網絡安全管理策略
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全管理策略范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全管理策略范文第1篇
關鍵詞:實驗室網絡安全 校園網安全 防火墻 安全策略
中圖分類號:TP303.08 文獻標識碼:A 文章編號:1007-9416(2013)09-0173-02
引言
高校計算機實驗室承擔著教學、培訓、考試等大量繁重的教學任務。特點是:應用軟件眾多,實驗操作繁雜且不固定,機器臺數多,上機學生不固定。因此可能會導致很多計算機或網絡異常,如何有效的對計算機實驗室網絡進行安全管理就成為一個值得研究的問題。
1 實驗室網絡結構與任務分析
1.1 網絡結構
結合眾多課程實訓要求,大多數實驗室為學生搭建了一套滿足各種局域網交換和廣域網路由測試需求的基礎網絡平臺,使學生在學習眾多應用軟件的同時,還可實現用戶管理、服務器配置、模擬各類實驗環境。80%以上都是基于10/100M交換機或路由器連接成星型拓撲結構,利用校園局域網連入互聯網。
1.2 實驗任務
軟件應用實驗:辦公自動化、網頁設計、圖片處理、圖象、聲音等媒體數據處理。
網絡應用實驗: DNS、DHCP、WWW、域控制器、郵件服務器等多種服務器的配置;網站建設,基于Socket的C/S編程,基于B/S編程等。
2 計算機實驗室網絡普遍存在的問題
(1)為了滿足教學需要安裝了多種軟件,電腦的運行速度較慢。計算機實驗室幾乎全天對學生開放,在超負荷運行下計算機出現故障率高,機器維護任務較重。(2)學生對計算機操作不熟練或不當操作,容易造成部分系統文件刪除或破壞;學生隨意修改主機密碼、CMOS設置、修改注冊表內容或本地安全策略,導致電腦系統無法正常運行。(3)學生私自將個人移動硬盤、U盤、MP3等帶入機房,安裝大量的個人文件、導致電腦系統運行速度降低,甚至導致大量文件感染病毒,使管理的難度加大。(4)學生從外網下載文件或者訪問帶有病毒的網站時,感染病毒可能造成系統及網絡的癱瘓甚至崩潰。(5)基于教學要求,在局域網上實現資源共享或者教學廣播,使病毒在局域網內大面積傳播,加重了計算機病毒的查殺難度。
(6)學生在實驗室內吃零食、早餐,污染實驗室環境或導致計算機短路,還有學生私自移動機器,可能造成計算機硬件損壞。
因此,為保證學生機快速恢復、優化,必須建立起一套行之有效的系統維護方案,用以保證實驗教學的順利進行,減輕實驗室管理人員的工作量。
3 安全管理策略
3.1 基礎校園網網絡安全策略
3.1.1 網絡安全結構
校園網絡安全是實驗室網絡安全的基礎保障。應制定統一的骨干網安全策略,保證基礎網絡平臺的安全性。
校園網可采用了包括路由器、防火墻和入侵檢測系統在內的三層結構化防御系統。
第一層防護由防火墻實現。可獨立配置防火墻,對內外網之間的通信進行嚴格過濾,保障內網信息安全。
第二層防護由邊界路由器實現。邊界路由器提供Internet與校園網的連接,利用Cisco路由器上所具有的PIX防火墻功能,可將學校的WWW服務器、DNS服務器、E-Mail等服務器一起放于PIX防火墻的DMZ區,從而阻止外部用戶對各服務器進行刪除、修改等非法操作,防止來自外部的攻擊。
第三層防護由入侵檢測系統來完成。合理配置檢測系統,對校園網內用戶操作、設備、端口、服務、賬戶管理、流量等信息進行統計分析,可利用故障自動報警、檢測日志,及時發現網絡異常并處理。
3.1.2 IP規劃
目前我校為實現網絡統一管理,使用靜態IP地址,學生在首次利用帳戶和口令登陸校園網后,網絡中心負責身份審核的服務器在身份驗證的同時,將其IP與MAC地址進行綁定。在后期用戶通信中定時檢測地址信息,發現MAC地址變換時,強行退出連接,但此種方法IP利用率明顯降低,而且給用戶使用帶來諸多限制,且接入層上只能使用交換機。學生為實現帳戶共享而選擇其他網絡接入方式,給我們后期網絡安全管理埋下隱患。
為解決上述問題,建議配置DHCP服務器,動態配置IP地址。但此舉措實施后,用戶如果私自建立DHCP服務器,可能造成網絡管理的混亂。
為防止用戶私自建立DHCP服務器造成網絡管理的混亂,在建網初期可選用支持DHCP Snooping功能的接入交換機。保證用戶的IP地址只能由網絡中心分配,而不能接受非法的IP提供。
為防止用戶將IP地址手動設置成與服務器地址相同的地址而造成IP沖突,建議職能部門全部采用支持IP Source Guard的交換機,用戶必須從合法的DHCP服務器上取得IP地址才可進行正常通信,私設IP地址將會被交換機自動禁止。
3.2 公共實驗室安全管理策略
目前,有些實驗室為簡化工作,采用安裝還原卡的方式來保證系統安全,但此舉措會給實驗操作帶來諸多限制,特別是計算機網絡方面的實驗,大都要求計算機重啟后才能完成實驗任務,而還原卡的使用在此時就成為一道不可逾越的圍墻,阻礙了實驗的正常進行。
為保證實驗操作的順利進行,應根據各校實際情況合理制定實驗室管理制度,以便對人員,設備,安全等實施管理。
(1)學生在機房不能吃零食、抽煙;學生不能私自使用U盤等移動硬盤;需認真填寫好機器使用情況登記表。(2)加強對學生的教育,培養其良好的網絡使用習慣。如不去瀏覽不安全的網頁;不接受來路不明的郵件,附件應先下載,殺毒后再打開;不隨意打開QQ等即時通信軟件中彈出的超連接等。(3)在每臺學生機上安裝殺毒軟件并及時升級。(4)及時打上系統漏洞補丁。(5)有條件的可以通過視頻監控實驗室的設備安全,應保證實驗室的監控設備正常運行。(6)對系統核心數據進行備份,方便系統還原。(7)做好防火、防盜、防毒、防漏等安全工作。對水源、電源、火源必須必須細心檢查,嚴防死守,杜絕事故發生。(8)實驗設備在使用的過程中應注意保養維護,做好設備使用的檔案記錄,確保設備完好、安全和有效地使用,避免損壞,造成浪費。對已達到或超過使用年限的設備,按有關規定申請報廢或降級使用。(9)制定完善的實驗室管理規章制度并嚴格執行。
3.3 專業實驗室安全管理策略
3.3.1 物理安全
網絡應用實驗中需完成 DNS、DHCP、WWW、域控制器、郵件服務器等多種服務器的配置,并驗證服務器功能,查看運行效果;若在連網狀態下,會受到校園網上各服務器影響,建議不連接校園網,僅用交換機或路由器連接,構成星型拓撲結構的小型局域網即可。
統一規劃IP。建議默認使用靜態IP地址。根據具體需求可合理設置子網掩碼,劃分子網。也可基于交換機端口劃分VLAN。
3.3.2 用戶安全
根據實際情況,可對所有用戶進行劃分,如:實驗室管理員,教師,學生。并進行分級授權,避免出現越權操作。
管理員為每一級用戶設置一個賬號和密碼,通過身份驗證才能進行權限內操作。
3.3.3 其他安全策略
(1)IP安全策略。可在學生機上設置安全策略,關閉某些服務和端口,以減少遭受攻擊的機率。例如:禁止使用139端口。
第一步,點擊“開始”菜單/設置/控制面板/管理工具,打開“本地安全策略”,選中“IP安全策略,選擇“本地計算機”;再選擇“創建IP安全策略”。第二步,在IP安全策略“屬性”對話框中,添加新的篩選器。第三步,在“篩選器屬性”對話框中,設置源地址為“任何IP地址”,目標地址為“我的IP地址”;“協議”選擇“TCP”,設置“從任意端口到此端口(139),完成篩選器建立。第四步,選中“新IP篩選器列表”,設置“篩選器操作”為“阻止”。第五步、“指派”。激活該IP安全策略。
(2)端口重定向。如果默認端口不能關閉,可將它“重定向”。即把該端口重定向到另一個地址,這樣便可隱藏公認的默認端口,降低受破壞機率,保護系統安全。
例如可將遠程終端服務(Terminal Server)端口(默認是3389),重定向到另一個端口(例如1234),方法是:
1)在本機上(服務器端)修改。
定位到下列兩個注冊表項,將其中的PortNumber,全部改成自定義的端口(例如1234)即可:
[HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\Wds\rdpwd\Tds\tcp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\WinStations\RDP-Tcp]
2)在客戶端上修改。
依次單擊“開始程序附件通訊遠程桌面連接”,打開“遠程桌面連接”窗口,單擊“選項”按鈕擴展窗口,填寫完相關參數后,單擊“常規”下的“另存為”按鈕,將該連接參數導出為.rdp文件。用記事本打開并在文件最后添加一行:server port:i:1234
以后,直接雙擊這個.rdp文件即可連接到服務器的此自定義端口了。
4 結語
實驗室網絡安全管理同其他網絡安全管理一樣,沒有一勞永逸的方法。因此管理人員需對實驗室系統數據定期進行備份。根據實際情況,合理安裝并配置操作系統,網絡協議,殺毒軟件;合理禁止帳戶、服務、端口;關注校園網網絡安全動態,適時調整相關安全設置;設置審核機制,監視運行情況,及時修復系統異常。并定期進行硬件維護、軟件維護、網絡維護和日常維護,方能保證計算機實驗室系統的正常、穩定運行。
參考文獻
[1]石淑華,池瑞楠.計算機網絡安全技術(第3版) [M].人民郵電出版社,2012-8.
[2]袁津生,吳硯農.計算機網絡安全基礎(第4版) [M].人民郵電出版社,2013-7.
[3]王薇.內部網絡安全管理系統分析 [J]. 計算機光盤軟件與應用 .2011.
[4]張東輝,王曉宇.校園網絡安全問題及對策[J].華東科技,2011-3.
[5]周英.多域網絡安全管理系統策略一致性研究與設計[N].四川文理學院學報,2013-3.
[6]蒲天銀.計算機網絡環境下可達性研究關鍵技術分析[N].湖南科技大學學報,2013-6.
[7]章思宇.基于DNS的隱蔽通道流量檢測[N],通信學報.2013-5.
[8]鄧越萍.校園網的安全防范策略[N].山西煤炭管理干部學院院報,2013-5.
[9]王錦.基于PK工的校園網身份認證系統的設計與實現「J].科技創新導報,2011-3.
[10]喬振,喬麗平,陳曉紀.PK工技術在校園網身份認證系統中的應用研究[J].福建電腦,2012.07.
[11]李晉麗,段小波,王琳 . 基于過濾驅動的安全密碼框的研究與實現[J].軟件,2013-3.
[12]王薇.內部網絡安全管理系統分析[J].計算機光盤軟件與應用,2011-11.
網絡安全管理策略范文第2篇
1.1網絡病毒
傳統病毒只是要破壞它們感染的設備,但是現代的病毒通常會通過Internet進行傳播、復制并破壞其他計算機。現在的網絡病毒具有明顯的功利性,不再是顯耀技術。很多這樣的病毒都會在感染的設備上安裝一個特洛伊木馬程序,特洛伊木馬程序可能不會進行任何直接的損壞,但是會將用戶的信息從它安裝的電腦上通過Internet發送到黑客那里,然后這個黑客了解它正在運行什么。軟件以及哪些位置易于攻擊,就可以對該設備發起一個有目標的攻擊了。更甚者是盜取客戶的銀行賬戶信息、股票賬戶信息、QQ信息、游戲賬戶信息、重要商業秘密等,進而進行實際的盜竊活動,造成客戶嚴重的資金損失。
1.2網絡入侵
(1)數據包嗅探器最普遍的安全威脅來自,同時這些威脅通常都是致命的。其中網絡嗅探對于安全防護一般的網絡來說威脅巨大,很多黑客也使用嗅探器進行網絡入侵的滲透。網絡嗅探器對信息安全的威脅來自其被動性和非干擾性,使得其具有很強的隱蔽性,往往使信息泄密不易被發現。數據包嗅探器指的是與局域網相連并從以太網幀獲取信息的應用程序軟件或硬件設備。這些系統的最初意圖在于對以太網通信進行故障排除和分析,或者深入了解幀以檢查單個的IP數據包。嗅探器以混合模式運行,即它們偵聽物理線路上的每個數據包(2)IP欺騙IP欺騙是指對IP數據包的源地址進行更改以隱藏發送方的身份。因為Internet中的路由操作只使用目標地址將數據包發送到它的路徑上,而會忽略源地址,所以黑客可能會偽裝這個源地址向您的系統發送破壞性的數據包,而您不了解它來自何處。欺騙不一定具有破壞性,但是它表明入侵隨時會出現。該地址可能位于您的網絡之外(來隱藏入侵者的身份),也可能是一個具有特許權限的受信任內部地址。(3)拒絕服務攻擊拒絕服務攻擊是最難阻止的攻擊,這些攻擊與其他類型的攻擊不同,因為它們不會對網絡產生永久性破壞,而是通過對某個特定的計算機或者網絡設備發起攻擊,或者將網絡鏈路的吞吐量降低到足以造成客戶厭煩和業務損失的程度,從而停止網絡的運行。拒絕服務攻擊利用TCP/IP協議的缺陷,有些DoS攻擊是消耗帶寬,有些是消耗網絡設備的CPU和內存。(4)應用程序層攻擊應用程序層攻擊通常是最引人注意的攻擊,通常利用應用程序(如Web服務器和數據庫服務器)中眾所周知的弱點。這些應用程序的問題在于它們被設計為供公共用戶訪問,這些用戶是未知的并且不可信任,尤其對于Web服務器來說更是這樣。大多數攻擊是針對應用程序產品中的已知缺陷的,因此最好的防護是安裝軟件生產商提供的最新更新。
2加強油田網絡安全的措施
2.1采用入侵檢測系統
雖然現在提倡使用入侵防御系統,但是入侵防御系統對于用戶的要求較高,需要用戶能夠分別出哪些程序與進程是無害的。而油田局域網內的大多數用戶并沒有這個能力。因此應該在核心機上添加入侵檢測系統,對于入侵檢測系統所捕獲的數據自有專業人士來進行分析,找出其中不正常的數據流。利用入侵檢測系統當發現網絡違規行為和未授權的網絡訪問時,入侵檢測系統中一般都有相應的安全策略來對不同的情況進行響應,而且用戶還能夠自定義自己需要的安全策略。防火墻與入侵檢測系統之間通過聯動協議能夠更好的對攻擊進行防御。
2.2防火墻之后串聯防毒網關,增強病毒查殺與垃圾郵件過濾功能
防毒網關在病毒殺除、關鍵字過濾、垃圾郵件阻止等方面有著較強的功能,能有效的彌補殺毒軟件與防火墻的不足,同時防毒網關還具有部分防火墻的功能,同時還能夠對VLAN進行劃分。防毒網關會對進出網絡的數據進行檢測,并對HTTP、FTP、SMTP、IMAP這四種協議的數據進行掃描,如果發現病毒就會采取相應的措施,例如隔離或者查殺。而且防毒網關還具有垃圾郵件的阻止功能也讓油田網絡免受垃圾郵件的干擾。
2.3應用漏洞掃描系統,規范各種應用
就現階段而言網絡漏洞掃描還是一種相當先進的系統安全評估技術,能夠及時的發現內網中的各種安全漏洞。然而這種技術雖然十分先進,但是仍然存在缺陷。因此在選用網絡漏洞掃描系統時要注意這樣幾個標準:①必須要通過國家相應的權威認證,目前主要有這些組織的認證,公安部信息安全產品測評中心、國家信息安全產品測評中心、安全產品測評中心、國家保密局測評認證中心;②漏洞掃描系統的最新漏洞數量與升級速度,非專業的人員也要能夠容易掌握系統的升級方法與漏洞更新方法;③漏洞掃描系統本身的安全性能,對于漏洞掃描系統本身的抗攻擊能力與安全性必須要進行考查、確定;④是否支持分布式掃描,掃描系統必須要具有靈活、攜帶方便、穿透防火墻的特性,如果掃描所發出的數據包當中的一部分被路由器、防火墻過濾,那么將會降低掃描的準確性。
3結語
網絡安全管理策略范文第3篇
總體管理要求
首先看一下數字出版的特點。
數字業務形態多樣:目前數字出版產品形態主要包括電子圖書、數字報紙、數字期刊、網絡原創文學、網絡教育出版物、網絡地圖、數字音樂、網絡動漫、網絡游戲、數據庫出版物、手機出版、App應用程序等,豐富的業務形態要求網絡提供多種接入方式、多種內容共享方式,同時要保證安全。
強調對數字化資源的管理:國外知名出版公司特別強調對數字化資源的管理,很多公司通過建設自己的內容管理平臺來更有效地建設、管理和重用數字化資源。湯姆森公司委托其下屬的Course Technology、Delmar、Promotric和NETg開發內容管理平臺LLG,計劃五年內完成;培生內部已經運行了WPS,與前臺的Coursecompass結合以更加有效的建設模式為學校提供服務;麥格勞-希爾出版公司已經成功地將內容管理平臺運用在百科全書的出版上。
整體安全性要求高:數據化資源對整體安全性要求較高,現在網上支付手段豐富,如快錢、Paypal、支付寶等都需要在純凈的網絡環境進行操作,以保護機構和個人財產安全;要求建立完善的數字版權機制,保障作者、編輯單位的合法權益;網上交易和傳播的數字內容越來越多。網絡安全形勢十分嚴峻,域名劫持、網頁篡改等事件時有發生,給網民和機構造成了嚴重影響和重大損失。工業和信息化部2010年的數據表明,僅中國網民每年需要為網絡攻擊支付的費用就達到153億元之多。
筆者認為,網絡的應用在出版機構一般經過三個發展階段:第一為溝通交流階段,在這個階段,出版機構的工作人員上互聯網、了解外界知識、通過即時通信工具溝通信息等。第二階段為管理應用階段,在這個階段,工作人員通過網絡協同辦公,出版機構采用ERP、財務管控系統等內部業務管理系統。第三階段為創造、創新階段,出版機構使用綜合業務系統進行數字內容收集、組織或加工,形成數字資產,通過網絡進行推廣。
根據這三個階段的應用特點,可以將管理要求歸結為:第一個階段應用比較簡單,用戶都可以使用網絡,要求網速快、安全性要求不高;第二個階段,并非所有用戶都能進入內部網絡,設定上網權限,同時能對帶寬進行有效管理,防止員工濫用網絡而擠占主要業務的網絡帶寬,防止堡壘在內部被攻破;第三個階段有了較多的數字資產,要防止網窺和盜竊行為發生,主動防御來自互聯網端的威脅,防止業務流數據和內容數據出現問題,保證數據安全,即能處理來自外部、內部的威脅,保存好數據,防范非法入侵。
管理及技術分析
根據數字出版的業務特點,筆者總結了消除網絡安全隱患的策略。
在第一應用階段,網絡中有防火墻、核心路由等元素,要保障物理線路暢通,具備一定的安全性。篇幅所限,這里不詳細描述了。
第二應用階段要求建立終端準入機制和應用控制機制。
此階段遇到的挑戰:用戶多導致內部安全問題,帶寬濫用情況嚴重。內網的安全事件約有70%來源于內網的接入終端,雖然網絡中使用了一些安全措施如應用防火墻、網絡設備訪問控制規則等改進了網絡的安全性,但由于網內終端數量較大、Windows系統的不穩定和多處漏洞,終端用戶的應用水平參差不齊等造成內網安全事件頻發。對內網終端的安全隱患管理和處理方法概括如下:建立用戶接入準入制度,防止截取地址信息隨意接入,對合法用戶接入訪問權限進行細化,加強整網應用安全機制。
同時,應用也存在監管的問題,如員工在日常工作時間進行P2P下載、看影視等從而擠占正常業務的網絡帶寬。因此,系統中要設應用控制網關,對帶寬進行有效管理,提供足夠帶寬給ERP、財務處理等主要業務,滿足吞吐量要求。網內用戶上網行為復雜,網絡中的異常流量、即時通信流量逐步增大,侵占了原本就不富余的出口帶寬;爆發內網安全事件時也會出現相應的流量異常,因此網內要設有行之有效的流量控制和分析手段,以便對網絡進行流量監管以及安全事件的快速定位。
在第三應用階段,可通過入侵檢測系統進行主動防御,對入網設備進行終端準入,建立獨立存儲甚至遠程異地災備系統。網絡入侵防御系統是一種在線部署產品,旨在準確監測網絡異常流量,自動對各類攻擊性的流量,尤其是應用層的威脅進行實時阻斷,而不是在監測到惡意流量的同時或之后才發出告警。這類產品彌補了防火墻、入侵檢測等產品的不足,提供動態的、深度的、主動的安全防御,提供一個全新的入侵保護。
第三階段是較高級應用階段,因數字出版應用內容豐富、強調應用安全、響應速度,網絡技術參數設定要對應用需求有足夠響應。
安全網絡應用實例
下面是一個出版公司在保障網絡安全方面的具體方案,其他數字出版企業也可以從中借鑒。
一、使用一臺IP存儲解決專業存儲問題。
信息或數據在IT系統中,必然處于計算、存儲、傳輸三個狀態之一。這三個方面也正好對應于整個IT架構的三個基礎架構單元――計算、存儲和網絡。該方案選用一套高端SAN存儲作為整個信息系統的核心在線存儲。
該方案中,核心存儲設備通過IP SAN交換機與局域網多臺服務器建立連接。服務器通過普通千兆網卡或iSCSI HBA卡接入IP SAN。核心存儲設備提供海量存儲空間,實現高穩定性、高可靠性的數據集中和存儲資源統一管理。核心存儲設備可以混插高性能的SAS磁盤和大容量的SATA II磁盤,單臺設備即可滿足兩種不同的應用需求,大大提高設備性價比。核心存儲也可以滿足包括數據庫、Web、OA、文件等多個應用的集中訪問需求。ERP應用作為關鍵應用之一,IX3000存儲上為其提供獨立的存儲空間,并采用15000轉的SAS硬盤。
二、以應用控制網關解決帶寬利用和用戶上網行為監管問題。
公司員工越來越依賴于互聯網的同時,上網行為卻不能得到有效控制和管理,不正當地使用互聯網從事各種活動(如網上炒股、玩游戲等)會造成公司外網運行效率下降、帶寬資源浪費、商業信息泄密等問題。該公司的財務部曾反映,在制作半年報期間網絡時常不通,導致工作無法進行。經查是防火墻嚴重超負荷造成,負載時常超過90%,這些都是過度使用網絡資源產生的后果。
該公司的解決方案如下:在公司出口防火墻與核心交換機之間部署一臺應用控制網關。該網關可以很好地完成公司信息中心對員工行為監管的需求,針對P2P/IM、網絡游戲、炒股、非法網站訪問等行為,可以進行精細化識別和控制,解決帶寬濫用影響正常業務、員工工作效率低下、訪問非法網站感染病毒蠕蟲的問題,幫助公司規范網絡的應用層流量,為公司創造一個良好的網絡使用環境。
三、通過端點安全準入系統EAD解決終端安全問題。
為了彌補公司現有安全防御體系中存在的不足,公司部署了一套端點安全準入防御系統,旨在加強對員工電腦的集中管理,統一實施安全策略,提高網絡終端的主動抵抗能力。終端安全準入防御將防病毒、補丁修復等終端安全措施與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系,通過對網絡接入終端的檢查、隔離、修復、管理和監控,使整個網絡變被動防御為主動防御,變單點防御為全面防御,變分散管理為集中策略管理,提升了網絡對病毒、蠕蟲等新興安全威脅的整體防御能力。
終端安全準入防御通過安全客戶端、安全策略服務器、接入設備以及病毒庫服務器、補丁服務器的相互配合,可以將不符合安全要求的終端限制在“隔離區” 內,防止“危險”客戶端對網絡安全的損害,避免“易感”客戶端受病毒、蠕蟲的攻擊。
四、使用入侵檢測系統阻止來自互聯網的攻擊行為。
在公司互聯網出口部署1套千兆硬件入侵防御系統,專門針對公司服務器應用層進行防護,填補防火墻安全級別不夠的問題,并與防火墻一起實現公司網絡L2-L7層立體的、全面的安全防護。
千兆高性能IPS入侵檢測系統可以針對公司Web服務器三層架構中的底層操作系統、中間層數據庫服務、上層網頁程序的每一層提供安全防護。為公司Web服務器提供包括漏洞利用、SQL注入、蠕蟲、病毒、木馬、協議異常等在內的應用層安全威脅的防范,防止網頁被篡改的發生,并在每檢測和阻斷一個針對Web服務器的安全威脅之后,記錄一條安全日志,為公司服務器的安全審計和安全優化提供全面的依據。
綜合管理措施
筆者認為,要維護數字出版公司網絡安全,在網絡綜合管理上要同時做好以下幾點:
制定合理有效的計算機網絡系統工作管理規定,明確責任,分工到人。
設置全集團(公司)網絡管理員制度,各分(子)公司專人對網絡和終端進行管理。
中心機房設置專人管理機房網絡設備,定期檢查并分析設備日志,定期升級軟件和補丁,防止“破窗”出現,發現異常及時處理。
定期召開網絡應用會議,通報網絡安全情況,部署下一階段工作重點。要打造一支能協同的團隊,這比單純有幾臺好設備要復雜,培訓、協同和組織要付出更多心血。
網絡安全管理策略范文第4篇
【關鍵詞】電力企業信息安全管理策略
電力是國民經濟的命脈,電力系統的安全穩定,不但直接關系到國家經濟的發展,還對民眾的日常生活有著巨大的影響。當前隨著電力企業市場業務的不斷開展,其與互聯網的聯系也越來越密切,但互聯網存在著很大的自由性和不確定性,可能會給電力企業帶來潛在的不安全因素。而當前電力企業的信息安全建設僅僅停留在封堵現有安全漏洞的階段,對于系統整體的信息安全意識還不夠。因此有必要對電力企業信息系統整體安全管理進行分析研究,有針對性的采取應對策略,確保電力企業網絡信息可以實現安全穩定運行。
1做好安全規劃
做好電力企業的網絡安全信息規劃需要做到以下兩點:
(1)要對電力企業的網絡管理進行科學合理的規劃,要結合實際情況對電力企業的網絡信息安全管理進行綜合考量,從整體上對網絡信息安全進行考慮和布置。網絡安全信息管理的具體開展主要依靠于安全管理體系,這一點上可以參照一些國外經驗;
(2)電力企業因自身的獨特性質,需要使用物理隔離的方法將內外網隔離開來,內網方面要合理規劃安全區域,要結合實際情況,將安全區域劃分成重點防范區域與普通防范區域。電力企業信息安全的內部核心是重點防范區域,在此區域應當設置訪問權限,權限不足的普通用戶無法查看網頁。重要的數據運行如OA系統和應用系統等應該在安全區域內進行,這樣可以保證其信息安全。
2加強制度建設
安全制度是保障電力企業網絡信息安全的關鍵部分,安全制度可以提升企業員工和企業領導對網絡信息安全的意識,電力企業需要將安全制度作為企業的工作核心,要結合當前的實際情況,建立起符合電力企業網絡信息安全的管理制度,具體操作如下:
(1)做好安全審計,很多入侵檢測系統都有審計日志的功能,加強安全制度建設就需要利用好檢測系統的審計功能,做好對網絡日常工作的管理工作,對審計的數據必須要進行嚴格的管理,不經過允許任何人不得擅自修改刪除審計記錄。
(2)電力企業網絡系統需要安裝防病毒軟件來保障網絡信息的安全,安裝的防病毒軟件需要具備遠程安裝、報警及集中管理等功能。此外,電力企業要建立好網絡使用管理制度,不要隨便將網絡上下載的數據復制在內網主機上,不要讓來歷不清的存儲設備在企業的計算機中隨意使用。
(3)電力企業的管理者要高度重視其企業的網絡安全制度建設,不要把網絡信息安全管理僅僅看作是技術部門的工作,企業中應建立起一支專門負責網絡信息安全的工作領導小組,要做好對企業內所有職工的培訓,最好能讓每一名職工都擁有熟練掌握網絡信息安全管理的能力。企業管理者要明確相關負責人的工作職責,定期對網絡安全工作開展督導檢查,管理制度需要具備嚴肅性、強制性和權威性,安全制度一旦形成,就必須要求職工嚴格執行。
3設置漏洞防護
隨著當前計算機網絡技術的迅速發展,很多已經投入運行性的網絡信息系統和設備的技術漏洞也隨著網絡技術的不斷發展而日益增加,這在很大程度上給了不法分子竊取電力企業網絡信息系統數據的機會,對此電力企業需要做好以下兩項工作:
(1)電力企業需要利用一些漏洞掃描技術來維護企業的網絡安全,要對企業的網絡信息系統經常開展掃描工作,從而及時發現系統漏洞并完成修復。這樣可以提升企業網絡信息安全系數,不但能阻斷不法分子入侵企業信息系統的途徑,還可以使企業避免需要經常性更換網絡信息系統設備可能增加的經濟負擔,從而促進企業實現長遠發展;
(2)電力企業需要提升對網絡信息安全的風險防范意識,增強企業應對突發事件的應急處理能力,針對不同的信息安全風險需要設置好不同的預警機制。要定期檢查企業的網絡信息安全技術,防止網絡安全漏洞的出現。還要及時做好對網絡信息防護新手段的更新工作,從而提升企業網絡信息系統的保護強度。
4提高管理手段
科學合理的企業網絡信息安全管理手段不僅可以維持電力企業的工作進度,還能有效規避企業網絡信息中所存在的安全隱患。提高企業網絡信息安全管理手段需要做到以下兩點:
(1)建立入侵保護系統IPS,提升企業網絡信息安全管理指標。在電力企業網絡管理系統中建立網絡入侵保護系統IPS,可以為網絡信息提供一種快速主動的防御體系,IPS的設計理念是對常規網絡流量中攜帶的惡意數據包進行數據安全檢測,若發現可疑數據IPS將發揮網絡安全防御功能,來阻止可疑數據侵入電力系統的網絡信息系統。與常規的網絡防火墻相比,IPS具備更加完善的安全防御功能,其不僅能對網絡惡意數據流量進行檢測還能夠及時消除隱患。此外,IPS還能為電力企業的網絡提供虛擬補丁,從而預先對黑客攻擊和網絡病毒做出攔截,保證企業的網絡不受損害;
(2)電力企業要加大對新型網絡信息安全技術的研發投入,在組建企業網絡信息安全系統時,要對系統各組成部分做嚴格檢查,確保設備符合安全標準。對于組建網絡信息系統所需要的設備和部件則必須要求供應商提供相應的安檢報告,嚴防設備和部件的安全隱患。對于企業已投入使用的系統和設備,必須定期做好檢查,以確保安全系統能夠順利有效的開展防護工作。
5總結
綜上所述,本文通過維護電力企業網絡信息安全管理的相關策略進行研究發現,運用做好安全規劃、加強制度建設、設置漏洞防護和提高管理手段四項措施可以起到提升企業網絡信息系統的保護強度、建立起符合電力企業網絡信息安全的管理制度從而確保安全系統能夠順利有效的開展防護工作的良好效果,希望本文的研究可以更好的提升我國電力企業的網絡信息系統的安全管理水平,為維護我國電力系統的安全運行做出貢獻。
參考文獻
[1]鄭玉山.電力企業網絡和信息安全管理策略思考[J].網絡安全技術與應用,2017(06):121+123.
網絡安全管理策略范文第5篇
【關鍵詞】計算機;網絡信息;安全管理;管理策略
引言
自21世紀以來,互聯網的普及與應用,使現實世界中的信息資源實現了數據化轉變,這也使人們在日常生產生活中能夠通過互聯網來隨時隨地地獲取這些信息資源,從而極大程度地提高了社會生產效率,信息化社會也由此來臨。在互聯網中包含著海量的數據信息,而這些數據信息在經濟、社會等方面有著巨大的價值,但因互聯網具有開放性特點,這也使這些極具價值的數據信息極易發生泄漏,其安全性正面臨著極大威脅。現實社會中頻繁出現的網絡信息泄漏問題,正不斷提醒著人們需要采取相應的措施來防范網絡信息安全問題,為此,探討和分析計算機網絡信息安全管理的相關策略。
1對計算機網絡信息安全技術予以高度重視和積極運用
在信息化時代下,我國對計算機網絡信息安全技術開展了大量的研究,并涌現出了許多行之有效的技術手段,從而為我國計算機的網絡信息安全管理打下了堅實的基礎。用戶在進行計算機網絡信息安全管理過程中,必須要對與網絡信息安全相關的一系列技術手段進行全面掌握,使這些技術手段能夠在管理工作中得到有效的運用。通常來說,在現有的網絡信息安全管理中,比較富有成效的措施及方法主要有以下幾種。第1種是身份認證及鑒別技術,通過這種技術手段,能夠對管理主體在進行系統操作時的身份信息以及是否具備操作權限來進行辨別和驗證。第2種是密文技術,即數據加密技術,該技術需要具有合法使用權的主體,采用一系列的加密措施來打亂數據結構,使其成為外人無法看懂的密文,從而確保數據安全。現階段,數據加密技術主要有兩種經常被使用,分別是對稱加密技術和非對稱加密技術。第3種是防火墻技術,將該技術應用到互聯網平臺之中,能夠實現內外部網絡的有效隔離,從而屏蔽存在風險的網絡地址,其通過分析和過濾的方式來驗證流出IP包的風險性,以使內網安全得到可靠保護。第4種是虛擬專用網絡技術,該技術又被稱之為VPN技術,通過該技術的應用,能夠使用戶在公共網絡中組建對應的局域網絡,該技術以路由過濾技術和隧道技術作為其兩大主流機制。在計算機網絡信息保護中,該技術的應用不需花費較高的成本,而且組網效率較高。第5種是安全隔離技術。近年來,互聯網在使用過程中所面臨的攻擊手段正變得越來越多樣化,為了有效應對這些層出不窮的攻擊手段,就需要通過安全隔離技術來進行風險隔離,通過信任列表來添加安全的應用程序,以此防止風險程序給計算機中的數據安全造成威脅。現階段,安全隔離技術主要由雙網隔離與安全隔離網閘所組成。第6種是入侵檢測技術。在用戶系統遭到網絡攻擊時,入侵檢測技術能夠自動對用戶的計算機及其網絡內部進行檢測,當其發現網絡攻擊存在時,會提前發出預警,并采取相應的措施來對即將到來的網絡攻擊進行有效應對,以此消除網絡攻擊威脅。該技術相比于其他技術來說,具有主動性特征。現階段,隨著入侵檢測技術的發展,這種技術已經逐漸從智能化檢測發展為全面化的安全防御方案,這也是該技術的未來發展趨勢所在。上面所闡述的技術,只是現有計算機網絡信息安全技術中的幾種,在互聯網高速發展的新時代下,將有更多的信息安全技術得以涌現出來,而這也使其必將更加有效地應對信息安全威脅。用戶在進行計算機網絡信息管理時,必須要對這些技術有所了解和掌握,并在實際管理中積極地運用這些技術,這樣才能使計算機網絡信息的安全管理工作得以高效進行,從而全面提高網絡信息管理水平。
2對信息安全管理體系進行不斷完善
在計算機網絡信息管理中,科學技術的發展,使各種信息安全技術為管理工作的高效性提供了可靠保障,不過僅僅依賴于信息安全技術的應用,勢必無法滿足用戶對網絡信息管理的工作要求。在對各種信息安全技術進行運用的同時,用戶更應從以下方面來不斷完善信息安全管理體系,這樣才能真正提高計算機的信息安全管理水平。
2.1法律法規的可靠支持
計算機網絡信息安全的管理需要具有相應的法律法規來予以可靠支撐,只有在法律法規的支持下,才能更好地維護計算機的網絡環境安全,保障信息不會發生泄漏。而這對計算機用戶而言是至關重要的,因此,通過法制保障,能夠使社會各類群體乃至每個個體都能對法律法規進行嚴格的遵守,這樣可使計算機網絡的使用變得更加規范、安全、合理。對于計算機網絡信息管理而言,其在開展過程中需要將法律法規作為依據,我國自出臺《中華人民共和國網絡安全法》以來,使法律在計算機網絡信息安全管理中發揮著重要的引導和規范作用,同時,該部法律的出臺還能有效威懾不法分子的網絡違法行為,進而保障計算機網絡中的信息安全。因此,計算機用戶在進行網絡信息管理時,也要根據法律法規中的相關規定,并結合自身實際情況及需求,在信息安全管理中對具有可行性的規章制度及管理辦法進行制定,以便于保障信息安全的規范化管理。
2.2組織保障
在信息安全管理工作中,組織保障也是必不可少的,而這就需要管理主體來提供組織保障,在此過程中,需要成立專門的部門來對組織保障中的架構進行制定與完善,同時明確內部責任,以此全面提高計算機網絡的信息安全管理成效。在信息管理中,信息安全管理部門需要制定相應的管理戰略及措施,以確保該部門能夠在信息安全管理工作中發揮出應有的統籌指導作用。除此之外,該部門還要下設信息安全技術中心、網絡信息安全研究辦公室等下屬機構,以便于更好地開展信息安全管理任務,提高其工作有效性。
2.3專業團隊
對于計算機用戶而言,網絡信息安全管理需要具備強大的團隊來進行支撐,因此需要組建一支高素質、高能力的專業化管理團隊,通過該團隊來保障計算機網絡信息安全管理的順利開展。所以,信息安全管理部門應在組建專業化團隊過程中,明確人才引進方式,并制定科學的人才培養方案,使專業化團隊中的成員具備出色的信息安全管理能力,同時,還要對團隊人員的法制觀念進行重點培養,確保專業化團隊在進行計算機網絡信息安全管理時能夠全方位地提高其整體質量。
2.4安全教育
安全教育工作也至關重要,只有做好安全教育工作,才能增強計算機用戶的網絡信息安全防范意識,提高其安全管理能力,這也是提高計算機信息安全管理水平的必由之路。因此,對于信息安全管理部門而言,需要積極宣傳法律法規,同時大力推廣信息安全管理技術,對工作人員的計算機使用行為進行嚴格規范,以此全面提高計算機系統對網絡攻擊的抵御能力。
