前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全加固措施主题范文,仅供参考,欢迎阅读并收藏。
大数据是互联网、移动应用、社交网络和物联网等技术发展的必然趋势,大数据应用成为当前最为热门的信息技术应用领域。信息时代下,传统的信息系统已经不能够满足需求,而单纯运用大数据,也不会取得理想的效果,因此需要将传统信息系统与大数据平台进行整合,且在实践中进行创新和反思,形成一个系统,既能够保证信息的安全,还能够使大数据的优势得到发挥。大数据的出现具有一定的必然性,它是信息爆炸已经积累到一种程度,必定要发生变革。加里•金教授曾经说过“大数据就犹如异常革命,庞大的数据资源使得社会的各个领域都开始了量变的进程”。放眼当前的社会可以发现,学术界、商界、政界都已经开始了量变的进程。大数据已经对我们的生活、工作以及思维产生了影响,必须要正确的认知“大数据”,且能够运用大数据,才能够立足当前的社会。
2大数据与网络安全问题
大数据与网络安全成为了当前的学术热词,因为在大数据背景下,网络安全受到了前所未有的挑战,且要想充分发挥大数据的优势,就必须要有一个安全性高的网络。2.1随着互联网技术的发展,当代人的生活与网络越来越密不可分而我国的网络安全空间存在着隐患,因而我国网络安全问题呈现在多样化,手段更加复杂,对象更广泛,后果严重等问题。传统的互联网技术在安全方面存在着很大的弊端。例如:黑客攻击、木马病毒等网络安全问题正不断在想数据领域渗透,同时也给大数据的发展带来新的问题。2.2大数据时代背景下,每个人的生活都不再是绝对的秘密,只能够说是相对“秘密”因为通过分析网络上的数据信息,就能够了解一个人的生活痕迹,所以要认识到信息安全的重要性,特别是在大数据背景下,更要确保信息的安全性。为了解决当前网络安全中存在的问题,可以控制访问网络的权限、强化数据加密、加固智能终端等方式,这些方式运用起来,定能够为信息安全提供一个保障作用。强化数据加密:控制网络访问的权限后,对数据进行加密,切实是一种有效的手段,能够为网络安全的运行提供保障作用。数据加密就是将明文转变为密文,一般会通过加密算法、加密钥匙实现,它是一种相对较为可靠的办法。从某种程度来讲,数据加急就是网络安全的第二道防护门,具体来讲:一是,控制网络访问权限是网络安全的第一道防护门,能够确保信息访问权限的清晰,实质上就是要向访问,就必须要具有获取相应的资格,否则就不能够进行网络访问;二是,访问者获取访问权限的情况下,对数据又进行了一层保护,即使获得访问资格后,也不能够顺利的访问数据,更不可能基础秘密的数据。这无疑提高了网络信息的安全性。加固智能终端:智能终端往往会储存海量的数据信息,因此必须要认识到智能终端的重要性,且能够对其进行加固,不仅能够提高网络信息的安全,还有助于互联网管理有条不紊的进行。智能终端加固需要高超的大数据处理技术,不能够再被动的补漏洞,而是要积极主动地的防治。通过大数据安全技术研发、云计算方式的更新、软件工具的整合等等措施,针对攻击力非常强的病毒、恶意代码进行彻底的清除,并及时挖掘潜在的大数据安全隐患,确保智能终端在安全的网络环境下运行。通过一系列技术手段,构建一个高级的智慧平台,引领我们朝着大数据时代迈进。
3结束语
大数据背景下,网络安全确实受到了前所未有的挑战,因此我们必须要解决的一个问题就是“大数据安全”问题。“大数据安全”问题已经成为当前政府、运营商、互联网企业以及安全企业不可回避的一个问题,更是一个迫切需要解决的问题。做好大数据时代网络安全工作可以从重学习,抓机遇,贯彻落实总书记重要讲话精神;推立法,定标准,完善网络安全管理制度体系;强技术,建手段,健全网络安全技术保障体系;严监管,强责任,落实网络安全监管要求;聚人才,谋合作,为网络安全事业提供有利支撑五个方面着手,促使网络安全与大数据能够同发展,共进步。
作者:潘杰 单位:广东花城工商技工学校
参考文献:
[1]刘小霞,陈秋月.大数据时代的网络搜索与个人信息保护[J].现代传播(中国传媒大学学报),2014(5).
为了能够有效地保护网络安全,保护计算机用户免受病毒的侵害,应该不断提高互联网的应急响应技术来保护网络的安全。计算机网络安全应急响应技术是一门综合性技术学科,它具有智能性的特点,对于一些突发安全事件能够及时地进行响应、跟踪和处理。因此,它的技术要求也是非常高的,主要体现在以下几个方面:
1.1操作系统加固优化技术
操作系统是电脑网络与服务的基础,其安全稳定地运行取决于操作系统环境是否安全可靠。关于操作系统的加固优化,主要可以通过两种方法来实现:
(1)对操作系统进行不断的完善,操作人员不断通过自我学习,发现操作系统当中的漏洞,当发现漏洞的时候一定要进行及时地修正。
(2)要不断完善现有的操作系统,加强对重要文件和进程的监控和管理,不断加强操作系统的稳定性和安全性。
1.2网络的诱骗和陷阱
网络的陷阱和诱骗技术是一种新型的网络安全防护技术,它主要通过设计一些有明显弱点的系统,来引诱病毒或者是黑客攻击者。通过诱惑黑客攻击者的入侵方式和行为,设定一个控制范围,了解黑客所使用的攻击方式和攻击技术,然后追踪其来源,对其不法行为进行记录。这种防护方式的优点主要有两个方面:第一,它能够有效地防止黑客的攻击行为,增加黑客攻击者的入侵难度,从而更好地做好防御工作。第二,它可以通过跟踪和记录黑客的行为,记录黑客的犯罪证据,对这种行为进行有效地打击。
1.3网络的追踪技术
计算机网络追踪技术主要是对每一台主机的信息进行采集获取,确定攻击者的lP地址是什么,进而找到相应的防护措施。这种网络的追踪技术的核心特点就是它对计算机网络中的所用主机进行确认,在这个基础上,对主机的数据进行采集、分析以及处理,然后将入侵者在网络中活动的轨迹串联起来进行追踪。这样的技术能够有效地对病毒入侵者进行追踪分析,从而更好的防护电脑网络。网络追踪技术主要分类两个方面:第一个是主动追踪技术,它主要包括的是对信息进行隐形工作,例如,在HTTP的返回工作中加入特殊标记的内容,这些内容要进行一系列的技术处理,保证攻击者不容易察觉,同时,在网络当中可以通过这些隐形标记来追踪网络攻击者,确认他们的攻击途径。第二种是被动式的追踪技术,这种被动式的追踪技术主要通过网络数据的不断变化而找出攻击对象的。它的理论依据就是,计算机网络连接不同,网络连接的相关特征数据也会有所不同。通过对这些产生不同节点的网络标识进行记录,找出攻击者的攻击轨道和攻击轨迹,继而进行追踪。
1.4斗防火墙技术
防火墙技术实际上是一种计算机网络与局域网之间的一个把关者,通过建立这样一所把关门,可以有效地保护局域网的安全,避免病毒或者黑客的侵入。在目前的互联网技术上来讲,防火墙是计算机网络安全防护当中最为基础和相对安全的一个防护措施,它可以在不改变计算机网络系统的情况之下,对电脑实施一定的保护措施,因此防火墙是一种最为普遍、应用最为广泛的应急技术。一般的计算机用户可以将其安装到电脑内,从而对计算机网络实施安全保护功能,其实用性非常大。
1.5计算机防止病毒影响技术
由于现在电脑技术不断更新换代,网络病毒的技术也变得更急复杂,对于电脑的攻击也更加猛烈。因此,很多用户都会在电脑的主机上安装相应的杀毒软件,防止病毒的入侵。而在功能上来讲,计算机病毒软件主要分为两种类型,一种是网络的防病毒软件以及单机的杀毒软件,网络的防毒软件主要是检测互联网是否存在病毒,一旦有病毒进入计算机网络的时候,网络防毒软件就会自动检测出来并且提示用户删除该病毒;而单机杀毒软件则是我们常用的杀毒软件,主要是用户安装在电脑上通过网络的检测来进行电脑的全面检查,发现有病毒的话可以立即进行清除。
1.6石取证技术
网络的取证技术是对计算机系统当中的数据进行识别、收集以及保护。计算机的取证主要包括物理取证和信息取证两个方面。
(1)物理取证技术。主要是指在计算机当中寻找原始记录的一种技术。在进行物理取证的时候,最重要的是要保证证据不被破坏。而物理取证技术也能够很好地做到这一点,它的主要特点就是对证据进行无损备份,对于一些删除了的文件能够进行恢复。
(2)信息取证技术,信息取证技术是在经过物理取证技术之后,对获得的原始文件和数据进行技术分析。
2结束语
关键词:安全防护;调度数据网;应用;管理;
中图分类号:U664.156文献标识码:A文章编号:
前言
随着电网技术的发展,自动化和通讯技术在电网中得到了广泛的应用,不仅保证了讯息的及时、准确,也提高了工作人员的工作效率。但是通信技术的应用又带来了另一个安全隐患,由于自动化及传输业务的功能不同,各类讯息分为不同的安全等级,如果不加以区分、规范,安全级别较低、实时性要求较低的业务与安全级别较高、实时性要求高的业务在一起混用,级别较低的业务严重影响级别较高的业务,将存在较多的安全隐患;电力调度数据网本着先进性、实用性和经济性相统一的原则进行网络设计,使网络具有高性能、高可靠性、高安全性、管理方便和标准化的特点,能够灵活地根据用户需求提供不同网络业务的服务保证,为各类调度信息系统提供安全、统一的宽带综合业务服务智能网络平台。
信息系统的安全主要的五个层面
1.1 物理安全
物理安全主要包含主机硬件和物理线路的安全问题,如自然灾害、硬件故障、盗用、偷窃等,由于此类隐患而导致重要数据、口令及帐号丢失。
1.2 网络安全
网络安全是指网络层面的安全。由于联网计算机能被网上任何一台主机攻击,而网络安全措施不到位导致的安全问题。
1.3 系统安全
系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全管理设置等安全问题,如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等。
1.4 应用安全
应用安全是指主机系统上应用软件层面的安全。如Web服务器、数据库等的安全问题。
1.5 人员管理
人员管理是指如何防止内部人员对网络和系统的攻击及误用等。
二、电力调度网络面临的风险分析
电力调度数据网是承载电力调度实时控制业务、在线生产业务的专用网络。电监会颁发的《电力二次系统安全防护规定》明确要求:“电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区”。因此网络安全是保障电网安全、稳定运行的生命线。
2.1 信息泄露或数据破坏
此类问题是指业务数据在有意或无意中被泄漏出去或丢失,通常包括:信息在传输中丢失或泄漏,存储介质丢失或泄漏;或者以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息;应用系统设计时设立后门或隐蔽通道等。
2.2 意识风险
安全的网络离不开人的管理,因此人的意识和管理是整个网络安全中最重要的一环,尤其是对于庞大和复杂的调度数据网更是如此。现实运行中发现一些部门的人员安全意识不够强,安全措施不到位,比如在选择口令时图简单省事,或将自己的账号随意转借他人或与他人共享信息资源等,这些行为都具有极大的安全隐患。
2.3 网络和系统软件的漏洞和多余服务
由于电力调度网涉及的网络设备技术复杂,不可避免地存在许多缺陷和漏洞,这些缺陷和漏洞恰恰是网络攻击的目标。此外某些设备存在一些用处不大而又证明很容易被人利用的薄弱服务,一些应用系统在设计时也可能存在有意无意的一些漏洞和后门。一旦攻击者利用这些漏洞或缺陷侵入网络并进而进入主机系统,将会对电力系统的整体生产和调度安全产生极大的破坏。
2.4 误操作及配置错误
主要表现在对网络结构和配置参数未作详细研究,对网络设备的功能未作深入了解,以及日常使用和监控中对设备随意操作,这些都会带来安全威胁。同时电力调度数据网是一个技术复杂先进的网络,系统设计功能的实现是一个动态的完善过程,比较容易出现配置错误,某些错误可能短时间内不易看出,需要等到某种触发条件才会表露出来。
数据网的应用和管理
加固信息系统安全,国网公司具体从设备和管理两方面来实施,在设备方面,本着“安全分区,网络专用。横向隔离,纵向加密”的思想,公司先后部署了二次安全隔离装置、纵向加密装置、防病毒服务器、IDS认证装置等安全防护设备。在保障数据安全的过程中发挥了重要的作用,其中二次安全隔离装置、数据纵向加密装置具有典型的信息系统防护的特点。
数据纵向加密装置部署在厂站和主站的交换机和路由器之间,其中主站(局端)部署两台主备加密装置,厂站(变电站或县公司)与主站端通讯时,两端加密装置通过加密证书互相确认,发送方的加密装置将数据包加密成一段随机编码传输到路由器,经过光缆传输到对端的加密装置,经过对端的加密装置将数据包解密,形成原始的报文。这样即使通讯报文被中途窃听,窃听方得到的只是一串乱码,起到数据加密传输的作用。
加密装置部署示意图
作为另一个体现二次安全防护重要特点的二次安全隔离装置,它的目的是将生产控制大区的1、2区和3区实现软件隔离,防止不同区域之间的业务互相影响,而对于某些需要跨区通讯的特殊业务,隔离装置通过虚拟地址映射,使双方机器的网卡“认为对方在同一网段”而实现互相通讯。对于未映射虚拟地址的机器,则如同物理隔离一样,无法通信。
隔离装置部署示意图
做好安全防护工作,不能仅依赖于系统设备,只有做到系统设备和人为管理双管齐下,才有可能从根本上保障信息和控制系统的安全:
1.对全网实施监管,所有与电力调度数据网连接的节点都必须在有效的管理范围内,保障安全的系统性和全局性。
2.加强人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。
3.加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络及系统安全作为经常性的工作。
1.1网络升级改造引入安全新威胁
随着电信网络的全面IP化,原来互联网中才会存在的安全威胁被引入到电信网络中,如木马程序、僵尸程序、拒绝服务攻击等。在IP技术和传统电信网相融合的过程中,又出现了具有电信网特点的新安全威胁,例如利用IP技术针对电信网业务层面的攻击。
1.2移动终端的智能化存安全隐患
智能终端的接入方式多种多样、接入速度越来越宽带化,使得智能终端与通信网络的联系更加紧密。智能终端的安全性已严重威胁着电信网络和业务的安全,随着运营商全业务运营的不断深入,以前分散的业务支撑系统逐步融合集成,但核心网和业务网之间的连接通常采用直连的方式,安全防护措施相对薄弱。在智能终端处理能力不断提升的今天,如果终端经由核心网发起针对业务系统的攻击,将会带来巨大的安全威胁。另一方面,智能终端平台自身也面临着严峻的安全考验,其硬件架构缺乏完整性验证机制,导致模块容易被攻击篡改,并且模块之间的接口缺乏对机密性、完整性的保护,在此之上传递的信息容易被篡改和窃听。凭借智能终端高效的计算能力和不断扩展的网络带宽,终端本身的安全漏洞很可能转化为对运营商网络的安全威胁。
1.3安全防护体系建设相对滞后
随着云计算云服务、移动支付的引入和发展,给运营商现有的基础网络架构及其安全带来了不可预知的风险。新兴的电信增值业务规模不断扩大,用户数量不断增加,因此更易受到网络的攻击、黑客的入侵。新技术新业务在带来营收增长的同时,也带来了越来越多的安全威胁因素和越来越复杂的网络安全问题,使得运营商对新业务安全管控的难度越来越大。面对新技术新业务带来的风险,行业安全标准的制定相对滞后,现阶还不能够对威胁安全的因素做出一个全面客观的评估,因此也就谈不上制定相应的风险防范应对措施,并且业界对新领域的安全防护经验不够丰富,当出现重大威胁网络安全事件的时候,对故障的响应处理能力还有待商榷。
2电信运营商网络安全防护措施
2.1加强网络安全的维护工作
面对网络信息安全存在的挑战,基础安全维护工作是根本,运营商需要做好安全保障和防护工作,并在实践中不断加强和完善。对网络中各类系统、服务器、网络设备进行加固,定期开展安全防护检查,实现现有网络安全等级的提升。安全维护人员在日常工作中也必须按照规定严格控制网络维护设备的访问控制权限,加强网络设备账号口令及密码的管理,提高网络安全防护能力。
2.2加强新兴领域的安全建设
云计算、移动互联网等新技术新业务的发展,带来了复杂的网络信息安全问题,为了加强对新兴领域的安全管理,运营商需要从新领域安全策略的制定和安全手段的创新两方面着手。
2.2.1加强安全策略的制定
应对新技术新业务的挑战,对全网安全需要重新规划和管理,建立与之匹配的安全标准、安全策略作为行动指导,并形成对服务提供商的监控监管。在新业务规划时,安全规划要保持同步,从业务设计开始就应将安全因素植入,尽量早发现漏洞、弥补漏洞。
2.2.2加强安全手段的创新
新技术的发展让传统网络的安全系统和防御机制难以满足日益复杂的安全防护需求,需要有新的安全防御手段与之抗衡。因此集监控分析、快速处置为一体的云安全等新的技术手段就值得我们去不断研究,并进行商用部署。
2.3加强安全防护管理体系的建设
做好管理体系的建设,首先需要制定配套的规章制度。网络信息的安全,必须以行之有效的安全规章制度作保证。需明确安全管理的范围,确定安全管理的等级,把各项安全维护工作流程化、标准化,让安全管理人员和安全维护人员明确自身的职责,从而有效地实施安全防护措施和网络应急响应预案,提高运营商整体的安全防护能力。其次需要建立纵向上贯穿全国的安全支撑体系。随着网络的聚合程度越来越高,省份之间的耦合程度越来越密,全国就是一张密不可分的网。因此需建立全国一体化的、统一调度管理的安全管理支撑体系。当出现攻击时集团、省、市三级安全支撑队伍能联动起来,做到应对及时有效。
3结束语
关键词:云资源池;安全;网络堵塞;网络防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)07-1401-02
云计算的兴起,数据中心作为云端的核心,承载了越来越多的业务。和传统网络相比,在需求和规划上有着极大的差异性。这些差异也直接催生了网络的变化,也给数据中心网络安全带来了新挑战。
网络堵塞是目前遇到的最为常见的网络攻击故障,表现为网络链路链接被云主机在某一时间大量发包,占用了几乎所有的网络带宽。当网络负载接近网络容量时,延时急剧增大,当网络负载大于网络容量时,延时为无穷大,导致网络无法使用。云数据中心网络与传统网络的差异性,增加了故障排查的难度。
1 网络堵塞监测
2.3 查看对应物理主机和承载的虚拟机异常流量
发现192.168.254.11服务器上的流量有异常,该物理主机的流量比正常情况下出现了很大变化,说明运行在该物理主机上的虚拟机有流量问题。查看每个虚拟机的流量变化情况。发现有个iTV-100的虚拟机的流量出现了异常:
正常情况下,流量在50M左右,流量突然增加到900M以上,高峰时刻达到了1200M,超过了防火墙的网络出口上限1000M,可以判断,该虚拟机是引起网络堵塞的原因。
3 安全加固
造成网络堵塞大部分是由于DDOS攻击引起的。这种攻击就是要阻止合法用户对正常网络资源的访问,它通过很多“僵尸主机”向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,导致合法用户无法正常访问服务器的网络资源。
3.1 攻击防范配置
攻击防范是一个重要的网络安全特性,它通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施。防火墙都提供了一些防御能力,华为防护墙的防范网络攻击的配置如下。
3.2 虚拟应用流量限制
在云平台下,由于部署了众多的业务平台,为安全起见,每个业务平台都有各自独立使用的Vlan,在调研阶段,就需要对业务平台使用的网络带宽情况进行规划。部署时,进行网络带宽限制。Vmware提供了对一个Vlan进行网络流量限制的方法。在Vlan属性对话框中,开启流量调整策略,设置平均带宽、带宽峰值、突发大小的值。
4 结束语
云资源池的安全性一方面依赖于服务器虚拟化本身的安全性能,另一方面,需要采用传统的安全技术和云资源池下的特性结合起来,在现有的网络设备上进行配置,减少网络遭受攻击的可能性。该文介绍的网络在遭受攻击后的检测,通过分析防火墙、交换机、物理机的网络流量、虚拟机的网络流量几个层面的特性,定位到网络攻击的根源,并提供了几个加固防范的措施。
参考文献:
关键词:网络安全;安全管理;安全技术;防火墙;机房
随着计算机网络的逐步普及,计算机的网络安全已成为计算机网络成长路上的焦点,气象局机房计算机网络所存储、传输、处理的信息的重要性较高,可能会受到网络上各种各样不安全因素的侵扰,造成数据丢失、篡改、恶意增加、计算机系统无法正常工作乃至全面瘫痪的后果,严重破坏机房工作,造成经济损失。因此,我们应该重视机房计算机网络安全问题,通过各种计算机网络安全技术,保护在通信网络中传输交换和存储的信息的完整性、机密性和真实性,及早做好防护措施,尽量减少损失。
一、机房计算机网络安全管理
1、物理安全物理安全是保证计算机信息系统中各种设备安全的前提。物理安全是保护计算机网络设备、设施等。避免遭到地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。
(1)场地安全要求气象信息中心机房是气象局业务运行的心脏,对出入的内、外部人员应严格控制,限制非相关人员进入机房。在中心机房的设计上,要考虑减少无关人员进入机房的机会,在整座办公楼中,中心机房最好不要建在比较潮湿的底层和易受侵入的顶层。
(2)防盗与防火机房应采取比其它部门更严密的防盗措施,除加固门窗外,可安装视频监视系统。防火方面,主要措施有安全隔离、安装火灾报警系统、装备专用灭火器、灭火工具及辅助设备如应急灯等。要严格执行机房环境和设备维护的各项规章制度,加强对火灾隐患部位的检查,制定灭火应急计划并对所属人员进行培训。
(3)电源与接地电源是计算机系统正常工作的重要因素。机房内的计算机系统都应接插在具有保护装置的不间断电源设备上,防止电源中断、电压瞬变、冲击等异常状况,避免因电造成的服务器损坏。
2、网络安全管理网络安全管理体系构建是以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段,完善安全体系赖以生存的大环境。其目标是确保计算机网络的持续正常运行,并在计算机网络系统运行出现异常现象时能及时响应和排除故障。
(1)建立严格制度。制订网络建设方案、机房管理制度、各类人员职责分工、安全保密规定、口令管理制度、网络安全指南、用户上网使用手册、系统操作规程、应急响应方案、安全防护记录一系列的制度用以保证网络的核心部门高安全、高可靠地运作。
从内到外,层层落实,动态管理,适应新的网络需求,如网络拓扑结构、网络应用以及网络安全技术的不断发展,调整网络的安全管理策略。
(2) 加强网络技术的培训。网络安全是一门综合性的技术,网络管理人员必须不断地学习新的网络知识,掌握新的网络产品的功能,了解网络病毒、密码攻击、分组、IP欺骗、拒绝服务、端口攻击等多样化的攻击手段,才能更好地管理好网络。
(3) 加强用户的安全意识。网络安全最大的威胁是网络用户对网络安全知识的缺乏,必须加强用户的安全意识,引导用户自觉安装防病毒软件,打补丁,自动更新操作系统,对不熟悉的软件不要轻易安装。
所以,安全管理贯穿整个安全防范体系,是安全防范体系的核心,代表了安全防范体系中人的因素。
安全管理更主要的是对安全技术和安全策略的管理。用户的安全意识是信息系统是否安全的决定因素,除了在网络中心部署先进的网络结构和功能强大的安全工具外,从制度上、应用上和技术上加强网络安全管理。构建网络安全防护体系,是现代化机房的必然趋势,图1为一个完整的体系架构。
二、相关网络安全技术
1、 防火墙技术网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,究竟应该在哪些地方部署防火墙是一个很重要的问题。
首先,应该安装防火墙的位置是内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果内部网络规模较大,并且设置有虚拟局域网,则应该在防火墙之下设置网关级防毒。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。通常,防火墙的安全性问题对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2、人侵检测系统采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在人侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在外联网络中采用人侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(一)信息科始终以维护HIS系统、LIS系统、体检系统、三智能监管平台系统、病案系统安全稳定运行为重点,及时响应各部门的故障维护,努力减少故障发生率、降低故障等级和故障持续时间,全年累计完成软硬件维护1000余次,有效提高了工作效率。
(二)检查出一次网络安全隐患。我院官网所挂的oa办公系统存在安全漏洞。
针对上传任意文件漏洞,因为产品集成了2009的金格控件,在(officeserverservlet)中没有对filetype参数进行过滤,可以上传任意文件。信息科对服务端和客户端的上传文件进行了限制,只能上传office相关格式的文件。
(三)完成第dip上传接口,配合病案室医保科进行dip数据的上传,完成了发热门诊医疗服务监测数据上传的接口,完善了卫统表病案信息上传的接口。
(四)完成新医保的接口工作,配合收费室,医保科完成新医保系统的转换,配合完成收费项目、药品、耗材、病案诊断、手术诊断的对码工作,完成了两个院区医生护士的赋码工作。
二、存在的主要困难和问题
网路安全保护相对薄弱,服务器端只有一台上网行为管理粗框架的过滤掉一些风险网站,缺乏主动防御的功能,终端各电脑也没有专业的企业级杀毒软件的防护,被动被感染的风险较大。
三、2022年主要工作安排
工作思路:在院领导的带领下以“巩固、完善、创新”为重点,创建良好的医院网络氛围,,加强信息技术工作,建设及完善现在所运行的系统,充分运用现代网络技术服务好患者和临床一线的医护人员。
目标任务:完善网络安全,完善his、lis、体检病案等系统。
工作措施:
(一)在医共体的计划下,待医院his、lis、电子病历系统完成升级改造,医院常规流程趋于稳定后,开展互联网医院的建设。
1、打造医院公众号,做到集医院宣传、预约就诊、分级诊疗、诊间支付于一体的快捷自助平台。进一步方便患者的就诊流程,减少排队等待的时间。
2、积极联系银行、his厂家这两家平台,在医院上线自助机系统,实现自助挂号、缴费、清单查询、检验影像结果查询等功能。
(二)网络安全始终是最重要的,没有网络安全,就没有医院的安全。针对日益严重的网络安全问题,将从以下几个方面做好应对防御。
1、邀请网络安全公司开展一次等级保护测评,找出安全问题漏洞、降低信息安全风险,提高信息系统的安全防护能力。
2、购买一些网络安全产品,加固网络安全防护能力。
当前,用户所面临的网络安全形势越来越复杂,以APT攻击为代表的未知威胁非常容易击穿传统技术手段组成的网络安全防御体系。如果你还在忙于采用“亡羊补牢”的方式漏洞修补,却忽视“疫苗”在关键主机上的作用,就为系统埋下了风险。
六安市烟草专卖局(公司)(以下简称“六安烟草”)全称为安徽省六安市烟草专卖局、安徽省烟草公司六安市公司(简称六安烟草),成立于1985年,是一个集卷烟销售经营与专卖执法管理于一体的政企合一单位。六安市烟草专卖局主要履行对烟草专卖品的生产、销售业务依法实行专卖管理职能,并实行批办烟草专卖许可证制度;六安市烟草公司承担卷烟的调拨、批发以及烟叶种植业务,并对卷烟的供销、人财物实行集中统一管理。市局(公司)现辖寿县、霍邱、舒城、金寨、霍山五个县局(营销部)和皋城、叶集两个直属分局以及机关13个科室(中心)。
近年来,六安市烟草专卖局(公司)认真履行国家烟草专卖制度赋予的烟草专卖专营和维护消费者利益、保证卷烟供给、增加财政收入的神圣职责,坚持依法治烟,加大内部监管和市场监管力度,坚持不懈地开展以打私打假为重点的市场整治。
深知“网络是一把双刃剑”的安徽省六安市烟草专卖局、安徽省烟草公司六安市公司(以下简称:六安烟草),在响应国家信息化领导小组提出的提高国家机关的信息安全指数,面对步步逼近的各类网络威胁,信息中心决定选择国内自主研发的SSR操作系统安全增强系统,为关键主机、核心服务器注入了免疫功能,在达到等级保护三级要求的同时,有效应对已知及未知的漏洞。
提高安全等级 责任重大
六安烟草为提高专卖监管能力,充分发挥烟草专卖统一管理优势,以信息化建设作为切入点,通过高速网络和各大业务系统全面提高了监管效能,不断完善“两烟”市场监管新机制。在信息安全建设方面,为保障全市烟草商业系统的可靠运行,六安烟草在全网统一部署了边界防火墙和防病毒软件,以及入侵防御系统,使全市卷烟商业系统具备了初步的网络安全防范能力。然而,随着互联网生态环境的逐步恶化,病毒及其变种在黑色产业链中的滋生速度更加迅猛,六安烟草希望在已经实现的等级保护要求基础上,提升安全防护水平。
据了解,为规范我国信息安全建设,2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》明确指出了“实行信息安全等级保护”的要求。而依据国家下发的《关于做好烟草行业信息系统安全等级保护定级工作的通知》(国烟办综〔2008〕358号)文件要求,各省烟草专卖局已完成等级保护定级工作。
但在实际的等级保护评估和整改过程中,计算环境安全,尤其是涉及操作系统的计算环境安全问题,让很多用户心生困惑。例如:常见的Windows、Linux、UNIX等商用操作系统,虽然提供了一些安全策略,但是其功能非常有限,并且经常存在各种漏洞。所以,如何通过合理的安全措施保证主机安全,同时防止内、外非法用户的攻击就成为当前信息系统等级化建设中一个至关重要的问题,而这也是六安烟草信息安全能力“上台阶”的关键一步。
寻求更专业的安全
据介绍,六安烟草内部网络使用的关键主机包括各种数据库服务器和应用服务器,一旦漏洞被黑客利用,将会对全市的数据和业务往来造成极大影响:
一方面,其信息系统采用的操作系统均为主流产品系列,如:AIX,Windows Server 2003,其安全漏洞更是广为流传,而且,由于所有的应用系统都运行在特定的操作系统上,一旦操作系统被危险人物控制,应用系统就失去了安全基础。
另一方面,由于部分IT运维人员对复杂的操作系统和其自身的安全机制了解不够,容易出现配置不当的问题,这也会造成安全隐患。而这些安全风险一旦出现,会为不法分子留下可乘之机。如操作系统访问的口令认证机制,特殊目录访问读写权限设定问题等,如果设定不当,都会造成越权访问与操作。
基于以上考虑,六安烟草希望采用更专业的服务器安全系统对重要的关键主机和核心服务器操作系统进行安全加固,通过对文件、目录、进程、注册表和服务进行的强制访问控制,制约和分散原有系统管理员的权限,把普通的操作系统从体系上升级,使烟草的关键主机,核心服务器符合国家信息安全等级保护服务器操作系统安全的三级标准。
而SSR加固产品能够从根本上免疫针对服务器操作系统的恶意攻击,将木马、后门、冲击波、振荡波等蠕虫类病毒和内外网的黑客攻击拒之门外,而这些恰恰符合了六安烟草的具体要求。
“重构”操作系统
据六安烟草信息中心负责人介绍,SSR内核加固技术是基于对主机的内核级安全加固防护,当未经授权的非法用户通过各种手段突破了防火墙等网络安全产品进入了内部主机,甚至窃取了操作系统管理员最高权限后,内核加固技术就将成为最后的一道防线。它通过对操作系统原有系统管理员即administrator/root的无限权力进行分散,使其不再具有对系统自身安全构成威胁的能力,从而达到从根本上保障操作系统安全的目的。也就是说即使非法入侵者拥有了系统管理员最高权限,也无法对经过内核加固技术保护的系统核心或重要内容进行任何破坏和操作。对于六安烟草信息系统物流、财务等敏感数据,SSR把普通的操作系统从体系上升级,能够从根本上免疫针对服务器操作系统的漏洞和人为攻击。使其符合国家信息安全等级保护服务器操作系统安全三级标准。
谈及SSR的运行体验,六安烟草信息化负责人表示:“SSR ROST技术实际上是在驱动层加上安全内核模块,拦截所有的内核访问路径,从而达到等保三级的技术要求,最终实现的安全效果和重构操作系统原代码技术差不多,好处是不会影响我们的业务连续性。不需要重启系统,就能够很好地支持上层的所有应用和下层所有系统和机器设备,以及在操作系统粒度上保证上层应用的安全。”
相关链接
关键词:计算机网络;安全问题;研究
计算机网络具有联接形式的多样性、终端分布的不均匀性、以及网络的开放性等特征。这些特征导致计算机网络一手黑客、病毒、流氓软件和其他一些人为的攻击,所以网络信息安全问题备受人们的关注。只有采取能够有效的解决各种不同的计算机网络安全问题的措施,才能保证计算机网络信息的安全性和保密性。
一、计算机网络安全现状分析
计算机网络的安全问题主要可以总结为如下几类:外部人员蓄意攻击(75%)、黑客入侵(17%)、人为的造成网络瘫痪、操作失误导致非法信息入侵、蓄意的线路干扰等。这些问题的出现,主要是由以下原因造成的:局域网本身的脆缺陷和Internet的脆弱性;网络认证环节薄弱和系统容易被监视;常用网络软件存在缺陷和漏洞;没有制定相应的安全机制;计算机系统恢复等技术还有待提高;相应的安全准则和使用规范还没有确立等。
二、计算机网络攻击原理
(一)拒绝服务攻击:这是一种针对TCP/IP协议漏洞的网络攻击手段,主要原理是利用DoS工具箱目标主机发送数据包,消耗网络宽带以及目标主机的资源,从而导致网络系统负荷过重的停止工作。对于DoS攻击主要的防护措施是防护墙,利用防火墙过滤应答消息,关闭不必要的TCP/IP服务。
(二)缓冲区溢出攻击:通俗的说,缓冲区溢出的原因主要是向悠闲地缓冲区内复制了太多的字符窜导致程序运行失败,出现死机或者系统重启的状况。要防止这种问题的发生,就要从源头解决问题,即在程序设计和调试过程中要反复对缓冲区进行检测。此外,网络管理员要及时发现和修补漏洞。
(三)欺骗类攻击:之类攻击主要会利用TCP/IP协议本身固有的缺陷发动攻击。在计算机网络中,如果有人使用伪装的身份和地址对主机进行攻击时,之际往往会是攻击者有机会进入电脑主机。要想解决这列攻击方法,就要充分了主机的性能和系统状况,之开放部分提供服务的端口。
(四)程序错误的攻击
在计算机网络的主机中存在着许多服务程序的错误。也就是说,并不是所有的网络通信中的问题都能用服务程序和网络协议来解决。有些人利用这个错误故意干扰主机的正常工作,导致主机不能正确的处理这些数据,最后死机。要解决这类问题,最简单的方法就是安装补丁程序。
实际上,网络攻击的方法千变万化,我们虽然可以对这些攻击原理进行分类,但是在具体的操作中又很难将其归到具体的某一类中。因而,要综合分析网络攻击的情况,然后做出相应的具体的判断。
三、计算机网络的安全策略
(一)加强网络安全教育和管理
网络安全问题大部分是有人为造成的,要想解决计算机网络安全问题,最核心的就是要提高相关工作人员的保密观念和责任心,加强工作人员的业务技能以及相关专业知识。此外,要结合计算机、网络等各个方面普遍存在的问题进行安全教育,最大程度的减少人为事故的发生,保护计算机的网络安全。
(二)熟练掌握Windows的操作技术
首先,要进行重命名以及禁止默认账户。Windows操作系统安装好之后,会自动生成Administrator 和Guest两个账户,其中Guest的访问权限是默认的。人这种默认的账户给系统安全增加了不少威胁。其次,要学会有技巧的使用Internet Explorer。即在Internet安全选项卡中进行有针对性的安全设置。另外,要加固电脑的Internet连接。在默认情况下,要建立网络连接,Windows会安装和运行很多的协议及程序。因此,要及时关闭不需要的程序和服务,卸载不不要的程序,从而增强系统的安全。
(三)采用网络加密技术
对计算机进行网络加密的最主要目的是保护网内的数据及相关信息的安全和数据传输的安全。计算机网络加密数据传输主要有如下三种:①链接加密:在网络节点间加密,在节点间传输加密的信息,传送到节点后解密,不同节点间用不同的密码; ②节点加密:与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中; ③首尾加密:对进入网络的数据加密,然后待数据从网络传送出后再进行解密。
(四)限制网络访问权限
限制网络访问权限是为了禁止非法操作的提出的安全保护措施。及可以指定访问计算机的哪些文件和资源。这样既可以防止一些人的不良企图,又可以很好的保护计算机网络。
(五)经常使用杀毒软件查杀病毒
网络病毒正在以惊人的速度借助计算机网络进行传播。这些病毒都具有极大的破坏性、高传染性和隐蔽性。因此,定期及时查杀病毒是计算机网络安全的一个重要内容,并且能有效的防范病毒入侵计算机,保证计算机系统的安全。
四、小结
网络安全设计技术、信息、管理和操作等许多方面,是一个很大的综合性的课题。网络安全既包括系统本身,也包括其中的物理结构和逻辑结构,但是技术只能是一种技术解决一种问题。为了能够很好的保证计算机网络系统的安全,应该混合使用多种安全防护措施,开发更多的安全技术,是计算机网络安全及管理水平不断提高。■
参考文献
[1] 龙冬阳.网络安全技术及应用[ M] . 广州: 华南理工大学出版社,2006.