當今社會數據網絡和數據通信業務發展非常迅速,網絡安全管理已成爲影響國家大局和長遠利益的重大關鍵問題。下文是小編給大家整理收集的關於網絡安全與管理畢業論文的內容,歡迎大家閱讀參考!
摘 要:網絡安全管理涉及技術、硬件的管理,更多地涉及到人員崗位職責安排、安全管理制度、安全評估制度等。任何方面的疏漏都會使發生網絡安全事件的可能性增大。本文討論了網絡安全建設中常見問題,給出了網絡安全建設建議。
關鍵詞:網絡安全 網絡管理 網絡安全管理制度
在網絡化信息化快速發展的今天,網絡安全問題幾乎對任何一個團體都不再是可有可無的話題。據賽門鐵克諾頓2012 年 9 月11日公佈的一年一度的諾頓網絡安全報告推測,在之前的一年中網絡犯罪致使全球個人用戶蒙受的直接損失高達 1,100億美元,而在中國,估計有超過2.57億人成爲網絡犯罪受害者,所蒙受的直接經濟損失達人民幣2,890億元。
網絡安全已經受到各國家、企業團體的高度重視。美國國防部發布的《可信計算機系統評估準則》,將計算機安全劃分爲四個等級,帶動了國際計算機安全的評估研究。加拿大頒佈了《網絡加密法》《個人保護與電子文檔法》《保護消費者在電子商務活動中權益的規定》。我國也相繼制定了一系列信息安全管理的法規制度,包括《計算機信息系統安全保護條例》《商用密碼管理條例》《計算機信息網絡國際聯網安全保護管理辦法》《互聯網安全保護技術措施規定》《計算機病毒防治管理辦法》《信息安全等級保護管理辦法》等,並將計算機犯罪納入刑事立法體系。各國對網絡安全的重視也促進本國的企業團體的網絡安全建設。我國各企事業單位、社會團體對網絡安全管理越來越重視,紛紛制定本單位的網絡安全監測、管理制度。但是由於網絡技術的不斷進步、網絡新應用的持續發展,網絡安全新情況、新問題仍然不斷髮生。
1目前網絡安全建設存在的問題
1.1忽視對網絡安全技術人員的培訓
很多單位對網絡和安全設備等有形資產捨得投資,但對網絡安全技術人員的培訓等方面的投資卻不夠重視。好的設備需要掌握相關技能的人員操作管理才能充分發揮其功能,由缺乏技能的人員管理安全設備常常並不能起到安全保護作用。配置不當的網絡和安全設備本身也有可能成爲攻擊對象,例如使用telnet、http等非安全方式登錄管理設備,未限制或未關閉設備本身的FINGER 服務、tftp 服務等。
1.2對非信息安全部門的員工教育不足
現在很多網絡攻擊行爲常常使用社會工程學等非技術方法,而且這種攻擊行爲越來越多。社會工程學是利用人的弱點,以順從你的意願、滿足你的慾望的方式,讓你上當的一些方法、一門藝術與學問。 Gartner集團信息安全與風險研究主任Rich Mogull認爲:“社會工程學是未來10年最大的安全風險,許多破壞力最大的行爲是由於社會工程學而不是黑客或破壞行爲造成的。”
這種攻擊行爲本身並不需要太多的計算機網絡技術,所以單純靠提高網絡安全技術人員的技術水平無法解決此類安全問題。這需要加強對員工的網絡安全教育,提高所有員工的網絡安全意識,使以符合網絡安全規則的方式做事成爲員工的習慣。
1.2.1網絡安全管理制度建設缺乏持續性
網絡安全管理是一個動態的系統工程。網絡安全管理制度需要根據網絡安全技術的發展、業務系統的發展而更新改進。網絡安全管理制度既體現網絡安全管理者對團體成員的行爲標準的要求,又建立了一個保證安全策略及時下發實施的上傳下達的通道,保證重大緊急事件的及時處理。例如安全事故處理流程既要規定各級管理人員能夠自行處理的事件的級別,又要規定事故彙報請示流程,保證領導層能夠掌握重要安全事件處理進度,及時做出決策。
1.2.2在網絡安全評估量化方面存在困難
現在存在很多以量化指標衡量網絡系統的安全程度的方法,例如以網絡系統中各個分量的重要程度、被入侵的概率等作爲權重來計算整個系統的安全量化指標,或者以系統從受到攻擊到入侵成功所需時間來衡量其安全程度。這些方法對於網絡安全系統的建設和評估具有重要指導意義,但是由於現實中網絡安全涉及的不可控因素太多,這些衡量方法的使用效果並不總是令人滿意。網絡安全服從木桶理論,一個系統中的安全短板決定着這個系統整體的安全程度。不當的安全評估量化方法無法準確評估一個系統的安全程度,無法給領導層和網絡安全管理人員以正確的回饋。
2網絡安全建設建議
2.1結合本單位業務細化網絡安全管理
首先,根據業務特點和安全要求,對整體網絡進行物理和邏輯安全分區,在安全區域邊界設置訪問控制措施,防止越權訪問資源。對於不同安全需求,可以採用單獨組網、網閘隔離、防火牆等安全設備隔離、靜態和動態VLAN邏輯隔離和ACL訪問控制等。在服務器等重要區域,可以增設IPS或IDS、WEB防護設備、網頁防篡改系統等增強保護力度。
第二,加強對IP地址和接入端口的管理。在條件允許的情況下,對於平時位置和配置固定的服務器和PC機,採用用戶名/密碼/MAC地址結合網絡接入設備端口的身份驗證策略,強制用戶使用分配的IP地址和接入端口,不允許其隨意修改。對於暫時不用的交換機端口應該予以關閉,避免外來計算機隨意接入內部網絡。
第三,網絡和安全管理人員的管理權限、管理範圍必須界定清楚,網絡和安全設備的.操作日誌必須保存好。網絡和安全管理人員的管理權限和範圍根據各人的職責分工、管理能力進行劃分,保證每位管理人員必要的操作管理權限,同時防止設備管理混亂。網絡和安全設備操作日誌應詳細記錄每個操作人員的操作,需要時應該可以追蹤到所有操作人員的操作過程。
第四,以統一的安全管理策略利用安全設備和安全軟件進行監管,減少人爲干擾產生的例外情況。安全策略部署中的例外情況日後往往會成爲安全隱患,例如,一些人員以各種藉口拒絕在其工作用機上實施安全策略,或者需要開通特殊網絡服務等。對於無法避免的例外情況應該指定專人負責記錄、提醒、監督相關管理人員及時更改和恢復策略等。 2.2合理安排崗位職責
在一個大中型局域網中,網絡管理人員不但需要保證諸如重要服務器、存儲設備、門戶網站等的網絡暢通,而且常常需要擔負IP地址規劃、員工機器網絡故障處理、網絡系統升級改造、設備維保管理、機房環境管理、最新網絡和安全技術跟進、新型網絡和安全設備測試等諸多事項,所以一般無法做到單人單崗,人員的職責劃分難免出現重疊區域。對於這種情況,應該按照重要程度對各崗位職責進行等級劃分,把關係全局、實時性要求高的應用系統、數據存儲系統等關鍵網絡應用系統的網絡安全保障作爲關鍵工作,指定2~3人重點負責,並且把關鍵工作的維護人員之間的分工合作方式以制度的形式確定下來。
2.3管理層的重視和支持
首先,網絡安全問題的暴露都具有滯後性,安全管理缺位造成的影響短期內並不一定能夠顯現出來,但是長期持續下去必然導致安全問題的發生。領導層應該對網絡安全建設常抓不懈,並以制度的方式予以保證。
其次,網絡安全基本數據、各部門對安全的需求等基礎信息收集工作的開展常需要管理層的支持和協調,網絡和安全管理策略的實施更是離不開管理層支持。目前網絡安全很多威脅不是來自外部,而是緣自內咳嗽倍醞安全知識的缺乏和對安全制度、措施的漠視,例如,個別內部機器不按要求安裝主機安全軟件、私自下載安裝來源不明軟件等。所以應該指定領導專門負責網絡安全的實施和監督,配合網絡安全部門技術人員完成安全措施的部署落實,做好網絡安全的定期檢查工作。
第三,大部分企事業單位裏安全投資是屬於運營成本,領導層難以期望安全投資會直接帶來利潤。ITIL(Information Technology Infrastructure Library,信息技術基礎架構庫)提供了對IT資源進行財務計量的方法,在企事業內部把IT部門爲其它部門提供的服務進行量化,以便更好地體現IT部門的經濟效益。但是從企事業單位的整體來看,對於大部分企事業單位,內部網絡安全管理的投入仍然劃歸爲基礎運營成本。儘管如此,網絡安全管理的重要性不應被忽視。
2.4強化報警和應急機制建設
美國ISS公司提出的動態安全模型P2DR (Policy,Protection,Detection,Response)認爲,安全就是及時檢測和響應,就是及時檢測和恢復。對於需要保護的目標系統,保證其安全就是要滿足防護時間大於檢測時間加上響應時間,在入侵者危害安全目標之前就能被檢測到並及時處理,安全目標系統的暴露時間越小系統就越安全。要提高系統安全程度,就要提高系統的防護時間,減少攻擊檢測時間,提高應急響應速度。
