网络安全服务的开展范文
时间:2023-10-09 17:30:07
导语:如何才能写好一篇网络安全服务的开展,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
实现系统安全风险的全面识别,才能采取有效安全防范策略。基于这种认识,本文对层次化网络安全威胁态势量化评估方法进行了分析,以期为关注网络安全评估话题的人们提供参考。
【关键词】
层次化网络;安全威胁态势;量化评估方法
引言
从服务和主机重要性角度出发对网络安全态势展开量化评估,将能提供直观安全威胁态势分析图,从而在降低网络安全管理人员的工作量的同时,为管理人员制定有针对性的安全策略提供科学依据。因此,相关人员还应该加强该种网络安全威胁态势量化评估方法的研究,以便更好的开展相关工作。
1网络安全威胁态势量化评估研究
所谓的网络态势,其实就是各种网络装备的运行状况,是整个网络当前状态和变化趋势。在用户行为和网络行为发生变化的情况下,网络态势则会随之变化。而网络安全态势则是网络安全状态的变化趋势,对其展开评估需要通过大范围网络监控完成大量网络安全信息的收集。自计算机出现以来,网络安全问题就一直存在,不仅将威胁个人权益,还将威胁国家安全。对网络安全进行评估,则有利于加强网络安全管理。目前,国内在网络安全威胁态势量化评估方面使用的指标比较片面,获得信息的途径也较为单一,很难满足实际需求。在网络空间状态意识框架建立上,未能完成圆形系统构建,以至于较难实现有效评估网络空间安全性的目标。得到广泛使用的评估方法则为SSARE,可以检测计算机攻击状态及呈现出的态势[1]。而利用IDS日志库开展取样分析工作,则能加深对主机了解,从而完成层次化网络安全威胁态势量化评估体系的建立,继而从网络、主机和服务多方面完成评估。
2网络安全威胁态势量化的评估方法
2.1评估模型
按照网络拓扑结构和规模,可以将网络系统划分为网络、主机和服务三个层次,而网络攻击多针对主机提供的特定服务。根据这一特点,可以采取“自下而上”、“先局部后整体”和“横向关联”的策略开展网络安全威胁态势量化评估工作。采取该策略建立评估模型,可以IDS报警和漏洞扫描结果为原始数据,然后在服务层完成单次攻击对信息安全造成的威胁的评估。通过对威胁的严重程度进行评估,则能够完成量化分析。而DoS类攻击主要会在主机层造成危害,该层别态势由攻击对信息和服务造成的威胁严重程度,需要分别结合单台主机上攻击路径和给服务可用性造成的影响展开评估。完成各主机层态势量化评估后,则可以通过计算态势指数加权和完成网络层态势指数的计算。在这一过程中,需要对每个主机服务潜在的威胁展开全面分析,并对威胁攻击的损失程度、网络宽带占用的数据和可能发起的攻击次数等内容展开分析,以便完成主机系统安全性的综合评定。
2.2定量分析
对于层次化网络来讲,网络服务造成的威胁将成为影响网络的重要因素。其中,威胁程度、严重后果和服务访问量都会对网络服务构成威胁。因为,受攻击时间的影响,服务访问量会产生一定差异性。所以在计算时,需要对时间窗口进行分析,并对具体某个时刻的服务威胁指数进行计算。在计算过程中,需完成时间段划分。具体来讲,就是将网络时间划分为晚上12点到8点、上午8点到6点、下午6点到晚上12点三个时间段,然后以各时间段的访问量平均值为依据对正常访问量向量进行赋值,即利用1、2、3、4、5分别代表超低级、低级、中级、高级、超高级这四个级别的访问量。对原始数据进行归一化处理后,则能够得到正常访问量向量值[2]。在此基础上,需要按照攻击事件严重程度开展一系列调查,以确定威胁指数的有效性,确保评估结果符合合理性标准。从有关研究来看,严重程度分别为1和2的分别发生100次和10次攻击,可以获得一致的威胁指数。所以在计算威胁指数时,应增加攻击严重程度,以免威胁指数计算结果因特殊状态而与现实之间出现偏差。
2.3参数确定
在对各层次的威胁指数进行计算时,需要对各层次的威胁程度指数、重要性权重和网络宽带占有率进行确定。确定威胁程度指数,可以将报警日志中的无效攻击尝试排除在外,从而使评估更加准确。因为,考虑无效攻击尝试,将导致成功攻击次数减少,从而导致攻击威胁指数减小。对网络宽带占有量进行测定,则可以为攻击次数的威胁分析提供依据,因为有效攻击将通过消耗网络宽带导致网络拒绝服务[3]。此外,还要通过评估服务器上数据动态、量变和人为因素进行服务和主机重要性权重的确定。
3结论
使用层次化网络安全威胁态势量化评估方法,可以从多个层次直观反映网络安全威胁态势,所以能够帮助网络管理人员更好掌握网络安全动态,并制定有针对性的安全策略。
作者:李智勇 单位:吉林省人力资源和社会保障信息管理中心
参考文献
[1]陈锋,刘德辉,张怡,等.基于威胁传播模型的层次化网络安全评估方法[J].计算机研究与发展,2011,06:945~954.
篇2
关键词:电力信息 网络安全 防范措施
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)12-0214-01
1 电力信息网络安全的现状
1.1 缺乏安全意识
电力企业实现网络信息化建O,使电力企业得到了很大的发展,但是电力企业却缺乏信息网络的安全意识,对信息网络中发生的信息安全问题缺少足够的认识。
1.2 缺乏规范化的管理
我国电力企业并没有建立统一的、 规范的关于信息网络系统的安全管理规范,使信息网络安全缺乏统一的防范措施,所以总是出现违规操作。
1.3电力信息网络安全的基础设施不完善
信息网络的基础安全设施建设是信息网络安全的基础,而电力信息网络的安全设施却存在很多缺陷,使电力信息网络安全无法得到保障。
2 电力信息网络安全存在的问题
2.1 恶意的入侵
电力信息的高机密网络信息如果受到网络黑客的恶意入侵,就会使信息被盗。黑客带有技术恶意的入侵,使电力企业的电脑受到攻击,而恶意入侵不仅会盗取电力重要的信息,还可能做出解除密码、清除资料等行为,而这些行为都会严重影响电力企业的正常经营与管理。电力企业的信息网络安全时刻处于隐患中,一旦发生恶意入侵,电力信息网络的安全保护措施显得十分脆弱,无法抵挡。密码十分容易的被破解掉,这往往由电力企业自身造成的,不重视文档的密码管理,有些重要文件甚至不设置密码,使恶意入侵者十分容易获取资料,不留痕迹的带走资料退出系统。
2.2 病毒的传播
电脑中毒,估计每个计算机用户都发生过这个情况,开机变慢、反应速度变慢、电脑时常发生死机,电脑联网就很有可能中毒,有些病毒甚至无法分析出种类。目前电脑病毒一般为两种,其中一种是病毒、蠕虫性质。以程序对目标进行破坏,进行破坏后的目的实现。这种病毒会大量复制,就像生物学中的病毒扩散一样,将病毒逐个盘传染,依附载体进行病毒的传染,并且会不断的进行繁衍。蠕虫性质既有病毒的性质,又具有广泛的传播和隐蔽性,使杀毒软件不能发现处理,并且对杀毒软件抵制,具有极强的破坏性,为黑客所使用。
3 电力信息网络安全防范的措施
3.1 加强安全管理
电力信息网络安全管理包括网络设备的安全管理、 信息的安全管理与人员的安全管理。
3.1.1 网络设备的安全管理
网络设备的安全管理要实现双网双机和分区防御,建立等级防护和多层防御的体系。对网络因数据流做好检测与控制工作,对网络的访问进行严格的控制,对网络的入侵开启防护措施,对网络访问权限要严格控制,甚至对于远程用户也要做好标识和认证工作。
及时检测网络的性能,净化网络的安全运行,业务信息传输时要进行加密措施,实现对信息的保密,使敏感类信息可以经加密措施得到保护,防止非法的侦听与盗取。
采用内网与外网隔离的措施,安装硬件的防火墙、安装入侵检测系统和服务器核心防护系统等先进的网络监控系统,使网络安全事故有效降低。
3.1.2 加强人员管理
电力企业要定期开展内部信息网络安全培训,使员工增强信息网络安全防范的意识。培养员工建立良好网络使用习惯,与工作无关存储的设备禁止在企业电脑使用,不允许在企业电脑安装盗版的软件和与工作无关的软件,也不允许到网络上随意下载软件,对电力信息网络开机口令要定期进行修改,对屏幕要设置密码,对每台操作的电脑都要进行定期的杀毒和文件的备份工作等。只有提高企业所有人员的信息网络安全化意识,才能真正开展电力信息网络安全防范措施。
3.2 防止恶意的入侵
3.2.1 及时发现漏洞
将电力信息网络中不必要端口与服务进行关闭,要及时发现系统的漏洞,一旦出现漏洞,要及时升级各种补丁,防止系统受到恶意的入侵。将电脑与系统闲置的端口和可能存在威胁的端口和服务要进行关闭,这可以有效预防黑客从这些闲置的、存有威胁的端口或服务进入,甚至破坏。如果一旦发现流行病毒后门的端口或者远程的服务访问,也要进行关闭。
3.2.2 设置防火墙与入侵检测系统
防火墙可以有效防止恶意的入侵和攻击,是计算机系统自我保护的重要屏障。防火墙可以对各种软件进行识别,也可以对抵抗非授权的访问进行技术控制。内部的资源哪些可以被外界访问,外部的服务哪些可以被内部人员访问,都可以进行识别。防火墙的抗恶意攻击和免疫能力较强,可以对企业内部的网络进行划分,对各个网段进行隔离,限制重点或者敏感部分的网络安全。
4 结语
综上所述,本文对电力信息网络安全的现状、 存在的问题、防范的措施进行了分析,有了充分的了解后,电力企业一定要加强信息网络安全的建设,使信息网络的安全得到保障,才能使电力企业应用稳定的信息网络,为满足人民服务更好的开展工作,保证电力企业实现可持续发展。
参考文献
篇3
【关键词】银行业务;网络安全;安全防护
近几年来,随着互联网技术和通信技术的高速发展,各大银行网络业务的竞争日益激烈,网络结构变得越来越复杂,进一步凸显了银行网络安全保障方面存在的问题。因此,必须加强对银行网络安全防护的统一规划和建设,确保银行网络业务的正常开展和运营,促进银行新型网络业务的发展。
1 银行网络安全防护机制的构建意义
随着银行网络业务规模的持续扩大,网络面临的安全隐患问题也逐渐增多。如何在确保银行网络业务可持续发展的基础上完善其安全体系,降低银行网络面临的风险问题,成为了网络安全领域面临的重大挑战。本文旨在解决银行网络业务存在安全隐患和威胁的基础上,形成清晰的网络拓扑结构,使其具有良好的身份认证策略、访问控制策略和入侵检测方法,确保银行网络在正常运营的前提下拥有较强的抗病毒、抗攻击能力。
2 银行网络安全防护系统体系架构设计
银行网络安全防护系统的基础网络采用三层架构模式,由上到下分别为网络核心层、网络汇聚层和网络接入层。
网络核心层:其功能主要是为银行开展网络业务提供高速率数据传输和稳定的骨干网络传输结构,因此,网络核心层必须具有郊区的可靠性和稳定性,以及高速率的网络连接技术,以适应网络情况的实时变化。
网络汇聚层:网络汇聚层是接入多台网络交换机的汇聚之处,需要对来自下层的全部数据通信进行处理,同时将处理结构反馈到网络核心层的上行链路,由此起到承上启下的汇聚作用。网络汇聚层的设计要充分满足银行网络业务增长的需求,还要进一步综合考虑新兴业务的扩展应用。
网络接入层:主要为网络用户连接到网络提供服务,具有网络带宽共享、网络划分和MAC地址过滤等功能。网络接入层的交换机端口密度高、价格成本低,可以考虑采用堆叠式和网管式交换机,其高速端口与汇聚层交换机连接,普通端口与计算机终端连接,从而缓解骨干网络的拥塞情况。
3 银行网络安全防护系统网络拓扑设计
图 1 银行安全防护网络拓扑结构图
银行安全防护网络拓扑结构采用三层双星型架构模式,这种网络架构模式的网络层次明确,具有高度的安全性、稳定性和可扩展性。三层结构模式使网络层级功能明晰,以确保网络后期建设维护操作方便;双星结构模式可以保证银行网络业务通信的实时性,同时实现网络负载均衡和实时备份功能。三层双星型复合架构有利于银行网络业务的动态扩展,更有利于网络安全防护机制的顺利实施。银行安全防护网络拓扑结构如上图1所示。
4 银行网络安全防护机制设计
4.1 入侵检测系统
入侵检测系统的部署主要是防止外界非法人员对银行网络进行攻击,及时发现非法人员的入侵行为,以确保能够立刻采取网络防范措施。在银行网络中的关键部位部署入侵检测系统,可以实时监测流入和流出银行网络的数据流量,分析确认非法入侵行为,以确保银行网络业务的正常开展。银行网络安全防护系统中的入侵检测工作流程如图2所示:
图2 入侵检测系统工作流程图
4.2 堡垒主机防御
堡垒主机的部署主要目的是实现银行内部办公人员与外部人员访问银行内部网络资源全部都要经过堡垒主机,对全部操作数据信息进行实时记录,确保操作行为审计。
4.3 网络防病毒系统
网络防病毒系统具有一定区域范围内实时监控和杀毒能力的软件系统,具有网络病毒隔离、病毒种类识别鉴定、病毒根源实时跟踪等特点。银行网络安全防护系统采用SOC病毒服务器,可以实现企业级的防病毒部署安装,对终端病毒进行统一管理。
4.4 动态口令认证系统
动态口令认证系统可以实现网络用户合法身份的认证,将发送给网络用户的密码和USB Key作为身份认证依据,在网络设备中启用Radius认证,同时实现口令认证服务器的联动来确保网络用户身份的合法性。当登陆到动态口令认证系统时,其口令是随机变化的,为了防止网络监听、数据假冒和猜测等攻击问题,每个口令只能输入使用一次。
4.5 漏洞扫描系统
漏洞扫描系统是采用扫描漏洞的手段对本地计算机系统的安全情况进行检测,基于安全漏洞数据库来发现系统漏洞,因此,漏洞扫描系统属于一种渗透攻击行为。
4.6 漏洞补丁系统
漏洞补丁系统采用的是C/S架构模式,客户端已经配置在不同的操作系统中,由此将客户端与服务器相互连接,实现漏洞补丁的自动下载功能。
4.7 数据库安全设计
数据库安全指的是对数据库系统中的数据信息进行有效保护,防止数据信息遭到非法窃取和泄露。在银行网络安全防护系统中,数据库与操作行为的安全性是相互结合的,当网络用户登录到系统之后,系统会对应不同网络的权限进行角色确认,才能允许用户登录到数据库系统中,同时,用户存取数据库中的资源权限也要经过操作安全性检测后才能允许进行,以最大限度确保了系统数据库的安全。
5 结论
综上所述,本文提出的银行网络安全防护系统可以创建统一管理的网络对外接口,确保对银行网络业务数据的高效管理和内部资源共享,切实提高银行内部网络访问的可信度,降低网络安全威胁事故的发生率。
参考文献:
[1]于顺森.探讨银行计算机网络安全管理[J].信息与电脑(理论版),2013(02).
[2]王晓姝.商业银行网络安全风险分析[J].中国新通信,2013(09).
[3]田雷年.银行无线网络组网及安全研究[J].中国新通信,2013(10).
篇4
关键词:计算机;信息管理;网络安全;重要性
一、计算机网络安全威胁因素
(一)软件漏洞
计算机的使用中,涉及到各种软件工具,这些软件自身的应用系统可能就存在漏洞,导致将软件安装在电脑中使用时,就会因为软件自身的漏洞造成计算机系统的面临威胁,借助这些软件漏洞,一些网络技术高手就能带入病毒,威胁计算机安全使用。
(二)配置不当
计算机硬件配置对于计算机的网络应用安全也会产生较大影响,如果在计算机中安全的防火墙软件配置存在问题,与计算机不匹配,就会形同虚设,完全不能发挥安全防御功能,还会引发计算机中其他软件使用的安全缺口,导致系统安全受到威胁。
(三)木马病毒
木马病毒是计算机安全威胁中的重要组成部分,这种病毒具有很强的感染性和传播力,一般能够隐藏在相关的程序以及软件中,是一种嵌入式的网络病毒,这类病毒对于相关的计算机功能以及信息数据等都会产生一定的破坏性,可能会导致计算机不能正常操作,还会导致相关数据丢失甚至被篡改,对于计算机信息安全造成的威胁比较大。
二、计算机信息管理在网络安全中的重要性
(一)强化相关人员对于网络信息安全管理的意识和能力
当前,计算机已经成为人们工作、学习和生活中不可或缺的组成部分,在计算机的应用过程中,提升相关人员的安全风险意识和防范能力很有必要,通过计算机信息管理措施开展,能够对于计算机使用中的安全问题提高警惕,加强网络安全管理的重视度,提升计算机操作人员对于网络安全技术的应用能力,帮助他们做好安全防范工作,保证网络安全。还能够对于相关人员进行道德操守的约束和限制,避免出现利益诱惑导致的网络安全隐患。
(二)规范计算机信息管理技术应用
在计算机网络安全管理中,需要用到计算机信息管理技术,相对来说,信息安全管理的范畴比较大,其中包含了很多病毒防御技术、防火墙技术、加密技术等,还包含系统监测技术、扫描技术、系统管理技术等,在计算机信息管理的过程中应该避免单一的分析问题,而应该是综合开展问题分析,通过层次化和细致的问题分析,构建完善的计算机安全体系,在这一体系下开展相关的网络访问和控制。所以在系统开发的时候需要创建一个稳定的工作环境,做好风险控制,在出现意外时能够有效使用预备方案来应对,将安全威胁降到最低。所以说,计算机信息管理能够促进相关安全管理技术的规范操作和使用,还能不断推动计算机信息安全管理技术的完善和发展,推动技术创新。
三、计算机信息管理在网络安全中作用发挥的对策
(一)完善信息安全管理制度,确保信息安全管理成效
针对当前的网络信息安全问题,要做好计算机信息管理工作,首先要建立网络信息安全制度。成立网络安全和信息化领导小组,建立网络与信息安全管理规章制度,完善网络安全管理规范、信息系统使用规范等文件,制定信息系统应急预案,落实信息安全等级保护制度。制定《信息系统、信息设备和保密设施设备管理制度》《涉密事件报告和查处等各项保密制度》等制度,严格执行网上信息收集、编辑、审核、加载、更新、反馈等责任制度规定;建立分工协作、责任明确、严肃考核问责的网络信息安全责任体系,进一步引导相关人员提高网络与信息安全防范意识。只有切实做到网络信息安全工作警钟常鸣、常抓不懈,才能确保网络与信息安全日常安全管理效益,保证涉密机构的信息安全,提升信息安全管理成效。
(二)注重技术应用和创新,促进安全威胁有效解决
目前,针对计算机信息管理研发的相关安全防护和抵御技术正在不断发展更新中,为应对网络安全威胁提供了有效的技术支持,针对计算机信息管理,必须要落实技术保障,搭建“稳定器”。统一购置涉密存储设备,内网计算机100%安装自动升级的杀毒软件和桌面防护系统,并为杀毒软件配备专门服务器,保证24小时正常运转;与电信公司联合开展电信端设备检查,每月组织信息人员对网络设备运行、重要数据备份、病毒查杀等情况进行维护,发现问题及时整改消除,提高网络信息系统的安全保障能力。针对计算机信息安全管理工作,相关部门要高度重视,并指定兼职网络安全员负责日常网络安全维护工作,制定印发《公司文明上网规范》,树立“网络信息安全无小事”的理念,在服务器和服务器之间设置经公安部认证的防火墙,设立内部和外部两套网络,成立网络与信息安全领导小组,积极组织全体员工干部职工参加有关网络与信息安全视频培训,坚持实时查看监测、跟踪维护和计算机应用操作技术服务,对计算机病毒、有害电子邮件设置整套的防范措施,构筑一道网络信息安全“防火墙”。通过强化问题导向,提出整改建议。通过巡察、检查、自查,摸清和掌握松桃队信息网络系统安全运行现状及存在的薄弱环节,认真梳理潜在隐患,提出具体的整改建议,及时报告,扎实推进网络安全工作。计算机信息管理是保障网络安全的基本手段,目前的网络安全威胁比较多,形式和内容都越来越多样化,威胁因素越来越复杂化,网络安全警钟要长鸣,针对网络安全问题,强化信息管理工作开展,创新技术应用,不断完善管理制度,强化安全自查,做好安全培训很重要。
篇5
1 概述
在数据源和数据宿之间传送数据的过程,也称数据通信。数据是信息的一种载体。数据传输是信息传输的一种形式,主要指与计算机有关的信息传输。近年来,随着互联网安全形势日益严峻,互联网用户与相关行业都对数据传输和保存的安全极为重视。据调查,89.2%的网民在访问电子商务网站时会担心假冒网站;86.9%的人表示,如果无法获得该网站进一步的确认信息,将会选择退出交易;8%的网民最近半年在网上遇到过消费欺诈,该网民规模达到3880万。在这种形势下,互联网企业在为用户提供互联网服务时,首先要解决的问题就是“如何证明自己是安全的、可信的”,而服务器证书就是这样一款产品,安装服务器证书的网站能得到权威的可信认证,其用户与网站之间传输的信息是经过加密的,无法被窃听。
2 数据传输系统作用
数据通信是依照一定的通信协议,利用数据传输技术在两个终端之间传递数据信息的一种通信方式和通信业务。它可实现计算机和计算机、计算机和终端以及终端与终端之间的数据信息传递,是继电报、电话业务之后的第三种最大的通信业务。很多公司都有一个担忧,该怎么有效地保护好公司的数据呢?要实现这个目标,我们首先要对数据的泄露渠道做一一分析。现在很多公司也采取了一些行之有效的保护措施,如禁用了公司所有的USB接口,对邮件也加强了检测,对于重要文件利用文件服务器进行统一管理,但是,文件泄露事件仍然不少。其实,他们是忽视了一个环节,就是文件在网络中传输时,是否有人在偷窥呢?很多人不知道数据在网络传输的过程中,也有这么多人在虎视眈眈,在检测你的数据。若他们觉得数据有价值,就可以不通过文件服务器,而直接在网络传输的过程中,获得所需要的文件。如此,文件服务器上的权限控制、访问日志等等安全措施将会一无用处。利用IPSec策略,可以非常轻松地解决这个问题。IPsec在IP层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPsec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。IPsec能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。
简单地说,IPSec能够对网络传输过程中的数据进行加密,即使有人在偷窥网络中传输的数据,但是,其得到的数据都是加密过后的内容,若不知道解密策略,则得到的都是一些乱码。如此,其即使得到文件,但是,也是一无用处。IPSec(IP安全策略)除了以上这个功能外,还有防止数据在传输过程中被更改、数据源认证等功能,不过对于企业来说,最实用的还是这个对于传输数据加密的功能。
3 网络数据传输主要研究内容及方向
以多媒体、海量空间数据的传输通讯与网络安全研究为核心,开展多媒体移动通信、微波通信和卫星接收新技术、数字信息(信号、图象)的获取与传输、信息的压缩、信息保密编码、安全认证、数据库安全增强等理论与技术研究开发。主要研究内容:①开展现代远程通信、无线通信的新技术、新理论研究。开展基于Internet/Intranet的矢量数据、图象数据、视音频信号的传输和压缩、纠正编码新方法研究。②开展图象的实时连续采集、提取与动态识别、检测技术,特别是开展智能技术在图象处理、识别、动态检测以及远程服务中的应用研究。③开展通信编码与密码理论研究,加强高码距阵列编码技术研究,实现系统编码的机理和实现方法;跟踪国际前沿,开展新型数据加密算法(如对称、非对称密码算法、数据压缩算法、量子加密)研究,并与信息安全产业界结合,实现新型密码专用芯片。适应信息安全市场,选择典型领域,研究开发密钥管理技术。④结合各级政务共享平台和办公自动化系统等涉秘网的安全认证建设,开展基于数字签名、身份认证的文件安全传输和交换,安全认证协议和PKI技术等开发。⑤开展网络安全隐患检测扫描,入侵检测等网络安全防护方面研究。基于多系统包过滤的防火墙应用技术,IPSec与Web安全,网络安全监控与网络安全管理等研究,特别是研究网络安全使用与管理模型,建立基于安全保密政策的分析安全管理信息库。开发具有自主版权的网络运行安全状态监控软件系统。⑥数据库安全增强技术方面:面向“数字福建”大型共享和应用服务系统,开展主流分布式数据库系统(如Oracle、Sybase、DB2等)的安全性分析,开发数据库安全增强技术。
篇6
目前各高校的管理者和教育者普遍认识到加强大学生网络安全教育的必要性,也进行了一定的探索和尝试,但仍存在着诸多弊端,主要表现在以下方面。
(一)网络安全教育重视程度不够
很多高校把安全稳定作为头等大事来抓,但是对于网络安全则没有引起足够的重视。笔者曾查询了济南市一本科高校办公系统上的一年内关于安全的所有正式通知,包括加强春季安全大检查、五一、暑假、国庆节、元旦及寒假前等安全工作的通知,竟然没有一项提及网络安全的教育内容。这充分体现了高校对网络安全教育的重视程度严重欠缺。
(二)网络安全教育内容陈旧,缺乏针对性
安全是高校一个永恒的话题,面对大学生的安全教育内容需要与时俱进,大学生普遍关注的网络安全教育亦是如此。但是,目前高校的网络完全教育更多地进行表面的信息传递和知识传授,口头陈述发生的网络安全事故以及怎样防范事故发生,几乎都是从理论层面开展教育,缺乏对网络安全教育的有效探索和实践教学,更没有针对学生的性别、专业、兴趣爱好等不同特点进行有针对性的区分。这样的教育内容刻板老套,满足不了学生的需求,学生自然也不会入耳入心。
(三)网络安全教育形式单一,缺乏有效的介入方法
大多数高校的网络安全教育大都是由班主任、辅导员或班委通过班会、QQ群、飞信等方式传递给学生。这种单向的自上而下的传递方式,忽视了学生的个体差异和需求,会让个性张扬、乐于表现的大学生缺少主动性,仅作为被动接受的一方而失去受教育的信心和乐趣,导致目前的大学生网络安全教育效果较差,学生入耳但不入心,各种网络安全隐患依然存在。
二、社会工作介入大学生网络安全教育的可行性分析
(一)社会工作的目标与大学生网络安全教育的目标具有相通性
社会工作的目标就是帮助人们解决问题、摆脱困境,进而促进社会和谐发展。而大学生网络安全教育的目标正是让大学生摆脱现存的或将来可能会出现的网络安全方面的困境,摆脱危难,激发自身潜能,提高其适应社会和环境的能力,达到自我成长和自我发展的目的,最终促进社会和学校的和谐发展。
(二)社会工作介入高校大学生群体的优势
社会工作的核心价值理念是“助人自助”,通俗来说就是社会工作者不仅是帮助服务对象摆脱其所处的困境,还要促进服务对象的成长与发展,帮助服务对象发现自身的潜能并促进其提升社会适应性。大学生是社会的一个特殊群体,是站在新技术、新思想前沿的群体,是中国未来的建设者。处于这个阶段的群体有其独有的特点。从社会因素来看,在校大学生基本都出生于经济快速发展的时期,物质相对富裕,对高科技的使用较为广泛。从家庭因素来看,独生子女已成为大学生的主体,他们从小就倍受宠爱,导致多数在校大学生以自我为中心,抗挫折的能力相对较差。从个体因素来看,大学生思想活跃,注重民主平等,权利意识和主体意识不断增强。高校教育工作者要充分掌握这些特点,因人、因时、因地施教。传统的网络安全教育已无法解决大学生个性化的问题,迫切需要引入新的工作理念和方法。而社会工作正符合这个要求。社会工作之所以能成为现代社会解决社会问题的主要方式,在于其秉承“以人为本”的价值理念,以利他主义为指导,在解决社会问题时,总是将人放在首位,同时用整体观点来看待社会,从人与环境互动的角度理解社会生活中的个人。
(三)社会工作介入可有效稳定学校和社会环境
安全稳定是各个高校努力追求的工作目标,目前,各高等院校都在努力创建平安校园、和谐校园。在网络不断冲击大学校园和大学生的背景之下,高校网络安全事故不断发生,不仅对学生本人带来伤害,而且对学生家长、学校及社会都产生一定的负面影响。网络安全教育则是一个减少网络安全事故、稳定学校和社会环境的有效措施。社会工作以人为本,坚持助人自助的工作理念,致力于建立一个平等、和谐、稳定的社会。将社会工作介入到高校网络安全教育中,可以通过网络安全教育起到稳定学校、家庭和社会的作用,维护社会的良好秩序。
三、借鉴社会工作理念,创新网络安全教育新观念
目前,我国高校的网络安全教育普遍采用“一人讲、多人听”的灌输方式,把大学生看作被动接受的对象,完全忽视了教育的主动性和能动性。这种形式所带来的结果必然是不能充分满足学生的需求,甚至还会引起学生的逆反心理,教育效果不佳。而借鉴社会工作“助人自助”的理念,教师可以充分发挥学生的能动作用,调动学生的积极性,开拓学生的思维,将网络安全教育的相关内容和现实生活中的案例相集合,寻找学生中的“金点子”、“好办法”,肯定学生的潜能,逐步提升学生自觉学习、主动实践的能力,最终促进学生自我成长、自我发展。
四、引入社会工作方法,探索网络安全教育新模式
(一)个案工作方法有助于学生网络安全教育个性化问题的解决
个案工作是社会工作方法中起源最早、最基本的工作方法,强调个别化的原则,注重个体的独特性,善于挖掘学生的潜能和内外资源,强调自决、尊重和平等。同时,坚持“人在情景中”,把学生放到特定的环境中去考查,充分理解学生行为产生的背景,也就更能理解学生,设身处地地为学生着想。这种个性化的工作理念更容易被当代大学生所接受。在高校,由于每个学生的专业、年级、性别等个体差异,对网络安全知识和技能的掌握也不尽相同。因此,可以通过问卷调查、访谈等方式进行调研,了解学生的需求分类。在此基础上可以引入社会工作个别化的原则,将网络安全教育划分成不同的模块,针对不同人群,选择不同的教育内容,做到具体问题具体分析。通过不同层面、分门别类的因人施教,可以有针对性地关注到每一类学生的个体需求,开展个别辅导,提升教育效果。
(二)小组工作方法有助于学生网络安全教育共性化问题的解决
小组工作是指社会工作者通过有目的的小组活动和组员之间的互动,帮助小组成员共同参与集体活动,从中获得小组经验,处理个人、人与人之间、人与环境之间的问题,恢复与发展社会功能,开发个人潜能,从而获得个人成长。通过小组活动的开展,帮助学生学习到小组经验,并建立起良好的朋辈支持网络,这种朋辈间的支持远比教师的教育引导更为有效。同时,因为小组工作强调在达成小组目标的同时完成成员个体的转变,更适合在广大大学生中开展。传统的网络安全教育更多采用集体辅导、课堂通知的方式。笔者了解到,学生对这些形式兴趣不大,更希望通过角色扮演、示范教学等方式有针对性地进行现场演练。所以大学生的网络安全教育可以根据学生需求,设计不同的教育内容,借鉴小组工作方法开展教育活动,比如编写网络安全教育剧本,组织学生设计剧情进行角色扮演,亲身演练各种危机状态。同时,还可以根据各种网络安全隐患开展不同的学习小组,比如网络交友安全小组、网络交易安全小组、网络信息安全小组等,通过这种朋辈群体之间的互动和支持,达到安全教育的目的。
(三)社区工作方法有助于整合校内校外网络安全教育资源
在学校开展网络安全教育,更应强调学校内外资源的整合,形成教育合力。大学生网络安全教育不能仅仅依靠辅导员等学工人员实施,还需要积极协调校内、校外资源,努力扩展网络安全教育的空间和范围。在校内,首先,要加强对网络安全教育的统一领导,设立网络安全监督部门,培训与网络安全相关的人员等。其次,建立一支高水平的网络安全教育队伍,推进“全员育人”的工作思路,形成全校齐抓共管的良好局面。网络安全教育除了依靠高校之外,还需要动员社会力量,联合家庭、社会共同参与,加强学校和社区的联系与沟通,整合教育资源。高校可以邀请社区内的网络安全教育工作者、网络警察等专业工作者,结合大学生的网络安全案例和自身的工作感悟,到校开展网络安全方面的专题教育。
作者:李霞 单位:山东女子学院
参考文献:
[1]彭阳慈航.大学生网络安全教育研究[D].武汉:武汉纺织大学,2013.
[2]邬萍.社会工作介入少年儿童的假期生活———以东胜新园社区为例[D].内蒙古师范大学,2014.
[3]杨延存.浅谈新时期高校大学生的特点[J].山西青年,2013,(11).
篇7
SDN 物联网 网络安全 安全策略
1 引言
物联网概念于1999年由美国麻省理工学院Auto-ID中心的Kevin Ashton教授[1]首次提出,它是指通过射频识别(RFID,Radio Frequency Identification Technology)、红外传感器、全球定位系统、激光扫描器等信息传输设备,按约定的协议,把任何物品与互联网连接起来进行信息交互,以实现智能识别、定位、跟踪、监控、和管理的一种网络。物联网实际上是物物相连的互联网,它是在互联网基础上的延伸和拓展。通过物联网,任何物品可以相互连接,进行信息交换和通讯。当前,物联网技术正在蓬勃发展,小到智能家居,大到智慧地球,各行各业都在发展和利用物联网技术、物联网概念[2]。随着物联网用户和终端的高速增长,基础设施和网络结构面临着巨大的挑战,网络的结构、协议、安全及管理等变得日趋复杂。由于物联网末端传感网络规模庞大,部署环境复杂多样,以及物联网用户缺乏专业能力,确保数十亿物联网设备的网络安全已经变得越来越困难。传统的安全机制如防病毒、网络机制等,不足以解决物联网网络[3]所带来的网络安全挑战。
SDN技术的运用为解决物联网面临的网络安全问题提供了一种创新的解决途径。SDN技术由斯坦福大学的研究机构[4]首先提出,实现了控制与转发相分离、控制层逻辑集中、网络功能可编辑等功能,随着SDN技术的不断发展和完善,SDN技术可以为网络提供统一的管理接口和运行环境,具备网络虚拟化NFV和资源调度系统功能。本文提出一种基于SDN的物联网安全架构,在物联网的网络和应用层应用SDN技术,实现网络控制与业务转发相分离,实现网络功能部署的软件化,同时将网络安全作为一种应用面向物联网用户提供服务,实现对网络安全资源的集中调度、网络安全标准的统一整合、网络安全策略的灵活配合。
2 IoT面临的主要安全问题
IoT逐步应用于社会的各个行业,IoT的网络安全问题变得日趋重要。由于IoT众多信息普遍通过无线方式实现互通,信息安全面临严峻挑战。IoT的传感器数量庞大,功能各异,而且采集传递着大量的身份识别、监控数据、支付信息等高等级安全信息,因此传感器网络的安全问题变得极其重要,这也是IoT网络安全与互联网网络安全的主要差别所在。
IoT的无线传感器网络由多个传感器节点、节点网关、可以充当通信基站的设备及后台系统组成。通信链路存在于传感器与传感器之间、传感器与网关节点之间和网关节点与后台系统之间。对于攻击者来说,这些设备和通信链路都有可能成为攻击对象,所以IoT网络面临的安全问题与传统网络相比有其独有的特点,图1为IoT网络攻击模型示意图:
由于具备了无线的信道、有限的能量、分布式控制等特点,使得无线传感器网络更容易受到攻击。被动窃听、主动入侵、拒绝服务则是这些攻击的常见方式,无线传感器网络可能遭到的安全挑战[5]包括下列情况:
(1)网络的网关节点被敌手控制,则安全性全部丢失;
(2)网络的普通节点被敌手控制;
(3)网络的普通节点被敌手捕获;
(4)网络的节点受来自网络的拒绝服务攻击;
(5)接入到物联网的超大量传感节点的标识、识别、认证和控制问题。
此外,IoT网络还拥有大量RFID系统,主要由电子标签、阅读器、后台应用系统与无线通信信道、后端网络通信信道等组成。RFID系统也是IoT网络遭受攻击的主要对象,主要包括被动攻击、主动攻击、物理攻击等:
(1)被动攻击。被动攻击不对系统数据做任何修改,而是通过窃听截获电子标签中的关键数据,再结合被窃听对象的其他信息及窃听的时间、地点等数据,就可以分析出大量有价值的信息。
(2)主动攻击。主动攻击涉及对系统数据的篡改或增加虚假的数据,其手段主要包括假冒、重放、篡改、拒绝服务和病毒攻击等。
(3)物理攻击。物理攻击需要接触系统的软/硬件,并对其进行破解或破坏。对于RFID系统而言由于标签数量巨大,难以控制,所以物理攻击是RFID系统面临的最大的安全威胁。
3 基于SDN的物联网安全架构
基于SDN物联网的系统架构是在SDN技术应用层、控制层、转发层三层基本架构下,增加由传感器组成的感知层。将SDN技术用于物联网架构,运用控制层面与转发层面相分离的特性和可编辑的网络功能部署能力,可以最大程度地利用网络资源能力,精确地监测网络安全状态,简化安全设备的设置,并根据业务和网络安全变化趋势自适应地调整和部署网络安全策略,为解决物联网面临的安全问题提供了新的途径。基于SDN的物联网安全架构是在SDN物联网四层架构的基础上,在控制层和应用层增加网络安全控制器、网络安全策略服务器、网络安全应用服务等功能模块,整合网络安全服务资源能力,构建面向用户的网络安全服务体系,具体架构如图2所示。
(1)应用层,网络管理人员可以通过可编程接口实现网络监控管理功能,包括路由管理、接入控制、Э矸峙洹⒘髁抗こ獭QoS保障、网络安全、计算和存储等,应用开发人员还可以通过SDN控制器提供的网络全局信息,根据用户需求开发相应的应用程序。在应用层增加网络安全应用,利用云计算的软件即服务模式(SaaS,Software-as-a-Service),构建虚拟防火墙、虚拟入侵检测、虚拟入侵防御等网络安全服务,末端用户通过订阅的方式获取网络安全服务,最大限度地简化安全设备配置、安全策略分析和安全参数设置等末端网络安全管理业务。
(2)控制层,由多个SDN控制器组成,SDN控制器部署网络操作系统,网络所有的控制功能被集中设置在此层,SDN控制器通过标准化的南向接口协议OpenFlow管理底层的物理网络和设置的虚拟网络,通过北向API接口向上层提供服务,并向上层服务提供抽象的网络设备,屏蔽了具体物理设备的细节。在控制层增加网络安全系统模块,主要包括网络安全控制器和安全策略服务器,网络安全控制器是一个安全服务执行单元,监控下层网络的安全状态,并根据网络和用户需要执行相应的安全策略等。安全策略服务器主要负责根据用户申请的业务情况向上层的安全应用订阅相关服务,并存储上层应用提供的安全策略,提供给网络安全控制器查询使用。
(3)转发层,包含所有的网络设备,与传统网络交换设备不同,SDN的网络交换设备不具备网络控制功能,控制功能被统一提升至控制层,网络基础设施通过SDN控制器的南向接口与控制层连接。基于SDN的物联网在转发层增加了OpenFlow AP等接入设备,为感知层传感器接入网络提供接口。传统网络的防火墙、入侵检测等设备也可以通过开放相关接口,为上层提供网络安全状态监控信息,同时也可以接收网络安全控制器下发的安全策略和相关设备配置信息。
(4)感知层,在物联网体系结构中处于底层,承担信息感知的重任。主要由RFID系统和无线传感器网络组成。RFID系统需要采用访问控制、身份认证和数据加密等安全措施;无线传感器网络需要有效的密钥管理机制,并采用安全路由和入侵检测等传统网络安全技术。
4 各层的安全模块及策略
4.1 控制层网络安全模块
由于SDN控制层具备对网络进行集中管控的能力,通过在控制层设置网络安全控制器和策略服务器等网络安全模块,可以在安全策略的细粒度、实时推送和流量监控等方面相比较传统网络安全体系具有较大优势。网络安全控制器部署在开源的SDN控制器之上,如NOX、Onix[6-7]等,由安全执行内核和资源控制器两部分组成,网络安全控制器通过运行不同的Module安全模块,实现对SDN控制器流表的安全策略控制[8],网络安全控制器集成了大量API接口,并能够与传统的安全工具进行通信;资源控制器用于监控OpenFlow交换机和OpenFlow AP的状态,并删除交换机和AP流表中废弃的流规则,及时清理流表空间。Module安全模块存储在安全策略服务器上,不同的Module模块用于提供不同的安全功能,这些模块可以被共享或组合,以提供更加复杂的安全防护功能[9]。此外,安全策略服务器还提供了由Python脚本语言编写的API接口,使得研究人员可以自己编写具有安全监控和威胁检测功能的Module安全模块,安全策略服务器还可以向应用层订阅相关的网络安全服务。控制层网络安全控制器和安全策略服务器的设置情况如图3所示。
4.2 应用层网络安全服务
在基于SDN物联网的应用层部署基于云的安全分析处理服务(CbSA,Cloud-based Security Analyzer)[10],当控制层的安全策略服务器无法匹配接入网络申请的网络安全服务请求时,通过安全和管理服务(SMS,Security and Management Service)[11]的方式,向CbSA订阅相应的网络安全服务策略,图4表示了CbSA的体系结构和流程示意,其中云服务管理器负责处理来自控制层的流量分析请求,当收到一个新的分析请求时,云服务管理器首先对SMS的请求进行认证,然后根据用户参数和安全服务请求内容计算查找匹配的安全策略,最后将策略返回给控制层安全策略服务器,从而为用户提供虚拟防火墙、虚拟入侵检测、虚拟入侵防御等服务。此外,通过云平台还可以为网络提供恶意软件、僵尸网络、垃圾邮件等多种网络安全检测服务。
CbSA可以通过部署虚拟软件中间件的方式为控制层分析特征用户的流量并提供自动安全配置更新,云服务管理器可以要求中间件管理器提供一个中间件实例来处理特征用户流量,通过这个中间件来作为流量隧道以便分析特征用户的实时流量,计算分析用户的网络安全风险,并给出相应的安全策略[12]。CbSA可以从所有连接的控制层安全控制器和策略服务器接收网络安全监测数据,它将这些数据与病毒特征数据库、恶意软件数据库等外部资源数据进行整合,从全网的视角透视分析网络安全风险,并计算生成相应的安全配置策略。这种方法特别有助于检测恶意流量的微小痕迹,而这对于传统部署在网络边界的安全系统来说很难实现。
4.3 感知层的安全策略
(1)RFID安全策略
现有提出关于RFID技术的安全策略主要包括访问控制、身份认证和数据加密。其中身份认证和数据加密有可能被组合运用,其特点是需要一定的密码学算法配合,因此这里将身份认证和数据加密机制统称为密码学机制。
1)访问控制。访问控制机制主要用于防止隐私泄露,使得RFID标签中的信息不能被随意读取,包括标签失效、法拉第笼、阻塞标签、天线能量分析等措施。这些措施的优点是比较简单,也容易实施;缺点是普适性比较欠缺,必须根据不同的物品进行选择。
2)密码相关技术。密码相关技术除了可实现隐私保护,还可以保护RFID系统的机密性、真实性和完整性,并且密码相关技术具有广普性,在任何标签上均可实施。但完善的密码学机制一般需要较强的计算能力,标签的功耗和成本是一个比较大的挑战。
(2)o线传感器网络安全策略
在无线传感器网络内部,需要有效的密钥管理机制用于保障网络内部通信安全。网络内部的安全路由、联通性解决方案等都可以相对独立地使用。由于网络类型的多样性,很难统一要求有哪些安全服务,但机密性和认证性都是必要的。机密性需要在通信时建立一个临时会话密钥,而认证性可以通过对称密码或非对称密码方案解决。安全路由和入侵检测等也是无线传感器网络应具有的性能。
由于鞲衅魍络的安全一般不涉及其他网络安全,因此是相对较独立的问题,有些已有的安全解决方案在物联网环境中也同样适用。但由于物联网环境中传感网遭受外部攻击的机会增大,因此用于独立传感器网络的传统安全解决方案需要提升安全等级后才能适用。相应地,传感器网络的安全需求所涉及的密码技术包括轻量级密码算法、轻量级密码协议、可设定安全等级的密码技术等。
5 结论
随着SDN技术的应用与发展,SDN技术已经被采纳成为5G系统承载网络标准,并逐渐成为构建新一代网络系统架构的关键技术之一,物联网的承载网络也会逐步应用SDN技术。本文提出了基于SDN的物联网安全架构,分析了各个层面的安全模块和策略,下一步还需从以下方面开展相关研究:
(1)在应用层方面,研究开发基于SaaS的网络安全服务应用,拓展针对物联网安全风险的分析能力,同时进一步标准化应用层与控制层之间的接口和交互流程。
(2)在控制层方面,研究开放的安全控制器内核,使其可以与更多的SDN控制器操作系统向融合,开发功能丰富的中间件,最大限度地优化现有网络安全资源。
(3)在接入层方面,研究拓展OpenFlow流表对网络安全策略的匹配方法,研究端到端网络安全策略部署的一致性等问题,进一步丰富网络安全状态监控和报告手段。
参考文献:
[1] 彭瑜. 物联网技术的发展及其工业应用方向[J]. 自动化仪表, 2011(32): 1-7.
[2] 何立民. 什么是物联网[J]. 单片机与嵌入式系统应用, 2011(10): 79-81.
[3] Yu T, Sekar V, Seshan S, et al. Handling a Trillion (unfixable) Flaws on a Billion Devices: Rethinking Network Security for the Internet-of-Things[M]. ACM Workshop, 2015: 1-7.
[4] Mckeown N, Anderson T, Balakrishnan H, et al. OpenFlow: Enabling Innovation in Campus Networks [J]. Acm Sigcomm Computer Communication Review, 2008,38(2): 69-74.
[5] 何明,陈国华,梁文辉,等. 军用物联网研究综述[J]. 指挥控制与仿真, 2012,34(1): 6-10.
[6] Gude N, Koponen T, Pettit J, et al. NOX: towards an operating system for networks[J]. Acm Sigcomm Computer Communication Review, 2008,38(3): 105-110.
[7] Koponen T, Casado M, Gude N, et al. Onix: A Distributed Control Platform for Large-Scale Production Networks[A]. Proceedings of the 9th USENIX Conference on Operating Systems Design and Implementation[C]. 2010: 351-364.
[8] Nayak A K, Reimers A, Feamster N, et al. Resonance: Dynamic Access Control for Enterprise Networks[A]. Proceedings of the 1st ACM Workshop on Research on Enterprise Networking[C]. 2009: 11C18.
[9] Jafarian J H, Al-Shaer E, Duan Q. OpenFlow Random Host Mutation: Transparent Moving Target Defense Using Software Defined Networking[A]. Proceedings of the 1st ACM Workshop on Hot Topics in Software Defined Networks[C]. 2012: 127C132.
[10] Brewer, Eric. Kubernetes and the Path to Cloud Native[A]. In Proceedings of the Sixth ACM Symposium on Cloud Computing[C]. 2015: 167.
篇8
20xx年最新网络安全保护法第一条 为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。
第二条 中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称通信网络运行单位)管理和运行的公用通信网和互联网(以下统称通信网络)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第三条 通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第四条 中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准。
各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
工业和信息化部与通信管理局统称电信管理机构。
第五条 通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。
第六条 通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。
第七条 通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。
电信管理机构应当组织专家对通信网络单元的分级情况进行评审。
通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别,并按照前款规定进行评审。
第八条 通信网络运行单位应当在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案:
(一)基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案;基础电信业务经营者各省(自治区、直辖市)子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案;
(二)增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案;
(三)互联网域名服务提供者向工业和信息化部备案。
第九条 通信网络运行单位办理通信网络单元备案,应当提交以下信息:
(一)通信网络单元的名称、级别和主要功能;
(二)通信网络单元责任单位的名称和联系方式;
(三)通信网络单元主要负责人的姓名和联系方式;
(四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置;
(五)电信管理机构要求提交的涉及通信网络安全的其他信息。
前款规定的备案信息发生变化的,通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。
通信网络运行单位报备的信息应当真实、完整。
第十条 电信管理机构应当对备案信息的真实性、完整性进行核查,发现备案信息不真实、不完整的,通知备案单位予以补正。
第十一条 通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并按照以下规定进行符合性评测:
(一)三级及三级以上通信网络单元应当每年进行一次符合性评测;
(二)二级通信网络单元应当每两年进行一次符合性评测。
通信网络单元的划分和级别调整的,应当自调整完成之日起九十日内重新进行符合性评测。
通信网络运行单位应当在评测结束后三十日内,将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。
第十二条 通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患:
(一)三级及三级以上通信网络单元应当每年进行一次安全风险评估;
(二)二级通信网络单元应当每两年进行一次安全风险评估。
国家重大活动举办前,通信网络单元应当按照电信管理机构的要求进行安全风险评估。
通信网络运行单位应当在安全风险评估结束后三十日内,将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。
第十三条 通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。
第十四条 通信网络运行单位应当组织演练,检验通信网络安全防护措施的有效性。
通信网络运行单位应当参加电信管理机构组织开展的演练。
第十五条 通信网络运行单位应当建设和运行通信网络安全监测系统,对本单位通信网络的安全状况进行监测。
第十六条 通信网络运行单位可以委托专业机构开展通信网络安全评测、评估、监测等工作。
工业和信息化部应当根据通信网络安全防护工作的需要,加强对前款规定的受托机构的安全评测、评估、监测能力指导。
第十七条 电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查。
电信管理机构可以采取以下检查措施:
(一)查阅通信网络运行单位的符合性评测报告和风险评估报告;
(二)查阅通信网络运行单位有关网络安全防护的文档和工作记录;
(三)向通信网络运行单位工作人员询问了解有关情况;
(四)查验通信网络运行单位的有关设施;
(五)对通信网络进行技术性分析和测试;
(六)法律、行政法规规定的其他检查措施。
第十八条 电信管理机构可以委托专业机构开展通信网络安全检查活动。
第十九条 通信网络运行单位应当配合电信管理机构及其委托的专业机构开展检查活动,对于检查中发现的重大网络安全隐患,应当及时整改。
第二十条 电信管理机构对通信网络安全防护工作进行检查,不得影响通信网络的正常运行,不得收取任何费用,不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品。
第二十一条 电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私,有保密的义务。
第二十二条 违反本办法第六条第一款、第七条第一款和第三款、第八条、第九条、第十一条、第十二条、第十三条、第十四条、第十五条、第十九条规定的,由电信管理机构依据职权责令改正;拒不改正的,给予警告,并处五千元以上三万元以下的罚款。
篇9
关键词:中职计算机网络;安全威胁;非法入侵;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)07-0055-02
1概述
随着现代化技术的不断发展,计算机网络已成为中职学校教学工作必不可少的基础设施,在局域网、互联网应用中,多台计算机相互连通从而实现资源共享。计算机网络在专门协议规则策略的控制下,在软硬件的共同作用下,实现不同的计算机终端以及服务器之间的数据传输,这对于教学来说意义重大。目前,在中职学校计算机网络因其自身的扩展性、开放性和共享性已经被广泛应用,但随之而来的网络攻击事件也不断增加,学校对于网络安全问题更加看重,网络攻击对中职学校计算机网络的破坏,会对教学进度和学校正常办公造成不可估计的影响。网络安全技术是提高校园网络安全的关键,对于网络攻击事件的预防、抵御以及应对来说至关重要,只有在计算机网络搭建过程中,充分考虑网络的安全防护,才能保证学校计算机的网络安全,才能保障学校教学工作的顺利开展。所以针对中职学校计算机网络安全进行研究,才能进一步提升校园网络的工作效率和性能。
2中职学校网络安全的潜在威胁
2.1网络非法入侵
非法入侵或非授权访问是中职学校计算机网络较为常见的安全问题,IP地址被盗用、非法口令入侵等情况不时出现。1P地址被盗用主要是恶意攻击者使用编程的方式来绕过计算机网络中的IPMAC地址,实现动态IP地址的修改,或使用MS-DOS命令来执行查询未使用的IP地址资源,从而达到静态的方式来修改IP地址,最终非法占有学校计算机局域网络中的IP地址资源,而进行其他的非法行为。此外,一些非法用户通过各种手段获取学校网络的口令与密码,访问学校的内部网络后窃取内部各种教学资源和课件,这对于中职教学资源的数据安全、版权保护来说造成很大危害,更有甚者,通过非法口令入侵去改变乃至破坏学校网络,会对学校教学活动的正常开展造成严重影响。
2.2网络病毒与木马种植
网络病毒与木马种植的网络攻击在中职学校计算机网络时有发生。其中,网络病毒被恶意攻击者写入到程序、web网页或者附带隐藏在邮件中,当其在校园网络中被打开后,轻则影响该电脑的正常使用,甚至会在学校计算机局域网络中不断地扩散、繁殖,最终会让整个校园计算机网络被感染,造成网络瘫痪、软件损坏乃至硬件的破坏。而木马种植也常通过电子邮件、程序下载、图片下载等途径在校园计算机网络中蔓延,一旦被启动就会潜伏在目标计算机的应用中给木马种植者发送用户信息最终造成用户信息泄露。
2.3系统漏洞
在计算机网络中,运行着很多软件系统、操作系统和应用系统,而这些系统在设计和实现之初必然会存在漏洞,学校环境决定了除计算机房外,因使用者分散,计算机无法及时将软件、系统漏洞进行升级更新。于是在使用过程中,联网进行数据交互,就会给计算机网络遭受攻击埋下安全隐患,为病毒、蠕虫等网络攻击提供了可乘之机。
3中职学校的网络安全防范策略
3.1搭建防火墙
防火墙作为学校局域网络的边界安全技术,在计算机网络中对于非法访问能够起到很好的控制作用,对于危害性极大的网络数据流起到极佳的抵御效果。在中职学校的计算机网络中,提供了许多接口供外部网络的用户来访问校园的可访问资源。网络恶意攻击者往往会利用这些合法接口作为跳板来进行进一步的恶意攻击行为。防火墙设置作为数据流过滤策略,通过黑名单或者白名单的方式将不可访问校内资源的数据流标识或者允许访问校内资源的数据流标识进行记录,只有满足了防火墙的转发规则,防火墙才会对其进行转发到校内对应的服务器或其他网络设备,从而提供正常服务。对于网络中的非授权访问、恶意攻击、病毒、检测入侵等都能通过防火墙的方式来保障网络安全,从而保护本地数据安全。防火墙技术是网络边界保障技术,所以防火墙网络边界选择与搭建成为关键,对于基本的防火墙搭建,一般在外网与学校局域网络交界处搭建,从而对访问内网资源和外网资源的数据流进行过滤,特别的,对于中职计算机网络中关键的网络设备,也会搭建二层甚至是三层防火墙,从而通过根据恶意攻击行为来设定规则实现对数据流的多层过滤,最终有效地保障学校网络的信息安全。
3.2漏洞扫描与数据备份
在中职学校计算机网络的构建过程中,必不可少地选用大众普遍的硬件、软件和应用,而这些在系统中多多少少会存在逻辑漏洞或技术漏洞。为了避免系统漏洞带来的危害,首先要时刻关注相应软件的补丁包以及新系统,了解最新版本的功能以及修复的漏洞问题,从而及时将问题修复,将危害降到最低。同时,要通过应用或系统漏洞扫描工具定期开展漏洞扫描,了解当前系统存在的安全漏洞问题,而后将其报告给供应商进行修复,或者通过自行_发程序、环境维护的方法来将漏洞问题造成的危害降到最低。其次,为了避免由于非法入侵造成的数据损坏或丢失,通过数据备份的方式将网络中的数据进行热备份或冷备份,对于非关键数据,可以采用冷备份的方式,关键数据则可以考虑使用热备份来保障网络数据的安全性。
3.3搭建服务器
对于中职学校关键应用,为了保障数据安全,可以搭建服务器,与外部网络进行连接,通过服务器对关键应用或网络设备的隔离,只有提供专门的口令和认证才能连接到服务器,而后才能访问到关键应用,进而实现了关键网络设备的安全缓冲,进一步提升了中职学校计算机网络的安全性。此外,在服务器上可以安装实时监控软件、响应报警软件,从而对通过服务器来对网络实施的攻击进行有效隔离和抵挡,有效保护学校内部网络的安全。
3.4网络病毒防御
由于中职学校网络服务的对象不仅有老师,还有学生、培训学员等,人员分散,类型复杂,所以计算机网络病毒在中职学校中传播频繁,为了有效防御网络病毒对网络造成的危害,通过安装有效的杀毒软件来实现对中职计算机网络的安全防御。可以采购如卡巴斯基等收费版软件,通过在一台服务器上安装服务器端来为全校的计算机网络提供网络杀毒,而后在学校的各科室部门、实验室、教室等内部计算机上安装卡巴斯基客户端,通过设置其定时杀毒等方式来保障计算机内部的数据安全,同时在没有联网的情况下也能够实现线下杀毒。此外,还需要加强对卡巴斯基等杀毒软件的管理,定期维护、升级软件和病毒库,保证学校服务器端、客户端的杀毒软件和病毒库及时更新,将杀毒防护能力保持到最高,最终有效地保障中职计算机网络的安全。
3.5规则审计与网络访问限制
为了提升中职学校的计算机网络安全的主动防御能力,通过设置防火墙服务器的规则审计,对存在各个服务器上的外部或内部IP访问行为进行规则审计,根据其访问规律、行为来分析其自身访问的合法性或可疑性,对于行为造成危害的IP或用户,要通过网络限制的方式,将其访问学校算机网络的权限进行取消,从而保障中职计算机网络的安全。对于网络IP地址的限制访问,可以自己通过设置防火墙的方式来实现,或者通过安装TCP_Wrappers来对固定的IP地址或者访问用户进行限制。另外,对于关键应用或服务器的管理员用户密码,要定期修改高复杂度密码,杜绝密码猜想或暴力破的方式造成管理员密码泄露,从而造成不可预估的危害。
3.6制定网络安全使用规范
70%的网络安全事件都是人的问题,通过各种网络安全技术的抵御之外,还要制定各种规章制度来限定内部人员有意或无意的计算机网络操作,从而将计算机网络安全威胁降到最低。网络安全使用规范,要从多方面考虑,通过对密码定期修改、机房人为操作规范和安全使用规则等多个角度来制定系统的安全规范,从而有效地限定操作管理人员的操作行为,有效预防人为原因造成的网络安全问题。
篇10
众所周知,计算机网络在发展过程中一直存在弊端,那就是其本身存在不稳定的因素,可对网络安全构成威胁。计算机网络并不需要由专人操作,其便可自行运转,因为缺乏相关人员的管理,计算机在运作过程中会产生一系列的问题,对企业利益威胁很大。计算机很容易受到黑客的入侵,这是其在发展过程中无法避免的一个现象,其能够使网络中储存的信息受到严重的破坏,并且商业机密还会被非法盗取。同时计算机对这些现象是无法避免的,信息丢失后其也不能够及时修复,因此,计算机网络安全主要受到其本身存在问题的影响。
2我国当前使用的计算机网络安全技术
2.1杀毒软件
病毒具有很强的破坏性,其还能够进行自我复制而快速传播,使得计算机的软件指令受到破坏,进而造成用户保存的信息被扰乱和更改,情况过于严重时还出现销毁的现象,给用户造成不可以补救的危害。目前计算机受病毒破坏的现象出现几率很高,网络安全受到的影响很大。而杀毒软件则是能够对计算机内已经病毒和木马等实行清除的程序,功能很强大。我国当前计算机用户使用的杀毒软件主要包括金山毒霸、360杀毒以及瑞星杀毒等等,其主要起到检查病毒、清除病毒、预防病毒以及修复数据信息的作用。但是该软件中的病毒防治程序通常在病毒产生后才被研究出来的,其被动型以及滞后性很强。所以,不断研究新防治病毒软件才是保护计算机网络安全是各大研究者们亟待解决的问题。
2.2网络安全扫描技术
此技术的作用主要在于为统管理员开展目标性的探测以及网络扫描提供方便,然后可以早日发现系统存在漏洞,同时应用有效的安全防范对策,进而减少系统安全承受的风险。安全扫描技术的扫描范围很大,不仅包括局域网和系统服务,同时还包括主机操作系统以及防火墙系统等,是目前各国使用范围比较普遍的一种技术。
2.3防火墙技术
防火墙在内容上主要指为了预防内部网络受到外部网络的威胁,将两个网络间边界安全性提高的系统或系统组合。该技术是人们在平常生活中普遍使用的技术,当前整个世界上大概有超过一半的计算机均使用防火墙技术。此技术不会对内部网络资料以及另外的资源构成威胁,同时以其作为基础的背景下,当地用户可以使用外部网络资源,并且其中没有被授权的用户能够被内部网络屏蔽,进而有效地处理由于连接外部网络而造成的威胁。防火墙技术根据其使用范围,可以分为多宿主机防火墙以及包过滤型防火墙两种结构型式。
2.3.1多宿主机防火墙
该防火墙能够连接几个网络,从而达到网络间的相互访问,因此其主要应用在具有很多网络接口的计算机中。其具体的优势为:能够对保护对象提供屏蔽,然后提高网络安全,并且使用范围很大,能够使用在强度较大的数据流报告、过滤以及监控等方面。但是其同样具有不少缺点:不仅能够影响访问速度,使其速度被减慢,同时其供给的服务比较滞后,甚至还有部分服务不可以提供。
2.3.2包过滤型防火墙
包过滤型防火墙通常主要用在网络层,由此其还可以被称呼呈网络层防火墙以及为IP过滤器,其一般在过滤路由器提供的帮助下达到接收数据的效果。其优势主要如下:不产生附加费用就可以达到包过滤的效果,对数据包进行处理时速度很快以及完全对用户公开等。然后其缺点也不少,分别为:只能够对一个类型IP欺骗起到阻碍作用,使用时维护麻烦大,并且过滤器数目的大小可以影响到路由器吞吐量,当使用越多的过滤器时,路由器吞吐量会出现下降的趋势。
2.4入侵检测技术
该技术也可以被称呼为网络实时监控技术,其主要收集计算机网络内多个关键点的信息,同时对其开展分析,从而找出网络有没有产生被入侵的现象。该技术可以对网络防护墙起到补充的作用,同时提高网络安全管理能力,具有安全监控、审计以及攻击识别等多个功能。同时其还能够对网络系统以及用户的活动起到监控与研究的作用,对关键数据文件以及系统两者的完整情况进行评价,发现违反网络安全方法的用户活动等功能。
2.5数据加密技术
伴随目前通信技术水平日益提高,计算机用户们对信息的传输、处理以及储存三方面安全性的要求也就越来越高。信息在网络传输过程中产生的安全问题主要是因为TCP/IP协议存在而造成的,所以,数据加密技术的产生作用很大,其方式主要有端到端加密、节点加密以及链路加密三种。
2.5.1端到端加密
在该方式中,数据的存在形式可以从源点传输至终点时保持着密文,并且在此方式中,消息只有完全被传输到终点后才可以开展解密,一般目的IP地址是不能够被加密的,这是为了可以方便地查清节点传输信息的方式,所以,其存在很大的脆弱性。其根据加密密码的差异,可以划分为对称加密算法以及非对称加密算法两种。按照目前计算机网络的发展趋势可以知道,数据加密技术作用很大,不仅可以保证信息的完整与保密,另外还能够对用户身份进行验证。
2.5.2节点加密
节点加密方式中,信息仅仅需要处于节点时开展解密以及加密,并且链路依旧还是保持为明文形式传输。此方式中的加密与解密行为均选择节点上比较安全的模式开展,并且表现形式主要为密文,同时此方式需要报头与路由两者的信息使用明文形式进行传输,所以其并不可以对房子攻击者的通信类业务起到分析的作用。
2.5.3链路加密
在此方式中,全部网络信息均在开展传输前就被加密,甚至连数据正文以及控制信息等也需要开展加密。报文被各个节点接收后,只有开展解密才可以取得校验以及路由信息,紧接着透过进行路由选择和差错检测后,再加密传输给下个一节点。该方式在各个网络节点中,其包含的网络信息存在方式主要为明文形式。
3结束语
相关期刊
精品范文
10网络监督管理办法