1. 网络安全技术措施
最佳的解决方案
1.安装瑞星杀毒或卡巴斯基等杀毒软件,实时清除电脑木马病毒;
2.安装个人硬件防火墙,简单使用,实时监控且能100%防御黑客攻击,又不会影响电脑出现卡机等现象。
目前此类产品中阿尔叙个人硬件防火墙做比较专业,价格还算能接受
在设置一个网络时,无论它是一个局域网(LAN)、虚拟LAN(VLAN)还是广域网(WAN),在刚开始时设置最基本的安全策略非常重要。安全策略是一些根据安全需求,以电子化的方式设计和存储的规则,用于控制访问权限等领域。当然,安全策略也包括一个企业所执行的书面的或者口头的规定。另外,企业必须决定由谁来实施和管理这些策略,以及怎样通知员工这些规则。安全策略、设备和多设备管理的作用相当于一个中央安全控制室,安全人员在其中监控建筑物或者园区的安全,进行巡逻或者发出警报。那什么是安全策略呢?所实施的策略应当控制谁可以访问网络的哪个部分,以及如何防止未经授权的用户进入访问受限的领域。例如,通常只有人力资源部门的成员有权查看员工的薪资历史。密码通常可以防止员工进入受限的领域。一些基本的书面策略,例如警告员工不要在工作场所张贴他们的密码等,通常可以预先防止安全漏洞。可以访问网络的某些部分的客户或者供应商也必须受到策略的适当管理。谁又能来实施管理安全策略呢?制定策略和维护网络及其安全的个人或者群体必须有权访问网络的每个部分。而且,网络策略管理部门应当获得极为可靠,拥有所需要的技术能力的人员。如前所述,大部分网络安全漏洞都来自于内部,所以这个负责人或者群体必须确保其本身不是一个潜在的威胁。一旦被任命,网络管理人员就可以利用复杂的软件工具,来帮助他们通过基于浏览器的界面,制定、分配、实施和审核安全策略。你想怎样向员工传达这个策略呢?如果相关各方都不知道和了解规则,那规则实际上没有任何用处。为传达现有的策略、策略的更改、新的策略以及对于即将到来的病毒或者攻击的安全警报制定有效的机制是非常重要的。
2. 求一份学校安全管理制度
目录
一、学校行政方面安全管理制度
(一)学校安全工作管理制度
(二)学校消防安全管理制度
(三)学校周边环境安全治理制度
(四)集会、会操安全管理制度
(五)组织学生外出活动安全管理制度
(六)门卫安全防范工作规范
(七)门卫安全管理制度
(八)总务处安全管理制度
(九)档案室安全管理制度
(十)办公室安全管理制度
(十一)印章和保密资料安全管理制度
(十二)突发灾害安全防护工作制度
(十三)校内公共活动场所安全管理
(十四)临时用工安全管理制度
(十五)校园临时施工人员安全管理制度
(十六)学校食品卫生安全管理制度
(十七)学校疾病防治安全管理制度
二、学校教务方面安全管理制度
(一)教室安全管理制度
(二)实验室安全管理制度
(三)电脑室安全管理制度
(四)办公电脑安全管理制度
(五)危险品安全管理制度
(六)图书室安全管理制度
(七)多媒体教室安全管理制度
(八)网络中心安全管理制度
(九)电视总控室安全管理制度
(十)体育活动、体育教学安全管理制度
三、学校学生日常安全管理制度
(一)学生日常安全制度
(二)学生人身安全管理制度
(三)学生个人物资安全管理制度
(四)中餐生管理制度
(五)学生公寓安全管理制度
(六)学生课外活动安全管理制度
(七)学生公寓门卫安全管理制度
四、学校后勤方面安全管理制度
(一)物资保管安全管理制度
(二)食堂安全管理制度
(三)校园自行车安全管理制度
(四)校园机动车安全管理制度
(五)锅炉安全管理制度
四、学校安全教育制度
五、学校安全检查制度
学校行政方面安全管理制度
(一)学校安全工作管理制
为保证学校正常教学秩序,保护学生健康成长,确保国家(校产)不受损失,杜绝或尽量减少安全事故的发生,遵循"注意防范、自救互救、确保平安、减少损失"的原则,根据本地实际情况,制定本管理制度。
1、校长是学校安全工作的第一责任人,学校安全工作由校长领导下的安全工作领导小组负责。各处、室向领导小组负责,实行责任追究制。
2、学校每月要对学生进行有关安全方面的知识教育,教育形式应多样化;每班每周应有针对性的对学生进行安全教育。要对学生进行紧急突发问题处理方法,自救互救常识的教育。紧急电话(如110、119、122、120等)使用常识的教育。
3、建立重大事故报告制度。校内外学生出现的重大伤亡事故一小时以内报告教育主管部门;学生出走、失踪要及时报告;对事故的报告要形成书面报告一式三份,一份报教育主管部门,一份报公安派出所,一份报属地政府,不得隐瞒责任事故。
4、建立健全领导值周、教师值周制度;加强学校教育、教学活动的管理,保证学校的教学秩序正常;负责学校安全的人员要经常和辖区的公安派出所保持密切联系,争取公安派出所对学校安全工作的支持和帮助。
5、加强对教师的师德教育,树立敬业爱生思想,提高教学水平和质量,随时注意观察学生心理变化,防患于未然,不得体罚和变相体罚学生,不得将学生赶出教室、学校。
6、外单位或部门借用学生上街宣传或参加庆典活动以及参加其他社会工作,未经教育主管部门批准、校长办公会同意,不得擅自组织参加。不得组织学生参加救火、救灾等。
http://www.diyifanwen.com/fanwen/guizhang/1192219015376116.htm
3. 职业学校的安全管理制度
一、 学校安全责任制度
学校实行安全责任制,严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,层层落实安全工作责任制。实行班主任包班级,任课老师包课堂制度。每学年学校与科室负责人、科室负责人与本科室人员(班主任、任课老师由学校另外签订)签订安全责任书,班主任与学生及学生家长签订“做平安学生责任书”,就学校安全目标、安全职责、安全教育、安全管理等方面明确责任。
二、 学校安全教育制度
学校要加强师生的安全教育,提高师生的安全意识和自我保护能力。要坚持“预防为主”的方针,根据气候、地理、社会等不同环境以及年龄特点,确定相应的安全教育内容,制定切实的教育计划,有重点、有针对性的对学生进行安全知识教育。每学期开学初、放假前要集中进行一次安全教育,平时要结合班会、广播会、课堂教育渗透安全教育。要组织师生学习《中小学安全知识读本》、《学校安全工作须知》、《市民生活安全手册》及各种安全法律法规。要聘请公安、交通、卫生、消防等部门专业人员上安全教育课,保证安全教育的正确性和规范性。要利用“安全教育周”和“安全教育月”突出教育主题,组织开展形式多样的教育课,保证安全教育的正确性和规范性。要利用“安全教育周”和“教育安全月”突出教育主题,组织开展形式多样的教育活动,提高教育效果。
三、学校安全管理制度
学校安全管理是学习安全管理工作的重要内容,要健全制度,明确管理人员和职责,做到安全工作事事有人抓、时时有人管,确保实现校园天天平安的目标。
1.加强学生“一日安全常规”管理
学生科、班主任对学生上学、放学及在校活动每个环节要提出安全要求,对有可能发现安全事故的重点环节确定专人负责,进行重点监控,确保学生安全。每个班级和每个宿舍配备安全员,每天密切留意学校、班级和宿舍的安全问题,发现问题及时记录和汇报。
2.加强校舍和学校资产、网络安全管理
总务科要完善校舍查勘鉴定制度,确定检查人员,定期和不定期检查校舍,做好记录,发现问题要及时报相关部门;按照上级和学校资产管理规定,严格管理学校资产,责任到人。电教部门定期对学校的网络进行检查,尤其注意对电脑病毒和一些不正当网络访问进行监控,维护学校网络的流畅和洁净。
3.加强交通安全管理
学校联同相关部门在门口公路设立警示标志、减速带、限速标志。平时教育学生过马路走天桥,学生上学、放学时要加强重要位置、重要地段的管理,学校门卫在高峰时间密切留意校门口状况,有异常情况马上报学校。加强车辆进出校园登记和停放规范的管理。
4.加强消防安全管理
安全办要密切配合公安消防部门做好学校消防安全工作。人员密集场所和安全出口、疏散通道要保持畅通,疏散指示标志要清晰,各类消防设施、器材要完备。总务科要加强用火、用电、用气安全管理,及时更换老化用电线路。学生科和住校老师要加强学生宿舍管理,严禁学生私拉电线,私用电器,用蜡烛照明,要经常性检查。
5.加强饮食卫生安全管理
按照教育部卫生部《学校食堂与学校集体用餐卫生管理规定》要求,总务科要加强学校食品卫生安全工作;要加强食堂工作人员管理,严禁外人随便出入食堂;建立食品、原料采购、运输、储存、加工、销售安全的管理制度,严把各个环节,严格操作规范,严防食物中毒事件发生;加强食堂基础设施建设,配备消毒、防蝇、防鼠等必要设备;用水要符合国家规定饮用水标准;饭堂工作人员要定期检查身体,取得卫生部门健康合格证后方可上岗。学校要教育学生不得随意到校外无牌无证餐厅和饮食摊点就餐。
6.加强学生健康安全管理
要按规定配备校医,加强学校卫生基础设施建设;要强化学生常见病和传染病防治,定期对教室、宿舍等人员密集场所消毒。
7.加强学校周边环境治安管理
学校积极与公安、联防办、城管、交通等部门密集配合,加强学校周边环境治理及学校安全保卫工作,学校保卫人员要配合行政执法部门坚决制止在学校门口摆摊设点、停靠车辆,确保校门交通畅通无阻。校门不能有面向学生小食品摊点,校园周围200米以内不得开录像厅、网吧等娱乐场所。学校保卫人员要昼夜值班、巡逻,宿管人员要特别加强女生宿舍的安全保卫工作。
8.加强教育教学安全管理
全体教职工要遵守职业道德规范,关心爱护学生,尊重学生人格。严禁体罚或者变相体罚学生,严禁役使或变形役使学生,认真落实《中小学教育教学管理的有关规定》,规范办学行为,减轻课业负担,努力创造有利于青少年身心健康发展的环境,促进学生主动、活泼、健康发展。要加强心理健康教育工作,及时化解学生心理问题。科任老师既是课堂的组织者,也是课堂的责任人,教育教学(尤其是体育课)应该在安全的前提下进行。
四、校内外大型活动审批制度
各年级、班级组织的大型集体活动须报学校审批,审批报告要附有安全管理方案。活动前,要对活动场所进行安全检查,对学生进行安全和纪律教育。活动过程中,要加强现场的管理,防止意外事故发生。禁止组织学生参加商业性庆典活动和一般性庆典活动。确需学生参加的大型庆典活动,必须由学校报请教育局批准。
五、校安全报告制度
要加强学校事故及事故隐患报告工作。专人负责,及时向市教育局及当地政府报告学校安全工作情况。学校发生的食物中毒、传染病流行、安全事故及师生非正常死亡后,应在1小时内向区教育局及卫生、公安等相关部门报告。
六、学校安全检查制度
学校对校舍、消防设施、教学器材、教学设施、设备进行综合性的定期检查;不定期进行专项检查。检查时要填写检查情况记录表,对发现的问题要建立跟踪档案、台账,及时整改。
七、安全工作考核制度
学校建立安全工作考核制度,把安全工作列入评优评先的重要内容,做到有计划、有检查、有总结。对在平安校园的创建工作中做出突出成绩的科室、年级、班级、教职工、学生要予以表彰鼓励;对在平安创建工作中出现安全责任事故的,在评优评先中实行一票否决,并按照事故和责任大小,分别给予扣除相应岗位补贴、纪律处分、行政处分等处罚,后果严重的按照有关规定是追究相关人员的法律责任。
4. 网络安全管理制度
局域网的构建
网络安全概述
网络安全的定义
什么是计算机网络安全,尽管现在这个词很火,但是真正对它有个正确认识的人并不多。事实上要正确定义计算机网络安全并不容易,困难在于要形成一个足够去全面而有效的定义。通常的感觉下,安全就是"避免冒险和危险"。在计算机科学中,安全就是防止:
未授权的使用者访问信息
未授权而试图破坏或更改信息
这可以重述为"安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力"。注意第二个定义的范围包括系统资源,即CPU、硬盘、程序以及其他信息。
在电信行业中,网络安全的含义包括:关键设备的可靠性;网络结构、路由的安全性;具有网络监控、分析和自动响应的功能;确保网络安全相关的参数正常;能够保护电信网络的公开服务器(如拨号接入服务器等)以及网络数据的安全性等各个方面。其关键是在满足电信网络要求,不影响网络效率的同时保障其安全性。
电信行业的具体网络应用(结合典型案例)
电信整个网络在技术上定位为以光纤为主要传输介质,以IP为主要通信协议。所以我们在选用安防产品时必须要达到电信网络的要求。如防火墙必须满足各种路由协议,QOS的保证、MPLS技术的实现、速率的要求、冗余等多种要求。这些都是电信运营商应该首先考虑的问题。电信网络是提供信道的,所以IP优化尤其重要,至少包括包括如下几个要素:
网络结构的IP优化。网络体系结构以IP为设计基础,体现在网络层的层次化体系结构,可以减少对传统传输体系的依赖。
IP路由协议的优化。
IP包转发的优化。适合大型、高速宽带网络和下一代因特网的特征,提供高速路由查找和包转发机制。
带宽优化。在合理的QoS控制下,最大限度的利用光纤的带宽。
稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力,快速恢复网络连接,避免路由表颤动引起的整网震荡,提供符合高速宽带网络要求的可靠性和稳定性。
从骨干层网络承载能力,可靠性,QoS,扩展性,网络互联,通信协议,网管,安全,多业务支持等方面论述某省移动互联网工程的技术要求。
骨干层网络承载能力
骨干网采用的高端骨干路由器设备可提供155M POS端口。进一步,支持密集波分复用(DWDM)技术以提供更高的带宽。网络核心与信息汇聚点的连接速率为155M连接速率,连接全部为光纤连接。
骨干网设备的无阻塞交换容量具备足够的能力满足高速端口之间的无丢包线速交换。骨干网设备的交换模块或接口模块应提供足够的缓存和拥塞控制机制,避免前向拥塞时的丢包。
可靠性和自愈能力
包括链路冗余、模块冗余、设备冗余、路由冗余等要求。对某省移动互联网工程这样的运营级宽带IP骨干网络来说,考虑网络的可靠性及自愈能力是必不可少的。
链路冗余。在骨干设备之间具备可靠的线路冗余方式。建议采用负载均衡的冗余方式,即通常情况下两条连接均提供数据传输,并互为备份。充分体现采用光纤技术的优越性,不会引起业务的瞬间质量恶化,更不会引起业务的中断。
模块冗余。骨干设备的所有模块和环境部件应具备1+1或1:N热备份的功能,切换时间小于3秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。
设备冗余。提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时,另一台设备自动接替其工作,并且不引起其他节点的路由表重新计算,从而提高网络的稳定性。切换时间小于3秒,以保证大部分IP应用不会出现超时错误。
路由冗余。网络的结构设计应提供足够的路由冗余功能,在上述冗余特性仍不能解决问题,数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中,网络连接发生变化时,路由表的收敛时间应小于30秒。
拥塞控制与服务质量保障
拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样,网络的数据流量突发是不可避免的,因此,网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。
业务分类。网络设备应支持6~8种业务分类(CoS)。当用户终端不提供业务分类信息时,网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。
接入速率控制。接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。
队列机制。具有先进的队列机制进行拥塞控制,对不同等级的业务进行不同的处理,包括时延的不同和丢包率的不同。
先期拥塞控制。当网络出现真正的拥塞时,瞬间大量的丢包会引起大量TCP数据同时重发,加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术,在网路出现拥塞前就自动采取适当的措施,进行先期拥塞控制,避免瞬间大量的丢包现象。
资源预留。对非常重要的特殊应用,应可以采用保留带宽资源的方式保证其QoS。
端口密度扩展。设备的端口密度应能满足网络扩容时设备间互联的需要。
网络的扩展能力
网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、骨干带宽的扩展,以及网络规模的扩展能力。
交换容量扩展。交换容量应具备在现有基础上继续扩充多容量的能力,以适应数据类业务急速膨胀的现实。
骨干带宽扩展。骨干带宽应具备高的带宽扩展能力,以适应数据类业务急速膨胀的现实。
网络规模扩展。网络体系、路由协议的规划和设备的CPU路由处理能力,应能满足本网络覆盖某省移动整个地区的需求。
与其他网络的互联
保证与中国移动互联网,INTERNET国内国际出口的无缝连接。
通信协议的支持
以支持TCP/IP协议为主,兼支持IPX、DECNET、APPLE-TALK等协议。提供服务营运级别的网络通信软件和网际操作系统。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由协议。根据本网规模的需求,必须支持OSPF路由协议。然而,由于OSPF协议非常耗费CPU和内存,而本网络未来十分庞大复杂,必须采取合理的区域划分和路由规划(例如网址汇总等)来保证网络的稳定性。
支持BGP4等标准的域间路由协议,保证与其他IP网络的可靠互联。
支持MPLS标准,便于利用MPLS开展增值业务,如VPN、TE流量工程等。
网络管理与安全体系
支持整个网络系统各种网络设备的统一网络管理。
支持故障管理、记帐管理、配置管理、性能管理和安全管理五功能。
支持系统级的管理,包括系统分析、系统规划等;支持基于策略的管理,对策略的修改能够立即反应到所有相关设备中。
网络设备支持多级管理权限,支持RADIUS、TACACS+等认证机制。
对网管、认证计费等网段保证足够的安全性。
IP增值业务的支持
技术的发展和大量用户应用需求将诱发大量的在IP网络基础上的新业务。因此,运营商需要一个简单、集成化的业务平台以快速生成业务。MPLS技术正是这种便于电信运营商大规模地快速开展业务的手段。
传送时延
带宽成本的下降使得当今新型电信服务商在进行其网络规划时,会以系统容量作为其主要考虑的要素。但是,有一点需要提起注意的是,IP技术本身是面向非连接的技术,其最主要的特点是,在突发状态下易于出现拥塞,因此,即使在高带宽的网络中,也要充分考虑端到端的网络传送时延对于那些对时延敏感的业务的影响,如根据ITU-T的标准端到端的VoIP应用要求时延小于150ms。对于应用型实际运营网络,尤其当网络负荷增大时,如何确保时延要求更为至关重要,要确保这一点的关键在于采用设备对于延迟的控制能力,即其延迟能力在小负荷和大量超负荷时延迟是否都控制在敏感业务的可忍受范围内。
RAS (Reliability, Availability, Serviceability)
RAS是运营级网络必须考虑的问题,如何提供具有99.999%的业务可用性的网络是网络规划和设计的主要考虑。在进行网络可靠性设计时,关键点在于网络中不能因出现单点故障而引起全网瘫痪,特别在对于象某省移动这些的全省骨干网而言更是如此。为此,必须从单节点设备和端到端设备提供整体解决方案。Cisco7500系列路由器具有最大的单节点可靠性,包括电源冗余备份,控制板备份,交换矩阵备份,风扇的合理设计等功能;整体上,Cisco通过提供MPLSFRR和MPLS流量工程技术,可以保证通道级的快速保护切换,从而最大程度的保证了端到端的业务可用性。
虚拟专用网(VPN)
虚拟专用网是目前获得广泛应用,也是目前运营商获得利润的一种主要方式。除了原有的基于隧道技术,如IPSec、L2TP等来构造VPN之外,Cisco还利用新型的基于标准的MPLSVPN来构造Intrane和Extranet,并可以通过MPLSVPN技术提供Carrier'sCarrier服务。这从网络的可扩展性,可操作性等方面开拓了一条新的途径;同时,极大地简化了网络运营程序,从而极大地降低了运营费用。另外,采用Cisco跨多个AS及多个域内协议域的技术可使某省移动可随着其网络的不断增长扩展其MPLSVPN业务的实施,并可与其他运营商合作实现更广阔的业务能力。
服务质量保证
通常的Internet排队机制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技术不能完全满足对时延敏感业务所要求的端到端时延指标。为此,选用MDRR/WRED技术,可以为对时延敏感业务生成单独的优先级队列,保证时延要求;同时还专门对基于Multicast的应用提供了专门的队列支持,从而从真正意义上向网上实时多媒体应用迈进一步。
根据以上对电信行业的典型应用的分析,我们认为,以上各条都是运营商最关心的问题,我们在给他们做网络安全解决方案时必须要考虑到是否满足以上要求,不影响电信网络的正常使用,可以看到电信网络对网络安全产品的要求是非常高的。
网络安全风险分析
瞄准网络存在的安全漏洞,黑客们所制造的各类新型的风险将会不断产生,这些风险由多种因素引起,与网络系统结构和系统的应用等因素密切相关。下面从物理安全、网络安全、系统安全、应用安全及管理安全进行分类描述:
1、物理安全风险分析
我们认为网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:
地震、水灾、火灾等环境事故造成整个系统毁灭
电源故障造成设备断电以至操作系统引导失败或数据库信息丢失
电磁辐射可能造成数据信息被窃取或偷阅
不能保证几个不同机密程度网络的物理隔离
2、网络安全风险分析
内部网络与外部网络间如果在没有采取一定的安全防护措施,内部网络容易遭到来自外网的攻击。包括来自internet上的风险和下级单位的风险。
内部局网不同部门或用户之间如果没有采用相应一些访问控制,也可能造成信息泄漏或非法攻击。据调查统计,已发生的网络安全事件中,70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。
3、系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些"后门"或安全漏洞都将存在重大安全隐患。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。
4、应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。比如新增了一个新的应用程序,肯定会出现新的安全漏洞,必须在安全策略上做一些调整,不断完善。
4.1 公开服务器应用
电信省中心负责全省的汇接、网络管理、业务管理和信息服务,所以设备较多包括全省用户管理、计费服务器、认证服务器、安全服务器、网管服务器、DNS服务器等公开服务器对外网提供浏览、查录、下载等服务。既然外部用户可以正常访问这些公开服务器,如果没有采取一些访问控制,恶意入侵者就可能利用这些公开服务器存在的安全漏洞(开放的其它协议、端口号等)控制这些服务器,甚至利用公开服务器网络作桥梁入侵到内部局域网,盗取或破坏重要信息。这些服务器上记录的数据都是非常重要的,完成计费、认证等功能,他们的安全性应得到100%的保证。
4.2 病毒传播
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因素。
4.3信息存储
由于天灾或其它意外事故,数据库服务器造到破坏,如果没有采用相应的安全备份与恢复系统,则可能造成数据丢失后果,至少可能造成长时间的中断服务。
4.4 管理的安全风险分析
管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
比如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和技术解决方案的结合。
安全需求分析
1、物理安全需求
针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放绝密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对存有重要数据库且有实时性服务要求的服务器必须采用UPS不间断稳压电源,且数据库服务器采用双机热备份,数据迁移等方式保证数据库服务器实时对外部用户提供服务并且能快速恢复。
2、系统安全需求
对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些关键文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用权限进行严格限制、加强口令字的使用、及时给系统打补丁、系统内部的相互调用不对外公开。
应用系统安全上,主要考虑身份鉴别和审计跟踪记录。这必须加强登录过程的身份认证,通过设置复杂些的口令,确保用户使用的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。我们认为采用的入侵检测系统可以对进出网络的所有访问进行很好的监测、响应并作记录。
3、防火墙需求
防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内部、外部网或不同信任域网络之间的隔离,达到有效的控制对网络访问的作用。
3.1省中心与各下级机构的隔离与访问控制
防火墙可以做到网络间的单向访问需求,过滤一些不安全服务;
防火墙可以针对协议、端口号、时间、流量等条件实现安全的访问控制。
防火墙具有很强的记录日志的功能,可以对您所要求的策略来记录所有不安全的访问行为。
3.2公开服务器与内部其它子网的隔离与访问控制
利用防火墙可以做到单向访问控制的功能,仅允许内部网用户及合法外部用户可以通过防火墙来访问公开服务器,而公开服务器不可以主动发起对内部网络的访问,这样,假如公开服务器造受攻击,内部网由于有防火墙的保护,依然是安全的。
4、加密需求
目前,网络运营商所开展的VPN业务类型一般有以下三种:
1.拨号VPN业务(VPDN)2.专线VPN业务3.MPLS的VPN业务
移动互连网络VPN业务应能为用户提供拨号VPN、专线VPN服务,并应考虑MPLSVPN业务的支持与实现。
VPN业务一般由以下几部分组成:
(1)业务承载网络(2)业务管理中心(3)接入系统(4)用户系统
我们认为实现电信级的加密传输功能用支持VPN的路由设备实现是现阶段最可行的办法。
5、安全评估系统需求
网络系统存在安全漏洞(如安全配置不严密等)、操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。并且,随着网络的升级或新增应用服务,网络或许会出现新的安全漏洞。因此必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞,并且要经常使用,对扫描结果进行分析审计,及时采取相应的措施填补系统漏洞,对网络设备等存在的不安全配置重新进行安全配置。
6、入侵检测系统需求
在许多人看来,有了防火墙,网络就安全了,就可以高枕无忧了。其实,这是一种错误的认识,防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但它是静态的,而网络安全是动态的、整体的,黑客的攻击方法有无数,防火墙不是万能的,不可能完全防止这些有意或无意的攻击。必须配备入侵检测系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。入侵检测系统和防火墙配合使用,这样可以实现多重防护,构成一个整体的、完善的网络安全保护系统。
7、防病毒系统需求
针对防病毒危害性极大并且传播极为迅速,必须配备从服务器到单机的整套防病毒软件,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护。并且由于新病毒的出现比较快,所以要求防病毒系统的病毒代码库的更新周期必须比较短。
8、数据备份系统
安全不是绝对的,没有哪种产品的可以做到百分之百的安全,但我们的许多数据需要绝对的保护。最安全的、最保险的方法是对重要数据信息进行安全备份,通过网络备份与灾难恢复系统进行定时自动备份数据信息到本地或远程的磁带上,并把磁带与机房隔离保存于安全位置。如果遇到系统来重受损时,可以利用灾难恢复系统进行快速恢复。
9、安全管理体制需求
安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高,行为的约束只能通过严格的管理体制,并利用法律手段来实现。因些必须在电信部门系统内根据自身的应用与安全需求,制定安全管理制度并严格按执行,并通过安全知识及法律常识的培训,加强整体员工的自身安全意识及防范外部入侵的安全技术。
安全目标
通过以上对网络安全风险分析及需求分析,再根据需求配备相应安全设备,采用上述方案,我们认为一个电信网络应该达到如下的安全目标:
建立一套完整可行的网络安全与网络管理策略并加强培训,提高整体人员的安全意识及反黑技术。
利用防火墙实现内外网或不信任域之间的隔离与访问控制并作日志;
通过防火墙的一次性口令认证机制,实现远程用户对内部网访问的细粒度访问控制;
通过入侵检测系统全面监视进出网络的所有访问行为,及时发现和拒绝不安全的操作和黑客攻击行为并对攻击行为作日志;
通过网络及系统的安全扫描系统检测网络安全漏洞,减少可能被黑客利用的不安全因素;
利用全网的防病毒系统软件,保证网络和主机不被病毒的侵害;
备份与灾难恢复---强化系统备份,实现系统快速恢复;
通过安全服务提高整个网络系统的安全性。
5. 网络管理制度.
因为我不知道你公司的性质,所以只能给你提供个范本,希望可以作为参考!
一、总则:
1、目的:
一个公司的网络管理我们不但要做到“攘外”——防止外部黑客以及病毒的侵袭,还要做到“安内”——管理好公司内部人员的越权操作,所谓是“无规矩不成方圆”。为加强公司内部网络的管理工作,确保公司内部网络安全高效运行,特制定本制度。
2、适用范围:
本公司内部计算机网络事宜均适用本制度。
3、网络管理员职责
公司网络管理设网络管理员和网络主管(由工程部经理兼任)。
网络主管的职责是:
考核网络管理员,做好网络建设和网络更新的组织工作和技术支持,制定和修订网络管理规章制度并监督执行。
网络管理员的职责如下:
A、协助网络主管制定网络建设及网络发展规划,确定网络安全及资源共享策略。
B、负责公用网络实体,如服务器、交换机、集线器、防火墙、网关、配线架、网线、接插件等的维护和管理。
C、负责服务器和系统软件的安装、维护、调整及更新。
D、负责网络账号管理、资源分配、数据安全和系统安全。
E、监视网络运行,调整网络参数,调度网络资源,保持网络安全、稳定、畅通。
F、负责系统备份和网络数据备份;负责各部门电子数据资料的整理和归档。
G、保管网络拓扑图、网络接线表、设备规格及配置单、网络管理记录、网络运行记录、网络检修记录等网络资料。
H、每年对本公司网络的效能和各电脑性能进行评价,提出网络结构、网络技术和网络管理的改进措施。
二、网络管理制度
1、安全管理制度
A、未经网管批准,任何人不得改变网络拓扑结构,网络设备布置,服务器、路由器配置和网络参数。
B、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。
C、公司局域网上任何人不得利用计算机技术侵占用户合法利益,不得制作、复制和传播妨害公司稳定的有关信息。
D、各部门定期对本部门计算机系统和相关业务数据进行备份以防发生故障时进行恢复。
2、帐号管理制度
A、网络账号采用分组管理。并详细登记:用户姓名、部门名称、相应软件账号名及口令、存取权限、开通时间、网络资源分配情况等。申请表要经部门领导签字后交网络管理员办理,注销帐号时要通知管理员。
B、网络管理员为用户设置明码口令,用户可以根据自己的保密情况进行修改口令,用户应对工作站设置开机密码和屏保密码。
C、用户帐号下的数据属于用户私有数据,当事人具有全部存取权限,管理员具有管理理和备份存取权限。
D、网络管理员根据公司制度的帐号管理规则对用户帐号执行管理,并对用户帐号及数据的安全和保密负责。
E、网络管理员必须严守职业道德和职业纪律,不得将任何用户的密码、帐号等保密信息、个人隐私等资料泄露出去。
3、公司电脑操作人员培训制度
A、公司中所有操作电脑的人员,都要经过电脑的上岗培训,只有培训合格证的人员,才可以有操作电脑的权限,并且自己的机器都设有屏保密码,避免别人的不合理侵入;
B、公司购买新的软件产品或自己开发的软件产品,安装使用前一定要生产厂家的专家技术人员来厂进行培训,只有经过培训合格者,方能取得此软件的操作权限。
4、病毒的防治管理制度
A、任何人不得在公司的局域网上制造传播任何计算机病毒,不得故意引入病毒。
B、网络使用者发现病毒应立即向网络管理员报告以便获得及时处理。
C、网络服务器的病毒防治由网络管理员负责,各部门的电脑病毒的防治由各部门指定专人负责,网络管理员可以进行指导和协助。
D、各部门应定期查毒,(周期为一周或者10天)管理员应及时升级病毒库,并提示各部门对杀毒软件进行在线升级。
三、本制度自颁布之日起生效。
6. 网站安全管理制度
1、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。
2、负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
3、加强对单位的信息发布和BBS公告系统的信息发布的审核管理工作,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。