韦斌柳州市城市规划档案馆 广西 545001
随着我国进入 WTO,社会对政府高效办公提出了更高的要求。建立功能完善、安全可靠的网络办公平台,增强管理的科学性和有效性,提升办事效率和工作效能,已势在必行。然而在实现联网办公的同时,由于使用人员混杂,管理水平各异,病毒传播广泛,网络攻击盛行,公文及行政审批等在网络上传输和管理的安全受到严重威胁。因此,加强网络安全,防止信息被泄露、修改和非法窃取已成为当前网络办公自动化普及与应用迫切需要解决的问题。
从国际标准化组织对计算机系统安全的定义来看,计算机安全的定义包含物理安全和逻辑安全,其逻辑安全的内容就是我们常说的信息安全,是指网络系统的硬件、软件及数据受到保护,不受偶然的或者恶意的破坏、更改、泄露,网络系统连续可靠运行,服务不中断,从而确保数据的可用性、完整性和保密性。对用户来说,就是涉及到个人隐私和行政审批的信息在网络上传输时机密性、完整性和真实性得到有效保护,不被窃听、冒充、篡改、抵赖和破坏;对网络管理者来说,就是可以保护和控制对本地网络信息的访问、读写等操作,避免出现病毒、非法存取、拒绝服务和网络资源的非法占用和非法控制等威胁,制止和防御黑客的攻击。
计算机网络的开放性、互联性、连接方式的多样性及终端分布的广阔性,以及网络的脆弱性和人为的疏忽,决定了网络环境下的计算机系统存在着很多的安全隐患。
计算机系统只是智能的机器,极易受自然灾害及环境的影响。由大量的终端、服务器、网络设施以及其他媒体组成的计算机网络,形成了统一有机的整体,任何部分的安全漏洞,如由于网络自身脆弱性导致的安全防护措施不力,或网络布线走向不合理、服务器无备份、交换机无备用、无防雷措施、未配不间断电源等,或者地震、水灾、火灾等环境事故;人为操作失误;设备被盗、被毁等问题,都可能引发整个网络的瘫痪。可见网络的物理安全是整个网络安全的前提,在局域网内,网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,加强网络设备和机房的管理,这些风险就可以大大降低。
无论是Windows NT或者UNIX操作系统,其开发厂商都会留有“后门”,因此存在着漏洞,为黑客入侵系统提供了方便之门,几乎可以肯定没有完全安全的操作系统。但是,可以对操作系统进行安全配置、对访问权限进行严格控制来提高系统的安全性。首先选用可靠的操作系统和硬件平台,而且加强登录过程的认证,确保用户的合法性;其次严格限制登录者的操作权限,将其完成的操作限制在最小的范围内,以提高系统的安全系数。
随着网络技术的发展,计算机病毒技术也在快速地发展变化之中,而且在一定程度上走在网络安全技术的前面,有关调查表明 2009年新增电脑病毒就超二千万,并且伴随着用户对网络安全问题的关注,病毒呈现多元化发展趋势,以猫癣下载器、宝马下载器、文件夹伪装者为代表的“隐蔽性”顽固病毒频繁出现,同时小范围、针对性的木马、病毒也已成为新增病毒的主流,危害十分大。尽管病毒种类繁多,发展和传播迅速,感染形式多样,还是可以预防和杀灭的。只要增强网络的安全意识,采取有效的防杀措施,随时注意工作中计算机的运行情况,发现异常及时处理,就可以减少病毒的危害。
近年来,黑客的攻击手段层出不穷,攻击行动无所不在,无时不在。有的对网络设备进行信息轰炸,致使服务中断;有的入侵Web或其他文件服务器删除或篡改数据,致使系统瘫痪甚至完全崩溃等等,其攻击杀伤力强,危害极大。据媒体披露,仅2009年我国有52%的网民遭遇过网络安全事件,为此遭受的经济损失高达153亿元。然而黑客问题的出现,并非是黑客能够制造入侵的机会,而是因为网络本身的缺陷,成为被攻击的目标或利用为攻击的途径,并构成了自然或人为的破坏。面对狡猾的黑客,我们必须综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,才能防止其攻击。
责权不明,管理混乱、安全管理制度不健全及可操作性差等都可能引起管理安全的风险。大多数内网计算机和使用人员众多,对终端控制能力不强,安全规定无法执行,信息资源授权管理体系不完善,缺乏细粒度的控制,很容易造成内部人员越权访问资源、文件资料失控泄密。当网络出现攻击行为或网络受到其它安全威胁时,也无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。可见制定并切实执行针对性强的网络安全管理制度是规避管理安全风险的关键。
构建安全的局域网,需要考虑计算机终端、用户身份、计算机外设、应用系统、网络、存储和服务器等各方面的因素,其安全架构可以划分为:局部安全、全局安全、智能安全。局部安全就是针对关键问题点进行安全部署,抵御最基础的安全威胁;全局安全则是将网络中的网络设备、安全设备和各组件联动起来,在统一的安全管理平台上进行安全事件的收集、整理、分析,并通过统一的安全策略,达到协同防御的目的,实现整网安全风险的提前预防与及时控制;智能安全是在局部安全、全局安全的基础上,构建了专业安全服务、开放应用架构和可持续演进的全局安全管理平台,通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理,将各种异构的安全产品、网络设备、用户终端和管理员有机地连接起来,构成了一个智能的、联动的闭环响应体系,将网络变为能感知安全威胁到处理安全响应的智能安全实体。通过这三个层面的共同协防,就可以构建一个多层次、全方位的立体防护网络体系,让网络成为一个健康、稳定、可靠的安全实体。
网络安全最重要的就是网络上的信息安全,网络信息安全包含技术方面和管理方面。技术方面侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。这样完整的内部网络的安全体系就应该至少包括安全产品、安全技术和策略、安全管理以及安全制度等多个方面,整个体系可分为水平层面上的安全产品、安全技术和策略、安全管理,其在使用模式上是支配与被支配的关系;垂直层面上为安全制度,从上至下地规定各个水平层面上的安全行为。
3.2.1 安全产品
安全产品是各种安全策略和安全制度的执行载体。虽然有了安全制度,但既不能把制度理想化,也不能把人理想化,因此还必须有好的安全工具把安全管理的措施具体化。网络安全产品的选择应建立在相关安全产品能够相互通信并协同工作的基础上,即实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动,以实现最大程度和最好效果的安全保证。
3.2.2 安全技术和策略
内部安全漏洞在于人,而不是技术。因此,应重点由发现问题并填补漏洞迅速转向查出谁是破坏者、采取弥补措施并消除事件再发生的可能性。网络安全具体来说包括攻击检测、攻击防范、攻击后的恢复三大方面,因此安全技术和策略的实现也应从这三个方面来考虑。有效的安全策略工具应包括实时审查目录和服务器的功能:不断地自动监视目录,检查用户权限和用户组账户有无变更;警惕地监视服务器,检查有无可疑的文件活动。对于数据的安全保护,有必要的攻击防范,在内网中采用基于密码技术的数字身份认证和高强度的加密数据传输技术,同时采用安全的密钥分发技术,既防止用户对业务的否认和抵赖,又防止数据遭到窃听后被破解,保证了数据在网上传输的可靠性。攻击后恢复首先是数据的安全存储和备份,在发现遭受攻击后可以利用备份的数据快速的恢复。
3.2.3 安全管理
安全管理主要是指安全管理人员。有了好的安全工具和策略,还必须有好的安全管理人员来有效地使用工具和实现策略。安全管理员应随时掌握网络安全的最新动态,实时监控网络上的用户行为,保障网络设备自身和网上信息的安全,并对可能存在的网络威胁有一定的预见能力和采取相应的应对措施,同时对已经发生的网络破坏行为在最短的时间内做出响应,使损失减少到最低限度。
3.2.4 网络安全制度
网络安全的威胁来自人对网络的使用,在网络安全建设上要“三分技术,七分管理”。在我国企事业单位里,由于管理制度上的不完善、人员责任心不强而导致的网络安全事故发生屡见不鲜。事实证明,只有从网络安全的角度来实施对人的管理,制定相应的政策法规,使网络安全的相关问题做到有法可依、有据可查,只有通过制度手段加强安全管理,才能保证由安全产品和安全技术组成的安全防护体系能够被有效地使用,保障网络的安全。
构建一个真正可管理、可信任和可控制的局域网络,应针对网络安全威胁建立正确的安全策略,制定网络安全的整体解决方案,统一规划,综合各种网络安全产品技术的优势,构建整体一致的局域网安全管理平台。在信息技术日新月异的今天,随着时间和网络环境的变化或技术的发展,局域网需要不断调整自身的安全策略,如何保证网络的安全,是一个值得长期探索和研究的问题。
[1]杨学梅.数字图书馆的网络完全与防范措施[J].科技情报开发与科技.2006.
[2]梁宏伟.高校图书馆网络安全分析与对策[J].中国信息导报.2006.
[3]李军利,张根耀,卜晓燕.园区网络安全技术研究[J].计算机与网络.2006.
[4]刘强.医学图书馆计算机网络安全策略[J].现代信息技术.2006.