如何进行网络安全防护范文
时间:2023-09-18 17:59:09
导语:如何才能写好一篇如何进行网络安全防护,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:网络工程;安全防护技术;思考
引言
网络信息技术的快速普及应用极大地提高了人们的生活和工作效率,但与此同时,由于网络信息技术自身所具有的开放性、交互性等特征,网络工程在带给人们巨大便捷的同时也面临着日益严峻的安全问题。因而如何切实加强网络工程安全防护,形成和发展与快速发展的网络信息技术相适应的网络工程安全防护能力,就成为现代社会网络信息化建设的焦点问题之一。
1网络工程中存在的主要安全问题
进入新世纪以来,随着网络工程的使用进一步走向深层次和综合化,网络工程中面临的安全隐患也进一步加剧,主要表现在以下几个方面:
1.1云端安全隐患突出
随着以“互联网+”、“云计算”等新兴的互联网技术的进一步普及应用,各种针对云端的病毒、漏洞等的攻击也随之增多,并日益威胁到云端等技术平台的安全使用,而各种针对云端的网络攻击,也给目前逐渐普及应用的云计算等带来了潜在的危害,例如2011年亚马逊数据中心发生的宕机事故,直接导致大量业务中断,而时隔一年之后,亚马逊的云计算平台数据中心再次发生宕机事故,导致Heroku、Reddit和Flipboard等知名网站和信息服务商受到严重影响,而这也已经是过去一年半里亚马逊云计算平台发生的第五次宕机事故,而随着云计算等的进一步普及,云端安全隐患也将进一步突出。
1.2网络安全攻击事件频发
网络安全攻击事件频发是近年来网络工程所遭遇的最为显著和严重的安全问题之一,数据显示,仅在2015年,全球就发生的各种网络安全攻击事件就超过了一万件次,直接经济损失高达两千亿美元,例如2015年5月27日,美国国家税务总局遭遇黑客袭击,超过十万名美国纳税人的信息被盗取,直接经济损失高达5000万美元;2015年12月1日,香港伟易达公司遭遇黑客袭击,导致全球超过500万名消费者的资料被泄露,可以想见,随着未来网络技术的快速发展,网络安全保护的形势还将进一步严峻化。
1.3移动设备及移动支付的安全问题加剧
随着互联网技术的飞速发展,现代社会已经逐渐进入到了“无现金”时代,移动设备的进一步普及以及移动支付的出现使得人们的日常消费活动更为便捷,但与此同时,各种移动支付和移动设备的安全问题也随之开始浮出水面,目前来看,移动支付过程汇总所面临的安全问题主要体现在两个方面:一是利用移动终端进行支付的过程中面临着较大的安全风险,如操作系统风险、木马植入等,二是现有的移动支付的主要验证手段为短信验证,这种验证方式较为单一且安全系数较差,这些都是许多用户对移动支付说“不”的原因之一。据中国支付清算协会的《2016年移动支付报告》显示,移动支付的安全问题仍是未来移动支付所面临的和需要应对的核心问题,如何进一步强化移动支付的安全“盾牌”,仍将是未来移动支付长远发展的现实挑战之一。
1.4网络黑客的频繁攻击
网络黑客是目前网络工程所面临的安全问题的根源之一,可以说,如前所述的各种网络安全问题有很多都来源于网络黑客攻击,近年来,随着网络黑客技术的不断发展,网络黑客对全球网络工程的破坏性攻击也越来越多,且逐渐呈现出从传统互联网领域向工控领域进行发展以及黑客活动政治化等趋势,例如今年年初美国总统大选就曾遭遇过网络黑客的攻击,所幸此次大选并未受到实质性影响。
2网络工程安全防护技术提升的路径分析
随着“互联网+”战略的实施以及网络安全被上升到了国家安全的高度,加强网络工程的安全防护已经被提高到了一个前所未有的高度。而网络工程安全防护的提升则可以说是一项较为复杂的系统性工程,除了要在资金、人力、管理等方面上继续下功夫以外,还必须要将加强网络工程安全防护技术的创新与改进放在一个关键的位置上,不断强化网络工程安全防护系数。
2.1合理使用防火墙技术
防火墙是网络工程安全防护中所使用的常规性的网络安全防护技术之一,也是目前主要应用于防护计算机系统安全漏洞的主要技术手段。一般来说,防火墙是一种位于内部网络与外部网络之间的网络安全系统,同时具有访问控制、内容过滤、防病毒、NAT、IPSECVPN、SSLVPN、带宽管理、负载均衡、双机热备等多种功能,因此在利用防火墙技术来加强网络工程安全防护时,首先必须选择口碑良好、有市场的防火墙产品如NGFW4000、NGFW4000-UF等等,利用防火墙来进行可靠的信息过滤,另一方面,需要对防火墙进行定期升级,确保防火墙的始终处于最新版本,切实利用防火墙技术来提高网络工程安全防护系数。图1防火墙工作原理模型图
2.2加强网络工程病毒防护体系建设
计算机病毒是网络工程所面临着的主要安全问题之一,因此有效加强网络工程的病毒防护体系尤其关键。众所周知,计算机病毒往往具有传染性强、传播方式多样、破坏性大且彻底清除的难度较高等特点,因而一旦感染很有可能导致一个局域网中的所有计算机都受到影响,尤其是在网络工程的使用环境中,一旦感染计算机病毒将很可能导致其他的相关计算机瘫痪,这就需要企业不仅要在杀毒软件、防火墙技术的更新等方面下足功夫,更重要的是要努力建立起多层次、立体化的病毒防护体系,同时努力搭建起便捷智能化的计算机病毒立体化管理系统,对整个系统中用户设备进行集中式的安全管理,切实提升对计算机病毒的防护效率,严格确保计算机不受病毒的侵染。
2.3搭配反垃圾邮件系统
随着互联网技术的快速发展,电子邮件已经成为互联网信息时代下最受欢迎的通讯方式之一,但与此同时越来越多的垃圾邮件的出现也日渐困扰着人们的正常工作,垃圾邮件不仅占用了人们的宝贵的精力和时间,更重要的是它有可能给企业带来严重的损失,我国是世界上的垃圾邮件大国之一,每年垃圾邮件的接收在全球位居前列,为此,不断提升网络工程的安全防护需要同时搭配有先进成熟的反垃圾邮件系统,有效搭建企业内部的“邮箱防护墙”,确保企业内外部的邮件安全。
2.4强化网络数据信息加密技术使用
针对当前网络数据信息频繁泄露的现实情况,加强网络工程安全防护技术必须要努力强化网络数据信息加密技术的使用,在实际使用过程中,可以通过对网络工程中的相关软件、网络数据库等进行加密处理,提高和强化网络数据信息加密技术的普及使用。
3总结
总之,加强网络工程安全防护是一项较为复杂的系统性工程,需要涉及到方方面面的技术条件乃至相应的管理、人力物力等方面的投入,更为重要的是,需要经过系统的分析从而将这些技术手段有机结合起来,使之形成一个系统,从而更好地在网络工程安全防范中发挥整体合力,有效提高网络工程安全防范实效。
参考文献:
[1]郑邦毅,蔡友芬.网络工程安全防护技术的探讨[J].电子技术与软件工程,2016.
[2]谢超亚.网络工程中的安全防护技术的思考[J].信息化建设,2015.
[3]陈健,唐彦儒.关于网络工程中的安全防护技术的思考[J].价值工程,2015.
[4]彭海琴.关于网络工程中的安全防护技术的思考[J].电子技术与软件工程,2014.
篇2
近年来随着互联网快速发展,互联网的各类应用越来越普及,成为各类应用进行数据共享的主要方式。由于互联网的开放性,信息安全性相对不高,但某些网络信息因涉及到个人隐私或其它需要,需要把一些涉密的信息保护起来。
1 计算机网络中经常遇到的威胁
网络信息在传播过程中经常受到威胁主要是黑客攻击、病毒感染、电磁泄漏等方面。
1.1 黑客攻击
“黑客”(英文名字为Hacker)是指拥有一定的计算机相关技能、可利用计算机攻击他人计算机网络的人。他们运用一定的编辑技术编写一些代码程序或利用现有的黑客工具,对他人的电脑现有的应用或数据进行破坏或窃取存在电脑里的文件信息。现在网络信息的泄漏大多来自于黑客攻击,其通过网络安全漏洞侵入计算机系统从而进行破坏或获取他们需要的信息。
黑客侵入计算机网络方式主要有两种:破坏和非破坏性攻击。破坏性攻击是通过各种方式来多次尝试获取信息,容易造成信息的泄漏和不可恢复,为暴力性破解方式。非破坏性攻击的主要是通过多次密码尝试的方式或其它不影响信息二次使用的情况下获取信息的复制件,从而获取到其需要的数据信息。这两种方式都会造成信息泄漏,对信息维护人员的工作造成被动的局面。
1.2 计算机病毒
计算机病毒(Computer Virus)也是利用计算机代码编写的程序,其主要作用是来破坏已有的程序的正常运行,从而影响计算机使用或窃取一定的数据信息,并可自我复制。这些代码具有可执行性、破坏性、隐蔽性、传染性等特点,有的还具有一定的潜伏期,可定时发作。其主要通过网络或可移动设备(U盘)等传播,可针对特定或不特定的文件对象进行破坏。
还有一些病毒本身并不破坏现有的文件系统,而是窃取运行文件中的重要数据并通过网络或其它方式发送给制造病毒的人员,从而达到一些盈利或其它目的,如一些专门用来窃取他人账号和密码的病毒。如果用户企图运行该可执行文件,那么病毒就有机会运行,从而给计算机本身软、硬件运行造成不必要的麻烦或造成信息的泄漏。
1.3 电磁泄漏
电磁泄漏是指计算机等信息系统设备在工作时经过相应的信号传输线产生的电磁信号或电磁波被非法获取,从而造成电磁泄漏。电磁泄漏的后果是通过获取泄漏的电磁信号并加工处理,就可以还原出原有信息,造成信息泄漏,所以具有保密要求的信息系统应该具有防止电磁泄漏的能力。
2 对网络威胁进行防护的对策
以上分析对计算机安全威胁的几个主要方面进行了总结,根据这些问题, 可通过以下几个方面应对计算机信息安全威胁。
2.1 加强人员管理,制定安全防范规章
人员的安全意识是在信息化时代的首要问题,首先应加强人员管理与培训,让工作人员形成良好的电脑使用习惯,并对电脑出现的问题能及时察觉,从而能更好的避免或及早发现问题。比如经常更新电脑系统,对一些外来存储设备优先杀毒。其次应当建立健信息安全保障制度,包括电脑及网络连接、使用相关的规章制度, 并确保落实到位。对一些重要信息和文件应有专人专用电脑管理,规范化使用,并提升相关人员监督管理水平,做到相互监督,相互制约。同时也应当建立明确的分工,建立建全责任倒查机制。
2.2 采用专线接入网络技术
网络专线就是通过物理或虚拟建立一条专用的网络传输信道,这条线路与外界隔绝,从而更好的保证在信息传输过程中不被截获。这样的专线的优势是安全性较高,可有效避免黑客采用互联网网络线路进行攻击。专线接入的接放方式主要有两种:一是物理专用信道。物理专用信道就是在服务商到用户之间铺设有一条专用的物理线路,这条线路专用于该用户,从而杜绝了其它人员的接入,避免黑客通过线路攻击的方式侵入该网络,比普通的多用户线路更加安全可靠;二是虚拟专用信道。虚拟专用信道就是在一般的多用户共享信道上为用户虚拟出一定的带宽的线路,用户可以专用这部分带宽,就像专门铺设了这条线路,仅允许专门的用户使用,而且对这部分带宽内的数据进行加密,从而提高了可靠性与安全性。
2.3 优化网络内外部环境
各单位对计算机安全等级要求不同,接入互联网的方式也各有差异,单位网络管理人员应主动分析影响本单位计算机系统稳定的所有因素,并做好相应的防御措施。计算机安全防护分为内部与外部防护。一是内部防护方面,安装相应的计算机报警系统或杀毒软件系统,做好威胁预警与防护工作。二是外部防护方面,外部防护对计算机网络安全同样具有较大的影响。主要包括物理安全防护,如防盗、防火、防止物理破坏。对此管理人员应定期对电脑线路进行安全检查,并设置必要的防雷等措施,确保计算机网络安全稳定性。
2.4 加强计算机密码管理工作
黑客和计算机病毒对企业和个人机密文件的获取很多通过破解密码的方式。在日常工作中很多电脑及相关的应用软件还是初始密码,而且并没有定期更换新密码,这样他们就可以轻松的进入到电脑系统中获取到所需要的文件。因此,要做好计算机加密处理,设置高强度密码,防止个人信息和案件信息被盗。
2.5 做好外围环境防护工作,注重安全预防
防火墙、网闸等是网络机房防护软件中较常见的设备,这些设备具体很好的隔离防护作用,同时应配备红黑电源(红黑电源隔离插座)、防辐射隔离等设施,确保阻断电磁泄漏。开启服务器及防火墙日志功能,根据这些日志可以分析入侵者在系统留下的操作记录,有利于管理员及时发现系统中存在的漏洞及隐患,以便有针对性地实施维护。
3 结束语
通过以上论述可知,计算机网络信息安全防护是一项复杂而系统的工程。信息安全管理人员必须针对影响信息安全的各项因素进行针对性的分析,根据这些问题做好有效的防护措施。同时我们也应该清楚的认识到再好的外部防护也不能阻断人员的内部泄密,所以在制定文件政策的同时也应该加强人员的思想素质教育,让每位涉密人员都有较强的安全意识,这样才能更好的防止信息泄漏。
篇3
Abstract: In recent years, as the increasing role of weather information on the production and life, its security is also a concern. Starting from the weather network concepts and the need for security, this article mainly studied the problems in information network security, concluded the security status of meteorological information network and problems in weather network security, analysed the sources of threats to network security, and set out the measures to strengthen meteorological information network security from how to do security management and security technologies.
关键词: 气象网络;安全;计算机技术;病毒
Key words: meteorological network;security;computer technology;virus
中图分类号:U414.750.3 文献标识码:A 文章编号:1006-4311(2012)32-0205-02
0 引言
计算机网络最初发展的几十年中,它主要是用于大学的研究人员发送电子邮件或用于公司员工共享打印机,这样的情况下,网络安全问题并没有引起关注。随着下一代htemet网络技术的发展,计算机网络已经发展成为人们生产生活中的基础性保障设施。在贵州省气象局,省、地、县气象宽带网络的建设在实现数据、视频、语音三网合一的同时,气象信息网络也呈现了多级、分布和树形等特点。而依托贵州气象信息网络运行的应用体系结构具有非常重要的一个特性:多样性,包括系统平台的多样性、设备类型的多样性、厂商的多样性和信息结构的多样性。如何把它们融合起来,并且保障网络系统的性能稳定、可靠性、安全性、可扩展性其网络信息安全也成为一个重要问题。
1 网络安全的目标
实现网络安全的目标可以概括为三点:网络访问主体能够而且只能够访问被授权的网络资源;黑客不能破译通过不当手段获得的信息;被破坏的网络资源能够被及时恢复。第一点强调了网络访问主体能够访问被授权的资源,而且网络访问主体对其访问行为是不能抵赖的,强调这一点是因为拒绝服务攻击(Denial of Service)使原本应该对外提供服务的网络资源被恶意淹没和终止。第二点的含义是指网络中存储和流动的信息不是以明文形式存在,通过网络漏洞或其他不当手段得到的信息不能被破译或至少在该信息失效前不能被破译。第三句话的含义就是网络资源应该具有备份系统和抗破坏能力。
2 气象信息网络的安全现状
总体而言,气象信息网络的安全现状呈现如下的共同点:网络中存在大量的ARP攻击;安全软件部署率偏低;终端安全产品品牌多种多样;随意更改IP现象较多;海量下载,在线视频等导致网络流量负载过大,并增大了引入局域网病毒木马程序的机率;在升级病毒库、安装系统补丁等方面重复劳动多,工作效率低;用户对计算机终端的安全意识和知识水平不足;目前病毒在我国各级气象信息网络中的传播有超高速的特点。
3 气象网络的概念及其结构形式
气象网络,简单的说,就是把计算机网络技术在气象领域中应用,达到气象信息的网络化,信息化。我国的气象网络化已经经历了多年的发展,现在按照气象网络的安全等级划分可以分为三种:①内部局域网络,这种网络的要求的安全等级非常的高,很多的内部信息都在网上;②由数字专线组成的连接政府相关职能机构的政务专网,这种网络可以根据不同的授权等级,分享不同的资源信息;③公众互联网,通过宽带接入气象网站,将气象信息在网络上公开,提供给用户浏览的功能。当今社会,计算机技术在气象领域的应用越来越频繁和广泛,这体现了新技术带给我们的方便与便捷,但是计算机网络技术的应用也给气象领域的信息安全带来了一定的安全隐患,所以,加强气象的网络安全就显得非常的重要。
3.1 气象技术的保障需求 如今,伴随着气象事业的发展,计算机技术在气象领域的应用是越来越多,气象信息的研究和共享对计算机网络技术的依赖性越来越强,因此网络安全的巩固迫在眉睫。最近几年来,全球温室效应的蔓延,干旱,洪涝,台风等等的自然灾害每天都在发生着,作为预防这些自然灾害的最有效的工具,气象研究技术具有着它独特的重要性。然而病毒和非法软件的侵入正在不断的威胁着我国气象网络的安全性,所以保障气象网络安全是非常有必要的。要保障气象网络的安全,仅仅依靠技术是不可行的,要根据气象网络的应用实际,采用多种策略进行保障,建立起一套完整的网络安全体系。
3.2 气象网站的安全需要 我国的气象信息网站近几年来,已经成为了我国公众了解气象信息的重要途径之一,通过气象网站,民众们可以提前了解到未来的天气状况,并合理的安排自己的生产生活。鉴于气象信息网站对民众的重要性,是不能够拥有一点的疏忽的,人们从气象网站中寻求到的必须是有价值的信息,这些信息对于民众来说是重要的,但是互联网是开放的,安全性并不能得到完全的保证,这些气象网站随时都受到着来自外界的黑客和病毒攻击。
4 气象网络安全存在的问题
其实影响气象网络安全的因素有很多,本文从以下几个方面进行论述:
4.1 气象网络管理缺陷 我国目前的气象网络体系的管理还存在着很多的不足之处,有些气象站的计算机没有专门的网络管理员,而且也存在着气象站职工的计算机水平低的情况,计算机网络安全的防护措施不足,因为导致了目前气象网络安全状况不乐观。综合来说,主要的不安全因素主要包括:
①人为的非法操作。气象站管理松懈,外来人员经常擅自进入气象站,并使用气象站的计算机,甚至有些人在气象站的计算机中使用外界光盘,U盘等物品。由于管理不到位,缺乏必要的防范意识,这样就很可能导致气象站计算机网络受到外界的干扰,埋下安全隐患。
②管理制度不完善。有些气象站计算机管理员不负责任,将自己的工作交给其他人员进行操作,甚至将密码交给他人,这样非专业的人员很容易造成气象站的数据库数据丢失,有些甚至会造成数据库的数据和外网连接,暴露数据库,造成数据库数据的泄露等等。
4.2 病毒侵入 病毒入侵是我国气象网络安全所面临的最大威胁。如今的网络中,病毒的种类数量已经不计其数,而且病毒的更新速度非常快,几乎计算机随时都在受到病毒的威胁,并且随时都可能被病毒攻击。计算机网络病毒利用目前计算机系统的漏洞和用户的疏忽,借助多种技术手段对计算机进行破坏,有些黑客利用病毒对数据库进行破坏,这些病毒大部分都是用户不经意之间就感染到的,因此,作为气象部门的人员,必须要提高防护病毒感染的意识,严格的控制气象站与外网的联系。
5 气象网络安全的对策
5.1 技术层面对策 在技术方面,计算机网络安全上主要是靠实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,在技术上可以采取以下措施:
①建立安全管理制度。要提供气象部门工作人员的计算机水平和职业道德素质。日常工作中要提高计算机防护意识和能力,对于重要的数据信息要及时的进行备份,防止数据丢失。
②网络访问控制。访问控制是目前计算机网络安全的一种主要的对策。这种方法能够保证网络资源不会受到非法人员的访问和侵入。访问控制技术在我国已经得到了广泛的应用,并取得了明显的效果,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
③数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
④应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。
5.2 管理层面对策 计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。
计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。
5.3 物理安全层面对策 要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:
①计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。
②机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
③机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四设备所在的建筑物应具有抵御各种自然灾害的设施。
主要的防范措施是建设覆盖全国各级气象信息网络病毒防护体系,实现全网的统一升级、查杀、管理,防止病毒的交叉感染。包括网关级病毒防护,针对通过Internet出口的流量,进行病毒扫描,对邮件、Web浏览、FTP下载进行病毒过滤,服务器病毒防护,桌面病毒防护,对所有客户端防病毒软件进行统一管理等。
参考文献:
[1]王林香,常越,雪源.气象信息网络管理和维护[J].河南气象, 2004,(04).
篇4
[关键词]计算机;通信网络;安全防护
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2015)44-0271-01
随着通讯科技和计算机网络技术的发展,网络已经渗透到人们的生活、工作以及社会经济发展建设当中。随着信息量的复杂性和多样性特点日益凸显,网络系统也将面临更多的安全隐患,在计算机的通信防护中,如何应对遭受四面八方的威胁,做好维护网络系统安全的工作,成为当前领域内的主要研究课题之一。
一、影响计算机通信网络安全的人为及系统因素
(一)人为因素造成的网络安全问题
(1)黑客入侵因素
黑客入侵是维护网络系统安全很棘手的问题,一些精通网络系统知识的黑客职业就是对网络制造攻击、编写计算机病毒以及入侵他人的局域网或者网站后台进行网络数据信息窃取,而且现实当中,很多黑客的网络技术水平与现前网络科技的发展同步更新,更有些还会超强,不得不说黑客就是全球网络系统安全的最大威胁者[1]。
(2)网络用户使用不当因素
很多计算机网络用户都没有网络安全意识,没有对网络系统的安全做好防范措施,这样网络系统就很容易遭受各种攻击,从而导致用户的网络数据信息被非法盗取。
(3)网络维护人员能力因素
工作人员对于此项工作的缺乏。安全意识不够强,对于现代网络时代的安全来说,就可能导致一系列的问题。如何进行严密的操作,对于整体安全网络技术的发展来说,也有着着一定的经济效益。同时在进行口令密码的安全维护中,不恰当的运用,就可能导致相应的问题产生,从而影响整体的管理结构,进而导致混乱的结果,这样对于整体的网络安全来说就会产生不利的影响。
(二)系统缺陷因素造成的网络安全问题
网络系统的主要组成部分一个是是计算机支持软件,另一个是计算机语言编码,由这两者组成的网络系统是存在一定缺陷的,例如系统中很容易出现逻辑性失误以及逻辑偏差等等不良现象。而很多计算机病毒就可以利用这个条件,找到网络系统中的防御能力较薄弱的地方和漏洞所在,然后进行攻击。生活中很多数据和资料被非法窃取就是在这种情况下为非法操作钻了空子。而且这种安全问题在系统的很多环节都存在,如网络系统的运行软件、网络系统的防火墙以及网络系统的路由器等等,都是给网络系统带来安全隐患的因素。
二、计算机通信网络安全的有效防护策略
(一)人为因素造成安全隐患的应对措施
(1)升级加密系统
网络安全中,其主要的应对还是保护用户的数据安全,而在进行TCP/IP的保护中,因其六层协议都有相应的数据加密,在应对一些简单的数据侵入问题还能够进行简单的防御[2]。但是一旦有黑客进行恶意进攻,这些加密系统就很难完成这些具有针对性的恶意攻击,其加密性就受到了一定的影响。所以在进行数据的保护中,不仅用户需要注意自身的应用安全,其系统也应该提高相应的保护措施,加密措施也应该进行升级。
(2)加强对用户的监督
在完成实际的非法入侵防弊中,通过强大的追踪技术,对非法用户进行监督,从而保证这一目标能够在监控范围之内,从而保证这一设施在进行相应的管理中,能够有序的进行相应的自我防御。进行这一过程中,第一道门户,就是身份验证系统,这一系统是根据用户的指令,进行简单的系统识别,从而在根本上鉴别其操作是否真正的用户主人,这样对所要保护的地域问题,也应该进行的相应变革,在达成新的认知的同时完成网络不安全因素的有效屏蔽[3]。在应对网络的授权问题上,也可以有效的进行相应的管理,从而在完成相应安全管理任务的同时,也能够较为有效的结束部分非法用户的匿名访问。而这样也能够较为有效的进行一些简单的防护措施。
(二)运用现代安全技术提高网络系统防御能力
防火墙技术,是应用最广的防护软件系统,我国在信息建设发展的稍晚一点,不过各软件系统公司却也在飞速发展。就防火墙技术的研发,已经基本上自给自足。而这项技术在效益上,也能够进行简单的数据包过滤,以及网关的管理等任务。该技术是用于强化互联网访问控制,避免外部互联网用户通过非法方式进入内部网络,对内部互联网操作环境进行有效保护的一种网络互连设备。各网络信息均会通过防火墙过滤,依照防火墙安全控制出入互联网信息流,防火墙本身抗攻击能力也比较强。防火墙能够阻挡黑客进入计算机系统,避免其毁坏、篡改或者拷贝计算机数据或信息。将防火墙部署在各种连接路径上,依据安全规则检查每一个通过的数据包。对于各种安全隐患因素,可以通过控制协议和服务的方式,保证授权协议和服务通过,并严格阻止各种非授权协议和服务的通过,从而有效减少因协议或者服务漏洞导致的安全事件的出现[4]。
在计算机信息安全方法中,与防火墙有异曲同工之妙的还有数据加密处理、计算机网络用户设置授权访问权限等。计算机信息系统中的数据进行加密处理,或者是用户进行授权访问控制,容易操作且方便灵活控制,可以在开放性网络中广泛的应用。数据加密技术是将网络信息经过加密钥钥匙及加密函数转化为无意义的密文,该技术是计算机信息网络安全技术的基础。当前的计算机信息系统中数据加密处理技术,主要是使用密钥进行控制,公密钥加密应用较为广泛。在加密处理中,公密钥是公开的,任何都可以使用公密钥加密的信息,在自己的需求下,可以再将加密的信息、文件发送给私密钥加密的使用者,此时的私密钥是保密的。加密技术还可分为专用密钥、对称密钥、非对称密钥技术,其中专用密钥则是较为简单的密钥技术,为同一个算法,通信双方需要交换彼此密钥,当需要对方所发送信息时,则可采用自己的加密来予以加密处理。而对称密钥则是较为古老的加密技术,有着较小的运算量、较快的速度、较高的安全性,迄今为止,仍广泛应用于计算机信息系统安全中。而非对称密钥技术则是对整个明文予以某种变换,从而得到一个数值,将其作为核实签名。在现实利用中,数字签名则普遍应用于电子贸易及其银行中,数字签名与手写签字有着严格的区分,并随着文本的变化而变化。在使用非对称加密技术时重点是密钥的管理。
结语
在进行计算机通信网络安全防御中,由于计算机通信网络系统安全并非静止孤立的一个概念,而是动态的、多因素、多层面以及综合的过程,该动态工程具有极为复杂的特性,因此,在网络安全防护中,必须有效部署内部网络各个环节,除了积极应用各类安全技术外,提升计算机通信网络防御能力外,还应兼顾计算机网络使用环境,确保网络工作人员与管理人员综合素质得以提升,由此才能构建安全、高效的系统,最终营造一个有序、安全的计算机网络通信环境。
参考文献
[1] 张培军.关于计算机通信网络安全与防护策略的几点思考[J].硅谷,2014,01:155+159.
[2] 次旦罗布.计算机通信网络安全维护措施分析[J].数字化用户,2013,06:38+33.
篇5
在通信网络的安全维护措施进行探讨之前,我们先来了解一下关于通信网络当中所存在的安全问题有哪些。
1.1网络开放性剧增
因为网络当中的开放性在不断的增加,所以云计算以及三网融合等出现也造成网络使用量的扩增。因此用户在通信网络的使用当中同样会出现在传递数据信息时所造成的风险,这是作为终端的复杂而造成的必然结果。在网络中存在的安全问题主要是以互联网当中的虚拟空间往物理空间进行转移,因此在网络中的开放性也会对网络的危机以及安全的处置引起很大的挑战。
1.2电信业务增大
随着电信业务不断的增多,其运营商需要保存保密的客户信息自然也随着增多,因此造成客户的纤细会在多个层级上面进行不断的传递,于此同时想SP等合作的伙伴也应用只能终端来访问客户信息,要是在某个环节中有漏洞出现,那么其客户信息就会发生泄露,所以对客户信息进行伪造的问题也出现的越来越多。
2通信网络的安全维护措施
上文已经对通信网络中最常见的两点问题进行了分析,下面我们来重点探讨一下关于对通信网络的安全问题如何进行维护:
2.1扫描漏洞技术
在通信网络的安全维护中不仅要应用技术支持,还需要要采取一些高效的安全防范措施。现阶段的网络环境日益复杂,而单单应用网络工作人员的经验将网络漏洞找出现基本上是无法完成的事情,因此必须要对网络安全中的扫描技术合理的应用,如优化系统或应用打补丁等方法来使系统漏洞问题有效解决,以此使安全中所潜在的隐患能很好的消除。还能在网络批准的情况下应用对应的黑客工具来攻击网络,这样做能使系统当中很多的漏洞暴露出来,以此及时的对漏洞进行修整,杜绝这一类的问题出现。
2.2网络加密技术
在网络安全的维护当中,网络加密技术是非常基本的一个方式,主要是应用加密的形式将信息保护起来,避免网络中恶意的病毒攻击,因此针对网络当中的安全建设来说,有非常重要的作用。要是应用网络加密技术,在对私人以及公用信息进行传递的时候,就可以将传输信息的IP包进行一定的加密,以此使数据准确以及完整性能得到保障,而这种方式能将在传输信息的过程中所会遭遇的安全问题有效避免。
2.3防火墙技术
在对网络安全进行保护的措施当中,防火墙技术是最有效的措施之一。引入如果在网络对外接口致伤应用防火墙技术,对网络设置安全屏障,那么就能对所有进入的数据来源进行鉴别,如果有发现不良的情况就立即进行屏蔽,因此应用防火墙技术能在最大的限度中对黑客访问进行组织,以此避免其网络信息出现更改或者是删除,现阶段的防火墙技术已被进行广泛的应用,在一定程度上也有了非常好的作用与效果。
2.4身份认证技术
对维护网络完全来说,其身份认证技术有非常大的作用,要是用户想在网络中传递信息,就必须要提供自身真实的身份认证才允许进行相应的操作,因此身份认证技术不论是针对企业还是个人来说都能有效的将信息完整性进行保护。在很多的场合当中应用身份认真技术能对信息传递的安全有效的保障。
2.5入侵检测技术
应用防火墙技术只会对外部网络进行保障,但是无法进行内部网络的保护,而在内部网络当中同时也存在很多安全隐患。应用入侵检测技术能对防火墙所不能保护的方面进行补充,对其中的不足进行幕布,入侵检测技术还能有效的监控内部网路,要是发现网络遭受非法的入侵,就会及时进行反应,自行进行阻挡,在一定程度上是信息的安全性有效的提高。
3结束语
篇6
关键词:计算机病毒;网络安全防范
中图分类号:G711 文献标识码:B 文章编号:1674-9324(2012)07-0234-02
由于计算机在社会生活各个领域已经广泛运用,网络病毒攻击与防范技术也处在不断交替更新的发展状态。本文从如何进行计算机系统在网络病毒感染后的基本修复处理、企业网络系统修复应急计划的制定及实施、网络防火墙防病毒与黑客机制、强化企业信息系统管理等几个方面阐述了如何有效地保护计算机系统及企业网络安全,制定出有效的安全防护措施。
一、计算机系统在网络病毒感染后的基本修复处理
防治感染网络病毒主要依靠用户遵守和加强安全操作控制措施,让企业管理者及公司员工从思想上要重视网络病毒和黑客入侵可能造成的危害;同时在安全操作的基础上,使用硬件和软件防病毒工具,利用网络的优势,把防病毒、防黑客入侵纳入到网络安全体系中,形成一套完整的企业网络安全机制,使网络病毒及黑客们无法逾越综合安全保护屏障。
1.企业管理者首先应该对计算机系统被病毒及黑客破坏程度有一个全面、深刻的了解。网络系统管理人员根据系统破坏的程度来决定采用有效的计算机病毒清除技术,制定出对抗网络病毒及黑客的技术方案,从思想上重视黑客入侵而造成的严重后果。
2.进行系统修复前,对携带活动的计算机病毒,应该切断网络并备份重要的数据文件到移动硬盘或者优盘,做好双备份。笔者曾经遇到过多次黑客恶意在计算机系统内留言威胁恐吓及损坏硬盘分区表而造成数据丢失的情况,由于有数据备份,没有造成损失。
3.启动瑞星、金山毒霸等软件,并对整个硬盘进行扫描。
4.发现计算机病毒后,一般应利用防杀计算机病毒软件清除文件中的计算机病毒,重新安装相应的计算机应用程序。但是仅仅依靠这些远远不能阻止病毒及黑客的入侵,还必须制定并实施严密的计算机系统修复应急计划。
二、企业网络系统修复应急计划的制定及实施
企业网络系统修复应急计划包括人员、分工以及系统修复各项具体实施步骤和物质准备。笔者通过在某石油华东责任有限公司常州公司、武进某起重电器厂、常州某汽车有限公司等单位进行计算机系统及网络系统应急修复的工作经历,总结出面对困难,一定要树立坚忍不拔的工作精神和一定能战胜黑客集团的信念。通过在2009年、2010年及2011年与病毒集团的多次交锋,虽然屡败屡战,但最终我和朋友们还是依靠多方面努力,战胜了那些素质极其低下,操作病毒进行疯狂攻击的犯罪团伙,由此,我认识到制定出完善的系统修复应急计划是非常重要的。企业网络系统修复应急计划的制定及实施的主要工作有:
1.对感染病毒的计算机及网络进行隔离。必须要在做完系统的所有安全工作后,才能连接网络。由于公司都是采用的电信的静态IP地址、固定的域名,再加上漏洞太多的SQL软件,造成了黑客们的攻击手段很多,攻击速度非常快,基本达到了一边修复,他们一边在服务器上种植病毒的地步,这些绝非危言耸听,我在硬防火墙及软件防火墙的系统记录里面看得清清楚楚。
2.向政府主管部门汇报计算机病毒疫情。及时向网警汇报系统遭受病毒及黑客攻击的状况。
3.计算机病毒破坏情况估计及制定计算机病毒的对抗策略,实施网络系统恢复计划及数据抢救修复计划。对于企业网络病毒及黑客,依靠反复地调试硬件防火墙、VPN、软件防火墙的各种安全策略、访问控制列表、端口开关、黑白名单等,斩断来自全国各地的动机不良者对企业内部网络中受害的计算机系统内病毒的远程控制。对于病毒,通过瑞星、江民等安全软件来处理,同时修复系统漏洞。对于SQL软件及ERP软件,也只能依靠反复调试硬件防火墙、VPN、软件防火墙,来保护这些脆弱的软件,安装补丁程序也有些帮助。
4.国内专门攻击SQL系统的网络病毒种类太多,破坏SQL系统的技术手段也多而先进。安装有SQL软件的计算机系统,不能暴露在公网。在路由器、防火墙上,非特殊情况,不能打开1433号端口。
三、网络防火墙防病毒与黑客机制
对网络病毒与黑客可能会入侵的网络路径安装网络防火墙,所谓网络防火墙就是园区网络的大门。在企业网络中,网络防火墙扮演了举足轻重的角色,是通往内部网络的门,从互联网络过来的数据包,通过防火墙的端口控制、访问控制列表、访问策略控制等,可以到达DMZ(非军事区网络)部分,电子邮件EMAIL都被扫描侦测。防火墙过滤垃圾邮件。为了确保最大限度的安全,网络防火墙应该设定为不允许外部网络(国际互联网络)直接访问控制内部网络的计算机,针对需要面向外网提供服务的网络服务器,仅仅只在网络防火墙或者VPN的虚拟服务中开放特定的几个端口。例如:http:80、https:443、dns:53、ftp:20,21、pop3:110、smtp:25及ERP软件特定的端口号。在网络防火墙或者VPN的访问控制列表里,也仅仅只开放少数内部网络或网络服务器必须要使用的源地址和源端口、目的地址和目的端口,对于其他的虚拟服务、目的地址和目的端口应该全部“DROP”。
四、强化企业信息系统管理
在很多情况下,计算机病毒及黑客侵入企事业内部网络和企业内部管理混乱有关。
1.网络系统管理人员为减少工作量过多而开放部分用户操作权限,造成计算机病毒有机会泛滥;
2.部分用户未经许可,擅自连接互联网,在上网浏览、收发邮件时带入计算机病毒;
3.公司发现可疑情况未能尽早报告及时处理,造成损失;加强企业信息系统的安全管理,是最有效的防止企业网络病毒及黑客破坏的手段。
基于以上分析,今后一段时期内还可能出现各种各样的网络病毒,而且很有可能出现异常凶猛的恶性网络病毒。如果总是消极等待,则无法从根本上解决这些问题,应该建立综合治理网络病毒的方案。
1.树立灾害意识。美国政府已经将网络病毒定义为“网络恐怖行为”,由CIA负责处理。我国的网络病毒危害也在很早以前就受到政府高度重视,公安部、信息产业部也相继相关法律、制度。只有树立相应的防灾、减灾意识,建立完整的计算机防灾减灾制度,才能从根本上解决网络病毒问题。
2.健全管理制度并落实执行。建立健全针对网络病毒的预防、预报、宣传、奖惩、监督、备份、灾害应急、重建处理的规章制度,并且派专人负责实施,从企业内部杜绝一切漏洞。
参考文献:
[1]武新华.矛与盾——黑客就那么几招[M].北京:机械工业出版社,2010.1.
[2]《黑客防线》编辑部.黑客防线[M].北京:人民邮电出版社,2009.6.
[3]美Susan Young.黑客防范手册[M].北京:机械工业出版社,2006.1.
篇7
云计算被认为是互联网的又一次革命,以前互联网对用户的各种承诺,正通过云计算变为现实。云计算成为互联网的新焦点,当然在信息安全领域,也不会被轻视。
你会感觉到有无数的论坛与专家在关注云计算与SaaS的安全问题,无论是Keynote主题演讲中的钱伯斯、著名密码专家WhitfieldDiffie、Ronald Rivest,还是Qualys的CEO Philippe Courtot,以及各个领域的安全专家都在讨论云计算、云安全、SaaS方面的问题。
云计算与SaaS本已是热点,再加上安全,你能够理清思路吗?云计算、安全的云计算、云安全、Software as a Service、Securityas a Service,Security as a(Cloud)Service…
焦点1:云的安全
钱伯斯在RSA Conference第二天的主题演讲中,提到云计算时语出惊人:“对于安全,云计算是一场噩梦”。
注意,他并不是对云计算有何异议,因为他也认为云计算是不可避免的趋势,而且云计算的发展肯定对Cisco的发展有着巨大的意义。但是由于云计算所引发的新的安全问题,则又是很难预测的。这些问题甚至会动摇我们已经形成的网络安全的体系方法。“它是网络安全的噩梦,而且无法采用传统的方法来解决”。
无独有偶,在几位著名的密码专家论坛上,云计算也成为了话题。虽然专家们有的对云计算的前景非常担忧,但云计算产生了与以往不同的新安全问题也是共识。而这些安全问题,是我们无法回避且必须付出很大的努力来解决的。当然对解决云计算安全问题持悲观态度的人也在少数。
焦点2:*aas的安全
另一个方面,SaaS也是热点议题。云计算在技术层面上是革新,但更多的是一种商业模式上的创新,而SaaS无疑是这种创新的最好的表现形式。对于SaaS这种模式,安全问题存在与它的各个层次:基础设施、平台、上层应用。对于三个层次,所面临的安全问题是不同的。比如对于IaaS(Infrastructureas a service),数据中心建设、物理安全、网络安全、传输安全、系统安全是主要的关注点。而对于PaaS(Platform as a Service),数据安全、数据与计算可用性、灾备与恢复问题则更受关注。而到了最高层的SaaS(software as aService),则对于数据与应用的安全问题更为关注。而且,当SaaS架构在云计算这个平台上时,最高层的这些安全问题很多是不可知、不可控的。原因在于,使用者再也无法自己实际掌握对安全便捷与数据的控制权。
焦点3:安全也要漫步云端
其实将安全与云结合,不仅仅是利用安全技术来保证云计算的安全性、可靠性,一种更加开放的思维,正是利用云计算的技术,来更好地发挥信息安全技术。并且利用云计算与SaaS这种模式,使得无论是企业用户还是个人用户,都能够更广泛地接受最新的安全技术,并有效运用,来保护我们的互联网应用。
其实无论从国内还是国外,都已经有众多的安全公司参与到这个过程当中。
目前的云安全,主要运用了以下的一些技术,如:将用于安全计算的资源进行汇聚、使得更多的人成为安全的参与贡献者、在云端将对样本进行汇聚分析、通过协作的平台提供更为陕捷的反应、将安全作为服务提供等。云安全起步时间不长,但已经被运用于安全评估、WEB安全防护、恶意软件防护、病毒防护、反垃圾邮件等多个领域。
观点1:对云的保护,是云计算与saas模式成功的重要基础
从我们的角度看来,云只不过是另一种数据中心,数量更多且分散的数据中心的集合,使得访问与使用更加的快速、便捷。
再加上云端的SaaS应用,能够为众多企业,尤其是中小企业,带来更便捷、成本更低的、无所不在的IT服务。但同时,云计算与SaaS也带来了新的安全问题,与以往我们经验中不同的安全问题。因为在云中,没有边界,云计算与SaaS的使用者自己再也无法控制边界、控制数据,甚至都不确切地知道数据在什么位置上。而服务提供者往往还要同时面对IaaS、PaaS、SaaS三个层次的安全问题。
从云的外部,用户看不到云里面是什么样子的,也就是说云是不透明的。服务提供商承诺了会提供各种层次的安全方案,从网络层到应用层、数据保护,以及可管理的安全服务。
但是作为云外的用户,你真的知道这些安全特性被提供了吗?或者说,这些安全措施的结果,是你所期待且满意的吗?这可能也是很多企业对云计算望而却步的原因,也是众多安全专家的争论所在。不过换个角度,对于很多本来就没有能力进行安全体系建设与维护的用户来说,看不清云的内部也不见得是件坏事。
随之而来的问题:云计算如何进行审计与监管?现实中的各种信息安全问题在云端依然存在,只不过之前是用户自己能看到的,而现在反而距离用户更远了,也更为离散。如果像钱伯斯所说云计算可能是无法避免的趋势,当然这还要最终的用户能够认可。那么我们真的需要更多的工作,来接受这种新模式并克服它所带来的新安全问题。
观点2:云安全与Bsaas在未来将有广阔的空间
众多的主流安全厂商近年来已经对云安全投入了极大的关注。有的采用平台的方式做样本汇聚与分析;有的利用互联网与云计算的通道,降低客户端的计算量并解决病毒库的激增问题,还有一些将云计算的结果与终端的产品相结合来做防护。
这方面作为中国领先的网络与应用安全解决方案提供商,绿盟科技也有着自己的云计划。我们希望能够更为全面地理解并利用好云计算的技术,从安全评估、挂马检测、建立互联网信誉机制、通过协作平台进行聚合分析研究、对最新客户安全问题利用云计算资源陕速反应、为各类客户提供定制安全服务以建立多层次防御体系方面,建立完整闭环的云安全机制。我们要做的不仅仅是利用云计算来收集与处理样本信息,更需要将云计算的结果,有效地应用到客户已有的各类绿盟的安全系统以及定制安全服务中,从而使得云计算的结果形成快速有效的安全防御闭环。减轻客户端的安全计算量、快速反应、多层次的防御是我们最终希望达到的效果。
在云计算的实现过程中,其实最为核心的,依然离不开我们的安全核心技术。云计算更多的是一种模式与手段。通过建立公有云或是私有云的方式,将定制的安全解决方案更便捷地提供给不同层面的客户,是绿盟科技探索未来信息安全业务模式的关键途径。
未完的故事
篇8
【关键词】路由器安全;CDP;路由协议;安全漏洞
1.前言
路由器是局域网连接外部网络的重要桥梁,是网络系统中不可或缺的重要部件,也是网络安全的前沿关口。但是路由器的维护却很少被大家所重视。试想,如果路由器连自身的安全都没有保障,整个网络也就毫无安全可言。因此在网络安全管理上,必须对路由器进行合理规划、配置,采取必要的安全保护措施,避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。
2.路由器工作原理
路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平面上,路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息,依照拓扑结构动态生成路由表。在数据通道上,转发引擎从输入线路接收IP包后,分析与修改包头,使用转发表查找输出端口,把数据交换到输出线路上。转发表是根据路由表生成的,其表项和路由表项有直接对应关系,但转发表的格式和路由表的格式不同,它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。
路由协议根据网络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域,这些管理区域称为自治域,自治域区号实行全网统一管理。这样,路由协议就有域内协议和域间协议之分。域内路由协议,如OSPF、IS-IS,在路由器间交换管理域内代表网络拓扑结构的链路状态,根据链路状态推导出路由表。域间路由协议相邻节点交换数据,不能使用多播方式,只能采用指定的点到点连接。
3.路由器结构体系
路由器的控制平面,运行在通用CPU系统中,多年来一直没有多少变化。在高可用性设计中,可以采用双主控进行主从式备份,来保证控制平面的可靠性。路由器的数据通道,为适应不同的线路速度,不同的系统容量,采用了不同的实现技术。路由器的结构体系正是根据数据通道转发引擎的实现机理来区分。简单而言,可以分为软件转发路由器和硬件转发路由器。软件转发路由器使用CPU软件技术实现数据转发,根据使用CPU的数目,进一步区分为单CPU的集中式和多CPU的分布式。硬件转发路由器使用网络处理器硬件技术实现数据转发,根据使用网络处理器的数目及网络处理器在设备中的位置,进一步细分为单网络处理器的集中式、多网络处理器的负荷分担并行式和中心交换分布式。
4.路由器安全设置
利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期,误导信息流量,使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己,但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。
4.1 堵住安全漏洞
限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问,用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露,这就使得黑客抢在供应商发行补丁之前利用受影响的系统,这需要引起用户的关注。
4.2 避免身份危机
黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外,一旦重要的IT员工辞职,用户应该立即更换口令。用户应该启用路由器上的口令加密功能,这样即使黑客能够浏览系统的配置文件,他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上,用户可以配置一些协议,如远程验证拨入用户服务,这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证,以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分,后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳(SSH)或IPSec内传送安全证书。
4.3 禁用不必要服务
拥有众多路由服务是件好事,但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是,禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步,经过一段时间后,时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议(NTP)的服务,对照有效准确的时间源以确保网络上的设备时针同步。不过,确保网络设备时钟同步的最佳方式不是通过路由器,而是在防火墙保护的非军事区(DMZ)的网络区段放一台NTP服务器,将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上,用户很少需要运行其他服务,如SNMP和DHCP。只有绝对必要的时候才使用这些服务。
4.4 限制逻辑访问
限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法,但如果无法避免Telnet,不妨使用终端访问控制,以限制只能访问可信主机。因此,用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。
控制消息协议(ICMP)有助于排除故障,但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止黑客搜集上述信息,只允许以下类型的ICMP流量进入用户网络:ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间(TTL)的。此外,逻辑访问控制还应禁止ICMP流量以外的所有流量。
使用入站访问控制将特定服务引导至对应的服务器。例如,只允许SMTP流量进入邮件服务器;DNS流量进入DSN服务器;通过安全套接协议层(SSL)的HTTP(HTTP/S)流量进入Web服务器。为了避免路由器成为DoS攻击目标,用户应该拒绝以下流量进入:没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝DoS攻击,但用户可以限制DoS的危害。用户可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN攻击。
用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量,只允许有效的源地址包离开网络。这有助于防止IP地址欺骗,减小黑客利用用户系统攻击另一站点的可能性。
4.5 监控配置更改
用户在对路由器配置进行改动之后,需要对其进行监控。如果用户使用SNMP,那么一定要选择功能强大的共用字符串,最好是使用提供消息加密功能的SNMP。如果不通过SNMP管理对设备进行远程配置,用户最好将SNMP设备配置成只读。拒绝对这些设备进行写访问,用户就能防止黑客改动或关闭接口。此外,用户还需将系统日志消息从路由器发送至指定服务器。
为进一步确保安全管理,用户可以使用SSH等加密机制,利用SSH与路由器建立加密的远程会话。为了加强保护,用户还应该限制SSH会话协商,只允许会话用于同用户经常使用的几个可信系统进行通信。
配置管理的一个重要部分就是确保网络使用合理的路由协议。避免使用路由信息协议(RIP),RIP很容易被欺骗而接受不合法的路由更新。用户可以配置边界网关协议(BGP)和开放最短路径优先协议(OSPF)等协议,以便在接受路由更新之前,通过发送口令的MD5散列,使用口令验证对方。以上措施有助于确保系统接受的任何路由更新都是正确的。
4.6 实施配置管理
用户应该实施控制存放、检索及更新路由器配置的配置管理策略,并将配置备份文档妥善保存在安全服务器上,以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。
用户可以通过两种方法将配置文档存放在支持命令行接口(CLI)的路由器平台上。一种方法是运行脚本,脚本能够在配置服务器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统;另外一种方法是在配置服务器到路由器之间建立IPSec隧道,通过该安全隧道内的TFTP将配置文件拷贝到服务器。用户还应该明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改。在进行任何更改之前,制订详细的逆序操作规程。
通过采用和遵循上面的配置就可以实现一个路由器的基本的安全,但是这对于一个严格要求的安全环境是不够的,因为还有很多的攻击无法从路由器上过滤,且对于来自内部网络的攻击,路由器是无能力进行保证的。但是通过一个路由器的安全配置,能够为网络的安全建立一个外部的屏障,减轻了内部防火墙的负担,并且保证了路由器本身的安全。所以路由器的安全配置还是十分重要。
参考文献
[1]GOUGH C.CCNP认证考试指南[M].北京:电子工业部出版社,2001.
[2]李增智,张克平,李战国.CISCO路由器安全管理技术与实现方法[J].微机发展,2000(02).
篇9
经济的发展、科技的进步使得档案管理工作逐渐实现了信息化,这样有利于提高档案管理工作的效率,从而减轻了档案管理工作人员的工作量,但是在档案管理信息化的前提下,对档案管理信息中电子文件的信息安全又提出了新的要求,相关人员必须重视这个问题。接下来,笔者就档案信息化中电子文件的信息安全的相关问题就具体的研究。
1、档案信息化中电子文件的信息存在的安全问题
档案管理信息化中电子文件的信息安全是非常重要的问题,接下来笔者就具体的介绍一下档案信息化中电子文件信息存在哪些安全问题,主要体现在以下几方面:
首先,由于电子文件有一定的使用周期,相应的电子文件技术发展得很迅速,使得很多的企业没有来得及更新换代,这样就非常容易导致电子文件读取困难,甚至无法读取,这对电子文件信息来说就是一种损失;其次,计算机是电子文件生存的载体,如果计算机本身存在着安全漏洞,那么就直接威胁到电子文件信息的安全;最后,相关的档案管理人员对电子文件信息安全的重视程度不足,很多档案管理人员并非专业计算机人员,使得很多的档案管理人员并不知道如何来进行电子文件信息安全的防护,这就给档案信息化中电子文件的信息安全埋下了隐患。
2、档案信息化中电子文件风险因素解析
上文中笔者主要向我们介绍了档案管理信息化中电子文件信息存在的安全问题,我们对档案管理信息化中电子文件的信息安全问题已有了初步的了解,那么针对这些存在的安全问题,笔者又该如何进行解析呢?接下来笔者就档案信息化中电子文件风险进行详细的分析。
2.1 信息化中电子文件的载体的安全保护。
在电子文件安全保护中,不得不提到,电子文件赖以生存的载体,与传统文件相比,电子文件的出现使得新型载体材料得到人们的重视。由于电子文件的存储载体种类多样,性能不一,针对电子文件保存的存储载体,应该依据下列因素进行选择:优先选择符合标准的载体;使用有市场前景的载体,构筑其软硬件的供应渠道不应受限;采用业界公认的性能稳定、耐久的载体;采用易维护的载体,要易于确定载体对温湿度变化、污染物等的影响,以有效实施维护;采用生命周期成本较低的载体,即获得、利用和更新载体以及配套的软硬件设备等一切成本综合起来应达到合理;选用易于检测其质变现象的载体,及时探测到载体的微小变化,以便在变化之初将储存的信息复制至新的载体中。
2.2 信息化中电子文件内容信息的安全保护。
2.2.1自身因素。电子文件不稳定性使得电子文件不是像纸质文件一样固定在客观的实物上。在电子文件生成,运转,利用的过程中,它的每次信息运动都要经过很多不确定性的因素影响,而纸质文件一旦列入保护程序就会比较固定,不确定性因素影响较少,电子文件的不确定性造成的结果使得最初的文件格式,形式等都发生了变化,比较常见的便是电子文件可能读不出来,以及因为信息系统环境的因素无法正确读出。
2.2.2外部条件。电子文件和客观存在的事物一样,会受到周围环境的影响,由此可知,保护电子文件必须联系当前情况。虽然电子文件以代码的形式存储在计算机的硬盘上,但是计算机是实体存在的;另外除了这种类型的电子文件,以光盘或者磁盘为存储载体的电子文件,受载体的客观形态限制,会受环境的影响
3、档案信息化中电子文件安全防护的有效途径
上文中笔者主要向我们解析了档案信息化中电子文件存在的安全问题,那么针对这些安全问题,有哪些解决途径呢?接下来笔者针对档案信息化中电子文件安全防护的有效途径做具体的分析,主要途径如下:
3.1 做好相关人员的培训工作
相关企业应该做好档案管理人员的培训工作,使其跟上时代的发展。在档案管理工作实现现代化的进程中,出现很了很多的新问题新挑战,这些问题与挑战都需要相关的专业人员去解决,只有做好定期的培训工作,才能使其具备解决问题的能力。
3.2转变电子文件信息的保护方式。在档案管理工作实现信息化的过程中,很多的单位都存在着重技术而轻管理的现象。因为档案管理信息化计算机是重要的载体,所以很多的单位都注重相关专业人员的计算机技术,而忽略了管理方面的要求,这就使其在管理上存在着很大的漏洞,因为相关单位应该转变电子信息的保护的方式,不能单纯的依靠技术,更要做好管理工作。
3.3建立健全电子文件安全保护管理规范。电子文件安全保护管理规范包含很多方面,其中摆在首位便是岗位职责制,有了岗位分工,能有效避免职能错位,无论对电子文件的查阅,利用,还是对它的安全管理来说,都可以做到从源头上保证电子文件的使用权限,从而也能有效避免电子文件遭受恶意破坏与利用;第二,施行电子文件利用比占,实时记录电子文件整个管理过程,做到何时何地都确保利用文件的权限,这样能及时跟踪电子文件,做到“心中有数”;第三,及时完善电子文件的背景信息,也是做好电子文件安全的一项重要措施。通过背景信息,可以通过计算机内容的磁盘记录来查看,这样对电子文件管理情况则更加准确。
3.4健全电子文件安全保护的法律法规体系。电子文件作为档案事业发展的新型管理对象,安全问题是管理的重中之重。目前有《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《网络安全法》、《中华人民共和国电子签名法》等,这些虽然是基本性的原则法规,并不完全适用于档案信息化中的电子文件安全保护,但是可以提供参考作用,所以,档案工作人员必须结合本机构实际,规划出适用的原则。这样才能最大程度的保护本单位电子文件的安全。
4、结语
综上所述,我们知道在档案管理信息中对电子文件的信息安全进行防护是非常重要的,只有充分地考虑到电子文件的信息安全才能切实提高档案信息的管理水平。虽然就目前的情况来说,档案信息化中电子文件的信息安全还存在着很多的问题,但是时代的发展、科技的进步这些问题都会得到妥善解决。本文是笔者根据自己多年的档案管理经验总结出来的,希望能够为相关单位提供借鉴,也希望能为我国档案管理信息化中电子文件的信息安全防护提供参考。
篇10
【关键词】基础;无线网络;应用;研究
当前互联网所面临的最大问题就是安全性问题,一些恶意或有攻击性的病毒不断地蔓延,给网络带来了很大的漏洞。
一、可信网络的基本描述
随着网络的不断普及,人们对网络日益加深了依赖感。但网络的安全服务努力的有限性又给用户带来了不便。如何进一步推进网络在技术上的研究,提高网络建设与应用成为了重要课题。现在网络的发展对安全性提出了更高的要求。不光要求能够对个人的信息进行加密,还应对网络系统的安全性进行提高。稳定性与可操作性进行加强。然而,目前网络的脆弱性导致了它在多个方面的不可信。在未来的阶段,网络应加强安全模式的供给能力,以做到服务的安全性。这需要一方面服务应当嵌入网络的系统中,这就需要网络系统从体系的结构上对保障网络服务进行设计,这就是目前在可信网络中的重点研究方向。
一般的认为,可信网络可以预期到网络系统的行为以及结果。完全可以做到监测系统的行为状态以及对行为结果的评估。具体来讲,网络的可信性应当将所有的属性包含在内。从用户的层面上来讲要保证网路系统服务的安全性与可操作性,而在设计的层面上则需要提供网络的可控性。它不同于安全性与可生存性及可控性在传统意义上孤立分散的概念内涵。可信网络能够把这三个最基本的属性融合到一起去,结合网络系统组件之间的维护与行为的控制组成一个完整的整体。
图1
可信网络的维护可分为信任信息输入、信任信息处理和信任等级或策略输出这三个部分.而信任信息的输入可提供所采集的信息源,它主要包括:集中性的安全检测,就是将专门的服务器设立在网络中,可以做到对某一个范围内的网络节点的脆弱性进行系统的检测与采集,它的特点就是结构简单,但是在扩展分布较大的节点上进行检测时困难的。分布式的节点自检,是将部分的检测功能让网络节点上的取完成,这样网络就指负责接收检测的结果,它的特点是工作的效率很高,但控制的机制却很复杂。还有一种就是第三方的通告,即由于不能直接对被测节点进行检测等原因,而间接地获得有关信息。
图1为可信网络的信任维护与行为控制。
可信网络可以对驱动和协调需要采取的行为控制进行储存、传播以及分析。它的典型的行为控制方式有:访问控制,即开放或禁止网络节点对被防护网络资源的全部或部分访问权限,从而能够阻碍那些具有传播性质的网络攻击;防侵犯预警,就是向被监控的对象通知那些潜在的容易受到攻击或破坏的脆弱环节,并且在网络上公布可信性的评估报告,报告那些正在遭受或即将遭受破坏的节点;生存行为,就是调度网络上的服务资源,要根据系统工作状态的实际情况进行服务能力的适应度调整和故障的恢复等;免疫隔离,是根据被保护对象可信性的分析结果,传送到不同级别的网络中取进行接纳服务。它不同于访问的控制,其主要是针对防护区域以外的具有攻击性及破坏性的节点或行为,免疫隔离所起到的作用更多是在具有攻击性及破坏性的节点或行为发生之前对保护区域进行保护处理。
可信网络的三个基本属性所体现的密切联系有:对可信网络结构上的安全性的设计,摒弃传统上的补丁与附加的安全供给模式,降低可信网络上对连接体结构上的脆弱性,融入多方面的信息采集方式,确保信任信息能够安全可靠的进行传播,并且能够将各种行为控制连接起来,使其能在可信的目标下得到融合;对可生存性进行设计,对于不可避免的系统上的脆弱性以及受到攻击和破坏的因素下,可以提供资源调度等方式来提高服务生存性的行为监控,加强安全等关键服务性的持续能力;通过可控性的设计,来完成对网络节点的监测以和信任信息的采集,根据信任度的分析决策来实施具体的访问接纳与防侵犯预警等行为控制的手段,从而对异常行为的控制建立起内在的关联的体系,解决目前安全系统孤立分散的现状,大大加强对恶意攻击与非恶意攻击下的破坏行为的抵抗能力。当然,还需要对网络与用户之间建立起可信的模式,为可信网络的分析决策,行为上的控制方式的选择与实施效果的评估提供的相应的依据。
二、可信网络的架构与信任模型
可信网络的构架就是对现有的网络产品以及网络安全系统的管理域整合,并结合好网络的接入控制,内部信息的保护与信息加密传输机制,从而实现对网络整体的安全防护能力的安全技术体系的全面的提高。根据可信网络的架构的定义,可信网络应具有如图2所示的架构。
图2
数据的传输层主要负责网络数据的传输作用,并保障了数据传输的可靠性。可信网络的可生存性极大的提高了数据传输遭到破坏后,还可以对关键数据的传输提供保障。可信网络的接入控制,可以很好的对申请者接入数据网的进出口进行控制。网络信任传递一般包括系统的可信协议对信息在用户间共享上的支持,并驱动和协调具体的行为控制方式。网络数据安全服务保证了用户数据在安全特性方面的要求。
在以上对可信网络结构的描述中,要是能够建立一套完整的网络信息模式,就可以解决可信网络的一个重大的课题。这样一来也可以解决信任传递控制层的构建。然而要在现实中来实践还是相当困难的,因为要想建立如此的系统,就需要建立一个非常庞大的而又复杂的体系。同时网络节点之间的协议互补和用户间的相互竞争,使得网络呈现出复杂多变的现状,且攻击和遭破坏的行为也随之往多样、随机、隐蔽的方面上演变,从而也使得此系统的建立困难不断。另外,传统理论方法具有局限性,很难能够建立起描述网络与用户行为的可信模型的。这就要借助已有的基础理论和创建新的理论,开发研究出新的方法,才能逐步解决。
三、相关应用与实践的研究
1.远程证明和远端可信的研究
远程证明是网络中的两个节点,它是一个节点将自身的相关的平台信息通过约定的格式向着另一个节点报告,并且使得另一个节点能够为第一个节点提供的相应的信息进行验证。远程证明的最初想法就是同意两个节点在相互交流前对对反的平台进行验证,如果平台相互间的验证符合交流的要求的化可以进行节点间的交流,它是把抽象的网络给层次化了。远程证明机制是建立在可信度量和可信报告的基础之上的,但是又可以同可信平台上分离出来,远程证明为平台之间的可信交互提供了一个强有力的方式。
远程证明的关键技术是可信度量和可信报告。目前,TNC的架构中所采用的就是基于Hash函数的度量算法,使用平台寄存器的配置与存储的度量日志来进行报告。这种机制有着很大的局限性,有着软件无法升级,适应不了系统配置中的动态变化,容易把某一个特定的产品进行绑定,及很容易泄露平台配置的不足。很多人员在此基础上对其进行了研究,把度量的完整性和报告机制的拓展进行了更深层次的加强,同时还加入了软件的正确性和风险评估等特性,充实了可信度量以及报告的机制,使其使用起来更加的现实,减少了缺陷,提高了安全与可信度。
针对远程证明方面的研究主要集中在了远程证明协议和协议交换信息及格式等方面。在远程证明协议方面上的研究有:使用具体的形式对协议进行验证以及对发现不安全的漏洞的检测与改进。更改协议的形式是由带有可信第三方的协议改为直接匿名通信的协议等。对协议交换的信息和格式的研究有:扩展二进制度量的信息,它是基于属性的信息和语义的信息等;对扩充信息的格式就是对XML所描述的完整性参考值的报告等。
2.可信传输同可信资源共享的实践研究
网络的根本目的就是对所传输的数据域资源的共享。网络上的连接仅仅是网络业务处理的开始,因此在网络上只有网络的可信是不够的,还要在数据的传输与资源的共享上加强可信度。TCG迄今为止只研究了TNC,对数据传输的可信与资源共享的可信上的研究还有很多的不足。
可信传输具有多个层次的含义。大体可分为传输数据的可信以及传输行为的可信。传输数据的可信是数据在传输当中是可信的网络实体间在网络交换过程中的收发都能提供可信证据,每一次的传输都要经过证明的处理。由于TCP/IP的协议设计时只对数据的转发进行考虑,并没有考虑到数据传输的安全性,所以做好相关的解决办法就是对其进行拓展。传输行为的可信是在传输过程中,传输行为的历史记录反映在了主体行为是否违反安全规则的统计特性以及对传输行为的实时监督上。到目前为止,研究行为的可信具有典范性的就是人工智能中的智能。由此产生了对软件行为进行了深层次的探讨,提出一种软件行为学的观点。
当前网络可信的硬件资源的共享也是比较热门的研究。如今数字产品(软件、数据和媒体)的使用管理以及涉及到了可信资源的共享。在现在的数字版权管理系统当中,数字内容的解密度的使用,使用权利的解析验证由客户端的应用程序负责,对数字内容的可信应用需要采用多种技术手段。可信计算能够支持保护数字的版权,因此网络的可信计算对于资源共享具有独特的优势。
四、总结
随着我国信息时代的到来,网络的不断普及,人们对网络日益加深了依赖感,但网络的安全服务的有限性又给用户带来了不便。因此如何更好的对网路进行管理,提高网络的安全性是互联网络目前所要解决的一大问题。
参考文献
[1]孙孝仁.走向实用的身份识别新技术[J].科学之友,1997(07).
[2]唐宁.声音识别技术实用化[J].世界知识,1997(06).
[3]常晓林,冯登国.一次身份认证可访问多个应用服务器[J].软件学报,2002(06).
[4]许翠苹.CEVA平台新增手势识别技术[J].通讯世界,2010(11).
[5]张泽虹.强身份认证打出安全组合拳[J].中国计算机用户,2006(49).
- 上一篇:高中生常见心理问题及对策
- 下一篇:电子的电势能