隨著Internet的飛速發(fā)展，計(jì)算機(jī)信息系統(tǒng)已經(jīng)成為人們工作和生活不可缺少的組成部分。目前，計(jì)算機(jī)信息系統(tǒng)在國內(nèi)外政府機(jī)關(guān)、軍隊(duì)、公安、保密部門、科研機(jī)構(gòu)、金融及企事業(yè)單位廣泛應(yīng)用，它在帶給人們便利的同時(shí)，也帶來了很多困擾。病毒傳播、黑客入侵、機(jī)密泄露等種種不利因素使得人們在使用計(jì)算機(jī)工作時(shí)縮手縮腳，無法發(fā)揮計(jì)算機(jī)處理事務(wù)的優(yōu)勢。內(nèi)部網(wǎng)絡(luò)如何搞好安全管理，確保計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行，成為一個(gè)亟待解決的問題。
　　目前，基層央行網(wǎng)絡(luò)安全主要采用常規(guī)防火墻、防病毒軟件、入侵檢測等防御措施，重要的安全設(shè)施大致集中于主機(jī)房網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。但越來越多的事實(shí)證明，來自網(wǎng)絡(luò)內(nèi)部以及應(yīng)用、管理等方面的安全問題同樣不容忽視。網(wǎng)絡(luò)安全是整個(gè)信息網(wǎng)的安全，涵蓋的面非常廣，需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理的諸多方面進(jìn)行立體的防護(hù)。只有構(gòu)建一套功能完善的內(nèi)部安全系統(tǒng)，從客戶端資源、應(yīng)用資源、設(shè)備資源和網(wǎng)絡(luò)資源等方面對內(nèi)部網(wǎng)絡(luò)加以管理和檢測，才能達(dá)到最佳的管理效果。
　　一、加強(qiáng)客戶端安全管理，保證可信設(shè)備接入內(nèi)部網(wǎng)絡(luò)
　　一是搞好設(shè)備的入網(wǎng)檢測。對便攜式設(shè)備（如筆記本電腦等）和新增設(shè)備（計(jì)算機(jī)等）以及移動(dòng)存儲(chǔ)工具（如移動(dòng)硬盤、U盤等）進(jìn)行接入檢測，禁止未經(jīng)檢測的該類設(shè)備接入內(nèi)部網(wǎng)絡(luò)，減少病毒、黑客等不安全因素入侵網(wǎng)內(nèi)部絡(luò)；
　　二是進(jìn)行客戶端違規(guī)聯(lián)網(wǎng)檢測。內(nèi)部網(wǎng)絡(luò)與INTERNET必須嚴(yán)格物理隔離，內(nèi)部網(wǎng)絡(luò)用戶如果通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等設(shè)備進(jìn)行違規(guī)上網(wǎng)，必須進(jìn)行有效阻斷和警告。
　　三是對客戶端進(jìn)行防病毒軟件的安裝與監(jiān)控。內(nèi)部網(wǎng)絡(luò)所有客戶端必須安裝網(wǎng)絡(luò)版殺毒和補(bǔ)丁分發(fā)軟件，并定期進(jìn)行病毒代碼的升級。適時(shí)檢測和監(jiān)控防病毒軟件在客戶端的安裝和升級情況，并對監(jiān)控信息集中管理，對未安裝防毒軟件的客戶端，最好能夠做到通過系統(tǒng)強(qiáng)行安裝。
　　四是對客戶端定期掃描漏洞、分發(fā)補(bǔ)丁?！皼_擊波”、“震蕩波”等病毒就是利用系統(tǒng)漏洞進(jìn)行傳播的，因此客戶端應(yīng)具備補(bǔ)丁自動(dòng)分發(fā)和控制功能。在網(wǎng)絡(luò)中安裝客戶端補(bǔ)丁自動(dòng)分發(fā)系統(tǒng)，對注冊后的網(wǎng)絡(luò)客戶端，在本機(jī)系統(tǒng)中實(shí)時(shí)運(yùn)行狀態(tài)監(jiān)測程序，及時(shí)將本機(jī)的補(bǔ)丁修補(bǔ)狀況上報(bào)，管理人員在WEB平臺中可以對全網(wǎng)計(jì)算機(jī)終端補(bǔ)丁修補(bǔ)狀況作詳細(xì)了解，若有重大漏洞出現(xiàn)，可及時(shí)對客戶端進(jìn)行操作系統(tǒng)升級。
　　五是對客戶端軟件安全情況進(jìn)行實(shí)時(shí)監(jiān)控。管理員必須能夠自動(dòng)發(fā)現(xiàn)客戶端安裝的軟件，對與業(yè)務(wù)工作無關(guān)的游戲、盜版軟件能做到及時(shí)控制；對客戶端出現(xiàn)病毒、蠕蟲攻擊等安全事件，做到實(shí)時(shí)、快速、精確定位、遠(yuǎn)程阻隔事件源頭；當(dāng)大規(guī)模安全事件發(fā)生后，網(wǎng)管員能確定安全事件源頭、找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，進(jìn)行安全預(yù)警。
　　二、加強(qiáng)應(yīng)用資源安全管理，規(guī)范軟件操作使用，
一是避免安裝使用盜版軟件。安裝使用盜版軟件，引入了潛在的安全漏洞，降低了計(jì)算機(jī)系統(tǒng)的安全系數(shù)；
二是禁止安裝使用黑客軟件。一些人處于好奇或者惡意破壞的目的，在計(jì)算機(jī)上安裝使用黑客軟件，對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊；
三是必須安裝指定的防毒軟件。有些員安全意識淡薄，不安裝防毒軟件，對網(wǎng)絡(luò)構(gòu)成了重大威脅。
三、合理規(guī)劃網(wǎng)絡(luò)資源，確保系統(tǒng)運(yùn)行正規(guī)
一是掃描發(fā)現(xiàn)和繪制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，顯示路由器與子網(wǎng)、交換機(jī)與交換機(jī)、交換機(jī)與主機(jī)之間的連接關(guān)系，顯示交換機(jī)各端口和使用情況和流量信息，定期對客戶端流量、分支網(wǎng)絡(luò)帶寬流量進(jìn)行分析，并進(jìn)行數(shù)據(jù)包規(guī)則檢測，防止非法入侵、非法濫用網(wǎng)絡(luò)資源。
二是使用VLAN技術(shù)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同部級別，將網(wǎng)絡(luò)劃分不同的網(wǎng)段進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，達(dá)到限制用戶非法訪問的目的。檢測網(wǎng)絡(luò)中IP應(yīng)用狀況，并將IP同MAC地址進(jìn)行綁定,防止特殊IP地址被盜用。
四、加強(qiáng)網(wǎng)絡(luò)設(shè)備管理，確保系統(tǒng)正常運(yùn)行
　　一是對網(wǎng)絡(luò)內(nèi)部硬件設(shè)備登記注冊。將硬件設(shè)備屬性信息采集后存儲(chǔ)到數(shù)據(jù)庫中，硬件屬性信息包括：硬盤容量、序列號、cpu型號、內(nèi)存大小、網(wǎng)卡mac地址、ip地址等重要屬性信息。應(yīng)限制內(nèi)部人員在內(nèi)網(wǎng)計(jì)算機(jī)上安裝、使用可移動(dòng)的存儲(chǔ)設(shè)備如軟驅(qū)、光驅(qū)、USB接口的優(yōu)盤、硬盤、數(shù)碼相機(jī)等，防止移動(dòng)存儲(chǔ)介質(zhì)間接地與外網(wǎng)進(jìn)行數(shù)據(jù)交換，導(dǎo)致病毒入侵或敏感信息、機(jī)密數(shù)據(jù)的傳播與泄漏。
　　二是搞好網(wǎng)絡(luò)設(shè)備的物理信息的登記管理。如設(shè)備的名稱、使用人（管理負(fù)責(zé)人）姓名、設(shè)備樓層房間號、聯(lián)系電話、計(jì)算機(jī)使用部門等，進(jìn)行物理定位，做到遇有故障能及時(shí)準(zhǔn)確地定位和排查。
　　五、搞好系統(tǒng)備份恢復(fù)，提高網(wǎng)絡(luò)的容災(zāi)能力
　　在做好網(wǎng)絡(luò)安全管理工作的同時(shí)，也應(yīng)考慮系統(tǒng)在不可避免的因素下出現(xiàn)的故障恢復(fù)需要。首先，必須定期做好重要設(shè)備、重要數(shù)據(jù)的備份，以便在出現(xiàn)故障時(shí)采取硬件恢復(fù)和軟件恢復(fù)。硬件恢復(fù)有硬件替代、固件修復(fù)、數(shù)據(jù)讀取等方法，存儲(chǔ)重要數(shù)據(jù)和運(yùn)行重要軟件的設(shè)備應(yīng)準(zhǔn)備一套硬件備份，而固件修復(fù)和數(shù)據(jù)讀取則要送技術(shù)可靠、安全保密性強(qiáng)的專業(yè)部門進(jìn)行處理。軟件恢復(fù)包括系統(tǒng)恢復(fù)和文件恢復(fù)。系統(tǒng)恢復(fù)就是操作系統(tǒng)和應(yīng)用軟件不能正常啟動(dòng)，可利用修復(fù)軟件對其進(jìn)行修復(fù)，最快捷的方法是利用ghost、livestate對系統(tǒng)進(jìn)行全盤備份，從而以最快的速度使系統(tǒng)正常工作。文件恢復(fù)則是存儲(chǔ)介質(zhì)上的應(yīng)用文件損壞，如DOC、XLS文件壞,用修復(fù)軟件對其修復(fù)，從而恢復(fù)文件數(shù)據(jù)。
?

?