网络安全内部管理制度范文
时间:2024-04-18 15:35:29
网络安全内部管理制度篇1
摘 要 在internet/intranet技术迅速发展并得到广泛应用的今天,网络安全越来越受到人们的重视。本文分析了内部网络在与互联网物理隔离的情况下存在的安全威胁,初步提出了一套安全体系来保护内部网络。 关键词 内部网络;网络安全 1 引言 目前,在我国的各个行业系统中,无论是涉及科学研究的大型研究所,还是拥有自主知识产权的发展中企业,都有大量的技术和业务机密存储在计算机和网络中,如何有效地保护这些机密数据信息,已引起各单位的巨大关注! 防病毒、防黑客、数据备份是目前常用的数据保护手段,我们通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭,因此采取了一系列的防范措施,如建立两套网络,一套仅用于内部员工办公和资源共享,称之为内部网络;另一套用于连接互联网检索资料,称之为外部网络,同时使内外网物理断开;另外采用防火墙、入侵检测设备等。但是,各种计算机网络、存储数据遭受的攻击和破坏,80%是内部人员所为! (computer world,jan-uary 2002)。来自内部的数据失窃和破坏,远远高于外部黑客的攻击!事实上,来自内部的攻击更易奏效! 2 内部网络更易受到攻击 为什么内部网络更容易受到攻击呢?主要原因如下: (1)信息网络技术的应用正日益普及,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。网络已经是许多企业不可缺少的重要的组成部分,基于web的应用在内部网正日益普及,典型的应用如财务系统、pdm系统、erp系统、scm系统等,这些大规模系统应用密切依赖于内部网络的畅通。 (2)在对internet严防死守和物理隔离的措施下,对网络的破坏,大多数来自网络内部的安全空隙。另外也因为目前针对内部网络安全的重视程度不够,系统的安装有大量的漏洞没有去打上补丁。也由于内部拥有更多的应用和不同的系统平台,自然有更多的系统漏洞。 (3)黑客工具在internet上很容易获得,这些工具对internet及内部网络往往具有很大的危害性。这是内部人员(包括对计算机技术不熟悉的人)能够对内部网络造成巨大损害的原因之一。 (4)内部网络更脆弱。由于网络速度快,百兆甚至千兆的带宽,能让黑客工具大显身手。 (5)为了简单和易用,在内网传输的数据往往是不加密的,这为别有用心者提供了窃取机密数据的可能性。 (6)内部网络的用户往往直接面对数据库、直接对服务器进行操作,利用内网速度快的特性,对关键数据进行窃取或者破坏。 (7)众多的使用者所有不同的权限,管理更困难,系统更容易遭到口令和越权操作的攻击。服务器对使用者的管理也不是很严格,对于那些如记录键盘敲击的黑客工具比较容易得逞。 (8)涉密信息不仅仅限于服务器,同时也分布于各个工作计算机中,目前对个人硬盘上的涉密信息缺乏有效的控制和监督管理办法。 (9)由于人们对口令的不重视,弱口令很容易产生,很多人用诸如生日、姓名等作为口令,在内网中,黑客的口令破解程序更易奏效。 3 内部网络的安全现状 目前很多企事业单位都加快了企业信息化的进程,在网络平台上建立了内部网络和外部网络,并按照国家有关规定实行内部网络和外部网络的物理隔离;在应用上从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的应用如财务系统、pdm系统甚至到计算机集成制造(cims)或企业资源计划(erp),逐步实现企业信息的高度集成,构成完善的企事业问题解决链。 在网络安全方面系统内大多企业或是根据自己对安全的认识,或是根据国家和系统内部的相关规定,购置部分网络安全产品,如防火墙、防病毒、入侵检测等产品来配置在网络上,然而这些产品主要是针对外部网络可能遭受到安全威胁而采取的措施,在内部网络上的使用虽然针对性强,但往往有很大的局限性。由于内部网络的高性能、多应用、涉密信息分散的特点,各种分立的安全产品通常只能解决安全威胁的部分问题,而没有形成多层次的、严密的、相互协同工作的安全体系。同时在安全性和费用问题上形成一个相互对立的局面,如何在其中寻找到一个平衡点,也是众多企业中普遍存在的焦点问题。 4 保护内部网络的安全 内部网络的安全威胁所造成的损失是显而易见的,如何保护内部网络,使遭受的损失减少到最低限度是目前网络安全研究人员不断探索的目标。笔者根据多年的网络系统集成经验,形成自己对网络安全的理解,阐述如下。 4.1 内部网络的安全体系 笔者认为比较完整的内部网络的安全体系包括安全产品、安全技术和策略、安全管理以及安全制度等多个方面,整个体系为分层结构,分为水平层面上的安全产品、安全技术和策略、安全管理,其在使用模式上是支配与被支配的关系。在垂直层面上为安全制度,从上至下地规定各个水平层面上的安全行为。 4.2 安全产品 安全产品是各种安全策略和安全制度的执行载体。虽然有了安全制度,但在心理上既不能把制度理想化,也不能把人理想化,因此还必须有好的安全工具把安全管理的措施具体化。
目前市场上的网络安全产品林林总总,功能也千差万别,通常一个厂家的产品只在某个方面占据领先的地位,各个厂家的安全产品在遵守安全标准的同时,会利用厂家联盟内部的协议提供附加的功能。这些附加功能的实现是建立在全面使用同一厂家联盟的产品基础之上的。那么在选择产品的时候会面临这样一个问题,即是选择所需要的每个方面的顶尖产品呢,还是同一厂家联盟的产品?笔者认为选择每个方面的顶尖产品在价格上会居高不下,而且在性能上并不能达到l+1等于2甚至大于2的效果。这是因为这些产品不存在内部之间的协同工作,不能形成联动的、动态的安全保护层,一方面使得这些网络安全产品本身所具有的强大功效远没有得到充分的发挥,另一方面,这些安全产品在技术实现上,有许多重复工作,这也影响了应用的效率。因此网络安全产品的选择应该是建立在相关安全产品能够相互通信并协同工作的基础上,即实现防火墙、ids、病毒防护系统、信息审计系统等的互通与联动,以实现最大程度和最快效果的安全保证。目前在国内外都存在这样的网络安全联盟实现产品之间的互联互动,达到动态反应的安全效果。 4.3 网络安全技术和策略 内部网络的安全具体来说包括攻击检测、攻击防范、攻击后的恢复这三个大方向,那么安全技术和策略的实现也应从这三个方面来考虑。 积极主动的安全策略把入侵检测概念提升到了更有效、更合理的入侵者检测(甚至是内部入侵者)层面。内部安全漏洞在于人,而不是技术。因此,应重点由发现问题并填补漏洞迅速转向查出谁是破坏者、采取弥补措施并消除事件再发的可能性。如果不知道破坏者是谁,就无法解决问题。真正的安全策略的最佳工具应包括实时审查目录和服务器的功能,具体包括:不断地自动监视目录,检查用户权限和用户组帐户有无变更;警惕地监视服务器,检查有无可疑的文件活动。无论未授权用户企图访问敏感信息还是员工使用下载的工具蓄意破坏,真正的安全管理工具会通知相应管理员,并自动采取预定行动。 在积极查询的同时,也应该采用必要的攻击防范手段。网络中使用的一些应用层协议,如http、telnet,其中的用户名和密码的传递采用的是明文传递的方式,极易被窃听和获取。因此对于数据的安全保护,理想的办法是在内部网络中采用基于密码技术的数字身份认证和高强度的加密数据传输技术,同时采用安全的密钥分发技术,这样既防止用户对业务的否认和抵赖,同时又防止数据遭到窃听后被破解,保证了数据在网上传输的可靠性。攻击后恢复首先是数据的安全存储和备份,在发现遭受攻击后可以利用备份的数据快速的恢复;针对www服务器网页安全问题,实施对web文件内容的实时监控,一旦发现被非法篡改,可及时报警并自动恢复,同时形成监控和恢复日志,并提供友好的用户界面以便用户查看、使用,有效地保证了web文件的完整性和真实性。 4.4 安全管理 安全管理主要是指安全管理人员。有了好的安全工具和策略,还必须有好的安全管理人员来有效的使用工具和实现策略。经过培训的安全管理员能够随时掌握网络安全的最新动态,实时监控网络上的用户行为,保障网络设备自身和网上信息的安全,并对可能存在的网络威胁有一定的预见能力和采取相应的应对措施,同时对已经发生的网络破坏行为在最短的时间内做出响应,使企业的损失减少到最低限度。 企业领导在认识到网络安全的重要性的同时,应当投入相当的经费用于网络安全管理人员的培训,或者聘请安全服务提供商来维护内部网络的安全。 4.5 网络安全制度 网络安全的威胁来自人对网络的使用,因此好的网络安全管理首先是对人的约束,企业并不缺乏对人的管理办法,但在网络安全方面常常忽视对网络使用者的控制。要从网络安全的角度来实施对人的管理,企业的领导必须首先认识到网络安全的重要性,惟有领导重视了,员工才会普遍重视,在此基础上制定相应的政策法规,使网络安全的相关问题做到有法可依、有据可查、有功必奖、有过必惩,最大限度地提高员工的安全意识和安全技能,并在一定程度上造成对蓄意破坏分子的心理震慑。 目前许多企业已认识到网络安全的重要性,已采取了一些措施并购买了相应的设备,但在网络安全法规上还没有清醒的认识,或者是没有较为系统和完善的制度,这样在企业上下往往会造成对网络安全的忽视,给不法分子以可乘之机。国际上,以iso17799/bsi7799为基础的信息安全管理体系已经确立,并已被广泛采用,企业可以此为标准开展安全制度的建立工作。具体应当明确企业领导、安全管理员、财物人员、采购人员、销售人员和其它办公人员等各自的安全职责。安全组织应当有企业高层挂帅,由专职的安全管理员负责安全设备的管理与维护,监督其它人员设备安全配置的执行情况。单位还应形成定期的安全评审机制。只有通过以上手段加强安全管理,才能保证由安全产品和安全技术组成的安全防护体系能够被有效地使用。 5 结论 要想保证内部网络的安全,在做好边界防护的同时,更要做好内部网络的管理。所以,目前在安全业界,安全重在管理的观念已被广泛接受。没有好的管理思想,严格的管理制度,负责的管理人员和实施到位的管理程序,就没有真正的安全。在有了“法治”的同时,还要有“人治”,即经验丰富的安全管理人员和先进的网络安全工具,有了这两方面的治理,才能得到一个真正安全的网络。 参考文献 [1] 杨义先、钮心忻,网络安全理论与技术[m.人民邮电出版社,2003 [2] linda mccarthy著,赵学良译,信息安全一企业抵御风险之道[m].清华大学出版社,2003 [3] 求是科技:董玉格、金海、赵振,攻击与防护:网络安全与实用防护技术[m].人民邮电出版社,2002
网络安全内部管理制度篇2
关键词:高校 校园网 网络监控 安全管理制度
中图分类号:G642 文献标识码:A 文章编号:1672-8882(2013)03-060-02
目前,高校校园网为广大师生提供了非常便利的服务,但由于网络的开放互联和共享的特性, 使得我们在享受便利的同时又不可避免地需要承担一定的风险。要加强高校网络安全维护校园网安全稳定运行,就需要从管理机制的建设入手。
一、制定健全可行的网络安全管理制度
1.机房安全管理
第一,出入机房制度。网络中心机房是数据管理中心,非本区域工作人员不得擅自进入机房,外来人员只能在机房廊道进行参观,未经允许禁止进入网络机房。
第二,机房设备管理。所有人员未经允许不得擅自关闭UPS电源、市电开关与交换机设备。全部网络设备都要接入UPS。相关管理员负责机房服务器的日常维护与管理,不得擅自操作职责范围外的网络设备。维护机房用电网络设备时要带防静电手套。机房内的网络设备要干净整洁,电源线路与网络线路要分开排线,各种网络设备要实行标签化管理。机房内所有设备要有管理日志。
第三,机房卫生管理。相关工作人员要保持机房的干净、整洁,要做到防尘、防潮、防静电,所有人员禁止在机房内吸烟。
第四,安全管理制度。网络中心管理人员要时刻把安全放在第一位,牢固树立安全第一的思想。保证机房的设备与人员的自身安全,防止任何危险的发生。机房要设立安全责任制度,设立组长、组员,各司其职,专人专岗,按照制度规范进行安全检查。安全用电,按照操作程序操作各种用电设备,禁止超载,管理人员离开工作岗位时,应检查好用电器的安全,重要岗位要全天候有人员在岗值班。爱护机器设备,不得随意拆卸机器,未经批准,不得随意挪动设备,不得将设备外借。机房走廊严禁摆放杂物,要保证逃生通道的畅通。定期对人员进行安全教育培训,提高安全意识,采取定期与抽查的方式进行安全检查,防止事故发生。
2. 入网管理制度
接入互联网的单位与个人必须严格遵守国家相关规定,遵守《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定》与《中华人民共和国计算机信息系统安全保护条例》,不得利用互联网从事违法犯罪活动。任何组织与个人不得在网上危害国家与社会安全的信息,不得从事破坏网络安全的活动。高校校园网要严格遵守《中国教育和科研计算机网暂行管理办法》,遵守入网用户守则,定期对本校网络秩序进行安全检查,发现违规行为要及时上报和改正。
3. 网络维护制度
为了保证高校网络的健康运行,要定期对网络进行维护,主要包括:
第一,维护的方法。高校校园网要按照不同的部门进行维护。其中,网络管理中心作为核心部门主要负责总服务器,核心网络设备与传输线路的维护。机关、各院系分别设立网络管理部门,安排专人进行本级的服务器、网络终端维护。网络管理中心对机关、院系进行必要的技术指导。
第二,设备的维护。网络设备是校园网能否安全、平稳运行的关键,主要包括:大型机,路由器,交换机,机柜等等。这些设备主要有网络中心负责维护保养,相关管理人员要定期检查设备的运行情况,发现问题要及时排查,做好设备的备份,定期修改维护密码,并记好维修日志。
第三,服务器的维护。服务器是网络中心的关键设备,包含高校的重要信息数据。服务器由网络中心总服务器与各院系单位的二级服务器构成。网络中心人员要每日检查服务器的运行情况,各院系单位也要定期检查服务器的运行状况,网络中心管理人员要不定时检查指导下属二级服务器的运行情况,做到及时排查,及时备份,使校园网路安全运行[40]。
此外,服务器只能安装规定的系统软件,严禁私自安装其它任何软件程序,严禁重要服务器连接网络。
第四,网络线路与终端设备的维护。网络线路负责数据的传输,是高校网络安全构建的基础,未经管理部门同意,严禁更改线路。如线路发生问题,则上报本级网络管理人员或网络中心管理人员。相关人员应及时查找问题,排查故障。如果网络终端设备发生故障,则按照相关责任人进行检修或者更换。
4. 值班制度
网络中心与各二级网络本门要制定科学合理的值班制度,安排专人值班。各级值班人员要遵守值班守则,坚守岗位各尽其职,遇到网络安全问题要逐级上报,尽力排查,并记录好没每日的值班日志。
5. 管理员职责
网络中心管理员负责高校校园网的整体管理维护工作,并为二级网络部门提供必要的技术支持。网络中心管理员负责网络中心服务器和设备的维护保养。二级网络单位管理员负责本部门的网络安全稳定运行。各级管理人员应不断加强自身的业务素质,不断学习新的网络管理技术,确保各级网络设备都能安全平稳的运行。
6. 违规处罚管理办法
为了使校园网健康稳定的运行,制止一切利用网络的违法犯罪活动,保护网名的正当合法利益,特制定以下的违规处理办法:
当违规行为较轻时,应通报违规人的单位,并令其做出书面检查,暂时停止其校园网的登录权限两周以上。当违规行为严重时,对违规人给予行政处分,取消其校园网账号,危害严重者追究其法律责任。如违规造成经济损失的,依法进行赔偿。
二、建立校园网络安全突发事件管理机制
对待突发事件的处置办法可从以下几方面入手。
第一,处置方法。对待网络突发事件的处置分为事故发生前和发生后两种不同的情况:
(a)事故发生前。网络中心与各级主管部门要制定网络突发事件应急办法,建设事故管理系统,进行事故评估,制定紧急事故通道,确保一旦发生事故,网络备用通道的畅通。平时还应加强处置突发事件演练,在真正的事故中做到有条不紊,把损失降到最小。
(b)事故发生后。发生网络安全事故时应立即采用突发事件应急措施,上报主管部门,采取最合理科学的处理方法,及时排查事故,确保网络在最短的时间恢复运行。
第二,处置步骤。
(a)及时发现事故。各级网络部门要遵守各项规定,以确保在最早的时间发现突发网络事件。
(b)启动应急预案。当网络突发事件发生时药剂师启动应急措施,按照预案进行紧急处理。
(c)应急处置措施。网络突发事件可分为自然灾害与人为破坏两种情况,这两种情况的处理方式也有不同。
当网络事故为自然灾害引起时,应根据实际,先保障信息的安全,而后在保护网络设备。
当由于人为的原因对网络进行恶意的破坏时,要分析其损坏途径,迅速切断恶意链接,而后对损坏的数据进行修复,同时配合公安机关抓捕破坏分子,按照相关法律给予制裁。
第三,保障方法。网络突发事件处理是一项长期的、艰巨的、困难的系统性工作,因此高校网络主管部门必须引起足够的重视,协调社会力量,共同做好平时与遇到突发事件时的保障工作。
(a)对人员的保障。高校主管领导要重视技术人员的培养,建立网络突发事件应急领导小组,定期组织突发事件应急演练。
(b)对技术的保障。平时要对网络设备进行保养与维护,做好相关备份,保障重要信息安全,做好遇突发事件的技术保障。
(c)对物资的保障。做好校园网经费的预算与保障,确保资金对技术、人员、设备的支持。做好突发事件资金保障预算,确保应急保障工作的顺利,从而将损失降到最低。
三、加强对校园网用户的内部网络监控机制的建设
依据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》与《中国教育和科研计算机网暂行管理办法》的相关规定,为保证高校校园网安全运行,应制定网络信息监控制度。高校校园网是向校内传输信息的平台,为校内用户使用网络提供各种服务,所有使用者不得从事任何违法犯罪,侵害集体或他人利益的活动,具体的监控措施如下:
第一,对服务器的监控。网络服务器包括FTP、WEB、邮件、数据库等服务器,大量数据信息要经过这些服务器,因此保证它们的安全稳定至关重要。高校各级网络部门要采取监控手段,确保服务器的正常运行。各级管理工作人员要严格遵守各项规章制度,恪尽职守,杜绝各种危害网络健康的现象发生。
第二,对各部门的监控。各网络主管部门要成立本级的网络工作小组,派专人负责网络信息监控工作。各负责人员要掌握本部门的网络运行情况,发现问题及时采取措施并上报相关部门,以确保本部门网络的安全运行。
此外,在网络平稳运行时,可以通过IDS入侵检测系统,IPS入侵防御系统,安全侦测与监听系统等内部监控措施保护网络安全。通过这些内部监控措施,可以提高网络的防御水平,及时发现安全隐患,保证网络正常运行。还可以通过使用网络管理软件,日志记录软件等分析工具,辅助分析网络安全请情况,从而完善内部监控机制,提高网络管理水平。
总之,高校校园网的网络安全是一项综合的工程,要进行多角度主动的防范。在网络安全形势十分严峻的环境下,校园网的安全问题也日益突出,因此,完善校园网络管理制度,加强软件安全监控,提高管理人员业务水平,加强学生网络道德教育等等针对网络安全的措施显得十分重要。作为校园网的管理者要多角度维护防范,减小危险的发生率,最大限度的维护校园网安全稳定运行。
参考文献:
[1] 徐云娟,校园网安全技术的研究[D].复旦大学硕士论文,2008
[2] 韩晓雨,韩东.高校网络管理浅谈[J].科技信息,2011(3):76
[3] 张娟,高校网络安全问题研究[J].信息通信,2012(3):172-173
The Consolidation?of?the?Management?Mechanism?of the University?Network?Security
Abstract:By the analysis of the university network security management system, this thesis draws the conclusion that people need to start from the construction of the management mechanism in order to strengthen the university network security and to maintain the safe and stable operation of the campus network. The author also proposes the countermeasures from the aspects of developing network security management system and strengthening the internal network monitoring mechanism.
网络安全内部管理制度篇3
关键词:主动;被动;防御;安全;网络
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)25-7098-03
To Build a Secured and Reliable Network Needs Combination of Initiative and Passive Defense
HUANG Wei-fa
(Fujian Provincial Tobacco Company Fuzhou Branch Company,Fuzhou 350013,China)
Abstract: How to guarantee the security of network tobacco business has become a key issue to push forward the smooth development of tobacco industry in the information era. According to the necessity to conduct electronic administration and e-commerce in tobacco industry, on the basis of the status quo of Fuzhou network security of tobacco business and daily work, this paper put forward a suggestion: network security administration is a comprehensive system, hence it is necessary to focus on the aspects of strategy, management and technology so as to build a more effective and more reliable network security system by combining initiative defense technology with the traditional passive defense.
Key words: initiative; passive; defense; security; network
近年来,随着信息技术的飞速发展和互联网的迅速普及,网络以其惊人的发展速度和巨大的利益吸引着厂商纷纷通过建立电子商务虚拟市场完成其交易活动,其广阔的发展前景已经引起世界各国的密切关注,而且越来越多的传统企业已经意识到以信息技术为主导的知识经济时代,以网络化、信息化、知识化、全球化为特征的新经济是不可逆转的。然而随着网络上的数据来往,网络信息安全成为企业更为关注的问题。由于烟草行业是国民经济的重要组成部门,面对激烈的竞争,提高网络的安全性能将对这种新型的网络商务运作模式的有效运转、提高我国烟草行业的经济效益和效率、提高企业的竞争力占据有力的作用。
该文以作者所在单位的网络为例,从策略、管理、技术等方面对如何打造更为安全可靠的网络安全体系进行了分析和探讨。
1 网络安全的基本认识
当今社会是信息化的社会,信息化的基础设施是网络。随着Internet的发展和PC机的普及,网络和信息化已经成为了现代社会的重要标志之一。从Internet的最早起源美国国防部高级研究计划署DARPA(Defence Advanced Research Projects Agency)的前身ARPAnet开始,到现代高达发达的信息化公路,网络可以说是无处不有,电子邮件、网上银行、电子商务、网络办公…… 网络已经融入了我们的生活,给人们的生活带来的极大的方便。
然而,网络信息技术也和其他科学技术一样是一把双刃剑。当大部分人们利用网络信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用网络信息技术却做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息、篡改和破坏数据,给社会造成难以估量的巨大损失。据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)统计, 2007年各种网络安全事件与2006年相比都有显著增加,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件成倍增长,网络仿冒事件数量由563件增加至1326件,增长率近1.4倍;垃圾邮件事件数量由587件增加至1197件,增长率达1倍;网页恶意代码事件数量由320件增加至1151件,增长率近2. 6倍。2007年微软公司正式公布了69个4具有编号的安全漏洞。其中,除Windows操作系统漏洞外,安全漏洞更多的集中出现在了IE浏览器和MS Office等应用软件上。
2 福州烟草网络安全现状
图1为作者所在单位的网络拓扑图。在图中可以看到,在广域网范围,全网由主备两条2M SDH链路连省公司和下属各县分公司;在城域网范围,连接各业务部门和下属单位近十条链路;由于业务需要,还存在到其他地区的2M 帧中继以及到兴业银行和农业银行等连接。这些线路或通过广域网连接到市公司中心机房的两台cisco 3600路由器,或通过城域网连接到市公司中心机房的6509核心交换机,最终全区所有节点约800台都汇聚到6509核心交换机。在全区外网唯一的出口和内网之间架设一台中科网威防火墙NPFW-200-P4和入侵检测服务器。在公司架设一台防病毒服务器,全网所有电脑都安装瑞星网络版防病毒软件。
从拓扑图来看,这是一个规模不大的网络系统,网络中采用了防火墙、入侵检测服务器和瑞星网络版防病毒软件等措施来构建基本的安全防御系统。防火墙隔离了内部局域网与外部互联网,保护内部网络不会轻易受到攻击,瑞星防病毒软件安装在每个终端上,对终端进行杀毒保护,这是最为简单的组合模式,然而在实际运作中,我们发现存在着不少安全问题。
首先,基于传统安全防御理念构建的网络架构,其防御的对象着眼于外部,忽视了来自内部的威胁。在传统思维的引导下,通常企业也都比较信任内部的员工,安全设备根本不对企业网络内部的情况进行监视。企业内部的每一个人都得到了充分的信任,可以在网络中随意游走,毫无限制。然而,来自安全研究机构的统计:超过85%的安全威胁来自企业内部,威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等。当然更有说服力的,还是国内外一些活生生的例子,包括很多全球知名企业的泄密案等,其损失之巨大,更是足以让后来者引以为戒。
传统安全防御的方法更多的是采取被动防御技术的,构筑好一个防御的城堡以后,就坐等敌人的进攻,主动权交到了对方的手里,这样的防御永远只能跟在对方的身后,拆拆补补,南门受到了攻击,就调集部队守南门,北门告急,再调过去补北门,疲于奔命,顾此失彼。而且一个城堡能否被攻破,不是取决于城堡有多厚,而是最薄的地方在哪里,而更加致命的是被动防御往往不知道什么地方最薄。
其次,在管理上,建立规范的信息化管理系统和制定符合实际的安全管理制度体系,并不是一个有什么难度的事情,最为困难的就是如何保障信息管理系统的有效运行和安全管理制度体系的执行到位,这涉及到企业的管理风格,业务模式与对信息安全的重视依赖程度,特别是企业领导对信息安全问题的重视程度以及信息部门在企业中的地位,决定了网络安全体系如何建设、建设到什么程度以及能够起到多大的作用。
最后,在技术上,我们虽已配备安全产品的“老三样”――防火墙、入侵检测以及防病毒软件。但随着技术的发展,现代防火墙技术已经逐步走向网络层之外的其他安全层次。而我们的防火墙功能比较弱,无法为各种网络应用提供相应的安全服务。同时,由于没有流量控制、带宽控制等功能,使得我们在外网访问管理上捉襟现肘,许多很好的管理思路无法得到实施。
对于终端电脑没有有效的工具来管理。如前所述,在传统安全防御思路中,对来自内部的安全威胁认识不足,各类信息软硬件的发展诸如移动存储设备(移动硬盘、闪盘、SD/CF/等)、服务器软件等使得病毒木马可以轻易绕过防火墙进入局域网内部,更何况现在许多的病毒木马可以终止安全软件的运行。身份认证系统是整个网络安全体系的基础,否则即便发现了安全问题也会由于无法查找而只能不了了之,只有建立了基于全区网络的统一身份认证系统,才能彻底的解决用户入网身份问题,同时也为各项应用系统提供了安全可靠的保证。
与作者所在单位相似的是,多年的信息化建设,使得许多企业也意识到了搞好网络安全的重要性和必要性,不少企业都能斥资数百乃至上千万购置防火墙、防病毒软硬件设备来构筑自己信息安全的堡垒。但是他们往往发现投入了许多,安全问题不减反增,每天不停打着漏洞补丁,病毒日志数十页地增加着,系统运行时好时坏,从事信息建设的工作者无法高枕无忧,反而更加有如履薄冰的感觉。尽管采用了花样翻新的安全产品和解决方案,但企业所面临的安全威胁不是减少,而是大大增加了。
道高一尺,魔高一丈。虽然90%的企业机构已经采用了防火墙和防病毒解决方案,但仍有超过一半会受到安全漏洞的影响;尽管对信息安全忧心忡忡的企业已经在该领域投入了大量资金,但企业每天受到攻击的次数却以每半年30%的速度增长。
3 主动与被动防御相结合构建更为安全的网络安全体系
网络安全解决方案核心目标是最大限度确保数据安全和业务的连续性。对于企业来说最关心的并不是一个完美的,无懈可击的网络,而是如何保证网络所承载业务的正常、安全、可靠地运行。虽然我们面对的信息网络具有各种各样的安全缺陷,只要我们通过适合灵活的安全策略,保证业务活动和业务数据的安全,并确保业务应用的可用性,那么承载业务的这个网络对于我们来说就是符合要求的安全网络。
以下从策略、管理、技术三个方面就如何打造主动与被动防御相结合的网络安全体系进行探讨:
3.1 在策略方面
3.1.1 配置入网身份认证机制
身份认证的缺失,使得任何一个用户对任何一个安全问题都是可抵赖的。而内部攻击的发生是无法从制度上阻止的。在网络节点接入安全网络时,需要对待接入的系统安全状况以及操作该节点系统用户的身份进行充分的评估、认证,以确定该系统是否符合网络的内部安全策略,来决定该网络节点系统是否接入到安全网络中,还是拒绝接入或安全升级后接入。显然,网络准入的机制不仅实现了安全网络“主动”的动态扩展,而且能够有效降低不可信终端系统接入网络所带来的潜在安全风险,为网络管理奠定良好的基础,有效保护核心数据的生成、访问、更改等操作,保障电子政务的运行以及为所有应用系统的统一单点登录创造条件。
3.1.2 加强网络内部机器的管理
对内部网络所有计算机上的重要信息的存储和传输实施访问控制、数据保护和日志记录,提供完善的集中管理控制机制、有效的安全策略生命周期管理方法和细致清晰的审计分析报告,从而能够有效地防止内部网络重要信息通过各种途径被非法泄漏和破坏。安全问题不仅仅来自外网,实践证明更多的来自内网。虽然我们非常清楚地知道企业内部人员的危险程度有多高,但是,内部人员的活动是无法预测的。谁都不可能知道哪些员工会在什么时间干出伤害公司利益的事情。因此,主动防御更多的就是要我们主动出击,防患于未然。
3.1.3 建立安全管理中心(SOC)
将关键设备的运行管理权利集中到一起,通过高度密集的管理产品和手段,将分散在各地区、不同业务网络上面的各种安全产品有机的结成一个整体。所涉及的安全管理管理范围包括:所有的基于IP的网络和应用系统的安全:包括支撑网本身、业务支撑系统(如决策支持系统、网管)、业务系统本身和其他应用。所有安全产品组成的安全体系的实时管理和监控都应当受到SOC的管理。所有非安全产品的关键应用系统均应该通过一定途径将安全相关信息输送到安全管理中心中,保证及时安全时间的发现、分析和响应。
3.2 在管理方面
3.2.1 网络安全是一项技术问题,更是一项管理问题
网络不能完全依赖安全产品来解决信息安全,网络安全更需要从管理的基础上突破技术问题。安全问题不仅仅是技术问题,更多是管理的问题。在技术保障下,良好的管理能够使网络安全达到最大化。网络安全事务是多维的,涉及到:公共管理、安全策略、法律法规、人员素质、安全审计、安全保险、安全技术、安全意识培养、安全评估等多方面。一个方面的疏漏就会导致整个安全防护系统功败垂成。通过加强管理来避免安全问题,使安全隐患最小化,建立安全问题的责任问责制,形成信息安全问题解决机制。
3.2.2 提高全体人员网络安全意识
1) 提高领导网络安全意识
网络安全关系着核心数据的保护、业务运行的稳定性和办公流程运转的连续性,是信息化工作的重要的基础性的内容。
2) 提高信息化工作人员网络安全意识
网络安全不是装个防火墙和防病毒软件,没事就杀杀毒。它是复杂的,多维的,动态发展的;它要求工作人员不仅要具备技术水平,更需要提高认识和综合能力,具备良好的管理水平。信息化工作人员有必要定期进行培训,接触并学习到较为前沿先进的技术知识,并加强和同行间的交流。
3) 提高终端用户网络安全意识。
所有终端用户是信息化工作开展的出发点和归宿点;他们既是信息网络的使用者,也是信息网络安全风险最大的制造者。引发安全问题可能是有意的,可能是无意的;但绝大多数是无意的。只有提高所有终端用户计算机使用水平和网络安全意识,才能最大程度消除安全风险。
3.2.3网络安全管理监督机制
任何制度建立了但没有执行就是一纸空文,执行了但没有监督就无法落到实处。网络安全管理监督需要技术做保证。只有具备进行身份认证和操作记录的技术,才能防止用户的抵赖,真正做到监督有所依据、有所成效。同时建立网络运行状况定期公布制度,甚至进一步建立奖惩制度,有力的督促用户规范使用网络和信息设备。
3.3 在技术方面
3.3.1 及时更新升级网络安全设备
对防火墙、防病毒软件等被动防御技术进行及时更新换代,以确保防火墙、防病毒软件能够适应最新的安全防御要求,实现管理者的安全防御思路和策略。提高网络管理者对网络的操控能力。
3.3.2 配置安全专用设备加强外网安全管理
新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵,着重的是网络层的过滤;而安全专用设备管理和控制内部用户对外的访问,着重的是应用层内容的检查。两者相辅相成,达成全方位及最佳效能的安全防卫架构。
3.3.3 配置网络管理软件加强终端用户管理
由于全网内终端电脑数量多、分布广、权限大、使用人员水平参差不齐等原因,网络安全管理在防范内网安全上存在着巨大的漏洞。内网存在大量的病毒传播,文件传输,共享漏洞,密码保护等问题。只有配置了网络管理软件,才能有效的实现可控、可追踪、可审计和全面的终端管理。
3.3.4 合理使用VPN或VLAN技术
合理使用VPN或VLAN技术,通过物理网络的划分,控制网络流量的流向,使其不要流向非法用户,以达到防范目的。
4 结论
构筑一个主动与被动防御相结合的网络安全体系,就需要打破原来城堡式的被动防御观念,建立一个灵活机动、积极寻找防御点的可以信赖并且是可控的网络环境,关键点就在于这个体系要能够主动预知和控制我们的防御。任何方案不可能做到绝对安全,只能最大限度去降低安全事故的发生概率,主动防御通过各种措施来评估和预知安全事故的可能发生点,采取手段制止事故的发生。在网络安全的管理与建设当中,应当清醒的认识到网络安全管理是一个综合的系统工程,需要从策略、管理、技术三方面着手,在传统被动防御的基础上结合主动防御技术构造更加有效可靠的网络安全体系,为烟草行业实现健康稳定可持续发展提供强有力的信息化技术支撑。
参考文献:
[1] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.
[2] 梅杰,许榕生.Internet防火墙技术.最新发展[J].微电脑世界,1996(6):27-30.
网络安全内部管理制度篇4
1、信息系统保密性差
应用软件安全、数据库安全及操作系统安全都属于信息系统安全的范畴,应用软件安全性低主要是指一些网上免费下载的软件可能带有病毒,使公安信息系统安全性不高;以ORACLE数据库为主的公安业务信息系统,因为缺乏加密保护措施和身份认证体系,信息很容易被泄露,存在较大的安全问题;作为应用服务的一种公共平台,操作系统的安全审计和访问权限设置不完善,存在许多安全漏洞,导致公安部门操作软件的系统安全性能低。
2、网络系统本身安全性较低
网络通信设备安全及通信传输信道安全是网络系统安全的主要内容,其中交换机和路由器等具有远程访问及维护功能的设备都属于网络通信设备,很可能被非法用户操控。而网络系统通信传输信道包括帧中继、邮电专线及DDN等,也有少数是微波信道或自建光纤,这些传输信道普遍存在线路不稳定、中间环节多和质量较差的缺点,如果出现问题的话就需要占用大量时间进行检测和维修,导致网络不能正常工作。对于通过电话拨号上网的地区,用户越多越有利于非法用户的攻击,给公安计算机信息网络带来巨大的安全隐患。
3、管理能力较差
一些公安部门的网络管理忽视日志审计的作用,加上管理能力较差,不能正确的检测出运行故障,缺乏应变和处理问题的能力。面对“黑客”的攻击,在无法检测的情况下不能做到及时上报,使非法人员得不到应有惩治。
4、管理人员缺乏安全意识
管理人员应正确的认识到公安计算机信息网络与互联网有很大的关系,同样存在安全问题,应加强管理。网络中任何一个环节受到破坏都会影响整个公安网络的正常运行,因此要加强自身的安全意识,将信息网络的安全管理工作作为重心,避免非法人员的攻击。此外还要对内部网络进行完善和改进,及时的修补内部安全漏洞,从内、外部两方面入手来进行安全管理工作。
二、加大安全管理的措施
1、加强信息系统的安全管理
网络安全隔离、应用系统的安全管理以及数据安全管理都属于信息安全管理的范围。具体措施如下:一是网络安全隔离。可以采取在网络出入口设置防火墙的方式来达到隐蔽内部网络、强化和集中控制安全措施以及对网上非法活动进行记录的目的。其中将内部网络屏蔽的操作是将地址进行转换来实现内外网络的隔离,从而确保内部网络信息不会被外部用户获取;强化和集中控制安全措施主要是指通过复杂的安全管理策略来实现不同用户对不同安全性的要求;而对网上非法活动进行记录的过程能审计非法用户的入侵并自动报警,维护了网络系统的安全。二是应用系统的安全管理。首先,要保证数据库系统结构的完整和安全,可以通过对重要数据的读取和保存过程进行解密及加密等密码机制来强化软件系统的管理,配备专门的网络信息管理人员进行操作,规范软件应用的范围和相关条例;其次,在应用网上下载软件前必须进行检测,防止病毒入侵;最后,对于安全性能强的操作系统时要做到审核用户的访问权限,记录操作内容和流程。三是数据安全管理。利用计算机安全产品对数据进行安全管理,参考密级评判标准来决定信息是否传到网上,从根本上提高数据的安全性。
2、加强网络系统的安全管理
网络设备和网络信道的安全管理是保障网络系统安全的基础,可以通过以下几种措施来实现:一是严格管理远程访问和维护功能。一方面要在信息中心设置统一的远程拨号入口,逐渐减少入口的数量,加强对账号的管理,通过回拨认证等服务系统的方式来完成一个账号只能由一人登录的身份认证,避免非公安人员随意登录的现象发生;另一方面加强远程维护的抗破解性能,采取设置安全性高的密码来强化安全管理工作,提高网络的安全性。二是通过链路层连接认证的方式完成网络设备的互联。因为网络中存在一些虚假的设备,因此可以设置PPP协议认证来确保互联设备的安全性。其三,线路加密。在网络信道的线路上配备能够进行抗流量分析及对数据进行保密的加密设备,这样能使数据更加完整,不易受到外界入侵。其四,由公安部门自建信道。由于租用信道存在线路不稳定和质量较差的弊端,可以利用保密性强、质量保证和抗干扰能力强的光纤线路自建信道,从而提高网络传输的安全性能。
3、完善行政管理制度
有效的技术是保障信息网络安全的一方面,另一方面还要加强行政管理和保障机制,通过规范的管理制度不仅可以避免外部非法人员的入侵,还能防止内部人为破坏,完善的行政管理制度对公安计算机信息网络的安全管理具有重要意义。
(1)对信息管理及网络运行设置严格的规章管理制度。公安机关可以通过严格的规章制度来规范信息的管理和网络的运行,这样不仅方便管理,还能提高信息网络的安全性,具体可以采取加强指导、强化监督和明确管理条例的方法来加强信息网络安全管理工作。
(2)培养专业的安全管理人员。由于公安计算机信息网络的特殊性和重要性,对安全管理人员的要求也较高,其中信息管理员必须做到对信息系统的运行进行定期的检测,严格的审核网络信息的安全保密性,针对网络安全的现状提出意见和改进方案,网络安全员除了要定期检测网络和分析网络安全性能外,还要对管理工作进行设计和规划。公安机关必须加强对管理人员能力和专业素质的培养,建立一个专业的安全管理团队来维护信息和网络的安全。
(3)创建信息网络管理部门。通过创建信息网络管理部门来对公安计算机信息网络的安全进行专门的管理,其工作内容主要有:第一,管理应用系统的安全。在保证应用系统正常工作的基础上,定期维护系统的安全和用户授权工作。第二,监测和安全管理。监控网络的运行状况,及时发现和处理网络漏洞,预防和终止非法人员的破坏,此外合理的配置网络系统设备,使信息网络更加安全可靠。第三,管理密钥及认证中心。对网络密钥、密码的计算以及网络系统设备的管理做到规范,统一发放警察及服务器的认证证书。
三、结语
公安计算机信息网络作为公安信息化工作中一个重要部分,许多公安机关通过加大网络安全管理的投入资金来提高信息网络系统的安全保密性,可以看出信息网络的安全管理工作已经成为目前的工作重心。公安部门可以通过有效的技术和行政管理制度来强化信息网络的安全管理工作,从根本上加强管理人员的安全管理意识,认识到网络安全的重要性,配备必要的信息网络安全管理人员,建立专门的信息网络管理机构等措施来提高公安计算机信息网络的安全管理水平。
网络安全内部管理制度篇5
【关键词】局域网 安全性 探讨
目前常用的计算机数据保障手段主要有三种:数据备份、防病毒、防黑客入侵。通常情况,黑客和病毒的入侵都是来自于外部,一般采取建立两套网络的方法进行防范。公司内部建立一套内部网络,专用于员工办公和资源信息共享;另外建立一套外部网络,用于连接互联网进行资料搜集,两套网络采取物理断开的方式,互为独立。同时,利用防火墙、入侵检测等设备防止黑客和病毒。但是,据调查,内部的数据失窃和网络破坏给企业带来的危害远远高于外部的黑客入侵。
1 内部网络更易受到攻击
(1)随着信息网络技术的普及使用,应用层次的不断加深,应用的领域也在不断的扩展,从小型传统业务领域转向大型关键业务。现今很多的企事业单位已经普遍使用网络进行工作,大大提高了工作效率。
(2)很多企事业单位在网络的安全保护上做足了措施,但是,内部的安全空隙却成为对网络破坏性最大的一个方面。造成安全空隙的主要原因是因为未对内部网络安全引起重视,在系统安装时的漏洞未作出及时的补丁处理,同时由于网络的不同应用及平台自身携带的系统漏洞也未进行有效的处理。
(3)黑客进行网络攻击的工具在互联网上极易获得,而且这些工具的功能往往能够对内部的网络带来极大的伤害。
(4)单位内部的专用内网是为了方便工作人员间的信息互通,但由于是利用内网进行数据传输,很多情况下是另外加密的,这就成为别有用心者窃取资料的最好机会。
(5)由于关键数据都集中于服务器、数据库,而与此同时也直接与内部网络连接,所以破坏者往往会利用内网速度快的特性,进行窃取和破坏的行为。
(6)由于内网的使用者较多,设置权限也各不相同,就容易在口令和越权操作上出现问题,这也为内网管理增加了困难。另外,使用者在内网的使用上管理不严,加密过于简单,黑客很容易就可以利用工具进行破解,进行对内网的破坏行为。
(7)个人硬盘缺乏监管。由于信息不仅是存在于服务器,对于相关人员的个人计算机中,也会有相应的存储,但是目前对个人计算机的信息保护缺乏行之有效的监管和控制。
2 现存内部网络的安全状况
从目前的情况来看,大多数的企事业单位会参照国家和行业内部规定或者自己内部对信息安全的认识,通过采购网络安全产品如网络防火墙、防病毒软件、防入侵等的方式进行网络的保护。这些产品主要是抵御外部的网络威胁,虽然在内部网络的应用上有一定的作用,但由于内部网络具有的高性能、应用广、信息分散的特性,因此这些产品只能是解决威胁安全的部分问题,不会形成整体的、分层的、相互协作互补的安全体系。与此同时,还存在费用和安全性问题对立的问题,怎样解决并找寻到两者的平衡点,是当前众多企事业单位关注和焦点所在。
3 保护内部网络的安全
3.1 内部网络安全体系的构成及关系
内部网络的安全体系为分层结构,主要包括产品安全体系、技术和策略安全体系、安全管理体系及安全制度体系等,在使用模式上的关系主要是支配与被支配。
3.2 内部网络安全技术和策略的构成及关系
内部网络的安全技术和策略是以内部网络安全具有的检测攻击、防范攻击和攻击后恢复这三个方面的特性为基础进行考虑的。首先,应该积极主动的安全策略,将入侵检测进行更加有效、合理的层次升华。其次,在内部安全漏洞的检查上要根据漏洞迅速的查出关键的破坏者,在根本上排除出现问题的症结,并能采取有效的措施进行补漏,将再发的可能性减为零。如果无法找出关键人物,就不可能解决问题,因此要采取实时审查目录功能和审查服务器功能,尽快的找到关键破坏者。第三,在进行积极查询时,要采取攻击防守相结合的手段。网络中常见的查询方式一般是采用的是明文传递的方式如用户名和密码的传递,这种方式虽然很便捷,但却有很大漏洞,极易被盗取窃听。因此要加强数据的防护,最理想的方式是内部网络采用基于密码技术上的数字身份认证和高强度的加密数据传输技术的同时,加入密钥的分发技术,这样不但可以防止用户的业务抵赖同时也可以防止数据遭到窃听后被破解,从根本上保证了数据传输的安全可靠性。
3.3 内部网络的安全管理
内部网络的安全管理主要是指对安全管理人员的采取的管理。要达到内部网络的安全,就要保证使用有效的工具和实现策略的同时还要进行有效的安全管理人员的管理。主要做法是:对安全管理员进行专业的培训,使之可以熟练的随时掌握网络安全的动态并监控用户的网络行为,并对能产生网络威胁的一切可能做出预见和采取措施,对已发现的网络破坏行为及时的做出修正,确保网络设备及网上信息的安全,把企事业单位的损失控制在最低程度。
3.4 网络安全制度的制定
对网络安全威胁的控制主要就是人对网络的安全管理。企事业单位对人的管束制度并不少,但是却往往缺少的是对网络使用者的监管。因此,制度的制定要以网络使用者为目标进行管理,使涉及网络安全的相关问题都能有据可查、有法可依,对涉及的人员有功必奖、有过必惩。在员工的思想教育及工作上要做大最大限度的提高安全意识和技能,并对蓄意破坏者造成巨大的心理震慑。
4 结论
网络安全内部管理制度篇6
网络会计的产生与发展提高了会计核算的充分性,改变了会计信息的载体和信息存储方式,加快了信息处理、披露和使用的及时性,增强了信息的共享性,因而具有传统会计不可比拟的优势,同时网络会计系统下的内部控制也从各方面开始转变。
一、网络会计系统下内部控制的转变。
(一)由单一的制度控制转变为程序控制和制度控制并存。
手工操作下的一些内部控制,如编制科目、凭证汇总表,总账、明细账的核对,在网络会计中其控制作用被逐步或全部削弱,没有了存在的必要性,其部分内部控制功能在会计网络化后由单机转移到网络内,如凭证录入、审核等功能。因此,内部控制也由单一的制度控制转变为程序控制和制度控制并存。
(二)网络会计系统改变了会计凭证的形式。
在网络会计系统中,会计和财务的业务处理方法和处理程序发生了很大的变化,各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介也发生了很大的变化。过去反映会计和财务处理过程的各种原始凭证等作为基本会计资料的书面形式的资料减少甚至消失了,原来在核算过程中进行的各种必要的核对、审核等工作有相当一部分变为由计算机自动完成了。因此,网络会计系统的内部控制与手工会计系统以及会计电算化系统的内部控制制度有着很大的不同,控制的重点由对人的控制为主转变为对人、机(网络)控制为主。
(三)网络会计改变了会计核算的环境。
企业利用网络会计系统处理会计和财务数据后,会计核算的环境发生了很大的变化,会计部门的组成人员从原来由财务、会计专业人员组成,转变为由财务、会计专业人员和计算机数据处理系统的管理人员及计算机专家组成。会计信息的处理和存储集中于网络,大量不同的会计业务交叉在一起,加上信息资源共享、财务信息复杂、交叉速度加快,使传统会计系统中某些职权分工、相互牵制的控制失效,原来使用的靠账簿间互相核对实现的差错纠正控制已不复存在,其内控面临失效的风险。因此,要保证企业财产物资的安全完整、保证会计系统对企业经济活动反映的正确和可靠,企业内部控制制度的建立和完善就显得更为重要。
所以,加强网络会计系统的内部控制是进一步提升网络会计优势的基础,更是企业为在新形势下能够顺利开展并实施网络会计工作的重中之重。那么,如何加强网络会计的内部控制呢,笔者个人认为应采取以下措施。
二、加强网络会计系统的内部控制的主要措施。
(一)建立全面、规范的会计基础管理制度。
在网络会计的新形势下,会计基础工作主要指网络会计制度是否健全,核算规程是否规范,基础数据是否准确、完整,网络安全级别是否达到要求,人机互控是否真正落实,这是网络会计内控起到作用的重要保证。
特别是要加强系统内部规章制度的建设,在网络会计系统中,财务数据处理易于篡改而不易留下痕迹。健全的管理制度、职能分割制度、授权的控制制度、人机互控制度等都是保证财务系统安全运行的基础。
(二)岗位职责明确。
网络会计必须对财务部门的人员结构作出相应调整,分设操作与监控两个岗位,除了设置数据库管理人员、会计数据采集人员、数据审核人员外,还应设立专门的网络监管人员。操作密码设置必须健全,达到合理分工、相互制约、相互监督,防止出现意外。
笔者曾了解过铁路企业的财务数据集中,铁路局下属的各站段财务数据均集中在局财务处这一层面中,即数据库在局财务处的服务器中,各站段安装财务处理程序客户端,日常由各站段财务人员负责录入财务原始单据,由局财务处负责审核数据,一但审核通过,数据无法修改,这样就强化了网络会计内部的相互牵制。
(三)安全控制。
会计人员应该确定是否制订了有关计算机硬件、软件、数据文件、数据传送、输入和输出资料以及人员的安全规定。应提高网络系统的安全防范能力,将黑客等非法访问者挡在内部网之外,从而起到对内部信息的保护作用。目前在实际应用中,金融系统、大型国企均有自已的专网,例如铁路企业规定,除特殊岗位(如涉税岗位)外,一律禁止上外网(互联网),财务部门的涉税计算机需要联接外网必须做到专机专用,同时必须通过技术手段与内网隔离,财务处理软件中也专门设计了虚拟服务器,起到了一定的安全防范作用。
(四)提高及加强网络会计安全的软、硬实力。
所谓软实力是指应不断提高内部会计人员的素质,特别是要组织网络安全、信息安全方面培训,如黑客攻击防范与端口扫描;蠕虫、邮件、u盘病毒剖析及防范策略等。还要具备一定的商务经营管理的能力,要培养一批既懂财会、审计业务、又精通计算机应用技术、电子交易的复合型会计人员。
所谓硬实力是指要不断加强设备安全硬件的技术投入及建设使用,提倡和鼓励使用经国家相关部门指定或认可的网络安全设备。在网络会计系统中,计算机的硬件选配必须能适应现实工作和未来网络扩充的需要。计算机必须具有安全预警系统,即实时寻找具有网络攻击特征和违反网络安全策略的数据流,阻断非法的网络连接,对事件涉及的主机还要进一步跟踪,形成一种漏洞检测与实时监控相结合的可持续改进的模式。
(五)加大内部审计的力度。
内部审计是保障内部控制制度有效执行的重要手段之一,从系统开发到日常操作的各个阶段都需要内部审计。在日常运行阶段,内部审计人员要检查各项制度是否落实执行,还必须负责对业务处理记录的保存、报告产生和环境安全及相关的控制进行评价和验证,并用网络技术对系统的程序进行测试,以检验业务处理过程是否正确可靠。此外,内部审计人员还要对由计算机产生的各种数据、报表等会计信息进行严格控制,以保证其可靠性和准确性。铁路企业在实际应用中设计了专门的审计软件,可以对数据库进行分析,对大额资金进行监控,以资金往来的合理性进行检查。
(六)加强制定会计档案管理制度。
会计信息安全与否直接关系到企业经营管理活动的科学性和其他要素(系统资源、资金、财产物资)的安全,是电子商务安全交易的关键,是网络会计安全的核心,是会计监督的安全保障。因而,应加强对档案的管理。如规定存有会计数据的载体应存放在防潮防磁的容器内等。还应科学规定会计档案的有关权限,如规定查询以前年度的会计档案应经有关人员批准等。应保证会计档案安全与完整的措施,如规定用计算机打印出的账簿应按全文档案的有关规定装订成册等。
【参考文献】
[1]朱荣恩。内部控制评价[m]。中国时代出版社,2002.
网络安全内部管理制度篇7
关键词: 局域网;病毒;安全风险
中图分类号TP39 文献标识码A 文章编号 1674-6708(2011)53-0167-01
局域网络是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个企业内的上千台计算机组成。组建于同一局域网络内的计算机可以实现文件管理、应用软件共享、打印机共享等诸多功能。
我们知道,组建局域网是为了更好发挥办公效益、加快信息传递、实现资源共享。办公局域网在推动办公效率的同时,也带来了不容忽视的安全风险。如何实现局域网的安全防护和信息保密机制,成为当前一个重要问题。为达到企业内网的安全需求,网络管理必须针对网络结构、应用及安全风险,依据国家有关计算机信息系统安全标准和规定,从技术和管理等方面设计网络安全体系的功能结构。
1办公局域网的安全需求
1)机密性:信息不暴露给未授权实体或进程;
2)完整性:保证数据不被未授权修改;
3)可用性:授权实体有权访问数据;
4)可控性:控制授权范围内的信息流向及操作方式;
5)可审查性:对出现的安全问题提供依据与手段;
6)访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制;
7)数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段;
8)安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏。
2网络系统的风险分析与安全防控措施
2.1物理安全
一般说来,网络的物理安全的风险是多种多样的,计算机系统本身的脆弱性和通信设施脆弱性共同构成了计算机网络的潜在威胁。一是计算机系统硬件和通信设施极易遭受到自然环境因素的影响,如地震、水灾、火灾等自然灾害影响;二是易受温度、适度、灰尘度等因素影响;三是计算机系统软件的自然损耗和自然失效等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故;四是介质安全包括媒体数据安全及媒体自身安全。将各类媒体按所存储信息分类标识,采取限制使用、归口管理及集中销毁等措施。同时,电源故障、人为操作失误或错误、线路截获等因素也是不可忽视的问题。
物理安全是整个局域网络的安全前提。在局域网内,由于网络的物理跨度不大,只要制定健全的网络安全管理制度,做好数据备份,并且加强网络设备设施和机房的管理,这些风险是可以避免的。
2.2运行安全
首先,局域网内部系统的主要设备、软件、数据、电源等有备份,并具有在短时间内恢复运行的能力。
其次,要重于病毒防治。一个完整的网络防病毒系统通常由以下几个部分组成:客户端防毒软件、服务器端防毒软件、针对群件的防毒软件、针对黑客的防毒软件。网络防病毒系统可以实现的基本功能是:对文件服务器和工作站进行查毒扫描、检查、隔离、报警,当发现病毒时,由网络管理员负责清除病毒。
再次,硬件设备应满足国家电磁兼容标准GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》的要求。
最后,注意介质安全,它包括媒体数据安全及媒体自身安全。将各类媒体按所存储信息分类标识,采取限制使用、归口管理及集中销毁等措施。
2.3信息安全
要想杜绝网络安全问题,只有从两方面着手,防止外部黑客攻击或防止内部违规使用。防止外部黑客攻击的技术手段很多,典型的有防火墙、安全服务器、身份认证等,其核心思想,是外部用户在使用内部资源时必须出示用户的身份,在得到系统的确认后,根据相应的身份赋予不同的资源访问权限,而防止内部违规使用的技术手段并不多。目前内部网的安全防护主要集中在以下几个方面:重点资源监控;网络设备使用监控;内部网网络信息采集、分析;对来自内部网攻击的报警、阻断;基于主机的集中式访问控制管理。
2.4管理安全
不完善的制度滋长了网络管理者和内部人士自身的违法行为。同时,政策法规难以适应网络发展的需要,政府部门信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。制度管理是根据实际情况设计一套包括组织管理、职能管理和安全管理制度的综合管理系统。有关局域网安全的政策、计划和管理手段等最终都应在安全管理机制上体现出来。
综上所述,网络安全的管理是过程管理,是实现全网安全和动态安全的关键。要使网络有序、安全的运行,必须加强网络使用方法、网络安全技术与道德教育,完善网络管理的各个层面以便更有效地保护重要的信息数据、提高计算机网络系统的安全性。
参考文献
[1][美]Patricia Wallace著.谢影,苟新建,译.互联网心理学.北京:中国轻工业出版社,2001,1.
[2]项立刚.手机中心:技术推动媒体产业发展.新闻战线,2011(2).
[3]曹彦军.鲍慧芝的路由和选路.计算机与网络,2006,15.
网络安全内部管理制度篇8
【关键词】企业;网络信息安全;防火墙;入侵检测;管理机制
一、前言
随着信息技术的蓬勃发展,网络信息系统在各行业的应用越来越广,许多企业亦开始广泛地利用信息化手段来提升自身的竞争力,从而使企业的运转也越来越依赖于信息技术和基础性信息系统,信息化已逐渐成为信息时代企业建设和发展的必然选择。然而,网络信息给企业带来了巨大的资源和信息访问的方便之际,同时也带来了潜在的危险。黑客入侵、病毒破坏、电子欺诈等各种威胁使网络信息处于随时可能被破坏的危险之中[1]。因此,必须充分重视和了解网络信息系统的安全威胁所在,指定保障网络信息安全的应对措施,落实严格的安全管理制度,使网络信息得以安全运行。
二、威胁网络信息安全的因素
1.内部人员的失误和破坏[2]
网络管理员或网络用户拥有一定的权限,利用这些权限破坏网络完全的可能性也是存在的。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享。
2.非法访问
非法访问值的是未经授权使用网络或计算机资源或以未授权的方式使用网络资源,它包括:非法用户如黑客进入网络或系统,进行违法操作;合法用户以未授权的方式进行操作或擅自扩大权限,越权访问信息。造成重要信息泄露。
3.服务干扰
即干扰系统正常运行,破坏网络系统的可用性。这会使合法用户不能正常访问网络资源,使有严格响应时间要求的服务不能及时得到响应。如:恶意添加、修改、插入、删除或重复某些无关信息不断对网络信息服务系统进行干扰,使系统响应减慢甚至瘫痪,影响用户的正常使用。
4.电脑病毒
电脑病毒具有自我复制能力,品种繁多,感染性强,特别是在网络环境下,传播扩散速度更快。电脑病毒可以通过电子邮件、文件下载、软盘使用等各种方式侵入网络内部,删除、破坏文件,导致程序运行错误、死机,甚至毁坏硬件,严重危害网络信息的安全。
5.软件的漏洞和“后门”
软件不可能没有安全漏洞和设计缺陷,这些漏洞和缺陷最易受到黑客的利用。另外,软件的“后门”都是软件编程人员为了方便而设置的,一般不为外人所知,可是一旦“后门”被发现,网络信息将没有什么安全可言。如Windows的安全漏洞便有很多,Windows XP、Windows 7都被发现有漏洞。
6.电磁辐射
电子设备工作过程都有电磁辐射产生,电磁辐射对网络信息安全有两方面影响。一方面,电磁辐射能够破坏网络中的数据和软件,这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面,电磁泄漏可以导致信息泄漏。这是因为,网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄漏,使用特殊设备,在近处甚至远处都可以将这些数据,包括在终端屏幕上显示的数据接收下来,并且重新恢复。
7.物理环境
它属于计算机设备防止自然灾害的领域,比如火灾和洪水。也包括一般的物理环境的保护,象机房的安全门等。物理环境安全保护的范围不仅包括计算机设备和传输线路,也包括一切可以移动的物品,比如打印数据的打印纸和装有数据和程序的磁盘。
三、破解网络信息安全威胁的技术手段
1.防火墙技术
防火墙[3]是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
防火墙从概念上分为包过滤防火墙(网络层防火墙)、双宿网关防火墙、屏蔽主机防火墙和屏蔽子网防火墙,从功能上又分为FTP防火墙、网关型防火墙、E-mail防火墙和病毒防火墙等。通常几种防火墙技术同时使用,互相弥补各自缺陷、增加系统的安全性。
通过应用防火墙技术,可以做到通过过滤不安全的服务,可以极大地提高网络安全和减少网络中主机的风险。例如,防火墙可以禁止NIS、NFS服务通过等;可以提供对系统的访问控制。可以针对不同的服务面向不同的用户开放,也就是能自由地设置各个用户的不同访问权限;对内部网络实现集中的安全管理,在防火墙定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略;可以阻止攻击者获取攻击网络系统的有用信息。
2.VPN技术
VPN(虚拟专用网络)技术是将两个地理位置不同的主机或网络通过借助公用网(INTERNET)的物理连接形成一个逻辑上属专用连接的虚拟网络技术。VPN技术远程用户或企业员工可以像访问本地网络一样对企业网络资源进行访问。
安置VPN服务器考虑服务器放置位置。若放在防火墙前则整个内网主要以接收VPN用户的数据为主。而放在防火墙后则内网更多的带宽处理非VPN用户的连接。建议将VPN服务器放置在防火墙后边:一接收外网其他数据,二避免VPN服务器直拉暴露在公网上,受到频繁攻击。
虽然VPN提供连接上的一定安全性,但是在为VPN用户分配权限时避免为每一个用户授予访问内部网络资源的全部权限,这样可以通过服务器上的登录控制权限列表来限制VPN用户的访问权限。
VPN技术是对企业网络的拓展,只要能够连接到INTERNET的地方,都可建立VPN,既方便又经济,所以对于企业而言,采用VPN是很合适的。
3.入侵检测技术
入侵检测技术简称IDS[4],主要对用户或系统的行为进行监视。IDS分为基于主机(HIDS)和基于网络(NIDS)的入侵检测。
HIDS是对系统的行为进行记录,通过分析审计给出统计分析报告,它只对自身宿主系统进行检测并不对网络进行任何干扰。因此无法保证其他系统的状况。NIDS通过监听网络上的全部信息流量,发送警报及对流量的分析记录,它只对网络状况进行分析并不对系统进行深一步的分析。
4.防病毒技术
随着INTERNET的发展,病毒已成为了让当前INTERNET用户头痛的问题。由于病毒利用INTERNET信息交换传播,它传播速度迅速,带来的损失是不可估量的。
对于企业来说,其企业网络的防病毒能力强弱也直接影响到该企业网络的安全程度。防病毒一般可以划分成基于主机和基于网络两种防护体系。我公司用的是两种技术相结合后的多层防病毒体系。
多层防病毒体系的基本思想是:在网络内设立一个管理中心,完整地分布防病毒系统软件,管理中心直接对网内所有的防病毒服务器和客户端进行监护,自动同步的升级客户端软件,对整个网络中的系统的防护状态进行监控。
企业网络的病毒防护需要不间断的升级加固,以“集中实施管理,以防为主,防杀结合”为原则。
5.其他技术的介绍
诸如数据加密技术,身份验证技术,VLAN技术,NAT+DHCP技术,访问控制技术,以及审计系统[5]都是保证一个企业网络安全的重要因素。以下对这几种技术进行简单介绍:
VLAN技术可以将整个内部网络划分成几个小的子网,以此对网络进行有效管理。防止越权访问,减小网络所带来的广播域以提高带宽的利用率。
NAT+DHCP技术使内部网络彻底的隐藏并通过NAT实现共享上网,对于外部网络来说由于内部网络的不可见性,可以对内部网络直接攻击。
访问控制技术可限定用户的访问范围,使用的端口,协议以及可以访问哪些资源,减少服务器的负载,降低受攻击的成功率。
审计系统可以记录用户的请求和行为,了解用户对系统所做的事情及运行状况。
四、维护网络信息安的管理机制
要减少对网络信息安全的威胁,除了采用上述网络信息安全技术外,还必须加强网络的安全管理。
1.合理划分安全域[6]
企业应根据整体的安全规划和信息安全密级,合理地划分安全域,把不同的业务放置在不同的安全域当中,不同的安全域实施不同的安全措施,通过有效的手段实现不同安全域之间有效的隔离和安全控制。一般可划分出安全区域(即内网区域)、非军事区(DMZ)和不安全区域。我公司已经合理划分了信息内网和信息外网,两者之间做了强物理隔离。
2.建立完善、可操作性强的安全管理制度
建立完善、可操作性强的安全管理制度,并严格执行,是企业真正实现网络信息安全的重要环节。安全管理制度主要包括:用户权限管理制度,口令保密制度,密码及密钥管理制度,网络系统安全管理制度,系统信息备份与恢复制度,病毒防范制度等。
3.加强人员培训与安全教育,提高职工安全意识
网络信息安全,是一个系统工程,除了采取必要的技术手段和管理制度外,企业员工和网络管理人员的素质非常重要。我公司经常对全体员工和各级网络管理人员进行安全培训,使他们明确各自的安全权限和责任,自觉遵守和执行国家有关安全保密的各种政策、法规,严格执行本单位网络信息安全的有关管理制度,养成良好的网络行为规范。
五、结论
网络信息安全是企业信息化过程中亟待解决的一个重要任务。上海长兴供电公司要从技术和管理两个方面着手,抓好网络信息安全工作,尽可能将网络信息安全威胁程度减到最小。其中,良好的安全技术是网络安全的手段和基础,高素质的职工和网络管理人员是实现网络信息安全的保证,落实严格规范的安全管理制度是网络安全的关键。
参考文献
[1]石淑华,弛瑞楠.计算机网络安全基础[M]. 北京:人民邮电出版社.2005.
[2]郭护林.企业网络信息安全分析[J].西北电力技术,2002.30:P83-86.
[3]李俊勇,刘明刚,王明举译.NTERNET防火墙与网络安全[M].北京:机械工业出版社.1998.
[4]李俊宇.信息安全技术基础[M].北京:北京冶金工业出版社.2004.
[5]江和平.浅谈网络信息安全技术[J].现代情报.2004,(12):125-127.