好投稿
搜索

期刊大全 杂志订阅 SCI期刊 投稿指导 期刊服务 文秘服务 出版社 登录/注册 购物车(0)

首页 > 精品范文 > 网页升级访问紧急通知

网页升级访问紧急通知精品(七篇)

时间:2023-03-06 16:04:05

网页升级访问紧急通知

网页升级访问紧急通知篇(1)

一天只有24小时,如何抓住重点,合理有效地利用?如何能少加班,摆脱日常杂务,不断提升?职场上久经考验的前辈已经针对这个问题提出了一些解决方案。最著名的包括GDT“时间管理”、时间“四象限”法等。

但理论如果不能落实到实际,那也没用。最近我从网上一位热心朋友那里学到了一种实践“四象限”法的方法。所用的工具正是我们天天都要用到的Google。特此推荐给大家,希望能对大家提供工作效率有所帮助。

重要紧急的事马上做。例如处理客户投诉、处理服务器故障等突发性问题。不能尽快得到解决,很多工作都无法正常进行下去。所以必须尽量在最短时间内完成这些事情。

然后就要做重要而不紧急的事。这一类的事情影响深远,例如学习新知识、新技能等,效益是中长期的,对个人来说,甚至可以说是决定了长远发展前途。

对于紧急但不重要的事,则要学会说“不”。因为一个人的时间和精力是有限的,必须要集中用到能体现自身价值,有助于个人发展的事情上。

最后,对于既不重要也不紧急的事,就尽量不去做。如果确实需要做,那么要严格限定时间,比如每天看网上的新闻,就限定半小时。把要闻和自己喜欢的专业新闻看了完事。八卦新闻绝对无视。

如此分析下来,不难看出,我们的问题就是经常被紧急的事情缠身,忽略了重要性差别。重要但不紧急的事情通常被一拖再拖,最后不了了之。大多数人“无法”抽时间学习提高,一生碌碌无为,也就不足为怪了。所以科维提出的时间管理理论,也建议把主要的精力和时间集中在处理重要但不紧急的工作上。只有这样,才能合理安排时间,才能做出自己的长远规划,工作效率才会逐步提升。一段时间过后,手头的工作就能得心应手,不仅自己工作愉快,也有了升职和加薪的机会。

另一方面,对于自己不重要的事情,能不做就不做。但谢绝工作要讲究技巧,要与别人充分沟通,得到大家都认同的更好的工作任务分配方案。如果确实必须自己来完成,那么就在最短的时间完成这些工作。

现在电脑、PDA、智能手机、甚至邮件系统里面都有Todo(待办事项)功能,但大多数只能分“高中低”三个优先级,不方便我们应用“四象限”理论。而且,一旦忘了带记录着待办事项的设备,一天的工作就要抓瞎了。

而用Google的个性化主页功能,就可以免除这些烦恼。不论走到哪里,用谁的电脑,只要登录到自己的个性化主页,就可以看到自己的待办事项。

第1步 访问Google的主页,点击右上角的“个性化主页”,就可以用一个Google账号登录,创建自己的个性化主页。Google预设了一些内容,根据自己需要选择之后,点击“显示自己的个性化主页”就可以了。(见图2)

第2步 点击“添加内容”,连续添加4个“待办事项”。如果不好找,可以用搜索功能找到。

第3步 返回个性化主页,点击“待办事项”上的“编辑”,修改成“四象限”名称。(见图3)

第4步 接到新的工作任务就归类记录到合适的“象限”内,处理的优先级别就大体上定下来了。而其中每一条待办事项也可以设置优先级。这里就非常适合应用GDT“时间管理”的理论――能两分钟做的事情马上做,我一般设置为“高”;需要等待某人某事之类的客观条件才能办的事情,我就设置为“中”;当前还完全“没谱”的事情,就设置为“低”。

网页升级访问紧急通知篇(2)

一、防守技战法概述

为了顺利完成本次护网行动任务,切实加强网络安全防护能力,XXXX设立HW2019领导组和工作组,工作组下设技术组和协调组。护网工作组由各部门及各二级单位信息化负责人组成,由股份公司副总裁担任护网工作组的组长。

为提高护网工作组人员的安全防护能力,对不同重要系统进行分等级安全防护,从互联网至目标系统,依次设置如下三道安全防线:

第一道防线:集团总部互联网边界防护、二级单位企业互联网边界防护。

第二道防线:广域网边界防护、DMZ区边界防护。

第三道防线:目标系统安全域边界防护、VPN。

根据三道防线现状,梳理出主要防护内容,包括但不限于:梳理对外的互联网应用系统,设备和安全措施,明确相关责任人,梳理网络结构,重要的或需要重点保护的信息系统、应用系统与各服务器之间的拓扑结构,网络安全设备及网络防护情况, SSLVPN和IPSECVPN接入情况。集团广域网、集团专线边界,加强各单位集团广域网、集团专线边界防护措施,无线网边界,加强对无线WIFI、蓝牙等无线通信方式的管控,关闭不具备安全条件及不必要开启的无线功能。

结合信息化资产梳理结果,攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估和排查,确认薄弱环节以便进行整改加固。

二、 防守技战法详情

2.1 第一道防线--互联网边界及二级单位防护技战法

2.1.1 安全感知防御、检测及响应

构建从“云端、边界、端点”+“安全感知”的防御机制。相关防护思路如下:

防御能力:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。

检测能力:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。

响应能力:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。

2.1.2 安全可视及治理

l 全网安全可视

结合边界防护、安全检测、内网检测、管理中心、可视化平台,基于行为和关联分析技术,对全网的流量实现全网应用可视化,业务可视化,攻击与可疑流量可视化,解决安全黑洞与安全洼地的问题。

l 动态感知

采用大数据、人工智能技术安全,建立了安全态势感知平台,为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析,来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据技术感知数据来发现主动发现威胁。

2.1.3 互联网及二级单位的区域隔离

在互联网出口,部署入侵防御IPS、上网行为管理,提供网络边界隔离、访问控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。

在广域网接入区边界透明模式部署入侵防御系统,针对专线接入流量进行控制和过滤。

办公网区应部署终端检测和响应/恶意代码防护软件,开启病毒防护功能、文件监测,并及时更新安全规则库,保持最新状态。

服务器区部署防火墙和WEB应用防火墙,对数据中心威胁进行防护;汇聚交换机处旁路模式部署全流量探针,对流量进行监测并同步至态势感知平台;部署数据库审计系统,进行数据库安全审计。

在运维管理区,部署堡垒机、日志审计、漏洞扫描设备,实现单位的集中运维审计、日志审计和集中漏洞检查功能。

2.1.3.1 互联网出口处安全加固

互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护,在攻防演练期间,出口处防火墙通过对各类用户权限的区分,不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。

对能够通过互联网访问内网的网络对象IP地址进行严格管控,将网段内访问IP地址段进行细化,尽量落实到个人静态IP。

开启精细化应用控制策略,设置多条应用控制策略,指定用户才可以访问目标业务系统应用,防止出现因为粗放控制策略带来的互联网访问风险。

对所有通过联网接入的用户IP或IP地址段开启全面安全防护策略,开启防病毒、防僵尸网络、防篡改等防护功能。

通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。

护网行动开始之前,将防火墙所有安全规则库更新到最新,能够匹配近期发生的绝大部分已知威胁,并通过SAVE引擎对未知威胁进行有效防护。

攻防演练期间,通过互联网访问的用户需要进行严格的认证策略和上网策略,对上网用户进行筛选放通合法用户阻断非法用户,同时对于非法url网站、风险应用做出有效管控。根据企业实际情况选择合适流控策略,最后对于所有员工的上网行为进行记录审计。

攻防演练期间,需要将上网行为管理设备的规则库升级到最新,避免近期出现的具备威胁的URL、应用等在访问时对内网造成危害。

2.1.3.2 DMZ区应用层安全加固

当前网络内,DMZ区部署了WEB应用防火墙对应用层威胁进行防护,保证DMZ区域内的网站系统、邮件网关、视频会议系统的安全

攻防演练期间,为了降低用从互联网出口处访问网站、邮件、视频的风险,防止攻击手通过互联网出口访问DMZ区,进行页面篡改、或通过DMZ区访问承载系统数据的服务器区进行破坏,需要设置严格的WEB应用层防护策略,保证DMZ区安全。

通过设置WEB用用防护策略,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

2.2 第二道防线-数据中心防护技战法

总部数据中心从防御层面、检测层面、响应层面及运营层面构建纵深防御体系。在现有设备的基础上,解决通号在安全建设初期单纯满足合规性建设的安全能力,缺乏完善的主动防御技术和持续检测技术带来的风险。主要解决思路如下:

1、基于安全风险评估情况,夯实基础安全架构

通过持续性的风险评估,进行安全架构的升级改造,缩小攻击面、减少风险暴露时间。包括:安全域改造、边界加固、主机加固等内容。

2、加强持续检测和快速响应能力,进一步形成安全体系闭环

针对内网的资产、威胁及风险,进行持续性检测;基于威胁情报驱动,加强云端、边界、端点的联动,实现防御、检测、响应闭环。

3、提升企业安全可视与治理能力,让安全了然于胸

基于人工智能、大数据技术,提升全网安全风险、脆弱性的可视化能力,大幅度提升安全运维能力,以及应急响应和事件追溯能力。

2.2.1 边界防御层面

原有的边界防护已较完善,无需进行架构变动,只需要确保防御设备的策略有效性和特征库的及时更新。针对目标系统,通过在目标系统接入交换机和汇聚交换机之间透明部署一台下一代防火墙,实现目标系统的针对性防护,防止服务器群内部的横向威胁。

下一代防火墙除基本的ACL访问控制列表的方法予以隔离以外,针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。通号业务系统中存在对外的网站、业务等,因此需要对WEB应用层进行有效防护,通过下一代防火墙提供SQL注入、跨站脚本、CC攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止Web Shell和敏感信息泄露,避免网页篡改与挂马,满足通号Web服务器深层次安全防护需求。

根据现有网络,核心交换区部署了应用性能管理系统,攻防演练期间,需要对应用性能管理系统进行实时关注,应用出现异常立即上报,并定位责任人进行处置,保证网络性能稳定,流畅运行。

核心交换机双机部署了两台防火墙,物理上旁路部署,逻辑上通过引流所有流量都经过防火墙,通过防火墙对服务器区和运维管理区提供边界访问控制能力,进行安全防护。

攻防演练期间,核心交换区防火墙进行策略调优,对访问服务器区和运维管理区的流量数据进行严格管控,对访问服务器区内目标系统请求进行管控;防止安全威胁入侵运维管理区,对整体网络的安全及运维进行破坏,获取运维权限。

攻防演练期间,在各分支机构的边界,通过对各类用户权限的区分,各分支机构的不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。

专线接入及直连接入分支通过广域网接入区的路由器-下一代防火墙-上网行为管理-核心交换机-服务器区的路径进行访问,因此通过完善下一代防火墙防护策略,达到安全加固的目的。

通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。

攻防演练前,需要对下一代防火墙的各类规则库、防护策略进行更新和调优。

2.2.2 端点防御层面

服务器主机部署终端检测响应平台EDR,EDR基于多维度的智能检测技术,通过人工智能引擎、行为引擎、云查引擎、全网信誉库对威胁进行防御。

终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中大部分攻击是通过暴力破解的弱口令攻击产生的。EDR主动检测暴力破解行为,并对发现攻击行为的IP进行封堵响应。针对Web安全攻击行为,则主动检测Web后门的文件。针对僵尸网络的攻击,则根据僵尸网络的活跃行为,快速定位僵尸网络文件,并进行一键查杀。

进行关联检测、取证、响应、溯源等防护措施,与AC产品进行合规认证审查、安全事件响应等防护措施,形成应对威胁的云管端立体化纵深防护闭环体系。

2.3 第三道防线-目标系统防护技战法

本次攻防演练目标系统为资金管理系统及PLM系统,两个系统安全防护思路及策略一致,通过APDRO模型及安全策略调优达到目标系统从技术上不被攻破的目的。

2.3.1 网络层面

在网络层面为了防止来自服务器群的横向攻击,同时针对业务系统进行有针对性的防护,通过部署在目标系统边界的下一代防火墙对这些业务信息系统提供安全威胁识别及阻断攻击行为的能力。

同时通过增加一台VPN设备单独目标系统,确保对目标系统的访问达到最小权限原则。

子公司及办公楼访问目标系统,需要通过登录新建的护网专用VPN系统,再进行目标系统访问,并通过防火墙实现多重保障机制。

系统多因子认证构建

为了保证攻防演练期间管理人员接入资金管理系统的安全性,接入资金管理系统时,需要具备以下几项安全能力:一是用户身份的安全;二是接入终端的安全;三是数据传输的安全;四是权限访问安全;五是审计的安全;六是智能终端访问业务系统数据安全性。

因此需要对能够接入资金管理系统的用户进行统一管理,并且屏蔽有风险访问以及不可信用户;使用专用SSL VPN对资金管理系统进行资源;为需要接入资金管理系统的用户单独创建SSL VPN账号,并开启短信认证+硬件特征码认证+账户名密码认证,屏蔽所有不可信任用户访问,对可信用户进行强管控。

对接入的可信用户进行强管控认证仍会存在访问风险,因此需要边界安全设备进行边界安全加固。

系统服务器主机正常运行是业务系统正常工作的前提,服务器可能会面临各类型的安全威胁,因此需要建设事前、事中、事后的全覆盖防护体系:

l 事前,快速的进行风险扫描,帮助用户快速定位安全风险并智能更新防护策略;

l 事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;

l 事后,对服务器外发内容进行安全检测,防止攻击绕过安全防护体系、数据泄漏问题。

同时,为了保证安全威胁能够及时被发现并处置,因此需要构建一套快速联动的处理机制:本地防护与整体网络联动、云端联动、终端联动,未知威胁预警与防护策略,实时调优策略;深度解析内网未知行为,全面安全防护;周期设备巡检,保障设备稳定健康运行;云端工单跟踪,专家复审,周期性安全汇报;通过关联全网安全日志、黑客行为建模,精准预测、定位网络中存在的高级威胁、僵尸主机,做到实时主动响应。

在业务系统交换机与汇聚交换机之间部署下一代防火墙,根据资产梳理中收集到的可信用户IP、端口号、责任人等信息,在下一代防火墙的访问控制策略中开启白名单,将可信用户名单添加到白名单中,白名单以外的任何用户访问业务系统都会被拒绝,保证了区域内的服务器、设备安全。

2.3.2 应用层面

下一代防火墙防病毒网关的模块可实现各个安全域的流量清洗功能,清洗来自其他安全域的病毒、木马、蠕虫,防止各区域进行交叉感染;

下一代防火墙基于语义分析技术提供标准语义规范识别能力,进一步还原异变的web攻击;应用AI人工智能,基于海量web攻击特征有效识别未知的web威胁。基于AI构建业务合规基线,基于广泛的模式学习提取合规的业务操作逻辑,偏离基线行为的将会被判定为web威胁,提升web威胁识别的精准度。

下一代防火墙以人工智能SAVE引擎为WEB应用防火墙的智能检测核心,辅以云查引擎、行为分析等技术,使达到高检出率效果并有效洞悉威胁本质。威胁攻击检测、多维度处置快速响应,有效解决现有信息系统安全问题。

目前通号服务器区安全建设存在以下问题一是以边界防护为核心,缺乏以整体业务链视角的端到端的整体动态防护的思路;二以本地规则库为核心,无法动态有效检测已知威胁;三是没有智能化的大数据分析能力,无法感知未知威胁;四是全网安全设备之间的数据不能共享,做不到智能联动、协同防御。

在保留传统安全建设的能力基础上,将基于人工智能、大数据等技术,按照“业务驱动安全”的理念,采用全网安全可视、动态感知、闭环联动、软件定义安全等技术,建立涵盖数据安全、应用安全、终端安全等的“全业务链安全”。

为了保证访问资金管理系统访问关系及时预警及安全可视化,需要将访问目标系统的所有流量进行深度分析,及时发现攻击行为。

在在业务系统交换机旁路部署潜伏威胁探针,对访问资金管理系统的所有流量进行采集和初步分析,并实时同步到安全态势感知平台进行深度分析,并将分析结果通过可视化界面呈现。

2.3.3 主机层面

下一代防火墙通过服务器防护功能模块的开启,可实现对各个区域的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题;

下一代防火墙通过风险评估模块对服务器进行安全体检,通过一键策略部署的功能WAF模块的对应策略,可帮助管理员的实现针对性的策略配置;

利用下一代防火墙入侵防御模块可实现对各类服务器操作系统漏洞(如:winserver2003、linux、unix等)、应用程序漏洞(IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;

针对系统的服务器主机系统访问控制策略需要对服务器及终端进行安全加固,加固内容包括但不限于:限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令,删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户;根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;启用访问控制功能,依据安全策略控制用户对资源的访问;加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。

通过终端检测响应平台的部署,监测服务器主机之间的东西向流量,开启定时查杀和漏洞补丁、实时文件监控功能,限制服务器主机之间互访,及时进行隔离防止服务器主机实现并横向传播威胁。并且通过攻击链举证进行攻击溯源。

2.4 攻防演练-检测与响应技战法

2.4.1 预警分析

通过7*24小时在线的安全专家团队和在线安全监测与预警通报平台,即可对互联网业务进行统一监测,统一预警。云端专家7*24小时值守,一旦发现篡改、漏洞等常规安全事件,即可实时进行处置。对于webshell、后门等高阶事件,可以及时升级到技术分析组进行研判,一旦确认,将会实时转交应急响应组进行处置。

监测与相应组成员实时监控安全检测类设备安全告警日志,并根据攻击者特征分析入侵事件,记录事件信息,填写文件并按照流程上报。

若同一来源IP地址触发多条告警,若触发告警时间较短,判断可能为扫描行为,若告警事件的协议摘要中存在部分探测验证payload,则确认为漏洞扫描行为,若协议摘要中出现具有攻击性的payload,则确认为利用漏洞执行恶意代码。

若告警事件为服务认证错误,且错误次数较多,认证错误间隔较小,且IP地址为同一IP地址,则判断为暴力破解事件;若错误次数较少,但超出正常认证错误频率,则判断为攻击者手工尝试弱口令。

2.4.2 应急处置

应急处置组对真实入侵行为及时响应,并开展阻断工作,协助排查服务器上的木马程序,分析攻击者入侵途径并溯源。

安全事件的处置步骤如下:

(1)根据攻击者入侵痕迹及告警详情,判断攻击者的入侵途径。

(2)排查服务器上是否留下后门,若存在后门,在相关责任人的陪同下清理后门。

(3)分析攻击者入侵之后在服务器上的详细操作,并根据相应的安全事件应急处置措施及操作手册展开应对措施。

(4)根据排查过程中的信息进行溯源。

(5)梳理应急处置过程,输出安全建议。

网页升级访问紧急通知篇(3)

信息安全是一个复杂的系统工程,涉及到了系统软件、硬件、环境以及人员等各种因素.本文以赤峰学院为研究对象,详细讨论了一般高校信息安全风险点,及网络安全技术在解决校园网络安全问题中的应用,并提出了综合利用各种网络安全技术保障校园网络安全的具体措施.

关键词:

校园网络;网络安全;安全技术

当前互联网发展迅速,高校的校园网建设也随之快速发展,一方面有力推进我国高校现代化建设进程,另一方面有效促进了高校教学、办公、科研和学术交流等方面的发展.但是这也使得办公系统、教务管理系统、信息门户、校园一卡通系统等内网服务都直接暴露在开放式的网络环境之下运行,这无疑给黑客提供攻击机会,造成病毒入侵、信息泄露等不良后果.在高校校园网中,参与人员情况十分复杂,不仅有校园内部的老师和同学,还有一些外来办事及培训访学人员,这种参与人员成分的复杂性决定了校园网络管理的难度增大.当然,由于校园网络其本身种种特殊性,除了上面提到的互联网和校园网内部人员的威胁之外,还有其本身体系结构的网络安全问题值得警惕.这对建立校园网络的工作人员提出了较高要求,需要进行充分的调研与考量,采取正确的设计与布置模式,建立一个安全合理有效的校园网络.本文所讲正是根据自己几年来在校园网络的运行与维护的工作经验总结而来,以校园网络的配置和网络体系设计为基础,对校园网络的运行风险进行分析,并对相应的安全保护措施进行详细研究.在分析校园网络的运行风险时,不仅考虑到校园网络本身的体系结构安全问题,也要考虑到网络配置时的软硬件安全、技术安全、使用和管理安全等等,在这些方面都需要制定详细的安全保护规则,在实际操作中严格遵守,使校园网络的安全性得到保障,最终建立一个真正让人放心使用的安全校园网络.

1校园网安全面临的风险分析

1.1硬件安全

众所周知,信息系统的运行之初就是要建立一个合格标准的机房———系统核心硬件的所在地,所以,机房要严格按照国家相关标准进行建设,包括机房本身的防火防水防盗等问题,机房所在楼板的承受力问题,机房位置选择问题等等,只有这样才能保证机房内设施不受侵害,对其安全性进行充分的考虑,确保信息系统的平稳安全运行.另一方面,信息系统运行的硬件设备还对周围环境有着较高要求,例如湿度、温度、空气颗粒物浓度、周围磁场强度等等,所以要对机房配备专门的管理人员监测环境问题,保证一个合理有效的硬件运行环境.

1.2系统及数据库安全

对于校园网络来说,由于资金有限,很多服务器或者相关系统硬件都会被延期使用,一旦硬件没有得到及时更新,过度使用,就会导致其稳定性不可预估,例如发生断电时,这些非法关机形式的发生,都会使得相关数据或者运行系统发生异常,从而导致进一步的不可预测性的异常工作形态发生.

1.3网络安全

赤峰学院的网络建设已经告一段落,有线网方面,光纤直通各个楼宇办公室及宿舍楼区域的弱电井,千兆入户;无线网方面,已经实现包括教学区、宿舍、运动场、食堂等位置的全校覆盖.但是,随着网络速度的不断提高,网络覆盖范围的不断扩大,网络内容和资源的不断丰富,也伴随着网络安全问题显得日益突出,需要我们给予高度重视.

a、漏洞注入威胁

无论是网络系统也好,还是各种软件的形成,其都是由相关代码编写人员进行开发,这无可避免的会产生一些漏洞问题,这些漏洞的存在就是一种潜在的安全威胁,没有及时地修补漏洞,就会有可能导致安全问题.而且这种威胁一旦发生,就会从某一台主机,通过网络,对网络内其他主机产生安全威胁,这会是一个连锁反应,情况进一步恶化,会直接造成整个网络的瘫痪.近些年来,在操作系统上,Linux和Win-dows都在不断地各种网络漏洞补丁,如校园网内的绝大部分主机系统都是Windows系统,因此,如果Windows系统漏洞被发现而没有及时更新漏洞补丁进行修复,很有可能被不法分子进行攻击,最终影响到整个校园网络的安全.

b、DDOS攻击(DistributedDenialofService)).

DDOS攻击,即分布式拒绝服务攻击,它是指通过借助一系列工具或手段,把许多个计算机联合起来构成一个平台,针对一个或者多个目标发动DOS攻击.DOS攻击最基本的方式就是发送合法的服务请求,以便占用目标主机的大量的服务资源,目标主机的资源一旦被大量占用,其他正常用户将无法正常访问该主机.DOS攻击必须占有大量的带宽,这样的话,对于攻击者本身很难实现这一目标,于是攻击者就通过其他攻击手段先把很多主机变成“肉鸡”,再通过这些“肉鸡”一起对目标发起攻击,最终使得目标主机无法正常工作乃至处于瘫痪的状态.

c、ARP攻击(Addressresolutionprotocolspoofing).

ARP协议(地址解析协议),就是根据目标IP地址,转换为相应的MAC物理地址.我们所谈的校园网络,更多的主机是基于MAC地址进行传输的,这样就造成了ARP协议就更多地发挥着使两台主机之间进行通信的作用.黑客正是利用了这一原理,一方面,可以通过实时监测,拦截窃听如A主机某一节点信息,获得相应的IP地址和MAC地址,然后就可以伪装A主机,给其他主机信息,为自己获得有用信息.另一方面,黑客还可以完全伪造一个MAC地址和IP地址信息,使其在局域网内传播,在网络上会产生网络风暴效应,使网络通信变得异常堵塞,也很有可能造成网络的失效或者瘫痪.

d、病毒、木马

高校的办公电脑分为几类:专属电脑、多媒体教室教学电脑、还有学工办、教学办等非专用的办公电脑.这些电脑在使用的过程中,由于很多人员并没有专业的计算机基础知识,或者电脑安全意识并不高,导致U盘使用、非法网站下载等可能导致病毒攻击的行为偶有发生,再加之电脑系统的杀毒软件等防护措施并没有及时更新与使用,最终这些主机很容易被黑客利用,成为“肉鸡”,进而使得校园网络安全出现问题.

1.4人员管理

a、安全管理安全管理是一项十分重要的内容.在所有安全措施的发生有效影响之前,安全管理就是这一切的前提.一个健全的安全体系是需要建立十分详尽并且能被严格执行的安全规范,安全体系在建设过程中,人、设备、技术都是必须要考量的因素,这些安全规范或者规则要在所有安全设备部署和具体施工过程中进行约束,所以安全管理不仅是一种表面行为上的规范,也是对人、技术、设备、架构等等的一种深层次要求.

b、安全意识在高校的校园网络里,主体使用人员就是学生和教职人员,这个群体的计算机应用水平有高有低,更多的人是缺乏计算机网络安全意识的.例如,某些老师和学生往往在使用计算机网络时,设置一些十分简单易破解的密码,这就是一种缺乏安全意识的表现,黑客很容易抓住这一点,通过某些破解方法获得密码,进而获取计算机中对他们有用的信息,可能会进一步产生盗用银行卡、诈骗、透漏个人重要信息等等不法行为;另外,当前计算机网络快速发展,计算机病毒等木马程序也在呈现出多方式、多渠道的攻击模式,如U盘传播、移动端传播、局域网内传播等等,这些问题一旦发生,就会产生一些不良后果.因此,我们需要提高用户的网络安全意识,增强其网络使用规范,并让用户学习一些基本的网络安全知识,这都是当代网络管理人员需要注意的问题.

2校园网安全的防护措施

2.1硬件防护

(1)防火墙

我校于2012年校园网络建成后在出口处用功能和安全性更高的华为下一代防火墙(华为USG5500)代替原来的防火墙(华为Eudemon),同时在出口链路上加装了入侵检测设备(华为NIP5100),以防止外网对内网及数据中心的入侵攻击,将替代下来的防火墙部署在数据中心服务器存储和内网之间,这样加强出口链路安全的同时,也进一步提升了内网的数据安全.

(2)流量控制设备

我校使用锐捷ACE流量控制设备,ACE可以有效防止各种关键应用(如ERP、CRM、OA系统、视频会议系统等)受到其它网络应用(P2P等)的冲击,导致这些关键业务的应用得不到保障.同时,通过对网络异常流量和网络攻击进行预先防护,大大提高了网络的可靠性和稳定性.

(3)行为审计

校园网络配置行为审计设备.可以针对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析.用户所有访问的网页地址都会被系统监控、追踪及记录,如果是设定为合法地址的访问则不做限制,如果是非法地址则会被禁止或发出警告,而且每一次对访问行为的监控都是具体到每一个人的.

(4)防毒墙

计算机病毒的日益猖狂,尽管许多企业已经具有了一定的安全防范意识,并且部署了网络版杀毒软件和硬件防火墙,但是在面对诸如SQLSlammer等新的蠕虫病毒时,仍然显得力不从心.我校针对上网人数多,使用网络人员能力参差不齐,网络蠕虫病毒传播广泛,控制吃力的情况,主干网络配置防毒墙,用来解决对诸如SQLSlammer等新的蠕虫病毒.

(5)DDOS防护

DDOS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的.而我校校园网络配置DDOS防护设备,可解决通过使网络过载来干扰甚至阻断正常的网络通讯;通过向服务器提交大量请求,使服务器超负荷;阻断某一用户访问服务器;阻断某服务与特定系统或个人的通讯等情况.

(6)UPS不间断电源

我校中心机房、图书馆机房及灾备机房都配备UPS不间断电源,在学校断电时为机房内的服务器供电,延长服务器工作时间,同时能够防止服务器因为断电导致的物理故障、数据丢失问题.

2.2VPN的管理

VPN是在公用网络上建立专用网络,进行加密通讯,而我校的数字化应用系统及数字图书馆资源等重要的信息系统均使用深信服公司的专业的SSLVPN设备为所有供教职工、学生提供校外访问.我校对对校内应用系统和资源都作了内网IP地址的锁定,保证了网络访问的安全控制,进一步提高校内信息系统的安全指数.同时,针对不同的厂商及使用者的身份,区分访问权限,做到严格控制VPN的使用人员,保证只有操作相关业务系统的人员才可获得相应权限.比如:在校教职工使用工号及密码登陆后只可以访问基础资源及业务系统,不能访问服务器等敏感网段;工程师需要通过实名制注册,并使用真实手机号码接受随机验证码及管理员指定的用户名和密码(复杂密码)进行访问,并且不同的厂商只能访问跟自己业务相关的网段(目前正在建设中);其他使用人员需要严格遵守申请流程就行审批.

2.3软件防护

(1)校园网认证系统

我校使用专业的校园网认证系统,该系统能够对接入校园网络的所有用户进行访问控制管理,同时,我校教职工用工号登陆,学生用学号进行登录,校外人员需要提供有效证件并且获得相关部门的统一方可获得由网络中心统一发放的上网账号,我校的网络认证系统配有日志服务器,能够对用户的上网行为实时记录,并且保存用户上网行为日志90天以上.

(2)机房服务器安全

赤峰学院机房的服务器使用两套虚拟化软件(华为Fu-sionComputeV100R005C00SPC300和曙光虚拟化软件)动态分配部署,用虚拟计算、虚拟存储、虚拟网络等技术,完成计算资源、存储资源、网络资源的虚拟化;同时通过统一的接口,对这些虚拟资源进行集中调度和管理.系统通过获取异常日志和程序堆栈,缩短问题定位时间,快速解决异常问题.支持自动化健康检查.系统通过自动化的健康状态检查,及时发现故障并预警,确保虚拟机可运营管理.

(3)存储(数据)安全

我校的存储设备用专业的软件做RAID6,做完RAID6,在存储中任意一个硬盘故障时,仍可读出数据,在数据重构时,将数据经计算后重新置入新硬盘中从而保证了数据安全.同时,华为虚拟化软件具备快照功能,可以记录某一时间点的系统情况,并且可以手动恢复到快照的时间点,保证系统的运行安全.

(4)运维系统

我校使用校园网络运维管理系统,能够实时监控机房的温度湿度,工作人员可进行水灾、火灾的防控,同时,可以对校园网各个设备的运行情况进行实时监控,可随时查看某一线路的带宽、设备在线情况等.如遇问题可在一时间收到短信通知,将风险降到最低.

3校园网络安全管理策略

3.1信息系统定级备案

我校坚持严格执行备案制度的原则,分别于赤峰市宣传部、联通公司、电信公司做了网站备案,严格管理,校内一切网络资源只限于教职工和学生工作学习使用,坚决禁止一切商务等盈利用途.赤峰学院主页及二级网站使用统一建站系统CMS,使用统一建站系统能有效管理网站访问者的登陆权限,使内网数据库不受攻击,并且前端静态页面显示,同时,服务器安装了正版的网页防篡改软件一套,能够定期升级版本,确保了信息的安全.

3.2信息安全事件应急处置

制定健全的应急预案,如:《赤峰学院校园网络信息安全应急预案》、《数据中心机房突发事件应急预案》、《信息技术安全事件的应急报告与处置流程》等,周末及节假日有相关的值班人员每天对应用系统及机房进行检监测,以保证紧急事件紧急处理.

4小结

校园网络安全建设是一个不断推进、不断深入、不断完善的动态过程.需要清楚当前学校的网络情况及风险点,面对多种多样的安全威胁,从安全技术手段的角度出发,确保校园网络安全体系满足防护、检测、响应模式,从而降低安全风险,实现校园网络稳定可靠运行.

作者:吉岚 辛欣 单位:内蒙古广播电视大学 赤峰学院网络与信息管理处

参考文献:

〔1〕齐菊红,李春霞.校园网网络安全分析[J].兰州文理学院学报(自然科学版),2014,28(1):69-74.

〔2〕李小志.高校校园网络安全分析及解决方案[J].现代教育技术,2008,18(3):91-93.

〔3〕胡光民,柯立新.校园网络安全与准入身份认证[J].上海海洋大学学报,2010,19(2):271-274.

网页升级访问紧急通知篇(4)

截止到30日,经济网共制作大小专题、专辑30余个(新专题仍在紧张策划、制作中),发稿两万余篇,原创评论近百篇,博文1082篇,宽频流媒体2200余个,视频直播信号长达两星期,截至本周共有157位网友和名人上传了祝福视频,祝福主题帖跟帖近三千条,具体做了以下工作:

及时应对、迅速跟进,与报社总编室24小时无缝链接。

中国经济网首页头条在地震消息不到2小时即重点刊发《就汶川作出重要指示赶赴灾区》的新闻。

12日当晚推出抗震救灾专题,次日改版为抗震救灾大型多媒体主专题,五月下旬升级为抗震救灾频道。目前的频道融合最新消息、抗灾救援、各方评论、伤亡信息、各地情况、地震知识、独家报道、网上寻亲、英雄谱、网友支招等十余个子栏目,并充分运用视频、博文祝福、互动留言等所有网络手段,目前直接显示在页面上的视频不少于30条,图片20余幅,不仅第一时间了抗震救灾的权威消息,而且有效吸引了网民积极参与。

第一时间利用视频、播客、博客等多媒体手段报道,经济网立即安排专人,24小时全天视频直播央视直播报道,并在首页头条附属、要闻区、专题区、中经视频等多处显著位置长期链接。震后报道发出后20分钟内建立了播客专辑《汶川8级大地震》,当晚建立《寄语地震灾区》博客专栏,通过各种渠道加强网友互动,

从地震开始至今,网站首页首屏的所有位置一头条、要闻、专题区、中经视频、有话好好说等,全部从各自角度报道抗震救灾信息,大量转载中央举措及其他规定转载稿件,并保证时长。

中国经济网领导班子在地震发生后启动24小时值班制度,及时传达上级部门指导意见。网站实行值班总编辑负责制,并安排专人与报社等上级部门保持无缝链接,第一时间传达并落实各项报道提示及指示精神。

精心策划,突出特色,淋漓尽致发挥互联网优势。

充分利用视频、图片、播客、博客筹多媒体手段报道地震及抗震救灾消息,每天推出一个以上播客、博客、视频、FLASH类专题或主题策划;24小时全天视频直播央视报道;网站内容部门建立视频内容整点推送机制。中国经济网于震后第二天建立视频内容整点推送机制,互动部门在每天的每个整点向新闻部和总编室推送最新视频节目。中国经济网的互动部门策划及时、主题鲜明,地震发生后每天推出一个以上播客、博客、视频类专题。除了地震当天迅速推出播客专辑、博客专栏外,次日还推出《众志成城传递爱心地震无情博客友情》网友送祝福页面;第三天,推出《你在我在我们同在》视频汇总专题,囊括流媒体和播客两种视频平台的精华视频,同时,博客开辟《地震灾情通报》弹出页面,向广大博友事实播报救灾进展的最新视频;第四天,推出原创音乐视频《灾难面前我们生死不离》以及《英雄》专题,歌颂灾难中的各种英雄;一周后,全国哀悼日的第一天,视频专题《那三分钟,十三亿颗心跳出相同的脉搏》同步上线同时《灾难面前的中国少年》等大型图片专题也随即上线,生动形象的报道了当代年轻人在灾难面前无私无畏、奋不顾身的优秀品质,报道进一步向微观、细节深入。

发挥主流媒体阵地作用,突出原创,本网完成十余场独家访谈,采写的原创稿件《抗震专家释疑:汶川地震为何校舍倒塌多》等被所有国家重点新闻网站及商业网站转载,该新闻位列当日网站点击量排行第一位。中国经济网5月16日专访了工程抗震专家、中国科学院周锡元院士,从建造标准、工程质量和地震强度等多角度对灾区校舍倒塌多现象进行了客观分析,阐明我国学校的设计和建设是按标准水平进行的,以前已经受住了一些考验,现在的主要问题是对学校建筑是否需要特别提高抗震设防标准等,目前百度转载近100条。经济网资深编辑积极撰写地震对经济影响等原创稿件,在首页要闻区和国际经济区重点处理后,网友关注度较高,被多家网站转载。如《专稿:总结全球五次大地震对股市影响短期且有限》,连续多日上榜24小时排行。19日全国哀悼期间,经济网派出三组人员,分e前往王府井商业街、北京站前广场和首都师范大学进行现场采访,视频节目精编剪辑后在主专题及悼念专题中重点推出,现场拍摄的大量原创图片也在首页大图、主专题等多处推出。及时推出为灾后重建工作鼓劲的策划组稿。如《策划:那些催人泪下的话语(组图)》、《策划:唱起歌就不会觉得痛(组图)》,通过回顾抗震救灾过程中涌现出的经典语录、坚强乐观的事迹,鼓舞人们齐心协力、重建美好家园。目前,仅灾后重建方面的独家专家访谈已完成8期,并被各大网站多次转载。

网页升级访问紧急通知篇(5)

关键词:信息安全;信息化建设;校园网

近十年来,我国的高校信息化建设步入了飞速发展阶段,各类学校官网建设、教学资源的共享、教务系统的应用、校园一卡通等信息系统的建设,成了高校信息化的展示平台和重点,信息系统在学校教务工作中占据了非常重要的地位.原本的大学信息化平台只能提供普通的通知公告、学校形象展示等功能,随着信息技术的发展,如今的大学信息化平台发生了很大变化,汇集了学校网站宣传、微信、微博账号、师生互动沟通、教学教务系统、选课评教系统、教学资源共享等功能.这些系统和信息已经成为高校重要的业务展示和应用平台.其中涉及的信息安全方面的问题日趋值得我们重视.

1高校信息安全现状

一般的高校信息化建设主要经过以下几个阶段:网络基础设施建设、旧应用系统整合、新应用系统开发等.[1]在高校信息化建设发展的同时,整体安全状况却不容乐观.高校网络应用日趋增加,网络系统越来越庞大,对外要能够抵御各种黑客攻击,负载均衡等问题,对内要解决规范网络资源使用.信息化安全是当前高校信息业务应用发展需要关注的核心和重点,而高校信息安全需要解决以下安全内容:1)操作系统安全.2)网络信息通信安全.3)网络系统信息内容安全.中国高校网站安全情况极差,根据国内信息安全公司的报告,在2012年5月,国内截获了61万个遭黑客网页挂马的网址,其中教育教学类的网址就有18万个以上.此外,根据《2013年中国高校网站安全检测报告》,高校网站的安全性在全国各类网址中,体检分数排名仅仅比倒数第一名多2分(见图1).值得注意的是,各大学校的科研、教务网站上保存有大量的敏感数据和学生信息,如不加以重视安全保护,极易受到黑客的攻击和窃取,由此引发的高校网站被篡改、被挂马的安全事件频繁出现,最终给高校带来严重的形象及经济损失.另外,高校网站在百度、搜狗等搜索引擎中是热门关键词,由于其安全性薄弱及多方面的利益驱使,是黑客攻击并传播病毒的优先选择目标.信息安全隐患已经成为高校信息化建设过程中无法回避的问题,其严重威胁着高校信息化的推广和使用,[2]威胁着公共安全的多个方面.

2高校信息安全面临的挑战

当前,各大高校都在加大信息化平台的投入,对官网、教务管理系统进行建设,让各类教学资源联网共享,优化校内网络资源等,这些高校信息化的建设是各大高校适应当前形势发展需求而开展的,每个学校都有自己的实际情况和需求,业务开展初期没有一个宏观的规划架构,各个系统之间互不连通,数据不能同步共享、更新,这些系统的功能特性、安全需求和等级、服务的群体、所面临的风险各不相同.高校信息安全面临的挑战,主要有以下几点:1)高校官网易受到攻击:高校官网是学校重要对外交流窗口,浏览访问量巨大,又因为高校网站多为各高校自主搭建,缺乏足够的安全防范技术与措施,所以较容易引起网络黑客的攻击兴趣,黑客利用网页挂马,分布式拒绝服务攻击等方式对学校官网进行攻击,轻则造成网站响应速度变慢,重则导致访问者中毒,或者学校网站无法访问等严重后果.图2和图3分别列出了中国高校网站安全漏洞分布情况和黑客攻击高校网站技术手段分布情况.图2中国高校网站安全漏洞分布情况Fig.2DistributionofsecurityvulnerabilitiesinChinesecolleges图3黑客攻击高校网站技术手段分布情况Fig.3Hackers'attackmethoddistribution2)高校敏感数据被入侵、篡改.高校信息中心的业务数据,包括“校园一卡通”、教务管理系统、图书馆借阅系统、精品课程资源库等,由于保存有大量学生身份证、联系电话、成绩、银行卡号、住址、学生饭卡资金等敏感信息,也成为网络黑手攻击的对象,黑客入侵修改学生成绩、学历,甚至修改毕业证信息等信息安全事件屡见不鲜.3)校园网的内部威胁.高校内部用户上网带来的威胁,包括机房、宿舍、办公楼用户等.由于信息技术发展速度较快,高校在信息安全教育方面没有跟上技术发展的步伐,导致校园上网用户对信息安全重视程度不够,缺乏信息安全保护能力和意识,通过学校局域网或者机房感染计算机病毒的概率很高,使得各种计算机病毒在校园内迅速传播,给学校内网带来安全威胁.另外,有些学生对黑客盲目崇拜,在校内尝试黑客攻击技术,也造成了一些信息安全事故.4)技术人员方面的短缺.很多高校信息管理人员缺乏成熟的管理经验,整体素质比较低,加上管理和制度上的欠缺,使得高校信息系统在运行过程中遇到入侵的概率大大增加.5)需要加大资金投入.越来越多的高校已经认识到校园信息化建设的重要性.但是,由于信息化建设的硬件投入需要较大资金,而很多高校存在资金缺口,导致安全设备硬件的缺乏,进而成为整个安全建设的短板.另外,信息化服务、信息化应用、人员培训等方面也需要大量资金,这些问题不解决,将使得高校的信息化建设失去动力支持.

3解决方案

对于高校校园网的安全建设而言,主要考虑以下几个方面:1)对整个高校的信息安全进行统一规划,建立并实施体系化的信息保障标准,实现学校门户部门公共服务网站教学资源等各类型网站的整合,简化技术维护难度,确保网站的建设质量和安全防护能力.2)全方位的进行建设,在基础层建设方面、网络层建设方面、系统集成方面、管理应用方面,多角度多层面的设计和建设安全需求.3)对涉及敏感数据的区域进行重点保护,划分重点区域,有利于集中管理.4)针对学校的业务需求,引入先进的安全硬件软件等产品,紧跟安全领域的步伐.5)定期进行校园网络体系化建设咨询,风险评估,攻击测试等活动,不断提高安全防护能力.6)信息安全建设过程中要严格遵守国家等级保护要求,结合等级化的方法来设计.7)高校信息化建设与人员的素质息息相关,在加强信息化管理的过程中,需要对校园中使用网络的人员进行安全教育和培训,提高人员的安全意识,[3]形成人人关心信息安全工作,事事重视信息安全保护的工作氛围.

4具体安全措施框架

根据高校自身系统的特点,结合等级保护相关技术要求和标准规范,笔者提出了以下解决方案(见图4).该方案的安全措施框架是依据“防范优先,全面防御”的方针,以及“制度与技术结合”的原则,并结合等级保护基本要求进行设计,主要包括技术体系,管理体系以及安全监控体系三大方面,在核心应用系统方面使用入侵检测系统、软硬件防火墙、杀毒软件定期查杀等常用信息防范措施,保障网络业务在具有一定的安全防护能力下的正常开展.

4.1技术体系

4.1.1架构规划

划分重点保护区域、访问控制、防DDOS攻击,针对重点保护区域使用防火墙进行隔离,配置规范的访问控制权限和策略,交叉使用多家安全厂商的产品,构建严密、专业的网络安全保障体系.

4.1.2应用层面

对校内各Web应用进行入侵检测,及时修补漏洞,利用防火墙对SQL注入、跨站脚本等通过应用层的入侵动作实时阻断,并结合网页防篡改子系统,真正达到“网页防篡改”效果.

4.1.3数据层面

将校内重要的数据放置在重点保护区域,提升数据库自身的安全指数与配置,对数据库的访问权限进行严格设定,最大限度地保证数据库安全.同时,利用SAN、异地数据备份系统有效保护重要信息数据的健康度.

4.2管理体系

任何安全设施和安全产品都需要专业管理人员的审核、跟踪和维护,在安全管理体系的设计中,引入安全经验丰富和对等级保护管理要求理解清晰的专业公司,为高校量身定做符合实际的、可操作的安全管理体系.

4.3安全监控体系

4.3.1风险评估

评估和分析在网络上存在的安全技术,分析业务运作和管理方面存在的安全缺陷,调查系统现有的安全控制措施,评价当前高校的业务安全风险承担能力;聘请资深的安全专家对各种安全事件的日志、记录实时监控与分析,发现各种潜在的危险,并提供及时的修补和防御措施建议.

4.3.2渗透测试

利用网络安全扫描器、专用安全测试工具和专业的安全工程师的人工经验对网络中的核心服务器及重要的网络设备进行非破坏性质的模拟黑客攻击,提高防范意识与技术.

4.3.3应急响应

针对信息系统危机状况的紧急响应设有预案,当信息系统发生意外的突发安全事件时,可以提供紧急的救援措施.通过以上方案的实施,学校业务系统得到安全保障,高校科研、教务、学籍等重要数据免受黑客入侵威胁.高校官网抗攻击性得到加强,在遭受一般的网络攻击下能持续提供网络服务,并检测攻击出处.规范校内用户的上网行为,提高校内用户的整体信息安全意识,提高了网络利用率,减少了内部的网络攻击.另外能逐步完善安全制度并提升管理人员素质.因此该系统的建设能够满足当前高校网络系统的要求.

5结语

当前高校网络系统是一个不断发展壮大的多功能复杂系统,在提供日常的教务管理、学校宣传的同时,也面临着越来越复杂的信息安全威胁,网络技术不断发展的同时,现有的系统自身的漏洞与弱点也会不断被发现,信息安全风险日益突出,成为当前高职院校中信息化建设过程中必须面对与亟待解决的问题.信息化建设和发展对于高校未来的教育工作有着非常重要的现实意义,因此,需要加大资金投入,保证校园向着信息化方向发展,[4]以信息安全为出发点,将系统从项目立项开始就纳入管理范畴,从而实现对高校信息系统的有效管理.[5]在高校信息化建设中实施信息安全保护建设工作有利于提高全校的信息系统安全建设水平,能不断的同步建设各种信息安全设施,让信息化建设与信息安全同步发展,能提供全面的并有针对性的信息系统安全建设,降低网络系统建设成本,有利于优化信息安全资源配置,保护信息系统分类,确保高校信息平台的安全运行.

作者:聂晶 单位:南宁职业技术学院

[参考文献]

[1]于莉洁,王松盛,唐丽华,等.高校信息化建设中的信息安全问题研究[J].信息安全与技术,2016(3).

[2]赵欢,陈熙.高校信息安全体系的研究与实现[J].中国教育信息化,2013(13).

[3]谭博.高校信息化建设进程中信息安全问题成因及对策探析[J].信息与电脑:理论版,2016(11).

网页升级访问紧急通知篇(6)

一、领导重视,责任落实,奠定维稳工作基础。为了确保各项工作井然有序的开展,顺利完成年度目标任务,镇党委、政府与各村(居)、综治成员单位签定了综治暨平安建设工作责任书,各村(居)也与各村民小组签订了综治工作年度目标责任书。年终镇对村(居)的工作目标完成情况进行考核验收,考核结果与村干部绩效工资相挂钩,奖勤罚懒,目前,2009年党委政府对村居考核结果已经公示。各村(居)对村民小组也采取相似的奖励机制,积极调动大家的工作主动性,增强工作责任感,形成了由被动干转变为主动抓的良好局面。

二、创新机制,注重化解,确保社会和谐稳定。为确保**地区社会稳定,**镇党委、政府认真贯彻落实“区委书记大接访”活动精神,集中精力开展了以“全力解决矛盾纠纷,消除信访隐患”为主题的矛盾纠纷排查化解活动:一是强化矛盾纠纷隐患调处责任制。深入开展矛盾纠纷和信访隐患的摸排调处,实行一般矛盾纠纷周报督办制和信访重点人员稳控一日两报制,对不稳定因素和隐患做到及时发现、及时解决。镇主要领导坚持在每周党政例会上督办分管领导、联村领导对矛盾纠纷、信访隐患包保办理等情况,并研究安排限期解决问题的措施和督查意见。要求包保领导和责任人到户见人,进行面对面的沟通,心与心的交流,切实解决群众的实际困难和问题。二是创新矛盾纠纷信息公开机制。运用政府门户网站、有线电视政务公开频道、各村居户外电子公告屏等宣传媒介,适时公布矛盾纠纷、信访事项和政府网站在线受理情况的受理过程和意见答复,广泛听取群众意见,征求群众的处理意见和建议,主动接受群众监督,政府工作的透明度得到进一步增强。截止目前,已公布6期《矛盾纠纷调处情况公告》,群众反响较好。三是超前化解项目建设引发的矛盾和问题。今年以来,寨西商业街、镇科技文化活动中心等项目建设相继启动,征迁工作乃重中之重,为确保项目建设顺利进行,党政联村、分管领导及工作人员夜以继日的进村入户,耐心细致的宣传项目建设的重要意义和有关征地、拆迁、补偿等政策法规,逐步取得广大群众对项目建设的理解和支持,有效避免了可能发生的矛盾纠纷,解决了群众的后顾之忧。四是启动突发事件应急预案,保障人民群众生命财产安全。今年9月1日因受“凤凰”台风等因素影响,寨西新村发生山体滑坡,导致挡土墙倒塌,临时工棚被压,在建的3户安置房受影响。**镇政府及时启动了应急预案,镇长黄德顺在事故发生的第一时间赶往现场,指挥迅速组织抢险,消除现场危害。8月8日,镇党委书记于亮主持召开专题会议,对灾害治理、受损处理等明确了责任主体,对下一步征求意见、安置群众、灾害治理等工作进行了详细部署安排。由于党委政府自始至终本着人民群众利益至上的原则,与群众充分沟通交流,争取了群众的理解与支持,使灾害治理等工作稳步进展,有效避免了矛盾激化和群众上访事件的发生。五是引导群众以诉讼途径维护自身权益,妥善化解疑难信访问题。今年以来,镇主要领导本着依法解决问题,主动引导群众通过诉讼途径维权,化解了一些多年未结的疑难复杂问题。如:XX年,冈村16组戴锦宣租用供销社仓库,从事食用油的兑换、加工和销售,于XX年年3月中旬某晚,携妻子突然弃厂而去,厂内机械设备及油品全被搬走,当时,存放在厂内的茶籽油、菜油达5000余斤,涉及冈村及大岭下等村近60户农户,戴锦宣另欠少数农户现金达2万余元。戴锦宣及其妻子至今去向不明。部分农户也曾联名写信到镇政府。此后,镇党委书记于亮到冈村调研时,进一步了解情况和群众诉求,在镇党政联席会上明确由镇司法所牵头,派出所协助,调查了解该事件的来龙去脉,会同村委会及时引导群众通过司法途径维护自身合法权益,司法所予以法律援助。目前,法院已该案件正在审理之中。此外,程胜财信访问题也多次在镇党政领导的亲自过问、接待和分管负责同志的直接协调下,已向法院提起了民事诉讼,以通过诉讼途径最终解决问题。据统计,2009年,全镇共排查调解各类矛盾纠纷115起,较去年同期下降37%,调处成功114起。全年受理信访13起,较去年同期下降16%,已全部办结,全年未发生一起“民转刑”案件、群体性事件和集体越级上访事件,也未发生一起重大安全生产事故。

三、人防为本,优化技防,全面构建防范网络。近年来,**镇积极打造综治民生工程,进一步优化防控水平,通过组建专业治安巡逻队、建设数字视频监控系统,实现了“人防、物防、技防”协调联动。XX年年底,我镇从退伍军人中择优录取6人,由政府出资10万元,成立了专业治安巡逻队,工资待遇全部由政府承担。一年来,治安巡逻队充分发挥其职能作用,在重点时段对重点单位、重点路段有针对性的开展巡防守护,使派出所对辖区逐步实现全时空、全方位、全覆盖的巡逻防控,预防和减少了各类违法犯罪的发生,增强了群众安全感。截止12月底,巡逻队直接抓获现行违法犯罪嫌疑人7名,网上逃犯1人,挽回直接经济损失10万余元。同时,**镇以“数字**”建设为契机,开展治安防控“数字化”、“信息化”、“网络化”建设,与黄山风景区建成了应急联动子系统,在全镇主干道、村民聚居地和各景区景点安装了45个数字视频监探头,在所有村居的主要路口都建立了治安电子提示屏,真正做到了“治安提示到村口”、“信息联网到宾馆”、“应急反应到村居”,有力地震慑了违法犯罪,提高了治安管理和防范水平,为全镇人民的生产生活营造了平安和谐的发展环境。据统计,2009年,全镇共发治安案件35起,较去年同期下降61.5%,共发刑事案件26起,较去年同期下降61%。无治安混乱地区和突出治安问题,社会治安秩序稳定。 共2页,当前第1页1

四、规范管理,加强帮教,扎实开展矫正帮教。一是社区矫正工作有序开展。对社区矫正对象实行每周电话汇报,每月书面汇报和集中培训学习及义务劳动,定期进行走访或个别谈话等制度,及时掌握思想动态,及时帮助纠正错误。同时,实行每人一档,适时进行分等级分阶段管理,有针对性的采取矫正措施,开始尝试对他们进行心理健康知识的教育,从根本上逐步消除他们的违法犯罪念头。目前,经综合评议,除一人获批准长期外出务工,四名对象均被评定为普通管理等级,无一人重新犯罪。二是帮教安置工作重点突出。全镇共49名刑释解教人员,其中刑满释放34人,解除劳动教养15人,外出务工3人。为切实加强帮教力度,加强了对“重点人员”的联系、走访、衔接、帮教等工作,同时完善了一人一档资料,加强动态管理,最大限度预防其重新违法犯罪。为尽可能协调解决其就业安置问题,司法所与环卫所共同建立了**镇第一个过渡性帮教安置基地。为鼓励支持刑释解教人员自谋职业,经司法所与**工商所协调,**居委会刚回归的程牡丹及时享受到工商费减收政策。

五、毗邻联防,协调配合,共同打造平安边界。为进一步打造平安边界,促进毗邻地区经济社会稳定健康发展。今年,经**镇与毗邻5乡镇深入交流、探讨,对XX年通过的《**镇毗邻地区联防联调委员会章程》进行了适当修改、完善,重新签订了《**镇毗邻地区联防联调联治暨平安边界创建公约》,使毗邻地区联防联调工作更与时俱进,推进**镇创建平安乡镇、综治模范乡镇进程。

六、立足实际,拓展领域,着力开创工作新局面。为深入推进全镇综治暨平安建设各项工作,为旅游经济发展创造更加稳定和谐的社会环境,**镇今年还重点开展了以下创新工作。一是对不良行为青少年采取包保帮教制。深入排查梳理全镇所有闲散青少年、服刑在教人员未成年子女、辍学生、孤儿、流浪未成年人及外出务工人员留守未成年子女等特殊青少年,针对性开展的教育、管理、服务、救助等活动,最大限度的预防和减少青少年违法犯罪。二是综治暨平安建设工作进景区。立足于平安景区创建思路,进一步拓展创建平安景区的内涵,全面开展综治暨平安建设工作进景区活动,为**镇旅游经济持续发展创造稳定的“软环境”。三是平安创建进宾旅馆。创新平安建设工作机制,推进创建活动进宾旅馆,今年正着手试点开展星级宾旅馆创建活动,以提升其品牌效益和经济效益,明年准备将创建活动延伸到大型宾旅馆,扩大创建工作的覆盖面,同时,对已经命名的平安宾旅馆实行动态管理,以提升创建质量。四是平安创建与村民自治相结合。各村居新修订的《村(居)民自治章程》,均将村(居)民违规上访、违规用火、违反计划生育政策等法律边缘问题与所获集体经济利益挂钩,兑现奖惩。如芳村村《村民自治章程》规定,严禁违规上访,对第一次违规上访的,取消当事人1-3年的集体利益分配款;同一事由再次违规上访的,取消其家庭成员1-3年所有的集体利益分配款等惠民政策。以上措施对有效遏制违规上访事件的发生。

七、调研和创新工作初见成效。一是总结提炼经验得以推广。近年来,**镇立足打平安和谐黄山南大门,夯实综治基层基础,加强治安防控网络,提高群众生活质量,在“强、优、合、实”四字上下功夫,以努力建成全国文明重镇和国际旅游重镇。2009年,由镇综治办拟稿,区综治办报送的《**倾力打造平安和谐黄山南大门》已被刊登在市政法委、综治办主办的《政法综治动态》上,要求各地学习借鉴。二是创新调解举措开创局面。为实现人民调解与司法调解的良性互动,减少群众诉累,节约司法成本,促进社会和谐,**镇制定了人民调解与司法调解衔接的实施办法,建立了诉前、诉中、诉后调解及联席会议、信息反馈、培训指导、档案管理等机制,发挥人民调解在诉前、诉中、诉后的基础性、前瞻性作用,切实健全了社会矛盾纠纷的多元化调处机制。今年9月2日,率先在黄山风景区人民法庭内设立了调解室,实现了司法调解与人民调解的无缝衔接,提高矛盾纠纷化解实效和质量,最大限度地增加了社会和谐因素。**镇率先在全市设立法庭人民调解室这一创新做法,也及时刊登在《安徽法制报》上。下一步争取在日常工作衔接上取得成效。此外,《平安黄山》杂志上还刊登了**镇综治工作3篇信息、调研文章。此外,由镇综治办整理上报的白云轿队管理员程先洪见义勇为荣获全省见义勇为先进事迹三等奖。

网页升级访问紧急通知篇(7)

上期的“网络天才”,我们介绍了网络工程师需要高度重视的内网“嗅探”问题,因为它很有可能将公司秘

>> 铜墙铁壁 “铜墙铁壁”的背后 铜墙铁壁是众人 筑起数据铜墙铁壁 铜墙铁壁筑长城 为服务器减负 铜墙铁壁围大京 铜墙铁壁砥洎城 构筑电脑的“铜墙铁壁” 软件为刀片服务器加分 为云服务器正名 为刀片服务器降温 Windows服务器补丁你伤不起 构筑中国应对危机的“铜墙铁壁” 国外防菌有“铜墙铁壁” 长期伏案,后背易变成“铜墙铁壁” 人民到处筑起了铜墙铁壁 真正的铜墙铁壁是群众 真正的铜墙铁壁是什么 智慧洞开那面“铜墙铁壁” 常见问题解答 当前所在位置:

SERV-U

/soft/8718.htm

“早啊!凌晨4点的空气真新鲜。”老刘开玩笑般地冲着睡眼朦胧的小白打招呼。“刘哥,不至于吧?这么大早上来公司修补服务器来?我还没睡够呢。”小白郁闷地回了一声。“去不去?我昨天没睡觉才做好的安全方案,去机房我再给你讲”。老刘来到机房叮嘱:“进机房先要去除尘室,为了保证机房的干净。对了,你去4号橱拿一套工作服来。”(小提示:企业的机房为保证机房干净会有专门机房工作装和鞋套)

安全升级配置单

―Web服务器

根据昨天分析的服务器被入侵情况,首先要整理公司唯一对外可访问的Web(网页)服务器。公司的Web服务器采用了Windows 2003+IIS6.0系统,当初时间紧迫,默认安装后就直接使用了,今天要进行全面的升级设置。

封住入口―目录权限与审核

首要解决的是目录权限和信息审核问题:攻击者通过ASP木马只能获取网页目录的管理权限,而其他目录则没有执行权限。这样可以降低Web服务器沦陷后对内网的威胁。我们以系统盘为例介绍,假设磁盘有C、D、E、F四个分区,点中C盘,选择“属性安全”标签,只给 Administrators 组和 SYSTEM 组的完全控制权限。方法是选中Administrators 组,在“允许”一栏中勾选所有选项,同样方法设置 SYSTEM 组。对于其他组,将其中的选项一律空置。

其他需要修改权限的目录

系统盘\Documents and Settings 目录:只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Documents and Settings\All Users 目录:只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、 tftp.exe、telnet.exe netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全控制权限,目录内其他文件一律给予everyone权限。另外,将系统盘\winnt\System32\cmd.exe、、ftp.exe转移到其他目录或更名。

此目录下有些目录都只能设置Administ rators权限,并且要一个一个目录查看,包括下面的所有子目录。删除C:\inetpub目录。

“咱们公司服务器上只有一个网站,所以比较简单,网站目录对应一个USERS权限的用户,在IIS的‘虚拟目录属性目录安全性匿名访问和验证控制编辑匿名访问编辑’填写USERS权限的用户名。 设置其他所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的文件夹设置为允许这个用户访问(见图1)。”

(1)

增加哨兵―设置本地安全审核

如果说权限设置是设置法律,那么安全策略就是负责监督的哨兵。在“开始菜单设置控制面板管理工具本地安全策略”中进行如下设置:

在“本地策略审核策略”中,选择“审核策略更改”,勾选“成功”与“失败”两项,其他按照下面的方式选择,如“成功失败”表示勾选两项。

审核登录事件 成功 失败

审核对象访问 失败

审核过程跟踪 无审核

审核目录服务访问 失败

审核特权使用 失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

本地策略用户权限分配

关闭系统:只有Administrators组、其他全部删除。

通过终端服务允许登录:只加入Administrators,Remote Desktop Users组,其他全部删除

在“本地策略安全选项”中,选择“交互式登录:不显示上次的用户名”,然后选择“启用”,其他进行如下设置。

网络访问:不允许SAM账户和

共享的匿名枚举 启用

网络访问:不允许为网络身份验证储存凭证 启用

网络访问:可匿名访问的共享 全部删除

网络访问:可匿名访问的命 全部删除

网络访问:可远程访问

的注册表路径 全部删除

网络访问:可远程访问的注

册表路径和子路径 全部删除

关闭无关的进程服务(在“运行”菜单中输入“services.msc”进入),然后选中“Computer Browser”服务,右键点击“禁用”。其他需要禁用选项如下。

Help and Support

Messenger

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

Workstation

未雨绸缪―备份IIS站点信息

为了让攻击者无法进一步入侵,应该把IIS备份一份,万一被攻击者破坏也能及时恢复(见图2)。

(2)

第一步:选择本地计算机右键菜单中的“所有任务备份/还原配置”来备份IIS,但这种操作如果重装Web服务器或将一台Web服务器移植到另一台Web服务器时就无能为力了,这时可使用IIS备份精灵来实现IIS的备份和移植。

第二步:启动IIS备份精灵,在站点列表上就会列出IIS服务器上配置的各种站点了,勾选你要备份的站点然后单击“导出站点”按钮,在弹出的“导出IIS站点”窗口上选择好文件保存路径,“确定”后,站点配置信息就会以一个TXT文本文件保存下来了。

第三步:在重装IIS服务器后需要导入站点信息时,运行IIS备份精灵,单击“导入站点”按钮,在弹出的“IIS导入站点”窗口上选择要事先备份好的IIS站点信息文件,按“确定”后即可导入。

安全升级配置单

―FTP服务器

对于FTP服务器,大多数企业都是用于存储公司员工的个人文件,也被称为文件服务器。小白在的公司采用的是Windows 2003 + Serv-U 5.0版FTP服务端 + IIS6.0组成的文件服务器。小白检查完所有Serv-U的用户,发现用户列表中多了一个完全控制权限的dircmpt的用户。

“FTP服务器也有入侵者!是我的失职,向公司所有计算机发送通知,暂停FTP服务器!重新安装新版本的Serv-U服务端,你在旁边学着如何设置FTP服务器,以后这些工作你都要非常熟悉!”老刘有点颓废地说道。

由于Serv-U的管理端口、账号和密码等重要信息是保留ServUDaemon.EXE文件里,因此下载后用如UltraEdit等16进制编辑软件就可以很轻易地获取到修改后的端口、账号和密码。如果要修改端口号,只需在UltraEdit中搜索“localadministrator”,后面就是账号名,同样方法可以找到密码和端口(见图3)。

(3)

实例:发现陌生用户该怎么办?

如果再发现FTP服务器上出现陌生用户,要进行下面几个应急方案:

1.安装新版本。Serv-U,6.0的版本可以在ServUDaemon.ini中加上LocalSetupPortNo=12345,改变默认的管理端口,再采用IPSec限制任何IP(包含网卡绑定的10.4.1.101和本地默认127.0.0.1)访问12345端口访问,即增加12345端口的阻止。

2.使用“设置更改密码”的按钮,即在ServUDaemon.ini中加上LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39之类的MD5密码。

3.修改Serv-U安装目录D:\FAVR4SFDGSD\TTR的权限(目录名建议修改,为了安全,请不要使用默认目录),设为Administrator组完全控制,拒绝Guests组用户访问Serv-U目录。

相关文章
热门文章
相关期刊