办公室安全教育培训(共14篇)
前言
为了防止人身触电,电气火灾,电器伤害等电器事故,使国家,单位及个人财产不受到损害做本次安全用电培训。
一、电对人体的伤害
二、电器火灾的预防及应急处理
三、电器正确使用方法
四、安全用基本电常识
电对人体的伤害
1.电击:指电流通过人体,破坏人体心脏、肺及神
经系统的正常功能。
2.电伤:指电流的热效应、化学效用和机械效应对人体的伤害;主要是指电弧烧伤、熔化金属溅出烫伤等。
3.电磁场生理伤害:指在高频磁场的作用下,人会出现头晕、乏力、记忆力减退、失眠、多梦等神经系统的症状。
一般认为:电流通过人体的心脏、肺部和中枢神经系统的危险性比较大,特别是电流通过心脏时,危险性最大。所以从手到脚的电流途径最为危险。
触电还容易因剧烈痉挛而摔倒,导致电流通过全身并造成摔伤、坠落等二次事故。
触电的后果
心脏——心室颤动
中枢神经—中枢神经强烈失调
头部—昏迷死亡
脊髓—瘫痪
电器火灾的预防及应急处理
1、电器火灾的原因 :
(1).电器短路:由于线路绝缘层损坏,导线短路产生强烈的火花,引起可燃物起火。(2).超负荷:由于同时开启的电器用电量超过导线安全值,导线升温引起火灾。(3).漏电:漏电会产生火花,引起火灾。
(4).线路接触不良,发生升温或打火,引起火灾。
电器正确使用方法
1、购买带有3C质量安全强制人证标志的电器。(合格产品)
中国强制性产品认证”,它是我国政府为保护消费者人身安全和国家安全、加强产品质量管理、依照法律法规实施的一种产品合格评定制度
2、导线
整齐排放,固定位置,并远离通道。不要乱接乱拉电源线。要确保电源线与暖气管保持一定的安全距离。
3、电源插座
固定与摆放。
(1)不要直接放在地面。
(2)与饮水机、易燃物离开一定距离。
(3)避免负荷过重
4、用电设备
(1)不用用湿手或抹布触碰带电设备、开关等装置。
(2)出现故障,要及时通知专业人员维修或更换。
(3)下班离开办公室时,要检查开关是否断电。(4)发生触电应首先使触电者脱迅速离电源。5.带电灭火应注意:
a、不能用泡沫灭火器和清水灭火器。(要是用干粉灭火器)b、保持安全距离。
c、如遇导线断落地面,要划出警戒区。e、报警
办公室安全用电常识
1)用电设备应装设调试合格的漏电保护器,以保证使用电器时的人身安全。电器在使用时,应有良好的外壳接地。
2)电源插头、插座要安全可靠,损坏的不能使用,根据电器容量合理用电,避免过负荷使用。
3)尽量避免线路有接头,如有接头应确保接触良好,连接可靠。4)湿手不能触摸带电的电器、不能用湿布擦拭使用中的电器。
5)电器在使用过程中,发生打火、异味、高热、怪声等异常情况时,必须立即停止操作,关闭电源,并及时找电工检查、修理,确认能安全运行时,才能继续使用。进行电器修理必须先停电源。
6)电源开关外壳和电线绝缘有破损或带电部分外露时,应立即找电工修好,否则不准使用。发现电线断落,无论带电与否,都应视为带电,应与电线断落点保持足够的安全距离,并及时报修。
7)空调、电脑等用电设备的出风口不可遮挡与覆盖,并经常进行清理,保持通风良好。8)提倡文明用电,室内照明应做到人走关灯,空调、电脑复印机等电器设备长时间不用应切断电源,拔下插头,以防意外。
9)电水壶(煲)、台灯等电热器件,必须远离易燃物品,使用过程中不能离人,用完后应切断电源,拔下插头,以防发生意外。
2010年2月26日, 教育部办公厅发出关于中小学幼儿园安全工作2010年第1号预警通知。通知要求: (1) 切实加强安全教育。各校要在新学期开学初, 充分利用班团队会、升旗仪式、专题讲座、墙报板报、校园网络等方式, 采取多种途径和方法, 对学生开展交通安全、食品卫生安全、防火、防盗、防拥挤踩踏等安全知识以及预防自然灾害的主题教育。尤其要及时强化防溺水教育, 要教育学生不在上下学路上和节假日私自或结伴到水库、池塘等非游泳水域游泳, 未成年人不贸然救助落水同伴, 要就近向成年人呼救, 防止因盲目施救而导致群死事件。要切实建立预防溺水的联动机制, 进一步加强与有关部门、社区、村委会和家长的密切联系, 积极创造条件, 在学校周边非游泳水域插挂警示标示, 提醒学生注意安全。要高度重视并做好春游等集体活动中的安全防范工作。 (2) 积极落实极端天气安全防范措施。各地教育行政部门和学校要针对当地出现的大雾、大雨等极端天气, 不断完善学校安全工作应急预案, 认真开展对本行政区域内学校, 尤其是农村学校校舍、厕所、围墙以及消防、避雷、用水、用电、锅炉等设施的安全隐患排查工作, 及时整改, 消除各类安全隐患。要提示校车驾驶人员按照雾、雨天气安全驾驶要求安全行车。要提醒家长、教育学生坚决不搭乘“黑车”上下学。各地可根据重大气象和地质灾害预测信息, 适当调整学生上课时间或地点。 (3) 深入开展疏散演练。2010年3月29日是第十五个“全国中小学生安全教育日”, 主题为“加强疏散演练确保学生平安”。各地教育行政部门和广大中小学校要教育学生有序上下楼、文明把路行。要主动与有关部门合作, 结合当地实际和事故发生特点, 有针对性地开展安全教育和紧急疏散演练活动。进一步普及防震减灾知识, 坚决避免侥幸心理。坚持利用升旗、课间操、上下学等时间开展演练。寄宿制学校还要开展针对宿舍区的突发演练, 并确保演练时学生安全。
一、健康的饮食
1办公室里的人们总是很少有机会运动,整天在开着空调的房间坐着,早餐、午餐、晚餐的不规律也是见怪不怪的常事。所以一套健康的饮食计划尤为重要。早餐一定要吃,喝一杯脱脂鲜奶或吃个茶叶蛋都可以。早餐应多吃奶、蛋类营养价值高的食物,还要吃些蔬菜和水果。
2午餐吃八分饱。基于健康上的考虑,吃八分饱是恰当的。中式吃法很难控制食量,遇到自己爱吃的菜总会吃得特别多,也很容易吃过量。改为西式用餐方式,将所有的菜类分量装在同一个盘子里,这样不但能达到营养均衡的目的,又能轻松控制食量,如果再放慢用餐速度,自然容易有饱足感,可避免吃过量。
3饭后尽量不吃甜点。如果实在想吃点什么,那就吃热量小的零食,如海苔1小包,或果冻。
二、办公室的空气质量问题
办公室里的办公桌、椅子、书柜等大都以人造板为主,如刨花板、三合板等,而这些材料里都可能含有甲醛、甲苯等挥发性有机物等,这都会影响办公室内的空气质量。
另外,大多的办公环境里人员集中,而且还有人在办公室吸烟,空调的使用环境大多又是密闭的,这就使室内存在空气质量差、氧气相对不足、二氧化碳超标等问题。目前多数写字楼用的都是中央空调,很多中央空调还需要靠通风管道来通风,管道里边阴暗潮湿,特别容易滋生细菌,时间长了还会有很多灰尘,这也会造成室内可吸入颗粒物的增多。
对策:多开窗,最好每天上班后第一件事就是打开窗户,自然通风,改善办公室的空气质量;最好隔一段时间到空气流通处或户外活动活动;打扫时提倡湿式清扫,就是拖地,擦拭桌面、窗台时要用湿布清洁;对中央空调一定要按照国家规定进行清洗和维护;适当在室内放些绿色植物。
三、办公设备的电磁辐射
在办公室里,我们每天用得最多的设备就是电脑、复印机、打印机等。这些现代办公必备的设备,在给了我们工作以极大便利的同时,也可能给我们的健康带来潜在的威胁。总的来说,电器设备对健康最大的威胁就是产生臭氧,而臭氧会消耗空气中的氧气。如果通风不好,臭氧就会和人的肺争抢有限的氧气,使空气质量变差。而在这场“争夺”中,人是处于劣势的,因此有人就容易出现头晕、恶心症状等。怎样在获得这些设备使用价值的同时,又避免可能由此带来的健康威胁,就成了办公室一族迫切需要关注的问题。
对策:要保证办公环境内的新风量,稀释有害气体;注意办公环境内的清洁卫生,及时清扫办公室。
四、潜在的危险和安全习惯
办公室潜在的危险包括:过度拥挤,办公设备摆放不当,拖曳的电话线或者电线,档案柜挡过道,设备突出的棱角,破旧或损坏的楼梯板,楼梯上缺失或损坏的扶柄,地板打滑,书柜顶端放东西过多导致倾倒,电路负荷过大,设备从桌上滑落,灭火设备损坏等等。
要避免这些潜在的危险,就要养成良好的安全习惯。安全的工作习惯有:良好的办公室布局、布置,取放高处的东西时注意安全,开水、热饮远离工作地点、过道,避免电线、电话线过长而拖地,办公室设备注意维护等等。
除此以外,我们还需要留意那些可能威胁健康的细节,如以下这些常被我们忽视的问题:
1跷“二郎腿”。“二郎腿”不仅姿势不雅,还会使腿部血流不畅。如果你是静脉瘤、关节炎、神经痛、静脉血栓患者,那么这个姿势势必将使病情更加严重。尤其提醒那些腿长者和孕妇,静脉血栓也许就此缠身。
2眯眼看东西、揉擦眼睛、不停滴眼药水。长时间在电脑前工作,眼睛易疲劳,于是有人就喜欢眯起眼睛看东西,或不断地揉眼睛、滴眼药水,以为这样能减除眼睛的疲劳。习惯性眯眼可使眼肌疲劳、眼花头疼。揉眼时,病菌会由手部传染给眼睛,导致发炎、睫毛折断或脱落。而通过频繁地滴眼药水来解除眼部干涩,则会对眼药水产生依赖感,反复下去,超过眼药水的规定用量,反而会伤害眼睛。
教育部办公厅关于开展信息系统安全等级
保护工作的通知
教办厅函[2009]80
号
各省、自治区、直辖市教育厅(教委),各计划单列市教育局,新疆生产建设兵团教育局,部属各高等学校:
信息系统安全等级保护制度是构建国家信息安全保障体系的基本制度。为进一步做好教育系统信息安全工作,提高教育信息系统安全保障能力和水平,经研究,决定在教育系统全面开展信息系统安全等级保护工作。有关要求通知如下:
一、教育信息系统安全等级保护工作的目标
落实国家有关信息系统安全等级保护制度建设的文件要求,增强各地、各校主管部门领导的信息安全保护意识;开展技术培训,建立信息安全技术队伍,建立健全教育系统信息安全等级保护技术保障体系;全面开展教育系统信息系统的定级、备案和测评工作,对发现的问题及时进行整改,用3年左右时间,基本建立教育系统信息系统安全等级保护体系,切实提高教育信息系统安全水平,保证教育信息化的健康持续发展。
二、教育信息系统安全等级保护工作的内容
1.按照国家信息安全等级保护有关要求,对教育系统各级行政部门、各级各类学校信息安全工作部门主管领导及技术骨干人员进行培训。
2.信息系统安全定级和备案。各单位对本单位信息系统进行定级,对二级以上的信息系统要办理备案手续。
3.对三级以上信息系统开展信息安全等级测评工作。根据测评结果,不符合要求的,要制订整改方案进行整改。
4.根据公安部门要求,在教育系统联合开展信息系统安全等级保护监督检查工作。
三、教育信息系统安全等级保护工作的安排
1.教育部教育管理信息中心负责教育系统信息安全等级保护工作的组织实施,并配合公安部门在教育系统内开展监督检查工作。
2.人员培训。到2010年底,基本完成高校及地市级以上教育行政部门的培训工作,每单位至少培训1名信息系统安全主管和1名技术骨干;到2012年,基本完成其余教育行政部门和学校的培训工作,每单位至少培训1名信息安全人员。对参加培训考核合格人员颁发相应证书。
3.信息系统定级备案。由参加过培训并具有考核合格证书的人员对本单位信息系统协助进行定级。高校及地市级以上教育行政部门三级以上的信息系统要在教育部教育管理信息中心和当地公安部门同时办理备案手续。已建三级以上信息系统未办理备案手续或仅在当地公安部门办理手续的,2010年4月前要完成补办工作。
4.信息系统安全等级测评和整改。教育部教育管理信息中心根据国家有关规定对三级教育信息系统每年进行一次安全等级测评,四级教育信息系统每半年进行一次等级测评。每年11月前完成安全测评。不符合要求的信息系统在第二年4月前完成整改工作。
各地、各校要充分认识信息安全等级保护工作的重要性,提高信息系统安全意识,明确机构和责任,将信息安全等级保护建设、测评、培训等各项费用纳入年度预算,并为信息安全等级保护工作开展提供必要的工作便利。
教育部办公厅
教育部办公厅关于学习贯彻全国安全生产电视电话会议精神、加强学校安全工作的通知
(教发厅[2009]5号)
各省、自治区、直辖市教育厅(教委),新疆生产建设兵团教育局,部属各高等学校:
6月1日,国务院安委会召开全国安全生产电视电话会议,中共中央政治局委员、国务院副总理、国务院安全生产委员会主任张德江在会上作了重要讲话。会议要求各地区、各部门和各单位深入贯彻落实科学发展观,牢固树立安全发展理念,强化责任,狠抓落实,加强防范,坚决遏制重特大事故发生,扎实推进全国安全生产形势持续稳定好转,全力维护人民群众生命财产安全,促进经济平稳较快发展。为全面贯彻落实全国安全生产电视电话会议精神,进一步做好学校安全工作,现将有关工作通知如下:
一、坚持以科学发展观统领学校安全工作全局
科学发展观是学校安全工作的重要行动指南,安全发展作为科学发展观的重要内涵,是必须始终坚持的重要指导原则。各地教育行政部门和各级各类学校要结合学习实践科学发展观活动,进一步总结工作经验,寻找学校安全工作中的差距和管理漏洞,切实将科学发展、安全发展的理念落到实处。
二、深入开展学校安全隐患排查治理行动
根据我部学校消防安全工作检查组对部分省市检查情况,各地各学校坚持开展安全教育和安全隐患排查治理工作,取得显著成效。但部分地方和学校仍存在治理工作缺乏力度,解决问题就事论事,不注重追根求源等方面问题,致使安全隐患难以根除。对此,各地各学校要引起高度重视,要对以往的工作进行认真反思总结,吸取教训,健全制度,不断改进学校安全隐患排查治理工作,坚决消除安全隐患。
三、积极推进“安全宣传教育行动”,提高师生安全意识和自防自救能力
各地各学校要积极推进“安全宣传教育行动”。要深入细致地做好交通安全、食品卫生安全、防火、防盗、防溺水、防校园伤害和预防雷电、洪水、泥石流、地震、台风等自然灾害的安全常识教育。要加强对师生员工的安全教育,提高他们的安全防范意识和自防自救能力。要将安全教育作为学校教育的重要内容,通过安全教育课、主题班会、各类安全知识专题讲座及演讲比赛等形式,使学生树立安全意识,掌握安全基本知识和避险技能。要从本校安全工作的实际情况出发,根据师生安全和学校稳定的需要,将法制、纪律教育和安全知识教育等有效结合起来,开展好寒暑假等节假日安全教育工作。要结合应急预案的编制和更新,积极开展应急演练,增强师生的应急逃生能力。
四、加大安全工作经费投入,提高学校安全保障能力
各地各学校要按照科学发展观的要求,研究制订安全经费的投入标准,确保安全经费在学校经费中的合理比例;要按照保安全、保运行、保发展的经费使用原则,增加安全工作经费投入。努力实现人防、物防、技防的协调发展,提高安全工作经费的使用效益,提高学校安全保障能力和水平。
五、严格落实责任制和责任追究制
坚决落实学校安全工作领导责任制和责任追究制。各地教育行政部门、学校一把手要对安全工作负总责。要认真学习贯彻党中央国务院有关安全工作指示精神,层层落实责任,确保学校安全稳定。对由于责任不落实,隐患排查和整治不及时,管理不严,监督不到位引发的各种安全责任事故,要严肃追究有关领导和责任人员的责任。
各地各学校要全面贯彻落实中央关于“质量和安全年”的工作部署,认真查找工作差距和薄弱环节,进一步加大安全工作力度,为新中国成立60周年创造良好的学校安全环境。
教育部办公厅
二○○九年六月九日
2012年度安全生产目标责任书
(安全办公室)
为贯彻落实“安全第一,预防为主;全员参与,确保安全”的方针,落实安全生产责任制,切实防止重大事故,减少各类一般事故的发生,根据《安全生产法》等安全法规和本单位安全规章的要求,本公司(以下称“甲方”)决定和安全办公室(以下称“乙方”)签订2012年度安全生产目标管理责任书,具体如下:
一、安全目标
1、重伤、死亡、爆炸、火灾等重大事故为零;
2、千人负伤率≤0.5‰;
3、员工安全教育培训率100%;
4、新进员工“三级”安全教育培训率100%;
5、特种作业人员持证上岗率100%;
6、隐患排查发现的安全隐患整改率达100%;
7、安全投入保障率100%;
8、职业危害因素检测合格率100%。
二、安全职责
1、负责本单位的安全技术管理工作,贯彻各项安全生产法律、法规、标准、制度以及安全生产方针、政策。对各部门、各车间、各班组安全员进行安全技术指导;
2、参与制定、修订企业有关安全生产管理制度和安全技术操作规程,并检查执行情况。
3、协助各级领导做好职工的安全教育工作;负责组织对新进员工、变换岗位员工、特种作业人员和班组长的教育;检查、督促班组岗位安全教育;建立、健全安全培训教育档案。
4、负责检查、考核各部门、车间、班组的安全活动,负责安全设备、消防器材、防护器材、急救器具的管理,确保其处于完好有效状态。
5、每天深入生产现场检查,及时发现隐患,制止违章作业。检查单位单位房、仓库、宿舍有无火灾隐患;物品堆放是否符合消防要求;各出入口是否畅通,是否符合紧急情况下疏散人员的安全要求。
6、组织并参加企业安全生产大检查,对查出的安全隐患进行分类、汇总并督促有关单位进行整改。
7、主持日常安全教育工作,定期开展安全活动,创造良好的安全生产氛围。
8、组织、参加企业安全事故的调查、处理,做好统计分析,按时上报。
8、建立、健全安全生产管理档案,做到实用、齐全、规范化;
9、负责特种设备的安全监督管理工作。深入现场监督检查,督促并协助解决有关安全问题,纠正违章作业。遇有危及安全生产的紧急情况,有权责令其停止作业,并立即报告有关领导。
10、按照企业制定的应急救援预案,定期组织演练,不断地总结经验,予以更新。
三、安全目标、职责管理
1、履行安全生产责任制,落实安全责任的有关措施,确保责任书各项指标的完成。
2、每季度至少开展一次安全大检查,并根据生产的具体情况,适时组织专项检查。
3、及时向本单位领导报告安全事故。
4、经常组织开展安全宣传教育培训活动,提高员工安全意识,营造人人讲安全的氛围。
5、分别在次月初,将上月安全生产目标管理责任落实情况、安全生产工作活动开展情况、安全检查情况以及各项考核指标的完成情况,书面报告安全管理领导小组或本单位领导。
6、本单位将对安全主任的安全活动与责任目标落实情况实行年度考核;对安全主任进行综合评定,公布考核结果,落实奖惩制度。
7、本目标责任书期限为一年,即从2012年1月5日起至2013年1月4日止。
8、责任书签字人因工作变动,接任人为自然签字人。
9、本责任书一式三份,双方各执一份,另一份交安全办公室备查。
甲方(盖章):乙方:安全办公室
主要负责人签字:负责人签字:
近年来, 计算机网络在办公中越来越彰显其重要性。传统的有线局域网虽然速率高、稳定性、安全性较强, 但它在组建以及在原有基础上进行重新布局和改建方面, 都比较困难, 且成本和代价也比较高。相较而言, WLAN (Wireless Local Area Networks, 无线局域网) 不仅具有灵活性和移动性强的优点, 而且在网络的组建和扩展方面更加简单、灵活和低成本, 非常切合很多办公环境下的需求, 因此越来越得到广泛应用。
然而, 由于无线信号本身的特点, WLAN也有其安全问题。在有线局域网里, 攻击者很难直接访问网络介质。然而在WLAN, 无线信号不受限制, 在传输设备一定距离内的任何设备都能直接访问网络介质, 攻击者对网络的攻击更加容易实行。攻击者的目的可能是为了干扰网络的正常运作, 或给自己提供访问英特网渠道, 也可能是为了窃取数据。
本文接下来先简单介绍WLAN, 从安全角度分析对比不同的WLAN组网方式, 并介绍几个WLAN的鉴权和加密协议。然后分析WLAN几种常见的安全问题, 并提出相应的对策和建议。
2 WLAN介绍
最常见的WLAN协议是无线以太网协议:802.1a、802.1b、802.1g和802.1n。它们的差别主要在于载波频率、无线传输技术和数据速率。
通常的WLAN结构需要一个中心设备作为访问接入点 (AP) , 用于产生无线网络并管理对无线网络的访问, 同时提供对有线网络的访问。
无线设备要成为无线网络的一部分, 有几个步骤。第一步是发现AP, 这可以通过监听AP广播的SSID (Service Set Identifier, 服务集标识) 做到。在某些情况下, 例如为了安全方面的考虑, 网络管理员关闭了AP的SSID广播, 这时无线设备可以手动输入事先知道的SSID。第二步是接入, 无线设备向AP发送联系请求包, AP用联系回应包来回复。
无线设备和AP联系成功后, 就可以使用CSMA/CA (载波侦听多路访问/冲突避免) 协议开始通信。CSMA/CA协议类似于有线以太网的CSMA/CD (载波侦听多路访问/冲突检测) 协议, 用于做对共享的网络介质的多路访问控制。它们的主要区别在于无线网络里不能检测冲突, 因此WLAN里需要发回应答数据包来响应已发送的数据包。
2.1 两种组网方式的安全性能对比
AP有两种配置方式。第一种方式是AP作为一个传输中继设备, 用于延伸网络, 如图1所示。这种情况下, 有线网络和无线网络的设备处于同一个子网, AP被用来构建一个更大的以太网络。
另一种是方式是AP作为无线路由器, 如图2所示。这时无线网络是一个独立的网络, 有线网络和无线网络的设备分别处于不同的子网, 它们之间的通信必须跨越路由器。
从网络安全的角度看, 把AP用作无线路由器的方式能够在无线和有线网络之间提供更好的独立性, 隔离流量, 从而增加了网络的安全性。
2.2 WLAN的鉴权和加密协议
为了提高WLAN的安全性能, WLAN协议增加了鉴权和加密机制。鉴权是指验证设备或用户, 实现合法用户合法接入网络。加密是对AP和无线设备之间的流量进行加密, 使通信内容不可窃听。WLAN的主要安全协议有WEP、WPA和WPA2, 它们的安全性能各不相同, 且它们本身也存在一定的安全漏洞。
WEP是在1997年制定的, 它是一个简单的鉴权和加密协议, 但它使用的方法非常脆弱, 可以轻易被破解。
因为WEP的严重安全漏洞, Wifi联盟在2002年制定了WPA协议, 它提供了比WEP强大的鉴权和加密机制。WPA有两种版本, 即家用的WPA-PSK和企业用的WPA-Enterprise。后者使用RADIUS服务器来验证每一个用户, 而不只是验证设备。WPA相比WEP而言提高了安全性能, 但仍有安全漏洞。如果攻击者能够看到足够多的流量, 那么加密密钥仍可能被破解。
WPA2是WPA的增强版本, WPA2与WPA的差别在于, 它使用更安全的加密技术, 因此比WPA更难被破解、更安全。
3 WLAN安全问题分析
3.1 网络流量嗅探
相对于有线局域网, WLAN的最大安全问题来自于信号的不受限制, 办公室外依然能接收到无线信号。屏蔽建筑物需要花费大量资金, 通常很少企业会这么做。有些特殊的天线甚至可以做到在建筑物外捕捉非常弱的无线信号。
攻击者可以把无线以太网的网络控制器配置成混杂模式, 即忽略目标地址, 就可以嗅探到本来不是发给自身的流量。
WLAN协议的加密机制 (即WEP、WPA和WPA2) 能在一定程度上减少这一类攻击, 让攻击者无法对无线以太网的数据进行破解。需要注意的是, 这些加密协议本身都有一定的安全漏洞, 而且这些协议仅对AP和无线设备之间的流量进行加密, 但不提供端到端的加密。对于商业上的敏感数据, 还需要配合使用其他高层协议来提供端到端的加密, 以提高其安全系数。
3.2 对CSMA/CA协议的攻击
攻击者可以对CSMA/CA协议发动攻击, 导致被攻击的设备对网络的拒绝访问。例如, 攻击者可以发送大量信号, 造成阻塞, 迫使被攻击设备不能接收应答信号, 因而不能对网络连续访问。
这种物理攻击难以追踪和防御, 因为很难阻止攻击设备发送电磁信号。
3.3 恶意访问接入点
一个有效的网络用户在公司网络管理人员不知情或未获许可的情况下安装的AP, 称为恶意访问接入点。比如某位员工将家用无线路由器带到办公室, 接入到办公室的有线网络, 以方便自己用笔记本或手机访问英特网。老练的恶意用户可以屏蔽SSID广播, 从而产生一个隐藏的恶意访问接入点。
恶意访问接入点会带来几种安全风险。首先, 恶意访问接入点可以允许用户绕过公司内部安全网络, 从而降低了整个网络的安全性。另外, 恶意访问接入点还可以为攻击者提供访问公司内部网络的渠道, 如图3所示。攻击者一旦访问到公司内部网络后, 就可以进一步实施其他攻击。
寻找恶意访问接入点的一种方法是通过寻找无线信号来扫描访问接入点, 例如寻找SSID广播信号。但如前文所述, 老练的恶意用户可以关闭SSID广播。对于这种隐藏的恶意访问接入点, 需要监控所有的无线流量。有一些专门的工具可以用于帮助定位恶意访问接入点。但如果办公室本身就有无线网络, 恶意访问接入点的减灾将更加困难。
3.4 接入点配置验证攻击
接入点配置验证攻击是指攻击者企图访问AP的配置菜单, 以修改AP的网络安全特性。最常见的情况是, AP使用了出厂默认的密码, 这种情况下攻击者要访问AP的配置菜单是轻而易举的, 因为大多数设备的默认密码清单可以很容易在英特网上查到。
攻击者一旦取得对AP的控制软件的访问权, 就可以读取和修改AP的安全特性, 然后进一步实施其他各种恶意攻击。
为了减少这一类攻击, 网络管理员应该修改AP的默认密码, 并定期更新密码。
在组网方式上, 把AP配置为无线路由器模式。从安全的角度看, 这种方式能够在无线和有线网络之间提供更好的独立性, 有隔离流量的作用, 能在一定程度上减少网络嗅探攻击、广播风暴造成的网络崩溃等。
修改AP的出厂默认密码, 并定期更新密码, 防止攻击者访问AP配置菜单、更改AP的安全特性并实施进一步的攻击。
使用安全性较高的WLAN鉴权和加密协议, 如企业版的WPA2, 配合RADIUS服务器, 它能验证每一个用户, 并提供较好的加密性能。需要注意的是, 即便如此, 也不能完全保证流量不会被嗅探。对于商业上的敏感数据, 建议配合使用其他高层协议来提供端到端的加密, 进一步提高安全性。
参考文献
[1]Douglas Jacobson, Introduction to Network Security, CRC Press, 2009.
[2]Welch, D.;Lathrop, S., Wireless security threat taxonomy, Information Assurance Workshop, 2003.IEEE Systems, Man and Cybernetics Society, 2003.
关键词:办公室计算机杀毒软件防火墙定期检查备份
0 引言
在信息技术飞速发展的今天,计算机在我们的生活中已经越来越重要,特别是网络的普及让我们的工作、学习和娱乐,甚至消费都越来越依赖计算机。然而,计算机在给我们带来诸多便利的同时也面临着各种各样的安全隐患。计算机病毒、木马日益泛滥,成为危害计算机和网络安全的最主要因素。计算机病毒具有隐蔽性、传染性、潜伏性、表现性或破坏性、可触发性,而破坏性是它的主要特征。病毒程序一旦侵入系统会对操作系统的运行造成不同程度的影响。被它们侵害的用户轻则降低系统工作效率,重则系统崩溃、数据丢失,信息被盗,造成经济损失。
怎样在充分利用计算机的同时最大限度的保证计算机使用的安全呢?本人在工作摸索和各种实践案例中总结出办公计算机的安全防护工作主要“防御”、“体检”和“备份”三个方面着手:全面提升计算机安全等级,保障计算机安全运行。
1 建立有效的防护体系,保障操作系统的安全
1.1 安装杀毒软件 因为人类自身有着一套强大的免疫系统,才能够健康的生活,要保障计算机的安全,也要建一套“免疫系统”。给计算机安装一套杀毒软件及安全防护软件是建立“免疫系统”的基本要求,只有安装好这些软件,计算机才算是有了一定的“抗病能力”,千万不能图省事而放弃安装。
1.2 防火墙安全 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据安个策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙保护着内部网络的敏感数据不被窃取和破坏,并记录内外通信的有关状态信息日志,如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。
防火墙是个人电脑安全的第一道安全措施,所以我们必须选用个人防火墙,在选择时,要求防火墙具有足够的安全防护性能,而自身又具有良好的稳定性,在设置和管理时方便,并且可以扩展和升级。如瑞星个人防火墙,天网个人防火墙。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足,无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送己感染病毒的软件或文件,以及无法防范数据驱动型的攻击,无法防范利用服务器系统漏洞进行的攻击,也无法防范新的网络安全问题。
1.3 养成良好的操作习惯,安全用网 保护计算机的安全除了安装了杀毒软件及安全防护软件之外,还要养成良好的操作习惯和用网安全等。现在IE浏览器己经成为各种木马、病毒和恶意软件最主要的攻击对象。它们利用恶意代码更改IE设置,使我们无法正常使用IE浏览器,极大的影响了上网操作。为此我们要安装IE保护程序,对于来历不明的网页链接不可随意点击,下载文件应选择正规网站,运行安装程序之前应先进行病毒查杀,为了减少病毒的传染机会,应尽量避免从网络下载应用软件,要定期检查系统进程,定期检查注册表。我们在收发电子邮件时尽量使用邮件工具,避免从网络上直接浏览邮件,在打开邮件时开启病毒防护软件,取消邮件工具的“自动浏览”功能。另外不要随意使用邮件进行网络注册,以保护自己的邮箱地址,来路不明的邮件和未经过查毒的附件不要轻易打开,尤其不要打开exe.com和脚本文件。总之,对于计算机的安全防护要像防治疾病一样,“以预防为主,防患于未然”。如果总想着感染了病毒之后再去查杀,不仅费时费力,还很可能造成无法挽回的损失。
2 定期进行安全检测,升级杀毒软件,排除病毒威胁
2.1 有很多用户持一种错误的观念,以为只要安装了杀毒软件,特别是只要安装了有实时杀毒功能的防火墙,就能挡住所有病毒,这是大错而特错的。从1999年4月26日CIH病毒大发作的情况来看,安装了病毒防火墙且于1998年9月以后至少升级过一次的,都没有受到CIH病毒的攻击,而那些虽然安装且运行病毒防火墙,却太久没有升级的用户,有相当大的比例不幸成为CIH病毒的牺牲品。究其原因,完全是没有及时升级,使原有的杀毒软件无法具备防范查杀、阻击CIH病毒的能力。因此,我们要再一次特别郑重地提醒自己,不管使用的是什么样的杀毒软件,一定要及时升级,否则,当一个全新的病毒袭来的时候,旧版本的杀毒软件将会形同虚设。
2.2 定期对计算机进行“体检”。及时升级杀毒软件和病毒防护工具,定期对计算机进行全盘的扫描,及时清除病毒、木马、恶意插件及垃圾文件,并修复系统漏洞,以免造成不必要的损失。预防与消除病毒是一项长期的工作任务,不是一劳永逸的,应坚持不懈。
3 有“备”无患,安全应对意外事故
“免疫系统”和定期“体检”这两项措施对保护计算机安全有着重要的意义,但有的时候我们会遇到更为严重的事故,如某种新出现的极具破坏性的病毒入侵、计算机硬件损坏等等,这些事故均难以预料和防范。曾看到过某位教授因硬盘损坏而丢失了几年的研究成果,也看到过某公司因为病毒感染而导致重要客户资料丢失。有备无患,为了避免它们给我们造成损失,我们应该“居安思危”,在平时做好备份工作,以备不时之需。具体的说,我们可以将重要的数据资料复制一份,储存在U盘或移动硬盘中,对于操作系统我们可以使用专门的备份软件进行备份,一旦遇到系统崩溃的情况,则可以很方便的利用备份文件将系统恢复。应该说,备份工作的操作并不复杂,关键在于明确及时备份的意识,并认真执行。只有平时做好充分的准备,在遭遇意外时才能从容面对。
总之,在使用电脑过程中,威胁电脑安全的因素是多方面的,为了防止我们的电脑受到病毒和黑客的攻击,要求我们全方位的做好安全工作,这样才能利用计算机安心的学习和工作。
二、办公室的办公桌抽屉和柜橱内不要存放现金和有价证券。拎包、手机、手提电脑等贵重物品要存放在设备完整的柜橱中,不要随便放在办公桌上。
三、工作人员养成人离办公室随手锁门的习惯。
四、在办公室不得乱拉电线、乱扔烟火和其他火种,防止发生火警。
五、遇到陌生人员,员工应主动询问事由,不要随便让他们在办公室停留。
一、办公室主任对本部室的安全生产工作负直接管理责任。负责上传下达公司有关领导对安全工作的指示,督查督办各项安全工作,协助搞好安全生产检查和宣传教育工作。组织调动各类群体组织发挥安全生产监督作用和模范带头作用。
二、负责公司安全生产工作各类信息的报送、宣传,把安全工作纳入精神文明建设,协助总结推广安全生产先进经验。
三、掌握了解职工思想动态,做好思想政治工作,解决影响安全生产的各种思想问题。
四、负责集体活动的安全保障及服务工作,负责公司通信安全工作,开展综合治理。
五、组织开展社会治安综合治理和平安创建工作,强化内保队伍建设和管理,采取有力措施,保证公司平安稳定。
六、完成公司领导交办的其他安全管理工作。
【摘 要】随着国家电网公司信息化建设的发展,信息安全技术也越来越重要。作为信息管理的主角,信息已经成为日常工作的主要资源之一,基于网络的开放性、自由行的特点,各类信息的资源在不断增加过程中,对于信息的管理、保护和占有技术也越来越成为关注的焦点。本文结合本单位的实际情况,从办公网络安全技术方面,对办公网络信息安全技术进行研讨。
【关键词】网络安全;办公信息;加密;应用安全技术
【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158(2013)07-0097-01
1 引言
电网企业的信息化起步于上世纪60年代,在建设过程中,各种基础设施和应用软件在不断升级换代,建立了相当数量的信息管理系统,形成了越来越多、大大小小的信息“孤岛”。由于缺乏统一规划,造成各个信息系统之间相互缺乏关联,信息资源难以共享。为摆脱这一困境,2006年4月29日,国家电网公司提出了在全系统实施“SG186”工程的规划,“SG186”工程即国家电网公司信息化“186”工程。SG186工程是在把握企业信息化发展规律的基础上,加强应用建设和资源整合,联通“孤岛”,搭建起统一高效的信息平台,更好地满足了企业现代化管理的要求。
培训中心也在此基础上,进一步完善了校内信息网络建设,完成了涵盖人力资源、财务、物资、项目、设备、计划等紧耦合业务应用的信息系统建设,完成了协同办公和综合管理等业务应用建设;建立健全了安全防护、标准规范、管理调控、评价考核、技术研究、人才队伍六个保障体系。通过建设SG186工程,培训中心的信息化工作已全面渗透到各个管理领域和各项业务环节,信息化在企业管理中的支撑和引领作用不断增强,不断推动培训中心管控模式由自转向公转、由壁垒向协同,由分散向集中,由自发向可控、由孤岛向共享的转变,有效促进了培训中心的科学发展,为培训中心集约化管理供了支撑,信息化工作带来的效能、效率和效益逐步显现。
但是在信息化建设过程中,所有的内容都是充分利用了现代信息和通信技术,对信息技术资源的需求和依赖越来越大,信息安全问题也日益凸显出来。与民用网络相比,培训中心的网络是直接与国家电网公司的计算机相连接,有很大的特殊性,有更高强度的安全需求,如抗截获、抗干扰、抗摧毁、抗篡改、抗伪造、安全、保密、特权、异网互连互通等。这些内部网络中存储了大量关系到本单位切身利益的涉密信息,一旦泄漏将导致重大损失。如何确保内网数据安全已经成为信息安全与保密领域的重要课题。防火墙、入侵检测、杀毒软件等边界防御措施,主要防范来自外部网络的病毒和黑客攻击,不具备对数据本身的保护能力,难以防范内部人员窃密或硬盘丢失造成的泄密隐患。针对这些特殊的安全需求,确保培训中心网络化办公中的信息安全显得更为重要。
2 系统设计
目前,培训中心的办公采用无纸化的系统办公系统,是基于Internet建立通信信道。在深入分析了现在广泛应用的SSL VPN和IPSec VPN两种接入方式的一些优缺点之后,综合考虑移动办公环境中信息存储、处理和传输等方面的安全性,设计了一个能够较好解决移动办公安全问题的基于组合公共钥匙(Combine Public Key)技术的移动安全接入系统方案。该方案基于组合公共钥匙技术,专门设计了离线公钥证书加密和认证技术,通过使用密码设备USB Key,有效地解决了在之前采用CPK应用中会遇到的问题。对于密钥存放以及共谋攻击问题,采用强身份认证系统,通过采用点对点安全传输平台,确保信息传输安全。
在移动桌面办公安全监控系统中采用基于关联规则的行为控制技术,可以对用户在远程办公中的行为进行有效监控,防止用户通过复制、截屏、导出等方式泄露内部资源,并能自动识别并终止恶意进程,从而保护办公机密的处理安全。
3 数据加密
安全的网络信息系统应当确保所传输信息的完整性、保密性、不可否认性等。目前保障通信和网络安全技术的种类很多,其中数据加密技术是保障信息安全的最核心的技术措施。密码技术作为数字签名的理论基础,是首要的研究对象,在数据加密技术中主要有传统密钥加密体制和公开密钥加密体制,公开密钥加密体制在对数据加密和数字签名两方面应用广泛,在对对称加密、非对称加密和杂凑函数三大加密技术及其主要算法进行概括分析的基础上,将数字签名技术中各算法性能优劣进行量化对比,选取了适合本系统的Blowfish、RSA和SHA-1的签名算法,在分析了其网络化办公存在的安全问题,并发现公钥基础设施(PKI)体系结构采取单一信任模式是问题产生的根源。在对网络化办公信息系统的安全需求进行充分分析的基础上,设计了层次信任和交叉信任相结合的PKI信任结构,实现了能够提高证书认证效率的PKI信任体系,应用了基于离线公钥证书的文件加密技术,对传送到外网的信息透明的进行高强度加密存放,保证机密信息的存储安全,同时使用进程识别技术对访问文件的进程进行过滤,有效防止病毒木马窃取或者破坏机密文件。
在公文收发系统的设计实现中,提出了客户端与服务器端双向认证与对人和设备双层认证相结合的认证方案,在第二层又提出了“用户名+编号+密码+标识设备(电子U盘)”方式的安全身份验证方案,既实现了对用户人的身份认证,又达到了对特定使用设备的认证。系统具有公文加密、解密、数字签名、签名验证以及公文收发等功能,可提供信息传送过程中的身份认证服务、权限控制服务、信息保密服务、数据完整性服务和不可否认性服务,克服目前单一认证方式存在的“只认设备不认人”的问题,进而为网络化办公提供了一个相对安全可靠的环境。
4 文档加密
对于内网中传输的电子文档安全,采用了一种基于BLP模型,首先划定了办公文档的保密等级和文档能够流转的空间范围,通过技术手段使高密级的文档数据不能流转到低密级的范围中去。将需被保护的电子文档加密集中存储到服务器端,客户端需要时从服务器下载使用,使用完成后回收并删除客户端使用痕迹;并对文档在客户端驻留期间加以管控,使文档内容信息不会拷贝到其他低密级文件中或被打印。
根据BLP模型思想,首先划分出允许高密级文档流转的安全区和可以允许低密级文档流转的非安全区,确保受保护的高密级文档仅能流转在安全区中。安全区包括服务器端的文档存储区和客户端的文档使用区(安全沙盒)两部分。并根据安全区两部分的不同特点分别做了不同的技术保障:
(1)服务器端存储区:将文档传输并存储到服务器过程中,为防止信息被截获或窃取,本文借鉴了以往信息加密传输所用到的数字信封技术,应用密码学中的非对称加密技术,给出了一种适合文档存储的加密方案。此方案保证了文档信息在传输和存储过程中被加密,且加密的文档信息在服务器上存储后,既能方便给自己打开,也能在不告知自己密钥的情况下方便的将文档安全地共享给其他人。
(2)客户端文档使用区:在客户端建立一个安全沙盒。通过对所有进程注入钩子,托管其能使信息传输的API,管控其对保护文档拷贝,复制,打印。确保被保护的文档内容信息无法流出安全沙盒。在受保护文档被使用完成后,自动回收到服务器端存储,并消除掉本地所留下的痕迹,做到客户端不留痕。
安全使用者为打开安全文档的进程,通过对进程注入一个权限令牌与非安全进程区分。通过注入钩子,托管其能使信息传输的windows API。用户登录基于强身份认证的用户准入机制:通过“挑战-响应”方式,客户端服务器双向互认证,确保双方的合法性。
5 结论
为贯彻落实2009年国务院安委会全体会议、国务院全国安全生产电视电话会议和全国安全生产工作会议精神, 切实加强安全生产工作, 严防重特大事故的发生, 确保全国“两会”期间安全生产形势稳定, 为保持经济平稳较快发展创造良好安全环境, 决定即日起至3月底在全国开展一次安全生产检查。
这次安全生产检查的重点是:煤矿、金属非金属矿山、尾矿库、石油天然气开采、危险化学品、烟花爆竹、冶金有色、道路交通、水上交通、铁路、民航、建筑施工、人员密集场所、水利、电力、农业机械、渔业船舶、特种设备、民爆器材等行业和领域。
检查的主要方式是采取企业自查、各级安委会组织检查相结合的方式进行;坚持政府检查与企业自查相结合、检查与整改相结合。检查工作方案由各地、各单位、各企业结合实际自行制定。2月下旬, 国务院安委会办公室将对部分地区进行调研督查。安委会办公室对此次检查提出了具体的工作要求。
很多公司和企业时常会号称“安全第一”,但是实际上,办公室安全隐患却随处可见,在办公室里面的我们还是很不安全。例如在一些安全措施做得很差的办公室里面,插座随处可以见,一个排插,时常连接着六七部电器,还有人不时地会放一杯水在旁边,假如这杯水被碰到,恐怕就不止短路这么简单了,严重的时候还会导致触电事故,造成人员伤亡。然而,还有很多人认为,发生事故的概率很小,办公室安全隐患不会出现在自己的身边,这个观念也是错误的。 对于在办公室里面工作的白领来说,赚钱固然十分重要,可是我们却不能忽视办公室安全隐患,从一个普通的插座,到你们每天工作的电脑,都会存在不同程度的安全隐患。当然,如果要求每个人都可以在百分百安全的环境下工作,也不太现实,一般的公司也并不会为每个人都设想得如此周到。不过,假如办公室的安全系数很低,那么就意味着一边工作一边还要提心吊胆,这样就把每个人的精力都分散了,这并不是一件好事。另外,也有一部分人还在安全隐患很多的办公室里面谈笑风生,我其实很佩服他们的勇气,如果向他们提起办公室安全隐患,恐怕他们也并不会在乎。可是,世事往往都让人意想不到,你认为不可能发生的事情,往往都在你的不经意间就发生了,而且后果还会让你瞠目结舌。所以,不管是哪一个办公室的人,都必须要纠正自己的观念,办公室安全隐患一定会出现在自己的身边,我们必须先有忧患意识,然后我们才会从自己的行动当中去改变。 其实,多数人是幸运的,没有经历过办公室安全事故,不过幸运归幸运,如果我们还是认为办公室安全隐患不会出现在我们的身边,那么很可能我们就会变成那个“不幸运”的人,到时就可以能欲哭无泪了。
一是防火。电器类设备人走必须保证关闭电源,微机、饮水机、打印机、空调等。有抽烟的办公室要注意抽完烟必须将烟蒂完全熄灭后放入密闭的烟灰缸内。二是防触电。所有电器设备插座要安全可靠,整个楼房要进行每年进行一次防雷电接地检验,电器开关要放在安全位置,避免过人或者容易碰着的地方,办公室最好安装漏电保护器,一旦漏电能及时切断电源。三是防盗。贵重物品不要放在办公室内。
1 企业办公网安全威胁分析
企业办公网的安全威胁存在各个方面:有的来自网络外部,如网络外部成员强行破解密码,潜入网络中对资源进行非授权访问;有的安全威胁来自网络内部,如单位成员或合作伙伴有意或无意的进行非授权访问,或是私人电子邮件附件携带病毒引起的安全威胁。
1.1 网络外部威胁
目前,各种网络安全漏洞大量存在和不断被发现,网络攻击行为正在日趋复杂,防火墙、入侵监测系统等网络安全设备不能完全阻挡网络安全攻击[1]。黑客攻击目标从单纯追求“荣耀感”向获取实际利益方向转移,针对无线终端的网络攻击正进一步发展;随着网络共享软件、群组交互通信、地址转移、加密代理、信件自收发、无界浏览器、动态网络等新型技术的不断开发和应用,传统的网络安全监管手段和技术实施措施愈发难以有效发挥[2]。
1.2 网络内部威胁
安全问题并非总来自外部网络,早在网络诞生之前,就已经出现计算机病毒。由于企业办公网的管理松懈,没有从源头上将病毒的传播途径完全斩断,移动硬盘和U盘的大量使用,为病毒的入侵敞开了大门,互联网的接入也为病毒的进入提供了途径。报告显示,文件夹病毒出现变种,利用U盘继续扩大感染范围;病毒团伙全面进入“互助模式”,共享用户资源应对“经济危机”。局域网计算机数量众多,一旦感染导致整个企业网络完全瘫痪。
2 企业办公网安全维护解决办法
企业办公网的安全问题来自网络,网络由电脑互连而成,因此我们可以很容易想到安全威胁应该就是来自网络另一端的电脑,电脑是自动化机器,所以操纵那台电脑来攻击这台电脑的是程序或人,程序也是人设计的,那么安全威胁就应该是那些不怀好意的人或和组织—黑客或不法集团。任何一个用户,在面对安全问题的时候,考虑的往往就是网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术这“老三样”技术[3]。这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。
首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。
再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
因此我们不断寻找一种对企业真正适用的安全产品或解决方法。如果可以在较低成本下让内网安全,必定得到广泛的社会应用,从而提高因特网的安全, 保护用户利益。遵循这两个思路我们使用了如下措施,主要由两部分组成:强化杀毒软件防护, 杜绝人为不正确的操作导致的问题;强化网络管理, 提高系统安全。
2.1 强化杀毒软件防护
我们要有安全的网络就必须先有安全的电脑,通过强化杀毒软件我们可以安全的使用电脑并保证电脑的安全,我们这里选用的杀毒软件是Mc Afee VirusScan Enterprise ver8.5i。它的设计考虑到了防毒胜于杀毒,因此它被设计来保护一切可能被利用的系统资源,我们创建自定义访问保护规则,这使得杀毒软件对系统的保护达到最大化,就像电脑高手一样保护电脑。防御病毒其实就是阻止病毒的运行,因此我们可以应用一些规则彻底避免病毒的运行。病毒无法运行就从根源上解决了病毒传播的问题,也就避免了对系统的破坏。如图1, Mcafee的规则对系统的保护可谓面面俱到,但最重要的规则就是已选定确认的这类。其他规则对系统的保护更严格,如果全部启用可能对正常的电脑使用产生严重的影响,而且病毒也很少触犯那些规则,因为那些规则保护的资源对病毒没有太大利用价值,所以无需启用。
单纯有这些规则,系统仍然非常危险,目前没有真正的以不变应万变的方法,特别是在跟病毒的对抗中,如果不时刻跟进病毒的脚步将完全被病毒击败。而我们遇到的风险因素是“人为不正确操作”和“系统bug”,系统bug就是系统漏洞,前面的规则修补了很多系统漏洞,很多杀毒软件都有漏洞修补功能,但是几乎没有哪个杀毒软件有这样的功能———纠正“人为不正确操作”,所以中毒无法避免[4]。因此我们需要规范所有用户的操作,以便减少误操作降低感染病毒的风险。由于大量病毒是通过启动如下过程启动: (1) 嵌入正常程序; (2) 根目录自动运行; (3) 映像劫持; (4) 安装恶意插件。我们利用McAfee设置访问保护规则,主动防御病毒感染。
1) 嵌入正常程序
如图2所示,添加了“exe不可改”规则,类似“熊猫烧香”这类嵌入正常程序EXE的病毒则被彻底防御了[5]。
2) 根目录自动运行
通常光盘设计者在光盘中写入autorun.inf文件,系统读入文件后来启动其中标注的主程序,促使光盘自动运行。U盘病毒就是根据该规则生成。如图3所示,添加了“autorun垃圾文件”规则,如此autorun开头的文件对于电脑就“不存在”了,病毒自然无法启动。
3) 映像劫持
如图4所示,反映象劫持。可保护相关的注册表项禁止任何程序写入,也不能创建新的项或值。启用该规则保护系统注册表不被恶意篡改。
4) 安装恶意插件
如图4所示,禁止在Internet Explorer文件夹中创建写入活动。禁制某些恶意网页上的插件恶意安装,保护自身电脑系统。
除此之外我们还可以添加其他的一些辅助的规则来完善保护,最后的自定义访问保护规则列表如图6所示。
安装完McAfee杀毒软件再双击“Mcafee 8.5默认+自定义的规则.reg”文件就可以完全保护电脑了。
2.2 强化管理
仅仅安装了McAfee杀毒软件并启用那些访问保护规则是不够的, 还需要有效管理网内的各台电脑。网络管理员可以通过服务器统一管理所有的电脑。我们使用Win2008服务器,启用“活动目录”的功能。如何强化管理?除了普通的用户电脑操作,其余对电脑的一切操作都由管理员代理。具体环节设置如下:
1) 安装电脑系统和必须软件,称为“标准安装”,其中McAfee杀毒软件是必须软件。安装好杀毒软件后双击“Mcafee 8.5默认+自定义的规则.reg”文件设置访问保护规则。
2) 随着病毒的发展, “Mcafee 8.5默认+自定义的规则.reg”文件中的访问保护规则也应该随时更新。一旦发现有最新的病毒而其中的访问保护规则不能有效保护,就应立即创建新的规则,更新“Mcafee 8.5默认+自定义的规则.reg”文件,最后分发该注册表文件。由于“活动目录”可以管理所有用户和计算机,其中设置组策略可以设置所有电脑和用户,通过组策略中的“计算机启动脚本”来分发“Mcafee 8.5默认+自定义的规则.reg”文件,如此,计算机开机时就会运行该注册表文件把它添加到注册表中,访问保护规则随之更新。
3) 有保护就有限制,如果用户确实需要安装软件或插件,应该由网管负责安装,此涉及权限管理[6]。我们使用Win2008里的“活动目录”来管理权限,所有用户和计算机都被加入“活动目录”中,每个用户必须用自己的名字登录电脑后才能使用电脑,通常把一般用户归入“domain users”组,这个组只有一般的操作权,很多设置都不能修改也不能安装任何东西,但是可以运行任何程序(有风险)。网管加入不同级别的管理员组,归入“domain administrators”组。任何电脑安装任何软件都必须经过网管审查,如果不安全就不装,不必要的也不装,审查没有问题的就可以帮用户装。至于安装软件,可以使用远程桌面安装。
4) 如果某台电脑因为特殊原因不能被有效管理(如用户私人的笔记本电脑),那么该电脑则没有防御病毒的能力,如若病毒感染该台电脑,运行的病毒则会向网络其他电脑传播,因此需要为所有系统安装补丁程序。网管应及时了解最新的危险漏洞,上官方网站下载补丁,然后分发并自动安装补丁。
5) 有些漏洞不是操作系统本身的,IPV4网络里的TCP/IP协议就有不足之处,ARP攻击就是最常见的病毒攻击方式。对于该问题采用的方法是通过使用“计算机启动脚本”为每台电脑设置静态ARP表。
6) 办公网中的电脑需要共享文件,通过建立文件服务器集中存储所有共享文件,然后加强对文件服务器的病毒过滤,可避免病毒通过正常渠道传播。通过使用Win2008文件服务器,设置哪些文件是可以被存储的,哪些被过滤,当然也可以在服务器上安装兼容版本的McAfee来设置访问保护过滤不良访问。
如此设置后,办公网内网安全即得到了保障。另外的安全隐患来自网络出口,如果没有有效的入侵检测设备和防火墙,我们的网络仍会有危险,因为McAfee可以设置很多类似防火墙的规则,所以来自外部的威胁不会很大。至于服务器就不同了,通常服务器考虑到兼容性,应该用正版系统让它自动升级打补丁,同时关闭多余的端口,而且不要在服务器上做任何非管理操作,只有这样才能降低感染病毒的风险。如果有条件最好在出口安装硬件防火墙和入侵检测设备。经验表明,即便没有硬件防火墙和入侵检测设备,办公网仍然非常安全,毕竟威胁大多来自内部的“人为不正确操作”和“系统bug”。
3 结论
由于现在的病毒攻击都已成规模化,促使了网络安全产品向管理型和网络化发展,因此有了大量的网络版杀毒软件和分布式入侵检测技术。借鉴于云计算的强大处理能力,现在还出现了很多的“云安全”技术,不过这只是网络版安全技术的升级而已。这些技术对应的解决方案往往相当复杂,大大的限制了安全产品的广泛使用。因此遵循这个思路,通过使用强化杀毒软件防护, 杜绝人为不正确的操作导致的问题;强化网络管理, 提高系统安全。可以在较低成本下让内网安全,从而提高因特网使用的安全, 保护用户利益。
参考文献
[1]冯登国.计算机通信网络安全[M].北京:清华大学出版社, 2001.
[2]微软安全技术中心[EB/OL].http://technet.microsoft.com/zh-cn/security/default.aspx.
[3]FrSIRT[EB/OL].http://www.frsirt.com/english/index.php.
[4]单国栋, 戴英侠, 王航.计算机漏洞分类研究[M].北京:电子工业出版社, 2002.
[5]夏云庆.Visual C++6.0数据库高级编程[M].北京:北京希望电子出版社, 2006.
【办公室安全教育培训】推荐阅读:
办公室主任安全生产办公室安全生产责任制09-30
排除办公室安全隐患12-05
办公室安全检查记录01-04
办公室安全知识竞赛02-22
办公室常见的安全隐患07-09
办公室安全的自查报告09-12
办公室人员安全操作规程10-19
办公室安全防范措施01-14
企业办公室培训11-03
办公室主任安全岗位职责05-24
