網絡安全技術防護體系范文
時間:2023-12-22 18:02:13
導語:如何才能寫好一篇網絡安全技術防護體系,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
【關鍵詞】 計算機網絡 網絡信息安全 防護技術 安全防護體系
前言:隨著時代的不斷進步,互聯網時代的流行已經成為必然的趨勢,計算機網絡儼然已經成為人民群眾日常生活中不可或缺的一部分,在人們建立與計算機網絡之間的關系的同時,也逐漸認識到了網絡信息安全所帶來的威脅。企業內部系統遭到破壞、個人信息資料的泄露、國家網絡的惡意入侵等現象為我們敲響了警鐘,無時無刻不在提醒著我們網絡信息安全技術體系存在著漏洞。因此,我國科研人員要加強對于計算機技術的研究,不斷完善網絡信息安全技術防護體系的建設,將網絡信息安全帶給人們的風險降到最低。
一、網絡信息安全技術體系的基本概述
1.1安全保密管理
通過安全保密管理體系的名稱我們就可以知道,它的主要職能就是“保密”。首先,安全保密管理體系要有一套完善的領導組織,將每一個保密階段的職能都落實到有關部門,各單位要以安全保密管理體系為章程,在面臨網絡危險的時候能夠積極的做出正確的判斷,將風險降到最低。對于組織內部的信息有著監督與管理的職責,準確的掌握組織內部的基本情況,經常對計算機內部的信息進行篩選,一旦發現病毒等惡意代碼,能夠第一時間對其進行處理,保證組織內部信息的安全[1]。
1.2安全防護策略
安全防護策略主要表現在五個方面,首先是它能夠制定一套完善的訪問系統,對于每一個進行訪問的用戶都有一個詳細的了解,并且能夠及時的進行控制,在第一時間發現帶有病毒的惡意代碼,降低網絡信息安全的威脅。其次是對計算機設備的配置與監測,只要計算機設備得到了保證,才能進行后續的維護工作。第三是安全防護策略能夠對入侵的病毒進行防范,病毒帶給網絡信息的安全威脅是最嚴重的,因此才需要更加嚴格的監督與管理。第四是面對災難時的恢復工作,網絡信息安全隱患不僅來自于計算機內部,也來源于自然災害,所以,自然災害過后對于網絡的修復工作也是非常的重要的。第五就是面對意外情況的時候,能夠在第一時間做出反應,將損失降到最低[2]。
1.3安全防護體系
安全防護體系與安全防護策略有一定程度的相似之處,安全防護策略主要是制定計劃,而安全防護體系是已經形成的一套完善的系統,像是防火墻系統、防病毒系統、網絡身份管理系統等,將這些單一的系統拼在一起就形成了安全防護體系,只要對于不同系統的規劃合理,就能夠將安全防護體系的作用發揮到極致。從而降低網絡信息安全所帶來的風險。
1.4安全值勤維護
安全值勤維護主要就是指對網絡日志、計算機設備、安全系統等方面的維護工作,其目的就是為了在維護過程中發現安全隱患,能夠在第一時間對安全隱患進行排除,減少不必要的風險發生。每一天計算機網絡都面臨著數以萬計的病毒入侵、木馬傳播、惡意操作等,如果沒有安全值勤維護這一環節為網絡信息安全保駕護航,那么計算機網絡很容易就會被入侵,從而導致大面積的網絡癱瘓,最終造成無法估計的經濟損害[3]。
1.5技術安全服務
技術安全服務主要針對的是病毒與木馬,一旦發現有病毒或木馬的入侵,技術安全服務體系能夠在第一時間進行預警,是技術人員能夠及時的發現問題并解決問題,還能夠定期更新病毒與木馬的類型。眾所周知網絡世界本來就充滿著很多的不確定性,因此經常會冒出一些從未接觸過的病毒與木馬,為了能夠及時采取有效的措施,才需要技術安全服務體系對病毒與木馬庫進行定期的更新與升級。
1.6終端安全防護
終端安全防護可以說是與網絡建立關系的一個通行證,要想連接網絡就必須要經過終端安全防護的審批,只有終端安全防護對入網賬戶進行一系列的了解,像是IP地址、訪問權限等信息登記備案之后,才能夠與網絡建立起聯系[4]。這種做法主要就是為了避免入網賬戶會將病毒、木馬等惡意代碼植入到網絡當中,造成系統漏洞,從而導致網絡信息泄露的現象。
二、網絡信息安全在實際應用中存在的問題
2.1不法分子的惡意攻擊
不法分子的惡意攻擊可以說是網絡信息安全在實際應用中存在的最大威脅。一般情況下,惡意攻擊分為兩種情況,首先是主動攻擊。主動攻擊就是指以主觀意識為領導,對計算機網絡信息進行有選擇性的破壞。其次就是被動攻擊,被動攻擊就是指不受主觀意識的控制,計算機自發的進行破壞信息、竊取資料等工作。但是,不管是以上哪一種攻擊形式,對于計算機網絡信息安全的威脅都是致命的,都會造成網絡信息資料的泄露,對于丟失資料的計算機用戶的打擊都是毀滅性的。
2.2網絡自身的性質
計算機網絡自身的性質對于網絡信息安全也有著很大的影響,由于網絡充滿了不確定性,因此我們不能百分之百保證我們存放在計算機內部的信息資料就一定能夠得到充分的保障,所以人們才會采取一些其他措施對其進行保護,比如安裝防火墻等[5]。另外,大家都知道網絡具有非常強的開放性,因此并不能夠保證放在計算機內的信息資料只有自己能夠看到,經常會有不法分子利用網絡的開放性對網絡信息進行竊取、破壞。
2.3自然災害造成的影響
網絡信息安全不僅僅受到來自于計算機內部的威脅,還受到自然災害的影響。像是污染、地震、暴雨、高溫、高濕都會對計算機網絡的運行造成不同程度的影響,我國為了降低自然災害對計算機網絡的運行造成的影響,做出了很多的改善,比如在防震、防火、防水、防泄漏等方面,但是由于還在初期建設階段,所以其抵抗自然災害的效果還不是非常的明顯。
2.4計算機用戶的使用不當
隨著互聯網時代的到來,計算機網絡已經深入到人民群眾的日常生活中,但是并不是所有的計算機用戶都能夠熟練的掌握計算機的正確使用方法,由于在使用過程中的操作不當,會給計算機帶來超常的負荷。并且很多計算機用戶對于網絡賬戶的安全意識匱乏,網絡賬戶的密碼過于簡單,或者輕易將網絡賬戶的密碼告知他人[6],才會給不法分子可乘之機,增大了網絡信息的安全隱患。
2.6垃圾郵件造成計算機用戶的困擾
計算機網絡具有極強的開放性,電子郵箱也具有這一性質,許多不法分子抓住這個機會,強制性的向計算機用戶的電子郵箱內發送垃圾郵件,給計算機用戶造成非常大的困擾。有些不法分子甚至在垃圾郵件內附帶病毒,一旦不知情的計算機用戶無意間打開,就會造成個人信息資料被竊取,甚至還會影響計算機的綜合性能。
三、網絡信息安全技術防護體系的建設
3.1計算機用戶要提高賬號的安全性
要想保護網絡信息安全的根本途徑就是提高計算機用戶自身的安全意識,從根本上提高計算機用戶賬號的安全性,在設置密碼上要選擇相對復雜、不易破解的密碼[7]。首先,密碼的設置不要過于的單一,盡量采取數字與字母相結合的方式,保證密碼的長度。其次就是要定期對密碼進行更換,不給不法分子可乘之機。
3.2在計算機內安裝殺毒軟件與防火墻
殺毒軟件是現階段計算機網絡中必不可少的一部分,定期對計算機進行病毒的查殺與檢測,一旦發現病毒要立即進行清理,不管是在防毒還是殺毒方面的效果都非常的好。安裝防火墻主要是為計算機增加了一層保障,當有外界入侵你的計算機,想要竊取你的資料的時候,防火墻就可以在第一時間察覺他的意圖,并且對你的計算機進行保護,不給不法分子以可乘之機。
3.3計算機用戶要及時安裝漏洞補丁程序
計算機網絡的漏洞就相當于我們人類的弱點,當有人想要對你的計算機進行惡意入侵卻又無從下手的時候,漏洞就會暴露出你的弱點,有心之人就會順著這個漏洞一步一步的走進你的計算機內部,竊取資料、摧毀系統[8]。因此,計算機用戶必須要及時的安裝漏洞補丁程序,并且要定期檢查計算機內是否存在漏洞,一旦發現漏洞要及時進行完善,降低網絡信息的安全隱患。
四、結論
綜上分析可知,互聯網已經成為了我們日常生活中的一部分,所以維護網絡信息安全是我們共同的責任與義務。對于網絡信息安全技術防護體系的而建設,不能采用單一的方式進行維護,要采取多種體系相結合的方式進行防護,各個體系之間要相互配合,才能將網絡信息安全技術防護體系的作用充分的發揮出來。
參 考 文 獻
[1]韓全惜.論網絡信息安全技術防護體系建設方法[J].無線互聯科技,2015,08:43-45.
[2]解思江,焦陽,李曉輝,張繼濤.基于終端安全的省級電力公司信息安全防護體系建設[J].電氣應用,2015,S1:255-257+275.
[3]劉太洪.大秦公司信息系統安全等級保護技術規劃設計[D].河北工業大學,2014.
[4]朱凌峰.網絡信息安全防護體系及其在醫院網絡系統中的應用[J].信息通信,2016,04:172-173.
[5]蘇岳龍,陳強,馬天明.基于石化行業的工業控制系統信息安全防護體系設計和建設標準[A].中國標準化協會.標準化改革與發展之機遇――第十二屆中國標準化論壇論文集[C].中國標準化協會:,2015:11.
[6]姚德益.基于等級保護的銀行核心網絡系統安全防護體系的研究與設計[D].東華大學,2014.
篇2
關鍵詞:民航企業;信息化建設;信息安全技術
0引言
互聯網時代的到來,信息技術與網絡技術已然成為人們生產生活的重要技術支撐,在民航領域中,信息化建設的進程也得以高效發展。與此同時,民航企業信息系統的安全隱患及安全防護問題也逐漸暴露,成為信息化建設過程中亟須應對與解決的問題。
1網絡信息安全制度的建設
1.1建設網絡信息安全制度
據調查,民航信息系統安全事件的發生,問題的主要成因在于未充分明確相關責任以確保網絡信息安全管理工作的全面落實。基于此,民航企業需要充分結合自身的是情況,對網絡信息安全管理責任制的健全及完善,充分明確人員相關責任,促進民航信息化建設水平的提升,促進民航的健康發展。民航企業應當搭建內部網絡信息安全規范體系,以之為基礎開展企業網絡信息安全管理及部署工作,確保民航信息安全水平的有效提升。民航企業應當時刻緊隨時展步伐,對網絡信息安全保障體系加以完善,建立網絡信息安全防范體系,采取合理的等級保護與分級保護措施,維護網絡信息安全。民航企業應當將網絡信息安全作為信息化建設的發展方向,積極配合并響應國防部、網絡安全部門、公安機關等行政機關部門的規定與要求,實時更新并優化安全防護措施,實現網絡安全整體覆蓋范圍的擴大。
1.2細分網絡安全保障體系
對于民航企業而言,其信息網絡安全保障體系的建設,主要包括三個方面,即信息網絡安全技術體系、信息網絡安全管理體系及信息網絡安全運行維護體系。這三個安全防護體系是相互依存與相互促進的。信息網絡安全管理體系的搭建,應當作為信息安全技術體系保障的重要方向,技術體系也是保障信息網絡安全的技術設施與基礎服務的重要支持。信息網絡安全管理體系的建設也要求網絡信息安全技術應用水平不斷提升。民航企業的網絡信息安全體系的建設,可以充分參考美國國家安全局所提出的IATF框架的網絡安全縱深戰略防御理念、美國ISS公司所提出的P2DR動態網絡安全模型等相應信息網絡安全防護體系,搭建“打擊、預防、管理、控制”于一體的網絡通信安全綜合防護體系理念,是當前國際上最為先進、最為有效的安全保障框架體系,對重要體系采取有效的安全防護措施,搭建民航企業的信息安全防護與控制中心,實現對于信息網絡體系的安全監控、安全終端、安全平臺、主機安全、數據安全、應用安全相互結合、相互統一的信息安全平臺建設,信息安全防護應當涵蓋物理層面、終端層面、網絡層面、主機層面、數據層面及應用層面,保證安全防護的全面性及全方位性[1]。
1.3發展民航網絡信息安全產業
隨著時代的發展,民航企業開始更多地強調民航網絡信息安全事業的發展。在開展民航企業網絡信息安全產業建設時,應及時跟蹤和了解國際網絡信息安全產業發展動向,了解信息安全防護技術水平的提升渠道,積極謀求與其他發達國家之間的技術合作,大力引進先進的管理技術與管理手段,大力培養并教育網絡信息安全技術人才。民航企業要大力引進技術水平與管理理念較為先進的人才,并對所引進的人才采用科學合理的技術培訓與安全教育措施,不斷增強相關人員對于網絡信息安全防護的意識與理解能力,安全理念先進、技術水平高超、應急處置及時的網絡信息安全管理人才隊伍。民航企業要搭建科學完善的網絡信息安全管理體系,充分保證信息網絡安全組織、網絡信息安全流程、網絡信息安全制度相互結合,搭建科學合理的安全管理體系。
2民航信息安全保障體系的建設
2.1國家信息系統安全等級保護
以ISO27001信息安全管理要求為基礎,結合國家信息系統安全等級防護管理方面,對信息系統安全防護安全管理基本要求加以明確,開展民航企業網絡安全防護及管理體系的建設工作。網絡信息安全管理體系的設計,應當涵蓋安全組織架構、安全管理人員、安全防護制度及安全管理流程等多個方面,結合自身實際需求,設計科學合理的網絡信息安全管理體系等。對于網絡系統安全組織架構的建設與完善,組建涵蓋安全管理、安全決策、安全監督及安全執行等層次的管理架構,設置相應職責崗位,對安全管理責任進行分解與落實,做好人員錄用、人員調動、人員考核及人員培訓等相關方面的人員管理工作。民航企業在制定安全管理制度時,應建立網絡信息安全目標、安全策略、安全管理制度及安全防護技術規范等多個層次,搭建安全管理制度體系。在建立安全管理流程方面,通過建立科學合理的組織內部安全監督檢查與優化體系,保證網絡信息安全管理工作的順利開展。將內部人員與第三方訪問人員、系統建設、系統運維、物理環境的日常管理規范化,將日常的變更管理、問題管理、事件管理、配置管理、管理等電子化、流程化與標準化[2]。
2.2合理運用先進安全防護技術
2.2.1入侵檢測技術
目前,對信息安全防護技術手段研發與應用也愈發普遍,其中入侵檢測技術的應用可以取得較好的技術效果。入侵檢測技術的應用主要是通過對網絡行為、網絡安全日志、網絡安全審計信息等技術手段,有效檢測網絡系統非法入侵行為,判斷網絡入侵企圖,通過網絡入侵檢測以實現網絡安全的實時監控,有效避免網絡非法攻擊的可能。通過應用入侵檢測技術,民航企業可以構建入侵檢測系統,能夠對系統內部、外部的非授權行為進行同步檢測,及時發現和處理網絡信息系統中的未授權和異常現象,盡可能減少網絡入侵所造成的損耗與安全威脅。為此,可采取NetEye入侵檢測系統,該系統通過深度分析技術,實現對于網絡環境的全過程監控,及時了解、分析并明確網絡內部安全隱患及外部入侵風險,作出安全示警,及時響應并采取有效的安全防范技術,實現網絡安全防護層次進行有效延伸。同時,該入侵檢測系統具備較為強悍的網絡信息審計功能,就可以實時監控、記錄、審計并就重演網絡安全運行及使用情況,用戶能夠更好地了解網絡運行情況。
2.2.2文件加密技術
對稱加密技術是常見的文件加密技術之一,所采用的密鑰能夠用以加密與解密,在技術應用時,以塊為單位進行數據加密。這一方法在實際應用過程中,一次能夠加密一個數據塊。對對稱加密技術的優化與改進,主要可采用密碼塊鏈的模式加以實現,即通過私鑰及初始化向量進行文件加密[3]。如上所述,隨著網絡信息安全受到更多重視,民航企業信息化建設水平在進一步提升其網絡建設水平的同時,也更多地意識到網絡信息安全的重要性與必要性,不僅需要構建行業信息安全防御體系,還應當建立健全網絡信息安全制度,構建網絡安全防護人才團隊。在此基礎上,民航企業還可以充分利用文件加密和數字簽名技術,通過該技術,可以合理避免相關數據信息受到竊取、篡改或遭到損壞而導致網絡信息安全受到影響。文件加密和數字簽名技術應用過程中,可以更好地對網絡信息安全提供保證、維護相關信息數據的安全性。
篇3
【關鍵詞】醫院;網絡安全;防護
1引言
隨著全球信息化時代的到來,醫院也進入了信息化發展的快車道。醫院各種應用系統借助網絡技術與計算機技術正快速整合,成為一個有機的整體。醫院信息化快速發展的同時,也帶來醫院網絡安全問題,如果不加強網絡安全防護,不僅會導致醫院信息化網絡體系的癱瘓,影響醫院整體運行效率,也容易導致醫院信息的泄露,對醫院造成不可挽回的影響。新時期,醫院網絡安全問題成為醫院信息化發展過程中一個突出問題。
2醫院網絡安全防護的隱患
醫院網絡安全隱患是客觀存在的,本文擬從硬件、制度、物理、技術等層面,分析醫院網絡安全防護存在的安全隱患。
2.1硬件安全隱患
硬件是醫院網絡得以運行的物質基礎,也是網絡安全防護的重點。目前不少醫院缺乏網絡安全意識,不重視硬件安全管理,醫院中心機房沒有實行專人管理,缺乏必要的安全防護措施,內網與外網不能實現專網專用,容易造成硬件層面的計算機非法植入,給醫院網絡安全帶來隱患。
2.2安全制度隱患
醫院網絡的運行效率與安全運行離不開制度作為保障,目前不少醫院基于網絡安全的制度缺失或者不健全,沒有全方面地落實網絡安全責任制度。不少醫院制定的制度具有隨意性,大多借鑒其他醫院的制度,不能結合本院網絡安全實際,制度缺乏針對性與約束力,難以發揮制度的強制約束力。
2.3物理安全隱患
物理安全是醫院網絡安全防護的重點,物理層面的網絡安全存在的隱患未能引起醫院的足夠重視。不少醫院沒有針對自然災害可能造成的物理安全采取有效的應對方案,對于醫院計算機可能遭受的外來攻擊缺乏足夠的認識,一旦遭遇物理層面的安全問題時,不能采取有效措施及時補救。
2.4技術安全隱患
信息技術發展速度較快,技術更新頻率出人意料。不少醫院在技術安全上思想比較滯后,往往存在一勞永逸的思想,一段時期采取了安全技術,就認為高枕無憂了,對于網絡攻防技術缺乏足夠的認識,不能及時地了解最新的網絡攻擊技術,安全技術更新不及時,往往容易造成網絡安全問題。
3醫院網絡安全防護的應對
3.1優化防護策略,加強硬件安全保障
醫院要從硬件層面優化防護策略,切實加強硬件安全保障。硬件網絡安全保障的一個重點是做好中心機房安全防護,因為這里是各項信息整合、處理、存儲的中心,任何一種安全隱患都將導致醫院網絡系統處于癱瘓狀態,例如斷電、外來接入等。醫院要針對網絡硬件層面可能出現的安全問題,做好應對措施,例如針對斷電問題,可以采取電雙回路,或者無間斷切換自動化設備,實現電源的不間斷供電,確保硬件的正常運作。
3.2強化安全意識,健全網絡安全制度
醫院要進一步強化網絡安全意識,不斷健全網絡安全制度,以制度促管理效率提升。醫院網絡安全制度的制定要具有全覆蓋性,醫院網絡涉及的醫院的方方面面,包括網絡安全管理、網絡安全使用、網絡管護等,只有建立全覆蓋的網絡安全制度,才能落實責任,促進醫院網絡常態化、規范化運作;此外,醫院網絡安全制度要具有針對性,根據醫院網絡安全現狀與存在的突出問題,不斷完善網絡安全制度,例如不少醫院存在互聯網與醫療網混搭現象,只有通過完善的制度,才能確保網絡安全。
3.3規范操作使用,建立物理防護體系
醫院網絡安全防護安全問題不少是由使用操作造成的,因此醫院要基于使用操作存在的問題,強化使用者規范意識,建立物理層面的防護體系。醫院要對網絡體系中物理層面的設備進行專人管理,以確保醫院各個服務器、交換機與路由器等物理設備安全,以防非專業人員使用與操作不當造成的物理安全問題;醫院要加強醫院醫務人員使用與操作管理,禁止醫務人員在醫院網絡物理設備上使用其他軟件,將人為造成的安全問題降低到最低程度。
3.4重視技術更新,構建網絡安全堡壘
技術層面,防火墻是構建網絡安全堡壘的重要手段,防火墻能夠有效針對來自網路技術層面的攻擊。防火墻技術要發揮有效作用,需要及時進行技術更新,以有效發揮數據過濾作用;此外,醫院還要從技術層面建立網絡安全監管平臺,對醫院所有聯網設備進行即時的安全監測,并實現有效管理,提升醫院網絡安全整體掌控能力。
4結語
總之,網絡安全防護是醫院信息化建設的重要任務。醫院要意識到網絡安全不是一朝一夕的事,網絡安全隱患也層出不窮。醫院要進一步強化網絡安全意識,確保醫院網絡安全,以實現醫院網絡系統常態化運行,確保醫院各項業務正常開展,提升醫院整體運行效率,更好地服務患者,服務社會。
參考文獻
[1]秦占偉,梁昌明.醫院網絡安全現狀分析與防護[J].網路安全技術與應用,2009(01):61~62.
篇4
一、構建企業網絡安全系統的運行機制
構建運行機制,為企業網絡安全系統提供保障[1]。第一,構建訪問機制,綜合利用強制和自主兩項訪問機制,全面控制外網訪問,強制訪問通過分配企業網絡的屬性,保持屬性的原始狀態,攻擊者不容易篡改數據屬性,合理保護企業網絡系統,決定網絡安全行為,自主訪問主要是以訪問權限為主,為企業網絡或賬戶設置權限,但是權限設置時,會遺留劃痕或歷史記錄,為木馬攻擊埋下隱患;第二,構建審計機制,記錄企業網站的各項行為,生成安全日志,規劃企業網絡的運營主體,分析網絡事件,以審計記錄為基礎,可以精確識別企業網絡訪問行為是否安全,同時還可分析企業網絡的內部環境,及時發現漏洞、威脅,提高企業網站的安全系數;第三,構建識別機制,企業屬于網絡用戶,在登錄網絡系統時,需要進行嚴格的身份識別,常用的識別機制包括:口令、密碼或接口,判斷用戶的身份信息,例如:管理者在企業網絡系統的后臺,限制登錄口令,劃分用戶等級身份,用戶在登錄企業網絡時,填寫信息需要與后臺設置完全吻合,驗證身份成功后,才可登錄到網絡系統內部,口令識別具有一定的選擇性,并不是所有企業網絡都適應,因此,在構建識別機制時,還需根據企業網絡系統的實際,構建合理、有效的機制,提高網絡系統的安全性。
二、構建企業網絡系統的安全體系
(一)構建網絡安全體系。網絡安全體系的構建,劃分為四部分,第一,保障外部網絡安全,外網是企業網絡環境的一部分,在進行外網連接時,需要遵循一定的安全標準,約束訪問行為,保障安全性能,實行KEY處理,管控內網與外網的交互活動,嚴格識別訪問信息,排除安全隱患;第二,利用遠程接入的方式,降低企業網絡風險,避免攻擊者分析網絡路徑,企業網絡實行遠程保護時,設置動態的接入口令,避免單一口令被破譯,加強安全防護;第三,確保無線覆蓋區域的安全度,企業網絡已經實現無線運行,利用安全協議,保護無線環境,防止病毒攻擊無線環境,進入企業網站;第四,實時監測網絡,特別是在入侵檢測方面,強化安全結構,保障網絡傳輸的穩定和安全,防護外網攻擊。
(二)構建攻擊防護體系。企業網絡安全系統的攻擊,主要體現在病毒、木馬、黑客方面,企業網絡中包含大量有價值的數據和信息,成為攻擊對象,攻擊者的目的是竊取、毀壞數據,針對攻擊類型,構建防護體系,例如:合理制定防護方案,控制企業網絡運行,形成主動控制的防護狀態,充分利用防火墻,開啟部分防護功能,協助防護體系監控網絡行為,過濾外網訪問中的不安全程序,有效保護企業網絡,避免數據泄漏,穩定企業網絡運行[2]。防護體系的構建可以直接保護網絡安全系統,確保企業內部網絡數據安全運行的環境。
三、企業網絡安全系統構建的技術
企業網絡安全系統的構建,建立在防護技術的基礎上,體現綜合效益。由于企業網絡的開放性,導致企業網絡系統較容易受到病毒、黑客攻擊,丟失企業數據,影響企業網絡的安全運行,分析構建企業網絡安全系統的技術,如下:
(一)數據保護技術。數據保護技術是企業網絡安全構建的基礎,主要分為三類,如:(1)保護數據庫,在網絡數據庫內,加裝組件,作用于安全層,支持企業數據安全;(2)備份保護,備份企業數據,實行硬件保護,一旦企業網絡系統受到攻擊,利用備份數據,及時恢復數據運行,避免企業運營受阻;(3)利用容錯保護的方式,篩選關鍵信息,備份關鍵數據,即使部分數據被篡改或刪除,也可通過容錯恢復,保持數據完整性。
(二)病毒防護技術。分析企業網絡受病毒影響的類型,提出病毒防護技術。系統規劃防病毒技術,構建防毒體系,如下圖1,首先安裝防火墻,有效隔企業網絡和Internet,解析入侵病毒,時刻監控外部網絡;然后在客戶端安裝殺毒軟件,保護企業網絡,殺毒軟件可以根據病毒入侵路徑,實行自動升級,杜絕病毒入侵,特別是在病毒郵件方面,效果非常明顯,集中掃描傳輸郵件,保護企業的網絡通訊;最后利用防毒墻,過濾互聯網病毒,掃描內外兩網傳輸的所有信息,識別病毒程序,防止病毒植入。
(三)通道安全技術。企業網絡在日常工作中,接受來自不同IP的訪問,不論是企業內部,還是來自外部廣域網,都會存在安全風險,因此,利用通道安全技術,實行訪問控制,提高數據安全。主要對數據通道實行加密處理,采用密鑰傳輸,促使傳輸數據在通道內,以密文的形式存在。例如:利用密鑰算法,加密企業的源頭文件,待文件傳輸到指定接收方時,在實行解密,提高文件在通道中的安全水平,避免攻擊者竊取傳輸中的文件。
四、結束語
網絡系統為企業帶來效益和便利的同時,隱含運營風險,降低網絡風險對企業運營的影響,需要加強網絡系統的安全力度,有效防護企業內部網絡安全,一方面推動企業運營發展,另一方面體現網絡安全系統的優勢,發揮網絡價值。因此,深入分析企業網絡,構建安全系統,維護企業安全系統的高質量和高效率,保護企業信息。
參考文獻:
[1]王松.試論企業計算機網絡安全的管理[J].科技致富向導,2013(20):102.
[2]孫毅.中小企業內部網絡安全管理的研究[J].海峽科技與產業,2013(06):35.
篇5
關鍵詞:政務網站;安全防護;安全對策;解決方案
一、政務網站安全現狀
互聯網應急中心(CNCERT)每月的互聯網安全報告數據統計,2016年7月互聯網網絡安全狀況整體評價為中,政府等網站是不法分子攻擊的重點目標,安全漏洞是遭遇攻擊的主因,被篡改政府網站數為140個,被植入后門的政府網站數為241個,占被植入后門網站的比例2.9%上升到3.5%。為強化為了強化網站管理,網站管理部門制定了一些制度完善管理,如對網站信息的采集,審核,使用和環節進行規范并保證信息質量和保密,確保信息安全可靠。同時采取了一些技術措施和手段保障網站安全。
二、政務網站安全問題
(一)管理層面
認為搭建完政務網站就已實現網絡化發展,缺少長遠規劃,缺乏后期系統化、制度化管理,難以形成有效的管理機制和持續更新的安全策略。新模塊在使用前缺少安全評估。安全應急預案不全面,主要是范圍不全面,針對性不強。
(二)技術層面
政務網站技術管理要不斷優化及創新。當前政務網站技術管理落后,安全技術應用有限,導致管理的實效性較弱。部分政務網站網絡防御系統落后,存在網絡、服務器安全漏洞的情況。
(三)人員層面
部分政務網站投入運行后,沒有一個專業的技術管理隊伍進行日常管理,專業管理人才短缺,管理的專業性難以得到有效保障。
(四)制度層面
我國制定的關于計算機或網絡信息安全方面的正式法律較少,在針對網絡入侵的偵查、、量刑上存在一定困難。
三、安全策略與安全防護體系
(一)安全策略。
1.制定切實可行的政務網站安全標準規范,在其建設和運行時需遵循相應的安全標準,最大程度地減少網站安全事件發生。
2.建立應急預案。政務網站根據可能出現的各類情況制定相應的應急預案,當出現突發事件,啟動該事件的應急預案進行處理,處理后及時的對處理效果進行評估,不斷完善應急預案。
3.加強技術防護。政務網站運用入侵檢測、防火墻、身份認證、訪問控制、安全審計、病毒防護等技術手段來提高政務網站的防護能力。
4.專業隊伍建設。組建政務網站技術運維團隊,采用最新安全技術和方法培訓,使技術管理人員掌握新技術原理并能熟練運用。同時通過采取各種措施和手段,加強政務網站的炔考嘍焦芾恚提高內部控制水平,防止內部風險的發生。
5.加強法制建設。立法機構出臺關于網絡安全的法律,以法律形式規范網絡使用,保障網絡安全,同時加大對網絡違法犯罪的打擊力度。
(二).安全防護體系
安全防護體系包括物理、網絡、應用和主機數據安全。
1.物理安全。避免政務網站出現的各類硬件故障。對于政務網站關鍵應用,應采用雙機熱備,定期對重要數據進行備份。
2.網絡安全。在網絡部署上遵守能不對外開放的服務器,盡量不對外開放的原則。針對政府網絡系統中內部局域網、廣域網和互聯網三大區域之間,都部署了防火墻或網閘,依據安全政策對出入網絡的信息流進行控制,有條件地允許、拒絕、檢測或過濾信息。通過專業的漏洞掃描軟件對網絡設備及服務器系統進行掃描,及時發現安全漏洞。部署網絡安全審計、內容安全管理、防病毒服務器等網絡安全產品,構建嚴密安全保障體系。
3.應用安全。采用頁面防篡改系統,對網站的全面監控,對網頁應用漏洞進行預先掃描,實時捕獲篡改事件,并在第一時間對發生自發的網頁進行自動恢復和報警,同時具備對SQL注入、跨站腳本等入侵動作實時阻斷,達到事前、事中、事后的防御效果。
4.數據安全。通過網絡安全域劃分,對數據庫的訪問權限做最為嚴格的設定,最大限定保證數據庫安全。對于關鍵數據,增加交叉認證保證更高的安全性并定期對數據庫備份。
政務網站是連接政府與社會公眾之間的一座橋梁,為地區發展提供了有力的信息技術支持。構建安全的政務網站,是建設服務型政府的必然要求,是實現和諧社會的必要手段。
參考文獻:
[1] 張婷 . 芻議網站的分類、組建、管理及維護 [J]. 科技創新與應用 ,2015(28).
[2] 于艷杰 . 網站安全防范淺析 [J]. 科技創新與應用 ,2013(16).
[3] 史京 . 網站安全維護的問題與建議綜述[J]. 電子技術與軟件工程 ,2016(04).
篇6
伴隨社會的信息化推進,通信技術也得到了快速發展。通信得到了社會的廣泛認可。隨著光纖寬帶、移動電話、移動互聯網的普及,通信服務在我們的日常生活中發揮了越來越重要的作用。近年來,伴隨著互聯網技術在全球迅猛發展,信息化給人們提供了極大的便利,然而,同時我們也正受到日益嚴重的來自網絡的安全威脅,比如黑客攻擊、重要信息被盜等,網絡安全事件頻發,給人們的財產和精神帶來很大損失。
但是,在世界范圍內,黑客活動越來越猖狂,黑客攻擊者無孔不入,對信息系統的安全造成了很大的威脅,對社會造成了嚴重的危害。除此之外,互聯網上黑客網站還在不斷增加,這就給黑客更多的學習攻擊的信息,在黑客網站上,學習黑客技術、獲得黑客攻擊工具變得輕而易舉,更是加大了對互聯網的威脅。如何才能保障信息系統的信息安全,怎樣才能確保網絡信息的安全性,尤其是網絡上重要的數據的安全性。
在通信領域,信息安全尤為重要,它是通信安全的重要環節。在通信組織運作時,信息安全是維護通信安全的重要內容。通信涉及到我們生活的許多方面,小到人與人之間聯系的紐帶,大到國與國之間的信息交流。因此,研究信息安全和防護具有重要的現實意義。
一、通信運用中加強信息安全和防護的必要性
1.1搞好信息安全防護是確保國家安全的重要前提
眾所周知,未來的社會是信息化的社會,網絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點,如果信息安全防護工作跟不上,一個國家可能面臨信息被竊、網絡被毀、指揮系統癱瘓、制信息權喪失的嚴重后果。因此,信息安全防護不僅是未來戰爭勝利的重要保障,而且將作為交戰雙方信息攻防的重要手段,貫穿戰爭的全過程。一旦信息安全出現問題,可能導致整個國家的經濟癱瘓,戰爭和軍事領域是這樣,政治、經濟、文化、科技等領域也不例外。信息安全關系到國家的生死存亡,關系到世界的安定和平。比如,美國加利弗尼亞州銀行協會的曾經發出一份報告,稱如果該銀行的數據庫系統遭到網絡“黑客”的破壞,造成的后果將是致命的,3天就會影響加州的經濟,5天就能波及全美經濟,7天會使全世界經濟遭受損失。鑒于信息安全如此重要,美國國家委員會早在2000年初的《國家安全戰備報告》里就強調:執行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》,第一次把信息安全擺在戰略地位。并從理論和時間中加強信息安全的防護。近年來,我國也越來越重視信息安全問題,相關的研究層出不窮,為我國信息安全的發展奠定了基礎。
1.2我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分,它不僅體現在軍事信息安全上,同時也涉及到政治、經濟、文化等各方面。當今社會,由于國家活動對信息和信息網絡的依賴性越來越大,所以一旦信息系統遭到破壞,就可能導致整個國家能源供應的中斷、經濟活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設想。由于我國信息化起步較晚,目前信息化系統大多數還處在“不設防’,的狀態下,國防信息安全的形勢十分嚴峻。具體體現在以卜幾個方面:首先,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄。因此,在研究開發信息系統過程中對信息安全問題不夠重視,許多應用系統處在不設防狀態,具有極大的風險性和危險性。其次,我國的信息化系統還嚴重依賴大量的信息技術及設備極有可能對我國信息系統埋下不安全的隱患。無論是在計算機硬件上,還是在計算機軟件上,我國信息化系統的國產率還較低,而在引進國外技術和設備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領域,通過網絡泄密的事故屢有發生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護管理機構缺乏權威,協調不夠,對信息系統的監督管理還不夠有力。各信息系統條塊分割、相互隔離,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規劃,妨礙了信息安全管理的方針、原則和國家有關法規的貫徹執行。
二、通信中存在的信息安全問題
2.1信息網絡安全意識有待加強
我國的信息在傳輸的過程中,特別是軍事信息,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息,以便了解和掌握對方的新措施。更有甚者,在信息網絡運行管理和使用中,更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此,我們更要深層次地加強網絡安全方面的觀念,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關人員來共同防護。
2.2信息網絡安全核心技術貧乏
目前,我國在信息安全技術領域自主知識產權產品少采用的基礎硬件操作系統和數據庫等系統軟件大部分依賴國外產品。有些設備更是拿來就用,忽略了一定的安全隱患。技術上的落后,使得設備受制于人。因此,我們要加大對信息網絡安全關鍵技術的研發,避免出現信息泄露的“后門”。
2.3信息網絡安全防護體系不完善
防護體系是系統頂層設計的一個重要組成部分,是保證各系統之間可集成、可互操作的關鍵。以前信息網絡安全防護主要是進行一對一的攻防,技術單一。現代化的信息網絡安全防護體系已經成為一個規模龐大、技術復雜、獨具特色的重要信息子系統,并擔負著網絡攻防對抗的重任。因此,現代化信息網絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內容。
2.4信息網絡安全管理人才缺乏
高級系統管理人才缺乏,已成為影響我軍信息網絡安全防護的因素之一。信息網絡安全管理人才不僅要精通計算機網絡技術,還要熟悉安全技術。既要具有豐富的網絡工程建設經驗,又要具備管理知識。顯然,加大信息安全人才的培養任重而道遠。
三、通信組織運用中的網絡安全防護
網絡安全是通信系統安全的重要環節。保障通信組織的安全主要是保障網絡安全。網絡安全備受關注,如何防范病毒入侵、保護信息安全是人們關心的問題,筆者總結了幾點常用的防范措施,遵循這些措施可以降低風險發生的概率,進而降低通信組織中信息安全事故發生的概率。
3.1數據備份
對重要信息資料要及時備份,或預存影像資料,保證資料的安全和完整。設置口令,定期更換,以防止人為因素導致重要資料的泄露和丟失。利用鏡像技術,在磁盤子系統中有兩個系統進行同樣的工作,當其中一個系統故障時,另一個系統仍然能正常工作。加密對網絡通信加密,以防止網絡被竊聽和截取,尤其是絕密文件更要加密處理,并定期更換密碼。另外,文件廢棄處理時對重要文件粉碎處理,并確保文件不可識別。
3.2防治病毒
保障信息系統安全的另一個重要措施是病毒防治。安裝殺毒軟件,定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性,保證在使用前對軟盤進行病毒檢查,殺毒軟件應及時更新版本。一旦發現正在流行的病毒,要及時采取相應的措施,保障信息資料的安全。
3.3提高物理安全
物理安全是保障網絡和信息系統安全的基本保障,機房的安全尤為重要,要嚴格監管機房人員的出入,堅決執行出入管理制度,對機房工作人員要嚴格審查,做到專人專職、專職專責。另外,可以在機房安裝許多裝置以確保計算機和計算機設備的安全,例如用高強度電纜在計算機的機箱穿過。但是,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作。
3.4安裝補丁軟件
為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序,不要給入侵者以可乘之機。一旦系統存在安全漏洞,將會迅速傳播,若不及時修正,可能導致無法預料的結果。為了保障系統的安全運行,可以及時關注一些大公司的網站上的系統安全漏洞說明,根據其附有的解決方法,及時安裝補丁軟件。用戶可以經常訪問這些站點以獲取有用的信息。
3.5構筑防火墻
構筑系統防火墻是一種很有效的防御措施。防火墻是有經驗豐富的專業技術人員設置的,能阻止一般性病毒入侵系統。防火墻的不足之處是很難防止來自內部的攻擊,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬。
四、加強通信運用中的信息安全與防護的幾點建議
為了應付信息安全所面臨的嚴峻挑戰,我們有必要從以下幾個方面著手,加強國防信息安全建設。
4.1要加強宣傳教育,切實增強全民的國防信息安全意識
在全社會范圍內普及信息安全知識,樹立敵情觀念、紀律觀念和法制觀念,強化社會各界的信息安全意識,營造一個良好的信息安全防護環境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經常分析新形勢卜信息安全工作形勢,自覺針對存在的薄弱環節,采取各種措施,把這項工作做好;另一方面要結合工作實際,進行以安全防護知識、理論、技術以及有關法規為內容的自我學習和教育。
4.2要建立完備的信息安全法律法規
信息安全需要建立完備的法律法規保護。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關于維護互聯網安全的決定》、《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統國際聯網保密管理規定》、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》、《計算機信息系統安全專用產品分類原則》、《金融機構計算機信息系統安全保護工作暫行規定》等一系列信息安全方面的法律法規,但從整體上看,我國信息安全法規建設尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應當加快信息安全有關法律法規的研究,及早建立我國信息安全法律法規體系。
4.3要加強信息管理
要成立國家信息安全機構,研究確立國家信息安全的重大決策,制定和國家信息安全政策。在此基礎上,成立地方各部門的信息安全管理機構,建立相應的信息安全管理制度,對其所屬地區和部門內的信息安全實行統一管理。
4.4要加強信息安全技術開發,提高信息安全防護技術水平
沒有先進、有效的信息安全技術,國家信息安全就是一句空話。因此,我們必須借鑒國外先進技術,自主進行信息安全關鍵技術的研發和運用。大力發展防火墻技術,開發出高度安全性、高度透明性和高度網絡化的國產自主知識產權的防火墻。積極發展計算機網絡病毒防治技術,加強計算機網絡安全管理,為保護國家信息安全打卜一個良好的基礎。
4.5加強計算機系統網絡風險的防范加強網絡安全防范是風險防范的重要環節
首先,可以采取更新技術、更新設備的方式。并且要加強工作人員風險意識,加大網絡安全教育的投入。其次,重要數據和信息要及時備份,也可采用影像技術提高資料的完整性。第三,及時更新殺毒軟件版本,殺毒軟件可將部分病毒拒之門外,殺毒軟件更新提高了防御病毒攻擊的能力。第五,對重要信息采取加密技術,密碼設置應包含數字、字母和其他字符。加密處理可以防止內部信息在網絡上被非授權用戶攔截。第六,嚴格執行權限控制,做好信息安全管理工作。“三分技術,七分管理”,可見信息安全管理在預防風險時的重要性,只有加強監管和管理,才能使信息安全更上一個臺階。
4.6建立和完善計算機系統風險防范的管理制度
建立完善的防范風險的制度是預防風險的基礎,是進行信息安全管理和防護的標準。首先,要高度重視安全問題。隨著信息技術的發展,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者,我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術和防范風險的策略時,可以借鑒國外相關研究,尤其是一些發達國家,他們信息技術起步早,風險評估研究也很成熟,我們可以借鑒他們的管理措施,結合我們的實際,應用到風險防范中,形成風險管理制度,嚴格執行。
其次,應當設立信息安全管理的專門機構,并配備專業技術人才,選拔防范風險的技術骨干,開展對信息安全技術的研究,對系統弱點進行風險評估,及時采取補救措施。完善信息安全措施,并落實到信息安全管理中去。
篇7
【關鍵詞】計算機網絡;安全隱患;防范措施;信息加密
近年來,各類信息網絡違法犯罪案件層出不窮,尤其是電子郵件、特洛伊木馬、文件共享等方式傳播的混合型病毒愈演愈烈。由于計算機網絡的開放性和互連性特征,使得網絡容易遭到黑客和惡意軟件的攻擊,存在諸多潛在的安全隱患。
1.計算機網絡安全隱患分析
計算機信息系統由于技術本身存在著安全弱點,系統的安全性差,容易受到威脅和攻擊。計算機信息系統的安全隱患主要來源于以下幾方面:
1.1系統設計不規范
系統設計考慮不夠周密,使網絡的可靠性、擴充性和升級換代功能發揮受到影響。文件服務器是網絡的中樞,其運行穩定性、功能完善性直接影響網絡系統的質量。網卡用工作站選配不當,導致網絡不穩定。
1.2網絡軟件的漏洞
網絡軟件的漏洞和缺陷是黑客攻擊的首選目標,許多服務器都是由于未及時的打上補丁而遭到攻擊。軟件公司的設計編程人員為了自己工作方便而設置的軟件后門,一旦被黑客洞開,造成的后果很嚴重。
1.3計算機病毒
計算機病毒曾一度引起全球性的恐慌,蔓延的范圍廣,傳播的速度驚人,造成的損失巨大。計算機病毒附在其他程序上,在程序運行時進到系統中進行擴散。計算機感染上病毒后,使系統上作效率降低,有的會造成系統死機或毀壞,部分文件或全部數據丟失,甚至造成計算機部件的損壞,破壞性非常大。
1.4黑客攻擊
黑客的攻擊是計算機網絡面臨的最大威脅,信息網絡本身的不完善和缺陷,被黑客利用作為攻擊的途徑。網絡攻擊以各種方式有選擇地破壞對方信息的有效性和完整性,網絡偵察截獲、竊取、破譯以獲得對方重要的機密信息,對計算機網絡造成極大的危害。
1.5垃圾郵件
間諜軟件竊取系統或用戶信息,監視用戶行為,或廣告,修改系統設置,威脅用戶隱私和計算機安全,還會對系統性能造成影響。利用電子郵件地址的公開性,使自己的電子郵件強行進入到別人的電子郵箱,強迫他人接受垃圾郵件。
1.6網絡監管和維護欠缺
由于很多站點在防火墻配置上,無意識地擴大了訪問權限,使得這些權限被其他人員濫用,造成安全性降低。
2.計算機網絡安全防范措施
2.1設置訪問控制
訪問控制是防范和保護網絡安全的主要措施,對維護網絡系統的安全的非常重要,任務是保證網絡資源不被非法使用和訪問,是保證網絡安全最重要的核心措施。根據網絡安全的等級和網絡空間的環境不同,可靈活地設置訪問控制的種類和數量。
2.2運用防火墻技術
防火墻由軟件或和硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,目的是限制外界用戶對內部網絡訪問,并管理內部用戶訪問外界網絡。它對鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。安全方案配置以防火墻為中心,把所有安全軟件配置在防火墻上,防止非法用戶的入侵,極大地提高內部網絡的安全性,過濾不安全服務,降低風險。
2.3安裝防病毒軟件和殺毒軟件
在病毒防范中普遍使用的防病毒軟件,包括網絡防病毒軟件和單機防病毒軟件,單機防病毒軟件對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測并清除病毒,網絡防病毒軟件注重網絡防病毒,如果發現病毒入侵網絡或者從網絡向其它資源傳播,網絡防病毒軟件會立刻刪除掉。好的殺毒軟件能自動提供最佳的網絡病毒防御措施,花幾分鐘就可以安裝到組織里的每一個NT服務器上,還可下載到所有的目的機器上,由網絡管理員集中設置、管理,與操作系統和其它安全措施結合在一起,成為網絡安全管理的一部分。
2.4進行入侵檢測和信息加密
入侵檢測系統是從多種計算機系統中收集信息,再通過這此信息分析入侵特征的網絡安全系統,是防火墻之后的第二道安全閘門,它能對入侵攻擊系統的整個過程做出反應,首先檢測到入侵攻擊,利用報警與防護系統驅逐入侵攻擊,減少入侵攻擊所造成的損失,在遭到侵攻擊后,把收集的相關信息添加入策略集里,避免系統再次受到同類攻擊。數據加密主要用于對動態信息的保護,實質上是對以符號為基礎、用密鑰控制、進行數據進行移位和置換的變換,可以做到以很小的代價得到很大的安全保護。通過信息加密,不但可以防止非授權用戶的搭線竊聽和入網,而且是對付惡意軟件的有效方法。
2.5建立屬性安全控制和完善的備份及恢復機制
屬性安全控制將給定的屬性和網絡服務器的網絡設備聯系起來,在權限安全的基礎上,提供更進一步的安全保障。網絡屬性可以控制向某個文件寫數據、拷貝、刪除、執行、共享等,還可以保護重要的目錄和文件,防止目錄和文件被用戶誤刪除或執行修改等。采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列,以RAID5的方式進行系統的實時備份,可有效防止存儲設備的異常損壞。強大的數據庫觸發器和恢復重要數據的操作,可以確保最大限度地恢復重要數據。
2.6加強信息網絡的安全技術建設和安全規范化管理,強化管理人員的安全防范意識
由于一些管理人員忽略了網絡內使用的IP地址資源,造成安全隱患,要加強本網內的IP地址資源的統一管理,網絡管理員根據自己的職責權限設置自己的操作口令,對應用程序數據進行操作,以防止數據被越權訪問。
網絡信息安全是一個不斷變化、快速更新的領域。這就意味著單純運用某一種防護措施是無法保證網絡信息安全的,我們必須綜合運用各種防護策略,集眾家之所長,互相配合,從而建立起網絡信息安全的防護體系。因此,我們對網絡信息安全的防護必須非常謹慎, 最大程度地降低黑客入侵的可能,從而保護網絡信息的安全。
3.網絡信息安全防護體系
隨著攻擊手段的不斷演變,傳統的依靠防火墻、加密和身份認證等手段已經滿足不了要求,監測和響應環節在現代網絡安全體系中的地位越來越重要,正在逐步成為構建網絡安全體系中的重要部分, 不僅是單純的網絡運行過程的防護,還包括對網絡的安全評估,以及使用安全防護技術后的服務體系(如圖1 所示)。
圖1 網絡安全防護體系結構圖 [科]
【參考文獻】
[1]顧昊.加強計算機網絡安全的幾點思考[J].科學大眾(科學教育),2010,(01).
篇8
Abstract: More general network security problems were listed in this article through deeply investigating and studying campus network security. Combined with the most advanced network security technology, a multi-level security management solution which includes virus defense system, network information system of invasion, intranet security management system and Virtual private network was put forward to establish comprehensive security system, aiming at these network security risks.
關鍵詞:校園網;網絡安全;病毒;防護系統
Key words: campus network;network security;virus;protection system
中圖分類號:TP393文獻標識碼:A 文章編號:1006-4311(2011)24-0155-01
0引言
隨著互聯網技術的發展,校園網作為學校信息化建設的基礎設施,在學校中運用計算機網絡進行教學科研等各項工作更加普及和深入。但隨著其應用的深入,校園網絡的安全問題也逐漸突出,我們對學院各部門網絡安全的情況進行了一次調查。調查發現,有72%左右的部門已受到過病毒或黑客的攻擊,這直接影響著學校的教學、管理、科研活動。所以,為了增強校園網的監控能力和防護能力,我們需要構建完整的校園網安全防護體系。
1校園網的安全現狀
通過對學校的校園網進行深入的調查研究,發現存在很多安全隱患。校園網的安全隱患主要體現在以下四個方面:
1.1 病毒、木馬和惡意軟件的入侵病毒、木馬和惡意軟件通過Internet進行的傳播給教師和學生帶來極大的危害,使用戶的系統被破壞,敏感數據被篡改或丟失,用戶帳號和口令被泄露,已經成為危及校園所有用戶的一大公害。這些因素都會造成校園網不能正常運行。
1.2 黑客的攻擊Internet是一個開放的網絡,黑客會利用校園網自身存在的安全漏洞,通過使用網絡命令和專用軟件進入網絡中的計算機系統,竊取或破壞機密數據,使系統功能受損或癱瘓。
1.3 網上傳輸數據的不安全性Internet的數據傳輸基于TCP/IP通信協議,該協議缺乏使傳輸過程中的信息不被竊取的安全措施;另外,通信業務多數使用UNIX操作系統來支持,UNIX操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。
1.4 非授權的訪問隨著校園網絡規模的不斷擴大,校園存儲系統上的敏感數據越來越多,非授權的訪問往往會給學校造成難以彌補和無法估量的損失。
2校園網安全防護體系結構
2.1 校園網網絡安全管理工作流程[1]進行校園網安全管理的第一步,是根據業務需求明確網絡安全目標,制定網絡安全策略;然后根據網絡安全策略,對網絡進行安全配置;在實施了必要的安全防護措施后,應使用網絡安全審查工具定期對網絡安全性進行檢查和測試;如果發現網絡存在安全漏洞,則需要修改、完善網絡安全配置;另外,除主動進行的安全審查外,當發生的網絡安全事件證明網絡還存在安全漏洞時,則也要對網絡安全配置進行修改、完善。
2.2 建立24小時監控的校園網信息入侵檢測系統我們可以在校園網的重要部位安裝信息入侵檢測系統,實施對信息和網絡系統訪問的不正常行為進行檢查和警告。目前常用的校園網絡管理技術有八種,分別是加密技術、認證技術、防火墻訪問過濾技術、VPN技術,入侵檢測與防御技術、防病毒技術、備份與恢復技術及安全風險掃描技術。
入侵檢測系統[2]是一種用于發現網絡入侵行為的技術,提供入侵檢測功能的系統稱為入侵檢測系統(IDS)。入侵檢測系統通過檢查所收集網絡數據報文是否具有入侵特性,或網絡是否出現異常,來判斷是否網絡遭到入侵。入侵檢測系統一般以旁路方式接入在高安全等級入口處。入侵防御技術是能夠發現網絡入侵行為,并進行自防御的技術。相對入侵檢測系統,入侵防御在發現入侵后,會發出警報、丟棄數據包和重置連接。在防火墻上配置入侵檢測/防御的步驟如下:首先創建審計策略,再定義入侵檢測行為,然后在接口上應用審計策略,并檢查入侵檢測統計信息,最后動態阻擋網絡連接。入侵檢測系統是對防火墻的必要補充,可對網絡資源進行實時檢測,及時發現入侵者,預防合法用戶對資源的誤操作,與其它安全產品一起構筑立體的安全防御體系。
2.3 構建可靠高效的內網安全管理體系[3]為了使外部網絡不會干擾到校園網,我們需要利用入侵檢測技術和防火墻技術對網絡進行隔離和實時監測。首先利用防火墻技術將全部的外部網絡接口和校園網進行有效的隔離,并過濾相應的數據包,這樣做可以防止來自黑客的攻擊和外網的病毒。然后將防火墻和IDS相結合,這樣做可以更好的阻止攻擊事件,把校園網的隱患降到最低程度。
根據學校各個部門的職能劃分以及各辦公室、實驗室的不同,我們可以把校園網劃分為不同的虛擬局域網,這樣可以有效地將各部門或實驗室進行充分的隔離,可有效的控制住網絡流量,從而更好的提高校園網的安全。
我們還可以利用身份驗證技術和訪問控制技術來設置對系統進行訪問的權限。身份驗證包括用戶名及密碼的驗證,它是用戶向系統證明自己的身份的過程。訪問控制是規定上網用戶對計算機具有哪些操作權限。一般情況下,訪問控制技術和身份驗證技術是同時使用的。
為保證數據傳輸的安全性,也就是為了保護重要信息在網絡上傳輸時,不被竊聽或截獲,我們采取對網絡中傳輸的重要數據進行加密的方法。這種方法為校園網提供了安全保障。
3結語
通過對校園網安全現狀的分析,我們制定了校園網安全防護體系,這種體系的建立,可以使校園網具備了自我保護、自我監測及自我恢復的功能,這樣可在很大程度上比避免來自外部網絡的攻擊。需要指出的是,校園網安全體系結構是一個綜合運行體制,它是在不斷的發展變化的。所以,校園網安全體系結構要不斷的進行更新升級。只有這樣,校園網才可以在校園里安全、穩定的運行。
參考文獻:
[1](美)William Stallings著.網絡安全要素應用與標準.北京:人民郵電出版社,2008.
篇9
關鍵詞:校園網絡 網絡安全 管理
高校校園網作為高校這個特殊環境中傳遞信息的媒介,是學校重要的教學、科研信息基礎設施,它提供教學,科研,娛樂,教育管理,招生。隨著校園網的逐步發展,網絡應用的逐漸普及,校內部的網絡越來越多的暴露給了外部世界。因此,在校園網絡及其信息系統中如何設置自己的安全措施,使它安全、穩定、高效地運轉,發揮其應有的作用,成為各校越來越重視的問題。
針對層出不窮的校園網絡安全問題,高校內設辦公機構和部門都購置了各種網絡安全產品,如防火墻、入侵檢測系統、漏洞掃描器、系統實時監控器、VPN網關、網絡防病毒軟件等。毋容置疑,這些產品分別在不同的側面保護著網絡系統。但是,從系統整體安全考慮,這些單一的網絡安全產品都存在著不同的安全局限性。并且網絡安全不僅有著眾多的技術安全因素,更多的在網絡安全的管理、部署和操作方面,因此,將技術和管理相結合,建立一個多層次的校園網安全防御體系,對于構建安全的校園網環境有著重大的意義。
保障高校校園網絡安全應該從網絡安全技術和安全策略方面去同步加強,安全策略是先導,先進的網絡安全技術是根本。
網絡信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。信息安全的實現要依靠先進的技術、嚴格的安全管理、法律約束和安全教育。本文從此三個方面去綜合考慮、規劃建設校園網絡,構建了一個多層次的校園網安全主動防御體系模型。
一、依托網絡安全技術構建網絡安全堡壘
1.合理規劃設計校園網絡物理結構
校園網絡是教學,科研,娛樂,教務管理、圖書管管理等活動的基礎設施。特別地,在科研、教務管理、圖書館管理等方面,對校園網絡安全要求很高。對這些關鍵部門,構建相應的辦公網絡時,應該在物理上獨立實施建設。與其他一些安全級別不同的部門在物理網絡建設上應該盡量隔離,這樣的物理安全設計為保證校園網信息網絡系統的物理安全,除在網絡規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。
計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。
正常的防范措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要采取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網、局域網傳輸線路傳導輻射的抑制,由于電纜傳輸輻射信息的不可避免性,現均采用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換接口,用光纜接出屏蔽室外進行傳輸。
2.構建應用級網關、實時入侵檢測(IDS)
應用級網關作為防火墻(Firewall)中的一個主要類型,它通過偵聽網絡內部客戶的服務請求,檢查并驗證其合法性,若合法,它將作為一臺客戶機一樣向真正的服務器發出請求并取回所需信息,最后再轉發給客戶。對于內部客戶而言,應用級網關好像原始的公共服務器,對于公共服務器而言,服務器好像原始的客戶一樣,亦即應用級網關充當了雙重身份,并將內部系統與外界完全隔離開來,外面只能看到服務器,而看不到任何內部資源。
IDS作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡受到危害之前進行攔截和響應。防火墻能夠將一些預期的網絡攻擊阻擋于網絡外面,而IDS還能對一些非預期的攻擊進行識別并做出反應。將IDS與防火墻聯動,能更有效地阻止攻擊事件,把網絡隱患降至較低程度。
3.建立多層次的病毒防護體系
這里的多層次病毒防護體系是指在Internet網關(具有垃圾郵件過濾功能)上安裝基于Internet網關的反病毒軟件;在服務器上安裝基于服務器的反病毒軟件;在校園網的每個臺式機上安裝臺式機的反病毒軟件。同時,還需要做好如下工作:定時對網絡進行殺毒;對每臺計算機都開啟病毒監控;經常對服務器和客戶機的殺毒軟件進行升級。
二、加強和規范校園網絡安全管理
1.加強黑客入侵檢測與防范
校園網入侵者一般為校園網內部用戶,有著窺探他人隱私的好奇性,攻入私人計算機。有的入侵者希望通過入侵學校數據庫,以達到修改個人資料和學習成績為目的。個別的電腦高手希望通過入侵,引起他人注意,以顯示自己的能力,這樣的人不會盜取別人的電腦資料,但會故意留下“足跡”,如進行破壞或是“留言”。
為了維護高校教務系統及圖書館管理系統安全,應該特別加強黑客入侵檢測,并嚴格防范。主要可以采取以下幾方面的措施:
(1)檢測網絡嗅探程序
網絡嗅探是一種常用的收集網絡數據包的方法,其基本原理是對經過網卡的數據包進行捕獲和解碼,從鏈路層協議開始進行解碼分析,一直到應用層的協議,最后獲取數據包中需要的內容,如賬號、口令等。
當電腦系統被一些網絡嗅探程序跟蹤時,可能會出現網絡通訊丟包率非常高或是網絡帶寬出現反常,這些情況是網絡有嗅探器的可能反應。網絡管理員就應該及時加以處理。通常,可以在關鍵的系統上部署檢測嗅探器工具,例如AntiSniff工具,來自動檢測網絡嗅探程序。
(2)及時更新IIS漏洞
由于寬帶的普及,給自己的計算機裝上簡單易學的IIS,搭建一個ftp或是web站點,已經不是什么難事。但是IIS層出不窮的漏洞實在令人擔心。遠程攻擊著只要使用webdavx3這個漏洞攻擊程序和telnet命令就可以完成一次對IIS的遠程攻擊防范措施:關注微軟官方站點,及時安裝IIS的漏洞補丁。
(3)選擇性關閉IPC$共享、防止IPC$共享入侵
IPC$ (Internet Process Connection)是共享“命名管道”的資源,它是為了讓進程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接雙方可以建立安全的通道并以此通道進行加密數據的交換,從而實現對遠程計算機的訪問。它有一個特點,即在同一時間內,兩個IP之間只允許建立一個連接。2000/XP/2003在提供了IPC$功能的同時,在初次安裝系統時還打開了默認共享,即所有的邏輯共享(c$,d$,e$)和系統目錄winnt或windows(admin$)共享。所有的這些,微軟的初衷都是為了方便管理員的管理,但在有意無意中,導致了系統安全性的降低。個人用戶如果無網絡服務的可關閉IPC$共享,最好的方法是給自己的賬戶加上強口令,并不定期地更換。
2.加強校園網絡中服務器安全規范
(1)制定縝密的服務器管理制度,對服務器的操作從程序上進行規范。確保安裝正版操作系統和殺毒軟件,及時更新,打上漏洞補丁。各種密碼必須做到定期更換,經常對服務器進行漏洞掃描,確保安全。
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
(2)建立定期備份制度,服務器可以采用RAID5(磁盤陣列)技術,或者是雙機容錯技術等等,確保系統能不間斷運行。
(3)根據分配工作的不同,賦予操作人員不同級別的權限,同時建立完備的日志系統,做到出現問題能立馬有跡可循。
3.建立校園網的統一認證系統
認證是網絡信息安全的關鍵技術之一,其目的是實現身份鑒別服務、訪問控制服務、機密和不可否認服務等。校園網與 Internet沒有實施物理隔離。但是,對于運行內部管理信息系統的內網,建立其統一的身份認證系統仍然是非常必要的,以便對數字證書的生成、審批、發放、廢止、查詢等進行統一管理。
三、加強高校網絡安全教育
要確保高校網絡安全,除了依賴最新的網絡安全技術去構建網絡安全屏障外,還要加強高校網絡安全教育。主要有以下幾方面的措施:
1.對網絡管理員定期進行專業培訓
有些網絡管理員專業知識和技能不夠、責任心不強,部分網絡管理員在工作之前沒有受過系統的專業培訓。所以,不能很好地勝任本職工作。
嚴格的管理是校園網安全的重要措施。事實上,很多學校都疏于這方面的管理,對網絡安全保護不夠重視。為了確保整個網絡的安全有效運行,有必要制定出一套滿足網絡實際安全需要的、切實可行的安全管理制度。
2.在高校師生中普遍開展網絡安全教育
高校中教師作為知識的引導傳播者,在信息化教育不斷發展的高校教育中,教師網絡安全意識的提高,首先要從提高教師對網絡安全的認識做起。教師應了解相關的網絡安全法律、法規,如內容分級過濾制度等。教師應意識到無論是在學校還是家庭,都應加強網絡安全和道德教育,積極、耐心的引導學生,使他們形成正確的態度和觀念去面對網絡。同時,給學生提供豐富、健康的網絡資源,為學生營造良好的網絡學習氛圍,并教育學生在網上自覺遵守道德規范,維護自身和他人的合法權益。
四、總結
高校校園網絡信息安全是我們非常關注但又難以徹底解決的問題。校園網絡建設沒有統一的標準和規范,目前也沒專門的技術或產品能夠完全解決網絡的安全問題。我們只能根據最新的信息安全保障體系理念,采用安全策略分析、授權訪問、認證技術、密碼技術、防火墻技術、IPSec技術(IP Security)信息與網絡安全最新的技術去構建校園網絡的安全體系,另外,我們在思想上要認識到網絡安全的重要性,在校園網絡安全建設硬件方面不但要有資金投入,還要不斷加強校園網絡管理人員和校園網用戶的網絡安全知識教育培訓,樹立大家的網絡安全防范意識。這樣,就可以使網絡安全事故發生的可能性降低到最小。我們相信,隨著教育信息化的發展,校園網絡安全也越來越受到大家的關注,校園網也會越來越安全。
參考文獻:
[1]陳新建.校園網的安全現狀和改進對策[J].網絡安全技術與運用.
[2]劉建煒.基于網絡層次結構安全的校園網絡安全防護體系解決方案[J].教育探究,2010,(3).
[3]謝希仁.計算機網絡[M].大連:大連理工大學出版社,2003.
篇10
關鍵詞:智能電網 信息安全 防護體系 可信平臺
中圖分類號:F49 文獻標識碼:A 文章編號:1007-3973(2013)012-212-02
1 引言
隨著智能電網建設步伐的推進,更多的設備和用戶接入電力系統,例如,智能電表、分布式電源、數字化保護裝置、先進網絡等,這些設備的應用使電網的信息化、自動化、互動化程度比傳統電網大大提高,它們在提升電網監測與管理方面發揮了重要作用,但同時也給數據與信息的安全帶來了隱患。比如黑客通過竊取技術訪問電網公司數據中心的服務器,有可能造成客戶信息泄露或數據安全問題,嚴重時有可能造成國家的重大損失。因此,如何使眾多的用戶能在一個安全的環境下使用電網的服務,成了當前電網信息安全建設的重要內容之一。
2 電力企業信息安全建設的關鍵問題
云計算技術在電力企業的業務管理中已經逐步得到應用,另外,隨著技術的成熟和商業成本的降低,基于可信計算平臺的網絡應用獲得了迅猛發展。如果在電網業務管理體系中將可信計算與云計算結合起來,將會使電網的管理水平如虎添翼。圖1為構建可信平臺模塊間的安全通道示意圖。
在可信計算環境下,每臺主機嵌入一個可信平臺模塊。由于可信平臺模塊內置密鑰,在模塊間能夠構成一個天然的安全通信信道。因此,可以將廣播的內容放在可信平臺模塊中,通過安全通信信道來進行廣播,這樣可以極大地節約通信開銷。
智能電網的體系架構從設備功能上可以分為基礎硬件層、感知測量層、信息通信層和調度運維層四個層次。那么,智能電網的信息安全就必須包括物理安全、網絡安全、數據安全及備份恢復等方面。因此,其涉及到的關鍵問題可從CA體系建設、桌面安全部署、等級防護方案等方面入手。
3 智能電網信息防護體系框架
3.1 數字證書體系
數字證書體系CA是建設一套符合國家政策要求的電子認證系統,并作為電力企業信息化建設的重要基礎設施,實現各實體身份在網絡上的真實映射,滿足各應用系統中關于身份認證、信息保密性、完整性和抗抵賴性等安全性要求。該系統主要包括根CA系統、CA簽發系統、RA注冊管理系統、KM系統、證書狀態查詢系統和LDAP目錄服務系統,總體結構如圖2所示。
3.2 桌面安全管理體系
該體系可為電力企業提供集中的終端(桌面)綜合安全管理的桌面管理產品,打造一個安全、可信、規范、健康的內網環境,如圖3所示。
該體系能滿足用戶:確保入網終端符合要求;全面監測終端健康狀況;保證終端信息安全可控;動態監測內網安全態勢;快速定位解決終端故障;規范員工網絡行為;統一內網用戶身份管理等。
3.3 等級防護體系
此外,在設計信息安全體系時,還需要針對電力企業的業務應用系統,按照不同的安全保護等級,設計信息系統安全等級保護方案,如圖4所示。
根據國家關于《信息系統等級保護基本要求》中關于信息安全管理的規定,該體系應該包括物理安全、網絡安全、主機安全、應用安全、數據安全等方面。
4 結論與展望
本文將電力云技術與可信計算結合起來,設計了面向智能電網的信息安全防護體系框架,從CA體系建設、桌面安全部署、等級防護方案等方面闡述了該框架的內涵。但信息安全是一個沒有盡頭的工作,需要及時與最新的方法相結合,不斷完善信息安全方案,使電網做到真正的智能、堅強。
(基金項目:中央高校基本科研業務費專項資金項目(11MG50);河北省高等學校科學研究項目(Z2013007))
參考文獻:
[1] 陳樹勇,宋書芳,李蘭欣,等.智能電網技術綜述[J].電網技術,2009,33(8):1-7.
[2] 國家電網.關于加快推進堅強智能電網建設的意見[N].國家電網報,2010-01-12(2).
[3] 曹軍威,萬宇鑫,涂國煜,等.智能電網信息系統體系結構研究[J].計算機學報,2013,36(1):143-167.
[4] 陳康,鄭緯民.云計算:系統實例與研究現狀[J].軟件學報,2009(5):1337-1348.
