时间:2023-07-21 17:13:44
导语:在网络行为审计的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
为深入开展打击治理电信网络新型违法犯罪专项行动,按照县政府办统一安排,我镇高度重视,精心部署,积极行动,现将专项行动进展情况汇报如下。
⦁精心周密部署,强化组织领导
镇党委、政府高度重视打击治理电信网络新型违法犯罪专项行动,为确保全镇专项行动收到实效,我们成立了专门的领导小组,制定并下发了具体可行的实施方案。为使专项行动全面落实,我们进行了精心组织,对全镇12个村(居)进行了全面布置,并做出了具体要求,要求各相关部门通力合作,统筹安排,确保这项工作落实到位。要求全体干部职工增强责任心和紧迫感,将此项工作作为政法工作的重点,各村居要结合各村实际,有针对性的开展防范电信诈骗宣传教育工作,抓好线索摸排工作,做好前期统一部署安排。
1、检查手机是否已识别SIM卡。若未识别,请关机将SIM卡取出重新插入尝试。
2、若无效,尝试重新搜索网络运营商:设置-(更多设置/更多网络/无线网络)-移动网络-网络运营商-搜索网络,选择可用网络。
3、此外,此情况可能与您所在位置的网络信号覆盖范围有关,建议更换其他信号较好的位置再次尝试。
4、更换其他SIM卡尝试,排除是否为SIM卡问题。
【关键词】校园网 安全管理 网络安全审计
在计算机与网络迅速发展的当代,互联网已经为人类做出了不可小觑的贡献,尤其是在教学方面,教师已经习惯运用信息化手段来教学,但是就在互联网盛行的时代,出现了很多负面的非法信息,这使学生的人生观以及价值观都受到了影响,更有甚者非法站点介入了校园内部的网站,窃取了某些信息,将其泄漏出去,使学生的学习以及教师的工作受到了严重的影响。由此看来,规范校园网络使用行为,保证校园网络能够健康、稳定地运行是目前我国大多数学校应该重视的问题。
1 校园网网络管理现状
从我国大部分校园网络使用情况来看,校园网络中出现了以下几种状况:
(1)首先校园内部网络使用者没有经过严格的用前培训,因此有很多校园内部使用者都会对校园网络产生供给威胁;
(2)校园外部互联网接入内部,校园内部网络出现了很多的病毒,同时也受到了攻击性的威胁;
(3)很多来自外部的移动终端以及计算机带来了很大的隐患;
(4)网络上不良信息以及垃圾邮件对校园网络产生的威胁。
2 校园网网络安全审计的功能及内容
2.1 网络安全审计
其指的是依照制定的策略,使用审计工具,来对用户以及系统活动进行记录,并分析数据等,以此来审查网络的安全,避免出现一些人为错误,这样就能够掌握系统是否有漏洞,对资源进行科学、合理地调配,保证系统能够健康、稳定地运行。
2.2 网络安全审计的要点
在管理校园网的过程中,对网络的审计内容主要包括以下这么几点:
2.2.1 实时审计
也就是说对正在发生的网络行为进行监督,争取能够在第一时间内将非法操作以及不良网站进行封堵,或者报警,监督的内容不仅包括上网时间、下载文件的类型,还有上网流量等。
2.2.2 日志审计
将网络运行的日志记录下来,全面管理操作系统的运行日志和数据访问日志,并对其进行分析和处理。
2.2.3 内容审计
此审计也可以在实时审计以及日志审计当中使用,审计聊天、发帖以及电子邮件中的信息。实时审计主要是对信息的出入口进行严密的监测,分析和对比信息中的关键字,对非法文字或者敏感字段进行报警,在这些工作进行的过程中,将整个过程记录在日志当中,以此作为审查的原始材料。
2.2.4 实时跟踪
这是对那些进发生并且有追溯、挽回可能的活动信息进行实时跟踪,将之后的活动信息记录下来,以便追溯非法行为或者犯罪行为。
3 网络安全审计在校园网安全管理中的作用
网络安全管理中最为重要的一部分就是网络安全审计,这可以帮助校园维护网络安全稳定运行,师生上网行为得以规范等工作更加顺利地进行。
(1)网络安全审计在过滤URL地址等关键字之后,既能阻止不良网站中的不良信息接入校园网络,与此同时能够使网络得以很大程度的保护,保护其不受外来网络中病毒的侵害,使系统中最基本的安全能够达到相应的标准。除此之外,因为日志审计能够保存系统运行过程当中的相关信息和日志,因此就能够在事后进行查询,将内部攻击的可能性降到最低,并且能够使潜在的隐患得以震慑。
(2)实时审计能够有效规范校内师生上网过程中的审计内容,监督并阻止教职工利用职务之便或者上班时间滥用网络资源,阻止学生不规范上网的行为,将校园网的有效资源的价值发挥到最大限度。
(3)内容审计能够将关键词与敏感词有效地阻止在外,避免了垃圾邮件,以及不良信息在校园网络中扩散,这样一来就能够对校园网络中的犯罪行为实施有效监控,使学校的名誉不被破坏。
(4)系统分析哪些有价值的日志信息,能够使系统管理员及时发现并修复系统中隐藏的漏洞,除此之外,系统运行统计日志能够将系统性能中存在的问题反应出来,使系统管理员有了观察、处理网络系统的工具。如此一来,对网络性能实施及时调整,为关键应用提供充足的资源,还能使系统管理员具有针对性地进行系统维护,这对提高工作效率有很大的帮助。
(5)有效追查已经发生,但还有可能挽回的行为,不仅能够追溯违法犯罪的行为,还能够追溯系统性能的好与坏,这对追查已发生行为具有非常重要的意义。
4 结语
近年来,互联网的飞度发展,使校园有了更加丰富的教学资源,给教师带来了便利的办公方式和多种多样的教学手段,让学生们的课余生活更加精彩,但是却也给校园网络带来了很大隐患。因为校园网用户多、规模大、使用者的活跃度较高等特点,所以非常难管理,但是因为其涉及到教师与学生的日常工作与学习中,所以对其进行严格管理也是极其重要的一项工作。使用校园网络安全系统,能够使网络监控效率得以提高,所以说在学校具体的使用中,应该根据校园网的实际情况,对其设计科学的审计计策,让审计内容变得多样化,争取使校园网的有效资源的价值发挥到最大限度。
参考文献
[1]杨克领.IDS技术及其在校园安全管理中的应用[J].商丘师范学院学报,2014(09).
网络审计是现代化通讯技术的发展下审计的新型方式,网络审计是对现代化技术的运用,将人和机器进行良好的结合并在二者相互作用的情况下使用专门的方式方法对远距离的审计进行操控,进而达到审计便捷的目的。网络审计给审计工作带来了极大的便利,不仅增加了工作的效率而且减少了审计工作所需要的时间,促进了审计行业的发展。现在的生活节奏较快,世界已经步入了信息化的时代,特别是在互联网技术的支持下,网络经济的发展已经渐渐的变成了经济发展的主流,网络审计紧跟了时代的脚步,是时展的必然产物。纵使网络审计给审计工作带了很多的益处,但是网络审计并不是十分完美的,仍然存在很多的问题,对审计工作有潜在的危险。
二、现阶段网络审计存在的风险点
(一)网络审计相关技术不完善互联网技术虽然发展的非常迅速并且被应用的比较广泛,但是在网络的安全方面仍然有很多的问题,互联网系统也存在着许多的漏洞,网络审计是在互联网技术的支撑下才能进行正常的使用,所以在安全方面也令人担忧,一些网络的“黑客”能够利用互联网存在的漏洞通过技术手段进行违法犯罪行为,审计工作关系到资金的控制和监督,比较容易成为不法人员获取利益而进行违法犯罪行为的实施对象。除了互联网技术能够给网络审计带来风险外,网络审计的相关技术也并不完善,网络审计人员也可能出现非恶意的操作性失误,也可能给网络审计带来一些问题。
(二)网络审计人员的职业操守审计工作的职责和一般的工作职责有很大的不同,审计工作与金钱挂钩就致使了审计工作对于工作人员的要求相对较高,在对审计人员的要求上既要有严谨认真的工作态度也要有较高的职责操守,能够抵制住诱惑、坚守住自身的原则。一旦从事网络审计工作的人员出现职责操守的问题不单单会导致审计工作出现严重的问题,很可能会导致公司的资金出现损失,严重的话甚至会致使企业无法正常运营最后走向破产的地步。再者,网络审计工作拥有较强的开放性,对于审计工作人员来说是一种无形的诱惑,相较于传统的审计工作模式更容易非法的篡改相关的数据资料、对相关的资料进行删毁、也能对资料进行泄密等种种行为较难被发现,对网络审计来说存在着一定的风险。
(三)审计内容较多且取证困难审计工作本身就包含较多的内容,审计对象不仅有关企业的收支情况还包括经济往来的信息以及相关的财务报表等许多方面。在现在通讯技术快去发展的环境下,审计工作可以根据不同的情况进行不同人员的相互配合,共同完成审计工作,为审计工作带来便捷的同时也为审计工作带来了相应的风险。由于审计工作涉及到的人员和环节较多,一旦审计工作出现纰漏,不容易找出纰漏出现在哪一个环节,也就不容易追究相关的工作责任,取证较为困难。网络的发展让企业和企业之间在网上能够快速的转变关系,可以通过网络进行协议的签订,既能快速的变成合作联盟的关系,同时也能使这种联盟迅速的解散,使得网络审计对象具有了一定的不确定性,增加了审计的风险。在当今的时代背景下,无形资产已经变得越来越多,甚至一些无形资产比有形资产更加具有价值,给审计工作带来了很大的压力。
三、网络审计风险的防范措施
(一)提高网络审计相关技术水平科技在不断的发展,随之而来的也会带来互联网技术的不断发展,针对当前的互联网漏洞利用先进的技术手段进行修补,提高互联网技术的安全性,防止不法人员利用互联网的技术漏洞从事违法犯罪活动,能够在很大程度上提高审计等具有特殊工作性质的工作的安全性。国家应该针对网络审计工作建立专门的平台,加强对审计工作的网络建设,减少网络审计工作的风险。在建设网络审计工作平台时应该采用试点的方法来进行测试,选择适合的正确的经济水平相对于较为发达的试点,根据试点的情况进行相应调整,提高网络审计相关的技术水平并完善网络审计相关的技术才能有效的降低网络审计做存在的风险。
(二)增强网络审计人员职业操守网络审计人员对于企业而言具有重要的地位,审计人员是最直接接触到网络审计工作的人员,对网络审计工作有一定的操控性,增强网络审计人员的职责操守就是在一定程度上降低了网络审计工作中人为因素所带来的影响,能够消除网络审计工作中人为因素所带来的风险。企业应该定期的对员工进行培训教育,不仅仅要提高审计工作人员的能力更应该重视对审计工作人员的道德思想教育,让员工充分的理解岗位的职责、明确审计工作的重要性和其本身所具有的重要意义,加强对员工职责操守的培训力度,真正的达到增强审计工作人员的职责操守,减少网络审计工作的风险。
(三)开发相关软件规范审计制度网络审计工作内容繁多而且冗杂,在处理相关的工作时非常容易出现一些失误,根据现在先进的科学技术水平针对这一现象开发相关的软件,减少人为的工作量,不仅能够保证工作的质量不受影响而且还能够避免出现错误,将网络审计工作中的风险降低了。网络审计的发展非常迅速,但是有关网络审计的规章制度却并没有跟上网络审计发展的速度,仍处于落后的地步,导致了一些居心不良人员利用法律漏洞进行非法的行为,无形之中增加了网络审计的风险。
四、结语
关键词:计算机;网络安全;安全审计系统;设计;应用
0 引言
自人类发明第一台计算机以来,计算机技术以飞快的速度发展,并在短时间内在各行各业中得到普及。计算机技术的普及,在很大程度上推动了人类文明前进的步伐。计算机网络已经成为我们生活不可或缺的工具之一,正因为计算机网络的存在,使得我们生活更加方便快捷。但是计算机网络是一把双刃剑,它在给我们生活带来巨大便利的同时,也给我们的信息安全构成了巨大威胁。正因为这些威胁的存在,使得人们对网络安全审计系统的正常功能产生了质疑。针对这种情况,本文在阐述网络安全审计系统特点及功能的基础上,对网络安全审计系统的设计进行了研究。希望本文的提出,能为提高网络安全管理提供强有力的参考依据。
1 安全审计系统的功能应用研究
1.1 系统的实际应用情况
一般来讲,只要安全审计系统投入使用,该系统便能非常准确的、全面的将用户在网上的各项操作以及数据库服务器的运行状况记录下来。如果出现以下类型事件如企业员工利用电子邮箱或网络共享的方式进行文件传递时,遇到文件信息泄露情况;企业员工借助论坛平台,发表一些对社会可能造成不良影响的言论时;网络维护人员在对计算机网络进行维护的过程中,使用违规炒作对系统数据库进行操作,致使业务系统的安全性得不到有效维护。只要出现上述类型的事件,安全审计系统都能实行快速定位功能,找出事件的主要负责人,从而为网络违规事件的处理善后工作提供便利条件。除此之外,网络安全审计系统还能实时掌控网络的运行状况,防止那些重要的机密性信息的泄漏,通过对内部网络数据信息进行实时的监控,以智能化的手段对信息进行分析、预估及检测,准确定位那些可能影响系统安全运行的因素,为营造一个更加健康、更加和谐、更加稳定的网络信息环境提供保障。
1.2 安全审计系统的运行方式及部署
不可否认,安全审计系统主要致力于审计网络安全行为,因此,旁路无疑是一种非常可行的部署策略。通常来讲,安全审计系统都必须具备一定数量的以太网接口,而且网络传输速度应保证大于200Mbps,其中一个以太网接口用作设备控管,其它的以太网接口用作数据收集、分析、处理、回收接口。就目前来讲,应用最普遍的以太网接口主要有两个,它们分别用于接入局域网服务器的交换机及关键部位的交换机中。通过局域网服务器的操作行为以及审计数据库的运行状况,对互联网用户的上网信息进行实时审计。通常来讲,安全审计系统的指挥中心都设置在同一台服务器上,它的主要功能是对安全审计系统的日志进行接收及存放。
2 网络安全审计系统的设计
本文在CC标准体系的指导下,设计了一套较为完整的网络安全审计系统,该系统具有多层次的结构特点,现将系统结构及设计方案分析如下。
2.1 系统结构
在某种程度上可以将网络安全审计系统看作是一种多层次上的审计,它既能满足低层次网络通信的审计要求,又能满足高层次网络应用服务的审计要求。因此,网络安全审计系统的目标是实现多层次的审计,其结构图如图1所示。
不同层次的审计结构完成不同层次的审计要求,对于那些数量较多且比较分散的大规模网络,整个网络系统都应覆盖安全审计系统,即实现安全审计系统的全方位审计,只有这样,才能保证网络的整体安全性。从这方面来讲,网络安全审计系统是一种全面审计的系统。
通过在网络上建立一支有效的“巡警队伍”,该“巡警队伍”能够对整个网络系统进行审计。网络安全审计系统主要由网络审计设备、网络审计软件以及网络审计中心三部分构成。网络审计设备的主要作用是将网络上传送的信息进行还原,并分析其入侵性,即所谓的低层次审计环节,网络审计设备能以旁路的方式接入系统中;网络审计软件则以嵌入的方式计入主机操作系统中,它的主要功能是收集异常事件,完成中层审计环节,此外网络审计软件还配备高层应用接口,因此具备一定的高层审计功能;网络审计设备及软件通常安置在所需监视网络的关键节点上,起到数据信息接收及发送的作用。网络审计中心则能够分析处理数据,起到控制管理网络审计设备、软件的作用。
2.2 功能的设计
网络安全设计系统主要由探测器及审计主机构成,首先,它既不用作网络串联设备;其次,它也不影响网络结构构成;最后,它不会妨碍业务的正常运行。本文以下内容就对网络安全审计系统的设计问题进行分析。
2.2.1 数据库管理及审计模块
在该模块中,通过对数据库的关键性操作行为进行审计,现对信息系统中每一位用户的访问状况进行跟踪、分析,对这些用户的登陆及退出操作进行审计,从而实现准确回顾SQL语句的作用,从根本上保证数据库运行状况的安全可靠性。
2.2.2 主机审计模块
主机审计模块主要用户对关键区域内的客户机进行审计访问,它的主要工作内容是设定必要的计算机终端访问权限,提高终端访问门槛。此外,该模块还会对那些安全系数较低的软件进行审计,为配置审计对策以及网络的安全运行提供保障。
2.2.3 网络审计模板
该模板能够起到加强系统的控制及审计能力,在强化系统信息控制管理方面发挥着重要作用。网络审计模板的正常运行,能够有效地防止非法内外连接现象,实现对网络信息的实时监控,通过采取雄厚的技术力量防止信息泄露事故的出现。
2.2.4 运行维护审计模板
运行维护审计模板的主要作用是对第三方的运行维护员工进行监控,它的工作重点在于对系统各项操作行为进行科学细腻的审计。另外,针对于所有远程访问设备的会话连接,从而实现同步过程监控的目标,在系统监控画面上,系统运行维护员工执行的每一项操作都会清楚的显示出来。系统管理员能够根据系统实际情况,及时阻断那些违反操作规定的操作会话,并把访问者以及被访问人员的访问时间段以及与之相对应的 IP/MAC 地址记录下来。
3 结束语
安全问题随着计算机的问世而随着产生,尤其是在网络盛行的今天,许多部门及企业更是将网络安全问题提到了议事日程。因此,构建一个科学合理的计算机网络安全审计系统,对于银行、大型企业、证券公司以及科研院校等对网络安全有较高要求的地方显得尤为重要。本文在阐述网络安全审计系统功能应用的基础上,设计出了一套较为完整的网络安全审计系统。实践证明,该系统能够对网络运行状态进行实时监视,极大地提高了计算机网络的安全防范能力。但是需要指出的是,由于笔者水平有限,希望本文能够起到抛砖引玉的作用,相关研究人员继续深化这方面的研究,为设计出更加高效的网络安全审计系统而不懈努力[4]。
参考文献
[1] 吴承荣,谬健,张世永. 网络安全审计系统的设计和实现[J].计算机工程,1999, (25):171-174.
[2] 石 彪, 胡华平,刘利枚. 网络环境下的日志监控与安全审计系统设计与实现[J].福建电脑,2004,(12):43-44.
目前,给企业造成的严重攻击中70%是来自于组织中的内部人员,只要攻击者发现了业务系统的漏洞,往往业务系统网络就会被攻破。而随着攻击手段的演变,传统方式对保障业务系统的安全越来越力不从心。因此,针对业务系统的信息安全治理成为业务安全防护的重点。
但是,决策部门如何寻找治理业务系统的决策依据呢?决策部门如何定夺治理业务系统的先后顺序、重要紧急程度呢?决策部门如何寻找制定内部合规性的依据呢?针对信息系统的审计报告就承载着这些重要的职能!审计报告正是业务审计系统价值的具体体现,它起到为制定决策提供重要依据的作用。
针对业务的审计需要报告的细粒度
从用户需求角度看,需要报告细粒,度事实上,一项针对业务系统的审计产品的评价手段有很多。理论上讲,有从审计精度入手做评价的,也有从审计行为的广度入手做评价的。但无论怎样,我们认为用审计行为的结果――报告来评价是比较科学的。以银行的业务为例,银行的业务主要有银行传统业务、银行中间业务、电子银行业务三大类业务。第一类业务是银行传统业务,主要包括会计业务,即主要受理对公业务、面向工商客户、以转账业务为主(比如各种票证)等; 出纳业务,包括受理现金业务等; 对私业务(储蓄) 业务以及授信(信贷)业务等,包括工商客户和个人客户贷款的发放和收回,逾期、呆账、呆滞账务的处理和追溯等。第二类是银行的中间业务,包括代收电信公司的各类费用; 代付企业的工资、基金购买、银行承兑等; 第三类是电子银行业务,主要包括网上银行、电话银行等。他们都是将银行作为资金结算的中心,作为电子商务中资金流的一方。所有的这些业务都有大量的后台IT信息系统作为支撑,需要有强有力的审计报告进行业务审计。
再比如,能源行业主要的业务系统包括: 综合管理信息系统、办公自动化系统、电力营销管理系统、生产监控管理信息系统、资产管理系统、电力地理信息系统、企业资源计划管理系统等。同样,这些业务的IT系统十分复杂和重要。为此,用户存在着对这些业务系统审计的需求。如果一项针对业务的审计系统能够对这些业务有充分的理解,并且通过对这些业务的理解,能以科学合理的方式呈现到审计行为的结果――报告当中来,我们才有理由相信,针对业务的审计系统是“值得信赖”的,这样的报告才能达到管理业务的目的,这个审计系统在纷繁复杂的业务系统才算发挥了审计的作用。
从技术角度看,需要报告细粒度
业务网络审计系统是基于应用层内容识别技术衍生出的一种强化IT风险管理的应用模式,它需要对应用层的协议、网络行为等信息进行解析、识别、判断、纪录和呈现,以达到监控违规网络行为、降低IT操作风险的目的。显然,一个针对业务系统的审计必须承担鉴证、保护和证明三个方面的作用。从技术角度看,审计系统需要审计的信息量大,采集的数据量多,比如对基本网络应用协议审计,如HTTP、POP3、SMTP、FTP、TELNET、NETBIOS、TDS、TNS、DB2、INFORMIX等进行详细的实时监控、审计,并可以对操作过程进行回放,对各类如Oracle、DB2、Sybase、Informix、MS SQL Server等数据库操作也需要审计; 同时,对一些OA操作进行审计。在这些庞杂的信息量下,如果系统呈现的信息缺失、失真或错误,往往会给用户轻则带来决策失误,重则带来安全事件无法追究的窘境。由于报告成为了取证、追查、建立制度的重要依据,报告应该越细越好。
从审计政策角度看,需要报告细粒度
随着中国国际化程度的日益提高,国内许多规范正在朝着国际化方向发展。以SOX法案为例,在美上市的中资企业如中国移动集团公司及其下属分公司等,就面临着该法案的合规性要求; 而商业银行同样也面临Basel协议的合规性要求; 政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求,等等。实际上,从2001年起,政府、电信业、金融业、大企业等都已经先后制定了相关的法律法规,比如: 国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引 》、《中国移动集团内控手册》、《中国电信股份公司内部控制手册》、《中国网通集团内部控制体系建设指导意见》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《深圳证券交易所上市公司内部控制指引 》、《上海证券交易所上市公司内部控制指引 》等。这些文件的出台,是IT合规性建设的必然发展趋势,让面向业务的审计系统也不得不向“合规性要求”方向发展,这些也促成了报告在审计系统中扮演着越来越重要的角色。
如何实现
报告细粒度
好的网络安全审计系统应该可通过对被授权人员和系统的网络行为进行解析、记录、汇报,可帮助用户事前规划预防、事中实时监控、对违规行为响应、事后做合规报告、事故追踪回放,加强内外部网络行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运营。
此外,一套完善的审计报告查询、输出机制――数据分析模块必不可少,应该满足对审计日志查询、审计事件统计分析、审计报告输出等各种应用的不同使用要求。日志分析与审计报表组件能够对审计事件、会话日志、流量、用户操作日志、SOX报表等5类审计事件进行统计和查询,围绕审计策略设定审计输出报告,使得审计工作人员能迅速精确地获得自己所关注的审计事件信息,将管理人员从繁杂、枯燥的IT内审中解放出来,最大程度上降低IT内审工作的工作量。
以金融机构为例,在银行系统中经常需要对一个应用系统(如存贷系统)业务操作发生的事件进行后台数据调整。这时,为了保证调整过程可以被审计记录以及事后审核,就引发了部署审计系统和数据分析模块的需求。
1.1总体建设目标
针对数据中心机房运维存在的潜在风险和安全隐患,为了满足数据中心机房设备的集中化管理要求,按照集中方式建设机房,即建立完备的通信机房集中管理方案,保障维护人员能够安全、可靠地登录到IT设备上进行操作。总体建设目标为:建设一套具有内容审计功能的带外管理平台,实现对服务器和网络设备进行管理维护;建设一套带内审计系统,实现对通过Telnet、SSH等网络协议登录服务器及网络设备所做操作的行为审计[2]。
1.2带外管理系统建设目标
通过建设带外管理系统,可以避免现有管理方式的不足,实现对服务器和整个网络的关键设备进行可审计的管理和维护,确保公司业务系统的稳定运行和快速排除故障。同时,对机房内所有设备的监控和操作都在操作室内进行,不允许人员随意进出机房,对机房进行完全封闭管理,减轻人员对机房环境的影响。
1.3带内审计系统建设目标
通过建设带内审计系统,可以采取实时监控审计操作行为,控制业务运行的异常风险,加强公司远程管理规范,通过对被授权人员和系统的网络行为进行记录、回放、分析,做到事后合规报告、事故追踪回放,加强内、外部网络行为监管(服务器、网络设备等),保护用户信息和数据不被泄漏和篡改,保障业务系统的正常运营,防止安全事件的发生,减少设备故障处理的时间,减轻维护压力,降低人力成本,提高工作效率,控制运维风险,提升公司安全管理水平与安全控制能力。
2系统建设技术路线
2.1带外管理系统技术路线
(1)在内蒙古电力公司数据中心机房建设一套带外管理平台,带外管理的受管设备包括路由器、交换机、防火墙及各种服务器。(2)在列头柜上可以实现对本列机柜中所有设备的本地管理。(3)维护人员在监控室内能够实现对所管理设备的监控和维护。(4)通过账号和统一界面可以实现录屏和审计功能。(5)二级单位(仅管理网络设备)共11个,进行带外设备安装,实现网络设备的远程管理。(6)数据中心安装32口KVM交换机,实现8路并发,各二级单位安装16口串换机(内置有Modem),分局安装8口串换机(内置有Modem)。(7)根据现有服务器规划新建系统所需服务器数量,在每列列头柜中安装32口KVM交换机。(8)带外管理系统单独建网,不接入现有的生产网络。(9)带外管理可以连接到小型机的HMC或直接连接到小型机上,既可启动图形界面,也可启动字符界面。
2.2带内审计系统技术路线
(1)能对内蒙古电力数据中心运维人员的日常监控、维护工作和托管用户的远程操作与维护进行监管。(2)能对目前常用的远程维护访问方式(涉及Telnet/ftp/SSH/VNC/RDP)进行控制,记录并实时上报所有违规访问行为,从而实现对非授权用户的非法访问控制。(3)能对目前常用的远程维护访问方式(涉及Telnet/ftp/SSH/VNC/RDP)进行审计,记录运维人员的全部操作,可跟踪追溯,从而对内部合法运维人员实现有效监管。(4)设备部署控制方式要灵活,既可以提供模式,也可以采用旁路侦听的方式实现访问控制,从而满足不同的业务需求。(5)能迅速定位设备故障,并及时响应,可提供远程执行开启、关闭和重启操作,减轻运维人员的维护压力。(6)必须提供对运维人员的集中管理,设置访问权限与管理范围。(7)系统提供的审计信息要直观易懂,报警要及时快捷,报表数据要准确完善。(8)系统要提供自审计功能,包含所有运维管理人员的操作记录以及系统的运行日志。(9)系统网络架构简单灵活,不影响目前业务系统的正常运行,不占用网络带宽。(10)系统能够实现单点登录,运维管理人员不需要记录和查看设备密码,提升密码的安全性。
3系统整体建设方案分析
3.1带外管理系统建设方案
根据带外管理系统建设目标与技术路线,进行了带外管理系统方案设计,内蒙古电力公司带外管理系统的总体方案架构如图4所示。在数据中心服务器区部署数字KVM交换机连接小型机和PC服务器;在网络设备区部署数字串换机连接网络设备;在二级单位及所辖基层单位部署数字串换机连接网络设备;所有数字KVM交换机和数字串换机上联至网管网,由放置在数据中心机房的带外管理平台统一管理;在数据中心机房部署带外审计设备,审计用户通过带外管理平台对机房内的小型机、HMC、PC服务器和网络设备等各种类型、各种平台的硬件设备所做操作内容;在数据中心操作室部署带外管理操作终端,管理员非特殊情况均在此通过带外管理系统进行设备管理和维护[3]。
3.1.1数据中心的带外管理系统部署方案(1)在内蒙古电力公司数据中心机房部署一套带外管理平台,由2台硬件设备组成,以主备方式运行,连接至网管网。数据中心的带外管理系统部署方案如图5所示。(2)数据中心机房服务器区每列机柜内,服务器或HMC通过服务器接口转换线上联至柜顶配线架,在列头柜通过柜内配线架连接到部署在列头柜内的2台32口8路并发的数字KVM交换机,并且在列头柜内部署2套显示器套件,实现本列服务器机房内本地管理;数字KVM交换机通过网络端口上联到网管网,实现本列服务器远程管理。(3)数据中心机房网络区每列机柜内,网络设备通过串口转换线上联至柜顶配线架,在列头柜通过柜内配线架连接到部署在列头柜内的1台32口数字串换机1上,并且在列头柜内部署显示器套件,实现本列网络设备机房内本地管理;数字串换机1通过网络端口上连到网管网,实现本列网络设备远程管理。(4)在数据中心机房内部署1台具有带外管理平台审计功能模块功能的硬件设备,该审计模块审计用户通过带外管理平台对小型机、HMC、PC服务器和网络设备等各种类型、各种平台的硬件设备所做操作内容;对通过KVM交换机操作所管理的硬件设备,进行录屏;对通过串换机操作所管理的网络设备,进行字符串的记录;且具有能够基于用户名称、管理类型、访问时间等进行检索,支持关键字排序,可以根据周期性时间检索。该审核系统必须有相应的授权认证才能查看内容,能够实现与带外管理平台无缝连接,能够存储较大数据量的审计内容。(5)在数据中心操作室部署8台带外管理操作终端,并接入网管网,实现通过带外管理系统对数据中心机房内的服务器及网络设备和各二级单位及所辖基层单位机房内的部分网络设备进行远程访问、管理和维护。
3.1.2二级单位及所辖基层单位机房内的网络设备带外管理系统部署方案二级单位及所辖基层单位机房内的网络设备仅管理部分路由器、交换机和防火墙。在二级单位机房内部署具有远程拨号管理功能的16口的数字串换机2,通过串口转换线连接所管网络设备;在每个二级单位所辖基层单位的机房内部署具有远程拨号管理功能的8口的数字串换机3,通过串口转换线连接所管网络设备;所有数字串换机2和数字串换机3通过网络端口上连至网管网。数据中心机房的管理员可以通过广域网和拨号网络2条链路来管理各二级单位和基层单位的主要网络设备。具体带外管理系统部署方案如图6。当广域网链路出现中断时,通过拨号网络使用PSTN网建立拨号连接,通过128位的SSH加密通道传输字符,在保证安全前提下及时连接至远端机房的串换机,实现对被管设备的远程管理维护。
3.2带内审计系统建设方案
在内蒙古电力公司数据中心部署1台安全审计服务器,通过网络安全控制只允许其对服务器和网络设备具有Telnet、SSH等网络协议的访问权限。在特定情况下管理员需通过网络协议对服务器和网络设备进行访问时,管理员需先登录到带内审计系统,通过其使用SSH、Telnet、RDP、IE管理工具等,对所管理设备进行操作。带内审计系统记录管理员管理服务器Windows系统、Linux和UNIX等界面和管理路由器、交换机、防火墙等网络设备的字符界面的操作内容。带内审计部署方案如图7所示。带内审计系统记录所有带内的操作过程,为了符合法规章程,审计内容需离线保存。一期工程采用过渡性方案,将审计数据保存在设备本地,二期工程建设中将把审计数据备份到其他介质。
4系统应用效果
4.1带外管理系统
4.1.1提高突发故障处理能力带外管理能够使运维管理人员通过专用管理网络对机房网络设备、服务器设备、电源系统进行集中管理和远程维护。即使在数据网络发生故障或者设备宕机情况下,运维管理人员仍可通过带外网管系统到达故障设备进行远程管理和维护,提高网络系统的延续性和可用性,大大提高企业IT网络突发故障的应急处理能力[4]。
4.1.2实现运维审计功能运维管理人员通过统一的管理界面对分布式网络系统IT设备进行集中管理和维护,对全部管理维护数据进行集中记录,记录内容包括管理员身份信息、登录时间、操作内容、退出时间等。
4.1.3精细化运维管理带外管理系统具有权限分级管理、端口分组管理和设备分组管理功能,通过上述功能对运维管理人员身份、管理权限、管理范围进行严格界定,不同级别管理员登录系统后只能看到有管理权限和监控权限的设备列表,分工精细,责任明确。
4.1.4互助运维,责任明确带外管理支持多进程(6个并发)访问功能,各级别运维管理人员通过多进程访问功能实现互助式协作运维。高级别运维管理人员可以对低级别运维管理人员管理过程进行全程监控,必要时可以强制接管运维管理进程。
4.1.5支持强健的安全特性(1)带外管理系统支持128-bit、SSHv2、SSLv3数据加密技术,运维管理人员的管理控制信息都将以加密方式传送至被管理设备,确保管理数据安全。(2)带外管理系统支持LDAP、SecurID、TACACS+、NIS、Kerberos、RADIUS等身份认证系统,通过以上身份认证系统对运维管理人员的身份、管理权限、管理范围进行界定,防止未经授权用户非法访问。(3)IP地址过滤技术可自由定义允许访问或不允许访问的IP地址列表,根据访问控制IP地址列表进行过滤或拦截用户访问。
随着互联网技术的发展,病毒、木马、数据丢失、黑客入侵、服务器瘫痪等各种潜在的网络安全问题给单位带来巨大的安全风险。许多病毒、木马等恶意软件选择了互联网中的Web网页作为藏身之地,利用系统的漏洞,当员工在浏览挂马或病毒网页时,不慎下载了某些不明插件,神不知鬼不觉地侵入员工的个人计算机系统,导致病毒木马爆发,然后通过单位内部网进一步传播和蔓延。黑客的入侵对重要信息数据进行拦截、篡改、破坏,致使单位信息泄密、数据丢失、体统瘫痪,迫使服务器成为网络“肉鸡”,遭受巨大损失,严重阻碍业务处理进程,威胁单位信息安全。
针对互联网的不合理使用,为有效提升工作效率,避免网络带宽的浪费,降低安全威胁,规避法律风险,杜绝潜在的安全隐患,保护单位资源,需通过在单位系统工作环境中选择适合单位的网络部署模式,配置上网行为管理系统网关设备,结合Web管理界面,实现单位内部局域网上网行为管理平台的集成,构建完整的上网行为管理体系。(1)上网行为管理系统网关设备部署方式。设备主要分4种模式:透明网桥模式、网关模式、镜像模式、双机冗余工作模式,其中透明网桥模式又支持单网桥模式和多网桥模式。单位可以根据实际情况选择适合本企业的网络部署模式。本文以单网桥透明模式为例,在部署时能够透明接入,从而可以不修改网络拓扑结构,不修改用户网络配置,不需要在客户桌面计算机上安装任何软件且不需要在客户桌面计算机做任何配置,简化部署过程,减少终端响应时间。(2)上网行为管理平台系统采用B/S架构,使用Web管理界面,从系统监控、策略管理、用户管理、查询统计等方面满足单位控制上网行为、过滤不良信息、合理配置资源、完善日志记录、统计分析和内容审计、集中管理和委派权限以及报警机制等功能的需求。第一,过滤不良信息,保障信息安全。保障信息安全,维护数据完整性,强化安全防范能力,系统通过URL数据库从国情出发,将网页分为一级网站分类和二级网站分类。
系统通过在线更新网页过滤数据库,结合网站黑白名单设置Web访问特例,对用户访问网络资源做到精确识别、自动允许和阻塞访问,同时针对单位用户风险操作,结合应用控制、应用限额、流量控制等多种策略,实施互联网访问控制。第二,完善用户管理,控制上网行为,合理配置资源。用户作为网络访问的标志主和被管理的目标,系统要能够识别用户网络活动,例如访问网站、邮件收发、资料下载等行为,并能结合不同类型的上网策略,对用户的上网行为进行灵活的控制。系统通过时间、网站分类、网站匹配、文件类型、宽带通道、客户端检测、关键字等对象的设置,结合用户、用户组、IP网段用户、IP/登录名绑定、IP/MAC绑定、SOCKS以及时间、工作日等策略元素进行综合管理策略设置。例如工作时间段禁止用户浏览与工作无关网站,而在下班时间段或者周末取消控制;区分不同的用户、用户组实现不同的分时段控制策略等。系统提供允许、阻塞、免监控用户、免监控IP、屏蔽IP、SSL审计域名等多种控制动作,实现对用户的互联网访问进行动作管理。第三,完善的日志记录、统计分析和内容审计。基于整个网络的访问日志,提供当天及历史日志信息的查询功能。管理员可以方便直观地掌握当前网络访问的网络流量、分析风险趋势等总体情况。
同时针对用户行为,对一个或多个用户、用户组、网段用户、IP组用户进行指定,合理划分时间段,对网站进行分类,指定应用类型,生成指定条件的网站访问、邮件收发、在线聊天、论坛发帖、搜索引擎、文件审计等详细统计报告,完成对电子邮件类(Webmail、SMTP、POP3)、即时消息类(MSN、飞信)、论坛发帖、网页浏览、网页搜索、文件传输(HTTP上传下载、FTP上传下载)等内容的安全审计。第四,集中管理和委派权限。系统可以对各科室上网策略、日志查询统计、内容审计进行集中的管理,也可以按照组织管理委派角色各种管理权限,不同角色权限灵活划分,同时提供对各类管理操作日志的审计功能。第五,报警机制。系统通过实时监控用户访问情况与互联网使用状况,发现异常自动报警;结合多种报警机制、自定义异常报警机制,详细记录报警时间、级别、类型和原因,并通过标准管理接口、SNMP协议,在网络管理系统的配置、性能、故障、安全等多方面实现与网络管理系统的结合,满足综合管理能力的需求。企事业单位上网行为管理的建设为单位提供了一个高效、规范和安全的互联网环境。系统建成并实施后,通过为单位提供完整的解决方案来实现统一的用户管理,员工在获得更为高效的工作效率、简化办事流程提高管理能力的同时,还将促使单位向知识型、学习型发展,实现单位的管理规范化,更有效地为社会服务。
作者:李刚 单位:山西省科学技术交流中心
1.1网络安全
网络安全主要通过硬件防火墙及防病毒系统来实现。硬件防火墙可以将整个网络有效分隔为内部网络、外部网络以及中立区,通过对每个区域配置不同的安全级别,可以保证核心业务系统的安全。防病毒系统用于保护整个网络避免受到病毒的入侵。
1.2数据安全
数据安全包括数据备份恢复、数据库安全管理、访问控制以及系统数据加密。数据存储以及关键应用服务器均按照硬件冗余和数据备份方式配置。数据库系统通过数据库权限控制、身份认证、审计以及检查数据完整性和一致性加以保护。访问控制通过划分不同的VLAN以及设置访问控制列表,对主机之间的访问进行控制。系统数据加密考虑备份数据及传输数据进行加密,保证系统专有信息的安全及保护。
2系统现状
2.1现有系统构成
目前,路政分局路网管理系统划分为六大区域,即办公网区域、远程接入设备区域、视频会议终端区域、控制室接入区域、服务器区域以及核心网络设备区域,如图1所示。
2.2安全防护现状
在机房及监控室设置了防静电地板、温湿度表、门禁系统、不间断电源系统等,从物理上保护信息安全。在政务外网出口处部署了防火墙系统,实现办公终端区域、路网管理业务区及市政务外网3个区域之间的逻辑隔离,防止非授权人员的分发访问,保证业务系统的正常运行。在广域网(如中国联通IP专网、中国电信CD-MA)与路政分局内部局域网之间部署了防火墙系统,实现分局内部局域网与广域网之间的逻辑隔离,防止来自外部人员的非法探测与攻击,保证内网安全。在内网中部署网络版防病毒系统、网页防篡改系统、入侵检测设备以及漏洞扫描系统,用于防御病毒、木马等恶意代码的传播,保障重要WEB服务器数据的完整性和可靠性,及时发现内网中的安全隐患,有效地防止内部人员的故意犯罪。建立全网统一身份认证及授权系统,确保用户身份的安全性和可靠性,并在此基础上实现了全面灵活的用户授权管理。
2.3存在风险
(1)内部终端主机未设置监控与审计,将出现非法外联等非授权访问控制事件。(2)内网未部署安全审计系统,无法控制用户上网行为、重要业务系统及重要数据库系统。(3)内网出口处未部署应用层攻击检测与阻断设备,应用层不可避免会受到各种攻击。
3信息安全加固方案
3.1信息安全要求
路政分局路网管理系统必须按照国标《信息安全技术信息系统安全等级保护基本要求》(GB/T22239)中二级安全等级防护要求。第二级安全保护能力要求:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
3.2实施方案
根据路政分局的实际安全需求,参照等级保护的相关要求,通过采用安全审计技术、内网管理技术以及入侵保护技术,加固现有网络安全,以保障路政分局业务的持续正常运行,如图2路所示。(1)安全审计系统安全审计系统对系统运维信息、上网行为、数据图2路政分局路网管理系统构成图(加固)库操作行为、网络流量进行审计,并实现日志的统一保存。(2)内网安全管理系统内网安全管理系统在产品安装部署前保证所有终端与策略管理中心通过TCP/IP协议可以互联互通。策略管理中心部署在路政分局路网管理系统和OA系统业务系统的安全管理区域。安全部署在内部网络所有终端设备以及移动设备上。内网安全管理系统不仅能对内网终端进行身份认证和安全检查,防止内网终端非法外联行为,还能实现对内部终端用户行为进行审计。(3)入侵保护系统入侵保护系统部署在电子政务外网出口防火墙、远程接入防火墙与路网管理系统核心交换机与之间,防御来自政务外网、中国联通IP网、中国电信CD-MA网络的基于应用层的各种攻击。入侵保护系统高度融合高性能、高安全性、高可靠性和易操作性等特性,具备深度入侵防御、精细流量控制,以及全面用户上网行为监管等3大功能。
4结语