前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全建设管理主题范文,仅供参考,欢迎阅读并收藏。
关键词:信息安全安全属性安全建设
我国信息化安全建设任务非常艰巨,主要包括各种业务的社会公网、行业专网、互联网等信息基础设施运营、管理和服务的安全自主保障、安全监管、安全应急和打击信息犯罪为核心的威慑体系的建设,其内容包括网络系统安全建设、领域和企业的业务信息化安全建设、网络内容与行为的安全建设和用户关注的网络安全建设等方面。这些安全建设对于不同的领域和领导层面关注的内容、对象和程度各不相同。网络信息安全是一个完整的、系统的概念。它既是一个理论问题,同时又是一个工程实践问题。由于互联网的开发性、复杂性和多样性,使得网络安全系统需要有一个完整的、严谨的体系结构来保证网络中信息的安全。
1 信息安全的定义及目标
信息的定义,从广义上讲,信息是任何一个事物的运动状态以及运动状态形式的变化,它是一种客观存在。狭义的信息的含义是指信息接受主体所感觉到并能理解的东西。ISO 13335《信息技术安全管理指南》定义:信息是通过在数据上施加某此约定而赋予这此数据的特殊含义。信息是无形的,借助于信息媒体以多种形式存在和传播,同时。信息也是一种重要资产,具有价值,需要保护。信息安全的目标是信息资产被泄露意味着保密性受到影响,被更改意味着完整性受到影响,被破坏意味着可用性受到影响。而保密性、完整性和可用性三个基本属性是信息安全的最终目标。信息安全的保护对象包括了计算机硬件、软件和数据。就本质而言,信息安全所针对的均是“信息”这种资源的“安全”,对信息安全的理解应从信息化背景出发,最终落实在信息的安全属性上。
2 构建网络信息化安全的意义
能否有效地保护信息资源,保护信息化进程健康、有序、可持续发展,直接关乎国家安危,关乎民族兴亡,是国家、民族的头等大事。没有信息安全,就没有真正意义上的政治安全,就没有稳固的经济安全和军事安全,更没有完整意义上的国家安全。信息安全是信息技术发展过程之中提出的课题,在信息化的大背景下被推上了历史舞台。信息安全不是最终目的,它只是服务于信息化的一种手段,其针对的是信息化这种战略资源的安全,其主旨在于为信息化保驾护航。
3 网络信息化的安全属性
信息安全的概念与信息的本质属性有着必然的联系,它是信息的本质属性所体现的安全意义。说安全属性研究首先要从安全定义讲起,安全定义分很多的层次,为什么分层次,我们随着它的演变来看的,信息安全最初目标,叫数据安全,它关心的是数据自身,所以是一个狭义的数据安全,是保护信息自身的安全。
3.1 保密性(Confidentiality)
在传统信息环境中,普通人通过邮政系统发信件时,为了个人隐私要装上信封。可是到了信息化时代,信息在网上传播时,如果没有这个“信封”,那么所有的信息都是“明信片”,不再有秘密可言,这便是信息安全中的保密性需求。保密性是指信息不被泄露给非授权的用户、实体或进程,或被其利用的特性。保密性不但包括信息内容的保密,还包括信息状态的保密。
3.2 完整性(Integrality)
完整性是指信息未经授权不能进行更改的特性。即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性与机密性不同,机密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。
3.3 易用性(Availability)
易用性是信息可被授权实体访问并按需求使用的特性。在授权用户或实体需要信息服务时,信息服务应该可以使用,或者是信息系统部分受损或需要降级使用时,仍能为授权用户提供有效服务。易用性一般用系统正常使用时间和整个工作时间之比来度量。
4 构建网络信息化安全管理体系
在面向网络信息的安全系统中,安全管理是应得到高度重视的。这是因为,据相关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员攻击造成的。简单归类,属于管理方面的原因比重高达70%以上,这正应了人们常说的“三分技术,七分管理”的笺言。因此,解决网络与信息安全问题,不仅应从技术方面着手,更应加强网络住所的管理工作。
好的网络信息化安全管理体现在以下几个方面:在组织内部建立全面的信息安全管理体系,强调信息安全是一个管理过程,而非技术过程;强调信息保密性、完整性、易用性三者在关键流程中运用的平衡;把信息提高到组织资产的高度,强调对组织信息资产进行价值及影响评估,对信息资产的脆弱性及其面临的威胁进行分析,运用风险评估、风险管理手段管理信息安全,使组织风险降低到可接受的水平;从法律和最好的实践经验角度,实施全面的控制措施,使组织信息安全威胁的方方面面置于严密控制之下;强调领导在信息安全管理中的作用;强调信息安全方针在管理体系中的作用;强调对信息技术及工具的实时和有效管理;强调组织运作的连续性及业务连续性的管理;强调信息安全管理水平的不断提高及对流程的策划、实施、检查和改进的过程;信息安全应该是一个以“价值”为基础的过程,即信息安全管理应是一个有附加价值,并讲究投入产出比的过程。
5 关注信息化安全服务的综合性、高技术性和对策性特点
信息安全产业有其鲜明的特点,虽然产生于信息化和信息系统,依然与通常的IT服务有许多区别。信息化安全的基本特征是服务性的。这种服务性与一般软件的服务性是不同的。一般应用系统或产品的服务主要是维护和培训,通常服务是非对策性的、非动态的和比较固定的。信息化安全服务是对策性的、动态性的、不断产生新内容的和似乎永远不能成熟等特性。信息化安全服务范畴几乎包括了整个信息化所包括的所有产品和系统,其服务的综合性和复杂性是显而易见的。信息化安全服务是最高技术的服务,无论从设计角度和使用的角度都要求深入、熟练和非常专业。我们可以骄傲地说,信息化安全服务是世界上最伟大的服务业,也是最困难的服务业。信息化安全服务的复杂性、高成本特性要求信息化安全企业必须在安全服务的远程化和化的推进方面做出不懈努力,不断降低服务成本。
6 结语
网络信息安全不仅仅是一个纯技术层面的问题,单靠技术因素不足以保证网络中信息的安全。网络信息安全还涉及到法律、管理、标准等多方面的问题。因此,信息安全是一个相当复杂的问题,只有协调好这些体系之间的关系,才能有效保证系统的安全。
参考文献
【关键词】图书馆信息安全 存在的问题 重要性 管理策略
一、信息安全管理及其重要性
信息安全管理是一个极具综合性的学科,它涉及计算机科学、管理学、安全学如密码科学等众多专业领域。其定义放眼望去可以说是众说纷纭,但综合起来信息安全的主要任务或定义就是对信息的维护,以保证信息的安全、完整、及高度的保密性。信息安全管理在我国的起步不是很早,,但发展却很迅速,我国的政府主管部门对信息安全特别是其管理给与了极大重视。,借助于网络通信和高新技术的发展,数字化图书馆的发展取得了巨大的进步,在信息化时代,每一种新兴技术的出现,也附带着一些隐患,数字化图书馆也不例外,数字化图书馆在很大程度上是很便利的,但是,当某一个环节出现问题时可能造成整个图书馆网络出现瘫痪,因此,保证图书馆网络安全,使其高效运行便显得尤为重要。
二、图书馆安全问题存在的隐患的几个方面;
(一)计算机病毒和木马的威胁
随着计算机技术的发展,电脑病毒也不断“升级”,病毒的传播范围愈来愈广,破坏力也不断增强,信息技术的发展也为病毒的传播提供了便利,这些病毒和木马通过各种方式侵扰网络用户,如电子邮件、主动扫描等方式,图书馆的安全信息系统也难逃其害,这对图书馆的安全管理和广大用户都产生了许多不利影响。如果用户没有装置相应的实施网页主动防御软件,就可能被病毒和木马所侵袭。用户的重要账号和密码等有价值的信息被黑,因此图书馆的网络安全形式相当的严峻。
(二)自身系统存在的问题
目前大多数图书馆安装的都是是windows操作系统,其特点是操作方便,配置简单,漏洞却相当多,很容易被病毒和黑客所攻击和侵袭。另外internet的基础协议tcp|ip协议的漏洞通过ip欺骗,拒绝服务和数据监听等手段使得网络出现安全问题。
(三)网络黑客的入侵
黑客多利用黑客特用工具进入服务器后台程序对图书馆网络进行攻击破坏,网络内容被随意篡改,许多不良信息涌入网络,对社会产生了恶劣影响。而且黑客的门槛降低,图书馆的信息网络往往会成为最直接的试验地。
(四)图书馆自我管理模式的落后
外部的侵扰和威胁会影响图书馆的安全,但自身管理的漏洞往往是对其网络系统的最大威胁。图书馆应该建立合理科学的管理系统和安全机制,制定好相应的应急措施,这样才会有效减少安全问题出现的几率。相比之下,许多单位的管理模式还是传统的管理模式,在出现问题后才被动的去处理,这显然不是我们采取的有效之法。而由于管理制度的落后导致的信息泄露往往引起了图书馆的重大安全问题。
(五)网络设备配置隐患
现如今,网络设备配置很普遍也很必要,但其中也出现了许多漏洞。网络设备配置有很多种类,而正是多种类也为图书馆网络管理增加了许多难度,比如设备用户设置的密码过于简单,就会产生许多隐患,容易让不法分子钻了空而去的设备控制权,修改用户设备配置,尽管这只是小小的疏忽,却为整个网络管理带来不便甚至是危险。
三、信息安全管理的目的和原则
(一)目的有如下;首先为了保证计算机必备硬件遭到自然灾害的损害,其次,保证信息系统的处理信息的运行安全,防止信息未被授权而遭更改和泄漏破坏,保证信息的保密性和完整性。最后,通过信息安全管理的制度规范和体系来保证业务的运行和管理安全。
(二)原则如下;第一是系统化原则,即信息安全管理要制定具体的、有针对性的安全管理计划和措施,根据具体要求来制定全方位更加细化的安全策略。
第二是与时俱进原则,即信息安全管理应时刻关注信息技术变化,考察安全环境动态,与时俱进,根据最新的发展制定最新的管理办法。
第三是预防控制为主的原则,信息安全管理以预防为主,要求组织成员要有一定的信息安全管理的超前意识,能够预防大多数的安全事件。
第四是规范化原则,遵照信息安全管理的规范,并结合组织的信息安全管理要求来制定安全策略制度。
四、图书馆安全网络信息环境的构建
(一)安装智能防火墙
面对当前中很多的网络漏洞,安装智能防火墙既是一种必要,也是一种明确的选择。所谓智能防火墙,其智能之处就体现在它利用一系列细致高效的方法如统计、记忆、概率等进行数据控制。新的数学的方法消除了匹配检查所需的海量计算,使其高效的发现网络行为的特征从而进行直接的访问控制,智能防火墙综合了包过滤和技术,能对数据链路层进行全方位的控制,实现tcp|ip协议的微内核.这种内核使得速度超过了传统的防火墙,而且提供透明的技术,减轻客户端的配置工作,还支持数据加密和解密,提供对虚拟网的vpn的强大支持,内部信息完全隐藏等使得图书馆的网络系统处于一个更加安全的环境。智能防火墙还能有效的监控和管理图书馆内部的局域网,传统的防火墙只防外不管内,导致的后果是局域网速慢,病毒和木马横行。智能防火墙的安装能有效发现图书馆内部的恶意流量并帮助管理人员找到受攻击的源头。虽说不能100%的去防范网络攻击,但可以防御大部分的黑客攻击。
(二)建立系统的病毒防杀体系
传统的病毒防杀系统已无法有效抑制现行病毒的侵害,随着信息化的发展,网络技术不断更新,网络病毒也出现了许多新特点,如传播的途径多速度快、病毒种类多等。所以要更好的防护图书馆信息安全就必须要采用新型的集中式的病毒防杀措施,这种集中式的病毒防杀系统可以管理很多的联网计算机,并可以统一查杀病毒,自动更新和升级病毒库,有科学健全的病毒预警机制,还可以提高电子邮件病毒网关和病毒引擎功能,对病毒邮件进行过滤。就目前来看可以说集中式病毒防杀系统对防御网络病毒是非常有效的。
(三)网络使用者权限的分配合理化
网络使用权限的安全实质上也就解释了网络安全的状态,因此要保证图书馆的网络安全就必须要科学而有效的管理网络账号和权限。所以在实际的操作中我们要注意以下几点,首先是要提高使用者权限的分配合理度,注意在设定和分配权限中的安全性,一定程度上限制高权限者的数量,避免多用户多漏洞的情况发生。其次网络管理员要对用户和账号进行统一的管理,限制管理员账号的登陆网站,将其网站登录固定在本图书馆内,以防网外用户对本馆网络的侵入。
(四)注意重要数据的备份
图书馆系统永远不可能是万无一失,绝对安全的,这时候,数据库的备份工作是必要而且迫切的,他作为数据安全的最后一道防线,是图书馆进行网络信息服务的基础,数据安全是图书馆的核心部分在图书馆中,数目与读者的信息时最基础也是最难以收集的数据,,万一这些数据丢失以后可能对图书馆的正常工作造成不可弥补的损失,因此,我们应该把图书馆的数据备份工作放在绝对位置,并定期将数据转存,在需要并条件许可时,要对重要的数据进行双重安全的保护,即采取双机热备份技术进行备份,保障图书馆系统的正常运行。
(五)加强图书馆安全管理的制度建设
制度永远是任何建设的基础,同样,有了健全的管理制度体系才能引导并保障图书馆安全管理向着更好的方向发展。这个制度体系中包括很多方面,每个领域、每个细节都应该将制度意识落到实处,包括游戏的管理机构完整的管理制度和针对性的培训和明确的安全责任体系。
其次,技术部门也需要加强制度体系的建设,安全合理的管理体制是技术人员正确操作的保证,在图书馆的网络维护上也应该多下功夫,建立专门的技术团队来定是维护网络安全,并负责其中的制度与策略的实施,当然,技术人员本身也应该注意自身的技术规范,保证这一环节科学安全,避免漏洞出现。最后技术部门的一个职能就是对员工和读者进行安全教育和技术培训,增强器安全意,还有图书馆其他工作人员也应学习一下网络和技术培训,参加相关的操作了解来达到丰富自己网络安全的知识。
图书馆的信息安全是相当重要的,需要我们顺应新时代的发展趋势,来保证图书馆网络事业的健康发展。
参考文献;
关键词:无线 胖AP 瘦AP 无线交换控制器 威胁 安全管理
中图分类号:TN925 文献标识码:A 文章编号:1007-9416(2013)10-0203-01
随着移动互联设备应用日渐广泛,用户对无线网络的要求日渐提高。尤其在校园中,移动互联设备普及率极高,移动互联设备有智能手机、PDA、平板电脑、笔记本电脑等。但校园原有网络多以有线网络为主,对于校园网络无线化改造已经显得尤为重要。但由于无线网络的开放性,具有与生俱来的优点和易受外来安全威胁的缺点。面对这些问题,我们就探讨一下,校园互联网的无线化改造,以及面对安全威胁,采用的安全管理措施。
1 无线网络的定义及标准
无线网络,是相对于我们所常见的有线网络来说的,指利用无线电波为传输媒介所建立起来的语音与数据传输网络。无线网络的标准有:IEEE(美国电气和电子工程师协会)802.11a:使用5GHz频段,传输速度54Mbps,与802.11b不兼容;IEEE 802.11b:使用2.4GHz频段,传输速度11Mbps;IEEE802.11g:使用2.4GHz频段,传输速度主要有54Mbps、108Mbps,可向下兼容802.11b;IEEE802.11n:使用2.4GHz频段,传输速度可达300Mbps。随着技术的不断发展,标准方案会层出不穷,传输速率会不断提高。无线网络分为:无线局域网及无线广域网。无线广域网,包括GPRS网络(2G)、TD-SCDMA(3G)等。这些都属于无线广域网。无线局域网,英文名称Wireless Local Area Networks,缩写WLAN。
2 私建无线网络的局限及危害
这样做存在的局限及危害主要有以下五点:(1)家用无线AP(Access Point)功率有限,覆盖范围小,无法实现无线随身游;(2)为校园网络设置一个不安全的开放门户,方便攻击者进入;(3)受到攻击,不便于定位,攻击者处于一种“游走”状态;(4)蹭网者分享网速,使自身网速变慢;(5)对无线传输数据进行监视和窃取,使个人隐私或学术机密外泄。
3 校园无线网络改造方案探讨
由于校园已经建设了有线网络,借用有线网络的路由,架设室外型无线AP天线,无路由的地区再增加路由节点,这样原有的网络建设得到保护,投资也较少。无线解决方案分为“胖AP(FAT AP)”方案和“瘦AP(FIT AP)+无线交换控制器”方案。
(1)所谓“胖AP”方案,即传统的无线网络方案。在传统的无线局域网络里面,无线AP都分散在覆盖区域里面,分别给各自有效的覆盖区域提供RF信号及用户安全管理和接入访问策略,每一个AP都是一个独立的工作体。用户在整个覆盖区指定的范围内通过临近AP制定的安全策略连接到无线网络。“胖AP”方案具有配置灵活、安装简单、适用性强、性价比高等优点,因而受到小企业或者个人用户的追捧。“胖AP”方案存在的缺点是:环境复杂的应用场景里难以部署;AP独立工作,缺乏统一的管理手段;缺乏有效的接入和安全控制策略;漫游支持不足;扩展性能差,实施工作繁琐。
(2)“瘦AP(FIT AP)+无线交换控制器”方案,是基于无线网络交换控制器的解决方案。该方案由无线网络交换控制器、瘦AP、传感器、认证服务器等组成。以瘦AP和传感器为边界,以无线网络交换控制器为中心。“瘦AP(FIT AP)+无线交换控制器”方案的优势:灵活的组网和扩展性,具有投资保护能力;实现自动部署,故障恢复;集中的网络管理和安全方案部署,节省网管人员时间和精力;强大的覆盖和漫游能力;无线侵入检测和定位。但其也有缺点,就是部署范围较小,部署无线AP较少,则投资太高,性价比低。
通过两种无线方案的优劣,我们可以总结出来:如果校园覆盖范围较小,部署的无线AP较少,则可以选择“胖AP”方案,投资较少。如果校园范围较大,部署的无线AP较多,则可以选择“瘦AP(FIT AP)+无线交换控制器”方案。总之,无线网络方案选取的原则,就是没有最好的,只有最适应自己需求的。根据以往网络故障处理的经验,部署无线AP有以下建议:部署位置远离金属屏蔽物和强磁场环境;根据实际的需求进行功率调整;为接入点提供稳定电源支持;选取较为可靠的厂商,完善产品售后服务;完善AP密码设置,防止非管理人员进入配置界面。
4 无线网络面临的安全威胁及应对措施
【关键词】 异构;网络安全;安全管理;安全设备
1 引言
现在,网络技术的发展促进了各种网络安全技术的应用,如病毒防火墙、入侵检测技术等。而对于这些网络安全技术的管理,则渐渐成为互联网管理技术的重点。通过对所有管理技术的总结,可以将现在广泛采用的技术方法总结为三类:(1)利用安全设备自身管理平台实现管理;(2)利用简单网络管理协议实现设备管理;(3)利用专业厂家所提供的管理平台和系统进行统一管理。
通过对上面三类管理技术和方式的详细了解,以及对现在网络安全设备管理具体需求掌握的基础上,本文构建一个对异构网络设备进行网络统一管理的平台,能够将网络架构进行有效扩展,从而满足网络日益增长的需求,最大可能地发挥安全设备的应用效能。
2 平台架构
通过网络安全设备的异构管理平台,能够实现对整个网络中所有安全设备的统一管理,为网络中数据和安全资源的共享和管理,以及多种安全管理模块的有效互动奠定基础。参考现在主流软件的设计思路,根据组件化的平台构建思想,可以将整个平台划分为四个不同的层次,即客户层、业务逻辑层、数据交换层和后台数据层等。
本文所构建平台,在具体的实现过程中,主要基于主流的B/S结构进行开发和系统架构,具体到不同的层,客户层采用RIA/AJAX技术、业务逻辑和数据交换层则采用J2EE架构,利用Java语言来实现,而后台数据库主要利用SQL Server系统来完成。
3 主要功能模块划分
对于文中平台主要功能的实现,则主要通过业务逻辑层来完成,概括起来主要包含四个方面的功能。
3.1 设备管理
对于设备管理模块来说,可以作为其他功能模块的基础,是其他模块有机结合的基础模块,主要包括几个子功能:(1)设备信息管理;(2)设备状态监控;(3)设备拓扑管理等。
这些子功能的实现,可以在网络拓扑和手动的基础上,通过统一通信接口来对设备的状态和性能进行实施的监控和管理,必要的情况下,还可以通过图形化的方式来表示,方便平台和系统管理员对设备运行状态的及时掌握和定位,减轻管理员的工作量。
3.2 事件分析
作为安全设备管理平台的核心模块,安全事件分析模块的目的就是对大量的网络事件进行分析和处理、筛选,减轻管理员的工作压力,所以,该功能模块的主要子功能有安全时间分类统计、关联分析和处理等。同样,该功能模块也能够通过统一通信接口来对各个安全设备所生成的时间报告进行收集、统计,在统计分析的过程中,可以根据不同的标准进行分类,如时间、事件源、事件目的和事件类型等,通过科学统计和分析,还可以利用图表的方式进行结果显示,从而实现对安全事件内容关系及其危害程度进行准确分析的目的,并从海量的安全事件中挑选出危险程度最高的事件供管理员参考。
3.3 策略管理
安全设备管理平台中的策略管理模块包含多个功能,即策略信息管理、冲突检测和策略决策等功能。通过对各类安全设备的策略进行标准化定义的基础上,就可以统一对设备的策略定义进行管理和修改,对当前所采用的策略进行网络安全事件冲突检测,及时发现可能存在的网络设置冲突和异常,确保网络策略配置的正确性和合理性。通过对网络环境中安全事件的深入分析,在跟当前所采用安全策略相比较的基础上,就能够为设备的安全设置提供合理化建议,从而实现对网络安全设备设置的决策辅助和支持。
3.4 级别评估
最后一个功能模块就是安全级别评估模块,该模块的主要任务就是对网络商业设备安全制度的收集汇总、实施情况的总结和级别的评估等。该模块通过对网络安全事件的深入分析,在结合安全策略设置的基础上,实现对网络安全水平的准确评估,从而为网络安全管理的实施和水平的提高提供有价值的数据参考。
4 平台中的通信方法
要实现网络中异构安全设备的统一管理,就需要通过统一的通信接口来实现,该接口的主要功能就是通过对网络中异构设备运行状态、安全事件等信息的定时获取,从技术的角度解决异构设备所造成的安全信息格式不兼容和通信接口多样的问题,实现网络安全信息的标准化和格式的标准化。
4.1 资源信息标准化
在网络安全管理中,所涉及到的安全资源信息主要包括安全设备的运行状态、设备配置策略信息和安全事件信息等。其中,安全设备的运行状态信息主要通过数据交换层中的通信程序通过跟安全设备的定时通信来得到,可以通过图表的方式进行可视化。这些资源信息主要采用RRD文件的方式进行存储,但是采用数据库存储的则比较少,这主要是由于:(1)RRD文件适合某个时间点具有特定值且具有循环特性的数据存储;(2)如果对多台安全设备的运行状态进行监控的情况下,就应该建立跟数据库的多个连接,给后台数据库的通信造成影响。
对于上面提到的安全设备的运行状态信息和安全事件信息,通过对各种安全设备信息表述格式的充分考虑,本文中所设计平台决定采用XML语言来对设备和平台之间的差异性进行描述,不仅实现了相应的功能,还能够为平台提供调用转换。而对于安全策略类的信息,则是先通过管理员以手动的方式将安全策略添加到平台,然后再在平台中进行修改,之后就可以在通过平台的检测冲突,由平台自动生成设备需要的策略信息,然后再通过管理员对策略进行手动的修改。
4.2 格式标准化
对于安全事件和策略的格式标准化问题,可以通过格式的差异描述文件来实现彼此之间的转换,这里提到的差异描述文件则采用XML格式来表述,而格式的自动转换则通过JavaBean的内置缺省功能来实现。
4.3 通信处理机制
对于通信接口而言,由不同厂家所提供的同类型设备之间的差异也比较大。所以,对于设备的运行状态信息,主要采用两种途径来获取:(1)通过标准的SNMP、WMI方式获得;(2)通过专用的Socket接口调用特定函数来获得。而对于网络运行中的安全事件,其获得途径也有两种:(1)通过专用Socket接口来获得;(2)将安全事件通过推送的方式发送到指定的安全管理设备。
通过综合分析,本文平台主要采用独立的通信程序和集中设置调用的方法来获得安全资源信息,这样就可以实现对安全设备管理的最有效支持。本文所采用方式的实现机制为:平台通过标准接口获取网络的安全资源信息,再通过通信程序的调用设置功能,对程序调用的时间间隔及其语法规范进行定义。
5 总结
现代互联网技术的快速发展,促使网络中所采用安全设备的种类也越来越多,从而在网络设备管理中出现了多种问题,如异构设备的协同问题和安全事件的有效响应和处理等。所以,本文针对这些问题设计出一种对网络安全设备进行管理的异构网络平台。在该平台中,采用了一种异构安全设备通信处理机制,使得该平台能够对异构安全设备完全兼容。
参考文献
[1] 赵悦,徐涛.统一网络安全管理平台建设研究.信息系统,2009;32( 1) : 117~118.
[2] 吴蓓,陈性元,张永福等.可扩展的网络安全设备内策略冲突检测算法.计算机应用研究,2010; 27( 4) : 1484~1488.
[3] 鄣锡泉,姚国祥.网络安全管理的多维度可拓模糊综合评价.计算机工程,2011; 37( 4) : 287~289.
[4] 曾峻峰,唐川,杨岳湘.安全集中管理中安全设备差异性的屏蔽方法.计算机工程与科学,2006; 28( 12) : 24~27.
一、努力构建“五级”安全生产监督管理网络
早在1998年,泉州市政府就针对我市安全生产工作的状况,提出建立市、县、乡、村、企业五级安全生产监督管理网络的构想,并制定下发《泉州市人民政府关于加强安全生产管理意见》,对加强安全生产监督管理网络建设提出基本要求:(一)切实落实企业负责、行业管理、国家监察、群众监督、政府统抓的安全生产责任制;(二)建立健全五级安全生产管理网络;(三)明确各安全生产管理机构及安全员的职责;(四)加强消防组织网络建设。经过努力,全市安全生产监管体系建设取得明显成效,市、县、乡、村、企业五级安全生产监督管理网络基本形成,为进一步强化安全生产监督管理和行政执法工作创造了有力的条件。
一是市、县两级安监机构建设取得新进展。目前,泉州市一级安监局总编制达32人;12个县(市、区)安监局全部为正科级别,共有编制数88人,平均每个县7.3人。二是安全生产执法队伍逐步壮大。目前,泉州市及所属县(市、区)执法大队共下达执法人员编制84人,目前已到位54人,下一步,我们将进一步加大执法人员选配、调配力度,争取明年上半年全部基本到位。三是安全生产监管机构延伸到乡镇街道,安全监管力量拓展到村和社区。全市163个乡镇、街道全部设立安全生产监督管理办公室,配备安全监管人员2-3人,有529名安全监管人员经培训考核获得了执法资格证书;沿海县(市、区)各乡镇政府还设立了消防办公室;山区县的乡(镇)其消防机构与安办及森林防火办结合在一起;2449个村(社区)全部成立安全生产管理委员会。大部分企业都成立相应的管理机构,或者配备专、兼职管理人员。据统计,仅丰泽区就建立各级安全生产管理机构953个,成立社区义务消防队72支,配备专(兼)职安全员2056名。四是安全监管经费和执法装备得到加强。目前,泉州市及所属县市区安监局全部配备了2-4部不等的安全监督监察专用车辆,电脑人手配备一台,办公经费由同级财政列支,办公条件不断得到改善。南安市、惠安县分别按照总人口数的人均0.5元和0.3元的标准提取安全生产资金,纳入当地财政预算,为安全生产监管工作提供经费保障;丰泽区拔出专款为辖区每个街道配置一辆安全监察专用车辆,有效保障了安全生产监督管理和行政执法工作。
二、狠抓安全生产监管基础建设
五级安全生产监管网络的构建,为我市安全生产监管工作“关口前移,重心下移”提供了组织保障,但是并没有完全解决好有效监管的问题。怎样才能使安监工作“关口前移,重心下移”更有成效,我们的做法是狠抓基层、打好基础、探索长效机制。
(一)全面开展创建“安全生产示范乡镇(街道)”活动,促使基层安全生产监管制度化。2003年,我们按照省安委会的要求,在全市抓了3个省级试点,8个市级试点;2004年开始,创建“安全生产示范乡镇(街道)”活动在我市全面展开。市县安监部门对“创安”活动采取逐个指导、重点考评的办法,按照成熟一个验收一个的原则稳步扎实推进。到2006年底,全市已有63个乡镇(街道)经考核验收为市级以上安全生产示范乡镇(街道)。在开展创建“安全生产示范乡镇(街道)”活动中,我们始终把做好乡镇安全生产监管基础工作作为一项重要内容,所有经过考核验收的乡镇(街道)都建立了安全生产领导责任制度、例会制度、宣传教育(培训)制度、检查制度、事故统计报告和调查处理制度等,做到以制度办事,以制度管事,以制度制约人的行为。同时,我们在全市生产经营单位中广泛开展以“建章立制”为重点的基础工作建设年,按照“一书”、“二个制度”、“四薄”、“六表”(即安全生产责任书;安全生产工作制度、安全生产管理制度;安全会议记录薄、安全检查记录簿、教育培训登记薄、设备检修维护登记薄;生产经营单位基本情况表、特种设备登记表、安全事故情况备忘表、重大危险源情况登记表、事故应急救援预案)的要求加以规范,使创建工作具体化和规范化。
(二)把“创安”活动向村(社区)延伸。市安委会要求,作为市级安全生产示范乡镇(街道),除了乡镇本级要达到设定的验收标准外,其所属的村(社区)也要达到合格村的要求:即村(社区)开展安全生产管理的硬件设施必需有办公场所和资料室;软件必需完善创建活动“五项内容”的具体要素,即应建立健全安全生产责任制、组织机构、安全生产管理措施保障、安全生产监督检查和事故隐患治理情况、安全生产宣传教育和培训方面的要求。
(三)把安全生产目标管理责任制落实到企业。我们要求乡镇(街道)和村(社区)两级必须层层建立安全生产目标管理责任制,对所属企业的基本情况必须做到一企一档,对各个企业的监督管理必须有书面的台账,对所有企业都要有明确的安全生产管理目标要求。
三、努力提高安全监管及执法人员整体素质
1.1安全防御意识缺失
企业内部人员并没有充分认知到网络安全防护的重要性,安全防护意识存在很大程度的缺失。随着数字化技术的普及,网络办公方式将逐步实现数字化,办公模式网络化将会致使企业内部人员对自动化技术产生高度依赖性。但是企业内部人员并没有对网络安全防护工作给予高度重视,很多企业内部的防御系统都存在陈旧老化的现象,没有对网络防御系统进行及时更新,网络建设没有足够的资金支持,没有针对网络安全构建完善的防护机制;面对网络恶意破坏,企业内部的网络系统并不具备良好的抵抗能力,一旦遭受破坏,将会很难进行维修;企业领导者并没针对网络安全开设相应的管理部门,也没有配备专业人员对网络系统进行信息安全监管。
1.2网络非法入侵
企业网络系统存在较多漏洞,网络黑客将会利用这些漏洞非法入侵企业内部网络系统,继而篡改企业信息资源、下载企业重要资料,致使企业内部商业机密出现损坏、丢失或是泄漏等问题,会对企业的生存与发展造成巨大的不良影响。除此之外,网络黑客还可以利用网络系统漏洞,冒充他人,在网络上进行非法访问、窃取商业机密、泄露传输信息、诈骗、对计算进行病毒破坏以及干扰等行为,对企业的信息化网络工程建设造成非常大的威胁,是企业实现信息化建设的主要障碍性因素。
1.3网络病毒
网络病毒可以通过多种途径对企业网络系统进行感染与侵害,例如,文件打开、软件下载、聊天传输信息以及邮寄电子邮件等。病毒可以通过及时网络进行传播,因此网络病毒的感染范围非常大,感染效率较快,对企业网络系统具有较大的危害性。随着计算机技术的普及,网络技术在各个领域受到了大力推广,为网络病毒的传播提供了主要途径,并在很大程度上提高了网络病毒的感染效率。企业内部人员在使用介质软件或是数据时,都有可能促使企业网络系统感染网络病毒,致使企业网络系统出现崩溃现象,整个网络工程处于瘫痪状态,导致企业网络系统无法发挥自身的服务功能,会给企业造成严重的经济损失。除此之外,网络病毒还可以采取其他手段对企业网络系统进行病毒感染,例如窃取用户名、登录密码等。
1.4忽视内部防护
企业在构建网络化工程时,将对外工程作为系统防护重点,高度重视安全防火墙技术,并没有对内部防护工程的重要性形成正确的认知。安全防火墙只能提高企业网络工程的对外防护质量,对内部防护毫无作用,如果使用企业内的计算机攻击网络工程的局部区域,网络工程的局部区域将会受到严重破坏。现阶段,内部攻击行为也被列为企业网络安全建设的主要障碍性因素之一,因此,企业领导者要高度重视内部防护工程建设,只有这样,才能确保企业网络化工程实现安全建设。根据相关调查资料显示,现阶段,我国企业网络所遭受的安全攻击中,内部网络攻击在中发生事件中占据着非常大的比例,企业内部人员对于网络安全没有形成良好的防范意识、网络结构被无意泄漏、IP地址随意更改、乱用敏感数据等都会对企业网络系统内部防护工程造成巨大威胁。
2企业实现网络安全建设的具体措施
2.1完善网络安全体系
企业内部人员在构建网络化工程前,要深入了解网络信息的安全情况,对网络信息的需求进行准确把握,具体分析企业内部人员的使用情况以及非法攻击情况,继而采取科学合理的措施,开展具有针对性的信息安全管理工作,这样可以为网络安全建设提供基础保障。企业网络化工程安全性受到影响主要体现在两方面,分别是外部入侵、内部使用。内部使用是指企业内部工作人员没有遵照相关规范标准进行网络操作、信息安全防护意识存在缺失等,致使企业内部信息出现泄漏等现象;外部入侵是指网络木马、黑客攻击以及网络病毒等。这两种方式都会对企业网络安全建设造成巨大的不良影响,会致使企业信息丢失,危害企业的生存与发展,因此,企业内部人员应根据企业网络化工程的实际使用情况,构建相应的安全体系,企业领导者还要针对工作人员的行为进行标准规范,避免工作人员在实际网络应用中,出现违规操作行为,提高企业内部人员的安全防护意识,并构建软硬件防护体系,可以有效抵抗外部入侵,从而保障企业网络信息的安全。
2.2构建网络安全系统
现阶段,企业在网络化工程建设过程中,主要采取两种防护方式构建安全系统,分别是软件防护、硬件防护。面对现阶段科学技术发展对网络安全建设提出的要求,企业内部人员在构建网络安全系统时,应该将软件防护与硬件防护进行有效结合,只有这样,才能确保企业网络工程系统实现安全化建设,提高网络信息的安全性,促使网络化工程的服务功能得以全面发挥。随着企业规模的不断扩大,企业内部人员要想全面提升企业的网络化工程的防护能力,还要对网络硬件的使用情况进行深入分析,继而才能对防火墙服务器标准进行选择,这样可以有效提升服务器的可行性。企业内部人员要想构建良好的网络安全系统,首先要对系统硬件设备进行深入调查,确定系统设备类型,准确把握企业内部人员的实际使用需求,继而再对防火墙类型进行选择。
2.3对网络安全设置进行有效强化
首先,企业内部人员要对企业网络系统进行充分了解,准确把握其与互联网之间的接入方式,然后选择适宜的软件设备以及防火墙设备,这样可以促使互联网与企业网络化工程之间实现安全接入,有效提升企业网络工程的防护能力。对于企业原有的防火墙,不应进行拆除,应该在其基础上构建入侵检测系统,这样可以对企业内部网络工程的运行状况进行实时检测,如果有突况,可以进行及时反映,这样不仅可以为企业内部人员的工作提供很大的便捷性,还能为企业网络信息安全建设提供技术保障。为了实现移动办公,企业内部人员可以构建一种加密系统,例如,VPN加密系统,利用该系统,企业内部人员可以通过互联网对企业内网进行访问,而不必担心出现信息泄露等情况,可以有效提升企业网络安全的防护功效。
3结语
油田企业的数据信息资源,对油田企业非常重要,一旦受到破坏,将会给油田企业带来巨大的经济损失。所以在油田网络信息安全体系建设的过程中,需要将其安全性提升,加强外部安全建设。在预防为主的基础上进行,对外部因素、病毒因素的影响,只有将系统的安全性提升,才可以杜绝此类影响的发生。在油田网络信息安全体系建设中,建立防火墙,可以将体系的安全性提升,在网络和油田网络信息安全体系之间建立一个安全网关,保护体系不受非法入侵者侵入和攻击。防火墙的建设,将体系的安全性、网络的安全性提升,有效地阻止了体系的非法访问,不允许外网访问内网。在建设网络防火墙的基础,增加入侵检测设置,对系统入侵进行控制。入侵检测技术是防火墙的一种互补,可以提升油田网络信息安全体系中信息管理的性能,保证信息的完整性,减少网络威胁。
2加强内部建设
在加强外部安全建设之后,油田网络安全信息体系的建设,想要保证信息管理的安全性,保证信息的完整性,还需要加强系统的内部建设。从当前油田网络信息安全体系建设现状进行分析,加强内部建设,可以从设置系统访问权限、对网络病毒进行防治、加强网络信息安全体系的管理等方面入手。保证油田网络信息安全体系以及信息安全的有效手段之一,就是设置系统的访问权限,采用虚拟网络技术对油田企业的数据信息安全进行保护。其次是加强病毒防治技术的应用,提高网络信息体系的安全。病毒在网络中的传播途径和传播方法有多种,为了提升油田网络信息安全体系的安全,提升信息管理质量,需要坚持层层设防、集中控制、以防为主防治结合的原则,进行系统安全性的建设。最后加强系统的安全管理,如果网络安全管理缺乏,系统在工作的过程中,也会对数据信息的安全产生一定的威胁,为此需要在油田网络信息安全体系运用中,加强网络安全管理,提高系统的病毒防治有效性。
3结语
关键词:民航 信息网络 系统安
一、民航信息网络系统安全问题分析
近年来,随着我国经济水平的不断提升,大幅度推动民航领域的发展,在这一背景下,民航的信息网络系统随之进入建设高峰期,该系统除与飞机的飞行安全有关之外,还与空防和运行安全有着极为密切的关联,一旦系统出现问题,轻则会影响民航的正常运营,严重时将会危及到飞机的飞行安全,极有可能造成巨大的经济损失。如某机场的空管飞行数据处理系统发生故障,致使机场的空管雷达无法提供正常的数据,直接导致70余架航班不能按时起落降,数千名乘客的出行受到影响;又如,某航空公司的电子客票系统被黑客入侵,导致多名乘客的机票信息泄露,媒体报道后,造成严重的社会影响,诸如此类事件不胜枚举。
通过对国内一些航空公司进行调查后发现,绝大部分都曾经发生过信息网络安全事件,在诱发安全事件的原因中,计算机病毒、木马、电脑蠕虫等所占的比例较大,约为70-80%左右,网页被恶意篡改、端口扫描等网络攻击约为20-30%左右。上述安全事件之所以会频繁发生,主要是因为民航信息网络系统的安全防护水平不高,给恶意入侵、黑客攻击提供了可能。鉴于此,必须从管理和技术两个方面着手,加强民航信息网络安全建设。
二、民航信息网络安全建设策略
为确保民航信息网络系统安全,必须建立起一套科学合理、切实可行的安全管理制度,并采取先进的技术措施,提高系统的安全等级。
(一)加强安全管理
1.构建完善的制度体系。民航信息网络系统的安全离不开管理,而想要使管理发挥出应有的成效,就必须构建起一套较为完整的制度体系。各大航空公司应当结合自身的实际情况,并总结以往的经验教训,量身定制安全计划和方案,如网络信息安全等级保护与分级保护、安全通报制度等等,确保所有的安全管理工作都能有制度可依。与此同时,还应不断加强对相关人员的管理,提高他们的安全意识,从根本上保证信息网络系统的安全性。
2.做好管理维护工作。民航信息网络系统是由诸多设备组成,想要保证系统的安全,就必须做好运行设备的维护管理。鉴于民航信息网络系统的特点,即启动后不能随意关闭,因此,可从如下几个方面保证系统安全、稳定运行:①控制主机温度。可在信息网络系统建设时,为相关的硬件设施配备一套双机热备加磁盘阵列,这样能够确保网络信息系统的安全性,同时可以选用小型机作为民航运营数据库或是离港系统的服务器,该服务器采用的是分布式架构,其能够在确保安全的基础上,提高系统的可用性。②定期检查。民航信息网络系统中,有一些软件的可靠性相对较低,若是大量用户同时上线可能会导致系统死机的问题发生,通过定期的检查,能及时发现问题,并进行升级维护,由此不但能够提高系统运行效率,而且还能确保\行安全。
(二)安全技术措施
民航在进行信息网络系统安全建设的过程中,要采取合理可行的技术措施,为信息网络系统的安全保驾护航。
1.入侵检测技术。该技术是近年来兴起的一种网络信息安全防范技术,其能够通过对网络信息系统的审计数据、安全日志等进行检测,找出入侵以及入侵企图,这种技术最为主要的作用是对网络信息系统的入侵和攻击进行监控,进而采取相应的措施加以应对,从而确保系统的安全。民航可基于该技术构建一套相对完善的IDS系统,运用该系统对外部的非法入侵以及内部用户的非授权行为进行检测,发现并报告网络信息系统中的异常现象,对针对信息网络系统安全的行为做出及时有效地应对。
2.身份认证技术。该技术具体是对系统操作者身份的确认,其能够借助网络防火墙、安全网关等,对信息网络系统的用户身份权限进行管理,民航的信息网络系统一般只能对操作者的数字身份信息进行识别,而通过身份认证技术的应用,则可有效解决系统操作者物理与数字身份的对应问题,由此为系统的权限管理提供了可靠依据。民航在进行信息网络系统建设时,可以采用以下几种方式对系统操作者的身份进行认证:用户名+密码;用户基本信息验证,如证件号码、信用卡号等;特征识别,如视网膜、指纹、声音等。此外,还可以采用USB key,这样可以进一步提升系统的安全性能。
3.加密与数字签名。这是目前保障网络信息系统及数据安全最为常用的一种技术,它能够有效防止各种机密数据被外部窃取、更改,对于信息安全具有极强的保证。具体应用时,可对一些重要的文件进行加密,这样即便有非法用户入侵到系统当中也无法查看加密文件的内容,加密后等于给文件上锁,其安全性自然会获得保证。而数字签名则可确保用户收到的邮件均为所需用户发送而来,可有效防止垃圾邮件。民航在信息网络系统安全建设时,可合理运用加密和数字签名技术,为各类重要信息提供安全保障。
4.网路防火墙。民航在进行信息网络安全建设时,应当选用高端的防火墙产品,除要具备防火墙的基本功能之外,还应兼具VPN网关功能,建议采用分组过滤式防火墙或是双穴网关防火墙,同时要考虑不同接入方式的适应性。需要注意的是,防火墙要选用正版的,并定期进行升级,这样才能使其作用得以最大限度地发挥。
三、结语
综上所述,民航信息网络安全的重要性不言而喻,因此,必须做好信息网络系统的安全建设工作,民航企业可以结合自身的实际情况,制定科学的管理制度,并采取先进的技术措施,提高系统的安全性,这样不但能减少或是杜绝各类安全事件的发生,而且还有利于促进我国民航事业的持续发展。
参考文献:
[1]余焰,余凯.以空管信息为核心,建立民航信息集成共享系统空管系统信息网络建设需求分析[J].黑龙江科技信息,2015,(04).
[2]梁有程.分组交换技术在民航数据通信网络中的应用探析[J].电信网技术,2015,(07).
[3]赵航.以安全保障为前提的民航空管信息系统安全体系的研究[J].科技经济市场,2014,(07).
1.1网络升级改造引入安全新威胁
随着电信网络的全面IP化,原来互联网中才会存在的安全威胁被引入到电信网络中,如木马程序、僵尸程序、拒绝服务攻击等。在IP技术和传统电信网相融合的过程中,又出现了具有电信网特点的新安全威胁,例如利用IP技术针对电信网业务层面的攻击。
1.2移动终端的智能化存安全隐患
智能终端的接入方式多种多样、接入速度越来越宽带化,使得智能终端与通信网络的联系更加紧密。智能终端的安全性已严重威胁着电信网络和业务的安全,随着运营商全业务运营的不断深入,以前分散的业务支撑系统逐步融合集成,但核心网和业务网之间的连接通常采用直连的方式,安全防护措施相对薄弱。在智能终端处理能力不断提升的今天,如果终端经由核心网发起针对业务系统的攻击,将会带来巨大的安全威胁。另一方面,智能终端平台自身也面临着严峻的安全考验,其硬件架构缺乏完整性验证机制,导致模块容易被攻击篡改,并且模块之间的接口缺乏对机密性、完整性的保护,在此之上传递的信息容易被篡改和窃听。凭借智能终端高效的计算能力和不断扩展的网络带宽,终端本身的安全漏洞很可能转化为对运营商网络的安全威胁。
1.3安全防护体系建设相对滞后
随着云计算云服务、移动支付的引入和发展,给运营商现有的基础网络架构及其安全带来了不可预知的风险。新兴的电信增值业务规模不断扩大,用户数量不断增加,因此更易受到网络的攻击、黑客的入侵。新技术新业务在带来营收增长的同时,也带来了越来越多的安全威胁因素和越来越复杂的网络安全问题,使得运营商对新业务安全管控的难度越来越大。面对新技术新业务带来的风险,行业安全标准的制定相对滞后,现阶还不能够对威胁安全的因素做出一个全面客观的评估,因此也就谈不上制定相应的风险防范应对措施,并且业界对新领域的安全防护经验不够丰富,当出现重大威胁网络安全事件的时候,对故障的响应处理能力还有待商榷。
2电信运营商网络安全防护措施
2.1加强网络安全的维护工作
面对网络信息安全存在的挑战,基础安全维护工作是根本,运营商需要做好安全保障和防护工作,并在实践中不断加强和完善。对网络中各类系统、服务器、网络设备进行加固,定期开展安全防护检查,实现现有网络安全等级的提升。安全维护人员在日常工作中也必须按照规定严格控制网络维护设备的访问控制权限,加强网络设备账号口令及密码的管理,提高网络安全防护能力。
2.2加强新兴领域的安全建设
云计算、移动互联网等新技术新业务的发展,带来了复杂的网络信息安全问题,为了加强对新兴领域的安全管理,运营商需要从新领域安全策略的制定和安全手段的创新两方面着手。
2.2.1加强安全策略的制定
应对新技术新业务的挑战,对全网安全需要重新规划和管理,建立与之匹配的安全标准、安全策略作为行动指导,并形成对服务提供商的监控监管。在新业务规划时,安全规划要保持同步,从业务设计开始就应将安全因素植入,尽量早发现漏洞、弥补漏洞。
2.2.2加强安全手段的创新
新技术的发展让传统网络的安全系统和防御机制难以满足日益复杂的安全防护需求,需要有新的安全防御手段与之抗衡。因此集监控分析、快速处置为一体的云安全等新的技术手段就值得我们去不断研究,并进行商用部署。
2.3加强安全防护管理体系的建设
做好管理体系的建设,首先需要制定配套的规章制度。网络信息的安全,必须以行之有效的安全规章制度作保证。需明确安全管理的范围,确定安全管理的等级,把各项安全维护工作流程化、标准化,让安全管理人员和安全维护人员明确自身的职责,从而有效地实施安全防护措施和网络应急响应预案,提高运营商整体的安全防护能力。其次需要建立纵向上贯穿全国的安全支撑体系。随着网络的聚合程度越来越高,省份之间的耦合程度越来越密,全国就是一张密不可分的网。因此需建立全国一体化的、统一调度管理的安全管理支撑体系。当出现攻击时集团、省、市三级安全支撑队伍能联动起来,做到应对及时有效。
3结束语