安全管理系统方案(推荐8篇)
kill终端安全管理系统(ksms)面向企业级用户,涵盖资产管理、终端保护、应用监管、审计分析四个方面,将终端安全、管理和维护同其业务目标相结合,保障计算机终端持续有效运行,
性能亮点
ksms客户端在运行时只占用1%左右的cpu资源、占用2m左右的内存资源,对系统性能影响非常小。提供对终端生命周期管理(elm)策略的全面技术支撑,将终端安全、管理和维护同其业务目标相结合,保障计算机终端持续有效运行。ksms终端在网络环境下接受安全策略保护和管理,移动办公时仍受安全保护。ksms安全策略可灵活定制,更加适应用户多样可变的需求;为方便使用,贴近国内用户实际使用状况,且能够根据新的需求进行定制开发。
产品经理支招
北京冠群金辰软件产品经理刘炯称:“终端安全涉及两个关键词,保护和管理,
保护的目标,就是要保障计算机终端安全使用。具体可通过防止恶意代码传播、控制网络访问、弥补漏洞、限制资源滥用、监控用户行为等方式实现。管理就是要通过企业级的集中控制实现统一管理。一方面,集中收集终端信息、统一监控管理;另一方面,将企业级的安全策略分配落实到所有计算机客户终端。”
工程师点评
kill终端安全管理系统功能全面,通过多种方式保障用户计算机安全使用,对企业it管理和制度落实提供有效技术支持。
一、风险需求分析
1、设备密码管理
IT系统口令对IT系统的安全是非常重要的,因此随着IT系统数量庞大,IT系统的口令管理工作量越来越大,复杂度也越来越高。但在实际管理中,由于管理和使用的矛盾导致IT系统口令管理存在很多安全隐患。主要表现如下:
(1) 为了满足安全管理要求,IT系统的口令需定期修改(一般半个月或一个月),这大大加大了口令管理的工作量;
(2)口令强度要满足安全要求,其复杂性也有一定要求。一方面加大了修改口令的工作量和复杂度,同时对维护人员来说也很不方便,经常是将口令记录在记事本上,造成口令泄露问题。同时在实际操作中,经常将口令设置为很有规律性,一旦知道一个口令,很容易知道其他系统的口令;
(3)由于很多系统是由外包厂商提供运维服务,所以口令也容易外露出去。
数量众多的服务器,导致存在更多的密码,这些密码的存储,传输,获取都存在IT风险。
2、用户认证安全管理
关于用户管理,实现多种认证方式,针对不同等级的用户使用不同的认证方式。
普通认证方式:帐号 + 密码
证书认证方式:USBKEY+PIN码
动态口令认证:令牌 +PIN码
其中,动态口令可以通过手机短信来实现动态令牌
3、其他风险分析
(1)多入口操作现象
随着IT系统构成的复杂,在运维过程中可通过多种入口对IT系统进行维护,导致无法统一管理、设置统一安全策略等而引起各种安全隐患。
(2)交叉运维操作现象
在IT系统运维过程中,存在多种管理角色,如设备管理员、系统管理员、安全管理员和应用系统管理员等,同时对于同一个角色也同样存在多个管理员。对于这些管理员进行维护时,可能是使用IT系统的同一个帐号,这样一旦出现问题很难定位具体某个人的操作。
(3)越权和违规操作
根据最新的统计资料,11%的安全问题导致网络数据破坏,14%的安全问题导致数据失密,而从恶意攻击的特点来看,70%的攻击来自组织内部。尤其面对拥有特权的维护用户,由于以前没有一种技术手段来控制其操作,所以出现越权或违规操作的现象时有出现。
如何建立一种技术手段,能保证可信的用户才能访问其拥有权限的资源,控制这种越权或违规操作,并能对这种越权或违规操作进行告警,以便安全人员能对此类操作进行分析,避免出现严重后果的情况下才发现。
4、无详细操作记录
针对运维 操作 ,IT系统是靠 系统日志 方式进行 记录的。它存在以下问题:
(1)系统日志不独立,无法防止被篡改;
(2)系统日志记录信息不全面,目前系统日志记录的信息相对简单,而且检索不方便。
能否建立一种技术手段,将运维操作的所有内容进行记录,支持在事中或事后进行场景回放,并支持防篡改。
5、无法满足合规性检查
随着IT系统的重要性和对业务系统影响越来越大,相关的法律法规对其安全性、可持续性工作、IT操作风险以及企业内控等都有明确的要求,企业每年均有内审和外审来评估IT系统的安全性。目前面对这些合规性检查,只能是制度上的检查,没有有效的数据和技术来说明这些制度是如何落实的。
因此需要在IT系统安全运维方面建立一种或多种技术手段来满足合规性要求,以满足合规性检查的需要。
6、没有运维安全分析报告
目前运维管理方面,由于没有数据,无法实现定期的运维安全情况的分析报告。对运维过程存在的问题无法有定量或定性的分析数据,只能简单从安全事件方面进行描述。
因此需要有一套系统,能从运维操作的实际数据中分析运维安全情况,定量地展现运维安全态势。并能通过安全情况分析,发现潜在安全风险,辅助企业改进IT系统的安全建设。
二、IT 需求解决方案
1、产品选型
通过市场调研,发现江南科友的HAC1000堡垒机系统能够实现大部分功能,在此基础上进行定制开发,实现企业其它需求。
2、系统部署
运维区人员通过浏览器连接到运维安全系统,在浏览器中可以通过telnet或ssh等命令行模式连接到后台业务主机,也可以通过windows2003使用plsql等客户端工具连接到后台业务主机。
根据HAC支持的部署方式和用户网络结构,考虑HAC产品引入尽可能减少对现有网络结构的改变,一般采用单臂部署模式。具体部署位置建议部署在运维区域。所有的运维均通过HAC的认证后方可访问IT基础设施,包括主机、服务器、网络与安全设备等。其逻辑示意图为图1:
3、运维操作流程
(1)运维客户端通过https访问HAC系统;
(2)HAC接收到运维请求后,则会要求运维人员输入HAC用户名和验证密码,或者是其它身份验证方式。当身份验证通过后,HAC将显示其拥有权限的目标资源;
(3)用户在页面选择目标服务器点击运维即发起访问后台服务器的请求,并等待审核人员审批;
(4)审核人员在系统中审批运维客户的申请,同意后运维人员才能进入目标服务器运维;
(5)运维客户端显示后台服务器桌面,即可进行各种运维操作;
(6) HAC将记录运维的所有操作和结果。
三、系统实现功能
1、设备密码管理
为了保证运维安全管理,系统将IT系统帐号、口令进行统一管理,并支持系统帐号分配和口令自动修改等功能。
(1)口令管理
1实现Windows、Unix系统、网络 / 安全设备帐号口令统一管理;
2支持对IT系统帐号的口令实施自动定期修改和人工重置功能;
3实现运行中心维护人员通过Telnet/SSH/FTP/SFTP/RDP/Xwindows协议访问IT系统的自动登录功能。
(2)帐号管理
1提供Unix系统帐号的收集、过滤及管理功能;
2提供Windows系统帐号录入及管理功能;
3提供IT系统帐号到运维用户的分配功能;
4支持IT系统帐号级别设置,通过帐号级别与敏感操作告警与阻断关联。
2、运维用户认证管理
HAC系统提供一套运维用户管理功能,实现“谁做了的问题”。具体功能如下:
(1)提供用户建立和维护的功能;
(2)支持用户组的设置;
(3)支持用户多种认证方式,支持双因素动态令牌认证(短信发送);
(4)支持用户口令 密码强度、口 令长度、口 令尝试死锁、口令有效期等安全策略;
(5)提供用户是否激活的管理;
(6)提供用户信息的导入导出功能。
3、资源管理
HAC提供对IT系统资源进行管理,具体功能如下:
(1)提供IT系统的建立和维护功能;
(2)可细分IT系统提供的不同服务;
(3)支持资源组设置,以满足不同业务系统管理的需要。
4、授权管理
授权管理是实现运维用户获取访问IT系统资源权限的管理。
(1)提供用户到资源、用户组到资源、用户到资源组、用户组到资源组的授权;
(2)提供基于客户端地址、访问时间、访问时段的授权规则;
(3)支持授权规则模版。
5、运维操作
运维操作 是用户基 于Telnet/FTP/SSH/SFTP/RDP/Xwindows协议通过HAC对IT系统进行维护和变更操作。
(1)Telnet/FTP/SSH/SFTP运维操作
1支持通过Telnet/FTP/SSH/SFTP协议对IT系统的运维操作;
2针对Telnet/SSH协议,提供按序号、IP地址、资源名选择需要访问的IT系统,也提供根据资源组(业务系统)方式进行过滤;
3针对FTP/SFTP协议,提供方便的运维操作。
(2)RDP运维操作
1支持通过RDP对Windows 2000/2003/2008 Server、Windows XP等Windows环境的服务器的运维操作;
2支持Windows服务器本地用户和域用户登录;
3支持以会话或Console方式登录Windows服务器;
4提供用户可设置是否启用磁盘映射和剪贴板的功能;
5提供方便的选择Windows服务器方式,支持按资源组、资源名通配、IP过滤;可按资源名、IP、资源组等进行排序。
(3)Xwindows运维操作
1支持通过Xwindows对Unix服务器的运维操作;
2提供方便的选择Unix服务器方式,支持按资源组、资源名通配、IP过滤;可按资源名、IP、资源组等进行排序。
(4)双人操作支持
对于关键的运维操作,从安全管理上要求必须双人在场方可操作。系统支持以下两种情况下的双人操作:
1操作开始就需要双人在场操作;
2运维人员在操作过程中,针对有些操作需要双人,可请求双人操作。
6、敏感操作告警与阻断
(1)针对命令交互性协议提供敏感操作的设置;
(2)敏感操作响应方式支持告警和阻断方式;
(3)告警支持邮件告警、审计平台告警、声音告警;
(4)邮件告警信息包括会话基本信息、敏感操作内容等;
(5)结合帐号级别,可实现不同用户级执行不同响应方式;
(6)对当前存在告警的会话操作,允许管理员强行中断会话;
(7)阻断命令和强行中断会话在客户端有良好的提示。
7、运维操作监控
(1)提供正在活动会话情况的监控;
(2)提供当前活动用户情况监控;
(3)提供当前被访问资源情况监控;
(4)提供当前操作的会话操作实时监控(图形协议除外);
(5)允许管理员强行中断某一个活动会话,并在客户端有良好的提示。
四、审计功能设计开发
1、运维操作审计
(1)提供当天会话操作显示,并针对存在敏感操作的会话进行标识,并且根据敏感操作级别采用不同颜色进行标识;
(2)提供基于用户、客户端地址、资源名、资源地址、时间和操作关键字(RDP协议除外)进行会话检索功能;
(3) 提供会话图形化的回放功能,回放支持快进、慢放、暂停、拖拉等功能,对命令交互式协议支持按命令进行定位回放,对图形协议支持按时间进行定位回放;
(4)针对命令交互式协议,支持逐条命令及其结果显示的审计方式,并能基于关键字进行检索;
(5)对已审计的会话操作具有标识;
(6)提供运维操作统计,可支持根据时间、用户、资源、用户组、资源组进行运维操作的统计,提供列表、饼图、直方图和曲线图,并可关联到具体的会话操作。
2、告警审计
(1)在审计平台上实时显示今日发生的告警,并依据告警级别用不同颜色进行标识;
(2)支持告警类别、级别、资源、用户、协议、时间进行告警检索;
(3)对于正在会话的告警,可关联到运维操作监控中的实时监控功能;
(4)对于已完成的会话告警,可关联到运维操作审计。
3、系统自审计
(1)系统记录系统管理员对HAC的操作进行记录,记录内容包括时间、管理员、客户端地址、操作模块、操作内容等信息;
(2)能显示今日管理操作记录,并支持根据模块、管理员进行过滤;
(3)支持根据模块、管理员、时间进行管理操作的查询;
(4)提供运维用户操作权限审计功能,支持用户名、资源名过滤;
(5)提供管理员角色、用户情况、资源情况和授权规则的审计。
五、统计与报表
1、提供基于日、月、年和用户自定义条件为单位的运维操作统计报表功能,具有总操作数、敏感操作总数、流量总量等情况,资源被操作top10、资源被操作反top10、资源被操作情况分布(操作次数、敏感操作发生次数、流量)、用户操作top10、用户操作情况分布(操作次数、敏感操作发生次数、流量)、协议分布情况(操作次数、敏感操作发生次数、流量)、时间分布情况(以小时为单位,以操作开始时间为准次数、敏感操作次数)等;
2、提供系统管理操作统计报表功能,具有操作总数,各模块操作分布情况、管理员操作情况分布、时间分布情况等;
3、提供系统管理操作查询报表功能,支持按时间、模块、管理员等进行查询形成报表;
4、提供敏感操作统计报表功能,具有发生总数、按级别分布情况、按资源分布情况、按用户分布情况,按时间分布情况;
5、提供资源、用户、权限等系统配置情况查询报表功能;
6、提供相关报表的定时产生功能。
六、应用效果
系统投入运行后,满足了IT审计的合规性,规避了IT操作风险。主要体现在:
1、任何操作有记录:运维人员的任何操作行为有详细记录,包括用户、时间、IP、对象、内容和审批信息等等,符合IT审计要求。
2、任何操作可追索:运维人员对服务器的各种操作,都有录像保存,选择回放,可以把运维人员的每一动作看的清清楚楚。
引 言
“安全第一,预防为主”是在建筑施工场地经常能见到的一句标语,然而,很多建筑施工场地仅仅是把这句标语看作是一句空话,使之流于形式。要从根本上杜绝建筑施工中的安全事故很难,我们能做的就是严格落实安全生产责任制,寻找科学的管理方法,再结合建筑施工的固有特点以及经验来降低事故的发生率。建筑施工中出现的安全事故在我国重大安全事故排行榜上已经上升为第三位,其中位于第一位的是交通事故,第二是煤矿安全事故,因此,它已经成为国家重点关注的对象之一。导致建筑施工安全事故频发的主要原因是施工中的管理方法的不恰当,因此,加强建筑施工中的安全管理势在必行。
安全施工管理
安全施工管理是建筑工程中十分重要的概念,主要管理的是建设工程中行政部门对施工现场安全的监督管理工作,保证施工人员的人身以及财产的安全。安全施工管理遵循的原则是“安全第一,预防为主”,始终将预防事故作为总的指导方针,结合科学的管理方法,将所有可能发生的不安全因素考虑进去,进行分析,然后根据现场的实际情况采取相应的预防措施,最大程度上降低发生事故的可能性,保障工程安全可靠地进行。安全施工管理在建筑工程中的运用,有利于工程项中的各项活动在安全监管范围内,更加有效安全,同时也是建筑企业承接工程的必不可少的条件。
我国建筑安全施工管理现状及解决方案
1. 政府参与
在建筑工程中,对安全的监管不只是建筑企业的工作和职责,同样也是政府部门的职责所在,只有政府参与监管的施工管理,在安全管理上才能有实质的提高。政府的干预应该在工程建设之前以及工程建设的过程中,贯穿始终,而不是单单在事故发生之后才参与其中,在之前有足够的重视,并采取相应预防措施,则能有效地避免事故的发生,保证工程的安全顺利的进行才是安全施工管理的目的所在。
2. 正确认识
认识不足分为两个方面,一方面是建筑企业对安全管理的认识不足,另一方面是施工人员缺乏安全意识。建筑企业若对安全施工管理没有抱着正确的态度去对待,在施工过程中,不重视安全措施对施工人员的防护,使得国家对安全的相关规定和安全管理机构形同虚设,很容易造成施工人员对安全的误解,导致施工人员在作业时马虎,很容易发生安全事故。所以,施工单位和企业要对安全管理有足够的认识,在施工过程中反复强调,上行下效,提高施工人员对安全的重视,结合相关的法律法规使得安全管理有效地运行,保证施工现场生产、作业的顺利展开。由于建筑一线一些工作技术门槛相对不高,从事人员的素质普遍不高,因此在安全方面的意识相对薄弱,对管理也缺乏经验,但是施工人员是安全问题的直接承受者,所以企业和管理人员为了提高施工人员对安全知识的认识程度,安全宣讲和培训显得十分必要。
3. 加强宣传
在建筑工程中,除了要对施工人员的人身安全负责,还要对建筑物本身的质量、对人民群众的人身安全负责,人的生命只有一次,必须放在建筑工程的头等位置上。如何提高对安全施工的重视?宣传教育是最直接也是最有效的办法,宣传教育的方式多种多样,比较传统的就是在施工现场贴标语,使得每一位进出工地的人员都可以看见,在潜移默化中,将安全问题牢记在心中,另外一种常见的就是开会强调,分发安全宣传小册子,让员工在学习中成长,同时在会议中对安全问题上纲上线,引起足够的重视,并且检查宣传效果,保证安全的落实,安全工作和管理的到位。安全管理人员要经常去施工现场监督检查安全工作,也要将安全帽等防护装备分发给每一个人,保证装备本身的质量,保证每一位作业人员以及到现场的人员只有做好安全措施方能进入施工现场。
4. 提高素质
针对施工人员,在大力宣传和讲解安全知识的基础上,提高其基本素质,主要方法是培训,培训内容包括业务技术、知识文化以及安全意识。除却业务技术上的提高,减少安全事故发生的几率,还要提高作业人员的知识文化素养,这样才能更好地理解工程图纸,将图纸转化为具体工作,还有对自我保护以及安全的意识。作业人员在培训中合格后,才能入岗。
5. 建立机制
安全机制不构建全也是我国建筑工程的现状之一,因为机制的不完全,很多责任不甚明确,难以贯彻实施下去,导致工作上的严重失误。对安全事故的处理流程也比较混乱,未能将“安全第一,预防为主”的总指导方针真正落实,因此建立长期有效的安全管理机制的工作势在必行。可以从两个方面入手,首先,必须确认施工单位的安全许可证明和营业证明,并且保证每一位参与工作的施工人员都持有建筑以外伤害保险,只有符合标准的施工队伍才可允许进入现场参与建设工程。其次,在施工过程中,建立安全管理监督小组,对建筑安全进行不定时地检查,并实时监督,确保安全的可靠和到位。
结 语
经济的飞速发展,也体现在建筑业上,经济需要稳健可持续,在建筑业中更需要稳当、安全、健康地发展。建筑施工的安全不仅仅关系到施工人员的生死存亡,也关系到建筑企业的生死存亡,更是建设社会主义和谐社会的重要内容,所以建筑安全施工管理的作用不容小觑。
为了落实威海综治(2017)9号《关于开展校园及周边环境治安综合治理大检查暨校园十九大安保维稳工作督查的通知》和区教育局《创建平安校园》的文件精神,根据上级要求,结合幼儿园工作实际,进行了全面、细致地安全隐患排查工作,并且召开教师会议,专门研究幼儿日常活动中的安全教育问题。我们幼儿园组织全体教职工对幼儿园安全工作情况和形势进行认真分析的基础上,开展了一系列安全自查工作,我园特制定工作方案如下:
一、建立幼儿园安全工作小组:
组长:孙琳全面负责本园的安全教育和安全工作。
副组长:王风负责安全信息,督促各项措施的落实,并重点监管各班的安全工作。
组员:鞠洪超、常建飞、毕少红、王潇、孙璐负责安全检查,处理安全隐患。
二、安全基本情况:
本园在当弥市学区的领导下,制定了切实可行的实施方案,层层建立了责任制和责任追究制度,签订了责任书,把幼儿园安全管理工作具体落实到人;严禁乱人进园,所有来人都要在进行登记签名,在园内进行安全工作排查,排除了幼儿园内部的安全事故隐患,进一步抓好对园内的各类建筑和水、电、气、食堂等基础设施、生活服务设施、公共活动场所等进行全面排查,消除各种安全隐患,确保不留死角。制定和完善幼儿园内部安全保卫制度,消防与食品卫生等方面的管理制度。实现了幼儿园安全管理工作有法可依、有章可循。
三、排查范围及安全措施:
1、园舍。重点做好教室、厨房、厕所、围墙等建筑物的排查,对排查中发现的危房现象要及时修复,从而确保师生安全。
2、饮食卫生及食堂管理。主要是饮食从业人员健康状况和资格证明,及食堂卫生管理、食品的选购、加工出售、存放等各个环节是否规范,食品的留样、防疫、保温、消毒、防鼠等设备配置及使用是否到位情况等等。
3、学习集体活动场所及教学、生活设施、设备。包括幼儿园的通道、运动尝照明线路、电教器材、用具,防雷设施,消防设备等。
4、幼儿交通安全知识教育和管理。在家要求幼儿不乘坐三无车辆和超载车辆,家长做到不违章驾驶、不酒后开车、不疲劳开车。
在此基础上,我园针对幼儿年龄小,对自己的行为后果缺乏预见性的特点,园领导就幼儿安全问题进行了家园互动,让家长在接送孩子的路上一定要注意安全,通过多种方法让孩子知道一些基本的安全自我保护意识以及自救的方法,杜绝孩子自己在外面玩耍和走失,让孩子掌握一些安全生活的技巧,每天入园时教师要逐个检查孩子的衣兜内是否带有危险物品,做到及时清理;再就是全体教职工对安全工作进行了特别的布置,把安全教育渗透到幼儿园的环境中。
四、继续加强对幼儿的安全教育
1、加强幼儿的入园、离园管理;
2、各班教师要把防火、防溺水、防食物中毒、防盗、防触电、防交通事故等知识作为安全教育的主要内容;
3、各班教师要通过安全方面的儿歌、安全课等加强对幼儿的安全教育。
4、全体教师要把对幼儿的安全教育做深、做细,各班教师要备好安全课、上好安全课,要时刻绷紧安全这根弦,把不安全因素消灭在萌芽之中,确保幼儿园的工作安全、正常运行。
5、加强幼儿园安全教育,增强幼儿的自护自救的能力。
安全教育工作应更有针对性和实效性。幼儿园要根据幼儿园周围和幼儿的特点对幼儿园存在的安全隐患进行一次专项检查。并有针对性的进行安全教育。增强幼儿安全防护的能力。万一发生安全事故,做到不惊慌失措,并能采取所学知识保护自己。
6、要教育教师做好幼儿在园的监护工作。通过对幼儿进行安全教育,增强幼儿的安全意识和自我保护能力。
(1)、要让教师明确自己对本班孩子在安全方面应该做好哪些工作。安全隐患在哪些方面,应该重点做好哪些防范工作。
(2)、了解和关心幼儿的在园生活,为孩子安排一些丰富多彩的户外活动,并对幼儿的行为进行有效的监护。
(3)、幼儿园对幼儿进行教育的同时,把存在的安全隐患及时告诉家长。家长会上,不要只讲幼儿的长处,要通报幼儿园的安全状况,要根据季节的特点,把幼儿容易发生的安全事故告诉家长,提高家长的安全意识。家园配合共同做好幼儿的安全教育工作,并让家长明白自己应该担负的监护责任。
五、应急措施:
1、遇恶凶肇事。第一当事人要勇敢沉着,机智应对,紧急呼救,竭力保护和疏散幼儿,严禁撒手奔逃。全园工作人员要奋力协作,以团结和正义震慑凶犯,并尽快和安全组联系,再拨打110报警。
2、对家长进园闹事报复。当事人员要以理解释劝阻,保护好可能受伤害的师生,再经幼儿园处理或逐级上报处理,尽力防止事态的扩大。
3、对幼儿间相互所致的轻微伤害或活动中产生的伤害,各班应立即将受伤幼儿送保健室或卫生院观察医治,再通知家长,切不可侥幸于家长谅解,防止园方处事被动,与家长隔膜而造成小事扩大化。
2017.10.11 泰和府智慧熊幼儿园安全应急预案
为了落实威海综治(2017)9号《关于开展校园及周边环境治安综合治理大检查暨校园十九大安保维稳工作督查的通知》 根据上级的布置,为切实做好我园安全防范工作,确保幼儿园财产和师生生命安全,特制定本预案:
一、成立幼儿园安全工作领导小组: 组
长:孙琳
副组长:王风
王然
成员: 毕少红 王潇 孙璐 鞠洪超 常建飞
1、幼儿园工作领导小组按照学区安全领导工作组的指示,指挥全园安全救灾工作,保障师生在园安全。
2、在安全救灾工作中,副组长王风为安全救灾工作第二责任人,组长(第一责任人)外出时,应向第二责任人做好交接工作。
3、领导小组要坚持做好园内的安全检查,查到易发安全事故的每一个环节,发现隐患立即整改。幼儿园一时难以解决的隐患要马上报告中心校安全工作领导组,要求帮忙解决。不管何人,绝不能粗心大意、放松丝毫警惕。
二、预案实施:
(一)防火预案:
若发生火灾,幼儿园安全领导小组应立即做出积极反应,并按以下预案有条不紊地进行工作:
1、一发现火情,首发者应立即向其他员工大声呼喊,并用消防器材灭火。
2、其他员工及时通知领导小组,领导小组迅速到位,组长用广播进行指挥,副组长传达指令,协助做好调度工作。
3、值班人员立即打开火灾疏散信号
4、后勤人员立即到火灾出事点协助灭火,厨房人员立即关闭煤气。
5、门卫(当日后勤不值班的人员)打火警电话“119”,联系急救车,并切断电源。
6、组织各班快速有序撤离,避免幼儿推挤。
7、灾情被控制后,组长将事件经过以书面形式向上级汇报。
三)防食物中毒预案
1、幼儿园一旦发生食物中毒或疑似食物中毒现象,食堂应立即停止经营,食品应立即停止让幼儿食用;
2、后勤值班人员立即向镇防保所报告,内容包括单位、地址、时间、中毒人数、症状等;
3、后勤副园长立即拨打“120”,组织人员协助卫生机构抢救病人;
4、配合卫生行政部门进行调查,按卫生行政部门的要求如实提供有关材料和样品;
5、落实卫生行政部门要求采取的有关措施。
(四)外出活动安全预案
1、幼儿园组织教师或幼儿外出学习、参观,要提前三天报送中心校审批,经批准后方能组织。
2、外出前,各班级应派人事先前往参观地点踩点查看,确定无危险因素,并确定行走路线。
3、如需用到机动车辆,应选择有行驶执照、有车牌的、能正常使用的车辆;如需要家长接送,应以〈〈家长一封信〉〉的形式告知家长,并提出需注意的安全事项。
4、外出时,由三位行政带队,中班: 毕少红 林琳 小班:王潇 李佳欣,小小班:孙璐 方丽君。后勤人员协助各班教师、共同负责幼儿的出行安全。
(五)幼儿入园、离园时,后勤在门卫值班的人员要在大门口巡视,幼儿入园、离园后及时关闭大门,防
止无关人员进入幼儿园;幼儿园大门保持上锁关闭状态,有外人进入时,必须查明身份,做好记录后方可入内。
《网络安全管理》报告
报告题目: 姓名: 学号: 班级: 专业: 系别: 指导教师:
安阳大学网络安全管理
郭晓峰 08 网络S15-4 计算机网络技术 网络技术系 林俊桂 摘要:校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先,校园网应为学校教学、科研提供先进的信息化教学环境。这就要求:校园网是一个宽带、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒 体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网 络上运行。如果一所学校包括多个专业学科(或多个系),也可以形成多个局域网络,并通过有线或无线方式连接起来。其次,校园网应具有教务、行政和总务管理功能。
因此,网络安全管理成为建设校园网的重点,所以本文就是说明校园网络如何安全管理,主要运用防火墙和监测系统,来实现校园网络的安全。
关键词:校园网,网络安全,管理。
目录
一、单位简介.................................................................1
二、校园网管理...............................................................1 2.1校园网管理目的.......................................................1 2.2校园网管理相关内容...................................................2 2.3网络管理.............................................................3
三、网络安全策略.............................................................4 3.1校园内部网络安全与病毒防范...........................................4 3.2校园网服务器的安全...................................................5 3.3网络安全策略配置.....................................................6 3.4校园网基于vlan的安全部署............................................6
四、总结.....................................................................7
一、单位简介
安阳大学是我省省属重点大学。该校拥有已开通信息点1万多个,上网电脑一万多台,校园网师生用户群多达2万余人。校园网已经成为全校师生员工日常学习、工作中不可或缺的重要信息平台。
安阳大学的网络结构分为核心、汇聚和接入3个层次,网络类型分为教学子网、办公子网、学生宿舍子网。接入方式包括拨号上网、宽带接入、无线上联等各种形式。校园网双出口结址和8 个ChinaNet 的IP 地址。校园网资源建设成效显著,现有资源服务包括大学门户网站、新闻网站、各学院和职能部门网站、安农科技网站、邮件服务、电子校务、毕博辅助教学平台、在线电视、VOD点播、音乐欣赏、公用FTP、文档下载、软件下载、知识园地、站点导航、在线帮助、系统补丁、网络安全、个人主页、计费服务、VPN、DHCP、域名服务等。还有外语学习的平台,图书馆丰富的电子图书资源,教务处的学分制教学信息服务网、科技处的科研管理平台等。众多的资源服务构成了校园网的资源子网,为广大师生提供了良好的资源服务。
二、校园网管理
2.1校园网管理目的
校园网管理的主要目的是保障网络运行的品质,如维持网络传送速率、降低传送错误率、确保网络安全等。所以校园网系统管理的技术人员可借网络管理工具或本身的技术经验实施网络管理,可分为下列几项:
(1)系统管理随时掌握网络内任何设备的增减与变动,管理所有网络设备的设置参数。当故障发生时,管理人员可以重设或改变网络设备的参数,维持网络的正常运作。
(2)故障管理为确保网络系统的高稳定性,在网络出现问题时,必须及时察觉问题的所在。它包含所有节点动作状态、故障记录的追踪与检查及平常对各种通讯协议的测试。
(3)效率管理在于评估网络系统的运作,统计网络资源的运用及各种通讯协议的传输量等,更可提供未来网络提升或更新规划的依据。
(4)安全管理为防范不被授权的用户擅自使用网络资源,以及用户蓄意破坏网络系统的安全,要随时做好安全措施,如合法的设备存取控制与加密等。
(5)计费管理了解网络使用时间,能针对各个局部网络做使用统计。一则可作为使用网络计费的依据,更可作为日后网络升级或更新规划的参考。
(6)信息管理网络上的信息分成两部分,一是由管理员放置的信息,它们的品质一般 较高;另一部分是由用户放置的,可能会有一些问题,要对这部分信息进行管理。
2.2校园网管理相关内容
拓扑图
(1)布线系统的日常维护。做好布线系统的日常维护工作,确保底层网络连接完好,是计算机网络正常、高效运行的基础。目前,城域网和广域网之间的互连除了微波、卫星通道等无线连接方式外,室外光缆铺设仍然是唯一的有线连接途径。对布线系统的测试和维护一般借助于双绞线测试仪和规程分析仪、信道测试仪等,智能化分析仪器的使用提高了布线的管理水平和管理效率,可以更好地保证计算机网络的正常运行。
(2)关键设备的管理。无论何种规模的计算机网络,关键设备的管理都是一项相当重要的工作。这是因为,网络中关键设备的任何故障都有可能造成网络瘫痪,给用户带来无法弥补的损失。校园网中的关键设备一般包括网络的主干交换机、中心路由器以及关键服务器。对这些关键网络设备的管理除了通过网管软件实时监测其工作状态外,更要做好它们的备份工作。对主干交换机的备份,目前似乎很少有厂商能提供比较系统的解决方案,因而只有靠网络管理员在日常管理中加强对主干交换机的性能和工作状态的监测,以维护网络主干交换机的正常工作。
(3)IP地址的管理。在TCP/IP协议已经成为事实上的工业标准的今天,TCP/IP网络主的任何一台工作站都需要有一个合法的IP地址才能够正常工作。在构建:规划计算机网络时,应做好机构内部各部门对上网业务的需求调查和统计,确定计算机网络规模。IP地址管理得当与否,是计算机网络能否保持高效运行的关键。如果IP地址的管理手段不完善,网络很容易出现IP地址冲突,就会导致合法的IP地址用户不能正常享用网络资源,影响网络正常运行,甚至会对某些关键数据造成损坏。
(4)其他管理工作。当然,对应于不同的网络环境,还有很多管理工作要做。随着内 部网和Internet的相互连通,网络管理员除了要维护各种数据的可靠性外,还要保证机密数据的安全。因此,计算机网络的安全管理(如防火墙的设置)又成为网络管理中一个非常重要的方面。
2.3网络管理
网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
(1)网络管理的内容
网络故障管理;网络配置管理;网络性能管理;网络计费管理;网络安全管理;容错管理;网络地址管理;软件管理;文档管理;网络资源管理。
(2)网络管理的手段
在校园网络管理方面,为了便于校园网络管理人员的管理及维护,我们选购Quidview网络管理软件。Quidview网络管理软件基于灵活的组件化结构,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
Quidview网络管理软件采用组件化结构设计,通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。
·网络集中监视。Quidview网络管理软件提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。
·故障管理。故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控,查询和统计设备的告警信息。
·性能监控。Quidview网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。通过性能任务的配置,可自动获得网络的各种当前性能数据,并支持设置性能的门限,当性能超过门限时,可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况,为优化或扩充网络提供依据。
·服务器监视管理。服务器是企业IP架构中的重要组成部分,通过Quidview,可实现服务器与设备的统一管理。
·设备配置文件管理。当网络规模较大时,网络管理员的配置文件管理工作将十分繁重,3 如果没有好的配置文件维护工具,网络管理员就只能手动备份配置文件。这样就给网络管理员管理、维护网络带来一定的困难。Quidview网络配置中心支持对设备配置文件的集中管理,包括配置文件的备份、恢复以及批量更新等操作,同时还实现了配置文件的基线化管理,可以对配置文件的变化进行比较跟踪。
·设备软件升级管理。Quidview提供完善的设备软件备份升级控制机制。使用Quidview,管理员可以方便地查询设备上运行的软件版本,并利用升级分析功能来确定设备运行软件是否需要升级。当升级软件版本时,可以利用Quidview集中备份设备运行软件,然后进行批量升级。升级之后,可以使用Quidview进行升级结果验证,确保升级操作万无一失。
·集群管理。针对大量二层交换机设备的应用环境,Quidview网络管理软件提供集群管理功能,通过一个指定公网IP的设备(称作命令交换机)对网络进行管理。
·堆叠管理。Quidview网络管理软件通过堆叠管理,可以集中管理较大量的低端设备,并且为用户提供统一的网管界面,方便用户对大量设备的统一管理维护。
·故障定位与地址反查。针对最为常见的端口故障,Quidview网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试;当用户报告网络端口使用异常时,网络管理员可以通过网管对指定用户端口做环回测试,直接定位端口故障。
·RMON管理。RMON管理根据RFC1757定义的标准RMON-MIB及华为3Com自定义告警扩展MIB对主机设备进行远程监视管理。
三、网络安全策略
3.1校园内部网络安全与病毒防范
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
(1)配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地 阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
(2)采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(3)ip盗用问题的解决。在路由器上捆绑ip和mac地址。当某个ip通过路由器访问internet时,路由器要检查发出这个ip广播包的工作站的mac是否与路由器上的mac地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个ip广播包的工作站返回一个警告信息。
(4)加强学生的法制教育和德育教育。学生机房管理时感慨地说:“学生的破坏能力是无穷无尽的”,我觉得这句话应该改成“学生的创新能力是无穷无尽的”,问题关键在于我们如何去正确引导他们。作为教师我们在教授网络知识的同时,应该加强学生的法制教育和德育教育,让学生了解我国在计算机应用方面的相应法规,做一个遵纪守法的好青年。
3.2校园网服务器的安全
校园网服务器的安全一般可分为硬件系统的安全与软件系统的安全。
(1)硬件系统的安全防护。放置服务器的机房应切实做好防雷、防火、防水、防电、防高温等工作。为保证服务器24小时处于工作状态还应配备不间断电源。同时管理员要管理好机房的和机柜的钥匙,不要让无关人员随意进入机房,防止人为的蓄意破坏和盗窃事件发生。
(2)软件系统的安全防护。同硬件系统相比,服务器软件系统的安全问题是最多的,也是最琐碎的。一般来说可以从以下几方面着手:
·建立服务器档案。对于服务器内部的硬件型号、软件版本、维修记录等进行记录,以便今后出现故障时能进行对照。
·安装补丁程序。目前大部分校园网服务器使用的是微软的windows2003操作系统,由于使用的人多,bug也不断被发现,微软的操作系统成了不少黑客攻击的对象。所以装好 5 Windows 2003系统后一定要升级至service pack 2,管理员还要经常关注微软公司的网站及时下载最新的系统补丁打到服务器中。
·安装防火墙与杀毒软件。在校园网中,重要的数据往往保存在整个中心结点的服务器上,这也是病毒攻击的首要目标。安装病毒防火墙和网络防火墙,定期对病毒库进行更新,按计划查毒杀毒。定期用对服务器开放的端口进行检测,将检测结果和以往备份的端口列表进行比较。用进程检测软件监测服务器所开的进程,并和以往的进程列表作比较。服务器尽可能不要设置文件共享,不要打开写文件的权限,即使开启共享,也应设置相应密码。
·加强操作系统权限管理和口令管理。打开“计算机管理”,检查用户和组里是否有非法用户,尤其小心管理员权限的非法用户。禁止系统提供的guest用户,因为黑客常用guest进行系统控制,对于administrator则应进行改名操作并设置足够复杂的密码。开启审核策略,修改终端管理端口,以及配置ms-sql,删除危险的存储过程。
·监测系统日志。管理员要定期查看系统日志记录,及时解决出现的问题,无法解决的问题及时向上级汇报;任何人不得动手删除运行记录数据库中的文档。定期对日志进行备份,并设置防止日志的大小,以免日志文件过大影响系统速度。
·定期对服务器进行备份与维护。为防止不能预料的系统故障或用户不小心的非法操作,系统管理员需要定期备份服务器上的重要系统文件。比如操作系统盘、用户账号等。文件资料可以用raid方式进行每周备份,重要的资料还应用保存在另外的服务器上或者备份在光盘中。监视服务器上资源的使用情况,删除过期和无用的文件,确保服务器高效运行。任何先进的系统都是为人服务的,因此人永远是决定性的因素,配合先进的技术手段,建立起一整套完善的现代化网络运行、使用、管理规范永远是保证其发挥出最大效益的重要保障。
3.3网络安全策略配置
(1)拒绝服务的防止。网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等;网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN临界值,若多于这个临界值,则丢弃多余的TCP SYN数据包;防Smurf攻击主要是配置网络设备不转发ICMP echo请求(directed broadcast)和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。
(2)访问控制。允许从内网访问internet,端口全开放。
3.4校园网基于vlan的安全部署
采用以太交换的校园网络,可以用vlan技术来加强内部网络管理。vlan能够帮助控制 流量,提供更高的安全性,使网络设备的变更或移动更加方便。vlan技术的核心是网络分段,根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,以达到限制非法访问的目的。网络分段分为物理分段和逻辑分段两种方式。物理分段192.168.0.1192.168.2.1通常是将网络在物理层和数据段链路层分为若干网段,各网段相互之间无法直接通信。逻辑分段则是将整个系统在网络层上进行分段。例如:对于tcp/ip网络,可以把网络分成若干ip子网,各子网间必须通过路由器、路由交换机或网关等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。实际应用时,通常采取物理分段与逻辑分段相结合的方法。
四、总结
校园网的网络管理是一个系统性工程,不能仅仅依靠防火墙和其它网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。
所以建设校园网时要本着从实际出发,以应用为目的,综观全局、统筹安排。同时对建设好的校园网络我们应加强安全防御意识,建立相应的安全防御体系和管理维护制度。以确保校园网正常安全运行和朝着健康有序方向发展。
参考文献 [1]杨云江,“计算机网络管理技术” [M].清华大学出版社,2010.3 [2]杜威.“计算机网络管理与安全技术”,武汉大学出版社,2008.9
为保障学校教学工作在秩序地进行,保护师生安全,杜绝或尽量减少安全事故的发生,遵循“注重防范、自救自护,确保学校平安”的原则,结合我校实际,特制定本方案。
一、成立安全工作领导小组
组长:***
副组长:***
成员:各班班主任
二、加强对学生安全工作的管理
1、各班主任每学年和学校签一次安全责任协议书,认真落实,认真执行。
2、各班必须拟定班级安全管理方案,成立安全领导小组。班主任是班级安全工作的主要责任人,必须制订各种安全管理方案和应急预案,树立安全第一,安全无小事的意识。
3、各班采取多种形式对学生进行安全教育。每月要在针对性地进行安全知识教育,如用电、用火、防水、食品、交通等方面,进行普及教育及有针对性的教育。发现问题,及时纠正,提前预防。
4、建立事故报告制度。各班出现人员伤亡事故,要立刻上报学校安全工作领导小组。对学生的旷课、失踪,班主任在一天之内要进行家访,特殊情况上报学校。
5、实行值日制度。值日的教师,必须如实填写好当天的相关记录,并对学校进行安全排查,发现问题,立即上报值周领导。
三、学生集体外出活动安全管理
1、未经学校同意,任何教师不得组织学生进行校外参观、宣传、旅游、社会实践、社会调查、庆典等活动。大型活动学校不能决定的,由学校向教育站请示。
2、活动负责人要在对相关路线、地点进行勘查、走访后,根据活动目的要求,并结合我校的实际情况,制定切实可行的活动方案,交学校安全领导小组讨论修定后方可进行。
3、活动来往乘坐的交通工具必须是具有相关资格和手续的合法运营车辆。
4、每次活动都必须有安全防护措施及应急预案,这两者应同活动方案一起交学校安全领导小组。
5、在活动中要用相应形式对学生进行安全教育,提高学生自救、自护及互救的能力。
四、学校学科教学的安全方案
1、各科任教师在教学活动中,要严格按照学科教学的要求进行,确保每一个学生的安全。
2、上课期间,教师要及时清点学生人数,掌握学生去向。如果发现学生去向不明的,要及时通知班主任和学生家长,弄清学生的去向,情况严重的应报告学校。
3、对进行实验操作的班级,要严格按照安全规定的要求进行。实验教师要随时巡视,及时发现和纠正学生的不安全操作行为,杜绝意外事故的发生。
4、任何一位教师在上课期间都严禁离开教学场地,严禁有课不上的现象发生。
五、后勤工作的安全方案
1、努力提高后勤工作的水平,牢固树立为教学服务、为师生服务的思想,努力为教学创造条件,确保学校教学工作的顺利进行。
2、经常、及时地做好排查工作,对学校的校舍、围墙、水、电路、树木等进行检查,并做好记录,发现问题及时报告相关领导,采取措施,及时处理。
3、所采购的设备、仪器、教学用品、办公用品要达到相关安全规定。如发生因质量问题造成的安全事故,要追究相关人员和责任。
4、要保证用水的供应,随时关注饮用水的安全,一有问题立即处理,确保师生用水安全。
5、严禁校园周边摆摊设点,预防食物中毒事故的发生。
六、学生全体集合、课间操的安全管理
1、学校集合、做操活动,应由值日教师专人负责、统一指挥。
2、要以班级为单位,由班主任负责,排队进、出场。上、下楼梯要以值日教师指定的顺序为准,有序行走,严防挤压踩踏事故的发生。
3、各班要按值日教师的统一安排,站(坐)在指定位置,不得拥挤。
七、遇到突发事件的安全管理
1、每学期都至少按学校的预案举行一次全校性的紧急疏散演习,各班也应在平时加强训练。
2、遇到火灾、洪灾、地震等灾害时,相关人员应组织学生紧急避险,尽量降低损失,保证学生安全。
3、各班主任、体育教师、品德教师均要加强对学生的防灾、抗灾教育,让学生掌握一定的自救自护方法,培养学生的生存能力。
4、如果发生灾害事故,要及时上报相关部门,请求支持和援助。
八、加强对学校周边的治理工作
1、主动联系相关部门,做好学校周边的安全治理工作。
2、值日教师要主动做好学校周边环境的巡查工作,发现问题,及时报告,学校应尽全力处理,防止事故的发生。
3、每天放学后,低年级的学生,要由教师护送到主要路口,具体分工由全校教师共同分担。
九、防病、防疫、防毒的安全方案
1、认真贯彻《食品卫生法》、《传染病防治法》、《学校环境工作条例》,落实“预防为主、防治结合”的方针。
2、全校师生一起,经常开展有关卫生防疫的活动。认真搞好环境卫生、教室卫生及个人卫生,坚持每天一小扫、每周两大扫,根除传染病根源。
3、采取多种形式,加强卫生防疫、预防中毒的宣传教育,全体师生都要树立“健康第一的”思想。
4、加强学校用水和食品的管理,预防饮水中毒和食物中毒。
十、假期安全方案
双休日、节假日、寒暑假学校均安排一个领导和相关人员值班、护校,防止事故的发生。
十一、全校师生都必须严格按照本方案的要求,做好相关工作,如有违反的,学校将严肃处理并上报教育站。
关键词:校园网络,系统安全,解决方案
所谓的网络系统安全主要包括网络安全与信息安全两方面, 网络安全包括操作系统, 硬件设施的安全运行, 而信息安全则指数据的加密与备份, 校园网络系统安全防护需要从硬件设施与信息数据两方面进行。面对诸多的校园网络系统安全问题, 我们一定要有面对这些安全问题从各个方面进行思考解决, 以下是我多年以来通过实践跟理论的相互结合, 针对校园网络系统安全问题提出的解决方案, 希望能够得到现在面临或者将来有肯能面临这些校园网络安全问题的学院予以采纳并能够广泛推广。
1 创建校园网络系统的重要性
之所以在学校实施网络信息化管理, 一方面是由于信息化管理推动学校现代化目标的实现。另一方面, 我国目前学校管理的现状要求我们必须在管理模式方面有所创新, 更好地促进社会的发展。
1.1 实施校园管理网络化是提高学校管理水平的内在要求
在科学技术的推动下, 实现数字化、信息化已经成为各行业的发展目标。这种理念同样渗透在教育领域, 学校的信息管理不能离开网络的支撑。譬如, 目前大多数的城市学校已经建立了档案信息化管理系统, 并且信息化管理的应用在加快教育现代化进程、提高学校管理水平的同时, 减少了以前在笔迹模糊、重要事项遗漏的现象。除此之外信息化管理将涉及整个教学流程管理、行政管理、人事安排等众多方面, 是对传统管理模式的革新, 传统的需要手工参与的一切都可以通过人机交互来实现, 这样提升的是整个学校的管理水平。
1.2 促进工作效率的提高
传统的学校管理是通过人来实现的, 师生信息的收集需要专门的工作人员对分散的数据进行统计, 消耗时间而且可能导致误差。信息化的管理将多媒体作为媒介, 打破了时间和空间的局限性, 为工作者减少工作量, 提高了工作效率。除此之外, 传统的学校管理注重的是档案的存储, 而信息化的管理模式注重的是资源的收集与开发利用。在信息技术的支撑下, 杂乱无章的信息被整理的仅仅有条, 这就便于管理者进行监督。
2 校园网络系统面临的主要安全问题
就目前国内现状而言, 校园安全网络存在防护手段单一、认证授权访问权限存在缺陷, 这些问题的存在使得校园网络安全受到威胁。接下来我将对校园网络系统面临的主要安全问题进行论述, 为将来策略的提出奠定现实基础。
2.1 校园网络系统IP地址被别人盗用的安全问题
一个学校的校园内可能有上百部或者上千部甚至更多的电脑, 在这么多的电脑中有一部分是通过正常的途径申请获得的安全合法的IP地址, 然而也有一部分人不经过正常的途径申请合法安全的IP地址, 使用别人合法的IP地址进行上网, 这时候就会使校园网络系统内部正常运行受到干扰, 非法使用别人合法的IP地址, 严重影响了别人的正常上网秩序。
2.2 校园网络系统中防火墙被用于攻击
本来网络系统中的防火墙技术已经在整个互联网发展的过程中已经到了一个非常成熟的阶段, 防火墙在对外防护基本是不可能被入侵的, 在一个校园网络系统里防火墙的作用是对网络系统里以外的威胁进行保护、防护, 对一个校园网络系统里内部的人起到的防护作用是非常小的, 因此问题就出现在这里, 通常一个校园网络系统中的防火墙被遭受侵害的不是外部上网者的入侵更多的时候是来自局域网内部的入侵和攻击, 这也是校园网络系统中重点存在的安全问题之一。
2.3 缺乏安全防患意识
校园网络系统在学校信息化建设方面所处的重要位置要求校方领导高层能够对网络安全防护给予高度重视, 但是就目前国内现状而言, 学校过度的重视技术, 而缺乏安全防护意识, 在网络组建的过程中, 只注意到购买服务器设备而忽视网络安全设备。除此之外计算机内部杀毒软件不健全, 导致网络性能直线下降。
3 校园网络系统安全问题的解决方案
3.1 完善管理制度
现代化的信息技术发展已经被社会大众所接受, 但是这种管理模式在创造经济效益、社会效益的同时也存在许多安全隐患。譬如经常出现的APP中间人攻击、APR报文泛洪攻击等, 已经严重影响了组织机构工作的正常开展。学校在网络安全防护的过程中, 需要吸取经验, 做好安全管理工作, 建立完整的安全防护系统。在具体实践过程中, 禁止工作人员出去与自己工作无关的区域, 对系统维护的时间进行明确规定, 并且详细记录系统在维护前后的状态。除此之外工作人员在使用移动设备的同时进行病毒的查杀, 并且对于常用的杀毒软件进行及时的升级。
3.2 改善防火墙的配置
防火墙的存在就是能够更好的控制内网与外网之间的相互访问, 将符合条件的访问者请入学校的网站内, 而将网络黑客拒之门外, 最大程度的限制了网络黑客的入侵, 防止信息被复制、篡改。为此校方需要对这一设备进行高度重视, 配置符合校园区域网的防火墙。
3.3 做好备份工作
用备份技术来提高数据恢复时的完整性。备份工作可以手工完成, 也可以自动完成。现有的操作系统一般都带有比较初级的备份系统, 如果对备份要求高, 应购买专用的系统备份产品。由于备份本身含有不宜公开的信息, 备份介质也是偷窃者的目标, 因此, 计算机系统允许用户的某些特别文件不进行系统备份, 而做涉密介质备份。
除此之外配置网络安全扫描工具。在现如今快速发展的网络时代, 网络安全防护需要首先清楚信息网存在哪些漏洞, 而这一问题的解决仅仅依靠人力无法达到全面的检测与防护, 这就要求校方能够寻找新型的网络安全扫描仪器。或是进行网络模拟攻击, 以此来发现网络系统漏洞。
4 结论
21 世纪, 信息技术的快速发展在改变人们生活状况、促进教育事业发展的同时, 也面临着巨大的安全问题需要解决。在具体实践过程中需要校方加强网络安全防护意识, 聘请高端网络人员进行系统防护, 与此同时加强制度的完善, 以此来保证校园网络系统的安全运行。相信在各方面的共同努力下, 校园网络安全系统的防护将取得重大进展。
参考文献
[1]杨宇红.校园网络的安全问题分析与对策[J].信息安全与技术, 2011 (4) :30-32.
[2]陈军.校园网络安全问题及对策研究[J].数字技术与应用, 2012 (9) :175.
[3]关启云.校园网络安全问题分析及对策探讨[J].网络安全技术与应用, 2013 (11) :88-89.
[4]吕文光.校园网络安全问题分析与对策[J].科技信息, 2011 (19) :85.
【关键词】安全管理 财务结算 建设 网络
【中图分类号】TP311【文献标识码】A【文章编号】1672-5158(2013)02-0057-02
一、单位网络信息安全现状
经过多年的信息化建设,财务结算中心已建成千兆互联到终端桌面,所使用的主要财务软件如下:
(1)中原油田财务结算系统(安装该系统仅为查询历史财务数据)。
(2)中国石化资金集中管理信息系统。
(3)中国石化会计集中管理信息系统。
(4)中原油田关联交易系统。
在网络应用方面,与日常工作密切相关的财务应用系统相继投入使用,网络信息安全系统的建设却相对薄弱。
1、网络系统安全现状
近几年,随着局域网规模的日益扩大,网络结构及设备日趋复杂,网络病毒、黑客攻击、网络欺骗、IP盗用、非法接入等现象,给中心网络的管理、维护带来了前所未有的挑战。中心网络、员工微机经常受到油田局域网以及来自大网非法连接的攻击,IP地址冲突时有发生。ARP攻击导致网络中断、甚至瘫痪;病毒、蠕虫、木马、恶意代码等则可能通过网络传递进来,造成操作系统崩溃、财务数据丢失、泄漏。而各类财务软件的日常应用,必然要进行各种外连和数据传递。如何进行安全地连接网络、传输数据,日益成为中心亟待解决的问题。
2、网络信息监控状况
对于互联网出口的外发信息无法进行记录和查询,缺乏有效的信息审计和日志保存手段,从而不能有效贯彻和满足油田以及国家关于企业网络安全管理制度的落实。
来自网络的安全威胁日益增多,很多威胁并不是以网络入侵的形式进行的,这些威胁事件多数是来自于油田局域网内部合法用户的误操作或恶意操作,仅靠系统自身的日志功能并不能满足对这些网络安全事件的审计要求,网络安全审计通常要求专门细致的协议分析技术,完整的跟踪能力和数据查询过程回放等功能实现。
3、上网行为管理能力
中心网络资源能否合理使用,带宽是否会被非工作需要的网络应用占用,日常工作所需的网络流量和稳定性能否得到保障,当网络出现拥堵,或者异常流量、异常攻击爆发时,是否能及时分析、排查流量使用情况并几时进行有效控制,这些状况主要表现为:网络用户非工作范畴(用于娱乐)的网络应用流量极大,如:各类多线程P2P软件下载、大型网络游戏、P2P类的音视频、网络电视等应用。
二、中心网络信息安全建设目标
为了确保信息资产的价值不受侵犯,保证信息资产拥有者面临最小的安全风险和获取最大的安全利益,使包含物理环境、网络通讯、操作系统、应用平台和信息数据等各个层面在内的整体网络信息系统具有抵御各种安全威胁的能力,我们制订了如下的安全目标:
1、保密性
确保各类财务数据不会泄漏给任何未经授权的个人和实体,或供其使用。
2、可用性
确保财务信息系统正常运转,并保证合法用户对财务信息的使用不会被不正当地拒绝。
3、完整性
防止财务信息被未经授权的篡改,保证真实的信息从真实的信源无失真地到达真实的信宿。
4、真实性
应能对通讯实体所宣称身份的真实性进行准确鉴别。
5、可控性
保证财务数据不被非法访问及非授权访问,并能够控制使用资源的人或实体对资源的使用方式。
6、不可抵赖性
应建立有效的责任机制,防止实体否认其行为。
7、可审查性
应能记录一个实体的全部行为,为出现的网络安全问题提供有效的调查依据和手段。
8、可管理性
应提供统一有效的安全管理机制和管理规章制度,这是确保信息系统各项安全性能有效实现的根本保障,同时合理有效的安全管理可以在一定程度上弥补技术上无法实现的安全目标。
三、中心网络信息安全建设方案
通过上述对中心网络的现状及安全需求分析,并结合油田网络安全与信息安全的具体要求,我们建议实施部署网络出口防火墙系统、网络日志审计系统、网络访问内容和行为审计系统。
1、网络出口防火墙系统
防火墙是基于网络处理器技术(NP)的硬件高速状态防火墙,不仅支持丰富的协议状态检测及地址转换功能,而且具备强大的攻击防范能力,提供静态和动态黑名单过滤等特性,可提供丰富的统计分析功能和日志。能有效实现过滤垃圾残包、拦截恶意代码,保护网络数据和资源的安全。
将防火墙透明接入到原有网络中的出口处,采用应用层透明代理的方式对用户对外网的访问进行应用层解析控制。在防火墙上划分两个区域:外网区域、内网区域,防火墙可以桥接入到原有的用户网络中,或者接到核心交换机上。保证所有的数据流经过防火墙以便完成应用层的过滤。
2、部署网络访问内容和行为审计系统
安全审计系统是一个安全的网络必须支持的功能特性,审计是记录用户使用计算机网络系统所访问的全部资源及访问的过程,它是提高网络安全的重要工具,对于确定是否有网络攻击的情况,确定问题和攻击源很重要。而行为审计系统通过对网络信息内容的完全监控和记录,为网络管理员或安全审计员提供对网络信息泄密事件进行有效的监控和取证;也可以完全掌握员工上网情况,比如是否在工作时间上网冲浪、网上聊天、是否访问内容不健康的网站、是否通过网络泄漏了机密信息等等,对于不符合安全策略的网上行为进行记录,并可对这些行为进行回放,进行跟踪和审计。
3、部署网络日志审计系统
日志审计系统为不同的网络设备提供了统一的日志管理分析平台,打破了企业中不同网络设备之间存在的信息鸿沟。系统提供了强大监控能力,实现了从网络到设备直至应用系统的监控。在对日志信息的集中、关联分析的基础上,有效地实现了全网的安全预警、入侵行为的实时发现、入侵事件动态响应,通过与其它安全设备的联动来真正实现动态防御。
部署日志审计系统主要功能:1)海量的数据日志:系统全面支持安全设备 (如防火墙,IDS、AV)、网络设备 (如Router、Switch)、应用系统 (如WEB、Mail、Ftp、Database)、操作系统 (如Windows、Linux、Unix) 等多种产品及系统的日志数据的采集和分析。2)安全状况的全面解析:帮助管理员对网络事件进行深度的挖掘分析,从不同角度进行网络事件的可视化分析。
四、结束语
经过多方论证,上述的网络信息安全建设方案架构齐全,是合理的、先进并且可靠的。该安全系统能够针对我单位出现的突发网络问题,迅速地进行故障定位并实施故障处理。使网络安全管理变被动为主动,能够极大地提高网管人员的工作效率;同时通过及时监控审计,大幅度减少系统网络故障和安全隐患,从而使我单位的信息化建设迈上一个新的台阶。相信通过以上三套系统的部署,能够极大地完善网络安全体系,更好地为中心财务信息网络系统保驾护航。
参考文献
【安全管理系统方案】推荐阅读:
客运安全管理方案09-19
物业安全保卫管理方案09-20
校车运营安全管理方案06-02
安全管理方案与措施06-08
办公大楼安全管理方案07-17
2022年食品安全管理工作方案05-28
郭村小学安全网格化管理实施方案06-09
儿科急诊医疗质量安全管理与持续改进方案05-31
教育局2014年度校园安全管理培训方案09-09
村消防安全网格化管理工作实施方案09-18
