内部网络安全(通用12篇)
内部网络安全 篇1
随着现代化信息技术及网络技术的高速发展, 网上办公在现代化办公中的作用日益增大, 同时, 也大大地增加了对网络安全的要求。故大部分的企业或机关单位都组建了内部局域网, 实现了资源共享在方便信息传递的同时, 极大地提高了工作效率, 实现物理隔离Internet网络, 提高内部网络安全, 营造安全的网上办公环境。
1 内部网络安全面临的威胁
随着信息技术特别是网络技术的发展, 大部分的企业或机关单位都组建了内部局域网, 实现了资源共享, 在方便信息传递的同时, 极大地提高了工作效率。内网已成为企事业单位日常工作不可或缺的重要组成部分, 内部的保密数据文件和信息都通过内网进行传递。
政府、军队或军工单位内具有一定密级的文件、文档、设计图纸和代码等日设计院所的图纸和设计图库等;研发型企业的源代码、设计方案和图纸等数字知识产权以及企事业单位的财务数据等需要保密的重要信息。
在网络互联互通实现信息快速交换的同时, 如何加强网络内部的安全, 防止企事业单位的关键数据从网络中泄漏出去, 成为网络安全领域内一个主要的发展方向。
2 现有内部网络安全产品分析
2.1 监控与审计系统
现有各厂商的监控与审计系统一般都由三部分组成客户端、控制端和服务器。其中, 客户端安装在受控的计算机终端, 用来收集数据信息, 并执行来自服务器模块的指令。服务器端一般安装在内网中一台具有高性能CPU和大容量内存的用作服务器的计算机上, 存储和管理所有客户端计算机。数据控制端安装在企事业单位信息主管的计算机上, 用来监控每台客户端受控计算机, 可以登录到服务器端管理各类审计系统, 并制定各种安全策略。客户端根据控制端下发的安全策略, 对受控主机进行相应的监控, 并将相应的信息上传至服务器。它能够实现对受控主机的各种信息资料获取, 各类输入输出端口如、USB、软驱、光驱、网卡、串/并口、调制解调器、红外通信等的监控, 各类应用程序的监控, 上网监控, 文件操作监控, 并根据安全策略对受控主机的行为进行审计。
这类产品提供了一定的网络控制功能, 但由于其重点是对网络数据进行记录和审计, 因此并不能很好地阻止单位信息泄密事件的发生, 一旦发现泄密事件发生, 对单位的损失已经造成, 因此此类产品的安全作用有限。
2.2 文档加密系统
文档加密系统采用一定的加密算法对文件进行加密, 实现对各类电子文档内容级的安全保护, 一般由客户端加解密软件和认证服务器构成。加密软件对重要文件如机密技术文件、设计图稿、会计账目、战略计划书、研究论文等进行加密设置不同级别的使用权限。有的用户只拥有阅读的权限, 有的用户拥有阅读、修改、打印等多种权限, 具体的权限设计可由管理员或加密文件的拥有者进行设置。管理员可以控制终端用户对重要文件的读取、存储、复制、打印等, 从而防止用户之间非法复制、外部发行、光盘拷贝, 可以杜绝使用U盘、软盘、光盘、电子邮件等方式窃取企事业单位的电子文档。文档加密可以实现对重要数据的加密保护, 但是对网络、计算机、用户的管理不灵活, 而且内网资源众多, 需要分别进行权限的设置, 管理难度大, 尤其当用户权限发生频繁更换的时候, 容易造成漏洞, 此类产品并不利于单位内部信息的安全管理。
2.3 身份认证系统
用户认证系统采用各种认证方式实现用户的安全登录和认证, 独立于计算机原有的登陆系统, 安全可靠性更高。一般由认证服务器和认证代理组成, 有些产品提供认证令牌。认证服务器是网络中的认证引擎, 由安全管理员或者网络管理员进行管理, 主要用于令牌签发, 安全策略的设计与实施, 日志创建等认证代理是一种专用代理软件, 实施认证服务器建立的各种安全策略认证令牌以硬件、软件或智能卡等多种形式向用户提供, 用以确认用户身份, 如果某个用户提供了一个正确的令牌码, 就可以高度确信该用户是合法用户。目前这类产品主要实现了单一的用户身份识别, 并不能实现对计算机的有效访问控制, 比如用户离机锁定、使用权限等, 其应用范围相对有限。
上述三类产品在一定程度上或某个方面解决了内网信息安全问题, 并没有实现计算机、用户、策略三个方面的全面防护。
3 新型的内网安全产品关键性能探讨
3.1 信息数据网络传送强制加密, 控制所有的网络通信, 有效防止网内恶意侦听以及非法外联和非法接入。
由于计算机通信协议本身设计上没有考虑安全性, 是一个完全开放的协议, 使得其网络传输数据能够被任意截获。为确保内网信息安全, 必须要解决局域网任意两台机器之间进行通信时数据的安全性问题, 内网安全产品应实现网络传输的强制加密, 任意两台计算机间的通信密钥都是不一样的, 这有效防止了网内使用恶意侦听软件的行为。同时, 如果内部网络的计算机通过Modem、ADSL拨号或者双网卡等多种方式非法外联, 由于其跟外部网络或者计算机间的网络数据封装格式的不同, 将无法进行通信, 有效防止了非法外联行为的发生。外部接入内部网络的计算机, 无论是通过交换设备接人还是直接与内部网络计算机使用网络直连线连接, 也都将无法联通, 有效防止了非法接人行为的发生。
3.2 强制加密本地硬盘, 有效防止硬盘丢失、多操作系统等造成数据泄密事件的发生。
采用强加密算法对本地除系统盘外的所有本地磁盘数据加密, 只能在内网安全产品启动的情况下才能正常使用本地磁盘。为了防止通过系统盘造成数据泄密必须禁止向系统盘写入任何数据, 包括安装任何新的应用程序。所有写入系统盘的数据都被缓存在其它区域, 一旦系统注销或者关闭, 所有缓存数据将被清除。加解密采用透明方式, 在不影响用户使用习惯的前提下保证数据的安全性。所有本地磁盘保存的文件, 都将被系统自动强制加密保存在磁盘中。在这样的情况下, 即使磁盘被盗用或者丢失, 都不会造成单位重要信息的泄密。由于采用了透明的加密技术, 对用户和应用程序来说都不会有任何影响, 也不会因为安全性的提离而影响用户的使用习惯。防止了因为硬盘丢失、多操作系统和光盘启动等造成的数据泄密事件的发生。
3.3 强化移动存储设备安全措施, 防止泄密。
通过管理员的注册、认证、授权后才能在设定的范围内按照设定的读写策略 (如加密读写、只读、禁用等) 进行使用, 以实现对软盘、U盘和移动硬盘等便携式移动存储设备的有效管理。当移动存储设备被注册为加密读写策略 (或者设定默认未注册设备为加密读写策略) 的时候, 所有写入该移动存储设备的文件数据将被强制加密, 只能在管理员设定的使用范围内正常使用。如果使用移动存储设备将这些数据带出此范围, 将是毫无意义的加密数据, 无法正常读写。这种方式有效地限定了数据的可用范围, 对于用户来说, 既可以享受移动存储设备共享数据的方便性, 又可以实现有效地数据共享范围管理。
3.4 完善的身份认证授权体系, 是安全系统的基础。
应完全独立于计算机、网络系统原有的认证体系, 采用软硬件相结合的多重认证体系, 提高可靠性并能够支持各类标准的CA服务器, 使用方便, 对原有的内网体系影响很小。同时, 对所有外设、输入输出端口及操作的授权管理, 实现仅授权的人能操作授权的计算机, 仅授权的磁盘、磁盘分区、外设、移动存储设备等能在授权的计算机上由授权的人使用, 仅授权的输入和输出端口能被授权的人使用, 为安全系统的可靠运行奠定基础。
现代化新型的内网信息安全产品要提供一种方便、有效、先进的内网信息安全管理控制技术和解决方案, 解决内部网络的用户身份和计算机管理、网络信息保密等安全问题, 达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果, 有效防止机密、敏感信息的泄漏, 为企事业单位构建了一个可信可控的内网。
摘要:介绍了内部网络安全面临的威胁, 并分析了现有的内部网络安全产品以及新型的内部网络安全产品。
关键词:内部网络,内网安全,产品
内部网络安全 篇2
“安全为了生产,生产必须安全”。根据目前车间安全生产状况,一些安全措施不到位、员工安全意识薄弱、不按安全操作规程操作。
希全体员工严格按照安全操作规程操作,提高安全意识,做到在生产中的“三不伤害”(不伤害自己、不伤害别人、不被别人伤害)。
为了进一步加强安全生产工作、提高员工安全意识,将生产特别需要注意的主要安全问题明细如下:
一、砂轮机
1、砂轮机的砂轮应由专人更换,必须切断电源。更换新砂轮后应进行1分钟空运行,确认无异常声音和跳动后方可交付使用。
2、砂轮机的防护罩必须完好无损且安装牢固。3、大工件严禁上砂轮机磨削。
4、操作砂轮机时,必须按要求戴手套、戴防护眼镜等;开机前检查砂轮片是否完好、无损;磨削时拿紧工件,用力均匀,不准使用砂轮的侧面磨削;一片砂轮只准一人使用,严禁两人或多人同时使用一片砂轮。二、砂轮切割机
1、砂轮切割机更换切割片时必须切断电源。更换新切割片后
应进行1分钟空运行,确认无异常声音和跳动后方可使用。
2、砂轮切割机的皮带轮和切割片的防护罩必须完好无损且安装牢固。
3、操作砂轮切割机时,必须按要求戴手套、戴防护眼镜等;开机前检查切割片是否完好、无损;工件必须可靠夹紧;不准使用切割片的侧面磨削;不准将磨粒飞出方向对准其他操作人员和设备,否则必须做可靠的遮挡。
江苏**模架工程有限公司
201*年*月*日
浅析网络内部安全防范方案的设计 篇3
关键词 网络内部 安全方法 漏洞 设计方案
中图分类号:TP393.08 文献标识码:A
0 引言
随着我国市场经济的不断繁荣发展,越来越多的企业建立了属于自己的内部网络,从而方便企业内部员工的交流,以及通过信息的有效迅速传播,来实现其自身的管理目的。但是由于网络内部的安全防范没有达到相应的标准,或者网络设计内部出现一些细微的瑕疵,这些都可能给网络内部安全埋下隐患,因此建立一个安全合理的内部网络对于企业的发展而言,具有重要意义。而且对于使用内部网络的群体而言,也是一种突破。
1 当下我国企业内部网络存在的问题
1.1 当下我国企业内网的安全现状
通过内部网络在企业中应用的不断加深,我们可以发现当下传统企业的内部网路安全设计还局限在以针对网络病毒和系统漏洞等防御为主的设计中。对于那些入侵检测将重点放在设置当中,在对内部网络和外部网络连接处加以严密的监控。这样的措施对于防范初级攻击具有一定的作用,同时我们应该清楚,内部网络才是企业的核心价值所在,一旦内部网络受到攻击而出现问题,那么给企业带来的损失将难以预计。当下,内部网络的安全维护受到巨大的挑战,但是企业的网络管理员由于自身对安全风险认识不强,认为自身所做的防备已经足够完善,在内部便没有形成一个更加坚固的防护网。一旦发生事故,便会将企业的商业隐私泄漏,给企业造成巨大的伤害。因此,加强外网建设的同时,更加注重企业内部网络的建设对于企业的发展具有重要的现实作用,这也是当下企业建立内部网络安全的核心所在。
1.2 当前企业内部网络存在的安全隐患
随着计算机网络技术的不断发展,企业内部网络作为其发展的一个分支存在。它的出现给企业管理、数据整合等提供了一个高科技的优化平台。但是,计算机网络从出现以来,便一直圍绕着安全这个问题而发展着,内部网络也不例外。
(1)内部网络管理人员缺乏重视。攻击者对于企业内部网络的攻击主要是以其安全防护作为突破点而进行的。企业内部网络存在漏洞绝大多数都是由于网络管理人员缺乏对内部网络安全的重视,从而导致黑客有机可乘。(2)内部网络用户权限不同。企业内部网络具有一个明显特征便是使用者拥有不同的权限。企业内部网络建立用户使用权限的初衷是为了方便企业各个阶层实现管理。但正是设置权限不一,才导致整个内部网络需要多次识别身份认证。同时,对于那些拥有身份认证较弱的用户,极易攻击,黑客一旦通过基层身份打入内网,实现越权查看便是极其容易的。(3)内部网络信息没有得到整合。一些企业对于企业内部的机密信息大多集中在中高层管理者的计算机终端里,企业内部网络对于这些信息没有进行整合。这也就意味着机密信息集中在几个管理者手中。而他们对于信息的保护程度远远没有达到专业性的程度,因此很容易造成信息被窃取等。
3 企业内部网络安全防范设计
为了能够有效解决企业内部网络中存在的各种安全威胁问题,保障企业内部网络安全稳定运行,本文提出了一套企业内部网络安全防范设计方案。企业内部网络安全体系属于水平与垂直分层实现的,它们之间是通过支配和被支配的模式实现使用的;垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。
3.1 用户身份认证
用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等。由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。
3.2 用户授权管理
用户授权管理是以用户身份认证作为基础的,主要是对用户使用企业内部网络的数据资源时进行授权,每个用户都对应着不用的权限,权限代表着能够对企业内部网络中的某些资源进行访问和使用,包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。
3.3 数据信息保密
数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络涉密信息和知识产权信息的有效保护。
参考文献
[1] 张怡.浅议计算机网络安全策略[J].科技资讯.2011(09).
[2] 郭启全.网络信息安全学科建设与发展[J].中国人民公安大学学报(自然科学版).2013(03).
[3] 刘传才.密码术与防病毒策略的融合趋势[J].网络安全技术与应用.2012(05).
内部网络安全技术点滴 篇4
一、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒、入侵检测、审计监控等技术。
1. 反病毒技术:
计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是在网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是内部网络安全建设的一个重要环节。
2. 入侵检测:
入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动,检查系统的配置和操作系统的日志,发现漏洞、统计分析异常行为等。
目前,系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们正在使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。内部网的服务器,为用户提供着各种服务,但提供的服务越多,系统存在的漏洞也越多。因此,从安全角度考虑,应将不必要的服务关闭,只向公众提供所需的基本服务。最典型的是,我们的内部网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务。而只向可信赖的用户开放FTP功能,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。
3. 审计监控技术。
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏性行为。因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出本网络的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
三、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
1. 访问控制:
在进行内外网访问隔离中,采用防火墙技术是目前保护内部网安全的最主要的措施,同时也是最有效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题在整个网络内传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
2. 网络安全检测:
保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,提出补救措施和安全策略,达到增强网络安全性的目的。
单位内部安全防范 篇5
单位内部的安保工作是社会治安管理的重要组成部分,单位内部安保人员是社会治安管理的重要力量。今天,在这里我结合当前**辖区的实际,就单位内部安全保卫工作和大家探讨三个问题。
一、当前单位内部安全防范工作存在的主要问题
(一)部分单位防范意识不强。**目前处在开发建设时期,相当一部分单位存在重效益、轻保卫的思想,加之未参加过公安机关组织的《企业事业单位内部治安保卫工作条例》等相关法律、法规的培训,致使对《企业事业单位内部治安保卫工作条例》贯彻落实不到位,对本单位内部防控网络建设的战略地位和治本意义认识不足,从而忽视对企业自身内部的保卫防范工作。
(二)部分单位在防范上的资金投入少。由于部分单位忙于企业生存发展问题,对企业防范工作重视程度不够,认为治安防控网络建设投入大、见效慢,既花费了大量的人力、物力和财力,又没有可观的效益,不愿、不敢投入太多资金搞防控网络建设或设备维护上,对于防控网络建设应付思想较突出,致使部分已有的技防设施因为缺乏专职维护、操作人员和必要的维修保养资金,在平时实战中根本无法真正发挥作用,有的形同虚设,单位防控建设水平长期滞后。
(三)部分单位内部的保卫机构和保卫人员配设不到位。部分单位过分追求眼前的经济效益,因保卫工作不能给单位带来直接的效益,导致保卫组织功能弱化,保卫干部身兼数职,保卫机构的设臵和人员配备处于边缘化,甚至是处于可有可无状态。
(四)部分单位规章制度不健全,保卫机制不规范。部分单位内部防范还处于“看门守院”式的低水平状态,同时,很多潜在的安全隐患还未在单位转化为现实安全危害,单位自身存在侥幸认识,客观上很难形成规范的内部安全保卫机制。
(五)公安机关监管不到位,日常监督检查流于形式,未能真正做好指导、监督、检查工作。
二、强化单位内部治安防控体系建设工作的对策 针对**辖区内部单位存在的问题,我们应狠抓具体措施落实,强力推进单位的内部安全防控网络建设,力求内部安全保卫工作实现效益与安全同步,使其步入“安全保效益,效益促安全”的良性循环。
(一)积极开展《单位内部治安保卫条例》的学习宣传贯彻,统一思路,提高认识。通过内保进一步加强并提高内部单位的防范、控制、报警等功能。公安机关的治安部门及派出所积极引导宣传,主动指导内部单位工作。
(二)强化依法管理,改“执法不力”为“有法必依”。要解决单位内部治安管理防范中存在的问题,必须走内部单位治安管理工作法制化、规范化的路子。内部单位治安保卫工作贯彻“预防为主、单位负责、突出重点、保障安全”的方针。同时单位内部治安保卫工作应当突出保护单位内部人员的人身安全,单位不得以经济效益、财产安全和其他任何借口忽视人身安全。强化宣传造势。要通过宣传《内保条例》、《刑法》等相关法律法规,使单位的主要负责人必须对单位内部治安保卫工作负责,必须切实加强对本单位治安保卫工作的领导,强化内部防范工作,建立安全保卫制度。
(三)加强检查指导监督,确保工作落实。公安机关依法对内部单位的治安保卫工作进行经常性的检查指导,使单位负责人将这些工作纳入议事日程,适时依法做出决策。
(四)逐步建立内部单位保卫工作新模式。要从根本上改变当前内部单位保卫工作现状,必须从适应社会主义市场经济特点出发,探索多元化体制下单位内部保卫人员、保卫手段的组织形式和方法。根据《内保条例》规定要求,治安保卫重点单位要设臵与治安保卫任务相适应的治安保卫机构,配备专职治安保卫人员,充分发挥保安公司治安管理方面的辅助作用,采取“自愿申请,公司选配,服务社会”的原则,加大保安公司的覆盖面、服务面,切实加强保安队伍管理力度,不断提高正规化建设水平。建立健全机关、企事业内部单位防范机制,重点落实要害单位的治安责任制。一般单位应当根据内部治安保卫工作需要,设臵治安机构或者专职、兼职治安保卫人员。因此,要加强保卫队伍建设,选调一批年纪轻、素质高的人员充实到保卫队伍中来,并强化教育管理,加大对保安员的教育培训力度。在培训内容上让保安员掌握基本法律常识、保安礼仪、安全防范知识、防卫技能以体高服务质量。不断提高实战能力。要建立24小时全天候不间断地值班巡逻制度,坚持领导带班,重点加强仓库、财会室、办公楼和其它要害部位、易发案部位的巡逻、守护以及夜间、双休日、节假日的守护,保证安全。加强对单位内部治安保卫队伍和重点单位保卫机构建设的业务指导,积极开展治安保卫人员业务培训和考核工作,不断提高单位内部治安保卫人员的整体素质。积极组织开展义务巡逻、企地共建、区域联防、单位协防等群防群治活动,推动内部防范与外部社会防范的一体化,共保一方平安。
(五)各单位应认真贯彻《企业事业单位内部治安保卫条例》,参与治安保卫的安全防范服务。加大技防的推广,内部单位应安装监控录相和报警装臵,安保人员和夜勤人员应配备相应的器材装备(警棍、对讲机、强光手电等)。按照《企业事业单位内部治安保卫条例》的要求,大力推进企 事业内部单位治安保卫工作机制,形成人防、物防、技防相结合的内部治安防控网络,以内促外,以外保内、联防联控、确保安全。
(六)公安部门应对内部单位的夜勤人员经常进行检查、指导、督促、对在工作中不负责任的人员,加大依法管理力度。对违反《内保条例》的单位法人,发放《隐患整改通知书》,逾期仍不整改的,造成人身伤害、财产损失的,要依法进行处罚,做到不徇情、不手软,确实使法人负起第一责任人的职责。建立“单位负责、政府监管”的新机制,依法做好单位的指导监督工作,开展创建“治安安全单位”、“平安单位”、改变经验型的指导监督方式,对企事业内部单位开展检查指导,督促建立高效的内部治安保卫责任制,对因不落实《企业事业单位内部治安保卫条例》规定而造成严重后果的,依法追究有关单位及其主要负责人和其他直接责任人员的责任。
三、具体做法
(一)强化单位内部管理,切实落实安全防范措施。
1、存放原料、成品的仓库和存放贵重物品的办公室、财务室要落实防盗措施,加装牢固的防盗门、栅;保险箱要进行必要的加固、“穿衣”;笔记本电脑等小型贵重物品要放在安全隐蔽处,离开时建议随身携带,养成出门随手锁门的好习惯。
2、强化门卫值班工作,严格执行人员、车辆进出登记制度,严格落实夜间巡防工作,值班领导要切实加强督促和检查工作。
3、有条件的单位要安装监控,已装监控的单位要检查监控效果,确保有效使用,并做好相关数据备份保存工作。
4、防范设施不健全的企业要尽量减少原料和成品的存储量。
5、大宗现金要及时存入银行,切忌在单位或保险箱过夜。
6、发生案件时要及时拨打“110”报警,并注意保护好现场。
(二)强化职工队伍管理,坚决堵塞内部安全隐患。
1、加强对内部职工的教育,提升职工自身安全防范和遵纪守法意识。
2、规范人员管理,督促外来员工及时到公安机关办理暂住证,以利于及时发现职工中的重大前科或负案在逃人员。
3、强化内部宿舍管理,落实宿舍巡视制度,杜绝外来人员随意进出现象,切实防止发生企业内的打架斗殴和宿舍财物被盗案件。
4、加强内部各部门的协调配合,对已离开本单位的职工,要及时通知门卫和宿舍管理人员,防止其回厂滋事或伺机作案。
网络环境下浅析内部会计控制 篇6
摘要:随着网络技术和电子商务的发展,企业会计核算与会及管理的内部外部环境发生了巨大变化,会计系统也由单纯的电算化走向开放式、网络化。网络环境下的内部会计控制有着与单击环境不同的特点,传统会计电算化系统的内部控制机制和手段很难适应互联网环境。在网络环境下,数据通过网络传递,财务信息被再取、篡改。
关键词:网络环境 内部会计控制
1 网络环境下内部会计控制的特点
网络环境下的内部汇集控制与点击环境下的内部会计控制相比,发生了很大的变化,主要有以下几个方面:
1.1 扩大了控制范围 首先,企业实时网络会计以后,会计部门的组成人员结构发生变化,由原来的财务、会计人员和计算机操作人员转变为由财务、会计人员和计算机操作员、网络系统维护员、网络系统管理员等组成。其次,会计业务范围扩大,除完成基本的会计业务,网络会计还同时完成许多相关功能,诸如网上支付、网上询价、网上采购、网上销售、网上报税、网上法规及财务信息查询等等。原来由几个部门按预订步骤完成的业务事项可集中在一个部门甚至一个人完成。
1.2 会计信息的存储介质发生变化 单击系统的会计信息的存储方式从账本转变为磁盘文件,网络系统使会计细心存储介质继续发生变化,不仅仅是账册和报表,更多的会计信息将电子化,出现各个电子单据(如各种发票、结算单据等)。原始凭证杂网络业务交易时自动发生并存入计算机,交易的全过程均在网络上建立、处理和维护,不再存在传统的原始凭证。存贮形式主要以网络页面数据存贮,页面数据只能在计算机及相应的程序中阅读,原来在核算过程中进行的各种必要的核对、审核等工作大部分由计算机及网络自动完成。因此,网络环境下内部会计控制的重点由对人的控制为主转变为对人、计算机和物联网的控。
1.3 进一步加大了安全风险 网络会计的应用使原来封闭的会计系统面临开放的互联网世界,给财务系统的安全剔除了严重的挑战、第一,在网络环境下,大量的会计信息通过凯文能过的Internet传递途经若干国家与地区,置身于开放的网络中,存在被截取、篡改、泄露机密等安全风险,很难保证其真实性与完整性。第二由于物联网的开放特性,给一些非善已访问者以可乘之机。第三,计算机病毒的猖獗也为物联网系统带来更大的风险,因而有效地防止计算机病毒对保障网络系统的安全性至关重要。
1.4 网络会计与电子商务的法律环境滞后 网络会计、电子商务的迅猛发展远远超出了现有法律体系的规范,物联网信息的跨地区和跨国界传输又难以公正和仲裁。包括我国在内的很多国家,目前还缺少有关电子商务交易责任与可靠性方面的法律规定,司法部门仍对如何决定电子文档的合法性以及构成有效额电子签名等问题存在争议。这样,电子交易可能引发的法律争端,入争取、合同的履行以及可靠性问题等,变成为企业内部控制不得不关注的又一问题。
2 网络环境下内不会及控制的措施
网络环境下的会计信息系统,由于其在系统的开放性、处理的分散性、数据的共享性等方面大大超过了以往任何类型的系统,极大地改变了以往计算机系统的应用模式,扩展了系统运行的内容和方法。因此,我们血药根据网络系统的特点及其风险来源,重新确立系统的控制点,并建立相应的控制体系。
2.1 会计信息资源控制 会计信息来源于网络服务器的数据库系统中,因而财务服务器专区是系统中最重要、安全级别要求最高的部分,是整个网络会计系统控制的重点目标。因此应通过对安全区域的周界实施控制来达到保护区域内部系统的安全性,把财务网络与其他办公网络隔离开来,设置外部访问区域,明确企业内部网络的边界,防止“黑客”通过电话网络进入系统,可采用如下办法解决:局域网交换机支持VLAN的,可以将财务网络和办公用局域网划分成不同的VLAN,VLAN之间这只访问策略,保证财务VLAN不能倍其他VLAN访问,在财务专区交换器或在网络核心交换机上部署入侵检测系统(IDS),监控网络内部重要网段的信息流,检测对网络服务的攻击企图,并根据安全侧策略,在攻击发生时切断连接,并记录过程,进一步提高系统安全级别。如果局域网交换机不支持VLAN,要将财务网络通过单一出口与本单位局域网连接;在财务网络与本单位局域网之间部署防火墙等网络安全设备,设置访问策略,保证客户端只可以访问到允许访问到的主机端口,最大限度地减少系统安全漏洞,保证系统安全。防火墙可采用硬件防火墙,也可采用一台双网卡的计算机运行防火墙软件(如天网、诺顿等)替代。
企业还应采取有效的网络数据备份、恢复及灾难补救计划。需要建立并严格执行严密的数据定期备份策略,数据的备份策略包括本地备份、磁带备份、远程备份、异地容灾备份等。
2.2 系统维护控制 系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调查、扩充和完善。对网络会计系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都必须设置必要的控制,维护的原因和性质要有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,网络会计系统操作员不能参与软件的修改,所有与系统维护有关的记录都已更改打印后存档。
2.3 系统应用控制 保证应用的安全就是要减少非法用户通过合法手段(如盗用用户名和密码)等手段读取、修改、仿冒数据的可能性,保证财务数据的真实性和有效性。需要从以下几个方面考虑:制定用户注册和注销有关规定,来控制用户访问权限。该规定应包括以下内容:使用唯一用户ID,以便将用户与其操作联系起来,使用户对其操作负责;严格管理用户权限的分配和使用,将整个网络系统分级管理,设置系统管理员、数据录入员、数据管理员和专职会计员等岗位,层层负责,对各种数据的读、写、修改权限进行严格限制,拒绝其他用户的访问;每个用户必须设置自己唯一知道的口令,并定期更换口令,不允许系统中存在无口令的用户,设置口令应有足够的强度,如果子、字母及其他符号等组合使用;用户因工作变更或离开组织时,其访问权限也随之改变。
2.4 防病毒控制 计算机病毒与网络如期及黑客技术的进一步融合,利用网络和操作系统漏洞进行传播计算机病毒的危害和影响也在加大,因此要求制定一个多层次,全方位的病毒策略,保证网络中的每台客户端计算机及服务器都具备提防,检查和清楚病毒的能力。可以采用如下控制措施:对不需要本地硬盘和软盘的工作站,尽量采用无盘工作站;采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;在网络服务上采用防病毒卡或芯片等硬件,能有效防治病毒;财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力;对外来软件和传输的数据必须经过病毒检查,在业务系统严禁使用游戏软件;及时升级本系统的防病毒产品等。
2.5 数字证书控制 在网络环境下,由于系统所面对的是未知的,完全不可控制的互联网世界,仅仅依靠用户名和口令实现对系统的安全防护是远远不够的。因此有必要采取目前工人的安全级别较高的数字证书技术,通过与财务软件系统的紧密结合,实现对应用系统的防护。具体做法是:由系统针对每个用户随机生成一定强度的数字证书,物理地分发给每个用户,用户登录系统时,不仅仅检查户名和密码,还要检查数字证书的合法性,验证通过后,客户端与系统之间传送的数据要使用盖证书进行加密和解密,保证数据在公网线路传输中不可被截获或篡改仿冒。为保证数字证书的安全,应该对数字证书的生存周期做一定限制,做到数字证书的定期失效和更新。
参考文献:
[1]罗勇.内部控制基本理论研究.财务与会计导刊.2004.(4).
内部网络安全问题与防范 篇7
随着计算机网络技术的快速发展和全球信息化步伐的日益加快, 现代计算机网 (Internet、Intranet) 作为信息社会的基础设施已经渗透到社会的各个层面。伴随着信息化的日益发展, 黑客、计算机病毒等因素严重威胁着计算机网络的安全, 尤其是内部网络安全问题已越来越突出地显现出来;其维护和管理也日益成为倍受关注的问题。
2 内网面临的安全问题
根据公安部以及美国FBI/CSI等权威机构的调查:超过85%的安全威胁来自组织内部, 有15%来自内部未授权的存取。据中国国家信息安全测评认证中心调查, 信息安全的现实威胁主要是来自内部信息泄露和内部人员犯罪, 而非病毒和外来黑客所引起。内网所面临的安全威胁主要表现在如下几个方面:
2.1 难以监控外来计算机接入内网
办公楼层规模化的网络接口方便了员工接入网络, 同时也方便了外来计算机接入网络, 但是管理人员对此类情况却难以判定并加以监视和控制, 仅仅依靠交换机上的绑定功能难以实现集中化地有效管理, 一旦发生问题, 网管可能采取的措施非常有限。员工或临时的外
[摘[关
来人员随意接入内网环境, 给内网安全所带来的威胁主要表现在:
(1) 如果外来设备携带有病毒或木马, 一旦未经审查接入内网, 可能对内网安全构成巨大的威胁。
(2) 如果外来设备占用了内网重要服务器或者主机的IP地址, 会造成严重影响。
(3) 如果外来设备是恶意接入, 想盗窃内网中的各类数据, 则会带来更大损失。
(4) 如果没有严格的管理策略, 员工随意设置IP地址, 可能造成IP地址冲突、关键网络设备的工作异常。如果为谋求非法利益而恶意盗用、冒用IP地址的, 其后果将非常严重。
2.2 漏洞转变成病毒或攻击的风险日益增高
微软定期发布修复系统漏洞的更新, 但使用windows操作系统或者应用程序的内网用户往往不能及时应用这些更新, 此时若未及时更新杀毒软件的病毒特征库, 就会给恶意的入侵者提供可乘之机, 使病毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致内网全部陷于瘫痪, 使业务无法正常进行, 造成重大损失。
2.3 非法外联和外围设备的使用难
以控制
员工通过电话线拨号等方式, 绕过防火墙的监控直接连接外网, 一方面会使内网的IT资源暴露在外部攻击者面前, 攻击者或病毒可通过拨号线路进入内网;另一方面, 内部员工可能通过这种不受监控的网络通道将内部机密泄漏出去, 给本单位带来经济损失。为了保证内部安全, 杜绝信息输出的途径, 要求对网内各计算机设备的外围设备使用情况进行监控, 禁止或限制使用软驱、光驱、USB盘、并行、串行口、红外口、1394口、Modem等外围设备。有些单位的做法是对接口进行硬件上的封杀, 拿掉光驱、软驱, 或用胶条将USB口封住, 这样浪费了硬件资源, 同时管理效果也不理想。USB接口作为计算机常用接口, 应用日益广泛, 而对于一些涉密机构来说, USB设备又是信息输出和交流的主要途径, 因此加强监管十分重要, 需要控制USB存储设备的使用, 甚至要对存储到USB设备中的文件进行加密。
2.4 软件应用缺乏监控
上网聊天、网络游戏等行为严重影响计算机的工作效率, 通过QQ、MSN、ICQ等即时通讯工具来传播病毒, 已经成为新病毒的流行趋势;使用Bit Torrent、电驴等工具疯狂下载电影、游戏、软件等大型文件, 使得关键业务应用系统的带宽无法得到保证。为了提升工作效率, 防止因运行不当软件带来的经济损失, 需要了解并监控各计算机的软件运行情况, 禁止非法软件的运行。
2.5 软硬件设备滥用安全无法保障
内网硬件 (CPU、内存、硬盘等) 被随意更换, 移动存储等外接设备管理难以控制, 缺乏有效的技术跟踪手段;桌面软件丰富, 鱼龙混杂, 容易引起意外冲突和不可预测的灾难;员工可以更改机器IP地址或主机名等配置, 一旦出现攻击行为或者安全事故, 责任认定非常困难。
3 网络安全防范手段
3.1 常规安全防护手段
(1) 完善管理:完善的内网管理制度是保障网络安全的基础。所谓“三分技术, 七分管理”正是对网络安全最好的诠释。安全管理包括安全技术和设备管理两个方面, 制定严格的安全管理制度以及部门与人员的组织规则是网络安全防范的有力措施。管理的制度化极大地影响着整个网络的安全, 严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。针对自身的安全风险, 各单位需制定一系列的安全策略和安全制度来保障自己的网络安全。同时, 随着内网的规模和复杂度的不断上升, 这些安全策略保证被有效执行。
(2) VLAN (虚拟局域网) 技术:选择VLAN技术可较好地从链路层实施网络安全的保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立的一个逻辑网络, 它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网, 划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴, 还可利用MAC层的数据包过滤技术, 对安全性要求高的VLAN端口实施MAC帧过滤。这样, 即使黑客攻破某一虚拟子网, 也无法得到整个网络的信息。
(3) 网络分段:内部局域网大多采用以广播为基础的以太网, 任何两个节点之间的通信数据包, 可以被处在同一以太网上的任何一个节点的网卡所截取。因此, 黑客只要接入以太网上的任一节点进行侦听, 就可以捕获发生在这个以太网上的所有数据包, 对其进行解包分析, 从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离, 从而达到限制用户非法访问的目的。
(4) 防病毒软件与个人防火墙:所谓病毒就是计算机的一段可执行代码, 这些病毒感染到计算机上的过程完全是被动的。计算机病毒的传统感染过程并不是利用系统上的缺陷, 而是当用户直接跟这些病毒接触, 例如:拷贝文件、访问网站、接收Email等。一旦计算机被感染上病毒, 这些“可执行代码”可以自动被执行, 进而破坏计算机系统。安装并经常更新防病毒软件会对系统安全起到防护作用。防病毒软件可根据病毒的特征, 检查用户系统上是否有病毒, 这个检查过程可以是定期检查, 也可以是实时检查。
(5) 内外网使用物理隔离:客户机使用双硬盘物理隔离设备, 即客户端增加一块PCI卡, 客户端的硬盘或其它的存储设备首先连接到该卡, 然后再转接到主板上。这样通过该卡可控制客户端的硬盘或对其它的存储设备进行选择。而在选择不同的硬盘时, 同时也选择了该卡不同的网络接口, 从而连接到不同的网络上。该产品对用户的使用来说不是很方便, 用户往往需要通过反复的切换才能在双网内工作, 而且还无法在两个工作区内拷贝文件。安全级别低的产品可以对内网和外网进行物理隔离, 此时对用户的各种操作没有其它限制, 但是如果用户将内外网线接口互换, 将会出现信息泄漏的情况。
3.2 主动防御型安全产品
(1) 硬件防火墙:硬件防火墙是指把防火墙程序做到芯片里面, 由硬件执行这些功能, 能减少CPU的负担, 使路由更稳定。防火墙是介于两个网络之间的设备, 用来控制两个网络之间的通信。通过防火墙策略, 可以有效地阻挡外来的网络攻击和一些病毒的入侵, 这是主动防御技术的最初应用。
(2) IDS入侵检测系统:IDS是为监测内网的非法访问而开发的设备, 根据入侵检测识别库的规则, 判断网络中是否存在非法的访问。管理员通过分析这些事件, 来对网络的安全状况进行评估, 再采取相应的防护策略。相对硬件防火墙而言, IDS是基于主动防御技术的更高一级应用。
(3) IPS入侵防护系统:一般来说, IPS系统主要是对数据包进行检测。IPS检查入网的数据包, 确定这种数据包的真正用途, 然后决定是否允许这种数据包进入网络。与IDS和硬件防火墙相比, IPS更智能, 可以通过分析来决定是否允许数据包通行, 这是主动防御技术的最典型应用。
(4) 杀毒软件:在病毒越来越猖狂, 破坏力越来越强大的不利形势下, 过于陈旧的模式让传统的杀毒软件已经无法承担保护计算机安全的重任。为此, 杀毒软件厂商推出了集成了主动防御技术的杀毒软件, 不过该主动防御技术仅仅是对网页、注册表、恶意脚本增加了监测功能, 只能说是最初级的主动防御技术的应用, 距离真正的主动防御还有一定的距离。
4 小结
有了硬件防火墙、入侵检测、入侵防护、防病毒软件, 安全问题却得不到彻底解决。从内因分析, 主要直接原因是安全策略没有得到彻底落实和执行, 虽然单位已经购买了防病毒软件, 但部分用户没有按照要求安装防病毒软件;或者虽然安装了防病毒软件, 但是没有正确启用实时病毒检测功能;或者虽然正确的安装和启用了防病毒软件, 但是没有及时更新病毒库;更本质的原因是内网的脆弱性没有得到及时有效的管理, 即操作系统和应用程序的安全补丁没能及时修补、各种系统的脆弱性配置没能得到有效管理。
一个可以在信息安全实践活动中真正依据的方法, 就是为每个网络建立一套完善的网络安全体系。网络安全体系应该是融合了技术和管理在内的一个可以全面解决安全问题的体系结构, 它应该包括完善的网络信息访问控制策略、机密数据通信安全与保护策略、灾难恢复规划、对犯罪攻击的预防检测等等, 只有这样才能较为完善的保障内部网络的安全性。
1前言
GME1134型UHF液冷模拟电视发射机是我国自主研制开发的国内新一代大功率液冷全固态电视发射设备, 该设备额定输出功率为30k W, 采用LDMOS全固态技术, 在外形及结构上既考虑了标准化、系列化, 又考虑了美观效果和实用性而开发的一款新产品, 图1为液冷模拟电视发射机外形图。该发射机性能稳定可靠、技术先进、操作简单、维护方便。
2整机设计特点
2.1设备特点
2.1.1整机高可靠性、高稳定性、备份冗余设计, 消除单致命故障点
(1) 功放模块功率余量较大。单个功放单元输出功率为2.6k W, 可任意替换, 热插拔设计, 当其中任一个模块出现问题时不影响发射机整机工作;
(2) 主、备激励器互为备份且自动切换。由于具有自诊断功能, 当主激励器出现故障时, 无间断地自动切换到备用激励器;
(3) 冷却系统主要部件采用主备冗余设计。发生故障时主备水泵可实现自动切换, 保证整机液冷系统的正常工作。
2.1.2整机为合放式、功放为全固态, 模块化设计, 采用简洁的积木式组合结构, 整体结构紧凑, 各个功能单元界限分明, 便于维护
(1) 带有PC接口, 实现计算机管理、监控和调试;
(2) 配备有完整的技术数据检测、监控系统和功能完善的计算机控制软件;
(3) 可以实现对发射机远距离遥控、遥测、遥调;
(4) 通过计算机可完成整机指标预校正。
国内新一代30k W液冷全固态电视发射机
文/北京同方吉兆科技有限公司产品部陈敬东//
企业内部网络安全影响因素分析 篇8
一、自然环境的影响因素
企业内部网络是由计算机硬件、软件、网络信号传递收发装置以及其它设施组成的。这些设施的良好正常是网络信息安全和可靠正常运行的物质基础保证。但是, 自然环境中有许多不可预见的因素, 对企业内部网络安全造成了威胁。自然环境的影响因素主要包括两个方面:一是自然灾害, 如地震、雷电、火灾等, 自然中的各种极端恶劣气候和灾害会对系统设备带来物理损害;二是环境的干扰, 如突然停电、电源过载, 电压过高和其他因素。这些因素可能造成硬件的部分损害, 甚至导致系统崩溃, 从而使整个公司的网络服务中断, 也可能造成数据存储设备遭到破坏, 使数据损坏或丢失。
二、计算机病毒的影响因素
计算机病毒无孔不入, 防不胜防, 是企业内部网络的重要安全影响因素。计算机病毒以网络为载体进行繁殖和传播, 传播的主要途径是不明来历的电子邮件、文件和链接等。随着电子邮件成为人们信息沟通的重要工具, 有许多不法分子在电子邮件中嵌入计算机病毒, 人们在打开带病毒的电子邮件的同时就致使计算机中毒。访问带病毒的文件和链接也是计算机病毒传播的主要途径, 破坏了用户利益。网络信息系统的病毒已对企业内部构成了严重的威胁, 尤其是传输速度快、范围广、可跨平台、攻击力强、变形种类多等特点, 使得从用户在浏览电子邮件、下载文件和访问网站时, 必须严密防守计算机病毒的侵入。
三、人为操作的影响因素
企业内部网络用户的计算机水平参差不齐, 对网络安全也造成了重大威胁。例如, 用户误操作导致数据丢失或者应用程序的破坏, 系统登录口令泄露、设置过于简单或选择不当形成的安全隐患, 用户操作权限设置不当使得操作人员越权登录和操作程序等等。除此之外, 网络系统管理员或安全管理员因工作疏忽, 造成系统安全漏洞被他人利用。当然, 人为操作的安全影响不仅包括内部用户的误操作, 也包括了外部人员的蓄意破坏。
四、网络硬件设备管理的影响因素
企业网络是基于网络硬件设备上的网络系统。如果这些硬件设备存在安全问题, 那么必将直接影响到整个网络的安全运行。在企业内部网络, 其硬件设备可大致分为两类:一类是网络数据传输线路, 另一类是计算机和网络设备。无论是传输线路还是计算机和网络设备, 主要都存在着两个方面的安全因素:实体安全和电磁安全。影响网络硬件系统实体安全主要有三个方面的因素, 包括硬件系统, 由于质量问题引起的设备故障或运行的不稳定;硬件系统由于达到使用年限引起的自然损坏和由于人为损坏、破坏以及盗窃所引起的硬件设备的物理损坏或丢失。硬件系统除了实体安全之外, 另外一个重要的安全因素就是电磁安全, 包括对传输线路的搭线窃听以及传输线路、计算机和网络设备的电磁泄漏, 这些安全因素都会给网络设备信息数据的保密性造成威胁。
五、系统存在的安全问题
公司网络中应用以及服务全部均为使用软件系统完成, 软件系统一旦存有安全方面的漏洞直接造成公司的网络安全无法保证。通常而言, 公司网络的软件系统由两部分所构成, 一部分为操作系统, 另一部分则为应用系统软件。这两部分的软件所存有安全漏洞主要是来自于两个方面的原因:第一、软件系统自身的结构就存有问题, 结构不尽科学合理;第二、在编程的时候未能发现的漏洞以及因为别的原因导致安全漏洞。
六、网络服务存在的安全问题
网络服务作为公司网络系统的一项重要功能, 在这种的不少服务内容是为了网络用户能够较为便捷的对网络和主机的操作与管理, 而另外的一些服务内容却是公司网络当中必不可少的内容, 而且不少的网络服务其实也是公司网络的重要内容。现在我们经常使用的网络服务通常包含由三部分所组成。第一部分Web, 公司网络利用Web来进行信息的传递工作;第二部分Mail, Mail来收发电邮;第三部分FTP, 利用FTP来实现文件的发送与用户间的共同享有。而且主机系统和网络设备上对于互联网的开放使用也给用户提供了许多方便, 但是也会造成网络的安全遭受考验。
总之, 网络安全并非为一朝一夕所能实现, 是需要花费巨大的气力, 通过长久的探索才可能达到目标。现在网络应用已经有了一段时间的发展, 随之而来的是计算机病毒及其传播的方式也已经有了多样的变化, 安全的问题也变得日趋繁杂, 网络安全的建设也并非是以往单台计算机安全防护那样的轻松解决。现在的网络安全是需要通过打造多层、立体的保护体系, 利用健全管理系统来实现安全保护的目标。
参考文献
[1]殷伟:《计算机安全与病毒防治》, 安徽科学技术出版社, 2004年。
[2]李辉:《计算机网络安全与对策》, 《潍坊学院学报》, 2007, (2) 。
内部网络如何进行安全防范 篇9
关键词:分布式防火墙,分布式入侵检测系统,网络安全
1 概述
在计算机网络迅猛发展的年代,网络安全越来越受到重视,防火墙作为最早开发、最成熟的网络安全产品,已经得到了广泛的应用,然而传统的边界防火墙仍存在着以下固有的缺陷:(1)结构性上受限制,(2)容易形成单一瓶颈点和失效点,(3)不能防范来自内部的攻击,使得它已经很难满足网络安全的需求了。而分布式防火墙不仅继承了传统的边界防火墙的优点,而且更安全有效,更重要的是它较好地解决了内部攻击的问题。入侵检测作为动态安全技术的核心技术之一, 是防火墙的合理补充, 被认为是防火墙之后的第二道安全闸门。本文提出的把分布式入侵检测系统和分布式防火墙系统结合在一起的安全系统,大大提高系统的安全防护水平, 尤其是解决了内部攻击的问题,从而可以实现网络安全立体纵深、多层次的防御.
2 相关技术
2.1 分布式防火墙技术
分布式防火墙主要由主防火墙、主机防火墙和中央控制平台组成。其主要工作原理如下:主防火墙放在内网和外网的交界处,对流经的数据进行过滤,可以防范绝大多数的外部攻击。主防火墙在制定安全策略时,不必配置最高的安全保护措施,而是提供最高的性能。中央控制平台根据系统各模块提供的反馈信息实时地修改主防火墙的安全策略,从而较好地解决了安全与性能的平衡问题。
主机防火墙
主机防火墙放在内网中比较重要的主机或服务器前面,它默认的安全策略是该主机以外的网络不管处在内部网还是外部网都认为是不可信任的,因此可以根据该主机上运行的具体应用和对外提供的特定服务设定针对性很强的安全策略。通过设置规则,可以限制内部网中只有少数的主机可以访问该主机,而当未经授权的主机试图访问该主机时,防火墙就会把它挡在门外,这样就可以保证该主机不受内部网中的其它主机的非法访问或攻击。它不仅可以防止攻击, 还可以对输出数据进行加密, 对输入数据进行解密, 对连接进行认证,为主机提供多方面的综合保护屏障。
中央控制平台
主防火墙和各主机防火墙的安全策略的管理和分发是由中央控制平台来完成的,中央控制平台可以与每台防火墙进行相互认证,并建立加密的安全通道,然后将根据防火墙的安全需求而配置的安全策略分发到防火墙上。各个防火墙的日志都汇总到中央控制平台上,为中央控制平台管理各个防火墙提供依据。该平台还可以根据入侵检测系统提供的信息实时地对各个防火墙进行配置。
2.2 布式入侵检测技术
分布式入侵检测系统是基于主机的IDS和基于网络的IDS的结合,既汲取了各自的长处, 又弥补了各自的不足。它由多个部件组成,能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。
2.2.1 基于主机的 (Host-Based) 入侵检测系统
基于主机的入侵检测系统 (HIDS) 通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名 (Attack Signature, 指用一种特定的方式来表示己知的攻击模式) 以发现它们是否匹配。如果匹配, 检测系统就向中央控制平台发出警报并反馈入侵信息。作为入侵检测系统的一大重要类型, 它可以完成的主要功能有:
(1)能够确定攻击是否成功。
由于基于主机的IDS使用包含有确实已经发生的事件信息的日志文件作为数据源, 因而能够准确地判断出攻击是否成功。
(2)近实时的检测和响应。
由于现有的基于主机的IDS大多采取的是在日志文件形成的同时获取审计数据信息, 因而就为近实时的检测和响应提供了可能。
(3)可监视特定的系统行为。
基于主机的IDS可以监视用户和文件的访问活动, 这包括文件访问、文件权限的改变、试图建立新的可执行文件和试图访问特权服务等。这对防止内网用户非法访问主机,以及对主机的非法改动非常有用。
2.2.2 基于网络的 (Network-Based) 入侵检测系统
基于网络的入侵检测系统 (NIDS) 以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用技术有:
———模式、表达式或字节码的匹配;
———频率或阈值的比较;
———事件相关性处理;
———异常统计检测。
一旦检测到攻击, IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为做出反应。基于网络的IDS有其独特的优点:
(1)攻击者转移证据面临困难。
基于网络的IDS使用正在发生的网络通信进行实时攻击的检测, 因此攻击者无法转移证据, 被检测系统捕获到的数据不仅包括攻击方法, 而且包括对识别和指控入侵者十分有用的信息。
(2)实时检测和应答。
一旦发生恶意的访问或攻击, 基于网络的IDS可以随时发现它们, 以便能够更快地做出反应。这种实时性使得系统可以根据预先的设置迅速采取相应的行动, 从而将入侵行为对系统的破坏减到最低。由于基于网络的IDS对整个网络的数据流进行分析,因而能检测到一些基于主机的IDS无法检测到的入侵,为中央控制平台从宏观上制定安全策略提供了很好的依据。
3 系统的实现
3.1 系统设计
整个系统主要由主防火墙、主机防火墙、基于网络的入侵检测系统 (IDS) 、基于主机的入侵检测系统 (IDS) 、信息数据库和中央控制平台组成。主防火墙放置在网络的边界,整个系统通过主防火墙与Internet相连,利用主防火墙,可以防范绝大部分的外部攻击,在主防火墙后面基于网络的入侵检测系统,对整个网络的数据包进行监视和分析。在内网中重要主机前面,都有一个主机防火墙和基于主机入侵检测系统。每个模块都与中央控制平台和信息数据库相连,各模块把信息反馈给信息数据库,并由中央控制平台统一管理。主防火墙和主机防火墙构成了分布式防火墙,基于网络的IDS和基于主机的IDS构成了分布式IDS。
3.2 系统的工作模式
系统采用集中控制管理的模式进行工作。一方面,中央控制平台根据网络中各个模块的安全需求制定安全策略,再将这些策略分发到各个模块执行。另一方面,各个模块将信息传到信息数据库,信息数据库对这些信息进行预处理,行成统一的格式再传递给中央控制平台央控制平台对数据进行综合分析,从而能发现一些单机无法检测到的入侵,当确定入侵危害较大时,可及时采取措施,如修改防火墙的配置,屏蔽未被入侵的主机,记录入侵过程,收集入侵证据等。
主防火墙放在内部网和外部网之间,它监测、限制、更改通过它的数据流,对外屏蔽内部网的信息、结构和运行状况,以防止发生网络入侵或攻击, 实现对内部网的安全保护。主机防火墙放在内网需要重点保护的主机上,可以为每台主机设置一套单独的规则,既解决了单一防火墙的安全策略无法满足每台主机的安全需求问题,还可以减轻主防火墙的工作量,提高了整个网络的性能,同时通过对主机防火墙的设置,可对不同的内部用户赋予不同的访问权限,防止来自内部的攻击,从而大大提高系统的安全性。
基于网络的IDS监视所负责网段的数据流,当发现有入侵时,其响应模块一方面采取适当的防御措施,一方面及时通知中央控制平台,由中央控制平台作进一步的处理。基于主机的IDS通过比较审计主机的系统日志、应用程序日志,当发现有入侵时,检测系统就向中央控制平台发出入侵报警并采取相应的行动。
4 结束语
本文主要提出了分布式入侵检测系统与分布式防火墙系统结合在一起的安全系统,比单一的防火墙综合安全效能要高很多,能够有效地防止发生拒绝服务攻击、防止IP欺骗、漏洞扫描等入侵行为。最重要的是它能够有效地防范内部攻击,解决了传统防火墙的痼疾。另外,它可以自适应地修改安全策略,当发生入侵行为时,入侵检测系统会自动告警并提供反馈信息,中央控制平台根据反馈信息及时地改变安全策略,这使得在最初配置防火墙时,可以更多地考虑网络的性能,而不是安全性。
参考文献
[1]薛静锋, 宁宇鹏, 阎慧.入侵检测技术.机械工业出版社, 2004.
[2]王英红.用分布式防火墙堵住内部网的漏洞.计算机安全, 2002, 02 (23) .
[3]凌捷, 肖鹏, 何东风.防火墙本身的安全问题浅析.计算机应用与软件, 2004, 21 (2) .
多方位构建内部网络安全平台 篇10
2002年12月, 国家信息化领导小组第一次会议决定, 推进电子政务建设作为我国信息化工作的重点, 政府先行, 带动信息化发展。通过近几年的网路信息化建设, 各政务部门的信息化水平大幅度提高, 为网上办公, 政务信息公示, 以及资源共享等提供了良好的网络平台, 但随着网络应用地不断深入, 构建一个安全的政务部门内部网络平台的重要性日益突出。
1 网络安全需求分析
网络的稳定性是政务部门办公网建设的基础, 而网络安全是保障网络系统稳定性的前提, 同时网络安全也是造成内部信息泄密的主要原因。各部门在进行信息化建设时, 一般需要考虑以下安全问题:
1) 通过有效的隔离措施保障各网络系统之间的数据安全, 如政务内网与政务外网的物理隔离, 政务外网与互联网的逻辑隔离, 单位内部各业务部门的逻辑隔离;
2) 合理配置网络设备, 保障网络系统在异常情况如发生自然灾害、受到网络攻击时的稳定性、安全性;
3) 严格内部办公网络的接入控制机制, 防止部门涉密信息的外泄;
4) 计算机病毒的防范;
5) 网络安全事件要做到可控、可查、可防范;
6) 各种安全设备须能实现安全联动, 提供网络的全面安全。
2 多方位的网络安全措施
针对办公内部网络的应用特点和网络安全的基本需求, 可采取如下安全措施来多方位构建内部网络安全平台。
2.1 网络边界安全措施
网络边界一般是指内网与外网的结合部位, 是内网的安全门户。一般可采取的安全措施有:
1) 安装防火墙, 分别实现内网和互联网、内网和政务外网的逻辑隔离
通过包过滤技术实现允许或阻止访问与被访问的对象, 对通过的内容过滤保护网络用户合法有效地使用各种网络对象;
通过NAT技术实现动态地址转换, 使受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址, 这不仅可以对外屏蔽内部网络结构和IP地址, 也可保护内部网络安全;
通过日志记录功能可实现上网行为的审计、分析与备查;
通过防火墙的安全设置可抵制DDos攻击、与防毒软件联动。
2) 采用VPN技术, 实现外部网络与内部网络之间的安全加密连接
为满足外出办公人员、合作单位安全访问内部网络的业务系统, 一方面可在内部网络与政务网之间通过VPN设备为相关互连单位提供访问内网数据的安全通道;另一方面可在内部网络与Internet之间通过VPN设备, 提供安全加密连接。
3) 利用流量控制设备, 保障网络带宽
一方面网络应用的日益丰富, 对网络带宽需求越来越高;另一方面网络管理者必须对有限的带宽资源合理分配, 保证关键业务的服务质量, 为每个用户提供最优秀最快的网络服务。通过流量控制设备有效检测和防止某些应用, 如P2P、网络游戏等对带宽资源的非正常消耗, 保证关键应用带宽需求。
2.2 内网安全措施
2.2.1 网络物理设施的安全
网络物理设施的安全威胁主要来自于自然因素和环境因素, 可采取的安全措施有:
1) 为防电磁泄露和干扰, 线缆敷设时交换机之间一般以光缆为主, 对用铜介质的地方可根据保密需要对电缆采取屏蔽措施, 选用合适的抗干扰设备;
2) 严格机房的“温度、湿度、洁净度”的控制, 采取防静电措施;
3) 按照国家有关规定, 实施机房防雷和接地;
4) 根据机房设备的用电功率及后备供电的时间, 配备合适的UPS电源系统, 确保供电的安全;
5) 根据安防需求, 配备防火、防盗设施, 以及监控系统。
2.2.2 内外网的物理隔离措施
为防止内部信息通过网络泄密, 须对内部人员的使用权限严格划分, 对内外网服务均有需求的用户可实施双线路、双设备, 或双硬盘切换等实现内外网的物理隔离。
2.2.3 严把网络接入安全控制关
1) 利用VLAN技术实现各处室单位或各业务部门的逻辑隔离;
根据业务类型、访问权限将内部网络用户划分为若干VLAN, 可以强化网络管理和网络安全, 控制不必要的数据广播, 提高网络的安全性。目前基于交换机网络的VLAN技术大致可通过4种方式实现:一是基于端口的VLAN;二是基于MAC地址的VLAN;三是基于IP地址的VLAN;四是基于策略的VLAN。
2) 配备安全管理软件, 实现所有网络用户均需使用用户密码认证上网机制, 实现只有授权用户才能访问办公网;
3) 利用认证软件或交换机的安全设置实现IP地址+MAC地址绑定, 防止外来设备的介入;严格控制无线接入内部网;
4) 利用认证软件有效记录所有用户的网络访问轨迹, 用于日志审计备查;
5) 通过交换机的安全设置、用户端的安全管理等策略防范ARP攻击;
6) 通过合理的基于专家级ACL、时间ACL、带宽限速等加强对接入者的访问控制;
7) 强制网络用户安装杀毒软件并及时对病毒库升级, 实施合理的病毒查、杀机策略。
2.2.4 实施WEB服务器安全保障
1) 将为外网用户提供访问服务的应用服务器统一规划到DMZ区;
2) 通过对服务器操作系统的安全设置、权限设置、配置优化等保障服务器系统的安全;
3) 通过隔离网闸技术实现由内网向外网访问的WEB服务器的信息单向“摆渡”, 防止涉密信息的网络外泄;
4) 安装网页防篡改系统, 防止网页被非法访问、注入式攻击, 如“挂马”、内容篡改等。
2.2.5 信息的安全存储与安全传输
信息的存储安全是各业务系统的重点, 信息的安全传输是机密信息交换的保证。
1) 对数据存储量较大的应用系统, 可合理地选择存储架构, 如采用存储区域网 (storage area network, SAN) , 实现最大限度的数据共享和可管理性;
2) 采用RAID技术、合理的冗余硬件来保证存储介质内数据的可靠性;
3) 采用合理的备份策略, 如定期完全备份、实时增量备份、异地容灾备份、多介质备份等来保证信息的可用性、可靠性、可管理性和可恢复性;
4) 制定和实施严密的数据使用权限;
5) 针对机密信息的网上传输、数据交换采取加密后传输。
2.2.6 安全管理
网络信息安全是一项复杂的系统工程, 安全技术和安全设备的应用可起到一定的作用, 但技术是有局限性的, 受投入资金、使用条件等多方面的约束, 较难做到面面俱到, 也不可能做到一劳永逸。这样, 网络安全管理就显得至关重要。
1) 建立和完善各种安全使用、管理制度, 明确安全职责;建立如突发事件的应对预案;
2) 加强对网络使用人员、网络管理人员的安全教育, 树立安全观念, 提高安全防范意识, 减少潜在的安全隐患;
3) 建设一支高水平的网络管理、信息安全管理队伍, 定期进行安全风险评估和策略优化。
3 结论
有资料显示, 政务网出现的犯罪75%以上都来自于内部。内部网络的安全隐患, 其实主要还不是技术层面上的问题, 更多的还是管理层面的问题。硬件设备的改进固然重要, 但更需要受到关注的还是公务人员的安全意识和法制教育。
摘要:随着电子政务的深入开展, 各政务部门的信息化建设和应用水平均有了大幅度提高, 其网络安全和信息安全的重要性也越来越突出, 构建一个安全稳定的网络平台已成当前网络建设和管理的主要工作。本文从安全需求入手, 对构建内部网络的安全措施进行了深入的探讨。
关键词:网络,安全,措施
参考文献
[1]宋红, 吴建军, 岳俊梅.计算机安全技术[M].中国铁道出版社, 2006.
[2]刘化军.计算机网络原理与技术[M].北京:电子工业出版社, 2005.
[3]赵洪彪.信息安全策略[M].清华大学出版社, 2004.
浅析内部网络安全防范技术 篇11
关键词:内部网络;技术;措施
现在,人们虽然都对网络安全问题有一定的了解,但是却只有部分人群真正认识网络安全威胁从何而来。许多人认为,企业的内部网络威胁主要是外界的网络攻击,但是实际上企业的内部网络安全威胁往往更大。
由于许多企业都对局域网和互联网实行各种信息共享,使得企业的内部网络往往裸露在“众目睽睽之下”,虽然大多数企业都有采取各类防火墙来作为护盾,但是黑客的手段也随之提高,不时的出现各类网络入侵进和攻击。许多发达国家的企业在内部网络安全方面,投资相当之多,可见内部网络安全威胁,对于公司防范措施的选择上有着必要的关系。
一、内部网络存在的安全威胁
(一)交换机的安全隐患。交换机是每个企业网络中必然存在的设备,也正因为此设备的广泛使用,使得其在网络中,被攻击的次数最多。
(二) windows更新不及时。由于各个企业公司的网络电脑众多,所以很难保证将每台电脑都能及时对windows软件进行更新安装,这也就无形中增多了安全的漏洞,使得整个内部网络安全处于威胁当中。
(三)防病毒软件的更新。黑客的攻击手段,每天都在因为防病毒软件的日益完善,而不断提高,所以就需要企业的内部网络及时对防病毒软件进行更新,以便应对最新的网络病毒。
(四)USB的使用问题。USB设备的使用频繁度是惊人的,据相关统计,每个企业每天使用USB的频率是所有设备最多的,但是USB设备的特殊性,使得对它的安全防范过低。Win
dows系统的USB保护措施很少,大部分系统只能使用简单的启用和禁用USB来作为防范措施,这显然是不够的,所以很多黑客都把USB存储设备当成攻击和入侵的主要着手点。
(五)企业内部网络账号密码设置过于简单。许多企业的内部操作者,对于账号和密码设置的都非常简单,这样给入侵者带来极大的方便,可以说,使用这样的屏障如履薄冰。
(六)无线网络的使用。现在多数电脑都有无线访问功能,但是無线连接的同时,会对有线网络安全构成极大的威胁。
二、内部网络安全常见的防范技术
(一)安装防病毒软件和防火墙。安装防病毒软件和防火墙,能有效保护网络安全,但是并不能完全使得网络处于绝对安全之中。
(二)认证技术。认证可以对各种消息系统的安全起到重要作用,它是防止各类网络黑客入侵和攻击的有效技术。
(三)访问控制。访问控制的主要功能是,使得网络资源不会被非法访问,更不会被非法使用,对于访问控制的设置,可以根据网络环境自由选择。
(四)计算机取证技术。许多电脑本身有对黑客的入侵和攻击行为,会有计算机取证技术对其进行重建,以便于使用法律武器打击犯罪分子。但是现在相关法律还在不断完善当中。
三、内部网络安全防范的重要措施
(一)加强网络交换机的安全防范。首先要将VLAN ID在每个端口上都有设置,对不常使用的端口禁止使用。其次要通过合理设置,关闭每个终端端口的DTP。另外对限制用户的网访问设置为非授权用户。
(二)完善USB设备的安全管理。由于USB设备是最大的网络隐患之一,因此,要作出相应应对措施。
可以将每台电脑的USB接口封死。也可以利用相关软件,对每个终端电脑进行管理。另外内部网络安全系统软件,大多拥有控制接口的功能,可以加以利用,以便控制USB设备安全威胁。
(三)进行内部网络操作培训。可以定期对内部员工计算机的操作进行相关培训,减少失误带来的安全隐患。
(四)建立可靠的无线访问。对整个网络进行审查,将对工作没有任何用处的无线网络排除,使其处于防火墙之外。
(五)及时升级windows软件。Windows不时就会对漏洞进行维护,并对软件进行更新,所以,要让内部网络计算机及时升级更新微软相关软件,保障网络安全。
(六)使用正版杀毒软件。各类杀毒软件,都有破解版本出现,但是离正版软件有很大差距,所以要求企业购买比较知名的杀毒软件。并对软件的更新作出及时升级。
结语:网络安全防范措施,是从不断的日常工作经验中,积累总结而得出的,因此要根据企业的内部实际,采用适当的相关技术,来完善补充,才能真正起到保护内部网络安全的目的。
参考文献:
[1] 宋宜昌.网络安全防御技术浅析[J].网络安全与技术应用.2010(01)
内部网络安全的威胁与对策浅析 篇12
伴随着我台信息化的不断扩展和深入及各类网络应用软件推广使用,计算机网络在提高数据传输效率、实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统已逐步成为安全传输发射工作的重要基础。为了确保安全传输发射工作的安全高效运行,保证网络信息安全以及网络硬件及软件系统的正常顺利运转,则是基本前提,因此计算机网络和系统安全建设就显得尤为重要。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露,确保系统能连续、可靠、正常地运行,网络服务不中断,保证网络上的信息安全。网络安全主要包括物理安全、逻辑安全、操作系统安全和网络传输安全。
2 内部网络安全威胁分析
由于内部网络是通过交换机和服务器连接网内每一台电脑构成,因此内网内信息的传输速率比较高,但由于内网采用的技术比较简单,安全措施比较少,因此给病毒传播提供了有效的通道,并为数据信息的安全埋下了隐患。内部网络的安全威胁通常有如下几类:
(1)随意安装、使用可移动存储设备
内网用户随意安装、使用可移动存储设备,如软盘、U盘、光盘等,在内外网间交换数据时,导致病毒的传入或秘密数据的泄露。
(2) IP地址冲突
内网用户在同一个网段内,由于IP地址的冲突,造成部分计算机无法上网。对于内网来讲,此类IP地址冲突的问题会经常出现,用户规模越大,查找工作就越困难。
(3)安装、使用盗版软件或黑客软件
内网用户在计算机上安装、使用盗版软件,不但无法保障计算机的正常运行,还有可能造成病毒传播;而一些内部人员出于某些目的,在计算机上安装使用一些黑客软件,则对内网的其它计算机构成重大安全威胁。
(4)内外网计算机交叉使用
内网用户在没有物理隔离的情况下,将计算机在内外网之间交叉使用,造成病毒的传入和信息的泄密。
(5)用户操作失误
内网用户由于操作失误,可能会损坏网络设备,如主机硬件等或误删除文件和数据、误格式化硬盘等。
(6)内部的人为恶意攻击
这是计算机网络所面临的最大威胁。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致数据的泄漏。
(7)服务器区域没有进行独立防护
内网计算机数据快速、便捷的传递,造就了病毒感染的直接性和快速性。如果内部网络中服务器区域不进行独立保护,其中一台电脑感染病毒,并且通过服务器进行信息传递,就会感染服务器,这样,内部网络中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。
3 内部网络的安全控制对策
3.1 加强人员的网络安全培训
安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从业务角度看,主要涉及管理、技术和应用三个层面。要确保计算机信息系统的安全,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,而人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,增强内部人员的安全防范意识。同时,要加强制度建设,进一步完善关于网络安全的有关管理规范。对内部人员,应从如下几方面进行培训:
(1)加强安全意识培训,让每位职工明白计算机信息系统安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任。
(2)加强安全知识培训,使每位计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地的数据,保证本地数据信息的安全可靠。近年来,763台加大了对计算机信息系统的安全管理,制订出台了一系列规章制度,有效地防范了计算机信息系统泄密事件的发生。
(3)加强网络知识培训,通过培训,掌握一定的网络知识,掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。比如,763台多次对网络管理人员进行了网络知识专题培训,收到了很好的效果。
3.2 利用桌面管理系统控制用户入网
入网访问控制是保证网络资源不被非法使用,是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它可以控制哪些用户能够登录到服务器并获取网络资源、控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问的目录、文件和其他资源,可以指定用户对这些文件、目录、设备所能够执行的操作。采用启用密码策略,可强制计算机用户设置符合安全要求的密码,包括设置口令锁定服务器控制台,以防止非法用户修改;还可采取设定服务器登录时间限制和检测非法访问等。为提高系统安全性,对密码不符合要求的计算机在多次警告后阻断其连网。
3.3 采用防火墙技术
防火墙技术是通常是安装在单独计算机上的,使其与网络的其余部分隔开,它用来保护内部网络资源免遭非法使用者的侵入、执行安全管制措施、记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻攻击所采用的技术有:
(1)深度数据包处理。深度数据包处理是在一个数据流当中有多个数据包,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免应用时带来时延。
(2) IP/URL过滤。一旦应用流量是明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,这就需要一种方案不仅能检查URL,还能检查请求的其余部分。如果把应用响应考虑进来,可以大大提高检测攻击的准确性,显然URL过滤是一项重要的操作,可以阻止通常的脚本类型的攻击。
(3) TCP/IP终止。应用层攻击涉及多种数据包,并且常常涉及不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能终止传输层协议,并且在整个数据流,而不是仅仅在单个数据包中寻找恶意模式。
(4)访问网络进程跟踪。这是防火墙技术的最基本部分,判断访问网络进程的合法性,进行有效拦截。这项功能通常借助于TDI层的网络数据拦截,得到操作网络数据包的进程的详细信息加以实现。
3.4 封存所有空闲的IP地址
启动IP地址绑定,采用上网计算机IP地址与MAC地址唯一对应,网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略,可以有效防止IP地址引起的网络中断和移动计算机随意上内部网络造成病毒传播和数据泄密。
3.5 属性安全控制
它能控制以下几个方面的权限:防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。
3.6 启用杀毒软件强制安装策略
监测所有运行在内部网络上的计算机,对没有安装杀毒软件的计算机,采取警告和阻断的方式强制使用者安装杀毒软件。
3.7 加大病毒防治
病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内,使整个计算机网络处于瘫痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染;防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个内部网络的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略:
(1)增加安全意识和安全知识,对职工进行定期培训。首先明确病毒的危害,文件共享的时候尽量控制权限和增加密码,对来历不明的文件运行前,进行查杀等,都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒,可起到很重要的作用。
(2)小心使用移动存储设备。在使用移动存储设备之前,进行病毒的扫描和查杀,杜绝移动存储设备在内外网之间交叉使用,把病毒拒绝在外。
(3)安装网络版杀毒软件。目前,763台已经配置了专门的防病毒服务器,并进行了相应的部署。能够熟练掌握杀毒软件的使用,及时升级杀毒软件病毒库,是防毒杀毒的关键。
通过以上策略的设置,能够及时发现网络运行中存在的问题,快速有效地定位网络中病毒等网络安全威胁的切入点,及时、准确地切断安全事件发生点。
4 小结
内部网络安全控制与病毒防治是一项长期而艰巨的任务,需要不断地探索。随着网络应用的发展,计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算机安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。
摘要:本文对内部网络安全威胁进行了分析, 针对内网存在的问题, 提出了网络安全控制与防治的应对策略。
关键词:内部网络,安全威胁,控制对策
参考文献
[1]钟平.校园网安全防范技术研究[DB].CNKI系列数据库, 2007.
[2]王秀和, 杨明.计算机网络安全技术浅析[J].中国教育技术设备, 2007 (5) .
【内部网络安全】推荐阅读:
内部网络01-26
系统内部网络08-23
内部创新网络12-17
内部网络管理10-09
企业内部网络安全问题06-20
内部网络规划实习报告10-03
AIS内部控制网络环境05-22
内部安全性11-28
单位内部消防安全检查制度06-14