试论机关网络安全防范对策的思考.doc

word格式论文试论机关网络安全防范对策的思考 论文摘要 随着计算机信息化建设的快速发展，在计算机上处理业务已由基于单机的数学运算，文件处理发展到基于机关、事业单位、企业复杂的内部网、外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。但随之而来的是，网络安全也受到前所未有的威胁，计算机病毒泛滥，黑客的入侵，防不胜防。本文将对机关、事业单位、企业计算机信息网络安全存在的问题进行分析，并提出相应的安全防范措施。 论文关键词 信息化 网络安全 互联网 何谓网络安全？简单来说就是通过某种技术措施，在保证一个网络里的数据完整性下，不易攻击或截取。 一、机关、事业单位、企业网络 机关、事业单位、企业网络环境主要分为两大类，机关、事业单位、企业网络内网和机关、事业单位、企业网络外网，而根据不同的需求，机关、事业单位、企业网络内网和外网可以物理隔离或不隔离。那机关、事业单位、企业网络网络安全威胁来自哪里？构成计算机网络不安全的因素很多，主要是以下几点： （一）网络本身的某些特点也是构成不安全的因素 从国际标准化组织（ISO）制定网络OSI模型起，其实网络就“不安全”了。即使定义了实现通信的标准，但开放的OSI模型，开放的网络技术以及网络国际化都给网络安全带了威胁，来至不同地域的攻击者，可以对网络实施不同层面的攻击。如数据链路层，网络层以及应用层。 （二）网络、操作系统的安全问题 操作系统是安装在硬件之上系统软件，所有程序都基于操作系统运行的。由于操作系统在设计上存在缺陷，目前流行的操作系统windows，linux以及unix都存在大量的漏洞，很容易受到攻击，因此会给网络带来安全威胁。 （三）没有有效的方法监视网络安全 所有的攻击都是有准备的，黑客在入侵之前都会对您的网络进行分析，并利用存在的安全问题进行攻击。在机关、事业单位、企业网络中，必须要有网络安全分析技术，以及评估网络安全的有效手段，并对发现的问题提出建议提高网络安全性。 （四）不断变化的攻击手段 几乎每天都有不同系统安全问题的出现而安全更新速度太慢对新出现的问题反映过慢当更正某些安全问题后，其他问题又会出现 （五）来自内部网用户的安全威胁 网络安全的防范是针对外部未知网络用户的，而对内部用户网络是完全开放的。因此来至内部用户的安全威胁远大于外部网络用户的安全威胁，有时甚至是致命的威胁。由于使用者缺乏安全意识，许多重要应用服务在访问控制及安全通信方面考虑较少，并且，如果系统设置错误，很容易造成损失，人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限，利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏，磁盘上的机密文件被人利用，临时文件未及时删除而被窃取，内部人员有意无意的泄漏给黑客带来可乘之机等，都可能使网络安全机制形同虚设。 （六）其他方面的因素 计算机是敏感的设备，极易遭受到自然环境的影响，尤其是灰尘，水以及电，都会对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对计算机信息安全造成威胁。 二、网络安全防范措施 （一）管理层面对策 计算机网络的安全管理，不仅要看所采用的安全技术和防范措施，而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合，才能使计算机网络安全确实有效。 （二）物理安全层面对策 要保证计算机网络系统的安全、可靠，必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施，主要包括以下内容： 1.计算机运行的环境条件。环境条件，包括温度、湿度、气压、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面，都要有具体的要求和严格的标准。 2.机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地，要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性，避开强振动源和强噪声源，并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。 3.机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全，首先，应考虑物理访问控制来识别访问用户的身份，并对其合法性进行验证；其次，对来访者必须限定其活动范围；再次，要在计算机系统中心设备外设多层安全防护圈，以防止非法暴力入侵；第四设备所在的建筑物应具有抵御各种自然灾害的设施。 （三）信息层面防范 1.网络病毒的防范。在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网，就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连，就需要网关的防病毒软件，加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换，还需要一套基于邮件服务器平台的邮件防病毒软件，识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，通过定期或不定期的自动升级，及时为每台客户端计算机打好补丁，加强日常监测，使网络免受病毒的侵袭。现在网络版杀毒软件比较多，如瑞星、金山毒霸、诺顿等。 2.配置防火墙。利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部，根据不同网络的安装需求，做好防火墙内服务器及客户端的各种规则配置，更加有效利用好防火墙。 3.采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。在学校、政府机关、企事业网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系，有的入侵检测设备可以同防火强进行联动设置。 4.Web，Email，BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统，实时跟踪、监视网络，截获Internet网上传输的内容，并将其还原成完整的www、Email、FTP、Telnet应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网管中心报告，采取措施。 5.漏洞扫描系统。解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。 6.IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。 7.利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决，但是对于网络内部的侵袭则无能为力。在这种情况下，我们可以采用对各个子网做一个具有一定功能的审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况，为系统中各个服务器的审计文件提供备份。 （四）提高员工计算机的安全意识 培训并组织员工学习计算机安全知识，了解常见或周围容易发生的一些网络安全隐患，规范操作必要时进行模拟实验，让员工知道是如何受到攻击的，以及受到攻击后的影响。加深安全防范印象 三、结语 计算机网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案