宗华丽
(海河水利委员会水利信息网络中心,天津 300170)
海委计算机网络安全和防范策略简介
宗华丽
(海河水利委员会水利信息网络中心,天津 300170)
随着计算机和网络技术的日新发展,计算机网络已成为我们工作生活不可或缺的工具,随之而来的安全问题如网络漏洞、黑客攻击、网络负载等成为计算机网络健康运行时刻需要警觉的事情。在分析海委网络安全存在问题的基础上,描述海委计算机网络安全防范采取的措施和防范策略。
计算机;网络安全;恶意攻击;海委
随着计算机网络技术的快速发展,人们对于信息网络的认识更加充分,对于网络平台共享资源的应用更加顺畅,但是相应的各种网络安全问题诸如系统软硬件Bug、黑客攻击、网络堵塞、人们网络安全意识薄弱等造成信息被窃取、个人的隐私和财产受到威胁,网络安全问题日益成为国家和个人重视的事情。笔者在具体介绍海委计算机网络现状的基础上,通过对海委计算机网络存在的安全问题进行剖析,阐述了海委计算机网络采取的安全防范策略和措施。
计算机网络安全(Network Security)一般是指利用网络技术及管理措施,使在一个网络环境内数据的完整性、保密性及可实用性得到保护。网络安全从物理安全和逻辑安全两个方面来确保计算机网络的高可靠性。其中,物理安全是系统设备及相关设施受到物理保护免于被破坏或者丢失;逻辑安全即保证信息的完整性、保密性和可用性。参照ISO给出的计算机安全定义,笔者认为计算机网络安全是指“保护计算机网络系统中的硬件、软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行和网络服务正常有序。”
1.1 网络安全的特性
由于计算机网络本身具有开放性、共享性,这就决定了它的脆弱性,而网络系统自身也具有一些固有的弱点,一些非授权用户利用这些弱点对网络系统进行非法访问,使网络系统内的数据完整性受到严重威胁。
笔者主要从硬件、操作系统、应用程序、网络漏洞、管理5个方面阐述网络安全的特性。
(1)硬件是网络安全的基础保障,其合理配置关系到硬件的正常运行,保障数据传输的真实性以及数据的备份能力等。
(2)这里所指的操作系统是指网络中的各种计算机操作系统、各种存储设备的数据库系统,操作系统的稳定性能够保证各类服务器系统不被攻击破坏,确保硬件防火墙的设置、用户权限的配置以及重要数据的备份能力。
(3)应用程序环节的健康合理使用是网络安全的重要一环。往往一些病毒、木马植入用户计算机就是由于用户不恰当使用应用程序导致的。所以,规范化安装应用程序、配备常用防护杀毒软件并且及时更新应用程序是保障网络安全的重要环节。
(4)网络漏洞则是通过网络硬件设备如防火墙、入侵检测等防止非授权用户的攻击和破坏。
(5)管理方面要求严防死守,对整个网络的本地安全策略和网络管理流程精心梳理,从制度上严格遵守执行,明确突发情况时如何采取应急措施,以保证网络服务器等设备及数据的安全。
网络物理安全是指网络硬件的安全,它是整个网络安全的基础保障。要做到网络物理安全必须在建设网络初期就应该重视设计,搭建好之后要有专门的硬件安全防线(如智能路由、硬件防火墙以及智能交换机等),同时要对网络定期进行漏洞病毒扫描,做到数据备份。在此基础上,管理制度管理手段是维持网络健康运行的灵魂,只有这样才能保障网络的健康活跃性。
1.2 海委计算机网络安全性概述
海委计算机网络开发建设使用较早,很多设备老化、网络速度过慢、延迟过高的现象时有发生。海委政务外网之前对上网流量没有限制,造成一些用户使用一些P2P软件,强行占用网络带宽,将其他用户流量降到最低,导致一些用户反映网速过慢;由于互联网和电子政务外网衔接监控不严格,加之局域网内部监管不力,网络中的Arp病毒及各种网络病毒泛滥;另外,海委数据机房服务器比较陈旧,导致上网高峰期出现不稳定现象,数据的容灾备份能力也比较弱,更加成为海委政务外网安全性的弱点。
经过近几年项目实施和资金投入,海委建成了自己局域网络的防护屏障,以保障海委日常办公的正常开展。海委电子政务安全设备部署情况,如图1所示。
图1 海委电子政务外网安全设备部署拓扑图
从图1可以看出,海委已经建成具有多层硬件防火墙、智能路由及交换设备、入侵检测、行为监控、抗DOS攻击、网络审计、负载均衡等屏障的防护体系,从物理安全上保障了海委政务外网的安全。
2.1 网络访问控制措施
(1)防火墙(Firewall)应用。防火墙是用于内部网络与外部网络之间的网络安全防护系统,按照特定的规则,允许或限制数据传输的通过。一般而言,用于服务器端的是硬件防火墙,用于客户端的是软件防火墙。防火墙的应用极大提高了网络访问的安全性。
(2)访问控制列表(Access Control List,简称ACL)设置。访问控制列表是一系列的规则,由于在网络交换机和路由器之间需要相关的网络接口,这些接口是网络安全的第一道关口,ACL是这些接口用到的指令来规范数据出入海委电子政务外网,以保障数据传输的安全性。
(3)虚拟局域网(Virtual Local Area Network,简称VLAN)设立。虚拟局域网是一组逻辑上的设备和用户,这些设备和用户不受物理位置的限制,可以根据功能因素将其组织起来进行通信。VLAN用于内部局域网络的虚拟IP地址划分,用逻辑地址管理实际的政务外网内的计算机网络设备,使用VLAN技术来隔离网络内部计算机,确保整个网络更加安全。
(4)IP与MAC地址绑定。海委政务外网的每台计算机终端都是IP与MAC地址绑定的,防止IP地址被盗造成的网络无法运行、数据丢失等后果。由于每台机器的MAC都是唯一的,所以通过绑定IP地址减少了虚拟IP所造成的隐患。
2.2 入侵检测系统
入侵检测系统(IDS)是一种对网络传输进行实时监控的系统,不同于防火墙的被动防御,它是发现可疑传输主动采取措施的网络安全设备。IDS是一种监听设备,不用跨接任何链路,无需网络流量便可工作。因此,在海委政务外网拓扑图上IDS配备在互联网入口处,这样IDS可监视所有所关注的流量。
IDS根据入侵检测可分为异常检测和误用检测,前者是根据已设立的系统正常访问模式来检测,不符合该模式的均为入侵;后者则是将所有可能发生的不利入侵建立一个模型库来匹配来访者的身份,符合该模型的定位为入侵。检测技术也是基于这两种策略衍生出来的,分为基于异常情况的和基于标志性的,目前这两种检测技术相结合应用的场景较多。
2.3 网络漏洞扫描系统
漏洞扫描技术是一种重要的网络安全技术。通过漏洞扫描,网络管理员能够了解网络的配置和各种应用服务,能够及时发现安全漏洞,分析网络安全等级并及时更正系统不当配置,给安全漏洞打补丁,在安全威胁之前做好防范工作。漏洞扫描跟防火墙、入侵检测系统相互配合,提高了网络安全性。
2.4 抗DDoS攻击、行为监控策略
海委电子政务外网还架设有抗DDoS攻击设备以及行为监控设备,通过抗DDoS攻击设备能够更加安全保障海委数据机房服务器的健康高效运转、行为监控设备能够对出入海委电子政务外网的数据实行双向监控,更加保障数据传输的安全性。
2.5 病毒防护体系
计算机病毒也是威胁网络安全的一大因素,病毒的破坏性不同,但是只要它存在就会对计算机网络损害。因此,一个好的防病毒体系不仅可以防御病毒的入侵,还能保护工作人员的本地文件,能够给网络管理人员减轻很多不必要的工作负担。
2.6 安全管理平台和管理措施
为了有效地管理海委电子政务外网、保障其高效安全的运行,通过水资源项目,海委建设了一套安全管理平台,这样能够从技术上对海委网络进行管理。根据海委已经建设的统一用户库,可以对每个使用海委电子政务外网的用户进行身份认证和安全审计。这样一来,每个用户访问政务外网都是单点登录,可以有效减少出现越权操作、非法纂改的现象。
对于非授权用户非法进入政务外网系统,网络安全管理平台会出现告警通知系统管理员,同时自动屏蔽非法操作。网络安全管理平台有其单独的日志管理,对于任何访问操作都进行相应的登记,以便发生特殊情况时查询。
任何网络的健康与否与网络安全密切相关,若做不到安全则网络迟早会出现瘫痪等问题。一个健康安全的网络需要很多方面的保障,为此海委已经逐步建立起自己的政务外网安全防护体系,在网络安全策略和网络安全管理方面能够做到以下几点:
(1)严格登录权限设置,不同的级别赋予不同的使用权限,以达到尽量减少不必要的数据损失。
(2)政务外网坚持一一对应的原则,每个人根据自己权限的不同所了解到的信息也有所不同,这样防止重要或者特殊信息泄露的情况。
(3)网络管理员要严格对各种权限进行级别分类和监管,以保障网络使用的安全。
随着科学技术手段的提高、各级部门重视程度的加强以及管理人员素质水平的提升,海委网络安全防护体系也将日臻完善。
水利部督查组检查上海国家地下水监测工程建设情况
9月21—22日,水利部督查组来沪监督检查上海市国家地下水监测工程建设情况,上海市水务局总工程师胡欣陪同检查。督查组实地查看了外环西河泵闸和张家塘泵站等地下水监测井站点,询问了现场施工进展情况,检查了各类档案资料,并对现场施工进行了检查指导。在汇报会上,督查组听取了相关情况介绍,并就做好下阶段重点工作提出意见和建议。
国家地下水监测工程是由水利部和国土资源部联合开展的建设项目,涉及全国31个省(市、自治区)。上海市建设任务包括新建地下水监测井91个,总进尺8 254 m。市水文总站受部项目办的委托,开展上海市建设任务的项目管理工作。上海市监测井建设于2016年12月开工,目前已完成监测井77眼,达到总井数的85%,预计2018年4月全面完成。
(摘自2017年9月30日水利部网)
TP393.08
A
1004-7328(2017)05-0063-03
10.3969/j.issn.1004-7328.2017.05.021
2017—05—20
宗华丽(1984—),女,硕士,工程师,主要从事水利网络管理及信息安全工作。