1. 網路安全技術措施
最佳的解決方案
1.安裝瑞星殺毒或卡巴斯基等殺毒軟體,實時清除電腦木馬病毒;
2.安裝個人硬體防火牆,簡單使用,實時監控且能100%防禦黑客攻擊,又不會影響電腦出現卡機等現象。
目前此類產品中阿爾敘個人硬體防火牆做比較專業,價格還算能接受
在設置一個網路時,無論它是一個區域網(LAN)、虛擬LAN(VLAN)還是廣域網(WAN),在剛開始時設置最基本的安全策略非常重要。安全策略是一些根據安全需求,以電子化的方式設計和存儲的規則,用於控制訪問許可權等領域。當然,安全策略也包括一個企業所執行的書面的或者口頭的規定。另外,企業必須決定由誰來實施和管理這些策略,以及怎樣通知員工這些規則。安全策略、設備和多設備管理的作用相當於一個中央安全控制室,安全人員在其中監控建築物或者園區的安全,進行巡邏或者發出警報。那什麼是安全策略呢?所實施的策略應當控制誰可以訪問網路的哪個部分,以及如何防止未經授權的用戶進入訪問受限的領域。例如,通常只有人力資源部門的成員有權查看員工的薪資歷史。密碼通常可以防止員工進入受限的領域。一些基本的書面策略,例如警告員工不要在工作場所張貼他們的密碼等,通常可以預先防止安全漏洞。可以訪問網路的某些部分的客戶或者供應商也必須受到策略的適當管理。誰又能來實施管理安全策略呢?制定策略和維護網路及其安全的個人或者群體必須有權訪問網路的每個部分。而且,網路策略管理部門應當獲得極為可靠,擁有所需要的技術能力的人員。如前所述,大部分網路安全漏洞都來自於內部,所以這個負責人或者群體必須確保其本身不是一個潛在的威脅。一旦被任命,網路管理人員就可以利用復雜的軟體工具,來幫助他們通過基於瀏覽器的界面,制定、分配、實施和審核安全策略。你想怎樣向員工傳達這個策略呢?如果相關各方都不知道和了解規則,那規則實際上沒有任何用處。為傳達現有的策略、策略的更改、新的策略以及對於即將到來的病毒或者攻擊的安全警報制定有效的機制是非常重要的。
2. 求一份學校安全管理制度
目錄
一、學校行政方面安全管理制度
(一)學校安全工作管理制度
(二)學校消防安全管理制度
(三)學校周邊環境安全治理制度
(四)集會、會操安全管理制度
(五)組織學生外出活動安全管理制度
(六)門衛安全防範工作規范
(七)門衛安全管理制度
(八)總務處安全管理制度
(九)檔案室安全管理制度
(十)辦公室安全管理制度
(十一)印章和保密資料安全管理制度
(十二)突發災害安全防護工作制度
(十三)校內公共活動場所安全管理
(十四)臨時用工安全管理制度
(十五)校園臨時施工人員安全管理制度
(十六)學校食品衛生安全管理制度
(十七)學校疾病防治安全管理制度
二、學校教務方面安全管理制度
(一)教室安全管理制度
(二)實驗室安全管理制度
(三)電腦室安全管理制度
(四)辦公電腦安全管理制度
(五)危險品安全管理制度
(六)圖書室安全管理制度
(七)多媒體教室安全管理制度
(八)網路中心安全管理制度
(九)電視總控室安全管理制度
(十)體育活動、體育教學安全管理制度
三、學校學生日常安全管理制度
(一)學生日常安全制度
(二)學生人身安全管理制度
(三)學生個人物資安全管理制度
(四)中餐生管理制度
(五)學生公寓安全管理制度
(六)學生課外活動安全管理制度
(七)學生公寓門衛安全管理制度
四、學校後勤方面安全管理制度
(一)物資保管安全管理制度
(二)食堂安全管理制度
(三)校園自行車安全管理制度
(四)校園機動車安全管理制度
(五)鍋爐安全管理制度
四、學校安全教育制度
五、學校安全檢查制度
學校行政方面安全管理制度
(一)學校安全工作管理制
為保證學校正常教學秩序,保護學生健康成長,確保國家(校產)不受損失,杜絕或盡量減少安全事故的發生,遵循"注意防範、自救互救、確保平安、減少損失"的原則,根據本地實際情況,制定本管理制度。
1、校長是學校安全工作的第一責任人,學校安全工作由校長領導下的安全工作領導小組負責。各處、室向領導小組負責,實行責任追究制。
2、學校每月要對學生進行有關安全方面的知識教育,教育形式應多樣化;每班每周應有針對性的對學生進行安全教育。要對學生進行緊急突發問題處理方法,自救互救常識的教育。緊急電話(如110、119、122、120等)使用常識的教育。
3、建立重大事故報告制度。校內外學生出現的重大傷亡事故一小時以內報告教育主管部門;學生出走、失蹤要及時報告;對事故的報告要形成書面報告一式三份,一份報教育主管部門,一份報公安派出所,一份報屬地政府,不得隱瞞責任事故。
4、建立健全領導值周、教師值周制度;加強學校教育、教學活動的管理,保證學校的教學秩序正常;負責學校安全的人員要經常和轄區的公安派出所保持密切聯系,爭取公安派出所對學校安全工作的支持和幫助。
5、加強對教師的師德教育,樹立敬業愛生思想,提高教學水平和質量,隨時注意觀察學生心理變化,防患於未然,不得體罰和變相體罰學生,不得將學生趕出教室、學校。
6、外單位或部門借用學生上街宣傳或參加慶典活動以及參加其他社會工作,未經教育主管部門批准、校長辦公會同意,不得擅自組織參加。不得組織學生參加救火、救災等。
http://www.diyifanwen.com/fanwen/guizhang/1192219015376116.htm
3. 職業學校的安全管理制度
一、 學校安全責任制度
學校實行安全責任制,嚴格按照「誰主管、誰負責」、「誰主辦、誰負責」的原則,層層落實安全工作責任制。實行班主任包班級,任課老師包課堂制度。每學年學校與科室負責人、科室負責人與本科室人員(班主任、任課老師由學校另外簽訂)簽訂安全責任書,班主任與學生及學生家長簽訂「做平安學生責任書」,就學校安全目標、安全職責、安全教育、安全管理等方面明確責任。
二、 學校安全教育制度
學校要加強師生的安全教育,提高師生的安全意識和自我保護能力。要堅持「預防為主」的方針,根據氣候、地理、社會等不同環境以及年齡特點,確定相應的安全教育內容,制定切實的教育計劃,有重點、有針對性的對學生進行安全知識教育。每學期開學初、放假前要集中進行一次安全教育,平時要結合班會、廣播會、課堂教育滲透安全教育。要組織師生學習《中小學安全知識讀本》、《學校安全工作須知》、《市民生活安全手冊》及各種安全法律法規。要聘請公安、交通、衛生、消防等部門專業人員上安全教育課,保證安全教育的正確性和規范性。要利用「安全教育周」和「安全教育月」突出教育主題,組織開展形式多樣的教育課,保證安全教育的正確性和規范性。要利用「安全教育周」和「教育安全月」突出教育主題,組織開展形式多樣的教育活動,提高教育效果。
三、學校安全管理制度
學校安全管理是學習安全管理工作的重要內容,要健全制度,明確管理人員和職責,做到安全工作事事有人抓、時時有人管,確保實現校園天天平安的目標。
1.加強學生「一日安全常規」管理
學生科、班主任對學生上學、放學及在校活動每個環節要提出安全要求,對有可能發現安全事故的重點環節確定專人負責,進行重點監控,確保學生安全。每個班級和每個宿舍配備安全員,每天密切留意學校、班級和宿舍的安全問題,發現問題及時記錄和匯報。
2.加強校舍和學校資產、網路安全管理
總務科要完善校舍查勘鑒定製度,確定檢查人員,定期和不定期檢查校舍,做好記錄,發現問題要及時報相關部門;按照上級和學校資產管理規定,嚴格管理學校資產,責任到人。電教部門定期對學校的網路進行檢查,尤其注意對電腦病毒和一些不正當網路訪問進行監控,維護學校網路的流暢和潔凈。
3.加強交通安全管理
學校聯同相關部門在門口公路設立警示標志、減速帶、限速標志。平時教育學生過馬路走天橋,學生上學、放學時要加強重要位置、重要地段的管理,學校門衛在高峰時間密切留意校門口狀況,有異常情況馬上報學校。加強車輛進出校園登記和停放規范的管理。
4.加強消防安全管理
安全辦要密切配合公安消防部門做好學校消防安全工作。人員密集場所和安全出口、疏散通道要保持暢通,疏散指示標志要清晰,各類消防設施、器材要完備。總務科要加強用火、用電、用氣安全管理,及時更換老化用電線路。學生科和住校老師要加強學生宿舍管理,嚴禁學生私拉電線,私用電器,用蠟燭照明,要經常性檢查。
5.加強飲食衛生安全管理
按照教育部衛生部《學校食堂與學校集體用餐衛生管理規定》要求,總務科要加強學校食品衛生安全工作;要加強食堂工作人員管理,嚴禁外人隨便出入食堂;建立食品、原料采購、運輸、儲存、加工、銷售安全的管理制度,嚴把各個環節,嚴格操作規范,嚴防食物中毒事件發生;加強食堂基礎設施建設,配備消毒、防蠅、防鼠等必要設備;用水要符合國家規定飲用水標准;飯堂工作人員要定期檢查身體,取得衛生部門健康合格證後方可上崗。學校要教育學生不得隨意到校外無牌無證餐廳和飲食攤點就餐。
6.加強學生健康安全管理
要按規定配備校醫,加強學校衛生基礎設施建設;要強化學生常見病和傳染病防治,定期對教室、宿舍等人員密集場所消毒。
7.加強學校周邊環境治安管理
學校積極與公安、聯防辦、城管、交通等部門密集配合,加強學校周邊環境治理及學校安全保衛工作,學校保衛人員要配合行政執法部門堅決制止在學校門口擺攤設點、停靠車輛,確保校門交通暢通無阻。校門不能有面向學生小食品攤點,校園周圍200米以內不得開錄像廳、網吧等娛樂場所。學校保衛人員要晝夜值班、巡邏,宿管人員要特別加強女生宿舍的安全保衛工作。
8.加強教育教學安全管理
全體教職工要遵守職業道德規范,關心愛護學生,尊重學生人格。嚴禁體罰或者變相體罰學生,嚴禁役使或變形役使學生,認真落實《中小學教育教學管理的有關規定》,規范辦學行為,減輕課業負擔,努力創造有利於青少年身心健康發展的環境,促進學生主動、活潑、健康發展。要加強心理健康教育工作,及時化解學生心理問題。科任老師既是課堂的組織者,也是課堂的責任人,教育教學(尤其是體育課)應該在安全的前提下進行。
四、校內外大型活動審批制度
各年級、班級組織的大型集體活動須報學校審批,審批報告要附有安全管理方案。活動前,要對活動場所進行安全檢查,對學生進行安全和紀律教育。活動過程中,要加強現場的管理,防止意外事故發生。禁止組織學生參加商業性慶典活動和一般性慶典活動。確需學生參加的大型慶典活動,必須由學校報請教育局批准。
五、校安全報告制度
要加強學校事故及事故隱患報告工作。專人負責,及時向市教育局及當地政府報告學校安全工作情況。學校發生的食物中毒、傳染病流行、安全事故及師生非正常死亡後,應在1小時內向區教育局及衛生、公安等相關部門報告。
六、學校安全檢查制度
學校對校舍、消防設施、教學器材、教學設施、設備進行綜合性的定期檢查;不定期進行專項檢查。檢查時要填寫檢查情況記錄表,對發現的問題要建立跟蹤檔案、台賬,及時整改。
七、安全工作考核制度
學校建立安全工作考核制度,把安全工作列入評優評先的重要內容,做到有計劃、有檢查、有總結。對在平安校園的創建工作中做出突出成績的科室、年級、班級、教職工、學生要予以表彰鼓勵;對在平安創建工作中出現安全責任事故的,在評優評先中實行一票否決,並按照事故和責任大小,分別給予扣除相應崗位補貼、紀律處分、行政處分等處罰,後果嚴重的按照有關規定是追究相關人員的法律責任。
4. 網路安全管理制度
區域網的構建
網路安全概述
網路安全的定義
什麼是計算機網路安全,盡管現在這個詞很火,但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易,困難在於要形成一個足夠去全面而有效的定義。通常的感覺下,安全就是"避免冒險和危險"。在計算機科學中,安全就是防止:
未授權的使用者訪問信息
未授權而試圖破壞或更改信息
這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源,即CPU、硬碟、程序以及其他信息。
在電信行業中,網路安全的含義包括:關鍵設備的可靠性;網路結構、路由的安全性;具有網路監控、分析和自動響應的功能;確保網路安全相關的參數正常;能夠保護電信網路的公開伺服器(如撥號接入伺服器等)以及網路數據的安全性等各個方面。其關鍵是在滿足電信網路要求,不影響網路效率的同時保障其安全性。
電信行業的具體網路應用(結合典型案例)
電信整個網路在技術上定位為以光纖為主要傳輸介質,以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求。如防火牆必須滿足各種路由協議,QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的,所以IP優化尤其重要,至少包括包括如下幾個要素:
網路結構的IP優化。網路體系結構以IP為設計基礎,體現在網路層的層次化體系結構,可以減少對傳統傳輸體系的依賴。
IP路由協議的優化。
IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵,提供高速路由查找和包轉發機制。
帶寬優化。在合理的QoS控制下,最大限度的利用光纖的帶寬。
穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力,快速恢復網路連接,避免路由表顫動引起的整網震盪,提供符合高速寬頻網路要求的可靠性和穩定性。
從骨幹層網路承載能力,可靠性,QoS,擴展性,網路互聯,通信協議,網管,安全,多業務支持等方面論述某省移動互聯網工程的技術要求。
骨幹層網路承載能力
骨幹網採用的高端骨幹路由器設備可提供155M POS埠。進一步,支持密集波分復用(DWDM)技術以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率,連接全部為光纖連接。
骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制,避免前向擁塞時的丟包。
可靠性和自愈能力
包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說,考慮網路的可靠性及自愈能力是必不可少的。
鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式,即通常情況下兩條連接均提供數據傳輸,並互為備份。充分體現採用光纖技術的優越性,不會引起業務的瞬間質量惡化,更不會引起業務的中斷。
模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1:N熱備份的功能,切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。
設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時,另一台設備自動接替其工作,並且不引起其他節點的路由表重新計算,從而提高網路的穩定性。切換時間小於3秒,以保證大部分IP應用不會出現超時錯誤。
路由冗餘。網路的結構設計應提供足夠的路由冗餘功能,在上述冗餘特性仍不能解決問題,數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中,網路連接發生變化時,路由表的收斂時間應小於30秒。
擁塞控制與服務質量保障
擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣,網路的數據流量突發是不可避免的,因此,網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。
業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時,網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。
接入速率控制。接入本網路的業務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優先順序。
隊列機制。具有先進的隊列機制進行擁塞控制,對不同等級的業務進行不同的處理,包括時延的不同和丟包率的不同。
先期擁塞控制。當網路出現真正的擁塞時,瞬間大量的丟包會引起大量TCP數據同時重發,加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術,在網路出現擁塞前就自動採取適當的措施,進行先期擁塞控制,避免瞬間大量的丟包現象。
資源預留。對非常重要的特殊應用,應可以採用保留帶寬資源的方式保證其QoS。
埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。
網路的擴展能力
網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展,以及網路規模的擴展能力。
交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力,以適應數據類業務急速膨脹的現實。
骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力,以適應數據類業務急速膨脹的現實。
網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力,應能滿足本網路覆蓋某省移動整個地區的需求。
與其他網路的互聯
保證與中國移動互聯網,INTERNET國內國際出口的無縫連接。
通信協議的支持
以支持TCP/IP協議為主,兼支持IPX、DECNET、APPLE-TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求,必須支持OSPF路由協議。然而,由於OSPF協議非常耗費CPU和內存,而本網路未來十分龐大復雜,必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。
支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。
支持MPLS標准,便於利用MPLS開展增值業務,如VPN、TE流量工程等。
網路管理與安全體系
支持整個網路系統各種網路設備的統一網路管理。
支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。
支持系統級的管理,包括系統分析、系統規劃等;支持基於策略的管理,對策略的修改能夠立即反應到所有相關設備中。
網路設備支持多級管理許可權,支持RADIUS、TACACS+等認證機制。
對網管、認證計費等網段保證足夠的安全性。
IP增值業務的支持
技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此,運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。
傳送時延
帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時,會以系統容量作為其主要考慮的要素。但是,有一點需要提起注意的是,IP技術本身是面向非連接的技術,其最主要的特點是,在突發狀態下易於出現擁塞,因此,即使在高帶寬的網路中,也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響,如根據ITU-T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路,尤其當網路負荷增大時,如何確保時延要求更為至關重要,要確保這一點的關鍵在於採用設備對於延遲的控制能力,即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。
RAS (Reliability, Availability, Serviceability)
RAS是運營級網路必須考慮的問題,如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時,關鍵點在於網路中不能因出現單點故障而引起全網癱瘓,特別在對於象某省移動這些的全省骨幹網而言更是如此。為此,必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性,包括電源冗餘備份,控制板備份,交換矩陣備份,風扇的合理設計等功能;整體上,Cisco通過提供MPLSFRR和MPLS流量工程技術,可以保證通道級的快速保護切換,從而最大程度的保證了端到端的業務可用性。
虛擬專用網(VPN)
虛擬專用網是目前獲得廣泛應用,也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術,如IPSec、L2TP等來構造VPN之外,Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet,並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性,可操作性等方面開拓了一條新的途徑;同時,極大地簡化了網路運營程序,從而極大地降低了運營費用。另外,採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施,並可與其他運營商合作實現更廣闊的業務能力。
服務質量保證
通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此,選用MDRR/WRED技術,可以為對時延敏感業務生成單獨的優先順序隊列,保證時延要求;同時還專門對基於Multicast的應用提供了專門的隊列支持,從而從真正意義上向網上實時多媒體應用邁進一步。
根據以上對電信行業的典型應用的分析,我們認為,以上各條都是運營商最關心的問題,我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求,不影響電信網路的正常使用,可以看到電信網路對網路安全產品的要求是非常高的。
網路安全風險分析
瞄準網路存在的安全漏洞,黑客們所製造的各類新型的風險將會不斷產生,這些風險由多種因素引起,與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述:
1、物理安全風險分析
我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有:
地震、水災、火災等環境事故造成整個系統毀滅
電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失
電磁輻射可能造成數據信息被竊取或偷閱
不能保證幾個不同機密程度網路的物理隔離
2、網路安全風險分析
內部網路與外部網路間如果在沒有採取一定的安全防護措施,內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。
內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,已發生的網路安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
3、系統的安全風險分析
所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。
4、應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序,肯定會出現新的安全漏洞,必須在安全策略上做一些調整,不斷完善。
4.1 公開伺服器應用
電信省中心負責全省的匯接、網路管理、業務管理和信息服務,所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器,如果沒有採取一些訪問控制,惡意入侵者就可能利用這些公開伺服器存在的安全漏洞(開放的其它協議、埠號等)控制這些伺服器,甚至利用公開伺服器網路作橋梁入侵到內部區域網,盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的,完成計費、認證等功能,他們的安全性應得到100%的保證。
4.2 病毒傳播
網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網路上的所有主機,有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。
4.3信息存儲
由於天災或其它意外事故,資料庫伺服器造到破壞,如果沒有採用相應的安全備份與恢復系統,則可能造成數據丟失後果,至少可能造成長時間的中斷服務。
4.4 管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和技術解決方案的結合。
安全需求分析
1、物理安全需求
針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。採用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源,且資料庫伺服器採用雙機熱備份,數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。
2、系統安全需求
對於操作系統的安全防範可以採取如下策略:盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。
應用系統安全上,主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證,通過設置復雜些的口令,確保用戶使用的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能,對用戶所訪問的信息做記錄,為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。
3、防火牆需求
防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離,達到有效的控制對網路訪問的作用。
3.1省中心與各下級機構的隔離與訪問控制
防火牆可以做到網路間的單向訪問需求,過濾一些不安全服務;
防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。
防火牆具有很強的記錄日誌的功能,可以對您所要求的策略來記錄所有不安全的訪問行為。
3.2公開伺服器與內部其它子網的隔離與訪問控制
利用防火牆可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器,而公開伺服器不可以主動發起對內部網路的訪問,這樣,假如公開伺服器造受攻擊,內部網由於有防火牆的保護,依然是安全的。
4、加密需求
目前,網路運營商所開展的VPN業務類型一般有以下三種:
1.撥號VPN業務(VPDN)2.專線VPN業務3.MPLS的VPN業務
移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務,並應考慮MPLSVPN業務的支持與實現。
VPN業務一般由以下幾部分組成:
(1)業務承載網路(2)業務管理中心(3)接入系統(4)用戶系統
我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。
5、安全評估系統需求
網路系統存在安全漏洞(如安全配置不嚴密等)、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且,隨著網路的升級或新增應用服務,網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞,並且要經常使用,對掃描結果進行分析審計,及時採取相應的措施填補系統漏洞,對網路設備等存在的不安全配置重新進行安全配置。
6、入侵檢測系統需求
在許多人看來,有了防火牆,網路就安全了,就可以高枕無憂了。其實,這是一種錯誤的認識,防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但它是靜態的,而網路安全是動態的、整體的,黑客的攻擊方法有無數,防火牆不是萬能的,不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。入侵檢測系統和防火牆配合使用,這樣可以實現多重防護,構成一個整體的、完善的網路安全保護系統。
7、防病毒系統需求
針對防病毒危害性極大並且傳播極為迅速,必須配備從伺服器到單機的整套防病毒軟體,防止病毒入侵主機並擴散到全網,實現全網的病毒安全防護。並且由於新病毒的出現比較快,所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。
8、數據備份系統
安全不是絕對的,沒有哪種產品的可以做到百分之百的安全,但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份,通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上,並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時,可以利用災難恢復系統進行快速恢復。
9、安全管理體制需求
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求,制定安全管理制度並嚴格按執行,並通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防範外部入侵的安全技術。
安全目標
通過以上對網路安全風險分析及需求分析,再根據需求配備相應安全設備,採用上述方案,我們認為一個電信網路應該達到如下的安全目標:
建立一套完整可行的網路安全與網路管理策略並加強培訓,提高整體人員的安全意識及反黑技術。
利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌;
通過防火牆的一次性口令認證機制,實現遠程用戶對內部網訪問的細粒度訪問控制;
通過入侵檢測系統全面監視進出網路的所有訪問行為,及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌;
通過網路及系統的安全掃描系統檢測網路安全漏洞,減少可能被黑客利用的不安全因素;
利用全網的防病毒系統軟體,保證網路和主機不被病毒的侵害;
備份與災難恢復---強化系統備份,實現系統快速恢復;
通過安全服務提高整個網路系統的安全性。
5. 網路管理制度.
因為我不知道你公司的性質,所以只能給你提供個範本,希望可以作為參考!
一、總則:
1、目的:
一個公司的網路管理我們不但要做到「攘外」——防止外部黑客以及病毒的侵襲,還要做到「安內」——管理好公司內部人員的越權操作,所謂是「無規矩不成方圓」。為加強公司內部網路的管理工作,確保公司內部網路安全高效運行,特製定本制度。
2、適用范圍:
本公司內部計算機網路事宜均適用本制度。
3、網路管理員職責
公司網路管理設網路管理員和網路主管(由工程部經理兼任)。
網路主管的職責是:
考核網路管理員,做好網路建設和網路更新的組織工作和技術支持,制定和修訂網路管理規章制度並監督執行。
網路管理員的職責如下:
A、協助網路主管制定網路建設及網路發展規劃,確定網路安全及資源共享策略。
B、負責公用網路實體,如伺服器、交換機、集線器、防火牆、網關、配線架、網線、接插件等的維護和管理。
C、負責伺服器和系統軟體的安裝、維護、調整及更新。
D、負責網路賬號管理、資源分配、數據安全和系統安全。
E、監視網路運行,調整網路參數,調度網路資源,保持網路安全、穩定、暢通。
F、負責系統備份和網路數據備份;負責各部門電子數據資料的整理和歸檔。
G、保管網路拓撲圖、網路接線表、設備規格及配置單、網路管理記錄、網路運行記錄、網路檢修記錄等網路資料。
H、每年對本公司網路的效能和各電腦性能進行評價,提出網路結構、網路技術和網路管理的改進措施。
二、網路管理制度
1、安全管理制度
A、未經網管批准,任何人不得改變網路拓撲結構,網路設備布置,伺服器、路由器配置和網路參數。
B、任何人不得進入未經許可的計算機系統更改系統信息和用戶數據。
C、公司區域網上任何人不得利用計算機技術侵佔用戶合法利益,不得製作、復制和傳播妨害公司穩定的有關信息。
D、各部門定期對本部門計算機系統和相關業務數據進行備份以防發生故障時進行恢復。
2、帳號管理制度
A、網路賬號採用分組管理。並詳細登記:用戶姓名、部門名稱、相應軟體賬號名及口令、存取許可權、開通時間、網路資源分配情況等。申請表要經部門領導簽字後交網路管理員辦理,注銷帳號時要通知管理員。
B、網路管理員為用戶設置明碼口令,用戶可以根據自己的保密情況進行修改口令,用戶應對工作站設置開機密碼和屏保密碼。
C、用戶帳號下的數據屬於用戶私有數據,當事人具有全部存取許可權,管理員具有管理理和備份存取許可權。
D、網路管理員根據公司制度的帳號管理規則對用戶帳號執行管理,並對用戶帳號及數據的安全和保密負責。
E、網路管理員必須嚴守職業道德和職業紀律,不得將任何用戶的密碼、帳號等保密信息、個人隱私等資料泄露出去。
3、公司電腦操作人員培訓制度
A、公司中所有操作電腦的人員,都要經過電腦的上崗培訓,只有培訓合格證的人員,才可以有操作電腦的許可權,並且自己的機器都設有屏保密碼,避免別人的不合理侵入;
B、公司購買新的軟體產品或自己開發的軟體產品,安裝使用前一定要生產廠家的專家技術人員來廠進行培訓,只有經過培訓合格者,方能取得此軟體的操作許可權。
4、病毒的防治管理制度
A、任何人不得在公司的區域網上製造傳播任何計算機病毒,不得故意引入病毒。
B、網路使用者發現病毒應立即向網路管理員報告以便獲得及時處理。
C、網路伺服器的病毒防治由網路管理員負責,各部門的電腦病毒的防治由各部門指定專人負責,網路管理員可以進行指導和協助。
D、各部門應定期查毒,(周期為一周或者10天)管理員應及時升級病毒庫,並提示各部門對殺毒軟體進行在線升級。
三、本制度自頒布之日起生效。
6. 網站安全管理制度
1、組織工作人員認真學習《計算機信息網路國際互聯網安全保護管理辦法》,提高工作人員的維護網路安全的警惕性和自覺性。
2、負責對本網路用戶進行安全教育和培訓,使用戶自覺遵守和維護《計算機信息網路國際互聯網安全保護管理辦法》,使他們具備基本的網路安全知識。
3、加強對單位的信息發布和BBS公告系統的信息發布的審核管理工作,杜絕違犯《計算機信息網路國際互聯網安全保護管理辦法》的內容出現。