网络安全实施方案精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全实施方案主题范文,仅供参考,欢迎阅读并收藏。
第1篇:网络安全实施方案范文
关键词:校园网 安全 背景分析 设计策略 特色
中图分类号:TP393 文献标识码:A 文章编号:1674-098X(2013)03(a)-0-02
汉中职业技术学院新校区弱电数字化校园网设计以“统一规划、分步实施、加强应用、资源整合、数据共享” 为指导思想,本着“数字与安全并重,常态与非常态结合的原则,建立起现代化的数字化校园”,严格按照新校区的有关要求和具体场地的使用情况进行设计和施工。具体设计原则体现了先进性、成熟性、开放性、标准化、可扩展性、安全性、可靠性、实用性、可集成性、宜管理性。同时《陕西省教育信息化十年发展规划》(2011―2020年)颁布后,我院认真组织学习,根据全国教育信息化工作电视电话会议精神,结合我院实际情况,深化实施我院信息化试点建设。为保障我院信息化试点建设和整个校园网络的正常运行,以上原则中,系统的安全性是非常重要的内容,提供机制增强整个系统的安全防范能力。主要考虑:网络设备的安全性,包括数据包过滤、防火墙等功能;用户接入的控制;实现完善的统一认证及计费系统;入侵检测和病毒防范;校园网系统对外出口及入口的安全性的考虑。所以合理,科学、全面、可操作性的校园网络安全整体设计显的尤为重要。
1 背景分析
1.1 校园网状况分析
校园网网络信息十分丰富,网络用户的活动也非常活跃,校园网内部网络数据往往用于满足学校正常的行政办公需要、广大师生的教务教学需要、学生们的课余校园文化生活等,这些信息都需要进行完整性、真实性保护和控制,这就需要对进出校园网的访问行为进行必要的控制,避免损失。
校园网络系统中计算机数量多,物理位置不同、操作用户不同、用途不同,由于这些差异,使得校园网网络中计算机中的漏洞问题十分严重。因为使用者的安全意识不强,或者采取措施不及时造成的损失在校园网内时有发生,因此采用科学管理方法和先进的技术,可以进一步提高校园网络信息安全保障水平。
网络上的信息良荞不齐,对正在形成世界观和人生观的学生来说,还不能正确地对待这类内容,这些违反道德标准和有关法律规范的不良信息对他们危害极大,如果信息安全措施不好,有部分学生会进入这些网站,还可能在校园内传播这类不良
信息。
教育信息化、校园网络化作为网络时代的教育方式和教育环境。随着各高校网络规模的膨胀、网络用户数目的快速增长,校园网网络信息安全问题已经成为当前各高校网络建设中不可忽视的首要问题。作为资源共享和信息交流的平台,校园网络的安全显的尤为重要。
1.2 校园网安全需求
1.2.1 高校面临着严峻的网络安全形势。越来越多的报道表明高校校园网己意识的淡薄,而另一方面,高校学生―这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏全面思考的责任感。有关数字显示,目前校园网遭受的恶意攻击,70%来自高校网络内部,如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。
1.2.2 网络安全一定是全方位的安全。首先,网络出口、数据中心、服务器等重点区域要做到安全过滤;其次,不管接入设备,还是骨干设备,设备本身需要具备强大的安全防护,要具备强大的安全防护能力,并且安全策略部署不能影响到网络的性能,不造成网络单点故障;最后,要充分考虑全局统一的安全部署,需要能够从接入控制,到对网络安全事件进行深度探测,到现有安全设备有机的联动,到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施,从而能对网络形成一个由内至外的整体安全架构。
1.3 校园网安全面临的威胁
通过认真分析可以总结出校园网主要面临如下的安全威胁:各种操作系统以及应用系统自身的漏洞带来的安全威胁;Internet网络用户对校园网存在非法访问或恶意入侵的威胁;来自校园网内外的各种病毒的威胁;内部用户下载文件可能将木马、蠕虫等程序带入校园内网;内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击,导致网络及服务不可用等。
2 校园网安全设计策略
对于以上威胁,我们只有不断改进管理方法和采用先进的技术结合起来,才能切实构筑一个安全的校园网。
2.1 校园网安全管理
针对目前高校校园网安全现状,在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自校园网外的攻击已经足够。以下是我院的安全管理策略。
2.1.1 规范出口管理,实施校园网的整体安全架构,必须解决多出口的问题。规范统一的对出口进行管理,使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。
2.1.2 配备完整系统的网络安全设备,在网内和网外接口处配置一定的统一网络安全控制和监管设备,就可杜绝大部分的攻击和破坏,一般包括:防火墙、入侵检测系统、漏洞扫描系统等。另外,通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。
2.1.3 解决用户上网身份问题,建立全校统一的身份认证系统 。校园网络必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体系的基础,否则即便发现了安全问题也大多只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题。
2.1.4 严格规范上网场所的管理,集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性。
2.2 校园网络安全技术
前述各种网络安全威胁,都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁,主要手段就是完善网络病毒监管能力,堵塞网络漏洞,从而达到网络安全。
2.2.1 杀毒产品的部署
在该网络防病毒方案中,要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点,应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段;同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、集中管理、分布查杀等多种功能。
2.2.2 采用VLAN技术
VLAN技术根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。
2.2.3 内容过滤器
内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时,可以限制外来的垃圾邮件。
2.2.4 防火墙
在每一台电脑上都安装装防火墙,成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性:规划设置正确的安全过滤规则;规则审核协议、端口、源地址等IP数据包内容;严格禁止外网对校园内部网不必要的、非法的访问;使用动态规则管理,允许授权运行的程序开放的端口服务;正确设置你在局域网中的IP,防火墙系统才能识别数据包的来向,从而保证你在局域网中正常使用网络服务功能;定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
2.2.5 入侵检测
入侵检测系统是防火墙的合理补充,帮助系统对付网络攻击,提高信息安全基础结构的完整性。入侵检测系统能实时捕获内外网之间传输的数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并记录有关事件。
2.2.6 漏洞扫描
随着软件规模的不断增大.系统中的安全漏洞或“后门”会存在.因此,应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查,并写出详细的安全性分析报告,及时地将发现的安全漏洞打上“补丁”。
2.2.7 数据加密
数据加密是核心的对策,是保障数据安全最基本的技术措施和理论基础。
2.2.8 加强网络安全管理
首先,加强网络安全知识的培训和普及;其次,是健全完善管理制度和相应的考核机制,以提高网络管理的效率。
3 特色创新点
3.1 校企合作
学院通过招标公司面向全国分别于2011年、2012年进行规划设计及施工、监理招标。2012年下半年开始具体实施信息化建设。与此同时,学院本着长期合作、共同发展的原则,与中国移动汉中分公司、中国电信汉中分公司建立长期战略合作伙伴关系,由两家公司承担学院综合布线、一卡通等项目的建设,并长期提供技术支持。
3.2 五位一体化认证体系
多年的摸索和实践使我们认识到,校园网安全运营管理的核心需求及特点可归纳为五个方面。
准入准出一体化:准入和准出一体化采用统一的安全认证平台,用户仅需1套账号密码并能够自由、自主的在内外网访问间实现方便的切换,管理难度小、用户体验高;流控设备与网关一体化,提供精确的流量和带宽同时不影响性能,减少单点故障。保护用户投资,实现增值。
802.1x和Web一体化:在接入交换机实现802.1x准入和Web准入的同时支持,达到部署灵活、保护投资的目的。实现基于用户身份和所在区域的多种认证方式,安全性高、便于管理。可通过统一的认证管理平台进行管理减少投资成本、降低管理难度。802.1X认证方式主要适用于学生群体,控制比较严格,Web方式适用于教职工群体上网方便。
有线和无线一体化:校园网同时具备有线网络和无线网络接入能力,通过不同的认证方式,可以统一认证管理平台进行管理,可以减少成本,部署灵活,降低管理难度。使用一体化的控制器使设备的利用率升高,保护了投资。同时一体化的网管能够提供有线设备和无线设备的统一配置和管理达到减少投资成本的目的。
校内和校外一体化:VPN网关支持基于Web认证方式的SSL VPN,支持USB key等安全机制,部署灵活、便于管理。运维管理人员仅需对1套系统、1份用户身份信息进行操作,降低了运维管理复杂度。而网络用户在校内和校外仅需1套账号密码,保证了高安全性和便捷的用户体验。
IPv4和IPv6一体化:在身份认证、用户管理、安全管理、管理等方面,使校园网同时承载IPv4和IPv6协议,满足接入需求。以达到减少投资成本、降低管理难度的目的,并且优化了用户使用体验、改善了网络安全审计。
面向数字校园的校园网安全运营管理要求对这五个方面进行完整的涵盖,五个方面的分别一体化是过程、五个方面的整合一体化是目标,直至实现校园网的全网统一认证运营管理。
3.3 紧密四平台
网络设备管理平台、网络健康监控管理平台、网站安全防护平台、网络实名制平台相互依赖。
参考文献
[1] 邓小善.网络服务器配置与管理[M].北京:中国铁道出版社,2003.
[2] 刘晓辉.网络硬件设备完全技术[M].北京:中国铁道出版社,2011.
第2篇:网络安全实施方案范文
3月25日,山石科技公司在北京高调亮相,宣布携全新的防火墙及路由器等网络安全设备以及全新的领导班子,全面进军中国的信息安全市场。
这一举措不同寻常的地方在于,目前国内的信息安全市场,尤其是防火墙、路由器领域,已经处于充分的竞争状态,前有思科、Juniper、H3C等老牌的网络设备厂商虎踞龙盘、后有天融信、启明星辰、联想网御等一大批新兴的国内信息安全品牌在虎口夺食,市场竞争异常残酷激烈。熟知这一切的邓锋为什么在这种背景下选择了以这种产品重新切入安全市场?
据任山石科技董事长的邓锋介绍,风投看中的三个主要因素是:人、人、人。现任山石科技公司总裁兼CEO的童建,是邓锋在NetScreen公司一起工作了10多年的同事,在后被Juniper收购的NetScreen公司中,一直担任技术研发总裁的职位,有很强的技术背景。此外,他认为,山石公司目前并不是只推防火墙一种产品,而是同时推路由器等设备,形成一套“安全+网络”的整体方案,以应对目前的安全环境。“现在的市场虽然竞争激烈,但比当初NetScreen公司推防火墙时更有优势,因为我们不必要教育市场什么是防火墙了。”他说。
第3篇:网络安全实施方案范文
【关键词】无线网络,安全防范措施
中图分类号:P624.8文献标识码: A 文章编号:
前言
无线网络作为一种新兴的便捷性网络资源,已经逐渐得到普及,尤其是在办公场所。然而,在逐渐快速化的现代生活,网络的安全性问题已经成为了首要关注的问题,下面我们来讨论有关安全防范措施。
二、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
3.网络通信被窃听
网络通信被窃听是指用户在使用网络过程中产生的通信信息为局域网中的其他计算机所捕获。由于大部分网络通信都是以明文(非加密)的方式在网络上进行传输的,因此通过观察、监听、分析数据流和数据流模式,就能够得到用户的网络通信信息。例如,A计算机用户输入百度的网址就可能为处于同一局域网的B计算机使用监视网络数据包的软件所捕获,并且在捕获软件中能够显示出来,同样可以捕获的还有MSN聊天记录等。
4.无线AP为他人控制
无线AP是指无线网络接入点,例如家庭中常用的无线路由器就是无线AP。无线AP为他人所控制就是无线路由器的管理权限为非授权的人员所获得。当无线网络盗取者盗取无线网络并接入后,就可以连接访问无线AP的管理界面,如果恰好用户使用的无线AP验证密码非常简单,比如使用的是默认密码,那么非授权用户即可登录进入无线AP的管理界面随意进行设置。
无线AP为他人所控制可能造成的后果很严重:一是盗用者在控制无线AP后,可以任意修改用户AP的参数,包括断开客户端连接;二是在无线路由器管理界面中,存放着用户ADSL的上网账号和口令(如图2所示),通过密码查看软件可以很轻松地查看以星号或者点号显示的口令。
三、安全防范措施
1.隐藏计算机
要让自己的计算机隐身,技巧比较多,在这里我们向大家介绍一些常用的技巧。
(一)DOS命令法
对于处在局域网里的计算机,我们可以打开命令提示符窗口,然后在提示符下输入“net config server /hidden:yes”,这样即可实现隐身。
(二)取消共享法
打开本地无线连接的属性窗口,在“常规”标签中把“此连接使用下列项目”下的“Microsoft网络的文件和打印机共享”项选中,然后单击“卸载”按钮,将文件和打印共享服务卸载,同样可以起到隐身的作用。
(三)组策略法
对于Windows 2000/XP用户,还可以通过组策略来解决。运行“gpedit.msc”打开组策略,依次找到“计算机配置Windows设置安全设置本地策略用户权利指派”,在右侧窗口中找到“从网络访问这台计算机”,然后将其中所有的用户都删除即可。
(四)禁Ping法
对于Windows XP SP2用户,我们还可以使用防火墙来解决这个问题。黑客入侵,一般都会使用Ping命令判断主机是否在线。对此我们可以让他Ping不通。进入控制面板打开Windows防火墙,切换到“高级”标签,在“网络连接设置”中选中无线连接并单击“设置”按钮,将打开的窗口再切换到“ICMP”,把相关的传入和传出请求都禁止,这样再Ping时将无法判断主机是否在线。
2.MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
3.隐藏SSID
SSID(Service Set Identifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。
一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
4.隐藏无线路由
很多用户为了方便客户机连接,一般都会启用SSID广播。事实上如果客户端比较固定,那么我们根本不需要,应该将其停止广播,使其处于隐身状态,避免处于信号覆盖范围内的非法计算机接入网络。
不同设备禁用SSID广播的技巧大体相同,只需要登录管理界面,然后找到SSID广播设置将其禁用即可。禁用SSID广播后,客户端需要连接时,只需要手工添加首先网络并输入SSID名称即可。
虽然说,上面的技巧并不能绝对保障无线网络的安全,但是将相应的设备隐藏起来,将可以阻止大部分非法侵入。
5.安全标准策略
WEP标准已经被证明是极为不安全的,特别容易受到安全攻击,WPA虽然也存在被破解的可能,但是其安全程度比WEP高了很多,因此建议采用WPA加密方式。
6. 修改路由器密码策略
为了无线路由器的安全,应当修改路由器所使用的用户名和密码,不要使用默认的用户名和密码。例如很多路由器的默认用户名和密码都是“admin”,几乎成为众所周知的密码,也就毫无安全保障可言。
防火墙
对于企业用户,可以通过建立防火墙来提升无线网络的安全性,防火墙能够有效阻止入侵者通过无线设备进入网络。
8.定期安全检查
登录无线AP管理端,即可查看客户端列表,客户端列表中显示了接入的无线网络的计算机信息,包括计算机名称、MAC地址等。对于客户端数量较少的无线网络,能够排查出是否存在非授权访问的计算机。
9.降低无线AP功率策略
在无线网络中,无线AP(接入点)的发射功率越高,其辐射的距离和范围越大。当设备覆盖范围远远超出其正常使用范围时,用户的无线网络就有可能遭遇盗用。在能够满足用户对无线网速需要的前提下,应当尽量减少无线AP的功率,降低被他人非法访问的可能性。
四、结束语
无线网络的安全性问题在未来信息化时代中将会成为至关重要的问题之一,以上介绍的有关网络安全问题以及解决措施大致包含了所有情况,对于运行过程中出现的突况就需要进行进一步的研究与探讨。
参考文献:
[1]陈亨坦 浅谈无线网络安全防范措施在高校网络中的应用 中国科技信息 2008
第4篇:网络安全实施方案范文
以确保火灾形势稳定为目标,以全面落实消防安全责任制为核心,以推行“网格化”消防管理(以下简称网格化管理)为手段,重心下移、关口前移,整合全镇消防监管力量,拓展消防监管层面,建立科学、规范、高效的消防安全管理机制,形成机构健全、责任明晰、措施落实、管理到位的基层消防工作格局和覆盖全镇、村(居)、村(居)小组的三级火灾防控网络,全面提升基层火灾防控能力,坚决预防和遏制重特大火灾事故的发生。
二、组织机构
成立由主要负责人为组长,综治、安监、派出所、工商所、城管、村主任为成员的网格化消防管理工作领导小组:领导小组下设办公室,挂靠镇经济发展服务中心。
各村委会要成立以村委会主任负总责、其他村委会成员和辖区警务人员参加的消防安全小组,并在村居流动人口管理站加挂网格化管理办公室。镇、村两级明确消防安全专兼职管理人员,负责开展日常消防安全工作。
三、实施要点
(一)网格化管理基本模式。构建三级消防安全管理基本体系:一是构建镇级“大网格”。各成员单位在镇消防安全工作领导小组的领导下,明确并依法履行消防职责,定期召开会议研究和解决消防安全工作中的重要事项和问题。二是构建社区和行政村级“中网格”。以辖区社区或行政村为基本单元,建立镇主要领导分包社区或行政村的消防责任体系,定期开展消防隐患排查和宣传工作。三是构建责任片区“小网格”。在每个社区或行政村中,以辖区主要道路、居民楼、村民组为单元,划分为若干责任片区,形成“小网格”,明确专人负责,定期开展隐患排查和落实督促整改工作。
镇政府加强对网格内的单位各社会消防安全管理,加大对社会单位构筑消防安全“防火墙”工程及“四个能力”建设、建筑消防设施专项治理、“三合一”场所专项治理、消防安全专项工作的检查指导力度,将危险化学品企业、劳动密集型企业、人员密集场所、社会力量开办的学校及幼儿园、私房出租屋作为工作的重点,督促各类主体落实出租房屋、废品收购站点、小型经营场所等消防安全的各种规范,定期、不定期进行检查,并建立专项检查档案,做到底数清、情况明,杜绝失控漏管。
(二)责任分工
1、镇级(大网格)的工作职责与要求:
(1)制定镇年度消防工作计划,定期召开领导小组成员联席会议和不定期召开消防安全工作业务(点评)会,研究消防安全工作,通报检查情况,处理解决消防安全问题,对重大隐患及时上报区政府依法处理。(镇网格办牵头,各成员单位配合)
(2)实行消防安全工作目标管理,把消防工作纳入社会综合治理内容,与村居签订消防目标责任书,并督促落实消防目标责任制,实行半年督办和年终考评,对工作成效明显的给予通报表彰和评先奖励;对工作开展不力导致发生较大以上火灾事故的,严肃追究相关人员责任。(镇网格办负责,各成员单位配合,村居具体落实)
(3)每月组织综治、安监、派出所、工商、消防、城管等部门对各村居(中网格)的消防安全工作情况进行督促指导和对工贸企业、小学、农贸市场、废品收购站(点)等安全检查,针对重点行业和区域实行每周一查,同时督促指导村居和有关单位开展消防工作。(镇网格办牵头,综治办、安监站、派出所、工商所、城管中队等具体落实)
(4)协调市政、水务等部门完善消防设施建设按国家标准要求,在村(居)主要道路上或自来水管网供水干线上设置市政消火栓;同时在各村居进村路口设置大型的辖区水源分布图。(镇网格办牵头,安监站、派出所配合,各村居具体落实)
(5)设置专(兼)用消防工作室,建立健全消防工作档案;并在办公场所悬挂消防工作组织领导结构图、工作制度、辖区消防水源图。(镇网格办负责,安监站、派出所配合)
(6)深入开展以“户户联防、部门联查、片区协调”为主要内容的区域联防工作,采取户包户、店包店、部门包路段等形式,大力实施消防安全互联互动,积极构建“安全共享、风险共担”的工作格局,实现消防行政管理与群众自治、行业自律的有效衔接和良性互动。(镇网格办牵头,综治办、安监站、派出所配合)
(7)镇网格办负责召集相关单位召开每季度联席会议,组织、协调各部门单位消防安全工作的完成,负责办公室日常工作。(镇网格办牵头,各成员单位配合)
2、村居(中网格)的工作职责与要求:
(1)落实消防安全小组工作制度,制定切合实际的消防工作计划,建立健全消防工作档案,与辖区各单位签订消防目标责任书,并督促落实;日常工作开展依托流管站的工作网络,并在办公场所悬挂消防工作组织领导结构图、工作制度、辖区消防水源图。(村居网格办牵头,派出所、流管站配合)
(2)配备专(兼)职消防管理人员,流管站流管员兼责任片区(小网格终端节点)的消防管理员,在对流动人口管理的同时一并对出租户的消防安全进行管理;村居分管消防工作领导兼任村居网格办负责人,综治协管员兼任兼职消防管理员,明确职责分工,与流管站合署办公,一同开展辖区消防安全管理工作。(村居委会负责,村居网格办、流管站具体落实)
(3)完善市政消防设施与消防室建设。要定期组织开展对辖区公共消防设施的检查与维护保养,确保正常运行,对存在问题的要及时书面报告街道网格办,做到工作情况要记录有落实;年底完成村居消防室的选址与建设,消防室要配备灭火器、水带、水枪、消防斧、救生绳、应急照明、消火栓扳手等器材,并明确专人负责管理;结合旧村改造新村建设扩宽村庄道路,尽可能满足消防车通行的要求。(村居委会负责,安监站、消防大队配合)
(4)落实消防检查巡查制度。每月开展片区内出租户的消防安全检查;志愿消防队队员、巡防队员及保安每天结合各自岗位开展消防巡查检查;派出所民警对辖区单位或场所进行监督检查,辖区内小商场、小学校(幼儿园)、小餐饮场所、小旅馆、小网吧、小生产加工企业等“六小场所”均要纳入监管范围,“六小场所”实行标牌化管理,标示场所火灾危险性,明示消防管理人员,提示消防注意事项,警示业主和消费者。单位保安人员要熟悉所在单位的消防设施,认真开展防火巡查和消防宣传,人员密集场所要设立一名专职消防安全人员,单位要有检查记录与宣教记录。(村居网格办牵头,流管站、派出所具体落实)
(5)落实火灾隐患整改制度。对检查后没有及时整改火灾隐患的单位,及时向派出所、消防大队进行移交,由派出所、消防大队对移交的隐患单位进行依法处理。(村居网格办负责,派出所、消防大队具体落实)
(6)落实综治组织消防工作制度,治安巡逻队将消防工作纳入治安巡防内容,认真履行查纠火灾隐患、扑灭初起火灾、宣传教育群众、报告消防动态的职责。(村居委会负责,综治办、派出所配合)
(7)落实专(兼)职消防队管理制度。逐步调整志愿消防队员的年龄结构,对体能相对较差的队员进行更换,定期组织志愿消防队开展执勤训练、业务知识学习,增强队伍的实战灭火能力,每季度开展模拟联合演练,使志愿消防队真正发挥其作用,加强村居宣传教育、火灾隐患排查及巡查工作,遇有突况可配合消防部门开展灭火救援工作,打造一支具有战斗力的灭火队伍。(村居委会负责,综治办、新阳消防中队配合)
(8)落实消防宣传教育和培训制度,确定每月第一周的星期一为消防安全宣传日,各村居、各单位要积极深入居民家中,面对面地开展消防安全宣传教育;实施消防宣传、标牌、橱窗工程,利用每年的安全活动月、“11.9”消防宣传日等活动,针对性地开展防火宣传教育,村居积极协助公安机关开展消防宣传“五进”活动,并在人员主要流动地段设置固定消防宣传栏、宣传警示牌;每个村居至少设立1块村(居)民防火公约牌;要强化对老、弱、病、残人群的教育和监护,每一栋居民楼要明确一名兼职消防宣传员,负责开展消防安全宣传。(各村居委会负责,安监站、消防大队配合,派出所、村居网格办、流管站具体落实)
(9)村居网格办负责消防安全工作的部署,建立健全消防工作档案,订制火灾应急预案,及时收集各小网格终端节点的消防安全信息,分析总结存在的问题与提出处理措施,每月底定期将有关工作情况书面汇报镇网格办。(村居网格办负责,安监站配合,流管站具体落实)
3、片区(小网格)的工作职责与要求:
(1)村居“小网格”的片区消防安全协管员由各村居流管站的流管员兼职,并以所辖片区划为网格终端节点。(村居网格办负责,综治办、派出所配合,流管站具体落实)
(2)做好检查工作计划,按照区里制定的有关《出租房消防安全管理规范》的要求,各小网格兼职消防安全协管员每月要对责任区内的出租房进行一次全面的火灾隐患排查,同时做好宣传教育,协助开展有关消防安全培训活动,检查要有记录,有分析小结,并定期汇总上报给所属村居网格办;遇到重大火灾隐患要及时报告片区责任民警和网格办。(村居网格办负责,派出所配合,兼职消防安全协管员、片区责任民警具体落实)
(3)片区民警做好所辖片区的消防安全管理,加强对片区兼职消防安全协管员的工作指导,协助隐患排查和落实督查整改工作;认真履行消防检查、宣传教育、服务群众等职能,定期督促片区内有关单位和人员做好消防工作。(派出所负责,片区责任民警具体落实)
第5篇:网络安全实施方案范文
关键词:网络安全;网络管理;防护;防火墙
中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2011)14-3302-02
随着企业信息化进程的不断发展,网络已成为提高企业生产效率和企业竞争力的有力手段。目前,石化企业网络各类系统诸如ERP系统、原油管理信息系统 、电子邮件系统 以及OA协同办公系统等都相继上线运行,信息化的发展极大地改变了企业传统的管理模式,实现了企业内的资源共享。与此同时,网络安全问题日益突出,各种针对网络协议和应用程序漏洞的新型攻击层出不穷,病毒威胁无处不在。
因此,了解网络安全,做好防范措施,保证系统安全可靠地运行已成为企业网络系统的基本职能,也是企业本质安全的重要一环。
1 石化企业网络安全现状
石化企业局域网一般包含Web、Mail等服务器和办公区客户机,通过内部网相互连接,经防火墙与外网互联。在内部网络中,各计算机处在同一网段或通过Vlan(虚拟网络)技术把企业不同业务部门相互隔离。
2 企业网络安全概述
企业网络安全隐患的来源有内、外网之分,网络安全系统所要防范的不仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问。企业网络安全隐患主要如下:
1) 操作系统本身存在的安全问题
2) 病毒、木马和恶意软件的入侵
3) 网络黑客的攻击
4) 管理及操作人员安全知识缺乏
5) 备份数据和存储媒体的损坏
针对上述安全隐患,可采取安装专业的网络版病毒防护系统,同时加强内部网络的安全管理;配置好防火墙过滤策略,及时安装系统安全补丁;在内、外网之间安装网络扫描检测、入侵检测系统,配置网络安全隔离系统等。
3 网络安全解决方案
一个网络系统的安全建设通常包含许多方面,主要为物理安全、数据安全、网络安全、系统安全等。
3.1 物理安全
物理安全主要指环境、场地和设备的安全及物理访问控制和应急处置计划等,包括机房环境安全、通信线路安全、设备安全、电源安全。
主要考虑:自然灾害、物理损坏和设备故障;选用合适的传输介质;供电安全可靠及网络防雷等。
3.2 网络安全
石化企业内部网络,主要运行的是内部办公、业务系统等,并与企业系统内部的上、下级机构网络及Internet互连。
3.2.1 VLAN技术
VLAN即虚拟局域网。是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。
借助VLAN技术,可将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境 ,就像使用本地LAN一样方便。一般分为:基于端口的VLAN、基于MAC地址的VLAN、基于第3层的VLAN、基于策略的VLAN。
3.2.2 防火墙技术
1) 防火墙体系结构
① 双重宿主主机体系结构
防火墙的双重宿主主机体系结构是指一台双重宿主主机作为防火墙系统的主体,执行分离外部网络和内部网络的任务。
② 被屏蔽主机体系结构
被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,强迫所有的外部主机与一个堡垒主机相连,而不让其与内部主机相连。
③ 被屏蔽子网体系结构
被屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器,位于堡垒主机的两端,一端连接内网,一端连接外网。为了入侵这种类型的体系结构,入侵者必须穿透两个屏蔽路由器。
2) 企业防火墙应用
① 企业网络体系中的三个区域
边界网络。此网络通过路由器直接面向Internet,通过防火墙将数据转发到网络。
网络。即DMZ,将用户连接到Web服务器或其他服务器,Web服务器通过内部防火墙连接到内部网络。
内部网络。连接各个内部服务器(如企业OA服务器,ERP服务器等)和内部用户。
② 防火墙及其功能
在企业网络中,常常有两个不同的防火墙:防火墙和内部防火墙。虽然任务相似,但侧重点不同,防火墙主要提供对不受信任的外部用户的限制,而内部防火墙主要防止外部用户访问内部网络并且限制内部用户非授权的操作。
在以上3个区域中,虽然内部网络和DMZ都属于企业内部网络的一部分,但他们的安全级别不同,对于要保护的大部分内部网络,一般禁止所有来自Internet用户的访问;而企业DMZ区,限制则没有那么严格。
3.2.3 VPN技术
VPN(Virtual Private Network)虚拟专用网络,一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。位于不同地方的两个或多个企业内部网之间就好像架设了一条专线,但它并不需要真正地去铺设光缆之类的物理线路。
企业用户采用VPN技术来构建其跨越公共网络的内联网系统,与Internet进行隔离,控制内网与Internet的相互访问。VPN设备放置于内部网络与路由器之间,将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问。
3.3 应用系统安全
企业应用系统安全包括两方面。一方面涉及用户进入系统的身份鉴别与控制,对安全相关操作进行审核等。另一方面涉及各种数据库系统、Web、FTP服务、E-MAIL等
病毒防护是企业应用系统安全的重要组成部分,企业在构建网络防病毒系统时,应全方位地布置企业防毒产品。
在网络骨干接入处,安装防毒墙,对主要网络协议(SMTP、FTP、HTTP)进行杀毒处理;在服务器上安装单独的服务器杀毒产品,各用户安装网络版杀毒软件客户端;对邮件系统,可采取安装专用邮件杀毒产品。
4 结束语
该文从网络安全及其建设原则进行了论述,对企业网络安全建设的解决方案进行了探讨和总结。石化企业日新月异,网络安全管理任重道远,网络安全已成为企业安全的重要组成部分、甚而成为企业的本质安全。加强网络安全建设,确保网络安全运行势在必行。
参考文献:
[1] 王达. 路由器配置与管理完全手册――H3C篇[M]. 武汉:华中科技大学出版社,2010.
[2] 王文寿. 网管员必备宝典――网络安全[M]. 北京:清华大学出版社,2007.
第6篇:网络安全实施方案范文
计算机上可以安装不同厂家不同版本的操作系统,而每个操作系统既然是软件,就有其存在的漏洞和风险,每个操作系统都有自己的安全机制和保护措施,如操作系统中可以区分用户口令,设置用户权限,一个同级别的用户不允许访问另一用户产生的数据等。目前有很多病毒都是专门入侵没有安装补丁的操作系统设置的。网络传输安全:网络传输安全指的是信息在网络中传输所面临的安全隐患,可能会被中途截取、篡改、销毁等。物理安全:物理安全指的是计算机硬件被损,如被盗、遭雷击、自然灾害、静电损坏、电磁泄漏等等原因造成的硬件丢失和损坏,导致硬件中存储的软件和数据被丢失和损坏。逻辑安全:逻辑安全指的是通过各种技术达到计算机的安全保护,如加密技术、设置口令技术、日志记录等等。防止黑客攻击一般都是通过保障逻辑安全来实现的。逻辑安全涉及的方式多种多样。不同情况采用不同的方式去保证。
2网络面临的安全威胁
网络中面临的威胁有很多,主要归结为几种威胁,如图2所示。安全意识不强:由于网络中的用户计算机水平不一,很多计算机用户安全意识淡薄,用户口令选择不慎,或将自己的帐号密码随意告诉他人,与别人共享文件,甚至有些用户对病毒识别能力不强,直接点击病毒文件导致自身中毒。配置不当:一般操作系统都是有一定的安全配置的,如果有些安全配置不使用或者配置不当,就比较容易受病毒攻击,比如没有设置用户名密码的计算机,当黑客入侵时就比较轻而易举,而如果设置了用户名密码,黑客入侵就多了一层难度。还有如防火墙本身起到保护电脑的作用,但是如果防火墙配置不当,就很可能不起保护作用。软件漏洞:不管是操作系统还是在操作系统上安装的软件,都是有漏洞的。这些安装了各种存在漏洞的软件和操作系统的计算机一旦联入互联网,就有可能被对应的病毒软件入侵,造成信息泄露或者软件中毒等。病毒:计算机病毒指的是一段代码,该代码一旦执行,可能对计算机造成比较大的破坏,如删除信息,破坏硬盘,破坏软件等等,影响计算机软件和硬件的正常运行。有些计算机病毒还具有传播性和摧毁性等特征,一旦感染,会影响到计算机的使用。黑客:电脑黑客是处于计算机水平比较高的级别。他们利用系统的安全漏洞非法入侵其他人的计算机系统,有些黑客不破坏用户计算机的信息和内容,而是借助用户计算机去运算或者转而攻击其他计算机,使得用户计算机性能下降等等。
3预防网络安全措施分析
网络安全主要保护的就是网络上的资源信息,当机器接上了互联网后,就会带来三种风险:资源风险、数据风险和信誉风险。资源风险指的是机器设备风险;数据风险指的是存储在电脑中的数据信息风险;信誉风险指的是公司、企业的信誉风险。不管是对于个人还是企业,网络安全需要保护信息的秘密性、完整性和有效性。虽然机器中没有什么重要的数据,但是侵入者可以随意的使用你的机器及其资源,如储存一些资料,进行运算,甚至将其作为一个可以攻击其它网络或机器的跳板。需要注意的是,这是黑客的惯用伎俩,狡猾的黑客有不止一个攻击跳板,且分布不一,有很大程度的欺骗性和隐蔽性。网络安全的措施有很多,主要分析几种方式来确保网络安全。
3.1数据加密技术
数据加密技术指的是将原始数据进行加密,然后再将加密数据进行解密查看的过程。加密技术本质是为了隐藏原始信息内容,使得非法获取用户信息的黑客无法知道原始信息内容。加密技术可以很好地保证数据的安全性和完整性,防止机密数据被盗取或者截获。数据加密技术按照作用不同,主要分为四种技术:密匙管理技术、数据传输加密技术、数据存储技术和鉴别数据完整性技术。密匙管理技术主要指的是如何生产密匙,定期更换密匙规则,定期销毁密匙,分配保存等方面。数据传输技术是对传输中的数据流进行加密的技术。数据存储技术指的是在存储环节设置的加密措施,如存取权限控制,密文存储等。鉴别数据完整性技术指的是传输过来的数据是否遭到非法篡改或者破坏的技术。
3.2防火墙技术
防火墙技术作为一种网络安全的工具已发展若干年,随着Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业。防火墙提供行之有效的网络安全机制,是网络安全策略的有机组成部分。它通过控制和监测网络之间的信息交换和访问行为实现对网络安全的有效保障,在内部网与外部网之间实施安全的防范措施。目前,虽然还没有哪一种安全机制可以完全地确保网络的安全,但建立自己的防火墙无疑会给自己的网络带来很大的好处。防火墙发展至今,无论是技术延伸还是成品指标都有了一定的进步。同时防火墙从实现技术来讲,可以分为几种类型形式,我们将其简单划分为包过滤型防火墙(Packet-filteringfirewall)、电路级网关(Circuit-levelgateway)、应用级网关(Application-levelgateway)、状态监测防火墙(StatefulInspectionFirewall)。
3.3漏洞扫描技术
漏洞扫描技术是通过定期扫描网络上的计算机,监测是否有安全威胁的技术。它可以扫描出目前局域网中的计算机是否有安全漏洞,并可以将扫描的数据进行分析以供决策。如可以扫描所有局域网中的TCP/IP服务的端口号,记录主机响应事件,收集特定有用信息,还可以扫描出局域网中的某些计算机已经中毒,不停的往外发送攻击数据等。
3.4访问控制策略
访问控制策略很多情况中运用,如操作系统的用户访问权限控制,如数据库中的用户权限控制等。它是网络安全防范和保护的主要策略之一,处于比较重要的地位。多级访问控制的设定可以增加入侵难度,还可以通过设置最小口令长度、口令失败次数等方式控制非法用户进入计算机。
4结束语
第7篇:网络安全实施方案范文
关键词:计算机;网络安全;防范方式
随着科学技术的进步,“网络时代”已经成为21世纪的新标签。人们的生活、工作、学习、娱乐等方面越来越离不开网络,在享受着网络带来的众多快乐、便捷的同时,也面临着越来越严重和复杂的网络安全问题。因此,如何保护计算机网络安全,已经成为相关部门研究的关键性课题。
1 计算机网络安全概念和防范重要性
1.1 计算机网络安全概念。参照ISO为“计算机安全”的定义:“保护计算机网络系统中的硬件、软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统联系可靠性地正常运行,确保网络服务正常有序。”计算机网络安全不仅包括组网的硬件、软件,也包含共享的资源和服务,所以定义计算机网络安全应考虑涉及计算机网络的全部内容。
1.2 计算机网络防范的重要性。在信息化飞速发展的今天,计算机网络技术已经在各行各业得到广泛应用。企业、家庭、个人可以通过互联网获取到丰富全面的资源,但同时自身保密的信息资源也存在着被盗用或者披露的威胁。比如目前网络支付平台的大规模发展,人们可以更方便、快捷的实现购买目的,但也致使一些非法分子利用某些手段窃取用户账号、密码,给用户和商家带来一定的经济损失。因此,必须采取相应措施,价钱网络安全防范。
2 计算机网络安全中潜在威胁
2.1 操作系统的安全问题。目前,我国用户使用的最普遍操作系统是Window系列,并且多数是非正版软件。非正版操作系统本身存在安全漏洞,特别是有时用户会疑问为什么明明已经安装杀毒软件,但计算机依旧不明不白中毒了。这是因为使用的非正版操作系统不规范、和计算机硬件相冲突、无法及时更新病毒数据库,致使系统安全大幅度降低,黑客就可以轻易利用漏洞侵入计算机,操控用户的计算机。
2.2 资源共享的安全威胁。网络时代的带来,使人们可以简单的实现网络共享,比如同一局域网环境下用户只需右键点击文件包,轻触“共享和安全”5个字即可实现共享;又如在互联网中,用户上传本地文档到网络硬盘或者通过渠道向好友传送文档,均可实现资源数据共享。但用户只看到大量数据信息的共享,却没有注意到病毒也会趁虚而入。用户在共享的时候,没有设置相应的要求,导致黑客、病毒、木马等入侵者进入系统对数据进行破坏、篡改、删除,更为严重可以窃取用户重要个人信息,实施非法犯罪行为。
2.3 网络协议的安全问题。目前使用最为广泛的协议是TCP/IP协议,也是Internet最基本的协议。但是该协议在开发之初并没有对协议内容的安全性进行设定,导致现在存在严重的安全隐患。入侵者可以利用IP地址追踪盗用、源路由攻击等手段侵入计算机删除、盗取用户大量机密数据,特别是一些黑客利用截取连接等攻击手段入侵银行、企业等机构,窃取商业机密。这一问题已经成为当下网络安全中的最重要问题。
2.4 病毒问题。和医学上的“病毒”不同,计算机病毒不是天然存在的,往往是某些人编制的一组指令集或者程序代码。因为计算机网络的快速发展、网络化的普及,计算机病毒通过某种途径潜伏在计算机的存储介质里或者程序软件中,当用户对存储介质或者软件进行操作时激活病毒,其以一定速度和数量繁殖传播,从而感染其他软件,致使整个计算机网络瘫痪崩溃。
3 计算机网络安全问题防范方式
3.1 建立健全安全机制。依据相关法律、管理办法建立健全各种安全机制,特别是对公共场所的计算机网络设置安全制度,加强网络安全教育和培训。
3.2 提高病毒防范意识。计算机安全问题的一大问题就是病毒防范,在当下网络化的时代病毒的频频出现已经成为重要安全隐患。在个人计算机中,用户不仅要重视查杀病毒,还要注意病毒的预防。例如,使用正版系统软件,及时升级更新病毒数据库,保证网络安全;定时、定期地对计算机进行扫描,一旦发现病毒立即消除。在公共场所,比如学校、企业、网吧等需要建立局域网的地方,要使用基于服务器操作平台的杀毒软件和针对各客户端操作系统的防病毒软件。
3.3 打开防火墙。防火墙就是一个计算机和它所连接网络之间的软件,具备很好的网络安全保护作用。入侵者如果想要接触目标计算机,必须要穿越防火墙的安全防线。计算机网络安全不止是单纯的防治病毒,而且还要抵制外来非法入侵。防火墙可以最大限度的阻止网络黑客的“拜访”,防止他们随意更改目标计算机的重要信息。可以说,防火墙就是一种简单、有效、可以广泛应用的网络安全机制,可以防止网络上的不安全因素进入局域网。计算机用户可以根据自身需求,设置防火墙的配置,更加合理有效发挥防火墙的作用。
3.4 设置数据加密功能。对于当前网络化社会,资源的共享避免不了,所以在这种情况下用户有必要对计算机关键文档信息设置加密处理。最常使用的数据加密方法有对称加密、不对称加密和不可逆加密三种。对称加密即单钥密码加密,用户以明文和加密钥匙的方法对信息进行加密处理,目前是使用最早也是水平最高的加密技术。入侵者想要获取相应文件,必须要通过加密钥匙将其转化为明文;不对称加密算法就是用两种不同又能相匹配的公钥和私钥进行加密,如果入侵者想要解读文件信息,就必要要具备两个钥匙;不可逆加密算法不存在密钥保管和分发问题,直接输入明文,就能用加密方法将其转换为密文,再经过相应数据处理,很难被破解。目前这项技术非常适合在分布式网络系统使用,入侵者想要解读数据,就必须输入明文才可通过相应加密步骤。
3.5 提高网络安全管理人员技术水平。对于个人计算机用户就是网络管理人员,在日常使用中,用户要不断提高自我防范意识,加强网络安全操作水平;对于企业、学校、机关单位等设立局域网的场所,必须要常备专业网络管理人员,积极处理计算机网络中遇到的各种突发事件,采取有效措施避免黑客和病毒、木马的侵入,保证整个网络的安全运行。
4 结束语
随着计算机软硬件的发展、互联网技术的广泛应用,计算机网络技术已经深入到人们的生活中,发挥着越来越巨大的作用。然而,在人们对计算机网络日益依赖的同时,某些不法分子利用病毒、木马肆意破坏着用户的计算机,严重影响到人们的正常工作和生活。因此,计算机网络安全已经成为计算机用户日益关心的话题,人们要提升个人防护意识,注意日常操作习惯,将网络安全问题防范看作一件长期工作,不断积累经验,确保计算机网络的安全性。
参考文献
[1]巴大伟.计算机网络安全问题及其防范措施[J].信息通信,2013(10).
[2]王威,刘百华,孟凡清.计算机网络安全问题与防范方式[J].电子科技,2012(4).
[3]徐向阳.常见网络攻击方法与安全策略研究[J].赤峰学院学报:自然科学版,2008,24(5).
第8篇:网络安全实施方案范文
[关键词]网络安全系统入侵防范措施
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1110083-01
一、引言
在Internet/Intranet的使用中,Internet/Intranet安全面临着重大挑战。事实上,资源共享和信息安全历来是一对矛盾。近年来随着计算机网络的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元。而全球每20秒钟就发生一起Internet计算机入侵事件。
二、网络安全的概念
计算机网络的安全性可定义为:保障网络信息的保密性、完整性和网络服务的可用性及可审查性。即要求网络保证其信息系统资源的完整性、准确性及有限的传播范围。并要求网络能向所有的用户有选择地随时提供各自应得到的网络服务。
三、网络攻击的一般过程及常用手段
(一)网络攻击的一般过程
1.收集被攻击方的有关信息,分析被攻击方可能存在的漏洞。黑客首先要确定攻击的目标。在获取目标机及其所在的网络类型后,还需进一步获取有关信息,如目标机的IP地址、操作系统类型和版本、系统管理人员的邮件地址等,根据这些信息进行分析,可得到有关被攻击方系统中可能存在的漏洞。
通过对上述信息的分析,就可以得到对方计算机网络可能存在的漏洞。
2.建立模拟环境,进行模拟攻击,测试对方可能的反应。根据第一步所获得的信息,建立模拟环境,然后对模拟目标机进行一系列的攻击。通过检查被攻击方的日志,可以了解攻击过程中留下的“痕迹”。这样攻击者就知道需要删除哪些文件来毁灭其入侵证据。
3.利用适当的工具进行扫描。收集或编写适当的工具,并在对操作系统分析的基础上,对工具进行评估,判断有哪些漏洞和区域没有覆盖到。然后在尽可能短的时间内对目标进行扫描。完成扫描后,可对所获数据进行分析,发现安全漏洞,如FTP漏洞、NFS输出到未授权程序中、不受限制的X服务器访问、不受限制的调制解调器、Sendmail的漏洞、NIS口令文件访问等。
4.实施攻击。根据已知的漏洞,实施攻击。黑客们或修改网页,或破坏系统程序或放病毒使系统陷入瘫痪,或窃取政治、军事、商业秘密;或进行电子邮件骚扰或转移资金账户,窃取金钱等等。
(二)常见的网络攻击手段
1.炸弹攻击。炸弹攻击的基本原理是利用工具软件,集中在一段时间内,向目标机发送大量垃圾信息,或是发送超出系统接收范围的信息,使对方出现负载过重、网络堵塞等状况,从而造成目标的系统崩溃及拒绝服务。常见的炸弹攻击有邮件炸弹、聊天室炸弹等。
2.利用木马和后门程序。木马攻击通常是黑客事先设计让受害者运行特洛伊木马工具里的一个程序(运行时不易被察觉),然后黑客就可以利用工具里的另一个本地程序来遥控受害者的机器。后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是,如果这些后门被其他人知道,或是在软件之前没有删除后门程序,那么它就成了安全风险,容易被黑客当成漏洞进行攻击。
3.拒绝服务攻击。拒绝服务攻击是指一个用户占据了大量的共享资源,使系统没有剩余的资源给其他用户可用的一种攻击方式。拒绝服务的攻击降低了资源的可用性,这些资源可以是处理器、磁盘空间、CPU使用的时间、打印机、网卡,甚至是系统的时间,攻击的结果是减少或失去服务。
有两种类型的拒绝服务攻击:
第一种攻击是试图去破坏或者毁坏资源,使得无人可以使用这个资源。有许多种方式可以破坏或毁坏信息,如:删除文件、格式化磁盘或切断电源,这些行为都可以实现拒绝服务攻击。几乎所有的攻击都可以通过限制访问关键账户和文件并且保护它们不受那些未授权用户访问的方式来防止。
第二种类型是过载一些系统服务或者消耗一些资源,这些行为也许是攻击者故意的行为,也许是一个用户无意中的错误所致。通过这些方式,阻止其他用户使用这些服务。例如:填满一个磁盘分区、让用户和系统程序无法再生成新的文件。
4.电子欺骗。电子欺骗指通过伪造源于一个可信任地址的数据包以使一台主机认证另一台主机的复杂技术。这里“信任”指那些获准相互连接的机器之间的一种关系,认证是这些机器用于彼此识别的过程。电子欺骗包括IP Spoofing,Arp Spoofing,DNS Spoofing等技术。
四、网络安全防护的措施和手段
(一)提高思想认识,强化内部的安全管理
“三分技术、七分管理”这句话是对网络安全客观生动的描述。任何网络仅仅通过技术手段是无法确保安全的,必须在提高技术防范的同时,加强单位内部的安全管理,在国家相应法规的基础上,制订适合本单位的安全规章制度,并且严格落实到位。
(二)应对黑客攻击的主要防范策略
1.设置访问权限。很多计算机系统采用不同权限设置来限制不同用户的访问权限.不同用户采用不同口令来控制对系统资源的访问。这是防止黑客入侵最容易和最有效的方法之一。
2.采用防火墙技术。防火墙由软件和硬件设备组合而成。在被保护的单位内部网与Intemet之间,竖起一道安全屏障.防火墙通过监测、限制、修改跨越防火墙的数据流。尽可能地对外屏蔽网络内部的结构、信息和运行情况,以此来实现内部网络的安全保护。防火墙由过滤器和安全策略组成.是一种非常有效的网络安全技术。
3.部署入侵检测系统。部署入侵检测系统可以检测到某些穿透防火墙的攻击行为,通过和防火墙之间实现互动.在防火墙上动态生成相应的规则,从而阻断攻击;防火墙动态生成的规则可以自动清除,保证了防火墙的性能不会因为规则一直增加而下降。
(三)操作系统安全策略
第9篇:网络安全实施方案范文
关键词:无线网络;网络信息;安全防护措施
中图分类号: G250 文献标识码: A
引言
随着我国经济和科学技术的快速发展,无线网络已经成为了人们日常生活中不可缺少的一部分。就连飞机上也渐渐开始提供无线Wifi接入服务,2014年7
月份时中国东方航空公司在部分京沪航线上率先试点开通Wifi服务,足以证明无线网络对人们生活的重要性。在日常生活中人们已经体会到了通信网络所带来的便捷性以及实用性,但是无线的网络安全问题也变成了一直困扰人们的很大的一个问题。
1、无线网络概述
无线网络是近年来发展的网络技术,其主要技术核心分为Wifi、2G、3G、4G无线网络。这些无线网络中,Wifi实际上是一种区域性网络,其存在一定的局限性。例如,路由器或者无线接入点的接收端与发射端,网络信号被发射到有限的空间中,在这个有限空间内,网络用户可以通过带有无线网卡的计算机或者智能终端进行网络搜索并连接到无线网络中去。
2、无线网络常见安全隐患
2.1、非法攻击者窃听
目前,非法攻击者窃听无线网络数据成为了常见的安全隐患。非法窃听与复制手机卡窃听用户隐私数据的方式基本相同。由于无线网络环境具有独特的开放性和广泛性,非法窃听正是利用了这一原理,即使对无线网络采取一定的加密措施,非法攻击者也可以利用解密软件轻松破译密码。因此,无线网络这种开放式数据传输的重要特征,更容易受到非法攻击和恶意破坏。
2.2、非法接入并攻击
无线网络在无线终端接入前若无任何安全接入手段或者措施,如未设置密码等。那么,无线终端都能接入到这个区域的无线Wifi中。随着现代信息技术的日益普及,网络黑客的攻击目标主要是政府部门、情报部门、中央企业和网上银行等,这些机构中的重要数据信息与黑客个人经济利益密切相关。网络黑客能够穿过普通防病毒软件和防火墙系统的拦截,同时,网络黑客以计算机终端作为窃取数据信息的载体,并将其作为入侵和攻击目标,通过编写应用程序实现非法入侵,改变了直接入侵带来的容易被发现的问题。总之,无线网络的接入要求或者接入方式越简单,给网络本身带来的风险将越高。
2.3、计算机病毒
计算机病毒不仅仅能通过有线网络传播,而无线网络是传输介质由双绞线、光纤等变成了无线信号,同样也可以传播计算机病毒。无线网络终端也会面临计算机病毒的威胁。这些威胁包括:网络蠕虫病毒,它的传播能力强、破坏力大,网络木马病毒可以实时控制感染的计算机终端,并采取远程控制窃取重要的数据信息。目前,虽然大多数杀毒软件都能起到一定的杀毒功能,但随着计算机病毒的不断变异和进化,很容易绕过杀毒软件的防护层,实现对目标终端的病毒感染。同时,由于网络交易应用日益普及,针对网上交易买卖的计算机病毒呈现出规模化发展趋势。利用网络病毒、木马植入和垃圾邮件传播实现的网络攻击事件越来越多,计算机病毒的入侵可以为非法者盗取用户个人账户和密码信息,以便从中获取经济利益。
3、常见无线网络安全措施分析
3.1、对网络漏洞的扫描和修补进行强化
在通信网络信息化程度不断加大的今天,网络的信息安全事件的发生率也在逐渐的提高。所以加强对于网络漏洞的扫描和修补对于防止恶意攻击者的攻击有很好的效果。对网络进行安全性扫描只是一种提高通信网络信息安全的一种重要的措施。并且还可以针对扫描出来的漏洞下载合适的补丁对网络进行及时的修复,进而保证了通信网络的信息安全。
3.2、对重要的信息进行再加密的处理
信息的加密处理本身就是一种增强信息安全的手段,能够有效的防止用户个人信息的泄露。所以企业在对网络进行扫描和修补的同时也对重要的信息进行再加密就可以很好的确保重要信息的安全性。
3.3、建立针对网络信息安全的应急措施
针对网络信息安全建立合理及时的应急措施也是十分有必要的。这些将确保在遇到网络信息安全问题的时候能及时有效的解决。现在针对通信网络的信息安全问题要做到:预防第一。既要加强事前的预防,同时对于发生之后也要有相应的应对措施,这样才能保证网络信息的安全性。
3.4、无线终端联网可追溯性措施
无线终端联网及上网行为的可追溯性,也十分重要。无线终端接入和断开无线Wifi非常便捷,一旦无线终端的上网行为不受审计或者约束,无论对网络管理员还是整个互联网都将是极大的威胁。因此,无论是网络运营商、服务行业或者企事业单位,都将采用账号、手机号码或者具有相应审计功能的设备来解决这类问题。通过账号和手机号码的唯一性能准确的定位,而具有相应功能的设备如上网行为管理设备,则能记录账号、终端MAC地址、终端类型等详细信息,甚至能记录浏览过的网页,功能相当齐全。
4、无线网络安全措施应用
(1)目前,无线网络采用的加密方式主要是WAP加密,因此对于密码的设置一定要相当严谨,很多用户和企业设置密码时过分简单,如12345678,有些单位为了便捷甚至不设置密码,这显然起不到安全防护的作用。而目前SSID隐藏似乎并不起到真正的安全防护作用,因为只要使用专用的软件就能够轻易地扫描到附近存在的SSID账号。因此在对这个安全措施的使用上,既要充分考虑到用户使用的便捷性,即将SSID字符设置为更容易理解的字符,这样方便用户的接入,而WAP密码则需要设置得相对复杂些,这样能够阻挡住一部分没有经过授权的入侵者。
(2)在对无线安全防范措施的选择上,可以采用Portal+802.1x这2种认证的方式来提升无线网络安全的防范能力,通过强制Portal认证方法不需要用户额外安装客户端软件,用户只需要通过WEB浏览器就能够浏览互联网,这种方式显然更加方便快捷,但相对来说安全属性要差一点,因为数据在无线网络中传输是不被加密的。而802.1x则相对Portal和WAP更加安全,因为802.1x是加密的。另外,如果企业对于安全等级防护要求比较高的,那么可以通过加装专业的无线网络入侵检测的硬件设备来实现主动式防御,这种硬件设备融入了智能入侵检测功能,从很大的程度上实现了主动的防御,有效地提升无线网络的安全属性。
(3)在MAC地址过滤方面的使用,通常采用的方式有2种,1种是指定的MAC地址不能够访问无线网络;另1种是指定的MAC地址能够访问网络,未经许可的MAC地址不能够访问。目前较为主流的安全控制是选择指定的MAC地址能够访问网络,未注册的MAC地址就不能够访问。但是这里也造成一个问题,那就是当企业有外来用户需要连入无线网络,此时就存在着必须要专业IT人员进行设置,否则连接不上的问题。这样虽然降低了无线网络使用的便捷性,但是从安全角度来说,还是相当有必要的。
结束语
无线网络因为采用了开放式的媒介传输方式,其安全属性本身就较弱,对于一些专业的入侵专家来说,现有的各种安全防范措施是很容易被攻破的,甚至仅仅需要几分钟的时间就能够入侵到无线网络。但是这并不意味着无线网络安全防范措施不重要,必须要加强安全措施,再加上专业的安全管理是能够有效提升无线网络安全能力的。随着技术的不断发展,具有便捷性和安全性的无线网络将成为承载信息传递的主要媒介平台,为整个社会乃至全球提供优质可靠的数据、语音传输服务。
参考文献
[1]来羽,张华杰.基于无线网络的网络信息安全防护措施探究[J].煤炭技术,2013,10:234-235.
