为贯彻落实“深入开展网络安全宣传知识技能宣传普及,提高广大人民群众网络安全意识和防护技能”的重要讲话精神,切实做好“2020年国家网络安全宣传周”宣传工作,9月14日,市公安局网安支队组织全市网安部门在全市范围内开展了网络安全宣传活动。本次网络安全宣传活动围绕“网络安全为人民,网络安全靠人民”的宣传主题,通过悬挂横幅标语、摆放宣传展板、发放宣传单、宣传手提袋等多种宣传形式向广大群众广泛宣传,并结合当前互联网发展的新特点向群众重点讲解新时期网络活动和网上交易应注意的有关事项,营造了互联网“没有网络安全就没有国家安全”的浓厚氛围。此次宣传活动出动车辆x辆,警力x人,横幅x条,展板x块,发放《网络安全宣传知识手册》x余份,宣传手提袋xx余个。
通过此次网络安全宣传活动,进一步提升了我市群众的网络安全防范意识,为保障群众个人信息安全、维护个人在网络空间的合法权益构筑了第一道安全防线,宣传活动取得预期的良好效果。
为贯彻落实“深入开展网络安全宣传知识技能宣传普及,提高广大人民群众网络安全意识和防护技能”的重要讲话精神,切实做好“2020年国家网络安全宣传周”宣传工作,9月14日,市公安局网安支队组织全市网安部门在全市范围内开展了网络安全宣传活动。本次网络安全宣传活动围绕“网络安全为人民,网络安全靠人民”的宣传主题,通过悬挂横幅标语、摆放宣传展板、发放宣传单、宣传手提袋等多种宣传形式向广大群众广泛宣传,并结合当前互联网发展的新特点向群众重点讲解新时期网络活动和网上交易应注意的有关事项,营造了互联网“没有网络安全就没有国家安全”的浓厚氛围。此次宣传活动出动车辆x辆,警力x人,横幅x条,展板x块,发放《网络安全宣传知识手册》x余份,宣传手提袋xx余个。
通过此次网络安全宣传活动,进一步提升了我市群众的网络安全防范意识,为保障群众个人信息安全、维护个人在网络空间的合法权益构筑了第一道安全防线,宣传活动取得预期的良好效果。
关注基本的安全措施
小企业必须应对与大企业同样面临的互联网安全威胁,倦通常没有大企业那样充足的预算和人手。近年来,威胁出现了多样化,而且变得更加隐蔽:几年前你担心的是黑客或病毒会导致计算机崩溃,而如今你在蒙受重大经济损失之后才认识到自己的网络遭到了攻击。比方说,你的数据有可能丢失或者被劫持;你、你的同事或客户可能沦为身份盗窃的受害者(即所谓的“肉鸡”);你的计算机可能被用于分发垃圾邮件或恶意软件。
当然,一旦贵公司发展到一定规模,比如拥有一两百名或更多的员工,最好还是把安全工作交给专业人士,通常是独立承包商或经销商。但如果你为一个工作组或小企业处理安全工作,而且预算紧张,那么还是应该制定及实施自己的安全政策。这或许不用花一分钱,只要你付出了必要的努力,安全政策可能会很有效。谁也不喜欢每个月都更改密码、定期执行备份、查找软件更新程序,但做好这些事有助于尽量减少安全风险。
一些安全组织提供了让你开始上路的实用指南。比方说,互联网安全联盟让注册用户可以免费下载《小企业网络安全常识指南》;你还可以在系统管理、审计、网络和安全协会(SANS Institute)撰写的《网络安全与中小企业》中读到一些相关内容。
这些指南都有类似的核对一览表,附有指示说明。你很可能以前看到过,但重要内容还是值得重复。包括你不常听到、但有助于堵住安全漏洞的内容。
把你的网络与外界连接起来的路由器是一道主要的防线;路由器通常有自己的防火墙。目前的消费级路由器通常还有其他安全功能,所以你应该查看手册,看看路由器提供哪些功能。许多原本很精明的用户常常会忽视一个重要步骤,那就是更改默认的管理员登录设置,以便外人无法轻易改动所有其他设置。(路由器厂商往往会让自己的所有产品使用相同的默认设置。)
如果你使用Wi-Fi,现在就该咬咬牙,使用市面上最好的加密方法:WPA2。如果你使用的笔记本电脑不支持WPA2,就升级至支持该加密方法的笔记本电脑,或者只好完全禁用Wi-Fi。使用有线连接。智能手机也是同样:最近的最新手机(包括iPhone)都支持WPA2,你应当放弃在不支持WPA2的旧手机上使用Wi-Fi。
升级至企业级产品
那么,企业级产品可以为你提供消费级产品提供不了的哪些功能呢?不能一概而论,但功能通常可能包括:功能更强的防火墙(随带的高级软件可以进行实时检查,确保数据包的合法性)、额外的反病毒/反间谍软件,反垃圾邮件保护;还有对企业友好的功能,比如VPN支持(那样就能安全地远程访问网络,又不会将网络暴露在入侵者面前)、访客互联网访问(那样造访你办公室的客人不用访问你的内部网络,就能上网),以及支持多家宽带ISP(万一某家ISP出故障,其他的ISP就会顶上来;要是所有ISP都在正常工作,还可以实现负载均衡)等。
附带提一下VPN支持:这是企业级路由器的一项关键功能,因为许多人希望在家里或在路上时能够访问企业网络。(难道你不愿意让远程员工可以访问防火墙后面的企业数据、而是将文件副本保留在员工有可能丢失的笔记本电脑上吗?)别把企业级路由器上的VPN支持与许多消费级路由器上的VPN直通支持混为一谈,VPN直通支持旨在让家庭用户可以连接到企业VPN;而企业级路由器自己就能建立VPN。比方说,D-Link的DIR-130是一款八端口防火墙路由器。可以为最多25个用户建立VPN访问机制(但它不提供反病毒、反垃圾邮件或其他企业级功能)。
一体化方案
确实能满足所有企业安全要求的路由器被称为统一威胁管理(UTM)设备。这类设备通常除了收取基本硬件价格,还要收取附加授权费,那样才能更新反病毒/反间谍软件,反垃圾邮件软件;许多这类产品,都是根据支持的用户或连接数量来收费的(即使不用支付使用费,也应当查看一下该设备支持多少用户:超过这个数会导致网速大幅下降。)。
你心里可能会想:既然贵企业的个人电脑已经装有对付反病毒软件和反间谍软件,为什么还需要UTM?安全专家表示,网络层多一道保护确实大有好处,特别是当你客户端PC上和UTM设备上的反恶意软件程序来自不同厂商时,更是如此。你应当确定UTM设备厂商与哪些第三方软件开发商成为了合作伙伴;大多数设备厂商都会依赖老牌的反病毒、反垃圾邮件及反间谍软件产品,来确保这些服务的可靠。
安全选择广泛
UTM这类设备最近几年正得到迅猛的发展,供应商数量也与日俱增,既有家庭和小型企业网络公司(如D-Link和Netgear)、也有网络巨头(如思科),还有以企业级安全设备或软件而家喻户晓的公司(如Check Point和SonicWal])。这些公司大多数都拥有供成长型企业不断发展所需的一系列产品。
这些产品价格差别很大,取决于功能和支持的用户数量。两个例子是:Check Point公司面向小企业的Safe@Office UTM设备有好几款,包括支持5个用户(299美元)、最多支持25个用户(599美元),或者支持用户数量不限(999美元)。软件更新费是每年79美元。不过如果你主要关注的是一款好的防火墙,又不需要支持多家ISP之类的功能,那么Check Point旗下ZoneAlarm子公司提供的Z100G安全路由器就ok了,它支持802.11 b/g Wi-Fi及最多10个用户,价格为150美元。
网络安全防护亟待升级
云南省公安部门政府外网主要承载两大功能,一方面是门户网站,以此作为对外宣传和服务的窗口,向公众展现政府形象,提供网上服务;另一方面是作为内部办公的平台,面向部门内部机构工作人员提供日常办公的业务。
云南省公安部门希望采取综合防护措施,对门户网站进行全方位网络安全保护,并希望能够利用省公安部门的互联网接入带宽,实现远程用户移动办公安全接入。
Hillstone发现,云南省公安部门外网随着内部接入单位不断增加,上网用户量迅猛增加,部分内部用户在上班时间有频繁的非业务应用,导致带宽压力过大,上网速度缓慢,带宽资源被滥用。同时,来自互联网上隐藏的不安全因素也给网络安全带来了巨大的安全隐患。监控上网行为和防止木马病毒渗透成为他们急需做的事。
Hillstone网络安全解决方案
此次项目采购中,云南省公安部门对各厂商提出了严格的要求,其决策者将品牌知名度、公司综合实力、产品高可用性和可靠性、售后服务保障体系是否及时和完善等多种角度作为选型的标准。Hiilstone凭借领先的技术、优异的产品性能以及完善的售后服务体系等多重优势脱颖而出。
针对云南省公安部门的网络现状和实际需求,Hillstone提出了解决方案,通过防火墙、入侵防御、流量控制、SSL VPN等多种安全技术及功能的结合和协同工作,对云南省公安部门外网的网络边界进行安全建设,进行网络行为控制,并对移动出差用户的移动办公业务进行安全保护,构建适应互联网公共服务平台集成运行的保障环境,保护整个网络的安全。
五大功能实现安全防护
在本项目中,Hillstone多核安全网关发挥了五大优势,实现了对云南省公安部门的外网边界安全防护:
通过Hillstone多核安全网关的策略控制实现了网络隔离,做到了对用户和服务等网络区域进行分割,对不同区域之间的数据流进行控制,对数据流进行精细控制,把可能的安全风险控制在相对独立的区域内;
通过基于域的攻击防护功能,实现了内外网的攻击防护,保证了省公安部门外网的正常运行;
通过集成的IPS功能,可以提供动态的、深度的、主动的安全防御,对外网黑客的入侵进行检测、阻断、报警和记录;
通过QoS功能,实现了对内部网络用户的网络行为控制,帮助管理人员掌握网络状况,增强对网络风险的防范能力;
通过启用Hillstone的SCVPN技术,实现安全的远程访问。
1.1内部网络的操作系统要保证安全性
内部网络的服务器在计算机的应用程序和计算机的终端操作上都以一定的应用系统和网络安全技术来实现网络操作的安全性,这些都是以操作系统的运行来实现的。所以,一定要保持内部网络的操作系统实现安全、稳定的运行,才能保证内部网络的整体安全基础。既要加强操作系统的漏洞补丁安装和实时监控系统,对用户访问的控制与授权都要进一步完善。
1.2内部网络要通过路由器保证安全
内部网络的数据传输要通过路由器等设备来实现,而数据的传输也要以报文广播等技术,通过可靠控制的对策,而数据信息在传输中很容易受到非法的入侵,内部网络的安全要由路由器来实现分段的管理,通过虚拟的局域网技术,在物理与逻辑的结构上隔离,完成内部网络的安全性。
1.3内部网络进行防火墙系统的设置
内部网络安全威胁主要来自拒绝服务的网络攻击,所以,要使内部网络的安全得到保证,就要尽可能的选择功能强的防火墙。内部网络对防火墙系统进行合理的配置,使数据可以充分过滤和拦截,实现有效的监控。一旦出现非法入侵,内部网络就要立刻停止当前的服务,可以使非法入侵的行为得到制止,有效防止内部网络中的数据和信息被获取或者篡改。而防火墙也要进行有效的配置,才能使非法用户在内部网络之间的访问得到有效的限制。对内部网络要设置好有效的网络地址,使网络访问的权限得到控制,对网络设备各项配置和参数可以有效的控制,防止被篡改,使企业内部网络安全得到保证。
1.4内部网络入侵检测的系统要做好部署工作,保证网络的安全性
内部网络出现安全威胁很多时候都是因为管理员疏忽导致的不规范操作引起的,而且有些工作人员会引起网络的非法入侵,所以,只凭借防火墙是很难使内部网络安全得到保证的。内部网络要对入侵检测的系统做好周密的部署,配合防火墙的工作,既可以及时的发现内部网络安全威胁,还会对一些系统的漏洞和网络的病毒及非法的攻击及时发现和处理。使企业内部网络各项管理系统可以得到稳定的运行。
1.5移动及无线设备
对于大多数中小企业而言,自带设备办公趋势根本就不是啥新鲜事儿。不过正是由于这种轻信的态度,小企业没有为严格控制并管理员工自有设备制定出切实有效的政策,这一点在无线网络构建方面同样非常明显。企业Wi-Fi网络作为移动设备办公不可或缺的组成部分,过去也一直受到安全风险的威胁。首先,大家在实际应用中应该选择那些安全性好的无线方案(例如WPA2、801.11或者VPN)、为网络访问设置高强度密码,同时经常扫描各类接入终端、揪出恶意设备。除此之外,我们还需要制定政策,要求员工为自己的移动设备设置解锁密码,并在设备丢失时能够及时锁死或清除所保存的内容。
1.6内部网络安全防范方案的设计
要真正解决内部网络安全隐患,就要适应内部网络业务信息系统扩展和应用,做好系统的更新和升级,对系统变化和网络的变化及时做好调整。企业内部网络的安全设计是有上下级区分的,这种设计方案是符合现代企业职能需要,而方案的设计也要实现内部网络的安全防范任务,实现企业内部网络的安全防范。企业内部网络的安全防范设计中,既要设置好上方的企业下级部门,也要设置好企业的上级部门,通过内部网络,企业的下级部门实现与上级部门的连接。可见,企业内部网络进行安全防范的方案设计,下级部门尽量避免和外部的互联网连接,下级部门若有需要一定要和外部的互联网做出数据的传输或者交换,就要使用上级部门外网的路由器来完成。而流入和流出的各种数据包也要进行处理,通过外网的防火墙与入侵监测系统完成安全的过滤。企业把网络安全重点工作设计在网关的设置与网络边界的防御设置上,所以,网络安全的防范产品与制度都要在外部互联网入口附近进行配置,这种配置方法,使内部网络安全管理工作不能得到保障。
2结束语
1.1气象部门网络安全的主要防御结构
一般情况下,在气象网络中,防火墙是最重要的硬件防御系统之一,根据台站区域网络的组成部件设置防火墙,并根据气象部门业务安全需求采取相应的防控措施。在气象信息中心,多个硬件防火墙被部署在区域网络内重要的业务需求范围内,确保该区域内的气象观测业务可顺利、安全运行。对于突发网络故障,可通过查询网络日志、查看网络历史询问记录等处理,从而使网络恢复正常。同时,网络入侵检测系统也是网络防护的重要手段,可定时对网络中可能存在的入侵或攻击进行检测,查出存在的漏洞、攻击模式和用户行为模式的差别等,并对网络及系统中出现的异常行为作出响应。此外,软件防护系统也是不容忽视的重要环节,通过防病毒软件对计算机网络进行查杀,消除网络中存在的威胁因素;网络管理软件可对连接的网络设备进行监管,检测网络中存在的异常行为,有效防御病毒,从而切实做好气象网络安全防御工作。
1.2网络安全现状
随着现代化气象观测信息的不断增多,自动站长期不间断运行,容易导致网络负载量大,进而增加了局部网络病毒木马入侵的概率,且其对外开放的资源共享端口也容易出现网络堵塞。此外,内部计算机人员的操作不当、对计算机终端安全意识较差的现象普遍存在,这都对气象网络安全造成了严重的威胁。
2气象部门网络安全中存在的威胁
2.1网络安全漏洞
漏洞是气象部门计算机网络安全的重大隐患之一,主要包括操作系统漏洞和硬件产品漏。大多数的木马病毒、非法入侵等都是基于计算机网络中存在的漏洞而对其攻击的,它是网络安全的一大威胁。
2.2内部网络防护措施不完善
气象计算机网络属于独立局域网,根据其具有的工作特性,需要实时对数据进行快速、便捷的传递,但这样容易引起病毒的直接感染。由于防护措施不完善,如果操作某一个被病毒感染的移动硬盘时,会连带服务器及其他电脑同时被感染。此时,即便设有防火墙装置,也阻挡不了网络内部遭受攻击。
2.3恶意代码威胁
需要及时对计算机中安装的软件防护杀毒系统升级和补丁修复。随着网络技术的发展,病毒的破坏力越来越强。如果没有及时制止病毒的入侵,则可能会造成计算机彻底被控制或瘫痪。
2.4网络黑客攻击
网络黑客一般为对计算机网络较为精通的不法分子,他们通过网络操作系统的漏洞对系统进行攻击,可导致系统瘫痪或异常。网络操作系统有多种,常用的为WindowsNT操作系统。因此,该系统已成为网络黑客的重点攻击对象。
2.5操作人员的安全意识较差
部分气象计算机操作人员不具备专业的网络知识,对于计算机网络安全了解不足,存在在计算机上下载其他与气象无关的资源的情况,或通过移动硬盘在局域网内进行各种数据资料的传输,这增加了病毒入侵的概率,容易造成数据丢失或泄露。如果将在Internet上使用过的笔记本电脑连接到气象内部网络中,也可能会增加气象网络病毒入侵的概率。
2.6IP地址冲突
气象部门内部的计算机经常出现IP地址冲突的现象。1台或多台电脑常因测试或其他原因需要临时修改IP地址,但修改后往往没有及时改回,进而造成IP冲突无法联网,这会对气象观测数据的传输等环节造成影响。
2.7缺乏内部网络安全技术人员
目前,由于气象台站受到资金或其他因素的制约,导致气象台站缺乏相关的网络安全专业技术人员。当出现网络故障时,基本是由在职的其他工作人员进行维护的,但网络管理员自身的水平较低,仅可以应付简单的常见网络安全故障,对于专业病毒防御、网络区域设置等关键技术的掌握甚少,出现复杂的网络安全故障无法及时解决,进而影响了台站的正常、稳定运行。
3改善气象部门网络运行环境的措施
3.1加强网络安全管理
应加强气象部门全体人员的计算机网络安全意识,针对重点网络威胁进行分析,并对其可能造成的影响进行估算,从而使更多的职工关注网络安全问题;制订相关的计算机操作和日常网络应用安全规范准则,使全体职工养成良好的上网和工作习惯;对在职的网络管理人员进行技能培训,提高其技能水平,以确保气象业务在良好的环境中进行;引进复合型人才,加强技术人才队伍的培养。网络安全涉及的范围广、信息量大,对人才的需求也较大。因此,可通过参加高新技术学习、开展重点问题交流等途径提高管理人员的业务水平,使他们能担当起气象网络信息安全建设的重任。
3.2科学、合理配置网络安全系统
1、信息系统保密性差
应用软件安全、数据库安全及操作系统安全都属于信息系统安全的范畴,应用软件安全性低主要是指一些网上免费下载的软件可能带有病毒,使公安信息系统安全性不高;以ORACLE数据库为主的公安业务信息系统,因为缺乏加密保护措施和身份认证体系,信息很容易被泄露,存在较大的安全问题;作为应用服务的一种公共平台,操作系统的安全审计和访问权限设置不完善,存在许多安全漏洞,导致公安部门操作软件的系统安全性能低。
2、网络系统本身安全性较低
网络通信设备安全及通信传输信道安全是网络系统安全的主要内容,其中交换机和路由器等具有远程访问及维护功能的设备都属于网络通信设备,很可能被非法用户操控。而网络系统通信传输信道包括帧中继、邮电专线及DDN等,也有少数是微波信道或自建光纤,这些传输信道普遍存在线路不稳定、中间环节多和质量较差的缺点,如果出现问题的话就需要占用大量时间进行检测和维修,导致网络不能正常工作。对于通过电话拨号上网的地区,用户越多越有利于非法用户的攻击,给公安计算机信息网络带来巨大的安全隐患。
3、管理能力较差
一些公安部门的网络管理忽视日志审计的作用,加上管理能力较差,不能正确的检测出运行故障,缺乏应变和处理问题的能力。面对“黑客”的攻击,在无法检测的情况下不能做到及时上报,使非法人员得不到应有惩治。
4、管理人员缺乏安全意识
管理人员应正确的认识到公安计算机信息网络与互联网有很大的关系,同样存在安全问题,应加强管理。网络中任何一个环节受到破坏都会影响整个公安网络的正常运行,因此要加强自身的安全意识,将信息网络的安全管理工作作为重心,避免非法人员的攻击。此外还要对内部网络进行完善和改进,及时的修补内部安全漏洞,从内、外部两方面入手来进行安全管理工作。
二、加大安全管理的措施
1、加强信息系统的安全管理
网络安全隔离、应用系统的安全管理以及数据安全管理都属于信息安全管理的范围。具体措施如下:一是网络安全隔离。可以采取在网络出入口设置防火墙的方式来达到隐蔽内部网络、强化和集中控制安全措施以及对网上非法活动进行记录的目的。其中将内部网络屏蔽的操作是将地址进行转换来实现内外网络的隔离,从而确保内部网络信息不会被外部用户获取;强化和集中控制安全措施主要是指通过复杂的安全管理策略来实现不同用户对不同安全性的要求;而对网上非法活动进行记录的过程能审计非法用户的入侵并自动报警,维护了网络系统的安全。二是应用系统的安全管理。首先,要保证数据库系统结构的完整和安全,可以通过对重要数据的读取和保存过程进行解密及加密等密码机制来强化软件系统的管理,配备专门的网络信息管理人员进行操作,规范软件应用的范围和相关条例;其次,在应用网上下载软件前必须进行检测,防止病毒入侵;最后,对于安全性能强的操作系统时要做到审核用户的访问权限,记录操作内容和流程。三是数据安全管理。利用计算机安全产品对数据进行安全管理,参考密级评判标准来决定信息是否传到网上,从根本上提高数据的安全性。
2、加强网络系统的安全管理
网络设备和网络信道的安全管理是保障网络系统安全的基础,可以通过以下几种措施来实现:一是严格管理远程访问和维护功能。一方面要在信息中心设置统一的远程拨号入口,逐渐减少入口的数量,加强对账号的管理,通过回拨认证等服务系统的方式来完成一个账号只能由一人登录的身份认证,避免非公安人员随意登录的现象发生;另一方面加强远程维护的抗破解性能,采取设置安全性高的密码来强化安全管理工作,提高网络的安全性。二是通过链路层连接认证的方式完成网络设备的互联。因为网络中存在一些虚假的设备,因此可以设置PPP协议认证来确保互联设备的安全性。其三,线路加密。在网络信道的线路上配备能够进行抗流量分析及对数据进行保密的加密设备,这样能使数据更加完整,不易受到外界入侵。其四,由公安部门自建信道。由于租用信道存在线路不稳定和质量较差的弊端,可以利用保密性强、质量保证和抗干扰能力强的光纤线路自建信道,从而提高网络传输的安全性能。
3、完善行政管理制度
有效的技术是保障信息网络安全的一方面,另一方面还要加强行政管理和保障机制,通过规范的管理制度不仅可以避免外部非法人员的入侵,还能防止内部人为破坏,完善的行政管理制度对公安计算机信息网络的安全管理具有重要意义。
(1)对信息管理及网络运行设置严格的规章管理制度。公安机关可以通过严格的规章制度来规范信息的管理和网络的运行,这样不仅方便管理,还能提高信息网络的安全性,具体可以采取加强指导、强化监督和明确管理条例的方法来加强信息网络安全管理工作。
(2)培养专业的安全管理人员。由于公安计算机信息网络的特殊性和重要性,对安全管理人员的要求也较高,其中信息管理员必须做到对信息系统的运行进行定期的检测,严格的审核网络信息的安全保密性,针对网络安全的现状提出意见和改进方案,网络安全员除了要定期检测网络和分析网络安全性能外,还要对管理工作进行设计和规划。公安机关必须加强对管理人员能力和专业素质的培养,建立一个专业的安全管理团队来维护信息和网络的安全。
(3)创建信息网络管理部门。通过创建信息网络管理部门来对公安计算机信息网络的安全进行专门的管理,其工作内容主要有:第一,管理应用系统的安全。在保证应用系统正常工作的基础上,定期维护系统的安全和用户授权工作。第二,监测和安全管理。监控网络的运行状况,及时发现和处理网络漏洞,预防和终止非法人员的破坏,此外合理的配置网络系统设备,使信息网络更加安全可靠。第三,管理密钥及认证中心。对网络密钥、密码的计算以及网络系统设备的管理做到规范,统一发放警察及服务器的认证证书。
三、结语
