引論:我們為您整理了13篇網絡信息安全論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
(一)可信網絡國外研究
在可信網絡的研究中,Clark等學者在NewArch項目的研究中提出了“信任調節透明性”(trust-modulatedtransparency)原則,他們期望在現實社會的互相信任關系能夠反映在網絡上。基于雙方用戶的信任需求,網絡可以提供一定范圍的服務,如果雙方彼此完全信任,則他們的交流將是透明化、沒有約束的,如果不是則需要被檢查甚至是被約束。美國高級研究計劃局出的CHAT(compostablehigh-Assurancetrustworthysystems)項目研究了在指定條件下運行如何開發出可快速配置的高可信系統及網絡來滿足關鍵的需求,其中包含了安全性、可生存性、可靠性、性能和其他相關因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)項目研究了以策略為中心的入校檢測模型,他們利用模型去提高網絡系統的可信性。但因為網絡有著復雜基于信息異化下的信息安全中可信網絡分析研究柳世豫,郭東強摘要:互聯網逐漸成為我們生活中不可或缺的同時,其弊端也開始出現。未來網絡應該是可信的,這一觀點已成為業界共性的特點,如何構建可信網絡是需要研究的。因此TCG先進行較為簡單的可信網絡連接問題。它將可信計算機制延伸到網絡的技術,在終端連入網絡前,開始進行用戶的身份認證;若用戶認證通過,再進行終端平臺的身份認證;若終端平臺的身份認證也通過,最后進行終端平臺的可信狀態度量,若度量結果滿足網絡連入的安全策略,將允許終端連入網絡,失敗則將終端連入相應隔離區域,對它進行安全性補丁和升級。TNC是網絡接入控制的一種實現方式,是相對主動的一種網絡防御技術,它能夠防御大部分的潛在攻擊并且在他們攻擊前就進行防御。2004年5月TCG成立了可信網絡連接分組(trustednetworkconnectionsubgroup),主要負責研究及制定可信網絡連接TNC(trustednetworkconnection)框架及相關的標準。2009年5月,TNC了TNC1.4版本的架構規范,實現以TNC架構為核心、多種組件之間交互接口為支撐的規范體系結構,實現了與Microsoft的網絡訪問保護(networkaccessprotection,NAP)之間的互操作,他們將相關規范起草到互聯網工程任務組(internationalengineertaskforce,IETF)的網絡訪問控制(networkaccesscontrol,NAC)規范中。如今已有許多企業的產品使用TNC體系結構,如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。
(二)可信網絡國內研究
我國也有學者進行了可信網絡的研究。林闖等進行了可信網絡概念研究以及建立相關模型,提出網絡可信屬性的定量計算方法。期望基于網絡體系結構自身來改善信息安全的方式來解決網絡脆弱性問題,通過保護網絡信息中的完整性、可用性、秘密性和真實性來保護網絡的安全性、可控性以及可生存性。利用在網絡體系結構中的信任機制集成,使安全機制增強,在架構上對可信網絡提出了相關設計原則。閔應驊認為能夠提供可信服務的網絡是可信網絡,并且服務是可信賴和可驗證的。這里的可信性包括健壯性、安全性、可維護性、可靠性、可測試性與可用性等。TNC進行設計過程中需要考慮架構的安全性,同時也要考慮其兼容性,在一定程度上配合現有技術,因此TNC在優點以外也有著局限性。TNC的突出優點是安全性和開放性。TNC架構是針對互操作的,向公眾開放所有規范,用戶能夠無償獲得規范文檔。此外,它使用了很多現有的標準規范,如EAP、802.1X等,使得TNC可以適應不同環境的需要,它沒有與某個具體的產品進行綁定。TNC與NAC架構、NAP架構的互操作也說明了該架構的開放性。NC的擴展是傳統網絡接入控制技術用戶身份認證的基礎上增加的平臺身份認證以及完整性驗證。這使得連入網絡的終端需要更高的要求,但同時提升了提供接入的網絡安全性。雖然TNC具有上述的優點,但是它也有一定的局限性:
1.完整性的部分局限。TNC是以完整性為基礎面對終端的可信驗證。但這種可信驗證只能保證軟件的靜態可信,動態可信的內容還處于研究中。因此TNC接入終端的可信還處于未完善的階段。
2.可信評估的單向性。TNC的初衷是確保網絡安全,在保護終端的安全上缺乏考慮。終端在接入網絡之前,在提供自身的平臺可信性證據的基礎上,還需要對接入的網絡進行可信性評估,否則不能確保從網絡中獲取的服務可信。
3.網絡接入后的安全保護。TNC只在終端接入網絡的過程中對終端進行了平臺認證與完整性驗證,在終端接入網絡之后就不再對網絡和終端進行保護。終端平臺有可能在接入之后發生意外的轉變,因此需要構建并加強接入后的控制機制。在TNC1.3架構中增加了安全信息動態共享,在一定程度上增強了動態控制功能。
4.安全協議支持。TNC架構中,多個實體需要進行信息交互,如TNCS與TNCC、TNCC與IMC、IMV與TNCS、IMC與IMV,都需要進行繁多的信息交互,但TNC架構并沒有給出相對應的安全協議。
5.范圍的局限性。TNC應用目前局限在企業內部網絡,難以提供多層次、分布式、電信級、跨網絡域的網絡訪問控制架構。在TNC1.4架構中增加了對跨網絡域認證的支持,以及對無TNC客戶端場景的支持,在一定程度上改善了應用的局限性。我國學者在研究分析TNC的優缺點的同時結合中國的實際情況,對TNC進行了一些改進,形成了中國的可信網絡連接架構。我國的可信網絡架構使用了集中管理、對等、三元、二層的結構模式。策略管理器作為可信的第三方,它可以集中管理訪問請求者和訪問控制器,網絡訪問控制層和可信平臺評估層執行以策略管理器為基礎的可信第三方的三元對等鑒別協議,實現訪問請求者和訪問控制器之間的雙向用戶身份認證和雙向平臺可信性評估。該架構采用國家自主知識產權的鑒別協議,將訪問控制器以及訪問請求者作為對等實體,通過策可信第三方的略管理器,簡化了身份管理、策略管理和證書管理機制,同時進行終端與網絡的雙向認證,提供了一種新思路。在國家“863”計劃項目的支持下,取得了如下成果:
(1)在對TNC在網絡訪問控制機制方面的局限性進行研究分析后,同時考慮可信網絡連接的基本要求,提出了一種融合網絡訪問控制機制、系統訪問控制機制和網絡安全機制的統一網絡訪問控制LTNAC模型,對BLP模型進行動態可信性擴展,建立了TE-BLP模型,期望把可信度與統一網絡訪問控制模型結合起來。
(2)通過研究獲得了一個完整的可信網絡連接原型系統。該系統支持多樣認證方式和基于完整性挑戰與完整性驗證協議的遠程證明,來實現系統平臺間雙向證明和以遠程證明為基礎的完整性度量器和驗證器,最后完成可信網絡連接的整體流程。
三、可信網絡模型分析
(一)網絡與用戶行為的可信模型
可信是在傳統網絡安全的基礎上的拓展:安全是外在的表現形式,可信則是進行行為過程分析所得到的可度量的一種屬性。如何構建高效分析刻畫網絡和用戶行為的可信模型是理解和研究可信網絡的關鍵。這是目前網絡安全研究領域的一個新共識。構建網絡和用戶的可信模型的重要性體現于:它只準確而抽象地說明了系統的可信需求卻不涉及到其他相關實現細節,這使得我們能通過數學模型分析方法去發現系統在安全上的漏洞。可信模型同時也是系統進行研發的關鍵步驟,在美國國防部的“可信計算機系統的評價標準(TCSEC)”中,從B級階段就需要對全模型進行形式化描述和驗證,以及形式化的隱通道分析等。我們還需要可信模型的形式化描述、驗證和利用能夠提高網絡系統安全的可信度。最后,構建理論來說明網絡的脆弱性評估和用戶遭受攻擊行為描述等的可信評估,這是實現系統可信監測、預測和干預的前提,是可信網絡研究的理論所有基礎。完全安全的網絡系統目前還無法實現,因此網絡脆弱性評估的最終目的不是完全消除脆弱性,而是找到一個解決方案,讓系統管理員在“提供服務”和“保證安全”之間找到平衡,主動檢測在攻擊發生之前,如建立攻擊行為的設定描述,通過在用戶中區分隱藏的威脅,以可信評估為基礎上進行主機的接入控制。傳統檢測多為以規則為基礎的局部檢測,它很難進行整體檢測。但我們現有的脆弱性評估工具卻絕大多數都是傳統基于規則的檢測工具,頂多對單一的主機的多種服務進行簡陋的檢查,對多終端構建的網絡進行有效評估還只能依靠大量人力。以模型為基礎的模式為整個系統建立一個模型,通過模型可取得系統所有可能發生的行為和狀態,利用模型分析工具測試,對整個系統的可信性評估。圖2說明了可信性分析的元素。網絡行為的信任評估包括行為和身份的信任,而行為可信又建立在防護能力、信任推薦、行為記錄、服務能力等基礎之上。
(二)可信網絡的體系結構
互聯網因技術和理論的不足在建立時無法考量其安全周全,這是網絡脆弱性的一個重要產生因素。但是如今很多網絡安全設計卻常常忽略網絡體系的核心內容,大多是單一的防御、單一的信息安全和補丁補充機制,遵從“堵漏洞、作高墻、防外攻”的建設樣式,通過共享信息資源為中心把非法侵入者拒之門外,被動的達到防止外部攻擊的目的。在黑客技術日漸復雜多元的情況下,冗長的單一防御技術讓系統規模龐大,卻降低了網絡性能,甚至破壞了系統設計的開放性、簡單性的原則。因此這些被動防御的網絡安全是不可信的,所以從結構設計的角度減少系統脆弱性且提供系統的安全服務特別重要。盡管在開放式系統互連參考模型的擴展部分增加了有關安全體系結構的描述,但那只是不完善的概念性框架。網絡安全不再只是信息的可用性、機密性和完整性,服務的安全作為一個整體屬性被用戶所需求,因此研究人員在重新設計網絡體系時需考慮從整合多種安全技術并使其在多個層面上相互協同運作。傳統的補丁而補充到網絡系統上的安全機制已經因為單個安全技術或者安全產品的功能和性能使得它有著極大地局限性,它只能滿足單一的需求而不是整體需求,這使得安全系統無法防御多種類的不同攻擊,嚴重威脅這些防御設施功效的發揮。如入侵檢測不能對抗電腦病毒,防火墻對術馬攻擊也無法防范。因為如此,網絡安全研究的方向開始從被動防御轉向了主動防御,不再只是對信息的非法封堵,更需要從訪問源端就進行安全分析,盡量將不信任的訪問操作控制在源端達到攻擊前的防范。因此我們非常需要為網絡提供可信的體系結構,從被動轉向主動,單一轉向整體。可信網絡結構研究必須充分認識到網絡的復雜異構性,從系統的角度確保安全服務的一致性。新體系結構如圖3所示,監控信息(分發和監測)以及業務數據的傳輸通過相同的物理鏈路,控制信息路徑和數據路徑相互獨立,這樣監控信息路徑的管理不再只依賴于數據平面對路徑的配置管理,從而可以建立高可靠的控制路徑。其形成的強烈對比是對現有網絡的控制和管理信息的傳輸,必須依賴由協議事先成功設置的傳輸路徑。
(三)服務的可生存性
可生存性在特定領域中是一種資源調度問題,也就是通過合理地調度策略來進行服務關聯的冗余資源設計,通過實時監測機制來監視調控這些資源的性能、機密性、完整性等。但網絡系統的脆弱性、客觀存在的破壞行為和人為的失誤,在網絡系統基礎性作用逐漸增強的現實,確保網絡的可生存性就有著重要的現實意義。由于當時技術與理論的不足,使得網絡存在著脆弱性表現在設計、實現、運行管理的各個環節。網絡上的計算機需要提供某些服務才能與其他計算機相互通信,其脆弱性在復雜的系統中更加體現出來。除了人為疏忽的編程錯誤,其脆弱性還應該包含網絡節點的服務失誤和軟件的不當使用和網絡協議的缺陷。協議定義了網絡上計算機會話和通信的規則,若協議本身就有問題,無論實現該協議的方法多么完美,它都存在漏洞。安全服務是網絡系統的關鍵服務,它的某個部分失去效用就代表系統會更加危險,就會導致更多服務的失控甚至是系統自身癱瘓。因此必須將這些關鍵服務的失效控制在用戶許可的范圍內。可生存性的研究必須在獨立于具體破壞行為的可生存性的基本特征上進行理論拓展,提升系統的容錯率來減少系統脆弱性,將失控的系統控制在可接受范圍內,通過容侵設計使脆弱性被非法入侵者侵入時,盡可能減少破壞帶來的影響,替恢復的可能性創造機會。
(四)網絡的可管理性
目前網絡已成為一個復雜巨大的非線性系統,具有規模龐大、用戶數量持續增加、業務種類繁多、協議體系復雜等特點。這已遠超設計的初衷,這讓網絡管理難度加大。網絡的可管理性是指在內外干擾的網絡環境情況下,對用戶行為和網絡環境持續的監測、分析和決策,然后對設備、協議和機制的控制參數進行自適應優化配置,使網絡的數據傳輸、用戶服務和資源分配達到期望的目標。現有網絡體系結構的基礎上添加網絡管理功能,它無法實現網絡的有效管理,這是因為現有的網絡體系與管理協議不兼容。可信網絡必須是可管理的網絡,網絡的可管理性對于網絡的其他本質屬性,如安全性、普適性、魯棒性等也都有著重要的支撐作用。“網絡管理”是指對網絡情況持續進行監測,優化網絡設備配置并運行參數的過程,包括優化決策和網絡掃描兩個重要方面。研究管理性是通過改善網絡體系中會導致可管理性不足的設計,達到網絡可管理性,實現網絡行為的可信姓,再解決網絡本質問題如安全性、魯棒性、普適性、QoS保障等,提供支撐,使網絡的適應能力加強。
四、結論
綜上所述,互聯網有著復雜性和脆弱性等特征,當前孤立分散、單一性的防御、系統補充的網絡安全系統己經無法應對具有隱蔽多樣可傳播特點的破壞行為,我們不可避免系統的脆弱性,可以說網絡正面臨重要的挑戰。我國網絡系統的可信網絡研究從理論技術上來說還處于初級階段,缺乏統一的標準,但是它己經明確成為國內外信息安全研究的新方向。隨著大數據的到來,全球的頭腦風暴讓信息技術日新月異,新技術帶來的不只有繁榮,同時也帶來異化。昨日的技術已經無法適應今日的需求,從以往的例子中可以得知信息安全的災難是廣泛的、破壞性巨大、持續的,我們必須未雨綢繆并且不停地發展信息安全的技術與制度來阻止悲劇的發生。信息異化帶來的信息安全問題是必不可免的,它是網絡世界一個嚴峻的挑戰,對于可信網絡的未來我們可以從安全性、可控性、可生存性來創新發展,新的防御系統將通過冗余、異構、入侵檢測、自動入侵響應、入侵容忍等多種技術手段提高系統抵抗攻擊、識別攻擊、修復系統及自適應的能力,從而達到我們所需的實用系統。可以通過下述研究方向來發展可信網絡:
(一)網絡系統區別于一般系統的基本屬性
之一是復雜性,網絡可信性研究需要通過宏觀與微觀上對網絡系統結構屬性的定性,定量刻畫,深入探索網絡系統可靠性的影響,這樣才能為網絡可信設計、改進、控制等提供支持。因此,以復雜網絡為基礎的可信網絡會成為一個基礎研究方向。
(二)網絡系統區別于一般系統的第二個重要屬性
是動態性,其包含網絡系統歷經時間的演化動態性和網絡失去效用行為的級聯動態性。如今,學術上對可信網絡靜態性研究較多,而動態性研究較少,這無疑是未來可信網絡研究的一大方向。
篇2
1.2移動終端的智能化存安全隱患
智能終端的接入方式多種多樣、接入速度越來越寬帶化,使得智能終端與通信網絡的聯系更加緊密。智能終端的安全性已嚴重威脅著電信網絡和業務的安全,隨著運營商全業務運營的不斷深入,以前分散的業務支撐系統逐步融合集成,但核心網和業務網之間的連接通常采用直連的方式,安全防護措施相對薄弱。在智能終端處理能力不斷提升的今天,如果終端經由核心網發起針對業務系統的攻擊,將會帶來巨大的安全威脅。另一方面,智能終端平臺自身也面臨著嚴峻的安全考驗,其硬件架構缺乏完整性驗證機制,導致模塊容易被攻擊篡改,并且模塊之間的接口缺乏對機密性、完整性的保護,在此之上傳遞的信息容易被篡改和竊聽。憑借智能終端高效的計算能力和不斷擴展的網絡帶寬,終端本身的安全漏洞很可能轉化為對運營商網絡的安全威脅。
1.3安全防護體系建設相對滯后
隨著云計算云服務、移動支付的引入和發展,給運營商現有的基礎網絡架構及其安全帶來了不可預知的風險。新興的電信增值業務規模不斷擴大,用戶數量不斷增加,因此更易受到網絡的攻擊、黑客的入侵。新技術新業務在帶來營收增長的同時,也帶來了越來越多的安全威脅因素和越來越復雜的網絡安全問題,使得運營商對新業務安全管控的難度越來越大。面對新技術新業務帶來的風險,行業安全標準的制定相對滯后,現階還不能夠對威脅安全的因素做出一個全面客觀的評估,因此也就談不上制定相應的風險防范應對措施,并且業界對新領域的安全防護經驗不夠豐富,當出現重大威脅網絡安全事件的時候,對故障的響應處理能力還有待商榷。
2電信運營商網絡安全防護措施
2.1加強網絡安全的維護工作
面對網絡信息安全存在的挑戰,基礎安全維護工作是根本,運營商需要做好安全保障和防護工作,并在實踐中不斷加強和完善。對網絡中各類系統、服務器、網絡設備進行加固,定期開展安全防護檢查,實現現有網絡安全等級的提升。安全維護人員在日常工作中也必須按照規定嚴格控制網絡維護設備的訪問控制權限,加強網絡設備賬號口令及密碼的管理,提高網絡安全防護能力。
2.2加強新興領域的安全建設
云計算、移動互聯網等新技術新業務的發展,帶來了復雜的網絡信息安全問題,為了加強對新興領域的安全管理,運營商需要從新領域安全策略的制定和安全手段的創新兩方面著手。
2.2.1加強安全策略的制定
應對新技術新業務的挑戰,對全網安全需要重新規劃和管理,建立與之匹配的安全標準、安全策略作為行動指導,并形成對服務提供商的監控監管。在新業務規劃時,安全規劃要保持同步,從業務設計開始就應將安全因素植入,盡量早發現漏洞、彌補漏洞。
2.2.2加強安全手段的創新
新技術的發展讓傳統網絡的安全系統和防御機制難以滿足日益復雜的安全防護需求,需要有新的安全防御手段與之抗衡。因此集監控分析、快速處置為一體的云安全等新的技術手段就值得我們去不斷研究,并進行商用部署。
2.3加強安全防護管理體系的建設
做好管理體系的建設,首先需要制定配套的規章制度。網絡信息的安全,必須以行之有效的安全規章制度作保證。需明確安全管理的范圍,確定安全管理的等級,把各項安全維護工作流程化、標準化,讓安全管理人員和安全維護人員明確自身的職責,從而有效地實施安全防護措施和網絡應急響應預案,提高運營商整體的安全防護能力。其次需要建立縱向上貫穿全國的安全支撐體系。隨著網絡的聚合程度越來越高,省份之間的耦合程度越來越密,全國就是一張密不可分的網。因此需建立全國一體化的、統一調度管理的安全管理支撐體系。當出現攻擊時集團、省、市三級安全支撐隊伍能聯動起來,做到應對及時有效。
篇3
1.2加強校園網安全維護,增強網絡管理人員的安全意識和技能
校園網信息安全既有管理方面的漏洞,也有技術層面的風險。專業的網絡管理人員負責整個校園網絡的維護、網絡系統的更新、升級及新技術的研發。建立一支既懂管理又有技術的信息安全人才隊伍是很有必要的,保障網絡的信息安全首先應當提升這部分專業人士的安全意識及專業技術水平,定期進行培訓和考核。其次要從技術層面做好信息安全防御工作。使用必要的網絡安全防護技術,如:身份認證技術、入侵檢測技術、防火墻技術、防病毒網關技術、垃圾郵件過濾系統以及安全審計等技術來防御來自外部或內部的攻擊,有效地對校園網的進行防護。另外,現在市場上網絡安全的新產品、新技術非常多,也可以為校園網提供更好的保護功能。
1.3建立健全校園網安全保障體系
健全的信息安全管理體制,對于在管理層面維護信息安全至關重要。除了建立一支高素質的網絡管理專業技術人員隊伍外,還必須建立一套嚴格的管理規章制度。有了技術水平足夠高的設備、軟件支持,再加上有針對其網絡建設和應用設計的完善的規章制度,整個網絡安全體系才有了根本保障。此外,在科學合理的信息安全管理機制中,應急響應機制尤為重要,因為,沒有絕對安全的網絡系統,關鍵在于發現或發生安全風險時,能否及時正確做出應對,進行防御,采取措施消除風險,或將損失降到最低,使網絡系統能夠快速恢復正常運行。
篇4
對辦公網絡的信息安全實施有效的保護有著非常重要的意義,但同時也存在著一定的難度。由于網絡技術自身存在很多不足,如系統安全性保障不足。沒有安全性的實踐等,而使得辦公網絡不堪一擊。除了自然災害會給辦公網絡埋下巨大的安全隱患外,還有計算機犯罪、黑客攻擊等因素也是影響網絡信息安全的不穩定因素。
2.1自然災害造成的威脅
從本質上來說,企業辦公網絡的信息系統就是一臺機器,根本不具備抵御自然災害、溫度、濕度等環節因素影響的能力,再加上防護措施的欠缺,必然會加大自然災害和環境對辦公網絡信息的威脅。最常見的就是斷電而造成的影響,會使得正處于運行狀態中的設備受到損害或者導致數據丟失等情況的發生。
2.2網絡軟件漏洞造成的威脅
一般來說,網絡軟件自身就存在著一些不可避免的漏洞,而給黑客攻擊提供了便利,黑客會利用這些軟件漏洞對網絡實施攻擊,在常見的案例中,網絡安全受到攻擊的主要原因就是由于網絡軟件不完善。還有一些軟件編程人員,為了自身使用方便而設置“后門”,一旦這些“后門”被不法分子找到,將會造成不可預料的后果。
2.3黑客造成的威脅
辦公網絡信息安全遭受黑客攻擊的案例數不勝數,這些黑客利用各種計算機工具,對自己所掌握的系統和網絡缺陷下手,從而盜取、竊聽重要信息,或者攻擊系統中的重要信息,甚至篡改辦公網絡中的部分信息,而造成辦公網絡癱瘓,給企業造成嚴重的損失。
2.4計算機病毒造成的威脅
計算機病毒會以極快的速度蔓延,而且波及的范圍也非常廣,一旦爆發計算機病毒將會造成不可估計的損失。計算機病毒無影無形,以依附于其他程序的形式存在,隨著程序的運行進一步侵入系統,并迅速擴散。一旦辦公網絡被病毒入侵,會降低工作效率,甚至導致系統死機,數據丟失等嚴重情況的發生。
3如何加強辦公網絡中的網絡安全
3.1數據加密
數據加密技術指的是通過加密鑰匙和加密函數轉化,將信息處理成為無意義的密文。而接收方再通過解密鑰匙和解密函數,將密文還原成為明文。加密技術是網絡安全技術的基石。加密的原理就是改變數據的表現形式,而目的就是確保密文只能被特定的人所解讀。一個加密網絡,不僅可以實現對非授權用戶的搭線竊聽和入網的阻攔,而且還能有效的防止惡意軟件的入侵。一般的數據加密可以在通信的三個層次來實現,分別是鏈路加密、節點加密和端到端加密。
3.2建立網絡管理平臺
現階段,隨著網絡系統的不斷擴大,越來越多的技術也應用到網絡安全當中,常見的技術主要有防火墻、入侵檢測、防病毒軟件等。但不足的就是這些系統都處于獨立地工作狀態,要保證網絡安全以及網絡資源能夠被充分利用,應當為其提供一個經濟安全、可靠高效、功能完善的網絡管理平臺來實現對這些網絡安全設備的綜合管理,使其能夠充分發揮應有的功能。
篇5
1.2設備安全
主干網采用光纖雙路備份,采用雙機冗余式主干交換機,網絡核心設備(交換機、服務器等)需采用模塊化、支持熱插拔設計。主業務應用服務器要雙機熱備,并采用雙網卡接入、服務器集群、RAID等措施。主存儲系統需要極高的安全穩定性,具有合理的存儲構架和數據重新快速分配能力。在設備的分配上,避免在同一臺服務器上部署多種應用。在各樓層設立交換機柜,對重要接入層設備,應考慮必要的網絡設備和接入端口的備份手段。中心機房配有24小時雙路電源,并配備大功率的UPS電源。另外,為防止外部的攻擊和病毒的侵襲,解決業務網與辦公網的信息交互問題,要設置高安全區網段,須將業務內部網絡與外網分開,在物理上隔離網絡,業務終端用戶計算機屏蔽USB接口,不配置光驅,并安裝網絡版的防病毒軟件。
1.3軟件安全
主要有:①操作系統安全。為確保圖書館的安全,主要服務器盡可能采用企業版Linux操作系統。②數據安全。為保障關鍵運行數據的存儲、管理和備份,要求采用集中與分布方式相結合的數據庫系統設計。③應用軟件安全。應用軟件應具有完善的備份措施,系統故障后,要求及時恢復,確保圖書分編數據不丟失,圖書借還信息不丟失。④數據庫系統安全。主要應用系統中的數據庫均采用雙機熱備共享RAID盤陣的方式,實現雙主機同時對外提供服務,盤陣采用了最高等級的RAID5技術,任何一個硬盤故障也不會影響系統,對于核心數據庫要求采用本地備份和遠程備份相結合的方式。
1.4運維安全
在提高技術系統安全性的同時,還必須提供良好的運行維護,防范由于操作不當、網絡管理漏洞、運維措施不完備所造成的網絡信息系統異常。在網絡信息系統運行中,應對設備、服務、業務等方面的監控和故障報警。通常情況下,設備運用指示燈變成黃色,表示出現故障,應盡快進行檢查。
1.5外網文件交互安全
為隔離來自辦公外網等的安全風險,圖書館自動化主業務系統專門設置高安全區網段,高安全區網段的文件拷貝通過私有協議或網閘實現,主要用于與辦公網絡以及其他網絡的數據交互的病毒防御。
2制定出一套操作性強、目的明確的應急處理預案
為了及時應對圖書館網絡信息系統突發故障和事件,在完善網絡信息安全體系建立策略上,在技術上應做好各種預防措施的同時,制定出一套操作性強,在突發事件發生時,能迅速做出響應并快速處理,積極恢復圖書館網絡業務系統等全方位的應急體系,即網絡信息系統故障應急預案。著名的墨菲定律指出:凡事只要有可能出錯,那就一定會出錯。因此對圖書館主信息應用系統,對其部署的機房環境、人員、網絡、數據存儲、應用系統的主機及數據庫情況以及所使用的中間件環境等因素進行全面分析,預測網絡信息故障風險點和故障可能造成的危害,確定應急預案,選擇處理故障的有效手段。
3.1預案適用情形
圖書館網絡信息安全涉及管理與信息技術等方面,圖書館平時要從網絡、計算機操作系統、應用業務系統等安全管理規范以及計算機使用人員安全意識等幾個方面,做好以下幾項工作:①制定系統規章。②制訂培訓計劃。③加強人員管理。④成立事故應急處理小組。針對圖書館網絡故障對系統的影響程度,當出現以下所列情形之一時,事故處理小組確認已達到預案應急情況,應迅速啟動相應的應急處理程序:①網絡遭受災害或病毒大面積攻擊而造成圖書館整個業務系統的癱瘓。②網絡服務器不明原因宕機,對圖書館業務造成影響范圍大,且持續時間長。③網站內容被惡意篡改。④供電系統故障。⑤機房火災。⑥空調系統及供水系統故障。
2.2預案制定及啟動
預案是由圖書館信息安全管理應急處理小組負責制定及審核。小組職責是對圖書館信息網絡安全的整體規劃、安全應急預案演練及網絡與信息系統突發事件的處理,小組組長負責啟動應急預案。針對上述情形,在圖書館網絡信息系統運行中可能存在以下問題,技術人員應立即啟動以下應急預案。
2.2.1遇到網絡遭受病毒大面積攻擊而造成圖書館整個業務系統的癱瘓,立即啟動以下應急預案。查找受病毒攻擊的計算機,并及時從網絡上隔離出來,判斷病毒的性質,關閉相應的端口;對該機進行數據備份;啟用防病毒軟件對該機進行殺毒處理,同時對其他機器進行病毒檢測軟件掃描和清除工作;對被病毒感染的終端電腦進行全面殺毒之后再恢復使用;及時最新病毒攻擊信息以及防御方法。
2.2.2遇到網絡服務器不明原因宕機,對圖書館業務造成影響范圍大,且持續時間長的情況,立即啟動以下應急預案:①服務器宕機應急處置措施。圖書館關鍵應用系統所用的服務器宕機,應立即將網絡線路切換到備用服務器上,并立即恢復應用系統正常使用;對宕機服務器進行全面檢查,分析是硬件還是軟件故障;立即與設備提供商聯系,請求派維修人員前來維修;在確實解決問題之后,切換回主服務器,給主機加電;系統啟動完畢,檢查系統及雙機狀態;啟動數據庫;啟動應用程序可以正常啟動和運行。②網絡不明原因中斷。屬局域網出故障斷網后,網絡維護人員應立即判斷故障節點,及時向信息部負責人報告,查明故障原因,立即恢復。如遇無法恢復,立即進行備件更換或向有關廠商請求支援。屬光纖主干出故障,立即向上級報告,并通知維護公司對光纖進行融接,盡快恢復網絡功能;屬與樓層的上聯網線故障,應使用備用或更換新的雙絞線連接至故障設備。屬網絡設備(光模塊)故障如路由器、交換機等,應立即用相關備件替換,或與設備提供商聯系更換設備,并調試暢通。屬網絡設備配置文件破壞如路由器、交換機,應迅速用備份配置文件重新復制配置,并調試暢通;如遇無法解決的技術問題,立即向有關廠商請求支援。屬運營商管轄范圍,立即與運營商維護部門申報故障,請求修復。
2.2.3遇到網站內容被惡意篡改,應參照以下應急預案。切斷服務器的網絡連接;從備份數據中恢復正確的數據;檢查網站源碼漏洞,安裝網站源碼的最新補丁;安裝最新的系統補丁并重新配置防火墻,修改管理員密碼;查看網絡訪問日志,分析事件發生原因、源IP地址和操作時間,并做好記錄;重新恢復服務器網絡連接;向保衛科備案,如造成重大損失或影響惡劣的,通知司法機關尋求法律途徑解決。
2.2.4遇到供電系統故障,應參照以下應急預案。當供電系統出現故障,中心機房UPS在尚能維持供電一段時間時,應通知各業務相關部門,迅速將所有運行中的服務器、存儲及網絡設備等安全關機,防止數據損失。關閉所有服務器時,應遵循如下步驟:先關閉所有應用服務器和數據庫服務器,再關閉存儲設備。啟動所有服務器時,應先打開存儲設備,再打開數據庫服務器,最后打開應用服務器;確認機房中所有設備安全關機之后,將UPS電源關閉;恢復供電后,重新啟動所有設備運行,并把UPS電源打開。
3.2.5遇到機房火災,應參照以下應急預案。確保人員安全;保護關鍵設備、數據安全;保護一般設備;機房工作人員立即按響火警警報,不參與滅火的人員迅速從機房離開;人員滅火時要切斷所有電源,從消防工具箱中取出消防設備進行滅火。
2.2.6遇到空調系統及供水系統故障,應參照以下應急預案。空調系統及供水系統如有報警信息,應及時查找故障原因,對于不能自行排除的問題,應及時與設備提供商進行聯系。如發現有漏水現象應馬上關閉進水閥,并對漏水進行處理。當中心機房主空調因故障無法制冷,致使機房內環境溫度超過攝氏40度時,打開機房房門,及時報告信息部相關領導請示,獲得授權后應按順序關閉所有服務器及網絡設備。
2.3重大事件應急預案
針對發生重大事件導致圖書館網絡癱瘓,信息系統無法正常運行,相關服務部門應立即啟動以下應急預案:①各部門對讀者服務窗口,立即恢復手工操作模式。②網絡部門負責立即啟動應急服務器系統。③應急系統使用期間,辦證處不可對讀者進行辦理或辦退讀者借閱證。待系統正常恢復后才可辦證或退證。④應急系統使用期間,各圖書閱覽室對讀者只提供圖書閱覽、還書服務,并采用手工登記服務信息;暫停圖書借書服務,待系統正常恢復后才可進行各項業務服務。⑤系統恢復后,網絡部門應及時安排人員對讀者還書期限信息進行延期處理。
3預案培訓、演練及改進
圖書館網絡信息系統應急預案確定后,應對與預案處置相關的所有人員進行培訓,了解安全故障或事件風險點和危害程度,掌握預案應急處置辦法,明確預案處理流程預警。圖書館每年要擬訂年度應急演練計劃,應定期或不定期開展網絡信息安全預案演練,明確應急響應相關責任部門和人員的責任,模擬完成安全故障發現、判斷、通報、處置、解除等各重要環節應急措施的演練,總結演練情況書面報告。圖書館網絡信息系統每年至少應進行1次應急預案文檔的分析、評審,根據演練總結和實際情況,進一步對預案中存在的問題和不足及時補充、完善。
篇6
互聯網技術和計算機技術的高速發展促使了云計算技術的誕生,云計算技術越逐漸地成為了互聯網的新發展趨勢,受網絡的實效性和瞬時性的影響,云計算技術給安全管理帶來了許多困難,問題的出現同樣給信息安全的發展帶來機遇。本文依據云計算的理念,結合實際工作經驗,就如何在云計算的基礎下,確保信息安全的幾種方法加以介紹。
2.1建立統一的信息平臺
我國互聯網行業多個運營商并存,因此之間存在著競爭關系,每個運營商都有各自的信息平臺,從而造成了不同的運營商無法對信息安全問題進行統一。進一步說,這種無法統一將會造成每個云端的資源無法得到充分的利用,導致了在云環境下資源的巨大浪費。目前信息的存儲和傳輸都處于快速發展階段,在互聯網中的存儲的信息要遠大于歷史各時代的信息量的總和,這足以說明,信息的存儲量和傳輸量巨大。在這種大環境之下,各個運營商如果還是各自為營,不僅會消耗大量的資金,而且也無法確保信息的安全。因此,在云計算逐漸發展的今天要想確保信息的安全性,運營商之間必須要放下成見,相互合作,共同建立一個統一的互聯網云環境下的信息管理平臺,只有這樣才能實現信息整合,發揮云環境下互聯網中信息安全保障的優勢。同時,信息管理平臺的建立對云技術的發展也有著一定的促進作用,使互聯網的信息安全有了更多的信息支持。
2.2備份處理
在云環境下為了確保信息的安全,應當對信息內容進行備份。數據的備份級別分為以下幾種,一個單獨的服務器對數據進行備份,多個數據服務對同一數據進行備份,多個數據中心對一數據進行備份,工作人員可以根據信息的重要性和實際需求為信息提供不同級別的信息備份,對信息加以保護。
2.3加密處理
加密一直是保護信息安全的一個重要措施,在云環境下對文件加密同樣是保護信息安全的一個重要手段。當文件被加密后,任何人要想獲取信息中的內容都需要輸入正確的指令,對文件進行加密后將及時將其發送到互聯網上,它也依然在控制者控制范圍之中。當文件試圖脫離控制者的控制時,控制者可以利用PGP對信息內容進行保護,利用此方式,就可以在文件傳輸過程中進行加密,確保了信息安全能夠得到保證。在云環境下互諒網信息在傳遞途中,控制者可對信息傳輸加密處理,確保信息在互網傳輸中的安全性達到最大化。非法人員可能通過技術手段對信息的API密匙入侵,此時作為控制者可以在文件傳輸過程中設置多種API密匙,這樣黑客入侵的難度就會大大提高,有效的阻止黑客入侵,確保了信息的安全性。
篇7
2.1共享網絡下的網絡嗅探檢測和防范
在共享網絡環境下,只需要把一臺計算機網卡設置為混雜模式,那么這臺計算機就能夠捕獲到在該網段中所傳遞的縮影信息,這是網絡嗅探技術的被動工作狀態。在這種狀態下不需要對其它任何計算機發送數據包,只需要等待被捕獲的數據包經過時就能夠捕獲。這種模式對于檢測網絡嗅探是否存在比較困難,但是能夠對網絡嗅探行為進行檢測和直觀判斷。當網絡嗅探捕獲到數據包時會出現一些異常現象,例如網絡帶寬異常或者網絡通訊掉包率異常等。其中網絡帶寬異常主要是通過帶寬控制器查看網絡帶寬的分布情況,當某個計算機長時間地占用了大量的帶寬,那么這臺計算機就有可能存在監聽。可以利用一些網絡軟件來查看信息包傳送的情況,當網絡存在監聽行為時就會導致信息包不能每次都順利地到達目的地,這種方式可以檢測在混雜模式下是否存在網絡嗅探。當計算機網卡設置為混雜模式時就可能在進行網絡嗅探,前提是需要判斷網絡中計算機是否處于混雜狀態,可以使用APP分組的方式進行檢測。APP分組的原理是:以太網中對信息傳遞都是基于網卡MAC地址,當網卡設置為不同工作模式時可以接收不同種類的分組,這稱之為硬件過濾器。同時在以太網中可以通過地址解析協議提供硬件地址與IP地址來完成信息傳遞,在通訊的過程中每個節點都會檢查APP包所提供的IP地址是否匹配。如果不相同,那么就忽略這個APP包;如果匹配就會發送實際數據。可以通過過濾狀態來判斷網絡節點狀態是否正常,當網卡設置為混雜模式時,那么被過濾的報文就會進入到系統內核中,從而檢測到混雜模式的節點。建立一個APP查詢包,其目的地址設置為非廣播地址,向網絡中的各個節點發送APP查詢包,通過其節點回應就可以判斷是否處于混雜模式。
在共享網絡中可以通過加密、網絡分段、非混雜網卡以及一次性口令技術來預防網絡嗅探,可以對數據包中的重要信息進行加密,也可以選擇其它方式進行加密,這取決于信息的安全等級。網絡分段是通過對網絡中的共享設備和機器對數據流進行限制,從而達到防嗅探的效果。網絡嗅探在混雜環境中可以接收數據包,因此可以在局域網中使用非混雜網卡,但是由于地址偽裝技術,所以其實際意義不是非常大。一次性口令技術是指客戶端通過從服務器中得到的賬號和口令算出一個新的字符串并且傳遞給服務器,服務器利用算法進行匹配,如果數據匹配就能夠建立聯系,賬號和字符串都只能應用一次。
2.2交換環境下網絡嗅探的預防
可以利用靜態APP表的模式進行防范,靜態APP表不能刷新,所以假的APP包就會被丟棄。但是對于網絡中的所有計算機,都需要建立靜態的MAC表,當網絡的規模比較大時,會造成交換機工作效率下降。如果更換計算機就需要手工方式重新更改MAC表,所以在大型網絡中這種方式不合適。在Windows模式下建立靜態MAC到IP的映射表,當收到更新之后的APP包后,依舊會刷新計算機的映射表,會被檢測出嗅探行為。可以借助第三方軟件的方法,這是目前比較可靠的方法,通過軟件可以檢測到網絡中MAC地址的變化,當地址變化時就會通過電子郵件的方式發送到指定地點。還可以利用VPN等加密技術來保護敏感信息。
2.3無線環境下網絡嗅探的防范
近年來隨著智能手機等設備的廣泛應用,無線網絡應用也日益頻繁。無線網絡能夠實現多個計算機設備的共享和利用,所以無線局域網在信息傳遞和接收的過程中也更加容易受被嗅探。為了防止無線網絡被嗅探,常常采用加密和認證技術,但是目前無線網絡下的加密技術其安全性比較弱,容易被嗅探。目前無線網絡中的加密協議和工具比較多,常見的有Kismet、AirSnort等。WEP無線協議是經過Wi-Fi認證的一項標準,是符合802.11標準中的一項無線加密方案。WEP共用一套密鑰,所以其分配比較廣泛,導致密鑰泄露的可能性也比較大。由于WEP協議本身的缺陷,黑客可以通過破解軟件在短時間內破獲密鑰,從而進入到網絡中。加密算法和密鑰的長度有關,WEP密鑰采用靜態密碼,因此難以從根本上保護信息的安全。MAC地址中的訪問控制表只允許注冊后的設備進入到網絡中,所以MAC過濾技術相當于在系統上設置了一道障礙,如果其障礙越多,那么網絡也就越安全。為了改變靜態密鑰的限制,可以采用動態密鑰的方法,計算機在接入到網絡中完成一次會話后就能夠自動生成下次會話所需要的新的加密密鑰,這個密鑰對于網絡會話和網絡用戶來說都是唯一的。這種技術能夠提高網絡的安全性,避免了用戶手工輸入的麻煩。由于其唯一性和可變性,當黑客取得網絡訪問權時,其所取得了密鑰也可能已經過期,有效地保證了網絡的安全。虛擬專用網絡作為一種功能更加強大的加密方法,能夠有效地保護網絡的安全。它能夠根據需要,定義被保護的數據流,并且將數據流發送到目的地址。這種方式通過網絡層進行,因此可以實現兩臺計算機之間,計算機與網關以及網關與網關之間的網絡保護;在無線環境中,可以通過客戶端到網關組網的方式進行保護。
篇8
1.3數字化資源的安全與保護在文物資源采集完成后,如何更好地存儲和保護好這些資源,也是一項極其重要的工作。數據存儲安全目標是保護機密數據的完整性,一旦發生數據丟失或被破壞,后果可想而知。在實踐中,建立存儲安全需求專業的知識,留意細節,確保存儲解決方案繼續滿足業務不斷改動的需要。最重要的是,安全的本質是要求三方面達到平衡,即采取安全措施的成本,安全缺口帶來的影響,入侵者要突破安全措施所需要的資源。
2網絡安全
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。
2.1網絡軟件安全網絡軟件是實現網絡功能所不可缺少的軟環境。
⑴網絡操作系統。網絡操作系統是運行在網絡硬件基礎之上的,為網絡用戶提供共享資源管理服務、基本通信服務、網絡系統安全服務及其他網絡服務的軟件系統。
⑵網絡協議軟件。連入網絡的計算機依靠網絡協議實現互相通信,而網絡協議是靠具體的網絡協議軟件的運行支持才能工作。
2.2網絡安全防護
⑴防火墻。故宮外網防火墻采用路由模式工作,通過安全區域劃分把故宮內部網絡按照安全需求劃分不同的區域,只允許安全等級高的區域向下進行訪問。
⑵防病毒軟件。針對故宮來說,由于辦公網絡與互聯網完全處于物理隔離的狀態,因此要求防病毒軟件具有以下特點:配有獨立控制中心;軟件部署及補丁下發便捷;信息收集準確等。這些特點都能大大節省人力物力。
篇9
2.網絡傳播的適時性和快捷性,使不良事態發展難以控制,給高校危機管理帶來新挑戰。
一是事態發展難把握。信息化條件下,一件極小的事情,一旦處置不當就可能通過網絡迅速升級,引起師生廣泛關注,甚至使參與者成幾何級數增長,最終導致事態越來越嚴重。二是影響范圍難控制。網絡時代條件下,即便是發生在偏遠地方的事件,只要進入網絡就會被迅速擴散,引起廣泛的社會影響。三是負面影響難消除。任何信息只要接觸網絡,往往都會在極短的時間內被克隆延伸出無數個版本,轉接到各個網站,甚至被下載到各個網絡用戶的終端,無法徹底清除。高校發生的各類問題,只要被發送到互聯網上,就很難根除痕跡,隨時有被人任意篡改、惡意歪曲、重新炒作的可能。必須清醒認識到信息網絡所具有的負面作用。
二、認識有偏差,防范不到位,網絡尚未完全納入高校安全管理范疇
1.對網絡的現實威脅和潛在影響,認識不夠。
一是對網絡信息的影響力認識不清。對網絡信息給師生思想帶來的消極影響認識不清楚。有的認為網絡信息如同報紙、電視、廣播等大眾傳媒一樣,是社會發展到一定階段的必然產物,忽視了必要的教育引導;有的不善于學習研究新事物,對網絡信息一知半解,對網絡信息的危害說不清、道不明,缺乏教育引導的說服力。二是對網絡竊密的嚴峻性認識不清。對網絡技術已成為隱蔽敵對勢力滲透重要工具的現實危險認識不清楚。有的思想麻痹,對隱蔽敵對勢力進攻的猖狂程度估計不足,有的敵情觀念淡薄,對互聯網給意識形態滲透工作帶來的沖擊和影響估計不足。三是對涉網事件的沖擊力認識不清。對涉網事件可能給高校聲譽、政治穩定造成的惡劣影響認識不清。有的高校思想政治工作者仍然只注意傳統媒體信息,對網絡信息關注不夠,特別是對涉及高校的負面信息在網上的傳播、炒作缺乏應有的警惕。
2.對網絡的巨大沖擊和負面因素,措施不利。
一是思想工作不深入。有的搞教育時不注重對象,不從實際出發“,一刀切”“一鍋煮”;有的矯正錯誤思想軟弱無力,少數師生受社會錯誤思潮的影響,拜金主義、享樂主義和極端個人主義不斷增長,甚至在日常生活中都有所流露,所在單位普遍忽視對他們的教育幫助,錯失了將事件扼殺在萌芽狀態的良機。二是交往關口沒把住。不正常對外交往是案件和問題發生的重要原因。有的案犯案發前就交往過濫,單位不少人包括高校的黨政領導都可能知道,但沒有人制止;有的學生平時生活西化,酗酒上網,夜不歸校,高校學工干部沒有深究細查;有的熱衷網絡交友,有事不找教工找網友,經常去網吧,或與網友約會,甚至把網友帶入校園留宿,但學校卻沒有采取有效措施解決。
三、教育謀實效,管理求科學,加強信息化條件下高校安全管理工作
1.加強警示教育力度,筑牢高校安全管理的思想防線。
一是教育要有針對性。就警示性法制教育效果而言,教育要有針對性,立足師生不同的文化程度、不同的家庭背景、不同的生活經歷、不同的思想覺悟、不同的工作性質、組織的不同教育內容和教育方法,做到因人施教,因事施教,因時施教。人員上要區分干部、群眾,科研崗位、教學崗位、服務崗位干部和高年級、低年級學生等層次;環節上要區分入學、實習和社會實踐等學習時段;時機上要區分重要節日、重大活動、敏感時期、季節變化、重大輿情發生及畢業生離校、新生入學、干部調整工作接替敏感時機等。二是教育要有滲透性。要把教育滲透到具體工作中,結合師生的本職崗位、本職工作搞好經常性教育。把教育滲透到現實生活中,注重運用身邊違法違紀的人和事,教育警示師生,讓師生切實感受到違法違紀行為給他人、自己、家庭、高校、社會造成的嚴重危害,自覺遠離違法亂紀。要把教育滲透到校園環境中,堅持點滴養成,耳濡目染,在校區、實習場所以及辦公場所等重點部位,適當張貼警示性標語,營造警示性氛圍,使師生抬頭見警示、低頭思責任,時刻注意安全穩定。通過強有力的教育滲透,真正使企圖違法犯罪的人受到震懾,知道違法犯罪是要受到法律制裁的,使心存僥幸的人懸崖勒馬,使違反紀律的人受到警醒,使每一名師生都受到觸動,知道工作失職釀成重大案件是要追究責任的,自覺遠離法律的“高壓線”、劃清道德的“情感線”、把握工作的“原則線”、繃緊學習的“意識線”。三是教育要有融合性。善于把警示教育與高校主題教育相融合,搞好統籌,保證效果。善于把警示性教育與管理相結合,既突出教育的引導作用、警示作用,更發揮教育的行為規范作用,讓師生邊提高思想認識邊矯正不良行為,培養良好的思想道德品質和行為習慣。四是教育要有覆蓋面。警示性教育必須強調覆蓋全員,既要抓基層師生,又要突出領導機關和學工干部;既要抓好在校人員的基本教育,又要強化外出實踐學習流動人員的延伸管理,確保人人受教育,個個受觸動。
2.把握網絡問題重點,做好高校涉網案件的預防工作。
注重預防受網上輿論影響可能發生的政治性問題。針對網上集中出現的政治性敏感、熱點話題和錯誤言論以及各種不良政治信息,要保持高度的政治敏銳性。始終把堅定師生政治信仰、把握高校的社會主義辦學方向、確保黨對高校的絕對領導,放在安全穩定工作最核心、最重要的位置來抓。及時加強對師生的正面教育和思想引導,澄清各種錯誤思想的影響和干擾,嚴格政治紀律,堅決抵御、反對不負責任的政治言論,堅決查處違背政治紀律的言行,確保高校政治上的集中統一。注重預防網上敵對勢力和錯誤思潮的引誘。近年來,高校發生的此類案件和問題重點集中在以下五種人:犯了錯誤、受了挫折,喪失了前進動力的人;提職無望、晉升職稱泡湯,認為組織虧待了自己的人;紀律性差、經常外出,交往過濫的師生;追求高消費、花錢大手大腳,經濟花費超出家庭承載供給能力的學生;個人家庭生活困難且長期得不到解決,思想波動較大的人。要重點加強教育和管控,切實掌握他們的思想底數和行為動向,滿腔熱忱、想方設法幫他們解決工作和生活上的各種實際困難。網絡信息交流已成為當下師生社會交往的重要渠道之一,特別是網絡征婚、求偶、,對高校年輕師生更具吸引力。要通過深入細致的思想政治工作,真誠務實地抓好高校內部風氣、內部關系建設,切實把師生從被網絡戀情的虛無寄托中拉回來,防止由此引發的各種違法違紀行為。
篇10
目前,傳統計算機領域,用戶的身份從:有什么,是什么以及知道什么這三個方面進行定義。傳統身份認證采用的識別機制是“用戶賬戶十靜態口令”,因為不法分子容易盜取用戶的用戶名,實際上傳統身份認證只是單因素認證。靜態口令是確保其安全性的依據。靜態密碼又存在許多的弊端,例如:用戶密碼特別容易被人猜測或者是通過網絡黑客,社會工程師等專業人員非法竊取。此外,用戶在進行密碼的輸入時容易被人窺視,密碼過于簡單以及被現代化的專業工具破解。計算機網絡系統偶爾也會出現漏洞,在網絡離線狀態下密碼也能夠被窺測,使不法分子有機可乘將密碼從PC和服務器上轉移。從理論上來說,一次性動態碼比可重復使用的靜態碼更加安全,但通過中間人攻擊以及競爭攻擊等,其仍存在被竊取盜用的風險。一次性密碼屬于單因素認證,總之,靜態嗎屬于最不可靠,最弱的身份識別認證手段。
1.2多因素身份認證定義
身份因素還可以擴展到其他方面,例如:對于位置的認證和對于時間的認證。
(1)位置的認證。目前,信用卡公司普遍采用的認證方式就是,同一張信用卡不能同時在兩個不同的地方使用。
(2)時間的認證。比如:只允許信用卡用戶在正常時間使用,以保證其安全性。基于位置的認證能夠使用檢查用戶的登錄IP地址來實現,基于時間的認證能夠利用檢查用戶的日常登錄的時間來加以確定。此外,還有一些其它身份因素也可以對用戶身份進行確認,如,電子商務系統中的用戶交易次數與交易額度等相關信息,都能夠對客戶的真實身份進行認證。由此可知,身份因素越多,能夠用來對用戶真實身份確認的信息就越多。擴展對用戶真實身份認證,使用多因素對身份信息認證的方式,能夠加強對用戶信息的認證。
1.3多身份因素的認證方法
使用何種身份認證因素來進行身份認證,這需要與所對應系統的實際功能相結合。以電子商務系統為例,能夠用來進行身份認證的因素主要有:IP地址、電話(手機)、用戶名、密碼、電子郵箱、交易次數以及交易額度等。
(1)重復認證:可以對用戶是否在同一時間進行重復登錄進行識別。
(2)電話以及手機認證:根據用戶預先注冊時登記的手機號碼或者是電話號碼進行識別,設置自動給用戶撥號或者是發送短信的方式對用戶進行提醒。如果該用戶能夠收到此項指令同時能夠正確輸入該動態密碼,則用戶身份就能夠被確定,從而實現了對用戶身份的有效認證。
(3)IP地址認證:依據用戶資料中記載的用戶IP地址以及登陸使用時間,對用戶是否正常登陸進行判斷。若是系統發現異常登陸,可以采用手機短信認證或者是電子郵件認證的方式,對用戶身份的合法性進行驗證。此外,還可使用手機,電話認證方式或者是電子郵件確認的方式立即對客戶單次身份進行強化認證。
(4)電子郵件認證:使用用戶事先預留的電子郵件地址,自動將電子郵件發送給用戶,使用單次有效動態碼的形式通知用戶。若是用戶可以接收到此動態碼,那他的有效身份就能被確認。
(5)交易次數/額度認證:通過對用戶的日常交易行為進行歸納,判斷本次交易是否存在異常。在對交易次數與交易額度進行確認時,由于一系列不確定因素的產生,具有很強不可確定性,此時就需要網絡安全認證系統通過非線性關系以及復雜的邏輯操作來進行實現。
1.4生物認證技術
生物特征指的是利用人體自帶的生理特征以及行為特征進行信息認證的一種方式。由于每個人的生物特征都是不相同的,使用這種方式對用戶進行驗證可以保證驗證結果的準確性。生物特征的身份認證方法比較可靠且穩定,是目前比較先進的身份認證方法。但是目前階段生物認證的方法無法達到100%的準確度。
2神經網絡在網絡安全領域中的應用
BP神經網絡屬于前饋型網絡,其屬于多層前向網絡結構,借助于反向傳播學習算法,是現階段世界上使用比較廣泛的作用于前饋多層神經網絡中的學習算法。BP神經網絡通常由多個神經元共同構成,BP算法以正向傳播的方式向計算網絡輸出,將進行網絡學習時輸出層所輸出的與客觀事實數據不吻合的誤差,當做是網絡中各層神經元之間的神經元節點閾值,把網絡學習時輸出層的輸出結果與客觀事實不一致的誤差,將這種誤差歸結為網絡中連接權特殊的連接權取值不正確而造成的。因此,可以將反向傳播過程中的網絡輸出層節點的誤差以逐層輸入的方式逆向傳播,并且將此信息“分攤”與之連接的各個神經元節點,這樣理論上就可以計算出各連接節點的參考誤差,依據這個參考誤差對神經元節點和各神經元之間的連接權的閾值進行合理、恰當的調整,最終使實際輸出值與網絡輸出值相一致。從圖中我們可以對多因素身份認證系統有一個直觀的了解。通過上文分析可知,BP神經網絡能夠最大程度的滿足多因素身份驗證比較復雜算法的需求。通過BP神經網絡獲得判斷數據結果的過程中,可以把新的一些判斷規則不斷加入到規則庫中。這也屬于神經網絡訓練的一個過程。在應用神經網絡的同時,需要通過不斷學習最新的技術,將最新判斷算法規則加入到神經網絡中,從而使其能夠識別判斷復雜多變的用戶行為。
篇11
對辦公網絡的信息安全實施有效的保護有著非常重要的意義,但同時也存在著一定的難度。由于網絡技術自身存在很多不足,如系統安全性保障不足。沒有安全性的實踐等,而使得辦公網絡不堪一擊。除了自然災害會給辦公網絡埋下巨大的安全隱患外,還有計算機犯罪、黑客攻擊等因素也是影響網絡信息安全的不穩定因素。
2.1自然災害造成的威脅
從本質上來說,企業辦公網絡的信息系統就是一臺機器,根本不具備抵御自然災害、溫度、濕度等環節因素影響的能力,再加上防護措施的欠缺,必然會加大自然災害和環境對辦公網絡信息的威脅。最常見的就是斷電而造成的影響,會使得正處于運行狀態中的設備受到損害或者導致數據丟失等情況的發生。
2.2網絡軟件漏洞造成的威脅
一般來說,網絡軟件自身就存在著一些不可避免的漏洞,而給黑客攻擊提供了便利,黑客會利用這些軟件漏洞對網絡實施攻擊,在常見的案例中,網絡安全受到攻擊的主要原因就是由于網絡軟件不完善。還有一些軟件編程人員,為了自身使用方便而設置“后門”,一旦這些“后門”被不法分子找到,將會造成不可預料的后果。
2.3黑客造成的威脅
辦公網絡信息安全遭受黑客攻擊的案例數不勝數,這些黑客利用各種計算機工具,對自己所掌握的系統和網絡缺陷下手,從而盜取、竊聽重要信息,或者攻擊系統中的重要信息,甚至篡改辦公網絡中的部分信息,而造成辦公網絡癱瘓,給企業造成嚴重的損失。
2.4計算機病毒造成的威脅
計算機病毒會以極快的速度蔓延,而且波及的范圍也非常廣,一旦爆發計算機病毒將會造成不可估計的損失。計算機病毒無影無形,以依附于其他程序的形式存在,隨著程序的運行進一步侵入系統,并迅速擴散。一旦辦公網絡被病毒入侵,會降低工作效率,甚至導致系統死機,數據丟失等嚴重情況的發生。
3如何加強辦公網絡中的網絡安全
3.1數據加密
數據加密技術指的是通過加密鑰匙和加密函數轉化,將信息處理成為無意義的密文。而接收方再通過解密鑰匙和解密函數,將密文還原成為明文。加密技術是網絡安全技術的基石。加密的原理就是改變數據的表現形式,而目的就是確保密文只能被特定的人所解讀。一個加密網絡,不僅可以實現對非授權用戶的搭線竊聽和入網的阻攔,而且還能有效的防止惡意軟件的入侵。一般的數據加密可以在通信的三個層次來實現,分別是鏈路加密、節點加密和端到端加密。
3.2建立網絡管理平臺
現階段,隨著網絡系統的不斷擴大,越來越多的技術也應用到網絡安全當中,常見的技術主要有防火墻、入侵檢測、防病毒軟件等。但不足的就是這些系統都處于獨立地工作狀態,要保證網絡安全以及網絡資源能夠被充分利用,應當為其提供一個經濟安全、可靠高效、功能完善的網絡管理平臺來實現對這些網絡安全設備的綜合管理,使其能夠充分發揮應有的功能。
篇12
2.1信息安全制度有待優化
根據最新的信息顯示,目前我國所頒布的有關信息安全發展的法律條例以及政府制度的文件有很多,其中包括《網絡信息安全不同等級保護措施》、《計算機互聯網絡信息安全保護級別劃分標準》、《國家安全法》、《互聯網絡商務信息密碼安全保護條例》以及《互聯網絡信息電子簽名法》等。雖然在這些法律條例以及政府文件中都對計算機互聯網絡信息的安全出臺了相應的保護措施和發展方向,但從整體來看,大部分的條例內容都只是對關于網絡信息安全的相關內容進行了涉獵,這些涉獵內容較為分散,而且沒有統一的有關整個網絡信息安全產業的概述和規劃。在我國近期所頒布的《“十二五”網絡信息安全產業發展規劃》以及《我國新興產業戰略性“十二五”發展規劃》中也只是對網絡信息的相關產業發展戰略進行了簡單的規劃,規劃內容并不夠明確,而有關區域性的信息安全產業發展戰略更是沒有及時提出。
2.2威脅我國網絡信息安全構建的因素
對威脅因素的界定是一個國家安全觀念的主要體現,而不同國家對于威脅因素的界定并不相同。每個國家對于威脅本國家安全的因素進行判斷的標準決定了這個國家在構建安全防范體系時的側重點以及分配比例。而對于我國來講,能夠對我國計算機互聯網絡信息安全產生威脅的因素主要可以歸結為以下幾個方面。
2.1.1首先,是從經濟的視角分析網絡信息安全威脅
由于我國的計算機互聯網絡信息安全基礎設施建設較晚,故使得我國整體網絡信息系統的技術都處于較為落后的狀態,對于外界的違法入侵和信息盜竊行為的抵抗能力也較弱。而這樣的局面不但會使我國的網絡信息安全受到威脅,更會在一定程度上給我國的社會經濟發展造成損失,有時甚至會破壞我國的社會穩定和團結。與此同時我國在進行網絡信息安全基礎設施構建的過程中,對網絡黑客的攻擊防范意識和防范能力也都比較落后,這樣的狀況經常會給不法分子創造竊取信息的機會。
2.1.2其次,是我國政治的視角分析網絡信息安全威脅
在當前世界各國之間和平共處的大環境下,西方的一些發達國家,尤其是美國以及與其進行聯盟的國家,經常會打著網絡信息自由的幌子,來對我國的政治領域進行意識形態方面的滲透和宣傳,其中甚至包括散布虛假社會信息、反對我國當前執政黨的合法性以及縱容反對我國政權等行為。
2.1.3最后,是我國軍事的視角分析網絡信息安全威脅
從世界范圍來看,各國之間的軍事抗爭行為越來越依賴于信息化的互聯網絡,在對國家國防進行構建的領域中,已經進入到了一個全新的作戰領域,其中主要強調的是將傳統戰場中的事物進行網絡信息領域的融入,并對其中的實施進行相應的控制。當前,美國在這一方面已經制定出了比較完善的網絡戰役規則,而我國在這方面的涉獵還處于初級階段。而且,據近期聯合國載軍研究所的調查數據顯示,全球已經有45個國家建立起了網絡信息戰部隊,相當于全球國家總數的五分之二以上。
3解決我國信息安全中存在問題的對策
(1)第一個方面是建立一個安全可操控的網絡信息安全保障體系,繼而促進我國網絡空間安全的保障能力。
(2)第二個方面時加強對我國網絡信息的安全管理和防范。
(3)第三個方面是推動我國網絡信息建設的健康穩定發展,借以維護我國的社會經濟的可持續增長。與此同時,我國信息安全戰略實現路徑應該從以下幾點進行著手。
首先,應對國家互聯網絡空間在進行安全設計時的內容加以重視。在將信息安全戰略理論進行實現時,應組建起一只以我國國家互聯網絡信息人員為中心的信息安全小組,并從國家政策以及我國當前網絡安全中存在的設計漏洞的角度出發,進行新的網絡信息安全系統構建。國家的信息安全構建部門還應建立起優化的管理制度,并完善管理體系。其次,應建立起完善的攻防兼備的計算機換聯網信息安全體系。想要實現信息安全戰略的規劃,就必須對網絡空間的主動權進行掌控,并建立起可攻可守的安全防護體系。最后,應將我國的信息安全法律體系進行完善。一個國家的網絡信息安全法律體系的是否完善會在很大程度上左右這個國家信息的安全發展。我國的相關法律部門應充分借鑒外國發達國家的信息安全法律制度構建經驗,并有效結合我國國情進行制定,繼而使得我國的信息安全戰略在實現過程中能夠受到現行的法律保護。
篇13
婦幼保健網絡信息安全關乎婦女兒童切身利益和社會穩定。因此一定要切實強化網絡信息的安全,確保相關的信息能夠在相對安全的狀態下共享,進而使得婦幼衛生事業能夠健康發展。
2婦幼保健院的網絡信息安全方法
2.1打造信息全面的婦幼信息網絡平臺。目前,信息化是婦幼保健院的改革趨勢,目前已經在大城市鋪開,但是要獲得全面詳實的數據,必須將信息系統廣泛鋪開,這之中存在很多難點。如果系統有各種各樣的問題,其所造成的影響也是很大的。所以說,在對系統進行推廣之時,必須要構建起具體的配套措施,要引入大量的專業人才。當然,在此過程中,問題也是客觀存在的,但必須要想盡辦法克服,要將信息安全監測的相關工作予以有效落實,如此方可使得信息資源高效、安全傳輸、共享,同時也可使得相關人員能夠在第一時間察覺到系統之中存在的漏洞,繼而采取最為恰當的方法來予以彌補,如此則可使得網絡系統當中的主要數據能夠得以恢復。2.2網絡安全掃描。對網絡進行安全掃描可使得相關人員對系統的安全狀況有切實的把握,針對其中出現的缺陷予以及時彌補,如此可確保系統的安全得到切實保證。此種技術還能夠對局域網、操作系統還有防火墻等展開掃描,這樣一來,管理人員就能夠對網絡系統當中出現了安全性較差的服務,操作系統當中出現的各種漏洞,以及主機系統當中出現的監聽程序等有切實的了解,進而選擇最為合適的方法予以消除。網絡安全掃描通常來說主要有兩種形式,其一就是遠程掃描,這種類型的軟件有很多,其可以通過遠程的方式來對主機的安全性展開檢測,從而能夠發現安全方面存在的各種缺陷。當然,此種軟件的確是可以展開行之有效的遠程掃描,同時其也是用來進行網絡攻擊的工具,通過此類型軟件可對主機展開深入的掃描,這樣就可發現其中存在的各種弱點,進而對其展開攻擊。從事網絡管理的相關人員可通過安全掃描軟件來發現網絡當中存在的各種漏洞,進而受到攻擊之前就將其予以修補起來,如此一來,系統的安全性就得到了提高。其二就是防火墻系統掃描。在對內部網絡展開安全防護之時,防火墻系統是十分關鍵的。當然,這個系統的配置是較為復雜的,稍不注意就會出現配置錯誤的狀況,這就會導致網絡出現安全方面的漏洞。一旦操作系統當中有漏洞,內部安全自然也就難以得到保證。所以說,通過防火墻掃描則可使得配置更為合理,并對操作系統展開安全方面的檢測,從而使得系統的安全性有切實的提升。2.3構建起應急計劃。計劃的制定一定要非常詳細,要將可能存在的問題全部納入其中,從而使得系統、應用等受到破壞之時能夠及時予以恢復。在安全方面出現問題之時,可以在第一時間來反應,并做出作為合適的處置。一定要確保災難恢復計劃的可行性,能夠在最短的時間內將用戶所碰到的之際問題得到有效化解,保證系統能夠有序運行,同時還要將導致問題出現的因素予以排除。災難恢復計劃的制定過程中,一定要對單個系統以及設備故障予以重點關注,要將其所產生的影響控制在一定的范圍之中,同時能夠及時發現故障根源所在,進而能夠對其予以高效的修復。2.4注意問題。為了防止計算機病毒的入侵,所有網絡包括終端均安裝了防火墻和殺毒軟件,網絡管理員適時監控維護中心機房網絡設備的管理和網絡安全,要確保相關人員在進行操作之時不會出現任何的違規行為,并要對其權限予以設置,在軟件應用方面更要嚴格,除了必要的管理、臨床方面的軟件之外,其它軟件均不可運行,同時還要將U盤接口予以封閉,這樣方能使得信息的安全性得到保證。計算機發生故障時,要及時與網絡管理員和設備供應商聯系,其他人員不得擅自越權操作。
3結語
由上可知,若想使得網絡信息安全得到切實保證,就必須要對與之相關的因素予以整體考慮,要制定出行之有效的安全防護計劃,并要將相關的措施落實到位,同時還要制定出具體的法律法規。
作者:聶思思 單位:瀏陽市婦幼保健院
參考文獻
