常见的网络安全措施范文

时间:2023-11-30 17:30:23

导语:如何才能写好一篇常见的网络安全措施,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

常见的网络安全措施

篇1

关键词:无线网络安全防范措施

随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。

一、无线网络的安全隐患分析

无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。

IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。

针对无线网络的主要安全威胁有如下一些:

1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。

2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。

二、常见的无线网络安全措施

综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。

1.MAC地址过滤

MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。

2.隐藏SSID

SSID(ServiceSetIdentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。

三、无线网络安全措施的选择

应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。

在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。

使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。

此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。

最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。

现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。

参考文献:

[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.

篇2

关键词:服务支持体系;安全动态模型

中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 06-0000-02

在近些年,金盾工程进一步展开,各项信息网都得到了长足的发展,电子信息技术以计算机为应用基础,网络技术在各行各业中得到了越来越广泛的应用,信息量的传递速度与共享范围达到了前所未有的程度。

一、网络和信息安全存在的威胁因素

计算机网络的应用在日常生活中越来越普及,网络系统及其中的重要信息资源无时无刻不面临着来自四面八方的安全威胁,具体表现在如下几个方面。

首先,内部人员的错误操作以及违规使用

这一类的情况主要有:蓄意盗窃网络密码、越权进入系统、越权操作访问、人为蓄意破坏等。调查显示,对网络系统产生严重影响的行为一般来自于网络内部的错误操作和违规使用,所以每个网络管理者必须面对和思考的问题就是如何能有效地杜绝这一类的行为,在事后能够较为成功的进行定位并及时取证分析。

第二,外部威胁

来自于外部的非法入侵主要是指外部远程用户利用非法软件和系统,进入网络系统,并对相关信息数据进行盗窃、篡改甚至毁坏性掠夺,从而导致网络服务瘫痪乃至整个服务进程的中止。

第三,拒绝服务攻击

表现在对网络服务系统所进行的不间断干扰,有时表现为改变网络服务系统中正常进行的作业流程,或者是执行无关的程序,进而加重整个系统的运转负荷,导致系统响应速度减慢,严重影响正常用户的使用,调查显示,网络因受攻击而拒绝服务的趋势明显上升。

第四,网络病毒

在所有的网络威胁中,网络病毒无疑是最为臭名昭著的,它是最为常见、最重要、最难防范的威胁,它对各种局域网,甚至对整个互联网的安全所产生的威胁是随时存在的。

二、建立网络和信息安全动态策略

网络技术的普及,提高了工作效率,因此构建一个良好的网络环境十分必要,然而,伴随着计算机网络在各行各业中的广泛应用,相关的安全问题也不可避免地日渐突出,如果放任网络上各种安全问题滋生扩大,不仅会严重的降低生产效率和生活质量,还会给人民的生命和财产安全带来极其巨大的威胁和损害。

首先,网络安全主要分为四个主要层面:物理安全、文化安全、信息安全以及系统安全。

第一,物理安全即指包括了各种通讯线路以及设备、计算机主机等硬件设施在内的所有网络基础设施,例如:容错、容外部损伤、对干扰的抵抗等。

第二,系统安全。即是指代存在于网络通信中的基础协议,包含了操作系统以及应用系统在内的可用性,包括使用的合法性。例如,遇到网络阻塞时的防护措施、对非法入侵行为的防护以及防护计算机病毒的自我保护行为等等。其核心内容和技术为:身份认证、日志的审查统计、对所授权限的管理、检测系统漏洞并进行修补、对病毒以及其它各种形式的入侵行为的防护等。对入侵防护技术的概念则为:入侵防范、之后的检测以及响应和系统的恢复。

第三,信息安全是指在保证数据和信息的完整性、保密性以及有效性等特性能,在计算机网络中进行存储、处理和传输等各项过程中得到安全的监护和保护。基础行为包括对信息窃取行为的及时制止,防止恶意篡改信息以及冒名的发送伪造信息等,在所有的安全保障手段中,其最核心的技术则是密码技术。顾名思义,即是在密码技术的支持下,对数据加密、数字签名以及相关身份确认等诸如此类的行为得到完整地实现,所以我们可以看见在信息安全以及系统安全中间存在着极强的彼此相互依赖的关系。

三、建立网络与信息安全体系

为了在最大限度上保证全部网络信息合法用户的网络信息安全,应该建立网络与信息安全的一整套体系,其结构可以划分为呈若干层次,所涉及的环节较多,主要包括:网络安全中各种策略的建设性指导、网络安全标准的统一规范、网络安全全面防范的高端技术、网络安全管理全方位保障以及网络安全服务支持体系的建立等。这种安全体系的初衷是要建立一个可控的安全体系机构,管理人员在规范合理的指导下,得以拥有把握网络整体安全状况的权限,从而可以有效的对安全硬件设备以及先进的安全技术进行合理利用和全面管理,使得整个网络与信息的安全性可控得以实现。网络动态安全的实施则应该按步骤,分层次低进行。

首先,必须了解当前网络整体的安全状况,即进行安全风险的合理评估(主要指确定网络资产的安全威胁性和脆弱性,并进一步估算由此可能会造成的损失程度和影响的过程)在综合考虑提高网络安全性、评估风险以及制定对应的安全措施时,应该考虑要有一套较为完整及符合实际情况的风险分析方法(包括了对应的安全措施制定方法),网络安全评估的主要内容有如下两个方面,首先,在考虑了回避最为常见的威胁以及漏洞(包括网络管理部门在实施安全措施的控制之下仍然发生的破坏安全事件的发生概率)。

第二,当安全措施失效从而导致造成了业务的损失(包括到预计中财产信息被公开,还有信息不完整甚至不可用的全面影响)。这种风险评估所得出的结果应该作为制定网络安全策略时所必须参考的依据,在进行风险评估分析的基础上,进一步提出网络和信息安全的整体需求,以期能够确定网络所要达到的安全系数和级别,对进一步可能采取的安全措施进行总体计划,有针对性地发现并及时、彻底地解决网络中存在着的诸多问题和症状,在动态安全体系的正确指导下,制定出更为合理有效的安全措施,并进行较为严格的安全管理。

安全保护及实时监测。即是指选用相关的安全产品(包括前沿技术、能够执行的合适的安全制度)全面的安全管理规章制度的制定,明确安全实施与管理中全部流程,各个方面安全职责的切实确定,提高网络安全性。而安全保护过程中可以使用的手段包括:设置防火墙、对漏洞进行定期扫描及修补、对非法入侵的检测、对病毒的防护、备份与恢复、对信息进行多重加密、日志与审查统计以及动态口令等。

四、结语

总之,安全不是一朝一夕的事,所以当然不可能会有一个一劳永逸的解决方案。安全防护是一个动态的、不断在进行和改革以期逐步完善的过程。这就引出了网络安全的新概念——网络动态安全体系模型。

参考文献:

[1]康募建,姚京橙,林鹏.计算机网络动态适应安全系统[J].中国电脑,200l,13(2):73-75

篇3

论文摘要:无线网络作为一种新型的便捷性网络资源,正在日益普及,尤其是在现代校园中的应用更是大势所需,但是无线网络的安全性成为其在普及应用中的一大难题。本文经过深入分析无线网络的安全隐患,提出了相应的防范措施,并结合校园学习生活的特点,提出了在校园中的具体应用策略,望有助于相关人士的参考与借鉴。 

 

1、常见的无线网络安全措施 

无线网络受到安全威胁,主要是因为“接入关”这个环节没有处理好,因此以下从两方面着手来直接保障企业网线网络的安全性。 

1.1 mac地址过滤 

mac地址过滤作为一种常见的有线网络安全防范措施,凭借其操作手法和有线网络操作交换机一致的特性,经过无线控制器将指定的无线网卡mac地址下发至每个ap中,或者在ap交换机端实行设置,或者直接存储于无线控制器中。 

1.2 隐藏ssid 

所谓ssid,即指用来区分不同网络的标识符,其类似于网络中的vlan,计算机仅可和一个ssid网络连接并通信,因此ssid就被定为区别不同网络服务的标识。ssid最多由32个字符构成,当无线终端接入无线网络时须要有效的siid,经匹配ssid后方可接入。通常无线ap会广播ssid,从而接入终端通过扫描即可获知附近存在的无线网络资源。比如windows xp系统自带扫描功能,检索附近的无线网络资源、罗列出ssid信息。然而,为了网络安全最好设置ap不广播ssid,同时将其名字设置成难以猜解的长字符串。通过这种手段便于隐藏ssid,避免接入端利用扫描功能获取到该无线网络名称,即使知道其存在也是难以通过输入其全称来接入此网络的。 

2、无线网络安全措施的选择 

网络的安全性和便捷性永远是相互矛盾的关系,安全性高的网络一定在使用前或使用中较为繁琐,然而,科技的进步就是为了便捷我们的生活,因此,在对无线网络进行设置时,需要兼顾安全性和便捷性这两个主要方面,使其均衡地发展使用。 

接入无线ap时选取wap加密模式的方法,此外,ssid即使被隐藏,也会被攻击者利用相关软件探测到,所以无需进行隐藏ssid,增强接入便捷性,在接入时实行一次性输入密码完成设置任务。 

与此同时,采用强制portal+802.1x的认证方式,两种方法的融合可以有效确保无线网络的安全。来访用户更关注的是使用时的便捷性,对其安全性没有过高要求。强制portal认证方式免除安装额外的客户端软件,用户通过浏览器认证后即可获取网络资源。这种便捷的方法,其不足之处就是安全性较低。倘若花费一定资金用来购置无线网络入侵检测设备展开主动性防御,是可以在一定程度上保障无线网络安全性的。 

其实,网络安全技术是人类发明的,并依靠人的使用而发挥作用,所以网络使用者是安全防线的最后一关,加强网络使用者的安全意识,是保障无线网络安全的根本。 

3、校园无线网络的应用 

(1)在校园网络建设中,无线网络作为一种流程趋势正在普及开来,同时其用户也在日益增多。当前在校园网络不同环境下,主要用户分为以下几类人群,第一类为固定用户群,包括机关办公、机房电脑、教学楼、试验室等众多使用者;第二类是活动用户群,主要包括教师的个人电脑和学生的自用电脑;第三类为临时用户群,特指在学术交流会时所使用电脑上网的群体。经过划分出三类用户群,便于无线网络在接入internet网络时采取相应的安全策略,以保障整个校园无线网络的安全性。 

(2)校园无线网络的安全措施除了进行wep数据加密协议外,更要结合不同用户群特点,制定相应的安全防范措施。对于固定用户群可以实行绑定mac地址,限制非法用户的访问,网络信息中心通过统一分配ip地址来配置mac地址,进行这种过滤策略保障无线网络的安全运行;针对活动用户群实行端口访问控制,即连接工作站sta和访问点ap,再利用802.1x认证ap服务,一旦认证许可,ap便为sta开通了逻辑端口,不然接入被禁止执行。802.1x需要工作站安装802.1x的客户端软件,并在访问点内置802.1x的认证,再作为radius的客户端把用户的认证信息转发至radius服务器。802.1x不仅控制端口的访问,还为用户提供了认证系统及其计费功能。 

ap隔离措施近似于有线网络的vlan,对无线客户端进行全面隔离,仅可访问ap所连接的固定网络,进而增强接入internet网络的安全性;最后一类临时用户群,可以通过设置密码限制访问,无密码者无法接入无线网络,利用此手段保障授权用户安全稳定的使用无线网络,避免他人肆意进入无线网络发生干扰,尤其适合于会议等临时性场所的使用。 

4、结语 

建设校园无线网络,可以为校园学习生活带来极大的便捷性,但与此同时,其中也潜在着安全隐患,无线网络技术需要不断研究、完善,方可保证校园无线网络的安全性、可靠性,实现校园的现代化网络建设。 

无线网络中的威胁无处不在,不法分子利用网络技术手段可以窃取校园中传输的重要数据,截取或篡改教学数据,严重威胁着学校中重要资料的安全性。只有结合上述相应手段,才能有效控制非法用户侵入校园无线网络,维持校园无线网络的纯净度,实现健康资源的共享。其实,无线网络的安全防范措施还有很多,须要在科学技术的发展进步中,不断分析,进行完善,以共同打造美好的校园网络学习生活为目标。 

参考文献 

[1]孔雪莲.浅谈无线局域网中的安全及黑客防范[j].电脑知识与技术(学术交流),2007(13). 

[2]芦艳芳,吴娜.浅谈威胁无线网络安全的途径与防范措施[j].计算机光盘软件与应用,2010(1). 

篇4

【关键词】局域网;病毒;防治

近年来,黑客的攻击技术随着互联网技术不断的发展也在不断的增加与翻新,病毒的不断涌现,使得防毒杀毒愈加重要。如今,计算机网络在人们的工作与生活占据着非常重要的地位,它已经成为企业单位工作运转的基础设备,而电脑病毒也在攻击着各企业单位的局域网中,尤其是在政府机关单位中,电脑病毒对重要机密、文件进行监听和盗取,甚至清空重要的数据,使其网络瘫痪,阻碍工作的进展,造成极大的损失。根据2012年诺顿网络的安全报告得知,在我国应用电脑病毒进行网络犯罪的经济损失达到2893亿,由此可知,我国局域网的病毒侵害已越来越严重,防治病毒已经迫在眉睫。

1我国局域网目前的安全状况

局域网指的是在某一区域将多台计算机与服务器组合而成的计算机工作组。因为互联网是要通过服务器与交换机链接局域网内每台计算机使其信息传输速率高,但因为局域网的应用技术相对简单,防护措施少,所以病毒的攻击就相对简单,病毒的传播速率高、范围广。近年来,政府机关、企业单位受到电脑病毒的影响,造成了各方面的损失,使其对局域网的安全管理越来越重视。但是,目前仍有很大一部分的政府机关、企业单位对安全管理局域网的知识还不全面,很多企业单位、政府机关主要是利用防火墙、杀毒软件、入侵检测系统对局域网病毒进行防治,但事实上,防火墙并不能完全抵制病毒攻击、杀毒软件并不能完全阻止病毒破坏,入侵检测系统也不能完全保障系统的安全不受任意病毒的侵害。电脑病毒随着计算机网络技术的不断发展,其传播的速度也越来越迅速,病毒的种类也越来越多,大量的木马病毒、染性病毒、蠕虫病毒、后门病毒、黑客程序、恶意广告程序、病毒释放器等各种电脑病毒使人们的生活、企业单位、政府机关的工作造成极大的影响,风险性更高。

2计算机病毒常见的种类

2.1木马病毒

木马病毒指的是通过木马程序对另一台计算机进行控制。一般情况下,木马有两个执行程序,一个是控制端即客户端,另一个则是被控制端即服务端。木马病毒的侵袭就是黑客利用客户端盗取服务端的信息与隐私。随着网络软件的不断产生与发展,木马病毒也分为下载类木马、网络游戏木马、网页点击木马、网银木马、通讯木马等等。

2.2蠕虫病毒

蠕虫病毒是一种恶性病毒,它通常隐蔽在一台或者多台计算机中,通过系统漏洞进行蠕虫感染,致使计算机瘫痪。蠕虫病毒的传播速度极快,传播范围极广,其危害性也极高。1988年莫里斯(美国CORNELL大学研究生)编写出蠕虫病毒,其蔓延使数千台计算机停机。从此蠕虫病毒便现身网络,对网络安全造成了极大的影响。

2.3操作系统型病毒

将自身的程序加入操作的系统或替代部分操作系统进行运转就是操作系统型病毒。操作系统型病毒在感染操作系统后,将自身的程序取代操作系统的程序进行运转破坏,其具有非常强大的破坏性,可以致使整个网络系统瘫痪。

2.4脚本病毒

脚本病毒一般是由JavaScript代码编写而成的恶意代码,其通常具有广告性质,会修改IE首页、修改注册表等相关信息,使用户不方便使用计算机。因为病毒生产机的产生,使得脚本病毒的发展也非常迅速。其特性是利用脚本语言对网页传播病毒。2.5宏病毒宏病毒作为一种计算机病毒,它一般寄存在模板的宏中或文档里,若文档被打开,寄存在里面的宏就会被执行,宏病毒就被激活,从此所有自动保存的文档就会都染上宏病毒,而且病毒也会随着文档的转移被传播至另一台计算机上。宏病毒的隐蔽性很强、感染性强,危害严重,一旦激活,难以防治。

3防治病毒的安全措施

3.1强化网络安全知识

网络安全主要包括网络安全管理、网络安全技术、网络安全应用三个部分,要保证网络健康正常的运行,就必须强化这三个部分的安全。控制整个网络内部系统,保证网络安全运行的包括网络安全的管理者、网络安全技术员及各位网络使用者。要保证网络的安全运行,首先是要对管理者、技术员、使用者进行网络安全的培训与学习,要树立并增强每位管理者、技术员、使用者的安全意识,提升每位管理者、技术员、使用者的综合素质。同时,相关部门要加强网络的法制建设,完善网络安全法严厉打击不法分子。

3.2增强局域网的安全控制

首先可以利用桌面的管理系统对用户进行控制入网,使用密码策略对用户进行正确选择才能登录计算机操作系统获取资源,其次要利用防火墙技术将内部网络对外部网路进行隔离,限制外部网络访问,禁止非法使用者的入侵,保护计算机信息的安全性和完整性,最后在连接移动设备或其他储存设备前要对病毒进行扫描与查杀。

3.3加强安全管理

对于企业单位、政府机关或重要的办公环境,要加强对计算机的保护,首先要加强机房的保安工作,要禁止不相关人员随意进出机房并且使用计算机,要对计算机数据、计算机机房划分密级,采用不同等级的保安措施,对秘密信息不公开,并且要录用合格的保安人员,加强每日的保安工作,对日常发生的安全问题能及时处理,保证网络安全的健康运行。要加强每位管理者、技术员、使用者的法律监督,保证每项工作都在《计算机信息系统安全保护条例》、《保密法》等相关法律下进行,防止各种网络犯罪行为的发生。

4结束语

计算机病毒随着计算机网络的不断发展在增多增强,其传播的途径越来越多,传播的范围也越来越广,给社会造成的危害也越来越大。本文通过分析我国局域网目前的安全现状,列出几个常见的计算机病毒,提出了要对每位计算机管理者、技术员、使用者强化网络安全知识、增强局域网的安全控制、加强计算机安全管理的措施,保证计算机局域网的安全、健康运行。

参考文献

[1]范燕.探析当前局域网的应用安全及病毒防治方法[J].计算机光盘软件与应用,2014,05(02):178-180.

篇5

当前,全球范围内的计算机安全形势日渐严峻,黑客、病毒肆虐网络,也给计算机通信网络的安全带来了严峻的考验。计算机通信网络安全技术也随之兴起,并迅速的发展。计算机通信网络安全技术就是利用专业的技术和手段,对计算机通信网络中的硬件设备、系统软件和应用软件以及数据信息等进行保护,限制未授权用户窃取信息。简单的说就是为了防止计算机通信网络受到威胁,保证其正常运行而采取的一些的技术措施。

1 计算机通信网络安全产生问题的原因

1.1 系统自身原因

1.1.1 网络的开放性。计算机通信网络是一个开放性很强的广域系统,一方面方便了各种信息的交流共享,但是,另一方面也使得数据的泄露变得相对比较容易,数据保密工作面临着极大的挑战,此外,网络复杂的布线的方式以及通信质量引起的安全事故也是十分的普遍。

1.1.2 软件的漏洞。通信系统自身的一些软件在设计上存在缺陷以及通信协议的漏洞,这些都给计算机通信网络的安全问题埋下了隐患。tcp/ip协议是构成整个互联网大厦的基石,但其本身在设计的时候过分重视失效而在安全性方面却是十分脆弱,留下了很多的漏洞,这样就导致基于该协议的很多应用在一开始就存在很多的安全问题,如万维网服务、电子邮件系统以及文件传输协议服务等。这些固有的缺陷和漏洞十分容易被黑客所利用,对计算机通信网络的安全造成危害。

1.2 人为因素

1.2.1 内部人员泄密。很多计算机通信网络部门的工作人员自身缺乏相应的安全意识,没有责任心以及职业道德,经常有意识或者无意的情况下泄露相关的秘密信息,还有一些工作人员处于自身利益的目的,利用所具有的权限在网络内部窃取信息,设置木马病毒。

1.2.2 网络黑客。黑客人员往往都具备很高的计算机专业知识,有着很强的动手能力,他们处于各种目的对计算机通信网络进行入侵,窃取机密文件或者是恶意篡改数据等,还有一些黑客只是处于自我炫耀或者恶作剧的心理对计算机通信网络大肆破坏,加大的损害了网络的正常运行。很多黑客编写计算机病毒释放到网络上,并迅速的传播,极大的损害了互联网的安全。

1.3 其他原因

当前我国的互联网安全的相关的法律法规不够建全,尚存在不少的漏洞以及法律真空地带;计算机通信网络安全技术的相对落后;由不可抗力造成的自然灾害以及各种突发事故等都加剧了国内计算机通信网络安全的严峻形势。

2 网络安全关键技术

2.1 数据加密技术。为了防止敏感数据在传输的过程中以及储存设备中被泄露,就需要对数据在传输的过程中以及储存时进行加密处理,这是数据安全防护十分常见的措施。加密过程实际上就是将数据由,明码状态转化成密码状态,而解密过程则是一个逆向的将密码转化为明码的过程,这一切都是基于密钥进行的。

2.2 用户识别技术。为了防止重要数据被没有经过授权的用户查看、复制或者转移,这就需要对用户进行识别。常见的用户识别技术有:口令、唯一标识符、标记识别等。其中最为常见的用户识别技术是口令,它由计算机随机产生,需要用户进行记忆,并作为对数据进行操作的唯一识别码。由于口令是由计算机系统随机产生,且大多具有一定的时效性,这给口令的暴力破解带来了很大的困难,安全性相对较高,但是随机产生的口令没有规律,同样给用户的记忆带来困难。

唯一标识符适用于高度安全网络系统,对存取控制和网络管理实行精确而唯一地标识用户。每个用户的唯一标识符是由网络系统在用户建立时生成的一个数字,而且该数字在系统周期内不会被别的用户再度使用。

标记识别是一种包括一个随机精确码卡片(如磁卡等)的识别方式,一个标记是一个口令的物理实现,用它来代替系统打入一个口令。一个用户必须具有一个卡片,但可用于多个口令的使用,以提高其安全性。

2.3 入侵检测技术。入侵检测技术又称为ids,作用在于:识别针对网络的入侵行为,并及时给出报警或采取安全措施以御敌于国门之外。它在计算机网络中是非常有效的安全技术,然而目前尚没有在通信网络上的成熟应用,这是由于目前计算机网络大都是基于单一的tcp/ip协议,其入侵行为的模式有一定规律可循,而通信网络本身就具有不同的种类,有完全不同的内部管理和信令协议,因此不可能有放之四海皆

转贴于

准的通信网络入侵检测技术。但是通信网络的入侵检测又是非常必要的,完全有理由针对特定技术体制的通信网设计专用的入侵检测系统。

可以借鉴计算机网络入侵检测系统的思想,设计基于节点的入侵检测系统或设计基于网络的入侵检测系统。前者基于节点的工作日志或网管系统的状态搜集、安全审计数据来发现入侵行为,而后者是在网络关键点设置数据采集构件,对网络数据包进行过滤、解释、分析、判断,实时地发现入侵行为。异常入侵检测原理和误用入侵检测原理都可以用于通信网入侵检测,但一定是针对特定通信网协议的。

2.4 通信网络内部协议安全。通信网络中的链路层协议、路由协议、信令协议等各个控制协议维系着网络互联、路由选择控制、连接的建立和释放、资源的分配和使用等基本的网络运行功能,它们相当于通信网络的神经系统。而恶意攻击者往往选择通过对通信网内部协议的攻击,来达到控制网络的目的,这是通信网络安全防护所需注意的特点之一。

攻击网络协议的方式主要是通过对协议数据的截获、破译、分析获得网络相关资源信息,并通过重放截获的协议数据、假冒合法用户发起协议过程、直接修改或破坏协议数据等方式扰乱网络正常协议的运行,造成非法入侵、用户相互否认、服务中断、拒绝服务等恶果。通信网络内部协议的安全性主要应通过数据的认证和完整性鉴别技术实现协议的安全变异和重构。其中公钥密码算法和哈希函数是设计中的基本工具,它们用来实现对协议数据的源发起点的实体认证和抗重放的协议完整性鉴别。在安全协议的设计过程中,如果能够做到对于一个完整的信令过程一次加密,则安全性能够得到保证。

篇6

【关键词】电力调度 自动化系统 安全隐患 防治对策

【中图分类号】TM734 【文献标识码】A 【文章编号】1672-5158(2012)11-0306-01

当前,电力调度自动化系统网络安全隐患日益增多,电力系统的良好运行造成了较为严重的影响。新时期下,电力部门只有充分认识到电力调度自动化系统网络安全的重要性,认真分析原因,深入探讨对策,及时采取安全防护技术手段,建立严密的安全管理措施,才能确保电力调度系统和电力系统的安全。笔者在本文中分析了当前电力调度自动化网络存在的安全隐患,并在此基础上提出了相关防治对策,希望对广大业内同行有所借鉴帮助。

1、电力调度自动化系统网络存在的安全隐患

总体来说,电力调度自动化系统网络主要存在存在物理安全、网络安全、系统安全、应用安全、人员管理等五个方面。

物理安全主要包含主机硬件和物理线路的安全问题,如自然灾害、硬件故障、盗用、偷窃等,由于此类隐患而导致重要数据、口令及帐号丢失,称为物理安全。网络安全是指网络层面的安全。由于联网计算机能被网上任何一台主机攻击,而网络安全措施不到位导致的安全问题。系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全管理设置等安全问题,如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等。应用安全是指主机系统上应用软件层面的安全。如Web服务器、Proxy服务器、数据库等的安全问题。人员管理是指如何防止内部人员对网络和系统的攻击及误用等。

目前,电力调度自动化系统网络存在的安全隐患主要是自然灾害、硬件故障、盗用、偷窃等方面,这些情况对电力调度存在着非常严重的损坏。—是自然灾害。常见的对电力调度自动化系统网络造成影响的自然灾害有地震、火山、滑坡,泥石流、台风、雷击等。自然灾害可谓是天灾人祸,这是无法避免的,我们能做的就是提前预测,并根据预测结果进行防范,使受灾程度减到最小。二是硬件故障。硬件故障是技术硬件问题,如网络安全访问控制技术,加密通信技术、身份认证技术、备份和恢复技术等。其中网络安全访问控制技术和加密通信技术的故障主要表现为黑客的攻击和病毒的侵扰,导致网络信息丢失,系统瘫痪;身份认证技术的故障主要表现为用户拒绝系统管理、损害系统的完整性等。

2、电力调度自动化系统网络安全防控措施

近年来,电力调度自动化系统的内涵有了较快的延伸,由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、功角遥测、电力技术支持系统和调度生产管理系统等。数据网络是支持调度自动化系统的重要技术平台,一般要求数据网络安全可靠,实时性要求在秒级或数秒级,其中发电报价系统、市场信息等电力市场信息系统由于需要与公网连接,因而还要求做加密及隔离处理。具体来说,要从以下方面来加强电力调度自动化系统网络的安全防护。

(1)提高调度人员综合能力素质。随着新技术、新设备的不断应用,电力调度自动化系统对调度人员的业务素质也提出了更高要求。因此,要求调度人员不断学习新技术、新知识,提高业务技能,以胜任本职工作。培训工作应以实用为目标,突出技能训练和注重岗位练兵。要熟悉电力调度自动化系统的一次系统图、主要设备的工作原理,熟悉调度自动化系统的工作原理、电网继电保护配置方案及工作原理,熟悉电力调度自动化系统的各种运行方式的操作和事故处理及本岗位的规程制度。同时,要能正确下令进行倒闸操作、正确投退继电保护及安全自动装置,运用自动化系统准确分析电力调度自动化系统运行情况,能及时准确判断和排除故障,尽可能缩小事故范围。电力调度自动化系统调度人员只有通过各种形式的培训学习,苦练过硬的本领,才能在指挥电统的运行和事故处理中做到准确无误。

(2)严格遵守各种安全规章制度。在具体工作中,调度人员要成自觉认真执行规程制度的习惯,克服习惯性违章。如调度员在受理线路工作票时,必须严格把关,仔细认真地进行审查,对工作票所列任务、安全措施及要求,逐项审核,不合格的工作票必须重新办理;下倒闸操作命令,术语要规范,并严格执行调度命令票制度。同时,要熟悉掌握运行方式,做好事故预想。调度员要对电力调度自动化系统的运行方式、主设备的运行状况和当班需要完成的工作,做到心中有数,并针对当时天气、运行方式和主要工作,做好事故预想,提前做好应对措施,以便在发生异常时,能够及时果断进行处理,杜绝误调度事故的发生。

(3)制定科学的自动化调度防护策略。由于当前我国电力调度自动化系统由单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、功角遥测、电力市场技术支持系统和调度生产管理系统等。网络数据的安全已经从原来的基本保护升级到了重点保护的水平,而且网络数据安全的可靠性的实时性也从秒分级上升到毫秒级的水平。特别是发电报价系统、市场信息等电力市场信息系统由于需要与公网连接,因而还要求救加密及隔离处理。因此,电力调度自动化系统需要建立起一整套安全防护体系,这首先要制定其安全防护的策略。从大的方面讲,安全策略决定了一个系统要达到的安全级别及可以付出的代价;从小的方面讲,安全策略的具体规则用于说明哪些行为是允许的,哪些行为是禁止的。

(4)建立健全安全防护责任制。对于硬件的故障,要及时制定安全应急措施和故障恢复措施,对关键数据做好备份并妥善存放,及时升级防病毒软件及安装操作系统漏洞修补程序。加强对电子邮件的管理,在关键部位配备攻击监测与告警设施,提高安全防护的主动性。在遭到黑客、病毒攻击和其他人为破坏等晴况后,必须及时采取安全应急措施,保护现场,尽快恢复系统运行,防止事故扩大,并立即向上级电力调度机构和本地信息安全主管部门报告。对盗用、偷窃。对盗用、偷窃现象,要采取建立健全分级负责的安全防护责任制。发电厂、变电站等负责所属范围内计算机及信息网络的安全管理,各级电力调度机构负责本地电力监控系统及本级电力调度数据网络的安全管理,相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员,相关人员应参加安全技术培训和素质教育。单位主要负责人为安全防护第一责任人,总体上负责整个网络系统的安全。

篇7

【关键词】水文信息传输;网络;安全管理;措施

On the safety management of the hydrological information transmission network

Tang Wen-xue

(Jiangsu Province Hydrology and Water Resources Survey Bureau of Xuzhou Branch Xuzhou Jiangsu 221300)

【Abstract】With the rapid development of the hydrological process of modernization, information technology, the wide range of computer network use and network of hydrological data transmission between the amount of the rapid growth of network security management has become an important issue. This paper mainly discusses the importance of hydrological information transmission network security issues, hydrological information transmission network security threats, and through the security problem of hydrological information transmission network system analysis, pointed out that the hydrological information transmission network security measures should be including the important content.

【Key words】Hydrological information transfer;Network;Safety management;Measures

1. 引言

计算机网络已经成为当前社会发展的重要推动力。社会经济发展、国防信息建设以及与人们息息相关的各行各业,对计算机网络的依赖程度都不断增大。计算机网络给人们带来便利的同时,也带来了保证信息安全的重大挑战。如何使信息不受黑客的入侵,如何保证计算机网络不间断地工作并提供正常的服务,是各个组织信息化建设必须考虑的重要问题。水文信息传输网络安全的目标是全方位地防范各种威胁以确保水文信息在网络传输过程中的保密性、安全性和可用性。

2. 加强水文信息传输网络安全管理的重要性

水文信息传输的内容主要包括:河湖水位、流量、含沙量、输沙率的传输,降水量、蒸发量、土壤墒情的传输,闸坝水情的传输等。水文信息通过网络的传输达到了迅速、快捷和时效,各级水行政主管部门通过对水文信息的及时获得,对防汛抗旱、水资源合理调度和开发利用进行准确决策。随着计算机网络在水文信息传输过程中的广泛使用和网络之间水文信息传输量的急剧增长,其上网的数据也遭到了不同程度的破坏,或被删除或被复制,数据的安全性和保密性受到了严重的威胁。水文信息化事业能否顺利发展,一个比较关键的因素便是网络、信息的安全问题,这已成为制约网络发展的首要因素。所以,重视和加快水文信息传输网络安全问题的研究和技术开发具有重要意义。目前大多数的攻击者只是恶作剧的使用撰改主页面,拒绝服务等攻击,一旦他们的技术到达某个层次攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者。攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等,对水文信息传输的准确性、及时性造成极大的威胁。

3. 威胁水文信息传输网络安全的主要因素

在水文信息传输网络建设中,网络的特性决定了不可能无条件、无限制地提高其安全性能。互联网具有的不安全性、操作系统存在的安全问题,数据、传输线路、网络管理的安全问题等都是网络不安全的主要因素。总的来看威胁水文信息传输网络安全的因素主要有非法入侵、病毒的侵袭及对网络安全问题的认识不足等。

3.1 非法入侵。

非法入侵攻击的方式是多样的,首先、以各种方式有选择地破坏信息的有效性和完整性,导致数据的丢失和泄密,系统资源的非法占有等;其次,在不影响网络正常工作的情况下截获、窃取、破译以获得重要机密信息;再次,拒绝服务攻击,此种攻击非法占用系统资源,导致系统服务停止崩溃,“蠕虫”病毒就是拒绝服务攻击的一个典型:常见的拒绝服务攻击还包括各种电子邮件炸弹。这些攻击均可对计算机网络构成极大的危害,并导致机密数据的泄露。

3.2 病毒的侵袭。

计算机病毒是一种具有自我复制能力的一类攻击性程序,它隐藏在计算机系统软件程序和数据资源中,利用系统的软件程序和数据资源进行繁殖并生存,并通过系统软件程序的运行和数据共享的途径进行传染。计算机病毒会影响计算机软件、硬件的正常运行,破坏数据的正确与完整。尤其在网络环境下,计算机病毒的传播速度更快,破坏范围更广。它会导致网络效率急剧下降,系统资源严重破坏,甚至有可能造成整个网络系统的瘫坏,如:CIH病毒和“Iloveyou”等病毒所造成的破坏都说明了在网络环境下,计算机病毒有不可估量的威胁性和破坏力。

3.3 用户对网络安全问题的认识不足。

一方面,用户通常将水文信息传输网络系统作为一个纯粹的技术或工程来实施,缺乏统一的安全管理策略和专门的网络安全管理人员。水文信息传输网络系统的安全环境是非常复杂并且不断变化的,很少有人去研究网络安全状态的发展变化、网络入侵手段、系统安全防范措施和安全策略。甚至更少有时间去监控水文信息网络的实际活动状态、入侵迹象或系统的错误使用等,这就导致了水文信息传输网络系统实际安全状态和预期标准之间的差距较大。另一方面用户也只侧重于水文信息传输各类应用软件的操作,只期望方便、快捷、高效地使用网络,最大限度地获取有效的信息资源,而很少考虑其实际存在的风险和低效率,很少学习密码保管、密码设置、信息保密的必备知识以及防止破坏系统和篡改数据的有关技术。

4. 水文信息传输网络安全威胁的发展趋势

病毒技术和黑客技术的结合对水文信息传输网络安全造成更大的威胁。从发展趋势来看,现在的病毒已经由从前的单一传播、单种行为,变成依赖互联网传播,具有电子邮件、文件传染等多种传播方式,融黑客、木马等各种攻击手段于一身的广义的“新病毒”。

今后恶意代码、网络安全威胁和攻击机制的发展将主要具备以下等特点:

(1)与互联网更加紧密的结合,利用一切可以利用的方式(如邮件、局域网、远程管理等)进行传播。

(2)所有病毒都具有混合型特征,集文件传播、蠕虫、木马、黑客程序的特点于一体,破坏性大大增强。

(3)扩散极快,而且更加具有欺骗性。

(4)利用系统漏洞将成为病毒有力的传播方式。

(5)无限网络技术的发展使远程网络攻击的可能性增发。

(6)各种境外情报、谍报人员将越来越多地通过信息网络渠道搜集情报和窃取资料。

(7)各种病毒、蠕虫和后门的技术越来越智能化,并呈现整和趋势和形成混合型威胁。

(8)各种攻击技术的隐秘性增强,常规手段不能识别。

(9)分布式计算技术用于攻击的趋势增强,威胁高密度密码的安全性。

(10)一些政府部门的超级计算机资源将成为攻击者利用的跳板。

5. 水文信息传输网络安全措施的重要内容

针对威胁水文信息传输网络安全的诸多因素,我们必须设立完整的安全措施。完整的网络安全措施应包括以下几个方面的重要内容:

5.1 网络方面。

网络方面的安全控制包括:什么人对什么水文信息内容具有访问权;查明任何非法访问或偶然访问的入侵者;保证只有授权许可的通信才可以在客户机和服务器之间建立连接;以及传输当中的数据不能被读取和改变。这些就是通常所说的防火墙和虚拟专用网。

“防火墙”是一个或一组系统,它在两个网络之间完成访问控制任务。它的主要作用是有效地收集和记录互联网上的活动和网络误用情况;有效隔离网络中的多个网段,防止一个网段的问题传播到另外网段;有效地过滤、筛选、和屏蔽有害的信息和服务;能执行和强化网络的安全策落。但必须注意到,防火墙也有自身的缺点,它是一种被动防御,对于不通过防火墙的攻击它就显得无能为力。

5.2 系统方面。

操作系统是计算机资源的直接管理者,它和硬件打交道并为用户提供接口,是计算机软件的基础和核心。网络的安全性很大程度上依赖于网络操作系统的安全性。系统的安全防护就是保证整个系统不受外来的入侵,以免受到损失。目前,常见的操作系统主要有Windows、Netware、Unix、Linux等几大家族,几乎所有的操作系统都不是十全十美的,总存在安全漏洞,这些系统各自的安全问题随着不同的版本层出不穷。在水文信息传输过程中WindowsNT系统使用较广泛,但WindowsNT对较大的ICMP包是很脆弱的,但人们普遍认为WindowsNT的安全性不如Unix,事实上这要取决于管理员的水平,要使WindowsNT也能在复杂的网络环境中实现安全服务,管理员对WindowsNT的功能设置应遵循以下几点原则:

(1)系统的管理员帐号改名。

对于试图猜测口令的用户,可以设置一定次数的口令输入错误忽略,如三次输入错误日令便禁止再次尝试。但若想探知管理员Administrator的口令,则不能设置此项功能。为此,将Administrator这个管理员登录帐号该为其他,如该为以Controller登录,这就相当于加了双保险,相对安全多了。

(2)采用NTFS(NTFileSystem)。

NTFS可对文件和目录使用存取控制表(ACL),它可以管理共享目录的合理使用,当共享级权限为“只读”时,某分区所有的权限也将是只读。而FAT(文件分配表)则只能管理共享级的安全。值得注意的是,NTFS对文件的合理分区是很重要的。对于NTFS,如果权限没有设定好的话,会造成严重的漏洞,比如,一台提供虚拟主机服务的Web,如果权限没有设定好,用户可以轻而易举地篡改删除机器上的任何文件,甚至让WindowsNT崩溃。所以管理员应当对文件权限的设定严格划分,如将Web目录建立在NTFS分区上,非Web目录建立在NTFS分区上,非Web目录不要使用everyonefullcontrol,而应使用Administratorfullcontrol。

(3)打开审计系统。

打开审计系统,这样可以知道WindowsNT环境中的安全性是否被攻击。激活该系统的方法是:选择“域用户管理器”中“规则”菜单中的“审核”命令,设置相应的功能收集有用信息。

系统方面的安全控制包括:谁能访问服务器或访问者可以干些什么;防止病毒和特洛伊木马的侵入;检测有意或偶然闯入系统的不速之客;进行风险评估,查系统安全配置的缺陷,发现安全漏洞;进行政策审计。这些就是防病毒产品、入侵检测工具和评估审计工具的功能。

5.3 用户方面。

用户方面的安全主要通过管理用户帐号实现,在用户获得访问特权时设置用户功能或在他们的访问特权不在有效时限制用户帐号是该级安全控制的关键。这项工作主要依靠管理员来完成,而借助于专业的评估审计工具将会使管理员更加有的放矢。

审计工具使信息系统自动记录下网络中机器的使用时间、敏感操作和违纪操作等。审计类似机上的“黑匣子”,它为系统进行事故原因查询、定位、事故发生前的预测、报警以及为事故发生后的时时处理提供详细可靠的依据或支持。审计对用户的正常操作也有记载,因为往往有些“正常”操作(如修改数据等)恰恰是攻击系统的非法操作。

5.4 应用方面。

基于HTTP、FTP、Telnet、Wais、Mailto、SMTP、POP3等协议的各种应用是大家相当熟悉的。这些应用的协议本身存在着这样或那样的安全问题,具体到某一种协议的应用各不相同。因此由于应用方面的安全弱点导致的各种网络攻击令人防不胜防。例如:HTTP是TCP应用层的协议,低层TCP的安全与否直接影响HTTP的安全;在HTTP协议方面,攻击着可以利用它的脆弱性进行攻击,如CGI程序、E-mail攻击,HTML中的隐含Format域。

数据访问控制工具允许用户对其常用的信息库进行适当权利的访问,限制随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获得完成自身任务的最低权限,不给用户赋予其工作范围内之外的任何权利。

5.5 数据方面。

对于水文信息传输网络来说,数据的安全最为重要,保证数据的安全是网络安全的核心。由于TCP/IP自身的性质决定了其上各种应用的数据在传输的过程中都是在不可信的通道中以文明的形式进行,就导致数据在传输过程中存在极大的安全风险,别有用心的攻击者可以监听网络传输中的文明数据,甚至对其进行修改和破坏。数据级的安全主要是指保持数据的保密性和完整性,这需要借助于专业的数据加密工具加:SHTTP,SHEN,SSL。除了使用专业的数据加密工具,加强日常工作中的数据防护非常重要,如:(1)做好数据备份。如今服务器功能越来越大,集中的数据处理越来越多,数据备份必不可少;计算机硬件系统应有稳定可靠的电源,能够预测故障、保证数据的完整性和数据恢复。一旦遭到破坏,能利用备用计算机继续正常运行。

(2)内部管理上制定合理的安全检查规范。明确每位工作人员的权限,杜绝误操作和恶意破坏引起的严重后果。

6. 结论

我们生活在一个网络时代,网络对社会的影响越来越大,与我们的生活越来越不可分,网络经济激发了人类历史上最活跃的生产力,但同时也使网络的安全问题日渐突出而且情况也越来越复杂。水文现代化、水文信息化、“大水文”各项的建设离不开网络的安全。加强水文信息传输网络安全的管理问题已经威胁到国家的政治、经济、军事等各个领域,网络时代急切呼唤安全。新的攻击手段和方法层出不穷,使网络安全工作显得更加艰巨,网络安全各个方面的安全风险是交叉重叠的,网络安全作为一个复杂的工程,需要我们进一步深入地学习并要认真加以研究,否则就无法保证计算机网络为水文信息化、水文现代化、“大水文”建设提供更好的服务。

参考文献

篇8

随着国家对网络安全宣传的逐渐重视,高校作为信息化建设的主体,在网络安全宣传和推广中有责任与义务将这项工作做好做实。由于高校信息化涉及到高校的科研、教学和日常的管理,方方面面都离不开网络的支持。随之而来的就是网络的安全隐患,安全问题不仅涉及高校信息化建设的步伐,更关系到广大师生的切实利益。网络安全问题作为高校信息化建设的焦点问题,本文从高校信息化建设入手,重点对高校中网络安全常见的问题进行分析,并给出了相应的对策和建议。

【关键词】信息化 网络安全

当今“万物相联”时代,网络安全日益重要,中央网信办等多个部门举办的网络安全宣传周活动,延伸的网络安全博览会,网络安全技术高峰论坛,网络安全知识竞赛等线下活动,全国个地方同步开展。感觉高到云端的“国家网络安全宣传周”,看似高冷,其实与每个网民息息相关。计算机网络的飞速发展,以及移动互联网技术的大规模开展,在高校中得到了深入的应用,高校信息化建设基于网络信息化平台,在办公教学软件的整合,高校站群的尽力,以及办公一体化等系统的集成,都离不开网络安全的保障,高校应该结合自身的实际情况,综合软硬件实力,建立相应的应急预案,健全网络安全保障体系,为高校内部提供技术支持,保证信息化建设不受外来侵扰和破坏。

1 高校网络安全现状分析

相对开放的高校网络环境,高校内部的教育教学资源和图书资源一般是公开的,访问权限也一般不受限制,甚至外部都可以通过互联网对高校的课程或者其他内部资源进行访问查询,宽松的网络资源管理模式,势必对出现一定的网络安全问题,但是又不能对骨干网的限制过多,这也是高校区别于企业网络的一个特点。

同时,由于高校信息化建设是依托学校的校园网的基础设施,设备的更新换代跟不上信息化发展的速度,网络安全设备以及网络安全防御体系更是难以维持现状。另外高校内部的师生的安全防范意识淡薄,也为安全隐患提供可乘之机,然而网络安全管理人员一般理论丰富但也缺乏相应的突发问题实战经验,对应付突发网络安全问题有时也会捉襟见肘。

2 高校网络安全隐患分析

在高校内部,网络需要支撑大量计算机,服务器,甚至各类查询机等终端设备,这些设备分布在校园的各个角落,不同用户的不同操作习惯,以及用户的网络安全意识不尽相同,导致一旦出现网络安全问题,采取措施不及时,或者措施不得当,就会导致较为严重的安全事故。具体地讲,高校网络安全主要有以下几方面的隐患:

2.1 技术方面的安全隐患

高校信息化的发展速度远快于网络安全措施的发展,高校在搭建校园网络平台的时候没有考虑到日益增长的网络应用需要,也没有将安全问题放在首位,一般都采用三层网络结构模型,主要是易于管理和维护,但是没有考虑到同一层的不同节点之间的隔离和扩展问题,对于安全方面的部署更是后续的问题。从结构安全上讲,网络出口的单一化设计,服务器的防护措施,和接入层认证系统的安全管理系统配套匹配等都讲影响安全方面的问题。

2.2 安全管理方面的安全隐患

高校信息化的推进,宽泛的来讲,能满足高校师生对网络的需求,但很多又忽略了网络安全系统的需求。部分高校校园的网络安全缺乏相应的管理制度,使得图书馆和学校机房等公共资源平台上,不同师生的操作,有可能会导致信息丢失或者非法入侵,网络安全隐患问题更加突出。

2.3 来自外部的安全隐患

高校网络的安全隐患中,很大一部分是来于外部的威胁,以及外来人员利用校园网络所带来的一部分安全隐患。虽然网络安全防护软件和检测软件不断地发展,但是网络病毒仍然肆无忌惮地攻击校园网络。这些人为或者操作失误导致的威胁,为校园网系统造成的破坏还是极大的,严重影响了正常的教育教学秩序。

3 高校网络安全管理的对策

为保证高校校园网络的稳定性,并能将安全风险降到最低,主要从以下几个方面给出相关的对策:

3.1 完善高校网络安全技术保障

从应用的角度出发,分析网络安全和对应的措施,考虑网络安全在高校信息化建设中各个应用层面的地位,包括基础网络服务设施,应用软件以及数据中心的角度等。分析可能要面临的网络风险,从源头上对风险有预估性,并制定相应的安全防护措施。同时对防火墙技术,身份认证机制都要提供相应的保护措施。对内部用户和外来人员进行访问权限设置,对出口数据进行严格监控,确保在技术层面上减少网络完全隐患。

3.2 高校网络安全的物理防护

为避免一些因为人为原因导致损坏,则需要网络管理人员以及高校师生的共同维护。对师生而言,采取屏幕口令和定期修改个人计算机或其他网络应用密码等措施;对高校网络管理人员来讲,确保将核心交换设备和防火墙等重要设备集中管理,对线路线路采取深埋措施,避免人为干扰,这些都是网络安全的物理防护措施。

3.3 健全网络安全相关管理制度

结合学校校园网的组织架构和安全规划情况,制度包括设计、实施以及维保在内的安全管理制度,健全校内网络的各项安全管理制度,建立安全问题责任人制度,对外来人员严格控制上网行为。规范全校师生的上网行为,从顶层完成网络安全相关保障。

3.4 培养高校师生内部安全意识

考虑到高校师生的网络技术水平的差异,对关键岗位人员应有计划性地定期进行安全培训,同时应在校园定期举办网络安全方面的讲座或比赛,使广大师生的网络安全意识得到提高。让校园网用户都用实际行动关心,关注网络安全,也进一步推动了校园信息化的发展。

4 总结

高校网络安全是一项长期并且艰难的工作,本文从网络安全现状入手,在分析了高校网络安全现状以及安全隐患后,给出了相应的对策。高校只有将网络安全这一项基本工作做好,才能将信息化建设推向一个新的台阶,从而促进校园网络健康有序发展。

参考文献

[1]颜琳,陈侠.美国网络安全逻辑与中国防御性网络安全战略的建构[J].湖南师范大学社会科学学报,2014(04).

[2]吴洪斌.高校网络安全存在的不足及应对措施[J].开封教育学院学报,2014(01).

[3]土红梅,宗慧娟,土爱民,等.计算机网络信息安全及防护策略研究[J].价值工程,2015(01).

作者简介

袁华兵(1985-),男,硕士研究生学历。现供职于西安医学院。研究方向为网络管理。

篇9

【关键词】企业网络安全;风险分析;对策

一、网络结构安全风险分析及对策

1、外部网络安全分析及对策

企业网络通常与外部网络连接,方便企业员工与外界互连。但由于网络涵盖面广,外网中存在太多的不安全因素,如果系统内部局域网与系统外部网络之间没有采取安全防护措施,内部网络很容易遭到来自外部网络一些入侵者的攻击,这些攻击或影响企业网络系统的正常运行或使资料泄漏,所以可以采取以下的网络安全措施:

(1)加强网络结构设置:为了加固网络结构可以将网络结构设置为如图1所示的结构:

第一道安全防线:外部防火墙抵挡外部网络的攻击。第二道安全防线:DMZ区域的堡垒主机。堡垒主机作为进入内部网络的一个检查点,把整个网络的安全问题集中在堡垒主机上解决,从而省时省力,不用考虑其它主机的安全问题,能进一步抵挡外部网络的攻击。第三道安全防线:内部防火墙。负责管理DMZ区域主机对内部网络的访问,并管理所有内部网络对DMZ区域的访问。通过以上网络结构的设置,非法用户必须经过三个独立的区域才能到达内网,加大了入侵者攻击的难度,加固了内部网络的安全性,但网络运维的成本相对较大。

(2)加强员工的网络安全意识:内网用户所遭到的攻击多来自于木马、病毒和网络钓鱼,而让这种攻击得逞的原因是内网用户点击了不安全网站、木马绑定的图片或文件,所以加强员工的安全教育,对于保障网络安全非常重要。

2、内部网络安全分析及对策

企业网络内部攻击相对于外网入侵要略显容易,大约有70%~80%的网络攻击来自于网络内部,所以企业面临的最大网络安全威胁是在办公室内部。常见的内部局域网威胁包括:误用和滥用关键敏感数据;内部人员故意泄漏内部网络的网络结构;内部不怀好意的员工通过各种方式盗取他人信息传播出去。针对以上内部网络安全问题,可以采用以下安全措施:

(1)软件管理:启用内网监听软件、加强内网的监控;固定企业内客户端的IP地址、加强用户的管理;查看服务器日志文件,保护内网安全。(2)硬件管理:网络设备中包含路由器、交换机、防火墙等。首先应注意保障硬件设备的物理安全,将其安置在相对安全的地方,不要安置到所有员工都容易接触的地方;其次管理人员应正确理解硬件设备的应用,避免由于疏忽或不正确理解而使这些设备安全性不佳。

二、网络操作系统安全风险分析与对策

目前常用网络操作系统有windows、UNIX、linux操作系统,这些操作系统开发在过程中要考虑到方便用户使用,但在方便使用的前提下也暴露出一些问题:(1)操作系统默认配置存在安全隐患:如Windows操作系统默认设置可以从光盘或U盘启动,这种设置可以避开登录密码直接进入操作系统,另外操作系统默认安装了一些不常用的服务和端口,为非法用户的入侵提供了便利。(2)操作系统支持在网络上共享数据、加载或安装程序,这些功能方便了非法用户注入和运行木马程序,为获取用户的信息提供了方便之门。(3)操作系统自身结构问题,如:windows操作系统自身提供的IPC$链接、远程调用等都存在安全隐患。IPC$链接是通过DOS界面在获得管理员权限的前提下获得远程计算机的信息;ftp服务传输过程为明码传输,使用抓包工具即可获取FTP服务器的登录账号和密码,telnet远程登录需要经过很多的环节,中间的通讯环节可能会出现被人监控等安全问题,所以为了加固网路操作安全可以采用以下措施:

1、加强物理安全管理 禁止通过DOS或其它操作系统访问NTFS分区。在BIOS中设置口令,禁止使用U盘或光驱引导系统。

2、加强用户名和口令的管理 windows操纵系统Administrator管理员用户和Unix/Linux操作系统root特权用户均具有对操作系统的完全控制权限,所以是入侵者想要获取的信息。用户名保护:Windows非管理员账户在输入密码错误后可设置成锁定该用户,但是Administrator不能删除和禁用,所以攻击者可以反复尝试登陆,试图获取密码。为了增加攻击者获取管理员权限的难度,可以为Administrator重命名,这样攻击者不但要猜出密码,还要先猜出管理员修改后的用户名。Root用户不能更名,为了保护该用户,在没有必要的情况下,不要用root用户登录本机及远程登录服务器。密码保护:密码设置应按照密码复杂度要求设置并定期更换密码,同时密码的设置不要用普通的英文单词或比较公开的信息如生日、车牌等。

3、加强用户访问权限的管理 有些管理员为了方便用户访问文件系统,为用户开放了所有权限,如windows操作系统中为everyone工作组授予了“完全控制”权限,UNIX/Linux操作系统为所有用户设置读写执行权限,这样的设置方便非法用户上传木马,所以为了文件系统的安全,必须重新设置文件系统的权限,在保证正常运行的前提下,为用户设置最小的访问权限。

4、加强服务和端口的管理 当用户开启操作系统后,操作系统自带的某些服务会自动运行,而非法用户会针对这些服务进行远程攻击,而一些不常使用的端口也容易被非法用户利用,作为再次入侵的后门,所以应该将不常使用的服务和端口关闭。

三、数据安全风险分析及对策

企业网络的数据安全不可避免的受到外界的威胁,而数据的任何失误,都可能对企业带来巨大的损失。目前数据泄漏的主要途径是:办公计算机或硬盘的外带;利用移动存储设备将数据带出;通过网络传输文件;通过外设拷贝数据;服务器被非法入侵等。为了防止企业数据泄露可以采用如下措施:

1、磁盘加密 针对硬盘丢失或被盗造成的泄密风险,可以通过对磁盘驱动层的加密加固处理,保证硬盘在被非法外带或丢失后呈“锁死”状态,硬盘内容无法被他人所读取。

2、移动存储设备使用管理 对于移动存储设备设置加密写入,即拷贝到该类设备的文档都会以密文形式存在,密文只有拷贝回本地计算机才能解除加密。

3、文档传输控制 对于文档传输可以采取文件外发对象控制(指定可以外发文件的对象列表)、文件外发加密(外发的文档处于加密状态)、文件外发审批(外发的文件需要经领导审批方可发送)等形式进行控制。

篇10

摘要:计算机网络现代信息技术发展的产物,在互联网时代下计算机网络已经渗透到人们生活的方方面面,但计算机网络的空间是相对自由和开放的,人们在工作中应用计算机网络还存在一定的安全隐患,导致重要信息泄露等,存在重大影响和威胁。因此对计算机网络的安全问题及防范措施的研究和探讨具有重要意义。

关键词:新时期;计算机网络;安全问题;防范措施

在信息时代下,计算机在人们生活及工作中普及应用,为人们的生活带来了极大的便利,但与此同时,计算机网络安全问题也是近年来人们重点关注的话题。在生活、工作中人们通过计算机网络实现信息交流和感情传递,确保计算机网络的安全,提高人们对计算机网络的利用效率,具有重要意义和价值。在实际工作中,人们在应用计算机网络时,采取有效的措施对计算机网络安全问题加以防范,是网络技术人员的主要任务。

一. 新时期计算机网络安全问题

(一) 计算机病毒

计算机病毒是计算机网络自带病毒,对计算机网络安全产生一定的威胁。在日常生活和工作中,人们在应用计算机网络时,不仅存在软硬件病毒,在通过U盘活光盘对资料或数据拷贝及使用中,容易将病毒带入计算机里[1]。计算机病毒的破坏性较强,且不易被人发现,当病毒入侵到电脑系统中,其传播十分迅速,并在短期内对电脑中的重要内容及信息进行大量复制,使计算机资源造成损坏,计算机工作速度缓慢,并会对文件进行删除或破坏,造成数据丢失或信息被窃取,产生重大灾害。

(二) 木马和黑客入侵

木马和黑客入侵是一种常见的计算机网络安全问题,对计算机网络运转造成重大影响。一般情况下,黑客的计算机专业知识水平较高,且十分专业,对计算机各种软件及工具可以灵活使用,并熟悉计算机网络存在的漏洞问题,通过制作病毒软件作为计算机网络切入点,进行攻击和植入病毒,对计算机中重要的资料及网络数据进行破坏或窃取,使系统瘫痪或计算机的部分功能不能正常使用,对计算机用户造成不便,对于企业或政府部门来说还会带来重大社会安全问题及经济损失。

(三) 网络软件漏洞

网络软件漏洞是计算机网络安全的主要问题,在计算机网络的应用中,不论是哪一款软件都会存在一定的漏洞,而黑客则抓住网络软件存在的漏洞进行计算机攻击[2]。一般情况下,计算机网络的病毒入侵主要是由于安全措施不完善,对系统漏洞没有进行及时处理。因此在网络工程师对软件进行维护时需要对网络软件的漏洞引起足够的重视。

二. 计算机网络安全问题的防范措施

(一) 加强计算机网络安全管理

加强计算机网络安全管理首先需要安装高质量的网络安全防护软件,自动过滤计算机网络中一些不良信息及病毒软件,并关闭使用率低的一些网络端口,避免木马病毒入侵,从而可以有效防范黑客对计算机系统的攻击,确保计算机网络的安全,保障用户的网络数据资料。其次,确保计算机网络安全,还要加强网关准入控制,实现四位一体的网关控制模式。用户在使用计算机网络时,需要及时下载相关布丁,对计算机进行杀毒,当计算机出现漏洞问题,则需要进行修复,弥补计算机网络系统的缺陷,避免计算机网络安全问题的发生[3]。或采用高质量的杀毒软件或扫描软件,及时修复计算机网络安全漏洞,提高计算机网络的安全性能。最后,相关部门需要建立完善的计算机网络安全管理机制,对计算机网络安全的相关法律法规进行不断优化和完善,提高网络安全监察力度,提高网络管理人员的职业素养及专业水平,并向计算机用户进行网络安全防范工作的宣传教育,提高用户安全防范意识,并对计算机操作行为进行正确的指导,避免人为操作或物理因素导致计算机网络安全发生。

(二) 加强计算机防火墙技术应用

为了确保计算机网络安全,还需要加强计算机防火墙技术的应用,这是计算机网络安全防护的重要策略之一[4]。防火墙技术主要包括有应用级防火墙及过滤防火墙两种,根据计算机网络安全的实际情况,选择合理的防火墙技术应用,确保计算机网络的安全运行,实现计算机系统数据的过滤与传输。加强计算机防火墙技术应用,提高系统安全防范水平,具有重要的现实意义。

结语:

总之,在信息化时代下,计算机网络技术得到快速发展的同时,也面临着计算机网络安全问题的挑战,随着计算机网络在人们日常生活和工作中的渗透,加强计算机网络安全问题及防范措施的研究具有重要意义。在计算机网络安全管理工作中,需要对计算机网络安全问题进行深入分析,并根据实际情况制定防范措施,提高计算机网络应用的安全性能。

参考文献:

[1]王涛. 浅析计算机网络安全问题及其防范措施[J]. 科技创新与应用,2013,02:45.

[2]何洪林. 对新时期计算机网络安全问题及其对策的探析[J]. 通讯世界,2015,24:37.