网络安全风险监测范文

时间:2024-03-08 18:01:58

导语:如何才能写好一篇网络安全风险监测,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全风险监测

篇1

【 关键词 】 数字化;数字化校园;安全;风险;安全策略

Risk Analysis of the Network Security for the Digital Campus and the Countermeasures

Lei Yan-rui

(Hainan College of Software Technology HainanQionghai 571400)

【 Abstract 】 The continuous advancement in making digital campus has achieved enormously improved management efficiency. But it has also inflicted risks to the security of the campus network because of its open nature. In this paper, we provide several pieces of advice on the security of the campus network.

【 Keywords 】 digitization; digital campus; security; risk; security policy

1 引言

1998年,因美国前副总统戈尔最先提出“数字化地球”的概念而引出“数字化城市”和“数字化校园”的定义。数字化校园是指通过计算机相关技术、网络通讯的相关技术对学校的教学、管理和生活等都进行全面的数字化信息系统管理,在一定程度上最大限度地存储、整合、利用和共享这些数据,实现统一的身份认证、数据采集平台和信息管理平台,从而简化传统的工作流程,最终实现高效率、高竞争力、数字化管理的校园平台。

近十年来,国内各本科院校对于数字化校园的建设都比较重视,大中专院校也紧随其后,进行了数字化校园建设的思考和行动。大家建设的目标都以教学、管理、消费和身份认证等服务为一体的新型的工作、学习和生活环境为中心,并且在建设上已经取得了一定的成效。

2 现状

随着信息化的进一步发展和学校业务的不断深化,海南软件职业技术学院也开始数字化校园建设的步伐。1996年即开始使用食堂一卡通,随着后来考勤系统、教务系统、财产管理系统的开发使用,使用过程中暴露出的安全隐患问题越来越多,而这些安全问题在数字化校园的建设中值得我们深思。如表1所示。

3 初步解决方案

3.1 自然灾害

自然灾害是无法避免和预防的,对于天灾造成的任何风险我们都不可避免,也就无法通过任何技术降低风险,只能在灾难发生后想办法恢复或者提前备份等。

那么对于自然灾害发生之后的安全问题,管理者需提前制定一套完整可行的事件救援、灾难恢复计划及方案,做好计算机系统、网络、应用软件及各种资料数据的备份,建立备份数据库系统。

3.2 软、硬件环境故障

校园网络设备的正常工作对网络安全的影响巨大,如果电力设备、UPS、空调等设备规划设计出错、参数设置不当、维护不及时或者维护方法不对等,都可能间接影响校园网络的信息安全。

对于硬件故障,应确保不超负荷运行、建立完善完备的管理制度并且严格执行,保证温度、湿度、设备的参数设置等处于可监管的状态,平时需定时审计,以保证制度的执行力度。软件故障中的设计缺陷,一经发现应立即修正;安装新软件时,充分考虑兼容性的要求,提前保护已经存在的被共享使用的DLL文件,防止安装过程中被其他文件覆盖;出现非法操作提示或者蓝屏等信息时,仔细研究其原因并纠错;对于系统的资源占用情况,及时监察并进行有效清理。

3.3 学校网站面临的安全威胁

网站是学校对外信息交流的主要工作平台,但因其共享性较高,也易成为黑客的攻击对象。部分学校的官方网站被恶意挂马时有发生,经调查挂马率甚至达到3.15%。主要原因是服务程序本身存在漏洞,如Apache 或 IIS 的漏洞;也存在网页程序编写不完善导致的安全漏洞,如 SQL 注入、缓冲区溢出等;同时也存在因管理缺失而导致的服务器感染病毒。

对于数字化校园网站安全面对的威胁,除了定期查杀分析原因,且需定期检查访问流量,对于流量高峰要得随时监视处理,还有完善管理制度避免类似问题再次发生,用以保证网站安全。

3.4 应用系统数据信息面临的威胁

海南软件职业技术学院的教务、人事、财务、一卡通等应用系统的重要数据是数字化校园信息安全防护的重中之重。这些重要数据一旦被篡改甚至丢失,其后果是不堪设想。目前应用系统数据信息面临的主要风险有数据库弱口令及默认用户名易被破解;DBA 的权限没有严格的限制;有些权限控制功能嵌套在应用程序中,攻击者很可能利用程序编写的漏洞将普通用户的权限转化为管理员的权限;数据库管理方式和管理流程编制不得当,造成数据不准和修改错误等。

对于这些系统数据面临的威胁,我们所能处理的就是进行数据访问控制、提醒用户进行密码强口令、权限设置一定要合理合法,并且及时检查日志,统计因操作不当、密码输入错误等原因引起的错误,对错误进行及时统计分析,查清原因,从制度上杜绝此类事件发生。

3.5 校园网内部用户的安全隐患

校园网内部用户的安全威胁不容忽视。一方面,校园网终端用户的木马、蠕虫、病毒等是校园网络安全威胁之一;另一方面,校园网络出口带宽受限,有P2P应用占用资源严重,可能造成正常工作时段网络拥堵,影响了教学、科研、管理工作的正常运行。

对于巨大流量问题只能通过办公时间限制端口等问题进行解决,而网络拥堵则可通过限制网络访问人数等解决,当然这些都应该形成正常的监测程序和制度,不能因工作人员的变换等影响其执行。

4 结束语

总之,校园网络安全的保障应从小做起,从细节做起,时刻保障校园网络的正常进行以为教学提供优质服务。

参考文献

[1] 凌冠华.高校数字化校园的数据建设和安全管理研究[J].价值工程,2010(29):202-203.

[2] 王阳.高校数字化校园信息安全策略探讨[J].中国教育信息化.2011(3):29-61.

[3] 皇甫斌.浅谈数字化校园的网络安全建设[J].信息科技,2009(18):96-103.

[4] 张升平. 高校数字化校园体系结构研究及实践[D]. 长沙:湖南大学,2008.32-38.

[5] 章晟.拒绝服务攻击和自相似网络流量研究[D]. 杭州:浙江大学,2010.18-29.

篇2

(河北兴泰发电有限责任公司,河北邢台054000)

摘要:随着网络技术的逐步发展和广泛应用,复杂冗余的网络在各个领域行业中都得到了广泛的应用,因此简单的网络安全设计已经无法满足现有网络需求。现基于网络安全基础设施,构建结合入侵监测系统、防火墙系统、漏洞扫描系统、防病毒系统和安全审计系统的网络安全体系,从而达到提升网络安全防范能力的目的。

关键词 :复杂冗余;网络安全;安全审计系统

0引言

随着网络技术的逐步发展和广泛应用,复杂冗余的网络在各个领域行业中都得到了广泛的应用,因此简单的网络安全设计已经无法满足现有网络需求。本文基于网络安全基础设施,构建结合入侵监测系统、防火墙系统、漏洞扫描系统、防病毒系统和安全审计系统的网络安全体系,从而达到提升网络安全防范能力的目的。

1合理构建网络安全基础设施

1.1防火墙系统

防火墙是指隔离在本地网络与外部网络之间的一个执行访问控制策略的防御系统。防火墙部署在风险区域(例如Internet)和安全区域(例如内部网络)之间,对流经它的网络通信进行扫描,过滤掉一些攻击,以免其在目标计算机上被执行。防火墙系统作为维护网络安全的第一屏障,其性能好坏直接关乎整个网络安全的强度。具体防火墙系统的设计可以在网络的不同外部接入网和核心网络汇聚层之间采取硬件式防火墙,从而达到对外部接入网的相关网络访问进行全面监测的目的,以保障网络运行环境的安全。

1.2入侵监测系统

防火墙实现的是网络边界安全防范,但由于各种原因总会有部分恶意访问能够突破边界防护,对内部网络构成威胁。入侵监测系统能够对进入受保护网络的恶意流量实现监测、报警,入侵防御系统甚至能够与防火墙等边界安全设备实施联动,及时阻断恶意流量,减轻恶意访问对内部网络所造成的破坏。入侵监测系统设计的目的在于更好地应付网络业务、规模的扩大趋势,提升处理网络攻击事件的能力,从而最大程度上避免因各种操作风险而引发的各项潜在损失。具体的入侵监测系统部署示意图如图1所示。

1.3虚拟专用网(VPN)技术

虚拟专用网(VirtualPrivateNetwork,VPN)是一种基于公共数据网,给用户一种直接连接到私人局域网感觉的服务。VPN技术是依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。

1.4安全审计系统

虽然网络安全的各类硬件部署可以很好地解决网络安全相关问题,但由于网络内部人员违规操作或过失行为造成的损失,是无法控制的。因而,需要构建安全审计系统,减少违规操作的潜在损失。安全审计系统的基本搭建方式是通过网络并联的方式,强化关键服务器对网络路径数据包的监控力度,同时借助协议解析、状态监测等先进技术,实行对网络数据包的再过滤,进而制定一个系统性审计制度,消除重要事件带有攻击性的特征。最后,安全审计系统需要对攻击性网络事件及时响应,阻断未授权用户的访问,同时进行日志记录工作,将攻击事件按照严重程度打包并传送到主界面,通过后期的人为操作,进一步强化对攻击性事件的防护能力。

1.5内网安全风险管理系统

内网安全风险管理系统是基于对内网本身的安全性考虑而设计的,体现出内网大数据和分布性部署的特点,会经常疏忽系统的补丁、防病毒软件的升级工作。另外,由于受到权限的影响,内网本身会在一定程度上降低防火墙系统的级别设置,形成宽松的内网环境,从而造成不明软件恶意安装、检测内网系统数据,从而造成大量的内网安全漏洞以及管理真空的风险。在实际操作过程中,主要利用在内网安全风险管理系统的终端上嵌入式安装AGENT的方式,实行对终端网络的监控,对于没有安装AGENT或是没有达到内网安全要求的终端,禁止其对内网系统的访问,以最终实现安全终端准入的要求。

2网络安全管理平台

2.1网络安全事件管理

网络安全事件管理平台主要是将收集到的不同类型的信息,通过一种特定的方式分类、归集,以减少事件风暴发生的概率。其通过对海量事件的整理,挖掘出真正值得关注的网络安全事件,找出不同类别网络攻击对象的关联与共同点,及时找到解决的应对措施,以提升整个网络在甄别网络安全事件上的准确率。在实际操作中可以看到,网络安全事件管理的主要对象是全网性的安全威胁状况,根据网络潜在威胁的程度,系统性地进行预测,从而最大程度上保障网络业务的正常运作。

对于威胁管理,主要是将网络各个系统收集到的事件归结到资产中,根据资产的价值规模以及关键程度,实行事件等级分类。另外,运用关联性的分析引擎,进行关联分析和映射,可以有效判定事件在处理操作上的优先次序,适当评估出目前资产遭受攻击的程度以及可能会发生经济损失的程度。威胁管理可以精确评估出当下事件对目标资产的影响,对于事前的控制具有十分重要的作用。脆弱性管理是确定网络资产安全威胁概率、发生威胁后的脆弱性,同时有效评估损失和后期影响的一个过程。脆弱性管理的对象是核心资产,方式是对网络系统的核心资产、漏洞、威胁进行全面、综合的监控和管理。

2.2网络安全信息管理

网络安全信息管理主要包括网络安全知识管理、资产信息管理两个方面,方法是对于网络安全基础设施提供的信息,提供有针对性的信息管理平台,对较少涉及的网络安全事件做出具体分析。主要包括以下两个核心库:首先是资产信息库,资产信息库的构建目的是实现系统性的关联性分析,作用是推动后期网络安全事件管理定位,解决潜在性威胁;其次是安全知识库,安全知识库涵盖了众多的网络安全知识以及网络安全补丁,可以为网络安全管理人员提供解决实际问题的参考信息。

3结语

本文从网络安全基础设施出发,从入侵监测系统、防火墙系统、漏洞扫描系统、防病毒系统、安全审计系统等方面对复杂冗余网络下的网络安全设计进行了深入分析,主要涵盖了网络安全事件管理和网络安全信息管理两个方面。本文设计能极大地提升网络安全事件的监控和防范能力,提高处理效率。另外,通过对网络安全进一步的统一管理及配置,可以更好地降低复杂冗余网络中的各项风险,改善网络运用的安全环境。

参考文献]

[1]朱瑶.财务信息管理系统安全问题[J].黑龙江科技信息,2010(35).

[2]叶军.基于防火墙技术的计算机网络信息安全的探讨[J].硅谷,2010(23).

[3]陈向阳,肖迎元,陈晓明,等.网络工程规划与设计[M].北京:清华大学出版社,2007.

[4]柳扬.计算机信息管理在网络安全中的应用研究[J].电子制作,2013(16).

篇3

从本质上来说,网络不但在企业处理各种人事与资产管理中起着重要的作用,其对于对外进行业务拓展,优化企业资源配置上也有重要帮助。但是网络安全问题一直是影响企业信息安全,制约企业经济效益提升的主要因素。因此,加强网络安全风险评级技术的研究,提高网络安全系数具有极其重要的现实意义。

【关键词】网络安全 风险防控 技术

目前,国外有关学者已经对网络安全风险防控进行了相关理论研究,结合我国网络安全的现状,对我国制定网络安全风险防控策略也具有现实指导意义,并且在此基础上需要更多的创新形式,来进行网络安全风险的防控工作,最终实现网络安全风险防控目标。

1 网络安全风险的特点

1.1 可预测性

从理论角度上讲,个别风险的发生是偶然的,不可预知的,但通过对大量风险的观察研究发现,风险往往呈现出明显的规律性。网络安全风险预测是网络安全领域一个新兴的研究热点和难点,是预防大规模网络入侵攻击的前提和基础,同时也是网络安全风险感知过程中的一个必不可少的环节。为此,研究者建立了实时网络安全风险概率预测的马尔可夫时变模型,并基于此模型,给出了网络安全风险概率的预测方法。这说明网络安全风险呈现出规律性特征,借助于科学模型以及数理统计等方法,可在此基础上进行预测性分析,这也为我们发现、评估、预测、规避网络安全风险提供了理论支撑。

1.2 难以识别性

网络安全风险与其他风险相区别的显著特征在于它的载体依附性,网络安全风险依附于网络,产生于网络,而网络的复杂性、蔓延性、不可预测性特征也决定了网络安全风险的难以识别。网络安全风险广泛存在于计算机网络的各个层面,同时也潜伏在网络使用的各个时期,由于网络的虚拟性特征明显,决定了网络安全风险漏洞的识别是一项纷繁复杂的工作,需要对网络整体进行筛选和发现,网络安全风险的难以识别性使得网络安全风险防控的成本增加。

1.3 交互性

互联网作为平等自由的信息沟通平台,信息的流动和交互是双向式的,信息沟通双方可以与另一方进行平等的交互。安全风险相伴互联网互生,并且呈现出不同领域内互为交织的特点。例如,网络一方面使得金融机构拓宽了业务范围,但同时以网络为中介的交易风险也增大,使其成为我国社会风险防控的重要组成部分。

2 网络安全风险防控技术分析

2.1 防火墙技术

随着人们网络安全和防范意识的提高,网络安全技术的研发速率也不断增加,基本上实现了对多数网络安全问题的防护与处理。尤其是在一些企业单位,为了保证内部信息安全,采用了多种安全防护技术,其中最为常用的是防火墙技术。设置防火墙后,能够对对网络上的访问信息进行扫描和检查,一旦检测到非法的,或者未授权的访问信息时,防火墙的安全防护系统启动,自动清除这些非法访问信息,以此保证网络内外安全。从防火墙的工作原理上看,它属于被动式安全防护技术,即只有非法或未授权信息出现时,才能发挥安全保护作用。

2.2 网络扫描技术

在网络安全风险评估中,最常用的技术手段就是网络扫描技术。网络扫描技术不仅能够实时监控网络动态,而且还可以将相关的信息自动收集起来。近年来,网络扫描技术的使用更为广泛和频繁,相对于原有的防护机制来说,网络扫描技术可以使网络安全系数有效的提升,从而将网络安全风险明显的降低。由于网络扫描技术作为一种主动出击的方式,能够主动的监测和判断网络安全隐患,并第一时间进行处理和调整,对恶意攻击起到一个预先防范的作用。

3 网络安全风险防控策略

3.1 完善应急预案设计

网络安全风险具有不确定性,最典型的就是它的发生时间不固定,因此,做好网络安全风险防控最重要的策略就是将网络风险防控工作常态化。网络安全风险防控需要一整套切实可行的、逻辑上具有连续性的预案设计,即网络安全政策的建设。完整的网络安全政策建设应包括以下几个方面的内容:网络安全风险的收集、网络安全风险的分析研判、网络安全的漏洞识别、网络安全漏洞/脆弱点强化、网络安全风险分层面控制、网络安全风险点对点消除。

3.2 主动配合行业监管

目前,部分行业由于行业的特殊性质或者不愿意公开等理由,使得部分行业的操作处于不透明状态。虽然行业有其自身保护机密不被侵犯的权利,但是这种不透明化也会给风险的防控设置阻碍。网络安全风险防控与对象有着紧密联系,针对不同行业的不同特点,防控的策略也不尽相同,因此,行业要实现网络安全风险防控效果的最大化就应主动配合国家和政府的行业监管,使行业内能够做到透明化的操作实现透明化。

3.3 强化行业部门协作

网络安全风险防控是一个系统工程,需要各行各业以及行业的各个部门实现全方位的协作。而现实中网络安全风险有时候也是由于信息传递滞后、上下级信息传递阻碍或者行业、部门不合作造成的,而它的存在不仅会造成网络安全事故的发生,也会带来一系列连锁反应,事故得不到及时解决,会使得网络安全风险持续存在并且持续升高,造成更加严重的后果。各个行业或者部门要想打破这种阻碍信息共享的障碍,必须加强沟通对话,在协调各方利益的基础上,共谋网络安全风险防控的策略框架。

4 结语

总而言之,网络安全风险防控是当前社会的热点议题。网络技术的发展不仅给现代社会带来巨大便利,同时也使得网络攻击日趋常态化,从而引发了一系列的网络犯罪问题。只有网络安全,国家才能安全。进行网络安全风险的防控需要进行风险原因分析,把握网络安全风险级别,识别风险漏洞。

参考文献

篇4

【关键词】基础信息网络安全;公共互联网;移动互联网

一、引言

在中央网络安全和信息化领导小组第一次会议强调“没有网络安全,就没有国家安全”[1]。如今以互联网为核心的网络空间已成为第五大战略空间,互联网安全问题已引起了各国的高度重视。尤其2013年的“棱镜门”事件,使得国际社会和普通公众对网络安全的空前关注。过去的几年间我国互联网安全状况总体平稳。但是从相关数据上看,我国互联网仍然存在较多安全隐患。对广大网民、社会经济和国家安全均造成不同程度的威胁和挑战。本综述重点阐述我国互联网所面临的安全威胁现状和未来发展趋势。

二、我国互联网安全现状简介

(一)基础信息网络安全形势分析

我国基础网络安全防护水平已有较大改进,但仍存在诸多信息系统安全风险,尤其是DNS面临安全漏洞、DOS攻击等威胁,从而引发一些安全风险。下面从四个方面进行分析:

1.基础网络安全防护水平得以进一步提高

2013年基础电信企业高度重视网络安全防护工作,对全网开展了网络单元和业务系统的定级备案调整工作,网络单元开展了符合性评测和风险评估,各企业符合性评测达标率均在97%以上。检测中还着重加大了用户个人信息保护工作的检查力度,通过安全隐患的测试和修复,有效降低了通信网络的安全风险。

2.基础网络信息系统仍存在诸多安全风险

2013年国家信息安全漏洞共享平台通报了漏洞风险事件518起,较其去年增长超过了一倍。其中软硬件、信息泄露、权限绕过、SQL注入、弱口令等类型漏洞较多,分别占42.1%、15.3%、12.7%、12.0%和11.2%。对此,各企业均积极响应,及时进行修复加固处理。但仍有部分接入层网络设备被攻击、控制,网络单元稳定运行及用户数据安全存在威胁,我国对国家级有组织攻击风险的基础网络整体防御能力仍然很薄弱。

3.DNS系统依然是影响互联网安全、稳定运行的薄弱环节

域名解析服务的安全问题直接影响到网络的稳定运行。但由于域名注册服务机构的域名管理存在漏洞,攻击者可以轻易篡改域名解析记录,从而导致用户的正常访问受到严重影响。此外,针对域名系统的拒绝服务攻击日益严重。直接针对DNS系统发起的攻击,不仅能导致目标网站瘫痪,而且还会牵连到大量无辜网站,从而造成极其严重的后果。

4.承载互联网业务的基础信息网络频现安全问题

伴随着基础网络设施的不断完善,承载互联网业务的基础信息网络业务类型日益增多,急需引入新的安全风险机制。例如2013年7月22日,腾讯的微信业务出现了故障,全国大约有6000多万用户无法正常使用[2]。同年部分互联网公司的网站域名在某些地区被劫持,甚至强行插入广告,某些宽带接入商的小区路由器对部分网站进行劫持跳转等事件。随着互联网业务的不断创新所导致的安全问题不断演化,如何及时、有效的解决和应对,这就需要互联网服务提供商和基础电信企业共同努力。

(二)公共互联网治理形势分析

2013年工信部组织开展了防范治理黑客地下产业链专项行动,及时处置木马僵尸网络等网络攻击威胁,取得一定成效。但网络设备后门、个人信息泄露等事件依旧频繁出现,表明公网环境仍然存在较多安全问题。虽然专项行动下我国境内感染主机数量总体略有降低,但感染远程控制类木马的主机数量有小幅上涨趋势,这对用户主机极具危害性。

1.众多网络设备后门依然存在

据CNVD统计,2013年共收集各类安全漏洞7854个,其中高危漏洞2607个,软硬件漏洞505个,都较2012年有所增长。同时,CNVD分析验证了Cisco、D-LINK、Netgear等厂商的路由器存在后门,黑客可由此直接控制路由器,进一步发起窃取信息、DNS劫持、网络钓鱼等攻击,直接威胁用户网上交易和数据存储安全。

2.个人信息泄露问题仍面临挑战

云计算、物联网、移动互联网、社交网络等互联网新技术、新业务正改变个人信息收集和使用方式,个人信息的可控性逐步削弱,姓名、身份证号、消费记录等重要信息面临泄露风险。例如,2013年的“查开房”事件[3]。

(三)移动互联网环境分析

移动互联网恶意程序数量正呈现出大幅增长态势,恶意程序的制作、、预装、传播等初步形成一条完整利益链条,移动互联网生态环境、亟须加强管理。

1.安卓平台的恶意程序呈爆发式增长

2013年,CNCERT自主监测和交换捕获的移动互联网恶意程序样本中的99.5%是针对安卓平台。其中71.5%是恶意扣费程序,较2012年有大幅度增长。

2.手机恶意程序传播渠道多样化

2013年,据CNCERT监测发现移动互联网恶意程序传播次数达到1296万余次,移动互联网恶意程序下载链接1207万个,用于传播移动互联网恶意程序的域名15247个、IP地址60976个。这些域名包括移动应用商店、论坛、网盘、博客等众多类型。为此,CNCERT组织开展了8次移动互联网恶意程序治理行动。同年,中国反网络病毒联盟(ANVA)建立了“移动互联网应用自律白名单”机制,公布了首批“移动互联网应用自律白名单”。

(四)经济信息安全威胁分析

2013年的互联网与金融行业深度融合,以余额宝、现金宝、理财通等为代表的互联网金融产品市场火爆,。但与此同时,钓鱼攻击也呈现跨平台发展趋势,在线交易系统防护稍有不慎即可引发连锁效应,影响金融安全和信息消费。

1.跨平台钓鱼攻击呈增长态势

除了传统互联网的钓鱼网站之外,黑客还结合移动互联网,利用仿冒移动应用、移动互联网恶意程序、伪基站等多种手段,实施跨平台的钓鱼欺诈攻击,危害用户经济利益。例如,黑客利用安卓系统的“签名验证绕过”高危漏洞,制作散播大量仿冒国内主流银行等金融机构的移动应用,诱导用户安装,盗取用户银行账户信息。

2.在线交易系统安全问题的连锁效应

随着互联网金融市场的异常火爆,互联网和移动通信技术降低了使用门槛,在带来便利的同时也引入新的安全风险。

例如,支付宝钱包客户端iOS版的手势密码漏洞,导致系统安全问题出现后,风险也随之传导至关联的银行、证券、电商等其他行业,产生连锁反应。

(五)政府网站面临威胁分析

政府网站因其公信力高、影响力大,容易成为黑客攻击目标。相对部委网站而言,地方政府网站更易遭受攻击。

1.地方政府网站成为黑客攻击的“重灾区”

据CNCERT监测,2013年,政府网站被篡改数量为2430个,较2012年增长了34.9%,其中大多数地方政府网站,这是由于地方政府网站存在技术和管理水平瓶颈,而且一些部门对预警通报置若罔闻,导致安全威胁长期存在很容易成为黑客实施进一步攻击的跳板。

2.境外黑客组织频繁攻击我国政府网站

2013年,境外“匿名者”、“阿尔及利亚黑客”等多个黑客组织曾对我国政府网站发起频繁攻击。其主要利用网站漏洞预先植入后门,对网站实施控制后遂发起攻击。

(六)大量境外地址的频繁攻击威胁

国家级有组织网络攻击行为显著增多,给国家关键基础设施和重要信息系统带来严重威胁和挑战。

1.国家背景的有组织攻击

2013年6月以来,斯诺登曝光“棱镜计划”[4]等多项美国家安全局网络监控项目,披露美国情报机构对多个国家和民众长期实施监听和网络渗透攻击。国家安全和互联网用户隐私安全面临严重威胁。

2.大量境外地址的攻击威胁

境外主机通过植入后门对境内网站实施远程控制,其中针对我国的钓鱼站点有90.2%位于境外,通过木马僵尸网络,41.1%主机被境外所控制。为此,CNCERT不断加强与国际CERT组织间的网络安全合作,完善跨境网络安全事件处置协作机制。

三、我国互联网安全对策

(一)加快网络安全战略和相关政策制定,统筹规划网络安全保障能力

随着“棱镜门”和国家级APT事件持续发酵,应尽快制定符合我国国情的国家级网络信息安全战略,明确应对网络安全威胁的战略目标、指导思想和方针,为维护国家网络空间安全提供战略指导;同时,应制定相关配套法规政策,明确相关主体工作内容和责任义务。

(二)加大网络安全投入,提高网络安全意识

建议相关行业、企业和政府部门,加大网络设备和技术研发方面的投入,强化安全保障和管理,提高应对网络安全新风险能力,减少因技术不断发展引起的网络安全隐患。

(三)加强网络安全技术手段建设,提高网络攻击追溯能力

针对传统攻击以及互联网新技术新业务可能引发的新攻击,建议强化网络安全技术手段的研究和建设,进一步提高网络攻击的威胁监测、全局感知、预警防护、应急处置、协同联动等能力。

(四)提高核心设备国产化水平,加快完善信息安全审查制度

建议加强网络关键设备、核心技术的研发和推广,提高重点行业和重要信息系统联网设备软硬件的国产化水平,提升软硬件产品和服务的自主可控能力。同时,建议尽快完善信息安全审查制度框架,明确信息产品的审查范围和审查内容,进一步增强国家信息和网络安全保护水平。

(五)加强移动互联网恶意程序治理,维护良性移动生态环境

建议政府主管部门加大移动互联网监管力度,督促企业落实各项责任,加强对移动互联网应用商店、增值电信企业经营者的网络安全管理,建立健全标准规范以明确应用程序制作者和应用商店的责任。

(六)加强网民网络安全意识,提升全民网络安全防护能力

建议政府、企业、安全厂商和社会组织等共同努力,提升网民的网络安全防范意识和技能。防范个人主机或移动终端的木马僵尸网络操控,防止财产损失和个人信息泄露。

参考文献

[1]人民日报(数字报)[DB/OL].http://.cn

[2]新华网[DB/OL].http://

[3]百度百科[DB/OL].http://

[4]互动百科[DB/OL].http://

篇5

试点示范是在2015年工作基础上,将工作覆盖对象拓展至互联网企业和网络安全企业,包括各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,各互联网域名注册管理和服务机构,各互联网企业,各网络安全企业有关单位。其目的在于继续引导企业加大网络安全投入,加强网络安全技术手段建设,全面提升网络安全态势感知能力,促进先进技术和经验在行业的推广应用,增强企业防范和应对网络安全威胁的能力,切实提升电信和互联网行业网络安全防御能力。

试点示范申报项目应为支撑企业自身网络安全工作或为客户提供安全服务的已建成并投入运行的网络安全系统(平台)。对于入选的试点示范项目,工业和信息化部将在其申请国家专项资金、科技评奖等方面,按照有关政策予以支持。

试点示范重点引导重点领域,包括:

(一)网络安全威胁监测预警、态势感知与技术处置。具备网络攻击监测、漏洞挖掘、威胁情报收集或工业互联网安全监测等能力,对安全威胁进行综合分析,实现及早预警、态势感知、攻击溯源和精确应对,降低系统安全风险、净化公共互联网网络环境。

(二)数据安全和用户信息保护。具备防泄漏、防窃密、防篡改、数据脱敏、审计及备份等技术能力,实现企业数据资源和用户信息在收集、处理、共享和合作等过程中的安全保护,能够不断提升企业数据资源和用户信息保障水平。

(三)抗拒绝服务攻击。具备抵御拒绝服务攻击和精确识别异常流量的能力,能对突发性大规模网络层、应用层拒绝服务攻击进行及时、有效、准确的监测处置。

(四)域名系统安全。实现域名解析服务的应急灾难备份,有效防御针对域名系统的大流量网络攻击、域名投毒以及域名劫持攻击,提供连续可靠的域名解析服务或自主域名安全解析服务。

(五)企业内部集中化安全管理。具备全局化的企业内部管理功能,实现网络和信息系统资产与安全风险的关联管理,能够对企业的内部系统全生命周期的安全策略实现可控、可信、可视的统一精细化管理。

(六)新技术新业务网络安全。具备云计算、大数据、移动互联网、物联网、车联网、移动支付等新技术新业务的安全防护能力,能对以上各类业务场景提供特定可行有效的安全保护手段和解决方案。

(七)防范打击通讯信息诈骗。一是具备监测拦截功能;二是能够实现对防范打击通讯信息诈骗重点业务的管理。

(八)其他。其他应用效果突出、创新性显著、示范价值较高的网络安全项目。

篇6

1.1强化技术监督措施

通过一定的技术监控,能够保障云计算环境下的用户安全,通过安全孔家的构架,实现稳定、畅通、安全的云环境,主要技术手段有以下几种:第一,及时更新软件,消除软件BUG造成的安全风险。第二,建立针对云计算体系的安全防御构架,实现风险事前防御。第三,以虚拟运行环境为基础,进一步完善数据隔离制定,消除统一虚拟空间的多个服务器之间的恶意攻击。第四,强化安全技术的研发和运营,例如“云加密”和“谓词加密”技术的应用。根据存储中存在的数据风险,建立起相应的数据存储安全空间,从而保障数据存储介质具有高度安全性。

1.2完善身份认证以及访问监控机制

对于由身份认证造成的威胁,可以将第三方认证体系的完善作为基础,从而构建起更为多样化的认证方式。利于引入指纹以及语音技术进行认证,利用电子口令建立安全防线,在CA服务基础上进行安全认证,利用智能卡认证等,并建立有效的审计失败监控,对于非法认证,要及时监督发现并进行追踪。在访问安全控制中,要赢得那个进一步完善访问控制机制,建立更为安全、稳定的云环境。由于在云空间内同时存在若干类型用户,不同用户的权限与空间功能需求具有明显差异,尤其是在不同云环境下,同一用户的权限也会发生不同变化。因此,在访问控制方面需要建立更为完善的控制机制,便于用户针对自身权限进行角色配置,从而消除访问监控不利造成的网络风险。

1.3审计与网络环境监测

建立完善的信息审计机制以及入侵检测机制,对用户的操作行为进行全面、客观记录,并能够针对信息记录进行日志分析,如果用户出现非法操作,能够及时发现并非报警追踪。在审计制度的建立上,应当注重内部和外部的整合性,并且在用户数据保密、完整的基础上,建立起更为安全的、不可抵赖性的风险防御机制。在网络安全控制中,数据传输应当遵循网络安全的相关协议,保证用户数据安全不受破坏。在数据传输过程中,要采用更为严格的加密措施,对数据进行相应加密,避免在传输过程中数据泄漏。在网络环境下建立起信任过滤模式,使网络安全防御更为系统化和规范化,利用新型网络安全工具实现低风险操作。

2结语

篇7

关键词:网络安全;防火墙;VPN

大部分的安全问题都是由恶意的人试图获得某种利益或伤害到一些人而故意造成的。可以看出,确保网络安全不只是为了使它没有编程错误。网络罪犯,包括对那些聪明的人,通常也狡猾、专业的人,而且在时间和金钱上都是富有的人。

1.网络安全

网络安全大致可以分为4个部分:安全性、认证性、抗排斥性和完整性控制。保密性是对未经授权的访问信息的保护,这是网络安全中最常想到的内容。识别主要是指对方在透露敏感信息或进行交易前的身份。抗排斥反应主要与签名有关。通过使用的保密性和完整性的注册邮件和文件锁来实现。

2.方案目标

该方案主要从网络层面,网络系统的设计,以支持所有级别的用户或用户的安全网络,网络中的内部网络安全,而且还实现了互联网或其他网络的安全。该方案在保证网络安全的同时满足各种用户的需求,比如:能满足个人隐私,也能满足企业客户的计算机系统安全,数据库是不合法的访问和破坏,系统不是病毒入侵,也能防止网络通讯等有害信息等有害信息的传播等。 很显然,安全技术并没有消除所有的入侵和破坏的网络,其作用是最大限度的预防,以及损害损失的以下伤害。具体而言,网络安全技术的主要作用是以下几点:

(1)通过多层防御,入侵和破坏的概率将降低到最低限度;

(2)提供了一种快速检测非法使用和非法初始入口点,验证和跟踪入侵者活动的方法; (3)提供的方法来恢复损坏的数据和系统,以减少损失;

实现安全管理的基础是网络安全技术,这几年,对网络安全的研究得到了迅速的发展,产生了非常全面的结论和实践内容。

3.网络安全要求

通过对网络系统的风险分析和对安全问题精心探究,我们需要设计出合理的网络安全策略和计划,以保证网络系统的私密性、完整性、可用性。同时保证可以合法审查。

私密性:未经授权的实体或过程的信息

可用性:授权实体具有访问数据的权限

同样,在内部网络上,由于不同的应用和不同的安全级别,也需要使用防火墙将不同的局域网或段的网络隔离,并实现相互访问控制。

数据加密:数据加密是一种有效的方法,在数据传输和存储,以防止非法窃取和篡改。

安全审计:是识别和防范网络攻击行为的重要措施之一,以追踪网络泄漏。具体包括2个方面,一是利用网络监测和入侵防御系统,对网络的非法经营和攻击行为,实时响应(如报警)和块;二是信息内容的审计,可以防止内部机密或敏感信息非法泄漏

4.网络风险分析

网络正常运行的前提是网络安全。网络安全不仅仅只是一个单一的安全点,它还是整个信息网络的安全线,从物理、网络、系统、应用和管理等方面进行全方位的保护。想要知道如何进行保护,首先就需要了解的安全风险是从哪里开始的。网络安全系统必须包括技术和管理这两个方面,它涵盖了各个层次的不同程度的风险。不管是哪一级,一但它的安全措施不到位,都会造成很大的安全隐患,很容易就会造成网络的中断。根据国内的网络结构和具体应用模式,研究人员对网络安全、系统安全、应用安全和管理安全等方面进行了全面的分析。

风险分析是网络安全技术的一个重要功能。它是不断检测网络中的消息和事件,并分析系统被入侵和破坏的风险。风险分析必须包括网络中的所有相关组件。

5.网络安全设计

5.1设计原则

根据网络系统的实际情况,迫切需要解决网络安全问题,并要考虑技术难度和资金困难等因素:

(1)大大提高了系统的安全性和保密性;

(2)保持原有的网络性能,即网络协议和传输具有良好的透明性;

(3)操作简单,维护方便,便于自动化管理,不增加或增加额外的操作;

(4)尽可能不影响原网络结构,方便系统扩展和系统功能扩充;

(5)安全体系有更好的性能比、价格比,一次性投资,可以用很长一段时间;

(6)安全性和密码的产品是合法的,并通过国家有关管理部门的认可或认证;

(7)分步实施原则:一步一步分层管理。

5.2安全政策

鉴于以上分析,我们采取以下安全策略:

第一,利用漏洞扫描技术,对重要网络设备进行风险评估,确保信息系统尽可能在最佳状态下运行。

第二,使用多种安全技术,建立一个防御系统,主要:

(1)防火墙技术:在网络的外部接口,使用防火墙技术,在网络层访问控制。

(2)NAT技术:隐藏内部网络信息。

(3)VPN:虚拟专用网(VPN)是在互联网和其他公共网络的企业网络的扩展,通过专用通道来创建一个安全的私人连接公共网络。它通过数据通道的安全性将远程用户、公司分公司、公司的业务伙伴、以及公司的企业网络连接起来,构成公司业务网络的延伸。在网络中的主机将不知道的公共网络的存在,因为如果所有的机器都在网络端口。公共网络似乎是专门用于网络,但事实上不是这样的。

(4)网络加密技术(IPSec):在网络加密技术,对IP数据包的封装和加密网络传输,数据传输的保密性和完整性的实现。它能解决网络数据传输中的安全问题,同时也解决了远程用户接入网的问题。

(5)身份验证:提供基于身份的身份验证,并可选择使用多种身份验证机制。

(6)多层次、多层次的企业级反病毒系统:采用多层次、多层次的企业级反病毒系统,实现综合保护。

(7)实时监测网络:利用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御能力抵御外来攻击。

第三,实时回应端口请求和恢复:对安全管理系统更深层次开发以及完善,提高了面对网络攻击时,安全系统的实时反应能力和恢复能力。

第四,建立了各级管理和安全管理中心。

5.3网络防御系统

现在,我们采用了防火墙技术、VPN技术、网络加密技术、等多层次,多级别的防病毒以及检测病毒入侵的技术,构成相对较为全面的网络安全防御系统。

例如,防火墙技术。防火墙是一种网络安全手段,它是一种访问控制标准,其主要目标是控制网络的访问,并通过这种检查强制所有连接,以防止需要保护网络免受外界干扰和损害。在逻辑上,防火墙是一个分隔符、一个限位器和一个分析器,它监控内部网络和互联网以保证内部网络安全。

(1)屏蔽路由器:也称包过滤防火墙。

(2)双孔主机:双孔主机是一种替代数据包过滤的网关。

(3)主机筛选器结构:该结构实际上是分组过滤和的组合。

(4)屏蔽子网结构:该防火墙是一个双孔主机,并从主机的变形中被屏蔽。

6.结束语

本文从多方面阐述了网络安全解决方案,目的是为了为用户提供信息安全、身份验证和完整性保护机制,同时防止网络服务、数据和系统的入侵和破坏。如防火墙、认证、加密技术等都是常用的方法,本文从这些方法来深入研究网络安全问题的各个方面,可以使读者更好地理解网络安全技术,为以后工作生活中的网络安全知识奠定一个好的基础。此外,用户自身也要加强安全防范意识,这样才能够从根本上解决计算机网络信息系统的安全问题。

参考文献

篇8

【 关键词 】 军校学员;信息安全;风险评估

Cadets’s Information Security Risk Assessment Problems and Solutions

Hu Peng-wei 1 Ding Yong-chao 1 Wang Bo-wei 1 Cheng Li-fu 2 Zhang Le-ping 3

(1.Second Military Medical University, Department of Health Services Corps Shanghai 200433;

2.Second Military Medical University, Department of Health Services, Public Health Management Shanghai 200433;

3.Second Military Medical University, Department of Computer Shanghai 200433)

【 Abstract 】 Rapid development and wide application of the Internet provides convenience for the majority of the cadets getting information, meanwhile, make a huge challenge to information security.So, Expand the cadet information security risk assessment of practical significance. This paper analyzes the the information security risks the cadets facing, point out the problems of information security risk assessment, and the specific implementation of countermeasures.

【 Keywords 】 cadet; information security; risk assessment

1 引言

军队院校信息化建设始于上个世纪90年代初开始,如今军校教育教学、机关办公、学员管理等基础业务对网络信息系统的依赖程度越来越大,同时面临的信息安全问题也越来越复杂多样化、越来越隐蔽化。虽然学校采取了安全监测、入侵防护等安全技术措施,但由于学员网络安全保密意识不强,网络安全技术掌握不到位的欠缺,管理方法针对性不强,军队院校学员网络安全风险高,以至网络安全事件甚至泄密事件时有发生。而卫勤军校学员在平时的学习工作中均有可能会涉及并接触到更多的军事秘密,面临的信息安全问题更加严峻。因此,迫切需要对卫勤军校学员的网络信息安全现状及风险因素进行客观有效的分析和评估,依据评估结果为针对军校学员的网络信息安全管理提供指导,进而有针对性地采取综合性网络安全风险的有效管理措施。

2 军校学员信息安全面临的风险

2.1 网络信息环境复杂,安全风危险性高

信息时代,互联网的应用已经深入到各个领域,但其共享性、开放性和互联性的特点,使得环境越来越复杂,危险不安全因素越来越多。

一是网络黑客攻击。网络攻击包括黑客攻击、病毒感染以及针对性军事机构、军队人员的网络监视,如军校附近的企业、网络监听。目前信息系统技术发达,网络黑客可以通过极限攻击、读取受限文件、拒绝服务以及口令恢复等一系列技术获取信息,对军队保密安全形成威胁。学员在使用网络时感染病毒导致文件丢失、破坏,发生严重的安全事故。此外,针对军事机构和军事人员的网络监视并不少见, 增加了军校学员网络信息安全的风险。

二是网络陷阱。特别是一些博客、论坛,借军事爱好、讨论敏感话题、套取军事信息此外,有些人在网络上设置陷阱,一旦发现军人身份的网络用户便主动接近,通过交流和获取军队内部信息。同时,由网络海量信息形成的巨大信息流,其中掺杂着诸多不良信息,更有人借网络进行非法活动的传播,对大学生进行鼓动和教唆,严重危害学员身心健康。现代社会的多元化很大程度上反映到了互联网上,随着网络的发展,论坛社区、交友网站的兴起,微博、QQ、MSN等交流交互方式的流行,智能手机的广泛应用,吸引着军校学员接触网络,给学员自身、学校甚至军队的信息安全都带来很大的威胁。

三是病毒感染网络沉迷。互联网的虚拟性极大程度地吸引着学员不断接触网络,其中网络恋情和网络游戏是最主要的沉迷对象。人生观和价值观正在形成过程中的大学生分辨能力和自制能力较差,加上军队院校相对封闭的环境,部分军校学员沉迷于网络恋情或网络游戏而不能自拔,安全意识更加薄弱,往往将自身信息和军事机密信息透漏出去,甚至引发安全事故。

2.2 信息安全意识差,抵御能力弱

一方面随着智能终端的不断研发,信息化进程的不断推进,上网方式已经不再局限于计算机,智能手机、平板电脑以及各种无线网络设备都可以方便连接网络。学生作为网络的主体,网络信息安全意识差,依赖上网方式的多样化和便捷性频繁的接触网络。另一方面,随着微时代的到来,微文化流行,参与便捷,加之学员的信息安全意识不强,将校区所处的环境图片、课件、听看到的信息、消息等随手转发到网络上,给学校和军事机构带来严重的安全隐患。更有甚者,学员利用网络散播不良信息,参与黑客等网络破坏活动,给国家和军队带来严重的损失。迅速发展和广泛应用的互联网,是广大军校学员获取信息的有效途径,同时也对信息安全形成巨大挑战。互联网大量的信息集成,是对每个涉足互联网人员的冲击,没有强烈的安全意识,很容易导致安全事故的发生。在管理方式上,大多数只停留在接受口头安全教育的层面上,没有意识到现代高端的信息技术和间谍技术带来的威胁。

2.3 网络信息安全管理差,处理方法少

目前军校面临的信息安全问题也越来越复杂多样化、越来越隐蔽化。虽然杀毒软件、防火墙、入侵检测等安全技术的应用起到一定的防御作用,但由于管理方法针对性不强,对于安全事件的处理不到位,信息安全事故依旧不减。军队院校是培养军队专门人才的特殊教育训练机构,互联网、校园网、军事信息综合网等各类网络广泛应用。军校学员在生活、学习过程中,有机会了解和掌握军队的编制体制、方针政策、武器装备等涉及军事秘密等信息,而针对军校学员的网络信息安全管理办法少、科学性不强,主要体现在两方面。

一是宣传式教育过于形式化。大多数学校的网络信息安全教育是以口头说教、安全讲座、安全知识考试以及教育传单的形式展开,而这些宣传式的教育流于表面,没有真正让学员体会到现代网络环境存在的风险,也没有意识到自己的网络行为所造成的安全隐患。

二是限制网络使用效果不明显。为了防止安全保密事故的发生,学校常常用会限制学员的网络使用,但是这种 “堵”的方式只能限制了学员对学校网络和网络设备的使用,学员依旧可以方便选择通过其他智能终端使用网络,而且这种方式与现代信息社会格格不入,阻碍和影响到了学员正常获取学校正常教学、办公信息和知识的途径,引起教学办公人员的不满。这些办法并没有真正加强学员的安全意识以及阻止安全事件的发生,也为信息安全带来了风险。

3 军校学员信息安全评估存在的问题

3.1 针对性不强,评估指标不完善

目前大多数军校都会定期对网络进行检测和维护,对于信息安全的风险评估大多数侧重于网络硬件和软件的基本情况,忽视了针对学员的信息风险评估。认为通过限制使用就可以避免风险,这样不但浪费了资源,也没有真正起到降低风险的作用。很多风险评估没有针对学员的评估指标,或者没有深入研究学员的网络行为,其指标缺乏有针对性,导致评估在学员信息安全防范措施这一环节上的薄弱。

3.2 科学性不高,风险量化能力差

对于军校学员的信息安全风险评估大多数指标是定性的,而定性的安全风险评估无法准确地确定风险的大小,无法对安全风险进行精确地排序,从而难以确定系统面临的真正风险。这就要求军校学员信息安全风险评估工作所运用的评估方法必须具备一定的量化能力。量化风险评估分析方法的关键在于输入参数的量化。对制定的量表进行有效的赋值,并在此基础上归类分析是量化评估的难点,而目前军校在对学员进行信息安全风险评估时,处理这些量化难点做的还不够到位。

3.3 系统性评估流于形式,对评估结果没有充分利用

多数军校只有上级安全部门进行的检查评估时才进行信息安全风险评估工作,并没有进行自评估,或者自评估的次数少,不能及时发现学员存在的信息安全隐患。风险评估在国内发展的时间较短,在军校学员中开展系统性的信息安全风险评估,军校引入的并不多,所以评估的形式欠科学性。同时评估流于形式,有些军校虽然开展了对学员的评估,但不能根据评估结果采取相应的安全措施,失去了评估的意义。

4 军校学员风险评估实施策略

4.1 提高重视程度,采用先进管理方法

提高对学员信息安全风险评估的重视程度是决定风险评估效果的关键因素。首先,军校工作人员在对学校整个信息系统进行风险评估时,应当把对学员的信息安全风险评估单独列出,着重从伦理道德、纪律规范、网络技能和网络行为等方面进行评估,提高学员的安全思想意识。其次,要引进先进的管理办法,不能只停留在宣传式教育和限制网络上。宣传形式要新颖,可以用实例向学员宣讲,同时模拟真实的环境,让学员参与其中,从而加深印象,提高意识。管理上可以对学员进行跟踪监测,发现学员在网络使用上的漏洞,将其列为控制的关键环节加强管理;也可以对学员进行调研,了解学员对于网络行为和信息安全的认识程度,及时进行针对性教育。同时,领导层面要加强重视,才能提供更多的人力物力支持评估工作。各级干部和学员要抓好落实,养成良好的安全习惯,配合好风险评估工作。

4.2 深入研究风险,有针对性地建立指标体系

合理有效的评估指标体系是进行风险评估的基础要素。建立有针对性的评估指标体系:一是要要充分调研学员信息安全存在的风险,跟踪学员的网络行为,发现关键环节;二是要把握指标体现建立的原则。首先是一般性原则,包括系统性原则、典型性原则、导向性原则、针对性原则、简约性原则、可操作性原则以及可延续性原则。风险评估设计要考虑到学员心理行为、网络安全技术和安全管理制度等多方面因素,依照一般性原则的同时也要综合考虑这些特殊因素;三是要多维度建立评估指标体系。依据信息安全风险评估成熟的理论和方法,根据对军校学员网络行为的研究结果,从法律法规、伦理道德、安全保密和安全技术等维度入手,在每个维度中确立定性和定量的指标,建立网络安全风险评估架构。

4.3 充分利用评估结果,将风险评估制度化

在完成了对学员信息安全风险的评估后,要对采集的数据进行科学的分析。针对学员的信息安全风险评估存在大量的定性指标,具有结构复杂、不确定性和非线性的特点,传统的权重赋值方法精度低。人工神经网络是近几年发展起来的一种新兴的科学方法,它模仿人大脑的工作机理和思维本质,通过数学模型与计算机的结合,所建立起来的一套智能的系统。目前,人工神经网络已经发展了十几种,适用于不同的实际问题来建模。而径向基神经网络因其能够逼近任意的非线性函数,解决系统内在难以解析的规律,因此在实际评估的过程中能很好地处理主观与客观的指标,得到较为完善的评估结果。针对评估结果,学校应当采取一系列管理措施,并制定长期的网络使用规范和有关信息安全的纪律条例,并根据新的问题进行修改和完善。把对学员信息安全的风险评估制度化、规范化,真正展现发挥风险评估的效果效用,从而避免安全事故的发生。

参考文献

[1] 贾玲.军校网络信息安全风险评估研究[J]. 武警学院学报,2010(8):95-96.

[2] 贾卫国,许浩,王成.军校网络信息安全风险评估工作探讨[J]. 计算机安全,2009(9):78-80.

[3] 孙利娟,刘彩红.高校信息安全教育问题研究[J]. 电脑技术与知识,2010(8):30.

[4] 刘枫.大学生信息安全素养分析与形成[J]. 计算机教育,2010(21):77-80.

[5] 申时凯,佘玉梅. 糊神经网络在信息安全风险评估中的应用[J]. 计算机仿真,2011(10):92-94.

[6] 黄婷婷.网络安全防御管理研究及对策[J]. SILICONVALLEY,2010(6):107.

[7] 赵军勇. 网络信息系统技术安全与防范[J]. 广播电视技术,2011(4):9-11.

[8] 任丽平. 加强大学生网络安全教育[J]. 内江师范学院学报,2004(5):97-100.

[9] 巢传宣.大学生网络安全问题研究[J]. 南昌工程学院学报,2010(5):54-57.

[10] 韩立群.人工神经网络理论、设计及应用(第2 版)[M].化学工业出版社,2011(9):164.

[11] 郝文江,武捷.三网融合中的安全风险及防范技术研究[J].信息网络安全,2012,(01):5-9.

[12] 任伟.无线网络安全问题初探[J].信息网络安全,2012,(01):10.

[13] 郎为民,杨德鹏,李虎生.基于SIR模型的智能电网WCSN数据伪造攻击研究[J].信息网络安全,2012,(01):14-16.

基金项目:

基于神经网络模型的大学生网络信息安全风险评估及对策研究;项目级别:校创新能力基金;项目编号:ZD2012039。

作者简介:

篇9

【关键词】校园网 安全技术 应用研究 网络安全

网络技术的普及已经成为社会生活中一种不可缺少的重要组成部分。校园更是一个庞大的网络使用聚集地,校园网担负着教学、科研、管理和对外合作交流的一种主要工具,从校园网的网络安全层面考虑,加大力度对校园网网络安排的管理,尤其是从网络安全技术应用中来解决具体的网络问题就显得尤为重要了。网络安全是一个复杂的系统工程,不仅涉及系统软件、硬件环境,还有网络管理人员及外界环境的影响有关,结合近年来对校园网网络安全管理知识的总结,并从常见的网络安全问题和实例中来提升防范能力,切实保障校园网稳定可靠运行。

一、对校园网络建设及安全问题分析

(一)校园网络建设及网络体系结构特点

校园网建设为推进学校教学、科研,以及管理等方面提供了信息交流的平台。从建设系统来看,内部信息系统主要限于校园网内部用户的使用,如教学管理系统、协同办公系统等,而外部信息系统则是进行对外宣传,以及为教学提供海量数据资源的主要阵地。其结构特点主要表现在:一是校园网络结构相对复杂,特别是随着网络规模的扩大,用户数的激增,在逻辑结构上包含核心层、汇聚层和接入层;在功能划分上满足教学、办公及学生上网需要;在接入方式上有宽带、无线等模式;二是从用户群体来看类型复杂,校园网从建设伊始就面临着内外用户的访问需要,都给网络管理带来了难度。

(二)校园网面临的主要安全威胁分析

校园网的发展速度是迅速的,尤其是在教育资源的共享、信息交流及协同办公需求上,更对高速、稳定、可靠提出了更高要求。结合对校园网络体系结构的分析,其存在的常见网络安全威胁有以下几点:一是系统漏洞方面的威胁,对于计算机系统发展至今,由于系统自身存在的、未经授权情况下而发生的访问请求,如黑客攻击、病毒感染等都给网络安全带来漏洞和隐患;二是对计算机病毒防范不够,随着计算机病毒传播速度加快,病毒变种发作率日益严重,对用户信息的泄漏,以及对信息资源的破坏是极大的,从而给网络管理带来难度;三是对网络资源的利用率不够高,特别是部分用户私自占有大量带宽,影响其他用户的正常使用;四是垃圾邮件、不良信息的传播加剧,不仅降低了网络资源利用率,还给病毒传播提供载体,也给校园网络环境的净化带来阻碍。

二、常用网络安全技术分析与应用

(1)网络防火墙技术及应用。对于网络安全威胁来说,防火墙技术能够从软件和硬件方面实现较好的防护目标,也是增强网络系统稳固性、可靠性的有效手段。防火墙是介于局域网和广域网之间的安全屏障,其作用是能够对外来用户的访问请求进行检测和控制,对于非法访问给予屏蔽,从而保护了信息传输的安全性、合法性,提高了网络系统的安全级。其功能主要表现在以下几点:一是作为屏障来对访问请求进行有效过滤,如在面对源路由攻击和基于ICMP重定向中的重定向攻击时,防火墙能够从防范来自路由的非法访问;二是能够对访问存取操作进行记录并监控,利用日志记录可以实现对网络的使用情况进行分析统计,并对可疑操作给予监测和报警;三是防范内部信息的对外泄露,通过对流经防火墙的数据和服务进行监控,特别是对于敏感信息的监测来防范内部信息的泄漏。

(2)入侵检测系统(IDS)技术应用。入侵检测系统(IDS)是基于被动防御为主的对外来访问进行有效控制的技术,比防火墙更深入的主动拦截恶意代码,并能够从安全策略下对关键信息进行收集和分析,如异常检测模型能够从当前主体的活动与正常行为偏离时,从而降低漏报率;误用检测模型的应用,可以从设定的入侵活动特征对比中来实现对当前行为特征的检测和匹配,从而降低误报率。入侵检测系统的优势是能够对入侵行为进行主动检测和报警,不足是检测规则和统计方法限于特定网络环境,适用性不够。

(3)防病毒技术的应用。计算机病毒是困扰网络安全的主要杀手,也是校园网网络安全管理的重点。结合计算机病毒的破坏特征,从其产生的目的,破坏目标,以及对用户和系统性能的危害上,并从潜伏性、隐蔽性、易传染性等特点制定相应的防御对策。如通过建立行为规则来判定病毒的运行特征,一旦与规则匹配则报警,并作出相应的处理。如依据病毒关键字、特征代码、以及病毒危害行为特征来编写病毒特征库,以提高检验和监测病毒的效率。病毒的清除技术是对检测结果进行的处理,它实现了对病毒感染的逆操作,如利用杀毒软件对病毒特征库的更新来追踪病毒,以实现对病毒的有效清除。

(4)虚拟局域网技术(VLAN)的应用。虚拟局域网是借助于网络技术来实现对网络设备逻辑地址的划分,打破了传统局域网的结构特征,使其更加灵活性和便捷性。通过VLAN技术,使得数据从发送到接受都在同一个虚拟网络中接受和转发,以此来避免交换信息被其他子网所利用。特别是对于大型网络,VLAN能够从信息传输流量上减少广播风暴的影响,降低网络堵塞的同时还提高了信息传输效率;从网络安全性上,利用路由器来进行安全监测和控制,提高网络安全性。

(5)其他网络安全技术的应用。虚拟专用网(VPN)技术是通过对公用网络建立临时安全的链接,以满足任意两个节点进行安全、稳定的临时性通信,具有较高的安全性;网络安全扫描技术主要是针对网络管理中可能存在的漏洞,通过资源扫描来获取网络安全信息,以防范可能出现的错误配置。数据备份技术是面向实际应用,为了减少人为误操作,以及发生硬件故障而采取的一种数据完整性复制功能,用以挽救灾难恢复,在分布式网络环境中的应用更为广泛和有效。

三、结语

本文以校园网的安全问题为研究对象,从制约校园网的各类风险因素进行分析,运用网络安全技术来建立保障体系,并结合严格规范的管理制度与合适的解决方案,来以实现校园网的安全、可靠、高效运行。

参考文献:

[1]周建坤.校园网环境下网络安全体系的研究[D].山东大学,2011.

篇10

关键词:信息化;漏洞;信息安全

中图分类号:R197 文献标识码:A 文章编号:1674-1723(2013)03-0221-02

MIS(Management Information System,管理信息系统),是一个由人、计算机及其他设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。它是一门新兴的科学,其主要任务是最大限度地利用现代计算机及网络通讯技术加强企业信息管理,通过对企业拥有的人力、物力、财力、设备、技术等资源的调查了解,建立正确的数据,加工处理并编制成各种信息资料及时提供给管理人员,以便进行正确的决策,不断提高企业的管理水平和经济效益。目前,企业的计算机网络已成为企业进行技术改造及提高企业管理水平的重要手段。

图1是我公司现有MIS网络的拓扑图,此网络为我公司MIS内网,包含了集团公司至我公司总部一期二期的所有网络

设备。

对于电力行业的企业来说,其信息化程度和水平日益提高,生产,营销,财务等对于信息化的依赖程度也越来越高。但由于网络和主机存在各种各样的漏洞,而人作为使用计算机的主体,也会出现很多疏忽,这样就使得企业的信息安全尤为重要。本文将从信息安全的基本概念和电力企业的信息安全解决方案两个方面来阐述。

一、信息安全的基本概念

1.信息安全的基本要素。

(1)机密性:确保信息不暴露给未授权的实体或进程。

(2)完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。

(3)可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。

(4)可控性:可以控制授权范围内的信息流向及行为方式。

(5)可审查性:对出现的网络安全问题提供调查的依据和手段。

2.信息安全模型。

3.信息安全的层次。

4.主机网络安全系统体系结构。

二、企业的信息安全分析及解决方案

1.企业的网络安全风险分析。

在网络安全方面考虑,可以划分成5个层次,即管理层、应用层、系统层、网络层和物理层。

(1)在物理层,出现的安全问题有:设备防盗,防毁;链路老化,人为破坏,被动物咬断等;网络设备自身故障;停电导致网络设备无法工作;机房的电磁辐射。

(2)在网络层,出现的安全问题有:网络拓扑的结构风险;非法用户对服务器的安全威胁;内部局域网带来的安全威胁。

(3)在系统层,会有以下安全问题:操作系统安全漏洞;病毒程序的传播;文件/用户权限设置缺陷;密码设置过于简单或没有密码;恶意代码(特洛依木马等)。

(4)在应用层,出现的安全问题有:应用服务器的安全;telnet的安全性;网络管理协议(SNMP);应用层的身份识别。

(5)在管理层,会有下列安全问题:内部人员信息泄露风险;机房出入没有限制;内部工作人员因误操作而带来的安全风险;内部员工未经允许在内网做攻击测试;未制定网络安全规范或规范有缺陷。

2.企业网络安全的实现。

信息安全技术有防火墙技术、入侵检测、防病毒技术、CA认证技术、漏洞评估技术、vpn接入技术、备份/恢复技术等。

(1)防火墙。推荐使用状态监测防火墙。这种防火墙具有非常好的安全特性,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。

(2)入侵检测。监测并分析用户和系统的活动;核查系统的配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反策略的用户活动。

(3)防病毒。在企业内部网中,应该使用企业级的防病毒软件,这种防病毒软件采用c/s方式,主一级服务器连接在外网上更新病毒特征码,然后传到一级服务器,一级服务器再将定义码分发到二级服务器或者直接分发到客户端,以次类推。在internet的工作站不能直接连接外网,,用这种办法进行病毒定义的升级是最好的方法。

同时,功能强大的防病毒服务器,还可以扫描internet内所有的子网,检查子网内的计算机是否安装了客户端,如果没有安装,可以提醒其安装客户端。同时通过采集客户端的日志,日志分析软件(比如symantec的sesa)可以分析病毒的发作情况,得到病毒发作种类的排名和受感染计算机的排名。从而可以有针对性的作出及时有效的反应。

(4)PKI技术。安全基础设施能为所有的应用程序和设备提供统一、规范的安全服务,就像“电力”一样,通过一个接入点,在任何地方都可以使用,而不必关心它是如何产生的。公钥基础设施(PKI)是一个用公钥的概念与技术来实现,并提供安全服务的具有普遍适用性的安全基础设施。