随着监狱网络信息技术的快速发展,信息安全的重要性也逾加凸显出来。保障网络安全是保证信息安全最重要的环节,一旦出现失误,就会造成极大的安全隐患,一旦被别有用心者或敌对分子利用,就会对监狱的全局工作带来无法挽回的负面影响。笔者根据自己在网络管理工作中的实践经验,对网络管理中几种较常见的不安全做法归纳整理并提出改进建议如下:
一、网络使用中不安全因素
1、组网时对路由器、交换机等网络设备的默认配置不做任何修改
组网时对交换机的默认配置不做任何修改,这样,容易使得了解内部网络设备型号的人很容易地利用路由器、交换机等的默认口令轻而易举地修改其默认配置,造成局域网的重大安全隐患。如笔者曾遇到过这一问题,输入要登录的远程电脑的IP地址,却进入了一台交换机的登录界面,输入默认口令后直接登录了该交换机。
2、以为网络设置好就高枕无忧了
由于网络上的风险是时刻存在并不断变化的,随着信息技术的不断发展,利用系统的安全漏洞进行攻击的手段也在不断改进,因此网络安全设计也应该有针对性的定期对网络系统进行安全性评估,不断进化升级。
3、没有专业的防火墙安全体系
防火墙作为网络安全的第一道门户,可以实现内部网中不同网络安全区域的隔离与访问控制,对非法用户和越权访问者进行封堵,以达到阻挡来自其它网络的非法访问或攻击,保证网络系统及网络服务的安全性。尤其是监狱内部视频、门禁网络等系统,要严禁任何未授权用户访问和严格限制非法IP的侵入。
4、对网络终端的防问权限未加限制,导致重要的信息资源被随意共享。
网络安全的最大威胁来自各个网络终端,“一点突破,全网突破”。就算工作站的安全防护措施非常好,也不能绝对避免被恶意软件入侵。并且有些用户习惯于直接在内网客户机上共享各种设备及资料,极易导致其内部信息资料泄露。
5、多个应用程序在一台服务器上工作
在一台网络服务器上安装多个应用程序是通常的做法,例如网站、邮箱、各种业务的数据库,相当于一台服务器扮演多个角色,这样的做法会使代码增多,出现安全漏洞的可能性增大。
6、终端随意安装操作系统
目前,一些终端为方便操作系统的安装,一般都使用克隆盘安装。安装后,会默认植入一些广告和共享软件,有些甚至很难清除。这样其实在安装系统的同时也给系统安全开了后门,造成系统的安全漏洞。此外,系统还无法升级,操作系统补丁无法安装,为利用此漏洞的网络病毒、木马提供了方便之门。
二、解决方法
加强网络安全是保障信息安全的根本途径,我们必须及时发现网络中存在的问题,并加以解决。
1、组网时对路由器、交换机等网络设备修改默认配置。对无关的功能可以取消或禁用。如按照网络设计需求,对路由器、交换机等网络设备设定唯一的IP地址,并修改其默认登录口令。
2、经常性对网络系统进行监测,定期对网络安全进行重新评估。升级成具备报警、预警、分析、审计、监测功能的全面性网络安全设备。
3、建立防火墙安全体系,实现区域性的集中防病毒、内部网不同网络安全区域的隔离与访问控制,实现病毒库的统一升级和防病毒客户端的监控和管理,保证网络系统及网络服务的安全性。
4、对内网终端机加强控制,严禁信息资源随意共享。加强系统账号管理,设立管理员密码,登陆时进行严格的身份认证,主动防御非授权访问,共享的文件其资料应放在采取安全措施较高的文件服务器上。
5、随着目前的Web安全漏洞数量的急速增长。经常对网站系统进行检查,确保没有带隐患的Web应用脚本已成为网络管理员的主要工作任务。实际应用中要尽量避免把网站、邮箱、业务数据库等内容放在同一台服务器上,应该仔细进行安全评估后再将一些应用程序或服务内容合并。
6、加强网络结点、工作站的管理
网络构建中,要尽量采用IP地址、网卡的MAC地址与交换机端口绑定的做法,以限制非法用户的侵入。要定期进行IP检测,发现异常,要及时处理。加强工作站的使用管理,规范移动存储设备等的使用,可以采取禁用主机的USB接口来杜绝移动存储设备,包括移动硬盘、U盘、MP3、外置刻录光驱等。
7、网内用户系统应尽量安装正版系统软件,局域网共享资源中应提供补丁下载,或自动将系统补丁分发到每台终端,进行自动升级。
(赤峰监狱佟占平)