發布時間:2022-05-07 09:19:08
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的1篇網絡安全論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1校園網網絡中存在的問題
隨著網絡應用的深入,學院校園網絡的安全問題也逐漸突出,大量的網絡病毒攻擊校園網絡,比如網絡釣魚、僵尸網絡等。主要的安全隱患有以下幾種:
(1)計算機系統漏洞。目前,校園網中被廣泛使用的網絡操作系統主要是WINDOWS,存在各種各樣的安全問題,服務器、操作系統、防火墻、TCP/IP協議等方面都存在大量安全漏洞。
(2)病毒的破壞。病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、使網絡效率下降、甚至造成計算機和網絡系統的癱瘓,是影響校園網絡安全的主要因素。
(3)來自網絡外部的入侵、攻擊等惡意破壞行為。校園網與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。
(4)校園網內部的攻擊。
2Honeynet技術在校園網網絡安全中的應用
根據學院實際情況和校園網總體設計需求,為了更好地防御校園網中的各類網絡木馬、病毒(僵尸網絡、網絡釣魚等),部署了Honeynet系統,但由于整個校園內部網絡威脅較為嚴重,各種病毒較為猖獗,校園網常被病毒感染,因此部署的Honeynet系統主要是監控校園網內部的網絡攻擊。為了更好地采集信息,充分發揮Honeynet系統在校園網安全防護中的主動防御功能,將Honeynet系統放到黑客容易訪問到的地方。根據實際校園環境的要求,筆者部署一個帶有不同操作系統的Honeynet,這個蜜網存在著各種各樣的漏洞,以吸引攻擊者進行有效的訪問,從而獲取訪問信息的和其日志記錄并加以深入分析和研究。通過使用虛擬軟件(VMWare)和物理計算機建立一個混合虛擬Honeynet,從而減少了物理計算機的需要。宿主主機的二個網卡設置:一個是設置作為虛擬控制機,并通過虛擬網橋連接Honeywall,另一個設置連接校園內網路由器。這里把eth1的IP設為192.168.1.2,而把eth2的IP設為192.168.1.3,這樣管理機和虛擬Honeypot就不在同一個網段上,保證了管理機的安全性。在本次Honeynet系統中所有主機都可以通過ssh或MYSQL連通”firewall”;所有主機都可以連接到Honeynet系統;Honeynet允許連接到任意主機;除次之外,所有的通信都被攔截,同時防火墻允許通過的數據均被記錄。當完成對虛擬Honeynet系統的配置后,需要對其進行測試,看是否能夠正常運行,首先測試虛擬機蜜罐和宿主主機之間的網絡連接,包括(1)宿主主機和蜜罐上通過互相ping對方的IP地址測試網絡連通性,經測試網絡連通性正常。(2)在Honeynet網關上監聽ICMPping包是否通過外網口和內網口。 通過測試后,說明虛擬機蜜罐和外部網絡之間的網絡連接(通過Honeynet網關eth0和eth1所構成的網橋)沒有問題。對Honeynet網關的遠程管理進行測試,需要使用SecureCRT軟件,遠程ssh連接Honeynet網關管理口,經過測試表示該虛擬Honeynet可用。
3結束語
通過部署校園Honeynet,防御校園網絡的黑客攻擊,深入了解攻擊者對網絡的攻擊行為,了解其對網絡攻擊的方法、步驟以及產生的數據現象;從而獲取攻擊者的行為記錄,分析黑客攻擊強度和技術能力;通過記錄分析,了解當前常見黑客攻擊手法,有針對性的保護系統;為以后的教學和科研提供最原始的資料;對技術人員的安全水平有了進一步的提高,從根本上提高校園網網絡防御能力。
作者:李巧君 李壘 單位:河南工業職業技術學院 計算機工程系
1電力信息網絡安全的理論及安全風險分析
1.1電力信息網絡安全的相關理論
隨著社會的不斷進步發展,我國的電力企業在新的階段取得了矚目的成就,國家的有關部門以及各級的電力企業對電力信息網絡安全問題有著很高的重視度,故此在2002年國家經貿委制定了相關的電網和電廠計算機監控系統及調度數據網絡安全防護規定。次年,將國家電力信息網絡安全運行歸入到電力安全生產的管理范疇,并將其納入電力安全生產的體系。在網絡的安全技術措施方面,電力信息部門在國家信息安全防護框架下,在2002年開始了電力系統信息安全示范工程,針對電力信息網絡安全系統的建設已經是近些年的電力企業信息網絡化建設的重點內容,諸多的電力企業在網絡身份認證以及防病毒、攻擊方面得到了加強,各電力單位也有了不同等級以及種類的信息網絡安全體系。
1.2電力信息網絡安全當前面臨的風險分析
在電力信息網絡安全所面臨的安全風險可分為網絡設備風險以及網絡中信息風險兩個層面。在電力信息網絡安全并非是單點安全,它所指的是在整個電力企業的信息網絡整體安全,這就涵蓋著管理以及技術兩方面。在電力信息網絡安全的物理安全風險方面主要就是信息網絡服務系統中的設備以及服務器和用戶端計算機等這些設備,在物理安全風險方面主要有火災以及雷電等,這些風險會使得電力信息網絡突然中斷或者系統發生癱瘓等。在網絡安全風險方面主要有電力實時系統安全風險以及網絡體系結構安全風險和網絡通信協議安全風險。在電力信息網絡安全系統的安全風險主要就是操作系統安全風險和數據庫安全風險以及病毒危害風險、黑客入侵風險。應用安全風險方面就是身份認證和授權控制安全風險,信息傳輸完整性風險,信息傳輸機密性以及不可抵賴性風險。在管理上的安全風險主要就是責權不明以及管理的混亂,安全管理制度的不完善和操作性不強,網絡管理員自身方面存在的問題以及缺乏對網絡可控性和可審查性。
2當前我國電力信息網絡安全現狀及應對策略探究
2.1當前我國電力信息網絡安全現狀分析
從當前我國的電力信息網絡安全現狀情況來看,還存在著諸多的問題有待進一步的解決,首先就是電力企業的員工在信息網絡安全意識方面還有待加強,最為突出的就是用戶的安全意識有待加強,系統登陸口令比較的簡單,有的甚至是將賬號以及密碼借給他人使用,對電力信息資源的共享以及管理不理性,這些方面對信息網絡安全都有著比較大的威脅。另外,就是電力企業員工多網絡長時間的占用,從而大量的消耗了網絡資源,從而給電力信息網絡安全的通信增加了負擔,這對電力系統內部的網絡通信效率有了很大的影響,有的由于對網頁的瀏覽以及使用了優盤致使一些網絡病毒在信息網絡中大肆的傳播,從而給電力信息網絡安全帶來了很大的威脅。再者就是缺乏統一的信息安全管理的規范,由于種種因素使得電力信息網絡安全的管理規范還沒有得到統一完善的建立。還有就是在和電力行業特點相適應的信息網絡安全體系方面的建設還沒有完善,在電力系統當中的信息網絡已經滲透到了諸多的領域,在管理以及經營和生產等方面的應用已經是愈來愈多,但實際的安全技術和策略等應對措施比較的缺乏。還有就是信息網絡硬件系統不牢固,這是比較普遍的問題,雖然互聯網的硬件系統已經在安全性和穩定性方面都具備,但依然在一些方面還存在著脆弱性,硬件故障對信息的傳輸會造成不安全的威脅以及信息失真。
2.2針對我國電力信息網絡安全現狀的應對策略
在對電力信息網絡安全的相關問題采取防范措施時,要能夠從實際出發,首先要對電力企業人員在信息安全網絡的意識上得到加強,對員工在信息網絡的安全教育和培訓方面進行強化,要能夠讓電力企業的員工通過教育培訓對電力信息網絡安全的重要性有充分的認識,要能夠對相關的要求規定嚴格的遵守。另外,就是要創建電力信息網絡安全體系的防護骨架,要能夠將其和電力工業特色、企業電腦信息技術的實際得到有機的結合,從而來創建電力新提案權體系的防護骨架,還要能夠根據信息業務的功能,把電力信息系統分成不同的層面,也就是信息網絡安全自動化系統以及生產管理系統和電力信息管理系統,這樣能夠循序漸進有規律的對實際問題加以解決。再者就是對安全管理的強化,首先在網絡的設備安全管理方面,網絡設備的安全管理要能夠將分區防御以及雙網雙機得以實現,進而再建立多層防御以及登記防御的體系,對信息網絡的數據要做好檢測和控制工作,并要能夠對網絡的訪問加以嚴格控制,要進行實施入侵防護措施,在網絡的訪問權限進行設置。對網絡的性能要進行及時的檢測,從而使得網絡的安全運行得以保證,在電力信息的傳輸過程中要進行加密處理,要保證信息的保密性,針對敏感性的數據信息要設置復雜的保密方式,防止非法的偵聽和盜取信息數據。另外還可以通過防火墻的隔離措施進行對非法網絡入侵問題進行防范,安裝入侵檢測系統以及服務器優秀防護系統,對網絡的安全性進行實時的監控,這樣能夠使得電力企業信息網絡安全事故得以較低。為能夠有效的將電力企業的生產控制區安全得以保障,通過在生產控制區以及外部網絡匯接點上架設網絡隔離設備,能夠將生產控制區的安全得以有效的保障,網絡隔離設備能夠在不影響電力系統的狀況下,把生產控制系統的數據單向發到與之相連的MIS網絡或者是其它的業務系統當中,能夠將一些網絡入侵以及病毒的攻擊等得以有效的隔離,這樣就對電力企業的生產控制系統的安全運營有了保障。最后在信道安全方面進行采取相關的手段也能夠對電力信息網絡的安全起到保護作用,在跨廣域網的安全措施方面可通過MPLSVPN將多種業務進行隔離,這樣能夠保證各種業務間的安全性和獨立性,為能夠使得各電力部門的網絡正常的運行,將MPLS進行引入是最佳的解決方案,這樣能夠實現電力調度等生產控制業務在跨廣域網時的安全防護。
3結語
總而言之,在對電力信息網絡安全進行防范的過程中要針對具體的問題進行應對,處在當前的發展階段,電力系統的正常運轉對我國的經濟發展以及人們的生活有著密切關系,所以在信息網絡方面進行加強是保障電力系統正常運轉的重要前提。在未來的電力企業的發展過程中,要能夠將電力信息網絡安全管理得到有效的加強,如此才能夠創建穩定安全的網絡化信息環境。
作者:益雯君 張振武 方方 單位:國網陜西省電力公司銅川供電公司
1醫院信息化管理過程中暴露的各種網絡安全隱患
以C/S為架構基礎的醫院信息系統網絡,已經實現了對醫院各個部門的廣泛覆蓋,大量聯網的計算機在相同的時間段內同時運行,已經與患者在醫院就診的眾多環節相聯系,導致各類業務空前依賴網絡。各大醫院,依靠互聯網實現了聯接,并實現了和醫保之間的聯網,促進了醫院網絡越來越開放,這樣就使得發生網絡攻擊、感染病毒的幾率顯著提高,要是網絡信息系統出現故障,勢必會使得醫院上下的管理與醫療工作遭受影響,使患者、醫院均蒙受無法估計的損失。醫院信息化管理過程中,暴露的安全隱患大部分集中在系統安全、數據安全、網絡安全三大方面。就系統安全來說,具體涉及操作系統安全與物理安全、還有應用程序安全;數據安全涉及數據防護的安全、數據本身的安全;在網絡攻防手段與技術等顯著發展的影響下,網絡安全越來越復雜、多樣,新舊安全威脅同時存在。通常而言,網絡安全問題涉及四大方面,即技術、物理、應用服務、產品。受人為操作出現錯誤或失誤、自然災害、各類計算機攻擊行為影響,造成的計算機網絡無法正常運行,都屬于物理方面;研發設計的信息產品有一定的缺陷存在,或者引進使用、日常維護信息技術,受某些非自主、非可控性影響,產生的安全隱患,都屬于技術方面的;軟件操作系統、硬件設備、應用程序中,被植入惡意代碼或隱藏后門等帶形成的安全威脅都屬于產品方面的;網絡終端與網絡實現連接以后,面對的各種安全問題,像非法入侵、病毒感染,黑客攻擊、違規操作、間諜軟件等,導致主機遭遇劫持、系統網絡中斷、數據被破壞或直接、醫療信息被竊取泄露、病人賬戶隱私遭到盜竊等,均屬于應用服務方面。
2新形勢背景下應對醫院網絡安全問題基本策略
醫院網絡安全會直接影響到醫療業務能否正常開展,構建一個能夠穩定、安全運行的要想實現信息網絡環境安全、穩定地運行,一定要把握安全策略、管理制度、技術手段三大方面之間的有效結合。
2.1安全策略
為了保障服務器能夠高效、可靠、穩定地正常運行,實施雙機熱備、雙機容錯的處理方案非常有必要,關于非常重要的設備,對主機系統供電盡可能使用UPS,一方面有利于供電電壓保持穩定,同時對于突發事件防控具有顯著的作用;針對主干網絡鏈路,網絡架構設計,構建冗余模式非常必要,在主干網絡某條線路出現故障的時候,通過冗余線路,依然可以正常傳輸網絡的信息數據;同時要對業務內網和網絡外網實施物理隔離,防止互聯網同醫療業務網之間出現混搭,有效控制醫療業務數據利用互聯網這個途徑對外泄漏,防止外部網成為非法用戶利用的工具,進入到醫院信息系統或服務器,展開非法操作;為了防止醫院的業務信息發生丟失或遭到破壞,非常有必要構建數據與系統備份容災系統,這樣即便存儲設備或機房發生故障,也能保證信息系統運行較快恢復正常運行;在權限方面實行分級管理,防止發生越權訪問的情況、防止數據被修改,針對數據庫建立專項的審計日志,實時審計關鍵數據,能夠實現跟蹤預警。
2.2技術手段
網絡安全問題日益多樣化,而且越來越復雜,所以依靠技術手段對網絡安全防范,也要注意防御措施的多層次性與多樣性,對以往被動防護的局面轉換,提高預防的主動性。因為醫院在網絡架構上實行外網與內網相隔離,內網上對在安全要求上,內網的要求相對而言更高,安裝的殺毒軟件最好為網絡版,并成立管理控制中心,能夠修復漏洞、對整個網絡進行體檢、修復危險項、查殺病毒等;將防火墻網關設立在外網和內網之間,對非法用戶、不安全的服務予以過濾,能夠及時探測、報警網絡攻擊行為等,對惡意入侵有效防控;還可以通過對專業的入侵檢測系統部署,對防火墻存在的缺陷有效彌補,將眾多關鍵點在網絡中設置,利用檢測安全日志、行為、審計數據或別的網絡信息,對網絡安全問題及時掌握,并做好應對;也可以對安全掃描技術,掃描網絡中存在的不安全因素。
3結語
保障網絡環境的安全性與穩定性是醫院信息化管理的要求,因此必須重視從安全策略、管理制度,技術手段等角度,對醫院信息系統安全全面加強。但是醫院的網絡安全實際上只是相對來說的,絕對的安全是不存在的,所以要立足于自身的實際特點,在實踐過程中持續完善優化,這樣才會保障網絡安全防護體系行之有效,提升醫院信息化管理效率。
作者:李冠宏 單位:徐州醫學院附屬第三醫院
1電力系統信息網絡安全的基本特征及實現要點分析
1.1信息網絡安全的基本特征
(1)相對性。安全系統是相對的,換而言之便是沒有絕對的安全系統;同時,操作系統和網絡管理之間存在相對性,安全性基于系統的不同部件之間能夠發生轉移。(2)相關性。這里指的是配置的相關性。日常管理過程中,不一樣的配置會產生全新的問題,一般的安全測評只能證明特定環境和特定配置的安全性,例如新設備的應用等。(3)時效性。主要體現為新的漏洞及攻擊方式逐漸呈現,比如:NT4.0便從SP1逐漸發展至SP6;現在安全的系統在未來其安全性將會面臨考驗。(4)復雜性。對于信息安全來說,屬于一項較為系統的工程,需融合技術手段及非技術手段,并且與安全管理、培訓及教育密不可分,大致上分析便知其復雜性較高。(5)不確定性。指的是攻擊的不確定性。如攻擊時間的不確定性、攻擊手段及目標的不確定性等。
1.2信息網絡安全的實現要點
(1)需要對網絡系統的硬軟件及數據進行有效保護,對于系統遭到破壞、更改或泄露等情況需實現有效規避。(2)對于外部非法入侵行為需采取有效防止措施,同時加強內部人員的管理及教育,使內部人員的安全意識得到有效提高。(3)信息安全管理者需重視信息網絡安全現狀所存在的問題,例如行為管理的脆弱性,又如網絡配置及技術的不完善性等。在認識到問題的基礎上,制定有效的改善策略,進一步提高電力系統信息網絡的安全性。
2電力系統信息網絡安全架構策略探究
2.1防火墻技術
電力系統當中,為了防止病毒入侵,便需要防火墻技術的介入。目前具備的防火墻指的是設置在不同網絡或網絡安全域間的一系列部件的組合,它屬于不同網絡或者網絡安全域間信息的唯一出入口,可以企業的安全政策為依據,進一步對出入網絡的信息流實現有效控制,同時自身還具備比較強的攻擊能力。另外,它還是提供信息安全服務的重要基礎,也能夠使信息網絡更具安全性。近年來,防火墻技術已經廣泛應用于局域網和Internet之間的隔離。
2.2NAT技術
應用NAT技術,能夠讓一個機構里的全部用戶以有限的合法IP地址為途徑,進一步對Internet進行訪問,這樣便使Internet上的合法IP地址得到了有效節省。另外,以地址轉換為手段,還能夠使內網上主機的真實IP地址實現隱藏,進而使網絡的安全性得到有效提高。
2.3防病毒技術
利用防病毒產品,能夠防止惡意程序的入侵,并起到抵御病毒的作用,進一步使網絡當中的服務器及PC機獲得了有效防護。防病毒產品具備功能強大的管理工具,能夠對文件進行自動更新,讓管理及服務作業更具合理性。另外,還可以使企業的防病毒安全機制更具完善性,具有優化系統性能及解決病毒攻擊等優勢,為電力系統信息網絡的安全性提供了重要保障。
2.4網絡加密技術
網絡加密技術是指對原有的數據或明文文件通過某種特定算法進行有效處理,使其成為一段不可讀的代碼,然后只允許輸入相應的密鑰后才可顯示出原來的內容,通過此途徑為數據的安全性提供保障,同時使數據更具完整性及保密性。
2.5指紋認證技術
對于電力系統來說,其信息網絡安全的身份認證顯得極為重要。在現有的硬件防火墻的條件下,可以進一步應用最新的身份認證技術,即為指紋認證技術。基于電力信息網絡管理過程中,把具有合法特質的用戶指紋存入指紋數據庫當中。使用指紋技術,便可以使認證的可靠性增強。主要原理是,把用戶的密鑰與用戶指紋特征統一存儲在密鑰分配的KDC當中,用戶在應用密鑰時通過自動指紋識別確認身份后從KDC中獲取。
2.6數據加密技術
防火墻及防病毒系統技術能夠對電力系統起到保護作用,同時通過數據加密技術也能夠對電力系統起到保護作用。數據加密技術是一種對網絡傳輸數據的訪問權進行限制的技術,在加密設備與密鑰加密過程中會產生密文,把密文向原始明文還原的過程為解密,是基于加密處理的反向處理,但是對于解密者來說,需使用同樣類型的加密設備及密鑰,才能夠進一步對密文進行有效解密。
3電力系統信息網絡安全構架
通過防火墻、病毒網管及認證服務器,使非授權用戶入侵網絡的情況得到有效防止,進一步使網絡系統的可用性得到有效體現。充分應用CA中心,能夠對用戶起到權限控制作用,并且在結合內容審計機制的基礎上,能夠對網絡資源與信息實現有效控制。通過防毒管理中心,并利用漏洞掃描器,使系統內部安全得到有效保證,進一步保證了信息的完整性。通過VPN與加密系統,保證了信息不會泄露給沒有獲得授權的實體,進而使信息更具保密性。另外,利用入侵檢測及日志服務器,能夠為網絡安全問題提供檢測方面的有效依據,使信息實現可審查的特征,進一步充分保證了信息的可靠性及安全性。
4結束語
通過本課題的探究,認識到電力系統網絡安全還存在一些較為明顯的問題,如信息化建設步伐較為緩慢及病毒的侵害等。對于電力系統信息網絡來說,它不僅是一項技術,而且還是一項較為復雜的系統工程。該項系統工程需要技術、管理及策略作為依據。在現代化背景下,信息網絡安全仍有很大進步及改善的空間,因此做好電力系統信息網絡安全研究工作便有著實質性的作用。對于電力系統工作人員來說,需要充分解決電力信息系統網絡安全架構所遭遇的阻力及不利因素,進一步完善電力信息網絡安全工作。
作者:方方 益雯君 張振武 單位:國網陜西省電力公司銅川供電公司
1校園網安全威脅因素
校園網作為因特網的重要組成部分,為教學提供了極大的方便。由于管理和使用等因素,校園網面臨著嚴重的安全威脅。其中主要體現為水災、雷擊或者操作人員的操作不當而導致的硬件或者網絡系損壞,另外黑客攻擊是校園網系統的主要安全影響因素。近年來,隨著網絡技術的發達,木馬安裝程序也越來越精密,不但影響公共網絡,也給校園網的安全帶來極大的沖擊。學生作為主要操作者,缺乏專業的技術,因此容易出現操作失誤現象。另外,學生的好奇心會導致系IP被修改,或者進入不安全網頁,導致計算機系統被病毒侵害。另外,校園網系統還面臨著系統應用問題和管理風險。系統應用問題主要體現為操作系統安全隱患和數據庫安全隱患。由于系統自身設計不完善,將導致操作系統存在致命的安全隱患,這需要檢修人員和技術人員及時發現并對其進行處理,以免出現重大安全事故。計算機服務器終端安全風險將導致整個系統的安全系統下降,出現安全漏洞,影響計算機的使用壽命。從這一點上,確保操作系統的信息安全是管理者的重要任務。但在校園網管理上,由于受到高校制度和對網絡教學或者計算機實踐教學重視程度不夠的影響,管理安全隱患十分明顯。目前,校園網安全管理依然是人在管理,管理效率低下的主要原因在于管理人員的綜合素質不高,管理制度不明確。要解決這一問題,就需要對校園網管理制度進行調整。
2校園網絡安全防范設計方案
為了提高校園網的安全系數,應建立可靠的拓撲結構,其中包括備份鏈路、必要的網絡防火墻以及VPN的構建。具體過程如下:
2.1利用備份鏈路優化校園網的容錯能力
備份鏈路的使用可有效提高網絡的容錯能力,降低安全風險。主要應用于路由器同系統優秀交換機之間,其作用在于對學生連接的外網進行檢驗和排查,控制非法連接,從而提高被訪問網頁的安全系數。在優秀交換機之間同樣可進行雙鏈路連接和端口聚合技術,從而確保鏈路之間的備份,提高交換帶寬。
2.2計算機防火墻的合理應用
計算機防火墻在校園網安全中起著決定性的作用。通過防火墻的建立,可攔截存在安全隱患的網頁。操作人員可在防火墻上預設適當的安全規則ACL,對通過防火墻的數據信息進行檢測,處理存在安全隱患的信息,禁止其通過,這一原理使得防火墻具有安裝方便,效率高等特點。在計算機系統中,防火墻實際上是外網與內網之間連接的唯一出口,實現了二者之間的隔離,是一種典型的拓撲結構。根據校園網自身特點,可對這一拓撲進行調整,將防火墻放置于優秀交換機與服務器群中間。其主要原因為:防止內部操作人員對計算機網絡系統發起攻擊;降低了黑客對網絡的影響,同時實現對計算機網絡系統的內部保護和外部保護,使流經防火墻的流量降低,實現其高效性。但是隨著科技的發達,網絡木馬的類型逐漸增多,這要求防火墻技術也要不斷的更新,以發揮其積極作用。將計算機防火墻同木馬入侵檢測緊密結合在一起,一旦入侵檢測系統捕捉到某一惡性攻擊,系統就會自動進行檢測。而這一惡性攻擊設置防火墻阻斷,則入侵檢測系統就會發給防火墻對應的動態阻斷方案。這樣能夠確保防火墻完全按照檢測系統所提供的動態策略來進行系統維護。
2.3VPN的構建
VPN主要針對校園網絡的外用,尤其是針對出差人員,要盡量控制其使用校內網絡資源。如必須使用,則要構建VPN系統,即在構建動態的外部網絡通往校園網的虛擬專用通道,也可建立多個校園網絡區域之間的VPN系統連接,提高安全防護效率。
2.4網絡層其他安全技術
網絡層其他安全技術主要體現為:防網絡病毒和防網絡攻擊。現在網絡病毒對網絡的沖擊影響已經越來越大,如:非常猖狂的紅色代碼、沖擊波等網絡病毒,所以有必要對網絡病毒繼續有效的控制;而網絡中針對交換機的攻擊和必須經過交換機的攻擊有如下幾種:MAC攻擊、DHCP攻擊、ARP攻擊、IP/MAC欺騙攻擊、STP攻擊、IP掃描攻擊和網絡設備管理安全。
3校園網的安全管理方案
計算機管理也是校園網安全的主要控制方案。在促進管理效率提高的過程中,主要可以采取VLAN技術、網絡存儲技術和交換機端口安全性能提高等方案,具體表現為以下幾個方面:
3.1應用VLAN技術提升網絡安全性能
VLAN技術是校園網安全管理中應用的主要技術,這一技術的應用有效的提高了計算機安全管理效率,優化了設備的性能。同時對系統的帶寬和靈活性都具有促進作用。VLAN可以獨立設計,也可以聯動設計,具有靈活性,并且這一技術操作方便有利于資源的優化管理,只要設置必要的訪問權限,便可實現其功能。
3.2利用網絡存儲技術,確保網絡數據信息安全
校園網絡數據信息安全一直是網絡安全管理中的主要任務之一。除了技術層面的防火墻,還要求采用合理的存儲技術,確保數據安全。這樣,不但可以防止數據篡改,還要防止數據丟失。目前,主要的存儲技術包括DAS、RAID和NAS等。
3.3配置交換機端口控制非法網絡接入
交換機端口安全可從限制接入端口的最大連接數、IP地址與接入的MAC地址來實現安全配置。對學生由于好奇而修改IP地址的行為具有控制作用。其原理在于一旦出現不合理操作,將會觸發和該設備連接的交換機端口產生一個違例并對其實施強制關閉。設置管理員權限,降低不合理操作。配置交換機端口可實現將非法接入的設備擋在最低層。
4總結
校園網在為教學提供方便的同時,其安全也值得重視。基于校園網安全防護的復雜性和科技的快速發展,其安全防范技術也逐漸增強。本文提出了校園網網絡安全防范方案其中主要研究了計算機系統的防病毒處理。取得了一定的效果,但具有一定的問題需要解決。其中包括檢測與防護之間的聯動如何實現,防護策略如何更新等。校園網的安全防護對于計算機網絡的整體安全具有十分重要的作用,實現這一系統安全是教學中的主要任務。雖然很多學校開始重視互聯網的安全防護,構建了較為完善的防護制度,出臺了具體的防護措施。但計算機黑客攻擊時刻存在,并且病毒對計算機造成的毀壞越來越大,如何構建一套積極可行的校園網安全防護手段是學校計算機管理人員的主要任務。
作者:楊海亮 單位:青海警官職業學院
一、三網融合技術對網絡安全工作的要求
三網融合是將互聯網、電信網絡和有線電視網絡從原本分離的狀態整合到一起,實現網絡三合一。三種網絡以多媒體子系統為優秀,從網絡、業務和終端三個角度進行網絡架構。網絡已經成為人類生活的一部分,三網融合,會使現實生活更為便捷,在三網融合技術的帶動下,網絡虛擬社會逐漸形成。三網融合對網絡安全監管工作提出要求,技術的升級必然要求管理的創新。公安系統在維護社會秩序的同時還要重視網絡社會的秩序管理,現實社會和虛擬社會的并行進步,各個警種在技術上交織共通,快速適應三網融合后的網絡社會,尤其是虛擬網絡社會,及時了解虛擬網絡社會的管理規則,分析信息社會的發展態勢,制定相應的管理制度。網絡安全監管是公安系統的重要工作。隨著三網融合技術的出現,公安機關更要通過更新監管理念,創新監管手段來解決三網融合帶來的網絡安全監管問題。網安部門要提前對工作人員網絡培訓和考核,要求全員能夠應用網絡技術對虛擬社會全方位監控和管理,明確網絡法律和職權分工,網上和網下工作同步展開,形成網絡安全工作的體制和機制,認清當前的社會融合趨勢,各個警種之間協調工作,從組織上和技術上應對三網融合后的信息社會。
二、三網融合后網絡安全監管工作重點
第一,從高處著手,全局著眼,建立新一代全國網絡安全監管系統。網絡不受行政規劃界限,全國統一管理,跨區域、跨省市協調合作,全面實現全國性的網絡安全監管。第二,以地級市為基本單位,明確機構職責,至上而下延伸管理工作。第三,以現代化和社會化的管理手段創新和完善網絡安全管理制度,樹立以人為本的監管理念。建立虛擬身份實名制的信息登記制度,一旦出現問題能夠從現實身份著手調查和懲處。第四,在網絡上應用現實社會的管理模式,實現顯示身份和虛擬身份的對接,在虛擬網絡上建立網絡社區的警務室,以現實社會的標準來規范網絡社會。處理好公安部門、政府部門和網絡信息機構的關系,明確各自職能,在網絡安全監管方面協調一致,形成規范化制度約束,實施社會化管理制度。動員社會各界力量參與網絡安全監管工作中來,選取有責任感的社會成員在網絡上擔任監管角色,成立網絡安全社區監管辦公室,尤其大量培養青年管理人才對網絡安全進行隨時監督。三網融合后,網絡力量會大于現實社會的動員力量,網絡組織對于網絡安全的重要性凸現出來,網絡組織的成立起到保障國家安全,維護社會穩定的重要作用。三網融合后的網絡必須由政府進行積極引導,任何影響力大的言論都不能淹沒政府的聲音,這就需要公安機關采取措施使網絡不能脫離監管視野。一是做好網絡安全監管基本工作,對網民摸底調查,各地基層的公安系統核對網民信息實名制,上報地方網民注冊數量,以社區為單位統計網民個人信息。二是對群眾開展網絡安全教育,提高群眾對網絡毒害的警惕性,大力宣傳社會主義優秀價值觀堅持愛國愛黨,相信黨和國家,抵制網絡負面輿論,參與維護國家安全和社會穩定。對煽動群眾不滿情緒、歪曲黨政事實、傳播反動事件的人員嚴加管理,必要時按照登記的實名實施跟蹤抓捕,在網絡上宣傳正能量,對敏感人群用正面思想加以引導。培養網絡領袖引領時代新風,從技術上和管理上維護網絡內容積極向上。三網融合后的安全監管的對象應該是人與人之間的行為。公安機關實行網絡監管主要還是對人的網絡行為進行監管,每個網絡人都有其現實身份,網絡監管針對的就是網民的現實身份。三網融合需要建立網絡信任體系,網絡信任體系所依靠的就是身份認證和身份識別。大多數網站都需要用真實身份注冊,再用手機或郵箱驗證確認身份。在網上經營開店都需要進行實名認證,這就是建立網絡信任的通行證,但在大多數網絡領域并沒有實施網絡實名認證,網絡實名認證的普遍應用應該是現代網絡體系的發展趨勢。網絡信任體系的建設符合社會化管理的基本要求,三網融合發展必然要求建立起網絡信任,網上和網下兩個社會需要信任機制來關聯,網絡信任體系能夠反映網民的真實信息,從而約束網絡行為,便于公安部門網絡管理。
三、三網融合技術的現代應用
三網融合的技術先進在于簡化線路,用一根網線代替過去每根線只連接一種網絡。隨著互聯網的普及,每個家庭都需要接入網線,三網融合可以大量縮減接入的網線數量。網民的注冊信息可以通過小區物業來提供。以居住小區為單位,可以使網民信息的真實性得到確認和保障,小區物業本身就有該小區居民的真實信息,通過物業與公安機關的數據庫聯網,減輕了公安機關統計信息數據的工作量,對人口摸底調查工作提供條件。政府放權進行社會治理,小區的警務室承擔了保證小區安全的責任,網民的注冊信息匯總于物業,經過警務室查審,信息準確度高,管理集中方便,可以開拓社會治理新局面。三網融合對網絡防護技術提出了更高的要求。三網融合的實質是將語音業務、數據業務和視頻業務的融合在一起。相應的,融合后的網絡技術也要隨著發生變化。以IP協議、IMS技術、IP/MPLS技術為優秀的三網融合技術路線根據網絡的不斷發展及時調整,創新安全管理制度和管理技術,圍繞三網融合技術架構,創新網絡安全防御。首先是終端融合,將電視屏、電腦屏和手機屏三合一,三網融合突顯了終端安全的重要性,終端安全影響著整個網絡的安全。這樣要求我們制定終端安全優秀計劃,給予終端標準的安全配置,將終端安全問題出現的可能性降低,一直以來,我國缺少終端安全配置標準,對終端設備對國外技術有很大依賴,在這一領域出現了很多安全問題,三網融合可以借鑒美國優秀配置計劃,研制出適合我國網絡發展的終端優秀配置計劃,保證國家網絡安全。公安機關在終端安全配置計劃方面可以根據實際的網絡安全監管情況制定我國的終端安全計劃。第一是制定終端安全配置標準指南。按照我國的政策標準和用戶的實際需求,從用戶權限、網絡密碼、端口、服務等方面提出安全管理策略的指南,重點對操作系統和應用軟件實施管理,制定出適合本國國情的安全配置策略。第二是協調信息技術相關單位研發終端安全配置標配工具,比如測試工具、應用程序兼容性、安全內容自動化協議檢查工具等。三是進行標準的驗證與試點,包括有效性測試、一致性測試和試點應用驗證等。三網融合要求對視頻內容加以監控,電視網絡的融入決定了未來網絡社會視頻信息量的增大,針對視頻網絡發展趨勢必須提早研發出視頻信息監管技術,比如對視頻信息的自動監控系統,對不良視頻的過濾與屏蔽,監督視頻異常等,公安部門利用視頻監控技術對視頻信息安全監控管理。我國要研發出信息網絡屏障,對我國的重要信息加密,以防敵對勢力盜取重要信息,或利用網絡渠道傳播暴力色情等違法內容。三網融合后的網絡視頻信息會逐年增長,視頻信息監控成為當前網絡技術的重點和難點。視頻網絡防御技術要基于視頻和音頻搜索,提取有害視頻,做出一幀圖像或一段視頻按照有害視頻的特征和描述匹配識別,提取約減,采取矢量分析,流媒體協議分析等,并對技術加以攻關,爭取快速實現視頻自動識別和自動屏蔽。應對當前無邊界的網絡發展趨勢,建立集中的安全服務中心。高度整合計算和存儲資源,打破物理邊界,安全服務要重點放在整個云計算的安全防護上。當前的網絡存儲資源、計算資源等形態都為虛擬化做出了重要支撐,嘗試建設以虛擬化為支撐的安全防護體系,以虛擬化技術為基礎合理分配計算資源和存儲資源,用虛擬化之間的邏輯隔離為云計算服務商提供按需服務,實現子站群之間的信息安全。
四、結語
在公有云和私有云內部分別建立安全中心,主要功能為防病毒和漏洞,在兩種云之間建立信息交換的安全通道,利用云計算技術解決整合資源、提高效率的問題,促進網站群建設的發展。
作者:楊君普 單位:中共遼寧省委黨校
1計算機網絡安全的含義
所謂的計算機網絡安全,是將計算機及其設備實施置于一個網絡系統中,通過利用現代網絡管理技術和控制方法確保計算機內數據信息不受到病毒、黑客等危險因素的威脅,使計算機網絡能正常運轉。綜合來說,計算機網絡安全一般都包括兩個方面,分為物理安全和邏輯安全。物理安全指的是計算機的硬件設備設施不發生相關的破壞和丟失現象。而邏輯安全指的是計算機信息的完整不受到破壞,避免受到不安全因素的影響。針對計算機網絡安全的具體分類,采取科學的措施保證計算機網絡系統中數據信息的安全,實現計算機網絡的正常有序進行。
2計算機網絡安全的影響因素
2.1計算機網絡硬件的配置不科學
文件服務器作為計算機網絡的的傳輸中心,是決定計算機系統穩定性的關鍵因素。在實際的計算機網絡運營中,服務器并沒有同計算機網絡的運行需求相配合,在結構設計等方面未形成完備的計劃,影響了計算機網絡性能的延展性,使文件服務器功能的發揮上大打折扣。
2.2欠缺健全的管理制度
計算機的管理是規范計算機正常運行的重要制度保證,但是很多計算機網絡應用系統的管理力度不夠,缺乏對計算機管理的有效控制,影響計算機的正常秩序。
2.3計算機安全意識不足
在計算機系統內會有無數的節點,各個節點都有可能導致計算機數據泄露。加之防火墻配置上并未對訪問權限有嚴格的規范,使得計算機的訪問權限的訪問范圍不段擴大,容易被不法分子濫用竊取計算機內的重要數據信息。
3確保計算機網絡安全的應對措施
3.1制定合理的網絡系統結構
計算機網絡安全需要依靠合理的網絡系統設計,網絡系統的結構是影響計算機網絡安全的重要因素。所以應該形成完備的計算機網絡系統結構,在不斷地運行中積極尋找更好的計算機網絡運行的規劃設計。但同時要重點注意局域網的運行,因為局域網的技術應用是以廣播為媒介的網絡,系統中的任何兩點會形成基礎的通信數據,被存在于這兩點的網卡所接收,當然數據的傳輸過程中還有可能受到系統內任意一點網卡的干擾,截取相關信息。可見,計算機網絡的不安全因素隨時存在,只要將相關的竊聽裝置安裝于任何一點便可盜取相關數據信息,嚴重威脅著計算機網絡的安全運行。
3.2強化對計算機網絡的系統管理
如何有效對計算機網絡的不安全因素進行控制,需要加強對其的管理控制。通過建立健全安全管理體制,切實提高計算機網絡的安全管理水平。堅決杜絕計算機的非法用戶接觸計算機或者進入計算機控制室惡意破壞計算機的行為。在硬件設備的保護上,要重點打擊破壞計算機的非法行為,尤其是要特別注意計算機網絡服務器、打印機、路由器等設備設施上。同時要保證計算機室內的運行環境符合計算機運行的要求條件,例如室內溫度、濕度、清潔情況、插座電源等要定期檢查,確保能正常工作。
3.3安裝計算機殺毒軟件
時代的不斷發展,促使計算機病毒也在不斷地更新,一旦發生計算機網絡病毒就會導致計算機網絡系統的全部癱瘓,給計算機造成無法挽回的后果。而殺毒軟件可以說是計算機病毒的克星,可以有效地防止計算機病毒的侵襲,保護計算機系統不受到病毒的威脅。所以在計算機網絡的安全防護中要運用好殺毒軟件的作用,在計算機內安裝殺毒軟件,進行系統定期的病毒查殺。但是很多計算機用戶對計算機病毒的認識不夠,認為計算機病毒只需要注重感染后的及時殺毒便可以,殊不知病毒最重要的是要“防”。在病毒發生之后,被動進行計算機病毒的查殺的行為只能暫時消滅病毒,而不能從根本上進行查殺,具有一定的局限性。另外,計算機病毒的特性促使其變化多樣,所以一定要安裝計算機病毒殺毒軟件,及時發現計算內潛在的病毒并進行徹底的消除。同時,要定期對計算機進行全面殺毒,確保計算機的軟件和硬件設備能正常工作。
3.4實施防火墻
近幾年來,防火墻的應用越來越受到人們的關注。是近幾年發展起來的一種保護計算機網絡安全措施,可以有效地控制信息進出,是保護信息安全最基本的安全防護措施之一。防火墻可以真正組織非法用戶入侵計算機系統,在逐步提高安全性的同時將有害的信息進行過濾,提高安全等級。防火墻的工作原理很簡單,將所有的密碼、口令信息都記錄在防火墻上,另外對計算機系統的訪問都要經過防火墻的審核。如果發現有不當的地方應該及時指出并同工作人員進行溝通解決。
3.5實施數據加密保護
數據加密是在計算機病毒防護中運營比較靈活的策略,在開放性的網絡里應用最為廣泛,最主要的作用是保護計算機內的數據信息,例如文件、數字等信息免遭病毒的破壞。在使用計算機時,一定要特別注意密碼的保護功能,針對不同的需求進行不同密碼的設置。在設置密碼時要遵循一定的原則:首先盡量不要使用同一個密碼,避免因一個密碼的丟失而造成所有隱私的泄露。其次,在設置密碼時最大程度加大密碼設置的繁瑣程度,包含數字、字母、標點符合等多種形式,加大破解密碼的難度。最后一定不要在登錄時點擊記住密碼功能,這樣會給不法分子趁機盜取重要信息造成可乘之機,導致嚴重的后果發生。
3.6嚴格控制網絡權限
并不是所有的人都可以無限制的進行計算機系統的使用,只允許一部分人有訪問和使用計算機網絡的權限。這樣可以極大地加強計算機系統的保密性,設置重重障礙阻止不法之徒闖入計算機網絡系統當中,破壞計算機的正常運行。只有具有規定權限的人員才可以被允許有計算機網絡訪問的權限。在進行訪問時,最先有相應的用戶名和密碼,只有輸入正確服務器才會顯示下一步的訪問操作,申請訪問的人員在經過計算機的審查后方可進入計算機應用系統中。在這過程中,如果反復使用密碼但均錯誤的時候,則被視為非法入侵,隨之會有警報進行預警,計算機系統會迅速調整運作程序,阻止不利因素的破壞。
4結語
綜上所述,計算機網絡安全的內容是復雜的,包含技術、設備、安全等多個方面,很容易受到來自外界不利因素的影響。計算機網絡信息系統是將安全操作技術、防火墻技術、密碼保護措施以及訪問權限設置等多種技術綜合運用的系統,在不斷地改進管理和技術的基礎之上更好地進行網絡安全防護。并且要依據國家法律法規的相關規定,對計算機網絡安全技術進行規范和管理,為實現計算機網絡的安全奠定堅實的基礎。
作者:何炎 強立新 單位:陜西廣電網絡傳媒集團股份有限公司榆林分公司
1現階段存在的計算機網絡安全問題
計算機網絡安全問題主要是指通過采取相關措施來保障計算機以及計算機信息資源和網絡資源不受自然和人為等其他有害因素的威脅、影響以及危害,其中主要涉及計算機軟硬件以及系統中所存放的資料數據的安全性,保證不受偶然因素以及惡意破壞的影響。與此同時計算機網絡安全的定義也不是固定不變的,隨著計算機使用者角度的不斷變化,計算機網絡安全的定義也隨之變化。計算機網絡信息安全問題不僅不利于計算機網絡的進步與發展,同時也為我國計算機網絡安全提出了新的挑戰。通常情況下,計算機網絡信息的公開性以及計算網絡信息安全之間是存在很大矛盾的,兩者很難共處。網絡信息的公開性拓寬了信息的共享渠道,給眾多網民帶來了更豐富的娛樂以及生活方式,但同時也給網絡信息安全問題帶來更大的壓力,很多的網絡安全問題是無法避免的。通常情況下,導致信息網絡安全的因素既包括客觀因素也包括主觀認識不足的因素。計算機網絡系統自身存在的缺陷、漏洞以及計算機使用者技術等問題都有可能引起計算機網絡安全問題。
1.1計算機自身存在的病毒問題
在計算機編程以及程序中,所插入的能夠破壞計算機功能和數據的計算機指令或者是程序代碼,它主要是影響計算機正常使用并且具有自我復制功能。計算機病毒一般都具有破壞力大、傳播性強以及潛伏期長的特點。一旦計算機遭受了病毒的侵害,就會帶來難以彌補的損失。蠕蟲病毒以及宏病毒是目前較為常見的計算機病毒。
1.2計算機黑客的非法攻擊
在計算機網絡信息訪問中,往往會存在一些計算機黑客利用計算機系統中存在的不足以及自身所具備的一些計算機技巧對計算機信息進行一些非授權的網絡訪問。這種互聯網入侵通常情況下主要是為了獲取一些數據庫資料以及對資源信息進行篡改。除此之外計算機黑客也可以通過破壞計算機的系統平臺來破壞系統所具備的功能。
1.3計算機自然威脅
隨著使用時間的增長,計算機的某些功能也會出現一定的損壞,這就會阻礙一些正常的計算機網絡瀏覽。除此之外計算機網絡也會受到計算機所處環境、光纖老化以及自然災害等客觀上存在的威脅,如果達到一定程度這些問題也有可能會誘發安全事故。
1.4計算機使用者非主觀威脅
計算機使用過程中,由于使用者的不當操作也會給計算機網絡安全帶來一定的威脅。有些網民因為對于網絡安全防范意識的缺乏,無法采取正確的網絡安全防范措施,就會在計算機指令輸入時出現偏差。
2計算機網絡安全防范措施
2.1計算機自身管理使用
2.1.1計算機中安裝網絡防護軟件
為了從源頭上進行計算機網絡安全的防范,需要在計算機中進行網絡防護軟件的安裝,只有這樣才能夠有效的實現計算機的安全防護。在計算機中安裝優質的網絡防護軟件,不僅能夠隨時的將一些不經常使用的信息端口關閉,同時對于木馬病毒的侵入以及網絡黑客的攻擊起到一定的防范作用。
2.1.2計算機使用過程中及時進行補丁下載
在計算機使用過程中,需要及時的進行相應的補丁下載。如果在網絡使用中,不及時的下載一些相應的補丁,就會大大的提高系統的被入侵的可能性。通過對計算機網絡相應補丁的及時下載,不僅能夠有效的彌補計算機網絡使用系統中存在的不足,也能夠有效的規避網絡安全隱患。在計算機使用中可以安裝一些專門的漏洞掃描器,例如tiger、COPS等軟件,同時也可以應用一些計算機防護軟件,以便能夠及時的進行計算機軟件掃描以及漏洞補丁的下載。
2.1.3及時進行計算機數據資料備份
計算機使用過程中,對于計算機中的數據信息及時的進行備份在一定程度上也能夠降低計算機網絡安全問題所造成的損失。在計算機使用過程中,及時的將一些重要信息進行復制或者是有效的數據轉移則被稱為計算機數據庫備份。通過數據庫的備份,當數據出現損壞時,用戶可以通過數據內容的拷貝來重新獲得數據信息。數據備份不僅是一種簡單的規避風險的措施,同時也是有效解決計算機網絡安全隱患的措施。
2.1.4應用計算機加密技術
通過較為專業的計算機手段對一些重要的文件進行加密便是通常所說的加密技術。計算機加密技術主要包括文件加密技術以及簽名加密技術。采用計算機加密技術是有效進行規避計算機網絡安全威脅的重要舉措。用戶簽名加密技術以及文件加密技術按照加密技術功能的不同可以劃分為數據傳輸、存儲以及完整性的三種鑒別。在整個加密文件中用戶簽名技術是非常關鍵的,在使用中用戶可以通過簽名技術來進行電子文檔的驗證以及辨認,同時通過此技術的應用能夠有效保證文件的不可侵犯性以及完整性。
2.2計算機個人管理
通過對計算機個人管理來實現計算機網絡安全的防護主要是是指:通過計算機使用者進行自我約束將有效降低計算機網絡安全的威脅;另外是指通過對他人進行有效的約束來降低計算機網路完全的威脅。計算機網絡信息安全與整個社會的安全與進步是有很大關聯的,保證了計算機網絡信息安全也意味著實現整個社會的安全防護。
2.2.1加大教育投入,培養計算機網絡人才
加大教育投入,培養計算機網絡人才是非常有必要的。人才以及技術是計算機使用的關鍵,通過計算機專業人才的培養不僅能夠保障和諧的網絡環境,同時也能夠對一些不法的計算機信息盜用者起到一種震懾作用。
2.2.2強化計算機使用者的安全防護意識,加強內部管理
計算機網絡安全防范中七分靠管理三分靠技術,提高網絡技術管理能有效的降低網絡安全問題隱患,是非常有必要的。在計算機使用過程中首先使用者應該對于網絡安全有正確的認識,只有網絡安全防護意識提高了才能夠在使用進行網絡使用中多加注意。除此之外在計算機使用中應該進行密碼的設置,計算機所有的相連設備以及主機都應該設置密碼,同時密碼也應該夠長,不容易被破解,密碼也需要進行定期的更換。因此在計算機使用中需要采取有效的計算機人員管理辦法,只有不斷增強計算機人員的安全防護意識,才能有效降低網絡安全事故的發生。
3結語
計算機網絡安全事故的發生存在其固有的客觀性,在計算機使用中樹立較好的計算機網絡安全意識,能夠有效降低計算機網絡安全事故的發生。在計算機的使用過程中,通過采用多種有效的計算機網絡安全防范措施,將在一定程度上增強計算機網絡使用的安全指數。
作者:強立新 何炎 單位:陜西廣電網絡傳媒集團股份有限公司榆林分公司
1網絡安全態勢感知的由來
網絡安全態勢感知是針對網絡安全隱患提出的新型技術,其研究歷史也是由來已久。20世紀90年代,網絡安全態勢感知是由Bass等網絡信息專家首次提出,通過為了深入研究這項技術,借鑒了空中交通監管態勢感知,并其中的理論知識和相關技術運用到網絡網絡安全態勢安全態勢感知體系中,并為其發展創造了良好的開端。進入到21世紀初期,網絡安全態勢感知引入了SILK系統,其作用規模性的監測對網路安全態勢感知。同時,很多網絡信息計算方面的專家對以后網絡安全的發展方向作出了預測,使網絡安全隱患處在了一個可控的范圍內。根據目前我國網絡安全實際情況,關于網絡安全態勢感知體系正做著積極地研究,但其實際應用的普及度還亟待提高。
2網絡安全態勢感知體系結構
(1)體系主要技術
網絡安全態勢感知對網絡安全信息的管理有著很好的效果,其效果的實現是結合了多種網絡網信息安全技術,比如防火墻、殺毒軟件、入侵檢測系統等技術,其作用主要表現在對網絡安全的實時檢測和快速預警。通過實時檢測,網絡安全態勢感知可以對正在運行的網路安全情況進行相應的評估,同時也可以預測網絡以后一定時間的變化趨勢。
(2)體系組成部分
網絡安全態勢感知體系可以劃分成四個部分。第一部分是特征提取,該層的主要作用是通過防火墻、入侵檢測系統、防病毒、流控、日志審計等系統整理并刪選網絡系統中眾多的數據信息,然后從中提取系統所需要的網絡安全態勢信息;第二部分是安全評估,該部分屬于網絡安全態勢感知體系的優秀部分,其作用是分析第一部分所提出的信息,然后結合體系中其他網絡安全技術(防火墻、入侵檢測系統等)評估網絡信息安全的運行狀況,給出評估模型、漏洞掃描和威脅評估;第三個部分就是態勢感知,這一部分的作用是識別網絡安全評估的信息和信息源,然后明確雙方之間存在的聯系,同時根據評估的結果形成安全態勢圖,借此來確定網絡安全受威脅的程度,并直觀反映出網絡安全實時狀況和發展趨勢的可能性;最后一部分是預警系統,這個部分是結合安全態勢圖,對網絡運行中可能受到的安全威脅進行快速的預警,方便安全管理人員可以及時的檢查網絡安全的運行狀況,然后通過針對性的處理措施解決網絡安全隱患。
3網絡安全態勢感知關鍵技術
(1)數據挖掘技術
隨著網絡信息技術的成熟,網絡中的信息量也在不斷增多,同時又需要對這些數據進行快速的分析。針對這種問題,數據挖掘技術就應運而生,其目的是在大量的安全態勢信息中找出有價值且能使用的數據模式,以便檢測不確定的攻擊因素和自動創建檢測模型。數據挖掘廣義上理解就是挖掘網絡中眾多的信息,但挖掘出來的信息是人們所需要的,而按照專業人士的解釋,數據挖掘就是從大量的、不完全的、有噪聲的、模糊的、隨機的實際應用數據中發現隱含的、規律的、人們事先未知的,但又有潛在有用的并且最終可理解的信息和知識的非平凡過程。其中提出的信息和知識由可以轉換為概念、模式、規則、規律等形式。在知識的發現中數據挖掘是非常重要的環節,目前這項技術開始逐漸進入到網絡安全領域,并與入侵檢測系統進行了結合,其中運用的分析方法主要包含4種,即關聯分析、聚類分析、分類分析以及序列模式分析。關聯分析的作用是挖掘各種數據存在的某種聯系,就是通過給定的數據,挖掘出支持度和可信度分別大于用戶給定的最小支持度和最小可信的關聯規則。序列模式分析與關聯分析類似,但其分析更多的是數據之間的前后聯系,即使通過給定的數據,找出最大序列,而這個序列必須是用戶指定,且屬于最小支持度。分類分析對集中的數據進行分析和歸類,并根據數據的類別分別設置不同的分析模型,然后再分類其它數據庫的數據或者信息記錄,一般用的比較多的模型主要包括神經網絡模型、貝葉斯分類模型和決策樹模型。聚類分析與分類分析都是屬于數據的分類,但兩者的區別在于前者不需要對類進行提前定義,其分類是不確定的。具體細分下來聚類分析法又包括以密度為基礎的分類、模糊聚類、動態聚類。關聯分析與序列分析大多用在模式的發展以及特征的構建,分類分析與聚類分析大多用在模型構建完成之后的檢測環節。現階段,雖然數據挖掘已應用到網絡安全領域,也具備較好的發展趨勢,但使用過程中還是有一些問題需要解決。比如,獲得數據挖掘需要的數據途徑較少,數據挖掘的信息量過大,效率較低,費時又費力,難以實現實時性。
(2)信息融合技術
信息融合技術也叫做數據融合技術,或者是多傳感器數據融合,它是處理多源數據信息的重要工具和方法,其作用的原理是將各種數據源的數據結合在一起然后再進行形式化的描述。就信息論而言,相比于單源的數據信息,多源數據信息在提供信息量具有更好的優勢。信息融合的概念在很早以前就提出,而由于近些年高級處理技術和高效處理硬件的應用,信息的實時融和逐漸成為網絡信息技術領域研究的新趨勢,其研究的重點就是對海量的多源信息的處理。正是基于這種研究,信息融合技術的理論研究以及實際應用取得顯著的效果。就信息融合的標準而言,美國數據融合專家組成立之初就進行了相應的工作,且創建了數據融合過程的通用模型,也就是JDL模型,該模型是目前數據融合領域常用的概念模型。這個模型主要有四個關于數據融合處理的過程,即目標提取、態勢提取、威脅提取和過程提取。這些過程在劃分上并不是根據事件的處理流程,每個過程也并沒有規定的處理順序,實際應用的時候,這些過程通常是處于并行處理的狀態。目標提取就是利用各種觀測設備,將不同的觀測數據進行收集,然后把這些數據聯合在一起作為描述目標的信息,進而形成目標趨勢,同時顯示該目標的各種屬性,如類型、位置和狀態等。態勢提取就是根據感知態勢圖的結果將目標進行聯系,進而形成態勢評估,或者將目標評估進行聯系。威脅提取就是根據態勢評估的結果,將有可能存在威脅的建立威脅評估,或者將這些結果與已有的威脅進行聯系。過程提取就是明確怎樣增強上述信息融合過程的評估能力,以及怎樣利用傳感器的控制獲得最重要的數據,最后得出最大限度提高網絡安全評估的能力。
(3)信息可視化技術
信息可視化技術就是利用計算機的圖像處理技術,把數據信息變為圖像信息,使其能夠以圖形或者圖像的方式顯示在屏幕上,同時利用交互式技術實現網絡信息的處理。在計算技術不斷發展的條件下,信息可視化的的研究也得到了不斷的開拓。目前信息可視化研究的領域不再局限于科學計算數據的研究,工程數據以及測量數據同樣也實現了信息的可視化。利用信息可視化技術,可以有效地得知隱藏在數據信息中的規律,使網路信息的處理能獲得可靠的依據。就計算機安全而言,目前網絡安全設備在顯示處理信息結果上,只是通過簡單的文字描述或者圖表形式,而其中的關鍵信息常常很難被提取出來。網絡安全態勢感知體系的主要作用就是通過融合和分類多源信息數據,使網絡安全里人員在進行決策和采取措施時能及時和找準切入點。這就需要將態勢感知最后得出的結果用可視化的形式顯示計算機系統中,充分發揮人類視覺中感知和處理圖像的優勢,從而保證網絡的安全狀態能得到有效地監控以及預測。故而,作為網絡安全態勢感知體系的關鍵技術,可視化技術的發展以及實際應用有了顯著的效果,對于網絡安全態勢感知中的攻擊威脅和流量信息發揮重要的作用。同時,可視化技術的主要作用就是將態勢感知的結果以人們便于認識的形式呈現出來,那么就需要考慮到態勢信息的及時性和直觀性,最后顯示的形式不能太過復雜。此外,未來網絡安全態勢感知體系中可視化技術,還需要解決怎樣把具有攻擊威脅的信息與網絡流量信息進行一定的聯系,且為了加強顯示信息的時效性和規模性,還需要制定相關的標準,保證安全態勢的顯示能規范統一。
4金稅工程網絡安全態勢感知模型實例分析
對金稅工程網絡安全需求為牽引,通過數據挖掘深入感知IT資源(采集的要素信息),構建出金稅工程網絡安全態勢感知模型。模型分解可分解為要素信息采集、事件歸一化、事件預處理、態勢評估、業務評估、預警與響應、流程處理、用戶接口(態勢可視化)、歷史數據分析九個部分。
(1)要素信息采集:
信息采集對象包括資產、拓撲、弱點、性能、事件、日志等。
(2)事件歸一化:
對采集上來的各種要素信息進行事件標準化、歸一化、并對原始事件的屬性進行擴展。
(3)事件預處理:
也是對采集上來的各種要素信息進行事件標準化和歸一化處理。事件預處理尤其是指采集具有專項信息采集和處理能力的分布式模塊。
(4)態勢評估:
包括關聯分析、態勢分析、態勢評價,優秀是事件關聯分析。關聯分析就是要使用采用數據融合(Da?taFusion)技術對多源異構數據從時間、空間、協議等多個方面進行關聯和識別。態勢評估的結果是形成態勢評價報告和網絡綜合態勢圖,借助態勢可視化為管理員提供輔助決策信息,同時為更高階段的業務評估提供輸入。
(5)業務評估:
包括業務風險評估和業務影響評估,還包括業務合規審計。業務風險評估主要采用面向業務的風險評估方法,通過業務的價值、弱點和威脅情況得到量的出業務風險數值;業務影響評估主要分析業務的實際流程,獲知業務中斷帶來的實際影響,從而找到業務對風險的承受程度。
(6)預警與響應:
態勢評估和業務評估的結果都可以送入預警與響應模塊,一方面借助態勢可視化進行預警展示,另一方面,送入流程處理模塊進行流程化響應與安全風險運維。
(7)流程處理:
主要是指按照運維流程進行風險管理的過程。安全管理體系中,該功能是由獨立的運維管理系統擔當。
(8)用戶接口(態勢可視化):
實現安全態勢的可視化、交互分析、追蹤、下鉆、統計、分布、趨勢,等等,是用戶與系統的交互接口。態勢感知系統的運行需要用戶的主動參與,而不是一個自治系統。
(9)歷史數據分析:
這部分實際上不屬于態勢感知的范疇。我們已經提到,態勢感知是一個動態準實時系統,他偏重于對信息的實時分析和預測。在安全管理系統中,除了具備態勢感知能力,還具備歷史數據挖掘能力。
5結束語
網絡安全隱患是阻礙網絡正常運行的重要因素,如何才能減少安全隱患危害性,關鍵是加強對網絡信息的管理和分析。網絡安全態勢感知技術中的數據挖掘技術和信息融合技術可以有效地管理信息,且利用可視化技術可以方便管理人員發現信息中的規律,可以及時的預防和采取針對性處理網絡中安全隱患問題。
作者:陳娜 單位:蘭州工業學院
一、校園網絡安全方面存在的問題
(一)中小學學生網絡安全防范意識薄弱,不良信息肆意傳播
中小學學校網絡的主要用戶是在校學生,他們對網絡安全不夠重視,法律意識也不是很強。對網絡新技術充滿好奇。在好奇心的驅使,在網絡中隨意瀏覽網頁和訪問陌生網絡地址,致使電腦受到病毒、木馬有害程序的攻擊而導致數據丟失、機器癱瘓,還會傳播一些不良的文化,影響到學生的學習和生活。
(二)校園網網絡病毒廣泛存在
校園網與internet相連且速度快和規模大,在享受internet方便快捷的同時,也面臨著來自internet攻擊的風險。網絡病毒的危害性是極大的,其傳播速度快,波及范圍廣,造成的危害都是很大的。病毒侵入某一網絡以后,根據其設定的程序,有效地收集相關有價值的信息,然后通過自動探測網內的其它計算機的漏洞,進行攻擊。
(三)校園網管理存在問題
很多學校的網絡管理員的都具有一定的專業水平,基本可以勝任本職工作,但是可能是學校對網絡安全不是很重視,或者因為個人某些方面的原因,造成工作熱情不高、責任心不強,所以很少花心思去維護網絡、維護硬件。同時學校對學生的網絡規范使用教育也缺乏足夠的宣傳力度,還有的學校缺乏必要的網絡信息監控措施,允許學生通過校園網直接訪問互聯網,導致一些學生無意的接觸到大量的非法網站,不但造成數據和信息的丟失,而且嚴重影響了學生的身心健康,同時也對建立和諧校園產生不良影響。
(四)校園網管理技術較為單一
當前,很多的中小學校都只是依靠單一的技術或者獨立的安全產品來保證校園網絡的安全。隨著網絡安全風險的逐步提高,當校園網絡受到安全隱患時,這些較為獨立的安全產品一般會各自為戰,使得原有的安全防范措施不能夠發揮應有的作用,這很難滿足目前中小學校校園網對于安全的需求。
(五)校園網維護存在問題
維護的工作量是很大的,并且很困難,需要一定的人力、物力,然而大多數學校在校園網的設備投入和人員投入很不充足,有限的經費也往往主要用在網絡設備購置上,對于網絡安全建設,普遍沒有較系統的投入。
二、如何加強校園網絡安全管理
(一)加強學生的網絡安全教育和管理
中小學學校要對學生進行網絡規范教育,使學生充分認識到網絡的利與弊,同時學校也應加強對學生的法制教育,增強學生的法律意識,進而減少網絡犯罪行為。中小學學校應加強校園文化建設,正確的指導學生多從事一些有益身心的社會活動,避免學生迷戀于虛擬的網絡,迷失了自我。只有這樣,才能凈化網絡環境,培養學生的自律意識,使網絡在學校的教育工作上,發揮其積極作用。使網絡更好的服務于教育,服務于信息科技的發展,服務于社會的前進。
(二)制定可行的校園網絡安全管理制度
為了確保整個校園網絡的安全有效運行,制定出可行的校園網絡安全管理制度。
1)建立一個信息安全管理機構,制定統管全局的網絡信息安全規定;
2)制定激勵制度,增強網管人員的責任心并激發網管人員的工作熱情;
3)加強網管人員的專業技能培訓工作,從技術上提升他們對網絡攻擊的應對能力;
4)學校其它專業也應安排網絡安全基本知識的教育,普及非計算機專業師生信息安全知識的教育;
5)加大網絡安全建設的資金投入。
(三)對學生實施上網行為管理
在教學開放網絡的同時,使用網絡行為管理軟件(例:海蜘蛛軟路由)進行管理。如設定網頁關鍵詞過濾;過濾具有不良信息的網站;控制學生所上的網站。做到不允許的網站不能訪問,一旦學生訪問不允許訪問的網站時,強制跳到預定的網站。真正達到允許上的網學生能上網,不允許上的網學生不能上網。
(四)實現域用戶身份認證的過程
在校園網提供更高層次服務時,對于用戶身份的認證及其服務權限的管理需求也在不斷提高。以前較為獨立的系統很難達到身份認證的需求,因此需要一個完備的系統,對整個校園網用戶進行身份的認證和管理。配備網關認證流控設備,要求所有的內網用戶假如想要訪問外網都需要進行用戶認證。對非法接入的用戶和設備應該嚴厲打擊。這種辦法不但可以確保網絡的安全性,同時還能夠很好的提升網絡帶寬的利用率,極大的提高了效率。
三、結語
中小學校校園網絡的安全管理問題是一個較為復雜的系統工程,需要全員動員,全方位進行管理。只有如此才能有效地防范網絡的不良影響,才能使校園網絡真正服務于教育,使中小學生在網絡的世界中得到更有益的知識。
作者:錢凱超 單位:紹興市上虞區職業教育中心
1入侵預防技術
1.1將入侵預防技術同入侵檢測技術進行對比
以往用到的入侵檢測產品,一般情況下都是在網絡陷入癱瘓之后才對攻擊的存在性進行研究。然而為了能夠讓大家盡早恢復正常工作的狀態,網管員一般都會讓自己的精力完全集中在修復網絡上,從而就會沒有時間對影響網絡的攻擊類型進行研究。除此之外,因為配置了入侵產品和防火墻之間的聯動,就很容易因為入侵檢測的一些誤動作導致防火墻出現誤動作,最終會對整個網絡造成影響。所以說,入侵檢測技術難以發揮主動防范的功能,那么就應該引進入侵預防技術。和入侵檢測產品相比較而言,入侵預防技術具有的不同之處是:入侵預防的重點內容在于預防,預防可以滲透到應用層,并且能夠識別并攔截XSS、SQL注入、后門、木馬以及緩沖區溢出等。入侵預防技術能夠積極主動地對服務器和桌面系統加以保護,有效地防范基于特征掃描技術而難以被發現的網絡攻擊的破壞。
1.2入侵預防技術包含的原理
入侵預防技術能夠自動定義正當行為和可疑行為,這樣的話,只要有企圖做出超出預期范圍的行為舉動,入侵預防技術就能夠搶先一步將這些不當的系統行為加以消除。一些擁有高度化結構的入侵預防系統還可以預先將規則設定出來,對郵件服務器、Web服務器加以保護。以防護重心和預防理念的角度而言,建議入侵預防置于服務器之前、防火墻之后。
2防范病毒的技術
將病毒具備的眾多特點加以歸納主要表現為:較強的攻擊隱藏性、加強的繁殖能力、廣泛的傳染途徑、較長的潛伏時間、較大的破壞能力同時還具有很強的針對性等。這些病毒主要的注入技術包括:數據控制鏈攻擊方式、后門攻擊方式、“固化”式方式以及無線電方式等,對這些病毒進行防范的技術主要有:第一,有效管理病毒客戶端。第二,有效控制郵件傳播。第三,有效地過濾來自磁介質的一些有害信息。第四,將多層次以及多級別的防病毒系統建立起來,從而實現全面對病毒進行防護。建議經常在電腦上或者是服務器上對病毒庫進行升級,并且進行定期查殺。
3防火墻技術
要使網絡安全問題得以解決,防火墻技術是一種主要的手段。一般情況下,防火墻是被安裝于內網和外網的節點上的,主要的作用在于邏輯隔離內網和外網。這種網絡設備能夠有效地加強網絡之間的訪問控制,它可以防止外部網絡信息對內部網絡信息進行非法授權用戶訪問。防火墻能夠對流經它的一些網絡通信數據進行掃描,在掃描的過程中就能夠有效地過濾一些攻擊,關閉一些不使用的端口能夠禁止特定端口的流出通信,并對木馬進行封鎖,能夠禁止一些來自特殊網站的訪問,能夠禁止非法闖入者的入侵,還可以將網絡使用濫用的情況記錄下來并加以統計。但是,防火墻技術也是存在著局限性的,一般來說,它只能對外部攻擊進行防范,不能對來自網絡內部的病毒侵犯以及木馬攻擊進行防范。在進行實際工作的時候,網管員應該把這種技術同其他安全技術配合起來進行使用,這樣能夠在更大程度上加強網絡的安全性。因為,防火墻的位置是在內外網之間,因此,只要有問題出現,就會對通訊造成嚴重的影響。建議防火墻技術設置冗余,避免整個網絡受到單點故障的影響。
4漏洞掃描技術
漏洞掃描技術的主要功能在于對系統中的重要文件和數據進行檢查。主要有兩種方法能夠將可以被黑客利用的漏洞檢測出來。第一種方法是端口掃描法。這種方法是利用對端口進行掃描得知目標主機的開啟端口還有位于端口上的網絡服務,并將其同網絡漏洞掃描系統所提供的漏洞庫加以匹配,這樣一來,就能夠查看出漏洞是否存在。第二種方法是對黑客的攻擊方法進行模擬。利用對黑客攻擊進行模擬的這種方法,測試安全漏洞。實現漏洞掃描的主要方法大致包括功能模塊技術以及漏洞庫的特征匹配方法。建議依照專家的指導不斷的修正并擴充系統配置特征規則庫,除了要依照某種標準對漏洞庫進行設計之外,還需要使漏洞庫當中的信息具有簡易性、有效性以及完整性等特點,這樣一來,即便是用戶自己也可以很輕易地添加漏洞庫的配置,進而做到及時更新漏洞庫。
5結語
計算機網絡安全技術是一種能夠持續發展的綜合性技術,它所涉及的范圍是比較廣泛的,比如數據信息安全、計算機網絡系統的軟件安全還有計算機網絡系統當中的硬件安全等。然而,在當前的信息產業和通信產業都獲得快速發展的大背景下,對于計算機網絡安全技術方面的應用和研究也應該做到與時俱進,堅持不懈地對更加優化的計算機網絡安全防范技術加以研究和探討,并且有效地將其應用于網絡系統運行當中,避免使用計算機網絡存在的安全風險。實現信息交流的安全性以及資源的共享性,促使計算機網絡系統能夠更好地服務于人們的日常生活和工作。
作者:劉軍 單位:中石化天津分公司信息檔案管理中心
1“云計算”內含及其特點
云計算是一種基于分布式計算、網格計算、并行計算為基礎的計算模型,其目的是以共享為構架并通過網絡將龐大的計算處理程序自動分拆成無數個較小的子程序,然后經由多部服務器所組成的龐大系統經搜尋、計算分析之后再將最終的處理結果回傳給使用者.云計算可以使得每個用戶感覺聯網的計算機是一個分時系統,用戶可以根據需求訪問計算機以及存儲系統,它具有以下特點:(1)對用戶終端的設備要求較低且使用方便和快捷;(2)課提供強大的計算功能和存儲功能;(3)網絡數據共享可以在不同設備之間實現.
2“云計算”環境中的計算機網絡安全的重要的意義及其特征
在當今這個網絡時代,可以說,“云計算”是無處不在的,因而,其安全性成為使用者和管理者最為關心的問題之一.下面就談一談“云計算”環境中的計算機網絡安全的重要的意義及其特征問題.“云計算”環境中的計算機網絡安全的意義如下:
(1)“云計算”環境中的計算機網絡安全可以為使用者或是用戶提供最為可靠和最為安全的數據存儲中心,使得用戶可以不再為數據的丟失以及病毒入侵等應用性問題而煩惱.這是因為,“云計算”環境中的計算機網絡安全可以保證數據得到安全性保存和備份,通過計算機局域網絡和廣域網絡相結合的方式來構建安全的數據中心,實現多機互聯備份和異地備份等多種方式來保證用戶數據的安全性和可操作性.隨著“云計算”環境中的計算機網絡安全性的提高,“云計算”的不斷推廣和應用可以使得用戶的數據存儲在“云”中,避免諸如電腦遺失或是維修甚至是被盜后數據被竊取的風險,只要有了授權就可以隨時隨地進行訪問和使用的便捷性和可靠性.
(2)“云計算”環境中的計算機網絡安全性可以使得數據使用者或是用戶在共享中的安全性也得到了保證,因為計算機“云計算”上的各種加密技術和措施可以保證用戶信息和數據是以加密狀態進行傳輸和接受的,然后以較為嚴格的認證和管理權限進行監控的,用戶可以在使用時通過其他保護措施再次進行加密操作.
(3)雖然“云計算”環境中的計算機網絡安全性要求高,但是,它對于使用者的用戶端設備要求較低,這就使得其可以具有更加親民的便捷性和使用率,在用戶接入計算機網絡后就可以實現“云計算”數據在不同設備之間的傳輸和共享,十分便捷和迅速.
(4)“云計算”環境中的計算機網絡安全可以通過大量的網狀客戶端對網絡中軟件的行為進行時時監視和檢測,一旦發現有木馬或是惡意程序的威脅時就會將此信息送往Server端進行自動分析并及時進行處理操作,從而避免下一個使用者或是客戶端的感染操作,保證了計算機信息數據傳輸中的安全性.而“云計算”環境中的計算機網絡安全是有如下特征:
(1)具有較高的保密性,即:在未經過用戶的授權使用情況下,信息和數據等是不能實現共享的.
(2)具有較好的完整性,即:在未經過用戶的授權使用情況下,信息和數據是不能隨意被改變、破壞或是刪除的.
(3)具有較高的可操控性,即:在未經過用戶的授權使用情況下,信息和數據是不會被利用和處理以及傳播的.
(4)具有較高的信息審核性,即:當網絡安全出現問題時,授權用戶可以采取必要的手段加以核查和控制,維護信息和數據的安全性.總之,“云計算”環境中的計算機網絡安全可以保證實現計算機硬件、軟件數據信息不會因為意外或者和人為故意而遭到破壞、更改和泄漏的危險,并以特定的技術加以數據系統的保密性、完整性和利用性的各種安全保護.
3“云計算”環境中的計算機網絡安全現狀分析
3.1“云計算”環境中的計算機網絡安全在技術層面存在著問題
對于一般用戶來說,所有存儲在云中的數據會在由于技術方面的因素而發生服務中斷時無法獲取和處理,不能進行操作,甚至是束手無策.并且由于技術層面的原因,其安全性會由于“云計算”在目前狀況下是網絡開放性和可見性的原因而存在大量的安全性問題,對于一些虛假地址和虛假標識是無法識別和甄別的.
3.2“云計算”環境中的計算機網絡安全在安全性方面存在著問題
“云計算”還沒有實現在計算機網絡安全方面的完全保密性,其完整性和可操作性都存在著不可確定性,很多黑客都將“云計算”當成了攻擊對象.此外,很多駐留在用戶PC機上的病毒軟件也會時不時發起惡意攻擊,這也是導致“云計算”環境中的計算機網絡安全在安全性方面存在著問題的重要原因之一.
3.3“云計算”環境中的計算機網絡安全在相關的法律法規等政策保障方面也存在著問題
目前,在我國的計算機網絡安全管理中,立法機關還沒有針對其進行相關的法律法規等的監管、保護和制裁措施.可見,這種法律上的保護缺失也是造成當前“云計算”環境中的計算機網絡安全的因素之一,這也是我國網絡存在的弊端,立法機關應該盡早出臺相關的法律法規來限制這些網絡威脅行為的猖獗和肆虐.基于以上的原因,必須要加強“云計算”環境中的計算機網絡安全措施.
4加強“云計算”環境中的計算機網絡安全的措施
4.1提高“云計算”環境中的計算機網絡安全的防范意識,并要切實地加強這種防范意識的實際落實
加強“云計算”環境中的計算機網絡安全要從系統的身份認證開始,這是保障網絡安全的門戶和基礎,也是防范第三方不明用戶或是黑客侵襲的第一道防線.并且要提高“云計算”環境中的計算機網絡安全的防范意識還要落實到實處,將計算機網絡信息和數據的完整性和機密性、一致性給與高度保護,防止非授權的訪問和傳播使用,嚴加監控,以免造成不必要的影響和危害,嚴格把關“云計算”環境中的計算機網絡安全信息安全的操控.其實,只要用戶具有最起碼或是最基本的安全常識和一些簡單的基本電腦安全操作習慣,“云計算”環境中的計算機網絡安全的落實就可以得到提高.例如,用戶要盡量避免在公共的電腦或是網絡使用系統中進行數據操作和信息使用,或是避免“云計算”數據存儲時總是使用同一密碼等,這些都是最為基本的“云計算”安全下增強安全意識的手段.此外,用戶還要進行數據的經常性備份和整理,避免在今后的使用中出現諸如“云計算”服務遭受攻擊時而出現的數據丟失而無法恢復的問題.
4.2加強“云計算”環境中的計算機網絡安全技術的研發和應用,提高“云計算”環境中的計算機網絡安全威脅的應對手段和能力
例如,對于計算機本身來說,用戶一定要注意防火墻和其它保護屏障的使用,而這種保護措施要盡快更新,可以引用一些諸如鑒別授權機制、多級虛擬專業防護墻等,使得其技術結構保證計算機網絡在使用時的安全性和高效率性,確保了“云計算”環境中的計算機網絡安全的保證.又如,可以采用數字簽名技術而后認證等手段來保證“云計算”環境中的計算機網絡安全,使得其實際應用中具有了較高的安全性和可靠性.可以說,只有在“云計算”環境中的計算機網絡安全問題得到切實的保障之后,安全、健康和科學的計算機網絡使用環境才會被營造,這樣才會促進我國“云計算”環境中的計算機網絡事業的良性發展和壯大,為廣大的“云”用戶更好地服務.因此,要加強“云計算”環境中的計算機網絡安全技術的研發和應用,提高“云計算”環境中的計算機網絡安全威脅的應對手段和能力.
4.3加強“云計算”環境中的計算機網絡安全在應用程序和服務器中的安全問題
加強“云計算”環境中的計算機網絡安全的過程中,對于陌生信息和數據的防范和攔截是阻止外來不安全信息和數據侵入的一個有效方式,它可以在安裝具體防護程序之時就給與保護.“云計算”計算機網絡安全中問題中的服務器可以起到一種緩沖性作用,它可以對于內網進行隱藏,使得公網IP得到節省,并對訪問網站的查看具有監控行和操控性,也是一種提高“云計算”環境中的計算機網絡安全性的有效手段.此外,對于“云計算”服務商來說,采用分權分級管理不失為一個很好的所示.這樣做的目的是可以有效防止客戶的數據和程序被“偷窺”或是肆意篡改,而分級控制和流程化管理的方法可以使得每一級的管理都有被監督和被檢測的保證,使得這個“云運算”數據至少會有兩級人員來管理.第一級是普通的運維人員,他們的職責就是負責日常的運維工作,但是,他們無法得到用戶的數據信息;第二級是優秀權限人員,雖然他們可接觸到到用戶數據信息,但是他們會受到嚴格的運維流程的嚴格控制,從而也不能隨意使用、篡改和刪除用戶的信息.可見,這就會加大提高“云計算”環境中的計算機網絡安全性.
4.4要加強“云計算”環境中的計算機網絡安全的數據安全性和保密性
要保證數據的安全性和保密性可以從以下幾個方面進行努力:(1)采用加密技術,這是完成“云計算”環境中的計算機網絡安全的數據安全性和保密性的最為基礎和有效的方式之一.為此,使用者或是用戶可以在把文件等數據性資源保存到計算機網絡之前進行加密措施,例如,可以使用pgp、truecrypt、hushmail等加密程序來輔助完成.(2)可以通過使用諸如vontu、websense和vericept等過濾器來使得那些離開了用戶網絡的數據可以得到時時監控,對于其中的敏感性數據給與有效攔截或是阻止.在一個使用群體內,例如在一個公司內,還可以以數位排列的方式來控制不用用戶在數據使用和共享等中的使用權限和程度,保證了數據操作和使用的安全性要求.(3)進行云服務提供商的選擇,盡量選擇那些信譽度較高的提供商.一般來說,信譽度較高的提供商會在云數據提供和貢獻中有著更好的保障措施,它們有著自己的專門技術和技術人員,可以以自己的品牌為保障,數據泄露的情況會相對較少,降低了用戶使用“云計算”數據時的風險性.
5結束語
在網絡技術高度發達和使用的信息時代,“云計算”環境中的計算機網絡安全的問題是每一個處于這個時代的人所面對的重要問題,它會在人們的學習、工作和生活中時時出現.而使用者們或是用戶們務必要重視這個問題的存在和應對,在提高自身計算機網絡安全技術意識的基礎上,努力在技術層面得到提高;在提高自身網絡安全知識結構的同時,也要努力在所能使用的安全保障措施中學會實際應用,從而為打擊黑客等破壞網絡安全的不良行為做出自身的一份貢獻之力.可以說,只有在“云計算”環境中的計算機網絡安全問題得到切實的保障之后,安全、健康和科學的計算機網絡使用環境才會被營造,這樣才會促進我國“云計算”環境中的計算機網絡事業的良性發展和壯大,為廣大的“云”用戶更好地服務.
作者:何永峰 單位:集寧師范學院
一、加強電廠MIS系統的網絡安全設計的意義
促進電力行業發展的需要,就要保障電力行業的良好發展,必須要確保其信息安全。但是,就目前情況來看,威脅電廠MIS系統的網絡安全的因素還比較多,從而使電力行業產生了網絡安全問題。具體來講,主要包括以下三個方面。第一,技術方面,在電廠MIS系統中,其TCP/IP協議自身存在一些安全漏洞,再加上計算機的硬軟件配置不夠靈活,從而導致其產生網絡安全問題;第二,人為因素。人們的網絡安全意識淡薄,在電廠MIS系統中為了采取有效的安全防護措施,給不法分子對電廠信息的竊聽、攔截等埋下安全隱患。第三,網絡病毒。網絡病毒具有傳播快、破壞性強、繁殖力高等方面的特點,往往很難將其根除。因此,為了有效促進電力行業的良好發展,必須要加強電廠MIS系統的網絡安全設計,確保其信息安全。
二、電廠MIS系統的網絡安全設計
(一)電廠MIS系統的網絡安全設計原則
為了有效提高電廠MIS系統的網絡安全設計質量,為其后期發展提供重要的安全保障。在設計的過程中,應遵循以下幾個方面的原則。第一,整體性。即在電廠MIS系統的網絡安全設計中,擁有一套科學、完整的安全體系,主要包括應急體系、安全技術體系以及安全管理體系,從而有效保障其網絡安全。第二,動態化。世界是處于不斷變化中,信息技術的發展更是日新月異,所以電廠MIS系統總是處于不斷發展中,最終得以不斷更新和完善。因此,在設計的過程中,不能拘泥于當下,而是堅持一種動態發展的理念,最大程度上引進多種變量因素,確保電廠MIS系統的網絡安全具有良好的適應性。第三,層次性。在電廠MIS系統的網絡安全設計中,還應根據不同的需要,設置不同層次的安全等級,比如譜密、秘密、機密、絕密等,不僅滿足信息保護的要求,而且還實現保密資源的有效利用。第四,可控性。在設計的過程中,為了有效避免安全技術被不法分子用在不正當的地方,必須要對安全技術進行控制。
(二)電廠MIS系統的網絡安全設計的入手點
在電廠MIS系統的網絡安全設計中,可以從以下三個方面入手。第一,數據的安全性。電廠擁有大量的數據,要想保障其網絡安全,必須要保障其數據安全。具體來講,可以通過數據備份、數據庫的安全設計等手段加以解決。第二,使用防火墻。利用相關的防火墻技術,有效抵御外網系統的不法分子入侵電廠MIS系統,保護內網資源的安全。第三,確保單向連接。換而言之,在電廠MIS系統中,它與SIS系統的連接要保持單向連接,并且在防火墻、路由器等方面,都要設置成單向傳輸的方式。
(三)電廠MIS系統的網絡安全的設計方案
在電廠MIS系統的網絡安全設計中,可以根據電廠的實際情況,選擇合適的解決方案,具體的方案有以下三種。胡曉博河南理工大學計算機科學與技術學院河南焦作454150
1、完全隔離法
所謂完全隔離法,指的是確保MIS系統內的所有計算機不能有上網功能,如果某些業務確實需要上網處理,則將其從MIS系統中劃去。這樣一來,有上網功能的計算機就不可以進入電廠MIS系統;而那些可以進入電廠MIS系統的計算機則不具備上網功能。使用這種方法來提高電廠MIS系統的網絡安全性,有利有弊。一方面,其安全性能非常高,可以有效抵御網絡病毒、TCP/IP網絡協議漏洞等方面的攻擊。另一方面,這種方法大大降低了計算機的利用率,不利于相關工作人員的使用;此外,其成本也比較高,因為對于那些既要進入電廠MIS系統,同時又要上網的工作人員來講,則需要使用兩種網絡系統和兩套網線,所以就耗費了大量的成本。
2、將防火墻技術與各種防病毒軟件有機結合
隨著防火墻技術的不斷發展與進步,它在保障網絡安全方面發揮著重要的作用。它可以對網絡通信的訪問進行強制監管,有效保護電廠MIS系統內部網絡的安全,從而避免其遭受來自外部網絡的各種攻擊,比如一些不法分子非法使用、盜取、修改電廠MIS系統內部網絡的各種資源。但是,就目前病毒情況來看,其更新變化的速度非常快,對于某些新的網絡病毒,防火墻的隔離作用不明顯。因此,需要借助相關的防病毒軟件(比如卡巴、諾頓、金山衛士等)的作用,進一步抵御各種網絡病毒的攻擊。通常情況下,這種方法比較適合運用于中小型電廠的MIS系統中。
3、將網閘與各種防病毒軟件有機結合
網閘是一種基于硬件層的讀寫功能交換,是一種類似電子開關的防火墻。將其運用于電廠MIS系統的網絡安全設計中,不允許任何有網絡連接存在于內外網主模塊之間,從而有效實現了內外網之間的隔離。比如相關工作人員需要上網時,需授權用戶并進行安全監測,只有監測過關后才可以進行上網,從而有效阻止外網系統對電廠MIS系統的入侵;如果工作人員不需要使用上網,它就直接等同于將內網斷開Internet連接。與此同時,電廠MIS系統還借助相關防病毒軟件的作用,通過其升級,不斷更新其病毒庫,最大程度上攔截各種網絡病毒的攻擊。一般情況下,一些大中型電廠MIS系統運用這種方法,因為大中型電廠對網絡安全的要求一般比較高。
三、結束語
綜上所述,加強電廠MIS系統的網絡安全設計,既是電廠適應社會發展的需要,同時也是促進電力行業發展的需要。因此,電廠應根據自身的實際特點(比如網絡安全成本、電廠規模、安全需要等),選擇合適的方法,滿足電廠信息安全的需要,拖動我國電力行業的健康、穩定發展。
作者:胡曉博 單位:河南理工大學計算機科學與技術學院
一、校園網絡安全威脅現狀分析
1.1校園網絡應用協議和軟件存在固有的安全缺陷
隨著校園信息化水平的快速提高,教務管理、學籍管理、成績管理、宿舍管理、網絡大學等信息化產品層出不窮,獨立的軟件集成在一起,各自軟件開發的語言不通,導致校園網絡自身存在很大的缺陷,降低了校園網安全性能。
1.2入侵手段越來越智能
目前,校園網用戶計算機專業技術水平不同,導致用戶使用網絡的過程中,攜帶的病毒、木馬種類越來越多,并且隨著黑客的手段越來越高,病毒、木馬區域智能化,潛伏周期更長,更具隱蔽性,破壞性也越來越大。
1.3校園網絡管理制度不健全,管理模式簡單
網絡應用發展迅速,網絡管理制度不健全,管理模式較為單一,也同樣導致學校的校園網用戶安全意識淡薄,導致許多接入校園網絡的終端存在很多病毒和木馬,并且非常容易被黑客利用,攻擊整個網絡。
二、網絡安全主動防御系統
2.1主動防御系統模型
目前,網絡安全主動防御模型包括三個方面,分別是管理、策略和技術,可以大幅度提高網絡的入侵防御、響應能力。
(1)管理。
校園網管理具有重要的作用,其位于安全模型的優秀層次。網絡用戶管理可以通過制定相關的網絡安全防范制度、網絡使用政策等,通過學習、培訓,提高網絡用戶的安全意識,增強網絡用戶的警覺性。
(2)策略。
校園網安全防御策略能夠將相關的網絡技術有機整合,優化組合在一起,根據網絡用戶的規模、網絡的覆蓋范圍、網絡的用途等,制定不同等級的安全策略,實現網絡安全運行的行為準則。
(3)技術。
校園網防御技術是實現網絡安全的基礎,校園網主動防御技術包括六種,分別是網絡預警、保護、檢測、響應、恢復、反擊等,能夠及時有效地發現網絡中存在的安全威脅,采取保護措施。
2.2主動防御技術
校園網主動防御技術可以有效地檢測已經發生的、潛在發生的安全威脅,采取保護、響應和反擊措施,阻止網絡安全威脅破壞網絡,保證網絡安全運行。
(1)預警。
校園網預警技術可以預測網絡可能發生的攻擊行為,及時發出警告。網絡應包括漏洞預警、行為預警、攻擊趨勢預警、情報收集分析預警等多種技術。
(2)保護。
校園網安全保護是指采用靜態保護措施,保證網絡信息的完整性、機密性,通常采用防火墻、虛擬專用網等具體技術實現。
(3)檢測。
校園網采用入侵檢測技術、網絡安全掃描技術、網絡實時監控技術等及時檢測網絡中是否存在非法的數據流,本地網絡是否存在安全漏洞,目的是發現網絡中潛在的攻擊行為,有效地阻止網絡攻擊。
(4)響應。
校園網主動響應技術能夠及時判斷攻擊源位置,搜集網絡攻擊數據,阻斷網絡攻擊。響應需要將多種技術進行整合,比如使用網絡監控系統、防火墻等阻斷網絡攻擊;可以采用網絡僚機技術或網絡攻擊誘騙技術,將網絡攻擊引導到一個無用的主機上去,避免網絡攻擊造成網絡癱瘓,無法使用。
(5)恢復。
校園網攻擊發生后,可以及時采用恢復技術,使網絡服務器等系統提供正常的服務,降低校園網網絡攻擊造成的損害。
(6)反擊。
校園網反擊可以采用的具體措施包括病毒類攻擊、欺騙類攻擊、控制類攻擊、漏洞類攻擊、阻塞類攻擊、探測類攻擊等,這些攻擊手段可以有效地阻止網絡攻擊行為繼續發生,但是反擊需要遵循網絡安全管理法規等。
三、結束語
校園網主動安全是一個動態的、復雜的網絡安全防御系統,可以融合現代數據挖掘技術、入侵檢測技術、預警響應技術等,建立一個全方位、多層次、多維度的深層防御系統,以保證計算機網絡正常運行,為用戶提供良好的網絡服務。
作者:丁寶英 單位:中國鋁業貴州高級技工學校
1網絡黑客
單純FTP服務器型漏洞可以靠打上相應補丁進行防范,但通常FTP服務與其他服務共處一臺服務器,一旦別的服務漏洞遭到攻擊,就會造成所有服務的攻破。應用程序型漏洞來源于第三方應用程序自身,一方面應慎重安裝應用軟件,另一方面要安裝安全軟件并及時查毒。Web服務器型漏洞是黑客利用的重點,它主要包括跨站腳本執行漏洞、SQL注入漏洞、緩沖區溢出漏洞、拒絕服務漏洞、CGI源代碼泄漏漏洞等,而數據庫服務器也多出現緩沖區溢出漏洞。信息部門的網管要清楚了解本部門網站服務器和數據庫服務器的配置,如它們的組合是ASP+SQLServer,還是PHP+MySQL,每種腳本語言及數據庫的主要命令怎樣應用。如果由網絡公司代為搭建服務器,應向公司的工程師詳細咨詢并索要服務器的使用說明文檔。對自身服務器漏洞的查詢可以依靠軟硬件的漏洞掃描工具來完成。對網絡機房設備的安全維護應當建立健全的管理機制,如制定安全管理制度,制度條例以條文形式張貼于機房室內;制定網管人員每日巡查制度并撰寫巡檢報告;建立網絡漏洞定期掃描和評估制度;為每名網管和服務器管理人員分配對應的管理權限,原則上只允許一名系統管理員權限存在;按照國家實驗室認可標準和信息安全等級保護管理辦法等相關要求定期組織單位內部自查和對下屬單位監督檢查;組織網管人員定期培訓。上述管理方法同樣適用于網絡安全部門對社會各信息單位開展等級保護檢查工作,在檢查各個單位的服務器時可根據各單位的配置經驗按照配置類型進行分組,遵照典型案例的特點去驗證同組情況,在同組配置中尋找特例。
2惡性病毒
ARP病毒、DDoS攻擊情況屢見于單位的內網,經常造成網絡癱瘓及數據丟失,基于此采取相應的應對防范措施尤為重要。如建立每臺內網內機器的IP-MAC列表,用專用軟件每天定時巡檢其對應性;建立每臺工作用機的硬件及操作系統的配置檔案并存儲入庫;設立硬件防火墻,定期檢查機房內主干網用路由器、交換機、防火墻的日志信息并導出保存;每臺工作用機由使用者負責維護,嚴格落實安全軟件的安裝和升級制度;每臺聯網機器制作并保存系統的備份,網管建立并保存服務器的備份;網管制作和保存單位內部設備拓撲圖,一旦內網有感染病毒的機器再現,能及時將該機器或其所屬子網隔離出內網;可在條件允許的情況下,將內網用3層交換機設置VLAN以區分出辦公、實驗、涉密等不同使用領域;與單位網絡的ISP簽訂協議,定期更換單位的公網IP,以規避有針對性的來自外網的DDoS、ARP攻擊。
3手機無線上網
隨著智能手機的廣泛使用和無線寬帶技術的發展,網絡使用人群已由傳統的PC向移動終端過渡。對無線信號屬性的掌握和移動終端的合理應用成為應注意的主要問題。如主流無線路由器等無線設備的常見型號及配置,信號穿透能力及散布范圍,設備對不同方向的信號衰減程度,不同型號設備的抗干擾性;關注和跟蹤藍牙的無線傳輸和發射技術;對獲得的目標手機的基站定位參數進行解讀和正確拆分,并以此為根據在手機基站定位軟件上定位目標手機的實際地點。
4網絡音視頻文件傳輸
面對流通于網絡和存儲于單位服務器上的大量音視頻文件,對其進行有效分析和管理是保護自身信息安全和有效利用信息資源的重要工作。除了依靠專業技術開發對音視頻文件的獲取、壓縮和存儲的處理手段外,還可致力于開發對音視頻文件的分析和判別技術,尤其是集成頻率提取技術、人面識別技術、連續相似視頻合并及非焦點淡化技術的綜合處理模式。
5電子數據鑒定
全國大部分地區已經建立了電子數據鑒定實驗室,這對涉及電子數據、信息司法裁定具有重大意義。而作為信息單位,在具備對電子數據的分析、恢復、獲取等專業技術的同時,應加強對本單位重要數據的保護及管理。涉及重要數據分析、保管的部門人員應加強對電子數據鑒定領域的國家、行業標準及技術規范的學習。有條件的單位應專門設立獨立部門和人員從事電子數據的提取、固定與恢復,數據的分析與鑒定,信息系統分析與鑒定等工作。對于重要信息數據的操作及保存要結合本單位工作特點制定專門的操作規范和流程。
6信息保密意識和機制
信息部門在日常工作中要處理大量來自各個領域的數據,這些數據分為外部和內部,其中相當一部分被列為涉密數據,關系著本部門的經濟利益、未來發展甚至全社會的安全與穩定。因此信息部門在工作中應進一步增強保密意識,涉密文件應注明密級、保密期限、發放范圍和數量;要對形成重要數據、文件過程中的中間材料、介質妥善保管;無需保管的,統一銷毀;接收涉密數據、文件時要及時清點并對存儲介質登記造冊;涉密數據載體及文件應鎖存于密碼柜或檔案柜中;此外,從事涉密數據業務的員工要經過保密知識培訓,提高保密意識。
作者:王琚 張偉 單位:國家計算機病毒應急處理中心 天津市公安局公共信息網絡安全監察總隊案件支隊
