石家莊論文發(fā)表氣象部門局域網(wǎng)的安全部署 給大家推薦本站經(jīng)典期刊：《網(wǎng)絡(luò)新媒體技術(shù)》,《網(wǎng)絡(luò)新媒體技術(shù)》是由中國科學(xué)院聲學(xué)所主辦的公開發(fā)行的科技刊物，創(chuàng)刊于1980年，月刊。現(xiàn)為中國科技論文統(tǒng)計(jì)源期刊(中國科技核心期刊)、中國期刊全文數(shù)據(jù)庫收錄期刊、中國學(xué)術(shù)期刊綜合評價(jià)數(shù)據(jù)庫統(tǒng)計(jì)源期刊、中國核心期刊(遴選)數(shù)據(jù)庫收錄期刊。讀者對象是從事計(jì)算機(jī)研究、應(yīng)用的科研和工程技術(shù)人員，政府機(jī)關(guān)、企事業(yè)單位的管理工作者，大專院校師生及廣大的微機(jī)用戶。

　　摘要:通過介紹如何設(shè)置安全策略、規(guī)范，引導(dǎo)用戶安全使用辦公電腦，在提升工作效率的同時(shí)也能保證其安全性。

　　關(guān)鍵詞:石家莊論文發(fā)表,局域網(wǎng),信息安全,策略,部署

　　由于電腦和網(wǎng)絡(luò)的日趨普及，單位的日常業(yè)務(wù)日趨辦公自動(dòng)化，在提高工作效率的同時(shí)，越來越多的電腦以及網(wǎng)絡(luò)化也使得信息安全性受到更大威脅。

　　目前氣象部門的網(wǎng)絡(luò)現(xiàn)狀分為兩個(gè)網(wǎng)段:172段和192段。192段為內(nèi)部局域網(wǎng)，只能在本單位互聯(lián);172段為廣西氣象寬帶網(wǎng)，可以在區(qū)內(nèi)互聯(lián)，日常的業(yè)務(wù)報(bào)文、資料、辦公應(yīng)用(notes)等都是通過此網(wǎng)段來完成。

　　市級僅有一到兩位網(wǎng)絡(luò)管理員管理全局網(wǎng)絡(luò)，而縣級則無專職網(wǎng)絡(luò)管理員。

　　1網(wǎng)絡(luò)辦公環(huán)境潛在的威脅

　　隨著Internet接人的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給單位帶來更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂，內(nèi)部員工的不當(dāng)操作等使信息維護(hù)人員疲于奔命。網(wǎng)絡(luò)辦公環(huán)境潛在的威脅主要表現(xiàn)為:

　　(1)為給用戶電腦提供正常的標(biāo)準(zhǔn)的辦公環(huán)境，安裝操作系統(tǒng)和應(yīng)用軟件已經(jīng)耗費(fèi)了管理人員一定的精力和時(shí)間，同時(shí)又難以限制用戶安裝軟件，導(dǎo)致管理人員必須花費(fèi)其50%以上的精力用于維護(hù)用戶的PC系統(tǒng)，無法集中精力去開發(fā)信息系統(tǒng)的深層次功能，提升信息系統(tǒng)價(jià)值。

　　(2)由于使用者的防范意識(shí)普遍偏低，防毒措施往往不到位，在局域網(wǎng)共享，包括默認(rèn)共享(無意)，文件共享(有意)的情況下，一旦發(fā)生病毒感染，往往擴(kuò)散到全網(wǎng)絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)，部分致命的蠕蟲病毒利用TCP/IP協(xié)議的各種漏洞，使得木馬、病毒傳播迅速，影響規(guī)模大，導(dǎo)致網(wǎng)絡(luò)長時(shí)間處于帶毒運(yùn)行，反復(fù)發(fā)作，使維護(hù)人員為此疲于奔命，卻無法有效根除。

　　(3)部分網(wǎng)站網(wǎng)頁含有惡意代碼，強(qiáng)行在用戶電腦上安裝各種網(wǎng)絡(luò)搜索引擎插件、廣告插件或中文域名插件等，有些網(wǎng)絡(luò)軟件附帶各種插件、木馬和病毒，并在安裝過程中用戶不知情的情況下強(qiáng)行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢，甚至被遠(yuǎn)程控制。

　　(4)部分員工使用計(jì)算機(jī)上網(wǎng)聊天、聽歌、看電影、打游戲，全天24h啟用P2P軟件下載音樂和影視文件，由于f lash get、迅雷和BT等軟件并發(fā)線程多，導(dǎo)致大量帶寬被占用，網(wǎng)絡(luò)速度緩慢，以至于應(yīng)用軟件系統(tǒng)無法正常開展業(yè)務(wù)，即便是嚴(yán)格的計(jì)算機(jī)使用管理制度也很難保障網(wǎng)絡(luò)中的計(jì)算機(jī)只用于本單位業(yè)務(wù)本身，PC的業(yè)務(wù)專注性、管控能力不強(qiáng)。

　　2安全部署方案

　　針對以上這些因素，我們可以通過統(tǒng)一定義客戶端機(jī)器的安全策略、規(guī)范，引導(dǎo)用戶安全使用辦公電腦。

　　2.1建立域管理

　　(1)建立域控制器，并規(guī)定所有辦公電腦必須加入域，接受域控制器的管理，同時(shí)嚴(yán)格控制用戶的權(quán)限。如限制員工帳號只有標(biāo)準(zhǔn)user權(quán)限。在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網(wǎng)絡(luò)環(huán)境中，普通員工只具備標(biāo)準(zhǔn)的power，user權(quán)限，實(shí)際上是對辦公環(huán)境有效的保護(hù)。

　　辦公PC實(shí)現(xiàn)實(shí)名負(fù)責(zé)制，指定員工對該P(yáng)C負(fù)責(zé)，這不但是固定資產(chǎn)管理的要求，也是網(wǎng)絡(luò)安全管理的要求。對PC實(shí)施員工實(shí)名負(fù)責(zé)是至關(guān)重要的，一旦發(fā)現(xiàn)該員工的電腦中毒和在廣播病毒包，網(wǎng)絡(luò)管理員能準(zhǔn)確定位，迅速做出反應(yīng)，避免擴(kuò)大影響。

　　(2)在防火墻上只開放常用或業(yè)務(wù)系統(tǒng)需要的端口，如80,25,21,110,443等，其它端口一律封鎖，有效實(shí)施對P2P和BT軟件的封鎖。

　　(3)接人網(wǎng)絡(luò)的計(jì)算機(jī)必須接受統(tǒng)一管理。通過在防火墻上設(shè)置相關(guān)的策略，允許經(jīng)核準(zhǔn)的某些IP組可以在本機(jī)上直接訪問Internet，或某些IP組只能連接局域網(wǎng)的應(yīng)用服務(wù)器，對于不遵守命名規(guī)則的機(jī)器IP和沒有經(jīng)過網(wǎng)絡(luò)管理員授權(quán)的機(jī)器IP，不允許訪問Internet和Intranet，只能單機(jī)使用。

　　(4)建立防病毒服務(wù)器(比如諾頓、瑞星等)，通過防病毒及時(shí)更新計(jì)算機(jī)的病毒庫，增強(qiáng)整體的病毒抵御能力，及時(shí)消滅網(wǎng)內(nèi)病毒。

　　(5)啟用組策略。檢查用戶的計(jì)算機(jī)是否具備了相應(yīng)的安全策略。只有符合相應(yīng)的安全策略的計(jì)算機(jī)才允許訪問外部網(wǎng)絡(luò)，不具備相應(yīng)安全條件的用戶計(jì)算機(jī)，不允許上網(wǎng)。這樣從根本上提高了單位用戶計(jì)算機(jī)的安全性，減少了用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風(fēng)險(xiǎn)。

　　(6)借助于人侵檢測防御系統(tǒng)，使得管理員可以根據(jù)記錄進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)有潛在危險(xiǎn)的辦公計(jì)算機(jī)，可以有針對性地進(jìn)行預(yù)防性檢查。

　　2.2文件服務(wù)器的要求

　　(1)每個(gè)用戶都能存取刪除自己所擁有的文件。

　　(2)每個(gè)使用者都要有自己的帳戶，并且對特定文件夾的訪問需要形成日志保存下來供管理員查看。

　　(3)保證用戶存放在服務(wù)器上的文件不攜帶病毒和其它有危害性的代碼。

　　(4)每個(gè)用戶只能在服務(wù)器上存放一定大小，類型的文件，而不是無限大的文件，并且當(dāng)存放文件到特定警戒線的時(shí)候能通知管理員。

　　(5)文件服務(wù)器的安全保證:文件服務(wù)器主要是保存各種單位私密文件，所以其安全性主要是考慮服務(wù)器上保存的文件的安全性，文件服務(wù)器本身做磁盤冗余，這樣即使服務(wù)器有一個(gè)硬盤損壞也不會(huì)導(dǎo)致文件丟失，另外還可通過異地備份將文件服務(wù)器上文件保存一份到其他服務(wù)器上，這樣即使文件服務(wù)器遭遇災(zāi)難性的損壞我們的文件也不會(huì)丟失。

　　2.3綜合安全優(yōu)化

　　(1)所有用戶初始權(quán)限為power user能正常訪問本地所有資源，受限安裝軟件，禁止用戶修改注冊表，禁止修改TCP/IP，禁止修改計(jì)算機(jī)設(shè)置。

　　(2)停掉Guest帳號。

　　(3)修改管理員帳號和創(chuàng)建陷阱帳號。

　　(4)刪除默認(rèn)共享。

　　(5)禁用IPC連接，重新設(shè)置遠(yuǎn)程可訪問的注冊表路徑。

　　(6)關(guān)閉不需要的端口。

　　(7)關(guān)閉不需要的服務(wù)。

　　(8)鎖住注冊表。

　　(9)運(yùn)行防病毒軟件。

　　(10)備份。

　　(11)監(jiān)視服務(wù)器性能:通過實(shí)時(shí)和日志方式來監(jiān)視服務(wù)器性能。

　　2.4逐步完善各類相應(yīng)的管理制度

　　(1)針對用戶對計(jì)算機(jī)的操作使用，管理及保護(hù)，如常用操作系統(tǒng)的安裝說明、常用病毒及網(wǎng)絡(luò)安全設(shè)置步驟、病毒的防御措施、不得進(jìn)行哪些相關(guān)的操作及網(wǎng)絡(luò)訪問等等進(jìn)行闡述和明文規(guī)定;

　　(2)核心網(wǎng)絡(luò)設(shè)置管理:針對網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)置及管理做的詳細(xì)闡述;

　　(3)編寫IT崗位說明書，規(guī)范IT管理人員的日常必要維護(hù)事項(xiàng)及操作方法，比如設(shè)備盤點(diǎn)登記表、設(shè)備健康卡，日常維護(hù)記錄表、工作日志、設(shè)備申購表、報(bào)廢表等。