前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全演练计划主题范文,仅供参考,欢迎阅读并收藏。
关键词:网络安全
中图分类号:R197.324 文献标识码:A 文章编号:1007-9416(2012)11-0197-01
随着医院信息系统的建设普及,我国大多数的医院都建设了自己的网络系统,这大大提升了医院的计算机管理水平。医院的信息系统如果出现问题或者瘫痪,不仅会对医院的日常工作造成的严重影响,而且会对医院形象,甚至医院的服务质量造成巨大损失。因此,保证医院信息系统的安全与稳定这项工作就显得尤为重要,这是每家医院都应该认真考虑和重视的问题。本文着重从加强医院网络安全方面入手,结合本院计算机网络安全管理经验,与大家共同探讨。
1、医院计算机网络安全存在的问题
随着医院计算机网络的全面应用,医院计算机网络安全方面存在的问题日益突出,网络安全威胁既有来自意外事故、自然灾害方面的因素,又有来自计算机病毒、黑客攻击等人为的攻击威胁。
1.1 计算机病毒、恶意程序的威胁日益严重
软件漏洞:任何一个操作系统或者计算机软件都不是无缺陷和没有漏洞的。
病毒:威胁数据安全的最大敌人就是病毒,编制病毒者在程序中插入影响计算机软硬件正常运行、破坏计算机功能或者数据的计算机指令或程序代码,它能够自我复制。所以它具有传染性、隐蔽性、寄生性、破坏性等特点。安全配置不当:易造成安全漏洞。如防火墙配置不当,起不到任何作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。电脑黑客:利用系统中的漏洞非法进入他人系统。从某种意义上讲,黑客对信息安全的危害比一般的电脑病毒显得更为严重。
1.2 没有明确的信息安全策略和健全的安全制度
一些医院没有对医院计算机网络安全防护提出严格的要求,没有科学制定计算机网络安全管理制度。很多医院只对网络安全产品的采购比较重视,而没有系统的制定医院计算机网络安全的中长期规划。对于医院计算机网络出现的一些新的网络安全方面的问题,没有及时进行防护策略调整。
1.3 信息安全意识性不高
从很多安全案例可以看出,有些医院制定了网络安全管理制度但是却很难实施。医院内部员工的计算机网络安全意识缺乏和信息安全知识缺乏是网络安全的一大隐患。
2、针对存在的问题可采取的措施
2.1 安全管理制度建设
(1)医院内部的日常安全管理。要建立安全管理制度,完善现有的安全管理机制,要加强责任意识,对上外网科室加强绿色上网宣传教育和网络畅通与安全保密意识。制定网络安全应急预案,并对医务人员进行安全培训,从而提高他们的安全防范意识和技能。(2)医院内部的机构建设方面。要加强安全机构的建设,设立专门的领导小组,明确各人的工作职责,切实落实到每个人身上,要定期进行故障演练和安全排查。(3)安全预案的制定和应急故障演练。医院设立的安全小组可人为制造出一些“计算机系统故障点”,由网络工程师对故障进行分析,并提出相应的对策。最后,要依据医院行业的信息特点和患者的容忍时间来对每次的故障演练作出评分总结,这样可以提高医院网络安全工作人员的应急处理能力。
2.2 安全漏洞的扫描
漏洞扫描是自动检测远端或本地主机安全的技术,它查询 TCP/IP各种服务的端口,并记录目标主机的响应,收集关于某些特定项目的有用信息。这项技术的具体实现就是安全扫描程序。扫描程序可以在很短的时间内查出现存的安全脆弱点。
2.3 通过访问控制、身份验证策略
访问控制是拒绝非授权用户访问网络资源,同时又要保证授权用户可以安全地访问网络资源。访问控制是医院内部网络安全的重要决策,主要包括风险分析、控制类型、权限控制、数据标识、人员限制。身份验证是访问者向计算机网络发送请求,计算机网络对访问者身份进行确认,也就是向计算机网络表面身份的一种方法。一般有生物学特征点的身份验证、公开密钥的身份验证、共享密钥的身份验证。无论是访问控制还是身份验证都是为了防止非法人员入侵,保证合法用户能够正常访问网络资源,也是保证和维护医院计算机网络安全的重要措施。
2.4 加强防火墙技术管理
防火墙技术是在网络安全中是应用较普遍的,作用也是比较明显的。它是一种对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
防火墙是实现网络安全最有效、最经济、最基本的安全措施之一,可以不对原有医院计算机网络应用系统进行修改的情况下,符合安全要求。
2.5 对数据的备份
应在对数据进行备份之前,应该对每次备份的条件和环境进行系统考虑,制定出数据备份计划,这就需要从多个方面入手:(1)数据备份的频率要有计划性;(2)将数据存储的地址,也要做记录;(3)执行数据备份的人员,也要有所记录,还有出现意外,谁来负责等;(4)服务器多久备份一次也要明确。综上所述,只针对联网的计算机做安全防护是远远不够的,种种举措都要落实到位。我院信息安全工作人员为了防止病毒会定期对杀毒软件进行升级更新。关键的是,要健全医院的网络安全管理制度,对医院员工进行网络安全知识的培训。网络环境中,加强医院计算机信息系统需要在科学的指导原则和指导思想指导下,优化网络系统建设结构,创新网络技术,强化安全管理,从而保障信息系统的可靠性和安全性。
参考文献
[1]李军义.计算机网络技术与应用[M].北方交通大学出版社,2006.7.
[2]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2005.
[3]李刚荣,方明金.数字化医院建设的思路与实践[M].北京:人民卫生出版社,2000.
随着信息技术的不断发展,商业银行的业务过程基本实现了电子化、网络化,主要业务系统都已实现了集中,商业银行内部网络畅通已成为支撑各类业务系统正常、稳定运行的关键,一旦网络出现瘫痪将直接导致业务中断。银行IT风险已成为内审部门关注的重点,网络可用性审计已纳入商业银行内部审计领域,本文作者从IT系统可用性含义、影响网络可用性因素、审计关注重点等方面进行探讨。
一、计算机系统可用性含义
计算机系统可用性是系统可用时间的描述,一般用系统正常运行时间占全部时间(含失效时间)的百分比来衡量。与系统可用性近似的概念是系统可靠性,一般用平均无故障运行时间衡量。二者概念容易使人产生混淆,实际上二者有本质的区别。如甲系统每年因故障中断十次,每次恢复平均要30分钟,该系统可用性为(365×24×60-10×30)/(365×24×60)=99.94%,可靠性为(365×24×60-10×30)/10=52530分钟;乙系统每年因故障中断2次,每次需6小时恢复,该系统可用性为(365×24×60-2×6×60)/(365×24×60)=99.86%,可靠性为(365×24×
60-2×6×60)/2=262440分钟。则甲系统可用性比乙系统高,但可靠性比乙系统差。
可见可靠性高的系统其可用性不一定高,提高可靠性需要强调减少系统中断(故障)的次数;提高可用性,除了需要提高可靠性外,还需要考虑系统备份及故障恢复计划等,以减少从灾难中恢复的时间。
二、影响网络可用性的因素
影响网络可用性的因素很多,从网络设备自身的可靠性、设备运行环境、网络结构等内部因素到外部入侵、故障恢复计划等外部因素,均对网络可用性产生影响。具体包括:一是网络设备自身的可靠性,包括设备自身设计、设备制造工艺、设备自身冗余功能、设备使用时间长短等都会影响设备自身的可靠性,如随着网络设备使用年限的增加发生故障的概率也在增加,设备的可靠性就降低。二是网络结构,网络中重要设备和线路要有一定冗余,一旦某一线路或设备出现故障,网络会自动切换到备份线路或设备上,此外网络结构的设计也要考虑网络的可管理性,方便网络的监控管理及故障排查等。三是非授权访问,外部入侵、黑客的网络攻击以及网络管理人员的错误操作等都可能造成网络设备的配置文件被非法修改、发生网络瘫痪等事故;四是故障恢复计划,科学、合理、切实可行的故障恢复计划可以在网络出现故障时减少网络恢复时间,提高网络可用性。此外网络设备的运行环境,包括温度、湿度、尘埃、电源质量等都会影响网络的可靠性,如果设备运行环境不能满足设备的需要,势必增加设备发生故障的几率,降低网络的可靠性。
三、网络可用性审计的关注重点
(一)网络设备的可靠性方面
无论多大的网络,网络设备是整个网络的基石和瓦砾,网络设备的可靠性决定整个网络系统的可靠性,进而影响整个网络的可用性。要提高网络的可用性首要提高网络设备的可靠性。审计需要重点关注:一是网络设备是否选择信誉好、品牌大的厂家设备,此类厂家的网络设备结构设计先进、产品制造工艺精细,设备的故障率低、可靠性高。二是关键网络设备自身配置是否满足冗余需要,针对目前高端的交换机、路由器、防火墙等一般都是模块化设计,在设备选配时应配置双引擎、双电源等模块,减少设备发生故障的概率。三是网络设备是否定期实施巡检,通过巡检能提前发现网络设备存在的风险隐患,及时更换使用时间长、故障率高的网络设备。
(二)网络结构的设计方面
网络的冗余设计可以有效增加网络的可用性,包括网络线路冗余和关键网络设备的冗余,当网络主线路或设备发生故障时系统能在秒级内自动切换到备用线路或设备上,保证网络能连续提供服务。
1.网络线路是否存在冗余,包括线路冗余备份、容量的冗余。机房局域网的生产线路冗余度应达到100%,如应用服务器至少应安装2块网卡,并且分别接不同的交换机,交换机也采用2条网线分别连接到上层交换机上;广域网均应采用双线路设计,且是租用不同运营商(若当地只有一家运营商,应采用不同的通讯介质)实现线路的一主一备。主备线路间可利用线路负载均衡器,均衡主备线路流量,一旦一条线路出现问题可自动由另一条线路代替。带宽冗余设计应根据当前业务对带宽的需求、当地运营商提供线路的特点,以及为业务发展预留一定带宽等因素确定,避免因业务量激增导致线路阻塞。
2.网络设备是否有冗余。网络设备的冗余应根据设备重要性程度不同分别采取不同的冗余方式。针对核心和主要网络设备应采取负载均衡或一主一备方式实现核心网络设备的双机热备,确保网络设备无单点故障,一旦主设备出现故障,网络自动切换到备份设备,确保网络畅通。对于其他网络设备可采取一对一(一台备机对应一台主机)或一对多(一台备机对应多台主机)的方式进行冷备,且定期对备份设备进行维护,保证备份设备一直处于可用状态,一旦在用设备出现故障,利用备份设备进行替换,能尽快恢复网络通讯。
(三)网络安全管理方面
网络时常受到非授权访问、病毒入侵及拒绝服务攻击等内外部威胁,为此需要加强网络安全管理,增强网络的强壮性,降低因非法访问、感染病毒等因素导致的网络中断事故。在此方面审计需要重点关注:
1.网络设施的物理访问控制情况。是否利用门禁系统、监控系统或门锁等设施禁止非授权人员物理接触网络设备,是否做好物理访问的授权及记录工作。
2.网络的逻辑访问控制情况。科学合理地布置网络安全设备及有效的安全策略可以有效防范外部入侵、病毒感染和非授权访问。一是是否在银行内部网络与外部网络连接处设立DMZ(非军事化区)区,并利用NAT/PAT(地址转换、端口转换)等技术,隐藏银行内部网络结构和网络地址,防护内部网络。二是是否在网络边界处部署防火墙,实现网络边界间信息出入的精确控制,检测病毒、蠕虫等安全威胁。三是是否部署IDS(入侵检测系统)掌握网络的运行状况和发生的安全事件,并根据安全事件来调整安全策略和防护手段,从而提高整个网络的安全水平。四是是否部署了漏洞扫描系统,及时发现网络设备系统存在的漏洞,并进行自动更新,增强系统的强壮性。五是是否按照营业类、管理类、其他类等类型分 配内部网段,并科学、合理设置VLAN(虚拟局域网),对于跨网段或跨VLAN的网络访问利用ACL(访问控制列表)进行控制。
3.网络设备自身的安全管理情况。网络设备的安全管理包括网络服务安全、用户权限管理和用户行为审计等措施。审计重点关注:一是是否关闭设备上确认有软件Bug(缺陷)的网络服务和可能对自身产生安全威胁的服务。二是是否分级设置用户登录权限,是否启用用户名、密码认证、配置强密码,并定期修改。三是是否只允许经授权的用户在设备上执行权限范围内的操作,且对操作有相应审计。四是是否对接入网络的计算机系统安装防病毒软件、桌面办公安全管理软件等,并做到及时升级。
(四)网络故障恢复计划的管理方面
银行网络时常受到网络线路丢包或中断、网络设备故障、外部攻击、非授权访问及病毒入侵等威胁,而这些因素都有可能导致网络出现故障。网络一旦发生故障,如何尽快恢复网络通讯,关注网络故障恢复计划的管理是可用性审计重要内容之一。
1.是否制定了网络故障恢复计划。商业银行的信息技术管理部门应建立专门网络应急预案即网络故障恢复计划,或在业务系统应急预案中涵盖网络故障恢复程序。网络故障恢复计划应包括以下内容:一是应明确故障恢复组织的组成和职责。二是确定应急资源准备要求,包括网络备用设备及设备配置文件的管理。三是明确应急报告线路、应急响应、应急决策的流程,并预先制定各种故障情形下的故障诊断方法、步骤和恢复措施。四是明确外部供应商服务要求及管理等。
关键词:安全管理,解决办法
近年来,随着国家职教事业的大力发展,中职学校迅速扩张,招生难的问题日益突出。各中职学校为了解决生源问题不断降低入学门槛,导致新招收的学生普遍素质参差不齐,这就给学校的管理带来了严峻的挑战,尤其是中职校园的安全管理,更是摆在各中职学校面前的一个重要课题。
一、中职学校安全管理存在的问题
由于绝大多数中职学校是封闭式管理,各中职学校不仅面临繁琐的生活问题,而且面临解决学生之间的各种矛盾冲突的问题。
1. 消防管理问题
学生集体宿舍,不仅需要必备的消防设施,更需要向学生传授必要的消防知识和技能。然而,许多学校的宿舍,或没有安装必要的防火设施,或安装了设施却形同虚设,无法正常使用,更别提对学生进行消防知识和技能的传授了。个别学校的宿舍楼、教学楼等没有安装必要的防火装置。
2. 交通安全问题
随着中职教育事业的发展,许多学校通过院校合并、异地征地等形式扩大校园,随之而来的就是学生在校园内外交通出行的频率增高,交通安全问题日益突出。一方面学校对学生交通安全的教育不够重视,另一方面许多大学生交通安全意识不强,自我保护能力较弱,这导致交通事故增加。
3. 食堂卫生问题
当下有的校园食堂环境较差,食品安全存在较大隐患,有时候甚至出售过期霉变食品,这对学生的饮食安全构成了严重的威胁。此外,部分学校还存在食堂工作人员服务意识差、服务质量低等问题。
4. 教学场地安全问题
随着招生规模的扩大,学生人数剧增,而相应的基础设施却跟不上,导致学校的教学场地拥挤不堪。有的学校的楼道和楼梯间过于狭窄,学生上、下课时很容易发生拥挤、踩踏事件。此外,教室少,许多学生挤在一个教室,不仅拥挤,而且易造成流行病传染。
5. 学生冲突问题
中职学生普遍自我管理能力、辨识能力差,不少同学和不良社会人员有染,学校内时常会有斗殴、敲竹杠、拉帮结派等现象发生,校方经常面临解决学生之间的矛盾冲突的问题。这些问题如果处理不好,对学生本人和学校管理都将造成极坏的影响。
二、解决校园安全问题的办法
1. 改善校园安全设施
校园安全保卫防控体系是校园安全管理的第一道屏障,学校的保卫部门是这道屏障的关键。作为学校应挑选责任心强,有能力的同志从事保卫工作,使保卫部门具有一定的战斗力,具备解决恶性事件的能力。同时学校要在校园道路安全方面上做好工作,道路减速障碍、交通标识等要齐全。在消防安全方面不仅要保证基础设备的正常运作,还要引进新设备,诸如电子监控、烟雾检测等。学校要按时的对教学楼和宿舍进行维修和改造,把安全隐患降到最低。对食品卫生方面要制定详细的管理制度,落实责任,强化安全意识和监督检查机制。
2. 提高安全防范意识
学校应把安全教育纳入课时,致力于提高学生的安全防范意识。首先,学校应定期举行防火、防盗、防破坏、防治安灾害等“四防”教育,并使之经常化制度化。其次,学校应聘请专家定期对学生进行安全教育,提高学生的自我防范能力。此外,学校应开设心理教育课,对学生进行心理疏导,加强德育教育工作,帮助学生克服心理障碍,端正思想,从而把安全隐患消灭在萌芽状态。
3. 完善校园安全制度
学校要重视校园安全制度的完善工作要把校园安全纳入学年工作计划中,定期检查整改安全责任制度,建立突发事件的预防预警机制、应急控制机制和善后处理机制。同时,学校要把安全工作纳入全体教职员工的考核中,从而在教职工中树立“安全工作,人人有责”的观念,促使他们积极行动,防范于未然。
4. 重视校园安全文化建设
大力弘扬校园文化,积极推进校园文化建设,有助于校园安全建设的展开。首先学校要强化宣传教育,提高师生员工校园员工校园安全文化素养。其次学院要着力构建校园安全网络,各职能部门和党政工团要共抓共建,责任到位,形成层次分明,信息畅通的安全网络。此外,学校要积极引进先进的管理机制,推动校园安全文化的发展。在校园安全文化建设过程中要抓好相关人员的培训工作。
5. 重视安全演练
学校应当根据实际,制定好安全事故控制预案。安全演练是一项系统的工作,学校要有计划的组织安全演练,让教职工和学生都参与进来,分析存在的安全隐患并且有针对性的进行安全演练,从而提高教职工和学生应对突发事件的能力。
6. 构建校园网络安全防控体系
当前的校园网络普遍存在较大的安全漏洞,严重影响了学校的正常办学。针对校园网络系统的安全威胁,校园网管理中必须建立系统全面的安全体系。一方面要加强高校网络安全技术措施,如升级防火墙,保障文件和服务的共享访问,封锁系统安全漏洞等措施。另一方面要强化制度的建设,成立高校网络安全工作领导小组,设立网络安全专管员,落实责任,严格监管网络安全。
参考文献
[1]李楠,黎霞,程根银.正视大学生安全教育[J].中国安全科学学报,2005,15( 10) : 39- 42.
【 关键词 】 灾备中心;安全性;保险公司
Considerations On Security of Building The Backup Center
For Disaster Recovery In The Insurance Company
Hu Qiong
(Xinjiang Branch of China Life Insurance Company XinjiangUlmuqi 830002)
【 Abstract 】 This article introduces the standard of government for insurance company and describes three patterns of building backup center for disaster recovery in the insurance company and how to choose them. Subsequently summarizes the general requirements and security regulations、organization structure and staffs、physical security、security technology and security management in security design. At last, analyzes the security problems for building backup center for disaster recovery in insurance company.
【 Keywords 】 backup center for disaster recovery;security problem;insurance company
0 引言
保险公司是以经营风险为主的金融企业,现阶段国内保险公司对IT的依赖程度越来越大,数据也都趋向于高度集中,为保证数据中心数据的可用性、完整性和安全性,各保险公司都在以各种方式建设自己的灾备中心,灾备中心首要目标就是为保证数据安全、高可用性和业务连续性,那么灾备中心本身的安全性又如何来保证呢?
1 保险公司灾备中心建设概述
灾难发生原因有硬件故障、恐怖袭击、自然灾害、人为破坏等,为使IT系统在这些灾难下能保证数据安全、业务的持续性,2005年4月国务院信息化工作办公室(以下简称国信办)下发的《重要信息系统灾难恢复指南》(以下简称《指南》)规定,必须建立灾备基础设施的8个重点行业,包括金融、民航、税务、海关、铁路、证券、保险、电力,并将灾难恢复的等级划分为由低到高的六个等级。中国保险监督监委员会(以下简称保监会)也于2008年3月,了《保险业信息系统灾难恢复管理指引》(以下简称《指引》),对保险机构信息系统灾备建设进度和灾难恢复能力进行了明确要求,保险机构应统筹规划信息系统灾难恢复工作,自《指引》生效起五年内至少达到《指引》规定的最低灾难恢复能力等级要求,《指引》要求保险机构重要的一级信息系统最低灾难恢复能力要达到国信办《指南》中的第四级电子传输及完整设备支持的灾难恢复能力要求。
保险公司灾备中心建设模式分为以下三种,即共建模式、自建模式和外包模式。
共建模式:不同的企业联合建设灾备中心,其缺点表现在以下几个方面,从公司整体经营角度来说战略同盟关系有可能不能长久保持,从战术角度来说,IT技术和管理差异而难以共享,同时出现问题责任难以界定、数据安全性不能得到保障,基于以上缺点几乎没有国内保险公司采用这种方式进行建设。
自建模式:缺点是投入大、建设周期长、实施难度大、运维成本高,优点是安全性和控制能力较强,被国内资金雄厚的大型保险公司所采用,例如中国人民保险公司的南北中心的模式、中国人寿保险公司所采用两地三中心的实施模式、平安保险公司在深圳和上海的两个互备的数据中心模式等。
外包模式:将灾备中心外包给专业的灾备服务提供商,由专业化公司来提供保险公司所需要的灾备服务,此种模式克服了共建模式和自建模式的弊端,被大多数的中、小型保险公司所采用。
按照容灾距离的远近,灾备中心可分为同城灾备、异地灾备、同城/异地灾备,因为同城灾备和异地灾备各有所长,根据保监会《指引》的要求,为达到较理想的容灾效果、提高全面的数据保护能力一般保险公司都采用同城/异地灾备方式。
2 自建灾备中心的安全性设计
因为共建模式几乎没有被保险公司所采用,外包模式的灾备中心的建设主要依靠外包企业,所以重点就保险公司采用自建模式建设灾备中心的安全性设计方面具有一些特点进行讨论。
2.1 安全性的总体要求和安全规范
统一安全策略,具备对灾备中心内的服务器、存储设备和用户提供相应的安全防护和控制的能力,灾备中心的信息安全体系设计包括机构与人员、物理场地安全、信息系统安全技术、安全管理体系等几个方面。
2.2 组织结构与人员
有专门的安全机构和人员以保障灾备中心的安全,这些机构和人员负责承担任务有:国家政策和国际、国内标准的追踪和研究,负责制定适合公司定位的安全策略、建立安全体系并有效贯彻执行。
2.3 物理场地和相关设施安全
灾备机房和电力、制冷、运输、消防、网络通讯接入等配套设施是保障灾备中心自身安全的重要保证,其中按照国际正常时间协会的分级标准,分为四级:基础级、具冗余部件级、可并行维护级、容错级(任何计划性活动不会引起关键负载的中断)。自建灾备中心需要达到二级以上以保证物理场地的安全。
2.4 信息系统安全技术
灾备信息安全技术主要用于保障数据在存储与传输过程中的安全性问题、网络系统的可靠和安全连接问题、计算机系统的安全性问题、用户的身份安全问题和操作的不可抵赖性问题等。包括以下几个方面:数据安全性技术、网络安全技术、系统安全技术、身份安全技术。数据安全性技术保证数据完整性,所用到的主要技术包括数据备份、数据压缩、数据加密与鉴别;网络安全技术包括网络安全结构的设计和网络安全防护手段,网络安全结构设计灾备中心的网络被划分为接入层、汇聚层和核心层,为保证转发的高效,安全设备一般不会部署在核心层,只部署在接入层和汇聚层;网络安全防护手段包括了传统的网络设备本身使用安全基线进行加固、ACL、防火墙、IDS、IPS等:系统安全主要指主机操作系统的安全,主要采用的手段有主机加固、防病毒、漏洞扫描、安全审计等;身份安全技术主要指身份认证,现在常用有VPN、PKI/CA、PMI和4A等技术,提供帐号管理、认证、授权、审计等功能。
2.5 安全管理
安全管理包括制定统一的安全制度和安全策略、灾难恢复计划、实施持续的监督和IT审计、灾备演练、灾备知识普及培训等。IT系统有效运行是靠安全制度来保证的,安全策略是与安全活动相关的一套规则,由安全权力机构建立的,并由安全控制机构来描述、实施或实现的;IT系统是用于支撑业务的,有效的灾难恢复计划和定期一年几次的灾备演练的是保证灾备系统可用性的重要手段;因为灾备系统所涉及的范围是所有的分支机构和IT系统的使用人员,所以灾备知识也需要在平时和演练的过程中灌输到全体员工的意识和行动中;而对灾备系统进行监督和审计有助于发现灾备系统的问题并予以及时纠正。
3 自建模式中存在的安全问题的思考
采用自建模式建设灾备中心存在的一些和安全有关的问题。
灾备中心不可能原样复制数据中心,对存储能力、处理能力、数据传输能力的持续性增长是灾备中心需要面临的难题,这些依靠数据缩减技术、数据压缩等技术来解决,而加密技术是解决数据安全传输和存储安全性一种有效手段,但是加密技术和压缩技术就存在矛盾,同样的,高效性和安全性也是一对矛盾。
新的灾备理念和技术出现 比如多点容灾和双活方式出现对灾备中心的安全提出了新的挑战。
没有自主的核心技术 由于国情的大环境和历史的原因,灾备系统基础设施和技术中用到的核心技术受制于人,国内企业不具备这方面的能力这个事实也比较堪忧。
灾备中心建设不是项目,而是一种运作没有终点,随着业务需求的发展,对数据传输、处理、存储的各项能力的要求也是不断发展的,灾备中心需要不断发展来适应这种变化,灾备中心的安全体系也面临同样的问题。
如何针对灾备系统的可用性、完整性、安全性开展科学的测评以保证灾备系统能应对灾难、真正具备灾难恢复、保证业务连续性能力,相信不是依靠一年几次的演练就能说明问题的,需要有相应的评估标准以发现实际中存在的问题。
4 外包建设灾备中心存在的安全问题的思考
采用外包模式建设灾备中心存在以下的一些和安全有关的问题:
外包模式下的如何解决对灾备中心控制问题,外包模式下最大的问题是执行者已经不是本组织,如何能有效控制外包服务,无论是灾备演练还是实际灾难发生,都存在分支机构、业务人员协同应对的问题,灾备中心和本机构需要跨组织协调,对灾备中心的控制能力越强,外包的灾备中心的可用性、完整性和安全性越强,所以采用何种方式对外包服务增强控制,提高安全性也需要考虑的问题。
数据加密和保密难以保证,灾备中心外包的服务商一般是专业化的服务提供者,一般不会是为一家客户服务的,这种情况下后,如何有效保证数据在传输和存储过程的安全,例如原来的应用系统并没有在数据的传输和存储过程中进行加密,此种情况下是否需要对原来的应用系统进行改造,诸如此类的问题也需要在灾备中心的建设中予以足够的重视。
如何保证对外包业务的随时监控与IT风险评估,灾备系统建设外包的初衷是企业为节约成本和投入,外包后一般保险公司不具备自己做灾备的技术和人员实力,如何有效监控外包业务是难题,另外,IT风险的评估也另一个难题,灾备外包的IT风险是肯定不同于自建系统的,如何连基本的监控手段都不具备就更无法谈到如何对外包业务进行有效的评估了。
呼唤外包标准的出台,以上的问题的最有效的解决办法无非一句话,尽快出台灾备中心外包的有关标准和规范以改变现在这种各自为政、摸着石头过河的局面,规范灾备中心外包服务的市场,在行业或者更大的范围内进行统一的规划、避免重复建设、节约有限的资源使之发挥最大的效果。
5 结束语
保险公司灾备中心在建设的同时需要高度关注自身的安全问题,虽然无论采用何种建设方式在实践的过程中都还存在各种各样的问题,但是灾备系统的建设本身刻不容缓,它是保险公司发展过程中内、外部的统一需求,离保监会对各保险机构灾难恢复能力的限定时间不过区区一年多的时间,可以说是时不我待,相信在同业的共同努力下,在建设过程的所遇到这些问题只是暂时的,总会有相应的解决方案横空出世,同时也期待灾备系统评估、外包模式等的具有指导价值的标准化管理法规尽快出台。
参考文献
[1] 李宝峰.金融灾备中心研究.特区经济,2011,2月.
[2] 陈天晴.中金数据中心的建设规划.金融电子化,2007,7月.
第一部分:20__年工作总结
20__年在公司“效益质量年”的定位目标指导下,紧紧围绕公司“加强管理、保证质量,降低成本、提高效益,深化改革、强化支撑”的网络运维方针,确保网络运行质量,加强了基础管理、网络优化、大客户支撑以及安全生产等方面工作力度,积极开展降本增效活动,取得了一定的成绩,现对全年工作总结如下。
一、加强基础管理工作
我班组负责全区的网络的维护、技术支持工作,为了更好的在数据网络中开展各项数据业务和增值业务,我班组在中心的领导下严格落实省公司精细化管理的要求,按照“共识、细化、落实”的六字方针,坚持严格基础管理工作,一年来,我班组坚持不断完善客户的资料工作、各种网络设备以及大客户的应急预案等各项基础管理工作,特别是随着三标一体以及内控工作的深入开展,更是要求我班组对担负的各项工作必须有记录,包括资料统计、障碍统计、网络分析统计等,并且按照部门的各项规章制度和管理办法,优化了各项工作流程,努力做到细化到人、优化到事、强化考核,确保提高员工工作效率,从管理中创造效益。
具体工作有:
1、按照维护规程严格执行各项维护作业计划,结合内控,加大了对作业计划、各种日志、记录表格、安检记录等各项维护作业计划和巡检的检查力度,保证内控审查可以顺利通过,并根据实际工作需要不断完善和更>!
2、完善了对数据网络各种统计维护资料并及时更新,保证基础资料的准确性、完整性和及时性,安排专人制作了数据网络资料库程序并对该资料库进行不断完善和更新,特别对于光纤专线客户和VPN客户的资料管理,对涉及到的所有信息都在资料库中均有详细的体现。对全区的IP地址进行及时的备案并不断完善IP地址管理系统,这些都为今年的全区IP地址优化工作打下了坚实的基础。
3、为了更好地开展业务,理顺流程,制定并完善了FTTX业务、基础数据业务、VPN业务、数据设备维护等各种流程和基础数据网、IP城域网的分析作业指导书,并结合内控和三标一体工作的要求对以上规范进行完善,并按照省运维文件的要求及时更新和调整各种数据网络设备的应急预案,强化细化了应急预案的执行功效。
4、为了提高班组员工的综合素质,我班组加强了对员工业务、技术、安全、保密、形势教育等各方面的培训,今年累计进行培训32次,内容涵盖业务、设备、维护经验及本专业最新技术等,并组织培训效果测试11次,取得了良好的效果,特别针对新员工,我班组制定了专门的培训计划并按照计划进行实施,有力的提高全班员工的维护素质。
5、在公司及部门领导下,积极参于公司举办的数据专业维护规程及宽带ADSL技能竞赛,我中心取得了第一的优异成绩,并且选派两名技术骨干参加省公司组织的华为宽带ADSL技能大赛,取得了全省三等奖的好成绩。
6、配合网运部组织开展了多次对各县公司及营销中心的维护知识培训,其中包括城域网交换机的培训、ATM设备IP化改造的培训等技术培训,还安排专人去县局进行现场讲解,取得了良好的效果,提高了县公司维护人员的综合素质,为交换机权限下放打下了坚实的基础。
7、为了达到内控的要求,我班组通过对__*地区市内97个模块局进行巡检并在数据设备上粘贴了资产标签,满足了内控的要求。
二、强化维护手段,积极开展将本增效活动,积极优化网络,发挥网络最大效益
一年来,我中心维护工作未发生重大故障,各项考核指标均达标。其中省内考核互联网时延≤40ms,实际为≤10ms;本地IP客户考核接入认证平均响应时间≤8s,实际为≤3s;基础数据网用户电路考核故障修复及时率≥99,实际为100;数据设备考核故障修复及时率≥96,实际为100;大客户业务考核响应及时率≥99,实际为100;考核电路开通及时率100,实际为100;重大障碍上报及时率为100,圆满地完成了上半年的各项维护指标。
1、通过充分利用现有的城域网网管,我中心加强了对网络流量、设备利用率、日志及网络安全的监控及分析,分析范围由原来城域网几台设备扩大到整个城域网汇聚层以上设备,并新增了对ATM网络流量的分析。结合网络分析情况,及时地对网络进行优化和调整,三月份新增城域网出口GE中继一条,通过流量调整,缓解了城域网出口流量激增所带来的压力。由于宽带Bras汇聚Ip上行设备的LPUK板卡和LPUH板卡接入客户不同,__*地区局下挂各县宽带客户较多,__*地区局下挂各县宽带客户较少,通过将容量较大的LPUK板卡调整到__*地区局,并将武安IP上行的宽带客户及时的调整到__*地区BRAS,缓解了由于__*宽带客户激增带来的板卡利用率过高问题,保证了__*方向宽带业务的发展,随后又对__*地区Bras资源进行了适当均衡,使得全区Bras的资源得到了充分的利用。六月份对城域网核心层设备__*地区局7609新增加一条至__*地区方向的GE中继,充分缓解了西部流量大的问题,通过安排专人对网络中的各种设备定期观察,及时地发现网络中的安全隐患并给予解决,极大的保证了业务的顺利开展。
2、配合网运部做好宽带MA5300绑定用户端口工作,截至目前全区主要县市MA5300节点已实现用户帐号及端口绑定。为了实现PPPOE 绑定测试,对全区MA5300设备的命名重新规范并进行命名更改,同时我中心__*根据端口绑定工作的需要发明了小程序,使得帐号绑定可以实现批量操作,将几十个人几天的工作量压缩到了一个人几个小时就可以完成,从人力成本上起到了将本增效的作用。
3、对__*地 区路华为S8016交换机、华为S8512交换机及核心层7609路由器进行了升级打补丁操作,解决了由于客户网络攻击及版本不稳定而可能造成系统瞬断的隐患。并对华为UA5000宽带设备进行统一升级,保证软件版本的同一性。
4、在全省率先开展了华为UA5000和MA5300宽带设备帐号和端口的绑定测试工作,并初步测试成功。由于我中心测试工作进展较早,所以省公司指定我公司和沧州分公司作为试点单位对各型号的BRAS和DSLAM进行测试,测试成功后将在全省进行推广,通过测试为我公司下一步的宽带账号和端口绑定工作打下了坚实的基础。
5、完成了城域网设备具备MPLSVPN条件的MPLS的部署。通过此次部署,我公司今后可以开展跨域的VPN业务,对市场部门开展新的业务起了有力的支撑。
8、实施了IP地址回收工作,
三、面向用户、面向市场,做好业务支撑
我班组按照部门一贯倡导的“维护就是经营”的大经营观念,整个维护工作紧紧围绕以效益中心,加强对客户、对市场的支撑力度,全力作好后台支撑工作。
2、逐步建立了金银牌大客户电路资料台帐,并结合金牌大客户使用数据电路的实际情况分别为其制作了客户电路应急预案。为了实现大客户等级化我中心安排对大客户电路用不同颜色的插塞来进行识别;为了体现对大客户单位的差异化服务,我班组定期对金牌大客户进行巡检,并按月制作大客户单位的网络运行报告。
3、在省公司网管中心指导配合下完成了对宽带VPDN技术的测试工作,并对__*地区市体彩大客户利用该技术进行组网工作,涉及体彩客户约300余户。
4、全年为几十个大客户制作了大客户电路接入方案,并到各个大客户提供支撑数十次。配合大客户服务部积极对教育局校校通客户内网故障进行技术支持,并完成了多个校校通客户VPN改IP专线的工作,尤其是对于__*地区区电教站,我中心前后对该客户进行了10余次技术支持。
5、面对福彩窄带VPN客户不断增长的情况,我部积极协调设备维护中心,新增了窄带A8010接入服务器至__*地区、__*地区汇接局中继4条,满足了客户数量增长的需求。
6、为了及时了解县公司以及各营销中心宽带维护情况,我中心安排专人到中华南营销中心、__*地区、__*地区、__*地区等县分公司进行现场测试,并深入到客户家中进行了解,掌握了全区客户反映比较突出的问题并制定了相应的措施,取得了很好的效果。
7、全年网络维护班组受理各类客户技术咨询上千次,受理县市营销人员技术问题达3000余次,强有力的支撑了前台维护人员,由于机房人员服务水平高、服务态度热情,深受广泛的好评。为了保证增值业务的顺利开展,班组在部门安排下多次派专人到各县分公司和营销中心进行现场技术培训,通过多次的培训,有力的支持了各营销单位业务的顺利开展。
四、抓紧安全生产,强化安全意识
一年来,我班组认真贯彻公司对安全生产工作的一系列指示精神,牢牢把握安全生产工作原则,坚持“安全第一、预防为主”的方针,认真落实各项安全措施,积极开展安全隐患整改,广泛开展安全教育工作。
1、全年圆满地完成了__*地区局、__*地区局、__*地区局数据设备的安全整治工作,并配合完成了市内模块局的整治工作,达到了安全生产的标准。
2、加大对员工的安全教育培训,在职工中树立“安全第一”的观念。组织员工进行保密制度、交通安全、安全生、消防安全、防汛安全等安全教育达40余次,安全知识答题8次,配合部门进行消防演练4次,并根据根据班组的情况坚持每周一次安全培训和每周一次安全检查的制度。通过采取检查、培训及实际演练相结合的办法,全面提高了员工的安全素质、安全意识和应变能力。在上半年生产楼电梯间着火事件中,我中心5名员工发现后按照消防要求及时向上级汇报并安全的将火扑灭,为公司挽回了损失。
4、加强了机房安全防火、防汛工作。始终把安全防火、防汛当作安全工作的重中之重,开展了经常性的安全检查,要求班组员工熟练“四懂、四会”,熟练掌握初期火灾扑救、防毒面具佩戴、消防水带连接、灭火器等操作。
5、加强网络设备巡检,通过充分发挥IDS和扫描等网络安全系统在漏洞扫描、入侵检测等方面的作用,完善各项网络安全管理制度,细化日常维护、权限管理、检测分析和安全防范流程,有力地抵制了外界对网络的各类攻击。
第二部分:20__年工作思路
20__年我班组以内控工作为契机,不断完善基础管理制度,通过加强网络安全检测,健全综合分析、安全管理、故障分析等制度,强化维护支撑和服务,优化网络结构,强化网络质量,提高网络运行效率,提高维护效益,不断加强安全生产管理工作,深入开展员工培训教育,提高员工综合素质,积极开展将本增效活动,不断提高维护水平,保证各项生产指标。
1、结合内控工作和三标一体工作的开展,继续按照维护规程严格执行各项维护作业计划,加强基础管理,完善部门管理制度,优化管理流程,简化管理环节,努力实现部门维护工作效率最大化和效益的最大化,确保顺利通过各项审查。
2、持续深入开展各种形势的教育学习活动,为员工发展创造良好环境,鼓励员工勤于思考,敢于创新,深入开展学习型班组,加强维护队伍建设,提高维护人员的素质。
3、继续科学管理网络资源,提高网络资源的利用率,做好资源分析预警工作,充分利用网络的资源,使网络资源的效益尽量最大化。继续深入开展将本增效工作,从管理和技术入手,对现有设备进行优化和改造,有效地开展将本增效工作。
4、进一步完善各项应急预案,提高应急预案的可操作性。加强安全教育和应急演练,强化员工应急意识,提高全员应急操作能力。
5、积极配合计划建设部工程建设。配合完成港湾设备替换工作和中华路机房搬迁工作。结合各项工程的建设,优化城域网的网络结构,提高网络健壮性,进一步完善城域网、基础数据网等网络的网络监控工作,加强网络运行状况的分析,为业务发展提供有力支撑,继续不断对网络进行优化调整,使网络发挥最大效益,圆满完成各项维护指标。
6、积极发挥网络安全系统在漏洞扫描、入侵检测等方面的作用,不断完善各项网络安全管理制度,细化日常维护、权限管理、监测分析及安全防范流程,预防外界对网络的各类攻击。
7、坚持以人为本,继续作好安全生产工作,抓好行风建设,提供优质服务,为经营发展保驾护航。
关键词 计算机网络;网络安全;防御策略
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)85-0208-02
计算机网络技术的迅速发展和应用,在给人们工作和生活带来方便和物质享受的同时,也给人们带来了来自网络的安全威胁,计算机网络的联结形式具有复杂多样性、开放性及网络边界的不确定性等特征,使网络数据容易遭受到破坏、更改、泄露、网络容易受到黑客的攻击,所以网络安全密是一个非常重要的课题,研究计算机网络安全的防御策略就成了必然。
1计算机网络概述
计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统[1]。
2 网络安全的概述及要求
网络安全是指网络体系的软件系统、硬件系统及其系统中的数据受到安全保护,网络系统资源不受偶然的或者恶意的原因而遭到破坏、更改、泄露,网络系统能够可靠稳定正常运行。广义来说凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
2.1网络安全的要求
1)数据完整性:指数据的精确性和可靠性,未经授权不能进行改变的特性,数据在网络中存储或传输的过程中不遭受任何形式的修改、破坏和丢失的特性;
2)数据保密性:保护数据不被未授权者访问,数据不泄露给未授权者并进行利用的特性;
3)数据可用性:可被授权用户访问并按需求使用的特性,在要求的数据资源得到保证的前提下,在规定的条件下和规定的时刻或时间区间内处于可执行规定功能状态的能力。是数据完整性、保密性和真实性的综合反映;
4)数据可控性:是指数据的流向以及行为方式可以控制在授权范围内,并对数据的传播及内容具有控制能力;
5)可审查性:对出现的网络安全问题提供调查的依据和手段。
3影响计算机网络安全的主要因素
对计算机信息构成不安全的因素很多,包括网络系统本身的问题,如操作系统存在网络安全漏洞、网络的开放性、自由性等;内部网络安全威胁认识不足问题,局域网内部用户未采取科学的防范措施,导致来自于内部的网络安全事故逐年增加;网络安全管理机制不健全等因素:
1)计算机网络的不安全性,计算机网络的多样性、开放性和自由性的特性给网络用户提供了便捷的信息服务,同时也带来了许多的网络安全隐患,计算机网络是全开放的,这就致使网络易受来自多方面攻击,意味着对网络的攻击不仅是来自于本地网络的用户,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击,大多数的网络对用户的使用没有技术上的约束,目前的技术难以对外部服务请求实现完全隔离,非授权者利用服务请求的机会很容易获取网络敏感信息;
2)防火墙的局限性,防火墙指的是一个由软件和硬件设备组合而成、它能增强机构内部网络的安全性。它是内部网络与外部公共网络之间的第一道屏障、安全策略的一个部分,防止非法用户、黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。虽然防火墙是目前保护内部网络免遭黑客袭击的有效屏障,但也有它的局限性,它难以防范网络内部的攻击和病毒的侵犯,不能防止来自内部变节者和不经心的用户们带来的威胁,它甚至不能保护你免受所有那些它能检测到的攻击,不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击;
3)网络中的设备包括计算机、网络通信设备、传输设备、存储设备、防火墙、网络环境都是网络安全的重要保障,易遭受到自然环境的影响,每个环节设备出现问题,都会造成网络故障;
4)网络安全管理的缺失,网络安全意识不强,也会对网络安全造成威胁,计算机网络的安全管理,不仅要做到物理硬件的安全,逻辑软件和数据资源的安全,还必须有人的配合、遵守和协助[2]。
4计算机网络安全的防御策略
4.1网络安全技术防御策略
计算机网络安全技术主要有网络访问控制技术、计算机网络入侵监测技术、信息加密技术、防火墙、认证的防范技术和系统安全管理技术。综合起来可以采取以下策略:
1)网络访问控制。是对网络信息系统资源进行保护的重要措施,是网络安全防御和保护的主要策略。通过对IP地址段限制、授权访问服务控制体系,允许对限定资源的授权访问,保证网络资源不被非法使用和非授权访问。访问控制不仅提供主动网络安全防范和保护,而且还能维护网络系统安全,对网络资源起到安全隔离的作用。访问控制是对外部访问过滤的关键技术,是实现数据保密性和完整性机制的主要手段;
2)计算机网络入侵监测技术。基于检测技术上的报警和监测系统,是一种针对计算机入侵的技术措施,按照报警的数据来源来看,入侵报警可以分为对事件入侵的报警、基于流量入侵的报警这两大类。在事件基础上的入侵报警的技术是通过分析网络中正在发生或者数次发生的入侵事件。通过对这些入侵进行实时而详细的监控和记录来发现入侵事件的规律性,然后进行报警并预测其未来发生的威胁;
3)建立完善的备份及恢复机制。为了防止数据的存储设备异常损坏,根据数据本身的重要程度、保密性要求、对业务连续性的影响程度、更新和使用频率、面临的风险等等,制定完善的数据备份策略和备份计划,或者可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份,以保障数据安全性和完整性;
4)信息加密技术。信息加密技术是信息安全核心技术,通过对敏感数据信息实施加密处理,可以维护数据信息的安全,实现网上数据的安全传输[3]。常用的方针有线路加密和端到端加密两种。不同的加密技术可以应用到不同的情况,对保密信息通过各线路采用不同的加密密钥提供安全保护,防止非法用户存取数据或合法用户越权存取数据;
5)通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在服务器和各客户主机上分别布设防火墙是网络安全防范的必要技术,加强网络目录和文件访问权限的设置,实现安全隐患的提前判断和拦截;
6)局域网内用户计算机IP地址、MAC地址绑定技术,在网络安全协议中,每一个网络终端都有一个独一无二的MAC地址,在局域网内将计算机IP地址、MAC地址绑定,防止IP 被盗用。
4.2网络安全管理防御策略
网络安全的关键在于安全管理,而安全管理的保证依赖于网络安全技术[4]。技术与管理是网络安全的两个重要组成部分,网络安全必须依靠安全管理与安全技术来进行保证。建立完善的网络安全管理系统,要防止外部入侵,也要防范内部人员泄密可能。建立健全安全管理方面的体制,加大全面管理的力度,要对安全管理足够的重视。管理是网络安全中最为关键的部分,以防一些重要信息有意或无意的被泄漏。
建立安全管理制度,制定和完善相关法律、法规。加强对网络管理人员的技术培训,提高网络系统管理员和网络用户的职业道德修养和法律意识,明确责任,强化监督,维护计算机及网络系统的安全,同时建立应急管理机制,加强应急管理,制定应急事件出现时的详细应急预案,并定期开展应急演练,提高应对网络安全事件的能力和水平,确保事件发生时能够从容应对。
5结论
综上所述,计算机网络安全是一项复杂的系统工程,网络安全随着网络技术的发展将面临更为严重的挑战,所以我们要增大计算机网络安全管理的投入,加强安全意识教育,进行相关技术培训,并建立完善的计算机管理制度和监督机制,采取强有力的安全策略预防安全问题的出现,只有这样才能真正的提高计算机网络安全性,使计算机网络能够更好的为人们服务。
参考文献
[1]满昌勇.计算机网络基础知识[J].清华大学出版社,2010(10):11-12.
[2]陈欣.安全网络体系[N].中国计算机报,2004.
关键词:企业;计算机网络;安全问题;维护;措施
中图分类号:C29文献标识码:A 文章编号:
随着经济全球化和信息时代的到来,越来越多的企业通过采用网络化的方式获得信息、获得发展、促进成长,计算机网络成为企业寻求合作、获取资源的主要途径之一,发挥着重要作用。计算机网络通过管理系统实现在企业管理中发挥作用,例如通讯软件、文字处理、excel、图形声像的处理、自动排版、安全保密系统等。
然后,企业在应用新技术提高企业运营效益、摆脱原始而传统的管理方法与手段、向高科技应用索取效率和利润的同时,如何防范企业计算机网络避免出现计算机或网络瘫痪等致使企业的办公处于半停滞状态等问题,却是企业管理者应重点考虑的项目之一。本文就企业计算机网络安全的问题,阐述了几点企业计算机网络安全维护的有效措施,具有一定的技术参考价值。
1.企业计算机网络的安全问题
1.1外网安全问题
黑客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。
1.2内网安全问题
新调查显示,60%以上调查企业的员工利用网络处理私人事务[1]。然而,对网络的不正当使用,将会降低企业生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,甚至使不法员工可以通过网络泄漏企业机密。
1.3内部网络之间、内外网络之间的连接安全问题
随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。
2.企业计算机网络维护的内容
(1)网络安全维护。网络安全维护内容有选择配置合适的防火墙系统,制定安全策略,抵御黑客的攻击,并采用模拟攻击进行入侵检测,填补安全漏洞,消除安全隐患。
(2)病毒防治。主要是选择合适的网络防毒系统软件,在服务器端和客户端进行安装调试和升级。并具有病毒预警功能,随时提示病毒发作信息,降低病毒感染传播机会,避免病毒发作造成破坏。在遭受病毒感染后,及时清除,并恢复网络的正常运行。
(3)日常维护。日常维护则需要技术人员定期上门检查网络和计算机的工作状态,降低系统故障率。发生紧急故障后迅速赶赴现场,并及时处理问题。技术人员根据企业中计算机使用的具体情况,建立系统安全管理制度和计算机使用管理制度,最大限度避免人为故障的发生。
(4)故障恢复。故障恢复是指针对性地建立全面的备份计划及灾难恢复计划,做到有备无患。在遇到各类严重故障而导致系统崩溃后,要确保在最短时间内恢复。在文件资料和数据被误操作删除或遭受病毒感染、黑客破坏后,通过技术手段尽力抢救,争取恢复[2]。
3.计算机网络系统现状
由于传统行业人员对计算机网络应用水平不高,应用不太普及不全面,计算机及网络系统的维护就更显重要,管理、维护的好坏直接影响工作业务的开展,而目前应用普遍存在的问题是[3]:
(1)缺乏规范管理,可导致维护及维修成本高,电子档案的无序管理使得单位资源的流失。
(2)缺乏专业、专人管理,人工维护成本高,人员流动大,连续性差。
(3)计算机、网络问题的管理维护随意性大,常常由于计算机、网络的问题,而影响正常业务的运行。
(4)网络安全没有足够重视,网络病毒防范不强,互联网及局域网的隔离不够,直接将本单位资源在互联网上。
(5)资源备份意识不强,常常由于系统的损坏而导致重要文件丢失。
(6)技术人员对新软件的应用水平参差不齐,经常性的本单位整体培训、交流不够。
(7)与外部交流少,软硬件的发展应用不足。
4.加强企业计算机网络安全维护的措施
4.1加快发展企业的安全技术基础设施建设
充分建立一个功能齐备、全局协调的安全技术平台,强化企业的安全技术防范措施。在信息技术尤其是信息安全关键产品的研发方面,提供全局性的具有超前意识的发展目标和相关产业政策,保障企业的信息技术和信息安全有序进行。
4.2切实加强网络管理和安全保障工作
(1)建立和完善网络管理制度。要根据国家有关法规和单位制定的企业信息网络运行维护管理的有关规定要求,建立和完善计算机网络安全管理的规章制度,并切实加以落实。
(2)加强计算机网络系统的日常维护工作。要加强对计算机网络设备运行情况的定期检查,发现问题及时解决。建立维护日志并做好登记。要安排好汛期的网络维护值班人员,随时处置网络突发故障,确保网络安全畅通。
(3)重视网络病毒的检查和防范。要及时发现并查杀病毒,及时更新杀毒软件的病毒库。发现大规模计算机病毒时应及时向当地公安部门和上级主管部门报告。
(4)制订应急预案。对重要的网络设备和电源等应做好冗余备份,并开展针对性应急演练。
4.3做好计算机病毒及系统入侵防范
做好日常操作系统的安全补丁升级、漏洞检测及修补。信息处应有较强的病毒防范意识,定期进行服务器病毒检测,发现病毒立即处理。采用国家许可的正版防病毒软件并及时更新软件版本。未经信息处负责人许可,不得在服务器上安装新软件,若确需安装,安装前应进行病毒例行检测。经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。信息处应做好网络安全工作,服务器的各种帐号、密码严格保密。监控网络上的数据流,从中检测出攻击的行为并给予响应和处理,并向分管领导汇报。
4.4从技术上加强网络安全
要应对多种网络安全风险,满足自动化系统的信息网络安全需求,以下设备和措施是必要的:单位计算机网络系统应分内网和外网两部分建设,内部局域网应与和Internet直接互联的外网逻辑或物理隔离:信息内、外网边界均应部署独立的防火墙和IPS[4],防范来自Internet和其他电网企业的安全风险;服务器应独立划分网络区域,使用防火墙和IPS等安全设备进行保护,防范来自内部局域网的安全风险;内部局域网应合理规划VLAN,使用访问控制等措施进行逻辑隔离,防范内部攻击;应部署网络漏洞扫描和网络管理系统,监控网络运行状况,及时响应安全事件,防范风险于未然。
另外,要满足单位对于计算机网络系统的安全需求,以下设备和措施是必要的:鉴于采用Windows操作系统较为普遍,单位的信息内外网均应部署WSUS系统,及时为服务器和PC更新系统补丁,填补漏洞,保障安全;企业内外网均应部署企业版杀毒软件,设定合适的病毒防护策略;各系统账号和密码应具有足够的强度,由专人管理,定时更换;操作系统应配置合理,安全可靠。
同时,为全网主机统一安装部署基于主机IPS,关停不使用的服务和共享文件,设置好操作系统的各类权限,帮助保护用户终端的安全;对重要数据做好集中保存、备份、访问权限控制和加密措施。
5.结束语
总之,企业计算机网络安全维护工作,要总结安全维护常出现的管理与技术问题,并针对性的改进且计算机网络维护的细则,才能营造舒适、安全的网络办公环境,才能使企业管理与运转的效率得到有效实质的提高。
参考文献
[1] 贾静波,宿明,吕猛. 计算机网络安全维护工作[J]. 吉林省教育学院学报,2010,09:114-119.
[2] 吴玫桂. 浅议企业计算机网络的维护[J]. 信息与电脑(理论版),2011,01:215-218.
关键词:网络;安全;数据备份
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 01-0000-01
计算机网络安全问题伴随着网络的迅猛发展而日益突出。应了解网络中存在的各种不安全因素,进一步增强安全意识,采取相应的防范措施,把因网络被破坏而造成的损失减到最小。计算机网络最重要的是向用户提供信息服务及拥有的信息资源。信息共享与信息安全是互相冲突的矛盾。由于信息系统在应用中需要进行安全保护,因此对计算机网络的安全性问题的研究总是围绕着信息系统进行。如今,网络对于任何一个人来说并不陌生,小到学校的内部网络,甚至家庭网络,有致力与公众服务的邮电网络和金融网络,大到遍及全球的Internet.目前我国公共Internet用户的数量正在迅猛提高。可以想象,生活中的许多“网络”,例如,水、电、气等,一旦所有这些网络在顷刻之间全部瘫痪,那么不堪设想。即便是其中的一小部分出现问题,我们的损失也不可估量,特别是Internet网络正在从学术和科研的范围向电子商务、金融、军事、政府机制等各方面发展的时候,Internet的安全问题更进一步引起了人们的重视。因为,对于Internet的非法侵入或人为的故意破坏将会轻而易举地该变Internet上的应用系统或导致网络瘫痪,从而使得网络用户在军事、政治、经济上造成无法弥补的巨大损失。与单机系统相比,网络连接的范围越大,造成的损失也就越大。
解决网络安全是以增加成本和降低访问速度为代价,需要增加相应的软件设备和对输入/输出的信息系统等进行检查。就像在进出国门时设置有边防检查与海关一样,势必会延缓人们出入口岸的速度。因此在强调网络安全的同时又必须对加强网络安全所带来的新问题有所认识。计算机网络的安全性是指保障网络信息的保密性、完整性、网络服务可用性和可审查性,即要求网络保证其信息系统资源的完整性、准确性和有限的传播范围,并要求网络能向所有的用户有选择地及时提供各自应得到的网络服务。依据普通人的经验来看,一般的网络会涉及以下几个方面:1.网络硬件,即网络的实体;2.网络操作系统,即对于网络硬件的操作与控制;3网络中的应用程序。有了这三个部分,一般认为便可构成一个网络整体。而若要实现网络的整体安全,考虑上述三方面的安全问题即可。但事实上,所有的应用系统无论提供何种服务,其基础和核心都是数据。如何利用数据备份来保证数据安全也就成了我们迫切需要研究的一个课题。
一、引起数据丢失、破坏的原因
计算机及通信技术在信息的收集、处理、存储、传输和分发中扮演着极其重要的角色,大大提高了工作效率,一些新的问题如系统失败,数据丢失或遭到破坏等,有可能是人为的因素,也可能是一些不可预测的因素,主要包括以下几个方面:
1.计算机硬件故障。计算机硬件是整个系统的基础,由于使用不当或产品质量不佳等原因,计算机的硬件可能被损坏。例如:硬盘的磁道损坏、服务器的宕机、电源故障、存储器故障、网络故障等。
2.计算机软件故障。由于用户使用不当或系统设计缺陷,可靠性能不稳定等原因,计算机软件系统有可能瘫痪,无法使用。
3.人为因素。盗窃、蓄意破坏 ,缺乏经验造成的误操作,压力和恐慌造成的误删除。即人为的事故,不可能完全避免。例如:在使用DELETE语句的时候,不小心删除了有用的数据。
4.破坏性病毒。病毒是系统可能遭到破坏的一个非常重要的原因,随着信息技术的发展,各种病毒也随之泛滥。现在,病毒不仅仅能破坏软件系统,还可能破坏计算机的硬件系统。例如:CIH病毒就是一个典型的破坏计算机硬件系统的病毒。
5.自然灾害。例如:火灾、雷电、洪水、地震、飓风等,这是人力几乎无法抗拒的原因。
二、数据备份的准备工作
为了将系统完全完整地备份,应在执行备份之前,根据具体的环境和条件制定一个完善可行的备份计划,确保数据库系统的安全。要做到这点,至少应该在以下几个方面做好充分的准备。
1.确定备份的频率。即每隔多长时间备份一次;
2.确定备份的内容。每次备份的时候,一定要将应该备份的内容完整地备份下来;
3.确定备份使用的介质(磁盘或磁带等);
4.确定使用在线备份还是脱机备份;
5.确定备份工作的负责人。明确责任,确保备份工作得到人力保障;
6.确定是否使用备份服务器;
7.确定备份存储的地方。对备份介质应妥善保管,最好能建立异地存放制度,每套备份的内容应有两份以上的备份。
三、备份措施及恢复计划
1.备份措施:
日常备份制度描述了每天的备份以什么方式、使用什么介质、备份介质如何存放等内容,是系统备份方案的具体实施细则。在制定完毕后,应严格按照制度进行日常备份和管理,否则将无法达到备份方案的目标。数据备份有多种方式:全备份、增量备份、差分备份、、按需备份等。
(1)全备份:备份系统中所有的数据;
(2)增量备份:只备份上次备份以后有变化的数据;
(3)差分备份:只备份上次完全备份以后有变化的数据;
(4)按需备份:根据临时需要有选择地进行数据备份。
全备份所需时间最长,但恢复时间最短,操作最方便。当系统中数据量不大时,采用全备份最可靠;但是随着数据量的不断增大,将无法每天做全备份,而只能在周末进行全备份,其他时间采用所用时间更少的增量备份或采用介于两者之间的差分备份。各种备份的数据量不同:全备份>差分备份>增量备份。在备份时要根据它们的特点灵活使用。如每周一至周六进行依次增量备份或差分备份,每周日进行全备份,每月底进行一次全备份,每年底进行一次全备份。
2.恢复计划
恢复措施在整个备份制度中占有相当重要的地位,因为它关系到系统在经历灾难后能否迅速恢复。恢复操作通常可以分为以下几种:全盘恢复、数据库和邮件系统恢复、个别文件恢复和重定向恢复。
(1)全盘恢复:一般应用在服务器发生意外灾难导致数据全部丢失、系统崩溃或有计划的系统升级、系统重组等。也称为系统恢复。
(2)数据库和邮件系统恢复:此项恢复对管理人员的要求较高,在利用备份软件进行恢复后,通常还需要进行一些后续的维护工作。因此要求管理人员应熟悉所管理的数据库和邮件系统自身的备份和恢复机制。
(3)个别文件恢复:由于操作人员的水平不高,个别文件恢复可能要比全盘恢复常见得多,利用网络备份系统的恢复功能,我们很容易恢复受损的个别文件。只需浏览备份数据库或目录,找到该文件触动恢复功能,软件将自动驱动存储设备,加载相应的存储煤体,然后恢复指定文件。
(4)重定向恢复:是将备份的文件恢复到另一个不同的位置或系统上去,而不是操作到它们当时所在的位置。重定向恢复可以是整个系统恢复,也可以是个别文件恢复,某些数据库和邮件系统也支持重定向恢复,重定向恢复时需要慎重考虑,要确保系统或文件恢复后的可用性。
数据备份几乎比所有其他的网络作业都枯燥,缺少趣味性。但是,不论备份作业看起来多么单调乏味,它确实是网络安全中不可或缺的一环,而选择一个适合自己需要的备份系统也不是一件容易的事情,从规划设计、软件选型、硬件采购、系统测试,直到备份计划的实施都需要系统管理员付出艰苦的努力。一个完整的系统备份及恢复方案应包括:备份硬件、备份软件、备份制度和恢复计划四个部分。选择了先进的备份硬件后,决不能忽略备份软件的选择,因为只有优秀的备份软件才能充分发挥硬件的先进功能,保证快速、有效的数据备份和恢复。同时更为重要的是根据自身情况制定日常备份制度和进行恢复演练,否则网络安全将仅仅是纸上谈兵。
参考文献:
关键词 师资;教学内容;教学设备;行业认证
中图分类号 G424文献标识码 A 文章编号 1674-6708(2010)11-0087-02
0 引言
“学生就业难”是很多学校和学生都面临的一个很严峻的问题,那么导致这个问题出现除了学生自身的因素以外,对学校教育来说,有哪些值得思考的因素呢?国家和社会需要的人才是多元化和多层次的。与我国的重点大学主要以培养理论型、研究型人才为主导不同,高职教育应该以增强学生的实践能力,以培养应用型、技术型人才为自身的目标。怎样才能使高职教育达到这样的目标呢?
本文从“改变师资知识结构、调整教学内容、完善教学设备、注重行业认证”4个方面对高职院校如何培养出行业实用的网络技术人才进行了以下的探讨。
1 改变师资知识结构
教师是提高学校教学质量的重要因素,是学校教学的重要组成部分,教师的专业知识结构如何,直接影响着教学质量的好与坏。现在高职院校的师资大多来自于大学毕业的本科生、研究生,这些老师大多是刚从一个学校毕业,就到另一个学校授课,对行业实际需求来说,他们的信息来源多数是来自上学时期授课老师、网站页面以及与别人的交谈,而并不是自己真正亲身从行业的体验中得到,在给学生上课时,也往往不能准确的表达出哪些知识是行业所需的,是必须被重点掌握的,甚至还有本末倒置的可能。对此,本文提议可以采用这样一些方式以提高师资实践能力:一是己经在校的教师,学校应该提供更多的机会,通过参加行业的实践来加深专业理论知识;二是对新引进的本、研毕业生,可先派遣到行业中,深入企业接受半年至一年时间的实际工作能力锻练,以提高对行业的实际工作经验和自身动手的能力;三是直接从行业中引进熟练的、真正具有专业技术的人才,对这类人才的学历条件等可以适当降低要求。
2 调整教学内容
近些年来,国家大力发展了职业教育,2007年全国高职院校有1 109 所,而且大多数学校都在开设计算机网络专业,虽然每年高职院校为社会提供大量的网络专业的毕业生,但是现实情况是符合社会需求的网络专业人才仍然短缺。这一现象表明网络技术专业的教学与社会实际需求相脱节,高职计算机网络专业人才培养面临巨大的挑战。现在高职院校教育有个共同现象可称之为“蜻蜓点水式教学”,课程开设太多,导致每门课程的学时少,由于学生是在学习的过程中,很多都不能分辩出什么课程更为重要。这样的结果是学生即使每门课考试通过了,不用说学精,就连基本的熟练程度都达不到。“样样懂,门门瘟”这样的毕业生如何满足行业对网络专业技术人才的需求呢?据此,本文提出了网络专业教学应该以以下3个方面作为重点进行:
一是网络服务器管理。在企业的intranet和服务器操作系统中架设的各种网络服务,大多使用的是Windows Server系列和Linux系列操作系统,在教学时,应着重规划安排这两门课程的教学计划,授课形式应全部以实训课的方式进行,使每个学生真正在实际操作中掌握这两种操作系统的应用技术,从而达到具有维护企业服务器和桌面系统的动手能力。
二是网络设备的配置与维护。网络设备是构建一个企业主干网络的必须设备,在教学中应按现在行业中的主流设备进行,在我国主要是以Cisco网络设备和H3C网络设备为主流。如果以一个二三线的设备教学,那适应面就显得太窄了,并且学生学会了Cisco的设备配置与维护以后,其它厂家的设备其命令和原理大多与Cisco相近,也可以很容易地适应其它厂家的设备。
三是网络安全方面的课程。随着互联网上各种威胁的迅速增加,现在网络安全问题越来受到人们的重视。在计算机网络安全方面,高职计算机网络教学与重点大学及本科院校以深奥抽象的理论讲解学习为主不同,应该是在了解基本的网络安全理论的基础上,如何根据现象熟练地判断出各种网络威胁,如何进行网络安全问题的防御,如抵御DDOS攻击、ICMP攻击、木马和蠕虫的防护、利用NBRA过滤主页的演练、病毒防护以及如何使用radius服务器认证计费,数据加密,数据冗余等等,通过学生亲身实验体会,印象才会深刻,才具有完成实际的工作能力。
另外,如综合布线,这是一门要求实践性很强的课程,但一般高职院实践条件较难满足,因此本文建议这门课程应侧重于教会学生对线缆性能的掌握,线缆故障的判断以及测试仪器的使用等方面。因此,像这类与网络相关的课程,可以在课时上安排较少而突出重点知识。
3 完善教学设备
实验设备可能对部分高职院校来说,由于资金或重视程度方面的问题,投入不够。对于计算机网络技术专业来说,实验设备非常重要。网络专业的实验设备较贵重的主要有:路由器,交换机,电脑,线缆测试仪等。对于资金较充余的高职院校当然可以充分的满足实际需求,而对资金紧张的高职院校,在上网络设备配置与维护和网络安全课程的时候,按照“熟悉真实备,模拟器实验”的方式来构建网络教学设施,即只需一个具有网络设备的实验室,让多个网络专业班级分时共用的方式使用。学生在实验室时里感受了真实设备的基本操作之后,到装有模拟器的计算机机房里完成实验,路由交换的模拟器有:Dynamips,Packet Tracer,HW-RouteSim等。本文推荐使用Dynamips,此模拟软件加载的是Cisco真实的IOS,所做实验基本上可以达到完全仿真。针对网络服务器的实验设备,也可以采用真实机房结合虚拟机软件实现,这样比使用真设备更便宜、更方便、更安全,并且可以使学生在课后练习使用。
4 注重行业认证
针对服务器方面,有Linux的认证和微软的MCSE等;针对网络设备和安全方面,大型网络设备制造商对网络技术的影响是显而易见的。由于高职毕业生要到各企事业单位工作,像国外的思科,国内的华为、中兴、锐捷等网络设备生产商,他们生产的设备如何使用,是高职毕业生必须面对的问题,如果高职毕业生在毕业前任意考取一个网络工程师认证,如思科、华为或国家的网络工程师认证,那么他在就业时就更具有适应社会的能力,也就有更多的机会进入有这样需求的公司工作,从而获得更大发展上升的空间。
参考文献