發(fā)布時間:2022-03-13 03:07:40
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的1篇網絡信息安全論文,希望這些內容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
1企業(yè)辦公網絡關于安全方面的現狀
尤其是當以下問題發(fā)生時,使得網絡在遭受安全攻擊時,顯得非常脆弱:上層應用的安全收到Internet底層TCP/IP網絡協(xié)議安全性的影響,如果底層TCMP網絡協(xié)議受到攻擊,那么上層應用也會存在安全隱患;黑客技術和解密工具在網絡上無序傳播,而給一些不法分子利用這些技術來攻擊網絡;軟件的更新周期較長,而極有可能使得操作系統(tǒng)和應用程序出現新的的攻擊漏洞;網絡管理中的法律法規(guī)不健全,各種條款的嚴謹性不足,而給管理工作帶來不便,對于法規(guī)的執(zhí)行力度不足,缺乏切實可行的措施。
2對企業(yè)辦公網絡安全造成威脅的因素
對辦公網絡的信息安全實施有效的保護有著非常重要的意義,但同時也存在著一定的難度。由于網絡技術自身存在很多不足,如系統(tǒng)安全性保障不足。沒有安全性的實踐等,而使得辦公網絡不堪一擊。除了自然災害會給辦公網絡埋下巨大的安全隱患外,還有計算機犯罪、黑客攻擊等因素也是影響網絡信息安全的不穩(wěn)定因素。
2.1自然災害造成的威脅
從本質上來說,企業(yè)辦公網絡的信息系統(tǒng)就是一臺機器,根本不具備抵御自然災害、溫度、濕度等環(huán)節(jié)因素影響的能力,再加上防護措施的欠缺,必然會加大自然災害和環(huán)境對辦公網絡信息的威脅。最常見的就是斷電而造成的影響,會使得正處于運行狀態(tài)中的設備受到損害或者導致數據丟失等情況的發(fā)生。
2.2網絡軟件漏洞造成的威脅
一般來說,網絡軟件自身就存在著一些不可避免的漏洞,而給黑客攻擊提供了便利,黑客會利用這些軟件漏洞對網絡實施攻擊,在常見的案例中,網絡安全受到攻擊的主要原因就是由于網絡軟件不完善。還有一些軟件編程人員,為了自身使用方便而設置“后門”,一旦這些“后門”被不法分子找到,將會造成不可預料的后果。
2.3黑客造成的威脅
辦公網絡信息安全遭受黑客攻擊的案例數不勝數,這些黑客利用各種計算機工具,對自己所掌握的系統(tǒng)和網絡缺陷下手,從而盜取、竊聽重要信息,或者攻擊系統(tǒng)中的重要信息,甚至篡改辦公網絡中的部分信息,而造成辦公網絡癱瘓,給企業(yè)造成嚴重的損失。
2.4計算機病毒造成的威脅
計算機病毒會以極快的速度蔓延,而且波及的范圍也非常廣,一旦爆發(fā)計算機病毒將會造成不可估計的損失。計算機病毒無影無形,以依附于其他程序的形式存在,隨著程序的運行進一步侵入系統(tǒng),并迅速擴散。一旦辦公網絡被病毒入侵,會降低工作效率,甚至導致系統(tǒng)死機,數據丟失等嚴重情況的發(fā)生。
3如何加強辦公網絡中的網絡安全
3.1數據加密
數據加密技術指的是通過加密鑰匙和加密函數轉化,將信息處理成為無意義的密文。而接收方再通過解密鑰匙和解密函數,將密文還原成為明文。加密技術是網絡安全技術的基石。加密的原理就是改變數據的表現形式,而目的就是確保密文只能被特定的人所解讀。一個加密網絡,不僅可以實現對非授權用戶的搭線竊聽和入網的阻攔,而且還能有效的防止惡意軟件的入侵。一般的數據加密可以在通信的三個層次來實現,分別是鏈路加密、節(jié)點加密和端到端加密。
3.2建立網絡管理平臺
現階段,隨著網絡系統(tǒng)的不斷擴大,越來越多的技術也應用到網絡安全當中,常見的技術主要有防火墻、入侵檢測、防病毒軟件等。但不足的就是這些系統(tǒng)都處于獨立地工作狀態(tài),要保證網絡安全以及網絡資源能夠被充分利用,應當為其提供一個經濟安全、可靠高效、功能完善的網絡管理平臺來實現對這些網絡安全設備的綜合管理,使其能夠充分發(fā)揮應有的功能。
3.3設置防火墻
防火墻是網絡安全的屏障,內部網絡的安全性可以通過防火墻的設置而得以顯著提升,并通過不安全服務的過濾而大幅度降低風險。互聯(lián)網上病毒、木馬、惡意試探等對網絡造成的惡性攻擊絡繹不絕,因此應當設置防火墻實現有效地阻擋。
作者:王松 單位:天津市長青集團有限公司
1云計算發(fā)展中的安全問題
隨著計算機技術的日益成熟,云計算技術已經逐漸的成為了計算機傳送和存信息的重要手段,這主要是因為云計算的發(fā)展同網絡密不可分,因此網絡信息安全受計算機云計算安全的直接影響。網絡的發(fā)展,在使人們生活變得越來越便捷的同時,信息安全遭受到的威脅也在逐漸擴大。近年來,網絡信息泄密事件屢屢發(fā)生,泄密事件的頻繁發(fā)生使人們對網絡的安全性產生了嚴重的懷疑,而網絡的安全問題對云計算的發(fā)展有著重要的影響,信息的安全得不到保障,那么云計算的發(fā)展也就將會受到制約。控制云計算下的信息安全,是確保云計算技術能夠得到進一步發(fā)展的重要保障。
2安全防護措施
互聯(lián)網技術和計算機技術的高速發(fā)展促使了云計算技術的誕生,云計算技術越逐漸地成為了互聯(lián)網的新發(fā)展趨勢,受網絡的實效性和瞬時性的影響,云計算技術給安全管理帶來了許多困難,問題的出現同樣給信息安全的發(fā)展帶來機遇。本文依據云計算的理念,結合實際工作經驗,就如何在云計算的基礎下,確保信息安全的幾種方法加以介紹。
2.1建立統(tǒng)一的信息平臺
我國互聯(lián)網行業(yè)多個運營商并存,因此之間存在著競爭關系,每個運營商都有各自的信息平臺,從而造成了不同的運營商無法對信息安全問題進行統(tǒng)一。進一步說,這種無法統(tǒng)一將會造成每個云端的資源無法得到充分的利用,導致了在云環(huán)境下資源的巨大浪費。目前信息的存儲和傳輸都處于快速發(fā)展階段,在互聯(lián)網中的存儲的信息要遠大于歷史各時代的信息量的總和,這足以說明,信息的存儲量和傳輸量巨大。在這種大環(huán)境之下,各個運營商如果還是各自為營,不僅會消耗大量的資金,而且也無法確保信息的安全。因此,在云計算逐漸發(fā)展的今天要想確保信息的安全性,運營商之間必須要放下成見,相互合作,共同建立一個統(tǒng)一的互聯(lián)網云環(huán)境下的信息管理平臺,只有這樣才能實現信息整合,發(fā)揮云環(huán)境下互聯(lián)網中信息安全保障的優(yōu)勢。同時,信息管理平臺的建立對云技術的發(fā)展也有著一定的促進作用,使互聯(lián)網的信息安全有了更多的信息支持。
2.2備份處理
在云環(huán)境下為了確保信息的安全,應當對信息內容進行備份。數據的備份級別分為以下幾種,一個單獨的服務器對數據進行備份,多個數據服務對同一數據進行備份,多個數據中心對一數據進行備份,工作人員可以根據信息的重要性和實際需求為信息提供不同級別的信息備份,對信息加以保護。
2.3加密處理
加密一直是保護信息安全的一個重要措施,在云環(huán)境下對文件加密同樣是保護信息安全的一個重要手段。當文件被加密后,任何人要想獲取信息中的內容都需要輸入正確的指令,對文件進行加密后將及時將其發(fā)送到互聯(lián)網上,它也依然在控制者控制范圍之中。當文件試圖脫離控制者的控制時,控制者可以利用PGP對信息內容進行保護,利用此方式,就可以在文件傳輸過程中進行加密,確保了信息安全能夠得到保證。在云環(huán)境下互諒網信息在傳遞途中,控制者可對信息傳輸加密處理,確保信息在互網傳輸中的安全性達到最大化。非法人員可能通過技術手段對信息的API密匙入侵,此時作為控制者可以在文件傳輸過程中設置多種API密匙,這樣黑客入侵的難度就會大大提高,有效的阻止黑客入侵,確保了信息的安全性。
3結束語
綜上所述,為了在競爭中能夠站在巔峰,我國必須積極的參與進云計算技術、標準平臺的建設中,從而獲取相關產業(yè)的控制權,同其它國家進行合作,加強安全管理體系的建設。雖然目前云計算還處以發(fā)展階段,但是隨著技術的不斷成熟,云計算也勢必會一步一步走向成熟,總之在這個過程中必須要做好安全信息保護工作。
作者:焦新勝 單位:中國聯(lián)合網絡通信有限公司運城市分公司
1當前基層公安消防部隊網絡信息安全現狀
1.1網絡信息安全規(guī)章制度落實不力
《公安信息網“八條紀律”和“四個嚴禁”》、《禁止公安業(yè)務用計算機“一機兩用”的規(guī)定》、《公安網計算機使用管理規(guī)定》、網絡信息系統(tǒng)日巡檢、系統(tǒng)日志周檢查和數據庫備份制度等一系列網絡信息安全規(guī)章制度未有效落實在日常工作中,麻痹大意思想不同程度存在,造成了基層公安消防部隊網絡信息安全隱患事件。
1.2網絡安全教育組織不到位
大多數基層部隊官兵電腦、網絡方面的維護知識較少,對于查殺病毒、殺毒軟件升級、設置更改密碼等一些基本操作都不精通,工作中普遍存在只使用、不懂維護現象,這些因素致使網絡信息安全得不到保障有效。多數基層消防部隊開展網絡安全教育手段較為單一,多是照本宣科的傳達上級規(guī)章制度,不少單位甚至將士兵上網行為視作洪水猛獸,這種一味去“堵”“、防”的安全教育管理模式,顯然不能從根本上解決問題,也達不到提升官兵自身網絡安全意識的效果。另外基層消防部隊的合同制消防員和文職人員流動性大,也增加了消防部隊網絡安全教育的復雜因素。
1.3網絡安全技術防范措施和手段較為單一
基層公安消防部隊的網絡信息安全系統(tǒng)建設普遍不到位,網絡安全管理平臺、威脅管理(UTM)、防病毒、入侵偵測、安全審計、漏洞掃描、數據備份等安全設備缺口較大。受經費制約,不少基層消防部隊在信息化項目建設時不能按照有關規(guī)定進行網絡安全設計,無法同步建設網絡信息安全系統(tǒng)。這種現象致使基層部隊網絡安全技術防范措施和手段較單一,不能及早發(fā)現、消除一些網絡安全隱患。
2加強基層公安消防部隊網絡信息安全的對策
2.1加強網絡信息安全教育
基層消防部隊要組織官兵經常性地學習部隊網絡信息安全規(guī)章及禁令,積極開展反面警示及法制教育,從中汲取教訓,舉一反三,使官兵充分認識到網上違紀違規(guī)行為的嚴重性和危害性。針對網絡違紀的傾向性問題,加強思想政治教育、革命人生觀教育和憂患意識教育,讓青年官兵做到正確認識看待網絡技術,正確把握自己的言行。可以邀請保密部門進行專題培訓、組織案例剖析以及竊密攻防演示等多種形式,進一步強化官兵依法保護國家秘密的自覺性。要加強對文員和合同制隊員的崗前培訓與安全保密教育工作,對于日常工作中經常接觸公安網和內部信息的人員要嚴格監(jiān)督和指導,貫徹落實各項安全管理制度,杜絕違紀泄密事件發(fā)生,最大限度地消除隱患,確保網絡信息安全。
2.2規(guī)范日常網絡安全檢查
應配責任心強、計算機素質較高的官兵為單位網絡安全管理員,嚴格落實網絡信息系統(tǒng)日巡檢、系統(tǒng)日志周檢查和數據庫定期備份制度,并將設備運行參數、安全運行情況、故障處理信息等檢查、巡檢結果造冊登記。同時要定期組織開展計算機網絡安全自查,確保不漏一人、一機、一盤、一網,對排查出來的問題要逐項登記,落實整改措施,消除隱患,堵塞漏洞。通過經常性的檢查評比,在部隊內部營造濃厚的網絡信息安全氛圍,不斷提升官兵做好網絡信息安全工作的自覺意識,杜絕各類網絡信息違紀泄密事件發(fā)生,把隱患消滅在萌芽狀態(tài),確保網絡信息安全穩(wěn)定。
2.3加強公安信息網接入邊界管理
每臺接入公安網的計算機必須安裝“一機兩用”監(jiān)控程序、防病毒軟件,及時更新操作系統(tǒng)補丁程序,堅決杜絕未注冊計算機接入公安網絡。涉密計算機、公安信息網、互聯(lián)網必須實行物理隔離。嚴禁具有WIFI、藍牙功能的3G手機連接公安網電腦。除移動接入應用外,嚴禁筆記本電腦接入公安網。嚴格落實各類應用系統(tǒng)和網站的登記、備案制度,嚴格上網內容的審批,防止非網管人員隨意登錄服務器篡改業(yè)務系統(tǒng)程序、開設論壇、聊天室、架設游戲網站、非工作視頻下載等違規(guī)行為。
2.4加強網絡信息安全技術保障
基層消防部隊要依據《全國公安消防部隊安全保障系統(tǒng)建設技術指導意見》,在建設信息化項目時,制定切實可行的網絡安全保障規(guī)劃,加大投入,確保用于網絡安全與保密系統(tǒng)方面的投入不低于信息化建設項目投資總額的10%,逐步配備必要的網絡信息安全系統(tǒng),研究網絡安全防范技術,建立網上巡查監(jiān)控機制,提高計算機網絡和信息系統(tǒng)的整體防范能力和水平。
2.5建立健全網絡信息責任機制
基層消防部隊要按照“誰主管、誰負責”的原則,嚴格落實公安網絡安全和保密工作軍政主官負責制,加強公安網絡安全和保密工作的組織領導和監(jiān)督檢查,及時研究解決網絡信息安全工作中遇到的問題和困難,督促工作措施落實。要嚴格落實定期網絡安全與保密形勢分析制度,在內網網站建立網絡安全管理專欄,通報網絡運行情況和網絡安全管理情況。同時加大對網絡違規(guī)違紀的查處力度,將網絡信息安全防范工作全面貫徹到部隊日常安全管理工作中,逐步建立健全對網上違規(guī)行為的調查、取證、處罰、通報等查處工作聯(lián)動機制。凡因管理不善、措施不力、工作不落實,發(fā)生網絡違規(guī)違紀事件的,實行問責制和責任倒查制,對直接責任人進行嚴肅處理。
作者:梁藺譯 單位:河南省漯河市公安消防支隊司令部
1網絡環(huán)境下檔案信息的特征
檔案信息化以計算機技術為基礎,與以往的紙質檔案資料相比,具有以下特征:
1.1設備依賴性。
不同于過往的檔案記載,信息化的檔案資料再也不是一支筆、一份紙記錄的過程,從輸入到輸出都是經由計算機與其輔助設備實現,管理與傳輸也都依賴各種軟件與網絡資源共享,信息處理速度與質量在某些程度上依賴于計算機的性能與軟件的適應性。
1.2易控性和可變性。
信息化的檔案資料一般是以通用的文檔、圖片、視頻、音頻等形式儲存下來,這給信息共享帶來了便利,但也增加了檔案資料的易控性和可變性,對于文檔資料可以通過office工具刪除修改文字、對于圖片資料可以通過photoshop輕易地改變其原有的面貌、對于音頻和視頻資料可以通過adobeaudition和premiere工具的剪輯變成完全不同的模樣,這些都造成了檔案信息易丟失的現象。
1.3復雜性。
檔案信息量不斷增加、信息存儲形式也變得豐富多樣,不僅有前文所述的文檔、圖像、視頻、音頻等形式,不同格式之間的信息資料還可以相互轉換,如視頻與圖片、文字與圖片的轉換等等,進一步增加了檔案信息的復雜性。
2目前網絡環(huán)境下檔案信息安全管理存在的問題
2.1網絡環(huán)境下檔案信息安全問題的特性。
檔案信息化有其顯著特征,在此基礎上的檔案信息安全問題屬性也發(fā)生了較大變化。首先表現在信息共享的無邊界性,發(fā)達的網絡技術使得整個世界變成一張巨大的網,上傳的信息即使在大洋彼岸也能及時查看,一旦信息泄露,傳播的范圍廣、造成的危害難以估量。同時,在某種程度上檔案信息化系統(tǒng)也存在著脆弱性問題,計算機病毒可以入侵系統(tǒng)的眾多組成部分,而任何一部分被攻擊都可能造成整個系統(tǒng)的崩潰。此外,網絡安全問題還存在一定的隱蔽性,無需面對面交流,不用對話溝通,只需打開一個網頁或是鼠標輕輕點擊,信息就會在極短時間內被竊取,造成嚴重后果。
2.2網絡環(huán)境下檔案信息安全面臨的主要問題。
1)檔案信息化安全意識薄弱。很多情況下,檔案信息被竊取或損壞并不是因為入侵者手段高明,而是檔案信息管理系統(tǒng)自身安全漏洞過多,其本質原因是檔案信息管理安全意識不夠。受傳統(tǒng)檔案管理觀念的桎梏、自身技術水平的限制,很多管理人員并未將檔案信息看作極為重要的資源,對相關資料處理的隨意性大,也無法覺察到潛在的風險,日常操作管理不規(guī)范,增加了檔案安全危機發(fā)生的可能性。
2)檔案信息化安全資金投入不夠。現代信息環(huán)境復雜多變,數據量急劇增加,信息管理難度也越來越大,對各種硬件、軟件設備的要求也進一步提高,需要企業(yè)在檔案信息管理方面投入更多的人力、物力,定期檢查系統(tǒng)漏洞。而就目前情況而言,大部分企業(yè)在這方面投入的資源還遠遠達不到要求,檔案信息管理的安全性得不到有效保障。
3)檔案信息化安全技術問題。技術問題首先表現在互聯(lián)網自身的開放性特征中,互聯(lián)網的基石是TCP/IP協(xié)議,以效率和及時溝通性為第一追求目標,必然會導致安全性的犧牲,諸如E-mail口令與文件傳輸等操作很容易被監(jiān)聽,甚至于不經意間計算機就會被遠程操控,許多服務器都存在可被入侵者獲取最高控制權的致命漏洞。此外,網絡環(huán)境資源良莠不齊,許多看似無害的程序中夾雜著計算機病毒代碼片段,隱蔽性強、傳染性強、破壞力大,給檔案信息帶來了嚴重威脅。
3網絡環(huán)境下實現檔案信息安全保障原則
3.1檔案信息安全的絕對性與相對性。
檔案信息安全管理工作的重要性是無需置疑的,是任何企業(yè)特別是握有優(yōu)秀技術的大型企業(yè)必須注重的問題,然而,檔案信息管理并沒有一勞永逸的方法,與傳統(tǒng)檔案一樣,不存在絕對的安全保障,某一時期看起來再完善的系統(tǒng)也會存在不易發(fā)現的漏洞,隨著科技的不斷發(fā)展,會愈來愈明顯地暴露出來。同時,檔案信息安全維護技術也沒有絕對的優(yōu)劣之分,根據實際情況的需求,簡單的技術可能性價比更高。
3.2管理過程中的技術與非技術因素。
檔案信息管理工作不是單一的網絡技術維護人員工作,也不是管理人員的獨角戲,而需要技術與管理的有機結合。檔案管理人員可以不具備專業(yè)網絡技術人才的知識儲備量,但一定要具備發(fā)現安全問題的感知力與責任心,對于一些常見入侵跡象要了然于心,對于工作中出現的自身無法解決的可疑現象應及時通知更專業(yè)的技術人員查看。可根據企業(yè)實際情況建立完善的檔案安全管理機制,充分調動各部門員工的力量,以系統(tǒng)性、全面性的理念去組織檔案信息管理工作。
4網絡環(huán)境下檔案信息安全管理具體保障方法
4.1建立制度屏障。
完善的制度是任何工作順利進行的前提與基礎,對于復雜網絡環(huán)境下的檔案信息安全管理工作來說更是如此。在現今高度發(fā)達的信息背景下,檔案管理再不是鎖好一扇門、看好一臺計算機的簡單工作,而是眾多高新技術的集合體,因此,做好檔案信息安全管理工作首先要加強安全意識的宣傳,包括保密意識教育與信息安全基礎教育,加強檔案管理人員特別是技術操作人員的培訓工作。同時,應注重責任制度的落實,詳細規(guī)定庫房管理、檔案借閱、鑒定、銷毀等責任分配,詳細記錄檔案管理培訓與考核工作、記錄進出檔案室的人員信息,具體工作落實到人。在實際操作中,應嚴格記錄每一個操作步驟,將檔案接收、借閱、復制等過程完整、有條理地編入類目中,以便日后查閱。
4.2建立技術屏障。
網絡環(huán)境下的信息安全技術主要體現在通信安全技術和計算機安全技術兩個方面。
1)通信安全技術。通信安全技術應用于檔案資料的傳輸共享過程中,可分為加密、確認與網絡控制技術等幾大類。其中,信息加密技術是實現檔案信息安全管理的關鍵,通過各種不同的加密算法實現信息的抽象化與無序化,即使被劫持也很難辨認出原有信息,這種技術性價比高,較小的投入便可獲得較高的防護效果。檔案信息確認技術是通過限制共享范圍達到安全性要求,每一個用戶都掌握著識別檔案信息是否真實的方案,而不法接收者難以知曉方案的實際內容,從而預防信息的偽造、篡改行為。
2)計算機安全技術。從計算機安全角度入手,可采用芯片卡識別制度,每一名合法使用者的芯片卡微處理機內記錄特有編號,只有當編號在數據庫范圍內時方可通過認證,防止檔案信息經由計算機存儲器被竊的現象發(fā)生。同時,應加強計算機系統(tǒng)的防火墻設計,注意查找系統(tǒng)漏洞。
4.3建立法律屏障。
面對如此復雜的網絡環(huán)境,法律條令是最為有力的防護武器,建立系統(tǒng)完備、結構嚴謹的法律體系將極大地促進檔案信息安全管理工作的進行,應從維護網絡資源、維護用戶正當權益方面入手,以法律的強制力為檔案信息安全管理保駕護航。
作者:徐麗艷 單位:鶴崗市林業(yè)局
1網絡通信中存在的信息安全問題
信息安全的概念在20世紀90年代以來逐漸得到了深化,它建立在以密碼論作為理論基礎的計算機安全領域,并輔以計算機、通信網絡技術與編程等相關內容,是指包含硬件、軟件、人、數據等在內的信息系統(tǒng)受到保護,不受偶然或惡意原因受到破壞、泄露、更改,保證系統(tǒng)能夠連續(xù)可靠正常地運行以及信息服務不中斷,并實現網絡通信業(yè)務的連續(xù)性。信息安全主要包括對信息的保密性、完整性、真實性、未授權拷貝以及所寄生系統(tǒng)的安全性的保證。要做到網絡通信的安全,就要去除其中影響安全的因素,保證信息傳輸的安全與穩(wěn)定。目前,網絡已融入到了社會、經濟、生活等各個領域當中,當網絡通信安全出現問題時,不僅會造成個人隱私的泄露,對于社會的穩(wěn)定也會產生不利影響。目前網絡通信當中存在的信息安全問題主要包括:
(1)個人信息的泄露。在網絡工程當中,對于系統(tǒng)硬件、軟件的相關維護工作還不夠完善,同時網絡通信當中的許多登錄系統(tǒng)需要借助遠程終端來完成,造成系統(tǒng)遠程終端和網絡用戶在用戶運用互聯(lián)網進入對應系統(tǒng)時存在長遠的連接點,當信息在進行傳輸時,這些連接點很容易引起黑客對用戶的入侵以及攻擊,使得用戶信息被泄露,個人信息安全得不到保障。
(2)網絡通信結構不完善。網間網的技術給網絡通信提供了技術基礎,用戶通過IP協(xié)議或TCP協(xié)議得到遠程授權,登錄相關互聯(lián)網系統(tǒng),通過點與點連接的方式來進行信息的傳輸。然而,網絡結構間卻是以樹狀形式進行連接的,當用戶受到黑客入侵或攻擊時,樹狀結構為黑客竊聽用戶信息提供了便利。
(3)相關網絡維護系統(tǒng)不夠完善。網絡維護系統(tǒng)的不完善主要表現軟件系統(tǒng)的安全性不足,我們現在所使用的計算機終端主要是依靠主流操作系統(tǒng),在長時間的使用下需下載一些補丁來對系統(tǒng)進行相關的維護,導致了軟件的程序被泄露。
2對于網絡通信中存在的信息安全問題的應對方案
對于上述的種種網絡通信當中存在的信息安全問題,我們應當盡快地采取有效的對策,目前主要可以從以下幾個方面入手:
(1)用戶應當保護好自己的IP地址。黑客入侵或攻擊互聯(lián)網用戶的最主要目標。在用戶進行網絡信息傳輸時,交換機是進行信息傳遞的重要環(huán)節(jié),因此,用戶可以利用對網絡交換機安全的嚴格保護來保證信息的安全傳輸。除此之外,對所使用的路由器進行嚴格的控制與隔離等方式也可以加強用戶所使用的IP地址的安全。
(2)對信息進行加密。網絡通信中出現的信息安全問題主要包括信息的傳遞以及存儲過程當中的安全問題。在這兩個過程當中,黑客通過竊聽傳輸時的信息、盜取互聯(lián)網用戶的相關資料、對信息進行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網絡通信當中信息的安全做出威脅。互聯(lián)網用戶如果在進行信息傳遞與存儲時,能夠根據具體情況選用合理的方法來對信息進行嚴格的加密處理,那么便可以有效地防治這些信息安全問題的產生。
(3)完善身份驗證系統(tǒng)。身份驗證是互聯(lián)網用戶進行網絡通信的首要步驟。在進行身份驗證時一般都需要同時具備用戶名以及密碼才能完成登錄。在驗證過程當中用戶需要注意的是要盡量將用戶名、密碼分開儲存,可以適當地使用一次性密碼,同時還可以利用安全口令等方法來保證身份驗證的安全。隨著科技的快速發(fā)展,目前一些指紋驗證、視網膜驗證等先進生物檢測方法也慢慢得到了運用,這給網絡通信信息安全提供了極大的保障。
3總結
綜上所述,在互聯(lián)網越來越普及的當今,網絡已經逐步融入到人們的日常生活當中并對人們的工作、生活、學習等產生了巨大的影響。在享受網絡帶給我們的便利之外,對于網絡通信當中的信息安全問題也要加強重視。我們應當根據信息傳輸或存儲當中產生的具體問題來進行具體的分析,并做到對癥下藥,找到最佳的解決對策,從而在保證個人信息安全的同時,維護整個互聯(lián)網乃至整個社會環(huán)境的穩(wěn)定。
作者:楊錦麗 單位:中南大學物理與電子學院
1當前網絡通信信息安全存在的問題
1.1網絡通信結構不合理網絡通信自身結構的不合理是造成當前我國網絡通信信息安全隱患的首要原因。互聯(lián)網通信技術是以網間網技術為主要依托的,用戶需要通過自身固定的IP協(xié)議或TCP協(xié)議在網上注冊賬號,從而在獲得網絡的遠程授權后開展網絡通信。由于網絡結構是樹狀型,用戶在使用網絡通信功能時可能被黑客攻擊從而通過樹狀連接網絡竊取用戶的通信信息。
1.2網絡通信軟件存在安全隱患由于客戶在使用網絡通信軟件時需要通過下載補丁等方式讓軟件能夠符合計算機終端操作系統(tǒng)的要求,而這些被廣泛應用并下載的軟件程序可能由于補丁程序等的引入而成為公開化的信息,這種公開化的軟件信息一旦被不法分子利用則會給人們的網絡通信帶來嚴重影響,這種影響甚至會波及整個計算機網絡系統(tǒng),造成整個網絡的通信安全隱患。
1.3人為的網絡系統(tǒng)攻擊在利益的驅使下,部分不法分子企圖通過不合法的網絡系統(tǒng)攻擊方式對網絡通信進行人為的攻擊從而獲取大量的網絡資源。這些“黑客”的攻擊不僅出現在商業(yè)管理終端等能夠獲取大量經濟利益的領域,甚至還可能出現在個人的計算機中獲取個體用戶的信息,給用戶的信息安全造成重大隱患。應該客觀認識的是,我國網絡通信在人們生活水平不斷提升及通信方式變革的背景下發(fā)展速度一日千里,但是作為保障的信息安全維護工作卻與網絡通信的發(fā)展現狀存在較大差距。再加上網絡通信管理部門對于網絡通信信息安全認識不足、網絡通信管理制度不健全等問題也加劇了網絡通信信息安全隱患,甚至給整個互聯(lián)網通信系統(tǒng)帶來安全隱患,給不法分子以利用的機會。正是基于當前我國網絡通信中信息安全的嚴峻現狀及在這一過程中所出現問題的原因,筆者認為,不斷加強網絡通信技術革新與網絡通信制度建設,充分保障網絡通信信息安全是時展的必然要求。
2保障網絡通信信息安全的途徑
2.1充分保障用戶IP地址由于黑客對用戶網絡通信的侵入與攻擊大都是以獲取用戶IP地址為目的的,因此,充分保障用戶的IP地址安全是保護用戶網絡通信安全的重要途徑。用戶在使用互聯(lián)網時也要特別注意對自身IP地址的保護,通過對網絡交換機的嚴格控制,切斷用戶IP地址通過交換機信息樹狀網絡結構傳遞被透露的路徑;通過對路由器進行有效的隔離控制,經常關注路由器中的訪問地址,對非法訪問進行有效切斷。
2.2完善信息傳遞與儲存的秘密性信息傳遞與信息儲存的兩個過程是當前給網絡通信信息安全造成隱患的兩個主要途徑,在網絡信息的存儲與傳遞過程中,黑客可能會對信息進行監(jiān)聽、盜用、惡意篡改、攔截等活動以達到其不可告人目的的需求。這就要求用戶在使用網絡通信技術時要對網絡信息的傳遞與儲存環(huán)節(jié)盡量進行加密處理,保證密碼的多元化與復雜性能夠有效甚至從根本上解決信息在傳遞與儲存環(huán)節(jié)被黑客攻擊利用的威脅。當前在網絡通信過程中用戶可以選擇自身合適的加密方式對自身的信息進行加密處理,而網絡維護工作者也要根據實際情況加強對信息的加密設置。
2.3完善用戶身份驗證對用戶的身份進行有效的驗證是保障網絡通信信息安全的另一條重要途徑。在進行網絡通信之前對用戶身份進行嚴格驗證,確保是本人操作從而對用戶的私人信息進行充分有效的保護。當前,用戶的身份驗證主要是通過用戶名與密碼的“一對一”配對實現的,只有二者配對成功才能獲得通信權限,這種傳統(tǒng)的驗證方法能夠滿意一般的通信安全需求,但是在網絡通信技術發(fā)展速度不斷加快的背景下,傳統(tǒng)的身份驗證方法需要新的變化,諸如借助安全令牌、指紋檢測、視網膜檢測等具有較高安全性的方法進一步提升網絡通信信息安全水平。此外,在保障網絡通信信息安全的過程中還可以通過完善防火墻設置,增強對數據源及訪問地址惡意更改的監(jiān)測與控制,從源頭上屏蔽來自外部網絡對用戶個人信息的竊取以及對計算機的攻擊。加強對殺毒軟件的學習與使用,定期對電腦進行安全監(jiān)測,從而確保用戶自身的信息安全。
3結語
完善網絡通信技術的安全保障是用戶在開展網絡通信時保護個人信息的必然要求,必須要通過完善對用戶IP地址的保護、完善對用戶信息傳遞與儲存的保護、完善對用戶身份驗證的途徑加強對網絡通信信息安全保障。
作者:劉佳單位:中國鐵通集團有限公司四平分公司
1電子政務中存在的問題
1.1電子政務早在上世紀九十年代開始,就開始流行電子政務。在本世紀初,國務院總理朱镕基在召開國家信息化小組的會議中將電子政務列為了重點建設項目,這是我國電子政務重點建設時期,同時這也確定了電子政務在日常政務的中重要性。在不同領域給電子政務的定義不同,電子政務最廣泛的理解是通過計算機網絡技術,與通訊技術的結合,實現一些機構組織對工作流程的優(yōu)化和重組,這種優(yōu)化和重組跨越了時間空間,甚至是部門的限制。這種運行模式以公正,高效著稱,主要的作用是全方位的向相應的人群提供透明化,優(yōu)質的服務和管理。但是這種運行方式最常見于政府和大型的商業(yè)機構中,對信息安全的要求性要求很高。因為電子政務是一個政府或一個大型商業(yè)機構的優(yōu)秀信息所在之處,也往往因為某些原因,這種實行電子政務的機構很容易受到外界不法人員的攻擊,有的為的是政府的機密,有的為的是商業(yè)機密等,但是不管是出于什么目的,信息是絕對不允許被泄露的。
1.2電子政務中存在的信息安全隱患有人說過安全是相對的,因此是沒有的安全,總會在一些地方存在一些潛在安全問題。在行政中電子政務的應用,安全問題值得注意,在發(fā)現問題后應該及時去解決問題,所以在問題出現前,首先要客觀的去評價電子政務建設的質量問題和技術問題,再就是根據問題所在地來想出相應的應對策略。常見的影響信息安全的因素有以下四類,一是使用者的操作方式不安全,二是在電子政務建設中存在的問題,關于提高電子政務網絡信息安全的探討文/通拉嘎現在是信息高速發(fā)展的時代,網絡信息時代,信息多而雜。在現在的網絡信息中含有大量的木馬等病毒,這是需要上網人員自己去識別,排除的信息安全問題。而且我國也早就開始使用電子政務,這就更需要注意網絡信息安全問題,除了需要好的網站維護的后勤組織,好的病毒防火墻,還需要使用者在操作過程中注意好的安全意識,只有這樣才能盡量的減少電子政務信息的泄露。摘要三是技術層面上的不足,四是相關工作人員的泄露。
2網絡信息安全
良好的網絡環(huán)境是需要很長時間的建設,但是網絡環(huán)境在理論上來說,是沒有絕對的優(yōu)質,只有相對較好,所以在多數時候,基礎干部的網絡工作環(huán)境是并不是很好,這就需要培養(yǎng)基礎干部的信息安全意識。
3電子政務中安全問題的應對策略
3.1安全意識的培養(yǎng)安全意識需要從基礎開始培養(yǎng)的,因此對相關的基層人員進行相應的知識培訓。一般的電子政務的是一個政府機構的官方網站,而且這些網站的后臺都需要登錄域名和密碼,還有就是網站的信息等需要登錄后臺或者是需要用戶名才可以,這些就存在入侵空間了,類似的還有很多,因此要對基層人員培養(yǎng)安全意識,最有用的方法就是向基層人員講解那些方面存在安全隱患,并實時對這些基層進行抽查,避免他們進行危險操作。這些都是簡單的從表面上解決問題,但這并不能根除所有的安全隱患,因此要提高安全性,還要從另外幾個方向上解決根本的問題。
3.2規(guī)范操作方式對安全意識的培養(yǎng),只是在理論上對基層人員進行了一定程度上的培養(yǎng),但是還需要在實際操作上進行培養(yǎng)。這主要包括安全瀏覽,安全登錄,安全。安全瀏覽主要是指日常工作在網頁上的安全使用,要求在使用前進行殺毒處理,檢查是否開啟防火墻,不要在非官網上填寫登錄名等;安全登錄是指在安全的網絡環(huán)境中登錄賬號,主要操作為先檢查網絡環(huán)境是否安全,在進行防火墻設置,最重要的是在登錄賬號之前進行病毒查殺,在進行相關的內容,或信息瀏覽等,在做完所有的事項之后退出賬號。這非常重要的一步,有很多基層人員做好了所有的事,但是最后忘了退出了,就導致賬號信息的泄露,這也是很常見的基礎錯誤,還有一種就是很多人喜歡保存登錄號密碼,這會在別人用你的電腦時,可以很輕松的登錄進入相關頁面,并進行違法操作等。
3.3提高電子政務建設中的技術支持很多時候不是電子政務的建設上的問題,而是后臺的維護技術不足,再遇到病毒時,安全維護工具和防火墻技術不足,導致網站被病毒感染,使不法分子利用,從而獲取民眾的信息,這在一定程度上這也是地方政府的失誤。在防火墻的技術方面的突破,是需要政府進行招聘的高技術人員,進行防火墻技術升級,網站優(yōu)化等技術方面的改善。
3.4加強相關人員的保密工作有的地方政府會把很簡單把電子政務建設的工作簡簡單單的交給一個網絡公司來完成,在這個過程中就會存在很多的問題。因為網站的第一設計者并不是政府人員,這個在一定程度上就存在很大的安全隱患,畢竟網站設計過程存在的bug只有網站設計者最為清楚,如果網站設計者將這個網站的設計腳本泄露了,那么就給了那些不法分子利用的機會,可以通過網站設計的源代碼來找出設計上的bug,借此來來尋找機會攻擊網站,嚴重的會導致所有的信息泄露。因此為了杜絕這些事項的發(fā)生,地方政府在建設網站時,可以將網站設計的任務交給網絡設計公司,但是同時也要和他們簽訂相應的協(xié)議,一是為防止他們泄露網站設計思路和源代碼,二是在防止他們私自登錄網站的后臺。還有就是利用政府的網絡技術人員對網站進行修改,在一定程度上完善網站設計,減少bug,以減少信息泄露的風險。
4結語
信息安全在電子政務應用十分重要,影響信息安全的因素有很多,主要有四類,這四個方面在不同的角度介紹了影響信息安全的因素,但是在一定程度上尋找相應的措施,可以有效的提高信息安全性。雖然只是在分析影響信息安全的因素,但是這卻在根本上是在介紹如何去提高信息的安全性。提高信息安全意識和信息保護意識,是在根本上提高電子政務網絡信息安全。
作者:通拉嘎單位:內蒙古興安盟科右前旗烏蘭毛都蘇木
作者:謝樂天劉利成單位:巢湖供電公司
由于EPON系統(tǒng)包含三層路由設備,可以天然隔離廣播風暴和ARP攻擊,即使發(fā)生異常,也可以把負面影響控制在其相應的VLAN區(qū)域內,避免對整網產生影響。所以,從后續(xù)實際運行維護的角度考慮,用戶用電信息采集系統(tǒng)采用分布式三層架構比較合適。
網絡物理規(guī)劃。巢湖供電公司電力用戶用電信息采集系統(tǒng)的通信方式,對公用配變用戶信息的采集,采集主站到集中器使用光纖通信,集中器到采集器采用電力線載波通信的方式。對專用配變用戶信息的采集,采集主站到專變采集終端采用的光纖通信的方式。根據巢湖市配網的結構和城市道路的走向,電力用戶用電信息采集系統(tǒng)現期的光纖網絡分為三個主環(huán),然后采用分支到集中器和專變采集終端的方式。由于采集系統(tǒng)主站到采集終端是點到多點結構,故采用無源光纖以太網,簡稱EPON,網絡的拓撲圖如圖一。EPON網絡的主要優(yōu)點是點到多點結構,且光纖的分支點使用的光分配器ODN是無源的,不需要電源,施工方便,運行安全可靠。由于只在集中器和專變采集終端設置IP地址,采集器不設置IP地址。巢湖電網集中器和專變采集終端數量按1萬臺考慮,網絡按中規(guī)模網絡進行規(guī)劃。三個環(huán)網的局端設備OLT設備通過光纖網絡匯聚到一臺H3CS-7502的光交換機上之后,再通過綜合數據網NE40的VPN通道,接入省電力公司的電力用戶用電信息采集系統(tǒng)主站。
網絡物理保護。由于EPON網絡不支持環(huán)網結構,為對采集系統(tǒng)網絡進行保護,我們采用雙局端設備OLT,光纖用“手拉手”方式進入用戶端設備ONU。ONU配備一主一備雙光口,當光纖故障造成主光口無信號時,設備自動啟用備用光口,ONU與采集設備采用雙絞線連接。由于只在采集終端配置IP地址,ONU不需配置IP地址,故ONU在主、備光口切換時不需要重新配置IP地址,從而實現了信道的自動切換。“手拉手”的兩根芯可以使用同一根光纖以節(jié)省投資,網絡保護結構如圖二。二、電力用戶用電信息采集系統(tǒng)網絡邏輯安全措施用電信息采集系統(tǒng)的邏輯安全采取四項措施。措施一為終端認證,ONU通過對集中器進行MAC認證以及IP對MAC綁定,實現對終端的安全識別,同時限制用戶接入的速率,避免對上層網絡和系統(tǒng)的流量沖擊。
此外OLT還可以對ONU進行接入的安全認證,避免非法ONU的接入。措施二為ONU與采集終端的隔離。網絡的IP地址只設置在采集終端上,ONU統(tǒng)一不設置IP地址,ONU采用廠家提供的網管系統(tǒng)管理,使用非IP協(xié)議,避免遭受IP類網絡攻擊。措施三為安全檢測與防御。在OLT設備處部署業(yè)務識別系統(tǒng),對終端業(yè)務的合法性進行實時檢查,一旦發(fā)現非法操作或入侵操作立刻告警甚至切斷該業(yè)務。為了方便管理和維護,應及時對業(yè)務特征庫進行集中更新。措施四為業(yè)務隔離,通過ONUUNI的端口隔離、OLT的PON端口隔離和網關的網段隔離,實現各終端間的業(yè)務隔離,避免相互干擾和控制;同時ONU與OLT之間采用加密方式進行通信,確保信息傳輸的安全性。通過以上四項措施的實施,確保了合法終端和合法業(yè)務的接入,有效避免黑客對用電信息采集系統(tǒng)和周邊系統(tǒng)的入侵,確保用電信息采集系統(tǒng)網絡安全。
目前,巢湖電網電力用戶用電信息采集系統(tǒng)光纖網絡建設已經按上述規(guī)劃完成,投入運行后的網絡數據通信穩(wěn)定,安全性能符合要求。根據采集系統(tǒng)運行情況統(tǒng)計,系統(tǒng)的一次采集成功率達到99.2%,周期采集成功率達到100%,未發(fā)現系統(tǒng)被入侵的現象。故網絡規(guī)劃是安全的,可供其它單位在系統(tǒng)網絡建設時作為參考。
1加強網絡信息安全工作的對策
1.1提高對網絡信息安全的重視度
首先,維護網絡信息安全是需要所有使用網絡信息技術的人員共同承擔的責任。網絡信息安全得到了保障,才能夠使存儲的信息不被破壞,減少日常工作與生活中出現不必要的麻煩。其次,提高對網絡信息安全的重視度是國家經濟建設的重要內容。在一些國家直屬機關,做好國家機密信息的保護是減少敵對勢力入侵的前提,更是維護國家尊嚴的體現。
1.1.1開展必要的保密教育工作相關部門要針對上述出現的信息泄露等問題定期對人員進行培訓教育,不斷提高人員的保密安全觀念與意識,使其具有保密自覺性。還要定期開展科學性強、有教育意義的宣傳活動,對國內典型的信息外泄事件進行分析,結合具體的信息安全保密方法,提高人們對網絡信息安全的關注度。
1.1.2不斷對技術進行研究與開發(fā)隨著現代科技的飛速發(fā)展,應用在網絡信息安全保障中的技術要能夠不斷進行更新,借助現代化手段對網絡安全技術進行改進與創(chuàng)新。要將研究出來網絡信息安全技術應用到網絡系統(tǒng)中,使其從形式轉變?yōu)榉椒ǎ嬲l(fā)揮其在整個網絡系統(tǒng)中的重要作用。
1.2網絡安全保障措施
1.2.1采用先進技術支持網絡安全關系到每一個單位的發(fā)展與經營,為此,要在技術上做好監(jiān)管,其網絡性能要從內置軟件到傳輸硬件等多個方面進行加強,運用先進的技術手段落實各項操作。通常來說,防火墻技術加密處理是最常見的應用方法,能夠為整個系統(tǒng)網絡提供必要的技術支持。
1.2.2保障系統(tǒng)穩(wěn)定運行要能夠從多個角度分析網絡安全,必要時對系統(tǒng)穩(wěn)定性進行檢測,對整個網絡系統(tǒng)進行維護與創(chuàng)新,確保整個網絡系統(tǒng)各項程序能夠安全運行。還要對系統(tǒng)冗余進行防護,在分析多個角度的運行安全效果以后,提高網絡安全運用水平。做好防火墻的技術加密處理,從而為系統(tǒng)提供一個安全、穩(wěn)定的平臺。
1.2.3重視外部網絡可靠性外部網絡能夠為企業(yè)提供必要、穩(wěn)定的系統(tǒng)支持,這個方面的安全問題是不容小覷的,無論是外部還是內部都能夠體現出外網的時效性與穩(wěn)定性。為此,要能夠適當的將外網的故障降到最低,并要提供連續(xù)性的服務。
1.2.4重視開放性監(jiān)督一般來說,網絡安全系統(tǒng)的開放程度非常強,正是因為這種開放性,在網絡中加強對其的監(jiān)督非常有必要,在數據傳輸中,其安全性也能夠有效體現出來。
1.3系統(tǒng)硬件及軟件上的保障對策
計算機一般都是以CPU為主進行設置的,其設置標準是33位。為此,其服務器具有非常強的穩(wěn)定性,隨著科技進步,當前的CPU已經擴充到了65位,其有效處理器最高能夠達到百分之七十,如果內存增大,內部配置量也會隨之增加。由此,借助硬件設備的改進提高網絡安全性能是非常有效的。軟件技術對網絡信息安全也有非常重要的保障作用,因為硬件系統(tǒng)在可靠性與安全性上有非常強大的處理功能,能夠為軟件性能創(chuàng)造足夠的空間。比如,可以將槽位進行擴充,這樣能夠使計算機的信息存儲能力增強,還可以在網絡系統(tǒng)的外部增添一些功能全面的輔助設備,這些軟硬件設備共同運行更能夠保障系統(tǒng)安全運行。此外,在信息安全保障方面,還要做好日常保密管理工作,要對網站進行定期維護檢測,定期對存在的系統(tǒng)垃圾進行刪除,使系統(tǒng)的運行能夠更加輕松,更有效的防止病毒入侵。
2結語
在此主要對網絡信息安全技術保障面臨的挑戰(zhàn)進行了分析,并針對網絡信息安全技術發(fā)展存在的問題提出了幾點技術保障對策。并指出,要想使網絡信息安全得到技術上的保障,首先要提高人們對網絡信息安全的重視度,在軟件及硬件方面做好技術研發(fā),依靠先進的技術與規(guī)范的制度保障網絡信息安全。
作者:李飛 單位:中國原子能科學研究院
1計算機網絡信息安全及其現狀
1.1來自惡意程序的威脅
該類程序主要有計算機病毒、木馬,通過網絡及可移動介質進行傳播.由于網絡應用的普及,社區(qū)軟件應用的流行為其傳播提供了有效的途徑,人們在接收有效信息的同時也可能接收到惡意程序而被“掛馬”或感染病毒,導致計算機中的信息遭到破壞或被竊取.人為點擊錯誤的鏈接導致打開下載未知的惡意程序也是遭受信息欺詐的形式之一.木馬(Trojan),也被稱為木馬病毒,是指通過特定的程序(木馬程序)來控制另一臺計算機.其通常有兩個可執(zhí)行程序:控制端與被控制端.木馬這個名字來源于古希臘傳說(荷馬史詩中木馬計的故事,Trojan一詞的特洛伊木馬本意是特洛伊的,即代指特洛伊木馬,也就是木馬計的故事)“.木馬”程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也并不“刻意”地去感染其他文件,它通過將自身偽裝吸引用戶下載執(zhí)行,向施種木馬者提供打開被種主機的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種主機.木馬病毒的產生嚴重危害著現代網絡的安全運行.常見的木馬程序有:網游木馬、網銀木馬、下載類、類、FTP木馬、通訊軟件類、網頁點擊類等.計算機木馬程序雖然沒有病毒程序那樣的傳染能力,但是其破壞性非常大,對個人信息、隱私,對國家安全、機密的威脅都非常大.計算機病毒是人為編制的具有破壞作用的計算機程序.任何程序和病毒都一樣,不可能十全十美,所以一些人還在修改以前的病毒,使其功能更完善,病毒在不斷的演化,使殺毒軟件更難檢測.現在操作系統(tǒng)很多,因此,病毒也瞄準了很多其它平臺,不再僅僅局限于MicrosoftWindows平臺了.一些新病毒變得越來越隱蔽,同時新型電腦病毒也越來越多,更多的病毒采用復雜的密碼技術,在感染宿主程序時,病毒用隨機的算法對病毒程序加密,然后放入宿主程序中,由于隨機數算法的結果多達天文數字,所以,放入宿主程序中的病毒程序每次都不相同.這樣,同一種病毒,具有多種形態(tài),每一次感染,病毒的面貌都不相同,猶如一個人能夠“變臉”一樣,檢測和殺除這種病毒非常困難.同時,制造病毒和查殺病毒永遠是一對矛盾,既然殺毒軟件是殺病毒的,而就有人卻在搞專門破壞殺病毒軟件的病毒,一是可以避過殺病毒軟件,二是可以修改殺病毒軟件,使其殺毒功能改變.病毒的傳播性極強,而且有多重傳播介質,對于用戶的個人信息和企業(yè)的機密信息都是一個較大的威脅,無論是木馬還是病毒程序,都需要進行有針對性的研究,并且及時采取應對措施,保證計算機網絡信息安全.
1.2駭客(Cracker)與黑客(Hacker)攻擊行為
駭客指那些利用現有程序進行計算機系統(tǒng)入侵,專門進行破壞計算機或影響計算機安全的人.他們未必具有高超的技術,而是利用自己的技術進行網絡犯罪.黑客是指在計算機界中那些“用巧妙的方式解決問題的人”,他們熱衷于挑戰(zhàn),崇尚自由并主張信息共享.網絡信息安全技術與黑客攻擊技術都源于同一技術優(yōu)秀(網絡協(xié)議和底層編程技術),所不同的是如何使用這些技術.其主要的威脅有兩種,一種是對網絡信息的,另一種是對網絡設備的.黑客的攻擊原理通常是,第一步收集網絡系統(tǒng)中的信息,第二步檢測出目標網絡存在的安全漏洞,第三步建立一個虛擬的環(huán)境,進行模擬攻擊,最后進行實際的網絡攻擊.黑客攻擊大體有兩種,一種是誘騙式的攻擊方法,這種方式黑客通過交流軟件(QQ,MSN,OISQ等)、電子郵件、網頁信息、軟件下載等來進行病毒和木馬的傳播,通常這種方法較為被動,但是傳播速度較快.另一種是頂點式攻擊方法,這種攻擊方法的使用者大多數以獲取攻擊對象機密信息或者資料為目的,需采集服務端口、IP地址等信息;然后得知漏洞并利用其攻擊口令文件實施破解以得到對被攻擊對象的控制權限;第三植入后門程序;第四步訪問其它主機獲取文件等信息.從黑客的攻擊方式和原理中我們不難看出,這些黑客對個人、企業(yè)甚至國家計算機的攻擊都可能會造成較大的損失,對整個計算機網絡信息安全也是一個重要的威脅,對這種行為進行防治我們要從計算機網絡和軟件開發(fā)等方面入手,使計算機網絡自身的漏洞盡量減少,一旦發(fā)現漏洞及時進行補丁的研究.
1.3人為無意失誤與各種誤操作或計算網絡系統(tǒng)故障
網絡中大量盜鏈與釣魚軟件的存在使得缺乏操作知識與安全意識的人,很容易點擊錯誤的鏈接,下載并打開安裝了未知程序致使計算機中毒、被掛本馬或是在網上交流過程中受騙,毫無防范意識地將信息提供給他人,這些都是造成信息丟失或信息受侵的原因.而且計算機網絡本身已不是一個非常穩(wěn)定、可靠的系統(tǒng),無論是由于目前的技術缺陷還是設備問題,都是導致計算機網絡自身穩(wěn)定性和可靠性存在不足的原因,但是計算機用戶可以說是一個較為穩(wěn)定并且在逐漸擴大的群體,用戶需要一個穩(wěn)定、安全的網絡環(huán)境使自己的信息安全受到保護,這就與計算機網絡系統(tǒng)的現狀產生了沖突.一旦計算機網絡系統(tǒng)產生故障或者工作過程中產生波動,很可能導致用戶和系統(tǒng)信息丟失或者泄露,而且計算機網絡系統(tǒng)的基礎是ip協(xié)議,協(xié)議的自身運行會增加許多代碼和程序的應用,而這些代碼和程序的本身就存在一些漏洞,存在安全問題.另一方面,計算機網絡系統(tǒng)硬件故障、自然災害及人為對通信線路與設施進行破壞與竊聽都會給信息安全造成威脅.
2計算機網絡信息安全防護策略
2.1增強對木馬、病毒的檢測和防御
首先,安裝反病毒程序、防火墻并開啟實時防護與檢測,以直觀的方式對已知病毒木馬進行查殺,對未知病毒進行隔離,做到實時防范與定期查檢.通過防火墻有效對內網與外網信息進行隔離過濾,對外封鎖或隱藏掉內網信息,屏蔽掉大量的有害外網應用保障內網信息不受威脅.使防范具有主動性與前瞻性.其次,對系統(tǒng)進行及時的軟硬件的升級與漏洞修復.開啟軟件的定期自動更新功能與安裝新軟件后的漏洞即時檢測功能,將系統(tǒng)修復自動化,減少病毒偵查漏洞入侵系統(tǒng)的機會,預防用戶信息與數據免遭篡改攻擊或破壞.對操作系統(tǒng)也要及時更新修補漏洞,打補丁是修復漏洞的有效方法.最后,增強法律、法規(guī)意識,通過正確途徑獲得正版軟件與有效真實信息.很多用戶由于對某一軟件的急切需求,導致軟件來源不明,又無法斷定軟件的安全性就貿然安裝使用致使軟件中惡意攜帶的有害程序被植入本地計算機系統(tǒng).因此不非法拷貝與使用來源不明的軟件,是有效防預的措施之一.
2.2規(guī)范上網行為,養(yǎng)成良好的上網習慣
網上信息良莠不一,真實與虛假并存,通過注冊套取登記用戶個人信息的行為大量存在.因此上網應提高警覺性、訪問官方有保障的網站獲取有效資訊.拒絕訪問有害信息與網站,完善用戶信息保密手段、提高程序自身數據的安全性.更新完善網絡設備、選擇有保障的廠商產品并及時升級網絡硬件是構建網路的基礎設備,一旦路由與交換等優(yōu)秀設備遭受入侵,就會有效截獲網絡中的所有信息.因此對計算機網絡系統(tǒng)硬件也要不斷進行更新和維護,減少硬件自身漏洞的出現,不給一些非法分子以可乘之機.設備的選購盡量采用國產且擁有自主知識產權的大廠商設備.而且要進一步完善某些涉及到設備賬號、密碼的登陸程序,通過加強秘鑰使用方法和驗證等形式保障合法用戶登錄使用。
作者:陳斌 單位:遼寧師范大學鐵嶺分校區(qū)
1.計算機網絡的信息安全防護策略
1.1網絡安全管理防范策略
法律和管理制度是維護網絡安全的最強有力的保障。建立完善的法律制度,頒布與保護計算機網絡信息安全相關的法律法規(guī)可以為打擊各種網絡犯罪提供有力的武器。而有效的管理是將法律訴諸于實際的手段,通過建立完善的計算機網絡信息安全的管理制度,制定相關的規(guī)章要求,對計算機使用人員、系統(tǒng)軟件、設備以及信息、介質等進行制度化的管理,將網絡行為規(guī)范化,將對營造網絡安全環(huán)境,保障網絡的安全運行起著至關重要的作用。在進行網絡安全管理時,應該任期有限原則、最小權限原則、職責分離原則和多人負責制原則。具體的講,需要建立的管理制度包括安全漏洞檢測升級制度;信息登記、審查、清除、保存和備份制度;操作權限管理制度;安全責任制度;通報聯(lián)系制度;計算機機房和設備安全管理制度;用戶登記制度;網絡地址管理制度以及應急措施和預案、保密制度等。除了在法律與管理制度層面進行安全防范之外,還很有必要對計算機的使用人員進行宣傳教育,讓他們了解并掌握具體的修復網絡安全漏洞,規(guī)避安全風險的技能,并努力使新型安全技術得到應用和普及。另外要加強對計算機使用者在職業(yè)道德修養(yǎng)方面的教育,規(guī)范他們的職業(yè)行為,鼓勵他們積極勇敢的同利用計算機網絡進行破壞行為的犯罪行為作斗爭。
1.2網絡安全技術防護策略
1.2.1安裝殺毒軟件和主機防火墻殺毒軟件最初主要是對計算機病毒進行查殺,隨著殺毒軟件技術的更新與升級,如今的殺毒軟件還可以對特洛伊木馬和其他一些惡意程序進行預防。在正式開始使用計算機前,需要對其進行殺毒軟件的安裝,通過殺毒軟件對計算機的安全漏洞進行檢測、對存在的病毒進行掃描與清除,另外還有定期的及時對殺毒軟件自身進行更新和升級,以便能夠更早的發(fā)現問題,將安全隱患消滅在起始位置。而防火墻相當于一個過濾系統(tǒng),像一堵墻一樣可以將網絡安全攻擊阻擋在安全范圍之外。它可以對進出網絡的信息流向進行控制,還可以為網絡提供一部分使用細節(jié)。在網路通訊過程中,防火墻會指向訪問控制尺度,可以通過的只有被防火墻同意訪問的數據或人,而那些帶有攻擊破壞性質的數據或人就會被拒絕通過。在計算機中安裝防火墻,可以在一定程度上降低由于網絡黑客或其他攻擊者的惡意來訪而造成的信息泄露、更改或刪除等風險的發(fā)生概率,并且還能利用防火墻對內網的不良行為進行屏蔽和過濾,可以使網絡環(huán)境得到凈化,保障網路信息的正常運行。
1.2.2隱藏IP地址如果IP地址泄露被黑客掌握的話,那么他們常常將攻擊的目標定位在IP地址上,展開對這個IP的惡意攻擊,例如Floop溢出攻擊和DoS攻擊,就是在黑客們通過對網絡探測技術尋求到主機的IP地址之后展開的惡性攻擊。因此將IP地址隱藏是規(guī)避安全風險,防止黑客入侵的一個重要舉措。隱藏IP地址最有效的做法是使用服務器,因為計算機用戶使用服務器的話,即使黑客利用網絡探測技術來探測主機的IP地址,他們探測到的也只是服務器的IP地址,對于用戶真正的IP地址是探測不到的,這樣一來就可以很有效的防止黑客的攻擊,保障用戶的上網安全。
1.2.3防止黑客入侵黑客的攻擊活動不僅僅只是對用戶的IP地址進行入侵,他們的攻擊活動幾乎無處不在,為防止網絡黑客的惡意入侵還需要做好一下幾點防范措施。第一,不要隨意對陌生郵件進行回復。有些網絡黑客會通過釣魚網站冒充別人的身份向計算機使用者發(fā)送一些看上去很正規(guī)的郵件,在郵件中會常常會要求用戶填寫用戶名、密碼等個人信息。由于有些計算機用戶自身的網路安全意識較為淡薄,對郵件發(fā)出者的身份深信不疑就會將個人信息輸入到郵件之中并進行回復,這樣一來網絡黑客就可以隨意進入這些計算機使用者的郵箱開展破壞性活動,因此對于陌生的郵件不要輕信和回復。第二,黑客入侵的另一個常用手段就是利用字典攻擊技術獲取Administrator帳戶的密碼,因此計算機用戶要注意將Administrator帳戶進行重新配置,可以選擇比較復雜的密碼對Administrator帳戶進行密碼保護,并且進行重命名,之后再創(chuàng)建一個新的普通權限的Administrator帳戶用來迷惑網絡黑客。這樣一來,網路黑客同樣不能確定哪個才是真正的擁有管理員權限的Administrator帳戶,從而減少他們的侵入破壞。
2.小結
計算機網絡已經成為如今人們生活、學習、工作中十分重要的組成部分,發(fā)揮著舉足輕重的作用,但是其自身存在的安全隱患會對人們甚至整個社會帶來較大的破壞,維護干凈安全的網絡環(huán)境是每個計算機工作者共同努力的方向。針對計算機網絡存在的信息安全問題進行全面具體的了解,制定切實有效的防范策略則是提高網絡信息安全性的關鍵所在。
作者:邱川 單位:廈門特力通信心技術有限公司
一、信息異化、信息安全與可信網絡的概念
目前,對信息異化概念有不同的說法,多是處于人的視角,認為信息異化是人類創(chuàng)造了信息,信息在生產、傳播和利用等活動過程中有各種的阻礙,使得信息喪失其初衷,反客為主演變成外在的異化力量,反過來支配、統(tǒng)治和控制人的力量。其意針對的是人們創(chuàng)造的那部分信息,研究的是信息所擁有的社會屬性,說到底是研究人造成的異化問題,只是使用了限定詞的一個信息而已,疑似把“信息異化”當作“信息過程中人的異化”同一個歸類。這樣,使得異化的被動內涵被隱藏起來,結果造就了“信息對人的異化”方面的研究,疏忽對信息自然屬性及“信息被異化”的研究,最后使信息異化研究具有片面性。筆者最后選擇一個信息異化概念。“信息異化”是指信息在實踐活動(包括信息的生產、制造,傳播及接收等)過程中,在信息不自由的狀態(tài)下變?yōu)楫愒谟谄浔菊婊顒咏Y果的現象。關于信息安全,部分專家對信息安全的定義為:“一個國家的社會信息化狀態(tài)不受外來的威脅與侵害;一個國家的信息技術體系不受外來的威脅與侵害。”這個定義,包含現有對信息安全的先進認識,又包含了更加廣泛的信息安全領域,是目前較為全面且被認可的定義。信息安全本身包括的范圍極大,其中包括如何防范企業(yè)商機泄露、防范未成年人對不良信息的瀏覽、個人信息的泄露損失等。所以網絡信息安全體系的建立是保證信息安全的重要關鍵,其中包含計算機安全操作系統(tǒng)、各種的安全協(xié)議、安全機制(數字簽名、消息認證、數據加密等),直至安全系統(tǒng),只要一環(huán)出現漏洞便會產生危險危害。如今,網絡安全技術雜亂零散且繁多,實現成本相應增加,對網絡性能的影響逐漸增大。其復雜性使得它的臃腫的弊端慢慢顯現出來,業(yè)界需要相應的創(chuàng)新的理念和戰(zhàn)略去解決網絡安全問題以及它的性能問題,在這種背景下可信網絡開始出現在世人的眼中。現在大眾可信網絡有不同理解與觀點,有的認為可信應該以認證為基礎,有的認為是以現有安全技術的整合為基石;有的認為是網絡的內容可信化,有的認為可信是網絡是基于自身的可信,有的認為是網絡上提供服務的可信等,雖說眾說紛紜,但其目的是一致的:提升網絡以及服務的安全性,使人類在信息社會中受益。可信網絡可提升并改進網絡的性能,減少因為不信任帶來的監(jiān)視、不信任等系統(tǒng)的成本,提高系統(tǒng)的整體性能。
二、可信網絡國內外研究
(一)可信網絡國外研究
在可信網絡的研究中,Clark等學者在NewArch項目的研究中提出了“信任調節(jié)透明性”(trust-modulatedtransparency)原則,他們期望在現實社會的互相信任關系能夠反映在網絡上。基于雙方用戶的信任需求,網絡可以提供一定范圍的服務,如果雙方彼此完全信任,則他們的交流將是透明化、沒有約束的,如果不是則需要被檢查甚至是被約束。美國高級研究計劃局出的CHAT(compostablehigh-Assurancetrustworthysystems)項目研究了在指定條件下運行如何開發(fā)出可快速配置的高可信系統(tǒng)及網絡來滿足關鍵的需求,其中包含了安全性、可生存性、可靠性、性能和其他相關因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)項目研究了以策略為中心的入校檢測模型,他們利用模型去提高網絡系統(tǒng)的可信性。但因為網絡有著復雜基于信息異化下的信息安全中可信網絡分析研究柳世豫,郭東強摘要:互聯(lián)網逐漸成為我們生活中不可或缺的同時,其弊端也開始出現。未來網絡應該是可信的,這一觀點已成為業(yè)界共性的特點,如何構建可信網絡是需要研究的。因此TCG先進行較為簡單的可信網絡連接問題。它將可信計算機制延伸到網絡的技術,在終端連入網絡前,開始進行用戶的身份認證;若用戶認證通過,再進行終端平臺的身份認證;若終端平臺的身份認證也通過,最后進行終端平臺的可信狀態(tài)度量,若度量結果滿足網絡連入的安全策略,將允許終端連入網絡,失敗則將終端連入相應隔離區(qū)域,對它進行安全性補丁和升級。TNC是網絡接入控制的一種實現方式,是相對主動的一種網絡防御技術,它能夠防御大部分的潛在攻擊并且在他們攻擊前就進行防御。2004年5月TCG成立了可信網絡連接分組(trustednetworkconnectionsubgroup),主要負責研究及制定可信網絡連接TNC(trustednetworkconnection)框架及相關的標準。2009年5月,TNC了TNC1.4版本的架構規(guī)范,實現以TNC架構為優(yōu)秀、多種組件之間交互接口為支撐的規(guī)范體系結構,實現了與Microsoft的網絡訪問保護(networkaccessprotection,NAP)之間的互操作,他們將相關規(guī)范起草到互聯(lián)網工程任務組(internationalengineertaskforce,IETF)的網絡訪問控制(networkaccesscontrol,NAC)規(guī)范中。如今已有許多企業(yè)的產品使用TNC體系結構,如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。
(二)可信網絡國內研究
我國也有學者進行了可信網絡的研究。林闖等進行了可信網絡概念研究以及建立相關模型,提出網絡可信屬性的定量計算方法。期望基于網絡體系結構自身來改善信息安全的方式來解決網絡脆弱性問題,通過保護網絡信息中的完整性、可用性、秘密性和真實性來保護網絡的安全性、可控性以及可生存性。利用在網絡體系結構中的信任機制集成,使安全機制增強,在架構上對可信網絡提出了相關設計原則。閔應驊認為能夠提供可信服務的網絡是可信網絡,并且服務是可信賴和可驗證的。這里的可信性包括健壯性、安全性、可維護性、可靠性、可測試性與可用性等。TNC進行設計過程中需要考慮架構的安全性,同時也要考慮其兼容性,在一定程度上配合現有技術,因此TNC在優(yōu)點以外也有著局限性。TNC的突出優(yōu)點是安全性和開放性。TNC架構是針對互操作的,向公眾開放所有規(guī)范,用戶能夠無償獲得規(guī)范文檔。此外,它使用了很多現有的標準規(guī)范,如EAP、802.1X等,使得TNC可以適應不同環(huán)境的需要,它沒有與某個具體的產品進行綁定。TNC與NAC架構、NAP架構的互操作也說明了該架構的開放性。NC的擴展是傳統(tǒng)網絡接入控制技術用戶身份認證的基礎上增加的平臺身份認證以及完整性驗證。這使得連入網絡的終端需要更高的要求,但同時提升了提供接入的網絡安全性。雖然TNC具有上述的優(yōu)點,但是它也有一定的局限性:
1.完整性的部分局限。TNC是以完整性為基礎面對終端的可信驗證。但這種可信驗證只能保證軟件的靜態(tài)可信,動態(tài)可信的內容還處于研究中。因此TNC接入終端的可信還處于未完善的階段。
2.可信評估的單向性。TNC的初衷是確保網絡安全,在保護終端的安全上缺乏考慮。終端在接入網絡之前,在提供自身的平臺可信性證據的基礎上,還需要對接入的網絡進行可信性評估,否則不能確保從網絡中獲取的服務可信。
3.網絡接入后的安全保護。TNC只在終端接入網絡的過程中對終端進行了平臺認證與完整性驗證,在終端接入網絡之后就不再對網絡和終端進行保護。終端平臺有可能在接入之后發(fā)生意外的轉變,因此需要構建并加強接入后的控制機制。在TNC1.3架構中增加了安全信息動態(tài)共享,在一定程度上增強了動態(tài)控制功能。
4.安全協(xié)議支持。TNC架構中,多個實體需要進行信息交互,如TNCS與TNCC、TNCC與IMC、IMV與TNCS、IMC與IMV,都需要進行繁多的信息交互,但TNC架構并沒有給出相對應的安全協(xié)議。
5.范圍的局限性。TNC應用目前局限在企業(yè)內部網絡,難以提供多層次、分布式、電信級、跨網絡域的網絡訪問控制架構。在TNC1.4架構中增加了對跨網絡域認證的支持,以及對無TNC客戶端場景的支持,在一定程度上改善了應用的局限性。我國學者在研究分析TNC的優(yōu)缺點的同時結合中國的實際情況,對TNC進行了一些改進,形成了中國的可信網絡連接架構。我國的可信網絡架構使用了集中管理、對等、三元、二層的結構模式。策略管理器作為可信的第三方,它可以集中管理訪問請求者和訪問控制器,網絡訪問控制層和可信平臺評估層執(zhí)行以策略管理器為基礎的可信第三方的三元對等鑒別協(xié)議,實現訪問請求者和訪問控制器之間的雙向用戶身份認證和雙向平臺可信性評估。該架構采用國家自主知識產權的鑒別協(xié)議,將訪問控制器以及訪問請求者作為對等實體,通過策可信第三方的略管理器,簡化了身份管理、策略管理和證書管理機制,同時進行終端與網絡的雙向認證,提供了一種新思路。在國家“863”計劃項目的支持下,取得了如下成果:
(1)在對TNC在網絡訪問控制機制方面的局限性進行研究分析后,同時考慮可信網絡連接的基本要求,提出了一種融合網絡訪問控制機制、系統(tǒng)訪問控制機制和網絡安全機制的統(tǒng)一網絡訪問控制LTNAC模型,對BLP模型進行動態(tài)可信性擴展,建立了TE-BLP模型,期望把可信度與統(tǒng)一網絡訪問控制模型結合起來。
(2)通過研究獲得了一個完整的可信網絡連接原型系統(tǒng)。該系統(tǒng)支持多樣認證方式和基于完整性挑戰(zhàn)與完整性驗證協(xié)議的遠程證明,來實現系統(tǒng)平臺間雙向證明和以遠程證明為基礎的完整性度量器和驗證器,最后完成可信網絡連接的整體流程。
三、可信網絡模型分析
(一)網絡與用戶行為的可信模型
可信是在傳統(tǒng)網絡安全的基礎上的拓展:安全是外在的表現形式,可信則是進行行為過程分析所得到的可度量的一種屬性。如何構建高效分析刻畫網絡和用戶行為的可信模型是理解和研究可信網絡的關鍵。這是目前網絡安全研究領域的一個新共識。構建網絡和用戶的可信模型的重要性體現于:它只準確而抽象地說明了系統(tǒng)的可信需求卻不涉及到其他相關實現細節(jié),這使得我們能通過數學模型分析方法去發(fā)現系統(tǒng)在安全上的漏洞。可信模型同時也是系統(tǒng)進行研發(fā)的關鍵步驟,在美國國防部的“可信計算機系統(tǒng)的評價標準(TCSEC)”中,從B級階段就需要對全模型進行形式化描述和驗證,以及形式化的隱通道分析等。我們還需要可信模型的形式化描述、驗證和利用能夠提高網絡系統(tǒng)安全的可信度。最后,構建理論來說明網絡的脆弱性評估和用戶遭受攻擊行為描述等的可信評估,這是實現系統(tǒng)可信監(jiān)測、預測和干預的前提,是可信網絡研究的理論所有基礎。完全安全的網絡系統(tǒng)目前還無法實現,因此網絡脆弱性評估的最終目的不是完全消除脆弱性,而是找到一個解決方案,讓系統(tǒng)管理員在“提供服務”和“保證安全”之間找到平衡,主動檢測在攻擊發(fā)生之前,如建立攻擊行為的設定描述,通過在用戶中區(qū)分隱藏的威脅,以可信評估為基礎上進行主機的接入控制。傳統(tǒng)檢測多為以規(guī)則為基礎的局部檢測,它很難進行整體檢測。但我們現有的脆弱性評估工具卻絕大多數都是傳統(tǒng)基于規(guī)則的檢測工具,頂多對單一的主機的多種服務進行簡陋的檢查,對多終端構建的網絡進行有效評估還只能依靠大量人力。以模型為基礎的模式為整個系統(tǒng)建立一個模型,通過模型可取得系統(tǒng)所有可能發(fā)生的行為和狀態(tài),利用模型分析工具測試,對整個系統(tǒng)的可信性評估。圖2說明了可信性分析的元素。網絡行為的信任評估包括行為和身份的信任,而行為可信又建立在防護能力、信任推薦、行為記錄、服務能力等基礎之上。
(二)可信網絡的體系結構
互聯(lián)網因技術和理論的不足在建立時無法考量其安全周全,這是網絡脆弱性的一個重要產生因素。但是如今很多網絡安全設計卻常常忽略網絡體系的優(yōu)秀內容,大多是單一的防御、單一的信息安全和補丁補充機制,遵從“堵漏洞、作高墻、防外攻”的建設樣式,通過共享信息資源為中心把非法侵入者拒之門外,被動的達到防止外部攻擊的目的。在黑客技術日漸復雜多元的情況下,冗長的單一防御技術讓系統(tǒng)規(guī)模龐大,卻降低了網絡性能,甚至破壞了系統(tǒng)設計的開放性、簡單性的原則。因此這些被動防御的網絡安全是不可信的,所以從結構設計的角度減少系統(tǒng)脆弱性且提供系統(tǒng)的安全服務特別重要。盡管在開放式系統(tǒng)互連參考模型的擴展部分增加了有關安全體系結構的描述,但那只是不完善的概念性框架。網絡安全不再只是信息的可用性、機密性和完整性,服務的安全作為一個整體屬性被用戶所需求,因此研究人員在重新設計網絡體系時需考慮從整合多種安全技術并使其在多個層面上相互協(xié)同運作。傳統(tǒng)的補丁而補充到網絡系統(tǒng)上的安全機制已經因為單個安全技術或者安全產品的功能和性能使得它有著極大地局限性,它只能滿足單一的需求而不是整體需求,這使得安全系統(tǒng)無法防御多種類的不同攻擊,嚴重威脅這些防御設施功效的發(fā)揮。如入侵檢測不能對抗電腦病毒,防火墻對術馬攻擊也無法防范。因為如此,網絡安全研究的方向開始從被動防御轉向了主動防御,不再只是對信息外圍的非法封堵,更需要從訪問源端就進行安全分析,盡量將不信任的訪問操作控制在源端達到攻擊前的防范。因此我們非常需要為網絡提供可信的體系結構,從被動轉向主動,單一轉向整體。可信網絡結構研究必須充分認識到網絡的復雜異構性,從系統(tǒng)的角度確保安全服務的一致性。新體系結構如圖3所示,監(jiān)控信息(分發(fā)和監(jiān)測)以及業(yè)務數據的傳輸通過相同的物理鏈路,控制信息路徑和數據路徑相互獨立,這樣監(jiān)控信息路徑的管理不再只依賴于數據平面對路徑的配置管理,從而可以建立高可靠的控制路徑。其形成的強烈對比是對現有網絡的控制和管理信息的傳輸,必須依賴由協(xié)議事先成功設置的傳輸路徑。
(三)服務的可生存性
可生存性在特定領域中是一種資源調度問題,也就是通過合理地調度策略來進行服務關聯(lián)的冗余資源設計,通過實時監(jiān)測機制來監(jiān)視調控這些資源的性能、機密性、完整性等。但網絡系統(tǒng)的脆弱性、客觀存在的破壞行為和人為的失誤,在網絡系統(tǒng)基礎性作用逐漸增強的現實,確保網絡的可生存性就有著重要的現實意義。由于當時技術與理論的不足,使得網絡存在著脆弱性表現在設計、實現、運行管理的各個環(huán)節(jié)。網絡上的計算機需要提供某些服務才能與其他計算機相互通信,其脆弱性在復雜的系統(tǒng)中更加體現出來。除了人為疏忽的編程錯誤,其脆弱性還應該包含網絡節(jié)點的服務失誤和軟件的不當使用和網絡協(xié)議的缺陷。協(xié)議定義了網絡上計算機會話和通信的規(guī)則,若協(xié)議本身就有問題,無論實現該協(xié)議的方法多么完美,它都存在漏洞。安全服務是網絡系統(tǒng)的關鍵服務,它的某個部分失去效用就代表系統(tǒng)會更加危險,就會導致更多服務的失控甚至是系統(tǒng)自身癱瘓。因此必須將這些關鍵服務的失效控制在用戶許可的范圍內。可生存性的研究必須在獨立于具體破壞行為的可生存性的基本特征上進行理論拓展,提升系統(tǒng)的容錯率來減少系統(tǒng)脆弱性,將失控的系統(tǒng)控制在可接受范圍內,通過容侵設計使脆弱性被非法入侵者侵入時,盡可能減少破壞帶來的影響,替恢復的可能性創(chuàng)造機會。
(四)網絡的可管理性
目前網絡已成為一個復雜巨大的非線性系統(tǒng),具有規(guī)模龐大、用戶數量持續(xù)增加、業(yè)務種類繁多、協(xié)議體系復雜等特點。這已遠超設計的初衷,這讓網絡管理難度加大。網絡的可管理性是指在內外干擾的網絡環(huán)境情況下,對用戶行為和網絡環(huán)境持續(xù)的監(jiān)測、分析和決策,然后對設備、協(xié)議和機制的控制參數進行自適應優(yōu)化配置,使網絡的數據傳輸、用戶服務和資源分配達到期望的目標。現有網絡體系結構的基礎上添加網絡管理功能,它無法實現網絡的有效管理,這是因為現有的網絡體系與管理協(xié)議不兼容。可信網絡必須是可管理的網絡,網絡的可管理性對于網絡的其他本質屬性,如安全性、普適性、魯棒性等也都有著重要的支撐作用。“網絡管理”是指對網絡情況持續(xù)進行監(jiān)測,優(yōu)化網絡設備配置并運行參數的過程,包括優(yōu)化決策和網絡掃描兩個重要方面。研究管理性是通過改善網絡體系中會導致可管理性不足的設計,達到網絡可管理性,實現網絡行為的可信姓,再解決網絡本質問題如安全性、魯棒性、普適性、QoS保障等,提供支撐,使網絡的適應能力加強。
四、結論
綜上所述,互聯(lián)網有著復雜性和脆弱性等特征,當前孤立分散、單一性的防御、系統(tǒng)補充的網絡安全系統(tǒng)己經無法應對具有隱蔽多樣可傳播特點的破壞行為,我們不可避免系統(tǒng)的脆弱性,可以說網絡正面臨重要的挑戰(zhàn)。我國網絡系統(tǒng)的可信網絡研究從理論技術上來說還處于初級階段,缺乏統(tǒng)一的標準,但是它己經明確成為國內外信息安全研究的新方向。隨著大數據的到來,全球的頭腦風暴讓信息技術日新月異,新技術帶來的不只有繁榮,同時也帶來異化。昨日的技術已經無法適應今日的需求,從以往的例子中可以得知信息安全的災難是廣泛的、破壞性巨大、持續(xù)的,我們必須未雨綢繆并且不停地發(fā)展信息安全的技術與制度來阻止悲劇的發(fā)生。信息異化帶來的信息安全問題是必不可免的,它是網絡世界一個嚴峻的挑戰(zhàn),對于可信網絡的未來我們可以從安全性、可控性、可生存性來創(chuàng)新發(fā)展,新的防御系統(tǒng)將通過冗余、異構、入侵檢測、自動入侵響應、入侵容忍等多種技術手段提高系統(tǒng)抵抗攻擊、識別攻擊、修復系統(tǒng)及自適應的能力,從而達到我們所需的實用系統(tǒng)。可以通過下述研究方向來發(fā)展可信網絡:
(一)網絡系統(tǒng)區(qū)別于一般系統(tǒng)的基本屬性
之一是復雜性,網絡可信性研究需要通過宏觀與微觀上對網絡系統(tǒng)結構屬性的定性,定量刻畫,深入探索網絡系統(tǒng)可靠性的影響,這樣才能為網絡可信設計、改進、控制等提供支持。因此,以復雜網絡為基礎的可信網絡會成為一個基礎研究方向。
(二)網絡系統(tǒng)區(qū)別于一般系統(tǒng)的第二個重要屬性
是動態(tài)性,其包含網絡系統(tǒng)歷經時間的演化動態(tài)性和網絡失去效用行為的級聯(lián)動態(tài)性。如今,學術上對可信網絡靜態(tài)性研究較多,而動態(tài)性研究較少,這無疑是未來可信網絡研究的一大方向。
(三)網絡系統(tǒng)的范圍與規(guī)模日漸龐大
節(jié)點數量最多以百萬計算,在可信網絡研究中我們需要去解決復雜性問題計算,這是一個可信網絡研究需要解決的問題。如今重中之重是研究構建可靠地可信模型與相應的算法,而近似算法、仿真算法將成為主要解決途徑。
作者:柳世豫 郭東強
1財務信息安全的因素分析
1.1互聯(lián)網安全風險
首先,外面互聯(lián)網安全隱患。為了滿足在多個地區(qū)處理事情的需求,公司財務軟件大部分與外部網絡連接,運用非常先進的互聯(lián)網來達成對財務信息軟件的不同區(qū)域的低花費、高效率地查詢和利用。可是也隨之產生很多安全隱憂:
①不具有權限的訪問:比如財務工作者運用的電腦安全級別太低,被黑客運用,冒充身份攻破公司財務信息軟件實施不當操作或者謀取秘密材料。例如,從美國國防部網站被改頭換面到我國163網站的崩潰,從微軟公司的開發(fā)藍圖被竊取到美國總統(tǒng)克林頓的信用卡信息被盜,這些都可以看出黑客對于互聯(lián)網系統(tǒng)旳危害。
②信息安全性無法保證:財務工作者在利用外部互聯(lián)網登錄財務信息軟件時,信息在互聯(lián)網傳送過程中被違法分子截留,進而造成重要信息的泄露,例如,工作人員在對企業(yè)的信用卡賬號進行網上輸入時,信用卡信息則可能會被不法分子從網上將其攔截,了解了該信用卡信息之后,他便可以利用此號碼在網上進行各類支付以及違法交易。③惡意代碼:電腦病毒是造成互聯(lián)網數據存在安全隱患的關鍵要素,病毒利用客戶段計算機傳遞到公司局域網,可導致財務信息軟件的無法正常使用、信息丟失等諸多不良結果。
1.2企業(yè)運用的財務軟件存在的問題
企業(yè)財務軟件是財務信息化運作的基礎,不同的財務軟件有不同的操作方法,有些操作的功能相同,但操作過程卻有區(qū)別。一個設計合理、功能優(yōu)越的財務軟件可以從功能和內容讓使用人員相互牽制、互相監(jiān)督,這樣有利于加強人員管理,起到最基礎的堵塞漏洞的作用。在應用軟件的研制過程中,對容易出現問題的軟件功能、細節(jié)等地方,全靠研究人員的多方面思量,如果考慮不周就有可能使得實際工作中出現與預想不同的結果,進一步導致整個結果有差錯。如果有這種問題存在的話,在實際處理中,當輸人原始資料,在軟件程序的控制下就會出現多個結果,這樣的問題直接影響到數據的真實、安全。在財務信息化深入企業(yè)之后,財務軟件成為了財務信息化的運行平臺,我國常用的財務軟件就是用友軟件和金蝶軟件。在這兩個軟件中也有不足之處。比如,用友軟件中,在填制采購及銷售訂單時,系統(tǒng)不要求輸入采購或銷售人員等相關經手人員。這樣的問題對多數要求按業(yè)務員進行訂單匯總的企業(yè)來說,不輸人采購或銷售人員信息,不便于匯總管理,而且如果日后出現問題,也對落實責任非常不利。而在金蝶軟件中,相比用友軟件的能夠增加、刪除、修改等功能,金蝶K3中只有查詢權和管理權,對用戶的職能設置不夠完美,安全性不高。
1.3企業(yè)內部控制存在失效的可能性
在企業(yè)中,財務的目標、技術手段、財務的職能、功能范圍以及系統(tǒng)層次等都會由于財務信息系統(tǒng)的特征而發(fā)生較大的改變,企業(yè)的內部控制也在逐漸的與財務信息系統(tǒng)的變化相適應,但是,其適應的過程是一個不斷完善的過程,目前的企業(yè)內部控制并不健全,內部控制存在失效的可能性。例如,企業(yè)財務人員在對數字字段進行錄人的過程中由于疏忽大意輸錯了字段,利用鍵盤輸人時按錯了鍵盤,對數據進行了顛倒,使用無序的代碼或者是從錯誤的憑單上轉錄數據等,這些問題實質的發(fā)生了卻無人察覺,從而使得財務信息系統(tǒng)的數據出現失真的問題。
2預防與解決財務信息安全方法
2.1完善企業(yè)財務軟件的幵發(fā),做好系統(tǒng)維護工作
財務軟件是財務人員實際工作中自己操作的,也是財務信息錄人后處理的重要部分,軟件的好壞、是否適合本企業(yè)的財務操作,功能是否完善都會影響到財務信息的安全。因此,完善企業(yè)財務軟件的開發(fā)要在日常做好軟件的升級、更新、系統(tǒng)維護等,配備功能完善的財務電算化軟件,齡門的軟件研發(fā)人員定期對系統(tǒng)進行檢查,以確保財務軟件處于正常、良好的運行狀態(tài)。
2.2提高安全管理意識和能力
不斷加強對財務信息系統(tǒng)控制管理人員的安全管理教育,提高財務信息系統(tǒng)操作過程中的安全意識。向工作人員介紹現代網絡環(huán)境對財務信息網絡造成的重要安全威脅,加深系統(tǒng)操作管理人員對加強安全管理的認識,提高工作人員對系統(tǒng)內部控制的風險防范意識。注意培養(yǎng)財會人員和管理人員的綜合業(yè)務素質,聘請專業(yè)財會管理人員對企業(yè)財務部門的工作人員進行指導培訓,加強計算機信息網絡知識的教育,提高工作人員計算機網絡技術理論水平和操作實踐水平,保證財務信息系統(tǒng)操作管理人員能夠熟練掌握計算機網絡信息技術,不斷適應廣闊多變的外部網絡環(huán)境。另外,相關財務從業(yè)人員在進行財務信息系統(tǒng)相關活動中存在道德風險,開放的網絡需要更為嚴格、嚴謹的安全法律法規(guī),因此兩絡財務信息系統(tǒng)需要有特別針對性的安全控制制度,這需要在將來的探索實踐中逐步實現。
2.3加強對財務信息系統(tǒng)控制管理的監(jiān)督
在財務信息系統(tǒng)運行過程中加強安全管理監(jiān)督對于保障經濟工作的順利有效進展具有重要作用。監(jiān)督活動要滲透到每一個操作管理環(huán)節(jié),監(jiān)督人員不斷總結財務信息系統(tǒng)操作管理失誤的原因,研究探討解決對策,使財務信息系統(tǒng)的安全性能逐漸提升。建立財務信息安全管理責任制度,對信息系統(tǒng)控制管理的每個工作環(huán)節(jié)進行責任分工,嚴格確立交接班制度手續(xù),為工作人員制定安全管理指標,對于出現的財務信息安全問題,及時查找負責人和原因,進行及時處理。
作者:朱貝貝 單位:河南省機場集團有限公司
1建立完善的圖書館網絡信息安全體系防范策略
1.1架構安全
合理的架構是圖書館業(yè)務服務網絡安全的前提,網絡在總體結構上要減少相互間的依賴和影響。任何一個模塊出現故障后,對上/下工序流程不產生嚴重影響。各子系統(tǒng)可獨立運作,各子系統(tǒng)單一升級而不影響到其他子系統(tǒng)的功能。
1.2設備安全
主干網采用光纖雙路備份,采用雙機冗余式主干交換機,網絡優(yōu)秀設備(交換機、服務器等)需采用模塊化、支持熱插拔設計。主業(yè)務應用服務器要雙機熱備,并采用雙網卡接入、服務器集群、RAID等措施。主存儲系統(tǒng)需要極高的安全穩(wěn)定性,具有合理的存儲構架和數據重新快速分配能力。在設備的分配上,避免在同一臺服務器上部署多種應用。在各樓層設立交換機柜,對重要接入層設備,應考慮必要的網絡設備和接入端口的備份手段。中心機房配有24小時雙路電源,并配備大功率的UPS電源。另外,為防止外部的攻擊和病毒的侵襲,解決業(yè)務網與辦公網的信息交互問題,要設置高安全區(qū)網段,須將業(yè)務內部網絡與外網分開,在物理上隔離網絡,業(yè)務終端用戶計算機屏蔽USB接口,不配置光驅,并安裝網絡版的防病毒軟件。
1.3軟件安全
主要有:①操作系統(tǒng)安全。為確保圖書館的安全,主要服務器盡可能采用企業(yè)版Linux操作系統(tǒng)。②數據安全。為保障關鍵運行數據的存儲、管理和備份,要求采用集中與分布方式相結合的數據庫系統(tǒng)設計。③應用軟件安全。應用軟件應具有完善的備份措施,系統(tǒng)故障后,要求及時恢復,確保圖書分編數據不丟失,圖書借還信息不丟失。④數據庫系統(tǒng)安全。主要應用系統(tǒng)中的數據庫均采用雙機熱備共享RAID盤陣的方式,實現雙主機同時對外提供服務,盤陣采用了最高等級的RAID5技術,任何一個硬盤故障也不會影響系統(tǒng),對于優(yōu)秀數據庫要求采用本地備份和遠程備份相結合的方式。
1.4運維安全
在提高技術系統(tǒng)安全性的同時,還必須提供良好的運行維護,防范由于操作不當、網絡管理漏洞、運維措施不完備所造成的網絡信息系統(tǒng)異常。在網絡信息系統(tǒng)運行中,應對設備、服務、業(yè)務等方面的監(jiān)控和故障報警。通常情況下,設備運用指示燈變成黃色,表示出現故障,應盡快進行檢查。
1.5外網文件交互安全
為隔離來自辦公外網等的安全風險,圖書館自動化主業(yè)務系統(tǒng)專門設置高安全區(qū)網段,高安全區(qū)網段的文件拷貝通過私有協(xié)議或網閘實現,主要用于與辦公網絡以及其他網絡的數據交互的病毒防御。
2制定出一套操作性強、目的明確的應急處理預案
為了及時應對圖書館網絡信息系統(tǒng)突發(fā)故障和事件,在完善網絡信息安全體系建立策略上,在技術上應做好各種預防措施的同時,制定出一套操作性強,在突發(fā)事件發(fā)生時,能迅速做出響應并快速處理,積極恢復圖書館網絡業(yè)務系統(tǒng)等全方位的應急體系,即網絡信息系統(tǒng)故障應急預案。著名的墨菲定律指出:凡事只要有可能出錯,那就一定會出錯。因此對圖書館主信息應用系統(tǒng),對其部署的機房環(huán)境、人員、網絡、數據存儲、應用系統(tǒng)的主機及數據庫情況以及所使用的中間件環(huán)境等因素進行全面分析,預測網絡信息故障風險點和故障可能造成的危害,確定應急預案,選擇處理故障的有效手段。
3.1預案適用情形
圖書館網絡信息安全涉及管理與信息技術等方面,圖書館平時要從網絡、計算機操作系統(tǒng)、應用業(yè)務系統(tǒng)等安全管理規(guī)范以及計算機使用人員安全意識等幾個方面,做好以下幾項工作:①制定系統(tǒng)規(guī)章。②制訂培訓計劃。③加強人員管理。④成立事故應急處理小組。針對圖書館網絡故障對系統(tǒng)的影響程度,當出現以下所列情形之一時,事故處理小組確認已達到預案應急情況,應迅速啟動相應的應急處理程序:①網絡遭受災害或病毒大面積攻擊而造成圖書館整個業(yè)務系統(tǒng)的癱瘓。②網絡服務器不明原因宕機,對圖書館業(yè)務造成影響范圍大,且持續(xù)時間長。③網站內容被惡意篡改。④供電系統(tǒng)故障。⑤機房火災。⑥空調系統(tǒng)及供水系統(tǒng)故障。
2.2預案制定及啟動
預案是由圖書館信息安全管理應急處理小組負責制定及審核。小組職責是對圖書館信息網絡安全的整體規(guī)劃、安全應急預案演練及網絡與信息系統(tǒng)突發(fā)事件的處理,小組組長負責啟動應急預案。針對上述情形,在圖書館網絡信息系統(tǒng)運行中可能存在以下問題,技術人員應立即啟動以下應急預案。
2.2.1遇到網絡遭受病毒大面積攻擊而造成圖書館整個業(yè)務系統(tǒng)的癱瘓,立即啟動以下應急預案。查找受病毒攻擊的計算機,并及時從網絡上隔離出來,判斷病毒的性質,關閉相應的端口;對該機進行數據備份;啟用防病毒軟件對該機進行殺毒處理,同時對其他機器進行病毒檢測軟件掃描和清除工作;對被病毒感染的終端電腦進行全面殺毒之后再恢復使用;及時最新病毒攻擊信息以及防御方法。
2.2.2遇到網絡服務器不明原因宕機,對圖書館業(yè)務造成影響范圍大,且持續(xù)時間長的情況,立即啟動以下應急預案:①服務器宕機應急處置措施。圖書館關鍵應用系統(tǒng)所用的服務器宕機,應立即將網絡線路切換到備用服務器上,并立即恢復應用系統(tǒng)正常使用;對宕機服務器進行全面檢查,分析是硬件還是軟件故障;立即與設備提供商聯(lián)系,請求派維修人員前來維修;在確實解決問題之后,切換回主服務器,給主機加電;系統(tǒng)啟動完畢,檢查系統(tǒng)及雙機狀態(tài);啟動數據庫;啟動應用程序可以正常啟動和運行。②網絡不明原因中斷。屬局域網出故障斷網后,網絡維護人員應立即判斷故障節(jié)點,及時向信息部負責人報告,查明故障原因,立即恢復。如遇無法恢復,立即進行備件更換或向有關廠商請求支援。屬光纖主干出故障,立即向上級報告,并通知維護公司對光纖進行融接,盡快恢復網絡功能;屬與樓層的上聯(lián)網線故障,應使用備用或更換新的雙絞線連接至故障設備。屬網絡設備(光模塊)故障如路由器、交換機等,應立即用相關備件替換,或與設備提供商聯(lián)系更換設備,并調試暢通。屬網絡設備配置文件破壞如路由器、交換機,應迅速用備份配置文件重新復制配置,并調試暢通;如遇無法解決的技術問題,立即向有關廠商請求支援。屬運營商管轄范圍,立即與運營商維護部門申報故障,請求修復。
2.2.3遇到網站內容被惡意篡改,應參照以下應急預案。切斷服務器的網絡連接;從備份數據中恢復正確的數據;檢查網站源碼漏洞,安裝網站源碼的最新補丁;安裝最新的系統(tǒng)補丁并重新配置防火墻,修改管理員密碼;查看網絡訪問日志,分析事件發(fā)生原因、源IP地址和操作時間,并做好記錄;重新恢復服務器網絡連接;向保衛(wèi)科備案,如造成重大損失或影響惡劣的,通知司法機關尋求法律途徑解決。
2.2.4遇到供電系統(tǒng)故障,應參照以下應急預案。當供電系統(tǒng)出現故障,中心機房UPS在尚能維持供電一段時間時,應通知各業(yè)務相關部門,迅速將所有運行中的服務器、存儲及網絡設備等安全關機,防止數據損失。關閉所有服務器時,應遵循如下步驟:先關閉所有應用服務器和數據庫服務器,再關閉存儲設備。啟動所有服務器時,應先打開存儲設備,再打開數據庫服務器,最后打開應用服務器;確認機房中所有設備安全關機之后,將UPS電源關閉;恢復供電后,重新啟動所有設備運行,并把UPS電源打開。
3.2.5遇到機房火災,應參照以下應急預案。確保人員安全;保護關鍵設備、數據安全;保護一般設備;機房工作人員立即按響火警警報,不參與滅火的人員迅速從機房離開;人員滅火時要切斷所有電源,從消防工具箱中取出消防設備進行滅火。
2.2.6遇到空調系統(tǒng)及供水系統(tǒng)故障,應參照以下應急預案。空調系統(tǒng)及供水系統(tǒng)如有報警信息,應及時查找故障原因,對于不能自行排除的問題,應及時與設備提供商進行聯(lián)系。如發(fā)現有漏水現象應馬上關閉進水閥,并對漏水進行處理。當中心機房主空調因故障無法制冷,致使機房內環(huán)境溫度超過攝氏40度時,打開機房房門,及時報告信息部相關領導請示,獲得授權后應按順序關閉所有服務器及網絡設備。
2.3重大事件應急預案
針對發(fā)生重大事件導致圖書館網絡癱瘓,信息系統(tǒng)無法正常運行,相關服務部門應立即啟動以下應急預案:①各部門對讀者服務窗口,立即恢復手工操作模式。②網絡部門負責立即啟動應急服務器系統(tǒng)。③應急系統(tǒng)使用期間,辦證處不可對讀者進行辦理或辦退讀者借閱證。待系統(tǒng)正常恢復后才可辦證或退證。④應急系統(tǒng)使用期間,各圖書閱覽室對讀者只提供圖書閱覽、還書服務,并采用手工登記服務信息;暫停圖書借書服務,待系統(tǒng)正常恢復后才可進行各項業(yè)務服務。⑤系統(tǒng)恢復后,網絡部門應及時安排人員對讀者還書期限信息進行延期處理。
3預案培訓、演練及改進
圖書館網絡信息系統(tǒng)應急預案確定后,應對與預案處置相關的所有人員進行培訓,了解安全故障或事件風險點和危害程度,掌握預案應急處置辦法,明確預案處理流程預警。圖書館每年要擬訂年度應急演練計劃,應定期或不定期開展網絡信息安全預案演練,明確應急響應相關責任部門和人員的責任,模擬完成安全故障發(fā)現、判斷、通報、處置、解除等各重要環(huán)節(jié)應急措施的演練,總結演練情況書面報告。圖書館網絡信息系統(tǒng)每年至少應進行1次應急預案文檔的分析、評審,根據演練總結和實際情況,進一步對預案中存在的問題和不足及時補充、完善。
4結語
隨著信息技術與圖書館工作結合日益緊密,圖書館業(yè)務和服務對信息網絡的依賴性越來越高。制定圖書館網絡信息應急預案能提高網絡與信息系統(tǒng)突發(fā)事件的處理能力和速度,建立科學有效的應急工作機制,確保圖書館業(yè)務系統(tǒng)安全運行,盡可能減少各種突發(fā)事件的危害,保障圖書館網絡及信息系統(tǒng)安全穩(wěn)定地運行。
作者:侯勇 單位:安徽省圖書館
1我國衛(wèi)生信息化發(fā)展概述
1.1衛(wèi)生行業(yè)信息化建設的方向性為進一步加快我國衛(wèi)生信息化整體的建設步伐,推進信息技術在全國醫(yī)療衛(wèi)生領域的廣泛應用,改善我國衛(wèi)生防疫、公眾醫(yī)療、基層衛(wèi)生等狀況,提高公共衛(wèi)生健康水平,國家鼓勵地方政府建設全國聯(lián)網五級數字衛(wèi)生信息平臺。即:建設覆蓋全國“省—市—縣(市、區(qū))—鄉(xiāng)—村”五級數字衛(wèi)生體系,并通過租用營運商提供的網絡,實現對全國衛(wèi)生信息以及公眾健康信息的收集、處理、查詢、傳輸和共享,完成面向公眾基于個人健康檔案服務和遠程醫(yī)療會診。
1.2加強衛(wèi)生信息收集整理的重要性加強衛(wèi)生信息的收集整理是改善和提高衛(wèi)生系統(tǒng)質量的前提條件。盡管及時可靠的衛(wèi)生信息是改善公共衛(wèi)生狀況的基礎,但是,由于各級衛(wèi)生行政管理機關在數據采集、分析、和使用方面的投入不足等原因,常常無法實現及時的跟蹤以達到完全鏈接和反映現實醫(yī)療衛(wèi)生狀況,導致決策者無法正確發(fā)現問題、了解現實需求、跟蹤最新進展、評估所采取措施產生的影響,干擾了行政管理部門在衛(wèi)生政策制定、項目設計以及資源分配等方面做出正確決策。所以,加強衛(wèi)生信息收集整理對改善和提高衛(wèi)生系統(tǒng)的服務質量就顯得尤為重要。
1.3加強信息安全保障和管理的必要性安全管理是一個可持續(xù)的安全防護過程。信息安全建設是我國衛(wèi)生行業(yè)信息化建設不可缺少的重要組成部分。醫(yī)療衛(wèi)生信息系統(tǒng)承載著大量事關國家政治安全、經濟安全和社會穩(wěn)定的信息數據,網絡與信息安全不僅關系到衛(wèi)生信息化的健康發(fā)展,而且已經成為國家安全保障體系的重要組成部分。因此,開展衛(wèi)生行業(yè)信息化必須重視建立健全信息安全保障和管理體系建設。一是強化安全保密意識,高度重視信息安全,是確保衛(wèi)生行業(yè)信息系統(tǒng)安全運行的前提條件;二是加強法制建設,建立完善規(guī)范的制度,是做好衛(wèi)生行業(yè)信息安全保障工作的重要基礎;三是建立信息安全組織體系,落實安全管理責任制,是做好衛(wèi)生行業(yè)信息安全保障工作的關鍵;四是結合實際注重實效,正確處理“五級數字衛(wèi)生體系”安全,是確保信息安全投資效益的最佳選擇。
2衛(wèi)生信息安全的風險與需求分析
隨著網絡社會發(fā)展程度的不斷提高,網絡與信息安全事件是信息化發(fā)展進程中不可避免的副產品。當今社會已進入互聯(lián)網時代,信息傳播的方式、廣度、速度都是過去任何一個時代無法比擬的。隨著網絡應用的日益普及,黑客攻擊成指數級增長,利用互聯(lián)網傳播有害信息的手段層出不窮。網絡在給人們帶來便利的同時,也帶來不可忽視的安全風險。所以,可靠的衛(wèi)生信息就需要一個安全的數據運行環(huán)境,只有這樣,才能實現向衛(wèi)生行政管理部門或社會提供有效的、高質量的、安全的數據保障。
2.1安全風險分析目前衛(wèi)生系統(tǒng)所面臨的風險主要包括應用系統(tǒng)風險和網絡風險。應用系統(tǒng)風險主要體現在身份認證、數據的機密性、完整性、授權管理控制等,此類風險可以通過應用系統(tǒng)的改造提升得到控制。網絡風險主要體現在網絡結構不夠清晰、區(qū)域劃分不合理、區(qū)域邊界防護措施缺失、接入網絡缺少相應的防護措施、安全管理不到位等,容易造成可用帶寬損耗、網絡整體布局被獲得、網絡設備路由錯誤、網絡設備配置錯誤、網絡設備被非授權訪問、網絡管理通信受到干擾、網絡管理通信被中斷、傳輸中的網絡管理信息被修改和替換、網絡管理中心受到攻擊、外部單位接入風險、本地用戶接入威脅、惡意代碼傳播和破壞風險、安全操作風險、安全管理風險等等。系統(tǒng)和網絡出現問題,將會造成網絡信息丟失和網絡癱瘓,無法實現網絡功能和滿足服務對象的需求。
2.2網絡安全需求分析保證網絡相關設備安全、穩(wěn)定、可靠地為業(yè)務活動提供優(yōu)質服務的前提是網絡要安全、設備運行要正常。為此,必須要保證網絡體系結構安全,采用各種安全措施有效防止衛(wèi)生網絡系統(tǒng)遭到非法入侵、未經授權的存取或破壞可能造成的數據丟失、系統(tǒng)崩潰等事故發(fā)生;采用靈活的網絡拓撲和冗余與備份,保證網絡結構不因單點故障造成網絡業(yè)務活動的中斷;采用可信的網絡管理手段,保證結構的完整性。網絡系統(tǒng)遭到有意攻擊、設備故障、網絡管理出現漏洞等是網絡安全防范的重點。
2.3邊界安全需求分析清晰、規(guī)范地界定、標識網絡邊界,是網絡邊界設備和安全網關實施防護的有效措施。采用具有多層訪問控制功能的防火墻對接入實施控制;使用基于網絡的IDS有效偵測來自內部、外部對網絡邊界的攻擊,嚴格記錄網絡安全事件,配備網絡邊界設備脆弱性評估工具,有效監(jiān)控網絡邊界設備的配置、運行狀態(tài)和負載;配置網絡穿透性測試工具,定期或不定期對網絡邊界安全有效性進行檢查。邊界安全是網絡安全的門戶,提升網絡邊界安全設備管理服務功能,是保證安全策略設計、配置、部署等管理工作的有效途徑。
2.4網絡管理安全需求分析對于衛(wèi)生網絡系統(tǒng)而言,網絡與信息的安全時常受到威脅,最常見的就是拒絕服務攻擊、網頁篡改、惡意程序等。為保證網絡與信息的安全,需要構造科學、有效的網絡安全管理平臺。以業(yè)務為中心,面向衛(wèi)生系統(tǒng),將不同的網絡進行整合,基于應用環(huán)境來管理網絡及其設備的正常運行。當網絡異常時,基于事先制訂的策略(主要是應急方案)和網絡管理系統(tǒng),實現主動采取行動(如:終止、切斷相關連接;停止部分非關鍵業(yè)務等),達到主動保證衛(wèi)生系統(tǒng)網絡安全和正常運行的目的。
3衛(wèi)生信息安全的防御體系與網絡的維護
3.1衛(wèi)生信息安全的防御體系衛(wèi)生信息安全防御體系是一個動態(tài)的過程,攻防雙方都是與時俱進的。防護的目的在于阻止入侵或者延遲入侵所需要的時間,以便為檢測和響應爭取主動。一旦防護失效,通過檢測和響應,可以及時修復漏洞,杜絕威脅,防止損失擴大,確保業(yè)務運行的持續(xù)性。從技術發(fā)展的角度來考慮,攻擊和防御構成了一種動態(tài)平衡的體系。一段時間內,安全防御發(fā)揮著有效的作用,此時的安全體系就具有一定的平衡性,但這種平衡是相對穩(wěn)定的,一旦攻擊技術有所突破,防御也需要隨之更新,安全防御體系就是在這種由此及彼的相互牽制中動態(tài)發(fā)展的。
3.2網絡的維護隨著信息系統(tǒng)在衛(wèi)生行業(yè)的應用,網絡安全問題日漸凸顯。一旦網絡出現故障,小到造成單機信息丟失、被竊取、操作系統(tǒng)癱瘓;大到全網網絡服務中斷,業(yè)務被迫停滯,甚至是重要數據丟失等一系列嚴重后果。在新醫(yī)改大背景下,對醫(yī)療服務質量的要求越來越高,如何構建堅固的網絡環(huán)境,是每一個醫(yī)療單位的責任,同時也是挑戰(zhàn)。在網絡正常運行的情況下,對網絡基礎設施的維護主要包括:確保網絡傳輸的正常;掌握衛(wèi)生系統(tǒng)主干設備的配置及配置參數變更情況,備份各個設備的配置文件。這里的設備主要是指交換機和路由器、服務器等。主要任務是:負責網絡布線配線架的管理,確保配線的合理有序;掌握內部網絡連接情況,以便發(fā)現問題迅速定位;掌握與外部網絡的連接配置,監(jiān)督網絡通信情況,發(fā)現問題后與有關機構及時聯(lián)系;實時監(jiān)控整個衛(wèi)生行業(yè)內部網絡的運轉和通信流量情況。
3.3信息安全風險控制策略面對復雜的大規(guī)模網絡環(huán)境,無論采取多么完美的安全保護措施,信息系統(tǒng)的安全風險都在所難免。因此,在對信息系統(tǒng)進行安全風險評估的基礎上,有針對性的提出其安全風險控制策略,利用相關技術及管理措施降低或化解風險,如物理安全策略、軟件安全策略、管理安全策略、數據安全策略等,可以將系統(tǒng)安全風險控制在一個可控的范圍之內。
3.4數據的保存與備份計算機系統(tǒng)中最重要的就是數據,數據一旦丟失,導致衛(wèi)生行業(yè)的損失是巨大的。針對各類型的危機事件,應該制定完善的備份方案,防患于未然,做到數據丟失后能及時處理,減少損失帶來的巨大后果。網絡環(huán)境具有復雜性、多變性、脆弱性。它們共同決定著網絡安全威脅的存在。在我國,衛(wèi)生網絡與信息逐漸擴大,加強網絡安全管理和建立完善信息安全的屏障已成為網絡建設中不可或缺的重要組成部分。我們應充分認識網絡信息安全的重要性,在網絡維護過程中加強網絡信息安全,做到事前預防、事中監(jiān)控、事后彌補,不斷完善安全技術與安全策略,提高衛(wèi)生網絡信息的安全性。
作者:李楠單位:云南省醫(yī)學信息研究所
1網絡安全檢測系統(tǒng)設計構思
1.1設計目標網絡安全檢測系統(tǒng)需要對網絡中的用戶計算機和網絡訪問行為進行審計,檢測系統(tǒng)具有自動響應、自動分析功能。自動相應是指當系統(tǒng)發(fā)現有用戶非法訪問網絡資源,系統(tǒng)將自動阻止,向管理員發(fā)出警示信息,并記錄非法訪問來源;自動分析是根據用戶網絡應用時應用的軟件或者網址進行分析,通過建立黑名單功能將疑似威脅的程序或者方式過濾掉。此外,系統(tǒng)還具有審計數據自動生成、查詢和系統(tǒng)維護功能等。
1.2網絡安全檢測系統(tǒng)架構網絡安全檢測系統(tǒng)架構采用分級式設計,架構圖如。分級設計網絡安全檢測系統(tǒng)具有降低單點失效的風險,同時還可以降低服務器負荷,在系統(tǒng)的擴容性、容錯性和處理速度上都具有更大的能力。
2系統(tǒng)功能設計
網絡安全檢測系統(tǒng)功能模塊化設計將系統(tǒng)劃分為用戶身份管理功能模塊、實時監(jiān)控功能模塊、軟件管理模塊、硬件管理模塊、網絡管理和文件管理。用戶身份管理功能模塊是實現對網絡用戶的身份識別和管理,根據用戶等級控制使用權限;實時監(jiān)控模塊對在線主機進行管理,采用UDP方式在網絡主機上的檢測程序發(fā)送監(jiān)控指令,檢測程序對本地進行列表進行讀取,實時向服務器反饋信息;軟件管理模塊是將已知有威脅的軟件名稱、參數等納入管理數據庫,當用戶試圖應用此軟件時,檢測系統(tǒng)會發(fā)出警告或者是拒絕應用;硬件管理模塊對網絡中的應用硬件進行登記,當硬件非法變更,系統(tǒng)將發(fā)出警告;網絡管理模塊將已知有威脅網絡IP地址納入管理數據庫,當此IP訪問網絡系統(tǒng)時,檢測系統(tǒng)會屏蔽此IP并發(fā)出警告;文件管理模塊,對被控計算機上運行的文件進行實時審計,當用戶應用的文件與系統(tǒng)數據庫中非法文件記錄匹配,則對該文件進行自動刪除,或者提示用戶文件存在風險。
3數據庫設計
本文所設計的網絡安全檢測系統(tǒng)采用SQLServer作為數據庫,數據庫中建立主體表,其描述網絡中被控主機的各項參數,譬如編號、名稱、IP等;建立用戶表,用戶表中記錄用戶編號、用戶名稱、用戶等級等;建立網絡運行狀態(tài)表,其保存網絡運行狀態(tài)結果、運行狀態(tài)實際內容等,建立軟件、硬件、信息表,表中包含軟件的名稱、版本信息、容量大小和硬件的配置信息等;建立軟件、網址黑名單,對現已發(fā)現的對網絡及主機具有威脅性的非法程序和IP地址進行記錄。
4系統(tǒng)實現
4.1用戶管理功能實現用戶管理功能是提供網絡中的用戶注冊、修改和刪除,當用戶登錄時輸出錯誤信息,則提示無此用戶信息。當創(chuàng)建用戶時,系統(tǒng)自動檢測注冊用戶是否出現同名,如出現同名則提示更改,新用戶加入網絡應用后,網絡安全檢測系統(tǒng)會對該用戶進行系統(tǒng)審核,并將其納入監(jiān)管對象。系統(tǒng)對網絡中的用戶進行監(jiān)控,主要是對用戶的硬件資源、軟件資源、網絡資源等進行管控,有效保護注冊用戶的網絡應用安全。
4.2實時監(jiān)控功能實現系統(tǒng)實時監(jiān)控功能需要能夠實時獲取主機軟硬件信息,對網絡中用戶的軟件應用、網站訪問、文件操作進行檢測,并與數據庫中的危險數據記錄進行匹配,如發(fā)現危險則提出警告,或者直接屏蔽危險。
4.3網絡主機及硬件信息監(jiān)控功能實現網絡主機及硬件信息監(jiān)控是對網絡中的被控計算機系統(tǒng)信息、硬件信息進行登記記錄,當硬件設備發(fā)生變更或者網絡主機系統(tǒng)發(fā)生變化,則安全檢測系統(tǒng)會啟動,告知網絡管理人員,同時系統(tǒng)會對網絡主機及硬件變更的安全性進行判定,如發(fā)現非法接入則進行警告并阻止連接網絡。
5結束語
本文對網絡安全檢測系統(tǒng)進行了設計介紹,明確設計目標和設計架構,對系統(tǒng)各功能模塊進行設計說明,分別對用戶管理功能、實時監(jiān)控功能、網絡主機及硬件信息監(jiān)控功能的實現進行論述,完成基本的網絡安全檢測功能,滿足網絡安全檢測需要。
作者:徐寶海單位:泰州市高等教育園區(qū)管理委員會
1校園網絡現狀分析
1.1校園網絡現狀
隨著電腦的普及,計算機技術已并沒有向早年想象的那么遙遠。幾乎每個人都知道一些最基本的電腦維護的知識,對于生活在高校的學生們就更不用說了。幾乎每所高校都有其自身的網絡體系,無論是無線網絡還是有線網絡。有了網絡的幫助后老師可以提高課堂內容的豐富度,不必拘匿與灌輸死板的概念內容,而是靈活的動態(tài)模式,這樣才能更好的激發(fā)學生的學習興趣。在大家看來每所高校所關心的安全領域問題是大致相同的,無論是在哪方面,無疑就是網絡是否暢通,上網是否安全,網絡是否可以抵御黑客攻擊,上網是我們的賬號是否存在風險等問題。
1.2校園網絡架構分析
學校校園網跟隨著信息化建設的步伐,已經逐步走上正軌。許多高校都配備了無線、有線網絡,使學生和老師的生活和教學就更加方便,XX學校網絡的拓撲圖(圖1)。根據圖片可知XX學校將Internet匯總通過防火墻,總的路由器分配至每個教學樓路由器,再由交換機分到各個房間,這樣每個房間就能有其自己的端口號。這樣如果遇到電路、網絡中斷的話就可以就可以根據端口直接檢查出問題所在的地方以及進行及時的修理,例如在一個教學樓的房間,網路連接不上,我們可以通過以下步驟來找到問題所在,首先用測線器來測試下網線是否正常,若不正常首先判斷是交叉線還是直通線,換一根網線繼續(xù)使用;若網線正常在看下網線插口里的芯片是否有接觸,可以用小的鉗子給它擺正再插上網線試下;若還是不行將模塊拆下檢查下銅導線與模塊是否是接觸不良同時可以將銅導線頭接觸處剝下一點講他們捏在一起,在交換機上觀察是否通,通的話將銅導線重新裝回至模塊內,正常使用。我們可以從圖中得知,這樣的架構可以幫助我們盡快查到問題的出處,防止更加難以控制的局面的發(fā)生。
1.3校園網絡面臨的威脅
學校網絡大多都使用TCP/IP協(xié)議,而該協(xié)議的網絡所提供的網絡服務都包含許多不安全的因素,存在許多漏洞。同時網絡的普及是信息共享達到了一個新的層次,信息被暴露的機會大大增加,特別是internet,他就是一個開放大系統(tǒng)。另外,數據處理的可訪問性和資源共享的目的性之間的一對矛盾,這些都給校園網絡帶來了威脅。計算機網絡所面臨的威脅大體可分為兩種:一是,對網絡中信息的威脅,即所謂的軟威脅;二是,對網絡中設備的威脅,即所謂的硬威脅。影響計算機網絡的安全因素很多,有意的、無意的、人為的、自然的以及外來黑客對網絡系統(tǒng)資源的非法使用等,歸結起來,針對網絡安全的威脅主要有以下幾種:第一,入侵者:入侵者包括黑客、破壞者和其他從外部試圖非法訪問內部網絡的網絡用戶。這些訪問者或者有特定的目的,或者只是基于興趣和好奇心,都會對校網信息形成威肋。并且,由于互聯(lián)網的廣泛應用,更多的黑客工具和破壞程序被共享,許多青少年對此興趣極高,形成了一大批潛在的攻擊者。第二,病毒和有害代碼:便利的網絡環(huán)境使病毒成為網絡信息安全的另一個重要威脅,病毒不僅破壞程序和數據,還會嚴重影響網絡效率,甚至破壞設備;特洛伊木馬為入侵者所利用進行網絡攻擊和刺探,操作系統(tǒng)或應用軟件的后門也被開發(fā)者利用進行攻擊和破壞。目前病毒與黑客技術的結合,使得病毒的危害更進一層,不僅僅針對計算機,同時也針對網絡,近幾年的一次利用SQLServer漏洞的“蠕蟲王”病毒就幾乎使得全國計算機網絡癱瘓。第三,內部教職員工與學生:其實更為重要的安全威脅來自網絡內部,由于誤操作、好奇或泄憤,內部教職員工和學生會對校園網中關鍵信息安全和完整性構成威脅。尤其是學生,極強烈的好奇心和爭勝欲望,為了炫耀或者學習實踐,對網絡有比較大的攻擊性。第四,系統(tǒng)和應用的安全漏洞:網絡設備、操作系統(tǒng)和應用軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。除此之外,軟件和硬件的配置/設置不當同樣會造成相當嚴重的安全問題。第五,用戶安全意識:用戶對信息安全認識不足,對安全的簡單理解和關注不足,對安全設備的利用和投入不足、不及時,都會構成校網信息安全缺陷。第六,其他安全威脅:包括自然災害、物理設備故障以及其他破壞網絡基礎設施和數據的意外事故。
2校園網絡信息安全策略
2.1信息安全含義及策略概述信息安全是指采取措施保護信息網絡的硬件、軟件及其系統(tǒng)中的數據,使之不因偶然的或者惡意的原因而遭受破壞、更改、泄露,保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行。信息安全是一門涉及網絡技術、數據庫技術、密碼技術、信息安全技術、通信技術、應用數學、信息論等多種學科的綜合性學科。信息安全本身包括的范圍很廣,大到國家軍事政治等機密安全,小到防范青少年對不良信息的瀏覽以及個人信息的泄露等。而信息安全策略是一個有效的信息安全項目的基礎。信息安全策略可以劃分為兩個部分,問題策略和功能策略。問題策略描述了一個組織所關心的安全領域和對這些領域內安全問題的基本態(tài)度。功能策略描述如何解決所關心的問題,包括制定具體的硬件和軟件配置規(guī)格說明、使用策略以及雇員行為策略。從信息安全領域中發(fā)生的事件來看,信息安全策略的優(yōu)秀地位變得越來越明顯。例如,沒有安全策略,系統(tǒng)管理員將不能安全的安裝防火墻。策略規(guī)定了所允許的訪問控制、協(xié)議以及怎樣記錄與安全有關的事件。策略的制定需要達成下述目標:減少風險,遵從法律和規(guī)則,確保組織運作的連續(xù)性、信息完整性和機密性。信息安全策略應主要依靠組織所處理和使用的信息特性推動制定。同時應當重視對信息系統(tǒng)了解深刻的員工所提出的組織當前信息的主要特性,具體包括:什么信息是敏感的、什么信息是有價值的以及什么信息是關鍵的。在制定一整套信息安全策略時,應當參考一份近期的風險評估,以便清楚了解組織當前的信息安全需所要面臨的風險管理。對曾出現的安全事件的總結,也是一份有價值的資料。信息安全策略應當與已有的信息系統(tǒng)結構相一致,并對其完全支持。這一點不是針對信息安全體系結構,而是針對信息系統(tǒng)體系結構。信息安全策略一般在信息系統(tǒng)體系結構確立以后制定,以保障信息安全體系實施、運行。例如,互聯(lián)網訪問控制策略可使安全體系結構具體化,也有利于選擇和實施恰當的防火墻產品。關于風險評估,我們可以根據每一項任務來進行一個風險評估具體流程(如圖2),做好一個風險評估能很大程度上的提高信息安全度,也便于今后的管理。
2.2防范校園網絡安全措施
在校園網絡日漸普及的今天,關于如何應對和防范校園網絡安全這一塊也存在著許多不足和漏洞,所以各個學校都要從各個方面來保障校園網路的安全運行。首先是管理層面,通過申請在校園網絡中各種功能的開通和使用,來實現從源頭抓問題,學校也應該制定出明確的計劃與流程,使得一些行為可以按照流程一步步完成,這樣就能更加安全了。以學生寬帶申請為例,學校規(guī)定從學校網站上統(tǒng)一下載,統(tǒng)一領導簽字,統(tǒng)一分發(fā),統(tǒng)一管理。這種模式能提高管理和工作的效率,正是因為這樣的管理和工作模式,讓學校的工作井井有條的開展。通過對申請信息的填寫,當遇到網絡安全威脅時,可以通過信息查詢到有問題的主機,然后及時解決問題,不至于拖延很長時間。再次是技術方面,學校配備有上網認證控制器,可以保證在教學樓范圍內上網都是有認證的,每個人的上網記錄都是可以查詢的,以及還有流量控制器,可以保證基本上網的暢通,VPN認證可以保證在校外訪問校內網有跡可循,同時學校還配有負載均衡器以擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力,提高網絡的靈活性和可用性。同時這些設備也是信息安全策略中功能策略的反映。
3結語
隨著校園網絡設備的不斷完善,網絡的安全已成為學校正常運營的基石。校園網安全是一個檢測、監(jiān)視、安全響應的循環(huán)過程,確定安全技術、安全策略和安全管理只是一個良好的開端,校園網絡自身的情況也在不斷的變化,新的安全問題也會不斷涌現,必須不斷對此體系進行及時的維護和更新,保證網絡安全防范體系的良性發(fā)展,確保他的有效性和先進性。構筑一個安全的校園網是一項任重而道遠的系統(tǒng)工程。
作者:錢彩麗工作單位:浙江警官職業(yè)學院實訓中心
摘要:網絡信息安全問題自網絡誕生之初,就一直是一個困擾網絡的建設者和使用者的難題。隨著網絡的普及與發(fā)展,以及新興網絡技術的發(fā)展,網絡信息安全已經越來越成為網絡社會中的關鍵問題。
關鍵詞:網絡信息安全
計算機具有驚人的存貯功能,使它成為信息保管、管理的重要工具。但是存貯在內存貯器的秘密信息可通過電磁輻射或聯(lián)網交換被泄露或被竊取,而大量使用磁盤、磁帶、光盤的外存貯器很容易被非法篡改或復制。由于磁盤經消磁十余次后,仍有辦法恢復原來記錄的信息,存有秘密信息的磁盤被重新使用時,很可能被非法利用磁盤剩磁提取原記錄的信息。計算機出故障時,存有秘密信息的硬盤不經處理或無人監(jiān)督就帶出修理,也能造成泄密。如何在保證網絡信息暢通的同時,實現信息的保密,我認為應從以下幾個方面做起:
1建立完善的網絡保管制度
1.1建立嚴格的機房管理制度,禁止無關人員隨便進出機房,網絡系統(tǒng)的中心控制室更應該有嚴格的出人制度。同時機房選址要可靠,重要部門的機房要有必要的保安措施。
1.2規(guī)定分級使用權限。首先,對計算機中心和計算機數據劃分密級,采取不同的管理措施,秘密信息不能在公開的計算機中心處理,密級高的數據不能在密級低的機中心處理;其次,根據使用者的不同情況,規(guī)定不同使用級別,低級別的機房不能進行高級別的操作;在系統(tǒng)開發(fā)中,系統(tǒng)分析員、程序員和操作員應職責分離,使知悉全局的人盡可能少。
1.3加強對媒體的管理。錄有秘密文件的媒體,應按照等密級文件進行管理,對其復制、打印、借閱、存放、銷毀等均應遵守有關規(guī)定。同一片軟盤中不要棍錄秘密文件和公開文件,如果同時錄有不同密級的文件,應按密級最高的管理。還應對操作過程中臨時存放過秘密文件的磁盤以及調試運行中打印的廢紙作好妥善處理。
2從技術上保證網絡檔案信息的安全
2.1使用低輻射計算機設備。這是防止計算機輻射泄密的根本措施,這些設備在設計和生產時,已對可能產生信息輻射的元器件、集成電路、連接線和等采取了防輻射措施,把設備的信息輻射抑制到最低限度。
2.2屏蔽。根據輻射量的大小和客觀環(huán)境,對計算機機房或主機內部件加以屏蔽,檢測合格后,再開機上作。將計算機和輔助設備用金周屏蔽籠(法拉第籠)封閉起來,并將全局屏蔽籠接地,能有效地防止計算機和輔助設備的電磁波輻射。不具備上述條件的,可將計算機輻射信號的區(qū)域控制起來,不許外部人員接近。
2.3干擾。根據電子對抗原理,采用一定的技術措施,利用干擾器產生噪聲與if調:機設備產生的信息輻射一起向外輻射。對計算機的輻射信號進行一于擾,增加接收還原解讀的難度,保護計算機輻射的秘密信息。不具備上述條件的,也可將處理重要信息的計算機放在中間,四周置放處理一般信息的計算機。這種方法可降低輻射信息被接收還原的可能性。
2.4對聯(lián)網泄密的技術防范措施:一是身份鑒別。計算機對用戶的識別,主要是核查用戶輸人的口令,網內合法用戶使用資源信息也有使用權限問題,因此,對口令的使用要嚴格管理。二是監(jiān)視報警。對網絡內合法用戶工作情況作詳細記錄,對非法用戶,計算機將其闖人網絡的嘗試次數、時間。電話號碼等記錄下來,并發(fā)出報警,依此追尋非法用戶的下落。三是加密。將信息加密后存貯在計算機里,并注上特殊調用口令。
3加強對工作人員的管理教育
3.1要牢固樹立網絡信息工作人員保密觀念。網絡信息工作人員要不斷加強自身學習,了解新形勢,適應新變化。充分認識到新時期保密問題的重要性、緊迫性,不斷增強保守國家秘密的意識。
3.2加強對網絡信息工作人員的業(yè)務培訓。網絡信息工作人員要不斷提高計算機網絡安全保密知識水平,真正了解所有設備的性能,掌握防止泄密的知識和防范措施;管理部門要利用和創(chuàng)造機會擴展他們的知識面,增強主動性,減少盲目性,以防因無知而泄密。努力構建以計算機基礎知識為根基,保密專業(yè)知識為主干,相關知識為補充的知識結構,使網絡信息管理工作人員向復合型人才轉化。
