当前网络安全形势范文

时间:2023-09-15 17:33:42

导语:如何才能写好一篇当前网络安全形势,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

当前网络安全形势

篇1

关键词:云计算 网络安全 态势评估 态势预测

中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2016)05-0000-00

1 云计算网络安全态势评估

信息安全态势评估领域的专家探讨了整个使用云计算系统的实现过程,也就是课题中探究的云计算的整个网络安全态势评估,它是一种目前来看相对比较新型的这样一个网络安全技术,在同一时间或研究的焦点之一。多个技术的完美结合不仅可以监控具体的一个网络操作,同时还能够很好的完成预测未来这样的一段时间内网络的整个状态情况,以及中途中可能会遭受攻击的这些可能性等。本课题中探究了安全形势评估能够相对来说较好地帮助到我们的网络管理员更快速并且还能够更加准确的处理这些网络安全的这样一些问题。在课题探究我们的整个网络信息安全有一个良好的发展可能性。对于在云计算网络安全实际上是由数据挖掘技术以及探究具体风险评估和其他技术,更重要的是能够研究人员编程的能力,是一个全面的学术。

2 云计算网络安全态势评估技术

2.1 网络安全态势评估

本课题重点探究安全态势具体评估的实现,实际上就是通过收集一些原始的数据并完成这样的一些预处理,并且能够较好地去实现信息系统安全的整个事件,同时在某些安全事件出现的过程当中,需要使用这样的一些数学模型或者是具体的一些处理的方法,并且在最后能够得到一个概率值,同时还能够外为网络安全管理提供一定的参考。态势感知层,也就是态势评估的基础模型。现在拥有了非常成熟的一个技术,同时还可以获得足够的这样一些态势数据的水平。同时还能够通过已经收集到的这些数据,并且在当前的整个网络状态的所有这些信息。为了最后能够完成整个评估工作,通常来说情境信息转变成人们会更加容易理解的这样一个形式,比如这个XML等等。二是形势预测,能够更具前后的一个网络安全形势,判断安全形势,并且最后完成预测未来早期响应策略和处理方法。最后说到的是第三层是一层评估作为我们整个评估模型的一个核心。

2.2 安全态势值的计算

网络安全态势值是能够最为清楚地代表网络运行状态和趋势的大小值,并且对于更大的网络操作是更加地不稳定,同时也是更加危险。在这一系列的这些全部数学统计之后,能够在收集这些所有数据并完成之后的预处理后,能够较好完成数据转换为一组或几组的这样一个数据,以及可以得到具体的这样态势值。对于网络安全能不能利用现在的这样一整个安全形势值处理情况下,并且能够在利用已有的这样一个安全形势相比的这样价值判断;通常来说具体网络受到的损害程度可能够具体判断其中的一个差异。本课题中网络安全态势值的大小与不同的网络运行状态和变化,例如说在网络受到攻击,受到不同类型的攻击。在这些具体数据发生变化,可以判断网络安全管理网络安全的情况,然后确定网络是否受到威胁。

3云计算身份认证系统设计

3.1认证模型设计

本文在对身份认证数据采集完成之后,是能够容易地看出身份认证技术在这其中起着关键作用。现在应用程序的云计算系统,通常来说我们的租户是要先通过输入用户名还有具体密码,由于大部分的这些租户身份验证的云服务提供商使用单点登录,同时这些网络攻击者也就有机会能够得到客户留下的这些信息。我们要确保租户信息本身的安全当他们登录到云计算系统,在课题中是设计并实现了一个动态双因素身份验证。在使用此身份验证系统,与传统的双因素身份验证方法相比,在很大程度上提高了用户认证的安全性,并且能够有效地降低设备成本。

3.2 云计算服务设计

本课题探究的系统,用户在访问云计算服务,是能够通过下载整个的认证程序中,通常来说我们的每个租户是会有自己已经下载好的程序,同时还能够实现互相之间的一个绑定。在我们的认证码验证之后,同时再加上自己的用户名和密码就会登录到我们的这样一个云计算服务。倘若说我们在获取验证码后,及时性,验证了失败后一段时间后,当承租人登录或登录超时后,认证码失败,租户可以得到一个新的身份验证代码再运行这个程序。在验证的时候,我们想到的期间用了多少时间要做到这一点,一般来说在运行程序的整个过程中,每次运行时间会有所不同,所以以时间参考,是能够实现生成动态认证码。

4 结语

本课题中通过技术手段,预测未来发展方向和趋势的一些东西,实际上在大多数行业具很高的研究价值。现在来说数据挖掘是最流行的技术之一,通过已有的大量似乎没有任何关联的一些数据中去挖掘出有用的一些信息,从而完成预测之后实际上会出现的一些情况,为了便于安排适当的行动。本课题探究的系统模型包括了网络安全态势要素提取、网络安全态势值的计算方法。课题中还探究如何根据最初的云模型映射算法的这样一个缺陷,得到了一个新的映射算法,同时也验证了改进算法的有效性。

参考文献

[1] 张翔,胡昌振.基于支持向量机的网络攻击态势预测技术研究[J].计算机工程,200733(11):10-12.

[2] 周俊杰.基于层次化的网络信息系统可生存性定量分析研究[D].华东师范大学,2008.

篇2

关键词:局域网;安全;防护措施

中图分类号:TN8 文献标识码:A

1局域网安全形势分析

随着社会经济的飞速发展,人们对生活质量的要求也越来越高。互联网的迅速普及,使广域网应用和局域网应用成为企事业发展中不可缺少的一部分。然而,在感受网络所带来的便利的同时,也面临着各种各样的进攻和威胁:机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等等。目前在广域网中已有了相对完善的安全防御体系,防火墙、防毒墙、IDS等重要的安全设施大致集中在机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。但在局域网中,虽然有些企业也建立了相应的局域网络安全系统,并制定了相应的网络安全使用制度,但在实际使用中,并未起到较好的效果。由于用户对操作系统安全使用策略的配置及各种技术选项意义不明确,各种安全工具得不到正确的使用,导致系统漏洞、违规软件、病毒、恶意代码入侵等现象层出不穷。针对来自网络内部的计算机客户端缺乏必要和有效的安全管理措施,导致未经授权的网络设备或用户就可能通过局域网的网络设备自动进入网络,形成极大的安全隐患。目前局域网的安全隐患正是来自网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏则增加了安全问题的严重程度,局域网安全形势十分严峻,不可忽视。

2局域网安全隐患分析

由于局域网的结构和采用的技术比较简单,仅包括少数网络设备,安全措施相对较少,这给病毒传播提供了有效的通道,为数据信息的安全埋下了隐患。通常局域网的安全威胁有以下几类:

2.1漏洞和黑客攻击

由于局域网的主要功能就是资源共享,而正是由于共享资源的“数据开放性”,导致系统存在很多漏洞,黑客就是利用了这些系统漏洞对系统进行攻击,对数据信息进行篡改和删除。最常用的手段就是冒充一些真正的网站来骗取用户的敏感数据,如用户名、口令、账号ID或信用卡详细信息等。由于用户缺乏数据备份和系统管理等方面的安全意识和安全手段,因此经常会造成数据丢失、信息泄漏等问题。

2.2病毒威胁

由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。病毒和恶意代码攻击电脑后,轻则使系统工作效率下降,重则造成系统死机或瘫痪,使部分文件或全部数据丢失,甚至造成计算机硬件设备的损坏,严重影响正常工作。

2.3 用户安全意识不强

许多用户使用移动存储设备来进行数据传递,经常将外部数据不经过必要的安全检查就通过移动存储设备带入内部局域网,同时将内部数据带出局域网,这给木马、蠕虫等病毒的进入提供了方便,同时也增加了数据泄密的可能性。另外一机两用甚至多用情况普遍,笔记本电脑在内外网之间频繁切换使用,许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用,造成病毒的传入和机密信息的泄露。

3局域网安全控制分析

3.1人员网络安全培训

网络安全是个系统,它是一个汇集了硬件、软件、网络、人员、协议等诸多元素的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上。而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,注意管理方式和实现方法,从而加强工作人员的安全培训,增强内部人员的安全防范意识,提高内部管理人员整体素质。对于局域网内部人员可以从以下几方面进行培训:

3.1.1加强安全意识培训,让每个工作人员明白数据信息安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任。

3.1.2加强安全知识培训,使每个计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地数据,保证本地数据信息的安全可靠。

3.1.3加强网络知识培训,通过培训掌握一定的网络知识,能够掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。

3.2 局域网安全技术和防控措施

网络安全管理是指保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作最重要的部分是客户端安全,对网络安全运行威胁最大的也是客户端安全。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全问题的关键所在。

3.2.1控制用户访问。入网访问控制是保证网络资源不被非法使用,是网络安全防范和保护的主要策略,它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制用户入网的时间和在哪台工作站入网。用户被赋予一定的权限,网络控制用户可以访问的目录、文件和其他资源,指定用户对这些文件、目录、设备能够执行的操作。启用密码策略,强制计算机用户设置符合安全要求的密码,包括设置口令锁定服务器控制台,以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据,提高系统安全行,对密码不符合要求的计算机在多次警告后阻断其连网。

篇3

 

关键词:信息安全 漏洞挖掘 漏洞利用 病毒 云安全 保障模式变革

l 引言

信息安全与网络安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,再到如今的信息保障和信息保障体系。单纯的保密和静态的保障模式都已经不能适应今天的需要。信息安全保障依赖人、操作和技术实现组织的业务运作,稳健的信息保障模式意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。

近年以来,我国的信息安全形势发生着影响深远的变化,透过种种纷繁芜杂的现象,可以发现一些规律和趋势,一些未来信息安全保障模式变革初现端倪。

2 信息安全形势及分析

据英国《简氏战略报告》和其它网络组织对世界各国信息防护能力的评估,我国被列入防护能力最低的国家之一,排名大大低于美国、俄罗斯和以色列等信息安全强国,排在印度、韩国之后。我国已成为信息安全恶性事件的重灾区,国内与网络有关的各类违法行为以每年高于30%的速度递增。根据国家互联网应急响应中心的监测结果,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。

在互联网的催化下,计算机病毒领域正发生着深刻变革,病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正悄然生成。

传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病毒、操控受害主机等环节都需要自己手工完成。然而,现在由于整个链条通过互联网运作,从挖掘漏洞、漏洞利用、病毒传播到受害主机的操控,已经形成了一个高效的流水线,不同的黑客可以选择自己擅长的环节运作并牟取利润,从而使得整个病毒产业的运作效率更高。黑客产业化经营产生了严重的负面影响:

首先,病毒产业链的形成意味着更高的生产效率。一些经验丰富的黑客甚至可以编写出自动化的处理程序对已有的病毒进行变形,从而生产出大量新种类的病毒。面对井喷式的病毒增长,当前的病毒防范技术存在以下三大局限:①新样本巨量增加、单个样本的生存期缩短,现有技术无法及时截获新样本。②即使能够截获,则每天高达数十万的新样本数量,也在严重考验着对于样本的分析、处理能力。③即使能够分析处理,则如何能够让中断在最短时间内获取最新的病毒样本库,成为重要的问题。

其次,病毒产业链的形成意味着更多的未知漏洞被发现。在互联网的协作模式下,黑客间通过共享技术和成果,漏洞挖掘能力大幅提升,速度远远超过了操作系统和软件生产商的补丁速度。

再次,黑客通过租用更好的服务器、更大的带宽,为漏洞利用和病毒传播提供硬件上的便利;利用互联网论坛、博客等,高级黑客雇佣“软件民工”来编写更强的驱动程序,加入病毒中加强对抗功能。大量软件民工的加入,使得病毒产业链条更趋“正规化、专业化”,效率也进一步提高。

最后,黑客通过使用自动化的“肉鸡”管理工具,达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。

3 漏洞挖捆与利用

病毒产业能有今天的局面,与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具,这是一柄双刃剑。

3.1漏洞存在的必然性

首先,由于Internet中存在着大量早期的系统,包括低级设备、旧的系统等,拥有这些早期系统的组织没有足够的资源去维护、升级,从而保留了大量己知的未被修补的漏洞。其次,不断升级中的系统和各种应用软件,由于要尽快推向市场,往往没有足够的时间进行严格的测试,不可避免地存在大量安全隐患。再次,在软件开发中,由于开发成本、开发周期、系统规模过分庞大等等原因,Bug的存在有其固有性,这些Bug往往是安全隐患的源头。另外,过分庞大的网络在连接、组织、管理等方面涉及到很多因素,不同的硬件平台、不同的系统平台、不同的应用服务交织在一起,在某种特定限制下安全的网络,由于限制条件改变,也会漏洞百出。

3.2漏洞挖掘技术

漏洞挖掘技术并不单纯的只使用一种方法,根据不同的应用有选择地使用自下而上或者自上而下技术,发挥每种技术的优势,才能达到更好的效果。下面是常用的漏洞挖掘方法:

(1)安全扫描技术。安全扫描也称为脆弱性评估,其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术,人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等,从而检测出已知的安全漏洞,探查主机和网络系统的入侵点。

(2)手工分析。针对开源软件,手工分析一般是通过源码阅读工具,例如sourceinsight等,来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找strcpy0之类不安全的库函数调用进行审查,进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同,非开源软件的主要局限性是由于只能在反汇编获得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中,反编引擎和调试器扮演了最蘑要的角色,如IDA Pro是目前性能较好的反汇编工具。

(3)静态检查。静态检查根据软件类型分为两类,针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息,然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台IDAPro,使用自下而上的分析方法,对二进制文件中的库函数调用,循环操作等做检查,其侧重点主要在于静态的数据流回溯和对软件的逆向工程。

(4)动态检查。动态检查也称为运行时检查,基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的,各种技术往往通过融合来互相弥补缺陷,从而构造功能强大的漏洞挖掘工具。

篇4

关键词:计算机网络;安全问题;安全防范技术

计算机网络技术是社会现代化不断发展的产物,全球各地通过网络建立了计算机网络系统,为社会、经济发展构建了一个很好的信息交流和信息共享平台,大大加快了社会信息的传播速度。但是随着计算机网络技术的不断发展和应用,计算机网络安全隐患也越来越多,计算机网络安全主要指的是硬件、软件数据资源在网络系统运行中并不会受到偶然、恶意的攻击和破坏,进而泄露信息,对计算机网络系统的安全、可靠、持续运行造成巨大影响。如何做好计算机网络的安全防范技术工作应该作为计算机网络技术发展的重要任务。

1. 计算机网络安全隐患

1.1网页浏览过程中的安全漏洞

随着计算机技术的不断发展,互联网技术日益完善,计算机网络技术已经融入了社会生产以及人们日常生活中,虽然计算机网络技术为人们带来了很大便利,但是也带来了很多安全隐患。近年来,个人隐私信息泄露的情况越来越多,网民们在浏览网页的过程中会存在一些恶意插件,这样会对网民造成巨大的困扰。浏览网页的过程引起的安全隐患是当前主要的网络信息危害之一。浏览器WEB服务器的安全性是导致网页浏览安全隐患的主要技术漏洞,大多数网民不了解网页开发技术,技术信息不对称的话都会给人们带来很大的安全隐患。

1.2计算机病毒

自从产生计算机技术以来,就已经有计算机病毒,而且随着计算机网络安全技术的升级,计算机病毒也随之升级。实际上,计算机病毒也就是一种特殊的程序它会破坏计算机内部数据,而且可以在使用者不知情的情况下窃取用户的电脑数据。因此,计算机病毒具有传播性、破坏性、隐蔽性以及复制性等特点,近年来我国国内陆陆续续发生了很多利用计算机病毒来达到自己的非法目的的一些计算机网络安全泄露事件,比如几年前的“熊猫烧香”病毒软件曾经对计算机网络安全造成了很大的冲击。

1.3防火墙配置安全不足导致安全隐患

在某段时期内,防火墙技术是计算机网络安全技术的重要标志,防火前的软件安全性是抵御外部风险的第一道有效屏障,在很大程度上维护了计算机网络的安全运行。然而当前防火墙技术安全性常常会受到挑战,如果非法的入侵者采用一些非法手段攻破了防火墙,就可以随意自由的进入个人计算机中删除、破坏或者读取里面的资料和文件,在这样的形势下,根本就不能谈计算机网络安全。因此,想要提高计算机网络安全技术水平,一定要做好防火前配置的安全。

1.4木马攻击

木马属于一种特殊的后门程序,使用者不知情的状况下,非法入侵者会采用各种先进的非法途径链接到用户的计算机或者登录用户的网络服务,潜入到计算机的内部,没有得到正式授权的情况下随意处理计算机内部数据。由此可见,木马程序作为一种非法入侵手段应该是计算机网络安全技术的重要隐患之一。

2. 计算机网络安全防范技术措施

从近几年来计算机网络安全事件来看,计算机网络安全形势越来越严峻,计算机网络攻击手段不断升级,攻击方式也日益复杂,计算机网络安全防范工作应该是当前亟待解决的重要问题。以下是主要的几种计算机网络安全防范技术:

2.1计算机病毒防范技术

从当前计算机网络安全形势分析,计算机病毒对于计算机网络安全的危害极大,特别是随着互联网技术的不断发展和普及,加上人们的网络生活日益丰富,为计算机病毒传播提供了良好的客观条件,因此非常有必要研究有效的计算机病毒防范技术。计算机病毒防范技术应该针对计算机病毒的隐蔽性、传染性、复制性以及潜伏性等特征进行设计,为此不仅应该不断开发新的杀毒软件,用户也应该养成定期杀毒的好习惯。用户应该注意在下载、传播各种软件以及文件的过程中,首先应该检查软件以及文件的安全性,而且应该定期对各种存储设备进行杀毒检测,这样才可以不断提高计算机网络安全的安全性、可靠性。

2.2入侵预防技术

想要做好计算机网络安全防范工作,不仅应该采用有效的计算机病毒防范技术,同时应该采用有效的入侵防范技术,首先应该系统的整理、排查当前的计算机安全技术,准确找出入侵计算机的原因。同时,应该分析常见的漏洞以及入侵技术的特征开发一些针对性的软件以及技术。防火墙技术应该是非常重要的计算机网络防范技术,我们应该对计算机网络防范技术进行进一步的深入研究。其次,用户操作计算机的过程中,应该及时纠正自己做出的错误行为,这样可有效提高计算机网络的安全性。

2.3漏洞扫描技术

这种计算机网络安全防范技术属于一种计算机系统自我排查技术,主要包括Ping扫描、OS探测以及端口扫描等技术,但是这些扫描技术的主要功能以及工作目标并没有很大差异,决定了这些扫描技术的工作原理也存在较大的差异。工作目标不同主要是为了确保能够从不同的角度以及方面全面检查整个计算机网络安全,对威胁系统安全的技术进行流动指导。

2.4完善防火墙技术

在计算机网络安全防范技术中,防火墙技术是一种重要的安全防范技术,也是所有计算机网络安全策略的重要基础,可以通过防火墙强制性的控制外部网络以及内部网络。防火墙技术主要包括网关技术、状态检测技术以及过滤技术等技术手段,过滤技术主要指的是通过网络层过滤、筛选数据包,根据先前预定的过滤逻辑检测每个通过数据的起源地址、适用端口以及目标地址有没有通过,如果状态检测技术的链接出现失误的情况下,会使整个运行操作暂停。目前,防火墙技术在企业局域网以及互联网的交接地得到广泛应用,不仅可以有效清除计算机网络病毒,同时也可以有效保护用户信息。我们应该在不断实践的过程中,不断总结,使防火墙开发技术更加具有针对性、有效性。

2.5访问控制技术以及身份认证技术

访问控制技术以及身份认证技术是计算机网络安全技术的主要组成部分,通过这两种技术可以辨别、确认使用者的身份。目前,计算机应用中常常会应用到这两种技术,操作权限设定不同的话,登陆口令也会有所不同,也就是说每一种操作权限设定应该对应相应的登陆口令,这样可有效防止不法分子会通过一些重要的权限进行不正当的网络攻击。通常,登录口令主要由数字、字母组成,用户应该定期更改口令,而且应该对口令进行保密,这样才可以正当维护计算机用户的个人信息。在传递信息、接发邮件的过程中,用户一定要注意不要泄露信息,如果黑客获得用户的重要信息,极易导致相应的网络安全隐患。

综上所述,计算机网络安全防范技术会涉及到诸多范围,关系到网络安全管理制度、数据信息安全、计算机硬件、网络资源以及软件等多个方面,为了有效确保计算机网络安全性,非常有必要建立一套完善的计算机网络安全管理制度,不断完善、升级各种计算机网络安全防范技术,维护计算机网络系统的安全、正常运行。

参考文献

篇5

1我国当前通信网络安全现状

网络具有开放性,给人们的信息传递开辟了一个崭新的空间,极大的方便了人们进行信息共享和交流,为人类社会的发展和进步提供了巨大的动力。由于通信网络具有开放性,这使得其安全形势十分的严峻,各种安全问题层出不穷,极大的威胁了通信网络运行的安全和稳定。当前各个企业主要使用通信线缆来完成信息的传输,缺乏严密的保护措施,这使得企业单位的数据和资料十分容易受到攻击而被窃取。在通信系统中,主要依靠商业软件来发挥其日常的功能,这些商业软件的质量参差不齐,很多都存在着漏洞和后门,容易受到攻击而发生安全问题。根据中国互联网络信息中心公布的数据来看,仅仅在2010年,我国超过一半以上的网民受到过网络安全问题的困扰,全国网民为了应对安全问题而支付的相关服务费用高达153亿人民币。同时网络安全问题造成大量的虚拟帐号被盗、网银密码泄露,造成巨大的经济损失。由此可见我国的网络安全问题十分的严峻。

2我国当前通信网络安全的相关分析

根据工信部通信保障局公布的信息来看,当前我国的通信网络安全不仅仅是造成个人用户的损失,而且已经威胁到我国的通信基础设施的建设。

2.1网络管理人员缺乏安全意识

当前我国的通信网络管理人员没有树立正确的安全观念,总是以为网络安全问题离自己很远。除了安全意识不强之外,技术素养不高,在日常的操作和维护工作当中没有严格的按照相应的操作规范来进行操作。例如采用明码发送密件,没有及时按照相关的规定对密钥进行更换,导致同一密钥长期使用,这增加了被破解的风险。在传输信道之上没有做好相应的电磁屏蔽措施,这使得重要信息在传递的过程当中有可能被非法监听,从而造成重要信息的泄露。

2.2软硬件设施存在安全隐患

当前通信网络系统中使用的很多软件都是由第三方公司研发的商业软件,这些软件的质量经常存在很大的问题,在程序中往往有可能留有后门。特别是一些具有远程登陆和控制功能的软件,一旦存在漏洞和后门,那么就为不法分子侵入网络打开了一条畅通无阻的通道,从而造成机密信息的泄露,对通信网络的安全造成很大的影响。除此之外,随着我国通信用户数量的不断的增加,为了使通信网络在容量上能够满足用户的使用要求,通信网络的规模在不断的扩大,然而在建设过程当中往往存在很多的问题,同时由于维护人员不足,大量的基础设施的维护情况不容乐观,这也在很大程度上增加了通信网络的安全隐患。

3我国当前通信网络安全的防护措施

当前通信网络功能越来越强大,在日常生活中占据了越来越重要的地位,我们必须采用有效的措施,把网络风险降到最低限度。为了实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输我们可以运用到以下防卫措施:“身份鉴别”可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果;“网络授权”通过向终端发放访问许可证书防止非授权用户访问网络和网络资源;“数据保护”利用数据加密后的数据包发送与访问的指向性,即便被截获也会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解;“收发确认”用发送确认信息的方式表示对发送数据和收方接收数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执;“保证数据的完整性”,一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查,一种是接收完后进行核对检查;“业务流分析保护”阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。为了实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:

3.1防火墙技术

在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。

3.2入侵检测技术

防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,1DS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。

3.3身份认证技术

提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。

3.4虚拟专用网(VPN)技术

通过一个公用网f一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。

篇6

普华永道最新的全球信息安全状况调查(简称调查)结果显示,信息安全事故数量不断增加,网络安全仍然是关注的焦点。在中国,过去12个月中,平均每家受访企业检测到的信息安全事件从去年的241次上升到今年的1245次,增加了517%。

从全球来看,调查发现,在过去一年中各行业检测到的信息安全事件平均数量为6853次。与去年同期相比,由这些网络犯罪事件所导致的全球平均财产损失为255万美元,下降了5%;而中国这一数字达到263万美元,提高了10%。

普华永道中国网络安全服务合伙人冼嘉乐表示:“这一年,中国各重要行业检测到的安全事件都在增加,这也是全球普遍需要应对的状况。当下,网络攻击来自各个方面与维度,其中消费与零售、科技等领域尤为严重。”

在中国,企业的客户数据、内部信息和知识产权成为网络攻击主要锁定的目标。其中,针对客户数据的安全事件数量上升64%,远高于35%的全球平均值。

物联网应用安全正在成为一个新的关注点。然而,调查显示,许多受访者都还没有为物联网应用带来的安全风险做好准备:目前只有约44%的中国企业拥有相应的安全策略。

值得注意的是,在所有检测到的安全事件中,有50%归因于企业现有和离任雇员等内部人员。此外,大量的内部攻击来源尚不确定,未知内部人士参与的安全事件占42%。事实上,携程网瘫痪就是其中的一个典型案例。

为了应对不断升级的信息安全事件,企业也在多方尝试以求改善。很多受访的中国企业主动采用风险导向的信息安全框架(如信息安全管理体系ISO27001),强化外部合作,雇佣相关的高级管理人员(如首席隐私官),以提高信息安全并降低风险。

与此同时,企业在信息安全方面的投入显著增加。其中,中国受访者所在企业在信息安全方面的预算增加了16%,平均值达790万美元,高于全球平均值510万美元。

篇7

【关键词】 大数据时代 网络安全 数据信息

一、引言

随着计算机技术、网络技术的不断更新发展,当今社会迈入大数据时代,我国在近年来也逐渐将大数据应用纳入到国家发展战略中,并利用大数据技术、网络技术来辅助政府管理、促进商业发展、提升人们生活品质。大数据具有信息量大、信息主体多元、更新速度快和价值密度低等特点,通常指的是大量非结构化或半结构化的数据集。当前大数据已经渗透到各个行业中,并成为一种重要的数据资产与生产要素,各行业利用大数据技术来快速获取、整合、处理各类数据,充分挖掘数据的潜在价值与新的利用价值。

二、大数据时代的网络安全问题

当前的大数据时代,网络安全与信息保护已经成为当前社会亟待解决的问题之一,现阶段面临的网络安全问题具体表现在以下方面。

2.1数据遭破坏泄露问题严重

近年来网络安全遭到破坏致使数据泄露的问题已成国际关注的重点,仅在2016年就出现了多起数据泄露问题,如Gmail、雅虎和Hotmail账号遭泄露事件,美国最大有线电视公司时代华纳的用户邮件、密码信息被黑客窃取事件,苹果App Store被曝逾千应用存在漏洞或泄露用户隐私事件等。这些数据泄露的事件充分说明网络安全存在较大的漏洞,严重威胁海量用户的数据安全。

2.2用户网络安全防范意识不足

人们在网络上购物、传送邮件、注册登录账号时总会填写各种数据信息,稍不注意就可能造成信息泄露。部分用户在浏览网页时也没有足够的甄别信息能力,很容易受到网络攻击或受到钓鱼网站的欺骗等,并且由于用户自身没有专业的网络安全防护技术,信息数据遭到破坏之后将会给自己的工作、生活带来极大的不便。

2.3数据集中分布存在较大安全风险

当前许多银行、大型公司内都储存有大量的数据,数据的大量汇集也就意味着受到攻击的可能性更大,一些黑客会将这些数据集群的机构作为攻击的首要目标,以盗取数据谋的巨额财富,而这些机构在数据的储存、安全防护等方面的能力却较为有限,一旦网络遭到破坏将会造成较大的损失。

三、如何强化大数据时代的网络安全

在当前的大数据时代,网络安全问题成为当前社会备受关注的问题,一旦网络安全出现问题,大量的数据与保密信息将会被泄露、篡改,对人们的工作、生活带来极大的影响,严重者甚至会影响到社会安定。因此,解决大数据时代的网络安全问题迫在眉睫。

3.1提升网络安全防护技术水平

首先,保障网络安全可以从控制访问权限与加密数据量方面着手,一方面对用户访问网络资源的权限进行严格的认证和控制,防止黑客侵入,也就是对网络资源设置密码、口令或者其他不可识别的标识和符号来增强访问权限的认证和控制。另一方面,通过加密算法和密钥将数据明文转变为密文,对网络资源、网络数据进行隔离加固保护。其次,云计算等技术的发展给大数据时代的网络安全带来了必要的安全技术基础,对云平台的安全防护可以对大数据安全体系中的计算环境与存储环境安全起到有效的支撑。此外,我国对于新型数据加密与身份认证技术、Web用与数据库安全技术以及基础安全技术的自主研发,尽快实现对关键装备、核心领域与人才的自主自控,也是保障数据安全的主要措施。

3.2健全网络数据安全规范

目前我国关于网络安全、数据安全等方面的规范还不够健全,对此,国家应不断完善相关的法律法规,对数据的获取、使用、应用等责任和权利进行明确的法律界定,提升网络数据安全问题的法制治理能力。另外,国家应尽快出台金融、电信、个人健康、消费互联网领域内的行业法律法规,明确数据的采集、保存、使用主体与各自职责。

国家应对拥有大量个人数据的企业、银行、网络平台等做出法律约束,规定他们必须向监管部门申报用户数据保存内容、方式以及采取的保护措施。同时国家网络安监管部门应周期性对集中大量数据的机构地进行审查和监督,一旦发生数据泄露事件,这些机构必须承担法律责任并接受惩罚。

3.3提升公民的网络安全意识

网络安全问题的解决需要政府、企业、网络安全部门以及公民的一致努力,特别是要提升公民的个人数据安全意识,明确数据安全防护的必要性与数据使用规范,加强对虚假信息、钓鱼网站的甄别能力,定期对计算机系统进行杀毒等,都能在一定程度上加强网络的安全性。

四、结语

网络已经成为人们工作、生活中的必不可少的工具,当前网络安全形势严峻,大数据时代下数据安全管理的挑战与难度成倍升级,加强应对网络安全、数据安全挑战势在必行。

参 考 文 献

篇8

【关键词】 美国;可信身份;战略意图;启示

0 引言

2011年4月15日,美国了《网络空间可信身份国家战略》(NSTIC),计划用10年左右的时间,构建一个网络身份生态体系,推动个人和组织在网络上使用安全、高效、易用的身份解决方案。国内有观点认为,NSTIC战略是美国加强网络管控的新动向,标志着美国从“网络自由”向“网络管控”的重要转变。笔者认为,从NSTIC战略的出台背景、主要目标和内容来看,NSTIC并不是立足于加强网络管控,其核心目的是通过建立身份管理提高网络空间安全水平,以繁荣网络经济,巩固美国全球经济霸权地位。

1 NSTIC的出台背景

NSTIC是对2009年的《网络空间安全评估》(以下简称《安全评估》)的响应。2009年5月,奥巴马政府了《安全评估》,突出强调了网络空间的战略地位,指出美国当前网络安全形势严峻,必须建立身份管理,如果不能提高身份认证水平,不能识别和确知网络行动主体,将无法提高网络空间的安全性。为此,报告明确:要建立基于网络安全的身份管理。NSTIC的推出是对该报告的响应。

1.1 美国网络安全形势严峻,网络身份管理重要性日益凸显

美国是高度依赖信息网络的国家,整个社会运转已经与网络密不可分。随着网络成为国家依赖生存的神经单元,美国网络空间安全形势日益严峻。据2009年美国国土安全部的报告称,2005年共有4095起针对美国政府和私营部门的网络攻击,但2008年这一数字已增长至7.2万起,这些攻击使关键基础设施和敏感信息保护面临威胁,给美国造成巨大损失。美国政府日益认识到一个可以确认网络主体身份的网络空间越来越重要,但目前,美国网络欺诈、身份盗用等相关问题非常突出,使得一些服务难以在线提供。据统计,2010年美国有810万人遭受身份盗用或网络欺诈,造成370亿美元损失;美国金融机构每周会遭受16次网络钓鱼攻击,每年造成240-940万美元损失。

1.2 HSPD-12实施效果明显,有必要将网络身份管理从联邦政府推广至整个网络空间

2004 年8 月,美国出台了国土安全总统令第12 号(HSPD-12),为政府部门管理联邦雇员与合同制雇员提供了一套新型身份管理标准策略。该总统令有79个政府部门参与执行,2009年政府还出台了联邦身份、凭证与接入管理路线图与实施指南等相关政策和措施。

该政策实施效果明显,在保障网络安全方面发挥很大作用,以国防部为例,实施强身份认证后网络攻击数量降低了46%以上。在联邦政府之外,很多商业企业也在网络身份管理方面做努力,如OpenID 身份管理平台、微软的Windows CardSpace 等,Facebook也正在展开“1账号N用途”服务,任何拥有Facebook账号的人可以通过Facebook账户登录其他网站。随着美国经济运作、商业活动越来越依赖庞大而复杂的网络,美国政府认识到有必要将身份管理推广到包括私人部门在内整个网络空间。

1.3 欧盟、韩国等国家和地区加快在信息网络中引入和部署身份管理

欧盟在战略层面、技术层面为网络身份管理的大范围部署与推广作了充足的准备。欧盟从2002开始的FP6计划,相继开展了FIDIS、Traser、Stork等与身份管理相关的研究,包括电子政务、信息网络与未来网络中如何引入并部署身份管理,包括关键技术、架构、平台、应用场景等。欧盟的eIDM一揽子研究计划在2010年实现整个欧盟范围内电子身份(eID)的启用,欧盟成员国公民持有电子身份,即可在欧盟内的任一国家享受相应的求职、医疗、保险等一系列社会。韩国推行“I-PIN”认证多年,授权几家“身份服务提供商”建立身份验证平台,给网络用户发I-PIN,并以此注册所有实名业务。

2 NSTIC的主要内容

与欧盟国家发放电子身份证(eID)不同,NSTIC不是要拥有或者寻求建立国家性的在线身份,而是指在通过政府推动和产业界努力,建立一个以用户为中心的身份生态体系。

2.1 NSTIC核心内容包括指导原则、前景构想、身份生态体系构成、任务目标和行动实施

NSTIC明确身份生态体系必须遵循四个原则。一是身份解决方案应当是增强隐私的并且由公众自愿应用;二是身份解决方案应当是安全、可扩展的;三是身份解决方案应当是互操作的;四是身份解决方案应当是高效且易于应用的。这四个指导原则是任务目标和行动实施的基础。

NSTIC前景构想反映了一种以用户为中心的身份生态体系。NSTIC提出的构想是:个人和组织可利用安全、高效、易用和具备互操作的身份解决方案,在一种信心提高、隐私增强、选择增多和创新活跃的环境下获得在线服务。该构想反映了一种以用户为中心的身份生态体系,适用于个人、企业、非盈利组织、宣传团体、协会和各级政府。

NSTIC提出身份生态体系由参与者、策略、流程和相关技术构成。参与者主要包括个人、非个人实体、身份提供者、属性提供者、依赖方等。个人或非个人实体(如组织、软件、硬件和服务等)是在线交易或使用在线业务的主体,他们从身份提供者获得身份证书,从属性提供者获得相关属性声明,并将身份证书和属性声明直接展示给依赖方,以从事在线交易或使用在线业务。身份生态体系的策略基础是身份生态体系框架,该框架为体系的所有参与者提供一套基础标准和政策,这些基础标准和政策提供了最低的安全保障,同时也说明更高级别安全保障的详细细节,以确保参与者能获得足够的保护。

为确保身份生态体系的建立,NSTIC明确了四项任务和目标。一是制定身份生态体系框架,细分任务包括建立隐私增强保护机制、建立基于风险模型的身份鉴别和认证标准、界定参与者的责任并建立问责机制、建立指导小组对制定标准和认证流程进行管理;二是建立和实施身份生态体系,细分任务包括发挥私人部门、联邦政府以及国家、地方、司法、国土等政府部门的作用,建立和实施身份生态体系互操作基础设施;三是增强用户参与身份生态体系的信心和意愿;四是确保身份生态体系的长期成功和可持续性。

NSTIC明确了身份生态体系实施各方职责和进度计划。实施身份生态体系需要政府部门和私人部门的共同努力,NSTIC明确私人企业负责具体建立和实施身份生态体系,联邦政府负责指引和保障,NPO负责制定实施路线图等。同时,NSTIC明确在3-5年内身份生态体系的技术、标准初步具备实施条件;10年内身份生态体系基本建成。

2.2 NSTIC主张以用户为中心、以私营机构为主导的身份生态系统,用户隐私可以获得更强的保护

NSTIC明确身份生态系统是自愿参与的。用户是否参与身份生态系统是自愿的,政府不会强迫用户必须获得属于身份生态系统的凭证,机构也不会强迫要求用户提供属于身份生态系统的凭证作为唯一的交互工具。用户可以自由选择满足依赖方要求的最低风险的身份生态系统凭证,或者使用由信任方提供的非身份生态系统机制的服务。

NSTIC将增强对用户个人隐私的保护。

一是NSTIC将建立加强隐私保护的机制,建立清晰的隐私保护规则和指南,不仅将明确服务提供商和依赖方共享信息的问题,而且还将明确他们什么情况下可以收集用户信息、可以收集用户哪类信息、这些信息如何被管理和使用等。

二是NSTIC鼓励采用隐私增强的技术,用户在应用中仅向服务机构提供必要的信息,而不必泄露其他不必要的信息。NSTIC允许用户以匿名、假名方式使用相关服务,不必泄露自己的真实姓名等信息。

三是根据白宫网络安全负责人霍华德・施密特《NSTIC和隐私》文章的介绍,隐私增强技术还可以让用户使用不同的身份标识登录不同的网站,从而没有任何人可以建立集中的数据库,通过身份凭证跟踪用户的网上行为。

NSTIC主张私营机构主导身份生态系统的建立。NSTIC明确,参与身份生态系统的主体将以私营机构为主,几乎所有的身份提供商、属性提供商和评估认可机构都将属于私营机构,政府在其中的角色主要是支持私营机构建立身份生态系统,并成为身份解决方案的先行者,实施身份生态系统提供服务,政府一般不会直接控制用户身份信息,在不必要的情况下也不会要求私营机构提供用户身份等信息。

3 NSTIC的战略意图

随着全球经济社会发展对信息网络依赖性增强,一个可以确认身份的网络空间越来越重要,身份管理成为确保网络空间繁荣和健康发展的重要因素。NSTIC是在美国网络安全战略发生重大转变背景下提出的,是美国网络安全战略的重要构成。作为美国首个网络空间身份管理战略,其战略意图主要有两个。

3.1 积极应对网络安全威胁,增强网络防御并建立网络威慑

奥巴马总统上台后,开始全面谋求制网权,在加强网络防御的同时,实施网络威慑,旨在遏制日益增长的网络攻击,保护美国关键基础设施安全。网络安全与身份管理关系不言而喻,身份管理对网络防御极其关键,要想积极防御必须先了解网络上有哪些主体;而网络威慑重在影响对手,必须识别和确知最有能力的网络行动者,这需要通过身份管理进行归因判断。NSTIC的出台,极大推进了对个人、组织以及相关基础设施的识别能力,通过身份管理建立了网络空间的信任,从而增强网络防御并建立网络威慑。

3.2 繁荣网络经济,巩固美国全球经济霸权地位

奥巴马政府上台后,将网络创新视为重振经济的引擎,在政府的推动下,美国网络技术发展进入新一轮,云计算、智慧地球、物联网、移动互联网等均引领世界潮流。随着美国经济越来越依赖网络,网络环境面临的信任威胁越来越突出,各项在线业务发展受到阻碍,可信网络环境非常重要。NSTIC的推出,旨在通过在网络空间部署身份管理,推进在线业务安全、便利、高效开展,增进网络信任,促进更多业务在网上开展和服务创新,从而繁荣网络经济,占领未来全球经济的制高点,进一步维护美国全球经济霸权地位。

由上可见,NSTIC并不是以加强网络管控为目的的。尽管如此,提出将建立和维护可信数字身份,构建网络身份生态系统,这一愿景的实现,必然会增强美国对网络空间的掌控。

(1)身份生态系统的成功实现,将使身份管理推向政府服务、社会服务等大量在线业务,这必然有利于美国对网上身份、行为的更好掌控。NSTIC主张的身份生态系统,依赖于大量在线业务的参与。当政府、社会等多种服务成为该系统的参与者,用户为使用各种服务将不得不采用相关身份解决方案。目前已经有Yahoo、PayPal、Google、Equifax、AOL、VeriSign等科技厂商宣布支持NSTIC实施。用户信息掌握在作为服务提供商的私营机构手中,不排除在必要情况下会被提供给美国国家机构,根据美国《爱国法》、《国土安全法》等法律,服务提供商有义务向美国政府提供用户的有关信息。这必然加强美国对网上身份、行为的掌控。

(2)NSTIC提出将推动身份生态系统的最终国际化,美国一旦主导国际身份管理策略标准的制定,必然将增强其对网络空间的掌控。

NSTIC提出,将推动身份生态系统的国际化,实现身份生态系统的国际互操作,事实上是要将其身份管理的策略和标准推向国际。美国很早就开始身份管理技术的研发,国家标准协会、国家标准技术研究所成立了标准组并了相关标准,目前在全球身份管理标准化工作中,美国是研究工作的主导力量。由于身份管理涉及到技术、社会、法律、国家政策等多方面,关系到对不同国家的法律法规、国家利益和安全,各国都希望发挥自己在此领域的主导作用。美国在网络空间有着巨大优势,从芯片到操作系统,从根服务器到域名管理,美国对网络空间的掌控已经远远超出其他任何国家,形成了垄断性优势。美国推动身份生态系统的国际化,必将进一步加强美国在网络空间的影响力,确保其对网络空间的掌控。

4 对我国的几点启示

身份管理关系到未来网络空间的繁荣和健康发展,我国必须充分发挥在此领域的主导作用。

4.1 尽快制定我国网络空间可信身份国家政策

随着我国经济社会活动对网络依赖性增强,各行业对网络空间可信身份都提出了需求,如网上购物、网上银行、网上社保等,身份管理成为确保网络空间繁荣和健康发展的关键。未来身份管理将更加重要,美国、欧盟等都在加强身份管理技术研发和部署,已经形成较强的技术优势;对我国而言,如果不及时加以部署和研发,将很可能丧失在未来网络中的话语权。为此,必须将可信身份上升到国家战略高度,出台相关政策措施,整合各类资源,建立政府主导、市场主体的推动机制,促进网络空间身份管理的发展。

4.2 支持网络空间身份管理技术研发和应用示范

目前美欧在身份管理技术和产品研发方面具有优势,我国在此方面还处于跟随阶段,缺乏相关的实施和尝试。鉴于身份管理的基础性和重要性,建议政府通过科技支撑计划等,支持研究机构、企业等开展相关技术研究和产品研发,支持建设应用示范系统,着力推进在电子政务、电子商务等方面的应用示范,探讨解决不同身份管理系统之间互联互通问题,在技术成熟时可以建立国家性身份管理平台,确保关系国家民生的关键身份信息把握在国家而不是国外企业手中。

4.3 积极参与国际标准制定,掌握话语权

身份管理关系到未来网络架构,美国、欧盟等发达国家都在争夺技术、标准方面话语权,目前有大量组织也在对身份管理标准进行研究,如自由联盟、OpenID、OASIS、W3C、ITU-T、ETSI、3GPP、ATIS和IETF等,但还没有形成统一标准。建议我国统筹协调研究、产业等各方面资源,有计划开展身份管理系列标准研究工作,同时组织国内力量积极向国际组织提交议案,争取设立由我国主导的研究议题,增强我国在身份管理标准化工作中的话语权与主导权。

参考文献

[1] The White House,National Strategy for Trusted Identities in Cyberspace,http://whitehouse.gov,2011.4.15.

[2] Howard A. Schmidt,The National Strategy for Trusted Identities in Cyberspace and Your Privacy,whitehouse.gov,2011.4.26

[3] Howard A. Schmidt,Advancing the National Strategy for Trusted Identities in Cyberspace: Government as Early Adopter,whitehouse.gov,2011.10.14

[4] 魏亮.身份管理策略思考.电信网技术,2009年第3期,36-39.

[5] 陈剑勇,吴桂华.身份管理技术及其发展趋势.电信科学,2009年第2期,35-41.

[6] 王功明,关勇等.可信网络框架及研究.计算机工程与设计,2007年3月,第28卷,第5期,1016-1018.

作者简介:

篇9

[关键词]智能油田;信息安全;综合审计;关联分析

doi:10.3969/j.issn.1673-0194.2020.22.028

[中图分类号]TP393.08;F239.4[文献标识码]A[文章编号]1673-0194(2020)22-00-02

1智能油田信息安全风险

在数字化转型发展背景下,智能油田建设与应用进程逐渐加快,网络与信息系统的基础性、全局性作用不断增强,而保证核心数据资产的安全对油田业务的高质量发展至关重要。当前国内外网络安全形势严峻,境内外恶意分子以及被政治、经济利益裹挟的黑客组织,对能源行业加剧进行网络渗透,攻击关键信息基础设施、窃取商业机密等敏感信息,对油田信息安全构成了极大的外部威胁。此外,内部员工违规访问不良网站内容,使智能系统面临着严重法律风险,加上员工有意识或无意识的网络泄密事件与系统运维人员违规操作事件频发,严重威胁了智能油田发展。目前,我国油田信息安全建设思路已经从防外为主,逐步转为以内外兼顾的策略,信息安全审计成为纵深安全防御延伸和安全体系建设的重要环节。为遵循国家网络强国战略、达到网络安全合规要求,有效避免黑客攻击、网络泄密、违规上网、数据窃取等安全风险,我国急需建立智能油田信息安全综合审计平台,实现信息内容实时检查、网络行为全面监测、安全事件追溯取证,为油田高质量发展保驾护航。

2信息安全综合审计关键技术

信息安全综合审计是企业内控管理、安全风险治理不可或缺的保障措施,主要指对网络运行过程中与安全有关的活动、数据、日志以及人员行为等关键要素进行识别、记录及分析,发现并评估安全风险。针对智能油田业务需求场景,重点解决3项技术难题:一是如何基于纵深防御理论通过大数据、云计算等技术,对油田不同防御层级的日志、流量等信息进行关联分析建模,有效预防黑客隐蔽型攻击;二是如何通过建立面向油田具体业务场景的敏感信息指纹库、安全策略库、行为特征库,构建覆盖敏感文件信息处理、存储、外发等关键环节的纵深防护与事件溯源取证机制;三是如何通过深度网络业务流量识别与数据建模分析技术,建立面向油田具体业务场景的员工上网行为监管审计机制,实現对员工违规网络行为的全面管控。

2.1多源异构网络日志信息统一标准化方法与关联分析模型

设计多源异构网络日志信息格式标准化方法,利用基于大数据处理的日志过滤与关联分析建模技术,整合网络泄密、违规上网、黑客攻击等网络风险事件日志信息,建立油田信息安全风险关联分析模型。

2.2信息安全审计敏感信息指纹库、行为特征库、审计策略库

结合油田具体业务需求场景,运用数据分类分级与指纹识别技术、深度业务流量识别与建模方法,建立满足国家合规要求及油田特有应用场景需求的敏感信息指纹库、网络行为特征库及安全审计策略库。

2.3数据防泄露与敏感信息内容检查机制

基于操作系统底层驱动过滤的数据通道防护技术、基于智能语义分析的敏感信息内容审计技术,实现对员工通过云盘、邮件、即时通信、移动介质等方式外发涉密信息的实时检测与控制,彻底解决员工有意识或无意识地违规存储、处理、外发涉密信息问题。

3智能油田信息安全综合审计平台建设及应用

信息安全综合审计平台是一个综合利用云计算、大数据、人工智能、数据指纹、异构数据采集等技术,实现网络行为监控、信息内容审计、数据库操作审计、网络异常流量监测预警的审计溯源系统,在满足网络合规性要求的同时,为信息安全管理与系统运维人员提供了网络安全监测、事件追溯取证的基本手段,提升了油田对敏感数据的监测预警和传输阻断能力,防止了敏感信息泄露,增强了对外部黑客隐蔽性网络攻击行为与内部运维人员违规业务操作的防御能力。其中,图1是智能油田信息安全综合审计平台总体架构。

基于信息安全综合审计关键技术研究与集成创新,相关单位研发建立了智能油田信息安全综合审计平台,以纵深防御理论为指导,通过网络层面的行为和流量审计、信息系统层面日志和数据库审计、终端层面的信息内容审计等,实现对网络风险事件的事前防范、事中告警、事后追溯,形成上网行为全面管控、网络保密实时防护、网络攻击深度发现的主动治理新模式。贯穿数据信息的产生、存储、传输、应用全生命周期的关键过程,自主建立油田敏感信息指纹库,构建基于涉密违规存储远程检查、终端违规外发自动阻断、网络敏感信息识别告警功能的数据安全纵深防护与事件追溯取证机制,为网络保密主动治理提供技术手段。通过设计跨平台、多协议网络信息采集接口机制与多源异构日志标准化数据模型,结合云计算与大数据处理技术,建立适应油田海量非结构化日志信息的存储云中心,且基于深度学习算法建立关联模型,通过日志信息纵向聚合与横向关联实现网络行为与信息内容全面审计。

为保障智能油田核心数据安全与网络系统运行安全,将平台成功应用于油田网络安全保障与网络攻防实战演练、网络保密治理与数据安全保护、员工上网行为管理与审计、IT基础设施运维操作审计等,有效提升智能油田精细化管理水平。通过平台网络安全审计功能,将网络层面防火墙、入侵检测、高级威胁检测、蜜罐入侵诱捕、Web应用防火墙、流量溯源分析、漏洞扫描等网络安全监测防护设备提供的黑客网络攻击行为日志信息,应用系统层面服务器操作系统、中间件、数据库等产生的系统日志信息以及终端计算机层面产生的病毒防护、主机漏洞、基线配置等日志信息进行集中统一标准化处理,通过提取关键要素信息进行关联建模分析,实现对黑客隐蔽性网络攻击行为的深度发现与事件追踪溯源,为油田网络安全日常防御保障提供监测分析技术手段,为油田网络攻防对抗实战演习统一决策指挥提供平台支撑。通过信息安全综合审计平台的信息内容审计功能,实现对内部员工通过电子邮件、即时通信、网络云盘、网站上传等方式外发敏感数据信息的实时监测,结合平台数据防泄露功能,实现对员工办公终端计算机违规存储、处理、外发敏感数据信息文件行为的实时告警提示与阻断控制,同时针对油田不同业务场景,制定开发科研、生产、经营、管理等不同业务敏感数据信息审计策略,实现对内部员工有意识或无意识网络泄密行为的事前告警提示、事中监测阻断、事后追溯取证,为网络保密治理提供有效的技术手段,保障智能油田核心数据安全。通过信息安全综合审计平台的上网行为审计功能,实现对油田内部员工上网行为的有效管理,对员工通过油田网络进行网站访问、网络应用等行为进行实时监测审计,防止员工因访问不良网站给企业带来的法律风险,同时避免因访问恶意网站给企业带来木马病毒等网络安全风险,满足网络安全管理合规要求。利用信息安全综合审计平台提供的运维操作行为审计功能,对运维管理人员的操作日志进行集中监测分析,整合利用日志数据价值,实现对网络设备、安全设备、服务器、数据库等信息基础设施运维操作活动的实时监控、记录及告警,有效规避运维操作过程中产生的网络安全风险。

篇10

【 关键词 】 网络;信息安全;密码学;加密

1 引言

随着信息技术的不断发展,信息已成为重要的战略资源,在现代社会的进程中发挥着举足轻重的作用。但在信息快速发展的同时,信息安全问题也日益彰显,特别是在国计民生的社会领域,网络所存在的安全问题已日益突出,如病毒感染、黑客攻击等,对社会经济发展、人们生产生活造成较大影响。对于信息安全技术,其主要涉及计算机、密码知识、网络架构和安全技术等。旨在通过采取有效的安全策略,实现网络信息的安全可靠的保护。

当前,网络安全领域的相关技术。

(1)防火墙技术。防火墙作为安全网关,构建在Internet与内部网络之间,实现对内网的有效控制。其实,防火墙系统主要的防护机制是决定外界可以访问哪些内部资源,反过来,内部人员可以访问哪些外界资源。也就是说,防火墙通过对相关信息的过滤、授权,实现对网络的安全保护。

(2)入侵检测技术。该技术作为一种主动防御技术,主要针对用户系统行为的监视、系统漏洞的设计,及系统数据完整性评估等功能,也就是说,入侵检测系统可以有效地实现对系统监视、审计、评估等工作,实现了对网络系统的主动保护。

(4)加密技术。加密技术是最传统也是最有效的保护措施之一,主要针对信息加密。加密技术的特征非常突出,主要利用现代数据加密技术,实现对网络系统的安全保护。并且,加密数据的翻译,只有指定的用户、网络设备方可执行。

对于数据加密技术而言,其是网络安全的核心,承担着高安全性密码算法的寻找,以实现信息资源的加密。本文就针对网络安全中,两种典型加密算法进行研究。

2 相关理论

3 典型的密码体制

3.1 对称密码体制

在对称加密算法中,DES和AES算法使用广泛,具有典型的代表性,以下就这两种对称算法进行论述。

3.1.1 DES算法

DES算法采用了56位的密钥长度,并具有64位分组长度。对于该法,其主要将64位输入明文,并在一系列的运算处理下,得到64位的密文进行输出。在对密码解密时,采用同一密钥。其实,左右两边是在相互交换的机制下进行预输出。并且最后预输出的IP与相互作用,进而产生出密文(64位),在实际中,我们可以清楚地知道56位密钥的使用情况。密钥在相关置换作用之后,在循环和置换等操作下,获得一系列的子密钥。同时,在每次迭代置换的过程中,使用相同函数,且密钥的循环作用,使得子密钥之间是不相同的。

3.1.2 AES算法

对于AES算法,其具有高效加密和解密的突出优点。因为密钥的长度是128或192位,这样就可以在计算机的作用下,实现高速的处理。同时,该密码算法具有良好的安全性,在短时间内很难对其进行破译。

在AES算法中,以128位加密算法输入和输出。在输入分组中,是以字节为单位的矩阵来表示,且矩阵中的字节需要按照相关的规定进行排列,如从上之下,从左到右的方式排列。该分组复制到State数组后,在对进行加密或解密的过程中,都会对数组进行改变,直到State复制至输出矩阵。在对128位的密钥描述时,采用以字节为单位的矩阵。

3.2 非对称密码机制

3.2.1 非对称密码机制

在1976年,Hellman和Diffie首先引入非对称密码机制。在使用非对称密码机制时,用户需要选定以对密钥:一个密钥是可以公布的;另一个密钥则需要用户保密。所以,该密码体制又称之为公钥体制。其实,对于密码史而言,公钥体制的出现就是重要的里程碑。在公钥体制中,最著名的有AIGamal算法、McEliece密码和RSA系统等内容。

3.2.2 RSA算法

在非对称加密算法中,RSA比较具有代表性。就当前的公钥密码算法来看,RSA是最成功的公钥密码算法之一。该算法的安全机制主要依托于计算机复杂性理论和数论中的相关素数求算。在至今的数学领域,仍未多项式时间内破解RSA的最佳方案。

3.3 其他典型密码机制

目前,传统密码机制以逐渐完善,并广泛适用于网络安全构建中。对于传统密码,均只有计算安全性和一次一密的特性。也就是说,网络攻击者的计算功能无限强大,理论是可以对该些密码系统进行破译。随着信息技术的不断发展,新兴智能计算的涌现,对传统密码的破译提供了更加有效的新途径。同时,诸多的职能生物算法已用于传统密码的破译,并取得了实际效果,这就对加密技术提出了更高的要求。

在面对传统密码技术日益暴露出缺陷时,DNA加密计算法出现在人们视线。目前,DNA加密技术已成为密码学的前言领域,是新时期的密码。对于DNA密码而言,其具有突出的特点,特别是以DNA为信息的载体,依托于现代生物技术为工具,很大程度上利用了DNA的相关有点。这样一来,可以有效的实现加密、认证等一系列密码学功能。其中,其主要包括DNA隐写、DNA加密和认证等三个方面。从DNA密码的本质来看,其实是数学密码的有益补充,对于夯固网络信息安全保护具有重要的现实意义。

3.4 算法分析

对于对称密码体制而言,其可以用于加解的密钥是相同的或是从加密密钥中推解而出。其中,典型的AES和DES算法的密钥长度均较短,密钥的可靠性较弱,以至于安全性能较低。但是,算法简单、加密速度快,计算开销小。要想构建更安全的网络安全体系,需要以安全方式进行密钥交换。

对于非对称密码体制而言,其可以用于加密的公钥,但与私钥是不相同的。此外,相比较于传统密钥,公钥和私钥的长度较长,在安全性能上交优越。对保密信息进行多人形式下的传输,所需的密钥组和数量相对较小。但是,加密算法相对比较复杂,计算的工作量较大。所以,私有密钥加密比公开密钥加密在解密时的速度要快。

4 结束语

在网络信息时代,网络技术的不断发展,也突显出日益严重的网络安全问题。在网络安全技术中,主要通过相关的加密技术,对信息资源进行安全保护。

其实,网络安全是相对的,也就是说,安全性越高其实现就越复杂。面对快速发展的计算机网络技术,新的网络安全问题也不断闯入人们的视野。同时,一些新的密码体制也不断的研发,构建起网络安全的防护墙。所以,审视计算机网络技术的发展,网络安全形势依旧非常严峻,促使我们不断地创新技术,迎接新的网络安全问题。

参考文献

[1] 丁素英.密码算法在网络安全中的应用[J].潍坊学院学报,2008(03).

[2] Zhao G. Advances in modern information security and chaotic secure communication application research [J].Progress in Physics,2012(06).

[3] Malo K o .Application of cryptography technology in network information security [J].Technology Square,2011(09).

[4] 薛冰.密码学在网络信息安全中的应用[J].福建电脑,2009(09).

[5] 周溢辉.RSA算法在信息安全中的应用分析[J].科技信息(科技教研),2008(08).

[6] 滕萍.云计算技术发展分析及其应用研究[J].信息网络安全,2012,(11):89-91.

[7] 傅慧.动态包过滤防火墙规则优化研究[J].信息网络安全,2012,(12):12-14.