導(dǎo)語：如何才能寫好一篇辦公網(wǎng)絡(luò)的網(wǎng)絡(luò)安全問題，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：院校；辦公網(wǎng)絡(luò)化；安全問題

中圖分類號：F232；TP309

近年來，各院校為適應(yīng)高等教育信息化建設(shè)和人才培養(yǎng)的需要，紛紛實現(xiàn)了網(wǎng)絡(luò)化辦公。這一趨勢不僅是社會發(fā)展的需要，而且也是院校改革與發(fā)展的需要。辦公網(wǎng)絡(luò)化的普及使得院校信息基礎(chǔ)設(shè)施建設(shè)得到不斷的完善，為廣大師生及時了解和掌握最新科學(xué)技術(shù)信息提供了有力的條件和保障，也有力促進(jìn)了高校教學(xué)和科研水平的提高。它的巨大作用已被廣大教育和科研工作者所廣泛承認(rèn)并引起高度重視。但是，院校網(wǎng)絡(luò)化辦公條件存在著一些安全問題，是我們不得不重視和亟待解決的。

1 院校網(wǎng)絡(luò)化辦公條件下的安全問題

1.1 計算機病毒問題

計算機病毒簡單的來說就是一種可以執(zhí)行的計算機的程序。它不僅能夠自我復(fù)制，而且會寄附在所尋找的寄主體內(nèi)，傳播能力極強，就和生物病毒一樣。隨著計算機網(wǎng)絡(luò)的不斷發(fā)展和普及，計算機病毒的總數(shù)已經(jīng)超過30000種，而且還在不斷的增加，它的破壞性也在不斷地增強。網(wǎng)絡(luò)環(huán)境下的辦公，收發(fā)郵件是人們交流的主要工具，據(jù)有關(guān)資料表明，約三分之一以上的計算機病毒都是通過電子郵件而得到傳播的，而且，這種傳播途徑的病毒隱蔽性強，經(jīng)常令人防不勝防。

1.2 網(wǎng)絡(luò)黑客問題

目前的網(wǎng)絡(luò)化辦公會基本上都采用以太網(wǎng)。在同一以太網(wǎng)中，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅可以為這兩個節(jié)點的網(wǎng)卡所接受，也同時能夠為處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。所以，黑客通過互聯(lián)網(wǎng)就可以入侵院校網(wǎng)絡(luò)中的任意節(jié)點進(jìn)行偵聽，從而獲取發(fā)生在這個網(wǎng)段上的所有數(shù)據(jù)包，造成信息失竊。一旦院校中的重要信息被黑客攻擊，將給院校帶來很大的損失。尤其是一些的計算機，更可能成為不法分子關(guān)注的目標(biāo)。

1.3 管理漏洞

嚴(yán)格管理網(wǎng)絡(luò)通信系統(tǒng)是企業(yè)、機構(gòu)及用戶免受攻擊的重要措施。但是各院校在推行網(wǎng)絡(luò)化辦公的同時卻沒有做好這方面的工作，這給一些黑客有機可乘。管理的缺陷還可能出現(xiàn)系統(tǒng)內(nèi)部人員泄露機密或外部人員通過非法手段截獲而導(dǎo)致機密信息的泄露。

此外，由于院校網(wǎng)絡(luò)化辦公發(fā)展的時間還不是很長，使得相關(guān)管理人員還缺乏足夠的經(jīng)驗，沒有相應(yīng)的知識結(jié)構(gòu)去應(yīng)對各方面的難題。而網(wǎng)絡(luò)的用戶對網(wǎng)絡(luò)化辦公條件下可能存在的安全問題認(rèn)識可能也存在不足，但是，網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)安全知識的缺乏恰恰是網(wǎng)絡(luò)辦公條件下安全問題的最大威脅。

1.4 網(wǎng)絡(luò)的缺陷及漏洞

Intemet的共享性和開放性，使網(wǎng)上信息安全存在先天不足。因為其賴以生存的TCP/IP協(xié)議，缺乏相應(yīng)的安全機制，而且因特網(wǎng)最初設(shè)計時也沒有考慮安全問題，因此它在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。

1.5 其他問題

（1）自然災(zāi)害

自然災(zāi)害也會引發(fā)網(wǎng)絡(luò)化辦公條件下的安全問題，而且這一問題越來越明顯。自然災(zāi)害會對構(gòu)成計算機網(wǎng)絡(luò)的電纜、通信光纜、局域網(wǎng)等造成很大威脅，也可能對計算機本身的硬件造成損害，間接地導(dǎo)致網(wǎng)絡(luò)用戶的信息丟失、利益受損，另外我國的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面也存在許多薄弱環(huán)節(jié)。

（2）由于突然停電、強烈震動、誤操作等造成的數(shù)據(jù)破壞或丟失。

2 網(wǎng)絡(luò)辦公環(huán)境下的安全策略

盡管到目前為止，人們還沒有研究出一種方法可以一勞永逸的完全消除網(wǎng)絡(luò)安全問題。但是，我們可以采用各種安全策略來使網(wǎng)絡(luò)化辦公條件下的風(fēng)險降到最低。

2.1 技術(shù)方面

（1）安裝防火墻和殺毒軟件，及時下載安裝補丁。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實施檢查，以確定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。

在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴散快，僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品，及時查殺病毒，同時要注意及時升級殺毒軟件，確保可以查殺最新病毒。尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

目前這樣的產(chǎn)品很多，如，瑞星、360殺毒及360安全衛(wèi)士、金山毒霸、卡巴斯基等。

（2）數(shù)據(jù)備份。計算機里面重要的數(shù)據(jù)、檔案或歷史記錄，要采取先進(jìn)、有效的措施，對數(shù)據(jù)進(jìn)行備份、防范于未然，以防被竊取或者損壞，造成不可估量的損失。

（3）數(shù)據(jù)加密。通過網(wǎng)絡(luò)中的加密機構(gòu)，把各種原始的數(shù)據(jù)信息，按照某種特定的加密算法變換成與明文完全不同的數(shù)據(jù)信息，即密文的過程。目前常用的數(shù)據(jù)加密技術(shù)，主要有鏈路加密、節(jié)點加密和端對加密等三種方式。

（4）身份鑒別。主要是通過核查用戶輸入的口令，因此，為了保障網(wǎng)絡(luò)安全，對口令的使用進(jìn)行嚴(yán)格管理是必不可少的。除此之外，還可以采用磁性卡片、指紋、聲音、等方法對用戶進(jìn)行鑒別。

2.2 管理方面

七分管理，三分技術(shù)。安全管理貫穿整個安全防范體系，是安全防范體系的核心，管理是單位網(wǎng)絡(luò)安全的核心，技術(shù)是安全管理的保證。只有制定完整的規(guī)章制度、行為準(zhǔn)則并和安全技術(shù)手段合理結(jié)合，網(wǎng)絡(luò)系統(tǒng)的安全才會有最大的保障。

（1）加強安全管理力度，健全管理制度。作為單位應(yīng)制訂機房管理制度、各類人員職責(zé)分工、安全保密規(guī)定、口令管理制度、網(wǎng)絡(luò)安全指南、用戶上網(wǎng)使用手冊、系統(tǒng)操作規(guī)程、應(yīng)急響應(yīng)方案、安全防護(hù)記錄一系列的制度保證網(wǎng)絡(luò)的核心部門高安全、高可靠地運作。

（2）加強安全防范意識，提高相關(guān)人員素質(zhì)。培養(yǎng)或培訓(xùn)一支精通網(wǎng)絡(luò)技術(shù)和管理的隊伍，惟其如此，方能保證網(wǎng)絡(luò)化管理安全、平穩(wěn)、正常地運行。必須加強用戶的安全意識，引導(dǎo)用戶自覺安裝防病毒軟件，打補丁，自動更新操作系統(tǒng)，對不熟悉的軟件不要輕易安裝。

（3）充分保障設(shè)備安全。嚴(yán)格管控硬件系統(tǒng)的運行環(huán)境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面，都要設(shè)置具體的要求和標(biāo)準(zhǔn)，同時要做到防盜、防毀、防止線路截獲。計算機房場地選擇時，要注意其外部環(huán)境安全性、可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁，還要注意出入口的管理。

（4）法律監(jiān)督。計算機保密防范必須以法律法規(guī)為依據(jù)。目前我國已有《保密法》、《計算機信息系統(tǒng)安全保護(hù)條例》和《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》，按照規(guī)定和要求，做好相關(guān)工作，確保網(wǎng)絡(luò)信息的安全。

3 結(jié)束語

信息化進(jìn)程的迅猛發(fā)展使各院校的工作和網(wǎng)絡(luò)緊緊連在了一起。然而現(xiàn)在的網(wǎng)絡(luò)隨著接入技術(shù)的日新月異也越來越開放，病毒、黑客以及其他復(fù)雜的攻擊手段給網(wǎng)絡(luò)帶來巨大的威脅，安全已經(jīng)成為企業(yè)繼續(xù)生存發(fā)展所面臨的重要問題。這就需要通過不斷的改進(jìn)和學(xué)習(xí)來努力營造安全的網(wǎng)絡(luò)環(huán)境，維護(hù)網(wǎng)絡(luò)信息的安全。

參考文獻(xiàn)：

[1]李桂蘭，王少先.計算機網(wǎng)絡(luò)安全問題初探[J].遼寧工程技術(shù)大學(xué)學(xué)報（社會科學(xué)版），2002，4（3）：8081.

[2]姜威，闞小松.計算機網(wǎng)絡(luò)安全淺談[J].科技天地，http：//.

[3]李嬡媛.淺談網(wǎng)絡(luò)安全管理與防病毒策略[J].陜西林業(yè)科技，2010（4）：54-55.

篇2

辦公網(wǎng)絡(luò)面臨的內(nèi)部安全威脅

正如我們所知道的那樣，70％的安全威脅來自網(wǎng)絡(luò)內(nèi)部，其形式主要表現(xiàn)在以下幾個方面。

內(nèi)部辦公人員安全意識淡漠

內(nèi)部辦公人員每天都專注于本身的工作，認(rèn)為網(wǎng)絡(luò)安全與己無關(guān)，因此在意識上、行為上忽略了安全的規(guī)則。為了方便，他們常常會選擇易于記憶但同時也易于被猜測或被黑客工具破解的密碼，不經(jīng)查殺病毒就使用來歷不明的軟件，隨便將內(nèi)部辦公網(wǎng)絡(luò)的軟硬件配置、拓?fù)浣Y(jié)構(gòu)告之外部無關(guān)人員，給黑客入侵留下隱患。

別有用心的內(nèi)部人員故意破壞

辦公室別有用心的內(nèi)部人員會造成十分嚴(yán)重的破壞。防火墻、IDS檢測系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品主要針對外部入侵進(jìn)行防范，但面對內(nèi)部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內(nèi)上網(wǎng)瀏覽網(wǎng)頁，下載軟件或玩網(wǎng)絡(luò)游戲，但受到網(wǎng)絡(luò)安全管理規(guī)定的限制，于是繞過防火墻的檢測偷偷撥號上網(wǎng)，造成黑客可以通過這些撥號上網(wǎng)的計算機來攻入內(nèi)部網(wǎng)絡(luò)。而有些辦公人員稍具網(wǎng)絡(luò)知識，又對充當(dāng)網(wǎng)絡(luò)黑客感興趣，于是私自修改系統(tǒng)或找到黑客工具在辦公網(wǎng)絡(luò)內(nèi)運行，不知不覺中開啟了后門或進(jìn)行了網(wǎng)絡(luò)破壞還渾然不覺。更為嚴(yán)重的是一些人員已經(jīng)在準(zhǔn)備跳槽或被施利收買，辦公內(nèi)部機密信息被其私自拷貝、復(fù)制后流失到外部。此外，還有那些被批評、解職、停職的內(nèi)部人員，由于對內(nèi)部辦公網(wǎng)絡(luò)比較熟悉，會借著各種機會（如找以前同事）進(jìn)行報復(fù)，如使用病毒造成其傳播感染，或刪除一些重要的文件，甚至?xí)c外部黑客相勾結(jié)，攻擊、控制內(nèi)部辦公網(wǎng)絡(luò)，使得系統(tǒng)無法正常工作，嚴(yán)重時造成系統(tǒng)癱瘓。

單位領(lǐng)導(dǎo)對辦公網(wǎng)絡(luò)安全沒有足夠重視

有些單位對辦公網(wǎng)絡(luò)存在著只用不管的現(xiàn)象，有的領(lǐng)導(dǎo)只關(guān)心網(wǎng)絡(luò)有沒有建起來，能否連得上，而對其安全沒有概念，甚至對于網(wǎng)絡(luò)基本情況，包括網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)出口等概不知情。對內(nèi)部辦公人員，公司平時很少進(jìn)行安全技術(shù)培訓(xùn)和安全意識教育，沒有建立相應(yīng)的辦公網(wǎng)絡(luò)安全崗位和安全管理制度，對于黑客的攻擊和內(nèi)部違規(guī)操作則又存在僥幸心理，認(rèn)為這些是非常遙遠(yuǎn)的事情。在硬件上，領(lǐng)導(dǎo)普遍認(rèn)為只要安裝了防火墻、IDS、IPS，設(shè)置了Honeypot就可以高枕無憂。而沒有對新的安全技術(shù)和安全產(chǎn)品做及時升級更新，對網(wǎng)絡(luò)資源沒有進(jìn)行細(xì)粒度安全級別的劃分，使內(nèi)部不同密級的網(wǎng)絡(luò)資源處于同樣的安全級別，一旦低級別的數(shù)據(jù)信息出現(xiàn)安全問題，將直接影響核心保密信息的安全和完整。

缺乏足夠的計算機網(wǎng)絡(luò)安全專業(yè)人才

由于計算機網(wǎng)絡(luò)安全在國內(nèi)起步較晚，許多單位缺乏專門的信息安全人才，使辦公信息化的網(wǎng)絡(luò)安全防護(hù)只能由一些網(wǎng)絡(luò)公司代為進(jìn)行，但這些網(wǎng)絡(luò)安全公司必定不能接觸許多高級機密的辦公信息區(qū)域，因此依然存在許多信息安全漏洞和隱患。沒有內(nèi)部信息安全專業(yè)人員對系統(tǒng)實施抗攻擊能力測試，單位則無法掌握自身辦公信息網(wǎng)絡(luò)的安全強度和達(dá)到的安全等級。同時，網(wǎng)絡(luò)系統(tǒng)的漏洞掃描，操作系統(tǒng)的補丁安裝和網(wǎng)絡(luò)設(shè)備的軟、硬件升級，對辦公網(wǎng)內(nèi)外數(shù)據(jù)流的監(jiān)控和入侵檢測，系統(tǒng)日志的周期審計和分析等經(jīng)常性的安全維護(hù)和管理也難以得到及時的實行。

網(wǎng)絡(luò)隔離技術(shù)（GAP）初探

GAP技術(shù)

GAP是指通過專用硬件使兩個或兩個以上的網(wǎng)絡(luò)在不連通的情況下進(jìn)行網(wǎng)絡(luò)之間的安全數(shù)據(jù)傳輸和資源共享的技術(shù)。簡而言之，就是在不連通的網(wǎng)絡(luò)之間提供數(shù)據(jù)傳輸，但不允許這些網(wǎng)絡(luò)間運行交互式協(xié)議。GAP一般包括三個部分：內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、專用隔離交換單元。其內(nèi)、外網(wǎng)處理單元各擁有一個網(wǎng)絡(luò)接口及相應(yīng)的IP地址，分別對應(yīng)連接內(nèi)網(wǎng)（網(wǎng)）和外網(wǎng)（互聯(lián)網(wǎng)），專用隔離交換單元受硬件電路控制高速切換，在任一瞬間僅連接內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元之一。

GAP可以切斷網(wǎng)絡(luò)之間的TCP/IP連接，分解或重組TCP/IP數(shù)據(jù)包，進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和內(nèi)容確認(rèn)等，在同一時間只和一邊的網(wǎng)絡(luò)連接，與之進(jìn)行數(shù)據(jù)交換。

GAP的數(shù)據(jù)傳遞過程

內(nèi)網(wǎng)處理單元內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)服務(wù)請求，將數(shù)據(jù)通過專用隔離硬件交換單元轉(zhuǎn)移至外網(wǎng)處理單元，外網(wǎng)處理單元負(fù)責(zé)向外網(wǎng)服務(wù)器發(fā)出連接請求并取得網(wǎng)絡(luò)數(shù)據(jù)，然后通過專用隔離交換單元將數(shù)據(jù)轉(zhuǎn)移回內(nèi)網(wǎng)處理單元，再由其返回給內(nèi)網(wǎng)用戶。

GAP具有的高安全性

GAP設(shè)備具有安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計和身份認(rèn)證等安全功能。由于GAP斷開鏈路層并切斷所有的TCP連接，并對應(yīng)用層的數(shù)據(jù)交換按安全策略進(jìn)行安全檢查，因此能夠保證數(shù)據(jù)的安全性并防止未知病毒的感染破壞。

使用網(wǎng)絡(luò)隔離技術(shù)（GAP）進(jìn)行內(nèi)部防護(hù)

我們知道，單臺的計算機出現(xiàn)感染病毒或操作錯誤是難以避免的，而這種局部的問題較易解決并且?guī)淼膿p失較小。但是，在辦公信息化的條件下，如果這種錯誤在網(wǎng)絡(luò)所允許的范圍內(nèi)無限制地擴大，則造成的損失和破壞就難以想象。因此，對辦公內(nèi)部網(wǎng)絡(luò)的安全防范不是確保每一臺網(wǎng)絡(luò)內(nèi)的計算機不發(fā)生安全問題，而是確保發(fā)生的安全問題只限于這一臺計算機或這一小范圍，控制其影響的區(qū)域。目前，對內(nèi)網(wǎng)采取“多安全域劃分”的技術(shù)較好地解決了這個問題，而GAP系統(tǒng)的一個典型的應(yīng)用就是對內(nèi)網(wǎng)的多個不同信任域的信息交換和訪問進(jìn)行控制。因此，使用GAP系統(tǒng)來實現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”，是一個比較理想的方法。

“多安全域劃分”技術(shù)

“多安全域劃分”技術(shù)就是根據(jù)內(nèi)網(wǎng)的安全需求將內(nèi)網(wǎng)中具有不同信任度（安全等級）網(wǎng)段劃分成獨立的安全域，通過在這些安全域間加載獨立的訪問控制策略來限制內(nèi)網(wǎng)中不同信任度網(wǎng)絡(luò)間的相互訪問。這樣，即使某個低安全級別區(qū)域出現(xiàn)了安全問題，其他安全域也不會受到影響。

利用網(wǎng)絡(luò)隔離技術(shù)（GAP）實現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”

首先，必須根據(jù)辦公內(nèi)網(wǎng)的實際情況將內(nèi)網(wǎng)劃分出不同的安全區(qū)域，根據(jù)需要賦予這些安全區(qū)域不同的安全級別。安全級別越高則相應(yīng)的信任度越高，安全級別較低則相應(yīng)的信任度較低，然后安全人員按照所劃分的安全區(qū)域?qū)AP設(shè)備進(jìn)行安裝。系統(tǒng)管理員依照不同安全區(qū)域的信任度高低，設(shè)置GAP設(shè)備的連接方向。GAP設(shè)備的內(nèi)網(wǎng)處理單元安裝在高安全級別區(qū)域，GAP設(shè)備的外網(wǎng)處理單元安裝在低信任度的安全區(qū)域，專用隔離硬件交換單元則布置在這兩個安全區(qū)域之間。內(nèi)網(wǎng)處理單元高安全級別區(qū)域（假設(shè)為A區(qū)域）用戶的網(wǎng)絡(luò)服務(wù)請求，外網(wǎng)處理單元負(fù)責(zé)從低安全級別區(qū)域（設(shè)為B區(qū)域）取得網(wǎng)絡(luò)數(shù)據(jù)，專用隔離硬件則將B區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)移至A區(qū)域，最終該網(wǎng)絡(luò)數(shù)據(jù)返回給發(fā)出網(wǎng)絡(luò)服務(wù)請求的A區(qū)域用戶。這樣，A區(qū)域內(nèi)用戶可通過GAP系統(tǒng)訪問B區(qū)域內(nèi)的服務(wù)器、郵件服務(wù)器、進(jìn)行郵件及網(wǎng)頁瀏覽等。同時，A區(qū)域內(nèi)管理員可以進(jìn)行A區(qū)域與B區(qū)域之間的批量數(shù)據(jù)傳輸、交互操作，而B區(qū)域的用戶則無法訪問A區(qū)域的資源。這種訪問的不對稱性符合不同安全區(qū)域信息交互的要求，實現(xiàn)信息只能從低安全級別區(qū)域流向高安全級別區(qū)域的“安全隔離與信息單向傳輸”。

這樣，較易出現(xiàn)安全問題的低安全區(qū)（包括人員和設(shè)備）就不會對高安全區(qū)造成安全威脅，保證了核心信息的機密性和完整性。同時，由于在GAP外網(wǎng)單元上集成了入侵檢測和防火墻模塊，其本身也綜合了訪問控制、檢測、內(nèi)容過濾、病毒查殺，因此，GAP可限制指定格式的文件，采用專用映射協(xié)議實現(xiàn)系統(tǒng)內(nèi)部的純數(shù)據(jù)傳輸，限定了內(nèi)網(wǎng)局部安全問題只能影響其所在的那個安全級別區(qū)域，控制了其擴散的范圍。

“多安全域劃分”的防護(hù)效果

由于GAP實現(xiàn)內(nèi)網(wǎng)的信任度劃分和安全區(qū)域設(shè)定，使辦公內(nèi)網(wǎng)的安全性極大提高，辦公內(nèi)網(wǎng)易出現(xiàn)的安全問題得到有效控制。

篇3

關(guān)鍵詞：信息標(biāo)準(zhǔn)化；流程；應(yīng)用

近年來，互聯(lián)網(wǎng)技術(shù)發(fā)展是非?？焖俚?，這樣就使得網(wǎng)絡(luò)安全問題也慢慢受到了人們的關(guān)注，供電企業(yè)在發(fā)展過程中對信息安全的要求也在不斷提高，在這種情況下，供電企業(yè)在發(fā)展過程中，開始在辦公終端上進(jìn)行了改變，這樣也使得計算機安全方面得到了更好的控制，同時在操作的時候也能更加方便，這樣能夠更好的促進(jìn)供電企業(yè)安全防護(hù)能力。規(guī)范計算機入網(wǎng)前軟件安裝及系統(tǒng)設(shè)置為入手點，這樣能夠更好的將終端和管理方式進(jìn)行結(jié)合，同時也能更好的避免出現(xiàn)終端口令問題，同時也能防止病毒軟件和系統(tǒng)補丁對供電企業(yè)的信息安全一定的影響。

1 辦公計算機接入管理現(xiàn)狀及存在的問題

計算機在接入到公司網(wǎng)絡(luò)的時候，經(jīng)常是存在著終端用戶往往為了保證不被桌面終端管控系統(tǒng)阻斷，通常會在第一時間就會按照桌面終端管控注冊安裝，在這種情況下是經(jīng)常會發(fā)生信息違規(guī)告警的，因此，在進(jìn)行安裝的時候是經(jīng)常會出現(xiàn)口令比較弱，或者是防病毒軟件不符合情況的。導(dǎo)致口令比較弱和操作系統(tǒng)是有很大的關(guān)系的，因此，企業(yè)在發(fā)展計算機網(wǎng)絡(luò)的時候，要對企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)的適應(yīng)性進(jìn)行調(diào)整，很多的辦公網(wǎng)絡(luò)在終端方面通常會選擇Windows XP操作系統(tǒng)，在進(jìn)行操作時，企業(yè)可以建立一個新的計算機管理員，這樣在進(jìn)行操作的時候，能夠避免下次登錄計算機的時候出現(xiàn)登錄入口，這樣能夠更好的方便計算機在使用的時候切換到安全模式，這樣在登錄界面就可以看到賬號的記錄，在這種情況下，在其他計算機上進(jìn)行賬號登錄是會發(fā)出違規(guī)信號的，因此，也能更好的保證登錄安全。終端運行維護(hù)人員要對系統(tǒng)中的所有賬號都設(shè)置非常強的口令，這樣能夠更好的保證賬號的安全。同時，在出現(xiàn)一鍵還原的情況下，很多的計算機在使用過程中經(jīng)常是存在著反映速度非常慢的情況的，在這種情況下，很多的操作人員通常會自行使用一鍵還原對系統(tǒng)進(jìn)行重置，在這種情況下能夠?qū)ο到y(tǒng)反應(yīng)慢的情況進(jìn)行解決，但是，也是會導(dǎo)致出現(xiàn)弱口令的情況的，因此，在使用計算機系統(tǒng)的時候要避免出現(xiàn)操作系統(tǒng)隨意安裝的情況，這樣能夠更好的保證系統(tǒng)的操作安全。

系統(tǒng)在使用過程中是要進(jìn)行運行維護(hù)的，但是，現(xiàn)在市場中很多的操作系統(tǒng)都存在著無法對操作系統(tǒng)進(jìn)行補丁升級的情況，在這種情況下進(jìn)行手動補丁的安裝也是存在無法進(jìn)行的情況。在進(jìn)行補丁安裝時，系統(tǒng)的終端要通過注冊接入到企業(yè)的辦公網(wǎng)絡(luò)，在這種情況下是非常容易出現(xiàn)很多的系統(tǒng)漏洞的，同時也是會出現(xiàn)漏洞被病毒、木馬和黑客利用的，這樣就會導(dǎo)致終端在進(jìn)行使用的時候出現(xiàn)公司網(wǎng)絡(luò)安全受到影響的情況，同時也是存在著網(wǎng)絡(luò)不暢通的情況的。計算機在接入公司網(wǎng)絡(luò)以前，要對其應(yīng)用程序進(jìn)行很好的檢測和管理，這樣能夠避免出現(xiàn)對辦公網(wǎng)絡(luò)發(fā)生沖擊的情況，同時在很多的情況下，操作人員在進(jìn)行操作的時候經(jīng)常是會下載很多的系統(tǒng)的，很多的系統(tǒng)通常都是存在著很多的漏洞的，同時對系統(tǒng)也是會帶來很大的影響，因此，非常容易導(dǎo)致域名解析故障和網(wǎng)絡(luò)無法使用的情況，這樣也是會導(dǎo)致辦公業(yè)務(wù)出現(xiàn)無法運行的情況的，因此，對辦公終端操作系統(tǒng)的安全問題要進(jìn)行重視，在管理方面也要進(jìn)行加強。

2 標(biāo)準(zhǔn)化注冊管理介紹

在計算機接入到辦公網(wǎng)絡(luò)前沒有進(jìn)行系統(tǒng)加固是會導(dǎo)致很多的違規(guī)現(xiàn)象的出現(xiàn)，因此，在公司員工計算機水平不斷提高的情況下，操作人員可以自行安裝一些操作系統(tǒng)，這樣是會導(dǎo)致更多的違規(guī)現(xiàn)象的出現(xiàn)，因此，在進(jìn)行終端安全運行維護(hù)時，要對出現(xiàn)的問題進(jìn)行解決，加強終端入網(wǎng)標(biāo)準(zhǔn)化注冊流程，這樣能夠更好的保證網(wǎng)絡(luò)安全。對桌面終端管理控制系統(tǒng)進(jìn)行研究能夠更好的在計算機桌面安裝終端客戶端軟件，同時，也能對計算機運行的環(huán)境進(jìn)行檢查，這樣能夠更好的保證安全性，同時也能更好的將數(shù)據(jù)傳輸?shù)阶烂娼K端后臺服務(wù)器上，這樣一旦用戶沒有安裝殺毒軟件或者是沒有設(shè)置賬號口令，都是能夠發(fā)出告警的，對入網(wǎng)流程進(jìn)行規(guī)范，能夠避免出現(xiàn)信息違規(guī)的現(xiàn)象。

供電公司入網(wǎng)管理辦法的入網(wǎng)設(shè)置流程：首先，用戶填寫《供電分公司內(nèi)網(wǎng)終端接入申請表》；確認(rèn)預(yù)接入的計算機未連接網(wǎng)絡(luò)；完成操作系統(tǒng)版本確認(rèn)。通過計算機桌面“我的電腦”右鍵屬性，查看計算機操作系統(tǒng)版本是否合格；完成應(yīng)用程序清理。通過“控制面板”-“添加刪除程序”進(jìn)行互聯(lián)網(wǎng)應(yīng)用程序、游戲軟件、炒股軟件及娛樂軟件的卸載。要求所有接入內(nèi)網(wǎng)的計算機不允許存在非辦公用應(yīng)用程序；完成操作系統(tǒng)補丁加固。按照查看計算機操作系統(tǒng)版本的方法查看當(dāng)前系統(tǒng)補丁版本。要求Windows XP必須安裝SP3或以上的補丁集；完成所有系統(tǒng)帳號的密碼加固。對系統(tǒng)所有帳號進(jìn)行密碼設(shè)置，要求密碼長度大于8位，且必須為字母、數(shù)字及符號的混合字串；完成計算機名稱的更改。

3 終端標(biāo)準(zhǔn)化管理工作的創(chuàng)新

為了進(jìn)一步規(guī)范終端標(biāo)準(zhǔn)化管理，落實公司計算機入網(wǎng)設(shè)置流程規(guī)定，避免基層終端用戶習(xí)慣性操作違規(guī)，降低基層終端運維人員的操作難度，為此，公司自主研發(fā)了一套終端標(biāo)準(zhǔn)化注冊程序，實現(xiàn)計算機入網(wǎng)前對系統(tǒng)進(jìn)行關(guān)鍵加固項檢查，以技術(shù)手段為管理工作提供保障。

標(biāo)準(zhǔn)化注冊程序是以運城供電公司計算機入網(wǎng)設(shè)置流程為依據(jù)，其主要功能實現(xiàn)了，通過技術(shù)手段在計算機注冊入網(wǎng)前，對計算機名稱是否規(guī)范、是否安裝非辦公軟件、防病毒軟件是否規(guī)范、操作系統(tǒng)補丁是否合格、系統(tǒng)是否存在弱口令等方面進(jìn)行檢查，若存在不合格項，則阻止該計算機注冊并提示用戶進(jìn)行整改，從而借助桌面終端管理系統(tǒng)實現(xiàn)了阻止未經(jīng)過系統(tǒng)加固的計算機接入辦公網(wǎng)絡(luò)。流程圖見圖1。

通過在運城供電公司辦公網(wǎng)內(nèi)試運行標(biāo)準(zhǔn)化注冊程序，公司終端運行指標(biāo)得到顯著提升，通過觀察，自2012年3月開始至今，公司終端弱口令違規(guī)數(shù)量逐月降低，防病毒軟件安裝情況得到極大的改善，表1和表2分別為運城公司2012年和2013年的終端違規(guī)統(tǒng)計說明。

4結(jié)束語

對計算機入網(wǎng)進(jìn)行規(guī)范化管理，能夠更好的避免出現(xiàn)公司內(nèi)網(wǎng)受到病毒、木馬以及黑客攻擊的情況，這樣也能更好的減輕終端運行維護(hù)人員的工作量，同時也能對運行維護(hù)人員的技術(shù)要求進(jìn)行降低。在入網(wǎng)標(biāo)準(zhǔn)化管理不斷推進(jìn)的情況下，能夠更好的保證公司網(wǎng)絡(luò)的安全性，同時也能更好的促進(jìn)供電公司獲得更好的發(fā)展。

參考文獻(xiàn)

篇4

摘要：如同計算機網(wǎng)絡(luò)最初用于校園研究一樣，它的迅猛發(fā)展同樣離不開校園這個特殊環(huán)境的大力支持?，F(xiàn)代社會，各行各業(yè)對于網(wǎng)絡(luò)的需求和依賴達(dá)到了前所未有的高度，以至于很多時候離開了計算機網(wǎng)絡(luò)會使人們產(chǎn)生一種舉步維艱的乏力感，這種感覺既表現(xiàn)在生活上、娛樂上，更加突出地表現(xiàn)在工作當(dāng)中。高等院校各行政職能部門之間通過信息網(wǎng)絡(luò)互聯(lián)，最大限度的使信息資源共享，從而提高了各部門和教學(xué)單位的工作效率。然而，網(wǎng)絡(luò)誕生時的特殊性決定了它是脆弱的，容易受到各類惡意軟件、病毒、黑客和其他非法攻擊。如何保護(hù)計算機網(wǎng)絡(luò)信息安全，已成為一個備受關(guān)注的問題。

關(guān)鍵詞：網(wǎng)絡(luò)安全 OSI 入侵檢測系統(tǒng)

高等院校的計算機網(wǎng)絡(luò)系統(tǒng)，一般是在一個跨區(qū)域的局域網(wǎng)內(nèi)，其中包括信息管理、資源共享、業(yè)務(wù)窗口應(yīng)用服務(wù)平臺、網(wǎng)絡(luò)數(shù)據(jù)庫等部分，為各部門提供資源管理、數(shù)據(jù)采集、信息、流程審批和網(wǎng)絡(luò)視頻會議等應(yīng)用，從而大大提高了工作效率日常工作，成為辦公室里一個非常重要的工具，它需要一個擁有強大可操作性、安全性和保密性的計算機網(wǎng)絡(luò)。

一、互聯(lián)網(wǎng)的開放性決定了辦公網(wǎng)的不安全性

OSI系統(tǒng)模型即開放式系統(tǒng)互聯(lián)模型，將網(wǎng)絡(luò)通信分為了七層，每一層的結(jié)構(gòu)都不相同，分別承擔(dān)著不同的通信任務(wù)。下面針對各網(wǎng)絡(luò)層的體系結(jié)構(gòu)，從5個方面來對它們的安全因素進(jìn)行了討論。

1、物理層：這層的安全要素包括通信線路、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全。設(shè)備之間的連接是否遵從物理層協(xié)議標(biāo)準(zhǔn)，通信線路是否可靠，硬件和軟件設(shè)施是否具備抗干擾能力，網(wǎng)絡(luò)設(shè)備的操作環(huán)境（溫度、濕度、空氣清潔度）是否合適，是否具有安全電源（UPS不間斷電源）等。

2、網(wǎng)絡(luò)層：本層安全要素在于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?。網(wǎng)絡(luò)層數(shù)據(jù)的保密性和完整性、資源訪問控制機制、身份認(rèn)證、訪問安全、路由系統(tǒng)的安全、域名系統(tǒng)安全與入侵檢測應(yīng)用的安全和硬件設(shè)備的防病毒能力等方面。

3、系統(tǒng)層：系統(tǒng)層的安全要素是建立在軟件環(huán)境上的，主要體現(xiàn)在網(wǎng)絡(luò)服務(wù)器、客戶端操作系統(tǒng)的安全性，這取決于操作系統(tǒng)的缺陷和不足以及用戶身份認(rèn)證、訪問控制、安全、操作系統(tǒng)的安全配置和系統(tǒng)層病毒攻擊的預(yù)防手段。

4、應(yīng)用層：這一層的安全元素主要考慮的是網(wǎng)絡(luò)數(shù)據(jù)庫和有關(guān)信息安全的應(yīng)用類軟件，包括應(yīng)用網(wǎng)絡(luò)信息平臺、網(wǎng)絡(luò)信息系統(tǒng)、電子郵件系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等。

5、管理層：本層的安全要素包括網(wǎng)絡(luò)設(shè)備的技術(shù)配置和安全操作，管理人員的安全培訓(xùn)和安全管理規(guī)章制度的完善。

二、多人員參與決定了校園辦公網(wǎng)的不安全性

越來越完善的校園網(wǎng)絡(luò)與管理信息系統(tǒng)的使用，使得幾乎所有人都可以很容易地訪問校園網(wǎng)，一些別有用心的人就可能潛藏其中，他們試圖通過各種手段和途徑來攻擊網(wǎng)絡(luò)、破壞網(wǎng)絡(luò)、傳播計算機病毒，還有的可能竊取保密的技術(shù)資料及數(shù)據(jù)等等，面對這種情況，校園網(wǎng)絡(luò)的安全管理就顯得特別的重要。高校辦公網(wǎng)的安全主要包括物理與邏輯兩方面的安全性；物理安全主要是指網(wǎng)絡(luò)硬件的維護(hù)和使用管理；邏輯安全是從軟件的角度出發(fā)，主要是指數(shù)據(jù)的保密性、完整性、可用性等。

由于高等院校計算機網(wǎng)絡(luò)系統(tǒng)要保證整個學(xué)校職能部門和各教學(xué)單位所有的辦公活動和教學(xué)活動，采取的是集中存儲、統(tǒng)一數(shù)據(jù)管理的方式，所以這一信息的安全性是至關(guān)重要的。因此，學(xué)校辦公網(wǎng)絡(luò)信息的安全，人員占據(jù)重要的地位，網(wǎng)絡(luò)安全的各要素中都涉及人員的參與，因此對人員的安全管理是行政機關(guān)網(wǎng)絡(luò)信息安全的重點。為了保證信息的安全共享，應(yīng)該從數(shù)據(jù)安全管理和系統(tǒng)管理兩個方面確保安全。首先組織領(lǐng)導(dǎo)要高度重視網(wǎng)絡(luò)信息的安全性，建立周密的安全制度，包括網(wǎng)絡(luò)機房安全制度、計算機操作員技術(shù)規(guī)范等，提高從業(yè)人員的素質(zhì)和業(yè)務(wù)水平，防范人為因素造成的損失；其次是組織員工進(jìn)行信息安全培訓(xùn)教育，提高安全意識，對專業(yè)技術(shù)人員做深入的安全管理和安全技術(shù)培訓(xùn)；再次是網(wǎng)絡(luò)中心工作人員要定期對設(shè)備巡檢維護(hù)，及時修改和更新與實際相應(yīng)的安全策略，如防火墻、入侵檢測系統(tǒng)、防病毒軟件等；最后是安全管理人員定期檢查員工的網(wǎng)絡(luò)信息方面的安全問題。

三、高等院校辦公網(wǎng)安全策略

1、防火墻。所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。

2、入侵檢測。入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。

3、反病毒軟件。反病毒軟件的任務(wù)是實時監(jiān)控和掃描磁盤。部分反病毒軟件通過在系統(tǒng)添加驅(qū)動程序的方式，進(jìn)駐系統(tǒng)，并且隨操作系統(tǒng)啟動。大部分的殺毒軟件還具有防火墻功能。反病毒軟件的實時監(jiān)控方式因軟件而異。有的反病毒軟件，是通過在內(nèi)存里劃分一部分空間，將電腦里流過內(nèi)存的數(shù)據(jù)與反病毒軟件自身所帶的病毒庫的特征碼相比較，以判斷是否為病毒。另一些反病毒軟件則在所劃分到的內(nèi)存空間里面，虛擬執(zhí)行系統(tǒng)或用戶提交的程序，根據(jù)其行為或結(jié)果作出判斷。

篇5

關(guān)鍵詞：氣象網(wǎng)絡(luò)；安全隱患；防御

所謂網(wǎng)絡(luò)安全，主要是指為了保護(hù)網(wǎng)絡(luò)，避免受到侵害而采取的相關(guān)措施。采取科學(xué)合理的網(wǎng)絡(luò)安全保護(hù)措施，從而保證網(wǎng)絡(luò)的正常運轉(zhuǎn)。隨著信息時代的快速發(fā)展，計算機信息技術(shù)在氣象部門也得到了廣泛的應(yīng)用。很多氣象信息利用計算機技術(shù)被迅速高效的傳送到社會生活中的各個方面。

1 氣象網(wǎng)絡(luò)安全隱患分析

氣象網(wǎng)絡(luò)安全保障包含了計算機的物理組成部分以及信息安全和功能的安全等。首先是其物理組成部分的保護(hù)，主要是計算機的相關(guān)配件設(shè)施、運行環(huán)境等等，保障計算機系統(tǒng)不會受到人為因素以及自然因素事故的危害，為氣象網(wǎng)絡(luò)信息處理提供安全的環(huán)境。這種安全環(huán)境的建設(shè)需要領(lǐng)導(dǎo)以及網(wǎng)管防護(hù)能力等的支持，還需要使用人員增強安全意識。氣象網(wǎng)絡(luò)安全方面存在的隱患主要包含了幾個方面。

1.1 網(wǎng)絡(luò)邊界模糊

那些經(jīng)過網(wǎng)絡(luò)規(guī)劃和設(shè)計的信息系統(tǒng)能夠起到很好的防范網(wǎng)絡(luò)安全的作用。但是在氣象網(wǎng)絡(luò)系統(tǒng)中，經(jīng)常出現(xiàn)互聯(lián)網(wǎng)、業(yè)務(wù)網(wǎng)、辦公網(wǎng)以及一般性網(wǎng)絡(luò)邊界不清晰的狀況。主要原因是當(dāng)前的服務(wù)器在登錄的時候具體的權(quán)限沒有具體到個人，因此網(wǎng)絡(luò)的邊界出現(xiàn)了模糊問題，還有人員角色也不清晰。

1.2 人員安全意識淡薄

隨著信息技術(shù)的發(fā)展，微機在我們的工作與生活中已經(jīng)得到迅速的普及，隨之而來的就是各種網(wǎng)絡(luò)安全問題。而網(wǎng)絡(luò)攻擊方式也在逐漸多樣化，主要呈現(xiàn)出隱藏性以及突發(fā)性的特點。但是，一些實用人員對于怎樣的措施才能很好的保護(hù)自身信息安全。除此之外，氣象工作人員比較盲目迷信殺毒軟件，認(rèn)為要保護(hù)氣象網(wǎng)絡(luò)的安全只是依靠殺毒軟件就能很好的實現(xiàn)，往往在安裝了殺毒軟件之后卻沒有重視升級病毒庫。

1.3 基層網(wǎng)絡(luò)管理人員缺位

對于各個地區(qū)的縣局級別的臺站來說，基本取消了人工站，相繼鋪開了自動化的氣象網(wǎng)絡(luò)傳輸?shù)臉I(yè)務(wù)。但是隨著自動化業(yè)務(wù)的發(fā)展壯大，需要同步跟進(jìn)保障人員。但是事實上，我們要看到，很多縣局級別的期望網(wǎng)絡(luò)業(yè)務(wù)的保障能力不是特別強，缺少相應(yīng)的人員，很多地區(qū)的保障人員基本都是一個人承擔(dān)比較多的業(yè)務(wù)，負(fù)擔(dān)過重。

2 氣象網(wǎng)絡(luò)安全隱患的防護(hù)措施

2.1 技術(shù)對策

2.1.1 資源和特權(quán)

對于期望網(wǎng)絡(luò)的安全保護(hù)來說，網(wǎng)絡(luò)訪問技術(shù)是主要的核心策略。其主要的任務(wù)就是保障網(wǎng)絡(luò)資源不會被非法的占用和破壞。在氣象系統(tǒng)中進(jìn)行訪問控制，要建立在身份識系統(tǒng)的基礎(chǔ)上，根據(jù)身份對于資源訪問的要求進(jìn)行控制。這對于氣象網(wǎng)絡(luò)系統(tǒng)資源的保護(hù)起到了很好的作用，也是氣象系統(tǒng)中最重要的安全機制。氣象系統(tǒng)訪問控制涉及的技術(shù)相對比較廣泛，包含了入網(wǎng)的訪問控制、網(wǎng)絡(luò)權(quán)限的控制以及目錄級的控制和安全控制等等。

2.1.2 防火墻技術(shù)

在氣象系統(tǒng)中，防火墻技術(shù)主要是設(shè)置在不同網(wǎng)絡(luò)之間的部件的組合，屬于不同網(wǎng)絡(luò)或者網(wǎng)絡(luò)安全域之間信息的唯一的出入口，可以根據(jù)不同的網(wǎng)絡(luò)主體根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流，抗擊攻擊的能力相對比較強。防火墻主要提供了網(wǎng)絡(luò)信息安全服務(wù)，屬于信息安全的一項基礎(chǔ)設(shè)施。在具體的邏輯問題上，一個是分離器，還有一個是限制器，加上分析器，能夠有效的監(jiān)控氣象內(nèi)部網(wǎng)絡(luò)跟互聯(lián)網(wǎng)之間的活動，從而保障了內(nèi)部網(wǎng)絡(luò)安全。防火墻是氣象網(wǎng)絡(luò)安全的重要屏障，能夠很好的提高內(nèi)部網(wǎng)絡(luò)的安全性，通過對不完全服務(wù)的過濾來降低相應(yīng)的風(fēng)險。只有通過精心的選擇之后的應(yīng)用協(xié)議才能通過防火墻，所以就使得氣象網(wǎng)絡(luò)環(huán)境變得比較安全。

2.1.3 安全域

要解決很多市一級氣象系統(tǒng)內(nèi)部網(wǎng)絡(luò)中，辦公網(wǎng)跟互聯(lián)網(wǎng)等網(wǎng)絡(luò)設(shè)備纏在一起的現(xiàn)象，需要劃分具體的安全域。網(wǎng)絡(luò)的安全域可以在劃分的時候跨科室進(jìn)行也可以是跨部門進(jìn)行，但是在考慮到具體的實現(xiàn)方式的情況下，可以在行政部門內(nèi)部各自進(jìn)行劃分，再通過一定的技術(shù)手段實現(xiàn)局域網(wǎng)中同一安全等級的安全才能夠互相連接。

2.2 管理對策

2.2.1 制定嚴(yán)格的氣象網(wǎng)絡(luò)安全管理制度

在氣象網(wǎng)絡(luò)系統(tǒng)中，不存在絕對的安全，但是制定相應(yīng)的安全管理制度可以把網(wǎng)絡(luò)安全問題降低到最小。要通過氣象部分網(wǎng)絡(luò)管理人員和全體使用人員的一起努力，盡可能的減少非法行為的產(chǎn)生，把系統(tǒng)中的安全隱患降低到最低。還要建立防病毒系統(tǒng)，防病毒具有被動意義，主要是預(yù)防和防范，沒有病毒時做好預(yù)防工作，病毒到來時則被動防范。漏洞檢測主要是采用專業(yè)工具對系統(tǒng)進(jìn)行漏洞檢測，及時安裝補丁程序。病毒預(yù)防要從制度上堵塞漏洞，建立一套行之有效的制度；不要隨意使用外來光盤、U盤等存儲設(shè)備。氣象部門要建立相應(yīng)的檢查機制，定期或者不定期的對系統(tǒng)內(nèi)部的網(wǎng)絡(luò)進(jìn)行檢查，看網(wǎng)絡(luò)安全的具體落實狀況，避免內(nèi)部制度流于形式。另外，要給縣局級別的基礎(chǔ)臺站配備足夠的網(wǎng)絡(luò)安全保障人員，減少他們的具體工作量，把這項措施當(dāng)作制度執(zhí)行下去。

2.2.2 強化人員的網(wǎng)絡(luò)安全觀念

要想提高氣象終端網(wǎng)絡(luò)的安全性能，就需要操作這些終端機器的人員具備很強的安全防護(hù)能力。首先，要具備信息安全防護(hù)意識，強化氣象部門的宣傳工作；其次，要定期開展氣象網(wǎng)絡(luò)教育工作，要把教與導(dǎo)結(jié)合起來，促使工作人員養(yǎng)成比較好的微機使用習(xí)慣，使得氣象網(wǎng)絡(luò)信息安全深入到大家的觀念中；再次，要合理的配置殺毒軟件，及時更新病毒度信息，保障氣象網(wǎng)絡(luò)不受病毒的侵害。

3 結(jié)束語

綜上所述，隨著氣象業(yè)務(wù)系統(tǒng)的發(fā)展，網(wǎng)絡(luò)技術(shù)的應(yīng)用越來越普及。在氣象部門內(nèi)部系統(tǒng)中，一些實時的氣象數(shù)據(jù)以及雷達(dá)圖像產(chǎn)品等都能在最短時間內(nèi)通過網(wǎng)絡(luò)輸送到數(shù)值產(chǎn)品使用者的桌面上。但是，從另一個方面來說，計算機在氣象系統(tǒng)中普及開來，使得氣象工作人員在進(jìn)行工作的時候過分的一來網(wǎng)絡(luò)訊通系統(tǒng)，而網(wǎng)絡(luò)故障的出現(xiàn)以及病毒的盛行，都會對氣象系統(tǒng)的網(wǎng)絡(luò)產(chǎn)生不同程度的影響，氣象網(wǎng)絡(luò)安全問題受到很多人的重視。所以，氣象部門要從技術(shù)措施和管理措施入手，切實保障氣象網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1]張新，劉忠禮.氣象信息網(wǎng)絡(luò)安全隱患與防御措施[J].科技與生活，2012（13）.

篇6

摘要： 隨著信息的發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)引起越來越多人的關(guān)注。而校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施，擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對外交流等許多角色。隨著校園網(wǎng)應(yīng)用的深入，校園網(wǎng)上各種數(shù)據(jù)急劇增加，結(jié)構(gòu)性不斷提高，用戶對網(wǎng)絡(luò)性能要求的不斷提高，網(wǎng)絡(luò)安全也逐步成為網(wǎng)絡(luò)技術(shù)發(fā)展中一個極為關(guān)鍵的任務(wù)。從分析校園網(wǎng)信息安全需求入手，就校園網(wǎng)絡(luò)系統(tǒng)控制安全措施提出筆者的幾點淺見。 

 

關(guān)鍵詞： 網(wǎng)絡(luò)安全　安全需求　措施 

 

1 校園網(wǎng)的概念 

簡單地說，校園網(wǎng)絡(luò)是“校校通”項目的基礎(chǔ)，是為學(xué)院教師和學(xué)生提供教學(xué)，科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求，校園網(wǎng)必須是一個寬帶，互動功能和高度專業(yè)化的局域網(wǎng)絡(luò)。 

2 校園網(wǎng)的特點 

校園網(wǎng)的設(shè)計應(yīng)具備以下特點： 

1）提供高速網(wǎng)絡(luò)連接；2）滿足復(fù)雜的信息結(jié)構(gòu)；3）強大的可靠性和安全性保證；4）操作方便，易于管理；5）提供可運營的特性；6）經(jīng)濟實用。 

3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求 

3.1 用戶安全 

用戶安全分成兩個層次即管理員用戶安全和業(yè)務(wù)用戶安全。 

1）管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限，因此對信息系統(tǒng)的安全負(fù)有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度，例如對管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì)，對于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計信息調(diào)閱等重要操作，應(yīng)實行多人參與措施等等。 

2）業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進(jìn)行操作，嚴(yán)禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限，需要對業(yè)務(wù)人員進(jìn)行崗前安全培訓(xùn)。 

3.2 網(wǎng)絡(luò)硬環(huán)境安全 

通過調(diào)研分析，初步定為有以下需求： 

1）校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處，對進(jìn)/出的數(shù)據(jù)包進(jìn)行訪問控制與隔離，重點對源地址為教育網(wǎng)，而目的地址為某大學(xué)的數(shù)據(jù)包進(jìn)行嚴(yán)格的控制。2）校園網(wǎng)中，教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3）校園網(wǎng)中，教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4）校園網(wǎng)中，行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5）校園網(wǎng)中，網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6）校園網(wǎng)中，公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7）各個專用的業(yè)務(wù)子網(wǎng)的安全，即按信息的敏感程度，將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個子網(wǎng)，例如：專用業(yè)務(wù)子網(wǎng)（財務(wù)處、教務(wù)處、人事部等）和普通子網(wǎng)，對這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。 

3.3 網(wǎng)絡(luò)軟環(huán)境安全 

網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng)，如：財務(wù)處、教務(wù)處、人事處等等，必須確保這些子網(wǎng)的信息安全，包括：防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對保存有敏感信息的重要服務(wù)器軟/硬件資源進(jìn)行層次化監(jiān)控，防止敏感信息被竊取。 

3.4 傳輸安全 

數(shù)據(jù)的傳輸安全，主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。

4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施 

4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離 

訪問控制體現(xiàn)在如下幾個方面： 

1）要制訂嚴(yán)格的規(guī)章管理制度：可制定的相應(yīng)：《用戶授權(quán)實施細(xì)則》、《口令字及賬戶管理規(guī)范》、《權(quán)限管埋制度》。例如在內(nèi)網(wǎng)辦公系統(tǒng)中使用的用戶登錄及管理模塊就是基于這些制度創(chuàng)建。 

篇7

摘要：

文章結(jié)合發(fā)電企業(yè)信息安全保障要求及企業(yè)網(wǎng)絡(luò)現(xiàn)狀特點，首先闡述了開展發(fā)電企業(yè)內(nèi)外網(wǎng)隔離工作的必要性，然后詳細(xì)介紹了內(nèi)外網(wǎng)隔離的技術(shù)路線、技術(shù)架構(gòu)及方案設(shè)計要點，并對方案的技術(shù)創(chuàng)新點進(jìn)行了分析和闡述，可為發(fā)電企業(yè)后續(xù)開展內(nèi)外網(wǎng)隔離建設(shè)提供典型案例借鑒。

關(guān)鍵詞：

發(fā)電企業(yè)；內(nèi)外網(wǎng)隔離；網(wǎng)絡(luò)安全

0引言

根據(jù)發(fā)電企業(yè)信息安全保障相關(guān)規(guī)定要求，在企業(yè)運營過程中，要加強辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)訪問控制，提高員工使用計算機應(yīng)用系統(tǒng)的信息安全標(biāo)準(zhǔn)，防范由于互聯(lián)網(wǎng)攻擊導(dǎo)致的數(shù)據(jù)泄露、系統(tǒng)崩潰等安全隱患。本文首先對神華國華電力公司（以下簡稱“公司”）現(xiàn)有網(wǎng)絡(luò)情況及網(wǎng)絡(luò)隔離技術(shù)的現(xiàn)狀進(jìn)行了描述，然后介紹了雙網(wǎng)隔離技術(shù)的應(yīng)用，通過雙網(wǎng)隔離技術(shù)對現(xiàn)有網(wǎng)絡(luò)進(jìn)行了一系列改造措施：部署無線網(wǎng)絡(luò)，方便筆記本、手機及平板電腦等移動終端接入；部署終端安全管理設(shè)備、內(nèi)網(wǎng)防火墻等，建立了安全可靠的內(nèi)網(wǎng)辦公環(huán)境，實現(xiàn)公司內(nèi)部辦公網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)的隔離，從而避免了由于互聯(lián)網(wǎng)攻擊導(dǎo)致的企業(yè)內(nèi)部信息外泄，提升發(fā)電企業(yè)整體信息安全水平。

1研究背景

隨著通信技術(shù)、信息技術(shù)、網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，越來越多的用戶通過手機、PC等終端連接到網(wǎng)絡(luò)，網(wǎng)絡(luò)中用戶數(shù)據(jù)和信息的安全引起了學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛重視。為了確保網(wǎng)絡(luò)中用戶的信息安全，一系列的技術(shù)被提出，例如隱私保護(hù)技術(shù)[1-3]、網(wǎng)絡(luò)隔離技術(shù)[4-6]等。網(wǎng)絡(luò)隔離技術(shù)是指2個或2個以上的計算機或網(wǎng)絡(luò)在斷開連接的基礎(chǔ)上，實現(xiàn)信息交換和資源共享。通過網(wǎng)絡(luò)隔離技術(shù)既可以使2個網(wǎng)絡(luò)實現(xiàn)物理隔離，同時又能在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行數(shù)據(jù)交換。網(wǎng)絡(luò)隔離技術(shù)的主要目標(biāo)是將有害的網(wǎng)絡(luò)安全威脅隔離開，以保障數(shù)據(jù)信息在可信網(wǎng)絡(luò)內(nèi)在進(jìn)行安全交互[7]。本文主要針對內(nèi)外網(wǎng)隔離技術(shù)在企業(yè)中的應(yīng)用進(jìn)行了介紹。典型發(fā)電企業(yè)網(wǎng)絡(luò)是集團型網(wǎng)絡(luò)構(gòu)架，由局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)3個部分組成，員工使用筆記本電腦可通過局域網(wǎng)訪問企業(yè)內(nèi)部應(yīng)用，通過廣域網(wǎng)訪問下屬單位應(yīng)用，同時可以通過互聯(lián)網(wǎng)訪問互聯(lián)網(wǎng)資源。

1）目前公司局域網(wǎng)由2臺核心交換機、若干臺匯聚及接入交換機組成，部分信息點已進(jìn)行端口認(rèn)證。由于原信息點少且部分信息點老舊損壞，導(dǎo)致很多用戶只能通過集線器或小型交換機接入，影響內(nèi)網(wǎng)的統(tǒng)一安全管理。

2）公司廣域網(wǎng)由2臺核心路由器分別連接下屬單位路由設(shè)備，分別組成視頻網(wǎng)和數(shù)據(jù)網(wǎng)，用于承載日常辦公數(shù)據(jù)和視頻會議數(shù)據(jù)傳輸業(yè)務(wù)，部分單位在數(shù)據(jù)網(wǎng)專線設(shè)置防火墻等安全設(shè)備進(jìn)行安全防護(hù)。

3）公司互聯(lián)網(wǎng)出口采用中國電信光纖專線方式，經(jīng)外網(wǎng)交換機連接防火墻，通過串接的上網(wǎng)行為管理設(shè)備后接入?yún)R聚交換機進(jìn)而接入核心交換機，為公司用戶提供互聯(lián)網(wǎng)訪問服務(wù)的同時，為郵件、外網(wǎng)網(wǎng)站等互聯(lián)網(wǎng)應(yīng)用提供映射服務(wù)，暫未設(shè)置隔離區(qū)，存在一定安全風(fēng)險。由于公司員工電腦能同時訪問內(nèi)部辦公網(wǎng)、其他單位網(wǎng)站（簡稱內(nèi)網(wǎng)）和外部互聯(lián)網(wǎng)（簡稱外網(wǎng)），本身可能成為病毒或木馬的跳板，進(jìn)而影響內(nèi)網(wǎng)安全。同時由于部分員工不注意信息安全防護(hù)，私裝未授權(quán)軟件、私自設(shè)立無線設(shè)備等情況時有發(fā)生，導(dǎo)致公司內(nèi)部信息系統(tǒng)極易受到病毒和黑客的攻擊，核心數(shù)據(jù)資源存在泄露的風(fēng)險，因此亟需開展內(nèi)外網(wǎng)隔離研究工作，避免企業(yè)核心數(shù)據(jù)資產(chǎn)泄露的風(fēng)險。

2系統(tǒng)總體設(shè)計

2.1建設(shè)目標(biāo)

1）部署無線網(wǎng)絡(luò)設(shè)備以訪問互聯(lián)網(wǎng)，提供筆記本、手機及平板電腦等移動接入。

2）部署終端安全管理設(shè)備、內(nèi)網(wǎng)防火墻建立安全可靠的辦公內(nèi)網(wǎng)環(huán)境，實現(xiàn)公司內(nèi)部辦公網(wǎng)與外部互聯(lián)網(wǎng)的隔離，防范來自互聯(lián)網(wǎng)的攻擊，避免企業(yè)內(nèi)部信息外泄，提升公司整體信息安全水平。

2.2設(shè)計原則

1）先進(jìn)性：整個系統(tǒng)保持一定的先進(jìn)性，采用的設(shè)備和技術(shù)應(yīng)能適應(yīng)未來的技術(shù)發(fā)展。

2）實用性：系統(tǒng)性價比高，易維護(hù)、易使用、運行費用低。

3）擴展性：系統(tǒng)采用結(jié)構(gòu)化設(shè)計，能夠適應(yīng)不斷增加的擴展需求，當(dāng)系統(tǒng)擴容時，只需簡單增加硬件設(shè)備即可。

4）兼容性：整個系統(tǒng)能運行于不同的操作平臺和語言環(huán)境，并能與不同廠商的產(chǎn)品兼容。

5）靈活性：系統(tǒng)構(gòu)建方式簡單，功能配置靈活，充分利用現(xiàn)有設(shè)備資源，能滿足不同業(yè)務(wù)部門的需要。

6）可靠性：系統(tǒng)安全可靠性高，有足夠的抗干擾能力。

7）安全性：在系統(tǒng)設(shè)計中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境采取不同的措施，包括系統(tǒng)安全機制、數(shù)據(jù)存取的權(quán)限控制等，如劃分VLAN、MAC地址綁定、802.1x、802.1d、802.1w、802.1s、ACL、PORT+IP+MAC綁定等。

8）高性價比：系統(tǒng)所選用的設(shè)備性能卓越，并盡可能降低工程造價。

3系統(tǒng)方案設(shè)計

根據(jù)信息安全保障相關(guān)要求，加強辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)訪問控制，提高員工使用計算機應(yīng)用系統(tǒng)的信息安全標(biāo)準(zhǔn)，保障數(shù)據(jù)流轉(zhuǎn)的安全可靠，防范互聯(lián)網(wǎng)攻擊導(dǎo)致的數(shù)據(jù)泄露、系統(tǒng)崩潰等風(fēng)險隱患，通過對公司網(wǎng)絡(luò)及應(yīng)用系統(tǒng)分析研究，結(jié)合國華網(wǎng)絡(luò)布線現(xiàn)狀，采用雙網(wǎng)隔離技術(shù)對網(wǎng)絡(luò)進(jìn)行統(tǒng)一改造：新部署無線網(wǎng)用于互聯(lián)網(wǎng)訪問，提供筆記本、平板電腦等移動接入；新購終端安全管理設(shè)備、內(nèi)網(wǎng)防火墻加強有線網(wǎng)絡(luò)防護(hù)，建立安全可靠的辦公內(nèi)網(wǎng)環(huán)境，通過臺式一體機電腦安全接入內(nèi)網(wǎng)，提升公司內(nèi)網(wǎng)的安全性，保障公司核心業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的安全。通過部署三層交換機、POE交換機、無線AC、無線AP及無線控制系統(tǒng)，在公司3座辦公樓宇開通無線互聯(lián)網(wǎng)訪問服務(wù)，支持便捷的訪客網(wǎng)絡(luò)授權(quán)及監(jiān)管。公司原有網(wǎng)絡(luò)架構(gòu)如圖1所示。用戶接入無線網(wǎng)絡(luò)需要通過安全的認(rèn)證方式以保障使用者的合法性，無線網(wǎng)絡(luò)采用基于用戶名和密碼+主機的認(rèn)證方式進(jìn)行用戶認(rèn)證[8]，使用接入認(rèn)證系統(tǒng)對網(wǎng)絡(luò)中接入的終端設(shè)備進(jìn)行識別及統(tǒng)一管理，可對員工、訪客、設(shè)備管理員進(jìn)行基于角色、設(shè)備類型、接入時間、接入地點的網(wǎng)絡(luò)訪問控制，無線網(wǎng)通過無線控制器實現(xiàn)對接入用戶的控制，公司用戶通過MAC地址審核后方可接入無線網(wǎng)絡(luò)[9]，實現(xiàn)互聯(lián)網(wǎng)訪問。同時為外來人員提供Guest賬號，外來人員需先提交MAC地址入網(wǎng)申請，經(jīng)過管理員審批后可接入無線網(wǎng)絡(luò)。升級改造現(xiàn)有有線辦公網(wǎng)絡(luò)，在用戶接入網(wǎng)絡(luò)與服務(wù)器網(wǎng)絡(luò)之間增加防火墻，設(shè)置訪問策略，進(jìn)行用戶訪問控制，保障ERP等內(nèi)網(wǎng)應(yīng)用安全。在公司的網(wǎng)絡(luò)邊界處設(shè)置防火墻及訪問策略，加強內(nèi)網(wǎng)邊界安全防護(hù)，避免其他未隔離單位對國華內(nèi)網(wǎng)安全的影響。利用防火墻將公司的網(wǎng)絡(luò)隔離為5個邏輯區(qū)域，分別為廣域網(wǎng)、數(shù)據(jù)網(wǎng)、視頻網(wǎng)、內(nèi)網(wǎng)服務(wù)器區(qū)、內(nèi)網(wǎng)用戶區(qū)，區(qū)域間根據(jù)公司的業(yè)務(wù)特點和重要信息資產(chǎn)的分布，對進(jìn)出公司內(nèi)網(wǎng)的訪問進(jìn)行控制，實現(xiàn)以下安全目標(biāo)：

1）控制從內(nèi)網(wǎng)用戶區(qū)到內(nèi)網(wǎng)服務(wù)器區(qū)、數(shù)據(jù)網(wǎng)、視頻網(wǎng)和廣域網(wǎng)的訪問，限制各區(qū)域內(nèi)用戶訪問公司數(shù)據(jù)的權(quán)限；

2）控制邏輯區(qū)域之間的訪問，限制訪問類型，確保只有授權(quán)許可的訪問才能進(jìn)行，未經(jīng)允許的訪問全部被禁止；

3）重點保護(hù)內(nèi)網(wǎng)服務(wù)器區(qū)，特別是針對重要信息的訪問，必須經(jīng)過防火墻的訪問授權(quán)后方可實現(xiàn)，杜絕非授權(quán)的訪問；

4）利用防火墻有效記錄區(qū)域間的訪問日志，為出現(xiàn)安全問題時提供備查資料。在互聯(lián)網(wǎng)出口設(shè)置支持應(yīng)用防護(hù)的防火墻，并為需要進(jìn)行互聯(lián)網(wǎng)數(shù)據(jù)交換的系統(tǒng)（如郵件、補丁服務(wù)器）設(shè)立安全DMZ區(qū)，有效抵御來自互聯(lián)網(wǎng)的攻擊。利用防火墻為公司的DMZ服務(wù)器區(qū)提供安全保護(hù)，在DMZ服務(wù)器區(qū)與其他區(qū)域之間配置相應(yīng)策略，并對進(jìn)出公司DMZ區(qū)域的訪問進(jìn)行控制[10]，同時配合現(xiàn)有上網(wǎng)行為管理設(shè)備加強對互聯(lián)網(wǎng)訪問的有效管控，避免過度的帶寬占用，并按相關(guān)要求保存訪問記錄。內(nèi)外網(wǎng)隔離網(wǎng)絡(luò)拓?fù)淙鐖D2所示。部署終端安全管控及網(wǎng)絡(luò)準(zhǔn)入服務(wù)器，加強內(nèi)網(wǎng)接入及終端安全管理，對內(nèi)部終端計算機進(jìn)行集中的安全保護(hù)、監(jiān)控、審計和管理，自動向終端計算機分發(fā)系統(tǒng)補丁，控制計算機終端的并口、串口、移動存儲設(shè)備、Modem撥號、藍(lán)牙、USB等外設(shè)的使用情況，能夠自動收集終端曾經(jīng)使用過的USB設(shè)備的歷史記錄，并能夠單獨禁用無法確定用途的USB設(shè)備，保障USB接口的正常使用，同時還能夠?qū)ξ粗O(shè)備進(jìn)行自動檢測和采樣，實現(xiàn)對未知和新增設(shè)備的有效控制和管理，靈活、有效地保護(hù)企業(yè)機密，確保企業(yè)員工與外界的數(shù)據(jù)交換可控，防止通過終端外設(shè)進(jìn)行非法外聯(lián)，防范非法設(shè)備接入內(nèi)網(wǎng)，有效管理終端資產(chǎn)，降低病毒傳播的風(fēng)險[11]。升級原有交換機IOS版本到最新版本，開啟Radus認(rèn)證并將認(rèn)證服務(wù)器指向新部署的準(zhǔn)入服務(wù)器，在用戶終端（服務(wù)器）安裝準(zhǔn)入程序?qū)τ脩暨M(jìn)行實名管理（將用戶名、工號、計算機MAC地址進(jìn)行綁定）[12]，統(tǒng)一部署用戶外設(shè)管理策略及網(wǎng)絡(luò)訪問策略。建立安全便捷的訪客網(wǎng)絡(luò)管理機制，制定用戶接入內(nèi)網(wǎng)或外網(wǎng)的管理制度及審批流程，實現(xiàn)對內(nèi)網(wǎng)或外網(wǎng)訪客行為的有效管控。

4技術(shù)創(chuàng)新點

4.1以無線+有線方式實現(xiàn)企業(yè)內(nèi)外網(wǎng)隔離

公司原有信息布線系統(tǒng)信息點少且分布不均，如果采取傳統(tǒng)雙網(wǎng)隔離手段必須對辦公樓墻面和地面重新開槽挖溝布線，成本高昂，而本次隔離工作通過建設(shè)公司無線應(yīng)用網(wǎng)絡(luò)及認(rèn)證系統(tǒng)，實現(xiàn)了用戶移動設(shè)備互聯(lián)網(wǎng)訪問的安全接入，同時通過對原有有線網(wǎng)絡(luò)進(jìn)行改造，實施網(wǎng)絡(luò)準(zhǔn)入認(rèn)證和邊界控制，實現(xiàn)了內(nèi)網(wǎng)用戶的安全接入，進(jìn)而實現(xiàn)企業(yè)內(nèi)外網(wǎng)訪問的安全有效隔離，而且結(jié)構(gòu)簡單，管理便捷。

4.2實現(xiàn)員工、訪客個人移動設(shè)備互聯(lián)網(wǎng)訪問安全接入

新建成的無線網(wǎng)絡(luò)除了通過用戶名密碼+MAC認(rèn)證方式實現(xiàn)員工通過筆記本電腦訪問互聯(lián)網(wǎng)的同時，還可以通過Portal認(rèn)證、訪客管理等方式實現(xiàn)辦公區(qū)域內(nèi)用戶及訪客個人手機、平板電腦的安全接入，有效滿足后PC時代用戶的網(wǎng)絡(luò)接入需求。同時通過VLAN隔離及訪問帶寬限制，配合上網(wǎng)行為管理設(shè)備，采取疏解和封堵相結(jié)合的方式，方便用戶訪問互聯(lián)網(wǎng)的同時避免了用戶私接無線AP導(dǎo)致的安全隱患。

4.3多技術(shù)結(jié)合實現(xiàn)內(nèi)網(wǎng)接入安全認(rèn)證

1）通過部署終端安全管控及網(wǎng)絡(luò)準(zhǔn)入服務(wù)器，對內(nèi)部終端計算機進(jìn)行集中的安全保護(hù)、監(jiān)控、審計和管理，自動向終端計算機分發(fā)系統(tǒng)補丁，控制計算機終端的并口、串口、移動存儲設(shè)備、Modem撥號、藍(lán)牙、USB等外設(shè)的使用情況，實現(xiàn)對未知和新增設(shè)備的有效控制和管理。

2）升級原有交換機IOS版本到最新版本，開啟Radus認(rèn)證并將認(rèn)證服務(wù)器指向新部署的準(zhǔn)入服務(wù)器，在用戶終端（服務(wù)器）安裝準(zhǔn)入程序，對用戶進(jìn)行實名管理（將用戶名、工號、計算機MAC地址進(jìn)行綁定），統(tǒng)一部署用戶外設(shè)管理策略及網(wǎng)絡(luò)訪問策略。

3）實現(xiàn)對用戶內(nèi)網(wǎng)計算機軟件的標(biāo)準(zhǔn)化安裝，統(tǒng)一部署安全認(rèn)證程序，實現(xiàn)客戶端軟件標(biāo)準(zhǔn)化。通過多種安全手段的綜合應(yīng)用，確保企業(yè)員工與外界的數(shù)據(jù)交換可控，防范非授權(quán)設(shè)備接入內(nèi)網(wǎng)，防止通過內(nèi)部終端非法外聯(lián)行為，確保內(nèi)網(wǎng)的數(shù)據(jù)安全。

5結(jié)語

本文圍繞保障信息安全、加強辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)訪問控制的目標(biāo)，結(jié)合后PC時代移動設(shè)備無線接入需求，創(chuàng)新性地采取無線+有線方式實現(xiàn)內(nèi)外網(wǎng)隔離，避免采取傳統(tǒng)雙網(wǎng)隔離手段對辦公樓墻面、地面重新開槽挖溝布線的改造，可節(jié)省大量實施成本并縮短實施工期，避免對現(xiàn)有辦公環(huán)境的破壞及正常辦公秩序的影響，實現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的簡化和管理方式的優(yōu)化。同時無線網(wǎng)絡(luò)還實現(xiàn)了用戶及訪客個人手機、平板電腦的安全接入，有效滿足后PC時代用戶網(wǎng)絡(luò)接入需求，通過疏解和封堵相結(jié)合的手段避免用戶私接無線AP導(dǎo)致的安全隱患。通過升級交換機IOS版本、開啟端口Radus認(rèn)證，部署終端安全管控及網(wǎng)絡(luò)準(zhǔn)入服務(wù)器，加強網(wǎng)絡(luò)邊界安全管控、標(biāo)準(zhǔn)化用戶終端軟件等多技術(shù)相結(jié)合的方式，實現(xiàn)對內(nèi)網(wǎng)接入及訪問安全的有效管控，確保內(nèi)網(wǎng)數(shù)據(jù)安全。通過本文方案可實現(xiàn)公司內(nèi)部辦公網(wǎng)與外部互聯(lián)網(wǎng)的安全隔離，實現(xiàn)對互聯(lián)網(wǎng)攻擊行為的有效防范和內(nèi)網(wǎng)數(shù)據(jù)的有效保護(hù)，提升企業(yè)信息安全的整體水平。

參考文獻(xiàn)：

[1]蘭麗輝,鞠時光.基于差分隱私的權(quán)重社會網(wǎng)絡(luò)隱私保護(hù)[J].通信學(xué)報,2015,36(9):145-159.

[2]蘭麗輝,鞠時光.基于向量相似的權(quán)重社會網(wǎng)絡(luò)隱私保護(hù)[J].電子學(xué)報,2015(8):1568-1574.

[3]孫福林.面向權(quán)重隱私的社會網(wǎng)絡(luò)隱私保護(hù)技術(shù)研究[D].南京:東南大學(xué),2014.

[4]萬平國.網(wǎng)絡(luò)隔離與網(wǎng)閘[M].北京:機械工業(yè)出版社,2004.

[5]鄧智群,劉福,慕德俊,等.網(wǎng)絡(luò)隔離體系結(jié)構(gòu)研究[J].計算機應(yīng)用研究,2005,22(5):219-221.

[6]李正茂.網(wǎng)絡(luò)隔離理論與關(guān)鍵技術(shù)研究[D].上海:同濟大學(xué),2006.

[7]周鈾,黎強,劉宇.基于網(wǎng)絡(luò)的遠(yuǎn)動狀態(tài)監(jiān)測系統(tǒng)研究與應(yīng)用[J].電網(wǎng)與清潔能源,2014,30(11):65-67.

[8]賈鐵軍.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京:機械工業(yè)出版社,2014.

[9]姚琳.無線網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學(xué)出版社,2013.

[10]特南鮑姆.計算機網(wǎng)絡(luò)[M].北京:清華大學(xué)出版社,2012.

[11]馮登國,趙險峰.信息安全技術(shù)概論[M].北京:電子工業(yè)出版社,2014.

篇8

四川移動通信有限公司在辦公網(wǎng)二期工程建立起來以后，就面臨著下一步的升級和改造問題，他們希望通過設(shè)置門戶網(wǎng)站，讓公司內(nèi)部員工可以隨時隨地訪問內(nèi)部辦公網(wǎng)，進(jìn)行公文處理。

移動辦公需求迫切

由于四川移動通信公司辦公網(wǎng)二期工程所建立的企業(yè)Intranet只覆蓋到地市州一級，沒有將各郊縣局連接起來，但郊縣局又需要訪問企業(yè)辦公網(wǎng)，因此必須要有一種郊縣訪問辦公網(wǎng)的解決方案；而對于出差人員來說，要想訪問辦公網(wǎng)，如果通過撥號方式訪問，不僅訪問速度慢，而且操作復(fù)雜，費用高。為了解決各地市州移動分公司區(qū)、縣局的辦公問題，形成一個真正覆蓋四川全省移動通信公司的辦公平臺，公司的移動辦公問題就日益突出，因此提出了二期擴容問題。

但是，問題并不那么簡單。傳統(tǒng)的局域網(wǎng)雖然功能完善，但沒有對外出口。而一旦想讓在外辦公的人員能夠順利訪問局域網(wǎng)，就必須建立合適的門戶網(wǎng)站以便訪問。最關(guān)鍵的是，此門戶網(wǎng)站因為設(shè)在互聯(lián)網(wǎng)上，而又要與局域網(wǎng)相聯(lián)，安全問題必須有保障。

雙認(rèn)證保安全

基于這種需求，四川移動通信公司企業(yè)用戶門戶網(wǎng)站的建議方案采用了Sun ONE Portal Server，將傳統(tǒng)辦公系統(tǒng)架構(gòu)在Internet網(wǎng)上，擴大了應(yīng)用范圍，實現(xiàn)了動態(tài)密碼與無線通訊的結(jié)合。

Sun ONE Portal Server支持多種認(rèn)證方式，包括簡單的UNIX，Web Form，Cookies，LDAP，X.509數(shù)字證書，四川移動可以根據(jù)需要，結(jié)合自己的實際情況選擇合適的認(rèn)證方式，系統(tǒng)提供完整的PKI數(shù)字證書管理系統(tǒng)。當(dāng)四川移動的員工訪問該門戶網(wǎng)站，通過身份認(rèn)證后，瀏覽器和服務(wù)器之間就建立了一條通過SSL加密過的通路，而所有數(shù)據(jù)的傳遞都將在此通路上完成。所有數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸是加密的，其加密強度可以根據(jù)系統(tǒng)效率的需要設(shè)置為128位或40位的加密方式。

整個二期工程使用的Sun一攬子方案，包括Sun 公司高性能Unix 服務(wù)器、工作站和Sun ONE Portal Server軟件，其中Sun ONE Portal Server軟件系統(tǒng)是該套方案的核心。按照設(shè)計，客戶端不用安裝任何軟件，使用瀏覽器就可以解決問題，最大程度的方便了使用者。另外，將來，四川移動的員工甚至可以通過訪問此門戶網(wǎng)站實現(xiàn)更多的附加功能，如在線訂制等。

四川移動介紹，"當(dāng)這套解決方案被介紹給我們時，我們有三個最滿意的地方。一是它的安全性。我們最寶貴的資源就是我們的員工和資料，既要保證員工能夠安全地訪問整個內(nèi)部網(wǎng)，還要保證內(nèi)部網(wǎng)的資料全部完好，此系統(tǒng)采用LDAP技術(shù)和PKI來管理大規(guī)模的用戶個性化服務(wù)信息，并提供網(wǎng)絡(luò)安全傳輸信息必須的X.509電子證書生成/管理系統(tǒng)，為我們的安全和查證留下了好的工具；二是它的集成功能。該系統(tǒng)可以提供信息聚集、知識管理等個性化服務(wù)，為我們不同員工提供了不同的服務(wù)內(nèi)容，另外，這種個性化服務(wù)也為以后我們的系統(tǒng)升級留下了接口；三是成熟的電子商務(wù)。該方案可以建立數(shù)字化電子市場、企業(yè)在線采購、銷售等，這對于未來我們實現(xiàn)網(wǎng)上采購，網(wǎng)上決策打下了良好的基礎(chǔ)。說實話，該系統(tǒng)全面滿足我們看中的安全性和可擴展性需求，這促使我們毫不猶豫地選擇了Sun ONE，選擇了Sun ONE Portal Server。"

就這樣，從2001年10月開始，四川移動公司內(nèi)部首先建立了一個Portal Server--由Portal Gateway和Portal Server兩部分組成，其中Portal Gateway負(fù)責(zé)與移動辦公者之間的數(shù)據(jù)加密（即建立與用戶之間的SSL）；Portal Server為Portal的主要實體，存有所有四川移動員工的信息、域的設(shè)置等Portal設(shè)置信息。當(dāng)郊區(qū)縣局或四川移動的員工出差外地時要進(jìn)行移動辦公時，無論何時何地，都可以通過瀏覽器進(jìn)入界面中，首先訪問此Portal Server，通過此Portal Server認(rèn)證之后，并與Portal Server建立SSL，然后再通過此Portal Server去訪問OA服務(wù)器，這樣用戶與OA服務(wù)器之間建立了安全的通信。同時，移動用戶進(jìn)入OA系統(tǒng)之前需要進(jìn)行身份認(rèn)證。這樣，兩次身份認(rèn)證，保證了整個四川移動內(nèi)部辦公網(wǎng)絡(luò)的安全。

對于四川移動內(nèi)部辦公網(wǎng)來說，由于移動辦公用戶訪問OA系統(tǒng)時，先訪問門戶網(wǎng)站，而OA服務(wù)器并不暴露給Internet用戶，保證了OA系統(tǒng)不受黑客的攻擊。

當(dāng)然，四川移動享受的不僅僅是這些，Sun ONE Portal Server在客戶端使用瀏覽器即可，不用安裝管理和配置任何軟件，也不需要在局域網(wǎng)的Web服務(wù)器中使用任何插件，省去了很多麻煩；可以利用現(xiàn)有的企業(yè)驗證系統(tǒng)，防止了系統(tǒng)驗證的不一致性；由于Sun ONE Portal Server 可采用域和角色方式以及統(tǒng)一的用戶管理來實現(xiàn)，四川移動登錄并通過驗證之后，Portal 會自動連接到其所應(yīng)連接的服務(wù)器，因此雖然四川移動內(nèi)部有多臺OA服務(wù)器分別為不同的地市縣服務(wù)，但統(tǒng)一的界面為個地市縣實現(xiàn)移動接入，每個移動的員工，不論在哪里，所看到的界面都是一樣的。

效果顯著

由于Portal Server軟件對硬件系統(tǒng)的要求并不高――雙CPU即可，因此為四川移動最經(jīng)濟最高效地解決了移動辦公問題。同時，該系統(tǒng)也可以提供許多其它內(nèi)容服務(wù)，如員工在出差時訪問企業(yè)內(nèi)部一些站點，查詢電子郵件等。

以現(xiàn)在移動通信公司辦公室的工作為例，以前發(fā)重要的內(nèi)部文件，需要打印并傳真給縣一級的部門，然后再打電話確認(rèn)是否收到，對于在外地出差的工作人員，甚至不能及時傳達(dá)，因此辦公室工作非常復(fù)雜，偶爾還會有疏漏?，F(xiàn)在，他們只用把該文件順利的放在局域網(wǎng)上，縣級的用戶通過門戶進(jìn)入局域網(wǎng)后自然能夠看到該文件，而出差在外的人，也可以隨時進(jìn)行工作訪問和查詢，大大提高了效率和準(zhǔn)確度。

篇9

【關(guān)鍵詞】 網(wǎng)絡(luò)工程 安全問題 防護(hù)

信息技術(shù)的蓬勃發(fā)展，成為主導(dǎo)現(xiàn)代社會的支柱性產(chǎn)業(yè)，網(wǎng)絡(luò)已經(jīng)成為人們生活中必不可少的工具，經(jīng)濟、文化、政治、軍事等的發(fā)展已經(jīng)離不開網(wǎng)絡(luò)技術(shù)，其中網(wǎng)絡(luò)安全問題備受關(guān)注。自信息時代來臨之后，網(wǎng)絡(luò)信息數(shù)據(jù)被窺探，系統(tǒng)被攻擊導(dǎo)致癱瘓、垃圾信息的傳播以及病毒的不斷侵入，此類問題愈演愈烈，嚴(yán)重威脅著網(wǎng)絡(luò)安全建設(shè)，首先了解當(dāng)前網(wǎng)絡(luò)安全問題的現(xiàn)狀是基本工作。

一、網(wǎng)絡(luò)工程中常見的安全性問題分析

1、黑客攻擊。在網(wǎng)絡(luò)工程運行的過程中，黑客攻擊是其最為突出性的安全隱患，其對網(wǎng)絡(luò)信息的安全性構(gòu)成嚴(yán)重的威脅。黑客攻擊主要是通過計算機專業(yè)過硬的人才，利用網(wǎng)絡(luò)系統(tǒng)現(xiàn)存的漏洞和缺陷進(jìn)行網(wǎng)絡(luò)目標(biāo)的破壞行動[1]，以盜取目標(biāo)人員的信息，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)陷入癱瘓，計算機用戶信息被盜用與窺探，信息的安全性受到嚴(yán)重威脅。作為網(wǎng)絡(luò)安全問題中的重大隱患，黑客攻擊是有目的性的攻擊，從中盜取所需的機密性文件，是對網(wǎng)絡(luò)安全技術(shù)提出的一項重大挑戰(zhàn)。

2、病毒侵入。除了黑客之外，病毒侵入是另一項網(wǎng)絡(luò)重大安全隱患。病毒編制人員會通過編寫相關(guān)的程序，將該程序植入到計算機系統(tǒng)中，使得計算機內(nèi)部的程序發(fā)生變更，且計算機會受到操縱者的操控，以達(dá)到破壞或盜取計算機內(nèi)部信息的目的，對計算機系統(tǒng)的破壞性很大，且病毒的傳染性很強，以木馬、火焰為主。這些病毒的入侵，會破壞我們的生產(chǎn)網(wǎng)、辦公網(wǎng)，這會嚴(yán)重影響到我們的生產(chǎn)。

3、垃圾信息傳播。網(wǎng)絡(luò)是一個巨大的資源庫，具有豐富的網(wǎng)絡(luò)資源，在滿足信息需求的同時，還會產(chǎn)生各類垃圾信息、不良信息，會對人們的心理、思想產(chǎn)生負(fù)面影響，垃圾信息對網(wǎng)絡(luò)環(huán)境造成了嚴(yán)重的污染，對社會造成惡劣的影響，尤其是對于正在成長的青少年。由于網(wǎng)絡(luò)垃圾信息的傳播，導(dǎo)致青少年的犯罪率在不斷提升，影響青少年的成長與社會的穩(wěn)定[2]。

二、加強網(wǎng)絡(luò)工程的安全防護(hù)策略

1、完善網(wǎng)絡(luò)工程運行系統(tǒng)。網(wǎng)絡(luò)工程安全問題的不斷涌現(xiàn)，對社會造成消極的影響，解決安全隱患是當(dāng)前面臨的主要問題。為此，應(yīng)從網(wǎng)絡(luò)工程自身著手，強化網(wǎng)絡(luò)工程運行系統(tǒng)的完整性與穩(wěn)定性，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行及時的升級，強化對網(wǎng)絡(luò)安全問題的重視，加大在安全宣傳上的投入力度，建立基本的網(wǎng)絡(luò)安全系統(tǒng)，防火墻、病毒入侵檢測、殺毒軟件、數(shù)據(jù)加密等，運用以上方式來強化對網(wǎng)絡(luò)工程的保護(hù)。最基本的網(wǎng)絡(luò)安全保護(hù)系統(tǒng)是加強工程保護(hù)的重要保障和盾牌，能夠達(dá)到與黑客襲擊、病毒侵入的目的，能保護(hù)信息的安全性和完整性，是網(wǎng)絡(luò)系統(tǒng)的優(yōu)化與創(chuàng)新[3]。

2、加大網(wǎng)絡(luò)安全宣傳力度?，F(xiàn)如今，人們在使用計算機網(wǎng)絡(luò)技術(shù)的同時，只意識到其積極性的一面，往往會忽視了對網(wǎng)絡(luò)安全性問題的關(guān)注，對系統(tǒng)的安全性重視程度不高，信息保護(hù)意識不強，缺乏對信息保護(hù)的重視。為了讓人們增強對網(wǎng)絡(luò)安全的重視，應(yīng)加大網(wǎng)絡(luò)安全宣傳力度，借助網(wǎng)絡(luò)平臺開展宣傳工作，通過文本宣傳頁、視頻或圖片等方式進(jìn)行宣傳，將其放置在各個網(wǎng)站的首頁，能夠讓用戶在使用網(wǎng)絡(luò)的同時提高警惕，隨時具備保護(hù)意識，在運用網(wǎng)絡(luò)的同時，也實現(xiàn)了對網(wǎng)絡(luò)安全性的宣傳，選擇以往網(wǎng)絡(luò)安全問題所產(chǎn)生的危害進(jìn)行舉例說明，借助網(wǎng)絡(luò)的強大力量，實現(xiàn)對安全問題的全面宣傳。

3、優(yōu)化計算機網(wǎng)絡(luò)安全技術(shù)。軟件開發(fā)人員應(yīng)發(fā)揮自身的專業(yè)素養(yǎng)，研發(fā)新型的網(wǎng)絡(luò)安全保護(hù)技術(shù)，發(fā)明預(yù)防、識別與阻礙一體化的安全技術(shù)，發(fā)揮安全技術(shù)的強大功能，實現(xiàn)對網(wǎng)絡(luò)工程的全面防護(hù)。云計算機技術(shù)是新產(chǎn)生的技術(shù)，對信息的發(fā)展與傳播具有積極影響，能夠讓用戶對信息的安全性進(jìn)行有效的識別，也能保證個人數(shù)據(jù)的安全性與完整性，將相關(guān)數(shù)據(jù)上傳至云端，借助云技術(shù)來控制數(shù)據(jù)訪問權(quán)限，提高網(wǎng)絡(luò)信息存儲與數(shù)據(jù)傳輸保密性，將云計算機技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)中，定會取得滿意的效果。

結(jié)束語：綜上所述，當(dāng)前網(wǎng)絡(luò)工程面臨主要安全問題以黑客攻擊、病毒侵入以及垃圾信息的迅速傳播，成為網(wǎng)絡(luò)安全的重大隱患，網(wǎng)絡(luò)工程質(zhì)量受到嚴(yán)重影響。無論是對于商業(yè)、文化還是軍事、經(jīng)濟而言，網(wǎng)絡(luò)工程都將其優(yōu)勢發(fā)揮到極致，但是由于網(wǎng)絡(luò)系統(tǒng)問題存在漏洞，技術(shù)不夠完善，導(dǎo)致信息丟失。為解決此項問題，應(yīng)完善網(wǎng)絡(luò)運行系統(tǒng)，加大網(wǎng)絡(luò)安全宣傳力度，以增強對安全的重視，同時優(yōu)化計算機網(wǎng)絡(luò)安全技術(shù)，以強化對網(wǎng)絡(luò)安全系統(tǒng)的保護(hù)。

參 考 文 獻(xiàn)

[1]畢妍.關(guān)于網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)的思考[J].電腦知識與技術(shù)，2013，21：4790-4791+4814.

篇10

關(guān)鍵詞:信息安全;威脅;管理模式;桌面終端

在當(dāng)今的信息時代,我們的生活和工作方式受到信息技術(shù)發(fā)展的巨大影響,時時刻刻都在發(fā)生著改變,而現(xiàn)行企事業(yè)單位的管理模式也在這種“大環(huán)境”下不斷地推陳出新。作為各大國有企事業(yè)信息管理部門,必須考慮到當(dāng)前技術(shù)的發(fā)展給我們的工作帶來的機遇和威脅。

一、當(dāng)前信息網(wǎng)絡(luò)的安全形勢

目前,幾乎所有企業(yè)、事業(yè)單位、行政部門都面臨著內(nèi)部信息泄漏的問題。FBI對484家公司調(diào)查顯示:85%的安全損失是由企業(yè)內(nèi)部原因造成的。面對來自于公司內(nèi)部的安全威脅,很多員工都有切身感受,雖然不會有股票的跌漲刺激感官強烈,但是他們一定遇到過類似的事情。由于粗心誤操作造成公司服務(wù)器上重要文檔丟失;由于沒有設(shè)定員工在系統(tǒng)內(nèi)的訪問權(quán)限,使一些業(yè)務(wù)秘密出現(xiàn)在本不應(yīng)有查閱權(quán)的員工計算機上,并不小心將其泄露……對于這些來自公司內(nèi)部的信息安全問題,不是簡單的安裝了殺毒軟件或防火墻就能解決的,單純的“免疫”手段在“網(wǎng)絡(luò)風(fēng)險”、“軟件風(fēng)險”日益嚴(yán)重的今天,都已經(jīng)不足以讓人信任和依賴。

據(jù)調(diào)查統(tǒng)計,90%以上的計算機終端用戶使用的是windows2000,XP或以上的操作系統(tǒng),而這些系統(tǒng)的安全漏洞及系統(tǒng)缺陷非常多。雖然微軟公司會通過定期在網(wǎng)站上安全補丁來彌補這些漏洞,而一些軟件公司也會對自己開發(fā)的軟件進(jìn)行不斷地更新和升級,但由于終端用戶缺乏相關(guān)知識,導(dǎo)致補丁安裝的不及時、不完全,這就會影響終端計算機的安全,從而影響整個內(nèi)部網(wǎng)絡(luò)安全。

二、企事業(yè)單位網(wǎng)絡(luò)終端計算機安全現(xiàn)狀

大中型企事業(yè)單位、政府辦公網(wǎng)絡(luò),桌面終端計算機數(shù)量隨著辦公的需要不斷增多,而出現(xiàn)的網(wǎng)絡(luò)問題也日趨明顯。常見的情況主要有:計算機感染病毒、被安裝木馬;有些不明程序不斷搶占IP地址(ARP病毒)堵塞整個網(wǎng)段,使該網(wǎng)段用戶都不能上網(wǎng)。除此以外,部分員工使用公司辦公電腦私自從網(wǎng)絡(luò)上下載海量資源,迅雷、BT、電驢這些下載工具都會搶占網(wǎng)絡(luò)通道,這樣就導(dǎo)致了其他一些用戶使用辦公電腦辦公時網(wǎng)速非常低,嚴(yán)重時網(wǎng)頁無法顯示,不僅影響了其他員工的工作,還降低了整個公司的工作效率。

這種問題在當(dāng)下的網(wǎng)絡(luò)時代普遍存在于現(xiàn)有的企事業(yè)單位,尤其是一些已經(jīng)擺脫了紙張,進(jìn)入“無紙化”辦公的先進(jìn)單位更為明顯。由于難于發(fā)現(xiàn)高危計算機,并對其進(jìn)行定位,因此一旦問題發(fā)生,就需要大量的故障排查時間。如果同時有多臺計算機感染網(wǎng)絡(luò)病毒或者進(jìn)行非法操作,就會造成網(wǎng)絡(luò)癱瘓,從而致使其他正常網(wǎng)絡(luò)業(yè)務(wù)無法使用。

現(xiàn)階段,所有企業(yè)都在努力尋找一種有效的手段來扭轉(zhuǎn)這種嚴(yán)峻的局面,并盡可能地出臺大量的信息網(wǎng)絡(luò)管理規(guī)定。例如:禁止在辦公計算機內(nèi)安裝BT下載軟件,禁止在個人終端設(shè)備中安裝網(wǎng)絡(luò)游戲軟件,禁止私自更改電腦的安全設(shè)置,禁止將外部的電腦接入單位的內(nèi)部網(wǎng)絡(luò)等行為。但是,由于缺乏技術(shù)和管理手段、考核制度、使用標(biāo)準(zhǔn)、用機規(guī)范等,都不能夠有效切實地執(zhí)行,這樣就使企業(yè)內(nèi)部的信息網(wǎng)絡(luò)安全水平很低,衍生了諸多不可控制的安全隱患。

三、通過網(wǎng)絡(luò)防護(hù)與終端防護(hù)共筑信息安全長城

以往提起信息安全,人們更多地把注意力集中在防火墻、防病毒、IDS(入侵檢測)、網(wǎng)御設(shè)備、網(wǎng)絡(luò)交換設(shè)備的管理上,卻忽略了對網(wǎng)絡(luò)環(huán)境中的計算單元――服務(wù)器、臺式機乃至便攜機的管理。

近兩年的安全防御調(diào)查表明,政府、企事業(yè)單位中超過80%的管理和安全問題來自終端,計算機終端廣泛涉及每個用戶,由于其分散性、不被重視、安全手段缺乏的特點,已成為信息安全體系的薄弱環(huán)節(jié)。因此,隨著信息技術(shù)的不斷進(jìn)步,網(wǎng)絡(luò)安全防護(hù)的工作重點開始發(fā)生轉(zhuǎn)移,安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護(hù),轉(zhuǎn)向網(wǎng)絡(luò)邊緣的每一個終端。網(wǎng)絡(luò)管理員已經(jīng)不是信息安全的唯一負(fù)責(zé)人,計算機終端用戶才是信息安全的第一責(zé)任人。

四、建設(shè)桌面終端安全管理系統(tǒng)的意義

伴隨著網(wǎng)絡(luò)管理業(yè)務(wù)密集度的增加,在信息安全防護(hù)領(lǐng)域興起了終端桌面安全管理技術(shù)。作為網(wǎng)絡(luò)管理技術(shù)衍生的邊緣產(chǎn)物,它同傳統(tǒng)安全防御體系的缺陷相關(guān)聯(lián),是傳統(tǒng)網(wǎng)絡(luò)安全防范體系的補充,也是未來網(wǎng)絡(luò)安全防范體系的重要組成部分。由此看來,終端桌面管理的發(fā)展趨勢和技術(shù)特點,才是信息安全防護(hù)趨勢的導(dǎo)向。在進(jìn)行桌面終端安全防護(hù)部署時,必須把提升信息安全的關(guān)鍵放在提升計算機終端安全水平上。

如何有效地管理計算機終端成了當(dāng)前的熱點話題,而桌面計算機安全管理系統(tǒng)的應(yīng)運而生就顯得尤為重要了。第一可以通過批量設(shè)置計算機的安全保護(hù)措施提高桌面計算機的安全性,及時更新桌面計算機的安全補丁,減少被攻擊的可能;第二,它還可以實現(xiàn)動態(tài)安全評估,實時評估計算機的安全狀態(tài)及其是否符合管理規(guī)定,比如說,評估計算機的網(wǎng)絡(luò)流量是否異常,評估計算機是否做了非法操作,評估計算機的安全設(shè)置是否合理等;第三,通過系統(tǒng)中進(jìn)行策略的配置,對計算機終端進(jìn)行批量的軟件安裝、批量的安全設(shè)置等,防止外來電腦非法接入,避免網(wǎng)絡(luò)安全遭受破壞或者信息泄密;第四,利用桌面系統(tǒng)的高科技手段,能夠確保本單位的計算機使用制度得到落實,使“禁止撥號上網(wǎng),禁止使用外部郵箱,禁止訪問非法網(wǎng)站,禁止將單位機密文件復(fù)制、發(fā)送到外部”等這一系列管理措施得以貫徹和執(zhí)行;第五,在網(wǎng)絡(luò)出現(xiàn)安全問題后,桌面終端系統(tǒng)可以對有問題的IP/MAC/主機名等進(jìn)行快速的定位,便于管理員迅速排查故障;最后一點可以稱之為桌面系統(tǒng)的“增值服務(wù)”,在保證信息網(wǎng)絡(luò)安全的同時,還能對計算機的資產(chǎn)進(jìn)行有效地管理和控制。

這些功能的實現(xiàn),淺表地說能夠持續(xù)有效地解決大批量的計算機終端安全管理問題,真正的意義在于能夠切實地幫助企業(yè)內(nèi)部各種管理規(guī)定有效地執(zhí)行。如今憑借這些高科技手段,全面提升企事業(yè)單位內(nèi)部信息化工作水平已經(jīng)不再是紙上談兵。

五、結(jié)語

企事業(yè)單位要在信息技術(shù)高速發(fā)展的今天立于不敗之地,就必須結(jié)合自身客戶的網(wǎng)絡(luò)結(jié)構(gòu)、終端特點和管理模式,搭建安全、穩(wěn)固的內(nèi)部IT架構(gòu)。而桌面終端安全管理的應(yīng)用,將極大地提高信息安全系數(shù),使企業(yè)信息風(fēng)險降到最低。

參考文獻(xiàn):

[1] 閆龍川,劉永志,來鳳剛.計算機終端安全管理系統(tǒng)及其應(yīng)用[J].電力信息化,2009,(7).

[2] 馬國勝.桌面安全管理系統(tǒng)的應(yīng)用[J].中國金融電腦,2009,(4).