前言:中文期刊网精心挑选了网络信息安全防范技术研究范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络信息安全防范技术研究范文1
关键词:中职计算机网络;防范技术;安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)19-4407-03
1 计算机网络安全的背景和意义
自20世纪,微软公司出版的视窗操作系统出现,计算机推广普及的进程大大加快。时至今日,计算机网络已经进入各个领域,推动人类社会文明的进步和文化传播。计算机及互联网的应用大大加快了社会各部门的工作效率,丰富了人民生活。然而,关于计算机网络的安全问题频发,引起人们的关注,网络安全问题的存在,会极大影响程序的正常运转,破坏数据,甚至使财产遭受损失。如何进行计算机网络安全问题的有效防范显得十分必要。在此背景下,中职计算机网络的防范技术对策的探究对保证计算机网络的安全可靠具有重要意义。
计算机网络安全是指包括计算机硬件维护、计算机软件维护以及对整个网络系统的安全性维护的计算机网络信息安全。主要运用相关的安全防范技术提高计算机网络系统的抗攻击性和安全性,使其免遭偶然和恶意攻击的破坏,保证网络平台安全运行。计算机网络安全包含技术和管理两方面,网络安全管理制度和网络安全防范技术共同构建起整个计算机网络安全体系。
2 中职计算机网络安全存在的威胁
2.1人为因素
计算机并不会主动运转,需要人来使用。人的行为在很大程度上影响计算机网络环境。对中职计算机网络安全造成威胁的人为因素包括:计算机网络安全防范技术和安全管理制度不健全,安全管理措施不到位,管理员管理不当,内部人员缺乏安全意识导致泄密或有意利用自己的合法身份进入网络系统进行故意破坏。
2.2攻击工具获取容易,使用简单
互联网在提供海量信息的同时,也使得很多恶意攻击软件得以免费自由广泛地传播。再加上此类攻击软件使用简单,设置简便,使用门槛低,很多人都得以对其加以利用,进行网络攻击。大量廉价甚至免费的攻击软件充斥,自动后攻击攻击大量泛滥,增加了网络安全的不稳定因素。由下图可以看出,第一,随着攻击行为复杂度降低,普通人也可能对整个网络系统造成巨大危害。第二,攻击技术日益普及也催生高水平的攻击者,安全管理员面临更大挑战,网络环境的不安全因素增加。
2.3中职学校师生网络安全意识不强
对于校园网用户而言,由于使用者多为学生,网络环境相对单纯,网络安全问题尚不能引起充分重视,所以基本没有或很少使用计算机网络防范技术,而是更倾向于各类应用软件的操作使用,很少考虑实际潜在的网络风险及风险带来的低效率。较少人会主动学习防范木马、修复漏洞、管理密码和信息密保的基本知识以及防止人为破坏系统和篡改敏感数据的技术。
目前,网络安全的相关制度法规相继出台,学校网络中心也制定了相应的配套管理制度,但是由于宣传力度不够,学生中仍然存在大量因自身网络法律意识淡薄,无意或有意破坏网络安全的行为。网络上黑客交流也十分活跃,其中不乏猎奇的青年学生,这也为其破坏活动奠定了技术基础。
2.4操作系统及应用系统的漏洞造成的威胁
近几年来,利用漏洞开发的计算机病毒在互联网上泛滥成灾,频频掀起发作狂潮,并且随着网络带宽和计算机数量的增加,病毒的传播速度越来越快。正如同人们对其的命名,计算机病毒同生物病毒一样,通过不断复制进行传播、攻击和侵染,并且能在短时间内迅速波及大范围用户计算机。由此,计算机病毒成为网络安全的首要威胁。常见的计算机病毒有:木马病毒、蠕虫病毒、脚本病毒、间谍病毒等。
木马病毒是最常见的病毒,常利用通过捆绑于其他软件上传播,一旦用户下载并感染木马,其计算机就处于他人的监视和控制中;蠕虫病毒的原理是对主机扫描,一发现存在漏洞就对其加以利用,进而控制主机。特点是隐蔽性高,捆绑在其他程序上,程序运行病毒也被激活,并以极快的速度变种,杀灭存在一定难度;脚本病毒依附在网站上,当用户访问网站,点击开启时相关脚本也受到病毒侵染。造成主机大部分资源被占用,运行变慢,甚者硬盘受损;间谍病毒出现时间并不长,一般通过改变用户主页来提升网站的访问人数,并获取用户数据,对用户数据安全性造成一定威胁。
例如,2002年4月中旬,“求职信”恶性网络病毒袭击捷克,使其蒙受重大经济损失,中国大陆及台湾地区也遭受攻击;2003年8月11日,在美国爆发的“冲击波”蠕虫病毒开始肆虐全球,并且迅速传播到欧洲、南美、澳洲、东南亚等地区。据报道,截至8月14日,全球已有25万台电脑受到攻击。我国从11日到13日,短短三天间就有数万台电脑被感染,4100多个企事业单位的局域网遭遇重创,其中2000多个局域网陷入瘫痪,严重阻碍了电子政务、电子商务等工作的开展,造成巨大的经济损失;2004年最主要的蠕虫事件是利用微软视窗系统LSASS漏洞传播的“震荡波”系列蠕虫,造成大量的用户计算机被感染。根据CNCERT/CC抽样监测发现我国有超过138万个lP地址的主机感染此类蠕虫。
3 中职计算机网络的防范技术对策
3.1防火墙技术
防火墙是设置在不同网络或网络安全区域间的一系列部件的组合。具有简单实用,成本低的优点。其主要功能是,作为一道网络安全屏障,限制外部用户访问,管理内部用户访问外界网络的权限。因此,也成为信息进出的唯一通道,从而可以较有效地依照安全政策控制出入的信息。此外,防火墙本身也具有一定抗攻击能力,可以加强计算机网络安全策略,保护暴露的用户点,监控并审计网络存取访问行为,实现内部信息的有效防护,防治信息外泄。
防火墙技术的关键是,数据包过滤技术。如下图所示,包检查模块应当深入操作系统的核心,在计算机操作系统或路由器转发数据包前拦截所有数据包,然后经过检查模块,拦截检查所有进出站数据。
3.2加密技术
计算机网络系统庞大复杂,信息传递过程需要经过许多网络路径,很可能包括不可信网络,从而容易发生信息泄露。所以,中职计算机网络系统的防范技术中,信息加密技术是一个重要方面。计算机网络数据加密包括链路加密、节点加密和端到端加密三个层次。链路加密能有效保护网络节点间链路信息安全,包括路由信息在内的链路数据都会以密文的形式加以保护;节点加密可以有效保护源节点到目的节点之间传输链路的信息安全;端到端加密则能有效保护传输过程中数据安全,在整个传输过程中,数据以密文形式从源端用户传输到目的端用户。
3.3信息认证和鉴别
信息认证是又一重要的网络防范技术,被喻为安全信息系统的“门禁”模块,是网络通信中可信安全通信通道的重要建立过程。认证的主要目的是检验信息发送者的真实性和验证信息的完整性,即能确认用户没有被他人冒充,又能验证信息在传输过程或存储过程中没有被重组、篡改或者延迟。因此,信息认证是防治网络系统遭受攻击的一种很重要技术手段,常通过数字信封、数字摘要、数字签名、智能卡、数字证书和生物特征识别等技术来实现。 其中,数字签名可以有效应对网络通信中的信息伪造问题。数字签名运用得较多的是公匙加密技术,通过此技术,任何知道接收方公开密匙的人都可以向其发送加密信息,只有唯一拥有接收方私有密匙的用户才可以解密信息。另外,智能卡属于鉴别手段的一种,其他鉴别手段还包括计算式通过口令、一次性口令和生物卡等。操作中,计算机之间鉴别的原理是基于计算的不同配置,所以通过鉴别计算机的配置是否符合原有配置来判断用户身份。
3.4网络访问控制技术
网络访问控制技术是为了防范计算机网络系统在提供远程登录、文件传输的过程中,不法分子趁机闯入,有效控制非法入侵者。具体实施措施是使用路由器对外界进行控制,将路由器作为网络的局域网上诸如Internet等网络服务的信息流量,也可以设置系统文件权限来确认访问是否非法,保证计算机网络信息安全。
3.5技术查杀病毒、修补漏洞
常用的应对病毒的方法是利用杀毒软件防治病毒。购买正版软件,及时获得更新服务,可以对病毒起到主动防御的功能,在中职计算机网络防范中,应用效果显著。无论是计算机操作系统还是各个应用软件和互联网漏洞都要及时利用相应修复软件修补,定时全盘扫描并修复计算机,可以有效降低网络安全风险。
3.6提高安全意识
无论再先进的计算机防范技术,都需要人去使用执行。因此,互联网安全管理员或是普通用户都要提高网络安全意识,保持警惕,及时运用网络安全防范技术来避免出现安全隐患,培养良好的上网习惯,避免疏忽大意损失数据或导致计算机系统受损。
4 结论
当前通信与信息产业高速迅猛发展,计算机网络安全防范技术也应当与时俱进,以使网络技术适应社会发展的需要,发挥应有的职能和优势,避免因为网络安全问题造成社会经济和资源损失。网络是把双刃剑,关键在于如何有效运用。网络安全防范技术为网络通信发挥更大力量奠定基础,并处于不断发展中,涉及计算机网络系统软件安全、硬件安全和数据信息安全等方面。中职计算机网络防范技术对策必须建立一整套完善的安全管理制度,提高网络安全意识,充分发挥网络防范技术的功能,强化计算机网络安全。
参考文献:
[1] 潘章斌.计算机网络安全问题及防范技术研究[J].中国高新技术企业,2013(7).
[2] 徐囡囡.关于计算机网络安全防范技术的研究和应用[J].信息与电脑,2011(6).
[3] 徐俭.浅谈计算机网络安全防范技术[J].现代电视技术,2005(6).
[4] 丁高虎.试论计算机网络安全及防范技术[J].华章,2012(22).
[5] 钟平.校园网安全防范技术研究[D].广州:广州工业大学,2007.
[6] 胡铮.网络与信息安全[M].北京:清华大学出版社,2006:318-323.
[7] 矫健,韩芳溪,毛忠东.网络攻击手段及防御系统设计[J].计算机工程与应用,2003(33):168-170.
网络信息安全防范技术研究范文2
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
网络信息安全防范技术研究范文3
关键词:科技管理系统:安全防范
随着我国信息技术的发展及适应日益网络化的电子政务工作要求,需要搭建对内对外的申报和管理平台,实现科技管理的信息化、科学化和网络化。科技管理系统的使用已经普及,基于网络环境下的科技管理系统的安全隐患也日益显露出来。因此,进行科技管理系统的网络信息安全防范十分必要。
1.科技管理系统的安全现状
随着网络信息技术的迅猛发展,网络信息已成为人们日常工作和生活的重要载体,但网络信息系统是一把“双刃剑”,由于技术和社会等因素影响,网络在给人们带来方便、大幅度提高生产力水平的同时,其安全缺陷也给个人、单位乃至整个国家的信息安全带来了较大冲击。作为政府部门的科技管理外网,安全方面显得尤为重要。攻击者可以利用网络的一些缺陷,实行计算机网络攻击和入侵,造成数据的改写或损坏,用户的非法访问有可能造成敏感数据泄露、系统瘫痪、业务中断等。
科技管理系统的网络安全风险主要表现在以下几种形式。
(1)来自互联网的各种攻击行为。互联网的信息共享增加了安全防范的难度,黑客入侵、网络病毒入侵、非法访问、恶意破坏、越权使用资源、信息窃取等已经成为影响网络安全的普遍因素,其可能使用的常见技术手段包括:非法扩充权限、植入木马、拒绝服务攻击、利用系统漏洞、使用开放的端口、采用snifer等监听窃取非法手段获取数据。(2)来自科技管理系统外网内部或外部,包括伪造身份访问、篡改密码、数据等非法越权访问。(3)数据安全风险。科技管理系统在进行事务处理、项目审批等过程中,必然留下大量的个人、集体隐私信息,这些重要的数据意味着重大的经济利益,核心数据储存在计算机网络服务器必然有非法分子窥知,通常会利用病毒和黑客手段来非法获取,为己谋取非法经济利益。(4)非法逻辑访问的手段和方法很多,如:SOL注入攻击、逻辑炸弹、口令入侵等。
根据有关调查,我国在网络安全方面的投入还不到网络建设资金总数的1%,比欧美国家更是低得多。各科技管理系统的建立也是各科技单位根据需要招标采购或是自行开发,由于资金和技术的限制,系统本身基本上只关注了客户需求的表面模块的研发,由于企业对于安全问题的不重视或是存在侥幸心理,加上缺乏专门的技术人员和专业指导,对于科技管理软件网络安全的性能层面投入不多,管理软件的安全问题普遍不容乐观。
2.科技管理系统的安全防范
2.1提高用户的安全防范意识
安全要防患于未然,需要不断提高自身的网络信息安全意识,学习防护知识,不断提高安全技能,制定防范措施和预案,赢得主动权才能确保网络信息系统安全可靠的运行。树立安全意识,强化责任,定期排查电脑病毒,防止用户名和密码随意泄露,严格按照安全管理规范运行操作,接入设备和数据来源一定要合法化,切忌随意接入网络和使用非法软件。
针对科技管理系统业务过程的改造,因系统在大批量申报项目的使用人员中,用户名和密码的复杂化容易遗忘,使大多数用户在使用本系统时,宁可选择简单密码,因而存在系统登录时密码过于简单的普遍现象,对于恶意使用者非常容易通过用户名密码猜测登录,一旦登录成功,对有恶意行为的防范,面临崩溃。针对这种疏漏,首先采用登录注册时的固定电话锁定信息修改请求来源,方可修改使用人员的邮件或手机号码信息,再通过发送手机随机验证码或邮件随机验证码,从面完成密码的自主、便捷修改,在此基础上完成密码的繁杂化条件设定,减轻维护人员的压力,防范用户名、密码层面出现较大的疏漏。从这个意义上说,要面向业务过程,从代码级层面解决管理过程中技术维护的便利与安全性。针对业务进行安全关键技术研究的同时,也要开展制度建设和人员培训,更全面地解决安全防范。还要考虑到网络结构的可移值性,方便今后与科技创业服务大厦的设备及资源整合,不能造成资源浪费。
2.2加强科技管理系统网络安全技术的研究
虽然我国在不断地开发研究,但是现阶段的计算机网络安全技术仍旧与西方发达国家存在一定的差距,因此继续加强计算机网络技术安全性的研发工作非常有必要。可以通过引进国外先进技术建立自身核心安全管理技术,同时,要做好相关的技术结合工作,确保管理系统的安全。
2.3做好科技管理软件的技术防范
要求代码提供方进行全面的安全检测,对已有的服务器运行的平台代码进行全面检查,进行编程防范、数据库配置防范、操作系统配置防范。对数据库连接用户限制权限,按照不同类型操作用户建立独立账户,授予权限与操作相匹配,防止操作权限过多发生越权操作、权限与责任不对等。
2.4数据库账号创建与管理的安全防范
数据库安全系统首先要对每一名用户进行数据库账号的创立,任何用户在进行数据库操作时需要经过系统的安全设置检验。在这一环节中所有默认的数据库用户的账号被锁定与终止,如果需要激活某账号,则需要重新分配,建立自己的账号并进行管理是维护数据库安全的最佳尝试。对数据库的账号进行安全管理的实质是对具体操作进行分析并获取最终控制权。
2.5操作系统的配置防范
操作系统通常都提供一些安全功能,充分利用好系统提供的安全功能,也是有效防止攻击的重要手段之一。在实际工作中,通常可以利用不同的操作系统在安全方面的优势来防范攻击,对于安装的Windows系列操作系统而言,在硬盘分区时有FAT和NTFS两种方式可选,通常建议选择NTFS作为文件系统的格式,相比FAT文件系统,NTFS文件系统在性能、安全、可靠性方面提供了很多高级功能,通过它可以实现任意文件及文件夹的加密和权限设置、磁盘配额和压缩等高级功能,因此NTFS会更加安全。另外,操作系统提供的文件权限设置和加密功能保护数据库文件也是非常有效的安全防范手段。比如:如果应用系统采用IIS提供信息服务,就需要对Web站点目录设置合适的访问权限,一般情况下,不要给予目录以写入和允许目录浏览权限,只给予ASP文件目录以脚本的权限,而不要给予执行权限等。根据目前科技管理系统中的实际情况,需要按照系统的应用特点分别进行安全分析和设计,将科技管理的安全提升到较高的安全级别,确保整个网络安全、稳健的运行。
2.6及时更新杀毒软件,配备防火墙
计算机网络安全在面对黑客以及病毒攻击时,如果没有专业性的病毒查杀软件,计算机网络安全系数将大大降低。所以,要为计算机安装正版的专业性较强的杀毒软件,设置自己的扫描日程,若没有自动地打描日程表,可以设定一个提醒装置,保障定期对计算机扫描,并及时更新杀毒软件。另外,要在计算机上安装防火墙,并对其进行合理、有效的设置,过滤信息报,屏蔽非信任的IP地址,禁止非信息IP访问科技管理系统,使入侵者必须先穿越防火墙安全设定才能进入到计算机。在使用防火墙的过程中,管理员应对防火墙显示的重要信息进行记录,否则无法及时发现、处理安全隐患。重点解决的关键技术问题,第一要从代码层级入手,解决平台安全漏洞,其次是建立全面的安全保障措施、灾备方案。
2.7加强计算机网络的访问控制
现在的网络覆盖面太广,人们几乎可以随时随地地登录互联网进行操作,因此,在访问网络之前,必须保证网络资源的安全性,才能够维护网络安全。由于大多数病毒都是通过服务器入侵到计算机的,因此在进行网络访问的过程中,必须加强网络服务器的安全控制工作。与此同时,网络管理员还应该加强网络监控的力度,对于可能导致安全隐患的页面全面锁定控制。与此同时,还应该定期对网络端口进行全面的安全检查,并且通过设置网络的进入权限,全方位地防范不法分子的入侵。为了确保在信息网络系统进行通信、处理和使用的信息内容,在各个物理位置、逻辑区域、存储于传输介质中,处于动态和静态过程中的保密性、完整性和可用性,以及与人、网络、环境有关的技术安全、结构安全和管理安全。简言之,安全就是保证网络信息系统的合法用户在允许的时间内、从允许的地点、通过允许的方法对允许范围内的信息进行允许的处理,同时能有效防范非法用户访问与攻击网络信息系统。
2.8防止垃圾邮件和反间谍软件的入侵
要防范垃圾邮件的入侵,不仅不能响应自己的电子邮件,也必须保护好自己的邮件的地址。同时,可以在邮件服务器、接受黑名单机器上设置垃圾邮箱锅炉功能,采用过滤器和黑名单降低垃圾邮件出现的几率,并保存合法文件。
网络信息安全防范技术研究范文4
关键词:网络安全;网络攻击;防范策略
1、网络攻击概述 对于计算机而言网络安全是一个常见的话题,因为计算机只要与网络连接就不可能彻底安全,网络中的自身存在的安全漏洞无时不在,虽然随着各种程序的升级换代,可以把安全漏洞补上,但是另一方面网络攻击手段也在不断发展变化,使得计算机网络又存在新的安全隐患。网络攻击从本质上讲就是攻击者寻找一切可能存在的网络安全缺陷,利用各种手段来达到对系统及资源的损害的目的。
2、几种常见的网络攻击方法
2.1网络监听攻击。网络监听是主机的一种工作模式,通常它用于监视网络状态、数据流,以及网络上传输信息,它可以将网络接口设置在监听模式,并且可以截获网络上传输的信息,取得目标主机的超级用户权限。鉴于这种原因,当网络信息在传输的时候,入侵者只要利用工具将网络接口设置在监听的模式,就可以将网络中正在传播的信息截获,从而进行攻击。入侵者一般都是利用网络监听工具来截获用户口令的。
2.2放置木马程序。木马程序的危害性比较大,它通常被伪装成工具程序或者游戏等软件诱使用户执行, 或者在网站页面加入恶意代码, 将木马程序偷偷下载到用户后台自动执行。一旦这些程序执行之后,木马就会在远程计算机之间建立起连接,当你运行电脑或者打开网页的时候,攻击者就会利用这些潜伏的程序修改或控制本地计算机的文件、窃取用户的网银、IM 软件、网游等账号信息。达到最终到控制本地计算机的目的。
2.3系统安全漏洞的攻击。对于计算机系统而言,没有十全十美的,总会存在这样或那样的漏洞。虽然这些系统漏洞是程序中无意造成的缺陷,但是通常它会被忽略而形成一个不被注意的通道。许多时候,运行在服务器上的操作系统或程序包含这些代码问题。黑客就利用这些问题,利用它们进行攻击。
2.4拒绝服务攻击。拒绝服务攻击是黑客常用的攻击手段之一,入侵者通常是通过某种手段让目标主机停止提供服务以达到对网络的攻击。拒绝服务攻击方式最为常见的是对计算机网络带宽攻击和连通性攻击。对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。对于网络而言,拒绝服务攻击是一个一直得不到合理的解决的问题,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接
3、网络安全策略研究
3.1攻击发生前的预防策略。 使用防火墙技术,可以最大限度的识别和阻挡大量非法攻击行为。防火墙是一种用于隔离内网与外网以及其它部分之间信息交流的,位于网络边界的特殊访问控制设备。根据网络网络体系的结构,可以设置IP分组过滤防火墙(在网络层)、链路级防火墙(在传输层)和应用级防火墙(在应用层)。
3.2攻击过程中的防范策略。随着计算机网络技术的不断发展,攻击者的手段和工具也复杂多样,因此单纯的防火墙技术已经不能满足用户对网络安全技术的需求,网络的防护必须采用纵深、多样化的手段。这种情况下,计算机网络可以引进入侵检测系统
3.3攻击后的应对策略。防火墙和入侵技术可以记录有误操作的危险动作和蓄意攻击行为,一旦计算机网络受到攻击后,计算机可以根据记录分析攻击方式,尽快弥补系统漏洞,防止再次受到攻击。
3.4全方位的安全防范策略。(1)、物理安全策略。为保证计算机网络系统顺畅运行在物理安全方面应采取如下措施: 严格把握网络产品采购,选用质量比较高的网络设备;网络中的设备,特别是安全类产品在使用过程中,必须选用正规厂家生产的,对一些关键设备和系统,应设置备份系统;加强计算机机房的安全保护,主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。
(2)、网络安全管理策略。网络安全管理需要制定一整套严格的安全政策,以管理手段为主,技术手段为辅。针对计算机网络的各个管理部门,对数据管理和系统流程的各个环节进行安全评估,确定使用的安全技术,设定安全应用等级,明确人员职责针对使用者,明确网络用户使用的规章制度。网络安全最大的威胁不是来自外部,而是内部人员对网络安全知识的缺乏,所以必须加强用户安全知识、安全意识及计算机网络安全的法制教育。不断提高用户的网络安全意识。(3)、信息安全策略。信息安全策略就是要保证计算机信息的机密性、真实性和完整性。为此,要对计算机内重要或隐私数据进行加密,在数据传输工程中采用加密技术。信息加密是保证信息机密性的主要方法,应建立并遵守用于信息进行保护的密码控制的使用策略,从链路加密(保护网络节点之间的链路信息安全)、端点加密(保护源端用户到目的端用户的数据安全)和节点加密(保护源节点到目的节点之间的传输链路保护)三种加密方式确保网络信息的安全。(4)、访问控制策略。访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的内容。因此,访问控制策略是维护网络安全、保护网络资源的重要手段。
结束语:伴随着互联网技术的发展,计算机攻击技术手段也逐渐发展,针对网络攻击的威胁,单纯的技术手段不能很好的克服,要加强技术和 管理相结合。一方面网络管理者必须充分意识到潜在的安全性威胁,并不断探索防范网络攻击的新措施,尽可能减少这些威胁带来的恶果,将危险降到最低程度。另一方面要加强网络管理,不断增强网络用户的网络安全意识,全力配合网络管理人员的工作。本文以上列出的防范策略随着攻击技术和手段的发展可能不再可用,各种新型的攻击手段也会层出不穷, 我们只要掌握了它的攻击原理,就一定会找到应对措施从而确保信息安全。
参考文献:
【1】 宋开旭 网络攻击与网络安全分析 . 电脑编程技巧与维护 2009年第10期
【2】 黄旸,胡伟栋,陈克非 网络攻击与安全防护的分类研究 计算机工程 2001年第27卷第5期
【3】 林曼筠,钱华林,杨明川 Internet网络攻击防范对策研究 ——对抗未来的攻击 中国科学院计算技术研究所第六届计算机科学与技术研究生学术讨论会 2000年
【4】 陈婧楠,郭志博 网络攻击与防范实践 自动化技术与应用 2009年第28卷第8期
网络信息安全防范技术研究范文5
1.1系统组件本身的脆弱性
由于国家电网经营发展属于民生大计问题,产业发展涉及到输变电生产、电力项目建设、工程项目维修、用电销售等诸多经营业务内容。因此,电力系统自动化通信技术视角下的技术定位相对较广,在信息系统设计、生产、组装环节中也就必然存在一定安全隐患问题。比如,第一点则属于系统硬件故障隐患问题,和信息系统设计初期阶段存在隐患有主要关系。第二点软件系统自有的安全隐患问题,这类安全隐患一般多来源于电力通信自动化技术领域下的平台软件,在平台设计开发阶段存在一定技术遗留问题。第三,基于TCP/IP协议栈的定义内容在网络应用设计之初时就留下了兼容性技术漏洞,使得网络安全隐患加剧。
1.2自然威胁
这类隐患性问题多以电力通信网络安全下的不可抗力事件发生为主,比如网络信息系统如果遭受自然雷击,或者是工作站突发性发生火灾,抑或通信系统遭受自然外力破坏,如地震、覆冰、风偏等。此外,这些自然不可抗事件发生一般不以人为意志为转移,会使得国家电网造成不可避免的经济资产损失。
1.3人为意外因素
通常指人为因素下的设计失误、技术系统操作异常、不规范使用信息系统等造成的安全隐患问题。此外,这类隐患问题出现一般并非人为主观意识上故意造成安全问题,而属于人为以外因素所致的安全隐患问题。
1.4人为恶意因素
同样,人为因素也包含恶意、蓄意、故意行为造就的网络信息安全事故问题。伴随这种恶意行为发生,可能会存在蓄意篡改重要数据,或者偷盗重要信息资源,或者更改代码种植木马信息等,以通过恶劣、低俗的网络黑客行为谋取私利。
2电力自动化通信技术下的网络结构分析
国家电网系统下信息网络结构一般由核心局域网,地方部门的局域网,以及区域通信渠道网络互联所组成;从应用功能角度又可划分为供生产、制造所用的SCADA/EMS系统,以及供电经营相关的MIS系统。
2.1SCADA/EMS系统
主要适用于变电网工作站、发电厂等电力供给、送电单位生产所用。并且该系统作用主要是进行监控、处理、评估及分析等;同时,其基本功能板块划分为数据采集、能源分析、信息存储、实时监控等。
2.2MIS系统(信息业务网)
该系统平台主要对网络信息化相关商务活动进行服务,同时其系统平台主要包括办公自动化、用户供电信息查询、信息统计管控、人资建设、以及安全生产等子系统板块。此外,MIS系统可对电力企业的直属上下级单位予以联网交互,包括地区间供电企业售电业务下的重要客户数据交互等。与之同时,MIS系统平台下已经由过去单一的EMS模式逐步转化为了当前的自动化DMS、TMR、调度管理、及雷电监测等多种方式应用拓展,可以会说在信息资源优化及调整上更为专业。而MIS系统主要应用于电力产业经营业务相关的组织活动方面,比如财务管理、物资置办、用电检查、安全监控、信息查询等多个方面。包括在MIS平台使用时也能够配套www、mail等板块予以实践应用,并且其属于IP网络传输,组网方式现如今也能够实现千兆以太网,同时网络结构取用于同级网络分层,每层又分为子网与链路层予以连接。
3电力自动化通信技术中的信息安全构建思路
3.1健全安全防范机制
国家电网下电力企业通信技术平台下的各个管理单元众多,在网络信息安全中制定必要的安全防范机制非常重要。因此,在安全机制构建过程中,需要保障安全机制具有严谨的逻辑性,要能结合电力企业自身需求情况,确认出重点网络防范区域与划分出普通网络访问区域。比如,对于一般性网络访问区域,需要设置具备一定开放性的访问权限;而重点网络防范区则需要严格限制普通权限客户登录,设立较高安全级别权限,以此才能对安全数据、资源信息、QA系统运营进行重点安全监督。
3.2完善信息网络设备管理机制
信息设备管理主要以电网系统下信息安全设备管理作为研究载体,强调设备管理综合效率最大化提升。基于此,设备管理机制中要配套使用促进人员职能发挥的激烈奖惩机制,以此来提升其责任意识和凝聚归属感,激发人员信息安全运维作业的人员主观能动性。此外,设备管理工作开展从基本规划、设计研发、平台选型、配件采购、安装组建、故障维修、定期养护、技术更新、设施技改等方面进行组织管理,以此才能确保信息网络设备及使用软件平台的可靠性与实用性。
3.3强化电力系统信息安全技术
为了充分保障信息网络安全,对于信息网络的安全技术研究而言则非常重要。一般当前通信网络安全技术主要有:防火墙、身份鉴别与验证、信息资源加密手段应用等。因此,第一,强化防火墙网络管理是必然的安全防控手段,特别是防火墙这种具备保护屏障作用的内、外网安全服务通道。所以,防火墙优化设计时要重点考虑其接口连接问题的同时,配套做好网络漏洞修复。第二,身份鉴别与验证,则要重点控公司内、外网的数据监控,人员操作日志,控制权限访问等,以便于公司内部网络安全软件开发时可提供必要信息资源依据。第三,对于信息加密手段应用,则要重点考虑口令卡、智能卡、以及密钥安全形手段的配套使用。同时,信息加密还可以结合企业自身条件,配套使用DES/RAS等密码技术应用,以避免未经授权时可有效控制非访访问获得数据等,防范重要数据泄漏。
4结束语
网络信息安全防范技术研究范文6
关键词:技术 管理 法规 网络信息安全
中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2013)02-0178-02
1 网络信息安全现状
今年10月份“网络空间国际会议”在匈牙利闭幕,“网络空间”继伦敦会议后,再一次作为全球焦点被世界多国研究讨论,会议最终呼吁各国在构建安全的网络空间方面进行合作。由此可见网络空间的安全问题已成为世界多个国家普遍存在且需全球协作的共性问题。互联网自诞生之日起就将世界联系成为一体,经过30多年的发展,网络技术在促进经济繁荣、科技进步、思想传播等方面改变着人们的生产和生活方式,并逐渐的渗透到人类生存的各个环节中,各国政府也高度依赖由网络联结的政务、电力、交通、能源、通信、航空、金融、传媒、军事等“关键基础设施”,实施经济治理和社会管理,网络已成为国家政治、经济和军事的战略支点。但与此协同的安全问题却没有跟上网络发展的步伐,在日益普及的网络应用空间中,安全问题已成为21世纪世界面临的严重挑战。
我国互联网起步较晚,但发展速度十分惊人。据2012年7月中国互联网信息中心的数据显示,我国的网民数量已达到5.38亿,其中低学历人群增长较为明显;互联网普及率为39.9%,其中农村人口占到51.8%;IPv6地址数达12499块/32,跃居全球第三。同时,根据国家互联网应急中心的数据,2011年境外有近4.7万个IP地址作为木马或僵尸网络控制服务器,控制我国境内近890万台主机,近3000个政府网站被篡改。日益庞大的网络空间和终端用户的低安全性造成我国网络空间的安全问题更显突出。
2 技术、管理、法规安全机制主要内容
网络与信息安全机制的研究从网络产生时就一直没有间断过,它与网络技术的发展息息相关。当前网络与信息的安全机制主要有:加密机制、安全认证机制、访问控制机制、完整性机制、不可否认机制、公证机制和路由控制机制等。结合安全机制产生的网络信息安全服务也基本涵盖了应用领域的各个方面[1]。但是这些防范技术总是很难和安全管理有效的结合,或者说是用技术实现管理的执行力不强。究其原因,我觉得是在技术和管理之间缺少一个强有力的约束框架,为此我们在网络信息安全“技术+管理”的模式中,独立出一个法规标准,提出了技术、管理、法规三维一体的网络信息安全体系,以技术为基础,用法规作保障,实现网络空间的自主管理。如图一所示:
(1)技术机制:网络与信息安全机制采取在国家网络空间尽远端保护,中间处保障,核心端强调可生存性的三级安全防护措施。1)尽远端保护采取常规的安全措施,划分明确的网络空间边界,利用加密、认证、访问控制等技术手段,在网络空间边界上阻止非法入侵,达到信息安全的目的。在尽远端保护中要着力解决两个难题:一是网络空间边界不像陆、海、空、天等实体一样,有清晰明确的边界线,这就需要安全防护措施能够根据自主识别动态变化的敌我双方边界,合理有效的实施安全防护;二是网络和信息领域的攻击手段和技术发展很快,各种保护措施需保证跟的上敌对方的发展速度,及时地调整安全防护机制。2)中间处安全保障采取以入侵检测技术为核心,以恢复技术为后盾的入侵检测恢复机制。该机制融合保护、检测、响应、恢复四大技术,通过对网络流量或主机运行状态的检测来发现对网络空间攻击及破坏行为,实现对网络信息空间状态的动态检测,并对各种恶意的入侵行为做出响应。在实施入侵检测机制时,要能够快速有效的分辨出攻击行为,以便后续响应措施的实施,另外还要能够及时的恢复网络和信息到攻击前的正常状态。3)核心端生存性技术是指在国家网络空间核心处受到攻击或意外事故发生时,在限定时间内恢复到正常状态的能力。这里主要关注的是“容忍”技术,即入侵或故障发生时,网络空间仍可以正常工作,在后续的时间内逐渐的排除故障,确保核心端数据的完整性、机密性和可用性[2][3]。容忍概念的提出到现在经历了从容忍错误到容忍入侵的过渡,但是目前应用还很少,特别是国内,理论研究多而实际项目少,在下一步的网络信息安全技术中,应加大发展力度。4)安全防护设备信息融合机制。当前存在有防火墙、入侵检测、漏洞扫描等各自独立的安全防护设备,彼此间信息不能共享。而在现实中,各个安全防护设备的信息可以互相利用,甚至有时候还可以成为对方的核心数据。因此,要建立防护设备信息融合机制,将攻击信息有效整合起来,实现信息的充分利用。
(2)管理机制:网络信息安全常说的一句话是“三分技术,七分管理”。的确是这样,再完美的防范技术,如果没有很好的执行和落实,到最后也发挥不了作用。这里我们提出的管理机制,不仅有网络空间维护人员的管理,还有对众多网络空间使用人员的管理。1)末端宣传教育机制。加大网络空间安全意识的宣传力度,普及安全使用网络的基础知识,在一些机关或企事业单位,适当的开展网络信息安全的培训,提升我国众多网民安全防护意识和安全使用网络的能力。网络空间安全意识作为一种机制,要形成常态化,并通过法规制度,提升各级单位的重视程度。现在的信息技术是先进的,但也需要会使用先进技术的网民,这样才能在末端接入处提高网络空间的安全,从根本上解决隐患。2)中段管理人员的归口负责,把零散的“点”的管理转向系统性、有序的“面”的管理。早在1997年我国就成立了信息技术和安全技术委员会,各级各类的安全部门也相应成立,但这些安全管理人员信息分散,彼此间没有统一协调的部署和指挥,在面临突况时很难有效整合。因此,对管理人员要建立系统组织机构,做到分工明确,职责清晰,建立健全网络应急处理的协调机制。3)国家安全一票否决制。在网络空间,处理一些具有安全隐患问题时,采取一票否决制,即只要有危害国家信息安全的潜在风险因素,就直接否决。其主要针对于应用国外的网络设备或软硬件商品。如同美国在通信设备中拒绝使用华为和中兴设备;禁止华为收购美国3Com的理由是一样。在技术含量高的网络空间产业的竞争,一般的反倾销、反补贴等贸易救济措施抑制效果有限,且还要受到世界贸易组织争端解决机制制约。相比之下,合理的使用一票否决制,可有效将存在潜在威胁的企业或商品挡在国门之外。
(3)法规机制:安全技术领域需要有各类标准,安全管理需要有行为规范,维护网络空间需要有法律,处理安全事故责任需要有依据,在网络信息空间新领域里要重视标准和法规制度的建设,及时更新修改,有效保障管理措施。1)尽快制定我国《国家网络安全战略》,将网络空间安全问题上升为国家战略问题进行通盘考虑和研究。在国家战略背景下,逐步建立各类安全技术的评判标准和网络信息安全体系构建标准,指导网络空间安全建设。要加强与世界其他国家的沟通交流与合作,特别是先进发达国家,吸取经验教训,指导科学合理的战略规划[5]。2)结合当前的网络安全技术建立各级各类人员的行为规范,大力加快信息安全相关法规建设,通过法律法规来明确各自的义务、权益、责任和处事流程,并制定相关的处罚措施,让管理能有章可循,有据可查。积极参与制定国际网络冲突行为准则,在国际网络空间事务中发挥话语权的作用,为捍卫我国在网络空间的提供有力依据。3)紧跟时代,注重技术标准的建设。使国家网络空间相关人员能够参与到国际信息安全技术标准建设中去,通过对其他先进国家的学习,加快自身技术研究的发展,在国际网络空间标准制定中发挥一定的作用,从而更好的指导本国网络安全的基础建设。
3 结语
综上所述,在网络空间信息安全的范畴内,技术是基础、法规是依据,管理是重心。随着网络技术的不断发展,网络空间的安全防范技术也需不断革新,这里提出的可生存性就是一个新的发展方向;而法规制度虽然是网络行为的评判标准,但它自身建设也必须根据安全防范的新技术时时更新、积极建设,才能为管理提供有效依据;管理要以法规为依据,通过运用各种技术手段来维护网络信息的安全,特别是全国性组织机构的建立,有效整合资源,总体发挥合力。
参考文献
[1]彭新光,吴兴兴.计算机网络安全技术与应用.科学出版社,2005
[2]赖积保,王慧强,王健等.系统可生存性研究综述[J].计算机科学,2007,34(3):237-239,275.
[3]张鸿志,张玉清,李学干等.网络可生存性研究进展[J].计算机工程,2005,31(20): 3-5.