时间:2023-07-07 16:27:04
导语:在网络安全内网管理的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
一、领导重视,组织机构健全
我局建立健全了电子政务内网领导体制和工作机制,制定了《公文网上交换工作制度》、《电子政务内网安全保密制度》、《县食品药品监管局电子政务内网管理制度》和《电子政务内网管理员职责》,明确由副局长专门分管电子政务内网工作,办公室主任负责电子政务内网日常管理工作,由责公文网上交换、信息维护和设备管理。
二、硬件管理及网络安全
2014年,我局一是严格安装党政网管中心的要求,电子政务内网实行专机专用,严格执行公文网上交换机与互联网等外部网络物理隔离、公文网上交换用户名和密码使用管理规定,严格维护网络的安全;二是配备了必要的安全防护设施并确定为管理人员,该同志熟悉内网管理,并认真参加相关培训。三是内网计算机上没有安装游戏或与工作无的程序,确保内网安全;四是认真做好电子政务内网终端设备的防病毒工作,配备隔离卡和防病毒软件,软件及时升级,及时给系统打补丁,及时更新病毒库,经检测,没有测到内网计算机上有病毒、木马等有害程序;五是禁止在电子政务内网计算机上不随意使用来历不明或携带病毒的光盘、U盘等移动存储设备禁止在电子政务内网计算机之间交叉使用U盘等移动存储设备;禁止在没有防护措施的情况下将国际互联网等公共信息网络上的数据拷贝到电子政务内网系统;禁止在内网终端上使用具有无线互联的设备。六是内网计算机与互联网等网络物理隔离,没有接入过互联网。
三、公文运转及信息上报
公司秉承服务与创新精神,依托专业人才团队,建立了完善的科研、生产、销售、实施、服务管理体系,为用户提供从项目咨询、需求分析、方案制定到产品实施、优化、培训、支持等一整套的专业服务;公司重信誉、重品质、重服务,先后获得了众多资质与认证,已经拥有微软等众多高级合作伙伴。
作为专注于信息安全领域的专业研发企业,信安宝在入网管理、网络安全、文档安全、文档透明加密、云加密技术、客户端防护、打印安全与管理、整体数据防泄漏防护(DLP)等应用方向拥有国际领先的科技,产品完全拥有自主知识产权,并有众多创新和专有技术,信安之星系列产品是聚几十位专家工程师十余年研发之力而成就的完整信息安全解决方案,有数以千计的用户应用积累以及实施经验,为广大用户提供全方位的、可靠的信息安全屏障。
信安之星(iSecStar)内网管理系统(企业版、高级版、入网管理版、文档加密版、定制版)是多功能多应用的内网管理系统,主要满足十大内网管理需要:入网管理、上网管理、文档防护、U盘管理、打印管理、补丁更新、行为管理、桌面管理、设备管理、系统运维,另外还有资产管理、网络防护、高级拓展功能等,全面解决办公网络关联的安全、防护、管理、监控、运维等问题。
信安之星(iSecStar)打印管理系统(企业版、高级版)满足当前重安全,控成本、信息化、移动、集约办公管理需要的新一代打印监控管理系统。
信安之星(iSecStar)U盘安全管理系统(企业版、高级版)是专业用来规范企业或组织内的U盘使用,保护U盘及数据安全的软件系统。
信安之星(iSecStar)云加密系统(企业版、高级版)在“文档安全管理系统”基础上,集成了虚拟加密技术,独创VirTunnel、VirMTNet、VirMTLocal等技术,是国内外领先的云加密解决方案,它主要应用于文档云加密安全系统、数据云加密安全系统。
而更加自由的网络应用也逐渐成为当前最大的业务需求
当政府网络部署无线系统后
与性能相关的各项技术指标则成为建设之重
用户背景
深圳市司法局成立于1980年11月,是市政府主管司法行政的工作部门,其主要职能是贯彻、执行国家司法行政工作的方针、政策和法律、法规,负责起草涉及本市司法行政工作的法规及规章的草案,制订本市司法行政工作的中长期规划和年度工作计划,并监督实施。
用户需求
深圳市司法局初期为办公大厦搭建了一套有线网络系统。该网络系统是深圳市司法局内部办公网络,承载司法局内部重要信息和机密文件,并支撑深圳市司法局电子政务系统的运行。因此,需要绝对的安全。
内部网络不允许任何来自内网、外网的安全威胁。而随着业务延伸和应用多元化,封闭式内部网络已经无法满足业务需求。因此,深圳市司法局决定构建一套与业务网络完全独立的外网系统,以满足更多的应用需求。
深圳市司法局要求新网络必须绝对独立,以使物理层与业务网隔离,从而完全杜绝所有来自内、外网络的隐患。新网络必须灵活可用,还需要作为原有网络的补充和延伸。此外,除能够为内部工作人员以及外来人员提供服务外,还需要满足高速度、高稳定、高安全、高可用等性能。
解决方案
针对深圳市司法局的需求,他们决定采用无线网络。并以高性能三层千兆交换机GSM7312作为深圳市司法局外
网的核心交换机,直接连接服务器,通过防火墙接入Internet,同时向下连接工作组智能交换机FS726T。
GSM7312提供12个10/100/1000M RJ-45端口(所有端口支持自协商和MDI/MDIX线缆自适应),12个MiniGBIC (SFP) 插槽可提供千兆光纤的连接(每一个1000Base-T与对应的MiniGBIC端口共享使用)。灵活的端口配置为深圳市司法局组建外网提供了极大的灵活性。
通过GSM7312的光纤接口,以千兆光纤连接楼层机房的工作组交换机FS726T。FS726T具有24个10/100 Mbps端口,2个10/100/1000 Mbps RJ-45上联端口和1个可选用光纤连接的SFP插槽。
无线接入点采用WG302 AP,其具IEEE 802.11g的特性,使得在Turbo模式下能最高支持108Mbps高速。WG302内置了专为企业而设置的AutoCell技术,保证强劲的RF射频管理和控制。WG302支持WPA、801.1x,能充分保证内网安全。
深圳司法局所在的天平大厦每层面积1000平米左右,共22层,通过信号测试并根据应用需求,可以在每个楼层的不同位置设置数量不等的WG302作为无线接入点,以保证接入效果和覆盖面积。通过WG302内置的AutoCell技术可轻松调控无线性能。
为了使整个网络便于管理,深圳司法局采用了ProSafe NMS100,可以与任何一种使用工业标准的简单网管协议(SNMP)的可网管设备一起运作,如二层交换机 、三层交换机、无线AP、传统的路由器、服务器和打印机等。
NMS100可帮助深圳司法局配置、管理和诊断网络,确保网络能以适时的、可靠的和最少花费的方式交付数据和服务。NMS100使用非常简便,同时,它还提供预警和保护,NMS100使需要监测和控制的各种复杂的数据网络的网络管理任务变得更容易。
此外,深圳市司法局还配备WG111 IEEE802.11g 的USB 2.0无线网卡。WG111提供最大的无线局域网络的安全性,支持40位(也称为64位)和128位WEP有线等效加密。并且还可通过软件升级将支持802.1x与WPA,与WG302一同提供高安全特性的无线网络,确保只有合法的用户才能联入无线网络。
同时,WG111还采用特别设计的天线,拥有更强信号覆盖范围“拇指型”小巧外观设计。
方案特点安全性
司法机构存储大量绝密文件,要求极高的安全特性,采用物理隔离的方式可充分保证内、外网安全。本项目所采用的无线产品均具有802.1x、WPA、WEP等多种加密方式,同样可保证无线网络安全。
NMS100可以对网络进行监测和预警,以保证网络安全运行。
可用性
三层交换机GSM7312功能强大,支持多种路由协议,提供512条路由表项、线速的IPv4路由、VRRP、ICMP、RIP v1和RIP v2、OSPF v2等。并且还具有DHCP/BOOTP的中继能力、链路聚合、广播风暴控制、广泛的VLAN虚拟局域网支持等交换协议,以及多种QoS。
FS726T网管智能交换机,拥有超高性价比,并提供必要的管理功能。
管理性
(一)中小学学生网络安全防范意识薄弱,不良信息肆意传播
中小学学校网络的主要用户是在校学生,他们对网络安全不够重视,法律意识也不是很强。对网络新技术充满好奇。在好奇心的驱使,在网络中随意浏览网页和访问陌生网络地址,致使电脑受到病毒、木马有害程序的攻击而导致数据丢失、机器瘫痪,还会传播一些不良的文化,影响到学生的学习和生活。
(二)校园网网络病毒广泛存在
校园网与internet相连且速度快和规模大,在享受internet方便快捷的同时,也面临着来自internet攻击的风险。网络病毒的危害性是极大的,其传播速度快,波及范围广,造成的危害都是很大的。病毒侵入某一网络以后,根据其设定的程序,有效地收集相关有价值的信息,然后通过自动探测网内的其它计算机的漏洞,进行攻击。
(三)校园网管理存在问题
很多学校的网络管理员的都具有一定的专业水平,基本可以胜任本职工作,但是可能是学校对网络安全不是很重视,或者因为个人某些方面的原因,造成工作热情不高、责任心不强,所以很少花心思去维护网络、维护硬件。同时学校对学生的网络规范使用教育也缺乏足够的宣传力度,还有的学校缺乏必要的网络信息监控措施,允许学生通过校园网直接访问互联网,导致一些学生无意的接触到大量的非法网站,不但造成数据和信息的丢失,而且严重影响了学生的身心健康,同时也对建立和谐校园产生不良影响。
(四)校园网管理技术较为单一
当前,很多的中小学校都只是依靠单一的技术或者独立的安全产品来保证校园网络的安全。随着网络安全风险的逐步提高,当校园网络受到安全隐患时,这些较为独立的安全产品一般会各自为战,使得原有的安全防范措施不能够发挥应有的作用,这很难满足目前中小学校校园网对于安全的需求。
(五)校园网维护存在问题
维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网的设备投入和人员投入很不充足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有较系统的投入。
二、如何加强校园网络安全管理
(一)加强学生的网络安全教育和管理
中小学学校要对学生进行网络规范教育,使学生充分认识到网络的利与弊,同时学校也应加强对学生的法制教育,增强学生的法律意识,进而减少网络犯罪行为。中小学学校应加强校园文化建设,正确的指导学生多从事一些有益身心的社会活动,避免学生迷恋于虚拟的网络,迷失了自我。只有这样,才能净化网络环境,培养学生的自律意识,使网络在学校的教育工作上,发挥其积极作用。使网络更好的服务于教育,服务于信息科技的发展,服务于社会的前进。
(二)制定可行的校园网络安全管理制度
为了确保整个校园网络的安全有效运行,制定出可行的校园网络安全管理制度。
1)建立一个信息安全管理机构,制定统管全局的网络信息安全规定;
2)制定激励制度,增强网管人员的责任心并激发网管人员的工作热情;
3)加强网管人员的专业技能培训工作,从技术上提升他们对网络攻击的应对能力;
4)学校其它专业也应安排网络安全基本知识的教育,普及非计算机专业师生信息安全知识的教育;
5)加大网络安全建设的资金投入。
(三)对学生实施上网行为管理
在教学开放网络的同时,使用网络行为管理软件(例:海蜘蛛软路由)进行管理。如设定网页关键词过滤;过滤具有不良信息的网站;控制学生所上的网站。做到不允许的网站不能访问,一旦学生访问不允许访问的网站时,强制跳到预定的网站。真正达到允许上的网学生能上网,不允许上的网学生不能上网。
(四)实现域用户身份认证的过程
在校园网提供更高层次服务时,对于用户身份的认证及其服务权限的管理需求也在不断提高。以前较为独立的系统很难达到身份认证的需求,因此需要一个完备的系统,对整个校园网用户进行身份的认证和管理。配备网关认证流控设备,要求所有的内网用户假如想要访问外网都需要进行用户认证。对非法接入的用户和设备应该严厉打击。这种办法不但可以确保网络的安全性,同时还能够很好的提升网络带宽的利用率,极大的提高了效率。
三、结语
【关键词】检察机关;网络安全;信息化建设
检察机关作为国家法律监督机关,站在现代科学技术前沿,建立科技型检察院,运用高科技服务检察工作,更好地打击犯罪,维护司法统一和公正,已是势在必行,刻不容缓。 近年来,全国检察机关积极响应科技强检战略的号召,按照高检察的统一要求和部署,绝大数基层检察院都已经完成本单位检察内网的建设和实现三级检察专线网络的建设,实现了全国检察机关内部网络的互联,为检察机关内部网络资源共享提供了非常宝贵的平台。
然而,网络是一把“双刃剑”,信息化在带给我们高效率的同时,也给我们网络安全工作带来了前所未有的挑战。基层检察院在使用内网的过程中还存在一些问题,亟待我们解决。
一、缺乏网络管理专业人员
检察机关网络安全存在最突出的问题,就是严重缺乏网络维护管理专业人才。由于检察机关的准入门槛较高,通过公务员考试招录信息技术人才若要获得检察官资格还必须要通过国家司法考试,致使技术人才不能也不愿进入检察系统工作,有的检察院虽配备了专职技术人员,但不专业,只懂得电脑维护而不懂得网络维护,面对信息技术出现的各种新情况新问题,常常束手无策。同时信息化技术方面的培训机会较少,跟不上形势的发展,只能在实践中摸索。
二、局域网计算机与互联网计算机混淆使用
检察机关局域网,即检察专线网,是与互联网实行物理隔绝的专用网络,局域网计算机专机专用。由于经费有限,部分检察院没有采取措施做到局域网与互联网的物理隔离;部分检察干警安全意识不强,存在用上局域网的计算机私自联互联网的现象,给病毒的侵入种下伏笔,为整个局域网埋下安全隐患。
三、移动存储介质的使用不规范
造成局域网电脑受病毒感染甚至泛滥传播的最初源头都是从移动存储中带过来的。部分基层检察院存在移动存储介质内外网混用的现象,少数检察干警安全意识不高、保密意识不强,将U盘插在互联网上使用,感染了各种病毒,当这些感染了病毒的U盘未经过处理就直接插到局域网的电脑上使用,导致局域网的电脑感染病毒,程序和数据都遭到严重破坏,甚至病毒能攻击局域网中的其它计算机,使整个单位的电脑都感染病毒造成单位网络堵塞和瘫痪。
四、局域网网络设备陈旧,网络安全软件更新速度缓慢
一方面部分基层检察院由于经费紧张,网络设备陈旧简陋,网络技术存在缺陷,导致网络安全问题和故障屡屡发生;另一方面操作系统更新不及时,很多局域网用户当操作系统的新漏洞产生时没有采取相应的措施,而技术人员也很难保证每台终端及时全面进行安装。同时网上恶意程序,比如木马和病毒的更新速度远远快于网络安全软件的更新速度,给内网引入了潜在的安全漏洞,严重降低了计算机系统的安全系数。
网络安全工作是一个单位数据安全工作的核心内容,如何从源头上保障网络安全,一直是网络安全管理人员不断探索的问题,针对基层检察院内网管理中存在的以上问题,建议采取以下几种措施来解决存在的这些问题。
1.引进和培养专业技术人才,适应科技强检发展的需要
检察网络安全至关重要,检察机关必须把保证信息技术人才的开发摆上重要位置。一方面要积极争取政策,大力引进技术人才,并努力营造一个适合技术人员发展的空间,发挥专业人员的技术专长,做到人尽其才,术业有专攻。另一方面要重视人才的培训,技术工作专业性强,更新快,加强对技术人员的专业培训尤为重要,同时要避免懂技术的人员不懂法律,构成信息技术在法律应用上的障碍,对其进行相关的法律知识的培训,更好的将技术与工作的实际相结合,最大限度的发挥信息技术的作用。
2.建章立制,规范安全使用计算机流程
结合检察工作实际,出台检察内网计算机使用管理办法,真正从制度上规范安全使用计算机的方法。制定一个计算机使用管理办法能在源头上预防计算机病毒的入侵起到积极的作用,在管理办法中必须严格规范保密计算机、移动存储器的使用;计算机必须严格按照相关规定断绝和外网的联系;确实需要从外网拷贝数据进来的移动存储器,一定不能携带有检察工作秘密文件出去,应该在使用前格式化清除所有数据,并在接入本院计算机前进行杀毒,养成在资源管理器打开移动存储器的习惯。
3.提高网络应用与管理技术水平,弥补自身缺陷
在当前检察信息网络的安全威胁中,病毒及恶意攻击是网络安全存在危险的最主要的原因。技术部门应该根据本院实际,选购一套合适的企业版杀毒软件,并及时更新病毒库,使杀毒软件的杀毒能力时刻保持在最新最强状态。在网络管理中,对操作系统的漏洞应及时的安装安全补丁,并留意微软定期的安全公告,关闭操作系统中并不常用的默认端口,防止为恶意攻击或病毒感染留下漏洞。同时,尽量避免使用来历不明的盗版软件,将软件的选择导向正版化、网络化的轨道。
4.加大对基层院内网设备的投入,及时维护更新设备
基层检察院应本着开源节流,不铺张、不浪费的原则,加大对内网设备的经济投入,积极争取国家技术装备专项拨款,使之得到合理的利用。各基层检察院信息化技术员要及时检修内网设备,及时上报出现的问题,及时修复及时换新。确保检察内网设备安全稳定的运行,确保机房的温度、湿度在科学合理的范围内,减慢内网设备的老化损坏速度,同时要确保机房和各部门的内网设备在雷雨天气切断电源,避免被雷电集中,引起火灾或者导致损坏。
检察机关在加强计算机网络安全的工作中,要坚持技术层面的防范和管理并重的原则,全面提高检察机关信息安全防护能力,确保信息网络系统和数据的安全。
参考文献
[1]李琳.计算机网络技术、集成与应用[M].北京:北京航空航天大学出版社,2001.
[2]张民,潘勇,徐荣.宽带城域网.[M].北京:北京邮电大学出版社,2003.
[3]刘国林.综合布线设计与施工[M].广州:华南理工大学出版社,2001.
关键词:校园网 安全策略 三位一体网络安全体系
一、校园网安全策略部署是重要一环
1、网络中心要做好外网防火墙的部署
校园网中的防火墙缺失或者部署不当将必然导致病毒与木马对学生终端的危害,学校网络管理人员要认研究现有硬件防火墙的安全策略能否满足本校网络安全的需要,在病毒防护、安全策略、访问记录部署上最大限度地利用硬件防火墙保护内网的访问安全。如果经过测试硬件防火墙不能满足需要,要及时进行数据升级或更换。
2、网络中心要做好三层核心交换机的安全策略部署
网络防火墙是保护内网安全的第一道屏障,而三层核心交换机是保障用网安全的第二道屏障。网络中心应该根据自有核心交换机的性能去设计相应的安全策略部署。
包括:(1)按实际需要划分VLAN。(2)根据自身需要制定VLAN间的数据包过滤策略,通过制定协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等包过滤策略,虽然包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,但却可以通过这种访问策略阻隔住非法用户的访问,有效保护不同子网的用户免遭黑客的攻击。
3、网络中心要做好网络安全预警沟通工作
通过调查了解到:学校的网络中心管理人员往往充当“救火队”的角色,师生们要么上不了网找网络管理员、,要么机器坏了或者因中毒遭受到这样那样的损失时才找网洛管理员。而网管工作人员出于领导重视程度、自身工作负担或者是技术水平等方面的因素往往缺乏定期或不定期的网路安全预警工作。网络中心要减轻“救火队”的压力的唯一出路就是做好网络环境的安全工作。而通过路由器、防火墙、核心交换机、网络抓包工具及各大安全网站的记录数据及安全预警提示,网络中心至少应该定期在OA或者其他途径做好网络安全预警工作,让学校全体师生动态了解学习相应的网络安全知识,定期更新终端病毒库。如此方可建立一个群防群治的用网环境。
二、用户终端安全策略部署必不可缺
通过网管中心安全策略的部署,我们可以保障校园网内的基本安全,要做到让学生终端及时更新系统补丁与安装安全杀毒软件、并对安全杀毒软件进行更新。目前互联网上有很多包括针对移动终端和桌面终端的360安全软件、百度安全软件、腾讯安全软件等免费有效的软件。因此软件的获得途径是畅通的,关键是要让大家重视终端安全软件的安装与升级。笔者认为:第一,作为学校的机房管理人员,即使有硬件还原卡,也要定期对机房的系统进行升级,不能只保障机房的系统不崩溃而忽略了学生的用网安全。第二:学校网管工作人员应该定时下载相应的安全软件和更新数据推荐师生安装。第三,中职学校班主任应该在班会课上定期宣传网络安全知识,并检查学生手机和用网电脑的安全软件的安装与更新,对未安装安全软件的同学进行引导,如此才能确保学生在网络下不至于“裸奔”!
三、重视网络安全意识培养
防止网络安全问题的关键是全校重视师生网络安全意识的培养,笔者认为要做好这方面的工作应该从以下几个方面入手。
1、学校要加强中职生网络安全知识教育。
由于专业课程设置的原因,目前中职学校一般只有计算机专业与电子商务专业会涉及到网络安全教育的课程,这些班接受过系统的知识对网络安全的意识会稍微强一点,但由于缺乏长效机制,课程后时间一长又容易麻痹。对于其他专业的学生往往三年里只会开一门计算机基础的课程,课程涉及的内容大部分是计算机基础知识与OFFICE应用,网络安全方面的知识由于不在大纲范围内,基本上是蜻蜓点水,情况不妙。笔者曾经连续两年在所在学校的模具班与数控班做过一个小调查,能够坚持在手机端与自用电脑上安装系统补丁与杀毒软件并定期升级的学生不到20%。而知道杀毒软件不能混合安装的不到5%。究其原因,有的说老师没讲,有的说装了以后系统慢,有的说升级要耗费流量。如此局面,令人揪心。
笔者认为,中职生网络安全意识的培养是需要一定专业知识支撑的,因此学校要在每个专业都开设网络安全课程,每学期的课程不需要多,但是应该贯穿三年,只有这样,才能切实做好中职学生的网络安全教育工作。
2、从心理层面去辅导中职学生如何面对互联网
中职生网络信息甄别能力薄弱,容易受到网络不良信息的影响。有个别学校发现这些问题后,采用禁止带手机和移动设备进校园,希望“一劳永逸”,但笔者认为此种以堵代疏的方式与时展趋势相左,既容易造成学生逆反心理,也不利于网络安全意识的培养。在无线信号全方位覆盖与移动终端普及的今天,禁止带手机很容易变得尴尬无力。
正确的方法应该是:学校德育部门与心理咨询中心要研究移动互联网对中职生心理的影响以及可能出现的问题和疾病,发动班主任班干部或者是每班的心理联络员在中职生群体内部协助做好网络心理服务工作。
3、传递正能量,树立正形象。
人性化、个性化的职业教育将成为“互联网+”时代的重要特征,尤其是移动互联网在线教育开启了职业教育发展的新篇章。在重视网络安全意识培训的同时,学校应该积极传递移动互联网在学习和生活上的“正能量”。第一,学校应该鼓励全体师生通过微信、QQ等群组工具在各科的教学中开展在线互动,老师既可以提高学生在本科目学习的兴趣,又可以及时了解学生的网络安全状态。第二,学校应该主动制作适合移动互联网传播的包括微课、FLASH等教育教学资源,通过自有APP平台或者是开放式的云共享平台让学生使用。第三,定期在校内评选“网络安全标兵”、“网络安全技术能手”,通过表彰一批平时在心理和技术上都能够正确使用互联网的榜样,起到示范和引领的作用,从而达到以点带面,帮扶一片的效果。参考文献:
关键词:防火墙技术 校园网络 安全应用
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2016)10-0210-01
随着社会的高速发展,计算机和互联网科技得到了全球化普及,不同的用户都能通过计算机等网络终端在互联网的交流中满足自我需求。新时期下,学校的教学任务中也相应地增加了网络方面的系统知识,既要引导学生如何正确利用计算机和互联网开展学习和工作,又要加强学生的网络安全意识,提高网络安全操作技能。互联网在校园内基本实现了全面铺设,频繁使用过程中必然也容易产生诸多安全问题,阻碍教学科研等工作的顺利开展。要加强校园网络的安全性,必然需要重视防火墙技术,并通过积极努力实现在效果网络中的应用。
1 防火墙技术简述
防火墙技术的主要保护对象是某一网络内部结构的安全性。借助不断更新的电脑硬件和软件,现代技术能够在某一局域网络与外源互联网之间搭建安全防护体系,从而实现了对外部危险信息的隔绝,保障局域内网的信息安全。这种抵御外来入侵的技术就是防火墙技术。因为防火墙的存在,别有用心的网络用户对局域网展开的非法访问直接被拒绝和阻止。其主要的作用原理是将众多没有得到内网主机验证的IP地址码进行分组,形成具有高度隐蔽性的伪装,同时其地址功能主动断开内网与外网之间的数据连接,使得内网有了可靠的安全屏障。正是源于这样的作用机理,包括校园网、机关单位内网等网络都搭建了包含防火墙技术的安全防御系统。
2 校园网络安全性的内涵
校园网的用户主要是广大师生群体。这样的内网系统必然包含更多用于教学和科研等交流内容的数据,具有一定的特殊性,因此,校园网的安全性必然需要高度重视,才能确保网络可靠运行,过滤众多社会不良信息,保护内部资源的流失。校园网络的安全性主要体现在几个方面:①强化相关网络安全制度,实现优质高效的安全管理;②较高的用户身份识别,可以有效区分不法分子入侵;③防火墙的构建,及时阻止外界不健康的信息的传播,并主动过滤和屏蔽不信任网站;④师生个人信息的严密保存,通过各种加密措施实现信息安全,杜绝失窃或篡改行为;⑤安全监控系统的建立,能够对校园内的各种网络设备进行监控和保护。
3 防火墙技术在校园网络中的应用体现
3.1 不断巩固和优化内网防火墙
学校作为网络应用更为频繁的集中区域,不但要加强网络安全的制度管理和行为管理,更要在网络应用中不断改良和优化防火墙技术的,使之始终保持与校园发展环境的适应性。学校应该组建专业部门和专业人员,落实网络防火墙的重点建设,全面考察市场中的防火墙技术,引进与校园网络环境高匹配度的设备和技术,例如当前华为集团收购赛门铁克企业后强强联合推出的多业务防火墙系列,高达2000数值的吞吐量,集合Dos.DDoS系统加强检测外界入侵,设备上设置1个广域网接口,8个局域网接口,配置有可扩展式插槽。这样的防火墙配置有多核处理器,能够同时满足不同网络用户的需求。校园网应该紧跟时展,引进更高技术的安全保护设备,才能实现校园网络的安全运行。
3.2 实时开展外界不良入侵监控
网络入侵是当前互联网应用的常见风险,对网络进行入侵监控,能够及时对出现的网络问题采取相应的检测,并保持跟踪记录,便于未来具体处理时可供参考。防火墙技术应该加强对于不同等级的外界入侵攻击的有效防御能力。尤其在校园网中,入侵检测功能能够将某段时间出现的异常状况,以电邮的形式及时汇报到网络管理员处,管理员在启酉嘤υぞ机制后将积极开展危机处理。
3.3 加强登录用户认证
校园防火墙可以直接对登录网络的用户进行身份认证,同时也能够对用户点击访问的不同网站进行认证。如发现某网站不可信,或存在其他风险,防火墙将及时锁定用户数据库信息,完成IP地址或MAC地址的绑定,从未限制用户进入该网站,显示为无法访问。
3.4 保持系统的日常检测维护
防火墙在安装接入到校园网后,就会始终保持工作状态。因此,应该由专人开展定期检查和维护工作。通过查阅某一周期内的网络流量,核对异常记录,加强对网络日志的备份和清除,提供可存储效率。
3.5 持续开展系统漏洞扫描
校园网络防火墙的应用,不但能够有效降低来自外网的危险入侵,而且能够对自身的网络系统进行漏洞扫描。网络结构一向具有复杂性,无论是简单的程序还是复杂的软件运行,都会导致网络出现一定的不良反应,从而产生异常。防火墙技术在功能优化后,应成为专业网管的有力辅助工具,人工与机器的同步扫描下,网络漏洞存在的概率进一步降低,安全隐患能够在较短的时间内被消除。
3.6 选购正规可靠的相关防御装置
谈及防火墙技术在校园网络中的应用,还应该注意加强对防御装置的选购。当前市面上防火墙类别五花八门,使用效果也不尽相同,因此,还是应该面向拥有市场好口碑的主流产品进行选购,如金山网络防护、天网安全系统等。学校在确保自身投入符合预算要求后,可以配备更多的配套装置,如校园网专业浏览器、服务器、专业版杀毒软件等等,借助不同手段综合提升网络安全保护能力。
4 结语
校园网络的安全问题值得重视。在加强制度管理、行为管理的同时,对于网络防火墙技术的应用要保持科学性和严谨性。不但需要积极购入设备优化防火墙、加强入侵检查和用户认证、加强日常检测维护和漏洞扫描,更要结合其他手段,形成多元化的综合防御系统,才能更好地实现校园网络的安全运行。
参考文献
[1]杨帆.防火墙技术及其在校园网络安全中的应用研究[J].科技展望,2015(35):10.
[2]王谦,马全福.关于现代网络安全技术及其在校园网络中的应用探讨[J].网络安全技术与应用,2016 (02):30-31.
[3]马丽君.浅析防火墙技术在校园网络安全中的应用[J].网络安全技术与应用,2014(12):64,66.
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
一、校园网络安全现状分析
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。
(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。
(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.
随着计算机信息技术的飞速发展,电子政务在政府实际工作中的作用越来越重要。如果缺少电子信息技术支撑或者因为安全问题导致电子政务系统无法正常运行,大量的政府部门将无法正常的开展工作。因此,电子政务系统的安全问题变的日益突出和紧迫。本文阐述了党务内网市级电子政务安全保障体系,探讨了电子政务信息安全中存在的安全问题,并对电子政务安全保障提出合理化建议和有效保障措施。
【关键词】安全域 安全策略 物理安全 网络安全
【关键词】安全域 安全策略 物理安全 网络安全
随着信息技术的飞速发展,电子政务在政府工作中的作用日益重要。与此同时,电子政务相关的安全问题也变得日益突出。因电子政务系统受攻击导致系统瘫痪而使政务停滞的事例时有发生,而因网络完全问题导致的泄密事件也成为政务工作安全保密的主要威胁之一。因此,如何建立完善的电子政务安全保障体系成为一个迫切需要解决的问题。下文将以河南省党务内网市级为例,分析探讨电子政务的安全保障体系。
1 电子政务内网安全保障体系
党务内网中存在大量涉及国家秘密信息,内网的安全保障体系包含管理要求和技术体系两个方面内容,国家针对涉及国家秘密的信息系统有明确的管理和技术要求
1.1 管理要求
根据国家保密局颁发的《涉及国家秘密的信息系统分级保护管理规范》中关于按照最高密级进行管理的要求,将电子政务内网(党务内网)市级平台定为“机密”级,县(市、区)网络定为“秘密”级,并按《涉及国家秘密的信息系统分级保护管规范》规定的相应密级防护要求进行安全保密建设和管理。所有需要进行数据交换的信息主体均应有相应的密级标识,密级标识应与信息主体不可分离,其自身不可篡改。对于以数字文件方式在线或离线存储的信息,应将存储、处理和管理信息的计算机、网络、存储备份及输入输出硬件系统进行密级标识。凡是存储了党委系统信息的硬盘、光盘或磁带等离线存储介质必须按照《涉及国家秘密的信息系统分级保护管理规范》进一步加强统一的标识和管理。
1.2 安全技术体系
构建安全系统已经迫在眉睫,然而值得注意的是:单一安全产品越来越难以满足企业安全需要。 安全系统不允许有“短板”存在,党务内网构建了涵盖物理安全、网络安全、系统安全、应用安全和数据安全五个层次的全方位党务内网的安全技术体系。
2 物理安全
物理安全是系统安全的最基本要求,主要从设备放置安全、通信线路安全、环境安全、出入控制措施几个方面考虑:
党务内网的核心设备全部放在符合国家标准GB50174-1993标准的专用机房中。机房实行24小时监控并使用屏蔽机柜。通信线路采用移动公司的专用传输线路,设备和线路独立于其它网络,并对传输线路进行链路加密和线路屏蔽。通过物理分隔明确区域划分,为防护设备提供安全的外部环境;对安全区域按照保护级别实行全方位的控制,结合身份鉴别与认证技术,强化出入控制措施。通过以上多种措施的综合保障党务内网相关设备的物理安全,避免出现系统运行安全事件和泄密事件。
3 网络安全
网络安全是信息安全技术体系中的重点内容之一,主要通过高性能防火墙、入侵防御、入侵检测、防病毒网关、密码机等安全保密设备核心交换机连接,即保证数据的保密性,又要保证数据的安全性。
3.1 访问控制
访问控制是网络系统安全防范和保护的主要策略之一,它的主要任务是保证系统资源不被非法使用,是系统安全、保护网络资源的重要手段。而安全访问控制的前提是必须合理的建立安全域,根据不同的安全访问控制需求建立不同的安全域。
党务内网按照信息资源的等级、同时参照基础架构的功能和角色划分为4个安全域,分别为:市级网络中心、市委办公室局域网、市直单位用户终端、县级网络中心。
市级网络中心分为应用与安全服务支撑区、公共应用服务器区、运维管理区三个安全区,通过一台多端口防火墙实现安全区的边界防护。市委办公室局域网是市委机关的核心区域之一,网络边界配置防火墙。全市市直单位,通过防火墙、密码机和运营商城域网连接到市委安全域,网络边界配置防火墙。县级网络中心网络区域配置防火墙1台,负责县(市、区)委用户终端的安全防护和网络接入。
3.2 边界完整性检查
市级电子政务内网网络边界完整性检查包括两个层面:一是应用网络设备的访问控制对非法外来接入进行检查和阻断;二是通过终端安全管理系统对非法外联行为进行监督和控制。
综合运行防火墙技术、交换机或路由器的ACL和802.1x协议、隔离网闸等安全访问控制手段,对接入网络的用户进行严格的身份检查,拒绝一切未授权自私非法接入电子政务内网的用户终端。桌面终端安全管理技术能够有效地防止用户私自非法接入政务内网以外的其它网络。利用终端安全管理系统为每个用户分配在线策略和离线安全策略,详细分配用户的访问权限和授权访问资源,禁止多网卡和非法路由、红外接口、蓝牙、1394接口、USB接口等可能产生外联行为连接方式,并对非法外联时产生的非法路由信息进行详细的记录,要能够记录非法外联用户、时间等,以备审查。
3.3 安全审计
审计系统能够真实地记录用户的操作或系统/设备在运行过程中触发自身日志功能而产生的事件数据;当发现不符合规定的越权操作时,能及时告警或同时阻断;通过系统提供的审计记录能迅速地查找出违规者的真实身份。审计系统所记录的所有日志信息,均应储存在自身存储系统中,以备能够根据日志记录进行数据分析或生成审计报表。审计记录不得轻易删除或修改,审计系统自身必须具备用户权限控制机制。
党务内网的网络审计系统采用网络旁路侦听的方式对网络数据流进行采集、分析和识别,并对应用层协议进行完整还原,根据制定的安全审计策略进行审计响应。网络旁路监听不改变用户的网络结构,不影响用户的网络性能和应用业务,能根据用户或服务进行网络流量统计分析,便于管理员及时发现网络异常流量。
3.4 入侵防范
网络入侵检测和防御技术是对网络入侵行为的检测和控制。它通过监视计算机网络数据报文,并对这些报文进行协议分析和模式匹配,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,一旦发现攻击能够发出报警并采取相应的措施,如阻断、跟踪和反击等。目前最新的网络入侵检测系统还引入全面流量监测发现异常,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有对应的关联关系,给出入侵威胁和资产脆弱性之间的关联风险分析结果,从而有效地管理安全事件并进行及时处理和响应。
3.5 恶意代码防范
根据国家相关安全技术要求,病毒网关应具备查杀当时流行的病毒和木马的能力,其病毒库应能够在线或离线及时更新,更新周期不应超过一周,遇紧急情况或国际、国内重大病毒事件时,能够及时更新。网络边界恶意代码的防范主要是采用边界防病毒网关过滤技术,主要有入侵防御、防病毒网关、一体化安全网关技术等,通过防病毒网关对数据进行深层次的安全代码检查,将可疑恶意代码进行隔离、查杀和过滤。
3.6 网络设备防护
各种网络设备、安全设备、服务器系统、交换机、路由器、网络安全审计等都必须具备管理员身份鉴别机制,可以采用帐号、静态口令、动态口令、KEY、数字证书等方式或两种以上组合方式进行身份鉴别。网络设备应限制远程登陆管理IP地址范围或禁止远程管理,必要时只允许少数或管理域的IP主机方可以管理权限通过网络登陆设备配置和维护操作,通过网络远程配置管理必须采用加密方式(如:SSH或HTTPS)建立连接,以防连接会话被窃听或篡改。所有操作必须有审计员帐号监督审计,审计管理员可随时查看系统管理员对网络设备所做的操作。
4 系统安全
系统安全包括:系统配置安全(包括操作系统安全)、主机防病毒、非法外联监控、安全审计、主机与介质管理(补丁分发、终端安全管理、介质管理等),其中主机防病毒、非法外联监控、安全审计、主机与介质管理(补丁分发、终端安全管理、介质管理等)要求与省级网络中心部署的相应系统对接。
通过采用正版安全系统,系统加固,定期安全评估发现漏洞,及时安装漏洞补丁,基于主机的入侵检测等保证操作系统安全。通过桌面安全管理系统(补丁分发、终端检查、接口管理、非法外联接入管理)、信息安全综合强审计系统(系统账号管理、操作系统使用权限管理)来实现,禁止用户用公用账户登录系统。在网络的应用与安全支撑服务区配置一部网络杀病毒软件服务器,负责所有接入网络的服务器、终端计算机的病毒查杀管理和病毒库更新。在网络的安全支撑区部署一套违规外联监控系统。在所有接入网络的终端上配置违规外联监控系统客户端。及时发现并阻断违规外联行为,并向网络管理人员发出报警。加强主机及移动介质的管理、硬件资产管理(登记计算机硬件配置,防止私开机箱)、移动存储介质管理(存储介质登记注册,规范使用)、便携式计算机管理等。
5 应用安全
建立与省级网络中心体系一致的二级安全应用支撑平台,与省内网管理中心完成对接。包括市级证书认证和查询验证系统,同时接入市级身份认证节点和省级证书认证和查询验证系统,为市级网络平台提供证书服务;市级可信时间服务系统,与省级保持一致;身份认证系统、统一用户管理系统、访问控制权限管理系统、单点登录系统及信息保护和应用管理系统实现对业务应用的安全保障,与省内网管理中心的系统完成对接。
5.1 电子身份认证基础设施
党务内网市级网络中心的应用和安全支撑服务区建设数字证书注册审批分中心(RA,Registration Authority)。市委RA系统对证书发放、管理,负责本市及所辖县、区委的证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能。发放的数字证书存放于USB-KEY中。依托省内网中心的应用和安全支撑服务区建设数字证书注册审批分中心,并保证和其对接。
5.2 可信时间服务系统
在市级网络平台的应用与安全支撑服务区部署1套可信时间服务系统,防止用户对自己的网络访问行为进行否认,在应用系统设计过程中结合PKI/CA系统实现。
5.3 统一用户管理
通过体系一致的统一用户管理系统,对系统内所需要的用户信息进行统一管理,对不同安全域的用户信息进行同步,保障用户身份的安全和一致性。按照省委办公厅统一规划建设。
5.4 身份认证与访问控制
通过体系一致的身份认证系统,实现省电子政务内网(党务内网)用户的身份鉴别。用户访问受保护的业务系统时,采用基于数字证书的身份认证进行用户身份鉴别。建设单点登录系统,实现应用系统的单点登录功能,根据用户的身份及访问权限,对用户访问网络、应用、资源的行为进行识别和控制。
6 数据安全
数据是信息系统的核心,数据安全主要包括数据完整性和数据的备份与恢复两个方面内容。
6.1 数据完整性
数据完整性是数据安全的基本要点之一。主要包括传输、存储信息或数据的过程中,确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。要求数据在传输或存储过程中使用数字签名或散列函数对密文进行保护。接收方在收到数据的同时也收到该数据的数字签名,接收方依据数据签名验证数据的真实性和完整性。
6.2 备份和恢复
数据备份是数据在受损后恢复最快的数据安全措施,要求将系统重要数据利用光盘库、磁带机、磁带库或其它存储设备,复制数据的副本,并且将备份介质异地存放;数据备份方式可以选择海量备份、增量备份或差分备份,在首次对系统数据进行备份时,必须选择海量备份方式,要求每天对数据进行一次增量备份,每周对数据进行一次差备份。重要数据传输网络和数据系统包括硬件部分,要采冗余结构,确保数据的高可用性。必要时使用存储区域网(SAN)模式进行异地存储备份。
7 小结
信息安全问题不是一个孤立的问题,而是一个安全保障体系。为保证电子政务内网(党务内网)的安全、高效运行,除了强有力的技术保障体系,还必须有稳定合理、分工明晰的安全运行维护组织。根据各地区各部门实际情况,建立或指定专门机构,并结合各单位的实际情况,配备相关的管理人员、技术人员、操作人员,负责运行维护工作,执行安全运行维护职能,保证电子政务内网(党务内网)的效能得到最大程度发挥。
参考文献
[1]戴黍,刘劲宇著.电子政务管理导论[M].北京:高等教育出版社,2011(11).
[2]李湘江.网络安全技术与管理[J].现代图书馆技术,2002(02).
[3]曹凌,耿鹏著.电子政务管理模式探析[J].西安电子科技大学学报(社科版),2001(09).