时间:2023-09-14 17:44:18
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇计算机网络安全笔记,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】网络安全;网络规划管理;网民;信息技术
1 引言
网络安全在互联网发展中的重要性随着电脑技术的发展,电脑的使用已经深入到社会生活的各个层面,服务、金融、管理、科技、国防等各个领域都已经得到了极其广泛的应用,毫不夸张的说,计算机已经把人类带入了一个全新的时代。在计算机网络技术高速发达的今天,尤其是互联网应用在人们的生活中已经变得越来越广泛,在网络给人们带来了海量信息的同时,网络安全的问题也应当值得深思。众所周知,网络本身就存在开放性和自由性的特点,因此,这一“双刃剑”也为私有信息和数据被破坏或侵犯提供了犯罪机会,在安全隐私问题被高度重视的今天,网络信息的安全性问题已经变得日益重要起来,成为了计算机应用领域中高度重视的问题。
2 计算机网络应用中存在的安全隐患
(1)计算机网络定位不准。按照有关保密的明确规定:机关和单位的内网不可储存、传输、处理国家秘密信息,但是可以处理工作秘密。但是在具体的工作环境中,有很多机关和单位在建设网络的过程中往往都忽略了网络的根本性质,做不到对网络的正确定位。不仅如此,内网的安全系数低是众所周知的,一旦工作中出现重要机密,不法分子就很有可能通过不良手段窃取机密。
(2)违规使用和操作。在我国,有很多重要机构都建立了自己的网络,其在内容上涉及了很多的重要机密。在这些机构当中之所以会出现泄密的问题,主要是因为违规使用计算机网络信息系统所造成的,造成违规操作的原因主要有两个:第一,机构内部没有设立完善的保密论证;第二,系统未经技术测试。当然也不排除不良分子的恶意操作,故意盗取机密。
(3)移动设备的交叉使用。虽然移动设备给人们在工作和生活当中带来了极大的方便,但与此同时,稍有懈怠就会导致泄密。我们把移动设备分成两种:第一种是用来专门保存机密,此种是经过加密处理的;另一种则是保存个人信息,没有,而且这种移动设备是不可以在计算机上使用的,但是一些机关单位并没有意识到这一点,导致计算机感染病毒,从而使机密文件丢失。
(4)将的笔记本电脑带出办公室以外的地方使用。很多的单位和机关对于员工将笔记本带出办公室不给予重视,这样的做法也很容易导致机密的泄漏和外传。
3 如何加强计算机网络应用中有关泄密隐患的防范措施
(1)将防火墙技术应用到计算机网络的应用中。防火墙技术的开发给网络安全维护带来了重要支持,配置防火墙系统对于网络安全来说,是保证计算机网络安全的重要措施之一。简单的说,当计算机与互联网连接之后,系统识别自身的安全除了考虑计算机病毒、系统的健壮性的同时,其更加有效的作用是能够防止非法用户的入侵,而防火墙技术的应用则可以很好的做到这一点,不得不说,防火墙在一定的程度上,可以有效地提高内网的安全维护,并能够通过过滤不安全的因素而降低风险。同时,防火墙还有警报功能,一旦可疑动作发生时,它便及时的进行监测和适时的发出预警。
(2)将数据加密与用户授权访问控制技术应用到计算机网络应用中。与防火墙技术相比,该技术则显得更为灵活,更加适用于开放的网络的。此技术的主要应用方向是针对于静态信息提供重要保护,但是用户授权访问控制技术唯一的缺陷就是对计算机的要求较高,需要系统级别的支持,在一般操作系统中则很难得到使用。
(3)将防病毒技术应用到计算机网络应用中。计算机技术在当今社会突飞猛进的发展的同时,使得计算机病毒也变得更加的嚣张、更加繁杂,因此也就加大了对计算机信息系统构的威胁。就大多数杀毒软件而言,其在功能上大致可以分为两种:网络防病毒软件和单机防病毒软件。所谓的单机防病毒软件,主要是指安装在单台计算机上,能够对本地和本地工作站连接的网络资源,采用分析扫描的方式检测,在发现病毒的情况下能够将其删除。
(4)将入侵检测技术应用到计算机网络应用中。从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统,这是入侵检测技术的主要特点。其功能主要体现在以下方面:①能够监视并分析用户对计算机系统的操作,可以在短时间内查找非法用户对计算机进行的违规操作。②可以有效的检测出系统在配置中存在的安全漏洞,能够及时的提示使用人员对漏洞进行修补。③对异常行为模式具有统计分析的功能。④能够实时检测到,最大程度阻止的入侵行为进行反应。
(5)建设一支网络安全管理团队。我们都知道,计算机网络系统中不可能存在完全绝对的安全措施,因此,这也就要求管理人员制定出健全的安全管理体制,打造出专门管理网络安全的团队,与此同时,还要加强团队内管理人员的培训,让其明白自身的责任感,提高工作人员的整体素质,从而更好的为网络安全管理服务。
4 结语
互联网时代的到来已势不可挡,人们对网络也产生了空前的依赖,生活、工作、娱乐等等,网络已经越来越成为人们在现代生活中不可或缺的一部分,正因为如此,计算机网络中的安全问题也显得尤为重要,如何为网民们创造一个良好的上网环境;如何让互联网在工作中的安全性更加可靠;这就要靠不断加强管理和网民共同努力了,希望在不久的将来,网络环境可以更加的安全有序。
参考文献:
[1] 李天铎.因特网的信息保护[J].管理科学文摘,1998,(4)
[2] 向亦斌.浅谈局域网的安全问题[J].软件工程师,2000
关键词:数据加密技术 计算机网络安全 应用
中图分类号:TP30 文献标识码:A 文章编号:1007-9416(2012)11-0191-01
1、数据加密技术简介
1.1 数据加密技术的含义
所谓的数据加密技术主要就是通过密码学中的一些技术将原来的明文信息进行加密,一般利用加密秘钥和加密函数等方式对数据进行替换或是移位,把信息数据变成其他人无法直接读取的或者是没有意义的密文信息,而信息接收者则可以根据解密密钥和解密函数等相应的程序还原加密密文,得到原来的信息,数据加密技术就实现了信息的隐蔽传输和完全传输,使得数据信息在传输过程中不丢失或损坏,达到数据信息安全性、保密性、完整性的要求,已经成为了保障计算机网络安全的重要工具。
1.2 数据加密技术的种类
1.2.1 对称加密技术
对称加密又叫做共享密钥加密,是指信息发送方和接收方使用相同的密钥进行加密和解密数据,这要求通信双方在安全传输密文之前必须商定一个公用密钥。因此,只有密钥未被双方泄露的情况下,才能确保传输数据的安全性、机密性和完整性。
1.2.2 非对称加密技术
非对称加密又叫做公钥加密,是指信息发送方和接收方使用不同的密钥进行加密和解密数据,密钥被分解为公开密钥(加密)和私有密钥(解密),现有的技术和设备均未能由公钥推出私钥。非对称加密技术以密钥交换协议为基础,通信的双方无须事先交换密钥便可直接安全通信,消除了密钥安全隐患,提高了传输数据的保密性。
2、计算机网络安全的影响因素
随着数据信息量的不断增加和网络开放程度的不断提高,计算机网络安全受到了越来越严重的威胁,主要影响因素有以下几方面:
2.1 网络安全漏洞
目前计算机的操作系统一般都支持多用户和多进程操作,往往也是许多不同的集成同时在接收数据包的主机上同时运行,而这些进程中的任何一个都可能陈伟传输数据信息的对象,这就导致网络操作系统的漏洞暴漏了出来,从而影响网络安全,这些程序的同时运行有可能使整个计算机网络系统的薄弱环节面临着黑客攻击的危险。
2.2 计算机病毒的威胁
计算机的广泛应用之后,面临着一个很严重的问题就是计算机病毒的威胁。计算机病毒有着蔓延速度快、影响范围广、难以彻底清除等特点,如果是传输的数据信息受到了病毒的入侵,一旦进行传输或是共享后,如果其他的计算机进行接收或浏览时就会受到病毒的感染,导致病毒传输的范围越来越广,最后以至于整个系统都会受到严重影响,严重时会出现系统死机情况,造成数据的损坏和丢失。
2.3 服务器信息的泄露
计算机系统程序本身并不是特别的完善,都存在着一些缺陷,当出现程序错误没有正确处理时,部分服务器的信息有可能出现泄露,攻击者就会利用这类漏洞来收集到对于进一步功绩系统有用的信息来对系统进行破坏,对网络安全造成进一步的威胁。
2.4 非法入侵计算机系统
非法入侵就是一些攻击者或侵入者通过监视、偷盗等非法的行为来获取带有用户名、口令、IP包或者其他的含有数据信息有关内容的文件,利用所获得的信息私自登录到系统之中,这些非法入侵者通常采用冒充一个被信任的主机或客户进一步通过被信任客户的IP地址取代自己的地址的方式,最终盗用网络数据信息。
3、数据加密技术在计算机网络安全中的具体应用
3.1 数据加密技术的操作步骤
3.1.1 加密目标的确定
加密技术应用的第一步就是对于加密目标的确定,明确加密目标主要就是要了解网络安全中都有那些房米需要使用加密技术,也就是要明确下列的几个问题:第一,在通常见到的服务器、笔记本、工作站等可移动存储设备中会有哪些重要的信息进行加密;第二,一般重要信息在不同种类的存储设备上通常储存在什么位置或是通常以什么类型保存的;第三,用到的重要信息在局域网中的传输是否安全保密;第四,在一般的网页或者是浏览器中是否含有中啊哟的信息需要加密。
3.1.2 选择加密技术
前面对加密技术进行了介绍了对称加密技术和非对称加密技术两种加密方法,通过对两种加密技术进行认真分析,根据不同的需要选择恰当的加密技术。
3.2 数据加密技术在不同对象中的应用
数据加密技术在不同应用对象中的应用也不同,下面就介绍一下在不同对象的具体应用。
3.2.1 数据加密技术应用于网络数据库加密
网络数据库管理系统平台多为Windows NT或者Unix平台操作系统的安全级别通常为C1级或C2级,故计算机存储系统和数据传输公共信道极其脆弱,易
被PC机等类似设备以一定方式窃取或篡改有用数据以及各种密码。因此,数据加密对于系统内外部的安全管理尤为必要,网络数据库用户应当通过访问权限或设定曰令字等方式对关键数据进行加密保护。
3.2.2 数据加密技术应用于电子商务
电子商务的兴起和发展促进了社会进步的进程以及改变了人们的工作生活方式,安全的计算机网络环境直接推动着电子商务的健康持续发展。电子商务的安全性集中体现在网络平台的安全和交易信息的安全,故在电子商务活动中应用ssl、set安全协议、数字证书、数字签名等数据加密技术以确保交易双方的信息不被泄密与破坏显得至关重要。
3.2.3 数据加密技术应用于虚拟专用网络 (VPN)
当前不少企事业单位都构建了自己的局域网,由于各分支机构可能处于不同地区,所以必须租用一个专用路线来联结各个局域网以组建广域网。数据加密技术在VPN的应用价值主要体现在数据离开发送者VPN时会自动在路由器进行硬件加密,然后以密文的形式传输于互联网,当密文到达目的VPN时,其路由器将会自动进行解密,VPN接受者由此可以看到明文。
3.2.4 数据加密技术应用于软件加密
如果杀毒软件或反病毒软件在加密过程中的程序感染了计算机病毒,那么它便无法检查该程序或数据是否有数字签名。所以,若要执行加密程序时,有必要检查一下需要加密解密的文件及其自身是否被病毒感染。然而,这种检查机制要求保密,故部分杀毒软件或反病毒软件有必要进行数据加密技术。
论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(smis)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(vlcc)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用hp compaq dx7400(pentium dual e2160/1.8ghz/ddr2 512m/80g);网关采用industrial computer 610(p4 2.8ghz/ddr333 512m/80g);交换机采用d-link des-1024d快速以太网交换机(10/100m 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用amos mail或rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义isms的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循pdca的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7 总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
关键词:计算机网络技术;消防信息化工作;应用
中图分类号:TN711 文献标识码:A
随着计算机网络技术的发展,在消防信息化工作中得以有效利用,但另一方面也造成了消防信息丢失、信息泄露等一系列严重问题,威胁着消防工作的安全。我们有必要认真分析这些问题的产生根源,并结合计算机技术的发展现状,提出解决问题的有效对策。只有这样,才能使计算机网络技术更好地服务于消防信息化工作。
1计算机网络技术与消防信息化
1.1计算机网络技术
计算机网络技术,指的是用一定的设备将多个不同地点的计算机连接成一个完整的网络,并实现信息互通、资源共享的一种信息技术形式。这种技术是科技发展的产物,它的发展变化经历了一个从简单到复杂、从低级到高级的演变过程。计算机网络是一个功能较齐全的高科技网络,它的主要功能包括实现各用户之间的资源共享、实现用户之间的信息传递,以及协调用户之间的工作进程,促进合作。计算机网络技术可以节省数据与信息传递的成本,扩大数据与信息传输量,并能将世界各地的信息在短时间内传递到不同的用户端,省去了用户查找有用信息的麻烦。
1.2消防信息化
消防信息化,是指综合运用计算机网络技术、通讯技术、卫星定位技术和呼叫技术等现代技术手段,通过互联网进行消防信息的收集、处理以及储存等工作,实现消防信息的高效共享与消防资源的共同使用。消防信息化的实现有着重大意义:①消防信息化的发展,有助于提高消防工作人员的日常工作效率,提升日常工作的信息化水平,省去了以往许多高强度的体力劳动,从而提升了消防工作的质量和速度,增强了消防工作人员的应变能力和救援能力;②消防信息化在消防队伍网络内部实现了信息公开,提升了工作的透明度,有助于督促广大消防官兵改善服务质量、提高自身综合素质、增强自身竞争力。同时,信息公开也方便了广大人民群众对于消防工作的监督,使消防队伍的良好形象得以进一步确立;③消防信息化大大提高了信息传递的速度,扩大了有效信息的获取范围,增加了信息传送的准确程度,从而使消防工作走向规范消防安全化,有效地降低了工作误差率。
加强消防信息化建设,主要应当从以下几方面入手:①要加强信息化的基础设施建设。要完善消防工作的通讯网络,努力构造多层次的网络体系,实现信息传递的网络化和体系化;②要加强消防信息的安全保障工作,确保消防信息网络运行安全、信息数据真实可靠。应当着重采取措施,防止外来人员对消防信息的窃取和骗取,为信息设置密码和客户访问权限,防止信息出现被盗现象。在发生信息丢失等突发事件时,应当能够启动应急措施,将损失降至最低;③要加强对于消防信息网络的管理。在确保网络体系正常运转的基础上,完善网络体系管理的相关制度,为消防信息的便捷高效传递提供制度保障。
2计算机网络技术在消防信息化工作中的应用及存在的问题
2.1缺少信息安全监测措施
在计算机网络技术刚刚兴起的时候,网络的设计者安全意识较为淡薄,建设资金也不够充足,这导致计算机网络建成以后,在信息安全的监管方面存在很大隐患:①计算机主机没有得到有效监控。网络设计者只考虑到了对一些接入计算机的外部设备进行安全监测,却忽视了对主机本身的控制,从而对整个消防网络的安全构成威胁;②可以移动的信息存储设备没有得到有效监控。很多消防官兵在使用消防计算机网络时,习惯用硬盘等下载数据并存储工作信息,而这些硬盘本身有可能是计算机病毒的携带者,它们一旦接入计算机,就可能造成整个网络系统的瘫痪,并影响到其他网络体系的正常运转;③外部的来访用户没有得到有效监控。由于消防网络具有分布比较分散的特点,每一台机器都有可能成为外部用户访问的对象,这些用户自身携带的病毒和异常程序也会因此进入消防网络系统内部,造成重要信息泄露或丢失、网络瘫痪等一系列严重后果,影响消防部门的正常工作进程。
2.2缺少信息安全管理制度
从表面上看,大多数消防单位都有自身的安全管理制度体系,但实际上,这些制度在工作实际中的落实情况却并不理想。这主要是因为有些消防单位对于信息安全不够重视,没有将信息安全责任落实到人,致使安全管理制度只停留在书面层次上,而没有实际起到预防和监督作用。有些消防单位在遇到网络安全威胁等突况时,就采用消极的方法进行回避,如干脆将网站的入口关闭,或者不让用户继续使用信息等。这种做法实际上破坏了消防安全制度的严肃性,使制度的执行效果大打折扣。
2.3缺少信息安全教育培训
很多消防官兵认为,自己的工作任务就是组织好与实施好具体的消防工作,至于消防信息安全知识,他们不需要掌握得太详细,只要能看懂计算机上显示的信息,会一些基本的计算机操作和网络常识就可以了。实际上,这种认识是不对的。随着计算机网络技术的高速发展,计算机系统自身的安全问题也层出不穷,例如计算机病毒、黑客入侵等。如果广大消防官兵不加强信息安全意识,不注意提高自己的信息安全知识水平,就有可能难以识别一些新型的消防系统信息安全问题,难以及时采取措施,防止危害的进一步扩大。从这个角度来讲,消防官兵有必要接受专业的信息安全技术培训,消防官兵可以利用业余时间参加一些网络安全技术的培训班,有条件的消防单位也可以组织官兵开展专门的消防信息安全学习,督促他们做好学习笔记,并开展一些实践活动,切实提高他们的理论素养和实践水平。
3保障消防信息网络安全的具体对策
3.1技术对策
要解决消防信息化工作中存在的计算机网络安全问题,改善技术是基础。在技术层面,我们要全方位加强信息监管,确保系统内部的信息安全,并有效阻止外部的有害信息侵入计算机系统内部。具体来讲,可以完善信息防火墙,隔离消防系统自身的网络与外部的网络,阻止外部的用户违法进入消防信息系统,从而保护系统内部的信息不受侵害,又不妨碍信息之间的互通;可以定期更新和升级计算机杀毒专用软件,使杀毒软件的更新能够赶得上计算机病毒种类的增加速度,从而有效实现杀毒功能;可以对于消防信息系统内部的重要信息进行加密处理,使信息的具体内容不会轻易暴露给外界,保障信息的安全性;
3.2管理对策
要解决消防信息化工作中存在的计算机网络安全问题,规范管理是关键。规范消防安全网络管理,主要应当从日常工作中的细节入手,落实各项规章制度,将制度责任具体化,确保规章制度能够得到全面实施。例如,可以建立负责人制度,指派专人对信息系统的某个领域进行专项管理,带领小组成员开展实在的网络安全监管工作;可以确定信息安全监管重点,对于经常出现安全问题或者存在较大安全隐患的领域实施重点监管;可以进一步完善监管程序,保证消防官兵在信息化工作中按流程办事,提高程序意识。
4总 结
计算机网络技术在消防信息化工作中的应用,大大提高了消防工作的质量和效率,同时也造成了一些网络安全方面的问题。在今后的工作过程中,广大消防官兵有必要提高网络安全意识、提升网络安全知识水平,完善信息安全技术措施和信息安全管理措施,确保消防信息化工作安全开展、顺利开展。
参考文献
[1]付鹏.浅析计算机网络技术在消防信息化工作中的应用及存在问题和对策[J].电脑知识与技术,2011(27).
[2]段秀红.计算机网络技术在消防信息化工作中的应用及存在问题和对策[J].科技传播,2012(23).
[3]苑晓凡.消防信息化建设中的网络安全问题[J].2006年中国科协年会论文集(下册),2006(09).
关键词:安全现状 安全威胁 安全控制 病毒防治
中图分类号:TP393.1文献标识码: A
0 引言
随着信息化的不断扩展,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行,保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提,因此计算机网络和系统安全建设就显得尤为重要。
1 局域网安全现状
广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。目前,局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
2 局域网安全威胁分析
局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:
2.1 计算机病毒及恶意代码的威胁 由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件,在自己寄生的文件中注入新的代码。最近几年,随着犯罪软件(crime ware)汹涌而至,寄生软件已退居幕后,成为犯罪软件的助手。
2.2 局域网用户安全意识不强 许多用户使用移动存储设备来进行数据的传递,经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网,同时将内部数据带出局域网,这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍,笔记本电脑在内外网之间平凡切换使用,许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用,造成病毒的传入和信息的泄密。
2.3 IP地址冲突 局域网用户在同一个网段内,经常造成IP地址冲突,造成部分计算机无法上网。对于局域网来讲,此类IP地址冲突的问题会经常出现,用户规模越大,查找工作就越困难,所以网络管理员必须加以解决。
3 局域网安全控制与病毒防治策略
3.1 加强人员的网络安全培训 安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识,提高内部管理人员整体素质。同时要加强法制建设, 进一步完善关于网络安全的法律,以便更有利地打击不法分子
3.2 局域网安全控制策略 安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。
3.2.1 采用防火墙技术。防火墙技术是通常安装在单独的计算机上,与网络的其余部分隔开,它使内部网络与Internet之间或与其他外部网络互相隔离,限制网络互访,用来保护内部网络资源免遭非法使用者的侵入,执行安全管制措施,记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。
3.2.2 封存所有空闲的IP地址,启动IP地址绑定,采用上网计算机IP地址与MCA地址唯一对应,网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略,可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。
3.2.3 启用杀毒软件强制安装策略,监测所有运行在局域网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。
3.3 病毒防治 病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略:
3.3.1 增加安全意识。 杜绝病毒,主观能动性起到很重要的作用。病毒的蔓延,经常是由于企业内部员工对病毒的传播方式不够了解,病毒传播的渠道有很多种,可通过网络、物理介质等。查杀病毒,首先要知道病毒到底是什么,它的危害是怎么样的,知道了病毒危害性,提高了安全意识,杜绝毒瘤的战役就已经成功了一半。平时,企业要从加强安全意识着手,对日常工作中隐藏的病毒危害增加警觉性,如安装一种大众认可的网络版杀毒软件,定时更新病毒定义,对来历不明的文件运行前进行查杀,每周查杀一次病毒,减少共享文件夹的数量,文件共享的时候尽量控制权限和增加密码等,都可以很好地防止病毒在网络中的传播。
3.3.2 小心邮件。 随着网络的普及,电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时,也无意之中成为了病毒的帮凶。有数据显示,如今有超过90%的病毒通过邮件进行传播。尽管这些病毒的传播原理很简单,但这块决非仅仅是技术问题,还应该教育用户和企业,让它们采取适当的措施。例如,如果所有的Windows用户都关闭了VB脚本功能,像库尔尼科娃这样的病毒就不可能传播。只要用户随时小心警惕,不要打开值得怀疑的邮件,就可把病毒拒绝在外。
3.3.3 小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,也可把病毒拒绝在外。
3.3.4 挑选网络版杀毒软件。选择一个功力高深的网络版病毒"杀手"就至关重要了。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。
4 结语
局域网安全控制与病毒防治是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。
参考文献:
[1]钟平;校园网安全防范技术研究[DB].CNKI系列数据库.2007.
关键词:网络安全;信息安全;计算机安全;信息管理
随着交通行业的科技信息化发展,交通行业各应用系统及计算机遭受病毒攻击、垃圾邮件泛滥等问题威胁着行业信息安全。由于缺乏安全意识,出现了数据丢失、信息被盗等安全问题,给整个行业造成重大损失。保证行业内计算机及网络信息系统的安全运行,不受病毒、黑客的侵扰极为重要。
1交通行业计算机信息安全存在的问题
现阶段,交通行业内的计算机用户群体复杂,存在的信息安全问题也很复杂。主要存在以下几个方面的问题。(1)计算机软硬件核心技术大多依赖进口目前,中国的软硬件核心技术欠缺,例如美国的CPU芯片、美国微软公司的WINDOWS操作系统、美国微软公司的日常办公通用软件OPFICE、各大数据库等软硬件大多依赖国外。国外的系统固然会不定期更新,但肯定会存在大量的安全漏洞,留下隐藏性病毒、后门等隐患。这些漏洞使得计算机的安全性能大大降低,同时使网络处于极脆弱的状态。(2)缺乏安全有效的防护措施很多计算机用户不设置系统登录密码,即便是设置了密码但是密码策略低,有的甚至设置成电话号码、连续数字等。用户虽然安装了杀毒软件,但缺乏安全意识,有的用户的杀毒软件根本没有升级病毒库,相当于是在裸机的状态下使用,一旦感染病毒,再加上黑客攻击,很可能直接造成网络瘫痪,从而导致存储在计算机中的大量敏感文件和工作文件信息被窃取,极易造成泄密事件。(3)重要数据缺少备份行业用户的操作水平不高或者操作习惯不好,会导致经常误删一些重要文件。此外,各种自然灾害、病毒、黑客攻击、计算机硬件设备损坏等都会导致文件及数据遭遇毁灭性的损坏。如果用户未对重要数据进行备份,一旦文件遭到破坏将很难恢复,对个人甚至国家都会造成严重后果,所以数据备份不容忽视。(4)电子邮箱密码设置过于简单某些单位的电子邮箱没有相关管理制度,网络管理者在分配邮箱的时候一般会设置一个较简单的默认密码,用户在使用过程中很少有修改密码的习惯。完全把邮箱变成一个网络存储空间使用,往来邮件长时间不清理。一旦电子邮箱被黑客攻破,后果不堪设想。(5)计算机网络信息安全缺乏严格的管理制度行业内大部分单位虽然有信息安全管理制度,也明确了岗位职责及规范,但在实际工作中却并未严格按照规范执行,有很多制度一成不变,已经跟不上时代的发展,与现阶段国家的相关规定也存在很大差距,导致极大的信息安全隐患。此外,对于特定的账户密码和管理员权限没有监管,缺乏安全保障制度和预防措施。(6)对于计算机信息安全事故缺乏有效的应对措施防患于未然极其重要。一些行业内单位对于信息安全缺少防范措施,一旦出现重大网络安全故障后,缺乏快速补救的措施和应急方案,不能及时排除安全故障和隐患,势必会给单位和个人造成重大损失。(7)计算机信息使用和管理人员安全意识淡薄有的计算机信息使用和管理人员在日常生活和工作中缺乏安全保密意识,不能严格执行交通运输部保密办的“计算机不上网,上网计算机不”的保密要求,往往把U盘混用,接收资料也不杀毒处理,操作系统、杀毒软件不及时升级,这些行为都会导致计算机感染病毒。外出时,个人手机和笔记本电脑经常会连接到各种无线网络中,这对行业信息安全都有极大的风险。
2交通行业计算机信息安全管理对策
(1)推广国内自主研发的核心设备和技术的应用按照国家相关要求和规范进行网络信息安全和计算机信息化设备的采购和配置。涉及到重要的信息,尽量使用国内自主研发的经过国家保密局、安全局、公安部评测通过的计算机网络安全设备。(2)对内部网络及系统进行分级保护对行业内的计算机信息网络,一定要按照国家有关要求和交通运输部保密办的要求,进行分级保护管理。对单位内网络中的所有网络终端进行系统加固,安装安全登录、主机审计、身份认证、主机监控、黑白名单、违规外联、补丁分发、文件分发系统。对网络内的终端计算机实行关闭刻录、USB使用功能,禁止使用无线及蓝牙等外设设备,采用红黑电源插座。计算机只可进数据,严禁出数据。出数据必须要逐级审批,方可开通权限进行刻录和打印。对网络线路加装线路保护仪,网络设备和系统要放置在屏蔽机房和屏蔽机柜内。(3)对内部非的网络和政务外网进行等级保护按照国家有关要求和标准规范,进行等级保护测评。全面安装计算机安全登录终端、主机审计和监控系统。对等级级别高的网路和系统要间隔不长时间再次测评。《中华人民共和国网络安全法》现已实施,为了避免在国家重大活动信息安全保障中出现信息安全责任事故,尽量使用软硬件设备关闭单位大楼内的无线信号。(4)安装防病毒软件、防火墙、入侵检测系统对行业内的网络计算机,要逐台安装防病毒软件和木马查杀软件,要求对病毒进行定时或实时的扫描及漏洞检测。对文件、邮件、内存、网页进行全面实时监控,一旦发现异常情况,及时定位处理。要使用补丁分发系统及时针对系统和常用软件漏洞进行分发安装。网络层一定要软硬结合,使用防火墙和入侵检测系统,对安全策略及过滤规则按照最高等级设置,以防御外部恶意攻击。对网络中的IP地址加装ACK地址管理系统。为了安全起见,全部设置静态IP地址,然后与MAC地址绑定,这样可以有效预防IP地址欺骗。同时利用上网行为管理系统,屏蔽非法访问的不良行为,禁止把内部敏感信息和数据传播至公共网络。使用网络监控和预警平台对网络进行监测,及时有效地保护网络安全。(5)完善行业计算机网络安全管理体系为了加强网络安全管理,将信息安全管理工作落到实处,必须对网络中的每个管理环节进行监管,实现网络信息安全的最终目标。为了提前发现网络风险,将风险降至最小,避免黑客利用漏洞破坏网络信息安全,必须从顶层设计入手,针对网络信息安全制定全面的管理体系和网络信息风险评估体系,这对建设安全的网络环境十分重要,可以对网络信息起到监管作用,更加有利于网络信息安全管理。(6)提高思想认识,加强制度落实信息安全管理工作的首要基础是通过加强思想教育、制度学习和落实,提高全员的网络安全意识。认真学习各类信息安全法规和保密教材,尤其是要深入学习《中华人民共和国网络安全法》,强化安全保密观念,提高安全保密意识和素质,增强网络安全保密知识,改善网络安全保密环境。(7)制定严格的信息安全管理制度为了维护行业信息安全,每个行业单位应结合实际情况,完善内部网络信息安全管理制度,确保信息处理、存储、传播的安全。对于的计算机应安排专人负责。文件应单独保存在介质中。对于机房、计算机软硬件、信息系统建设与运维、邮件服务器系统,也应制定不同的安全策略和管理制度,并在实际工作中严格执行落实。(8)制定网络安全应急管理措施为了能够及时快速地处置网络安全事故,行业各单位需结合实际情况,制定本单位网络安全应急管理措施,明确岗位职责和处置权限,并定期开展安全应急预演,提高技术人员的应急处理能力。网络安全事故突发应急处置过程中,一旦发现问题要及时上报,规定报送流程、时间要求等,采取措施降低损害。每次的处理都要记录并保存,以便追溯。按照应急处置程序,一旦发生信息安全事件,要立即向有关部门报告。(9)重视网络信息安全人才的培养各单位应重视网络信息安全人才的培养,建立一支信息安全管理技术过硬的团队。每年制定不同的年度培训计划,通过每季度不少于一次的专业培训来提高网络信息安全人才的专业技术能力。
3结语
总之,交通运输行业对计算机及各种网络的依赖性越来越强,遭受各种病毒侵扰、黑客攻击也是不可避免的。交通行业计算机及网络信息安全问题,必须引起各单位高度重视。人人都应从自我做起,提高个人的信息安全意识,养成良好的计算机使用习惯。只有完善制度、严格落实执行、提高监管力度,才能从根本上解决网络信息安全问题,建立稳定、和谐、安全的网络信息环境。
作者:郭俊杰 单位:中国交通通信信息中心
参考文献:
[1]赵辉,樊杰,徐京渝.分布式行业电子政务网络信息安全问题及对策[J].中国交通信息化,2013(2):36-38.
[2]李治国.浅析计算机网络信息安全存在的问题及对策[J].计算机光盘软件与应用,2012(21):47-48.
关键词:LAN;威胁;安全控制;病毒防治
随着信息化的不断扩展,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行,保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提,因此计算机网络和系统安全建设就显得尤为重要。
一、局域网安全现状
广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。目前,局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
二、局域网安全威胁分析
局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:
(一)欺骗性的软件使数据安全性降低
由于局域网很大的一部分用处是资源共享,而正是由于共享资源的“数据开放性”,导致数据信息容易被篡改和删除,数据安全性较低。例如“网络钓鱼攻击”,钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息:如用户名、口令、账号ID、ATM PIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的网站,但由于大型网站反应比较迅速,而且所提供的安全功能不断增强,网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段,因此会造成经常性的信息丢失等现象发生。
(二)服务器区域没有进行独立防护
局域网内计算机的数据快速、便捷的传递,造就了病毒感染的直接性和快速性,如果局域网中服务器区域不进行独立保护,其中一台电脑感染病毒,并且通过服务器进行信息传递,就会感染服务器,这样局域网中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击,但无法抵挡来自局域网内部的攻击。
(三)计算机病毒及恶意代码的威胁
由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件,在自己寄生的文件中注入新的代码。最近几年,随着犯罪软件(crime ware)汹涌而至,寄生软件已退居幕后,成为犯罪软件的助手。2007年,两种软件的结合推动旧有寄生软件变种增长3倍之多。2008年,预计犯罪软件社区对寄生软件的兴趣将继续增长,寄生软件的总量预计将增长20%。
(四)局域网用户安全意识不强
许多用户使用移动存储设备来进行数据的传递,经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网,同时将内部数据带出局域网,这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍,笔记本电脑在内外网之间平凡切换使用,许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用,造成病毒的传入和信息的泄密。
(五)IP地址冲突
局域网用户在同一个网段内,经常造成IP地址冲突,造成部分计算机无法上网。对于局域网来讲,此类IP地址冲突的问题会经常出现,用户规模越大,查找工作就越困难,所以网络管理员必须加以解决。
正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。
三、局域网安全控制与病毒防治策略
(一)加强人员的网络安全培训
安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识,提高内部管理人员整体素质。同时要加强法制建设, 进一步完善关于网络安全的法律,以便更有利地打击不法分子。对局域网内部人员,从下面几方面进行培训:
1、加强安全意识培训,让每个工作人员明白数据信息安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任。
2、加强安全知识培训,使每个计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地的数据,保证本地数据信息的安全可靠。
3、加强网络知识培训,通过培训掌握一定的网络知识,能够掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。
(二)局域网安全控制策略
安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。
1、利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用,是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问的目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略,强制计算机用户设置符合安全要求的密码,包括设置口令锁定服务器控制台,以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据,提高系统安全行,对密码不符合要求的计算机在多次警告后阻断其连网。
2、采用防火墙技术。防火墙技术是通常安装在单独的计算机上,与网络的其余部分隔开,它使内部网络与Internet之间或与其他外部网络互相隔离,限制网络互访,用来保护内部网络资源免遭非法使用者的侵入,执行安全管制措施,记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用攻击所采用的技术有:(1)深度数据包处理。深度数据包处理在一个数据流当中有多个数据包,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免应用时带来时延。(2)IP/URL过滤。一旦应用流量是明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。其实,如果把应用响应考虑进来,可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作,可以阻止通常的脚本类型的攻击。(3)TCP/IP终止。应用层攻击涉及多种数据包,并且常常涉及不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。系统中存着一些访问网络的木马、病毒等IP地址,检查访问的IP地址或者端口是否合法,有效的TCP/IP终止,并有效地扼杀木马。时等。(4)访问网络进程跟踪。访问网络进程跟踪。这是防火墙技术的最基本部分,判断进程访问网络的合法性,进行有效拦截。这项功能通常借助于TDI层的网络数据拦截,得到操作网络数据报的进程的详细信息加以实现。
3、封存所有空闲的IP地址,启动IP地址绑定,采用上网计算机IP地址与MCA地址唯一对应,网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略,可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。
4、属性安全控制。它能控制以下几个方面的权限:防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。
5、启用杀毒软件强制安装策略,监测所有运行在局域网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。
(三)病毒防治
病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略:
1、增加安全意识和安全知识,对工作人员定期培训。首先明确病毒的危害,文件共享的时候尽量控制权限和增加密码,对来历不明的文件运行前进行查杀等,都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒,主观能动性起到很重要的作用。
2、小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,也可把病毒拒绝在外。
3、挑选网络版杀毒软件。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。瑞星杀毒软件在这些方面都相当不错,能够熟练掌握瑞星杀毒软件使用,及时升级杀毒软件病毒库,有效使用杀毒软件是防毒杀毒的关键。
通过以上策略的设置,能够及时发现网络运行中存在的问题,快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点,及时、准确的切断安全事件发生点和网络。
局域网安全控制与病毒防治是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。
参考文献:
1、钟平.校园网安全防范技术研究[DB].CNKI系列数据库,2007.
2、王秀和,杨明.计算机网络安全技术浅析[J].中国教育技术设备,2007(5).
关键词:计算机 局域网 信息安全 病毒防治
伴随信息化的迅猛扩张,各种网络应用软件也得以快速应用推广,如今计算机网络的作用越来越重要。为了确保网络信息安全和网络软、硬件的正常工作运转,加强计算机网络和系统安全建设势在必行。本文主要对如何实现局域网的信息安全及其病毒防治措施进行了论述。
1、局域网信息安全的现状
相比局域网而言,广域网目前较为完善的安全防御体系已经建立,可以利用防火墙、查杀病毒、漏洞扫描、设置IDS等网关级别、网络边界等方法进行防御,由于重要安全设施主要是在机房以及网络入口等地点,通过以上设备的密切监控,使网络外部的安全威胁大幅降低。然而,由于对计算机客户端的安全管理措施相对较少,使得网络内部的安全威胁得以增加。某些未经授权的网络设备以及用户很容易通过链接局域网的相关网络设备而自动进入网络,造成网络安全隐患问题。从目前来看,局域网信息安全的隐患主要是网络系统本身的安全漏洞问题,还有就是网络系统管理使用不利而导致的安全问题的增加。
2、局域网信息安全的主要威胁
我们所说的局域网(LAN)就是为了工作需要,在特定的范围内通过服务器与多台电脑而组成的工作组互联网络。因为需要经由交换机和服务器与网内的所有电脑相连,所以局域网内的信息传输速率相对较高,但是,由于局域网应用的技术单一,没有更多的安全措施,因此很容易成为病毒传播的主要通道,为数据信息的安全带来严重的隐患问题。综合分析局域网信息安全的主要威胁有下面几种:
2.1 黑客软件影响数据安全
资源共享是局域网的主要用途之一,然而共享资源必然要对数据开放,这就会使得篡改和删除数据信息变得极其容易,造成了数据的安全性较低。比如,一些黑客利用网络钓鱼工具进行攻击,其主要是以某些知名机构的名义向用户发送大量带有欺骗性质的垃圾邮件信息,其目的是要以此引诱收信人透露个人的敏感信息内容,例如用户名、密码、ID账号、个人联系方式以及信用卡等信息,冒用某些正规网站的进行骗取用户敏感数据信息是其最常见的手段,过去进行该类攻击的大部分为大型网站或知名网站等,然而因为大型网站相对反应迅速较快,且其提供的各项安全措施也在加强增大,因此网络钓鱼只能逐渐将目光瞄准一些小型网站和不知名网站来进行。
2.2 服务器区域未做好有效防御
由于局域网内各计算机之间可以快速方便的进行传递数据信息,这就直接导致了病毒能够直接而快速地感染计算机,一旦局域网的服务器区域未做好有效出版物,没有采取独立保护措施,如果其中某台计算机感染了病毒,再经过服务器传递数据信息时则会直接造成服务器感染,如此,局域网内的所有计算机通过服务器进行数据信息传递时,都容易成为病毒感染对象。尽管网络出口处设立了防火墙来对外来攻击进行阻断,然而局域网内部的攻击却往往不能抵挡。
2.3 各种计算机病毒和恶意代码威胁网络安全
许多网络用户没有安装防病毒软件或者安装不及时,以及没有及时进行操作系统补丁的更新,还有部分用户虽然安装了防病毒软件,但没有及时更新病毒库,这些情况都容易给计算机病毒入侵带来便利。很多网络寄生犯罪软件进行攻击时,都是利用网络用户的这些弱点和问题。网络寄生软件能够做到修改磁盘上的现有软件而将其寄生的相关文件内注入一些新代码来实现攻击。
2.4 局域网用户缺乏安全意识
很多用户在进行数据信息传递时喜欢使用移动存储设备,习惯性地将外部数据信息在没有经过安全检查的情况下就将移动存储设备直接与内部局域网链接,并且将存储设备内部的数据信息传递到局域网计算机中,如此做法很容易给木马和蠕虫等各种病毒感染计算机提供方便条件,而且使数据信息泄密的机率增加。此外,还有个人笔记本电脑随意地在内外网之间进行切换使用以及一机两用、多用等现象也经常遇到,很多用户的笔记本电脑链接Internet网后就直接在未经许可的前提下直接在内部局域网内链接,也极易导致各类病毒入侵以及造成数据信息泄密等问题。
2.5 局域网IP地址发生冲突
如果局域网用户处于同一个网段,就会导致IP地址冲突现象经常发生,使部分计算机无法链接网络。就局域网而言,发生这类IP地址冲突的现象经常遇到,局域网内的用户越多,就会给查找工作带来更大的难题,因此,局域网的网络管理员需要密切关注之一问题并及时加以解决处理。
综上所述,局域网内在应用上拥有这些独特的特点,导致了局域网内的一些病毒能够进行快速的传递,给数据信息的安全带来危害,形成了局域网内各计算机间相互感染的问题,虽然经常进行病毒查杀,却仍然经常发生数据信息丢失等现象。
3、局域网的信息安全控制策略及其病毒防治措施
关键词:计算机网络技术;电子信息工程;应用
电子信息工程是当前科技发展的重要产物,人们的生产生活已逐步离不开它。计算机网络技术的发展和应用,给电子信息工程的创新和发展给予了重要基础,两者的融合让人们更加重视电子信息技术的应用,这直接推动了现代科技和生产技术的发展。
1相关概念阐述
1.1计算机网络技术
所谓计算机网络技术,就是计算机技术和互联网通信技术结合形成的技术,需要遵循一定的网络协议,把某些独立、分散的计算机予以连接,进而实现信息的传输和共享,在此过程中,电缆、光钎等均为网络介质[1]。在计算机网络中,具有性能极佳的共享软、硬件,在实际的资源共享过程中,此种网络技术可对相关数据进行整合和处理,使电子信息工程的文字、视频等信息传输中,具有很高的安全性和可行性。
1.2电子信息工程
电子信息工程是伴随信息技术发展而来的,主要有数据的采集及处理、创建合理的电子设备信息系统,并予以使用[2]。从现阶段的发展水平看,其在人们生产和生活中有着广泛应用,且产生积极效应,因此它能够为人们给予更为便捷的服务,有助于改善和提升人们的生产效率和生活质量。当前,人们应用的智能手机、笔记本电脑等均应用到电子信息技术。实际上,电子信息工程属于大而杂的信息系统工程,涵盖了通信、信息及网络等技术。
2计算机网络技术在电子信息工程中的应用分析
2.1信息传递方面
在信息时代的今天,每天会有海量信息产生,而人们对这些信息是有需求的。在此种状况下,电子信息工程所具备的高效率、容量大的信息传递功能就可电子计算机网络技术的应用性能更优。在应用计算机网络技术进行信息传递中,安全性和可靠性更高,这就在电子信息工程中有着不可替代的效用。而两者均处于不断创新和完善中,可更好的促进社会和经济的发展。这两者的共同发展和应用,会给人们的生产和生活带去更多的便利,因此,必须重视并应用好计算机网络技术。
2.2安全防护方面
当前,存在诸多的网络安全风险,如传输线路、系统漏洞等。大部分黑客可通过不同手段对某些电子信息工程漏洞实施侵入和攻击。而此种行为危害性是极大的,不但会危害用户利益,通过经计算机实现信息传递,会给整个电子信息工程造成重大损失[3]。因此,有关专业人员应充分认识并掌握好计算机网络技术,把各种危险有效隔离于电子工程系统外,即便整个系统中用户的网络存在危险,也可及时经电子计算机网络系统把危害降至最低,通过防火墙避免危害的扩大。比如:在电子信息工程中,有关人员应重视并加强电子信息工程安全防护工资,创建有效的防火墙,构成保护屏障。安全方面通常需要在内、外网间予以维护,这就在专用和公共两个网络间创建安全有效的防护网,确保计算机技术得以稳定应用,而其硬、软件经安全网络口,保障计算机网络的安全。
2.3技术应用方面
现阶段,计算机网络技术在电子信息工程的应用主要是广域网(WAN)技术,该技术有着较广的服务范围,可将不同城市、企业的通信网络予以连接。从当前的发展情况看,广域网的用户量日益增加,此种现象对带宽技术提出了更高要求。从电子信息工程应用计算机网络技术的实际情况看,光纤具有较高的带宽,可更为有效的抵抗不同干扰,具传输质量高,基本上没有噪声,还可以适用于远距离信息传输,因此,广域网的关键线路都是以光缆为主。另外,卫星网络通信技术有着其独到优势,可安装卫星地面收发站,易拆装,因此可以将此种技术应用到偏远山区或未铺设光缆的区域,进而有效拓展广域通信网络。为有效应对地震、水灾等灾害,应用计算机网络技术可以实现特殊情况下的应急需要。
2.4设备开发方面
电子信息工程在进行新的电子设备的开发及实现设备间信息共享时,必须应用到计算机网络技术。可以说,计算机网络技术直接关系到电子信息的网络化、一体化,因此技术人员应充分了解电子信息工程的专业知识,掌握好不同数字信号的运行机制。一是通信干线。电子信息工程通常是处在广域网通信干线后,对于用户的企业网接口以及接入线是极为重要的组成。在实际应用中,技术人员应明确专用线路和公用线路间的真正区别,并要认真做好相应防护工作[4]。UNIX及其相关衍生系统,现阶段在电子信息工程中有极为广泛的应用,但该网络体系并未有统一、规范的结构和协议标准,以致于不同计算机网络间通信越发复杂,很难实现,因此有关技术人员应充分利用好计算机网络技术,可更好的解决此方面的问题。二是传播媒体。在邮件传输、信息查询及共享资源等工作中计算机网络技术发挥着不可替代的作用。当前,大部分科研机构、政府单位和高校,均有应用传播媒体,该项技术的使用价值得到充分体现,从某种层面上讲,计算机网络技术是现阶段国际信息公路的主要代表。三是WEB浏览器。计算机网络技术在互联网上可实现超文本文件的阅读,此种过程通过了HTTP超文本传输协议,进而可在企业机构内部网络的各工作站用户可更好更迅速的查询到网络上的各种信息。
3结语
综上而言,电子信息工程中应用计算机网络技术日益广泛,对其创新和发展有着极大的积极影响影响。在实际应用中,应充分把握电子信息工程的性能需求和特点,应用好计算机网络技术,进一步推进电子信息工程的发展。
作者:董晶晶 单位:河南艺术职业学院
参考文献:
[1]范习松,张勇.浅析计算机网络技术在电子信息工程中的实践[J].科技与创新,2014,11(09):420-421.
[2]赵可佳.浅析计算机网络技术在电子信息工程中的实践[J].电脑与电信,2015,14(07):571-572.
随着信息化的不断扩展,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行,保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提,因此计算机网络和系统安全建设就显得尤为重要。
1局域网安全现状
广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。目前,局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
2局域网安全威胁分析
局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:
2.1欺骗性的软件使数据安全性降低
由于局域网很大的一部分用处是资源共享,而正是由于共享资源的“数据开放性”,导致数据信息容易被篡改和删除,数据安全性较低。例如“网络钓鱼攻击”,钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息:如用户名、口令、账号ID、ATMPIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据,以往此类攻击的冒名的多是大型或著名的网站,但由于大型网站反应比较迅速,而且所提供的安全功能不断增强,网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段,因此会造成经常性的信息丢失等现象发生。
2.2服务器区域没有进行独立防护
局域网内计算机的数据快速、便捷的传递,造就了病毒感染的直接性和快速性,如果局域网中服务器区域不进行独立保护,其中一台电脑感染病毒,并且通过服务器进行信息传递,就会感染服务器,这样局域网中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击,但无法抵挡来自局域网内部的攻击。
2.3计算机病毒及恶意代码的威胁
由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件,在自己寄生的文件中注入新的代码。最近几年,随着犯罪软件(crimeware)汹涌而至,寄生软件已退居幕后,成为犯罪软件的助手。2007年,两种软件的结合推动旧有寄生软件变种增长3倍之多。2008年,预计犯罪软件社区对寄生软件的兴趣将继续增长,寄生软件的总量预计将增长20%。
2.4局域网用户安全意识不强
许多用户使用移动存储设备来进行数据的传递,经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网,同时将内部数据带出局域网,这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍,笔记本电脑在内外网之间平凡切换使用,许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用,造成病毒的传入和信息的泄密。
2.5IP地址冲突
局域网用户在同一个网段内,经常造成IP地址冲突,造成部分计算机无法上网。对于局域网来讲,此类IP地址冲突的问题会经常出现,用户规模越大,查找工作就越困难,所以网络管理员必须加以解决。
正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。
3局域网安全控制与病毒防治策略
3.1加强人员的网络安全培训
安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识,提高内部管理人员整体素质。同时要加强法制建设,进一步完善关于网络安全的法律,以便更有利地打击不法分子。对局域网内部人员,从下面几方面进行培训:
3.1.1加强安全意识培训,让每个工作人员明白数据信息安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任。
3.1.2加强安全知识培训,使每个计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地的数据,保证本地数据信息的安全可靠。
3.1.3加强网络知识培训,通过培训掌握一定的网络知识,能够掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。
3.2局域网安全控制策略
安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。
3.2.1利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用,是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问的目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略,强制计算机用户设置符合安全要求的密码,包括设置口令锁定服务器控制台,以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据,提高系统安全行,对密码不符合要求的计算机在多次警告后阻断其连网。
3.2.2采用防火墙技术。防火墙技术是通常安装在单独的计算机上,与网络的其余部分隔开,它使内部网络与Internet之间或与其他外部网络互相隔离,限制网络互访,用来保护内部网络资源免遭非法使用者的侵入,执行安全管制措施,记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用攻击所采用的技术有:
①深度数据包处理。深度数据包处理在一个数据流当中有多个数据包,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免应用时带来时延。
②IP?URL过滤。一旦应用流量是明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。其实,如果把应用响应考虑进来,可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作,可以阻止通常的脚本类型的攻击。
③TCP?IP终止。应用层攻击涉及多种数据包,并且常常涉及不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。系统中存着一些访问网络的木马、病毒等IP地址,检查访问的IP地址或者端口是否合法,有效的TCP?IP终止,并有效地扼杀木马。时等。
④访问网络进程跟踪。访问网络进程跟踪。这是防火墙技术的最基本部分,判断进程访问网络的合法性,进行有效拦截。这项功能通常借助于TDI层的网络数据拦截,得到操作网络数据报的进程的详细信息加以实现。
3.2.3封存所有空闲的IP地址,启动IP地址绑定采用上网计算机IP地址与MCA地址唯一对应,网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略,可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。
3.2.4属性安全控制。它能控制以下几个方面的权限:防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。
3.2.5启用杀毒软件强制安装策略,监测所有运行在局域网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。
3.3病毒防治
病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略:
3.3.1增加安全意识和安全知识,对工作人员定期培训。首先明确病毒的危害,文件共享的时候尽量控制权限和增加密码,对来历不明的文件运行前进行查杀等,都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒,主观能动性起到很重要的作用。
3.3.2小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,也可把病毒拒绝在外。
3.3.3挑选网络版杀毒软件。一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。瑞星杀毒软件在这些方面都相当不错,能够熟练掌握瑞星杀毒软件使用,及时升级杀毒软件病毒库,有效使用杀毒软件是防毒杀毒的关键。
关键词:证券行业;网络防御;网络安全
引言
网上证券交易作为当前证券公司最重要的交易渠道之一,交易额比重逐年上升,为证券业务快速发展做出了非常大的贡献。然而,计算机网络具有很强的开放性和交互性,因此,在网上证券交易过程中,往往存在了诸多不确定的因素,很可能被他人恶意攻击,恶意攻击的方式很多,比如“网络钓鱼”、黑客攻击或是病毒等等,都会威胁到用户的安全,因此,加强计算机网络防御对于证券行业来说,是很必要的。
一、“网络钓鱼”现象的防御
(一)“网络钓鱼”的实施过程
网络钓鱼的原理其实很简单,就是利用人性的弱点,加之网络工程的漏洞,通过欺骗手段,骗取用户的相关信息。(1)建立假冒网上证券交易网站,用户点击进入网站,输入账号密码等信息时,这些信息就会被骗走,用于非法活动;(2)恶意分子会通过各种手段诱导用户方位钓鱼网站,而后通过木马、后门等程序,盗窃信息,而后冒充客户盗窃资金。
(二)“网络钓鱼”防范思路
(1)黑白名单技术
对有账号密码的用户,将账号密码输入网址与数据库中的黑名单网站地址和白名单地址进行比对。如果说该网址能再黑名单网址中找得到,那就说明该网站是有问题的,就及时的提醒用户“可能是钓鱼网站”,阻止用户继续输入更多信息访问该网站。如果该网站中能在白名单中找到,那就说明该网站那是安全的,不提示警告信息,用户可以放心使用。如果输入网站地址不在黑白名单中,不提示,但继续监测。防钓鱼检测的原理如图1 所示。
(2)严格渗透测试交易系统
由于跨站脚本攻击的事件频繁发生,因此,交易系统就要进行严格的渗透测试,对交易系统的编码、设计程序等的安全性、完整性都提出了更好的要求。要在数据的输入点上进行严格的数据输入检查,避免被输入恶意的代码,避免交易网站成为一个重要的风险来源。
二、网络监听与加密应对方法
据相关统计数据显示,程序员编码过程中,每写一千行代码就至少会出现一个漏洞,而这些漏洞就成了黑客们的攻击点,在证券行业中,黑客们会利用这些漏洞盗取用户信息,危害客户财产安全。网络监听就是常见的利用系统漏洞进行用户信息偷窃的方式。
网络监听是利用监听嗅探技术获取对方网络上传输的有用信息。将网卡设置为混杂模式,对以太网上流通的所有数据包进行监听,并将符合一定条件的数据包(如包含了字“username”或“password”的数据包)记录到日志文件中去,以获取敏感信息。
针对网络监听的应对办法主要是“加密”:一方面可以对数据流中的部分重要信息进行加密,另一方面也可只对应用层加密,但是后者将使大部分与网络和操作系统有关的敏感信息失去保护。
加密函数的程序如下:
此函数支持的最大密码长度是16 字节,密文以字符形式的16 进制数输出,密文长度为明文长度*4。程序使用变量i 控制外层循环,每次循环生成4 个16 进制位。变量j 用于控制内层循环,每次循环将第i个明文字符加上第j 个明文字符的信息共同转化成中间信息,累加到本次i 循环所处理的中间信息上。每次i 循环所得到的中间信息用取余和求平方的方法进行随机化,再用取余的方法得到4 个16 进制位。
三、证券行业中网络病毒防御体系
病毒是影响计算机网络安全的最主要因素,是危害证券行业网络的最大隐患,现在木马、蠕虫等病毒以及网页嵌入病毒和恶意软件等时刻威胁着计算机网络的安全,因此,加强证券行业网络安全迫在眉捷。
(一)网络版杀毒软件
随着病毒越来越多,杀毒软件也就越来越齐全,杀毒软件是计算机安全防护的重要工具,针对证券行业的特点,可以采用集中与分级相统一的杀毒管理系统,在核心服务器区设置共总部用户和二级管理层使用的以及管理中心;在各个接入分部部署二级分中心,一级中心统一制定网络的防杀毒策略,并到各个二级分中心,这些策略包括杀毒策略、报警策略、和升级策略。
(二)硬件防毒墙
网络版杀毒软件部署在证券企业网络内部,它是面向主机设计的,它可以对证券企业内部的病毒进行查杀,能够在一定程度上保证证券企业网络系统的安全,但仍然存在很大的局限性,即不能保证病毒从互联网进入局域网。因此,在证券企业网络出口增加了硬件防毒墙,防止来自网络外界的入侵,把病毒拒之门外。硬件防毒墙为企业网络提供了一个坚固的保护层,是防御病毒、木马、蠕虫和恶意软件攻击的硬件网络防护平台,对采用HTTP、FTP、SMTP和POP3 协议进入内部网络的文件进行病毒扫描和恶意代码过滤。防毒墙不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用户对外部不良资源的滥用。
(三)网络准入控制(NAC)
移动计算设备(笔记本电脑、PDA 等)很容易在企业网外部感染病毒、蠕虫和间谍软件等,当它们接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业网络环境。因此,可以着重从边界防御、系统加固、认证授权、集中管理四个方面进行设计,将防病毒一级中心服务器与NAC 服务器合并在一起,边界接入采用支持802.1X 的设备来部署网络准入控制 (NAC)。网络准入控制 (NAC)的部署可以防止病毒、蠕虫和间谍软件等新兴黑客技术对企业安全造成危害。
总结
网上证券交易的发展前景极为广阔,随着国民金融意识的增强,未来会有越来越多的金融业务通过在线方式完成,这给网上交易系统带来了巨大的运行压力。打造安全性更高的网上证券交易系统,保证信息系统能够为业务运行提供稳定可靠的有力支撑,就要加强网络防御的建设。
参考文献:
关键词:LAN;威胁;安全控制;病毒防治
随着信息化的不断扩展,各类网络版应用软件推广应用,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行,保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提,因此计算机网络和系统安全建设就显得尤为重要。
一、局域网安全现状
广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。目前,局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
二、局域网安全威胁分析
局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:
(一)欺骗性的软件使数据安全性降低
由于局域网很大的一部分用处是资源共享,而正是由于共享资源的“数据开放性”,导致数据信息容易被篡改和删除,数据安全性较低。例如“网络钓鱼攻击”,钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息:如用户名、口令、账号ID、ATM PIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据。以往此类攻击的冒名的多是大型或著名的网站,但由于大型网站反应比较迅速,而且所提供的安全功能不断增强,网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段,因此会造成经常性的信息丢失等现象发生。
(二)服务器区域没有进行独立防护
局域网内计算机的数据快速、便捷的传递,造就了病毒感染的直接性和快速性,如果局域网中服务器区域不进行独立保护,其中一台电脑感染病毒,并且通过服务器进行信息传递,就会感染服务器,这样局域网中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击,但无法抵挡来自局域网内部的攻击。
(三)计算机病毒及恶意代码的威胁
由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件,在自己寄生的文件中注入新的代码。最近几年,随着犯罪软件(crime ware)汹涌而至,寄生软件已退居幕后,成为犯罪软件的助手。2007年,两种软件的结合推动旧有寄生软件变种增长3倍之多。2008年,预计犯罪软件社区对寄生软件的兴趣将继续增长,寄生软件的总量预计将增长20%。
(四)局域网用户安全意识不强
许多用户使用移动存储设备来进行数据的传递,经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网,同时将内部数据带出局域网,这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍,笔记本电脑在内外网之间平凡切换使用,许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用,造成病毒的传入和信息的泄密。
(五)IP地址冲突
局域网用户在同一个网段内,经常造成IP地址冲突,造成部分计算机无法上网。对于局域网来讲,此类IP地址冲突的问题会经常出现,用户规模越大,查找工作就越困难,所以网络管理员必须加以解决。
正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。
三、局域网安全控制与病毒防治策略
(一)加强人员的网络安全培训
安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识,提高内部管理人员整体素质。同时要加强法制建设, 进一步完善关于网络安全的法律,以便更有利地打击不法分子。对局域网内部人员,从下面几方面进行培训:
1、加强安全意识培训,让每个工作人员明白数据信息安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任。
2、加强安全知识培训,使每个计算机使用者掌握一定的安全知识,至少能够掌握如何备份本地的数据,保证本地数据信息的安全可靠。
3、加强网络知识培训,通过培训掌握一定的网络知识,能够掌握IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习惯。
(二)局域网安全控制策略