前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)的安全管理主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:電力系統(tǒng);網(wǎng)絡(luò)安全技術(shù);網(wǎng)絡(luò)安全管理
中圖分類號(hào):C93文獻(xiàn)標(biāo)識(shí)碼: A
引言
目前電力系統(tǒng)改革在不斷的深入,已經(jīng)由原來(lái)的工業(yè)體制轉(zhuǎn)變?yōu)槭袌?chǎng)方向,隨著網(wǎng)絡(luò)信息系統(tǒng)的建立,電力企業(yè)的管理水平和生產(chǎn)效率得到了大幅提升。但隨著網(wǎng)絡(luò)科技的不斷更新?lián)Q代,網(wǎng)絡(luò)信息安全問(wèn)題已經(jīng)越來(lái)越引起人們的關(guān)注,如何將網(wǎng)絡(luò)信息技術(shù)更好的利用,如何更好地利用網(wǎng)絡(luò)信息技術(shù)服務(wù)于電力企業(yè),已經(jīng)成為目前所亟待解決的問(wèn)題。
一、電力系統(tǒng)信息網(wǎng)絡(luò)安全存在的問(wèn)題
1.缺乏完善的制度建設(shè)和信息化結(jié)構(gòu)
在電力公司中,并沒(méi)有充分意識(shí)到信息部門(mén)的重要性,有些電力部門(mén)甚至沒(méi)有配備專門(mén)的機(jī)構(gòu),崗位和制度也沒(méi)有規(guī)范的建立和執(zhí)行。由于很多是在生產(chǎn)技術(shù)部門(mén)下,附屬著信息部門(mén),有的僅僅是設(shè)置一個(gè)信息化負(fù)責(zé)人員,造成了信息化結(jié)構(gòu)和制度建設(shè)的不健全。作為一項(xiàng)系統(tǒng)工程,信息化建設(shè)必須由各個(gè)部門(mén)的協(xié)調(diào)配合,通過(guò)專門(mén)的信息化結(jié)構(gòu)來(lái)推動(dòng),以適應(yīng)新形式下的需求。
2.電力企業(yè)的網(wǎng)絡(luò)信息安全存在許多風(fēng)險(xiǎn)
2.1是網(wǎng)絡(luò)安全結(jié)構(gòu)不合理,這種現(xiàn)象主要表現(xiàn)為核心交換系統(tǒng)安排不合理,沒(méi)有對(duì)網(wǎng)絡(luò)用戶進(jìn)行分級(jí)處理,致使所有的用戶對(duì)信息的處理地位都是相同的,即任何人都能對(duì)網(wǎng)絡(luò)安全造成影響;
2.2是來(lái)自互聯(lián)網(wǎng)的威脅,目前,大部分的電力企業(yè)的網(wǎng)絡(luò)都與互聯(lián)網(wǎng)連接,這樣在方便企業(yè)內(nèi)部員工進(jìn)行信息瀏覽的同時(shí),互聯(lián)網(wǎng)上的所有用戶都能訪問(wèn),給電力企業(yè)的網(wǎng)絡(luò)信息安全帶來(lái)了很大的潛在威脅;
2.3是來(lái)自與企業(yè)內(nèi)部的影響,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在電力企業(yè)中的廣泛應(yīng)用,導(dǎo)致了越來(lái)越多的企業(yè)內(nèi)部重要數(shù)據(jù)在網(wǎng)絡(luò)上傳輸,這樣為非法用戶竊取企業(yè)信息提供了便利,造成企業(yè)內(nèi)部信息混亂,破壞企業(yè)的正常經(jīng)營(yíng)秩序。
3.網(wǎng)絡(luò)病毒的威脅
隨著自動(dòng)化技術(shù)的發(fā)展,要求在調(diào)通中心、變電站、用戶等之間進(jìn)行的數(shù)據(jù)交換也越來(lái)越頻繁,對(duì)電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)格要求。而另一方面,隨著計(jì)算機(jī)普及,病毒和黑客也日益猖獗。在電力二次系統(tǒng)安全防護(hù)體系不健全的情況下,來(lái)自外部有組織的團(tuán)體、擁有豐富資源的威脅源發(fā)起的惡意攻擊,攻破電力系統(tǒng)二次安全防護(hù)網(wǎng)絡(luò),導(dǎo)致電力一次系統(tǒng)事故或大面積停電事故。
4.管理人員技術(shù)水平低
電力企業(yè)作為重要的工業(yè)企業(yè),其“重建設(shè),輕管理”的思想是非常明顯的。安全管理體制不合理,導(dǎo)致企業(yè)疏于對(duì)管理人員的技術(shù)培養(yǎng),最終導(dǎo)致管理人員的技術(shù)水平低下,即使網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題,也不能及時(shí)修理。
5.電力企業(yè)的安全意識(shí)不強(qiáng)
電力企業(yè)通常重視的是網(wǎng)絡(luò)的利用效率,在利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行工作學(xué)習(xí)的時(shí)候,只關(guān)注其運(yùn)行的效率,疏于對(duì)其信息的安全性的保護(hù)管理,并且沒(méi)有投入專項(xiàng)的資金和管理人員對(duì)網(wǎng)絡(luò)信息安全進(jìn)行定期的維護(hù),甚至即使出現(xiàn)問(wèn)題,也懶得去理,這樣就導(dǎo)致了網(wǎng)絡(luò)信息系統(tǒng)的安全性一直處于被動(dòng)的隱患狀態(tài)。
二、電力系統(tǒng)信息網(wǎng)絡(luò)安全技術(shù)應(yīng)用策略
1.防病毒侵入技術(shù)
防病毒侵入系統(tǒng)能夠有效地阻止病毒的進(jìn)入,進(jìn)而有效地防止病毒對(duì)電力系統(tǒng)的信息進(jìn)行破壞。這種措施通常是在電腦上下載安全的殺毒軟件,還應(yīng)該安裝服務(wù)器,對(duì)防病毒系統(tǒng)進(jìn)行定期的維護(hù),保證其能夠有效正常地運(yùn)行。此外,在網(wǎng)關(guān)出還應(yīng)該安裝相應(yīng)的網(wǎng)關(guān)防病毒系統(tǒng)。也就是說(shuō),通過(guò)在電力系統(tǒng)的所有信息系統(tǒng)中安裝全面防護(hù)的防病毒軟件,對(duì)各個(gè)環(huán)節(jié)進(jìn)行防毒處理,并創(chuàng)建合理的管理體制,以起到對(duì)計(jì)算機(jī)可能出現(xiàn)的病毒侵入進(jìn)行預(yù)防、監(jiān)測(cè)和治理,同時(shí)還應(yīng)該及時(shí)對(duì)防病毒系統(tǒng)進(jìn)行定時(shí)的升級(jí)。通過(guò)上述的所有手段,這樣才能有效地對(duì)即將侵入信息管理系統(tǒng)的病毒進(jìn)行處理。
2.防火墻技術(shù)
防火墻原意是指建筑物里用來(lái)防止火災(zāi)蔓延的隔離墻,在這里引申為保護(hù)內(nèi)部網(wǎng)絡(luò)安全的一道防護(hù)墻。防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,實(shí)際上是一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的系統(tǒng),它邏輯上處于內(nèi)部網(wǎng)和外部網(wǎng)之間并由一組保證內(nèi)部網(wǎng)正常安全運(yùn)行的軟硬件有機(jī)的組成,包括硬件和軟件,目的是保護(hù)網(wǎng)絡(luò)不被可疑的人侵?jǐn)_。其最基本的構(gòu)建是構(gòu)造防火墻的人的思想。它提供可控的網(wǎng)絡(luò)通信,只允許授權(quán)的通訊。本質(zhì)上,它是一種訪問(wèn)控制技術(shù),也就是提供可控的過(guò)濾網(wǎng)絡(luò)通信,控制進(jìn)出兩個(gè)方向的通信并且只允許授權(quán)的通訊。防火墻在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò),以阻檔外部網(wǎng)絡(luò)的侵入。它用來(lái)防止外部網(wǎng)上的各類危險(xiǎn)傳播到某個(gè)受保護(hù)網(wǎng)內(nèi)。保護(hù)安全網(wǎng)絡(luò)免受來(lái)自不安全網(wǎng)絡(luò)的入侵。
防火墻是一組由路由器、主機(jī)和軟件等構(gòu)成的有機(jī)組合,它是一種保護(hù)裝置,用來(lái)保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和用戶的秘密。一個(gè)典型的防火墻由包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)(或服務(wù)器)、電路層網(wǎng)關(guān)等構(gòu)成。如圖1.
圖1.典型防火墻網(wǎng)絡(luò)構(gòu)成圖
3.身份認(rèn)證技術(shù)
身份認(rèn)證是指用戶必須提供它是誰(shuí)的證明,是與密碼技術(shù)密不可分的。它是網(wǎng)絡(luò)安全的重要實(shí)現(xiàn)機(jī)制之一。在安全的網(wǎng)絡(luò)通信中,涉及各方必須通過(guò)某種形式的身份認(rèn)證機(jī)制來(lái)證明他們的身份,驗(yàn)證用戶的身份與所宣稱的是否一致,然后才能實(shí)現(xiàn)對(duì)不同用戶的訪問(wèn)控制和記錄。身份認(rèn)證技術(shù)是為主機(jī)或最終用戶建立身份的主要技術(shù)。在網(wǎng)絡(luò)中為了確保安全,必須使特定的網(wǎng)絡(luò)資源授權(quán)給特定的用戶使用,同時(shí)使得非法用戶無(wú)法訪問(wèn)高于其權(quán)限相關(guān)網(wǎng)絡(luò)資源。
在實(shí)際認(rèn)證過(guò)程中可采取如口令、密鑰、智能卡或指紋等方法來(lái)驗(yàn)證主體的身份。在廣義的網(wǎng)絡(luò)普遍采取CA(CertificateAuthority)即證書(shū)授權(quán)的意思。在網(wǎng)絡(luò)中,所有客戶的證書(shū)都是由證書(shū)授權(quán)中心即CA中心分發(fā)并簽名,該證書(shū)內(nèi)含公開(kāi)密鑰,每一個(gè)客戶都擁有一個(gè)屬于自個(gè)的私密密鑰并對(duì)應(yīng)于證書(shū),同時(shí)公開(kāi)密鑰加密信息必須用對(duì)應(yīng)的私密密鑰來(lái)解密。數(shù)字簽名是公開(kāi)密鑰加密技術(shù)的一類應(yīng)用。
如今,隨著電力企業(yè)信息網(wǎng)絡(luò)的發(fā)展,在電力營(yíng)銷、物質(zhì)采購(gòu)、客戶服務(wù)等領(lǐng)域,電力電子商務(wù)得到了迅速發(fā)展,并越來(lái)越成為電力企業(yè)信息網(wǎng)絡(luò)將來(lái)發(fā)展得趨勢(shì)。而網(wǎng)上交易的安全性是當(dāng)前發(fā)展電子商務(wù)的關(guān)鍵,在網(wǎng)上電子交易中,數(shù)字證書(shū)就將成為參與網(wǎng)上交易活動(dòng)的各方的“身份證”,每次交易時(shí),都要通過(guò)數(shù)字證書(shū)對(duì)各方的身份進(jìn)行驗(yàn)證,因此研究身份認(rèn)證技術(shù)對(duì)電力電子商務(wù)的安全就顯得很有意義了。
4.虛擬局域網(wǎng)網(wǎng)絡(luò)安全技術(shù)
擬局域網(wǎng)技術(shù)簡(jiǎn)稱VLAN技術(shù),VLAN 技術(shù)是將相關(guān)的 LAN 合理的分成幾個(gè)不同的區(qū)域,促使每一個(gè) VLAN 都能夠滿足計(jì)算機(jī)的工作要求。由于LAN 的屬性決定其在邏輯上的物理劃分必須在不同的區(qū)域哈桑,在每一個(gè)工作站上都有特定的LAN網(wǎng)段,每一個(gè)VLAN中的信息都不能和其他的 VLAN 上的信息進(jìn)行交換,這種技術(shù)能夠有效地控制信息的流動(dòng),并且有助于網(wǎng)絡(luò)控制的簡(jiǎn)單化,從而提高網(wǎng)絡(luò)信息的安全性。
5.信息備份技術(shù)
電力系統(tǒng)的所有信息在進(jìn)行傳輸之前,都應(yīng)該進(jìn)行備份,并且備份也要按等級(jí)進(jìn)行,根據(jù)數(shù)據(jù)的重要程度,對(duì)信息進(jìn)行分級(jí)備份,將這些備份信息進(jìn)行統(tǒng)一管理,并且還應(yīng)該定期的對(duì)備份的信息進(jìn)行檢查,以確保其可用性和準(zhǔn)確性,以此防止當(dāng)電力系統(tǒng)信息出現(xiàn)故障的時(shí)候,因?yàn)閿?shù)據(jù)丟失造成嚴(yán)重的損失。
結(jié)束語(yǔ)
對(duì)于電力行業(yè)來(lái)講,電力系統(tǒng)信息網(wǎng)絡(luò)安全占據(jù)著重要的地位,有各種各樣的因素會(huì)影響到電力系統(tǒng)信息網(wǎng)絡(luò)安全,所以加強(qiáng)信息網(wǎng)絡(luò)安全工作就顯得至關(guān)重要。不斷發(fā)展的計(jì)算機(jī)技術(shù),為電力系統(tǒng)信息網(wǎng)絡(luò)安全提供了必要的技術(shù)保障和支撐,因此我們應(yīng)該將各種技術(shù)充分利用起來(lái),為電力網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行營(yíng)造一個(gè)安全的環(huán)境,確保電力的正常供應(yīng),為社會(huì)經(jīng)濟(jì)的發(fā)展提供強(qiáng)有力的技術(shù)支撐。
參考文獻(xiàn):
[1]馬進(jìn).加載隱私保護(hù)的網(wǎng)絡(luò)安全綜合管理關(guān)鍵技術(shù)研究[D].上海交通大學(xué),2012.
[2]張彤.電力可信網(wǎng)絡(luò)體系及關(guān)鍵技術(shù)的研究[D].華北電力大學(xué),2013.
[3]高瞻.網(wǎng)格環(huán)境下的校園網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué),2013.
[4]徐.高校網(wǎng)絡(luò)安全存在的問(wèn)題與對(duì)策研究[D].燕山大學(xué),2012.
關(guān)鍵詞:動(dòng)態(tài)自治;網(wǎng)絡(luò);安全管理
中圖分類號(hào):TP309.5文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2012) 06-0000-02
在當(dāng)前的網(wǎng)絡(luò)安全管理架構(gòu)的現(xiàn)狀背景下。相應(yīng)的安全管理體系需要可以從管理的層面出發(fā)來(lái)代表信息系統(tǒng)安全的一種動(dòng)態(tài)模型。目前,已有的方法雖然通過(guò)一定的網(wǎng)絡(luò)安全策略在某種程度上解決了網(wǎng)絡(luò)安全的防御問(wèn)題,不過(guò)在此基礎(chǔ)上,其還是太過(guò)于趨向依賴同一種安全產(chǎn)品。在本文中,詳細(xì)闡述了一種新的網(wǎng)絡(luò)安全管理架構(gòu),即創(chuàng)建于動(dòng)態(tài)自治的一種網(wǎng)絡(luò)安全管理架構(gòu)。在這個(gè)網(wǎng)絡(luò)中包含了一種滿足于整個(gè)網(wǎng)絡(luò)安全要求的同時(shí)動(dòng)態(tài)可變的區(qū)域網(wǎng)絡(luò)。具體地說(shuō),這種動(dòng)態(tài)自治網(wǎng)絡(luò)也是通過(guò)了一種接入機(jī)制的管理系統(tǒng),在此基礎(chǔ)上,構(gòu)成了一種可控的網(wǎng)絡(luò)整體。以下將此網(wǎng)絡(luò)簡(jiǎn)稱為DASN網(wǎng)絡(luò)。
一、動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)
本文討論的動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)從以下幾個(gè)方面考慮網(wǎng)絡(luò)防御的能力:
(1)從全局角度分析并評(píng)估網(wǎng)絡(luò)安全狀況,整合現(xiàn)有的網(wǎng)絡(luò)安全方面的某些資源,同事通過(guò)特定的策略使其能夠自動(dòng)地來(lái)完成相關(guān)設(shè)施的部署與響應(yīng)。
(2)通過(guò)實(shí)現(xiàn)網(wǎng)絡(luò)安全管理的高度自治,保證相應(yīng)的DASN網(wǎng)絡(luò)應(yīng)具有的信息安全。同時(shí)引入動(dòng)態(tài)接入控制實(shí)現(xiàn)相應(yīng)安全節(jié)點(diǎn)的控制。
(3)通過(guò)一定的接入控制策略,動(dòng)態(tài)構(gòu)建網(wǎng)絡(luò)上的管理區(qū)域,實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)管理的擴(kuò)展,同時(shí)通過(guò)接入的方式確保區(qū)域安全。
二、DASN網(wǎng)絡(luò)中安全管理
本文著重于實(shí)現(xiàn)DASN網(wǎng)絡(luò)的安全管理,并在一定的基礎(chǔ)條件之下,建立相應(yīng)的安全管理系統(tǒng),文章同時(shí)提出了DASN網(wǎng)絡(luò)安全事件管理模型。其由包括四大模塊:
(1)網(wǎng)絡(luò)數(shù)據(jù)收集:此模塊對(duì)網(wǎng)絡(luò)中一些基本的信息進(jìn)行數(shù)據(jù)資源的采集,重點(diǎn)進(jìn)行原始數(shù)據(jù)的收集,其中包括事件日志與安全日志等內(nèi)容。在實(shí)際情況中,此模塊的日常運(yùn)行一般由進(jìn)行運(yùn)行。
(2)網(wǎng)絡(luò)數(shù)據(jù)的標(biāo)準(zhǔn)化整合:網(wǎng)絡(luò)中的數(shù)據(jù)收集是網(wǎng)絡(luò)安全中的重要環(huán)節(jié)。如果按現(xiàn)有的情況,從網(wǎng)絡(luò)中整理出來(lái)的數(shù)據(jù)不夠整齊,而且信息源的格式也存在著很多不同的地方,這就給系統(tǒng)檢測(cè)帶來(lái)很多的不便利。文中利用已有的資源共享同時(shí)通過(guò)一定的標(biāo)準(zhǔn)化和整合來(lái)對(duì)這類問(wèn)題進(jìn)行處理。這個(gè)模塊在提前設(shè)定好的數(shù)據(jù)格式的基礎(chǔ)上,將已有進(jìn)行數(shù)據(jù)的整合并格式化,在此之后對(duì)標(biāo)準(zhǔn)化后的數(shù)據(jù)進(jìn)行過(guò)濾,并進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的冗余處理,同時(shí)依據(jù)一定的分類規(guī)則歸類數(shù)據(jù)。
(3)事件情景的分析:這個(gè)模塊在前期整合的過(guò)程中,僅僅去除了冗余并規(guī)范了數(shù)據(jù),而這些數(shù)據(jù)對(duì)于系統(tǒng)來(lái)說(shuō)還是初始數(shù)據(jù),因此我們還要根據(jù)所在的網(wǎng)絡(luò)環(huán)境及事件狀況來(lái)對(duì)核心事件數(shù)據(jù)進(jìn)行分析。在事件發(fā)生后,將整理后的數(shù)據(jù)映射到系統(tǒng)中上,通過(guò)對(duì)行為數(shù)據(jù)的進(jìn)一步細(xì)化,對(duì)事件是否安全進(jìn)行監(jiān)控與行為分析,最后確定事件性質(zhì)與位置。
(4)數(shù)據(jù)量化輸出:在整個(gè)網(wǎng)絡(luò)環(huán)境中,對(duì)經(jīng)過(guò)分析后的事件進(jìn)行進(jìn)一步的量化,與此同時(shí),對(duì)其可能的發(fā)展態(tài)勢(shì)及影響進(jìn)行預(yù)測(cè)。一般的分析結(jié)果可以有信息類、警告類、嚴(yán)重類等三種。對(duì)于較高級(jí)別的警告,要根據(jù)評(píng)測(cè)結(jié)果與之前設(shè)定的值進(jìn)行操作。
三、DASN動(dòng)態(tài)接入網(wǎng)絡(luò)的實(shí)現(xiàn)
DASN網(wǎng)絡(luò)的安全管理在內(nèi)容上,主要是強(qiáng)調(diào)網(wǎng)絡(luò)中的數(shù)據(jù)資源的整合管理。諸如網(wǎng)絡(luò)安全節(jié)點(diǎn)的接入以及網(wǎng)絡(luò)信息的一般性保護(hù)。在網(wǎng)絡(luò)中的架構(gòu)進(jìn)行運(yùn)轉(zhuǎn)的過(guò)程中,我們需要從各個(gè)不同的角度對(duì)DASN網(wǎng)絡(luò)具體的動(dòng)態(tài)接入過(guò)程進(jìn)行展示,在此基礎(chǔ)上構(gòu)建較為完整的網(wǎng)絡(luò)安全模型。本文采取了隔離節(jié)點(diǎn)設(shè)備或不完全權(quán)限的賦予等形式,對(duì)網(wǎng)絡(luò)中的相關(guān)設(shè)施配置應(yīng)用了相對(duì)于DASN網(wǎng)絡(luò)的配置策略。而網(wǎng)絡(luò)安全控制也會(huì)同時(shí)識(shí)別未接入的節(jié)點(diǎn)操作的合法性與安全狀況,進(jìn)而最大程度地降低非法節(jié)點(diǎn)的接入所可能帶來(lái)的安全威脅。與此同時(shí),相關(guān)節(jié)點(diǎn)不同的安全等級(jí)也決定了驗(yàn)證的策略也不一樣。因此, 在節(jié)點(diǎn)接入時(shí)不僅需要用戶的認(rèn)證以及相關(guān)的安全認(rèn)證,還應(yīng)該應(yīng)用特定的控制訪問(wèn)安全的軟件,同時(shí)需要傳輸?shù)臄?shù)據(jù)進(jìn)一步進(jìn)行加密處理。針對(duì)DASN中諸多網(wǎng)絡(luò)對(duì)象各不相同的特征,本文中的模型將其分為設(shè)備、網(wǎng)關(guān)及終端等模式,而這些又進(jìn)一步被統(tǒng)一稱為網(wǎng)絡(luò)管理的安全性。與此對(duì)應(yīng)的是DASN網(wǎng)絡(luò)的網(wǎng)絡(luò)接入工作。其具體是由網(wǎng)絡(luò)終端、網(wǎng)絡(luò)安全管理中心進(jìn)行具體的操作。作為網(wǎng)絡(luò)中的子系統(tǒng)的管理服務(wù)器會(huì)也從供應(yīng)商服務(wù)器提供的信息中更新自身網(wǎng)絡(luò)安全性的相關(guān)信息,在自身網(wǎng)絡(luò)的安全信息更新后,本模型根據(jù)得到的更新信息以及最新的網(wǎng)絡(luò)安全工具的信息,對(duì)自身的系統(tǒng)在安全節(jié)點(diǎn)安全狀況的方面進(jìn)行新的更新與評(píng)估。在此基礎(chǔ)上,系統(tǒng)再對(duì)其已經(jīng)確定的安全缺陷做出迅速的反應(yīng),這樣就能大大地提高自網(wǎng)絡(luò)系統(tǒng)自身保障安全性方面的能力。對(duì)于DASN網(wǎng)絡(luò)的安全補(bǔ)丁管理,本文的模型可以包括安全補(bǔ)丁自檢測(cè)、補(bǔ)丁分發(fā)、補(bǔ)丁庫(kù)自動(dòng)更新維護(hù)等機(jī)制。
四、基于自治安全策略的DASN網(wǎng)絡(luò)模型
DASN網(wǎng)絡(luò)中的自治安全策略模型用于保證其網(wǎng)絡(luò)的安全節(jié)點(diǎn),能夠在其動(dòng)態(tài)接入相關(guān)網(wǎng)絡(luò)的過(guò)程中,保證所使用的策略的完整與安全。通過(guò)這種方式,規(guī)避在節(jié)點(diǎn)的接入過(guò)程中可能帶來(lái)的風(fēng)險(xiǎn),這樣也有利于保證DASN網(wǎng)絡(luò)策略的動(dòng)態(tài)自治,進(jìn)一步確保其安全可靠。本文建立的模擬DASN網(wǎng)絡(luò)是一個(gè)動(dòng)態(tài)的網(wǎng)絡(luò),此網(wǎng)絡(luò)是多種不同的網(wǎng)絡(luò)產(chǎn)品,通過(guò)一系列的內(nèi)部協(xié)議構(gòu)成的虛擬網(wǎng)絡(luò)環(huán)境。盡管如此,其自身的安全的策略管理,以及網(wǎng)絡(luò)安全分析等也要實(shí)現(xiàn)統(tǒng)一管理。同時(shí),從全局角度,能夠使得此網(wǎng)絡(luò)按照一定的策略自治進(jìn)行工作。這里面所說(shuō)的自治的概念,就意味著DASN網(wǎng)絡(luò)中,相關(guān)的安全節(jié)點(diǎn)可以實(shí)現(xiàn)統(tǒng)一安全策略配置,同時(shí)具有一致的響應(yīng)與應(yīng)急方案。經(jīng)過(guò)一系列的統(tǒng)一流程,最后能夠使系統(tǒng)的安全策略可以進(jìn)行統(tǒng)一配置、統(tǒng)一分發(fā)管理與安全配置。在此基礎(chǔ)上,能夠使DASN網(wǎng)絡(luò)可以集中管理網(wǎng)絡(luò)中安全設(shè)備和系統(tǒng)。與此同時(shí),在DASN網(wǎng)絡(luò)的安全管理平臺(tái)中,配置網(wǎng)絡(luò)內(nèi)的相關(guān)安全節(jié)點(diǎn)參數(shù),以便使自身網(wǎng)絡(luò)達(dá)到動(dòng)態(tài)的配置與更新。另外,在DASN網(wǎng)絡(luò)中,應(yīng)急響應(yīng)流程應(yīng)該具有高度一致性,這種一致性指的是DASN網(wǎng)絡(luò)中的安全事故處理流程的一致,而其相應(yīng)的管理也應(yīng)確保所涉及的事件可以得到及時(shí)地處理。
基于自治安全策略的DASN網(wǎng)絡(luò)模型需滿足以下三個(gè)方面的要求:首先應(yīng)具備高擴(kuò)展性,網(wǎng)絡(luò)架構(gòu)能夠?qū)Ω鞣N安全設(shè)備進(jìn)行統(tǒng)一管理。對(duì)最新的安全技術(shù)應(yīng)保留相應(yīng)的擴(kuò)展接口。這樣的設(shè)計(jì),能夠有利于自身利用上市場(chǎng)上最新的安全設(shè)備,進(jìn)一步保證其實(shí)時(shí)性。其次是網(wǎng)絡(luò)的高可控性,DASN網(wǎng)絡(luò)架構(gòu)可以對(duì)其應(yīng)用范圍內(nèi)的設(shè)備進(jìn)行統(tǒng)一配置,同時(shí)具有信息收集的能力,DASN的網(wǎng)絡(luò)中安全設(shè)備在運(yùn)行過(guò)程中產(chǎn)生一系列的配置信息及系統(tǒng)安全信息等數(shù)據(jù),因此DASN網(wǎng)絡(luò)架構(gòu)應(yīng)具有收集這些信息的能力,這樣就能方便用戶在整體地掌握系統(tǒng)的安全狀況。最后DASN網(wǎng)絡(luò)應(yīng)擁有良好的互操作性,DASN網(wǎng)絡(luò)應(yīng)在其應(yīng)用的范圍內(nèi),實(shí)現(xiàn)相關(guān)設(shè)備的安全和規(guī)則的綜合配置。系統(tǒng)將其自治的安全策略模型分成狀態(tài)監(jiān)控、系統(tǒng)管理、策略管理等部分。其中策略管理框架以及系統(tǒng)資源管理作為了系統(tǒng)的支持部分。策略管理、狀態(tài)監(jiān)控以及安全作為了應(yīng)用系統(tǒng)的部分。
參考文獻(xiàn):
[1]沈星星,程學(xué)旗.基于數(shù)據(jù)流管理平臺(tái)的網(wǎng)絡(luò)安全事件監(jiān)控系統(tǒng)[J].小型微型計(jì)算機(jī)系統(tǒng),2006,27(2):237-240
[2]董玉格,金海,趙振.攻擊與防護(hù)一網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)(第一版)[M].北京:人民郵電出版社,2002:79-181
[3]史簡(jiǎn),郭山清,謝立.統(tǒng)一網(wǎng)絡(luò)安全管理平臺(tái)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究,2006,(9):92-97
【 關(guān)鍵詞 】 組件技術(shù);網(wǎng)絡(luò)安全;架構(gòu);機(jī)制
Component Technology Framework for Analysis of Network Security Management
Hu Ting-feng
(The twentieth Middle School of Beijing City Beijing 100085)
【 Abstract 】 With the growing popularity of Internet applications, to further accelerate the process of resource sharing computer network, the resulting network security issues can not be ignored. In this paper the current status of the component technology, component technology present a network security management structure, and as a basis for analyzing the structure of the implementation mechanism and security mechanism, enhance the stability of network operation, security.
【 Keywords 】 component technology; network security; architecture; mechanism
0 引言
隨著組件技術(shù)的應(yīng)用,帶來(lái)一次軟件開(kāi)發(fā)革命,為修改與復(fù)用提供了更好的技術(shù)支持。基于組件技術(shù)的三層軟件開(kāi)發(fā)結(jié)構(gòu),更利于系統(tǒng)分項(xiàng)與整體功能的實(shí)現(xiàn),具有一定實(shí)用價(jià)值。正是鑒于組件這一特殊功能,可滿足軟件的即插即用功能,有針對(duì)性地進(jìn)行修復(fù)與升級(jí)。但是隨著組件技術(shù)的廣泛應(yīng)用,安全性能問(wèn)題日益凸顯,已不容忽視。文章結(jié)合實(shí)際工作經(jīng)驗(yàn),重點(diǎn)依據(jù)網(wǎng)絡(luò)安全管理模型,對(duì)相關(guān)技術(shù)進(jìn)行具體分析。
1 組件技術(shù)的網(wǎng)絡(luò)安全管理架構(gòu)
目前,大多網(wǎng)絡(luò)安全產(chǎn)品之間的功能具有重復(fù)性特點(diǎn),單個(gè)的安全產(chǎn)品既希望獲得更多功能,同時(shí)又難以滿足用戶的各方面需求。因此,在建設(shè)安全管理系統(tǒng)過(guò)程中,雖然用戶也購(gòu)買了較多產(chǎn)品,但是產(chǎn)品綜合效益難以發(fā)揮。針對(duì)這一問(wèn)題,最好的解決辦法就是實(shí)現(xiàn)各種安全產(chǎn)品與安全軟件的功能組合。這樣,安全產(chǎn)品不再以獨(dú)立的形態(tài)出現(xiàn),安全組件技術(shù)應(yīng)運(yùn)而生。 每一種安全組件都需繼承并順利實(shí)現(xiàn)接口,完成某項(xiàng)或者某組特殊任務(wù),但是每一項(xiàng)軟件功能都有明確劃分,不會(huì)出現(xiàn)功能重復(fù)。在用戶應(yīng)用安全管理系統(tǒng)時(shí),根據(jù)具體要求從組件庫(kù)中選擇適用的安全組件,選定的安全組件借助綜合平臺(tái)實(shí)現(xiàn)集成功能。如圖1所示。
在安全組件運(yùn)行的平臺(tái)上,統(tǒng)一分發(fā)、配置、加載、升級(jí)并管理安全組件。通過(guò)應(yīng)用組件技術(shù),提供了系統(tǒng)安全的系統(tǒng)性、靈活性、集成性、開(kāi)放性、模塊性、透明性及可管理性等優(yōu)勢(shì)。安全管理服務(wù)器作為整個(gè)系統(tǒng)運(yùn)行的核心,在分布式運(yùn)行環(huán)境中,可對(duì)外提供各種基礎(chǔ),如策略管理、資產(chǎn)管理、事件管理、應(yīng)急響應(yīng)等。通過(guò)應(yīng)用安全管理服務(wù)器,可對(duì)組件完成集中注冊(cè)、存儲(chǔ)、索引、分發(fā)等,加強(qiáng)對(duì)各項(xiàng)管理信息、相關(guān)策略的收集、索引、存儲(chǔ)、分發(fā)等功能,同時(shí)支持審計(jì)。
通過(guò)應(yīng)用數(shù)據(jù)庫(kù),給安全系統(tǒng)提供數(shù)據(jù)查詢、存儲(chǔ)支持等功能。在安全管理控制臺(tái)中,提供了統(tǒng)一的系統(tǒng)管理界面框架以及各項(xiàng)服務(wù)配置的界面。可在該平臺(tái)中實(shí)現(xiàn)策略編輯組件、監(jiān)視組件等功能,實(shí)現(xiàn)面向系統(tǒng)用戶與管理員,管理員完成安全監(jiān)督、安全策略、應(yīng)急響應(yīng)等工作。
分布式組件容器,分別部署于網(wǎng)絡(luò)的各個(gè)端點(diǎn)位置,為組件運(yùn)行提供基礎(chǔ)環(huán)境,支持每個(gè)功能組件的統(tǒng)一運(yùn)行環(huán)境、加載方式、通信模塊以及通用功能等。通過(guò)組件技術(shù),實(shí)現(xiàn)安全產(chǎn)品的深化改造,統(tǒng)一在系統(tǒng)中加載運(yùn)行,統(tǒng)一管理安全產(chǎn)品的應(yīng)用性能、網(wǎng)絡(luò)配置以及安全性能,提高管理效率,確保整個(gè)系統(tǒng)的順利運(yùn)行。
2 網(wǎng)絡(luò)安全管理架構(gòu)的實(shí)現(xiàn)機(jī)制研究
通過(guò)組件技術(shù),將入侵檢測(cè)技術(shù)、漏洞掃描、防火墻技術(shù)、網(wǎng)絡(luò)安全評(píng)估等相結(jié)合,利用多組件的動(dòng)態(tài)協(xié)作模型,可確保安全組件既獨(dú)立運(yùn)行又相互通信、共同開(kāi)展工作,提高工作效率與質(zhì)量,實(shí)現(xiàn)網(wǎng)絡(luò)與主機(jī)的保護(hù)功能。
2.1 防火墻和網(wǎng)絡(luò)探測(cè)器
網(wǎng)絡(luò)探測(cè)器建立在入侵檢測(cè)技術(shù)基礎(chǔ)上,攔截并獲取網(wǎng)段中的數(shù)據(jù)包,從中找出可能存在的敏感信息或入侵信息,發(fā)揮保護(hù)作用。當(dāng)網(wǎng)絡(luò)探測(cè)器檢測(cè)到攻擊事件,就可實(shí)時(shí)記錄并保存有關(guān)信息,將信息傳輸?shù)焦芾砜刂婆_(tái),實(shí)現(xiàn)報(bào)警提示。但是網(wǎng)絡(luò)探測(cè)器自身并不能直接阻斷具有攻擊行為的網(wǎng)絡(luò)連接,只能作提示所用。因此,為了及時(shí)發(fā)現(xiàn)攻擊行為,應(yīng)加強(qiáng)防火墻和網(wǎng)絡(luò)探測(cè)器的協(xié)作,由網(wǎng)絡(luò)探測(cè)器發(fā)出請(qǐng)求信號(hào),通過(guò)防火墻切斷網(wǎng)絡(luò)連接。另外,如果防火墻自身發(fā)現(xiàn)了可疑但是不能確定的事件,也可將有關(guān)信息傳送到網(wǎng)絡(luò)探測(cè)器中,由網(wǎng)絡(luò)探測(cè)器進(jìn)行分析與評(píng)估。當(dāng)網(wǎng)絡(luò)探測(cè)器發(fā)出通知,要求防火墻切斷網(wǎng)絡(luò)連接,則調(diào)用API命令的函數(shù):FW-BLOCK,其中包括命令源、源端口、目標(biāo)端口、源IP、目標(biāo)IP、組斷電等。其中,命令源主要指發(fā)送命令的組件技術(shù),阻斷點(diǎn)則主要指防火墻阻斷的具置。
2.2 防火墻和掃描器
掃描器定期或者按照實(shí)際需要,評(píng)估目標(biāo)網(wǎng)絡(luò)及主機(jī)的安全風(fēng)險(xiǎn)。如果發(fā)現(xiàn)漏洞,掃描器不能實(shí)現(xiàn)漏洞修補(bǔ)功能,而是通過(guò)管理人員的人工干預(yù)。如果在發(fā)現(xiàn)漏洞到修補(bǔ)漏洞的這段時(shí)間內(nèi),發(fā)現(xiàn)風(fēng)險(xiǎn)級(jí)別較高的漏洞但是無(wú)法及時(shí)采取措施,將增加系統(tǒng)的安全風(fēng)險(xiǎn),給系統(tǒng)運(yùn)行造成威脅。基于這一實(shí)際情況,可以實(shí)現(xiàn)掃描器與防火墻的協(xié)作功能,如果掃描器檢測(cè)到主機(jī)中的服務(wù)存在高風(fēng)險(xiǎn)漏洞,即將信息傳輸?shù)椒阑饓?,由防火墻?duì)外部網(wǎng)絡(luò)的訪問(wèn)行為進(jìn)行限制,當(dāng)人工干預(yù)修補(bǔ)漏洞完畢之后,再請(qǐng)求防火墻開(kāi)發(fā)外部信息的輸入。通過(guò)實(shí)現(xiàn)這一操作過(guò)程,可在掃描器端口分別調(diào)用FW-BLOCK以及FW-RELEASE命令函數(shù)。
2.3 網(wǎng)絡(luò)探測(cè)器和主機(jī)
網(wǎng)絡(luò)探測(cè)器和主機(jī)都是完成入侵檢測(cè)任務(wù)的重要組成部分,二者的集成與協(xié)作較為簡(jiǎn)單。實(shí)際上,當(dāng)前很多入侵檢測(cè)系統(tǒng)中集合了基于主機(jī)與網(wǎng)絡(luò)兩種測(cè)試技術(shù)的復(fù)合型入侵檢測(cè)系統(tǒng),例如ISS中的ReaSecure。在組件技術(shù)的網(wǎng)絡(luò)安全管理架構(gòu)中,網(wǎng)絡(luò)探測(cè)器和主機(jī)兩種組件部署在保護(hù)網(wǎng)絡(luò)的不同層次與位置,分別收集來(lái)自不同層次、不同位置的信息,共同歸屬于一個(gè)安全數(shù)據(jù)庫(kù),協(xié)同整合網(wǎng)絡(luò)信息,并在整個(gè)網(wǎng)絡(luò)范圍內(nèi)判斷各種異常行為的特點(diǎn)與具體過(guò)程,如經(jīng)過(guò)偽裝的入侵行為等。在網(wǎng)絡(luò)探測(cè)器和主機(jī)之間,實(shí)現(xiàn)共同協(xié)作,應(yīng)參照CIDF建議中的相關(guān)標(biāo)準(zhǔn),以CISL數(shù)據(jù)交換語(yǔ)言及格式為主。
2.4 管理控制臺(tái)和組件技術(shù)
在組件技術(shù)的網(wǎng)絡(luò)安全管理架構(gòu)中,設(shè)置專用控制臺(tái),統(tǒng)一集中管理組件。通過(guò)這種集中式的網(wǎng)絡(luò)安全管理環(huán)境,更好地保持組件之間協(xié)作,成為有機(jī)整體。網(wǎng)絡(luò)管理員只要通過(guò)管理控制臺(tái)就可以訪問(wèn)并控制各個(gè)組件,提升整個(gè)網(wǎng)絡(luò)安全策略,實(shí)時(shí)掌握安全動(dòng)態(tài),并做好相關(guān)測(cè)試工作,保障各組件之間的協(xié)調(diào)工作,全面保護(hù)網(wǎng)絡(luò)運(yùn)行。
2.5 掃描器和入侵檢測(cè)
當(dāng)掃描器掃描到網(wǎng)絡(luò)及系統(tǒng)中的脆弱性安全信息,對(duì)網(wǎng)絡(luò)探測(cè)器以及主機(jī)的入侵檢測(cè)非常重要。因此,在該組件技術(shù)的網(wǎng)絡(luò)安全管理架構(gòu)中,每次掃描器完成掃描評(píng)估過(guò)程,就會(huì)將漏洞信息中的相關(guān)入侵檢測(cè)組件,包括服務(wù)端口、主機(jī)IP地址、CVE值以及風(fēng)險(xiǎn)級(jí)別等。另外,在掃描器中可以獲得相應(yīng)的目標(biāo)網(wǎng)絡(luò)安全評(píng)估報(bào)告,給網(wǎng)絡(luò)探測(cè)器、主機(jī)等部署提供有效建議。如果入侵檢測(cè)組件已經(jīng)檢測(cè)到內(nèi)部主機(jī)中產(chǎn)生的攻擊信息,就可同時(shí)傳遞到掃描器中,實(shí)行主機(jī)安全評(píng)估,盡快完善主機(jī)存在的系統(tǒng)漏洞及安全隱患。
3 組件技術(shù)的安全機(jī)制
為了確保各個(gè)安全組件的協(xié)同工作,各組件之間必須兼容、共享,保持密切通信關(guān)系,實(shí)現(xiàn)信息交互。在大型分布式網(wǎng)絡(luò)構(gòu)架中,大多安全組件安裝在通用網(wǎng)絡(luò)中,因此組件技術(shù)的安全系統(tǒng)中各組件之間的通信也通過(guò)網(wǎng)絡(luò)而實(shí)現(xiàn),安全系統(tǒng)自身也可能受到外來(lái)病毒、黑客的入侵與攻擊。
出于對(duì)網(wǎng)絡(luò)安全管理系統(tǒng)自身安全性的重視,構(gòu)建一個(gè)安全、可靠、完整的內(nèi)部通信機(jī)制非常重要。為了確保組件技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)自身具有安全性、可靠性,建議采取PKI身份認(rèn)證或者保密通信機(jī)制。給系統(tǒng)中的組件通信提供鑒于數(shù)字證書(shū)基礎(chǔ)上的身份認(rèn)證、消息加密、消息認(rèn)證、消息發(fā)送等。在整個(gè)PKI系統(tǒng)中,主要包括CA服務(wù)器、客戶端應(yīng)用接口、證書(shū)查詢服務(wù)器三大部分,如圖2所示。
其中,CA服務(wù)器用于簽發(fā)并核實(shí)證書(shū);客戶端應(yīng)用接口則是一個(gè)用于安全組件中的PKI應(yīng)用接口軟件,支持入侵檢測(cè)系統(tǒng)、掃描器、防火墻等安全組件的身份認(rèn)證與通信保密;證書(shū)查詢服務(wù)器支持各種證書(shū)查詢服務(wù)。在CA服務(wù)器中,向系統(tǒng)中的所有組件簽發(fā)證書(shū),每?jī)蓚€(gè)組件之間實(shí)現(xiàn)通信連接。以證書(shū)查詢服務(wù)器為基礎(chǔ),驗(yàn)證對(duì)方身份,并協(xié)商好共享的對(duì)稱密鑰,通過(guò)該密鑰實(shí)現(xiàn)系統(tǒng)加密,構(gòu)建一條信息交換的安全通道。
4 系統(tǒng)應(yīng)用的優(yōu)勢(shì)分析
(1)在整個(gè)管理構(gòu)架系統(tǒng)中,存在著多級(jí)防御體系,分別完成不同的工作任務(wù)。將整體工作量具體劃分為若干層次,可避免過(guò)去集中式系統(tǒng)中常產(chǎn)生的負(fù)載過(guò)度集中問(wèn)題。在該系統(tǒng)中,負(fù)責(zé)服務(wù)器組的安全防御體系中,監(jiān)控過(guò)濾后的流量,與監(jiān)控所有流量的方式相比,負(fù)載有所降低,有效提高監(jiān)控效率。
(2)對(duì)于各個(gè)子系統(tǒng),在不同防御級(jí)別上有所重疊,更利于實(shí)現(xiàn)不同子系統(tǒng)之間的協(xié)作管理。例如,在核心防御系統(tǒng)中,防火墻、網(wǎng)絡(luò)掃描器、中心NIDS端接在同一個(gè)核心交換機(jī)中,極大方便相互協(xié)作與信息共享。
(3)與傳統(tǒng)的網(wǎng)絡(luò)安全管理系統(tǒng)相比,該系統(tǒng)既可防御外部網(wǎng)絡(luò)攻擊,更可對(duì)內(nèi)部攻擊行為進(jìn)行記錄,為用戶提供依據(jù),防堵內(nèi)部漏洞,震懾內(nèi)部攻擊行為,提高系統(tǒng)運(yùn)行安全性。
5 結(jié)束語(yǔ)
隨著網(wǎng)絡(luò)安全問(wèn)題的日益突出,給網(wǎng)絡(luò)安全防護(hù)提出全新要求,且體系結(jié)構(gòu)越來(lái)越復(fù)雜,涉及到各種各樣的安全技術(shù)與安全設(shè)備。隨著網(wǎng)絡(luò)安全管理系統(tǒng)的提出,將過(guò)去孤立的網(wǎng)絡(luò)安全轉(zhuǎn)變?yōu)榻y(tǒng)一性、集中性的大型安全技術(shù)管理。以組件技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)安全管理架構(gòu)系統(tǒng)來(lái)看,不同的組件在不同機(jī)器、不同設(shè)備運(yùn)行時(shí),執(zhí)行的任務(wù)也有所不同,但是最終歸屬到安全管理控制臺(tái)中,統(tǒng)一匯總并管理。
可見(jiàn),以組件技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)安全管理構(gòu)架,既可保障系統(tǒng)安全性、完整性,也可發(fā)揮最大效益,減少投入成本,更方便網(wǎng)絡(luò)安全設(shè)備的統(tǒng)一監(jiān)控、集中管理,減少安全管理員的工作強(qiáng)度。當(dāng)前,該架構(gòu)已逐漸應(yīng)用并推廣,具有良好的發(fā)展空間。
參考文獻(xiàn)
[1] 朱思峰,李春麗,劉曼華,楊建輝.基于多組件協(xié)作的網(wǎng)絡(luò)安全防御體系研究[J].周口師范學(xué)院學(xué)報(bào),2007(2).
[2] 劉效武.基于多源融合的網(wǎng)絡(luò)安全態(tài)勢(shì)量化感知與評(píng)估[J].哈爾濱工程大學(xué):計(jì)算機(jī)應(yīng)用技術(shù),2009.
[3] 謝桂芹.網(wǎng)絡(luò)安全軟件的自動(dòng)化測(cè)試系統(tǒng)的研究與應(yīng)用[D].南京郵電大學(xué):計(jì)算機(jī)軟件與理論,2009.
[4] 郭晨,夏潔武,黃傳連.基于漏洞檢測(cè)安全中間件的設(shè)計(jì)與實(shí)現(xiàn)[J].微計(jì)算機(jī)信息,2007(18).
[5] 王宇,盧昱.基于組件及信任域的信息網(wǎng)絡(luò)安全控制[J].計(jì)算機(jī)應(yīng)用與軟件,2006(3).
[6] 楊宏宇,鄧強(qiáng),謝麗霞.網(wǎng)絡(luò)安全組件協(xié)同操作研究[J].計(jì)算機(jī)應(yīng)用,2009(9).
【關(guān)鍵詞】醫(yī)院網(wǎng)絡(luò)系統(tǒng) 安全管理 技術(shù)
1 醫(yī)院網(wǎng)絡(luò)系統(tǒng)安全面臨的威脅
1.1 網(wǎng)絡(luò)系統(tǒng)安全管理不到位
由于醫(yī)療行業(yè)本身具有很高的不確定性,從門(mén)診和住院到各方面的操作,都會(huì)涉及到很多科室和醫(yī)務(wù)人員,很難準(zhǔn)確預(yù)測(cè)醫(yī)療結(jié)果,多數(shù)醫(yī)院認(rèn)為,信息網(wǎng)絡(luò)系統(tǒng)不能為醫(yī)院創(chuàng)造較好的經(jīng)濟(jì)效益,導(dǎo)致信息網(wǎng)絡(luò)系統(tǒng)的安全管理不能得到醫(yī)院的重視,加之規(guī)章制度不健全,給醫(yī)院信息網(wǎng)絡(luò)安全管理體系造成了嚴(yán)重障礙。此外,操作人員的專業(yè)技術(shù)能力不足,出現(xiàn)違規(guī)操作、誤操作等情況,都可能會(huì)造信息網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)產(chǎn)生錯(cuò)誤和系統(tǒng)故障。
1.2 網(wǎng)絡(luò)和硬件組成方面的威脅
醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)由各種設(shè)備,多種元件構(gòu)成。例如電源、布線、網(wǎng)絡(luò)服務(wù)器等,系統(tǒng)運(yùn)行過(guò)程中,雖然某個(gè)獨(dú)立的元件發(fā)生故障的可能性比較小,但整個(gè)網(wǎng)絡(luò)系統(tǒng)的故障概率比較高,醫(yī)療網(wǎng)絡(luò)系統(tǒng)所存在的設(shè)備在運(yùn)行當(dāng)中,都有可能出現(xiàn)各種類型的安全隱患。所以,選擇正確的網(wǎng)絡(luò),匹配的硬件設(shè)施,在醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行中起著重要的作用。
1.3 惡意攻擊程序的威脅
病毒是計(jì)算機(jī)網(wǎng)絡(luò)中一種具有"傳染”性的其他程序,這種"傳染”主要是通過(guò)對(duì)其他程序進(jìn)行修改,進(jìn)而將該程序復(fù)制成與自己一樣的程序。一步一步傳輸,最終啟動(dòng)的病毒程序。特洛伊木馬病毒是一種能夠執(zhí)行超出程序定義以久的程序,例如,一個(gè)編譯程序不僅可以執(zhí)行相應(yīng)的編譯任務(wù),還能將用戶的程序源代碼進(jìn)行拷貝。
病毒是一種植入計(jì)算機(jī)網(wǎng)絡(luò)中,侵害系統(tǒng)并且具有“傳染性”的程序代碼,該程序能夠?qū)ο到y(tǒng)其他程序進(jìn)行篡改,并將病毒代碼拷貝到系統(tǒng)程序中。譬如較為常見(jiàn)的計(jì)算機(jī)蠕蟲(chóng)病毒就是利用網(wǎng)絡(luò)通信,經(jīng)過(guò)程序節(jié)點(diǎn),一步步傳輸,最終啟動(dòng)病毒程序。另有特洛伊木馬病毒,其能執(zhí)行超出定義程序以外的程序,換言之,一種獨(dú)立的編譯程序,不僅能執(zhí)行對(duì)應(yīng)的編譯作業(yè),還能夠?qū)⒂脩舯旧淼挠?jì)算機(jī)程序源代碼進(jìn)行復(fù)制;一個(gè)獨(dú)立的用戶占用網(wǎng)絡(luò)的共享資源,令其他的用戶沒(méi)有權(quán)限來(lái)使用該系統(tǒng)的其他Y源。這種攻擊會(huì)大幅度降低信息網(wǎng)絡(luò)系統(tǒng)的可用資源量,造成系統(tǒng)中的網(wǎng)絡(luò)服務(wù)器、磁盤(pán)空間、處理器以及打印機(jī)等設(shè)備停止服務(wù)。
2 醫(yī)院網(wǎng)絡(luò)安全體系架構(gòu)
醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)安全管理在醫(yī)院朝著信息化時(shí)代邁進(jìn)的階段中顯得尤為重要,醫(yī)院內(nèi)部機(jī)密、患者信息、醫(yī)藥信息等都是醫(yī)院重要的信息,任何不安全因素都會(huì)造成醫(yī)院這些內(nèi)部信息泄露,造成巨大的損失。所以,一個(gè)安全穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)是醫(yī)院進(jìn)行信息化建設(shè),跟上時(shí)代的腳步的根本。
目前多數(shù)醫(yī)院的HIS服務(wù)器和Web服務(wù)器均運(yùn)用雙機(jī)熱備份,完成了數(shù)據(jù)的實(shí)時(shí)更新,內(nèi)外部網(wǎng)絡(luò)之間設(shè)定了防火墻確保醫(yī)院內(nèi)網(wǎng)的信息安全。另有不少醫(yī)院為了加強(qiáng)系統(tǒng)安全,采用內(nèi)網(wǎng)準(zhǔn)入和桌面安全技術(shù),文章下文將從這兩個(gè)技術(shù)方面進(jìn)行分析,其如何保障醫(yī)院網(wǎng)絡(luò)安全。
3 內(nèi)網(wǎng)準(zhǔn)入控制
安全接入控制系統(tǒng)的一類管理組件,稱之為內(nèi)網(wǎng)準(zhǔn)入控制,其能夠達(dá)到對(duì)客戶機(jī)進(jìn)行控制的目的??蛻魴C(jī)的身份不匹配或者存在安全隱患,則該管理組件就會(huì)限制該用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。反之,才能有進(jìn)入內(nèi)網(wǎng)的權(quán)限。內(nèi)網(wǎng)準(zhǔn)入控制組件具有如下幾大功能:
(1)預(yù)防外部、非法的計(jì)算機(jī)進(jìn)入內(nèi)部網(wǎng)絡(luò),提高網(wǎng)絡(luò)安全性;
(2)具有防病毒的能力,能無(wú)時(shí)無(wú)刻地阻止各種病毒或帶有病毒的計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò);
(3)對(duì)內(nèi)網(wǎng)的客戶機(jī)能夠?qū)嵤┙y(tǒng)一的安全管理機(jī)制;
(4)阻止內(nèi)部人員自行接入HUB和無(wú)線AP,防范網(wǎng)絡(luò)安全隱患。
當(dāng)外部設(shè)備打算接入內(nèi)部網(wǎng)絡(luò)時(shí),首先通過(guò)身份認(rèn)證以及安全認(rèn)證。接入內(nèi)網(wǎng)的設(shè)備主要分為兩大類:其一是內(nèi)部合法設(shè)備,其二便是外部非法設(shè)備。若是外部非法設(shè)備接入內(nèi)網(wǎng)時(shí),該組件將會(huì)激發(fā)如下幾項(xiàng)功能:
(1)阻止接入;
(2)把該設(shè)備轉(zhuǎn)移到訪客區(qū),并進(jìn)行相關(guān)記錄。
當(dāng)接入的是內(nèi)部合法設(shè)備時(shí),本組件實(shí)現(xiàn)的功能如下:
(1)首先檢測(cè)用戶名和密碼的有效性,其次對(duì)檢測(cè)設(shè)備的安全要求;
(2)只有當(dāng)客戶機(jī)的身份和安全都滿足要求時(shí),才能被允許接入內(nèi)部網(wǎng)絡(luò);
(3)當(dāng)用戶成功進(jìn)入到內(nèi)部網(wǎng)絡(luò)后,本組件按照用戶的身份信息對(duì)用戶分配網(wǎng)絡(luò)范圍,用戶按照身份來(lái)訪問(wèn)自身的網(wǎng)絡(luò)。
4 桌面安全管理系統(tǒng)
桌面安全系統(tǒng)提出一種新型的互聯(lián)網(wǎng)訪問(wèn)技術(shù)手段,來(lái)確保網(wǎng)絡(luò)訪問(wèn)安全性。系統(tǒng)保證給每個(gè)用戶一個(gè)互聯(lián)網(wǎng)虛化的安全桌面,訪問(wèn)過(guò)程中防止內(nèi)外部文件的直接傳送,同時(shí)達(dá)到內(nèi)外部網(wǎng)絡(luò)隔斷的目的。用戶的上網(wǎng)過(guò)程都是在虛構(gòu)的安全桌面上進(jìn)行,同時(shí)匯集在服務(wù)器端口處,與本地電腦完全脫離,不使用本地電腦內(nèi)部資源,使得本地電腦形成一個(gè)安全穩(wěn)定的平臺(tái)。
桌面安全系統(tǒng)具有邏輯隔離、文件傳輸控制、上網(wǎng)行為管理、應(yīng)用程序配置、病毒防范、高安全性、高易用性、高效性、穩(wěn)定性、實(shí)施與維護(hù)等特點(diǎn)。用于協(xié)助醫(yī)院用戶在享受互聯(lián)網(wǎng)的同享性、開(kāi)放性和便利性的同時(shí),還能夠抵制來(lái)自互聯(lián)網(wǎng)潛在風(fēng)險(xiǎn)。運(yùn)用重要技術(shù)和獨(dú)到的信息安全系統(tǒng),阻止信息泄露,阻斷來(lái)自內(nèi)外部的威脅,卻不影響正常上網(wǎng)和辦公;幫助醫(yī)院采取防范措施,避免出現(xiàn)大的信息安全事件,要考慮如何挽救尷尬局面。
5 結(jié)語(yǔ)
計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)是一個(gè)相對(duì)較為復(fù)雜的工程,它需要將網(wǎng)絡(luò)設(shè)計(jì)、建設(shè)、維護(hù)等各個(gè)方面貫穿其中。只有將先進(jìn)合理的技術(shù)結(jié)合有效地管理才能充分實(shí)現(xiàn)醫(yī)院信息網(wǎng)絡(luò)的安全性,從而更好地保障醫(yī)院信息數(shù)據(jù)和其信息系統(tǒng)的高效運(yùn)行。
參考文獻(xiàn)
[1]傅征,袁永林.醫(yī)院信息系統(tǒng)建設(shè)與應(yīng)用[M].北京:人民軍醫(yī)出版社,2002.
[2]周小利.醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的維護(hù)及保障之策分析[J].硅谷,2013(20).
[3]郝德坤.淺談醫(yī)院信息系統(tǒng)的安全管理[J].中國(guó)美容醫(yī)學(xué),2012(18).
關(guān)鍵詞 數(shù)字化;油田;網(wǎng)絡(luò)安全
中圖分類號(hào)TE4 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2013)86-0025-02
1 網(wǎng)絡(luò)現(xiàn)狀
在長(zhǎng)慶油田信息化、數(shù)字化建設(shè)進(jìn)程中,逐步完善了從井站、作業(yè)區(qū)、廠部到公司以及業(yè)務(wù)單位的網(wǎng)絡(luò)覆蓋,在此基礎(chǔ)上應(yīng)用RTX、布谷鳥(niǎo)、電子郵箱、QQ、視頻會(huì)議、信息網(wǎng)站、冠林系統(tǒng)、A2系統(tǒng)、ERP系統(tǒng)、SAP系統(tǒng)、數(shù)字化生產(chǎn)指揮系統(tǒng)等,實(shí)現(xiàn)了辦公同步、資源共享、信息錄入訪問(wèn)及邏輯處理、生產(chǎn)遠(yuǎn)程監(jiān)控、數(shù)據(jù)智能分析等功能,構(gòu)成了龐大的數(shù)字化信息系統(tǒng),極大的提高了生產(chǎn)、辦公效率。但相應(yīng)的,現(xiàn)代油田生產(chǎn)辦公對(duì)網(wǎng)絡(luò)、計(jì)算機(jī)的依賴也越來(lái)越高,如果出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題,就有可能造成重大損失或?yàn)?zāi)難性的影響。
2 網(wǎng)絡(luò)存在的安全隱患
按照中國(guó)石油統(tǒng)一規(guī)劃,長(zhǎng)慶油田網(wǎng)絡(luò),對(duì)內(nèi)與中國(guó)石油各級(jí)內(nèi)部網(wǎng)絡(luò)互聯(lián),對(duì)外,通過(guò)西安網(wǎng)絡(luò)核心接入電信網(wǎng),那么梁油田的網(wǎng)絡(luò)安全問(wèn)題從結(jié)構(gòu)上,可以從內(nèi)網(wǎng)安全、外網(wǎng)安全來(lái)進(jìn)行具體分析。
2.1 內(nèi)網(wǎng)的潛在危險(xiǎn)
油田內(nèi)網(wǎng)是整個(gè)數(shù)字化信息系統(tǒng)中最重要的基礎(chǔ)組成部分,內(nèi)網(wǎng)的高效運(yùn)行首先要求網(wǎng)絡(luò)系統(tǒng)架構(gòu)(硬件)的合理穩(wěn)定。包括網(wǎng)絡(luò)三層結(jié)構(gòu)(核心層、匯聚層、接入層)的油氣區(qū)地理部署,各層級(jí)組網(wǎng)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì),交換及路由設(shè)備規(guī)劃,網(wǎng)絡(luò)帶寬劃分,系統(tǒng)承載能力設(shè)置,連接線路(光纜、無(wú)線網(wǎng)橋等)選擇,計(jì)算機(jī)(服務(wù)器、客戶端)配備等,只有有了合理的架構(gòu)才能討論解決相關(guān)的網(wǎng)絡(luò)安全問(wèn)題。
2.1.1 油田局域網(wǎng)的開(kāi)放性降低安全性
利用局域網(wǎng)的資源開(kāi)放性,應(yīng)用web服務(wù)器、FTP、映射等實(shí)現(xiàn)了油田內(nèi)部資源高度共享,但同時(shí)也為數(shù)據(jù)丟失、篡改以及病毒的傳播留下了安全隱患。
2.1.2 無(wú)線技術(shù)的易侵入性
在油田數(shù)字化建設(shè)過(guò)程中,由于基層井站距離、地貌等問(wèn)題,通過(guò)光纜連接網(wǎng)絡(luò)不易實(shí)現(xiàn),無(wú)線技術(shù)由于其終端可移動(dòng)性、覆蓋范圍廣、低成本、易施工等優(yōu)點(diǎn)得到大量應(yīng)用,但是在接入點(diǎn)AP范圍內(nèi),使用加密破解程序或MAC地址欺騙等手段,任何一臺(tái)無(wú)線設(shè)備都有可能接入該網(wǎng)絡(luò),占用網(wǎng)絡(luò)帶寬資源,對(duì)保存在網(wǎng)絡(luò)終端電腦里的油水井生產(chǎn)數(shù)據(jù)等重要資料進(jìn)行竊取,損害企業(yè)利益。
2.1.3 使用人員操作不當(dāng)
部分員工缺乏安全防范意識(shí),未經(jīng)殺毒處理就直接將U盤(pán)、儲(chǔ)存卡、光盤(pán)等存儲(chǔ)介質(zhì)以及存在安全隱患的個(gè)人電腦、手機(jī)等終端接入內(nèi)網(wǎng),導(dǎo)致病毒、木馬程序的快速傳播,感染其他計(jì)算機(jī),造成網(wǎng)絡(luò)過(guò)載、數(shù)據(jù)破壞。
2.1.4 運(yùn)維人員監(jiān)控難度大、手段不足
油區(qū)的范圍廣人員多,數(shù)字化的大規(guī)模建設(shè)和應(yīng)用,使情況越發(fā)復(fù)雜,而且無(wú)法保證沒(méi)有來(lái)自內(nèi)部的攻擊,內(nèi)部人員對(duì)情況相對(duì)了解,破壞力更大;同時(shí)由于運(yùn)維人員(網(wǎng)絡(luò)管理員、數(shù)字化運(yùn)維人員)技術(shù)手段的不足,尋找問(wèn)題源點(diǎn)遲緩,常常不能及時(shí)處理修復(fù)。
2.2 外網(wǎng)的威脅
2.2.1 軟件的漏洞攻擊
軟件分為系統(tǒng)軟件和應(yīng)用軟件兩大類,系統(tǒng)軟件負(fù)責(zé)管理計(jì)算機(jī)系統(tǒng)中各種獨(dú)立的硬件,使得它們可以協(xié)調(diào)工作,主要包括操作系統(tǒng)、程序設(shè)計(jì)語(yǔ)言(c語(yǔ)言)、解釋和編譯系統(tǒng)、數(shù)據(jù)庫(kù)管理程序(ORACLE、MySQL、ACCESS、MS SQL)等;應(yīng)用軟件是指用戶利用計(jì)算機(jī)及其提供的系統(tǒng)軟件為解決各種實(shí)際問(wèn)題而編制的電腦程序,常見(jiàn)的有OFFICE軟件、Photoshop、建站代碼、殺毒程序等。這些軟件都不可能做到完美,通?;蚴枪室獯嬖谝恍┞┒矗ㄓ绕涫潜I版軟件),其存在的漏洞和缺陷傳統(tǒng)安全工具難以防御,容易受到別有用心者的專門(mén)攻擊,導(dǎo)致某個(gè)程序或者整個(gè)網(wǎng)絡(luò)癱瘓,數(shù)據(jù)損壞和丟失。
2.2.2 網(wǎng)絡(luò)病毒破壞
網(wǎng)絡(luò)病毒是一組能在計(jì)算機(jī)系統(tǒng)中通過(guò)自我復(fù)制進(jìn)行快速傳播的計(jì)算機(jī)指令或者程序代碼,在侵入電腦后影響計(jì)算機(jī)功能或篡改破壞數(shù)據(jù),危害性極大。目前,油田內(nèi)網(wǎng)用戶通過(guò)設(shè)置接入因特網(wǎng),與外部網(wǎng)絡(luò)交互,服務(wù)器的訪問(wèn)屏蔽功能和與之相連的入侵保護(hù)防火墻實(shí)現(xiàn)了一定的過(guò)濾清洗防護(hù)作用,但相對(duì)于外部泛濫的病毒問(wèn)題,一次不經(jīng)意的鼠標(biāo)點(diǎn)擊就有可能感染病毒從而危害到整個(gè)內(nèi)網(wǎng)的安全,如梁油田內(nèi)部常見(jiàn)的有Arp病毒、首頁(yè)劫持、AV終結(jié)者、宏病毒等。
2.2.3 黑客入侵
在油田網(wǎng)絡(luò)的運(yùn)行中也有黑客的入侵(梁油田較少見(jiàn)),黑客對(duì)數(shù)據(jù)庫(kù)系統(tǒng)、客戶端電腦等的入侵主要有前期的ping掃描、端口掃描、sniffer,以及后門(mén)程序(植入木馬)、信息炸彈、拒絕服務(wù)(DOoS))、IP欺騙、UDP攻擊等,導(dǎo)致計(jì)算機(jī)、網(wǎng)絡(luò)過(guò)載或賬號(hào)密碼、機(jī)密資料丟失。
3 網(wǎng)絡(luò)安全管理措施
解決以上網(wǎng)絡(luò)安全問(wèn)題,主要從用戶、制度、技術(shù)三個(gè)方面進(jìn)行管理防護(hù)。
3.1 強(qiáng)化網(wǎng)絡(luò)用戶安全意識(shí)和防范能力
基層員工是網(wǎng)絡(luò)最基礎(chǔ)也是最主要的接觸者,運(yùn)維人員只有做好員工的培訓(xùn)管理,提高安全素質(zhì),普及安全知識(shí)、小竅門(mén),如及時(shí)安裝更新殺毒軟件,定期對(duì)計(jì)算機(jī)進(jìn)行木馬病毒掃描,使用安全軟件掃描修復(fù)系統(tǒng)、軟件漏洞;用戶登陸密碼設(shè)置盡可能復(fù)雜,采用數(shù)字、字母、符號(hào)相互交互組合的方式,取消各系統(tǒng)密碼保存選項(xiàng); ftp、共享文件夾等資源共享方式,需對(duì)允許用戶的權(quán)限進(jìn)行設(shè)置,只有指定賬號(hào)、特定機(jī)器才能訪問(wèn),對(duì)重要文件及文件夾取消刪除、修改權(quán)限并做好數(shù)據(jù)備份;謹(jǐn)慎登陸不明網(wǎng)址,謹(jǐn)慎打開(kāi)QQ、電子郵件中出現(xiàn)的不明鏈接、應(yīng)用程序等,從而從根本上消減問(wèn)題。
3.2 完善網(wǎng)絡(luò)安全管理制度
對(duì)無(wú)線、有線連接的電腦及設(shè)備進(jìn)行備案,明文指定IP地址,進(jìn)行MAC綁定認(rèn)證,嚴(yán)禁使用人更改分配的固定IP地址;在設(shè)備硬件管理上執(zhí)行嚴(yán)格的安全規(guī)章制度,如不得私自拆卸安裝硬盤(pán)、更換網(wǎng)卡等配件,不許隨意在原有線路上添加更換交換機(jī)、路由設(shè)備,不得將私人儲(chǔ)存設(shè)備與辦公電腦及服務(wù)器連接,禁止無(wú)關(guān)人員進(jìn)入機(jī)房等。要提高保密意識(shí)、完善相關(guān)規(guī)章制度才能最大限度的提升安全及保密效果。
3.3 應(yīng)用技術(shù)強(qiáng)化網(wǎng)絡(luò)安全建設(shè)
3.3.1 業(yè)務(wù)系統(tǒng)網(wǎng)站訪問(wèn)限制,嚴(yán)格認(rèn)證
控制內(nèi)網(wǎng)用戶訪問(wèn)網(wǎng)上辦公系統(tǒng)、信息網(wǎng)站內(nèi)容、ftp-server資料等眾多網(wǎng)絡(luò)資源的權(quán)限,加強(qiáng)內(nèi)部認(rèn)證工作。由各級(jí)單位對(duì)訪問(wèn)系統(tǒng)用戶信息進(jìn)行上報(bào),經(jīng)相關(guān)部門(mén)、系統(tǒng)管理員層層核實(shí)認(rèn)證后,得到僅屬于訪問(wèn)用戶的唯一帳戶、密碼授權(quán),由管理員按照工作級(jí)別和工作性質(zhì)設(shè)定不同分組和權(quán)限,并對(duì)操作進(jìn)行全程的監(jiān)督。如ERP系統(tǒng)、SAP系統(tǒng)等的以u(píng)sbkey用戶工具為核心的中國(guó)石油集中身份管理與統(tǒng)一認(rèn)證服務(wù)平臺(tái),公文、合同系統(tǒng)的中油郵箱綁定認(rèn)證,梁公事審批系統(tǒng)的層級(jí)審批權(quán)限劃分,網(wǎng)以IP認(rèn)證的版塊權(quán)限分配等。
3.3.2 應(yīng)用完善的數(shù)據(jù)備份措施
網(wǎng)絡(luò)安全管理就是要保障數(shù)據(jù)、數(shù)據(jù)庫(kù)的完整和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。數(shù)據(jù)及數(shù)據(jù)庫(kù)時(shí)時(shí)刻刻都在進(jìn)行變動(dòng),在數(shù)據(jù)的上傳下載、數(shù)據(jù)修改和網(wǎng)絡(luò)交換過(guò)程中都可能造成丟失、破壞。我們要做的就是要盡量避免出現(xiàn)此類情況,或是在最快時(shí)間內(nèi)恢復(fù),使數(shù)據(jù)的丟失最少。但是,最妥善的方法是做好數(shù)據(jù)備份,當(dāng)面對(duì)系統(tǒng)硬件故障、人為操作失誤或是黑客的攻擊時(shí),依然能切實(shí)保證數(shù)據(jù)的完整性。比如,對(duì)梁油田web服務(wù)器、ftp服務(wù)器等應(yīng)用磁盤(pán)陣列RAID1或RAID5技術(shù),通過(guò)磁盤(pán)數(shù)據(jù)鏡像或奇偶校驗(yàn),提高數(shù)據(jù)安全性和服務(wù)器的可用性,同時(shí)應(yīng)用Filegee、DiskWin等專業(yè)軟件將數(shù)據(jù)實(shí)時(shí)備份至數(shù)據(jù)儲(chǔ)存服務(wù)器。
3.3.3 建立統(tǒng)一的防毒體系
在油區(qū)建立統(tǒng)一防病毒網(wǎng),機(jī)房服務(wù)器系統(tǒng)安裝控制中心(服務(wù)器端),用戶安裝殺軟客戶端,實(shí)現(xiàn)遠(yuǎn)程控制管理、共同升級(jí)、遠(yuǎn)程統(tǒng)一報(bào)警、分開(kāi)殺毒、詳細(xì)記錄病毒攻擊及查殺情況等多種功能。在運(yùn)行中,網(wǎng)絡(luò)病毒庫(kù)更新后,服務(wù)器自動(dòng)檢索服務(wù)商站點(diǎn)進(jìn)行下載,之后將更新包共享至用戶電腦,保證了內(nèi)網(wǎng)病毒庫(kù)的及時(shí)更新,尤其可將數(shù)字化生產(chǎn)指揮系統(tǒng)無(wú)外網(wǎng)終端納入了防毒體系,消減隱患。而且通過(guò)管理員控制臺(tái),管理員可以在網(wǎng)絡(luò)中的任意一臺(tái)計(jì)算機(jī)上對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中控制管理,清楚的掌握全網(wǎng)的安全狀況,提升處理效率,有效保障網(wǎng)絡(luò)系統(tǒng)安全。目前,梁油田采用金山毒霸企業(yè)版2012部署運(yùn)行。
油田的信息化、數(shù)字化是不可阻擋的趨勢(shì),而面對(duì)隨之而來(lái)的網(wǎng)絡(luò)安全隱患,我們必須切實(shí)增強(qiáng)人員的安全防范意識(shí),提升運(yùn)維人員水平,強(qiáng)化網(wǎng)絡(luò)監(jiān)管力度,實(shí)踐應(yīng)用好新技術(shù),如網(wǎng)絡(luò)加密、數(shù)字簽名、防火墻、vpn、數(shù)據(jù)庫(kù)加密等,保證油田生產(chǎn)的安全平穩(wěn)進(jìn)行。
參考文獻(xiàn)
[1]李宇寧.大慶數(shù)字油田網(wǎng)絡(luò)安全化分析.
1.1網(wǎng)絡(luò)中惡意程序及病毒的影響
來(lái)自惡意程序和病毒的影響,最為常見(jiàn)的是網(wǎng)絡(luò)的病毒和黑客,這也是對(duì)于企業(yè)信息安全的最大威脅之一,我們已經(jīng)見(jiàn)識(shí)到了很多駭人聽(tīng)聞的病毒了,比如木馬病毒,木馬病毒通過(guò)網(wǎng)絡(luò)連接和系統(tǒng)的一些微小漏洞進(jìn)入用戶的計(jì)算機(jī)系統(tǒng)并且隱藏起來(lái),并向外界泄露用戶的私人信息。而黑客病毒則有一個(gè)可視的頁(yè)面,對(duì)用戶的計(jì)算機(jī)進(jìn)行遠(yuǎn)程的控制。還有好多病毒諸如腳本病毒、系統(tǒng)病毒、后門(mén)病毒。現(xiàn)在木馬和黑客常常組合,木馬負(fù)責(zé)入侵電腦,而黑客則對(duì)計(jì)算機(jī)進(jìn)行控制,擁有很大的破壞力。一般企業(yè)的計(jì)算機(jī)系統(tǒng)都是在相互信任的基礎(chǔ)上建立的,所以企業(yè)的計(jì)算機(jī)系統(tǒng)不但要有防護(hù)病毒和黑客的惡意進(jìn)攻,還要積極地自主研發(fā)一些高安全性、人機(jī)友好化和安全高效的計(jì)算機(jī)系統(tǒng),是計(jì)算機(jī)的軟硬件很好的配合,對(duì)企業(yè)起到更加有效的作用。
1.2網(wǎng)絡(luò)信息管理工作不到位
對(duì)算機(jī)管理者出現(xiàn)的一些問(wèn)題,對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全的管理不僅僅是技術(shù)上的還有管理層面,加強(qiáng)管理層面的建設(shè)迫在眉睫。要加強(qiáng)計(jì)算機(jī)管理層面的建設(shè),加強(qiáng)對(duì)于計(jì)算機(jī)類的法律法規(guī)的認(rèn)識(shí)和學(xué)習(xí)是十分必要的。只有做到法律法規(guī)、技術(shù)與管理的三結(jié)合才能保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全高效運(yùn)行。計(jì)算機(jī)犯罪的現(xiàn)象時(shí)有發(fā)生,信息管理者往往大意了對(duì)于一些信息的保密性,導(dǎo)致一些內(nèi)部的信息資料外流,有的計(jì)算機(jī)用戶故意進(jìn)入企業(yè)的信息系統(tǒng)來(lái)盜取一些信息謀取利益,所以對(duì)于管理者出現(xiàn)的一些問(wèn)題要十分注意和警惕,從而來(lái)維護(hù)計(jì)算機(jī)的信息安全。
2關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)管理的若干建議
2.1加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全方面的意識(shí)
首先對(duì)于計(jì)算機(jī)的管理層面,企業(yè)本身應(yīng)加強(qiáng)對(duì)于企業(yè)計(jì)算機(jī)管理者的法律知識(shí)和法規(guī)知識(shí)的了解和教育,提高計(jì)算機(jī)用戶的法律和道德水平,提升其安全方面的意識(shí),防止計(jì)算機(jī)犯罪等事件的發(fā)生。了解一些法律法規(guī)比如《計(jì)算機(jī)安全法》、《犯罪法》等關(guān)于計(jì)算機(jī)的法律法規(guī)。還要建立一些安全機(jī)構(gòu),來(lái)加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全方面立法、執(zhí)法的管理機(jī)制,并定期向計(jì)算機(jī)用戶進(jìn)行一定的教育,提升計(jì)算機(jī)用戶的安全防范意識(shí),防止計(jì)算機(jī)違法犯罪現(xiàn)象的發(fā)生。其次應(yīng)建立一套有關(guān)計(jì)算機(jī)安全管理的維護(hù)制度來(lái)維護(hù)其安全性,對(duì)于企業(yè)內(nèi)部的計(jì)算機(jī)給予嚴(yán)格的管理,制定對(duì)重要資料和計(jì)算機(jī)中心的保密機(jī)制和保護(hù)方案。在對(duì)計(jì)算機(jī)安全方面應(yīng)該實(shí)行分工明確的監(jiān)管和等級(jí)管理制度,控制企業(yè)內(nèi)部的計(jì)算機(jī)系統(tǒng),以此來(lái)嚴(yán)格保證計(jì)算機(jī)的安全性。
2.2建立并完善安全保護(hù)機(jī)制
切實(shí)建立計(jì)算機(jī)安全系統(tǒng)的保護(hù)與防范機(jī)制,一個(gè)企業(yè)如果想加強(qiáng)其自身的計(jì)算機(jī)安全方面的能力,最好最實(shí)用的辦法就是建立一套屬于自己企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)和防范機(jī)制。只有好的計(jì)算機(jī)系統(tǒng)安全機(jī)制才能保證計(jì)算機(jī)安全穩(wěn)定的運(yùn)行,對(duì)整個(gè)企業(yè)的計(jì)算機(jī)系統(tǒng)進(jìn)行監(jiān)督和管理往往有意想不到的作用。想要維護(hù)計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)的安全,一套切實(shí)可行的網(wǎng)絡(luò)安全體系必不可少。在信息化的潮流中,建立計(jì)算機(jī)網(wǎng)絡(luò)安全體系是時(shí)展的趨勢(shì),也是維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要措施,它在企業(yè)的現(xiàn)代化和信息化過(guò)程中起到了保駕護(hù)航的重要作用。同時(shí)在計(jì)算機(jī)建立安全體系時(shí),有很多注意事項(xiàng),但這些注意事項(xiàng)都要結(jié)合企業(yè)的實(shí)際情況。必須制定一身適合自己企業(yè)的信息安全體系和防御系統(tǒng)。有些共性的注意點(diǎn)在這里給以簡(jiǎn)單介紹,首先企業(yè)的計(jì)算機(jī)系統(tǒng)應(yīng)實(shí)行分區(qū)塊劃分,以免當(dāng)計(jì)算機(jī)出現(xiàn)安全性文體時(shí)影響到整個(gè)企業(yè)的計(jì)算機(jī)可以降低來(lái)自安全性的威脅;再有就是對(duì)于企業(yè)的信息在重要性的等級(jí)上給予劃分,對(duì)高價(jià)值的信息資料給以嚴(yán)格的保護(hù),并設(shè)定其使用者的權(quán)限,實(shí)行分等級(jí)管理,避免信息的外漏;在使用計(jì)算機(jī)時(shí)對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)流量給以監(jiān)管并且制定相應(yīng)的規(guī)章和要求,保證企業(yè)內(nèi)部使用計(jì)算機(jī)者網(wǎng)絡(luò)的無(wú)阻和穩(wěn)定性。建立一套行之有效的安全防范體系可以增強(qiáng)企業(yè)的信息化管理實(shí)力和企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全。
2.3做好數(shù)據(jù)備份及恢復(fù),加強(qiáng)防護(hù)聯(lián)合
計(jì)算機(jī)的病毒入侵,計(jì)算機(jī)被病毒入侵時(shí)往往有比較嚴(yán)重的后果比如破壞計(jì)算機(jī)系統(tǒng),使系統(tǒng)崩潰甚至無(wú)法使用;造成數(shù)據(jù)的丟失,或者運(yùn)行速度大打折扣;盜取企業(yè)內(nèi)部的信息等。面對(duì)如此嚴(yán)重的威脅,企業(yè)應(yīng)如何讓?xiě)?yīng)對(duì)呢。建立一套完備的文件備份和恢復(fù)機(jī)制,在計(jì)算機(jī)遭受病毒侵襲時(shí)能夠完整的保存和恢復(fù)全部數(shù)據(jù)。在防范措施上,應(yīng)用防火墻和殺毒軟件是一般用戶最先使用的措施。防火墻可以有效地組織不安全I(xiàn)P地址程序的入侵和攻擊,這種方式在維護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)安全方面十分實(shí)用也十分有效,如果能把防火墻和關(guān)鍵部位的檢測(cè)系統(tǒng)結(jié)合起來(lái),不僅能檢測(cè)來(lái)自外部網(wǎng)絡(luò)的進(jìn)攻還會(huì)避免企業(yè)內(nèi)部網(wǎng)絡(luò)的相互入侵。兩者相互結(jié)合,在維護(hù)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全方面起到了十分完美的作用。除此之外,信息交換和物理隔離系統(tǒng)可以對(duì)影響企業(yè)內(nèi)部局域網(wǎng)的不安全因素予以隔離,組織不安全因素的入侵,往往這種防止入侵的方式優(yōu)于防火墻。定期的對(duì)計(jì)算機(jī)進(jìn)行病毒的查殺,這些事看起開(kāi)來(lái)很小,到對(duì)于防止病毒寄生在計(jì)算機(jī)內(nèi)部十分有效,不可忽視。企業(yè)也要定期對(duì)內(nèi)部計(jì)算機(jī)進(jìn)行安全監(jiān)測(cè)。
3結(jié)束語(yǔ)
關(guān)鍵詞:設(shè)計(jì)與實(shí)現(xiàn);系統(tǒng);監(jiān)控管理;網(wǎng)絡(luò)安全
中圖分類號(hào):TP393.08
隨著現(xiàn)代科技的發(fā)展和計(jì)算機(jī)網(wǎng)絡(luò)的高速普及,網(wǎng)絡(luò)的覆蓋不斷的擴(kuò)大,節(jié)點(diǎn)不斷的增多。網(wǎng)絡(luò)發(fā)展的迅速,就給人們帶來(lái)了一些管理和維護(hù)的方面的一些問(wèn)題,而網(wǎng)絡(luò)安全這個(gè)問(wèn)題,也是對(duì)于維護(hù)人員的考驗(yàn)之一。目前網(wǎng)絡(luò)中經(jīng)常,也是主要遇到的問(wèn)題,便是網(wǎng)絡(luò)管理的難度相對(duì)較大,所帶來(lái)的工作量也會(huì)隨之加大;網(wǎng)絡(luò)上的信息量多大,不能對(duì)沒(méi)一條信息進(jìn)行逐步有效的監(jiān)管和統(tǒng)計(jì),所以對(duì)于一些警報(bào)和定位的問(wèn)題,修復(fù)起來(lái)就會(huì)很費(fèi)時(shí)間和人力,也會(huì)出現(xiàn)維護(hù)不及時(shí)的問(wèn)題;由于信息的產(chǎn)生很快,和統(tǒng)計(jì)的一些不足,導(dǎo)致無(wú)法集中智能的處理和篩選。這篇文章主要是就網(wǎng)絡(luò)監(jiān)控安全系統(tǒng)的管理和實(shí)現(xiàn)進(jìn)行一個(gè)簡(jiǎn)要的分析。
1 網(wǎng)絡(luò)管理與設(shè)計(jì)
1.1 網(wǎng)絡(luò)管理的意義概念
網(wǎng)絡(luò)管理就是用某一種方式方法來(lái)對(duì)網(wǎng)絡(luò)來(lái)進(jìn)行管理,讓網(wǎng)絡(luò)能夠正常并且有效的運(yùn)行。這樣做的目的是對(duì)網(wǎng)絡(luò)中的信息資源的利用擴(kuò)大到最大化,從實(shí)際操作上來(lái)講,管理可以是對(duì)主干網(wǎng)絡(luò)進(jìn)行管理,可以是對(duì)接收的端口來(lái)進(jìn)行管理,也可以是對(duì)于網(wǎng)絡(luò)資源的信息管理。網(wǎng)絡(luò)信息安全的管理軟件的發(fā)展,從單方面維護(hù)到對(duì)網(wǎng)絡(luò)信息的整理,經(jīng)歷了不少的過(guò)程,做這個(gè)軟件應(yīng)該考慮到,對(duì)于信息的整理和分析,達(dá)到真正的網(wǎng)絡(luò)高效的管理。
1.2 網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的設(shè)計(jì)原則
依照當(dāng)今的市場(chǎng)主流思想,這個(gè)系統(tǒng)應(yīng)當(dāng)是一個(gè)在實(shí)現(xiàn)過(guò)程中簡(jiǎn)單可靠,并且實(shí)用的軟件。依據(jù)這個(gè)原則,需要做的便是要研究當(dāng)下的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)技術(shù),對(duì)這個(gè)軟件盡可能的使用成熟先進(jìn)的主流技術(shù)。研究網(wǎng)絡(luò)信息中心的需求,對(duì)需求和特點(diǎn)進(jìn)行分析。對(duì)于其他的一些網(wǎng)絡(luò)監(jiān)管系統(tǒng)進(jìn)行對(duì)比和創(chuàng)新,將不足的地方進(jìn)行簡(jiǎn)化修改和修復(fù)。優(yōu)化該系統(tǒng),讓這個(gè)系統(tǒng)的資源占用小,被監(jiān)管資源也能夠監(jiān)管到位,可操作性強(qiáng),方便,實(shí)用,可靠,簡(jiǎn)單。
1.3 網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的制作目標(biāo)
網(wǎng)絡(luò)監(jiān)管系統(tǒng)是為了讓人能夠更好的對(duì)網(wǎng)絡(luò)進(jìn)行管理,一般而言,對(duì)于系統(tǒng)所需要達(dá)到的目的是根據(jù)客戶要求要做的。而一般系統(tǒng)中,都有一些通用的目標(biāo)特點(diǎn)。能夠遠(yuǎn)程的操控和維護(hù)該系統(tǒng),操作性強(qiáng),能夠跨平臺(tái)的運(yùn)行其主要的運(yùn)用和服務(wù)。遇到漏洞或錯(cuò)誤能夠自動(dòng)的修復(fù),能夠24小時(shí)自動(dòng)對(duì)監(jiān)控對(duì)象進(jìn)行管理。方便使用系統(tǒng)中的功能,易于操作并且擁有一定的課擴(kuò)展性,還能提供比較全面的報(bào)表。
2 網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的結(jié)構(gòu)
2.1 系統(tǒng)的主要結(jié)構(gòu)
就系統(tǒng)來(lái)說(shuō),大致可以分為兩個(gè)部分,也就是后臺(tái)數(shù)據(jù)采集和前臺(tái)的監(jiān)控。后臺(tái)數(shù)據(jù)采集考慮到它的安全性,采用的一般都是獨(dú)立運(yùn)行。后臺(tái)數(shù)據(jù)采集是非常重要的,主要影響到了呼氣的數(shù)據(jù)的整理,獨(dú)立性能減少被攻擊的可能,使系統(tǒng)更加的安全。前臺(tái)的監(jiān)管系統(tǒng)來(lái)說(shuō),主要是連接網(wǎng)絡(luò)設(shè)備和洽談的資源。用來(lái)管理資源。
2.2 網(wǎng)絡(luò)設(shè)備的管理
在網(wǎng)絡(luò)發(fā)現(xiàn)模塊傳送到了計(jì)算機(jī)內(nèi)的時(shí)候,能夠通過(guò)網(wǎng)絡(luò)的設(shè)備所連接到的所有的客戶端口,可以在端口中建立新的管理屬性。例如將主機(jī)、服務(wù)器等設(shè)備,通過(guò)傳送到網(wǎng)絡(luò)管理模塊,來(lái)新添加管理的屬性,例如聯(lián)系人、負(fù)責(zé)人等信息。
2.3 服務(wù)器管理模塊
因?yàn)榉?wù)器十分的主要,所有這個(gè)要作為一個(gè)單獨(dú)的管理模塊,服務(wù)器管理模塊,是被管理的一個(gè)部分。對(duì)于windows的系統(tǒng)的服務(wù)器來(lái)說(shuō),可以用基于windows系統(tǒng)的WMI技術(shù),可以周期性的采集服務(wù)器的處理類、IP包類、網(wǎng)絡(luò)接口類、DUP包類、內(nèi)存類、物理儲(chǔ)存類、TCP包類、服務(wù)類等,以及被管理的計(jì)算機(jī)的運(yùn)行基本狀況信息,例如內(nèi)存占用率、網(wǎng)絡(luò)占用率等,在此同時(shí),也能夠?qū)Ψ?wù)器進(jìn)行遠(yuǎn)程的控制,例如開(kāi)關(guān)機(jī)等。而對(duì)于不是windows的系統(tǒng)來(lái)說(shuō)呢,一般用到的是SNMP協(xié)議的管理,這個(gè)協(xié)議的管理是基礎(chǔ)WMI的技術(shù)而言的。
2.4 網(wǎng)絡(luò)的接入管理模塊。
這里對(duì)于網(wǎng)絡(luò)接入的管理,是采用的IP和MAC地址綁定的方法來(lái)實(shí)現(xiàn)的。對(duì)網(wǎng)絡(luò)接入管理有特殊的要求的情況下來(lái)說(shuō),可以用來(lái)讀取被接入的網(wǎng)絡(luò)設(shè)備,就像,交換機(jī)IP,同時(shí)記錄的了IP地主和MAC地址,如果在意外中發(fā)現(xiàn)了接入設(shè)備的地址,不論是IP地址還是MAC地址,和之前的不同,就可以發(fā)送信息到總計(jì),并且能夠關(guān)閉端口或者是報(bào)警等等可以設(shè)置的措施。對(duì)于安全性來(lái)說(shuō)是必不可少的。
4 系統(tǒng)的主要特點(diǎn)
4.1 可應(yīng)用于多個(gè)平臺(tái)
這個(gè)系統(tǒng)可一用到各種不同的平臺(tái)之中,增加了系統(tǒng)的運(yùn)用率??梢杂糜贚INUX、windows、NT、Unix等平臺(tái),使不同的客戶能夠根據(jù)實(shí)際的情況來(lái)選擇不同的平臺(tái)下的本產(chǎn)品,而且由于通用性好,在端口服務(wù)中,能夠進(jìn)行遠(yuǎn)程的操控。滿足多端口控制,也能夠進(jìn)行自動(dòng)化的集中的監(jiān)控和管理,使用起來(lái)更便捷。
4.2 完善的數(shù)據(jù)庫(kù)
系統(tǒng)能夠?qū)τ诓杉瘉?lái)的信息數(shù)據(jù)進(jìn)行緝拿單的分化操作,支持多種數(shù)據(jù)庫(kù)。由于后臺(tái)的獨(dú)立性,能夠最大化的保證他的安全性,減少訪問(wèn)次數(shù),也能夠減少它的內(nèi)存占用率,讓它運(yùn)行起來(lái)更流暢,也能對(duì)惡意攻擊的系統(tǒng)進(jìn)行屏蔽。
4.3 提供圖紙
能夠直觀的生成系統(tǒng)檢測(cè)圖,從任意一個(gè)模塊開(kāi)始,搜索整個(gè)的網(wǎng)絡(luò),用來(lái)尋找和發(fā)現(xiàn)數(shù)據(jù),快速并方便的自動(dòng)管理網(wǎng)絡(luò)設(shè)備和信息數(shù)據(jù),并傳送到端口。能夠?qū)τ诿恳粋€(gè)系統(tǒng)進(jìn)行監(jiān)控,能夠及時(shí)的發(fā)現(xiàn)軟件是否運(yùn)行正常,管理人員也能夠快速的對(duì)其進(jìn)行定位和使用。
5 結(jié)束語(yǔ)
近年來(lái),隨著信息技術(shù)的進(jìn)步和網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)監(jiān)管安全系統(tǒng)能夠使使用人員能夠快速、方便、安全的對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行分析和管理。同時(shí)也能夠及時(shí)的對(duì)各個(gè)運(yùn)行的軟件和系統(tǒng)進(jìn)行自動(dòng)修復(fù),能夠穩(wěn)定高效的運(yùn)行,同時(shí)保障系統(tǒng)的安全??梢哉f(shuō)在這個(gè)科技高速發(fā)展的今天,這種方便、安全的系統(tǒng)的出現(xiàn)是必然的。
參考文獻(xiàn):
[1]陳兵,土立松.基于立氣層架構(gòu)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)現(xiàn)[J].計(jì)算機(jī)應(yīng)用,2002,22(6).
[2]劉妹,李成忠.網(wǎng)絡(luò)自動(dòng)拓?fù)浒l(fā)現(xiàn)算法的研究與設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用研究,2002,2.
[3]邱林,張建忠.基廠端日流量的物理網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)方法研究[J].計(jì)算機(jī)工程與應(yīng)用,2002,22.
[4]李天劍,曾文方.撲圖自動(dòng)構(gòu)造的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)T程與設(shè)計(jì),2001,2(l).
關(guān)鍵詞:網(wǎng)絡(luò)信息;安全管理;管理制度
中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 11-0000-01
The Study of Computer Network Information Security Management
Yang Liu
(Dazhou Institute of Technology,Dazhou635000,China)
Abstract:The Information technology and network gradually penetrate into the socio-economic sectors and number of key areas,and play an increasingly important role.Therefore,the establishment of the network security system and ensure the safety of users is currently the main content of network information management,has important social significance and economic significance.
Keywords:Network information;Security management;Management system
隨著信息技術(shù)的發(fā)展,信息網(wǎng)絡(luò)正在越來(lái)越多地融入到社會(huì)經(jīng)濟(jì)的各個(gè)方面。在經(jīng)濟(jì)方面,以互聯(lián)網(wǎng)技術(shù)和電子商務(wù)為代表的網(wǎng)絡(luò)經(jīng)濟(jì)日益發(fā)展,已成為人們生活不可缺少的部分。但是,由于互聯(lián)網(wǎng)是一個(gè)開(kāi)放的平臺(tái),用戶越來(lái)越多樣化,導(dǎo)致出于各種不同目的的網(wǎng)絡(luò)入侵和攻擊越來(lái)越頻繁。本文從計(jì)算機(jī)網(wǎng)絡(luò)信息管理出發(fā),探討了網(wǎng)絡(luò)環(huán)境下的信息安全管理途徑,為提高網(wǎng)絡(luò)信息安全提供一點(diǎn)參考。
一、影響網(wǎng)絡(luò)信息安全的主要因素
信息的安全性一直是網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一,如果網(wǎng)絡(luò)信息的安全問(wèn)題得不到解決,對(duì)上網(wǎng)企業(yè)和用戶造成巨大的經(jīng)濟(jì)損失和經(jīng)營(yíng)風(fēng)險(xiǎn)。但歸結(jié)起來(lái),主要的影響因素主要有幾下幾個(gè)方面:
(一)網(wǎng)絡(luò)信息的保護(hù)意識(shí)缺失。網(wǎng)絡(luò)信息的安全需要所有人的共同維護(hù),只有大家的安全意識(shí)都得到全面提高,網(wǎng)絡(luò)信息安全問(wèn)題才能得到根本的解決。由于缺乏安全意識(shí),有些用戶的無(wú)意行為,如授權(quán)管理人員的安全設(shè)置不正確導(dǎo)致不應(yīng)進(jìn)入網(wǎng)絡(luò)的用戶接觸到信息,導(dǎo)致信息的泄露等,都會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)造成極大的影響和破壞。
(二)信息安全保護(hù)手段有待提高。計(jì)算機(jī)病毒一直是網(wǎng)絡(luò)信息安全最直接和影響最廣泛的威脅因素?;ヂ?lián)網(wǎng)的高速發(fā)展也為病毒的迅速傳播提供了途徑和平臺(tái),使得一些高危和破壞性的病毒很容易通過(guò)各種網(wǎng)絡(luò)服務(wù)器以郵件接收、軟件下載、網(wǎng)頁(yè)木馬等形式進(jìn)入用戶電腦,竊取用戶重要信息,給互聯(lián)網(wǎng)的發(fā)展造成了巨大影響
(三)互聯(lián)網(wǎng)系統(tǒng)完整性需要加強(qiáng)?,F(xiàn)階段,來(lái)自網(wǎng)絡(luò)外部的攻擊,如修改網(wǎng)絡(luò)數(shù)據(jù)、竊取和破譯機(jī)密信息等危害信息安全的行為時(shí)有發(fā)生,這主要是因?yàn)楝F(xiàn)在的信息系統(tǒng)常常會(huì)出現(xiàn)各種漏洞。雖然操作系統(tǒng)的設(shè)計(jì)者及各種網(wǎng)絡(luò)軟件不可能完全克服各種安全漏洞,但是由于安全漏洞極容易受到病毒和木馬的攻擊,常常給用戶造成巨大的損失。因此,系統(tǒng)是設(shè)計(jì)者應(yīng)該格外重視系統(tǒng)完整性的構(gòu)建,盡可能的修復(fù)系統(tǒng)可能存在的各種安全漏洞,預(yù)防信息受到外界因素的影響。
(四)重要信息的網(wǎng)絡(luò)傳輸和存儲(chǔ)方式有待創(chuàng)新。對(duì)機(jī)密資料而言,企業(yè)通常將其存儲(chǔ)在網(wǎng)絡(luò)系統(tǒng)內(nèi),往往具有較高的安全風(fēng)險(xiǎn)。當(dāng)信息系統(tǒng)受到外界攻擊時(shí),很容易導(dǎo)致安全保護(hù)手段實(shí)效造成信息的泄露。與此同時(shí),在信息的傳遞構(gòu)成中,往往出現(xiàn)信息丟失或被竊取的情況,給用戶造成非常巨大的損失。作為第三次產(chǎn)業(yè)革命的代表,互聯(lián)網(wǎng)技術(shù)為經(jīng)濟(jì)發(fā)展提供了強(qiáng)勁的經(jīng)濟(jì)增長(zhǎng)點(diǎn)。要維持信息經(jīng)濟(jì)的穩(wěn)定和健康發(fā)展,必須積極加強(qiáng)網(wǎng)絡(luò)信息安全管理。
二、加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理的途徑
隨著信息技術(shù)的發(fā)展,信息技術(shù)的創(chuàng)新已經(jīng)成為利用先進(jìn)技術(shù)手段改變和提升企業(yè)效率的一個(gè)重要方面。如何保證企業(yè)在享受信息化帶來(lái)效率和競(jìng)爭(zhēng)力的同時(shí),認(rèn)清信息系統(tǒng)存在的潛在威脅,并適時(shí)采取強(qiáng)有力的安全保證策略,成為擺在面前的重要任務(wù)。筆者關(guān)于加強(qiáng)網(wǎng)絡(luò)信息安全管理的建議,主要包括以下幾點(diǎn):
(一)建立完善的安全管理制度。如何保證網(wǎng)絡(luò)信息持續(xù)穩(wěn)定和安全,最基本的工作就是要網(wǎng)絡(luò)的安全制度管理的建立,這是一切安全管理的基礎(chǔ)。信息安全的管理制度在保證用戶信息安全性和完整性方面具有非常重要的作用,一方面有助于規(guī)范網(wǎng)絡(luò)環(huán)境下信息的運(yùn)行機(jī)制;另一方面有效的信息安全控制程序在一定程度上可以彌補(bǔ)產(chǎn)品在安全性方面的不足。信息安全管理制度的建立需要企業(yè)根據(jù)自身的情況對(duì)業(yè)務(wù)流程和日常業(yè)務(wù)操作進(jìn)行深入的研究和分析,發(fā)現(xiàn)控制薄弱點(diǎn),制定完善有效的安全保密管理制度和管理策略。
(二)企業(yè)應(yīng)設(shè)立專門(mén)的信息安全管理機(jī)構(gòu)。信息安全管理工作離不開(kāi)利息管理部門(mén)的監(jiān)督和管理。信息安全管理機(jī)構(gòu)可以遵照垂直管理原則,并按照國(guó)家信息系統(tǒng)安全的有關(guān)法律和法規(guī),指導(dǎo)日常信息安全保障工作。
(三)積極創(chuàng)新保護(hù)技術(shù),實(shí)施多重技術(shù)保護(hù)。隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,影響網(wǎng)絡(luò)安全的因素也越來(lái)越多。信息安全保護(hù)技術(shù)要適時(shí)根據(jù)系統(tǒng)安全性的要求,進(jìn)行不斷創(chuàng)新和發(fā)展,保護(hù)網(wǎng)絡(luò)信息的安全。通常而言,保護(hù)網(wǎng)絡(luò)信息安全的主要技術(shù)有防火墻技術(shù)、安全評(píng)估技術(shù)、入侵檢測(cè)技術(shù)、加密技術(shù)、防病毒技術(shù)、身份認(rèn)證技術(shù)等。對(duì)于授權(quán)管理而言,作為安全保密的重要部分,一方面要不斷完善已有的安全保密技術(shù)措施,同時(shí)還要定期對(duì)現(xiàn)行的安全授權(quán)設(shè)置予以監(jiān)督和檢查,避免出現(xiàn)影響信息安全的隱患。
(四)加強(qiáng)員工培訓(xùn)管理,提升員工安全管理意識(shí)。由于網(wǎng)絡(luò)工作人員既是網(wǎng)絡(luò)的具體使用者,也是網(wǎng)絡(luò)信息安全的需求者,因此,加強(qiáng)員工的信息安全意識(shí)培訓(xùn)具有重要的作用和意義。信息安全管理人員的工作內(nèi)容包括有系統(tǒng)的安全分析、辦公自動(dòng)化的操作、系統(tǒng)安全的管理、安全設(shè)備的操作以及軟硬件維修等。網(wǎng)絡(luò)安全管理人員應(yīng)積極通過(guò)各種機(jī)會(huì),不斷提升自己的安全意識(shí)和風(fēng)險(xiǎn)管理能力,提升企業(yè)信息的安全保障能力。
四、結(jié)束語(yǔ)
由于網(wǎng)絡(luò)技術(shù)應(yīng)用的逐步深入,網(wǎng)絡(luò)安全管理工作越來(lái)越關(guān)鍵,因此完善的計(jì)算機(jī)網(wǎng)絡(luò)安全管理顯得十分重要。在分析影響企業(yè)網(wǎng)絡(luò)系統(tǒng)安全體系的時(shí)候,應(yīng)結(jié)合企業(yè)的具體情況,從制度出發(fā),建立完善的風(fēng)險(xiǎn)管理程序,才能實(shí)現(xiàn)真正意義上的網(wǎng)絡(luò)系統(tǒng)安全,把網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降低到最低程度。
一、計(jì)算機(jī)信息網(wǎng)絡(luò)安全管理所面臨的問(wèn)題
(一)計(jì)算機(jī)自身操作系統(tǒng)出現(xiàn)問(wèn)題
計(jì)算機(jī)自身操作系統(tǒng)通常均會(huì)具有很強(qiáng)的開(kāi)發(fā)性。通常情況下,新型計(jì)算機(jī)系統(tǒng)研發(fā)出來(lái)后,都是最基本系統(tǒng),開(kāi)發(fā)商會(huì)在后期不斷進(jìn)行升級(jí)與修改,來(lái)鞏固系統(tǒng)便利度與強(qiáng)度。而這一特性也是計(jì)算機(jī)的弱點(diǎn)所在,由于系統(tǒng)有一定的擴(kuò)展性,因此,黑客或不法分子在進(jìn)行系統(tǒng)侵入時(shí),可以利用計(jì)算機(jī)系統(tǒng)的弱點(diǎn)進(jìn)行攻擊,進(jìn)而達(dá)到入侵目的。當(dāng)計(jì)算機(jī)系統(tǒng)被入侵后,會(huì)使得計(jì)算機(jī)中的信息出現(xiàn)泄漏狀況,進(jìn)而對(duì)使用者造成影響。
(二)計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)安全造成影響
在計(jì)算機(jī)信息網(wǎng)絡(luò)安全隱患中,計(jì)算機(jī)病毒屬于最為嚴(yán)重的隱患之一。計(jì)算機(jī)網(wǎng)絡(luò)病毒不僅會(huì)影響計(jì)算機(jī)的正常運(yùn)行,損壞計(jì)算機(jī)內(nèi)部文件,還具有強(qiáng)大的傳染性與隱蔽性。有些高端計(jì)算機(jī)病毒,在感染到計(jì)算機(jī)系統(tǒng)中后,很難進(jìn)行徹底殺毒,最終只能選擇放棄文件。在計(jì)算機(jī)技術(shù)的不斷發(fā)展中,計(jì)算機(jī)病毒也在不斷進(jìn)步。計(jì)算機(jī)病毒的種類繁多,有時(shí)更是防不勝防。而如今,計(jì)算機(jī)病毒的種類主要包括蠕蟲(chóng)病毒、腳本病毒以及木馬病毒。這三種病毒的主要傳播形式各有不同。對(duì)于蠕蟲(chóng)病毒來(lái)說(shuō),主要是計(jì)算機(jī)使用者在進(jìn)行互聯(lián)網(wǎng)網(wǎng)頁(yè)游覽時(shí),進(jìn)行病毒傳播;對(duì)于木馬病毒來(lái)說(shuō),傳播形式較多,主要是通過(guò)鏈接與網(wǎng)頁(yè)形式進(jìn)行傳播。當(dāng)使用者點(diǎn)擊鏈接或網(wǎng)頁(yè)時(shí),就有可能會(huì)使計(jì)算機(jī)感染上木馬病毒。木馬病毒是以竊取計(jì)算機(jī)內(nèi)部數(shù)據(jù)為目標(biāo)而產(chǎn)生的病毒,而蠕蟲(chóng)病毒是以攻擊計(jì)算機(jī)系統(tǒng)為目標(biāo)而產(chǎn)生的病毒。當(dāng)蠕蟲(chóng)病毒攻擊成功后,能夠控制被攻擊計(jì)算機(jī),具有代表性蠕蟲(chóng)病毒為熊貓燒香病毒。
(三)網(wǎng)絡(luò)黑客對(duì)計(jì)算機(jī)進(jìn)行攻擊
網(wǎng)絡(luò)黑客通常是具有較高水平的計(jì)算機(jī)操作者,能夠?qū)λ说挠?jì)算機(jī)進(jìn)行網(wǎng)絡(luò)攻擊,侵入他人計(jì)算機(jī)進(jìn)行資料竊取與破壞。網(wǎng)絡(luò)黑客進(jìn)行攻擊的形式包括三種。第一種為拒絕服務(wù)式攻擊。通常情況是指網(wǎng)絡(luò)黑客對(duì)他人計(jì)算機(jī)的DOS進(jìn)行攻擊,導(dǎo)致他人的計(jì)算機(jī)網(wǎng)絡(luò)癱瘓,無(wú)法正常傳輸數(shù)據(jù),影響使用。第二種為利用性攻擊。通常是指網(wǎng)絡(luò)黑客為了竊取資料進(jìn)行的攻擊,導(dǎo)致計(jì)算機(jī)使用者的數(shù)據(jù)泄露,造成損失。第三種為虛假信息式攻擊。通常是指網(wǎng)絡(luò)黑客對(duì)計(jì)算機(jī)使用者所使用過(guò)的郵件信息進(jìn)行劫獲,并且對(duì)信息進(jìn)行虛假修改,或者將信息輸入病毒,導(dǎo)致使用者計(jì)算機(jī)癱瘓,影響使用。
二、計(jì)算機(jī)網(wǎng)絡(luò)安全管理策略
(一)建立完善計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度
應(yīng)當(dāng)建立完善的計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度,提高計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性。對(duì)于惡意散播病毒人員,應(yīng)當(dāng)加大懲罰力度,減少病毒散播數(shù)量,進(jìn)而保障計(jì)算機(jī)網(wǎng)絡(luò)信息的安全。同時(shí),還應(yīng)當(dāng)培養(yǎng)專業(yè)人才,來(lái)進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全管理。計(jì)算機(jī)硬件管理對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全也有很大幫助,只有做好硬件保護(hù)工作,提高硬件安全性,才能保障計(jì)算機(jī)網(wǎng)絡(luò)信息安全。
(二)加大對(duì)防病毒技術(shù)的研究力度
病毒對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)安全性有極大的危害,因此必須加大對(duì)防病毒技術(shù)的研究力度。主要的防病毒技術(shù)有防毒軟件、防病毒系統(tǒng)。防毒軟件主要是為個(gè)人計(jì)算機(jī)所安裝的防病毒技術(shù),能夠?qū)Σ《具M(jìn)行查殺。尤其是對(duì)于從網(wǎng)絡(luò)上下載的不明內(nèi)容文件,具有很大作用。由于個(gè)人在使用計(jì)算機(jī)時(shí),可能防范病毒的能力較低,很容易發(fā)生計(jì)算機(jī)中毒現(xiàn)象,進(jìn)而導(dǎo)致計(jì)算機(jī)信息泄露或受損。而防毒軟件技術(shù)的研發(fā),能夠自動(dòng)對(duì)網(wǎng)絡(luò)文件進(jìn)行檢查,當(dāng)發(fā)現(xiàn)病毒蹤跡時(shí),可以提醒計(jì)算機(jī)使用者進(jìn)行查殺或者阻止其繼續(xù)下載。而對(duì)于防病毒系統(tǒng),主要運(yùn)用在重要場(chǎng)合。在進(jìn)行查殺病毒時(shí),應(yīng)當(dāng)注意將防毒軟件的病毒庫(kù)更新至最新?tīng)顟B(tài),防止出現(xiàn)漏網(wǎng)之魚(yú)。只有這樣,才能保障計(jì)算機(jī)的信息安全不受侵害。
(三)防火墻技術(shù)的研發(fā)
防火墻技術(shù)主要包括兩方面內(nèi)容,其一是應(yīng)用級(jí)防火墻。主要是對(duì)使用者的服務(wù)器數(shù)據(jù)進(jìn)行檢查,當(dāng)發(fā)現(xiàn)外界非法侵入時(shí),可以將服務(wù)器與計(jì)算機(jī)及時(shí)斷開(kāi),防止侵入者入侵到計(jì)算機(jī)系統(tǒng)中,提高計(jì)算機(jī)網(wǎng)絡(luò)信息安全性。其二是包過(guò)濾防火墻,主要是對(duì)路由器到計(jì)算機(jī)之間的數(shù)據(jù)進(jìn)行檢查與過(guò)濾。當(dāng)有危險(xiǎn)臨近時(shí),可以及時(shí)的進(jìn)行攔截,并且具有提醒功能,讓使用者可以提升警惕性。通過(guò)防火墻技術(shù)可以很好的保障計(jì)算機(jī)信息安全性,防止外界病毒或攻擊侵入計(jì)算機(jī)系統(tǒng)中。
三、結(jié)束語(yǔ)
計(jì)算機(jī)使用的普及,帶給人們便利的同時(shí)也帶來(lái)一些危險(xiǎn)性。為了能夠保障計(jì)算機(jī)網(wǎng)絡(luò)信息安全性,減少數(shù)據(jù)損壞或泄露給使用者帶來(lái)的損失,應(yīng)當(dāng)加大對(duì)計(jì)算機(jī)安全性問(wèn)題的重視[4]。可以建立完善的計(jì)算機(jī)安全管理制度,培養(yǎng)更多的優(yōu)秀管理人才,加快防毒技術(shù)與防火墻技術(shù)的研究步伐,來(lái)確保計(jì)算機(jī)信息網(wǎng)絡(luò)的安全性。只有計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)真正的獲得了安全,才能夠保障使用者的利益不受侵害,讓計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)成為人們最強(qiáng)有力的助手,提高人們的生活、生產(chǎn)水平。
參考文獻(xiàn)
[1]楊福貞.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)的安全管理技術(shù)探究[J].佳木斯教育學(xué)院學(xué)報(bào),2013,06(17):473-475.
[2]張世民.計(jì)算機(jī)網(wǎng)絡(luò)的安全設(shè)計(jì)與系統(tǒng)化管理探究[J].煤炭技術(shù),2013,06(10):224-226.
[3]楊麗坤,張文婷.探究計(jì)算機(jī)網(wǎng)絡(luò)的安全設(shè)計(jì)與系統(tǒng)化管理[J].電子制作,2014,01(32):160.
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤(pán)版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)