隨著Internet的飛速發(fā)展,計算機信息系統(tǒng)已經(jīng)成為人們工作和生活不可缺少的組成部分��。目前,計算機信息系統(tǒng)在國內(nèi)外政府機關(guān)����、軍隊、公安�����、保密部門����、科研機構(gòu)�����、金融及企事業(yè)單位廣泛應用�,它在帶給人們便利的同時,也帶來了很多困擾�����。病毒傳播�����、黑客入侵、機密泄露等種種不利因素使得人們在使用計算機工作時縮手縮腳�����,無法發(fā)揮計算機處理事務的優(yōu)勢����。內(nèi)部網(wǎng)絡如何搞好安全管理,確保計算機信息系統(tǒng)安全運行��,成為一個亟待解決的問題����。
目前,基層央行網(wǎng)絡安全主要采用常規(guī)防火墻�、防病毒軟件、入侵檢測等防御措施��,重要的安全設施大致集中于主機房網(wǎng)絡入口處�����,在這些設備的嚴密監(jiān)控下����,來自網(wǎng)絡外部的安全威脅大大減小���。但越來越多的事實證明,來自網(wǎng)絡內(nèi)部以及應用�、管理等方面的安全問題同樣不容忽視。網(wǎng)絡安全是整個信息網(wǎng)的安全���,涵蓋的面非常廣�����,需要從物理����、網(wǎng)絡�、系統(tǒng)����、應用和管理的諸多方面進行立體的防護。只有構(gòu)建一套功能完善的內(nèi)部安全系統(tǒng)��,從客戶端資源����、應用資源��、設備資源和網(wǎng)絡資源等方面對內(nèi)部網(wǎng)絡加以管理和檢測����,才能達到最佳的管理效果�。
一、加強客戶端安全管理���,保證可信設備接入內(nèi)部網(wǎng)絡
一是搞好設備的入網(wǎng)檢測��。對便攜式設備(如筆記本電腦等)和新增設備(計算機等)以及移動存儲工具(如移動硬盤����、U盤等)進行接入檢測��,禁止未經(jīng)檢測的該類設備接入內(nèi)部網(wǎng)絡����,減少病毒、黑客等不安全因素入侵網(wǎng)內(nèi)部絡����;
二是進行客戶端違規(guī)聯(lián)網(wǎng)檢測。內(nèi)部網(wǎng)絡與INTERNET必須嚴格物理隔離��,內(nèi)部網(wǎng)絡用戶如果通過調(diào)制解調(diào)器、雙網(wǎng)卡�、無線網(wǎng)卡等設備進行違規(guī)上網(wǎng),必須進行有效阻斷和警告�。
三是對客戶端進行防病毒軟件的安裝與監(jiān)控。內(nèi)部網(wǎng)絡所有客戶端必須安裝網(wǎng)絡版殺毒和補丁分發(fā)軟件�����,并定期進行病毒代碼的升級�����。適時檢測和監(jiān)控防病毒軟件在客戶端的安裝和升級情況�����,并對監(jiān)控信息集中管理���,對未安裝防毒軟件的客戶端,最好能夠做到通過系統(tǒng)強行安裝�。
四是對客戶端定期掃描漏洞、分發(fā)補丁�����。“沖擊波”�����、“震蕩波”等病毒就是利用系統(tǒng)漏洞進行傳播的���,因此客戶端應具備補丁自動分發(fā)和控制功能����。在網(wǎng)絡中安裝客戶端補丁自動分發(fā)系統(tǒng)����,對注冊后的網(wǎng)絡客戶端,在本機系統(tǒng)中實時運行狀態(tài)監(jiān)測程序�,及時將本機的補丁修補狀況上報,管理人員在WEB平臺中可以對全網(wǎng)計算機終端補丁修補狀況作詳細了解����,若有重大漏洞出現(xiàn),可及時對客戶端進行操作系統(tǒng)升級���。
五是對客戶端軟件安全情況進行實時監(jiān)控�����。管理員必須能夠自動發(fā)現(xiàn)客戶端安裝的軟件�����,對與業(yè)務工作無關(guān)的游戲����、盜版軟件能做到及時控制;對客戶端出現(xiàn)病毒�����、蠕蟲攻擊等安全事件��,做到實時��、快速���、精確定位�����、遠程阻隔事件源頭;當大規(guī)模安全事件發(fā)生后�,網(wǎng)管員能確定安全事件源頭��、找到網(wǎng)絡中的薄弱環(huán)節(jié)����,進行安全預警����。
二、加強應用資源安全管理��,規(guī)范軟件操作使用�,
一是避免安裝使用盜版軟件。安裝使用盜版軟件����,引入了潛在的安全漏洞,降低了計算機系統(tǒng)的安全系數(shù)��;
二是禁止安裝使用黑客軟件�。一些人處于好奇或者惡意破壞的目的,在計算機上安裝使用黑客軟件����,對內(nèi)部網(wǎng)絡發(fā)起攻擊;
三是必須安裝指定的防毒軟件。有些員安全意識淡薄����,不安裝防毒軟件,對網(wǎng)絡構(gòu)成了重大威脅���。
三����、合理規(guī)劃網(wǎng)絡資源�,確保系統(tǒng)運行正規(guī)
一是掃描發(fā)現(xiàn)和繪制網(wǎng)絡拓撲結(jié)構(gòu),顯示路由器與子網(wǎng)���、交換機與交換機��、交換機與主機之間的連接關(guān)系�,顯示交換機各端口和使用情況和流量信息���,定期對客戶端流量���、分支網(wǎng)絡帶寬流量進行分析,并進行數(shù)據(jù)包規(guī)則檢測���,防止非法入侵����、非法濫用網(wǎng)絡資源��。
二是使用VLAN技術(shù)加強內(nèi)部網(wǎng)絡管理���。根據(jù)不同的應用業(yè)務以及不同部級別�,將網(wǎng)絡劃分不同的網(wǎng)段進行隔離���,實現(xiàn)相互間的訪問控制�����,達到限制用戶非法訪問的目的�����。檢測網(wǎng)絡中IP應用狀況�,并將IP同MAC地址進行綁定,防止特殊IP地址被盜用���。
四�、加強網(wǎng)絡設備管理,確保系統(tǒng)正常運行
一是對網(wǎng)絡內(nèi)部硬件設備登記注冊����。將硬件設備屬性信息采集后存儲到數(shù)據(jù)庫中,硬件屬性信息包括:硬盤容量����、序列號、cpu型號��、內(nèi)存大小��、網(wǎng)卡mac地址�、ip地址等重要屬性信息。應限制內(nèi)部人員在內(nèi)網(wǎng)計算機上安裝�、使用可移動的存儲設備如軟驅(qū)、光驅(qū)��、USB接口的優(yōu)盤�����、硬盤�����、數(shù)碼相機等,防止移動存儲介質(zhì)間接地與外網(wǎng)進行數(shù)據(jù)交換���,導致病毒入侵或敏感信息�、機密數(shù)據(jù)的傳播與泄漏��。
二是搞好網(wǎng)絡設備的物理信息的登記管理���。如設備的名稱、使用人(管理負責人)姓名�����、設備樓層房間號��、聯(lián)系電話�、計算機使用部門等,進行物理定位����,做到遇有故障能及時準確地定位和排查。
五�����、搞好系統(tǒng)備份恢復,提高網(wǎng)絡的容災能力
在做好網(wǎng)絡安全管理工作的同時��,也應考慮系統(tǒng)在不可避免的因素下出現(xiàn)的故障恢復需要���。首先�,必須定期做好重要設備�、重要數(shù)據(jù)的備份,以便在出現(xiàn)故障時采取硬件恢復和軟件恢復���。硬件恢復有硬件替代��、固件修復���、數(shù)據(jù)讀取等方法,存儲重要數(shù)據(jù)和運行重要軟件的設備應準備一套硬件備份����,而固件修復和數(shù)據(jù)讀取則要送技術(shù)可靠、安全保密性強的專業(yè)部門進行處理��。軟件恢復包括系統(tǒng)恢復和文件恢復��。系統(tǒng)恢復就是操作系統(tǒng)和應用軟件不能正常啟動��,可利用修復軟件對其進行修復,最快捷的方法是利用ghost��、livestate對系統(tǒng)進行全盤備份�����,從而以最快的速度使系統(tǒng)正常工作����。文件恢復則是存儲介質(zhì)上的應用文件損壞�,如DOC、XLS文件壞,用修復軟件對其修復�����,從而恢復文件數(shù)據(jù)����。
?
?
