❶ 办公自动化网络安全
摘要:随着计算机网络技术的普及,利用联网实现办公自动化,并将办公自动化应用到政府、军队等安全性要求较高的机构已成为一种迫切的需要.所谓办公自动化是指运用微机及相关外设,有效地管理和传输各种信息,达到提高工作效率的目的。办公自动化网络是一个中小型的局部网络.办公自动化网络系统是自动化无纸办公系统的重要组成部分。在实现联网办公时,由于覆盖面大,使用人员混杂,管理水平各异,往往不能保证公文在网络上安全传输和管理。还有一些人专门在网络上从事信息破坏活动,给国家、企业造成巨大的损失.因此,加强网络安全,防止信息被泄露、修改和非法窃取成为当前网络办公自动化普及与应用迫切需要解决的问题。本文总结了办公自动化网络常见的安全问题及其后果,探讨了解决这些安全问题的方法,提供了基于网络内部的安全策略。
1、前言
企业内部办公自动化网络一般是基于TcrilP协议并采用了Internet的通信标准和Web信息流通模式的Intra-net,它具有开放性,因而使用极其方便。但开放性却带来了系统人侵、病毒人侵等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果,给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。
办公自动化系统的安全包括网络设备、配套设备的安全、数据的安全、通讯的安全、运行环境的安全,还包括网络内部每台计算机的安全、计算机功能的正常发挥等部分。办公自动化网络安全问题的解决主要应从预警、防护、灾难恢复等三方面人手,下面就安全预警、数据安全防护、人侵防范、病毒防治以及数据恢复等方面分别探讨。
2、办公自动化网络常见的安全问题
(1)网络病毒的传播与感染
随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。网络病毒普遍具有较强的再生机制,可以通过网络扩散与传染。一旦某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。
(2)黑客网络技术的入侵
目前的办公自动化网络基本上都采用以广播为技术基础的以太网。在同一以太网中,任何两个节点之间的通信数据包,不仅可以为这两个节点的网卡所接收,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。另外,为了工作方便,办公自动化网络都备有与
外网和国际互联网相互连接的出人口,因此,外网及国际互联网中的黑客只要侵人办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息;而本网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。
(3)系统数据的破坏
在办公自动化网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵人,黑客基于各种原因侵人网络,其中恶意侵人对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、FAT表、文件目录等;病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件;病毒还可能攻击CMOS,破坏系统CMOS中的数据。第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。
3、网络安全策略
(1)网络安全预警
办公自动化网络安全预誓系统分为人侵预警和病毒预警两部分。人侵预警系统中,人侵检测可以分析确定网络中传输的数据包是否经过授权。一旦检测到人侵信息,将发出警告,从而减少对网络的威胁。它把包括网络扫描、互联网扫描、系统扫描、实时监控和第三方的防火墙产生的重要安全数据综合起来,提供内部和外部的分析并在实际网络中发现风险源和直接响应。它提供企业安全风险管理报告,报告集中于重要的风险管理范围,如实时风险、攻击条件、安全漏洞和攻击分析;提供详细的人侵告警报告,显示人侵告警信息(如人侵IP地址及目的IP地址、目的端口、攻击特征),并跟踪分析人侵趋势,以确定网络的安全状态;信息可以发往相关数据库,作为有关网络安全的决策依据。病毒预警系统通过对所有进出网络的数据包实施不间断的持续扫描,保持全天24小时监控所有进出网络的文件,发现病毒时可立即产生报警信息,通知管理员,并可以通过IP地址定位、端口定位追踪病毒来源,并产生功能强大的扫描日志与报告,记录规定时间内追踪网络所有病毒的活动。
(2)数据安全保护
①针对入侵的安全保护:对于数据库来说,其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类,人侵保护应主要考虑以下几条原则:物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。用户对数据的存取应有明确的授权策略,保证用户只能打开自己权限范围之内的文件;通过审计和留痕技术避免非法者从系统外取得系统数据或是合法用户为逃避系统预警报告的监督而从系统中取得数据;客户端安全保护,客户端的安全主要是要求能配合服务器的安全措施,提供身份认证、加密、解密、数字签名和信息完整性验证功能,并通过软件强制实现各客户机口令的定期更换,以防止口令泄漏可能带来的损失。
②针对病毒破坏及灾难破坏的安全保护:对于病毒和灾难破坏的数据保护来说,最为有效的保护方式有两大类:物理保护和数据备份。要防止病毒和灾难破坏数据,首先要在网络核心设备上设置物理保护措施,包括设置电源冗余模块和交换端口的冗余备份;其次是采用磁盘镜像或磁盘阵列存储数据,避免由于磁盘物理故障造成数据丢失;另外,还要使用其他物理媒体对重要的数据进行备份,包括实时数据备份和定期数据备份,以便数据丢失后及时有效地恢复。
(3)人侵防范
要有效地防范非法入侵,应做到内外网隔离、访问控制、内部网络隔离和分段管理。
①内外网隔离:在内部办公自动化网络和外网之间,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。第一层隔离防护措施是路由器。路由器滤掉被屏蔽的IP地址和服务。可以首先屏蔽所有的IP地址,然后有选择的放行一些地址进人办公自动化网络。
第二层隔离防护措施是防火墙。大多数防火墙都有认证机制,无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
②访问控制:公自动化网络应采用访问控制的安全措施,将整个网络结构分为三部分,内部网络、隔离区以及外网。每个部分设置不同的访问控制方式。其中:内部网络是不对外开放的区域,它不对外提供任何服务,所以外部用户检测不到它的IP地址,也难以对它进行攻击。隔离区对外提供服务,系统开放的信息都放在该区,由于它的开放性,就使它成为黑客们攻击的对象,但由于它与内部网是隔离开的,所以即使受到了攻击也不会危及内部网,这样双重保护了内部网络的资源不受侵害,也方便管理员监视和诊断网络故障。
③内部网络的隔离及分段管理:内部网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。办公自动化网络可以根据部门或业务需要分段.网络分段可采用物理分段或逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层上分为若干网段,各网段相互之间无法进行直接通讯;逻辑分段则是指将整个系统在网络层上进行分段。并能实现子网隔离。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现隔离。采取相应的安全措施后,子网间可相互访问。对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在这里,防火墙被用来隔离内部网络的一个网段与另一个网段,可以限制局部网络安全问题对全局网络造成的影响。
(4)病毒防治
相对于单机病毒的防护来说,网络病毒的防治具有更大的难度,网络病毒防治应与网络管理紧密结合。网络防病毒最大的特点在于网络的管理功能,如果没有管理功能,很难完成网络防毒的任务。只有管理与防范相结合,才能保证系统正常运行。计算机病毒的预防在于完善操作系统和应用软件的安全机制。在网络环境下,病毒传播扩散快,仅用单机防杀病毒产品已经难以清除网络病毒,必须有适用于局域网、广域网的全方位防杀病毒产品。为实现计算机病毒的防治,可在办公自动化网络系统上安装网络病毒防治服务器,并在内部网络服务器上安装网络病毒防治软件,在单机上安装单机环境的反病毒软件。安装网络病毒防治服务器的目标是以实时作业方式扫描所有进出网络的文件。本地网络与其它网络间的数据交换、本地网络工作站与服务器间的数据交换、本地网络各工作站之间的数据交换都要经过网络病毒防治服务器的检测与过滤,这样就保证了网络病毒的实时查杀与防治。
(5)数据恢复
办公自动化系统数据遭到破坏之后,其数据恢复程度依赖于数据备份方案。数据备份的目的在于尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:实时高速度、大容量自动的数据存储、备份与恢复;定期的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在人侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
随着企业各部门之间、企业和企业之间、国际间信息交流的日益频繁,办公自动化网络的安全问题已经提到重要的议事日程上来,一个技术上可行、设计上合理、投资上平衡的安全策略已经成为成功的办公自动化网络的重要组成部分。
❷ 网络安全防范
网络贴吧里去下一个嘛....要不到黑客联盟里找一找...这方面的东西多得很..加以修改..就是一篇好文章了.呵呵.
❸ 公司网络安全
企业网络安全认知与防范
在科学技术发展的今天,计算机和计算机网络正在逐步改变着人们的工作和生活方式,尤其是Internet的广泛使用更为企业的管理、运营和统计等带来了前所未有的高效和快捷。但同时计算机网络的安全隐患亦日益突出。
从网络结构上来看,企业网可分为三个部分。即企业的内部网络、企业的外部网络和企业广域网。网站建立的目的主要是帮助企业建立一个展示企业文化,发布企业信息,宣传企业形象和介绍企业产品的这样一个信息平台。如图就是一个实际的企业网络拓扑图。
★ 威胁安全的主要因素
由于企业网络由内部网络、外部网络和企业广域网组成,网络结构复杂,威胁主要来自:病毒的侵袭、黑客的入侵、拒绝服务、密码破解、网络窃听、数据篡改、垃圾邮件、恶意扫描等。大量的非法信息堵塞合法的网络通信,最后摧毁网络架构本身。
下面来分析几个典型的攻击方式:
密码破解 是先设法获取对方机器上的密码文件,然后再设法运用密码破解工具获得密码。除了密码破解攻击,攻击者也有可能通过猜测或网络窃听等方式获取密码。
网络窃听 是直接或间接截获网络上的特定数据包并进行分析来获取所需信息。
数据篡改 是截获并修改网络上特定的数据包来破坏目标数据的完整性。
地址欺骗 是攻击者将自身IP伪装成目标机器信任的机器的IP 地址,以此来获得对方的信任。
垃圾邮件 主要表现为黑客利用自己在网络上所控制的计算机向企业的邮件服务器发送大量的垃圾邮件,或者利用企业的邮件服务器把垃圾邮件发送到网络上其他的服务器上。
非法入侵 是指黑客利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至毁坏数据的活动,一旦企业的重要数据被窃将会给企业造成无法挽回的损失。
★ 企业网络安全的防范
企业网络安全的防范策略目的就是决定一个组织机构怎样来保护自己。一般来说,安全策略包括两个部分:一个总体的安全策略和具体的规则。总体安全策略制定一个组织机构的战略性安全指导方针,并为实现这个方针分配必要的人力物力。一般是由管理层的官员来主持制定这种政策以建立该组织机构的信息系统安全计划和其基本框架结构。
物理隔离 即在网络建设的时候单独建立两套相互独立的网络,一套用于部门内部办公自动化,另一套用于连接到Internet,在同一时候,始终只有一块硬盘处于工作状态,这样就达到了真正意义上的物理安全隔离。
远程访问控制 主要是针对于企业远程拨号用户,在内部网络中配置用户身份认证服务器。在技术上通过对接入的用户进行身份和密码验证,并对所有的用户机器的MAC地址进行注册,采用IP 地址与MAC地址的动态绑定,以保证非授权用户不能进入。
病毒的防护 在企业培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。
防火墙 目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问对专用网络的非法访问。一般来说, 这种防火墙的安全性能很高,是最不容易被破坏和入侵的。
★ 结束语
企业网络安全是一个永远说不完的话题,今天企业网络安全已被提到重要的议事日程。一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增。如何才能持续停留在知识曲线的最高点,把握住企业网络安全的大门这将是对新一代网络管理人员的挑战。
资料:
网络安全
http://www.xfocus.net/ 这个网站差不多够你看的了。
企业网络安全八大威胁 IM和电邮上榜
http://tech.sina.com.cn/i/2007-09-14/07401739285.shtml
❹ 简述网络安全策略的概念及制定安全策略的原则
网络的安全策略1.引言
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。因此,上述的网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
2.计算网络面临的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三:
(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
3.计算机网络的安全策略
3.1 物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
3.2 访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。 3.2.1 入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。
网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全角式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。
用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
3.2.2 网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
3.2.3 目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问 ,从而加强了网络和服务器的安全性。
3.2.4 属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、、执行修改、显示等。
3.2.5 网络服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
3.2.6 网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。
3.2.7 网络端口和节点的安全控制
网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。
3.2.8 防火墙控制
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型;
(1)包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。
(2)代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的代理服务器软件是WinGate和Proxy Server。
(3)双穴主机防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。
4.信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
信息加密过程是由形形 色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较着名的常规密码算法有:美国的DES及其各种变形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。
常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。比较着名的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。
公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。
当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。 密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
5. 网络安全管理策略
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
6. 结束语
随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。
❺ 如何解决企业远程办公网络安全问题
企业远程办公的网络安全常见问题及建议
发表时间:2020-03-06 11:46:28
作者:宁宣凤、吴涵等
来源:金杜研究院
分享到:微信新浪微博QQ空间
当前是新型冠状病毒防控的关键期,举国上下万众一心抗击疫情。为增强防控,自二月初以来,北京、上海、广州、杭州等各大城市政府公开表态或发布通告,企业通过信息技术开展远程协作办公、居家办公[1]。2月19日,工信部发布《关于运用新一代信息技术支撑服务疫情防控和复工复产工作的通知》,面对疫情对中小企业复工复产的严重影响,支持运用云计算大力推动企业上云,重点推行远程办公、居家办公、视频会议、网上培训、协同研发和电子商务等在线工作方式[2]。
面对国家和各地政府的呼吁,全国企业积极响应号召。南方都市报在2月中旬发起的网络调查显示,有47.55%的受访者在家办公或在线上课[3]。面对特殊时期庞大的远程办公需求,远程协作平台也积极承担社会担当,早在1月底,即有17家企业的21款产品宣布对全社会用户或特定机构免费开放其远程写作平台软件[4]。
通过信息技术实现远程办公,无论是网络层、系统层,还是业务数据,都将面临更加复杂的网络安全环境,为平稳有效地实现安全复工复产,降低疫情对企业经营和发展的影响,企业应当结合实际情况,建立或者适当调整相适应的网络与信息安全策略。
一、远程办公系统的类型
随着互联网、云计算和物联网等技术的深入发展,各类企业,尤其是互联网公司、律所等专业服务公司,一直在推动实现企业内部的远程协作办公,尤其是远程会议、文档管理等基础功能应用。从功能类型来看,远程办公系统可分为以下几类:[5]
综合协作工具,即提供一套综合性办公解决方案,功能包括即时通信和多方通信会议、文档协作、任务管理、设计管理等,代表软件企包括企业微信、钉钉、飞书等。
即时通信(即InstantMessaging或IM)和多方通信会议,允许两人或以上通过网络实时传递文字、文件并进行语音、视频通信的工具,代表软件包括Webex、Zoom、Slack、Skype等。
文档协作,可为多人提供文档的云存储和在线共享、修改或审阅功能,代表软件包括腾讯文档、金山文档、印象笔记等。
任务管理,可实现任务流程、考勤管理、人事管理、项目管理、合同管理等企业办公自动化(即OfficeAutomation或OA)功能,代表软件包括Trello、Tower、泛微等。
设计管理,可根据使用者要求,系统地进行设计方面的研究与开发管理活动,如素材、工具、图库的管理,代表软件包括创客贴、Canvas等。
二、远程办公不同模式下的网络安全责任主体
《网络安全法》(“《网安法》”)的主要规制对象是网络运营者,即网络的所有者、管理者和网络服务提供者。网络运营者应当承担《网安法》及其配套法规下的网络运行安全和网络信息安全的责任。
对于远程办公系统而言,不同的系统运营方式下,网络安全责任主体(即网络运营者)存在较大的差异。按照远程办公系统的运营方式划分,企业远程办公系统大致可以分为自有系统、云办公系统和综合型系统三大类。企业应明确区分其与平台运营方的责任界限,以明确判断自身应采取的网络安全措施。
(1)自有系统
此类模式下,企业的远程办公系统部署在自有服务器上,系统由企业自主研发、外包研发或使用第三方企业级软件架构。此类系统开发成本相对较高,但因不存在数据流向第三方服务器,安全风险则较低,常见的企业类型包括国企、银行业等重要行业企业与机构,以及经济能力较强且对安全与隐私有较高要求的大型企业。
无论是否为企业自研系统,由于系统架构完毕后由企业单独所有并自主管理,因此企业构成相关办公系统的网络运营者,承担相应的网络安全责任。
(2)云办公系统
此类办公系统通常为SaaS系统或APP,由平台运营方直接在其控制的服务器上向企业提供注册即用的系统远程协作软件平台或APP服务,供企业用户与个人(员工)用户使用。此类系统构建成本相对经济,但往往只能解决企业的特定类型需求,企业通常没有权限对系统进行开发或修改,而且企业数据存储在第三方服务器。该模式的常见企业类型为相对灵活的中小企业。
由于云办公系统(SaaS或APP)的网络、数据库、应用服务器都由平台运营方运营和管理,因此,云办公系统的运营方构成网络运营者,通常对SaaS和APP的网络运行安全和信息安全负有责任。
实践中,平台运营方会通过用户协议等法律文本,将部分网络安全监管义务以合同约定方式转移给企业用户,如要求企业用户严格遵守账号使用规则,要求企业用户对其及其员工上传到平台的信息内容负责。
(3)综合型系统
此类系统部署在企业自有服务器和第三方服务器上,综合了自有系统和云办公,系统的运营不完全由企业控制,多用于有多地架设本地服务器需求的跨国企业。
云办公系统的供应商和企业本身都可能构成网络运营者,应当以各自运营、管理的网络系统为边界,对各自运营的网络承担相应的网络安全责任。
对于企业而言,为明确其与平台运营方的责任边界,企业应当首先确认哪些“网络”是企业单独所有或管理的。在远程办公场景下,企业应当考虑多类因素综合认定,分析包括但不限于以下:
办公系统的服务器、终端、网络设备是否都由企业及企业员工所有或管理;
企业对企业使用的办公系统是否具有最高管理员权限;
办公系统运行过程中产生的数据是否存储于企业所有或管理的服务器;
企业与平台运营方是否就办公系统或相关数据的权益、管理权有明确的协议约定等。
当然,考虑到系统构建的复杂性与多样性,平台运营方和企业在远程协作办公的综合系统中,可能不免共同管理同一网络系统,双方均就该网络承担作为网络运营者的安全责任。但企业仍应通过合同约定,尽可能固定网络系统中双方各自的管理职责以及网络系统的归属。因此,对于共同管理、运营远程协作办公服务平台的情况下,企业和平台运营方应在用户协议中明确双方就该系统各自管理运营的系统模块、各自对其管理的系统模块的网络安全责任以及该平台的所有权归属。
三、远程办公涉及的网络安全问题及应对建议
下文中,我们将回顾近期远程办公相关的一些网络安全热点事件,就涉及的网络安全问题进行简要的风险评估,并为企业提出初步的应对建议。
1.用户流量激增导致远程办公平台“短时间奔溃”,平台运营方是否需要承担网络运行安全责任?
事件回顾:
2020年2月3日,作为春节假期之后的首个工作日,大部分的企业都要求员工在家办公。尽管各远程办公系统的平台运营方均已经提前做好了应对预案,但是巨量的并发响应需求还是超出了各平台运营商的预期,多类在线办公软件均出现了短时间的“信息发送延迟”、“视频卡顿”、“系统奔溃退出”等故障[6]。在出现故障后,平台运营方迅速采取了网络限流、服务器扩容等措施,提高了平台的运载支撑能力和稳定性,同时故障的出现也产生一定程度的分流。最终,尽管各远程办公平台都在较短的时间内恢复了平台的正常运营,但还是遭到了不少用户的吐槽。
风险评估:
依据《网络安全法》(以下简称《网安法》)第22条的规定,网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
远程办公平台的运营方,作为平台及相关网络的运营者,应当对网络的运行安全负责。对于短时间的系统故障,平台运营方是否需要承担相应的法律责任或违约责任,需要结合故障产生的原因、故障产生的危害结果、用户协议中的责任约定等因素来综合判断。
对于上述事件而言,基于我们从公开渠道了解的信息,尽管多个云办公平台出现了响应故障问题,给用户远程办公带来了不便,但平台本身并未暴露出明显的安全缺陷、漏洞等风险,也没有出现网络数据泄露等实质的危害结果,因此,各平台很可能并不会因此而承担网络安全的法律责任。
应对建议:
在疫情的特殊期间,主流的远程办公平台产品均免费开放,因此,各平台都会有大量的新增客户。对于平台运营方而言,良好的应急预案和更好的用户体验,肯定更有利于平台在疫情结束之后留住这些新增的用户群体。
为进一步降低平台运营方的风险,提高用户体验,我们建议平台运营方可以:
将用户流量激增作为平台应急事件处理,制定相应的应急预案,例如,在应急预案中明确流量激增事件的触发条件、服务器扩容的条件、部署临时备用服务器等;
对用户流量实现实时的监测,及时调配平台资源;
建立用户通知机制和话术模板,及时告知用户系统响应延迟的原因及预计恢复的时间等;
在用户协议或与客户签署的其他法律文本中,尝试明确该等系统延迟或奔溃事件的责任安排。
2.在远程办公环境下,以疫情为主题的钓鱼攻击频发,企业如何降低外部网络攻击风险?
事件回顾:
疫情期间,某网络安全公司发现部分境外的黑客组织使用冠状病毒为主题的电子邮件进行恶意软件发送,网络钓鱼和欺诈活动。比如,黑客组织伪装身份(如国家卫健委),以“疫情防控”相关信息为诱饵,发起钓鱼攻击。这些钓鱼邮件攻击冒充可信来源,邮件内容与广大人民群众关注的热点事件密切相关,极具欺骗性。一旦用户点击,可能导致主机被控,重要信息、系统被窃取和破坏[7]。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
远程办公的实现,意味着企业内网需要响应员工移动终端的外网接入请求。员工所处的网络安全环境不一,无论是接入网络还是移动终端本身,都更容易成为网络攻击的对象。一方面,公用WiFi、网络热点等不可信的网络都可能作为员工的网络接入点,这些网络可能毫无安全防护,存在很多常见的容易被攻击的网络漏洞,容易成为网络犯罪组织侵入企业内网的中转站;另一方面,部分员工的移动终端设备可能会安装设置恶意程序的APP或网络插件,员工在疏忽的情况下也可能点击伪装的钓鱼攻击邮件或勒索邮件,严重威胁企业内部网络的安全。
在计算机病毒或外部网络攻击等网络安全事件下,被攻击的企业尽管也是受害者,但如果企业没有按照《网安法》及相关法律规定的要求提前采取必要的技术防范措施和应急响应预案,导致网络数据泄露或者被窃取、篡改,给企业的用户造成损失的,很可能依旧需要承担相应的法律责任。
应对建议:
对于企业而言,为遵守《网安法》及相关法律规定的网络安全义务,我们建议,企业可以从网络安全事件管理机制、移动终端设备安全、数据传输安全等层面审查和提升办公网络的安全:
(1)企业应当根据其运营网络或平台的实际情况、员工整体的网络安全意识,制定相适应的网络安全事件管理机制,包括但不限于:
制定包括数据泄露在内的网络安全事件的应急预案;
建立应对网络安全事件的组织机构和技术措施;
实时监测最新的钓鱼网站、勒索邮件事件;
建立有效的与全体员工的通知机制,包括但不限于邮件、企业微信等通告方式;
制定与员工情况相适应的信息安全培训计划;
设置适当的奖惩措施,要求员工严格遵守公司的信息安全策略。
(2)企业应当根据现有的信息资产情况,采取以下措施,进一步保障移动终端设备安全:
根据员工的权限等级,制定不同的移动终端设备安全管理方案,例如,高级管理人员或具有较高数据库权限的人员仅能使用公司配置的办公专用移动终端设备;
制定针对移动终端设备办公的管理制度,对员工使用自带设备进行办公提出明确的管理要求;
定期对办公专用的移动终端设备的系统进行更新、漏洞扫描;
在终端设备上,对终端进行身份准入认证和安全防护;
重点监测远程接入入口,采用更积极的安全分析策略,发现疑似的网络安全攻击或病毒时,应当及时采取防范措施,并及时联系企业的信息安全团队;
就移动办公的信息安全风险,对员工进行专项培训。
(3)保障数据传输安全,企业可以采取的安全措施包括但不限于:
使用HTTPS等加密传输方式,保障数据传输安全。无论是移动终端与内网之间的数据交互,还是移动终端之间的数据交互,都宜对数据通信链路采取HTTPS等加密方式,防止数据在传输中出现泄漏。
部署虚拟专用网络(VPN),员工通过VPN实现内网连接。值得注意的是,在中国,VPN服务(尤其是跨境的VPN)是受到电信监管的,仅有具有VPN服务资质的企业才可以提供VPN服务。外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,应当向持有相应电信业务许可证的基础运营商租用。
3.内部员工通过VPN进入公司内网,破坏数据库。企业应当如何预防“内鬼”,保障数据安全?
事件回顾:
2月23日晚间,微信头部服务提供商微盟集团旗下SaaS业务服务突发故障,系统崩溃,生产环境和数据遭受严重破坏,导致上百万的商户的业务无法顺利开展,遭受重大损失。根据微盟25日中午发出的声明,此次事故系人为造成,微盟研发中心运维部核心运维人员贺某,于2月23日晚18点56分通过个人VPN登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行恶意破坏。目前,贺某被上海市宝山区公安局刑事拘留,并承认了犯罪事实[8]。由于数据库遭到严重破坏,微盟长时间无法向合作商家提供电商支持服务,此处事故必然给合作商户带来直接的经济损失。作为港股上市的企业,微盟的股价也在事故发生之后大幅下跌。
从微盟的公告可以看出,微盟员工删库事件的一个促成条件是“该员工作为运维部核心运维人员,通过个人VPN登录到了公司内网跳板机,并具有删库的权限”。该事件无论是对SaaS服务商而言,还是对普通的企业用户而言,都值得反思和自省。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
内部员工泄密一直是企业数据泄露事故的主要原因之一,也是当前“侵犯公民个人信息犯罪”的典型行为模式。远程办公环境下,企业需要为大部分的员工提供连接内网及相关数据库的访问权限,进一步增大数据泄露甚至被破坏的风险。
与用户流量激增导致的系统“短时间崩溃”不同,“微盟删库”事件的发生可能与企业内部信息安全管理有直接的关系。如果平台内合作商户产生直接经济损失,不排除平台运营者可能需要承担网络安全相关的法律责任。
应对建议:
为有效预防员工恶意破坏、泄露公司数据,保障企业的数据安全,我们建议企业可以采取以下预防措施:
制定远程办公或移动办公的管理制度,区分办公专用移动设备和员工自有移动设备,进行分类管理,包括但不限于严格管理办公专用移动设备的读写权限、员工自有移动设备的系统权限,尤其是企业数据库的管理权限;
建立数据分级管理制度,例如,应当根据数据敏感程度,制定相适应的访问、改写权限,对于核心数据库的数据,应当禁止员工通过远程登录方式进行操作或处理;
根据员工工作需求,依据必要性原则,评估、审核与限制员工的数据访问和处理权限,例如,禁止员工下载数据到任何用户自有的移动终端设备;
建立数据泄露的应急管理方案,包括安全事件的监测和上报机制,安全事件的响应预案;
制定远程办公的操作规范,使用文件和材料的管理规范、应用软件安装的审批流程等;
组建具备远程安全服务能力的团队,负责实时监控员工对核心数据库或敏感数据的操作行为、数据库的安全情况;
加强对员工远程办公安全意识教育。
4.疫情期间,为了公共利益,企业通过系统在线收集员工疫情相关的信息,是否需要取得员工授权?疫情结束之后,应当如何处理收集的员工健康信息?
场景示例:
在远程办公期间,为加强用工管理,确保企业办公场所的健康安全和制定相关疫情防控措施,企业会持续地向员工收集各类疫情相关的信息,包括个人及家庭成员的健康状况、近期所在地区、当前住址、所乘航班或火车班次等信息。收集方式包括邮件、OA系统上报、问卷调查等方式。企业会对收集的信息进行统计和监测,在必要时,向监管部门报告企业员工的整体情况。如发现疑似病例,企业也会及时向相关的疾病预防控制机构或者医疗机构报告。
风险评估:
2020年1月20日,新型冠状病毒感染肺炎被国家卫健委纳入《中华人民共和国传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施。《中华人民共和国传染病防治法》第三十一条规定,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。
2月9日,中央网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》),各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》、《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。
各地也陆续出台了针对防疫的规范性文件,以北京为例,根据《北京市人民代表大会常务委员会关于依法防控新型冠状病毒感染肺炎疫情坚决打赢疫情防控阻击战的决定》,本市行政区域内的机关、企业事业单位、社会团体和其他组织应当依法做好本单位的疫情防控工作,建立健全防控工作责任制和管理制度,配备必要的防护物品、设施,加强对本单位人员的健康监测,督促从疫情严重地区回京人员按照政府有关规定进行医学观察或者居家观察,发现异常情况按照要求及时报告并采取相应的防控措施。按照属地人民政府的要求,积极组织人员参加疫情防控工作。
依据《通知》及上述法律法规和规范性文件的规定,我们理解,在疫情期间,如果企业依据《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》获得了国务院卫生健康部门的授权,企业在授权范围内,应当可以收集本单位人员疫情相关的健康信息,而无需取得员工的授权同意。如果不能满足上述例外情形,企业还是应当依照《网安法》的规定,在收集前获得用户的授权同意。
《通知》明确规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,但因联防联控工作需要,且经过脱敏处理的除外。收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。具体可参考我们近期的文章《解读网信办<关于做好个人信息保护利用大数据支撑防疫联控工作的通知>》
应对建议:
在远程期间,如果企业希望通过远程办公系统收集员工疫情相关的个人信息,我们建议各企业应当:
制定隐私声明或用户授权告知文本,在员工初次提交相关信息前,获得员工的授权同意;
遵循最小必要原则,制定信息收集的策略,包括收集的信息类型、频率和颗粒度;
遵循目的限制原则,对收集的疫情防控相关的个人信息进行区分管理,避免与企业此前收集的员工信息进行融合;
在对外展示企业整体的健康情况时或者披露疑似病例时,对员工的相关信息进行脱敏处理;
制定信息删除管理机制,在满足防控目的之后,及时删除相关的员工信息;
制定针对性的信息管理和保护机制,将收集的员工疫情相关的个人信息,作为个人敏感信息进行保护,严格控制员工的访问权限,防止数据泄露。
5.远程办公期间,为有效监督和管理员工,企业希望对员工进行适当的监测,如何才能做到合法合规?
场景示例:
远程办公期间,为了有效监督和管理员工,企业根据自身情况制定了定时汇报、签到打卡、视频监控工作状态等措施,要求员工主动配合达到远程办公的监测目的。员工通过系统完成汇报、签到打卡时,很可能会反复提交自己的姓名、电话号码、邮箱、所在城市等个人基本信息用于验证员工的身份。
同时,在使用远程OA系统或App时,办公系统也会自动记录员工的登录日志,记录如IP地址、登录地理位置、用户基本信息、日常沟通信息等数据。此外,如果员工使用企业分配的办公终端设备或远程终端虚拟机软件开展工作,终端设备和虚拟机软件中可能预装了监测插件或软件,在满足特定条件的情况下,会记录员工在终端设备的操作行为记录、上网记录等。
风险评估:
上述场景示例中,企业会通过1)员工主动提供和2)办公软件自动或触发式收集两种方式收集员工的个人信息,构成《网安法》下的个人信息收集行为。企业应当根据《网安法》及相关法律法规的要求,遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并获取员工的同意。
对于视频监控以及系统监测软件或插件的使用,如果操作不当,并且没有事先取得员工的授权同意,很可能还会侵犯到员工的隐私,企业应当尤其注意。
应对建议:
远程办公期间,尤其在当前员工还在适应该等工作模式的情形下,企业根据自身情况采取适当的监督和管理措施,具有正当性。我们建议企业可以采取以下措施,以确保管理和监测行为的合法合规:
评估公司原有的员工合同或员工个人信息收集授权书,是否能够满足远程办公的监测要求,如果授权存在瑕疵,应当根据企业的实际情况,设计获取补充授权的方式,包括授权告知文本的弹窗、邮件通告等;
根据收集场景,逐项评估收集员工个人信息的必要性。例如,是否存在重复收集信息的情况,是否有必要通过视频监控工作状态,监控的频率是否恰当;
针对系统监测软件和插件,设计单独的信息收集策略,做好员工隐私保护与公司数据安全的平衡;
遵守目的限制原则,未经员工授权,不得将收集的员工数据用于工作监测以外的其他目的。
四、总结
此次疫情,以大数据、人工智能、云计算、移动互联网为代表的数字科技在疫情防控中发挥了重要作用,也进一步推动了远程办公、线上运营等业务模式的发展。这既是疫情倒逼加快数字化智能化转型的结果,也代表了未来新的生产力和新的发展方向[9]。此次“突发性的全民远程办公热潮”之后,远程办公、线上运营将愈发普及,线下办公和线上办公也将形成更好的统一,真正达到提升工作效率的目的。
加快数字化智能化升级也是推进国家治理体系和治理能力现代化的迫切需要。党的十九届四中全会对推进国家治理体系和治理能力现代化作出重大部署,强调要推进数字政府建设,加强数据共享,建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则[10]。
为平稳加速推进数字化智能化发展,契合政府现代化治理的理念,企业务必需要全面梳理并完善现有的网络安全与数据合规策略,为迎接新的智能化管理时代做好准备。
❻ 某单位的办公网络,如何提高安全性
1.内外网隔离及访问控制
在内部网与外部网之间,或在内部网不同网络安全域之间,设置防火墙(包括分组过滤与应用代理)实现内、外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。
利用交换机的端口安全功能,防止局域网内部攻击, 如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等
2.网络安全检测
●网络安全性分析系统
网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节?如何最大限度地保证网络系统的安全?最有效的方法是定期对网络系统进行安全性分析,及时发现并修正存在的弱点和漏洞。
●网络安全检测工具
通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。
3.审计与监控
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。
对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前以较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
4.网络反病毒
在网络环境下,计算机病毒有巨大的威胁性和破坏力,因此,计算机病毒的防范是网络安全性建设中重要的一环。
●病毒预防技术:它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。
●检测病毒技术:它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。
●消毒技术:它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
5.网络备份系统
备份系统的目的是尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
根据系统安全需求可选择的备份机制有:场地内高速度、大容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。
一般的数据备份操作有三种:(1)全盘备份,即将所有文件写入备份介质;(2)增量备份,只备份那些上次备份之后更改过的文件,是最有效的备份方法;(3)差分备份,备份上次全盘备份之后更改过的所有文件,其优点是只需两组磁带就可恢复最后一次全盘备份的磁带和最后一次差分备份的磁带。
❼ 如何处理来自企业内部的网络安全威胁
(1)主要网络安全威胁 网络系统的可靠运转是基于通信子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。因此,它的风险将来自对企业的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中,相对于过去的局域网、主机环境、单机环境,安全问题变得越来越复杂和突出,所以网络安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础。安全保障不能完全基于思想教育或信任,而应基于“最低权限”和“相互监督”的法则,减少保密信息的介人范围.尽力消除使用者为使用资源不得不信任他人或被他人信任的问题.建立起完整的安全控制体系和证体系。 通过以上对网络结构的分析不难看出,目前该网络的规模庞大,结构复杂,网络上运行着各种各样的主机和应用程序,使用了多种网络设备;同时,由于多种业务的需要,又和许多其他网络进行连接。因此,我们认为,该计算机网络安全应该从以下几个层面进行考虑: 第一层,外部网络连接及数据访问,其中包括: 出差在外的移动用户的连接。 托管服务器网站对外提供的公共服务。 一办公自动化网使用ADSL与Internet连接。 第二层,内部网络连接,其中包括通过DDN专线连接的托管服务器网站与办公自动化网。 第三层,同一网段中不同部门间的连接。这里主要是指同一网段中,即连接在同一个HUB或交换机上的不同部门的主机和工作站的安全问题。 其中外部网络攻击威胁主要来自第一层,内部网络的安全问题集中在第二、三层上‘以下我们将就外部网络的安全和内部网络的安全问题具体讨论。 (2)来自外部网络与内部网络的安全威胁 来自外部网络的安全威胁 由于业务的需要,网络与外部网络进行了连接,这些连接集中在安全威胁的第一层,包括:内部网络和这些外部网络之间的连接为直接连接,外部网络可以直接访问内部网络的主机,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。 与出差在外的移动用户的连接 由于业务需要,公司员工经常需要出差,并且该移动用户使用当地ISP拨号上网连接上Internet,进人内部网络,这时非法的Internet用户也可以通过各种手段访问内部网络。这种连接使企业内部网络很容易受到来自Internet的攻击。攻击一旦发生,首先遭到破坏的将是办公自动化网的主机,另外,通过使用连接托管服务器网站与办公自动化网的DDN专线,侵人者可以继续攻击托管服务器网站部分。攻击的手段以及可能造成的危害多种多样,如: 修改网站页面,甚至利用该服务器攻击其他单位网站,导致企业声誉受损。 释放病毒,占用系统资源,导致主机不能完成相应的工作,造成系统乃至全网的瘫痪。 释放“特洛伊木马”,取得系统的控制权,进而攻击整个企业内部网络。 窃取企业的信息,谋取非法所得,而且这种攻击企业很难发现。 对于以上各种攻击我们可以利用防病毒、防火墙和防黑客技术加以防范。 托管服务器网站对外提供的公共服务 由于公司宜传的需要,企业网络提供对外的公共服务。 在这种情况下,必须借助综合的防范手段才能有效地抵御黑客的攻击。 该破坏的主要方式为:修改网站页面,甚至利用该服务器攻击其他单位网站,导致企业声誉受损。 办公自动化网使用ADSL与Internet连接,内部用户使用ADSL拨号服务器作为网关连接到Internet。这种情况下,传统的网络安全体系无法解决网络的安全问题,必须借助综合的防范手段才能有效地抵御黑客的攻击。 综上所述,外部网络破坏的主要方式为: 外部网络的非法用户的恶意攻击、窃取信息。 通过网络传送的病毒和电子邮件夹带的病毒。 内部网络缺乏有效的手段监视系统、评估网络系统和操作系统的安全性。 目前流行的许多操作系统均存在网络安全漏洞、如Unix服务器、NT服务器及Win-dows、桌面PC. 来自Internet的Web浏览可能存在的恶意Java/ActiveX控件。 ②来自内部网络的安全威胁 从以上网络图中可以看到,整个企业的计算机网络有一定的规模,分为多个层次,网络上的节点众多.网络应用复杂,网络管理困难。这些问题主要体现在安全威胁的第二和第三个层面上,具体包括: 网络的实际结构无法控制。 网管人员无法及时了解网络的运行状况。 无法了解网络的漏洞和可能发生的攻击。 对于已经或正在发生的攻击缺乏有效的追查手段。 内部网络的安全涉及技术、应用以及管理等多方面的因素,只有及时发现问题,确定网络安全威胁的来源,才能制定全面的安全策略,有效地保证网络安全。 作者:古宏涛互联网和搜索引擎IT科技网站优化在线河南seo营销博客分享学习,版权学习地址:/
❽ 基于安全策略的企业网络设计的探讨
目前,网络安全的技术主要包括防火墙技术、加密技术、身份验证、存取控制、杀毒软件、数据的完整性控制和安全协议等内容。针对校园网来说,存在较大的成本投入问题,不可能将所有的安全技术应用到网络中,在网络规划阶段可以针对最主要的安全问题进行设计防范。在网络设计阶段可以采取防火墙技术、VLAN技术、杀毒软件、网站过滤技术等。
楼主可以就上述技术在网络规划设计阶段如何进行设计进行探讨。
以下参考!!!!!!!!!!!!
引言
信息技术日新月异的今天,网络技术发展迅猛,信息传输已经不仅仅局限于单纯文本数据,数字数据
的传输,随之而来的是视频,音频等多媒体技术的广泛运用。随着技术的发展,网络设备性能和传输介质容量有了极大的提高,但是由于用户需求的日益提高,网络环境的日益复杂,使得网络规划成为一项越发困难的课题,作为校园园区网的规划成败与否,将直接影响到学校教育网络系统性能的高低,从而影响教学进程和教学效果,下面主要对校园园区网的规划思想进行探讨。
1. 校园园区网规划介绍
校园园区网规划是校园网进行工程组网的前期准备工作,它的内容涉及到整项网络工程的重要步骤,是网络设计的核心与灵魂,校园园区网优良的长远规划和最佳的实现选择是校园网长期高效能运营的基础。目前,校园园区网中技术应用主要为辅助管理,教学科研,internet信息服务,以及网络技术探索应用四大类,由于总体的规划所涉及到的技术因数繁多,因而校园园区网规划应当实地考察,调研,通过反复论证,结合当今技术及发展方向,提出总体规划设想,规划既要适应当前的应用,又要反映未来需求,规划应当考虑经济,环境,人文,资源等多方面因素,以合理需求为原则。
2. 校园园区网规划实施计划
2.1 了解用户,收集信息
网络规划的目的在于收集一线信息的基础上给出合理可行的设计方案,如战场指挥,运筹帷幄,决
胜千里,其关键之处在于广泛收集信息,全面合理的规划校园园区网需认真考虑三点因素:
(1)学校历史网络资源信息,当前网络规划设计计划,领先的技术方向,运营机制和管理办法,满足未来网络的高度扩展计划及其特点
(2)了解学校校园网络的使用者分别是谁?他们各自的知识层次如何?以及他们对计算机的使用观点和使用频率如何?他们对当前的网络态度和看法如何?这一点将为日后培训和安排多少人员进行网络的技术支持和维护起导向作用。
(3)明确网络规模:有哪些校区,哪些部门,多少网络用户,哪些资源需要上网,采用什么档次的设备而又在资金预算范围内,不同部门之间的信息流向问题,不同时刻网络流量及流量峰值问题,确定网络终端数量及位置,共享数据的存储位置和哪些人要用这些数据等基本状况等
(4)找出用户与用户,用户与资源,资源与资源之间的内在关系,相关信息,这是校园网设计的前提和依据,是规划的核心思想,作为一个庞大的校园网,如何使得设计的网络便于教学需求和管理应用,教学网与管理网各自安全运作,相互兼容,而又不矛盾?这一点尤为重要。
2.2 分析需求,提出网络设计原则
2.2.1 需求分析
教育行业有着自身的特殊性,校园园区网对整个网络性能要求相对较高,校园园区网组建需满足对数字,语音,图形图象等多媒体技术的宽泛应用,以及综合科研信息的传输和处理需求的综合数字网,并能符合多种协议的要求,其体系应当符合国际标准(如TCP/IP协议,Novell IPX协议等),同时能兼容已有的网络环境,因此设计组网前,应对各方面需求总结归纳,做出细致分析:
(1)内部光缆主干需求:规划需分析综合布线系统及其子系统,主配线间MDF与二及配线间IDF的位置,不同类别的服务器位置等。
(2)应用管理需求:能够让管理人员从繁琐的文字处理中彻底解脱出去,以计算机信息系统交流和日常事物,构建公文系统,日常办公系统,档案系统,电子邮件等功能,且需操作简单,便于使用。满足视频点播,语音教学,多媒体课件等教学需求,具备基本的Internet访问等。
(3)网络流量需求:要求校园园区网有足够的网络吞吐量来满足教学任务,保证信息的高质高效率传输,校园网流量涉及到,语音教学,多媒体课件,服务器访问,Web浏览,视频点播等,对带宽需求和时延性要求极高。
(4)网络安全需求:校园网络必须有完善的安全管理机制,能够确保网络内部可靠运行,还要防止来自外部的和来自内部的非法访问和入侵,保证关键数据库的存储安全
2.2.2 提出设计原则
(1)网络可靠性原则:
网络设计过程中网络拓扑应采用稳定可靠的形式,如:双路由网络拓扑,环行网络结构。因为它们即可冗余备份,安全性又可以得到保障,核心层交换可采用高端交换设备和光纤技术的主干链路(TRUNK)来实现较高的容错性,这样就可以避免单点故障的出现,网络结构使用双链路,双核心交换设备,双路由备份可靠措施,都可以使校园网可靠性和实用性得到大大的提高
(2)网络可扩展性原则:
校园园区网扩展性包含2层意思(一):新的教学部门能简单的接入现有网络 (二):升级新技术的应用能够无逢的在现有网络上运行
可见,规划校园园区网络时不但要分析当前的技术指标,而且要对未来的网络增长情况做出估计和预算,以满足新的需求,保证网络可靠性,从而保证校园正常的教学秩序
(3)网络实用性和可管理性原则:
校园园区网系统设计在性能价格比方面要体现系统的实用性,可采用先进的设备,但有要在资金允许的条件下实现建网的目标,校园园区网应基于简单网络管理协议(SNMP),并支持管理信息库(MIB),利用图形化,可视化管理界面和操作方式,易于管理,这也正体现出了实用性原则,合理的网络规划策略,可提供强大的管理
功能,能使管理一体化进行,这就便于日后的校园网更新与维护
(4)网络安全性原则
1.对物理层及网络拓扑结构,操作系统及应用软件要求具备相应的安全检测机制,边界网关应该构筑防火墙,安装杀毒软件,对网关路由器进行必要的安全性过滤,如访问控制列表ACL配置,用户身份认证,数据加密,密钥等技术来实现校园园区网的安全化
2.采用静态虚拟局域网技术(静态VLAN)加强内网的管理,因为VLAN是基于逻辑划分而非物理地理划分,这就有效的控制了各个网段的相互访问,从而保证了内网的安全性,同时VLAN又可抑制不必要的广播,从而节约了带宽,又便于管理
3.以TCP/IP四层网际模型为框架建立持续过程的网络安全性措施运行机制,做到维护网络,监测网络,测试网络,改进网络四位一体的网络持续性保卫工作,它是网络安全性管理的核心思想,如图所示:
应用层
传输层
网际层
internet层
网络接入
图(1)以TCP/IP模型构建持续性网络安全管理方式
3. 总结失败项目,明确网络规划的必要性
当前很多学校纷纷建立自己的校园网,但由于组网设计前期规划工作做的不彻底,不扎实,使得校园
网发挥效益不大,巨大的投资没有换来实实在在的成效收益。这一点在中小学校园网建设上体现的较为明显,其原因主要三点:
(1)认识不到为
学校对校园网概念定义缺乏认识,带有盲目性和自我偏见性,没有明确建校园网的目的,不晓得校
园网到底起什么样的实质性作用。
(2)投资方案不合理
由于对校园园区网建设认识不正确,使得很多学校出现“重硬件,轻软件”的现象,结果校园园区网建设成了基于硬件设备的校园网组网解决方案,是纯粹的设备集合。而对建网后的维护极不重视,后期的管理投入所占比例微乎其微,所以使得校园网不能很好的服务与教学和管理,甚至还会使整个网络趋于崩溃。
(3)缺乏有效的组织管理和实施手段
校园园区网的建设不仅仅涉及到技术问题,还会引起更深层次的变革,而学校在建设校园园区网时,认识不充分,在新技术,新思想面前不能及时转变观念,没有行之有效的组织管理和实施手段。
基于上述三点指出:盲目的进行校园网建设,不采取合理的规划,都会导致校园网建设失败,一个成功的校园网规划应当是集稳定开放的网络平台,量身定制的应用软件,有效的组织实施方案三位于一体的的校园园区网建设过程。
4. 总结
校园园区网应顺应时代教育思想的革命,在网络技术上具备响应的本质特征,教育的一个基本特征是打破时间和地域的限制,面向全体社会成员,这就要求规划校园园区网络时必须站的高,看的远,时刻明确思想定位和技术定位,本文主要探讨了如何行之有效的规划一个满足教学,科研,管理全方面高效新型校园园区网,并指明规划思想。总之,未来校园园区局域网的规划目标,规划方向应该是建成一个集IP服务,宽带光传输且提供服务的运营级多功能网络
参考文献:[1]王竹林等 . 校园网组网与管理<M> 清华大学出版社 . 2001出版
[2]思科网络技术教程(三. 四)学期 人民邮电出版社 2002出版
[3]http://www.net130.com.cn
[4]方东权 . 杨岿 . 校园网络安全与管理[J]. 网络安全与技术 2005第51期
❾ 网络安全存在的问题及对策分析
网络安全存在的问题及对策分析
随着互联网的快速发展,互联网在各个领域的应用取得了积极进展,互联网已经成为多个领域的重要辅助手段,对提高工作效率和改变生活方式起到积极的促进作用。但是随着网络个人信息的增多,以及人们对网络的依赖,网络安全问题成为了制约网络发展的重要因素。同时,网络安全问题还对用户的信息及财产产生了严重的影响和威胁。为此,我们应对网络安全问题引起足够的重视,应从网络安全现存问题入手,分析问题的成因,制定具体的应对策略,保证网络安全问题得到有效解决,提高网络安全性,为用户营造一个安全稳定的网络环境。
网络安全的概念分析
网络安全从本质上来讲就是网络上的信息安全,就是指网络系统中流动和保存的数据,不受到偶然的或者恶意的破坏、泄露、更改。系统连续正常的工作,网络服务不中断。从广义上来说,凡是涉及网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行。网络服务不中断。广义来说凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
网络安全存在的主要问题分析
从目前网络安全所暴露出的问题来看,重要包括两个大的方面,即自然因素引起的网络安全问题和人为因素引起的网络安全问题,以下我们着重分析这两种网络安全问题。
1、自然因素及偶发因素引起的网络安全问题
计算机系统硬件和通讯设施极易遭受到自然环境的影响,如:各种自然灾害(如地震、泥石流、水灾、风暴、建筑物破坏等)对计算机网络构成威胁。还有一些偶发性因素,如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等,也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对网络安全造成威胁。
2、人为因素引起的网络安全问题
从计算机网络的实际使用来看,人为因素引起的网络安全问题主要表现在以下几个方面:
(1)网络应用中的不安全问题
在网络的应用中,由于网络具有较为开放的特征,因此在网络中信息的传输和交换非常频繁,由此造成的信息安全也成为了网络安全面临的主要问题。在互联网中,用户之间由于现实的数据传输需求,需要保证自己的网络终端属于开放的状态,由此就给他人以植入木马程序等电脑病毒的机会。所以,网络使用中存在的不安全问题是网络安全问题的重要类别。
(2)操作系统本身存在的安全漏洞和缺陷
在网络应用中,操作系统是网络终端用户的重要软件系统。虽然操作系统在开发过程中均会对安全设置予以高度重视,并在使用中起到一定的安全防护作用。但是随着网络黑客手段的升级,操作系统本身存在的.安全漏洞和缺陷逐渐被网络黑客所破解,由此给网络用户的信息和资金安全带来了较大的影响。为此,我们必须对操作系统本身存在的安全漏洞和缺陷有足够的重视,采取积极措施予以弥补。
(3)数据库存在的安全隐患
在互联网使用中,不管是网络用户终端还是各个网站,都会有相应的数据库。在数据库中,存储着大量的信息数据和关键信息。其中有些涉及个人隐私,有些则是涉及资金安全的重要信息。但是从目前数据库建设来看,数据库的安全防御措施比较薄弱,一旦遇到网络入侵,难以形成对数据信息的有效保护,数据库的安全隐患已经成为网络安全的重要问题之一。
(4)网络防火墙存在的安全漏洞和局限性
为了提高网络终端用户的安全防御能力,网络防火墙系统是重要的网终端防御系统。但是受到多种因素的困扰以及网络防火墙技术的限制,在实际使用过程中,网络防火墙不可避免的存在安全漏洞和局限性,这一缺陷导致了网络防火墙只能抵御一般性网络攻击,一旦遇到升级版本的计算机病毒,将无法形成对系统的保护,进而给网络安全造成严重影响。
网络安全问题的应对策略分析
考虑到网络安全问题造成的严重影响,以及网络安全的重要性,在网络使用过程中,我们应对网络安全问题进行认真分析,应从网络发展实际出发,围绕着网络安全存在的问题,制定具体的应对策略,保证网络安全问题得到有效解决,提高网络的安全性和可靠性,促进网络的快速健康发展,为网络用户提供一个安全的网络环境。为此,我们应从以下几个方面入手,制定网络安全问题的应对策略:
1、建立完善的网络安全管理制度,应对网络安全突发事件
为了防范网络系统突然遭遇外界因素干扰进而发生安全问题,应在网络使用过程中,根据自身需要,建立完善的网络安全管理制度,保证对网络安全问题能够有够的预见,并做到在网络安全突发事件中能够采取有效措施予以应对。考虑到网络安全面临的现实影响和威胁,我们应在建立完善的网络安全管理制度的基础上,对网络系统和数据进行备份,避免因外界因素导致数据损坏或丢失。
2、对操作系统进行及时更新,堵塞操作系统的安全漏洞
从目前计算机操作系统的发展来看,操作系统的研发部门能够在操作系统使用一段时间后意识到其存在的漏洞和缺陷,能够通过定期对操作系统进行升级和更新的办法有效堵塞操作系统的安全漏洞,从而满足操作系统的安全性能指标,提高操作系统的防御能力。所以,我们应在网络使用过程中,对操作系统进行及时更新,防患于未然。
3、在网络终端系统中安装杀毒软件,提高防御能力
从目前网络使用过程来看,计算机病毒作为一种特殊代码,无法从根本上予以消除。为了保证网络终端能够满足安全性能要求,我们应在网络终端系统中安装杀毒软件,定期对网络终端系统进行杀毒,保证网络终端系统能够抵御病毒攻击,提高网络终端系统的安全性。在当前网络保护中,安装杀毒软件是一种保护系统安全的有效方式,我们应广泛采用。
4、采用信息加密技术,提高数据库的安全性
考虑到数据信息安全的重要性,在网络使用中,我们应结合数据库的使用特点,对数据库中的信息采取加密技术,防止数据库中的数据被盗用,提高数据的安全性。在数据库信息加密过程中,我们可以采用最新的加密技术,并不定期的更新密钥,保证数据库不被计算机病毒和黑客入侵,达到保护数据库安全的目的。
5、安装高版本的防火墙,采用防火墙和密码相结合的方式提高安全性
对于计算机终端而言,防火墙对防御外界攻击提高系统安全性具有重要意义。为此,我们应在计算机终端上积极安装高版本的防火墙,提高防火墙的防御能力,满足计算机终端的防御需要,同时,我们还可以采用防火墙与密码相结合的方式,提高防火墙和计算机终端的安全性,有效解决网络安全问题。所以,应在每一个计算机终端上都安装防火墙。
通过本文的分析可知,随着互联网的快速发展,网络安全问题不容忽视。为此,我们应从网络安全制度建设、操作系统更新、安装杀毒软件、采用信息加密技术和安装高版本防火墙等手段,有效提高网络安全性能,满足网络安全发展需要。
;