網絡安全防護手段
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全防護手段范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全防護手段范文第1篇
關鍵詞:安全域 邊界整合 數據業務系統 安全防護
中圖分類號:TP309.2 文獻標識碼:A 文章編號:1007-9416(2013)08-0180-02
0 引言
隨著數據業務快速發展,信息化程度不斷提高,國民經濟對信息系統的依賴不斷增強,迫切需要數據業務系統在網絡層面建立清晰的組網結構。同時,根據國家安全等級保護的要求,需要不斷細化各業務系統的安全防護要求,落實更多的數據業務等級保護問題。針對數據業務系統規模龐大、組網復雜的現狀,以及向云計算演進的特點,按照等級保護和集中化的要求,需要對運營商數據業務系統進行安全域的劃分和邊界整合,明確數據業務系統組網結構。在此基礎上,進一步提出了數據業務系統安全防護策略,促進數據業務系統防護水平和安全維護專業化水平的整體提高。
1 數據業務系統網絡安全面臨的威脅
隨著全球信息化和網絡技術的迅猛發展,網絡安全問題日益嚴峻,黑客攻擊日益猖獗,尤其是以下幾個方面的問題引起了人們的廣泛關注,給電信信息化安全帶來了新的挑戰。
(1)黑客攻擊是竊取網站集中存儲信息的重要手段,通過獲取用戶口令,尋找出網絡缺陷漏洞,從而獲取用戶權限,達到控制主機系統的目的,導致用戶重要信息被竊取。
(2)隨著移動互聯網智能終端的快速發展,3G和wifi網絡的大量普及,惡意程序成為黑客攻擊智能終端的一個重要手段,針對智能終端的攻擊不斷增加,最終將導致重要資源和財產的嚴重損失。
(3)隨著電子商務的普及,人們現已逐步習慣通過支付寶、網上銀行或者第三方交易平臺進行交易,黑客將對金融機構中的信息實施更加專業化和復雜化的惡意攻擊。
(4)自韓國爆發大規模黑客入侵事件以來,APT(Advanced Persistent Threat)攻擊更加盛行,主要典型特征包括魚叉式釣魚郵件、水坑攻擊與自我毀滅等,由于APT攻擊具有極強的隱蔽能力和針對性,同時網絡風險與日劇增,傳統的安全防護系統很難抵御黑客的入侵,這就需要企業和運營商全方位提升防護能力。
(5)隨著云計算大規模的應用,作為一種新型的計算模式,對系統中的安全運營體系和管理提出了新的挑戰,虛擬化軟件存在的安全漏洞需要更加全面地進行安全加固,建立一套完整的安全體制。
2 數據業務系統安全域劃分與邊界整合
2.1 安全域劃分的目的
安全域是指在同一系統內根據業務性質、使用主體、安全目標和策略等元素的不同來劃分的網絡邏輯區域,同一區域有相同的安全保護需求、安全訪問控制和邊界控制策略,網絡內部有較高的互信關系。
安全域劃分的目的是清晰網絡層次及邊界,對網絡進行分區、分等級防護,根據縱深防護原則,構建整體網絡的防護體系,抵御網絡威脅,保證系統的順暢運行及業務安全。通過安全域的劃分,可以有利于如下四方面:
(1)降低網絡風險:根據安全域的劃分及邊界整合,明確各安全域邊界的災難抑制點,實施縱深防護策略,控制網絡的安全風險,保護網絡安全。
(2)更易部署新業務:通過安全域劃分,明確網絡組網層次,對網絡的安全規劃、設計、入網和驗收總做進行指導。需要擴展新的業務時,根據新業務的屬性及安全防護要求,部署在相應的安全域內。
(3)IT內控的實效性增強:通過安全域的劃分,明確各安全域面臨的威脅,確定其防護等級和防護策略。另外,安全域劃分可以指導安全策略的制定和實施,由于同一安全域的防護要求相同,更有利于提高安全設備的利用率,避免重復投資。
(4)有利于安全檢查和評估:通過安全域劃分,在每個安全域部署各自的防護策略,構建整體防護策略體系,方便運維階段進行全局風險監控,提供檢查審核依據。
2.2 安全域劃分
根據安全域的定義,分析數據業務系統面臨的威脅,確定威脅的類型及不同業務的安全保護等級,通常將數據業務系統劃分為四類主要的安全域:核心生產區、內部互聯接口區、互聯網接口區和核心交換區。
(1)核心生產區:本區域由各業務的應用服務器、數據庫及存儲設備組成,與數據業務系統核心交換區直接互聯,外部網絡不能與該區域直接互聯,也不能通過互聯網直接訪問核心生產區的設備。
(2)內部互聯接口區:本區域由連接內部系統的互聯基礎設施構成,主要放置企業內部網絡,如IP專網等連接,及相關網絡設備,具體包括與支撐系統、其它業務系統或可信任的第三方互聯的設備,如網管采集設備。
(3)核心交換區:負責連接核心生產區、互聯網接口區和內部互聯接口區等安全域。
(4)互聯網接口區:和互聯網直接連接,具有實現互聯網與安全域內部區域數據的轉接作用,主要放置互聯網直接訪問的設備(業務系統門戶)。
2.3 邊界整合
目前,對于以省為單位,數據業務機房一般是集中建設的,通常建設一個到兩個數據業務機房。進行數據業務系統邊界整合前,首先要確定邊界整合的范圍:至少以相同物理位置的數據業務系統為基本單位設置集中防護節點,對節點內系統進行整體安全域劃分和邊界整合。若物理位置不同,但具備傳輸條件的情況下,可以進一步整合不同集中防護節點的互聯網出口。
對節點內系統邊界整合的基本方法是將各系統的相同類型安全域整合形成大的安全域,集中設置和防護互聯網出口和內部互聯出口,集中部署各系統共享的安全防護手段,并通過縱深防護的部署方式,提高數據業務系統的安全防護水平,實現網絡與信息安全工作“同步規劃、同步建設、同步運行”。
通常數據業務系統邊界整合有兩種方式:集中防護節點內部的邊界整合和跨節點整合互聯網傳輸接口。
(1)集中防護節點內部的邊界整合
根據數據業務系統邊界整合的基本原則,物理位置相同的數據業務系統通常設置一個集中防護節點。在集中防護節點內部,根據安全域最大化原則,通過部署核心交換設備連接不同系統的相同類型子安全域,整合形成大的安全域,集中設置內部互聯出口和互聯網出口。整合后的外部網絡、各安全域及其內部的安全子域之間滿足域間互聯安全要求,整個節點共享入侵檢測、防火墻等安全防護手段,實現集中防護。
(2)跨節點整合互聯網傳輸接口
在具備傳輸條件的前提下,將現有集中防護節點的互聯網出口整合至互備的一個或幾個接口,多個集中防護節點共享一個互聯網傳輸出口。通過核心路由器連接位置不同的集中防護節點,并將網絡中的流量路由到整合后的接口。各節點可以保留自己的互聯網接口區,或者進一步將互聯網接口區集中到整合后的接口位置。
在安全域劃分及邊界整合中,根據安全域最大化原則,多個安全子域會被整合在一個大的安全域內。同時,根據域間互聯安全要求和最小化策略,這些安全子域之間不能隨意互聯,必須在邊界實施訪問控制策略。
3 數據業務系統的安全防護策略
3.1 安全域邊界的保護原則
(1)集中防護原則:以安全域劃分和邊界整合為基礎,集中部署防火墻、入侵檢測、異常流量檢測和過濾等基礎安全技術防護手段,多個安全域或子域共享手段提供的防護;
(2)分等級防護原則:根據《信息系統安全保護等級定級指南》和《信息系統等級保護安全設計技術要求》的指導,確定數據業務業務系統邊界的安全等級,并部署相對應的安全技術手段。對于各安全域邊界的安全防護應按照最高安全等級進行防護;
(3)縱深防護原則:通過安全域劃分,在外部網絡和核心生產區之間存在多層安全防護邊界。由于安全域的不同,其面臨的安全風險也不同,為了實現對關鍵設備或系統更高等級防護,這就需要根據各邊界面臨的安全風險部署不同的安全技術及策略。
3.2 安全技術防護部署
對于數據網絡,一般安全防護手段有防火墻、防病毒系統、入侵檢測、異常流量檢測和過濾、網絡安全管控平臺(包含綜合維護接入、賬號口令管理和日志審計模塊)等5類通用的基礎安全技術。下面以數據業務系統安全域劃分和邊界整合為基礎,進行安全技術手段的部署。
(1)防火墻部署:防火墻是可以防止網絡中病毒蔓延到局域網的一種防護安全機制,但只限制于外部網絡,因此防火墻必須部署在互聯網接口區和互聯網的邊界。同時,對于重要系統的核心生產區要構成雙重防火墻防護,需要在核心交換區部署防火墻設備。由于安全域內部互聯風險較低,可以復用核心交換區的防火墻對內部互聯接口區進行防護,減少防火墻數量,提高集中防護程度。
(2)入侵檢測設備的部署:入侵檢測主要通過入侵檢測探頭發現網絡的入侵行為,能夠及時對入侵行為采取相應的措施。入侵檢測系統中央服務器集中部署在網管網中,并控制部署在內部互聯接口區和互聯網接口區之間的入侵檢測探頭,及時發現入侵事件。同時安全防護要求較高的情況下,將入侵檢測探頭部署在核心交換區,通過網絡數據包的分析和判斷,實現各安全子域間的訪問控制。
(3)防病毒系統的部署:防病毒系統采用分級部署,對安全域內各運行Windows操作系統的設備必須安裝防病毒客戶端,在內部互聯接口子域的內部安全服務區中部署二級防病毒控制服務器,負責節點內的防病毒客戶端。二級服務器由部署在網管網中的防病毒管理中心基于策略實施集中統一管理。
(4)異常流量的檢測和過濾:為了防御互聯網病毒、網絡攻擊等引起網絡流量異常,將異常流量檢測和過濾設備部署在節點互聯網接口子域的互聯網邊界防火墻的外側,便于安全管理人員排查網絡異常、維護網絡正常運轉、保證網絡安全。
(5)網絡安全管控平臺:網絡安全管控平臺前置機接受部署在數據業務系統網管網內的安全管控平臺核心服務器控制,部署在各集中防護節點的內部互聯接口區的安全服務子域中,實現統一運維接入控制,實現集中認證、授權、單點登錄及安全審計。
(6)運行管理維護:安全工作向來三分技術、七分管理,除了在安全域邊界部署相應的安全技術手段和策略外,日常維護人員還要注重安全管理工作。一方面,對安全域邊界提高維護質量,加強邊界監控和系統評估;另一方面,要從系統、人員進行管理,加強補丁的管理和人員安全培訓工作,提高安全意識,同時對系統及服務器賬號嚴格管理,統一分配。
4 結語
由于通信技術的快速發展, 新業務和新應用系統越來越多,主機設備數量巨大,網絡日益復雜,服務質量要求也越來越高。通過安全域的劃分,構建一個有效可靠的縱深防護體系,同時優化了數據業務系統,提高網絡運維效率,提高IT網絡安全防護等級,保證系統的順暢運行。
參考文獻
[1]魏亮.電信網絡安全威脅及其需求[J].信息網絡安全,2007.1.
網絡安全防護手段范文第2篇
【關鍵詞】計算機網絡;信心安全;問題與現象;防護對策
1、我國網絡的發展與計算機安全防護系統的發展
網絡信息安全與計算機安全防護系統的開發與發展。隨著我國改革開發程度的不斷加深,網絡信息技術已經全面融入到人們的生活中了,并且在網絡技術進步的同時,計算機各種程序的開發運用隨之進步,嵌入式的計算機程序與軟件在網絡用戶中廣泛傳播,通過編程與計算將網絡運營商的計算機軟件系統應用于個人計算機中,大大方便了網絡用戶的使用,減少了在搜索以及緩沖上所浪費的時間,是網絡發展的一個里程碑。但是隨著時間的流失,這種計算機軟件編程中存在的問題暴露出來,嚴重影響了計算機網絡信息安全,需要人們進行反思與思考。
2、分析影響我國計算機網絡信息安全的問題與現象
2.1互聯網本身存在著威脅,影響計算機安全防護功能。互聯網本身作為一個用戶交流體驗平臺,是開放式的交流系統,本身的安全維護系統很薄弱,對現有的互聯網威脅很難起到根本性的作用,使得網絡危險威脅到了網絡用戶的計算機。互聯網的網絡協議在設計時的目的只是為了進行更方便的用戶體驗,而對互聯網本身方面考慮不全。隨著網絡技術的快速發展,網絡協議的漏洞也隨之顯現出來,互聯網的用戶急劇增加,導致網絡用戶信息膨脹,不良信息與病毒流入到用戶的計算機中,嚴重威脅到了計算機網絡信息安全。
2.2網絡用戶不注意對計算機安全防護系統的日常使用與維護,影響了計算機安全防護系統的正常使用。網絡與計算機安全防護系統的主體是廣大網絡用戶們,因為用戶的不同心理與需求,使得用戶在計算機安全防護系統界面中的操作行為也是各種各樣的,部分用戶的行為就會造成對計算機安全防護系統的嚴重傷害。而且用戶的行為是難以預測的,在計算機安全防護系統系統的使用過程中,總會有難以預測的情況發生,導致計算機安全防護系統的部分功能喪失,直接造成計算機網絡信息安全受到威脅。
3、探究應對網絡信息安全問題的防護對策
3.1完善計算機安全防護系統的技術手段。個人計算機安全防護系統的技術系統,包括網絡用戶的訪問控制程序,網絡用戶個人信息的加密程序,防毒防火墻技術程序,以及掃描漏洞的防漏程序。通過這幾項技術能夠很好的管理與保護用戶的計算機網絡信息安全。
用戶訪問控制程序,是計算機安全防護系統進行安全維護的第一項功能,它能夠辨別用戶是否有資格使用該計算機安全防護系統,通過對網絡用戶身份的驗證,確定是否是正常使用,對保護用戶的個人使用功能起到了很好的作用,并且從源頭很好的實現了對計算機安全防護系統的管理與控制,從根本上保證了計算機網絡信息安全。
計算機安全防護系統的信息加密技術,這是應對網絡黑客對個人計算機的網絡信息進行盜竊的一種安全手段,通過在計算機安全防護系統中實施加密技術,可以防止計算機中用戶的實用信息遺漏,保護了用戶體驗的私密性,防止不法分子對計算機網絡信息安全的破壞,保護了用戶的計算機,是非常穩固與常用計算機網絡信息安全防護手段。
反毒防火墻技術,這是在網絡安全與計算機安全防護系統衛士中最常用的管理手段,是真正將計算機安全防護系統的使用與外部互聯網分割的網關,是保護計算機安全防護系統使用正常的重要手段,能夠時刻監控越過防火墻的病毒與不良信息,保護計算機安全防護系統免受病毒的侵害,可以說反毒與防火墻技術是保護計算機網絡信息安全的重要技術,讓計算機安全防護系統做到獨立存在。最后是計算機安全防護系統自帶的漏洞防護掃描的技術,在計算機安全防護系統運轉到一定的程度與時間時,計算機安全防護系統的自身會受到一些損壞,出現管理bug,這時要進行計算機安全防護系統的漏洞掃描,并對出現的bug進行修復,保護計算機安全防護系統的核心完整,提高網絡用戶的信息安全程度。
3.2加強對計算機安全防護系統的周期性檢查與維護管理。計算機安全防護系統在運行過程中進行不斷地運算與運行,在經過一段時間后,自身的系統會出現bug與錯誤,影響計算機安全防護系統的使用,所以要通過對計算機安全防護系統的周期性管理與更新,來達到有效管理計算機安全防護系統的目的。網絡用戶在使用計算機安全防護系統的過程中要認識到,周期性的維護會完善計算機安全防護系統的使用,滿足網絡用戶的網絡需求,所以日常使用計算機安全防護系統的過程中,定時清理垃圾與緩存,是很好的維護手段,是保證計算機安全防護系統正常使用的重要手段,也是保障計算機網絡信息安全的重要渠道。
4、結束語
現如今的計算機技術與多媒體信息技術飛速發展,人們對于計算機安全防護系統的了解與認識也得到了大幅度的提高,但是網絡管理與維護問題是影響計算機網絡信息安全的一大障礙。近年來這類問題愈發嚴重,我們必須要做好對計算機安全防護系統的各種安全措施與維護手段,保證計算機安全防護系統的正常使用。
【參考文獻】
[1]盧振俠,申繼年,倪偉.局域網組建、管理與維護職業教程[M].電子工業出版社,2010.
網絡安全防護手段范文第3篇
本文闡述了國內煙草企業面對的網絡信息安全的主要威脅,分析其網絡安全防護體系建設的應用現狀,指出其中存在的問題,之后,從科學設定防護目標原則、合理確定網絡安全區域、大力推行動態防護措施、構建專業防護人才隊伍、提升員工安全防護意識等方面,提出加強煙草企業網絡安全防護體系建設的策略,希望對相關工作有所幫助。
關鍵詞:
煙草企業;網絡安全防護;體系建設
隨著信息化的逐步發展,國內煙草企業也愈加重視利用網絡提高生產管理銷售水平,打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此,越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。
1威脅煙草企業網絡信息體系安全的因素
受各種因素影響,煙草企業網絡信息體系正遭受到各種各樣的威脅。
1.1人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊,這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2軟硬件因素
網絡安全設備投資方面,行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位,但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發展迅速,超出防火墻屏蔽能力等,都使企業安全防護網絡遭受嚴重威脅。
1.3結構性因素
煙草企業現有的網絡安全防護體系結構,多數采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產生干擾。利用系統存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網絡使用者因系統過于復雜而導致錯誤操作,都可能造成網絡安全問題。
2煙草企業網絡安全防護體系建設現狀
煙草企業網絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1業務應用集成整合不足
不少煙草企業防護系統在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協同性,安全防護信息沒有實現跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2信息化建設特征不夠明顯
網絡安全防護體系建設是現代煙草企業的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合,對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協調,致使在信息化建設中,業務、管理、技術“三位一體”的要求并未落到實處,影響了網絡安全防護的效果。
2.3安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業信息化建設的各個環節,加上企業信息化治理模式構建不成熟等原因,制約了企業安全綜合防范能力與運維保障體系建設的整體效能,導致在網絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網站等反復侵襲。
3加強煙草企業網絡安全防護體系建設的策略
煙草企業應以實現一體化數字煙草作為建設目標,秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則,始終堅持兩級主體、協同建設和項目帶動的模式,按照統一架構、安全同步、統一平臺的技術規范,才能持續推動產業發展同信息化建設和諧共生。
3.1遵循網絡防護基本原則
煙草企業在建設安全防護網絡時,應明白建設安全防護網絡的目標與原則,清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分,不同區域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網絡邊界更為明確,相互之間更為信任。要對已出現的安全問題進行認真分析,并歸類統計,大的問題盡量拆解細分,類似的問題歸類統一,從而將復雜問題具體化,降低網絡防護工作的難度。對企業內部網絡來說,應以功能為界限來劃分,以劃分區域為安全防護區域。同時,要不斷地完善安全防護體系建設標準,打破不同企業之間網絡安全防護體系的壁壘,實現信息資源更大程度上的互聯互通,從而有效地提升自身對網絡威脅的抵御力。
3.2合理確定網絡安全區域
煙草企業在使用網絡過程中,不同的區域所擔負的角色是不同的。為此,內部網絡,在設計之初,應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時,對生產、監管、流通、銷售等各個環節,要根據其業務特點強化對應的網絡使用管理制度,既能實現網絡安全更好防護,也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態度,根據企業實際情況,以現有的網絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3大力推行動態防護措施
根據網絡入侵事件可知,較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業在構建網絡安全防護體系時,應根據不同的威脅形式確定相應的防護技術,且系統要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業所遭受的網絡威脅進行分析,確定系統存在哪些漏洞、留有什么隱患,實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制,在系統遭受重大網絡威脅而癱瘓時,確保在最短的時間內恢復系統的基本功能,為后期確定問題原因與及時恢復系統留下時間,并且確保企業業務的開展不被中斷,不會為企業帶來很大的經濟損失。另外,還應大力提倡煙草企業同專業信息防護企業合作,構建病毒防護戰略聯盟,為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。
3.4構建專業防護人才隊伍
人才是網絡安全防護體系的首要資源,缺少專業性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強,既要熟知信息安全防護技術,也要對煙草企業生產全過程了然于胸,并熟知國家政策法規等制度。因此,煙草企業要大力構建專業的網絡信息安全防護人才隊伍,要采取定期選送、校企聯訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業現有信息安全防護人員的能力素質,也要積極同病毒防護企業、專業院校和科研院所合作,引進高素質專業技術人才,從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。
3.5提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心,統一對企業網絡安全防護系統進行管理培訓,各部門、各環節也要設立相應崗位,負責本崗位的網絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監督下,都要在網絡使用制度的規則框架中,杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育,提升其網絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規地使用信息網絡。
4結語
煙草企業管理者必須清醒認識到,利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨,絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰,以實事求是的態度,大力依托信息網絡安全技術,構建更為安全的防護體系,為企業做大做強奠定堅實的基礎。
參考文獻:
[1]楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術,2012(5).
[2]賴如勤,郭翔飛,于閩.地市煙草信息安全防護模型的構建與應用[J].中國煙草學報,2016(4).
網絡安全防護手段范文第4篇
關鍵詞: 數字圖書館 計算機網絡 安全防護技術
引言
目前,國內對電子圖書館的使用還處于較低層次,人們在使用電子圖書館的過程中,過于注重電子圖書館的便利性和實用性,對相關安全防護工作不夠重視,導致一些圖書館的信息處于開放狀態,相關網絡病毒很容易進入,嚴重時會導致整個管理系統癱瘓。因此,采取合理有效的措施對電子圖書館進行防護是很有必要的。
1.數字圖書館計算機網絡的安全防護技術的基本概念
所謂數字圖書館計算機網絡的安全防護技術,就是采取相應的預防手段確保數字圖書館內部的組成部分不受病毒等有害物質損壞,從而確保各個程序有效運行,且在相關數據信息傳播過程中,數據信息不被盜取或者阻礙等。
數字圖書館計算機網絡的安全防護技術具有以下幾方面特點:(1)保密性,所有相關信息在儲存、傳輸及瀏覽過程中,不被外界因素侵害;(2)完整性,確保信息數據在傳輸過程中不被非法途徑損壞;(3)實用性,電子圖書館主要作用就是給人們提供快捷服務,因此,要確保相關數據信息具有很強的實用性。
2.數字圖書館計算機網絡存在的安全問題
2.1病毒傳播帶來的安全問題
網絡病毒作為計算機系統最大的危害因素之一,一旦系統被病毒入侵就會導致相關數據損壞或者丟失。此外,網絡病毒還可以入侵電子圖書館的硬盤,并且可以盜取或者破壞硬盤內儲存的相關數據信息,從而阻礙計算機網絡系統正常運作。病毒的入侵還會導致信息數據傳輸異常,從而影響人們的正常工作。
2.2非法破壞電子圖書館系統
一些不法分子利用不正當的手段對電子圖書館系統進行破壞,對硬盤內儲存的信息進行修改和盜取,嚴重時會對相關系統進行破壞,因此采用相應的預防措施是很有必要的。
3.數字圖書館安全防護措施
3.1采用預防病毒的安全防護技術
現階段對數字圖書館危害最嚴重的就是網絡病毒,因此,使用一些殺毒軟件或者防火墻,是進行電子圖書館網絡保護的主要手段。此外,還可以安裝反病毒裝置,從而提升電子圖書館的安全性能,并且對相關數據信息進行二次儲備,避免不安全情況發生。
3.2數字圖書館數據信息安全防護措施
數字圖書館數據信息安全防護措施主要可以從以下幾方面進行:
(1)使用安全加密算法,把重要相關數據信息轉換為密碼文本,這樣即使數據信息在傳遞過程中被攔截,也很難進行破譯,確保數據傳遞的安全性。加密算法又被簡單地分為相應密匙加密算法和顯示密匙加密算法,相應密匙加密算法較為簡單,指加密和解密采用相同的算法,一般使用在對數據信息要求不高的行業;顯示密匙加密算法比較復雜,加密和解密使用不同算法,因此,被廣泛使用在大型企業中。電子圖書館一般使用相應密匙加密算法。
(2)隨著信息計算不斷發展,國內已經研究出信息偽裝安全防護技術,對不法分子可以進行攻擊,還可以避免電子圖書館信息數據被破壞,簡單來說就是將相關文本、圖片等相關信息進行隱藏,從而達到預防保護的目的。
(3)水印安全防護技術,在信息數據傳輸過程中,可以將相關信息數據隱藏在水印中,從而起到保護作用。
3.3數字圖書館網絡安全防護技術
現階段最流行的就是網絡防火墻,可以對電子圖書館的網頁進行監督和管理。網絡防火墻具有監督管理電子圖書館信息不受侵害,并且可以在非法手段干擾數據傳輸時,對傳輸的信息流量進行控制,盡可能控制在預期傳輸軌道上。網絡安全防火墻能夠阻止外來危險源的攻擊,不管是在系統內部,還是外部都可以起到監管作用,對電子圖書館的持續穩定運行有很大幫助。
3.4用戶安全防護措施
圖書館的主要作用就是為人服務,確保用戶準確及時地獲得相關網絡數據信息。用戶的安全防護措施有以下兩個方面:
(1)對用戶的身份進行注冊和鑒別,避免非法手段危害用戶的合法權益。
(2)對用戶進行安全危害等級劃分,簡單來說就是根據用戶的威脅等級進行劃分。現階段使用的用戶安全認證手段較為簡單,很容易被非法手段入侵,因此,提升用戶認證標準是很重要的。
結語
現階段影響數字圖書館的安全因素較多。因此,為了確保數字圖書館能夠安全有效地為人們服務,對數字圖書館計算機網絡采取相應安全防護手段很有必要。
參考文獻:
[1]李友紅.數字圖書館計算機網絡的安全技術與防護策略[J].電子測試,2014(05):135-136.
網絡安全防護手段范文第5篇
關鍵詞:邊界防護;安全域劃分;入侵檢測;等級保護
中圖分類號: TM247 文獻標識碼: A 文章編號:
0 引言
隨著電網公司SG186工程的實施和信息化建設的逐步推進,重要應用系統已集中部署到省公司,市級電力企業將主要負責數據采集和網絡實時傳輸工作,信息網絡的安全穩定性將直接影響信息系統的安全、可靠。電力企業通過網絡分區分域、邊界防護、規范安全配置及部署網絡監測防護等手段,建立信息網絡安全防護體系,提高了信息安全運行水平。
1 企業信息網分區分域
1.1 信息網絡分區
電力企業信息網絡分為信息外網區和信息內網區。結合資金、通道資源等因素考慮,省、地、縣信息廣域骨干網將做內外網邏輯隔離,全部骨干網節點上投運具備MPLS-VPN功能的高端路由器設備,信息外網以信息內網為承載網,開通MPLS-VPN通道到各地、縣本地網接入點,地、縣本地局域網以物理隔離方式分別組建信息內網和信息外網實現內外網隔離。
1.2 安全域建設
網絡安全的基本策略是進行安全區域劃分,根據信息業務安全等級差異可劃分不同安全等級的區域,實現對安全風險的有效隔離。市級電力企業主要的營銷管理系統、生產管理系統、協同辦公系統等已全部集中部署在省公司,因此在市公司中,系統均為二級系統。根據網絡安全域與網絡功能區相匹配的原則,信息內網安全域可劃分為系統服務器域和內網終端域兩個,并通過防火墻實現安全風險隔離。信息外網因沒有對外業務應用系統,全部為外網終端,因此外網只有外網終端域。信息內網網絡示意圖如圖1所示:
圖1 信息內網網絡示意圖
2 網絡邊界防護
邊界防護是指網絡區域間和區域內所有網絡流量必須在明確的策略允許下進行傳輸,數據流進行嚴格的控制,包括數據流的源和目的地址,控制精度達到端口級,默認拒絕所有不確定的數據流。邊界的隔離防護功能可以從物理上實現,也可在網絡層和系統層實現。市級電力企業信息內外網實現物理隔離方式,信息內網不存在第三方邊界,信息內網的網絡邊界根據區域網絡數據流向劃分為縱向邊界、橫向邊界和終端接入邊界。劃分示意圖如圖2所示。
圖2 邊界劃分示意圖
2.1 縱向邊界防護
市級信息網絡縱向邊界分為上聯省公司邊界和下聯縣級公司邊界兩部分,邊界劃分和隔離方式基本相同,采用BGP協議劃分不同的自治系統域網絡邊界,以口字形方式雙機冗余連接,部署防火墻做網絡邊界隔離,通過防火墻的訪問控制策略實現數據流的縱向訪問控制防護。
2.2 橫向邊界防護
市級信息網絡橫向邊界分為安全域間邊界防護和網段間防護。安全域邊界防護采用防火墻作邊界安全策略配置,實現服務器域和內網終端域間的安全訪問控制;網段間防護包括服務器網段VLAN劃分和內網終端域網段VLAN劃分,通過在網絡設備層上配置詳細的VLAN訪問控制策略實現網段間的邊界防護。
2.3 終端接入邊界防護
終端接入邊界防護主要是計算機終端和接入層交換機的安全接入控制,包括設備接入許可控制和外聯阻斷。設備接入控制采用網絡層的IP-MAC地址綁定功能做接入許可控制,并在網絡設備端作端口訪問控制策略;外聯阻斷控制是部署終端管理系統實時對設備外聯進行檢測,如有連接外網可主動發起阻斷操作并告警,通過應用系統層做邊界接入防護。
3 規范網絡安全配置
網絡安全威脅是實際存在的,網絡本身的安全性配置是網絡系統的安全基礎,可最大程度地降低網絡層的攻擊威脅。如何正確有效地啟用各類網絡安全配置是網絡日常維護深入的重點。網絡設備安全配置總體包括網絡服務、網絡協議和網絡訪問控制三方面。以cisco網絡設備為例,列舉以下安全配置:
4 網絡安全監測防護
4.1 網絡管理系統
網管系統可對網絡設備進行遠程管理和狀態監控,實現對網絡內所有網絡設備的告警監測和故障定位,使用運行管理功能能提供網絡故障預警、故障定位。同時能確定網絡設備CPU、內存的負荷、站點的可到達性、網絡鏈路流量、傳輸速率、帶寬利用率、時延、丟包等。并發現系統的物理連接和系統配置的問題,進而優化網絡性能、提高網絡運行效益。是網絡管理員管理網絡的重要手段。
4.2 入侵檢測系統
人侵檢測系統能提供安全審計、監視、攻擊識別和防攻擊等多項功能;具有事前警告、事中防護和事后取證等特點;可以監視用戶和系統的運行狀態,查找非法用戶和合法用戶的越權操作;檢測系統配置的正確性和安全漏洞,并提示管理員修補漏洞。通過入侵檢測系統,管理員能實時檢測到用戶網絡受攻擊行為,并即時采取應急措施。
4.3 漏洞掃描系統
漏洞掃描系統將網絡、主機和桌面終端的系統配置信息進行漏洞規則匹配分析,能即時檢測到網絡上各設備的系統漏洞,發現系統隱患及脆弱點,能通過補丁更新系統更新。
4.4 日志審計系統
日志審計系統能將網絡設備、防火墻設備、入侵檢測及主機系統的日志數據進行采集、分析和識別,對各類事件歸類匯總分析,實時定位網絡安全事件的準確性,并進行報警響應。
4.5 防病毒系統
計算機病毒是造成網絡大規模癱瘓的重要原因,通過防病毒系統對病毒感染傳播的遏制,是網絡安全的重要防護手段。終端防病毒軟件安裝率是電力企業信息安全考核的重要指標。
