網絡安全聯絡機制大全11篇
時間:2023-07-19 17:11:23緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇網絡安全聯絡機制范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
1 江蘇電力職業技能訓練基地網絡特點
江蘇電力職業技能訓練基地網絡規劃開始于07年,是為滿足電力行業基礎技能實際訓練,建立的新型培訓中心,中心在建設之初就考慮了各種培訓模式,網絡作為先進的輔助教學和管理工具是進行現代培訓的基礎。
基地內部網絡雖然采用1000M的網絡主干,與江蘇省電力公司主網采用單條光纖連接,實現局域網絡的運行模式。采用環網運行提高了與公司網絡連接安全性,并進一步提高網絡運行速度,達到消除擁堵的目的,使仿真、虛擬的培訓教學系統運用減少了系統等待和抖動。
職業基地的網絡建設撲結構圖:
2 內部網絡更易受到攻擊
為什么內部網絡更容易受到攻擊呢?主要原因如下:
(1) 信息網絡技術的應用正日益普及,應用層次正在深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。網絡已經是企業不可缺少的重要的組成部分,基于Web的應用在內部網正日益普及,本企業的財務系統、PDM系統、ERP系統等,這些大規模系統應用密切依賴于內部網絡的安全。
(2) 在對Internet嚴防死守和物理隔離的措施下,對網絡的破壞,大多數來自網絡內部的安全空隙。黑客工具在Internet上很容易獲得,這些工具對Internet及內部網絡往往具有很大的危害性。這是內部人員能夠對內部網絡造成威脅的原因之一。
(3) 內部網絡更脆弱。由于網絡速度快,千兆的帶寬,能讓黑客工具大顯身手。
(4) 為了簡單和易用,在內網傳輸的數據往往是不加密的,這為別有用心者提供了竊取機密數據的可能性。
(5) 信息不僅僅限于服務器,同時也分布于各個工作計算機中,目前對個人硬盤上的信息缺乏有效的控制和監督管理辦法。
(6) 由于人們對口令的不重視,弱口令很容易產生,很多人用諸如生日、姓名等作為口令,在內網中,黑客的口令破解程序更易奏效。
3內部網絡的安全現狀
在網絡平臺上建立了內部網絡和外部網絡,實行內部網絡和外部網絡的物理隔離;在應用上從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,典型的應用如財務系統、PDM系統、教務系統、企業資源計劃,逐步實現企業信息的高度集成,構成完善的企事業問題解決鏈。
在網絡安全方面,根據國家和省公司系統內部的相關規定,配置了網絡安全產品,如CISCO ASA5510-SEC防火墻等,防止病毒入侵,檢測訪客,該產品主要是針對外部網絡,可能遭受到安全威脅而采取的措施,在內部網絡上的使用雖然針對性強,但往往有很大的局限性。
4保護內部網絡的安全
內部網絡的安全威脅所造成的損失是顯而易見的,如何保護內部網絡,使遭受的損失減少到最低限度是網絡安全不斷探索的目標。根據多年的網絡系統集成經驗,形成自己對網絡安全的理解,闡述如下:
4.1內部網絡的安全體系
比較完整的內部網絡的安全體系包括安全產品以及安全制度等多個方面,整個體系為分層結構,分為水平層面上的安全產品、安全管理等,其在使用模式上是支配與被支配的關系。在垂直層面上為安全制度,從上至下地規定各個水平層面上的安全行為。
4.2安全產品
安全產品是各種安全策略和安全制度的執行載體。雖然有了安全制度,但在心理上既不能把制度理想化,也不能把人理想化,因此還必須有好的安全工具把安全管理的措施具體化。
目前市場上的網絡安全產品林林總總,功能也千差萬別,通常一個廠家的產品只在某個方面占據領先的地位,各個廠家的安全產品在遵守安全標準的同時,會利用廠家聯盟內部的協議提供附加的功能。這些附加功能的實現是建立在全面使用同一廠家聯盟的產品基礎之上的。那么在選擇產品的時候會面臨這樣一個問題,即是選擇所需要的每個方面的頂尖產品呢,還是同一廠家聯盟的產品。筆者認為選擇每個方面的頂尖產品在價格上會居高不下,而且在性能上并不能達到l+1等于2甚至大于2的效果。這是因為這些產品不存在內部之間的協同工作,不能形成聯動的、動態的安全保護層,一方面使得這些網絡安全產品本身所具有的強大功效遠沒有得到充分的發揮,另一方面,這些安全產品在技術實現上,有許多重復工作,這也影響了應用的效率。目前在國內外都存在這樣的網絡安全聯盟實現產品之間的互聯互動,達到動態反應的安全效果。
4.3網絡安全技術和策略
內部網絡的安全具體來說包括攻擊檢測、攻擊防范、攻擊后的恢復這三個大方向,那么安全技術和策略的實現也應從這三個方面來考慮。
積極主動的安全策略把入侵檢測概念提升到了更有效、更合理的入侵者檢測層面。內部安全漏洞在于人,而不是技術。因此,應重點由發現問題并填補漏洞迅速轉向查出誰是破壞者、采取彌補措施并消除事件再發的可能性。如果不知道破壞者是誰,就無法解決問題。真正的安全策略的最佳工具應包括實時審查目錄和服務器的功能,具體包括:不斷地自動監視目錄,檢查用戶權限和用戶組帳戶有無變更;警惕地監視服務器,檢查有無可疑的文件活動。無論未授權用戶企圖訪問敏感信息還是員工使用下載的工具蓄意破壞,真正的安全管理工具會通知相應管理員,并自動采取預定行動。
在積極查詢的同時,也應該采用必要的攻擊防范手段。網絡中使用的一些應用層協議,如HTTP、Telnet,其中的用戶名和密碼的傳遞采用的是明文傳遞的方式,極易被竊聽和獲取。因此對于數據的安全保護,理想的辦法是在內部網絡中采用基于密碼技術的數字身份認證和高強度的加密數據傳輸技術,同時采用安全的密鑰分發技術,這樣既防止用戶對業務的否認和抵賴,同時又防止數據遭到竊聽后被破解,保證了數據在網上傳輸的可靠性。攻擊后恢復首先是數據的安全存儲和備份,在發現遭受攻擊后可以利用備份的數據快速的恢復;針對WWW服務器網頁安全問題,實施對Web文件內容的實時監控,一旦發現被非法篡改,可及時報警并自動恢復,同時形成監控和恢復日志,并提供友好的用戶界面以便用戶查看、使用,有效地保證了Web文件的完整性和真實性。
4.4安全管理
安全管理主要是指安全管理人員。有了好的安全工具和策略,還必須有好的安全管理人員來有效的使用工具和實現策略。經過培訓的安全管理員能夠隨時掌握網絡安全的最新動態,實時監控網絡上的用戶行為,保障網絡設備自身和網上信息的安全,并對可能存在的網絡威脅有一定的預見能力和采取相應的應對措施,同時對已經發生的網絡破壞行為在最短的時間內做出響應,使企業的損失減少到最低限度。
職訓基地領導在認識到網絡安全的重要性的同時,應當投入相當的經費用于網絡安全管理人員的培訓,聘請上級主管部門的專業人員,提供維護內部網絡的安全。
4.5網絡安全制度
網絡安全的威脅來自人對網絡的使用,因此好的網絡安全管理首先是對人的約束,企業并不缺乏對人的管理辦法,在網絡安全方面常常忽視對網絡使用者的控制。要從網絡安全的角度來實施對人的管理,制定相應的政策法規,使網絡安全的相關問題做到有法可依、有過必懲等,最大限度地提高員工的安全意識和安全技能,并在一定程度上造成對蓄意破壞分子的心理震懾。
認識到網絡安全的重要性,已采取了一些措施并購買了相應的設備,但在網絡安全法規上還沒有清醒的認識,或者是沒有較為系統和完善的制度,這樣在企業上下往往會造成對網絡安全的忽視,給不法分子以可乘之機。國際上,以ISO17799/BSI7799為基礎的信息安全管理體系已經確立,并已被廣泛采用,企業可以此為標準開展安全制度的建立工作。具體應當明確企業領導、安全管理員、財物人員、采購人員、銷售人員和其它辦公人員等各自的安全職責。安全組織應當有企業高層掛帥,由專職的安全管理員負責安全設備的管理與維護,監督其它人員設備安全配置的執行情況。單位還應形成定期的安全評審機制。只有通過以上手段加強安全管理,才能保證由安全產品和安全技術組成的安全防護體系能夠被有效地使用。
5常見的網絡攻擊及其防范對策
特洛伊木馬程序技術是黑客常用的攻擊手段。它通過在你的電腦系統隱藏一個會在Windows啟動時運行的程序,采用服務器/客戶機的運行方式,從而達到在上網時控制你電腦的目的。
特洛伊木馬是夾帶在執行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼,因此含有特洛伊木馬的程序在執行時,表面上是執行正常的程序,而實際上是在執行用戶不希望的程序。特洛伊木馬程序包括兩個部分,即實現攻擊者目的的指令和在網絡中傳播的指令。特洛伊木馬具有很強的生命力,在網絡中當人們執行一個含有特洛伊木馬的程序時,它能把自己插入一些未被感染的程序中,從而使它們受到感染。此類攻擊對計算機的危害極大,通過特洛伊木馬,網絡攻擊者可以讀寫未經授權的文件,甚至可以獲得對被攻擊的計算機的控制權。
防止在正常程序中隱藏特洛伊木馬的主要方法是人們在生成文件時,對每一個文件進行數字簽名,而在運行文件時通過對數字簽名的檢查來判斷文件是否被修改,從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執行,運用網絡掃描軟件定期監視內部主機上的監聽TCP服務。
電子郵件炸彈是最古老的匿名攻擊之一,通過設置一臺機器不斷的大量的向同一地址發送電子郵件,攻擊者能夠耗盡接受者網絡的帶寬,占據郵箱的空間,使用戶的存儲空間消耗殆盡,從而阻止用戶對正常郵件的接收,防礙計算機的正常工作。此種攻擊經常出現在網絡黑客通過計算機網絡對某一目標的報復活動中。
防止郵件炸彈的方法主要有通過配置路由器,有選擇地接收電子郵件,對郵件地址進行配置,自動刪除來自同一主機的過量或重復的消息,也可使自己的SMTP連接只能達成指定的服務器,從而免受外界郵件的侵襲。
過載攻擊是攻擊者通過服務器長時間發出大量無用的請求,使被攻擊的服務器一直處于繁忙的狀態,從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進程攻擊,它是通過大量地進行人為地增大CPU的工作量,耗費CPU的工作時間,使其它的用戶一直處于等待狀態。
防止過載攻擊的方法有:限制單個用戶所擁有的最大進程數;殺死一些耗時的進程。然而,不幸的是這兩種方法都存在一定的負面效應。通過對單個用戶所擁有的最大進程數的限制和耗時進程的刪除,會使用戶某些正常的請求得不到系統的響應,從而出現類似拒絕服務的現象。通常,管理員可以使用網絡監視工具來發現這種攻擊,通過主機列表和網絡地址列表來分析問題的所在,也可以登錄防火墻或路由器來發現攻擊究竟是來自于網絡外部還是網絡內部。另外,還可以讓系統自動檢查是否過載或者重新啟動系統。
正常情況下,TCP連接建立要經歷3次握手的過程,即客戶機向主機發送SYN請求信號;目標主機收到請求信號后向客戶機發送SYN/ACK消息;客戶機收到SYN/ACK消息后再向主機發送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址,向被攻擊主機發出SYN請求信號,當被攻擊主機收到SYN請求信號后,它向這臺不存在IP地址的偽裝主機發出SYN/消息。由于此時主機的IP不存在或當時沒有被使用所以無法向主機發送RST,因此,造成被攻擊的主機一直處于等待狀態,直至超時。如果攻擊者不斷地向被攻擊的主機發送SYN請求,被攻擊主機就會一直處于等待狀態,從而無法響應其他用戶的請求。
對付淹沒攻擊的最好方法是實時監控系統處于SYN-RECEIVED狀態的連接數,當連接數超過某一給定的數值時,實時關閉這些連接。
6結論
要想保證內部網絡的安全,在做好邊界防護的同時,更要做好內部網絡的管理。所以,安全重在管理的觀念已被廣泛接受。沒有好的管理思想,嚴格的管理制度,實施到位的管理程序,就沒有真正的安全。在有了“法治”的同時,還要有“人治”,即經驗豐富的安全管理人員和先進的網絡安全工具,有了這兩方面的治理,才能得到一個真正安全的網絡。
參考文獻
1 楊義先、鈕心忻,網絡安全理論與技術[M.人民郵電出版社,2003
2 Linda McCarthy著,趙學良譯,信息安全一企業抵御風險之道[M].清華大學出版社,2003
篇(2)
一、組織指揮機構與職責
(一)組織體系
成立網絡與信息安全領導小組,組長由分管副局長擔任(特殊情況由局長擔任),成員包括:各股室負責人及聯絡員等。
(二)工作職責
1.研究制訂我局網絡與信息安全應急處置工作的規劃、計劃和政策,協調推進我局網絡與信息安全應急機制和工作體系建設。
2.研究提出網絡與信息安全應急機制建設規劃,檢查、指導和督促網絡與信息安全應急機制建設。指導督促重要信息系統應急預案的修訂和完善,檢查落實預案執行情況。
3.指導應對網絡與信息安全突發事件的科學研究、宣傳培訓,督促應急保障體系建設。
4.及時收集網絡與信息安全突發事件相關信息,分析重要信息并提出處置建議。及時向局領導提出啟動本預案的建議。
5.負責參與重要信息的研判、網絡與信息安全突發事件的調查和總結評估工作,進行應急處置工作。
二、工作原則
(一)居安思危,預防為主。立足安全防護,加強預警,從預防、監控、應急處理、應急保障和打擊犯罪等環節,在法律、管理、技術、人才等方面,采取多種措施,充分發揮各方面的作用,共同構筑網絡與信息安全保障體系。
(二)提高素質,快速反應。加強網絡安全風險科學研究和技術開發,采用先進的監測、預測、預警、預防和應急處置技術及設施,充分發揮專業人員的作用,在網絡安全風險發生時,按照快速反應機制,及時獲取充分而準確的信息,跟蹤研判,果斷決策,迅速處置,最大程度地減少危害和影響。
(三)加強管理,強化責任。建立和完善安全責任制及聯動工作機制。加強與相關部門間協調與配合,形成合力,共同履行應急處置工作的管理職責。
三、網絡安全風險防范工作流程
(一)信息監測與報告
要進一步完善網絡安全風險突發事件監測、預測、預警制度。按照“早發現、早報告、早處置”的原則,加強對涉軍領域網絡安全風險的有關信息的收集、分析判斷和持續監測。當發生網絡安全風險突發事件時,在按規定向有關部門報告的同時,按緊急信息報送的規定及時向局領導匯報。報告內容主要包括信息來源、影響范圍、事件性質、事件發展趨勢和采取的措施等。
(二)預警處理與預警
1.對于可能發生或已經發生的網絡安全風險突發事件,系統管理員應立即采取措施控制事態,并第一時間進行風險評估,判定事件等級并預警。必要時應啟動相應的預案,同時向信息安全領導小組匯報。
2.領導小組接到匯報后應立即查明事件狀態及原因,技術人員應及時對信息進行技術分析、研判,根據問題的性質、危害程度,提出安全警報級別。
(三)風險處置
篇(3)
一、工作目標
著力加強關鍵信息基礎設施網絡安全防護,統籌網絡安全機制、手段、平臺建設,推進依法治網,筑牢網絡安全屏障為重點工作目標,通過集中整治和引導規范,有效運用分類監管、約談整改、等多種措施,集中整治全地區網站網絡轉載、短視頻、動漫等領域侵權盜版多發態勢,重點規范屬地網站網絡版權傳播秩序,不斷鞏固網站、新媒體等領域專項整治成果,維護我地區清朗的網絡空間秩序。
二、工作部署
積極協調屬地網站認真配合版權、通信、公安、文化執法等部門為主的“劍網2019”專項行動,研究制定本部門專項行動工作方案。完成XX地區“劍網2019”專項行動工作任務。成立“劍網2019”專項行動工作領導小組,主動落實責任,進一步規范我地區互聯網版權秩序。
三、重點工作
一是以網站為重點,嚴厲打擊未經授權轉載新聞作品的侵權行為;嚴厲打擊未經授權摘編整合、歪曲篡改新聞作品的侵權行為;堅決整治通過“洗稿”方式抄襲剽竊,篡改刪減原創作品的侵權行為;著力規范網絡轉載行為。
二是著力加強關鍵信息基礎設施網絡安全防護,統籌網絡安全機制、手段、平臺建設,推進依法治網,筑牢網絡安全屏障。
三是聯系網絡成員單位合作溝通、檢查合作、數據檢測共享、網絡安全員聯絡等工作機制,落實信息安全等級保護等制度,完善網絡安全體系,配合地區版權局、地區專業通信局、地區公安處、地區文化綜合執法支隊等部門檢查整治工作。
四、工作措施
加強協作聯動。進一步加強配合地區版權局、地區專業通信局、地區公安處、地區文化綜合執法支隊等部門,協調作戰,充分發揮各自專業優勢,形成打擊合力。
加強思想重視。牢固樹立“四個意識”,旗幟鮮明加強黨的領導,推進網信領域黨的建設,為全區網信事業的健康發展提供堅強的政治保證。確保網絡輿論陣地始終堅持正確政治方向。
加強網絡宣傳。做好網上正面宣傳,提升網絡安全防范意識,有效推動地區網絡安全各項工作的開展。做好網絡統一戰線工作,增強廣大群眾對網絡安全工作重要性的認知,提升網絡安全防范意識,共同營造健康向上的網絡文化氛圍。
加強網站自查。網信辦對屬地內的網站要督促網站自糾自查,對具有一定影響力的新媒體負責人下達自糾自查的指令,并對屬地網絡進行摸底,查找購物類網站。同時,通過人工瀏覽和技術監測兩種形式,安排專人專門負責,精準、豐富監控軟件關鍵字,定時查看各大新聞網站,并重點對本地網站、論壇、貼吧等進行監測,搜集我地區侵權的相關信息,了解掌握輿論動向。
五、工作要求
加強組織領導。網信辦將進一步加強配合,完成分配任務。網工委負責指導、協調、督促網絡成員單位加強網絡內容管理,有效利用各種手段加強對網絡內容的監管。
篇(4)
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2014) 04-0000-01
在互聯網和計算機技術飛速發展的推動下,我國的醫院已經廣泛應用計算機網絡技術,并且在很多方面已經發展的很成熟。比如說門診的信息管理系統、住院信息管理系統、影像管理系統、藥品信息管理系統、病案管理系統等,這些應用軟件在管理系統中的應用給日常的管理工作帶來了十分大的便利,已經成為了醫院的日常工作中十分必要的組成部分,因此保障網絡的安全就顯得很關鍵。
一、加強醫院全體員工的安全意識
(一)醫院的領導要給予安全工作足夠的重視
無論是網絡安全管理策略的制定還是制定之后的落實都需要投入一定量的人力、財力以及物力,要想實現全面的貫徹落實就需要醫院各級領導的配合和重視。在提高醫院全體工作人員的安全意識之前,各級的領導應該具備網絡安全的一些相關的知識,并且應該從思想上認識到網絡安全對醫院的正常運行的重要意義。要安排專門的網絡管理人員,使醫院的網絡系統走向規范化和專業化,對于網絡安全的產品、工具以及技術要進行及時的更新。
(二)操作人員的安全防范意識
我們平常講到的網絡安全問題實際上就是一個十分典型的人機關系的問題,我們要想保障網絡使用的安全,就應該把涉及到的計算機的人員作為安全工作的重要起點。醫院中所有的操作局域網的工作人員要不斷的接受計算機的安全法律教育,具備良好的職業道德,不斷的學習計算機安全技術。這些人員要充分的認識到果一臺機器出現不安全的隱患會給整個醫院系統帶來的危害要多大,從而幫助他們認識到網絡安全的重要性。
二、健全安全的管理制度并且做好應急預案
(一)硬件設備安全管理制度
首先需要考慮到的就是設備的物理安全問題。針對中心機房、工作間以及設備間的使用功能設立科學的安全管理制度,鑒于醫院是一個開放性的公共場所,要十分的注意有關設備的保護措施,確保一些無關的人員不能接觸到設備。并且要及時的保護醫院中的各類網線,一方面要防止有些人的惡意損壞,另一方面要避免出現施工人員在施工中無意損壞的情況。安全管理制度中應該建立警衛值班防止有些人通過撬門進入而偷盜或者損壞到醫院的網絡,對網絡的供電系統、防靜電、防雷擊以及是否有效接地進行定期以及不定期的安全檢查,密切注意機房中的清潔度、溫度以及濕度是否可以達到規定的要求,做到遇事及時上報并且能夠迅速做出反應等。
給所有的設備都配備檔案管理卡,檔案管理卡中應該包含本臺計算機的型號、名稱、配置、所在的位置和使用的科室、MAC地址、安裝的使用程序、IP地址、以及重要的故障維修記錄等等一些重要的信息,每一臺設備都應該指定負責保管的專員,定期的進行檢查和設備的維護。
(二)軟件系統安全管理制度
對網絡系統進行不斷的檢測的目的是為了能夠及時的填補漏洞,最好能做到對系統進行不斷的監視,這樣可以大幅度的提高網絡抵御危險的能力。一般情況下,醫院都會把一些十分重要的數據存儲在服務器上,因此,保障服務器的安全是重中之重的工作,其次要在服務器連接局域網之間對其安裝和配置要進行科學的規劃,其中規劃的主要內容有:操作系統的選用、系統補丁文件的準備、禁用不必要的服務、磁盤分區的格式、更改密碼、賬號鎖定、設計網絡用戶組、更改管理賬號名字、時數管理、取消默認共享、安全策略、鎖住注冊表、設定各項審核、安裝病毒監控程序、設置重要文件的位置以及文件的控制權限,保障安裝軟件的可靠性。當系統進行正常運作之后,必須對系統的安全性以及系統的性能進行監視,最好可以聘請一個安全顧問進行攻擊性的分析。
(三)有效的監督機制
由于醫院的網絡是一個復雜的系統工程,因此要想維護好其安全運行,不僅要抵御來自外部網絡所造成的威脅和攻擊,還要防止內部人員的犯罪活動,我國的綜合性醫院中大約能有近千個終端,在很大程度上給網絡的安全工作加大的了難度,因此切實可行并且有效的檢查機制就顯得十分的重要了,其能夠幫助各項的安全管理制度能夠落實到實處,并且還應該建立督查組織,或者醫院的計算機領導小組應該起到督查的作用,對網絡的運行以及網絡運行記錄進行督查,查看每項制度的實際落實情況,對網絡定期上報的所有報表要進行審查,以及每個部門的網絡安全員所做的工作記錄。
(四)應急預案
災難的發生通常都是突然的而且是不能預測的,所以應急預案應該在事發之前做出周詳的應對策略,這樣一來當災難發生時就知道應該采取什么樣的步驟能夠最大程度的降低損失,在最短時間內實現系統全面運轉的過渡,計算機領導小組應該指導應急預案的實施,所作出的應急預案應該包括能夠出現的最壞情況,對能夠出現的各種問題以及故障進行提前設想,比如:供電系統出現故障后應該采取什么樣的措施,尤其是如何保障門診管理系統的正常運行、主交換機發生故障、如何應對由于故障的發生導致的病人擁堵的現象。在應急預案中不可或缺的就是實施網絡安全小組的成員以及他們的聯絡方式。只有擁有完善的應急預案才能夠當災難來臨時應付自如。
三、結束語
網絡安全技術不存在最好,只有更好。要想保障網絡的安全性,就應該從人員、制度、技術以及醫院的相關各方進行著手準備,使建立的安全網絡管理策略能夠形成一套完善的體系,有效的指導醫院的安全網絡建設以及網絡的維護工作,這需要醫院的全員能夠對自身的意識進行提高,自覺踐行安全制度,和系統軟件的開發人員一起努力共同維護醫院網絡的有效運行。
參考文獻:
篇(5)
針對計算機系統及網絡固有的開放性等特點,加強網絡管理人員的安全觀念和技術水平,將固有條件下存在的安全隱患降到最低。安全意識不強、操作技術不熟練、違反安全保密規定和操作規程;明密不清,密件明發;長期重復使用一種密鑰將導致密碼被破譯,下發口令和密碼到期后仍能通過其進入網絡系統等問題,將造成系統管理的混亂和漏洞。
(一)軟硬件設施存在安全隱患
為了方便管理,部分軟件在設計時留有遠程終端的登錄控制通道,同時在軟件設計時不可避免的也存在許多不完善或是未發現的漏洞,如果沒有必要的安全等級鑒別和防護措施,攻擊者可以利用上述軟件的漏洞直接侵入網絡系統,破壞或竊取通信信息。
(二)傳輸信道上的安全隱患
如果傳輸信道沒有相應的電磁屏蔽措施,那么在信息傳輸過程中將會向外產生電磁輻射,從而使得某些不法分子可以利用專門設備接收竊取機密信息。
在通信網建設和管理上目前還普遍存在建設質量低、維護管理差、網絡效率不高、人為因素干擾等問題。
二、通信網絡安全維護措施及技術
為了防止以上情況發生,在網絡的管理和使用中,要大力加強管理人員的安全保密意識。
(一)為了實現對非法入侵的監測、防偽、審查和追蹤,從通信線路的建立到進行信息傳輸,我們可以運用到以下防衛措施:
“身份鑒別”:可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽,從而達到網絡分級機制的效果。
“網絡授權”:通過向終端發放許可證書防止非授權訪問網絡和網絡資源。
“數據保護”:利用數據加密后的數據包發送與訪問的指向性,即便被截獲也不會由于在不同協議層中加入了不同的加密機制,將密碼變得幾乎不可破解。
“收發確認”:用發送確認信息的方式表示對發送數據和收方數據的承認,以避免不承認發送過的數據和不承認接受過數據等而引起的爭執。
“保證數據的完整性”:一般是通過數據檢查核對的方式達成的,數據檢查核對方式通常有兩種,一種是邊發送接收邊核對檢查;一種是接收完后進行核對檢查。
“業務流分析保護”:阻止垃圾信息大量出現造成的擁塞,同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息。
(二)采用的多種安全技術
1.防火墻技術
防火墻技術作為時下比較成熟的一種網絡安全技術,其安全性直接關系到用戶的切身利益。針對網絡安全獨立元素――防火墻技術,通過對防火墻日志文件的分析,設計相應的數學模型和軟件雛形,采用打分制的方法,判斷系統的安全等級,實現對目標網絡的網絡安全風險評估,為提高系統的安全性提供科學依據。
2.入侵檢測技術
入侵檢測,顧名思義,就是對入侵行為的發覺。他通過對計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。
3.網絡加密技術
“加密”是一種限制對網絡上傳輸數據的訪問權的技術。原始數據被加密設備和密鑰加密而產生的經過編碼的數據稱為密文。將密文還原為原始明文的過程稱為解密,它是加密的反向處理,但解密者必須利用相同類型的加密設備和密鑰對密文進行解密。
4.身份認證技術
身份認證技術是在計算機網絡中確認操作者身份的過程而產生的有效解決方法。計算機網絡世界中一切信息包括用戶的身份信息都是用一組特定的數據來表示的,計算機只能識別用戶的數字身份,所有對用戶的授權也是針對用戶數字身份的授權。 如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者,也就是說保證操作者的物理身份與數字身份相對應,身份認證技術就是為了解決這個問題,作為防護網絡資產的第一道關口,身份認證有著舉足輕重的作用。
5.漏洞掃描技術
漏洞掃描技術是一類重要的網絡安全技術。它和防火墻、入侵檢測系統互相配合,能夠有效提高網絡的安全性。通過對網絡的掃描,網絡管理員能了解網絡的安全設置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。網絡管理員能根據掃描的結果更正網絡安全漏洞和系統中的錯誤設置,在黑客攻擊前進行防范。如果說防火墻和網絡監視系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,能有效避免黑客攻擊行為,做到防患于未然。
篇(6)
總則
1.1
編制目的
建立健全本市網絡安全事件應急工作機制,提高應對突發網絡安全事件能力,預防和減少網絡安全事件造成的損失和危害,保護公眾利益,維護國家安全、公共安全和社會秩序,保障城市安全運行。
1.2
編制依據
《中華人民共和國突發事件應對法》、《中華人民共和國網絡安全法》、《突發事件應急預案管理辦法》、《國家網絡安全事件應急預案》、《XX市實施辦法》、《XX市突發公共事件總體應急預案》和《信息安全技術
信息安全事件分類分級指南》(GB/Z
20986—2007)等,編制本預案。
1.3
適用范圍
本預案適用于本市行政區域內發生的網絡安全事件,以及發生在其他地區且有可能影響XX城市安全運行的網絡安全事件的預防和處置工作。其中,有關基礎電信網絡的通信保障和通信恢復等應急處置工作,適用《XX市通信保障應急預案》;有關信息內容安全事件、涉密網絡和系統的網絡安全事件的應對,另行制定預案。
1.4
工作原則
堅持統一領導、分級負責;堅持統一指揮、密切協同、快速反應、科學處置;堅持預防為主,預防與應急相結合;堅持誰主管誰負責、誰運行誰負責,充分發揮各方面力量共同做好網絡安全事件的預防和處置工作。
2
組織體系
2.1
領導機構
市委網絡安全和信息化委員會(以下稱“市委網信委”)負責統籌協調組織本市網絡安全保障工作,對處置本市網絡安全事件實施統一指揮。
2.2
應急聯動機構
市應急聯動中心設在市公安局,作為本市突發事件應急聯動先期處置的職能機構和指揮平臺,履行應急聯動處置較大和一般突發事件、組織聯動單位對特別重大或重大突發事件進行先期處置等職責。各聯動單位在其職責范圍內,負責突發事件應急聯動先期處置工作。
2.3
市應急處置指揮部
發生特別重大、重大網絡安全事件發生,職能部門報市領導決定后,將市委網信委轉為市網絡安全事件應急處置指揮部(以下簡稱“市應急處置指揮部”),統一指揮本市網絡安全事件處置工作。總指揮由市領導確定或由市委網信委負責相關工作的領導擔任,成員由相關部門和單位領導組成,開設位置根據應急處置需要確定。同時,根據情況需要,設置聯絡和處置等專業小組,在市應急處置指揮部的統一指揮下開展工作。
2.4
職能部門
市委網絡安全和信息化委員會辦公室(以下稱“市委網信辦”)作為市委網信委的辦事機構,具體承擔統籌協調組織本市網絡安全事件應對工作,建立健全跨部門聯動處置機制。
2.5
專家咨詢機構
市委網信辦負責組建處置網絡安全事件專家咨詢組,為處置網絡安全事件提供決策咨詢建議和技術支持。
3
預防預警
3.1
預防
各區、各部門、各單位要做好網絡安全事件的風險評估和隱患排查工作,及時采取有效措施,避免和減少網絡安全事件的發生及危害。
3.2
預警分級
網絡安全事件預警等級分為四級:由高到低依次用紅色、橙色、黃色和藍色表示,分別對應發生或可能發生特別重大、重大、較大和一般網絡安全事件。
3.3
預警監測
各區、各部門、各單位按照“誰主管誰負責、誰運行誰負責”的要求,組織對本區域、本單位管理范圍內建設運行的網絡和信息系統開展網絡安全監測工作。各區、各部門、各單位將重要監測信息報市委網信辦,市委網信辦組織開展跨區、跨部門的網絡安全信息共享。
3.4
預警信息
市委網信辦根據危害性和緊急程度,適時在一定范圍內,網絡安全事件預警信息,預警級別可視網絡安全事件的發展態勢和處置進展情況作出調整。其中,紅色、橙色預警信息同時報市委總值班室、市政府總值班室。
預警信息包括事件的類別、預警級別、起始時間、可能影響范圍、警示事項、應采取的措施和時限要求、機關等。
3.5
預警響應
進入預警期后,有關地區和單位立即采取預防措施,檢查可能受到影響的網絡和信息系統,做好相關安全風險的排查和修復工作。加強本地區、本單位網絡與信息系統安全狀況的監測,并將最新情況及時報市委網信辦。市網絡與信息安全應急管理事務中心根據事件性質,通知相關應急處置支撐隊伍處于應急待命狀態,并保障所需的應急設備和網絡資源處于隨時可以調用狀態。同時,加強對全市網絡與信息系統安全狀況的監測,每小時向市委網信辦報告最新情況。
3.6
預警解除
市委網信辦根據實際情況,確定是否解除預警,及時預警解除信息。
4
應急響應
4.1
信息報告
4.1.1發生網絡安全事件的單位必須在半小時內口頭、1小時內書面報告市委網信辦值班室、市應急聯動中心和事發地區網絡安全主管部門。較大以上網絡安全事件或特殊情況,必須立即報告。
4.1.2發生重大網絡安全事件,市委網信辦、市應急聯動中心必須在接報后1小時內口頭、2小時內書面同時報告市委網信委、市委總值班室、市政府總值班室;發生特別重大網絡安全事件或特殊情況,必須立即報告市委網信委、市委總值班室、市政府總值班室。
4.2
響應等級
4.2.1本市處置網絡安全事件應急響應等級分為四級:Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級,分別對應特別重大、重大、較大、一般網絡安全事件。事件的響應等級由市委網信辦判定。
4.2.2發生一般或較大網絡安全事件,由市委網信辦和市應急聯動中心決定響應等級并組織實施;發生重大或特別重大網絡安全事件,由市委網信辦和市應急聯動中心提出處置建議,報市委網信委(或市應急處置指揮部)批準后組織實施。
4.3
應急處置
4.3.1市網絡與信息安全應急管理事務中心應在接報后,立即評估事件影響和可能波及的范圍,研判事件發展態勢,根據需要,組織各專業機構在職責范圍內參與網絡安全事件的先期處置,并向市委網信辦報告現場動態信息。必要時,由市委網信辦牽頭成立由市網絡與信息安全應急管理事務中心、事發單位、主管機構負責人和相關信息安全專家組成的現場處置工作組,具體負責現場應急處置工作。
4.3.2
一般、較大網絡安全事件發生后,事發單位應在第一時間實施即時處置,控制事態發展。市委網信辦會同市應急聯動中心組織協調相關部門、單位和專業機構以及事發地區政府調度所需應急資源,協助事發單位開展應急處置。一旦事態仍不能得到有效控制,由市委網信辦報請市委網信委決定調整應急響應等級和范圍,啟動相應應急措施。必要時,由市委網信委統一指揮網絡安全事件的處置工作。
4.3.3
重大、特別重大網絡安全事件發生后,由市委網信辦會同市應急聯動中心組織事發地區政府和相關專業機構及單位聯動實施先期處置。一旦事態仍不能得到有效控制,視情將市委網信委轉為市應急處置指揮部,統一指揮、協調有關單位和部門實施應急處置。
4.4
技術實施
4.4.1處置小組制訂具體處置建議方案后,組織相關專業機構、事發單位和有關部門進行檢驗,檢驗結果上報市應急處置指揮部。
4.4.2檢驗結果經評估后形成處置正式方案,經批準后由聯絡小組及有關部門按照方案要求,協調、落實所需的應急資源。
4.4.3處置小組根據市應急指揮部下達的指令,實施應急處置。處置手段主要為:
(1)封鎖。對擴散性較強的網絡安全事件,立即切斷其與網絡的連接,保障整個系統的可用性,防止網絡安全事件擴散。
(2)緩解。采取有效措施,緩解網絡安全事件造成的影響,保障系統的正常運行,盡量降低網絡安全事件帶來的損失。
(3)追蹤。對黑客入侵、DOS攻擊等人為破壞,由相關執法部門進行現場取證,并采取一定的技術手段,追蹤對方信息。
(4)消除和恢復。根據事件處置效果,采取相應措施,消除事件影響;及時對系統進行檢查,排除系統隱患,以免再次發生同類型事件,并恢復受侵害系統運行。
4.5
信息
4.5.1一般或較大網絡安全事件信息和輿論引導工作,由市委網信辦負責。
4.5.2重大或特別重大網絡安全事件信息工作,由市政府新聞辦負責,市委網信辦負責輿論引導和提供口徑。
5
后期處置
網絡安全事件處置后,市委網信辦負責會同事發單位和相關部門對網絡安全事件的起因、性質、影響、損失、責任和經驗教訓等進行調查和評估。
6
應急保障
有關部門和市網絡安全重點單位(以下簡稱“重點單位”)要按照職責分工和相關要求,切實做好應對網絡安全事件的人員、物資、通信和經費等保障工作,保證應急處置和救援工作的順利進行。
6.1
機構和人員
各區、各部門、各單位要落實網絡安全工作責任制,把責任落實到具體部門、具體崗位和個人,并建立健全應急工作機制。
各區、各部門、各單位要將網絡安全事件的應急知識列為領導干部和有關人員的培訓內容,加強網絡安全特別是網絡安全應急預案的培訓,提高防范意識及技能。
6.2
物資保障
各相關部門、專業機構、重點單位要根據實際需要,做好網絡與信息系統設備儲備工作,并將儲備物資清單報市委網信辦備案。
6.3
通信保障
市經濟和信息化委員會(市無線電管理局)、市通信管理局等部門要建立無線和有線相結合、基礎電信網絡與機動通信系統相配套的應急通信系統,確保應急處置時通信暢通。
6.4
經費保障
依照市政府有關處置應急情況的財政保障規定執行。
6.5
責任與獎懲
網絡安全事件應急處置工作實行責任追究制。
市委網信辦及有關區和部門對網絡安全事件應急管理工作中做出突出貢獻的先進集體和個人給予表彰和獎勵。
市委網信辦及有關區和部門對不按規定制定預案和組織開展演練,遲報、謊報、瞞報和漏報網絡安全事件重要情況或者在應急管理工作中有其他失職、瀆職行為的,依照相關規定對有關責任人給予處分;構成犯罪的,依法追究刑事責任。
7
附則
7.1
預案解釋
本預案由市委網信辦負責解釋。
7.2
預案修訂
市委網信辦根據實際情況變化,適時評估修訂本預案。
7.3
預案實施
本預案由市委網信辦組織實施。
各區、各部門、各單位根據本預案,制定或修訂本區、本部門、本單位網絡安全事件應急預案,并報市委網信辦備案。
本預案自印發之日起實施。
附
件:
1.
網絡安全事件分類和分級
2.
相關部門和單位職責
3.
名詞術語
4.
網絡和信息系統損失程度劃分說明
附件1
網絡安全事件分類和分級
一、事件分類
網絡安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件等。
1.有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。
2.網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。
3.信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
4.信息內容安全事件是指通過網絡傳播法律法規禁止信息,組織非法串聯、煽動集會游行或炒作敏感問題并危害本市國家安全、社會穩定和公眾利益的事件(另行制定預案應對)。
5.設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。
6.災害性事件是指由自然災害等其他突發事件導致的網絡安全事件。
7.其他事件是指不能歸為以上分類的網絡安全事件。
二、事件分級
網絡安全事件分為四級:特別重大網絡安全事件、重大網絡安全事件、較大網絡安全事件、一般網絡安全事件。
1.符合下列情形之一的,為特別重大網絡安全事件:
(1)重要網絡和信息系統遭受特別嚴重的系統損失,造成系統大面積癱瘓,喪失業務處理能力。
(2)國家重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒,對本市國家安全和社會穩定構成特別嚴重威脅。
(3)其他對本市國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網絡安全事件。
2.符合下列情形之一且未達到特別重大網絡安全事件的,為重大網絡安全事件:
(1)重要網絡和信息系統遭受嚴重的系統損失,造成系統長時間中斷或局部癱瘓,業務處理能力受到極大影響。
(2)國家重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒,對本市國家安全和社會穩定構成嚴重威脅。
(3)其他對本市國家安全、社會秩序、經濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網絡安全事件。
3.符合下列情形之一且未達到重大網絡安全事件的,為較大網絡安全事件:
(1)重要網絡和信息系統遭受較大的系統損失,造成系統中斷,明顯影響系統效率,業務處理能力受到影響。
(2)國家重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒,對本市國家安全和社會穩定構成較嚴重威脅。
(3)其他對本市國家安全、社會秩序、經濟建設和公眾利益構成較嚴重威脅、造成較嚴重影響的網絡安全事件。
4.除上述情形外,對本市國家安全、社會秩序、經濟建設和公眾利益構成一定威脅、造成一定影響的網絡安全事件,為一般網絡安全事件。
附件2
相關部門和單位職責
1.市委網信辦:統籌協調組織本市網絡安全事件應對工作,建立網絡安全保障體系;建立完善本市網絡安全事件監測預警網絡;負責信息網絡安全技術、設備、產品的監督管理。
2.市公安局:負責打擊網絡犯罪,與本市重要信息系統主管部門建立信息通報機制,通報、預警網絡安全情況,監督、檢查、指導計算機信息系統安全保護和非涉密網絡安全等級保護。
3.市通信管理局:負責互聯網信息服務及接入服務單位的審批、備案審查和指導工作;指導、協調本市通信網絡安全事件應急處置。
4.市網絡與信息安全應急管理事務中心:受市委網信辦委托,負責本市各類網絡安全應急資源的管理與調度,提供網絡安全事件應急處置技術支持和服務;負責全市網絡安全應急預案備案管理,組織開展應急技術培訓、應急演練及事件處置善后與評估工作;建設和完善本市網絡安全事件監測預警網絡,本市相應級別的網絡安全事件預警信息;組織運營網絡安全應急技術支撐隊伍和專家隊伍。
5.各區:負責本區自建自管信息系統網絡安全事件的預防、監測、報告和應急處置工作,并配合有關部門做好本行政區域內其他網絡安全事件的處置工作;為處置工作提供必要的后勤保障。
6.其他有關部門、單位:按照“誰主管誰負責、誰運行誰負責”的原則,組織實施和指導本系統、行業的網絡安全事件的預防監測、報告和應急處置工作。
附件3
名詞術語
一、重要網絡和信息系統
所承載的業務與國家安全、社會秩序、經濟建設、公眾利益密切相關的網絡和信息系統。
(參考依據:《信息安全技術
信息安全事件分類分級指南》(GB/Z
20986—2007))
二、重要敏感信息
不涉及國家秘密,但與國家安全、經濟發展、社會穩定以及企業和公眾利益密切相關的信息,這些信息一旦未經授權披露、丟失、濫用、篡改或銷毀,可能造成以下后果:
1.損害國防、國際關系;
2.損害國家財產、公共利益以及個人財產或人身安全;
3.影響國家預防和打擊經濟與軍事間諜、政治滲透、有組織犯罪等;
4.影響行政機關依法調查處理違法、瀆職行為,或涉嫌違法、瀆職行為;
5.干擾政府部門依法公正地開展監督、管理、檢查、審計等行政活動,妨礙政府部門履行職責;
6.危害國家關鍵基礎設施、政府信息系統安全;
7.影響市場秩序,造成不公平競爭,破壞市場規律;
8.可推論出國家秘密事項;
9.侵犯個人隱私、企業商業秘密和知識產權;
10.損害國家、企業、個人的其他利益和聲譽。
(參考依據:《信息安全技術/云計算服務安全指南》(GB/T31167—2014))
附件4
網絡和信息系統損失程度劃分說明
網絡和信息系統損失是指由于網絡安全事件對系統的軟硬件、功能及數據的破壞,導致系統業務中斷,從而給事發組織所造成的損失,其大小主要考慮恢復系統正常運行和消除安全事件負面影響所需付出的代價,劃分為特別嚴重的系統損失、嚴重的系統損失、較大的系統損失和較小的系統損失,說明如下:
1.特別嚴重的系統損失:造成系統大面積癱瘓,使其喪失業務處理能力,或系統關鍵數據的保密性、完整性、可用性遭到嚴重破壞,恢復系統正常運行和消除安全事件負面影響所需付出的代價十分巨大,對于事發組織是不可承受的;
篇(7)
一、校園網安全策略部署是重要一環
1、網絡中心要做好外網防火墻的部署
校園網中的防火墻缺失或者部署不當將必然導致病毒與木馬對學生終端的危害,學校網絡管理人員要認研究現有硬件防火墻的安全策略能否滿足本校網絡安全的需要,在病毒防護、安全策略、訪問記錄部署上最大限度地利用硬件防火墻保護內網的訪問安全。如果經過測試硬件防火墻不能滿足需要,要及時進行數據升級或更換。
2、網絡中心要做好三層核心交換機的安全策略部署
網絡防火墻是保護內網安全的第一道屏障,而三層核心交換機是保障用網安全的第二道屏障。網絡中心應該根據自有核心交換機的性能去設計相應的安全策略部署。
包括:(1)按實際需要劃分VLAN。(2)根據自身需要制定VLAN間的數據包過濾策略,通過制定協議源端口號、協議目的端口號、連接請求方向、ICMP報文類型等包過濾策略,雖然包過濾技術不能識別有危險的信息包,無法實施對應用級協議的處理,但卻可以通過這種訪問策略阻隔住非法用戶的訪問,有效保護不同子網的用戶免遭黑客的攻擊。
3、網絡中心要做好網絡安全預警溝通工作
通過調查了解到:學校的網絡中心管理人員往往充當“救火隊”的角色,師生們要么上不了網找網絡管理員、,要么機器壞了或者因中毒遭受到這樣那樣的損失時才找網洛管理員。而網管工作人員出于領導重視程度、自身工作負擔或者是技術水平等方面的因素往往缺乏定期或不定期的網路安全預警工作。網絡中心要減輕“救火隊”的壓力的唯一出路就是做好網絡環境的安全工作。而通過路由器、防火墻、核心交換機、網絡抓包工具及各大安全網站的記錄數據及安全預警提示,網絡中心至少應該定期在OA或者其他途徑做好網絡安全預警工作,讓學校全體師生動態了解學習相應的網絡安全知識,定期更新終端病毒庫。如此方可建立一個群防群治的用網環境。
二、用戶終端安全策略部署必不可缺
通過網管中心安全策略的部署,我們可以保障校園網內的基本安全,要做到讓學生終端及時更新系統補丁與安裝安全殺毒軟件、并對安全殺毒軟件進行更新。目前互聯網上有很多包括針對移動終端和桌面終端的360安全軟件、百度安全軟件、騰訊安全軟件等免費有效的軟件。因此軟件的獲得途徑是暢通的,關鍵是要讓大家重視終端安全軟件的安裝與升級。筆者認為:第一,作為學校的機房管理人員,即使有硬件還原卡,也要定期對機房的系統進行升級,不能只保障機房的系統不崩潰而忽略了學生的用網安全。第二:學校網管工作人員應該定時下載相應的安全軟件和更新數據推薦師生安裝。第三,中職學校班主任應該在班會課上定期宣傳網絡安全知識,并檢查學生手機和用網電腦的安全軟件的安裝與更新,對未安裝安全軟件的同學進行引導,如此才能確保學生在網絡下不至于“裸奔”!
三、重視網絡安全意識培養
防止網絡安全問題的關鍵是全校重視師生網絡安全意識的培養,筆者認為要做好這方面的工作應該從以下幾個方面入手。
1、學校要加強中職生網絡安全知識教育。
由于專業課程設置的原因,目前中職學校一般只有計算機專業與電子商務專業會涉及到網絡安全教育的課程,這些班接受過系統的知識對網絡安全的意識會稍微強一點,但由于缺乏長效機制,課程后時間一長又容易麻痹。對于其他專業的學生往往三年里只會開一門計算機基礎的課程,課程涉及的內容大部分是計算機基礎知識與OFFICE應用,網絡安全方面的知識由于不在大綱范圍內,基本上是蜻蜓點水,情況不妙。筆者曾經連續兩年在所在學校的模具班與數控班做過一個小調查,能夠堅持在手機端與自用電腦上安裝系統補丁與殺毒軟件并定期升級的學生不到20%。而知道殺毒軟件不能混合安裝的不到5%。究其原因,有的說老師沒講,有的說裝了以后系統慢,有的說升級要耗費流量。如此局面,令人揪心。
筆者認為,中職生網絡安全意識的培養是需要一定專業知識支撐的,因此學校要在每個專業都開設網絡安全課程,每學期的課程不需要多,但是應該貫穿三年,只有這樣,才能切實做好中職學生的網絡安全教育工作。
2、從心理層面去輔導中職學生如何面對互聯網
中職生網絡信息甄別能力薄弱,容易受到網絡不良信息的影響。有個別學校發現這些問題后,采用禁止帶手機和移動設備進校園,希望“一勞永逸”,但筆者認為此種以堵代疏的方式與時展趨勢相左,既容易造成學生逆反心理,也不利于網絡安全意識的培養。在無線信號全方位覆蓋與移動終端普及的今天,禁止帶手機很容易變得尷尬無力。
正確的方法應該是:學校德育部門與心理咨詢中心要研究移動互聯網對中職生心理的影響以及可能出現的問題和疾病,發動班主任班干部或者是每班的心理聯絡員在中職生群體內部協助做好網絡心理服務工作。
3、傳遞正能量,樹立正形象。
篇(8)
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)09-0037-02
1 引言
二十一世紀的今天,伴隨著日益發展計算機網絡,是逐步加大的網絡安全威脅。人們亦越發重視自身所在環境的網絡安全體系結構的建設和發展。各種網絡安全技術的提出和網絡安全產品的出現也不斷豐富著網絡安全體系。那么作為網絡安全產品中的重要組成部分,硬件防火墻能在網絡安全體系中會體現出怎樣的核心應用呢?
2 網絡安全體系簡單構建例
一個完整的網絡安全體系需要涉及符合國家相關標準規定的諸如物理設備、信息傳遞、操作系統等一系列的內容。本節主要透過一家小型制衣企業的網絡安全體系簡單構建過程來直觀地體現硬件防火墻在網絡安全體系的核心應用。
2.1實施對象概況和安全需求
? 匯聚層交換機,核心層交換機和路由器等均統一放置于生產辦公綜合大樓二樓網絡中心處。
? 該制衣企業擁有電腦數量約為100臺,還有3臺網絡打印機,一臺web兼E-mail服務器,一臺FTP服務器,一臺文件服務器。會議室中還需要部署可以容納20人左右的無線網絡。
? 該企業在廣域網連接方面,除了要實現因特網接入外,還要提供遠程辦公和跟合作伙伴、供應商的VPN連接。
? 內部客戶端不能直接訪問外網,需要通過企業主干網接入INTERNET(全球互聯信息網)。供應部、營銷部、技術部可以連接Internet。實現供應部與各供應商保持聯絡,能和接收相關原材料需求和供應信息,但不能訪問特定娛樂新聞購物類網站;營銷部可以跟各渠道商通過郵件時刻保持聯系,在關注現有客戶同時發現潛在客戶,推廣企業的產品,打開市場銷路;技術部可以通過網絡查找和了解跟本企業產品相關的其他產品或相關技術,為其他部門尋找和準備相對應的網絡資源。
? 除以上部門外其他部門除有特殊情況外都不能連接Internet。并且不允許員工在正常工作時間玩基于網絡的游戲和進行P2P和BT方式的下載行為。
2.2 利用硬件防火墻完善網絡拓撲結構
基于上述的判斷,軟件防火墻和嵌入式防火墻明顯在某些要求上無法完全勝任,這時候硬件防火墻在該網絡安全體系核心應用中的優勢就能明顯體現出來了。
在該網絡安全體系結構中硬件防火墻主要由神州數碼DCFW-1800S-H-V2企業級硬件防火墻來進行承擔。在功能上該型號防火墻采用64位高性能多核處理器技術,擁有包括TCP會話保持與報文重組、VPN、QoS流量管理的芯片級加速方案,并且提供獨立的硬件DFA引擎,帶有IPS入侵檢測模組。輔以高達48Gbps的高速交換總線,以及新一代64位實時并行操作系統DCFOS,確保整個系統不僅在處理網絡通訊,而且在處理應用安全防護時擁有充足的系統資源保障。全面優化的軟硬件系統擁有高穩定性和高可靠性,其新一代網絡安全架構能提供給用戶最大化的可擴展能力,方便日后的升級。
在考慮到網絡服務器群組的使用和防護要求,同時防止內部網絡被入侵導致商業敏感信息泄露的情況發生。作為一個典型的解決方法之一就是利用硬件防火墻構建起在屏蔽子網防火墻體系結構中合并堡壘主機和內部路由器的擴展形式,如圖1所示。
在該形式中,專門劃分出一個周邊網絡“非軍事區域(DMZ)”,來將對外提供服務的各種服務器放置其中(配置示例如圖 2所示),使Internet側用戶訪問服務器時不需要進入內部網絡,而內部網絡用戶對服務器維護工作導致的信息傳遞也不會泄露到外部網絡。外部路由器主要作用在于保護周邊網絡和內部網絡,防火墻上則設置針對外網用戶的訪問過濾規則。例如限制外部用戶只有訪問DMZ區的和部分內部主機的權限。為了最大限度節約資金投入的同時提高硬件防火墻的利用率,而將原本用于隔離內網絡和DMZ區、對內部用戶訪問DMZ區和外部網絡權限進行控制的內部路由器省略,由硬件防火墻模擬及替代該部分功能。然后利用防火墻中的IPS模組對數據流進行再次檢查和報警,防止有非法數據流通過硬件防火墻而沒有被發現。為了避免外部路由器失效帶來致命影響,還可以將硬件防火墻設定為定時復制對方過濾規則,實現一個聯動和備用功能。簡單來說外網、DMZ、內網三者主要實現下面三個效果:
? 外網可以訪問DMZ,但不能直接訪問內部網絡。
? DMZ可訪問外網,不能訪問內網。
? 內網可以訪問外網和DMZ。
作為堡壘主機的硬件防火墻除了可以向外部用戶提供WWW、FTP、E-mail等應用服務外,還可以在接受外部用戶的服務器資源請求同時向內部用戶提供DNS、E-mail、FTP等服務,并提供內部網絡用戶訪問外部資源的接口。
2.3搭建網絡安全平臺
經過防火墻體系結構選型和構建,以及對如何完善安全服務機制的初步探討后,整個網絡安全體系已經初見雛形。而作為網絡安全體系中重要一環的網絡安全平臺,則可以將硬件防火墻設備與相關網絡技術結合起來,利用其搭建一個以硬件防火墻為核心的可操作性強的網絡安全平臺。
2.3.1外部訪問認證
由于存在合作伙伴、協力企業、在外出差員工等對企業網絡資源訪問需求的群體,企業必須為他們提供一種安全的遠程連接訪問方式。而硬件防火墻上技術成熟、使用廣泛的,成本低廉的VPN虛擬專用網絡技術則正好能滿足企業的需求。
通常來說傳統的通過特定VPN連接軟件連接的第一代VPN實現方式上有基于數據鏈路層PPTP、L2TP的VPN實現方式與基于網絡層的IPSec的VPN實現方式(如圖3所示)。雖然創建基于PPTP和L2TP的VPN的方法較創建IPSec VPN方法要簡單許多,但是隨著時代的進步和網絡安全威脅的日益增加,基于數據鏈路層的VPN連接已無法完全勝任時代的安全需求了。所以現在進行VPN配置時一般選擇使用IPSec技術作為數據傳輸時安全保障。
從原理上說,IPSec通過使用基于HASH函數的消息摘要來確保數據傳輸的完整性,使用動態密鑰來對數據進行傳輸加密。也剛正好符合完善網絡安全機制的要求。
圖3 傳統VPN實現方式
在防火墻中創建基于IPSec的VPN時,一般要先創建好IKE(即Internet密鑰交換協議)的第一階段和第二階段提議,然后繼續創建VPN對端,并在接下來創建IPSEC隧道并制定基于隧道的安全策略,最后再創建源NAT策略。在實現過程中有以下幾個要點:
? IPSec隧道建立的條件必須要一端觸發才可。
? 基于隧道的策略要放在該方向策略的最上方。另外從本地到對端網段的源NAT策略應該放在源NAT策略中的最上方。
? 在IPSEC VPN隧道中關于ID的概念,這個ID是指本地加密子網和對端加密子網。
除上述模式外,硬件防火墻還能支持第二代VPN實現方式SCVPN,即基于傳輸層的SSL VPN。其優勢在于相對IPSec VPN相比,配置和構建相對簡單方便,穿透力強能以透明模式功能,而且SSL VPN客戶端早已融入到各主流瀏覽器中。用戶只需要通過瀏覽器登錄并通過驗證即可使用VPN功能,為用戶省去繁瑣的客戶端攜帶和安裝,大大增強便捷性。但是缺點也很明顯,由于SSL 協議的限制,在硬件防火墻上使用SSL VPN性能發揮上遠遠不如IPSec VPN。
2.3.2內部訪問驗證
為了對內網用戶進行具體的網絡行為跟蹤監督工作,分配內網用戶訪問權限。進行內部訪問認證從而確認網絡行為實施者就變得很有必要了。一般來說,進行網絡內部訪問認證需要配置Radius認證服務器、Active-Directory認證服務器和LDAP認證服務器中的一種,用來存儲用戶信息和提供用戶驗證功能,雖說每一種驗證服務器的功能都非常強大,但是部署起來不但需為之投入額外資金和資源,而且配置相對繁瑣和維護也相對不易,對于小型企業來說實施起來有一定困難。幸好得益于硬件防火墻強大的性能,我們也可以直接在硬件防火墻上配置本地認證,然后通過web瀏覽器為客戶端進行認證登陸(如圖4所示)。當然有條件的企業亦可以通過將硬件防火墻上的WEB訪問驗證方式跟Radius、Active-Directory、LDAP驗證服務器無縫結合起來,減輕硬件防火墻的資源負擔,增強整個內部訪問驗證的可靠性和高效性。
圖4 內部WEB認證登陸頁面 (下轉第54頁)
(上接第38頁)
2.3.3網絡層到應用層全面控制
硬件防火墻通過在網絡層和傳輸層通過特定的規則、數據封包的屬性來對數據進行檢測和過濾,從而抵御非法數據的入侵和黑客的攻擊,同時提供多種地址轉換方式,這些都是硬件防火墻最傳統也最常用的應用。
開啟硬件防火墻在應用層上的附加功能以擴展硬件防火墻的安全保護范圍,提升整個網絡的安全指數。例如通過URL過濾可以屏蔽一些跟工作無關的新聞、娛樂、購物類網站以及惡意網址;通過網頁內容過濾來屏蔽一些敏感的關鍵字;通過開啟防病毒檢測,從網絡外部阻擋病毒木馬的入侵;通過上網行為監督,來提高網絡的使用效率;通過IM工具過濾來提升員工的工作效率。
3 結束語
隨著計算機網絡在人們生活的各個領域中廣泛應用,以網絡為目標的不法行為也日漸增多。為所屬網絡構建一個完整高效可操作性強的網絡安全體系亦越來越重要。而這次通過構建基于實際案例和具體網絡安全指標的網絡安全體系例子則非常充分地體現了硬件防火墻在網絡安全體系中的區域隔離、攻擊防護、協議過濾、流量控制、用戶認證、上網行為追蹤記錄與管理、VPN遠程訪問等核心應用。相信在很長的一段時間內如何有效地和實地利用硬件防火墻在應用上的優勢將會是影響整個網絡安全體系構建成敗的關鍵因素。
參考文獻:
[1] 謝希仁.計算機網絡(第6版)[M].北京:電子工業出版社,2013.
篇(9)
中圖分類號 TN9 文獻標識碼 A 文章編號 2095-6363(2015)09-0050-02
校園網絡變得更加開放的同時,網絡安全正經受更加嚴格的挑戰,網絡管理者必須切實了解保護本地網絡安全的手段。本文嘗試對如何創建安全的校園網絡環境并保持其穩定運行提出一些規劃原則與管理方法。
1 常見網絡安全威脅類型
1)病毒、木馬、蠕蟲等自動攻擊工具。具備自我復制和傳播能力的程序可破壞計算機系統,破壞某信息保密性和完整性,使得攻擊者從中獲得利益。早期一般通過系統漏洞或文件漏洞傳播,隨著操作系統安全代碼的日趨完善,目前主要靠欺騙性下載(如網站掛馬或植入惡意代碼)并被簡單觸發。
2)拒絕服務攻擊。拒絕服務是攻擊者常用攻擊手段之一。攻擊者通較強計算能力的服務器或大規模肉雞作為攻擊跳板,對目標發起洪水一般的非法請求,使得服務方難以接受正常訪問請求或造成緩沖區溢出,服務被迫關閉甚至崩潰。
3)基于服務代碼和服務漏洞的攻擊。作為官方的網絡窗口,運行于服務之上的網站代碼并不總是安全的。事實上,國內多數網站都沒能做到足夠安全的代碼防護。運行于非標準的web服務器的web網站,對熟練的站點攻擊者而言,僅需幾分鐘即可獲得基本webshell,并據此進行權限提升。從互聯網上下載的免費文章系統(如知名的動網模板),由于受到關注,攻擊者更容易通過內部技術組織聯絡獲取攻擊手段。
筆者所在學校站點早期使用ACCESS數據庫,攻擊者便經常嘗試直接下載數據庫;升級為SQL SERVER數據庫后,我們發現了大量的SQL注入攻擊代碼,如晚間的一次攻擊嘗試代碼:
……
dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR(4000)):eXeC(@s):--%20aNd%20'%25'=' 80 - 211.117.95.48 ……
從日志中很容易看出,攻擊者嘗試滲透數據庫獲取關鍵數值,并對注入代碼做了簡單偽裝。
4)社會工程學攻擊滲透。近年來攻擊者對攻擊目標的檢測方法變得多樣化,攻擊者通過多種渠道了解目標,利用社會工程學手段分析以獲得敏感信息,攻擊更具效率,大數據技術的快速發展則進一步加劇了此類風險的威脅水平。如網絡管理者總是愿意使用有類似特征的密碼體系同時管理公用設備和個人信息,一旦個人信息被猜解,所在網絡的安全風險便極大增加。
當代網絡面臨的安全風險越來越多,攻擊不可避免,網絡攻擊的原理趨向復雜,而攻擊者更容易獲取更具威脅的自動化攻擊工具,這意味著攻擊變得愈發容易。
2 學校園區網安全體系的規劃和建設
1)園區網安全體系的基本涵義。網絡安全體系由硬件安全、底層系統安全和服務/軟件安全三個方面構成,任何方面存在漏洞,都會導致整個網絡面臨安全崩潰。我國當前正在推動關鍵設備國產化進程,即從硬件層面考慮,保護網絡敏感信息不被國外生產廠非法商取。完整的網絡安全體系應在硬件層面作出合理選擇,在底層系統層面進行合理配置,減少系統漏洞暴露,在提供服務時建立多層次風險防控和數據過濾措施,保證網絡安全運行。
2)園區網安全體系規劃原則。網絡安全與提供服務的性能存在矛盾,管理者應以保障網絡服務正常提供為前提,評判網絡安全風險,適度規劃并保留升級彈性,以經濟合理的方式規劃安全防御系統。網絡安全體系需要覆蓋到整個網絡,對高風險區域應設置網絡邊界,并指定數據流動規則(ACL)。
3)網段規劃。根據功能區分,通常將整個網絡劃分幾個功能獨立的子網,至少包括網絡設備與網絡管理區域、停火區(DMZ)、學生機房、辦公區域以及普通聯網用戶區域等,各子網間保持物理或邏輯上的網段隔離,不同區域用戶一般禁止跨越子網互訪。這是保護網絡安全的最基本手段。
4)安全防護設備選擇。傳統網絡安全體系基于P2DR模型,即策略、防護、檢測和響應,設備組成一般包括終端安全(配置殺毒軟件);ACL(設備、端口規則和數據流向規則);防火墻以及IDS/IPS(應用于DMZ);它可以實現對多數病毒和傳統攻擊的有效抵御,以包過濾為基本檢測手段,具備部分協議檢測能力;對網站注入、滲透等較新的攻擊方式防御能力有限。
選擇何種設備組建網絡安防體系,取決于本地網絡規模、提供的服務類型和網絡管理者的技能水平。園區網可以考慮在傳統安全體系基礎上,根據本地網絡運行特性有針對性增加管控設備,為保障帶寬有效利用,針對內部用戶可配置行為管理系統,對用戶網絡行為進行管控,對占據帶寬資源和并發數資源的應用予以限制;針對WEB服務,可以配置WEB防護系統,對數據庫注入、代碼攻擊、跨站腳本等作出有效防護;針對網絡內部惡意行為,可以配置網絡日志分析記錄系統,在惡意行為發生時提供報警,在行為發生后提供記錄。
3 學校園區網安全體系運維原則
1)安全網絡要求全部終端用戶參與。根據“木桶原理”,網絡中任一端點的安全風險會擴大到整個網絡。園區網絡安全體系需要覆蓋到整個網絡的所有端點。考慮到難以對所有用戶實行嚴格要求,管理者應考慮網絡不同區域的安全等級,制定對應安全策略,在不同區域間設立網絡邊界,保證任意區域故障不會蔓延至其他區域。
2)制度優先。防患于未然,網絡安全事件總是發生在未曾受到關注的制度角落。管理者應綜合考慮網絡整體狀態,制定安全事件責任制度,制定應急預案,制定各類安全事件和風險事件的相應制度,制定網絡使用制度等;完善的制度是保障網絡穩定運行的必要條件。
3)數據備份。數據備份是網絡運維的必需手段。精確計算當前數據容量,預估數據增量,考慮數據備份措施,必要時配備數據備份設備。外部攻擊者在獲取網絡權限后,經常造成有意或無意的數據損害,超過50%的情況下數據損失不可逆轉。設置數據備份機制,是保障網絡服務的最后手段。
4)完善事件記錄。園區網歷經長期運行后,管理者將能夠發現和總結本地網絡常見威脅列表,建立網絡運維事件日志,能極大節省管理者故障定位和解決問題的時間與精力。這些記錄包括下述文件,網絡日常監測記錄、病毒流行記錄、設備故障處置和維修記錄、攻擊處置記錄等。
4 結論
盡管網絡總是不安全的,管理者還是可以通過各種手段,以科學、合理的方式建設網絡安全體系,不斷學習提高技術水平,盡力保護本地網絡和服務不受非法攻擊侵害。作為多年工作經驗的總結,筆者希望通過本文拋磚引玉,提供網絡安全運維的方法和原則,謹與同行共同交流。
篇(10)
這是整個開放教育教務管理系統網絡安全的關鍵,實際上網絡安全問題的80%是由于管理問題造成的,存在的管理問題包括管理組織、管理規范、技術管理、日常管理等。
(1)管理組織不健全由于網絡安全是一個相對較新的問題,絕大多數單位由并沒有一個實際的網絡安全管理組織。建議各省、市學校要按照“誰主管、誰負責,誰運營、誰負責”的要求,建立以主要領導為第一責任人,校辦、網絡管理等職部門參加的信息網絡安全管理組織,明確網絡管理和聯絡人員。
(2)管理規范不完善對于網絡安全管理一定明確真正的責權人,大多數省校、市校及學生中心都只是有一些并不完整的制度,而網格安全是一個整體工程,不完整的制度不能有效的起到規范管理的作用。我們建議要做好網絡信息安全防控工作,不但要完善安全防控體系,還要建立值班監控機制,落實內部安全規章制度,要以校內多媒體教室、公共機房、辦公網絡等公共上網場所為重點,嚴格落實上網實名登記管理。
(3)技術管理不到位雖然技術管理大概是目前問題最少的,但是這些基本上是網絡管理和應用系統的用戶管理,一般單位基本上是空白,因為大多數單位只是考慮防火墻、防病毒等基本技術安全措施,沒有對網絡安全做到進一步的細化管理。要加強對校內IP地址資源和服務器的管理,嚴格按照省校、市校局域網統一規劃的IP地址段分配校內IP地址。對承載有重要數據和交互功能的應用系統,特別是建有互聯網網站的部門,要進行安全評估,根據安全評估報告加固系統,使用正版軟件。
(4)日常管理不系統現在的教務管理系統安全存在管理不嚴格、不系統的問題。學校的管理工作人員還具有不穩定性,教務管理人員特別是下設各學習中心的管理人員常常變更,而且管理人員分散在各學習中心,溝通上存在限制,這些都增加了管理工作的難度。建立網絡安全管理工作日志臺賬,制定完善網絡安全應急預案,以確保校園網絡安全突發事件“發現得早、化解得了、控制得住、處置得好”。
2從技術層面分析
這一層面問題是最早被大家重視的問題,也是網絡安全軟硬件的技術性問題從數據備份、數據刪除及網絡協議三個方面來分析:
(1)數據備份數據丟失及破壞通常都是在未知的情況下發生的,因此,數據備份成為數據完整恢復的前提,數據安全提供有力保障。開放教務管理系統是一個網絡管理平臺,數據備份在服務器上是最好的選擇,并選用數據名和備份日期組成備份名稱。實施數據定期準確備份,存儲重要的數據需要全面保護,但也要分主、次。每學期學生基本信息、學生學生成績、畢業審核數據要重點備份。確定開放教育教務系統中數據備份的頻率及時序。目前我校將數據備份放在00:00,這個時間數據更動性小,并且日期劃分清晰。數據備份的頻率是每24小時一次,主要是考慮出現問題時對近期數據影響力小。備份數據定期清理工作也是一項非常重要的工作,我校階段性的對備份數據進行清理,比如:會在清理前一年的備份數據時,除每學期開學后七天、放假前七天及每月第一天的數據外,其它數據將被移動硬盤保存,將不再服務器中存儲。適時地進行數據恢復的操作,為遇到緊急情況做好準備工作,確保在出現問題時不慌亂,并能及時處理好數據的恢復工作。
篇(11)
目前,“”利用互聯網進行網上境外指揮、境內行動、內外趨動、聯合犯罪的趨向日漸明顯。從偵查掌握的情況來看,近幾年打掉的暴力恐怖團伙中有近50%的團伙使用互聯網進行通訊聯絡,而且呈逐年增加的態勢。
在網上非法結社,發展組織、成員
2000年以來,分裂組織、分裂分子相繼在境外雅虎等網站的免費空間上建立了十幾個維吾爾網民聚集的“電子部落”(又稱為“網上沙龍”),逐漸形成了具有分裂傾向的網絡群體。他們以“東土耳其斯坦”“維吾爾穆斯林”“世界維吾爾”等為主題,進行分裂和宗教極端思想的交流,并進行勾聯活動。
“虛擬社會”反恐治安防控體系明顯滯后
進一步完善“虛擬社會”治安綜合治理體系
虛擬社會作為“第二社會”和一種“亞社會”狀態,具有一定的活動形態和結構層次,對其進行治理防控同樣是一項社會綜合工程,必須遵循社會治安綜合治理的理念和原則,按照“打擊、防范、教育、管理、建設、改造”的基本內容,在各級黨委、政府的統一領導下,以政府為主體,發動和依靠各職能部門和社會力量,各單位、各部門協調一致,齊抓共管,運用政治的、經濟的、行政的、法律的、文化的、教育的綜合手段,整治虛擬社會治安問題,不斷消除虛擬社會空間滋生犯罪的條件,建立虛擬社會綜合治理體系。一是緊緊抓住建設環節。加強對網絡運營服務商的監管,堅持“誰運營、誰主管、誰負責”的原則,進一步明確其安全管理責任,責成其在推出各種網絡新技術、新應用、新服務時,配套建設各種安全管理系統,使網絡安全保護措施與網絡應用技術同步發展,實現建設與管理的統一。二是緊緊抓住經營環節。加強對網絡應用重點單位、網絡經營業主和網民的管理,嚴格落實“實名上網”制度,虛擬主體參與“虛擬社會”各項活動,均要實行實名申請IP、實名注冊賬號、實名登錄網站、實名驗證申請,建立起虛擬身份與現實身份的一一對應關系,通過嚴格掌握上網人員的真實身份,將主動權牢牢掌控在監管部門手中。三是緊緊抓住管控環節。嚴格落實互聯網信息監控處置屬地與準屬地“雙負責制”和以互聯網服務單位開辦者所在地為主、以服務器所在地為輔的安全監管“雙負責制”。四是緊緊抓住教育環節。在全民中深入開展網絡道德建設,大力倡導文明辦網、文明上網,自覺抵制不文明網絡行為,積極構建和維護文明、健康、有序的“虛擬社會”環境。積極與互聯網新聞管理部門配合,通過開展“創建誠信網站”“評選示范網吧”和“推選網絡文明單位、網絡文明學校”等活動,讓全社會共同參與、齊抓共管。
進一步加強“虛擬社會”治安防控體系建設
從公安機關網絡監管職責看,必須順應互聯網時展的要求,把嚴打、嚴管、嚴防、嚴治有機結合起來,構建高效、靈敏的“虛擬社會”治安防控體系。一是堅持“情報導偵”戰略,加強虛擬社會情報信息收集機制建設。突出強化網上偵查和情報職能,積極探索網上對敵斗爭的規律,增強網上發現、控制、偵查、處置和取證的能力,努力提高網上斗爭的能力和水平。要以網上偵查情報為主線,充分發揮安全監督管理和網絡技術手段的優勢,對虛擬空間中的重點“區域”“空間”進行高效、精確地控制,獲取深層次、有價值的網絡違法犯罪情報信息。及時發現、嚴密偵控、有效防范、依法打擊境內外敵對勢力、敵對分子以及各種違法犯罪分子利用網絡進行的煽動、滲透、破壞活動。二是加快建立虛擬社會警務制度和機制,強化網監基礎工作建設。搭建公安網絡監控部門與各級政府信息中心、各互聯網運營單位、上網服務場所、安全行業單位、安全教育研究機構和其他計算機信息系統使用單位的聯系渠道,建立網上案件舉報機制、查處網絡違法犯罪案件快速反應機制和公安機關內部各警種之間的信息共享及網上聯動協作等機制。以深化“e網平安”為載體,構建由網絡警察、網上協管員、社會信息監督員、網站網吧安全員和舉報群眾構成的全方位、多層次的虛擬社會巡防力量;建立網上虛擬社區警務制度,建立網上案件報警網站和報警崗亭,對群眾的網上求助、咨詢,快速反應、熱情服務,幫助群眾排憂解難。2010年以來,巴音郭楞蒙古自治州公安局制定《巴州公安機關“網上警務室”建設標準》,全州48個派出所建成105個網上警務室;建立民警微博,收集社情民意,拓展公安業務網上服務14項,建立網上信息員隊伍195人;召開網上警民懇談會50次,群眾留言148條,通過公布的電子郵箱收到群眾建議76條,為群眾解疑釋惑225次,點擊量達11538次。三是加強虛擬社會重點管控陣地建設。發揮網監隊伍的技術優勢,將網絡電視、廣播、電話和博客、播客等新興網絡應用納入網上重點陣地,按照“公秘結合、人防與技防結合”的要求,協同刑偵、治安部門,落實對電子市場、網吧、大專院校等重要場所的控制措施。制定和規范電子市場業主出售計算機及網絡設備、手機及手機卡、電視插播器等詳細信息登記制度。在當地黨委、政府的統一組織領導下,加強與電信、文化、工商部門的協調配合,規范互聯網服務營業場所的經營行為,嚴格安全審核和日常監督管理,切實解決當前“網吧”等互聯網上網服務營業場所過多過濫、違法違規經營、管理無序的情況。四是加強網絡警察專業隊伍建設和能力建設。嚴格按照公安部“每萬名網民配備一名網絡警察”的標準,盡快配齊網安警力,建立一支統一指揮、機動精干、正規化、實戰化的網絡警察隊伍;不拘一格吸納網絡技術人才,強化專門力量,通過市場化、社會化選人、用人渠道,把最優秀的網絡技術人才引進專門機關,從技術水平、警力人數上不斷充實打擊網絡犯罪的網絡警察隊伍。五是加強網絡輿情引導工作機制建設。建立反應靈敏、高效暢通的網上輿情收集、研判、反饋機制以及應急處置聯動機制。及時進行輿情的采集存儲、輿情分析和處理,做好不良網絡輿情危機的監管和引導工作,提高對不良網絡輿情預警的效率。
加強虛擬社會管理法律法規建設,構筑網絡安全的法律基礎
立法部門要立足我國網絡發展現狀,準確把握“虛擬社會”特征和網絡違法犯罪特點,加快信息網絡安全立法,完善現行刑法中計算機犯罪條款,擴大計算機信息系統概念外延,增加利用網絡犯罪罪名,明晰網絡犯罪立案標準。要借鑒互聯網發達國家的經驗,將網絡運營商的安全管理責任以法律形式確定下來,由運營商同步承擔網絡安全系統建設的責任。網絡信息安全最薄弱的環節不是系統漏洞而是人的漏洞。完善的網絡信息安全法制建設應當是建立起一整套網絡信息安全評估、網絡信息安全責任和網絡信息安全應急的法律對策。由此可見,“網絡法治”不應過于遙遠,它應盡快為人們享受網絡技術文明創造安全有序的環境,應盡快為國家提高信息安全保障能力提供法律支持,使政府和民眾在面對網絡“天災人禍”的考驗和挑釁時,能夠變得更加成熟、理性和從容不迫。
