内部网络安全防护部署

内部网络安全防护部署（共4篇）

内部网络安全防护部署 篇1

摘要：近几年来, 机场企业得到了速度的发展。作为一种先进的交通设备, 飞机受到了许多人的喜爱。连续性、长时间的运行下也使得机场的信息网络安全问题逐渐暴露。为了能够使机场企业内部网络的发展更加适应当前的社会形式, 加强信息监控管理手段, 本文从机场企业内部网络的风险角度出发, 提出几点有效的安全防护策略。

关键词：机场企业,内部网络,安全策略,综合研究

随着通讯技术的不断发展, 民航企业也逐渐朝着信息化、综合性的方向发展。为了能够给旅行者带来一个更加舒适的高质量环境, 许多机场企业都建立了完善的网络信息安全系统, 对传统设备进行更新, 以达到促进企业进步的目的。另外, 传统设置方式也使得网络管理中的风险性增加, 由此机场企业网络安全策略的提出势在必行。

1 机场企业内部网络的管理现状

随着经济的不断发展, 机场在人们生活中的应用性越来越广泛。以首都机场为例, 在现有条件下, 其内部总体流程都得到了不同程度的规划。网络信息作为机场企业的核心领域, 只有加强管理与控制才能够实现科学化建设。自从进入2000年以来, 信息化管理在航空领域的体现愈加突出。由于用户数量的增加以及业务的扩展, 单一的管理模式已经不能够满足目前的发展情况。网络业务的弊端主要表现在以下几个方面:

(1) 原有网络处理系统的速度过慢, 信息输送路径已经不能够满足用户数量的增加。

(2) 原有设备出现故障的情况更加频繁, 并且无法在恶劣的网络环境下运行。在整修的过程中, 会极大程度上浪费管理人员的时间。

(3) 现代化的机场企业要求信息的全方面把控, 管理者为了更好的操作, 要对关键业务进行指导。在现有网络的发展下, 视频是一个极其便利的方式。而目前设备无法处理高要求的视频业务。

(4) 传统设备大多以“粗放型”的管理方式运行, 管理者无法从全方面把控用户的信息, 甚至还会发生因网络风险而出现的端口接入失灵情况。第五, 对于机场企业的内部网络安全设备来说, 它需要具有高度专业性的代理商支持。但目前大多数代理商都无法满足这一要求。

2 机场企业内部网络安全策略的综合性研究

2.1 对数据业务网进行防控

对于企业内部的网络管理而言, 数据的完整性与准确性是安全保障的必要前提。机场信息在互联网中呈现出来, 就不可避免的会出现一些安全问题。其中以“病毒和黑客的侵袭”为主, 对机场企业内部信息进行盗取的情况时有发生。为了避免此情况的出现, 需要在网络系统之中安装防火墙进行控制。从结构上来看, 防火墙主要采用的是网络拓扑的形式。它主要是通过网络控制系统使无线通道增加, 根据信息数量的多少来决定输送隧道的类型。如果数据传输量过大, 企业管理者应该采用大型隧道进行输送。反之, 则采用小型隧道进行输送。另外, 管理者可以加强风险的监测与安全性控制。为了使系统运行的安全性提升, 设计人员要对内部网络结构进行重新规划。首先, 按照数据的类型进行等级划分。将数据分为高、中、低三等, 等级越高, 就说明重要性越强。其次, 对数据信息的浏览者进行约束。按照企业机场内部的职务进行管理与划分, 将浏览用户分为VIP用户与普通用户两类。企业的高层人员, 包括各部门的管理者可以对高等级数据进行浏览, 而普通用户只能对中低两个等级的信息进行浏览。这样也能够在一定程度上确保数据的相对安全。另外, 为了防止敏感信息的泄露, 管理人员应该根据数据的不同属性进行分类。将其中性质不同的数据过滤出去, 再将剩余的数据进行加密。同时, 防火墙的设置也是非常必要的。它相当于航空办公中心与数据之间的纽带, 在其内部有着相对独立的操作程序。系统会对程序进行自动检验, 如果数据中携带一定的病毒, 防火墙可以将此部分内容隔绝在系统之外, 保障内部网络的完整性与健全性。

2.2 建立系统专用加密网

不管是在哪种类型的企业之中, 加密网络系统的建立都是必不可少的。从整体内容中来看, 机场企业里涉及到许多用户的真实信息, 如果不采用有效的加密方法, 会为用户带来一定的损失。虚拟加密专用网的建立主要分为以下几个步骤:

2.2.1 内部用户访问器的设置

如果想要对内部用户的信息进行访问, 需要建立双方的同意协约。不仅要求访问者要输入相应的密码, 系统还要对用户的同意书进行查看, 在双重保证的情况下才能够予以访问。

2.2.2 在专用网络上建立加密隧道

加密隧道的建立基础主要是数据安全传输的前提下。专用隧道可以对机场企业的内部信息进行统一管理。当非法用户侵入时, 系统会进行自动预警, 并且对侵入者的IP地址进行跟踪。在位置锁定后进行提示, 其中指示灯会由绿色变为红色, 并且以长时间鸣叫的形式进行防控。

2.2.3 为企业管理者提供网络信息加密授权的方式

系统可以采用数据与地址对应的方法检查内置网络信息的真实性, 内置系统有自我保护的功能。管理者可以对服务系统进行授权, 在专用密码报送的基础限制外部的违规行为。

3 结论

综上所述, 为了防止机场企业内部网络中出现的风险, 实现信息的安全控制与管理, 企业要对数据网进行防控, 建立系统专用的加密设备。在网络系统授权的基础上进行信息读取, 借助数据的集成性避免运行过程中出现的隐患, 为机场企业的稳定发展创造有利条件。

参考文献

[1]马兰.基于SSE的空中交通管理ATM信息安全保障方法的研究[D].南开:天津大学, 2011.

[2]刘小平.航班延误情境下旅客群体性突发事件致因机理及预警机制研究[D].武汉:武汉理工大学, 2013.

[3]鲁迎平.首都机场集团公司网络改造项目中风险管理研究[D].北京:北京工业大学, 2014.

[4]白同舟, 刘雪杰, 李先, 王舒予.城市群大型枢纽机场陆侧交通通道优化建议——以北京首都国际机场为例[A].2016年中国城市交通规划年会论文集[C].中国城市规划学会城市交通规划学术委员会, 2016:13.

[5]钟敦远, 张胜, 胡哲芸.浦东国际机场信息安全建设及管理[A].上海空港 (第6辑) [C], 2008:5.

基于内部网络安全防范方案的设计 篇2

在调查中我们发现, 当前人们对于内部网络安全认识非常不全面, 认为内部网络的安全威胁主要来自于整个企事业单位的外部, 因此, 负责内部网络安全的相关技术人员主要把精力集中在如何防止企事业单位外部的攻击上, 而在很大程度上忽略了来自于企事业单位内部威胁。

同时在调查中我们发现, 目前国内的一些大中型的企事业单位主要通过购买相应的杀毒软件和设置一定的防火墙来防止外来的威胁的进攻, 但是从技术层面上考虑仅仅通过购买杀毒软件和设置防火墙对于来自企业内部网络的安全威胁作用是非常有限的。其实企业的内部网络是整个网络的重要一部分, 根据相关数据显示, 国外在进行相关的网络建设时, 其整个投资的百分之二十左右都用来完善内网的网络安全工作, 因此, 为了更好地应对当前社会发展的要求, 国内的相关企事业单位必须切实做好单位内部网络安全防范方案的设计工作。

1 企事业单位内网安全问题

随着我国计算机科学技术和网络信息技术的飞速发展, 企业设置相应的内部网络是企业更好适应社会发展的要求, 使整个企业实现信息化必不可少的工具, 同时, 随着内部网络用户各种办公软件以及杀毒软件等相关软件的更新, 使得企业内部网络面临着非常大的威胁。

1.1 内部网络防范措施薄弱

在调查中我们发现, 国内很多企业的内部网络有非常多的漏洞存在, 这往往给一些不法分子留下非常大的可乘之机。此外, 很大一部分的企业内部网络管理人员的管理意识以及管理水平都比较低, 造成企业内部大部分计算机都面临非常大的网络安全威胁, 随着企业内网的进一步发展这种现象会更加严重。

1.2 企业内部网络各个用户使用的权限不同

在各企事业单位内部各个用户使用的权限是不相同, 这在表面是为了用户更好的使用企业内部的网络, 但这同时增加了整个企业内部网络安全管理的难度, 给网络不法分子留下很大可乘之机。

1.3 企业内部网络关于机密信息分散

企业内部的一些机密性数据大多存在于不同的计算机服务终端当中, 没有实现机密信息统一管理、统一储存, 缺乏严格的监管制度, 设置出现为了简化办公步骤而对一些重要的机密材料不加防范的进行随意的传输, 这在很大程度上造成了机密资料的安全问题。

2 企业内部网络的安全防范方案的设计

2.1 企业内部网络安全防范方案的总体设计

为了使企业更好地应对当前内部网络漏洞带来的一系列安全问题, 切实保证企业内部网络安全有效的运行, 笔者提出一整套的内部网络安全防范方案, 其简图如下图1所示:

从图中我们可以看出企业内部网络的安全防范方案的上下部分分别对应企业设置相关机构的下上部分。在具体的方案设计当中, 企业相关的附属下级单位不能与外部网络直接相连, 如果需要与外界的网络相连接, 则需要通过上级相关部门实现对于外部网络的链接。企业单位上不机构与外部网络链接的相关机构文件, 必须通过企业单位的防火墙和相关杀毒软件的安全监测。

在调查中我们发现, 很多单位即使采用了危害入侵检测系统也很难全部保证整个企业内部网络的安全, 因此在本方案中笔者设置了相关的硬件加密工作机的使用, 硬件加密工作机在很大程度上能够实现整个企业内部所有文件的加密处理, 这对于提高整个企业文件的安全性是非常有帮助的。

2.2 内部网络安全体系相关模型的建立

企业内部网络安全措施主要包括:网络安全管理工作、网络安全策略工作、网络产品安全工作、安全网络检测技术以及维护网络安全制度等多个方面。内部网络安全体系模型如下表1所示:

企业内部网络安全体系模型具体的实施包括水平管理和竖直管理两个方面, 水平管理主要是网络安全管理、网络安全技术管理、网络安全策略实施、网络产品安全, 四者之间通过相互配合来实现水平管理模式。竖直管理主要是网络安全管理制度对水平管理相关操作进行相应的规范。企业要想保证网络安全前后一致性必须包含用户身份认证和用户授权管理相一致, 数据信息保密和数据实时审计相一致。这两个相一致相互作用在同一个网络安全平台之上, 才能构成一个安全的、可靠的以及能够实现实时调控的企业内部网络。

3 结束语

随着国家快速的发展, 各个企事业单位进一步向前迈进, 单位内部的网络包含的内容会更加全面, 涉及到企业内部的核心信息的内容会更加多, 整个内部网络的安全卫华工作会更加复杂, 以及一些新技术、新平台的应用会带来更大的维护挑战, 我们作为网络安全维护人员必须紧跟时代的步伐, 不断跟新自身的网络相关知识, 充分借鉴一些先进的内部网络管理技术经验, 运用先进的技术装备, 不断设计出优秀的企业内部网络安全防范方案, 为我国企业内部网络的安全稳定工作不断努力奋斗。

参考文献

[1]郑杰.企业内部网络安全防范的方案的设计与实现[J].科技传播, 2013, 02:207+209.

[2]韩慧莲, 徐力, 龚清勇, 代秀娇.基于企业的计算机网络安全方案的设计与实现[J].华北工学院学报, 2005, 03:187-192.

[3]李俊恒.四川交通院信息网络改建与信息安全建设方案设计[D].四川大学, 2006.

[4]杨旭.乌兰察布市中等职业技术学校校园网络安全解决方案的设计[D].内蒙古大学, 2012.

[5]吴刚山.江苏农林职业技术学院校园网络安全系统建设与实现[D].南京邮电大学, 2012.

内部网络安全防护部署 篇3

一、内部网络信息安全防护措施中的不足

1.1控制设备类型单一化

目前, 我国企业内部的信息控制系统普遍较单一。这就导致了其安全性能的不足, 不能够升级。另一方面, 一些针对性较强的信息安全技术不但可以将系统文件信息进行反复的过滤和审计, 还能够弥补其安全性能上的不足。除此之外, 对信息系统进行一系列的检测, 对信息数据进行错误操作的恢复都只局限与特定的存储安全问题。此外, 由于控制设备不能全面考虑信息传送的秘密性, 没有对信息进行严格监控, 就会导致内部别有用心的人员对企业信息进行删除和窃取, 这样一来, 系统内部的信息安全防御部署就会变的相当复杂, 很难做到统一的监管。

1.2没有详细的安全使用视图

一些企业内部的信息技术比较简单, 客户端仅仅只能对系统进行简单的监督和控制。很多部分没有审计的功能, 这就妨碍了存储设备信息处理的灵活性。所以我们必须要加强系统内部操作性的细致化和可视化。设定一个具体的安全使用视图, 完善和提高系统内部的信息分类和部署。

二、内部网络信息的安全保护策略探索

2.1硬件隔离方式的解决方案

硬件隔离方式作为从源头上避免网络攻击的一种手段, 对计算机的网络安全发挥着巨大作用。随着计算机技术的不断发展, 硬件隔离技术也在进行着一系列的升级换代。以目前使用的系统为例, 它不仅仅能够对计算机外部网络通信的情况进行监督和防范, 还能够自动分辨和屏蔽一些网络不良信息。用户对计算机执行操作命令时, 硬件隔离系统还能对发出指令的数据包进行过滤, 只选择符合安全标准的指令进行执行, 这在一定程度上避免了因用户自身下达的错误命令而导致的安全威胁。所以说, 硬件隔离是用户进行网络信息交换安全有效进行的绿色屏障。除此之外, 硬件隔离自身还具备自我升级就和自我免疫的功能, 这也是致力于服务器内部文件防护系统研究人员的智慧和结晶。

2.2对信息数据网络传输进行强制加密

计算机通讯协议是虚拟机管理器的运行核心, 不同于传统的操作系统。在基础物理硬件的管理与配套上, 服务器虚拟化的核心部的安全性直接关系到虚拟机的安全性。如果虚拟机管理器的安全机制不健全, 被一种恶意软件利用其漏洞获取了一个高层次的协议端口, 就可以享有高于操作系统的硬件部署的特权, 这就给其他用户造成极大的安全威胁。IAAS常常将一台物理机器的使用权划分给多个虚拟机。对于同一物理服务器上的虚拟机用户可以无限制的互相访问, 不需要以防火墙和交换机做桥接, 这就给虚拟机互相攻击的提供了便利条件, 所以说必须保证内网在进行信息传播对虚拟机的高度隔离, 是IAAS安全问题解决的关键。

2.3完善的身份认证授权体系

在企业内部的网络建设中, 要不断完善身份认证授权体系, 只有确立一个合理完善的身份认证机制才能保证用户书籍信息的安全性和保密性。所以说访问限制和身份认证是解决安全问题的重中之重。在IBACC协议中 (用于局域网的访问限制和身份认证协议) 中, 明确提出了以数据信息的属性为标准来提高身份认证的安全性和访问权限的控制方法。如密匙加密的方法、代理加密和惰性重加密。只有得到密匙的授权人才能对授权区域进行操作, 这样就大大提高了企业内部信息的安全性。

总之, 网络是把双刃剑, 计算机在给人们带来了快捷与高效的同时, 其中的安全隐患也给人们带来了一些损失和困扰。所以我们要共同努力, 构建一个和谐的网络传播环境。

摘要：网络技术除了给人们带来先进生活理念, 给社会带来巨大的经济效益的同时, 其存在的安全问题也对信息技术、法规、监督、标准等方面带来了新的挑战。而在现代企业制度中, 单位内部的网络建设的信息安全问题是我们值得探讨的课题。本文就以此为切入点, 全面、具体的阐明企业内部网络信息安全的应用手段和技术重点。

关键词：内部网络,信息安全,防护,措施

参考文献

[1]陈晓东, 马冉.网络信息安全的威胁及对策——党校局域网建设的体会与应对[J].中共济南市委党校学报.2011 (02)

[2]吴虹, 钟锐.计算机网络信息安全防护探析[J].电脑与电信.2010 (03)

内部网络安全防护部署 篇4

随着计算机网络的日益发展,其重要性及其对社会的影响也越来越大,与此同时,安全问题也成为日益严重的现实问题。如网上信息被泄露、篡改和假冒,黑客入侵,计算机犯罪,病毒蔓延和不良信息传播等严重地危害了网络的信息安全。而网络安全的威胁主要来自两个方面,一是外部网络即Internet,二是内部网络即Intranet。针对外部网络的威胁,大量的防护措施大行其道,特别是网络防火墙及IDS,可以对网络入侵进行有效的监控和防护,防止针对主机的入侵,检测恶意的可执行程序和阻绝网络的滥用。但所谓的“堡垒最容易从内部攻破”,如何建立一个可信并可控的内部网络,成为摆在所有内网用户包括图书馆内网面前的难题。

1 相关概念

国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

由此可以将计算机网络安全理解为:通过采用各种技术手段和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。

传统的网络安全,主要体现在网络传输链路的安全和网络边界的安全,其典型的代表产品包括VPN、防火墙和IDS等。相对于传统的网络安全来说,内网安全则更加关注内部网络信息系统的安全。但由于“内网安全”这四个字所代表的内容本来就太多,各个内网安全厂商又各自为政,只站在自己的角度去下定义,又很难彼此说服,所以还不能为“内网安全”下一个明确的定义。比如明朝万达提出:和终端相关的、和内部网络相关的一系列的问题都把它纳入到内网安全中,比如说桌面管理,它防止由于内部人员没有及时升级病毒库,或者是非法的接入导致内部的网络安全受到破坏,这些大家都称之为内网安全。

2 图书馆内网安全的重要性

图书馆内部网络作为内网的一种类型,其安全性同样甚至更加重要。根据国际权威调查机构Gartner Group的最新统计,超过85%的安全威胁来自于用户内部网络,而只有5%是来自外部黑客的攻击。一名内部员工的非法访问对于网络安全的威胁程度远远超过了技术一流的网上黑客。也就是说,防火墙等一系列措施在对付内部网络安全的主要威胁时束手无策。

随着内网应用的不断发展,在一定意义上,其应用程度远复杂于传统的外部网络,图书馆内网包含了许多外网所没有的应用,如图书馆管理系统、图书借阅系统等,甚至还有财务管理系统、人事管理系统等,这些应用往往非常庞大,很可能会给系统造成更多的漏洞。更为重要的是,其应用对用户来说是非常重要的,一旦出现泄密、破坏的事件,将产生严重后果,这些都使得图书馆内网安全问题变得越来越重要和突出。

3 图书馆内网安全的现状

目前来看,对图书馆内网信息资源常见的攻击有:首先,内部员工的有意攻击,内部员工向网外用户泄露机密,即平常所说的家贼行为;其次,内部员工被“肉鸡”的安全问题,即外部黑手通过内部员工的疏忽或网络系统的漏洞侵入并潜伏,在条件满足时向外进行的信息泄露事件。其他还有诸如自然灾害、计算机被盗等可能会造成的数据泄密或数据丢失等,也会造成一定的网络安全威胁。其中又以内部人员泄密最为可怕,因为他们不同于黑客,他们熟悉自身所处的网络环境,对重要信息的分布了如指掌,而且具有充分的机会和时间窃取机密信息,并且,他们得手以后如果没有高效的手段也可能根本就不会察觉,攻击行为是有企图、有目的,隐秘的,具有直接危害性。

图书馆内部员工的安全威胁分为两个方面,一是有意识的,二是无意识的。有意识的威胁主要有:(1)将资料通过U盘或移动硬盘等从电脑中复制带走;(2)通过互联网将资料通过电子邮件发送到自己的邮箱;(3)将文件打印后带出;(4)将办公用便携式电脑直接带回家中;(5)将自己的笔记本带到公司,连上局域网,窃取资料;(6)趁同事不在,开启同事电脑,浏览、复制同事电脑里的资料;(7)内外勾结,将相关权限泄露给非授权用户,使得信息泄密;(8)访问了非法的网站,导致了木马的传播,从而影响了全网的安全等;而无意识的威胁主要有:(1)电脑维修或转手时,硬盘上的资料没有处理,导致泄密;(2)将有关文件设成共享后没有及时取消,导致非相关人员获取资料;(3)移动存储设备共用,导致非相关人员获取资料;(4)没有保密观念,如将电子文档传给了没有阅读权限的阅读者,造成秘密信息公开等。

同时,由于客户端的操作系统不可避免的存在着各种漏洞,易给外部的黑客造成可乘之机,被发现并加以利用,他们会通过各种技术手段穿过网络防火墙,并远程植入恶意软件,达到长期窥探和窃取数据的目的,对整个内网的安全造成极大的威胁。

4 加强图书馆内网安全的措施与手段

正是基于以上现状,使得我们不得不在对图书馆内网管理的时候要假设网内的所有设备和用户都是不可信任的。只有这样,我们才能够全面而细致的考虑到每一个细节。需要更加侧重于研究内网信息系统统一的安全防范体系和终端安全控制技术,图书馆内网安全管理应包含以下几个方面:一是内网的安全管理,防止非法用户的非法使用;二是内网的数据保密,防止从内部网络发起的数据泄密事件的发生;三是确保网内所有终端特别是服务终端的系统安全。同时,还需要建立相关的管理制度。

4.1 技术层面

技术层面需要解决的问题主要是内网的安全管理与内网数据的有效保障。首先需要对用户和设备的身份认证、权限分配和管理以及数据的加密;其次,所有客户终端都要求尽可能安全的接入网络;再次,需要对网络运行的整个过程进行有效的监控和审计。

4.1.1 用户和设备的身份管理

用户身份和设备身份确认是内网安全的基础问题,只有解决这个问题,才能根据管理规则实施内网安全的管理措施。信息网络是现实设备在信息网络中的一个映射模式,所以跟现实社会中一样,要实现有效的管理措施,最根本的条件之一就是必须确定被管理者(包括人和设备)的身份。

用户和设备身份的确认主要是通过认证技术来实现。身份认证是安全系统中的第一道防线,主要是通过数字认证技术,确认合法用户的身份,从而提供相应的服务。用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控系统根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由网络管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为,同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的“信息”—用户的身份。可见身份认证技术是安全系统中的基础设施,是最基本的安全服务,其它的安全服务都依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。

对计算机终端、外设、数据存储设备这类硬件的身份标识,采用将其硬件组成部分的各种设备参数作为输入,通过某一算法生成得到的字符串作为惟一标识;员工的身份则可采用常规的用户名和密码相结合的方式进行标识,或者再与其他目前流行的认证方式综合使用,目前流行的认证方式有以下几种类型:(1)生物识别认证方法;(2)智能卡识别方法;(3)时间同步动态口令;(4)挑战、应答动态口令。

4.1.2 数据管理

数据保密是内网安全的核心问题。内网安全需要构建一个安全的数据使用环境,具备对数据存储、交换和使用等环节的全程控制能力,从而确保数据保密性,保护用户的数字知识产权。

数据保密技术从技术实现上可以分为文件级和系统级两种,这两种技术各具特点,适用于不同的保护目的、使用环境和数据类型。

文件级的数据保密技术也称文档加密技术,指针对特定类型的文档或者文件,进行数据相关操作的增强、保护和授权管理,从而确保该文件在设定的用户、地点或者时间范围内被使用,实现该文件的保密管理。其必须对特定类型的文件格式和操作进行研究,如研究PDF和Word复制、粘贴和保存等操作的特性,从而针对不同类型的文件制定相应的技术方案。

系统级的数据保密技术不针对具体文件进行加密操作,而是通过对存储系统、网络系统以及辅助授权等手段实现对数据保密的目标。如保证数据在离开了特定的网络后无效,再如可以设定数据的可查阅次数,超过后自动销毁等。

4.1.3 权限管理

权限管理是内网安全的重要组成部分之一,PC、服务器和PC内部的设备等都是单位的信息资源,必须在确认用户身份的基础上,对这些资源的使用进行授权,从而最大可能地控制内网面临的安全风险。授权的基本规则应该是:“谁(用户)”在“什么时间”“什么地方(计算机)”能“干什么(策略)”。

在对重要文件加密的同时,需要根据用户在网内的级别和权限,不同程度地开放给其使用,做到部分用户只拥有对文件操作的部分权限。具体的权限设计依赖于管理者或文件拥有者的设置,这样既达到了防止文件泄密的功能,也达到了公司知识积累和文件的共享。

管理者从使用者下载文档操作开始,控制使用者的读取、存储、复制、输出的权限,从而防止使用者之间非法复制,杜绝使用各种介质、电子邮件或者打印机等方式窃取网内的重要甚至是机密的文档。对于离职、辞职人员,需要及时进行权限回收,使其完全失去使用权。同时,对不同的管理员也需要分配不同的管理权限,使得任何一个独立的管理员都不能拥有完全的管理权限。

授权管理的对象,应该随着硬件设备和软件的发展,以及网络的应用需要而及时的增加或减少。

4.1.4 过程管理

对整个网络运行的全过程进行实时的监控和审计,是内网安全不可或缺的辅助部分。其目的就是通过系统部署,根据授权管理赋予各个内网参与实体的权限,跟踪记录针对这些实体的权限操作,并生成安全事件日志,并可实时查看当前资源的使用情况。能在用户内网中建立一种更加全面、客观和严格的信任体系和安全体系,通过更加细粒度的安全控制措施,对内网的计算机终端、文件服务器、外设、数据存储设备、文件和员工进行更加具有针对性的管理和审计,对信息进行生命周期的完善管理。借助这个整体一致的内网安全管理平台,为内网构建一个立体的防泄密体系,使内网达到可信任、可控制和可管理的目的。

4.1.5 客户系统管理

黑客入侵成功的最大因素是内网服务器和终端主机存在漏洞,从根源上讲,黑客不过是充分利用了操作系统定期发现的漏洞而已。在用户的内网中,想依靠一套毫无缺陷的操作系统达到一劳永逸的目的是不可能的,惟一的办法是不断跟踪操作系统的安全更新状况,并及时应用各种安全补丁进行计算机终端加固,才能让企业的服务器和终端计算机得到最新的安全保障。不但需要对计算机终端进行全天候的安全监侧和自动补丁分发,还需对未及时更新补丁的计算机进行网络访问控制和隔离,使其形成内网中的“孤岛”,避免该计算机对内网其他用户造成安全威胁。

当然,给系统打上补丁也并不能完全保证系统的安全,还需要从其他的方面入手,如(1)保证服务器安全,为服务器创建一个或多个DMZ,并将它们所需要访问的资源放置在相应的DMZ中,不允许它们对内网其他资源访问;(2)关掉无用的网络服务;(3)重要资源重点保护;(4)建立安全过客访问,对于过客不必给予其公开访问内网的权限;(5)可靠的用户群体,对网络用户进行系统的培训,以消除人为使用留下的隐患;(6)通过其他诸如IP地址管理、微机接口如USB、光驱管理等,尽可能的减少信息泄密的途径。

4.2 制度管理

一个完整的内控安全系统应是技术手段和管理制度的结合,管理制度可以有效地弥补无法用技术手段解决的安全漏洞。三分技术七分管理,如果没有一套行之有效的管理制度,再好的技术防护也有可能被击破。管理制度应侧重于对员工的网络使用行为进行规范化的约束,做到以下几点:一是要建立一整套规范的安全保密制度并严格执行;二是要加强员工的保密教育,使他们认识到保密工作的重要意义;三是要有奖惩制度,对保密先进个人、单位予以嘉奖,对于泄密事故加大惩处力度,做到以儆效尤。

5 结语

图书馆内网安全是一个系统的工程,需要通过各方面的努力,最终形成“制度保障、技术防范”的整体合力,建立内控安全的整体防范体系,从而构建一个安全、高效的图书馆内部网络工作环境。

摘要：随着计算机技术的不断发展,网络技术的应用日益广泛,网络安全成为日益严重的现实问题,而内部网络的安全问题更是愈加凸显,已经严重的威胁并影响着网络的正常使用,必须通过对用户和设备的身份管理、数据管理、权限管理、过程管理、客户系统管理以及制度管理几个方面,将技术与制度的有机结合,以确保图书馆内部网络能够安全、高效的运行。

关键词：网络安全,图书馆,内网安全,管理

参考文献

[1]网络安全的定义.http://www.yesky.com/429/1899429.shtml.

[2]访谈:内网安全2009系列访谈明朝万达篇.http://tech.ccidnet.com/zt/sc_ls01/.

[3]邹翔,王志海,李志涛.内网安全数据保密技术分析与比较[J].信息安全与通信保密.2009.

[4]孙玮,何兴东.内网安全监管审计系统的架构设计.计算机应用.2008.