如何加強網絡安全防范大全11篇
時間:2023-11-10 10:57:38緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇如何加強網絡安全防范范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
(1)計算機系統存在漏洞
目前,我國中小學校園網絡中被普遍使用的操作系統是WIN7。而由于技術發展水平的限制,目前WINDOWS操作系統在服務器、防火墻、TCP/IP協議等方面都存在大量安全漏洞,而且當下應用范圍比較廣泛的360殺毒軟件、騰訊電腦管家等殺毒修復軟件功能也十分有限,對于互聯網這種無限開放的空間環境而言,這些漏洞被越來越多的人發現,并加以利用。這些都為校園網絡的穩定運行帶來了嚴重的影響和威脅。
(2)計算機病毒的破壞
威脅計算機功能運行的最普遍則來自于計算機病毒。可以說對于校園網絡而言,計算機病毒是破壞計算機系統正常運行、破壞系統軟件、損害文件資料、導致網絡效率下降,甚至造成計算機及網絡系統癱瘓的最直接因素。具體來說,計算機病毒主要具有傳播速度快、隱蔽性強、傳染途徑廣、潛伏期長、破壞力大等特點。比如前幾年影響比較惡劣的熊貓燒香病毒,網絡執行官、網絡特工、ARPKILLER、灰鴿子等木馬病毒,使得網絡集體掉線、網絡系統中的游戲賬號、QQ賬號、網上銀行賬號密碼等被泄漏等等,嚴重威脅著中小學校園網絡的正常使用。
(3)互聯網對校園網的非法入侵及破壞威脅
為了最大程度的享有信息資源,提高校園管理、教學水平,基本上所有中小學校園網絡都是與互聯網相連的。這樣就導致了在享有互聯網無限資源的同時,也時刻面臨著來自互聯網中的非法入侵風險。比如最為常見的黑客利用網絡攻擊校園網絡服務器,竊取、篡改或破壞學校重要信息等,給學校日常的教學管理造成巨大危害。
二、完善校園網絡信息安全的對策措施
維護校園網絡安全是一個復雜的系統工程。其往往涉及到網絡用戶、管理以及技術維護等方面的工作內容。因此,本質上講,網絡安全工作是一個循序漸進、不斷完善的過程。根據前人的研究成果,為了切實提高校園網絡的安全性,筆者認為應該從以下幾個方面進行完善:
(1)采用身份認證技術
由于校園網屬于開放性網絡,因此,校園網對用戶的限制很少。這樣就給一些非法入侵者提供了條件。因此,加強校園網絡的安全性,首先我們可以采用身份認證的技術,從用戶限制上提高網絡的安全性。具體來說,身份認知是指通信方設置身份確認來限制非授權用戶的進入。這項技術在高等院校及圖書館等機構中已經得到了普遍盈盈。而常見的身份認證的方法有口令認證法。其是指給系統管理員帳戶設置足夠復雜的強密碼,同時系統管理員的口令不定期的予以更換。
(2)防范系統安全漏洞
在日常的網絡系統維護中,及時的對當前的電腦操作系統進行更新升級,及時安裝各種系統補丁程序以及第三方系統管理軟件,比如常見的360安全衛士、騰訊電腦管家等等,定期的進行系統掃描機漏洞掃描,及時發現安全隱患。這樣才能防止各種計算機病毒入侵網絡,損壞計算機及系統軟件,提高網絡使用的安全性。
(3)加強校園網絡監控
篇(2)
一、校園網絡安全概述
計算機網絡是信息社會的基礎,己經進入社會的各個角落。經濟、文化、軍事、教育和社會日常生活越來越多地依賴計算機網絡。但是不容忽略的是網絡本身的開放性、不設防和無法律約束等特點,在給人們帶來巨大便利的同時,也帶來了一些問題,網絡安全就是其中最為顯著的問題之一。計算機系統安全的定義主要指為數據處理系統建立和采用的安全保護技術。計算機系統安全主要涉及計算機硬件、軟件和數據不被破壞、泄漏等。由此,網絡安全主要涉及硬件、軟件和系統數據的安全。
近幾年,隨著計算機網絡的迅速發展,全國各高校都普遍建立了校園網。校園網成為學校重要的基礎設施。同時,校園網也同樣面臨著越來越多的網絡安全問題。但在高校網絡建設的過程中,普遍存在著“重技術、輕安全”的傾向,隨著網絡規模的迅速發展,網絡用戶的快速增長,校園網從早先的教育試驗網的轉變成教育、科研和服務并重的帶有運營性質的網絡。校園網作為數字化信息的最重要傳輸載體,如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個高校不可回避的一個緊迫問題,解決網絡安全問題逐漸引起了各方面的重視。
從根本上說,校園計算機網絡系統的安全隱患都是利用了網絡系統本身存在的安全弱點,而系統在使用、管理過程中的失誤和疏漏更加劇了問題的嚴重性。威脅校園網安全的因素主要包括:網絡協議漏洞造成的威脅,操作系統及應用系統的漏洞造成的威脅,攻擊工具獲取容易、使用簡單,校園網用戶的安全意識不強,計算機及網絡應用水平有限等方面。
關于網絡安全的法律法規都已出臺,學校網絡中心也制定了各自的管理制度,但是還存在著各種現實問題,宣傳教育的力度不夠,許多師生法律意識淡薄。網上活躍的黑客交流活動,也為網絡破壞活動奠定了技術基礎。這是本論文討論的背景和亟待解決的問題。
二、校園網的安全防范技術
校園網絡的安全是整體的、動態的,主要有網絡物理安全、系統安全、網絡安全、應用安全等多方面的內容,通過采用防火墻、授權認證、數據加密、入侵檢測等安全技術為手段,才有利于更有效地實現校園網絡安全、穩定運行。論文將對常用的校園網絡安全技術進行研究。
首先是認證技術,認證技術是網絡通信中建立安全通信信道的重要步驟,是安全信息系統的“門禁”模塊,是保證網絡信息安全的重要技術。認證的主要目的是驗證信息的完整性,確認被驗證的信息在傳遞或存儲過程中沒有被篡改或重組,并驗證信息發送者的真實性,確認他沒有被冒充。認證技術是防止黑客對系統進行主動攻擊的一種重要技術手段,主要通過數字信封、數字摘要、數字簽名、智能卡和生物特征識別等技術來實現。
第二是密碼技術,目前保障數據的安全主要采用現代密碼技術對數據進行主動保護,如數據保密、雙向身份認證。數據完整性等,由此密碼技術是保證信息的安全性的關鍵技術。密碼技術在古代就己經得到相當的應用,但僅限于外交和軍事等重要領域。隨著計算機技術的迅速發展,密碼技術發展成為集數學、電子與通信、計算機科學等學科于一身的交叉學科。密碼技術不僅能夠保證機密性信息的加密,而且完成了數字簽名、系統安全等功能。所以,使用密碼技術不僅可以保證信息的機密性,而且可以防止信息被篡改、假冒和偽造。現在密碼技術主要是密碼學。密碼學也是密碼技術的理論基礎,主要包括密碼編碼學和密碼分析學。密碼編碼學主要研究如何對信息進行編碼,以此來隱藏、偽裝信息,通過對給定的有意義的數據進行可逆的數學變換,將其變為表面上雜亂無章的數據,而只有合法的接收者才能恢復原來的數據,由此保證了數據安全。密碼分析學是研究如何破譯經過加密的消息并識別偽造消息。總之,密碼編碼技術和密碼分析技術相互支持、密不可分。
第三是防火墻技術,防火墻是指放置在不同網絡或網絡安全域之間的系列部件的組合。防火墻在不同網絡區域之間建立起控制數據交換的唯一通道,通過允許或拒絕等手段實現對進出內部網絡的服務和訪問的控制。防火墻本身也具有較強的抗攻擊能力,能有效加強不同網絡區域之間的訪問控制,是提供信息安全服務,實現網絡安全的重要的基礎設施。
第四是入侵檢測系統。網絡安全風險系數越來越高,防火墻技術己經不能滿足人們對網絡安全的需求。入侵檢測系統作為對防火墻及其有益的補充,不僅能幫助網絡系統快速發現攻擊的發生,也擴展了系統管理員的安全管理能力,有效提高了信息安全基礎結構的完整性。
三、結語
網絡技術迅速發展的同時,也帶來了越來越多的網絡安全問題,校園網安全防范的建設更是一項復雜的系統工程,需要相關工作人員予以更多的重視。論文在辨清網絡安全和校園網絡安全的定義的基礎上,從認證技術、密碼技術、防火墻、入侵檢測系統、訪問控制技術、虛擬專用網六個方面分析了校園網安全防范技術,這不僅是理論上的分析,也為網絡安全實踐提供了一定的借鑒。
參考文獻:
[1]蔡新春.校園安全防范技術的研究與實現[J].合肥工業大學,2009(04).
[2]謝慧琴.校園網安全防范技術研究[J].福建電腦,2009(09).
[3]卜銀俠.校園網安全防范技術體系[J].硅谷,2011(24).
[4]陶甲寅.校園網安全與防范技術[J].電腦知識與技術,2007(01).
[5]袁修春.校園網安全防范體系[D].蘭州:西北師范大學,2005.
篇(3)
我院在接到通知后立即召開會議,部署“網絡安全宣傳周”的宣傳工作,成立了領導小組,落實責任分工,明確活動的目的,突出宣傳的實效性和思想性,第一時間將活動要求部署到系部及相關單位,宣傳活動有序開展。
一、活動開展
(一)主題班會
此次宣傳周活動前期,多系在其主題班會上圍繞“青少年網絡安全”為主題,讓學生通過圖片、信息以及教師的講解,體會網絡安全的重要性,對學生提出了相關注意事項,個別系部協定了《青少年網絡文明公約》。通過各項活動的開展,明顯提高了學生的網絡安全防范意識和能力,讓他們了解了綠色上網的意義。其中,計算機與信息科學系組織了以“網絡安全,人人有責”主題班會,通過從上網的時間安排,在網上選擇性地瀏覽信息,對虛擬網絡中各種情況采取的自我保護措施,如何對預防病毒等做了交流和討論,讓同學們清楚地認識到網絡安全的重要性,更好的利用網絡促進我們學習的進步。中文系組織了“共建網絡安全、共享網絡文明”主題班會。為幫助師生識別網絡謠言、防范網絡詐騙、遠離網絡犯罪做出警示,學前教育系在網絡安全宣傳周活動期間舉辦“網絡安全,你我同行警示案例展”活動。教育系開展了以“文明上網”為主題的校園演講比賽,同學們積極準備,就存在的各種網絡現象發表自己的觀點和看法,收到良好效果。其他各系都有不同形式的班會及相關內容,如《如何幫助青少年提高網絡基本識別能力》、《如何養成良好的上網習慣和行為》、《青少年網癮的危害》等。
(二)下發宣傳手冊
為了使學生更進一步明確網絡安全工作的重要性,懂得更多的網絡安全防范知識和自我保護知識。我院組織各系部印發近千余張的網絡安全宣傳知識資料發放到學生手中,基本做到人手一份;教學樓樓道宣傳欄做了關于網絡安全方面的專欄內容,提高了學生的網絡安全意識,為首屆網絡安全宣傳周開了一個好頭。
(三)組織知識競賽
除了系部舉辦網絡安全主題班會、發放網絡安全材料以外,個別系部還在此次網絡安全宣傳周后期組織進行了“網絡安全”有獎知識競賽。競賽中,各專業學生展示了高超的知識能力和競賽水平,廣大學生對網絡安全知識掌握的較為扎實,能快速準確的判斷出什么事該做,什么事不該做。
二、存在的問題及今后努力方向
(一)存在問題
按照通知要求,大部分學生參加了網上競賽答題活動,但由于網絡不穩定,網站經常癱瘓等原因,部分學生未能順利完成網上答題,或許有些可惜,同時也希望官方加強網站運行穩定度,讓更多學生參與進答題活動。
篇(4)
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)19-4407-03
1 計算機網絡安全的背景和意義
自20世紀,微軟公司出版的視窗操作系統出現,計算機推廣普及的進程大大加快。時至今日,計算機網絡已經進入各個領域,推動人類社會文明的進步和文化傳播。計算機及互聯網的應用大大加快了社會各部門的工作效率,豐富了人民生活。然而,關于計算機網絡的安全問題頻發,引起人們的關注,網絡安全問題的存在,會極大影響程序的正常運轉,破壞數據,甚至使財產遭受損失。如何進行計算機網絡安全問題的有效防范顯得十分必要。在此背景下,中職計算機網絡的防范技術對策的探究對保證計算機網絡的安全可靠具有重要意義。
計算機網絡安全是指包括計算機硬件維護、計算機軟件維護以及對整個網絡系統的安全性維護的計算機網絡信息安全。主要運用相關的安全防范技術提高計算機網絡系統的抗攻擊性和安全性,使其免遭偶然和惡意攻擊的破壞,保證網絡平臺安全運行。計算機網絡安全包含技術和管理兩方面,網絡安全管理制度和網絡安全防范技術共同構建起整個計算機網絡安全體系。
2 中職計算機網絡安全存在的威脅
2.1人為因素
計算機并不會主動運轉,需要人來使用。人的行為在很大程度上影響計算機網絡環境。對中職計算機網絡安全造成威脅的人為因素包括:計算機網絡安全防范技術和安全管理制度不健全,安全管理措施不到位,管理員管理不當,內部人員缺乏安全意識導致泄密或有意利用自己的合法身份進入網絡系統進行故意破壞。
2.2攻擊工具獲取容易,使用簡單
互聯網在提供海量信息的同時,也使得很多惡意攻擊軟件得以免費自由廣泛地傳播。再加上此類攻擊軟件使用簡單,設置簡便,使用門檻低,很多人都得以對其加以利用,進行網絡攻擊。大量廉價甚至免費的攻擊軟件充斥,自動后攻擊攻擊大量泛濫,增加了網絡安全的不穩定因素。由下圖可以看出,第一,隨著攻擊行為復雜度降低,普通人也可能對整個網絡系統造成巨大危害。第二,攻擊技術日益普及也催生高水平的攻擊者,安全管理員面臨更大挑戰,網絡環境的不安全因素增加。
2.3中職學校師生網絡安全意識不強
對于校園網用戶而言,由于使用者多為學生,網絡環境相對單純,網絡安全問題尚不能引起充分重視,所以基本沒有或很少使用計算機網絡防范技術,而是更傾向于各類應用軟件的操作使用,很少考慮實際潛在的網絡風險及風險帶來的低效率。較少人會主動學習防范木馬、修復漏洞、管理密碼和信息密保的基本知識以及防止人為破壞系統和篡改敏感數據的技術。
目前,網絡安全的相關制度法規相繼出臺,學校網絡中心也制定了相應的配套管理制度,但是由于宣傳力度不夠,學生中仍然存在大量因自身網絡法律意識淡薄,無意或有意破壞網絡安全的行為。網絡上黑客交流也十分活躍,其中不乏獵奇的青年學生,這也為其破壞活動奠定了技術基礎。
2.4操作系統及應用系統的漏洞造成的威脅
近幾年來,利用漏洞開發的計算機病毒在互聯網上泛濫成災,頻頻掀起發作狂潮,并且隨著網絡帶寬和計算機數量的增加,病毒的傳播速度越來越快。正如同人們對其的命名,計算機病毒同生物病毒一樣,通過不斷復制進行傳播、攻擊和侵染,并且能在短時間內迅速波及大范圍用戶計算機。由此,計算機病毒成為網絡安全的首要威脅。常見的計算機病毒有:木馬病毒、蠕蟲病毒、腳本病毒、間諜病毒等。
木馬病毒是最常見的病毒,常利用通過捆綁于其他軟件上傳播,一旦用戶下載并感染木馬,其計算機就處于他人的監視和控制中;蠕蟲病毒的原理是對主機掃描,一發現存在漏洞就對其加以利用,進而控制主機。特點是隱蔽性高,捆綁在其他程序上,程序運行病毒也被激活,并以極快的速度變種,殺滅存在一定難度;腳本病毒依附在網站上,當用戶訪問網站,點擊開啟時相關腳本也受到病毒侵染。造成主機大部分資源被占用,運行變慢,甚者硬盤受損;間諜病毒出現時間并不長,一般通過改變用戶主頁來提升網站的訪問人數,并獲取用戶數據,對用戶數據安全性造成一定威脅。
例如,2002年4月中旬,“求職信”惡性網絡病毒襲擊捷克,使其蒙受重大經濟損失,中國大陸及臺灣地區也遭受攻擊;2003年8月11日,在美國爆發的“沖擊波”蠕蟲病毒開始肆虐全球,并且迅速傳播到歐洲、南美、澳洲、東南亞等地區。據報道,截至8月14日,全球已有25萬臺電腦受到攻擊。我國從11日到13日,短短三天間就有數萬臺電腦被感染,4100多個企事業單位的局域網遭遇重創,其中2000多個局域網陷入癱瘓,嚴重阻礙了電子政務、電子商務等工作的開展,造成巨大的經濟損失;2004年最主要的蠕蟲事件是利用微軟視窗系統LSASS漏洞傳播的“震蕩波”系列蠕蟲,造成大量的用戶計算機被感染。根據CNCERT/CC抽樣監測發現我國有超過138萬個lP地址的主機感染此類蠕蟲。
3 中職計算機網絡的防范技術對策
3.1防火墻技術
防火墻是設置在不同網絡或網絡安全區域間的一系列部件的組合。具有簡單實用,成本低的優點。其主要功能是,作為一道網絡安全屏障,限制外部用戶訪問,管理內部用戶訪問外界網絡的權限。因此,也成為信息進出的唯一通道,從而可以較有效地依照安全政策控制出入的信息。此外,防火墻本身也具有一定抗攻擊能力,可以加強計算機網絡安全策略,保護暴露的用戶點,監控并審計網絡存取訪問行為,實現內部信息的有效防護,防治信息外泄。
防火墻技術的關鍵是,數據包過濾技術。如下圖所示,包檢查模塊應當深入操作系統的核心,在計算機操作系統或路由器轉發數據包前攔截所有數據包,然后經過檢查模塊,攔截檢查所有進出站數據。
3.2加密技術
計算機網絡系統龐大復雜,信息傳遞過程需要經過許多網絡路徑,很可能包括不可信網絡,從而容易發生信息泄露。所以,中職計算機網絡系統的防范技術中,信息加密技術是一個重要方面。計算機網絡數據加密包括鏈路加密、節點加密和端到端加密三個層次。鏈路加密能有效保護網絡節點間鏈路信息安全,包括路由信息在內的鏈路數據都會以密文的形式加以保護;節點加密可以有效保護源節點到目的節點之間傳輸鏈路的信息安全;端到端加密則能有效保護傳輸過程中數據安全,在整個傳輸過程中,數據以密文形式從源端用戶傳輸到目的端用戶。
3.3信息認證和鑒別
信息認證是又一重要的網絡防范技術,被喻為安全信息系統的“門禁”模塊,是網絡通信中可信安全通信通道的重要建立過程。認證的主要目的是檢驗信息發送者的真實性和驗證信息的完整性,即能確認用戶沒有被他人冒充,又能驗證信息在傳輸過程或存儲過程中沒有被重組、篡改或者延遲。因此,信息認證是防治網絡系統遭受攻擊的一種很重要技術手段,常通過數字信封、數字摘要、數字簽名、智能卡、數字證書和生物特征識別等技術來實現。 其中,數字簽名可以有效應對網絡通信中的信息偽造問題。數字簽名運用得較多的是公匙加密技術,通過此技術,任何知道接收方公開密匙的人都可以向其發送加密信息,只有唯一擁有接收方私有密匙的用戶才可以解密信息。另外,智能卡屬于鑒別手段的一種,其他鑒別手段還包括計算式通過口令、一次性口令和生物卡等。操作中,計算機之間鑒別的原理是基于計算的不同配置,所以通過鑒別計算機的配置是否符合原有配置來判斷用戶身份。
3.4網絡訪問控制技術
網絡訪問控制技術是為了防范計算機網絡系統在提供遠程登錄、文件傳輸的過程中,不法分子趁機闖入,有效控制非法入侵者。具體實施措施是使用路由器對外界進行控制,將路由器作為網絡的局域網上諸如Internet等網絡服務的信息流量,也可以設置系統文件權限來確認訪問是否非法,保證計算機網絡信息安全。
3.5技術查殺病毒、修補漏洞
常用的應對病毒的方法是利用殺毒軟件防治病毒。購買正版軟件,及時獲得更新服務,可以對病毒起到主動防御的功能,在中職計算機網絡防范中,應用效果顯著。無論是計算機操作系統還是各個應用軟件和互聯網漏洞都要及時利用相應修復軟件修補,定時全盤掃描并修復計算機,可以有效降低網絡安全風險。
3.6提高安全意識
無論再先進的計算機防范技術,都需要人去使用執行。因此,互聯網安全管理員或是普通用戶都要提高網絡安全意識,保持警惕,及時運用網絡安全防范技術來避免出現安全隱患,培養良好的上網習慣,避免疏忽大意損失數據或導致計算機系統受損。
4 結論
當前通信與信息產業高速迅猛發展,計算機網絡安全防范技術也應當與時俱進,以使網絡技術適應社會發展的需要,發揮應有的職能和優勢,避免因為網絡安全問題造成社會經濟和資源損失。網絡是把雙刃劍,關鍵在于如何有效運用。網絡安全防范技術為網絡通信發揮更大力量奠定基礎,并處于不斷發展中,涉及計算機網絡系統軟件安全、硬件安全和數據信息安全等方面。中職計算機網絡防范技術對策必須建立一整套完善的安全管理制度,提高網絡安全意識,充分發揮網絡防范技術的功能,強化計算機網絡安全。
參考文獻:
[1] 潘章斌.計算機網絡安全問題及防范技術研究[J].中國高新技術企業,2013(7).
[2] 徐囡囡.關于計算機網絡安全防范技術的研究和應用[J].信息與電腦,2011(6).
[3] 徐儉.淺談計算機網絡安全防范技術[J].現代電視技術,2005(6).
[4] 丁高虎.試論計算機網絡安全及防范技術[J].華章,2012(22).
[5] 鐘平.校園網安全防范技術研究[D].廣州:廣州工業大學,2007.
[6] 胡錚.網絡與信息安全[M].北京:清華大學出版社,2006:318-323.
篇(5)
經濟多元化發展的今天,人們的生活離不開信息網絡世界,同時對網絡的安全提出了更高的要求。當前網絡信息安全性的保障,越來越注重知識多學科的應用,進一步的完善科學通信技術,不斷創新信息安全技術,優化信息理論性的相關知識結構。基于網絡系統硬軟件的保護應用,促進系統的數據加密處理,實現網絡的優化設計和安全防范[1]。對于如何做好計算機網絡安全的防范技巧始終是計算機領域廣泛關注的一個焦點。本文主要分析了網絡信息安全的威脅因素,完善計算機網絡安全防范體系結構,探討了當前網絡安全的防范技巧。
一、 計算機網絡安全威脅因素
根據國家互聯網應急中心CNCERT抽樣監測結果和國家信息安全漏洞共享平臺CNVD的數據,2013年8月19日至8月25日一周境內被篡改網站數量為5470個;境內被植入后門的網站數量為3203個;針對境內網站的仿冒頁面數量為754個。被篡改政府網站數量為384個;境內被植入后門的政府網站數量為98個;針對境內網站的仿冒頁面754個。感染網絡病毒的主機數量約為69.4萬個,其中包括境內被木馬或被僵尸程序控制的主機約23萬以及境內感染飛客(Conficker)蠕蟲的主機約46.4萬。新增信息安全漏洞150個,其中高危漏洞50個。我國計算機網絡的安全防范過程,不可避免的面臨著多種威脅,其中有人為因素和自然因素,具體體現如下:
(一)自然因素
自然因素也即是自然災害和網絡系統威脅,在計算機信息系統中,環境因素影響了智能機器的正常使用壽命,在某種程度上降低了計算機的實際使用性能。銜接軟,網絡系統的應用過程,越來越注重計算機網絡的開放性特點,盡可能的做好協議的有效性分析和應用,基于協議依賴性的分析過程,就要做好網絡系統的有效性運行保障,但是TCP/IO協議依賴階段,數據截取現象時有發現,同時也有篡改數據的行為。
(二)人為因素
人為因素主要是一些用戶操作威脅和相關計算機病毒的威脅,基于計算機用戶的操作過程,安全意識相對薄弱。用戶問問設置相對簡單的口令,一旦自己的賬號丟失,網絡安全威脅也就越來越多。計算機網絡常見惡意攻擊,也即是主動性的攻擊和被動性的攻擊,一旦計算機網絡存在惡意攻擊的行為,直接破壞了信息的完整性。對于被動性的攻擊,主要是被動性的破壞信息,導致用戶機密信息被竊取,帶給用戶嚴重的損失。一旦存在計算機病毒,實際的運行程序將會存在各種安全威脅和相關的安全埋伏,需要做好系統的有效性控制,同時系統也有著較強的潛伏性以及傳染性,需要做好文件的傳送以及復制管理,同時也降低了系統的工作效率。
垃圾郵件這種常見的人為因素,主要是電子郵件有著較強的公開性特征,以至于傳播電子郵件的時候,有著強行推入的過程,并帶給系統直接的威脅。計算機犯罪威脅往往是竊取口令,非法侵入計算機信息系統,以至于傳播有害信息,并惡意破壞計算機系統。
二、 計算機網絡信息安全防范技巧
計算機網絡信息的安全性防范管理,從實際情況出發,就要做好計算機網絡信息的有效性防范,同時基于安全威脅狀態的分析,合理的選擇適當的防范措施,盡可能的做好網絡信息安全性。關于計算機網絡信息安全的防范技巧如下所示:
(一)完善賬戶安全管理,安裝防火墻
用戶賬號登錄時不僅僅要有正確的賬號,輸入正確的密碼,一旦賬號信息被攻擊的時候,就要加強用戶賬號的安全,就要設置比較復雜的密碼,一旦用戶有不同的賬號,就要設置不同的賬號密碼,結合符號和字母以及數字的形式,實現密碼的有效性設置,每隔一段時間就要及時的更換原先的密碼。安裝防火墻的時候,就要加強網絡之間的訪問控制,基于外部網絡的有效性控制,設置網絡的安全權限訪問,同時也要優化網絡數據包之間的安全性茶樹管理,確保網絡有著合理的通信,密切的監視網絡之間的運行狀態,盡可能的做好網絡防火墻分包傳輸技術的有效優化管理[2]。個人使用自己的計算機時,需要做好木馬的安全性防御管理,同時也要及時的更新升級殺毒軟件,加強殺毒的安全防御。
(二)更新漏洞軟件,創新網絡監控技術
更新漏洞軟件,進一步創新網絡監控技術,就要及時的安裝漏洞補丁軟件,盡可能的避免更大的安全隱患。掃描漏洞的時候,盡可能的應用漏洞掃描器,做好軟件漏洞補丁的下載工作。基于防范技術的應用,就要進一步的完善統計技術的相關規則方法,做好網絡計算機系統的有效性監控,同時也要分析系統的攻擊行為,盡可能的做好系統代碼的有效性編寫和分析,實現系統的安全性運行。計算機網絡安全性問題的有效解決,就要進一步的加大網絡安全的投入,積極的培養網絡人才,盡可能的積極強化安全意識,不斷優化你惡不管理,加強層層防范的立體防御體系,不斷完善管理上的防護安全措施。
(三)加密文件,實現數據的有效存儲
加密文件的時候,就要進一步的更新數字簽名技術,逐步的完善信息系統的安全性,盡可能的賦予數據較強的保密性,盡可能的應用數據傳輸加密技術,避免竊取傳輸中的數據。線路的加密過程,也要做好端對端的基本加密應用,采取密鑰的方法,做好安全性的保護。一旦信息發送之后,有效的傳達信息的形式,合理的運用密鑰,及時有效的讀取數據明文。應用數字簽名技術的時候,就要結合群簽名的方法,降低電子商務交易的基本成本。
因此,關于計算機網絡的安全防范,需要全面管理網絡的實際工作情況,突出入網前的安全管理,設置網絡安全屏障,避免非法用戶的非法進入,管理人員更要加強網絡用戶的安全管理,合理的設置網絡賬號信息,不斷增強用戶的安全意識,進一步的完善防火墻的規模化建設,積極的構建網絡入侵檢測系統。
結語:
篇(6)
安防標準化工作如何應對WTO劉希清(14)
技防工作開展的難點——對安全技術防范工作的思考(二)張福(15)
趕上了盛世咱享太平——跟您聊聊社區技防立俠(16)
110護車神打造廣州安防天地賀光輝(18)
基于銀晨面像識別技術的預警式監控系統(20)
監控保安緊密結合服務市場天寬地闊白岱宗(22)
數碼硬盤錄像監控系統王巖(24)
自行車防盜有新招——北京技防辦研發中心對自行車防盜報警鎖具進行技術鑒定張言(28)
淺談防火墻技術與網絡安全安全技術防范 袁軍鵬(32)
網上理財網上賺錢——美國網上服務業快速發展眾成(36)
煙花爆竹生產管理須走正道!王銀昌(38)
科技創安,安防商機無限加入世貿,機遇風險并存立俠(4)
社區建設逐浪高安防意識味正濃——社區安防報警模式芻議郝成(8)
解讀社區佳兵(10)
安防行業與第三方服務袁繩依楊為(13)
發展專業中介評估機構為政府當好助手和參謀紀元景靜(15)
構筑機動車安全防范的天羅地網(一)劉曉川歐陽誼明(16)
技防領域不容抹去的戰線:對保護區上空防護系統的探討侯小迅(18)
現代安全檢查技術比較呂立波(20)
指紋驗證技術在信息系統中的應用羅菁王向軍(26)
報警傳輸系統串行數據接口的信息格式和協議劉希清(29)
撒旦的“雪茄”--“9·11”事件引發的安全技術防范思考趙旭東(34)
聯想網御——PKICA易曉峰黃琛(38)
報警服務業瓶頸問題研究楊英(4)
醫院安全防范系統的設計要點劉沂(8)
作用很大,尚須改進——淺談醫院的安全技術防范吳永平(9)
特殊性決定了重要性——試論技防在醫院安全管理中的作用郎曉林(11)
加強領導科學管理張智武楊謙(12)
為安防天空添朵祥云——國家重點科技攻關項目《社區安全防范綜合報警服務體系研究與示范工程》的產生和實施過程山石(14)
技防奇葩看紫光——GPS系統協警6小時破獲重大綁架案紀實張立俠(18)
技防高科技手段縮短了破案時間張言(22)
由偵破系列機動車盜竊案想到治安防范措施及對策李健初(23)
信息化與防雷馬寧(24)
現代數字電視監控網絡技術黃小菲(26)
安全技防系統的成本——效益分析孔一(29)
挑戰創新不言敗——門吉利公司及其總經理周劍波先生印象眾成(30)
網絡安全面臨的挑戰及對策辛明(34)
主動式網絡安全防御系統模型設計張越今(36)
電子政務信息安全與法律保障李賀(40)
OPSEC的認證及其體系結構白杉(42)
如何執行防彈玻璃國家標準——GB17840-1999標準解析(44)
安全技術防范 淺談數字電視監控系統在審案中的應用張熙彬李云紅(47)
警衛用電動雙扇推拉大門設計顧平和(48)
歐洲安防與消防裝置和系統——標準、標準機構與認證程序G·西卡(50)
金融領域計算機犯罪與防范對策李文生李進芳(54)
發展電視監控系統有效遏制街頭案件——北京海淀進行街道技防試點(56)
計算機病毒的演變與對策李舒生(60)
社會治安與安全技術防范劉毅(4)
打造品牌走世界眾成(8)
咬住科技創安不放松--來自北京的報告(二)劉軍(10)
“科技創安”帶來安全保障--2001年北京科技創安新產品、新技術推廣展示會側記筱賢(12)
入侵報警系統可靠性計算彭喜東趙彥明(16)hHTTp://
創新爭先無“網”不勝——安奈特網絡設備在北京市公安局豐臺分局千兆以太網建設中的應用田廣茂(20)
未來的多媒體技術標準梁凌(23)
GB/T1.1—2000內容簡介陳九(24)
標準化知識100問(之五)(25)
門禁市場需求及走勢趙良平(26)
構筑安全的信息網絡陳鐘段云所(28)
開展保密教育構筑安全防線何志成(32)
HoloMakerⅡ:防偽的新型數控全息技術陳林森(33)
完善防范機制服務經濟建設--北京大興縣半壁店地區技防工作見成效(36)
2000年度無案件--建行北京分行加強整體風險防范見成效王言(42)“牢門獸窗”被冷落技防設施進家門——八角北路11號院小區技術防范簡介(10)
爭取保險業支持促進機動車反劫防盜工作開展(15)
基于3C技術的車輛反劫防盜報警系統(二)于朝暉(16)
全球衛星定位系統(GPS)作用如何呂立波(18)
掀起你的蓋頭來讓我好好看一看--話說DNA偵查技術徐茜茜朱進(21)
信息防雷呼喚標準化李佩(24)
標準化與認證制度安全技術防范 焦叔斌(25)
高度重視實體防護設備標準化崔鳳喜鄧瑞德(26)
住宅區周界安全防范報警系統介紹康振禎趙士蘭(28)
信息高速路上建起安防網(30)
篇(7)
1 我國互聯網的發展狀況
目前,我國約有84.3萬個網站,我國網民人數已達1.37億。我國互聯網的特點如下:第一,新聞網站繁榮,網民言論自由,廣大老百姓熱衷通過互聯網表達觀點。第二,網站已經不是唯一的或最重要的網上信息傳播的通道或載體,新的信息載體點越來越多,朝著個人傳播能力增強的方向發展。第三,網絡在重合,在無限擴展到其他傳播方式,當前與電話、電視網絡疊加到一起,技術上與其他傳播方式的融合已經實現了。第四,人們在網上提供信息和獲取信息的方式在發生改變。以往主要通過門戶網站,現在趨勢為門戶網站搜索化,搜索網站門戶化,搜索信息個性化。
2 網絡安全面臨的新威脅
2.1 流氓軟件
“流氓軟件”沒有明確的定義。通常認為,是一種非正規軟件,它具有間諜、行為記錄、瀏覽器劫持、搜索引擎劫持、自動廣告、自動撥號、盜竊密碼等軟件功能。[1]它的主要表現形式如下:強行或秘密進入用戶電腦,自動安裝,不進行安裝提示,無法刪除和卸載,開機自啟動,占用系統資源;強行彈出廣告,以獲取商業利益,干擾用戶工作;監視用戶上網行為,記錄用戶上網習慣,或竊取用戶賬號密碼等隱私信息;強行劫持用戶瀏覽器或搜索引擎,妨害用戶瀏覽正常的網頁。
2.2 個人電子信息資料泄露
據統計,每年都有大量的個人信息被盜竊或濫用,個人信息失竊以及由此引發的相關欺詐活動,給消費者造成大量的經濟損失,使商業和金融機構的損失也非常慘重。[2]其中,政府、金融、醫療、教育、保險、證券、通信、航空、旅游等關鍵基礎設施和重要信息系統部門是信息泄露的多發區。筆記本電腦、移動硬盤、U盤等移動設備丟失或被盜,黑客入侵存有個人信息的公共服務系統或商務系統數據庫成為個人信息泄露的主要途徑。
2.3 網絡犯罪
網絡犯罪日益猖獗,其中詐騙(網上購物、QQ好友、虛假信息),盜竊(虛假銀行、證券交易),賭博(、)等犯罪行為已經成為主要網絡犯罪形式。網絡犯罪的特征:第一,違法犯罪行為人所在地、發生地、結果地相分離(跨地域性);第二,高技術性;第三,違法犯罪成本低;第四,證據易滅失、難提取,偵破難度大。
3 我國網絡安全工作現狀
近年來,隨著信息技術發展和我國信息化程度的不斷提高,我國在網絡安全工作方面進行了全面部署,取得了一系列的重要進展,但與發達國家相比,現階段在國家網絡安全保障等方面存在較大差距,亟待探索新的網絡安全管控模式。[3]目前,我國網絡安全中主要存在的問題:第一,我國網絡安全防護工作起步晚、基礎差。我國的網絡安全防護工作尚處于起步階段,基礎薄弱,水平不高,網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節。第二,我國網絡用戶的安全防范意識非常淡薄。第三,我國網絡安全監管工作有待進一步深化。國家相關部門雖然制定了很多信息安全產業規劃和措施,但是在網絡安全的具體實施上還沒有完全落到實處,監管措施不到位,監管體系尚待完善,網絡安全保障制度不健全、責任不落實、管理不到位。因此,還需要有關部門加強網絡安全工作的監督。第四,我國網絡安全關鍵技術的研發能力不足。第五,我國網絡安全的立法存在缺位。
4 加強網絡安全的創新措施
4.1 不斷創新網絡安全防范技術
未來網絡安全技術的發展方向將會朝著多個方面預防的方向發展,這就要求我國不斷開展網絡安全的技術研發和創新,全面構建安全保障技術體系,為網絡安全監管提供必要的技術能力和手段,努力用技術業務創新提高網絡安全防范能力。[4]
4.2 盡快建立和完善與網絡信息安全相關的規章制度
目前,我國網絡安全的法律法規還處在嚴重不足和起步階段,難以適應網絡發展的需要,現有的政策法規太籠統、缺乏操作性。針對網絡安全的薄弱環節,政府監管部門應不斷完善安全審計、風險評估等有關規章制度。
4.3 互聯網數據中心和聯網單位要做出積極的防護舉措
互聯網數據中心和聯網單位應該做出以下防護舉措:記錄并留存用戶注冊信息;在公共信息服務中發現、停止傳輸違法信息,并保留相關記錄;聯網使用單位使用內部網絡地址與互聯網網絡地址轉換方式向用戶提供接入服務的,能夠記錄并留存用戶使用的互聯網網絡地址和內部網絡地址對應關系。
總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等諸多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施。因此,只有綜合采取多種防范措施,制定嚴格的保密政策和明晰的安全策略,才能完好、實時地保證信息的機密性、完整性和可用性,為網絡提供強大的安全保證。
[參考文獻]
[1]謝玉嬌.網絡安全防范體系及設計原則[J].黑龍江科技信息,2010(32).
篇(8)
摘 要 隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的it技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。 關鍵詞 信息安全;pki;ca;vpn 1 引言 隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。 隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的it技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用pki技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。 在下面的描述中,以某公司為例進行說明。 2 信息系統現狀 2.1 信息化整體狀況 1)計算機網絡 某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1 2)應用系統 經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。 2.2 信息安全現狀 為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。 3 風險與需求分析 3.1 風險分析 通過對我們信息系統現狀的分析,可得出如下結論: (1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。 (2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。 通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在: (1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。 目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。 當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。 針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。 美國聯邦調查局(fbi)和計算機安全機構(csi)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。 信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。 (2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。 已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。 網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。 3.2 需求分析 如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點: (1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。 (2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。 (3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。 (4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。 4 設計原則 安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。 4.1 標準化原則 本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。 4.2 系統化原則 信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。 4.3 規避風險原則 安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。 4.4 保護投資原則 由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。 4.5 多重保護原則 任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。 4.6 分步實施原則 由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5 設計思路及安全產品的選擇和部署 信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。 圖2 網絡與信息安全防范體系模型 信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。 5.1 網絡安全基礎設施 證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用pki/ca數字認證服務。pki(public key infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的pki/ca數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標: 身份認證(authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。 數據的機密性(confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。 數據的完整性(integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。 不可抵賴性(non-repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。 5.2 邊界防護和網絡的隔離 vpn(virtual private network)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。 通過安裝部署vpn系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程lan的安全連接。 集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。 集中的安全策略管理可以對整個vpn網絡的安全策略進行集中管理和配置。 5.3 安全電子郵件 電子郵件是internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。 目前廣泛應用的電子郵件客戶端軟件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions ),它是從 pem(privacy enhanced mail) 和 mime(internet 郵件的附件標準 ) 發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織 ( 根證書 ) 之間相互認證,整個信任關系基本是樹狀的。其次, s/mime 將信件內容加密簽名后作為特殊的附件傳送。 保證了信件內容的安全性。 5.4 桌面安全防護 對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。 桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。 1)電子簽章系統 利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入office系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。 2) 安全登錄系統 安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。 3)文件加密系統 文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。 5.5 身份認證 身份認證是指計算機及網絡系統確認操作者身份的過程。基于pki的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。usb key是一種usb接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用usb key內置的密碼算法實現對用戶身份的認證。 基于pki的usb key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。 6 方案的組織與實施方式 網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。 圖3 因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作: (1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。 (2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。 (3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。 (4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。 7 結論 本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。 也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。 參考文獻 [1] 國家信息安全基礎設施研究中心、國家信息安全工程技術研究中心.《電子政務總體設計與技術實現》
篇(9)
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
篇(10)
當前我國處于計算機網絡社會時代,網絡安全是社會首要關注的計算機應用問題之一。計算機信息技術迅猛發展為我們帶來機遇與方便的同時,也伴隨著各種各樣的風險。可以說,網絡安全性如若無法得到有效的控制,將會嚴重威脅用戶的相關信息。因此,在運行計算機網絡的過程中,應當加強對網絡運行環境的安全防范,切實保護用戶的信息安全及實際效益。下面筆者就如何提高計算機網絡安全方面展開分析、研究。
1.計算機網絡安全現狀及其不足之處
1.1計算機網絡安全管理不規范
計算機網絡系統的安全,需要企業、部門和用戶的共同努力,采取嚴格、有效的管理措施,多加強彼此之間的溝通與協調,然而很多企業和個人目前對計算機網絡安全不夠重視,常常疏于對計算機網絡安全的管理。相關調查顯示,有90%左右的企業對黑客的攻擊沒有采取有效的準備措施,而80%左右的網站都會難以抵擋黑客的攻擊,75%左右的企業都存在網上信息失竊的問題,這在很大程度上反映了計算機網絡安全在管理上的缺失。此外,有的企業及個人對計算機設備的防潮、防塵、防火等工作不夠重視,對存儲設備的存放不規范,這也在很大程度上對計算機網絡信息的安全造成了威脅。
1.2計算機網絡病毒危害網絡安全
網絡病毒其實是一種編程,它可以影響計算機正常運轉和使用,可以自行的復制計算機的指令及代碼,破壞性極強且不易發現。目前流行的網絡病毒主要有木馬病毒、蠕蟲病毒、我愛你病毒、泡沫小子病毒等等,各種病毒都不同程度上影響計算機網絡的安全性。
1.3軟件漏洞危害網絡安全
計算機軟件是用戶常用的計算機功能之一,計算機軟件和計算機系統一樣,雖然在長期的發展過程中有所更新和調整,但是漏洞也隨之而來。一旦在互聯網的空間里使用,就很容易被攻擊,漏洞成了安全的隱患。如果不加以重視,也會造成不可估量的損失。
1.4黑客攻擊危害網絡安全
目前,黑客經常借助非法手段,利用現成的工具或者自己編寫的工具針對計算機網絡的漏洞進行不正當訪問和非法攻擊,對計算機網絡的正常使用會造成很大的破壞。例如,黑客利用不正當手段竊取商業機密、非法轉移他人賬戶的資金等、篡改他人信息數據、傳播虛假信息等,常常給計算機用戶或者企業造成巨大的經濟損失。
2.相關計算機網絡安全技術防范分析
2.1規范計算機網絡安全管理
切實提高計算機網絡安全管理技術,維護計算機網絡安全。在計算機網絡技術方面,網絡安全技術主要包括實時掃描技術、實時監測技術、防火墻、完整性檢驗保護技術、病毒情況分析報告技術和系統安全管理技術。具體的措施如下:
2.1.1加強計算機系統的安全管理
通過加強計算機用戶的安全教育,建立相應的安全管理機制,逐漸完善和加強計算機的管理功能,嚴格落實計算機網絡的執法力度。另外,必須加強計算機安全管理,加強用戶的法律、法規和道德觀念,本質上提高計算機用戶的安全意識,同一些利用計算機犯罪、黑客攻擊和計算機病毒的干擾因素相抗衡,所以,加強計算機安全管理是非常重要的手段之一。
2.1.2加強計算機網絡的物理安全防范
首先,必須保證系統實體有安全的物理環境條件。這個安全的環境是指機房及其設施,這些設施都有具體的要求和嚴格的標準。針對計算機的安全防護,采取物理訪問控制和設置安全防護圈,來防止未授權的個人或團體破壞、篡改或盜竊網絡設施,從而避免重要數據的流失。
2.2網絡病毒防范技術分析
可以說,計算機病毒的防范也是網絡安全技術中較重要的一環。網關的防病毒軟件,可加強上網計算機的安全。最好使用全方位的防病毒產品,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件, 通過全方位、多層次的防病毒系統的配置,通過定期或不定期的自動升級,使網絡免受病毒的侵襲。
2.3應用漏洞掃描技術分析
漏洞掃描采取自動檢測遠端或本地主機安全的技術,它查詢主要服務的端口,并記錄目標主機的響應,收集一些特定項目相關的有用信息。這項技術的具體實現就是安全掃描程序。由于掃描程序可以在很短的時間內查出現存的安全脆弱點,就可以給掃描程序開發者快速提供切實可行的攻擊方法,并把它們集成到整個掃描中,掃描后以統計的格式輸出,便于參考和分析。
2.4加強網絡安全防范技術的應用,避免受黑客入侵
2.4.1采用防火墻技術,提高網絡安全性
防火墻技術作為內部網絡與外部網絡之間的第一道安全屏障,首先,應該安裝防火墻的位置是內部網絡與外部Internet的接口處,以阻擋來自外部網絡的入侵;其次,如果內部網絡規模較大,并且設置有虛擬局域網,則應該在防火墻之下設置網關級防毒。作為信息系統安全產品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。通常,防火墻的安全性問題對用戶來說,保守的方法是選擇一個通過多家權威認證機構測試的產品。
2.4.2采用入侵檢測技術,提高網絡安全性
入侵檢測技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。在外聯網絡中采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
2.4.3采用先進的網絡安全對策,提高網絡安全性
針對網絡應用的開放性和自由性,將網絡進行分段不僅能夠有效的控制網絡廣播風暴,同時還能實現敏感資源與非法用戶的隔離,有效降低了產生非法偵聽的風險。對于局域網中用戶與主機間的數據通信通常采取的是通過分支集線器接入的操作,建議用交換式集線器進行替換實現數據包僅在兩點之間的傳送,有效的防止了非法偵聽。
2.4.4訪問控制安全
訪問控制識別并驗證用戶,將用戶限制在已授權的活動和資源范圍之內。網絡的訪問控制安全可以從以下幾個方面考慮。
(1)口令。網絡安全系統的最外層防線就是網絡用戶的登錄,在注冊過程中,系統會檢查用戶的登錄名和口令的合法性,只有合法的用戶才可以進入系統。
(2)網絡資源屬主、屬性和訪問權限。網絡資源主要包括共享文件、共享打印機、網絡通信設備等網絡用戶都有可以使用的資源。資源屬主體現了不同用戶對資源的從屬關系,如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性,如可被誰讀、寫或執行等。訪問權限主要體現在用戶對網絡資源的可用程度上。利用指定網絡資源的屬主、屬性和訪問權限可以有效地在應用級控制網絡系統的安全性。
(3)網絡安全監視。網絡監視通稱為“網管”,它的作用主要是對整個網絡的運行進行動態地監視并及時處理各種事件。通過網絡監視可以簡單明了地找出并解決網絡上的安全問題,如定位網絡故障點、捉住IP盜用者、控制網絡訪問范圍等。
(4)審計和跟蹤。網絡的審計和跟蹤包括對網絡資源的使用、網絡故障、系統記帳等方面的記錄和分析。
2.4.5提升用戶的自身網絡安全防范意識
由于侵入銀行系統難度較大,不法分子將黑手直接伸向網銀用戶。通常,不法分子通過“網絡釣魚”――即建立網上銀行的假網頁或假冒銀行名義,通過郵件虛假信息,騙取客戶銀行卡卡號、密碼,竊取客戶資金。因此,用戶一定要有的防范意識和良好的習慣,避免上當受騙。首先要核對網址,看是否與真正網址一致;其次是選妥和保管好密碼,做好交易記錄,對網上銀行、網上證券等平臺辦理的轉賬和支付等業務做好記錄,定期查看“歷史交易明細”和打印業務對賬單,并管好數字證書,避免在公用的計算機上使用網上交易系統。
最后,確保通過正確的程序登錄支付網關,通過正式公布的網站進入,不要通過搜索引擎找到的網址或其他不明網站的鏈接進入。
除此之外,還可以不斷推進全方位網絡加密技術、身份驗證技術的普及與應用,注意經常給系統打補丁,堵塞軟件漏洞;禁止瀏覽器運行JavaScript和ActiveX代碼;不要上一些不太了解的網站,不要執行從網上下載后未經殺毒處理的軟件,不要打開msn或者QQ上傳送過來的不明文件等;提高自我保護意識,注意妥善保管自己的私人信息,如本人證件號碼、帳號、密碼等,不向他人透露;盡量避免在網吧等公共場所使用網上電子商務服務,確保全面化提升計算機的網絡安全性水平。
3.結語
綜上所言,為了保證計算機網絡運行的安全性,必須加強網絡運行環境的監控,采取防火墻保護技術、入侵檢測技術等加強計算機網絡的安全保護,避免病毒、黑客等入侵,真正實現安全、放心、可靠的網絡環境,使得計算機網絡充分發揮其應有的效用,從而便于我們運用計算機網絡進行學習、工作等活動。
【參考文獻】
篇(11)
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2012)01-0182-01
1、前言
隨著網絡技術和信息技術的普及, 計算機網絡安全問題也就顯得越來越突出。攻擊事件造成的影響日益嚴重,發生的頻率也日益增加。眾所周知,計算機網絡具備信道共用性、分布廣域性、資源共享性、體系結構開放性的特點,因此,也不可避免地會存在著系統的脆弱性,使其面臨嚴重的安全問題,而幾乎所有的攻擊者都是利用現有計算機網絡系統中的安全漏洞來進行活動,使其面臨嚴重的安全問題。本文就計算機網絡安全防范技術進行探討。
2、計算機網絡安全的重要性
計算機安全一般包含信息安全和物理安全兩方面,信息安全也就是網絡安全,能夠有效保護網絡信息的可用性、完整性和保密性。計算機網絡的威脅主要有計算機病毒、黑客的攻擊等,其中黑客對于計算機網絡的攻擊方法已經大大超過了計算機病毒的種類,而且許多攻擊都是致命的。因此,加強計算機網絡安全保護尤為重要。只有針對這些網絡威脅采取必要的保護措施,才能確保計算機網絡信息的可靠性、安全性和保密性。絕大多數計算機網絡安全入侵事件都是因為沒有及時補上系統漏洞、系統安全措施不完善造成的,一旦網絡軟件“后門”洞開,黑客就可以很容易地進入到別人的系統,造成的后果可想而知。
3、如何有效完善計算機網絡安全防范技術
3.1 計算機網絡安全通信技術
計算機網絡安全通信技術主要包括數據保密性和數據完整性這兩方面的問題。數據完整性能夠保證信息在傳輸過程中不被破壞,不被篡改,讓現行數據和原來數據之間保持完全一致。而數據保密性技術要解決的是保證在網絡傳輸中的數據確認身份、保持完整、不被篡改等。
3.2 建立完善的計算機網絡安全防范制度
負責計算機信息網絡管理的值班人員要明確分工,落實責任。當班人員因故不能值班或者離開值班崗位者,應找本中心人員替代,在替代人員到崗后方可離崗。值班人員必須嚴守操作規程,密切注視系統運行情況,發現問題,及時上報;同時,在征得領導同意后,迅速果斷地采取相應的措施,如硬件故障,則通知硬件維護人員,并與之相配合做好故障處理工作。所有工作人員不得將中心任何一臺計算機或服務器的IP地址及密碼公開,防止外來人員進入。同時,設立多道防火墻,經常更換密碼,防止外來有害信息進入。安全負責人應隨時了解網絡運行情況、信息情況,定期或不定期的檢查網上傳輸的運作情況。經常了解用戶使用情況。針對出現的問題,及時解決。
3.3 加密技術
加密技術一般分為非對稱加密和對稱加密兩大類。在對稱加密技術中,都使用相同的鑰匙來對信息的解密和加密,這種加密的方法能夠有效地簡化加密處理過程。而對于非對稱加密體系而言,密鑰被分解為一對不同的密鑰(即私有密鑰和公開密鑰)。這對密鑰中可以把任何一把作為加密密鑰 (公開密鑰),通過公開的方式向他人公開,而另一把則作為解密密鑰 (私有密鑰)加以保存。私有密鑰用于解密,公開密鑰用于加密。
3.4 防病毒技術
隨著互聯網技術和信息技術的不斷發展,計算機病毒對計算機系統構成了極大的威脅,同時,病毒也變得越來越高級、越來越復雜。目前市面上普遍使用的防病毒軟件一般可以分為單機防病毒軟件和網絡防病毒軟件兩大類。單機防病毒軟件一般是分析掃描本地和本地工作站鏈接的資源,通過快速檢測來達到清除計算機病毒的目的。而網絡防病毒軟件則不是側重于單臺電腦的防病毒處理,而是主要注重于網絡防病毒,一旦病毒從網絡向其它資源傳染,那么該軟件就會歷盡檢測,并及時加以刪除。例如金山毒霸網絡版V7.0具備提前被系統加載特性,可以在病毒模塊還沒有加載或被保護的時候刪除被保護的病毒文件或攔截禁止病毒的保護模塊;精確打擊,定點清除頑固惡意軟件和木馬,解決能查不能殺的難題從而完成正常殺毒任務。金山毒霸網絡版V7.0實現了集中式配置、部署、策略管理和報告,并支持管理員對網絡安全進行實時審核,以確定哪些節點易于受到病毒的攻擊,以及在出現緊急病毒情況時采取何種應急處理措施。網絡管理員可以通過邏輯分組的方式管理客戶端和服務器的反病毒相關工作,并可以創建、部署和鎖定安全策略和設置,從而使得網絡系統保持最新狀態和良好的配置。金山毒霸網絡版V7.0采用分布式的漏洞掃描及修復技術。管理員通過管理節點獲取客戶機主動智能上報的漏洞信息,再精確部署漏洞修復程序;其通過Proxy()下載修復程序的方式,極大地降低了網絡對外帶寬的占用。全網漏洞掃描及修復過程無需人工參與,且能夠在客戶機用戶未登錄或以受限用戶登錄情況下進行。
4、結語
總之,計算機網絡安全防范涉及使用、管理、技術等方方面面,是一個綜合性的課題,任何一種安全防范技術都有自己的局限性,絕對不是萬能的,只能解決一方面或多方面的問題。因此,如果想從根本上解決計算機網絡安全問題,那么提高網民的個人道德素質、普及計算機網絡安全教育、增強社會安全意識教育就顯得至關重要。
參考文獻
[1]李玉勤.淺淡計算機網絡中防火墻技術的應用[J].甘肅科技,2006,(11):156-158.
[2]張文慧,周大水.淺談防火墻技術與發展[J].科技信息(學術研究),2008,(34):116-119.
