時間:2023-09-08 17:05:19
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡安全內網管理范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
關鍵詞:互聯網+;網絡安全;防火墻
1內部網絡安全現狀
隨著當今信息技術的飛速發展,網絡對人類生活方式的影響顯著增強,網絡技術在社會的各個領域迅速普及,計算機網絡安全問題已成為亟待解決的問題。人們普遍對網絡安全有一個錯誤的認識,也就是說,我們所使用的內部網絡是安全的、沒有威脅的,外部網絡是有危險、不安全的,也是主要的網絡威脅來源,所以計算機網絡內部的威脅,往往被人們所忽視,因此,一般都會研究如何防止外部網絡從外面攻擊內部的網絡,而忽視了單位內部網絡的安全威脅。大多數人并不認為他們會成為網絡攻擊的目標或者自己本身成為網絡威脅的來源,可是當危險發生,往往會因為以前沒有予以重視而手忙腳亂,造成不應發生的損失。但隨著內部網的迅速發展,網絡日益成為人們生活和學習的重要組成部分。內部網絡的安全性也凸顯出來,網絡安全難以得到很好的保障,單位的利益受到了不同程度的損害。面對上述情況,營造一個安全的內部網絡環境,形成一個穩定、便捷、高效的內部網是各級各類單位網絡管理工作者需要面對和解決的問題。然而,大多數單位網絡都處于建設的初級階段,往往更注重硬件的采購和系統的建設,很少關注單位內部網絡的安全和威脅處理。面對內部網絡安全威脅時,往往缺乏有效的應對策略和解決方案,因此,如何利用網絡安全理論與相關技術,在建設單位網絡的同時,形成網絡安全屏障,保證網絡的正常運行是單位網絡管理者需要解決的重要問題。內部網絡的安全防范,是一個系統工程,是一個人員、設備、技術及意識的綜合問題。現在,越來越多的政府機構、企事業單位的各種業務和服務依托內部網絡環境,但是單位內部職員卻對現今的網絡威脅普遍存在一個認識誤區,導致內部網絡的安全得不到保障。“互聯網+”時代,有大量的信息流和數據流充斥著整個網絡,這些信息包含了非常豐富的內容,因為互聯網的環境是自由開放的,而網絡安全系統以及數據安全性低,通常情況下潛在數據安全問題表現為通過非法、有意的竊取、截取、病毒攻擊等途徑造成信息泄露、損壞,導致數據的完整性、可靠性及可用性受到一定程度的影響,對當今互聯網社會造成了一定的威脅。
2內部網絡安全管理措施
針對以上問題,筆者提出了以下幾個內部網絡防范的要點,以最大限度防范內部網絡受到外部或內部的網絡威脅,最大限度防止信息泄漏,充分發揮“互聯網+”的優越性,從而為人們的工作帶來便利。
2.1保證內網操作系統的安全
終端用戶程序、服務器中的應用程序等都在計算機操作系統上運行,因此,維護整個單位內部網絡安全的根本就是要確保每個計算機操作系統(不管是服務器還是客戶端)的安全。除了修補操作系統的補丁外,還需要設立一個針對單位內部網絡中操作系統的監控系統,設置有效的用戶訪問控制操作和訪問口令。
2.2隔離資源,部署防火墻
內部網絡中的路由器和交換機是傳輸任何信息的基礎和必須具備的設備,如果沒有在路由器和交換機上配置一些安全策略,則網絡中的數據就會使用廣播技術,而采取廣播技術就會導致網絡中傳輸的數據包很容易被監聽和非法截取,所以必須要擁有一個安全可靠的網絡設備及采取可靠的安全訪問策略。通過使用交換機和路由器進行劃分組網,通過劃分虛擬的網絡對設備進行物理或邏輯上的劃分,從而實現對網絡資源的隔離,提高了內網的安全性。防火墻技術是內部網安全防護中最常用的保護措施,可以對訪問的客戶端進行過濾和訪問限制,從而對單位內部網的安全控制起到很好的防護效果。可以根據對內部網絡安全控制的需求,利用防火墻來設置一定的策略,既可以過濾數據包,保障內部網絡不受網絡攻擊,又不影響內部網絡對Internet的訪問和FTP等下載服務。
2.3通過模擬攻擊方式來檢測內部網絡防火墻
一般來說,拒絕服務攻擊(如DDOS)威脅在內部網絡安全威脅中占了很大一部分。可以通過合理配置防火墻,并且選擇使用功能強大的防火墻,從而實現充分監控網絡情況,達到保護內部網絡安全的效果。通過分析數據包執行攔截行動,發現攻擊者入侵時出現的異常情況,可以馬上停止服務,從而有效保護單位的機密信息和敏感數據,達到保護信息的目的。通過防火墻的訪問控制功能可以限制非法用戶訪問單位內部網絡,規定必須是內部網絡的工作站才能訪問內部服務器和內部的網絡設備,這樣就可以防止外來的客戶端非法配置內部網絡設備,達到保護內部網絡的目的。
2.4設立檢測入侵系統
雖然有防火墻保護內部網絡,但是往往有些來自內部的安全威脅,從而導致有意或無意的網絡入侵事故發生,這就很難保證內網的安全性。所以,可以把防火墻和入侵檢測系統結合起來運用,相互彌補各自的不足。可以及時預警和防范網絡中的病毒、異常訪問、非法登錄、系統漏洞等安全威脅,從而使內部網絡的安全性得到有效的加強,有效保障政府機關和企業各項重要業務的正常運行。
2.5VLAN虛擬局域網
虛擬局域網(VLAN)技術是一種人為劃分管理網絡的技術,它根據人們管理的需求將一個大的網絡劃分為不同的邏輯子網,網絡中的站點可以與物理位置無關,從而實現安全管理的目的。VLAN技術可以把一個通過交換機相連的物理網絡根據管理的需要人為劃分為多個邏輯子網。劃分完成后,網絡里如果有廣播包發送,只會發送到Vlan相同的網絡中,從而實現了廣播包在一定的小規模范圍內傳播,避免了廣播包的大面積傳播。交換機不向其他LAN端口發送消息。
2.6應用防病毒技術
可以采用結合基于會話流的高性能智能搜索算法和卡巴斯基的SafeStream病毒庫,并采用多核操作系統分流技術來檢測和清除網絡中的病毒,克服了傳統殺毒網關缺乏抗病毒性能的弊端,為內部網絡安全提供了一種全新的安全解決方案。防病毒技術在內部網入口進行病毒檢測,真正抵御網絡病毒,為內部網提供了強有力的保護層。
2.7ACL訪問控制列表
ACL技術通過在訪問控制列表中添加訪問規則,可以對計算機用戶需要通過網絡層訪問的資源進行有效的控制,它可以在網絡應用程序的兩個網絡之間的設備進行訪問控制,為網絡應用提供了一個安全和有效的手段。2.8加強網絡安全防衛意識宣傳除了單位內部的網絡管理員和安全員認識到網絡的安全重要性,大多數人缺乏足夠的網絡安全意識性,他們普遍認為,網絡維護與管理人員有關,與自己無關,從而導致網絡存在安全隱患,所以必須在單位內部加強網絡安全防衛意識宣傳。
3結語
關鍵詞:內部網絡;安全;Web Service
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 11-0000-02
Analysis of Internal Network Security Management System
Wang Wei
(Heilongjiang Land Reclamation College,Harbin150025,China)
Abstract:The current network security products within a category and technical analysis,information system security through research P2DR theoretical system model proposed regulation within the network security audit system.Internal network security management system is based on static security strategy,covering P2DR security model of protection,detection and response in three stages,internal computer network device management,management covers access control,behavioral monitoring,network management,patch management,asset management,auditing platform six areas,support large-scale multi-stage deployment for intranet Security Management provides a unified platform.And internal network security management system through the application of implementation,further confirmed its feasibility and efficiency.
Keywords:Internal network;Security;Web service
一、系統安全模型
內網即Intranet,是相對于外網Extranet而言的。廣義上人們認為所有的黨政機關、企事業單位的內部網絡都稱為內網,而狹義上我們認為與互聯網物理隔離的辦公網、局域網、城域網或是廣域網都可能是內網。在內網安全監管審計系統中,我們所定義的內網是指物理上直接連接或通過交換機、路由器等設備間接連接的企業內部信息網絡,它可以是單一的局域網,也可以是跨越Internet的多個局域網的集合。如圖1所示,是典型企業局域網網絡拓撲圖。
圖1.企業局域網網絡拓撲圖
內部網絡安全管理系統的目的就是通過系統部署,能在企業內網中,建立一種更加全面、客觀和嚴格的信任體系和安全體系,通過更加細粒度的安全控制措施,對內網的計算機終端行為進行更加具有針對性的管理和審計,對信息進行生命周期的完善管理,借助這個整體一致的內網安全管理平臺,為內網構建一個立體的防泄密體系,使內網達到可信任、可控制和可管理的目的。根據P2DR安全模型得出結論,要實現內網的安全,必須做到及時的檢測、響應。因此,內部網絡安全管理系統的安全模型是基于靜態的安全防護策略,覆蓋了P2DR安全模型中的防護、檢測和響應三個階段,由安全策略、策略執行、監控響應、審計和管理支持五個環節組成。
安全策略是整個內網安全監管審計系統的核心,它滲透到系統的策略執行、監控響應、審計、管理支持等各個環節,所有的監控響應、審計都是依據安全策略實施的。安全策略包括監控策略、審計策略、響應策略、系統管理策略。管理支持是指系統管理員操作的相關接口,即用戶界面。它提供對系統運行相關參數的配置、各類策略的制定、系統的授權管理操作。策略執行是指通知制定的策略,并確保策略的成功實施。監控響應是根據制定的安全策略,對系統管理員和內網的計算機終端活動進行監測和響應,提供對安全事件的記錄和上報。它是強制實施安全策略的有利工具,也是內網安全監管審計系統最為重要的一個環節,是系統功能的核心,主要通NDIS-HOOK數據包技術、Win Pcap網絡管理技術等來實現。審計是指對安全事件的報警、日志的統計分析。安全事件是由“監控響應”環節生成的。根據安全事件的嚴重程度,按照報警策略,向系統管理員提供能夠報警信息。
二、系統結構設計
(一)系統功能
系統的總體設計,旨在從系統應用的角度,明確系統的功能;從系統開發的角度,設計系統的邏輯結構模塊,便于編程實現;從系統部署的角度,規劃系統的物理結構分布以實施系統的運行。內網安全網絡管理系統的目的是構建一個整體一致的內網安全體系,從網絡協議方面看,內網安全監管審計系統適合于任何基于TCP/IP協議的網絡,不管是Internet還是Intranet,都能充分發揮作用。從操作系統方面看,內網安全監管審計系統主要針對目前主流的Windows桌面操作系統,包括Windows2000,Windows XP,可隨著操作系統的發展和用戶的實際需求,開發相應的適用版本。
從用戶群方面看,內網安全監管審計系統適用于幾乎所有對內網安全管理有需求的單位,特別是黨政軍警機要部門、國家核心技術研究院所、高新科技企業、金融機構等部門。根據對內網安全產品的分析和內網安全的特點,內部網絡安全管理系統的功能主要包括接入控制,行為監控,網絡管理,補丁管理,實時監聽,WEB管理平臺六個方面,并且這六個方面是緊密結合、相互聯動的。
(二)客戶端模塊設計
1.接入控制線程:包括終端接入控制,非法外聯實時監測和策略管理模塊,實現終端信息注冊、用戶登錄、登錄策略更新、客戶端軟件安裝版本驗證、客戶端操作系統版本及補丁驗證、客戶端殺毒軟件版本驗證、安全策略版本驗證、安全策略更新以及網絡層防護策略,包括IP地址訪問控制、TCP端口訪問控制、UDP端口訪問控制、IP地址+端口號的訪問控制,終端流量的監控等功能。
2.客戶端監控線程:包括終端軟件安裝管理,終端進程管理,終端殺毒軟件管理模塊,用于監控終端行為并根據策略對違規行為進行處理,同時加密發送事件報警信息并記錄日志。具體做法是讀取終端安全策略,根據安全策略進行進程運行監控、服務運行監控、軟件安裝監控、網絡流量監控,并對違規事件進行事件告警和日志記錄等功能。
3.終端實時控制監聽線程:包括點對點實時監控管理模塊,接收服務端實時查詢消息,獲取客戶端運行時信息,包括系統CPU使用率,內存,硬盤使用情況,系統進程列表,系統服務列表、硬件清單、安裝程序清單和網絡流量,并把終端信息加密發送到服務器。
4.補丁管理線程:包括操作系統版本和補丁管理模塊,掃描本機注冊表中的Hot fix項,得到本機的補丁安裝信息,對比指派給本機的補丁策略,得到需要下載安裝的補丁列表,再從局域網服務器下載并安裝相應補丁。
(三)服務器模塊設計
1.內網終端安全主程序:負責啟動或停止登錄驗證進程、運行狀態監控進程、終端實時控制信息進程。維護進程之間的共享數據(終端會話列表),實時策略下發功能。
2.登錄驗證進程:包括終端注冊管理、終端登錄管理、TCP監聽、加解密密鑰協商、策略下發模塊。實現監聽終端請求,接收并解密客戶端消息,處理終端注冊請求,并記入數據庫;處理終端的登錄請求,驗證終端的登錄信息,驗證通過后向客戶端發送最新安全策略。
3.運行狀態監控進程:包括探測消息,終端告警消息處理模塊,實現探測消息接收,以確定客戶端是否在線,并修改終端會話狀態;接收終端告警消息,進行解密處理并將相關信息記入數據庫,以便管理員查詢。
4.終端實時控制信息進程:包括終端信息實時查詢和策略下發模塊。接收客戶端程序發來的終端信息,為WEB服務提供終端信息實時查詢的功能。另外在管理員通過WEB界面更改策略后,后實時向相關終端下發最新策略。
5.網絡管理進程:基于Win Pcap實現防止局域網A印欺騙的功能。Win Pcap(windows packet capture)它具有訪問網絡底層的能力,提供了捕獲原始數據包,按照一定規則過濾數據包,以及發送原始數據包功能。通過捕獲并分析局域網的網絡數據包,可以判斷局域網是否發生欺騙,進而采取措施來防止欺騙。
6.補丁管理進程:基于CXF和WSS4J的安全的Web.Service實現,通過這種方式從遠程TJHN服務器獲取最近補丁列表,通過比對當前本機服務器獲取遠程補丁列表,從官方網站下載所需補丁。
(四)Web管理平臺模塊設計
用戶管理模塊:對可以登錄Web的用戶進行管理;提供用戶登錄。終端審批模塊:對申請接入的終端請求進程審批。策略配置模塊:對單個策略進行管理,主要包括進程,服務,安裝軟件的黑白名單策略,網絡過濾策略,流量閡值設置;對策略分組進行管理。終端查詢模塊:向終端發送點對點消息,查詢并展示實時的終端運行信息,包括CPU占用率,硬盤,內存使用情況,運行進程,服務,安裝軟件,實時流量信息。日志查詢模塊:查詢終端運行告警日志,包括運行進程告警,服務告警,安裝軟件告警,流量異常告警,網絡阻斷告警。
參考文獻:
[1]黃澤界.一種遠程視頻監控系統的實現[J].安防科技,2008,2
[2]胡愛閩.基于DM642的網絡視頻監控系統[J].安防科技,2008,9
[3]王文聯,侯,周先存.基于NDIS中間驅動程序的防火墻的研究與實現[J].安徽建筑工業學院學報(自然科學版),2004,1
[4]胡珊,張冰.利用SPI控制計算機上網[J].鞍山科技大學學報,2004,5
關鍵詞 OSI安全體系;安全管理系統;企業內網;運用方法
中圖分類號:TP317 文獻標識碼:A 文章編號:1671-7597(2014)07-0088-01
隨著計算機互聯網技術的不斷發展,企業都建立了廣泛的計算機網絡管理系統,旨在提升企業管理效率及管理安全水平,降低企業運營成本。但是使用計算機網絡技術也讓企業暴露在互聯網的大環境下,不可避免會遭受到黑客和病毒的侵襲。企業內部局域網和外部互聯網的緊密聯系造成了企業內部網絡的安全遭到更多侵襲,多是由于網絡安全管理防范不過關、企業員工操作不當及網絡安全管理人員維護不當引起的,造成對企業的數據危害,嚴重威脅著企業的數據安全。因此,必須加強企業的計算機網絡的數據安全。
1 OSI網絡安全體系結構及安全標準
由于目前網絡安全技術相對要落后于網絡入侵技術,在這種背景下,國際標準化組織制定了相應的協議來加強計算機網絡的安全性―OSI安全體系,提出了一個安全服務和安全機制的概念,將安全服務劃分成認證、訪問控制以及數據保密、數據完整性和防入侵服務五大類,并將安全機制劃分為特定性安全機制和普通性安全機制。但是需要將國際安全策略和企業內部的安全策略緊密結合起來,才能實現對企業網絡安全管理水平的提升。因此,需要結合從企業的網絡桌面安全管理軟件系統的運用出發,研究統一策略下的強制策略執行機制,并具體分析策略配置,以及對客戶端系統的監控和防護,進而實現局域網內客戶端桌面系統的安全管理和防護,實現對企業網絡安全桌面系統的網絡安全管理及數據防泄密的安全管理。
2 計算機桌面安全管理系統在企業內網的具體運用
2.1 制定多種安全策略,提升客戶端桌面系統的安全性
企業的局域網相對復雜,各種基于網絡的應用很多,數據采用集中管理方式,一旦遭遇數據泄密就會給企業造成嚴重經濟損失。引入計算機桌面安全管理系統,從技術層面協助計算機網絡維護人員處理極其復雜的客戶端問題,能有效提升安全管理效率。同時,還可以融合OSI網絡安全管理標準,實現網絡和客戶端安全防護并重的態勢;能隨時監控客戶端的狀態并實現行為管理,通過計算機桌面安全管理系統解決網絡管理和客戶端管理的諸多問題。因此,計算機桌面安全管理系統在面對企業較為復雜的網絡結構環境下,具有更好的兼容性。下面具體地分析桌面安全管理系統的多功能運用。
1)在客戶端強制安裝客戶端管理程序。網絡桌面安全管理系統采用的是服務器客戶端架構,只有客戶端安裝了管理軟件,才能通過服務器端對這些客戶端進行網絡安全管理。
2)實現客戶端系統的監視功能。包括客戶端的端口、軟硬件信息及各種系統資源進行實時監控,對桌面終端的各種進程進行管理,準確了解客戶端各種行為和資源運行狀況,對主機的安全情況進行分析并及時處理。
3)管理系統軟件具有系統補丁分發的功能。服務器接收微軟的系統補丁,并經過服務端對這些補丁的檢查之后,再由服務端對這些系統補丁進行分發,讓客戶端實現升級。
4)具有殺毒軟件檢測功能。能對客戶端是否安裝了殺毒軟件進行監控,并對客戶端的殺毒軟件的版本號、病毒庫信息等進行檢測。
5)防止IP地址修改。服務端的策略是具有讓客戶端在更改IP地址之后能迅速恢復到原分配的IP地址。
6)禁用非法的軟件。能對操作系統的安裝進程進行限制,同時將軟件、P2P下載軟件等工具納入到進程黑名單,從而達到對非法使用軟件的管理目的。
7)遠程協助管理能力。當客戶端出現問題時,計算機桌面網絡安全管理系統則提供了的遠程協助的功能,從而實現遠程協助維護和管理并排查主機故障。
8)實現系統檢測功能。對客戶端的系統資源進行監視,并設置相應的閾值,當這個閾值超出了管理員的設定之后,客戶端就會向服務器端發出警報,方便管理員進行及時的管理和
維護。
9)實現了網卡禁用的功能。當服務器端發現客戶端工作站出現了網絡安全故障,可以通過服務器端直接對其進行網卡禁用,防范此客戶機利用局域網發送蠕蟲病毒等病毒代碼,給局域網帶來嚴重的安全隱患。
10)消息發送功能。這個功能可以對特定的用戶和用戶組發出相應的提示信息,從而實現管理目標和計劃的。
11)軟件分發功能。結合FTP服務器,讓服務器端將一些特定的軟件下發到相應的客戶機上,強制或者讓客戶端有選擇的安裝相應的軟件,客戶機使用軟件的整個過程是在服務器端的監控之下的。
12)流量的檢測功能。隨時監控客戶端對網絡資源的使用情況,對于特殊的流量信息進行及時警告,利用管理系統對不同客戶端設定不同的流量限制策略,達到合理分配網絡資源的目的。
2.2 結合相關網絡安全管理工具
在企業的網絡安全管理環節中,除了桌面網絡安全管理系統之外,需要結合目前主流的安全管理工具來使用。
1)Sniffer嗅探器。將Sniffer嗅探器放在防火墻能對所有訪問互聯網的IP地址進行實施監視,再結合桌面網絡安全管理系統就能有效地對網絡流量進行檢測和控制,同時還能保障用戶能正常地訪問互聯網。
2)有關思科的安全解決工具。將思科網絡安全解決方案和計算機桌面安全管理系統相結合能提升企業內網的安全能力。制定訪問控制策略能對內網安全有效地防護,確保網絡資源不被非法盜用及非法資源占用,與安全管理系統部分功能相結合能提升網絡安全;通過思科的ARP表將IP地址和客戶端的MAC地址綁定,結合網絡管理系統中的IP地址限制修改策略,從而徹底解決隨意占用他人IP地址的行為,提升管理人員的工作
效率。
3 總結
企業使用計算機網絡桌面安全管理系統后,極大提升了企業網絡安全,也提升了客戶端用戶的工作效率,還獲得了更高效的服務。當客戶端出現安全問題后,網絡管理人員就能及時通過網絡安全管理軟件的遠程協助功能,迅速幫助客戶端解決安全問題。利用服務端對殺毒軟件的自動更新功能及系統補丁分發功能,能進一步提升客戶端的防病毒和黑客入侵的能力。通過對企業使用計算機安全管理軟件的實際使用情況來分析,計算機桌面安全管理系統在提升企業安全管理效率,對保障企業生產數據的安全性方面具有十分重要的作用。
參考文獻
[1]張鴻久,王少杰.利用桌面管理系統,提升信息安全水平[J].河南電力,2010(1).
[2]王義申.終端安全管理系統在企事業單位內網應用的分析[J].計算機安全,2007(7).
遙控監測企業內網
不久前的一天早上,公司網管小王突然接到“E路無憂”網管中心的專家電話,網管專家通過遠程監控平臺發現正興公司有一臺PC電腦中了沖擊波病毒,使得公司寬帶線路只能上傳數據包,不能下載數據包。小王立即查看了一下,果然發現寬帶線雖然是通的,但無法連上互聯網。經網管專家建議,小王立即切斷寬帶網絡,使用上海電信商務領航企業在線安全系統,順利地清除了內網上的病毒。當小王將公司寬帶網再次接通后,網管專家用遠程觀測監控系統對正興公司的網絡進行仔細檢測,在與小王共同協商后,遠程調整了企業的網絡安全配置策略,將病毒隱患徹底消除。中國電信網管專家的及時發現、及時提醒與專業的技術協助,在第一時間避免了網絡病毒在正興公司內網的進一步蔓延與擴大,為公司挽回了不少損失,這讓小王感到十分欣慰。
現在,“談生意靠上網,發報價靠郵件”已經成為許多企業白領的習慣。然而,很多企業對網絡安全管理還沒有提上日程,對員工的日常上網活動疏于管理,基本處于“放任自由”狀態,員工在上班時間從網上買賣東西、訪問不良網站、用BT下載電影、打網絡游戲等現象十分普遍。這種狀態不但影響工作效率,更嚴重的是受到來自互聯網的電腦病毒傳播和黑客攻擊,讓企業防不勝防。調查顯示,超過97%的企業曾受到互聯網病毒或黑客的攻擊。盡管有些企業添置了網絡安全硬件設備,配有專職的網管人員,但仍然缺乏有效的防范手段,一旦網絡出現異常,在缺少網絡安全專家的指導下,很難快速發現和定位故障,不能在最短時間內予以排除。
遠程診斷安全漏洞
中國電信“E路無憂”網管服務解決了廣大企業在互聯網安全方面的困惑。基于中國電信網絡監控管理中心平臺,電信網絡管理專家隊伍能根據不同企業的個性化需求,為用戶遠程在線定制網絡安全管理策略,網絡監控管理中心更能夠7×24小時主動為用戶監控網絡狀態,一旦有異常狀況,比如用戶網絡受到木馬程序、沖擊波、震蕩波、蠕蟲等病毒攻擊時,網管專家能先于企業用戶發現網絡安全漏洞,在進行遠程在線診斷故障的同時,及時通知企業用戶立即采取措施,并協助用戶制定網絡安全漏洞應對措施。
1.1 企業信息化建設現狀
隨著信息技術的飛速發展,特別是進入新世紀以來,我國信息化基礎設施普及已達到較高水平,但應用深度有待進一步建設。從《第35次中國互聯網絡發展狀況統計報告》的一組數據顯示出,截至2014年12月,全國使用計算機辦公的企業比例為90.4%,截至2014年12月,全國使用互聯網辦公的企業比例為78.7%。近些年,我國企業在辦公中使用計算機的比例基本保持在90%左右的水平上,互聯網的普及率也保持在80%左右,在使用互聯網辦公的企業中,固定寬帶的接入率也連續多年超過95% 。基礎設施普及工作已基本完成,但根據企業開展互聯網應用的實際情況來看,仍存在很大的提升空間。
一方面,是采取提升內部運營效率措施的企業比例較低,原因之一在于企業的互聯網應用意識不足,之二在于內部信息化改造與傳統業務流程的契合度較低,難以實現真正互聯網化,之三在于軟硬件和人力成本較高,多數小微企業難以承受;另一方面,營銷推廣、電子商務等外部運營方面開展互聯網活動的企業比例較低,且在實際應用容易受限于傳統的經營理念,照搬傳統方法。
1.2 企業網絡應用現狀
根據最新的《第35次中國互聯網絡發展狀況統計報告》中的數據顯示,企業開展的互聯網應用種類較為豐富,基本涵蓋了企業經營的各個環節。電子郵件作為最基本的互聯網溝通類應用,普及率最高,達83.0%;互聯網信息類應用也較為普遍,各項應用的普及率的都超過50%;而在商務服務類和內部支撐類應用中,除網上銀行、與政府機構互動、網絡招聘的普及率較高以外,其他應用均不及50%。我國大部分企業尚未開展全面深入的互聯網建設,仍停留在基礎應用水平上。
由于目前我國網民數量已經突破6億,在人們的日常工作、學習中網絡已經扮演了不可替代的角色,因此網絡安全問題就凸顯出來,2014年,總體網民中有46.3%的網民遭遇過網絡安全問題,我國個人互聯網使用的安全狀況不容樂觀。在安全事件中,電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重,分別達到26.7%和25.9%,在網上遭遇到消費欺詐比例為12.6%。
1.3 網絡安全防護現狀
當前企業網絡中已部署的基本的網絡安全設備如防火墻等,但網絡使用安全意識不高且網絡安全是一個動態維護的過程,企業面臨的內外部安全威脅日益巨增,整體安全形勢不容樂觀。在網絡安全威脅中,對于來著企業內網的安全威脅特別難以防范,傳統的安全防護措施,只能面對外部威脅,對內不具備防護能力。
高校在校園網信息化過程中數字化校園就是一典型例子,數字化校園網可以方便學生使用各類網絡學習資源。但也有部分學生在好奇心的驅使下,往往會在網絡中進行試探性的病毒傳播、網絡攻擊等等。也有部分學生以獲得學院某臺服務器或者網站的控制權來顯示其在黑客技術水平。因此,在內網中維護網絡安全,保護信息安全,就顯得更加重要和緊迫了。
2 內網面臨的網絡威脅
筆者在高校內網信息化建設過程中,通過多年的研究調查發現,學生的攻擊往往是盲目地,且由于部分高校內網管理較混亂,學生可以繞過一些身份認證等安全檢測,進入校園核心網絡。學生的這些行為,一般不存在惡意性質,也不會進行蓄意破壞,但這就向我們提出了警示,一旦有不法分子輕松突破防線,其帶來的危害也是災難性的。
筆者以本單位學生通過校園網絡攻擊校園網服務器的例子,說明其網絡攻擊有時往往非常容易,其造成的危害卻非常之大。
2.1 突破內網,尋找突破口
學生通過學院內網IP地址管理漏洞,輕松接入校園內部辦公網絡,并獲得內網地址網段劃分情況。通過流行黑客軟件掃描學院內網獲得內網安全薄弱處,檢測出共青團委員會 http://10.0.1.30:90/該網頁存在漏洞。進一步利用路徑檢測工具進行掃描,獲得了后臺地址http://10.0.1.30:90/wtgy/login.php。
2.2 一擊得手
學生在獲得了正確的管理地址后,只是進行了簡單的嘗試就取得了戰果,通過弱口令掃描發現系統存在弱口令,于是嘗試了如admin admin admin admin888 admin 123456等,居然順利進入后臺。
然后利用后臺的附件管理里面的功能,添加了php格式,從而實現了上傳。得到了內網的webshell(如圖1)。
2.3 再接再厲,權限提升
學生不斷嘗試,測試了asp和aspx 的支持情況,答案是支持asp,不支持aspx的。自然就上傳了 asp webshell,可以實現跨目錄訪問。訪問權限進一步提升,如圖,目標主機D盤內容一覽無余,其中不乏一些關鍵目錄信息就展現在攻擊者眼前(如圖2):
2.4 獲得系統管理員權限,完全掌控目標主機服務器
查看系統所支持的組件,獲取目標服務器系統關鍵信息。可以看到ws這個組件沒有被禁用,從而上傳cmd,以獲得終極權限系統管理員權限。首先想到的是利用webshell中的上傳進行,但是權限問題,webshell上傳均失敗,所以轉向ftp上傳(同樣存在弱口令),從而繞過了限制,上傳了cmd.exe。
實驗性的執行命令Systeminfo查看系統信息命令,結果可以正常運行,終極權限獲得(如圖3):
可以看出,學生攻擊學院內網的手段并不高明,其用到的黑客攻擊工具,網絡上也都能隨意下載到,但其通過自己的仔細琢磨,充分利用了內網管理的漏洞,獲得了關鍵信息。好在這是實驗性,未造成實質性破壞。內網管理員也及時發現了問題,并對目標服務器進行了安全加固工作。
但我們不難發現,其實網絡安全的程度存在著“木桶原理”的問題,也就是網絡最薄弱的環節,決定著內網的安全程度。在現實中往往由于管理者的疏忽或者使用者貪圖一時方便的原因,給網絡中潛在的攻擊者留下致命的后門。3 建立信息防泄露的內網訪問控制模型
針對上述服務器網絡攻擊,最有效的方法就是對用戶訪問進行準入控制,隔離潛在威脅用戶。例如,在內網中對所有用戶進行身份認證,分配相應的網絡訪問權限。在內網安全架構中,訪問控制是非常重要的一環,其承擔著與后臺策略決策系統交互,決定終端對網絡訪問權限發分配。目前主要使用的訪問控制技術主要有:
3.1 802.1X 訪問控制技術
802.1X 是一個二層協議,需要接入層交換機支持。在終端接入時,端口缺省只打開802.1X的認證通道,終端通過802.1X認證之后,交換機端口才打開網絡通信通道。其優點是:在終端接入網絡時就進行準入控制,控制力度強,已經定義善的協議標準。
其缺點是:對以網交換機技術要求高,必須支持802.1X認證,配置過程比較復雜,需要考慮多個設備之間的兼容性,交換機下可能串接HUB,交換機可能對一個端口上的多臺PC 當成一個狀態處理,存在訪問控制漏洞。
3.2 ARP spoofing訪問控制技術
在每個局域網上安裝一個ARP spoofing,對終端發起ARP 請求代替路由網關回ARP spoofing,從而使其他終端的網絡流量必須經過。在這個ARP spoofing上進行準入控制。其優點是:ARP適用于任何IP 網絡,并且不需要改動網絡和主機配置,易于安裝和配置。其缺點是:類似DHCP控制,終端可以通過配置靜態ARP表,來繞過準入控制體系。此外,終端安全軟件和網絡設備可能會將ARP spoofing當成惡意軟件處理。
3.3 DNS重定向訪問控制技術
在DNS重定向機制中,將終端的所有DNS解析請求全部指定到一個固定的服務器IP地址。其優點是:類似DHCP管理和ARP spoofing,適用于任何適用DNS協議的網絡,易于安裝和部署,支持WEB portal頁面,可以通過DNS 重定向,將終端的HTML 請求重定向到WEB認證和安全檢查頁面。其缺點是:類似DHCP控制和ARP spoofing,終端可以通過不使用DNS 協議來繞開準入控制限制(例如:使用靜態HOSTS文件)。
以上是內網安全設備主流使用的準入控制方式,每種方式都具有其特定的優缺點,一般來說每個設備都會支持兩種以上的準入控制方式。
但是,網絡管控對于網絡使用的便捷性是一對矛盾體,如果既要使用的便捷性,又要對網絡進行有效管控,這對網絡安全設備的性能提出了相當高的要求。然而,高性能的安全設備價格非常昂貴,這也是很多企業寧可暴露威脅,也不防范的原因之一。
3.4 網關準入控制——UTM(統一威脅管理)
UTM產品的設計初衷是為了中小型企業提供網絡安全防護解決方案,其低廉的價格和強大的集成功能,在企業內網中扮演著重要的角色。UTM將安全網關、終端軟件、終端策略服務器、認證控制點四位一體化部署,可以在內網中進行多點部署,從而構建出內網用戶訪問控制模型,實現全面覆蓋用戶內網每一個區域和角落。
(1)合理部署網關位置
UTM的位置本身即位于安全域邊界,由于UTM的設備性能參數,一般不建議部署在互聯網出口、服務器出口及辦公網出口等網絡核心節點,在內網訪問控制模型中,可以部署在網絡拓撲中的匯聚節點。
從安全理論的角度講,對某一區域網絡中的所有用戶進行控制(包括訪問控制、準入控制、業務控制等);同時,UTM設備的入侵防御、防病毒、外連控制等模塊可以與準入控制功能相互配合,UTM一旦發現某用戶行為違規,就可以通過內網管理系統直接斷開該用戶的所有連接。
(2)UTM優勢分析
采用UTM網關配合內網管理系統實現訪問控制,用戶只需要購買少量UTM設備,采用透明方式部署至網絡關鍵節點處,即可以實現全面的準入控制。與基于DHCP控制,ARP spoofing,DNS 劫持等準入控制相比,UTM 準入控制能力更強、更全面,終端用戶在任何情況下均無法突破或繞過準入控制。
除此以外,UTM設備還可根據終端的安全情況自動配置合適的安全策略,如在終端未滿足某些安全要求的情況下開放其訪問修復服務器的權限。
網絡安全,不應只關注網絡出口安全,更應關注內網中的信息安全,信息的泄漏往往是從內部開始,因此,構建內網訪問控制模型就非常重要,采取UTM幫助內網進行安全管控是一個非常便捷、高效的手段。
關鍵詞 醫院計算機 內網 安全 管理
中圖分類號:TP393 文獻標識碼:A
1醫院計算機管理的現狀
上世紀末期,我國醫院計算機信息系統已經初步上線,經過近二十年的發展,我國綜合醫院已經基本實現信息化管理,特別是以收費為主要內容的系統已較為完善。當前,各地條件較好的醫院都開始實行“以病人為中心,以醫療信息為主線”的綜合臨床信息系統,極大地方便了醫院業務流程。病人治療用藥信息與醫保、新農合保險的實時結算方式對于計算機內網安全運行提出了更高的要求。當前大中型醫院的計算機管理系統基本上已經覆蓋全院系統,各科室部門等子系統均被納入其中,這位各科室提供數據搜尋和技術支撐提供了方便,業務防范醫療糾紛提供了依據。醫院內部之間各項醫療業務數據能夠快速在內部得以交換和共享,為科學決策提供了重要保證。但是,在醫院系統建設過程中,醫院計算機內網的安全逐漸引起人們的關注,醫院內網系統只有是安全的,才能保證病患的隱私和推動醫院的發展。而我國部分醫院在實現信息管理數據化的同時,對網絡安全的建設和管理重視程度不高,黑客攻擊、病毒感染、木馬侵擾無不使得醫院計算機內網面臨種種威脅,必須予以重視和防范解決。
2醫院計算機內網風險因素
2.1操作系統的脆弱性及醫院U盤介質管理不規范
目前大多醫院的操作系統使用的是Windows系統,該操作系統存在脆弱性,系統漏洞難以得到及時修補。這是因為醫院的計算機大多無法連接到外網,不能自動更新系統補丁,而醫院內部網絡的補丁升級和更新常存在較大的技術漏洞,計算機管理部分無法及時了解醫院內部電腦的補丁安裝情況。雖然醫院使用內網,外網感染不會發生,但工作人員使用的U盤介質等還是可以使得醫院內網系統感染病毒和木馬,這樣的行為是醫院電腦終端感染病毒的最主要的途徑。
2.2惡意代碼和木馬的潛伏性
通過偵測,很多醫院的內網被發現有木馬和惡意代碼,而市面和網絡上流傳的殺毒軟件主要是用于網絡病毒的查收,對于單位內部網絡的惡意代碼和木馬沒有查殺能力,醫院內網與外網的隔絕,使得醫院內部的這些威脅無法通過網絡殺毒軟件進行及時處理,潛伏在電腦終端里,將為醫院計算機內網爆發重大病毒感染埋下隱患。
2.3病毒防護軟件失效
醫院計算機內網安全防護軟件失效指的是這些軟件在內網運行中沒有正常運行,其預期功能沒有發揮。使得內部計算機出現無法上網,防病毒軟件無法升級查殺。醫院計算機的單機防病毒體系,使得電腦終端的防病毒情況無法被及時掌握,醫院計算機內網安全隱患較大。
3醫院計算機內網安全管理方法
3.1全面監控內網管理
醫院計算機內網安全,首先必須從整體出發,建立針對醫院內部所有計算機終端的監控管理體系,為每一臺電腦終端安裝電腦管理軟件,對終端桌面進行管理監控,部署終端與控制中心的網絡,由控制中心集中對電腦終端進行管理和維護,整理分析和掌握內網運行狀況。內網入侵中,入侵者會采用專門的算法來破解口令,這要求醫院內網的管理人員一定要注重內網密碼的設置,口令應設置得較為復雜并定期使用破解口令程序來檢測內網的安全性。
3.2建立整體安全防御體系
由于計算機網絡安全威脅不斷變化,種類繁多,因地針對網絡安全的防御體系也應及時作出調整甚至應當超前,建立醫院內部網絡的整體防御安全體系。雖然醫院計算機內網終端基本上都裝有防病毒軟件,但因為內網與外網的隔絕,內網計算機終端的防病毒軟件無法進行及時更新升級,對系統安全的隱患較大,無法有效對內網安全進行全面的防護。醫院內網應建立其計算機終端防護和終端查殺結合的安全防御體系,正確做好內網管理軟件的接入管理和介質管理,減少計算機受病毒感染的概率,實現內網修復管理和威脅管理的及時性。整體安全防御體系中,可以使用網關訪問外網。網關的設置,使得內網終端訪問外網需要經過網關的把關,讓網絡數據無法在內網和外網之間進行交換,有效保護內網數據的安全。
3.3建立防火墻和病毒防御系統
在醫院內網終端上配置防火墻和網絡防病毒系統,能有效預防計算機操作系統感染病毒并在內網上蔓延,引發內網數據丟失和醫院正常工作的開展。醫院網絡建設規模一般較大,需要多臺大型網絡設備進行分流,如交換機和路由器。此外,由于繳費和社保要求,醫院內網還需專線連接銀行、醫保等機構,如此多樣化的需求要求必須在醫院計算機系統內配置防火墻過濾網關和病毒防系統,防治病毒入侵。防火墻設置的基本功能在于對未經授權訪問計算機的請求被阻止,減少醫院計算機內網被非法和惡意入侵的概率。
總之,計算機信息時代的醫院內網必須加強安全管理,以管理手段和技術手段共同保證內網的安全,實現系統的安全可靠運行。
參考文獻
[1] 孫揚.淺析校園內部局域網信息安全[J].信息科學,2012(9).
[關鍵詞]辦公自動化;安全;三亞空管站;保密
doi:10.3969/j.issn.1673 - 0194.2016.06.124
[中圖分類號]TP311 [文獻標識碼]A [文章編號]1673-0194(2016)06-0-02
1 概 述
多年以來,人們依賴于傳統的紙質辦公形式,但紙質辦公效率低、成本高并且存在各種不安全因素,已經無法滿足目前高效的工作需求。單位內部員工作為一個團隊,為使團隊能夠在工作中及時交流,快速獲取相關信息,高效率運轉,管理者將目光投向信息網絡技術,于是辦公自動化系統(Office Automation,OA)在這種形勢下應運而生。以往人們對OA系統的認識僅停留在文件流轉、電子郵件、會議安排這些數據的處理過程,這也是大部分單位建設辦公自動化系統所想要達到的目的。但隨著網絡科技的迅猛發展,人們對安全的防范意識逐步提高,如何確保網絡內各核心業務的安全,已經成為使用者關注的焦點。
目前三亞空管站正使用一套由上海雙楊公司生產的OA系統,該系統穩定可靠、使用簡單,已經成為管理人員工作中必不可少的辦公途徑。但建設信息安全網絡也面臨著許多困難,如在信息傳遞過程中容易被竊取,終端中毒后攻擊服務器等,都給建設辦公網絡帶來了巨大挑戰,本文主要對三亞空管站辦公自動化系統網絡安全目前存在的問題進行分析,并提出解決問題的方法。
2 自動化系統的網絡構成及其安全分析
2.1 三亞空管站辦公自動化系統網絡現狀
三亞空管站信息網絡由一條帶寬2M的ATM線路接入空管局廣域網,接入路由器msr 2020,防火墻neteye 4120,核心交換機是一臺h3c 7503。本單位網絡為二層結構,配備12臺交換機且直接接入核心交換機,接入的交換機多為傻瓜不可網管型交換機,終端用戶約100個。
三亞空管站按照功能與部門將內部網絡化分為四個區域,分別是:①服務器區;②技術保障部;③航務部;④東區機關本部,內部四個區域均使用私有IP地址分配,每個區域都是24位掩碼的子網,如圖1所示。
2.2 網絡安全的必要性
單位管理層使用OA系統所傳遞的辦公文件,有相當一部分會涉及到保密信息,如果使用者在傳遞過程中稍有疏忽,便會泄密而造成無法挽回的損失。如果網絡安全得不到保障,辦公自動化系統便會面臨絕境最終失去市場。于是,如何為OA系統建設安全保密的辦公專網已成為刻不容緩的問題。目前三亞空管站所使用的辦公專網,安裝了防火墻并做了基本安全策略。防火墻可以做到網絡間的訪問控制需求,過濾一些不安全服務,可針對協議、端口號、時間等條件實現安全的訪問控制,它是解決安全網絡層最經濟、最有效的手段。但是有了防火墻并不代表高枕無憂,網絡安全是整體的,動態的,不是依賴某一樣產品便能實現的。
2.3 目前存在的安全隱患
根據本單位OA系統部署的實際情況,將威脅網絡信息安全的原因分為三大類。
第一,沒有內網專用殺毒軟件和病毒庫服務器,專網經常發生電腦病毒或木馬及各類攻擊,對于這些攻擊沒有抵抗能力,就算泄密了也不能及時發現。目前安裝的360免費殺毒軟件并不適用于內部局域網,原因在于它不能實時連接外網進行病毒庫升級,對病毒并不具有強效的查殺能力,造成主機系統易受到各類病毒的破壞。第二,使用者網絡安全意識不足,隨意插拔非法優盤導致木馬病毒在網內橫行,容易造成傳輸過程中數據被竊取、修改及破壞。第三,使用的硬件性能老舊,已經無法滿足目前人們對信息安全的需要。
3 強化網絡安全的有效措施
3.1 加強外部網絡管理
由于外部網絡信息來源復雜,應當將辦公局域網與外網進行有效隔離,禁止辦公網絡的專用計算機終端外連互聯網,嚴格控制外網的接入可以很大程度地降低網絡安全風險,有效減少木馬病毒的入侵。
3.2 部署專用的網絡安全審計系統
目前專用網絡安全審計系統已實現多功能一體化,如啟明星辰公司研發的一套“天內網絡安全風險管理與審計系統”,可根據用戶實際情況為其量身打造出一套適合自己使用的系統,根據用戶需求設計基本安全策略,如監控內部人員的網絡操作,及時切斷非法訪問連接并有效記錄內部人員訪問資源信息,對整個網絡資源進行全面監控和更有效的管理,對計算機終端實行多層準入控制及網絡準入控制等,全面提升內部局域網安全防護的能力,為使用者構建起安全可靠的合規內網。
3.3 對信息進行加密
為各部門配備辦公網專用優盤,并且對優盤中重要文件進行加密,在網絡安全審計系統安全策略中加入優盤認證、優盤加密等相關功能,禁止非法優盤接入辦公電腦竊取資料。
3.4 提高主機防病毒能力
由于病毒危害性極大并且傳播極為迅速,辦公專網中連接了所有管理層人員的辦公主機和服務器系統,必須從單機到服務器部署整體防病毒軟件體系,同時在網絡邊界部署防病毒網關,攔截病毒,實現全網的病毒安全防護。需購買企業級殺毒軟件,在所有計算機終端和服務器上安裝部署網絡版本的殺毒軟件,防止病毒攻擊。并新增病毒庫服務器,用戶在線即可對本機病毒庫進行升級。
3.5 更新在用硬件
購買可網管型智能交換機,分別用來替換原先傻瓜式不可網管型交換機,并且根據內網區域配置DHCP服務器,在交換機上做DHCP Snooping、DAI、IP Source guard接入控制,防止終端非法外聯、接入網絡。
3.6 增強使用者的安全意識
由于信息網安全基礎設施和各項安全管理制度尚不完善和健全,部分人員安全意識淡薄,各種與業務無關的BBS論壇、聊天室、電影、網絡游戲隨意開設,而計算機終端中了木馬病毒并不能及時發現,又通過優盤拷貝的途徑將病毒傳播至內網,不僅對信息網的安全構成嚴重威脅,而且在一定程度上影響了正常業務工作的開展,損害了單位形象。應加強對使用者的培訓將內、外網操作行為規范化,并提高他們對信息安全的意識。
4 結 語
網絡安全是一個關系國家安全和社會穩定的重要問題,辦公自動化系統作為一個具體的信息系統,對保障信息安全的要求十分高,信息網絡的安全性已經成為辦公自動化系統得以投入使用的前提條件。本文對三亞空管站辦公自動化系統做了相關研究,并重點針對該辦公自動化系統的信息安全進行分析,提出目前亟待解決的問題并找到原因,最后提出有效解決方案。
關鍵詞:消防;通信;信息安全
中圖分類號:TP393.08
全國消防計算機通信網絡以公安信息網為依托,由消防信息網和指揮調度網構成,分別形成三級網絡結構。消防信息網是各級消防部門的日常辦公網絡,作為消防業務傳輸網;指揮調度網主要用于部局、總隊、支隊、大隊(中隊)等單位的視頻會議、遠程視頻監控、滅火救援指揮調度系統應用等業務,作為消防指揮調度專用傳輸網。隨著網絡規模的不斷擴大,來自內部網絡的威脅也日漸增多,必須利用信息安全基礎設施和信息系統防護手段,構建與基礎網絡相適應的信息安全保障體系。
1 計算機網絡安全防護措施
計算機網絡安全防護措施主要有防火墻、入侵防護、病毒防護、攻擊防護、入侵檢測、網絡審計和統一威脅管理系統等幾項(如下圖)。
1.1 防火墻。防火墻主要部署在網絡邊界,可以實現安全的訪問控制與邊界隔離,防范攻擊行為。防火墻的規則庫定義了源IP地址、目的IP地址、源端口和目的端口,一般攻擊通常會有很多征兆,可以及時將這些征兆加入規則庫中。目前網上部署的防火墻主要是網絡層防火墻,可實時在各受信級網絡間執行網絡安全策略,且具備包過濾、網絡地址轉換、狀態性協議檢測、VPN等技術。
1.2 入侵防御系統(Intrusion Prevention System,IPS)。IPS串接在防火墻后面,在防火墻進行訪問控制,保證了訪問的合法性之后,IPS動態的進行入侵行為的保護,對訪問狀態進行檢測、對通信協議和應用協議進行檢測、對內容進行深度的檢測。阻斷來自內部的數據攻擊以及垃圾數據流的泛濫。防火墻降低了惡意流量進出網絡的可能性,并能確保只有與協議一致的流量才能通過防火墻。如果惡意流量偽裝成正常的流量,并且與協議的行為一致,這樣的情況,IPS設備能夠在關鍵點上對網絡和主機進行監視并防御,以防止惡意行為。
1.3 防病毒網關。防病毒網關部署在病毒風險最高、最接近病毒發生源的安全邊界處,如內網終端區和防火墻與路由器之間,可以對進站或進入安全區的數據進行病毒掃描,把病毒完全攔截在網絡的外部,以減少病毒滲入內網后造成的危害。為使得達到最佳防毒效果,防病毒網關設備和桌面防病毒軟件應為不同的廠家產品。網絡版殺毒軟件的病毒掃描和處理方式主要是通過客戶端殺毒,通過企業版防毒軟件統一對已經進入內部網絡的病毒進行處理。
1.4 網絡安全審計系統。網絡安全審計系統作為一個完整安全框架中的一個必要環節,作為對防火墻系統和入侵防御系統的一個補充,其功能:首先它能夠檢測出某些特殊的IPS無法檢測的入侵行為(比如時間跨度很大的長期攻擊特征);其次它可以對入侵行為進行記錄、報警和阻斷等,并可以在任何時間對其進行再現以達到取證的目的;最后它可以用來提取一些未知的或者未被發現的入侵行為模式等。網絡安全審計系統與防火墻、入侵檢測的區別主要是對網絡的應用層內容進行審計與分析。
1.5 統一威脅管理系統(UTM)。UTM常定義為由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能,同時將多種安全特性集成于一個硬件設備里,形成標準的統一威脅管理平臺。UTM設備具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能。雖然UTM集成了多種功能,但卻不一定會同時開啟。根據不同用戶的不同需求以及不同的網絡規模,UTM產品分為不同的級別。UTM部署在安全域邊界上,可以根據保護對象所需的安全防護措施,靈活的開啟防火墻、IPS、防病毒、內容過濾等防護模塊,實現按需防護、深度防護的建設目標。采用UTM設備來構成本方案的核心產品,可有效節約建設資金,又能達到更好的防護效果。
2 消防指揮網絡安全設備部署
市級消防指揮網絡是市支隊與各區(縣)大隊或中隊之間部署的專網,規模相對較小,主要用途為視頻會議、遠程視頻監控、接處警終端和滅火救援指揮調度應用系統等業務,可按需選擇部署防火墻、入侵防護系統、防病毒網關、統一威脅管理系統、入侵檢測系統、網絡安全審計七類設備。(如圖)
2.1 計算機安全防護軟件:在網內計算機終端統一安裝防病毒軟件、終端安全軟件、一機兩用監控軟件。補丁分發管理系統和終端漏洞掃描系統統一由省級指揮中心部署,用來管理市級指揮調度網內計算機。這樣,可以防止安全風險擴散,保障由終端、服務器及應用系統等構成的計算環境的安全。
2.2 指揮調度網安全邊界:在市級指揮調度網與省級指揮調度網聯網邊界部署統一威脅管理系統(UTM),開啟防火墻、入侵防護、網關防病毒、VPN等功能模塊,在專網安全邊界對各種風險統一防護。在核心交換機上部署網絡審計系統對內網中的網絡通信進行記錄和分析,及時發現可能存在的網絡事件。
2.3 內網終端區:內網終端區主要有計算機接處警終端、視頻會議終端、視頻監控終端等,操作應用人員比較復雜,隨意使用移動存儲設備的可能性大,在內網終端區安全邊界區部署一臺防病毒網關進行病毒過濾,防止病毒向其他區域擴散。
2.4 核心業務處理區:主要包括滅火救援指揮調度相關的業務系統、綜合統計分析、綜合報表管理等業務系統。部署一臺防火墻對核心業務處理區進行訪問控制,阻斷對安全區內的業務服務的非法訪問;再部署一臺IPS,實時發現并阻斷針對核心業務處理區的入侵和攻擊行為。
2.5 指揮中心邊界:部署一臺防火墻對支隊指揮中心與上級指揮中心之間的業務訪問進行訪問控制和攻擊防御。
2.6 內網管理區:區中主要有各類管理服務器,用于集中進行安全策略的定制、下發、集中監控各類系統的運行狀態。主要包括設備管理、終端管理、防病毒管理等。
如果市級指揮中心規模較小,可以將核心業務處理區、內網管理區和指揮中心區合并為同一個安全域,共同部署一臺IPS和防火墻。
3 總結
總之,網絡安全是一項綜合性的課題,它涉及技術、管理、應用等許多方面,既包括信息系統本身的安全問題,又有網絡防護的技術措施。我們必須綜合考慮安全因素,在采用各種安全技術控制措施的同時,制定層次化的安全策略,完善安全管理組織機構和人員配備,才能有效地實現網絡信息的相對安全。
參考文獻:
[1]楊義先,任金強.信息安全新技術[M].北京:北京郵電大學出版社,2002.
[2]公安部.信息安全等級保護培訓教材[M].2007.
為加強網絡管理,確保網絡安全運行,按廳相關要求,中心認真組織落實,對中心網絡安全進行逐一排查,現將情況總結匯報如下:
一、加強領導,強化網絡安全責任制
為進一步加強中心網絡系統安全管理工作,成立了以中心主任為組長、分管領導為副組長、辦公室人員為成員的網絡安全工作領導小組,做到分工明確,責任具體到人。明確中心主任為計算機網絡安全工作第一責任人,全面負責計算機網絡與信息安全管理工作,副組長分管計算機網絡與信息安全管理工作。為確保網絡安全工作順利開展,要求全體干部充分認識網絡安全工作的重要性,認真學習網絡安全知識,按照網絡安全的各種規定,正確使用計算機網絡和各類信息系統。
二、計算機和網絡安全情況
中心分管領導牽頭,對中心計算機網絡與信息安全工作進行了安全排查,中心所有計算機均配備了防病毒軟件,采用了數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施,明確了網絡安全責任,強化了網絡安全工作。
切實抓好內網、外網和應用軟件管理,確保“涉密計算機不上網,上網計算機不涉密”,嚴格按照保密要求處理光盤、硬盤、移動硬盤等管理、維修和銷毀工作。重點抓好“三大安全”排查:一是加強對硬件安全的管理,包括防塵、防潮、防雷、防火、防盜和電源連接等。對機房可能存在的安全隱患,進行防雷電處理;二是加強網絡安全管理,對中心計算機實行分網管理,嚴格區分內網和外網,合理布線,優化網絡結構,加強密碼管理、IP管理、互聯網行為管理等;三是加強計算機應用安全管理,包括郵件系統、資源庫管理、軟件管理等。
為進一步加強中心網絡安全,對部分計算機設備進行了升級,為主要計算機配備了UPS,每臺終端機都安裝了防病毒軟件,硬件的運行環境符合要求。今年更換了已經老化的服務器,目前服務器、交換機等網絡硬件設備運轉正常,各種計算機及輔助設備、軟件運轉正常。
三、計算機涉密信息管理情況
加強對涉密計算機的管理。對計算機外接設備、移動設備的管理,采取專人保管、涉密文件單獨存放,嚴禁攜帶存在涉密內容的移動介質到上網的計算機上加工、貯存、傳遞處理文件,形成了良好的安全保密環境。嚴格區分內網和外網,對涉密計算機實行了與國際互聯網及其他公共信息網物理隔離,落實保密措施,到目前為止,未發生一起計算機失密、泄密事故。其他非涉密計算機及網絡使用,也嚴格按照有關計算機網絡與信息安全管理規定,加強管理,確保了中心網絡信息安全。
四、嚴格管理,規范設備維護
對電腦及其設備實行“誰使用、誰管理、誰負責”的管理制度。一是堅持“制度管人”。二是強化信息安全教育、提高工作人員計算機技能。同時利用遠程教育、科普宣傳等開展網絡安全知識宣傳,增強黨員干部網絡安全意識。在設備維護方面,對出現問題的設備及時進行維護和更換,對外來維護人員,要求有相關人員陪同,并對其身份進行核實,規范設備的維護和管理。
