网络安全管理六要素.docVIP

网络安全管理六要素 　　【中图分类号】TP39　3.08 　　【文献标识码】A 　　【文章编号】1672—5158（2012）10-0389-02 　　计算机网络的现状是面临着多方面的攻击与威胁。第一种威胁的表现形式为伪装，指的就是威胁源在特定时刻装扮成另一个实体的形式，并借助这个实体的权利进行操控；第二种威胁的表现形式为非法连接，指的是威胁源利用非法的手段建立一个合法的身份，再通过将网络实体与网络源两者之间建立非法的连接一达到最终的目的；第三种威胁的表现形式为非法授权访问，指的就是威胁源采用一定的手段破坏访问并控制服务，最终实现了越权访问；第四种威胁的表现形式为拒绝服务，指的是通过一定手段的利用阻止合法的网络用户或者拥有其他合法权限的用户使用某项服务；第五种威胁的表现形式为信息泄露，指的是没有经过授权的实体通过某种特定手段获取到信息后造成的某些信息的泄露；最后一种威胁的表现形式为无效的信息流，即为对正确的信息序列进行非法修改、删除的操作，使之成为无效信息的非法手段。上述种种威胁的形成原因大多数是人为造成的，威胁源可以来自于用户，也可以来自于部分程序，也可以来自于某些潜在的威胁等。所以加强对于计算机网络安全的管理和研究的目的就是最大限度消除这些威胁。 　　一、是要提高硬件建设水平 　　加大技防投资力度；二是要提高管理人员水平，从建立领导组织体系、落实内控制度、强化日常操作管理入手，管理好网络系统，使被保护信息的价值与保护成本达到平衡。 　　通常，计算机网络信息系统安全包括实体安全、信息安全、运行安全和人员安全。对于有关单位网络而言，在其安全体系架构过程中，由于有关单位业务、管理体制的不断变化，加上攻击手段层出不穷，使得对于网络系统安全风险点的分析存在不确定性。如果对局域网的管理不到位，掉线、网络堵塞、无法快速上网、受攻击等问题将屡屡出现，将对网络整体安全构成巨大隐患，进一步加强网络管理十分必要。安全规划和整体策略框架的确定比较困难，因此应遵循需求、风险、代价平衡的原则。对于任何信息系统来说，不可能达到绝对安全，因此我们必须对系统面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范并确定安全策略，使被保护信息的价值与保护成本达到平衡。 　　应该建立具有一个多重保护功能的安全系统，各层保护相互补充，当一层保护被攻破时，其他层保护仍可保护信息的安全。网络的安全性问题实际上包括两方面的内容，一是网络的系统安全，二是网络的信息安全，而保护网络的信息安全是最终目的。就网络信息安全而言，首先是信息的保密性，其次是信息的完整性。 　　二、提高管理人员水平 　　现在，一些基层单位在局域网建设中存在重建轻管现象，不同程度地存在着对信息安全的防范意识不强、管理硬件不到位、网络疏于管理等问题，这些将直接影响人行局域网的正确使用的现象应当引起高度重视。 　　1　建立领导组织体系。要将计算机网络管理及风险防范纳入行长的工作日程，就必须成立相应的领导组织，明确权利责任，做好对网络安全运行领导、检查和监督工作。要研究网络安全防范技术，找出易发问题的部位和环节，进行重点管理和监督，各相关职能部门要形成合力加大对计算机网络风险管理力度。 　　2　落实内控制度。建立健全各项计算机网络安全管理和防范制度，完善业务的操作规程；加强网络要害岗位管理，建立和不断补充完善要害岗位人员管理制度；加强内控制度的落实，严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗，做到专机专用、专人专管、各负其责。 　　3　强化日常操作管理。加强网管操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限，实现权限等级管理，严禁越权操作，密码强制定期修改，数据输入检查严密，尽量减少人工操作机会，防止非法使用网络系统资源。严禁在网络上放置和发布与业务系统无关信息，及时清除各种垃圾文件，对一切操作要有记录，以防误操作损坏网络系统或业务数据。做好数据备份，确保数据安全。对运行主要业务系统的服务器及网络设备要做到双机备份，双机备份要求主机型号必须相同，每套系统控制外设的能力要一致；数据传输、保存过程中对涉及机密的数据信息首先要加密，然后再传输、存储。 　　三、完善网络安全认证体系 　　首先表现为安全服务系统的建立。 　　第一，身份认证。身份认证作为访问控制的基础，是解决主动攻击威胁的重要防御措施之一。因为验证身份的方式一般采用网络进行的模式而不是直接参与，而且常规验证身份的方式在网络上也不是十分地适用，同时大量的黑客还会随时随地以冒名顶替的身份向网络渗透，所以网络环境下的身份认证特别复杂，而“身份认证如果想要做到准确无误地对来访者进行辨别，同时还必须提供双向的认证”1，必须采用高强度的密码技术来进行身份认证的建立与完善