前言:中文期刊网精心挑选了网络安全防范办法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全防范办法范文1
中图分类号 TP393 文献标识码 A 文章编号 1673-9671-(2012)121-0185-01
认真分析我国政府网络信息存在的风险以及存在的安全问题,然后开展相应的安全防范技术措施,对于维护国家稳定,促进我国经济更好的发展,有着重要意义。具体来说,政府网络安全防范技术主要包括以下几个方面:访问控制、密码技术以及完整性控制等方面,这些防范措施需要互相结合,来共同维护政府网络安全,以下笔者将作简单的说明。
1 政府网络安全防范中对于访问的控制分析
所说的网络访问控制主要说的是,主体对访问客体的实际能力以及权限的限制,还有限制进入出入控制和限制访问者使用计算机系统资源。具体来说,出入控制主要是用来阻止没有经过授权的计算机用户进入政府网站。一般都是通过生物技术以及电子技术相结合,来组织没有授权的计算机用户计入。主要包括物理通道的控制,比如说使用重量检查控制通过网络通道的实际人数等。限制使用计算机系统资源,主要是为了保证政府网络资源不被非法用户访问和使用,主要包括三个方面:首先是保密性控制,主要是为了保证网站数据资源不会被非法用户所使用。其次是完整性控制,主要是为了保证政府网站数据资源不被非法用户恶意修改。最后是有效性控制,主要是为了保证政府网络资源不被非法用户使用和篡改。
2 政府网络安全方法中的识别和鉴别技术分析
政府网络系统为了防止受到非法攻击,其安全系统就必须要提供一些识别和鉴别的机制。具体来讲,识别就是分配给每一个网站浏览用户一个ID来代表用户。鉴别主要是网站系统根据浏览网站用户的私有信息,来确定用户信息是否真实。一般来说,识别的方法比较简单,比如说有UID、PID等。鉴别的方法常用的有口令机制,随着科学技术的不断发展,现在已经可以使用视网膜以及指纹来进行高科技含量的鉴别。
2.1 口令机制的安全防护分析
在网络系统中,口令主要是相互约定的代码,如果说只有用户或者系统知道口令,那么口令既可以由用户选择,也可以由系统自动分配。一般来说,在用户输入自己的ID号之后,系统就开始询问用户的口令,如果用户的口令能够被网络系统识别,用户就可以进入网站系统中,进行实际访问。口令安全是安全防范技术的一个重要任务,因为口令很有可能会被非法用户篡改,要想保证口令的安全性,可以使用加密以及密码令牌等办法,还需要加强对口令的安全管理。
2.2 Kerberos
Kerberos是一个软件集,主要是用来在大型网络中来进行认证用户的身份。现在很多网络供应商开始把Kerberos加入到自身网络系统中,因为Kerberos可以为很多服务提供可以信任的第三方认证服务。在这个环境中,用户对于所用机器有着完全的控制权,而用户所希望得到的服务也必须要提供自身的身份证明。
2.3 数字签名
数字签名是一种十分有效的鉴别方法,用来解决实际工作中出现的冒充和篡改等问题。数字签名主要是使用一定的数据交换协议,来使得双方都能够满足两个条件:一方面,发送方所发出的数据有记录依据,另一方面,接收方能够知道发送方的实际身份信息。
3 政府网络安全中完整性控制技术分析
所说的完整性控制主要是指信息在传输过程中,或者在存储过程中,不被恶意修改或者破坏等。信息的完整性是网络信息安全的主要要求,目前看来,对于动态传输的信息,很多确保协议信息完整性的手段已经开始落伍,黑客的攻击可以轻松的改变信息内容。这就需要相关人员要采取有效的措施来解决这一问题。具体来说,根据数据完整性的控制范围,可以使用两种技术进行安全维护。也就是报文认证和通信完整性控制。把报文控制各个字段使用一定的操作来构成一个约束值,然后把它和数据放到一起进行加密保护,这就使得黑客在入侵时不能对报文进行准确解答,就不能实现破坏篡改。所说的通信完整性主要是为了防止黑客和非法用户随意删改报文,而在每个报文中增加序列号,这样可以使得密码技术更为准确和安全。
4 政府网络系统中密码技术分析
对于网络系统进行密码加密,是最传统也是最基本的保护技术措施,对于网络系统进行加密,主要就是为了防止信息的非授权信息泄露。加密技术可以有效的阻止非法用户非法的访问数据以及盗窃系统信息,这对于政府网络安全来说意义重大。实际工作中,加密技术有很多种,但是在网络信息中,一般都是利用信息变化规则,来把已有的信息转化为不可被识别的信息。密码算法主要都是一些法则或者是程序,在实际算法中可以变化的主要是密码秘钥。秘钥设置的不同,明文和密文之间的对应关系就会有所不一样。基本上密码算法都是稳定的,主要是通过把密码算法作为常量,来对秘钥进行改变。但是由于影响因素比较多,密码算法实际上很难做到绝对的保密,所以当前密码设计的主要基本原则是要认真设计好秘钥。
5 总结
综上所述,政府网络安全防范技术不仅是一项复杂而又繁琐的工作,同时对于国家安全和来说也有着重要意义,必须要引起相关部门的重视。在实际工作中要严格按照相关标准进行规范性的操作,加强密码技术和访问控制的具体技术操作,以此来保证政府网络系统的安全运行。
参考文献
[1]汤志伟.电子政府的信息网络安全及防范对策[J].电子科技大学学报(社会科学版),2002,4(01).
网络安全防范办法范文2
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
网络安全防范办法范文3
[关键词]计算机 网络安全 防范技术
一、计算机网络安全的含义
国际标准化组织(ISO)对计算机系统安全的定义是:为系统数据处理建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
二、计算机网络安全的特征
网络安全应该具有以下四个方面的特征:
1.保密性:信息不泄露给非授权用户、实体、过程或供其利用的特性;
2.完整性:数据未经授权不能进行改变的特性,及信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;
3.可用性:可被授权实体访问并按需求使用的特性,即当需要时能否存取所需的信息;
4.可控性:对信息的传播及内容具有控制能力。
三、影响计算机网络安全的因素
1.无意的威胁――人为操作错误(如使用不当、安全意识差等)、设备故障、自然灾害(意外事故)等不以人的意志为转移的事件。
2.有意的威胁――黑客行为(由于黑客入侵或侵扰,造成非法访问、拒绝服务、计算机病毒、非法链接等)、垃圾邮件和间谍软件、信息战的严重威胁、计算机犯罪等人为的破坏。
四、网络安全防护措施
目前广泛运用和比较成熟的网络安全技术主要有:漏洞扫描技术、防火墙技术、信息加密技术、入侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。
1.漏洞扫描技术
漏洞扫描技术也就是对计算机系统或者其他网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。漏洞扫描是保证系统和网络安全必不可少的手段。
2.防火墙技术
防火墙技术是一种允许接入外部网络,但同时又能够识别和抵抗非授权访问的网络安全技术,用来防止非法用户和数据进出的一种安全防范措施,是在被保护网络和其他网络之间限制访问的一种设备。它的核心技术就是包过滤,大部分路由器都有这个功能,它可针对各种应用单独设置,使用灵活,适用于互联网。但是它存在着安全性较低;适用范围窄;过滤规则是静态的,过滤规则的维护、测试相当复杂;无法进行强电子数字签名和强身份鉴别等缺点。
3.信息加密技术
信息加密技术是保障信息安全的最基本、最核心的技术措施和理论基础。数据加密技术是为了提高信息系统与数据的安全性和保密性,防止机密数据被外部破译而采用的主要技术手段之一。它的基本思想是伪装明文以隐藏真实内容。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端一端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
4.入侵检测技术
入侵检测技术又称为IDS(Intrusion Detection svstem),是近几年出现的新型网络安全技术,目的是提供实时的入侵检测以及采取相应的防护手段。它是基于若干预警信号来检测针对主机和网络入侵事件的技术。一旦检测到网络被入侵之后,立即采取有效措施来阻断攻击,并追踪定位攻击源。入侵检测技术包括基于主机的入侵检测技术和基于网络的入侵检测技术两种。
5.防病毒技术
网络防病毒技术是网络应用系统设计中必须解决的问题之一。病毒在网上的传播极其迅速,且危害极大。并且在多任务、多用户、多线程的网络系统工作环境下,病毒的传播具有相当的随机性,从而大大增加了网络防杀病毒的难度。目前最为有效的防治办法是购买商业化的病毒防御解决方案及其服务,采用技术上和管理上的措施。要求做到对整个网络集中进行病毒防范、统一管理,防病毒产品的升级要做到无需人工干预,在预定时间自动从网站下载最新的升级文件,并自动分发到局域网中所有安装防病毒软件的机器上。
6.加强网络安全的人为管理
在强调技术解决信息网络安全的同时,还必须花大力气加强对使用网络的人员的管理。要注意管理方式和实现方法,因为诸多的不安全因素恰恰反映在组织管理或人员工作时录入、使用等方面,而这又是计算机网络安全所必须考虑的基本问题。所以,要采取切实可行的方法,加强管理,立章建制,增强内部人员的安全防范意识。例如:
(1)对一些重要设备(如主机、服务器等)要独立存放,并严格控制出入其中的人员,还要尽可能的给这些设备增加备份,以防不测发生。
(2)加强计算机操作人员的安全防范意识,不随意下载、安装不明软件。
(3)定时对杀毒软件、防火墙软件升级,谨慎使用他人的存储介质。
(4)限定网络用户的权限。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,有权访问某些目录、子目录、文件和其他资源,可以对这些文件、目录、设备执行指定操作。根据访问权限可将用户分为以下几类:
特殊用户:即系统管理员;
―般用户:系统管理员根据他们的实际需要为他们分配操作权限;
审计用户:负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
7.数据备份
网络安全防范办法范文4
【关键词】校园网络;网络安全;防范体系
【中图分类号】G40-057 【文献标识码】B 【论文编号】1009―8097(2011)11―0066-05
引言
随着国内高校新一轮信息化建设的不断深入,高校校园网规模越来越大,承载的应用系统越来越多,校园网络的结构也变得越来越庞大和复杂。随着人才培养、科学研究等各项工作对校园网的依赖性不断增加,校园网及各类应用系统的服务质量也应不断提高标准和要求,作为一个使用成熟技术和成熟设备的园区网络,网络安全是影响网络服务质量的重要因素。
但目前各高校的校园网“重建设,轻管理”的现象仍然十分普遍。在社会信息化发展的大潮中,各高校都已清楚地认识到校园网在学校各项工作中的基础地位,因此在校园网硬软件系统建设上进行了大量的投入,而正是硬件和软件系统的大规模快速增长,使得对网络的管理难以跟上建设的步伐,而网络管理是软性的工作,是不能够通过统计报表看得出问题或成绩的,因此网络管理工作很难引起学校领导的重视。但在实际工作中,相对滞后的网络管理会导致网络安全问题的频频发生,反言之,网络安全防范也是网络管理的重要内容。
本文根据目前高校校园网络存在的安全隐患来分析其成因,并在实际工作经验的基础上提出构建一套基于分层控制的“IAAPNS”网络安全防范体系,自底向上、由内到外、从技术到管理层面排查高校校园网络中潜在的安全威胁并给出防护建议。
一 高校校园网络的安全隐患及成因
目前高校校园网络的主干网都是基于TCP/IP协议的以太网,与其他类型的Intranet网络相比有其自身的特点,相应的安全隐患也就有其特定的成因。目前国内高校校园网络普遍存在的安全隐患和漏洞主要来自以下几个方面:
1 校园面积广阔,网络基础设施管理困难
经过兼并和扩张,高校的校区面积动辄上千亩、几千亩,许多高校还有地域上独立的新老校区,作为楼宇间连线的光纤布线遍布校区各处,而且往往跟其他强电或弱电线缆共用走线沟槽。对这些光纤的管理要涉及基建、后勤等多个部门,需要协调的工作也很繁杂,如果缺少一个明确的安全管理体系,就不容易分清工作界限,在出现突发故障后往往互相推诿,导致难以在短时间内恢复网络畅通。
另外一方面,校园内楼宇繁多,楼字里每几层都会有楼层网络设备间放置汇聚层或接入层网络设备,这些设备间的数量众多,但往往安全防范措施简易,门锁形同虚设,甚至有些设备间连门都没有,极易出现人为破坏或私拉乱接网线的情况,严重影响网络的运行安全。除此以外,雷击等外界原因也容易造成对网络设备的破坏。
2 网络设备种类繁多,不利于统一管理
校园网的建设一般是分批建设,不同批次、不同层次的网络设备使用的规格、品牌往往不尽相同,而这些网络设备的管理软件大多都是基于私有MIB库进行开发,这就造成了很难有一套统一的全网管理软件。病毒或黑客对网络设备进行攻击时,就很难在第一时间发现和应对,常常是在设备瘫痪之后才意识到出现了问题、进行紧急恢复。
3 网络终端数量众多,安全措施薄弱
一般高校的学生人数都是以万计,教师以干计,密集的用户群意味着网络终端的数量巨大,绝大多数网络终端以计算机为主,随着无线的普及,智能手机和平板电脑也成为重要的网络终端设备。数量众多的用户使用计算机或手机的技术水平差异很大,尤其是文科专业的师生对计算机的使用掌握得并不熟练,未装防火墙和杀毒软件的计算机比比皆是。而高校校园网只要一处出现漏洞,整个网络就无安全可言。近年来智能手机上也出现了不少的病毒和木马程序,智能手机的系统安全问题正变得日益严重。
4 系统软件本身并不安全
在目前的校园网环境中,个人终端装机占有率最高的仍然是Windows操作系统,由于使用面广,研究其漏洞的人也就更多,不少黑客都是利用其系统漏洞侵入用户的计算机,再以这些被控制的计算机作为跳板,攻击整个网络。
与个人计算机相比,服务器操作系统漏洞更具有灾难性。服务器的操作系统种类较多,除Windows之外还有Linux、Solaris等Unix系列的操作系统,而高校网络管理人才队伍中,对此类操作系统熟悉的人员比例不高,包括打补丁、差错、优化在内的各种操作系统管理手段很难周全到位。除了操作系统本身,其上所运行的各类服务软件(如IIS、Tomc~等)也存在安全漏洞问题,需要管理人员投入大量的精力进行研究和学习。
5 应用系统的安全漏洞
由于建设成本的考虑,高校的网络应用系统提供商的层次差异很大,有些就是自行组织教师或学生进行开发,缺少软件开发过程中各个层次的安全规划设计与实现,使得应用系统层面的漏洞层出不穷,这些漏洞很容易成为黑客攻击最直接的目标。还有些高校在建立Web网站时使用了开源程序,这类系统的漏洞更是容易被利用,甚至不懂黑客原理的用户经过几分钟的学习便可以掌握攻击方法。
二 高校校园网络的安全防范体系
由此可见,形成高校校园网络安全隐患的原因是多层次的,也是相互关联的,但目前各高校的网络管理部门往往采用的是“头痛医头、脚痛医脚”的“救火式”解决办法,只从某个方面或某个层次来应对。网络管理人员每天都在疲于解决各种突发性的网络安全事故,但问题还是与日俱增,网络服务质量和用户满意度仍然处于较低的水平,这种“费力不讨好”的现象迫使我们去思考更好的解决方案。
为此,针对目前高校校园网络的安全现状和威胁,结合实际工作经验,我们运用系统论的分析方法,提出构建一套名为“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security,网络安全集成关联架构策略,同时也是体系中六个层次的英语词组首字母组合)的网络安全防范体系,为高校校园网络安全提供一套完整的解决方案,以求由点到面、由“标”到“本”地系统地解决校园网络的安全问题。该体系从六个层次和角度来阐述网络安全的内容,并分析每个层次可能存在的隐患以及相应的应对策略,其中自底向上的五个层次分别是物理安全、网络安全、系统安全、应用安全和信息安全,管理安全则融合、穿插于这五个层次之中。整个安全体系的示意图如图l所示。
该体系将现行的高校校园网络安全性划分为5个横向层次和1个纵向层次,在5个横向层次中,最底层的物理安全是基础,网络安全是关键,系统安全、应用安全、信息安全是重点,管理安全是保障。下面分别对六个层次的内容、隐患来源以及应对措施进行详细阐述。
1 物理安全(Physical Security)
物理安全,主要工作是防止物理通路的损坏、窃听和对物理通路的攻击(干扰等)。保证高校校园网络和信息系统各种设备的物理安全是网络整体安全的前提,通常包括环境安全(系统所在环境的安全保护)、设备安全和媒体安全三个部分。抗干扰、防窃听是物理安全措施制定的重点。目前,物理实体的安全管理已有大量标准和规范,如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》、GB50173-93《电子计算机机房设计规范》等。
这一层次的安全威胁主要包括自然威胁和人为破坏等方面。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的离散事件有时会直接或间接地威胁网络的安全,影响信息的存储和交换。人为破坏则主要来自于高校校园网周边内外的人为性的损坏,这些损坏有时是主观故意的(如学生发泄对网络服务质量的不满而对网络设备或线路进行故意损坏),有时是客观意外的(如园区周边建筑施工导致挖断网络线路)。
面对以上威胁,为保证网络的正常运行,在物理安全层次上应重点考虑两个方面:
(1)校园网规划、设计、建设时将物理安全作为重点工作对待,适当提高安全标准,为网络设备或线路搭建防护设施、建立安全控制区域,尽量降低自然威胁可能带来的风险。
(2)加强巡查,将重点网络设备或线路所在地定为安全巡逻必到点,定期安排保卫人员在巡逻时查看网络设备或线路的外观和运行状态(如各种状态指示灯是否正常等),降低人为破坏的几率。
2 网络安全(Network Security)
网络安全主要包括链路安全、传输安全和网络访问安全三个部分。链路安全需要保证通过网络链路传送的数据不被窃听,主要针对共用信道的传输安全;传输安全需要保证信息的完整性、机密性、不可抵赖性和可用性等;网络访问安全需要保证网络架构、网络访问控制、漏洞扫描、网络监控与入侵检测等。
这一层次的安全威胁主要包括:
(1)通信链路上的窃听、篡改、重放、流量分析等攻击。
(2)网络架构设计问题、错误的路由配置、网络设备与主机的漏洞、病毒等。
相应地应对措施主要有:
(1)在局域网内可以采用划分VLAN(虚拟局域网)来对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能;若是远程网,可以采用链路加密等手段。
(2)加强网络边界的访问控制。对于有明显安全等级差别的网络区域尽量增加防火墙设备进行隔离。如在校园内网、服务器区域之间设置防火墙;校园网出口处、与Intemet之间设置防火墙。
(3)在交换机上启用DHCP-Snooping技术,使任何接入校园网的计算机只能动态获得IP地址,同时杜绝未经批准建立的网站通过私自手工设置静态IP地址来架设服务器。
(4)使用IDS(入侵检测系统)。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够阻止攻击者的入侵。当检测到有网络攻击或入侵时,可以实时发出报警,并详细保存相关证据,以便用于追查或系统恢复。
(5)对网络安全进行定期检测,以实现安全的持续性。可以利用漏洞扫描类的工具软件定期对系统进行扫描,根据扫描结果进行安全性评估,通过评估报告指出系统存在的安全漏洞,组织专家讨论后给出补救措施和安全策略。
(6)建立网络防病毒系统。在校园网中部署网络版的防病毒系统,统一管理服务器和各类网络终端的防毒软件,定时自动升级与维护,以保护全网不被病毒侵害。通过对网络中的病毒扫描集中控制,建立各种定时任务,统一集中触发,然后由各被管理机器运行,同时可对日志文件的各种格式进行控制。在管理服务器上建立了集中的病毒分发报告、各被管机器的病毒扫描报告、所安装软件的版本等报告,所有病毒扫描状态信息都可由控制台得到。
3 系统安全(System Security)
系统安全即运行在网络上的服务器、交换机、路由器、客户端主机等具有完整网络操作系统的设备的操作系统的安全。这一层次的安全威胁主要来自因操作系统本身的设计缺陷被攻击者利用从而引发的后果。对于高校校园网络而言,半数以上的攻击往往属于这一层次。这一层次的主要应对措施主要有:
(1)更新操作系统、安装补丁程序。任何操作系统都有漏洞,因此,系统管理员的主要工作内容之一就是监控运行在网络上的各类设备的状态,发现异常应当及时解决、排除故障。对于交换机、路由器等设备而言,主要是更新操作系统的版本,这一类设备主要用于数据交换,因此其内置固化的操作系统往往功能简单、体积很小,厂商的常规做法是新版本的系统,因此只需直接刷新即可。对于服务器、客户端主机等设备,因其主要是用于数据处理,操作系统功能复杂、体积庞大,厂商通常是一些补丁程序来进行更新,因此直接安装即可。
(2)优化系统。现代操作系统往往是多功能、多模块、多组件的,可能一项系统设置可能会影响多个功能,也可能多个选项来共同作用于一个功能。因此,对操作系统进行优化是一项非常必要的工作,甚至个别系统的个别选项如果不加以优化可能会被攻击者利用,从而产生威胁。实际当中包括关闭不需要的服务和端口并建立监测日志等。
(3)实行“最小授权”原则,分配正确和合适的权限。仅仅保持系统的版本最新、并做了优化是不够的,试想如果网络上的设备被设置了“123456”这样的密码,而且使用这个密码登录后还是最高权限的系统用户帐号,那么整套网络和信息系统的危险可想而知。实行“最小授权”原则(网络中的帐号设置、服务配置、主机间信任关系配置等为网络正常运行所需的最小限度),关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的帐号等措施可以将系统的危险大大降低。例如,根据需要设置帐号和权限,并为帐号设置强密码策略是必须完成的工作,如至少应该在8位以上,而且不要设置成容易猜测的密码,并强制用户每个月更改一次密码等等。
(4)及时查杀服务器系统中的病毒、木马和后门程序。
4 应用安全(Application Security)
应用安全主要是针对网络中提供的各种功能和服务而提出的,例如Web服务:E-Mail服务、数据库服务、各种业务系统、各种信息系统等等。应用安全的威胁主要有:应用系统缺陷、非法入侵等。这一层次的主要应对措施有:
(1)及时升级和更新各应用软件和信息系统,降低因软件设计缺陷引起的风险。若应用软件或业务系统是高校自行开发,系统的使用部门(往往是业务部门)应联系开发人员及时跟进,发现漏洞及时修补。
(2)对应用软件和信息系统实行身份认证和安全审计。
与系统安全类似,应用软件和信息系统也应对使用者进行分类、分配权限、认证身份并审计各种操作。例如可以按照需要在高校校园网内部建立基于PKI的身份认证体系(有条件还可以建立基于PMI的授权管理体系),实现增强型身份认证,并为实现内容完整性和不可抵赖性提供支持。在身份认证机制上还可以考虑采用IC卡、USB-Key、一次性口令、指纹识别器、虹膜识别器等辅助硬件实现双因子或多因子的身份认证功能。同时,还应特别注意对移动用户拨入的身份认证和授权访问控制。
5 信息安全(Information Security)
信息安全注重的是网络上各类数据、信息的内容安全。这一层次可能的威胁和相应的应对措施有:
(1)植入恶意代码或其他有害信息。一部分攻击者经常采用的攻击方法是扫描网段找到有漏洞的主机,接着使用黑客软件或攻击程序进行刺探,在获得系统权限后将恶意代码植入到在该主机上运行的各应用软件或信息系统中,待其他用户正常使用时发作,或修改页面的内容造成不良影响。针对这种情况,可以部署网页防篡改系统,减少Web站点的内容被恶意更改植入恶意代码或其他有害信息。
(2)垃圾邮件和病毒的传播。目前,电子邮件已经成为垃圾信息和病毒的主要传播途径之一,采用垃圾邮件网关并部署电子邮件反病毒模块能够在一定程度上减轻危害,缺点是垃圾邮件识别模块和反病毒模块需要经常性升级,在查杀和拦截上有一定的滞后性。
(3)负面舆论导向。高校历来是思想碰撞的场所,网络作为新兴载体己经发挥着越来越大的作用,因此,舆情监督和正面舆论导向将逐渐成为高校信息安全的重点工作内容。除了采取技术手段进行监督管理外,高校的信息化管理部门还应与宣传部门一道培养舆论导向的专业人员或学生,主动将信息安全的风险降到最低。
6 管理安全(Administration Security)
目前,部分高校的网络管理人员及其用户的安全意识总的来说较为淡薄,且大多数高校的网络管理制度不完善、管理技术落后、管理机构不健全。上述因素不仅使得校园网络性能下降、运行成本提高,而且还会造成大量非正常访问,导致整个网络资源浪费,带来极大的安全隐患,使得网络受到攻击的概率大幅提高。
管理安全是整个防范体系的主线和基础,贯穿于整个体系的始终。如果仅有安全技术方面的防范,而无配套的安全管理体系,也难以保障网络安全的。必须制订相应的安全管理制度,对安全技术的实施落实到具体的执行者和执行程度。
网络安全工作可以说是一项群体性的工作,网络用户的安全意识是网络安全的决定因素,对校园网络用户安全意识的教育是安全防范体系中至关重要的环节,是形成高校校园网络安全体系的基础。尤其是在病毒泛滥的大环境下,需要通过定期培训、及时通过各种手段病毒预警通知、监督和促使用户尽快打补丁等方法,达到增强师生用户的安全意识,提高必要的安全防范技能的目的。
以上便是我们提出的网络安全防护体系的六个层次,除管理安全层次外,其余五层与TCP/IP协议的层次类似,上一层的安全是建立在其下一层的安全基础之上,下一层的安全是上一层安全的重要保障,层次之间环环相扣,不留安全死角。
本体系中的六个层次也基本涵盖了高校网络管理工作的方方面面,将网络安全工作的思路分层次清晰化,具有极强的实用价值和指导作用。
三 应用效果
重庆理工大学从2001年开始大规模建设校园网络,2003年开始建设数字化校园系统。校园网按照核心层、汇聚层和接入层三个层次进行规划设计,共有各类网络设备600多台,接入信息点18000个,活跃用户大约2万人,各类服务器40多台,安装有Windows、Linux和Solaris等操作系统,数据库以Oracle和SQL Server为主。数字化校园系统覆盖办公、教务、学工、人事、财务、后勤等各个方面的工作,共计有各类系统模块80余个。在大规模的硬件和软件系统建设前期,缺乏对网络安全的系统认识,在遭遇网络安全事故时,常常只能采取临时性的应对措施。随着网络和系统规模的不断扩大,网络安全已经成为影响网络服务质量的重要根源,网络信息中心的员工几乎天天都在疲于应对各类突发性的网络安全事件。
学校从2008年开始总结网络安全工作的经验与教训,运用系统工程的分析方法,从整体和系统的角度提出网络安全防范方案,形成了“IAAPNS”网络安全防范体系,并应用到校园网的建设与维护工作中,经过三年多的运行,学校校园网络安全工作进得了明显的成绩(如图2所示):
对网络设备攻击(包括病毒)而导致网络故障的次数由2008年的334次降到2010年的65次,2011年上半年为19次;利用操作系统漏洞(包括Web服务器漏洞)攻击成功次数由2008年的46次降到2010年的6次,2011年上半年为2次;利用应用软件的安全漏洞攻击成功次数由2008年的125次降到2010年的43次,2011年上半年为15次。
随着网络安全防范工作的加强,网络服务质量明显提升,如图3所示,用户满意度从2008年61%提升到2010年的73%,2011年上半年为78%。
网络安全防范办法范文5
关键词:企业;计算机网络;网络安全;管理
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)31-6973-02
1 企业计算机网络安全的重要性
计算机网络安全也就是为了保护计算机的数据处理系统的目的,在技术上以及管理上做出的用来维护计算机软硬件免受外界的干扰和破坏的措施,是为了保护计算机网络传输的数据不受到恶意的破坏,随便更改以及泄露。企业的计算机网络安全,为了确保企业有一个安全的计算机网络环境,确保企业可以正常的工作,同时计算机网络安全对于企业的内部信息以及企业机密文件的保护,起着至关重要的作用。特别是由于网络已经深入到企业的生产经营中,因此,加强企业的计算机网络安全是一个不容忽视的任务。
随着因特网的普及,计算机网络已经在企业领域广泛的使用。但是计算机网络在带给人民便利的同时,也伴随着企业计算机网络的安全问题随之日益突出。首先,计算机网络环境越来越复杂多变,计算机病毒、网络诈骗、黑客等等,手段也越来越复杂化。这些威胁的破坏力也越来越大,给企业造成信息以及机密的泄露,会造成企业的财产损失严重。其次,企业自身内部的网络问题越来越突出,由于企业计算机网络安全管理水平不高,网络监管不到位,企业员工的去留,会导致企业自身内部的工作人员对公司内部网络的破坏,使企业计算机网络不能够正常的运行,严重的干扰到企业的正常工作,给企业造成财产损失。因此,加强企业计算机网络的监管,维护企业内部计算机网络的安全,为企业工作人员创造一个安全的计算机网络环境就显得尤为重要。
2 企业计算机网络所面临的安全隐患
计算机网络安全所面临的威胁有很多,特别是因特网的广泛应用,计算机技术的快速发展,导致计算机病毒以及网络黑客也随之猖獗。企业计算机网络安全所面临的威胁主要有一些几个方面,首先,来自企业外部的风险,主要表现就是,由于企业对外业务的开展,企业的局域网也会与互联网相互联系,这样就会给那些为了窃取企业内部的机密信息以及资料的侵入者创造机会,特别是企业中的财务和研发机密等文件。网络中的计算机病毒以及黑客木马,会造成企业的财务,研发产品以及客户信息的泄露,会导致企业整个的计算机网络的瘫痪,给企业造成严重的财产损失。这些来自企业计算机网络的内部威胁,从很多方面来说都不必来自企业计算机网络外部的威胁所造成的损失差,由于企业计算机网络内部的威胁有影响广泛,强度大的特点,对企业生产经营的破坏力就会非常的严重。企业计算机网络内部的威胁更大的另一方面原因就是,内部威胁会造成企业的抗病毒软件和病毒检测的作用削弱。特别是由于企业的员工的操作失误,以及恶意的去破坏,对于这种情况,防范能力就会更差。其次就是由于自然灾害的威胁,比如地震、台风、火灾、水灾、战争等等,所造成的破坏具有不可预测性,它们所造成的危害就更大,损失更为惨重。
以上都是从企业计算机所面临的威胁方面考虑的,下面将要讨论的就是从企业的网络安全方面,也就是企业的内部网络安全所面临的风险。主要表现有以下几个方面,首先就是,计算机病毒的威胁,计算机病毒具有传播速度快,破坏性大的特点,特别是在网络通信环境中,计算机病毒的传播就更为迅速和广泛。通常而言,计算机病毒主要是通过对计算机的存储环境,计算机文件,以及计算机硬件设备的破坏,造成计算机瘫痪。计算机网络上的病毒木马等,可以通过计算机网络传播到网络的终端系统计算机上,对计算机造成破坏,会导致整个企业计算机网络的瘫痪,无法进行正常的工作,最严重的是对导致企业的内部紧密文件和资料遭到泄露。特别是现阶段市场竞争压力较大,企业与企业之间的竞争也越来越激烈,这样就会导致一些企业通过违法的行为来窃取竞争对手企业的机密信息和资料。其次就是,磁介质的泄露,主要是指一些用来存储信息的磁带盒磁盘,由于具有大存储量和复制拷贝容易的特点,比较容易泄露。第三方面计算机的电磁辐射导致的信息泄露,因为电磁辐射没有办法进行阻止,无形中就会导致信息的外泄。第四方面,网络系统自身内部的薄弱,由于很多的操作系统,都存在网络安全方面的漏洞,因此现阶段的很多的病毒都是针对计算机的操作系统被设计出来的,所以要对企业的内部网络进行加固保护。
企业计算机网络安全威胁还有来自技术和管理方面做的不到位,而导致的计算机病毒、木马黑客的肆虐。首先就是由于设计技术方面的漏洞,由于互联网本身的设计中,物理的连接方式,就是一个技术上的潜在威胁。因为不管是谁,只要可以有工具并且能够接触到电缆,既可以很轻易地把自己的电脑连接上,之后就可以对总线上的所有的信息进行窃听,甚至对信息进行篡改。其次就是计算机系统的配置不适当导致的安全威胁,口令文件没有安全保护,无线网络的密码设置薄弱或者根本没有密码,所有这些都会导致计算机网络安全受到威胁。第三方面就是由于企业在管理上的不恰当所造成的威胁,由于网络安全维护的意识不够,对计算机网络安全维护的投入不足,以及对计算机网络安全的监管措施不恰当,没有正确的策略和指导,一旦企业计算机网络遭受入侵攻击,造成的损失竟会是灾难性的。
3 企业计算机网络安全的防范措施
我们通常所说的计算机网络主要包括两部分,一般是把计算机和网络通信结合起来,计算机是计算机网络中必不可少的一部分,没有计算机,网络通信就无法传输。同时网络通信就是计算机之间的数据传输的媒介。因此,计算机网络的重要作用就是它通过为用户提供信息资源来为用户服务的。一般来说,网络安全主要组成部分是,网络系统的硬件安全,网络系统的软件的安全,还有所传输的数据信息的安全。因此维护计算机网络的安全,主要就是对这三个方面的安全维护。维护计算机网络的安全所采取的措施主要有,技术方面和监管方面的措施,以此确保网络系统的安全和传输数据的准确性。为了确保计算机网络的安全,首要的条件就是使用安全的计算机产品。其次就是员工对维护计算机网络安全重要性的意识,在技术上和管理方面采取严谨的态度,严防计算机网络危险。
下面将要提到的就是企业计算机网络安全的具体防范措施,其中不仅有技术上的措施,管理上也需要加强。首先,计算机网络的防火墙技术,也就是一种对计算机网络之间进行保护的屏障,一般会有两部分组成,一是软件,一是硬件。它可以对计算机网络的内部网和外部网,局域网和互联网之间对病毒木马或者黑客进行阻止。总的来说,一般的防火墙技术主要有,包过滤防火墙技术,检查防火墙技术等等,一般防火墙可以通过一下步骤进行建立,首先是对安全策略的制定,这方面的要求必须是切实可行、行之有效的。接着就是对安全的体系结构的建立,以及安全规则的设定,特别是安全规则,要更加注重,以便安全策略的具体实施,最后就是定期的对安全工作进行检测。防火墙可以对计算机网络安全威胁进行防护。其次就是,检测技术,病毒木马的侵入检测技术就是可以对计算机系统中出现的没有授权或者异常现象。目的是为了保护计算机系统的安全,过滤计算机系统中的不符合计算机安全策略的行为。入侵检测技术是随着黑客以及病毒和木马的广泛传播而出现的。由于技术比较新,现阶段,装有入侵检测技术的计算机操作系统还是比较少。第三,对计算机网络传输的数据进行加密的技术,也就是说对网络传输的信息进行加密钥匙和函数转换,就是数据变成了看不懂的没有意义的文字,加密技术的出现,极大地提高了企业计算机网络信息的安全,保证了信息以及数据的完整性和保密性,纺织企业内部资料和信息的泄露。还有就是加密技术与防火墙技术结合使用,效果会更好。数据加密技术主要包括多种,主要是数据传输中加密,数据存储的加密技术等等。
企业计算机网络安全的管理方面所采取的措施,主要是通过对企业的计算机网络环境,计算机设备,以及企业的员工的管理,来实现企业计算机网络安全。管理方面的措施主要有:计算机网络的场地的安全措施,物理防火防盗技术,计算机软硬件的保护技术等等方面。对于计算机网络的传输数据的线路和设备的保护技术,这一方面可以通过减少辐射源的电磁干扰增加准确性,特别是一些比较重要的涉及到企业机密的设备,都要进行防辐射保护。还有计算机网络的布线系统外联的现象,及时的对计算机进行升级,是计算机软件保持最新版。其次就是,对于企业内部计算机网络的访问权进行控制,对访问权的控制是保护计算机网络系统最重要的防范措施之一,通过对访问用户的检测,把用户限制在规定的访问权限之内,避免企业的计算机网络的非法的使用和越权。这样就可以保护企业的内部资源的安全性,避免企业内部机密文件的泄露。可以通过对网络的安全监控,违法监视,对病毒的跟踪等等,来实现企业计算机网络安全防范。第三方面就是,加强企业的内部管理,加强企业内部的网络安全防范意识,采取积极有效的计算机网络安全防范措施,对企业计算机网络安全进行监管和防范。比如对企业计算机服务器源头的监控,从源头上减少被污染的几率,在机房源头方面,监管每一台计算机的文件下载,特别是对网络病毒的监控。通过制定企业内部严格的计算机网络安全使用规则,对每个员工的计算机网络信息进行严格的监管,避免黑客木马等的入侵。还有就是对企业的工作人员,要求他们尽量少的使用互联网,这样会造成企业计算机网络系统暴露在互联网上,造成被攻击的机会增大。增加企业员工的计算机网络安全防范意识,避免使自己不知不觉之中就被病毒或者黑客攻击了。最后就是,加强对企业员工的网络道德教育,安全健康的使用网络,加强对他们进行职业道德教育,增加他们的网络安全防范意识,同时对企业的法制教育也要及时的加强,企业的每个员工都要了解网络安全知识,加强他们对网络安全的防范意识,增加他们的责任感。
总而言之,随着网络黑客木马以及计算机病毒增加,企业的计算机网络安全管理的任务越来越艰巨,企业所面临的计算机网络威胁,和计算机网络问题更加的复杂和困难。因此企业要及时的做出有针对性的安全措施,保护企业计算机网络安全需要不同安全防范措施相结合,加强计算机网络安全的技术监管,增加企业工作人员的计算机网络安全防范意识,保护企业的网络安全。
参考文献:
[1] 吴延亮.电子商务环境下会计信息系统安全问题研究[J].电子技术, 2012(3).
[2] 夏加斌.油气田勘探开发网络系统安全问题浅析[J].复杂油气藏,2011(2).
[3] 康莉,康蓉.企业会计信息系统的安全问题及防范措施探讨[J].价值工程, 2011(10).
[4] 张丽平,谢宝义,史东风.SSL VPN技术在高校图书馆应用的实例与分析[J]. 科技情报开发与经济,2010(8).
网络安全防范办法范文6
一 绪论 安全管理的发展趋势和现状
1、 网络安全现状
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
2、 现有网络安全技术
计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。
问题类型 问题点 问题描述
协议设计 安全问题被忽视 制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。
其它基础协议问题 架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题 设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误 协议设计错误,导致系统服务容易失效或招受攻击。
软件设计 设计错误 协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。
程序错误 程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作 操作失误 操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
系统维护 默认值不安全 软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统 软件和操作系统的各种补丁程序没有及时修复。
内部安全问题 对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。
3、 现有网络安全技术的缺陷
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。
在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。
4发展趋势:
中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。
4.1、现阶段网络安全技术的局限性
谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。
任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。
转贴于
首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。
再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。
4.2、技术发展趋势分析
.
防火墙技术发展趋势
在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。
从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
UTM的功能见图1.由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。
(3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
二 网络安全面临的主要问题
1. 网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全 措施加以防范,完全处于被动挨打的位置。
2. 组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐 患,从而失去了防御攻击的先机。
3. 组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击 者以可乘之机。
4. 组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施 不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。
5. 网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络, 不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应。
三 网络安全的解决办法
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。
1. 安全需求分析 "知已知彼,百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全。
2. 安全风险管理 安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。
3. 制定安全策略 根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
4. 定期安全审核 安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。
5. 外部支持 计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警。
6. 计算机网络安全管理 安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。
