从管理和技术两方面建立完整的园区网安全体系
开篇:润墨网以专业的文秘视角,为您筛选了一篇从管理和技术两方面建立完整的园区网安全体系范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:本文从管理和技术两个方面讨论了园区网的安全体系问题,提高网络的安全系数要从三个方面入手:一要建立安全运行管理措施,二要使用各项安全技术,建立完善的安全体系,三要有严密的网络应用系统数据安全设计。
关键词:管理 技术 安全
随着我院园区网的广泛使用,安全问题也就成为普遍关心的问题。当前,我院的园区网和军事训练信息网的建设是以TCP/IP为核心的开放式一体化网络。而开放型网络自身的特点也决定了它每时每刻都可能遭受来自不同方面的入侵和攻击。因此,园区网的安全性已成为一个非常紧迫的问题。
技术与管理是保障网络安全的两个基本点,技术与管理是相辅相成的,在网络安全的建设过程中是一个动态的关系,在网络建设初期,网络规模较小,技术问题在整个安全问题中会占较大的比例,但随着网络规模越来越大,管理问题在整个安全保证中会占越来越大的比例。我们应以我院园区网安全的需求出发,合理制定安全策略,从网络安全的管理和相关技术手段建立完整的园区网安全体系。
绝对安全的计算机信息网络可能根本不存在。各类计算机网络或多或少都会存在这样或那样的安全问题,“资源共享”和“信息安全”是一对矛盾,“网络应用”与“信息安全”也是一对矛盾。我们通常应从本单位信息网络安全的需求出发,合理制定安全策略,从系统的管理和技术两方面,建立一套科学、完整、行之有效的安全控制体制和应用保证体系。应从三个方面入手,加强网络的安全:
1建立安全运行管理措施
没有规矩不成方圆。没有一套严密和行之有效的运行管理措施,信息网络的安全难以保证。
管理包括两个方面,一是制度方面,二是培训方面。
1.1对网络用户进行经常性的安全意识教育 一些看似简单的安全问题常常发生,不是技术问题而是安全意识问题。这就需要经常讲,反复讲,逐步养成良好的安全习惯。如教育大家不将电脑帐号借给他人;勿使用过于简单的密码; 妥善保存密码;便携式计算机不能失于看守等。
1.2园区网与因特网的绝对隔离,机密信息与网络隔离 如果园区网和因特网之间有物理和通信连接,则园区网可能受到攻击。鉴于这种情况,园区网与因特网绝对隔离是完全必要的,同时,应禁止使用拨号方式上园区网,应经常对此项工作进行检查。在安全问题未完全解决的情况下,机密以上的信息不得上网。
1.3完善的网络和用户访问权限管理 在系统建设时,为便于应用和管理,应根据不同情况进行完善的用户和访问权限的设计。首先,我们应根据用户的任务、所用的数据,认真的划分用户群;然后,确定他们访问数据库的种类并赋予相应的权限;再后,为每个用户确定一套好记而又保密的用户名和口令字;最后,视情况做一些文件属性、机位、时间等安全控制设置。
1.4认真进行信息网络系统的监测和安全审计 认真做好网络系统的日常管理,对信息系统进行一些必要的监测和安全审计。网络系统的日常管理,一般借助于网络操作系统和专门的网络管理软件。在网络中心应配备这些软件,使系 统管理员能够查看用户和系统资源使用情况;通过性能监视器查看系统异常状况;利用事件查看器可浏览和分析安全事件日志,以发现和解决系统的安全漏洞等等。
1.5定期检测网络安全漏洞 网络中所有的设备都可能存在安全漏洞,这些安全漏洞可能是:管理员的口令为空、路由 器的控制端口没有设置口令、目录和文件权限设置不正确等等。除了人工查找和跟踪之外,利用网络安全弱点扫描工具,定期对网络设备和服务器(尤其是关键设备)进行安全漏洞检查,做好预先的防范,可以使绝大多数攻击无效。
检查网络安全漏洞是一项费时的工作,要求安全管理人员首先掌握网络结构布局,确定安全风险点,做好相关的记录和审计工作,并有计划地实施安全扫描,保障关键网络和服务不受影响。
2使用各项安全技术,建立完善的安全体系
造就一个安全的信息网络,涉及到方方面面。因此,在信息系统建立之初,必须有一个统一的考虑,并将建立完善的安全体系做为整个系统设计的一个重要部分,并同时确定具体实施的方法。可以采用技术手段有:
网络安全访问控制
通过对特定网段和服务建立访问控制体系,可以将绝大多数攻击阻止在到达攻击目标之前。这包括链路层和网络层的安全访问控制,以及远程用户访问的安全访问控制。可实施的安全措施有:VLAN 划分、访问控制列表(ACL)、用户授权管理、TCP 同步攻击拦截和路由欺骗防范等等。
实时入侵检测系统
利用实时入侵检测技术,对特定网段、主机和服务建立攻击监控体系,可实时检测出绝大多数攻击。这种入侵检测系统可根据网络安全管理员的预先设置,对攻击动作采取相应的行动(如断开网络连接、记录攻击过程等等),可以阻挡大多数的网络入侵,或者利用跟踪记录寻找安全事故责任人或网络犯罪嫌疑人。
备份和恢复
关键网络资源(包括中心路由器、中心交换机、应用服务器、数据库服务器和其他设备或数据),必须做到双机备份,即热备份或冷备份。另外,借助网管软件、实时检测系统和应用系统提供的报警、统计报表和日志功能,跟踪审计异常事件,能帮助网络管理人员尽快隔离故障,恢复网络和系统服务。
网络病毒的防治的安全性
全网病毒防治安全体系在大型网络中,成千上万台的客户端设备和服务器均有可能在不同程度上遭受到病毒的侵害。因此,建立全网病毒防治安全体系,在网络终端设备中安装防病毒软件是根本之策。通过实时扫描 PC 工作站、Internet 服务器、电子邮件、服务器和 HTTP、SMTP、 FTP 等网络协议,能及时查找和杀灭已定义的各类病毒,并对未知病毒进行有效的隔离。
在系统的软件升级方面,应建立完善的病毒特征码分发机制。中心病毒防治服务器可以定期地通过 Internet 从各厂商的技术支持中心获取最新的病毒特征码集合。所有病毒防治服务器都实时地将最新的病毒特征码集合分发到所辖的 PC 工作站或服务器上,以保证整个网络都能识别并杀灭世界上最新发现的病毒。
3严密的网络应用系统数据安全设计
数据是整个网络应用信息系统的核心。数据的完整性、保密性和可用性是信息系统安全设计的主要内容。所谓完整性就是指信息在存储或传输过程中不被非法修改、破坏或丢失;保密性是指保证信息在网上不被非授权用户越权访问;可用性是指要保证网上信息准确无误,值得信赖。具体设计时可视情况采取以下措施:
3.1数据完整性设计 数据完整性的保证主要在存储和传输两个环节。首先,要充分利用数据库管理系统提供的数据完整性的约束机制,认真实现“实体完整性约束”、“参照完整性约束”和各种输入数据的“引用完 整性约束”设计,以便保证数据信息在输入和存储时完整、准确。其次,在数据传输中可视情况选用相应的数据校验方式(如循环冗余校验)对传输数据进行校验检查,以保证传输信息的完整可靠。
3.2网络数据加密 网络数据加密主要是为防止非法者窃取、破译在存储或传输中的数据。一般有两种方式,即:
网络应用层加密和物理链路层加密。前者通常由设计人员在应用系统设计时,依据系统设计要求事先加入。后者通常由硬件实现,直接选用相应的“加密机”串接于通信线路之上。
3.3数据备份策略的设计 信息系统的数据一般有静态信息和动态信息两类。所谓静态信息是指那些自建立之后一般不再更改的数据; 而动态信息正好相反,它们视情况经常改变,甚至于每天都得更新。为防备万一,我们必须有一套完整的数据备份和恢复措施。就数据库系统而言,数据备份一般有两种方式,即:物理备份和逻辑备份。所谓物理备份就是直接在操作系统下实施相应数据文件的拷贝;逻辑备份则是利用数据库管理系统提供的备份工具,对相应数据库实施联机备份。究竟用哪种方式,备份周期多长,这就要视具体情况而定。一般动态信息备份频率较高,有的甚至每天都得备份。