网络内容审计范文

时间:2023-10-02 16:54:38

导语:如何才能写好一篇网络内容审计,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络内容审计

篇1

一、网络会计审计的特点

1.审计的空间拓展。在网络会计环境下,由于会计信息系统的开放性和网络化,使得会计信息资源在极大的范围内得以交流和共享;会计信息涉及交易关联方的各个方面,同时能访问会计信息的用户可能涉及整个网上用户。因此,为了防止信息的使用者恶意破坏和更改会计数据以及会计数据在传输过程中被截取和篡改,审计空间范围必须扩大到交易关联方以及网上有关信息用户。

2.审计的时间及时。在时间上,网络会计审计可以使审计从事后审计达到实时审计,并从静态走向动态。审计部门通过上网,能随时、动态地对企业进行审查,可以加强对经营过程中的各个环节的审查和监督,及时掌握被审计单位的最新情况。在网络环境下,由于企业经营的网络化、虚拟化,使得企业的经营风险加剧,广大投资者、客户及有关部门(如工商、银行、税务部门)对会计信息的需求不再满足于年度报表和季度报表,他们渴望及时获取相关会计信息和经济业务信息以作出决策。为适应这种需求,提供网上及时的鉴证服务将成为一种趋势。通过网络会计,审计部门可以及时收集会计信息和经济业务信息,并及时向有关各方审计服务信息,促使信息时效性大大提高。

3.审计的业务扩大。在网络会计系统中,实现了各业务之间的数据传递和共享。由于会计系统和其他信息系统存在着密切的信息传递关系,这样便促使审计人员熟悉更多的企业经济业务,以理清各种数据的来龙去脉。

4.审计的频率增加。在网络会计系统下,由于各个部门可以随时将本部门的数据输入并进行处理,因此数据更新速度快,如果审计人员不能跟上系统更新的频率,不能及时调查和获取一些中间结果,就很难作出审计判断。也就是说,网络会计的实时性促使审计工作也具有了“实时”的特点。

5.审计的技术更先进。网络会计处于庞大的网络系统中,面临着许多安全问题。因此,与单机环境相比较所采取的内部控制更为复杂。审计人员要想了解更多的控制信息和有关的控制制度,就必须掌握更多更先进的知识和审计技术手段。

6.审计的效率提高。对网络会计的审计,主要是通过上网操作,利用审计接口软件在获得必要的授权后,获取企业会计和经济业务数据进行计算、分析、检查和核对;还可以通过网络进行网上查询和网上交流等。所有这些将大大减少审计人员的审计工作量和审计成本,从而提高审计效率。

二、网络会计审计的内容

1.网络安全审计。网络安全审计是指,对被审计单位计算机网络系统的管理和防护、监控、恢复三种技术能力以及可能带来的经营风险等进行评估。在网络会计环境下,一方面提供了会计信息的共享性,提高了会计工作的效率;另一方面,电子形式的会计信息容易受到诸如网络故障、计算机病毒、黑客袭击和非法者的入侵等潜在威胁的影响。这些都会严重威胁会计信息和数据的安全。虽然一般的软件都采用了保障信息安全的措施,但是这些措施是否有效、合理,需要网络会计审计来检验鉴证,并作出监控反馈。

2.网络内部控制审计。在网络会计信息系统中,内部控制的重点、方式、内容和范围均发生了变化,使得网络审计不同于传统审计和计算机桌面审计,呈现出新的特点。网络内部控制审计可分为一般控制审计和应用控制审计。针对网络会计信息系统的特征,通过网络内部控制审计,以评价网络会计信息系统的内部控制是否健全、有效,提示内部控制的弱点。

3.应用程序审计。在对一个网络化会计信息系统进行符合性和实质性测试时,由于受到计算机网络程序复杂化和自动化的影响,往往不能仅仅检验数据本身,还须对网络程序的处理和控制进行审计。网络审计中对网络信息系统应用程序的审计目标体现在两个方面:第一,程序处理过程是否与有关的标准及法规相符;第二,考查网络系统程序对错误的检验和控制情况,如对输入网络信息系统中的数据正误的检验,会计证、账、表的试算平衡措施等。不进行相关应用程序审计将会给系统的运行留下隐患。超级秘书网

三、网络会计审计应注意的几个问题

1.审计的范围问题。由于会计系统处于网络系统中,各业务部门执行的只是子系统中的一部分功能,任何一个工作站所提供的信息都是日常经济活动中不可缺少的组成部分,同时网络会计的支持还需要一些软硬件的配备。因此,要对计算机网络会计整个系统作出正确的评价,审计的范围将要扩大到服务器、工作站、传输介质、计算机网络会计软件等。

篇2

1.1审计的空间拓展。在网络会计环境下,由于会计信息系统的开放性和网络化,使得会计信息资源在极大的范围内得以交流和共享;会计信息涉及交易关联方的各个方面,同时能访问会计信息的用户可能涉及整个网上用户。因此,为了防止信息的使用者恶意破坏和更改会计数据以及会计数据在传输过程中被截取和篡改,审计空间范围必须扩大到交易关联方以及网上有关信息用户。

1.2审计的时间及时。在时间上,网络会计审计可以使审计从事后审计达到实时审计,并从静态走向动态。审计部门通过上网,能随时、动态地对企业进行审查,可以加强对经营过程中的各个环节的审查和监督,及时掌握被审计单位的最新情况。在网络环境下,由于企业经营的网络化、虚拟化,使得企业的经营风险加剧,广大投资者、客户及有关部门对会计信息的需求不再满足于年度报表和季度报表,他们渴望及时获取相关会计信息和经济业务信息以作出决策。为适应这种需求,提供网上及时的鉴证服务将成为一种趋势。通过网络会计,审计部门可以及时收集会计信息和经济业务信息,并及时向有关各方审计服务信息,促使信息时效性大大提高。

1.3审计的业务扩大。在网络会计系统中,实现了各业务之间的数据传递和共享。由于会计系统和其他信息系统存在着密切的信息传递关系,这样便促使审计人员熟悉更多的企业经济业务,以理清各种数据的来龙去脉。

1.4审计的频率增加。在网络会计系统下,由于各个部门可以随时将本部门的数据输入并进行处理,因此数据更新速度快,如果审计人员不能跟上系统更新的频率,不能及时调查和获取一些中间结果,就很难作出审计判断。也就是说,网络会计的实时性促使审计工作也具有了“实时”的特点。

1.5审计的技术更先进。网络会计处于庞大的网络系统中,面临着许多安全问题。因此,与单机环境相比较所采取的内部控制更为复杂。审计人员要想了解更多的控制信息和有关的控制制度,就必须掌握更多更先进的知识和审计技术手段。

1.6审计的效率提高。对网络会计的审计,主要是通过上网操作,利用审计接口软件在获得必要的授权后,获取企业会计和经济业务数据进行计算、分析、检查和核对;还可以通过网络进行网上查询和网上交流等。所有这些将大大减少审计人员的审计工作量和审计成本,从而提高审计效率。

2.网络会计审计的内容

2.1网络安全审计。网络安全审计是指,对被审计单位计算机网络系统的管理和防护、监控、恢复三种技术能力以及可能带来的经营风险等进行评估。在网络会计环境下,一方面提供了会计信息的共享性,提高了会计工作的效率;另一方面,电子形式的会计信息容易受到诸如网络故障、计算机病毒、黑客袭击和非法者的入侵等潜在威胁的影响。这些都会严重威胁会计信息和数据的安全。虽然一般的软件都采用了保障信息安全的措施,但是这些措施是否有效、合理,需要网络会计审计来检验鉴证,并作出监控反馈。

2.2网络内部控制审计。在网络会计信息系统中,内部控制的重点、方式、内容和范围均发生了变化,使得网络审计不同于传统审计和计算机桌面审计,呈现出新的特点。网络内部控制审计可分为一般控制审计和应用控制审计。针对网络会计信息系统的特征,通过网络内部控制审计,以评价网络会计信息系统的内部控制是否健全、有效,提示内部控制的弱点。

2.3应用程序审计。在对一个网络化会计信息系统进行符合性和实质性测试时,由于受到计算机网络程序复杂化和自动化的影响,往往不能仅仅检验数据本身,还须对网络程序的处理和控制进行审计。网络审计中对网络信息系统应用程序的审计目标体现在两个方面:第一,程序处理过程是否与有关的标准及法规相符;第二,考查网络系统程序对错误的检验和控制情况,如对输入网络信息系统中的数据正误的检验,会计证、账、表的试算平衡措施等。不进行相关应用程序审计将会给系统的运行留下隐患。

3.网络会计审计应注意的几个问题

3.1审计的范围问题。由于会计系统处于网络系统中,各业务部门执行的只是子系统中的一部分功能,任何一个工作站所提供的信息都是日常经济活动中不可缺少的组成部分,同时网络会计的支持还需要一些软硬件的配备。因此,要对计算机网络会计整个系统作出正确的评价,审计的范围将要扩大到服务器、工作站、传输介质、计算机网络会计软件等。

篇3

摘要

人工智能时代,网络空间安全威胁全面泛化,如何利用人工智能思想和技术应对各类安全威胁,是国内外产业界共同努力的方向。本报告从风险演进和技术逻辑的角度,将网络空间安全分为网络系统安全、网络内容安全和物理网络系统安全三大领域;在此基础上,本报告借鉴 Gartner 公司的 ASA 自适应安全架构模型,从预测、防御、检测、响应四个维度,提出人工智能技术在网络空间安全领域的具体应用模式。与此同时,本报告结合国内外企业最佳实践,详细阐释人工智能赋能网络空间安全(AI+安全)的最新进展。最后,本报告提出,人工智能安全将成为人工智能产业发展最大蓝海,人工智能的本体安全决定安全应用的发展进程,「人工+「智能将长期主导安全实践,人工智能技术路线丰富将改善安全困境,网络空间安全将驱动人工智能国际合作。

目 录

第一章 人工智能技术的发展沿革

(一) 人工智能技术的关键阶段

(二) 人工智能技术的驱动因素

(三) 人工智能技术的典型代表

(四) 人工智能技术的广泛应用

第二章 网络空间安全的内涵与态势

(一) 网络空间安全的内涵

(二) 人工智能时代网络空间安全发展态势

1、网络空间安全威胁趋向智能2、网络空间安全边界开放扩张3、网络空间安全人力面临不足4、网络空间安全防御趋向主动

第三章 人工智能在网络空间安全领域的应用模式

(一) AI+安全的应用优势

(二) AI+安全的产业格局

(三) AI+安全的实现模式

1、人工智能应用于网络系统安全2、人工智能应用于网络内容安全3、人工智能应用于物理网络系统安全

第四章 人工智能在网络空间安全领域的应用案例

网络系统安全篇

(一)病毒及恶意代码检测与防御

(二)网络入侵检测与防御

第三章 人工智能在网络空间安全领域的应用模式

人工智能技术日趋成熟,人工智能在网络空间安全领域的应用(简称 AI+安全)不仅能够全面提高网络空间各类威胁的响应和应对速度,而且能够全面提高风险防范的预见性和准确性。因此,人工智能技术已经被全面应用于网络空间安全领域,在应对智能时代人类各类安全难题中发挥着巨大潜力。

(一)AI+安全的应用优势

人们应对和解决安全威胁,从感知和意识到不安全的状态开始,通过经验知识加以分析,针对威胁形态做出决策,选择最优的行动脱离不安全状态。类人的人工智能,正是令机器学会从认识物理世界到自主决策的过程,其内在逻辑是通过数据输入理解世界,或通过传感器感知环境,然后运用模式识别实现数据的分类、聚类、回归等分析,并据此做出最优的决策推荐。

当人工智能运用到安全领域,机器自动化和机器学习技术能有效且高效地帮助人类预测、感知和识别安全风险,快速检测定位危险来源,分析安全问题产生的原因和危害方式,综合智慧大脑的知识库判断并选择最优策略,采取缓解措施或抵抗威胁,甚至提供进一步缓解和修复的建议。这个过程不仅将人们从繁重、耗时、复杂的任务中解放出来,且面对不断变化的风险环境、异常的攻击威胁形态比人更快、更准确,综合分析的灵活性和效率也更高。

因此,人工智能的「思考和行动逻辑与安全防护的逻辑从本质上是自洽的,网络空间安全天然是人工智能技术大显身手的领域。

(1)基于大数据分析的高效威胁识别:大数据为机器学习和深度学习算法提供源源动能,使人工智能保持良好的自我学习能力,升级的安全分析引擎,具有动态适应各种不确定环境的能力,有助于更好地针对大量模糊、非线性、异构数据做出因地制宜的聚合、分类、序列化等分析处理,甚至实现了对行为及动因的分析,大幅提升检测、识别已知和未知网络空间安全威胁的效率,升级精准度和自动化程度。

(2)基于深度学习的精准关联分析:人工智能的深度学习算法在发掘海量数据中的复杂关联方面表现突出,擅长综合定量分析相关安全性,有助于全面感知内外部安全威胁。人工智能技术对各种网络安全要素和百千级维度的安全风险数据进行归并融合、关联分析,再经过深度学习的综合理解、评估后对安全威胁的发展趋势做出预测,还能够自主设立安全基线达到精细度量网络安全性的效果,从而构建立体、动态、精准和自适应的网络安全威胁态势感知体系。

(3)基于自主优化的快速应急响应:人工智能展现出强大的学习、思考和进化能力,能够从容应对未知、变化、激增的攻击行为,并结合当前威胁情报和现有安全策略形成适应性极高的安全智慧,主动快速选择调整安全防护策略,并付诸实施,最终帮助构建全面感知、适应协同、智能防护、优化演进的主动安全防御体系。

(4)基于进化赋能的良善广域治理:随着网络空间内涵外延的不断扩展,人类面临的安全威胁无论从数量、来源、形态、程度和修复性上都在超出原本行之有效的分工和应对能力,有可能处于失控边缘,人工智能对人的最高智慧的极限探索,也将拓展网络治理的理念和方式,实现安全治理的突破性创新。人工智能不仅能解决当下的安全难题,而通过在安全场景的深化应用和检验,发现人工智能的缺陷和不足,为下一阶段的人工智能发展和应用奠定基础,指明方向,推动人工智能技术的持续变革及其更广域的赋能。

(二)AI+安全的产业格局

人工智能以其独特的优势正在各类安全场景中形成多种多样的解决方案。从可观察的市场指标来看,近几年来人工智能安全市场迅速成长, 公司在 2018 年的研究表明,在网络安全中人工智能应用场景增多,同时地域覆盖范围扩大,将进一步扩大技术在安全领域的应用,因此人工智能技术在安全市场内将快速发展,预计到 2024 年,可用在安全中的人工智能技术市场规模将超过 350 亿美元,在 2017-2024 年之间年复合增长率(CAGR)可达 31%。

MarketsandMarkets 公司在 2018 年 1 月的《安全市场中人工智能》报告则认为,2016 年 AI 安全市场规模就已达 29.9 亿美元、2017 年更是达到 39.2 亿美元,预测在 2025 年将达到 348.1 亿美元,年复合增长率为 31.38%。而爱尔兰的 Research and Markets 公司在 2018 年 4 月份了专门的市场研究报告,认为到 2023 年人工智能在安全领域应用的市场规模将达 182 亿美元,年复合增长率为 34.5%。由于机器学习对付网络犯罪较为有效,因此机器学习作为单一技术将占领最大的一块市场,到 2023 年其市场规模预计可达 60 亿美元。

除了传统安全公司致力于人工智能安全,大型互联网企业也在积极开展人工智能安全实践,如 Google、Facebook、Amazon、腾讯、阿里巴巴等均在围绕自身业务积极布局人工智能安全应用。

(三)AI+安全的实现模式

人工智能是以计算机科学为基础的综合交叉学科,涉及技术领域众多、应用范畴广泛,其知识、技术体系实际与整个科学体系的演化和发展密切相关。因此,如何根据各类场景安全需求的变化,进行 AI 技术的系统化配置尤为关键。

本报告采用 Gartner 公司 2014 年提出的自适应安全架构(ASA,Adaptive SecurityArchitecture)来分析安全场景中人工智能技术的应用需求,此架构重在持续监控和行为分析,统合安全中预测、防御、检测、响应四层面,直观的采用四象限图来进行安全建模。其中「预测指检测安全威胁行动的能力;「防御表示现有预防攻击的产品和流程;「检测用以发现、监测、确认及遏制攻击行为的手段;「响应用来描述调查、修复问题的能力。

本报告将 AI+安全的实现模式按照阶段进行分类和总结,识别各领域的外在和潜在的安全需求,采用 ASA 分析应用场景的安全需求及技术要求,结合算法和模型的多维度分析, 寻找 AI+安全实现模式与适应条件,揭示技术如何响应和满足安全需求,促进业务系统实现持续的自我进化、自我调整,最终动态适应网络空间不断变化的各类安全威胁。

1、人工智能应用于网络系统安全

人工智能技术较早应用于网络系统安全领域,从机器学习、专家系统以及过程自动化等到如今的深度学习,越来越多的人工智能技术被证实能有效增强网络系统安全防御:

机器学习 (ML, Machine Learning):在安全中使用机器学习技术可增强系统的预测能力,动态防御攻击,提升安全事件响应能力。专家系统(ES, Expert System):可用于安全事件发生时为人提供决策辅助或部分自主决策。过程自动化 (AT, Automation ):在安全领域中应用较为普遍,代替或协助人类进行检测或修复,尤其是安全事件的审计、取证,有不可替代的作用。深度学习(DL, Deep Learning):在安全领域中应用非常广泛,如探测与防御、威胁情报感知,结合其他技术的发展取得极高的成就。

如图 3 所示,通过分析人工智能技术应用于网络系统安全,在四个层面均可有效提升安全效能:

预测:基于无监督学习、可持续训练的机器学习技术,可以提前研判网络威胁,用专家系统、机器学习和过程自动化技术来进行风险评估并建立安全基线,可以让系统固若金汤。

防御:发现系统潜在风险或漏洞后,可采用过程自动化技术进行加固。安全事件发生时,机器学习还能通过模拟来诱导攻击者,保护更有价值的数字资产,避免系统遭受攻击。

检测:组合机器学习、专家系统等工具连续监控流量,可以识别攻击模式,实现实时、无人参与的网络分析,洞察系统的安全态势,动态灵活调整系统安全策略,让系统适应不断变化的安全环境。

响应:系统可及时将威胁分析和分类,实现自动或有人介入响应,为后续恢复正常并审计事件提供帮助和指引。

因此人工智能技术应用于网络系统安全,正在改变当前安全态势,可让系统弹性应对日益细化的网络攻击。在安全领域使用人工智能技术也会带来一些新问题,不仅有人工智能技术用于网络攻击等伴生问题,还有如隐私保护等道德伦理问题,因此还需要多种措施保证其合理应用。总而言之,利用机器的智慧和力量来支持和保障网络系统安全行之有效。

2、人工智能应用于网络内容安全

人工智能技术可被应用于网络内容安全领域,参与网络文本内容检测与分类、视频和图片内容识别、语音内容检测等事务,切实高效地协助人类进行内容分类和管理。面对包括视频、图片、文字等实时海量的信息内容,人工方式开展网络内容治理已经捉襟见肘,人工智能技术在网络内容治理层面已然不可替代。

在网络内容安全领域所应用的人工智能技术如下:

自然语言处理(NLP, Natural Language Processing):可用于理解文字、语音等人类创造的内容,在内容安全领域不可或缺。图像处理(IP, Image Processing):对图像进行分析,进行内容的识别和分类,在内容安全中常用于不良信息处理。视频分析技术 (VA, Video Analysis):对目标行为的视频进行分析,识别出视频中活动的目标及相应的内涵,用于不良信息识别。

如图 4 所示,通过分析人工智能技术应用于网络内容安全,在四个层面均可有效提升安全效能:

预防阶段:内容安全最重要的是合规性,由于各领域的监管法律/政策的侧重点不同而有所区别且动态变化。在预防阶段,可使用深度学习和自然语言处理进行相关法律法规条文的理解和解读,并设定内容安全基线,再由深度学习工具进行场景预测和风险评估,并及时将结果向网络内容管理人员报告。

防御阶段:应用深度学习等工具可完善系统,防范潜在安全事件的发生。

检测阶段:自然语言、图像、视频分析等智能工具能快速识别内容,动态比对安全基线,及时将分析结果交付给人类伙伴进行后续处置,除此之外,基于内容分析的情感人工智能也已逐步应用于舆情预警,取得不俗成果。

响应阶段:在后续调查或留存审计资料阶段,过程自动化同样不可或缺。

3、人工智能应用于物理网络系统安全

随着物联网、工业互联网、5G 等技术的成熟,网络空间发生深刻变化,人、物、物理空间通过各类系统实现无缝连接,由于涉及的领域众多同时接入的设备数量巨大,传感器网络所产生的数据可能是高频低密度数据,人工已经难以应对,采用人工智能势在必行。但由于应用场景极为复杂多样,可供应用的人工智能技术将更加广泛,并会驱动人工智能技术自身新发展。

情绪识别(ER, Emotion Recognition):不仅可用图像处理或音频数据获得人类的情绪状态,还可以通过文本分析、心率、脑电波等方式感知人类的情绪状态,在物理网络中将应用较为普遍,通过识别人类的情绪状态从而可与周边环境的互动更为安全。AI 建模(DT, Digital Twin/AI Modeling):通过软件来沟通物理系统与数字世界。生物特征识别 (BO, Biometrics):可通过获取和分析人体的生理和行为特征来实现人类唯一身份的智能和自动鉴别,包括人脸识别、虹膜识别、指纹识别、掌纹识别等技术。虚拟 (VA, Virtual Agents):这类具有人类行为和思考特征的智能程序,协助人类识别安全风险因素,让人类在物理网络世界中更安全。

篇4

关键词:网络环境;内部控制;财务管理

内部控制是公司治理的重要组成部分和前提,先进的内部控制造就先进的企业,先进的企业必须要有先进的内部控制作保障,而企业内部财务控制又是内部控制的重要组成部分,是大中型企业集团管理的重要内容,是保证企业集团财产安全的基础。随着网络经济时代的到来,以信息产业为主导产业的全球经济逐渐形成,因特网迅速发展,改变了企业经营模式和生存方式,使经营、管理和服务变得及时而迅速,这对原有的企业内部财务控制既是挑战也是不断发展和完善的机遇。

一、网络环境下企业内部财务控制的新问题

随着网络技术的推广使用以及信息化建设的不断发展,以提供财务信息为主的会计,正由传统的手工会计系统向电算化会计系统、网络会计系统方向发展,这无疑是企业管理手段的巨大进步,极大地促进了会计工作效率的提高,但同时也给企业内部财务控制带来了新的问题和挑战,具体表现在:

1.凭证电子化使得会计信息易于被篡改或伪造。在网络财务中,计算机是在程序的控制之下对输入的数据进行加工处理的,财务数据是存储于磁性介质上的,所以,一旦数据在审核时出现疏漏,或是在输入中发生错误,计算机就无法识别。因此,在保证会计信息质量真实性、完整性和准确性等方面,加大了风险性。

2.操作人员的权限变化和计算机操作的便捷性带来的安全问题。网络财务管理将由核算型财务向管理型财务转化,财务人员在职能划分和业务权限上也将发生很大的变化。利用计算机进行舞弊比手工操作下隐蔽性高、防范困难,因而在这种情况下如果控制措施不完善,就有可能使操作人员轻易地、不留痕迹地对所使用的程序和数据进行修改,操纵会计运算的结果。

3.财务档案无纸化和电脑操作无形化带来的风险。传统财务中的原始凭证因笔迹各异具有可辨认性,因多联复写具有相互牵制性,难以非法修改。而网络财务将实现“无纸化”办公,电磁化的财务信息代替了纸质凭证、帐簿和报表,这些磁性介质上的信息不再是肉眼所能直接识别的,对电子数据的修改可以不留任何痕迹,使会计轨迹更加模糊、隐蔽,给审计带来困难。

4.网络环境的开放性加剧了会计信息失真的风险。网络环境具有开放性的特点,这就给会计信息系统的内部控制带来了许多新问题。如在网络环境下,信息来源的多样性,有可能导致审计线索紊乱,大量会计信息通过网络通讯线路传输,有可能被非法拦截、窃取甚至篡改,等等。

5.网络财务带来了企业组织结构的不适应。当前的企业组织主要采用的是“金字塔”式的结构,是高层决策、中层管理、下层执行的模式,这符合了管理幅度理论。然而,在网络财务下,由于信息技术等高科技的采用大大提高了信息的共享性和传递的及时性,从而可实现财务管理的“纵向到底,横向到边”,导致了当前的企业组织结构与网络财务需要的环境不相适应。

二、网络环境下企业内部财务控制中的应用

1.整合财务资源,实现集中式财务控制模式。企业集团按照传统的财务控制模式,会计信息的收取只能由基层单位编制财务报表,然后层层汇总上报,最后由集团公司总机构对汇总报表进行分析,根据分析结果作出决策。这种金字塔式的财务控制模式,必然导致会计信息滞后,信息的有用性大打折扣,而市场的瞬息万变,客观上需要企业集团必须快速反应、及时决策,网络财务的出现使实现集中式财务控制管理成为现实。

2.执行财务预算,强化企业内部控制。财务预算是财务控制中目标管理的有效手段。财务预算的编制采用自上到下和自下到上相结合的方式,企业集团通过建立远程计算机网络,将下属子分公司及项目部的资金流转和预算执行情况都集中在计算机网络上,集团公司可以随时调用、查询子分公司的财务状况,全面控制各单位的经营生产情况,及时发现存在的问题和偏差,减少经营风险和制止资产流失。

三、加强网络内部财务控制的措施

先进网络技术在企业信息系统中的运用,给企业内部财务控制带来了很大的安全风险,但同时,网络技术与业务流程的结合,业务和财务的一体化,资源的高度共享,也给企业带来了控制风险的机会与工具。加强网络内部财务控制,完善企业内部财务控制体系,实施行之有效的网络内部财务控制措施,可以降低风险,减少损失,增强企业实力和竞争力,提高企业经济效益。

1.实施网上公证制度。就是利用网络的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控,因而很难伪造或篡改交易凭证。

2.加强组织与管理控制。一方面要探索改革能适合网络财务的企业组织结构和财务管理模式。另一方面应加强一个财务部门内部的组织与管理挖掘。

3.尽力杜绝企业现金交易,采用银行交易。笔者认为在当今网络技术和交易环境下,已可以实现完全的银行交易。不论是对企业或个人,都可使用银行票据或网络银行来进行支付。网上银行、手机银行、无线网卡、掌上电脑等等技术的发展,已完全可以让企业在任何时间、任何地点进行银行交易。银行交易会使交易双方、交易金额、交易方向、交易帐户信息,清晰明了可追溯,防止了伪造或篡改现象的发生,加强了网络内部财务控制。

参考文献:

篇5

近年来,由于黑客攻击而造成全球网络大范围感染病毒或瘫痪的事件时有发生,产生了巨大的社会影响,也引起了人们极大的关注,因此防火墙、入侵检测等防外部攻击的网络安全产品获得了巨大的发展机会。

但据权威市场调查机构Gartner Group的调查,在全球损失金额在5万美元以上的攻击中,70%都涉及网络内部攻击者。一些单位的内部人员以合法的身份、合法的访问权限,因为误操作或故意偷窃内部数据而给单位造成巨大的损失。

外部攻击影响巨大,但内部攻击危害巨大,为了解决内网安全问题,就出现了强审计产品。

强审计最重要的作用是“威慑”,有了强审计系统,犯罪或过失行为都会被记录下来,原来心存侥幸心理的往往不得不收敛,这也是许多信息系统安装了强审计系统之后,内部上网行为规范了许多,犯罪行为极大降低的主要原因。

2 强审计的概念

简单来说,所谓强审计,就是利用日志对网络上的行为、踪迹进行监控,并能事后取证的技术。但是,与传统的计算机日志相比,强审计的日志是不能随便删除、修改的。

强审计技术应该包括5个方面的内容:

(1) 网络审计,防止非法内连和外连;

(2) 数据库审计,以更加细的粒度对数据库的读取行为进行跟踪;

(3) 应用系统审计,例如公文流转经过几个环节,必须要有清晰的记录;

(4) 主机审计,包括对终端系统安装了哪些不安全软件的审计,并设置终端系统的权限等等;

(5) 介质审计,包括光介质、磁介质和纸介质的审计,防止机密信息通过移动U盘、非法打印或者照相等多个环节从信息系统中泄密。

本文将从网络审计、应用系统审计、主机审计、介质审计四个方面入手,介绍一种内网安全管理系统模型。

3 系统组成与部署

系统由中心服务器、网络探测器和终端安全三个部分组成。

网络探测器的硬件为Intel兼容的多网口专用硬件,操作系统为经过系统裁减和安全增强的Linux,运行网络探测、数据截获及数据流分析程序,实现接入审计、流量分析、阻断等功能。

终端安全安装并运行于x86架构的Windows操作系统上,负责搜集终端主机的基本信息和安全事件,并根据策略对外部设备进行相应控制,同时将审计、告警信息发送到中心服务器。

中心服务器是内网安全管理系统的核心,其硬件平台为Intel服务器架构,有两个以太网络接口,运行经过裁减和安全增强的Linux核心。负责对网内所有的网络探测器进行配置和管理,各种安全策略的集中配置和分发,管理上传的所有审计日志和告警信息,提供简便灵活的日志管理工具。

系统部署如图所示。

图中上方连接中心服务器和网络探测器的为系统内部通信管理网络,承担系统部件间的主要通信和管理,通过交叉线直接连接或者内部通信交换机连接;图的下半部分为用户单位的工作网络,各设备和工作主机通过交换机连接。

4 系统功能

4.1 网络层审计

网络层审计主要实现了网络探测、非法接入监控、数据截获、流量统计和网络行为审计。这些功能都由网络探测器来实现,并将相关数据通过内部通信管理网络发送到中心服务器。

(1) 网络地址的探测

网络地址的发现通过接入子网内部的网络探测器主动扫描和被动监听arp包实现,能发现网络内所有主机的IP和MAC地址,有利于管理员从宏观上掌握整个网络的具体情况。

(2) 非法接入的发现和阻断

对于非法接入的主机,系统提供人工干预方式和托管方式。在人工方式下,对非法主机接入行为进行告警,由管理员确定是否需要阻断。在托管方式下,对非法接入主机通过一定的策略自动对其进行阻断。

(3) 网络数据的截获

对于需要监听的子网,在交换机上配置相应的镜像口,同时将网络探测器的一个网口连到该镜像口上,启动网络监听程序以旁路方式截获内外网的通信数据。

(4) 流量的统计

网络探测器根据监听到的内外网通信的IP数据报文分析内网中主机的网络行为。流量审计记载的信息有内网IP和端口、协议、外网IP和端口,以及发送和接收的字节数等。可通过直观的图表方式反映网络行为的变化和趋势。

(5) 文件传输及邮件审计

分析网络中的pop3、smtp、ftp、http等协议数据流,从而还原出内网主机上传下载文件和收发邮件的行为。

4.2 应用层审计

应用层审计主要实现了受控终端安全事件的审计。这些审计信息都由终端安全来收集,并定时发送到中心服务器上。

(1) URL历史审计

URL历史审计记录终端用户IE浏览的历史信息。审计的同时将浏览信息分类为http浏览、https浏览、ftp浏览和最近打开的文档。

(2) 应用程序审计

为了让管理员掌握内网中各个终端的应用情况,终端安全通过获取终端进程信息定时审计本终端正在运行哪些程序。该审计对系统运转必须的一些进程进行了过滤,并且根据一般经验将终端运行的应用程序分为三类:安全相关的应用、工作相关的应用和其它应用。

(3) 文件操作审计

文件操作审计通过远程注入相关进程并拦截执行文件操作的函数,实时记录终端用户通过命令行方式或GUI方式创建、拷贝、移动(重命名)、删除文件的操作。审计过程中对临时目录文件、回收站文件进行过滤,避免了过量审计。

(4) 系统共享审计

“共享”作为一种开放资源,为终端用户提供方便的同时也给恶意程序以可乘之机。系统共享审计通过创建异步事件通知接收器捕获创建、取消系统共享的操作事件及时间,再通过获取事件实例属性审计其共享名和共享路径名,帮助管理员了解内网某台终端当前开启了哪些共享以及共享开启/关闭的历史情况。

(5) 系统服务修改审计

Windows服务能够创建在它们自己的Windows会话中长时间运行的可执行应用程序,一些恶意程序常以服务的形式创建和运行。系统服务修改审计通过创建异步事件通知接收器捕获系统服务修改事件,再通过获取事件实例属性审计服务的名称、服务描述、启动属性、运行状态,帮助管理员了解是否有可疑的服务修改动作。

(6) 注册表审计

注册表中存储了系统的大量重要信息,在很大程度上“指挥”电脑怎样工作,而一些恶意程序也通过修改注册表来达到其目的。通过审计注册表的修改,可以捕捉到这些恶意程序的蛛丝马迹。注册表修改的审计是通过在系统内核中实时截获系统服务实现的,通过该方法可以截获到通过手工或软件实现的注册表修改操作。将截获到的操作进行过滤,只记录其中与安全密切相关的部分操作的信息。

(7) 安全软件执行审计

为了防止内网主机绕过边界防护从外界感染病毒或木马,随后又成为向内网传播病毒、木马的源头,终端的安全防护十分必要,终端安全防护的强度和普及率从整体上反映了内网安全的一个重要方面。终端安全定时审计各个终端防病毒软件、防火墙软件的运行情况,为管理员掌握内网安全软件执行情况提供信息。

(8) 非法外连的控制和审计

一般政府部门的内网是不允许随意连入互联网的,但总有一些人有意或无意进行违规操作,给内网造成威胁。终端安全中加入了非法外连控制模块,一旦检测到主机能连上互联网,就立刻切断它与互联网的连接,并对外连行为进行记录。

4.3 主机系统审计

主机系统审计搜集的信息主要包括CPU类型、内存大小、磁盘分区、网络接口、操作系统类型、已安装的应用软件和系统升级补丁的相关信息。其中,CPU类型、内存大小、磁盘分区、网络接口、操作系统类型等信息是通过调用相应的WIN32 API获得的;而已安装的应用软件和系统升级补丁等信息则是通过查询注册表获得的。

4.4 介质审计和控制

这里的介质主要包括光盘、U盘、移动硬盘、网络驱动器,这些设备的使用方便了数据的移动,但任意使用的同时也给管理带来了问题。介质审计通过获取“设备接入”或“设备撤销”的系统消息,实时获知移动存储设备的启用和撤销,随后获取接入设备类型和所分配到的盘符,为分析移动存储设备上的数据流动提供必要信息。

介质控制是根据策略对光驱、软盘、USB移动存储盘、串口、并口、红外、1394、PCMCIA卡、调制解调器、蓝牙等设备进行禁用,从而避免了内网数据被有意或者无意泄漏出去。对接入主机的USB存储介质可以进行单向控制,管理员根据需要设定存储设备的使用权限(只读或者读写),既保留了移动设备的方便性,又堵截了移动存储设备可能带来的安全隐患。

5 系统特点

(1) 全面的系统自身安全防护体系

系统使用精简系统、身份认证、加密通信、操作系统安全性增强和隔离等多种技术和管理手段保证自身安全。系统通过对Linux核心的精简和安全加固,首先确保硬件平台操作系统的安全性;系统所有设备的通信口单独组成管理网络,从架构上保证系统的安全性;基于软、硬件的身份认证,从管理上维护系统的安全性。

终端安全从注册表保护、文件保护、进程保护、防卸载四个方面完成对自身的保护。

(2) 科学的内部安全策略管理机制

支持内部网络的组群工作模式,能够将计算机根据安全策略的不同分成安全组进行管理,对相同的组采用系统定制的策略模板或自定义策略模板进行集中的管理和审计,极大地提高了管理效率。

(3) 强大的终端控制功能

根据监察与审计管理中心的策略配置,可以对非法接入网络的主机进行网络阻断;为了防止信息外泄,可以禁用主机的串口、并口、1394、红外、USB、蓝牙等外部设备,可以对USB存储设备进行读写控制;为了杜绝内部网与Internet网的连接,所有安装终端安全的主机的非法外连将被切断。

6 结束语

本系统对内网的管理具有策略灵活和高效的特点,能够将各单位的绝大多数基于Windows架构的个人桌面系统纳入管理的范畴。通过本系统的应用,能够增强内部网络整体的安全性能,提供安全、方便的内网安全管理,解决目前内网中亟待解决的安全隐患,并且形成防范与威慑力量,防止内部人员的违规操作。

作者简介

篇6

网络系统构建之前,首选需要弄清楚的就是网络安全运行需求,这是后期制定安全运行方案的基础和前提。一般情况下,校园网络安全需求主要涉及到以下几个方面内容:其一,在网络互联的基础上保证通讯处于安全状态,这是最基本的要求;其二,服务器系统安全检测,评估效能的发挥,能够对于不安全行为进行阻挡,以保证系统的安全运行;其三,应用系统的安全性需求,也就是说关键应用系统能够在认证管理下,形成防病毒体系,保证各个入口的安全连接;其四,业务系统的安全需求,避免网络内部其他系统对于业务系统造成危害;其五,健全的校园网络安全管理规章,保证校园网的安全运行。

2校园网络安全总体设计思路

针对于校园网网络运行的基本需求,对于校园网络安全进行规划设计,并且在此基础上构建完善的校园安全体系结构,是保证校园网安全性的关键一步。在此过程中不仅仅需要满足上述的安全需求,还要对于可能出现的安全问题进行预警,以保证设计体系的合理性和科学性。具体来讲,其主要设计到以下内容:其一,以独立的VLAN,MAC地址绑定和ACL访问控制列表来进行VPN网络子系统的安全控制和管理,可以保证数据传输的安全等级达到最佳水平;其二,以网络安全检测子系统的构建,并在校园网中WWW服务器和Email服务器进行应用,在此基础上对于网络传输内容进行监督和管理,并且形成相应的数据库,避免非法内容进入校园网;其三,针对于安全需求,设置相应的安全防火墙,以双机设备方式去运行,实现防火墙子系统的构建;其三,基于控制中西和探测引擎技术构建入侵检测子系统体系,对于入侵行为进行监督和管理,并且将其屏蔽在网络安全范围之外;其四,全面升级网络系统的防毒系统,实现对于客户端PC机器的安全控制,形成统一的防毒服务器;其五,建立有效的漏洞扫描系统,实现自动修复和检查漏洞,保证补丁工作的全面开展;其六,针对于校园内部的侵袭行为,可以以建立内部子网审计功能的方式去实现内部网络运行质量的提高;其七,建立健全完善的校园网安全运行管理制度体系,为开展一切安全管理工作打下基础。

3整体构建校园网络安全体系的实现途径

校园网络安全体系涉及到多方面的内容,一般情况下会将其归结为物理层,链路层,网络层,应用层等几个方面。

3.1物理层安全体系实现途径物理层的安全性能主要针对于线路的破坏,线路的窃听,物理通路的干扰等安全缺陷问题。对此,需要做好以下工作:其一,采用双网结构作为拓扑网络结构方式,内外网使用不同的服务器,实现不同信道的运行,使得信息处于不同的高度路上运转,不仅仅可以营造安全的运行状态,还可以使得系统运行压力降低;其二,以双网物理隔离的方式去实现内外网布线系统的构建,从根本上杜绝了黑客入侵的可能性,同时还合理设置,避免出现内外网同时使用的情况。

3.2链路层安全体系实现途径链路层安全体系构建是保证网络链路传送数据安全性为根本性目的,主要使用的技术手段有局域网和加密通讯手段。具体来讲,其一,在交换机配置端口安全选项中,尽量将CAM表进行淹没;其二,在中继端口实现VLANID的专业化设置,保证端口设置成为非中继模式;其三,进行MAC地址绑定设置,避免出现IP地址被盗用。

3.3网络层安全体系实现途径网络层安全体系构建,主要是保证网络时能给授予权限的客户使用,避免出现拦截或者监听的情况。为了实现这样的目标,应该从以下几个角度入手:其一,设置硬件防火墙,运行访问控制技术程序,一旦遇到安全问题,使得其处于隔离状态;其二,网络入侵检测系统IDS的使用,能够对于网络入侵行为进行监督,由此构建起来第二道安全闸门;其三,在路由交换设备上进行安全技术应用,如VPN技术,加密机制及时,审计和监控技术等,都是其重要内容。

3.4应用层安全体系的实现途径对于应用层来讲,其安全体系的构建需要做到以下几点:其一,建立网络病毒防火墙,避免内外病毒对于网络文件系统的破坏;其二,设置服务器,尽可能的保护自己的IP地址;其三,构建操作系统补丁自动分发系统,保证能够及时的进行安全漏洞的修复;其四,积极开展认证和授权管理工作,对于多重身份认证和用户角色授权进行审计,以保证系统的安全性。

4结束语

篇7

关键词:计算机网络;安全;因素;对策

中图分类号:TP393.08文献标识码:A 文章编号:1673-0992(2010)05A-0051-01

21世纪的重要特征是数字化、网络化和信息化,计算机网络的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击,同时也产生了网络信息与安全的问题。鉴于信息网络的巨大作用和广泛而深刻的影响,网络安全问题受到了社会高度的关注。近年来,由于计算机网络连接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,再加上人类计算机技术的普遍提高,致使计算机网络遭受病毒、黑客、恶意软件和其他不轨行为的攻击越演愈烈。为确保信息的安全与网络畅通,研究计算机网络的安全与防护措施已迫在眉睫。

一、计算机安全的定义

计算机网络安全包涵“网络安全”和“信息安全”两个部分。网络安全和信息安全是确保网络上的硬件资源、软件资源和信息资源不被非法用户破坏和使用。国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。

二、影响计算机网络安全的主要因素

1.网络系统本身的问题。目前流行的许多操作系统均存在网络安全漏洞,如UNIX、MSNT和Windows。黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统的。具体包括以下几个方面:①稳定性和可扩充性方面,由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响;②网络硬件的配置不协调:一是文件服务器,它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。二是网卡选配不当导致网络不稳定,缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。

2.软件漏洞。每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接人网,将成为众矢之的。

3.病毒的威胁。目前数据安全的头号大敌是计算机病毒,它是编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点。

4.来自内部网用户的安全威胁。来自内部用户的安全威胁远大于外部网用户的安全威胁,使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,如果系统设置错误,很容易造成损失,并且管理制度不健全,网络维护没有在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。

5.缺乏有效的手段监视、硬件设备的正确使用及评估网络系统的安全性。完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术。

三、维护计算机网络安全的对策

1.依据《互联网信息服务管理办法》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制、各种网络安全制度,加强网络安全教育和培训。

2.加强网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品,加强上网计算机的安全。

3.配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们的侵袭、破坏。

4.采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统能够识别出任何不希望有的活动,从而限制这些活动,以保护系统的安全。

5.漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具。

6.利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,对于网络内部的侵袭,可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。

网络安全与网络发展息息相关,也与社会生产和生活关联密切、影响重大,加强计算机网络安全监管、维护网络安全,建立一个良好的计算机网络安全系统是对社会发展事业做出的一项重大贡献。只有多管齐下,内外兼治,才能生成一个高效、安全的网络系统。⑤①

参考文献:

[1]吴钰锋、刘泉、李方敏.网络安全中的密码技术研究及其应用[J].真空电子技术,2004

篇8

关键词:网络;安全漏洞;主机的探测;网络的探测

中图分类号:TP393 文献标识码:A文章编号:1009-3044(2007)17-31288-03

Detection Network Vulnerability Analysis

BAI Bin

(Corps Party School,Wujiaqu 831300,China)

Abstract: Apply along with the network of further thorough, the network safety a problem for day outstanding.In this paper, we first analyzed techniques for vulnerability finding, including theories as well as methods, and then illustrated in detail the network based vulnerability scanning system developed by us.

Key words:Internet;vulnerability finding;host-based vulnerability finding;network-based vulnerability finding

1 概述

随着网络技术的发展,网络安全变的越来越重要,然而庞大而复杂的网络体系也存在很多漏洞,检查这些漏洞也变的非常的不容易。通过研究漏洞探测技术开发漏洞扫描软件不仅减轻了管理者的工作,而且缩短了检测时间,因而成为网管的重要工具。漏洞探测技术是检测远程或本地主机安全脆弱性的技术,它通过获取主机信息或者与主机TCP/IP端口建立连接并请求服务,记录目标主机的应答,从而发现主机或网络内在的安全弱点。由于它把烦琐的安全检测过程通过程序自动完成。目前,国际国内市场上存在着许多漏洞探测类产品,尽管从外观和界面上看千差万别,但其功能和实现原理都类似。

2 漏洞探测技术的分类

漏洞探测技术有2种主要的分类方法。根据探测方法,可以将漏洞探测分为静态检查和动态测试法:

(1)静态检查:根据安全脆弱点数据库,建立特定于具体网络环境和系统的检测表,表中存放了关于己知的脆弱点和配置错误的内容,检查程序逐项检查表中的每一项并和系统进行对比。如果系统与之相符,则该项通过了检测。若不相符,则报告并建议修复措施。例如:对管理员账号:限制以管理员注册的用户个数:限制通过网络的管理员登录等。

(2)动态测试:应用特定的脚本或程序,去检查或试探主机或网络是否具有某种脆弱点。

根据探测的目标,探测技术可以分为基于主机的探测和基于网络的探测:①基于主机的探测:探测程序运行在所探测的主机上,检测本主机的安全情况。由于它是从系统内部发起的,因而又叫内部扫描。运行者必须拥有一定的权限。②基于网络的探测:探测器处于本地网络或远程的某个网络,通过发送和接收网络数据来分析网络上主机的安全漏洞,也叫外部扫描。实际上,外部扫描器就是模拟黑客的入侵过程,它不需要拥有目标系统的帐号。本文主要讨论基于网络的探测技术。

3 基于网络的探测技术原理和技术

基于网络的漏洞探测目的是探测指定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,模拟攻击,以测试系统的防御能力,找出可能的修补方法,从而使系统更加安全可靠。“知己知彼、百战不殆”,利用基于网络的探测器,不仅可以知道自身潜在的缺陷,而且,能及时发现对方的弱点,是现代信息的关键一步。在现代信息社会,基于网络的探测工具,不仅是网络管理员用于发现潜在漏洞的利器,也经常被黑客用来扫描网络上的目标和受害者 无论目的如何,网络探测器的原理都类似:它们向目标发送特殊制作的数据包,通过检查目标的反应,以及分析目标应答的内容和形式,判定目标是否存在某个已知的脆弱点。为了提高发现脆弱点的效率,探测系统不仅把探测的过程自动化,而且一般把相关的多个漏洞探测集成,例如,如果发现目标开放FTP服务,则探测是否能匿名登录,如果能匿名登录,则看是否可以向根目录写,如果可以,则目标可能被黑客攻击。目前,市场上存在着许多安全漏洞探测产品,它们的原理类似,区别在于实现的方法不同。有纯软件产品,有软硬一体化产品,有windows下的实现,有Unix系列操作系统上的实现;探测的脆弱点的种类不同,一般都能探测出国际上的主要漏洞信息:效率不同,用户接口不同,一般分为图形用户界面或命令行形式。下面简要介绍几个流行的自由软件。

(1)Nmap是一个优秀的信息收集和扫描的工具。它能扫描整个网络或一台主机上的开放端口,还能使用TCP/IP指纹来识别远程主机的操作系统类型。

(2)Satan是最早出现的安全审计工具。它包括一个关于网络安全问题的检测表,通过网络检查特定系统或者子网中具有的弱点,并报告它的发现。它能检查的弱点包括:NFS的导出权限、NIS的口令文件、 Sendmail的各种弱点、FTP、wu-ftpd和TFTP的配置问题、远程Shell的访问权限、windows是否提供无限制访问等。

(3)Nessus不仅是安全审计工具,也是公认的目前最好的漏洞探测软件。由J.Forristal等组织的脆弱性分析产品性能测试中,Nessus比NetRecon,HackShield,Retina,Inter-netScanner,CyberCop Scanner等著名的产品发现漏洞的准确性还高,在参加测试的产品中位居第一。国内许多安全探测系统都采纳了它的结构以及现有的成果。Nessus系统由客户和服务器2部分组成。客户端为管理员提供基于TCPIIP协议的远程GUI管理界面或命令行界面,允许管理员对扫描目标、扫描的种类、扫描的方式进行定制。服务器负责根据管理者的配置启动/停止相应的扫描部件,此外它还提供了用户管理、客户服务器间的认证以及加密数据传输等。

4 基于网络的安全漏洞探测系统

4.1 系统介绍

我们以Nessus为基础,采用插件结构,研制了面向网络的漏洞探测工具,并把它与脆弱性数据库建立联系,以展示探测的完备性。系统整体结构如图1所示。

篇9

【关键词】数字化;校园网;安全隐患;安全机制

数字化校园网以计算机技术和数字化技术为基础,采用先进的信息工具和手段,实现教育、科研、管理等学校信息资源的采集、处理、应用等的数字化管理,从而创造一个良好的网络教育环境。

一、学校数字化校园网存在安全隐患

随着计算机信息技术的发展,网络广泛应用于信息媒体交换的各个领域。随着学校信息化的建设,校园网具有开放性、互联性以及多样连接的特点,有利于充分利用教学资源,进行信息交流,但是由于网络自身的技术隐患以及人为隐患,校园网的安全问题至关重要。

校园网数据的破坏,会影响教育教学的成效,比如非法更改考试成绩,学生信息等,甚至还可能盗取学校的机密文件以及学校的招生政策等,从而给学校造成巨大的损失。另外,校园网用户接入点的数量非常大,使用率非常高,而大部分管理功能都是由网络中心完成的,所以网络中心的负荷量非常大,包括网站的维护、网络相关费用。

学校校园网的主要服务对象是学生。学生处于玩耍时期,经常玩游戏、下载电影,会严重影响网络速度,阻塞网络的正常运行。有些学生安全隐患意识差,经常浏览未知网页,接收陌生人发来的邮件或者未知文件,点击存在安全隐患的网站,这些行为都可能使校园网遭受黑客的攻击,导致校园网病毒泛滥,数据信息丢失,造成网络瘫痪。

二、实施学校数字化校园网安全机制

建立一个高效运行、科学合理的安全机制的数字化校园网,具有非常重要的意义。为了解决校园网存在的安全隐患,必须采用多种安全防范技术,保证数字化校园网的正常运行。解决网络安全问题,仅仅依靠网络管理员的经验和技术是不够的,面对极其复杂和不断变化的网络环境,必须找出存在的安全隐患以及安全漏洞,进行科学合理的风险评估,采用先进防范技术,优化网络配置,消除安全隐患。

1 采取防火墙技术和入侵检测技术

防火墙可以保护网络内部操作环境。防火墙通过数据信息的源地址、目的地址以及网络协议,监测、控制以及更改跨越防火墙的数据流,决定站点是否允许访问,从而避免非法用户的入侵。防火墙就像一个隔离器,监控内部网和外界网络之间的活动,有效地对外隔离,实现网络的安全。防火墙技术是防止外部非授权访问以及黑客攻击的重要途径,也是实现网络安全的有效策略。

根据数字化校园网的实际环境,可以合理设置防火墙安全策略:内外网络可以使用两套IP地址,实现地址转换的功能;通过IP地址,绑定MAC地址,防止IP的欺骗和盗用,导致乱用资源;通过应用服务,隔离内部校园网以及外界网络;支持安全服务器网络,内部校园网可以访问外界网络,但是禁止外界网络访问校园网,从而防止外部攻击,保护内部网络安全;开启黑白名单功能,根据IP地址,协议类型,查看学生访问的不良记录,过滤不健康网站;启动网络入侵检测以及报警功能,有效预防网络隐患。

入侵检测技术可以通过审计记录,检测计算机网络中违反网络安全的行为并报告,保护计算机网络的安全。在校园网络中,可以使用基于网络和基于主机的入侵检测系统,及时发现网络中的异常现象,限制这些非法活动,从而构成完整的安全防御体系。

2 实施安全隔离网闸

安全隔离网闸可以切断网络之间的链路层连接,并在网络之间对应用数据进行安全调度。安全隔离网闸可以保证校园网的安全,还可以使用户正常浏览网站网页、收发电子邮件、交换不同网络之间的数据库数据,交换网络之间的定制文件。

根据数字化校园网的实际运行环境,可以合理设置安全隔离网闸的安全策略:隔离网络内部和外界用于网络数据传输的TCP/IP协议以及其他应用层协议,以免造成漏洞,危害网络安全;阻断网络内部和外界网络之间的物理连接,防止外界网络攻击,保护内部校园网;内部校园网和外界网络采用一套IP地址,从而实现指定协议通讯功能;允许外网指定机器访问内部网络的特定应用,比如FILE,DB;允许内部校园网访问外网特定服务和应用,比如HTTP,FILE;具有自身保护能力,可以防范常见的DoS攻击和DDoS攻击。

3 防范计算机病毒

计算机病毒可以在各个网络系统之间进行传播,而且传播速度非常快,从而造成难以承受的危害。校园网属于内部局域网,必须根据服务器操作系统,安装防病毒软件,隔离计算机病毒,及时查杀计算机病毒,避免网络之间计算机病毒的泛滥,保证网络数据的安全。

根据计算机网络以及计算机病毒的特征,合理设置安全防范策略:在两个或者多个网络边界之间以及网关处,安装防病毒软件,拦截计算机病毒,不但拦截效率高,而且耗费的资源少;在邮件系统和文件服务器上安装防病毒体系,识别邮件、文件以及附件中的病毒,防止病毒邮件以及病毒文件的传播;针对计算机网络可能的病毒攻击点,设置病毒防范体系,全方位、多层次地进行防毒控制,保护网络安全;通过监控中心管理和维护整个计算机网络系统的防毒情况。降低维护成本以及工作量,提高防病毒系统的升级与更新。

4 对学生宿舍区域采用标准化认证

对于学生宿舍区域的认证,可以采用分布式认证方式分散网络用户的认证,如果某一区域发生网络故障,不会影响到整个网络的用户。由于学生宿合区域用户数量大、网络流量大,所以采用的认证方式应该具有很高的效率,保证用户及时通过认证,而且保证网络在用户多、流量大的情况下可以高效、稳定地运行;另外,有些用户由于好奇心的驱使,可能会使用一些病毒软件或者黑客软件,从而对网络造成危害,因此认证方式必须具有比较高的安全性,具有防止恶意攻击的功能。

5 优化数据存储方案

数字化校园网涉及的内容相当广泛,包括信息资料数字化、全方位查询检索以及数据存储和管理等,另外,数字化校园网还提供视频资料、音频声像以及电子图书等煤体资料。随着数字信息的迅猛增长以及越来越大的存储容量需求,实施高容量、可扩充的数据存储方案是网络安全的重点。NAS存储和SAN存储等可以满足用户的需求,并且具有可扩充性,帮助用户解决海量的数据存储问题。

篇10

[关键词]企业电子商务;网络安全体系;防火墙

[DOI]10.13939/ki.zgsc.2015.41.073

1 概 述

随着IT技术的飞速发展,企业对网络越来越依赖,企业的运营方式、组织形式、商品交易的支付手段等正快速走向数字化。当企业的商业化应用与互联网结合就形成了如今的电子商务形式。由于企业进行商品交易的活动是在互联网上运行的,其业务的平台或基础是建立在互联网上的网站,商业活动产生的数据需要通过互联网进行传输,企业电子商务网站为客户提供的商务服务、企业形象展示、品牌推介、产品交易、数据库内容及客户账号信息等数据均需要在相应网站上进行存储,网站运行在完全开放的网络上必然会出现安全问题,如病毒入侵、黑客攻击等,因此网络安全问题也成了企业商务活动十分关注的问题。

2 企业电子商务网站网络安全风险

2.1 黑客攻击

目前黑客对企业电子商务网站的攻击方式主要有拒绝服务攻击、网站后门攻击、恶意脚本攻击、跨站脚本攻击、网页篡改、信息炸弹、密码破解等。这些攻击的主要目的是获取网站服务器的控制权,窃取系统中的数据和密码,窃取用户资金,破坏企业电子商务网站系统。

2.2 病毒入侵

目前全球已知病毒已近2亿种,新病毒或病毒变体每天都在发现,病毒造成的危害越来越大,病毒入侵造成的破坏已成为企业电子商务活动的重大威胁,目前主要的病毒危害有“木马病毒”、“网页病毒”、“蠕虫病毒”等。

2.3 系统或软件漏洞

当系统或软件存在逻辑设计上的错误或设计者对安全的忽略时,系统或软件就会存在安全漏洞。在企业电子商务网站上系统或软件漏洞因各种原因是可能存在的,这对企业电子商务活动将造成非常大的危害,可能被不法分子恶意攻击,他们可能轻易进入网站服务器系统,随意修改和窃取用户信息。

2.4 缺乏IT管理

企业对其电子商务网站或系统缺乏严格的管理,导致遭受攻击和破坏。

3 企业电子商务网站网络安全需求

3.1 网络互联和通信安全需求

提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段。

3.2 服务器系统安全需求

对网络和主机设备实行主动的漏洞检测和安全评估,及时发现操作系统和数据库系统中存在的安全漏洞;对关键的服务器操作系统进行安全加固,通过严格的用户认证、访问控制和审计,防止黑客利用系统安全管理功能的不足进行非法访问,同时避免内部用户的滥用。

3.3 应用系统安全需求

建立好CA认证系统,加强对关键应用系统的用户认证和管理;建立企业级网络防病毒措施,对病毒传播的所有可能的入口进行严格控制,尤其防范病毒通过互联网连接侵入内部网络。

3.4 业务系统的安全需求

访问控调、数据安全、入侵检测、来自网络内部其他系统的破坏。

3.5 安全管理需求

校园网络需要建立完善的安全管理制度,加强对工作人员的安全知识和安全操作培训。

4 企业电子商务网站网络安全体系总体结构设计

4.1 VPN网络子系统

VPN网络是在电信公司提供的城域网上实现的。企业电子商务网站网络采用独立的VLAN。为了保障各用户点不同的业务,可采用VLAN、MAC地址绑定、ACL访问控制列表来实现安全控制。采用IPSEC组建VPN虚拟专用网,IPSecVPN技术建立从网点路由器到中心路由器的VPN隧道,该VPN隧道里主要传输的是企业电子商务网站中心主业务系统的数据。VPN网络子系统实现各用户点到中心多业务数据的安全可靠传输。

4.2 安全检测子系统

在网络的WWW服务器、Email服务器等各种服务器中使用网络安全检测子系统,实时跟踪、监视网络,截获互联网上传输的内容,并将其还原成完整的WWW、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网络中心报告,采取措施。利用专门的日志分析工具对保存在数据库中的访问日志进行统计并绘制统计图,可以对访问地址和流量进行分析,对于明显的攻击便可一目了然。

4.3 防火墙子系统

防火墙是一种网络隔离控制技术,在企业电子商务网站网络上安装防火墙可将内部网络与外部网络进行隔离,同时对传输信息进行过滤。防火墙可按照网络管理者设定的过滤规则允许或限制内外网之间、计算机与网络之间的数据传输,只有经授权的通信才能通过防火墙。

防火墙是企业电子商务网站整个安全系统的基础和基本防护措施,通过防火墙的部署,解决全网的安全基础问题。核心防火墙采用双机设备方式工作。

4.4 入侵检测子系统

入侵监测子系统解决各个安全区域的“安全守卫”工作。在企业电子商务网站网络中采用入侵检测技术,最好采用混合入侵检测,从基于网络的入侵检测和基于主机的入侵检测两方面着手。

4.5 网络防毒子系统

采用多层次的立体防护体系,对客户端计算机、服务器、网关等均安装相对应的防病毒系统。在网站中心部署一台防病毒服务器,设置集中控制系统。实现全网各个不同安全区域防病毒,做到统一升级,集中监控查杀病毒以及客户端PC机器的安全控制。采用“集中管控、层层防护、防杀结合”的策略。

4.6 漏洞扫描子系统

解决网络安全问题,首先要清楚网络中存在什么安全隐患。漏洞扫描技术可自动扫描远端或本地主机的安全薄弱点,并将扫描得到的信息以统计方式输出,为网络管理员提供分析和参考。漏洞扫描还可以确认各种配置的正确性,避免网站遭受不必要的攻击。

4.7 WSUS子系统

在内网配置一台WSUS服务器,用来做内网的升级服务器和控制台。在独立的外网的WSUS服务器升级后,导出升级数据,将数据文件通过存储介质导入内网的WSUS服务器上完成服务器的升级。

4.8 监听维护子系统

对网络内部的侵袭,可采用为网络内部的各个子网做一个具有一定功能的审计文件,为管理人员分析内部网络的运作状态提供依据。

4.9 管理制度子系统

为保证各项安全措施的实施并真正发挥作用,针对每个安全层次,分别制订相应的可实施的规章制度。

4.10 备份恢复子系统

建立网络系统良好的备份和恢复机制,可在设备出现故障或是网络遭受攻击时,能尽快地恢复数据和系统服务。数据容灾系统使用两个存储器,一个放置在本地,另一个放置在异地,在两个存储器之间建立复制关系。异地存储器实时复制本地存储器的关键数据。

4.11 数据加密技术

对内外网之间交互的信息采用加密技术。

5 结 论

通过整体构建、分层设计的方法,实现了企业电子商务网站网络安全体系的设计。通过种种安全技术手段,为网络提供了一个完整的网络安全防御体系的解决方案;与此同时,还应加强网络的管理,建立有效、健全的管理体系,最终达到保护网络信息系统安全性的目的。

参考文献: