時間:2024-03-29 11:41:07
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全防范建議,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
論文(設計)題目:中學校園網絡安全防護及對策初探---以昌吉市一中校園網絡為例
1、選題來源及意義
1.1選題來源
隨著信息時代的高速發展,以校園網絡為平臺的應用也越來越廣泛,例如校園一卡通服務、辦公自動化應用(OA)、教務管理、圖書管理、電子郵件服務、校校通服務、網上學習等。然而在開放式網絡環境下,校園網絡的使用過程中面臨著各種各樣的安全隱患,一方面,由于使用校園網絡最多的是學生和教師,學生對于網絡這樣的新鮮事物非常感興趣,可能會下載一些黑客軟件或帶有病毒的軟件,從而破壞校園網絡系統,加之學生不懂得愛惜,對于暴露在外界的網絡設備造成一定破壞,據統計,80%的校園網絡的攻擊都來自于校園網內部[1];另一方面,來自外部的網絡用戶對IP地址的盜用、黑客攻擊、病毒攻擊、系統漏洞、信息泄露等方面的隱患也會對校園網絡造成破壞。綜上所述,校園網絡的安全問題既有內部因素,也有外部攻擊。因此,如何在現有條件下,充分應用各種安全技術,有效的加強、鞏固校園網絡安全問題非常重要。通過筆者在昌吉市一中網絡中心實習的經歷,發現昌吉市一中校園網絡原有方案只是簡單地采用防火墻等有限措施來保護網絡安全。防火墻是屬于靜態安全技術范疇的外圍保護,需要人工實施和維護,不能主動跟蹤入侵者。而管理員無法了解網絡的漏洞和可能發生的攻擊,嚴重的影響的正常的教學工作。因此針對中學校園網絡安全的防護更不容輕視。[2-3]
1.2選題意義
校園網絡的安全建設極其重要,源于校園網一方面為各個學校提供各種本地網絡基礎性應用,另一方面它也是溝通學校校園網絡內部和外部網絡的一座橋梁。校園網絡應用遍及學校的各個角落,為師生提供了大量的數據資源,方便了師生網上教學、交流、專題討論等活動,為教學和科研提供了很好的平臺,因此存在安全隱患的校園網絡對學校的教學、科研和辦公管理都會造成嚴重的影響。根據學校的不同性質,保證網絡穩定、安全和高效運行是校園網絡建設的首要任務。因此做好校園網絡安全的防護及相應對策至關重要,即本論文選題意義。[4]
2、國內外研究狀況
2.1國外網絡安全現狀
由于筆者查閱文獻資料的有限性,沒有查到國外校園網絡安全現狀的資料,因此針對國外所采取的網絡安全措施進行如下概述:
(1)法律法規的制定。近年來,世界各國紛紛意識到網絡安全與信息安全的重要性,并制定相關的法律法規規范廣大網絡用戶的行為。美國、俄羅斯、英國、日本、法國等其他許多國家都相繼成立國家級信息安全機構,完善網絡防護管理體制,采取國家行為強化信息安全建設。
(2)網絡防護應急反應機制的建立。面對網絡反恐、黑客、信息的泄露、網絡入侵、計算機病毒及各類蠕蟲木馬病毒等一系列網絡危機,世界各國通過建立網絡防護應急反應機制。分別從防火墻技術、入侵檢測系統、漏洞掃描、防查殺技術等傳統的安全產品方面入手,防止各種安全風險,并加快網絡安全關鍵技術的發展和更新.動態提升網絡安全技術水平。
綜上所述,網絡安全的問題將隨著技術的不斷發展越來越受到重視。然而,網絡技術不斷發展的今天,網絡安全問題只能相對防御,卻無法真正的達到制止。[5-7]
2.2國內網絡安全現狀
由于我國在網絡安全技術方面起步比其他信息發達國家晚,發展時間較短,技術不夠純熟,面對各種網絡安全問題有些應接不暇,主要是由于自主的計算機網絡核心技術和軟件缺乏,信息安全的意識較為淺薄,不少事企單位沒有建立相應的網絡安全防范機制以及網絡安全管理的人才嚴重缺乏,無法跟上網絡的飛速發展。面對這一系列的問題,我國通過制定政策法規,如GB/T18336一2001(《信息技術安全性評估準則》)、GJB2646一96(《軍用計算機安全評估準則》等來規范網絡用戶的使用,還通過技術方面的措施進行防護,如加密認證、數字簽名、訪問控制列表、數據完整性、業務流填充等措施進行網絡安全的維護。然而通過技術措施進行網絡維護的過程中,網絡管理員對技術的偏好和運營意識的不足,普遍都存在“重技術、輕安全、輕管理”的傾向,致使在管理、維護網絡安全方面還有很大的漏洞。[5]國內網絡安全整體的現狀如上所述,通過大量文獻的閱讀,發現數據信息危害和網絡設備危害是校園網絡安全現在主要面臨的兩大問題,主要威脅有病毒的傳播與攻擊、黑客的入侵、信息的篡改等一系列安全隱患,通過采取加密認證、訪問控制技術、防火墻、漏洞掃描等措施進行防護。[3]中學校園網絡管理者如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個中學校園不可回避的問題,并且逐漸引起了各方面的重視。[8-10]
3、本選題的研究目標及內容創新點:
3.1研究目標:
本文在對當前校園網絡面臨的各類安全問題進行詳細分析的基礎上,深入、系統的探討了目前常用的各種網絡安全技術的功能以及優缺點,并以昌吉市一中等中學校園網絡為研究對象,分別從中學校園網絡的物理因素、技術因素、管理因素等角度分析威脅校園網絡安全的因素,并結合昌吉市一中校園網絡現有的條件,分別從設備管理、技術提供、管理人員意識等方面充分應用各種安全技術,有效加強、鞏固校園網絡安全,提出解決網絡安全問題的策略及防范措施。從而綜合利用各種網絡安全技術保障本校的校園網絡的安全、穩定、高效運行。
3.2內容創新點:
(1)通過對昌吉市一中的校園網絡進行分析,并結合文獻資料參考其他中學校園網絡安全的問題,總結出中學校園網絡安全存在常見的安全隱患,并制定出針對中學校園網絡隱患所采取的防范措施。
(2)將制定出的網絡安全防范措施運用于昌吉市一中校園網絡,制定出真正合理的、恰當的、適合現有條件的網絡安全防范措施,并對昌吉市一中的校園網絡進行展望,使得校園網絡可持續發展。
參考文獻
[1]段海新.CERNET校園網安全問題分析與對策[J].中國教育網絡,2005.03
[2]袁修春.校園網安全防范體系.[D].西北師范大學.計算機應用技術.2005,5
[3]鐘平.校園網安全技術防范研究[D].廣東.廣東工業大學.2007,4:3
[4]蔡新春.校園網安全防范技術的研究與實現[D].軟件工程2009,4
[5]董鈺.基于校園網的網絡安全體系結構研究與設計[D].山東.計算機軟件與理論.2005,5:11-12
[6]王先國.校園網絡安全系統的研究與設計.[D].南京.計算機技術.2009.12
[7]定吉安.常用網絡安全技術在校園網中的應用研究[D].山東.計算機軟件與理論.2011,4
[8]顧潤龍.影響校園網絡安全的主要因素及防范措施.[J].咸寧學院學報.2012,9(32):155-156
[9]張伯江.國外信息安全發展動向[J].信息安全動態,2002,8(7):36-38
[10]譚耀遠.新世紀中國信息安全問題研究.[D].大連.大連海事大學.2011,6
一、采用的研究方法及手段(1、內容包括:選題的研究方法、手段及實驗方案的可行性分析和已具備的實驗條件等。2、撰寫要求:宋體、小四號。)
1、文獻研究法:查找文獻資料時借助圖書館及網絡,搜集、鑒別、整理文獻。從前人的研究中得出對我們的研究有價值的觀點與例證。本研究采用文獻研究法的目的:
(1)查取大量校園網絡安全問題常見的問題,結合昌吉市一中的校園網絡現狀進行分析。
(2)對國內外的網絡安全防范措施進行分析,選擇適合昌吉市一中校園網絡安全所應對的策略。
2.訪談法:通過與昌吉市一中網絡信息中心的教師交流探討,以訪談的形式了解昌吉市一中校園網絡的現狀。
論文的框架結構(宋體、小四號)
第一章:緒論
第二章:影響中學校園網絡安全的因素
第三章:常用的校園網絡安全技術
第四章:校園網絡安全建設
-----以昌吉市一中校園網絡安全體系需求分析及設計
第五章:總結和展望。
論文寫作的階段計劃(宋體、小四號)
第一階段:20xx.10.1—20xx.11.20選定論文題目,學習論文寫作方法及注意項;
第二階段:20xx.11.20—20xx.12.25與孫老師見面,在孫教師的指導下,搜集材料閱讀有關文獻資料,按照開題報告的格式和要求完成《昌吉學院本科畢業論文(設計)開題報告》的撰寫;
第三階段:20xx.12.26—20xx.1.3寫出開題報告,并與指導教師充分溝通,做好開題報告答辯準備;
第四階段:20xx.1.5—20xx.1.13開題報告論證答辯;
第五階段:20xx.1.17—20xx.3.25在指導教師指導下,開始畢業論文的寫作,至3月25日完成初稿交指導教師;
第六階段:20xx.3.25—20xx.3.31寫出中期報告書,接受中期檢查。并根據指導教師建議完成初稿的修改;
第七階段:20xx.4.1—20xx.4.10根據指導教師建議完成二稿的修改;
第八階段:20xx.4.11—20xx.4.20根據指導教師建議完成三稿的修改;
第九階段:20xx.4.21—20xx.4.25完成初定稿,并復印3份交系畢業論文答辯小組;
一、高校校園網絡存在的問題
1.信息安全危機四伏
目前校園網絡處于內憂外患的境地。從外部環境來看,信息網絡安全總體情況不太樂觀,互聯網地下經濟促使病毒泛濫,病毒變種迅速得難以控制,多種技術配合進行攻擊欺騙,移動介質蠕蟲傳染后下載木馬程序頻繁;從內部環境來看,安全意識薄弱使得網絡攻擊更加猖獗,學校學生或扮演黑客角色或感染病毒發展僵尸網絡。網絡在學校里被用得很充分,特別是一些新的應用,更是在校園網中層出不窮。
2.網絡信息安全意識淡薄
在網絡技術普及以后,網絡安全受到的威脅系數增大。由于師生安全意識薄弱,對安全、技術一無所知的人比比皆是。這種狀況直接構成了高校網絡安全的隱患。有些校園網絡用戶從未安裝殺毒軟件,或者裝后就沒有再升級,往往在機器中毒后才急忙找對策。還有不少校園網用戶,對于賬號或是郵件密碼的設定不重視,黑客要入侵計算機、破譯不費吹灰之力。正是由于校園用戶群體對網絡安全不夠重視, 因而不能充分認識到網絡安全遭到威脅后所帶來的嚴重后果。
3.網絡安全防護系統不完善, 保護措施不力
很多高校對計算機網絡建設普遍存在重技術、輕安全、輕管理的問題,對網絡安全所需的軟件、硬件設施上投入嚴重不足。并且很多高校沒有專門的管理機構, 沒有定期對師生進行安全防護教育的管理部門, 安全防護職責不明確,一遇到問題就互相埋怨, 推脫責任。另外,由于辦學經費緊張不能持續投入大量資金改善網絡安全的軟、硬件設施,也使得加強高校網絡安全的措施無法到位。
二、高校校園網網絡安全體系的構建
1.配置安全的系統服務器平臺
安全的系統服務器是網絡安全的基點,利用系統本地安全策略構建一個相對安全的防護林,對于校園網來說至關重要。具體措施包括:設置禁用,構建第一道防線;設置IIS,構建第二道防線;運用掃描程序,堵住安全漏洞;封鎖端口,全面構建防線。
2.技術保證
目前,網絡安全的技術主要包括殺毒軟件、防火墻技術、身份驗證、存取控制、數據的完整性控制和安全協議等內容。技術保證包括以下一些技術措施。
(1)防火墻是校園網信息安全保障的核心點,它負責校園網中最根本的信息服務系統的安全。通過部署防火墻,實施嚴格的數據流監控,同時在防火墻和服務系統上做較為詳細的日志記錄,為安全事件的事后取證工作提供依據。
(2)訪問控制是網絡安全防范和保護的最主要措施之一,其主要任務是保證網絡資源不被非法使用和非法訪問。用戶的入網訪問控制采用用戶口令的識別與驗證,以保證其唯一性。當用戶進入網絡后,網絡系統就賦予其一定的訪問權限,用戶只能在其權限內進行操作。
3.網絡安全管理規范
(1)建立并嚴格執行規章制度。高校網絡安全防護方面發生問題都與管理者水平、管理制度是否完善有著極大的關系, 因此必須提高管理者的管理水平, 建立和完善管理體制, 不斷創造新的管理辦法, 做到嚴格按照安全管理制度進行規范操作, 以防信息被破壞甚至丟失。
(2)應急響應。在發現新病毒或因系統安全漏洞威脅網絡安全時,安全網絡要及時向用戶發出安全通告,并提供各種補丁程序以便下載。另外,還要做好計算機系統、網絡、應用軟件及各種資料數據的備份,并建立備份數據庫系統。
4.用戶教育
學校要加強網絡安全管理意識,強化網絡道德、網絡心理、網絡安全和法制教育,在師生的思想上、心理上安裝防火墻,抵御來自校園網外部的攻擊;要使廣大師生員工都能意識到維護校園網絡安全的重要性和緊迫感,并且自覺遵守有關網絡安全的法律法規,從而自覺地維護校園網絡安全;要安排師生參加安全技術培訓,提高遵守相關安全制度的自覺性,增強整體安全防范能力。
三、結語
校園網絡是學校的重要基礎設施之一,其安全防范體系是一個動態的、不斷發展的綜合運行機制。我們必須全方位考慮各種不安全因素,制訂合理的技術方案和管理制度,以保證校園網絡高效可靠的運行。
參考文獻:
[1]吳國新,吉逸.計算機網絡[M].北京:高等教育出版社,2008.
[2]喬正洪,葛武滇.計算機網絡技術與應用[M].北京:清華大學出版社,2008.
關鍵詞:科技管理系統;安全防范
作者簡介:范強賢(1975-),男,江蘇連云港,高級工程師;研究方向:信息技術推廣,信息平臺建設,科技成果轉化,科技創業孵化
隨著我國信息技術的發展及適應日益網絡化的電子政務工作要求,需要搭建對內對外的申報和管理平臺,實現科技管理的信息化、科學化和網絡化。科技管理系統的使用已經普及,基于網絡環境下的科技管理系統的安全隱患也日益顯露出來。因此,進行科技管理系統的網絡信息安全防范十分必要。
1科技管理系統的安全現狀
隨著網絡信息技術的迅猛發展,網絡信息已成為人們日常工作和生活的重要載體,但網絡信息系統是一把“雙刃劍”,由于技術和社會等因素影響,網絡在給人們帶來方便、大幅度提高生產力水平的同時,其安全缺陷也給個人、單位乃至整個國家的信息安全帶來了較大沖擊。作為政府部門的科技管理外網,安全方面顯得尤為重要。攻擊者可以利用網絡的一些缺陷,實行計算機網絡攻擊和入侵,造成數據的改寫或損壞,用戶的非法訪問有可能造成敏感數據泄露、系統癱瘓、業務中斷等。科技管理系統的網絡安全風險主要表現在以下幾種形式。(1)來自互聯網的各種攻擊行為。互聯網的信息共享增加了安全防范的難度,黑客入侵、網絡病毒入侵、非法訪問、惡意破壞、越權使用資源、信息竊取等已經成為影響網絡安全的普遍因素,其可能使用的常見技術手段包括:非法擴充權限、植入木馬、拒絕服務攻擊、利用系統漏洞、使用開放的端口、采用snifer等監聽竊取非法手段獲取數據。(2)來自科技管理系統外網內部或外部,包括偽造身份訪問、篡改密碼、數據等非法越權訪問。(3)數據安全風險。科技管理系統在進行事務處理、項目審批等過程中,必然留下大量的個人、集體隱私信息,這些重要的數據意味著重大的經濟利益,核心數據儲存在計算機網絡服務器必然有非法分子窺知,通常會利用病毒和黑客手段來非法獲取,為己謀取非法經濟利益。(4)非法邏輯訪問的手段和方法很多,如:SQL注入攻擊、邏輯炸彈、口令入侵等。根據有關調查,我國在網絡安全方面的投入還不到網絡建設資金總數的1%,比歐美國家更是低得多。各科技管理系統的建立也是各科技單位根據需要招標采購或是自行開發,由于資金和技術的限制,系統本身基本上只關注了客戶需求的表面模塊的研發,由于企業對于安全問題的不重視或是存在僥幸心理,加上缺乏專門的技術人員和專業指導,對于科技管理軟件網絡安全的性能層面投入不多,管理軟件的安全問題普遍不容樂觀。
2科技管理系統的安全防范
2.1提高用戶的安全防范意識
安全要防患于未然,需要不斷提高自身的網絡信息安全意識,學習防護知識,不斷提高安全技能,制定防范措施和預案,贏得主動權才能確保網絡信息系統安全可靠的運行。樹立安全意識,強化責任,定期排查電腦病毒,防止用戶名和密碼隨意泄露,嚴格按照安全管理規范運行操作,接入設備和數據來源一定要合法化,切忌隨意接入網絡和使用非法軟件。針對科技管理系統業務過程的改造,因系統在大批量申報項目的使用人員中,用戶名和密碼的復雜化容易遺忘,使大多數用戶在使用本系統時,寧可選擇簡單密碼,因而存在系統登錄時密碼過于簡單的普遍現象,對于惡意使用者非常容易通過用戶名密碼猜測登錄,一旦登錄成功,對有惡意行為的防范,面臨崩潰。針對這種疏漏,首先采用登錄注冊時的固定電話鎖定信息修改請求來源,方可修改使用人員的郵件或手機號碼信息,再通過發送手機隨機驗證碼或郵件隨機驗證碼,從面完成密碼的自主、便捷修改,在此基礎上完成密碼的繁雜化條件設定,減輕維護人員的壓力,防范用戶名、密碼層面出現較大的疏漏。從這個意義上說,要面向業務過程,從代碼級層面解決管理過程中技術維護的便利與安全性。針對業務進行安全關鍵技術研究的同時,也要開展制度建設和人員培訓,更全面地解決安全防范。還要考慮到網絡結構的可移值性,方便今后與科技創業服務大廈的設備及資源整合,不能造成資源浪費。
2.2加強科技管理系統網絡安全技術的研究
雖然我國在不斷地開發研究,但是現階段的計算機網絡安全技術仍舊與西方發達國家存在一定的差距,因此繼續加強計算機網絡技術安全性的研發工作非常有必要。可以通過引進國外先進技術建立自身核心安全管理技術,同時,要做好相關的技術結合工作,確保管理系統的安全。
2.3做好科技管理軟件的技術防范
要求代碼提供方進行全面的安全檢測,對已有的服務器運行的平臺代碼進行全面檢查,進行編程防范、數據庫配置防范、操作系統配置防范。對數據庫連接用戶限制權限,按照不同類型操作用戶建立獨立賬戶,授予權限與操作相匹配,防止操作權限過多發生越權操作、權限與責任不對等。
2.4數據庫賬號創建與管理的安全防范
數據庫安全系統首先要對每一名用戶進行數據庫賬號的創立,任何用戶在進行數據庫操作時需要經過系統的安全設置檢驗。在這一環節中所有默認的數據庫用戶的賬號被鎖定與終止,如果需要激活某賬號,則需要重新分配,建立自己的賬號并進行管理是維護數據庫安全的最佳嘗試。對數據庫的賬號進行安全管理的實質是對具體操作進行分析并獲取最終控制權。
2.5操作系統的配置防范
操作系統通常都提供一些安全功能,充分利用好系統提供的安全功能,也是有效防止攻擊的重要手段之一。在實際工作中,通常可以利用不同的操作系統在安全方面的優勢來防范攻擊,對于安裝的Windows系列操作系統而言,在硬盤分區時有FAT和NTFS兩種方式可選,通常建議選擇NTFS作為文件系統的格式,相比FAT文件系統,NTFS文件系統在性能、安全、可靠性方面提供了很多高級功能,通過它可以實現任意文件及文件夾的加密和權限設置、磁盤配額和壓縮等高級功能,因此NTFS會更加安全。另外,操作系統提供的文件權限設置和加密功能保護數據庫文件也是非常有效的安全防范手段。比如:如果應用系統采用IIS提供信息服務,就需要對Web站點目錄設置合適的訪問權限,一般情況下,不要給予目錄以寫入和允許目錄瀏覽權限,只給予.ASP文件目錄以腳本的權限,而不要給予執行權限等。根據目前科技管理系統中的實際情況,需要按照系統的應用特點分別進行安全分析和設計,將科技管理的安全提升到較高的安全級別,確保整個網絡安全、穩健的運行。
2.6及時更新殺毒軟件,配備防火墻
計算機網絡安全在面對黑客以及病毒攻擊時,如果沒有專業性的病毒查殺軟件,計算機網絡安全系數將大大降低。所以,要為計算機安裝正版的專業性較強的殺毒軟件,設置自己的掃描日程,若沒有自動地打描日程表,可以設定一個提醒裝置,保障定期對計算機掃描,并及時更新殺毒軟件。另外,要在計算機上安裝防火墻,并對其進行合理、有效的設置,過濾信息報,屏蔽非信任的IP地址,禁止非信息IP訪問科技管理系統,使入侵者必須先穿越防火墻安全設定才能進入到計算機。在使用防火墻的過程中,管理員應對防火墻顯示的重要信息進行記錄,否則無法及時發現、處理安全隱患。重點解決的關鍵技術問題,第一要從代碼層級入手,解決平臺安全漏洞,其次是建立全面的安全保障措施、災備方案。
2.7加強計算機網絡的訪問控制
現在的網絡覆蓋面太廣,人們幾乎可以隨時隨地地登錄互聯網進行操作,因此,在訪問網絡之前,必須保證網絡資源的安全性,才能夠維護網絡安全。由于大多數病毒都是通過服務器入侵到計算機的,因此在進行網絡訪問的過程中,必須加強網絡服務器的安全控制工作。與此同時,網絡管理員還應該加強網絡監控的力度,對于可能導致安全隱患的頁面全面鎖定控制。與此同時,還應該定期對網絡端口進行全面的安全檢查,并且通過設置網絡的進入權限,全方位地防范不法分子的入侵。為了確保在信息網絡系統進行通信、處理和使用的信息內容,在各個物理位置、邏輯區域、存儲于傳輸介質中,處于動態和靜態過程中的保密性、完整性和可用性,以及與人、網絡、環境有關的技術安全、結構安全和管理安全。簡言之,安全就是保證網絡信息系統的合法用戶在允許的時間內、從允許的地點、通過允許的方法對允許范圍內的信息進行允許的處理,同時能有效防范非法用戶訪問與攻擊網絡信息系統。
2.8防止垃圾郵件和反間諜軟件的入侵
要防范垃圾郵件的入侵,不僅不能響應自己的電子郵件,也必須保護好自己的郵件的地址。同時,可以在郵件服務器、接受黑名單機器上設置垃圾郵箱鍋爐功能,采用過濾器和黑名單降低垃圾郵件出現的幾率,并保存合法文件。
3結語
關鍵詞:勞動保障; 信息系統; 安全; 對策
中圖分類號:TP309 文獻標識碼:A 文章編號:1006-3315(2012)06-162-001
一、引言
南京系統的設計規劃、開發建設,一直到系統的運行維護管理等各個環節,都將安全問題置于首要位置予以考慮,結合我市勞動保障工作實際,從系統網絡、主機設備、數據庫、應用系統、人員管理、承建單位協調管理、區縣包括街道社區勞動保障信息化建設管理等各方面,制定實行了一系列比較全面、詳細、具體的有關管理制度和規定。
本文提出了南京系統的安全風險防范工作的新思路、新方法,并列出了系統風險防范的各種對策、機制。
1.南京勞動保障信息系統當前安全運行風險防范機制
南京系統從開發至今,始終將安全體系建設置于最重要位置,建立起包括應用系統、數據庫系統、系統網絡、物理環境、入網單位、入網人員等各個層面、多方位的安全風險防范機制。
1.1應用系統安全防范機制:應用系統設置有三層管理機制,用戶級、任務級和系統級,嚴格控制系統操作權限和范圍,確保每一用戶的使用權限和操作合法性。
1.2數據庫系統安全防范機制:通過系統權限、角色權限、數據權限的管理,建立了數據庫系統的權限控制機制。
1.3系統網絡安全防范機制:關閉不需要開放的服務端口,限制用戶的操作權限,使用網管軟件,加強網絡安全管理。
1.4勞動和社會保障卡安全防范機制:卡密鑰系統為一卡一密,防止偽造。
1.5物理環境安全防范機制:存儲信息的備份介質達到防塵、防潮、防毒變要求;主機房安裝自動防火設備。
1.6各區縣局域網安全管理情況:各區(縣)勞動保障信息系統的建設與安全管理統一規劃、統一部署、統一建設。
1.7入網機構和個人的安全管理:實行上崗前安全操作培訓,對外機構:如定點醫療機構、全市各街道和社區等單位需要接入南京勞動和社會保障信息網的,建立了一套較完備的入網資格認證方案。
2.南京勞動保障信息系統安全運行方面存在的風險
2.1管理層面。南京系統安全運行文件內容側重點主要是如何避免南京系統客戶端的安全運行風險,忽略后臺的安全運行風險,且文件執行力度不夠。
2.2技術應用層面。
2.2.1主機網絡設備缺乏有效機制進行管理與維護。
2.2.2應用系統程序眾多,功能繁雜,開發技術相對落后,系統架構缺乏先進性。
2.2.3只重視系統網絡核心的技術支撐,弱化了系統輔助設備以及客戶端的技術管理。
2.2.4系統的容災恢復技術嚴重缺乏。
2.2.5缺乏動態口令認證系統。
2.3操作層面。對一些出現的故障沒有做到“能發現”,“有證據”。
2.4人員層面。對信息技術人員培養投入不到位。
3.南京勞動保障信息系統安全運行風險防范對策
3.1安全防范技術對策。
3.1.1網絡拓撲分析對策。對策內容:根據網絡的實際情況,繪制網絡拓撲圖;分析網絡中存在的安全缺陷并提出整改建議意見。
對策作用:針對網絡的整體情況,進行總體、框架性分析。一方面,通過網絡拓撲分析,能夠形成網絡整體拓撲圖,為網絡規劃、網絡日常管理等管理行為提供必要的技術資料;另一方面,通過整體的安全性分析,能夠找出網絡設計上的安全缺陷,找到各種網絡設備在協同工作中可能產生的安全問題。
3.1.2防病毒軟件病毒庫定期升級對策。對策內容:防病毒服務器通過INTERNET更新病毒庫;防病毒服務器強制所有在線客戶端更新病毒庫。
對策作用:通過不斷升級病毒庫確保防病毒軟件能夠及時發現新的病毒。
3.1.3服務器定期掃描、加固對策。對策內容:使用專用的掃描工具,在用戶網絡管理人員的配合下,對主要的服務器進行掃描。
對策作用:找出對應服務器操作系統中存在的系統漏洞;找出服務器對應應用服務中存在的問題。
3.1.4信息備份系統。對策內容:定期備份電子信息。
對策作用:防止核心服務器崩潰導致網絡應用癱瘓。
3.2安全防范管理對策
3.2.1管理制度對策。對策內容:編制詳實的涵蓋系統建設各個層面的規章制度,建立制度的實施辦法與流程,建立健全制度實施、監督的流程與辦法。
對策作用:使系統安全體系制度化、標準化,規范了系統的運行行為與操作行為,在管理上保證系統的安全運行,降低風險發生的幾率。
3.2.2建立系統安全風險防范評估機制對策。對策內容:進行自評估和他評估服務兩類;進行安全檢查;進行系統安全保障等級評估;安全認證與認可。
對策作用:安全風險評估安全風險評估是應用比較廣泛的一種安全評估方法,是系統風險管理的前期活動,風險評估具有基礎性作用,為信息系統安全建設指明方向。
3.2.3人員對策。對策內容:制訂針對系統管理者、系統使用者、系統決策者等不同層面的培訓內容與培訓計劃,并形成制度化、標準化;建立動態、長效的信息化技術和勞動保障業務的研究機制。
對策作用:提高人員素質,增強系統維護開發的力度,保證系統被正確的使用,從而從“人”這個因素上防范系統風險的發生。
二、結束語
南京勞動保障信息系統的安全不是一朝一夕的工作,而是一項長期的、艱巨的任務,需要全局的參與和努力。同時要加大投入,建立全新的系統運行風險安全防范體系,并在管理上、制度上保證該體系的實現。
參考文獻:
[1]黃志澄.電子政務的內涵及發展.中國信息導報,2002(4)
【關鍵詞】校園網絡;網絡安全;防范體系
【中圖分類號】G40-057 【文獻標識碼】B 【論文編號】1009―8097(2011)11―0066-05
引言
隨著國內高校新一輪信息化建設的不斷深入,高校校園網規模越來越大,承載的應用系統越來越多,校園網絡的結構也變得越來越龐大和復雜。隨著人才培養、科學研究等各項工作對校園網的依賴性不斷增加,校園網及各類應用系統的服務質量也應不斷提高標準和要求,作為一個使用成熟技術和成熟設備的園區網絡,網絡安全是影響網絡服務質量的重要因素。
但目前各高校的校園網“重建設,輕管理”的現象仍然十分普遍。在社會信息化發展的大潮中,各高校都已清楚地認識到校園網在學校各項工作中的基礎地位,因此在校園網硬軟件系統建設上進行了大量的投入,而正是硬件和軟件系統的大規模快速增長,使得對網絡的管理難以跟上建設的步伐,而網絡管理是軟性的工作,是不能夠通過統計報表看得出問題或成績的,因此網絡管理工作很難引起學校領導的重視。但在實際工作中,相對滯后的網絡管理會導致網絡安全問題的頻頻發生,反言之,網絡安全防范也是網絡管理的重要內容。
本文根據目前高校校園網絡存在的安全隱患來分析其成因,并在實際工作經驗的基礎上提出構建一套基于分層控制的“IAAPNS”網絡安全防范體系,自底向上、由內到外、從技術到管理層面排查高校校園網絡中潛在的安全威脅并給出防護建議。
一 高校校園網絡的安全隱患及成因
目前高校校園網絡的主干網都是基于TCP/IP協議的以太網,與其他類型的Intranet網絡相比有其自身的特點,相應的安全隱患也就有其特定的成因。目前國內高校校園網絡普遍存在的安全隱患和漏洞主要來自以下幾個方面:
1 校園面積廣闊,網絡基礎設施管理困難
經過兼并和擴張,高校的校區面積動輒上千畝、幾千畝,許多高校還有地域上獨立的新老校區,作為樓宇間連線的光纖布線遍布校區各處,而且往往跟其他強電或弱電線纜共用走線溝槽。對這些光纖的管理要涉及基建、后勤等多個部門,需要協調的工作也很繁雜,如果缺少一個明確的安全管理體系,就不容易分清工作界限,在出現突發故障后往往互相推諉,導致難以在短時間內恢復網絡暢通。
另外一方面,校園內樓宇繁多,樓字里每幾層都會有樓層網絡設備間放置匯聚層或接入層網絡設備,這些設備間的數量眾多,但往往安全防范措施簡易,門鎖形同虛設,甚至有些設備間連門都沒有,極易出現人為破壞或私拉亂接網線的情況,嚴重影響網絡的運行安全。除此以外,雷擊等外界原因也容易造成對網絡設備的破壞。
2 網絡設備種類繁多,不利于統一管理
校園網的建設一般是分批建設,不同批次、不同層次的網絡設備使用的規格、品牌往往不盡相同,而這些網絡設備的管理軟件大多都是基于私有MIB庫進行開發,這就造成了很難有一套統一的全網管理軟件。病毒或黑客對網絡設備進行攻擊時,就很難在第一時間發現和應對,常常是在設備癱瘓之后才意識到出現了問題、進行緊急恢復。
3 網絡終端數量眾多,安全措施薄弱
一般高校的學生人數都是以萬計,教師以干計,密集的用戶群意味著網絡終端的數量巨大,絕大多數網絡終端以計算機為主,隨著無線的普及,智能手機和平板電腦也成為重要的網絡終端設備。數量眾多的用戶使用計算機或手機的技術水平差異很大,尤其是文科專業的師生對計算機的使用掌握得并不熟練,未裝防火墻和殺毒軟件的計算機比比皆是。而高校校園網只要一處出現漏洞,整個網絡就無安全可言。近年來智能手機上也出現了不少的病毒和木馬程序,智能手機的系統安全問題正變得日益嚴重。
4 系統軟件本身并不安全
在目前的校園網環境中,個人終端裝機占有率最高的仍然是Windows操作系統,由于使用面廣,研究其漏洞的人也就更多,不少黑客都是利用其系統漏洞侵入用戶的計算機,再以這些被控制的計算機作為跳板,攻擊整個網絡。
與個人計算機相比,服務器操作系統漏洞更具有災難性。服務器的操作系統種類較多,除Windows之外還有Linux、Solaris等Unix系列的操作系統,而高校網絡管理人才隊伍中,對此類操作系統熟悉的人員比例不高,包括打補丁、差錯、優化在內的各種操作系統管理手段很難周全到位。除了操作系統本身,其上所運行的各類服務軟件(如IIS、Tomc~等)也存在安全漏洞問題,需要管理人員投入大量的精力進行研究和學習。
5 應用系統的安全漏洞
由于建設成本的考慮,高校的網絡應用系統提供商的層次差異很大,有些就是自行組織教師或學生進行開發,缺少軟件開發過程中各個層次的安全規劃設計與實現,使得應用系統層面的漏洞層出不窮,這些漏洞很容易成為黑客攻擊最直接的目標。還有些高校在建立Web網站時使用了開源程序,這類系統的漏洞更是容易被利用,甚至不懂黑客原理的用戶經過幾分鐘的學習便可以掌握攻擊方法。
二 高校校園網絡的安全防范體系
由此可見,形成高校校園網絡安全隱患的原因是多層次的,也是相互關聯的,但目前各高校的網絡管理部門往往采用的是“頭痛醫頭、腳痛醫腳”的“救火式”解決辦法,只從某個方面或某個層次來應對。網絡管理人員每天都在疲于解決各種突發性的網絡安全事故,但問題還是與日俱增,網絡服務質量和用戶滿意度仍然處于較低的水平,這種“費力不討好”的現象迫使我們去思考更好的解決方案。
為此,針對目前高校校園網絡的安全現狀和威脅,結合實際工作經驗,我們運用系統論的分析方法,提出構建一套名為“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security,網絡安全集成關聯架構策略,同時也是體系中六個層次的英語詞組首字母組合)的網絡安全防范體系,為高校校園網絡安全提供一套完整的解決方案,以求由點到面、由“標”到“本”地系統地解決校園網絡的安全問題。該體系從六個層次和角度來闡述網絡安全的內容,并分析每個層次可能存在的隱患以及相應的應對策略,其中自底向上的五個層次分別是物理安全、網絡安全、系統安全、應用安全和信息安全,管理安全則融合、穿插于這五個層次之中。整個安全體系的示意圖如圖l所示。
該體系將現行的高校校園網絡安全性劃分為5個橫向層次和1個縱向層次,在5個橫向層次中,最底層的物理安全是基礎,網絡安全是關鍵,系統安全、應用安全、信息安全是重點,管理安全是保障。下面分別對六個層次的內容、隱患來源以及應對措施進行詳細闡述。
1 物理安全(Physical Security)
物理安全,主要工作是防止物理通路的損壞、竊聽和對物理通路的攻擊(干擾等)。保證高校校園網絡和信息系統各種設備的物理安全是網絡整體安全的前提,通常包括環境安全(系統所在環境的安全保護)、設備安全和媒體安全三個部分。抗干擾、防竊聽是物理安全措施制定的重點。目前,物理實體的安全管理已有大量標準和規范,如GB9361-88《計算機場地安全要求》、GFB2887-88《計算機場地技術條件》、GB50173-93《電子計算機機房設計規范》等。
這一層次的安全威脅主要包括自然威脅和人為破壞等方面。自然威脅可能來自于各種自然災害、惡劣的場地環境、電磁輻射和干擾、網絡設備的自然老化等。這些無目的離散事件有時會直接或間接地威脅網絡的安全,影響信息的存儲和交換。人為破壞則主要來自于高校校園網周邊內外的人為性的損壞,這些損壞有時是主觀故意的(如學生發泄對網絡服務質量的不滿而對網絡設備或線路進行故意損壞),有時是客觀意外的(如園區周邊建筑施工導致挖斷網絡線路)。
面對以上威脅,為保證網絡的正常運行,在物理安全層次上應重點考慮兩個方面:
(1)校園網規劃、設計、建設時將物理安全作為重點工作對待,適當提高安全標準,為網絡設備或線路搭建防護設施、建立安全控制區域,盡量降低自然威脅可能帶來的風險。
(2)加強巡查,將重點網絡設備或線路所在地定為安全巡邏必到點,定期安排保衛人員在巡邏時查看網絡設備或線路的外觀和運行狀態(如各種狀態指示燈是否正常等),降低人為破壞的幾率。
2 網絡安全(Network Security)
網絡安全主要包括鏈路安全、傳輸安全和網絡訪問安全三個部分。鏈路安全需要保證通過網絡鏈路傳送的數據不被竊聽,主要針對共用信道的傳輸安全;傳輸安全需要保證信息的完整性、機密性、不可抵賴性和可用性等;網絡訪問安全需要保證網絡架構、網絡訪問控制、漏洞掃描、網絡監控與入侵檢測等。
這一層次的安全威脅主要包括:
(1)通信鏈路上的竊聽、篡改、重放、流量分析等攻擊。
(2)網絡架構設計問題、錯誤的路由配置、網絡設備與主機的漏洞、病毒等。
相應地應對措施主要有:
(1)在局域網內可以采用劃分VLAN(虛擬局域網)來對物理和邏輯網段進行有效的分割和隔離,消除不同安全級別邏輯網段間的竊聽可能;若是遠程網,可以采用鏈路加密等手段。
(2)加強網絡邊界的訪問控制。對于有明顯安全等級差別的網絡區域盡量增加防火墻設備進行隔離。如在校園內網、服務器區域之間設置防火墻;校園網出口處、與Intemet之間設置防火墻。
(3)在交換機上啟用DHCP-Snooping技術,使任何接入校園網的計算機只能動態獲得IP地址,同時杜絕未經批準建立的網站通過私自手工設置靜態IP地址來架設服務器。
(4)使用IDS(入侵檢測系統)。入侵檢測系統是近年出現的新型網絡安全技術,目的是提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊,其次它能夠阻止攻擊者的入侵。當檢測到有網絡攻擊或入侵時,可以實時發出報警,并詳細保存相關證據,以便用于追查或系統恢復。
(5)對網絡安全進行定期檢測,以實現安全的持續性。可以利用漏洞掃描類的工具軟件定期對系統進行掃描,根據掃描結果進行安全性評估,通過評估報告指出系統存在的安全漏洞,組織專家討論后給出補救措施和安全策略。
(6)建立網絡防病毒系統。在校園網中部署網絡版的防病毒系統,統一管理服務器和各類網絡終端的防毒軟件,定時自動升級與維護,以保護全網不被病毒侵害。通過對網絡中的病毒掃描集中控制,建立各種定時任務,統一集中觸發,然后由各被管理機器運行,同時可對日志文件的各種格式進行控制。在管理服務器上建立了集中的病毒分發報告、各被管機器的病毒掃描報告、所安裝軟件的版本等報告,所有病毒掃描狀態信息都可由控制臺得到。
3 系統安全(System Security)
系統安全即運行在網絡上的服務器、交換機、路由器、客戶端主機等具有完整網絡操作系統的設備的操作系統的安全。這一層次的安全威脅主要來自因操作系統本身的設計缺陷被攻擊者利用從而引發的后果。對于高校校園網絡而言,半數以上的攻擊往往屬于這一層次。這一層次的主要應對措施主要有:
(1)更新操作系統、安裝補丁程序。任何操作系統都有漏洞,因此,系統管理員的主要工作內容之一就是監控運行在網絡上的各類設備的狀態,發現異常應當及時解決、排除故障。對于交換機、路由器等設備而言,主要是更新操作系統的版本,這一類設備主要用于數據交換,因此其內置固化的操作系統往往功能簡單、體積很小,廠商的常規做法是新版本的系統,因此只需直接刷新即可。對于服務器、客戶端主機等設備,因其主要是用于數據處理,操作系統功能復雜、體積龐大,廠商通常是一些補丁程序來進行更新,因此直接安裝即可。
(2)優化系統。現代操作系統往往是多功能、多模塊、多組件的,可能一項系統設置可能會影響多個功能,也可能多個選項來共同作用于一個功能。因此,對操作系統進行優化是一項非常必要的工作,甚至個別系統的個別選項如果不加以優化可能會被攻擊者利用,從而產生威脅。實際當中包括關閉不需要的服務和端口并建立監測日志等。
(3)實行“最小授權”原則,分配正確和合適的權限。僅僅保持系統的版本最新、并做了優化是不夠的,試想如果網絡上的設備被設置了“123456”這樣的密碼,而且使用這個密碼登錄后還是最高權限的系統用戶帳號,那么整套網絡和信息系統的危險可想而知。實行“最小授權”原則(網絡中的帳號設置、服務配置、主機間信任關系配置等為網絡正常運行所需的最小限度),關閉網絡安全策略中沒有定義的網絡服務并將用戶的權限配置為策略定義的最小限度、及時刪除不必要的帳號等措施可以將系統的危險大大降低。例如,根據需要設置帳號和權限,并為帳號設置強密碼策略是必須完成的工作,如至少應該在8位以上,而且不要設置成容易猜測的密碼,并強制用戶每個月更改一次密碼等等。
(4)及時查殺服務器系統中的病毒、木馬和后門程序。
4 應用安全(Application Security)
應用安全主要是針對網絡中提供的各種功能和服務而提出的,例如Web服務:E-Mail服務、數據庫服務、各種業務系統、各種信息系統等等。應用安全的威脅主要有:應用系統缺陷、非法入侵等。這一層次的主要應對措施有:
(1)及時升級和更新各應用軟件和信息系統,降低因軟件設計缺陷引起的風險。若應用軟件或業務系統是高校自行開發,系統的使用部門(往往是業務部門)應聯系開發人員及時跟進,發現漏洞及時修補。
(2)對應用軟件和信息系統實行身份認證和安全審計。
與系統安全類似,應用軟件和信息系統也應對使用者進行分類、分配權限、認證身份并審計各種操作。例如可以按照需要在高校校園網內部建立基于PKI的身份認證體系(有條件還可以建立基于PMI的授權管理體系),實現增強型身份認證,并為實現內容完整性和不可抵賴性提供支持。在身份認證機制上還可以考慮采用IC卡、USB-Key、一次性口令、指紋識別器、虹膜識別器等輔助硬件實現雙因子或多因子的身份認證功能。同時,還應特別注意對移動用戶撥入的身份認證和授權訪問控制。
5 信息安全(Information Security)
信息安全注重的是網絡上各類數據、信息的內容安全。這一層次可能的威脅和相應的應對措施有:
(1)植入惡意代碼或其他有害信息。一部分攻擊者經常采用的攻擊方法是掃描網段找到有漏洞的主機,接著使用黑客軟件或攻擊程序進行刺探,在獲得系統權限后將惡意代碼植入到在該主機上運行的各應用軟件或信息系統中,待其他用戶正常使用時發作,或修改頁面的內容造成不良影響。針對這種情況,可以部署網頁防篡改系統,減少Web站點的內容被惡意更改植入惡意代碼或其他有害信息。
(2)垃圾郵件和病毒的傳播。目前,電子郵件已經成為垃圾信息和病毒的主要傳播途徑之一,采用垃圾郵件網關并部署電子郵件反病毒模塊能夠在一定程度上減輕危害,缺點是垃圾郵件識別模塊和反病毒模塊需要經常性升級,在查殺和攔截上有一定的滯后性。
(3)負面輿論導向。高校歷來是思想碰撞的場所,網絡作為新興載體己經發揮著越來越大的作用,因此,輿情監督和正面輿論導向將逐漸成為高校信息安全的重點工作內容。除了采取技術手段進行監督管理外,高校的信息化管理部門還應與宣傳部門一道培養輿論導向的專業人員或學生,主動將信息安全的風險降到最低。
6 管理安全(Administration Security)
目前,部分高校的網絡管理人員及其用戶的安全意識總的來說較為淡薄,且大多數高校的網絡管理制度不完善、管理技術落后、管理機構不健全。上述因素不僅使得校園網絡性能下降、運行成本提高,而且還會造成大量非正常訪問,導致整個網絡資源浪費,帶來極大的安全隱患,使得網絡受到攻擊的概率大幅提高。
管理安全是整個防范體系的主線和基礎,貫穿于整個體系的始終。如果僅有安全技術方面的防范,而無配套的安全管理體系,也難以保障網絡安全的。必須制訂相應的安全管理制度,對安全技術的實施落實到具體的執行者和執行程度。
網絡安全工作可以說是一項群體性的工作,網絡用戶的安全意識是網絡安全的決定因素,對校園網絡用戶安全意識的教育是安全防范體系中至關重要的環節,是形成高校校園網絡安全體系的基礎。尤其是在病毒泛濫的大環境下,需要通過定期培訓、及時通過各種手段病毒預警通知、監督和促使用戶盡快打補丁等方法,達到增強師生用戶的安全意識,提高必要的安全防范技能的目的。
以上便是我們提出的網絡安全防護體系的六個層次,除管理安全層次外,其余五層與TCP/IP協議的層次類似,上一層的安全是建立在其下一層的安全基礎之上,下一層的安全是上一層安全的重要保障,層次之間環環相扣,不留安全死角。
本體系中的六個層次也基本涵蓋了高校網絡管理工作的方方面面,將網絡安全工作的思路分層次清晰化,具有極強的實用價值和指導作用。
三 應用效果
重慶理工大學從2001年開始大規模建設校園網絡,2003年開始建設數字化校園系統。校園網按照核心層、匯聚層和接入層三個層次進行規劃設計,共有各類網絡設備600多臺,接入信息點18000個,活躍用戶大約2萬人,各類服務器40多臺,安裝有Windows、Linux和Solaris等操作系統,數據庫以Oracle和SQL Server為主。數字化校園系統覆蓋辦公、教務、學工、人事、財務、后勤等各個方面的工作,共計有各類系統模塊80余個。在大規模的硬件和軟件系統建設前期,缺乏對網絡安全的系統認識,在遭遇網絡安全事故時,常常只能采取臨時性的應對措施。隨著網絡和系統規模的不斷擴大,網絡安全已經成為影響網絡服務質量的重要根源,網絡信息中心的員工幾乎天天都在疲于應對各類突發性的網絡安全事件。
學校從2008年開始總結網絡安全工作的經驗與教訓,運用系統工程的分析方法,從整體和系統的角度提出網絡安全防范方案,形成了“IAAPNS”網絡安全防范體系,并應用到校園網的建設與維護工作中,經過三年多的運行,學校校園網絡安全工作進得了明顯的成績(如圖2所示):
對網絡設備攻擊(包括病毒)而導致網絡故障的次數由2008年的334次降到2010年的65次,2011年上半年為19次;利用操作系統漏洞(包括Web服務器漏洞)攻擊成功次數由2008年的46次降到2010年的6次,2011年上半年為2次;利用應用軟件的安全漏洞攻擊成功次數由2008年的125次降到2010年的43次,2011年上半年為15次。
隨著網絡安全防范工作的加強,網絡服務質量明顯提升,如圖3所示,用戶滿意度從2008年61%提升到2010年的73%,2011年上半年為78%。
【關鍵詞】計算機通信網絡安全
一、計算機通信網絡威脅的成因
1.客觀原因
第一,計算機通信網絡所具有聯結廣泛的特性決定了給網絡攻擊帶來了必要的條件,非法入侵者依據網絡存在的漏洞或存在安全缺陷對網絡系統的硬件、軟件進行攻擊,導致系統中數據的丟失,即便有些信息在安全級別方面進行了設置但還會收集整理有漏洞的存在。第二,計算機系統與通信網絡自身較脆弱,因此遭受不同程度的攻擊是不可避免的。第三,計算機病毒的傳播也加劇了網絡通信安全問題的出現,使網絡系統遭受著不同程度的打擊,造成數據的改動、刪除最終破壞整個系統。第四,電子商務軟件普遍應用到通信網絡系統中,而這些電子商務軟件的源代碼又是公開的,這給非法入侵者尋找系統漏洞帶來了便利。
2.主觀原因
計算機網絡管理員往往忽視潛在的安全問題,亦有些管理員的實際操作水平不夠,在操作過程中違反安全保密所制定的規則,對操作規程不夠了解。在對網絡系統的管理和使用方面,人們的習慣偏移于方便操作而忽視安全保密方面的問題。
二、完善計算機通信網絡安全策略分析
計算機通信網絡安全威脅可分為兩類:故意(黑客入侵等)、偶然(信息去向錯誤的地址)。故意威脅又可分為被動威脅及主動威脅兩類。被動威脅主要針對信息進行監聽但不對數據內容進行改動,主動威脅則是針對信息監聽但對數據進行惡意修改。從以上兩種攻擊不難看出,被動攻擊的難度遠遠小于主動攻擊,因此被動攻擊更加容易實現。但是目前并沒有一種統一的方式或方法對各種威脅進行區別或者進行分類劃分,也難以判斷不同的威脅之間有沒有聯系,以下是介紹對完善計算機通信網絡安全的一些策略:
1.加強防范措施
網絡攻擊是針對系統及各方面安全缺陷進行非法操作的行為,因此防范策略應針對網絡中的各個層次從技術角度進行安全設計這是安全防御系統形成的首要條件。目前所采用的安全防范措施從軟件、硬件、軟件及硬件相結合的設備主要有以下幾種:安全過濾網關、系統加密、入侵檢測、身份認證、漏洞掃描、殺毒軟件等。
2.數據加密方式
數據加密技術在網絡通信中的應用有效促進數據通信、網絡平臺應用的安全系數的提高,保證雙方的通信在安全下進行使得數據不被盜取及破壞。同時,數據加密技術也可在軟件中實現加密,當加密程序本身沒有受到病毒感染時便無法檢查出數據或程序中是否含有數字簽名,因此應將該加密技術應用在殺毒軟件或反病毒軟件當中。其次對網絡數據庫實施加密是十分必要的,由于數據通信傳輸中存儲系統與公用傳輸信道十分脆弱,因此采用數據加密技術進行保護。
3.數字簽名及控制策略
數字簽名技術是針對網絡通信信息論證的科學方式手段,依據單向函數對報文進行處理及發送,進而得到報文認證的來源并判斷傳輸過程中是否發生變化。數字網絡通信中數字簽名技術是認證的關鍵,它對解決偽造、冒充、篡改等問題起到主要作用,有著良好的無法抵賴性。當前數字簽名技術成熟,尤其在電子政務及電子商務中得到普遍應用,具有較強的可操作性,在實踐中我們應采用科學化、規范化的程序方式判斷簽名方身份,確保通訊內容的真實性、安全性性,進而實現有效的可控管理。其次,網絡通信實踐運行中還應引入科學的訪問控制策略,確定相應權限,保障計算機網絡安全、可靠運行,建立絕對安全的操作策略及保障機制有效預防非法攻擊行為。
三、結語
計算機技術的發展與日俱進致使網絡安全技術不斷更新,掌握必要的網絡安全知識,增強網絡安全防范是十分必要的。我們要時刻注意安全問題,盡量多的使用可靠、安全工具進行系統的維護,使得我們的網絡安全更加穩定、持久的運行,這也是未來電子化、信息化發展的必然要求。
參考文獻
關鍵詞:計算機系統 系統安全 計算機網絡 網絡安全
中圖分類號:TP393文獻標識碼:A文章編號:
引言
隨著計算機技術網絡的快速發展,網絡安全成為人們研究的焦點。世界各國遭受計算機病毒感染和黑客攻擊的事件屢屢發生,嚴重地干擾了正常的人類信息生活。因此,加強網絡的安全顯得越來越重要,對計算機病毒的防范工作也越來越受到世界各國的高度重視。下面分析了計算機網絡安全的主要隱患及攻擊的主要方式,從管理和技術的角度就加強計算機網絡安全提出了針對性的建議。
1計算機系統安全 1.1計算機信息系統的安全保護包括計算機的物理組成部分、信息和功能的安全保護。 2實體安全 2.1計算機主機及外設的電磁干擾輻射必須符合國家標準或軍隊標準的要求。系統軟件應具備以下安全措施:操作系統應有較完善的存取控制功能,以防止用戶越權存取信息;應有良好的存貯保護功能,以防止用戶作業在指定范圍以外的存貯區域進行讀寫;還應有較完善的管理能力,以記錄系統的運行情況,監測對數據文件的存取。 2.2計算機的安全防范::黑客攻擊等威脅行為為什么能經常得逞呢?主要原因在于計算機網絡系統內在安全的脆弱性:其次是人們思想麻痹,沒有正視黑客入侵所造成的嚴重后果,因而舍不得投入必要的人力、財力、物力來加強計算機網絡的安全,沒有采取有效的安全策略和安全機制。另外,缺乏先進的網絡安全技術、工具、手段和產品等原因,也導致計算機系統的安全防范能力差。3網絡安全 3.1網絡安全從其本質上講就是網絡上的信息安全,指網絡系統的硬件、軟件及數據受到保護,不遭受破壞、更改、泄露,系統可靠正常地運行,網絡服務不中斷。從用戶的角度,他們希望涉及到個人和商業的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段對自己的利益和隱私造成損害和侵犯。從網絡運營商和管理者的角度來說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現病毒、非法存取、拒絕服務和網絡資源的非法占用和非法控制等威脅,制止和防御網絡“黑客”的攻擊。
3.2計算機網絡安全具有三個特性: 保密性:網絡資源只能由授權實體存取。完整性:信息在存儲或傳輸時不被修改、信息包完整;不能被未授權的第二方修改。可用性:包括對靜態信息的可操作性及對動態信息內容的可見性。
4計算機網絡安全的主要隱患
4.1計算機網絡軟、硬件技術不夠完善 由于人類認識能力和技術發展的局限性,在設計硬件和軟件的過程中,難免會留下種種技術缺陷,由此造成信息安全隱患。如 Internet 作為全球使用范圍最廣的信息網,自身協議的開放性雖極大地方便了各種計算機入網,拓寬了共享資源,但 TCP/IP 協議在開始制定時沒有考慮通信路徑的安全性,缺乏通信協議的基本安全機制,沒有加密、身份認證等功能,在發送信息時常包含源地址、目標地址和端口號等信息。由此導致了信息通過網絡進行傳送時產生了安全漏洞。 4.2計算機網絡安全系統不夠健全 計算機網絡系統內部的安全威脅包括以下幾個方面:①計算機系統及通信線路的脆弱性。②系統軟硬件設計、配置及使用不當。③人為因素造成的安全泄漏,如網絡機房的管理人員不慎將操作口令泄漏,有意或無意地泄密、更改網絡配置和記錄信息,磁盤上的機密文件被人利用,臨時文件未及時刪除而被竊取,等等
5計算機網絡安全常用的防治技術 5.1加密技術:加密在網絡上的作用就是防止重要信息在網絡上被攔截和竊取。加密技術是實現保密性的重要手段,采用這種技術可以把重要信息或數據從一種可理解的明文形式變換成一種雜亂的、不可理解的密文形式,并以密文形式將信息在線路上傳輸,到達目的端口后通過密鑰將密文還原成明文。常見的加密機制分為私鑰密碼機制和公鑰密碼機制,每種密鑰加密機制都有多種不同的算法,密鑰的加密機制及算法的選擇依用戶需求不同而定。
5.2入侵檢測系統:入侵行為主要是指對系統資源的非授權使用,可以造成系統數據的丟失和破壞、系統拒絕服務等危害。入侵檢測通過對計算機網絡或計算機系統中的若干關鍵點收集信息并進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統執行的主要任務包括: (1)監視、分析用戶及系統活動;審計系統構造和弱點;(2)識別、反映已知進攻的活動模式,向相關人士報警;(3)統計分析異常行為模式; (4)評估重要系統和數據文件的完整性; (5)審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。所以,入侵檢測系統在計算機網絡安全系統中也起著舉足輕重的地位
6計算機網絡安全解決方案
網絡安全是一項動態、整體的系統工程。網絡安全有安全的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,一個單獨的組件是無法確保信息網絡的安全性。
6.1多層病毒防御體系。一般情況下,信息網絡系統中采取的安全措施主要考慮外部網絡安全性,但由于病毒的極大危害及特殊性,網絡用戶可能會受到來自于多方面的病毒威脅,包括來自Internet網關上、與各級單位連接的網段上,為了免受病毒所造成的損失,在內部網絡部署防病毒系統也是必要的,即多層的病毒防衛體系。
6.2防火墻技術。防火墻技術是近年發展起來的重要網絡安全技術,其主要作用是在網絡入口處檢查網絡通信,根據用戶設定的安全規則,在保護內部網絡安全的前提下,保障內外網絡通信,提高內部網絡的安全。
6.3.漏洞掃描。安全漏洞掃描通常都是借助于特定的漏洞掃描器完成的。漏洞掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描器,系統管理員能夠發現所維護信息系統存在的安全漏洞,從而在信息系統網絡安全保衛工作中做到“有的放矢”,及時修補漏洞,構筑堅固的安全長城。
7結論
在網絡信息化時代,計算機技術和網絡技術已深入到社會各個領域。網絡安全已越來越受重視了。雖然目前用于網絡安全防護的產品有很多,但病毒黑客仍然無孔不入,對社會造成了嚴重的危害。計算機系統安全與計算機網絡安全的攻防仍將是一場持久之戰,我們期待長治久安的那一天的到來。
參考文獻:
[1]程煜:《計算機維護技術》,北京:清華大學出版社,2006
關鍵詞:網上銀行 發展現狀 風險管理 措施分析
一、網上銀行
網上銀行(E-Bank)是銀行等金融機構使用計算機及網絡技術在網絡開設的銀行,通過Internet向客戶提供開戶、銷戶、查詢、對賬、行內轉賬、跨行轉賬、信貸、網上證劵、投資理財等傳統服務項目,使客戶可以足不出戶就方便地管理活期和定期存款、支票、信用卡及進行個人投資的虛擬銀行柜臺。
二、網上銀行的風險
為保證銀行內部整個金融網的安全,我們需要保證網上銀行交易系統的安全,最大限度避免交易風險,這是網上銀行建設中最至關重要的問題,也是銀行保證顧客資金安全的最根本的考慮。
1.來自網上銀行物理結構的風險
網絡是虛擬的,但又是物理存在的,數據通過物理介質進行運輸和儲存,進行儲存的介質有硬盤、軟盤和磁帶等,若遭受物理損失,損失的不僅僅是這些設施,更嚴重的是存儲于這些設施中的數據,所以注重網上銀行的物理安全問題是網上銀行發展的前提。
它主要包括兩個方面,第一是環境安全,及對系統所在環境的安全進行保護,如區域保護和災難保護等。第二是設備安全,主要包括設備的防盜、防毀、防電磁信息輻射泄露、防止線路截獲、抗電磁干擾及電源保護等。
2.來自網上銀行技術結構的風險
網上銀行的技術風險主要包括網絡風險和交易風險兩個方面,網絡安全能夠確保網上銀行網站的安全性,交易安全能夠確保客戶通過網上銀行進行交易的資金安全。
在網絡風險問題中,最重要的是內部網與外部網之間的訪問控制問題,在這個環節上時常發生問題,這也是黑客經常攻擊的地方;另外一個問題是內部網不同網絡安全域的訪問控制問題,不同內部網具有重要性不同的信息資料,因而,內部犯罪人員往往利用內部網管理上的漏洞,尋找盜竊或破壞漏洞。
計算機技術不斷更新發展的同時,防病毒技術、防火墻技術的更新發展存在一定的滯后性。計算機病毒、黑客、木馬等技術有威脅網上銀行安全的可能。
三、網上銀行風險對策設計
1.重視物理環境安全設計
首先,制度的安全需要提高安全防范意識,參照國家標準制定相關的規章制度,加強安全管理,提高員工整體素質,建立健全安全防范制度。其次,建筑的安全,機房建筑和結構從安全的角度出發,應該考慮多個方面,例如,計算機周圍應有足夠亮度的照明設施和防止非法進入的設施,計算機中心周圍100米內不能有危險建筑物等。最后是計算機設備的防火、防盜、防雷、防靜電,計算機在擺放時,可以根據消防火級別來確定機房的設計方案。
2.確保硬件安全
硬件安全主要是物理安全和設備安全。為確保物理安全,要防止意外的發生,和人員的故意破壞;確保設備安全就要求管理人員保護設備的鑰匙、口令、密碼等,防止人為或網絡病毒、近遠程對于安全的攻擊。
3.控制訪問權限
控制訪問權限,是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和訪問。
4.保護主機自身安全
利用系列網絡隔離的手段對計算機中心的硬件系統進行隔離。要著重考察主機及系統的安全、穩定、持續性,防止黑客、木馬等入侵的渠道。
5.確保內部網絡安全性
使用加密、簽名認證等技術避免數據篡改;局域網技術利用vlan技術進行物理隔離不同的位置、不同的業務網。
6.防火墻隔離安全
防火墻的硬件基礎應選擇性能優良的物理平臺,設置防火墻時要截止所有從135到142的TCP和UDP連接,改變默認配置端口,拒絕Ping信息包,通過設置過濾規則來實現包過濾功能。實際運行操作中可采取防火墻雙機備份,選擇兩臺同樣的設備安裝防火墻(一臺作為備份)。
7.數據備份與隔離保護
鑒于數據庫的重要性,應對數據進行分級管理并提供可靠的故障恢復機制,實現數據庫的訪問、存取、加密控制,具體實現方案有安全數據庫系統、數據庫保密系統、數據庫掃描系統等。
8.保障通信與信息安全
>> 個人計算機系統安全隱患分析及對策研究 計算機操作系統安全設置問題探析 計算機操作系統安全模型的實例化分析與研究 電力企業計算機監控系統上位機操作系統安全性能加固實施 個人計算機的安全與防范 個人計算機信息安全和防護措施 個人計算機安全防護淺析 淺談個人計算機的安全防護 個人計算機信息安全的防護方法 個人計算機安全問題的研究 個人計算機系統網絡安全探討 個人計算機的系統維護及安全防范探討 淺談個人計算機應用及其網絡安全 計算機操作系統漫談 計算機操作系統探討 計算機操作系統封裝 計算機操作員之Windows 2000/XP操作系統的應用 Windows操作系統安全研究 操作系統安全模型研究 WindowsXP操作系統安全配置 常見問題解答 當前所在位置:
需要提醒的是,補丁應該在所有應用程序裝完之后再安裝,因為補丁程序往往要替換或修改某些系統文件,如果先安裝補丁的話可能無法達到應有的效果。
二、把系統Administrator賬號改名
為避免別人一遍又一遍嘗試這個系統Administrator帳戶的密碼,我們可將其改名,鼠
標右鍵單擊Administrator,在右鍵菜單中選擇“重命名”,然后重新輸入一個名稱即可。當然最好不要使用Admin、Root之類的名字,盡量把他偽裝成普通用戶,比如改成:Guestone。然后另建一個“Administrator”的陷阱賬號,不賦予任何權限,并且加上一個超過10位的超級復雜的密碼,并對該賬戶啟用審核,這樣那些黑客忙上好一陣也可能進不來,即使進來了也什么都得不到,、還留下被我們跟蹤的線索。
三、取消共享目錄的EveryOne組
默認情況下,在Windows中新增一個共享目錄時,操作系統會自動將EveryOne這個用
戶組添加到權限模塊當中,由于這個組的默認權限是完全控制,結果使得任何人都可以對共享目錄進行讀寫。因此,在新建共享目錄之后,要立刻刪除EveryOne組或者將該組的權限調整為讀取。右擊“共享目錄”,選擇“屬性”,進入“安全”的標簽頁面,選中“EveryOne”,將其權限調整為讀取,或是點擊右側的“刪除”按鈕將其刪除。
需要注意的是,如果你沒有將文件格式設置為NTFS格式,那么在共享文件時不會出現“安全”選項,這是只能在“共享”選項下“權限”按鈕中設置訪問者的權限。
四、關閉不必要的服務
開放服務雖然使用起來方便,但是服務開的越多漏洞也會越多,特別是連你這個管理員
都不知道是干什么的服務,最好關掉!
進入控制面板的“管理工具”運行“服務”進入服務界面雙擊右側列表中需要禁用的服務,在打開的服務屬性的常規標簽頁“啟動類型”一欄,點擊小三角形按鈕“已禁用,再點擊“啟動”按鈕,最后確定即可。
五、關閉不必要的協議和端口
關閉端口意味著減少功能,在安全和功能上面需要做一點平衡,但是如果某些功能你根本用不著,就沒必要將服務開給黑客了,
在配置系統協議時,盡量做到可以不安裝的協議就不要安裝。對于一般用戶來說建議只安裝Tcp/Ip協議。鼠標右鍵單擊網絡鄰居,選擇“屬性”,再鼠標右擊“本地連接”,選擇“屬性”卸載不必要的協議。
六、關閉默認共享
Windows系統安裝后,系統會創建一些隱藏共享,通過“計算機名或IP地址/盤符”可以訪問,這為密碼攻擊提供了方便的途徑。可以通過修改注冊表的方法徹底禁止這些共享。在HKEY_LOCAL_Machine\SYS-TEY\CutrenttControlSet\ Services\LanmanServer\Parameters下添加鍵值AutoSharewks類型為REG_DWORD值設為0,關閉注冊表重新啟動計算機即可關閉默認共享了。
參 考 文 獻
[1] 張偉杰. 計算機操作系統的安全設置與防范[J]. 科技視界. 2014(29)
[2] 王可君. 個人計算機系統安全風險及防護措施[J]. 有線電視技術. 2012(07)
1計算機網絡的概述計
算機網絡,是指將地理位置不同的具有獨立功能的多臺計算機及其外部設備,通過通信線路連接起來,在網絡操作系統,網絡管理軟件及網絡通信協議的管理和協調下,實現資源共享和信息傳遞的計算機網絡系統。最龐大的計算機網絡系統就是因特網,它由非常多的計算機網絡通過許多路由器互聯而成,因此因特網也稱為“國際互聯網”。計算機網絡的運用非常廣泛,運用計算機網絡可以實現資源信息的共享,如利用計算機網絡可以使不擁有大型計算機的用戶通過網絡使用大型機的打印機、掃描儀、繪圖儀等資源;通過計算機網絡系統可將分散在各地的計算機中的數據信息收集起來,進行綜合分析處理,并把分析結果反饋給相關的各個計算機中,使數據信息得到充分共享。利用計算機網絡還可以實現數據通信。通過網絡上的文件服務器交換信息和報文、收發電子郵件、相互協同工作等。
2計算機網絡信息安全的概述
計算機網絡信息安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據信息的保密性、完整性及可使用性受到保護。計算機網絡信息安全包括兩個方面,即物理層安全和邏輯層安全。物理層安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。邏輯層的安全包括信息的完整性、保密性和可用性。計算機網絡信息安全就是網絡上的信息數據安全。從廣義上說,凡是涉及到網絡信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網絡安全所要研究的領域。一般認為,網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常運行,網絡服務不被中斷。從安全屬性來看,網絡安全包括5個基本要素:a.保密性。指信息不泄露給非授權的用戶、實體或過程,或供其利用的特性。b.完整性。指數據未經授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。c.可用性。是指可被授權實體訪問,并按需求使用的特性,即當需要時應能存取所需的信息。d.可控性。指對信息的傳播及內容具有控制能力,保障系統依據授權提供服務,使系統任何時候不被非授權人使用,對黑客入侵、口令攻擊、用戶權限非法提升、資源非法使用等采取防范措施。
3影響計算機網絡信息安全的主要因素
3.1缺乏自主的計算機網絡和軟件核心技術。我國信息化建設過程中缺乏自主技術支撐。計算機安全存在三大黑洞:CPU芯片、操作系統和數據庫、網關軟件大多依賴進口。我國計算機網絡所使用的網管設備和軟件基本上是舶來品,這些因素使我國計算機網絡信息的安全性能大大降低,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡信息處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡信息安全處于極脆弱的狀態。
3.2缺乏完整的安全評估系統。完整準確的安全評估是黑客入侵防范體系的基礎。它對現有或將要構建的整個網絡信息的安全防范能做出科學、準確的分析評估,并保障將要實施的安全策略技術上的可實現性、經濟上的可行性和組織上的可執行性。網絡信息安全評估分析就是對網絡進行檢查,查找其中是否有可被黑客利用的漏洞,對系統安全狀況進行評估、分析,并對發現的問題提出建議從而提高網絡信息系統安全性能的過程。
3.3缺乏制度化的防范機制。不少企事業單位沒有從管理制度上建立相應的安全防范機制,在整個運行過程中,缺乏行之有效的安全檢查和應對保護制度。不完善的制度滋長了網絡管理者和內部人士自身的違法行為。許多網絡犯罪行為(尤其是非法操作)都是因為內部聯網電腦和系統管理制度疏于管理而得逞的。同時,政策法規難以適應網絡發展的需要,信息立法還存在相當多的空白。個人隱私保護法、數據庫保護法、數字媒體法、數字簽名認證法、計算機犯罪法以及計算機安全監管法等信息空間正常運作所需的配套法規尚不健全。由于網絡作案手段新、時間短、不留痕跡等特點,給偵破和審理網上犯罪案件帶來極大困難。
3.4缺乏安全意識。日常人們利用網絡主要用于學習、工作和娛樂,對網絡信息的安全的認識不夠。雖然網絡中設置了許多安全保護屏障,但是這些保護措施在很大程度上形同虛設。與此同時,網絡經營者和機構用戶注重的是網絡效應,對安全領域的投入和管理遠遠不能滿足安全防范的要求。
4計算機網絡信息安全的防范對策
4.1加強對計算機網絡信息安全的管理。計算機安全管理包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
4.2安裝和配置防火墻。安裝和配置防火墻是當前一種有效地保護計算機或網絡的好辦法。利用防火墻,在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。
4.3經常更新軟件。為了保護計算機免受來自Internet的侵襲。對計算機中的殺毒軟件要經常進行更新。另外,更新Windows操作系統本身也是很有必要,讓計算機軟件處于最新版本對于計算機安全大有裨益。
4.4增強網絡信息安全意識。要增強網絡信息安全意識,培養良好的使用習慣,不要輕易下載、使用不了解和存在安全隱患的軟件;或瀏覽一些缺乏可信度的網站(網頁),以免個人計算機受到木馬病毒的侵入而帶來安全隱患。
關鍵詞:網絡安全;黑客;策略;漏洞;防護
1緒論
計算機在產生開始相對比較單一,無論是在數據的處理還是在網絡方面,都還處于相對低級的階段。而隨著網絡技術的發展,計算機的功能也越來越多樣,信息數據的處理難度也越來越高。而網絡的出現,將以前時間和空間相對獨立與分散的信息集中了起來,組建成一個龐大的數據信息系統,為人們提供更加快捷的信息處理和使用方式,它的出現極大的推動了信息化的發展進程。然而,隨之帶來的信息數據安全問題也越來越突出,各類公開化的網絡平臺、電商平臺等都使非法入侵者有機可乘。網絡的入侵不但會對信息資源造成破壞,同時也對整個網絡安全的環境帶來非常大影響。因此,計算機網絡安全問題一直以來都是最為熱門的焦點,而隨著網絡技術的不斷發展,安全防范和安全保護也都在不斷的進行更新。
2計算機安全定義
國際標準化組織(ISO)將“計算機安全”定義為:“為信息數據處理系統建立和采取的技術及管理的安全保護,保護計算機的硬件、軟件數據不會因為偶然和惡意的原因而被破壞、更改和泄露”。上面對計算機安全的定義包含了物理安全和邏輯安全兩方面的內容,邏輯安全的內容可理解為我們常說的信息安全,是指對信息數據的保密性、完整性和可用性的保護,而網絡安全性的含義是信息數據安全的延伸,即網絡安全是對網絡信息數據的保密性、完整性與可用性的保護。
3影響網絡安全的主要因素
(1)網絡系統本身存在的問題當前主流的操作系統均存在這樣或那樣的網絡安全漏洞,如UNIX,WinNT和Windows。黑客們往往就是通過利用這些操作系統本身所存在的一些安全漏洞入侵系統。具體主要體現在以下幾個方面:穩定性和可擴充性;網絡硬件的配置不協調;缺乏安全策略;而很多Web應用的站點,都在防火墻的配置上無意識地擴大了訪問權限,忽略了這些權限可能會被別有用心的人員濫用;訪問控制配置太過于復雜,容易導致配置錯誤,從而讓他人有機可乘。(2)來自內部網的安全威脅從很多事實中證明,我們日常中來自企業內部的安全威脅要遠遠大于來自外部的安全威脅,由于我們的使用者缺乏安全意識,許多應用服務系統對于訪問的控制以及安全通信方面考慮不足。而且,一旦系統被設置錯誤,就非常容易造成損失。由于在管理制度上的不健全,在日常進行的網絡管理和網絡維護過程中,由于人為的因素造成的安全漏洞,無疑是企業整個網絡安全性的最大隱患。同時由于網絡管理員以及網絡使用者都擁有相應的權限,利用這些權限對網絡進行破壞的安全隱患也同樣存在。如操作密碼的泄露,硬盤上的機密信息被人利用,臨時文件夾以及刪除在回收站的文件沒有被及時清除而被竊取,內部人員或有意或無意的遺忘,給別有用心的人員有機可乘的機會等,都可能使得關系到我們網絡安危的安全機制形同虛設。特別是對于一些已經安裝了防火墻的網絡系統,相對于企業內網用戶來講是一點作用也沒有。(3)缺乏網絡系統安全性的評估和有效的監管手段及硬件設備的正確使用防范黑客入侵的安全體系基礎是有一整套完整準確的安全評估方法。它能對現有及將來需要構建的網絡安全防火性能夠做出科學、準確地分析評估,并能夠保證將來實施的網絡在安全策略上的可實現性和可執行性。對網絡的安全評估分析就是對網絡整體的安全性進行檢查,查找其中可能存在的可被黑客或有心者所利用的漏洞。通過對網絡系統的安全狀況進行評估和分析,對發現的問題提供解決方案和建議,從而提高網絡系統的安全性和穩定性。因此網絡安全評估分析技術是一種比較行之有效的安全技術。(4)黑客的攻擊手段和技術方法也在不斷地得到更新,幾乎每天都有不同系統出現安全問題。然而我們賴以生存的安全檢測工具的更新速度卻太慢,大部分情況需要人為的主動出擊才能發現以前有些未知的安全問題,這些情況的存在使得它們對新出現的安全問題反應太慢。當安全工具剛發現存在安全問題,并視圖努力對某方面安全問題進行更新時,其他的安全問題又出現了,我們的安全防護工具,就像一個救火隊員,總是疲于奔命,成為安全問題的追隨者。
4確保網絡安全的有效防范
那么怎么樣才能保證我們的網絡有百分百的安全呢?對這個最簡單的問題,我們的回答是:不可能。因為到目前為止,還沒有一種技術和手段能夠完全消除網絡安全方面的漏洞。網絡的安全實際上是我們實現理想中的安全防范和實際執行之間的一個平衡。而從廣泛意義上的網絡安全范圍來看,網絡的安全不僅僅只是技術問題,它更是一個管理問題,包含著各行各業的方方面面。因此我們可以從提高人員素質和提高網絡安全技術入手,就目前來看:(1)依據網絡安全各項技術要求,建立健全網絡操作的安全制度,加強安全教育和安全培訓。(2)加強對網絡病毒的防范。病毒的傳播是通過網絡得以實現的,在單機上運行的殺毒產品已經很難徹底清除網絡病毒,需要有能夠對于局域網絡的防殺毒軟件。而像企事業單位、政府學校等單位的網絡,不但有局域網,同時也有廣域網,這就更需要一個能夠基于服務器操作系統平臺的防病毒軟件網關以及能夠針對各種桌面操作系統的防病毒軟件,來加強處于網絡中的計算機的安全。通過采用較好的防病毒產品,能夠針對網絡中有可能的病毒點進行防護,并通過防病毒軟件產品進行多角度、全方位的立體監控,從而構建整個網絡的防護體系。(3)正確配置防火墻。防火墻是我們企業安全監管中的一道非常關鍵壁壘,在防護中通過正確的配置,充分利用防火墻執行既定的訪問控制策略,通過策略來允許訪問的人或者數據命令進入自己的網絡,并將不符合規則的用戶和數據拒之門外,最大限度的保障了內部網絡的安全。(4)選用正確的入侵檢測系統。網絡入侵是目前黑客進入網絡內部獲取資料信息與網絡破壞最為常用的一種方式。而如何做好應對入侵或及早發現入侵,是我們安全防護中的重要一環。通過部署入侵檢測系統和防護墻及防病毒產品,構建一套完整的主動防護體系,以保證企業信息財產的安全。(5)web應用、互聯網接入和系統漏洞等,都可以通過部署web防護墻、Eamil郵件監測、FTP資料審核等,以及漏洞掃描系統,都可以通過部署相應的防護設備或軟件進行主動防御。并根據不同的設備或軟件系統的報告和日志,進行相應的修補工作,通過及時的修補完善各類漏洞和補丁的分發,將各種漏洞進行完善和消除,為建設更加安全的網絡環境提供成熟的方案。(6)計算機IP盜用的問題。計算機的IP是我們企業網絡中對設備身份的一種認定,每個IP地址可以和計算機的網卡MAC地址進行綁定。當某IP通過中心交換機訪問某個地址或者Internet時,中心交換機就會檢查發出請求的IP地址和它所綁定的MAC地址是否相符,如果不相符則拒絕其通過并發出IP廣播告警。
5結束語
網絡安全與網絡的發展息息相關。網絡安全是一個系統的工程,不是一朝一夕就能一蹴而就的。對待網絡安全問題,不能僅僅靠防火墻、防病毒網關、漏洞監測等設備來進行,還需要用戶有安全的防護意識與安全使用習慣,安全防護產品只是載體,關鍵還是在我們使用的人,建立一個好的、安全的網絡體系,既要重視網絡安全的設備和產品,同時也應該樹立日常計算機網絡安全意識和好的使用習慣,將安全危害問題降低到最小,才能逐步形成高效、穩定、安全的網絡系統。
參考文獻:
[1]Stallings.W.網絡安全基礎應用與標準.
[2]WilliamStallings.原理與實踐(原書第3版).機械工業出版社,2016.
關鍵詞:計算機網絡安全;管理體系;網絡犯罪
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)29-6517-02
計算機網絡的發展是建立在社會經濟快速發展的基礎上,同時計算機網絡也在各方面促進著經濟的發展。計算機網絡已經在無形中滲透入人們的日常生活中,服務于政府行政管理、市場分析調查、交通管理、城市建設、個人金融業務等社會的方方面面。但是由于計算機網絡自身的技術漏洞和人為管理不善使得計算機網絡存在著潛在的威脅。尤其是近幾年,網絡犯罪率不斷增加,黑客攻擊、盜取信用卡密碼、計算機病毒等都影響著社會經濟發展和人們日常生活,這就要求我們根據計算機網絡中現存的問題,有針對性的構建起完善的計算機網絡安全的管理體系,減少網絡犯罪的發生,提高計算機網絡的安全性。
1 現今計算機網絡安全存在的威脅
由于人們對計算機網絡安全的防護意識較淺,加之計算機網絡的編程語言及程序系統的復雜性,使得大部分計算機網絡的使用者忽視了計算機網絡的安全防護工作,在構建計算機網絡安全管理體系之前,因先了解計算機網絡安全存在的威脅,在了解的基礎上有針對性的提出有效的防護管理方法。
1.1 計算機病毒
計算機病毒主要是指利用網絡漏洞人為的傳播不良程序,通過用戶點擊、下載等方式侵入計算機,這些程序可能會破壞計算機里的軟件或硬件設施,很有可能導致用戶的資料被刪除或者被盜取。近幾年來,隨著計算機病毒的傳播手段的增多和侵入計算機程度的加深,利用計算機病毒盜取個人或企業資料進行非法交易和違法犯罪活動也隨之增多,給企業和個人利益造成損失。目前,人們對計算機網絡安全防護的認知還停留在基礎階段,主要是利用防火墻或者殺毒軟件進行簡單的安全防護,但是網絡病毒只是計算機網絡安全威脅中的一小部分,計算機網絡本身也存在這許多技術弱點,其危險性也不只局限于網絡當中。
1.2 黑客攻擊
黑客攻擊指的是一些精通各種編程語言和各類操作系統的人員通過個人或者群體方式惡意侵入政府行政網絡、企業管理網絡、個人計算機等破壞正常的網絡運作、盜取企業機密等。黑客主要針對計算機網絡中的漏洞進行攻擊,而且黑客的攻擊手段隱蔽,很難在事先察覺,在專門破壞網絡連接之后,制造大量網絡垃圾最終導致網絡癱瘓,造成巨大的損失。為了避免黑客攻擊,必須要先做好計算機網絡安全的防護工作,建立起強大的防護墻,防止黑客入侵計算機網絡損壞網絡安全。
1.3 釣魚網站
隨著電子商務和購物網站的出現,一種新型的網絡詐騙手段即“釣魚網站”也隨著出現,它指的是將一些非法網站偽裝成銀行及電子商務等網站,或者利用其他網站服務器程序上的漏洞在網頁上插入釣魚網站的連接或代碼,截取用戶輸入的信息、監視用戶操作等以此來是盜取用戶的銀行帳號、密碼等私人信息,不法分子則利用這些信息獲取利益,或者偽造身份進行違法犯罪活動。最為常見的方式是利用電子郵件,誘騙用戶點擊連接進入偽造的網站當中,誘導用戶輸入相關信息從而實施詐騙。這種手段不僅不易被用戶識破,警方也很難查找到幕后的網站操縱者,嚴重危害網絡安全。
2 構建計算機網絡安全的管理體系
計算機網絡安全問題主要是人為惡意破壞,如黑客攻擊、病毒傳播、釣魚網站之類的外部因素所導致的計算機硬件系統損壞或網絡犯罪活動,因此為了提升計算機網絡安全水平,必須從這幾方面入手構建計算機網絡安全的管理體系。
2.1 加強計算機網絡安全防范意識,建立起強大的防護網
計算機網絡之所以受到外部威脅,其主要原因是計算機本身硬件設備及軟件程序在技術層面存在諸多弱點,如硬件設備的運行緩慢,導致防火墻難以識別頑固木馬程序;軟件中的惡意插件,如不及時更新軟件很有可能導致系統癱瘓。但是由于我國的計算機網絡普及較晚,用戶對計算機網絡的使用也停留在簡易的操作階段,對計算機網絡安全防護意識較弱。因此,要維護計算機網絡安全,首先應加強公眾的防范意識,建立起強大的防護網,減少外部因素對計算機網絡的威脅。有關電信部門、網絡管理部門應及時更新終端服務器的防護軟件,定時檢查系統軟件存在的漏洞,安裝有效的補丁防護計算機網絡安全;相關部門應加強計算機網絡安全的宣傳力度,如地區或政府網絡安全管理中心、金融管理等部門應根據企業和個人計算機網絡的使用范圍加強相應的計算機網絡安全管理知識的普及,避免企業和個人私密信息被盜取的情況出現;計算機網絡用戶也應在平時的計算機網絡使用過程中加強網絡安全防護意識,及時對計算機硬件設備和軟件程序進行更換和更新,防止病毒和木馬生成。
2.2 擴充網絡管理人員,加大計算機網絡監管力度
計算機網絡有著開放性、自由性等特點,用戶在使用過程中不受地區、時間的限制,可以隨時隨地在網絡信息,而且計算機網絡的覆蓋面廣,內容豐富,網絡管理中心難以對龐大的計算機網絡信息實行系統分析管理,這更增加了網絡安全管理的難度。近幾年來,由于網絡傳播的虛假信息和人為炒作事件的不斷增多,對整個社會經濟發展和人們的日常生活都造成了影響。因此,網絡安全管理中心應擴充網絡管理人員,提高管理人員的安全防范意識,加大對計算機網絡用戶公開的信息及計算機網絡操作的監管力度,及時清除網絡中的不良信息,建立起有序的、干凈的計算機網絡。在擴充網絡管理人員的同時,應大力加強網絡安全管理技術軟件的開發,利用先進的管理軟件,使得管理人員更加及時有效的監督管理計算機網絡安全。
2.3 國家加強立法,規范計算機網絡的使用
我國的計算機網絡起步較晚,缺少相關法律法規的約束,某些不法分子則利用法律空隙,肆意攻擊政府行政機關、企業高層管理中心等網絡系統,盜取企業和個人私密資料。在經濟快速發展的背景下,利用網絡進行經濟犯罪的事件逐年遞增,這不僅嚴重損害了社會經濟發展,也不利于進一步提高計算機網絡服務能力,擴大計算機網絡服務范圍。因此,國家應加強計算機網絡安全的立法,利用法律規范計算機網絡的使用,及時控制和審查違法的網絡行為,確保計算機網絡安全。特別是對利用網絡惡意傳播虛假信息和進行詐騙、盜取信息等經濟犯罪,造成嚴重社會影響的組織和人員,要加大打擊力度,以此穩定社會正常秩序,促進經濟快速發展。
在科學技術的快速發展的今天,計算機網絡安全關系到國家信息安全和社會經濟的正常穩定發展,然而計算機網絡安全的形勢也在不斷變化當中,這就要求我們順應時代的變化,不斷進行科技研究,改進計算機網絡安全管理技術;加強整個社會對于計算機網絡安全的防范意識;擴充網絡管理人員,提高管理人員的基礎素質,加大監管力度;完善立法程序,加大網絡違法犯罪的打擊力度,建立起完善的計算機網絡安全管理體系,使得計算機網絡更好的為經濟建設和社會和諧發展服務。
參考文獻:
[1] 劉冬梅.淺析計算機網絡安全與防范策略[J].黑龍江科技信息,2010(19).
[2] 胡世鑄.淺談計算機網絡安全及防火墻技術[J].電腦知識與技術, 2012(8).
[3] 千一男.關于計算機網絡安全風險的分析與防范對策的研究[J]. 電腦知識與技術, 2011(29).
