引論:我們?yōu)槟砹?3篇網絡安全防護手段范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統(tǒng)一的技術和策略也就不安全了。第二,網絡的安全機制與技術要不斷地變化。第三,隨著網絡在社會各個方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統(tǒng)工程。為此,建立有中國特色的網絡安全體系,需要國家政策和法規(guī)的支持及安全產品生產集團聯合研究開發(fā)。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產業(yè)。信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術上、產業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分,而且應該看到,發(fā)展安全產業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。
1 網絡安全現狀
由于政務網、商務網所有業(yè)務應用系統(tǒng)都基于一個企業(yè)網絡系統(tǒng)實現,因此,應用與應用之間難以有效地隔離;同時,用戶情況復雜,有的用戶屬于重要應用崗位,有的屬于一般崗位。雖然這些用戶對應用的安全服務要求不同,但他們均混雜在一個局域網絡,因此對用戶較難以分別控制。此外,政務網、商務網應用是基于開放的平臺實現的,開放系統(tǒng)平臺和開放的通訊協(xié)議存在安全缺陷及漏洞,同時也造成了這些應用存在著安全上的隱患。總之,各種應用之間可能存在信息非法訪問、存取的機會,這都給政務網、商務網的信息應用的安全運行帶來巨大的風險。這些風險包括用戶對信息的誤用、濫用、盜用以及破壞。對于政務網、商務網等信息應用系統(tǒng)來說,面臨的攻擊、威脅的主要手段有:病毒、破壞硬件設備、冒充、篡改、竊取等。在網絡系統(tǒng)中,無論任何調用指令,還是任何反饋均是通過網絡傳輸實現的,所以網絡信息傳輸上的安全就顯得特別重要。信息的傳輸安全主要是指信息在動態(tài)傳輸過程中的安全。為確保政務網、商務網網絡信息的傳輸安全,主要應注意對網絡上信息的監(jiān)聽。對網上傳輸的信息,攻擊者只需在網絡的傳輸鏈路上通過物理或邏輯的手段,就能對數據進行非法的截獲與監(jiān)聽,進而獲得用戶或服務方的敏感信息。計算機網絡上的通信面臨以下四種威脅:截獲——從網絡上竊聽他人的通信內容。中斷——有意中斷他人在網絡上的通信。篡改——故意篡改網絡上傳送的報文。偽造——偽造信息在網絡上傳送。
2 網絡安全管理監(jiān)控
信息系統(tǒng)安全性起于好的管理。這包括檢查所有重要文件和目錄的所有者和許可權限,監(jiān)視特權賬戶的使用,檢查信息的使用及占有情況等。在一個信息系統(tǒng)運行中,影響系統(tǒng)安全的因素很多,但其中50%與管理因素有關。政務網、商務網信息系統(tǒng)較為復雜,一旦信息處理的某個節(jié)點或環(huán)節(jié)出現問題,很可能導致信息系統(tǒng)降低效率或癱瘓。而信息系統(tǒng)單純依靠人工管理存在較大困難和諸多安全隱患,因此,需要一種手段和技術來保證信息系統(tǒng)的可管理性,并減少信息系統(tǒng)維護的費用。在政務網、商務網等信息系統(tǒng)中,分布式結構和網絡計算占了重要地位。隨著信息系統(tǒng)規(guī)模的擴大,我們會發(fā)現一個問題,就是策略的統(tǒng)一性、連續(xù)性。我們知道,對于政務網、商務網而言,整個信息系統(tǒng)是一個整體,想保證整體系統(tǒng)的可靠性、可用性和安全性,那么必須保持每一個局部的網絡或者主機的安全性和可靠性。現在很多安全方面的隱患是由于整體信息系統(tǒng)的策略實施的不統(tǒng)一造成的。因此,當政務網、商務網制訂了企業(yè)的整體安全策略時,除了通過規(guī)章制度把這些想法傳達下去,還要具備相應的技術手段來保證這一點。
對于政務網、商務網這樣的用戶必須建立一個集中式管理的概念,就是數據和處理能力可以是分散的,但對于管理而言,應該是集中的。而所管理的內容應該包括企業(yè)網絡中一些重要的信息,如:系統(tǒng)的集中管理、網絡的集中管理、應用的集中管理、防火墻系統(tǒng)的集中管理、網絡用戶的集中管理,以及和這些相關的管理信息的復制、更新和同步。
3 防火墻技術及其發(fā)展趨勢
防火墻是由軟件、硬件構成的系統(tǒng),是一種特殊編程的路由器,用來在兩個網絡之間實施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的,為的是可以最適合本單位的需要。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監(jiān)視網絡運行狀態(tài)。目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其他途徑的攻擊,不能防止來自內部變節(jié)者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇。作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發(fā)展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。此外,還有多種防火墻產品正在朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。
防火墻必須在基于芯片加速的深度內容過濾技術上實現真正的突破,并推出實用化的產品以解決當前的網絡安全難題。隨著算法和芯片技術的發(fā)展,防火墻會更多地參與應用層分析、芯片解決計算加速技術,防火墻必將以軟硬兼施的方案為用戶的應用提供更安全的保障。而VPN、IDS/IPS、防病毒等功能可能以各類加速芯片的形式與防火墻協(xié)同工作,形成以芯片技術為主導的全系列硬件型安全網關。防火墻下一步的發(fā)展與中國下一代網絡的建設緊密相關,如IPv6網絡、P2P應用、3G、4G網絡等等。這里特別強調的是防火墻與IPv6。由于IPv6網絡的新特性,如端到端的連接、移動IP的處理、內嵌IPSec、路徑MTU探測等,給防火墻帶來新的安全挑戰(zhàn)。防火墻不僅要及時適應IPv6網絡的發(fā)展,并解決IPv6引入后帶來的新問題,同時,由于IPv6與IPv4網絡,網絡必然會同時存在IPv4的安全問題與IPv6的安全問題,或由此造成新的安全問題。下一步要考慮的,不僅僅是更適應于網絡發(fā)展的防火墻模型,可能還會包括網絡安全防范與評估方法等。在Internet無所不在的理念下,防火墻等網絡安全產品也必將站在可信賴應用與計算環(huán)境為基礎的角度上設計并解決安全問題。當前基于不同架構設計實現的防火墻都將面臨巨大的挑戰(zhàn),為此付出的代價也將是不同的。防火墻技術和產品已經相對成熟,但還存在一定的技術局限性,防火墻仍不能完全滿足用戶的需求。網絡攻防是一對矛盾,用戶需求激發(fā)技術創(chuàng)新,網絡與應用也在日新月異,在關鍵處理技術上實現創(chuàng)新,并對防火墻在各種網絡環(huán)境中的實際應用、穩(wěn)定性與易用性,以及整體網絡安全解決方案進行研究,一直會是防火墻技術的重要內容。因此,防火墻技術將持續(xù)快速發(fā)展,技術突破將必然帶來新的天地。
4 結論
篇2
0 引言
隨著數據業(yè)務快速發(fā)展,信息化程度不斷提高,國民經濟對信息系統(tǒng)的依賴不斷增強,迫切需要數據業(yè)務系統(tǒng)在網絡層面建立清晰的組網結構。同時,根據國家安全等級保護的要求,需要不斷細化各業(yè)務系統(tǒng)的安全防護要求,落實更多的數據業(yè)務等級保護問題。針對數據業(yè)務系統(tǒng)規(guī)模龐大、組網復雜的現狀,以及向云計算演進的特點,按照等級保護和集中化的要求,需要對運營商數據業(yè)務系統(tǒng)進行安全域的劃分和邊界整合,明確數據業(yè)務系統(tǒng)組網結構。在此基礎上,進一步提出了數據業(yè)務系統(tǒng)安全防護策略,促進數據業(yè)務系統(tǒng)防護水平和安全維護專業(yè)化水平的整體提高。
1 數據業(yè)務系統(tǒng)網絡安全面臨的威脅
隨著全球信息化和網絡技術的迅猛發(fā)展,網絡安全問題日益嚴峻,黑客攻擊日益猖獗,尤其是以下幾個方面的問題引起了人們的廣泛關注,給電信信息化安全帶來了新的挑戰(zhàn)。
(1)黑客攻擊是竊取網站集中存儲信息的重要手段,通過獲取用戶口令,尋找出網絡缺陷漏洞,從而獲取用戶權限,達到控制主機系統(tǒng)的目的,導致用戶重要信息被竊取。
(2)隨著移動互聯網智能終端的快速發(fā)展,3G和wifi網絡的大量普及,惡意程序成為黑客攻擊智能終端的一個重要手段,針對智能終端的攻擊不斷增加,最終將導致重要資源和財產的嚴重損失。
(3)隨著電子商務的普及,人們現已逐步習慣通過支付寶、網上銀行或者第三方交易平臺進行交易,黑客將對金融機構中的信息實施更加專業(yè)化和復雜化的惡意攻擊。
(4)自韓國爆發(fā)大規(guī)模黑客入侵事件以來,APT(Advanced Persistent Threat)攻擊更加盛行,主要典型特征包括魚叉式釣魚郵件、水坑攻擊與自我毀滅等,由于APT攻擊具有極強的隱蔽能力和針對性,同時網絡風險與日劇增,傳統(tǒng)的安全防護系統(tǒng)很難抵御黑客的入侵,這就需要企業(yè)和運營商全方位提升防護能力。
(5)隨著云計算大規(guī)模的應用,作為一種新型的計算模式,對系統(tǒng)中的安全運營體系和管理提出了新的挑戰(zhàn),虛擬化軟件存在的安全漏洞需要更加全面地進行安全加固,建立一套完整的安全體制。
2 數據業(yè)務系統(tǒng)安全域劃分與邊界整合
2.1 安全域劃分的目的
安全域是指在同一系統(tǒng)內根據業(yè)務性質、使用主體、安全目標和策略等元素的不同來劃分的網絡邏輯區(qū)域,同一區(qū)域有相同的安全保護需求、安全訪問控制和邊界控制策略,網絡內部有較高的互信關系。
安全域劃分的目的是清晰網絡層次及邊界,對網絡進行分區(qū)、分等級防護,根據縱深防護原則,構建整體網絡的防護體系,抵御網絡威脅,保證系統(tǒng)的順暢運行及業(yè)務安全。通過安全域的劃分,可以有利于如下四方面:
(1)降低網絡風險:根據安全域的劃分及邊界整合,明確各安全域邊界的災難抑制點,實施縱深防護策略,控制網絡的安全風險,保護網絡安全。
(2)更易部署新業(yè)務:通過安全域劃分,明確網絡組網層次,對網絡的安全規(guī)劃、設計、入網和驗收總做進行指導。需要擴展新的業(yè)務時,根據新業(yè)務的屬性及安全防護要求,部署在相應的安全域內。
(3)IT內控的實效性增強:通過安全域的劃分,明確各安全域面臨的威脅,確定其防護等級和防護策略。另外,安全域劃分可以指導安全策略的制定和實施,由于同一安全域的防護要求相同,更有利于提高安全設備的利用率,避免重復投資。
(4)有利于安全檢查和評估:通過安全域劃分,在每個安全域部署各自的防護策略,構建整體防護策略體系,方便運維階段進行全局風險監(jiān)控,提供檢查審核依據。
2.2 安全域劃分
根據安全域的定義,分析數據業(yè)務系統(tǒng)面臨的威脅,確定威脅的類型及不同業(yè)務的安全保護等級,通常將數據業(yè)務系統(tǒng)劃分為四類主要的安全域:核心生產區(qū)、內部互聯接口區(qū)、互聯網接口區(qū)和核心交換區(qū)。
(1)核心生產區(qū):本區(qū)域由各業(yè)務的應用服務器、數據庫及存儲設備組成,與數據業(yè)務系統(tǒng)核心交換區(qū)直接互聯,外部網絡不能與該區(qū)域直接互聯,也不能通過互聯網直接訪問核心生產區(qū)的設備。
(2)內部互聯接口區(qū):本區(qū)域由連接內部系統(tǒng)的互聯基礎設施構成,主要放置企業(yè)內部網絡,如IP專網等連接,及相關網絡設備,具體包括與支撐系統(tǒng)、其它業(yè)務系統(tǒng)或可信任的第三方互聯的設備,如網管采集設備。
(3)核心交換區(qū):負責連接核心生產區(qū)、互聯網接口區(qū)和內部互聯接口區(qū)等安全域。
(4)互聯網接口區(qū):和互聯網直接連接,具有實現互聯網與安全域內部區(qū)域數據的轉接作用,主要放置互聯網直接訪問的設備(業(yè)務系統(tǒng)門戶)。
2.3 邊界整合
目前,對于以省為單位,數據業(yè)務機房一般是集中建設的,通常建設一個到兩個數據業(yè)務機房。進行數據業(yè)務系統(tǒng)邊界整合前,首先要確定邊界整合的范圍:至少以相同物理位置的數據業(yè)務系統(tǒng)為基本單位設置集中防護節(jié)點,對節(jié)點內系統(tǒng)進行整體安全域劃分和邊界整合。若物理位置不同,但具備傳輸條件的情況下,可以進一步整合不同集中防護節(jié)點的互聯網出口。
對節(jié)點內系統(tǒng)邊界整合的基本方法是將各系統(tǒng)的相同類型安全域整合形成大的安全域,集中設置和防護互聯網出口和內部互聯出口,集中部署各系統(tǒng)共享的安全防護手段,并通過縱深防護的部署方式,提高數據業(yè)務系統(tǒng)的安全防護水平,實現網絡與信息安全工作“同步規(guī)劃、同步建設、同步運行”。
通常數據業(yè)務系統(tǒng)邊界整合有兩種方式:集中防護節(jié)點內部的邊界整合和跨節(jié)點整合互聯網傳輸接口。
(1)集中防護節(jié)點內部的邊界整合
根據數據業(yè)務系統(tǒng)邊界整合的基本原則,物理位置相同的數據業(yè)務系統(tǒng)通常設置一個集中防護節(jié)點。在集中防護節(jié)點內部,根據安全域最大化原則,通過部署核心交換設備連接不同系統(tǒng)的相同類型子安全域,整合形成大的安全域,集中設置內部互聯出口和互聯網出口。整合后的外部網絡、各安全域及其內部的安全子域之間滿足域間互聯安全要求,整個節(jié)點共享入侵檢測、防火墻等安全防護手段,實現集中防護。
(2)跨節(jié)點整合互聯網傳輸接口
在具備傳輸條件的前提下,將現有集中防護節(jié)點的互聯網出口整合至互備的一個或幾個接口,多個集中防護節(jié)點共享一個互聯網傳輸出口。通過核心路由器連接位置不同的集中防護節(jié)點,并將網絡中的流量路由到整合后的接口。各節(jié)點可以保留自己的互聯網接口區(qū),或者進一步將互聯網接口區(qū)集中到整合后的接口位置。
在安全域劃分及邊界整合中,根據安全域最大化原則,多個安全子域會被整合在一個大的安全域內。同時,根據域間互聯安全要求和最小化策略,這些安全子域之間不能隨意互聯,必須在邊界實施訪問控制策略。
3 數據業(yè)務系統(tǒng)的安全防護策略
3.1 安全域邊界的保護原則
(1)集中防護原則:以安全域劃分和邊界整合為基礎,集中部署防火墻、入侵檢測、異常流量檢測和過濾等基礎安全技術防護手段,多個安全域或子域共享手段提供的防護;
(2)分等級防護原則:根據《信息系統(tǒng)安全保護等級定級指南》和《信息系統(tǒng)等級保護安全設計技術要求》的指導,確定數據業(yè)務業(yè)務系統(tǒng)邊界的安全等級,并部署相對應的安全技術手段。對于各安全域邊界的安全防護應按照最高安全等級進行防護;
(3)縱深防護原則:通過安全域劃分,在外部網絡和核心生產區(qū)之間存在多層安全防護邊界。由于安全域的不同,其面臨的安全風險也不同,為了實現對關鍵設備或系統(tǒng)更高等級防護,這就需要根據各邊界面臨的安全風險部署不同的安全技術及策略。
3.2 安全技術防護部署
對于數據網絡,一般安全防護手段有防火墻、防病毒系統(tǒng)、入侵檢測、異常流量檢測和過濾、網絡安全管控平臺(包含綜合維護接入、賬號口令管理和日志審計模塊)等5類通用的基礎安全技術。下面以數據業(yè)務系統(tǒng)安全域劃分和邊界整合為基礎,進行安全技術手段的部署。
(1)防火墻部署:防火墻是可以防止網絡中病毒蔓延到局域網的一種防護安全機制,但只限制于外部網絡,因此防火墻必須部署在互聯網接口區(qū)和互聯網的邊界。同時,對于重要系統(tǒng)的核心生產區(qū)要構成雙重防火墻防護,需要在核心交換區(qū)部署防火墻設備。由于安全域內部互聯風險較低,可以復用核心交換區(qū)的防火墻對內部互聯接口區(qū)進行防護,減少防火墻數量,提高集中防護程度。
(2)入侵檢測設備的部署:入侵檢測主要通過入侵檢測探頭發(fā)現網絡的入侵行為,能夠及時對入侵行為采取相應的措施。入侵檢測系統(tǒng)中央服務器集中部署在網管網中,并控制部署在內部互聯接口區(qū)和互聯網接口區(qū)之間的入侵檢測探頭,及時發(fā)現入侵事件。同時安全防護要求較高的情況下,將入侵檢測探頭部署在核心交換區(qū),通過網絡數據包的分析和判斷,實現各安全子域間的訪問控制。
(3)防病毒系統(tǒng)的部署:防病毒系統(tǒng)采用分級部署,對安全域內各運行Windows操作系統(tǒng)的設備必須安裝防病毒客戶端,在內部互聯接口子域的內部安全服務區(qū)中部署二級防病毒控制服務器,負責節(jié)點內的防病毒客戶端。二級服務器由部署在網管網中的防病毒管理中心基于策略實施集中統(tǒng)一管理。
(4)異常流量的檢測和過濾:為了防御互聯網病毒、網絡攻擊等引起網絡流量異常,將異常流量檢測和過濾設備部署在節(jié)點互聯網接口子域的互聯網邊界防火墻的外側,便于安全管理人員排查網絡異常、維護網絡正常運轉、保證網絡安全。
(5)網絡安全管控平臺:網絡安全管控平臺前置機接受部署在數據業(yè)務系統(tǒng)網管網內的安全管控平臺核心服務器控制,部署在各集中防護節(jié)點的內部互聯接口區(qū)的安全服務子域中,實現統(tǒng)一運維接入控制,實現集中認證、授權、單點登錄及安全審計。
(6)運行管理維護:安全工作向來三分技術、七分管理,除了在安全域邊界部署相應的安全技術手段和策略外,日常維護人員還要注重安全管理工作。一方面,對安全域邊界提高維護質量,加強邊界監(jiān)控和系統(tǒng)評估;另一方面,要從系統(tǒng)、人員進行管理,加強補丁的管理和人員安全培訓工作,提高安全意識,同時對系統(tǒng)及服務器賬號嚴格管理,統(tǒng)一分配。
4 結語
由于通信技術的快速發(fā)展, 新業(yè)務和新應用系統(tǒng)越來越多,主機設備數量巨大,網絡日益復雜,服務質量要求也越來越高。通過安全域的劃分,構建一個有效可靠的縱深防護體系,同時優(yōu)化了數據業(yè)務系統(tǒng),提高網絡運維效率,提高IT網絡安全防護等級,保證系統(tǒng)的順暢運行。
參考文獻
篇3
信息技術的發(fā)展給人們的生活帶來了天翻地覆的變化,計算機網絡已經融入了人們的日常生活中,改變著也同時方便了生活和工作。在人們對信息網絡的需求和依賴程度與日俱增的今天,網絡安全問題也越來越突出。因此,全面的分析影響網絡安全的主要原因,有針對性的提出進行網絡安全保護的相關對策具有十分重要的意義。Internet的的兩個重要特點就是開放性和共享性,這也是導致開放的網絡環(huán)境下計算機系統(tǒng)安全隱患產生的原因。隨著對網絡安全問題研究的不斷深入,逐漸產生了不同的安全機制、安全策略和網絡安全工具,保障網絡安全。
計算機網絡安全事實上是一門涉及多學科理論知識的綜合性學科,主要包括計算機科學、網絡技術、密碼技術、通信技術、數論、信息安全技術和信息論等多種不同學科。網絡安全防護是從硬件和軟件兩方面保護系統(tǒng)中的數據,使其免受惡意的入侵、數據更改和泄露、系統(tǒng)破壞,以保證系統(tǒng)能夠正常的連續(xù)運行,網絡不被中斷。
2 計算機網絡面臨的安全威脅
網絡面臨的安全威脅也是各種各樣,自然災害、網絡系統(tǒng)自身的脆弱性、誤操作、人為的攻擊和破壞等都是網絡面臨的威脅。
2.1 自然災害
計算機網絡也是由各種硬件搭建而成,因此也是很容易受到外界因素的影響。很多計算機安放空間都缺乏防水、防火、防震、防雷、防電磁泄露等相關措施,因此,一旦發(fā)生自然災害,或者外界環(huán)境,包括溫度、濕度等,發(fā)生劇烈變化時都會破化計算機系統(tǒng)的物理結構。
2.2 網絡自身脆弱性
(1)計算機網絡的基礎設施就是操作系統(tǒng),是所有軟件運行的基礎和保證。然而,操作系統(tǒng)盡管功能強大,具有很強的管理功能,但也有許多不安全因素,這些為網絡安全埋下了隱患。操作系統(tǒng)的安全漏洞容易被忽視,但卻危害嚴重。除操作系統(tǒng)外,其他軟件也會存在缺陷和漏洞,使計算機面臨危險,在網絡連接時容易出現速度較慢或死機現象,影響計算機的正常使用。
(2)計算機網絡的開放性和自由性,也為攻擊帶來了可能。開放的網絡技術,使得物理傳輸線路以及網絡通信協(xié)議也成為網絡攻擊的新目標,這會使軟件、硬件出現較多的漏洞,進而對漏洞進行攻擊,嚴重的還會導致計算機系統(tǒng)嚴重癱瘓。
(3)計算機的安全配置也容易出現問題,例如防火墻等,一旦配置出現錯誤,就無法起到保護網絡安全的作用,很容易產生一些安全缺口,影響計算機安全。加之現有的網絡環(huán)境并沒有對用戶進行技術上的限制,任何用戶可以自由的共享各類信息,這也在一定程度上加大了網絡的安全防護難度。
很多網民并不具有很強的安全防范意識,網絡上的賬戶密碼設置簡單,并且不注意保護,甚至很多重要賬戶的密碼都比較簡單,很容易被竊取,威脅賬戶安全。
2.3 人為攻擊
人為的攻擊是網絡面臨的最大的安全威脅。人為的惡意攻擊分為兩種:主動攻擊和被動攻擊。前者是指采取有效手段破壞制定目標信息;后者主要是為了獲取或阻礙重要機密信息的傳遞,在不影響網絡正常的工作情況下,進行信息的截獲、竊取、破譯。這兩種攻擊都會導致重要數據的泄露,對計算機網絡造成很大的危害。黑客們會利用系統(tǒng)或網絡中的缺陷和漏洞,采用非法入侵的手段,進入系統(tǒng),竊聽重要信息,或者通過修改、破壞信息網絡的方式,造成系統(tǒng)癱瘓或使數據丟失,往往會帶來嚴重不良影響和重大經濟損失。
計算機病毒是一種人為開發(fā)的可執(zhí)行程序,具有潛伏性、傳染性、可觸發(fā)性和嚴重破壞性的特點。一般可以隱藏在可執(zhí)行文件或數據文件中,不會被輕易發(fā)現,也就使計算機病毒的擴散十分迅速和難以防范,在文件的復制、文件和程序運行過程中都會傳播。觸發(fā)病毒后可以迅速的破壞系統(tǒng),輕則降低系統(tǒng)工作效率,重則破壞、刪除、改寫文件,使數據丟失,甚至會破壞系統(tǒng)硬盤。平時在軟盤、硬盤、光盤和網絡的使用中都會傳播病毒。近年來也出現了的很多惡性病毒,例如“熊貓燒香病毒”等,在網絡上迅速傳播,產生了十分嚴重的不良后果。
除病毒之外,垃圾郵件和間諜軟件等也會威脅用戶的隱私和計算機安全。
3 網絡安全防護措施
3.1 提高安全防護技術手段
計算機安全防護手段主要包括防火墻技術、加密技術、訪問控制和病毒防范等。總的來說,提高防護手段,主要是從計算機系統(tǒng)管理和物理安全兩方面著手。
計算機網絡安全,首先要從管理著手,一是對于使用者要進行網絡安全教育,提高自我防范意識。二是要依靠完整的網絡安全管理制度,嚴格網絡執(zhí)法,打擊不法分子的網絡犯罪。另外,要加強網絡用戶的法律法規(guī)意識和道德觀念,減少惡意攻擊,同時傳播網絡防范基本技能,使用戶能夠利用計算機知識同黑客和計算機病毒等相抗衡。
物理安全是提高網絡安全性和可靠性的基礎。物理安全主要是網絡的物理環(huán)境和硬件安全。首先,要保證計算機系統(tǒng)的實體在安全的物理環(huán)境中。網絡的機房和相關的設施,都有嚴格的標準和要求要遵循。還要控制物理訪問權限,防止未經授權的個人,有目的的破壞或篡改網絡設施。
3.2 完善漏洞掃描設施
漏洞掃描是一種采取自動檢測遠端或本地主機安全的技術,通過掃描主要的服務端口,記錄目標主機的響應,來收集一些特定的有用信息。漏洞掃描主要就是實現安全掃描的程序,可以在比較短的時間內查出系統(tǒng)的安全脆弱點,從而為系統(tǒng)的程序開發(fā)者提供有用的參考。這也能及時的發(fā)現問題,從而盡快的找到解決問題的方法。
4 結束語
經過本文的分析,在通訊技術高速發(fā)展的今天,計算機網絡技術也不斷的更新和發(fā)展,我們在使用網絡的同時,也要不斷加強計算機網絡安全防護技術。新的應用會不斷產生,網絡安全的研究也必定會不斷深入,以最大限度地提高計算機網絡的安全防護技術,降低網絡使用的安全風險,實現信息平臺交流的安全性和持續(xù)性。
參考文獻
[1]趙真.淺析計算機網絡的安全問題及防護策略[J].上海工程技術學院教育研究,2010,(03):65-66.
篇4
1.2入侵審計和防御體系不完善
隨著互聯網的快速發(fā)展,網絡攻擊、計算機病毒不斷變化,其破壞力強、速度快、形式多樣、難以防范,嚴重威脅企業(yè)網絡安全。當前,很多企業(yè)缺乏完善的入侵審計和防御體系,企業(yè)網絡的主動防御和智能分析能力明顯不足,檢查監(jiān)控效率低,缺乏一致性的安全防護規(guī)范,安全策略落實不到位。
2.構建企業(yè)網絡安全防護體系
2.1企業(yè)網絡安全防護體系構建目標
結合企業(yè)網絡的安全目標、使用主體、性質等因素,合理劃分企業(yè)邏輯子網,對不同的邏輯子網設置不同的安全防護體系,加強網絡邊界控制和安全訪問控制,保持區(qū)域之間的信任關系,構建企業(yè)網絡安全防護體系,實現網絡安全目標:第一,將大型的、復雜的企業(yè)網絡安全問題轉化為小區(qū)域的、簡單的安全防護問題,有效控制企業(yè)網絡系統(tǒng)風險,提高網絡安全;第二,合理劃分企業(yè)網絡安全域,優(yōu)化網絡架構,實現企業(yè)網絡安全設計、規(guī)劃和入網;第三,明確企業(yè)網絡各個區(qū)域的安全防護難點和重點,加大安全設備投入量,提高企業(yè)網絡安全設備的利用率;第四,加強企業(yè)網絡運行維護,合理部署企業(yè)網絡的審計設備,提供全面的網絡審核和檢查依據,為企業(yè)構建網絡安全防護體系提供重要參考。
2.2合理劃分安全域
現代化企業(yè)網絡可以按照系統(tǒng)行為、安全防護等級和業(yè)務系統(tǒng)這三種方式來劃分安全域。由于企業(yè)網絡在不同區(qū)域和不同層次關注的內容不同,因此在劃分企業(yè)網絡安全域時,應結合業(yè)務屬性和網絡管理,不僅要確保企業(yè)正常的生產運營,還應考慮網絡安全域劃分是否合理。針對這個問題,企業(yè)網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式,充分發(fā)揮不同方式的優(yōu)勢,結合企業(yè)網絡管理要求和網絡業(yè)務需求,有針對性地進行企業(yè)網絡安全域劃分。首先,根據業(yè)務需求,可以將企業(yè)網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網,企業(yè)網絡可以在外網用戶端和內網之間設置隔離,使外網服務和內網服務分離,隔離各種安全威脅,確保企業(yè)內網業(yè)務的安全性。其次,按照企業(yè)業(yè)務系統(tǒng)方式,分別劃分外網和內網安全域,企業(yè)外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網,內網可以分為辦公網、生產網,其中再細分出材料采購網、保管網、辦公管理網等子網,通過合理劃分安全域,確定明確的網絡邊界,明確安全防護范圍和對象目標。最后,按照網絡安全防護等級和系統(tǒng)行為,細分各個子網的安全域,劃分出基礎保障域、服務集中域和邊界接入域。基礎保障域主要用來防護網絡系統(tǒng)管理控制中心、軟件和各種安全設備,服務集中域主要用于防護企業(yè)網絡的信息系統(tǒng),包括信息系統(tǒng)內部和系統(tǒng)之間的數據防護,并且按照不同的等級保護要求,可以采用分級防護措施,邊界接入域主要設置在企業(yè)網絡信息系統(tǒng)和其他系統(tǒng)之間的邊界上。
2.3基于入侵檢測的動態(tài)防護
隨著網絡技術的快速發(fā)展,企業(yè)網絡面臨的安全威脅也不斷發(fā)生變化,網絡攻擊手段日益多樣化,新病毒不斷涌現,因此企業(yè)網絡安全防護體系構建應適應網絡發(fā)展和變化,綜合考慮工作人員、防護策略、防護技術等多方面的因素,實現基于入侵檢測的動態(tài)防護。基于入侵檢測的動態(tài)防護主要包括備份恢復、風險分析、應急機制、入侵檢測和安全防護,以入侵檢測為基礎,一旦檢測到企業(yè)網絡的入侵威脅,網絡系統(tǒng)立即啟動應急機制,如果檢測到企業(yè)網絡系統(tǒng)已經受到損壞,可利用備份恢復機制,及時恢復企業(yè)網絡設置,確保企業(yè)網絡的安全運行。通過動態(tài)安全防護策略,利用動態(tài)反饋機制,提高企業(yè)網絡的風險評估分析能力和主動防御能力。
2.4分層縱深安全防護策略
企業(yè)網絡安全防護最常見的是設置防火墻,但是網絡安全風險可能存在于企業(yè)網絡的各個層次,防火墻的安全防護作用比較有限。企業(yè)網絡可采用分層縱深安全防護策略,保障網絡安全防護的深度和廣度,構建高效、綜合、全面的安全防護體系,對于企業(yè)網絡中的應用層、數據層、系統(tǒng)層、網絡層和物理層分別采用信息保護、應用系統(tǒng)安全防護、數據庫安全防護、操作系統(tǒng)安全防護、網絡保護、物理安全保護等防護手段,根據不同網絡系統(tǒng)的特點,有針對性地進行安全防護,例如,在網絡層可利用資源控制模塊和訪問控制模塊,加強對網絡節(jié)點的訪問控制,在企業(yè)網絡的應用層和數據層設置身份授權和認證系統(tǒng),避免用戶的違規(guī)操作和越權操作。又例如,由于網絡環(huán)境比較復雜,可在企業(yè)網絡的應用層、數據層和系統(tǒng)層,設置網絡監(jiān)控和檢測模塊,保護企業(yè)網絡的服務器,防止權限濫用和誤操作。
篇5
網絡信息安全與計算機安全防護系統(tǒng)的開發(fā)與發(fā)展。隨著我國改革開發(fā)程度的不斷加深,網絡信息技術已經全面融入到人們的生活中了,并且在網絡技術進步的同時,計算機各種程序的開發(fā)運用隨之進步,嵌入式的計算機程序與軟件在網絡用戶中廣泛傳播,通過編程與計算將網絡運營商的計算機軟件系統(tǒng)應用于個人計算機中,大大方便了網絡用戶的使用,減少了在搜索以及緩沖上所浪費的時間,是網絡發(fā)展的一個里程碑。但是隨著時間的流失,這種計算機軟件編程中存在的問題暴露出來,嚴重影響了計算機網絡信息安全,需要人們進行反思與思考。
2、分析影響我國計算機網絡信息安全的問題與現象
2.1互聯網本身存在著威脅,影響計算機安全防護功能。互聯網本身作為一個用戶交流體驗平臺,是開放式的交流系統(tǒng),本身的安全維護系統(tǒng)很薄弱,對現有的互聯網威脅很難起到根本性的作用,使得網絡危險威脅到了網絡用戶的計算機。互聯網的網絡協(xié)議在設計時的目的只是為了進行更方便的用戶體驗,而對互聯網本身方面考慮不全。隨著網絡技術的快速發(fā)展,網絡協(xié)議的漏洞也隨之顯現出來,互聯網的用戶急劇增加,導致網絡用戶信息膨脹,不良信息與病毒流入到用戶的計算機中,嚴重威脅到了計算機網絡信息安全。
2.2網絡用戶不注意對計算機安全防護系統(tǒng)的日常使用與維護,影響了計算機安全防護系統(tǒng)的正常使用。網絡與計算機安全防護系統(tǒng)的主體是廣大網絡用戶們,因為用戶的不同心理與需求,使得用戶在計算機安全防護系統(tǒng)界面中的操作行為也是各種各樣的,部分用戶的行為就會造成對計算機安全防護系統(tǒng)的嚴重傷害。而且用戶的行為是難以預測的,在計算機安全防護系統(tǒng)系統(tǒng)的使用過程中,總會有難以預測的情況發(fā)生,導致計算機安全防護系統(tǒng)的部分功能喪失,直接造成計算機網絡信息安全受到威脅。
3、探究應對網絡信息安全問題的防護對策
3.1完善計算機安全防護系統(tǒng)的技術手段。個人計算機安全防護系統(tǒng)的技術系統(tǒng),包括網絡用戶的訪問控制程序,網絡用戶個人信息的加密程序,防毒防火墻技術程序,以及掃描漏洞的防漏程序。通過這幾項技術能夠很好的管理與保護用戶的計算機網絡信息安全。
用戶訪問控制程序,是計算機安全防護系統(tǒng)進行安全維護的第一項功能,它能夠辨別用戶是否有資格使用該計算機安全防護系統(tǒng),通過對網絡用戶身份的驗證,確定是否是正常使用,對保護用戶的個人使用功能起到了很好的作用,并且從源頭很好的實現了對計算機安全防護系統(tǒng)的管理與控制,從根本上保證了計算機網絡信息安全。
計算機安全防護系統(tǒng)的信息加密技術,這是應對網絡黑客對個人計算機的網絡信息進行盜竊的一種安全手段,通過在計算機安全防護系統(tǒng)中實施加密技術,可以防止計算機中用戶的實用信息遺漏,保護了用戶體驗的私密性,防止不法分子對計算機網絡信息安全的破壞,保護了用戶的計算機,是非常穩(wěn)固與常用計算機網絡信息安全防護手段。
反毒防火墻技術,這是在網絡安全與計算機安全防護系統(tǒng)衛(wèi)士中最常用的管理手段,是真正將計算機安全防護系統(tǒng)的使用與外部互聯網分割的網關,是保護計算機安全防護系統(tǒng)使用正常的重要手段,能夠時刻監(jiān)控越過防火墻的病毒與不良信息,保護計算機安全防護系統(tǒng)免受病毒的侵害,可以說反毒與防火墻技術是保護計算機網絡信息安全的重要技術,讓計算機安全防護系統(tǒng)做到獨立存在。最后是計算機安全防護系統(tǒng)自帶的漏洞防護掃描的技術,在計算機安全防護系統(tǒng)運轉到一定的程度與時間時,計算機安全防護系統(tǒng)的自身會受到一些損壞,出現管理bug,這時要進行計算機安全防護系統(tǒng)的漏洞掃描,并對出現的bug進行修復,保護計算機安全防護系統(tǒng)的核心完整,提高網絡用戶的信息安全程度。
3.2加強對計算機安全防護系統(tǒng)的周期性檢查與維護管理。計算機安全防護系統(tǒng)在運行過程中進行不斷地運算與運行,在經過一段時間后,自身的系統(tǒng)會出現bug與錯誤,影響計算機安全防護系統(tǒng)的使用,所以要通過對計算機安全防護系統(tǒng)的周期性管理與更新,來達到有效管理計算機安全防護系統(tǒng)的目的。網絡用戶在使用計算機安全防護系統(tǒng)的過程中要認識到,周期性的維護會完善計算機安全防護系統(tǒng)的使用,滿足網絡用戶的網絡需求,所以日常使用計算機安全防護系統(tǒng)的過程中,定時清理垃圾與緩存,是很好的維護手段,是保證計算機安全防護系統(tǒng)正常使用的重要手段,也是保障計算機網絡信息安全的重要渠道。
4、結束語
現如今的計算機技術與多媒體信息技術飛速發(fā)展,人們對于計算機安全防護系統(tǒng)的了解與認識也得到了大幅度的提高,但是網絡管理與維護問題是影響計算機網絡信息安全的一大障礙。近年來這類問題愈發(fā)嚴重,我們必須要做好對計算機安全防護系統(tǒng)的各種安全措施與維護手段,保證計算機安全防護系統(tǒng)的正常使用。
【參考文獻】
篇6
1.2網絡管理制度缺位
就管理制度而言,現階段網絡管理缺少一套整體適用的系統(tǒng)方案,在標準方面往往各自為政,大多數情況下都是根據各自需要選擇相應的安全手段,從而形成一個配合并不密切的整體。這樣如同臨時七拼八湊起來的結構,自然無法面對無處不在無從預防的網絡侵襲。雖然部分企業(yè)從全局出發(fā)進行安全技術設計,但是軟件和硬件本身的隔離,以及國家在系統(tǒng)軟件方面的力不從心,導致其自身的努力并不能完全實現。要完全改變現狀,就要從整體上重新設計架構,盡量明確管理,確定責任,并完善自身的防御功能,以緩解危機。
1.3網絡對應安全策略缺乏
現階段已正式建立了計算機網絡安全體系,但其應變不及時,在安全體系遭到破壞之后,恢復和修復工作不甚理想。而事先預防的難度又太大,難以完全做到防患未然。因此,企圖依靠預防來進行完全控制并不現實,而完全依靠恢復和補救的方式又比較被動。應急性的方案并不多,可以操作的臨時安全系統(tǒng)也缺乏實用性。“第二道防線”的建立,還需要付出更多的努力。對應的安全策略缺乏,還體現在面對各類不同的網絡侵襲行為時,由于相關的安全防護手段有其特定的安全防護范圍,不得不依靠多種安全技術互相堆疊,而這些技術可能會互相沖突,或者導致其中一部分失效,從而影響安全技術的整體應用和各個部分的有效發(fā)揮。
1.4局域網的開放性漏洞
局域網是建立在資源共享的基礎上的,因此其安全防護并沒有互聯網那樣嚴密,但是由于準入機制過于疏松,導致內部數據很容易被混進來的操作混亂和遺失。如局域網很容易被網絡釣魚者接入,然后竊取和篡改其資料,造成巨大的損失。總體來說,要在建設局域網的時候加強其端口的準入設計,對于連接外網的情況,要有足夠的審核方式來進行篩選和控制。
2網絡安全技術的發(fā)展前景
當前網絡技術存在的缺陷是“道高一尺魔高一丈”的狀況的體現,被動的安全技術對主動的破解技術而言是處于劣勢狀態(tài)的。但這并不會影響到網絡安全技術的發(fā)展前景,正因為面臨著更多安全威脅,才會刺激網絡安全技術的進一步發(fā)展,從而實現更高的飛躍。
2.1安全防護模式進入智能控制階段
網絡安全技術的發(fā)展是在收集數據、分析防御方式、尋找問題的過程中逐步發(fā)展起來的,現階段由于僅限于歸納已有的問題,而陷入被動的窘境之中。隨著網絡的進一步優(yōu)化,相信計算機的智能化會帶動安全技術的智能化,從而自動的進行最優(yōu)選擇。而隨著未來完善的NGN網絡的建立,相信這樣的控制并非虛妄之言。
篇7
1醫(yī)院信息化建設中的常見安全隱患
1.1技術因素
醫(yī)院信息化建設中,會廣泛的涉及到服務器、客戶端、鏈路、軟件系統(tǒng)、存儲與網絡設備等多種構成元素。醫(yī)院信息化建設有效的提升了整體的診療水平,提高工作效率與便捷性,但是網絡安全問題也日益突出,相關信息資源的泄露或者系統(tǒng)攻擊都極大的威脅了信息化建設的有序開展。在安全管理中,物理性環(huán)境安全、操作系統(tǒng)安全、數據備份安全等都是網絡系統(tǒng)建設的常見安全問題。而常規(guī)性的運用防火墻以及其他防病毒操作都無法有效的保證信息化平臺的安全性,容易引發(fā)數據泄露、損壞與丟失,進而干擾了醫(yī)院正常工作運轉,甚至也對患者個人信息構成泄露,急需要通過更強的防護技術來做保障。對于部分醫(yī)院而言,會簡單的認為設置一定安全防火墻就可以保障系統(tǒng)的安全性,甚至認為不需要其他安全防護來做安全保障,這主要是安全防護工作中缺乏與時俱進的先進意識,認識誤區(qū)較為明顯。而防火墻只是防護手段中的一種,能夠防御性的安全問題較為局限,對網絡內部與旁路攻擊都無法達到理想的防護效果,同時針對內容攻擊的問題也無法處理。部分設備中只是對攻擊行為進行警告,但是并不具備攻擊行為的防控能力。在數據庫升級中,可以到數據庫做用戶操作登錄記錄,可以達到操作源IP地址的定位,但是缺乏無法阻止其做惡性操作,例如對數據信息做惡意的竊取與篡改,甚至無法認定操作人員最終責任,因為賬戶登錄只需要賬戶與密碼就可以進行,但是這種登錄操作任何掌握信息的人都可以進行,無法達到全面的管控。此外,安全防護措施工作量大,操作復雜。在做IP與MAC地址綁定中,需要管理人員針對每臺交換機做操作,對綁定信息做逐條的輸入,工作負荷相對更大,操作缺乏高效便捷性。其次,如果有人懂得相關網絡基礎技術,可以輕易的做到IP與MAC地址的變更,從而引發(fā)綁定操作失效。此外,醫(yī)院主機裝備了殺毒軟件,然而由于數量較多,不能有效的對每個主機做殺毒軟件的統(tǒng)一性管控,對于病毒庫的更新以及軟件的開啟等情況都無法做有效確定,相應的系統(tǒng)補丁也不能及時有效更新,進而導致安全防護效果不能確定。雖然醫(yī)院投入大量的財力與人力做好安全防護措施處理,但是實際上缺乏可執(zhí)行性,同時由于各設備間缺乏關聯性,從而對于實際效果無法做有效評估與管控,安全防護措施與手段的運用則流于形式。
1.2人為因素
醫(yī)院信息化建設更多的操作需要人為進行,因此人為因素是網絡安全管理的重要因素。醫(yī)院沒有將網絡安全明確到人,缺乏責任制管理,無論是安全管理人員還是普通工作人員,缺乏足夠的安全管理意識。沒有形成規(guī)范合理的信息系統(tǒng)建設制度規(guī)范,導致實際操作無章可循。沒有強效的安全檢查與監(jiān)督機制,同時也沒有專業(yè)的第三方機構做安全性介入管理。相關工作人員缺乏專業(yè)資質認定,對于網絡安全沒有展開合宜的宣傳教育,同時也缺乏對應工作與行為考核,導致工作人員缺乏應有的安全責任觀念。因為工作人員缺乏安全意識與專業(yè)的安全能力,會出現將個人電腦接入醫(yī)院內部網絡,從而導致病毒攜帶入網,導致相關信息化系統(tǒng)運行故障。或則將醫(yī)療業(yè)務網絡電腦與互聯網、外網連通,導致相關網絡中的病毒、木馬程序進入到醫(yī)院的內部網絡,導致網絡病毒蔓延。工作人員會因為有職務的便利性,會訪問醫(yī)院有關數據庫,從而得到數據資料的竊取與篡改,進而導致相關經濟損失。同時黑客會通過技術手段接入到醫(yī)院內部網絡中,進行直接性的網絡攻擊,醫(yī)院與醫(yī)保網絡系統(tǒng)處于連通數據驗證操作所需,如果被攻擊則容易導致嚴重后果。
2醫(yī)院信息化建設中的網絡安全防護
2.1完善管理制度
醫(yī)院網絡運行保持安全性效果的基礎在于完善健全的制度管理,可以通過對醫(yī)院實際情況的了解,設置針對性安全管理操作制度、監(jiān)督制度、用人制度、激勵制度等多種內容。確保所有有關工作的開展有章可循,提升操作的標準性、可執(zhí)行性。要不斷的強化制度的權威性,讓工作人員對此保持謹慎態(tài)度,避免安全疏忽。
2.2安全管理細節(jié)措施
醫(yī)院網絡管理需要多方面的細節(jié)措施來保證。例如為了保證服務器能夠可靠穩(wěn)定的持續(xù)工作,需要運用雙機容錯與雙機熱備對應方案,對于關鍵性設備需要運用UPS來達到對主備機系統(tǒng)的有效供電,確保供電電壓持續(xù)穩(wěn)定供應,同時避免突發(fā)事件。網絡架構方面,需要將主干網絡鏈路采用冗余模式,這樣如果出現部分線路故障,其余的冗余線路可以有效繼續(xù)支持整個網絡的運轉。需要運用物理隔離處理來對相關信息數據傳輸設備保持一定的安全防護,避免其他非專業(yè)人員或者惡意破壞人員對設備進行破壞,需要做好業(yè)務內網與外網連通的隔離,避免網絡混合后導致的攻擊影響或者信息泄露。對于醫(yī)院內部的信息內容,需要做好數據與系統(tǒng)信息的備份容災體系構建,這樣可以有效的在機房失火或者系統(tǒng)運行受到破壞時快速的恢復系統(tǒng)運行。要展開網絡系統(tǒng)的權限設置,避免違規(guī)越權操作導致系統(tǒng)信息數據的修改有著竊取,要做好數據庫審計日志,對于相關數據做動態(tài)性的跟蹤觀察與預警。
2.3技術手段升級
在網絡安全防護措施上需要保持多樣化與多層次的防護管理,積極主動的尋找管理漏洞,有效及時的修補管理不足。對網絡設備做好殺毒軟件的有效管控,建立內外網間的防火墻,限制網絡訪問權限,做好網絡攻擊預警與防護處理。對于網絡系統(tǒng)各操作做有效記錄跟蹤,最安全漏洞做到及時發(fā)現并修復。要投入足夠人力與財力,優(yōu)化工作人員技術水平,從而有效的保證技術手段的專業(yè)完善性。
結束語
醫(yī)院信息化建設中網絡安全需要醫(yī)院所有人員的配合,提升安全意識,規(guī)范安全管理制度與行為,確保網絡安全的有序進行。
參考文獻
[1]李騫.醫(yī)院信息化建設中的網絡安全與防護措施探析[J].網絡安全技術與應用,2015(9):43,45.
篇8
煙草企業(yè);網絡安全防護;體系建設
隨著信息化的逐步發(fā)展,國內煙草企業(yè)也愈加重視利用網絡提高生產管理銷售水平,打造信息化時代下的現代煙草企業(yè)。但享受網絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網絡威脅給企業(yè)信息安全方面帶來的影響。因此,越來越多的煙草企業(yè)對如何強化網絡安全防護體系建設給予了高度關注。
1威脅煙草企業(yè)網絡信息體系安全的因素
受各種因素影響,煙草企業(yè)網絡信息體系正遭受到各種各樣的威脅。
1.1人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊,這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2軟硬件因素
網絡安全設備投資方面,行業(yè)在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位,但各類應用系統(tǒng)、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發(fā)展迅速,超出防火墻屏蔽能力等,都使企業(yè)安全防護網絡遭受嚴重威脅。
1.3結構性因素
煙草企業(yè)現有的網絡安全防護體系結構,多數采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產生干擾。利用系統(tǒng)存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網絡使用者因系統(tǒng)過于復雜而導致錯誤操作,都可能造成網絡安全問題。
2煙草企業(yè)網絡安全防護體系建設現狀
煙草企業(yè)網絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1業(yè)務應用集成整合不足
不少煙草企業(yè)防護系統(tǒng)在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協(xié)同性,安全防護信息沒有實現跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2信息化建設特征不夠明顯
網絡安全防護體系建設是現代煙草企業(yè)的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規(guī)范體系化等方面的建設工作都較為滯后。主營煙草業(yè)務沒有同信息化建設高度契合,對影響企業(yè)發(fā)展的管理制度、業(yè)務需求、核心數據和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協(xié)調,致使在信息化建設中,業(yè)務、管理、技術“三位一體”的要求并未落到實處,影響了網絡安全防護的效果。
2.3安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業(yè)信息化建設的各個環(huán)節(jié),加上企業(yè)信息化治理模式構建不成熟等原因,制約了企業(yè)安全綜合防范能力與運維保障體系建設的整體效能,導致在網絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網站等反復侵襲。
3加強煙草企業(yè)網絡安全防護體系建設的策略
煙草企業(yè)應以實現一體化數字煙草作為建設目標,秉承科學頂層設計、合理統(tǒng)籌規(guī)劃、力爭整體推進的原則,始終堅持兩級主體、協(xié)同建設和項目帶動的模式,按照統(tǒng)一架構、安全同步、統(tǒng)一平臺的技術規(guī)范,才能持續(xù)推動產業(yè)發(fā)展同信息化建設和諧共生。
3.1遵循網絡防護基本原則
煙草企業(yè)在建設安全防護網絡時,應明白建設安全防護網絡的目標與原則,清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分,不同區(qū)域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網絡邊界更為明確,相互之間更為信任。要對已出現的安全問題進行認真分析,并歸類統(tǒng)計,大的問題盡量拆解細分,類似的問題歸類統(tǒng)一,從而將復雜問題具體化,降低網絡防護工作的難度。對企業(yè)內部網絡來說,應以功能為界限來劃分,以劃分區(qū)域為安全防護區(qū)域。同時,要不斷地完善安全防護體系建設標準,打破不同企業(yè)之間網絡安全防護體系的壁壘,實現信息資源更大程度上的互聯互通,從而有效地提升自身對網絡威脅的抵御力。
3.2合理確定網絡安全區(qū)域
煙草企業(yè)在使用網絡過程中,不同的區(qū)域所擔負的角色是不同的。為此,內部網絡,在設計之初,應以安全防護體系、業(yè)務操作標準、網絡使用行為等為標準對區(qū)域進行劃分。同時,對生產、監(jiān)管、流通、銷售等各個環(huán)節(jié),要根據其業(yè)務特點強化對應的網絡使用管理制度,既能實現網絡安全更好防護,也能幫助企業(yè)實現更為科學的管控與人性化的操作。在對煙草企業(yè)網絡安全區(qū)域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態(tài)度,根據企業(yè)實際情況,以現有的網絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3大力推行動態(tài)防護措施
根據網絡入侵事件可知,較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業(yè)在構建網絡安全防護體系時,應根據不同的威脅形式確定相應的防護技術,且系統(tǒng)要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業(yè)所遭受的網絡威脅進行分析,確定系統(tǒng)存在哪些漏洞、留有什么隱患,實現入侵實時監(jiān)測和系統(tǒng)動態(tài)防護。系統(tǒng)還需建立備份還原模塊和網絡應急機制,在系統(tǒng)遭受重大網絡威脅而癱瘓時,確保在最短的時間內恢復系統(tǒng)的基本功能,為后期確定問題原因與及時恢復系統(tǒng)留下時間,并且確保企業(yè)業(yè)務的開展不被中斷,不會為企業(yè)帶來很大的經濟損失。另外,還應大力提倡煙草企業(yè)同專業(yè)信息防護企業(yè)合作,構建病毒防護戰(zhàn)略聯盟,為更好地實現煙草企業(yè)網絡防護效果提供堅實的技術支撐。
3.4構建專業(yè)防護人才隊伍
人才是網絡安全防護體系的首要資源,缺少專業(yè)性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業(yè)網絡安全防護的工作專業(yè)性很強,既要熟知信息安全防護技術,也要對煙草企業(yè)生產全過程了然于胸,并熟知國家政策法規(guī)等制度。因此,煙草企業(yè)要大力構建專業(yè)的網絡信息安全防護人才隊伍,要采取定期選送、校企聯訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業(yè)現有信息安全防護人員的能力素質,也要積極同病毒防護企業(yè)、專業(yè)院校和科研院所合作,引進高素質專業(yè)技術人才,從而為企業(yè)更好地實現信息安全防護效果打下堅實的人才基礎。
3.5提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統(tǒng)也不能取得好的效果。煙草企業(yè)要設立專門的信息管理培訓中心,統(tǒng)一對企業(yè)網絡安全防護系統(tǒng)進行管理培訓,各部門、各環(huán)節(jié)也要設立相應崗位,負責本崗位的網絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監(jiān)督下,都要在網絡使用制度的規(guī)則框架中,杜絕違規(guī)使用網絡、肆意泄露信息等現象的發(fā)生。對全體員工開展網絡安全教育,提升其網絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規(guī)地使用信息網絡。
4結語
煙草企業(yè)管理者必須清醒認識到,利用信息網絡加快企業(yè)升級換代、建設一流現代化煙草企業(yè)是行業(yè)所向、大勢所趨,絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰(zhàn),以實事求是的態(tài)度,大力依托信息網絡安全技術,構建更為安全的防護體系,為企業(yè)做大做強奠定堅實的基礎。
參考文獻:
[1]楊波.基于安全域的煙草工業(yè)公司網絡安全防護體系研究[J].計算機與信息技術,2012(5).
篇9
1、網絡安全的概念。網絡安全是指網絡系統(tǒng)中的各個部件、軟件以及數據的安全,它是通過對網絡信息的存儲、傳輸和使用的過程實現,包含兩個方面,一是物理安全,即保障網絡設備的安全,使其能夠正常穩(wěn)定地提供網絡服務;二是邏輯安全,即保證在網絡中存儲和傳輸的信息的安全性。2、影響網絡安全的因素。網絡安全在現實生活會受到很多因素的影響,其中有人為的和自然的因素,包括系統(tǒng)配置不當,計算機病毒木馬,軟件漏洞等,均會對網絡安全造成極大的危害。
二、網絡安全防護
網絡安全防護是一種網絡安全技術,該技術致力于解決有效進行介入控制,保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網絡結構安全分析技術,系統(tǒng)安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略。
針對網絡上各種安全問題和隱患,為了最大程度的減小損失,可以采用如下技術進行網絡安全防護。
1、防火墻技術。防火墻是一種由軟件和硬件結合構成的將內部網絡與公用網絡分隔開的隔離系統(tǒng),用來在兩個網絡之間進行接入控制,從而可以防止非法用戶訪問和修改內部網絡的數據,可以有效的將網絡分隔開,確保內部網絡安全。
2、數據加密技術。為了提高網絡中傳輸的數據和信息的安全性,可以采用數據加密技術對重要的數據進行加密,防止機密信息被竊取泄露,其中常采用對稱加密和非對稱加密對信息進行加密算法,從而實現對數據信息的加密保護。
3、入侵檢測技術。通過入侵檢測技術,可以對網絡系統(tǒng)中的幾個節(jié)點進行檢測,通過分析采集的數據信息,判斷網絡中是否有不安全操作行為及是否遭到攻擊。入侵檢測系統(tǒng)對網絡的監(jiān)測不會影響網絡的正常運行,它能實時地對網絡進行檢測從而及時采取防護手段保護網絡安全。
4、網絡掃描技術。通過網絡掃描技術,可以對復雜網絡進行掃描從而發(fā)現網絡系統(tǒng)中的安全漏洞,并及時對發(fā)現的漏洞進行相應的處理,采取必要的措施。網絡掃描技術可以強化網絡系統(tǒng),是一種主動的防御策略,通過對網絡系統(tǒng)的強化來防止網絡安全受到侵害。
5、虛擬專用網。虛擬專用網(VPN)是一種在一定網絡協(xié)議基礎上,公網中邏輯上獨立的專用網,通過虛擬專用網,用戶可以通過公網中的虛擬專線實現數據的傳輸,從而保障了傳輸數據的安全性。
6、病毒防護技術。隨著網絡的發(fā)展,病毒的傳播也變得更加迅速,對網絡和計算機具有巨大危害。
三、思科網絡安防系統(tǒng)
思科作為一家世界500強企業(yè),作為一個在互聯網解決方案提供領域的佼佼者,十分重視網絡安全及防護,其用戶遍及世界各地各大企業(yè),領域涉及各個行業(yè),可見其網絡安防系統(tǒng)的安全可靠性。
1、思科的網絡安全設計架構。安全域要在五個層次上隔離,即物理上隔離、邏輯上隔離、策略上隔離、應用上隔離、準入上隔離。而對網絡安全域的劃分需要對網絡系統(tǒng)中各個設備進行集成化、模塊化并實現階梯式安全。
2、思科自防御網絡。思科自防御網絡是針對網絡中的攻擊和威脅進行識別、主動防御和應對的新型網絡戰(zhàn)略,通過三個階段實現對網絡的安全防護。(1)集成化的安全系統(tǒng)。(2)協(xié)作化的安全系統(tǒng)。(3)智能化的自適應安全系統(tǒng)。
3、思科SMB級安全網絡平臺。采用了思科自防御網絡安全的組件,思科的SMB級安全網絡平臺還具備成本較低的優(yōu)勢,非常適合一些中小企業(yè)使用,這一經濟有效的方案保證了連通性、簡潔性、安全性以及可擴展性,能夠幫助企業(yè)優(yōu)化其運營,提升企業(yè)競爭力。
四、結語
計算機和網絡的擴大與普及已成為不可逆轉的趨勢,而網絡中影響網絡安全和穩(wěn)定的因素也必將隨之不斷增加,人們越來越開始重視網絡中數據信息的安全可靠性,因此網絡安全防護的重要地位將得到進一步顯現。
參考文獻
篇10
篇11
目前,國內對電子圖書館的使用還處于較低層次,人們在使用電子圖書館的過程中,過于注重電子圖書館的便利性和實用性,對相關安全防護工作不夠重視,導致一些圖書館的信息處于開放狀態(tài),相關網絡病毒很容易進入,嚴重時會導致整個管理系統(tǒng)癱瘓。因此,采取合理有效的措施對電子圖書館進行防護是很有必要的。
1.數字圖書館計算機網絡的安全防護技術的基本概念
所謂數字圖書館計算機網絡的安全防護技術,就是采取相應的預防手段確保數字圖書館內部的組成部分不受病毒等有害物質損壞,從而確保各個程序有效運行,且在相關數據信息傳播過程中,數據信息不被盜取或者阻礙等。
數字圖書館計算機網絡的安全防護技術具有以下幾方面特點:(1)保密性,所有相關信息在儲存、傳輸及瀏覽過程中,不被外界因素侵害;(2)完整性,確保信息數據在傳輸過程中不被非法途徑損壞;(3)實用性,電子圖書館主要作用就是給人們提供快捷服務,因此,要確保相關數據信息具有很強的實用性。
2.數字圖書館計算機網絡存在的安全問題
2.1病毒傳播帶來的安全問題
網絡病毒作為計算機系統(tǒng)最大的危害因素之一,一旦系統(tǒng)被病毒入侵就會導致相關數據損壞或者丟失。此外,網絡病毒還可以入侵電子圖書館的硬盤,并且可以盜取或者破壞硬盤內儲存的相關數據信息,從而阻礙計算機網絡系統(tǒng)正常運作。病毒的入侵還會導致信息數據傳輸異常,從而影響人們的正常工作。
2.2非法破壞電子圖書館系統(tǒng)
一些不法分子利用不正當的手段對電子圖書館系統(tǒng)進行破壞,對硬盤內儲存的信息進行修改和盜取,嚴重時會對相關系統(tǒng)進行破壞,因此采用相應的預防措施是很有必要的。
3.數字圖書館安全防護措施
3.1采用預防病毒的安全防護技術
現階段對數字圖書館危害最嚴重的就是網絡病毒,因此,使用一些殺毒軟件或者防火墻,是進行電子圖書館網絡保護的主要手段。此外,還可以安裝反病毒裝置,從而提升電子圖書館的安全性能,并且對相關數據信息進行二次儲備,避免不安全情況發(fā)生。
3.2數字圖書館數據信息安全防護措施
數字圖書館數據信息安全防護措施主要可以從以下幾方面進行:
(1)使用安全加密算法,把重要相關數據信息轉換為密碼文本,這樣即使數據信息在傳遞過程中被攔截,也很難進行破譯,確保數據傳遞的安全性。加密算法又被簡單地分為相應密匙加密算法和顯示密匙加密算法,相應密匙加密算法較為簡單,指加密和解密采用相同的算法,一般使用在對數據信息要求不高的行業(yè);顯示密匙加密算法比較復雜,加密和解密使用不同算法,因此,被廣泛使用在大型企業(yè)中。電子圖書館一般使用相應密匙加密算法。
(2)隨著信息計算不斷發(fā)展,國內已經研究出信息偽裝安全防護技術,對不法分子可以進行攻擊,還可以避免電子圖書館信息數據被破壞,簡單來說就是將相關文本、圖片等相關信息進行隱藏,從而達到預防保護的目的。
(3)水印安全防護技術,在信息數據傳輸過程中,可以將相關信息數據隱藏在水印中,從而起到保護作用。
3.3數字圖書館網絡安全防護技術
現階段最流行的就是網絡防火墻,可以對電子圖書館的網頁進行監(jiān)督和管理。網絡防火墻具有監(jiān)督管理電子圖書館信息不受侵害,并且可以在非法手段干擾數據傳輸時,對傳輸的信息流量進行控制,盡可能控制在預期傳輸軌道上。網絡安全防火墻能夠阻止外來危險源的攻擊,不管是在系統(tǒng)內部,還是外部都可以起到監(jiān)管作用,對電子圖書館的持續(xù)穩(wěn)定運行有很大幫助。
3.4用戶安全防護措施
圖書館的主要作用就是為人服務,確保用戶準確及時地獲得相關網絡數據信息。用戶的安全防護措施有以下兩個方面:
(1)對用戶的身份進行注冊和鑒別,避免非法手段危害用戶的合法權益。
(2)對用戶進行安全危害等級劃分,簡單來說就是根據用戶的威脅等級進行劃分。現階段使用的用戶安全認證手段較為簡單,很容易被非法手段入侵,因此,提升用戶認證標準是很重要的。
結語
現階段影響數字圖書館的安全因素較多。因此,為了確保數字圖書館能夠安全有效地為人們服務,對數字圖書館計算機網絡采取相應安全防護手段很有必要。
參考文獻:
篇12
一、網絡安全概述
(一)網絡安全的基本概念
網絡安全包括物理安全和邏輯安全。對于物理安全,需要加強計算機房管理,如門衛(wèi)、出入者身份檢查、下班鎖門以及各種硬件安全手段等預防措施;而對于后者,則需要用口令、文件許可和查帳等方法來實現。
(二)網絡面臨的主要攻擊
⑴ 緩沖區(qū)溢出。
⑵ 遠程攻擊。
⑶ 口令破解。
⑷ 超級權限。
⑸ 拒絕服務(DDOS)。
二、安全需求
通過對網絡系統(tǒng)的風險分析,我們需要制定合理的安全策略及安全方案來確保網絡系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。即,
可用性: 授權實體有權訪問數據。
機密性: 信息不暴露給未授權實體或進程。
完整性: 保證數據不被未授權修改。
可控性: 控制授權范圍內的信息流向及操作方式。
可審查性:對出現的安全問題提供依據與手段。
訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網絡,由于不同的應用業(yè)務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計: 是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網絡監(jiān)控與入侵防范系統(tǒng),識別網絡各種違規(guī)操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏
三、網絡安全防護策略
個人建議采用如下的安全拓撲架構來確保網站的安全性,其中我們主要采用以下五項高強度的安全防護措施:如圖3-1所示:
(一)層層布防
從上圖中,我們可以看到,我們將安全層次劃分為四個層次,不同的層次采用不同的策略進行有效的安全防護。
第一個層次,是外部Internet,是不能有效確定其安全風險的層次,我們的安全策略就是要重點防護來自于第一個層次的攻擊。
第二個層次,是通過路由器后進入網站的第一個安全屏障。該層主要由防火墻進行防護和訪問控制,防火墻在安全規(guī)則上,只開放WWW,POP3,SMTP等少數端口和服務,完全封閉其他不必要的服務端口,阻擋來自于外部的攻擊企圖。同時,為了反映防火墻之內的實際安全狀態(tài),部署網絡入侵檢測系統(tǒng)(IDS)。入侵檢測系統(tǒng)可以檢測出外部穿過防火墻之后的和網絡內部經過交換機對外的所有數據流中,有無非法的訪問內網的企圖、對WWW服務器和郵件服務器等關鍵業(yè)務平臺的攻擊行為和內部網絡中的非法行為。對DDOS攻擊行為及時報警,并通過與防火墻的聯動及時阻斷,網絡遭受DDOS攻擊。
第三個層次,是一個中心網絡的核心層,部署了網絡處置中心的所有重要的服務器。在該層次中,部署了網站保護系統(tǒng),防范網頁被非法篡改。
此外,還部署網絡漏洞掃描系統(tǒng),定期或不定期的對接服務器區(qū)進行漏洞掃描,幫助網管人員及時了解和修補網絡中的安全漏洞。這種掃描服務可以由網絡安全管理人員完成,或者由安全服務的安全廠商及其高級防黑客技術人員完成。
第四個層次,是網絡安全中心網絡的數據存儲中心,放置了數據庫服務器和數據庫備份服務器。在該層次中,部署了防火墻,對數據庫的訪問通過防火墻進行過濾,保證數據的安全性。
(二)多種防護手段
我們設計的高強度安全防護措施,包括多種防護手段,即有靜態(tài)的防護手段,如防火墻,又有動態(tài)的防護手段,如網絡IDS、網絡防病毒系統(tǒng)。同時,也考慮到了恢復和響應技術,如網站保護和恢復系統(tǒng)。不同的防護手段針對不同的安全需求,解決不同的安全問題,使得網絡防護過程中不留安全死角。
(三)防火墻系統(tǒng)
防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發(fā)生不可預測的、潛在破壞性的侵入。防火墻是指設置在不同網絡(如可信任的企業(yè)內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
防火墻可通過監(jiān)測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。在此次的網絡系統(tǒng)安全建設完成后,防火墻將承擔起對合法地址用戶的路由和對私網地址用戶的地址轉換任務(NAT),同時,將根據需要對進出訪問進行控制。防火墻可將網絡分成若干個區(qū)域,Trust(可信任區(qū),連接內部局域網),Untrust(不信任區(qū),連接Internet ),DMZ(中立區(qū),連接對外的WEB server、e-Mail server 等)之后,還可以由客戶自行定義安全區(qū)域。
(四)網絡入侵檢測系統(tǒng)的作用
通過使用網絡入侵檢測系統(tǒng),我們可以做到:發(fā)現誰在攻擊網絡:解決網絡防護的問題(網絡出入口、DMZ、關鍵網段)。了解接網絡如何被攻擊:例如,如果有人非法訪問服務器,需要知道他們是怎么做的,這樣可以防止再次發(fā)生同樣的情況。IDS可以提供攻擊特征描述,還可以進行逐條的記錄回放,使網絡系統(tǒng)免受二次攻擊。
處置中心網絡的內部危險:放置在網絡中的IDS會識別不同的安全事件。減輕潛在威脅:可以安裝在特定的網絡中,確定依具體情況而定的或是所懷疑的威脅,通過策略阻斷和其它安全產品進行全面防護。事后取證:從相關的事件和活動的多個角度提供具有標準格式的獨特數據。實現安全事件來源追查。 DDOS攻擊防范:通過實時監(jiān)控網絡流量,及時發(fā)現異常流量并報警,通過和防火墻聯動,對DDOS攻擊進行阻斷。
四、安全服務
網絡是個動態(tài)的系統(tǒng),它的變化包括網絡設備的調整,網絡配置的變化,各種操作系統(tǒng)、應用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網絡結構和應用的不斷變化,安全策略可能失效,必須及時進行相應的調整。由于這方面相對比較復雜、篇幅所限,在此就不累述了,有興趣讀者可以另行查閱相關資料。
五、總結
毫無疑問,安全是一個動態(tài)的問題。在做未來的計劃時,既要考慮用戶環(huán)境的發(fā)展,也要考慮風險的發(fā)展,這樣才能讓安全在操作進程中占有一席之地。最謹慎、最安全的人會將他們的信息放在屋子里鎖好,妥善地保護起來。歸納起來,對網絡安全的解決方案從人員安全、物理層安全、邊界安全、網絡安全、主機安全、應用程序和數據安全這幾方面入手即可。上述幾個方面做好之后,我們就可以讓一個網絡系統(tǒng):
進不來: 通過物理隔離等手段,阻止非授權用戶進入網絡。
拿不走: 使用屏蔽、防下載機制,實現對用戶的權限控制。
讀不懂: 通過認證和加密技術,確信信息不暴露給未經授權的人或程序。
改不了: 使用數據完整性鑒別機制,保證只有允許的人才能修改數據。
走不脫: 使用日志、安全審計、監(jiān)控技術使得攻擊者不能抵賴自己的行為。
參考文獻:
[1]沈昌祥.信息安全縱論[M].武漢:湖北科學技術出版社.2002年版.
篇13
計算機網絡運行環(huán)境為確保計算機網絡機房安全穩(wěn)定運行而提供的適宜的環(huán)境稱之為計算機網絡運行環(huán)境。其中涉及到很多方面,如機房的空氣純凈度以及溫濕度等,并且能夠確保供電可靠性,能有效避免因突然斷電而導致的網絡設備損壞,如果其中任意一項出現問題的話,就很容易對整個網絡的安全運行產生影響[3]。建立健全機房安全保衛(wèi)機制對確保計算機機房安全穩(wěn)定運行有著重要意義,從實際情況來看,未能夠嚴格落實機房管理規(guī)定很容易導致計算機機房出現安全問題,比如由于某些用戶誤碰機房硬件設備而造成的設備連通性問題;或者因網絡設置被人為更改而造成網絡安全程度有所下降。此外,網絡設備和電纜被盜而造成的機房癱瘓事件也不容忽視,基于此,對計算機網絡硬件運行環(huán)境進行必要的維護是確保計算機安全運行的重要舉措。
計算機網絡設備通常情況下,路由器、集線器、服務器中的硬盤陣列以及交換機等硬件設備共同構建了局域網。因此上述各部件能否正常運行直接關系到計算機網絡能否安全運行。第一,必須確保計算機網絡結構科學合理,這樣就能夠采取優(yōu)化網絡結構措施使計算機網絡健壯性進一步增強,同時還能夠對交換機和集線器等硬件設備進行科學合理的設置,以便實現網絡安全運行。第二,目前最為常見的網絡電纜非雙絞線莫屬,因此雙絞線水晶頭制作質量的高低對計算機網絡能否正常運行有直接影響[4]。第三,電磁干擾也會影響到計算機網絡運行安全,所以在布控網線過程中,應確保同強電線路間保持足夠的安全距離。第四,作為局域網中最為重要的硬件設備之一,服務器上磁盤安全性的高低也會對網絡運行安全產生直接影響。另外,機房設備是否可靠接地對其能否正常運行也起著不可忽視的作用。
計算機軟件存在的安全問題計算機軟件主要有兩部分組成,一部分是計算機操作系統(tǒng),另一部分為應用軟件。windows、linux和unix是當下常用的三種計算機操作系統(tǒng),但無論哪種操作系統(tǒng)都存在不同程度的安全漏洞,正是由于這些安全漏洞的存在才為木馬和病毒等形式的非法入侵提供了機會,如果未針對這些漏洞及時采取相應的安保措施,很容易對計算機網絡運行安全帶來致命打擊[5]。windows的PRC漏洞、溢出漏洞等是目前較為常見的幾種漏洞,一些惡意攻擊者經常會利用這些漏洞攻擊計算機操作系統(tǒng),進而使操作系統(tǒng)出現故障。同時,操作系統(tǒng)體系結構所存在的缺陷也是影響網絡安全的主要因素,操作系統(tǒng)內部由各個功能不同的模塊所組成,如果其中任意一個模塊出現問題都會導致計算機系統(tǒng)癱瘓。此外,應用軟件以及數據庫等方面存在的安全漏洞也會成為非法攻擊者破壞計算機網絡安全的主要途徑,所以加強應用軟件以及數據庫的安全維護對計算機網絡安全可靠運行有重要意義。
計算機網絡病毒所謂計算機網絡病毒指的是惡意攻擊者在計算機程序中植入或編制的能夠對計算機數據和功能產生破壞作用,從而對計算機的正常使用功能產生影響,并具備自我復制功能的一組程序代碼或計算機指令。傳染性、破壞性和復制性是計算機網絡病毒的主要特點。以傳播途徑為依據可以將計算機網絡病毒分為兩大類,分別為郵件型病毒和漏洞型病毒。網絡電子郵件是郵件類病毒的主要傳播途徑,這類病毒會偽裝成用戶容易點擊的虛假信息隱藏在附件內,一旦用戶點擊隱藏病毒的附件,就會使這類病毒趁虛而入。微軟windows操作系統(tǒng)存在的安全漏洞是漏洞型病毒的主要傳播途徑。如果用戶未及時對發(fā)現的windows系統(tǒng)漏洞進行修補,漏洞型病毒很可能會趁此機會非法入侵該用戶的計算機。
計算機網絡安全的防范對策
網絡安全與網絡系統(tǒng)息息相關,要想確保計算機網絡能夠安全穩(wěn)定運行,應從以下幾方面著手。
管理安全對策作為計算機安全運行的重中之重,管理問題尤為重要。人是操作計算機系統(tǒng)的主體,因此人為操作失誤也是影響網絡安全運行的主要因素之一。基于此,必須建立健全網絡管理機制,只有實現人為操作規(guī)范化管理,才能夠有效避免人為操作失誤安全隱患。此外,還應采取有效措施提高計算機管理人員的安全防護意識,并制定一套行之有效的網絡安全應急防護方案。
計算機系統(tǒng)的安全對策隨著網絡時代的到來,計算機信息技術也得到了飛速發(fā)展,不過隨之而來的是計算機病毒的傳播也呈現出多樣化趨勢,要想確保計算機網絡運行的安全可靠性,不僅僅要進一步提升廣大計算機用戶的安全防護意識,更為重要的是加大對計算機病毒的防護力度。常見的計算機系統(tǒng)安全防護手段主要有以下幾方面:計算機用戶不要隨意打開或進入具有欺騙性的郵件或網站;加強對計算機病毒防護知識的學習,及時發(fā)現并解決計算機異常問題,以便有效預防計算機病毒攻擊,確保計算機系統(tǒng)安全穩(wěn)定運行。另外,對于一旦遭受病毒攻擊就會造成巨大經濟損失或其它損失的網絡用戶而言,應及時做好系統(tǒng)備份工作。
計算機實體的物理防護對策計算機物理安全很容易被人們所忽視,事實上,包括計算機硬件以及通信線路等在內的一些實體設備的安全防護也會對計算機系統(tǒng)安全運行產生直接影響,如果這些實體設備出現不同程度的故障,很可能會導致網絡安全隱患。為有效預防雷電和強電對網絡系統(tǒng)的干擾,技術人員往往通過增設避雷設備解決該問題,并利用電磁屏蔽技術有效避免電磁泄漏現象的出現,與此同時,還應做好對計算機設備的日常維護工作,確保防火、防震、防靜電以及防塵等措施全部落實到位,為計算機系統(tǒng)安全可靠運行提供有力保障。
網絡控制對策加強對網絡的有效控制是確保網絡安全的主要手段。(1)對網絡設置訪問權限。為有效解決因人為非法操作所造成的網絡安全隱患問題,應對網絡設置訪問權限。加強入網控制是目前較為常見的網絡控制手段,例如用戶實名制登錄、身份驗證、口令驗證等等。另外,還應對用戶以及用戶組的訪問權限進行合理設置。(2)加強網絡防火墻的控制。防火墻技術是保障網絡安全的重要技術手段。該技術主要是通過對內網和外網進行有效隔離,并對這兩個網絡通信時的訪問尺度進行有效控制來確保網絡安全。過濾防火墻和防火墻是當前常見的防火墻技術:①過濾防火墻:利用路由器來阻擋外網對內網的非法入侵是過濾防火墻的主要作用。②防火墻:服務器技術是防火墻的最核心技術,服務器會對外部網絡向內網發(fā)送的數據和請求進行過濾,只有符合過濾規(guī)則的數據才會被傳遞至真實的服務器,這樣能夠有效預防非法數據的傳輸。雖然防火墻技術能夠進一步增強網絡的安全可靠性,但該技術也無法確保網絡的絕對安全,其自身也會面臨被計算機病毒入侵的安全隱患,基于此,我們應將防火墻技術與其它安全防護技術有機結合在一起,從而使計算機網絡安全得到進一步提升。
