理上要同時做好以下幾點:
制定合理有效的計算機網絡系統工作管理規定,明確責任����,分工到人。
設置全集團(公司)網絡管理員制度����,各分(子)公司專人對網絡和終端進行管理。
中心機房設置專人管理機房網絡設備��,定期檢查并分析設備日志����,定期升級軟件和補丁�����,防止“破窗”出現����,發現異常及時處理���。
篇9
隨著信息化的發展�,企業網絡的用戶計算機不斷增多�,企業網絡安全管理的難度會變的越來越大,如果用戶的計算機的安全設置需要網絡管理員一臺臺進行��,那么將給網絡管理員帶來很大的負擔�����,同時也給企業帶來了較大的網絡安全管理費用��,雖然通過配置本地安全策略加強了工作組中計算機的安全性����。但在企業網絡域環境中���,如果要對多臺客戶機進行同樣的安全設置��,可以通過“組策略”對多臺企業計算機客戶機進行統一的配置���。通過在公司網絡系統中應用域的組策略,網絡管理員可以很方便地管理活動目錄中的用戶和計算機的工作環境�,如用戶桌面環境�、用戶計算機啟動�����、關機與用戶登錄�、注銷時所執行的腳本文件���、軟件安裝����、計算機安全設置等�,大大提高了企業網絡系統的管理效率和安全性���?�?傮w來說�����,在企業網絡中利用域組策略可以影響整個域的工作環境�����,對OU設置組策略影響本OU下的工作環境,有利于降低布置用戶和計算機環境的總費用����;只須設置一次�����,相應的用戶或計算機即可全部使用規定的設置��,有利于減少用戶不正確配置環境的可能性���;有利于推行公司使用計算機的規范����。
一、域組策略結構分析
組策略是管理員為用戶和計算機定義并控制程序�����、網絡資源及操作系統行為的主要工具。通過使用組策略可以很方便地設置各種軟件���、計算機和用戶策略�����。例如�,可使用"組策略"從桌面刪除圖標�、自定義開始菜單并簡化控制面板���。此外還可添加在計算機上運行的腳本�����,甚至可配置IE�����。組策略是以一個管理單元的形式存在,可以幫助系統管理員針對整個計算機或是特定組策略界面圖用戶來設置多種配置���,包括桌面配置和安全配置���。組策略在類別以及功能結構上進行了細化,并且按照客戶端��,服務器和序列號�,把整個組策略劃分為三大部分,客戶端的管理在安全性方面除了已經出現的是否允許在客戶端保存密碼和對客戶端的登陸驗證策略之外���,更加強調了它的安全性管理,通過遠程桌面服務遠程訪問的程序�,它們看起來像是運行在最終用戶的本地計算機上一樣���。遠程桌面服務向管理員提供分組和個性化以及虛擬桌面的能力,使最終用戶在運行計算機的開始菜單上可以使用它們��。
域組策略GPO,在域控制器上針對站點�����,域或OU來配置組策略����,其中域策略內的配置應用到所有域內計算機和用戶上,OU對應到該OU內���,如果本機沖突則以域或OU組策略的配置優先�����,本機無效。組策略的組件組策略的具體設置數據保存在GPO組策略對象中,被視為活動目錄中的一種特殊形象��,可以將GPO和活勱目錄的容器站點���、域和OU連接起來,以影響容器中的計算機和用戶�����。組策略是通過使用組策略對象來進行管理的�。服務器的管理�����,在更早版本的系統中�,因為分類不清晰���,當需要實施一條新的組策略時��,要在根目錄下逐條尋找策略�����,這就無形之中就增加了實施的時間成本。相對而言���,Win2008的組策略設置具有了類別化,系統管理員更加容易從這些類別目錄中找到自己所需要的策略�。
二��、域組策略應用規則
繼承與阻止繼承,在默認情況下�,下層容器會繼承來自上層容器的GPO��,子容器可以阻止繼承上級的組策略�����;累加��,容器的多個組策略設置如果不沖突,則最終有效策略是所有組策略設置的總和�,容器的多個組策略設置如果沖突��,則后應用的組策略覆蓋先應用的組策略����,組策略按以下順序被應用:首先應用本地組策略對象,如果有站點組策略對象�,則應用之���,然后應用域組策略對象,如果計算機或用戶屬于某個OU�����,則應用OU上的組策略對象����,如果計算機或用戶屬于某個OU的子OU�����,則應用子OU上的組策略對象����,如果同一個容器下鏈接了多個組策略對象�,則按照策略優先級從大到小逐個應用�����。組策略的“強制生效”會覆蓋“阻止繼承”設置�����,也就是如果上級容器中的策略設置強制生效�����,那么下級容器與其相沖突的一律無效。但NTFS權限的繼承與阻止繼承是哪個后設置���,后設置的生效。
三�、域組策略的實現方法
用組策略實現軟件分發,準備MSI軟件數據包��,它是實現軟件分發功能所必要的文件格式����,通常包含了安裝內置程序所要的環境信息和安裝或卸載時需要的指令數據��。首先創建軟件分發點�,包含有用來分發軟件的包文件所在的共享文件夾,創建分發點要或分配的計算機程序����,必須在服務器上創建一個點。然后以管理員登錄并創建共享,放入msi文件和可執行文件���,分配文件夾權限��;創建組策略對象���,設置組策略不鏈接組策略對象�����,計算機配置到軟件設置到軟件安裝選擇新建數據包再打開已分配時選擇啟動時自動安裝���。
使用組策略配置腳本���,一般情況下����,如果管理員需要實現某項管理功能��,而現有的組策略設置選項又不能實現�����,則需要創建一個腳本來完成�,然后使用組策略自勱運行該腳本�。在win 2008中���,可以使用組策略中的腳本功能來運行的腳本主要有批處理文件、可執行程序�����,以及支持腳本的windows腳本主機等。組策略腳本設置可以集中存儲腳本文件�,在計算機啟勱�、關閉、用戶登錄,以及退出時自勱運行�����,而且必須將組策略腳本添加到組策略模版的指定位置后才能自動運行��。組策略腳本復制可以實現使用組策略重定向文件夾到主目錄���,使用組策略重定向文件夾到根目錄,使用組策略重定向文件夾到本地配置文件位置���,使用組策略為丌同的用戶組指定位置,使用組策略重定向特殊文件夾到指定位置��,使用組策略自動運行腳本����,先要將腳本復制到適當的組策略模版文件夾中���。另外使用組策略還可以制定軟件限制策略,使用路徑規則實現軟件限制�����,使用哈希規則實現軟件限制���。
篇10
在網絡環境下,現代信息技術的快速發展和廣泛應用對機關檔案管理產生重要影響�,特別是機關數字檔案安全管理�����,更是面臨著巨大挑戰[1]��。因此,要對網絡環境下的機關數字檔案安全風險進行系統研究�����,根據機關數字檔案安全風險特點與問題��,制定和實施有針對性的解決措施���。機關檔案數字化帶來新的問題,涉及新的載體安全��、內容安全����、過程安全等諸多問題��,是機關檔案管理傳統模式所不曾遇到的�����,必須以新的思想��、技術�����、方法與路徑�����,對機關數字檔案管理系統開展安全管理[2]。特別是在網絡環境下,數字檔案存儲和查詢利用時空分離�����,更要對機關數字檔案的安全性進行實時動態管理�,避免機關數字檔案在查詢利用各個環節中受到外在侵害�。加強機關數字檔案安全管理����,可以有效保障機關檔案信息的安全����。
一、網絡環境下的機關數字檔案安全管理內容
網絡環境下的機關數字檔案安全管理�����,內容涵蓋了數字檔案管理各個環節�,主要包含了機關數字檔案基礎設施和運行環境安全管理��、機關數字檔案數據安全管理、機關數字檔案的網絡安全管理、機關數字檔案應用安全管理�、機關數字檔案系統安全管理����、機關數字檔案的人員安全管理、機關數字檔案的授權和審計安全管理等方面內容[3]���。1.機關數字檔案的基礎設施和運行環境安全管理�����。機關檔案數字化建設�,需要投入大量資金����,購置專門檔案管理設備和專業檔案管理系統�����。由于資金投入的限制�����,一定程度上導致機關數字檔案主機系統安全等級較低問題�����,供電條件����、防火防盜�、溫度和濕度等必備條件難以保障,甚至把機關數字檔案簡單地存儲在一臺未加密���、未備份的普通電腦中,給機關數字檔案帶來很大的安全隱患���。2.機關數字檔案的數據安全管理�����。載體與介質安全、檔案數據訪問安全�、檔案數據完整性和可用性、檔案數據存儲備份等���,都是機關數字檔案的數據安全管理主要內容[4]。在機關數字檔案的數據安全管理中�,介質損壞、電腦病毒����、硬盤損壞等�,都可能導致機關數字檔案資源被破壞或者被非法使用�、被惡意篡改等�。數據是機關數字檔案的核心,機關檔案數據一旦發生上述問題,將給機關數字檔案帶來無法估量的損失��。3.機關數字檔案的網絡安全管理�����。機關數字檔案的網絡安全管理��,主要是對網絡竊取、網絡非法接入�����、網絡故障�����、網絡ARP攻擊(地址解析協議)和DDOS攻擊(分布式拒絕服務)等進行安全防護�����。這些網絡安全問題�����,不僅可能導致機關數字檔案系統無法正常使用,甚至可能導致檔案數據外泄問題�,特別是網絡ARP攻擊,會導致數字檔案管理系統被非法侵入和非法控制�����。4.機關數字檔案系統安全管理��。檔案管理系統的穩定運行����,是機關數字檔案管理的重要支撐保障��。由于技術本身的不完善,系統在運行過程中存在各種安全隱患��,如數字檔案的平臺故障���、網絡故障和設備故障等�。這些故障的出現將會直接影響機關數字檔案的安全和機關數字檔案系統正常運行���。因此��,機關數字檔案系統安全管理���,主要承擔了降低運行安全隱患��,快速解決運行安全問題����,以最快速度恢復檔案管理系統運行的責任����。5.機關數字檔案的應用安全管理�����。由于機關數字檔案自身價值較高�����,從而引發許多非法用戶以各種非正常手段入侵機關數字檔案管理系統�����,非法獲取系統操作權限���,導致檔案管理系統數據外泄�����、數據損毀���、非法篡改等;或者合法用戶以不合法手段實施了超越權限的操作���,非法獲取機關檔案信息�����、篡改檔案數據等�����;檔案管理系統設計缺陷�����,導致查詢利用不規范或不合理等�。這些都可能導致機關數字檔案應用安全風險�����,只有加強機關數字檔案的應用安全管理���,才能為用戶提供穩定的檔案信息服務�。6.機關數字檔案的人員安全管理�����。在機關檔案管理中�,由于編制緊張,未能配備專門檔案管理人員����,無法有效保障機關數字檔案的運行維護工作����;或者是由于人員培訓不足,導致機關檔案管理人員專業技能缺乏�,很難勝任新形勢下的機關數字檔案安全管理工作;檔案安全意識薄弱��,甚至個別機關檔案管理人員在外在誘惑之下�����,對機關檔案數據進行非法篡改或竊取�,產生機關檔案數據的“安全風險”�����;機關數字檔案管理中,缺乏規范性操作流程和要求���,導致管理漏洞���。人是機關數字檔案安全管理最為活躍的影響因素����,應加強對機關數字檔案工作人員的安全管理�,形成安全風險防范第一道防線。7.機關數字檔案的授權和審計安全管理���。主要對機關數字檔案管理中的授權和審計過程進行管理��。由于機關數字檔案管理中的授權機制不完善,導致權限混亂�、亂授權和過度授權等問題�����;由于系統審計日志缺失����,從而導致無法對非法入侵及時阻止�、有效跟蹤���、快速追查等問題����。機關檔案的授權和審計管理,需要建立完善的授權管理機制和系統的審計日志��,對非法入侵進行提前防控。
二���、加強網絡環境下機關數字檔案安全管理策略與路徑
針對網絡環境下機關數字檔案安全管理內容與問題��,應從以下幾個方面加強機關數字檔案安全管理���。1.強化機關數字檔案安全管理意識��。首先�,隨著網絡技術的發展和應用�����,無論是機關檔案自身,還是機關檔案管理���,都發生了根本性變化,機關檔案數字化是必然發展趨勢���,加強機關數字檔案安全管理刻不容緩[5]���。因此���,要從思想認識上強化機關數字檔案安全管理�,突破傳統檔案管理思維束縛,根據現代信息技術特點���,探索更加適合網絡環境的機關數字檔案安全管理路徑。其次��,網絡環境下的機關數字檔案安全管理,不僅要求增強檔案管理人員的安全意識��,還要對檔案管理人員信息技術水平進行考核����。因此���,機關檔案管理人員要切實提升自身的數字檔案安全管理能力���,重視檔案管理人員數字檔案安全管理能力培訓��,加大專業人才引進力度�����,通過提升服務技能達到提高機關數字檔案安全管理的目標。2.構建機關數字檔案信息安全存儲基礎���。在信息時代�����,數據將會以指數級增長,而且數據類型和形式更加多樣化��,增加了機關數字檔案信息安全存儲的難度和風險��。特別是機關數字檔案信息體量十分龐大,容易受到網絡黑客惡意攻擊����,導致機關數字檔案信息被非法使用���。因此,要對機關數字檔案信息安全存儲進行重點關注����,構建穩定可靠的安全存儲基礎���,構建全面的檔案信息存儲防護體系���。第一�,要擴充機關數字檔案存儲容量�,為機關檔案信息存儲提供足夠的數字空間。機關檔案管理中形成的大量存儲數據�,不僅數量急劇增加,而且結構更加復雜��,現有的存儲方式已很難滿足實際需要�����,因此要構建容量足夠大��、安全性足夠高的機關數字檔案安全存儲方式��。第二��,要在眾多的機關檔案信息存儲方式中,擇最為合適的方式��,改變傳統的單一存儲方式。對于結構松散的半結構化機關檔案數據�,采取面向文檔需要的分布式存儲方式;對于結構化的機關檔案數據����,采取主題存儲方式��。要針對信息類型的不同�����,采取不同的數據存儲方式,提高機關數字檔案信息安全和開發利用的有效性。3.加強大數據技術在機關數字檔案安全管理中的應用�����。紙質館藏內容基本上依靠手工整理�����、人工編目���,是傳統機關檔案管理的主要技術手段����。但是在網絡環境下的機關數字檔案管理中�����,檔案管理工作借助于現代信息技術完成��,特別是大數據技術的出現�,在機關數字檔案安全管理中得到廣泛應用。首先�,通過大數據與機關數字檔案安全管理的深度融合��,提升機關數字檔案系統的安全防御級別��,更好地應對更高級別的持續性網絡攻擊,對各類計算機病毒��、網絡黑客的非法入侵進行有效防御���。其次,在推進機關檔案數字化管理過程中�����,通過大數據技術的應用��,對機關檔案管理全流程進行實時上傳�����,建立機關數字檔案全路程跟蹤溯源,確保數據不被惡意篡改��。再次,通過大數據技術的應用��,實現機關檔案數據安全管理系統的多節點接入��,更好地實現對機關檔案數據的授權訪問�����,強化了機關數字檔案的安全性。4.建立安全高效的機關數字檔案信息管理系統����。機關數字檔案本身具有與載體分離�����、高度依賴系統等特點�����,從而對機關數字檔案信息管理系統的安全性提出了更高要求����。配置更為優質����、先進的硬件設施��,建立集收集���、存儲��、分析�����、開發�、應用為一體的機關數字檔案信息管理系統,是機關數字檔案安全管理的重要任務�����。因此,要建立一個基于云計算技術的機關數字檔案信息管理系統�����,不僅能對數量繁雜、類型多樣的機關數字檔案進行收集��、分類和分析��,挖掘機關數字檔案之間的關聯性�����,還要具備快速擴容和安全存儲能力����,提高機關數字檔案信息管理系統安全性,為機關檔案管理人員提高工作效率和服務水平奠定基礎�,同時也提高機關數字檔案安全管理水平。
三���、總結
數字檔案管理,是機關檔案管理的必然發展趨勢���,不僅可以降低機關檔案管理成本�����,而且還可以提高機關檔案服務水平����,但同時也面臨著新的安全風險���。因此�����,要構建完善的機關數字檔案安全管理體系��,確保在機關檔案數字化過程中的數據安全,使機關檔案數字化建設得以順利實施���。
參考文獻
[1]范園園.淺議檔案風險及安全管理[J].蘭臺世界,2019(12):4-5.
[2]肖茜.關于構建高校數字檔案信息安全保障管理體系的探討[J].檔案天地���,2018,294(10):45-47.
[3]李雅瓊.數字檔案館網絡信息安全根源探討[J].蘭臺世界���,2017(2):19-20.
篇11
電力是國民經濟的命脈����,電力系統的安全穩定���,不但直接關系到國家經濟的發展�����,還對民眾的日常生活有著巨大的影響。當前隨著電力企業市場業務的不斷開展�����,其與互聯網的聯系也越來越密切,但互聯網存在著很大的自由性和不確定性����,可能會給電力企業帶來潛在的不安全因素。而當前電力企業的信息安全建設僅僅停留在封堵現有安全漏洞的階段����,對于系統整體的信息安全意識還不夠�。因此有必要對電力企業信息系統整體安全管理進行分析研究,有針對性的采取應對策略���,確保電力企業網絡信息可以實現安全穩定運行。
1做好安全規劃
做好電力企業的網絡安全信息規劃需要做到以下兩點:
(1)要對電力企業的網絡管理進行科學合理的規劃����,要結合實際情況對電力企業的網絡信息安全管理進行綜合考量,從整體上對網絡信息安全進行考慮和布置��。網絡安全信息管理的具體開展主要依靠于安全管理體系��,這一點上可以參照一些國外經驗��;
(2)電力企業因自身的獨特性質�����,需要使用物理隔離的方法將內外網隔離開來���,內網方面要合理規劃安全區域����,要結合實際情況����,將安全區域劃分成重點防范區域與普通防范區域。電力企業信息安全的內部核心是重點防范區域��,在此區域應當設置訪問權限�����,權限不足的普通用戶無法查看網頁。重要的數據運行如OA系統和應用系統等應該在安全區域內進行�����,這樣可以保證其信息安全。
2加強制度建設
安全制度是保障電力企業網絡信息安全的關鍵部分�,安全制度可以提升企業員工和企業領導對網絡信息安全的意識����,電力企業需要將安全制度作為企業的工作核心,要結合當前的實際情況�,建立起符合電力企業網絡信息安全的管理制度,具體操作如下:
(1)做好安全審計�,很多入侵檢測系統都有審計日志的功能,加強安全制度建設就需要利用好檢測系統的審計功能�����,做好對網絡日常工作的管理工作���,對審計的數據必須要進行嚴格的管理,不經過允許任何人不得擅自修改刪除審計記錄���。
(2)電力企業網絡系統需要安裝防病毒軟件來保障網絡信息的安全�����,安裝的防病毒軟件需要具備遠程安裝��、報警及集中管理等功能�����。此外���,電力企業要建立好網絡使用管理制度,不要隨便將網絡上下載的數據復制在內網主機上�����,不要讓來歷不清的存儲設備在企業的計算機中隨意使用�����。
(3)電力企業的管理者要高度重視其企業的網絡安全制度建設����,不要把網絡信息安全管理僅僅看作是技術部門的工作���,企業中應建立起一支專門負責網絡信息安全的工作領導小組,要做好對企業內所有職工的培訓,最好能讓每一名職工都擁有熟練掌握網絡信息安全管理的能力�����。企業管理者要明確相關負責人的工作職責���,定期對網絡安全工作開展督導檢查���,管理制度需要具備嚴肅性、強制性和權威性�����,安全制度一旦形成��,就必須要求職工嚴格執行�����。
3設置漏洞防護
隨著當前計算機網絡技術的迅速發展,很多已經投入運行性的網絡信息系統和設備的技術漏洞也隨著網絡技術的不斷發展而日益增加��,這在很大程度上給了不法分子竊取電力企業網絡信息系統數據的機會��,對此電力企業需要做好以下兩項工作:
(1)電力企業需要利用一些漏洞掃描技術來維護企業的網絡安全����,要對企業的網絡信息系統經常開展掃描工作,從而及時發現系統漏洞并完成修復�����。這樣可以提升企業網絡信息安全系數�����,不但能阻斷不法分子入侵企業信息系統的途徑��,還可以使企業避免需要經常性更換網絡信息系統設備可能增加的經濟負擔��,從而促進企業實現長遠發展�;
(2)電力企業需要提升對網絡信息安全的風險防范意識�,增強企業應對突發事件的應急處理能力,針對不同的信息安全風險需要設置好不同的預警機制�����。要定期檢查企業的網絡信息安全技術�����,防止網絡安全漏洞的出現�。還要及時做好對網絡信息防護新手段的更新工作,從而提升企業網絡信息系統的保護強度�。
4提高管理手段
科學合理的企業網絡信息安全管理手段不僅可以維持電力企業的工作進度����,還能有效規避企業網絡信息中所存在的安全隱患����。提高企業網絡信息安全管理手段需要做到以下兩點:
(1)建立入侵保護系統IPS,提升企業網絡信息安全管理指標���。在電力企業網絡管理系統中建立網絡入侵保護系統IPS��,可以為網絡信息提供一種快速主動的防御體系�����,IPS的設計理念是對常規網絡流量中攜帶的惡意數據包進行數據安全檢測,若發現可疑數據IPS將發揮網絡安全防御功能��,來阻止可疑數據侵入電力系統的網絡信息系統。與常規的網絡防火墻相比�����,IPS具備更加完善的安全防御功能����,其不僅能對網絡惡意數據流量進行檢測還能夠及時消除隱患。此外���,IPS還能為電力企業的網絡提供虛擬補丁�����,從而預先對黑客攻擊和網絡病毒做出攔截,保證企業的網絡不受損害���;
(2)電力企業要加大對新型網絡信息安全技術的研發投入��,在組建企業網絡信息安全系統時��,要對系統各組成部分做嚴格檢查���,確保設備符合安全標準���。對于組建網絡信息系統所需要的設備和部件則必須要求供應商提供相應的安檢報告,嚴防設備和部件的安全隱患����。對于企業已投入使用的系統和設備�����,必須定期做好檢查����,以確保安全系統能夠順利有效的開展防護工作�。
5總結
綜上所述,本文通過維護電力企業網絡信息安全管理的相關策略進行研究發現���,運用做好安全規劃���、加強制度建設、設置漏洞防護和提高管理手段四項措施可以起到提升企業網絡信息系統的保護強度���、建立起符合電力企業網絡信息安全的管理制度從而確保安全系統能夠順利有效的開展防護工作的良好效果�����,希望本文的研究可以更好的提升我國電力企業的網絡信息系統的安全管理水平�����,為維護我國電力系統的安全運行做出貢獻���。
參考文獻
