设为首页 | 加入收藏夹

八文网 - 汇聚八方文档 - 做最优秀的免费文档下载网站

网络安全

文档类型：

Adobe Acrobat PDF 文档文档大小：432.49KB

2005环12期去不记,声J,网络安全杨玉杰雷京(北京市地方税务局信息系统安全保障中心北京100044)
摘要本文在分析了我局信息系统应用状况及存在问题的基础上,结合我局网络安全监控管理系统建设的实际情况,提出了制定我局网络安全管理策略应该遵循的指导方针,指出了保障信息系统安全必须结合实际、加强安全监控,依靠科技加管理的手段.关键词信息系统网络安全中图分类号TP393.08Enhanc吨the Security Supervision to Guarantee the Network Security of in Beijing Local Taxation BureauYang Yujie Lei Jing(Center of Information Security,Ber ingLocal Taxation On the basis of analyzing application conditions and existing problems of our information system, this article integrates prac-tical construction situation of our monitoring and controlling management system of network security to suggest that the guidelines for thenetwork security management policy should be followed and combining with actuality, strengthening security monitoring and controlling aswell as relying on technology plus management should be performed to guarantee the security of information system.
众州.心Information system Network Security当今社会,经济全球化和信息网络化作为世界经济和社党政机关计算机网络与网络安全管理办法》中的有关要求,信会发展的大趋势,有力地推动着人类社会的发展进步,信息已息系统安全工作己成为各级政府必须面对的一个重要问题.
成为重要的战略资源.但同时网络安全问题也日益突显,信息随着我局四网一库加安全的综合服务管理信息系统的系统,网络面临越来越多的安全问题.随着我国电子政务的蓬逐步建成,数据大集中、应用大集中和管理大集中的系统模式勃发展,网络安全越来越被社会各界所重视,特别是近期国务使我局信息化水平有了质的飞跃、但同时风险也随之加大.如院信息化办公室发布了《国家信息化领导小组关于加强网络何保障业务数据的完整,防止系统受到,及时规避各种潜安全保障工作的意见》(27号文件)和北京市政府关于(北京市在的网络安全隐患已经成为急需解决的问题.
12 办公自动化杂志
一、我局信息系统现状我局的信息系统不但涉及业务多,范围广,科技含量高,而且十分庞大和复杂,加强我局信息系统的安全管理工作显得非常重要.随着信息系统的全面运行、要求我们在实际工作中考虑如何保证网络安全,业务数据安全及身份安全,我们要有一个安全可靠的网络,就要有创新的强有力的安全管理工具和管理手段.随着网络规模的日益壮大,网上业务功能的拓展,建立一套具有我局特色的现代化网络安全管理体系刻不容缓.
1,我局的网络特点(1)众多网络设备及终端设备我局网络中包含众多种类的设备,如路由器,交换机、防火墙,负载均衡设备,服务器,终端等、每一种设备又由多品牌组成,如交换机包括华为等、这样给网络设备的统一管理增添了难度和强度.
(2)四网一库的网络架构我局的以日常征管业务为核心的地税网络系统,整合了各种内部业务系统,包括核心征管系统,发票系统,个人所得税征收系统及车船税征收系统等.已经建立了以电子税务为中心的对外统一门户网上地税局、包括与政府及税务,国库,银行联网协同工作的数据交换网络平台,以及实现各子系统的数据共享的统一的核心数据库和数据仓库.
(3)大部分终端可直接登陆互联网我局网络中约600台终端都可以登陆到互联网,浏览互联网中成千上万个网站,在这些网站中、有些可能是有害的,例如非法网站,黑客网站,而某一台终端一旦登陆到黑客网站,就有可能被侵袭、丢失宝贵的数据,造成巨大的损失,或者感染病毒,造成网络瘫痪.因此,如果没有完善的终端上网安全管理手段,将对我局的网络造成十分危险的不安全隐患.
(4)多项业务系统并行我局网络上运行着各种业务系统,包括核心征管系统,发票管理系统,车船税系统,财务管理系统,人事管理系统等等、一旦网络堵塞,所有系统将陷于瘫痪.因此,建立强有力的网络安全监控系统是必然的选择.
2,我局网络安全工作目前存在的问题目前、我局的网络在应用中遇到各种各样的问题,较轻的影响一台计算机的使用,严重的将导致整个网络的瘫痪.具体
问题包括:
(1)缺乏对终端应用的管理我局网络中连接着约6000台终端,目前缺乏对终端的全面,有效的监控管理,包括终端运行软件的管理,上网规范管理(登陆网站),对终端病毒和补丁的安全管理,对终端硬件和网络流量的监测等.
(2)网络管理的复杂性由于网络设备的多样性和复杂性,网络故障种类繁多,变化多样,管理难度大,缺乏具有智能化,高效率的管理系统软件来完成,使技术人员的网络安全维护工作十分繁重.
(3)管理工具的不足我局现有的网络安全管理工具(如IBM管理软件)功能简单且缺乏本地化,不易使用,无法满足我局日益复杂的网络扩展以及业务增加带来的网络安全维护和管理的要求,不具备友好的互动性.
(4)对应用系统的管理有待完善我局有很多的业务系统,但是仍缺乏对应用系统的有效监控管理,以及对承载应用系统服务器的各项性能的高度监视,系统一旦出现事故才发现,不能做到有效的预防,提前告警,防患于未然.
(5)管理制度缺乏有力的技术手段支撑我局为了加强网络安全的需要、制定了一系列的管理制度,但是,没有强有力的技术支持作后盾,难以得到有效的贯彻执行.
(6)需加强统一的协调网络安全管理工作涉及到市局多个部门的协调、涉及到市局、区县局、税务所多层次的协调工作,如果没有建立统一协调、分级管理的运行机制,市局、区县局、税务所的网络安全管理工作将很难按照统一规划,有效控制,宏观协调的原则进行.
二、建立我局网络安全监控管理系统在20世纪90年代中后期,随着互联网的发展以及社会信息化程度越来越高,各种安全设备在网络中的应用也越来越多,市场上开始出现了独立的安全管理产品.例如HP公司的Open View产品侧重技术上对网络安全的管理;而IBM的Tivoli套件中的Risk Manage:软件是目前比较优秀的风险管理软件.我局通过与开发公司紧密合作,明确实际需求,制定完善的开发,测试计划,并提出了系列的管理策略方案,经过一段时间的不懈努力、建立了我局网络安全监控管理系统,系统功
能包括:
1,网络拓扑及结构管理体系,充分展示网络多种关联结构,并建立对应的监管体系.表现市局、区县局、税务所广域网线路监控管理,分析;表现市,区县机关内各局域网线路动态变化监测,预警管理;表现网络设备链路与终端设备实际物理连接以及基于物理拓扑网络设备及线路,服务器,应用,终端使用,安全的监控和管理;表现基于路由和虚拟网对网络设备和终端设备进行子网划分的网络逻辑结构管理体系;基于地税组织结构的管理体系,按照组织部门权限,职能,等级不同、设定不同管理策略,针对不同的管理范围,实现明确的管理目标.
2,网络安全监控管理系统实现的管理功能,包括对网络设备,端口和链路监测,分析,调整;及时发现网络故障和违规办公自动化杂志13操作,准确定位、采用声,光、结构,邮件,手机短信多种形式告誓,详细记录故障现象;对网络设备和线路的流量监督,预警及分析;详细记录系统,管理员的各种操作行为、对网络各种异常故障进行记录,对日志进行统计分析和查询.建立针对MAC地址、IP地址、交换机端口的一整套管理机制,规范IP使用.统一收集路由器,交换机、防火墙等设备的网络日志及查询.网络资产管理建立了对网络设备,终端设备的软件,硬件的信息库等内容的统计分析并生成各种报表.
3,服务器及应用管理,对Windows月及务器建立硬件,软件的资料库,并对硬件,软件进行监测和预警,对运行的性能进行统计和分析.对AIX小型机的性能进行监测,对主要数据库和部分系统的运行进行监控.
4,终端管理:对终端运行、软件使用,登陆网站,系统维护,病毒及补丁等安全,使用性能,入网流程及上互联网等进行监测管理.
5,通过报表系统,提供丰富的报表功能,按照设定管理策略对各种监控数据进行整理,统计,供领导和管理人员宏观掌握情况.
三、管理与技术并重、制定有效的安全管理策略
1,制定网络安全管理策略遵循的指导方针建立一个高效的网络安全监控系统不仅需要先进的技术做支持、也需要制定行之有效的管理策略和切实可行的规章制度.制定网络安全管理策略遵循的指导方针是:统一规划,分级监控,理顺流程,量化控制,规范使用,全面管理.
(1)统一规划综合考虑市局、各区县局的安全管理特点、统一协调、整体规划,制定统一的安全管理策略,使我局的信息安全管理既高度协调、高度统一、同时满足各区县局的安全管理需要;
(2)分级监控结合我局目前的网络规模,管理体系和管理特点、建立市,区两级的高效监控管理模式.采取分级管理体系可以充分发挥市局、区县局两级的技术人员综合优势,实现对信息安全的快速诊断、高效管理;
(3)理顺流程通过安全监控系统运行使用,逐步明确市局各部门及各区县局在网络安全维护中各自的工作职责,理顺安全监控系统发现问题后的工作流程,实现多部门对网络安全的共同协调管理;
(4)量化控制通过安全监控系统的运行、对网络流量,各种应用系统参数等方面内容进行量化的分析管理,并对网络整体的安全进行科学的统计分析;
(5)规范使用通过安全监控系统的运行及安全策略的制定,达到全体税务干部对计算机使用规范化,可控化的管理;
(6)全面管理通过对我局网络设备,服务器各项参数指标,终端安全管理的整体把握和宏观管理,对安全管理数据各种报表进行整体统计,分析和对比、达到对我局信息安全管理的宏观掌控,综合衡量,为我局信息安全规划提供依据.
2,安全管理策略内容根据以上方针和原则制定我局一系列的安全管理策略:
(1)对终端管理:包括终端系统的运行监测,软件使用,登录网站的使用管理,终端的远程指导和维护,软件和信息分发等维护工作,终端使用性能的综合评估,软,硬件资产统计,入网登记,终端节点核查,上网手段监管,病毒,补丁包监管等内容;
(2)对服务器管理:包括对应用服务器(操作系统为Win-dows)的硬件,软件以及详细性能参数进行监测管理,并建立对安全监控系统服务器内核的保护,加强自身的安全管理;
(3)对网络环境管理:包括自动发现网络设备,自动生成各种拓扑结构,路由器及广域网线路监测,交换机及局域网线路监测,网络设备配置,网络资产统计,网络故障诊断、网络性能监测,网络日志分析和IP地址管理等内容;
(4)对人员及权限管理:包括对安全监控系统使用管理,用户操作权限管理,系统保密审查,日志管理和对违章操作进行审查.
3,实施安全管理策略产生的作用通过建立网络安全监控分析体系,可以对网络系统的运行状况进行实时的监控,对终端的病毒,系统补丁、上网手段的安全建立了严密的监管体系,保证终端的抵抗病毒和黑客的防御能力、极大的提高我局全网的安全信息的保障水平.通过网络安全监控系统对服务器的性能的变化周期规律进行科学的分析,在可能出现问题的时间段进行高度关注,从而保证服务器正常运行.通过对市局、区县局、税务所的网络设备及线路的全面监测管理,能够预测可能发生的设备和线路故障,全面评估线路运行质量,以便有的放矢的进行改进、并及时发现网络故障,快速准确定位、极大的提高故障诊断速度.建立对人员的管理及权限的规范策略,可以有效分解系统管理员的权限,通过科学有效的监督机制,规范管理人员的操作过程.
四、做好网络安全管理工作的几点建议
1,注重技术与管理井重做好信息系统安全管理工作,不能仅仅依靠先进的管理工具,还需要制定行之有效的管理策略和切实可行的规章制度指导工作,通过的安全策略的配置,使安全监控系统的每一项功能得到合理的应用.同时,配合安全管理制度,将安全管理工作真正落到实处.只有技术与管理并重、才能建立积极防御的信息安全保障体系.
2,转变管理理念安全监控系统的应用,将提高区县局投入管理的积极性,将管理渗透到最基层,让一线工作人员认识到,每一位计算机管理员既是管理的对象也是管理的实施者、立体矩阵式管理
14 办公自动化杂志能对更深入的细节情况迅速进行回馈,形成管理合力、最大限度地减少管理实施的阻力.
3,改变管理手段利用先进的信息技术,不仅实现针对业务工作地开发,维护等服务保障,还要实现管理职能转变和管理手段地落实,深化.安全监控系统直接服务于基层系统,我们要努力实现管理方式,手段的跨越式根本转变.从简单的条文,规定制度约束到利用先进、科学的技术手段综合监控考核.利用高效的技术手段保证规章制度的落实,管理过程简化,结果准确透明.在实际的管理工作中利用科学的数据说话、管理到岗,责任到人.
4,注重管理角色的改变随着我局信息化工作的突飞猛进、基层信息化管理人员的角色已经从单纯提供技术向监控,安全管理上转变,具有双重的职能和角色,成为制定制度的参与者、管理工作的实施者.对局内部直接提供技术支持和服务,对所属局外税务所、更注重通过所级系统管理员对各所信息工作实施统筹管理.通过全面实现管理指标的综合量化和精细化,明确化的目标,使传统的层级组织朝着网络组织方向发展,打破了地域,层级,部门的限制,促使组织和职能的整合;使工作程序更加简明,畅通.节约人力、物力和财力资源,提高工作效率,降低管理成本.网络安全监控管理系统的逐步深入应用,必将使我局的安全管理工作迈上新的台阶,我局的信息系统安全管理水平定会产生一个质的飞跃、并最终建成安全的北京地税综合服务管理信息系统.屏(上接11页)一方面的重要性,而忽视其他方面的作用,任何环节的缺陷,都可能招致严重祸患.
4,易于操作,维护和评估的原则.网络安全防护系统需要大量的值勤,维护,审计,认证、检测等具体的人力投入,如果操作过于复杂,对人的要求过高,安全目标就难以实现.网络安全防护系统的结构优化,设备升级,系统完善等技术措施旨在进一步增强系统的安全性,不应影响办公系统和网络的正常运行、其维护难度越低越好.如何评价网络安全防护系统的设计实施并验证其安全可靠性,这需要遵从国家相关标准和规范、通过国家有关安全测评认证机构的评估来实现.并根据控制台的指令执行相应行为.配置入侵检测系统,可实时监控外来入侵和内部用户的非授权操作.
3,漏洞扫描技术.漏洞扫描技术是一种弥补入侵检测系统不足的技术手段,用以自动检测系统的脆弱点、发现安全漏洞,及时进行修补,并可提供相应的安全建议,是一种非常积极的安全防护技术.如配备操作系统安全扫描系统,有利于发现操作系统可能存在的安全漏洞,从而提高了更新配置或升级的针对性.
4,身份认证技术.认证技术有多种、如PKI公钥基础设施数字证书,主要用于确认数据信息的身份信任,完整性,不可
二、构建网络安全防护系统的技术支撑
否认性和私秘性.其技术要素包括:认证机关(CA认证中心)、近年来,安全防护技术有了长足发展,在办公自动化领域得到了广泛应用,起到了显著作用,主要技术包括:
1,防火墙技术.防火墙是实现网络安全最基本,最经济, 最有效的安全措施之一、其特征是通过在网络边界建立相应的网络通信监控系统,通过监测,限制,更改跨越防火墙的数据流、并通过制定严格的安全策略,实现内外网络或内部网络不同信任域之间的隔离与访问控制,进而实现对应用系统的安全保护.设置防火墙,可实现外网与办公自动化内网的隔离.
2,入侵检测系统.入侵检测系统是根据己有的,最新的手段的信息代码对进出网段的所有操作行为进行实时监控,记录,并按制定的策略实行响应(阻断、报警,发送E-mail),从而防止针对网络的行为.入侵检测系统一般包括
控制台和探测器(网络引擎):控制台用于管理所有探测器(网络引擎);探测器(网络引擎)用于监控进出网络的访问行为、证书仓库,密钥管理,备份更新及恢复系统,证书作废处理系统,客户端的证书处理系统等.此外,还有静励态口令识别技术等.合理运用认证技术,可杜绝非授权访问,防止非法用户和终端的非法操作,保证接入的用户和终端身份合法且其网络安全行为严格受控.门户网站可提供用户权限和信息权限两种管理机制,以保证系统和数据的安全.
5,病毒防御技术.反病毒系统可以预防,检测和消除计算机病毒,防止病毒的传播扩散.预防一通过自身常驻系统内存,优先获得系统的控制权、监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏;检测一通过对计算机病毒特征的判断(如自身校验、关键字,文件长度的变化等)、确定病毒的类型;消除一通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件.
此外,安全防护技术还包括:物理隔离技术,容灾备份和应急恢复技术,数据加密和密码技术等.屏办公自动化杂志15

pdf文档的标签：网络安全

更多推荐标签：投资案例网络通信德育教学总结餐饮策划格式塔定律留守儿童作文入党工作总结环卫预算表格南宁招标文件学委讲演稿田英章师德修养十讲军事教程活动赞助合同谈保险代理人反馈调查问卷网络安全机制高价收车个人年度规划南方都市报广告学答案三维动画意义安全架构导数的发展史需求调查办法建设仓库交通事故警示公司邀请打架思想检讨公共关系活动