隨著Internet的飛速發(fā)展,計算機信息系統(tǒng)已經(jīng)成為人們工作和生活不可缺少的組成部分。目前,計算機信息系統(tǒng)在國內(nèi)外政府機關(guān)、軍隊、公安、保密部門、科研機構(gòu)、金融及企事業(yè)單位廣泛應用,它在帶給人們便利的同時,也帶來了很多困擾。病毒傳播、黑客入侵、機密泄露等種種不利因素使得人們在使用計算機工作時縮手縮腳,無法發(fā)揮計算機處理事務的優(yōu)勢。內(nèi)部網(wǎng)絡如何搞好安全管理,確保計算機信息系統(tǒng)安全運行,成為一個亟待解決的問題。
目前,基層央行網(wǎng)絡安全主要采用常規(guī)防火墻、防病毒軟件、入侵檢測等防御措施,重要的安全設施大致集中于主機房網(wǎng)絡入口處,在這些設備的嚴密監(jiān)控下,來自網(wǎng)絡外部的安全威脅大大減小。但越來越多的事實證明,來自網(wǎng)絡內(nèi)部以及應用、管理等方面的安全問題同樣不容忽視。網(wǎng)絡安全是整個信息網(wǎng)的安全,涵蓋的面非常廣,需要從物理、網(wǎng)絡、系統(tǒng)、應用和管理的諸多方面進行立體的防護。只有構(gòu)建一套功能完善的內(nèi)部安全系統(tǒng),從客戶端資源、應用資源、設備資源和網(wǎng)絡資源等方面對內(nèi)部網(wǎng)絡加以管理和檢測,才能達到最佳的管理效果。
一、加強客戶端安全管理,保證可信設備接入內(nèi)部網(wǎng)絡
一是搞好設備的入網(wǎng)檢測。對便攜式設備(如筆記本電腦等)和新增設備(計算機等)以及移動存儲工具(如移動硬盤、U盤等)進行接入檢測,禁止未經(jīng)檢測的該類設備接入內(nèi)部網(wǎng)絡,減少病毒、黑客等不安全因素入侵網(wǎng)內(nèi)部絡;
二是進行客戶端違規(guī)聯(lián)網(wǎng)檢測。內(nèi)部網(wǎng)絡與INTERNET必須嚴格物理隔離,內(nèi)部網(wǎng)絡用戶如果通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等設備進行違規(guī)上網(wǎng),必須進行有效阻斷和警告。
三是對客戶端進行防病毒軟件的安裝與監(jiān)控。內(nèi)部網(wǎng)絡所有客戶端必須安裝網(wǎng)絡版殺毒和補丁分發(fā)軟件,并定期進行病毒代碼的升級。適時檢測和監(jiān)控防病毒軟件在客戶端的安裝和升級情況,并對監(jiān)控信息集中管理,對未安裝防毒軟件的客戶端,最好能夠做到通過系統(tǒng)強行安裝。
四是對客戶端定期掃描漏洞、分發(fā)補丁。“沖擊波”、“震蕩波”等病毒就是利用系統(tǒng)漏洞進行傳播的,因此客戶端應具備補丁自動分發(fā)和控制功能。在網(wǎng)絡中安裝客戶端補丁自動分發(fā)系統(tǒng),對注冊后的網(wǎng)絡客戶端,在本機系統(tǒng)中實時運行狀態(tài)監(jiān)測程序,及時將本機的補丁修補狀況上報,管理人員在WEB平臺中可以對全網(wǎng)計算機終端補丁修補狀況作詳細了解,若有重大漏洞出現(xiàn),可及時對客戶端進行操作系統(tǒng)升級。
五是對客戶端軟件安全情況進行實時監(jiān)控。管理員必須能夠自動發(fā)現(xiàn)客戶端安裝的軟件,對與業(yè)務工作無關(guān)的游戲、盜版軟件能做到及時控制;對客戶端出現(xiàn)病毒、蠕蟲攻擊等安全事件,做到實時、快速、精確定位、遠程阻隔事件源頭;當大規(guī)模安全事件發(fā)生后,網(wǎng)管員能確定安全事件源頭、找到網(wǎng)絡中的薄弱環(huán)節(jié),進行安全預警。
二、加強應用資源安全管理,規(guī)范軟件操作使用,
一是避免安裝使用盜版軟件。安裝使用盜版軟件,引入了潛在的安全漏洞,降低了計算機系統(tǒng)的安全系數(shù);
二是禁止安裝使用黑客軟件。一些人處于好奇或者惡意破壞的目的,在計算機上安裝使用黑客軟件,對內(nèi)部網(wǎng)絡發(fā)起攻擊;
三是必須安裝指定的防毒軟件。有些員安全意識淡薄,不安裝防毒軟件,對網(wǎng)絡構(gòu)成了重大威脅。
三、合理規(guī)劃網(wǎng)絡資源,確保系統(tǒng)運行正規(guī)
一是掃描發(fā)現(xiàn)和繪制網(wǎng)絡拓撲結(jié)構(gòu),顯示路由器與子網(wǎng)、交換機與交換機、交換機與主機之間的連接關(guān)系,顯示交換機各端口和使用情況和流量信息,定期對客戶端流量、分支網(wǎng)絡帶寬流量進行分析,并進行數(shù)據(jù)包規(guī)則檢測,防止非法入侵、非法濫用網(wǎng)絡資源。
二是使用VLAN技術(shù)加強內(nèi)部網(wǎng)絡管理。根據(jù)不同的應用業(yè)務以及不同部級別,將網(wǎng)絡劃分不同的網(wǎng)段進行隔離,實現(xiàn)相互間的訪問控制,達到限制用戶非法訪問的目的。檢測網(wǎng)絡中IP應用狀況,并將IP同MAC地址進行綁定,防止特殊IP地址被盜用。
四、加強網(wǎng)絡設備管理,確保系統(tǒng)正常運行
一是對網(wǎng)絡內(nèi)部硬件設備登記注冊。將硬件設備屬性信息采集后存儲到數(shù)據(jù)庫中,硬件屬性信息包括:硬盤容量、序列號、cpu型號、內(nèi)存大小、網(wǎng)卡mac地址、ip地址等重要屬性信息。應限制內(nèi)部人員在內(nèi)網(wǎng)計算機上安裝、使用可移動的存儲設備如軟驅(qū)、光驅(qū)、USB接口的優(yōu)盤、硬盤、數(shù)碼相機等,防止移動存儲介質(zhì)間接地與外網(wǎng)進行數(shù)據(jù)交換,導致病毒入侵或敏感信息、機密數(shù)據(jù)的傳播與泄漏。
二是搞好網(wǎng)絡設備的物理信息的登記管理。如設備的名稱、使用人(管理負責人)姓名、設備樓層房間號、聯(lián)系電話、計算機使用部門等,進行物理定位,做到遇有故障能及時準確地定位和排查。
五、搞好系統(tǒng)備份恢復,提高網(wǎng)絡的容災能力
在做好網(wǎng)絡安全管理工作的同時,也應考慮系統(tǒng)在不可避免的因素下出現(xiàn)的故障恢復需要。首先,必須定期做好重要設備、重要數(shù)據(jù)的備份,以便在出現(xiàn)故障時采取硬件恢復和軟件恢復。硬件恢復有硬件替代、固件修復、數(shù)據(jù)讀取等方法,存儲重要數(shù)據(jù)和運行重要軟件的設備應準備一套硬件備份,而固件修復和數(shù)據(jù)讀取則要送技術(shù)可靠、安全保密性強的專業(yè)部門進行處理。軟件恢復包括系統(tǒng)恢復和文件恢復。系統(tǒng)恢復就是操作系統(tǒng)和應用軟件不能正常啟動,可利用修復軟件對其進行修復,最快捷的方法是利用ghost、livestate對系統(tǒng)進行全盤備份,從而以最快的速度使系統(tǒng)正常工作。文件恢復則是存儲介質(zhì)上的應用文件損壞,如DOC、XLS文件壞,用修復軟件對其修復,從而恢復文件數(shù)據(jù)。
?
?