计算机网络安全规范政策

前言:寻找写作灵感?中文期刊网用心挑选的计算机网络安全规范政策,希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。

计算机网络安全规范政策

 

1江西省水情网络系统的现状及存在问题   1.1墓本情况   江西省水情网络系统是省防办、省水文局于1卯7年底-l卯8年初开始建设,结合当今的计算机、网络和通信等技术按照“统一性、先进性、扩展性、经济适用性”的原则,由南昌大学计算机工程研究中心负责具体实施。在1998一1999年短短的两年时间里,江西省相继建成了赣州、吉安、宜春、抚州、上饶、景德镇、九江、南昌、都阳湖九个分局水情局域网节点和省局水情局域网,并先后于当年汛期前、后投人使用。   考虑到江西省部分地市水文情报站点多面广,为确保水文情报准确快速的传输,先后建立了上高、修水、德兴、遂川为集合转发站(水文勘测队)的多处实时水情计算机局域网远程报汛系统工作站,直接同该站、队所属分局联网;此外,江西省的大部分大中型水库也实现了水库远程报汛,通过电话拨号等通讯方式接人其所属的水文分局水情局域网,进行信息汇总后传人省局水情信息中心。   2(X又年建立水文网站,省局水情信息中心接人Intemet,通过硬件防火墙,将原来的水情网络系统划分为Intemet外网区域、DMZ区和内网3部分。江西省水情计算机网络的拓扑结构如图l所示。   1.2存在问题   保障江西省水情网络系统的安全、稳定运行是为社会、防汛等部门提供优质服务的前提条件,通过几年的运行、维护和管理,发现由于硬件设备投资和网络使用者及网络管理者的安全意识原因,目前江西省水情网络系统存在如下问题:   (1)网络基础设施落后。从江西省水情计算机网络系统建成投人使用至今已有7一sa的时间,网络及通讯设备多数出现老化现象,网络运行出现不稳定的情况,为防汛决策部门和社会提供水情服务的时效性和准确性大打折扣。   (2)网络安全防护系统不健全。说到网络安全防护系统,主要分为两个方面:一是硬件防护。主要是指通过在一定的硬件设备上进行某种设置,来控制网络数据信息的流动,例如在路由器、交换机、硬件防火墙上进行适当的设置,可有效防止不明来历的外部IP对局域网的访问;另一个是软件防护。它主要指在局域网内部署防病毒软件,安装软件防火墙等措施。   许多地市分局的计算机局域网在网络安全防护体系建立方面的工作几乎没有开展,有的即使开展了,也只是顾此失彼,给网络安全造成了极大的漏洞。   (3)网络安全意识淡薄。在计算机网络为我们带来便利的同时,也为我们的网络安全问题埋下了极大的隐患。例如黑客的非法人侵、计算机病毒的爆发、敏感信息的泄漏等。由于安全意识淡薄,平时疏于防范,往往在运行了病毒文件或黑客程序后,仍毫无察觉,直到某一天病毒爆发才意识到,而此时所造成的损失已经无法弥补。为杜绝此类事件的发生,有关领导和部门要对网络安全问题高度重视。   (4)网管人员的技术水平和素质有待提高。网络管理人员的职责是随时对网络进行维护,防止病毒、黑客程序以及各种恶意的人侵,处理系统中出现的问题,保障局域网的正常运作及信息安全,工作量十分庞大。网管人员必须具备很强的专业素质,并能及时掌握信息安全的最新技术。   江西省水情网络系统建设的过程中,培养了一批网络维护和管理人员,负责整个水情计算机网络系统的安全运行。但由于人事调动以及后来人员不熟悉情况,致使网络管理和维护的人员的数量急剧减少,加之接受专业培训的机会较少,自身的技术水平达不到维护网络安全的要求,难以胜任网络维护和管理的工作。   (5)网络维护管理体制不完善。虽然江西省水情网络系统建设并投人使用已有七八年了,但各分局网络管理机构不明了,网络管理没有专人负责,多为临时或兼职,没有建立岗位责任制。   2改善和提高江西省水情网络系统安全的方法   目前江西省水情网络系统的安全威胁主要来自设备老化损坏、黑客攻击、计算机病毒和非法窃取重要数据四个方面。主要表现形式为:网络不能正常工作、非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。网络的安全威胁也分为来自外部网络和来自内部网络两种。   要提高局域网的安全性,可以使用的方法很多,为了便于理解,这里分为硬件系统安全和软件系统安全两大类,下面就此做一些探讨。   2.1硬件系统的安全防护硬件系统的安全问题分为3种:①物理安全;②设置安全;,③运行安全。   (l)物理安全。物理安全是指防止意外事件或人为破坏具体的物理设备,如服务器、交换机、路由器、机柜、线路等。机房和机柜的钥匙一定要管理好,不要让无关人员随意进入机房,尤其是网络中心机房,防止人为的蓄意破坏。   (2)设置安全。设置安全是指在设备上进行必要的设置(如路由器、防火墙、服务器、拨号用户、交换机的密码等),防止黑客取得硬件设备的远程控制权。因为路由器属于接人设备,必然要暴露在互联网黑客攻击的视野之中,因此需要采取更为严格的安全管理措施,比如口令加密、加载严格的访问列表等。   (3)运行安全。运行安全主要指硬件设备的正常运行是否有保障,例如:是否配备冗余电源、机房是否配备空调以防止机房温度过高、重要网络设备是否有UrS作为后备电源供应、服务器数据存储设备是否进行了冗余(磁盘阵列)设计等。江西省水情计算机局域网因为防汛的需要,许多网络设备都要求24h不间断运行,所以网络硬件设备的安全运行就显得格外重要。鉴于网络设备的老化比较严重,各分局应设计建立自己的应对方案。   2.2软件系统的安全防护   针对江西省水情网络系统的实际情况,结合几年来从事网络管理和维护工作的经验,我们可从以下几个方面着手,实现对网络软件系统的安全防护。#p#分页标题#e#   (l)使用安全的服务器操作系统。现今较为流行的网络操作系统有uni、、Windows、u~等,每种操作系统都有各自的优点和缺点,但U血经过几十年来的发展已相当成熟,以其稳定性和安全性成为关键性应用的首选。例如金融、电信部门使用的服务器操作系统均为Unix。在安全性要求不是特别高的应用领域,可以考虑使用微软的Windows么IX)/双刃3操作系统。因此,建议将水情网络系统的一些关键应用如水情信息采集、信息查询、数据库等放置于U血平台之上,而它的一般应用则可运行于WindowsZ(XX)/2(X)3平台。   (2)安装补丁程序不断完善服务器系统的安全性能。没有一个网络操作系统是绝对安全的,任何操作系统都有漏洞,U币x系统也不例外。作为网络系统管理员就有责任及时地将“补丁(几teh)”打上。目前,水情网络大部分服务器使用的是SCO公司的Unix操作系统和微软的WindOWSZ(X刃似刃3操作系统,无论是unix还是windows操作系统都存在安全漏洞,它们的官方站点会不定期系统补丁,系统管理员应定期下载补丁,及时堵住系统漏洞。有些应用可能会和补丁发生冲突,建议重要的应用应在取得软件开发公司认可后再安装补丁。   (3)安装和设置防火墙。防火墙能限制被保护的内网与外网及DMZ之间的信息存取和交换操作。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、也是一个限制器、同时还是一个分析器。它有效的控制了内网和外网之间的活动,保证了内部网络的安全。由于面向Intemet的江西水文网站的建立,为了保证内网的安全,防止非法人侵,安装防火墙是非常必要的。但是并不是安装了防火墙就万事大吉了,而是需要进行适当的设置才能起作用,防火墙的通信策略应根据网络实际情况进行调整。   (4)安装网络版杀毒软件。计算机病毒就是一种可执行的计算机程序,除了自我复制外,还具有破坏程序、窃取敏感信息、堵塞网络等特点。目前全世界已有超过7〕I幻多种病毒,而且每天新病毒的数量还在不断增加。计算机网络的发展和玩ter白net的普及,使病毒传播的速度非常快,并成为病毒的主要传播途径。   在网络服务器和代机上安装网络版的杀毒软件,来控制病毒的传播,目前,大多数反病毒厂商(如趋势、赛门铁克、江民科技、瑞星等)都已经推出了网络版的杀毒软件;同时,在网络版的杀毒软件使用中,必须要定期或及时升级病毒库文件和杀毒引擎,以使整个水情网络系统具备防范最新计算机病毒的能力,确保网络安全。   (5)账号和密码保护。账号和密码保护可以说是系统的一道重要防线,据统计,大约so%的安全隐患是由于口令设置不当引起的,而目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。所以对服务器系统的账号和密码进行管理是保证系统安全非常重要的措施,要像升级杀毒软件一样,定期更新帐号和密码。帐号和密码的设置原则:尽量不要使用用户姓名、常用单词、生日和电话号码作为口令;用户口令应包含大小写,最好能加上字符申和数字,综合使用能够达到更好的保密效果。   (6)关闭不需要的服务(应用)和端口。服务器操作系统在安装的时候,会启动一些不需要的服务,这样会占用系统的资源,不但影响系统运行速度,而且也增加了系统的安全隐患。很多黑客攻击程序是针对特定服务和特定服务端口的,所以关闭不必要的服务和服务端口,能大大降低遭受黑客攻击的风险。如关闭或暂停及坛et应用以及没有必要开的一些.1℃P端口等。   (7)定期分析系统日志。通过运行系统日志程序,系统会记录下所有用户使用系统的情形,包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表,通过对报表进行分析,你可以知道是否有异常现象。日志文件不仅在调查网络人侵时十分重要,它们也是用最少代价来阻止攻击的办法之一。   (8)定期对服务器数据和重要信息进行备份。为防止因为各种不可预料的系统软硬件故障、病毒的侵袭和黑客的破坏或用户不小心的误操作等原因导致的系统崩溃,为了维护局域网的安全,必须对系统和数据库进行安全备份。数据备份和恢复是保证数据安全的重要手段。在水情信息数据库系统的建设过程中,要充分考虑到各个应用系统的系统数据、帐户数据、事务日志等备份,要制定完整的数据备份和恢复方案,备份可采用定期自动备份和人工手动方式,备份策略可采用增量、完全等形式。Web服务器和数据库服务器要考虑采用高负荷、高容量、高可靠性、高容错性的专用服务器,要有负荷平衡功能,以确保数据安全。   3对江西省水情网络系统的维护与管理的几点建议   网络安全除了对软硬件的安全防护之外,还需要对网络进行维护和管理。现针对江西省水情网络系统,提出如下几点建议:   3.1制定一整套完整的网络安全管理、操作规范   这一点非常重要,俗话说得好“没有规矩,不成方圆”,对于江西省水情网络这个庞大的系统来说,良好的安全管理制度和正确的操作规范是整个水情计算机局域网能安全、稳定运行的一个重要保证。   3.2对存放有重要信息的网络设备和服务器进行物理隔离   对于江西省水情网络中一些存储重要信息或者数据、备份的服务器(工作站)例如江西省水情网络中的用于向防汛决策部门提供水情数据的数据库服务器及向外界水情信息的确飞b服务器等,必须实施物理隔离。即单独将服务器等重要网络设备放置于专门的机房,绝对不允许任何人不经过同意擅自进入、未经网络管理员批准的操作等。   3.3配置网管工作站以及安装网管软件实施对网络的监控   目前江西省水情网络在省局水情中心设置了网管工作站,负责对网络系统进行集中统一管理,它是网络系统正常运行的保障枢纽,通过加强基础网络和应用的管理,以实现全网的统一的集中管理,提高系统运行的可靠性、安全性,很大程度上对优化网络结构、预防和及时排除故障非常重要。所选择的网络管理软件均应具备以下特点:自动发现网络的拓扑结构;提供系统级n人N拓扑结构;进行错误监控和报警等。#p#分页标题#e#   3.4定期培训制度   社会在不断发展、环境在不断变化,我们要积极适应社会和环境的改变,通过接受新观念、学习新知识来不断充实自己。对于计算机这一飞速发展的领域来说,墨守陈规,就意味着落后。   因此,定期对网络管理员进行培训就显得很有必要,这有助于网络管理员应对不断变化和发展的网络环境,增强处理和应付突发故障和事件的能力,以便在最短的时间内采取最有效的防范措施。   对于局域网的普通使用者的培训则不需要像网络管理员那样频繁,但这不代表不需要,这方面的培训工作完全可以由网络管理员主持。   此外,现实告诉我们,在所有的网络安全问题中,有相当一部分网络安全问题来自局域网内部。所以要对员工进行网络安全及相关法规的教育,引导员工正确学习和运用网络技术,促进江西省水情网络的健康发展和应用。