時間:2023-09-14 17:44:18
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇計算機網(wǎng)絡安全筆記,希望這些內容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】網(wǎng)絡安全;網(wǎng)絡規(guī)劃管理;網(wǎng)民;信息技術
1 引言
網(wǎng)絡安全在互聯(lián)網(wǎng)發(fā)展中的重要性隨著電腦技術的發(fā)展,電腦的使用已經(jīng)深入到社會生活的各個層面,服務、金融、管理、科技、國防等各個領域都已經(jīng)得到了極其廣泛的應用,毫不夸張的說,計算機已經(jīng)把人類帶入了一個全新的時代。在計算機網(wǎng)絡技術高速發(fā)達的今天,尤其是互聯(lián)網(wǎng)應用在人們的生活中已經(jīng)變得越來越廣泛,在網(wǎng)絡給人們帶來了海量信息的同時,網(wǎng)絡安全的問題也應當值得深思。眾所周知,網(wǎng)絡本身就存在開放性和自由性的特點,因此,這一“雙刃劍”也為私有信息和數(shù)據(jù)被破壞或侵犯提供了犯罪機會,在安全隱私問題被高度重視的今天,網(wǎng)絡信息的安全性問題已經(jīng)變得日益重要起來,成為了計算機應用領域中高度重視的問題。
2 計算機網(wǎng)絡應用中存在的安全隱患
(1)計算機網(wǎng)絡定位不準。按照有關保密的明確規(guī)定:機關和單位的內網(wǎng)不可儲存、傳輸、處理國家秘密信息,但是可以處理工作秘密。但是在具體的工作環(huán)境中,有很多機關和單位在建設網(wǎng)絡的過程中往往都忽略了網(wǎng)絡的根本性質,做不到對網(wǎng)絡的正確定位。不僅如此,內網(wǎng)的安全系數(shù)低是眾所周知的,一旦工作中出現(xiàn)重要機密,不法分子就很有可能通過不良手段竊取機密。
(2)違規(guī)使用和操作。在我國,有很多重要機構都建立了自己的網(wǎng)絡,其在內容上涉及了很多的重要機密。在這些機構當中之所以會出現(xiàn)泄密的問題,主要是因為違規(guī)使用計算機網(wǎng)絡信息系統(tǒng)所造成的,造成違規(guī)操作的原因主要有兩個:第一,機構內部沒有設立完善的保密論證;第二,系統(tǒng)未經(jīng)技術測試。當然也不排除不良分子的惡意操作,故意盜取機密。
(3)移動設備的交叉使用。雖然移動設備給人們在工作和生活當中帶來了極大的方便,但與此同時,稍有懈怠就會導致泄密。我們把移動設備分成兩種:第一種是用來專門保存機密,此種是經(jīng)過加密處理的;另一種則是保存?zhèn)€人信息,沒有,而且這種移動設備是不可以在計算機上使用的,但是一些機關單位并沒有意識到這一點,導致計算機感染病毒,從而使機密文件丟失。
(4)將的筆記本電腦帶出辦公室以外的地方使用。很多的單位和機關對于員工將筆記本帶出辦公室不給予重視,這樣的做法也很容易導致機密的泄漏和外傳。
3 如何加強計算機網(wǎng)絡應用中有關泄密隱患的防范措施
(1)將防火墻技術應用到計算機網(wǎng)絡的應用中。防火墻技術的開發(fā)給網(wǎng)絡安全維護帶來了重要支持,配置防火墻系統(tǒng)對于網(wǎng)絡安全來說,是保證計算機網(wǎng)絡安全的重要措施之一。簡單的說,當計算機與互聯(lián)網(wǎng)連接之后,系統(tǒng)識別自身的安全除了考慮計算機病毒、系統(tǒng)的健壯性的同時,其更加有效的作用是能夠防止非法用戶的入侵,而防火墻技術的應用則可以很好的做到這一點,不得不說,防火墻在一定的程度上,可以有效地提高內網(wǎng)的安全維護,并能夠通過過濾不安全的因素而降低風險。同時,防火墻還有警報功能,一旦可疑動作發(fā)生時,它便及時的進行監(jiān)測和適時的發(fā)出預警。
(2)將數(shù)據(jù)加密與用戶授權訪問控制技術應用到計算機網(wǎng)絡應用中。與防火墻技術相比,該技術則顯得更為靈活,更加適用于開放的網(wǎng)絡的。此技術的主要應用方向是針對于靜態(tài)信息提供重要保護,但是用戶授權訪問控制技術唯一的缺陷就是對計算機的要求較高,需要系統(tǒng)級別的支持,在一般操作系統(tǒng)中則很難得到使用。
(3)將防病毒技術應用到計算機網(wǎng)絡應用中。計算機技術在當今社會突飛猛進的發(fā)展的同時,使得計算機病毒也變得更加的囂張、更加繁雜,因此也就加大了對計算機信息系統(tǒng)構的威脅。就大多數(shù)殺毒軟件而言,其在功能上大致可以分為兩種:網(wǎng)絡防病毒軟件和單機防病毒軟件。所謂的單機防病毒軟件,主要是指安裝在單臺計算機上,能夠對本地和本地工作站連接的網(wǎng)絡資源,采用分析掃描的方式檢測,在發(fā)現(xiàn)病毒的情況下能夠將其刪除。
(4)將入侵檢測技術應用到計算機網(wǎng)絡應用中。從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息,再通過這此信息分析入侵特征的網(wǎng)絡安全系統(tǒng),這是入侵檢測技術的主要特點。其功能主要體現(xiàn)在以下方面:①能夠監(jiān)視并分析用戶對計算機系統(tǒng)的操作,可以在短時間內查找非法用戶對計算機進行的違規(guī)操作。②可以有效的檢測出系統(tǒng)在配置中存在的安全漏洞,能夠及時的提示使用人員對漏洞進行修補。③對異常行為模式具有統(tǒng)計分析的功能。④能夠實時檢測到,最大程度阻止的入侵行為進行反應。
(5)建設一支網(wǎng)絡安全管理團隊。我們都知道,計算機網(wǎng)絡系統(tǒng)中不可能存在完全絕對的安全措施,因此,這也就要求管理人員制定出健全的安全管理體制,打造出專門管理網(wǎng)絡安全的團隊,與此同時,還要加強團隊內管理人員的培訓,讓其明白自身的責任感,提高工作人員的整體素質,從而更好的為網(wǎng)絡安全管理服務。
4 結語
互聯(lián)網(wǎng)時代的到來已勢不可擋,人們對網(wǎng)絡也產(chǎn)生了空前的依賴,生活、工作、娛樂等等,網(wǎng)絡已經(jīng)越來越成為人們在現(xiàn)代生活中不可或缺的一部分,正因為如此,計算機網(wǎng)絡中的安全問題也顯得尤為重要,如何為網(wǎng)民們創(chuàng)造一個良好的上網(wǎng)環(huán)境;如何讓互聯(lián)網(wǎng)在工作中的安全性更加可靠;這就要靠不斷加強管理和網(wǎng)民共同努力了,希望在不久的將來,網(wǎng)絡環(huán)境可以更加的安全有序。
參考文獻:
[1] 李天鐸.因特網(wǎng)的信息保護[J].管理科學文摘,1998,(4)
[2] 向亦斌.淺談局域網(wǎng)的安全問題[J].軟件工程師,2000
關鍵詞:數(shù)據(jù)加密技術 計算機網(wǎng)絡安全 應用
中圖分類號:TP30 文獻標識碼:A 文章編號:1007-9416(2012)11-0191-01
1、數(shù)據(jù)加密技術簡介
1.1 數(shù)據(jù)加密技術的含義
所謂的數(shù)據(jù)加密技術主要就是通過密碼學中的一些技術將原來的明文信息進行加密,一般利用加密秘鑰和加密函數(shù)等方式對數(shù)據(jù)進行替換或是移位,把信息數(shù)據(jù)變成其他人無法直接讀取的或者是沒有意義的密文信息,而信息接收者則可以根據(jù)解密密鑰和解密函數(shù)等相應的程序還原加密密文,得到原來的信息,數(shù)據(jù)加密技術就實現(xiàn)了信息的隱蔽傳輸和完全傳輸,使得數(shù)據(jù)信息在傳輸過程中不丟失或損壞,達到數(shù)據(jù)信息安全性、保密性、完整性的要求,已經(jīng)成為了保障計算機網(wǎng)絡安全的重要工具。
1.2 數(shù)據(jù)加密技術的種類
1.2.1 對稱加密技術
對稱加密又叫做共享密鑰加密,是指信息發(fā)送方和接收方使用相同的密鑰進行加密和解密數(shù)據(jù),這要求通信雙方在安全傳輸密文之前必須商定一個公用密鑰。因此,只有密鑰未被雙方泄露的情況下,才能確保傳輸數(shù)據(jù)的安全性、機密性和完整性。
1.2.2 非對稱加密技術
非對稱加密又叫做公鑰加密,是指信息發(fā)送方和接收方使用不同的密鑰進行加密和解密數(shù)據(jù),密鑰被分解為公開密鑰(加密)和私有密鑰(解密),現(xiàn)有的技術和設備均未能由公鑰推出私鑰。非對稱加密技術以密鑰交換協(xié)議為基礎,通信的雙方無須事先交換密鑰便可直接安全通信,消除了密鑰安全隱患,提高了傳輸數(shù)據(jù)的保密性。
2、計算機網(wǎng)絡安全的影響因素
隨著數(shù)據(jù)信息量的不斷增加和網(wǎng)絡開放程度的不斷提高,計算機網(wǎng)絡安全受到了越來越嚴重的威脅,主要影響因素有以下幾方面:
2.1 網(wǎng)絡安全漏洞
目前計算機的操作系統(tǒng)一般都支持多用戶和多進程操作,往往也是許多不同的集成同時在接收數(shù)據(jù)包的主機上同時運行,而這些進程中的任何一個都可能陳偉傳輸數(shù)據(jù)信息的對象,這就導致網(wǎng)絡操作系統(tǒng)的漏洞暴漏了出來,從而影響網(wǎng)絡安全,這些程序的同時運行有可能使整個計算機網(wǎng)絡系統(tǒng)的薄弱環(huán)節(jié)面臨著黑客攻擊的危險。
2.2 計算機病毒的威脅
計算機的廣泛應用之后,面臨著一個很嚴重的問題就是計算機病毒的威脅。計算機病毒有著蔓延速度快、影響范圍廣、難以徹底清除等特點,如果是傳輸?shù)臄?shù)據(jù)信息受到了病毒的入侵,一旦進行傳輸或是共享后,如果其他的計算機進行接收或瀏覽時就會受到病毒的感染,導致病毒傳輸?shù)姆秶絹碓綇V,最后以至于整個系統(tǒng)都會受到嚴重影響,嚴重時會出現(xiàn)系統(tǒng)死機情況,造成數(shù)據(jù)的損壞和丟失。
2.3 服務器信息的泄露
計算機系統(tǒng)程序本身并不是特別的完善,都存在著一些缺陷,當出現(xiàn)程序錯誤沒有正確處理時,部分服務器的信息有可能出現(xiàn)泄露,攻擊者就會利用這類漏洞來收集到對于進一步功績系統(tǒng)有用的信息來對系統(tǒng)進行破壞,對網(wǎng)絡安全造成進一步的威脅。
2.4 非法入侵計算機系統(tǒng)
非法入侵就是一些攻擊者或侵入者通過監(jiān)視、偷盜等非法的行為來獲取帶有用戶名、口令、IP包或者其他的含有數(shù)據(jù)信息有關內容的文件,利用所獲得的信息私自登錄到系統(tǒng)之中,這些非法入侵者通常采用冒充一個被信任的主機或客戶進一步通過被信任客戶的IP地址取代自己的地址的方式,最終盜用網(wǎng)絡數(shù)據(jù)信息。
3、數(shù)據(jù)加密技術在計算機網(wǎng)絡安全中的具體應用
3.1 數(shù)據(jù)加密技術的操作步驟
3.1.1 加密目標的確定
加密技術應用的第一步就是對于加密目標的確定,明確加密目標主要就是要了解網(wǎng)絡安全中都有那些房米需要使用加密技術,也就是要明確下列的幾個問題:第一,在通常見到的服務器、筆記本、工作站等可移動存儲設備中會有哪些重要的信息進行加密;第二,一般重要信息在不同種類的存儲設備上通常儲存在什么位置或是通常以什么類型保存的;第三,用到的重要信息在局域網(wǎng)中的傳輸是否安全保密;第四,在一般的網(wǎng)頁或者是瀏覽器中是否含有中啊喲的信息需要加密。
3.1.2 選擇加密技術
前面對加密技術進行了介紹了對稱加密技術和非對稱加密技術兩種加密方法,通過對兩種加密技術進行認真分析,根據(jù)不同的需要選擇恰當?shù)募用芗夹g。
3.2 數(shù)據(jù)加密技術在不同對象中的應用
數(shù)據(jù)加密技術在不同應用對象中的應用也不同,下面就介紹一下在不同對象的具體應用。
3.2.1 數(shù)據(jù)加密技術應用于網(wǎng)絡數(shù)據(jù)庫加密
網(wǎng)絡數(shù)據(jù)庫管理系統(tǒng)平臺多為Windows NT或者Unix平臺操作系統(tǒng)的安全級別通常為C1級或C2級,故計算機存儲系統(tǒng)和數(shù)據(jù)傳輸公共信道極其脆弱,易
被PC機等類似設備以一定方式竊取或篡改有用數(shù)據(jù)以及各種密碼。因此,數(shù)據(jù)加密對于系統(tǒng)內外部的安全管理尤為必要,網(wǎng)絡數(shù)據(jù)庫用戶應當通過訪問權限或設定曰令字等方式對關鍵數(shù)據(jù)進行加密保護。
3.2.2 數(shù)據(jù)加密技術應用于電子商務
電子商務的興起和發(fā)展促進了社會進步的進程以及改變了人們的工作生活方式,安全的計算機網(wǎng)絡環(huán)境直接推動著電子商務的健康持續(xù)發(fā)展。電子商務的安全性集中體現(xiàn)在網(wǎng)絡平臺的安全和交易信息的安全,故在電子商務活動中應用ssl、set安全協(xié)議、數(shù)字證書、數(shù)字簽名等數(shù)據(jù)加密技術以確保交易雙方的信息不被泄密與破壞顯得至關重要。
3.2.3 數(shù)據(jù)加密技術應用于虛擬專用網(wǎng)絡 (VPN)
當前不少企事業(yè)單位都構建了自己的局域網(wǎng),由于各分支機構可能處于不同地區(qū),所以必須租用一個專用路線來聯(lián)結各個局域網(wǎng)以組建廣域網(wǎng)。數(shù)據(jù)加密技術在VPN的應用價值主要體現(xiàn)在數(shù)據(jù)離開發(fā)送者VPN時會自動在路由器進行硬件加密,然后以密文的形式傳輸于互聯(lián)網(wǎng),當密文到達目的VPN時,其路由器將會自動進行解密,VPN接受者由此可以看到明文。
3.2.4 數(shù)據(jù)加密技術應用于軟件加密
如果殺毒軟件或反病毒軟件在加密過程中的程序感染了計算機病毒,那么它便無法檢查該程序或數(shù)據(jù)是否有數(shù)字簽名。所以,若要執(zhí)行加密程序時,有必要檢查一下需要加密解密的文件及其自身是否被病毒感染。然而,這種檢查機制要求保密,故部分殺毒軟件或反病毒軟件有必要進行數(shù)據(jù)加密技術。
論文摘要:本文對船舶計算機網(wǎng)絡系統(tǒng)的安全現(xiàn)狀和問題原因進行了概括性的敘述,對網(wǎng)絡安全的需求進行了研究分析。從實施船舶計算機網(wǎng)絡系統(tǒng)安全管理的現(xiàn)實條件和實際要求出發(fā),提出了船舶計算機網(wǎng)絡系統(tǒng)安全管理的策略和解決方案,針對不同情況的船舶提出了相應的實施建議。
1引言
進入二十一世紀以來,隨著船舶自動化和信息化程度不斷提高,船舶計算機網(wǎng)絡系統(tǒng)及其應用得到了迅速發(fā)展。越來越多的新造船舶采用計算機網(wǎng)絡技術將船舶輪機監(jiān)控系統(tǒng)、航海駕駛智能化系統(tǒng)、船舶管理信息系統(tǒng)(SMIS)等應用納入一個統(tǒng)一的網(wǎng)絡系統(tǒng),實現(xiàn)船岸管控一體化。
在我司近幾年建造的4萬噸級以上的油輪上,普遍安裝了計算機局域網(wǎng)。一方面,計算機網(wǎng)絡用于傳輸船上動力裝置監(jiān)測系統(tǒng)與船舶航行等實時數(shù)據(jù);另一方面,計算機網(wǎng)絡用于船舶管理信息系統(tǒng)(功能包括船舶機務、采購、海務、安全、體系管理與油輪石油公司檢查管理)并通過網(wǎng)絡中船舶通訊計算機實現(xiàn)船岸間的數(shù)據(jù)交換,實現(xiàn)船岸資源共享,有利于岸基他船舶管理人員對船舶的監(jiān)控與業(yè)務指導。前者屬于實時系統(tǒng)應用,后者屬于船舶日常管理系統(tǒng)應用,在兩種不同類型的網(wǎng)絡應用(子網(wǎng))之間采用網(wǎng)關進行隔離。目前,船舶計算機網(wǎng)絡系統(tǒng)采用的硬件設備和軟件系統(tǒng)相對簡單,因此,船舶計算機網(wǎng)絡的安全基礎比較薄弱。隨著船齡的不斷增長,船上計算機及網(wǎng)絡設備逐漸老化;并且,船上沒有配備專業(yè)的人員負責計算機網(wǎng)絡和設備的運行維護和管理工作,所以船舶計算機及網(wǎng)絡的技術狀況比較差,影響各類系統(tǒng)的正常使用與船岸數(shù)據(jù)的交換。究其原因,除了網(wǎng)絡設備和網(wǎng)絡線路故障問題之外,大多數(shù)問題是因各類病毒與管理不善等原因所引起的。
2船舶計算機網(wǎng)絡架構
目前在船舶上普遍采用工業(yè)以太網(wǎng),船舶局域網(wǎng)大多采用星型結構。
有些船舶已經(jīng)在所有船員房間布設了局域網(wǎng)網(wǎng)線,而有些船舶只是在高級船員房間布設了計算機局域網(wǎng)網(wǎng)線。圖表1是一艘30萬噸超級油輪(VLCC)的計算機局域網(wǎng)結構圖。
圖表2 是 船舶計算機網(wǎng)絡拓撲結構圖。其中,局域網(wǎng)服務器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);網(wǎng)關采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交換機采用D-LINK DES-1024D快速以太網(wǎng)交換機(10/100M 自適應,工作在二層應用層級)。
3船舶計算機網(wǎng)絡系統(tǒng)的安全問題
2005年以來,有很多的船舶管理公司推進實施船舶管理信息系統(tǒng)。對于遠洋船舶來說,船上需要安裝使用船舶管理信息系統(tǒng)的船舶版軟件。大多數(shù)的船舶版軟件都是采用客戶端/服務器兩層架構,高級船員的辦公計算機作為客戶端,通過聯(lián)網(wǎng)使用船舶管理信息系統(tǒng)。船上的船舶管理信息系統(tǒng)通過電子郵件(一般采用AMOS MAIL或Rydex電子郵件)與岸基的船舶管理信息系統(tǒng)交換數(shù)據(jù),實現(xiàn)船、岸船舶數(shù)據(jù)庫的數(shù)據(jù)同步。
根據(jù)了解,目前船舶計算機網(wǎng)絡最主要的問題(也是最突出的現(xiàn)狀)是安全性和可用性達不到船舶管理信息系統(tǒng)運行使用的基本要求。船舶管理信息系統(tǒng)數(shù)據(jù)庫服務器與郵件服務器之間,以及船員的辦公計算機與船舶管理信息系統(tǒng)數(shù)據(jù)庫服務器之間經(jīng)常無法聯(lián)通。經(jīng)過上船檢查發(fā)現(xiàn),影響船舶計算機網(wǎng)絡系統(tǒng)正常運行的主要原因是計算機病毒。大多數(shù)船舶的辦公計算機采用微軟操作系統(tǒng),一方面沒有打補丁,另一方面尚未采取有效的防病毒措施,比如沒有安裝單機版或網(wǎng)絡版防病毒軟件。有些船舶雖然安裝了防病毒軟件,但是因為不能及時進行防毒軟件升級和病毒庫更新,所以無法查殺新病毒或新的變種病毒等,從而失去防病毒作用。經(jīng)過調查分析,船上計算機病毒的主要來源是:(1)在局域網(wǎng)中的計算機上使用了帶有病毒的光盤、優(yōu)盤、移動硬盤等存儲介質;(2)將帶有病毒的筆記本電腦接入了船上的局域網(wǎng);(3)在局域網(wǎng)中的計算機上安裝有無線上網(wǎng)卡,通過無線上網(wǎng)(沿海航行或停靠港口時)引入了病毒/蠕蟲/木馬/惡意代碼等。
為了解決上述問題,有的企業(yè)在船舶辦公計算機上安裝了硬盤保護卡;也有一些企業(yè)在船舶辦公計算機上安裝了“一鍵恢復”軟件;另外還有企業(yè)開始在船舶計算機網(wǎng)絡系統(tǒng)中安裝部署專業(yè)的安全管理系統(tǒng)軟件和網(wǎng)絡版防病毒軟件。
若要從根本上增強船舶計算機網(wǎng)絡系統(tǒng)的安全性和可用性,則需要考慮以下條件的限制:(1)船上的計算機網(wǎng)絡架構在出廠時已經(jīng)固定,除非船舶正在建造或者進廠修理,否則,凡是處于運營狀態(tài)的船舶,不可能立即為船舶管理信息系統(tǒng)專門建設一個物理上獨立的計算機局域網(wǎng)。(2)限于資金投入和船上安裝場所等原因,船上的計算機網(wǎng)絡設備或設施在短期內也不可能無限制按需增加。(3)從技術管理的角度看,在現(xiàn)階段,船舶仍不可能配備具有專業(yè)水平的網(wǎng)絡人員對計算機網(wǎng)絡系統(tǒng)進行管理。(4)因衛(wèi)星通信通道和通信費用等原因,遠洋船舶的辦公計算機操作系統(tǒng)(微軟Windows 系列)不可能從因特網(wǎng)下載補丁和打補丁;船舶局域網(wǎng)中的防病毒軟件和病毒庫不可能及時升級和更新。總體上看,解決船舶計算機網(wǎng)絡安全方面的問題,與陸地上確實有許多不同之處。
4船舶計算機網(wǎng)絡系統(tǒng)的安全需求分析
為提高船舶計算機網(wǎng)絡系統(tǒng)的可用性,即船舶計算機網(wǎng)絡系統(tǒng)任何一個組件發(fā)生故障,不管它是不是硬件,都不會導致網(wǎng)絡、系統(tǒng)、應用乃至整個網(wǎng)絡系統(tǒng)癱瘓,為此需要增強船舶計算機網(wǎng)絡系統(tǒng)的可靠性、可恢復性和可維護性。其中:(1)可靠性是指針對船舶上的溫度、濕度、有害氣體等環(huán)境,提高網(wǎng)絡設備和線路的技術要求,有關的設計方案在船舶建造和船舶修理時進行實施和實現(xiàn)。(2)可恢復性,是指船舶計算機網(wǎng)絡中任一設備或網(wǎng)段發(fā)生故障而不能正常工作時,依靠事先的設計,網(wǎng)絡系統(tǒng)自動將故障進行隔離。(3)可維護性,是指通過對船舶計算機網(wǎng)絡系統(tǒng)和網(wǎng)絡的在線管理,及時發(fā)現(xiàn)異常情況,使問題或故障能夠得到及時處理。 轉貼于
研究解決船舶計算機網(wǎng)絡系統(tǒng)安全管理問題,必須考慮現(xiàn)實的條件和實現(xiàn)的成本。總的原則是:方案簡潔、技術成熟;經(jīng)濟性好、實用性強;易于實施、便于維護。因此,在盡量利用現(xiàn)有設備和設施、擴充或提高計算機及網(wǎng)絡配置、增加必要的安全管理系統(tǒng)軟件、嚴格控制增加設備的前提下,通過采用邏輯域劃分、病毒防殺、補丁管理、網(wǎng)絡準入、外設接口管理、終端應用軟件管理和移動存儲介質管理等手段,以解決船舶計算機網(wǎng)絡系統(tǒng)最主要的安全問題。
在對船舶計算機網(wǎng)絡采取安全防護技術措施的同時,還需要制定船舶計算機網(wǎng)絡系統(tǒng)安全管理制度;定制船舶計算機網(wǎng)絡系統(tǒng)安全策略和安全管理框架;對船員進行計算機及網(wǎng)絡系統(tǒng)安全知識教育,增強船員遵守公司制定的計算機網(wǎng)絡安全管理規(guī)定的意識和自覺性。
(1)加強船舶計算機病毒的防護,建立全面的多層次的防病毒體系,防止病毒的攻擊;
(2)采用專用的設備和設施實現(xiàn)船舶安全策略的強制執(zhí)行,配合防毒軟件的部署與應用;
(3)加強船舶計算機網(wǎng)絡管理,通過桌面管理工具實現(xiàn)船舶計算機網(wǎng)絡運行的有效控制;
(4)制定相關的網(wǎng)絡安全防護策略,以及網(wǎng)絡安全事件應急響應與恢復策略,在正常預防網(wǎng)絡安全事件的同時,做好應對網(wǎng)絡安全事件的準備。
5船舶計算機網(wǎng)絡系統(tǒng)安全管理要求
5.1確定船舶網(wǎng)絡系統(tǒng)安全管理目標
基于以上對船舶計算機網(wǎng)絡系統(tǒng)安全問題和可用性需求的分析,我們認為解決網(wǎng)絡系統(tǒng)安全問題的最終目標是:
通過船舶計算機網(wǎng)絡系統(tǒng)安全管理制度的制定,安全策略和安全管理框架的開發(fā),定制開發(fā)和部署適合船舶計算機網(wǎng)絡系統(tǒng)特點的安全管理系統(tǒng),確保船舶計算機網(wǎng)絡系統(tǒng)安全可靠的運行和受控合法的使用,滿足船舶管理信息系統(tǒng)正常運行、業(yè)務運營和日常管理的需要。
通過實施船舶計算機網(wǎng)絡系統(tǒng)安全技術措施,達到保護網(wǎng)絡系統(tǒng)的可用性,保護網(wǎng)絡系統(tǒng)服務的連續(xù)性,防范網(wǎng)絡資源的非法訪問及非授權訪問,防范人為的有意或無意的攻擊與破壞,保護船上的各類信息通過局域網(wǎng)傳輸過程中的安全性、完整性、及時性,防范計算機病毒的侵害,實現(xiàn)系統(tǒng)快速恢復,確保船舶計算機網(wǎng)絡的安全運行和有效管理。總體上從五方面考慮:
(1)針對管理級安全,建立一套完整可行的船舶計算機網(wǎng)絡系統(tǒng)安全管理制度,通過有效的貫徹實施和檢查考核,實現(xiàn)網(wǎng)絡系統(tǒng)的安全運行管理與維護;
(2)針對應用級安全,加強船舶計算機網(wǎng)絡防病毒、防攻擊、漏洞管理、數(shù)據(jù)備份、數(shù)據(jù)加密、身份認證等,采用適合的安全軟硬件,建設安全防護體系;
(3)針對系統(tǒng)級安全,加強對服務器、操作系統(tǒng)、數(shù)據(jù)庫的運行監(jiān)測,加強系統(tǒng)補丁的管理,通過雙機(或兩套系統(tǒng))的形式保證核心系統(tǒng)運行,當發(fā)生故障時,能及時提供備用系統(tǒng)和恢復;
(4)針對網(wǎng)絡級安全,保證船舶計算機網(wǎng)絡設備、網(wǎng)絡線路的運行穩(wěn)定,對核心層的網(wǎng)絡設備和線路提供雙路的冗余;
(5)針對物理級安全,保證船舶計算機網(wǎng)絡系統(tǒng)數(shù)據(jù)的安全和系統(tǒng)及時恢復,加強信息和數(shù)據(jù)的備份和各類軟件介質的管理。
5.2網(wǎng)絡系統(tǒng)安全配置原則
船舶計算機網(wǎng)絡系統(tǒng)是一套移動的計算機網(wǎng)絡系統(tǒng),沒有專業(yè)的安全管理人員,缺乏專業(yè)的安全管理能力;船舶數(shù)量多,船舶計算機網(wǎng)絡系統(tǒng)規(guī)模小和相對比較簡潔,因此,不能按照企業(yè)網(wǎng)絡的安全管理體系來構建船舶計算機網(wǎng)絡系統(tǒng)的安全管理體系,必須制定經(jīng)濟實用的網(wǎng)絡安全設計原則。
需求、風險、代價平衡的原則
對船舶計算機網(wǎng)絡系統(tǒng)進行切合實際的分析與設計,對系統(tǒng)可能面臨的威脅或可能承擔的風險提出定性、定量的分析意見,并制定相應的規(guī)范和措施,確定系統(tǒng)的安全策略。
綜合性、整體性、系統(tǒng)性原則
船舶計算機網(wǎng)絡系統(tǒng)安全是一個比較復雜的系統(tǒng)工程,從網(wǎng)絡系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現(xiàn),又要加大管理的力度,制定具體措施。安全措施主要包括:行政法律手段、各種管理制度以及專業(yè)技術措施。
易于操作、管理和維護性原則
在現(xiàn)階段,船舶上不可能配備專業(yè)的計算機系統(tǒng)安全管理員,采用的安全措施和系統(tǒng)應保證易于安裝、實施、操作、管理和維護,并盡可能不降低對船舶計算機網(wǎng)絡系統(tǒng)功能和性能的影響。
可擴展性、適應性及靈活性原則
船舶計算機網(wǎng)絡安全管理系統(tǒng)必須組件化或模塊化,便于部署;安全策略配置靈活,具有較強的適應性,能夠適應各種船舶的計算機網(wǎng)絡系統(tǒng)復雜多樣的現(xiàn)狀;安全管理系統(tǒng)必須具有較好的可擴展性,便于未來進行安全功能的擴展。
標準化、分步實施、保護投資原則
依照計算機系統(tǒng)安全方面的有關法規(guī)與行業(yè)標準和企業(yè)內部的標準及規(guī)定,使安全技術體系的建設達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎。限于計算機系統(tǒng)安全理論與技術發(fā)展的歷史原因和企業(yè)自身的資金能力,對不同情況的船舶要分期、分批建設一些整體的或區(qū)域的安全技術系統(tǒng),配置相應的設施。因此,依據(jù)保護系統(tǒng)安全投資效益的基本原則,在合理規(guī)劃、建設新的網(wǎng)絡安全系統(tǒng)或投入新的網(wǎng)絡安全設施的同時,對現(xiàn)有網(wǎng)絡安全系統(tǒng)應采取完善、整合的辦法,使其納入總體的網(wǎng)絡安全技術體系,發(fā)揮更好的效能,而不是排斥或拋棄。
5.3網(wǎng)絡安全管理的演進過程
建立、健全船舶計算機網(wǎng)絡系統(tǒng)安全管理體系,首先要建立一個合理的管理框架,要從整體和全局的視角,從信息系統(tǒng)的管理層面進行整體安全建設,并從信息系統(tǒng)本身出發(fā),通過對船上信息資產(chǎn)的分析、風險分析評估、網(wǎng)絡安全需求分析、安全策略開發(fā)、安全體系設計、標準規(guī)范制定、選擇安全控制措施等步驟,從整個網(wǎng)絡安全管理體系上來提出安全解決方案。
船舶計算機網(wǎng)絡系統(tǒng)安全管理體系的建設須按適當?shù)某绦蜻M行,首先應根據(jù)自身的業(yè)務性質、組織特征、資產(chǎn)狀況和技術條件定義ISMS的總體方針和范圍,然后在風險分析的基礎上進行安全評估,同時確定信息安全風險管理制度,選擇控制目標,準備適用性聲明。船舶計算機網(wǎng)絡系統(tǒng)安全管理體系的建立應遵循PDCA的過程方法,必須循序漸進,不斷完善,持續(xù)改進。
6建立健全船舶計算機網(wǎng)絡安全管理制度
針對船舶計算機及網(wǎng)絡系統(tǒng)的安全,需要制定相關法規(guī),結合技術手段實現(xiàn)網(wǎng)絡系統(tǒng)安全管理。制度和流程制定主要包括以下幾個方面:
制定船舶計算機及網(wǎng)絡系統(tǒng)安全工作的總體方針、政策性文件和安全策略等,說明機構安全工作的總體目標、范圍、方針、原則、責任等;
對安全管理活動中的各類管理內容建立安全管理制度,以規(guī)范安全管理活動,約束人員的行為方式;
對要求管理人員或操作人員執(zhí)行的日常管理操作,建立操作規(guī)程,以規(guī)范操作行為,防止操作失誤;
形成由安全政策、安全策略、管理制度、操作規(guī)程等構成的全面的信息安全管理制度體系;
由安全管理團隊定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。
7 總結
對于船舶計算機網(wǎng)絡安全按作者的經(jīng)驗可以針對不同類型、不同情況的具體船舶,可以結合實際需要和具體條件采取以下解決方案:
1.對于正在建造的船舶和準備進廠修理的船舶,建議按照較高級別的計算機網(wǎng)絡安全方案進行實施,全面加固船舶計算機及網(wǎng)絡的可靠性、可恢復性和可維護性,包括配置冗余的網(wǎng)絡設備和建設備用的網(wǎng)絡線路。
2.對于正在營運的、比較新的船舶,建議按照中等級別的計算機網(wǎng)絡安全方案進行實施,若條件允許,則可以增加專用的安全管理服務器設備,更新或擴充升級原有的路由器或交換機。
3.對于其它具備計算機局域網(wǎng)、船齡比較長的船舶,建議按照較低級別的計算機網(wǎng)絡安全方案進行實施,不增加專用的安全管理服務器設備,主要目標解決計算機網(wǎng)絡防病毒問題。
4.對于不具備計算機局域網(wǎng)的老舊船舶,可以進一步簡化安全問題解決方案,著重解決船舶管理信息系統(tǒng)服務器或單機的防病毒問題,以確保服務器或單機上的系統(tǒng)能夠正常運行使用。
參考文獻:
關鍵詞:計算機網(wǎng)絡技術;消防信息化工作;應用
中圖分類號:TN711 文獻標識碼:A
隨著計算機網(wǎng)絡技術的發(fā)展,在消防信息化工作中得以有效利用,但另一方面也造成了消防信息丟失、信息泄露等一系列嚴重問題,威脅著消防工作的安全。我們有必要認真分析這些問題的產(chǎn)生根源,并結合計算機技術的發(fā)展現(xiàn)狀,提出解決問題的有效對策。只有這樣,才能使計算機網(wǎng)絡技術更好地服務于消防信息化工作。
1計算機網(wǎng)絡技術與消防信息化
1.1計算機網(wǎng)絡技術
計算機網(wǎng)絡技術,指的是用一定的設備將多個不同地點的計算機連接成一個完整的網(wǎng)絡,并實現(xiàn)信息互通、資源共享的一種信息技術形式。這種技術是科技發(fā)展的產(chǎn)物,它的發(fā)展變化經(jīng)歷了一個從簡單到復雜、從低級到高級的演變過程。計算機網(wǎng)絡是一個功能較齊全的高科技網(wǎng)絡,它的主要功能包括實現(xiàn)各用戶之間的資源共享、實現(xiàn)用戶之間的信息傳遞,以及協(xié)調用戶之間的工作進程,促進合作。計算機網(wǎng)絡技術可以節(jié)省數(shù)據(jù)與信息傳遞的成本,擴大數(shù)據(jù)與信息傳輸量,并能將世界各地的信息在短時間內傳遞到不同的用戶端,省去了用戶查找有用信息的麻煩。
1.2消防信息化
消防信息化,是指綜合運用計算機網(wǎng)絡技術、通訊技術、衛(wèi)星定位技術和呼叫技術等現(xiàn)代技術手段,通過互聯(lián)網(wǎng)進行消防信息的收集、處理以及儲存等工作,實現(xiàn)消防信息的高效共享與消防資源的共同使用。消防信息化的實現(xiàn)有著重大意義:①消防信息化的發(fā)展,有助于提高消防工作人員的日常工作效率,提升日常工作的信息化水平,省去了以往許多高強度的體力勞動,從而提升了消防工作的質量和速度,增強了消防工作人員的應變能力和救援能力;②消防信息化在消防隊伍網(wǎng)絡內部實現(xiàn)了信息公開,提升了工作的透明度,有助于督促廣大消防官兵改善服務質量、提高自身綜合素質、增強自身競爭力。同時,信息公開也方便了廣大人民群眾對于消防工作的監(jiān)督,使消防隊伍的良好形象得以進一步確立;③消防信息化大大提高了信息傳遞的速度,擴大了有效信息的獲取范圍,增加了信息傳送的準確程度,從而使消防工作走向規(guī)范消防安全化,有效地降低了工作誤差率。
加強消防信息化建設,主要應當從以下幾方面入手:①要加強信息化的基礎設施建設。要完善消防工作的通訊網(wǎng)絡,努力構造多層次的網(wǎng)絡體系,實現(xiàn)信息傳遞的網(wǎng)絡化和體系化;②要加強消防信息的安全保障工作,確保消防信息網(wǎng)絡運行安全、信息數(shù)據(jù)真實可靠。應當著重采取措施,防止外來人員對消防信息的竊取和騙取,為信息設置密碼和客戶訪問權限,防止信息出現(xiàn)被盜現(xiàn)象。在發(fā)生信息丟失等突發(fā)事件時,應當能夠啟動應急措施,將損失降至最低;③要加強對于消防信息網(wǎng)絡的管理。在確保網(wǎng)絡體系正常運轉的基礎上,完善網(wǎng)絡體系管理的相關制度,為消防信息的便捷高效傳遞提供制度保障。
2計算機網(wǎng)絡技術在消防信息化工作中的應用及存在的問題
2.1缺少信息安全監(jiān)測措施
在計算機網(wǎng)絡技術剛剛興起的時候,網(wǎng)絡的設計者安全意識較為淡薄,建設資金也不夠充足,這導致計算機網(wǎng)絡建成以后,在信息安全的監(jiān)管方面存在很大隱患:①計算機主機沒有得到有效監(jiān)控。網(wǎng)絡設計者只考慮到了對一些接入計算機的外部設備進行安全監(jiān)測,卻忽視了對主機本身的控制,從而對整個消防網(wǎng)絡的安全構成威脅;②可以移動的信息存儲設備沒有得到有效監(jiān)控。很多消防官兵在使用消防計算機網(wǎng)絡時,習慣用硬盤等下載數(shù)據(jù)并存儲工作信息,而這些硬盤本身有可能是計算機病毒的攜帶者,它們一旦接入計算機,就可能造成整個網(wǎng)絡系統(tǒng)的癱瘓,并影響到其他網(wǎng)絡體系的正常運轉;③外部的來訪用戶沒有得到有效監(jiān)控。由于消防網(wǎng)絡具有分布比較分散的特點,每一臺機器都有可能成為外部用戶訪問的對象,這些用戶自身攜帶的病毒和異常程序也會因此進入消防網(wǎng)絡系統(tǒng)內部,造成重要信息泄露或丟失、網(wǎng)絡癱瘓等一系列嚴重后果,影響消防部門的正常工作進程。
2.2缺少信息安全管理制度
從表面上看,大多數(shù)消防單位都有自身的安全管理制度體系,但實際上,這些制度在工作實際中的落實情況卻并不理想。這主要是因為有些消防單位對于信息安全不夠重視,沒有將信息安全責任落實到人,致使安全管理制度只停留在書面層次上,而沒有實際起到預防和監(jiān)督作用。有些消防單位在遇到網(wǎng)絡安全威脅等突況時,就采用消極的方法進行回避,如干脆將網(wǎng)站的入口關閉,或者不讓用戶繼續(xù)使用信息等。這種做法實際上破壞了消防安全制度的嚴肅性,使制度的執(zhí)行效果大打折扣。
2.3缺少信息安全教育培訓
很多消防官兵認為,自己的工作任務就是組織好與實施好具體的消防工作,至于消防信息安全知識,他們不需要掌握得太詳細,只要能看懂計算機上顯示的信息,會一些基本的計算機操作和網(wǎng)絡常識就可以了。實際上,這種認識是不對的。隨著計算機網(wǎng)絡技術的高速發(fā)展,計算機系統(tǒng)自身的安全問題也層出不窮,例如計算機病毒、黑客入侵等。如果廣大消防官兵不加強信息安全意識,不注意提高自己的信息安全知識水平,就有可能難以識別一些新型的消防系統(tǒng)信息安全問題,難以及時采取措施,防止危害的進一步擴大。從這個角度來講,消防官兵有必要接受專業(yè)的信息安全技術培訓,消防官兵可以利用業(yè)余時間參加一些網(wǎng)絡安全技術的培訓班,有條件的消防單位也可以組織官兵開展專門的消防信息安全學習,督促他們做好學習筆記,并開展一些實踐活動,切實提高他們的理論素養(yǎng)和實踐水平。
3保障消防信息網(wǎng)絡安全的具體對策
3.1技術對策
要解決消防信息化工作中存在的計算機網(wǎng)絡安全問題,改善技術是基礎。在技術層面,我們要全方位加強信息監(jiān)管,確保系統(tǒng)內部的信息安全,并有效阻止外部的有害信息侵入計算機系統(tǒng)內部。具體來講,可以完善信息防火墻,隔離消防系統(tǒng)自身的網(wǎng)絡與外部的網(wǎng)絡,阻止外部的用戶違法進入消防信息系統(tǒng),從而保護系統(tǒng)內部的信息不受侵害,又不妨礙信息之間的互通;可以定期更新和升級計算機殺毒專用軟件,使殺毒軟件的更新能夠趕得上計算機病毒種類的增加速度,從而有效實現(xiàn)殺毒功能;可以對于消防信息系統(tǒng)內部的重要信息進行加密處理,使信息的具體內容不會輕易暴露給外界,保障信息的安全性;
3.2管理對策
要解決消防信息化工作中存在的計算機網(wǎng)絡安全問題,規(guī)范管理是關鍵。規(guī)范消防安全網(wǎng)絡管理,主要應當從日常工作中的細節(jié)入手,落實各項規(guī)章制度,將制度責任具體化,確保規(guī)章制度能夠得到全面實施。例如,可以建立負責人制度,指派專人對信息系統(tǒng)的某個領域進行專項管理,帶領小組成員開展實在的網(wǎng)絡安全監(jiān)管工作;可以確定信息安全監(jiān)管重點,對于經(jīng)常出現(xiàn)安全問題或者存在較大安全隱患的領域實施重點監(jiān)管;可以進一步完善監(jiān)管程序,保證消防官兵在信息化工作中按流程辦事,提高程序意識。
4總 結
計算機網(wǎng)絡技術在消防信息化工作中的應用,大大提高了消防工作的質量和效率,同時也造成了一些網(wǎng)絡安全方面的問題。在今后的工作過程中,廣大消防官兵有必要提高網(wǎng)絡安全意識、提升網(wǎng)絡安全知識水平,完善信息安全技術措施和信息安全管理措施,確保消防信息化工作安全開展、順利開展。
參考文獻
[1]付鵬.淺析計算機網(wǎng)絡技術在消防信息化工作中的應用及存在問題和對策[J].電腦知識與技術,2011(27).
[2]段秀紅.計算機網(wǎng)絡技術在消防信息化工作中的應用及存在問題和對策[J].科技傳播,2012(23).
[3]苑曉凡.消防信息化建設中的網(wǎng)絡安全問題[J].2006年中國科協(xié)年會論文集(下冊),2006(09).
關鍵詞:安全現(xiàn)狀 安全威脅 安全控制 病毒防治
中圖分類號:TP393.1文獻標識碼: A
0 引言
隨著信息化的不斷擴展,各類網(wǎng)絡版應用軟件推廣應用,計算機網(wǎng)絡在提高數(shù)據(jù)傳輸效率,實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用,網(wǎng)絡與信息系統(tǒng)建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行,保證網(wǎng)絡信息安全以及網(wǎng)絡硬件及軟件系統(tǒng)的正常順利運轉是基本前提,因此計算機網(wǎng)絡和系統(tǒng)安全建設就顯得尤為重要。
1 局域網(wǎng)安全現(xiàn)狀
廣域網(wǎng)絡已有了相對完善的安全防御體系,防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關級別、網(wǎng)絡邊界方面的防御,重要的安全設施大致集中于機房或網(wǎng)絡入口處,在這些設備的嚴密監(jiān)控下,來自網(wǎng)絡外部的安全威脅大大減小。相反來自網(wǎng)絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施,安全威脅較大。未經(jīng)授權的網(wǎng)絡設備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡設備自動進入網(wǎng)絡,形成極大的安全隱患。目前,局域網(wǎng)絡安全隱患是利用了網(wǎng)絡系統(tǒng)本身存在的安全弱點,而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴重程度。
2 局域網(wǎng)安全威脅分析
局域網(wǎng)(LAN)是指在小范圍內由服務器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡。由于通過交換機和服務器連接網(wǎng)內每一臺電腦,因此局域網(wǎng)內信息的傳輸速率比較高,同時局域網(wǎng)采用的技術比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡安全威脅通常有以下幾類:
2.1 計算機病毒及惡意代碼的威脅 由于網(wǎng)絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件(crime ware)洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。
2.2 局域網(wǎng)用戶安全意識不強 許多用戶使用移動存儲設備來進行數(shù)據(jù)的傳遞,經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設備帶入內部局域網(wǎng),同時將內部數(shù)據(jù)帶出局域網(wǎng),這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據(jù)泄密的可能性。另外一機兩用甚至多用情況普遍,筆記本電腦在內外網(wǎng)之間平凡切換使用,許多用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內部局域網(wǎng)絡使用,造成病毒的傳入和信息的泄密。
2.3 IP地址沖突 局域網(wǎng)用戶在同一個網(wǎng)段內,經(jīng)常造成IP地址沖突,造成部分計算機無法上網(wǎng)。對于局域網(wǎng)來講,此類IP地址沖突的問題會經(jīng)常出現(xiàn),用戶規(guī)模越大,查找工作就越困難,所以網(wǎng)絡管理員必須加以解決。
3 局域網(wǎng)安全控制與病毒防治策略
3.1 加強人員的網(wǎng)絡安全培訓 安全是個過程,它是一個匯集了硬件、軟件、網(wǎng)絡、人員以及他們之間互相關系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環(huán)節(jié)落實到每個層次上,而進行這種具體操作的是人,人正是網(wǎng)絡安全中最薄弱的環(huán)節(jié),然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡的人員的管理,注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。同時要加強法制建設, 進一步完善關于網(wǎng)絡安全的法律,以便更有利地打擊不法分子
3.2 局域網(wǎng)安全控制策略 安全管理保護網(wǎng)絡用戶資源與設備以及網(wǎng)絡管理系統(tǒng)本身不被未經(jīng)授權的用戶訪問。目前網(wǎng)絡管理工作量最大的部分是客戶端安全部分,對網(wǎng)絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡內部的安全問題,才可以排除網(wǎng)絡中最大的安全隱患,對于內部網(wǎng)絡終端安全管理主要從終端狀態(tài)、行為、事件三個方面進行防御。利用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是當前解決局域網(wǎng)安全的關鍵所在。
3.2.1 采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上,與網(wǎng)絡的其余部分隔開,它使內部網(wǎng)絡與Internet之間或與其他外部網(wǎng)絡互相隔離,限制網(wǎng)絡互訪,用來保護內部網(wǎng)絡資源免遭非法使用者的侵入,執(zhí)行安全管制措施,記錄所有可疑事件。它是在兩個網(wǎng)絡之間實行控制策略的系統(tǒng),是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術。
3.2.2 封存所有空閑的IP地址,啟動IP地址綁定,采用上網(wǎng)計算機IP地址與MCA地址唯一對應,網(wǎng)絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略,可以有效防止IP地址引起的網(wǎng)絡中斷和移動計算機隨意上內部局域網(wǎng)絡造成病毒傳播和數(shù)據(jù)泄密。
3.2.3 啟用殺毒軟件強制安裝策略,監(jiān)測所有運行在局域網(wǎng)絡上的計算機,對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。
3.3 病毒防治 病毒的侵入必將對系統(tǒng)資源構成威脅,影響系統(tǒng)的正常運行。特別是通過網(wǎng)絡傳播的計算機病毒,能在很短的時間內使整個計算機網(wǎng)絡處于癱瘓狀態(tài),從而造成巨大的損失。因此,防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的,主要從以下幾個方面制定有針對性的防病毒策略:
3.3.1 增加安全意識。 杜絕病毒,主觀能動性起到很重要的作用。病毒的蔓延,經(jīng)常是由于企業(yè)內部員工對病毒的傳播方式不夠了解,病毒傳播的渠道有很多種,可通過網(wǎng)絡、物理介質等。查殺病毒,首先要知道病毒到底是什么,它的危害是怎么樣的,知道了病毒危害性,提高了安全意識,杜絕毒瘤的戰(zhàn)役就已經(jīng)成功了一半。平時,企業(yè)要從加強安全意識著手,對日常工作中隱藏的病毒危害增加警覺性,如安裝一種大眾認可的網(wǎng)絡版殺毒軟件,定時更新病毒定義,對來歷不明的文件運行前進行查殺,每周查殺一次病毒,減少共享文件夾的數(shù)量,文件共享的時候盡量控制權限和增加密碼等,都可以很好地防止病毒在網(wǎng)絡中的傳播。
3.3.2 小心郵件。 隨著網(wǎng)絡的普及,電子信箱成了人們工作中不可缺少的一種媒介。它方便快捷在提高了人們的工作效率的同時,也無意之中成為了病毒的幫兇。有數(shù)據(jù)顯示,如今有超過90%的病毒通過郵件進行傳播。盡管這些病毒的傳播原理很簡單,但這塊決非僅僅是技術問題,還應該教育用戶和企業(yè),讓它們采取適當?shù)拇胧@纾绻械腤indows用戶都關閉了VB腳本功能,像庫爾尼科娃這樣的病毒就不可能傳播。只要用戶隨時小心警惕,不要打開值得懷疑的郵件,就可把病毒拒絕在外。
3.3.3 小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺,也可把病毒拒絕在外。
3.3.4 挑選網(wǎng)絡版殺毒軟件。選擇一個功力高深的網(wǎng)絡版病毒"殺手"就至關重要了。一般而言,查殺是否徹底,界面是否友好、方便,能否實現(xiàn)遠程控制、集中管理是決定一個網(wǎng)絡殺毒軟件的三大要素。
4 結語
局域網(wǎng)安全控制與病毒防治是一項長期而艱巨的任務,需要不斷的探索。隨著網(wǎng)絡應用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化,安全問題日益復雜化,網(wǎng)絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網(wǎng)絡安全需要建立多層次的、立體的防護體系,要具備完善的管理系統(tǒng)來設置和維護對安全的防護策略。
參考文獻:
[1]鐘平;校園網(wǎng)安全防范技術研究[DB].CNKI系列數(shù)據(jù)庫.2007.
關鍵詞:網(wǎng)絡安全;信息安全;計算機安全;信息管理
隨著交通行業(yè)的科技信息化發(fā)展,交通行業(yè)各應用系統(tǒng)及計算機遭受病毒攻擊、垃圾郵件泛濫等問題威脅著行業(yè)信息安全。由于缺乏安全意識,出現(xiàn)了數(shù)據(jù)丟失、信息被盜等安全問題,給整個行業(yè)造成重大損失。保證行業(yè)內計算機及網(wǎng)絡信息系統(tǒng)的安全運行,不受病毒、黑客的侵擾極為重要。
1交通行業(yè)計算機信息安全存在的問題
現(xiàn)階段,交通行業(yè)內的計算機用戶群體復雜,存在的信息安全問題也很復雜。主要存在以下幾個方面的問題。(1)計算機軟硬件核心技術大多依賴進口目前,中國的軟硬件核心技術欠缺,例如美國的CPU芯片、美國微軟公司的WINDOWS操作系統(tǒng)、美國微軟公司的日常辦公通用軟件OPFICE、各大數(shù)據(jù)庫等軟硬件大多依賴國外。國外的系統(tǒng)固然會不定期更新,但肯定會存在大量的安全漏洞,留下隱藏性病毒、后門等隱患。這些漏洞使得計算機的安全性能大大降低,同時使網(wǎng)絡處于極脆弱的狀態(tài)。(2)缺乏安全有效的防護措施很多計算機用戶不設置系統(tǒng)登錄密碼,即便是設置了密碼但是密碼策略低,有的甚至設置成電話號碼、連續(xù)數(shù)字等。用戶雖然安裝了殺毒軟件,但缺乏安全意識,有的用戶的殺毒軟件根本沒有升級病毒庫,相當于是在裸機的狀態(tài)下使用,一旦感染病毒,再加上黑客攻擊,很可能直接造成網(wǎng)絡癱瘓,從而導致存儲在計算機中的大量敏感文件和工作文件信息被竊取,極易造成泄密事件。(3)重要數(shù)據(jù)缺少備份行業(yè)用戶的操作水平不高或者操作習慣不好,會導致經(jīng)常誤刪一些重要文件。此外,各種自然災害、病毒、黑客攻擊、計算機硬件設備損壞等都會導致文件及數(shù)據(jù)遭遇毀滅性的損壞。如果用戶未對重要數(shù)據(jù)進行備份,一旦文件遭到破壞將很難恢復,對個人甚至國家都會造成嚴重后果,所以數(shù)據(jù)備份不容忽視。(4)電子郵箱密碼設置過于簡單某些單位的電子郵箱沒有相關管理制度,網(wǎng)絡管理者在分配郵箱的時候一般會設置一個較簡單的默認密碼,用戶在使用過程中很少有修改密碼的習慣。完全把郵箱變成一個網(wǎng)絡存儲空間使用,往來郵件長時間不清理。一旦電子郵箱被黑客攻破,后果不堪設想。(5)計算機網(wǎng)絡信息安全缺乏嚴格的管理制度行業(yè)內大部分單位雖然有信息安全管理制度,也明確了崗位職責及規(guī)范,但在實際工作中卻并未嚴格按照規(guī)范執(zhí)行,有很多制度一成不變,已經(jīng)跟不上時代的發(fā)展,與現(xiàn)階段國家的相關規(guī)定也存在很大差距,導致極大的信息安全隱患。此外,對于特定的賬戶密碼和管理員權限沒有監(jiān)管,缺乏安全保障制度和預防措施。(6)對于計算機信息安全事故缺乏有效的應對措施防患于未然極其重要。一些行業(yè)內單位對于信息安全缺少防范措施,一旦出現(xiàn)重大網(wǎng)絡安全故障后,缺乏快速補救的措施和應急方案,不能及時排除安全故障和隱患,勢必會給單位和個人造成重大損失。(7)計算機信息使用和管理人員安全意識淡薄有的計算機信息使用和管理人員在日常生活和工作中缺乏安全保密意識,不能嚴格執(zhí)行交通運輸部保密辦的“計算機不上網(wǎng),上網(wǎng)計算機不”的保密要求,往往把U盤混用,接收資料也不殺毒處理,操作系統(tǒng)、殺毒軟件不及時升級,這些行為都會導致計算機感染病毒。外出時,個人手機和筆記本電腦經(jīng)常會連接到各種無線網(wǎng)絡中,這對行業(yè)信息安全都有極大的風險。
2交通行業(yè)計算機信息安全管理對策
(1)推廣國內自主研發(fā)的核心設備和技術的應用按照國家相關要求和規(guī)范進行網(wǎng)絡信息安全和計算機信息化設備的采購和配置。涉及到重要的信息,盡量使用國內自主研發(fā)的經(jīng)過國家保密局、安全局、公安部評測通過的計算機網(wǎng)絡安全設備。(2)對內部網(wǎng)絡及系統(tǒng)進行分級保護對行業(yè)內的計算機信息網(wǎng)絡,一定要按照國家有關要求和交通運輸部保密辦的要求,進行分級保護管理。對單位內網(wǎng)絡中的所有網(wǎng)絡終端進行系統(tǒng)加固,安裝安全登錄、主機審計、身份認證、主機監(jiān)控、黑白名單、違規(guī)外聯(lián)、補丁分發(fā)、文件分發(fā)系統(tǒng)。對網(wǎng)絡內的終端計算機實行關閉刻錄、USB使用功能,禁止使用無線及藍牙等外設設備,采用紅黑電源插座。計算機只可進數(shù)據(jù),嚴禁出數(shù)據(jù)。出數(shù)據(jù)必須要逐級審批,方可開通權限進行刻錄和打印。對網(wǎng)絡線路加裝線路保護儀,網(wǎng)絡設備和系統(tǒng)要放置在屏蔽機房和屏蔽機柜內。(3)對內部非的網(wǎng)絡和政務外網(wǎng)進行等級保護按照國家有關要求和標準規(guī)范,進行等級保護測評。全面安裝計算機安全登錄終端、主機審計和監(jiān)控系統(tǒng)。對等級級別高的網(wǎng)路和系統(tǒng)要間隔不長時間再次測評。《中華人民共和國網(wǎng)絡安全法》現(xiàn)已實施,為了避免在國家重大活動信息安全保障中出現(xiàn)信息安全責任事故,盡量使用軟硬件設備關閉單位大樓內的無線信號。(4)安裝防病毒軟件、防火墻、入侵檢測系統(tǒng)對行業(yè)內的網(wǎng)絡計算機,要逐臺安裝防病毒軟件和木馬查殺軟件,要求對病毒進行定時或實時的掃描及漏洞檢測。對文件、郵件、內存、網(wǎng)頁進行全面實時監(jiān)控,一旦發(fā)現(xiàn)異常情況,及時定位處理。要使用補丁分發(fā)系統(tǒng)及時針對系統(tǒng)和常用軟件漏洞進行分發(fā)安裝。網(wǎng)絡層一定要軟硬結合,使用防火墻和入侵檢測系統(tǒng),對安全策略及過濾規(guī)則按照最高等級設置,以防御外部惡意攻擊。對網(wǎng)絡中的IP地址加裝ACK地址管理系統(tǒng)。為了安全起見,全部設置靜態(tài)IP地址,然后與MAC地址綁定,這樣可以有效預防IP地址欺騙。同時利用上網(wǎng)行為管理系統(tǒng),屏蔽非法訪問的不良行為,禁止把內部敏感信息和數(shù)據(jù)傳播至公共網(wǎng)絡。使用網(wǎng)絡監(jiān)控和預警平臺對網(wǎng)絡進行監(jiān)測,及時有效地保護網(wǎng)絡安全。(5)完善行業(yè)計算機網(wǎng)絡安全管理體系為了加強網(wǎng)絡安全管理,將信息安全管理工作落到實處,必須對網(wǎng)絡中的每個管理環(huán)節(jié)進行監(jiān)管,實現(xiàn)網(wǎng)絡信息安全的最終目標。為了提前發(fā)現(xiàn)網(wǎng)絡風險,將風險降至最小,避免黑客利用漏洞破壞網(wǎng)絡信息安全,必須從頂層設計入手,針對網(wǎng)絡信息安全制定全面的管理體系和網(wǎng)絡信息風險評估體系,這對建設安全的網(wǎng)絡環(huán)境十分重要,可以對網(wǎng)絡信息起到監(jiān)管作用,更加有利于網(wǎng)絡信息安全管理。(6)提高思想認識,加強制度落實信息安全管理工作的首要基礎是通過加強思想教育、制度學習和落實,提高全員的網(wǎng)絡安全意識。認真學習各類信息安全法規(guī)和保密教材,尤其是要深入學習《中華人民共和國網(wǎng)絡安全法》,強化安全保密觀念,提高安全保密意識和素質,增強網(wǎng)絡安全保密知識,改善網(wǎng)絡安全保密環(huán)境。(7)制定嚴格的信息安全管理制度為了維護行業(yè)信息安全,每個行業(yè)單位應結合實際情況,完善內部網(wǎng)絡信息安全管理制度,確保信息處理、存儲、傳播的安全。對于的計算機應安排專人負責。文件應單獨保存在介質中。對于機房、計算機軟硬件、信息系統(tǒng)建設與運維、郵件服務器系統(tǒng),也應制定不同的安全策略和管理制度,并在實際工作中嚴格執(zhí)行落實。(8)制定網(wǎng)絡安全應急管理措施為了能夠及時快速地處置網(wǎng)絡安全事故,行業(yè)各單位需結合實際情況,制定本單位網(wǎng)絡安全應急管理措施,明確崗位職責和處置權限,并定期開展安全應急預演,提高技術人員的應急處理能力。網(wǎng)絡安全事故突發(fā)應急處置過程中,一旦發(fā)現(xiàn)問題要及時上報,規(guī)定報送流程、時間要求等,采取措施降低損害。每次的處理都要記錄并保存,以便追溯。按照應急處置程序,一旦發(fā)生信息安全事件,要立即向有關部門報告。(9)重視網(wǎng)絡信息安全人才的培養(yǎng)各單位應重視網(wǎng)絡信息安全人才的培養(yǎng),建立一支信息安全管理技術過硬的團隊。每年制定不同的年度培訓計劃,通過每季度不少于一次的專業(yè)培訓來提高網(wǎng)絡信息安全人才的專業(yè)技術能力。
3結語
總之,交通運輸行業(yè)對計算機及各種網(wǎng)絡的依賴性越來越強,遭受各種病毒侵擾、黑客攻擊也是不可避免的。交通行業(yè)計算機及網(wǎng)絡信息安全問題,必須引起各單位高度重視。人人都應從自我做起,提高個人的信息安全意識,養(yǎng)成良好的計算機使用習慣。只有完善制度、嚴格落實執(zhí)行、提高監(jiān)管力度,才能從根本上解決網(wǎng)絡信息安全問題,建立穩(wěn)定、和諧、安全的網(wǎng)絡信息環(huán)境。
作者:郭俊杰 單位:中國交通通信信息中心
參考文獻:
[1]趙輝,樊杰,徐京渝.分布式行業(yè)電子政務網(wǎng)絡信息安全問題及對策[J].中國交通信息化,2013(2):36-38.
[2]李治國.淺析計算機網(wǎng)絡信息安全存在的問題及對策[J].計算機光盤軟件與應用,2012(21):47-48.
關鍵詞:LAN;威脅;安全控制;病毒防治
隨著信息化的不斷擴展,各類網(wǎng)絡版應用軟件推廣應用,計算機網(wǎng)絡在提高數(shù)據(jù)傳輸效率,實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用,網(wǎng)絡與信息系統(tǒng)建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行,保證網(wǎng)絡信息安全以及網(wǎng)絡硬件及軟件系統(tǒng)的正常順利運轉是基本前提,因此計算機網(wǎng)絡和系統(tǒng)安全建設就顯得尤為重要。
一、局域網(wǎng)安全現(xiàn)狀
廣域網(wǎng)絡已有了相對完善的安全防御體系,防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關級別、網(wǎng)絡邊界方面的防御,重要的安全設施大致集中于機房或網(wǎng)絡入口處,在這些設備的嚴密監(jiān)控下,來自網(wǎng)絡外部的安全威脅大大減小。相反來自網(wǎng)絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施,安全威脅較大。未經(jīng)授權的網(wǎng)絡設備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡設備自動進入網(wǎng)絡,形成極大的安全隱患。目前,局域網(wǎng)絡安全隱患是利用了網(wǎng)絡系統(tǒng)本身存在的安全弱點,而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴重程度。
二、局域網(wǎng)安全威脅分析
局域網(wǎng)(LAN)是指在小范圍內由服務器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡。由于通過交換機和服務器連接網(wǎng)內每一臺電腦,因此局域網(wǎng)內信息的傳輸速率比較高,同時局域網(wǎng)采用的技術比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡安全威脅通常有以下幾類:
(一)欺騙性的軟件使數(shù)據(jù)安全性降低
由于局域網(wǎng)很大的一部分用處是資源共享,而正是由于共享資源的“數(shù)據(jù)開放性”,導致數(shù)據(jù)信息容易被篡改和刪除,數(shù)據(jù)安全性較低。例如“網(wǎng)絡釣魚攻擊”,釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息:如用戶名、口令、賬號ID、ATM PIN碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù)。以往此類攻擊的冒名的多是大型或著名的網(wǎng)站,但由于大型網(wǎng)站反應比較迅速,而且所提供的安全功能不斷增強,網(wǎng)絡釣魚已越來越多地把目光對準了較小的網(wǎng)站。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段,因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。
(二)服務器區(qū)域沒有進行獨立防護
局域網(wǎng)內計算機的數(shù)據(jù)快速、便捷的傳遞,造就了病毒感染的直接性和快速性,如果局域網(wǎng)中服務器區(qū)域不進行獨立保護,其中一臺電腦感染病毒,并且通過服務器進行信息傳遞,就會感染服務器,這樣局域網(wǎng)中任何一臺通過服務器信息傳遞的電腦,就有可能會感染病毒。雖然在網(wǎng)絡出口有防火墻阻斷對外來攻擊,但無法抵擋來自局域網(wǎng)內部的攻擊。
(三)計算機病毒及惡意代碼的威脅
由于網(wǎng)絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件(crime ware)洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。2007年,兩種軟件的結合推動舊有寄生軟件變種增長3倍之多。2008年,預計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長,寄生軟件的總量預計將增長20%。
(四)局域網(wǎng)用戶安全意識不強
許多用戶使用移動存儲設備來進行數(shù)據(jù)的傳遞,經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設備帶入內部局域網(wǎng),同時將內部數(shù)據(jù)帶出局域網(wǎng),這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據(jù)泄密的可能性。另外一機兩用甚至多用情況普遍,筆記本電腦在內外網(wǎng)之間平凡切換使用,許多用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內部局域網(wǎng)絡使用,造成病毒的傳入和信息的泄密。
(五)IP地址沖突
局域網(wǎng)用戶在同一個網(wǎng)段內,經(jīng)常造成IP地址沖突,造成部分計算機無法上網(wǎng)。對于局域網(wǎng)來講,此類IP地址沖突的問題會經(jīng)常出現(xiàn),用戶規(guī)模越大,查找工作就越困難,所以網(wǎng)絡管理員必須加以解決。
正是由于局域網(wǎng)內應用上這些獨特的特點,造成局域網(wǎng)內的病毒快速傳遞,數(shù)據(jù)安全性低,網(wǎng)內電腦相互感染,病毒屢殺不盡,數(shù)據(jù)經(jīng)常丟失。
三、局域網(wǎng)安全控制與病毒防治策略
(一)加強人員的網(wǎng)絡安全培訓
安全是個過程,它是一個匯集了硬件、軟件、網(wǎng)絡、人員以及他們之間互相關系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環(huán)節(jié)落實到每個層次上,而進行這種具體操作的是人,人正是網(wǎng)絡安全中最薄弱的環(huán)節(jié),然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡的人員的管理,注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。同時要加強法制建設, 進一步完善關于網(wǎng)絡安全的法律,以便更有利地打擊不法分子。對局域網(wǎng)內部人員,從下面幾方面進行培訓:
1、加強安全意識培訓,讓每個工作人員明白數(shù)據(jù)信息安全的重要性,理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責任。
2、加強安全知識培訓,使每個計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地的數(shù)據(jù),保證本地數(shù)據(jù)信息的安全可靠。
3、加強網(wǎng)絡知識培訓,通過培訓掌握一定的網(wǎng)絡知識,能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡基本知識,樹立良好的計算機使用習慣。
(二)局域網(wǎng)安全控制策略
安全管理保護網(wǎng)絡用戶資源與設備以及網(wǎng)絡管理系統(tǒng)本身不被未經(jīng)授權的用戶訪問。目前網(wǎng)絡管理工作量最大的部分是客戶端安全部分,對網(wǎng)絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡內部的安全問題,才可以排除網(wǎng)絡中最大的安全隱患,對于內部網(wǎng)絡終端安全管理主要從終端狀態(tài)、行為、事件三個方面進行防御。利用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是當前解決局域網(wǎng)安全的關鍵所在。
1、利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡資源不被非法使用,是網(wǎng)絡安全防范和保護的主要策略。它為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源,控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予一定的權限,網(wǎng)絡控制用戶和用戶組可以訪問的目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設備能夠執(zhí)行的操作。啟用密碼策略,強制計算機用戶設置符合安全要求的密碼,包括設置口令鎖定服務器控制臺,以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù),提高系統(tǒng)安全行,對密碼不符合要求的計算機在多次警告后阻斷其連網(wǎng)。
2、采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上,與網(wǎng)絡的其余部分隔開,它使內部網(wǎng)絡與Internet之間或與其他外部網(wǎng)絡互相隔離,限制網(wǎng)絡互訪,用來保護內部網(wǎng)絡資源免遭非法使用者的侵入,執(zhí)行安全管制措施,記錄所有可疑事件。它是在兩個網(wǎng)絡之間實行控制策略的系統(tǒng),是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術。采用防火墻技術發(fā)現(xiàn)及封阻應用攻擊所采用的技術有:(1)深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在一個數(shù)據(jù)流當中有多個數(shù)據(jù)包,在尋找攻擊異常行為的同時,保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應用流量,以避免應用時帶來時延。(2)IP/URL過濾。一旦應用流量是明文格式,就必須檢測HTTP請求的URL部分,尋找惡意攻擊的跡象,這就需要一種方案不僅能檢查RUL,還能檢查請求的其余部分。其實,如果把應用響應考慮進來,可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作,可以阻止通常的腳本類型的攻擊。(3)TCP/IP終止。應用層攻擊涉及多種數(shù)據(jù)包,并且常常涉及不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效,就必須在用戶與應用保持互動的整個會話期間,能夠檢測數(shù)據(jù)包和請求,以尋找攻擊行為。至少,這需要能夠終止傳輸層協(xié)議,并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式。系統(tǒng)中存著一些訪問網(wǎng)絡的木馬、病毒等IP地址,檢查訪問的IP地址或者端口是否合法,有效的TCP/IP終止,并有效地扼殺木馬。時等。(4)訪問網(wǎng)絡進程跟蹤。訪問網(wǎng)絡進程跟蹤。這是防火墻技術的最基本部分,判斷進程訪問網(wǎng)絡的合法性,進行有效攔截。這項功能通常借助于TDI層的網(wǎng)絡數(shù)據(jù)攔截,得到操作網(wǎng)絡數(shù)據(jù)報的進程的詳細信息加以實現(xiàn)。
3、封存所有空閑的IP地址,啟動IP地址綁定,采用上網(wǎng)計算機IP地址與MCA地址唯一對應,網(wǎng)絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略,可以有效防止IP地址引起的網(wǎng)絡中斷和移動計算機隨意上內部局域網(wǎng)絡造成病毒傳播和數(shù)據(jù)泄密。
4、屬性安全控制。它能控制以下幾個方面的權限:防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡的屬性可以保護重要的目錄和文件。
5、啟用殺毒軟件強制安裝策略,監(jiān)測所有運行在局域網(wǎng)絡上的計算機,對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。
(三)病毒防治
病毒的侵入必將對系統(tǒng)資源構成威脅,影響系統(tǒng)的正常運行。特別是通過網(wǎng)絡傳播的計算機病毒,能在很短的時間內使整個計算機網(wǎng)絡處于癱瘓狀態(tài),從而造成巨大的損失。因此,防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的,主要從以下幾個方面制定有針對性的防病毒策略:
1、增加安全意識和安全知識,對工作人員定期培訓。首先明確病毒的危害,文件共享的時候盡量控制權限和增加密碼,對來歷不明的文件運行前進行查殺等,都可以很好地防止病毒在網(wǎng)絡中的傳播。這些措施對杜絕病毒,主觀能動性起到很重要的作用。
2、小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺,也可把病毒拒絕在外。
3、挑選網(wǎng)絡版殺毒軟件。一般而言,查殺是否徹底,界面是否友好、方便,能否實現(xiàn)遠程控制、集中管理是決定一個網(wǎng)絡殺毒軟件的三大要素。瑞星殺毒軟件在這些方面都相當不錯,能夠熟練掌握瑞星殺毒軟件使用,及時升級殺毒軟件病毒庫,有效使用殺毒軟件是防毒殺毒的關鍵。
通過以上策略的設置,能夠及時發(fā)現(xiàn)網(wǎng)絡運行中存在的問題,快速有效的定位網(wǎng)絡中病毒、蠕蟲等網(wǎng)絡安全威脅的切入點,及時、準確的切斷安全事件發(fā)生點和網(wǎng)絡。
局域網(wǎng)安全控制與病毒防治是一項長期而艱巨的任務,需要不斷的探索。隨著網(wǎng)絡應用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化,安全問題日益復雜化,網(wǎng)絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網(wǎng)絡安全需要建立多層次的、立體的防護體系,要具備完善的管理系統(tǒng)來設置和維護對安全的防護策略。
參考文獻:
1、鐘平.校園網(wǎng)安全防范技術研究[DB].CNKI系列數(shù)據(jù)庫,2007.
2、王秀和,楊明.計算機網(wǎng)絡安全技術淺析[J].中國教育技術設備,2007(5).
關鍵詞:計算機 局域網(wǎng) 信息安全 病毒防治
伴隨信息化的迅猛擴張,各種網(wǎng)絡應用軟件也得以快速應用推廣,如今計算機網(wǎng)絡的作用越來越重要。為了確保網(wǎng)絡信息安全和網(wǎng)絡軟、硬件的正常工作運轉,加強計算機網(wǎng)絡和系統(tǒng)安全建設勢在必行。本文主要對如何實現(xiàn)局域網(wǎng)的信息安全及其病毒防治措施進行了論述。
1、局域網(wǎng)信息安全的現(xiàn)狀
相比局域網(wǎng)而言,廣域網(wǎng)目前較為完善的安全防御體系已經(jīng)建立,可以利用防火墻、查殺病毒、漏洞掃描、設置IDS等網(wǎng)關級別、網(wǎng)絡邊界等方法進行防御,由于重要安全設施主要是在機房以及網(wǎng)絡入口等地點,通過以上設備的密切監(jiān)控,使網(wǎng)絡外部的安全威脅大幅降低。然而,由于對計算機客戶端的安全管理措施相對較少,使得網(wǎng)絡內部的安全威脅得以增加。某些未經(jīng)授權的網(wǎng)絡設備以及用戶很容易通過鏈接局域網(wǎng)的相關網(wǎng)絡設備而自動進入網(wǎng)絡,造成網(wǎng)絡安全隱患問題。從目前來看,局域網(wǎng)信息安全的隱患主要是網(wǎng)絡系統(tǒng)本身的安全漏洞問題,還有就是網(wǎng)絡系統(tǒng)管理使用不利而導致的安全問題的增加。
2、局域網(wǎng)信息安全的主要威脅
我們所說的局域網(wǎng)(LAN)就是為了工作需要,在特定的范圍內通過服務器與多臺電腦而組成的工作組互聯(lián)網(wǎng)絡。因為需要經(jīng)由交換機和服務器與網(wǎng)內的所有電腦相連,所以局域網(wǎng)內的信息傳輸速率相對較高,但是,由于局域網(wǎng)應用的技術單一,沒有更多的安全措施,因此很容易成為病毒傳播的主要通道,為數(shù)據(jù)信息的安全帶來嚴重的隱患問題。綜合分析局域網(wǎng)信息安全的主要威脅有下面幾種:
2.1 黑客軟件影響數(shù)據(jù)安全
資源共享是局域網(wǎng)的主要用途之一,然而共享資源必然要對數(shù)據(jù)開放,這就會使得篡改和刪除數(shù)據(jù)信息變得極其容易,造成了數(shù)據(jù)的安全性較低。比如,一些黑客利用網(wǎng)絡釣魚工具進行攻擊,其主要是以某些知名機構的名義向用戶發(fā)送大量帶有欺騙性質的垃圾郵件信息,其目的是要以此引誘收信人透露個人的敏感信息內容,例如用戶名、密碼、ID賬號、個人聯(lián)系方式以及信用卡等信息,冒用某些正規(guī)網(wǎng)站的進行騙取用戶敏感數(shù)據(jù)信息是其最常見的手段,過去進行該類攻擊的大部分為大型網(wǎng)站或知名網(wǎng)站等,然而因為大型網(wǎng)站相對反應迅速較快,且其提供的各項安全措施也在加強增大,因此網(wǎng)絡釣魚只能逐漸將目光瞄準一些小型網(wǎng)站和不知名網(wǎng)站來進行。
2.2 服務器區(qū)域未做好有效防御
由于局域網(wǎng)內各計算機之間可以快速方便的進行傳遞數(shù)據(jù)信息,這就直接導致了病毒能夠直接而快速地感染計算機,一旦局域網(wǎng)的服務器區(qū)域未做好有效出版物,沒有采取獨立保護措施,如果其中某臺計算機感染了病毒,再經(jīng)過服務器傳遞數(shù)據(jù)信息時則會直接造成服務器感染,如此,局域網(wǎng)內的所有計算機通過服務器進行數(shù)據(jù)信息傳遞時,都容易成為病毒感染對象。盡管網(wǎng)絡出口處設立了防火墻來對外來攻擊進行阻斷,然而局域網(wǎng)內部的攻擊卻往往不能抵擋。
2.3 各種計算機病毒和惡意代碼威脅網(wǎng)絡安全
許多網(wǎng)絡用戶沒有安裝防病毒軟件或者安裝不及時,以及沒有及時進行操作系統(tǒng)補丁的更新,還有部分用戶雖然安裝了防病毒軟件,但沒有及時更新病毒庫,這些情況都容易給計算機病毒入侵帶來便利。很多網(wǎng)絡寄生犯罪軟件進行攻擊時,都是利用網(wǎng)絡用戶的這些弱點和問題。網(wǎng)絡寄生軟件能夠做到修改磁盤上的現(xiàn)有軟件而將其寄生的相關文件內注入一些新代碼來實現(xiàn)攻擊。
2.4 局域網(wǎng)用戶缺乏安全意識
很多用戶在進行數(shù)據(jù)信息傳遞時喜歡使用移動存儲設備,習慣性地將外部數(shù)據(jù)信息在沒有經(jīng)過安全檢查的情況下就將移動存儲設備直接與內部局域網(wǎng)鏈接,并且將存儲設備內部的數(shù)據(jù)信息傳遞到局域網(wǎng)計算機中,如此做法很容易給木馬和蠕蟲等各種病毒感染計算機提供方便條件,而且使數(shù)據(jù)信息泄密的機率增加。此外,還有個人筆記本電腦隨意地在內外網(wǎng)之間進行切換使用以及一機兩用、多用等現(xiàn)象也經(jīng)常遇到,很多用戶的筆記本電腦鏈接Internet網(wǎng)后就直接在未經(jīng)許可的前提下直接在內部局域網(wǎng)內鏈接,也極易導致各類病毒入侵以及造成數(shù)據(jù)信息泄密等問題。
2.5 局域網(wǎng)IP地址發(fā)生沖突
如果局域網(wǎng)用戶處于同一個網(wǎng)段,就會導致IP地址沖突現(xiàn)象經(jīng)常發(fā)生,使部分計算機無法鏈接網(wǎng)絡。就局域網(wǎng)而言,發(fā)生這類IP地址沖突的現(xiàn)象經(jīng)常遇到,局域網(wǎng)內的用戶越多,就會給查找工作帶來更大的難題,因此,局域網(wǎng)的網(wǎng)絡管理員需要密切關注之一問題并及時加以解決處理。
綜上所述,局域網(wǎng)內在應用上擁有這些獨特的特點,導致了局域網(wǎng)內的一些病毒能夠進行快速的傳遞,給數(shù)據(jù)信息的安全帶來危害,形成了局域網(wǎng)內各計算機間相互感染的問題,雖然經(jīng)常進行病毒查殺,卻仍然經(jīng)常發(fā)生數(shù)據(jù)信息丟失等現(xiàn)象。
3、局域網(wǎng)的信息安全控制策略及其病毒防治措施
關鍵詞:計算機網(wǎng)絡技術;電子信息工程;應用
電子信息工程是當前科技發(fā)展的重要產(chǎn)物,人們的生產(chǎn)生活已逐步離不開它。計算機網(wǎng)絡技術的發(fā)展和應用,給電子信息工程的創(chuàng)新和發(fā)展給予了重要基礎,兩者的融合讓人們更加重視電子信息技術的應用,這直接推動了現(xiàn)代科技和生產(chǎn)技術的發(fā)展。
1相關概念闡述
1.1計算機網(wǎng)絡技術
所謂計算機網(wǎng)絡技術,就是計算機技術和互聯(lián)網(wǎng)通信技術結合形成的技術,需要遵循一定的網(wǎng)絡協(xié)議,把某些獨立、分散的計算機予以連接,進而實現(xiàn)信息的傳輸和共享,在此過程中,電纜、光釬等均為網(wǎng)絡介質[1]。在計算機網(wǎng)絡中,具有性能極佳的共享軟、硬件,在實際的資源共享過程中,此種網(wǎng)絡技術可對相關數(shù)據(jù)進行整合和處理,使電子信息工程的文字、視頻等信息傳輸中,具有很高的安全性和可行性。
1.2電子信息工程
電子信息工程是伴隨信息技術發(fā)展而來的,主要有數(shù)據(jù)的采集及處理、創(chuàng)建合理的電子設備信息系統(tǒng),并予以使用[2]。從現(xiàn)階段的發(fā)展水平看,其在人們生產(chǎn)和生活中有著廣泛應用,且產(chǎn)生積極效應,因此它能夠為人們給予更為便捷的服務,有助于改善和提升人們的生產(chǎn)效率和生活質量。當前,人們應用的智能手機、筆記本電腦等均應用到電子信息技術。實際上,電子信息工程屬于大而雜的信息系統(tǒng)工程,涵蓋了通信、信息及網(wǎng)絡等技術。
2計算機網(wǎng)絡技術在電子信息工程中的應用分析
2.1信息傳遞方面
在信息時代的今天,每天會有海量信息產(chǎn)生,而人們對這些信息是有需求的。在此種狀況下,電子信息工程所具備的高效率、容量大的信息傳遞功能就可電子計算機網(wǎng)絡技術的應用性能更優(yōu)。在應用計算機網(wǎng)絡技術進行信息傳遞中,安全性和可靠性更高,這就在電子信息工程中有著不可替代的效用。而兩者均處于不斷創(chuàng)新和完善中,可更好的促進社會和經(jīng)濟的發(fā)展。這兩者的共同發(fā)展和應用,會給人們的生產(chǎn)和生活帶去更多的便利,因此,必須重視并應用好計算機網(wǎng)絡技術。
2.2安全防護方面
當前,存在諸多的網(wǎng)絡安全風險,如傳輸線路、系統(tǒng)漏洞等。大部分黑客可通過不同手段對某些電子信息工程漏洞實施侵入和攻擊。而此種行為危害性是極大的,不但會危害用戶利益,通過經(jīng)計算機實現(xiàn)信息傳遞,會給整個電子信息工程造成重大損失[3]。因此,有關專業(yè)人員應充分認識并掌握好計算機網(wǎng)絡技術,把各種危險有效隔離于電子工程系統(tǒng)外,即便整個系統(tǒng)中用戶的網(wǎng)絡存在危險,也可及時經(jīng)電子計算機網(wǎng)絡系統(tǒng)把危害降至最低,通過防火墻避免危害的擴大。比如:在電子信息工程中,有關人員應重視并加強電子信息工程安全防護工資,創(chuàng)建有效的防火墻,構成保護屏障。安全方面通常需要在內、外網(wǎng)間予以維護,這就在專用和公共兩個網(wǎng)絡間創(chuàng)建安全有效的防護網(wǎng),確保計算機技術得以穩(wěn)定應用,而其硬、軟件經(jīng)安全網(wǎng)絡口,保障計算機網(wǎng)絡的安全。
2.3技術應用方面
現(xiàn)階段,計算機網(wǎng)絡技術在電子信息工程的應用主要是廣域網(wǎng)(WAN)技術,該技術有著較廣的服務范圍,可將不同城市、企業(yè)的通信網(wǎng)絡予以連接。從當前的發(fā)展情況看,廣域網(wǎng)的用戶量日益增加,此種現(xiàn)象對帶寬技術提出了更高要求。從電子信息工程應用計算機網(wǎng)絡技術的實際情況看,光纖具有較高的帶寬,可更為有效的抵抗不同干擾,具傳輸質量高,基本上沒有噪聲,還可以適用于遠距離信息傳輸,因此,廣域網(wǎng)的關鍵線路都是以光纜為主。另外,衛(wèi)星網(wǎng)絡通信技術有著其獨到優(yōu)勢,可安裝衛(wèi)星地面收發(fā)站,易拆裝,因此可以將此種技術應用到偏遠山區(qū)或未鋪設光纜的區(qū)域,進而有效拓展廣域通信網(wǎng)絡。為有效應對地震、水災等災害,應用計算機網(wǎng)絡技術可以實現(xiàn)特殊情況下的應急需要。
2.4設備開發(fā)方面
電子信息工程在進行新的電子設備的開發(fā)及實現(xiàn)設備間信息共享時,必須應用到計算機網(wǎng)絡技術。可以說,計算機網(wǎng)絡技術直接關系到電子信息的網(wǎng)絡化、一體化,因此技術人員應充分了解電子信息工程的專業(yè)知識,掌握好不同數(shù)字信號的運行機制。一是通信干線。電子信息工程通常是處在廣域網(wǎng)通信干線后,對于用戶的企業(yè)網(wǎng)接口以及接入線是極為重要的組成。在實際應用中,技術人員應明確專用線路和公用線路間的真正區(qū)別,并要認真做好相應防護工作[4]。UNIX及其相關衍生系統(tǒng),現(xiàn)階段在電子信息工程中有極為廣泛的應用,但該網(wǎng)絡體系并未有統(tǒng)一、規(guī)范的結構和協(xié)議標準,以致于不同計算機網(wǎng)絡間通信越發(fā)復雜,很難實現(xiàn),因此有關技術人員應充分利用好計算機網(wǎng)絡技術,可更好的解決此方面的問題。二是傳播媒體。在郵件傳輸、信息查詢及共享資源等工作中計算機網(wǎng)絡技術發(fā)揮著不可替代的作用。當前,大部分科研機構、政府單位和高校,均有應用傳播媒體,該項技術的使用價值得到充分體現(xiàn),從某種層面上講,計算機網(wǎng)絡技術是現(xiàn)階段國際信息公路的主要代表。三是WEB瀏覽器。計算機網(wǎng)絡技術在互聯(lián)網(wǎng)上可實現(xiàn)超文本文件的閱讀,此種過程通過了HTTP超文本傳輸協(xié)議,進而可在企業(yè)機構內部網(wǎng)絡的各工作站用戶可更好更迅速的查詢到網(wǎng)絡上的各種信息。
3結語
綜上而言,電子信息工程中應用計算機網(wǎng)絡技術日益廣泛,對其創(chuàng)新和發(fā)展有著極大的積極影響影響。在實際應用中,應充分把握電子信息工程的性能需求和特點,應用好計算機網(wǎng)絡技術,進一步推進電子信息工程的發(fā)展。
作者:董晶晶 單位:河南藝術職業(yè)學院
參考文獻:
[1]范習松,張勇.淺析計算機網(wǎng)絡技術在電子信息工程中的實踐[J].科技與創(chuàng)新,2014,11(09):420-421.
[2]趙可佳.淺析計算機網(wǎng)絡技術在電子信息工程中的實踐[J].電腦與電信,2015,14(07):571-572.
隨著信息化的不斷擴展,各類網(wǎng)絡版應用軟件推廣應用,計算機網(wǎng)絡在提高數(shù)據(jù)傳輸效率,實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用,網(wǎng)絡與信息系統(tǒng)建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行,保證網(wǎng)絡信息安全以及網(wǎng)絡硬件及軟件系統(tǒng)的正常順利運轉是基本前提,因此計算機網(wǎng)絡和系統(tǒng)安全建設就顯得尤為重要。
1局域網(wǎng)安全現(xiàn)狀
廣域網(wǎng)絡已有了相對完善的安全防御體系,防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關級別、網(wǎng)絡邊界方面的防御,重要的安全設施大致集中于機房或網(wǎng)絡入口處,在這些設備的嚴密監(jiān)控下,來自網(wǎng)絡外部的安全威脅大大減小。相反來自網(wǎng)絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施,安全威脅較大。未經(jīng)授權的網(wǎng)絡設備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡設備自動進入網(wǎng)絡,形成極大的安全隱患。目前,局域網(wǎng)絡安全隱患是利用了網(wǎng)絡系統(tǒng)本身存在的安全弱點,而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴重程度。
2局域網(wǎng)安全威脅分析
局域網(wǎng)(LAN)是指在小范圍內由服務器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡。由于通過交換機和服務器連接網(wǎng)內每一臺電腦,因此局域網(wǎng)內信息的傳輸速率比較高,同時局域網(wǎng)采用的技術比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡安全威脅通常有以下幾類:
2.1欺騙性的軟件使數(shù)據(jù)安全性降低
由于局域網(wǎng)很大的一部分用處是資源共享,而正是由于共享資源的“數(shù)據(jù)開放性”,導致數(shù)據(jù)信息容易被篡改和刪除,數(shù)據(jù)安全性較低。例如“網(wǎng)絡釣魚攻擊”,釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息:如用戶名、口令、賬號ID、ATMPIN碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù),以往此類攻擊的冒名的多是大型或著名的網(wǎng)站,但由于大型網(wǎng)站反應比較迅速,而且所提供的安全功能不斷增強,網(wǎng)絡釣魚已越來越多地把目光對準了較小的網(wǎng)站。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段,因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。
2.2服務器區(qū)域沒有進行獨立防護
局域網(wǎng)內計算機的數(shù)據(jù)快速、便捷的傳遞,造就了病毒感染的直接性和快速性,如果局域網(wǎng)中服務器區(qū)域不進行獨立保護,其中一臺電腦感染病毒,并且通過服務器進行信息傳遞,就會感染服務器,這樣局域網(wǎng)中任何一臺通過服務器信息傳遞的電腦,就有可能會感染病毒。雖然在網(wǎng)絡出口有防火墻阻斷對外來攻擊,但無法抵擋來自局域網(wǎng)內部的攻擊。
2.3計算機病毒及惡意代碼的威脅
由于網(wǎng)絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件(crimeware)洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。2007年,兩種軟件的結合推動舊有寄生軟件變種增長3倍之多。2008年,預計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長,寄生軟件的總量預計將增長20%。
2.4局域網(wǎng)用戶安全意識不強
許多用戶使用移動存儲設備來進行數(shù)據(jù)的傳遞,經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設備帶入內部局域網(wǎng),同時將內部數(shù)據(jù)帶出局域網(wǎng),這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據(jù)泄密的可能性。另外一機兩用甚至多用情況普遍,筆記本電腦在內外網(wǎng)之間平凡切換使用,許多用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內部局域網(wǎng)絡使用,造成病毒的傳入和信息的泄密。
2.5IP地址沖突
局域網(wǎng)用戶在同一個網(wǎng)段內,經(jīng)常造成IP地址沖突,造成部分計算機無法上網(wǎng)。對于局域網(wǎng)來講,此類IP地址沖突的問題會經(jīng)常出現(xiàn),用戶規(guī)模越大,查找工作就越困難,所以網(wǎng)絡管理員必須加以解決。
正是由于局域網(wǎng)內應用上這些獨特的特點,造成局域網(wǎng)內的病毒快速傳遞,數(shù)據(jù)安全性低,網(wǎng)內電腦相互感染,病毒屢殺不盡,數(shù)據(jù)經(jīng)常丟失。
3局域網(wǎng)安全控制與病毒防治策略
3.1加強人員的網(wǎng)絡安全培訓
安全是個過程,它是一個匯集了硬件、軟件、網(wǎng)絡、人員以及他們之間互相關系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環(huán)節(jié)落實到每個層次上,而進行這種具體操作的是人,人正是網(wǎng)絡安全中最薄弱的環(huán)節(jié),然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡的人員的管理,注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。同時要加強法制建設,進一步完善關于網(wǎng)絡安全的法律,以便更有利地打擊不法分子。對局域網(wǎng)內部人員,從下面幾方面進行培訓:
3.1.1加強安全意識培訓,讓每個工作人員明白數(shù)據(jù)信息安全的重要性,理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責任。
3.1.2加強安全知識培訓,使每個計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地的數(shù)據(jù),保證本地數(shù)據(jù)信息的安全可靠。
3.1.3加強網(wǎng)絡知識培訓,通過培訓掌握一定的網(wǎng)絡知識,能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡基本知識,樹立良好的計算機使用習慣。
3.2局域網(wǎng)安全控制策略
安全管理保護網(wǎng)絡用戶資源與設備以及網(wǎng)絡管理系統(tǒng)本身不被未經(jīng)授權的用戶訪問。目前網(wǎng)絡管理工作量最大的部分是客戶端安全部分,對網(wǎng)絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡內部的安全問題,才可以排除網(wǎng)絡中最大的安全隱患,對于內部網(wǎng)絡終端安全管理主要從終端狀態(tài)、行為、事件三個方面進行防御。利用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是當前解決局域網(wǎng)安全的關鍵所在。
3.2.1利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡資源不被非法使用,是網(wǎng)絡安全防范和保護的主要策略。它為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源,控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予一定的權限,網(wǎng)絡控制用戶和用戶組可以訪問的目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設備能夠執(zhí)行的操作。啟用密碼策略,強制計算機用戶設置符合安全要求的密碼,包括設置口令鎖定服務器控制臺,以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù),提高系統(tǒng)安全行,對密碼不符合要求的計算機在多次警告后阻斷其連網(wǎng)。
3.2.2采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上,與網(wǎng)絡的其余部分隔開,它使內部網(wǎng)絡與Internet之間或與其他外部網(wǎng)絡互相隔離,限制網(wǎng)絡互訪,用來保護內部網(wǎng)絡資源免遭非法使用者的侵入,執(zhí)行安全管制措施,記錄所有可疑事件。它是在兩個網(wǎng)絡之間實行控制策略的系統(tǒng),是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術。采用防火墻技術發(fā)現(xiàn)及封阻應用攻擊所采用的技術有:
①深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在一個數(shù)據(jù)流當中有多個數(shù)據(jù)包,在尋找攻擊異常行為的同時,保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應用流量,以避免應用時帶來時延。
②IP?URL過濾。一旦應用流量是明文格式,就必須檢測HTTP請求的URL部分,尋找惡意攻擊的跡象,這就需要一種方案不僅能檢查RUL,還能檢查請求的其余部分。其實,如果把應用響應考慮進來,可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作,可以阻止通常的腳本類型的攻擊。
③TCP?IP終止。應用層攻擊涉及多種數(shù)據(jù)包,并且常常涉及不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效,就必須在用戶與應用保持互動的整個會話期間,能夠檢測數(shù)據(jù)包和請求,以尋找攻擊行為。至少,這需要能夠終止傳輸層協(xié)議,并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式。系統(tǒng)中存著一些訪問網(wǎng)絡的木馬、病毒等IP地址,檢查訪問的IP地址或者端口是否合法,有效的TCP?IP終止,并有效地扼殺木馬。時等。
④訪問網(wǎng)絡進程跟蹤。訪問網(wǎng)絡進程跟蹤。這是防火墻技術的最基本部分,判斷進程訪問網(wǎng)絡的合法性,進行有效攔截。這項功能通常借助于TDI層的網(wǎng)絡數(shù)據(jù)攔截,得到操作網(wǎng)絡數(shù)據(jù)報的進程的詳細信息加以實現(xiàn)。
3.2.3封存所有空閑的IP地址,啟動IP地址綁定采用上網(wǎng)計算機IP地址與MCA地址唯一對應,網(wǎng)絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略,可以有效防止IP地址引起的網(wǎng)絡中斷和移動計算機隨意上內部局域網(wǎng)絡造成病毒傳播和數(shù)據(jù)泄密。
3.2.4屬性安全控制。它能控制以下幾個方面的權限:防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡的屬性可以保護重要的目錄和文件。
3.2.5啟用殺毒軟件強制安裝策略,監(jiān)測所有運行在局域網(wǎng)絡上的計算機,對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。
3.3病毒防治
病毒的侵入必將對系統(tǒng)資源構成威脅,影響系統(tǒng)的正常運行。特別是通過網(wǎng)絡傳播的計算機病毒,能在很短的時間內使整個計算機網(wǎng)絡處于癱瘓狀態(tài),從而造成巨大的損失。因此,防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷,如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的,主要從以下幾個方面制定有針對性的防病毒策略:
3.3.1增加安全意識和安全知識,對工作人員定期培訓。首先明確病毒的危害,文件共享的時候盡量控制權限和增加密碼,對來歷不明的文件運行前進行查殺等,都可以很好地防止病毒在網(wǎng)絡中的傳播。這些措施對杜絕病毒,主觀能動性起到很重要的作用。
3.3.2小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺,也可把病毒拒絕在外。
3.3.3挑選網(wǎng)絡版殺毒軟件。一般而言,查殺是否徹底,界面是否友好、方便,能否實現(xiàn)遠程控制、集中管理是決定一個網(wǎng)絡殺毒軟件的三大要素。瑞星殺毒軟件在這些方面都相當不錯,能夠熟練掌握瑞星殺毒軟件使用,及時升級殺毒軟件病毒庫,有效使用殺毒軟件是防毒殺毒的關鍵。
關鍵詞:證券行業(yè);網(wǎng)絡防御;網(wǎng)絡安全
引言
網(wǎng)上證券交易作為當前證券公司最重要的交易渠道之一,交易額比重逐年上升,為證券業(yè)務快速發(fā)展做出了非常大的貢獻。然而,計算機網(wǎng)絡具有很強的開放性和交互性,因此,在網(wǎng)上證券交易過程中,往往存在了諸多不確定的因素,很可能被他人惡意攻擊,惡意攻擊的方式很多,比如“網(wǎng)絡釣魚”、黑客攻擊或是病毒等等,都會威脅到用戶的安全,因此,加強計算機網(wǎng)絡防御對于證券行業(yè)來說,是很必要的。
一、“網(wǎng)絡釣魚”現(xiàn)象的防御
(一)“網(wǎng)絡釣魚”的實施過程
網(wǎng)絡釣魚的原理其實很簡單,就是利用人性的弱點,加之網(wǎng)絡工程的漏洞,通過欺騙手段,騙取用戶的相關信息。(1)建立假冒網(wǎng)上證券交易網(wǎng)站,用戶點擊進入網(wǎng)站,輸入賬號密碼等信息時,這些信息就會被騙走,用于非法活動;(2)惡意分子會通過各種手段誘導用戶方位釣魚網(wǎng)站,而后通過木馬、后門等程序,盜竊信息,而后冒充客戶盜竊資金。
(二)“網(wǎng)絡釣魚”防范思路
(1)黑白名單技術
對有賬號密碼的用戶,將賬號密碼輸入網(wǎng)址與數(shù)據(jù)庫中的黑名單網(wǎng)站地址和白名單地址進行比對。如果說該網(wǎng)址能再黑名單網(wǎng)址中找得到,那就說明該網(wǎng)站是有問題的,就及時的提醒用戶“可能是釣魚網(wǎng)站”,阻止用戶繼續(xù)輸入更多信息訪問該網(wǎng)站。如果該網(wǎng)站中能在白名單中找到,那就說明該網(wǎng)站那是安全的,不提示警告信息,用戶可以放心使用。如果輸入網(wǎng)站地址不在黑白名單中,不提示,但繼續(xù)監(jiān)測。防釣魚檢測的原理如圖1 所示。
(2)嚴格滲透測試交易系統(tǒng)
由于跨站腳本攻擊的事件頻繁發(fā)生,因此,交易系統(tǒng)就要進行嚴格的滲透測試,對交易系統(tǒng)的編碼、設計程序等的安全性、完整性都提出了更好的要求。要在數(shù)據(jù)的輸入點上進行嚴格的數(shù)據(jù)輸入檢查,避免被輸入惡意的代碼,避免交易網(wǎng)站成為一個重要的風險來源。
二、網(wǎng)絡監(jiān)聽與加密應對方法
據(jù)相關統(tǒng)計數(shù)據(jù)顯示,程序員編碼過程中,每寫一千行代碼就至少會出現(xiàn)一個漏洞,而這些漏洞就成了黑客們的攻擊點,在證券行業(yè)中,黑客們會利用這些漏洞盜取用戶信息,危害客戶財產(chǎn)安全。網(wǎng)絡監(jiān)聽就是常見的利用系統(tǒng)漏洞進行用戶信息偷竊的方式。
網(wǎng)絡監(jiān)聽是利用監(jiān)聽嗅探技術獲取對方網(wǎng)絡上傳輸?shù)挠杏眯畔ⅰ⒕W(wǎng)卡設置為混雜模式,對以太網(wǎng)上流通的所有數(shù)據(jù)包進行監(jiān)聽,并將符合一定條件的數(shù)據(jù)包(如包含了字“username”或“password”的數(shù)據(jù)包)記錄到日志文件中去,以獲取敏感信息。
針對網(wǎng)絡監(jiān)聽的應對辦法主要是“加密”:一方面可以對數(shù)據(jù)流中的部分重要信息進行加密,另一方面也可只對應用層加密,但是后者將使大部分與網(wǎng)絡和操作系統(tǒng)有關的敏感信息失去保護。
加密函數(shù)的程序如下:
此函數(shù)支持的最大密碼長度是16 字節(jié),密文以字符形式的16 進制數(shù)輸出,密文長度為明文長度*4。程序使用變量i 控制外層循環(huán),每次循環(huán)生成4 個16 進制位。變量j 用于控制內層循環(huán),每次循環(huán)將第i個明文字符加上第j 個明文字符的信息共同轉化成中間信息,累加到本次i 循環(huán)所處理的中間信息上。每次i 循環(huán)所得到的中間信息用取余和求平方的方法進行隨機化,再用取余的方法得到4 個16 進制位。
三、證券行業(yè)中網(wǎng)絡病毒防御體系
病毒是影響計算機網(wǎng)絡安全的最主要因素,是危害證券行業(yè)網(wǎng)絡的最大隱患,現(xiàn)在木馬、蠕蟲等病毒以及網(wǎng)頁嵌入病毒和惡意軟件等時刻威脅著計算機網(wǎng)絡的安全,因此,加強證券行業(yè)網(wǎng)絡安全迫在眉捷。
(一)網(wǎng)絡版殺毒軟件
隨著病毒越來越多,殺毒軟件也就越來越齊全,殺毒軟件是計算機安全防護的重要工具,針對證券行業(yè)的特點,可以采用集中與分級相統(tǒng)一的殺毒管理系統(tǒng),在核心服務器區(qū)設置共總部用戶和二級管理層使用的以及管理中心;在各個接入分部部署二級分中心,一級中心統(tǒng)一制定網(wǎng)絡的防殺毒策略,并到各個二級分中心,這些策略包括殺毒策略、報警策略、和升級策略。
(二)硬件防毒墻
網(wǎng)絡版殺毒軟件部署在證券企業(yè)網(wǎng)絡內部,它是面向主機設計的,它可以對證券企業(yè)內部的病毒進行查殺,能夠在一定程度上保證證券企業(yè)網(wǎng)絡系統(tǒng)的安全,但仍然存在很大的局限性,即不能保證病毒從互聯(lián)網(wǎng)進入局域網(wǎng)。因此,在證券企業(yè)網(wǎng)絡出口增加了硬件防毒墻,防止來自網(wǎng)絡外界的入侵,把病毒拒之門外。硬件防毒墻為企業(yè)網(wǎng)絡提供了一個堅固的保護層,是防御病毒、木馬、蠕蟲和惡意軟件攻擊的硬件網(wǎng)絡防護平臺,對采用HTTP、FTP、SMTP和POP3 協(xié)議進入內部網(wǎng)絡的文件進行病毒掃描和惡意代碼過濾。防毒墻不但可以保護內部資源不受外部網(wǎng)絡的侵犯,同時可以阻止內部用戶對外部不良資源的濫用。
(三)網(wǎng)絡準入控制(NAC)
移動計算設備(筆記本電腦、PDA 等)很容易在企業(yè)網(wǎng)外部感染病毒、蠕蟲和間諜軟件等,當它們接入企業(yè)網(wǎng)絡的時候,就會將病毒等惡意代碼在不經(jīng)意之間帶入企業(yè)網(wǎng)絡環(huán)境。因此,可以著重從邊界防御、系統(tǒng)加固、認證授權、集中管理四個方面進行設計,將防病毒一級中心服務器與NAC 服務器合并在一起,邊界接入采用支持802.1X 的設備來部署網(wǎng)絡準入控制 (NAC)。網(wǎng)絡準入控制 (NAC)的部署可以防止病毒、蠕蟲和間諜軟件等新興黑客技術對企業(yè)安全造成危害。
總結
網(wǎng)上證券交易的發(fā)展前景極為廣闊,隨著國民金融意識的增強,未來會有越來越多的金融業(yè)務通過在線方式完成,這給網(wǎng)上交易系統(tǒng)帶來了巨大的運行壓力。打造安全性更高的網(wǎng)上證券交易系統(tǒng),保證信息系統(tǒng)能夠為業(yè)務運行提供穩(wěn)定可靠的有力支撐,就要加強網(wǎng)絡防御的建設。
參考文獻:
關鍵詞:LAN;威脅;安全控制;病毒防治
隨著信息化的不斷擴展,各類網(wǎng)絡版應用軟件推廣應用,計算機網(wǎng)絡在提高數(shù)據(jù)傳輸效率,實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用,網(wǎng)絡與信息系統(tǒng)建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行,保證網(wǎng)絡信息安全以及網(wǎng)絡硬件及軟件系統(tǒng)的正常順利運轉是基本前提,因此計算機網(wǎng)絡和系統(tǒng)安全建設就顯得尤為重要。
一、局域網(wǎng)安全現(xiàn)狀
廣域網(wǎng)絡已有了相對完善的安全防御體系,防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關級別、網(wǎng)絡邊界方面的防御,重要的安全設施大致集中于機房或網(wǎng)絡入口處,在這些設備的嚴密監(jiān)控下,來自網(wǎng)絡外部的安全威脅大大減小。相反來自網(wǎng)絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施,安全威脅較大。未經(jīng)授權的網(wǎng)絡設備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡設備自動進入網(wǎng)絡,形成極大的安全隱患。目前,局域網(wǎng)絡安全隱患是利用了網(wǎng)絡系統(tǒng)本身存在的安全弱點,而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴重程度。
二、局域網(wǎng)安全威脅分析
局域網(wǎng)(LAN)是指在小范圍內由服務器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡。由于通過交換機和服務器連接網(wǎng)內每一臺電腦,因此局域網(wǎng)內信息的傳輸速率比較高,同時局域網(wǎng)采用的技術比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡安全威脅通常有以下幾類:
(一)欺騙性的軟件使數(shù)據(jù)安全性降低
由于局域網(wǎng)很大的一部分用處是資源共享,而正是由于共享資源的“數(shù)據(jù)開放性”,導致數(shù)據(jù)信息容易被篡改和刪除,數(shù)據(jù)安全性較低。例如“網(wǎng)絡釣魚攻擊”,釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息:如用戶名、口令、賬號ID、ATM PIN碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù)。以往此類攻擊的冒名的多是大型或著名的網(wǎng)站,但由于大型網(wǎng)站反應比較迅速,而且所提供的安全功能不斷增強,網(wǎng)絡釣魚已越來越多地把目光對準了較小的網(wǎng)站。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段,因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。
(二)服務器區(qū)域沒有進行獨立防護
局域網(wǎng)內計算機的數(shù)據(jù)快速、便捷的傳遞,造就了病毒感染的直接性和快速性,如果局域網(wǎng)中服務器區(qū)域不進行獨立保護,其中一臺電腦感染病毒,并且通過服務器進行信息傳遞,就會感染服務器,這樣局域網(wǎng)中任何一臺通過服務器信息傳遞的電腦,就有可能會感染病毒。雖然在網(wǎng)絡出口有防火墻阻斷對外來攻擊,但無法抵擋來自局域網(wǎng)內部的攻擊。
(三)計算機病毒及惡意代碼的威脅
由于網(wǎng)絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件(crime ware)洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。2007年,兩種軟件的結合推動舊有寄生軟件變種增長3倍之多。2008年,預計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長,寄生軟件的總量預計將增長20%。
(四)局域網(wǎng)用戶安全意識不強
許多用戶使用移動存儲設備來進行數(shù)據(jù)的傳遞,經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設備帶入內部局域網(wǎng),同時將內部數(shù)據(jù)帶出局域網(wǎng),這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據(jù)泄密的可能性。另外一機兩用甚至多用情況普遍,筆記本電腦在內外網(wǎng)之間平凡切換使用,許多用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內部局域網(wǎng)絡使用,造成病毒的傳入和信息的泄密。
(五)IP地址沖突
局域網(wǎng)用戶在同一個網(wǎng)段內,經(jīng)常造成IP地址沖突,造成部分計算機無法上網(wǎng)。對于局域網(wǎng)來講,此類IP地址沖突的問題會經(jīng)常出現(xiàn),用戶規(guī)模越大,查找工作就越困難,所以網(wǎng)絡管理員必須加以解決。
正是由于局域網(wǎng)內應用上這些獨特的特點,造成局域網(wǎng)內的病毒快速傳遞,數(shù)據(jù)安全性低,網(wǎng)內電腦相互感染,病毒屢殺不盡,數(shù)據(jù)經(jīng)常丟失。
三、局域網(wǎng)安全控制與病毒防治策略
(一)加強人員的網(wǎng)絡安全培訓
安全是個過程,它是一個匯集了硬件、軟件、網(wǎng)絡、人員以及他們之間互相關系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務角度看,主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行,必須注重把每個環(huán)節(jié)落實到每個層次上,而進行這種具體操作的是人,人正是網(wǎng)絡安全中最薄弱的環(huán)節(jié),然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡的人員的管理,注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。同時要加強法制建設, 進一步完善關于網(wǎng)絡安全的法律,以便更有利地打擊不法分子。對局域網(wǎng)內部人員,從下面幾方面進行培訓:
1、加強安全意識培訓,讓每個工作人員明白數(shù)據(jù)信息安全的重要性,理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責任。
2、加強安全知識培訓,使每個計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地的數(shù)據(jù),保證本地數(shù)據(jù)信息的安全可靠。
3、加強網(wǎng)絡知識培訓,通過培訓掌握一定的網(wǎng)絡知識,能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡基本知識,樹立良好的計算機使用習慣。
(二)局域網(wǎng)安全控制策略
