摘要:军校安全管理系统,主要是从两个方面来保障网络的正常运行和安全使用,一个是网络身份,另一个是网络防护。
关键词:军校安全管理平台;涉密网络;应用
引言
军队院校由于学习与工作的实际需要拥有多套网络,除了只在学校内小范围使用的各种专网外,使用最多的是两套用于对外交流的网络。一套是连接互联网的校园网,用于查找学习科研资料以及与地方的各种交流,一套是连接涉密网络的园区网,用于军队内部资料的查询、传输以及与其他军队单位的交流。两套网络都对安全有很高的要求,而与相对开放的互联网相比,相对封闭的涉密网络对安全可信的网络环境要求更高。而由于网络性质的不同,其防护的侧重点也与互联网有所不同。
1、军校安全管理平台在涉密网络的应用
1.1网络身份的准入、准出控制和多重信息绑定
涉密网络要求与其他网络实行严格的物理隔离以保障安全,但在现实应用中存在一定的管控难题,多数院校教员和管理人员都需要同时使用军校网和园区网,这样的需求使得两套网络部署的时候物理位置无法间隔太远,无法从技术上严格避免人员使用时双网隔离,这种情况下非法外连、同一计算机使用双网等隐患情况就有可能出现,管理人员只能通过定期排查、人员教育等方法来进行这方面的监管,肯定不能保证万无一失。为了解决这一安全隐患问题,SMP安全管理系统提供了网络身份的准入、准出控制和多重信息绑定功能来解决。
通过安全管理系统的用户管理功能,我们可以对接入涉密园区网的人员进行有效控制,只有通过管理人员严格审核后,开通了有效账号的权限人员才能拥有接入涉密园区网的资格,拥有账号的权限人员通过安全管理系统在个人计算机上安装的客户端检测成功后登陆才能接入涉密园区网。这种准入、准出控制功能定位到了专人专号,避免了非权限人员随意接触使用涉密网络的情况发生。
而通过安全策略模板的设置,对接入涉密园区网的计算机进行多重信息绑定,我们采用的是计算机MAC地址、IP地址、交换机IP地址、计算机接入交换机对应的端口以及个人账号这几项同时绑定,任何一样信息检测不匹配就无法接入园区网。保证了其他非保密计算机任何情况下都无法接入涉密园区网,保密计算机也无法移动到其他地点使用,避免了人员不规范使用的隐患。
网络身份的准入、准出控制和多重信息绑定功能的同时运用,基本满足了园区网对这方面安全使用的要求。
1.2网络环境的有效防护
涉密园区网对网络环境的安全性要求很高,这就需要在各个层面(网络、主机、管理)上都做好安全防护工作。
在网络层面上,需要一个整体性的防护,防范从外部涉密网和内部园区网对学校发起的各种攻击,并在攻击事件发生时及时处理,特别注意要对园区网内的敏感资源进行重点保护。针对这方面的需求,SMP安全管理系统有相应的功能加以解决,敏感资源隔离模板可以专门为所有敏感资源IP配置隔离模板,一旦其遭到攻击,立刻隔离资源主机,断绝其与网络的连接,若检测到攻击来自园区网内,其模板设置中同时有对攻击源用户从警告到强制下线的处理方式。同时为了不影响正常的工作使用,防止出现攻击的误认定而频繁隔离,还使用了攻击频率分级处理模式,以完善的安全信息事件库为基础,结合安全事件级别和发生次数来进行相应的安全措施处理。还有专门的ARP欺骗免疫功能,可以通过安全管理平台在各个网关上开启ARP欺骗免疫。
在主机(终端)层面上,需要完成对于终端的各种常规防护,防火墙、杀毒软件的安装,微软补丁的及时更新,保护计算机空置时段不被他人使用而安装的屏幕保护措施,对USB接口等能做间接的访问和数据交换的通道的封锁等。在这方面SMP安全管理系统并没有提供直接的防护终端的功能,而是通过设置规则组绑定的方式对用户终端上安装的软件提出要求,任一项规则组要求的软件未曾安装,则无法通过认证检测,不能连入涉密园区网。这就避免了用户不安装各种防护软件而使得终端长期置于无防护状态的情况发生。
期刊文章分类查询,尽在期刊图书馆
在管理层面上,园区网的管理人员需要实时了解整个园区网、使用人员以及接入设备的状态和情况,并在有需要时调阅以往情况来进行分析总结。
1.3安全管理系统有待改进的功能
这套安全管理系统的功能在一些细节的地方还有待改进,主要是在系统功能的应用智能方面,并没有能够完全达到我们的要求。主要存在的问题有,在进行规则组绑定时,其绑定的只能是软件的进程,当需要加入规则的软件运行状态下进程隐藏无法找到时,就无法进行绑定,也就无法控制用户进行必需的安装。同时,系统只能检测到是否进行了软件的安装,但像杀毒软件有否更新病毒库,他则无法检测和控制,使防护的有效程度存在疑问。
2、军校涉密网络信息安全管理的对策
2.1加强教育引导,筑牢思想防线
定期进行思想教育是切断一切可能发生问题源头的最有效的方法。
(1)抓好心理教育。不要视网络如洪水猛兽,不让学员上网和使用手机。对于该问题,“宜疏不宜堵”,要引导大家正确看待网络和手机。
(2)抓好主题教育。从培养官兵正确的人生观、价值观和理想信念着手,提高官兵抵御敌人文化渗透、金钱收买和美色诱惑的能力,并借助心得体会、组织讨论等方法,让主题教育更加深入人心。
(3)抓好形势教育。定期开展以《中华人民共和国保密法》《国家安全法》等法律法规为内容,通过影像资料等形式的教育,让官兵警钟长鸣。
(4)加强技能培训。学校应该多举办一些网络基础知识培训,提高全院师生对网络信息安全的认识和综合防病毒能力。培训要侧重实际的计算机与网络运用能力,比如如何分清什么是安全问题、在什么情况下会出现信息安全问题以及如何处理简单的技术问题等。
(5)重视军校文化熏陶。在校区主干道和园区中树立标语栏、张贴海报以及借助军校媒体或公众号等宣传方式,让广大官兵对网络安全教育耳濡目染、入脑入心。
(6)强调规范使用手机。比如:不将手机带入涉密场所;使用视频聊天必须着便装,避开训练场、武器装备库等场所,画面中禁止出现部队挂图、文件资料、训练计划等内容;视频直播内容不得与部队有关,也不能在直播中泄露军人身份,更不能利用军人身份吸引粉丝等。
2.2引入关键技术,加固安全底线
网络安全是一項技术性很强的工作,在加强人员管理的同时,还必须引入先进的网络安全技术和设备。可以接入安全方面的设备(防火墙等)、网络安全认证方面设施(加密解密、身份认证等)、病毒防护的软件和技术(网络杀毒等)。由于计算机病毒种类繁多,层出不穷,因此,防病毒原件也需要不断更新和升级。只有先综合利用网络安全设置屏障,再利用备份数据恢复,从而确保数据的安全,并及时恢复网络正常使用,以期尽可能地降低网络受到攻击时造成的损失。与此同时,还要制定好网络信息安全事故的应急处理预案。一旦有网络违规违纪发生,学校相关部门可以按应急预案设置的程序有条不紊的进行处理。
结语
通过上面对园区网安全要求以及安全管理系统功能的分析,我们可以了解,不论是一般的防护还是一些特别的需求,安全管理系统都基本能够达到,虽然还有一点瑕疵,但身份控制、多重信息绑定以及规则设置、全网监控这些功能是切实有效的管理手段,可以帮助我们便利的完成园区网的防护和控制,打造一个安全而健康的网络工作环境。
参考文献
[1]刘莉,姜洪明.新形势下军队院校网络信息安全教育探析[J].新教育时代电子杂志(教师版),2016(41):197-198.
[2]王云鹏.浅谈部队院校信息化建设中网络信息安全管理[J].信息安全与技术,2015(5):3-5.
论文作者:王萌1,韩鑫鑫2
论文发表刊物:《基层建设》2019年第25期
论文发表时间:2019/12/12
标签:网络论文; 园区论文; 管理系统论文; 绑定论文; 功能论文; 军校论文; 防护论文; 《基层建设》2019年第25期论文;