1、浅谈网络安全之管理随着信息化进程的深入和互联网的迅速发展,信息安全显得日益重要。国家对此十分重视, 2014 年 2 月 27 日,中央网络安全和信息化领导小组宣告成立,在北京召开了第一次会议,2016 年 4 月份网络安全和信息化工作座谈会召开,习近平总书记在座谈会上发表重要讲话。随着互联网技术的不断发展,国家层面也相继出台信息安全标准,并组建关于网络安全的组织机构,用以促进对互联网和信息化的健康稳定的发展,从 4月份的网络安全和信息化工作座谈会上习近平总书记的讲话可以看出,网络安全和信息化将作为”十三五”的重要工作之一。现结合信息安全等级保护谈一谈自己对网络安全的几点看法。1、法规标准到目
2、前为止,公安部牵头会同有关部门制定、梳理和完善了信息安全等级保护配套技术标准共 60 多个,如:中国人民共和国计算机信息系统安全保护条例 (国务院令 147 号) 、 国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327 号) 、 关于信息安全等级保护工作的实施意见 (公通字200466 号) 、GB 17859-1999 计算机信息系统安全保护等级划分准则;有效地支持了信息安全等级保护的系统定级、安全建设、等级测评等主要工作,后续的信息安全等级保护相关标准还在不断制定过程中。在国家层面上,对网络安全和信息化工作越来越重视,习近平总书记在网络安全和信息化工作座谈会上的讲话中指
3、出,网络安全和信息化将作为”十三五”的重要工作。2、网络安全技术从古至今,许多技术都是一柄双刃剑,有好的一面,也有坏的一面,信息安全技术的发展,给我国近 7 亿网民提供便利的同时,我们也要看到另一面,这些技术可以被一些不法分子利用,损害国家利益和公共利益,从全世界来看,网络安全威胁和存在的风险日益增多,并开始向政治、经济、文化、社会、国防等领域渗透,而且许多的不法分子利用网络进行违法活动,增加维护社会稳定和发展的难度。网络中,在被动防御的同时,也要主动的在我们海量的网络访问信息中,挖掘并发现有可能的攻击信息,针对这些发现的信息,进行有针对性、有目的性的阻止,如限制 IP、关闭访问服务等措施,如
4、何在海量信息中找到自己需要的东西?既需要经验,也需要技术,同时再辅以软件分析,像第三方的安全审计设备或软件等。还有,现在市场上也有许多我们自主知识产权的相关网络安全产品,对这些网络安全产品进行相关的安全配置,也可以有效的进行特定场景的有效防护,如:第二代防火墙、IPS、安全网关等。3、网络安全管理在网络世界中,攻防双方进行着技术的角力,今天你发现或研发一种进攻手段,明天我针对你的进攻手段研发防御措施,双方在不断的角力中,共同促进网络技术的良性发展。面对网络技术的飞速发展,网络安全越来越突显它的重要性,我们从之前的不了解,到现在的了解,一些人认为,我不主动泄露信息,就是安全的,这显然是不正确的,
5、我们应该规范操作,不能违规、越权操作,如修改、删除、查看等。常言道“三分技术,七分管理” ,除了人员管理的技术层次要求外,还有安全性要求,不定期对人员进行安全教育和培训,使工作人员能够正确执行安全策略,减少人为因素导致的不必要的损失和风险,以前电脑时不时的会中毒,现在随着人们的安全防范意识的增加和互联网技术的发展,这种情况已有所缓解,所以说,还是在于人的意识,管理员在管理和防范意识上还有待加强,虽然现在的运维公司可以承担一部分的风险,但是,打铁还需自身硬的道理亘古不变。如何增强管理人员的安全意识?完善的严格的管理措施是一种有效手段。所以,在网络安全和信息化进程中,管理措施作为网络安全的一种手段
6、,可以有效的将因为一些不好的习惯引发的网络安全事件拒之网络之外。4、网络安全防护措施除了管理和管理人员的自身技术能力,还可以通过部署相关的安全产品,现在市面上涌现出了许多安全产品,有的还提供一整套的完整的解决方案。在这里抛砖引玉的介绍几种主流的安全设备。防火墙:防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使 Internet 与 Intranet 之间建立起一个安全网关(Security Gateway) ,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验
7、证工具、包过滤和应用网关 4 个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。安全路由器:安全路由器提供了某些基于地址或服务的过滤机制,可以在一定程度上限制网络访问。信息安全预警系统:安全检测预警系统用于实时监视网络上的数据流,寻找具有网络攻击特征和违反网络安全策略的数据流。当它发现可疑数据流时按照系统安全策略规定的响应策略进行响应,包括实时报警、记录有关信息、实时阻断非法的网络连接、对事件涉及的主机实施进一步的跟踪等。总之,规范网络秩序,营造良好网络氛围,加强网络安全事件应急能力,定期组织培训、应急演练、预案评估,切实落实网络安全后勤保障,组织行业内网络安全知识竞赛,以此在全社会倡导树立正确的网络安全观,推动网络安全意识的进一步强化和提升。
