時間:2023-09-22 09:47:13
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡安全評估,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
計算機網絡作為現代交際工具,其快捷方便的獨特優勢贏得人們的信賴,企業網絡應運而生。然而,由于計算機本身及系統、協議及數據庫等設計上存在缺陷,網絡操作系統在本身結構設計和代碼設計時偏重考慮系統使用的方便性,導致系統在遠程訪問、權限控制和口令管理等許多方面存在安全漏洞;同時,由于企業網絡自身錯誤的管理和配置都可能導致網絡的安全問題發生。眾多企業網絡信息遭侵襲的事件一再提醒我們,網絡安全問題必須引起充分重視。網絡安全同其他事物一樣是有規可循的,應該從外部網絡安全和內部網絡安全兩個層面進行分析:
第一層面,外部網絡連接及數據訪問所帶來的安全威脅。包括:1、外部用戶對內網的連接。由于出差員工、分公司及其他業務相關企業都需要和本企業進行數據交換,這就要通過互聯網連接進入內部網絡,這時,非法的網絡用戶也可以通過各種手段入侵內部網絡。2、服務器網站對外提供的公共服務。由于企業宣傳需要,企業網站提供對外的公共服務,這些公共服務在為用戶提供便利的同時,也帶來了安全隱患。3、辦公自動化及業務網絡與Internet連接。這些操作平臺往往偏重于系統使用方便性,而忽視了系統安全性。
第二層面,內部網絡主機之間的連接所帶來的安全威脅。企業網絡上的層次節點眾多,網絡應用復雜,網絡管理困難。主要體現在:1、網絡的實際結構無法控制。網絡的物理連接經常會發生變化,如果不能及時發現并做出調整,很可能發生網絡配置不當,造成網絡安全的嚴重隱患。2、網管無法及時了解網絡的運行狀況。企業網絡平臺上運行著網站系統、辦公系統、財務系統等多種應用系統。同時,可能發生用戶運行其他應用程序的情況,這樣做的后果一方面可能降低網絡系統的工作效率;另一方面還可能破壞系統的總體安全策略,對網絡安全造成威脅。3、無法了解網絡的漏洞和可能發生的攻擊。4、對于已經或正在發生的攻擊缺乏有效的防御和追查手段。
由此可見,網絡系統的可靠運轉是基于通訊子網、計算機硬件和操作系統及各種應用軟件等各方面、各層次的良好運行。它的風險將來自對企業網絡的各個關鍵點可能造成的威脅,這些威脅可能造成總體功能的失效。因此,維護辦公局域網、服務器網站系統的安全,是企業網絡的基本安全需求。
二、企業網絡安全系統總體規劃制定
根據計算機網絡技術原理及實踐經驗,在進行計算機網絡安全設計規劃時應遵循以下原則:一是需求、風險、代價平衡分析的原則。對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,確定最優的安全策略,切忌只顧及需求而忽視安全;二是綜合性、整體性原則。運用系統工程的方法,分析網絡的安全問題,并制定具體措施,嚴防以偏概全,顧此失彼;三是一致性原則。這主要是指制定的網絡安全體系結構必須與網絡的安全需求相一致,防止文不對題,勞而無功;四是易操作性原則。安全措施要由人來完成,如果措施過于復雜,對人的技能要求過高,本身就降低了網絡的安全性;五是適應性、靈活性原則。安全措施必須能隨著網絡性能及安全需求的變化而變化,要容易適應和修改,網絡的安全防范是一個過程,不可能一蹴而就;六是多重保護原則。任何安全保護措施都不是絕對安全的,需要建立一個多重保護系統,各層保護相互補充。據此,進行外部用戶接入內部網的安全設計和內部網絡安全管理的實現。
對外部用戶進入內部網絡應實施以下安全保障:(1)增強用戶的認證。用戶認證在網絡和信息的安全中屬于技術措施的第一道大門。用戶認證的主要目的是提供訪問控制和不可抵賴的作用。(2)授權。這主要為特許用戶提供合適的訪問權限,并監控用戶的活動,使其不越權使用。(3)數據的傳輸加密,數據通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。(4)審計和監控,確切地說,還應包括數據備份,這是系統安全的最后一道防線。系統一旦出了問題,這部分可以提供問題的再現、責任追查、重要數據復原等保障。
對內應根據管理原則和該系統處理數據的保密性,制定相應的管理制度或采用相應規范,其具體工作是:(1)確定該系統的安全等級,并根據確定的安全等級,確定安全管理的范圍;(2)制定相應的機房出入管理制度,對安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域;(3)制定嚴格的操作規程,操作規程要根據職責分離和多人負責的原則,各負其責;(4)制定完備的系統維護制度,維護時必須有安全管理人員在場,故障原因、維護內容等要詳細記錄;(5)制定在緊急情況下,系統如何盡快恢復的應急措施,使損失減至最小。
三、網絡安全方案設計應把握的幾個關鍵點
1、應用防火墻技術,控制訪問權限,實現網絡安全集中管理。防火墻是近年發展起來的重要安全技術,其主要作用是在網絡入口點檢查網絡通訊,根據用戶設定的安全規則,在保護內部網絡安全的前提下,提供內外網絡通訊。使用防火墻的意義在于:通過過濾不安全的服務,可以極大地提高網絡安全,保護脆弱的服務;可以提供對主機系統的訪問控制;可以對企業內部網實現集中的安全管理,在防火墻上定義的安全規則可以運用于整個內部網絡系統;可以阻止攻擊者獲取攻擊網絡系統的有用信息,增強了信息的保密性;可以記錄和統計網絡利用數據以及非法使用數據;提供了制定和執行網絡安全策略的手段。
由于防火墻是內部網絡和外部網絡的唯一通訊渠道,能夠在內外網之間提供安全的網絡保護,因此防火墻可以對所有針對內部網絡的訪問進行詳細的記錄,形成完整的日志文件。
2、應用入侵檢測技術保護主機資源。利用防火墻技術,降低了網絡安全風險。但是,僅僅使用防火墻、網絡安全還遠遠不夠,因為入侵者可尋找防火墻背后可能敞開的后門,也可能就在防火墻內。由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。
入侵檢測系統的功能是保護關鍵應用的服務器,它能精確地判斷入侵事件,包括判斷應用層的入侵事件,對入侵者可以立即進行反應,能對網絡進行全方位的監控與保護。可有效地解決來自防火墻后由于用戶誤操作或內部人員惡意攻擊所帶來的安全威脅。
3、應用安全掃描技術主動探測網絡安全漏洞,進行網絡安全評估。網絡安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火墻、入侵監測系統互相配合,能夠提供較高安全性的網絡。通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級,更正系統中的錯誤配置。如果說防火墻和入侵監控系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,可以有效避免黑客攻擊的發生,做到防患于未然。
安全掃描器提供綜合的審計工具,發現網絡環境中的安全漏洞,保證網絡安全的完整性。它可以評估企業內部網絡、服務器、防火墻、路由器,掃描和測試確定存在的可被黑客利用的網絡薄弱環節。我們應在局域網內設置該工具,定期對網絡進行掃描。
4、應用VPN技術,保證外部用戶訪問內部網的安全性。企業網絡接入到公網中,存在著兩個主要危險:一是來自公網的未經授權的對企業內部網的存取;二是當網絡系統通過公網進行通訊時,信息可能受到竊聽和非法修改。如何保證外部用戶遠程訪問內部網的安全性:首先,應嚴格限制外部用戶所能訪問的系統信息和資源,這一功能可通過在防火墻和應用服務來實現。其次,應加強對外部用戶進入內部網的身份驗證功能。第三,在數據傳輸過程中采用加密技術,防止數據被非法竊取。這就應采用軟件或防火墻所提供的VPN(虛擬專網)技術、完整的集成化的企業VPN安全解決方案、提供在公網上安全的雙向通訊,以及透明的加密方案以保證數據的完整性和保密性。
關鍵詞:云安全;網絡安全;核心技術;企業
近幾年,人們越來越關注網絡安全問題,網絡安全不僅關系著個人的隱私安全,也關系著國家社會的安全穩定,因此我們要對網絡安全技術及其使用給予高度的重視。網絡安全的實質是確保網絡信息安全,保護網絡信息安全不僅要確保網絡系統裝置不被人為破壞,也要確保網絡上的數據信息不被他人惡意泄露和篡改。而云安全技術正是有效保護網絡安全的一項技術,所以,研究其發展模式以及其在網絡安全中的具體應用,對網絡安全背景下企業網絡安全保護具有一定現實意義。
1云安全的核心技術
1.1Web信譽服務。云安全技術通過鏈接全信譽數據庫,可以對惡意軟件行為進行全方面分析,并且可以根據某個可疑網站的站點位置變化和可疑跡象等因素對網站的信譽分值進行評估,從而有效判斷該網站的可信度以及風險系數,及時為用戶提供網站風險警報,避免用戶因誤入危險網站而遭受損失的現象發生。1.2E-mail信譽服務。E-mail信譽服務技術可以對網絡郵件信息的源地址進行檢測,從而來判斷網絡系統所接收郵件的安全系數,有效地降低郵件接收者可能接受到的網絡風險。當云安全技術檢測到某個郵件攜帶病毒時,便會自動對該郵件進行攔截或刪除。除此之外,云安全技術還會對檢測到的惡意郵件的源地址進行記錄,方便以后對類似源地址郵件進行防護,提高警惕意識,從而有效防范類似郵件對用戶進行二次攻擊。1.3自動反饋機制。云安全技術的另一項核心技術就是自動反饋機制,自動反饋機制就是指,利用監測系統,對某一個用戶的路由信譽進行監測,從而來判斷新型病毒特征,并將其反饋到整個網絡中。當發現某個用戶常規信譽檢測存在威脅時,便會及時地將信息反饋到網絡中,同時立即采取措施更新網絡安全數據庫,減少此類問題的復發率,降低對網絡安全的影響程度。云安全技術中自動反饋機制的有效應用,不僅極大地提高了網絡安全保護的及時性和有效性,也有利于提高了網絡安全的主動性,可以更好的實現網絡安全保護的作用。
2云安全技術在企業網絡安全中應用的優勢
2.1增強了查殺病毒的能力。網絡科學技術的發展,極大地促進了網絡的傳播效率的提高,同時也促使網絡傳播范圍越大越擴大化,然而也促使著其產生的網絡病毒不斷加速傳播。傳統的病毒查殺軟件已經不能很好地滿足人們對網絡安全的要求,所以人們對日益興起的云安全技術給予了更多的關注。云安全技術打破了原來依靠病毒庫進行網絡病毒查殺模式,而是依靠整個網絡系統對網絡病毒進行識別和查殺,通過對病毒全面精準的分析,極大地提高了病毒查殺能力,為網絡安全提供了強有力的保障。并且,使用互聯網的用戶越多,云安全技術的查殺病毒能力就越強,查殺病毒的效果就越明顯。2.2提高了網絡安全保護的效率。云安全技術的使用極大地提高了網絡安全的保護效率。云安全技術可以對網絡環境和網絡信息進行及時的監測,云安全技術依靠強大的互聯網系統,不僅可以實時對可能帶有網絡病毒的電子郵件和網站進行監測和數據分析,還可以及時的處理掉病毒信息,避免給用戶帶來損失。同時,云安全技術具有高效率的病毒信息處理速度的特點,相較于傳統的病毒查殺軟件,云安全技術極大地節省了用戶查殺病毒的時間,也有效地減少了用戶的計算機存儲空間,在保證網絡安全的同時也提高了網絡安全保護的效率。除此之外,云安全技術依靠自身的自動反饋機制,可以將病毒信息快速的傳輸到整個網絡系統之中,并快速更新升級云端病毒庫,從而提高網絡安全保護的質量。2.3強化了網絡安全服務的個性。云安全技術將智能化因素注入到了企業網絡完全保護中,從而可以通過對用戶需求的分析向用戶推送最優質的病毒查殺方案,使網絡安全保護更趨向于個性化服務發展,云安全技術的個性化服務發展不僅是提高用戶的使用感一項有效措施,也是未來網絡安全發展的重要方向。
3云安全技術在企業網絡安全中的有效應用
3.1云安全技術中復合式攔截病毒機制在企業網絡安全中的應用。隨著云計算的發展,云安全技術在企業網絡安全中得到了越來越廣泛的應用,同時,云技術安全也成為了各企業越來越重視的問題。企業的網絡安全不僅受到企業外部因素的影響,也受到來自企業自身內部的威脅,所以,企業管理者在注重防范外部因素攻擊的同時,也要做好內部網絡安全工作。云安全技術可以對企業內部的病毒進行查殺和攔截,當企業網絡內部出現病毒時,復合式攔截病毒機制就會開始運作,對網絡病毒進行攔截和處理。近幾年來,網絡病毒表現形式逐漸呈現多樣化和復雜化的趨勢,這就需要我們采取更加先進的技術進行有效的解決,所以,研究復合式攔截病毒機制的云安全技術就顯得尤為重要。3.2云安全技術中輕客戶端策略在企業網絡安全中的應用。云安全技術中輕客戶端策略的應用原理是指將計算機和業務之間的邏輯關系交由服務器處理,而客戶端只進行簡單的網絡數據顯示工作。當用戶接收郵件時,云安全技術會通過檢測其發件源地址來分析判斷其是否安全可靠,如果檢測到有病毒存在,云安全技術就會自動對其進行殺毒和攔截。同時,系統還會將帶有病毒的郵件源地址輸入到網絡安全信息庫,當出現類似郵件時,系統就會及時對其進行攔截或刪除處理,避免給郵件接收者帶來二次攻擊,同時減少病毒反復率和降低網絡風險。但是,該模式也存在一定缺陷,就是其只能應用于來自于外部病毒侵略的處理,只能對計算機外部的病毒信息進行監測,而無法對計算機內部系統進行檢測,從而有效防范內部病毒帶來的影響。所以,還需要相關研究者加大對云安全技術的研究力度,不斷創新云安全技術應用模式,不斷提升網絡安全保護能力,讓人們更加放心的使用網絡。
4結語
科技發展到今天,互聯網在各個領域中的應用已經十分廣泛,其承載的信息量也在不斷加大,這就要求相關研究者一定要采取相關措施對網絡信息進行有效的保護,為實現網絡安全提供保障。云安全技術具有增強查殺病毒能力、提高網絡安全保護效率、增強網絡安全個等特點,其在網絡中的具體應用也充分滿足了人們對網絡安全的需求,不僅為人們生活提供了便捷的服務,也為人們使用網絡提供了安全保障,所以研究云技術在企業網絡安全中的有效應用對實現網絡安全來講具有十分重大的意義。
參考文獻:
[1]左博新,肖佳佳,胡文婷.云安全技術在信息安全專業教學實例的應用[J].信息與電腦(理論),2014(11):42-43.
[2]馮巧玲.云安全技術在電子政務系統安全防范中的應用[J].遼寧高職學報,2015(02):92-94.
關鍵詞:穩定性 體驗 平衡點 路由
一、引言
近幾年,隨著互聯網技術的不斷發展,網絡應用的不斷豐富,用戶可存在于網絡空間的活動越來越多,上至六七十的老人,下到小學生都加入了這個行列。而企業因網絡接入用戶數急劇增加,隨之接入的網絡設備數量也在增多,設備配置也隨著應用的需求不斷的變化。在實際工作中,簡單的擴充網絡帶寬來提高網絡訪問速度的做法效果并不理想。經過反復研究分析,采用綜合性技術手段提高網絡穩定性,對于訪問速度的提高,用戶體驗十分顯著。網絡速度實際是恒定的,用戶上網訪問快慢的感受實際上是受帶寬影響,但又存在有效帶寬問題。
隨著網絡規模的增大并變得更為復雜,需要更多的功能、更好地控制網絡組建。
二、如何提高網絡穩定性問題研究
網絡穩定,帶寬中的有效帶寬就比較高,用戶上網訪問速度就比較平穩,用戶的訪問體驗就不會出現高低起伏,但網絡訪問穩定了并不代表速度就快了。要提高網絡穩定性,首先應找出造成網絡不穩定的原因,并結合實際情況盡可能把這些問題解決掉。
1.影響網絡穩定性的因素。影響網絡不穩定的因素很多,總結起來主要表現在五個方面:網絡架構、路由體系、網絡安全、桌面安全和系統安全。目前,對企業網絡在這幾方面情況分析如下:
(1)企業網絡架構主要采用的是“三級”架構(核心、匯聚、接入)。總體思路很明確,但隨著網絡的不斷延伸,接入用戶的不斷增加和新技術的應用,網絡邊界不斷賦予新的內涵,邊界功能化、明晰化成為現在存在的問題。
(2)隨著技術的發展和網絡應用的深入原來的路由體系是否適合現在不斷擴展的企業網絡,如何找出路由體系中關鍵技術的平衡點這都是技術難點。
(3)網絡安全的隱患是影響網絡穩定性的直接因素。經過近幾年的努力,企業網絡安全問題已得到很大提升,尤其是網絡安全域劃分的實施。
(4)桌面安全和系統安全對網絡的局部穩定起到至關重要的作用。近兩年部署的桌面安全準入系統的實施,使桌面安全和系統安全從根本上得到改善,為快速預測和提前相應提供了支持。
2.提高網絡穩定性的措施。從影響網絡穩定性的因素出發,我們結合業界的相關技術,提出了提高網絡穩定性的措施。
(1)網絡架構。企業網絡是按照標準的三層結構部署,但是缺乏真正意義上的三層核心,不同功能網絡之間邊界不夠清晰,沒有使用安全設備進行隔離和訪問控制。企業基于根據業務功能規劃物理網絡的設計原則,靈活性欠佳,且網絡單元連接關系規劃的不盡合理,造成部分應用數據流路徑的不合理性。
針對企業網絡現狀,按照功能分區、邏輯分層的原則,并考慮安全區域劃分的方式進行構造網絡,增加統一的三網絡核心,整合網絡安全邊界,優化網絡單元連接和應用數據流路徑。增加開發測試區,增強開發測試類應用的獨立性和安全性;增加運行管理區,為企業網絡運行管理、網絡安全管理提供網絡基礎接入平臺;增加數據擺渡區,隔離保護生產和科研網絡,以保障企業核心業務;針對各網絡功能區,定義網絡安全邊界,實施網絡安全控制;增加各功能區網絡設備和網絡連接的冗余性,提高網絡的可用性,包括:各功能區的冗余分布層和連接。
現在提倡扁平化管理,企業網絡是按照標準的三層結構部署,按照功能分區、邏輯分層的原則,網絡架構為核心——匯聚——接入。但隨著網絡規模的增大企業網絡變得更為復雜,在網絡接入層中有的地方包含了三層、四層,甚至五層接連,增加了數據轉發層數,也就增加了故障點:上聯設備故障,直接影響其下聯設備。對用戶來說直接影響了其上網體驗。
(2)路由體系。路由協議是網絡基礎規則的重要內容,需要考察路由協議的開放性、可擴展性、靈活性和可管理性等方面,進行比較和選擇。
下表中列出了幾種路由協議各自的優點和需注意的問題。
根據前文提出的企業網絡架構,考慮各種路由協議的特點,企業在內部網絡采用OSPF路由和Static路由相結合的方式。
(3)網絡安全。網絡安全體系架構需要考慮三個層面的內容:網絡安全架構、網絡安全技術和網絡設備配置安全,并通過不斷的評估和規劃,提高企業整體的安全水平。對企業網絡安全技術部署現狀的了解和分析,考慮認證鑒權、訪問控制、審計跟蹤、響應恢復、內容安全這五個方面。安全應該貫徹到整個IT架構中的各個層次,網絡設備配置安全也非常重要,利用設備操作系統軟件的許多安全技術,可以大大增強網絡設備的安全性,從而為整個網絡的安全又提供了一層保障。從口令管理、服務管理、訪問控制和管理、攻擊防范和路由安全這幾個方面,提出網絡設備配置安全:
①口令管理:要求使用加密口令,避免口令被惡意截取;
②服務管理:強調網絡設備關閉不必要的服務,減少被攻擊者利用的可能;
③訪問控制和管理:要求對客戶端的操作進行嚴格的認證、授權和審計;
④攻擊防范:增加網絡設備防范攻擊功能的配置,減少網絡設備被惡意攻擊的風險;
⑤路由安全:關注路由協議認證,消除路由安全問題。
(4)桌面安全和系統安全。信息安全風險管理就是可以接受的代價,識別、控制、減少或消除可能影響信息系統的安全分析的過程。桌面和系統的安全風險管理并不僅僅只是著眼于防病毒,防攻擊以及系統加固也很重要。但必要的加固措施存在以下幾個問題:
①不能確保所有計算機都安裝了防火墻和殺毒軟件;
②不能及時對殺毒軟件、防火墻進行更新;
③不知道怎樣對系統防護進行策略配置,不知道怎樣對漏洞進行補丁安裝。
近兩年企業部署的桌面安全準入系統的實施,使桌面安全和系統安全從根本上得到改善。企業應從提高桌面準入客戶端的安裝率,挖掘該系統的深入應用,提高系統補丁的安裝出發來解決這些問題。
三、企業提高網絡穩定性實踐方案
本實踐方案是在影響網絡穩定的五大因素的基礎上,通過結合企業現狀、利用現有的條件得出的一套提高企業網絡穩定性的實踐方案。以下將從網絡結構介紹出發,詳細闡述該實踐方案。
1.網絡架構。網絡架構在功能分區、邏輯分層的總體思路指導下,采用“三級”架構,核心-匯聚-接入。所有只具備單鏈路接入的單位聯接在邊界路由器,邊界路由器與核心A和核心B采用雙鏈,數據中心與核心采用雙鏈,重要并具備條件的各匯聚采用雙鏈,從而實現核心A和核心B熱備,無論核心A或B其中任何一個故障,各二級匯聚上用戶或邊界路由器用戶都能無所察覺的正常訪問數據中心資源,進行日常辦公。從而加固了網絡核心,明晰了網絡邊界,提高了企業網絡穩定性。
圖 網絡架構總體設計
2.路由體系。根據OSPF(開放式最短路徑優先)路由和Static(靜態)路由的優缺點,結合企業現狀,提出企業路由體系需遵循的三個原則:(1)動靜路由的選擇。
(2)減少路由器同步和收斂時間。
(3)明晰并統一語法。
企業網絡是采用OSPF路由和Static路由結合的方式,這兩種方式各有優缺點。Static路由可以精確的控制互聯網絡的路由行為,然而,如果經常發生網絡拓撲變化,那么手動配置方式將導致靜態路由的管理工作根本無法進行下去。OSPF路由能夠使互聯網絡迅速并自動地響應網絡拓撲的變化。但對于任何程序而言,自動化程度越高,可控程度就越差。通過Static路由這種精確控制互聯網絡的路由的方式,即減少各片區路由收斂對整網造成過大的影響,又在一定程度上規范了IP地址等網絡資源的使用。
企業網絡核心到邊界,核心到匯聚采用OSPF路由,使互聯網絡迅速并自動地響應網絡拓撲的變化,減少路由維護工作量。邊界其他一些網絡用戶數較大的接入單位采用Static路由,通過這種精確控制互聯網絡的路由的方式,減少各片區路由收斂對整網造成過大的影響,在一定程度上規范了IP地址等網絡資源的使用。接入邊界的網絡用戶數較大的單位內部網絡采用動態路由。并且統一路由規則,主要包括以下幾點:
(1)RID(router id)是用來唯一表示OSPF網絡中的一個節點,為避免由于組網不當造成相同自治系統中的RID沖突,路由器均需設置RID,RID的地址最好選擇網絡中最大的IP地址;
(2)合理使用OSPF的0區域,統一OSPF的語法和規則。
在本方案中,由于指出了網絡路由協議使用原則,規范了路由的語法和規則,從而避免了路由配置錯誤;并且把可能產生的路由震蕩局限在了比較小的范圍,從而提高了網絡穩定性。
3.網絡安全。啟用接入層交換機端口安全,采用適合企業現狀的相關參數,減少ARP攻擊。
4.桌面安全和系統安全。根據企業的實際情況,提出從兩方面出發:(1)把IPS桌面化和桌面防火墻的使用實現防攻擊。
(2)提高終端計算機補丁安裝率。
基于策略的終端安全檢查和控制功能,通過在sep(終端準入系統)策略服務器上制定詳細的wsus()策略來控制計算機的補丁更新,安裝了sep客戶端計算機只要接入網絡,sep客戶端就會執行相應的wsus策略檢查并將結果提交給sep策略服務器,策略服務器在收到客戶端傳來檢查結果后和制定的wsus策略進行比對,如客戶端計算機滿足wsus策略才被允許使用網絡,否則只能訪問隔離網段內的網絡資源。針對不同區域實施不同策略,實現多組wsus服務器之間負載均衡,使客戶端能在最短時間內獲取補丁資源 。
5.實踐總結。企業網絡是在不斷的擴展,各種新技術也是層出不窮,如何解決網絡穩定性的問題已成為當今乃至未來面臨的主要難題。這提醒著我們要從全局角度出發,思考、分析、解決問題,“頭痛醫頭,腳痛醫腳”的方式無法適應當下網絡的運維工作;并且要從體系角度進行網絡建設和維護,改變簡單的把“網絡維護”看成“網絡設備維護”的傳統思想。
參考文獻:
[1](美)多伊爾 著.葛建立,吳劍章譯.TCP/IP路由技術,第一卷,2003.10.
[關鍵詞]大數據;企業網絡信息;安全技術體系
中圖分類號:TP393.08;TP311.13 文獻標識碼:A 文章號:1009-914X(2017)16-0125-01
引言
互聯網的發展給企業的發展與管理提供了極大的幫助,比如企業的內外工作網絡、科研教育網絡等,另一方面,網絡信息的安全性也受到了嚴重的威脅,企業內部系統遭到破壞、個人信息資料的泄露等,提醒著我們網絡信息安全技術體系存在著漏洞,不斷完善網絡信息安全技術防護體系的建設,將網絡信息帶給企業的安全風險降到最低。
1 大數據概述
大數據主要以計算機技術為主對一些大規模的數據信息進行全方面的處理、分析、存儲、搜索。現階段,我國所使用的大數據信息處理模式主要以一個經濟、高效、智能的形式對多樣化的數據信息進行處理,并在其中尋找有價值的數據信息。大數據具有規模較大、數量較多、結構多樣化等特點,可以有效對一些視頻、文字等相關數據信息通過計算機進行處理,并創新、完善物聯網技術,能保證信息數據的處理方式多樣化,并通過計算機存儲這些已處理的數據信息,體現出數據信息中的經濟價值。
2 大數據背景下企業網絡信息安全技術體系現狀
2.1 企業網絡信息易成為攻擊目標
當下社會日益趨于網絡化,為各個行業領域實現大數據的資源共享和數據溝通創建了一個共同平臺。以云計算為基礎的網絡化社會為大數據創造了一個更為苑諾幕肪常不同地區的資源快速整合、動態配置,共建共享數據集合。隨著網絡訪問便利化和數據流的形成,資源能夠實現快速彈性推動。但也正是由于平臺的暴露,更容易出現黑客攻擊企業網絡信息的現象。在苑磐絡中,數據與數據之間的聯系更為緊密,大數據自身就是一個可連續攻擊的載體,這會引發在大數據內部的惡意軟件和病毒代碼的長期攻擊,對于黑客而言,利用大數據劣勢進行攻擊,僅用較低的成本就可以破壞大量數據。
2.2 企業網絡信息安全技術落后
現階段我國現有的網絡安全技術還存在一定的不足,主要體現在網絡安全技術落后、信息安全產品核心技術不能滿足社會發展的需求、缺乏自主創新產品,從而大大減弱了網絡的安全性。另外,我國現有的網絡信息安全監管制度主要以政府集中制度為基準,很難將網絡安全的真正意義體現出來。
2.3 企業網絡信息安全風險大
文件傳輸風險,當員工用郵箱、QQ等方式傳送公司的重要文件時,很可能使企業的信息資源泄露,如果被競爭公司掌握,危害到企業的生存發展;文件傳真風險,當員工把紙質版的重要資料或技術圖紙傳真給他人,或者是把其他公司傳真給公司的技術文件和重要資料帶走,會造成企業信息的泄露;存儲設備風險,當員工通過光盤或移動硬盤等存儲介質將文件資料拷貝出公司,可能會泄露企業機密信息;上網行為風險,當員工利用電腦上對不良網站進行訪問,會給企業網絡帶來不計其數的病毒和頑固性插件,破壞電腦及企業網絡,更有甚者,在電腦中運行一些破壞性的程序,導致電腦系統的崩潰;用戶權限風險,如果用戶的開機密碼、業務系統登陸密碼被別人掌握,此用戶權限內的信息資料和業務數據將會被竊取,如果管理員的密碼被竊取,可能會被不法分子破壞應用系統的正常運行,更糟糕的是整個服務器的數據被竊。
3 大數據背景下企業網絡信息安全技術體系建設
3.1 做好網絡病毒的防范
加強病毒傳播環節的控制,進行區域網防毒軟件的應用,而不僅僅是單機防毒軟件。通過對服務器操作系統平臺的安全性升級,保證防毒軟件的優化應用,保證防病毒軟件整體模塊的優化,保證計算機網絡安全體系的健全。企業在網絡內部使用電子郵件等進行信息交換,還需要一套基于信息交換平臺的防病毒軟件,識別出隱藏在的病毒。所以最好使用全方位的防病毒產品,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統的配置,通過定期或不定期的自動升級,使網絡免受病毒的侵襲。配置防火墻,提升網絡的防護性,進行網絡通訊,優化訪問控制模塊,要對可以進入的用戶展開授權,避免非授權用戶進入防火墻內部,一定程度上的杜絕網絡黑客的攻擊,防止他們隨意更改、移動甚至刪除網絡上的重要信息,保護好工作所需要的信息。
3.2 健全入侵檢測系統
進行計算機系統安全性設計及其配置的優化,從而避免其系統出現異常情況,保證計算機網絡安全策略行為的優化。進行入侵系統審計記錄模式的應用,以保護系統的安全。在網絡中采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。加大對漏洞掃描系統的應用,進行網絡安全隱患問題的分析,進行脆弱點的深入探究,以有效針對大型網絡的復雜性展開優化,保證網絡管理員的技術模塊的優化,實現安全漏洞的找出,保證風險評估的真誠開展。查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。
3.3 加強企業員工網絡信息安全教育與管理
員工要對個人使用的計算機信息安全負責,暫時離開電腦時需要啟動設有密碼的平屏幕保護程序,員工需要保證分配的系統賬戶及密碼的安全性,信息管理部門需要為公司的每臺電腦提供殺毒軟件并及時進行更新,不得擅自下載軟件進行安裝,系統管理員需要不定期進行檢查監督,禁止任何員工在工作時間內通過網絡進行任何與工作無關的活動,發現違規行為可進行罰款處罰,公司的機密文件需要保存于帶鎖的文件柜中,員工不得私自將公司的文件及資料帶離公司,若確實工作需要必須向部門領導及公司領導提交申請單,共同簽字審批后在信息管理部門的監督下進行。
4 結語
大數據時代,企業網絡信息安全面臨嚴峻挑戰,結合企業實際情況做好網絡病毒的防范、健全入侵檢測系統、加強企業員工網絡信息安全教育與管理等措施,加強企業網絡信息安全技術體系的建設,營造一個企業網絡信息安全可用的網絡環境,確保日常工作的安全開展,更好服務于社會經濟的發展。
參考文獻
[1] 黃鈺.大數據背景下的網絡信息安全控制機制與評價體系[J].信息與電腦(理論版),2016,20:201-202.
企業網絡正面臨前所未有的高風險: 每個企業都必須遵從數量眾多且時常發生沖突的內部政策、政府法規、第三方條例,以及與安全相關的行業最佳做法,這種高度復雜的安全環境本身又滋生出一種新的“極端風險”――可能導致一個或多個設備出現配置錯誤,或來不及應用最新的規則或軟件補丁,進而使企業陷入危險境地。跨國企業在這方面面臨的問題尤甚。
如何在紛亂復雜的環境中成功降低跨國企業網絡的安全風險?
復雜即風險
每個企業的當務之急就是避免配置錯誤和違規行為,這不僅是為了規避法律風險、罰款及其他違規處罰,同時也是為了維護企業的誠信、聲譽和品牌。然而,降低企業風險現在已成為縱貫多個層面的課題,需要在多個層面上制定并實施相應策略――由此產生的復雜性已成為當今企業面臨的最大難題之一。
當今企業面臨著各種各樣的安全漏洞,防范它們所需要的工具各不相同。這些漏洞主要包括:
使網絡易受其他形式攻擊的網絡漏洞;
數據竊取,包括跨網絡數據劫持;
導致服務器、個人電腦或虛擬應用行為失常或成為其他攻擊類型源頭的惡意軟件;
拒絕服務(DoS)攻擊,可造成數據不可用,或授權用戶無法訪問網絡。
企業不僅面臨上述威脅,還必須遵從數量眾多的行業及監管條例:
首先是外部監管。企業必須遵從各種因國家和地區而異的客戶隱私條例,除此之外,還有專門針對特定垂直市場的第三方條例。比如,在美國,由信用卡公司組成的支付卡行業(PCI)協會分別對零售商和接受信用卡付款的實體規定了消費者隱私標準,其中涵蓋IT及網絡域名。企業如果違規,就要接受該協會嚴厲的罰款和其他違規處罰。
其次是最佳做法標準。許多企業通過實施行業標準的IT安全管理最佳做法(國際標準化組織ISO 27000系列文件中有詳述)來增強其安全措施。這固然可使企業建立起適當的安全防護網,以保護其知識產權(IP)、機密數據及客戶信息,同時為業務持續性計劃提供支持,但遵循行業最佳做法卻會產生一個新的安全規則層。
此外,正在潛入企業內部的Web 2.0社交網絡、需要不斷更新的軟件及安全補丁……也都會增加企業的安全復雜性。
進入企業的新通道社交網絡
近年來,Web 2.0技術使網絡安全形勢再起波瀾。一年前,很多企業可能都沒聽說過Twitter、Facebook、YouTube之類的流行社交網絡,而如今,它們已借合法商業及營銷之名滲透到了企業網絡內部,雖然目前可能仍然只限于員工個人使用。
進入企業網絡內部的新通道正在形成。理想情況下,這些通道可用于增強企業的商業意識和改善運營; 但另一方面,它們也開辟了行使惡作劇或竊取企業數據的新途徑,為員工向企業外部泄露敏感信息提供了方便。比如,社交網站就經常被用來發動網絡釣魚詐騙。
移動和無線
傳統的網絡邊界及其相關的保護措施正隨著企業用戶轉向無線網絡(包括蜂窩移動網絡和/或 Wi-Fi無線網絡)而逐漸發生改變。企業必須為移動設備提供保護,加密存儲在移動設備上的機密數據和通過無線傳輸的資料,以及保護企業網絡、防范移動網絡入侵(如黑客或惡意軟件),這已成為移動設備管理(MDM)的一個分支。
總的來說,信息和網絡技術的“消費化”開辟了(且還將繼續開辟)大量“進出”企業的新途徑,其中多數可在戰略上幫助企業獲益。隨著 Web 2.0 應用的演變和移動網絡的興起,安全成了一套動態、不斷變化的規則,必須予以密切關注。安全已不再是一種“設定后即可置之不理”的方針。
“緊跟變化”的難題
以上因素營造了一個復雜、多變的安全環境,而且該環境本身就是個巨大的風險。其復雜程度更高、安全層數更多、員工專業知識更趨多樣化,必須予以管理和簡化。來自軟件和網絡設備公司的新軟件補丁、漏洞修補程序和安全更新不斷增加,與時俱進的要求會迅速造成操作人員不堪重負,致使企業不得不在設備和軟件方面做出額外投資。此外,萬一負責基礎架構不同部分的 IT 員工,比如安全管理員與應用服務器管理員,未能協調好工作,導致一部分部件更新,而另一部分未得到更新,也可能造成安全漏洞。
CIO和其他負責IT安全工作的員工應考慮的一個基本問題是: 如何準確創建、實施、過濾和關聯所有這些策略、事件和潛在違規行為,以便時刻把握安全形勢?多管齊下地進行風險管理,目標就是確保公司始終遵守各項法規,并消除針對其知識產權及數據保密性、完整性和可用性的威脅。
此外,降低風險還需要一套自上而下的管理方法,這種方法根據來自上層的管理策略編寫規則。應確保公司各個層級都了解這套安全策略,并使之成為企業文化的一部分。安全應成為業務運作的一個組成部分。
四招
降低風險
要想在復雜環境中降低企業網絡風險,首先要縱觀全局,評估涉及隱私及機密信息的各項數據資產。其實質操作與業務持續性和災難恢復規劃相同,目標均為防止數據失竊、受損或無法訪問。因此,數據安全評估和業務持續性評估可同時執行。
掌控企業整體安全形勢并降低風險,還可從以下幾方面入手:
1. 風險/漏洞評估
執行風險/漏洞評估的第一步,是引入能夠發現企業網絡上運行的一切網絡設備、服務器、存儲設備及軟件的管理工具集。必須先了解都有哪些部件,然后才能確定是否所有部件都符合最新的策略規定,遵從適用的法規、條例,以及應用軟件補丁。
幸運的是,網絡發現及安全工具的準確性在過去幾年里得到了極大提高。它們現在能夠從網絡及全網服務器設備處收集海量的安全事件數據,然后將之歸納到超長的報告中,詳述網絡安全的各個方面。
現在,您可以捕獲所有此類信息了,然而您面臨的更大難題是,如何利用這些信息制定出有實際意義的舉措。這就需要您掌控這些信息,排定其優先順序,并加以組織――所有這些必須迅速完成。捕獲到的大部分事件信息是無關緊要或重復的,因此,過濾信息并在攻擊發動之前迅速找到實際潛在的風險至關重要。
過濾可通過編寫能夠分離大量冗余信息和異常活動的自定義算法來完成。無論在企業內部還是在開放的互聯網上,數據分析均基于已知攻擊類型和流量歷史數據。許多公司對安全問題的認知不夠全面,也未將其作為分析的一部分對待,而事實上,安全問題已對全球范圍的網絡造成了巨大影響。此外,公司還缺乏可幫助其捕獲數據并排定優先順序的數據收集工具,比如分析軟件。
要不斷更新設備,企業還必須具有實現多種設備或設備類型相關聯,以及定期執行漏洞掃描的能力,這些功能需要不同的專業知識和人力資源。
2. 集中化=簡單+可靠
所有收集到的數據(來自面向公眾的設備以及內部設備)應集中進行分析,以反映企業全貌。其目標應為簡化信息,以幫助企業加快獲得基于業務需求的優先順序警報,并能夠根據檢測到的威脅或漏洞做出適當反應。
實現這一目標的最可靠方法之一,是通過網關與防火墻(位于不同網絡結點的設備,如LAN與 WAN之間或WAN與互聯網之間的設備)的統一視圖收集事件數據,然后將其聚合到一個中央位置。無論這項功能是內部處理還是外包處理,跨設備的網絡事件數據關聯與聚合形成的企業全貌,可幫助您預測事件即將發生的時間,讓您在其損害到企業之前主動化解這些事件,從而大幅降低風險。
強大的發現工具或第三方發現服務能夠篩選數以億計的警報,過濾掉不相關的數據,并將數據削減到100~200個需要網絡分析師介入的事件。之后,分析師應能夠解決約50個需要警惕的重要事件。
將事件削減到網絡分析師能夠處理的重要事件數量,是簡化復雜/整體網絡安全形勢的關鍵步驟。如果本地IT員工的工作與其他站點的工作脫節,就必定會形成安全漏洞。
無論如何,跨國公司都必須應對不同國家/地區的不同法規和條例。這可能會導致不同的網絡需要不同的防火墻策略設置。此外,防火墻補丁是定期的,而多數大型IT部門傾向于按某種優先順序來為設備打補丁和升級。這一過程通常會導致優先級較低的站點疏于管理。實際上,一個站點的防火墻如果幾年都未升過級,那就跟沒有防火墻一樣。
集中變更管理功能可外包給大型實體來予以簡化,這些實體應具有規模效益、最新工具以及能夠作為一個完整實體來評估和更新整個網絡的安全專家。如果要內部處理這些事務,則需要在各個國家/地區雇用專家,這些專家應了解哪類信息可以在哪些國家/地區之間傳遞,負責維護能夠獲取每個國家/地區策略全貌并創建適用于所有策略的集中式策略的核心團隊。
3. 策略設置與實施
今天的許多防火墻和防火墻服務都將數量眾多的安全功能合并到一個設備或服務之中。這些功能有多個“層級”,每個防火墻內集成的功能取決于介于各個站點之間(WAN 服務與專用網絡、專用網絡與公共互聯網、公共服務器與專用網絡等)的網絡。另外,它們還取決于與該網段相關的漏洞/風險。
入侵防護工具可能會集成這樣一類策略: 對流量執行代表異常的特征碼進行掃描。防火墻和安全軟件廠商會針對已知惡意軟件的特征碼迅速制作并發送補丁,將其自動從流量中過濾掉。這就是必須確保所有設備不斷更新的原因,新的威脅時時刻刻都在涌現。
安全程序還可以簡單地尋找任何“不尋常”的活動――例如,特定服務器或其他計算機上出現非常多的通信請求,會使其過于“忙碌”,而造成用戶無法訪問。
根據某個企業必須遵從的一系列內部最佳做法和監管要求,用戶訪問列表和驗證可能是基于角色的,且可能因國家/地區、行業而異。這對于加密數據是一樣的,無論這些數據是保存在個人電腦硬盤上,還是使用IP Sec或SSL VPN專用“隧道”通過網絡進行傳輸。
4. 與可信第三方合作
今時今日,要保持不斷更新自己遍布全球的分支機構網絡上日新月異的策略和安全設置(需要實施、評估和審核),是大型跨國企業面臨的一道難題,甚至是一項不可能完成的任務。它們需要一個專注于該領域并經過授權的安全/網絡運營中心(S/NOC)為其提供全天候不間斷的政策和法規審查、風險評估、應對即將來臨的警報并主動規避風險。
有些跨國企業會依靠自己的力量,努力管理和維護這些中心。只要新的法規和安全威脅不斷出現,此類企業就必須不斷為升級設備、軟件和提高員工技能持續投資。
但是,也有很多跨國企業認為信息和網絡安全體系并不屬于公司的核心業務,不妨將持續監控、評估和審核這些工作交由專業、可信的合作伙伴來完成。
1.1企業網絡環境的基本構架
企業網絡環境依其功能性的不同,可以分成兩個部分:辦公區域的工作站和各類數據、WEB、管理系統構成的服務器集群。其中部分工作站與服務器集群分布在不同地域,形成“公司總部-分公司-區域代表處”的整體網絡構架。目前企業的服務器端更新計算機安全性修補的程序是每一臺服務器均安裝WindowsUpdate,通過互聯網自動取得最新的安全性修補程序,保持服務器端安全漏洞都能得到及時的修補;工作站端則由工程師通過網絡取得最新安全性修補程序后,通過總控分發的形式逐一手動執行安裝。
1.2目前公司網絡安全管理的缺憾與不足
(1)無法快速地確定公司網絡上哪些主機具有安全性弱點。目前在系統安全漏洞方面,一般是網絡安全工程師在獲得網絡安全性公告時才掃描整個環境是否存在相關安全漏洞并更新計算機系統,事實證明,對于環境來說,是非常耗時并難以及時實現的,在理想狀態下,應該發展并實行一套機制來自動收集并分析在弱點掃描過程中所產生的安全信息報告,并針對安全性警訊作出回應,以有效維護工作中最基本的網絡安全。
(2)沒有足夠的時間可以安裝或部署安全性修補程序。依目前架構,每一臺服務器均自行通過互聯網自動取得最新的修補程序,若遇上網絡頻寬使用率較高時便會發生安全性修補程序更新失敗的問題(經實際評估失敗率約為15%)。另外,由于工作站總數量多達上千甚至達到萬臺,在系統漏洞更新需要一定的周期才能實現,工作過程中可能會發生安全性修補程式尚未更新完成前就已經遭受攻擊的問題。
(3)有些系統無法自動安裝安全性修補程序。某些獨立計算機或不受控制的非網絡成員計算機,由于不受系統管理員的維護控制,難以通過系統整體控制的形式完成安全性修補程序及相關工作。
(4)有些系統無法自動安裝安全性修補程序。訪客、行動和遠端使用者,如同辦公區中一般的客戶端一樣,這對于企業來說,這些客戶端也是潛在的攻擊來源,需另行處理。
2企業網絡系統安全修補程序的管理需求
(1)當采用新的硬件或軟件而造成環境的變更時,通常會執行設定,設定活動是支援順利且有效的安全性修補程序管理所必需的。包括:①取得庫存及建立環境的基準線:工作基準線包含的是讓生產環境中不同類型電腦都能安全運作的所有必要軟件。②訂閱安全性警訊及啟動網絡安全監測系統:網絡安全監測系統會自動識別新的產品缺點、對其新系統環境進行更新修補。③建立安全性報告以協助識別問題:識別環境中的病毒或入侵,指出需要盡速解決的進行中的各類攻擊。④設定及維護修補程序管理基礎架構:無論是任何大小的組織,都應利用自動化工具,讓系統管理員得知可用的更新,并部分掌控安全性修補程序的安裝情況。
(2)以每天或每周為執行基礎,定期檢閱網站、安全性通知以及安全性報告,以識別新的軟件更新及安全性問題,并判定更新與環境中問題的關聯性。①識別:判定環境是否需要修補程序,以及其來源是否有效。②關聯性:判定修補程序對于組織的信息技術基礎架構環境是否有意義。③隔離觀察:在一個或多個修補程序中查出可能會影響組織IT基礎架構的病毒或其他惡意程序碼時,隔離任何與修補程序相關的檔案。
(3)識別環境中新安全性弱點,并擬定發行安全性修補程序或相關的對策,包括:①變更管理,將變更分類及排定優先級,以及取得對生產環境進行變更之核準的程序。②檢閱變更,因為負面的商業影響或其他影響質量的原因而需要時,此步驟可以包括復原受損信息或數據。
(4)對組織環境中一些分散的系統管理層級。例如,多個擁有系統管理權限的群組或是在本身計算機上擁有系統管理權限的一般使用者。設置規范的系統管理員賬戶標準,例如,重新命名或停用賬戶以及設立虛擬賬戶等。
(5)定義安全性修補程序的強制方式以及相關的時間表。若系統漏洞或缺點仍無法在要求的時間之內成功解決,需采用更強烈的策略,例如:在違規者的組織中呈報這個問題、停用存取此計算機的主賬戶、在網絡里移除此計算機的網絡實體連線,或是重新設定網絡硬件等方式,以防止個別計算機系統的漏洞的擴散而引發系統整體的網絡安全問題。
3企業網絡系統安全性修補程序的架構設計
3.1工作站端計算機安全性修補程序系統架構
企業工作站端計算機安全修補程序的系統架構,該架構分為三個系統:安全測試系統、安全修補程序更新系統、系統安全漏洞自動偵測系統。第一個系統是安全測試系統,管理者使用此系統來驗證互聯網所取得的安全性修補程序,完成系統安全性測試分析與管理;第二個系統是安全性修補程序更新系統,管理者將經過驗證的安全性修補程序利用此系統完成工作站端的程序部署;第三個系統安全漏洞自動偵測系統,對于系統網絡安全漏洞進行偵測管理,對不受管理或是非標準網域的計算機,利用此系統移除此工作站的網絡連線。企業工作站端計算機安全修補程序的運作過程包括:
(1)訂閱安全性警訊及其他安全漏洞更新庫,系統安全漏洞自動偵測系統會識別新的產品缺點、過去的重要的系統更新,以及已被其他人發現的新病毒。
(2)根據安全需要,將存在安全隱患的計算機隔離于生產環境網絡之外,以便確保這些計算機不會對組織的IT基礎架構造成負面的影響。
3.2服務器端計算機安全性修補程序系統架構
企業服務器端計算機安全修補程序的系統架構如圖3所示。該架構分為兩個系統:安全管理系統、安全性修補程序更新系統。第一個系統安全管理系統,管理者使用此系統來實現企業服務器集群的安全管理與整體的安全防護;第二個系統是安全性修補程序更新系統,管理者將經過驗證的安全性修補程序利用此系統完成服務器端的程序部署。服務器端更新計算機安全性修補程序系統架構圖如圖3所示,服務器端計算機安全修補程序的運作過程包括:
(1)訂閱網絡服務器的安全性警訊及安全漏洞更新庫,借助安全性修補程序更新系統,完成服務器端系統的即時更新。
(2)根據安全需要,將存在安全隱患的服務器或工作機隔離于服務器集群的環境網絡之外,以便確保具有網絡安全隱患的服務器或工作機不會對組織的服務器集群架構造成威脅。
(3)信息中心人員在隔離環境下確認所有修補程序完成,并完成病毒檢測無問題后,隔離解除,由安全管理系統完成個別服務器的手動程序部署,并負責服務器管理者的進一步偵測追蹤管理。
4結束語
關鍵詞:電力;信息化;安全問題
1 電力系統網絡信息安全的概述與現狀分析
電力系統的信息安全不僅可以保障電力生產運行的安全性,還是電力企業對用戶供電可靠性的重要保證。電力系統網絡信息安全是一項涉及到電力的生產、經營和管理等多方面的系統工程,它控制著電力系統中電網調度自動化、繼電保護裝置自動化、配電網自動化、變電運行智能化、電力負荷控制、電力市場交易以及電力營銷等環節性能的正常發揮。根據電力工業的特點,再結合電力工業信息網絡系統和電力運行實時控制系統,對電力系統信息安全問題進行分析,發現許多電力系統中的信息工程沒有建立一個完整的安全體系,只是以防病毒軟件和防火墻來作為安全防護,有的甚至連信息安全防護設施也沒有,從而給電力系統網絡信息安全埋下了許多安全隱患。針對此現象,電力企業必須盡快對電力系統建立一個計算機信息安全體系以保護電力系統網絡信息的安全。
2 電力企業網絡信息安全問題概述
2.1 電力企業中信息化部門的建設不健全
在電力企業中,電力信息部門沒有受到應有的重視,它既沒有配備專門的機構設施,也沒有設立專門的崗位進行作業,更沒有規范的制度進行管理,從而根本無法滿足電力系統信息化對人才和機構的要求。
2.2 電力企業的信息化管理還跟不上信息化發展的速度
信息技術在電力系統中的應用與發展已越來越廣泛,然而電力企業針對電力信息化的管理還比較落后,無法跟上發展速度,從而導致信息系統的功能無法完全的發揮出來,對電力系統的作用也不盡如意。
2.3 電力企業安全文化建設中網絡信息安全管理所處的地位不恰當
現在,信息安全管理在電力企業安全文化建設中仍然是處于從屬地位,從而阻礙了信息安全在電力行業中的發展。因此,電力企業要重視信息安全管理的發展,使其成為企業安全文化的中堅力量。
2.4 電力企業網絡信息安全中存在著多方面的風險
電力企業網絡信息和其他的企業網絡信息一樣,存在著多方面的安全風險,例如:網絡結構設計不合理的風險、來自互聯網的信息干擾風險、來自企業內部的操作不當風險、病毒的侵害的風險、管理人員素質低風險、系統的安全風險等。
3 電力企業網絡信息安全問題的原因分析
3.1 電力企業對網絡信息安全防護的意識薄弱且管理不夠
技術人員對電力系統網絡信息的安全意識薄弱,經常性的忽視了對其安全性的管理與防護,并且電力企業更側重于網絡效應,對信息安全的重視還遠遠不夠,管理和投入也達不到安全防范的要求。因此,電力企業的網絡信息安全一直都處在被動的封堵漏涮狀態。
3.2 電力企業中網絡信息安全的運行管理機制不完善
現今我國電力行業中對電力系統的運行管理機制還存在著一些缺陷和不足,如網絡安全管理方面的人才欠缺、網絡信息安全防護措施的不完善及實施不到位、缺乏綜合性的安全解決方案。
4 電力企業網絡信息安全管理內容的介紹
4.1 網絡信息安全風險的管理
對于網絡信息安全風險的管理首先得識別企業的信息資產,再對威脅這些資產的風險進行預估與統計整理,最后假定這些風險的發生給企業所帶來的災難和損失進行評估,從而達到對風險實施降低、避免、轉嫁等多種管理方式,為管理部門企業信息安全策略的制定奠定基礎。
4.2 企業信息安全策略的制定
信息安全策略要作為電力企業安全管理的最高方針,它的制定必須由企業的高級管理部門進行審核通過,并要以書面文檔的形式進行保存與企業員工之間的傳閱。
4.3 企業員工的網絡信息安全教育
信息安全意識和信息安全管理技能的培訓是企業安全管理中的重要內容,其實施的力度將直接影響到企業安全策略的認知度和執行度。因此,電力企業的高級管理部門要對企業的各級管理人員、技術人員以及用戶等多加開展安全教育活動,使他們能夠詳細的了解企業信息安全策略,并執行到位,從而有效的保證電力企業網絡信息的安全。
5 電力企業網絡信息安全問題的解決措施
5.1 加強電力系統網絡信息的安全規化
企業網絡安全規劃的目的就是為了對網絡的安全問題有一個全方位的認識與了解,培養人們能夠以系統的觀點去考慮與解決安全問題。因此,電力企業要加強對電力系統網絡信息安全的規劃,建立一套系統全面的信息安全管理體系,從而達到對網絡信息安全的有效管理。
5.2 加強電力企業信息網絡安全域的合理劃分
電力企業的信息網絡實施的是特理隔離法,因此在其內網上要加強安全域的合理劃分。這就需要結合電力系統的整體安全規劃和信息安全密級進行邏輯上的安全域劃分,其一般劃分為核心重點防范區域、一般防范區域和開放區域,其中的重點防范的區域是電力企業網絡安全管理的中心部分。
5.3 加強企業信息安全管理制度的建立
電力企業網絡信息安全的管理需有安全管理制度作為其基礎與依據。因此,要加強對電力企業信息安全管理制度的建立并將其落實到位,例如,加強企業對網絡信息安全的重視程度,加強網絡安全基礎設施和運行環境的建設,堅持安全為主、多人負責的管理原則,定期進行安全督導檢查。另外,還需加強電力系統運行日志的管理與安全審計,建立一套企業內網的統一認證系統,以及建立一套適合電力企業的病毒防護體系等。
5.4 加強企業工作人員的網絡信息安全教育
加強企業工作人員的網絡信息安全教育對電力企業的信息化安全來說也十分重要。企業在開展網絡信息安全教育工作時要注意其層次性,特定人員要進行特別的安全培訓。對信息安全工作的高級負責人和各級管理員的安全教育工作重點是要加強他們對企業信息安全策略和目標的充分了解,加強他們對企業信息安全體系和企業安全管理制度的建立與編制工作的完成。對于信息安全運行的管理維護人員的教育工作則是要加強他們對信息安全管理策略的充分理解、安全評估基本方法的熟練掌握、安全操作和維護技術運用能力的大力提升。對于那些關鍵、特殊崗位的人員可以將他們送往專業機構進行專業特定的安全知識和技能的學習和培訓。
6 結束語
電力網絡信息安全的管理問題是一個全面系統的工程,網絡上的任何一處風險都有可能導致整個電力網的安全問題,我們要用系統的觀點進行電力網絡安全問題的分析與解決。網絡信息安全問題的解決可以利用行政法律手段和各種管理制度以及專業措施來進行,其中技術與管理相輔相成。電力系統網絡信息安全問題的解決需建立一個有效的運行管理機制,加強網絡風險的認知和人員安全意識的培訓,將有效的安全管理貫徹落實到信息安全中來。另外,在電力企業中建立安全文化,并將網絡信息安全管理在整個企業文化體系中貫徹落實好,使其成為中堅力量才是電力信息化安全問題的最基本解決辦法。
參考文獻
[1]周冰.電力信息化切入核心[J].信息系統工程,2003.
計算機信息系統安全是一個動態過程。美國國際互聯網安全系統公司(ISS)對此提出P2DR模型,其關鍵是Policy(策略)、Protection(防護)、Detection(檢測)和Response(響應)四方面。按照P2DR的觀點,完整的動態安全體系需要防護措施(如網絡或單機防火墻、文件加密、身份認證、操作系統訪問控制、數據庫系統訪問控制等)、動態檢測機制(入侵檢測、漏洞掃描等)、先進的資源管理系統(及時發現問題并做出響應)。
中國石油按照信息安全P2DR模型制定的信息安全系統體系結構包括安全運行中心、網絡邊界管理系統、網絡準入控制、網絡管理系統、病毒監控與升級管理系統、系統加固與監控管理系統、CA認證中心、密鑰管理與分發系統、數據庫防護系統、容災系統、內容訪問監控系統和電子郵件監控系統。
中國石油廣域網安全基礎設施
防火墻系統
中國石油廣域網十分龐大,下屬單位很多,遍布全國,連通世界上很多國家的分支企業。因此需要在網絡各個相連處部署強力防火墻,確保網絡的安全性。另外,在區域網絡中心的服務器群前,加兩臺防火墻,以負載均衡方式,用千兆光纖連接到區域網絡中心路由器上。在兩臺防火墻都正常工作情況下,可以提供約兩倍于單臺設備的性能,即約4Gbps的防火墻吞吐量,當一臺防火墻出現故障時,另一臺防火墻保證網絡不間斷運行,保障服務器群的高可用性。
利用防火墻技術,能在內外網之間提供安全保護; 但有如下局限性: 入侵者可尋找防火墻可能敞開的后門進行襲擊; 網絡結構改變有時會造成防火墻安全策略失效,攻擊者可以繞防火墻實施攻擊; 入侵者可能來自防火墻內部; 防火墻可能不能提供實時入侵檢測。
入侵檢測系統
入侵檢測系統分為基于網絡和基于主機兩種類型。基于網絡的入侵檢測系統對所在網段的IP數據包進行分析監測,實時發現和跟蹤有威脅或隱患的網絡行為。基于主機的入侵檢測系統安裝在需要保護的主機上,為關鍵服務提供實時保護。通過監視來自網絡的攻擊、非法闖入和異常進程,能實時檢測出攻擊,并做出切斷服務、重啟服務器進程、發出警報、記錄入侵過程等動作。
入侵檢測在網絡中設置關鍵點,收集信息,并加以分析,查找違反安全策略的行為和遭到襲擊的跡象。它是第二道安全閘門,對內外攻擊和誤操作提供實時保護,又不影響網絡性能。其具體功能如下: 監視、分析用戶及系統活動; 系統構造和弱點審計; 識別已知進攻的活動模式并向相關人員報警; 異常行為模式的統計分析; 評估重要系統和數據文件的完整性; 操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
中國石油12個區域網絡中心,均配備入侵檢測系統,監控內外網入侵行為。
漏洞掃描系統
漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術。它查詢TCP/IP端口,并記錄目標的響應,收集關于某些特定項目的有用信息,例如正在進行的服務、擁有這些服務的用戶是否支持不記名登錄、是否有某些網絡服務需要鑒別等。
漏洞掃描系統可安裝在便攜機中,在網絡比較空閑時檢測。檢測方式可本地可遠程; 可臨時檢測某網段,也可固定檢測某網段,但是檢測范圍不可跨越防火墻。
查殺病毒系統
中國石油網絡上各個局域網普遍設立查殺病毒軟件服務器,不斷更新殺毒軟件,及時向用戶機下推最新版本殺毒軟件。大大減輕了病毒泛濫和造成的損失。
網絡安全策略管理
中國石油全網提供統一安全策略,各級分別部署,從而提高全網整體安全。
企業網絡安全策略分為四個方面:檢測評估、體系結構、管理措施和網絡標準,并構成動態循環系統(圖1)。安全檢測與評估隨著安全標準的提高而改進,評估結果是網絡體系結構的完善的依據,安全策略管理必須隨之改進與增強; 技術的進步和網絡安全要求的提高,促使網絡標準的完善與改進。
網絡安全檢測與評估涉及網絡設備、網絡操作系統、應用軟件、專業軟件、數據庫、電子商務、Web網站、電子郵件等。安全體系結構涉及物理、場地、環境、訪問控制、數據傳輸與保存、路由控制。安全管理措施涉及網絡設備、軟件、密鑰。
路由器和交換機策略管理是上述安全管理措施中的重要方面。它們的策略維護通過訪問控制列表(ACL)實現。這種工作容易出錯,因而應采用專用工具軟件集中管理。所采用的管理軟件有管理設備ACL的WEB接口,通過這個接口對IP過濾列表進行編輯及下載,簡化了管理工作量,實現了大型網絡路由器和交換機上策略參數的集中管理。
分系統設計
除了上述基礎設施外,還必須有屬于“上層建筑”安全措施。這便是分系統設計。
安全運行中心
中國石油信息系統地域分散、規模龐大,與多個業務系統耦合性很強,如何將現有安全系統納入統一管理平臺,實現安全事件全局分析和動態監控,是中國石油廣域網面臨的主要問題。
建立安全運行中心,實現對全網安全狀況的集中監測、安全策略的統一配置管理、統計分析各類安全事件,并處理各種安全突發事件。安全運行中心不僅可以將不同類型安全產品實現統一管理,還可以將網絡中不同位置、不同系統中單一安全事件進行收集、過濾、關聯分析,得出網絡全局風險事件集,提供安全趨勢報告,并通過遠程狀態監控、遠程分發、實現快速響應,有效控制風險事件。
安全運行中心功能模塊包括安全配置模塊、網絡監控模塊、內容監管模塊、安全事件與預警模塊以及應急響應模塊,具體功能模塊如圖2所示。下邊介紹幾種主要功能。
(1)安全配置管理
包括防火墻、入侵檢測、VPN等安全系統的安全規則、選項和配置,各種操作系統、數據庫、應用等系統配置的安全設置、加固和優化措施。可實現策略創建、更新、、學習和查詢。
(2)網絡監控
模塊可提供對網絡設備、網絡安全設備、網絡拓撲、服務器、應用系統運行情況的可視化監控,確定某個安全事件是否會發生,事件類型、影響程度和范圍。預警: 對網絡設備、安全設備、主機系統、服務器、數據庫系統日志信息的收集、集中存儲、分析、管理,及時發現安全事件,并做出相應預警。
(3)內容監管
內容監控、內容訪問監控以及內容傳播監控。
中國石油信息安全系統安全運行中心由總部、區域中心、地區公司三級結構組成。
總部級: 制定統一安全配置,收集所有匯總上來的數據,并對其進行統一分析、管理。通過這種逐級逐層多級化模式管理,達到對信息安全全方位防御的目的。
區域中心級: 執行對管轄范圍內所有地區公司安全運行中心的監控,也可監控區域內的網絡安全、主機安全、數據庫安全、應用系統安全等,并向總部安全運行中心上報相關數據。
地區公司級: 部署總部的統一安全配置,監控地區公司內部網絡、主機、數據庫、應用系統安全等,收集分析安全事件并做出及時響應,生成分析報告,定期向區域中心匯總。
網絡邊界管理系統
中國石油網絡按照其應用性質的不同和安全要求的不同,劃分為不同的安全域。整個網絡安全符合木桶原則: 最低木板決定木桶裝水量; 網絡安全最薄弱環節決定整個網絡的安全性。
由于網絡中不可控制的接入點比較多,導致全網受攻擊點明顯增多。通過網絡邊界管理系統可以最大限度保護內部業務數據的安全,其中重點保護與Internet直接連接的區域。
按照業務不同的安全程度要求,中國石油各個企業網絡劃分若干安全區域:
(1)業務區域: 企業重要信息集中在此,這里有核心數據庫,可與相關單位交換信息。
(2)生產區域: 主要指各煉化企業的生產網絡,實現生產在線監控和管理信息的傳遞。
(3)辦公區域: 各單位的辦公網,用戶訪問企業業務系統與互聯網、收發電子郵件等。
(4)對外服務區: 通過因特網對外信息和進行電子商務的區域,該區域日趨重要。
(5)因特網接入區: 因特網瀏覽信息、對外交流的窗口,最易受攻擊,要重點保護。
通過邊界管理系統在中國石油各局域網邊界實施邊界管理,在內部部署入侵檢測系統實施全面安全保護,并在對外連接處和必要的部位部署防火墻進行隔離。
通過入侵檢測系統和防火墻聯動,可以對攻擊行為實時阻斷,提高安全防護的有效性。
網絡準入控制系統
中國石油網絡準入控制系統分四部分: 策略服務器、客戶端平臺、聯動設備和第三方服務器(圖3)。
(1)安全策略服務器: 它是網絡準入控制系統的管理與控制中心,實現用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能。
(2)安全客戶端平臺: 它是安裝在用戶終端系統上的軟件,可集成各種安全產品插件,對用戶終端進行身份認證、安全狀態評估以及實施網絡安全策略。
(3)安全聯動設備: 它是企業網絡中安全策略的實施點,起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。安全管理系統管理平臺作為安全策略服務器,提供標準協議接口,支持同交換機、路由器等各類網絡設備的安全聯動。
(4)第三方服務器: 為病毒服務器、補丁服務器等第三方網絡安全產品,通過安全策略的設置實施,實現安全產品功能的整合。
鏈接
中國石油廣域網安全設計原則
在中石油廣域網絡安全系統的設計中應遵循以下設計原則:
高度安全與良好性能兼顧: 安全與性能相互矛盾,安全程度越高,性能越受影響。任何事物沒有絕對安全,也不總是越安全越好。安全以投資、性能、效率的付出為代價。在安全系統設計中,對不同安全程度要求,采用不同安全措施,從而保證系統既有高度安全保障,又有良好系統性能。所謂高度安全,指實現的安全措施達到信息安全級別的要求,對關鍵信息可以再高一個級別。
全方位、均衡性和層次性: 全方位、均衡性安全設計保證消除網絡中的漏洞、后門或薄弱環節; 層次性設計保證當網絡中某個安全屏障(如防火墻)被突破后,網絡仍受到其他安全措施(如第二道防火墻)的保護。
主動和被動相結合: 主動對系統中安全漏洞進行檢測,及時消除安全隱患; 被動實施安全策略,如防火墻措施、ACL措施等等。兩者完美結合,有效實現安全。
切合實際: 有的放矢、行之有效,避免措施過度導致性能不應有的下降。
易于實施、管理與維護。
(1)內網網絡結構不健全。
現階段,我國的供電企業內網網絡結構不夠健全,未能達成建立在供電企業內部網絡信息化的理想狀態。中部市、縣級供電公司因為條件有限,信息安全工作相對投入較少,安全隱患較大,各種安全保障措施較為薄弱,未能建立一個健全的內網網絡系統。但隨著各類信息系統不斷上線投運,財務、營銷、生產各專業都有相關的信息系統投入應用,相對薄弱的網絡系統必將成為整個信息管理模式的最短板。
(2)存在于網絡信息化機構漏洞較多。
目前在我國供電企業中,網絡信息化管理并未建立一個完整系統的體系,供電網絡的各類系統對于關鍵流程流轉、數據存儲等都非常的重要,不能出現絲毫的問題,但是所承載網絡平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發展極不平衡。信息化作為一項系統的工程,未能有專門的部門來負責執行和管理。網絡信息安全作為我國供電企業安全文化的重要組成部分,針對現今我國供電企業網絡安全管理的現狀來看,計算機病毒,黑客攻擊造成的關鍵保密數據外泄是目前最具威脅性的網絡安全隱患。各種計算機準入技術,可移動存儲介質加密技術的應用,給企業信息網絡安全帶來了一定的保障。但是目前供電企業信息管理工作不可回避的事實是:操作系統正版化程度嚴重不足。隨著在企業內被廣泛使用的XP操作系統停止更新,針對操作系統的攻擊將變得更加頻繁。一旦有計算機網絡病毒的出現,就會對企業內部計算機進行大規模的傳播,給目前相對公開化的網絡一個有機可乘的機會,對計算機系統進行惡意破壞,導致計算機系統崩潰。不法分力趁機竊取國家供電企業的相關文件,篡改供電系統相關數據,對國家供電系統進行毀滅性的攻擊,甚至致使整個供電系統出現大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網絡信息的安全,就必須要提高供電企業員工的綜合素質,目前國內供電企業職員的安全防范意識不強,水平參差不齊,多數為年輕職員,實際操作的能力較低,缺少應對突發事件應對措施知識的積累。且多數老齡職工難以對網絡信息完全掌握,跟不上信息化更新狀態,與新型網絡技術相脫軌。
2網絡信息安全管理在供電企業中的應用
造成供電企業的信息安全的威脅主要來自兩個方面,一方面是國家供電企業本身設備上的信息安全威脅,另一方面就是外界網絡惡意的攻擊其中以外界攻擊的方式存在的較多。現階段我國供電企業的相關部門都在使用計算機對網絡安全進行監督和管理,難以保證所有計算機完全處在安全狀態。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業進行安全的管理,建立病毒防護體系,及時更新網絡防病毒軟件,針對性地引進遠程協助設備,提高警報設備的水平。供電企業的信息系統一個較為龐大且繁雜的系統,在這個系統中存在信息安全風險也是必然的。在這種情況下就要最大程度地降低存在的風險,對經歷的風險進行剖析,制定針對性的風險評估政策,確立供電企業信息系統安全是以制定針對性風險評估政策為前提的,根據信息安全工作的緊迫需求做好全面的風險評估至關重要。“掌握核心技術”不只是一句簡單的廣告詞語,還是國家和各個企業都應該一直貫徹落實的方針政策。為了避免外界對我國供電企業信息技術的操控,國家相關部門就必須實行自主研發信息安全管理體系,有效地運用高科技網絡技術促使安全策略、安全服務和安全機制的相結合,大力開發信息網絡,促進科技管理水平的快速提高,以保證我國供電信息管理的安全。
3結語
2016年4月19日,主持召開網絡安全和信息化工作座談會并發表重要講話,對黨的十以來我國互聯網事業、網絡安全與信息化建設進行了系統闡釋、科學總結,提出了一系列凝聚中國智慧的新思想、新論斷,為我國建設網絡強國指明了方向。學習貫徹重要講話精神,我們必須堅持以人民為中心的發展思想,堅持貼近人民群眾,積極通過互聯網架起與人民群眾溝通的橋梁,更好地服務人民、造福人民。
規范網絡秩序,營造良好輿論環境
規范網絡秩序,營造良好輿論環境,是治國理政、定國安邦的大事。指出:“網絡空間是億萬民眾共同的精神家園。網絡空間天朗氣清、生態良好,符合人民利益。網絡空間烏煙瘴氣、生態惡化,不符合人民利益。”的講話,指出了當前網絡空間存在的問題和亟待改善的現象,蘊含著對廣大網民的期待。網絡不是法外之地,同樣需要建立良好的秩序。我們要一手抓正能量傳播,一手抓網絡生態治理,大力培育積極健康、向上向善的網絡空間文化,為廣大網民特別是青少年朋友營造一個風清氣正的網絡生態環境。
建設網絡城市,讓人民群眾有更多獲得感
近年來,國家對互聯網的重視程度前所未有,“互聯網+”、中國制造2025、創新創業、大數據等系列重大政策密集出臺。全面落實國家戰略,促進互聯網向更高目標、更深層次發展,是我們共同的使命和任務。我們要全面落實“寬帶中國”戰略,大力實施“提速降費”行動,創建“全光網”城市,實現全市所有區縣光纖網絡全覆蓋,不斷提升100M光纖接入能力覆蓋城市家庭比例,提升4G網絡服務能力,率先引入5G網絡部署,推進IPv6在LTE網絡中的部署應用。推動區域通信網絡資費改革,鼓勵民營企業參與寬帶建設運營,促進良性競爭,提升寬帶性價比,加強電信資費公示和監測,進一步完善流量跨月不清零、流量轉增等服務,讓用戶享受更多優惠,讓人民群眾有更多獲得感。
堅持多措并舉,強化網絡安全體系化建設
要圍繞網絡強國建設這一總目標,深入推進行業網絡與信息安全保障體系建設,不斷提升保障能力與工作水平。要堅持抓建重用,同步推進網絡與信息安全技術手段建設,進一步深化基礎電信企業安全責任考核,持續開展互聯網新技術新業務安全評估,實施打擊治理通訊信息詐騙等專項行動,提升行業信息安全保障能力。深入推進網絡基礎設施安全防護,深化網絡安全試點示范,加大對互聯網企業網絡安全監管力度,突出抓好網絡數據和用戶個人信息保護。深入開展不良網絡信息和網絡環境綜合治理,完善木馬僵尸網絡、移動互聯網惡意程序等網絡威脅專項治理,凈化網絡環境。提升突發網絡安全事件應急能力,指導企業定期組織培訓、應急預案評估、網絡安全應急演練,做好網絡安全支援保障。組織行業網絡安全知識技能培養和競賽,打造本地網絡安全人才隊伍。
z作者系市通管局副局長、市委網信辦副主任(兼){
(1)沒有健全的網絡營銷法規。在我國當前階段,網絡營銷涉及到的法律法規主要有:關于網絡經濟貿易的法規、建設網站中的法律、關于在線交易的法律、在線支付的法律、電子認證與簽名、關于網絡廣告的法律、關于電子合同的法律、消費者權益保護法以及網上知識產權保護法等。
(2)網絡營銷過程中軟件、硬件存在不足。除了相關法律尚不健全,網絡營銷相應的技術也不夠成熟,其中基礎設施相對落后,交易過程中存在很多安全隱患,尤其是數據加密技術還不成熟。
(3)受到傳統方式的影響,消費者不能改變消費觀念。現階段,我國消費者還保持著舊的消費習慣和消費觀念。在傳統消費模式中,消費者通過觸覺、視覺等各個感官來評判商品然后進行選擇。但是網絡能夠提供給消費者的僅僅是少量的文字和圖片,同時,由于市場的不規范操作導致消費者對網絡購物心存疑慮,受到負面新聞的影響,不少消費者對網絡購物產生排斥心理。
二、規避企業網絡營銷風險對策
(1)加強網上支付管理。首先,盡快實現各大商業銀行的統一,使跨行操作更加簡便;其次,使企業建立安全意識,把安全問題放在首位,然后再考慮企業的發展速度;最后,為保障支付安全進一步增大支付技術的攻關力度,在開發產品的初期就將安全性提到議程中,將風險環節前置,絕不將存在安全隱患的產品投入使用。
(2)加強研究信息安全技術。市場全球化使網絡營銷更應注意信息安全問題。我國要想進一步發展網絡營銷必須加強信息安全的研究力度,而企業信息安全體系必須依靠先進技術系統做后盾。關于安全技術問題,包括了關鍵技術、關鍵設備、技術標準、安全技術管理等重要的內容,其中最關鍵的問題有兩個:一是企業必須使用我國自主開發或國產的安全技術產品;二是國產信息安全產品的裝備及采購和信息安全技術的采用和開發也必須歸入法制范圍。
(3)建立健全信用評估體系。網絡營銷能夠迅速發展必須依靠完善的信用評估體系。
建立健全信用評估體系應該注意以下幾個問題:第一,建立科學健全的信用評級體系,考慮國際慣例和中國國情并分析現代先進評級技術和傳統研究方法,結合互聯網技術等使信用評級體系更加合理化、科學化;第二,建立公正、獨立的評級機構,不能受到企事業單位、政府或者被評級對象的影響;第三,政府要支持信用評級機構,使其順利開展工作。
(4)完善法律法規。不管是網絡結算、網絡安全或者是配送貨物等都牽扯到法律法規。只有建立完善的法律制度,對違法者給予嚴懲才能使網絡營銷能夠正常運作。因此,必須加大力度完善法律法規。從網絡安全角度出發,必須根據我國國情組織力量積極開發屬于我們自己的網絡安全產品。對網絡交易加大管理力度,制定相關標準來規范中介方以及買賣雙方的交易行為,明確法律責任人和法律關系,防止并嚴厲打擊網絡營銷中的欺詐行為。
(5)強化企業制度建設。加強企業制度建設可以有效減少風險損失并能防范各類風險的發生。為了控制和防范網絡營銷風險,企業應該注意建設以下幾項制度:第一,人員管理制度。要做到明確員工的權利和責任,使員工行為規范化,采用培訓教育的方式使員工風險防范意識得到加強。第二,風險控制制度。建立風險控制制度可以形成科學的操作機制和處理方法解決企業在危急情況下的風險決策和交易管理。第三,監督制度。企業各項制度措施在監督管理下能夠保證順利完成,使其發揮作用。
關鍵詞:高職 網絡專業 教學 改革
1 概述
21世紀是以微電腦、信息高速公路、納米技術、生物工程技術等為主導的知識經濟時代。隨著信息技術、通信技術的不斷發展,網絡技術在經濟生活中的重要地位日益顯現,加大網絡技術人才培養力度,成為時代的呼喚。高職高專教育應培養“實用型”人才,而非“學術型”人才,學生最終應能符合企業的用人需求,走進社會就能找到工作,實現零距離就業,為了實現這樣的目標,高職專業課程教學改革是事在必行的。本文以高職網絡專業教學改革為例,探討高職院校的教學改革與實踐經驗。
2 高職網絡專業的培養目標定位
高職教育是為國家和地方經濟發展培養適應生產、建設、管理和服務第一線需要的數以百萬計的應用型高素質人才。針對網絡技術專業操作能力較強的特點,我們制定了較科學的培養目標,我們培養學生具備以下6種能力:
①能夠熟練運用、調試網絡設備,具備組建與維護企業網絡技能。
②能夠熟練安裝管理Windows2003和Linux兩大操作系統以及常用網絡服務。
③能夠熟練運用開發動態網站。
④具備基本的網絡安全意識,計算機和網絡安全防護技能與網絡管理技能。
⑤能夠規范地完成日常各種專業文檔的編寫。
⑥具備企業員工必備的基本職業素質。
3 教學模式的改革
在教學過程中,采用“工作過程系統化”的教學模式,“工作過程系統化”的教學模式與普通的課堂教學模式不同,涉及到師生角色的轉換和學生實踐參與度的提高,它對教學場地、教學工具、設備等都提出了較高的要求。通過創造仿真的工作環境,按工作過程的一定步驟進行教學,突出課程的實踐性,學生的主動性,讓學生在教師設計的學習環境中進行實際操作,要求學生完成一定的工作任務,學生從專業技能、需求分析到現場管理等方面得到全方位的鍛煉,由實踐操作領悟到一定的理論知識。例如,《企業網絡組建與維護》,就可以按需求分析,設備選型,設備連接,設備配置,網絡測試與維護等步驟進行教學。
4 教學設計的改革
在教學設計中,基于“工作過程系統化”的教學模式,將課程分為若干個課程單元,再將每個單元細分為若干個工作任務,組織學生按任務驅動的模式開展學習,充分調動學生的學習積極性,進行職業技能和職業素質的培養,促進知識的鞏固及職業遷移能力培養,使學生具有更大的發展潛力。
5 課程體系的改革
教學內容和課程體系的改革是實現人才培養模式的主要落腳點,也是教學改革的重點和難點。根據教學模式和教學改革的基本思想,我們重組了專業課程體系結構,將專業課教學分為六個模塊:
5.1 《計算機網絡基礎》與《企業網絡組建與維護》相結合
在《企業網絡組建與維護》教學過程中,講解部分用到的網絡基礎知識,通過該模塊的教學,要求學生掌握交換機、路由器的主要配置和一定的網絡基礎知識,培養學生的企業網絡組建與維護技能。
5.2 《Linux系統管理》與《Linux網絡服務》相結合
先開設《Linux系統管理》,再開設《Linux網絡服務》,最后是案例教學,將系統管理命令與服務配置相結合,將學生的Linux操作技能提升到一個高度,通過該模塊的教學,培養學生安裝管理Linux的常用服務的技能。
5.3 《Windows系統管理》與《Windows網絡服務》相結合
先開設《Windows系統管理》,再開設《Windows網絡服務》,通過該模塊的教學,培養學生安裝管理Windows以及常用服務的技能。
5.4 《SQL2005》與《 (C#)》相結合
先開設《SQL2005》,再開設《 (C#)》,通過該模塊的教學,培養學生運用開發動態網站的技能。
5.5 附屬課程
先后開設《計算機病毒防治》、《網絡安全》、《網絡管理》,通過該模塊的教學,培養學生的網絡安全意識,計算機和網絡安全防護技能與網絡管理技能。
5.6 項目實踐
將學生分組,完成項目實踐,分方案設計,方案實施,項目答辯,項目評價四個步驟進行,鞏固學生前面所學模塊的技能與知識,培養學生日常各種專業文檔的編寫能力與基本職業素質。
6 Linux教學改革實施方案簡述
6.1 概述教學內容組織
本模塊主要包括Linux系統管理和服務配置兩部分,根據課程改革的思想,可將該課程教學單元設計為:Linux安裝、目錄和文件管理、用戶和組管理、進程和服務管理、存儲設備管理、軟件包管理、網絡基本配置、DHCP服務器配置、FTP服務器配置、Samba服務器配置、DNS服務器配置、Apache服務器配置、郵件服務器配置、防火墻配置、服務器配置等。再將每個單元分為若干任務,每個任務按照多個工作步驟進行教學,如服務器配置部分,按照認識服務、安裝軟件、了解文件、配置服務、啟動服務、測試服務的步驟進行邊操作邊教學,實現“教、做、學、用”的統一,讓學生如同處在真實的工作環境中,達到掌握好本課程的能力目標和知識目標的目的。
6.2 能力訓練設計
本課程設計的主要工作任務如下表所示:
7 教學改革的成果及存在的問題
高職網絡專業課程改革的實施,使專業教學內容與企業人才需求緊密結合,教學模式教學方法與教學設計更加切實可行,教學過程中的重點由理論教學轉變到實踐教學,提高了學生學習的積極性與主動性,學生能通過實踐技能掌握適度的理論知識,擴展了學生的知識面,為學生更好地就業打下了堅實的基礎。
當然,在教學改革中也存在一些問題:
要求教師不但有較強的理論水平,特別要有較強的實踐能力,最好有一定的企業工作經歷。
同時,也對實驗條件提出了更高的要求。
還有,要求學生也要有較強的自主學習、分析問題、解決問題的能力。
8 結束語
通過多年的網絡技術專業課程的教學實踐,采用“工作過程系統化”的教學模式,“課程單元”的教學設計,“工作任務驅動”的教學手段,符合網絡專業培養目標的要求,乃至所有高職工科專業的教學都能適應,學生通過完成工作任務,學習成就感明顯增強,團結協助意識增強,職業素質明顯提高,就業能力也有較大的提升。
參考文獻:
[1]姜大源.職業教育學研究新論.北京:教育科學出版社,2007.
[2]趙有生.高職教育模塊式教學模式研究:現代教育科學,2004,(4).
[3]教育部高等教育司.高職高專院校人才培養工作水平評估:人民郵電出版社,2004/6.
