信息网络安全评估的方法范文

时间:2023-09-13 17:17:56

导语:如何才能写好一篇信息网络安全评估的方法,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

信息网络安全评估的方法

篇1

改革开放以来,我国社会经济得到了长足的发展,人民物质文化生活水平不断提高,用电量亦直线增涨,电力行业获得了前所未有的发展机遇。随着电力行业的不断发展壮大和信息网络技术日新月异的发展,电力行业和电力企业也面临着一系列的挑战,电力信息网络风险管理和防御显得日益重要,信息网络风险量化评估成为重中之重。由于我国电力信息化技术起步较晚,发展也比较滞后,电力信息网络风险管理与风险防御是一个新的课题,电力信息网络风险量化评估在最近几年才被重视,所以存在不少的问题急待完善。

1电力信息网络风险量化评估的必要性

随着信息技术的不断发展,电力信息网络存在的风险越来越大,电力企业不得不提高信息网络风险防控意识,重视电力信息网络的风险评估工作。进行电力系统信息网络风险量化评估意义体现在许多方面,可以提高电力企业管理层和全体员工的信息网络安全意识,促进电力企业不断完善电力信息网络技术的研发与提升,防范广大电力用户个人信息泄露,为电力企业今后的良好发展保驾护航。近年来,电力企业迎来了黄金发展时期,电力网络覆盖面不断扩大,电力企业管理理念也不断提升,电力系统也随之步入了数字化时代,信息网络安全防范成为当务之急。目前电力系统信息网络安全防范一般为安装防病毒软件、部署防火墙、进行入侵检测等基础性的安全防御,缺乏完整有效的信息安全保障体系。风险量化评估技术能够准确预测出电力信息网络可能面临的各种威胁,及时发现系统安全问题,进行风险分析和评估,尽最大可能地协助防御电力系统安全威胁。

2电力系统信息网络安全风险评估中存

在的问题我国电力信息网络安全风险评估是近几年才开始的,发展相对滞后,目前针对电力信息网络安全风险评估的相关研究特别少。2008年电力行业信息标准化技术委员会才讨论通过了《电力行业信息化标准体系》,因此电力信息网络安全风险评估中存在不少的问题和难题有待解决。

2.1电力信息网络系统的得杂性

电力行业,电力企业,各电网单位因为工作性质不同,对电力信息网络安全风险的认识各不相同,加上相关标准体系的不健全,信息识别缺乏参考,电力信息网络安全风险识别存在较大的困难。此外电力信息网络安全风险评估对象难以确定,也给评估工作带来了很大的困难。2.2电力信息网络安全风险量化评估方法缺乏科学性我国部分电力企业的信息网络安全风险评估方法比较落后简单,其主要方式是组织专家、管理人员、用户代表根据一些相关的信息数据开会研讨,再在研讨的基础上进行人为打分,形成书面的文字说明和统计表格来评定电力信息网络系统可能面临的各种风险,这种评估方法十分模糊,缺乏科学的分析,给风险防范决策带来了极大风险,实在不可取。

2.3传统的电力信息网络安全风险评估方法过于主观

目前用于电力信息网络安全风险分析计算的传统方法很多,如层次分析、模糊理论等方法。可是因为电力网络安全信息的复杂性、不确定性和人为干扰等原因,传统分析评估方法比较主观,影响评估结果。在评估的实际工作中存在很多干扰因素,如何排除干扰因素亦是一大难点。电力信息网络安全风险量化评估要面对海量的信息数据,如何采用科学方法进行数据筛选,简约数据简化评估流程是当前的又一重大课题。

3电力信息网络所面临的风险分析

电力信息网络系统面临的风险五花八门,影响电力信息网络系统的因素错综复杂,需要根据实际情况建立一个立体的安全防御体系。要搞好电力信息网络系统安全防护工作首先要分析电力信息网络系统面临的风险类别,然后才能各个突破,有效防范。电力信息网络系统面临的安全风险主要有两面大类别:安全技术风险和安全管理风险。

3.1电力信息网络安全技术风险

3.1.1物理性安全风险是指信息网络外界环境因素和物理因素,导致设备及线路故障使电力信息网络处于瘫痪状态,电力信息系统不能正常动作。如地震海啸、水患火灾,雷劈电击等自然灾害;人为的破坏和人为信息泄露;电磁及静电干扰等,都能够使电力信息网络系统不能正常工作。3.1.2网络安全风险是指电力信息系统内网与外网之间的防火墙不能有效隔离,网络安全设置的结构出现问题,关键设备处理业务的硬件空间不够用,通信线缆和信息处理硬件等级太低,电力信息网络速度跟不上等等。3.1.3主机系统本身存在的安全风险是指系统本身安全防御不够完善,存在系统漏洞,电力企业内部人员和外部人员都可以利用一定的信息技术盗取用户所有的权限,窃走或破坏电力信息网络相关数据。电力信息网络安全风险有两种:一是因操作不当,安装了一些不良插件,使电力信息网络系统门户大开,被他人轻而易举地进行网络入侵和攻击;二是因为主机硬件出故障使数据丢失无法恢复,以及数据库本身存在不可修复的漏洞导致数据的丢失。

3.2电力信息网络安全管理中存在的风险

电力信息网络是一个庞大复杂的网络,必须要重视安全管理。电力信息网络安全管理风险来源于电力企业的内部,可见其风险威胁性之大。电力信息网络安全管理中存在风险的原因主要是企业内部管理混乱,权责划分不清晰,操作人员业务技能不过关,工作人员责任心缺乏,最主要还是管理层对电力信息网络安全管理中存在的风险意识薄弱,风险管理不到位所致。

4电力信息网络风险评估的量化分析

4.1电力信息网络风险评估标准

目前我国一般运用的电力信息网络风险评估标准是:GB/T20984-2007《信息安全技术:信息安全风险评估规范》,该标准定义了信息安全风险评估的相关专业术语,规范了信息安全风险评估流程,对信息网络系统各个使用寿命周期的风险评估实施细节做出了详细的说明和规定。

4.2电力信息网络安全风险计算模型

学界认为电力信息网络的安全风险与风险事件发生概率与风险事件发生后造成的可能损失存在较高的相关性。所以电力信息系统总体风险值的计算公式如下:R(x)=f(p,c)其中R(x)为系统风险总值,p代表概率,c为风险事件产生的后果。由此可知,利用科学的计算模式来量化风险事件发生的概率,和风险事件发生后可能产生的后果,即可演算出电力信息网络安全的风险总值。

4.3电力信息网络安全风险量化评估的方法

4.3.1模糊综合评判法模糊综合评判法采用模糊数学进行电力信息网络安全风险量化评估的一种方法,利用模糊数学的隶属度理论,把对风险的定性评估转化成定量评估,一般运用于复杂庞大的电力信息网络安全防御系统的综全性评估。利用模糊综合评判法时,要确定好因数集、评判集、权重系数,解出综合评估矩阵值。模糊综合评判法是一种线性分析数学方法,多用于化解风险量化评估中的不确定因素。4.3.2层次分析法电力信息网络风险量化评估层次分析法起源于美国,是将定性与定量相结合的一种风险量化评估分析方法。层次分析法是把信息网络风险分成不同的层次等级,从最底层开始进行分析、比较和计算各评估要素所占的权重,层层向上计算求解,直到计算出最终矩阵值,从而判断出信息网络风险终值。4.3.3变精度粗糙集法电力信息网络风险量化评估变精度粗糙集法是一种处理模糊和不精确性问题的数学方法,其核心理念是利用问题的描述集合,用可辨关系与不可辨关系确定该问题的近似域,在数据中寻找出问题的内在规律,从而获得风险量化评估所需要的相关数据。在实际工作中,电力信息网络风险量化评估分析会受到诸多因素的影响和干扰,变精度粗糙集法可以把这些干扰因素模糊化,具有强大的定性分析功能。电力信息网络风险量化评估是运用数学工具把评估对象进行量化处理的一种过程。在现实工作中,无论采用哪种信息网络风险评估的量化分析方法,其目的都是为了更好地进行风险防控,为电力企业的发展保驾护航。

5总结

电力信息网络安全对保证人民财产安全和电力企业的日常营运都具有非常重要的意义,电力企业领导层必须要加以重视,加大科研投入,定向培养相关的专业人才,强化电力信息网络安全风险评估工作,为电力企业的良好发展打下坚实的基础。

参考文献

[1]庞霞,谢清宇.浅议电力信息安全运行维护与管理[J].科技与企业,2012(07):28.

[2]王申华,蒋健.电力信息安全运行维护及管理探讨[J].信息与电脑(理论版),2014(11):45.

篇2

关键词:电力信息;网络安全态势;评估;预测方法

前言

近年来,随着电力工业迅速发展,信息技术为电力产业改革提供了极大的便利,但也带来了负面影响,严重情况下,威胁到电力系统安全运行,在很大程度上增加了电力系统运行不确定性。与此同时,智能终端接入方式多元化、大量数据信息之间交互等,都需要建立在电力信息网络安全基础之上。因此加强对本文的研究具有非常重要的现实意义,不仅能够提高系统安全性、稳定性,且能够促进电力系统综合效益有效发挥。

1网络安全态势评估概念

网络安全态势评估建立在网络安全态势评估模型基础之上,在评估过程中,评估算法按照具体的模型对网络安全态势进行评估。其中评估结果准确性与模型存在非常密切的联系。一般来说,对于网络安全态势的评估,需要收集大量数据信息,然后对数据信息进行预处理,借助模型及算法对网络的整体态势进行计算,为决策提供科学依据,可见,网络安全态势评估是一项非常重要的工作。现实中,电力信息系统会受到各种各样的威胁,针对众多影响因素来看,大致可以划分为两类,一是技术安全、二是管理安全。对于前者来说,物理安全主要涉及系统的设备安全,一旦设备无法正常运转,势必会造成线路故障,影响信息系统稳定运行。且网络、主机系统等也会出现不同程度的故障,不利于信息实时共享。对于信息网络受到的威胁来看,主要包括系统探测、非法访问等。面对不同方面提出的挑战,如何及时了解和掌握信息网络安全态势至关重要。

2电力信息网络安全态势评估及预测方法分析

电力是人们日常工作和生活中不可缺少的一部分,电力信息化快速发展,并渗透至发电、输电及配电等多个环节,保证电力信息系统安全非常关键。但电力信息系统在运行过程中,极易出现病毒、木马等问题,不利于电力系统稳定运行,因此我们有必要提前做好评估和预测,以了解和掌握信息系统运行状况,确定系统的安全级别,以达到防患于未然的目标[1]。

2.1权重计算方法

针对当前层次分析法过于偏向于主观,导致结果缺乏客观性。因此本文将引入三角模糊数代表专家对指标重要性的评判,然后基于群组决策的模糊层次分析法来确定各层因素的权重。采取这种方式,不仅能够避免评估误差,且能够提高评估结果准确性。在实践中,我们确定安全评估体系,按照隶属关系划分得到相应的层次化安全结构。然后进行两两对比分析,构建各层次因素的三角模糊判断矩阵。通过一致性检验后,运用加权平均法得出各个层次指标因素的综合矩阵。针对模糊权重向量,本文可以采取可能度方法对其进行相应的处理,并按照如下公式计算出各指标权值.对于电力信息网络安全的评估,主要分为硬件、网络、信息及软件四个模块,每个模块中包含多个细节,如硬件安全中,涉及计算机安全、设备安全及线路安全等。通过一致性检验之后,采用加权平均法综合专家信息得出模糊综合判断矩阵,将数值代入到上述公式当中计算出各个指标的相对权重值[2]。如表1是硬件安全相关指标权重情况。根据权重判断各个细节的安全性能更为准确,能够为电力信息安全管理提供支持。

2.2评估模型设计

目前,电力信息网络系统中已经设置了防火墙、入侵检测等设备,构建了一道防护墙,但这种方式非动态性,无法满足电力信息安全防护需求。因此我们将引入评估模型,实现对建立信息的动态监督和控制。为了减少冗余,我们在评估前,需要对相关数据进行预处理,为后续评估做好充分的准备。电力系统是一个庞大的体系,其涉及多个层次,针对不同的层次,我们构建的计算模型也应有所调整。如对于主机级安全态势指数计算公式如下通过这个公式能够计算得出电力信息受威胁程度。通过对安全态势评估概念分析得知,模型构建是否合理直接影响评估结果准确性。因此合理构建模型非常关键。本文采取层次性模型,以此来强调评估针对性。构建模型后需要将定性指标定量化处理,确定评估参数[3]。具体来说,第一,针对主机和子网权重来说,可以采取专家评估法,引入上文提到的三角模糊数计算方法,得出相应的数值。第二,对于时间重要性权重来说,应将天作为单位时间,并将一天划分为三个时间段,对各个时间的重要程度进行确定。第三,将对电力信息网络危害程度划分为中、高、低三个级别,量化威胁程度,如检测到木马的威胁程度为3级等,使得评估结果能够更具指导作用。

2.3安全态势预测算法设计

现有研究成果中算法有很多,如支持向量机,建立在统计理论基础之上的机器学习方法,专门针对有限样本情况,解决非线性数据,并结合预测核心思想,将非现象变换输入到高维特征空间范围内,得出全局最优解。再如粒子群优化算法,作为一种很强的全局寻优能力群智能优化算法,能够对每个粒子进行计算,朝着最优答案靠近[4]。此外,还有集成学习等方法。任何一种方法都各具优劣,将各个方法结合到一起,能够充分发挥其优势。为了最大限度上降低计算结果的误差,本文将提出一种综合性方法,将上述方法有机整合到一起。为了提高实践应用效果,我们将对综合算法进行评估。采用DARPA评估数据作为原始数据源,收集了150个数据,按照如下归一化公式进行处理。根据具体的计算值,通过滑动窗口方法对态势数据进行重构处理,形成集成学习样本。通过这种方式能够确保预测更加准确、客观[5]。经过比较,本文提出的算法能够在很大程度上提高预测精确度,更好地应用于网络安全态势预测,可以广泛推广和应用。在未来,电力系统将呈现规模化发展趋势,信息系统也会随之拓展。技术人员还要加大对评估及算法的研究力度,使得算法过程更加简便,并提高算法结果客观、准确性,为电力信息管理奠定坚实的基础。

3结论

根据上文所述,随着我国电力事业不断发展,信息网络系统安全问题受到了越来越多的关注和重视。针对当前存在的诸多风险,我们在实践工作中,要重视对评估和算法的分析和选择,合理的选择方法,能够在很大程度上提高评估结果准确性。本文通过对当前网络信息受到的各类风险,从预测算法等角度提出了具体的方法,能够帮助监控人员及时发现庞大的信息系统中存在的不足和隐患,并安排人员对其进行针对性调整,使得电力信息系统始终处于良好的状态当中,确保系统内部各类信息之间的交互和共享,不断提高电力信息系统运行有效性,从而促进电力产业持续健康发展。

参考文献:

[1]陈虎.网络信息安全风险态势预测分析方法探讨[J].网络安全技术与应用,2014.

[2]李菁.一种新型网络安全态势评估及应用方法的探讨[J].新经济,2014.

[3]石波,谢小权.基于D-S证据理论的网络安全态势预测方法研究[J].计算机工程与设计,2013.

[4]范渊,刘志乐,王吉文.一种基于模糊粗糙集的网络态势评估方法研究[J].信息网络安全,2015.

篇3

关键词安全隐患;网络安全;防火墙;防病毒;入侵检测;安全评估

Abstract: by analyzing the information network security management are potential safety problems, and put forward the network security management and various technical measures, security network and information security. Network security is a dynamic, overall system engineering, will from the information network security management, the problems of network information security company in reference to the application, and by establishing a sound management system and use of various technology, comprehensive improve computer network information safety overall solutions are discussed.

Key words security hidden danger; Network security; Firewall; The virus; Intrusion detection; Safety assessment

中图分类号:TU714文献标识码:A 文章编号:

随着网络安全技术的不断发展,网络恶意攻击者的技术也在不断的改进和创新。网络信息安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、灾难恢复等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。以前简单的网络边界安全解决方案,已经不能从整体上解决企业网络安全隐患,因此在公司单位制定一套合理的整体网络安全规划,显得尤为重要。

一、信息网络安全管理存在的安全隐患

(1)外部非法接入。包括客户、访客、合作商、合作伙伴等在不经过部门信息中心允许情况下与公司网络的连接,而这些电脑在很多时候是游离于企业安全体系的有效管理之外的。

(2)局域网病毒、恶意软件的泛滥。公司内部员工对电脑的了解甚少,没有良好的防范意识,造成病毒、恶意软件在局域网内广泛传播以至于影响到正常的日常办公。

(3)资产管理失控。网络中终端用户随意增减调换,每个终端硬件配备(硬盘、内存等)肆意组装拆卸,操作系统随意更换,各类应用软件胡乱安装卸载,各种外设无节制使用。

(4)网络资源滥用。IP地址滥用,流量滥用,甚至工作时间聊天、游戏、疯狂下载等行为影响工作效率,影响网络的正常使用。

(5)内部非法外联。内部网络用户通过调制解调器、双网卡、无线网卡等设备进行在线违规拨号上网等,或违反规定将专网专用计算机带出网络进入其它网络。

(6)重要信息泄密。因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要信息泄漏或毁灭,造成不可弥补的重大企业损失。

(7)补丁管理混乱。终端用户不了解系统补丁的状态,不能及时打补丁,也没有办法统一进行补丁的下载、分析、测试和分发,从而为蠕虫与黑客入侵保留了通道。

(8)“灰色网络”的存在。即单位信息网络管理人员对自己所拥有的网络不是太了解,不能识别可能被利用的已知弱点,选择合适的网络安全设备并及时保证设备的策略符合性;工作中疏忽大意等造成对网络的影响。

(9)没有建立完善的管理体系。配置再完善的防火墙、功能再强大的入侵检测系统、结构再复杂的系统密码等也挡不住内部人员从网管背后的一瞥。在公司各单位存在信息网络安全管理制度不明确合理、宣传不力、管理不善等现象,造成执行者执行手段匮乏或执行艰难。

二、网络安全管理应对措施探讨

对严峻的网络安全形势,如何保证网络安全并有效防止入侵事件的发生,成为摆在每个网络管理人员面前的难题。

(1)根据需求部署安全产品。首先要部署防火墙。它是执行安全策略的主要手段。其次,可以考虑IDS(入侵检测系统),以便对发生在防火墙后面的违规行为进行检测,做出反应。其他的比如防病毒软件、VPN产品、IPS等,对企业网络的安全防护也都起着重要的作用。

(2)制定完整的安全策略。安全策略是制定所有安全决策的基础,一个完整的安全策略会帮助企业网络使用者校正一些日常但有威胁性的纰漏,并使之在保护网络安全时做出一定的决定。强制执行的安全策略提供贯彻组织机构的连续性;当对攻击行为做出响应时,安全策略是首先考虑的资源;安全策略可以变动,也可以根据需要随时更新;当安全策略变化时,要让所有员工知道其重要性并遵守。

(3)制定完善的日志策略。日志是网络管理员调查网络入侵行为的必要工具,可以报告网络异常,跟踪入侵者的踪迹,因此制定一个完善的日志策略对企业网络安全很重要。

(4)进行定期的安全评估。相应的安全策略制定完成并实施后,就应当对企业网络进行定期的安全评估。可以定期的请第三方网络安全公司进行网络安全咨询,找出漏洞、分析漏洞及时降低风险。

(5)建立有效的应急响应机制。要拟定一份紧急事件应变措施,以便在事情发生、安全体系失效时发挥作用。应急措施应说明:紧急事件发生时报告给谁?谁负责回应?谁做决策?应急措施的制定要本着“企业损失最小化”的原则,体现出在业务中断时间尽量短、数据丢失尽量少、网络恢复尽量快等方面。

三、采取多种技术措施,保障网络与信息安全

(1)防火墙技术。安装防火墙,实现局域网与互联网的逻辑隔离。通过包过滤技术实现允许或阻止访问与被访问的对象,对通过内容过滤保护网络用户合法有效地使用各种网络对象;通过NAT技术实现动态地址转换,使受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址,这不仅可以对外屏蔽内部网络结构和IP地址,也可以保护内部网络的安全。

(2)入侵检测系统检测的主要方法。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。静态配置分析:通过检查系统的当前系统配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏;异常性检测方法:是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法;基于行为的检测方法:通过检测用户行为中那些与已知入侵行为模式类似的行为、那些利用系统中缺陷或间接违背系统安全规则的行为,来判断系统中的入侵活动。

(3)防病毒方面。应用防病毒技术,建立全面的网络防病毒体系;在核心机房和部分二级单位选择部署诸如Symantec等防病毒服务器,按照分级方式,从总部、地区、下属单位逐级安装病毒服务器,实行服务器到终端机强制管理方式,实现逐级升级病毒定义文件,制定定期病毒库升级与扫描策略,建立系统运行维护和公司防病毒技术支持相关人员,为公司员工使用的计算机终端加强了防病毒与查杀病毒的能力。

(4)桌面安全管理系统。桌面安全管理系统可以从技术层面帮助管理人员处理好繁杂的客户端问题。其目标是要建立全面可靠的桌面安全防护体系,管理和保护桌面软件系统,为各应用系统创造稳定、可靠和安全的终端使用环境,有力支撑企业的业务和信息化发展,确保信息安全。

(5)网络安全评估。建议每年定期请专业的安全咨询公司对企业内部的网络安全、关键服务器群、物理安全等方面做整体的安全体系的评估与安全加固,并提出一系列应对策略和应急方案,及时发现存在的各类威胁并进行有效整改,提高网络的安全级别。网络安全评估是建立安全防护体系的前提工作,是信息安全工作的基础和重点。

(6)操作系统安全策略管理。由企业相关技术部门制定出一套操作系统安全管理策略配置说明书,详细讲解对操作系统安全策略的配置和管理,包括帐户密码策略、帐户锁定策略、审核策略、目录共享策略、屏保策略、补丁分发策略等,对客户端操作系统的安全性进行必要的设置,使其能够关闭不必要的服务和端口、避免弱口令、删除默认共享、及时更新系统补丁等,消除操作系统级的安全风险。

(7)信息的安全存储与安全传输。信息的存储安全是各业务系统的重点,信息的安全传输是机密信息交换的保证。对于数据存储量较大的应用系统,可合理地选择存储架构,如采用存储区域网(storage area network,SAN),实现最大限度的数据共享和可管理性;采用RAID技术,合理的冗余硬件来保证存储介质内数据的可靠性;采用合理的备份策略,如定期完全备份、实时增量备份、异地容灾备份、多介质备份等来保证信息的可用性、可靠性、可管理性、可恢复性;制定和实施严密的数据使用权限;针对机密信息的网上传输、数据交换采取加密后传输。

(8)安全管理。网络信息安全是一项复杂的系统工程,安全技术和安全设备的应用可起到一定的作用。建立和完善各种安全使用、管理制度,明确安全职责;建立如突发事件的应对预案;加强对网络使用人员、网络管理人员的安全教育,树立安全观念,提高安全防范意识,减少潜在的安全隐患;建设一支高水平的网络管理、信息安全管理队伍,定期进行安全风险评估和策略优化。

(9)应用网络信息安全管理技术正确面对网络信息安全漏洞。目前,市场上各类网络管理设备(网络交换机、防火墙、入侵检测/防护系统、防病毒系统等)从技术角度来讲都已经成熟,我们只要选择知名品牌的信得过产品,对其进行合理的利用,对保障企业的网络信息安全能够起到积极作用。

五、结束语

建立完善的安全制度和安全响应方案,尽快建立起有效的信息安全防护体系,管理员加强自身学习和责任感,并不断加强和培养员工的安全意识,让公司每一位员工在意识和行动上都成为安全的“卫士”。只有这样,我们才能共同保障好企业的信息网络安全。通过网络软件与硬件产品的结合,正确合理地使用各种安全策略和实施手段,相信会建立一套全面、安全、易于使用管理的配套设施,将网络信息安全隐患减至最小。只有这样,才能确保公司的网络信息畅通、信息安全,才能实现公司信息化建设更好的服务公司的生产经营。

参考文献:

篇4

确保信息网络安全正在成为新世纪国家安全的重要基石和基本内涵。这就向我们提出了一个迫切需要解决的重大战略性问题,即:如何切实保障信息网络安全,以确保我国信息化建设快速、平稳、健康发展,避免信息网络安全问题导致社会危机的发生。

同时,它也要求我们必须结合国情,从“发展是硬道理”出发看待和把握信息安全问题,对我国信息化发展进程中面临的信息安全威胁演变趋向加以冷静分析、正确判断,制定科学、务实、有效的安全保障战略。

提升应急能力

面对全球一体化的互联网环境,国家公共互联网应急体系的建立和应急处理能力的提高,并不能仅仅依靠政府的力量,而是需要世界各国相关组织在技术、资源、经验方面的共同合作,需要政府与企业、全社会每个人的互动。

在互联网这样一个复杂的巨系统中,如何提高应急响应的处理水平确是摆在我们面前的巨大难题。目前的应急管理无法适应日益复杂的安全系统的要求。为了解决这些问题,我们在方法学上提出了“综合集成”的思路,即自上而下、自下而上的结合(如图1所示)。

要落实综合集成的方法论就要综合治理,不仅靠一个部门或一个企业制定信息安全应急预案,而且需要建立一个全球相互协作体系。在统一的标准、一致的应急处理方法下,达到体系的高度灵活性。

同时,我国也必须要建立自己的体系,并与全球的相关组织紧密合作,实现从定性到定量的协调机制。在不断变化的技术环境中,今天最好的安全措施可能在明天会过时。安全措施必须紧跟这些变化,必须作为系统开发生命周期中的一重要组成部分加以考虑,并在每一阶段明确其定位。

信息安全常被看作是一个技术问题,少有组织认为它是组织必需优先考虑的对象。 信息安全治理是我国信息安全保障体系建设的战略需求。我国信息安全治理的方针和战略是:以单项治理为主向以综合治理为主转变;从注重事后处理向以事前预警为重点转变;从与电子政务和电子商务实际应用系统的松散结合向紧密相结合转变;为经济社会协调发展提供支撑;以人为本、自主创新、协同集成、重点跨越。

避免误区

在评估和把握我国信息安全形势的走向时,要避免出现两种倾向:一是在信息安全领域中尚不存在特别重大威胁的情况下,对信息安全问题的演变趋势估计不足、重视不够,给国家信息化的持续发展留下安全隐患;二是对信息安全领域诸多属于一般性威胁问题的严重性估计过高,把技术与管理不健全而造成的安全问题视为战略问题,造成人力、财力的浪费,给国家管理和社会进步增添负担。

思路和原则

抓住我国综合实力进一步增强和加入WTO的机遇,统筹我国信息安全保障体系建设,在自力更生基础上按需引进、充分利用和借鉴国外先进技术与管理经验,在15~20年时间内,坚持与时俱进、求真务实的精神,通过统一规划、分步实施,政府引导、全民参与的方式,通过信息安全治理,建立起完整的国家信息安全保障体系。应该按照如下原则来进行安全保障体系的建设:

坚持风险管理原则完全避免风险是不现实的,要对关键领域的信息安全风险进行识别和评估,采取必要的保护措施和应急措施来降低风险,使之控制在可承受的范围内。

明确统筹兼顾原则在实施策略方面,要明确国家、企业和个人在信息安全方面的责任和义务,充分发挥各方面的积极性;要统筹城乡信息安全建设,协调区域化信息安全建设与全国信息安全建设。

重视经济实用原则切忌空谈和夸大,量力而行,突出重点。以我国信息安全领域最急需开展的工作作为突破点,扎实地做好信息安全工作。管理上要将关键信息网络安全的整改作为信息安全建设的切入点,技术上要采用综合集成思想,逐步完善关键基础设施的安全保障,切实提高信息安全防护能力。

遵循循序渐进原则信息安全战略要与国家信息化发展和社会转型相适应,采取统一规划、分步实施,以及短期和中长期目标相结合的方式进行。

治理三阶段

国家信息安全战略的总体目标是保障关系到国计民生的信息基础设施的适度安全,实现国家对信息化环境与内容的治理(如图2所示)。

第一阶段,打基础、保重点,初步建立我国信息安全防护体系。

战略重点是保障“3+7”关键基础网络安全、信息内容安全和加强网络监管。战略目标是确保国家信息化建设健康、稳步地发展。

保护关键基础网络安全指由电信网、广播电视网和互联网构成的三个基础网和由税务、电力、银行、证券、海关、铁道、民航构成的七个关键网。

保护信息内容安全指防止有害内容的产生、传播和可获得性。要建立信息网络监管体系,实现对信息内容安全监控,对有害信息内容进行过滤,减少其精神污染。加强政府对信息网络的监管力度及对网络安全运行的监控和管理。

通过立法,将监控管理从行政管理的范畴纳入到法制范畴。对电子保密信息进行合法的安全监管,增强信息犯罪取证调查能力。

第二阶段,重体系、促发展,形成较强的国家信息安全保障能力。

战略重点是确保政务网络安全高效、商务网络安全可靠、网络文化健康向上。战略目标是促进网络经济蓬勃发展,形成良好网络秩序。

政务网络安全保障重点是保证关键指令和信息的有效上传下达,政务资源的有效整合和利用。为此,要加快安全保障体系与安全支撑平台建设,这是政府在信息安全上的法律职责和义务。

第三阶段,实现对信息网络的有效治理,初步具备信息反制能力。

战略重点是有效维护信息空间领域国家利益,大幅提高全民在信息化进程中生活质量和福利。

战略目标是达到信息网络的科学治理、维护经济与社会的可持续发展。

在政策法规方面,建立完善的信息安全法律法规体系。在技术方面,依据信息安全技术战略,在关键领域取得突破性进展。在产业方面,通过政策倾斜和市场竞争,孵化出信息安全“航空母舰”型企业,信息安全主要核心技术基本实现自主化。

五大安全治理规范(供参考)

一、经济合作和发展组织,《信息系统安全指南》(1992)

《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国,以及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助信息系统安全度量方法、操作流程和实践的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作,促进人们对信息系统的信心,促进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。

这个框架包括法律、行动准则、技术评估、管理和用户实践,及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆,通过此标杆测量进展。

二、国际会计师联合会,《信息安全管理》(1998)

信息安全目标是“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性);数据和信息保护不受未经授权的修改(完整性);信息系统在需要时可用和有用(可用性)。 机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外,业务依赖性(依靠第三方通信设施传送信息,外包业务等等)也可能潜在地导致管理控制的失效和监督不力。

三、国际标准化组织,《ISO 17799国际标准》(最新版是2005)

ISO 17799(根据BS 7799第一部分制定)作为确定控制范围的单一参考点,在大多数情况下,这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,像其他重要商业资产一样,这种资产对组织有价值,因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性,确保信息只被相应的授权用户访问;完整性,保护信息和处理信息程序的准确性和完整性;可用性,确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁,确保业务连续性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。

四、信息系统审计和控制协会,《信息和相关技术的控制目标》(CoBIT)

CoBIT起源于IT需要传递组织为达到业务目标所需的信息这个前提,至今已有三个版本。除了鼓励以业务流程为中心,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和安全的需要,它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进一步把IT分成4个领域(计划和组织,获取和实施,交付和支持,监控),共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的最佳惯例,以形成一个可控和逻辑结构内的活动。

五、美国注册会计师协会(加拿大特许会计师协会),《SysTrust TM系统可靠性原理和准则V20》(2001)

篇5

关键词:信息安全;网络安全;体系模型

中图分类号:TP309.2 文献标识码:A

1 引言

以往,许多安全体系都是根据相关风险进行设计的,缺乏对整个安全体系的动态、全面考虑。所以,为最大程度满足安全需要,我们需要设计出全方位多角度的信息与网络安全体系,并在体系中完整的包含安全建设所要需要实现的各种功能、服务以及安全机制和相关技术和操作等[2],并对多种因素进行合理的安排和部署。

2 PDR模型

PDR模型包含了三方面的元素,即P――防护(Protection)和D――检测(Detection)以及R――反应( Reaction)。PDR模型认为所谓的“安全”指的是“保护的时间”要大于“检测的时间”。因此,在PDR模型中,十分强调时间的概念,并对保护时间和检测时间以及响应时间和暴露时间进行了定义。我们用Pt来表示从攻击开始到攻击成功的时间,即攻击所需要的具体时间,或者也可以是故障或非人为因素造成的破坏从发生到造成影响所生产的时间;用Dt来表示检测系统安全的时间;用Rt来表示从检测到安全问题到采取相应的措施进行反抗的时间,即对安全事件的反应时间[3]。经分析可知,我们无法控制安全问题出现的可能性,做不到无懈可击,所以只有通过尽可能的延长各种安全问题攻击所需要的具体时间来提高整个体系的安全程度。也就是说,我们要尽可能的增大Pt的值,从而为安全体系检测各种攻击事件,并及时进行相应的反应来争取尽可能的时间。另外,我们也可以通过缩短检测系统安全的时间以及从检测到安全问题 到采取相应的措施进行反抗的时间来提高体系的安全性,即尽量减少Dt和Rt的具体值[4]。所以说,如果体系对安全事件的反应时间Pt大于检测系统安全的时间Dt和安全事件的反应时间Rt之和的时候,整个系统是安全的;如果体系对安全事件的反应时间Pt小于检测系统安全的时间Dt和安全事件的反应时间Rt之和,则表示整个系统是不安全的。

3 P2DR 模型

P2DR模型把信息安全保障分成了一下四个环节:P――策略(Policy)、P――保护(Protection)、D――检测(Detection)和R――响应(Reaction)。P2DR模型是可适应网络安全理论的主要模型,在整体的安全策略的控制和指导下,在综合运用各种防护工具的同时,也积极的利用多种检测工具来了解和评估系统所处的安全状态。并按照具体的状态作出最适当的反应,从而保证整个系统处于最安全的状态。P2DR模型中的防护、检测以及响应形成了一个十分完整的、处于动态变化的安全循环模式,在具体安全策略的指导下,有效的保证信息系统的安全性。在P2DR体系模型中,用户们可以充分考虑实际情况,选择更加切合实际情况的安全方案。网络与信息安全涉及到许多复杂的问题,在P2DR体系模型中,用户需要认识到,首先,要注意人的作用。任何安全问题都需要人来操作,认识主观能动的个体,对整个体系的安全性起着至关重要的作用。其次,要注意工具问题。工具是人们用来实现安全的基本手段,是保证安全策略实现的有力保证。而工具问题中则包含了安全体系设计到的各种技术[5,6]。不过,通常情况下,对用户来说,并不需要过分关注安全技术问题,因为技术问题涉及面太广,也过于复杂。而且,会有十分专业的公司来负责将各种最新最实用的安全技术转化为各种可以供广大用户直接使用的工具。

4 动态自适应安全模型

动态自适应安全模型也同样是把安全看作一个动态变化的过程,并认为安全策略的制定要积极的适应网络的动态变化。动态自适应安全模型可以对网络进行动态的监测,并及时的发现系统中存在的漏洞,并对来自各方的安全威胁进行键控。从而为广大用户提供了一个不断循环并及时反馈相关信息的安全模型,利用这个模型,用户可以及时地制定各种安全策略并做出相应的反应[7]。动态自适应安全模型涉及到以下一些问题:

(1)分析与配置。在构建动态自适应安全模型的时候,需要整体把握系统的安全问题,综合考虑多方面因素,例如标志和认证以及密码技术还有完整性控制和操作系统安全,以及数据库、防火墙系统安全和抗抵赖协议等。在充分考虑到多方面因素之后,再给出相应的具体配置。

(2)动态监测。动态自适应安全模型需要对各种网络攻击模式和其它 多种可疑活动,进行实施的动态监测。例如对各种黑客行为的分析,和对病毒特征以及系统弱点的研究等。动态自适应安全模型还要及时的提取各种数据特征,并将其归入监测知识库和方法库,以便于对各种网络攻击和病毒模式进行实时的监测,并及时的发现系统中存在的各种危险漏洞。

(3)报警。动态自适应安全模型中,一旦发现系统中出现了各类攻击模式,或者有漏洞和病毒以及各种违规和泄密活动的存在,便会立即给出相应的报警响应,例如,对相关信息的日志进行及时的记录,通过控制台消息等发出报警信号,或者是阻断非法连接,也可以十多种报警响应的组合应用。

(4)审计和评估。审计和评估是按照具体的报警记录和其它信息向管理员提供各种具有较高参考价值的统计分析报告信息。审计和评估涉及多方面的内容,例如网络使用情况、各种可疑迹象、发生的各种问题等。审计和评估的过程也十分严谨,需要应用统计方法学和审计评估机制来综合评估网络安全现状,制定出最终的审计报告和趋向报告等。

5 APPDRR模型

网络与信息安全是处于不断的变化中的,表现为一个不断改进的过程,全网动态安全体系隐含了网络安全的相对性和动态螺旋上升的过程,因为不可能存在百分之百静态的网络安全。通过风险评估、安全策略、系统防护、动态检测、实时响应和灾难恢复六环节的循环流动,网络安全逐渐地得以完善和提高,从而实现保护网络资源的网络安全目标。可信计算平台指的是为计算提供高可用的、安全的和可控的计算实现平台。而高可信计算平台则是通过在当前的计算平台加入硬件和软件的扩展来支持计算平台的安全性[8]。计算平台的安全性确保计算机系统中的每台主机成为可信的个体,从而既保护了主机,又从源头上减少了网络威胁。统一威胁管理期望把APPDRR模型有机的综合在完整体系而不是各自孤立存在。针对安全防护技术一体化、集成化的趋势,研究统一威胁管理(UTM)与网络安全管理的模型、算法和标准。

6 总结

安全处于永不停息的动态变化中的,不断的随着技术的变化而变化。构建信息与网络安全体系模型的过程中涉及到了多方面的因素,例如管理和技术以及标准和相关法规等。所以,我们不可能将所有安全问题都体现在安全体系中,而是要将安全体系置于动态发展变化中,并不断予以积极的调整,才能保证其更加科学完善。

参考文献

[1] 唐洪玉,崔冬华.一种新的信息安全体系模型的提出[J].信息安全与通信保密,2008,12(06):102-105.

[2] 周学广,等.信息安全学(第2版)[M].北京:机械工业出版社,2008.

[3] 冯毅.基于P2DR模型的网银安全体系方案设计[J].中国科技信息,2011,03(14):79-80.

[4] 张思宇.浅析信息化时代企业网络安全重要性[J].中小企业管理与科技,2013,05(18):91-92.

[5] 沈苏彬,等.自主信息网络安全的概念与模型[J].南京邮电大学学报(自然科学版),2012(05).

[6] 董建锋,等.云计算环境下信息安全分级防护研究[J].信息网络安全,2011,11(06):55-56.

[7] 徐林磊,郑明春.一种公共信息和网络安全的社会模型[J].信息网络安全,2010,01(02):13-14.

[8] 林王冠,等.网络安全模型在水利科研环境中的应用与研究[J].水利信息化,2013,97(01):42-43.

篇6

【关键词】网络安全;计算机;网络通信

1.引言

计算机技术正在日新月异地迅猛发展,功能强大的计算机和Intranet/Internet在世界范围内普及。信息化和网络化是当今世界经济与社会发展的大趋势,信息资源的深入开发利用以及各行各业的信息化、网络化己经迅速展开;全社会广泛应用信息技术,计算机网络广泛应用为人们所关注。

面对当前严重危害计算机网络的种种威胁,必须采取有力的措施来保证计算机网络的安全。但是现有的计算机网络大多数在建立之初都忽略了安全问题,即使考虑了安全,也仅把安全机制建立在物理安全机制上。本文分析了计算机网络安全体系的含义以及其安全机制,并对于当前网络安全应涉及的一些内容做了介绍。

2.计算机网络安全机制分析

安全性机制是操作系统、软硬件功能部件、管理程序以及它们的任意组合,为一个信息系统的任意部件检测和防止被动与主动威胁的方法。各种安全机制中,加密有着最广泛的应用,并且可以提供最大程度的安全性。加密机制的主要应用是防止对机密性、完整性和鉴别的破坏。

数字签名是一种用于鉴别的重要技术。数字签名可以用于鉴别服务,也可以用于完整和无拒绝服务。当数字签名用于无拒绝服务时,它是和公证一起使用的。公证是通过可信任的第三方来验证(鉴别)消息的。

对于网络终端用户来说,最通常的安全性经历是通过使用口令来实现访问控制。口令是一个字符串,用来对身份进行鉴别。在获得对数据的访问权之前,通常要求用户提交一个口令,以满足安全性要求。还有各种用于身份鉴别的产品,它们采用了比上述方法更好的技术。例如:一些比较声音、手写签名、指纹的系统等。

3.网络安全标准体系结构

(1)用户安全层

用户安全层不属于OSI环境,由于OSI标准不考虑对非法用户的直接防范,但是非法用户进入网络系统后,对网络的安全威胁是严重的,而在此时,用户安全层可以对非法用户起到校验的作用。因此用户安全层是一项最基本的安全服务,也是一项重要的安全措施。

(2)应用安全层

包括OSI环境的应用层、表示层和会话层,应用安全层对域名服务、文件传输、电子邮件、远程终端等特定的网络应用已经制定了一系列的标准,为上层用户提供数据或信息语法的表示转换。负责系统内部的数据表示与抽象数据表示之间的转换工作,还可以进行数据的加/解密和压缩/解压缩等转换功能。

(3)端-端安全层

包括OSI环境的传输层,端-端安全层为上层用户提供不依赖于具体网络的高效、经济、透明的端-端数据传输服务。还可以通过上层用户提出的传输连接请求,或为其建立一条独立的网络连接;或为其建立多条网络连接来分流大量的数据,减少传输时间;或将多条传输连接复用对上层用户都是透明的。

(4)子网安全层

包括OSI环境的网络层,子网安全层的作用是将数据分成一定长度的分组,将分组穿过通信子网从信源传送到信宿。子网安全层可采用众多的安全技术:加密、访问控制、数字签名、路由选择控制、业务量填充和数据完整性,也正是它最能体现网络的特点。网间互连、网络控制、网络管理等功能主要在该层实现,因此子网安全层上实施安全技术的主要层次之一。

4.安全体系的实现

4.1 防火墙技术

“防火墙”(Firewall)安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。防火墙是在内部网与外部网之间实施安全防范的系统,可被认为是一种访问控制机制,它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。

4.2 数据加密与用户授权访问控制技术

与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。前面已经提到,对动态数据的攻击分为主动攻击和被动攻击,对于主动攻击,虽无法避免,但却可以有效的检测;而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法。这种变换是受称为密钥的符号串控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为对称密钥算法。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信息,也可以用该密钥解密信息。

4.3 识别和鉴别

网络中的用户和系统必须能够可靠地识别自身以确保关键数据和资源的完整性,并且有控制手段使用户或系统只能访问他们有权使用的资源。系统所具有的这种能力必须是不容易被破坏。最简单和容易实现的识别和鉴别的方法就是使用口令字。

其他通用的识别和鉴别控制机制包括限制网络中最大用户数和会话数,限制每个用户的访问日期和时间以及提供预先正式排定的时间表激活与停用账户,限制允许用户登录失败的重试次数等。

5.安全技术的研究现状和动向

我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。 国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu& La padula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。

安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。

6.结语

网络安全的重要性已经有目共睹,特别是随着全球信息、基础设施和各个国家的信息基础逐渐形成,信息电子化己经成为现代社会的一个重要特征。信息本身就是时间、就是财富、就是生产力。因此,各国开始利用电子空间的无国界性和信息战来实现增强其军事、文化、经济等战略目的。随着计算机技术的高速发展,网络攻击技术不断更新,单一的安全防护策略则是不安全的,网络安全将是一个系统的概念。未来的计算机网络安全防护策略方向应该是安全措施的高度综合集成。

参考文献:

[1]赵立志,林伟.浅析网络安全技术[J].民营科技,2012, (3):193.

篇7

【 关键词 】 网络安全;安全威胁;保护策略

Information Network Security and Protection Strategy is Discussed

Chai Zai-xing

(Shanxi Datang International Linfen Thermal Power Generation Co., Ltd. ShanxiLinfen 041000)

【 Abstract 】 In order to effectively prevent the violation of the network security problem, we use a variety of complex software technology, such as intrusion detection, firewall technology, access control mechanism and so on, in spite of this, the computer information security and network security problems are frequent..This paper mainly introduces the present situation of the information network of the main security threat to network security protection strategy were discussed.

【 Keywords 】 network security; security threats; conservation strategies

1 引言

信息既是一种资源,也是一种财富。随着计算机网络的发展,尤其是Interner的普遍应用以来保护重要信息的安全性已经成为我们重点关注的问题了。网络在给我们提供极大方便的同时,也带来了诸多的网络安全威胁问题,这些问题一直在困扰着我们,诸如网络数据窃密、病毒攻击、黑客侵袭等。网络攻击活动日益猖獗,他们攻击网络服务器,窃取网络机密,进行非法入侵,对社会安全造成了严重的危害。因此,我们应针对网络结构体系来设计出一套适合的、先进的网络安全保护策略,并配合适的网络防护软件,为信息网络营造一个安全空间。

2 信息网络安全概念

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

3 信息网络安全的威胁

网络安全威胁问题是网络必然要面对的问题,网络安全潜在的威胁形形:有人为和非人为的、恶意和非恶意的、内部攻击和外部攻击等。对网络安全的威胁主要表现在非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。安全威胁的主要途径:系统存在的漏洞、系统安全体系的缺陷、使用人员安全意识的薄弱、管理制度的薄弱;技术方面主要侧重于防范外部非法用户的攻击;管理方面则侧重于内部人为因素的管理。

网络安全威胁可以大致分成三种:一是人为无意中的失误而导致出现安全危机;二是人为方面的恶意攻击,也就是黑客袭击:三是网络软件的漏洞。这三个方面的因素可以基本涵盖网络安全所受到的威胁行为并将之归纳几个方面。

3.1 黑客入侵

由于网络边界上的系统安全漏洞或管理方面的缺陷(如弱口令),容易导致黑客的成功入侵。黑客可以通过入侵计算机或网络,使用被入侵的计算机或网络的信息资源,来窃取、破坏或修改数据,从而威胁信息网络安全。这是计算机网络所面临的最大威胁。些类攻击又可以分为两种:一种是网络攻击,即以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,它是在不影响网络正常工作的情况下,进行截取、窃取、破译以获得对方重要的机密信息。这两种攻击均可对计算机网络造成极大的危害。

3.2 病毒与陷门

计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,它具有寄生性、传染性、破坏性、潜伏性和可触发性等特点。计算机病毒主要是通过复制、传送数据包以及运行程序等操作进行传播,在日常的生活中,闪存盘、移动硬盘、硬盘、光盘和网络等都是传播计算机病毒的主要途经。陷门是在某个系统或某个文件中预先设置“机关”,诱你掉入“陷门”之中,一旦你提供特定的输入时,允许你违反安全策略,将自己机器上的秘密自动传送到对方的计算机上。计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。

3.3 操作系统与软件漏洞

操作系统和各类软件都是认为编写和调试的,其自身的设计和结构始终会出现问题,不可能无缺陷或者无漏洞,而这些漏洞会被计算机病毒和恶意程序所利用,这就使计算机处于非常危险的境地,一旦连接入互联网,危险就悄然而至。

3.4 拒绝服务攻击

拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。信息网络上提供的FTP、Web和DNS等服务都有可能遭受拒绝服务攻击。拒绝服务的主要攻击方法是通过消耗用户的资源,来增加服务器的负荷,当系统资源消耗超出服务器的负荷能力时,此时网络的正常服务失效。

3.5 后门与木马程序

后门是指软件在出厂时为了以后修改方便而设置的一个非授权的访问口令。后门的存在也使得计算机系统的潜在威胁大大增加。木马程序也属于一种特殊的后门程序,它受控于黑客,黑客可以对其进行远程控制,一但木马程序感染了电脑,黑客就可以利用木马程序来控制电脑,并从电脑中窃取黑客想要的信息。

3.6 权限安全配置

一些软件需要人为进行调试配置,而如果一些软件的配置不正确,那么其存在可以说形同虚设。有很多站点在防火墙的配置上将访问权限设置的过大,其中可能存在的隐患会被一些恶意分子所滥用。而黑客正是其中的一员,他们通常是程序设计人员,因此他们对于程序的编程和操作都十分了解,一旦有一丝安全漏洞出现,黑客便能够侵入其中,并对电脑造成严重的危害,可以说黑客的危害比电脑病毒的危害要大得多。

4 安全保护策略

4.1 网络物理隔离

由于不同的网络结构应该采用不同的安全对策,因此我们为了提高整个网络的安全性考虑,可以根据保密程度、保护功能和安全水平等差异,把整个网络进行分段隔离。这样可以实现更为细化的安全控制体系,将攻击和入侵造成的威胁分别限制在较小的范围内。

所谓物理隔离是通过网络与计算机设备的空间(主要包括网线、路由器、交换机、主机和终端等)分离来实现的网络隔离。物理隔离强调的是设备在物理形态上的分离,从而来实现数据的分离。完整意义上的物理隔离应该是指两个网络完全断开,网络之间不存在数据交换。然而实际上,由于网络的开放性和资源共享性等特点需要内外网之间进行数据交换。因此,我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离,在不同的时间运行,那么就可以得到两个完全物理隔离的系统。

4.2 防火墙

防火墙是一种保障计算机网络安全的重要手段,它的主要目标就是通过控制网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全。

常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址,以及包所使用的端口确定是否允许该类数据包通过。

状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。

4.3 入侵检测系统

入侵检测系统(IDS)是一种基于主动策略的网络安全系统。人侵主要是指对系统资源的非授权使用,它可能造成系统数据的丢失和破坏,或造成系统拒绝对合法用户进行服务等。入侵检测即检测入侵行为,并采取相应的防护措施。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析。从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。

入侵检测系统的功能:(1)监视并分析用户和系统的活动;(2)异常行为模式的统计分析;(3)系统构造变化和弱点的审计;(4)操作系统的审计跟踪管理,识别违反安全策略的用户活动;(5)评估重要系统和数据文件的完整性;(6)检查系统配置和漏洞;(7)识别反映已知进攻的活动模式并向有关人士报警。

入侵检测系统IDS是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。

4.4 静态被动保护策略

静态防护策略种类较多,主要有加密、数字签名、鉴别、访问控制技术、反病毒软件等。

(1)加密。加密的主要目的是防止信息的非授权泄漏。加密的方法多种多样,在信息网络中一般是利用信息变换规则把可读的信息变成不可读的信息。加密可以有效地对抗截收、非法访问等威胁。现代密码算法不仅可以实现加密,还可以实现数字签名、身份认证和报文完整性鉴别等功能。有效地对抗截收、非法访问、破坏信息的完整性、冒充、抵赖、重演等。

(2)数字签名。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议,使得收发数据双方能够满足两个条件:接受方能够鉴别发送方宣称的身份;发送方事后不能否认他发送过数据这一事实。数据签名一般采用不对称加密技术,发送方对整个明文进行加密交换.得到—个值,将其作为签名。接收者使用发送者的公开密钥对签名进行解密计算,如其结果为对方身份,则签名有效,证明对方身份是真实的。

(3)鉴别。目的是验明用户或信息的正身。对实体声称的身份进行唯一的识别,以便验证其访问请求、保证信息来自或到达指定的源和目的。鉴别技术可以验证消息的完整性,对抗冒充、非法访问、重演等威胁。

(4)访问接入控制。要求对接入网络的权限进行控制,并设定相关的权限。计算机网络是个非常庞大、复杂的系统,在接入控制系统的设计中,要用到加密技术。

(5)杀毒软件。杀毒软件是我们最常用的软件,全世界几乎每台电脑都装有杀毒软件,利用杀毒软件来对网络进行安全保护是最为普通常见的技术方案,它的安装简单、功能便捷使得其普遍被人们所使用,但杀毒软件顾名思义是用来杀毒的,功能方面比较局限,一旦有商务方面的需要其功能就不能满足商务需求了,但随着网络的发展,杀毒技术也不断地提升,主流的杀毒软件对于黑客程序和木马的防护有着很好的保护作用。

4.5 网络系统安全

网络服务器的操作系统是一个比较重要的部分,网络操作系统最重视的性能是稳定性和安全性。而网络操作系统管理着计算机软硬件资源,其充当着计算机与用户间的桥梁作用。因此,我们一般可以采用以下设置来对网络系统安全进行保障。(1)将不必要的服务关闭。(2)为之制定一个严格的账户系统。(3)最小权限 。最小特权原则意味着系统的任一对象(无论是用户、管理员还是程序、系统等),应该仅具有它需要履行某些特定任务的那些特权。最小特权原则是尽量限制系统对侵入者的暴露并减少因受特定攻击所造成的破坏。将账户权限科学分配,不能滥放权利。

(4)对网络系统进行严谨科学的安全配置。(5)定期更换操作系统密码。

4.6 管理体制上的安全保护策略

(1) 管理制度的修订及制定长期的信息安全培训计划,培养公司员工的信息安全意识。

(2) 加强网络监管人员的信息安全意识,消除那些影响计算机网络通信安全的主观因素。计算机系统网络管理人员缺乏安全观念和必备技术,必须进行加强。

(3) 信息备份及恢复系统,为了防止核心服务器崩溃导致网络应用瘫痪,应根据网络情况确定完全和增量备份的时间点,定期给网络信息进行备份。便于一旦出现网络故障时能及时恢复系统及数据。

(4) 开发计算机信息与网络安全的监督管理系统。

(5) 有关部门监管的力度落实相关责任制,对计算机网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则,逐级建立安全保护责任制,加强制度建设,逐步实现管理的科学化、规范化。

5 结束语

网络安全保护是一项重要、复杂的工作。通过单一的保护手段进行防护,效果往往不能令人满意,采用多种安全保护方式相结合的保护策略可以取得更加有效的保护效果。随着技术的不断进步,未来将会有更多、更好、更成熟、更有效的网络安全策略出现。

参考文献

[1] 王群.计算机网络安全技术.清华大学出版社,2008.7.

[2] 简明.计算机网络信息安全及其防护策略的研究[J].科技资讯,2006.

[3] 吕良,杨波,陈贞翔.网络安全防护系统的研究与设计[J].山东大学学报(理学版),2009.

[4] 葛秀慧.计算机网络安全管理(第2版).清华大学出版社.2008.5

篇8

关键词:供电企业;计算机信息系统;网络安全防范

前言:

信息技术的发展为人类社会带来了更多的便利,因此国内的诸多行业为提高其工作的效率均广泛采用计算机网络技术以实现其信息化建设,与此同时,相应的各种网络安全问题也日渐突出。供电企业为更好地向社会提供优质可靠的电力服务也在其供电管理系统中应用了计算机网络,如果计算机信息系统的运行安全出现了问题则不仅会对供电企业的正常工作产生影响,同时也会影响到所在地居民的正常生活,因此必须要加强供电企业计算机信息系统的网络安全性,并做好相关防范工作。

一、供电企业计算机信息系统网络方面的安全防范现状

实际上我国的供电企业在计算机网络方面的建设已有多年的历程,并且在规模以及技术上也有所发展,但随着现今信息网络的发展,其计算机网络的发展也面临着更多的挑战。供电企业的管理系统关系着其财务、销售、管理等多项涉及到其日常经营的业务,为此则必须要对计算机在其管理系统中的应用进行分析,以了解当前的计算机网络安全现状。

1. 计算机网络在管理方面的安全防范现状

随着供电企业在信息化方面的建设工作不断开展,其在管理方面尤其是安全性方面的管理工作取得了一定的进展,在原先的管理模式上做出了与计算机网络向适应的针对性调整,使得其与信息化建设的要求也逐步向适应。但是由于我国计算机网络在技术方面的飞速发展,不仅使供电企业对其依赖程度加深,同样也使得其在管理方面的所存在的一些隐患问题暴露出来。安全防范的管理不足具体体现在机房管理不够严谨,包括计算机的设备以及系统都存在不同程度的落后情况,在进行数据的存储时无法提供可靠的记录和存储;在电源方面也是有所疏忽,一旦机房的主电源出现了问题则会迅速导致其信息数据的传输出现错误,进而使整个供电企业管理系统出现问题,后备电源的缺失以及供应不及时都会影响到整个计算机信息系统网络方面的安全性,如下图所示。

2. 计算机网络在系统方面的安全防范现状

在供电企业计算机信息系统中,其网络的核心通常是汇聚交换机,并与其下属的各个单位设备进行连接,从而形成一个系统化的大型局域网络。然而由于在同各下属单位之间进行连接时,对于网络的传输安全未能予以相应的保护,再加上交换设备的常年使用使得其稳定性与安全性有所下降,进而导致其网络在安全防范方面存在着较大的漏洞。在这种情况下一旦出现问题将会使其下属的各个单位的管理系统也受到影响,造成区域性的供电系统紊乱。供电企业内部与外部通过网络传递信息,结构较为简单,在风险抵御上偏弱;同时由于操作业务的多样性,使得其对于网络网络传输的接口以及性能方面有着较高的要求。当遭受来自广域网上的攻击,若未能抵御,容易出现网络异常,严重者可能造成网络瘫痪,或是数据丢失、信息外泄等情况,这对于供电系统的运行而言是相当危险的,因此必须要针对其网络系统问题进行安全协议的优化以提高其系统的安全性[1]。同时,需要确保局域网中设备的稳定运行,维护正常的数据通信。

二、供电企业计算机信息系统网络方面的优化分析

供电企业在对其计算机信息系统网络进行管理时一般会将其归为三部分,分别是外网管理、内网管理以及日常数据管理等,并且对这三个部分进行强化保护,以提升其网络安全的等级。一般来讲会将其内网应用于日常的数据处理中去,主要是客户终端的各项业务服务;而外网的话则会将其用于客户业务办理,当然也可以用于客户的访问与咨询。在其计算机信息系统网络安全中,可以通过建立相互独立的主机以及服务器从而将外网与内网进行隔离以保证其安全性,防止计算机网络因局部故障而导致整体的运行受阻,有效地避免了供电网络瘫痪的情况。内外网隔离的方法也可以实现计算机网络在纵向与横向之间的隔离,并且可以使供电系统的信息实现区域化管理,从而有效提高其对于外界的防御能力。同时也要注意对网络结构进行相应的优化,供电企业在对管理系统进行计算机网络配置时可以根据情况考虑使用新型骨干交换机,并且在每一台交换机上配备两套电源系统,一个是常规电源,另一个则是备用电源,从而保证设备能够在出现电力故障时依然能够正常运转,并且出于机器散热的考虑,需要配备相应的风扇以提高其散热能力。在交换机上进行管理模块的设置,使其既能够完成冗余资料的备份,同时也能够完成冗余荷载[2]。

三、供电企业计算机信息系统网络方面的安全应急处理

为了能够使供电企业管理系统安全性得到进一步的加强,则必须要充分考虑各种突发意外,并依此制定周全的应急处理机制,从而确保供电管理系统的计算机网络能够具备较好的抗灾能力。首先是需要针对目前比较常见的黑客以及计算机病毒的攻击,对资料与数据进行安全加密处理,并做好其备份工作,以降低其危害。在制定应急预案时应当对可能出现的各种情况进行详细的分析,对于各个预案进行模拟演练,在演练完成后要做出正确的评估,以了解其对于灾害的抵御能力,并对其中的不足予以指正,从而确保应急方案能够及时有效的抵御外界入侵。同时也要对系统中计算机网络的相关责任人员以及技术人员进行专化业化的技术培训,从而提高其计算机网络安全的技术水平,使其能够为计算机网络系统的运行安全予以技术支持。在权限方面需要对系统中的计算机网络进行严格的权限等级设置,对于不符合其权限等级的操作要严格禁止,并进行相应的记录,以便后期的检查[3]。

四、总结

供电企业计算机信息系统网络安全是一项长期而复杂的工程,需要根据供电企业现有的网络运行环境和信息系统环境,加强安全和防护技术,从而使其能够为供电企业的生产经营管理发挥更加优质、便捷的服务,促进电网企业的发展。

参考文献:

[1]李伟・电力系统计算机信息网络安全技术与防范探讨[J]・通讯世界,2014,(9):69.

篇9

关键字:网络技术安全技术实际应用

NetworkInformationSecurityTechnologyAndItsApplications

Abstract:Atpresent,China''''sinformationtechnology,networktechnologyhasenteredastageofrapiddevelopment,networkandinformationsecuritytechnologyinallsectorsbecomeincreasinglyimportantroleintheshow,informationsecurityindustryhasbecomenationalsecurity,politicalstability,economicdevelopment,suchassurvivalandsecurityThekeyroleofsupportingindustries.Informationonnetworksecurityhasbeenalargenumberofbookspublishedathomeandabroad,buttheyaremostlylocatedintheproficiencytestorthelevelofshort-termtraining,andfornon-computerscienceundergraduatesininstitutionsofhigherlearning,teachingcollegestudentsisalsolessprepared.Therapiddevelopmentininformationtechnologytoday,andonlyknowstheinformationtechnologyandnetworkinformationsecuritytechnologytounderstandthestudents,willitbepossibletousenetworktechnologyinvariousareasofsecurityandcomprehensiveexplorationandexchange,willitbepossibletoworkinthefutureintheexpansionofitsown,acceptabletotheemployingunits.Thisbookispreciselyinresponsetothisdemand,basedonnetworkinformationsecuritytechnologyandthepracticalapplicationofthebasicprinciples,supplementedbyawealthofoperatingpractice,andstrivetoimprovetheirunderstanding,practicalabilityandinterestinactivelearningandprepared.

Keyword:Networkingtechnologysecuritytechnologypracticalapplication

1目前网络信息技术安全现状分析

随着信息产业的高速发展,众多企业、单位都利用互联网建立了自己的信息系统,以充分利用各类信息资源。由于计算机网络具有链接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其他不轨攻击。随着电力行业系统内部信息网络的逐步成型,如何保护电力数据网络的安全,是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。随着信息化进程的深入,信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,许多企业、单位花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业、单位信息安全的标准、制度建设滞后。2003年5月至2004年5月,在7072家被调查单位中,有4057家单位发生过信息网络安全事件,占被调查总数的58%。其中,发生过1次的占总数的22%,2次的占13%,3次以上的占23%,此外,有7%的调查对象不清楚是否发生过网络安全事件。从发生安全事件的类型分析,遭受计算机病毒、蠕虫和木马程序破坏的情况最为突出,占安全事件总数的79%,其次是垃圾邮件,占36%,拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出,共占到总数的43%.调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。登录密码过于简单或未修改密码导致发生安全事件的占19%.对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低。

2网络信息技术的漏洞扫描述

漏洞的存在是个客观事实,每个系统都有漏洞,不论你在系统安全性上投入多少财力,攻击者仍然可以发现一些可利用的特征和配置缺陷。发现一个已知的漏洞,远比发现一个未知漏洞要容易的多,这就意味着:多数攻击者所利用的都是常见的漏洞。这样的话,采用适当的工具,就能在黑客利用这些常见漏洞之前,查出网络的薄弱之处但漏洞只能以一定的方式被利用,每个漏洞都要求攻击处于网络空间一个特定的位置,因此按攻击的位置划分,可能的攻击方式分为以下四类:物理接触、主机模式、客户机模式、中间人方式。漏洞扫描技术。对计算机系统或者其他网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞属于风险管理的一部分(风险管理一般包括漏洞扫描、风险评估、风险管理文档的自动生成等)。漏洞扫描的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的。漏洞扫描是保证系统和网络安全必不可少的手段。

3数据加密与身份认证技术

数据加密技术是信息安全的基础。一般有以下方式:对称密码(共享密码):加密和解密密钥相同。非对称密码(公开密码):加密和解密用一对密钥,即公钥和私钥。公用钥匙是大家被告知的,而私人钥匙则只有每个人自己知道。这种方法密钥管理简单,但运算速度慢,适用于关键数据的加密。数字签名:即发信者用自己的私人钥匙将信息加密,这就相当于在这条消息上署上了名。身份验证机构的数字签名可以确保证书信息的真实性。用户可以用数字证书进行加密、签名,保障信息的安全性、可靠性。PKI(公开密钥基础设施)体系,它通过自动管理密钥和证书,可以为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性以及有效的身份认证。

4信息系统的安全防范措施

防火墙与安全隔离技术。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。入侵检测技术,IETF将一个入侵检测系统分为四个组件:事件产生器(EventGenerators);事件分析器(EventAnalyzers);响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。身份认证,身份认证是指计算机及网络系统确认操作者身份的过程。我们熟悉的如防火墙、入侵检测、VPN、安全网关、安全目录等,与身份认证系统有什么区别和联系呢?我们从这些安全产品实现的功能来分析就明白了:防火墙保证了未经授权的用户无法访问相应的端口或使用相应的协议;入侵检测系统能够发现未经授权用户攻击系统的企图;VPN在公共网络上建立一个经过加密的虚拟的专用通道供经过授权的用户使用;安全网关保证了用户无法进入未经授权的网段,安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。这些安全产品实际上都是针对用户数字身份的权限管理,他们解决了哪个数字身份对应能干什么的问题。而身份认证解决了用户的物理身份和数字身份相对应的问题,给他们提供了权限管理的依据。

结束语

随着计算机技术和通信技术的发展,信息系统将日益成为企业的重要信息交换手段。因此,认清信息系统的脆弱性和潜在威胁,采取必要的安全策略,对于保障信息系统的安全性将十分重要。任何一个产品不可能解决全部层面的问题,一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统,既有技术的因素,也包含人的因素。网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用。同时,信息系统技术目前正处于蓬勃发展的阶段,新技术层出不穷,其中也不可避免的存在一些漏洞,因此,进行信息系统安全防范要不断追踪新技术的应用情况,及时升级、完善自身的防御措施。、从设备到服务的比较完整的、体系性的安全系列产品的有机结合,特别是要在建立一支高素质的网络管理队伍的同时,对电力调度数据网实施全网监管,并不断健全运行安全联防制度,将网络及系统安全作为经常性的工作来抓。

参考文献

[1]贾晶,陈元,王丽娜编著,信息系统的安全与保密.(第1版)[M].清华大学出社,1999(1).

[2]张小磊,计算机病毒诊断与防治[M].中国环境科学出版社,2003.

[3]东软集团有限公司,NetEye防火墙使用指南3.0.

篇10

关键词:计算机网络 安全隐患 防范措施

中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2012)08(b)-0024-01

1 计算机网络面临的安全威胁及隐患

(1)网络硬件存在安全隐患。一是核心技术受制于人。当前我国所使用的计算机芯片、骨干路由器和微机主板等主要是从国外进口的,且对引进技术和设备缺少必要的技术改造,一旦不法分子在硬件设备中预先安置后门程序,后果不堪设想。二是操作系统存在隐患。目前,我们使用的主要操作系统都是微软的Windows系列操作系统,这个系统设计之初考虑的是易用性而忽视了系统的安全,非授权用户或黑客可通过漏洞对网络进行攻击,而且此系统本身比较脆弱,易受温湿度、磁场、污染等外部环境的影响而出现故障。三是易遭非法终端接入。现有硬件设备很可能被非法分子在现有终端上并接一个终端,或非法终端在合法终端从网上撤下时乘机接入并操纵计算机通信接口,或通过某种技术手段冒充主机使敏感信息传到非法终端。四是易受非法入侵。非法分子通过技术渗透或通信线路入侵网络,非法盗用、破坏或获取敏感信息或数据及系统资源。利用目标计算机的漏洞进入系统或通过口令猜测进入系统,采用IP地址欺骗等手段来入侵。

(2)技术缺陷带来入侵威胁。一是网络协议的缺陷。包括源地址认证、网络控制机制及路由协议等使用TCP协议的缺陷,造成入侵者的入侵,进行访问、修改、拒绝访问、否认等攻击。二是软件出现缺陷。由于程序员在编程时考虑不周而造成的问题,如输入确认、访问确认、设计、特殊条件和竞争条件等错误引起的软件缺陷。三是病毒防护薄弱。计算机病毒可多种方式入侵计算机网络,且不断繁殖和扩散,使计算机系统出现错误或处理能力下降,甚至是丢失数据或文件。四是安全测试设备落后。目前的安全保密测试设备落后于系统发展,对部分系统隐患无法侦测,无法通过有效的定性定量分析来加强系统防范,使网络系统难以应对新出现的安全隐患。

(3)人为操作导致失泄密发生。一是安全防护人员少,专业人才不够。如网络管理员配置不当,安全观念不强,造成人为泄密,或由于责任心不强网络应用升级不及时造成安全漏洞,随意使用普通网络站(点)下载的软件。二是用户安全意识薄弱。部分用户将自己的账号随意转借他人或与别人共享,从而导致信息泄漏。三是现有安保人员业务不够精,安全管理不到位,特别是对不安全事件的处理不及时,方法不妥当。这些人为因素是无论多么精妙的安全策略和网络安全体系均无法防范和解决的。

(4)管理机制存在安全漏洞。一是安全措施不到位。信息网络越来越具有综合性和动态性特点,这同时也是信息网络不安全的原因所在。然而,部分操作人员对此缺少认识,未进入安全就绪状态就急于操作,结果导致敏感数据暴露,使系统遭受风险。二是缺乏综合性的解决方案。面对复杂的不断变化的网络世界,大多数单位缺乏综合性的安全管理解决方案,安全意识较强的单位也只是依赖防火墙和加密技术。三是防范机制不到位。不少单位没有从管理制度上建立相应的安全防范,在整个运行过程中,缺乏行之有效的安全检查和应对保护制度。

2 计算机网络安全防护的对策及措施

(1)发展自主信息安全产业。网络硬件要确保安全,发展具有我国自主知识产权的信息化产业成为重中之重。在未来的信息化发展过程中,要高度重视计算机网络安全保密设备和系统的“国产化”、“自主化”建设。一是积极组织核心技术攻关,如自主操作系统、密码专用芯片和安全处理器等,要狠抓技术及系统的综合集成,以确保信息系统的安全。二是加强关键技术研究,如密码技术、鉴别技术、病毒防御技术等,以提高技术防护能力。三是监测评估手段,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等,构建具有我国特色、行之有效的网络安全保密平台,实现网络及终端的可信、可管、可控,摆脱网络安全控制于人的被动局面。

(2)构建安全技术防护体系。面对网络系统存在的风险和威胁,应坚持积极防御、综合防护的原则,加强技术防护研究,采取有效技术手段,从预防、监控和处置等环节科学构建安全技术防护体系,确保网络系统安全。一是安全监察体系。落实网络安全防护中心编制,加强配套监察手段建设,建立健全网络安全监察机制;配套网络入侵检测、流量分析、行为审计等系统,增强安全事件的融合分析能力。二是终端防护体系。建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设;强化系统访问控制,设定用户访问权限,限制对资源的访问,防止非法用户侵入或合法用户不慎操作所造成的破坏。三是安全评估体系。综合运用漏洞扫描、取证分析、渗透测试、入侵监测等系统和手段对网络进行扫描分析,客观分析网络与信息系统面临的威胁及其存在的脆弱性,对安全事件一旦发生可能造成的危害程度进行定性定量分析,并提出有针对性的防护对策和整改措施,防患于未然,全面防范、化解和减少信息安全风险。