時間:2023-06-06 09:00:47
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全現狀,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
由于信息技術高速發展,越來越多的人開始重視互聯網的安全問題,互聯網中包含了大量的用戶信息,會導致出現網絡安全問題,這也對人們使用互聯網造成了一定的影響。只有認真分析當前網絡安全的現狀,找到問題的關鍵,并根據出現的問題找到本質,才能更加有針對性地解決網絡安全問題,讓廣大用戶更加安心的使用互聯網。
一、網絡安全的發展現狀分析
1.安全工具的應用缺少相應規定。互聯網由于使用范圍廣的原因會涉及到生活和工作的方方面面,這就會產生很多種類的安全工具,但是沒有統一專業的管理,這就讓網絡安全系統中會存在用戶濫用的情況。由于種類繁多,系統的安全軟件缺乏必要的安全技術作為支撐,會讓黑客對這種情況加以利用,破壞網絡的安全管理工作[1]。網絡安全工具一旦被黑客利用,就會對網絡進行攻擊,產生巨大的安全隱患。
2.固有的安全漏洞變得日益明顯。互聯網的安全系統往往都會存在不同程度的漏洞,這些漏洞中難免會存在設計人員故意操作,為的是以后一旦發生意外,可以更加順利地進入系統。但是就因為這個漏洞,一些非法的人員,就會充分利用這個黑洞,對系統進行破壞和攻擊。更有甚者,破壞者會根據這些漏洞,發現一些鏈接,不但能夠增加網絡系統的負荷,在用戶再次使用的時候出現“請求超時”的字樣,還會通過一些渠道傳播這些鏈接,嚴重損壞網絡的正常使用。
3.網絡設備本身存在的安全問題。網絡設備自身也會存在一定的安全問題,這些安全問題一旦被有某些意圖的人發現并加以利用,就會嚴重影響到網絡的安全。例如,眾所周知,互聯網分為有線和無線網絡,有線網絡相對比無線網絡更加容易出現問題,這是因為,黑客可以利用監聽線路,以此對信息進行收集,這樣就可以得到大量的信息[2]。與此同時,通過有線的連接,一旦其中的某一個計算機受到的病毒的襲擊,那么會導致整個網絡系統變得癱瘓,整個網絡都無法再次使用,引發嚴重的網絡安全問題。
二、未來網絡安全技術發展的趨勢
1.網絡安全技術產業鏈要轉變成生態環境。網絡技術在最近幾年不斷發展,并開始進行了跨界合作,這讓網絡安全技術的概念發生了轉變。網絡安全技術已經不僅僅是技術產業鏈,而是在產業鏈中不斷有新的進入者,打破傳統的思維模式,尋找更加優秀的開發商和戰略合作伙伴。產業價值鏈在計算機產業和行業融合的大軍中,不斷成長,也發生了很大的轉變和分化、重新組合,導致價值鏈有著越來越復雜的結構[3]。由于參與者之間也存在競爭關系,現如今已經使用“生態網絡”來描繪網絡安全技術的產業鏈。生態環境的生存法則就是:任何環節都是有可能被替換,這將取決于他的整個影響力;此外,生態環境具有很快的發展速度,參與者需要具備較強的適應能力和觀察力。
2.網絡安全技術優化向智能化、自動化方向發展。網絡安全技術的優化過程是長期的,并能夠貫穿整個互聯網發展的過程。網絡優化的步驟是:對采集的數據進行分析,并進行跟蹤,對信息進行測試,分析等,通過對整個網絡安全技術進行分析,才能夠找到問題的本質,通過改善網絡的軟件和硬件的配置,能夠促使網絡的最佳運行模式,高效利用有限的資源。網絡優化不斷發展,并逐漸朝著智能化和自動化的方向發展和進步,出現了人工智能專家,這就打破了原有的思想,通過智能決策支持系統,可以更加有效地對機制進行運用,針對網絡中存在的問題,網絡優化人員能夠給出合理的解決方案。
3.向大容量網絡發展。互聯網技術的不斷發展,使得原有的數據業務無法滿足當今的使用需求,這就對路由器以及交換機的處理能力提出了更多的需求。未來每過10個月,互聯網就能夠增長一部的寬帶,以此來支持業務的發展需求。網絡技術就是朝向大容量網絡發展,也可以通過交換硬件,以此來轉發引擎,提供了使用的性能。通過使用大容量交換矩陣和網絡處理器,都讓網絡安全得到保證,解決了可能出現的安全問題,這已經得到了普遍的共識。總而言之,由于互聯網技術的出現,人們的生活和工作都有了極大的便利,但是互聯網能夠傳遞大量用戶的使用信息,網絡安全受到了廣泛的關注。只要不斷進行分析和研究,找到問題的本質,并加強技術的發展,提供更加安全和優質的網絡服務。
參考文獻
[1]張偉,龐永清.計算機網絡安全現狀及防治措施研究[J].計算機光盤軟件與應用.20xx(19)
【關鍵詞】計算機;網絡安全;現狀;對策
隨著計算機信息技術的發展和網絡的普及,保證計算機網絡安全已經成為計算機領域普遍關注和研究的課題。計算機網絡安全包括計算機網絡系統中的硬件、軟件以及系統中的信息數據能夠得到及時保護,從而在計算機網絡受到攻擊時可以充分保證內部信息不受侵害,防止由于外界干擾導致的內部信息被篡改或者泄密狀況的發生。當前,計算機網絡安全直接關系到計算機應用的效果,因此,針對當前計算機網絡安全現狀進行分析并提出相關解決對策是至關重要的。
1.計算機網絡安全現狀
1.1 計算機網絡基礎設施條件較差
當前,計算機網絡面臨著各種各樣的安全問題,對計算機安全運行構成了巨大的威脅。我國作為計算機發展水平有待提高的國家,網絡安全問題更為嚴重,在預防、反應和恢復等方面存在著很多不足之處,這種基礎設施條件的缺陷就導致計算機網絡安全問題。除此之外,計算機設備的老化以及電磁輻射干擾都因素都會導致計算機網絡安全受到不同程度的威脅,導致計算機信息存儲的障礙,難以充分保證計算機的安全運行。
1.2 缺乏自主的核心軟硬件技術
當前,我國在計算機軟硬件方面還處于發展狀態,大部分軟硬件關鍵部件都是源自國外進口,其中,一些核心的設備以及操作系統都不是自主開發的,因此,缺乏核心技術的應用就很難保證計算機網絡的安全性和不可摧毀性,這就必然導致計算機網絡方面的漏洞,因此,計算機網絡就更易受到入侵,阻礙了計算機系統的正常使用,導致了信息的泄露以及篡改。
1.3 計算機網絡安全意識相對淡薄
近年來,計算機網絡安全問題層出不窮,網絡安全問題在廣播電視的曝光率也越來越高,但是,計算機網絡安全問題受到的重視程度仍然不夠,人們對計算機網絡安全的意識相對淡薄,并且缺乏計算機網絡安全的認識,在網絡安全層面還存在著許多誤區。一些計算機用戶應用計算機網絡工作和娛樂,自認為離網絡安全問題遠之又遠,因此,從自身意識上對網絡安全重視程度不夠,在網絡安全方面過多依賴于殺毒軟件,對安全方面認識還停留在較為粗淺的階段。因此,目前我國計算機網絡安全防范水平不高,這要部分歸因于計算機網絡使用群體的安全意識淡薄的趨勢。
1.4 計算機網絡安全防護措施不夠
計算機網絡是一個動態性的系統,在網絡的使用過程中既可以給人們帶來便利也蘊藏著巨大的安全威脅。因此,在計算機網絡的使用過程中,一些用戶對計算機網絡安全認識不夠透徹,計算機網絡安全防護措施不到位,在這種安全隱患存在的情況下,一些用戶進行相關網絡操作就極易造成計算機安全問題,使計算機操作系統以及軟硬件的漏洞被暴露出來,從而給用戶的使用帶來了嚴重的威脅。計算機網絡要想安全運行,就要充分保證防護措施的建立效果,從而使計算機在安全的環境下運行。
2.計算機網絡安全防范對策
2.1 提高計算機網絡安全意識
當前,計算機應用越來越廣泛,在各個領域計算機都發揮著至關重要的作用。因此,計算機網絡安全防護就要充分保證計算機的安全運行,從而使計算機信息得以保護。所以,就要提高計算機網絡安全管理意識,要使用戶切實認識到計算機網絡安全對計算機運行的重要作用,要對用戶灌輸網絡安全威脅的嚴重后果,使用戶從自身自主提高網絡安全意識,并自主進行安全防護機制的建立,只有這樣,才能使計算機網絡得以充分保護,保證計算機的安全順利運作。
2.2 建立網絡安全機制
在計算機網絡安全的完善過程中,要逐步建立網絡安全機制,從而切實保證計算機的安全,防止安全漏洞的發生。首先,就要建立身份認證機制,其中包括訪問控制安全機制,在用戶使用計算機系統或者訪問資源數據時,要驗證用戶的身份,從而保證訪問者的真實合法性,對不能完成認證的用戶堅決禁止其訪問各種網絡資源。其次,要建立訪問控制機制,要設置不同的訪問權限,主要建立自主訪問和強制訪問控制兩種。自主訪問控制是依據主體的設定來限制客體的訪問,也就是資源的擁有者可以設定允許訪問的資源需求者。強制訪問控制要對不同的主客體進行安全級別的設置,從而通過安全級別來決定是否擁有訪問權限。計算機網絡安全機制的建立可以對資源的訪問者進行設定,從而使允許訪問的用戶可以訪問資源,不允許訪問的用戶則被列在權限之外,由此可以充分提高計算機網絡的安全系數,優化計算機網絡的安全運行環境。
2.3 優化系統訪問控制
在計算機網絡安全措施建立的過程中,要不斷進行系統訪問控制的優化,為計算機網絡建立防護平臺。首先,可以建立入網訪問控制,保證計算機網絡的訪問只限定在有權限的用戶,還可以細化到入網的時間和地點,從而為網絡安全提供第一層保護。除此之外,建立網絡服務器安全控制措施,設定網絡管理人員對系統目錄的訪問,從而排除其他人員的訪問和使用,對服務器進行相關設定,使服務器設定為軟件必須從系統目錄進行安裝,從而提高軟件的安全性。再次,要對計算機防火墻功能進行優化和改善,要建立雙層機制,外層防火墻用于過濾,內層防火墻用于阻隔,并且在內外部之間建立特殊的單獨區域,從而使內部防火墻充分發揮作用。最后,對計算機網絡數據資料進行加密處理,從而對一些重要的信息進行保護,從而阻隔非法用戶對關鍵信息的侵入和獲取,最大限度的保證計算機網絡資源的安全性,保證計算機的正常運作和安全運行。
參考文獻
[1]姜川.試論計算機網絡安全與防范[J].數字技術與應用,2013(1)
關鍵詞:醫院;信息系統;網絡安全
隨著信息技術的飛速發展,計算機網絡多媒體技術已被廣泛應用到各個領域,醫院信息系統網絡也取得了長足的發展。隨著人們對就醫服務質量的要求不斷提高,對醫療系統網絡運行提出了更高的要求,醫院每天產生大量的看病、住院、交費等信息數據,需要網絡系統24小時不間斷運行。當前醫院網絡系統不斷完善,但是信息安全方面的建設相對遲緩,僅限于一些簡單的防病毒軟件或產品,醫院網絡面臨諸多安全隱患。本文分析了醫院信息系統網絡潛在風險,并有針對性地提出了加強醫院信息系統網絡安全管理的有效策略,以期提升醫院的信息化管理水平。
1醫院信息化現狀
醫療衛生體制改革和社會醫療保險制度改革的不斷深入,加速了醫院的信息化系統建設,信息化管理已成為醫院現代管理的一種重要方式。當前醫院網絡系統主要有信息管理系統、日常辦公網絡系統、外聯網絡三種方式。醫院信息管理系統承擔著醫院各部門病患信息收集、存儲、處理提取、數據交換等業務職能,主要是為了實現用戶日常醫療信息交換和與醫保等其他機構之間的數據交換,使醫院內部的信息資源得到高效利用,業務流程得到最大程度的精簡和優化,促進了醫院的工作效率和服務質量的明顯提升;日常辦公的網絡主要是通過訪問Internet信息資源及醫院門戶網站,從而更好提供遠程專家會診、網上預約掛號等快捷服務。對醫院網絡系統來說,大多數醫院由于受到業務水平及資金條件制約,使用的是托管服務器,有些大型醫院建設了專有的Web服務器;外聯網絡的使用,通過醫保管理部門的服務器,更快捷地實現了醫保、新農合等業務的網上終端操作,信息化共享為醫院的信息化建設和專業化發展提供了極大的便利。
2醫院網絡安全概述
網絡安全涵蓋多學科多技術,綜合性較強,主要包括信息安全技術、通信技術、數論和信息論等多方面內容。通常網絡安全指的是“為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露”。簡單說,網絡安全指的是在網絡使用過程中,通過采取有效的技術手段來保護信息和數據資源,以防網絡系統的軟硬件遭到非法攻擊和侵害,使網絡系統能夠安全高效和穩定運行。可以說,網絡安全通常說的是廣義上的安全,所有的信息資源在傳輸過程中要受到保護,確保信息的完整性和安全性。同時還要防止非法用戶訪問、攻擊和操作網絡系統。只有杜絕了用戶的違法操作和信息泄露,網絡安全才能得到基本的保障。當前,隨著醫院應用服務器的專業化、一體化發展,醫院網絡化已成為了大勢所趨,為了更加高效地利用現有的醫療信息資源,醫院的收費服務器、Web服務器、PACS服務器等都儲存了大量的信息數據資源,必須要具備較高的保密性和安全性。但是仍有一些網絡安全隱患不容忽視,比如來自外部網絡諸如病毒、木馬、黑客程序的攻擊和破壞、數據的丟失、軟件存在的安全缺陷、漏洞等,一旦網絡出現安全隱患,往往會導致系統癱瘓,造成巨大損失。具體針對醫院網絡安全的特點,可以從外網和內網兩個方面分別進行有針對性的防范。
3外網安全措施
醫院每天都會產生大量的檢查、住院、出院、病歷、醫療保險報銷等數據,每天要完成大量的用戶日常醫療信息交換和與醫保等其他機構之間的數據交換,這一切都依賴于醫院網絡系統,因此,保障網絡安全至關重要。首先保證服務器不能受到外網的攻擊和破壞。一般可以采取配備防火墻、防病毒墻等網絡安全設備的方式,有效保障內網和外網之間的信息溝通和互聯的安全。對于保密性有特殊性要求的醫院,通常要與外網實行物理隔斷。通常情況下,防火墻的設置不能僅僅限于外網,一些來自醫院網絡內部的攻擊也經常出現,所以在外網出口和內網出口都要設置防火墻,使數據可以在內網與外網傳遞間通過核心路由器的嚴格審查,杜絕了兩個獨立的防火墻間出現非法邏輯連接、信息傳輸命令和信息傳輸協議,并使用病毒防護軟件,實現了有效隔離,使醫院的數據主服務器、Web服務器及PACS服務器等中的重要數據得到安全有效保護,避免受到外網黑客的攻擊。
4內網存在隱患及安全措施
(1)采取雙防火墻設置技術可以有效防止來自外網的攻擊,但醫院仍然存在私自使用撥號、寬帶上網的現象,導致內網與外網沒有防火墻的檢測審查,外網黑客或系統病毒能夠攻擊醫院內網計算機,非法獲取網絡系統數據庫中的重要數據和信息,使信息泄露。有的非法用戶會利用已入侵的計算機去攻克和破壞醫院網絡的服務器,致使內網處于癱瘓狀態。(2)在醫院內網計算機上使用盜版軟件,或者從可以網站上下載不明軟件,往往會引入一些木馬或病毒,再加上工作人員的信息安全保密意識不強,計算機不安裝正版殺毒軟件或殺毒軟件不及時更新,使醫院網絡系統的安全級別大大降低。從一些不可信的網站下載軟件,這樣會引入潛在木馬、蠕蟲病毒等,大大降低醫院網絡的安全級別。所以為了更好保證系統安全,一般不要使用Guest賬號,在Everyone組不要增加任何權限。對于新增用戶要分配口令,客戶首次登錄要更改口令。可以利用端口掃描工具定期掃描服務器和客戶,禁止Telnet服務自啟,有效減少安全漏洞。要嚴格限制用戶信息及其口令等關鍵數據的使用權限,強化登錄身份驗證的密碼,最大化縮小登錄者范圍。(3)安全防范措施。一是進一步加強醫院內部網絡安全管理,明確專人加強安全用機的監督檢查,杜絕出現醫務人員非法互聯外網、私自安裝軟件、拔插存儲介質的現象。二是嚴格按照相關安全規范和保密制度操作醫院重要信息數據,制定科學嚴密的安全防范策略,嚴格設定開機口令和強口令機制,安裝個人防火墻、禁絕Ping指令對局域網的掃描等切實有效的安全措施。安裝防病毒軟件,實行用戶權限管理,多措并舉、多管齊下,促進整個安全防御系統的不斷完善,確保醫院網絡系統的安全和暢通。
5結語
當前隨著信息化的不斷發展,醫院信息系統網絡存在著諸多安全風險與隱患,進一步加強醫院信息系統網絡安全管理,從內網和外網雙重防護著手,創新方式方法,引進先進的防范技術和設備,配齊配好防火墻和相關網絡安全產品,對醫院網絡系統實行全方位、無死角、全覆蓋的防護監控,杜絕醫院信息系統網絡風險發生,保證醫院信息系統網絡運行的安全可靠和順暢高效。
參考文獻
[1]馬連志.關于對醫院網絡安全現狀及防范策略的分析[J].電子技術與軟件工程,2015(20):225.
[2]楊國勇.分析醫院網絡安全的技術實現與改進[J].計算機光盤軟件與應用,2013(3):162,164.
[3]文志剛.醫院網絡安全現狀解析及防控措施探討[J].計算機光盤軟件與應用,2012(2):88,92.
[4]劉忠誠.醫院信息網絡安全分析與解決措施的探討[J].中外醫療,2010(25):131-132.
關鍵詞:網絡安全;信息化;木馬病毒;解決對策
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-01
Status and Countermeasures Study of Network Security Issues
Cheng Bo
(North Sichuan Medical College,Nanchong637000,China)
Abstract:As computer technology continues to evolve,it ushered in a networked,digital,information age.The rapid development of computer network technology has brought the community a huge boost,but people enjoy the convenience brought by computers,but also by a variety of network security problems.Understand the meaning of network security and the specific contents,analyze the current situation of the specific network security issues,the focus of computer network technology,security measures,this article's main focus.
Keywords:Network security;Informatization;Trojan;Solutions
一、網絡安全概述
(一)網絡安全的含義。網絡安全不同的使用者對于網絡安全的認識和要求是不同的,因此,網絡安全的含義并沒有統一的界定,也不是一成不變的。例如,計算機的一般使用者主要是希望計算機網絡能夠保證個人隱私受到保護,不會被竊聽、偽造和篡改;但是對于網絡提供商來說,出了個人隱私的安全以外,還會考慮如何應付軟件或網絡硬件遭到破壞,如何在網絡出現異常時盡快恢復網絡通信,保持網絡通信的暢通。我們通常所說的網絡安全問題除了上述所講的純技術問題,還包括網絡管理的問題,兩者是相輔相成、缺一不可的。
(二)網絡安全的內容。網絡安全主要包括三個方面的內容:一是保密性。計算機網絡安全問題最重要的內容就是為用戶提供安全、真實、可靠的保密通信。這是計算機網絡安全為用戶提供的最為基礎的保證,如果連保密性都做不到,毫無疑問計算機網絡安全也是無法保證的。二是安全協議。目前的安全協議主要是設計安全的通信協議,安全通信協議具體設計起來時很復雜的,現階段一般采用形式化方法、找漏洞的分析方法和經驗分析協議的方法來保證通信的安全。三是接入控制。主要是對接入網絡的權限以及相關限制進行控制。由于網絡技術非常龐大、復雜,因此接入控制中需要用到加密技術。
二、網絡安全問題的現狀
現在是網絡時代,信息社會,信息的傳播速度十分驚人,但是網絡是一把雙刃劍,人們在享受網絡帶來的便利時,網絡的開放性決定了人們同樣也會面臨很多安全問題,人們也在遭受由于隱私泄露而帶來的煩惱,騷擾電話、詐騙短信讓人不勝其煩。據統計,近90%的受訪者曾受到過隱私泄露而帶來的困擾。
造成這些問題的原因有很多,一般歸結為四種:第一,用戶的信息安全意識不高,沒有很好的保護自身的隱私;第二,信息技術產品自身的缺陷;第三,信息系統和信息產品的防護能力不強,給黑客帶來了可乘之機。第四,信息技術產品的開發者有益設置相關技術接口以竊聽用戶隱私。隨著網絡時代的到來,要想實現信息化就需要將更多的數據上傳到服務器終端,必然會加大隱私外漏的可能。不得不說的是木馬程序也是網絡安全問題的癥結所在,無疑是網民使用過程中遇到的最大威脅。木馬程序會遠程控制用戶所使用的電腦,甚至可以利用攝像頭竊取使用者的隱私。工信部電信研究院的網絡與信息安全中心的數據顯示威脅國內網絡安全的主要因素是掛馬網站,它的網頁數量在一個季度內接近2億個,約8億人次遭受木馬的攻擊。
據統計,我國的木馬產業鏈一年內可達上百億元的收益。由此引發的以獲利為主要目的木馬病毒開始泛濫,并且逐漸形成了產業鏈。制造木馬、傳播木馬,到竊聽用戶隱私,再到后方的銷贓洗錢,已然形成了非常完善的工作程序。
三、網絡安全問題的解決措施
(一)防范網絡病毒。病毒在網絡環境下的傳播速度很快,僅靠單機防毒產品已很難徹底清除網絡的病毒,只有適合于局域網的全方位防病毒產品才能對網絡病毒形成有效的威脅。相對于校園網絡來說,因其是內部局域網,所以需要一個能夠基于服務器操作系統平臺的全面的防病毒軟件以及針對各種桌面操作系統的防病毒軟件。如果使用電子郵件交換信息,則需要一套基于電子郵件服務器的網絡防病毒軟件來加強網絡安全,這種防病毒軟件能夠識別出隱藏在電子郵件中的病毒。因此,加強網絡安全最好選用全方位的防病毒產品,配置全方位的病毒防御系統,根據所有可能的病毒點設置對應的防毒軟件,設置防毒軟件定期或不定期的自動升級,防止病毒的侵犯,保護網絡環境的安全。
(二)網絡防火墻。防火墻技術是指通過對網路權限的控制,迫使所有連接都經過檢查,防止網絡受到外界因素的干擾和破壞。由此可見,防火墻是保護網絡安全的一種重要手段。邏輯上講,防火墻是一個限制器,也是一個分離器,還是一個分析器,它有效地對內部網絡和因特網之間的任何活動進行監視,保護了網絡的安全。防火墻既可以獨立存在,也可以在路由器上實現。一般常用的防火墻技術包括狀態檢測技術、包過濾技術、應用網關技術等。
(三)入侵檢測技術。為保護計算機系統安全而設置的入侵檢測技術能夠及時發現病毒,并向系統報告未授權現象的一種技術,入侵檢測系統也能檢測出違反安全策略的行為。利用審計記錄,入侵檢測系統可以智能地識別出違規活動,并其加以限制,從而保護網絡系統的安全。在采用入侵檢測系統時應結合混合入侵檢測技術,這樣可以形成完整的、立體的防御體系。
(四)漏洞掃描系統。毋庸置疑,要想解決網絡安全問題必須要了解網絡中存在的隱患和弱點。大型網絡的環境十分復雜并不斷變化,單靠網絡管理員的經驗和技術是很難找到安全漏洞的,更何況進行風險評估,這顯然是不現實的。那么,要想清除的、正確的了解網絡中存在的隱患和弱點,需要尋找一種能夠查找安全漏洞、進行風險評估并提出修改建議的漏洞掃描工具,最大可能地利用優化配置和打補丁的方式彌補安全漏洞并消除安全隱患。條件允許的情況下,可以利用黑客工具對網絡系統進行模擬攻擊以檢測網絡的安全系數。
參考文獻:
[1]趙真.淺析計算機網絡的安全問題及防護策略[J].上海工程技術大學教育研究,2010,2
關鍵詞: 高校校園網絡安全 需求分析 安全策略
一、校園網絡安全面臨嚴峻挑戰
隨著教育部“計算機基礎”課程的進一步普及,越來越多的學校具備網絡環境,隨著計算機輔助教學軟件的日益增多和教學資源庫的日益完善,學生在掌握了基本的計算機和網絡知識的基礎上,逐漸將之應用于其他學科的學習,充分發揮這一先進工具的作用。
然而還有一些現象不容樂觀。通過對已建校園網的中小學校的調查發現,校園網絡的安全問題已經成為威脅信息技術教育進一步推進的首要問題,和互聯網經受的考驗一樣,病毒、攻擊和各種各樣的不健康信息以其越來越大的危害侵蝕學校這片凈土。這些網絡安全問題主要體現在以下幾個方面。
1.不健康信息。據對國內各省市中小學校的調查表明,不健康信息借助網絡這一方便的傳播工具正在逐漸侵害著孩子們的成長。
對此現象的蔓延目前大多學校沒有防患于未然的良策。據教育專家分析,學生的好奇心理、逆反心理加上網絡這一方便的傳播工具是產生這些現象的罪魁禍首,這一現象將隨教育信息化的進一步推進日益嚴重。
2.病毒。幾乎從計算機誕生之日起,病毒就成為威脅信息技術發展的負面因素,到今天為止,數以萬計的計算機病毒以其“光輝”的發展歷史同時被記入信息技術發展史。
在學校,幾乎每個網管教師都飽受病毒的困擾,學校的病毒可能來源于各個方面——互聯網、軟盤、光盤等,用傳統的辦法防不勝防,為了不占用學生和教師們正常的工作時間,網管教師幾乎要犧牲所有的業余時間和節假日,不遺余力地修復癱瘓的計算機和網絡,但這種修復往往是滯后的,網管教師仍舊要背負各種各樣的責備。
3.攻擊。相對于前兩種危害而言,學校受到網絡攻擊造成的危害算是比較小的,網絡攻擊更多體現在網絡技術比較發達的地區。
二、校園網絡安全問題的特點和需求分析
和企事業網絡相比,校園網絡的安全問題有其顯著的特點,這些特點主要體現在以下幾個方面:
1.企事業單位如金融、證券、國家機關對于數據安全的考慮總是放在第一位的,其次才考慮對于病毒和不健康信息的防范;學校是教書育人的環境,學生的世界觀尚未完全成型,很多學生還處于青春期,很容易受到不健康信息的誤導。學校總是把防范不健康信息作為校園網絡安全的第一道防線,其次才考慮病毒和攻擊。
2.企事業單位人手一機,人員的流動性不大,且每人的工作內容不同,對本機的保護性較強,管理也相對容易,各種安全漏洞一般很難從軟、光盤進入,只需從網關處防范即可;學校學生的流動性較大,機器易受各種各樣的感染。
3.對于昂貴的防火墻等設備,大部分學校承受不起,現在已經是理智的投資時代,很少有學校愿意投資僅僅是概念上的網絡安全建設。
4.企事業單位對于網絡安全的定義僅限于防范,學校擔負著教學育人的任務,所以對于網絡安全的定義還包括嚴格的管理,當學生沉湎于其中時進行合適的管理和引導,防患于未然。
從以上特點分析,學校對校園網絡安全產品的需求是分層次的,但主要應該體現在以下幾個方面。能夠全方位地杜絕不健康信息在校園網上的泛濫;具有較強的管理功能,使主管教師能及時發現、及時處理、防止擴散,在學生未受影響之前進行消除;具有較強的防病毒功能;具有防黑客攻擊功能;產品性價比優良,不應占據過多投資;產品的運行和維護簡單,運行費用低廉。
三、某大學校園網絡安全策略
該大學校園網絡采用兩級結構:主干網和子網。校園網的主干采用成熟的100M快速以太網,由網絡中心用光纖聯至各座大樓的分節點,再經分節點的交換機連接到大樓的各個用戶。這種配置結構既保證了主干網信息可靠、高速、無瓶頸地傳輸,又為用戶計算機接入提供了靈活、方便的手段。
1.校園網絡的IP路由信息和訪問范圍的控制管理。校園網絡主要采用TCP/IP網絡協議,網上的路由器間需要交換路由信息,IP路由信息交換有動態和靜態兩種方式。采用靜態路由協議,與上一級網絡中心相連,不采用RIP主要原因是為了防止網絡上不正確的路由信息對本校園網絡的影響。
為了控制用訪問一些網絡采用IP的限制,在路由器上加入這兩條指令:
ip access-group 100 out
access-list 100 permit ip 202.xx.xx.xx 0.0.0.xx any
access-list 100 permit ip any國內ip列表 ip反向mask
表示只有96網段上202.xx.xx.xx-202.xx.xx.xx的用戶才能訪問國外網站,這樣防止其他用戶訪問國外網站,造成國外流量劇增,從而增加經費開支。此外,有些校園網絡web服務器的內容,如校園網絡辦公信息系統只能讓校園網絡內用戶訪問,在Web服務器設置定義源IP訪問范圍;利用網絡的c類地址的超網掩碼技術實現這一功能。也就是校園內部用戶可以訪問校園網絡辦公信息的內容。
2.校園網絡設備防雷電的防范策略。由于雷電直擊,及其他電磁感應,未受保護的網絡負載設備將被瞬態過電壓破壞數據傳輸、耗損元件、或者毀壞芯片,造成不穩定的性能、硬件故障等問題。
建筑物的防雷主要通過安裝避雷針來實現,它可以有效地防止雷擊損害建筑物并大大降低雷直接擊中網絡傳輸線和網絡設備及電源線的可能性,在一定程度上起到網絡防雷的作用。
電源防雷的主要作用是防止雷擊過電壓從電源供入端進入設備,保障設備及數據傳輸暢通無阻。普通插座的接地端要接地,地線不但直接影響電源防雷器的效能而且還影響到信號防雷器的效能。盡管在電源和通信線路等外接引入線路上安裝了防雷保護裝置,由于雷擊發生時網絡線(如雙絞線)感應到的過電壓,會影響網絡的正常運行甚至徹底破壞網絡系統。由外來線路進入的DDN或ISDN一定要在重要線路的網絡接口上做相應的保護,如防火墻內外網接口,安裝RJ45防雷器等,一旦有雷擊就可以避免雷擊造成網絡設備的嚴重損失。
4.校園網絡安全策略。在計算機網絡日益擴展和普及的今天,計算機安全要求更高,涉及面更廣。不但要求防治病毒,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取。
在防治網絡病毒方面,接受不明電子郵件,下載軟件如:.zip.exe等文件過程中應特別加以注意。它們都有潛伏病毒的可能性。
對于系統本身安全性,主要考慮服務器自身的穩定性,增強自身的抵抗能力,杜絕一切可能讓黑客入侵的渠道,避免造成對系統的威脅。對重要系統,必須加上防火墻和數據加密技術加以保護。
計算機系統安全是個很大的范疇,操作系統、應用軟件、硬件本身都有可能出現一些情況,平時應重視,加以防范。
在網絡操作系統安全預防措施。
1)盡量使ftp,mail等服務器與之分開,去掉ftp,sendmail,tftp,NIS,NFS,finger,netstat等一些無關的應用。
2)定期查看服務器中的日志logs文件,分析一切可疑事件。在errorlog中出現rm,login,/bin/perl,/bin/sh等之類記錄時,服務器可能會受到一些非法用戶的入侵嘗試。
3)網絡管理員要及時安裝網絡OS補丁程序。如windows2000有iis的漏洞,需要安裝補丁程序sp1、sp2。
5.利用防火墻增強網絡的安全性和可管理性。當一個網絡接上Internet之后,除了考慮計算機病毒、系統的穩定之外,更主要的是要防止非法用戶的入侵。而目前防止的措施主要靠防火墻完成。防火墻(firewall)是指一個由軟件或和硬件設備組合而成,處于網絡群體計算機與外界通道(Internet)之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。在構建安全網絡環境的過程中,防火墻是一個系統,主要用來執行兩個網絡之間的訪問控制策略,通常應用防火墻的目的有以下幾方面:限制他人進入內部網絡;過濾掉不安全的服務和非法用戶;防止入侵者接近網絡系統;限定用戶訪問特殊站點;為監視局域網安全提供方便。
防火墻總體安全框架為:物理地址IP地址身份認證應用層過濾,分別采用IP/MAC綁定,狀態包過濾技術,身份認證,內容過濾等安全策略。通過這樣的數據流程對內部網絡進行全面的保護。
IP/MAC綁定技術方便了網絡的IP地址管理,杜絕了內部網IP地址盜用,狀態包過濾技術依據連接狀態信息進行更加全面地過濾;而且在對包的網絡層信息進行過濾的同時,更強調對應用層信息的過濾,因此大大提高了網絡系統的安全性。在應用層實現內容過濾,主要是網頁內容過濾,SMTP電子郵件標題過濾阻止病毒郵件,防止外部網絡不安全或管理員不希望通過的信息流入內部網絡和限制內部網絡的重要信息流到外部網絡。
防火墻貫穿內部網絡的整個防御過程:防火墻能夠檢測到通過防火墻的各種入侵、攻擊和異常事件,并以相應的方式通知相關人員,安全員依據這些警報信息及時修改相應的安全策略,重新制定訪問控制規則;由安全員分析審計信息,修正策略,制定新的過濾規則。防火墻和相應的操作系統應該用補丁程序進行升級且必須定期進行,以對付黑客新增的入侵攻擊手段。
[關鍵詞]網絡;安全技術;安全威脅;發展趨勢
doi:10.3969/j.issn.1673 - 0194.2015.12.035
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2015)12-00-01
當前的信息網絡越發龐大,涵蓋的用戶和節點也日趨擴大,在這個流通量極大的節點上,只要一個小小的位置出現安全威脅,就會產生非常危險的結果。因而隨著網絡的包容性和開放性的不斷擴大,網絡安全技術的進步也變得越來越重要。網絡本身的連通性和傳遞性使網絡安全防護必須面對比自身多得多的威脅,因而要全面思索應對各種各樣層出不窮的問題。
1 網絡技術安全情況現狀分析
網絡安全技術的發展是隨著網絡技術的進步而進步的,網絡發展對安全防護水平提出更高的要求,從而促進網絡安全技術的發展。近年來,我國的網絡覆蓋發展極為迅猛,而網絡技術也隨之普及到了各個用戶身上。在網絡安全方面,我國的基礎網絡防護措施達標率呈上升趨勢,面臨的風險程度也稍有下降,總體而言并沒有隨著網絡的拓展而陷入更大的安全威脅之中,但也必須承認在安全技術的發展方面,還有很多不足。
我國面臨的網絡安全風險并沒有很大程度地降低,依舊面臨傳統和非傳統的安全威脅,受到的網絡攻擊也呈上升趨勢。網絡安全威脅可謂無處不在,而其種類更是復雜多樣。因此,在網絡安全技術的發展方面,也呈現出全方位和多點開花的狀況,從防護、應對及數據恢復等多方面全方位推進,并創立了網絡安全模型。只有在多重安全措施并行的情況下,才能將網絡安全威脅的生存空間壓制到最小。
網絡安全技術如同網絡的大門和墻壁,是以對訪問進行排查、對系統進行清理和搜檢及對網絡權限的部分限制為主體的多層次全方位綜合體。
2 威脅網絡安全的幾大因素
2.1 系統不穩定和容易被利用漏洞破壞
網絡的安全漏洞一般而言不容易完全避免,在設計之初并不能做到盡善盡美。就現在的情況而言,漏洞的蔓延往往防不勝防,很難及時發現漏洞侵襲,導致真正需要應對時早已損失慘重。一旦重要部分如操作系統遭到漏洞攻擊,其造成的損害也非常巨大。安全技術防護面臨的節點數不勝數,但攻擊者只需要突破其中一點,就可以造成大片的損失,這是由網絡本身的結構所決定的。
2.2 網絡管理制度缺位
就管理制度而言,現階段網絡管理缺少一套整體適用的系統方案,在標準方面往往各自為政,大多數情況下都是根據各自需要選擇相應的安全手段,從而形成一個配合并不密切的整體。這樣如同臨時七拼八湊起來的結構,自然無法面對無處不在無從預防的網絡侵襲。雖然部分企業從全局出發進行安全技術設計,但是軟件和硬件本身的隔離,以及國家在系統軟件方面的力不從心,導致其自身的努力并不能完全實現。要完全改變現狀,就要從整體上重新設計架構,盡量明確管理,確定責任,并完善自身的防御功能,以緩解危機。
2.3 網絡對應安全策略缺乏
現階段已正式建立了計算機網絡安全體系,但其應變不及時,在安全體系遭到破壞之后,恢復和修復工作不甚理想。而事先預防的難度又太大,難以完全做到防患未然。因此,企圖依靠預防來進行完全控制并不現實,而完全依靠恢復和補救的方式又比較被動。應急性的方案并不多,可以操作的臨時安全系統也缺乏實用性。“第二道防線”的建立,還需要付出更多的努力。
對應的安全策略缺乏,還體現在面對各類不同的網絡侵襲行為時,由于相關的安全防護手段有其特定的安全防護范圍,不得不依靠多種安全技術互相堆疊,而這些技術可能會互相沖突,或者導致其中一部分失效,從而影響安全技術的整體應用和各個部分的有效發揮。
2.4 局域網的開放性漏洞
局域網是建立在資源共享的基礎上的,因此其安全防護并沒有互聯網那樣嚴密,但是由于準入機制過于疏松,導致內部數據很容易被混進來的操作混亂和遺失。如局域網很容易被網絡釣魚者接入,然后竊取和篡改其資料,造成巨大的損失。總體來說,要在建設局域網的時候加強其端口的準入設計,對于連接外網的情況,要有足夠的審核方式來進行篩選和控制。
3 網絡安全技術的發展前景
當前網絡技術存在的缺陷是“道高一尺魔高一丈”的狀況的體現,被動的安全技術對主動的破解技術而言是處于劣勢狀態的。但這并不會影響到網絡安全技術的發展前景,正因為面臨著更多安全威脅,才會刺激網絡安全技術的進一步發展,從而實現更高的飛躍。
3.1 安全防護模式進入智能控制階段
網絡安全技術的發展是在收集數據、分析防御方式、尋找問題的過程中逐步發展起來的,現階段由于僅限于歸納已有的問題,而陷入被動的窘境之中。隨著網絡的進一步優化,相信計算機的智能化會帶動安全技術的智能化,從而自動的進行最優選擇。而隨著未來完善的NGN網絡的建立,相信這樣的控制并非虛妄之言。
3.2 網絡容量的擴展和安全技術覆蓋的擴大
近年來,IP技術不斷發展并擴大業務,網絡安全技術也隨之而動,進一步提高自身的覆蓋深度和廣度。隨著云計算技術的普及和完善,對云數據的保護也成為了需要關注的問題,廣闊的安全防護需求決定了網絡安全技術覆蓋面必將進一步擴大。
主要參考文獻
[1]李偉成.新世紀中的網絡安全技術與中國的發展策略考慮[J].網絡科學技術,2009,17(3):22-25.
[關鍵詞] 企業網絡信息安全信息保障
計算機網絡的多樣性、終端分布不均勻性和網絡的開放性、互連性使聯入網絡的計算機系統很容易受到黑客、惡意軟件和非法授權的入侵和攻擊,信息系統中的存儲數據暴露無遺,從而使用戶信息資源的安全和保密受到嚴重威脅。目前互聯網使用TCP/IP協議的設計原則,只實現簡單的互聯功能,所有復雜的數據處理都留給終端承擔,這是互聯網成功的因素,但它也暴露出數據在網上傳輸的機密性受到威脅,任何人都可以通過監聽的方法去獲得經過自己網絡傳輸的數據。在目前不斷發生互聯網安全事故的時候,對互聯網的安全狀況進行研究與分析已迫在眉睫。
一、 國外企業信息安全現狀
調查顯示,歐美等國在網絡安全建設投入的資金占網絡建設資金總額的10%左右,而日韓兩國則是8%。從國際范圍來看,美國等西方國家網絡基礎設施的建設比中國完善,網絡安全建設的起步時間也比中國早,因此發生的網絡攻擊、盜竊和犯罪問題也比國內嚴重,這也致使這些國家的企業對網絡安全問題有更加全面的認識和足夠的重視,但縱觀全世界范圍,企業的網絡安全建設步伐仍然跟不上企業發展步伐和安全危害的升級速度。
國外信息安全現狀具有兩個特點:
(1)各行業的企業越來越認識到IT安全的重要性,并且意識到安全的必要性,并且把它作為企業的一項重要工作之一。
(2)企業對于網絡安全的資金投入與網絡建設的資金投入按比例增長,而且各項指標均明顯高于國內水平。
二、 國內企業網絡信息安全現狀分析
2005年全國各行業受眾對網絡安全技術的應用狀況數據顯示,在各類網絡安全技術使用中,“防火墻”的使用率最高(占76.5%),其次為“防病毒軟件”的應用(占53.1%)。2005年較2004年相比加大了其他網絡安全技術的投入,“物理隔離”、“路由器ACL”等技術已經得到了應用。防火墻的使用比例較高主要是因為它價格比較便宜、易安裝,并可在線升級等特點。值得注意的是,2005年企事業單位對“使用用戶名和密碼登陸系統”、“業務網和互聯網進行物理隔離”等措施非常重視。其他防范措施的使用也比2004年都提高了一定的比例,對網絡安全和信息的保護意識也越來越高。生物識別技術、虛擬專用網絡及數字簽名證書的使用率較低,有相當一部分人不清楚這些技術,還需要一些時間才能得到市場的認可。
根據調查顯示,我國在網絡安全建設投入的資金還不到網絡建設資金總額的1%,大幅低于歐美和日韓等國。我國目前以中小型企業占多數,而中小型企業由于資金預算有限,基本上只注重有直接利益回報的投資項目,對于網絡安全這種看不到實在回饋的資金投入方式普遍表現出不積極態度。另外,企業經營者對于安全問題經常會抱有僥幸的心理,加上缺少專門的技術人員和專業指導,致使國內企業目前的網絡安全建設情況參差不齊,普遍處于不容樂觀的狀況。
三、 企業網絡信息系統安全對策分析
“三分技術,七分管理”是技術與管理策略在整個信息安全保障策略中各自重要性的體現,沒有完善的管理,技術就是再先進,也是無濟于事的。以往傳統的網絡安全解決方案是某一種信息安全產品的某一方面的應用方案,只能應對網絡中存在的某一方面的信息安全問題。中國企業網絡的信息安全建設中經常存在這樣一種不正常的現象,就是企業的整體安全意識普遍不強,信息安全措施單一,無法抵御綜合的安全攻擊。隨著上述網絡安全問題的日益突顯,國內網絡的安全需求也日益提高,這種單一的解決方案就成為了信息安全建設發展的瓶頸。因此應對企業網絡做到全方位的立體防護,立體化的解決方案才能真正解決企業網絡的安全問題,立體化是未來企業網絡安全解決方案的趨勢,而信息保障這一思想就是這一趨勢的體現。信息保障是最近幾年西方一些計算機科學及信息安全專家提出的與信息安全有關的新概念,也是信息安全領域一個最新的發展方向。
信息保障是信息安全發展的新階段,用保障(Assurance)來取代平時我們用的安全一詞,不僅僅是體現了信息安全理論發展到了一個新階段,更是信息安全理念的一種提升與轉變。人們開始認識到安全的概念已經不局限于信息的保護,人們需要的是對整個信息和信息系統的保護和防御,包括了對信息的保護、檢測、反應和恢復能力。為了保障信息安全,除了要進行信息的安全保護,還應該重視提高安全預警能力、系統的入侵檢測能力,系統的事件反應能力和系統遭到入侵引起破壞的快速恢復能力。區別于傳統的加密、身份認證、訪問控制、防火墻、安全路由等技術,信息保障強調信息系統整個生命周期的防御和恢復,同時安全問題的出現和解決方案也超越了純技術范疇。由此形成了包括預警、保護、檢測、反應和恢復五個環節的信息保障概念。
所以一個全方位的企業網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,增加了惡意攻擊的難度,并增加審核信息的數量,同時利用這些審核信息還可以跟蹤入侵者。
參考文獻:
[1]付正:安全――我們共同的責任[J].計算機世界,2006,(19)
[2]李理:解剖您身邊的安全[N].中國計算機報,2006-4-13
關鍵詞:網絡安全;技術;現狀;前景
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9599 (2011) 23-0000-01
Network Security Technology Status and Development Prospects Study
Wang Honggang
(Computer Science of the Qufu Normal University,Qufu 273165,China)
Abstract:This paper on the status of network security technology to do further study,on this basis,predict the development trend of network security technology.
Keywords:Network security;Technology;Status;Prospects
當前互聯網已經成為我國重要的基礎設施,但是網絡安全的形式卻越來越復雜,網絡間諜、身份竊取以及僵死網絡等各種惡意代碼日漸成為最大威脅,網絡仿冒以及垃圾郵件等安全事件越來越多。總的來說,網絡安全問題整體數量保持明顯上升趨勢,也表現出動機趨利化,技術復雜化的特點。因此全面的考慮網絡安全問題是必要的。
一、網絡安全技術相關概念
網絡安全主要是保護網絡及其服務,阻止任何非授權的修改、泄露以及破壞行為。它的研究內容涵蓋了整個系統,從系統外部來說包括法律以及安全管理,站在系統外部看,則包括了系統的實體安全、計算機安全、操作安全以及系統資源安全。網絡安全技術主要關注有效進行介入控制以及確保數據傳輸安全。在實際中一種安全機制可以由多種安全技術實現,而多種安全機制則有可能通用一種安全技術。當使用安全技術時要從各個角度分析,發揮其最大功效。
二、網絡安全技術的現狀與發展前景分析
(一)防火墻技術。防火墻是內網與外網的第一道安全屏障,安裝防火墻的原則是在內網或者外網的連接處,只要有惡意入侵的可能,就應該安裝防火墻。目前常見的防火墻有三大類:1.復合型防火墻。主要將服務與數據包的過濾相結合,一起使用。2.分組過濾型防火墻。主要是數據分組過濾以及包過濾,一般認為這是網絡防火墻的基礎部分。3.應用型防火墻。是內網與外網的隔離點,監視與隔絕應用層的通信流。防火墻往往是硬件以及軟件的結合,由于本身的特定功能的限制,明顯存在很多不足的地方,例如不能防范防火墻以外的攻擊行為,不能防止內部攻擊與拒絕服務攻擊,無法完全阻止感染病毒的文件或者軟件。
但是隨著網絡安全技術的飛速發展,防火墻技術已走向網絡層外的安全層次,既能夠承擔傳統的過濾任務,還要服務于各種網絡應用,為其提供高效的安全管理。數據加密技術使得合法訪問變得更加安全。一體化設計的采用,推廣了network processor的應用。新的IP協議的研究將對防火墻的運行產生重要影響。嵌入式系統的采用使得系統更加安全。還有引入了分布式防火墻將會解決有關分布技術的管理難題,確保系統的可擴展性以及穩定性。智能防火墻的產生使得可以利用統計、概率以及決策的智能方法識別數據,有效應對拒絕服務器攻擊、高級應用入侵以及病毒傳播等問題。還有其他的產品將會用于防止病毒、確保數據安全與用戶認證,以及預防黑客攻擊等方向。
(二)加密技術。主要用于解決數據完整性、數據原發鑒別以及信息的機密性等問題。20世紀70年代IBM公司開發出DES私鑰密碼體制,把信息分成64字節的塊,然后進行加密,其中加密與解密擁有同一個密碼,是世界上最早的私鑰密碼體制。1978年RSA出現,是第一個可以在實踐中運用的公開密鑰加密與簽名的方案,其優點在于整數因子分解的困難。接著另一個具有很強實用性的公鑰密碼ELGamal產生。但是計算機處理能力與傳輸技術的不斷提升使得DES受到嚴重的威脅,于是美國政府制定了AES,是一種新型的信息處理標準,2004年將Rijndael作為AES標準。Rijndael支持3種長度的密鑰:128位、192位以及256位,是一種對稱密碼體制,具有反饋與非反饋實現模式。同時出于可操作性以及安全性的目的,現在的密碼工作人員正研究一種新型的公鑰密碼體制:橢圓密碼公鑰體制,是一種基于橢圓曲線以及超橢圓曲線的有理點組成的基礎交換群。
現今國際流行的MD5、SHA-1標準,是國際電子簽名以及其他密碼領域的關鍵技術,主要應用于證券以及金融領域,但是從理論上講電子簽名是可以被偽造的,因此就要及時選取更加安全的密碼標準或添加限制條件,在以后,重點就是加強基礎理論研究。
(三)入侵檢測技術。入侵檢測技術是新一代的安全保障技術,主動檢測與分析網絡或者系統中的某些關鍵點,發現是否存在反安全策略的行為,為內部供給以及外部攻擊行為提供實時保護,以達到在受到實質性危害之前攔截入侵行為,是一種積極主動防御技術。1986年,第一個實時入侵檢測系統IDES出現,是一種異常檢測以及專家系統的混合體,之后20世紀80年代出現了許多的原型系統例如:Discovery。而商業化的入侵檢測技術知道80年代后期才出現,其中比較有影響的公司有ISS。大致上,當前入侵檢測系統一般分為異常檢測與特征檢測,市場上則較多使用特征檢測,因為這類檢測技術往往有較高的檢測準確度,但是其缺點也是明顯的:無法阻止那些未知的或者沒有經驗知識的攻擊行為。而且入侵檢測系統一般無法應用于純交換環境中,而只能在處理過的交換環境中處理數據。再加上隨著網絡寬帶的不斷增大,入侵檢測系統要分析越來越多的數據包,以致無法確保檢測的有效性以及實時性。因此新一代的IDS主要用以解決這些問題,朝著基于負載均衡、基于安全協議、基于以及其它安全技術相結合的方向前進。由基于HIDS與NIDS的應用入侵系統能夠檢測更加細微的異常行為,尤其是檢測用戶偏離正常行為的濫用。而且出于克服現有系統的缺陷,一些智能方法,例如:神經網絡、智能體以及數據挖掘技術等等將會大量應用到IDS研究中去。
三、結束語
眾所周知,網絡安全涉及到技術、管理等多個方面問題,是一個綜合性課題。一般來說新的入侵手段不能攻擊那些基于特征的防護措施,因此目前基于行為的防護技術成為一個發展的方向。各種網絡安全技術的結合也將為越來越復雜的網絡安全情況帶來希望,網絡容錯、反攻擊、陷阱、誘騙等主動防御技術也將進一步得到發展。新的應用需求越來越多,全新的解決方案也將適時而生。
參考文獻:
[1]郝文江.基于防火墻技術的網絡安全防護[J].通信技術,2007,7
[2]劉岳啟.量子密碼學研究的現狀及其發展趨勢[J].通信技術,2007,11
關鍵詞: 局域網;安全管理;優化改革
0 引言
在互聯網絡快速發展的今天,遍布于各事業單位、集團企業中的局域網絡現已成為社會生產發展的重要模式之一。局域網絡不但有助于實現“網絡通信、資源共享”,在信息傳輸效率與質量方面也有著很大的優勢。為此,為積極促進企業社會發展,確保局域網信息傳輸的安全及其系統的順利運轉,我們必須對其網絡安全管理予以重視。
1 基本概念論述
1.1 局域網
所謂“局域網”,通俗而言,就是一種利用特定的傳輸媒介(光纖、網線與無線媒體等)與網絡適配器(網卡)相互鏈接而成的計算機網絡通訊系統。當下局域網絡主要應用于校園網絡、廠區網絡等小范圍覆蓋網絡區間,甚至簡單的兩臺電腦就能構建一個小型的局域網。一般而言,局域網之間的信息傳輸主要是借由網絡間的拓撲結構加以實現的,這種結構有很多種類型,如環形、樹形、星形等。目前在現實生活中,局域網已成為了人們日常生活與學習必不可少的一部分。
1.2 局域網絡安全管理
所謂“局域網絡安全管理”,其是在當下局域網網絡技術基礎之上,對局域網安全性能所采取的一種安全技術保障與合理化漏洞維護。“局域網絡安全管理”的出現,主要是在當下越來越多的局域網安全漏洞與黑客攻擊影響之下應運而生的,其旨在最大程度上修補當前局域網網絡中存在的不足之處,減少網絡信息泄露與網絡犯罪情況的發生。一般而言,一個好的“局域網絡安全管理”,其必須具備三方面特點,即“良好的網絡傳輸機密性”、“信息內容完整性”與“信號傳送、接受整體可控性”。
通常情況下,當前我國在局域網絡安全管理中所采用的方法與手段主要有兩種,一是通過對當前局域網絡安全維護的硬件及軟件系統予以不斷升級優化,在信息技術水平與基礎設備性能上加以提升;二是在現有局域網絡維護系統之下,采用有效的局域網絡安全防護手段,制定相應的規章制度,以此最大程度上避免人為疏忽造成的漏洞影響。
2 目前我國局域網絡安全管理所面臨的威脅
2.1 黑客入侵攻擊
隨著計算機與互聯網絡在世界范圍內的全面普及,黑客作為一個特殊團體,其對網絡的非法入侵與攻擊一直以來都是我國局域網網絡安全管理最為嚴重的威脅。當下,黑客對局域網絡所采用的攻擊手段非常繁多,造成的威脅也十分巨大,其攻擊手段包括后門攻擊、木馬病毒攻擊、防火墻滲透、拒絕服務器攻擊、系統入侵攻擊等等。就本質上來看,我們大致可以將黑客入侵威脅歸為外部網絡入侵與內部網絡入侵兩大類。
2.2 病毒危害
局域網是實現資源共享、數據快速傳輸的有效途徑,這為人們信息傳遞提供了很大的方便。但是,其在帶來方便與快捷的同時,也為電腦病毒的傳播提供了可能。當下,全世界范圍內網絡病毒的危害日益加劇,各種木馬病毒、蠕蟲病毒通過局域網的途徑大肆傳播,這不但可能致使計算機在運行速度上變慢,出現電腦頻繁死機、重啟、數據丟失等現象,嚴重時甚至還可能直接致使整個網絡系統陷于癱瘓,進而造成不可彌補的巨大經濟損失,更有不良目的者可能還會利用這些病毒盜取信息,獲得非法利益。
2.3 管理漏洞
有人曾說過“局域網安全最為重要的核心保障在于對其嚴格的管理”,但縱觀我國國內局域網絡安全管理現狀,其由于各方面因素影響,很多企業與事業單位在網絡安全方面都疏于管理,其主要表現在三個方面:
1)在相關局域網管理制度及其管理人員配置上方面,過為隨意,當下局域網網絡管理嚴重缺乏必要的人力、財力、物力資源投入。沒有投入,自然沒有相應好的管理成果。
2)在局域網相關技術及其硬件設備配置方面,很多企業仍舊普通采用傳統的老式網絡設施,這很難滿足日常局域網絡安全管理的需求。
3)在局域網絡安全防護方面,存在很多不當。伴隨著計算機應用技術的不斷發展,網絡的安全問題也隨之變的更為復雜,然而很多企業與事業單位仍采用傳統的、局限于某一節點、某一設備的網絡管理策略,這明顯無法適應時代與企業經濟的發展。
3 未來局域網安全管理及其優化策略
要想解決以上局域網安全管理問題與威脅,實現未來局域網安全管理的合理化改革與優化,我們可以從完善的安全防范體系構建與日常網絡的維護與管理兩方面著手,雙管齊下,對當下局域網安全管理予以全面改革。
3.1 全面安全防范體系的構建
局域網安全防范是一個復雜的問題,其不單單依賴于各種先進的網絡安全維護設備,還需要相應的軟件系統通過合理的搭配與協作,以此共同搭建起一座全方位的安全防范平臺。
3.1.1 防火墻系統配置
網絡防火墻作為不同網絡安全域之間信息的唯一進出關口,它是提供網絡信息安全服務、實現對網絡信息安全綜合維護的重要基礎設施,通過對它的控制,能夠最大限度是阻止網絡中不良訪問者的惡意破壞,進而很好地實現對局域網外部網絡攻擊的防范,維護局域網網絡安全。具體而言,我們可以通過禁止對主機非開放服務的訪問、嚴格限制對外開放服務器的對外訪問、啟動防DDOS屬性等方式,以接入組網的方式去合理配置防火墻屬性。
關鍵詞:網絡 安全性 系統
一、計算機網絡安全存在的問題
1.互聯網絡的不安全性
(1)網絡的開放性。網絡的技術是全開放的,使得網絡所面臨的攻擊來自多方面,或是來自物理傳輸線路的攻擊,或是來自對網絡通信協議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊。
(2)網絡的國際性。這就意味著對網絡的攻擊不僅是來自于本地網絡的用戶,還可以是互聯網上其他國家的黑客,所以,網絡的安全面臨著國際化的挑戰。
(3)網絡的自由性。大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由地上網,和獲取各類信息。
2.操作系統存在的安全問題
(1)操作系統結構體系的缺陷。操作系統本身有內存管理、CPU管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,計算機系統就會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統特別是服務器系統立刻癱瘓。
(2)操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件。這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統可能就會造成崩潰。
(3)操作系統不安全的又一個原因在于它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上,特別是“打”在一個特權用戶上,黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在。
(4)操作系統會提供一些遠程調用功能。所謂遠程調用就是一臺計算機可以調用遠程一個大型服務器里面的一些程序,可以提交程序給遠程的服務器執行,如telnet。
3.防火墻的局限性
防火墻指的是一個由軟件和硬件設備組合而成,在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。
二、計算機網絡安全的對策
1技術層面對策
(1)建立安全管理制度。要提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息,要嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。
(2)網絡訪問控制。訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和訪問,是保證網絡安全最重要的核心策略之一。
(3)數據庫的備份與恢復。數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。備份是恢復數據庫最容易和最能防止意外的保證方法。恢復是在意外發生后利用備份來恢復數據的操作。
(4)應用密碼技術。應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證。基于密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一。密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。
(5)切斷傳播途徑。即對被感染的硬盤和計算機進行徹底的殺毒處理,不使用來歷不明的U盤和程序,不隨意下載網絡可疑信息。
(6)提高網絡反病毒技術能力。可通過安裝病毒防火墻,進行實時過濾;對網絡服務器中的文件進行頻繁掃描和監測,在工作站上采用防病毒卡,加強網絡目錄和文件訪問權限的設置;在網絡中,限制只能由服務器才允許執行的文件。
2.物理安全層面對策
(1)計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標準。
【關鍵詞】大學生;網絡安全意識;現狀;對策
【中圖分類號】G64 【文獻標識碼】A
【文章編號】1007-4309(2013)01-0010-1.5
當前,隨著網絡、手機等新媒體的快速發展,對在校大學生的學習、生活產生了不可忽視的影響。網絡安全作為學校安全工作一個重要方面非常值得學校和教育工作者關注。為了解在校大學生網絡安全意識現狀,課題組采取隨機抽樣的方式對在校大學生進行了問卷調查和訪談發現大學生網絡安全意識現狀以及存在的問題,并提出大學生網絡安全教育的相關建議。
一、大學生網絡安全意識的現狀
為進一步了解當前大學生網絡安全意識現狀,調研涉及對網絡的使用、網絡環境的認知、誘惑網站的抵御能力、個人信息保護意識、網絡安全防范意識、網絡安全防范措施等六個方面的內容,對隨機抽樣的400名普通本科大學生進行了問卷調查,回收395份,回收率98.7%,同時進行了抽樣訪談。調查顯示,在大學生中網絡使用已非常普及,學生以手機上網和電腦上網為主,大學生已經成為網絡最廣泛的應用者和最積極的參與者,大學生網絡安全意識的現狀值得關注。
1.對網絡的使用情況
基于問卷和訪談顯示,大學生主要通過手機和電腦網絡來從事學習和娛樂兩大方面的事情:學習方面包括搜索學習資料、了解新聞、招聘信息、關注名人傳記和傳遞交流信息等;娛樂方面包含的就更為廣闊,比如微博、人人、QQ、網上購物、交友、游戲和電影等,網絡生活已經成為大學生校園生活必不可少的一環。
2.對我國網絡安全環境的認識
調查顯示,大學生對我國網絡安全環境的認識分為四種態度:認為安全且健康的人數僅占16%,認為安全但不健康的人數占到33%,認為健康但不安全的22%,認為不安全且不健康的有29%。網絡在給大學生學習生活帶來便利的同時,只有很少的一部分學生認為我國的網絡安全環境是安全健康的,大部分人都覺得自己生活在不安全或者不健康的網絡環境之中,他們對于當前所處的網絡環境持有不完全信任的態度。
3.對誘惑網站的抵御能力
在調查中,對于有誘惑性質的網站,有54%的學生不會輕易點擊查看;有3%的同學不管不顧,想看就看;還有17%的同學偶爾會點擊;只有26%的大學生能夠很好地評估其安全性并規避風險。另外,對于黃色和暴力信息的處理,77%的學生從不會登陸,15%的學生偶爾會因為好奇登陸,8%的學生會經常登錄。可以看出大多數學生面對危險和低俗信息能夠做出理性的判斷和有效地處理,但真正具備抵御誘惑網站能力的人比例尚少,大部分學生處理和抵御這些網站的能力尚淺。因此,教會更多的大學生有效識別不安全網頁的方法很有必要。
4.對個人信息的保護意識
網絡的普及可以使人們更快捷的享受和利用信息,但是隨之而來的是網絡個人信息安全問題。調查顯示,大部分學生對網絡安全有較為清晰的認識,有了初步的網絡安全意識、安全知識,懂得在進行網絡交流和娛樂的行為時保護個人的隱私和個人信息,有一定的信息安全意識;但也有相當一部分學生網絡安全意識不強,網絡安全知識不豐富,容易粗心大意和疏忽一些日常的網絡安全常識,個人信息保護意識薄弱。
5.網絡安全防范意識
網絡的開放性和共享性在方便了人們使用的同時,也使得網絡很容易遭受到攻擊。通過調查顯示,大部分同學有較強的網絡安全防范意識,能謹慎地進行網絡購物和交友等行為,比較注重的個人安全和利益的保護,能夠清楚意識到網絡中的虛假信息和交易,不會輕易上當受騙。但同時也存在小部分群體沉溺于網絡環境中不能自拔,忽視網絡安全隱患。如有8%的學生認為虛擬環境讓人更容易溝通,他們往往網絡朋友要比現實朋友多。
6.網絡安全防范措施
在大學生運用網絡的過程中,除了具備網絡安全的防范意識外,還應具備有效的防范措施,以應對各種各樣的侵害自身利益、隱私甚至人身安全的狀況。經調查研究發現,當大學生在網絡中發現侵犯個人隱私的內容時,有27%的學生選擇采取立即報警,33%的學生會主動要求的人或者網站刪除這些信息,那么還有40%的人會看這些信息是否重要,如果不重要的話則不采取任何措施。另外,當他們發現自己的QQ號、網銀、游戲等賬號被盜時,39%的大學生會馬上修改相應的賬號密碼;23%的學生選擇定期升級殺毒軟件和安裝補丁;21%的學生打算以后學習相關知識,提高自我保護意識;17%的學生會登陸315消費電子投訴網進行投訴。
二、大學生網絡安全存在的問題
通過以上關于大學生網絡安全問題的調查研究,并基于對大學生的相關訪談,總結出大學生在網絡安全教育方面存在以下幾個問題:
其一,網絡安全意識淡薄,好奇心重,容易沖動;其二,網絡安全知識缺乏,這些非計算機專業的同學對相關網絡知識、操作、軟件維護和防入侵行為方面的操作知識知之甚少或者不能自如運用;其三,對誘惑網站的有效抵御能力較差,不能很好地評估網頁的安全性,有部分群體對黃色和暴力網站抵御能力很差,容易成為誘發犯罪行為的隱患;其四,個人信息保護程度較差。部分大學生群體很容易忽視對自身隱私的保密和自身網絡行為的的安全性。其五,網絡安全防范能力欠佳,對相關網絡安全方面的案例關注甚少,法律維權意識欠缺。
三、對策及建議
網絡安全作為校園安全建設的重要環節,既是高等院校教育管理的重要內容之一,也是學生知識技能體系不可缺少的部分。高校要緊跟時代步伐,結合學校實際,充分利用各種條件,通過各種途徑和措施,不斷加強對學生的網絡安全教育,讓當代大學生正確面對網絡、安全使用網絡。
其一,建立健全高校網絡安全運行機制。
高校要建立網絡安全教育的領導機構,高校黨政領導要有“安全重于泰山”的大局意識,在思想上高度重視,在行動上大力支持。其次要建立高校網絡安全教育領導小組,把網絡管理中心、學生處、保衛處、教務處等部門納入網絡安全教育領導小組,協調好各部門之間的關系,明確各自的職責和分工,將網絡安全教育納入學校計劃。學校教務處在網絡安全領導小組指導下,統一開展網絡安全教育工作,負責對學生進行網絡安全教育,制訂教育計劃,明確教育內容,組織網絡安全授課,定期考核效果等。
其二,加強計算機實踐操作及網絡安全課程。
首先,要對學生加強譬如計算機網絡實現技術、病毒防治、防火墻、密碼加密、信息數據保存等的實際操作訓練,提高解決網絡安全問題的能力。積極創造條件讓學生參加網絡安全實踐,提高實際動手能力,增強大學生鑒別網絡中有害信息的能力,為網絡安全構筑一道堅實的屏障。其次,高校應從自身具體情況出發,制訂詳細的網絡安全教育計劃并納入學校日常教學工作中,將網絡安全教育工作制度化、規范化。再次,學校應根據網絡安全教育的需要,培養一支具有較強的網絡安全意識和網絡安全教育能力的師資隊伍,開設專門的網絡安全教育課程,指導學生處理各種信息和防御不良信息侵害。
其三,定期開展專題性知識講座。
除了增加計算機實踐操作和網絡安全教育課程之外,高校還應當定期開展關于網絡安全教育的知識性講座。講座的內容可以從以下四個方面考慮:第一,網絡行為規范與信息安全:討論大學生應該做一個怎樣的網民、如何面對網絡消極的、不健康的信息、怎樣面對有欺詐傾向的網友和信息;第二,計算機網絡安全概述:介紹網絡安全的基本理論知識,包括加密解密算法、數字簽名機制、身份鑒別,防火墻的工作原理與作用;第三,個人計算機系統安全策略:介紹個人計算機通常采用的安全策略的實現方法,如系統軟件的漏洞及修補方法,硬盤保護卡的工作原理與使用方法;第四,網絡黑客和計算機病毒:由于黑客入侵與計算機病毒是一個很普遍的問題,講座中可以具體地介紹一些技術,如最新的計算機病毒動向,查殺病毒軟件的使用等。
【參考文獻】
[1]駱懿玲.大學生網絡安全意識現狀調查及對策[J].中山大學學報論叢,2006(12).
[2]盧偉.大學生網絡安全意識現狀與對策研究[J].山東行政學院山東省經濟管理干部學院學報,2009(3).
一、網絡安全管理現狀及分析
(一)網絡安全管理現狀
1. 雖然許多企業網絡設置了VLAN 的隔離,但不同的VLAN 之間沒有設置必要的訪問控制,任何一個用戶在網內嗅探都可以輕松地得到全部網段計算機的 IP 地址和MAC 地址的對應信息。
2. 網絡沒有按照安全域的保護等級劃分和進行訪問控制限制, 對于關鍵網絡設備沒有限制特定的網段和計算機才能控制, 而僅僅依靠登陸的用戶名和密碼進行保護。
3. 針對路由配置、沒有屏蔽不需要的服務及進行安全配置, 如ARP- PROXY, OSPF 認證, SNMP控制等, 沒有抵御協議欺騙和 DDOS 攻擊等的處理。
4. SNMP 協議設置不當, 導致黑客可以下載和上傳 IOS配置文件, 并通過查看配置文件, 用專業軟件, 瞬間就可以破解 TYPE- 7 的加密, 得到超級管理的明文密碼, 從而完全控制網絡設備; 即使拿到加密后的密碼串無法破解, 黑客也可以把下載來的 IOS 文件內的密碼清空, 再上傳后, 依然可以不用密碼登陸設備。
5. 網絡上的 HTTP 認證信息是明文傳輸的, 導致它的驗證請求能輕松的被嗅探用戶截取, 包括什么時間, 什么 IP地址, 通過哪個 WEB 服務器, 用的哪個用戶名和密碼, 訪問了哪些具體的網站, 而且可以回溯對方瀏覽過的具體網站信息。
6. 審計和日志分析等策略沒有啟用, 導致無法審查什么時間什么人登錄過服務器, 做了什么操作; 服務器的補丁打得不夠及時, 存在被溢出攻擊可能性; 為了管理方便, 服務器開啟終端服務,但是默認安裝, 沒有進行任何的加固措施, 一旦被人利用, 對服務器是極大的危險。
7. 為了記憶方便, 用戶密碼過于簡單, 很容易就可以猜測出來或者暴力破解。雖然是普通用戶, 但可以通過本地權限提升得到超級用戶的權限。
8. 對于注冊表和關鍵的系統文件, 沒有進行特別的保護和基準線的建立。一旦發現異常, 也無法快速的找出增加和減少的項目。
9. 對安全記錄未做訪問授權控制, 一旦被攻擊, 日志和必要的回溯信息會被刪除或者修改。
10. 對于超級帳號沒有進行分權和修改默認名字, 可能會導致暴力破解密碼以及高級權力濫用的隱患。
11. 對于不需要的系統服務和啟動服務沒有做禁止和分權。
(二)信息安全形勢分析
1. 內部信息安全威脅:主要是來自于惡意軟件下載,有54%的企業發生過由 于惡意軟件下載造成的信息安全事件。其次是有47%的企 業存在由于內部員工造成的安全漏洞。其它主要威脅包括軟硬件漏洞、員工的不良信息處理行為引發的問題。
2. 外部信息安全威脅:從權威調查結果來看,目前主要來自于惡意軟件,有 68%的企業發生過惡意軟件攻擊。其次是有54%的企業遭 受過網絡釣魚。其它主要威脅包括高級持續性威脅(APT)、 拒絕服務攻擊(DDOS)、暴力攻擊、零日(0day)攻擊等。
(三)信息安全事件
烏克蘭電網遭黑客攻擊事件: 2015年12月3日,烏克蘭伊萬諾-弗蘭科夫斯克地區持續停電數小時之久。黑客使用后門程序 BlackEnergy(黑暗力量)攻擊了在發電站和多家能源公司。攻擊者在微軟Office文件中嵌入了惡意宏文件,并以此作為感染載體來對目標系統進行感染。烏克蘭電網系統遭黑客攻擊,數百戶家庭供電被迫中斷,這是有 史以來首次導致停電的網絡攻擊,此次針對工控系統的攻擊無疑具有里程碑意義。
二、如何構建網絡信息安全系統
(一)從制度方面
網絡信息安全管理體系從實質上來說,是一種信息安全管理模式,其目的是 為了提高企業的管理水平,促進企業 良性發展,保證企業各種信息資源的 安全,不給企業造成負面影響。信息 安全管理體系借助諸多標準,參考標準實現企業信息安全管理規范有序, 使企業信息安全向科學合理的方向發 展。信息安全管理是伴隨著信息技術 的發展而發展的,在信息社會,信息資源已經成為一種十足珍貴的資源,具有極高的經濟價值。信息安全工作的有效開展與持續化深入依賴完善的信息安全保障體系。為保護信息系統安全、平穩運行,根據國家和各單位有關要求以及信息系統現狀,結合先進的安全技術與管理理念,在信息安全風險評估基礎上,需制定網絡信息安全整體解決方案。
(二)從技術方面
1. 定期開展信息安全與合規性檢查
通過檢查,集梳理本單位網絡安全工作,排查高危安全漏洞;識別工控系統安全風險;核查信息系統定級備案情況等,結合石油化工企業實際可組織開展:
(1)信息系統常規安全檢查;
(2)工業控制系統安全檢查;
(3)信息系統等級保護合規性檢查。
2. 開展網絡安全域建設
完成本單位的網絡安全域劃分,將網絡劃分為內網、外網、專網、專線等部分,設置不同的訪規則,并進行分區防護。建成統一互聯網出口,部署安全防護設備,為各單位內部用戶及業務系統提供安全可靠的互聯網訪問服務。
3. 網絡安全新技術應用
網絡安全設備的開放化將逐步實現。在傳統的信息安全時代主要采用隔離作為安全的手段,具體分為物理隔離、內外網隔離、加密隔離,實踐證明這種隔離手段針對 傳統IT架構能起到有效的防護。同時這種隔離為主的安全體系催生了一批以硬件銷售為主的安全公司,例如各種防火墻、入侵檢測系 統/入侵防御系統、Web應用防火墻、統一威脅管理、SSL網關、加 密機等。 在這種隔離思想下,并不需要應用提供商參與較多信息安全工 作,在典型場景下是由總集成商負責應用和信息安全之間的集成, 而這導致了長久以來信息安全和應用相對獨立的發展,尤其在國內 這兩個領域的圈子交集并不大。結果,傳統信息安全表現出分散割據化、對應用的封閉化、硬件盒子化的三個特征。 封閉化的安全設備從某種意義上維護了傳統安全廠商的利益, 但是卻損害了用戶的利益。而從用戶的角度來看,未來安全設備的 開放化、可編程化是個需要用戶推動的趨勢。
三、結論
關于網絡信息系統安全的課題, 涉及的層面較為廣泛,復雜程度較高。網絡安全作為支網絡及信息系統的重要基礎,需要堅實有力的服務來支持。要求企業網絡技術人員在掌握網絡技術的同時掌握全面網絡信息安全是不現實的。因此做好企業的網絡安全工作,選擇由網絡安全專家、專業的網絡安全工具和安全管理策略組成的安全服務是必須的。
網絡安全是一個動態的管理過程,它只能保障網絡系統受到攻擊時,能夠提供無漏洞防御的相對安全。網絡信息系統安全不僅需要動態的工具和產品, 而且需要持續跟進的安全服務。
