引論:我們為您整理了13篇網站防護解決方案范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
# yum install -y mod_ssl (默認yum安裝httpd是沒有安裝該模塊的,安裝后自動生產/etc/httpd/conf.d/ssl.conf文件)
2.3 證書設計
使用命令產生一個自簽名的證書。首先,生成2048位的加密私鑰。
# openssl genrsa -out ca.key 2048
[root@300second certs]# make server.csr(建立服務器密鑰)
建立服務器證書
#openssl x509 -in server.csr -out server.pem -req -signkey server.key -days 365
#chmod 400 server.*(修改權限為400,只有擁有者可讀的權限)
把創建的證書文件復制到對應目錄
# cp server.crt /etc/pki/tls/certs/
# cp server.key /etc/pki/tls/private/
# cp server.csr /etc/pki/tls/private/
3 方案實施
3.1設置SSL配置Apache支持https
# vim /etc/httpd/conf.d/ssl.conf(修改SSL的設置文件,制定站點https訪問時的相關信息)
# vim /etc/httpd/conf/httpd.conf (配置網站支持https)
NameVirtualHost *:443
SSLEngine on
SSLCertificateFile /etc/pki/tls/certs/server.crt
SSLCertificateKeyFile /etc/pki/tls/private/server.key
ServerAdmin
DocumentRoot /var/www/html/
ServerName
3.2設置Apache在系統啟動中運行
#chkconfig C-levels 235 httpd on(設置apache服務開機立即啟動)
#/etc/init.d/httpd start 或service httpd start(啟動服務)
3.3強制Apache Web服務器始終使用HTTPS
如果由于某種原因,公司需要站點的Web服務器僅使用HTTPS,服務器需要將所有HTTP請求(端口80)重定向到HTTPS(端口443)。
1)強制網站使用HTTPS訪問,需要在虛擬主機中添加如下語句:
# vim /etc/httpd/conf/httpd.conf
ServerName :80
Redirect permanent / https://
2)強制虛擬主機使用HTTPS,需要在虛擬主機中添加如下語句:
# vim /etc/httpd/conf/httpd.conf
ServerName
Redirect permanent / https:///
3)重啟服務#service httpd restart 或#/etc/init.d/httpd restart
總之,站點存在用戶注冊登錄、購買支付等交互時,HTTPS訪問是大家一直推崇的訪問方式,可以提供服務器的安全性。另外,服務器SSL證書也可根據自己需求去選擇各種不同的SSL證書。
篇2
在信息化迅猛發展的今天,金融網絡化、電子化已經是不可抗拒的大勢,許多銀行已經在網絡開設了重要應用。而相應的,各種木馬、病毒、釣魚、僵尸網絡等安全威脅也接踵而來。據國家互聯網應急中心的統計數據顯示,2012年,中國內地共有近3.5萬家網站被黑客掛馬、篡改,仿造銀行業務網站的釣魚網站層出不窮。這些被篡改和掛馬網站只是信息安全冰山上的小小一角,通過標準的漏洞掃描工具檢測就會發現,超過90%的Web應用程序存在安全漏洞,國內絕大部分銀行網站都存在或多或少的安全問題。這些安全問題不僅會給銀行帶來巨大的經營風險,導致難以估量的經濟損失,而且會嚴重影響銀行形象,妨礙電子銀行和網上銀行工作的正常開展,造成危害更大的社會影響。
為了應對這些安全問題,網站安全需求也在不斷的變化和增長。傳統的安全防護方案是由用戶購買并部署反病毒軟件、防火墻、入侵檢測等一系列安全設備,不僅成本高昂,對于運營、配置、維護也有著較高的要求,而安全防護的木桶理論又決定了一旦某個環節有所疏漏,整個安全防護體系都會功虧一簣。
傳統網站安全解決方案的缺點有:成本高昂、部署麻煩、維護困難,存在帶寬瓶頸,串接設備若發生故障影響整個網絡。
2.研究內容
本文的主要研究內容包括如何利用先進的云計算[1-2]技術,為用戶提供一站式的安全解決方案,在線事務處理系統在“零部署”、“零維護”的情況下,防止諸如XSS、SQL注入、木馬、零日攻擊、僵尸網絡等各種網站安全問題。同時,研究如何采用跨運營商智能調度、頁面優化、頁面緩存等技術,進一步提升訪問速度,降低故障率,從而整體提升用戶體驗。
3.系統實現
傳統的安全都是一種保鏢式的安全,隨著用戶安全意識的逐步提升,諸如防火墻、入侵檢測系統等安全設備已經得到了廣泛的部署,在這種環境下,攻擊者總是會想方設法繞過安全設備去攻擊最終的目標。而藍盾網站安全云平臺(CloudFence)提供的最大的變化就是利用云安全[3]的理念,從保鏢變成了替身,是思想理念上的變化,將安全以服務的方式提供給用戶。
CloudFence以分布式計算為基礎云架構[4],采用跨運營商的多線智能解析調度,用戶只需將網站的DNS切換到云平臺,云平臺會通過DNS智能解析調度將單點Web資源動態負載至銀行各網點的云端節點,用戶訪問流量被引導至最近的云端節點,高性能的云端節點可以承載高并發的用戶請求流量,并且通過對請求的動態內容優化壓縮,靜態內容分布緩存,為用戶提供高質量的CDN服務,加速用戶的訪問速度。
目前的網站加速技術主要采用squid和nginx,現在有許多大型的門戶網站如 SINA 都采用 squid 反向技術來加速網站的訪問速度,可將不同的 URL 請求分發到后臺不同的 Web 服務器上,同時互聯網用戶只能看到反向服務器的地址,加強了網站的訪問安全。
從最新的技術來看, Nginx已經具備Squid所擁有的Web緩存加速功能、清除指定URL緩存的功能。同時,通過對多核CPU的利用,Nginx在加速速度上已經超過Squid。另外,在后端服務器故障轉移、安全性、易用性上,Nginx也有了更多的提升,故采用Nginx來實現CDN服務。
CloudFenc的網絡架構主要由兩大部分組成,分為中心和邊緣兩部分,中心指CloudFence系統中的智能DNS系統,它主要負責全局負載均衡和請求的重定向。邊緣主要指分布在各地的CloudFence節點,CloudFence節點是內容分發的載體,主要由安全防護、Web優化、Cache和負載均衡器等組成。
CloudFence云平臺節點采用藍盾安全掃描系統進行遠程掃描Web服務器存在的Web漏洞,支持檢測SQL注入、跨站腳本攻擊、惡意文件上傳等多種Web漏洞,并將掃描結果以報表的形式清晰直觀地提交給網站維護人員,及時對已知缺陷進行修補。
藍盾安全掃描系統是集網絡掃描、主機掃描和數據庫掃描三大掃描技術為一體的集成掃描工具。它適用于對不同規模的Internet/Intranet環境下的各種網絡設備、主機系統、數據庫系統和應用程序等進行安全掃描、安全評估,并提出相應的安全防護解決方案,幫助使用者了解自己網絡的安全風險變化趨勢,從而有效降低網絡的總體風險,保護關鍵業務和數據。
該系統不但具有豐富、完善的漏洞庫,還能模擬黑客攻擊行為,對目標網絡進行深層滲透性檢測。由于采用了智能端口服務識別、弱口令檢測、防火墻穿透等先進技術,該系統能夠檢測到一般掃描器檢測不到的網絡缺陷,并以直觀的方式報告給使用者。
藍盾安全掃描系統由掃描主機控制臺和客戶端兩個部分組成。客戶端運行用戶界面模塊,是用戶與系統的人機交互界面,包括監控界面和管理界面;掃描主機控制臺運行掃描主控軟件,掃描主控軟件由系統初始化模塊、掃描策略定制模塊、報表生成模塊、漏洞數據庫維護模塊、掃描引擎、任務調度模塊、漏洞檢測模塊和用戶管理模塊等組成;目標主機是掃描模塊直接從掃描主機上通過網絡進行掃描的對象。
云平臺管理中心通過統計各節點的訪問點擊情況,可以為IT部門管理人員和領導提供一份詳盡的在線事務處理系統的數據統計報表,使運營者更加了解網站的訪問情況和安全狀態,為網站優化和服務改進提供數據參考。訪問數據統計分析包括:某一時段正常訪問數,搜索引擎收錄情況,各地區SQL、XSS攻擊次數,用戶各地分布情況,頁面點擊排名等。
4.結論
本文利用云計算為企業網站提供了一種一站式的安全解決方案,設計了一種網站安全防護系統CloudFence。該網站安全防護系統能有效抵御木馬、XSS、SQL注入、零日志攻擊、僵尸網絡等惡性攻擊。用戶只需要登錄CloudFence網站注冊,進行域名等簡單配置,通過審核后就可以讓網站處在CloudFence云平臺實時保護中,無需裝載任何軟件,無需部署任何硬件,也無須自己維護,極大減少了用戶的使用和維護成本。同時CloudFence綜合采用跨地域、跨運營商智能調度、頁面優化、頁面緩存等技術,能夠進一步提升網站訪問速度,降低故障率,從而整體提升網站的用戶體驗。
參考文獻:
[1] 陳全,鄧倩妮. 云計算及其關鍵技術[J].計算機應用,2009, 29(9): 2562 -2567
篇3
Web應用安全隱患在于Web應用程序在開發階段留下的安全隱患能被攻擊者利用。這主要是因為Web應用發展過于迅速,開發者更多考慮的是如何快速提供服務,從而忽略了之前在傳統軟件工程開發中的安全問題。因此,Web上的很多應用都沒有經過傳統軟件開發所必須完成的細致檢查和完整處理過程。
針對這種情況,WebGuard-WAF集成了業界領先的Web應用檢測技術,可檢測出Web應用自身的脆弱性,諸如SQL注入、跨站腳本(XSS)等頁面漏洞,為解決根本問題提供技術依據。
智恒WAF應用安全網關防護系統對HTTP數據流進行分析,應用了先進的多維防護體系,對Web應用攻擊進行深入的研究,固化了一套針對Web應用防護的專用特征規則庫,實現了對當前國內主要的Web應用攻擊手段的有效防護機制,可應對黑客傳統攻擊(如緩沖區溢出、CGI掃描、遍歷目錄、OS命令注入等)以及新型SQL注入和跨站腳本等攻擊。
篇4
該系統可與所有電子郵件應用程序兼容,可以快速處理您的電子郵件,延遲時間不到1秒鐘。此外,McAfee還為需要監控內部電子郵件安全性的用戶提供了電子郵件服務器防護功能,操作簡便,可迅速提供保護。
用戶若要實現終極反間諜功能,可將 McAfee Total Protection for Small Business與桌面間諜軟件清除工具如McAfee Anti-Spyware Enterprise組合使用。Anti-Spyware可選的Web 過濾模塊提供反間諜軟件的第二級保護,可防止員工訪問帶有間諜軟件和廣告軟件的網站。
篇5
Web Site Safety Prevention Tips
WANG Zhao-lin
(Office of Human Resources and Social Security of Anhui Province Information Center,Hefei 230061,China)
Abstract: Whether corporate website or personal Web site,Website security is a very important aspect,Because site security problems may cause your Web site credibility, flow, profit, and even political influence。Web sites were brought by black hung horses,Website content has been tampered,The proliferation of viruses, user information leakage problems can bring to the site of catastrophe,Web site security testing and security maintenance is a very important work。Experience in security work through a Web site here, divided into several parts to talk about website security construction and management practices。In practical work, ensure that the site’s normal application.
Key words: website; safe; check; guard; maintain
筆者常常收到上級部門的《關于加強網站安全防護的通知》和網絡與信息安全情況通報,使得我們對網站安全認識進一步提高,對一般網站的安全隱患進行了認真細致的分析,積極研究整改措施,并對網站進行了全面監測,保證了網站的安全運行。
1網站安全防范做法
1.1認真組織系統自查
1)充分認識加強網絡安全管理工作的重要性
領導要高度重視,組織相關部門認真學習《網站安全的工作方案》,要求通過全面的安全檢查,及時掌握網站的安全現狀和面臨的威脅,認真查找隱患,堵塞安全漏洞,完善安全措施,保障網站安全、穩定、高效運行。
2)對照檢查內容,逐條進行檢查
在規定的時間內,我院按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則,從網站內容、網站安全體系和管理制度三個方面對網站進行了自查。
3)網站運行和內容方面。
①網站服務器安全。指派專人負責網站的日常運行與維護,確保網站正常運行。②不斷完善網上服務功能,并安排專人對數據進行核查,確保數據準確性。③在網站內容方面,明確相關責任人對相應欄目的內容更新,及時各類網站信息。四是安排多人上班時間讀網,發現錯鏈、斷鏈現象及時糾正。
4)安全防范措施方面。①網站已配備了硬件防火墻,有一定的防攻擊、防病毒等硬件防護措施。②通過與有關技術支持商合作,加強網站的安全防護能力。③利用熱備份和后臺密碼分級管理等手段,提高數據安全性。
5)管理制度方面。①建立了網上信息審核和保密審核制度,凡上傳網站的信息,須經領導審查簽字后方可。②與有關技術支持商明確了各方的職責與分工,并建全落實服務器管理、網站管理數據管理等各項規章制度。③投入必須服務經費,保證網站的安全和順利運行。
1.2網站硬件防護策略
網站系統網絡拓撲結構如圖1。
圖1
1)前端安全設備型號。防火墻:聯想網御PV1408、IPS:聯想網御IPS 630、網絡防篡改:中軟華泰
2)服務器信息。應用服務器:IBM X3850、操作系統:Windows 2008 standard 64bit、數據庫服務器:IBM X3850、操作系統:RHAS 5.4
3)網站系統的前端安全設備有防火墻和入侵防護設備以及網絡防篡改設備,可提供對網站的日常安全的保護功能。同時,應用方面數據庫和應用程序分離,數據庫不提供對外服務可降低安全的隱患。
1.3加強網站安全設備使用
網站部署在兩臺服務器上,一臺存放服務,一臺存放數據庫,采用雙機互相備份的方式及時的備份數據。整個大的網絡環境內部署了一想網御PV1428防火墻和一想網御IPS630,并且針對門戶網站還專門配置了中軟華泰的網站防護系統,可以實現“網站防病毒”、“網站防篡改”、“網站防入侵”的目的。
主要功能如下:
1)執行程序可信度量。通過可信度量技術,對系統中要啟動的執行程序進行真實性和完整性度量,禁止不符合預期的程序啟動。通過上述機制,實現了網站服務器對于病毒、木馬、攻擊程序等惡意代碼自免疫,彌補了殺毒軟件的滯后性問題。
2)程序安裝控制。控制程序安裝行為,禁止非法的程序安裝行為。
3)可信代碼防篡改。對于信任程序的實時保護,禁止任何的破壞和非法修改行為。
4)網頁防篡改保護。在系統底層利用文件過濾驅動技術,實時監控受保護的WEB目錄,實施嚴格的強制訪問控制,禁止對受保護的WEB目錄進行任何非法操作,從源頭上杜絕網頁非法篡改行為的發生。
5)重要資源寫保護控制。對存放在服務器中的重要數據進行實時防篡改保護,禁止非法的篡改行為。
6)防SQL注入攻擊。過濾含有SQL注入關鍵字的數據包,從而起到防SQL注入的效果。
7)防跨站腳本攻擊。過濾含有跨站腳本關鍵字的數據包,從而起到防跨站腳本攻擊的效果。
8)抗黑客掃描:阻止惡意攻擊者的掃描行為,保護服務器的敏感信息。
9)SSL終止:終止SSL安全連接,對數據流進行解碼,檢查明文格式是否含有惡意的流量。
網站工作人員定期對服務器系統進行漏洞掃描、安裝補丁、系統升級,每個月做一次獨立的網站數據備份,確保門戶網站安全暢通運行。
1.4注重網站漏洞修復
經常更新系統軟件,堵塞系統漏洞;比如:JBoss中間件漏洞修復;針對檢測的安全隱患,我們認真分析了出現安全隱患的原因,并積極進行了整改,具體的修復方案及措施如下:
1)JBoss中間件存在非授權訪問漏洞。
解決方案:我們采取的解決方案是在jboss目錄下的server/default/deploy/jmx-console.war/WEB-INF/web.xml文件中增加了httpmethod>HEAD以降低威脅。
2)JBoss中間件的status頁面可匿名訪問。
解決方案:注銷了/ROOT.war/WEB-INF/web.xml文件下的
3)JBoss中間件的web-console頁面可匿名訪問。
解決方案:
(1)找到jboss目錄下的/deploy/management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml,去掉security-domain>java:/ jaas/web-console的注釋。
(2)找到jboss目錄下的
/deploy/management/console-mgr.sar/web-console.war/WEB-INF/web.xml ,去掉部分的注釋。
(3)修改jobss目錄下的server/default/conf/login-config.xml,設置登錄web-console的用戶名和角色。
(4)CVS Web Repository開發工具信息泄露。
解決方案:刪除了CVS Web Repository開發工具的文件。
在今后的工作中,我們將更加重視網站安全工作,嚴格貫徹落實上級有關文件精神,積極采取有力措施,進一步做好網站安全工作。
1.5加強內部數據的管理及監督
網站內部數據關系到用戶的個人基本信息,不管是什么類型的網站都擁有用戶,還有相應的程序員、技術員、管理員、編輯員等等,而加強對這些人員的管理管理,對網站的數據保護至關重要;作為簡單有效的安全措施,口令一直是身份管理普遍采用的方式。網絡接入、電子郵件和Web服務使口令得到了廣泛的應用,口令的安全問題開始被人們關注。我們知道,口令的安全與它的長度和復雜度息息相關,越長越復雜的口令越不容易被黑客破解,但是這樣的口令卻難于記憶。通過建立密碼、口令管理制度來保證安全;1)對于要求設定密碼和口令的用戶,由用戶方指定負責人與系統管理員商定密碼及口令,由系統管理員登記并請用戶負責人確認(簽字或電話通知),之后系統管理員設定密碼及口令,并保存用戶檔案。2)當用戶由于責任人更換或忘記密碼、口令時要求查詢密碼、口令或要求更換密碼及口令的情況下,需向網絡服務管理部門提交申請單,有部門負責人或系統管理員核實后,履行規定的手續,并對用戶檔案做更新記載。3)如果網絡提供用戶自我更新密碼及口令的功能,用戶應自己定期更換密碼及口令,并設專人負責保密和維護工作。要加強網站數據和相關用戶行為的審計,確保數據不丟失、不泄露,確保用戶口令保密、行為安全可靠。
篇6
該公司部署了防彈式的防御體系來應對典型的互聯網攻擊,如:病毒、木馬、蠕蟲以及間諜軟件等。他們從總經銷商那里購買安全技術的使用權限,這樣,企業就擁有了安全公司提供的軟件以及升級服務。因此,公司的網絡環境感覺上非常安全,IT部門的人員也可以高枕無憂了。但是對于公司的安全美夢很快變成了噩夢――
由于員工違法使用iPod音樂播放系統和P2P,公司的網絡性能被大大削弱。同時下載音樂、視頻以及一些軟件也給公司帶來了違反著作權的法律問題。
企業的知識產權會因為員工的不當操作或不道德的行為通過郵件泄露出去。
肆意的使用即時消息會使公司陷入員工服從性的危險之中。
有時,一個有賭博習慣的員工會持續在線玩賭博游戲,可那時他手頭上還有一項緊要任務沒有完成,同時對于網絡上不良信息的訪問還會給企業帶來法律訴訟。公司無法施行那些可接受的網絡使用政策,因此公司就無法保證員工的生產力,無法保護網絡資源被濫用,或者其它與網絡濫用相關企業威脅。
B公司:移動辦公的風險
該公司采取了進一步的安全防護。在嚴格的政策支持下,公司增加了強勁的安全保護來控制包括:P2P、即時消息系統、網絡音樂系統以及網頁在內的內容。問題就這樣解決了么?其實問題遠遠不止如此。
公司的員工經常會在公司以外的其它地方辦公,如在客戶端、家里、酒店、列車或是機場,凡是能夠提供網絡連接的地方。當員工不在公司內部使用網絡時,他會不經意的將惡意軟件下載到自己的筆記本電腦中(這些軟件正是公司的在竭盡全力抵御的),然后把這些惡意軟件帶到公司,任其肆意傳播。同時像U盤這類移存儲設備也會在公司的嚴密監視散播新的威脅。
C公司:復雜的威脅
該公司做足了工作,并宣稱他們擁有能夠抵御包括面向移動辦公人員和離線工作人員在在內的各種威脅的防御體系。只要這些設施不需要費時費力的去管理和維護,那么該公司的網絡保護設施令許多其他公司都羨慕不已。實際上,這些解決方案只有部分得到了執行,需要把現有的IT資源發揮到極致。
由于最初的部署存在太多漏洞,負擔繁重的IT人員無法滿足企業對于公司政策、風險控制以符合性的個性化需求。
技術支持的呼聲很高而附加咨詢服務卻很昂貴。
IT財力人力的短缺影響IT更新步伐,企業耗費大量時間金錢仍不能獲得有效安全防護。
眼前的互聯網安全防護明顯是不夠的。要避免商業風險,企業必須要能了解和處理安全防護方面的所有問題,還必須與互聯網安全防護領域的伙伴建立合作關系。
獲得全面經濟高效的安全防護
先進專業的防護技術和功能不言而喻是有效安全防護的根本因素。而今,企業所面臨的是使用多個攻擊媒介的混和型威脅,這就要求企業要有最好對策,安全防護好從網關到桌面以及兩者間每個易受攻擊環節。而這還僅是全方位經濟高效互聯網安全防護的冰山一角。
每個企業的業務范圍都不一樣,安全防護需求也不同。一般而言,一個互聯網安全防護解決方案是否有效關鍵看以下六方面因素:對關鍵易受攻擊環節的安全防護;對主要管理環節的安全防護;前攝防護;部署的靈活性;個性化策略和控制功能;基于需要的最佳價值。
關鍵易受攻擊環節的安全防護
由于現今的混和型威脅可采用不同的形式,通過各種互聯網渠道進行傳播,這就要求企業在Web、電子郵件、移動設備和桌面客戶端都做好相應一致的安全防護。而以上這些媒介都應該共享同一個公共的互聯網威脅數據庫,這樣無論病毒是通過電子郵件、Webmail、可移動存儲設備還是公共無線上網據點(public hotspot)來傳播,都可被識別出來。
多層式安全防護為防護威脅提供了更多保證:通過推斷等技術識別和過濾先前未
知威脅從而不斷補充已知威脅數據庫;結合使用安全防護技術和人工分析來識別和阻止新型威脅;通過特定企業和特定行業的定義來補充標準威脅定義;以及通過加密技術和智能化內容過濾技術結合使用有效阻止數據丟失。無論企業所面對的是哪類風險,多層式解決方案為企業提供最高水平的保護。
主要管理環節的安全防護
基于每個企業的IT架構、基礎設施和安全目標的不同,安全防護可分別在服務器、客戶端及整個網絡當中(作為一種按需服務)中部署。企業應評估其關鍵所在進行部署,最理想的當然是同時在三個地方都部署安全防護。這樣,無論威脅是以何種方式或從哪里進入企業網絡環境,企業都能消除這些威脅。甚至未連接到網絡的遠程用戶也能通過客戶端或按需應用模式得到有效保護。
提高安全防護水平
前攝防護
快速演變的互聯網威脅要求我們時時保持警惕、采用專家分析并且不斷更新防護措施。識別和防護新型威脅的最好方式是結合使用世界級技術、專家意見及全天候全球性自動更新安全防護的基礎投施。在多數情況下,這提供的是一種服務,一種在威脅造成破壞之前檢測威脅、提出警告和消除威脅的服務。
部署的靈活性
部署安全防護解決方案可選擇軟件、硬件或按需解決方案(On-demand solutions),這使得企業能選擇到最合乎其特定需要的解決方案。大型企業常要求一個具有廣泛功能及粒度策略控制的軟件解決方案,而小型企業則可能更喜歡具有立竿見影簡易性和高性能的硬件解決方案。
按需解決方案則可提供企業級互聯網安全防護,能用于所有類型的企業:擁有多個分支機構或眾多遠程工作員工的企業,可采用這種技術來幫助那些在公司總部以外工作的員工管理他們的e-mail和web的安全需求;對于那些沒有相應基礎設施來主管基于服務器解決方案的企業以及那些只是部署這項功能作為整體IT策略一部分的企業也可采用這種技術。
個性化策略和控制功能
要全面避免不適當使用惡意軟件及未遵從行業規范和法規情況發生,企業應根據自身特定環境、業務需要和潛在風險定制策略,并靈活控制策略的定義和執行。同時企業所采用的解決方案應允許企業內不同用戶和群體采用不同規則以反映其工作職務和網絡訪問權限。
通過執行這些策略,IT管理員和企業管理人員能通過全面報表功能和可視來管理和監控員工對互聯網的使用、對行業規范和法規需求的遵從,還能根據開展業務的需求及時調整防護措施和安全戰略。
潛在價值
在挑選互聯網安全防護提供商時,企業不可只考慮供應商銷售額,應多方面考慮挑選一個值得信賴合作伙伴。一個可信賴合作伙伴應擁有互聯網安全防護的成功記錄和全方位海量最佳(best-of-breed)技術,能為客戶提供其所需經驗結晶、豐富資源和持續創新從而遙遙屹立于安全防護領域的領先位置。此提供商還要能通過及時了解每個客戶的需求,提供一個單一來源解決方案來滿足客戶的需求,同時提供實時支持和更新以隨時確保解決方案的最大有效性。
其所提供的解決方案的擁有、管理和長期支持還必須是經濟高效,以便安全防護方面費用能在企業的IT預算之內,而不至于更成為企業研究解決方案的另一個問題。
安全防護的實際運作
回顧上文對于三類企業的探討,我們可以看出這些關鍵要素在一個有效的互聯網安全防護策略中起了怎樣的作用。
A類企業首先定制好符合其策略和優先級的互聯網安全防護解決方案,接著使用健全報表功能來很好控制企業所面臨的商業風險。
徹底關閉點對點網絡和podcasts的不適當使用,釋放重要網絡資源并消除版權侵權的風險。
每個電子郵件都針對企業所有知識產權的關鍵字和特定內容的進行掃描,真正做到萬無一失。
即時通信和上網沖浪得到完全控制,可幫助行業規范和法規得到很好遵從。
與工作無關的網站或不安全的網站會被禁止,由此網絡賭徒再也不能使用公司的資源,只能利用其私人時間進行游玩。
B類企業拓展了全方位的安全防護。無論是從家里還是從酒店,無論是通過一個無線上網據點、客戶端網絡還是無線互聯網服務提供商(ISP),公司員工都可重新連接到公司網絡,而移動PC上威脅都會被攔截下來,無法進入企業環境。可移動存儲設備也得到同等有效的安全保護。
C類企業選擇按需服務而不是軟件或硬件解決方案,可在不超出企業預算前提下得到有效安全防護。它還能保持對一個網絡或網關解決方案的有效控制和策略管理,且有值得信賴業領導提供商提供全面支持和豐富資源作為后盾來保證解決方案的快速實施和低運行時間。
提高防護功能
SurfControl提供的同類最佳互聯網防護解決方案和技術已長期成為威脅防護領域的標準。SurfControl解決方案經設計可為任一網絡環境提供安全防護,現在還可根據客戶的特定需求進行部署,不僅可慮及每個關鍵易受攻擊環節,還可慮及web、電子郵件和客戶端安全防護的各種因素。
其實時推斷技術更是得到了全球多個威脅分析專家組全天候支援,可識別和應對新型威脅,包括各種形式的惡意軟件、零日威脅(zero day threats)和快速演變的混和型威脅。
篇7
林育民表示,2008年惡意代碼數量創造了歷史高峰,成長速度也破了歷史紀錄,平均每個月發現2億4千5百萬個惡意程序。根據賽門鐵克的統計,在數據丟失方面,教育行業以27%的比例占據榜首;而在身份竊取方面,金融行業以29%名列第一。
傳統利用系統漏洞的攻擊手法仍屢見不鮮,比如最近爆發的Downadup/Conficker 蠕蟲利用的是已知的MS-RPC 漏洞(MS08-067),這也說明了所有可能影響操作系統的已漏洞,需要持續保持警惕。
如今,網頁式攻擊已成為最主流的攻擊手法,黑客已經將攻擊目標轉移到網頁瀏覽器、ActiveX 控件、瀏覽器插件、多媒體、文檔查看器和其他第三方應用程序上。只要用戶訪問某個受到攻擊的網頁,其中某個應用程序中的一個漏洞就可能讓用戶的系統毫無防御能力并遭到攻擊。
保護企業重要信息不被惡意竊取和破壞,已經成為當前商界和IT安全業界所面臨的最大挑戰之一。如今Web風險、漏洞與終端不安全造成的安全問題比以往任何時候都更加突出。
林育民表示,目前基于漏洞特徵的入侵防御是一種有效的方法,因為一個漏洞定義不僅能防御一種惡意代碼威脅,而且可防御數百種甚至數千種惡意代碼威脅。因為這種防御會查找漏洞特點和行為,所以可防御多種威脅,甚至可防御未知的惡意代碼。
記者了解到,很多終端用戶并沒有意識到自己是否修補了系統漏洞,信息丟失了也不知道。要應對當前面對的各種復雜、隱蔽而且有目標的攻擊,企業不能再單純依靠傳統的防病毒和反間諜軟件解決方案。畢竟防病毒軟件、反間諜軟件和其它基于特征的防護方法都是相對滯后的解決方案,在前幾年還能保護終端用戶或者企業的重要資源,現如今已不能滿足安全需要。企業目前需要主動的端點安全方法,來防御零日攻擊乃至未知威脅。
主動式端點防御
究竟如何才能構建真正的安全可靠的IT架構?如何才能保障信息不被竊取?林育民認為,隨著威脅技術的不斷發展,當前條件下僅僅利用某一種防御技術已經很難真正抵御威脅,用戶需要的是層次化的端點安全方法,實施不僅能夠防御各級威脅,而且可提供互操作性、無縫實施和集中管理的全面解決方案。
只有構建了縱深化的、全面的多點防御,才能使企業信息安全得到保障。既能夠有效地針對各種級別的威脅保護企業,又能提供無縫的互操作性以簡化管理并降低總體擁有成本。
眾多的信息泄露事件,導致企業日益重視端點安全,雖然目前有許多產品可以提供一定程度的防護,但它們往往無法提供全面防護。許多技術僅在一種操作系統上工作,其它技術缺少與防火墻、設備控制和入侵防御等其它基本端點安全技術互操作的功能。
篇8
網絡釣魚攻擊通常是電子郵件釣魚,然后騙取受害者點擊惡意鏈接,最后使用惡意的漏洞Payload攻擊受害者計算機。換句話說,如果一個員工誤點擊惡意鏈接,可能被黑客盜取賬戶信息,或者電腦被人種上木馬,導致企業內網因此淪陷,業務數據和敏感信息也會陷入巨大風險之中。目前,反安全領域中最有效的網絡釣魚攻擊就是魚叉式網絡釣魚,該攻擊可以侵入所有的防御層。據統計,約92%的數據泄露事件與社會工程學事件和魚叉式網絡釣魚攻擊有關。
1 魚叉式網絡釣魚攻擊
對于魚叉式釣魚攻擊,鎖定特定目標的攻擊,被正式攻擊效果很好,可以打敗經驗豐富的安全專家,因為,這些攻擊都來自準備充分,對你的業務很了解的專業攻擊者,他們知道你的公司業務,知道你現在所從事的項目,還有你關注的利益,和興趣,這種攻擊比簡單的金融偷盜,帶來的危害更嚴重,也更持久。
首先,攻擊者會選擇一個受害者,比如。然后,攻擊者利用動態DNS服務和虛擬服務器來類似的網站。以下就是一個名稱相似的網站,攻擊是基于假設用戶不會注意到URL中的細微變化。
接下來,攻擊者會利用Automation Anywhere或Ion等抓取工具或數據采集工具來復制網站中的內容。現在,攻擊者就擁有了一個名為的相似網站。下一步攻擊者要做的就是將受害用戶吸引到虛假網站,以便獲取受害者輸入的憑證。接下來,攻擊者要做的就是利用Foca和Maltego等指紋識別工具采集盡可能多的電子郵件地址。
現在,攻擊者要做的就是等待使用合法Contoso憑證的用戶登錄到虛假網站,以便他們進行采集,攻擊者采集到憑證之后,攻擊就結束了。
2 魚叉式網絡釣魚防御措施
1)防網絡釣魚技術
作為網絡安全行業的一個重要領域,防網絡釣魚產品和服務在很久之前就已經面市。現在的殺毒軟件通常都包括防網絡釣魚功能,而且多數瀏覽器都自動配備了Google Safe Browsing功能,這樣的整合可以提供中等水平的網絡釣魚防護措施,但卻遠不能幫助企業應對復雜攻擊。
防網絡釣魚解決方案可以集成到Web瀏覽器或以單機方式運行,這兩種方法采用了相似的方法來檢測網絡釣魚攻擊。
2)SSL站點搜索保護
由于多數用戶認為有效的SSL證書可以實現更好的安全保障,因此,利用SSL證書的網絡釣魚攻擊尤其危險。有些防網絡釣魚產品能夠檢索超過五百萬的SSL證書,以便查找偽造證書。
3)DNS搜索保護
利用這一防護方法,看似與合法網站相似的域名就可以記錄到代碼倉庫。軟件每天都會監控DNS注冊,以發現特定的警報模式,也可以在通用TLD和.com、.net、.free.fr等注冊點探查潛在域名。
4)域名信譽
所有的防網絡釣魚廠商都會收集有關URL黑名單的情報。他們利用信譽分析技術對域名信譽和列入黑名單的一級域名(TLDs)等數據信息進行分析。有些網站可以免費為用戶提供此類信息,http:///就是其中之一。從這些服務中得到的信息也可以從郵件攔截列表和上報站點中獲取。
這種方法的缺點就是,多數的攻擊者會利用‘用后即丟棄’技術獲得域名,用于惡意URL,但是時間很短。因此可以躲過URL黑名單和信息分析技術的分析檢測。
5)針對注冊商和托管服務供應商的網絡釣魚提示
注冊商、托管服務供應商和互聯網服務提供商(ISP)能夠持續追蹤IP地址、名稱服務器和域名查詢服務器。他們的防釣魚軟件不斷更新,并根據上述信息為用戶提供警報。
6)工具欄
目前,各種不同的工具欄都可以安裝在當前最流行的瀏覽器中。這些工具欄會持續監控URL檢索,并向軟件發送報告,以便匹配基于規則的策略。
7)安全培訓防御網絡釣魚攻擊最重要也最有效的方式就是進行員工安全教育,提高他們對社會工程攻擊的認知。提供長期且持續的教育和培訓:創建指導方針及公司策略及程序,以保護個人和公司設備上的敏感數據。定期評估內部調查團隊,進行實踐演練,確保用戶擁有有效對抗網絡威脅的必要技能。
說到底,用戶是最終的安全決定者。安全的好壞最終取決于用戶能否以鑒定的眼光閱讀所有郵件和警報,并判斷信息或鏈接是否安全。只要決策權在用戶手中,網絡釣魚攻擊的成功率就會居高不下,這也正是防網絡釣魚行業能夠保持持續增長的原因。企業還將繼續尋求更多更好的解決方案,保持強大的安全態勢:部署多層端點安全防護、網絡安全防護、加密、強大有效身份的驗證和采取擁有高信譽的技術,幫助用戶及時發現入侵信號并做出快速響應,增強企業團隊的安全防范能力。
參考文獻:
篇9
徐松泉表示,P2P下載對網絡傳輸質量的要求并不高,但在線視頻應用卻要求網絡傳輸的高質量。當前,美國、日本等國家已經實現了真正意義上的高帶寬和低時延,能夠充分保障在線視頻觀看的流暢。從我國的網絡基礎設施來看,雖然目前還無法支持60%~70%這樣高比率的帶寬占用,但運營商為了滿足人們對于互聯網應用的新需求也在積極備戰。未來,大多數的互聯網應用都將與視頻相關,所以運營商看重的將不僅僅是帶寬,他們會越來越看重數據傳輸的質量,并會越來越迫切地需要解決數據傳輸的時延問題。
不單是通信行業,交通、醫療、環保、金融等與人們生活緊密相關的行業,今天都在面臨相同的挑戰。以平安城市為例,徐松泉說,一個城市可能有幾十萬甚至上百萬的監控攝像頭,通過這些攝像頭采集到的海量視頻數據被傳輸到指揮監控中心,工作人員正是依據這些數據,進行分析并做出及時響應和反饋的。另外,中國目前在建的很多云計算中心、IDC等,都存在相同的問題和需求。這反映出,未來的互聯網數據將以實時數據,特別是實時的視頻數據為主。
新趨勢賦予“萬兆”的新使命
篇10
實際上,Storm攻擊確立了一種趨勢,很多垃圾郵件都是通過被Storm感染的機構傳播的。業內專家估算,至少7%的連接到互聯網的計算機成為可以發送電子郵件的“僵尸”。編寫威脅程序的人不斷尋找提高成功率的新方法,而通過合法網站傳播惡意軟件無疑是一種非常有效的方法。
Storm攻擊往往會聯合一些技術含量較高的惡意軟件技術,創建一個高度復雜的攻擊平臺。Storm將不同的技術整合成一個更大的系統,更難于追蹤,并且行動快速、動力十足。作為混合性威脅,它使用電子郵件和Web進行雙重攻擊。
惡意的僵尸網站通過自身已有的P2P網絡實現自我繁殖,進行彼此協調,來創建包含被感染的登錄網頁的垃圾郵件,再通過電子郵件進行傳播。從僵尸網絡到網站系統已經形成一個可重復利用并能夠實現自我防御的智能惡意軟件傳播平臺。
就在3月初,數百個合法網站都被用作生產僵尸的改道樞紐,但簡單的URL過濾系統根本無法單獨檢測出針對合法網站的威脅。實際上,目前越來越多的黑客組織開始利用URL郵件進行木馬和僵尸攻擊。
根據《2008年互聯網安全趨勢》報告的統計,即使企業部署了URL過濾來對個人Web使用行為進行控制和報告,這些數據庫也不足以避免惡意軟件下載到企業網絡中。因為這類過濾器的安全分類保存機制不能實時對新感染的Web對象進行掃描。因此,僅靠反應式的安全清單來防御垃圾郵件的URL攻擊根本無濟于事。
IP技術追查根源
現有的、傳統的URL過濾解決方案效果不好,原因在于主要依靠人工分類技術。遭到感染的網站隱藏在許多良性網站類別(包括金融、娛樂和新聞網站)的背后,因此使得基于傳統分類的URL過濾效果不佳。
隨著惡意僵尸網站的增加,IronPort公司的威脅管控中心(Threat Operations Center)發現,包含無法得到簽名的新惡意軟件的URL數量顯著增加,而企業尚未獲得有效的解決方案。
IronPort中國區總經理吳若松表示:“這些僵尸網絡的智能化程度令人吃驚。單一的僵尸網絡能夠滋生出數以千計的含有惡意軟件的僵尸網站,它們在任何地方都很活躍,活躍時間從幾分鐘到幾小時不等。唯一有效的防御辦法就是Web名譽服務,這種服務能夠檢測潛在的欺詐手法并預先地將它們過濾出來。”
事實上,Web名譽服務的核心技術是一種基于IP進行的垃圾郵件防護手段,眾多安全企業紛紛建立了自己的數據庫體系和信譽評級系統,并借此完成垃圾郵件防護、病毒防護、信息丟失防護、郵件加密等諸多功能。
篇11
安全情況分析
河南工商行政管理部門的網絡結構比較復雜,省級作為核心網,其下屬部門又劃分為多個子網。在河南工商行政管理部門的網絡中,信息系統的應用也比較復雜,涉及眾多應用服務器、數據庫服務器、普通計算機和各種網絡設備。根據初步統計,河南工商行政管理部門內部網絡中大約有數萬臺終端。
河南工商行政管理部門內部核心網絡的管理涉及眾多服務器和客戶端的管理以及多部門、多系統之間的協調,如果不對這些設備、系統加以控制,那么病毒可能引發相當嚴重的安全問題。病毒一旦發作,給河南工商行政管理部門帶來的損失將是不可估量的。如果在信息被破壞后再進行殺毒等工作,那么已經造成的各種損失也將難以挽回。
因此,為了保障整個網絡的安全,河南工商行政管理部門的網絡應該采用省級集中管理、各部門及各市級分級管理的方式。在網絡計算機病毒的防范上,應以“主動防御+傳統殺毒”相結合的方式,配合網關防毒墻,形成立體防毒體系。河南工商行政管理部門應在病毒可能傳播的各個渠道中都設置監控,再結合定時病毒掃描和自動更新,這樣才能保證整個網絡系統的安全。
河南工商行政管理部門的網絡與下級單位的網絡相連,其上運行著包括Web、FTP、電子郵件、DNS等各種應用。在保障應用系統的安全性方面,河南工商行政管理部門主要考慮的是應用系統與系統層和網絡層的安全服務無縫連接。黑客往往會抓住一些應用服務的缺陷或弱點進行攻擊。比如,黑客通常會針對錯誤的Web目錄結構、CGI腳本缺陷、Web服務器應用程序缺陷、作為索引的Web頁、有缺陷的瀏覽器進行攻擊,有時甚至會利用Oracle、 SAP、 Peoplesoft 缺省賬戶進行攻擊。
解決方案
上述分析表明,工商信息網絡需要使用專門的安全產品,在網關處進行病毒防護,同時在入侵檢測、內容過濾、本地主機病毒監控等各方面進行全方位、立體化的保護。因此,河南工商行政管理部門使用了瑞星防毒墻,并與原有的瑞星網絡版殺毒軟件進行聯動,在工商行政管理部門的網絡中構筑了綜合立體安全防護體系。這種安全防護體系具有很高的性價比。
篇12
針對大型零售商的黃金條律
1. 評估商業風險:什么因素會給企業帶來最大的風險值?數據泄露?網站涂改?服務質量下降?服務宕機?這個基礎判斷會幫助您了解各種最壞的可能。
2. 評估你的“敵人”:競爭對手希望打壓同行的業務,出于經濟目的罪犯時時在尋找容易上鉤的對象。知名企業、或者影視和出版業那些涉及版權的產業很容易成為黑客主義團伙的目標,并隨時都有可能遭受匿名攻擊。
3. 部署DDoS防護方案:持續增長的DDoS攻擊已經成為當前不可忽視的網絡威脅力量。因為DDoS攻擊而導致的宕機不僅會讓企業蒙受經濟損失,還會嚴重影響企業聲譽。一些服務供應商提供Network DDoS防護,但是企業需要對戰應用DDoS。購買先進的安全工具和獲取安全專業知識是維持業務健康的關鍵步驟。
4. 感知用戶行為:部署網絡行為分析(Network Behavioral Analysis ,NBA)工具準確監測用戶正在發送和接收哪些類型的信息,以及向誰發送。設置訪問權限策略,以保護關鍵信息(如團隊表、隊員體能以及設備設計等)的安全。
5. 部署覆蓋全網安全系統的管理工具: 通過這樣一個管理工具來關聯所有安全事件日志。攻擊者已經變得詭計多端,他們會使用包含多重工具的混合攻擊來探測、攻擊和濫用您的系統資源。您必須監控網絡中所有的可疑活動。
6. 思考邊界安全:緩解當今的網絡和應用攻擊不能再依賴傳統的網絡安全防護產品。IPS解決方案和DoS攻擊緩解解決方案依靠統計原理,只是針對已知威脅起作用的單點安全解決方案,而對付新興的網絡威脅則需要采用將傳統安全工具與網絡行為分析工具相結合的整體安全解決方案。
針對中小零售商的黃金條律
1. 維護實時更新系統:包括現行所有的軟件補丁和更新。較小的商業機構需要在其系統中安裝通用軟件的最新版本。
2. 部署覆蓋全網安全系統的管理工具:如上所述,在一個集中平臺關聯所有安全工具的事件日志。包含攻擊者會使用多重工具的混合攻擊來探測、攻擊和濫用您的系統資源,您必須監控網絡中所有的可疑活動。
3. 分隔內部和外部的應用服務器:電子商務應用是安全防護的重中之重。千萬不要將郵件服務器與其部署在同一網段,因為郵件服務器會為黑客提供另一條訪問和控制內部數據的渠道。
4. 教育客戶:對于老客戶,企業向其確保所有的宣傳材料將從其所熟悉的郵件地址發送,而且企業須在其發送物中注明公司絕對不會以任何形式要求用戶提供個人信息。
5. 遵從法規性也不能確保長久的安全:法規性遵從也許能幫助商家免遭某次安全攻擊的侵害,但是我們主要目標是保護企業不被下一波攻擊擊潰。采用遵從工具來創建最佳實踐模式,幫助企業保持長期的安全性。
針對購物者的黃金條律
1. 多一些理智:如果單筆交易看上去過于優惠而讓人難以置信,那么它絕對有問題。
2. 多一些懷疑:收到一封促銷郵件后,別著急去點擊其中的鏈接。上網查看該商家的網站并且確認促銷商品和活動真實存在。如果沒有查詢到,那么這封郵件就有可能是個騙局。
篇13
1概述
互聯網技術給我們帶來很大的方便,同時也帶來了許多的網絡安全隱患,諸如陷門、網絡數據竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網絡安全隱患一直都威脅著我們。為了確保計算機網絡信息安全,特別是計算機數據安全,目前已經采用了諸如服務器、通道控制機制、防火墻技術、入侵檢測之類的技術來防護計算機網絡信息安全管理,即便如此,仍然存在著很多的問題,嚴重危害了社會安全。計算機網絡信息管理工作面臨著巨大的挑戰,如何在計算機網絡這個大環境之下,確保其安全運行,完善安全防護策略,已經成為了相關工作人員最亟待解決的問題之一。
2計算機網絡信息管理工作中的安全問題分析
計算機網絡的共享性、開放性的特性給互聯網用戶帶來了較為便捷的信息服務,但是也使得計算機網絡出現了一些安全問題。在開展計算機網絡信息管理工作時,應該將管理工作的重點放在網絡信息的和訪問方面,確保計算機網絡系統免受干擾和非法攻擊。
2.1安全指標分析
(1)保密性
通過加密技術,能夠使得計算機網絡系統自動篩選掉那些沒有經過授權的終端操作用戶的訪問請求,只能夠允許那些已經授權的用戶來利用和訪問計算機網絡信息數據。
(2)授權性
用戶授權的大小與其能夠在計算機網絡系統中能夠利用和訪問的范圍息息相關,我們一般都是采取策略標簽或者控制列表的形式來進行訪問,這樣做的目的就在于能夠有效確保計算機網絡系統授權的正確性和合理性。
(3)完整性
可以通過散列函數或者加密的方法來防治非法信息進入計算機網絡信息系統,以此來確保所儲存數據的完整性。
(4)可用性
在計算機網絡信息系統的設計環節,應該要確保信息資源具有可用性,在突然遇到攻擊的時候,能夠及時使得各類信息資源恢復到正常運行的狀態。
(5)認證性
為了確保權限所有者和權限提供者都是同一用戶,目前應用較為廣泛的計算機網絡信息系統認證方式一般有兩種,分別是數據源認證和實體性認證兩種,這兩種方式都能夠得到在當前技術條件支持。
2.2計算機網絡信息管理中的安全性問題
大量的實踐證明,計算機網絡信息管理中存在的安全性問題主要有兩種類型,第一種主要針對計算機網絡信息管理工作的可用性和完整性,屬于信息安全監測問題;第二種主要針對計算機網絡信息管理工作的抗抵賴性、認證性、授權性、保密性,屬于信息訪問控制問題。
(1)信息安全監測
有效地實施信息安全監測工作,可以在最大程度上有效消除網絡系統脆弱性與網絡信息資源開放性二者之間的矛盾,能夠使得網絡信息安全的管理人員及時發現安全隱患源,及時預警處理遭受攻擊的對象,然后再確保計算機網絡信息系統中的關鍵數據能夠得以恢復。
(2)信息訪問控制問題
整個計算機網絡信息管理的核心和基礎就是信息訪問控制問題。信息資源使用方和擁有方在網絡信息通信的過程都應該有一定的訪問控制要求。換而言之,整個網絡信息安全防護的對象應該放在資源信息的和個人信息的儲存。
3如何有效加強計算機網絡信息安全防護
(1)高度重視,完善制度
根據單位環境與特點制定、完善相關管理制度。如計算機應用管理規范、保密信息管理規定、定期安全檢查與上報等制度。成立領導小組和工作專班,完善《計算機安全管理制度》、《網絡安全應急預案》和《計算機安全保密管理規定》等制度,為規范管理夯實了基礎。同時,明確責任,強化監督。嚴格按照保密規定,明確涉密信息錄入及流程,定期進行安全保密檢查,及時消除保密隱患,對檢查中發現的問題,提出整改時限和具體要求,確保工作不出差錯。此外,加強培訓,廣泛宣傳。有針對性組織開展計算機操作系統和應用軟件、網絡知識、數據傳輸安全和病毒防護等基本技能培訓,利用每周學習日集中收看網絡信息安全知識講座,使信息安全意識深入人心。
(2)合理配置,注重防范
第一,加強病毒防護。單位中心機房服務器和各基層單位工作端均部署防毒、殺毒軟件,并及時在線升級。嚴格區分訪問內、外網客戶端,對機房設備實行雙人雙查,定期做好網絡維護及各項數據備份工作,對重要數據實時備份,異地儲存。同時,嚴格病毒掃描。針對網絡傳輸、郵件附件或移動介質的方式接收的文件,有可能攜帶病毒的情況,要求接收它們之前使用殺毒軟件進行病毒掃描。第二,加強強弱電保護。在所有服務器和網絡設備接入端安裝弱電防雷設備,在所有弱電機房安裝強電防雷保護器,保障雷雨季節主要設備的安全運行。第三,加強應急管理。建立應急管理機制,完善應急事件出現時的事件上報、初步處理、查實處理、責任追究等措施,并定期開展進行預演,確保事件發生時能夠從容應對。第四,加強“兩個隔離”管理。即內、外網物理徹底隔離和通過防火墻進行“邊界隔離”,通過隔離實現有效防護外來攻擊,防止內、外網串聯。第五,嚴格移動存儲介質應用管理。對單位所有的移動存儲介質進行登記,要求使用人員嚴格執行《移動存儲介質管理制度》,杜絕外來病毒的入侵和泄密事件的發生。同時,嚴格安全密碼管理。所有工作用機設置開機密碼,且密碼長度不得少于8位,定期更換密碼。第六,嚴格使用桌面安全防護系統。每臺內網計算機都安裝了桌面安全防護系統,實現了對計算機設備軟、硬件變動情況的適時監控。第七,嚴格數據備份管理。除了信息中心對全局數據定期備份外,要求個人對重要數據也定期備份,把備份數據保存在安全介質上。
(3)堅持以信息安全等級保護工作為核心
把等級保護的相關政策和技術標準與自身的安全需求深度融合,采取一系列有效措施,使等級保護制度在全局得到有效落實,有效的保障業務信息系統安全。
第一,領導高度重視,組織保障有力。單位領導應該高度重視信息化和信息安全工作,成立專門的信息中心,具體負責等級保護相關工作,統籌全局的信息安全工作。建立可靠的信息安全基礎設施,重點強化第二級信息系統的合規建設,加強了信息系統的運維管理,對重要信息系統建立了災難備份及應急預案,有效提高了系統的安全防護水平。
第二,完善措施,保障經費。一是認真組織開展信息系統定級備案工作。二是組織開展信息系統等級測評和安全建設整改。三是開展了信息安全檢查活動。對信息安全、等級保護落實情況進行了檢查。
第三,建立完善各項安全保護技術措施和管理制度,有效保障重要信息系統安全。一是對網絡和系統進行安全區域劃分。按照《信息系統安全等級保護基本要求》,提出了“縱向分層、水平分區、區內細分”的網絡安全區域劃分原則,對網絡進行了認真梳理、合理規劃、有效調整。二是持續推進病毒治理和桌面安全管理。三是加強制度建設和信息安全管理。本著“預防為主,建章立制,加強管理,重在治本”的原則,堅持管理與技術并重的原則,對信息安全工作的有效開展起到了很好的指導和規范作用。
(4)采用專業性解決方案保護網絡信息安全
大型的單位,如政府、高校、大型企業由于網絡信息資源龐大,可以采用專業性解決方案來保護網絡信息安全,諸如銳捷網絡門戶網站保護解決方案。銳捷網絡門戶網站保護解決方案能提供從網絡層、應用層到Web層的全面防護;其中防火墻、IDS分別提供網絡層和應用層防護,ACE對Web服務提供帶寬保障;而方案的主體產品銳捷WebGuard(WG)進行Web攻擊防御,方案能給客戶帶來的價值:
防網頁篡改、掛馬
許多大型的單位作為公共信息提供者,網頁被篡改、掛馬將造成不良社會影響,降低單位聲譽。目前客戶常用的防火墻、IDS/ IPS、網頁防篡改,無法解決通過80端口、無特征庫、針對動態頁面的Web攻擊。WebGuard DDSE深度解碼檢測引擎有效防御SQL注入、跨站腳本等。
高性能,一站式保護各院系網站
對于大型單位客戶,往往擁有眾多部門,而并非所有大型單位都將各部門網站統一管理。各部門網站技術運維能力相對較弱,經常成為攻擊重點。WebGuard利用高性能多核架構,提供并行處理。支持在網絡出口部署,一站式保護各部門網站。
“零配置”運行,簡化部署
WebGuard針對用戶,集成默認配置模板,支持“零配置”運行。一旦上線,即可防護絕大多數攻擊。后續用戶可以根據網絡情況,進行優化策略。避免同類產品常見繁瑣配置,毋須客戶具備專業的安全技能,即可擁有良好的體驗。
滿足合規性檢查要求
繼08年北京奧運、09年國慶60周年后,10年上海世博會、廣州亞運會先后舉行。在重大活動前后,各級主管單位和公安部門,紛紛發文,要求針對網站安全采取措施。WebGuard恰好能很好的滿足合規性檢查的需求,幫助用戶順利通過檢查。
4結束語
新時期的計算機網絡信息管理工作正向著系統化、集成化、多元化的方向發展,但是網絡信息安全問題日益突出,值得我們大力關注,有效加強計算機網絡信息安全防護是極為重要的,具有較大的經濟價值和社會效益。
參考文獻:
[1]段盛.企業計算機網絡信息管理系統可靠性探討[J].湖南農業大學學報:自然科學版,2000(26):134-136.
[2]李曉琴.張卓容.醫院計算機網絡信息管理的設計與應用[J].醫療裝備,2003.(16):109-113.
[3]李曉紅.婦幼保健信息計算機網絡管理系統的建立與應用[J].中國婦幼保健,2010(25):156-158.
[4]羅宏儉.計算機網絡信息技術在公路建設項目管理中的應用[J].交通科技,2009.(1):120-125.
