论文部分内容阅读
摘要:随着信息化建设的快速发展,计算机网络在提高公安、武警的执勤、处突能力和实现信息资源共享方面发挥了重要作用,极大地提高了办公效率,提升了信息传递、公文流转的响应速度,但由于网络规模越来越大,应用环境越来越复杂,网络信息的安全问题也日渐突出,也给信息化建设和应用带来了巨大的安全风险,本文结合网络应用情况,分析当前计算机网络信息系统安全存在的问题,提出加强网络信息安全的措施。
关键词:网络;安全风险;对策
一、影响计算机网络信息系统安全的主要因素
计算机网络所具有的开放性、互联性、连接方式的多样性及终端分布的不均匀性,为资源共享、用户使用提供了方便,但也正是因为这些特点,增加了网络信息系统的不安全性。虽然公安机关、武警等部门的网络建设根据各自的情况,也部署了安全防护设备,但由于网络技术本身存在的弱点以及一些人为的疏忽,计算机网络仍存在着许多不安全因素,结合具体使用情况,主要存在如下问题:
(一)网络系统存在隐患
一是物理设备存在隐患,主要包括设备的老化、被盗、恶意破坏、电磁信息泄漏、电磁干扰、电源掉电、服务器宕机、物理设备的自然损坏、软件意外失效等;二是网络结构存在隐患,从垂直管理的角度看,各业务部门的计算机主干網是建立在树状结构的综合通信网基础之上,一般除了主干的节点设备和线路采用了冗余方式外,在下一级的节点设备上,没有做冗余,各级节点之间也没有冗余的线路,一旦某个下级节点损坏或线路出现故障,就会造成到某一方向所有下一级部门的网络业务中断。
(二)安全意识不强、管理不善带来威胁
表现在有意或无意造成的一些人为失误,如配置不当、误操作、口令丢失、管理过于简单等。有的安全意识差,把一些重要信息放到网上,没有设置任何访问控制权限,造成信息资料被非法泄露、拷贝、篡改。有的未经许可将从互联网上下载的软件装入局域网内的计算机,造成来自互联网的病毒在局域网内大量传播蔓延。有的缺乏漏洞常识,不及时打补丁或是只打操作系统补丁,而没有及时更新应用软件补丁和升级版本,或是不看说明乱打补丁后带来新的问题。有的技术水平不高,对操作系统、应用软件和网络设备的配置管理不当而造成安全漏洞,如用户的权限设置过大、服务器打开的端口太多、未及时删除已离职人员的账号、将自己的账号随意转借别人或者与别人共享资源等。有的没有依据最小授权、高度容错的原则对防火墙和入侵检测系统进行设置,导致在节点设备的出口中经常有大量无用的数据包。
(三)来自内部用户的安全威胁
由于内部网的用户相对于外部用户来说,具有更便捷的条件了解网络结构、防护措施部署情况、业务运行模式以及访问内部网权限,而当前对于来自网络内部的安全攻击和误操作等行为缺乏有效的监控和预防手段,就使得来自内部用户的安全威胁远大于外网的威胁。防火墙、入侵检测等网络安全设备,可以对网络异常行为进行监测和管理,但对网络和信息的内容或者是获得正常授权内部访问行为则基本上不做监控。因此,面对授权的网络访问而导致的信息泄密事件、网络资源滥用行为,以及对内容、行为的监控管理缺失,其防火墙、入侵检测等传统设备是难以防范的。
内网面临的安全威胁主要来自于内网的用户终端,主要有以下一些表现形式:窃取传播违禁、机密的数据资料;非授权访问、使用网络资源;安装使用盗版软件或黑客软件,对内网的其他计算机构成安全威胁;在内外网之间交叉使用移动存储设备,造成内外网间接地交换数据;私自上互联网导致泄密;随意更改IP地址造成IP冲突;数据存储中的安全威胁;本地计算环境和数据应用中的其他安全威胁等。
二、加强计算机网络信息系统安全应采取的措施
(一)制定科学、合理的安全策略
运用P2DR模型的基本思想,综合各种安全技术(如防火墙、操作系统身份认证、加密等手段)对系统进行保护,同时利用检测工具(如漏洞评估、入侵检测等系统)来监视和评估系统的安全状态,并通过适当的响应机制将系统调整到相对“最安全”和“风险最低”状态。要加强机房、网络设备、通信线路、电源系统的安全管理,增加设备、线路的备份冗余,如在分支节点增加设备的备份,增加到主干线路的链路冗余,提高网络的安全防护能力,使网络自身免受自然灾害、人为破坏等影响。
(二)做好技防、人防工作
从技防的角度,完备入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制、防火墙控制等网络安全措施。同时,通过宣传教育和授课培训,增强使用人员网络信息安全意识和防范技术,明确信息网络系统各类人员的职责、权限,防止使用和维护的随意性,减少由操作失误造成对系统破坏的可能。
(三)加强内网用户的安全管理
与防范外网安全主要集中于边界部署不同,保障内网安全需要涉及的环节较多,如内网终端防护、流量和上网行为控制、监控审计、身份认证、信息加密等。加强内网的安全管理主要采取的措施:建立健全的内部规章制度,并严格贯彻执行;根据用户的不同级别和信息安全等级对信息访问权限进行设置,防止越权访问发生;加强内网的业务行为审计,即从传统的安全审计或网络审计转向对业务行为的审计;加强终端的合规性管理,即终端安全策略、文件策略和系统补丁的统一管理;加强对移动存储介质的管理。
(四)加强计算机病毒防治
采取防火墙等安全设备与防病毒软件相结合的方式进行,建立全方位的、多层次的病毒防范系统,借助目前使用的防病毒系统,不仅在服务器端安装防病毒软件,而且还要在网络上的每一个点都安装相应的防病毒产品,形成多层次的动态实时防护体系。除防病毒软件外,还应安装反间谍、反恶意程序软件系统,制定相应的防范预案,在发现病毒流行时,能够完成带毒设备的阻隔和分离,保证系统的正常运行。
网络信息安全问题是复杂的综合性工程,仅依靠简单的安全技术和单一的安全产品,无法满足网络的实际要求,需要在人员、技术和管理三方面加以综合考虑。同时,网络信息安全也是一个不断建设、不断加固的过程,是随着电子攻击技术的提高、信息系统的增多和重要性的增加而不断升级的过程。只有根据实际情况,在安全、性能、管理和经费投入之间寻找一个平衡点,才能有效实现计算机网络安全、高效、稳定的运行。
参考文献:
[1]刘远生.网络安全实用教程[M].北京:人民邮电出版社.2011,(04).
[2]云南省网络与信息安全通报中心.网络与信息安全情况通报.2019年第18期.
关键词:网络;安全风险;对策
一、影响计算机网络信息系统安全的主要因素
计算机网络所具有的开放性、互联性、连接方式的多样性及终端分布的不均匀性,为资源共享、用户使用提供了方便,但也正是因为这些特点,增加了网络信息系统的不安全性。虽然公安机关、武警等部门的网络建设根据各自的情况,也部署了安全防护设备,但由于网络技术本身存在的弱点以及一些人为的疏忽,计算机网络仍存在着许多不安全因素,结合具体使用情况,主要存在如下问题:
(一)网络系统存在隐患
一是物理设备存在隐患,主要包括设备的老化、被盗、恶意破坏、电磁信息泄漏、电磁干扰、电源掉电、服务器宕机、物理设备的自然损坏、软件意外失效等;二是网络结构存在隐患,从垂直管理的角度看,各业务部门的计算机主干網是建立在树状结构的综合通信网基础之上,一般除了主干的节点设备和线路采用了冗余方式外,在下一级的节点设备上,没有做冗余,各级节点之间也没有冗余的线路,一旦某个下级节点损坏或线路出现故障,就会造成到某一方向所有下一级部门的网络业务中断。
(二)安全意识不强、管理不善带来威胁
表现在有意或无意造成的一些人为失误,如配置不当、误操作、口令丢失、管理过于简单等。有的安全意识差,把一些重要信息放到网上,没有设置任何访问控制权限,造成信息资料被非法泄露、拷贝、篡改。有的未经许可将从互联网上下载的软件装入局域网内的计算机,造成来自互联网的病毒在局域网内大量传播蔓延。有的缺乏漏洞常识,不及时打补丁或是只打操作系统补丁,而没有及时更新应用软件补丁和升级版本,或是不看说明乱打补丁后带来新的问题。有的技术水平不高,对操作系统、应用软件和网络设备的配置管理不当而造成安全漏洞,如用户的权限设置过大、服务器打开的端口太多、未及时删除已离职人员的账号、将自己的账号随意转借别人或者与别人共享资源等。有的没有依据最小授权、高度容错的原则对防火墙和入侵检测系统进行设置,导致在节点设备的出口中经常有大量无用的数据包。
(三)来自内部用户的安全威胁
由于内部网的用户相对于外部用户来说,具有更便捷的条件了解网络结构、防护措施部署情况、业务运行模式以及访问内部网权限,而当前对于来自网络内部的安全攻击和误操作等行为缺乏有效的监控和预防手段,就使得来自内部用户的安全威胁远大于外网的威胁。防火墙、入侵检测等网络安全设备,可以对网络异常行为进行监测和管理,但对网络和信息的内容或者是获得正常授权内部访问行为则基本上不做监控。因此,面对授权的网络访问而导致的信息泄密事件、网络资源滥用行为,以及对内容、行为的监控管理缺失,其防火墙、入侵检测等传统设备是难以防范的。
内网面临的安全威胁主要来自于内网的用户终端,主要有以下一些表现形式:窃取传播违禁、机密的数据资料;非授权访问、使用网络资源;安装使用盗版软件或黑客软件,对内网的其他计算机构成安全威胁;在内外网之间交叉使用移动存储设备,造成内外网间接地交换数据;私自上互联网导致泄密;随意更改IP地址造成IP冲突;数据存储中的安全威胁;本地计算环境和数据应用中的其他安全威胁等。
二、加强计算机网络信息系统安全应采取的措施
(一)制定科学、合理的安全策略
运用P2DR模型的基本思想,综合各种安全技术(如防火墙、操作系统身份认证、加密等手段)对系统进行保护,同时利用检测工具(如漏洞评估、入侵检测等系统)来监视和评估系统的安全状态,并通过适当的响应机制将系统调整到相对“最安全”和“风险最低”状态。要加强机房、网络设备、通信线路、电源系统的安全管理,增加设备、线路的备份冗余,如在分支节点增加设备的备份,增加到主干线路的链路冗余,提高网络的安全防护能力,使网络自身免受自然灾害、人为破坏等影响。
(二)做好技防、人防工作
从技防的角度,完备入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制、防火墙控制等网络安全措施。同时,通过宣传教育和授课培训,增强使用人员网络信息安全意识和防范技术,明确信息网络系统各类人员的职责、权限,防止使用和维护的随意性,减少由操作失误造成对系统破坏的可能。
(三)加强内网用户的安全管理
与防范外网安全主要集中于边界部署不同,保障内网安全需要涉及的环节较多,如内网终端防护、流量和上网行为控制、监控审计、身份认证、信息加密等。加强内网的安全管理主要采取的措施:建立健全的内部规章制度,并严格贯彻执行;根据用户的不同级别和信息安全等级对信息访问权限进行设置,防止越权访问发生;加强内网的业务行为审计,即从传统的安全审计或网络审计转向对业务行为的审计;加强终端的合规性管理,即终端安全策略、文件策略和系统补丁的统一管理;加强对移动存储介质的管理。
(四)加强计算机病毒防治
采取防火墙等安全设备与防病毒软件相结合的方式进行,建立全方位的、多层次的病毒防范系统,借助目前使用的防病毒系统,不仅在服务器端安装防病毒软件,而且还要在网络上的每一个点都安装相应的防病毒产品,形成多层次的动态实时防护体系。除防病毒软件外,还应安装反间谍、反恶意程序软件系统,制定相应的防范预案,在发现病毒流行时,能够完成带毒设备的阻隔和分离,保证系统的正常运行。
网络信息安全问题是复杂的综合性工程,仅依靠简单的安全技术和单一的安全产品,无法满足网络的实际要求,需要在人员、技术和管理三方面加以综合考虑。同时,网络信息安全也是一个不断建设、不断加固的过程,是随着电子攻击技术的提高、信息系统的增多和重要性的增加而不断升级的过程。只有根据实际情况,在安全、性能、管理和经费投入之间寻找一个平衡点,才能有效实现计算机网络安全、高效、稳定的运行。
参考文献:
[1]刘远生.网络安全实用教程[M].北京:人民邮电出版社.2011,(04).
[2]云南省网络与信息安全通报中心.网络与信息安全情况通报.2019年第18期.