1. 護網行動是什麼
護網行動是一場網路安全攻防演練。護網2019由公安部11局組織,於2019.6.10開始,持續3周。是針對全國范圍的真實網路目標為對象的實戰攻防活動,旨在發現、暴露和解決安全問題,檢驗我國各大企事業單位、部屬機關的網路安全防護水平和應急處置能力。
隨著信息技術飛速發展,傳統意義上的民族國家所發揮的作用正面臨著來自各個方面的挑戰,但在接受互聯網安全的不確定性的基礎上,國家仍可主導互聯網信息安全並創立多種互聯網安全治理形式。國家應該在特定的時間點,把精力集中於特定信息技術在特定領域及政府機構的影響上。
信息化時代的復雜性需要國家的主導作用:
國家在維護網路信息安全方面所處的高度和能發揮的作用,不是非國家行為主體可以比擬的。非國家行為主體存在著其自身難以克服的局限性,比如其關注的問題一般較為單一,過分注重追求單個利益目標,而忽視政策的平衡性和整體性等。
國家在設定國際法律規范、規定各類行為主體在互聯網上的行為、以標准化促進全球互聯網安全和業界共識、通過國家合作打擊網路犯罪等模式治理方面有著先天的優勢,完全可以居於主導地位,並充分利用各種國際機制和政策工具。
而在飛速發展的信息時代,國家還需創新並主導互聯網安全的治理模式。由國家提供互聯網安全的「公共產品」或將受益人集中於一個平台上共同維持「公共產品」。
在處理非國家行為主體方面,無論是對企業還是個人,國家都可從分析其在國際事務中的具體行為出發,利用其建設性的、積極的一面,以實現維護全球互聯網信息安全的最終目標。
以上內容參考:人民網-維護網路信息安全,國家主導是關鍵
2. 公民應如何為維護國家網路安全做貢獻
公民應該從自我學習、技術運用、社會監督三個方面來維護國家網路安全:
自我學習,可以通過學習網站閱讀網路道德規范及網路文明公約,或者收看中央十二台法制頻道所播出的相關網路犯罪的節目,對日常上網行為進行反省。警惕周圍不安全的網路環境「擦亮慧眼,分清虛實世界」。
技術運用,可以利用搜索引擎及部分相關資料,舉實例,如網頁木馬、惡意代碼、網路虛擬財產案、重要機構機密資料被竊等。刻苦鑽研網路技術,維護網路安全,增加各種網路知識,作為維護網路安全最好的武器。
社會監督,多收看新聞,或者法制書籍的時候,可以看到許多網路犯罪的案例,比如:「破譯密碼竊取巨額儲蓄資金 黑客被判無期徒刑」等等案例。 了解這種行為會給社會生活,以及犯罪者本人帶來哪些危害。以前任為戒,不要犯下相似的錯誤,畢竟網路安全的維護,比僅僅需要政法,也需要每個公民出一份力。就算沒有維護的能力,起碼也不可以故意破壞,為他人為社會造成不必要的麻煩。
3. 信息化時代下如何做好信息安全工作
煙草在線專稿 力拓「間諜門」喚起了國人對於商業間諜行為的關注,同時也迫使很多企業把信息安全問題提到了重要日程上來。另一方面由於科學技術的發展,使得企業的安全工作已不僅僅局限於傳統安全領域,而是使得安全工作的涉及的面更加廣泛,包含的內容更加豐富,也使得當前的企業安全工作與以往任何時期相比都顯得更為重要。 信息安全工作對於卷煙廠來說同樣重要,應當引起足夠的重視,積極思考並探索出信息安全保障的有效途徑,切實做好信息安全工作,保證生產線的穩定可靠運行,將對我們穩定產品質量、提高生產效率、提升生產管理能力將大有裨益。筆者就自己多年來的學習和工作實踐,並結合煙草行業的特點,從下面三個方面談談如何在信息時代做好企業信息安全工作,以和大家共同分享。 加強員工的思想、道德、操守教育,提高其對信息安全重要性的認識,增強自我約束力,在人的層面上保證信息的安全。 員工是企業的載體,是企業各項活動的參與者,是企業各種制度的履行著。因此要想做好信息安全工作,首先上要加強員工思想教育,使員工從思想上重視信息安全,充分認識到信息安全工作的重要性。只有在思想上重視,將信息安全工作融入到潛意識中並潛移默化,各項規章制度執行起來才能順暢有成效,如果員工總是想著如何規避信息安全規章制度,做什麼事都圖方便、圖省事、怕麻煩,對公司各種指令陽奉陰違,不按規章制度走程序,或者更嚴重的去想如何竊取信息,相信信息安全工作是做不好的。另外從另一個角度來看,企業的政令得不到有效執行,還要花精力研究新的規章制度並貫徹執行,這在某種程度上來說是增加了企業的運行成本。 加強員工道德、操守教育就是要樹立一種以保護信息為榮,泄露、竊取信息為恥的道德觀念。科學技術的發展為信息的傳遞提供了便捷條件,今天一個電子郵件,一個大拇指大小的U盤,一條簡訊息都能輕松、便利、快速的將信息傳遞出去,而傳統辦公條件下幾個檔案箱的紙質文本文件用一個U盤就能裝下,這也意味著:公司的機密文件和信息用U盤這樣小的工具就能被不良企圖的員工輕易的帶走,為信息的泄露和竊取埋下了隱患。因此,企業的信息安全在良好周密的規章制度做保障的同時,培養高素質、具有良好道德操守的員工也至關重要,否則再好的規章制度也會形同虛設。 另一方面,加強員工思想、道德、操守教育也是對員工保護和關愛的一種體現。如華為公司就發生過這樣的案例:華為深圳總部的幾名技術人員參與了公司的一個項目的研發。在掌握了相關的核心技術和相關的技術資料後,他們選擇了集體辭職,然後到上海開辦了一家小公司,利用從華為竊取和掌握的技術和資料做和華為同樣的項目,避免了開發過程,以「0」研發成本賺取巨額利潤。華為公司發現後,及時採取有關措施處理了該項事件,並訴諸法律手段起訴了這幾名員工,最後等待這幾名員工的是幾年牢獄生活。 從這個案例我們不難看出,如果企業加強了員工思想、道德、操守教育,使員工能夠認識到信息安全的重要性,從自我做起,嚴格要求自己,就一定能避免這種悲劇的出現,因此做好信息安全工作從某種程度上來講也是對員工的一種保護和關愛。在我們煙草加工行業同樣如此,牌號配方、工藝指標、銷售分析數據、「一號工程」資料庫系統等等都是我們信息安全工作中的重點,它們的泄露和丟失也必將給我們帶來不可估量的損失。 制定詳細周密的信息安全管理制度,在制度的層面上保證信息的安全。 俗話說:「沒有規矩,不成方圓。」規矩在人們的生活中佔有十分重要的地位,信息安全同樣需要相應的規章制度做保證。在華為研發部門到處可見這樣的標語:文件要受控,信息才安全。華為公司對文件的使用保存、列印機的使用、復印機的使用、電子郵件的監控、計算機的使用、員工出差筆記本電腦的使用和管理、軟體的編寫等諸多涉及信息的內容制定了詳細而周密的規章制度,同時在研發部門,員工出入公司都要經過保安的驗包程序,涉及到信息安全的程序可謂「不厭其煩」,但從另一個層面看,這些看似繁復的程序也確實為華為的企業信息安全作出了不可或缺的貢獻,也使員工建立了良好的自我約束機制,養成了良好的工作習慣,達到了制度和員工之間的良好互動。 對於我們煙草行業來說,制定相應的信息安全規章制度也同樣必不可少,如以制絲車間中控室為例,就應當制定完善的信息安全管理制度,下面筆者就結合制絲車間來談談如何建立企業信息安全規章制度。制絲車間中控室的控制計算機雖然說都是工控機,但它們都和家用電腦一樣配有USB通信口,有的還配有光碟機或光碟刻錄機,其實這些都為信息安全埋下了隱患。由於有的員工自我約束力相對差些,拿著自己的U盤拷貝文件到中控室電腦上列印自己的文檔,而U盤是最容易傳播病毒的。 結合工作實踐,筆者認為:中控室的計算機不和外界網路相連,不具備被外界互聯網路危險源攻擊的可能性,這些計算機埠和外設可以說是導致中控室電腦中毒的根源。所以制定中控室的信息安全管理制度可以從兩個方面著手:一是制定出嚴格的員工考核制度。依據「誰使用誰負責,誰主管誰負責」的原則,制定落實操作機長負責制,如果在誰當班期間出現病毒故障就對其進行考核;二是規范中控室出入制度。嚴格杜絕非工作人員進入中控室,並對確實需要進入中控室的人員進行先向主管領導打報告,徵得主管領導同意後,再到中控室簽名(登記其出入時間)進入的制度。 還可以從硬體上著手。由於USB介面和光碟機部件的管理難度較大,具體我們可以參考華為公司對計算機管理的辦法,在計算機機箱的前部去掉光碟機和USB介面,只保留機箱後部的USB介面,然後在機箱後部加裝特殊的保護罩,鑰匙由專人保管負責,確實要使用USB介面的話,可以填寫報告(在華為要走電子流程,即要進入相關的公司管理系統填寫相關的電子流,等待主管人員的審批同意,審批同意後由專人來開鎖),報告報主管領導同意後,由鑰匙保管人來開箱。當然這樣做可能會比較麻煩,增加了流程,但是採用這樣的方法就會從根本上杜絕U盤傳播病毒和通過U盤泄露信息。 從計算機軟體和硬體著手,兩手並重,在技術的層面上保證信息的安全。 在卷煙加工行業,PLC和工控機(或者一般計算機)的配合應用在生產線上得到了廣泛的使用,PLC具有CPU、存儲器、外設埠,計算機所應具有的單元它都具備,它可以認為是簡單的計算機。因此我們就可以結合計算機的軟硬體,借鑒計算機信息安全的經驗來解決我們自己的信息安全問題。筆者下面從工業乙太網通信部分、下位機PLC部分、上位機中控室計算機部分,三個方面論述卷煙生產線上的信息安全問題。 工業乙太網通信部分在現場的維護中是一個很讓技術人員頭疼的問題,一旦出現網路故障,技術人員往往很難判斷出具體是那部分出現了故障,盡管西門子公司的工業乙太網通信部分給出了詳細的網路診斷,但由於技術發展本身的制約,這些診斷功能很難在出現故障時給現場的技術人員有效的指導。其實造成這樣的原因不是我們的技術人員技術能力不高、不鑽研,而是由工業乙太網本身所固有的特點決定的。盡管目前來說,工業乙太網考慮工業環境的特點對乙太網進行了改進給出了四種類型的工業乙太網,但實際上乙太網本身固有的痼疾並沒有徹底解決,其實這就是出現網路故障,不能保證通信安全性的根本原因。所以解決網路通信的根本途徑就是不用工業乙太網,但事實上我們不可能因噎廢食。 上面主要討論了控制網路通信中的協議方面的問題,其實就是控制網路通信的軟體問題,因為軟體是依據協議編寫的。下面兩個部分主要探討下位機和和上位機中非通信軟體和硬體問題。下位機PLC在我們的生產線上一般採用的是西門子S7系列的PLC,從硬體角度來說具有很好的安全性能。PLC軟體一般是由梯形圖和語句表編寫的,考慮到現場設備的安全性和滿足生產的特點,開發人員在軟體編寫完成後,都經過了嚴密的軟體調試,同時由於PLC程序是掃描執行的,如果軟體存在缺陷的話,錯誤動作將會周期執行。另一方面每次技改工作完成後,我們自己的技術人員依據生產中的實際情況,利用較短的時間將程序調試的更為完善,所以說PLC軟體存在缺陷的概率不大,或者說這個部分出現問題,我們是有能力盡快恢復的,能夠保證該部分的穩定安全的。 上位機中控室計算機部分我們採用的是IBM的計算機,同時幾個工藝生產段的上位控制計算機之間具備冗餘備份作用,所以上位機的穩定可靠性能力已經達到了比較高的程度。軟體方面採用的是IFIX和VB復合的編程的方式,即前台用的是IFIX,後台程序用的是VB編程。由於上位機的程序也是循環執行的,結合上面PLC部分的論述,可以知道,上位機的程序存在缺陷或者導致系統故障的概率也不大。 綜合以上三點可以知道,只有充分掌握通信協議,熟悉設備的軟、硬體特點,結合工業現場的實際情況,才能保證工控網路的穩定、健康、安全、健壯運行,而這是從根源上解決問題的唯一途徑。 以河南中煙新鄭卷煙廠為例,河南中煙新鄭廠正在以貫標、對標為契機,深入推進創建優秀卷煙廠活動,創建優秀卷煙工廠的活動內容幾乎涵蓋了當前新煙工作的所有方面。就行業來講,隨著信息技術的不斷更新和快速發展,我們的信息安全的標准還有很多不盡完善的地方,只要我們把握機遇、勤於思考、開拓創新,探索出符合行業情況和特點的信息安全標准也是未盡可知的事。因此這就求全體技術和技能人員發揚勇於探索、勤於鑽研、不怕困難、敢為天下先的精神,就一定能做好信息安全工作,為創建優秀卷煙工廠提供可靠的保障。(河南中煙新鄭廠制絲車間中控室)
4. 網路安全技術
目前,國內各企業大都建立了計算機網路,網路應用頗具規模,特別在數值計算、信息管理、辦公事務、工程(產品)設計、加工製造等方面基本實現了計算機應用,計算機、網路和資料庫正在成為企業日常運行的基石。但是,許多企業由於網路管理相對滯後,網路效益難以獲得應有發揮。 如果各企業以現有的網路設施為基礎,在網路結構上做必要調整,在網路管理上做必要的加強,就能進一步挖掘網路潛力,提高各企業計算機網路的應用水平。
組網規劃
企業的組網技術存在多種選擇,但比較實用的是乙太網(Ethernet)和ATM。
乙太網較早進入網路應用領域,技術成熟,性能穩定,伸縮性強,性價比好,是企業區域網的首選技術。高速乙太網(1000Mbps及以上傳輸速率)甚至可承擔實時和多媒體網路業務。
ATM(Asynchronous Transfer Mode,非同步轉移模式)可以提供容量很大的信息通道,並將語音、數據、文本、圖像、視頻等各種信息在網路中進行統一的傳輸和交換,在支持綜合業務及信道利用率等方面具有優越的性能。
企業區域網一般由內部網和堡壘網兩部分組成。內部網又分成主網和各個相對獨立的子網。堡壘網可看做區域網中的一個子網,它把企業內部網和外部網連接起來,並在二者之間起隔離作用(見右圖)。
在企業區域網上,通常的網路應用有:通過伺服器實現文件服務和列印機(繪圖機)資源共享;資料庫應用;MIS及CAD應用;Internet 及Intranet應用;辦公自動化應用等。但是,在網路環境中,計算機應用方式應逐步實現網路化,並強調資源共享和協同工作。例如,在資料庫應用中,應採用C/S(客戶機/伺服器)應用結構,並逐步向B/S(瀏覽器/伺服器)應用結構過渡;在CAD應用中,應從單項設計向聯合設計過渡,並逐步引入三維模型設計方法;在MIS應用中,應以辦公自動化為核心,逐漸融入其他應用項目,藉助瀏覽器的支持,逐步形成一個集成的「E-企業」應用平台。
布線規劃
企業區域網都應進行結構化布線,以此提高企業區域網的規范性和穩定性水平。網路環境指的就是企業區域網結構化布線系統的周邊環境。
結構化布線系統由六個子系統組成:
(1) 工作區子系統
用戶設備與信息插座之間的連接線纜及部件。
(2) 水平子系統
樓層平面范圍內的信息傳輸介質(雙絞線、同軸電纜、光纜等)。
(3) 主幹子系統
連接網路中心和各子網設備間的信息傳輸介質(雙絞線、同軸電纜、光纜等)。
(4) 設備室子系統
安裝在設備室(網路中心、子網設備間)和電信室的布線系統,由連接各種設備的線纜及適配器組成。
(5) 建築群子系統
在分散建築物之間連接的信息傳輸介質(同軸電纜、光纜等)。
(6) 管理子系統
配線架及其交叉連接(HC—水平交叉連接,IC—中間交叉連接、MC—主交叉連接)的端接硬體和色標規則,線路的交連(Cross-Connect)和直連(Interconnect)控制。
對於網路環境來說,現行國家標准《建築與建築群綜合布線系統工程設計規范》(GB/T 50311-2000)、《計算站場地技術條件》(GB 2887-89)、《電子計算機機房設計規范》(GB 50174-93)、《計算站場地安全要求》(GB 9361-88)有明確的規定,可參照執行。
網路中心是區域網的核心,總配線架(MDF)、網路交換機、網路伺服器、路由器、防火牆、網關、海量存儲設備、網管設備等重要網路實體都放置在這里。網路中心的環境除應滿足上述規定的一般要求外,在某些方面宜執行上述規定中的A級標准。具體描述如下:
(1) 安全要求
場地選擇、防火、內部裝修、供配電系統、空調系統、火災報警及消防設施、防水、防靜電、防雷擊、防鼠害、電磁波防護11項,宜執行《計算站場地安全要求》(GB 9361-88)中的A級標准。
(2) 溫度和濕度
夏季溫度22±2℃,冬季溫度20±2℃,相對濕度45%~65%,溫度變化率小於5℃/h。
(3) 塵埃限制
粒度≥0.5μm,個數≤10000粒/dm3
(4) 腐蝕性氣體
二氧化硫(SO2)≤0.15,硫化氫(H2S)≤0.01。
(5) 網路電源
電壓的變動范圍為-5%~+5%,頻率變化范圍為-0.2Hz~+0.2Hz,波形失真率≤±5%;網路電源應採用不間斷電源供電系統。
(6) 接地
交流工作地的接地電阻不宜大於4Ω;安全保護地的接地電阻不應大於4Ω;信號地和屏蔽地的接地電阻不應大於3Ω;防雷保護地的接地電阻不應大於10Ω。
子網設備間一般放置分配線架(IDF)、子網交換機、子網伺服器、子網列印機等子網設備。一般情況下,配線架和交換機應鎖閉在機櫃之中,以免誤動。子網設備間宜參照計算機機房的一般環境要求執行。
電信室只放有分配線架,辦公室環境即可滿足要求。
工作區子系統、水平子系統、主幹子系統、建築群子系統的環境要求主要考慮如何對網路線纜和接插件進行保護,即網路線纜和接插件的防火、防水、防磁、防鼠害、防雷擊、防靜電、防自然破壞和人為破壞等。
網路運行
根據企業網路應用情況,企業區域網可執行每天8小時運行制或每天24小時運行制。但在網路運行期間,企業一定要安排技術人員值班,以便隨時處理網路故障、解決網路問題、保持網路暢通、提高網路的可用性和可靠性水平。
網路值班可分為現場值班和呼叫(BP機、手機等)值班兩種形式:法定工作時間應實行現場值班,值班地點最好在網路中心;晚上或節假日期間,視網路應用情況,可設置現場值班或呼叫值班。網路值班要明確職責,規定在正常情況下值班人員應該做些什麼工作,在異常情況下又將如何應對,如何填寫值班記錄和值班交接記錄等。
網路管理
1. 網路管理員
一個企業可設兩名網路管理員,一名網路主管。網路主管的職責是: 考核網路工作人員,做好網路建設和網路更新的組織工作,制定網路管理規章制度並監督執行。網路管理員的職責如下:
(1) 協助網路主管制定網路建設及網路發展規劃,確定網路安全及資源共享策略。
(2) 負責公用網路實體,如伺服器、交換機、集線器、中繼器、路由器、防火牆、網橋、網關、配線架、網線、接插件等的維護和管理。
(3) 負責伺服器和網路軟體的安裝、維護、調整及更新。
(4) 負責網路賬號管理、資源分配、數據安全和系統安全。
(5) 參與網路值班,監視網路運行,調整網路參數,調度網路資源,保持網路安全、穩定、暢通。
(6) 負責計算機系統備份和網路數據備份;負責計算機網路資料的整理和歸檔。
(7) 保管網路拓撲圖、網路接線表、設備規格及配置單、網路管理記錄、網路運行記錄、網路檢修記錄等網路資料。
(8) 每年對本單位計算機網路的效能進行評價,提出網路結構、網路技術和網路管理的改進措施。
2. 網路操作
網管員對網路進行管理離不開網路操作,但網路操作不能隨意進行,否則容易出錯。網路操作的操作對象、操作范圍和操作深度應由操作者所在的崗位職責來確定,並嚴格遵守設備或系統的操作規程。重大網路操作(如系統升級、系統更換、數據轉儲等)應經過網路主管批准,採取妥善措施保護系統和數據,並填寫操作記錄。
3. 網路檢修
網路檢修由網路管理員會同有關技術人員共同進行。
網路檢修分為定期檢修和臨時檢修兩種。檢修的項目涉及伺服器、交換機、集線器、中繼器、路由器、防火牆、網關、網橋、配線架、網線等公用網路實體。
每年宜對區域網的公用網路實體進行一次全面檢查和預防性維修,更換性能波動或超過使用壽命的設備及部件。
網路的臨時檢修指在網路出現異常徵兆或故障情況下,檢查、分析、確定故障設備或故障部位,並進行應急維修。
4. 賬號管理
網路賬號宜分組管理。對於一個單位來說,用戶的網路賬號可以按其所在部門、所承擔的項目或所扮演的角色分組。為加強管理,用戶入網時應填寫「用戶入網申請登記表」,內容可以有:用戶姓名、部門名稱、賬號名及口令、初始目錄、存取許可權、網路資源分配情況等。「申請表」經用戶所在部門領導簽字後交網路管理員辦理。同樣,注銷網路賬號時,用戶或用戶所在部門也應書面通知網路管理員撤銷網路賬號、收回網路資源。
網路管理員為用戶設置的口令為明碼口令,沒有保密價值,因此,用戶首次使用自己的網路賬號時應立即修改口令,設置口令密碼。密碼字長不宜小於6個字元。用戶還應該設置本機(網路工作站)的開機口令和屏幕保護口令,以便非授權人員借機操作。各種口令密碼,其中包括系統管理員網路賬號口令密碼、用戶網路賬號口令密碼、本機開機口令密碼、本機屏幕保護口令密碼,都應嚴加保密並適時更換。
用戶賬號下的數據屬各個用戶的私人數據,當事人具有全部存取許可權,網路管理員具有管理及備份許可權,其他人員均無權訪問(賬號當事人授權訪問情況除外)。
各企業宜制定網路賬號管理規則,如分組規則、賬號命名規則、口令字長、口令變更期限、組及用戶存取許可權、用戶優先順序、網路資源分配規則等。網路管理員應根據企業制定的賬號管理規則對用戶賬號執行管理,並對用戶賬號及數據的安全和保密負責。
5. 伺服器管理
企業網路應根據企業網路拓撲結構和網路應用功能來配置伺服器、選擇伺服器的檔次及操作系統,形成文件伺服器、資料庫伺服器和各種專用伺服器分工合作的伺服器資源環境。網路伺服器宜分為主網伺服器和子網伺服器,企業共享的信息安排到主網伺服器,部門共享的信息安排到子網伺服器。
若要伺服器健壯,企業網路必須採用伺服器系統容錯機制。伺服器雙工、伺服器群集(Cluster)、磁碟雙工、磁碟鏡像、RAID磁碟陣列等都是網路伺服器可選用的容錯措施。
在選擇操作系統時,企業應考慮下述要求:
(1) 伺服器與伺服器之間、工作站與伺服器之間能夠實現資源共享、數據通信和交互操作;
(2) 安全級別最低達到TCSEC規定的C2級安全標准;
(3) 操作系統自身功能強、性能優、安全可靠、穩定高效、使用廣泛、界面友好、支持有力,同時應該是業界主流的應用系統。
在安裝伺服器(或修改伺服器配置)時,網管員應對伺服器的硬體、軟體情況進行登記,填寫「伺服器配置登記(更新)表」是一個好辦法。「伺服器配置登記表」的內容可以包括:伺服器名稱及域名、CPU類型及數量、內存類型及容量、硬碟類型及容量、網卡類型及速率、操作系統類型及版本、伺服器邏輯名及IP地址、支撐軟體的配置、應用軟體的配置、硬體及軟體配置的變更情況等。
伺服器有硬碟資源、內存資源、CPU資源、I/O資源等供網路使用。網路管理員應根據用戶或進程的優先順序,分配和調整伺服器的內存、CPU和I/O資源。
6. 保密措施
(1) 人員選擇
應對網路工作人員進行綜合考查,將技術過硬、責任心強、職業道德好的技術人員安排到網路工作崗位。網路主管要對網路工作人員的現實表現、工作態度、職業道德、業務能力等進行綜合評價,將不合格人員及時調離網路工作崗位。被調離人員應立即辦理網路工作交接手續,並承擔保密義務。
網路工作人員變動時,網路管理員應做好網路安全方面的相應調整工作。
(2) 責任分散
網路安全關鍵崗位宜實行輪崗制,時間期限視企業情況而定;操作系統管理、資料庫系統管理、網路程序設計、網路數據備份等與系統安全和數據安全相關的工作宜由多人承擔;涉及網路安全的重要網路操作或實體檢修工作應有兩人(或多人)參與,並通過注冊、記錄、簽字等方式予以證明。
(3) 出入管理
網路中心所在的計算機房應實行分區控制,限制工作人員進入到與己無關的區域。
網路工作人員、外來檢修人員、外來公務人員等進入網路中心要佩戴身份證件,做到持證操作、持證參觀。外來人員進入網路中心應始終有人陪同。
進、出網路中心的任何物品都應進行檢查和登記,禁止攜帶與網路操作無關的物品進、出網路中心。
7. 系統安全
未經網路主管批准,任何人不得改變網路拓撲結構、網路設備布置、伺服器配置和網路參數。
任何人不得擅自進入未經許可的計算機系統,篡改系統信息和用戶數據。企業網最好啟動網路安全審計功能,對不成功進入、不成功訪問、越權存取嘗試等進行記錄、整理、分析,並採取針對性措施。
在企業區域網上,任何人不得利用計算機技術侵犯用戶合法權益;不得製作、復制和傳播妨害單位穩定、淫穢色情等有害信息。
各單位應製作計算機系統和網路數據的備份,並儲備一定數量的備機或備件,使網路硬體、系統軟體、網路數據等發生故障後都能及時恢復。
企業宜根據實際情況制定網路系統應急計劃,以便在火災、水災、地震、意外停電、外部攻擊、錯誤操作、系統崩潰等災難性事故發生時能夠有條不紊地採取緊急救助和緊急恢復措施。
8. 數據備份
網路數據可分為私用、公用、專用、共享、秘密等多種類型;秘密數據又可分為多個密級。對於不同類型的數據,企業應採用訪問控制、身份驗證、數據加密、數字簽名、安全審計等技術手段保證數據安全。
計算機的主板損壞、驅動器崩潰、文件破壞以及其他災難性事故有可能經常發生。企業可以更換主板、驅動器甚至用戶,但無法更換數據。因此,企業應制定一個有效的數據備份策略。
數據備份的介質可以是軟盤、光碟、磁帶等,但從容量、速度、安全性、穩定性、性價比、可操作性、可管理性等方面考慮,企業區域網選用磁帶機做數據備份是保護網路數據的較好方法。
數據備份有完全備份、增量備份、指定備份等備份方式。企業每年、每月宜做完全數據備份,每星期宜做增量數據備份,重要數據每天應做數據備份,並多份拷貝、異地存放。為能較好地恢復數據又節省磁帶開銷,企業數據年備份應保留3年,月備份應保留12個月,星期備份應保留6個月。
9. 病毒防治
任何人不得在企業區域網上製造、傳播計算機病毒,不得故意輸入計算機病毒及其有害數據危害網路安全。網路使用者發現病毒,應立即向網路管理員報告,以便獲得及時處理。
網路伺服器的病毒防治宜由網路管理員負責。網路工作站的病毒防治宜由用戶負責,網路管理員可以進行指導和協助。
企業在購買計算機病毒防治產品時,應確保產品生產單位具有《計算機信息系統安全專用產品銷售許可證》,其病毒防治能力達到公安部規定的水平(詳見《計算機病毒防治產品評級准則》)。
結束語
企業區域網的管理由行為管理和技術管理兩方面構成,行為管理對技術管理有指導和約束作用。技術管理有技術說明書可供參考,行為管理則需要積累經驗並形成規范。企業只有將技術管理和行為管理結合起來,網路管理才能完備,才能為企業的生產、經營做出其應有的貢獻。
5. 網路相關的3個著名標准化組織的名稱是什麼貢獻是什麼
國際標准化組織,電子電氣工程師協會,美國國家標准協會。
6. 中國著名黑客人物有哪些
【Rocky】:請允許我把這個人的名字放在第一位,並致以最沉痛的悼念,早期的綠色兵團核心成員,美國國防部的web site上曾留下過他為祖國的吶喊,綠色兵團早期的文章由他翻譯。我依然記得四年前rocky第一次進入我的linux ,當時他的激動和喜悅,然而今天他卻永遠的離開了我們,走的這么突然。我會記得你,大家會記得你,直到永遠、永遠,我的朋友--Rocky。
【Dspman(HeHe) 】:綠色兵團核心成員,為人和氣,講義氣,做事情大大咧咧。但是Unix基礎相當過硬。
【Solo 】:綠色兵團核心成員,美麗的solo,精通資料庫,做事比較重感情,曾第一個提出SQL查詢語句的嚴重漏洞。
【LittleFish(小魚兒) 】:綠色兵團核心成員,要是上天再給我一次機會的話,我還是願意和他做朋友。因為我愛他。果斷的性格,冷俊的言語是一個天生的黑客。當年我曾對他說,我們要做一個中國最大的網路安全組織,魚兒回答我說:「不!,我們要做亞洲最大的。」這句話我永遠記得,我會去努力的,即使一事無成。
【Blackeye 】:綠色兵團核心成員,是個具有商業頭腦的人,曾為綠色兵團商業化做過很多的付出和努力,中國黑客走到商業化道路和這個名字分不開。
【笛亞哥 】:是一個很老很老的朋友,也許很多人已經遺忘了這個名字,但是我一直在尋找他,曾編寫當時來說比較實用的文章(綠色兵團黑客教材)。
【冰人 】:一個人徹底的消失很難尤其是這樣出名的一個人物,早期的中國黑客沒有不知道這個名字的,但是他的確做到了,徹底的從網路這個世界消失了。
【jiangyf 】:幾年前是綠色兵團聊天室的常客,大家一起學習一起進步,對技術他完全不保留。
【中國鷹派 】:綠色兵團早期成員,擅長加密破解曾參加過第一次的綠色兵團年會。為組織出謀化策是個鐵桿成員現在中國鷹派發展迅速,成員分布中國各地,和他的努力分不開。
【Frankie 】:辰光站長,說到深圳辰光無人不曉,是中國出名的一個安全站點。
【Iamin 】:97年綠色兵團站點第一萬個訪客,當時他的站點和綠色兵團是兩個主要的安全大站。其安全站點黑客之家也是當初最出名的站點。
【袁哥 】:我非常敬佩的一個程序員,非常實干,熱於助人,技術相當過硬,而且看程序有耐心。不管發生什麼,他都是我敬佩的一個程序員。
【Adam 】:chinaasp的安全版版主,相識很偶然,很好客和熱心,就是喜歡開開小玩笑,借我的那本書不知道啥年頭可以還我。
【Davidchen(backend) 】:翻譯過很多技術文章,很多經典的安全文章出自他的手。
【Cloudsky 】:清華bbs斑竹之一,寫過很多好文章。
【CK 】:一個廣州的年輕小夥子,綠色兵團成員,非常好學。
【PP 】:一個老朋友,為中國網路安全做過很多貢獻,喜歡在網路上打抱不平。
【ColdFace 】:綠色兵團分站網路力量站長,脾氣比較大,但是為組織做過很多事情,純ORG的強烈擁護者。
【小榕 】:從亂刀到流光,用過的人都知道這個名字,他是一個專門開發安全工具的程序員。
【Zer9 】:我非常喜歡的一個朋友,氣量很大,代表作品,代理獵手高度分析等。
【天行 】:天行軟體的作者,應該不用介紹了,要是你不知道就去用一下他的軟體。
【LOG 】:綠色兵團早期成員,曾參加過第一次綠色兵團年會,話語不多,但是為人很誠懇,我一直感到欠疚,他從外地趕來開會我沒有招呼好他。
【雨馨 】:千萬別以為這是個女孩,不過他的cn105沒有人不知道,以前是綠色兵團的常客,技術提高很快。
【LoGon(doorless) 】:一個非常謙虛和好學的人,值得交往的朋友。
【liwrml 】:綠色兵團分站,麒麟網路安全小組的站長,兵團鐵桿支持者。
【Chener 】:需要什麼軟體,需要什麼地址去問他,覺得他就象活的網路詞典。
【大鷹 】:補天的得力干將,很有互助精神,你問他什麼問題他總是盡量回答你。
【shotgun 】:一個真正熱愛網路安全的技術人員,不為名利,不為金錢。
【WoWo 】:患難之中見真情,得人滴水之恩當湧泉相報。
【仙劍 】:仙劍樂園有一大批的中國安全愛好者,是中國最大的一個電話破解站點。
【Casper 】:是也很好的朋友,他有很cool的外型,謙虛和嚴謹,對技術從不保留,是個真正熱愛安全的技術人員。
【椰子 】:寫過不少好文章,看事情比較成熟。
【WhoamI 】:熱心,樂於助人,只是有個壞習慣,千萬別在他喝醉的時候去和他討論技術。
【傻Billy 】:中國每個安全站點的角落都能看到他的灌水貼,綠色兵團常客
【weiyangsheng 】:綠色兵團鐵桿支持者,比較低調。
【BadBoy 】:中國紅客的領袖人物,知識面較廣也是兵團的支持者。
【 柳永】:綠色兵團的擁護者,其實他比很多人都要強,可是他總是很謙虛,說自己懂的很少,而且不太說廢話,只和別人探討技術。
【小小龍女 】:綠色兵團的很多文章有他翻譯,精通linux。
【阿飛(remix) 】:綠色兵團的成員,老說自己是垃圾,廢話是挺多的,不過人不錯,為兵團做了很事情。
【五月玫瑰 】:綠色兵團的成員,雖然沒有說過一句話,沒見過一次面,而且幾乎不看到他發言,直到有一天他發來的信,把自己發現的微軟輸入法的新漏洞無私的告訴了我們,永遠都會感謝他對兵團的支持。
【Ghost_happy 】Ghost_happy:他的桌面實在是叫人流口水,不信你去問他要一張截圖看看(win2k + vm +FreeBsd)。
7. 網路安全技術措施
最佳的解決方案
1.安裝瑞星殺毒或卡巴斯基等殺毒軟體,實時清除電腦木馬病毒;
2.安裝個人硬體防火牆,簡單使用,實時監控且能100%防禦黑客攻擊,又不會影響電腦出現卡機等現象。
目前此類產品中阿爾敘個人硬體防火牆做比較專業,價格還算能接受
在設置一個網路時,無論它是一個區域網(LAN)、虛擬LAN(VLAN)還是廣域網(WAN),在剛開始時設置最基本的安全策略非常重要。安全策略是一些根據安全需求,以電子化的方式設計和存儲的規則,用於控制訪問許可權等領域。當然,安全策略也包括一個企業所執行的書面的或者口頭的規定。另外,企業必須決定由誰來實施和管理這些策略,以及怎樣通知員工這些規則。安全策略、設備和多設備管理的作用相當於一個中央安全控制室,安全人員在其中監控建築物或者園區的安全,進行巡邏或者發出警報。那什麼是安全策略呢?所實施的策略應當控制誰可以訪問網路的哪個部分,以及如何防止未經授權的用戶進入訪問受限的領域。例如,通常只有人力資源部門的成員有權查看員工的薪資歷史。密碼通常可以防止員工進入受限的領域。一些基本的書面策略,例如警告員工不要在工作場所張貼他們的密碼等,通常可以預先防止安全漏洞。可以訪問網路的某些部分的客戶或者供應商也必須受到策略的適當管理。誰又能來實施管理安全策略呢?制定策略和維護網路及其安全的個人或者群體必須有權訪問網路的每個部分。而且,網路策略管理部門應當獲得極為可靠,擁有所需要的技術能力的人員。如前所述,大部分網路安全漏洞都來自於內部,所以這個負責人或者群體必須確保其本身不是一個潛在的威脅。一旦被任命,網路管理人員就可以利用復雜的軟體工具,來幫助他們通過基於瀏覽器的界面,制定、分配、實施和審核安全策略。你想怎樣向員工傳達這個策略呢?如果相關各方都不知道和了解規則,那規則實際上沒有任何用處。為傳達現有的策略、策略的更改、新的策略以及對於即將到來的病毒或者攻擊的安全警報制定有效的機制是非常重要的。
8. 如何做才能為保護網路安全貢獻自己的力量
想法很好呀!其實貢獻自己的力量方法就是舉報自己所知道的詐騙信息。
9. 大學生參加護網行動需要准備什麼
應提升網路安全應急處置隊伍應對能力。
近年來,隨著互聯網的飛速發展,網路攻擊不再只是威脅企業信息資產安全,國家的基礎信息設施也開始面臨嚴重的網路的網路攻擊,網路安全逐漸上升到了國家安全的層面。「為了防止羊被偷,我們得在羊被偷之前就開始識別風險、加固羊圈建設」,護網行動在這樣的背景下線就逐步誕生。「護網行動「發展歷程網路空間紛繁復雜,隨著大數據、雲計算、人工智慧、區塊鏈等新技術的突飛猛進,國際形勢也呈現出了復雜的變化形勢。在國際形勢和科技能力的雙重推動下,各種各樣的漏洞給企業、國家的網路安全帶來巨大的風險。
「護網行動」注意事項1)、網路攻擊不僅僅是技術的較量,某金融機構在攻防演練中,攻方派出「暗訪人員」以設備網路維修升級為由,企圖進入防守方網點設備間實施破壞。針對這種情況,我們應當如何防護:答:網路安全對抗演練越來越貼近實際情況,對待網路安全需要數據安全和行為安全並重,我們需要提高信息安全意識,謹防社會工程學攻擊;2)、某地區電力公司在開展「護網行動」演練時,還組織員工進行網路安全教育及培訓,提升該公司員工網路安全意識。這說明「護網行動」不僅是由技術人員完成,企業管理也應當做到:答:安全防護技術與管理並重,提升防禦技術的同時加強人員安全管理;3)、網路安全的本質在對抗,對抗的本質在攻防兩端能力的較量。這句話反映的是:答:網路安全人才是第一資源;4)、「護網行動」旨在檢驗企事業單位關鍵信息基礎設施安全防護能力,提升網路安全應急處置隊伍應對能力,完善應急處置流程和工作機制,提升安全事件應急處置綜合能力水平。這句話說明:答:網路安全關乎企業、國家安全,我們應當予以高度重視。提升信息安全意識,為網路安全貢獻一己之力;5)、在實際辦公過程中,企業應當至少從以下方面加強信息安全管理:答:01、強化辦公場所外來人員、不明人員安全管理;02、嚴格落實外來人員和物品查驗工作,防範攻擊者進入企業辦公區域實施網路攻擊;03、要求員工嚴格管理信息設備、信息系統等的賬號密碼,謹防外借、丟失和被盜;6)、釣魚郵件是常見的一種攻擊手段,是指利用偽裝的電郵,欺騙收件人將賬號、口令等信息回復給指定的接收者。針對釣魚郵件,應當如何防護:答:謹防釣魚郵件,對不明郵件做到不點擊郵件內鏈接,不下載、不打開不明郵件的任何文檔附件,不轉發任何不明郵件。
10. 作為一名企業網路安全管理人員怎麼提高網路管理的安全性
網路安全管理第一個黃金法則:一致性原則。 企業安全性防護跟其他信息化項目一樣,是一個系統工程。若我們採取搭積木的方法,搞企業的網路安全性工作的話,那麼肯定會漏洞百出。 一方面各個信息化安全管理方案之間可能會相互沖突,反而會造成網路方面的通信故障。如我們在單機上安裝金山毒霸的單機版殺毒軟體,而防火牆採用的是瑞星的產品。那麼就可能導致用戶某些網路軟體運行錯誤,導致操作系統速度明顯變慢等等不良反應。 另一方面,各個信息化管理方案之間由於缺乏一個統一的平台,這就好象是拼圖一樣。就算再嚴的話,也會有縫隙。只要一點小小的縫隙,就會讓非法攻擊者有機可乘。他們很可能利用這一點縫隙,進入到企業的內部,對企業網路執行攻擊。 故企業在網路安全體系的設計與管理中,一定要注意一致性原則。一致性原則在實際管理中,主要體現如下幾個方面。 一是若採用的是Windows的網路管理環境,則最好採用域來管理企業網路。因為企業若搭建一個域環境的話,則可以對企業網路實現一個統一的管理。如統一管理企業網路賬戶、統一管理安全策略、統一制定響應措施等等。通過域可以幫助企業網路管理員,在一個平台上實現對網路進行一致性管理。 二是盡量採用企業級別的安全管理軟體。如最常見的就是反病毒軟體與防火牆軟體。網路版的殺毒軟體與單機版的殺毒軟體效果是不同的。即使跟每個用戶都安裝了殺毒軟體,但是,其效果仍然沒有網路版的殺毒軟體來得好。這主要是因為,網路版的殺毒軟體,不僅僅可以對各個主機的病毒進行查殺,重要的在於,其還可以對整個網路進行監控;並且,其還可以對各個客戶端殺毒軟體進行統一的管理,如對其進行強制的升級、殺毒等等。所以筆者的觀點是,雖然網路版本的殺毒軟體價格比較高,但是若企業對於網路安全比較敏感的話,則購買網路版本的殺毒軟體還是比較值得的。 三是一些網路應用的常規設計等等。如為了提高文件的安全性,防止被非法訪問、修改,則在公司內部建立一個文件伺服器是一個不錯的選擇。通過文件伺服器,統一各個用戶的訪問許可權;對伺服器中的文件進行定時的備份;對用戶的訪問進行統一的監督控制等等。利用文件伺服器這一個統一的管理平台,可以有效的提高文件的安全性。比起在用戶終端保存文件來說,安全系數會提高很多。 總之,在企業網路安全管理thldl.org.cn中,我們需要尋找一些統一的管理平台。而對於那些孤軍作戰的產品,我們要避而遠之。 網路安全管理第二個黃金法則:透明性選擇。 我們採取的任何安全策略,對於終端用戶來說,應該追求一個透明性。也就是說,我們即使採用了安全策略的話,用戶也是不知情的。如此的話,就不會因為一些安全性設置,而影響到用戶的工作效率。 如有些企業,為了提高用戶文件的安全性,會定時對他們電腦內的重要文件夾,如桌面或者我的文檔中的內容進行備份。若現在需要用戶手工對這些文件夾中的內容進行備份的話,那顯然是不合適的。讓用戶額外的增加一道工作,他們並不見得樂意,就可能會偷工減料的做。我們希望這個安全策略是對用戶透明的,也就是說,不需要用戶干預就可以完成的。為此,我們可以設置當用戶開機或者關機的時候,作為觸發點,對這些重要文件進行備份。如此的話,用戶不用參與到這個過程中,對於用戶來說,就是透明的。不會影響他們的工作效率。 如對於網路傳輸中的密文傳輸,也不需要用戶去判斷是否需要對傳輸的內容進行加密,而是網路會根據自身的安全設計原則進行判斷。如現在比較流行的IP安全策略,就就有這方面的智能。IP安全策略有三種級別,分別為安全伺服器(必須安全)、客戶端(僅響應)、伺服器(請求安全)三種級別。如果一方設置為安全伺服器,則就要求跟其進行通信的所有IP通信總是使用新人請求安全。也就是說,當其在發送信息之前,會請求對方啟用IP安全加密策略。若對方不支持的話,則就會拒絕跟自己的通信。很明顯,這是一個很高的安全級別。若我們採用的是伺服器級別的話,則在發送之前會先請求對方對數據進行加密。若對方支持加密則更好,發送方就會對數據進行加密。但是,若對方不支持這個加密功能的話,則就採用明文傳輸。而若是客戶端的話,則其只有在別人請求其使用加密技術的時候,才會對其傳送的數據進行加密。這個過程比較復雜,若讓用戶手工進行管理的話,那顯然不是很現實,光這個相互確認的過程就需要佔用他們很多的時間。所以,現在這個過程對於用戶來說是透明的,他們不需要進行干預。當他們需要向某個人發送信息的時候,電腦主機會自動進行協商,看看是否需要進行加密。這就是對用戶來說的透明技術。 另外,說道透明性還不得不提微軟的一種文件加密策略。微軟在NTFS的文件系統中,提供了一種EFS的文件加密機制。當把某個文件夾設置為EFS加密的時候,當把文件保存到這個文件夾中,則操作系統會自動根據用戶賬戶的序列號對這個文件進行加密。如此的話,當文件被其他用戶訪問或者非法復制的時候,這些文件他們是打不開的或則是以亂碼顯示,對他們沒有實際的意義。當文件所有者下次再登陸操作系統打開這個文件的時候,則操作系統會自動對這個加密文件進行解密。這種措施比設置文件密碼要安全的多。因為若對WORD等文件設置密碼的話,則利用破解工具破解比較容易。但是,若要對EFS加密過的文件進行破解的話,則基本上是不可能的,因為其秘鑰很長。當然,這個加密解密的過程對用戶來說,也是透明的。 所以,筆者認為,在設計安全性解決方案的時候,要注意對用戶的透明。如此的話,在企業網路與信息安全的同時,也不會影響到他們的正常工作。 網路安全管理第三個黃金法則:木桶原則。 在我們網路安全管理者中,有句俗話,叫做「外敵可擋,家賊難防」。根據相關的數據統計,企業網路的安全事故中,由外面攻擊得逞的比率大概在20%左右;其他的80%都是通過內部攻擊所造成的。這不僅包括內部員工的惡意報復;還有就是外部攻擊者先攻破了內部網路的一台主機,然後把這台主機當作他們的「肉雞」,進行攻擊。所以說,企業網路安全管理中,每一個環節都是重要的環節。若一個環節疏忽了,則對方就可以猛打這個弱點。把這個弱點攻破了,他們就可以以此作為跳板,攻打其他堡壘了。 所以,根據木桶原則,我們在網路安全管理中,需要對企業網路進行均衡、全面的保護。任何一方面的缺失或者疏漏都會造成整個安全體系的崩潰,導致我們的工作功虧一簣。這就好像木桶中,決定木桶的存儲量的永遠是那一塊最低的木板。 網路攻擊者在攻擊網路的時候,往往是根據「最易滲透性」的原則來攻擊的。也就是說,他們會先找到企業網路中的一個薄弱環節進行攻擊。現在企業網路中找到一個可用的跳板,然後抓住這個機會,利用網路安全管理員重外部輕內部的心理,從企業網路內部對企業網路發動攻擊。 為此,我們網路管理員就需要全面評估企業的網路安全體系,找到那一塊最短的「木板」,並且把他修復。如此的話,才能夠提高整個網路的安全性。筆者在對一些對安全有特殊需求的企業,如銀行、證券部門進行網路安全評估的時候,就經常給他們提起「木桶原則」。我會幫助他們找到現有網路安全管理體系中的哪些偏短的木板,這些往往是攻擊者在攻擊過程中的突破點。然後再提一些針對性的解決方案。所以,為了提高網路的安全體系,技術不是最難的。難度在於如何發現這些「短」的木板。這基本上不能依靠技術,而要靠個人的經驗了。 所以,在網路安全體系設計與管理中,我們要時時牢記「木桶原則」,盡快的發現企業中那塊偏短的木板,要麼對此進行重點監視;要麼通過一定的方法加長期長度。 目前,網路安全管理已經越來越被重視,網路只有安全了,人們才能有良好的生活環境。所以說,網路安全管理是網路建立的首要任務。