引論:我們?yōu)槟砹?3篇網(wǎng)頁安全論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
一旦網(wǎng)頁設(shè)計中的存在安全缺陷,就會使得網(wǎng)站的安全性能大大降低,制約著企業(yè)電子商務(wù)技術(shù)的發(fā)展。網(wǎng)頁設(shè)計存在的安全缺陷主要有登陸驗證缺陷、逃避驗證缺陷、桌面數(shù)據(jù)庫被下載的安全缺陷、文件上傳存在的安全缺陷。
2.1登陸驗證存在的安全問題用戶在使用網(wǎng)站內(nèi)部的信息時,一定要進行登錄,所以用戶要在該網(wǎng)站注冊設(shè)置自己的用戶名和登錄密碼。用戶在網(wǎng)站上進行注冊一方面方便企業(yè)對用戶信息進行高效管理,開展相關(guān)的工作活動。另一方面,個人設(shè)置登錄名和密碼也利于個人信息的保密,維護自己的利益。提高網(wǎng)站安全性的方式很多,用戶登錄的驗證和確認是其中的一種安全方式,只有確保網(wǎng)站的使用者都是合法的,才能進一步確保網(wǎng)站信息的安全。但是當(dāng)前很多網(wǎng)站設(shè)計人員對用戶登錄的安全設(shè)置不夠重視,忽視驗證部分,沒有考慮到登錄驗證的重要性,導(dǎo)致登錄驗證程序的穩(wěn)定性偏低,從而使黑客等不法分子乘機入侵,威脅網(wǎng)站的安全,造成數(shù)據(jù)信息泄露,造成巨大的損失。這種登錄安全缺陷主要是因為網(wǎng)站開發(fā)人員設(shè)計的驗證程序不夠嚴密,造成腳本語言編寫程序在驗證用戶賬號密碼時出現(xiàn)問題。網(wǎng)站用戶登錄驗證流程圖如圖1所示。用戶在網(wǎng)站上登錄,需要進行相關(guān)的驗證,這時需要網(wǎng)站開發(fā)人員在數(shù)據(jù)庫的user數(shù)據(jù)表中編寫相關(guān)的程序,用戶登錄時,以username代表輸入的賬號,以password代表輸入的登錄密碼。當(dāng)用戶輸入用戶名和密碼時,系統(tǒng)會在數(shù)據(jù)庫系統(tǒng)中進行搜索,如果用戶的信息是正確的、合法的,就能搜索到相關(guān)信息,系統(tǒng)就會允許用戶使用網(wǎng)站的相關(guān)信息,反之,如果登錄信息是錯誤的、不合法的,用戶就不能實現(xiàn)網(wǎng)站的訪問。首先設(shè)定注冊限制,不是所有人都可以在網(wǎng)站上進行注冊,這樣可以有效避免非法用戶在網(wǎng)站上面注冊,從而有效降低非法攻擊的發(fā)生機率。然后,進行SQL登陸查詢時,先設(shè)置用戶信息過濾程序,過濾掉非法的用戶和密碼。最后,在驗證用戶時,先驗證用戶名,用戶名合法再驗證密碼。這樣就可以有效提高用戶登錄的安全性,解決當(dāng)中存在的問題。
2.2逃避驗證存在的安全問題如果用戶知道網(wǎng)頁的文件名或者是路徑,就會出現(xiàn)逃避驗證現(xiàn)象,使網(wǎng)站的安全性下降。一旦網(wǎng)頁沒有用戶的登錄限制,用戶在網(wǎng)頁中直接輸入網(wǎng)頁的文件名,不用進行登錄驗證,就可以讀取網(wǎng)站內(nèi)容,這對網(wǎng)站的安全是嚴重的威脅。所以,為了有效避免這個問題,需要網(wǎng)頁設(shè)計人員加強網(wǎng)頁信息的保密工作,提高網(wǎng)站信息的安全性。此外,對一些重要的網(wǎng)站內(nèi)容加強用戶身份驗證限制,這樣所有的用戶在登錄相關(guān)頁面時,都必須進行身份驗證工作,驗證通過之后,才能使用里面的相關(guān)信息,這樣會大大提高站點的數(shù)據(jù)安全性。
2.3桌面數(shù)據(jù)庫被下載的安全漏洞桌面數(shù)據(jù)庫被下載的安全漏洞主要是ASP+Access應(yīng)用系統(tǒng)中的問題。通常情況下,用戶都可以通過網(wǎng)站下載相關(guān)的信息,但是如果知道Access數(shù)據(jù)庫名稱及存儲路徑,就可以任意下載數(shù)據(jù)庫中的信息,從而導(dǎo)致數(shù)據(jù)庫中的機密信息泄露。比如,圖書館系統(tǒng)中的Access數(shù)據(jù)庫其名稱和存儲路徑一般為Library.mdb和URL/database。此時,只要在WEB瀏覽器的地址欄中鍵入URL/database/Library.mdb,就能將Library.mdb數(shù)據(jù)庫下載到本地計算機中。所以,為了有效避免上述問題,在設(shè)計ASP程序時,數(shù)據(jù)源要盡量使用ODBC數(shù)據(jù)源,這樣數(shù)據(jù)庫名稱就不會被直接寫入程序中,避免出現(xiàn)ASP源代碼和數(shù)據(jù)庫名稱一起失密的現(xiàn)象。此外,還要對頁面進行加密處理,這樣可以有效提高數(shù)據(jù)庫系統(tǒng)信息的安全性,避免數(shù)據(jù)庫內(nèi)部資料被竊取。ASP頁面的加密主要有兩種方法:一是,應(yīng)用組件技術(shù)將編程邏輯封裝在DLL中;二是,應(yīng)用ScriptEncoder加密ASP頁面。通常情況下都會采取第二種方法對ASP頁面進行加密,因為使用第一種方法對ASP頁面進行加密時,需要將每段代碼組件化,工作量特別大,并且操作十分繁瑣。采用ScriptEncoder方法加密ASP頁面時,其操作比較簡單,編輯性強,具有以下四方面的優(yōu)勢:(1)HTML具有良好的可編輯性,使用ScriptEncoder加密ASP頁面時,只需將ASP代碼嵌入到HTML頁面中,故仍可以使用常用網(wǎng)頁編輯工具如Dreamweaver等實現(xiàn)HTML部分的完善,但是ASP加密部分不能任意更改,否則將會對文件造成破壞,導(dǎo)致其失效;(2)可以加密當(dāng)前目錄中的所有ASP文件,加密后并將其統(tǒng)一輸出指定目錄中;(3)應(yīng)用ScriptEncoder加密ASP頁面的操作十分簡單。(4)criptEncoder加密軟件是免費網(wǎng)件,可以從網(wǎng)站上直接下載,安裝、注冊驗證即可。應(yīng)用ScriptEncoder對代碼加密,既簡單方便,安全性又高。隨著ScriptEncoder加密技術(shù)的廣泛應(yīng)用,DLL封裝方法的使用越來越少,逐步被淘汰。
2.4文件上傳存在的安全問題很多網(wǎng)站都具有文件上傳功能,比如學(xué)習(xí)網(wǎng)站,教師上傳一些學(xué)習(xí)資料等,但是網(wǎng)站的設(shè)計人員在設(shè)計網(wǎng)站時,沒有設(shè)置過濾參數(shù)過濾功能,導(dǎo)致非法攻擊人員利用這個漏洞上傳一些惡意文件破壞網(wǎng)站的數(shù)據(jù)庫系統(tǒng)或者是執(zhí)行任意命令。為了解決這個問題,提高文件上傳的安全性,應(yīng)該在網(wǎng)站系統(tǒng)中添加判斷程序,這樣,系統(tǒng)在獲得用戶的文件上傳請求之后,先對文件的安全性進行判別,符合文件上傳的條件,才能完成上傳操作,這樣可以避免網(wǎng)站中上傳一些非法文件,對系統(tǒng)造成破壞。
篇2
2.1應(yīng)用層安全防御措施
在化工企業(yè)網(wǎng)絡(luò)中,應(yīng)用層與網(wǎng)絡(luò)用戶直接接觸,因此為了保護應(yīng)用層安全,需要強化第一道安全屏障,可以采取的措施包括設(shè)置用戶/組角色,實行單一角色登陸及認證,為用戶分配固定的安全控制權(quán)限標(biāo)識,限制用戶的訪問權(quán)限,并且建立動態(tài)配置機制,以便更好地控制網(wǎng)絡(luò)資源,避免病毒、木馬和黑客攻擊核心數(shù)據(jù)資源,確保用戶實現(xiàn)有效控制訪問。
2.2接入層安全防御措施
接入層可以根據(jù)不同的IP組,分類控制訪問網(wǎng)絡(luò)資源的模式,并且能夠強化遠程接入的防御能力。由于化工企業(yè)員工眾多,需要根據(jù)其所在的不同部門,設(shè)置不同的訪問權(quán)限,僅僅依賴角色控制難以實現(xiàn)訪問資源的合理管理,因為角色管理是人為的,無法更好地從根本上進行控制,因此根據(jù)客戶機的IP地址、MAC地址、交換機端口地址劃分VPN,可以有效地實現(xiàn)遠程訪問VPN、IntranetVPN或ExtranetVPN,共同構(gòu)建良好的VPN模式,并且在實現(xiàn)遠程接入過程中,可以采用隧道加密協(xié)議,將VPN根據(jù)不同的訪問權(quán)限和重要程度劃分為PPTPPN、L2TPPN、IPSecPN和MPLSPN等,以便能夠?qū)鬏數(shù)臄?shù)據(jù)進行不同層次的加密,更好保護化工企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸有效性、安全性、準(zhǔn)確性。
2.3傳輸層防御措施
目前,化工企業(yè)網(wǎng)絡(luò)傳輸層的防御措施也有很多個,比如構(gòu)建入侵檢測、防火墻和審計分析體系,因此可以使用殺毒防毒軟件、防火墻、虛擬局域網(wǎng)和ACL等具體的措施進行實現(xiàn),可以為化工企業(yè)網(wǎng)絡(luò)構(gòu)建一個完善的網(wǎng)絡(luò)防火墻體系,確保網(wǎng)絡(luò)用戶的認證信息是完整的,保證網(wǎng)絡(luò)用戶不受到病毒、木馬侵襲和黑客的攻擊。
2.4主動防御體系
為了更好地面對網(wǎng)絡(luò)安全面臨的威脅,化工企業(yè)除了在接入層和傳輸層采用傳統(tǒng)的安全防御措施之外,同時構(gòu)建主動的安全防御體系,采用主動安全防御措施,以便能夠確保網(wǎng)絡(luò)的正常使用。構(gòu)建主動安全防御體系時,網(wǎng)絡(luò)主動預(yù)警技術(shù)主要包括網(wǎng)絡(luò)主動預(yù)警、響應(yīng)、檢測、保護、恢復(fù)和反擊六個方面,其中核心內(nèi)容是網(wǎng)絡(luò)主動預(yù)警技術(shù)和主動響應(yīng)技術(shù),其也是與傳統(tǒng)的防御技術(shù)具有較大區(qū)別的方面。在網(wǎng)絡(luò)主動預(yù)警過程中,首先可以通過遺傳算法、支持量機、BP神經(jīng)網(wǎng)絡(luò)等技術(shù)進行入侵檢測,以便能夠有效地確定網(wǎng)絡(luò)中是否存在非法數(shù)據(jù)流等信息,掃描網(wǎng)絡(luò)操作系統(tǒng)是否存在漏洞,以便能夠根據(jù)數(shù)據(jù)庫、知識庫中保存的經(jīng)驗數(shù)據(jù),判斷網(wǎng)絡(luò)信息流中是否存在非法的內(nèi)容及相關(guān)的特征,及時主動地采取漏洞預(yù)警、攻擊預(yù)警、行為預(yù)警、情報采集預(yù)警等技術(shù),進行網(wǎng)絡(luò)主動預(yù)警。
2.5網(wǎng)絡(luò)主動響應(yīng)技術(shù)
網(wǎng)絡(luò)主動預(yù)警技術(shù)可以發(fā)現(xiàn)即將或者已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊行為,網(wǎng)絡(luò)主動響應(yīng)技術(shù)可以對相關(guān)的攻擊行為進行防御,以便能夠最大化地降低網(wǎng)絡(luò)攻擊行為帶來的影響。目前,網(wǎng)絡(luò)主動響應(yīng)技術(shù)可以搜集攻擊數(shù)據(jù),對其進行實時的分析,判斷攻擊源所在的位置,以便能夠采用網(wǎng)絡(luò)防火墻等阻斷攻擊源,或者可以采用網(wǎng)絡(luò)攻擊誘騙技術(shù)或者僚機技術(shù),將網(wǎng)絡(luò)中已經(jīng)或正在發(fā)生的攻擊行為引誘到一個無關(guān)緊要的主機上,降低網(wǎng)絡(luò)攻擊造成的危害。
篇3
隨著計算機網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計算機應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統(tǒng)現(xiàn)狀
2.1信息化整體狀況
1)計算機網(wǎng)絡(luò)
某公司現(xiàn)有計算機500余臺,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計算機在同一網(wǎng)段,通過交換機連接。
圖1
2)應(yīng)用系統(tǒng)
經(jīng)過多年的積累,某公司的計算機應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡(luò)的進一步完善,計算機應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2信息安全現(xiàn)狀
為保障計算機網(wǎng)絡(luò)的安全,某公司實施了計算機網(wǎng)絡(luò)安全項目,基于當(dāng)時對信息安全的認識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計算機網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。
3風(fēng)險與需求分析
3.1風(fēng)險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強,計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。
(2)計算機應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強各計算機應(yīng)用系統(tǒng)的用戶管理和身份的認證,加強對數(shù)據(jù)的備份,并運用技術(shù)手段,提高數(shù)據(jù)的機密性、完整性和可用性。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強,安全防護僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。
目前實施的安全方案是基于當(dāng)時的認識進行的,主要工作集中于網(wǎng)絡(luò)安全,對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認證,對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。
針對外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內(nèi)部人員可以直接對重要的服務(wù)器進行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。
美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權(quán)威機構(gòu)的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級。
已購買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險評估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險評估工作。只有在建設(shè)的初期,在規(guī)劃的過程中,就運用風(fēng)險評估、風(fēng)險管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網(wǎng)絡(luò)規(guī)模的擴大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復(fù)雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項工作都能夠有序、規(guī)范地進行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項防范工作,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4設(shè)計原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實施”的原則進行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。
4.1標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。
4.2系統(tǒng)化原則
信息安全是一個復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術(shù)的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風(fēng)險原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險。本規(guī)劃特別考慮規(guī)避運行風(fēng)險問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時,優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
4.4保護投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當(dāng)一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應(yīng)用擴展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風(fēng)險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。
5設(shè)計思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動的始終,如圖2所示。
圖2網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對的,需要在風(fēng)險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺,都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認證服務(wù)。通過建設(shè)證書認證中心系統(tǒng),建立一個完善的網(wǎng)絡(luò)安全認證平臺,能夠通過這個安全平臺實現(xiàn)以下目標(biāo):
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認對方的身份。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實現(xiàn)移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對多種網(wǎng)絡(luò)對象進行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護。
集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認證機制依賴于層次結(jié)構(gòu)的證書認證機構(gòu),所有下一級的組織和個人的證書由上一級的組織負責(zé)認證,而最上一級的組織(根證書)之間相互認證,整個信任關(guān)系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。
5.4桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來自于企業(yè)內(nèi)部。同時,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務(wù)欺騙等,因此,對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡(luò)。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
5.5身份認證
身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程。基于PKI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構(gòu)建用戶集中管理與認證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實現(xiàn)上述身份認證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應(yīng)重視以下各項工作:
(1)在初步進行風(fēng)險分析基礎(chǔ)上,方案實施方應(yīng)進行進一步的風(fēng)險評估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時可借助專業(yè)公司的安全服務(wù),提高應(yīng)對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實際情況,可采取分地區(qū)、分階段實施的方式。
(4)在方案實施的同時,加強規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進一步制度化、規(guī)范化。
7結(jié)論
本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術(shù)手段的改進,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。
篇4
電力企業(yè)網(wǎng)絡(luò)與外網(wǎng)有互連。基于網(wǎng)絡(luò)系統(tǒng)的范圍大、函蓋面廣,內(nèi)部網(wǎng)絡(luò)將面臨更加嚴重的安全威脅,入侵者每天都在試圖闖入網(wǎng)絡(luò)節(jié)點。網(wǎng)絡(luò)系統(tǒng)中辦公系統(tǒng)及員工主機上都有信息,假如內(nèi)部網(wǎng)絡(luò)的一臺電腦安全受損(被攻擊或者被病毒感染),就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。
1.2操作系統(tǒng)的安全風(fēng)險分析
所謂系統(tǒng)安全通常是指操作系統(tǒng)的安全。操作系統(tǒng)的安裝以正常工作為目標(biāo),一般很少考慮其安全性,因此安裝通常都是以缺省選項進行設(shè)置。從安全角度考慮,其表現(xiàn)為裝了很多用不著的服務(wù)模塊,開放了很多不必開放的端口,其中可能隱含了安全風(fēng)險。
1.3應(yīng)用的安全風(fēng)險分析
應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。應(yīng)用的安全性也是動態(tài)的。這就需要我們對不同的應(yīng)用,檢測安全漏洞,采取相應(yīng)的安全措施,降低應(yīng)用的安全風(fēng)險。主要有文件服務(wù)器的安全風(fēng)險、數(shù)據(jù)庫服務(wù)器的安全風(fēng)險、病毒侵害的安全風(fēng)險、數(shù)據(jù)信息的安全風(fēng)險等。
1.4管理的安全分析
管理方面的安全隱患包括:內(nèi)部管理人員或員工圖方便省事,不設(shè)置用戶口令,或者設(shè)置的口令過短和過于簡單,導(dǎo)致很容易破解。責(zé)任不清,使用相同的用戶名、口令,導(dǎo)致權(quán)限管理混亂,信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。內(nèi)部不滿的員工有的可能造成極大的安全風(fēng)險。
2網(wǎng)絡(luò)信息與網(wǎng)絡(luò)安全的防護對策
盡管計算機網(wǎng)絡(luò)信息安全受到威脅,但是采取恰當(dāng)?shù)姆雷o措施也能有效的保護計算機網(wǎng)絡(luò)信息的安全。網(wǎng)絡(luò)安全不僅僅是技術(shù)問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。以下分別就這兩個方面進行論述。
2.1管理維護措施
1)應(yīng)建立健全計算機網(wǎng)絡(luò)安全管理制度體系,定期對管理制度進行檢查和審定,對存在不足或需要改進的管理制度及時進行修訂。2)使用人員應(yīng)該了解國家有關(guān)法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范,并主動貫徹與執(zhí)行;掌握終端的基本使用常識,了解國家電網(wǎng)公司、省公司及分公司有關(guān)管理制度,并嚴格遵守。3)堅持“分區(qū)、分級、分域”的總體防護策略,執(zhí)行網(wǎng)絡(luò)安全等級保護制度。將網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng),內(nèi)、外網(wǎng)之間實施強邏輯隔離的措施。4)內(nèi)外網(wǎng)分離,外網(wǎng)由信息職能管理部門統(tǒng)一出口接入互聯(lián)網(wǎng),其他部門和個人不得以其它方式私自接入互聯(lián)網(wǎng),業(yè)務(wù)管理部門如有任何涉及網(wǎng)絡(luò)互聯(lián)的需求,應(yīng)向信息職能管理部門提出網(wǎng)絡(luò)互聯(lián)的書面申請,并提交相關(guān)資料,按規(guī)定流程進行審批,嚴禁擅自對外聯(lián)網(wǎng),如果互聯(lián)網(wǎng)使用人員發(fā)生人動,原來申請的互聯(lián)網(wǎng)賬戶必須注銷。5)必須實行實名制,實行“誰使用,誰負責(zé)”,通過建立電力企業(yè)網(wǎng)絡(luò)中確定用戶的身份標(biāo)識,將網(wǎng)絡(luò)用戶與自然人建立起一一對應(yīng)的關(guān)系。6)加強網(wǎng)絡(luò)監(jiān)管人員的信息安全意識,特別是要消除那些影響計算機網(wǎng)絡(luò)通信安全的主觀因素。計算機系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù),必須進行加強。7)有關(guān)部門監(jiān)管的力度落實相關(guān)責(zé)任制,對計算機網(wǎng)絡(luò)和信息安全應(yīng)用與管理工作實行“誰主管、誰負責(zé)、預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合”的原則,逐級建立安全保護責(zé)任制,加強制度建設(shè),逐步實現(xiàn)管理的科學(xué)化、規(guī)范化。8)辦公人員每天直接面對計算機的時間是最長的,如果辦公人員本身的計算機操作水平很高,就會有效地減少一些不必要的維護工作。因此,建議計算機管理員在每次維護的過程中,可以適當(dāng)?shù)匕压收袭a(chǎn)生的原因和維護辦法以及注意事項向辦公人員做以講解。隨著維護工作不斷地進行,時間長了,再遇到類似的故障辦公人員便可輕松獨立處理,而不只是束手無策。這樣,既能提高工作效率,又能降低故障,還能避免重復(fù)維護。
2.2技術(shù)維護措施
篇5
網(wǎng)絡(luò)層處于數(shù)據(jù)鏈層和傳輸層之間,是網(wǎng)絡(luò)體系結(jié)構(gòu)中的第三層,TCP/IP協(xié)議族中最核心的IP協(xié)議就在網(wǎng)絡(luò)層,廣泛應(yīng)用的TCP、UDP、IGMP及ICMP數(shù)據(jù)包,都以IP數(shù)據(jù)報文形式傳輸。網(wǎng)絡(luò)層封裝IP數(shù)據(jù)包,并路由轉(zhuǎn)發(fā),解決機器之間的通信問題。網(wǎng)絡(luò)層常見安全問題有:明文傳輸面臨的威脅、IP地址欺騙、源路由欺騙和ICMP攻擊。
3傳輸層的安全
傳輸層在OSI模型中起著關(guān)鍵作用,負責(zé)端到端可靠的交換數(shù)據(jù)傳輸和數(shù)據(jù)控制。在傳輸層使用最廣泛的有兩種協(xié)議:傳輸控制協(xié)議和用戶數(shù)據(jù)報協(xié)議。傳輸層常見安全問題有:TCP"SYN"攻擊、Land攻擊、TCP會話劫持和端口掃描攻擊。
4操作系統(tǒng)的安全
目前在職業(yè)院校,除了服務(wù)器是使用UNIX、Linux外,其它工作站基本是使用微軟操作系統(tǒng),存在以下風(fēng)險。(1)安全隱患的產(chǎn)生,主要是操作系統(tǒng)配置不合理,例如:沒有管理員口令,用戶弱口令,未刪除和禁用不必要的帳號,設(shè)置完全共享的目錄、沒有防病毒軟件、不合理的訪問控制,資源共享的訪問權(quán)限配置不當(dāng)?shù)取#?)操作系統(tǒng)的正常運行需要很多系統(tǒng)服務(wù)支撐,這些系統(tǒng)服務(wù)向用戶和應(yīng)用程序提供功能接口,有些是操作系統(tǒng)正常運行必需的,有些則是不必要的。不必要的服務(wù)不僅會占用系統(tǒng)資源,還會給操作系統(tǒng)帶來安全威脅。如果用戶不知道自已的操作系統(tǒng),哪些服務(wù)是可以訪問網(wǎng)絡(luò)的,就容易被入侵者利用。
5業(yè)務(wù)應(yīng)用的安全
職業(yè)院校為了滿足科研、教學(xué)、辦公的需要,校園網(wǎng)搭建了很多網(wǎng)絡(luò)應(yīng)用系統(tǒng),如:信息、教務(wù)管理、辦公自動化、圖書管理等。這些應(yīng)用系統(tǒng)很重要,但也存在風(fēng)險如下:(1)身份認證:操作系統(tǒng)和應(yīng)用系統(tǒng)為了保證安全,采取了身份認證措施,這些機制各有特點,但是入侵者仍可以利用網(wǎng)絡(luò)竊聽、非法數(shù)據(jù)庫訪問、窮舉攻擊、重放攻擊手段獲取口令。用戶安全意識淡薄,使用系統(tǒng)默認或者弱密碼,并且長期不改動,形同虛設(shè)。(2)WEB服務(wù):WEB服務(wù)是學(xué)校用于對外宣傳、開展網(wǎng)絡(luò)遠程教學(xué)的重要手段,應(yīng)用極其普遍,使得Web服務(wù)經(jīng)常成為非法攻擊的首選目標(biāo)。存在的安全隱患較多,網(wǎng)頁代碼本身就存在后門和一些缺陷,比如IIS漏洞、ASP的上傳漏洞、SQL注入、緩沖區(qū)溢出等。入侵者一旦攻陷WEB服務(wù)器,可以把WEB服務(wù)器作為跳板,通過中間件或數(shù)據(jù)庫連接部件,非法訪問學(xué)校內(nèi)部應(yīng)用系統(tǒng)和數(shù)據(jù)庫,并可利用網(wǎng)頁腳本訪問本地文件系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中其它資源。(3)數(shù)據(jù)庫:數(shù)據(jù)庫是信息系統(tǒng)的核心,校園網(wǎng)內(nèi)的業(yè)務(wù)應(yīng)用依賴于各種數(shù)據(jù)庫系統(tǒng),保證數(shù)據(jù)的安全和完整,正確配置數(shù)據(jù)庫系統(tǒng)顯得至關(guān)重要。數(shù)據(jù)庫是個復(fù)雜的系統(tǒng)。非專業(yè)人員是無法正確配置數(shù)據(jù)庫系統(tǒng)的。關(guān)系型數(shù)據(jù)庫是可從端口尋址的,通過查詢工具就可建立與數(shù)據(jù)庫的連接,例如通過TCP1521和1526端口,就能侵入一個弱防護的數(shù)據(jù)庫;數(shù)據(jù)庫運行過程中,出現(xiàn)的錯誤信息,可以泄漏數(shù)據(jù)庫結(jié)構(gòu),分析這些信息就能實施攻擊。(4)網(wǎng)絡(luò)資源共享:為了工作方便,內(nèi)部人員經(jīng)常會使用網(wǎng)絡(luò)共享,如果沒有對資源共享,作必要的訪問控制策略,重要的數(shù)據(jù)信息,就無防護地暴露在網(wǎng)絡(luò)中。
6網(wǎng)絡(luò)管理的安全
安全管理對于有一定規(guī)模的職業(yè)院校網(wǎng)絡(luò)來說是極其重要的。如果沒有相應(yīng)制度約束,就會帶來風(fēng)險:網(wǎng)絡(luò)管理人員把校園網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的一些重要信息傳播給外人,會造成信息泄漏;密碼和密鑰管理風(fēng)險,管理員賬戶及密碼被外人竊取;在約束缺失的情況下,利用網(wǎng)絡(luò)和系統(tǒng)的弱點,實施入侵、修改、刪除數(shù)據(jù)等非法行為;審計不力或無審計,當(dāng)網(wǎng)絡(luò)受到攻擊或其它威脅時,沒有相應(yīng)的檢測、監(jiān)控、報告與預(yù)警機制。事件發(fā)生后,不能提供任何記錄,無法追蹤線索,缺乏對網(wǎng)絡(luò)的可控和可審查性。
篇6
(2)存在于網(wǎng)絡(luò)信息化機構(gòu)漏洞較多。
目前在我國供電企業(yè)中,網(wǎng)絡(luò)信息化管理并未建立一個完整系統(tǒng)的體系,供電網(wǎng)絡(luò)的各類系統(tǒng)對于關(guān)鍵流程流轉(zhuǎn)、數(shù)據(jù)存儲等都非常的重要,不能出現(xiàn)絲毫的問題,但是所承載網(wǎng)絡(luò)平臺的可靠性卻不高,安全管理漏洞也較多,使得信息管理發(fā)展極不平衡。信息化作為一項系統(tǒng)的工程,未能有專門的部門來負責(zé)執(zhí)行和管理。網(wǎng)絡(luò)信息安全作為我國供電企業(yè)安全文化的重要組成部分,針對現(xiàn)今我國供電企業(yè)網(wǎng)絡(luò)安全管理的現(xiàn)狀來看,計算機病毒,黑客攻擊造成的關(guān)鍵保密數(shù)據(jù)外泄是目前最具威脅性的網(wǎng)絡(luò)安全隱患。各種計算機準(zhǔn)入技術(shù),可移動存儲介質(zhì)加密技術(shù)的應(yīng)用,給企業(yè)信息網(wǎng)絡(luò)安全帶來了一定的保障。但是目前供電企業(yè)信息管理工作不可回避的事實是:操作系統(tǒng)正版化程度嚴重不足。隨著在企業(yè)內(nèi)被廣泛使用的XP操作系統(tǒng)停止更新,針對操作系統(tǒng)的攻擊將變得更加頻繁。一旦有計算機網(wǎng)絡(luò)病毒的出現(xiàn),就會對企業(yè)內(nèi)部計算機進行大規(guī)模的傳播,給目前相對公開化的網(wǎng)絡(luò)一個有機可乘的機會,對計算機系統(tǒng)進行惡意破壞,導(dǎo)致計算機系統(tǒng)崩潰。不法分力趁機竊取國家供電企業(yè)的相關(guān)文件,篡改供電系統(tǒng)相關(guān)數(shù)據(jù),對國家供電系統(tǒng)進行毀滅性的攻擊,甚至致使整個供電系統(tǒng)出現(xiàn)大面積癱瘓。
(3)職工安全防范意識不夠。
想要保證我國網(wǎng)絡(luò)信息的安全,就必須要提高供電企業(yè)員工的綜合素質(zhì),目前國內(nèi)供電企業(yè)職員的安全防范意識不強,水平參差不齊,多數(shù)為年輕職員,實際操作的能力較低,缺少應(yīng)對突發(fā)事件應(yīng)對措施知識的積累。且多數(shù)老齡職工難以對網(wǎng)絡(luò)信息完全掌握,跟不上信息化更新狀態(tài),與新型網(wǎng)絡(luò)技術(shù)相脫軌。
2網(wǎng)絡(luò)信息安全管理在供電企業(yè)中的應(yīng)用
造成供電企業(yè)的信息安全的威脅主要來自兩個方面,一方面是國家供電企業(yè)本身設(shè)備上的信息安全威脅,另一方面就是外界網(wǎng)絡(luò)惡意的攻擊其中以外界攻擊的方式存在的較多。現(xiàn)階段我國供電企業(yè)的相關(guān)部門都在使用計算機對網(wǎng)絡(luò)安全進行監(jiān)督和管理,難以保證所有計算機完全處在安全狀態(tài)。一般情況下某臺計算機泄露重要文件或者遭到黑客的惡意攻擊都是很難察覺的,這就需要加強我國供電企業(yè)進行安全的管理,建立病毒防護體系,及時更新網(wǎng)絡(luò)防病毒軟件,針對性地引進遠程協(xié)助設(shè)備,提高警報設(shè)備的水平。供電企業(yè)的信息系統(tǒng)一個較為龐大且繁雜的系統(tǒng),在這個系統(tǒng)中存在信息安全風(fēng)險也是必然的。在這種情況下就要最大程度地降低存在的風(fēng)險,對經(jīng)歷的風(fēng)險進行剖析,制定針對性的風(fēng)險評估政策,確立供電企業(yè)信息系統(tǒng)安全是以制定針對性風(fēng)險評估政策為前提的,根據(jù)信息安全工作的緊迫需求做好全面的風(fēng)險評估至關(guān)重要。“掌握核心技術(shù)”不只是一句簡單的廣告詞語,還是國家和各個企業(yè)都應(yīng)該一直貫徹落實的方針政策。為了避免外界對我國供電企業(yè)信息技術(shù)的操控,國家相關(guān)部門就必須實行自主研發(fā)信息安全管理體系,有效地運用高科技網(wǎng)絡(luò)技術(shù)促使安全策略、安全服務(wù)和安全機制的相結(jié)合,大力開發(fā)信息網(wǎng)絡(luò),促進科技管理水平的快速提高,以保證我國供電信息管理的安全。
篇7
企業(yè)網(wǎng)絡(luò)安全所面臨的威脅除了技術(shù)方面的因素外,還有一部分是管理不善引起的。企業(yè)網(wǎng)絡(luò)安全面臨的威脅主要來自以下兩個方面。
2.1缺乏專門的管理人員和相關(guān)的管理制度
俗話說“三分技術(shù),七分管理”,管理是企業(yè)信息化中重要的組成部分。企業(yè)信息化過程中缺乏專門的管理人員和完善的管理制度,都可能引起企業(yè)網(wǎng)絡(luò)安全的風(fēng)險,給企業(yè)網(wǎng)絡(luò)造成安全事故。由于大部分企業(yè)沒有專門的網(wǎng)絡(luò)安全管理人員,相關(guān)的網(wǎng)絡(luò)管理制度也不完善,實際運行過程中沒有嚴格要求按照企業(yè)的網(wǎng)絡(luò)安全管理制度執(zhí)行。以至于部分企業(yè)選用了最先進的網(wǎng)絡(luò)安全設(shè)備,但是其管理員賬號一直使用默認的賬號,密碼使用簡單的容易被猜中的密碼,甚至就是默認的密碼。由于沒有按照企業(yè)信息化安全管理制度中密碼管理的相關(guān)條款進行操作,給系統(tǒng)留下巨大的安全隱患,導(dǎo)致安全事故發(fā)生。
2.2技術(shù)因素導(dǎo)致的主要安全威脅
企業(yè)網(wǎng)絡(luò)應(yīng)用是架構(gòu)在現(xiàn)有的網(wǎng)絡(luò)信息技術(shù)基礎(chǔ)之上,對技術(shù)的依賴程度非常高,因此不可避免的會有網(wǎng)絡(luò)信息技術(shù)的缺陷引發(fā)相關(guān)的安全問題,主要表現(xiàn)在以下幾個方面。
2.2.1計算機病毒
計算機病毒是一組具有特殊的破壞功能的程序代碼或指令。它可以潛伏在計算機的程序或存儲介質(zhì)中,當(dāng)條件滿足時就會被激活。企業(yè)網(wǎng)絡(luò)中的計算機一旦感染病毒,會迅速通過網(wǎng)絡(luò)在企業(yè)內(nèi)部傳播,可能導(dǎo)致整個企業(yè)網(wǎng)絡(luò)癱瘓或者數(shù)據(jù)嚴重丟失。
2.2.2軟件系統(tǒng)漏洞
軟件的安全漏洞會被一些別有用心的用戶利用,使軟件執(zhí)行一些被精心設(shè)計的惡意代碼。一旦軟件中的安全漏洞被利用,就可能引起機密數(shù)據(jù)泄露或系統(tǒng)控制權(quán)被獲取,從而引發(fā)安全事故。
3企業(yè)網(wǎng)絡(luò)安全的防護措施
3.1配備良好的管理制度和專門的管理人員
企業(yè)信息化管理部門要建立完整的企業(yè)信息安全防護制度,結(jié)合企業(yè)自身的信息系統(tǒng)建設(shè)和應(yīng)用的進程,統(tǒng)籌規(guī)劃,分步實施。做好安全風(fēng)險的評估、建立信息安全防護體系、根據(jù)信息安全策略制定管理制度、提高安全管理水平。企業(yè)內(nèi)部的用戶行為約束必須通過嚴格的管理制度進行規(guī)范。同時建立安全事件應(yīng)急響應(yīng)機制。配備專門的網(wǎng)絡(luò)安全管理員,負責(zé)企業(yè)網(wǎng)絡(luò)的系統(tǒng)安全事務(wù)。及時根據(jù)企業(yè)網(wǎng)絡(luò)的動向,建立以預(yù)防為主,事后補救為輔的安全策略。細化安全管理員工作細則,如日常操作系統(tǒng)維護、漏洞檢測及修補、應(yīng)用系統(tǒng)的安全補丁、病毒防治等工作,并建立工作日志。并對系統(tǒng)記錄文件進行存檔管理。良好的日志和存檔管理,可以為預(yù)測攻擊,定位攻擊,以及遭受攻擊后追查攻擊者提供有力的支持。
3.2防病毒技術(shù)
就目前企業(yè)網(wǎng)絡(luò)安全的情況來看,網(wǎng)絡(luò)安全管理員主要是做好網(wǎng)絡(luò)防病毒的工作,主流的技術(shù)有分布式殺毒技術(shù)、數(shù)字免疫系統(tǒng)技術(shù)、主動內(nèi)核技術(shù)等幾種。企業(yè)需要根據(jù)自身的實際情況,靈活選用,確保殺毒機制的有效運行。
3.3系統(tǒng)漏洞修補
現(xiàn)代軟件規(guī)模越來越大,功能越來越多,其中隱藏的系統(tǒng)漏洞也可能越來越多。不僅僅是應(yīng)用軟件本身的漏洞,還有可能來自操作系統(tǒng),數(shù)據(jù)庫系統(tǒng)等底層的系統(tǒng)軟件的漏洞引發(fā)的系列問題。因此解決系統(tǒng)漏洞的根本途徑是不斷地更新的系統(tǒng)的補丁。既可以購買專業(yè)的第三方補丁修補系統(tǒng),也可以使用軟件廠商自己提供的系統(tǒng)補丁升級工具。確保操作系統(tǒng),數(shù)據(jù)系統(tǒng)等底層的系統(tǒng)軟件是最新的,管理員還要及時關(guān)注應(yīng)用系統(tǒng)廠商提供的升級補丁的信息,確保發(fā)現(xiàn)漏洞的第一時間更新補丁,將系統(tǒng)漏洞的危害降到最低。
篇8
1.3外網(wǎng)用戶訪問內(nèi)部網(wǎng)絡(luò)公司會有一些出差在外地的人員以及居家辦公人員SOHO(SmallOfficeHomeOffice),因辦公需要,會到公司內(nèi)網(wǎng)獲取相關(guān)數(shù)據(jù)資料,出于安全和便捷等因素考慮,需要借助虛擬專用網(wǎng)絡(luò)技術(shù)VPN(VirtualPrivateNetwork)來實現(xiàn)。通常的做法是安裝VPN設(shè)備(應(yīng)用網(wǎng)關(guān))來實現(xiàn)。
2網(wǎng)絡(luò)安全設(shè)備的部署與應(yīng)用
通過企業(yè)網(wǎng)絡(luò)安全分析,結(jié)合中小企業(yè)網(wǎng)絡(luò)的實際需求進行設(shè)計,網(wǎng)絡(luò)拓撲如圖1所示。從拓撲圖1可以看出,該網(wǎng)絡(luò)中的核心網(wǎng)絡(luò)設(shè)備為UTM綜合安全網(wǎng)關(guān)。它集成了防病毒、入侵檢測和防火墻等多種網(wǎng)絡(luò)安全防護功能,從而成為統(tǒng)一威脅管理UTM(UnifiedThreatManagement)綜合安全網(wǎng)關(guān)。它是一種由專用硬件、專用軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備,通過提供一項或多項安全功能,將多種安全特性集成于一個硬件設(shè)備,構(gòu)成一個標(biāo)準(zhǔn)的統(tǒng)一管理平臺[2]。通常,UTM設(shè)備應(yīng)該具備的基本功能有網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(防御)和網(wǎng)關(guān)防病毒等功能。為使這些功能能夠協(xié)同運作,有效降低操作管理難度,研發(fā)人員會從易于操作使用的角度對系統(tǒng)進行優(yōu)化,提升產(chǎn)品的易用性并降低用戶誤操作的可能性。對于沒有專業(yè)信息安全知識的人員或者技術(shù)力量相對薄弱的中小企業(yè)來說,使用UTM產(chǎn)品可以很方便地提高這些企業(yè)應(yīng)用信息安全設(shè)施的質(zhì)量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計等。網(wǎng)絡(luò)接入和路由轉(zhuǎn)發(fā)功能也可由UTM設(shè)備來實現(xiàn)。因其具有多個接口(即多個網(wǎng)卡),可通過設(shè)定接口組把辦公區(qū)、車間、服務(wù)器組等不同區(qū)域劃分成不同的網(wǎng)段;通過對不同網(wǎng)段設(shè)定不同的訪問規(guī)則,制定不同的訪問策略,來實現(xiàn)非軍事化區(qū)DMZ(demilitarizedzone)、可信任區(qū)以及非信任區(qū)的劃分,從而有效增強網(wǎng)絡(luò)的安全性和穩(wěn)定性。
對于上網(wǎng)行為的管理,可以通過內(nèi)置UTM設(shè)備的功能來實現(xiàn)管控,并可以實現(xiàn)Web過濾以及安全審計功能.1可以訪問互聯(lián)網(wǎng),而車間2不能訪問互聯(lián)網(wǎng)。在辦公區(qū)和部分車間安裝無線AP,可方便人員隨時接入網(wǎng)絡(luò)。通過訪問密碼和身份認證等手段,可對接入者進行身份識別,對其訪問網(wǎng)絡(luò)的權(quán)限進行區(qū)分管控。市場上還有一些專用的上網(wǎng)行為管理設(shè)備,有條件的單位可進行安裝,用以實現(xiàn)對員工上網(wǎng)行為進行更為精準(zhǔn)的管控。對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端,用事先分配好的VPN賬戶,借助UTM設(shè)備的VPN功能,與總部建立VPN隧道,從而保證相互間通信的保密性,安全訪問企業(yè)內(nèi)部網(wǎng)絡(luò),實現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。
篇9
1.信息網(wǎng)絡(luò)安全概述
信息網(wǎng)絡(luò)安全是指通過各種各樣的網(wǎng)絡(luò)技術(shù)手段,保證計算機在正常運行的過程中處于安全的狀態(tài),避免硬件及軟件受到網(wǎng)絡(luò)相關(guān)的危險因素的干擾與破壞,同時還可以阻止一些危險程序?qū)φ麄€系統(tǒng)進行攻擊與破壞,從而將信息泄露和篡改等,最終保證信息網(wǎng)絡(luò)在互聯(lián)網(wǎng)的大環(huán)境中正常運行[3]。信息網(wǎng)絡(luò)安全的維護主要是以信息與數(shù)據(jù)的完整性與可控性作為核心,并且能夠通過用戶的操作,實現(xiàn)基本的應(yīng)用目的。在信息網(wǎng)絡(luò)的安全維護中,主要包括兩個方面。一是設(shè)備安全,包括計算機系統(tǒng)的穩(wěn)定、硬件實體的安全以及軟件的正常運行。二是信息安全,主要指的是數(shù)據(jù)的備份、數(shù)據(jù)庫的安全性等。
2.通信企業(yè)信息網(wǎng)絡(luò)面臨的主要安全威脅
2.1人為的惡意攻擊
目前信息網(wǎng)絡(luò)所面臨的最大的威脅和挑戰(zhàn)就是認為的惡意攻擊,人們采取各種各樣的方式對于信息進行選擇性的破壞和控制,從而造成機密信息的丟失和篡改。
2.2人為的無意失誤
通訊企業(yè)通過對專門的管理人員進行管理與培訓(xùn)從而保證信息網(wǎng)絡(luò)系統(tǒng)的正常運行,在日常管理和培訓(xùn)的過程中,會無意的使相應(yīng)的措施處理不當(dāng),這是在所難免的,當(dāng)工作人員因為自己的原因?qū)е虏僮鞑划?dāng),會使信息網(wǎng)絡(luò)系統(tǒng)出現(xiàn)或多或少的漏洞,還有可能造成設(shè)備的損壞,這些都是由于人為的無意失誤造成的后果[4]。
2.3計算機病毒
由于計算機網(wǎng)絡(luò)的復(fù)雜性及聯(lián)系性,在工作過程中會盡可能的實現(xiàn)資源共享,因此所接收的結(jié)點會有很多。由于無法檢測每個結(jié)點是否是安全的,因此極容易造成系統(tǒng)的病毒感染。而一旦信息網(wǎng)絡(luò)受到病毒的感染后,病毒會在信息網(wǎng)絡(luò)中以非常快的速度進行再生并且傳染給其他系統(tǒng),最終將波及整個網(wǎng)絡(luò),后果將不堪設(shè)想[5]。
3.通信企業(yè)做好信息網(wǎng)絡(luò)工作的措施
3.1對內(nèi)部網(wǎng)的訪問保護
(1)用戶身份認證。如果用戶想要進入網(wǎng)絡(luò)必須經(jīng)過三個步驟即首先進行用戶名進行驗證,其次進行用戶口令進行驗證,最后依據(jù)用戶帳號進入網(wǎng)絡(luò)。在這三個步驟中最關(guān)鍵的操作就是用戶口令,用戶口令需要同時進行系統(tǒng)的加密從而保護網(wǎng)絡(luò)的安全,并且還應(yīng)控制同一個賬戶同時登陸多個計算機的這種現(xiàn)象[6]。(2)權(quán)限控制。管理員及用戶在進入網(wǎng)絡(luò)前需要履行某一個任務(wù)因此必須遵守所謂的權(quán)限原則,這種控制方法可以有效的防止一些非法的用戶在一定時間內(nèi)訪問網(wǎng)絡(luò)資源,從而從根本上阻斷這條途徑。在進行權(quán)限設(shè)置的過程中,一定要遵守一些原則,第一,一定要合理的設(shè)置網(wǎng)絡(luò)權(quán)限,確保網(wǎng)絡(luò)權(quán)限設(shè)置的準(zhǔn)確性,不能因為所設(shè)置的權(quán)限從而影響了整個網(wǎng)絡(luò)的正常工作,影響了工作的整體效率;第二應(yīng)該增加一些先進的合理的加密操作技術(shù)來減少病毒的入侵,從而從一定程度上保證網(wǎng)絡(luò)的正常運行,對網(wǎng)絡(luò)信息數(shù)據(jù)使用系統(tǒng)性的加密來確保網(wǎng)絡(luò)安全性和合理性,最終實現(xiàn)對計算機所有結(jié)點信息的實時保護。(3)加密技術(shù)。通過合理準(zhǔn)確的數(shù)學(xué)函數(shù)轉(zhuǎn)換的方法對系統(tǒng)以密文的形式代替明文的現(xiàn)象稱之為數(shù)據(jù)加密,當(dāng)數(shù)據(jù)加密后,只有特定的管理人員可以對其進行解密,在數(shù)據(jù)加密的過程中主要包含兩大類:對稱加密和不對稱加密。
3.2對內(nèi)外網(wǎng)間的訪問保護
(1)安全掃描。互聯(lián)網(wǎng)互動過程中,及時的對計算機安全衛(wèi)士和殺毒軟件等進行升級,以便及時的對流動數(shù)據(jù)包進行檢測,以便及時有效的對網(wǎng)絡(luò)中發(fā)現(xiàn)的木馬和病毒采取有效的防護措施。(2)防火墻系統(tǒng)。防火墻作為計算機網(wǎng)絡(luò)信息安全防護的第一道屏障,是一種加強網(wǎng)絡(luò)之間訪問控制,以此來決定網(wǎng)絡(luò)之間傳輸信息的準(zhǔn)確性、真實性及安全性,對于計算機的安全與正常運行具有重要的意義[7]。(3)入侵檢測。計算機當(dāng)中的病毒傳播的速度較快且危害性極大,為此應(yīng)該對網(wǎng)絡(luò)系統(tǒng)進行病毒的預(yù)防及統(tǒng)一的、集中管理,采用防病毒技術(shù)及時有效的進行殺毒軟件系統(tǒng)的升級,以便對網(wǎng)絡(luò)互動中發(fā)現(xiàn)的木馬或病毒程序采取及時的防護措施。
3.3網(wǎng)絡(luò)物理隔離
在進行信息網(wǎng)絡(luò)安全控制的過程中不能單一的采用一種安全控制對其保護,而應(yīng)該根據(jù)網(wǎng)絡(luò)的復(fù)雜性采取不同的安全策略加以控制,因此管理人員可以依據(jù)密保的等級的程度、各種功能的保護以及不同形式安全設(shè)施的水平等差異,通過網(wǎng)絡(luò)分段隔離的方式提高通信企業(yè)信息網(wǎng)絡(luò)安全。這樣的形式及控制方法將以往的錯綜復(fù)雜的控制體系轉(zhuǎn)變成為細化的安全控制體系,能夠?qū)τ诟鞣N惡意的攻擊和入侵所造成的危害降低到最小。我們通常所說的物理隔離是指能滿足物理隔離的安全性要求的、相對的物理隔離技術(shù)。物理隔離的原理是使單個用戶在同一時間、同一空間不能同時使用內(nèi)部網(wǎng)和外部網(wǎng)兩個系統(tǒng)。如果兩個系統(tǒng)在空間上物理隔離,在不同的時間運行,那么就可以得到兩個完全物理隔離的系統(tǒng)[8]。
3.4安全審計及入侵檢測技術(shù)
安全審計技術(shù)對于整個信息網(wǎng)絡(luò)安全的控制起到了關(guān)鍵性作用,它可以針對不同的用戶其入侵的方式、過程以及活動進行系統(tǒng)精密的記錄,主要分為兩個階段即誘捕和反擊。誘捕是一種特異安排出現(xiàn)的漏洞,可以在一定程度允許入侵者在一定時間內(nèi)侵入,以便在今后能夠獲得更多的入侵證據(jù)及入侵的特征;當(dāng)獲得足夠多的特征及證據(jù)的基礎(chǔ)上開始進行反擊,通過計算機精密的系統(tǒng)對用戶的非法入侵的行為進行秘密跟蹤并且在較快的時間里查詢對方的身份以及來源,從而將系統(tǒng)與入侵者的連接切斷,還可追蹤定位并對攻擊源進行反擊。
3.5制定切實可行的網(wǎng)絡(luò)安全管理策略
要想使通信企業(yè)信息網(wǎng)絡(luò)安全正常運行其前提必須保證整個網(wǎng)絡(luò)系統(tǒng)的安全,必須針對網(wǎng)絡(luò)安全提出相應(yīng)的安全策略,應(yīng)該使信息網(wǎng)絡(luò)使用起來安全方便,從而尋找最方便有效的安全措施。在工作的過程中管理人員一定要熟知對于開放性和安全性的具體要求,并且在工作過程中試圖尋求兩者的共同點和平衡點,當(dāng)兩者出現(xiàn)矛盾的時候應(yīng)該考慮事情的實際情況有進行準(zhǔn)確的取舍。對本網(wǎng)絡(luò)拓撲結(jié)構(gòu)和能夠承受的安全風(fēng)險進行評估,從網(wǎng)絡(luò)安全技術(shù)方面為保證信息基礎(chǔ)的安全性提供了一個支撐。
信息網(wǎng)絡(luò)的發(fā)展需要計算機技術(shù)具有跟高的要求,特別是針對通信企業(yè)的信息網(wǎng)絡(luò)安全的控制問題應(yīng)該加以關(guān)注,這直接關(guān)系到整個企業(yè)的發(fā)展。信息網(wǎng)絡(luò)工程是一個巨大而又復(fù)雜的動態(tài)的系統(tǒng)工程,需要從多角度進行思索與探討從而進行綜合性的分析,才能選擇出更好地安全網(wǎng)絡(luò)設(shè)備,并且對其進行有針對的系統(tǒng)的優(yōu)化,從而提高管理人員及工作人員的業(yè)務(wù)水平,最終全面提高整個通訊企業(yè)信息網(wǎng)絡(luò)安全。
作者:王春寶 于曉鵬 單位:吉林師范大學(xué)計算機學(xué)院
參考文獻
[1]盧昱.網(wǎng)絡(luò)控制論淺敘[J].裝備指揮技術(shù)學(xué)院學(xué)報,2002,3(6):60-64.
[2]王雨田,控制論、信息論、系統(tǒng)科學(xué)與哲學(xué)[M].北京:中國人民大學(xué)出版社,1986.
[3]南湘浩,陳鐘.網(wǎng)絡(luò)安全技術(shù)概論[M].北京:國防工業(yè)出版社,2003.
[4]涂華.醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全與防范[J].中山大學(xué)學(xué)報論叢,2011,04(12).
[5]王蕓《.電子商務(wù)法規(guī)》.高等教育出版社,2010年版.
篇10
3、標(biāo)準(zhǔn)化原則。標(biāo)準(zhǔn)化原則是前提。統(tǒng)一的制度體系、規(guī)范的業(yè)務(wù)流程、明確的位職以及有效適用的內(nèi)部管控措施保證電網(wǎng)資金安全的重要前提。電網(wǎng)公司資金安全管理就要走標(biāo)準(zhǔn)化管理路線,包括執(zhí)行統(tǒng)一的資金安全管理標(biāo)準(zhǔn)體系,統(tǒng)一的基礎(chǔ)環(huán)境設(shè)置、資金安全管理運作機制框架以及資金安全信息化建設(shè)范本。各單位按公司統(tǒng)一標(biāo)準(zhǔn)制定本單位資金安全管理制度并制定適合的實施操作細則,將資金業(yè)務(wù)各項工作落到實處。
4、智能化原則。該原則指借助信息網(wǎng)絡(luò)通訊技術(shù),可以實現(xiàn)對整個集團的資源整合,實現(xiàn)集團集中式管理,實現(xiàn)集中控制。電網(wǎng)企業(yè)資金安全管理,也要借助信息技術(shù),搭建智能化的資金業(yè)務(wù)管理平臺,建立資金監(jiān)控系統(tǒng)以及全面的資金業(yè)務(wù)平臺,實現(xiàn)企業(yè)決策完善的數(shù)據(jù)體系和信息共享機制,實現(xiàn)銀行賬戶、資金流量與資金存量的在線管控,實現(xiàn)資金安全風(fēng)險預(yù)警,為資金安全管理提供先進有效地手段。
二、電網(wǎng)企業(yè)資金安全管理的薄弱環(huán)節(jié)
(一)缺乏統(tǒng)一資金安全管理制度流程。雖然公司各單位建立了部分資金管理制度和流程,但由于監(jiān)督檢查力度不夠,執(zhí)行效果難以保證。比如電費收取方面,如果監(jiān)督執(zhí)行不力,很容易產(chǎn)生電費資金少收、挪用、不及時上交貪污等風(fēng)險。再如資金支付方面,由于支付項多、支付頻率高,如果沒有嚴格的資金審批流程,很可能造成資金使用的浪費,甚至舞弊。
(二)公司資金管理信息化程度不高,管理受到局限。公司資金收支點多而廣,產(chǎn)權(quán)級次達到五級,全資及控股單位較多,銀行賬戶數(shù)量較多。如此龐大的資金進出,單靠人為手工跟蹤檢査并不可行,盡管各單位對于部分資金業(yè)務(wù)實現(xiàn)了信息化管理如電子支付系統(tǒng)、費用報銷平臺等,但實施效果并不理想,存在自動化程度不高、數(shù)據(jù)滯后、生成的管理報表不準(zhǔn)確等現(xiàn)象。部分常態(tài)性、經(jīng)常性資金業(yè)務(wù),例如,資金實時監(jiān)控;資金支付計劃的編制、審批、上報;資金流量情況表的編制等,公司更是急需實施系統(tǒng)自動化管理。信息系統(tǒng)滯后,公司各級位無法有效對下級單位現(xiàn)金流入和流出進行嚴格監(jiān)管,又加上基層單位資金管理水平高低不等,部分單位資金管理基礎(chǔ)較為薄弱,導(dǎo)致資金安全存在一定的風(fēng)險。
(三)內(nèi)部資金控制乏力。目前,很多電網(wǎng)企業(yè)受產(chǎn)權(quán)等因素影響,對所屬子公司資金直接控制能力較弱,造成資金分散沉淀,管理和控制難度很大;其次,數(shù)目眾多的電費賬戶管理和核算由營銷部門移交到財務(wù)部門后,未達賬項仍舊較大,導(dǎo)致集團本部出現(xiàn)資金監(jiān)控盲區(qū)。此外,由于資金流動信息不能實時全面反映資金運營狀況,使得集團本部對資金流量不能有效控制,導(dǎo)致資金流入與流出進度不匹配,上述三方面問題綜合作用給集團公司帶來巨大的財務(wù)風(fēng)險。
(四)電網(wǎng)企業(yè)尚未建立資金安全管理考核評價機制。資金管理考核有利于把安全管理各項工作效果評價并量化,有助于全面提高公司資金管理責(zé)任意識,從而調(diào)動各級單位和資金管理人員的工作積極性和主動性,形成有效的激勵、約束機制。但由于目前公司總部對下屬單位資金管控力度不夠,資金考核評價機制也尚未建立。公司資金集中管理僅僅是資金管理的一種手段,資金管理的首要目的是確保全網(wǎng)資金安全。資金安全管理必須以規(guī)范的制度流程、標(biāo)準(zhǔn)的賬戶管理、完善的信息系統(tǒng)管理等為保障。針對公司目前資金管理存在的問題,本文構(gòu)建了資金安全評價體系,從而更好地確保電網(wǎng)企業(yè)資金安全。
篇11
1網(wǎng)絡(luò)管理制度不完善
網(wǎng)絡(luò)管理制度不完善是妨礙企業(yè)網(wǎng)絡(luò)安全諸多因素中破壞力最強的。“沒有規(guī)矩,不成方圓。”制度就是規(guī)矩。當(dāng)前,一些企業(yè)的網(wǎng)絡(luò)管理制度不完善,尚未形成規(guī)范的管理體系,存在著網(wǎng)絡(luò)安全意識淡漠、管理流程混亂、管理責(zé)任不清等諸多嚴重問題,使企業(yè)相關(guān)人員不能采取有效措施防范網(wǎng)絡(luò)威脅,也給一些攻擊者接觸并獲取企業(yè)信息提供很大的便利。
2網(wǎng)絡(luò)建設(shè)規(guī)劃不合理
網(wǎng)絡(luò)建設(shè)規(guī)劃不合理是企業(yè)網(wǎng)絡(luò)安全中存在的普遍問題。企業(yè)在成立初期對網(wǎng)絡(luò)建設(shè)并不是十分重視,但隨著企業(yè)的發(fā)展與擴大,對網(wǎng)絡(luò)應(yīng)用的日益頻繁與依賴,企業(yè)未能對網(wǎng)絡(luò)建設(shè)進行合理規(guī)劃的弊端也就會日益凸顯,如,企業(yè)所接入的網(wǎng)絡(luò)寬帶的承載能力不足,企業(yè)內(nèi)部網(wǎng)絡(luò)計算機的聯(lián)接方式不夠科學(xué),等等。
3網(wǎng)絡(luò)設(shè)施設(shè)備的落后
網(wǎng)絡(luò)設(shè)施設(shè)備與時展相比始終是落后。這是因為計算機和網(wǎng)絡(luò)技術(shù)是發(fā)展更新最為迅速的科學(xué)技術(shù),即便企業(yè)在網(wǎng)絡(luò)設(shè)施設(shè)備方面投入了大筆資金,在一定時間之后,企業(yè)的網(wǎng)絡(luò)設(shè)施設(shè)備仍是落后或相對落后的,尤其是一些企業(yè)對于設(shè)施設(shè)備的更新和維護不夠重視,這一問題會更加突出。
4網(wǎng)絡(luò)操作系統(tǒng)自身存在漏洞
操作系統(tǒng)是將用戶界面、計算機軟件和硬件三者進行有機結(jié)合的應(yīng)用體系。網(wǎng)絡(luò)環(huán)境中的操作系統(tǒng)不可避免地會存在安全漏洞。其中包括計算機工作人員為了操作方便而主動留出的“后門”以及一些因技術(shù)問題而存在的安全隱患,一旦這些為網(wǎng)絡(luò)黑客所了解,就會給其進行網(wǎng)絡(luò)攻擊提供便利。
網(wǎng)絡(luò)安全防護體系的構(gòu)建策略
如前所述,企業(yè)網(wǎng)絡(luò)安全問題所面臨的形勢十分嚴峻,構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護體系已經(jīng)刻不容緩。要結(jié)合企業(yè)計算機網(wǎng)絡(luò)的具體情況,構(gòu)建具有監(jiān)測、預(yù)警、防御和維護功能的安全防護體系,切實保障企業(yè)的信息安全。
1完善企業(yè)計算機網(wǎng)絡(luò)制度
制度的建立和完善是企業(yè)網(wǎng)絡(luò)安全體系的重要前提。要結(jié)合企業(yè)網(wǎng)絡(luò)使用要求制定合理的管理流程和使用制度,強化企業(yè)人員的網(wǎng)絡(luò)安全意識,明確網(wǎng)絡(luò)安全管護責(zé)任,及時更新并維護網(wǎng)絡(luò)設(shè)施設(shè)備,提高網(wǎng)絡(luò)設(shè)施的應(yīng)用水平。如果有必要,企業(yè)應(yīng)聘請專門的信息技術(shù)人才,并為其提供學(xué)習(xí)和培訓(xùn)的機會,同時,還要為企業(yè)員工提供網(wǎng)絡(luò)安全的講座和培訓(xùn),引導(dǎo)企業(yè)人員在使用網(wǎng)絡(luò)時主動維護網(wǎng)絡(luò)安全,避免網(wǎng)絡(luò)安全問題的出現(xiàn)。
2配置有效的防火墻
防火墻是用于保障網(wǎng)絡(luò)信息安全的設(shè)備或軟件,防火墻技術(shù)是網(wǎng)絡(luò)安全防御體系的重要構(gòu)成。防火墻技術(shù)主要通過既定的網(wǎng)絡(luò)安全規(guī)則,監(jiān)視計算機網(wǎng)絡(luò)的運行狀態(tài),對網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)包進行安全檢查并實施強制性控制,屏蔽一些含有危險信息的網(wǎng)站或個人登錄或訪問企業(yè)計算機,從而防止計算機網(wǎng)絡(luò)信息泄露,保護計算機網(wǎng)絡(luò)安全。
3采用有效的病毒檢測技術(shù)
篇12
方案實施
12#軋機系統(tǒng)
在該生產(chǎn)線增加一臺光電轉(zhuǎn)換器,采用雙絞線與控制系統(tǒng)連接,與主控室網(wǎng)絡(luò)通過光纖連接。系統(tǒng)結(jié)構(gòu)如圖2所示。
21#軋機系統(tǒng)
生產(chǎn)線系統(tǒng)中的交換機采用雙絞線與光纖收發(fā)器連接,再通過光纖與主控室網(wǎng)絡(luò)連接。系統(tǒng)結(jié)構(gòu)如圖3所示。
網(wǎng)絡(luò)安全設(shè)計
在各生產(chǎn)線之間以及服務(wù)器與內(nèi)網(wǎng)之間配置防火墻,以實現(xiàn)主控室與環(huán)網(wǎng)以及各生產(chǎn)線系統(tǒng)之間的隔離,進行細粒度的安全區(qū)域的劃分;并采用嚴格的訪問控制策略,以保證各個控制區(qū)域的網(wǎng)絡(luò)安全。詳細配置:
(1)在主控室和環(huán)網(wǎng)連接處配置一臺防火墻,通過此防火墻隔離這些網(wǎng)絡(luò)區(qū)域之間連接,同時對這些區(qū)域之間的網(wǎng)絡(luò)通信進行隔離;在防火墻上設(shè)置嚴格的安全控制策略,有效地控制這些網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)通信,保障網(wǎng)絡(luò)安全。
(2)在防火墻的基礎(chǔ)上,配置詳細的日志記錄能力,對所有經(jīng)過防火墻的數(shù)據(jù)進行記錄,并對用戶的訪問行為進行有效地記錄,以便事后取證,進行網(wǎng)絡(luò)通信行為的分析,以調(diào)整更合理的防火墻策略。
(3)在每臺計算機上安裝殺毒軟件,定期對電腦進行病毒查殺,并保證殺毒軟件的及時更新。對監(jiān)控計算機上的存儲區(qū)用“核心數(shù)據(jù)衛(wèi)士”進行保護,對外部存儲設(shè)備進行加密隔離,禁止非法的文件傳輸。
系統(tǒng)測試
(1)系統(tǒng)安全性測試:對實時生產(chǎn)信息進行了多次安全測試,經(jīng)過長時間的運行,系統(tǒng)對生產(chǎn)數(shù)據(jù)的傳輸、畫面的監(jiān)控及各計算機之間的訪問起到了很好的防護。
(2)系統(tǒng)準(zhǔn)確性測試:對一些控制參數(shù)和數(shù)據(jù)進行比較、校驗、查看,經(jīng)測試完全正確。
篇13
1 系統(tǒng)簡介及使用工具
本系統(tǒng)的功能是進行畢業(yè)設(shè)計,由學(xué)院布置教師的畢業(yè)設(shè)計指導(dǎo)任務(wù),讓學(xué)生選題,準(zhǔn)備開題,教師允許開題后教師和學(xué)生在網(wǎng)站上進行交流,完善設(shè)計后開始撰寫論文,畢業(yè)論文完畢,學(xué)生開始答辯,由教師審核并給出修改意見,最后教師給出成績。
畢業(yè)論文系統(tǒng)采用了JSP網(wǎng)站開發(fā)技術(shù),網(wǎng)頁設(shè)計軟件Dreamweaver 8,SQL Server數(shù)據(jù)庫技術(shù),JDBC數(shù)據(jù)庫連接技術(shù)來制作。JSP技術(shù)以Java Servlet為基礎(chǔ),保留了Java技術(shù)簡單易用、面向?qū)ο蟆⑵脚_無關(guān)性和安全可靠的特點。Dreamweaver 8可以使用服務(wù)器技術(shù)(例如,CFML,ASP,,JSP和PHP)生成動態(tài)的、數(shù)據(jù)庫驅(qū)動的Web應(yīng)用程序。SQL Server采用SQL語句執(zhí)行操作,這些語句可以作為腳本語句直接在數(shù)據(jù)庫環(huán)境中編譯運行,還可以嵌入到其他宿主語言中去。JDBC可以連接的數(shù)據(jù)庫包括Oracle,SQL Server, MYSQL,Sybase, DB2,Access,來滿足不同編程人員對數(shù)據(jù)庫開發(fā)的要求。
2 系統(tǒng)的功能設(shè)計
根據(jù)畢業(yè)設(shè)計和論文的完成要求,功能分為3個模塊,包括教師,學(xué)生,管理人員。
系統(tǒng)的功能模塊劃分如下:
管理員:設(shè)置功能與權(quán)限,學(xué)生與教師信息管理,題目審核,論文指導(dǎo)工作安排,公告,指導(dǎo)教師與學(xué)生調(diào)劑,數(shù)據(jù)保存,生成報表和文件
教師:教師基本信息,論文題目,查看選題,處理題目,論文查看,公告與回復(fù),成績評定
學(xué)生:學(xué)生的信息,指導(dǎo)教師與題目,選題功能,提交論文與發(fā)言,查看成績
3 系統(tǒng)的實現(xiàn)
3.1 系統(tǒng)前臺和后臺的實現(xiàn)
系統(tǒng)的前臺實現(xiàn)主要使用控件,后臺功能的實現(xiàn)使用代碼,列舉其中2個功能模塊的實現(xiàn)過程如下:
學(xué)生注冊頁面的實現(xiàn)
學(xué)生注冊信息包括學(xué)號,姓名,專業(yè),班級,電子郵件,聯(lián)系電話,QQ號碼
其后臺功能代碼是:
3.2 系統(tǒng)數(shù)據(jù)庫的實現(xiàn)
本系統(tǒng)的功能就是教師指導(dǎo)學(xué)生進行畢業(yè)設(shè)計,由學(xué)院布置教師的畢業(yè)設(shè)計指導(dǎo)任務(wù),由教師先給出專業(yè)方向讓學(xué)生選題,審題后布置任務(wù),學(xué)生開始收集資料并準(zhǔn)備開題,教師確定開題后學(xué)生開始進行畢業(yè)設(shè)計,在設(shè)計期間教師和學(xué)生在網(wǎng)站上進行交流,完善設(shè)計后開始撰寫論文,教師一直都在網(wǎng)站上輔導(dǎo),到了規(guī)定的時間,畢業(yè)論文完畢,學(xué)生開始預(yù)答辯,由教師審核并給出修改意見,學(xué)生正式答辯,教師在答辯后再給出完善意見來達到最滿意的程度,最后教師根據(jù)整個畢業(yè)設(shè)計指導(dǎo)過程結(jié)合答辯組的意見給出成績,最后將答辯的所有相關(guān)文件和資料都保存到網(wǎng)站上供其他人來瀏覽。
4 系統(tǒng)的測試
4.1 服務(wù)器的安全性和穩(wěn)定性的測試
包括服務(wù)器能否可以長時間穩(wěn)定的運行,網(wǎng)絡(luò)傳輸率的計算
4.2 程序及數(shù)據(jù)庫測試
所選的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)是否穩(wěn)定,嚴密,測試程序是否有好的容錯性,并用各種實例對系統(tǒng)的功能進行測試,例如,用戶注冊,學(xué)生選題,教師發(fā)公告等
4.3 網(wǎng)頁兼容性的測試
畢業(yè)論文系統(tǒng)最終測試的階段將能夠看到各個階段的結(jié)果,其目的是為系統(tǒng)在高等院校的投入使用做好準(zhǔn)備。 使用各種瀏覽器,顯示器和瀏覽網(wǎng)頁的方法對系統(tǒng)進行測試,檢查頁面是否正常顯示,頁面打開和跳轉(zhuǎn)的時間等。
5 總結(jié)
論文分析了畢業(yè)論文系統(tǒng)的必要性;研究了系統(tǒng)的設(shè)計與實現(xiàn);以及測試了系統(tǒng)的應(yīng)用。由于時間及個人專業(yè)水平有限,所做的工作還有很多待完善的地方,還有很多需要解決的問題,進一步的工作還包括:
(1) 擴充系統(tǒng)的數(shù)據(jù)庫
更好的利用SQL Server技術(shù)進行數(shù)據(jù)庫的擴充,使系統(tǒng)更好的管理畢業(yè)論文環(huán)節(jié)。
(2) 增加系統(tǒng)的功能模塊
隨著網(wǎng)絡(luò)的不斷發(fā)展,例如延期和提前答辯,網(wǎng)上答辯等模塊還需要增加
(3) 畢業(yè)論文與其他教學(xué)環(huán)節(jié)的聯(lián)系
畢業(yè)論文是重要的教學(xué)環(huán)節(jié),學(xué)生是否能取得畢業(yè)證與畢業(yè)論文的完成情況有重大聯(lián)系,所以,學(xué)院的其他部門的工作也要參考畢業(yè)論文系統(tǒng)的信息
參考文獻
[1] 耿祥義、張躍平,JSP基礎(chǔ)教程(第2版),清華大學(xué)出版社,2009年10月第二版,132-174
[2] 林振榮、徐蘇,JSP程序設(shè)計,中國鐵道出版社,2010年6躍第1版,144-225
[3] 方逵,JSP編程技術(shù)與應(yīng)用,高等教育出版社,2003年10月第1版,204-212
[4] 宋昆、李嚴, SQL Server數(shù)據(jù)庫開發(fā)實例解析,機械工業(yè)出版社2006:10-89
[5] 張莉, SQL Server數(shù)據(jù)庫原理及應(yīng)用教程,清華大學(xué)出版社,2003:30-140
[6] 王國輝、牛強、李南南,ASP信息系統(tǒng)開發(fā)實例精選,機械工業(yè)出版社 2005:180-300.
[7] 張躍廷、王小科、許文武,JSP數(shù)據(jù)庫系統(tǒng)開發(fā)案例精選,人民郵電出版社,2007年1月,第1版,220-350
英文翻譯:
The Design and Implementation of Thesis system based on JSP
E JING JING
