网络安全防范办法范文

时间:2024-02-27 17:50:49

导语:如何才能写好一篇网络安全防范办法,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全防范办法

篇1

传统的企业网络安全防范主要都是对网络病毒、系统漏洞、入侵检测等方面加以设置,安全措施和相关配置通常都在网络与外部进行连接的端口处加以实施,采取这样的网络安全防范虽然能够降低外部网络带来的安全威胁,但却忽视了企业内部网络潜在的安全问题。

目前,企业内部网络的安全问题的严重程度已经远远超过了外部网络带来的安全威胁,企业内部网络的安全威胁成为了企业信息安全面临的重大难题。但是,由于企业管理人员的网络安全防范意识不强,对于企业内部网络的安全问题不够重视,甚至没有对企业内部网络采取任何安全防范措施,因此导致了企业内部网络安全事故不断增加,给企业带来了重大经济损失和社会负面影响,怎样能够保证企业内部网络不受到任何威胁和侵害,已经成为了企业在信息化发展建设过程中亟待解决的问题。

2 企业内部网络的安全威胁

随着计算机技术和网络技术的飞速发展,企业内部网络是其信息化建设过程中必不可少的一部分。而且,网络应用程序的不断增多也使得企业网络正在面临着各种各样的安全威胁。

2.1内部网络脆弱

企业内部网络遭到攻击通常是利用企业内部网络安全防范的漏洞实现的,而且,由于部分网络管理人员对于企业内部网络安全防范不够重视,使得大部分的计算机终端都面临着严重的系统漏洞问题,随着内部网络中应用程序数量的日益增加,也给计算机终端带来了更多的系统漏洞问题。

2.2用户权限不同

企业内部网络的每个用户都拥有不同的使用权限,因此,对用户权限的统一控制和管理非常难以实现,不同的应用程序都会遭到用户密码的破译和非法越权操作。部分企业的信息安全部门对于内部网络的服务器管理不到位,更容易给网络黑客留下可乘之机。

2.3涉密信息分散

由于部分企业内部网络的涉密数据存储分布在不同的计算机终端中,没有将这些涉密信息统一存储到服务器中,又缺乏严格有效的监督控制管理办法。甚至为了方便日常办公,对于涉密数据往往不加密就在内部网络中随意传输,这就给窃取涉密信息的人员制造了大量的攻击机会。

3 企业内部网络安全防范设计方案

3.1网络安全防范总体设计

即使企业内部网络综合使用了入侵检测系统、漏洞扫描系统等防护手段,也很难保证企业内部网络之间数据通信的绝对安全。因此,在本文设计的企业内部网络安全防范方案中,部署了硬件加密机的应用,能够保证对企业内部网络中的所有数据通信进行加密处理,从而加强企业内部网络的安全保护。

3.2网络安全体系模型构建

企业内部网络安全体系属于水平与垂直分层实现的,水平层面上包括了安全管理、安全技术、安全策略和安全产品,它们之间是通过支配和被支配的模式实现使用的;垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。一个企业内部网络安全体系如果想保持一致性,必须包括用户授权管理、用户身份认证、数据信息保密和实时监控审计这四个方面。这四个方面的管理功能是共同作用于同一个平台之上的,从而构建成一个安全可靠、实时可控的企业内部网络。

1)用户身份认证

用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等,而且,由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。

2)用户授权管理

用户授权管理是以用户身份认证作为基础的,主要是对用户使用企业内部网络的数据资源时进行授权,每个用户都对应着不用的权限,权限代表着能够对企业内部网络中的某些资源进行访问和使用,包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。

3)数据信息保密

数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络涉密信息和知识产权信息的有效保护。

4)实时监控审计

实时监控审计作为企业内部网络中必不可少的部分,主要实现的是对企业内部网络的安全的实时监控,定期生成企业内部网络安全评估报告,一旦企业内部网络出现安全问题时,能够及时汇总数据,为安全事故的分析判断提供有效依据。

4结论

目前,关于企业内部网络的安全防范问题一直是网络信息安全领域研究的热点问题,越来越多的企业将办公系统应用于企业内部网络中,但是由于企业工作人员的安全防范意识不强,或者网络操作不规范,都给企业内部网络带来了更多的安全威胁。本文提出的企业内部网络安全防范设计方案,能够有效解决多种内部网络的安全问题,具有一定的实践应用价值。

参考文献

篇2

关键词信息安全;PKI;CA;VPN

1引言

随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中,以某公司为例进行说明。

2信息系统现状2.1信息化整体状况

1)计算机网络

某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。

图1

2)应用系统

经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3风险与需求分析3.1风险分析

通过对我们信息系统现状的分析,可得出如下结论:

(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:

(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。

(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。

已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。

3.2需求分析

如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:

(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。

(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。

4设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。

4.1标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。

4.2系统化原则

信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。

4.3规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。

4.4保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。

4.5多重保护原则

任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。

4.6分步实施原则

由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。

5设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。

图2网络与信息安全防范体系模型

信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:

身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。

数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。

5.2边界防护和网络的隔离

VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3安全电子邮件

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。

5.4桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。

5.5身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。

图3

因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:

(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。

(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。

(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。

7结论

本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。

也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。

篇3

【关键词】无线网络安全;防范策略

无线网络信息时代的不断发展,无线网络技术在社会各个领域都有着广泛的应用,由于无线网络有着组网灵活、快捷高效的优点,使得无线网络技术容易被大众接受。对比传统的有线网络技术,无线局域网结合无线通信技术与计算机网络优点,在此基础上建立的无线多IP通信网络模式,使得通信模式从传统固定化转变为移动化、个性化媒体信息方式,由于无线网络能够像传统有线局域网一样能够建立以太网与令牌网络。因此,无线网络在流量发送与接收过程中存在许多不安全因素。

1无线网络安全问题

1.1网络公开性过强

无线网络传输的本质是有线射频技术将网络信号通过介质进行传播,是在无线电波传播的基础上,建立的一种开放式物理系统。由于无线电波传递的局限性,使得无线局域网都存在着信息接收范围。在这个范围内,用户可以通过无线网络接收器获得射频信号,但是如果范围过大,超出家庭或企业的范围之外,那么网络攻击者就能够通过连入无线局域网,对无线网所有者造成威胁。

1.2用户防范意识不强

我国目前大部分无线网络都没有采取合理有效的安全保护措施,根据不完全统计,社会上大概有50%左右无线网络都没有使用加密措施。没有设置加密功能,可能会使得用户使用的体验上升,但是不排除不法分子对网络进行攻击,由于无线网络的开放性较强,无线局域网所有者浏览信息以及个人数据都能够通过无线网络攻击方式窃取,对无线网所有者隐私权造成严重的威胁。

1.3拦截、窃听网络资源

目前,无线网络攻击者主要攻击对象是未使用加密措施的公共无线网络,攻击者主要攻击方式是通过将其主机为802.11的无线网络进行网络设定,将公共模式调节成监听模式,再使用相关窃听软件,对监听数据进行网络终端分析,最后直接获得需要的数据,这类监听方式对未加密网络的攻击性极高,能够获取全部用户网络信息。除此之外,攻击者还能够使用一些特殊终端分析软件来对通信进行监听,目前社会上已知的主要攻击设备是TCPDumpl、Ethrea。通过这类终端分析软件获取WEP密钥,为攻击者网络资源的获取打开通道。

1.4防止服务攻击

目前,大部分无线网络都是基于无线网络协议802.11上建立的,由于无线网络的特殊性,在无线网络协议中存在一个巨大的安全漏洞,这个漏洞就是网络协议可以被其他设备干扰并更改。网络攻击者可以在此漏洞基础上更改无线网络安全协议,让网络主机无法判断外来者身份,使得网络出现崩溃的情况,资源与信息的传递受到阻碍。由于攻击设备频率的可更改性,能够让网线局域网的无线频谱出现紊乱,将大量网络信号大规模输送到集体无线网中,导致整个网络环境的崩溃。

2无线网络安全的防范策略

2.1合理安装无线设备

由于无线局域网传播介质主要是依靠空气进行传播,在无线局域网覆盖的范围内,所有的无线终端设备在此范围内都能够连接到无线网络。因此,用户在安装无线网络设备过程中,需要考虑到自己实际需求,选择合适的位置进行安装,确保使用范围能够被局域网覆盖,限制外来用户的访问。

2.2应用网络加密技术,建立用户认证连接模式

用户安装无线网络的过程中,需要修改原定的用户密码,而且需要不定期进行密码的修改,防止恶意无线终端连接到无线局域网,对用户的个人隐私数据进行窃取。目前,通用的无线网络机密措施主要是通过DSSS技术进行加密,DSSS技术能够通过高频率的无线电波,防止不被认证用户的干扰。除此之外,用户也可以通过WEP以及WPA加密模式对无线网络进行多重保障,避免攻击者的入侵,其中WEP加密是以40bit密钥进行编码的加密措施,由于其加密的特殊性,使其与其它加密措施有着很大的不同,但是由于其算法强度低、变换率较差,导致WEP加密模式较易被破解,但是WPA加密模式相比于WPA加密模式更加严谨。目前,国家上无线网络普遍使用的加密模式就是WPA,这种加密模式算法严谨,可变性强,使得不被授权终端设备很难连接到无线网络。

3结语

随着社会互联信息化的程度不断加深,无线网络逐渐取代有线网络,而无线网络安全问题也越来越得到人们重视。由于无线局域网传输介质特殊性,使得无线网络安全性难以得到保障。企业与个人无线网络设定需要考虑多方面因素,不仅要对无线网络进行加密处理,更重要的是选择合理的安装位置,综合实际使用范围进行考虑。总而言之,无线网络不存在绝对安全性,只有相对的安全性,只有用户增强网络安全防范意识,通过完善安全防范措施,根据实际情况进行全方位考虑,改进技术管理办法,建构真正意义上的安全无线网络环境。

参考文献

[1]杨天化.浅谈无线网络安全及防范策略[J].浙江工贸职业技术学院学报,2010,02:67~70.

[2]陈亨坦.浅谈无线网络安全防范措施在高校网络中的应用[J].中国科技信息,2008,17:90+94.

[3]朱学兵,李爽.浅谈无线网络安全防范策略[J].中国新技术新产品,2009,16:23.

篇4

关键词:安全系统;计算机防火墙;资料信息安全

目前计算机防火墙作为一种安全屏障能够又想降低网络的基本犯罪率,较好的维护计算机的基本网络信息安全。而想要加强计算机防火墙的安全屏障的建设,同时提升目前网络防范关键的技术手段,就需要从多个方面找寻其内在联系,并且在明确其重要内涵的基础之上,进行创新,从而提出保护目前计算及网络信息安全的新科技与新技术,这也是计算机防火墙安全屏障与网络防范技术在计算机安全网络保护上未来的发展方向。

一、计算机防火墙安全屏障及网络安全防范技术发展现状

在计算机的基础信息安全方面,大致可分为多种安全层面,其中不仅仅是计算机基础硬件设备的安全保障、网络信息安全保护系统等一系列软件安全同时还有计算机之间发挥信息共享等多种作用的信息交流安全。所以计算机防火墙安全屏障对目前网络系统而言是极为重要的[1],但是目前计算机网络在防火墙技术这一方面仍存在着很多的不足,使得目前计算机防火墙安全屏障以及网络安全防范技术不能够满足目前计算机信息网络的安全发展需求,并且急需要进行相应的转变。而通常防火墙崩溃或遭到攻击的相关技术手段大致也可以分为多个部分,最为常见的就是攻击技术中实际利用了防火墙中所允许的子网进行掩护与伪装从而对防火墙进行相应的攻击、多种恶意攻击同时还包括以附加信息以及服务器为载体的恶意攻击等。想要针对这些攻击技术进行攻克,我们就需要在明确计算机防火墙技术的重要意义的同时,进一步提升现有的网络安全防范技术,从而来阻挡对于防火墙的非法攻击、恶意攻击。

二、加强计算机安全屏障建设并且提升网络安全防范技术的具体措施

(一)将硬件防火墙与软件防火墙有机结合起来。加强计算机安全屏障建设并且提升安全防范技术的最好的办法就是硬件防火墙与软件防火墙有机结合起来,将软件防火墙合理进行内置,从综合提升目前防火墙运营水平。硬件防火墙的普遍成本较高,但是其安全系数较高,整个硬件防火墙以及内置的软件防火墙在某一程度而言都能够较好的提供相应的售后服务。实际防火墙用户可以针对自身的基本情况去选择如何合理配置防火墙资源保护。中小型企业应该在安全信息管理方面给予更多的重视,所以应该更加偏向于使用硬件防火墙,从而达到其提企业安全信息的目的。

(二)使用计算机防火墙安全保护新技术以适应目前的安

全防护需求。目前防火墙对于基本信息网络资料的保护能力越来越强,归根到底是日益发展的防火墙新技术的作用。我们可以更多倾向与针对原有的计算机防火墙技术进行相应的创新,并且使用新技术从而满足目前的安全防护需求,提升安全防护能力。通常在进行防火墙工作的过程之中都需要进行相应的IP地址的翻译工作,所以我们可以针对这个方向进行着手,从而更新地质翻译的实际设置方式。同时还有静态网络地址翻译以及端口地址翻译等多种翻译方式。除此之外也可以通过防火墙基本类型进行技术上的提升与使用,大致可以分为包过滤性防火墙、型防火墙以及监测型防火墙等多种防火墙形式,可以在掌握不同类型防火墙的基本特点的情况之下,针对不同的基本防火墙管理需求,使用不同的防火墙管理技术手段及方式。例如使用服务器的过程之中,就是利用服务器第三方交流的特质,而通过避免了内部系统与外部系统信息的直接接触与交流,从而提升安全能力,提升防火墙的基本安全性能,但是对于所使用的技术手段及管理水平要求较高,因为需要对于客户机之中可能存在的各种情况以及全部的应用类型进行全部设置,也会在某一层面上增加相应的管理成本。

结语:目前的计算机网络仍然有其弊端存在所以需要防火墙等安全防护技术对计算机信息网络安全进行相应的保护。虽然目前的计算机防火墙技术还不能够完全满足目前计算机信息安全网络的基本发展要求,但是我们通过将硬件防火墙与软件防火墙有机结合起来、使用计算机防火墙安全保护新技术等多种手段,以适应目前的安全防护需求并且提升相应防火墙安全保护技术手段。我们需要在认识到防火墙安全技术对于网络信息安全发展的重要意义的基础之上,具体明确目前防火墙安全技术的基本结构与发展现状,从而针对各个用户的实际网络安全需要进行相应的选择,在满足需求的同时,也能够对计算机网络的稳定与安全起到一定的促进作用。

篇5

计算机网络安全问题主要是指通过采取相关措施来保障计算机以及计算机信息资源和网络资源不受自然和人为等其他有害因素的威胁、影响以及危害,其中主要涉及计算机软硬件以及系统中所存放的资料数据的安全性,保证不受偶然因素以及恶意破坏的影响。与此同时计算机网络安全的定义也不是固定不变的,随着计算机使用者角度的不断变化,计算机网络安全的定义也随之变化。计算机网络信息安全问题不仅不利于计算机网络的进步与发展,同时也为我国计算机网络安全提出了新的挑战。通常情况下,计算机网络信息的公开性以及计算网络信息安全之间是存在很大矛盾的,两者很难共处。网络信息的公开性拓宽了信息的共享渠道,给众多网民带来了更丰富的娱乐以及生活方式,但同时也给网络信息安全问题带来更大的压力,很多的网络安全问题是无法避免的。通常情况下,导致信息网络安全的因素既包括客观因素也包括主观认识不足的因素。计算机网络系统自身存在的缺陷、漏洞以及计算机使用者技术等问题都有可能引起计算机网络安全问题。

1.1计算机自身存在的病毒问题

在计算机编程以及程序中,所插入的能够破坏计算机功能和数据的计算机指令或者是程序代码,它主要是影响计算机正常使用并且具有自我复制功能。计算机病毒一般都具有破坏力大、传播性强以及潜伏期长的特点。一旦计算机遭受了病毒的侵害,就会带来难以弥补的损失。蠕虫病毒以及宏病毒是目前较为常见的计算机病毒。

1.2计算机黑客的非法攻击

在计算机网络信息访问中,往往会存在一些计算机黑客利用计算机系统中存在的不足以及自身所具备的一些计算机技巧对计算机信息进行一些非授权的网络访问。这种互联网入侵通常情况下主要是为了获取一些数据库资料以及对资源信息进行篡改。除此之外计算机黑客也可以通过破坏计算机的系统平台来破坏系统所具备的功能。

1.3计算机自然威胁

随着使用时间的增长,计算机的某些功能也会出现一定的损坏,这就会阻碍一些正常的计算机网络浏览。除此之外计算机网络也会受到计算机所处环境、光纤老化以及自然灾害等客观上存在的威胁,如果达到一定程度这些问题也有可能会诱发安全事故。

1.4计算机使用者非主观威胁

计算机使用过程中,由于使用者的不当操作也会给计算机网络安全带来一定的威胁。有些网民因为对于网络安全防范意识的缺乏,无法采取正确的网络安全防范措施,就会在计算机指令输入时出现偏差。

2计算机网络安全防范措施

2.1计算机自身管理使用

2.1.1计算机中安装网络防护软件

为了从源头上进行计算机网络安全的防范,需要在计算机中进行网络防护软件的安装,只有这样才能够有效的实现计算机的安全防护。在计算机中安装优质的网络防护软件,不仅能够随时的将一些不经常使用的信息端口关闭,同时对于木马病毒的侵入以及网络黑客的攻击起到一定的防范作用。

2.1.2计算机使用过程中及时进行补丁下载

在计算机使用过程中,需要及时的进行相应的补丁下载。如果在网络使用中,不及时的下载一些相应的补丁,就会大大的提高系统的被入侵的可能性。通过对计算机网络相应补丁的及时下载,不仅能够有效的弥补计算机网络使用系统中存在的不足,也能够有效的规避网络安全隐患。在计算机使用中可以安装一些专门的漏洞扫描器,例如tiger、COPS等软件,同时也可以应用一些计算机防护软件,以便能够及时的进行计算机软件扫描以及漏洞补丁的下载。

2.1.3及时进行计算机数据资料备份

计算机使用过程中,对于计算机中的数据信息及时的进行备份在一定程度上也能够降低计算机网络安全问题所造成的损失。在计算机使用过程中,及时的将一些重要信息进行复制或者是有效的数据转移则被称为计算机数据库备份。通过数据库的备份,当数据出现损坏时,用户可以通过数据内容的拷贝来重新获得数据信息。数据备份不仅是一种简单的规避风险的措施,同时也是有效解决计算机网络安全隐患的措施。

2.1.4应用计算机加密技术

通过较为专业的计算机手段对一些重要的文件进行加密便是通常所说的加密技术。计算机加密技术主要包括文件加密技术以及签名加密技术。采用计算机加密技术是有效进行规避计算机网络安全威胁的重要举措。用户签名加密技术以及文件加密技术按照加密技术功能的不同可以划分为数据传输、存储以及完整性的三种鉴别。在整个加密文件中用户签名技术是非常关键的,在使用中用户可以通过签名技术来进行电子文档的验证以及辨认,同时通过此技术的应用能够有效保证文件的不可侵犯性以及完整性。

2.2计算机个人管理

通过对计算机个人管理来实现计算机网络安全的防护主要是是指:通过计算机使用者进行自我约束将有效降低计算机网络安全的威胁;另外是指通过对他人进行有效的约束来降低计算机网路完全的威胁。计算机网络信息安全与整个社会的安全与进步是有很大关联的,保证了计算机网络信息安全也意味着实现整个社会的安全防护。

2.2.1加大教育投入,培养计算机网络人才

加大教育投入,培养计算机网络人才是非常有必要的。人才以及技术是计算机使用的关键,通过计算机专业人才的培养不仅能够保障和谐的网络环境,同时也能够对一些不法的计算机信息盗用者起到一种震慑作用。

2.2.2强化计算机使用者的安全防护意识,加强内部管理

计算机网络安全防范中七分靠管理三分靠技术,提高网络技术管理能有效的降低网络安全问题隐患,是非常有必要的。在计算机使用过程中首先使用者应该对于网络安全有正确的认识,只有网络安全防护意识提高了才能够在使用进行网络使用中多加注意。除此之外在计算机使用中应该进行密码的设置,计算机所有的相连设备以及主机都应该设置密码,同时密码也应该够长,不容易被破解,密码也需要进行定期的更换。因此在计算机使用中需要采取有效的计算机人员管理办法,只有不断增强计算机人员的安全防护意识,才能有效降低网络安全事故的发生。

3结语

篇6

从安全技术架构来说,网站群的安全问题主要在于网络层、操作系统、数据库的安全。高职院校一般都具备独立的数据中心。以浙江医药高等专科学校为例,目前已建有MIS+S(基本信息安全保障)系统架构,随着硬件驱动已转变为应用驱动,网络信息基础设施和服务都有了大幅度的提升,能够从物理安全、网络安全、系统安全、应用安全四个环节,打造网站群安全防范技术体系,实现动态防御、主机安全、备份和恢复、安全审计、安全测试配置、安全监控,应用分析等目标。

1.1动态防御

网站群安全防范技术体系以往,我们通常利用防火墙、双核心网络设备以及DMZ区来实现应用防护,防范恶意攻击和病毒入侵的能力有限。在网络安全问题日趋严重和复杂的情况下,需要加固原有的网络拓扑结构,增加应用防护系统、统一防恶意代码软件、网络管理系统,与防火墙一起建立动态防御体系。只有为网站群和服务建立访问控制体系,才能将绝大多数攻击阻止在到达攻击目标之前,或攻击者在突破第一道防线后,延缓或阻断其到达攻击目标,最终提升网站群系统的物理安全、网络安全和应用安全。我们将网站群系统所在区域从原DMZ区划分出来,与其他Web应用一起规划为安全级别较高的WebServer服务区域。同时,在该区域部署统一恶意代码防范管理系统,建立安全的病毒防护措施。在核心交换和WebServer服务区域间,通过串联部署方式,增加一台WAF(应用防护系统),起到防护Web应用、漏洞检测作用,确保网站群在内的Web应用完整性。同时,开启硬件防火墙上的网站防篡改、IPS功能、日志功能,建立攻击监控体系,实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源,等)。网站群系统管理员在统一恶意代码防范管理平台上,对网站群主机进行远程控制。包括:远程启动或停止实时监控、手动扫描、实时更新、功能组件配置、设定分组任务或策略,等,以有效阻隔外来病毒入侵及内部病毒清除,有效保障系统安全。众所周知,网络攻击也可以来自于局域网内部,如内网DoS攻击、ARP等病毒攻击。对于内网攻击的防范,通常采取的应对方法有:为内网终端安装病毒防护软件、加强用户病毒查杀意识,在网络设备上划分VLAN进行逻辑隔离、设置ACL访问控制。现阶段,我们还启用硬件防火墙上的IPS、DDoS/DoS内网防护、病毒防御策略等功能来加强防范。同时,利用上网行为管理设备,对内网终端实施安全检查、网络准入控制、行为审计、危险流量封堵、木马病毒查杀等安全防护措施,针对内网攻击事件查看分析用户行为记录并定位,并且依据学校相关规章制度进行处置处理(如《校园网用户守则》、《校园网联网安全保护管理办法》、《校园网系统安全管理制度》,等),提高局域网内部的综合防范能力,减少内网攻击事件的发生。

1.2主机安全

主机安全是网站群系统安全的保障。可以采用双机热备的方式来解决主机冗余问题。但是,由于网站群系统应用的重要性和网络安全的复杂性,为提高主机安全能力,还需要构建主机集群环境,以保障网站群系统的持续运行。目前,高职院校为提高数据中心的利用率和采购运行成本,通常会采用服务器虚拟化软件规划虚拟数据中心。在该环境中,统一存储设备部署在后端,为物理服务器(虚拟主机)提供空间资源,并为前端虚拟机提供数据存储资源;数台高性能服务器作为虚拟主机,随时划分前端虚拟机,并提供虚拟机所需的CPU、内存资源、存储器访问权和网络连接能力,满足各项应用的服务器需求。采用虚拟机(VM)部署网站群双机热备,在降低采购成本的同时,提高了网站群主机的灵活性、冗余保障和容灾迁移能力,保障网站群主机操作系统的安全需求。为了减少网站群所在虚拟主机(物理服务器)的单点故障,实现网站群系统的不间断运行,我们利用vSphere集群功能,在虚拟数据中心内,配置HA(highavailability)高可用集群(如图4所示)。HA允许一个集群中在资源许可的情况下,将一台出现故障的虚拟主机上面的网站群虚拟机切换到集群中另一台虚拟主机上运行(如192.168.0.116和192.168.0.118)。应用业务时间间断由VM系统启动时间、应用启动时间、心跳检测时间构成。

1.3备份和恢复

数据资料是整个网站群系统运作的核心,建立良好的备份和恢复机制,可以在应用系统遭受攻击时,尽快地恢复数据和系统服务。以往,为降低备份容灾成本,会采用纯软件模式,通过编辑脚本文件,连接两台热备服务器,将数据实时复制到另一台服务器上,如果一台服务器出现故障,可以及时切换到另一台服务器,避免了磁盘阵列的单点故障。在网络安全的新形势下,为实现应用数据及业务存储系统的完整性和可靠性,我们在网络拓朴的DMZ区域,接入存储备份一体机(浙江医药高等专科学校采用SymantecBE3600),构建高可用性的存储备份环境。利用其存储空间及备份管理系统,实现有效的异地备份,为网站群的容灾备份提供了进一步的安全保障。通过制定备份策略,选择合适的备份频率,采用完全备份、增量备份、差分备份或按需备份的组合方式,确保及时恢复失败的网站群虚拟机,快速恢复丢失的应用程序服务,全面提升网站群的数据安全及备份恢复能力,避免在各种极端情况下造成的重大损失和恶劣影响。

1.4安全审计

网站群要达到可控性与可审查性,就必须对站点的访问活动进行多层次的记录。安全审计是网站群主机安全和应用安全中的重要环节,审计范围要覆盖到主机上的每个操作系统用户和数据库用户,审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件,及时发现非法入侵行为。以旁路方式部署了一台审计设备,并接入核心交换。审计设备通过对交换机的镜像口进行旁路监听。网站群系统管理员可通过B/S方式使用日志管理综合审计系统,从网络运行维护、数据库安全及系统安全审计等方面,采集所有网站群的数据库访问行为记录,收集客观、实时的分析数据。一旦发生网站群网络信息安全事件,系统管理员可根据网站群用户对数据库系统的所有操作信息,进行准确快速定位,并排除安全隐患。此外,为确保安全审计,还应要求网站群开发人员去除或隐藏程序中的删除日志功能。

1.5安全测试与配置

由于网络安全不是绝对的,因此,在建立技术防范体系后,我们按照《信息安全技术信息系统安全等级保护基本要求》中的第二级基本要求,对网站群的操作系统、数据库和应用系统进行集成测试和配置。主要包括身份鉴别、访问控制、入侵防范、资源控制、数据完整性和保密性,从而确保信息和管理安全。我们采用Centos和Oracle来构建网站群的操作系统和数据库环境,相关配置如下:

1.5.1身份鉴别良好的身份认证体系可防止攻击者假冒合法用户。为此,须对登录操作系统、数据库系统、网站群的用户进行身份标识和鉴别,操作系统和数据库系统管理用户身份标识应具有不易冒用的特点,并确保用户名具有惟一性。因此,我们做了相关配置:编辑操作系统文件etc/login.defs文件,应达到密码定期更换要求。如:PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数PASS_MIN_LEN6#最小密码长度6编辑操作系统文件/etc/pam.d/system-auth文件,应达到密码复杂度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密码最小长度6位和至少包含2数字、至少包含2个特殊字符数编辑操作系统文件etc/pam.d/system-auth文件,采取结束会话、限制非法登录次数和自动退出等措施,实现登录失败处理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#设置密码连续错误6次锁定,锁定时间300s。对于数据库的身份鉴别,我们通过配置Oracle公司提供的验证密码复杂度的函数来实现。对于网站群系统,后台管理用户密码复杂度设置高级别,对密码的长度、大小写、特殊字符都方面都要做要求,同时设置口令有效期。

1.5.2访问控制访问控制更侧重于管理层面,要求操作系统和数据库管理帐号和实际操作都必须为不同人员。我们制定相关岗位职责文件,实现权限分离,责任分离。如:依据安全策略控制用户对资源的访问;实现操作系统和数据库系统用户权限期的分离;限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令;应及时删除多余的、过期的帐户,避免共享帐户的存在。此外,我们对网站群的角色权限进行细分,做到权限相互制约。如超级管理员具有所有功能的操作权限,二级网站管理员只能具有自己站点的操作权限,审计员只能查看安全日志。

1.5.3入侵防范做好入侵防范措施。在操作系统方面,我们遵循最小安装的原则,仅安装需要的组件和应用程序,使得端口和服务实现最小化;通过对安全漏洞的周期检查,设置升级服务器等方式保持系统补丁及时得到更新,从而使绝大多数攻击无效。

1.5.4资源控制系统资源控制主要指终端接入的方式、IP地址范围及登录次数限制。我们做了相关配置。

2网站群安全防范措施

单纯期望某一个安全技术或体系架构就能够全面消除或解决网络安全威胁和风险的想法是不现实的。高职院校网站安全问题突出,还归结于学校对网站安全不重视,网站信息保护意识差,网站日常维护缺失,等。我们只能通过大量实践,在网络安全实战对抗中不断完善,明确责任和义务,建立管理制度和安全制度。管理是网络安全的重要部分,在对网站群部署进行有效的安全风险(安全威胁)识别和评估后,我们还围绕技术层面、组织层面、管理层面、服务层面,完善网站群安全防范措施。建立学校、部门两级运行维护的组织体系,按集中建站、分级管理、制度约束、服务保障的原则,通过统一策划、统一标准、统一资源、统一平台来实现集中建站。按照国家有关规章制度和安全办法(策略),形成制度约束机制,确保网站群在高效、安全、有序的体系下运作。理顺管理体制与职责,构建主站和子站间的垂直管理体系,制定网站群管理办法、建立网站群管理和信息员制度、制定安全规范及操作手册、建立内容管理与审核制度、明确各网站内容管理与运行管理岗位职责、规范工作流程、完善信息等环节,全面做好网站群安全管理工作。通过提升服务管理水平,构建健全的网站群服务体系。我们参考ISO/IEC20000-1采用的PDCA方法论,从规划(P)、实施(D)、检查(C)、改进(A)四个方面着手,根据学校技术、政策和资源等实际环境,加强安全服务管理,确保网站群服务水平。并参考信息安全服务体系,从安全评估服务、安全修复服务、安全保障服务、安全信息服务、安全培训服务、数据恢复服务、产品集成服务八个方面,加强安全服务。

3网站群保障体系构建效果

篇7

1、网络安全现状

计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。

与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。

2、现有网络安全技术

计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。

问题类型问题点问题描述

协议设计安全问题被忽视制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。

其它基础协议问题架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题。

流程问题设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。

设计错误协议设计错误,导致系统服务容易失效或招受攻击。

软件设计设计错误协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。

程序错误程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。

人员操作操作失误操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。

系统维护默认值不安全软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。

未修补系统软件和操作系统的各种补丁程序没有及时修复。

内部安全问题对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。

针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。

3、现有网络安全技术的缺陷

现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。

现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:

一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;

二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;

三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;

四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。

入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。

在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。

4发展趋势:

中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。

从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。

4.1、现阶段网络安全技术的局限性

谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。

任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。

其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。

再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。

所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。

4.2、技术发展趋势分析

.防火墙技术发展趋势

在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。

从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。

UTM的功能见图1.由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。

(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。

(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。

(3)有高可靠性、高性能的硬件平台支撑。

(4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。

二网络安全面临的主要问题

1.网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全措施加以防范,完全处于被动挨打的位置。

2.组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐患,从而失去了防御攻击的先机。

3.组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击者以可乘之机。

4.组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。

5.网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络,不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应。

三网络安全的解决办法

实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。

1.安全需求分析"知已知彼,百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全。

2.安全风险管理安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。

3.制定安全策略根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。

4.定期安全审核安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。

5.外部支持计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警。

6.计算机网络安全管理安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。

篇8

关键词:数据库;网络安全;网络加密

中图分类号:TP311文献标识码:A文章编号:1009-3044(2008)17-21382-02

随着计算机技术应用的深入以及机构对信息系统依赖程度的增加,越来越多的机构将数据库系统作为日常操作和决策的数据管理技术,加上目前基于web应用的普及,对数据库系统信息泄露的威胁也越来越大,因此数据安全性和隐私性问题也越来越受到关注。数据库技术作为数据信息的存储方式, 在网络服务中发挥了巨大的作用,但病毒攻击,黑客入侵,人为安全等随之而来产生了数据的安全问题。应用安全与网络和主机安全之间虽存在很大区别,应用也千差万别,但攻击目标是相同的,即入侵数据库。

对数据库系统的安全,人们往往只关注产品或技术上的解决办法,经统计显示,引起数据库系统不安全因素的70%是由于内部制度或管理的不完善所造成。本文通过对数据库运行环境的系统分析,总结了数据库系统运行所涉及到的各种不安全因素,并提出了相应的防范策略,旨在使读者对数据库系统安全有一个较为全面的了解。

1 数据库的不安全因素

1.1 运行环境

数据库应用一般采用客户机/服务器(Client/Server)模式,即多台客户机共享一个数据库服务器。在客户机服务器结构中,客户机向服务器发出请求,服务器为客户机提供完成这个请求的服务。例如,当用户查询信息时,客户机将用户的要求转换成一个或多个标准的信息查询请求,通过计算机网络发送给服务器,服务器接到客户机的查询请求后,完成相应操作,并将查出的结果通过网络回送给客户机。数据库系统的网络拓扑图如图1所示。

1.2 不安全因素分析

由数据库系统的运行环境分析,数据库系统的正常运行包括由硬件组成的网络拓扑结构;由软件进行对数据库系统和网络数据流的管理;以及日常工作中制度制定和人员的管理。它的安全性问题相应包含了三个方面的内容:

(1)运行数据库系统的硬件安全性。即物理安全,包括服务器、交换机、电源等设备故障, 合理的网络拓扑结构,电磁辐射造成的信息泄漏,水灾、火灾等环境事故,有时攻击者通过在传输线路上安装专用设备进行窃听或恶意攻击。

(2)运行数据库系统的网络安全性。主要指数据库系统自身安全性以及数据库所处的网络环境面临的安全风险。如病毒入侵和黑客攻击、网络操作系统、应用系统的安全, 表现在开发商的Back-Door(后门)以及系统本身的漏洞上。

(3)运行数据库系统的管理安全性。主要包括因管理不善,培训不到位,制度不健全引起内部人员泄密、有意或无意破坏,造成日常管理中出现安全风险。因此除了技术以外日常管理也是实现网络安全的重要因素。

2 数据库系统的安全防范策略

通过分析数据库系统的不安全因素后,针对不同因素,给出数据库系统安全的主要防范技术和措施。它们是相辅相承的,各层次的防范重点和所采取的技术手段也不尽相同,一个好的安全系统必须综合考虑核运用这些技术,以保证数据的安全。

2.1 物理安全防护策略

物理安全保证重要数据免受破坏或受到灾难性破坏时及时得到恢复,防止系统信息在空间的扩散。在物理安全方面应主要采取如下措施:

(1)网络安全设计方案符合中华人民共和国有关网络安全方面的规定。安全设计应根据不同网络、系统和信息要求分别采用不同的安全防护措施;

(2)建立良好的电磁兼容环境,安装防电磁辐射产品,如辐射干扰机;

(3)产品采购、运输、安装等方面的安全措施;

(4)对重要设备和系统设置备份系统;

(5)数据库系统运行的服务器、网络设备、安全设备的安全防范,主要包括防水、防火、防静电等。

2.2 网络安全防护策略

从广义上讲,数据库的安全首先依赖于网络系统。可以说网络系统是数据库应用的外部环境和基础,数据库系统要发挥其强大作用离不开网络系统的支持,数据库系统的用户如异地用户、分布式用户也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始的。

(1)数据库系统的安全防护策略。主要表现在对数据的存取控制上,对不同用户设置不同权限,限制一些用户对数据库的访问和操作,避免数据丢失或泄露。用户口令是用户入网的关键所在,必须经过加密,以防止信息在网上传输时被截获而造成密码泄露,并给密码加上时效性即给用户定期更新密码, 防止密码泄露。数据库使用连接缓冲机制,把本系统的用户和数据库用户进行隔离,即使有了一个系统用户的密码,也不能跳跃数据库管理系统直接对重要数据库进行访问使用防火墙技术,提高系统的安全性,本系统只允许通过特定端口来访问,这样可以使用防火墙技术,进行包的过滤,在系统设计中,充分利用不同数据库系统提供的先进与完备的安全管理措施,建立备份服务器。其中,安全服务器支持自由访问控制和托管访问控制等强制安全措施,设置数据库监听服务器,它是可实现登录安全和多层次的审计控制,并支持用户有效性验证和与场地有关的加密算法。

(2)防火墙技术。防火墙是一个或一组在两个网络之间执行访问控制策略的系统,包括硬件和软件。防火墙的主要功能是拦截来自外部的非法访问并阻止内部信息的外泄,由软件和硬件组成的防火墙应具备:a)所有进出网络的通信流都应该通过防火墙;b)所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权;c)理论上说,防火墙是穿不透的。但它无法阻拦来自网络内部的非法操作。防火墙技术主要有三种;数据包过滤器(packet filter)、(proxy)和状态分析(stateful inspection)。现代防火墙产品通常混合使用这几种技术。事实上,在Internet上的网站中,超过三分之一的网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。市场上的防火墙有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。防火墙技术应用于网络拓扑中如图2所示。

(3)网络防病毒技术。对于复杂的系统,其错误和漏洞是难以避免的,病毒就是利用系统中的漏洞,进行网络攻击或信息窃取,构成对网络安全的巨大威胁。因此,我们必须严防计算机病毒对网络的侵袭。管理上加强对工作站和服务器操作的要求,防止病毒从工作站侵入技术上可以采取无盘工作站、带防病毒芯片的网卡、网络防病毒软件,设立网络防毒系统和配备专用病毒免疫程序来进行预防,采用多重技术,互为补充。

(4)入侵检测(Intrusion Detection System)。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测是近年来发展起来的一种防范技术,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。作为计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,系统已经成为安全防御系统的重要组成部分。在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。

(5)网络加密技术。采用网络加密技术,可实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。实现对传输中的数据流加密,预防在存储环节上的数据失密,并对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,防止非法用户存取数据或合法用户越权存取数据。

2.3 管理安全防护策略

网络的使用与维护,数据库系统的安全运行,归根结底都离不开人,所以要时刻加强对操作人员的管理与培训。根据国家、行业等相关标准,结合实际机房、硬件、软件、数据和网络等各个方面的安全问题,制定切实可行的规章制度对操作人员进行培训,提高技术水平,对系统进行及时的升级并利用最新的软件工具制定、分配、实施和审核安全策略加强内部管理, 建立审计和跟踪体系,提高整体信息安全意识进行安全宣传教育。对操作人员结合机房、硬件、软件、数据和网络等各个方面的安全问题进行安全教育,严格执行操作规章,提高操作人员责任心。

3 结论

保障数据库系统安全,不仅涉及应用技术,还包括管理等层面上的问题,是各个防范措施综合应用的结果,是物理安全、网络安全、管理安全等方面的防范策略有效的结合。在具体实施时,应根据具体情况、环境和需求,因地制宜进行分析,采取相应有效措施保护数据库系统乃至整个网络系统的安全。

随着数据库系统的发展,对数据库系统的攻击方式也在不断改变,数据库系统的安全和维护工作,也应该根据自身需求,跟随技术和管理的发展而合理升级、更新。因此,针对数据库系统运行中不安全因素,应该时刻关注安全技术的发展,对安全防范系统进行必要升级,保障数据库系统运行安全。

参考文献:

[1] 王珊,萨师煊.数据库系统概论[M].4版.北京:高等教育出版社,2006.

[2] 周学广,刘艺.信息安全学[M].北京:机械工业出版社,2003.

[3] 杨方燕.数据库系统安全保密技术探讨[J].计算机科学与技术,2006,24(6):51-53.

篇9

基于PKT技术和PGP协议的油田NGN下一代网络是以分组网络为基础的融合网络系统,该系统受到IP分组网络的主要安全因素的影响,例如会受到相关油田黑客DOS攻击、电话盗听、信息骚扰、信息盗取、病毒蠕虫木马的入侵、地址欺骗和非法扫描等安全威胁。

(1)基于IP进行油田NGN网络通信而继承的安全问题。由于油田NGN下一代网络是基于IP技术而实现通信的,因而NGN下一代网络也继承了IP系统安全问题。根据不同层次的IP协议对NGN的安全威胁进行分层,可以分为来自高层协议的油田安全攻击和来自底层协议的油田安全攻击两大类。来自高层协议的油田网络安全攻击主要是针对油田NGN网络协议进行的安全攻击,主要对象为MEGACO、SIP、COPS和H.323等一些协议。来自高层协议的安全攻击一般都是具有特定攻击协议的,因此防止攻击的方法也必须是针对特定的协议。而来自底层协议的安全攻击主要是指对从第一层到第四层网络的安全攻击。

(2)油田NGN网络系统中其他常见的安全攻击种类。当然,油田NGN网络系统除了受到IP技术影响的安全威胁之外,还会遭受到其他一些种类的安全攻击。第一,油田的服务会遭受拒绝,这也是安全攻击的一种。所谓油田服务遭受到拒绝也就是说油田系统的指令或者命令没有得到执行,遭受到拒绝,这样的安全攻击会导致整个油田系统的网络处于瘫痪,导致某一些网络服务没办法正常运行和使用。其次,是伪装安全攻击,也就是网络黑客或者其他网络的一些侵入黑客利用一些非法获取的网络信息或者油田信息和资源等,对信息进行改造或伪装,从而把这些非法的信息和命令进行组合或者重新建设,建设成看似合法其实是非法的网络命令和网络请求。例如,一些入侵网络的黑客会进入到油田的系统内部,窃听该油田系统的有关信息,盗取一些如密码和用户名之类的重要秘密信息。还有一些入侵者则是通过这些用户名和密码对油田系统的信息进行非法的访问。

二、提高油田NGN网络安全的措施

(1)加强对NGN网络中不断变化的各种安全威胁的跟踪。为了提高油田NGN下一代网络的安全,防止受到安全攻击和威胁,必须加强对NGN网络中处于不断变化之中的各种安全威胁的跟踪。在设备方面,启用严格的NGN网络安全机制,并且确保所有一切不使用的网络服务都关闭,这样能够有效地防止非法用户对油田设备进行非法入侵。此外,油田系统要充分发挥用户认证、病毒隔离、信息过滤、信息监测和加密等各种防止网络安全威胁措施的作用,最大限度地降低遭受安全攻击的可能性。

(2)科学合理地制定NGN网络安全规范和标准。目前而言,我国各个厂家在油田NGN网络安全防范方面还没有采取统一的措施与方法,没有形成规范的标准的油田NGN网络安全方法手段,因此迫切需要有关部门加强协调,制定切实可行的统一的油田NGN网络安全方法规范和标准。通过制定科学合理的网络安全规范和准则,能够保证NGN网络系统在油田NGN信令层面、终端层面、IP承载层面等各个环节的相互联系和相互沟通,从而实现NGN网络业务的安全。

(3)深入研究关于NGN网络的安全协议,有针对性地采取方法措施。关于油田的NGN网络系统由很多的网络协议,主要有BICC、H.323、H.248/Megaco、SIP和SIGTRAN等。加强对油田NGN网络安全协议的研究,并且制定具有针对协议安全的防范措施,能够有效地防患于未然。

(4)加强对NGN网络终端接入管理,防止安全威胁。就目前而言,油田NGN核心网络系统综合采取了多种措施进行安全防范。油田NGN网络会受到各种安全威胁,从而给整个油田网络系统带来了严重的安全隐患,加强对NGN网络终端接入的管理,防止安全威胁势在必行。

首先,从油田NGN网络部署方面而言,可以充分采用防护墙等网络安全设备,防止非法的用户以非法的手段进入油田的网络。其次,在油田网络传输机制方面而言,网络安全主要是指油田通信的数据以及各种信息的安全性和完整性,安全性也就是不被非法偷听,完整性就是信息和数据不被修改和删除。要保证这些数据的安全,要求油田工作人员将控制信息和媒体信息都经过边缘接入控制器,这样就可以保证一切的油田NGN通信都成为NGN网络中的设备,能够有效地实现接入端的安全。另外,加强油田NGN网络安全,还可以通过采用一些安全机制来实现,例如虚拟通道的方式能够把开发的IP网络赋予与TDM类似的安全性质。

三、结语

篇10

1计算机网络的概述计

算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机网络系统。最庞大的计算机网络系统就是因特网,它由非常多的计算机网络通过许多路由器互联而成,因此因特网也称为“国际互联网”。计算机网络的运用非常广泛,运用计算机网络可以实现资源信息的共享,如利用计算机网络可以使不拥有大型计算机的用户通过网络使用大型机的打印机、扫描仪、绘图仪等资源;通过计算机网络系统可将分散在各地的计算机中的数据信息收集起来,进行综合分析处理,并把分析结果反馈给相关的各个计算机中,使数据信息得到充分共享。利用计算机网络还可以实现数据通信。通过网络上的文件服务器交换信息和报文、收发电子邮件、相互协同工作等。

2计算机网络信息安全的概述

计算机网络信息安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据信息的保密性、完整性及可使用性受到保护。计算机网络信息安全包括两个方面,即物理层安全和逻辑层安全。物理层安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑层的安全包括信息的完整性、保密性和可用性。计算机网络信息安全就是网络上的信息数据安全。从广义上说,凡是涉及到网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。一般认为,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常运行,网络服务不被中断。从安全属性来看,网络安全包括5个基本要素:a.保密性。指信息不泄露给非授权的用户、实体或过程,或供其利用的特性。b.完整性。指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。c.可用性。是指可被授权实体访问,并按需求使用的特性,即当需要时应能存取所需的信息。d.可控性。指对信息的传播及内容具有控制能力,保障系统依据授权提供服务,使系统任何时候不被非授权人使用,对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等采取防范措施。

3影响计算机网络信息安全的主要因素

3.1缺乏自主的计算机网络和软件核心技术。我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞:CPU芯片、操作系统和数据库、网关软件大多依赖进口。我国计算机网络所使用的网管设备和软件基本上是舶来品,这些因素使我国计算机网络信息的安全性能大大降低,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络信息处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络信息安全处于极脆弱的状态。

3.2缺乏完整的安全评估系统。完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络信息的安全防范能做出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络信息安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络信息系统安全性能的过程。

3.3缺乏制度化的防范机制。不少企事业单位没有从管理制度上建立相应的安全防范机制,在整个运行过程中,缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为(尤其是非法操作)都是因为内部联网电脑和系统管理制度疏于管理而得逞的。同时,政策法规难以适应网络发展的需要,信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点,给侦破和审理网上犯罪案件带来极大困难。

3.4缺乏安全意识。日常人们利用网络主要用于学习、工作和娱乐,对网络信息的安全的认识不够。虽然网络中设置了许多安全保护屏障,但是这些保护措施在很大程度上形同虚设。与此同时,网络经营者和机构用户注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求。

4计算机网络信息安全的防范对策

4.1加强对计算机网络信息安全的管理。计算机安全管理包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。

4.2安装和配置防火墙。安装和配置防火墙是当前一种有效地保护计算机或网络的好办法。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。

4.3经常更新软件。为了保护计算机免受来自Internet的侵袭。对计算机中的杀毒软件要经常进行更新。另外,更新Windows操作系统本身也是很有必要,让计算机软件处于最新版本对于计算机安全大有裨益。

4.4增强网络信息安全意识。要增强网络信息安全意识,培养良好的使用习惯,不要轻易下载、使用不了解和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页),以免个人计算机受到木马病毒的侵入而带来安全隐患。