前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全培訓(xùn)方案主題范文,僅供參考,歡迎閱讀并收藏。
大慶油田采油二廠作業(yè)區(qū)計算機網(wǎng)絡(luò)安全存在如下問題: 網(wǎng)絡(luò)病毒泛濫、來自黑客攻擊、信息丟失、服務(wù)被拒絕等。另外作業(yè)區(qū)采用的是對等網(wǎng)網(wǎng)絡(luò)系統(tǒng), 系統(tǒng)漏洞補丁不能自動下載、分發(fā)、安裝, 使用的是固定IP 地址, 更容易受到攻擊。為此確定了以下幾個必須考慮的安全防護要點: ①采用域管理網(wǎng)絡(luò)系統(tǒng)方式; ②由于網(wǎng)絡(luò)協(xié)議本身以及網(wǎng)絡(luò)產(chǎn)品設(shè)計上的缺陷, 使病毒及非法訪問有了可乘之機, 并且新的漏洞不斷被發(fā)現(xiàn), 評估網(wǎng)絡(luò)安全性可提高信息網(wǎng)絡(luò)抗風險能力; ③保證每臺上網(wǎng)的計算機都安裝防病毒軟件, 是計算機網(wǎng)絡(luò)安全工作的重要環(huán)節(jié)之一; ④作業(yè)區(qū)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間安置防火墻進行有效地隔離是必要的; ⑤增加對網(wǎng)絡(luò)的監(jiān)控機制可以規(guī)范網(wǎng)絡(luò)訪問行為, 進一步完善網(wǎng)絡(luò)安全策略, 提高網(wǎng)絡(luò)安全防御能力。
2. 網(wǎng)絡(luò)安全整體規(guī)劃
(1) 網(wǎng)絡(luò)安全目標: ①防止病毒、黑客對網(wǎng)絡(luò)系統(tǒng)的破壞; ②保證網(wǎng)絡(luò)數(shù)據(jù)的安全性, 將網(wǎng)絡(luò)系統(tǒng)風險降到最低; ③在異常訪問情況下, 保證系統(tǒng)正常運行; ④在網(wǎng)絡(luò)管理傳輸時數(shù)據(jù)不被修改和不被竊取; ⑤規(guī)范網(wǎng)絡(luò)訪問行為, 正確確定安全策略及科學(xué)的安全風險評估; ⑥保證系統(tǒng)滿足提供其它增值服務(wù)的需要; ⑦為客戶不間斷(7 ×24) 、全天候、多方位的滿意服務(wù)。
(2) 安全方案設(shè)計原則。從現(xiàn)網(wǎng)絡(luò)系統(tǒng)的整體角度考慮安全項目, 制定有效、可行的安全措施,建立完整的網(wǎng)絡(luò)安全防范體系。
3. 網(wǎng)絡(luò)安全方案
網(wǎng)絡(luò)安全評估方案針對作業(yè)區(qū)目前的網(wǎng)絡(luò)結(jié)構(gòu)和計算機系統(tǒng)分布, 實施全面的網(wǎng)絡(luò)安全評估。
通過漏洞掃描、系統(tǒng)評估等技術(shù)定期對網(wǎng)絡(luò)硬件系統(tǒng)、網(wǎng)絡(luò)軟件平臺、網(wǎng)絡(luò)數(shù)據(jù)、網(wǎng)絡(luò)通信及網(wǎng)絡(luò)管理等5 個層次進行全面的安全隱患和脆弱性分析, 全面給出每個層次的安全隱患、脆弱性報告以及安全性整改建議, 為信息安全決策和管理提供依據(jù)。
(1) 網(wǎng)絡(luò)防病毒方案。采用網(wǎng)絡(luò)版防病毒軟件, 保證病毒庫及時更新, 從而防病毒更有效。
(2) 防火墻隔離方案。邊界采用高速硬件防火墻, 防止來自外部的非法入侵、攻擊。
(3) 網(wǎng)絡(luò)入侵檢測系統(tǒng)。入侵檢測機制能夠?qū)W(wǎng)絡(luò)系統(tǒng)各主要環(huán)節(jié)進行實時檢測, 以便能及時發(fā)現(xiàn)或識別攻擊者的企圖。當發(fā)現(xiàn)異常時, 網(wǎng)絡(luò)系統(tǒng)及時做出適當?shù)捻憫?yīng), 通知網(wǎng)絡(luò)管理員。在作業(yè)區(qū)網(wǎng)絡(luò)與Internet 網(wǎng)絡(luò)之間設(shè)置入侵檢測系統(tǒng), 它與防火墻聯(lián)動并行接入網(wǎng)絡(luò)中, 監(jiān)測來自Internet 、作業(yè)區(qū)內(nèi)網(wǎng)的攻擊行為。當有入侵行為時, 主動通知防火墻阻斷攻擊源。
(4) 網(wǎng)絡(luò)管理系統(tǒng)及系統(tǒng)結(jié)構(gòu)。采用域管理模式, 使管理員可以全網(wǎng)監(jiān)視, 也可遠程實時管理網(wǎng)絡(luò), 將固定IP 改為虛擬IP , 實現(xiàn)系統(tǒng)漏洞補丁的自動下載、分發(fā)及安裝, 從而保證網(wǎng)絡(luò)內(nèi)計算機系統(tǒng)的及時更新。
(5) 網(wǎng)絡(luò)安全服務(wù)體系方案。通過網(wǎng)絡(luò)安全公司工程師對網(wǎng)絡(luò)安全風險評估結(jié)果和建設(shè)性意見,對網(wǎng)絡(luò)進行脆弱性修補, 以提高作業(yè)區(qū)的網(wǎng)絡(luò)安全: ①對實體的修補和改造; ②對平臺的修補和改造; ③對數(shù)據(jù)安全性的修補和改造; ④對通信安全性的修補和改造; ⑤對管理機制的完善。網(wǎng)絡(luò)安全跟蹤服務(wù): ①全程跟蹤服務(wù); ②7 ×24 小時技術(shù)支持服務(wù); ③重大疫情的公告; ④緊急救援服務(wù); ⑤定期檢測和審計。
網(wǎng)絡(luò)安全信息服務(wù): 網(wǎng)絡(luò)安全公司為作業(yè)區(qū)網(wǎng)絡(luò)實時提供世界上最新出現(xiàn)的安全漏洞和安全升級、病毒疫情通告, 保證作業(yè)區(qū)網(wǎng)絡(luò)安全體系達到與當月世界最新安全技術(shù)的同步。
網(wǎng)絡(luò)安全培訓(xùn)服務(wù): 通過專業(yè)的培訓(xùn)將使作業(yè)區(qū)網(wǎng)絡(luò)管理人員對反病毒、反黑客的意識和產(chǎn)品的使用達到一個全新的層次。
Crowd Research調(diào)查了35,000多個信息安全社群的網(wǎng)絡(luò)安全專業(yè)人士。盡管工作負載繼續(xù)迅速轉(zhuǎn)移到云服務(wù),安全問題仍然非常嚴重。1/3的企業(yè)將增加云安全預(yù)算。目前,云環(huán)境比以往更需要安全培訓(xùn)、專業(yè)人士和創(chuàng)新的安全工具。
報告亮點:
云計算已經(jīng)成為應(yīng)用、服務(wù)和基礎(chǔ)設(shè)施交付主流,對云安全的擔憂仍然居高不下。受訪者最擔心的云安全問題是防范數(shù)據(jù)丟失(57%)、數(shù)據(jù)隱私威脅(49%)和保密違規(guī)(47%)。
遷移到云帶來新的安全挑戰(zhàn),需要新的技能。為了解決這些問題,53%的企業(yè)希望培訓(xùn)目前的IT雇員,其次是與托管服務(wù)提供商合作(30%)、利用軟件解決方案(27%)和聘用專業(yè)人員(26%)。
隨著越來越多的工作轉(zhuǎn)移到云端,企業(yè)已經(jīng)意識到傳統(tǒng)的安全工具不是針對云計算的(78%),無法解決云安全挑戰(zhàn)。因此需要專門為云計算設(shè)計的安全管理和控制解決方案,以防范數(shù)據(jù)泄露。
可視化云計算基礎(chǔ)設(shè)施是受訪者最頭疼的安全管理任務(wù)(37%)。其次是合規(guī)(36%)和制定一致的安全政策(33%)。
關(guān)鍵詞:電力制造企業(yè);計算機網(wǎng)絡(luò);安全
一、安全風險分析
電力制造企業(yè)計算機網(wǎng)絡(luò)一般都會將生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)絕對分隔開來,以避免外來因素對生產(chǎn)系統(tǒng)造成損害,在生產(chǎn)控制系統(tǒng)中常見的風險一般為生產(chǎn)設(shè)備和控制系統(tǒng)的故障。管理網(wǎng)絡(luò)中常見的風險種類比較多,通??梢詣澐譃橄到y(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見的風險有操作系統(tǒng)和數(shù)據(jù)庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒(濫用授權(quán))、電源中斷、通信中斷、軟硬件故障、計算機病毒(惡意代碼)等,上述風險所造成的后果一般為數(shù)據(jù)丟失或數(shù)據(jù)錯誤,使數(shù)據(jù)可用性大大降低。網(wǎng)絡(luò)中的線路中斷、病毒發(fā)作或工作站失效、假冒他人言論等風險,會使數(shù)據(jù)完整性和保密性大大降低。鑒于管理網(wǎng)絡(luò)中風險的種類多、受到攻擊的可能性較大,因此生產(chǎn)控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接。當需要數(shù)據(jù)傳輸時必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或?qū)S酶綦x裝置。
二、安全需求分析
一般電力制造企業(yè)的安全系統(tǒng)規(guī)劃主要從安全產(chǎn)品、安全策略、安全的人三方面著手,其中安全策略足安全系統(tǒng)的核心,直接影響安全產(chǎn)品效能的發(fā)揮和人員的安全性(包括教育培訓(xùn)和管理制度),定置好的安全策略將成為企業(yè)打造網(wǎng)絡(luò)安全最重要的環(huán)節(jié),必須引起發(fā)電企業(yè)高度重視。安全產(chǎn)品主要為控制和抵御黑客和計算機病毒(包括惡意代碼)通過各種形式對網(wǎng)絡(luò)信息系統(tǒng)發(fā)起的惡意攻擊和破壞,是抵御外部集團式攻擊、確保各業(yè)務(wù)系統(tǒng)之間不產(chǎn)生消極影響的技術(shù)手段和工具,是確保業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)的完整性和準確性的基本保障,需要兼顧成本和實效。安全的人員是企業(yè)經(jīng)營鏈中的細胞,既可以成為良性資產(chǎn)又可能成為主要的威脅,也可以使安全穩(wěn)固又可能非法訪問和泄密,需要加強教育和制度約束。
三、安全思想和原則
電力制造企業(yè)信息安全的主要目標一般可以綜述為:注重“電力生產(chǎn)”的企業(yè)使命,一切為生產(chǎn)經(jīng)營服務(wù);服從“集約化管理”的企業(yè)戰(zhàn)略,樹立集團平臺理念;保證“信息化長效機制和體制”,保證企業(yè)生產(chǎn)控制系統(tǒng)不受干擾。保證系統(tǒng)安全事件(計算機病毒、篡改網(wǎng)頁、網(wǎng)絡(luò)攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時響應(yīng)與及時恢復(fù),數(shù)據(jù)不丟失。(1)先進的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。影響網(wǎng)絡(luò)安全的方面有物理安全、網(wǎng)絡(luò)隔離技術(shù)、加密與認證、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測和最小化原則等多種因素,它們是設(shè)計信息安全方案所必須考慮的,是制定信息安全方案的策略和技術(shù)實現(xiàn)的基礎(chǔ)。要選擇相應(yīng)的安全機制,集成先進的安全技術(shù),形成全方位的安全系統(tǒng)。(2)嚴格的安全管理是確保安全策略落實的基礎(chǔ)。計算機網(wǎng)絡(luò)使用機構(gòu)、企業(yè)、單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)管理辦法,加強內(nèi)部管理,建立適合的網(wǎng)絡(luò)安全管理系統(tǒng)和管理制度,加強培訓(xùn)和用戶管理,加強安全審計和跟蹤體系,提高人員對整體網(wǎng)絡(luò)安全意識。(3)嚴格的法律法規(guī)是網(wǎng)絡(luò)安全保障堅強的后盾。建立健全與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),加強安全教育和宣傳,嚴肅網(wǎng)絡(luò)規(guī)章制度和紀律。對網(wǎng)絡(luò)犯罪嚴懲不貸。
四、安全策略與方法
1、物理安全策略和方法。
物理安全的目的是保護路由器、交換機、工作站、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路的設(shè)計,包括建設(shè)符合標準的中心機房,提供冗余電力供應(yīng)和防靜電、防火等設(shè)施,免受自然災(zāi)害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度,防止非法人員進入機房進行偷竊和破壞活動等,并妥善保管備份磁帶和文檔資料:要建立設(shè)備訪問控制,其作用是通過維護訪問到表以及可審查性,驗證用戶的身份和權(quán)限,防止和控制越權(quán)操作。
2、訪問控制策略和方法。
網(wǎng)絡(luò)安全的目的是將企業(yè)信息資源分層次和等級進行保護,主要是根據(jù)業(yè)務(wù)功能、信息保密級別、安全等級等要求的差異將網(wǎng)絡(luò)進行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi),提高網(wǎng)絡(luò)的整體安全水平,目前路由器、虛擬局域網(wǎng)VL心、防火墻是當前主要的網(wǎng)絡(luò)分段的主要手段。而訪問管理控制是限制系統(tǒng)內(nèi)資源的分等級和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認證,以用戶名和密碼的驗證為主,必要時可將密碼技術(shù)和安全管理中心結(jié)合起來,實現(xiàn)多重防護體系,防止內(nèi)容非法泄漏,保證應(yīng)用環(huán)境安全、應(yīng)用區(qū)域邊界安全和網(wǎng)絡(luò)通信安全。
3、開放的網(wǎng)絡(luò)服務(wù)策略和方法。
Internet安全策略是既利用廣泛、快捷的網(wǎng)絡(luò)信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術(shù),利用防火墻來構(gòu)建堅固的大門,同時對Web服務(wù)和FTP服務(wù)采取積極審查的態(tài)度,更要強化內(nèi)部網(wǎng)絡(luò)用戶的責任感和守約,必要時增加審計手段。
4、電子郵件安全策略和方法。
電子郵件策略主要是針對郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來越多,迫使防范技術(shù)快速發(fā)展,電力制造企業(yè)可以在電子郵件安全方案加大投入或委托專業(yè)公司進行。
5、網(wǎng)絡(luò)反病毒策略和方法。
每個電力制造企業(yè)為了處理計算機病毒感染事件,都要消耗大量的時間和精力,而且還會造成一些無法挽回的損失,必須制定反計算機病毒的策略。目前反病毒技術(shù)已由掃描、檢查、殺毒發(fā)展到了到實時監(jiān)控,并且針對特殊的應(yīng)用服務(wù)還出現(xiàn)了相應(yīng)的防毒系統(tǒng),如網(wǎng)關(guān)型病毒防火墻以及郵件反病毒系統(tǒng)等。
目前,計算機網(wǎng)絡(luò)與信息安全已經(jīng)被納入電力制造企業(yè)的安全生產(chǎn)管理體系中,并根據(jù)“誰主管、誰負責、聯(lián)合保護、協(xié)調(diào)處置”的原則,實行“安全第一、預(yù)防為主、管理與技術(shù)并重、綜合防范”的方針,在建立健全電力制造企業(yè)內(nèi)部信息安全組織體系的同時,制定完善的信息安全管理措施,建立從上而下的信息安全培訓(xùn)體系,根據(jù)科學(xué)的網(wǎng)絡(luò)安全策略,采用適合的安全產(chǎn)品,確保各項電力應(yīng)用系統(tǒng)和控制系統(tǒng)能夠安全穩(wěn)定的運行,為電力制造企業(yè)創(chuàng)造新業(yè)績鋪路架橋。
參考文獻
關(guān)鍵字:企業(yè)網(wǎng)絡(luò) 醫(yī)院網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)體系 技術(shù)手段
前言:
隨著信息技術(shù)的高速發(fā)展,互聯(lián)網(wǎng)越來越被人們所重視,從農(nóng)業(yè)到工業(yè)再到高科技產(chǎn)業(yè)各行各業(yè)都在使用互聯(lián)網(wǎng)參與行業(yè)生存與競爭。企業(yè)對網(wǎng)絡(luò)的依存度越來越高,網(wǎng)絡(luò)在企業(yè)中所處的位置也越來越重要,系統(tǒng)中存儲著維系企業(yè)生存與競爭的重要資產(chǎn)-------企業(yè)信息資源。但是,諸多因素威脅著計算機系統(tǒng)的正常運轉(zhuǎn)。如,自然災(zāi)害、人員的誤操作等,不僅會造成系統(tǒng)信息丟失甚至完全癱瘓,而且會給企業(yè)造成無法估量的損失。因此,企業(yè)必須有一套完整的安全管理措施,以確保整個計算機網(wǎng)絡(luò)系統(tǒng)正常、高效、安全地運行。本文就影響醫(yī)院計算機網(wǎng)絡(luò)安全的因素、存在的安全隱患及其應(yīng)對策略三個方面進行了做了論述。
一、醫(yī)院網(wǎng)絡(luò)安全存在的風險及其原因
1.自然因素:
1.1病毒攻擊
因為醫(yī)院網(wǎng)絡(luò)同樣也是連接在互聯(lián)網(wǎng)上的一個網(wǎng)絡(luò),所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的,而有些卻是能造成系統(tǒng)崩潰的高危險病毒。病毒一方面會感染大量的機器,造成機器“罷工“并成為感染添另一方面會大量占用網(wǎng)絡(luò)帶寬,阻塞正常流量,形成拒絕服務(wù)攻擊。我們清醒地知道,完全避免所有終端上的病毒是不可能的,但要盡量減少病毒爆發(fā)造成的損失和恢復(fù)時延是完全可能的。但是由于一些工作人員的疏忽,使得醫(yī)院網(wǎng)絡(luò)被病毒攻擊的頻率越來越高,所以病毒的攻擊應(yīng)該引起我們的關(guān)注。
1.2軟件漏洞
任何的系統(tǒng)軟件和應(yīng)用軟件都不能是百分之百的無缺陷和無漏洞的,而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊,主要在以下幾個方面:
1.2.1、協(xié)議漏洞。例如,IMAP和POP3協(xié)議一定要在Unix根目錄下運行,攻擊者利用這一漏洞攻擊IMAP破壞系統(tǒng)的根目錄,從而獲得超級用戶的特權(quán)。
1.2.2、緩沖區(qū)溢出。很多系統(tǒng)在不檢查程序與緩沖區(qū)之間變化的情況下,就接受任何長度的數(shù)據(jù)輸入,把溢出部分放在堆棧內(nèi),系統(tǒng)仍照常執(zhí)行命令。攻擊者就利用這一漏洞發(fā)送超出緩沖區(qū)所能處理的長度的指令,來造成系統(tǒng)不穩(wěn)定狀態(tài)。
1.2.3、口令攻擊。例如,U nix系統(tǒng)軟件通常把加密的口令保存在一個文件中,而該文件可通過拷貝或口令破譯方法受到入侵。因此,任何不及時更新的系統(tǒng),都是容易被攻擊的。
2、人為因素:
2.1操作失誤
操作員安全配置不當造成的安全漏洞,用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。這種情況在企業(yè)計算機網(wǎng)絡(luò)使用初期較常見,隨著網(wǎng)絡(luò)管理制度的建立和對使用人員的培訓(xùn),此種情況逐漸減少.對網(wǎng)絡(luò)安全己不構(gòu)成主要威脅。
2.2惡意攻擊
這是醫(yī)院計算機網(wǎng)絡(luò)所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機密數(shù)據(jù)的泄漏。網(wǎng)絡(luò)黑客和計算機病毒對企業(yè)網(wǎng)絡(luò)(內(nèi)聯(lián)網(wǎng))和公網(wǎng)安全構(gòu)成巨大威脅,每年企業(yè)和網(wǎng)絡(luò)運營商都要花費大量的人力和物力用于這方而的網(wǎng)絡(luò)安全防范,因此防范人為的惡意攻擊將是醫(yī)院網(wǎng)絡(luò)安全工作的重點。
二、構(gòu)建安全的網(wǎng)絡(luò)體系結(jié)構(gòu)
1.設(shè)計網(wǎng)絡(luò)安全體系的原則
1.1、體系的安全性:設(shè)計網(wǎng)絡(luò)安全體系的最終目的是為保護信息與網(wǎng)絡(luò)系統(tǒng)的安全所以安全性成為首要目標。要保證體系的安全性,必須保證體系的完備性和可擴展性。
1.2、系統(tǒng)的高效性:構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運行,如果安全影響了系統(tǒng)的運行,那么就需要進行權(quán)衡了,必須在安全和性能之間選擇合適的平衡點。網(wǎng)絡(luò)系統(tǒng)的安全體系包含一些軟件和硬件,它們也會占用網(wǎng)絡(luò)系統(tǒng)的一些資源。因此,在設(shè)計網(wǎng)絡(luò)安全體系時必須考慮系統(tǒng)資源的開銷,要求安全防護系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運轉(zhuǎn)。
1.3、體系的可行性:設(shè)計網(wǎng)絡(luò)安全體系不能純粹地從理論角度考慮,再完美的方案,如果不考慮實際因素,也只能是一些廢紙。設(shè)計網(wǎng)絡(luò)安全體系的目的是指導(dǎo)實施,如果實施的難度太大以至于無法實施,那么網(wǎng)絡(luò)安全體系本身也就沒有了實際價值。
1.4、體系的可承擔性:網(wǎng)絡(luò)安全體系從設(shè)計到實施以及安全系統(tǒng)的后期維護、安全培訓(xùn)等各個方面的工作都要由企業(yè)來支持,要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多,那么我們就不該采用這個方案。所以,在設(shè)計網(wǎng)絡(luò)安全體系時,必須考慮企業(yè)的業(yè)務(wù)特點和實際承受能力,沒有必要按電信級、銀行級標準來設(shè)計這四個原則,可以簡單的歸納為:安全第一、保障性能、投入合理、考慮發(fā)展。
2、網(wǎng)絡(luò)安全體系的建立
網(wǎng)絡(luò)安全體系的定義:網(wǎng)絡(luò)安全管理體系是一個在網(wǎng)絡(luò)系統(tǒng)內(nèi)結(jié)合安全
技術(shù)與安全管理,以實現(xiàn)系統(tǒng)多層次安全保證的應(yīng)用體系。
網(wǎng)絡(luò)系統(tǒng)完整的安全體系
系統(tǒng)物理安全性主要是指從物理上保證系統(tǒng)中各種硬件設(shè)備的安全可靠,確保應(yīng)用系統(tǒng)正常運行。主要包括以下幾個方面:
(1)防止非法用戶破壞系統(tǒng)設(shè)備,干擾系統(tǒng)的正常運行。
(2)防止內(nèi)部用戶通過物理手段接近或竊取系統(tǒng)設(shè)備,非法取得其中的數(shù)據(jù)。
(3 )為系統(tǒng)關(guān)鍵設(shè)備的運行提供安全、適宜的物理空間,確保系統(tǒng)能夠長期、穩(wěn)定和高效的運行。例如:中心機房配置溫控、除塵設(shè)備等。
網(wǎng)絡(luò)安全性主要包括以下幾個方面:
(1)限制非法用戶通過網(wǎng)絡(luò)遠程訪問和破壞系統(tǒng)數(shù)據(jù),竊取傳輸線路中的數(shù)據(jù)。
(2)確保對網(wǎng)絡(luò)設(shè)備的安全配置。對網(wǎng)絡(luò)來說,首先要確保網(wǎng)絡(luò)設(shè)備的安全配置,保證非授權(quán)用戶不能訪問任意一臺計算機、路由器和防火墻。
(3)網(wǎng)絡(luò)通訊線路安全可靠,抗干擾。屏蔽性能好,防止電磁泄露,減
一、電力信息網(wǎng)安全現(xiàn)狀分析
結(jié)合電力生產(chǎn)特點,從電力信息系統(tǒng)和電力運行實時控制系統(tǒng)2個方面,分析電力系統(tǒng)信息安全存在的問題。電力信息系統(tǒng)已經(jīng)初步建立其安全體系,將電力信息網(wǎng)絡(luò)和電力運行實時控制網(wǎng)絡(luò)進行隔離,網(wǎng)絡(luò)間設(shè)置了防火墻,購買了網(wǎng)絡(luò)防病毒軟件,有了數(shù)據(jù)備份設(shè)備。但電力信息網(wǎng)絡(luò)的安全是不平衡的,很多單位沒有網(wǎng)絡(luò)防火墻,沒有數(shù)據(jù)備份的概念,更沒有對網(wǎng)絡(luò)安全做統(tǒng)一,長遠的規(guī)劃,網(wǎng)絡(luò)中有許多的安全隱患。朝陽供電公司嚴格按照省公司的要求,對網(wǎng)絡(luò)安全進行了全方位的保護,防火墻、防病毒、入侵檢測、網(wǎng)管軟件的安裝、VerJtas備份系統(tǒng)的使用,確保了信息的安全,為生產(chǎn)、營業(yè)提供了有效的技術(shù)支持。但有些方面還不是很完善,管理起來還是很吃力,給網(wǎng)絡(luò)的安全埋伏了很多的不利因素。這些都是將在以后急需解決的問題。
二、電力信息網(wǎng)安全防護方案
1.加強電力信息網(wǎng)安全教育
信息用戶,重點是學(xué)習(xí)各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應(yīng)該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓(xùn)。安全教育應(yīng)當定期的、持續(xù)的進行。在企業(yè)中建立安全文化并納入整個企業(yè)文化體系中才是最根本的解決辦法。
2.電力信息髓安全防護技術(shù)措旌
(1)網(wǎng)絡(luò)防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。D M Z區(qū)放置了企業(yè)對外提供各項服務(wù)的服務(wù)器,既能夠保證提供正常的服務(wù),又能夠有效地保護服務(wù)器不受攻擊。設(shè)置防火墻的訪問策略,遵循“缺省全部關(guān)閉,按需求開通的原則”,拒絕除明確許可證外的任何服務(wù)。
(2)物理隔離裝置:主要用于電力信息網(wǎng)的不同區(qū)之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
(3)入侵檢測系統(tǒng):部署先進的分布式入侵檢測構(gòu)架,最大限度地、全天候地實施監(jiān)控,提供企業(yè)級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為網(wǎng)絡(luò)管理人員提供強有力的保障。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術(shù),具有高可靠性、高識別率、規(guī)則更新迅速等特點。
(4)網(wǎng)絡(luò)隱患掃描系統(tǒng):網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP/IP協(xié)議的設(shè)備,掃描的對象包括掃描多種操作系統(tǒng),掃描網(wǎng)絡(luò)設(shè)備包括:服務(wù)器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網(wǎng)絡(luò)中不同的位置對網(wǎng)絡(luò)設(shè)備進行掃描。
掃描結(jié)束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結(jié)果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
(5)網(wǎng)絡(luò)防病毒:為保護電力信息網(wǎng)絡(luò)受病毒侵害,保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性,應(yīng)構(gòu)建從主機到服務(wù)器的完善的防病毒體系。以服務(wù)器作為網(wǎng)絡(luò)的核心,對整個網(wǎng)絡(luò)部署查、殺毒,服務(wù)器通過Internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺、各種數(shù)據(jù)庫平臺、各種應(yīng)用軟件。
(6)數(shù)據(jù)加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現(xiàn)文件存儲和傳輸?shù)谋C芎屯暾砸?,實現(xiàn)對文件訪問的控制。對通信安全,采用數(shù)據(jù)加密,信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進行保護,實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術(shù),提高實時的信息傳播中的保密性和安全性。
(7)數(shù)據(jù)備份:對于企業(yè)來說,最珍貴的是存儲在存儲介質(zhì)中的數(shù)據(jù)信息。數(shù)據(jù)備份和容錯方案是必不可少的,必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施及切合實際的數(shù)據(jù)備份策略。
(8)數(shù)據(jù)庫安全:通過數(shù)據(jù)存儲加密、完整性檢驗和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機密和完整性,并實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。
3.電力信息網(wǎng)安全防護管理措施
技術(shù)是安全的主體,管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證。
(1)要加強信息人員的安全教育,保持信息人員特別是網(wǎng)絡(luò)管理人員和安全管理人員的相對穩(wěn)定,防止網(wǎng)路機密泄露,特別是注意人員調(diào)離時的網(wǎng)絡(luò)機密的泄露。
(2)對各類密碼要妥善管理,杜絕默認密碼,出廠密碼,無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調(diào)離時密碼一定要更新。
(3)技術(shù)管理,主要是指各種網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)安全設(shè)備的安全策略,如防火墻、物理隔離設(shè)備、入侵檢測設(shè)備、路由器的安全策略要切合實際。
(4)數(shù)據(jù)的備份策略要合理,備份要及時,備份介質(zhì)保管要安全,要注意備份介質(zhì)的異地保存。
(5)加強信息設(shè)備的物理安全,注意服務(wù)器、計算機、交換機、路由器、存儲介質(zhì)等設(shè)備的防火、防盜、防水、防潮、防塵、防靜電等。
(6)注意信息介質(zhì)的安全管理,備份的介質(zhì)要防止丟失和被盜。報廢的介質(zhì)要及時清除和銷毀,特別要注意送出修理的設(shè)備上存儲的信息的安全。
三、電力信息網(wǎng)絡(luò)安全工作應(yīng)注意的問題
(1)理順技術(shù)與管理的關(guān)系。
解決信息安全問題不能僅僅只從技術(shù)上考慮,要防止重技術(shù)輕管理的傾向,加強對人員的管理和培訓(xùn)。
(2)解決安全和經(jīng)濟合理的關(guān)系。安全方案要能適應(yīng)長遠的發(fā)展和今后的局部調(diào)整,防止不斷改造,不斷投入。
(3)要進行有效的安全管理,必須建立起一套系統(tǒng)全面的信息安全管理體系,可以參照國際上通行的一些標準來實現(xiàn)。
關(guān)鍵詞: 桌面終端;安全防護體系;安全要求
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2012)0220131-01
0 前言
隨著互聯(lián)網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)的發(fā)展,信息傳播范圍和獲取手段發(fā)生著日新月異的變化。桌面終端在企業(yè)員工日常工作中已被廣泛使用,成為基本工具。桌面終端需要頻繁地訪問與企業(yè)生產(chǎn)運行密切相關(guān)的各種各樣的信息系統(tǒng),大量敏感或信息存儲在桌面或移動存儲介質(zhì)中。同時,來自于企業(yè)計算機網(wǎng)絡(luò)外部或內(nèi)部的攻擊活動有增無減,變化無常,加之企業(yè)內(nèi)部桌面非法接入的情況較為普遍,以及桌面安全的管理規(guī)章制度沒有切實有效的管理手段。目前企業(yè)信息安全面臨嚴峻的挑戰(zhàn),如何保證桌面終端的安全,從而保證企業(yè)整體信息安全,成為日益突出的問題。同時強有力和切實可行的桌面安全管理手段,也將成為企業(yè)信息安全得以保證的基礎(chǔ)。
1 桌面終端的安全要求
隨著企業(yè)信息化建設(shè)的迅速發(fā)展,終端計算機數(shù)量的逐步增加,企業(yè)正常、穩(wěn)定的生產(chǎn)及運行越加依附于企業(yè)網(wǎng)絡(luò)。桌面終端是企業(yè)網(wǎng)絡(luò)的最基本組成部分,也是管理的最薄弱環(huán)節(jié),涉及大量敏感或數(shù)據(jù),管理較為為復(fù)雜,往往成為信息外泄的源頭。
企業(yè)應(yīng)根據(jù)自身的網(wǎng)絡(luò)環(huán)境,結(jié)合基本情況,統(tǒng)一部署防病毒系統(tǒng)和補丁分發(fā)系統(tǒng),并定期對病毒定義文件進行升級和播發(fā)安全補丁。同時為了確保終端用戶合規(guī)接入網(wǎng)絡(luò),應(yīng)建立以端點準入控制系統(tǒng)為基礎(chǔ)的安全防護體系,并執(zhí)行企業(yè)制定的安全策略,阻止不符合安全策略的終端用戶接入企業(yè)網(wǎng)絡(luò)。終端用戶的桌面安全環(huán)境需要由完善的桌面管理系統(tǒng)提供保障,除了利用防病毒和補丁系統(tǒng),來防范和控制木馬、惡意軟件及內(nèi)網(wǎng)的攻擊行為,還要對企業(yè)終端用戶的桌面制定相應(yīng)的安全機制,確保每個接入網(wǎng)絡(luò)的終端用戶都符合企業(yè)安全策略,規(guī)范終端桌面的安全行為,使桌面終端工作在一個安全的防護體系中,保證企業(yè)網(wǎng)絡(luò)在一個安全、穩(wěn)定、有較的環(huán)境中運行。
2 桌面終端安全防護體系建設(shè)
隨著信息技術(shù)應(yīng)用的不斷深入,企業(yè)信息系統(tǒng)集中程度的不斷提高,業(yè)務(wù)對信息系統(tǒng)依賴程度不斷加大?,F(xiàn)有的安全防護系統(tǒng)仍不能完全預(yù)防來自企業(yè)內(nèi)部或外部網(wǎng)絡(luò)的入侵和攻擊,所以需要完善安全防護體系建設(shè),統(tǒng)一建立以防病毒系統(tǒng)、補丁分發(fā)系統(tǒng)和端點準入控制系統(tǒng)為基礎(chǔ)的桌面安全防護系統(tǒng),才能使主要依靠信息化應(yīng)用系統(tǒng)的安全性得到有效保證。
2.1 防病毒系統(tǒng)。防病毒系統(tǒng)體系由總部服務(wù)器獲取最新病毒定義文件下推到各級單位,實現(xiàn)病毒定義文件的逐級升級。防病毒體系的統(tǒng)一部署,有效地防止了病毒和惡意軟件的大面積爆發(fā),為桌面終端安全提供了強有力的保障。
2.2 補丁分發(fā)系統(tǒng)。補丁分發(fā)系統(tǒng)采用總部服務(wù)器過濾最新系統(tǒng)安全補丁并下發(fā)到地區(qū)公司服務(wù)器,地區(qū)公司服務(wù)器自動下發(fā)到終端用戶的總體架構(gòu)方式。補丁管理系統(tǒng)可以幫助企業(yè)對網(wǎng)絡(luò)內(nèi)各種軟件和應(yīng)用系統(tǒng)進行維護和控制。克服安全漏洞并保持生產(chǎn)環(huán)境的穩(wěn)定性。
2.3 端點準入系統(tǒng)。端點準入安全防護體系由總部服務(wù)器下發(fā)企業(yè)總體安全策略,地區(qū)公司接收總部策略后根據(jù)本地實際情況制定個性化策略,管理個人計算機。端點準入控制系統(tǒng)需要提供全面的端點保護功能,實現(xiàn)多層次的安全防護策略,有效應(yīng)對病毒、木馬、蠕蟲等混合安全威脅,有效應(yīng)對來自于互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)的惡意掃描、惡意入侵等安全威脅。
2.4 桌面安全流量監(jiān)控體系。通過桌面安全流量監(jiān)控系統(tǒng),將桌面安全事件和桌面安全技術(shù)支持團隊有機聯(lián)系在一起,建立“發(fā)現(xiàn)-定位-處理”循環(huán)往復(fù)的工作模式,以安全管理團隊自上而下的監(jiān)督、支持和協(xié)同作戰(zhàn),推動各級安全管理團隊的工作,提升管理水平,保證信息安全在桌面端少出問題,從而增強我們整體的信息安全水平。
2.5 數(shù)據(jù)文件電子加密。網(wǎng)絡(luò)中最有價值的是數(shù)據(jù),而敏感或數(shù)據(jù)的安全性越來越重要。網(wǎng)絡(luò)安全產(chǎn)品大部分都集中在這些數(shù)據(jù)的,并沒有針對數(shù)據(jù)本身的安全保障提出有效的解決方案。所以建立電子文檔加密系統(tǒng),可以為員工提供方便易用的文件加密工具,切實增強信息安全水平和意識,有效防止敏感信息泄漏。這對提高整體的信息安全也是切實可行的。電子文檔加密系統(tǒng)是為桌面用戶提供文件加密工具。加密后的文件可有效防范丟失、失竊或在網(wǎng)絡(luò)上傳輸時被非法常截獲等情況下的信息外泄。
2.6 系統(tǒng)安全審計。建立系統(tǒng)安全審計應(yīng)為安全部門或管理員提供及時有效的一組管理數(shù)據(jù)進行分析,以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。利用安全審計結(jié)果,可調(diào)整安全政策,堵住出現(xiàn)的漏洞,為此,系統(tǒng)安全審計應(yīng)該具備以下功能:
1)記錄關(guān)鍵事件:由安全相關(guān)部門統(tǒng)一定義違犯安全的事件,并決定將什么信息記入審計日志。
2)提供可集中處理審計日志的數(shù)據(jù)形式:以標準的、可使用的格式輸出安全審計信息,使安全官員能夠直接利用軟件工具處理這些事件。
3)實時安全報警:擴展現(xiàn)有管理工作的能力并將它們與數(shù)據(jù)鏈路驅(qū)動程序和安全審計能力結(jié)合起來,當發(fā)生與安全有關(guān)的事件時,安全系統(tǒng)就報警通知相應(yīng)的部門。
2.7 加強桌面安全管理。建立嚴格遵守規(guī)章制度,依據(jù)國家法律法規(guī)根據(jù)企業(yè)本身的實際情況制定相關(guān)規(guī)章制度,讓終端用戶遵守相關(guān)制度,可以有效的減少終端安全桌面的事故發(fā)生。培養(yǎng)終端用戶良好的安全意識,安全意識低的必然結(jié)果就是導(dǎo)致信息安全實踐水平較差,所以培養(yǎng)終端用戶的安全意識可以防止利用終端入侵企業(yè)網(wǎng)絡(luò)。加強桌面用戶安全培訓(xùn),經(jīng)常組織安全培訓(xùn)可以提高終端用戶的安全防護知識,提升終端桌面的防御能力。
3 結(jié)語
桌面終端是企業(yè)網(wǎng)絡(luò)運行的基礎(chǔ),也是企業(yè)信息安全最脆弱的部位,目前企業(yè)的安全防護手段不能完全的對桌面終端做到有效的安全管理,所以應(yīng)該根據(jù)需求建立相應(yīng)的安全體系,不僅能增加桌面終端的安全防護能力,同時也減少企業(yè)網(wǎng)絡(luò)面臨的安全威脅,同時應(yīng)提高終端用戶的安全意識,加強安全管理。
參考文獻:
此次收購將進一步增強思科的安全產(chǎn)品組合,依托思科的“安全無處不在”戰(zhàn)略,為企業(yè)提供從云到網(wǎng)絡(luò)再到終端的全面保護。為了加強產(chǎn)品安全,思科在安全產(chǎn)品領(lǐng)域內(nèi)還收購了Lancope、OpenDNS、Sourcefire等企業(yè)。
不僅思科在收購安全企業(yè),很多網(wǎng)絡(luò)基礎(chǔ)設(shè)備供應(yīng)商也在做類似的收購。這一現(xiàn)象說明了一個道理,沒有安全就沒有未來。除了在技術(shù)方面,很多IT廠商還設(shè)立一些獎學(xué)金,并且還組織一些信息和網(wǎng)絡(luò)安全方面的安全競賽,旨在培養(yǎng)相關(guān)技術(shù)人才,思科也于近期設(shè)立1000萬美元全球網(wǎng)絡(luò)安全獎學(xué)金計劃,并進一步增強其安全認證培訓(xùn)產(chǎn)品。
數(shù)據(jù)是關(guān)鍵資產(chǎn)
為什么網(wǎng)絡(luò)和信息安全這么重要?這是因為網(wǎng)絡(luò)安全對于建立信任、提高各種敏捷性、贏取價值是至關(guān)重要的,尤其是在移動計算、物聯(lián)網(wǎng)領(lǐng)域。在這些領(lǐng)域里,數(shù)據(jù)是關(guān)鍵的資產(chǎn),同時,物聯(lián)網(wǎng)應(yīng)用促使聯(lián)網(wǎng)設(shè)備激增,設(shè)備的增多不僅意味著資金投入的增多,而且也意味著自動生成的數(shù)據(jù)的增長。
數(shù)據(jù)是一項關(guān)鍵資產(chǎn),而且也是未來企業(yè)業(yè)績保持增長的非常重要的一環(huán)。每天新增大量的聯(lián)網(wǎng)設(shè)備,使得在物聯(lián)網(wǎng)時代,機器和機器的對話、人機對話、人與人之間的聯(lián)網(wǎng)溝通變得越來越頻繁,伴隨著這些頻繁的信息交流,安全挑戰(zhàn)也越來越大。
為什么這么說呢?首先,企業(yè)的安全產(chǎn)品可能會來自多家廠商,沒有統(tǒng)一的解決方案。而且在云計算環(huán)境下,惡意攻擊越來越頻繁。
其次,世界上的黑客組織越來越嚴密,有預(yù)謀的攻擊正在增長,這些攻擊有的可能是出于商業(yè)目的,有的可能是出于其他目的。企業(yè)與黑客之間的較量不僅僅是技術(shù)方面的,還包括資金實力,以及有無嚴密的防范組織等各方面的較量。
現(xiàn)在的網(wǎng)絡(luò)安全形勢非常嚴峻,有以下幾個特點:首先,安全威脅非常多,而且在高層級架構(gòu)方面也存在很多風險;第二,很多黑客攻擊是直接攻擊核心業(yè)務(wù)系統(tǒng),使得某個網(wǎng)站或者某家企業(yè)的核心業(yè)務(wù)受到影響;第三,企業(yè)面臨嚴重的人才短缺,網(wǎng)絡(luò)安全人才配備不足。
安全技能人才存在缺口
挑戰(zhàn)就擺在面前,那么企業(yè)面臨的最大問題是什么呢?
需要更多的技能嫻熟的網(wǎng)絡(luò)安全人才。但遺憾的是,目前具有嫻熟技能的安全人才是非常稀缺的。思科通過2015年ISACA和RSA大會上的信息系統(tǒng)審計與控制協(xié)會做了一個調(diào)研。調(diào)研表明,很多企業(yè)要花費很長時間才能找到合格的網(wǎng)絡(luò)安全應(yīng)聘者:雖然45%的企業(yè)表示,它們能夠確定攻擊的范圍并避免損失,但還有超過一半以上的企業(yè)根本沒有辦法確認攻擊來自哪里、如何來避免損失; 84%的企業(yè)表示,僅僅有一半的網(wǎng)絡(luò)安全崗位的應(yīng)聘人員能夠滿足企業(yè)的基本要求;53%的企業(yè)表示,它們至少要花半年時間才能夠找到合格的網(wǎng)絡(luò)安全領(lǐng)域應(yīng)聘者。
網(wǎng)絡(luò)安全是企業(yè)運營的重要基礎(chǔ),能夠支持企業(yè)建立信任,更快發(fā)展,贏得更多價值,實現(xiàn)持續(xù)增長。然而,上述調(diào)查數(shù)據(jù)顯示出,全球網(wǎng)絡(luò)安全專業(yè)人才數(shù)量缺口比較大,如何解決這一問題是當務(wù)之急。
為了應(yīng)對網(wǎng)絡(luò)安全人才短缺,思科將投資1000萬美元設(shè)立一項為期兩年的全球網(wǎng)絡(luò)安全獎學(xué)金計劃,以培養(yǎng)更多具備關(guān)鍵網(wǎng)絡(luò)安全技能的出色人才。思科將根據(jù)網(wǎng)絡(luò)安全分析工程師這一行業(yè)工作崗位的要求,提供所需的免費培訓(xùn)、輔導(dǎo)和認證考試。思科將與主要的思科授權(quán)培訓(xùn)合作伙伴攜手實施這一計劃。相關(guān)培訓(xùn)將著眼于彌補關(guān)鍵技能短缺,幫助學(xué)員掌握崗位所需的技能,有效應(yīng)對網(wǎng)絡(luò)安全領(lǐng)域當前和未來面臨的挑戰(zhàn)。
思科一直致力于不斷培養(yǎng)安全認證方面的人才。此次思科推出全新獎學(xué)金計劃,更多的是聚焦整個行業(yè),從更宏觀的角度看待行業(yè)人才短缺問題,并且通過思科幫助整個行業(yè)解決人才短缺問題,使得缺失的技能經(jīng)過合適的培訓(xùn)而彌補,產(chǎn)生更多人才。正是由于看到了行業(yè)的人才稀缺和需求,思科才需要助力整個行業(yè)人才的培養(yǎng),這就是思科推出全球網(wǎng)絡(luò)安全獎學(xué)金計劃的原因。
學(xué)員覆蓋面廣但也有側(cè)重
思科全球網(wǎng)絡(luò)安全獎學(xué)金計劃是在今年1月份由思科CEO羅卓克在達沃斯會議上正式對全球宣布的。獎學(xué)金計劃在8月份正式實施,申請人可以正式向思科提出申請。當然,要獲取這樣的獎學(xué)金是有要求的:第一,年滿18歲或以上的成年人;第二,必須流利掌握英語,因為整個網(wǎng)絡(luò)環(huán)境下英語是主導(dǎo)語言;第三,必須具備一定的計算機知識,因為思科所有的網(wǎng)絡(luò)安全培訓(xùn)需要受訓(xùn)者掌握一定的電腦基礎(chǔ)知識。
為了擴大此次網(wǎng)絡(luò)安全獎學(xué)金計劃宣傳力度,思科正在和各種各樣的組織合作來推廣獎學(xué)金計劃,力求尋找適合學(xué)習(xí)網(wǎng)絡(luò)安全的人才,并且擴大網(wǎng)絡(luò)安全人才庫。申請者需要具備一些基本計算機網(wǎng)絡(luò)知識。首先,申請者可以到思科的獎學(xué)金網(wǎng)站上獲取詳細的信息,對思科基礎(chǔ)性認證有一定了解,并且對于思科網(wǎng)關(guān)和路由有一定的基礎(chǔ)知識;第二,對于操作系統(tǒng),包括Windows操作系統(tǒng)、Linux操作系統(tǒng)等都應(yīng)該有認證或是相關(guān)知識,這只是入門級別的一些要求;另外,如果被錄取的話,申請者獲得獎學(xué)金可以參加思科正式的認證培訓(xùn);最后,學(xué)員在學(xué)到了這些知識之后要向公眾推廣和分享網(wǎng)絡(luò)安全知識。
此獎學(xué)金范圍覆蓋全球,全球每一個國家、每一個地區(qū)都能參與,只要是合格的人才都可以報名參加,但思科還是有一些側(cè)重點的,思科的目的是要擴大全球網(wǎng)絡(luò)安全人才庫,希望能夠注入新鮮血液。思科認證培訓(xùn)部產(chǎn)品戰(zhàn)略總監(jiān)安東娜拉?科諾(Antonella Corno)表示:“思科鼓勵三類群體積極參與其中。 一是職場新人,那些剛剛大學(xué)畢業(yè)、初入職場的人士是未來的中堅力量,也是未來的希望,所以職場新人是思科打造全球網(wǎng)絡(luò)安全人才渠道過程中聚焦的其中一部分;二是女性,不管是IT行業(yè)或者是物聯(lián)網(wǎng)行業(yè)的女性,我們都非常歡迎,這體現(xiàn)了我們多元化的人才培養(yǎng)方向;三是退役軍人,退役軍人是指全球各個國家的退役軍人,并不僅僅是指美國的退役軍人,軍人一般都是訓(xùn)練有素的,只不過他們在部隊所學(xué)到的技能在退役之后用處不大,我們希望他們通過再次培訓(xùn)能夠把良好的素質(zhì)和新學(xué)到的技能結(jié)合起來,進一步融入到新的職場環(huán)境中?!?/p>
當申請者申請參加思科網(wǎng)絡(luò)安全獎學(xué)金計劃的時候,申請人首先需要參加一個在線評估,根據(jù)評估的結(jié)果,思科會篩選哪批人是可以拿到獎學(xué)金的。只要申請者成功通過評估、獲得獎學(xué)金資格,接下來會參加為期三個月的培訓(xùn)。首先參加第一門課程的培訓(xùn),通過第一門考試然后再參加第二門課程的培訓(xùn),通過第二門考試;兩輪考試全部通過之后,就能獲得CCNA網(wǎng)絡(luò)安全運營認證。獲得CCNA網(wǎng)絡(luò)安全運營認證的證書就意味著的培訓(xùn)圓滿成功。
思科CCNA網(wǎng)絡(luò)安全運營認證是向所有人開放的,非學(xué)員也是能夠參加的。但是,獲得獎學(xué)金的學(xué)員有三個月專門學(xué)習(xí)的安排,就是針對CCNA網(wǎng)絡(luò)安全運營認證的學(xué)習(xí),他們的課時費、報名費、考試費用全都由獎學(xué)金覆蓋了,不用額外再支付任何費用。
在這1000萬美元獎學(xué)金計劃中,有多少是分配給中國的?就此,筆者詢問了安東娜拉?科諾,她表示:“這個獎學(xué)金是一個完全開放的獎學(xué)金,我們并沒有針對某個國家或者某個地域劃分所謂分配比例。雖然我們剛才提到了有三類人是我們想要多支持的,像職場新人、IT女性、退役軍人等,但是我們也沒有具體劃分到底應(yīng)該將多少金額劃給這三類人。所以,我們還是開放的,只要符合條件的人都能來申請,也都有可能獲得獎學(xué)金?!?/p>
認證培訓(xùn)內(nèi)容與時俱進
思科的認證都是針對行業(yè)的具體工作職位推出的認證,所以是非常實用和有針對性的。CCNA網(wǎng)絡(luò)安全運營認證是針對在網(wǎng)絡(luò)安全運營中心工作的工程師們推出的認證培訓(xùn)。網(wǎng)絡(luò)安全運營中心是聚集高端人才非常重要的環(huán)境,需要大量具備嫻熟技能的優(yōu)秀人才,個人在職業(yè)生涯從低往高發(fā)展過程中首先要接受入門級的認證培訓(xùn),然后一步一步向上升級,達到個人職業(yè)生涯發(fā)展的頂點,這個認證主要是培訓(xùn)網(wǎng)絡(luò)安全分析工程師所需要的各種技能。
具體是哪些技能的培訓(xùn)呢?該培訓(xùn)包括監(jiān)控整個網(wǎng)絡(luò)安全系統(tǒng),檢測各項網(wǎng)絡(luò)安全攻擊,同時還包括收集和分析各種證據(jù)、關(guān)聯(lián)信息等,最后做到更好地協(xié)調(diào),在攻擊后快速進行部署防范。
思科已推出全新CCNA網(wǎng)絡(luò)安全運營認證(CCNA Cyber Ops Certification),并更新其CCIE安全認證(CCIE Security Certification) 。
關(guān)鍵詞:局域網(wǎng) 安全 管理
隨著信息化的不斷擴展,各類網(wǎng)絡(luò)版應(yīng)用軟件推廣應(yīng)用,計算機網(wǎng)絡(luò)在提高數(shù)據(jù)傳輸效率,實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用,網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已逐步成為各項工作的重要基礎(chǔ)設(shè)施。為了確保各項工作的安全高效運行,計算機網(wǎng)絡(luò)和系統(tǒng)的安全與管理工作就顯得尤為重要。
1、局域網(wǎng)安全威脅分析
局域網(wǎng)是指在小范圍內(nèi)由服務(wù)器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡(luò)。由于通過交換機和服務(wù)器連接網(wǎng)內(nèi)每一臺電腦,因此局域網(wǎng)內(nèi)信息的傳輸速率比較高,同時局域網(wǎng)采用的技術(shù)比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。一般的情況下,局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類:
1.1 核心設(shè)備自身的安全威脅
軟交換網(wǎng)絡(luò)采用呼叫與承載控制相分離的技術(shù),網(wǎng)絡(luò)設(shè)備的處理能力有了很大的提高??梢蕴幚砀嗟脑拕?wù)和承載更多的業(yè)務(wù)負荷,但隨之而來是安全問題。對于采用板卡方式設(shè)計的網(wǎng)絡(luò)設(shè)備,一塊單板在正常情況下能夠承載更多的話務(wù)和負荷,那么在發(fā)生故障時就有可能造成更大范圍的業(yè)務(wù)中斷。
目前,軟交換設(shè)備安全完全依賴廠商的軟硬件的安全設(shè)計,主要通過主備、1+1、N+1備份和自動倒換以及軟硬件模塊化設(shè)計等方式實現(xiàn)故障情況下的切換和隔離。但備份和倒換的可靠性無法保障:關(guān)鍵設(shè)備的倒換(特別是一些關(guān)鍵接口板)一般會影響業(yè)務(wù)或者設(shè)備運行,倒換的成功率目前無法保障,可能在緊急情況下無法順利進行倒換。
1.2 網(wǎng)絡(luò)層面的安全威脅
雖然單個或者區(qū)域核心節(jié)點的安全可以通過負荷分擔或者備份來保證,但是從網(wǎng)絡(luò)層面來看仍然存在安全隱患。在現(xiàn)有的軟交換網(wǎng)絡(luò)中,各種平臺類設(shè)備很多,而且往往都是以單點的形式存在,這些節(jié)點一旦失效,將嚴重影響網(wǎng)絡(luò)業(yè)務(wù)。目前網(wǎng)絡(luò)層面的威脅主要是重要業(yè)務(wù)節(jié)點癱瘓造成的業(yè)務(wù)中斷、擁塞和溢出,其中SHLR、通用號碼轉(zhuǎn)換(一號通平臺)等關(guān)鍵平臺的影響最大。因此,應(yīng)該重視突發(fā)話務(wù)沖擊導(dǎo)致話務(wù)資源耗盡等現(xiàn)象。
1.3 承載網(wǎng)的安全威脅
軟交換系統(tǒng)的承載網(wǎng)絡(luò)采用的是IP分組網(wǎng)絡(luò),通信協(xié)議和媒體信息主要以IP數(shù)據(jù)包的形式進行傳送。承載網(wǎng)面臨的安全威脅主要有網(wǎng)絡(luò)風暴、病毒(蠕蟲病毒)泛濫和黑客攻擊。黑客攻擊網(wǎng)絡(luò)中的關(guān)鍵設(shè)備,篡改其路由和用戶等數(shù)據(jù),導(dǎo)致路由異常,網(wǎng)絡(luò)無法訪問等。從實際運行情況來看,承載網(wǎng)對軟交換網(wǎng)絡(luò)的影響目前是最大的,主要是IP網(wǎng)絡(luò)質(zhì)量不穩(wěn)定引起的。
1.4 接入網(wǎng)的安全威脅
軟交換網(wǎng)絡(luò)提供了靈活、多樣的網(wǎng)絡(luò)接入手段,任何可以接入IP網(wǎng)絡(luò)的地點均可以接入終端。這種特性在為用戶提供方便的同時帶來了安全隱患,一些用戶利用非法終端或設(shè)備訪問網(wǎng)絡(luò),占用網(wǎng)絡(luò)資源,非法使用業(yè)務(wù)和服務(wù),甚至向網(wǎng)絡(luò)發(fā)起攻擊。另外,接入與地點的無關(guān)性,使得安全事件發(fā)生后很難定位發(fā)起安全攻擊的確切地點,無法追查責任人。
正是由于局域網(wǎng)內(nèi)在應(yīng)用上存在這些獨特的特點,造成局域網(wǎng)內(nèi)的病毒快速傳遞,數(shù)據(jù)安全性低,網(wǎng)內(nèi)電腦相互感染,病毒屢殺不盡,數(shù)據(jù)經(jīng)常丟失。根據(jù)這些存在的安全隱患,在局域網(wǎng)中采取如何策略進行防范呢?
2、局域網(wǎng)安全策略控制與管理
局域網(wǎng)安全的控制主要從人員和設(shè)備兩個方面進行考慮:
2.1 局域網(wǎng)中人的行為安全控制
安全是個過程,它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看,主要涉及管理、技術(shù)和應(yīng)用三個層面。要確保信息安全工作的順利進行,必須注重把每個環(huán)節(jié)落實到每個層次上,而進行這種具體操作的是人,人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié),然而這個環(huán)節(jié)的加固又是見效最快的,所以必須加強工作人員的安全培訓(xùn)。對局域網(wǎng)內(nèi)部人員,從下面幾方面進行培訓(xùn):加強安全意識培訓(xùn);加強安全知識培訓(xùn);加強網(wǎng)絡(luò)知識培訓(xùn)。
2.2 局域網(wǎng)的安全策略控制與管理
2.2.1 網(wǎng)絡(luò)系統(tǒng)的安全控制
為保護網(wǎng)絡(luò)的安全,必須對訪問系統(tǒng)及其數(shù)據(jù)的人進行識別,并檢查其合法身份,對進入網(wǎng)絡(luò)系統(tǒng)進行控制。訪問控制首先要把用戶和數(shù)據(jù)進行分類,然后根據(jù)需要把二者匹配起來,把數(shù)據(jù)的不同訪問權(quán)限授予用戶,只有被授權(quán)的用戶才能訪問相應(yīng)的數(shù)據(jù)。入系統(tǒng)訪問控制為系統(tǒng)提供了第一層訪問控制,控制著可以登錄到服務(wù)器網(wǎng)絡(luò)操作系統(tǒng)并獲取系統(tǒng)資源的用戶,通過用戶識別和驗證、用戶口令識別和驗證以及用戶賬號的默認限制檢查進入系統(tǒng),選擇性訪問控制是基于主體或者主體所在組的身份,這種訪問控制是可選擇性的,如果一個主體具有某種訪問權(quán),則它可以直接或簡接地把這種控制權(quán)傳遞給別的主體。選擇性訪問控制被內(nèi)置于許多操作系統(tǒng)當中,是任何安全措施的重要組成部分。文件擁有著可以授予一個用戶或一組用戶訪問權(quán)。
2.2.2 網(wǎng)絡(luò)互連設(shè)備的安全管理
網(wǎng)絡(luò)中的互連設(shè)備包括集線器、交換機、路由器等設(shè)備,這些設(shè)備在網(wǎng)絡(luò)中起著非常重要的鏈接作用,因此,這些設(shè)備的安全性更是關(guān)系到整個網(wǎng)絡(luò)的關(guān)鍵命脈。實際中,一定對網(wǎng)絡(luò)中這些設(shè)備的登錄有嚴格的控制管理,登錄方式只能掌握在網(wǎng)絡(luò)的管理人員手中,網(wǎng)絡(luò)的管理人言要正確配置設(shè)備的參數(shù),運行過程中,能夠順利連接局域網(wǎng)中的各個環(huán)節(jié),使整個網(wǎng)絡(luò)運行順暢。
2.2.3 網(wǎng)絡(luò)終端的安全管理
目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分,對網(wǎng)絡(luò)的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問題,才可以排除網(wǎng)絡(luò)中最大的安全隱患,對于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個方面進行防御。利用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是當前解決局域網(wǎng)安全的關(guān)鍵所在。采取的手段是:利用管理系統(tǒng)控制用戶入網(wǎng);采用防火墻技術(shù);封存所有空閑的IP地址,啟動IP地址綁定,采用上網(wǎng)計算機IP地址與MCA地址唯一對應(yīng),網(wǎng)絡(luò)沒有空閑IP地址的策略;屬性安全控制。啟用殺毒軟件強制安裝策略,監(jiān)測所有運行在局域網(wǎng)絡(luò)上的計算機,對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。
通過了對網(wǎng)絡(luò)中的安全進行了策略的設(shè)置,還要對網(wǎng)絡(luò)的運行過程中做好預(yù)防工作。
3、病毒防治策略
網(wǎng)絡(luò)是目前計算機病毒急速增長,種類快速增加的直接推動力,幾乎任何一種網(wǎng)絡(luò)應(yīng)用都可能成為計算機病毒傳播的有效渠道。由于局域網(wǎng)中數(shù)據(jù)的共享和相互協(xié)作的需要,組成網(wǎng)絡(luò)的每一臺計算機都連接到其他計算機,局域網(wǎng)絡(luò)技術(shù)的應(yīng)用為企業(yè)的發(fā)展做出了貢獻,同時也為計算機病毒的迅速傳播鋪平了道路,同時,由于系統(tǒng)漏洞所產(chǎn)生的安全隱患也會使病毒在局域網(wǎng)中傳播。
由此可見,病毒的侵入必將對系統(tǒng)資源構(gòu)成威脅,影響系統(tǒng)的正常運行。防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關(guān)鍵是對病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的,主要從以下幾個方面制定有針對性的防病毒策略:
(1)增加安全意識和安全知識,對工作人員定期培訓(xùn)。如果技術(shù)人員對網(wǎng)絡(luò)安全產(chǎn)品一只半解,就不能正確配置,甚至根本配置錯誤,不但安全得不到保護,而且還帶來虛假的安全,因此,在網(wǎng)絡(luò)中,首先對技術(shù)人員進行專業(yè)的培訓(xùn)。只有真正掌握安全管理各方面的知識,才能使整套的安全策略得到充分的執(zhí)行和實施。
(2)小心使用移動存儲設(shè)備。日常工作過程中,數(shù)據(jù)的傳輸、備份,難免使用移動存儲設(shè)備,那么,在局域網(wǎng)中使用這些設(shè)備時,注意的問題有:使用是保證存儲設(shè)備的安全性,在使用移動存儲設(shè)備時,要做到不把病毒帶到網(wǎng)絡(luò)中,以防發(fā)生網(wǎng)絡(luò)故障,同時,也注意網(wǎng)絡(luò)中某臺計算機上的病毒感染移動存儲設(shè)備,防止數(shù)據(jù)的丟失。
(3)挑選網(wǎng)絡(luò)版殺毒軟件。目前市面上殺毒軟件比較多,但任何一個殺毒軟件都不能對所有病毒都起作用,我們在選擇殺毒軟件時需要注意到以下幾個方面:首先,殺毒軟件對客戶端設(shè)備的要求不是很高,能夠保證網(wǎng)絡(luò)中層次不齊的客戶端都能安裝該軟件,并且運行起來順暢。其次,殺毒軟件病毒庫升級比較方便,在出現(xiàn)新的病毒時,病毒庫能夠第一時間更新,確??蛻舳瞬槐磺址浮W詈?殺毒軟件使用比較靈活,網(wǎng)絡(luò)中的客戶端都安裝殺毒軟件,但如果依靠人為手動進行查殺,運行起來比較麻煩,選擇殺毒軟件,一定能夠設(shè)置某時間點進行自動查殺。
通過以上策略的設(shè)置,能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)運行中存在的問題,快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲等網(wǎng)絡(luò)安全威脅的切入點,及時、準確的切斷安全事件發(fā)生點和網(wǎng)絡(luò)。
4、信息化安全管理制度
局域網(wǎng)網(wǎng)絡(luò)的安全管理制度是網(wǎng)絡(luò)的安全運行的保障,在制定安全管理制度中,最重要的是關(guān)于網(wǎng)絡(luò)各種文檔的制定。其中有網(wǎng)絡(luò)建設(shè)方案文檔、機房管理制度文檔、各類人員職責分工、安全保密文檔、網(wǎng)絡(luò)安全方案、安全策略文檔、口令管理制度、安全防護記錄、應(yīng)急響應(yīng)方案等等制度。實際中,通過以上各種文檔,在網(wǎng)絡(luò)運行過程中,隨時可以用到,只有健全的管理制度,才能確保更快地處理遇到的各類問題。
5、結(jié)語
局域網(wǎng)網(wǎng)絡(luò)的安全控制與管理是一項長期而艱巨的任務(wù),需要不斷的探索。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化,安全問題日益復(fù)雜化,網(wǎng)絡(luò)安全建設(shè)已不再像單臺計算安全防護那樣簡單。計算機網(wǎng)絡(luò)安全需要建立多層次的、立體的防護體系,要具備完善的管理系統(tǒng)來設(shè)置和維護對安全的防護策略。
關(guān)鍵詞:形態(tài)煙草;內(nèi)網(wǎng)安全;內(nèi)網(wǎng)安全建設(shè)
Abstract: in this paper, the morphological tobacco a network security made simple introduction
Keywords: form tobacco; A network security; Internal network security construction
中圖分類號: TM727.4 文獻標識碼:A 文章編號:2095-2104(2012)
引言
隨著邢臺煙草內(nèi)外網(wǎng)的物理隔離,直接來自Internet威脅消失了。與此同時網(wǎng)絡(luò)邊界部署防火墻和入侵檢測,終端計算機安裝網(wǎng)絡(luò)版的殺毒軟件,病毒服務(wù)器病定期升級。在這些安全設(shè)備的監(jiān)控下,來自網(wǎng)絡(luò)外部的安全威脅大大減少。然而,邢臺煙草面臨的網(wǎng)絡(luò)安全形勢沒有大的好轉(zhuǎn),而且從近幾年出現(xiàn)的網(wǎng)絡(luò)安全事件來看還有上升的趨勢。
一、煙草內(nèi)網(wǎng)安全問題表現(xiàn)形式
1.大量的計算機受病毒侵害。病毒是煙草內(nèi)網(wǎng)中最大的威脅,其出現(xiàn)的頻率最高、影響最廣,最嚴重的可導(dǎo)致信息損失。病毒主要通過邢煙FTP、內(nèi)網(wǎng)電子郵件、可移動媒體、共享文件夾、系統(tǒng)漏洞等方式傳播。如果一臺計算機一旦感染了病毒,在極其短暫的時間內(nèi)就能夠感染連接內(nèi)網(wǎng)多數(shù)計算機,最為典型的是ARP病毒、Office宏病毒、U盤病毒等。病毒感染可導(dǎo)致網(wǎng)絡(luò)的不通、系統(tǒng)數(shù)據(jù)和文件系統(tǒng)的損壞。如果數(shù)據(jù)是先前積累的,則損失將是災(zāi)難性的。
2.內(nèi)部操作系統(tǒng)存在漏洞。有許多新的病毒,或者現(xiàn)有的病毒,利用來系統(tǒng)漏洞傳播病毒。很多內(nèi)網(wǎng)的計算機,即使安裝最新的反病毒軟件,如果系統(tǒng)有漏洞仍然感染病毒和木馬。
3.安全自我防護意識薄弱。煙草內(nèi)部網(wǎng)絡(luò)上的用戶為內(nèi)部職工等非專業(yè)人士,大多數(shù)人對于網(wǎng)絡(luò)安全和問題的自我防護意識非常淡薄,對病毒、系統(tǒng)漏洞、蠕蟲、木馬等知道甚少,少數(shù)人員根本就不懂,一般大多采用防病毒軟件作為防護手段,自己中病毒或者木馬,全然不知。由此產(chǎn)生的現(xiàn)象是用戶的操作系統(tǒng)頻繁死機,或者啟動慢,或者程序反應(yīng)慢,或者打不開程序等等現(xiàn)象,這就意味著網(wǎng)絡(luò)的安全存在極大的風險和隱患。
二、煙草內(nèi)網(wǎng)安全問題原因分析
1.防范措施相對簡單的。由于受傳統(tǒng)防護技術(shù)和觀念的制約,沒有采取有效的防范措施來維護內(nèi)網(wǎng)環(huán)境。在網(wǎng)絡(luò)邊界部署防火墻、IDS入侵檢測系統(tǒng)和防護設(shè)備的同時,不重視安全內(nèi)部網(wǎng)絡(luò)管理。雖采用安全措施如:訪問控制列表(ACL)和虛擬局域網(wǎng)(VLAN)技術(shù),但沒有統(tǒng)一的網(wǎng)絡(luò)管理平臺,出現(xiàn)網(wǎng)絡(luò)完全威脅不容易找到源頭。使得企業(yè)內(nèi)部網(wǎng)絡(luò)的管理和監(jiān)測計劃缺乏系統(tǒng)監(jiān)管機制,這將導(dǎo)致內(nèi)部網(wǎng)絡(luò)的安全風險不容易被發(fā)現(xiàn)。
2.內(nèi)部缺乏一個完善的補丁管理系統(tǒng)。目前,我單位內(nèi)外網(wǎng)計算機分離,有搭建統(tǒng)一系統(tǒng)升級服務(wù)的服務(wù)器,導(dǎo)致許多計算機尤其是Windows系統(tǒng)計算機漏洞不能夠及時升級,導(dǎo)致存在各種類型的安全漏洞。
3.網(wǎng)絡(luò)安全管理制度不完善,使用人員安全意識不高。煙草內(nèi)網(wǎng)是一個特殊的網(wǎng)絡(luò),雖然已建立了相應(yīng)的內(nèi)部網(wǎng)絡(luò)安全管理制度,但是不完整或不全面的,缺乏明確的責任追究機制,不能有效地規(guī)范和約束有些員工使用行為。使用人員安全意識不高,隨意使用U盤,對于出現(xiàn)的安全威脅不知道。出現(xiàn)網(wǎng)絡(luò)安全問題,也沒有嚴厲的懲罰措施。
4.網(wǎng)絡(luò)安全管理員也存在職業(yè)素養(yǎng)欠缺。在思想意識中只要網(wǎng)絡(luò)不癱瘓,就不會有其他問題;在技術(shù)方面,由于管理員的工作較多,遇到嚴重問題的處理方式就只是重新安裝系統(tǒng),并不去過多思考產(chǎn)生的原因,另外也沒有參加系統(tǒng)專業(yè)培訓(xùn);在處理網(wǎng)絡(luò)安全問題,依賴的網(wǎng)絡(luò)工具比較單一。
三、煙草內(nèi)網(wǎng)安全建設(shè)的解決方案
1.建立多層次立體縱深病毒防護體系。當前計算機病毒形式和傳播途徑日趨多樣化,因此內(nèi)網(wǎng)的防病毒工作已經(jīng)不再是單純的某一臺計算機病毒的檢測和清除,必須建立一個多層次、立體的縱深病毒有效防護體系,并且還要建立和維護病毒防護策略。內(nèi)部網(wǎng)絡(luò)病毒防護體系要對一般用戶的客戶端和服務(wù)器進行全面防護。服務(wù)器要關(guān)閉默認的共享、關(guān)閉多余端口、采用安全的Linux操作系統(tǒng)等。搭建統(tǒng)一管理的升級服務(wù)器,通過安裝網(wǎng)絡(luò)漏洞掃描系統(tǒng),及時發(fā)現(xiàn)網(wǎng)絡(luò)漏洞,并在網(wǎng)絡(luò)攻擊者掃描和利用漏洞之前予以修補。
2.建立網(wǎng)絡(luò)安全管理制度。實現(xiàn)相對安全和健全的安全管理體系是網(wǎng)絡(luò)安全管理的重要保證,不但要注重技術(shù)手段,而且更要注重操作人員的職業(yè)操守,盡一切可能控制和減少違法違規(guī)行為,最大限度地減少不安全因素。
3.提高網(wǎng)絡(luò)管理人員素質(zhì),建立統(tǒng)一的網(wǎng)絡(luò)監(jiān)控。一方面為其提供專業(yè)的信息安全培訓(xùn);另一方面要給其壓力:出現(xiàn)大規(guī)模網(wǎng)絡(luò)事件,追究責任,要納入公司績效考核,督促其不斷提高個人能力。建立網(wǎng)絡(luò)監(jiān)控系統(tǒng),能夠?qū)崿F(xiàn)對內(nèi)網(wǎng)監(jiān)控、終端管理(設(shè)備、外設(shè)、程序及上網(wǎng)行為的控制)、威脅預(yù)警、設(shè)備接入進行監(jiān)控,還可以阻止未經(jīng)允許的外來移動設(shè)備接入,防止內(nèi)網(wǎng)信息的泄露和外來病毒、木馬等惡意程序的入侵;同時實現(xiàn)對內(nèi)網(wǎng)終端的紀錄和監(jiān)視,包括對程序、打印、即時通訊、文件、郵件等全方位的紀錄,實現(xiàn)事后查證。