時間:2023-07-07 16:27:04
導語:在網絡安全內網管理的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
一、領導重視,組織機構健全
我局建立健全了電子政務內網領導體制和工作機制,制定了《公文網上交換工作制度》、《電子政務內網安全保密制度》、《縣食品藥品監管局電子政務內網管理制度》和《電子政務內網管理員職責》,明確由副局長專門分管電子政務內網工作,辦公室主任負責電子政務內網日常管理工作,由責公文網上交換、信息維護和設備管理。
二、硬件管理及網絡安全
2014年,我局一是嚴格安裝黨政網管中心的要求,電子政務內網實行專機專用,嚴格執行公文網上交換機與互聯網等外部網絡物理隔離、公文網上交換用戶名和密碼使用管理規定,嚴格維護網絡的安全;二是配備了必要的安全防護設施并確定為管理人員,該同志熟悉內網管理,并認真參加相關培訓。三是內網計算機上沒有安裝游戲或與工作無的程序,確保內網安全;四是認真做好電子政務內網終端設備的防病毒工作,配備隔離卡和防病毒軟件,軟件及時升級,及時給系統打補丁,及時更新病毒庫,經檢測,沒有測到內網計算機上有病毒、木馬等有害程序;五是禁止在電子政務內網計算機上不隨意使用來歷不明或攜帶病毒的光盤、U盤等移動存儲設備禁止在電子政務內網計算機之間交叉使用U盤等移動存儲設備;禁止在沒有防護措施的情況下將國際互聯網等公共信息網絡上的數據拷貝到電子政務內網系統;禁止在內網終端上使用具有無線互聯的設備。六是內網計算機與互聯網等網絡物理隔離,沒有接入過互聯網。
三、公文運轉及信息上報
公司秉承服務與創新精神,依托專業人才團隊,建立了完善的科研、生產、銷售、實施、服務管理體系,為用戶提供從項目咨詢、需求分析、方案制定到產品實施、優化、培訓、支持等一整套的專業服務;公司重信譽、重品質、重服務,先后獲得了眾多資質與認證,已經擁有微軟等眾多高級合作伙伴。
作為專注于信息安全領域的專業研發企業,信安寶在入網管理、網絡安全、文檔安全、文檔透明加密、云加密技術、客戶端防護、打印安全與管理、整體數據防泄漏防護(DLP)等應用方向擁有國際領先的科技,產品完全擁有自主知識產權,并有眾多創新和專有技術,信安之星系列產品是聚幾十位專家工程師十余年研發之力而成就的完整信息安全解決方案,有數以千計的用戶應用積累以及實施經驗,為廣大用戶提供全方位的、可靠的信息安全屏障。
信安之星(iSecStar)內網管理系統(企業版、高級版、入網管理版、文檔加密版、定制版)是多功能多應用的內網管理系統,主要滿足十大內網管理需要:入網管理、上網管理、文檔防護、U盤管理、打印管理、補丁更新、行為管理、桌面管理、設備管理、系統運維,另外還有資產管理、網絡防護、高級拓展功能等,全面解決辦公網絡關聯的安全、防護、管理、監控、運維等問題。
信安之星(iSecStar)打印管理系統(企業版、高級版)滿足當前重安全,控成本、信息化、移動、集約辦公管理需要的新一代打印監控管理系統。
信安之星(iSecStar)U盤安全管理系統(企業版、高級版)是專業用來規范企業或組織內的U盤使用,保護U盤及數據安全的軟件系統。
信安之星(iSecStar)云加密系統(企業版、高級版)在“文檔安全管理系統”基礎上,集成了虛擬加密技術,獨創VirTunnel、VirMTNet、VirMTLocal等技術,是國內外領先的云加密解決方案,它主要應用于文檔云加密安全系統、數據云加密安全系統。
而更加自由的網絡應用也逐漸成為當前最大的業務需求
當政府網絡部署無線系統后
與性能相關的各項技術指標則成為建設之重
用戶背景
深圳市司法局成立于1980年11月,是市政府主管司法行政的工作部門,其主要職能是貫徹、執行國家司法行政工作的方針、政策和法律、法規,負責起草涉及本市司法行政工作的法規及規章的草案,制訂本市司法行政工作的中長期規劃和年度工作計劃,并監督實施。
用戶需求
深圳市司法局初期為辦公大廈搭建了一套有線網絡系統。該網絡系統是深圳市司法局內部辦公網絡,承載司法局內部重要信息和機密文件,并支撐深圳市司法局電子政務系統的運行。因此,需要絕對的安全。
內部網絡不允許任何來自內網、外網的安全威脅。而隨著業務延伸和應用多元化,封閉式內部網絡已經無法滿足業務需求。因此,深圳市司法局決定構建一套與業務網絡完全獨立的外網系統,以滿足更多的應用需求。
深圳市司法局要求新網絡必須絕對獨立,以使物理層與業務網隔離,從而完全杜絕所有來自內、外網絡的隱患。新網絡必須靈活可用,還需要作為原有網絡的補充和延伸。此外,除能夠為內部工作人員以及外來人員提供服務外,還需要滿足高速度、高穩定、高安全、高可用等性能。
解決方案
針對深圳市司法局的需求,他們決定采用無線網絡。并以高性能三層千兆交換機GSM7312作為深圳市司法局外
網的核心交換機,直接連接服務器,通過防火墻接入Internet,同時向下連接工作組智能交換機FS726T。
GSM7312提供12個10/100/1000M RJ-45端口(所有端口支持自協商和MDI/MDIX線纜自適應),12個MiniGBIC (SFP) 插槽可提供千兆光纖的連接(每一個1000Base-T與對應的MiniGBIC端口共享使用)。靈活的端口配置為深圳市司法局組建外網提供了極大的靈活性。
通過GSM7312的光纖接口,以千兆光纖連接樓層機房的工作組交換機FS726T。FS726T具有24個10/100 Mbps端口,2個10/100/1000 Mbps RJ-45上聯端口和1個可選用光纖連接的SFP插槽。
無線接入點采用WG302 AP,其具IEEE 802.11g的特性,使得在Turbo模式下能最高支持108Mbps高速。WG302內置了專為企業而設置的AutoCell技術,保證強勁的RF射頻管理和控制。WG302支持WPA、801.1x,能充分保證內網安全。
深圳司法局所在的天平大廈每層面積1000平米左右,共22層,通過信號測試并根據應用需求,可以在每個樓層的不同位置設置數量不等的WG302作為無線接入點,以保證接入效果和覆蓋面積。通過WG302內置的AutoCell技術可輕松調控無線性能。
為了使整個網絡便于管理,深圳司法局采用了ProSafe NMS100,可以與任何一種使用工業標準的簡單網管協議(SNMP)的可網管設備一起運作,如二層交換機 、三層交換機、無線AP、傳統的路由器、服務器和打印機等。
NMS100可幫助深圳司法局配置、管理和診斷網絡,確保網絡能以適時的、可靠的和最少花費的方式交付數據和服務。NMS100使用非常簡便,同時,它還提供預警和保護,NMS100使需要監測和控制的各種復雜的數據網絡的網絡管理任務變得更容易。
此外,深圳市司法局還配備WG111 IEEE802.11g 的USB 2.0無線網卡。WG111提供最大的無線局域網絡的安全性,支持40位(也稱為64位)和128位WEP有線等效加密。并且還可通過軟件升級將支持802.1x與WPA,與WG302一同提供高安全特性的無線網絡,確保只有合法的用戶才能聯入無線網絡。
同時,WG111還采用特別設計的天線,擁有更強信號覆蓋范圍“拇指型”小巧外觀設計。
方案特點安全性
司法機構存儲大量絕密文件,要求極高的安全特性,采用物理隔離的方式可充分保證內、外網安全。本項目所采用的無線產品均具有802.1x、WPA、WEP等多種加密方式,同樣可保證無線網絡安全。
NMS100可以對網絡進行監測和預警,以保證網絡安全運行。
可用性
三層交換機GSM7312功能強大,支持多種路由協議,提供512條路由表項、線速的IPv4路由、VRRP、ICMP、RIP v1和RIP v2、OSPF v2等。并且還具有DHCP/BOOTP的中繼能力、鏈路聚合、廣播風暴控制、廣泛的VLAN虛擬局域網支持等交換協議,以及多種QoS。
FS726T網管智能交換機,擁有超高性價比,并提供必要的管理功能。
管理性
(一)中小學學生網絡安全防范意識薄弱,不良信息肆意傳播
中小學學校網絡的主要用戶是在校學生,他們對網絡安全不夠重視,法律意識也不是很強。對網絡新技術充滿好奇。在好奇心的驅使,在網絡中隨意瀏覽網頁和訪問陌生網絡地址,致使電腦受到病毒、木馬有害程序的攻擊而導致數據丟失、機器癱瘓,還會傳播一些不良的文化,影響到學生的學習和生活。
(二)校園網網絡病毒廣泛存在
校園網與internet相連且速度快和規模大,在享受internet方便快捷的同時,也面臨著來自internet攻擊的風險。網絡病毒的危害性是極大的,其傳播速度快,波及范圍廣,造成的危害都是很大的。病毒侵入某一網絡以后,根據其設定的程序,有效地收集相關有價值的信息,然后通過自動探測網內的其它計算機的漏洞,進行攻擊。
(三)校園網管理存在問題
很多學校的網絡管理員的都具有一定的專業水平,基本可以勝任本職工作,但是可能是學校對網絡安全不是很重視,或者因為個人某些方面的原因,造成工作熱情不高、責任心不強,所以很少花心思去維護網絡、維護硬件。同時學校對學生的網絡規范使用教育也缺乏足夠的宣傳力度,還有的學校缺乏必要的網絡信息監控措施,允許學生通過校園網直接訪問互聯網,導致一些學生無意的接觸到大量的非法網站,不但造成數據和信息的丟失,而且嚴重影響了學生的身心健康,同時也對建立和諧校園產生不良影響。
(四)校園網管理技術較為單一
當前,很多的中小學校都只是依靠單一的技術或者獨立的安全產品來保證校園網絡的安全。隨著網絡安全風險的逐步提高,當校園網絡受到安全隱患時,這些較為獨立的安全產品一般會各自為戰,使得原有的安全防范措施不能夠發揮應有的作用,這很難滿足目前中小學校校園網對于安全的需求。
(五)校園網維護存在問題
維護的工作量是很大的,并且很困難,需要一定的人力、物力,然而大多數學校在校園網的設備投入和人員投入很不充足,有限的經費也往往主要用在網絡設備購置上,對于網絡安全建設,普遍沒有較系統的投入。
二、如何加強校園網絡安全管理
(一)加強學生的網絡安全教育和管理
中小學學校要對學生進行網絡規范教育,使學生充分認識到網絡的利與弊,同時學校也應加強對學生的法制教育,增強學生的法律意識,進而減少網絡犯罪行為。中小學學校應加強校園文化建設,正確的指導學生多從事一些有益身心的社會活動,避免學生迷戀于虛擬的網絡,迷失了自我。只有這樣,才能凈化網絡環境,培養學生的自律意識,使網絡在學校的教育工作上,發揮其積極作用。使網絡更好的服務于教育,服務于信息科技的發展,服務于社會的前進。
(二)制定可行的校園網絡安全管理制度
為了確保整個校園網絡的安全有效運行,制定出可行的校園網絡安全管理制度。
1)建立一個信息安全管理機構,制定統管全局的網絡信息安全規定;
2)制定激勵制度,增強網管人員的責任心并激發網管人員的工作熱情;
3)加強網管人員的專業技能培訓工作,從技術上提升他們對網絡攻擊的應對能力;
4)學校其它專業也應安排網絡安全基本知識的教育,普及非計算機專業師生信息安全知識的教育;
5)加大網絡安全建設的資金投入。
(三)對學生實施上網行為管理
在教學開放網絡的同時,使用網絡行為管理軟件(例:海蜘蛛軟路由)進行管理。如設定網頁關鍵詞過濾;過濾具有不良信息的網站;控制學生所上的網站。做到不允許的網站不能訪問,一旦學生訪問不允許訪問的網站時,強制跳到預定的網站。真正達到允許上的網學生能上網,不允許上的網學生不能上網。
(四)實現域用戶身份認證的過程
在校園網提供更高層次服務時,對于用戶身份的認證及其服務權限的管理需求也在不斷提高。以前較為獨立的系統很難達到身份認證的需求,因此需要一個完備的系統,對整個校園網用戶進行身份的認證和管理。配備網關認證流控設備,要求所有的內網用戶假如想要訪問外網都需要進行用戶認證。對非法接入的用戶和設備應該嚴厲打擊。這種辦法不但可以確保網絡的安全性,同時還能夠很好的提升網絡帶寬的利用率,極大的提高了效率。
三、結語
【關鍵詞】檢察機關;網絡安全;信息化建設
檢察機關作為國家法律監督機關,站在現代科學技術前沿,建立科技型檢察院,運用高科技服務檢察工作,更好地打擊犯罪,維護司法統一和公正,已是勢在必行,刻不容緩。 近年來,全國檢察機關積極響應科技強檢戰略的號召,按照高檢察的統一要求和部署,絕大數基層檢察院都已經完成本單位檢察內網的建設和實現三級檢察專線網絡的建設,實現了全國檢察機關內部網絡的互聯,為檢察機關內部網絡資源共享提供了非常寶貴的平臺。
然而,網絡是一把“雙刃劍”,信息化在帶給我們高效率的同時,也給我們網絡安全工作帶來了前所未有的挑戰。基層檢察院在使用內網的過程中還存在一些問題,亟待我們解決。
一、缺乏網絡管理專業人員
檢察機關網絡安全存在最突出的問題,就是嚴重缺乏網絡維護管理專業人才。由于檢察機關的準入門檻較高,通過公務員考試招錄信息技術人才若要獲得檢察官資格還必須要通過國家司法考試,致使技術人才不能也不愿進入檢察系統工作,有的檢察院雖配備了專職技術人員,但不專業,只懂得電腦維護而不懂得網絡維護,面對信息技術出現的各種新情況新問題,常常束手無策。同時信息化技術方面的培訓機會較少,跟不上形勢的發展,只能在實踐中摸索。
二、局域網計算機與互聯網計算機混淆使用
檢察機關局域網,即檢察專線網,是與互聯網實行物理隔絕的專用網絡,局域網計算機專機專用。由于經費有限,部分檢察院沒有采取措施做到局域網與互聯網的物理隔離;部分檢察干警安全意識不強,存在用上局域網的計算機私自聯互聯網的現象,給病毒的侵入種下伏筆,為整個局域網埋下安全隱患。
三、移動存儲介質的使用不規范
造成局域網電腦受病毒感染甚至泛濫傳播的最初源頭都是從移動存儲中帶過來的。部分基層檢察院存在移動存儲介質內外網混用的現象,少數檢察干警安全意識不高、保密意識不強,將U盤插在互聯網上使用,感染了各種病毒,當這些感染了病毒的U盤未經過處理就直接插到局域網的電腦上使用,導致局域網的電腦感染病毒,程序和數據都遭到嚴重破壞,甚至病毒能攻擊局域網中的其它計算機,使整個單位的電腦都感染病毒造成單位網絡堵塞和癱瘓。
四、局域網網絡設備陳舊,網絡安全軟件更新速度緩慢
一方面部分基層檢察院由于經費緊張,網絡設備陳舊簡陋,網絡技術存在缺陷,導致網絡安全問題和故障屢屢發生;另一方面操作系統更新不及時,很多局域網用戶當操作系統的新漏洞產生時沒有采取相應的措施,而技術人員也很難保證每臺終端及時全面進行安裝。同時網上惡意程序,比如木馬和病毒的更新速度遠遠快于網絡安全軟件的更新速度,給內網引入了潛在的安全漏洞,嚴重降低了計算機系統的安全系數。
網絡安全工作是一個單位數據安全工作的核心內容,如何從源頭上保障網絡安全,一直是網絡安全管理人員不斷探索的問題,針對基層檢察院內網管理中存在的以上問題,建議采取以下幾種措施來解決存在的這些問題。
1.引進和培養專業技術人才,適應科技強檢發展的需要
檢察網絡安全至關重要,檢察機關必須把保證信息技術人才的開發擺上重要位置。一方面要積極爭取政策,大力引進技術人才,并努力營造一個適合技術人員發展的空間,發揮專業人員的技術專長,做到人盡其才,術業有專攻。另一方面要重視人才的培訓,技術工作專業性強,更新快,加強對技術人員的專業培訓尤為重要,同時要避免懂技術的人員不懂法律,構成信息技術在法律應用上的障礙,對其進行相關的法律知識的培訓,更好的將技術與工作的實際相結合,最大限度的發揮信息技術的作用。
2.建章立制,規范安全使用計算機流程
結合檢察工作實際,出臺檢察內網計算機使用管理辦法,真正從制度上規范安全使用計算機的方法。制定一個計算機使用管理辦法能在源頭上預防計算機病毒的入侵起到積極的作用,在管理辦法中必須嚴格規范保密計算機、移動存儲器的使用;計算機必須嚴格按照相關規定斷絕和外網的聯系;確實需要從外網拷貝數據進來的移動存儲器,一定不能攜帶有檢察工作秘密文件出去,應該在使用前格式化清除所有數據,并在接入本院計算機前進行殺毒,養成在資源管理器打開移動存儲器的習慣。
3.提高網絡應用與管理技術水平,彌補自身缺陷
在當前檢察信息網絡的安全威脅中,病毒及惡意攻擊是網絡安全存在危險的最主要的原因。技術部門應該根據本院實際,選購一套合適的企業版殺毒軟件,并及時更新病毒庫,使殺毒軟件的殺毒能力時刻保持在最新最強狀態。在網絡管理中,對操作系統的漏洞應及時的安裝安全補丁,并留意微軟定期的安全公告,關閉操作系統中并不常用的默認端口,防止為惡意攻擊或病毒感染留下漏洞。同時,盡量避免使用來歷不明的盜版軟件,將軟件的選擇導向正版化、網絡化的軌道。
4.加大對基層院內網設備的投入,及時維護更新設備
基層檢察院應本著開源節流,不鋪張、不浪費的原則,加大對內網設備的經濟投入,積極爭取國家技術裝備專項撥款,使之得到合理的利用。各基層檢察院信息化技術員要及時檢修內網設備,及時上報出現的問題,及時修復及時換新。確保檢察內網設備安全穩定的運行,確保機房的溫度、濕度在科學合理的范圍內,減慢內網設備的老化損壞速度,同時要確保機房和各部門的內網設備在雷雨天氣切斷電源,避免被雷電集中,引起火災或者導致損壞。
檢察機關在加強計算機網絡安全的工作中,要堅持技術層面的防范和管理并重的原則,全面提高檢察機關信息安全防護能力,確保信息網絡系統和數據的安全。
參考文獻
[1]李琳.計算機網絡技術、集成與應用[M].北京:北京航空航天大學出版社,2001.
[2]張民,潘勇,徐榮.寬帶城域網.[M].北京:北京郵電大學出版社,2003.
[3]劉國林.綜合布線設計與施工[M].廣州:華南理工大學出版社,2001.
關鍵詞:校園網 安全策略 三位一體網絡安全體系
一、校園網安全策略部署是重要一環
1、網絡中心要做好外網防火墻的部署
校園網中的防火墻缺失或者部署不當將必然導致病毒與木馬對學生終端的危害,學校網絡管理人員要認研究現有硬件防火墻的安全策略能否滿足本校網絡安全的需要,在病毒防護、安全策略、訪問記錄部署上最大限度地利用硬件防火墻保護內網的訪問安全。如果經過測試硬件防火墻不能滿足需要,要及時進行數據升級或更換。
2、網絡中心要做好三層核心交換機的安全策略部署
網絡防火墻是保護內網安全的第一道屏障,而三層核心交換機是保障用網安全的第二道屏障。網絡中心應該根據自有核心交換機的性能去設計相應的安全策略部署。
包括:(1)按實際需要劃分VLAN。(2)根據自身需要制定VLAN間的數據包過濾策略,通過制定協議源端口號、協議目的端口號、連接請求方向、ICMP報文類型等包過濾策略,雖然包過濾技術不能識別有危險的信息包,無法實施對應用級協議的處理,但卻可以通過這種訪問策略阻隔住非法用戶的訪問,有效保護不同子網的用戶免遭黑客的攻擊。
3、網絡中心要做好網絡安全預警溝通工作
通過調查了解到:學校的網絡中心管理人員往往充當“救火隊”的角色,師生們要么上不了網找網絡管理員、,要么機器壞了或者因中毒遭受到這樣那樣的損失時才找網洛管理員。而網管工作人員出于領導重視程度、自身工作負擔或者是技術水平等方面的因素往往缺乏定期或不定期的網路安全預警工作。網絡中心要減輕“救火隊”的壓力的唯一出路就是做好網絡環境的安全工作。而通過路由器、防火墻、核心交換機、網絡抓包工具及各大安全網站的記錄數據及安全預警提示,網絡中心至少應該定期在OA或者其他途徑做好網絡安全預警工作,讓學校全體師生動態了解學習相應的網絡安全知識,定期更新終端病毒庫。如此方可建立一個群防群治的用網環境。
二、用戶終端安全策略部署必不可缺
通過網管中心安全策略的部署,我們可以保障校園網內的基本安全,要做到讓學生終端及時更新系統補丁與安裝安全殺毒軟件、并對安全殺毒軟件進行更新。目前互聯網上有很多包括針對移動終端和桌面終端的360安全軟件、百度安全軟件、騰訊安全軟件等免費有效的軟件。因此軟件的獲得途徑是暢通的,關鍵是要讓大家重視終端安全軟件的安裝與升級。筆者認為:第一,作為學校的機房管理人員,即使有硬件還原卡,也要定期對機房的系統進行升級,不能只保障機房的系統不崩潰而忽略了學生的用網安全。第二:學校網管工作人員應該定時下載相應的安全軟件和更新數據推薦師生安裝。第三,中職學校班主任應該在班會課上定期宣傳網絡安全知識,并檢查學生手機和用網電腦的安全軟件的安裝與更新,對未安裝安全軟件的同學進行引導,如此才能確保學生在網絡下不至于“裸奔”!
三、重視網絡安全意識培養
防止網絡安全問題的關鍵是全校重視師生網絡安全意識的培養,筆者認為要做好這方面的工作應該從以下幾個方面入手。
1、學校要加強中職生網絡安全知識教育。
由于專業課程設置的原因,目前中職學校一般只有計算機專業與電子商務專業會涉及到網絡安全教育的課程,這些班接受過系統的知識對網絡安全的意識會稍微強一點,但由于缺乏長效機制,課程后時間一長又容易麻痹。對于其他專業的學生往往三年里只會開一門計算機基礎的課程,課程涉及的內容大部分是計算機基礎知識與OFFICE應用,網絡安全方面的知識由于不在大綱范圍內,基本上是蜻蜓點水,情況不妙。筆者曾經連續兩年在所在學校的模具班與數控班做過一個小調查,能夠堅持在手機端與自用電腦上安裝系統補丁與殺毒軟件并定期升級的學生不到20%。而知道殺毒軟件不能混合安裝的不到5%。究其原因,有的說老師沒講,有的說裝了以后系統慢,有的說升級要耗費流量。如此局面,令人揪心。
筆者認為,中職生網絡安全意識的培養是需要一定專業知識支撐的,因此學校要在每個專業都開設網絡安全課程,每學期的課程不需要多,但是應該貫穿三年,只有這樣,才能切實做好中職學生的網絡安全教育工作。
2、從心理層面去輔導中職學生如何面對互聯網
中職生網絡信息甄別能力薄弱,容易受到網絡不良信息的影響。有個別學校發現這些問題后,采用禁止帶手機和移動設備進校園,希望“一勞永逸”,但筆者認為此種以堵代疏的方式與時展趨勢相左,既容易造成學生逆反心理,也不利于網絡安全意識的培養。在無線信號全方位覆蓋與移動終端普及的今天,禁止帶手機很容易變得尷尬無力。
正確的方法應該是:學校德育部門與心理咨詢中心要研究移動互聯網對中職生心理的影響以及可能出現的問題和疾病,發動班主任班干部或者是每班的心理聯絡員在中職生群體內部協助做好網絡心理服務工作。
3、傳遞正能量,樹立正形象。
人性化、個性化的職業教育將成為“互聯網+”時代的重要特征,尤其是移動互聯網在線教育開啟了職業教育發展的新篇章。在重視網絡安全意識培訓的同時,學校應該積極傳遞移動互聯網在學習和生活上的“正能量”。第一,學校應該鼓勵全體師生通過微信、QQ等群組工具在各科的教學中開展在線互動,老師既可以提高學生在本科目學習的興趣,又可以及時了解學生的網絡安全狀態。第二,學校應該主動制作適合移動互聯網傳播的包括微課、FLASH等教育教學資源,通過自有APP平臺或者是開放式的云共享平臺讓學生使用。第三,定期在校內評選“網絡安全標兵”、“網絡安全技術能手”,通過表彰一批平時在心理和技術上都能夠正確使用互聯網的榜樣,起到示范和引領的作用,從而達到以點帶面,幫扶一片的效果。參考文獻:
關鍵詞:防火墻技術 校園網絡 安全應用
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2016)10-0210-01
隨著社會的高速發展,計算機和互聯網科技得到了全球化普及,不同的用戶都能通過計算機等網絡終端在互聯網的交流中滿足自我需求。新時期下,學校的教學任務中也相應地增加了網絡方面的系統知識,既要引導學生如何正確利用計算機和互聯網開展學習和工作,又要加強學生的網絡安全意識,提高網絡安全操作技能。互聯網在校園內基本實現了全面鋪設,頻繁使用過程中必然也容易產生諸多安全問題,阻礙教學科研等工作的順利開展。要加強校園網絡的安全性,必然需要重視防火墻技術,并通過積極努力實現在效果網絡中的應用。
1 防火墻技術簡述
防火墻技術的主要保護對象是某一網絡內部結構的安全性。借助不斷更新的電腦硬件和軟件,現代技術能夠在某一局域網絡與外源互聯網之間搭建安全防護體系,從而實現了對外部危險信息的隔絕,保障局域內網的信息安全。這種抵御外來入侵的技術就是防火墻技術。因為防火墻的存在,別有用心的網絡用戶對局域網展開的非法訪問直接被拒絕和阻止。其主要的作用原理是將眾多沒有得到內網主機驗證的IP地址碼進行分組,形成具有高度隱蔽性的偽裝,同時其地址功能主動斷開內網與外網之間的數據連接,使得內網有了可靠的安全屏障。正是源于這樣的作用機理,包括校園網、機關單位內網等網絡都搭建了包含防火墻技術的安全防御系統。
2 校園網絡安全性的內涵
校園網的用戶主要是廣大師生群體。這樣的內網系統必然包含更多用于教學和科研等交流內容的數據,具有一定的特殊性,因此,校園網的安全性必然需要高度重視,才能確保網絡可靠運行,過濾眾多社會不良信息,保護內部資源的流失。校園網絡的安全性主要體現在幾個方面:①強化相關網絡安全制度,實現優質高效的安全管理;②較高的用戶身份識別,可以有效區分不法分子入侵;③防火墻的構建,及時阻止外界不健康的信息的傳播,并主動過濾和屏蔽不信任網站;④師生個人信息的嚴密保存,通過各種加密措施實現信息安全,杜絕失竊或篡改行為;⑤安全監控系統的建立,能夠對校園內的各種網絡設備進行監控和保護。
3 防火墻技術在校園網絡中的應用體現
3.1 不斷鞏固和優化內網防火墻
學校作為網絡應用更為頻繁的集中區域,不但要加強網絡安全的制度管理和行為管理,更要在網絡應用中不斷改良和優化防火墻技術的,使之始終保持與校園發展環境的適應性。學校應該組建專業部門和專業人員,落實網絡防火墻的重點建設,全面考察市場中的防火墻技術,引進與校園網絡環境高匹配度的設備和技術,例如當前華為集團收購賽門鐵克企業后強強聯合推出的多業務防火墻系列,高達2000數值的吞吐量,集合Dos.DDoS系統加強檢測外界入侵,設備上設置1個廣域網接口,8個局域網接口,配置有可擴展式插槽。這樣的防火墻配置有多核處理器,能夠同時滿足不同網絡用戶的需求。校園網應該緊跟時展,引進更高技術的安全保護設備,才能實現校園網絡的安全運行。
3.2 實時開展外界不良入侵監控
網絡入侵是當前互聯網應用的常見風險,對網絡進行入侵監控,能夠及時對出現的網絡問題采取相應的檢測,并保持跟蹤記錄,便于未來具體處理時可供參考。防火墻技術應該加強對于不同等級的外界入侵攻擊的有效防御能力。尤其在校園網中,入侵檢測功能能夠將某段時間出現的異常狀況,以電郵的形式及時匯報到網絡管理員處,管理員在啟酉嚶υぞ機制后將積極開展危機處理。
3.3 加強登錄用戶認證
校園防火墻可以直接對登錄網絡的用戶進行身份認證,同時也能夠對用戶點擊訪問的不同網站進行認證。如發現某網站不可信,或存在其他風險,防火墻將及時鎖定用戶數據庫信息,完成IP地址或MAC地址的綁定,從未限制用戶進入該網站,顯示為無法訪問。
3.4 保持系統的日常檢測維護
防火墻在安裝接入到校園網后,就會始終保持工作狀態。因此,應該由專人開展定期檢查和維護工作。通過查閱某一周期內的網絡流量,核對異常記錄,加強對網絡日志的備份和清除,提供可存儲效率。
3.5 持續開展系統漏洞掃描
校園網絡防火墻的應用,不但能夠有效降低來自外網的危險入侵,而且能夠對自身的網絡系統進行漏洞掃描。網絡結構一向具有復雜性,無論是簡單的程序還是復雜的軟件運行,都會導致網絡出現一定的不良反應,從而產生異常。防火墻技術在功能優化后,應成為專業網管的有力輔助工具,人工與機器的同步掃描下,網絡漏洞存在的概率進一步降低,安全隱患能夠在較短的時間內被消除。
3.6 選購正規可靠的相關防御裝置
談及防火墻技術在校園網絡中的應用,還應該注意加強對防御裝置的選購。當前市面上防火墻類別五花八門,使用效果也不盡相同,因此,還是應該面向擁有市場好口碑的主流產品進行選購,如金山網絡防護、天網安全系統等。學校在確保自身投入符合預算要求后,可以配備更多的配套裝置,如校園網專業瀏覽器、服務器、專業版殺毒軟件等等,借助不同手段綜合提升網絡安全保護能力。
4 結語
校園網絡的安全問題值得重視。在加強制度管理、行為管理的同時,對于網絡防火墻技術的應用要保持科學性和嚴謹性。不但需要積極購入設備優化防火墻、加強入侵檢查和用戶認證、加強日常檢測維護和漏洞掃描,更要結合其他手段,形成多元化的綜合防御系統,才能更好地實現校園網絡的安全運行。
參考文獻
[1]楊帆.防火墻技術及其在校園網絡安全中的應用研究[J].科技展望,2015(35):10.
[2]王謙,馬全福.關于現代網絡安全技術及其在校園網絡中的應用探討[J].網絡安全技術與應用,2016 (02):30-31.
[3]馬麗君.淺析防火墻技術在校園網絡安全中的應用[J].網絡安全技術與應用,2014(12):64,66.
關鍵詞:校園網;網絡安全;防范措施;防火墻;VLAN技術
校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件,將校園內計算機和各種終端設備有機地集成在一起,用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網的正常運行。隨著“校校通”工程的深入實施,學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患,建立一套切實可行的校園網絡防范措施,已成為校園網絡建設中面臨和亟待解決的重要問題。
一、校園網絡安全現狀分析
(一)網絡安全設施配備不夠
學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。
(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。
(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).
6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.
隨著計算機信息技術的飛速發展,電子政務在政府實際工作中的作用越來越重要。如果缺少電子信息技術支撐或者因為安全問題導致電子政務系統無法正常運行,大量的政府部門將無法正常的開展工作。因此,電子政務系統的安全問題變的日益突出和緊迫。本文闡述了黨務內網市級電子政務安全保障體系,探討了電子政務信息安全中存在的安全問題,并對電子政務安全保障提出合理化建議和有效保障措施。
【關鍵詞】安全域 安全策略 物理安全 網絡安全
【關鍵詞】安全域 安全策略 物理安全 網絡安全
隨著信息技術的飛速發展,電子政務在政府工作中的作用日益重要。與此同時,電子政務相關的安全問題也變得日益突出。因電子政務系統受攻擊導致系統癱瘓而使政務停滯的事例時有發生,而因網絡完全問題導致的泄密事件也成為政務工作安全保密的主要威脅之一。因此,如何建立完善的電子政務安全保障體系成為一個迫切需要解決的問題。下文將以河南省黨務內網市級為例,分析探討電子政務的安全保障體系。
1 電子政務內網安全保障體系
黨務內網中存在大量涉及國家秘密信息,內網的安全保障體系包含管理要求和技術體系兩個方面內容,國家針對涉及國家秘密的信息系統有明確的管理和技術要求
1.1 管理要求
根據國家保密局頒發的《涉及國家秘密的信息系統分級保護管理規范》中關于按照最高密級進行管理的要求,將電子政務內網(黨務內網)市級平臺定為“機密”級,縣(市、區)網絡定為“秘密”級,并按《涉及國家秘密的信息系統分級保護管規范》規定的相應密級防護要求進行安全保密建設和管理。所有需要進行數據交換的信息主體均應有相應的密級標識,密級標識應與信息主體不可分離,其自身不可篡改。對于以數字文件方式在線或離線存儲的信息,應將存儲、處理和管理信息的計算機、網絡、存儲備份及輸入輸出硬件系統進行密級標識。凡是存儲了黨委系統信息的硬盤、光盤或磁帶等離線存儲介質必須按照《涉及國家秘密的信息系統分級保護管理規范》進一步加強統一的標識和管理。
1.2 安全技術體系
構建安全系統已經迫在眉睫,然而值得注意的是:單一安全產品越來越難以滿足企業安全需要。 安全系統不允許有“短板”存在,黨務內網構建了涵蓋物理安全、網絡安全、系統安全、應用安全和數據安全五個層次的全方位黨務內網的安全技術體系。
2 物理安全
物理安全是系統安全的最基本要求,主要從設備放置安全、通信線路安全、環境安全、出入控制措施幾個方面考慮:
黨務內網的核心設備全部放在符合國家標準GB50174-1993標準的專用機房中。機房實行24小時監控并使用屏蔽機柜。通信線路采用移動公司的專用傳輸線路,設備和線路獨立于其它網絡,并對傳輸線路進行鏈路加密和線路屏蔽。通過物理分隔明確區域劃分,為防護設備提供安全的外部環境;對安全區域按照保護級別實行全方位的控制,結合身份鑒別與認證技術,強化出入控制措施。通過以上多種措施的綜合保障黨務內網相關設備的物理安全,避免出現系統運行安全事件和泄密事件。
3 網絡安全
網絡安全是信息安全技術體系中的重點內容之一,主要通過高性能防火墻、入侵防御、入侵檢測、防病毒網關、密碼機等安全保密設備核心交換機連接,即保證數據的保密性,又要保證數據的安全性。
3.1 訪問控制
訪問控制是網絡系統安全防范和保護的主要策略之一,它的主要任務是保證系統資源不被非法使用,是系統安全、保護網絡資源的重要手段。而安全訪問控制的前提是必須合理的建立安全域,根據不同的安全訪問控制需求建立不同的安全域。
黨務內網按照信息資源的等級、同時參照基礎架構的功能和角色劃分為4個安全域,分別為:市級網絡中心、市委辦公室局域網、市直單位用戶終端、縣級網絡中心。
市級網絡中心分為應用與安全服務支撐區、公共應用服務器區、運維管理區三個安全區,通過一臺多端口防火墻實現安全區的邊界防護。市委辦公室局域網是市委機關的核心區域之一,網絡邊界配置防火墻。全市市直單位,通過防火墻、密碼機和運營商城域網連接到市委安全域,網絡邊界配置防火墻。縣級網絡中心網絡區域配置防火墻1臺,負責縣(市、區)委用戶終端的安全防護和網絡接入。
3.2 邊界完整性檢查
市級電子政務內網網絡邊界完整性檢查包括兩個層面:一是應用網絡設備的訪問控制對非法外來接入進行檢查和阻斷;二是通過終端安全管理系統對非法外聯行為進行監督和控制。
綜合運行防火墻技術、交換機或路由器的ACL和802.1x協議、隔離網閘等安全訪問控制手段,對接入網絡的用戶進行嚴格的身份檢查,拒絕一切未授權自私非法接入電子政務內網的用戶終端。桌面終端安全管理技術能夠有效地防止用戶私自非法接入政務內網以外的其它網絡。利用終端安全管理系統為每個用戶分配在線策略和離線安全策略,詳細分配用戶的訪問權限和授權訪問資源,禁止多網卡和非法路由、紅外接口、藍牙、1394接口、USB接口等可能產生外聯行為連接方式,并對非法外聯時產生的非法路由信息進行詳細的記錄,要能夠記錄非法外聯用戶、時間等,以備審查。
3.3 安全審計
審計系統能夠真實地記錄用戶的操作或系統/設備在運行過程中觸發自身日志功能而產生的事件數據;當發現不符合規定的越權操作時,能及時告警或同時阻斷;通過系統提供的審計記錄能迅速地查找出違規者的真實身份。審計系統所記錄的所有日志信息,均應儲存在自身存儲系統中,以備能夠根據日志記錄進行數據分析或生成審計報表。審計記錄不得輕易刪除或修改,審計系統自身必須具備用戶權限控制機制。
黨務內網的網絡審計系統采用網絡旁路偵聽的方式對網絡數據流進行采集、分析和識別,并對應用層協議進行完整還原,根據制定的安全審計策略進行審計響應。網絡旁路監聽不改變用戶的網絡結構,不影響用戶的網絡性能和應用業務,能根據用戶或服務進行網絡流量統計分析,便于管理員及時發現網絡異常流量。
3.4 入侵防范
網絡入侵檢測和防御技術是對網絡入侵行為的檢測和控制。它通過監視計算機網絡數據報文,并對這些報文進行協議分析和模式匹配,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象,一旦發現攻擊能夠發出報警并采取相應的措施,如阻斷、跟蹤和反擊等。目前最新的網絡入侵檢測系統還引入全面流量監測發現異常,結合地理信息顯示入侵事件的定位狀況,應用入侵和漏洞之間具有對應的關聯關系,給出入侵威脅和資產脆弱性之間的關聯風險分析結果,從而有效地管理安全事件并進行及時處理和響應。
3.5 惡意代碼防范
根據國家相關安全技術要求,病毒網關應具備查殺當時流行的病毒和木馬的能力,其病毒庫應能夠在線或離線及時更新,更新周期不應超過一周,遇緊急情況或國際、國內重大病毒事件時,能夠及時更新。網絡邊界惡意代碼的防范主要是采用邊界防病毒網關過濾技術,主要有入侵防御、防病毒網關、一體化安全網關技術等,通過防病毒網關對數據進行深層次的安全代碼檢查,將可疑惡意代碼進行隔離、查殺和過濾。
3.6 網絡設備防護
各種網絡設備、安全設備、服務器系統、交換機、路由器、網絡安全審計等都必須具備管理員身份鑒別機制,可以采用帳號、靜態口令、動態口令、KEY、數字證書等方式或兩種以上組合方式進行身份鑒別。網絡設備應限制遠程登陸管理IP地址范圍或禁止遠程管理,必要時只允許少數或管理域的IP主機方可以管理權限通過網絡登陸設備配置和維護操作,通過網絡遠程配置管理必須采用加密方式(如:SSH或HTTPS)建立連接,以防連接會話被竊聽或篡改。所有操作必須有審計員帳號監督審計,審計管理員可隨時查看系統管理員對網絡設備所做的操作。
4 系統安全
系統安全包括:系統配置安全(包括操作系統安全)、主機防病毒、非法外聯監控、安全審計、主機與介質管理(補丁分發、終端安全管理、介質管理等),其中主機防病毒、非法外聯監控、安全審計、主機與介質管理(補丁分發、終端安全管理、介質管理等)要求與省級網絡中心部署的相應系統對接。
通過采用正版安全系統,系統加固,定期安全評估發現漏洞,及時安裝漏洞補丁,基于主機的入侵檢測等保證操作系統安全。通過桌面安全管理系統(補丁分發、終端檢查、接口管理、非法外聯接入管理)、信息安全綜合強審計系統(系統賬號管理、操作系統使用權限管理)來實現,禁止用戶用公用賬戶登錄系統。在網絡的應用與安全支撐服務區配置一部網絡殺病毒軟件服務器,負責所有接入網絡的服務器、終端計算機的病毒查殺管理和病毒庫更新。在網絡的安全支撐區部署一套違規外聯監控系統。在所有接入網絡的終端上配置違規外聯監控系統客戶端。及時發現并阻斷違規外聯行為,并向網絡管理人員發出報警。加強主機及移動介質的管理、硬件資產管理(登記計算機硬件配置,防止私開機箱)、移動存儲介質管理(存儲介質登記注冊,規范使用)、便攜式計算機管理等。
5 應用安全
建立與省級網絡中心體系一致的二級安全應用支撐平臺,與省內網管理中心完成對接。包括市級證書認證和查詢驗證系統,同時接入市級身份認證節點和省級證書認證和查詢驗證系統,為市級網絡平臺提供證書服務;市級可信時間服務系統,與省級保持一致;身份認證系統、統一用戶管理系統、訪問控制權限管理系統、單點登錄系統及信息保護和應用管理系統實現對業務應用的安全保障,與省內網管理中心的系統完成對接。
5.1 電子身份認證基礎設施
黨務內網市級網絡中心的應用和安全支撐服務區建設數字證書注冊審批分中心(RA,Registration Authority)。市委RA系統對證書發放、管理,負責本市及所轄縣、區委的證書申請者的信息錄入、審核以及證書發放等工作;同時,對發放的證書完成相應的管理功能。發放的數字證書存放于USB-KEY中。依托省內網中心的應用和安全支撐服務區建設數字證書注冊審批分中心,并保證和其對接。
5.2 可信時間服務系統
在市級網絡平臺的應用與安全支撐服務區部署1套可信時間服務系統,防止用戶對自己的網絡訪問行為進行否認,在應用系統設計過程中結合PKI/CA系統實現。
5.3 統一用戶管理
通過體系一致的統一用戶管理系統,對系統內所需要的用戶信息進行統一管理,對不同安全域的用戶信息進行同步,保障用戶身份的安全和一致性。按照省委辦公廳統一規劃建設。
5.4 身份認證與訪問控制
通過體系一致的身份認證系統,實現省電子政務內網(黨務內網)用戶的身份鑒別。用戶訪問受保護的業務系統時,采用基于數字證書的身份認證進行用戶身份鑒別。建設單點登錄系統,實現應用系統的單點登錄功能,根據用戶的身份及訪問權限,對用戶訪問網絡、應用、資源的行為進行識別和控制。
6 數據安全
數據是信息系統的核心,數據安全主要包括數據完整性和數據的備份與恢復兩個方面內容。
6.1 數據完整性
數據完整性是數據安全的基本要點之一。主要包括傳輸、存儲信息或數據的過程中,確保信息或數據不被未授權的篡改或在篡改后能夠被迅速發現。要求數據在傳輸或存儲過程中使用數字簽名或散列函數對密文進行保護。接收方在收到數據的同時也收到該數據的數字簽名,接收方依據數據簽名驗證數據的真實性和完整性。
6.2 備份和恢復
數據備份是數據在受損后恢復最快的數據安全措施,要求將系統重要數據利用光盤庫、磁帶機、磁帶庫或其它存儲設備,復制數據的副本,并且將備份介質異地存放;數據備份方式可以選擇海量備份、增量備份或差分備份,在首次對系統數據進行備份時,必須選擇海量備份方式,要求每天對數據進行一次增量備份,每周對數據進行一次差備份。重要數據傳輸網絡和數據系統包括硬件部分,要采冗余結構,確保數據的高可用性。必要時使用存儲區域網(SAN)模式進行異地存儲備份。
7 小結
信息安全問題不是一個孤立的問題,而是一個安全保障體系。為保證電子政務內網(黨務內網)的安全、高效運行,除了強有力的技術保障體系,還必須有穩定合理、分工明晰的安全運行維護組織。根據各地區各部門實際情況,建立或指定專門機構,并結合各單位的實際情況,配備相關的管理人員、技術人員、操作人員,負責運行維護工作,執行安全運行維護職能,保證電子政務內網(黨務內網)的效能得到最大程度發揮。
參考文獻
[1]戴黍,劉勁宇著.電子政務管理導論[M].北京:高等教育出版社,2011(11).
[2]李湘江.網絡安全技術與管理[J].現代圖書館技術,2002(02).
[3]曹凌,耿鵬著.電子政務管理模式探析[J].西安電子科技大學學報(社科版),2001(09).