总体管理要求
首先看一下数字出版的特点。
数字业务形态多样:目前数字出版产品形态主要包括电子图书、数字报纸、数字期刊、网络原创文学、网络教育出版物、网络地图、数字音乐、网络动漫、网络游戏、数据库出版物、手机出版、App应用程序等,丰富的业务形态要求网络提供多种接入方式、多种内容共享方式,同时要保证安全。
强调对数字化资源的管理:国外知名出版公司特别强调对数字化资源的管理,很多公司通过建设自己的内容管理平台来更有效地建设、管理和重用数字化资源。汤姆森公司委托其下属的Course Technology、Delmar、Promotric和NETg开发内容管理平台LLG,计划五年内完成;培生内部已经运行了WPS,与前台的Coursecompass结合以更加有效的建设模式为学校提供服务;麦格劳-希尔出版公司已经成功地将内容管理平台运用在百科全书的出版上。
整体安全性要求高:数据化资源对整体安全性要求较高,现在网上支付手段丰富,如快钱、Paypal、支付宝等都需要在纯净的网络环境进行操作,以保护机构和个人财产安全;要求建立完善的数字版权机制,保障作者、编辑单位的合法权益;网上交易和传播的数字内容越来越多。网络安全形势十分严峻,域名劫持、网页篡改等事件时有发生,给网民和机构造成了严重影响和重大损失。工业和信息化部2010年的数据表明,仅中国网民每年需要为网络攻击支付的费用就达到153亿元之多。
笔者认为,网络的应用在出版机构一般经过三个发展阶段:第一为沟通交流阶段,在这个阶段,出版机构的工作人员上互联网、了解外界知识、通过即时通信工具沟通信息等。第二阶段为管理应用阶段,在这个阶段,工作人员通过网络协同办公,出版机构采用ERP、财务管控系统等内部业务管理系统。第三阶段为创造、创新阶段,出版机构使用综合业务系统进行数字内容收集、组织或加工,形成数字资产,通过网络进行推广。
根据这三个阶段的应用特点,可以将管理要求归结为:第一个阶段应用比较简单,用户都可以使用网络,要求网速快、安全性要求不高;第二个阶段,并非所有用户都能进入内部网络,设定上网权限,同时能对带宽进行有效管理,防止员工滥用网络而挤占主要业务的网络带宽,防止堡垒在内部被攻破;第三个阶段有了较多的数字资产,要防止网窥和盗窃行为发生,主动防御来自互联网端的威胁,防止业务流数据和内容数据出现问题,保证数据安全,即能处理来自外部、内部的威胁,保存好数据,防范非法入侵。
管理及技术分析
根据数字出版的业务特点,笔者总结了消除网络安全隐患的策略。
在第一应用阶段,网络中有防火墙、核心路由等元素,要保障物理线路畅通,具备一定的安全性。篇幅所限,这里不详细描述了。
第二应用阶段要求建立终端准入机制和应用控制机制。
此阶段遇到的挑战:用户多导致内部安全问题,带宽滥用情况严重。内网的安全事件约有70%来源于内网的接入终端,虽然网络中使用了一些安全措施如应用防火墙、网络设备访问控制规则等改进了网络的安全性,但由于网内终端数量较大、Windows系统的不稳定和多处漏洞,终端用户的应用水平参差不齐等造成内网安全事件频发。对内网终端的安全隐患管理和处理方法概括如下:建立用户接入准入制度,防止截取地址信息随意接入,对合法用户接入访问权限进行细化,加强整网应用安全机制。
同时,应用也存在监管的问题,如员工在日常工作时间进行P2P下载、看影视等从而挤占正常业务的网络带宽。因此,系统中要设应用控制网关,对带宽进行有效管理,提供足够带宽给ERP、财务处理等主要业务,满足吞吐量要求。网内用户上网行为复杂,网络中的异常流量、即时通信流量逐步增大,侵占了原本就不富余的出口带宽;爆发内网安全事件时也会出现相应的流量异常,因此网内要设有行之有效的流量控制和分析手段,以便对网络进行流量监管以及安全事件的快速定位。
在第三应用阶段,可通过入侵检测系统进行主动防御,对入网设备进行终端准入,建立独立存储甚至远程异地灾备系统。网络入侵防御系统是一种在线部署产品,旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,提供一个全新的入侵保护。
第三阶段是较高级应用阶段,因数字出版应用内容丰富、强调应用安全、响应速度,网络技术参数设定要对应用需求有足够响应。
安全网络应用实例
下面是一个出版公司在保障网络安全方面的具体方案,其他数字出版企业也可以从中借鉴。
一、使用一台IP存储解决专业存储问题。
信息或数据在IT系统中,必然处于计算、存储、传输三个状态之一。这三个方面也正好对应于整个IT架构的三个基础架构单元――计算、存储和网络。该方案选用一套高端SAN存储作为整个信息系统的核心在线存储。
该方案中,核心存储设备通过IP SAN交换机与局域网多台服务器建立连接。服务器通过普通千兆网卡或iSCSI HBA卡接入IP SAN。核心存储设备提供海量存储空间,实现高稳定性、高可靠性的数据集中和存储资源统一管理。核心存储设备可以混插高性能的SAS磁盘和大容量的SATA II磁盘,单台设备即可满足两种不同的应用需求,大大提高设备性价比。核心存储也可以满足包括数据库、Web、OA、文件等多个应用的集中访问需求。ERP应用作为关键应用之一,IX3000存储上为其提供独立的存储空间,并采用15000转的SAS硬盘。
二、以应用控制网关解决带宽利用和用户上网行为监管问题。
公司员工越来越依赖于互联网的同时,上网行为却不能得到有效控制和管理,不正当地使用互联网从事各种活动(如网上炒股、玩游戏等)会造成公司外网运行效率下降、带宽资源浪费、商业信息泄密等问题。该公司的财务部曾反映,在制作半年报期间网络时常不通,导致工作无法进行。经查是防火墙严重超负荷造成,负载时常超过90%,这些都是过度使用网络资源产生的后果。
该公司的解决方案如下:在公司出口防火墙与核心交换机之间部署一台应用控制网关。该网关可以很好地完成公司信息中心对员工行为监管的需求,针对P2P/IM、网络游戏、炒股、非法网站访问等行为,可以进行精细化识别和控制,解决带宽滥用影响正常业务、员工工作效率低下、访问非法网站感染病毒蠕虫的问题,帮助公司规范网络的应用层流量,为公司创造一个良好的网络使用环境。
三、通过端点安全准入系统EAD解决终端安全问题。
为了弥补公司现有安全防御体系中存在的不足,公司部署了一套端点安全准入防御系统,旨在加强对员工电脑的集中管理,统一实施安全策略,提高网络终端的主动抵抗能力。终端安全准入防御将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御,变单点防御为全面防御,变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
终端安全准入防御通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”客户端对网络安全的损害,避免“易感”客户端受病毒、蠕虫的攻击。
四、使用入侵检测系统阻止来自互联网的攻击行为。
在公司互联网出口部署1套千兆硬件入侵防御系统,专门针对公司服务器应用层进行防护,填补防火墙安全级别不够的问题,并与防火墙一起实现公司网络L2-L7层立体的、全面的安全防护。
千兆高性能IPS入侵检测系统可以针对公司Web服务器三层架构中的底层操作系统、中间层数据库服务、上层网页程序的每一层提供安全防护。为公司Web服务器提供包括漏洞利用、SQL注入、蠕虫、病毒、木马、协议异常等在内的应用层安全威胁的防范,防止网页被篡改的发生,并在每检测和阻断一个针对Web服务器的安全威胁之后,记录一条安全日志,为公司服务器的安全审计和安全优化提供全面的依据。
综合管理措施
笔者认为,要维护数字出版公司网络安全,在网络综合管理上要同时做好以下几点:
制定合理有效的计算机网络系统工作管理规定,明确责任,分工到人。
设置全集团(公司)网络管理员制度,各分(子)公司专人对网络和终端进行管理。
中心机房设置专人管理机房网络设备,定期检查并分析设备日志,定期升级软件和补丁,防止“破窗”出现,发现异常及时处理。
定期召开网络应用会议,通报网络安全情况,部署下一阶段工作重点。要打造一支能协同的团队,这比单纯有几台好设备要复杂,培训、协同和组织要付出更多心血。
关键词:内部网络;安全;Web Service
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 11-0000-02
Analysis of Internal Network Security Management System
Wang Wei
(Heilongjiang Land Reclamation College,Harbin150025,China)
Abstract:The current network security products within a category and technical analysis,information system security through research P2DR theoretical system model proposed regulation within the network security audit system.Internal network security management system is based on static security strategy,covering P2DR security model of protection,detection and response in three stages,internal computer network device management,management covers access control,behavioral monitoring,network management,patch management,asset management,auditing platform six areas,support large-scale multi-stage deployment for intranet Security Management provides a unified platform.And internal network security management system through the application of implementation,further confirmed its feasibility and efficiency.
Keywords:Internal network;Security;Web service
一、系统安全模型
内网即Intranet,是相对于外网Extranet而言的。广义上人们认为所有的党政机关、企事业单位的内部网络都称为内网,而狭义上我们认为与互联网物理隔离的办公网、局域网、城域网或是广域网都可能是内网。在内网安全监管审计系统中,我们所定义的内网是指物理上直接连接或通过交换机、路由器等设备间接连接的企业内部信息网络,它可以是单一的局域网,也可以是跨越Internet的多个局域网的集合。如图1所示,是典型企业局域网网络拓扑图。
图1.企业局域网网络拓扑图
内部网络安全管理系统的目的就是通过系统部署,能在企业内网中,建立一种更加全面、客观和严格的信任体系和安全体系,通过更加细粒度的安全控制措施,对内网的计算机终端行为进行更加具有针对性的管理和审计,对信息进行生命周期的完善管理,借助这个整体一致的内网安全管理平台,为内网构建一个立体的防泄密体系,使内网达到可信任、可控制和可管理的目的。根据P2DR安全模型得出结论,要实现内网的安全,必须做到及时的检测、响应。因此,内部网络安全管理系统的安全模型是基于静态的安全防护策略,覆盖了P2DR安全模型中的防护、检测和响应三个阶段,由安全策略、策略执行、监控响应、审计和管理支持五个环节组成。
安全策略是整个内网安全监管审计系统的核心,它渗透到系统的策略执行、监控响应、审计、管理支持等各个环节,所有的监控响应、审计都是依据安全策略实施的。安全策略包括监控策略、审计策略、响应策略、系统管理策略。管理支持是指系统管理员操作的相关接口,即用户界面。它提供对系统运行相关参数的配置、各类策略的制定、系统的授权管理操作。策略执行是指通知制定的策略,并确保策略的成功实施。监控响应是根据制定的安全策略,对系统管理员和内网的计算机终端活动进行监测和响应,提供对安全事件的记录和上报。它是强制实施安全策略的有利工具,也是内网安全监管审计系统最为重要的一个环节,是系统功能的核心,主要通NDIS-HOOK数据包技术、Win Pcap网络管理技术等来实现。审计是指对安全事件的报警、日志的统计分析。安全事件是由“监控响应”环节生成的。根据安全事件的严重程度,按照报警策略,向系统管理员提供能够报警信息。
二、系统结构设计
(一)系统功能
系统的总体设计,旨在从系统应用的角度,明确系统的功能;从系统开发的角度,设计系统的逻辑结构模块,便于编程实现;从系统部署的角度,规划系统的物理结构分布以实施系统的运行。内网安全网络管理系统的目的是构建一个整体一致的内网安全体系,从网络协议方面看,内网安全监管审计系统适合于任何基于TCP/IP协议的网络,不管是Internet还是Intranet,都能充分发挥作用。从操作系统方面看,内网安全监管审计系统主要针对目前主流的Windows桌面操作系统,包括Windows2000,Windows XP,可随着操作系统的发展和用户的实际需求,开发相应的适用版本。
从用户群方面看,内网安全监管审计系统适用于几乎所有对内网安全管理有需求的单位,特别是党政军警机要部门、国家核心技术研究院所、高新科技企业、金融机构等部门。根据对内网安全产品的分析和内网安全的特点,内部网络安全管理系统的功能主要包括接入控制,行为监控,网络管理,补丁管理,实时监听,WEB管理平台六个方面,并且这六个方面是紧密结合、相互联动的。
(二)客户端模块设计
1.接入控制线程:包括终端接入控制,非法外联实时监测和策略管理模块,实现终端信息注册、用户登录、登录策略更新、客户端软件安装版本验证、客户端操作系统版本及补丁验证、客户端杀毒软件版本验证、安全策略版本验证、安全策略更新以及网络层防护策略,包括IP地址访问控制、TCP端口访问控制、UDP端口访问控制、IP地址+端口号的访问控制,终端流量的监控等功能。
2.客户端监控线程:包括终端软件安装管理,终端进程管理,终端杀毒软件管理模块,用于监控终端行为并根据策略对违规行为进行处理,同时加密发送事件报警信息并记录日志。具体做法是读取终端安全策略,根据安全策略进行进程运行监控、服务运行监控、软件安装监控、网络流量监控,并对违规事件进行事件告警和日志记录等功能。
3.终端实时控制监听线程:包括点对点实时监控管理模块,接收服务端实时查询消息,获取客户端运行时信息,包括系统CPU使用率,内存,硬盘使用情况,系统进程列表,系统服务列表、硬件清单、安装程序清单和网络流量,并把终端信息加密发送到服务器。
4.补丁管理线程:包括操作系统版本和补丁管理模块,扫描本机注册表中的Hot fix项,得到本机的补丁安装信息,对比指派给本机的补丁策略,得到需要下载安装的补丁列表,再从局域网服务器下载并安装相应补丁。
(三)服务器模块设计
1.内网终端安全主程序:负责启动或停止登录验证进程、运行状态监控进程、终端实时控制信息进程。维护进程之间的共享数据(终端会话列表),实时策略下发功能。
2.登录验证进程:包括终端注册管理、终端登录管理、TCP监听、加解密密钥协商、策略下发模块。实现监听终端请求,接收并解密客户端消息,处理终端注册请求,并记入数据库;处理终端的登录请求,验证终端的登录信息,验证通过后向客户端发送最新安全策略。
3.运行状态监控进程:包括探测消息,终端告警消息处理模块,实现探测消息接收,以确定客户端是否在线,并修改终端会话状态;接收终端告警消息,进行解密处理并将相关信息记入数据库,以便管理员查询。
4.终端实时控制信息进程:包括终端信息实时查询和策略下发模块。接收客户端程序发来的终端信息,为WEB服务提供终端信息实时查询的功能。另外在管理员通过WEB界面更改策略后,后实时向相关终端下发最新策略。
5.网络管理进程:基于Win Pcap实现防止局域网A印欺骗的功能。Win Pcap(windows packet capture)它具有访问网络底层的能力,提供了捕获原始数据包,按照一定规则过滤数据包,以及发送原始数据包功能。通过捕获并分析局域网的网络数据包,可以判断局域网是否发生欺骗,进而采取措施来防止欺骗。
6.补丁管理进程:基于CXF和WSS4J的安全的Web.Service实现,通过这种方式从远程TJHN服务器获取最近补丁列表,通过比对当前本机服务器获取远程补丁列表,从官方网站下载所需补丁。
(四)Web管理平台模块设计
用户管理模块:对可以登录Web的用户进行管理;提供用户登录。终端审批模块:对申请接入的终端请求进程审批。策略配置模块:对单个策略进行管理,主要包括进程,服务,安装软件的黑白名单策略,网络过滤策略,流量阂值设置;对策略分组进行管理。终端查询模块:向终端发送点对点消息,查询并展示实时的终端运行信息,包括CPU占用率,硬盘,内存使用情况,运行进程,服务,安装软件,实时流量信息。日志查询模块:查询终端运行告警日志,包括运行进程告警,服务告警,安装软件告警,流量异常告警,网络阻断告警。
参考文献:
[1]黄泽界.一种远程视频监控系统的实现[J].安防科技,2008,2
[2]胡爱闽.基于DM642的网络视频监控系统[J].安防科技,2008,9
[3]王文联,侯整风,周先存.基于NDIS中间驱动程序的防火墙的研究与实现[J].安徽建筑工业学院学报(自然科学版),2004,1
[4]胡珊,张冰.利用SPI控制计算机上网[J].鞍山科技大学学报,2004,5
关键词:无线网络;安全风险;安全防范
1概述
医院内部无线网络(Hospital Internal Wireless Networks),既包括允许用户在医院内部范围内建立远距离无线连接的网络。
2009 年,国家新医改政策出台,其中信息系统首次成为我国医疗卫生体系建设的重要支撑。医院信息系统经过多年的发展,已经由以财务为核心的阶段过渡到以临床信息系统为核心的阶段,因此越来越多的医院开始应用无线网络,实施以患者为核心的无线医疗信息系统。随着无线网络技术的日趋成熟,医院内部无线网络在全球范围内医疗行业中的应用已经成为了一种趋势,在今后的医院应用中将会越来越广泛。通过无线医疗信息系统的应用,既拉近了与患者之间的距离,提高了医疗服务的效率和质量,也加强了医院的综合管理。
2医院内部无线网络的安全风险
随着医院对无线医疗信息系统应用的不断深入,医院对于内部无线网络的依赖程度也越来越深。医院内部无线网络作为原有医院内部有线网络的补充,扩展了有线网络的应用范围,但是也将相对封闭的医院内部有线局域网络环境转变成了相对开放式的网络环境。其安全性不仅影响到医院内部无线医疗信息系统的使用,同样也影响到与其相连的有线网络环境中应用的其他医院信息系统。因此医院内部无线网络的安全将直接影响到医院整体信息系统的安全。医院内部无线网络一旦被破坏,将会造成医院信息系统的数据被窃取、网络瘫痪、医疗业务被中断等等一系列严重的后果。由于医院医疗数据的敏感性,以及无线网络通过无线信号传输的特性,使得医院内部无线网络面临的安全风险越来越突出。
根据相关运行情况分析, 医院内部无线网络主要存在以下安全问题:①非法AP的接入:无线网络易于访问和配置简单的特性,使医院内部网络管理员和信息安全管理员非常头痛。因为任何人都可以通过自己购买的AP利用现有有线网络,绕过授权而连入医院内部网络。用户通过非法的AP接入手段,可能会给医院整体内部网络带来很大的安全隐患。②非授权用户的接入:非授权用户往往利用各类无线网络的攻击工具搜索并入侵,从而造成很严重的后果。非授权用户的入侵会造成网络流量被占用,导致网络速度大大变慢,降低网络带宽利用率;某些非授权用户会进行非法篡改,导致医院内部无线网络内的合法用户无法正常登陆;更有部分非授权用户会进行网络窃听和数据盗窃,对病人以及医院整体造成相当大的损失。③服务和性能的影响:医院内部无线网络的传输带宽是有限的,由于物理层的开销,无线网络的实际最高有效吞吐量仅为标准的50%。医院内部无线网络的带宽可以被几种方式吞噬,造成服务和性能的影响:如果攻击者从以太网发送大量的Ping流量,就会轻易地吞噬AP的带宽;如果发送广播流量,就会同时阻塞多个AP;传输较大的数据文件或者运行复杂的系统都会产生很大的网络流量负载。④地址欺骗和会话拦截:由于医院内部使用无线网络环境,攻击者可以通过地址欺骗帧去重定向数据流和使ARP表变得混乱。通过一些技术手段,攻击者可以获得站点的地址,这些地址可以被用来恶意攻击时使用。攻击者还可以通过截获会话,通过监测AP,然后装扮成AP进入,攻击者可以进一步获取认证身份信息从而进入网络。⑤数据安全问题:由于无线网络的信号是以开放的方式在空间中传送的,非法用户、黑客、恶意攻击者等会通过破解用户的无线网络的安全设置,冒充合法识别的身份进入无线网络进行非法操作,进行窃听和截取,从而达到不法操作或破坏信息的目的,从而给医院带来相对应的损失。
3医院内部无线网络的安全防护目标
早期的无线网络标准安全性并不完善,技术上存在一些安全漏洞。随着使用的推广,更多的专家参与了无线标准的制定,使其安全技术迅速成熟起来。具体地讲,为了有效保障无线网络的安全性,就必须实现以下几个安全目标:①提供接入控制:通过验证用户,授权接入特定的资源,同时拒绝为未经授权的用户提供接入。②确保连接的保密与完好:利用强有力的加密和校验技术,防止未经授权的用户窃听、插入或修改通过无线网络传输的数据。③防止拒绝服务攻击:确保不会有用户占用某个接入点的所有可用带宽,从而影响其他用户的正常接入。
4医院内部无线网络的安全防护技术
无线网络的安全技术这几年得到了快速的发展和应用,下面是目前业界常见的无线网络安全技术:
4.1服务区标识符(SSID)匹配 SSID(Service Set Identifier)将一个无线网络分为几个不同的子网络,每一个子网络都有其对应的身份标识(SSID),只有无线终端设置了配对的SSID才接入相应的子网络。所以可以认为SSID是一个简单的口令,提供了口令认证机制,实现了一定的安全性。
4.2无线网卡物理地址(MAC)过滤 每个无线工作站网卡都由唯一的物理地址(MAC)标识,该物理地址编码方式类似于以太网物理地址。网络管理员可在无线网络访问点AP中维护一组(不)允许通过AP访问网络地址列表,以实现基于物理地址的访问过滤。
4.3无线接入点(AP)隔离 AP(Access Point)隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法多用于对酒店和机场等公共热点(Hot Spot)的架设,让接入的无线客户端保持隔离,提供安全的网络接入。
4.4有线等效保密(WEP、WEP2) WEP(Wired Equivalent Privacy),IEEE80211.b标准规定的一种被称为有线等效保密的可选加密方案,其目的是为无线网络提供与有线网络相同级别的安全保护。WEP是采用静态的有线等同保密密钥的基本安全方式。WEP2,是根据WEP的特性,为了提供更高的无线网络安全性技术而产生。该技术相比WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量的长度由24位加长到128位。
4.5端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP) IEEE802.1x提出基于端口进行网络访问控制的安全性标准,利用物理层特性对连接到网络端口的设备进行身份认证。如果认证失败,则禁止该设备访问网络资源。
IEEE 802.1x引入了PPP协议定义的可扩展认证协议(EAP)。作为可扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
4.6无线网络访问保护(WPA、WPA2) WPA(Wifi Protected Access),率先使用802.11i中的加密技术-TKIP (Temporal Key Integrity Protocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。
WPA2是基于WPA的一种新的加密方式,向后兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。
4.7高级的无线网络安全标准(IEEE 802.11i) IEEE 802.11i安全标准是为了增强无线网络的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP、CCMP和WRAP三种加密机制,使得无线网络的安全程度大大提高。
5医院内部无线网络的安全实现
5.1合理放置无线设备 无线网络的信号是在空气中传播的,任一无线终端进入了设备信号的覆盖范围,都有可能连接到该无线网络。所以医院内部无线网络安全的第一步就是,合理规划AP的放置,掌控信号覆盖范围。在架设无线AP之前,必须选定一个合理的放置位置,以便能够限制信号在覆盖区以外的传输距离。最好放在需要覆盖的区域中心,尽量减少信号泄露到区域外。
5.2无线网络加密,建立用户认证 对于医院内部无线网络的进行加密,建立用户认证,设置相关登录用户名和密码,而且要定期进行变更,使非法用户不能登录到无线设备,修改相关参数。实际上对无线网络来说,加密更像是一种威慑。加密可细分为两种类型:数据保密业务和业务流保密业务。只有使用特定的无线网络加密方式,才会在降低方便性的情况下,提高安全性。
5.3 SSID设置 无线 AP 默认的设置会广播SSID,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWS自带扫描功能,可以将能联系到的所有无线网络的 SSID 罗列出来。因此,设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串,同时设置SSID隐藏起来,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出 SSID 全名也是无法接入到这个网络中去,以此保证医院内部无线网络的安全。
5.4 MAC地址过滤 MAC 地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的MAC 地址下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
5.5 SSL VPN 进行数据加密和访问控制 由于在实际医疗活动中,为了满足诊断、科研及教学需要,必须经常大量采集、、利用各种医疗数据。由于原有医院网络的相对封闭性,绝大多数的应用系统采用的都是未经加密的数据包进行数据交换,但是医院内部无线网络是相对开放性的网络,入侵者通过对无线信号中数据包的侦听与解析,使得医疗信息泄漏成为了医院不得不面对的问题。SSL VPN 即指采用SSL 协议来实现远程接入的一种VPN技术。SSL VPN 基于浏览器的认证方式,能兼容医院主流的无线终端设备操作系统,如Windows、Android、IOS,而VPN 的方式又能保证医院信息系统的正常运行。SSL VPN在解决医院无线网络数据加密的同时,最大限度地保障了医院信息系统的投资。
5.6核心网络隔离 一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击, 但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。所以必须将无线网络同易受攻击的核心网络进行一定的安全隔离保护,应将医院内部无线网络布置在核心网络防护外壳的外面, 如防火墙、网闸等安全设备的外面,接入访问核心网络采用SSL VPN等方式。
5.7入侵检测系统(IDS) IDS(Intrusion Detection Systems)入侵检测系统,不是只针对无线网络检测的系统,同样也适用于有线网络。入侵检测技术可以把无线网络的安全管理能力扩展到安全审计、安全检测、攻击识别和响应等范畴。这样不仅提高了网络的信息安全基础结构的完整性,而且帮助对付恶意用户对整体医院网络内其他用户的攻击。依照医院无线应用系统的安全策略,对网络及信息系统的运行状况进行监视,发现各种攻击企图、攻击行为及攻击结果,以保证网络系统资源的完整性、可用性和机密性。
5.8终端准入控制 终端准入控制主要为了在用户访问网络之前确保用户的身份信任关系。利用终端准入控制,医院能够减少对系统运作的部分干扰,因为它能够防止易损主机接入网络。在终端利用医院内部无线网络接入之前,首先要检查它是否符合制定的策略,可疑主机或有问题的主机将被隔离或限制接入。这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头,保证只有在满足终端准入控制策略的无线终端设备才能接入医院网络。
6结论
随着无线网络越来越受到普及,本文浅析了医院内部无线网络存在的几种安全隐患,并探讨了对应的几种防范策略。总的来说,世界上不存在绝对安全的网络,任何单一的安全技术都不能满足无线网络持续性的安全需求,只有增强安全防范意识,综合应用多种安全技术,根据不同的医院自身应用的特点,选择相应的安全防范措施,通过技术管理和使用方法上的不断改进,才能实现医院无线网络的安全运行。
参考文献:
[1]Zerone无线安全团队.无线网络黑客攻防[J].中国铁道出版社,2011(10).
[2]中国密码学会,无线网络安全[J].电子工业出版社,2011(9).
关键词:计算机信息管理技术;网络安全;应用
一、引言
目前,我国已经进入到信息化时代,网络信息技术在各领域得到广泛的应用,并在不同程度上促进了各领域的发展。但是随着科学技术的发展,网络安全问题逐渐突出,该问题的存在严重侵犯了使用者的合法权益,给企业的发展和人们的生活带来一定的影响,因此解决网络安全问题成为当前计算机信息管理技术中的主要内容。加强计算机信息管理技术在网络安全中的应用,对我国社会的稳定发展具有重要作用。
二、相关理论的概述
(一)网络安全的基本内容
通常情况下,网络安全中的基本内容包括软件安全、资源安全和信息传递、信息保存的安全等。其一,软件安全主要指的是工作人员通过控制访问和用户的识别技术保障网络软件运行的安全性;其二,资源安全包括域名资源和服务器资源等等,工作人员通过相关技术对其进行安全保护;其三,信息传递和信息保存的安全,互联网中的信息内容对于使用者来讲具有重要作用,如果信息内容丢失或者被盗,则会给企业的发展带来严重的危害[1]。
(二)计算机信息管理技术的概述
计算机信息管理技术主要包括信息安全评估技术、访问控制技术和防火墙技术,以下对其内容进行具体的分析。其一,信息安全评估技术,该技术在应用过程中主要的特点是预防为主,在互联网应用过程中通过该技术对其运行状态进行全面的检测,如存在安全漏洞,及时进行安全管理,降低网络安全风险,创造良好的互联网运行的安全环境;其二,访问控制技术的作用是对网络中正在传输的信息进行安全检测,通过入网环节的访问控制技术,将不安全网址及信息进行有效的拦截,只有通过认证后,方能继续访问。其三,防火墙技术,该技术是计算机信息管理技术中的重要技术之一,该技术的应用能够有效对不安全的网络信息内容通过各种手段进行拦截,减少外部不安全因素的威胁。
三、计算机信息管理技术在网络安全中的应用现状
随着网络信息技术的应用范围逐渐扩大,网络安全问题成为国家安全管理中的重要内容。互联网的应用是一把双刃剑,对社会发展带来机遇的同时也带来了一定的挑战,充分发挥互联网技术的优势,对企业和社会的有序发展具有促进左永刚,如果被不法分子恶意利用互联网技术的优势,则会对企业和社会的发展带来负面影响,严重者会威胁到整个国家的网络安全。网络安全主要指的是计算机网络平台中传播的各种数据信息的安全应用,受到具体部门的具体保护,不会被不法分子恶意的拦截和篡改数据信息,使网络信息内容能够安全有序的传播。虽然计算机信息管理技术随着信息技术的发展不断创新,但是木马等恶性网络程序更新换代的速度也在逐渐加快,对计算机信息管理技术在网络安全中的应用提出了挑战,在一定程度上影响了计算机信息管理技术在网络安全中的应用效果。
四、计算机信息管理技术在网络安全应用中存在的问题
(一)网络监测和管理技术水平较低
根据相关调查发现,目前威胁网络安全的主要因素是电脑黑客的入侵和病毒的大肆扩张,这两种危险因素的存在严重影响了网络安全环境的创造。虽然我国网络技术不断发展,但是同时黑客的技术水平也在不断的提高,基于此,需要加强网络监测,并提高工作人员的管理技术水平,维护网络安全。但是在实际操作过程中,由于受到不同原因的影响,我国网络安全监测技术在应用过程中仍存在一些缺陷,同时工作人员的管理技术水平也未达到应有的技术水平,因此严重影响了网络运行的安全性,无法及时监测到网络技术运行中存在的漏洞,进而造成网络数据的大量流失和篡改,严重影响了企业及个人的发展。
(二)内部管理不到位
内部管理出现问题的主要原因包括内部管理制度不完善和内部工作人员的综合素质有待提高。由于内部管理制度不完善,导致工作人员在工作过程中缺乏有效的工作依据和管理依据,使其不能将网络安全管理内容落实到实处,影响了计算机管理技术的在网络安全中的应用效果。而内部工作人员的综合素质有待提高是因为内部工作人员未建立正确的职业道德素养,在工作过程中以个人利益为主,为实现个人利益而牺牲集体利益;或者受他人的威胁后,帮助他人盗取网络数据中的核心内容;除此之外,部分工作人员的工作技能较低,由于对操作过程的操作步骤掌握的不熟练,进而影响网络数据的外漏,以上问题的存在均会对网络数据的安全运输带来一定的危害,进而引发不同程度的网络安全事件。
(三)管理技术的应变能力不足
计算机信息管理技术随着科学技术的进步而不断的优化,在改革过程中对计算机信息管理技术中存在的不足之处进行不断完善,虽然该管理技术水平得到一定程度上的提升,但是在实际应用过程中仍存在一些问题尚未解决,主要体现在计算机信息管理技术的应变能力仍然不足。一般情况下,管理技术的应变能力是针对已经存在的网络问题而存在的,并没有根据技术的提升而提高随机应变的能力。黑客和木马等威胁网络安全的因素在信息技术发展的基础上不断进行改革优化,在拦截重要的网络数据信息时,其手段越来越高级,相比较而言,计算机信息管理技术虽然也在网络技术发展的基础上进行了优化升级,但是仍不能轻松应对威胁网络安全的不法手段,影响了网络安全的正常运行。
(四)管理技术中的信息访问控制不到位
信息访问控制技术是管理技术中的重要内容,如果信息访问控制的不到位,则会使网络数据信息在运行过程中处于危险的网络环境中,不利于网络数据信息的安全运行和传输。此外,还可能会使整个网络管理系统出现瘫痪的状态。比如,黑客在盗取企业内部重要的网络数据信息时,通常会绕过信息访问控制系统,并根据自身掌握的技术,改变自己的访问权限,然后直接对网络数据进行拷贝或者篡改,黑客的此种操作直接忽略的信息访问控制所起到的作用,严重影响了网络数据信息的安全性。
五、计算机信息管理技术在网络安全中的具体应用
(一)打造信息化平台
网络安全问题的存在不仅危及到了个人和企业,还危及到了政府和国家长期的发展,基于此,在信息技术不断发展的背景下,政府相关部门应该充分发挥自身的职能,为了维护网络安全,增加财政投入,积极打造信息化平台,为人民群众及各个行业的日常沟通提供安全可靠的网络平台。管理信息化平台的工作人员,可以抓住网络传播的特点,在信息化平台上大力传播维护网络安全的重要性,提高人民群众的安全用网的意识,在一定程度上能够提高个人的用网安全。此外,由工作人员对用网过程中常见的网络安全漏洞和木马病毒等程序进行总结,让更多的人在用网过程中对以上危险因素进行有效的防范和应对,进而提高居民的用网安全。最后,加强信息化平台的工作者的素质教育,帮助其建立正确的职业道德观和价值观,对网络平台中常见的可疑代码进行全面的分析,并及时制定有效的应对措施,保障信息化平台的网络安全。
(二)加强信息管理技术的管理
一般情况下,计算机信息管理的主要对象是网络数据信息和网络信息的活动,其管理步骤主要是收集数据信息、数据信息的传输及加工和数据信息的储存。每个管理环节之间的关系是紧密相连的,因此想要提高计算机信息管理技术在网络安全中的应用效果,需要对计算机信息管理技术加强管理,建立有效的管理制度。在实际管理过程中,需要工作人员对计算机整体的运行状态进行全面的监测,对计算机使用者的网络运行环境进行分析判断,使网络数据信息在传输的整个过程中加密传送,从而增加数据信息的安全性,保障用户的合法权益不被侵害。
(三)制定完善的网络安全管理制度
完善的网络安全管理制度是降低网络安全问题出现的主要依据,在网络安全管理中计算机信息管理技术的应用,对为网络完全提供有利的条件,对网络中出现的安全问题进行及时的解决。想要提高计算机信息管理技术在网络安全中的应用效果,需要根据网络安全管理发展的现状,制定完善的网络安全管理制度。在网络安全管理制度中构建网络风险评估体系,对网络运行中的可能存在的风险进行全面且及时的评估,及时确定安全风险内容,并积极制定有效的应对措施,降低网络风险给个人或者企业带来的危害程度。完善的网络安全管理制度在一定程度上提高了计算机信息管理技术在维护网络安全中的应用效果,同时计算机信息管理技术的存在还能及时对管理制度中存在的问题进行适当的调整和有效的监督,从而降低网络安全存在的风险,提高管理技术的效率。
(四)加强技术人员的网络安全管理能力
技术人员网络安全管理能力的高低对计算机网络的安全运行具有直接作用,因此加强技术人员的网络安全管理能力非常重要。首先,对在职的技术人员进行定期的网络安全管理知识的专题培训,不断丰富技术人员的理论知识,进而提高其管理技能;其次,制定更严格的考核制度,该考核制度的制定一方面是面对新入职的技术人员进行理论知识和网络安全操作技能的考核,另一方面是面对在职技术人员的考核,对在职技术人员的网络安全管理能力进行定期考核,根据考核结果,对技术人员进行奖罚,不断激发技术人员的学习能力和网络安全管理能力。此外,还需要创建一支优秀的网络安全管理团队,综合团队内每个技术人员的工作技能,提高团队网络安全管理的整体管理能力,为社会网络安全环境的创建提供有利的条件。
(五)加强网络安全的风险控制
计算机网络在运行过程中经常会遇到不同的网络风险,同时对网络安全带来不同程度的负面影响。因此,为了提高计算机信息管理技术在网络安全中的应用效果,需要不断加强网络安全的风险控制,提高该技术的风险控制能力。技术人员的具体操作内容如下,首先将云查杀和云计算等技术应用到计算机网络安全管理中,定期对网络中的存在的未知文件进行查杀,对不能确定的文件内容进行分类隔离,然后对其进行单独处理,从而保障整个网络运行的安全性。此外,加强防火墙技术的应用,对外来文件进行有效的拦截,降低木马和黑客入侵的安全网络的概率,进而加强了网络安全的风险控制。
(六)提高网络安全中加密技术的水平
加密技术是保障网络安全的主要技术之一,其作用保证网络数据信息的安全性,目前,在计算机信息管理技术中常用的加密技术主要包括节点加密技术、端对端加密技术和链路加密技术,每个加密技术的存在具有各自的特点及优势,同时拥有各自工作的范围,但是随着黑客人员的解密水平不断提高,单层的加密已经不能保障网络运行的安全。因此网络技术人员在进行数据加密时,首先将普通的文件内容进行节点加密,然后在此基础上根据数据信息的重要性,采用链路加密技术,实现数据信息的双层加密。网络信息在传输前进行单层加密,在传输过程中进行二次加密,将常用的加密技术紧密的联系在一起,环环相扣,增加解密的难度,进而维护了网络安全。
六、结束语
中电网安内部网络安全监控管理系统-网络巡警是针对当前内部网络安全措施相对缺乏的情况下,在深入分析内部网络和各种专用网络的拓扑结构特点、安全管理隐患和面临的各种可能的攻击手段的基础上,完全自主开发的一套内部网络安全监控管理系统。
网络巡警是基于终端底层驱动技术、网络控制技术、入侵检测技术、风险评估技术、防火墙技术、文件加密技术、网络管理技术等多种网络安全核心技术,集智能化、一体化、自动化为一体的内网安全监控管理系统,可以很好地实现入侵检测系统与系统管理平台、控制台与客户机之间的联动功能。作为一个针对内部网络、专用网络的主动管理、控制和监视的网络安全产品,以解决企业和政府内部专用网络的安全管理、安全控制、行为监视为目标,以主动的安全管理和安全控制的方式,将内部网络的安全隐患以技术的手段进行有效地控制,通过对每一个网络行为的监视和记录,将网络的安全隐患可视化,从而大大提高内部专用网络地安全性,真正保障每一个网络用户都在授权的范围合法地使用数据和信息。
网络巡警分为六大部分、九大功能模块,可实现对网络设备、服务器、工作站的全面管理和安全控制。
网络巡警分为六个部分:
1、执行平台:执行平台主要实现数据的后台计算,如计算网络拓扑、网络设备接入发
现、网络流量统计等,并把相应的数据存入后台数据库系统中。
2、管理系统:管理系统是网络管理员的操作界面,实现网络管理员对系统的配置和控制以及监视。
3、督察系统:督察系统是对管理系统操作员的操作行为进行安全审计。
4、报表分析系统:网络巡警报表分析系统是用户对网络巡警系统所有报警和日志进行分析的工具,它最主要的目标就是让不同身份的用户能以简单易用的方式得到他们想了解的信息。
5、客户端系统:客户端软件运行在内部网络上的每台工作计算机上,开机后程序即后台运行,实时监测本机的工作状态。它的主要功能模块包括:网络管理、报警管理、计算机信息采集、远程命令功能、注册表保护、文件保护、外存管理、拨号上网制、防火墙、HIDS1.等。
6、 入侵检测系统:入侵检测系统实时检测网络动态,及时警报攻击行为,锁定攻击方式和攻击路径。
九大功能模块:
a) 对网络终端的控制
b) 对网络设备的接入发现
c) 对网络应用服务器的控制
d) 反嗅探检测功能
e) 联动的入侵检测功能
f) 漏洞扫描功能
g) 安全审计功能
h) 病毒防范功能
i) 网络管理
网络巡警采用分布式的内网安全监控管理系统,实现执行平台与客户机的协同配合,在客户机安装相应的客户端软件,为执行平台提供相应的状态信息,在网络重要的网段安装运行探测器,实施对网络入侵的检测。在执行平台安装系统主控软件,对所有的网络状态信息进行分析计算,在系统管理员平台安装系统管理软件,通过人性化的界面实现对整个网络的配置、管理和控制。
相关项目:
中电科技集团南京14所内网安全监控管理项目
中电科技集团南京14所是一个大型的科研单位,网络规模大,网络应用复杂,网络管理工作繁重,特别是内网安全管理和控制在本单位是一块空白。采用我们公司的网络巡警系统软件后,增强了局域网内的安全性,保护了重要数据和机密文件;增强了网络的可管理性,利用软件的安全审计功能做到网络事件的有据可循。目前该项目主要是保护所领导用机、重点科室、机密部门的数据安全,二期工程将拓广到整个单位的局域网,共安装客户端100个。
(河北兴泰发电有限责任公司,河北邢台054000)
摘要:随着网络技术的逐步发展和广泛应用,复杂冗余的网络在各个领域行业中都得到了广泛的应用,因此简单的网络安全设计已经无法满足现有网络需求。现基于网络安全基础设施,构建结合入侵监测系统、防火墙系统、漏洞扫描系统、防病毒系统和安全审计系统的网络安全体系,从而达到提升网络安全防范能力的目的。
关键词 :复杂冗余;网络安全;安全审计系统
0引言
随着网络技术的逐步发展和广泛应用,复杂冗余的网络在各个领域行业中都得到了广泛的应用,因此简单的网络安全设计已经无法满足现有网络需求。本文基于网络安全基础设施,构建结合入侵监测系统、防火墙系统、漏洞扫描系统、防病毒系统和安全审计系统的网络安全体系,从而达到提升网络安全防范能力的目的。
1合理构建网络安全基础设施
1.1防火墙系统
防火墙是指隔离在本地网络与外部网络之间的一个执行访问控制策略的防御系统。防火墙部署在风险区域(例如Internet)和安全区域(例如内部网络)之间,对流经它的网络通信进行扫描,过滤掉一些攻击,以免其在目标计算机上被执行。防火墙系统作为维护网络安全的第一屏障,其性能好坏直接关乎整个网络安全的强度。具体防火墙系统的设计可以在网络的不同外部接入网和核心网络汇聚层之间采取硬件式防火墙,从而达到对外部接入网的相关网络访问进行全面监测的目的,以保障网络运行环境的安全。
1.2入侵监测系统
防火墙实现的是网络边界安全防范,但由于各种原因总会有部分恶意访问能够突破边界防护,对内部网络构成威胁。入侵监测系统能够对进入受保护网络的恶意流量实现监测、报警,入侵防御系统甚至能够与防火墙等边界安全设备实施联动,及时阻断恶意流量,减轻恶意访问对内部网络所造成的破坏。入侵监测系统设计的目的在于更好地应付网络业务、规模的扩大趋势,提升处理网络攻击事件的能力,从而最大程度上避免因各种操作风险而引发的各项潜在损失。具体的入侵监测系统部署示意图如图1所示。
1.3虚拟专用网(VPN)技术
虚拟专用网(VirtualPrivateNetwork,VPN)是一种基于公共数据网,给用户一种直接连接到私人局域网感觉的服务。VPN技术是依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
1.4安全审计系统
虽然网络安全的各类硬件部署可以很好地解决网络安全相关问题,但由于网络内部人员违规操作或过失行为造成的损失,是无法控制的。因而,需要构建安全审计系统,减少违规操作的潜在损失。安全审计系统的基本搭建方式是通过网络并联的方式,强化关键服务器对网络路径数据包的监控力度,同时借助协议解析、状态监测等先进技术,实行对网络数据包的再过滤,进而制定一个系统性审计制度,消除重要事件带有攻击性的特征。最后,安全审计系统需要对攻击性网络事件及时响应,阻断未授权用户的访问,同时进行日志记录工作,将攻击事件按照严重程度打包并传送到主界面,通过后期的人为操作,进一步强化对攻击性事件的防护能力。
1.5内网安全风险管理系统
内网安全风险管理系统是基于对内网本身的安全性考虑而设计的,体现出内网大数据和分布性部署的特点,会经常疏忽系统的补丁、防病毒软件的升级工作。另外,由于受到权限的影响,内网本身会在一定程度上降低防火墙系统的级别设置,形成宽松的内网环境,从而造成不明软件恶意安装、检测内网系统数据,从而造成大量的内网安全漏洞以及管理真空的风险。在实际操作过程中,主要利用在内网安全风险管理系统的终端上嵌入式安装AGENT的方式,实行对终端网络的监控,对于没有安装AGENT或是没有达到内网安全要求的终端,禁止其对内网系统的访问,以最终实现安全终端准入的要求。
2网络安全管理平台
2.1网络安全事件管理
网络安全事件管理平台主要是将收集到的不同类型的信息,通过一种特定的方式分类、归集,以减少事件风暴发生的概率。其通过对海量事件的整理,挖掘出真正值得关注的网络安全事件,找出不同类别网络攻击对象的关联与共同点,及时找到解决的应对措施,以提升整个网络在甄别网络安全事件上的准确率。在实际操作中可以看到,网络安全事件管理的主要对象是全网性的安全威胁状况,根据网络潜在威胁的程度,系统性地进行预测,从而最大程度上保障网络业务的正常运作。
对于威胁管理,主要是将网络各个系统收集到的事件归结到资产中,根据资产的价值规模以及关键程度,实行事件等级分类。另外,运用关联性的分析引擎,进行关联分析和映射,可以有效判定事件在处理操作上的优先次序,适当评估出目前资产遭受攻击的程度以及可能会发生经济损失的程度。威胁管理可以精确评估出当下事件对目标资产的影响,对于事前的控制具有十分重要的作用。脆弱性管理是确定网络资产安全威胁概率、发生威胁后的脆弱性,同时有效评估损失和后期影响的一个过程。脆弱性管理的对象是核心资产,方式是对网络系统的核心资产、漏洞、威胁进行全面、综合的监控和管理。
2.2网络安全信息管理
网络安全信息管理主要包括网络安全知识管理、资产信息管理两个方面,方法是对于网络安全基础设施提供的信息,提供有针对性的信息管理平台,对较少涉及的网络安全事件做出具体分析。主要包括以下两个核心库:首先是资产信息库,资产信息库的构建目的是实现系统性的关联性分析,作用是推动后期网络安全事件管理定位,解决潜在性威胁;其次是安全知识库,安全知识库涵盖了众多的网络安全知识以及网络安全补丁,可以为网络安全管理人员提供解决实际问题的参考信息。
3结语
本文从网络安全基础设施出发,从入侵监测系统、防火墙系统、漏洞扫描系统、防病毒系统、安全审计系统等方面对复杂冗余网络下的网络安全设计进行了深入分析,主要涵盖了网络安全事件管理和网络安全信息管理两个方面。本文设计能极大地提升网络安全事件的监控和防范能力,提高处理效率。另外,通过对网络安全进一步的统一管理及配置,可以更好地降低复杂冗余网络中的各项风险,改善网络运用的安全环境。
[
参考文献]
[1]朱瑶.财务信息管理系统安全问题[J].黑龙江科技信息,2010(35).
[2]叶军.基于防火墙技术的计算机网络信息安全的探讨[J].硅谷,2010(23).
[3]陈向阳,肖迎元,陈晓明,等.网络工程规划与设计[M].北京:清华大学出版社,2007.
[4]柳扬.计算机信息管理在网络安全中的应用研究[J].电子制作,2013(16).
关键词:企业内网,安全,管理策略
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-1pppp-0c
1 引言
内网安全理论的提出是相对于传统的网络安全而言的。在传统的网络安全威胁模型中,假设内网的所有人员和设备都是安全和可信的,而外部网络则是不安全的。基于这种假设,产生了防病毒软件、防火墙、IDS等外网安全解决方案,部署在内网和外网之间的边界,防外为主。这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。
但是,随着各单位信息化程度的提高以及用户计算机使用水平的提高,安全事件的发生更多是从内网开始,由此引发了对内网安全的关注。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem 拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究表明:超过80%的信息安全隐患来自组织内部,而大多数公司都没有设置相应的工具来监视和检测内部资源的使用和滥用。相对于外网安全来自互联网的威胁,内网安全的重点是数据和信息的安全,而这些数据和信息,才是企业真正有价值的资源。
2 企业内网安全隐患分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带―企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。内网安全威胁主要包括如下几个方面:
2.1 网络病毒
目前企业内部网络系统受到最多的安全威胁来自计算机病毒,病毒的传播形式越来越复杂、传播的速度越来越快,影响范围越来越大,其造成的损失已不仅限于个人计算机系统,还可以造成服务器系统瘫痪、主干网络拥堵,甚至崩溃。在企业内部网络系统中存在网络病毒对邮件服务器及个人操作系统的破坏,以及网络病毒造成的网速变慢,系统无法正常响应等情况,并且在病毒发作时不能及时处理,难以快速发现被病毒感染机器的IP地址。
2.2 非法入侵
网络黑客对内部网络系统的攻击随时都可能发生。因此,通常首要考虑的问题是如何有效地防范来自外部的攻击。来自外部的攻击通常只会影响采用合法IP地址的网络设备及服务器,或者说它们只对Internet上的可见设备进行攻击。但是这并非就意味着网络内部采用保留IP地址的网络就不会受到攻击。企业内部网络规模较大,网络用户较多,安全系统参差不齐,缺乏统一有效的控制手段。因此,在考虑外部入侵的同时,也要考虑来自Intranet内部的安全威胁。
2.3 系统安全漏洞、补丁修补不及时
随着各类网络和操作系统软件的不断更新和升级,由于边界处理不善和质量控制差等综合原因,网络和系统软件存在越来越多的缺陷和漏洞,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标和有利条件。网络入侵行为的成功大多是利用了网络系统的安全漏洞,这些漏洞包括安全管理的漏洞、操作系统的漏洞、数据库系统的漏洞、应用系统的漏洞、网络管理的漏洞等。如果不及时修补补丁,其相关的漏洞就可能会被随之而来的攻击手段所利用,给整个计算机网络的安全性带来威胁。在实施网络安全策略时,很重要的一步就是查清各种漏洞并及时弥补。在上述所有漏洞中,操作系统漏洞及数据库系统漏洞多被外部黑客所利用,而来自内部的黑客则可能利用所有的漏洞。
2.4 IP地址管理和非法内联外联问题
企业内部网络由于没有严格的管理策略,IP地址使用存在一定混乱,部分员工随意设置IP地址,造成IP地址冲突,甚至导致关键设备的工作异常。一旦出现恶意盗用、冒用IP地址以谋求非法利益,后果将更为严重。
另外企业办公楼层规模化的网络接口方便了员工接入网络,同时也方便了外来计算机接入网络,接入内网的计算机应该是专门用于完成业务工作且经过认可的计算机。但是存在着用户利用这些计算机设备进行其它活动, 或使用未经确认许可的计算机接入内网,管理人员对此类情况难以判定并加以监视和控制,造成内网安全的极大隐患。
随着企业信息化工作的开展和不断深化,越来越多的企业信息通过网络沟通、共享和保存。这些信息和数据既包含业务数据,也包括财务凭证、报表以及人事档案资料、公司内部公文,还包括合作伙伴的结算信息。这些信息有些是供电企业的行业机密和商业机密,有些用于企业的规范管理,有些用于辅助决策,它们对企业的生存和发展起到至关重要的作用。因此,管理信息系统的安全保密性成为系统开发中必须着重考虑的问题。这些机密数据和文件的外泄,造成的影响和危害非常严重,由于部分特定行业的特殊性,其造成的危害往往还涉及到国家的利益,因此严禁网络和专有网络与Internet互联。
2.5缺乏有效监控措施
目前一般企业内部网络与因特网之间采用物理隔离的安全措施,在一定程度上保证了内部网络的安全性,但是各类网络基础信息采集不全。大型计算机网络的管理应该以基础信息的管理为核心, 信息管理中心如果对所管辖网络的用户和资源状况难以掌握, 对整个网络的管理工作也就无从谈起, 在发生违规事件时也很难及时将问题定位到具体的用户。网络安全存在着“木桶”效应,整个网络安全的薄弱环节往往出现在终端用户,单个用户计算机的安全性不足,时刻威胁着整个计算机网络的安全。常见的防火墙、入侵检测等系统主要针对的是网络运行安全,对于终端用户的监控始终是网络安全管理中的薄弱环节,对网络内部的安全威胁缺乏防护、监控和审计机制。
3 企业内网安全管理策略
企业内网安全管理策略能够极好地解决网络内部网络的安全管理问题,通过对终端节点进行严防死守,对网络层面进行系统联动,对内网平台进行整合管理,从而为企业提供一个自防御的内网安全管理平台,为网络管理员展现一个安全的、易使用的环境,帮助企业解决大量的内网安全隐患问题。
3.1 资产管理
资产管理模块自动收集被管理的计算机全面的软硬件信息,包括:计算机名、品牌、硬盘型号及大小、CPU、内存等配置信息;此外,还能定义包含合同采购保修在内的全面资产维护信息及使用者状态,自动收集计算机安装的各种应用软件,并根据需要动态导出管理报表。
3.2 进程管理
网络聊天软件、股票软件、网络电影软件等现象在办公室蔓延令许多管理者头痛,通过进程管理模块,能实时监控与查杀企业内部任何计算机当前运行进程,并通过黑白名单功能切实保障非法进程无法运行,此外还能对特殊进程设置详细说明信息,使计算机只运行指定的应用程序,规范桌面应用程序环境。
3.3 补丁管理及软件分发
不同版本的操作系统,不同应用软件专用补丁,庞大的计算机数量,仅仅依靠着网络维护管理人员手工安装的解决办法,只能让网络维护管理人员疲于奔命。系统补丁自动管理功能为补丁的自动安装及升级提供了解决方案;此外,通过系统软件分发功能,可以定制分发任务,从而极大地提高工作效率。
3.4 网络访问管理
网络访问管理可以部署企业内部计算机的网络访问规则,只允许或禁止某些计算机访问特定的资源。例如一般员工不能访问部门领导级的计算机资源、不能访问内部重要数据服务器等;另外,可以限制员工只能使用某些网络,或者只允许或禁止某些端口,从而合理地规划内网计算机的网络资源访问。
3.5 远程维护管理
企业跨楼层、跨地域的内部网络使得维护工作越来越繁琐。远程维护模块基于Java组件的实现方式,通过Internet Explorer浏览器让网络维护管理人员对计算机桌面远程接管,并且能提供连接时限的设置和分级授权等功能让远程维护管理省时省心。
3.6 外设管理
针对企业内的一些特殊业务要求,网络维护管理人员必须全部或部分禁止外部设备,相比较于对计算机进行硬件拆卸、外设端口贴封条的传统方法,内网安全管理解决方案的外设管理功能通过USB存储设备的控制策略、USB接口的键盘鼠标等输入设备例外管理策略及各种光驱、软驱等驱动器的控制策略完美地解决了上述问题。
3.7 桌面设置管理
由于非法修改IP地址,而造成网络冲突和网络安全隐患。针对此种情况,桌面设置功能提供是否允许管理共享控制、开Guest账号及自动登录等功能,并通过IP地址与计算机绑定功能,实现IP地址和网卡MAC地址的捆绑,机器就无法再更改IP地址,有效地控制网络内计算机的网络行为。
3.8 系统预警管理
如何进行全方位的系统预警是企业信息安全非常重要的一环。预警管理功能可以定义异常事件并及时向网络维护管理人员进行警告,它提供对一些特殊TCP/UDP端口访问的告警及非法外联警告,让网络维护管理人员实时地了解每台计算机的系统状态,及时地掌握网络数据,从而有充分的准备来应付可能的突发事件。
3.9 接入安全控制
企业越来越难以在保持网络资源可用性的同时确保企业网络的接入安全,接入安全控制功能提供了对非法接入计算机、卸载关键软件等进行了阻断或重定向等管理手段,使企业业务数据不轻易泄露,对私自改变IP地址和安装非法软件等安全隐患进行更加有效的预防。
4 结束语
网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施,必须从网络、计算机操作系统、应用业务系统甚至系统安全管理规范、使用人员安全意识等各个层面统筹考虑。内网安全问题在安全体系中是至关重要的环节,解决内网安全问题必须从规划内网资源、规范内网行为、防止内网信息泄露等多方面入手,构建有效的企业内网安全管理策略,这样才能真正保证整个网络系统的安全。
参考文献:
[1]叶代亮,孙钰华.内网的安全管理[J].计算机安全,2006.1.
[2]宁洁.内网安全建设的问题分析与解决方案[J].网络安全技术与应用,2006.10.
[3]宋弘,薛雯波.构建内网安全体系的几个要点[J].计算机与网络,2005.18.
[4]马先.信息网络安全防护分析[J].青海电力,2006.3.
[5]王为.内部网络中客户端计算机安全策略[J].计算机安全,2006.10.
[6]刘晔,彭宗勤,吴德志.浅论威胁企业网络信息安全的因素及防范对策[J].集团经济研究,2007.5.
[7]王迎新,牛东晓.电力企业网络信息安全管理研究[J].中国管理信息化(综合版),2007.3.
那么,什么是人事档案材料在内部网络中录入、整理、分类、保管运行的安全问题,在计算机科学中,网络安全问题,就是防止未授权的使用者访问带有保密的人事档案材料和未授权而试图破坏或更改人事档案材料的行为,网络安全就是一个系统保护人事档案材料和系统资源相应的机密性和完整性的能力,系统资源.即指CPU、硬盘、程序以及其他信息。具体讲包括敏感的人事档案材料的泄露、黑客侵扰、网络资源非法使用以及计算机病毒等。
内部网络安全与人事档案材料运行风险分析
内部网络(局域网)的开发应用,给内部人事部门在处理各类人事档案材料带来无尽的好处与便捷,随着内部网络应用的扩大,网络安全风险也变得更加严重和复杂,原来由单个计算机安全事故引起的损害可能传播到其他系统和主机引起大范围的瘫痪和损失,直接影响人事档案材料在内部网络运行中的安全。内部网络的安全问题主要有:
(一)内部网络物理安全问题。内部网络物理安全是整个网络系统安全的前提,物理安全存在风险主要有:火灾、水灾、地震等环境事故,造成整个系统毁灭;电源故障,造成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁等,造成系统毁灭或人事档案材料泄漏;不正常的机房温湿度环境,造成服务器、路由器、交换机等局域网核心设备出现故障,甚至烧毁等。上述各种情况的发生,都将使人事档案材料在录入、整理、传递、存储等问题上存在安全问题。
(二)内部网络结构的安全问题。加强内部网络结构安全,防范黑客和病毒的攻击,是人事档案材料在内部网络运行中的安全保障,网络结构安全风险主要有:一是来自因特网的安全威胁,对于内部局域网络系统,就人事档案材料的录入、传递、整理、存档等,人事部门都制定相关规章,明确规定网内用户不得与互联网直接或间接相连,确保人事档案信材料在内部网络运行中的安全。尽管这样,但从技术角度看,用户计算机大多具备通过拨号方式连接因特网的能力;从管理角度看,也无法保证所有用户都能自觉严格执行有关管理规定。二是内部局域网络安全受到威胁,导致人事档案材料丢失和泄密,据有关数据统计表明,发生网络安全攻击事件中约70%是来自内部网络的病毒侵犯。三是内部网络设备的安全隐患,也影响人事档案材料在网络运行中的安全。网络设备包含路由器、交扳机、防火墙等。它们的设置比较复杂,可能由于疏忽或不正确理解而使这些设备使用的可靠性、安全性不佳;四是从系统的安全风险分析来看:内部局域网操作系统主要有Win98、Win2k、winXP、Win2KServer等,不管是什么操作系统,都有其BackDoor和Bug,这些“后门”和安全漏洞都存在着重大安全隐患,但是,系统的安全程度与计算机的安全配置以及与系统的应用面有很大关系,操作系统如果没有采用相应安全配置,则掌握一般攻击技术的人都可能入侵得手。因此.必须正确评估自己的网络安全,并根据网络风险大小作出相应的安全解决方案。
(三)内部网络系统应用安全问题。系统应用安全涉及很多方面,系统应用是动态的、不断变化的,应用的安全性也是动态的,这就需要我们对不同的系统应用检测安全漏洞必须采取相应的安全措施,降低系统应用的安全风险:一是资源共享。网络系统内部通常是共享网络资源,比如文件共享、打印机共享等,由此,可能存在少数同志有意无意把硬盘中重要的人事档案材料共享目录长期暴露在网络邻居上,而被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密;二是电子邮件系统。电子邮件系统为网内用户提供电子邮件应用,网内用户可以通过Outlook或lotus进行电子邮件收、发送,这就存在接收或传播一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件.没有警惕性,给侵入者提供机会,给系统带来不安全因素;三是病毒侵害。网络是病毒传播最快的途径之一,病毒程序可以通过网上下载,使用盗版光盘或软盘发送电子邮件,造成人为的病毒感染,病毒程序完全可能在极短的时间内迅速扩散,传播到网络上的其他主机,由于病毒入侵,机器死机等不安全因素,造成人事档案材料和人事机密文件泄漏和丢失;四是人事档案材料范围广、数量大、密级高,有些信息还必须在计算机上处理,因此,人事档案材料在网络上运行的安全问题对人事部门尤其重要。
加强内部网络安全性的对策
(一)树立良好的网络安全意识。增强计算机人员的安全防范意识,定期开展提高网络安全防范意识的培训,加强经常性的安全防范意识宣传教育,全面提高网络安全防范意识。目前不重视网络安全问题在个别单位和一定范围内还是存在,其原因也是多方面的,但主要还是思想认识问题。各单位主要责任人的安全意识对网络整体安全具有决定意义,领导干部应将网络安全意识、责任意识和保密意识联系起来,要把网络安全纳入到谁主管,谁负责;谁使用,谁负责的安全管理体制之中,同时要普及网络安全技术知识,用实际案例不断进行网络安全教育,不断强化重视网络安全的氛围。
(二)打牢过硬的网络技术防范能力。网络安全实质上也是一个综合性问题,技术手段同时也要与有效的管理相配合,充分发挥最大功效:一是做好物理安全防范。保证机房安全和各种设备的物理安全,是保障整个网络系统安全的前提。按照《电子计算机机房设计规范要求》,做好机房的各项防护工作,配备高性能、可靠性强的不间断电源,配置好空调设备保障机房的温湿度环境设备性能,可靠的消防器材,以预防各种火灾隐患,按照“三铁”要求和一定的报警设备,保障机房设备免受被盗被毁,实施机房专人值班和管理,落实各项规定和相关责任等等。二是做好网络结构安全防范。实行网络分段管理,网络分段是控制网络病毒传播的一种基本手段,也是保证网络安全的一项重要措施。网络结构安全主要指网络拓补结构是否合理,防止单独操作影响整个系统,在内部进行网络分段管理的基础上,采取逻辑分段的方式,投入具有三层交换功能的交换机,对局内用户较多的网段,以业务处室为单位再细分同段名,非法用户与敏感的网络资源相互隔离,从而防止可能的非法网络操作,以加强对网络用户的安全管理和网络安全责任的划分。三是做好系统安全防范。强化操作系统的安全防范措施,采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些不常用却存在安全隐患的应用、对一些保存有用户信息及口令的关键文件使用权限进行严格限制,并加强口令的使用管理(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令)并及时给系统打补丁,系统内部相互调用人事档案材料不对外公开。四是做好应用安全防范。由于在网络环境下计算机病毒有不可估量的威胁性和破坏力,因此,计算机病毒的防范也是网络安全建设中应该考虑的重要环节之一、做好病毒的技术预防和检测工作,网内所有计算机安装实时更新病毒特征码软件,对网络服务器和工作站中的文件及电子邮件等进行频繁地扫描和监测,一旦发现与病毒代码库中相匹配的病毒代码,及时采取相应处理措施进行清除或删除,防止病毒进入网络进行传播扩散。
购物车(0)
