【关键词】 信息安全策略;实施;困难与对策
1 企业信息安全策略实施困难的原因
信息安全策略被制订出以后,最为重要的环节就是将其有效的实施。只有通过实施,才能对企业的信息安全起到积极作用。然而信息安全策略的实施不仅与其实施过程有关,而且与其制定有着密切的联系,因此笔者将导致信息策略实施困难的因素分为两大部分。
1.1 信息安全策略制定过程的影响
首先,制定人员选择困难。制定一个高效权威的信息安全策略不是一个简单的工作,信息安全策略的指定人员对策略的熟悉程度与接受性具有非常大的影响,信息安全策略的指定人员必须深刻的了解企业的生产、运营、文化与目标,且还要熟悉企业当前已有的信息安全策略与规则,制定人员还应熟悉国家相关法律法规,掌握信息安全策略的制定技巧。
此外,企业信息安全策略本身也是一种管理策略,因此,其制定须吸收企业各个岗位与层次的职工意见与工作需求,对于上市公司而言,信息安全策略的制定还需董事会与股东大会的统一以及律师的认可,以上苛刻的条件决定了信息安全策略指定人员选择的难度十分大,间接的影响了企业安全策略的实施。
其次,信息安全策略本身的原因。为了达到预期效果,使执行人员更好的了解和掌握,信息安全策略的内容必须具有易读性、易理解性,如果信息安全策略包含模糊或难以被理解的内容,就会给执行人员造成困扰,影响安全目标的实现。信息安全策略还应具有实用性,很多企业的信息安全策略制定后,并没有发挥其作用,而是被仍在角落里,发生信息安全事故时,处理人员的应对方式往往是根据自己的经验,而不是经细致研究后制定的信息安全策略,即使是一些规模较大的企业和部门,这种现场也十分常见。在实际信息系统中,安全威胁是的的确确存在的,只有增加信息安全策略的实用性与针对性,才能使其更好的发挥作用。信息安全策略的以上特点,也增加了其制定难度,最终影响到企业信息安全策略的实施。
1.2 信息安全策略实施过程中面临的困难
信息安全策略在实施过程中所面临的困难,主要可分为两个方面。
1.2.1社会环境因素
社会环境因素包括企业管理者的行为和企业职工之间的相互关系等。
首先,大部分企业的领导都将企业工作的重点放在企业的生产、收益和员工管理上,很少将信息安全作为衡量企业运行状况的重要指标,虽然很多企业都将创造安全工作环境作为提高企业领导水平和企业生产能力的关键指标,然而,很多企业却仅仅是将安全作为一个口号,没有真正的重视起来,使其成为一纸空文。
其次,企业领导的领导风格也是影响信息安全策略实施的重要因素,经调查发现,作风果敢干练的革命型领导者可以使下属对其安全承诺具有更强烈的认可与感知。
第三,企业的管理者与员工之间的信任度也是影响信息安全策略实施的重要因素,管理者的安全承诺也是企业成功的重要原因,很多企业的管理者对此都没有形成一个正确的认识,在企业中也没有充分向职工表达安全承诺,没有指定可靠的培训措施、安全的生产政策与生产目标,导致上行下效,企业中没有形成重视信息安全的氛围,为信息安全策略的实施增加了很大的困难。
第四,员工之间的相互关系也是影响企业安全的重要原因,一个充满凝聚力的群体更容易严格遵守信息安全策略的规范。
1.2.2员工的自我效能感较差
自我效能感并非是职工的工作技能,也不代表他的真实能力,而是个体对于自己对完成任务能力的评价。如果一个员工不相信自己的能力,那就不会表现出胜任行为。在实际工作中,很多员工对工作都是抱着完成任务的心理,没有充分地调动起自己对工作的积极性,很多信息安全策略的执行人员对自己工作的重视程度也不够,认为自己的工作不能带来直接的收益,受这种思想的指导,在施行企业信息安全策略时,也只是懒懒散散的去敷衍,而非真正的将工作落到实处,而企业中的普通职工,信息安全意识更多的是受到其执行人员的影响,执行人员没有将工作当重点来抓,对信息安全策略的推行模棱两可,导致普通职工也没有将这项工作放在重点位置,而将其当做一个形式,在信息安全策略的推广上,职工的工作能力与工作价值没有得到充分的体现,形成一个懒懒散散的安全环境,最终阻碍了信息安全策略的落实,为企业的信息安全与健康发展埋下了隐患。
2 如何保障企业信息安全策略的实施
2.1 严格筛选制定企业信息安全策略的人员
对于小型企业来说,企业的技术负责人可以兼任信息安全策略的制定者,而对于大型企业,则应成立专门的工作小组来但当信息安全策略的制定者,这个专门的小组应由多方人员构成,其主要任务就是制定并实施企业信息安全策略,还应负责策略的评估与修订。
此外,企业的管理层还应指派一位企业领导来指导和协调此工作小组的工作,以显示企业对信息安全策略的重视程度。信息安全策略作为企业管理策略的重要组成部分,需要企业各级管理层的积极参与,技术人员和安全人员能够提供良好的技术支持,尤为重要。由于信息安全策略对企业的发展有重大影响,因此,企业的业务人员也应积极参加。
如此,信息安全策略制定小组就能够充分的听取各方意见,以保证信息安全策略的科学制定与实施效果最大程度的接近预期目标。如果企业已上市,则还开董事与股东大会,对已制定的信息安全策略措施、制度进行表决,经董事会与股东大会同意后,还应倾听企业律师与员工代表的建议,保证信息安全策略符合相关法律法规的规定,并借助普通职工的力量,寻找策略中的不足,增强其可信性,使企业信息安全策略能够有序的自上而下的推行,影响企业人员的行为。只有充分尊重并收集企业各个层次的员工与领导层的意见,才能在策略的制定与实施中受到良好的效果。
2.2 保证信息安全策略的可行性
信息安全策略应具有的两大特征为可读性与实用性,因此,企业信息安全策略的制定应始终围绕这两大特点来进行。
首先,应加强资料搜集与调研中作,很多时候,因为工序复杂和操作难度较大等原因,该步骤都被一定程度上简化。然而,资料收集不全面,调研工作不充分将导致信息安全策略的制定与企业实际的安全需求相一致,也无法与企业的管理目标相契合,导致信息安全策略的可读性下降。
其次,还应做好信息安全策略的评审,信息安全策略的制定具有很高的政策性,评审小组一般由各级管理部门、普通职工、技术、安全人员组成,在信息安全策略的制定过程中进行评审,使其能够更加简洁与清晰,增加其可读性,为其以后的实施奠定基础。
第三,增加信息安全策略的实用性,分析企业内部的信息结构,信息安全策略的制定应与之相适应,使信息安全策略的实施能够符合企业的组织结构特点,在企业发生安全事故时,能够在信息安全策略中找到足够的依据来处理发生的问题。
2.3 有效的实施企业信息安全策略
首先,企业管理者应充分重视信息安全策略的实施,并给与充足的制度、外力支持,由于信息安全策略的实施会给员工与部门带来额外的工作,却无法直接带来好处,很多员工对此都有抵触情绪,因此高层领导的支持能够使策略实施的阻力大为减小,只有领导层重视了,才能引起下属职工的重视。
其次,加大推广力度,指派专门的信息安全策略负责人员,明确其责任,也让员工明白遇到问题时该由谁负责和解决。还应加大培训力度,将信息安全策略于内部网络,或制成条幅悬挂,使员工在日常工作中就能潜移默化的被策略所影响,还可以制作相关的影音文件,使员工能够更加方便的学习,针对不同的对象制定与之相适应的培训方针。
参考文献
[1] 吕韩飞,王钧.信息安全策略实施困难的原因与对策[J].浙江海洋学院学报(自然科学版),2011(03).
[2] 裴毅.高校数字图书馆信息安全管理研究[J].安徽科技学院学报, 2009(05).
[3] 翟雪荣,刘志刚,卞春.信息系统信息安全风险管理的发展趋势分析[J].农业网络信息,2007(12).
作者简介:
关键词:活动目录;域网络技术
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)11-2514-03
近年来,随着计算机网络技术的发展,企业网中各种网络应用不断扩展。当前,在企业的日常工作过程中,有越来越多的工作和流程是可以通过企业网络来简化并提高效率。很多企业纷纷在企业局域网基础上建立企业网络系统,实现办公的自动化和无纸化,大大提高了办公效率,提升了企业网络应用的水平。基于工作组模式的企业办公网络虽然建立步骤简单,使用起来也很好上手,但是随着网络应用的深入,在网络管理方面的各种问题也日益突出。
1 企业网络的现状
目前很多企业办公网络系统的运行仍然基于早期的对等网或工作组模式,因为没有对企业办公网络系统中的计算机进行有效的集中化管理,使得企业办公网络存在比较大的安全风险和管理缺陷,对企业网络中计算机操作无法进行有效控制,一定程度上限制了企业办公网络的进一步应用。
2 利用域网络技术实现企业办公网络优化管理
2.1 利用域网络技术实现企业集中化管理
基于工作组管理模式的企业办公网络已经不能完全满足现有的企业办公的应用需求,为了提高企业办公网络的管理和应用水平,有必要在网络中采用一种集中化的网络管理模式,对网络中的计算机进行更高效的管理,提高企业办公网络的安全性和资源的集中管理与控制。Windows server 2003 企业版的ActiveDirectory 和域控制器就具备这样的网络功能。( 见图1)
2.1.1 活动目录(Active Directory), 域和域控制器
活动目录是Windows网络中的目录服务,有两方面内容:目录和与目录相关的服务。
1)目录其实是一个目录数据库
2)活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问。既提高了管理效率,又使网络应用更加方便。
域是在Windows NT/2000/2003网络环境中组建客户机/服务器网络的实现方式。所谓域,是由网络管理员定义的一组计算机集合,实际上就是一个网络。在这个网络中,至少有一台称为域控制器的计算机,充当服务器角色。
在一台Windows server 2003计算机上安装了Active Directory后,计算机就成了域控制器,域网络的最大特点就是可以实现用户、计算机等对象账户,以及网络安全策略的集中管理和部署。
2.1.2 Active Directory 和域控制器的应用
在办公网络中安装域控制器,要在企业办公网络实现和提供目录服务,就需要在网络中指定一台性能较高,物理存放位置较安全的计算机作为当前办公网络的域控制器。使用Windowsserver 2003 企业版的"Active Directory安装向导"可安装和配置域控制器(也可运行dcpromo命令安装)。可以使用"Active Directory安装向导"在指定计算机上上安装Active Directory。( 见图2)
2.1.3 网络的集中化管理
因为域网络可以实现在一台服务器上对用户/计算机账户和安全策略的集中管理,对于管理员来说,就可以更方便地管理整个网络的用户账户(包括用户账户权限和权利)和安全策略。而不必分别到各用户计算机上分别配置。这对于网络规模较大的网络来说,优势更加明显。所以说,一般来说,域网络比较适用于较大型的网络,但也不是从性能上来考虑的。
例如: 可以在域安全策略中设置域用户帐户的密码策略, 确保所有域用户设置的密码具有一定复杂性, 在非法用户试图探测域用户密码时, 可以限制密码的重输次数, 超过指定次数锁定帐户, 避免非法用户的攻击。在一个工作组模式的网络中, 本地用户可以随意地更改或设置自己的桌面应用环境, 并且用户从不同的计算机中登录就有不同的桌面应用环境, 导致企业网络中各计算机桌面风格各异, 不利于办公网络环境的一致性设置。在包含域控制器的办公网络中可以通过给域用户帐户设置漫游的用户配置文件,同时在组策略中限制域用户对桌面环境的修改, 可以保证用户登录域以后具有统一的桌面风格, 并且在不同的位置用同一域帐户登录域将有一致的桌面应用环境, 较好地实现工作的连续性。通过在域控制器中设置组策略, 可以影响整个域的工作环境, 同时可以降低布置用户和计算机环境的总体费用, 并且可以在指定网络区域中推行本校使用计算机的统一规范, 包括桌面环境规范和计算机安全策略设置等( 见图3域安全策略,图4组策略编辑器) 。
在域中创建的组策略设置包含在组策略对象(GPO) 中。通过将GPO 与所选的ActiveDirectory 系统容器- 站点、域和组织单位相关联,可以将GPO 策略设置应用于那些Active Directory容器中的用户和计算机。例如:网络管理员可以企业网络域中设置企业GPO,并且打开组策略编辑器,选择阻止更改墙纸,可以限制所有登录到本域的成员计算机对计算机桌面墙纸进行修改。在企业办公网络中,一些用户可能会频繁地进行软件安装、升级、删除等操作,庞大工作量,以及由此可能产生的安全问题一直都是令网络管理员疲于应付。通过在域中使用组策略对象GPO 的软件分发策略,还可以实现对域中所有计算机的软件管理,减少管理员在域中计算机上安装软件的工作量并且降低软件安装、更新、删除过程中出错的可能性。在企业办公网络中如果有很多共享文件夹分布在网络中的多台服务器上,网络用户在访问这些共享文件资源时需要在多台计算机上进行查找,而在一个域中创建的分布式文件系统DFS 能很好地实现了资源的分散存放和集中管理,同时减轻了用户记忆许多共享文件夹的困难,大大方便了企业网络中资源库的建设与应用。
3 利用域网络技术实现网络安全
3.1 网络用户接入及登录的限制。
实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,就可以访问共享资源,如共享ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。
在“域”模式下,至少有一台服务器负责每一入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。
想把一台电脑加入域,仅仅使它和服务器在“网上邻居”能够相互看到是远远不够的,必须要由网络管理员进行把这台电脑加入域的相关操作。操作过程由服务器端设置和客户端设置构成。
1) 服务器端设置
以系统管理员身份在已经设置好Active Directory(活动目录)的Windows 2000 Server上登录,点击“开始/程序/管理工具/Active Directory用户和计算机”,在程序界面中右击“computers”(计算机),在弹出的菜单中单击“新建/计算机”,填入想要加入域的计算机名即可。要加入域的计算机名最好为英文,否则系统会提示中文计算机名可能会引起一些问题。
2) 客户端设置
首先要确认计算机名称是否正确,然后在桌面“网上邻居”上右击鼠标,点击“属性”出现网络属性设置窗口,确认“主网络登录”为“Microsoft网络用户”。
选中窗口上方的“Microsoft网络用户”(如果没有此项,说明没有安装,点击[添加]安装“Microsoft网络用户”项)。点击[属性]按钮,出现“Microsoft网络用户 属性”对话框,选中“登录到Windows NT域”复选框,在“Windows NT域”中输入要登录的域名。
Windows 98会提示需要重新启动计算机,重新启动后,会出现一个登录对话框。在输入正确的域用户账号、密码以及登录域之后,就可以使用Windows 2000 Server域中的资源了。请注意,这里的域用户账号和密码,必须是网络管理员为用户建的那个账号和密码,而不是由本机用户自己创建的账号和密码。如果没有将计算机加入域,或者登录的域名、用户名、密码有一项不正确,就会出现错误信息
3.2 实现了办公网络资源的授权访问
在域网络中,域账户和安全策略可以有多级,最小的安全策略边界是域中的“组织单位”(OU),最大的安全边界是林;而用户账户可以是子域中的,也可以是父域中的。不同安全级别的配置应用是按照先本地,后域的规则进行的。在域层次中,则是按照精确度由低到高的顺序进行应用的。而最后应用的级别最高。如组策略的应用顺序是:本地组策略站点组策略域组策略子域组策略组织单位组策略。
因为存在多级账户和安全策略,所以在域网络中存在一个信任关系。也就是一个域可以与同一林中的其他域建立单向或者双向信任关系,不同林之间也可以建立单向或者双向信任关系。这样一来,就可以实现单向或者双向访问的目的。
所有企业VLAN 中的办公电脑都可以登陆到当前办公网络的域控制器, 同时可以配置办公网络中相关网络服务如: 文件服务器, 打印服务器, DNS 服务器, 邮件服务器等基于域用户帐户提供服务。创建了域控制器后, 我们就可以在活动目录中为企业网络的用户创建登录域的域用户账户了, 通过域用户帐户能够实现"单一账号单录, 普遍资源访问"。同时通过设置域安全策略, 既可以保证不让非法接入网络的用户访问企业网络的网络资源, 又能让本校合法用户根据他们实际具有的域访问权限对企业办公网络的资源进行访问, 较好实现了办公网络资源的授权访问和网络安全风险的控制。
4 需要注意的问题
虽然在企业办公网络管理中, 相对于工作组管理模式, 域的集中管理模式有着巨大的优势, 但也有其不足之处,网络性能较低。因为在域网络中的用户账户和安全策略都是在网络中的服务器上进行统一部署的,而且域网络中可能存在多级安全策略,所以用户在登录和进行网络访问时的性能不如工作组网络,存在一定的延时,特别是在大的域网络,或者安全策略配置复杂(安全级别太多,采用的安全通信协议太多,安全策略设置启用太多等)、安全策略配置不合理(如存在许多冲突设置项)的域网络中表现尤其突出。
5 小结
作个比较工作组就象是免费的旅馆,而域则象是一个星级宾馆。工作组中客户机可以随便出入工作组并且访问网络共享资源,而在域中需要DC的验证才能加入这个域中。
企业网络现有的工作组管理方式,虽然比较简单,易于实现,但是在网络权限分配、资源管理和网络安全控制等方面存在较大问题,而在企业网络中引入域控制器,进而采用域的方式对网络进行集中化管理,较好地解决了工作组网络中存在的问题。当然在使用域控制器的过程中也需要注意域控制器本身的安全,并且对域用户帐户及域安全策略进行合理定义,确保办公网络用户对网络资源的访问。
参考文献:
[1] 北大青鸟信息技术公司.Windows系统管理[M],2007.
[2] 平寒,杨云.网络服务器搭建、配置与管理项目实训―Windows Server[M]. 北京:清华大学出版社,2010.
[3] 微软技术支持网站[DB/Ol].http:/ /.china/ technet_,2007.
【关键词】高校 网络安全 策略制定 管理
高校网络建设,通常包括校园网络基础设施建设和网络应用系统建设两个方面。目前高校中超过90%的业务系统都依托于网络,这些业务系统包括且不限于办公自动化系统、教务管理系统、学生管理系统、校园“一卡通”系统、邮件系统等。保障高校的网络安全(含软硬件),保障各依托于网络的业务系统正常运作,有利于保障学校教学、科研和管理的顺利开展,;有利于保证高校日常的师生生活管理和工作管理;有利于避免师生上网安全、校方的知识产权、技术行业秘密的损失与泄露。下面,笔者结合多年的网络安全工作经验来探讨和分析高校网络安全策略的制定与管理。
1 对网络安全策略的理解误区
1.1 网络安全策略应尽可能详细
一般的网络安全管理人员会觉得安全策略制定要尽可能详细,所以将网络安全策略制定的十分详细。这样会使得策略的针对性太强,会产生工作人员必须把大部分精力放在网络安全问题上,而对高校网络和应用系统的正常运转产生不良的影响。
1.2 认为制定一次网络安全策略可以享有终生
随着网络技术的不断的变化发展,网络安全策略也需要不断的更新、变化才能产生实际的安全效果。那种传统的制定出一种安全管理策略就可以使用终生的策略会对高校产生误导,造成现实中的损失。所以一定要重视网络安全策略的时效性。
1.3 网络安全策略是个技术问题
有很多的领导由于对于网络安全策略不是十分了解,会把它误认为是纯关于技术方面的问题,是网络安全技术人员需要关心的问题。这是一种认识上的常见的误区。网络安全策略是为了保障网络和依托于网络的各类应用系统的安全性进行的总体指导原则,网络安全策略只是一个大体上的方法不是具体的维护技术措施,所以网络安全策略在实施过程中需要整个流程的相关工作人员都积极的配合,才能够有效的保障高校网络安全。
2 高校网络安全策略制定应遵循的原则
2.1 可靠性设计原则
高校的网络安全策略制定首先要遵循的就是可靠性设计原则。由于高校网络中包含着大量的网络应用系统,而这些应用系统中包含了大量的师生个人信息,学校相关的知识信息,大型仪器设备信息以及师生的项目、资金信息等,因此,对于网络安全策略的设计一定要安全可靠,否则会产生较严重的损失。
2.2 整体性设计原则
整体性设计原则是指对于高校网络安全策略的制定要统筹全局,不能以偏概全。整体性的设计原则有利于全方位地针对各种不同的威胁和脆弱性制定相应的管理策略。
2.3 动态化设计原则
动态化设计原则是指在高校网络安全策略制定过程中,要针对不断发展变化的现实情况进行策略的相应调整,以不断适应新的环境下的新需要。网络安全策略的制定不是一劳永逸的。
3 制定切合实际的安全管理策略
高校校园网络是学校、教师、学生三方进行教育教学、事务管理、科学研究、资费缴纳以及日常生活各项事务处理的一个具有涵盖内容多,涉及范围广,接入方式多样化特征的网络系统。网络安全策略实施的重点是通过对网络基础设施和各类网络应用系统的管理来实现网络安全。通过网络安全策略可以明确各业务部门的职责及发生安全问题后的处理方法,为网络基础设施和网络信息系统的维护提供可靠的依据。
3.1 制定网络安全策略需要注意的事项
制定网络安全策略需要注意以下几点:第一,制定网络安全策略需要根据高校的实际情况。一般需要制定多个安全管理策略,以适应全校和各类业务系统或应用服务的具体情况。第二,制定网络安全策略之后需要对网络安全管理人员进行培训,使其全面的了解制定策略的每个细节和应当注意的事项,以便将培训内容更好的落实到实际管理之中。第三,安全管理人员要根据高校的实际情况和网络安全策略的要求,制定出具体的、可行的安全管理的标准和规范。
3.2 网络安全策略的制定过程
3.2.1 基本信息的收集
基本信息的收集,分两个层面,一是,包括网络基础设施设备和网络基本结构信息的收集,包含网络物理与逻辑结构;二是,包括全校范围内各业务部门网络应用系统和应用平台、应用服务的基本信息,包括备案基本情况、系统基本情况等。
3.2.2 对现有策略、流程的检查
高校现有的网络安全策略和管理流程反映网络安全管理的实际情况,检查现有的策略、流程之后,可以得到一些有用的信息,为下一步网络安全策略的制定提供数据支持和指引。
3.2.3 安全需求和风险评估分析
一方面应全面了解整体的网络安全需求,并对收集的信息进行有效的评定和描述,给出预期策略制定目标;另一方面,在条件许可的情况下,对网络基础设施(包含硬件设施和设备)和各类网络应用系统进行潜在风险或隐患检查和测试,根据风险自评估情况,制定出适合的网络安全管理策略。
4 现阶段高校网络安全的管理策略
现阶段高校的网络安全管理策略的建立与管理,要从以下三个方面入手:
首先,需要强化网络安全意识,意识是否到位,是一个高校网络安全管理策略能否有效实施的关键之一。
其次,要配套制定相关的规章制度和管理流程;
第三,要结合高校实际,分别从“网络安全”、“应用安全”、“系统安全”等多个层面入手,采取各种有效措施。
(1)采取入网控制、资源访问控制:使用防火墙,实名认证、授权访问(身份识别、口令管理、数字签名);
(2)启用日志记录(最短保留30天,最长保留60天,时长根据需要调整);
(3)网络监测和端口安全控制;
(4)安全协议与安全连接;
(5)病毒防范与动态安全管理;
(6)数据安全性保障,如:完整性、不可否认性、防止非法用户修改、删除重要信息或破坏数据等;
(7)灾难预防与系统恢复(数据备份与恢复)。
5 总结
综上所述,对于高校的网络安全管理策略的建立与管理,要分别从“网络安全”、“应用安全”、“系统安全”等多个层面入手,采取各种有效措施,合理配置,综合管理。最后,还要加强网络技术的的开发与应用。一个有效的安全防范体系,应该以安全管理策略为核心,以安全技术为支撑,以安全管理为落实。
参考文献
[1]张凯丽,马佳杰,童立媛.论计算机信息系统的安全管理策略[J].中国信息安全,2010(12).
[2]张胜.如何制定计算机信息系统安全策略[J].信息安全与通信保密,2012.
1 对网络安全策略的理解误区
1.1 网络安全策略应尽可能详细
一般的网络安全管理人员会觉得安全策略制定要尽可能详细,所以将网络安全策略制定的十分详细。这样会使得策略的针对性太强,会产生工作人员必须把大部分精力放在网络安全问题上,而对高校网络和应用系统的正常运转产生不良的影响。
1.2 认为制定一次网络安全策略可以享有终生
随着网络技术的不断的变化发展,网络安全策略也需要不断的更新、变化才能产生实际的安全效果。那种传统的制定出一种安全管理策略就可以使用终生的策略会对高校产生误导,造成现实中的损失。所以一定要重视网络安全策略的时效性。
1.3 网络安全策略是个技术问题
有很多的领导由于对于网络安全策略不是十分了解,会把它误认为是纯关于技术方面的问题,是网络安全技术人员需要关心的问题。这是一种认识上的常见的误区。网络安全策略是为了保障网络和依托于网络的各类应用系统的安全性进行的总体指导原则,网络安全策略只是一个大体上的方法不是具体的维护技术措施,所以网络安全策略在实施过程中需要整个流程的相关工作人员都积极的配合,才能够有效的保障高校网络安全。
2 高校网络安全策略制定应遵循的原则
2.1 可靠性设计原则
高校的网络安全策略制定首先要遵循的就是可靠性设计原则。由于高校网络中包含着大量的网络应用系统,而这些应用系统中包含了大量的师生个人信息,学校相关的知识信息,大型仪器设备信息以及师生的项目、资金信息等,因此,对于网络安全策略的设计一定要安全可靠,否则会产生较严重的损失。
2.2 整体性设计原则
整体性设计原则是指对于高校网络安全策略的制定要统筹全局,不能以偏概全。整体性的设计原则有利于全方位地针对各种不同的威胁和脆弱性制定相应的管理策略。
2.3 动态化设计原则
动态化设计原则是指在高校网络安全策略制定过程中,要针对不断发展变化的现实情况进行策略的相应调整,以不断适应新的环境下的新需要。网络安全策略的制定不是一劳永逸的。
3 制定切合实际的安全管理策略
高校校园网络是学校、教师、学生三方进行教育教学、事务管理、科学研究、资费缴纳以及日常生活各项事务处理的一个具有涵盖内容多,涉及范围广,接入方式多样化特征的网络系统。网络安全策略实施的重点是通过对网络基础设施和各类网络应用系统的管理来实现网络安全。通过网络安全策略可以明确各业务部门的职责及发生安全问题后的处理方法,为网络基础设施和网络信息系统的维护提供可靠的依据。
3.1 制定网络安全策略需要注意的事项
制定网络安全策略需要注意以下几点:第一,制定网络安全策略需要根据高校的实际情况。一般需要制定多个安全管理策略,以适应全校和各类业务系统或应用服务的具体情况。第二,制定网络安全策略之后需要对网络安全管理人员进行培训,使其全面的了解制定策略的每个细节和应当注意的事项,以便将培训内容更好的落实到实际管理之中。第三,安全管理人员要根据高校的实际情况和网络安全策略的要求,制定出具体的、可行的安全管理的标准和规范。
3.2 网络安全策略的制定过程
3.2.1 基本信息的收集
基本信息的收集,分两个层面,一是,包括网络基础设施设备和网络基本结构信息的收集,包含网络物理与逻辑结构;二是,包括全校范围内各业务部门网络应用系统和应用平台、应用服务的基本信息,包括备案基本情况、系统基本情况等。
3.2.2 对现有策略、流程的检查
高校现有的网络安全策略和管理流程反映网络安全管理的实际情况,检查现有的策略、流程之后,可以得到一些有用的信息,为下一步网络安全策略的制定提供数据支持和指引。
3.2.3 安全需求和风险评估分析
一方面应全面了解整体的网络安全需求,并对收集的信息进行有效的评定和描述,给出预期策略制定目标;另一方面,在条件许可的情况下,对网络基础设施(包含硬件设施和设备)和各类网络应用系统进行潜在风险或隐患检查和测试,根据风险自评估情况,制定出适合的网络安全管理策略。
4 现阶段高校网络安全的管理策略
现阶段高校的网络安全管理策略的建立与管理,要从以下三个方面入手:
首先,需要强化网络安全意识,意识是否到位,是一个高校网络安全管理策略能否有效实施的关键之一。
其次,要配套制定相关的规章制度和管理流程;
第三,要结合高校实际,分别从“网络安全”、“应用安全”、“系统安全”等多个层面入手,采取各种有效措施。
(1)采取入网控制、资源访问控制:使用防火墙,实名认证、授权访问(身份识别、口令管理、数字签名);
(2)启用日志记录(最短保留30天,最长保留60天,时长根据需要调整);
(3)网络监测和端口安全控制;
(4)安全协议与安全连接;
(5)病毒防范与动态安全管理;
(6)数据安全性保障,如:完整性、不可否认性、防止非法用户修改、删除重要信息或破坏数据等;
(7)灾难预防与系统恢复(数据备份与恢复)。
Abstract: Aiming at the network security architecture, make a research and analysis; based on expounding the network security architecture, introduce the content of network security architecture design, and ensure the network security, so as to provide a more stable service for people.
关键词: 网络安全;结构体系;设计要点
Key words: network security;structural system;design points
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2017)03-0080-02
0 引言
信息技术的快速发展,使计算机网络的连接形式变得更加多样化,而网络本身又具有开放性和互联性,终端的分布具有不均匀性,在这样的背景之下,计算机网络在具体运行过程中容易遭受黑客攻击,不仅会影响用于在具体应用过程中的安全性,而且会导致用户的信息发生泄漏,并且会伴随着较为严重的经济损失,因此构建网络安全体系势在必行。
1 网络安全体系结构
一般来说,网络安全体系设计过程分为以下四步:①网络安全策略定义。②网络安全需求分析。③网络安全设计。④网络安全实现。设计模型图如图1所示。
从现代网络的具体应用情况来看,从高级安全需求分析渗入到具体执行上,两者之间存在的一定差距[1]。从高级策略不断发展,最终形成了一个结构和功能复杂的系统,部分组件可能会呈现出不一定特性,将会引起错误的执行需要的安全策略,引起危险的失误和安全漏洞。
1.1 安全策略定义
详细的描述安全策略定义,该过程中的最终目的是能够为网络的正常使用提供有效的支持,同时需要相关研究人员注意的是,在分析网络安全系统过程中,应当与其领域的科学结合,从而使其适应性能够得到进一步提高。例如,操作安全、人员安全、物理安全、社会机制等多项内容。该过程通常依据对企业中存在的风险进行分析,并且需要将高级安全策略和控制作为整个操作的主要依据,最后通过自然语言描述控制文档和网络安全,这也就是我们常说的高级安全策略。
1.2 安全需求分析
安全需求分析是网络安全体系结构设计的第二步,其是上一步高级安全策略形式内容的具体描述。通过大量的实践可以发现,通过形式化完成对高级安全策略的具体描述可以具有诸多优点,主要体现在以下几个方面:通过分析可以全面细致的完成对冲突的检查,同时也可以将高级策略中的模糊描述消除[2]。曾有学者提出,通过行形式化方法对高级安全策略进行处理,并且取得了不错的效果。
2 网络安全设计的具体内容
2.1 设计的目标
现代网络的快速发展与应用,一方面使人们的生活和工作变得更加便利,另一方面也增加了安全隐患,人们在生活与工作中利用网络的同时必须加强对安全问题的思考。随着人们网络安全意识的不断提升,人们在应用网络中,加强了对网络安全设计的研究与分析。
2.2 体系结构设计
安全体系的构建要依据安全需求的具体情况而定,只有这样才能使最终所设计的系统与实际情况相符。在设计过程中,依据OSI模型中各个层之间存在的依赖性,安全方面的需求,从逻辑角度出发,科学的将安全内容细致的分到不同层中。具体内容如下:
①物理层:该层在信息安全上存在的问题主要集中在,物理通量受到非法窃停和干扰等,从而会对物理层的性能造成不良影响。
②链路层:该层的主要作用是确保通过链路层所传送的信息,在传送过程中不会受到外界的截取。在具体操作过程中采用方式为划分局域网、远程网等手段[3]。
③网络层:该层的作用是避免网络服务被非法人员使用,通过网络层的有效控制,使得只有授权的客户才能够享受到相应的服务,通过该方式可以确保网络路由的正确性,提供了网络层的安全性,有效地避免了数据被监听。操作系统,保证资料和访问控制的安全性,同时在操作过程中,要对系统中涉及到的内容进行审计,审计工作要依据相关的标准进行,确保最终审计结果的合理性,有效地避免安全问题的发生。
④应用平台与应用系统。前者指的是应用软件服务,目前比较常见的有数据库、电子邮件服务器等,通过分析不难发现,应用平台中的系统的结构复杂,应用相对说比较繁琐,为了提高应用平台的安全性,通过需要通过多种技术完成,比较常见的技术有SSL;后者的作用就是为用户服务,系统的安全与设计实现两者之间的联系十分紧密。通过科学的方式应用系统,能够为应用平台提供全服务得到相应的保护。
2.3 安全策略的设计与实现
安全策略的设计与实现是网络安全体系结构设计过程中的第一步,该过程的主要目的是确定科学的安全策略。但是,在具体应用中,受各方面因素的影响,计算机网络配置与部门两项内容在具体操作过程中会发生改变,而这种改变通常都是不可控和不可预知的,这也就直接导致了安全需求也会发生改变,并且该变化通常都比较明显,会引起一系列的变化。由此可以判断,网络安全自身并不是静止不变的,因此要不断调整和完善安全策略内容。企业在具体运用过程中要想获取理想的经济收益,就必须要确保具有一个科学的安全策略,并且要按照规范的要求执行。安全策略在企业中的应用,需要能够全面、清楚识别存在风险的资源,并且要依据企业和其所处的具体环境给出合理的环节威胁的具体方法。该策略的核心问题是对系统中的哪一个用户可以访问哪一种资源进行定义,从而避免资源被非法访问而引发安全问题[4]。需要注意的是,需要做好对审计跟踪用户进行定义,同时需要帮助用户对出现的伤害进行识别,并且要及时做出相应的响应,避免危害进一步扩大,造成更大的影响。
安全策略管理要需要包含所有的安全组件。例如,路由器、访问列表、防火墙等,从而构建网络安全策略管理实现的实现模型。目前,网络安全策略管理实现的模型以IETF安全体系框架中的RFC275策略管理为基础,该模型策略管理的应用十分广泛,在整个网络中都所有分布。现阶段,适合所有用户的有网络安全层以及服务网络安全层。策略管理包括的功能有以下几点:策略实现点、策略决定点、策略仓库。网络策略中的每一项信息点都应被存储在策略仓库中,完成对计算机以及网络用户各项内容的研究与分析,各项内容的执行都应当在仓库内完成,确保执行结果的合理性。
策略服务器与策略决定点两者都是对网络进行抽象,成为策略控制信息,再将信息传递给策略执行点。策略实现点接受PAPs中的策略,作为网络或安全设备。公共开放策略服务以TCP作为基础协议进行应答,从而完成PEPs和PDP两者之间策略信息的交换。
3 网络安全的实现
网络安全体系结构中,安全管理运的工作站和服务器上,对网络辅助级和网络及的上的安全,通过对应用级的安全管理来实现。在网络操作者中存在一些身份较为特殊的用户,这些用户的认证主体和授权程序都更为严格。因此,管理人员在具体操作过程中具有更大的功能权限和访问授权,因此为了确保一切操作的安全性,他们的行为和访问等操作都必须要安全,从而确保网络的性能、配置以及存活能力都能够达到要求标准。通过大量实践经验可以发现,企业的网络管理系统的开放性和集中性越高,安全管理的需求也就越急迫[5]。安全网络管理是一个整体方法,网络安全体系结构包含多个领域。在具体操作过程中,记录安全行为对用户以及管理员在网络结构的各项行为都有着严格的要求。
为了确保操作的合理性,网络操作者认证需要在集中管理和执行口令的基础上完成,确保没有获得授权的用户无法访问系统,通过这一方式有效地避免了非法访问的出现。网络操作者授权通过已经认证的身份对用户的访问权限进行认证,判断得到授权的用户可以在系统中的对哪些内容进行访问,实现何种功能。网络管理事物加密起到的作用就是保护网络管理数据的机密性,避免数据被非法人员盗取,通过加密能够对外部和内部都提供高度保护,从而确保网络体系结构的安全。操作者安全远程访问:对IPsec进行合理应用,提供一个VPN,这是一种强制性的解决方案,通过该方案可以为远程操作者提供科学的加密和认证。利用防火墙和VLANs将网络分离开,在管理上要分开进行。在应用通过入侵检测系统锁构成的管理服务器,通过提出管理员存在的不安因素(例如,在运行过程中,服务其妥协和拒绝服务袭击),完成对网络的保护操作。
网络安全体系实现的实例如下:某企业为了确保企业中网络安全采取了以下措施:①构建防火墙。在网关上安装防火墙,分组过滤和ip伪装,监视网络内外的通信,全面掌握企业网络情况。②采用身份验证技术。针对企业中的不同用户设定了不同的访问权限,并且定期对用户的权限进行检查,避免非法访问。③入侵检测技术。④口令管理。每个用户设置口令,定义口令存活期。⑤病毒防护安装杀毒软件,及时查杀服务器和终端;限制共享目录及读写权限;限制网上下载和盗版软件使用。⑤系统管理,及时下载安装系统补丁;设置开机口令;设置屏保口令;删除不用账户。该企业通过以上方式,构建了网络安全体系,确保了企业中网络的安全性。
4 结束语
网络安全体系结构的设计与实现对用户使用网络的安全性会产生直接影响,同时也会对计算机网络安全的健康发展造成影响。在提出网络安全系统设计框架基础上,对网络安全的设计问题进行详细划分,提出了安全体系结构模型和策略管理执行模型的设计与实现。最后合理地将安全体系结构、安全策略管理的实现与网络机制结合,确保了高级安全策略向网络安全机制的合理过渡,推动了网络的健康发展。同时,本文也为网络安全体系结构的设计与实现指明了方向。
参考文献:
[1]梁树军,李玉华,尚展垒.基于访问控制技术的网络安全体系结构研究与设计[J].网络安全技术与应用,2016(05):23-24.
[2]姜红军.金保工程信息网络安全保障体系设计与实现[J]. 数字技术与应用,2016(05):201.
[3]罗旬,严承华.无线Mesh网络安全体系研究与设计[J].信息网络安全,2015(06):61-66.
关键词:Oracle数据库;安全问题;安全策略
中图分类号:TP391 文献标识码:A 文章编号:1009-3044(2013)10-2287-02
当前,现代化信息技术的不断发展,企业管理也进入了信息化时代,资源共享已经成为了必然的发展态势,它已经成为了世界范围内信息化建设与发展进程的重要标志之一。因此,我国目前有很多企业已经建立了企业网,其中数据库服务器就是核心部件,甚至关系到整个企业网中项目实施的成败。在这些数据库中,有着大量的数据和资料,大部分是用户共享的资料,显然,这种数据库的安全性和保密性是非常重要的。一旦发生意外或重大灾难的时候,这些数据库具有快速、高效的恢复信息的重大功能。因此,它们是企业在市场竞争中提高自身优势的重要手段和工具。但是,一般的数据库也存在一定的安全隐患,这就需要安全性能和稳定性能更好的数据库。那么,Oracle数据库具有强大的功能,性能有极为优越,从而使得其成为了当前很多企业欢迎的关系型数据库系统,在正常使用的情况下,它能够保证数据的安全和系统的稳定,为用户提供较为准确可靠的数据信息,它是当前世界上最大的信息管理软件及服务供应商,主要服务于高端工作站以及作为服务器的小型计算机,是企业信息管理系统正常运行的重要保障。
1 Oracle数据库安全问题分析
作为全球最大的数据库系统之一,Oracle数据库有着较为稳定的安全性能。一般来说,互联网的数据库系统安全主要是基于五个层次,即物理层安全、操作系统层安全、网络层安全、数据库系统层安全和应用系统层安全等。在这五个层次中,任何一个安全环节出现状况,都有可能导致整个系统的破坏和崩溃。这里,我们着重于分析两个方面的安全问题。一方面就是数据库系统安全问题,另外一个方面就是数据库数据安全问题。
1.1 Oracle 数据库系统安全问题的分析
所谓Oracle数据库的系统安全,指的就是该数据库系统在进行数据库的控制、存取和使用方面而涉及到的安全机制。该种数据库的系统安全性主要来自于对用户进行访问权限的限制,仅仅给予用户特定的访问权限,并不是无所制约的使用权限,从而能够确保数据库系统的自身安全。当前,Oracle 数据库系统有六种安全机制,即数据库用户和模式机制、权限分配机制、角色分配机制、存储设置和空间份额机制、资源限制机制以及审计机制。这些安全机制主要是为了防止非授权的数据库存取,防止非授权的对模式对象的存取,控制磁盘使用,控制系统资源使用以及审计用户动作。这些安全机制做到越好,其系统安全性能就越高。
1.2 Oracle 数据库数据安全问题的分析
这种数据库数据安全主要是指数据库内部数据在遭受安全侵害时,数据库能够对相关数据进行保护并有相关的恢复机制进行配套使用。目前来说,Oracle数据库的数据安全问题主要有:地震、水灾等非人力所能控制的意外事故灾害,由授权用户造成的人为疏忽或无意损害,存心不良的编程人员、技术支持人员等的恶意破坏等。这三种类型的数据安全隐患都是必须及时防范的。
2 Oracle数据库安全策略分析
现代计算机技术和网络技术的不断进步与发展,很多企业都不得不使用先进的网络技术,各大企业必须顺应时展的潮流,建立并不断完善基于计算机网络技术的企业网,其中最为重要的就是信息系统数据库,它是很多企业进行日常运营的重要生产平台。由于企业的很多生产数据都集中在信息系统的后台数据库中进行统一存储和处理,这就使得数据库在整个企业的运营中具有十分重要和关键的作用。然而,在现实操作过程中,并不是所有企业都非常重视数据库系统安全的,很多时候都会遭受攻击和威胁,有时候一个数据库安全漏洞有可能引发整个系统的崩溃,从而给企业造成巨额损失。也有些数据库安全问题是由自身设计问题引起的,但是更多的则是由企业应有人员工作失职而造成的。因此,我们应该选择一个好的数据库产品,并制定出相关的数据库安全策略,在执行的过程中严格遵照这些策略来进行,主要可以从这么四个方面来进行数据库安全维护策略的实施。
2.1 数据安全策略
这里的数据安全策略主要是指对数据库中数据的修改权限控制以及数据加密。就前者来说,当前主要是通过角色控制和视图等方法来实现,而后者则是还没有得到应有的重视。事实上,我们认为只要数据库中的数据是可读的,就有可能遭受一定的攻击和危险。我们只能说把这种危险降低到最小值,这就需要我们对这些数据库中的数据进行加密处理。一旦这些数据库中的数据按照一定的规则变为密文数据,用户就可以通过相关密钥来使用,同时,还可以使得这些数据库中的数据保持较高的安全特性。当前,我们对于数据库中的数据进行加密的技术主要有两种,即DBMS 内核层加密和 DBMS 层加密。所谓 DBMS 内核层加密就是指可以实现加密与数据库管理系统的无缝耦合,但是,其加密功能强而易降低数据库运行性能。DBMS 层加密则有多样性选择,但是却会增大整个系统的通信压力。因此,这两种加密技术各有利弊。我们对这些数据库进行保护,其实现的主要手段是备份数据库,一旦发生障碍的时候,就可以对这些文件进行恢复。应该来说,数据库的备份就是数据库数据的一个副本,其中包含了数据库所有重要的组成部分,比如说控制文件、数据文件等。我们对数据库中的数据进行备份的方式主要有物理备份和逻辑备份两种。其中,物理备份也称文件系统备份,是不管数据文件的逻辑内容如何进行的全盘拷贝,它又分为冷备份和热备份两种。而逻辑备份则是利用SQL语言从数据库中抽取数据并存为二进制文件的过程,支持全部、累计、增量三种方式。而且,在逻辑备份的时候,数据库应该处于打开的状态。对于数据库安全恢复来说,主要有物理恢复和逻辑恢复。其中,物理恢复又可分为非归档模式和归档模式。逻辑恢复则是利用import命令来实现数据恢复,其必须是在数据库联机状态下进行。
2.2 用户安全策略
对于Oracle 数据库来说,其用户经常会由于使用不当而造成一定的危险,这是因为数据库用户是连接数据库、存取表和记录的重要通道,一旦他们发生问题和障碍,就会直接影响到Oracle 数据库的安全问题。因此,我们应该加强对于数据库用户账户的有效管理,从而切实达到对于这种数据库系统安全的最终目的。具体来讲,由于Oracle 数据库的用户非常多,一般用户到数据库管理员都是这种数据库的直接用户。因此,我们应该尽快建立一个可靠有效的口令安全策略,加强对数据库用户的账号管理工作,防止敏感数据的泄露或破坏,使用profile文件来限制用户使用系统和数据库资源,防止无关人员对数据库进行的任何干扰,让每一个合法用户能够创建相应的用户账号及口令。除了防止未授权用户使用数据库系统,还要防止一些合法用户对未授权的子系统进行使用。我们可以进行基于角色的用户权限管理,这是Oracle 提供的一种数据库权限管理机制,用户被赋予角色,是保护数据库系统安全的重要策略之一,它可以根据不同的职能岗位划分角色,提供了一种灵活的方法,实现了最基本的安全原则,即最小特权原则和职责分离原则,进一步加大了数据库的安全性能。Oracle数据库安全管理的核心内容就是有关权限的管理,就是根据不同的授予权限来进行分类,对一般用户和指定用户进行管理。
2.3 系统安全策略
所谓系统安全策略主要是指数据库系统自身的安全问题,就是对数据库的备份与恢复工作。应该来说,Oracle 的备份和恢复工具是当前最为先进的企业级数据库系统,它能够简化、自动化及改善备份与恢复操作,最大的特性就是增量备份方式,是数据库系统为达到安全目标和相应的安全级别所定义的安全技术、方法、机制的总和。数据库系统的安全性在很大程度上依赖于数据库的管理,操作系统的稳定对数据库来说十分重要。维护管理数据库用户的安全性是保护数据库系统安全的重要手段之一。数据库安全性管理者可能只是拥有 create、alter 或 drop数据库用户的一个特殊用户。对于一般用户权限,数据库管理员可以决定用户组分类。数据库应用程序开发者是一类需要特殊权限组完成自己工作的数据库用户。此外,数据加密是 Oracle 数据库系统的最后一道防线,操作系统(OS)层加密,数据库管理系统(DBMS)内核层加密,数据库管理系统(DBMS)外层实现加密,通过这些层层加密,使得数据库具有更高的安全性能。
2.4 审计策略
这里的Oracle数据库审计安全策略主要是指监视和记录用户的数据活动,它主要是要记录关于数据库操作的信息,如操作时间、执行用户等。这是因为任何网络系统都不可能是完美无瑕的,都或多或少的存在安全漏洞,并没有一个绝对可靠的安全性措施。因此,我们应该做好数据库的审计策略,尤其要针对一些高度敏感的保密数据,Oracle数据库就要以审计作为主要的预防手段,让窃密者不能有办法打破数据库的控制。这就是说要让Oracle数据库管理人员能够有效的审计用户,主要是对用户的实际操作情况进行有效的监控和记录,随时跟踪并记录他们的数据的访问活动,其中监控的内容有:数据被非授权用户删除、用户越权操作、权限管理不正确、用户获得不应有的系统权限等,一旦发生任何数据库破坏,就可以及时排除不安全因素,及时挽救或恢复相关数据。这里的审计方法主要有:权限审计、语句审计和方案对象审计,应该有选择地使用审计。
3 结束语
总之,我们应该在网络信息时代,针对网络安全隐患采取必要的Oracle数据库安全策略,主要是针对数据库安全体系结构进行保护,对数据文件进行加密,增加数据库数据的破解难度,也增加加密文件的可扩展性,让外部入侵者在防护屏障外得以阻止,还要从内部采取安全策略,这就是说我们应该做好尽量采用安全性较高的网络操作系统并进行必要的安全配置,使用适合数据库的文件系统,及时给Windows和Oracle安装补丁,还要实施诸如用户口令策略,设置用户权限策略,数据备份与存储策略,视图策略,连接监控策略等数据库系统安全策略,从而真正从内外部切实保障Oracle数据库的安全。
参考文献:
[1] 陈从锦,杨昱.Oracle数据库的安全防护概述[J].中山大学学报论丛,2003(4).
[2] 李卓玲,费雅洁,孙宪丽.Oracle大型数据库及应用[M].北京:高等教育出版社,2004.
[3] 萨师煊,王珊.数据库系统概论[M].北京:高等教育出版社,2000.
[4] 谈竹奎,况志军.Oracle数据库管理员高级技术指南[M].北京:中国铁道出版社,2003.
本文介绍了网络安全管理要素,并结合笔者多年工作实践经验,以某卷烟厂企网络安全管理技术的应用为例,针对企业网络安全方案展开研究,希望能够为网络安全管理技术在OSS中的应用提供一点理论支持。
【关键词】
网络安全;管理技术;应用
1网络安全管理要素
目前,随着互联网的普及与发展,人们对网络的应用越来越广泛,对网络安全的意识也不断增强,尤其是对于企业而言,网络安全管理一直以来都存在诸多问题。网络安全管理涉及到的要素非常多,例如安全策略、安全配置、安全事件以及安全事故等等,这些要素对于网络安全管理而言有着重大影响,针对这些网络安全管理要素的分析与研究具有十分重要的意义。
1.1安全策略
网络安全的核心在于安全策略。在网络系统安全建立的过程中,安全策略具有重要的指导性作用。通过安全策略,可以网络系统的建立的安全性、资源保护以及资源保护方式予以明确。作为重要的规则,安全策略对于网络系统安全而言有着重要的控制作用。换言之,就是指以安全需求、安全威胁来源以及组织机构状况为出发点,对安全对象、状态以及应对方法进行明确定义。在网络系统安全检查过程中,安全策略具有重要且唯一的参考意义。网络系统的安全性、安全状况以及安全方法,都只有参考安全策略。作为重要的标准规范,相关工作人员必须对安全策略有一个深入的认识与理解。工作人员必须采用正确的方法,利用有关途径,对安全策略及其制定进行了解,并在安全策略系统下接受培训。同时,安全策略的一致性管理与生命周期管理的重要性不言而喻,必须确保不同的安全策略的和谐、一致,使矛盾得以有效避免,否则将会导致其失去实际意义,难以充分发挥作用。安全策略具有多样性,并非一成不变,在科学技术不断发展的背景下,为了保证安全策略的时效性,需要对此进行不断调整与更新。只有在先进技术手段与管理方法的支持下,安全策略才能够充分发挥作用。
1.2安全配置
从微观上来讲,实现安全策略的重要前提就是合理的安全配置。安全配置指的是安全设备相关配置的构建,例如安全设备、系统安全规则等等。安全配置涉及到的内容比较广泛,例如防火墙系统。VPN系统、入侵检测系统等等,这些系统的安全配置及其优化对于安全策略的有效实施具有十分重要的意义。安全配置水平在很大程度上决定了安全系统的作用是否能够发挥。合理、科学的安全配置能够使安全系统及设备的作用得到充分体现,能够很好的符合安全策略的需求。如果安全配置不当,那么就会导致安全系统设备缺乏实际意义,难以发挥作用,情况严重时还会产生消极影响。例如降低网络的流畅性以及网络运行效率等等。安全配置的管理与控制至关重要,任何人对其随意更改都会产生严重的影响。并且备案工作对于安全配置也非常重要,应做好定期更新工作,并进行及时检查,确保其能够将安全策略的需求能够反映出来,为相关工作人员工作的开展提供可靠的依据。
1.3安全事件
所谓的安全事件,指的是对计算机系统或网络安全造成不良影响的行为。在计算机与域网络中,这些行为都能够被观察与发现。其中破坏系统、网络中IP包的泛滥以及在未经授权的情况下对另一个用户的账户或系统特殊权限的篡改导致数据被破坏等都属于恶意行为。一方面,计算机系统与网络安全指的是计算机系统与网络数据、信息的保密性与完整性以及应用、服务于网络等的可用性。另一方面,在网络发展过程中,网络安全事件越来越频繁,违反既定安全策略的不在预料之内的对系统与网络使用、访问等行为都在安全事件的范畴之内。安全事件是指与安全策略要求相违背的行为。安全事件涉及到的内容比较广泛,包括安全系统与设备、网络设备、操作系统、数据库系统以及应用系统的日志与之间等等。安全事件将网络、操作以及应用系统的安全情况与发展直接的反映了出来,对于网络系统而言,其安全状况可以通过安全事件得到充分体现。在安全管理中,安全事件的重要性不言而喻,安全事件的特点在于数量多、分布散、技术复杂等。因此,在安全事件管理中往往存在诸多难题。在工作实践中,不同的管理人员负责不同的系统管理。由于日志与安全事件数量庞大,系统安全管理人员往往难以全面观察与分析,安全系统与设备的安全缺乏实际意义,其作用也没有得到充分发挥。安全事件造成的影响有可能比较小,然而网络安全状况与发展趋势在很大程度上受到这一要素的影响。必须采用相应的方法对安全事件进行收集,通过数据挖掘、信息融合等方法,对其进行冗余处理与综合分析,以此来确定对网络、操作系统、应用系统产生影响的安全事件,即安全事故。
1.4安全事故
安全事故如果产生了一定的影响并造成了损失,就被称为安全事故。如果有安全事故发生那么网络安全管理人员就必须针对此采取一定的应对措施,使事故造成的影响以及损失得到有效控制。安全事故的处理应具有准确性、及时性,相关工作人员应针对事故发生各方面要素进行分析,发现事故产生的原因,以此来实现对安全事故的有效处理。在安全事故的处理中,应对信息资源库加以利用,对事故现场系统或设备情况进行了解,如此才能够针对实际情况采取有效的技术手段,使安全事故产生的影响得到有效控制。
1.5用户身份管理
在统一网络安全管理体系中,用户管理身份系统占据着重要地位。最终用户是用户身份管理的主要对象,通过这部分系统,最终用户可以获取集中的身份鉴别中心功能。在登录网络或者对网络资源进行使用的过程中,身份管理系统会鉴别用户身份,以此保障用户的安全。
2企业网络安全方案研究
本文以某卷烟厂网络安全方案为例,针对网络安全技术在OSS中的应用进行分析。该企业属于生产型企业。该企业网络安全管理中,采用针对性的安全部署策略,采用安全信息收集与信息综合的方法实施网络安全管理。在网络设备方面,作为网络设备安全的基本防护方法:①对设备进行合理配置,为设备所需的必要服务进行开放,仅运行指定人员的访问;②该企业对设备厂商的漏洞予以高度关注,对网络设备补丁进行及时安装;③全部网络设备的密码会定期更换,并且密码具有一定的复杂程度,其破解存在一定难度;④该企业对设备维护有着高度重视,采取合理方法,为网络设备运营的稳定性提供了强有力的保障。在企业数据方面,对于企业而言,网络安全的实施主要是为了病毒威胁的预防,以及数据安全的保护。作为企业核心内容之一,尤其是对于高科技企业而言,数据的重要性不言而喻。为此,企业内部对数据安全的保护有着高度重视。站在企业的角度,该企业安排特定的专业技术人员对数据进行观察,为数据的有效利用提供强有力的保障。同时,针对于业务无关的人员,该企业禁止其对数据进行查看,具体采用的方法如下:①采用加密方法处理总公司与子公司之间传输的数据。现阶段,很多大中型企业在各地区都设有分支机构,该卷烟厂也不例外,企业核心信息在公司之间传输,为了预防非法人员查看,其发送必须采取加密处理。并且,采用Internet进行邮件发送的方式被严令禁止;②为了确保公司内部人员对数据进行私自复制并带出公司的情况得到控制,该企业构建了客户端软件系统。该系统不具备U盘、移动硬盘灯功能,无线、蓝牙等设备也无法使用,如此一来,内部用户将数据私自带出的情况就能够得到有效避免。此外,该企业针对办公软件加密系统进行构建,对办公文档加以制定,非制定权限人员不得查看。在内部网络安全上,为了使外部网络入侵得到有效控制,企业采取了防火墙安装的方法,然而在网络内部入侵上,该方法显然无法应对。因此,该企业针对其性质进行细致分析,采取了内部网络安全的应对方法。企业内部网络可以分为两种,即办公网络与生产网络。前者可以对Internet进行访问,存在较大安全隐患,而后者则只需将内部服务器进行连接,无需对Internet进行访问。二者针对防火墙系统隔离进行搭建,使生产网络得到最大限度的保护,为公司核心业务的运行提供保障。为了使网络故障影响得到有效控制,应对网络区域进行划分,可以对VLAN加以利用,隔离不同的网络区域,并在其中进行安全策略的设置,使区域间影响得到分隔,确保任何一个VLAN的故障不会对其他VLAN造成影响。在客户端安全管理方面,该企业具有较多客户端,大部分都属于windows操作系统,其逐一管理难度打,因此企业内部采用Windows组侧策略对客户端进行管理。在生产使用的客户端上,作业人员的操作相对简单,只需要利用严格的限制手段,就可以实现对客户端的安全管理。
作者:杨国欣 霍重宁 单位:广西中烟工业有限责任公司
参考文献
[1]崔小龙.论网络安全中计算机信息管理技术的应用[J].计算机光盘软件与应用,2014(20):181~182.
[2]何晓冬.浅谈计算机信息管理技术在网络安全中的应用[J].长春教育学院学报,2015(11):61~62.
