如何加强信息网络安全的探讨

摘要:该文概括了计算机信息网络面临的多种威胁,针对我局具体情况,从物理安全、系统安全、网络安全、应用安全、管理安全等方面提出相应的措施。

关键词:计算机网络;信息安全;安全管理

中图法分类号:TP393.08文献标识码:A文章编号:1009-3044(2010)21-5969-02

Discussion of How to Reinforce the Safety of Information Network

GU Yin-cong

(Tongchuan Power Supply, Tongchuan 727031, China)

Abstract: This paper summarized the kinds of threatens faced by computer information network, and then aimed at the concrete conditions of our administration to bring forward corresponding measure from aspect such as Physical safety, system safety, network safety , applying safety, management safety. atc.

Key words: computer network; information safety; safetymanagement

随着计算机信息网络技术的广泛应用和飞速发展,计算机信息网络已成为现代信息社会的基础设施。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,它作为进行信息交流、开展各种社会活动的工具,已经深入到人们生活的各个领域。同时,基于网络连接的安全问题也日益突出,网络安全问题已经成为人们普遍关注的问题。

1 网络安全分析

网络安全面临的威胁主要有以下几种:

1)物理安全威胁

物理安全是指在物理介质层次上对存储和传输信息的安全保护。这方面的威胁主要有:自然灾害、设备故障、电磁辐射、操作失误和意外事件。常用的有两种网络隔离技术:①单主板安全隔离计算机;②隔离卡技术。目前我局采用的就是后一种隔离技术实现了物理上的隔离。

2)系统的安全缺陷

系统的安全指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其他厂商开发的应用系统,其开发厂商必然有其Back—Door,而且系统本身必定存在安全漏洞,这些“后门”或安全漏洞都将存在重大安全隐患。

3)网络协议和软件的安全缺陷

因特网的基石是TCP/IP协议,该协议在实现上力求高效,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。①很容易被窃听和欺骗;②缺乏安全策略;③配置的复杂性。TCP/IP协议是被公布于世的,了解它的人越多,被人破坏的可能性越大。

4)用户安全使用的缺陷

操作员安全配置不当造成的安全漏洞,用户安全意识不强,口令选择不慎,密码易于被破解,软件使用的错误,系统备份不完整,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

5)黑客入侵安全威胁

黑客利用计算机某些程序的设计缺陷,可以利用多种方法实现对网络的攻击,如:网络端口扫描、网络监听、IP电子欺骗等。

2 信息网络安全策略

通过以上几方面的网络安全分析,下面针对我局的具体情况,从物理安全、系统安全、网络安全、应用安全、管理安全等方面提出相应的措施。

2.1 物理安全

物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。主要包括以下几个方面:

1)环境安全

对系统所在环境的安全保护、如区域保护和灾难保护、我局严格按照各类国家规范及标准进行了设计施工,信息机房安装了了机房监控系统,具有监视摄像系统、温、湿度监测、烟感监测等功能。机房内的场地区域严格按照“三级系统独立成域,二级系统统一成域”的要求进行了严格划分,机房运行环境和测试环境、场地物品摆放、步线管理等都严格按照国家相关要求进行了配置。

2)设备安全

设备安全主要包括设备的档案管理、设备标识管理、设备检修、设备缺陷、设备参数等;我们主要通过管理及提高员工的整体安全意识来实现,具备各类规章制度、技术图纸、记录簿、设备台帐等,装有计算机网络管理系统,对计算机网络、计算机系统、服务及应用等运行状况进行实时监测和管理。

2.2 系统安全

1)网络结构安全

我局信息网络已经覆盖新老区办公区(新区办公大楼、营业楼、生产楼、银河酒店、老区办公楼)、4个县电力局、35KV及以上变电站26个(其中330KV 3个,110KV 19个,35KV 5个)和供电所37个。目前担负着ERP系统、协同办公系统、远光财务系统、输变电可靠性系统、无功电压、线损系统、PMS系统、营销系统、营销辅助决策系统、95598呼叫系统、视频会议系统、农电SG186系统、变电站视频监控系统等重要系统的运行维护工作,同时进行了双网建设,双网隔离率100%,外网主要覆盖局财务网上银行业务、日常资料查询业务等。经过四级网建设和网络完善后,我局网络拓扑结构设计合理,满足线路有冗余、路由冗余等,网络安全大大提高。信息网络系统在我局生产、经营、管理中发挥着越来越重要得作用。

2)操作系统安全

操作系统安全主要采取安全配置、权限限制、补丁、安全扫描等策略进行安全防范。针对这一情况,我局信通中心对所有服务器所安装的Windows系统、UNIX系统的帐号进行了权限设置、系统帐号口令长度和复杂度满足安全要求,并关闭了系统中不安全的服务,设置了系统中重要文件的访问权限,限制了访问应用系统的用户,定期安装系统安全补丁程序,配置防病毒软件的防病毒策略,强化了系统相关安全配置等一系列安全措施。

3)应用系统安全

我们主要对应用系统上线前进行安全性测评,并由相关记录备案,对发现的问题提出整改意见并督促进行整改,保障系统上线的安全性。对应用服务器我们主要尽量避免开放一些不常用的协议及协议端口号并应加强登录身份认证、确保用户使用的合法性。

2.3 网络安全

网络安全是整个安全解决方案的关键,我局信息网络覆盖全局生产、经营和管理各个方面,网络上运行着各种信息管理系统,保存着大量的重要数据,为了保证网络的安全,针对计算机网络本身可能存在的安全问题,在网络安全管理上我们采取了以下技术措施:

1)进行系统分域管理

根据信息系统安全保护等级定级要求,对信息系统进行安全域划分,其中营销系统和95598系统按二级系统集成二级域,其他应用系统:PMS、OA、可靠性、输变电等系统均为一级系统,统一作为一级域。

2)部署网络边界防火墙

在局域网与局域网间边界部署防火墙,分别在局域网与广域网间、局域网与财务专网间、局域网与营销系统间、局域网与信息四级网间、局域网与调度DMIS网间进行部署,对防火墙策略进行严密配置,并定期进行更新,提高防火墙安全性。

3)网络设备安全防护措施

对网络设备自身进行全面安全防护,通过升级网络设备版本、建立网络冗余链路、加固网络访问限制、关闭SSH、FTP、HTTP、SNMP等不用服务,对安全设备进行加密访问,通过HTTPS和SSH进行访问,防止信息泄露。

4)外部设备接入控制

对网络设备接入进行IP和MAC地址绑定,防止非法用户接入网络,并制定外部设备接入管理办法,通过填写外部设备接入记录来监控外部设备接入情况。

5)对互联网出口的安全检测

通过用户身份认证系统对互联网出口进行监控,外网通过认证系统进行认证,实现对外网流量信息的监控和审计,保障互联网出口的安全。

6)内网网络接口监控

通过网络边界防火墙进行网络接口流量监控,启用防火墙日志记录,并建立日志服务器,对日志可进行查看和跟踪分析等。

7)双网建设

加强外网管理,目前通过双网建设,内外网安全隔离100%。

8)防病毒部署

在内外网分别部署卡巴斯基防病毒网络版,在服务器和客户机进行安装,并通过服务器进行自动更新,内网病毒库更新每天通过专用U盘从外网服务器进行拷贝升级,保障内网病毒库的实时更新。建立防病毒系统日常维护记录,记录防病毒系统日常运行维护情况。

9)360安全卫士部署

在服务器和客户机分别部署360安全卫士,并通过360服务器进行自动升级补丁,实时漏洞扫描。

2.4 应用安全

通过注册安装桌面终端标准化管理系统,我们可以对内网用户桌面终端的异常和变更进行规范管理,包括对设备资产变化、设备使用人变更、终端访问异常、系统流量异常、违规软件使用、系统运行异常等进行审计分析,针对容易导致桌面终端受到安全攻击的操作行为和存在潜在安全风险进行统计等。

2.5 安全管理

1)制定健全的安全管理体制

结合同我局实际情况,制定如设备运行管理制度、设备缺陷管理制度、系统密码管理制度、信息机房值班管理制度等一系列安全管理制度。

2)增强人员的安全防范意识

经常对员工进行网络安全防范意识的培训,全面提高员工的整体网络安全防范意识。

3 结束语

信息安全问题涉及到国家安全和社会公共安全。随着计算机技术和通信技术的发展,计算机网络日益成为信息交换的重要手段,并且已经渗透到社会生活的各个领域。因此,发展信息安全技术是目前面临的迫切要求,只要我们结合实际工作、不断加强网络信息安全规范化管理力度,大力加强安全技术建设、清醒认识网络的脆弱性和潜在威胁,全面强化管理人员及使用人员的安全防范意识,积极采取有力的安全策略,完全可以筑起信息网络安全可靠的保障体系。