前言:中文期刊网精心挑选了网络安全的方针范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全的方针范文1
关键词:攻击;僵尸;网络
中图分类号:TP311 文献标识码:a DoI: 10.3969/j.issn.1003-6970.2012.02.016
Thoughts on the security defense against the network attack from one college waNG Qi(Network Information Center,Jiangsu Animal Husbandry&Veterinary College,Taizhou 225300 China)
【Abstract】In recent years, the Internet attacks increase in various ways, and their technical innovation is far more rapid developed
than that of the network defense technology. The kinds of Botnet attack data flow bring the network management greater challenges and higher demand. In this paper, we take a targeted attack for a university network for example, record the whole attack process, summarize its attacking principle, present the corresponding measures taken by colleges, and finally we concluded the attacking trend, therefore, we put forward some improvement countermeasures from the stand of user and operators to provide a more stable and high-quality network services.
【Key words】attack; botnet; network
0 引 言
僵尸网络和DDOS攻击是近年来黑客广泛利用的攻击跳板与手段,它们无意识的受控于网络攻击者,向指定目标发送大量的DOS数据包,不仅严重影响被攻击者对互联网的访问与对外服务,还会严重冲击互联网络提供商(ISP)网络的正常运行。本文通过对对去年发生于江苏某高校教育网线路的网络攻击事件进行分析,总结出当前网络攻击的新趋势,并有针对性地从运行商、用户角度提出应对思路,保证互联网的安全。
1 攻击事件背景
众所周知,教育网以其独特的edu域名而为高校所推崇,作为一个公益性质的实验研究网络,它扮演着国内几乎所有高校的网站信息等各类对外应用服务网络支持者的角色,是高校对外一个重要窗口。高校作为一个非商业盈利性单位,理论上应该不存在商业竞争为目的的恶意攻击,但本次攻击时间之长(14天)、攻击手段变化之频繁为20年内江苏省高校界中很罕见的一次记录。
2 攻击过程
2011年6月,江苏省某高校教育网线路遭受网络攻击,造成edu域名的web服务器、邮件服务器、DNS服务器等所有对外应用无法使用。
在6月1日开始,学院网络中心发现系部服务器长时间无响应,因为所有二级院系网站新闻功能及软件代码部署都在该服务器上,所以求助电话很快就反馈过来。
2.1 TCP SYN泛洪攻击
6月1日下午经过抓包分析,服务器受到攻击,攻击流量来自教育网线路。攻击数据采用TCP SYN泛洪冲击服务器,服务器CPU资源迅速被消耗完毕,进入死机状态,所以无法响应正常访问数据请求。技术人员在咨询防火墙厂商后,调整了防火墙处理TCP SYN请求的模式,将TCP SYN网关模式调整为TCP SYN模式中继模式。防火墙收到SYN请求包后,不向服务器转发该请求,而是主动向请求方发送SYN/ACK包,在收到请求方的ACK确认包并判断为正常访问后,才将SYN请求包发送给服务器,完成会话建立。调整后可以基本过滤不可用的恶意连接发往服务器,同时服务器CPU内存高利用率的状况得到缓解。
2.2 海量访问攻击
6月2日上午,攻击者采用了海量访问方式,在防火墙连接数监控中发现访问源IP地址数呈现几何级数增长。虽然每个IP都与服务器完成正常的三次握手协议,但同时递交了相当多的无用查询请求,查询目标为一些并不存在的数据条目或者页面。海量的访问又造成了服务器CPU资源耗尽,无法提供对外服务,攻击包抓包解析如图1。
图1 攻击包解析
针对这种情况,技术人员采取防御策略是更换服务器硬件,将服务器代码从台式机迁移至刀片服务器阵列中,这样使服务器的CPU与内存资源都得到了一定程度的提升。同时,还更改了新服务器IP地址,相应在DNS服务器中更换了域名记录。但数小时后,攻击立刻转向至新更换的IP地址上,仍然造成了服务器失效宕机。当时邀请了天融信、山石网科防火墙厂商在现场协助解决,用不同的防火墙轮流切换使用,并在防火墙上额外加载了IPS入侵防御功能模块,设置访问控制粒度,设定了相对严格的IP访问阀值。最后使用山石网科的M3150识别遏制该种攻击效果较好,能降低服务器部分负载。山石防火墙的粒度控制和安全防护设置界面如图2和3。
2.3 分布式泛洪攻击
2011年6月4日,经过抓包分析,攻击数据转换为TCP 、UDP随机端口方式,也就是分布式拒绝服务攻击,并且把攻击目标扩展到了国示范专题网站及校园门户网站,但不以冲垮服务器为目的。这是一个很致命的问题,虽然防火墙的安全策略拒绝攻击包涌入内网,但攻击包堵塞了防火墙上游的数据带宽。教育网在6月7日,6月8日分别将学院的线路带宽从10Mbit/s紧急升级到35Mbit/s和100Mbit/s,但攻击流量水涨船高。技术人员通过外网交换机统计端口查看瞬时数据后发现,在短短几分钟之内,带宽就消耗殆尽。教育网清华维护中心在与学院沟通后暂时设置了路由黑洞,将210.29.233.0全网段屏蔽。虽然学院的线路带宽利用率立即下降到正常值,但该网段的所有服务应用全部无法被外网访问了,反而达到了骇客攻击的目的。期间曾经尝试部署金盾防御DDOS硬件设备在学院出口处防火墙设备前端,但效果不明显。在沟通后,厂方工程师也认为该类型设备应部署在教育网的江苏高校总出口处才能起到防御效果。同时教育网东南大学地网中心配置了一台小型号的流量清洗设备来过滤学院的数据流,但因为地网中心至北京的互联带宽有限,为了防止骨干通道被攻击数据堵塞,所以不能无限制放宽流量来支援受害院校,所以这样部署后的效果是仅能维持江苏教育网内用户访问受害学院,效果不理想。分布式拒绝服务攻击数据包解析如图4。
图4 分布式DDOS攻击包
2.4 查找攻击源
当时学院按照流程报警,警方力量接入,并与教育网方面开会讨论,布置任务,根据收集到的抓包文件,确认了一个真实攻击僵尸IP地址是镇江某IDC机房的一台服务器,其他的IP地址归属地则是世界各地,可以确认为伪造或无法完成追踪。当天警方到IDC机房将该服务器下线,并将硬盘数据进行备份,分析硬盘中的入侵痕迹顺藤摸瓜寻找上游控制端,但未能发现进一步证据来查询到上游控制端。
2.5 SYN-ACK反射攻击
2011年6月10日下午,经过抓包解析,分布式拒绝服务攻击数据消失了。但网络中出现大量的SYN-ACK数据包,经过详细研究查阅了部分资料后了解到,这是一种间接的反射攻击。受控于上游控制端的大量僵尸机器向各类合法在线用户 发送伪造的以学院IP地址为源地址的SYN请求包,合法用户或服务器误认为该数据由学院的IP地址发出请求访问,根据三次握手原理于是便回复SYN-ACK包来响应请求,间接成了被利用的反射节点,反射攻击的原理如图5。一旦反射节点数量足够多,同样能消耗尽受害者的网络带宽。所幸这种攻击的数据量已经不如先前的规模,未造成带宽耗尽的情况。
图5 反射攻击示意图
2.6 攻击停止
2011年6月14日之后,针对教育网线路的网络攻击完全停止。在攻击后的各方交流中,大家普遍对此次攻击的目的性表示疑惑,因为未曾有相应的经济或政治勒索,所以东南大学的龚教授认为此次攻击是初级网络骇客利用受控的僵尸网络可能性较大。
3 防御方的经验和体会
通过本次事件,作为受害方的学院技术人员,经过反思,也从中总结出一些受害方和运营商方面的可以借鉴的经验教训。
在用户方面:
学院方面没有使用智能DNS解析来实现不同运营商接入用户从不同线路进行访问,并且没有异地服务器节点与部署多播源发现协议MSDP。因为该协议原理是当网络设备接到对服务器的访问请求,则检查距离最近的服务器是否可用,如服务器不可用,选播机制将请求转发给不同地理位置的下一个服务器来相应请求,同时能将DDOS带来的攻击数据自动分配到最接近攻击源的服务器上[1]。经过资料查询,这个方式是百度及谷歌等大型全球性网站进行流量分担的一种策略。由于异地服务器部署的代价较大,受经费及技术力量所限,在短期内无法实现,但仍旧不失为一种优异的防御方式。
目前重要服务器仍旧是单发引擎,没有配置本地负载均衡设备和多机容灾。大部分服务器没有后台与前台隔离,导致到服务后台直接面向网络攻击,一旦收到大量的搜索页面或者数据库请求,则瘫痪无法正常工作。而有前台与编辑后台的机制则优势明显,即使前台服务器瘫痪了,但后台数据和编辑功能仍旧不受影响,能保护核心数据安全不受侵犯。
大部分的服务器未能部署反篡改软件,有许多不安全的的服务或端口开启着,如文件共享TCP135 139,有可上传文件权限的FTP默认用户存在。在内网用户访问服务器时,没有内网防火墙来过滤数据包,只使用了一台三层交换机进扩展ACL进行过滤,服务器代码老化少有维护。鉴于本次事故,受害学院已经邀请测评中心对全域服务器做全方位的第三方安全检测,并出具检测报告并提出相应修复建议。
未注意网络安全的木桶效应,去弥补最薄弱的环节―终端用户。堡垒往往从内部攻破,保护未能从终端做起。众所周知WINDOWS系统漏洞非常多,微软要定期补丁来修复,所以很容易受到入侵。用户计算机安全意识较差,无杀毒软件使用的情况较多,所以造成僵尸机器横行。在本次攻击中抓包发现不少内网机器已经沦为被利用的僵尸机器,成为被利用的工具,所以要在用户终端接入方面设置准入系统,强制性安装杀毒软件及反木马软件。目前主要网络互联节点及出口处未部署IDS或者IPS,没有定期对比数据流变化报告或者安全分析。
防范社会行为学行为泄密,在外来人员较多的情况下,需要注意拓扑结构、数据组成、出口带宽、部门结构、骨干网规模方面的信息保密。
在运营商方:
教育网方面缺乏相应的应对此类危害事故的紧急状态机制,同时由于其自身的科研和公益性等特点,维护人员组成多为大学教授和研究生以及少量兼职工程师,所以服务响应与质量较大型运营商有一定的差距。
分配给最终用户的带宽过于狭小(10Mbit/s),一次小的攻击往往就立竿见影起到破坏效果。
全网没有部署反向路由追踪功能,造成伪造的IP流量横行。因为URPF全面部署后能阻断虚假源IP的攻击,能提供快速定位能力来杜绝伪造源IP地址的数据包在网络中传输,从而阻断部分黑客攻击流量,并对攻击的溯源有很大帮助[2]。
有限能力的流量清洗,仅能实现清洗处下游访问正常,上游数据仍旧被堵塞。江苏高校的出口上联至北京清华维护中心的带宽只有数Gbit/s,所以无法提供更多带宽来支援被攻击的学院。在参考过几篇联通电信技术人员的相关文档论文后,我们也了解到大型运营商防御分布式攻击的思路和原理:提供分布式的清洗中心,针对不同级别的城域网出口部署不同层次的防DDOS设备,可以根据用户请求手动添加被攻击IP进入BGP路由或由设备发现攻击后自动添加路由方式,将有问题的流量引导进入防DDOS设备进行流量清洗后回灌到原有网络中。不同的清洗中心可以互为备份增强清洗效果,如一个10GB清洗能力的中心,在相互交叉支持的情况下甚至可以1TB带宽的用户范围的保护。下图6是引用的清洗流程,源自北京联通防DDOS攻击服务介绍。
图6 运营商流量清洗示意图
4 反思与展望:
随着网关服务器、交换机、防火墙、服务器硬件、操作系统软件更新升级由TCP SYN发起的DDOS攻击看似得到了缓解。但本次针对消耗带宽方式的DDOS攻击最后仍旧是不了了之,目前我们能做的似乎就仅此而已了。即使大型运行商,提供的解决方案或大致思路应该也是用ISP的带宽资源、防御设备去消耗抵御僵尸网络的流量,这也是一个减法问题,如果未来僵尸网络的流量大于ISP能力极限的情况后如何应对,是一个值得研究的问题。
伴随着电信联通光城市计划的推广,现今宽带用户大规模提速,10M、20M甚至100M家庭入户已经成为现实,企业千兆早已不是传说。即使用于GB流速的出口带宽,也禁不住越来越强劲的僵尸网络攻击,所以最后提出的问题已经逐步有了研究的现实基础。正如业内著名的防御DDOS服务商Arbor Networks 公司首席解决方案专家Roland Dobbins在NANOG 的邮件中所说的:“DDoS 攻击只是表象,真正的问题根源是僵尸网络。”而僵尸网络的问题,不是一时半会儿就能彻底解决的[3]。
参考文献
[1] DDOS. 尝试阻止DDOS攻击[J].网络与信息,2011,(04):53. DDOS . Try to stop DDOS Attack [J]. Network and Information,2011,(04):53.
网络安全的方针范文2
关键词:信息化;网络安全;企业;解决方案
0 引言
现代企业信息化网络是基于内部传输网和Internet网络的互联网络,由于公众网络是一个相对开放的平台,网络接入比较复杂,挂接的相关点比较多,网络一旦接入公众网络,对于一些网络安全比较敏感的数据,传输的安全性就比较弱,比较危险。本文将重点分析企业网络系统安全性方面以及业务系统安全性方面存在的问题。
1 企业信息化网络存在的安全隐患
1.1 Windows系统的安全隐患
Windows的安全机制不是外加的,而是建立在操作系统内部的,可以通过一定的系统参数、权限等设置使文件和其他资源免受不良用户的威胁(破坏、非法的编辑等等)。例如设置系统时钟,对用户账号、用户权限及资源权限的合理分配等。
由于Windows系统的复杂性,以及系统的生存周期比较短,系统中存在大量已知和未知的漏洞。一些国际上的安全组织已经公示了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。例如,Windows所采用的存储数据库和加密机制可导致一系列安全隐患:NT把用户信息和加密口令保存于NTRegistry的SAM文件即安全账户管理(securityAccounts Management)数据库中,由于采用的算法的原因,NT口令比较脆弱,容易被破译。能解码SAM数据库并能破解口令的工具有:PWDump和NTCrack。这些工具可以很容易在Internet上得到。黑客可以利用这些工具发现漏洞而破译―个或多个DomainAdministrator帐户的口令,并且对NT域中所有主机进行破坏活动。
1.2 路由和交换设备的安全隐患
路由器是企业网络的核心部件,它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备的目的。
1.3 数据库系统的安全隐患
一般的现代化企业信息系统包含着多套数据库系统。数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发展而不断深化。如何保证和加强数据库系统的安全性和保密性对于企业的正常、安全运行至关重要。
我们将企业数据库系统分成两个部分:一部分是数据库,按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS),它为用户及应用程序提供数据访问,同时对数据库进行管理,维护等多种功能。
数据库系统的安全隐患有如下特点:涉及到信息在不同程度上的安全,即客体具有层次性和多项性;在DBMS中受到保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上,即客体逻辑结构与物理结构的分离;客体之间的信息相关性较大,应该考虑对特殊推理攻击的防范。
2 企业信息化网络安全策略的体系
网络安全策略为网络安全提供管理指导和支持。企业应该制定一套清晰的指导方针,并通过在组织内对网络安全策略的和保持来证明对网络安全的支持与承诺。
2.1 安全策略系列文档结构
(1)最高方针
最高方针,属于纲领性的安全策略主文档,陈述本策略的目的、适用范围、网络安全的管理意图、支持目标以及指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。安全策略的其他部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。
(2)技术规范和标准
技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序应遵守的安全配置和管理技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。它向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
(3)管理制度和规定
管理制度和规定包括各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,必须具有可操作性,而且必须得到有效推行和实施。它向上遵照最高方针,向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。
(4)组织机构和人员职责
安全管理组织机构和人员的安全职责,包括安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工工作时的具体职责依照,此部分必须具有可操作性,而目必须得到有效推行和实施。
(5)用户协议
用户签署的文档和协议,包括安全管理人员、网络和系统管理员安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中遵守安全规定的承诺,也作为违背安全时处罚的依据。
2.2 策略体系的建立
目前的企业普遍缺乏完整的安全策略体系,没有将政府高层对于网络安全的重视体现在正式的、成文的、可操作的策略和规定上。企业应当建立策略体系,制定安全策略系列文档。建议按照上面所描述的策略文档结构,建立起安全策略文档体系。
建议策略编制原则为建立一个统一的、体系完整的企业安全策略体系,内容覆盖企业中的所有网络、部门、人员、地点和分支机构。鉴于企业中的各个机构业务情况和网络现状差别很大,因此在整体的策略框架和体系下,允许各个机构根据各自情况,对策略体系中的管理制度、操作流程、用户协议、组织和人员职责进行细化。但细化后的策略文档必须依照企业统一制定的策略文档中的规定,不允许发生违背和矛盾,其要求的安全程度只能持平或提高,不允许下降。
2.3 策略的有效和执行
安全策略系列文档制定后,必须和有效执行。和执行过程中除了要得到企业高层领导的大力支持和推动外,还必须要有合适的、可行的和推动手段,同时在和执行前对每个本员要进行与其相关部分的充分培训,保证每个人员都了解与其相关部分的内容。必须要注意到这是一个长期、艰苦的工作,需要付出艰苦的努力,而且由于牵扯到企业许多部门和绝大多数人,可能需要改变工作方式和流程,所以推行起 来阻力会相当大;同时安全策略本身存在的缺陷,包括不切实际的、太过复杂和繁琐的、规定有缺欠的情况等,都会导致整体策略难以落实。
3 企业信息化网络安全技术总体解决方案
参考以上所论述的,结合现有网络安全核心技术,本文认为,企业信息化网络总体的安全技术解决方案将围绕着企业信息化网络的物理层、网络层、系统层、应用层和安全服务层搭建整体的解决方案,企业信息化网络建设将着重从边界防护、系统加固、认证授权、数据加密、集中管理五个方面进行,在企业信息化网络中重点部署防火墙、入侵检测、漏洞扫描、网络防病毒、VPN五大子系统,并通过统一的平台进行集中管理,从而实现企业信息化网络安全既定的目标。
3.1 防火墙系统的引入
通过防火墙系统的引入,利用防火墙“边界隔离+访问控制”的功能,实现对进出企业网的访问控制,特别是针对内网服务器资源的访问,进行重点监控,可以提高企业网的网络层面安全。防火墙子系统能够与入侵检测子系统进行联动,当入侵检测系统对网络中的数据包进行细粒度检测,发现异常,并通知防火墙时,防火墙会自动生成安全策略,将访问源阻断在防火墙之外。
3.2 入侵检测子系统的引入
入侵检测系统用于实时检测针对重要网络资源的网络攻击行为,它会对企业网内异常的访问及数据包发出报警,以便企业的网络管理人员及时采取有效的措施,防范重要的信息资产遭到破坏。同时,可在入侵检测探测器与防火墙之间建立互动响应体系,当探测器检测到攻击行为时,向防火墙发出指令,防火墙根据入侵检测系统上报的信息,自动生成动态规则,对发出异常访问及数据包的源地址给予阻断。入侵检测和防火墙相互配合,能够共同提高企业网整体网络层面的安全性,两个系统共同构成了企业网的边界防护体系。
3.3 网络防病毒子系统的引入
防病毒子系统用于实时查杀各种网络病毒,可防范企业网遭到病毒的侵害。企业应在内部部署网关级、服务器级、邮件级,以及个人主机级的病毒防护。从整体上提高系统的容灾能力,提升企业网整体网络层面的安全性。
3.4 漏洞扫描子系统的引入
漏洞扫描子系统能定期分析网络系统存在的安全隐患,把隐患消灭在萌牙状态。针对企业网络中存在众多类型的操作系统、数据库系统,运行着营销系统、财务系统、客户信息系统、人力资源系统等重要的应用,如何确保各类应用系统的稳定和众多信息资产的安全,是企业信息化网络中需要重点关注的问题。通过漏洞扫描子系统对操作系统、数据库、网络设备的扫描,定期提交漏洞及弱点报告,可大大提高企业网整体系统层面的安全性。该系统与病毒防范系统一起构成了企业网的系统加固平台。
3.5 数据加密子系统的引入
通过对企业网重要数据的加密,确保数据在网络中以密文的方式被传递,可以有效防范攻击者通过侦听网络上传输的数据,窃取企业的重要数据,或以此为基础实施进一步的攻击,从而提高了企业网整体应用层面的安全性。
网络安全的方针范文3
【关键词】企业内部网络;安全防范;方案与信息技术
企业内部网络安全防范问题是网络信息安全领域研究的焦点问题,为了促进我国企业安全快速发展,保护企业商业机密及核心技术,本文对企业内部网络安全防范的方案设计及信息技术进行了探讨。
一、信息技术分析
(一)健全信息管理
企业在完善内部网络管理时,对网络安全基础进行保护是主要工作。从设备管理和信息化安全技术管理方面制定安全管理制度,组织信息化管理人员,将内网安全管理制度严格的制定出来,进而有效的保障网络安全,防范安全漏洞。整个网络的安全在一定程度上受管理制度的影响较大,完善安全管理制度可以将网络安全漏洞在一定程度上降低。各个公司根据以往的经验教训及既有的安全风险,应该将一些适合本企业的安全制度和安全策略制定出来,在制度层面作出指导,保障企业的网络安全。
(二)网络分段管控
内部局域网通常是在广播的基础上利用以太网来监测。然而,以太网中每两个节点彼此间的数据通信能够被随意的截取。网络黑客可以在以太网中随意一个节点进行接入,实时侦听,获取全部数据包,之后对数据包进行分解,进而对重要的信息进行窃取。在对网络广播风暴进行控制的时候,网络分段一般被认为是其中的基本方式,然而实际上也是对网络安全给予保证的重要方式。隔离敏感的网络和非法的用户是其目所在,防止可能的非法侦听。逻辑分段和物理分段是网络分段的两种形式,逻辑分段指的是将网络分段应用于路由器上,即对IP进行分段。物理分段指的是对中心交换机的三层交换功能和访问控制功能进行利用,实现局域网的安全控制。
(三)建立主动防御
首先,硬件防火墙。硬件防火墙是在硬件里加入防护程序,由硬件来执行安全防御功能,进而减小CPU负荷,同时保证运转性能的稳定。在两个网路之间加载设备是防火墙程序的特征,也是保障其顺利实现两个网络之间通信监控的依据。
其次,IDS入侵检测系统。这种系统是为了对内网的非法访问进行监测而研制的一项技术,在入侵检测识别库要求的基础上,判断其中的一些非法访问的情况。只需利用监测到的数据监控者,就能够判断网络的安全情况,并对是否制定安全防护给予评估。比较起硬件防火墙,IDS在主动防御技术的基础上进行了更深层次的使用。
再次,主动防御的杀毒软件。在病毒种类日益增多,破坏力愈发强大的背景下,从前固定模式的杀毒软件已经很难完成保护计算机安全的重任。主动防御技术软件就是杀毒软件制造商在这样的背景之下制造出来,但是其中的主动防御知识单纯的针对注册表、恶意脚本和网页进行监测,因此这只能称其为较为初级的主动防御,和真正的主动防御相比还需要不断地进行完善。
二、具体防范方案探讨
(一)设计网络安全防范总体
综合运用企业内部网络,防护漏洞扫描系统和入侵检测系统,可以保障企业内部网络彼此间通信数据的安全可靠。这就迫使我们要参照企业本身的特征,防范内部网络安全,对硬件加密机进行专业化应用部署。这样不但能够确保加密处理企业内部网络中的全部通信数据,而且,对企业内部网络的可靠安全上还能够进行保证。
(二)构建网络安全体系模型
通常来说,企业网络之中的防卫情况,从安全策略方向可分为两个层面:即总体的安全策略和具体的实施规划。将一个组织结构的战略性安全指导方针在总体安全策略中制定出来,并视为实现这个方针分配的必要物力和人力。通常远程访问控制和物理隔离来规划实施。
远程访问控制,第一,识别用户身份。利用识别用户身份的过程确定安全用户身份,对内部网络安全稳定运行给予基本保证。这样可以防止由于客户端不确定的用户数量,而造成不确定和不安全的隐患存其中,从这点上说,识别网络客户端用户的身份很有必要。第二,管理用户授权。在管理用户授权时,需着眼于基础用户身份的认证,操作的时候应该根据通过认证的用户身份执行相应的授权。第三,数据信息保密。数据信息保密工作能否做好是企业内部网络信息安全管理总纲的核心部分,为了保障安全,应在安全的、统一管理的企业内部网络中的进行数据通信,进而确保能够高效的保护企业内部网络的知识产权和核心信息。第四,实时监控审计。在设计实时监控中,我们需要确保实时监控企业内部网络安全,同时构建企业内部网络安全评估报告,为可能出现的网络安全事故提供有效的分析判断依据。
三、结语
进入21世纪以来,信息技术在我国多个领域得到了广泛应用,有效地推动了企业的发展。但是因为一些安全隐患的出现,为企业内部的信息安全带来了较为严重的影响,一些企业单位因为网络信息安全问题带来了经营与发展方面较大的损失。因此,研究设计出有效的网络安全防范方案及信息技术是非常必要的,可以有效促进我国企业安全稳定的生产与发展。
参考文献:
[1]苏向颖,王喃喃.企业内部网络安全防范的方案设计及信息技术[J].信息技术.2013(08).
网络安全的方针范文4
关键词:气象信息网络;安全;病毒
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 06-0101-01
一、引言
气象信息网络已经成为气象业务正常运行的重要组成部分,它是相关人员了解气象政务和天气预报等信息的重要媒体。通过这一媒介,预报人员可通过气象信息网络传输的模式数据等,做出准确的天气预报和气候预测。决策服务人员可根据实际天气情况,气象灾害预警和气候预测等信息。公众气象信息网络的这些信息来安排自己的工作、学习和生活。但随着网络病毒、计算机黑客的不断入侵,互联网的安全性越来越低,我们的气象信息网络正面临日益严重的安全威胁。气象信息网络随时都有可能遭到有意或无意的黑客攻击或者病毒传播。人们是如此地依赖气象信息网络,以至于任何因素网络安全事故都可能造成无法估量的损失和社会影响。维护气象信息网络安全性已经刻不容缓。由于气象网络系统在管理和制度上普遍存在缺陷,一些条件较差的基层台站甚至没有专职计算机网络管理人员。还有一些再基层气象职工计算机水平较低,机房设备较差,这对气象网络的安全极为不利。
二、提高气象信息网络安全的几个途径
(一)加强路由器控制,防止IP地址非法探测
加强路由器控制,防止IP地址非法探测时提高气象信息网络安全的重要步骤之一。有时候非法黑客会采用“IP地址欺骗”的方法来进行网络攻击前的准备。其具体做法是:先假扮成气象信息网络内部的一个IP地址,通过Ping、traeeroute或其他命令探测网络命令来探测网络。一旦发现漏洞,黑客会利用这些漏洞对气象信息网络进行攻击。针这类安全隐患,网络管理人员应该在路由器上建立安全访问控制列表,以防止IP地址非法探测。当建立安全访问控制列表后,可将其放到路由器连接外网接口入口,形成一道控制墙,假如非法访问者频繁地利用Ping、traeeroute或其他网络探测命令攻击主机,可对其进行隔断或阻断处理。
(二)进行端口管理,阻止病毒传播
很多网络病毒利用固定的端口进行黑客攻击和病毒传播。例如,臭名昭著的Blaster蠕虫病毒往往利用TCP 4444端口和UDP 69端口向网络内部的正常主机传播病毒。在气象信息网络安全管理时,加强计算机端口管理可在一定程度上阻碍病毒的传播范围。例如,网络安全管理人员可在路由器的内、外网结构设置ACL,这样当到达路由器时,病毒数据会被路由器的ACL设置过滤。因此,进行端口管理是一种“防患于未然”的安全策略。当发生端口攻击等计算机信息系统安全事故和计算机违法犯罪案件时,网络管理人员应该立即向单位信息安全责任人报告,并采取必要的措施,避免危害扩大,并编写违章报告、运行日志和其他与计算机网络端口攻击有关的安全材料。
(三)提高内网安全级别,实行分级权限制度
气象部门为维护常规气象业务的正常运行,必须实行网络安全级别的安全管理。一般来说,可将气象部门的内部网络按照安全级别分为三个级别:即业务子网级别、办公子网级别和服务器级别,并实行分级权限制度。通过利用三层交换机策略对子网间的相互访问进行权限控制安全级别高的子网可以访问安全级别低的子网,同时禁止低级别的子网访问高级别的子网。当低级别的子网网络感染病毒后,不至于传染至高级别子网,这样可在很大程度上防止和阻断网络间病毒的传播。网络管理人员要执行气象信息网络安全的分级保护技术措施,对计算机信息系统安全运行情况进行检查,及时查处不安全因素,排除安全隐患。
(四)实行网络流量控制,确保业务数据正常通行
通常在气象信息网络没有感染病毒时网络带宽应该能够满足业务数据的正常传输。假如网络中的终端计算机感染了“蠕虫”病毒或一些木马程序后,网络流量会出现异动。有时,网络中会产生海量的数据流量,严重的甚至会将气象信息网络的带宽完全耗尽,并导致业务网络的阻塞或完全瘫痪。由于天气预报、气候预测等正常的气象业务运行需要气象数据及时准确的传输和传达,网络流量耗尽或阻塞将给气象业务的正常运行带来巨大的隐患。因此,为确保常规气象业务数据的准确、及时传输,必须要对一些非业务的数据流量加强管理和限制,防止因为少量终端计算机的不正常而殃及整个网络。气象信息安全的相关人员应根据国家法律法规和有关政策要求,遵循国家“积极防御、综合防范”的方针,确定气象信息安全工作的策略、重点、制度和措施顺利事实。
(五)终端计算机的网络安全管理
计算机终端的安全是是气象信息网络安全的重要组成部分。病毒、恶意软件、木马等电脑病毒以及终端本身的软硬件故障,常常给整个网络带来安全隐患,严重的甚至能导致系统崩溃。因此,对于终端计算机一定要加强网络安全管理。因此要定期或不定期组织终端计算机系统的安全风险评估,检查安全运行情况,并根据评估报告对系统安全措施进行完善与升级,及时排除安全隐患。具体的办法和措施有:进入安全模式,使用杀毒软件、360安全卫士、金山清理专家进行杀毒或者重装系统等。
三、结语
总之,气象信息网络的安全保障工作是一项关系气象业务健康稳定发展的长期任务,要充分认识加强信息安全保障工作的重要性和紧迫性,把信息安全工作列入重要议事日程,明确任务,落实责任,建立并认真落实信息安全责任制。在管理制度方面,要建立健全气象信息安全组织机构、建立健全气象信息网络安全责任体系、建立一整套气象信息网络安全管理和信息安全应急处置等制度,最后,相关部门要宣传贯彻国家信息安全相关法律、法规、规章和有关政策,并组织对气象信息网络管理人员进行信息安全教育建设并完善信息安全保障体系,推动信息安全工作的发展。信息网络安全责任人要正确处理好安全与发展的关系,建立信息安全长效机制,落实信息安全措施,切实履行好信息安全保障责任。
参考文献:
[1]陈晓字,王晓明,孙鹏.浅谈广东省气象局网络安全防护体系的部署[J].广东气象,2004,26(3):41-43
网络安全的方针范文5
关键词:信息系统;网络安全
中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 10-0000-01
Network Security Management of Highway Information System
Yuan Yujun,Li Xianshu
(JingHu Highway,North of Lin Management Office,Linyi276013,China)
Abstract:This paper analyzes the current situation,the importance of network security,combined with the actual highway information system network,analyzes the security vulnerabilities of its existence,and the corresponding solutions.
Keywords:Information system;Network security
随着IT技术的发展,政府、企业和个人越来越多的将政务、商务、经营等活动放到网络上进行,在网络应用越来越普遍、越来越重要的同时,它的安全问题就越发显的重要。据统计,现在全球每20秒就发生一起入侵网络的事件,超过半数的防火墙被攻破,每年因此而造成的经济损失超过80亿美元;在国内,超过76%的网络存在安全隐患,20%存在严重问题,并且有超过70%的网络安全威胁来自内部。与之相适应,网络安全已成为信息安全领域一个非常重要的方面,随着计算机网络的广泛应用,网络安全的重要性也日渐突出,当前国际国内社会,网络安全已经成为国家、国防及国民经济的重要组成部分。
山东省高速公路信息化“十五规划”中明确指出,山东高速公路信息化方针为:“统筹规划、突出重点、互联互通、安全可靠”。因此,在信息系统网络应用的同时,我们必须保证网络的安全,把安全放在比较重要的位置。
一、高速公路信息系统网络特点分析
高速公路以其高效、迅捷、安全的特点,在交通运输中越来越发挥其不可替代的作用。高速公路信息系统的建设,对改变交通管理模式,改进和完善高速公路管理水平,提高科学决策水平和快速反应能力,提高服务水平,改善道路运营环境,实现高效、优质、安全、舒适和道路运营目的,起着重要的推动作用。
截至2009年底,山东省高速公路信息系统(通信、监控、收费三大系统)已建成4300余公里,实现了收费站-分中心-中心-总中心四级联网,在全省高速公路已实现收费联网“一卡通”。信息系统中通信网实现了语音、数据和图像等业务功能,满足了收费网、监控网等的带宽要求,传输模式以及远程监控等要求;通过对多种外场设备控制,可对交通流量、气象情况、道路运行情况等信息进行采集和图像监视,实现了对整个路网全程、实时监控,生成并显示各种报表等功能;收费网实现了全省高速公路“一票直达”、全省统一收费,并按路段合理准确的进行结算和账务分割及对特殊收费情况进行监督管理的功能。而且,高速公路信息管理系统的三级管理体制(总中心、中心、分中心)已建立运行并在逐步完善。
综合以上,高速公路信息系统的网络具有以下特点:信息系统网络对我们的高速公路信息化建设事业至关重要;高速公路信息系统点多线长面广,管理体制和层次较复杂;随着高速公路建设的不断进行,信息系统的网络也将随之不断扩大。
二、高速公路信息系统网络安全隐患
目前,高速公路信息系统网络主要存在以下安全隐患:
(一)网络安全意识尚未深入人心,职工网络安全意识有待加强。
(二)信息系统点多线长,各路段信息系统由不同管理处,不同的部门负责,很难做到协调一致,统一部署;信息系统网络安全相关的规章制度尚未建立健全,相关的应急预案、方案尚未出台;对网络安全的检查考核工作尚未开展。
(三)黑客技术日益公开化、职业化,各种攻击日益频繁,病毒日益泛滥,重大网络安全事故日益增多,网络安全事件日益啬;与此相对应的是:高速公路信息系统(通信、监控、收费)尚未应用必要的网络安全设备、尚未采用一定的网络安全措施。
(四)现有计算机操作系统已发现2000多个漏洞,而且每一个漏洞均有可能被黑客利用,对计算机、信息系统网络造成重大的危害。
(五)对防范内部员工的误操作或恶意攻击没有很好的办法。
三、切实加强网络安全建设
结合高速公路信息系统网络的特点,为加强山东高速网络安全建设,应当坚持以管理为基础,以制度为保障,以技术为实现手段的中心思想,并注重以下几个方面:
(一)加强网络安全教育,培养员工的网络安全意识,使每个员工都认识到网络安全的重要性,并且能够掌握必要的网络安全防范知识。网络安全工作不能单靠网络安全设备或个别的网络管理售货员,而是需要单位领导高度重视、全体员工共同努力,才能够切实保证信息系统网络的安全。
(二)建立专门负责信息系统网络安全的机构,统一指挥、协调一致,并明确各相关部门的网络安全责任和义务,做到网络安全各相关部门权责分明。
(三)对全体员工进行网络安全培训,全面提高职工的计算机水平及网络安全防护能力。
网络安全的方针范文6
硬件技术因素,在一些发展缓慢的高校中,计算机网络设备陈旧、财政拮据与限制以及其他原因致使网络设备更新缓慢,从而导致网络运行的稳定性及兼容性差,支持其运行的服务器、路由器、交换机负荷过大,容易出现故障,造成设备损坏。
人为因素,因为管理人员工作的关系,对系统本身比较熟悉,如果出现问题将会导致非常严重的后果。而对于读者来说,由于对网络的好奇,会让他们对网络研究产生强烈欲望,也因此会在一部分学生读者中产生用所学的技术对网络进行攻击的行为,并导致网络出现瘫痪等情况,从而对数字图书馆的信息安全产生威胁。
高校数字图书馆的网络安全管理策略
1.网络硬件及系统的使用与维护(1)硬件维护:网络服务器系统的硬件维护与维修是强化管理数字图书馆网络安全硬件技术的关键。我们应注意在日常工作中对设备进行养护,如机房,服务器,交换机,集线器等设备,建立定期检查,维护、维修制度,对具体管理和使用各种设备的工作人员实行责任分工,建立维护文档跟踪机制,以确保网络安全管理系统的顺利运行。(2)运行环境在定期保养工作中,注意设备要拥有健康的内部环境和良好的外部环境,在一定程度上环境可影响硬件设备的运行效果,保持空气和温度环境,往往可使电源电压稳定,减少设备意外断电。定期清洁环境,尽可能保持密闭,以避免灰尘堆积过多,根据天气变化,要做到及时除潮。(3)系统备份数字图书馆应具备相应的备份系统,以便在出现系统瘫痪时能够及时的恢复硬盘数据,以确保系统网络的正常运作。杀毒软件及系统补丁应及时更新,并对更新时间进行设置,已使系统到达最佳状态。定期对系统备份及设置进行检查,发现损坏应及时更换。
2.系统软件的维护与使用(1)系统软件的使用与设置操作系统作为用户与计算机的接口软件,控制用户对网络和数据的访问,但无论是Windows或Unix或Linux都会给病毒和黑客攻击留有机会,所以应每周固定在服务器上查杀病毒,并对杀毒软件进行病毒库更新和系统升级,及时填补安全漏洞,维护应用系统提供的数据,建立一个独立的安全认证系统,在管理过程中使用数据加密技术,并制定严格的规定,例如:账号,密码和访问控制方法。同时,尽量避免一般用户对操作系统的安全认证,以确保在操作系统不安全的条件下,最大限度地提高数据的安全,保证数据库系统不会受到损坏。(2)应用程序的选择应用程序是客户使用的一部分,操作系统为扩大应用领域,在使用过程中,也增加了网络安全风险,选择应用软件,应该选正版软件,尤其是基层的计算机应用软件,以达到网络安全需要,应对机房制定严格的使用规章制度,避免误入病毒和木马,而影响整个数字图书馆网络系统的使用。
3.设立安全防范机制以处理紧急情况数字图书馆系统更容易发生意想不到的情况:第一,自然灾害,如地震、洪水等不可抗力;第二,事故灾害,是指停电,设备故障造成的网络和系统损害;第三,破坏,是指网络设备和设施、黑客攻击和其他原因造成的系统及硬件破坏,导致不能正常运行。
