时间:2023-09-17 15:04:19
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络系统安全评估,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1、提高企业信息系统的策略及措施解决企业信息安全方案分析
解决信息系统安全要有以下几点认识:要解决信息系统要有统筹全局的观念。解决信息系统的安全问题要树立系统观念,不能光靠一个面。从系统的角度分析信息系统是由用户和计算机系统两者组成,这包括人和技术两点因素。使用和维护计算机安全信息系统可以根据信息系统具有动态性和变化性等特点进行调整。信息系统是一项长期属于相对安全的工作,必须制订长销机制,绝不能以逸待劳。企业信息系统安全可以采取的策略是采用一套先进、科学及适用的安全技术系统,在对系统进行监控和防护,及时适当的分析信息系统的安全因素,使这套系统具有灵敏性和迅速性等响应机制,配合智能型动态调整功能体系。需要紧记的是系统安全来自于风险评估、安全策略、自我防御、实时监测、恢复数据、动态调整七个方面。其中,通过风险评估可以找出影响信息系统安全存在的技术和管理等因素产生的问题。在经过分析对即将产生问题的信息系统进行报告。
安全策略体现着系统安全的总体规划指导具体措施的进行。是保障整个安全体系运行的核心。防御体系根据系统中出现的问题采用相关的技术防护措施,解决各种安全威胁和安全漏洞是保障安全体系的重心。并且通过监测系统实时检测运行各种情况。在安全防护机制下及时发现并且制止各种对系统攻击的可能性,假设安全防护机制失效必须进行应急处理,立刻实现数据恢复。尽量缩小计算机系统被攻击破坏的程度。可以采取自主备份,数据恢复,确保恢复,快速恢复等手段。并且分析和审理安全数据,适时跟踪,排查系统有可能出现的违归行为,检查企业信息系统的安全保障体系是否超出违反规定。
通过改善系统性能引入一套先进的动态调整智能反馈机制,可以促进系统自动产生安全保护,取得良好的安全防护效果。可以对一台安全体系模型进行分析,在管理方面,对安全策略和风险评估进行测评,在技术层面,实时监测和数据恢复形成一套防御体系。在制度方面,结合安全跟踪进行系统排查工作。系统还应具备一套完整的完整的动态自主调整的反馈机制,促进该体系模型更好的与系统动态性能结合。
信息安全管理在风险评估和安全策略中均有体现,将这些管理因素应用与安全保障体系保护信息安全系统十分重要。企业必须设立专门的信息系统安全管理部门,保障企业信息系统的安全。由企业主要领导带头,组织信息安全领导小组,专门负责企业的信息安全实行总体规划及管理。在设立信息主管部门实施具体的管理步骤。企业应该制订关于保证信息系统安全管理的标准。标准中应该明确规定信息系统中各类用户的职责和权限、必须严格遵守操作系统过程中的规范、信息安全事件的报告和处理流程、对保密信息进行严格存储、系统的帐号及密码管理、数据库中信息管理、中心机房设备维护、检查与评估信息安全工作等等信息安全的相关标准。而且在实际运用过程中不断地总结及完善信息系统安全管理的标准。
相关部门应该积极开展信息风险评估工作。通过维护信息网的网络基础设施有拓扑、网络设备和安全设备,对系统安全定期的进行评估工作,主动发现系统存在的安全问题。主要针对企业支撑的信息网和应用IT系统资产进行全方位检查,对管理存在的弱点进行技术识别。对于企业的信息安全现状进行全面的评估,可以制作一张风险视图表现企业全面存在的问题。为安全建设提供指导方向和参考价值。为企业信息安全建设打下坚实的基础。
最后,加强信息系统的运行管理。可以通过以下措施进行:规范系统电子台帐、设备的软件及硬件配置管理、建立完善的设备以及相关的技术文档。系统日常各项工作进行闭环管理,系统安装、设备运营管理等。还要对用户工作进行规范管理,分配足够的资源和应用权限。防御体系、实时检测和数据恢复三方面都体现了技术因素,信息安全管理系统技术应用于安全保障体系中。在建设和维护信息安全保障体系过程中,需要多方面,多角度的进行综合考虑。采用分步实施,逐步实现的手法。在信息安全方面采取必要的技术手段,加强系统采取冗余的配置,提高系统的安全性。
对中心数据库系统、核心交换机、数据中心的存储系统、关键应用系统服务器等。为了避免重要系统的单点故障可以采取双机甚至群集的配置。另外,加强对网络系统的管理。企业信息系统安全的核心内容之一是网络系统。同样也是影响系统安全因素最多的环节。网络系统的不安全给系统安全带来风险。接下来重点谈网络安全方面需要采取的技术手段。网络安全的最基础工作,是加强网络的接入管理。
与公用网络系统存在区别的是,企业在网络系统中有专门的网络,系统只准许规定的用户接入,因此必须实现管理接入。在实际操作过程中,可以采取边缘认证的方式。笔者在实际工作经验总结出公司的网络系统是通过对网络系统进行改造实现支持802.1X或MAC地址两种安全认证的方式。不断实现企业内网络系统的安全接入管理。网络端口接入网络系统时所有的工作站设备必须经过安全认证,从而保证只有登记的、授权记录在册的设备才能介入企业的网络系统,从而保证系统安全。根据物理分布可以利用VLAN技术及使用情况划分系统子网。这样的划分有以下益处:首先,隔离了网络广播流量,整个系统避免被人为或者系统故障引起的网络风暴。其次是提高系统的管理性。通过划分子网可以实现对不同子网采取不同安全策略,可以将故障缩小到最低范围。根据一些应用的需要实现某些应用系统中的相对隔离。
2、结语
本文结合了笔者实际工作经验对企业信息系统的安全问题提出了系统性的思考,对长期存在相对动态的信息系统安全解决的方法进行探讨。可以用一句话进行概括总结:系统安全六要素是组成的系统安全的必要因素。同时,抓好规范管理,实现信息系统的安全技术。
【关键词】智能电网 网络系统 网络安全
智能电网相较于传统电网,因其安全、经济、效益的特点而受到各国追捧。我国对于发展智能电网,也有“三横两纵”的明确规划。建设智能电网,其中最关键的就是网络系统,而网络系统的安全更是重中之重。只有做好计算机网络系统安全防护体系的建设,才能确保电网企业的平稳运转。
1 计算机网络系统在智能电网中的安全作用
1.1 安全监控系统――防患于未然
安全监控系统是整个系统中起防护性作用的重要一环,是整个系统安全战中的“哨兵”为了在安全方面高效全面地监控整个系统平台而设立,通过操作系统的多个层面,经由一系列操作行为来实行安全管制和监测。安全监控系统,可以提高整个系统的安全性,实现“防患于未然”的功能,是系统安全的“晴雨表”。安全监控系统具有主动性,利用智能软件等技术,设计且实现一个主流通用的操作系统安全管制与监测平台,从而保障计算机网络系统安全。
1.2 安全保密管理系统――适时管理规范
安全保密管理系统能够在自动化的状态之下,对整个安全系统进行适时的调控和管理。具体来说,这种管理分为安全规章和技术规范的管理、安全策略的管理、安全状态的管理和安全资产的管理等等。如果说安全监控系统是“晴雨表”,是“哨兵”,对计算机网络系统起到监控作用,那么安全保密管理系统则是一把“手术刀”,是“先锋”,及时调控,灵活处理。具体来说,安全规章和技术规范的管理是对与电网企业相关的政策制度、法律法规和技术规范进行统一管理,当然这一过程需要通过安全规章管理体系的建立来实现。
1.3信息安全管控平台――整合融汇进行控制
信息安全管控平台是智能电网计算机网络安全防护系统中的“司令”,是整个网络安全作战“队伍”的灵魂所在。这一平台,是为用户提供统一的管理平台而设置,通过信息安全管控平台,对内可以对电网企业的资产进行有效的管理,对外则可以对用户访问资产进行有效的控制,对访问量做好记录和统计。而正是这种内外协调统一的管理与控制,能对智能电网的网络系统安全服务进行监控,并最终将系统的安全服务、资产、事件、响应等方面融合到平台中去,一句话,信息安全管控平台主要是起整合作用。
1.4 信息加密系统――保驾护航
“大海航行靠舵手。”这是人人都知道的道理。信息加密系统在智能电网计算机网络系统安全防护体系当中,起到的就是这个作用:舵手。智能电网因其特殊性,有大量的数据需要进行传输,不管是终端的存储还是在一些重要节点的保存上,还是在整体的数据传输过程中,都需要保障好网络系统的数据安全性。如此一来,信息加密系统就成了其中非常关键的一环,信息加密系统主要通过应用加密协议来实现,在实际操作中,也与个人人份认证紧密结合。
2 智能电网中计算机网络系统安全的具体构成
2.1 防火墙
防火墙是智能电网中计算机网络系统安全的第一道防线,是一种防御机制。通过防火墙,能够有效阻挡外来的病毒、安全漏洞等进入到智能电网的内部网络,保障资源的安全。在具体的防火墙建设中,其基本架构决定了其选型应该根据业务的具体内容,根据业务对于安全性的具体要求来具体分析,做针对性防护,而不是一概而论,更不能一蹴而就。
2.2 防病毒系统
病毒问题存在于所有的计算机网络系统中,轻则导致漏洞被黑客侵入,重则引发整个系统的瘫痪与崩溃。在智能电网的建设中,尤其需要注意防病毒系统的建设。随着计算机网络的扩展,病毒也不断复杂化,扩散方式也是多种多样。智能电网中各种系统不断升级,随之而来的,就是病毒的不断进化。在智能电网的建设中,首先要高度重视防病毒系统的建设,其次病毒库要不断升级以适应不断变化的情况,最后要联合其他安全防护措施,一起构建多维防护体系。
2.3 入侵检测系统
入侵检测系统,顾名思义,就是对入侵者――安全漏洞、病毒等进行全面的检测。防火墙是用来防护,防病毒系统是检测病毒,而入侵检测系统则是系统安全检测的最后一道防线,是防火墙的补充和延伸。入侵的情况往往非常复杂,而防火墙因其自身功能,对于这些入侵者的拦截有所局限,这时候就是入侵检测系统改出手的时候了。它具有监视、安全审计、反攻击和攻击识别等多项功能,通过接收网络数据,能够对误操作、外部攻击和内部攻击进行实时的监控。
2.4 安全审计系统
安全审计系统更像是整体系统的报警器,它负责在系统中日夜穿梭“巡逻”,一旦发现不对,就拉响警报,提醒其他系统做好应战准备。具体的实现方式是对各项网络数据进行实时监测,网络中一旦出现各种违规行为和敏感信息,就能实时加以捕捉。开启实时报警,从而实现对系统安全的智能关联评估、分析及安全事件的全程准确跟踪定位。
3 结束语
智能电网的安全建设是一项非常复杂的工程,计算机网络系统安全在整体智能电网的建设中有着举足轻重的作用,关系到整个系统的安全、高效、平稳运行。提高对计算机网络系统安全重要性的的认识,全面掌握其建设要点,有助于推动整体智能电网系统的建设。
参考文献
[1]徐明磊.智能电网中计算机网络的安全作用[J].数字技术与运用,2013(12):187-188.
[2]钟伟杰.试论网络安全访问的规划与建设 [J].信息安全与技术,2011(6):6-8.
[3]蔡铭,谢晓玲,王雪畅等.智能电网脆弱性分析及对策研究 [J].信息工程大学学报,2013(3):376-379.
[4]熊宇航.智能电网网络安全问题研究 [J]. 数字化用户,2013(29):76.
关键词:税务系统;信息安全;安全策略
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10406-02
On the Information Security Policy and Management of Tax Information Management System
HUANG Jian-qun
(Xi'an Shiyou University, Xi'an 710065, China)
Abstract: In this paper, first, points out that information on the importance of the tax system through the presentation of tax information management systems, Concludes with the tax information security and management solutions, The program in improving safety and reliability of tax information has some referential significance.
Key words: tax systems; information security; security policy
税收是国家财政收入的重要途径,相关的税务系业务要求其具有准确性、公证性和完整性的特点,因此保证税务信息系统的安全性意义重大。税务系统作为电子政务系统的一部分,属国家基础信息建设,其基本特点是:网络地域广、信息系统服务对象复杂;税务信息具有数据集中、安全性要求高;应用系统的种类较多,网络系统安全设备数量大,种类多,管理难度大。
税务系统是一个及其庞大复杂的系统,从业务上有国税、地税之分,从地域来说又有国家级、省级、地市级、区县四级。网络结点众多、网络设备和网络出口不计其数、操作系统种类繁多、应用系统五花八门、网络机构极其复杂。面对如此复杂的系统,其内部安全隐患随处可见,经过不断的研究和探索,目前已经积累了大量解决税务系统信息基础设施安全的方法和经验,形成一整套税务系统的安全保障方法,相关安全保障的体系也在不断完善和发展中。
1 网络信息安全在税务系统中的重要性
计算机软硬件技术的发展和互联网技术的普及,为电子税务的发展奠定了基础。尤其是国家金税工程的建设和应用,使税务部门在遏止骗税和税款流失上取得了显著成效。电子税务可以最大限度地确保国家的税收收入,但却面临着系统安全性的难题。
虽然我国税务信息化建设自开始金税工程以来,取得了长足进步,极大提高了税务工作效率和质量。但税务系统本身也暴露出了一系列要改进的问题,各种应用软件自成体系、重复开发、信息集中程度低。随着信息化水平的不断提高,基于信息网络及计算机的犯罪事件也日益增加。税务系统所面临的信息网络安全威胁不容忽视。建立税务管理信息化网络安全体系,要求人们必须提高对网络安全重要性的认识,增强防范意识,加强网络安全管理,采取先进有效的技术防范措施。
2 税务系统安全建设
如何保证信息在传递过程中的安全性对税务系统来说至关重要,任何网络设备或者解决方案的漏洞都会对税务系统造成很大影响。如何成功处理信息安全问题,使国家税务系统在充分利用信息技术的同时,保障系统的安全,对税务系统建设具有极大意义。信息安全的建设涉及到信息赖以存在和传递的一切设施和环境。构筑这个体系的目的是保证信息的安全,不仅需要信息技术的努力与突破,还需要相关政策、法律、管理等方面提供的有力保障,同时也需要提高操作信息系统的工作人员的安全意识。
2.1 税务系统安全防护体系
税务系统安全防护体系保证了系统在生命期内处于动态的安全状态,确保系统功能正确,不受系统规模变化的影响,性能满意,具有良好的互操作性和强有力的生存能力等。
税务信息系统安全模型提供了必要的安全服务和措施,增加了动态特性,强调了各因素之间关系的重要性。该模型是一种实时的、动态的安全理论模型,是实施信息安全保障的基础。在模型基础上建立安全体系架构随着环境和时间改变,框架和技术将会主动实时动态的调整,从而确保税务系统的信息安全。
2.2 税务系统风险评估
税务系统信息安全保障的目的是确保系统的信息免受威胁,但绝对的安全并不可能实现,只能通过一定的控制措施将系统受到威胁的可能性降到一个可接受的范围内。风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。风险评估用来确认税务系统的安全风险及大小,即利用适当的风险评估技术,确定税务系统资产的风险等级和优先风险控制顺序。
风险评估是信息安全管理体系的基础,为降低网络的风险、实施风险管理及风险控制提供了直接依据。系统风险评估贯穿于系统整个生命期的始终,是系统安全保障讨论最为重要的一个环节。
3 税务信息系统整体安全构架
一般税务信息系统所采用的安全架构模型如图1所示。
从安全结构模型可以看出,该安全架构主要分为三部分:网络系统基础防御体系、应用安全体系和安全管理体系。网络系统基础防御体系是一个最基本的安全体系,主要从物理级、网络级、系统级几个层次采取一系列统一的安全措施,为信息系统的所有应用提供一个基础的、安全的网络系统运行环境。
该体系的主要安全建设范围如下:
1) 物理级安全:主要提供对系统内部关键设备、线路、存储介质的物理运行环境安全,确保系统能正常工作。
2) 网络级安全:在网络层上,提供对系统内部网络系统、广域网连接和远程访问网络的运行安全保障,确保各类应用系统能在统一的网络安全平台上可靠地运作。
3) 系统级安全:主要是从操作系统的角度考虑系统安全措施,防止不法分子利用操作系统的一些BUG、后门取得对系统的非法操作权限。
4 信息安全管理策略
4.1 安全管理平台
信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。信息安全管理实行安全等级保护制度,制定安全等级划分标准和安全等级的保护办法。从管理的角度,将系统中的各类安全管理工具统一到一个平台,并对各种安全事件、报警、监控做统一处理,发现各类安全问题的相关性,按照预定义的安全策略,进行自动的流程化处理,从而大为缩短发现问题、解决问题的时间,减少了人工操作的工作量,提高安全管理工作的效率。
通过技术手段,构建一个专门的安全管理平台,将各类安全管理工具集成在这个统一的平台上,对信息系统整体安全架构的实施进行实时监视并对发现的问题或安全漏洞从技术角度进行分析,为安全管理策略的调整提供建议和反馈信息。统一的安全管理平台将有助于各种安全管理技术手段的相互补充和有效发挥,也便于从系统整体的角度来进行安全的监视和管理,从而提高安全管理工作的效率。
4.2 物理安全策略
物理安全是对计算机网络系统中的设备、设施及相关的数据存储介质提供的安全保护,使其免受各类自然灾害及人为导致的破坏。物理安全防范是系统安全架构的基础,对系统的正常运行具有重要的作用。
当然,信息系统安全不是一成不变的,它是一个动态的过程。随着安全攻击和防范技术的发展,安全策略也必须分阶段进行调整。日常的安全工作要靠合理的制度和对制度的遵守来实现。只有建立良好的信息安全管理机制,做到技术与管理良好配合,才能长期、有效地防范信息系统的风险。
5 网络信息安全所采取的主要措施
目前网络信息安全所采取的主要措施是使用一系列的安全技术来防止对信息系统的非授权使用。讨论税务系统安全策略问题时,相关人员往往倾向于防火墙、入侵检测系统等实际的安全设备。其实,造成系统安全问题的本质是税务信息系统本身存在脆弱性。任何信息系统都不可避免的存在或多或少的脆弱性,而且这些脆弱性都是潜在的,无法预知。系统出现脆弱性的根本原因是由于系统的复杂性使得系统存在脆弱性的风险成正比,系统越复杂,系统存在的脆弱性的风险就越大,反之亦然。
安全防御的总策略为:1)建立网络边界和安全域防护系统,防止来自系统外部的攻击和对内部安全访问域进行控制;2)建立基于整个网络和全部应用的安全基础设施,实现系统的内部的身份认证、权限划分、访问控制和安全审计;3)建立全系统网络范围内的安全管理与响应中心,强化网络可管理、安全可维护、事件可响应;4)进行分级纵深安全保护,构成系统网络统一的防范与保护、监控与检查、响应与处置机制。
6 结束语
解决信息系统的安全不是一个独立的项目问题,安全策略包括各种安全方案、法律法规、规章制度、技术标准、管理规范等,是整个信息系统安全建设的依据。现有的安全保障体系一般基于深度防御技术框架,若能进一步利用现代信息处理技术中的人工智能技术、嵌入式技术、主动技术、实时技术等,将形成更加完善的信息安全管理体系。
税务信息安全直接关系到税收信息化建设的成败,必须引起税务机关和每一位税务人的重视。科学技术的发展不一定能对任何事物的本质和现象都产生影响,技术只有与先进的管理思想、管理体制相结合,才能产生巨大的效益。
参考文献:
[1] 蔡皖东.信息安全工程与管理[M].西安:西安电子科技大学出版社,2004.
[2] 谭思亮.网络与信息安全[M].北京:人民邮电出版社,2002.
[3] 谭荣华.税务信息化简明教程[M].北京:中国人民大学出版社,2001.
[4] 李涛.网络安全概论[M].北京:电子工业出版社,2004.
[5] 朱建军,熊兵.网络安全防范手册[M].北京:人民邮电出版社,2007.
[6] 戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社,2002.
Abstract: As the technology becomes more advanced, network is gradually integrated into people's lives, and the network security issues are coming too. This article put forward the analysis method of network security based on weaknesses correlation from the network security status quo and the definition of the weakness relationship.
关键词: 弱点;相关性;网络安全;方法
Key words: weakness;correlation;network security;method
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2013)02-0194-02
1 网络安全现状
目前网路安全问题越来越突出。网络攻击者不仅利用单个弱点来攻击网络系统,还一起组合攻击,所谓组合攻击并不是组织多个攻击者一起攻击,而是攻击者把多个主机的弱点结合起来对网络进行攻击,这对网络安全来说是极大的威胁。为了对网络安全进行评估,就必须深入管理网络安全系统。网络安全性的分析方法已经不能满足当前的形势,因为它具有单一性,并没有综合各个因素来考虑。所以,目前最重要的是提高网络安全性分析方法,要对基于多个弱点相关性的网络安全性分析方法进行深入研究。
2 弱点相关性的定义
网络系统在特定一个环境中,虽然有其安全保护措施,但是攻击者还是可以利用一个固定节点上的弱点来盗取权限,随后,又利用此权限来盗取下一个权限,反反复复,最后使整个系统的权限都被盗取。在权限一个接着一个被盗取的过程中,我们可以看出弱点是具有非常强的关联性的,只要具有关联性盗取权限的工作就变得越来越简单了。可以一眼看出的是,这些弱点存在的方式是多样的,既可以在同一主机的不同软件上,也可以在不同的网络节点上。基于这样的情况来看,我们就可以从相关性这一概念入手,对弱点在环节上的相互关系作解释说明,把每个弱点在攻击中发挥出的不同作用表现出来,只有这样才能从多个角度来考虑弱点对网络系统产生的影响,对网路系统做更进一步的评估工作。
3 基于弱点相关性的网络安全性分析方法
3.1 网络安全分析类型
3.1.1 物理安全分析 对于整个网络安全系统来说,网络物理安全分析法是整个网络安全的基础条件。在某些网络系统比较弱的工程建设中,比如说校园网络工程建设,它的耐压值是非常低的。为了不出现一些状况,在进行网络工程建设的设计前就应该做好相关准备工作,在正式施工的过程中,要先考虑到人和设备不受外界因素影响,比如说雷击等自然灾害,还要考虑其布线系统与各个系统之间的距离、安全等。需要注意的是,必须要建设其防雷系统,因为雷击这种自然现象对系统的危害是非常大的。在考虑安装防雷系统时,不仅仅是需要考虑到其计算机所在建筑物得防雷,还要考虑到计算机内部的防雷装置。总而言之,物理安全的风险主要有水灾、火灾、地震等自然灾害,操作失误、错误等人为灾害,一定要对这些方面做出相应的解决措施,避免出现网络系统的物理安全风险。
3.1.2 网络结构安全分析 对于网络系统来说,网络拓扑结构设计也是会影响其安全性的。一旦外部网与内部网通信,内部网络的所有设备都会受到一定的威胁,对于同一网络的系统来说也会受到其影响。透过一定的网络传播,还会对连上Internet/Intranet的其他的网络有所影响。在某些时候,还涉及到法律和金融等敏感领域。所以,我们在设计其网络系统时一定要考虑到将服务器公开,还要对内部的资料与外网进行一定的隔离,避免出现机密泄露的情况。还需要注意的一点是,要对外网进入的请求过滤,允许安全的信息进入。
3.1.3 系统安全分析 这里的系统安全指的是对全部网络操作系统以及网络硬件平台进行一个检测的工作,只允许安全的信息进入。就目前的情况来看,并没有绝对安全的操作系统,只有安全性比较高的系统罢了。举一个例子来说,Microsoft 的Windows NT以及其它任何商用UNIX操作系统,里面必然有其Back-Door。综上所述,完全安全的操作系统是没有的。所以每个用户都应该综合考虑然后对网络进行分析工作,一定要选择安全性高的操作系统。除了要选用安全的操作系统外,还要对其系统定期进行检查工作,设定一些安全配置。还需要注意的一点就是,要对登录过程进行严格的认证,确保用户的合法性,操作者的权限限制也要控制在最小的范围之内。
3.2 方法
3.2.1 物理措施 基于弱点相关性的网络安全系统,是可以对其采取物理措施的,举一些例子来说,比如网络的关键设备,其包括交换机和大型计算机等;制定一定的网络安全制度,还可以采取一些方便安装的措施,像防火装置和防辐射装置等。
3.2.2 访问控制 对用户的访问权限进行严格的认证,这些认证主要指的是用户访问网络资源的时候。举一个例子来说,一个用户在访问一个网站,一般情况下,在这个网页打开之前,一定会弹出一个对话框,判定这个网页是否具有一定的安全性,就是在这个基础上,对其系统的安全性再进一步的提高,加大对带有病毒的网页控制工作。
3.2.3 数据加密 在日常生活中,对事物进行加密措施是很常见的,网络安全工作必然也少不了这一重要环节。对于网络的资料数据安全来说,机密是最基本也是最重要的手段之一。加密的作用是避免出现信息外泄的情况,是防御有企图的人的有效方法,另外,还有降低计算机中病毒的概率。
3.2.4 网络隔离 网络隔离有隔离卡和安全隔离两种方式。隔离开主要用于对象是单台机器,而安全隔离的范围相对来说是比较广的,它是用于整个网络的,这是它们最显著的区别。
3.2.5 其他措施 除了上面介绍到物理措施、访问控制、数据加密以及网络隔离四种方法以外,对信息的过滤、容错、备份等措施也是有一定的作用的。在近些年来,许多研究者在基于弱点相关性的网络安全中提出了许多的方法,其方法运用到实际操作中也取得了一定的效果,不管是数据加密,还是防火墙技术,都是基于弱点相关性的网络安全性分析方法。
3.3 主机弱点列表如表1。
参考文献:
[1]张晗,万明杰,王寒凝.战术互联网同质层基于信任评估的安全分簇算法[J].计算机应用,2007,(10).
[2]刘密霞.网络安全态势分析与可生存性评估研究[D].兰州理工大学,2008.
[3]杨秀华,李天博,李振建,杨玉芬.基于网络蠕虫特征的检测技术研究[A].中国仪器仪表学会第九届青年学术会议论文集[C].2007.
[4]甘早斌,吴平,路松峰,李瑞轩.基于扩展攻击树的信息系统安全风险评估[J].计算机应用研究,2007,(11).
改革开放以来,我国社会经济得到了长足的发展,人民物质文化生活水平不断提高,用电量亦直线增涨,电力行业获得了前所未有的发展机遇。随着电力行业的不断发展壮大和信息网络技术日新月异的发展,电力行业和电力企业也面临着一系列的挑战,电力信息网络风险管理和防御显得日益重要,信息网络风险量化评估成为重中之重。由于我国电力信息化技术起步较晚,发展也比较滞后,电力信息网络风险管理与风险防御是一个新的课题,电力信息网络风险量化评估在最近几年才被重视,所以存在不少的问题急待完善。
1电力信息网络风险量化评估的必要性
随着信息技术的不断发展,电力信息网络存在的风险越来越大,电力企业不得不提高信息网络风险防控意识,重视电力信息网络的风险评估工作。进行电力系统信息网络风险量化评估意义体现在许多方面,可以提高电力企业管理层和全体员工的信息网络安全意识,促进电力企业不断完善电力信息网络技术的研发与提升,防范广大电力用户个人信息泄露,为电力企业今后的良好发展保驾护航。近年来,电力企业迎来了黄金发展时期,电力网络覆盖面不断扩大,电力企业管理理念也不断提升,电力系统也随之步入了数字化时代,信息网络安全防范成为当务之急。目前电力系统信息网络安全防范一般为安装防病毒软件、部署防火墙、进行入侵检测等基础性的安全防御,缺乏完整有效的信息安全保障体系。风险量化评估技术能够准确预测出电力信息网络可能面临的各种威胁,及时发现系统安全问题,进行风险分析和评估,尽最大可能地协助防御电力系统安全威胁。
2电力系统信息网络安全风险评估中存
在的问题我国电力信息网络安全风险评估是近几年才开始的,发展相对滞后,目前针对电力信息网络安全风险评估的相关研究特别少。2008年电力行业信息标准化技术委员会才讨论通过了《电力行业信息化标准体系》,因此电力信息网络安全风险评估中存在不少的问题和难题有待解决。
2.1电力信息网络系统的得杂性
电力行业,电力企业,各电网单位因为工作性质不同,对电力信息网络安全风险的认识各不相同,加上相关标准体系的不健全,信息识别缺乏参考,电力信息网络安全风险识别存在较大的困难。此外电力信息网络安全风险评估对象难以确定,也给评估工作带来了很大的困难。2.2电力信息网络安全风险量化评估方法缺乏科学性我国部分电力企业的信息网络安全风险评估方法比较落后简单,其主要方式是组织专家、管理人员、用户代表根据一些相关的信息数据开会研讨,再在研讨的基础上进行人为打分,形成书面的文字说明和统计表格来评定电力信息网络系统可能面临的各种风险,这种评估方法十分模糊,缺乏科学的分析,给风险防范决策带来了极大风险,实在不可取。
2.3传统的电力信息网络安全风险评估方法过于主观
目前用于电力信息网络安全风险分析计算的传统方法很多,如层次分析、模糊理论等方法。可是因为电力网络安全信息的复杂性、不确定性和人为干扰等原因,传统分析评估方法比较主观,影响评估结果。在评估的实际工作中存在很多干扰因素,如何排除干扰因素亦是一大难点。电力信息网络安全风险量化评估要面对海量的信息数据,如何采用科学方法进行数据筛选,简约数据简化评估流程是当前的又一重大课题。
3电力信息网络所面临的风险分析
电力信息网络系统面临的风险五花八门,影响电力信息网络系统的因素错综复杂,需要根据实际情况建立一个立体的安全防御体系。要搞好电力信息网络系统安全防护工作首先要分析电力信息网络系统面临的风险类别,然后才能各个突破,有效防范。电力信息网络系统面临的安全风险主要有两面大类别:安全技术风险和安全管理风险。
3.1电力信息网络安全技术风险
3.1.1物理性安全风险是指信息网络外界环境因素和物理因素,导致设备及线路故障使电力信息网络处于瘫痪状态,电力信息系统不能正常动作。如地震海啸、水患火灾,雷劈电击等自然灾害;人为的破坏和人为信息泄露;电磁及静电干扰等,都能够使电力信息网络系统不能正常工作。3.1.2网络安全风险是指电力信息系统内网与外网之间的防火墙不能有效隔离,网络安全设置的结构出现问题,关键设备处理业务的硬件空间不够用,通信线缆和信息处理硬件等级太低,电力信息网络速度跟不上等等。3.1.3主机系统本身存在的安全风险是指系统本身安全防御不够完善,存在系统漏洞,电力企业内部人员和外部人员都可以利用一定的信息技术盗取用户所有的权限,窃走或破坏电力信息网络相关数据。电力信息网络安全风险有两种:一是因操作不当,安装了一些不良插件,使电力信息网络系统门户大开,被他人轻而易举地进行网络入侵和攻击;二是因为主机硬件出故障使数据丢失无法恢复,以及数据库本身存在不可修复的漏洞导致数据的丢失。
3.2电力信息网络安全管理中存在的风险
电力信息网络是一个庞大复杂的网络,必须要重视安全管理。电力信息网络安全管理风险来源于电力企业的内部,可见其风险威胁性之大。电力信息网络安全管理中存在风险的原因主要是企业内部管理混乱,权责划分不清晰,操作人员业务技能不过关,工作人员责任心缺乏,最主要还是管理层对电力信息网络安全管理中存在的风险意识薄弱,风险管理不到位所致。
4电力信息网络风险评估的量化分析
4.1电力信息网络风险评估标准
目前我国一般运用的电力信息网络风险评估标准是:GB/T20984-2007《信息安全技术:信息安全风险评估规范》,该标准定义了信息安全风险评估的相关专业术语,规范了信息安全风险评估流程,对信息网络系统各个使用寿命周期的风险评估实施细节做出了详细的说明和规定。
4.2电力信息网络安全风险计算模型
学界认为电力信息网络的安全风险与风险事件发生概率与风险事件发生后造成的可能损失存在较高的相关性。所以电力信息系统总体风险值的计算公式如下:R(x)=f(p,c)其中R(x)为系统风险总值,p代表概率,c为风险事件产生的后果。由此可知,利用科学的计算模式来量化风险事件发生的概率,和风险事件发生后可能产生的后果,即可演算出电力信息网络安全的风险总值。
4.3电力信息网络安全风险量化评估的方法
4.3.1模糊综合评判法模糊综合评判法采用模糊数学进行电力信息网络安全风险量化评估的一种方法,利用模糊数学的隶属度理论,把对风险的定性评估转化成定量评估,一般运用于复杂庞大的电力信息网络安全防御系统的综全性评估。利用模糊综合评判法时,要确定好因数集、评判集、权重系数,解出综合评估矩阵值。模糊综合评判法是一种线性分析数学方法,多用于化解风险量化评估中的不确定因素。4.3.2层次分析法电力信息网络风险量化评估层次分析法起源于美国,是将定性与定量相结合的一种风险量化评估分析方法。层次分析法是把信息网络风险分成不同的层次等级,从最底层开始进行分析、比较和计算各评估要素所占的权重,层层向上计算求解,直到计算出最终矩阵值,从而判断出信息网络风险终值。4.3.3变精度粗糙集法电力信息网络风险量化评估变精度粗糙集法是一种处理模糊和不精确性问题的数学方法,其核心理念是利用问题的描述集合,用可辨关系与不可辨关系确定该问题的近似域,在数据中寻找出问题的内在规律,从而获得风险量化评估所需要的相关数据。在实际工作中,电力信息网络风险量化评估分析会受到诸多因素的影响和干扰,变精度粗糙集法可以把这些干扰因素模糊化,具有强大的定性分析功能。电力信息网络风险量化评估是运用数学工具把评估对象进行量化处理的一种过程。在现实工作中,无论采用哪种信息网络风险评估的量化分析方法,其目的都是为了更好地进行风险防控,为电力企业的发展保驾护航。
5总结
电力信息网络安全对保证人民财产安全和电力企业的日常营运都具有非常重要的意义,电力企业领导层必须要加以重视,加大科研投入,定向培养相关的专业人才,强化电力信息网络安全风险评估工作,为电力企业的良好发展打下坚实的基础。
参考文献
[1]庞霞,谢清宇.浅议电力信息安全运行维护与管理[J].科技与企业,2012(07):28.
[2]王申华,蒋健.电力信息安全运行维护及管理探讨[J].信息与电脑(理论版),2014(11):45.
为了确保奥运期间网络系统安全稳定的运行,必须保证国内外参与2008奥运盛事的广大用户安全畅通的移动信息服务,所以移动运营商需要在已有安全体系的基础上引入专业的安全服务,来增强有关网络承载平台、数据业务系统、业务支撑系统等方面的安全风险控制能力,以保证能够持续不断地发现系统安全风险,选择适当控制措施及时进行纠正。
日常安全服务
日常安全服务主要在非奥运赛时进行,服务的内容主要包括安全预警服务、安全系统评估/抽查、安全加固、安全巡检等服务。重点关注是在检查奥运有关系统的安全性,修补信息安全的短板,降低出现安全问题的可能性,并对可预见的安全问题进行适当的演练。具体步骤如下:
首先要通过从专业安全服务组织获取安全预警信息,为奥运有关系统的运维人员提供最新的安全动态、技术和定制的安全信息。具体包括实时安全漏洞通知、定期安全通告汇总、临时安全解决方案等。同时将这些信息与建设的网络安全预警系统进行结合,实时反映网络运行的安全状况,分析监控过程中不正常的网络参数或者业务流量,并进行同步响应。
其次要通过对奥运有关系统进行安全风险评估,以准确掌握各个系统的安全风险状况,为安全防护体系的建设提供客观依据。为了降低安全评估可能给有关系统带来的影响,建议对涉及的主机系统、网络设备、安全设备采用安全专家手工检查的方式进行,而终端设备的数量众多,重要性相对较低,可采用工具自动扫描的方式进行安全检查。同时,可以考虑对奥运直接提供服务的奥运产品系统进行全面的评估,对奥运有关系统的承载和运行支撑平台进行抽查。
再次,在安全评估/抽查以后可以采用修改安全配置、添加安全策略、更新系统补丁、建立安全防护措施等方式,进行安全风险点的修补和加固,以促使奥运相关系统的安全风险级别降低到安全水平。
由专业安全服务组织协助进行安全巡检工作,一方面对网络中的主机系统、业务系统、数据库系统进行基本的安全检查,发现是否有启动异常服务、非法访问等情况存在;另一方面对安全设备如防火墙、入侵检测、防病毒、动态口令认证等安全系统进行定期安全检查,核查安全策略,以起到防微杜渐的作用。
奥运会期间安全驻点服务
经过在奥运开赛之前的充分准备,奥运有关网络系统的安全建设业已完成,已经形成了较为完善的安全管控体系。在奥运会期间最重要的就是依据既定的策略使业务系统安全、稳定地运行,而不适合再进行安全建设的施工操作,需要尽可能少的进行网络架构、主机系统、安全控制措施等方面的调整。
针对这个阶段的安全防护特点,适合引入专业的安全驻点服务。安全驻点服务在现场提供奥运会期间全网系统的安全职守,主要内容包括:奥运相关系统运行状态安全检查、第三方维护人员安全指导、安全检测系统日志分析(比如入侵检测系统)、安全优化需求分析和方案提供、安全事件处理等,同时协助处理日常安全工作,加快响应时间,保证业务质量。
在安全驻点服务中的重要工作还包括对紧急安全事件的响应,这方面在下面进行介绍。
应急响应服务
应急响应服务是在奥运有关网络出现紧急安全问题的时候,由专业安全服务组织提供有效的预案流程、技术手段等综合措施,对已发生或可能发生的有重大危害的网络与信息安全事件进行响应,以尽量降低可能造成的损失,并使业务尽快恢复正常运转。
经过对奥运有关网络系统分析,可能会出现的安全事件主要有:网络速度缓慢、堵塞,重要业务系统出现资源占用异常升高,业务应用系统出现异常,重要业务系统出现异常进程、非法访问、爆发病毒等,重要系统出现启动或关机异常、系统崩溃,重要业务系统数据被篡改等。
在出现上述安全事件的时候,可以通过应急响应服务对疑似安全事件进行准确判定,对确认的安全事件进行处理和清除,以尽快恢复业务系统的运行,分析和追踪攻击源。
关键词:网络安全 问题 对策
1 什么是计算机网络安全问题
国际标准化组织将计算机安全定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。完整性,即保证非授权操作不能修改数据。有效性,即保证非授权操作不能破坏信息或计算机数资源。网络系统安全包括网络安全和信息安全。那么网络安全指基于网络运作和网络间的互联互通造成的物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全等几个方面。信息安全指数据的保密性、完整性、真实性、可用性、不可否认性及可控性等安全。
2 计算机网络安全的现状
网络安全问题不容忽视,诸如有意或无意地修改或破坏系统,或者在非授权和不能监测的方式下对数据进行修改的数据完整性破坏行为;利用计算机信息系统的广泛互联性和匿名性,散步错误的信息以诋毁某个对象的形象和知名度的诽谤行为;以及在网络系统中,读取网上传输的数据,安装通信监视器和读取网上的信息等,不得不让人们引起足够重视。
2.1互联网犯罪行为严重
互联网进入人们生活的各个角落,人们很多事情都需要通过网络来完成。正因为这样,网络犯罪也越来越普遍。人们利用网络盗取别人的信息,对用户的保密信息、财产等造成严重损失。
2.2用户安全意识不强
对于互联网用户应该加强安全意识,所有用户要有自身网络保护意识,还要注意自身的网络行为是否给他人造成危害意识,有时用户的不经意行为就会造成其他用户的安全威胁。
2.3黑客技术发展迅速
互联网不断发展,商业活动越来越多,现在出现的很多病毒都是带有商业利益的,病毒的方式有木马、蠕虫、间谍程序等,导致网络中的信息和数据被盗取。黑客之所以能给用户数据带来威胁,因为它能使病毒进行伪装和隐藏,以致于一般的杀毒软件无法检查并查杀病毒。计算机网络安全的防范对策网络安全与网络系统息息相关,要想确保计算机网络能够安全稳定运行,应从以下几方面着手。
3 对计算机网络安全问题采取的几点防范措施
3.1管理安全对策
作为计算机安全运行的重中之重,管理问题尤为重要。人是操作计算机系统的主体,因此人为操作失误也是影响网络安全运行的主要因素之一。基于此,必须建立健全网络管理机制,只有实现人为操作规范化管理,才能够有效避免人为操作失误安全隐患。此外,还应采取有效措施提高计算机管理人员的安全防护意识,并制定一套行之有效的网络安全应急防护方案。
3.2计算机系统的安全对策
随着网络时代的到来,计算机信息技术也得到了飞速发展,不过随之而来的是计算机病毒的传播也呈现出多样化趋势,要想确保计算机网络运行的安全可靠性,不仅仅要进一步提升广大计算机用户的安全防护意识,更为重要的是加大对计算机病毒的防护力度。常见的计算机系统安全防护手段主要有以下几方面:计算机用户不要随意打开或进入具有欺骗性的邮件或网站;加强对计算机病毒防护知识的学习,及时发现并解决计算机异常问题,以便有效预防计算机病毒攻击,确保计算机系统安全稳定运行。另外,对于一旦遭受病毒攻击就会造成巨大经济损失或其它损失的网络用户而言,应及时做好系统备份工作。
3.3计算机实体的物理防护对策
计算机物理安全很容易被人们所忽视,事实上,包括计算机硬件以及通信线路等在内的一些实体设备的安全防护也会对计算机系统安全运行产生直接影响,如果这些实体设备出现不同程度的故障,很可能会导致网络安全隐患。为有效预防雷电和强电对网络系统的干扰,技术人员往往通过增设避雷设备解决该问题,并利用电磁屏蔽技术有效避免电磁泄漏现象的出现,与此同时,还应做好对计算机设备的日常维护工作,确保防火、防震、防静电以及防尘等措施全部落实到位,为计算机系统安全可靠运行提供有力保障。
3.4网络控制对策
加强对网络的有效控制是确保网络安全的主要手段。(1)对网络设置访问权限。为有效解决因人为非法操作所造成的网络安全隐患问题,应对网络设置访问权限。加强入网控制是目前较为常见的网络控制手段,例如用户实名制登录、身份验证、口令验证等等。另外,还应对用户以及用户组的访问权限进行合理设置。(2)加强网络防火墙的控制。防火墙技术是保障网络安全的重要技术手段。该技术主要是通过对内网和外网进行有效隔离,并对这两个网络通信时的访问尺度进行有效控制来确保网络安全。过滤防火墙和防火墙是当前常见的防火墙技术:①过滤防火墙:利用路由器来阻挡外网对内网的非法入侵是过滤防火墙的主要作用。②防火墙:服务器技术是防火墙的最核心技术,服务器会对外部网络向内网发送的数据和请求进行过滤,只有符合过滤规则的数据才会被传递至真实的服务器,这样能够有效预防非法数据的传输。虽然防火墙技术能够进一步增强网络的安全可靠性,但该技术也无法确保网络的绝对安全,其自身也会面临被计算机病毒入侵的安全隐患,基于此,我们应将防火墙技术与其它安全防护技术有机结合在一起,从而使计算机网络安全得到进一步提升。
4 结语
据相关机构调查结果表明,未对自己网络制定专门的安全防护对策,仅仅通过较为简单的安全防护手段来确保网络安全的企业比例高达 55%,并且这些简单的安全防护措施之间很容易出现相互矛盾或相互重叠等方面问题,这样既导致网络的服务性能大打折扣,又无法确保网络安全可靠运行,因此,我们应加大网络安全管理力度,提高网络管理人员的安全意识,并加强网络安全技术的研发与应用,只有如此才能确保计算机网络安全可靠运行。
参考文献
[1]杨国文.网络病毒防治技术在计算机管理中的应用[J].网络安全技术与应用,2011(9)
【关键词】:应用系统;安全;方案设计;实现
中图分类号:S611文献标识码: A
1、前言
21 世纪生活,全球向网络化发展,网络正以惊人的速度应用于各行各业。尤其是Internet,已经深入到了我们生活、工作的方方面面。随着网络的普及,网络安全问题日益突出,并已成为制约网络发展的重要因素。安全策略是指一个系统工作时必须遵守的安全规则的精确规范。它不是一个统一的标准,而是在对特定的系统进行彻底分析的基础上制定的切实的策略。安全策略的内容应该包括系统安全隐患的分析以及应对的措施。本文以下内容将对应用系统安全方案的设计与实现进行研究和探讨,以供参考。
2、网络安全方案总体设计原则
网络安全方案总体设计原则为:第一,综合性、整体性原则。应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括行政法律手段、各种管理制度以及专业措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。第二,需求、风险、代价平衡的原则。对任意网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际的研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施。第三,一致性原则。一致性原则主要是指网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。第四,易操作性原则。安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。第五,分布实施原则。由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。第六,多重保护原则。任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它保护仍可保护信息的安全。第七,可评价性原则。如何预先评价一个安全设计并验证其网络的安全性,需要通过国家有关网络信息安全测评认证机构的评估来实现。
3、应用系统安全体系结构
具体的安全控制系统由以下几个方面组成:物理安全、网络平台安全、系统安全、信息和数据安全、应用安全和安全管理。第一,物理安全。可采用多种手段和措施用于加强物理场所的安全管理,包括:制订相应的机房出入管理制度,使用门卫、闭路电视系统、门禁系统等等,来监控人员的进出、对出入人员进行登记;实行机房设备登记制度和严格的设备操作规程等等。第二,网络平台安全。在网络的安全方面,主要考虑两个大的层次,一是整个网络结构成熟化,主要是优化网络结构,二是整个网络系统的安全。从对网络平台的安全风险分析可以看出,应用系统的网络拓扑结构已充分考虑了网络的安全性。实践证明,应用系统的网络平台安全可以保证。第三,系统安全。系统安全主要是指操作系统、应用系统的安全性和可靠性。对于操作系统的安全防范可以采取如下策略:对操作系统进行安全配置,提高系统的安全性;关键性信息不直接公开。应用系统在开发时,采用规范化的开发过程,尽可能的减少应用系统的漏洞。第四,信息和数据安全。为了能够在系统出现故障时及时修复数据,应建立了良好的备份机制。备份系统的目的是尽可能地全盘恢复运行计算机系统所需的数据和系统信息。第五,应用安全。严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 密切注视应用软件的Bug。在这里要积极防范端口扫描攻击。第六,安全管理。为了保护网络的安全,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,安全管理规范也是网络安全所必须的。安全管理策略一方面从纯粹的管理上即安全管理规范来实现,另一方面从技术上建立高效的管理平台。安全管理策略主要有:定义完善的安全管理模型;建立长远的并且可实施的安全策略;彻底贯彻规范的安全防范措施;建立恰当的安全评估尺度,并且进行经常性的规则审核。当然,还需要建立高效的管理平台。
3、结尾
本文以上内容对方案设计原则及安全体系结构进行了研究和探讨,表达了观点,提出了见解,另外还需注意的是,应用系统遭到病毒袭击后,必须尽快采取病毒防护方法,可以采取网络病毒防护方法,在系统中安装Norton AntiVirus 企业版,并按照地面系统的特点进行配置。实践证明,在发生病毒事件的时候,该病毒防护系统及时有效地控制了病毒的传播及破坏,在目前地面网络中起到了关键的保障作用
【参考文献】
[1]《面向21 世纪网络安全与防护》胡昌振等,北京希望电子出版社
【关键词】网络安全;消防远程监控;防范措施
1、引言
消防远程监控系统是随着计算机、网络、通信等现代技术的应用而发展起来的新型技术系统,是加强公共消防安全管理的一项重要科技手段。然而,目前网络上攻击网络系统的手段越来越多,如何使消防远程监控系统安全可靠地为联网单位服务也是摆在消防部门面前的一个问题。
2、网络隐患的来源
2.1人为因素
(1)操作失误。操作员设置的安全配置不当造成安全漏洞。而提高用户安全防范意识,选择合理安全配置,是减少网络风险的重要途径。
(2)恶意攻击。这是消防远程监控系统网络所面临的最大威胁,如何预防或抑制恶意攻击,是网络安全防范的核心内容。
2.2非人为因素
(1)软件漏洞。任何系统软件或应用软件都不是百分百无缺陷、无漏洞的,软件漏洞是入侵者攻击的首选路径。
(2)病毒攻击。网络是消防远程监控系统与服务器实现数据连接的互联网平台,因而不可避免地会遭到这样或者那样的病毒攻击。
3、消防远程监控系统网络安全技术
信息安全主要涉及信息传输安全、信息存储安全以及对网络传输信息内容的审计三方面。信息存储安全,也即消防远程监控系统终端安全,一般是基于口令和/或密码算法的身份验证,来保证信息的安全保护。信息内容审计,是实时对进出内部网络的信息进行内容审计,以防止或追查可能的泄密行为。
(a)数据传输加密技术。该技术对传输中的数据流进行加密,以防止通信线路上的窃听、泄漏、篡改和破坏。
一般常用的是链路加密和端到端加密这两种方式。链路加密侧重与在通信链路上而不考虑信源和信宿,是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的,对于网络高层主体是透明的,它对高层的协议信息(地址、检错、帧头帧尾)都加密,因此数据在传输中是密文的,但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将自动重组、解密,成为可读数据。端到端加密是面向网络高层主体的,它不对下层协议进行信息加密,协议信息以明文形式传输,用户数据在中央节点不需解密。
(b)数据完整性鉴别技术。目前,对于动态传输的信息,许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法,但黑客的攻击可以改变信息包内部的内容,所以应采取有效的措施来进行完整性控制。
(c)防抵赖技术。它包括对源和目的地双方的证明,常用方法是数字签名,数字签名采用一定的数据交换协议,使得通信双方能够满足两个条件:接收方能够鉴别发送方所宣称的身份,发送方以后不能否认他发送过数据这一事实。
鉴于为保障数据传输的安全,需采用数据传输加密技术、数据完整性鉴别技术及防抵赖技术。为节省投资、简化系统配置、便于管理、使用方便,有必要选取集成的安全保密技术措施及设备。
4、消防远程监控系统网络安全防范策略
基于网络系统风险的来源以及对人们造成危害的重大性,做好防御措施,减少隐患源头,防范于未然,是消防远程监控系统网络安全的主要方针政策。为此,单位或个人应该从一下几方面入手:
(1)开展消防远程监控系统信息系统安全风险评估
风险评估是消防远程监控系统信息安全保障工作的基础。安全源于风险,信息安全保障工作的基础和出发点就是要确定安全风险的来源、种类、破坏程度、发生可能性、产生的后果等内容。风险评估也是实现消防远程监控系统网络安全保障工作的重要环节,是建立信息安全管理体系工作的重要步骤,是信息安全风险管理的重要工作阶段,是信息安全保障工作的主要核查手段。当安全形势发生重大变化或网络与信息系统使命有重大变更时,及时进行信息安全风险评估,发现和了解新的风险,并及时调整安全保障技术和管理措施。
(2)加强消防远程监控系统病毒防御,实时检测网络安全漏洞,监控病毒入侵。
加强消防远程监控系统病毒防御应从两方面着手。首先各级监控中心应建立网络安全管理制度、健全信息安全规则;加强对中心网络管理人员进行专业知识和计算机网络安全新技术的培训;对监控中心值守人员要请专业技术人员介绍网络安全的重要性以及病毒防御常识等。再者应该加强技术上的防范措施,例如建立网管系统,使用漏洞扫描、入侵监控等系统。检测安全漏洞就是扫描网络中系统、程序、软件的漏洞。利用漏洞扫描系统提供的最新漏洞报告,提醒管理员实时了解网络系统当前存在的漏洞并及时采取相应的措施进行修补。
(3)定期实行数据备份或恢复,具备应急备份功能
消防远程监控系统由于各种原因出现灾难事件时最为重要的是恢复和分析的手段与依据。网络运行部门应该制定完整的系统备份计划,并严格实施。备份计划中应包括网络系统和用户数据备份、完全和增量备份的频度和责任人。还要用科学、发展的眼光看待消防远程监控中心的数据备份或恢复问题,具备应急备份功能。如采用双机热备等方式保证系统及信息的安全也是非常有必要的。
(4)安装配置防火墙
防火墙从本质上讲就是一种网络保护装置,它是一个或一组网络设备,可以在不同的网络间通过匹配编好的网络策略规划来决定对网络的访问,达到对网络数据的保护。防火墙作用包括:限制他人进入内部网络,过滤掉不安全服务和非法用户;限定用户访问特殊站点;监视Internet安全等。
5、结束语
随着信息化进程的不断深入,信息技术的负面效应和网上不良信息时有出现,消防远程监控系统感染病毒时有泛滥,网络隐患事件时有发生,网络安全问题屡禁不止。可以说,没有绝对安全的消防远程监控系统,一个系统只要使用,就或多或少存在安全问题,只是程度不同而已。仅仅采用一两项安全技术是不足以全面对抗网络上所潜在的各种威胁的。因此,必须提高用户安全意识,配合有效的防范措施和安全技术,定期检查,实时监控,才能将网络风险减小到最低限度。
参考文献
[1]GB 26875-2011.《城市消防远程监控系统技术规范》[S].2011
[2](美)考夫曼等著,许剑卓 等译.网络安全―公众世界中的秘密通信(第二版)[M].电子工业出版社.2004
关键字:电子商务密钥数字摘要数字签名数字时间戳数字证书SSL协议SET协议
随着计算机技术、网络通信技术和因特网的发展,目前电子商务技术正在全球迅速发展。电子商务实际是基于互联网络开展的各种商务活动,由于Internet本身具有开放性,且交易各方具有不直接对面性,其资金流转具有计算机处理性和网络传输性,使得交易的安全成为了电子商务发展的核心和关键问题。为了确保在交易过程中信息有效、真实、可靠且保密,目前主要采用的安全防伪技术有数据加密技术、认证技术和安全协议技术。
电子商务网络安全从其本质上来讲就是网络上的信息安全,是指电子商务网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠运行,网络服务不中断。网络安全不仅仅是技术问题,也是一个管理问题,因此要解决网络安全问题,必须有综合的解决方案,才能全方位地对付各种不同的威胁和攻击,这样才能确保网络信息的保密性、完整性、可用性。.因此,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
一、电子商务中的安全控制
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全,由于Internet本身的开放性,使网上交易面临着种种危险,也由此提出了相应的安全控制要求。
下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。
1.系统安全
在电子商务中,网络安全一般包括以下两个方面:对于一个企业来说,首先是信息的安全与交易者身份的安全,但是信息安全的前提条件是系统的安全。
系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
(1)网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首问题。解决网络安全主要方式有:
网络冗佘一它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控井自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离一分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制一对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流则可根据安全需求实现的单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同点域的出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
身份鉴别一是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名口令、密钥:二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等:三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虑拟专网,使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
安全监测一采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测.系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网答能检测和答理安全风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理、设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性自接关系到应用系统安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全一一面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。
系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并供完整的安全漏洞检查列表,通过不同版木的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数抓免受盗用、破坏。
(3)应用系统
办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制IC卡、PCMCIA安全PC卡等,使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质磁盘等,也无法获得相关文件的内容。
文件邮件的安全传送:对通过网络传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制IC卡、PCMCIAPC卡才能解密井阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文卜发等。
二、电子商务网络安全应对措施
1.使用网络监测和锁定监控
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进人网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。通过分析记录数据,可以发现可疑的网络活动,并采取措施预先阻止今后可能发生的入侵行为。
2.对通信端口和通信线路进行保护
远程终端和通信线路是安全的薄弱环节,对目前已有各种各样的端口保护专用设备,要选择符合实际需要的技术先进的产品。对于通信线路,应尽可能埋在地下,并且尽可能采用光缆,因为光缆不存在因各种电磁辐射引起的电磁泄漏,而且抗干扰性能极好。若采用电缆,要抑制和防止电磁泄漏,目前主要措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,可采用电磁屏蔽措施和干扰方式的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
3.采用信息流安全控制
防止不法分子通过流量和流向分析手段来确定攻击的目标。
这类安全控制包括:掩盖通信的频度、掩盖报文的长度、掩盖报文的形式、掩盖报文的地址。具体方法是填充报文和改变传输路径。为掩盖报文地址,一般采用物理层的链路加密方式,为掩盖报文的形式,常采用带反馈的加密方式。
4.安装高性能的防火墙
防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障。
如果内部网络要进人Internet,必须在内部网络与外部网络的接口处设置防火墙,在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,确保内部网络中的数据安全。在具体应用防火墙技术时,还要考虑两个方面:首先,防火墙是不能防病毒的,工作站是病毒进人网络的主要途径,所以应该在工作站上安装防病毒软件。其次,防火墙技术的另外一个弱点在于数据在防火墙之间的更新,如果延迟太大将无法支持实时服务请求。
5.采用访问控制
从计算机系统的处理能力方面对信息提供保护,它按照事先确定的规则决定主体对客体的访问是否合法。当主体试图非法使用一个未经授权的资源时,访问控制机制将拒绝这一企图,并将这一事件报告给审计跟踪系统。审计跟踪系统将给出报警,并记入日志档案。对于文件和数据库设置安全属性,对其共享的程度予以划分,通过访问矩阵来限制用户的使用方式。协同工作流OA。
随着电子政务的飞速发展,其承载的政府管理和服务系统日趋庞杂,这就对电子政务网络系统的安全性提出了更高的要求。因此,建立与网络信息安全相适应的安全策略和安全设施,构筑完整的网络安全体系,是电子政务发展的一个重要内容。
2 电子政务网络面临的安全问题
(1)网络的规划缺乏合理性。由于技术和资金投入方面的原因,电子政务网络在规划建设时往往会在一些方面缺少前瞻性的考虑,而随着电子政务应用需求的与日俱增,这些问题直接表现为网络在功能上和性能上的相对滞后。
(2)网络病毒问题比较突出。病毒问题对电子政务网络的安全应用造成了很大的威胁,在实际中往往会忽视全网防毒的重要性,并且对未知病毒的防范上缺乏必要的措施。
(3)网络攻击事件日益增多。随着网络攻击技术的发展,对电子政务网络的攻击行为日益增多,包括物理通路窃听、链路数据被截获、非法用户入侵、政府网页被恶意篡改等等,都对电子政务网络的安全性提出了更高的要求。
(4)灾难恢复机制不够完善。在电子政务网络建设中,存在着单点故障的隐患,这些都是电子政务网络在安全防范和恢复能力方面存在的薄弱环节。
(5)网络安全管理相对滞后。电子政务网络的安全三分靠建设、七分靠管理,而在目前的电子政务网络建设中,与网络安全相关的规范、措施、预案相对较少,安全管理的意识还很淡薄。
3安全体系的设计
电子政务网络安全是个复杂的综合性问题,不能简单地理解成为一些安全产品的集合,而是要形成体系化的建设,可以从安全技术和安全管理两个方面实现:
(1)安全技术
安全技术是实现电子政务网络安全最直接、最普遍的方法,因而在电子政务网络安全保障上应考虑以下安全技术的应用:应用防火墙技术,隔离内外网络、控制访问权限,防止非法访问和恶意攻击;应用主动入侵防御技术保护核心服务器和内部网络,进行深层防御、精确阻断;应用安全扫描技术主动探测网络安全漏洞,进行网络安全评估,保持网络系统安全的一致性和连续性;应用审计技术对业务数据流和人员上网行为进行审计,防止网络滥用情况的发生,进一步规范上网行为;应用流量分析技术,优化网络带宽,实现网络资源和网络应用的可控制性;应用网络负载均衡技术,提高不同网络之间访问速度;应用统一管理技术,实现对网络设备、服务器和基础设施的统一监测管理。
(2)安全管理
网络安全的核心是安全管理,安全管理是确保安全技术得以有效实施的保障,可以考虑两方面的措施:一是制定本地区、本部门的电子政务网络安全管理规范,充分发挥网络在信息化建设中的基础性作用,促进信息化建设健康、快速、协调发展;二是制定电子政务网络突发事件应急预案,建立起完善的电子政务网络系统保障和恢复应急工作机制,有效预防、及时控制和最大限度地消除突发网络事件的危害和影响,确保电子政务网络系统的安全、稳定运行。
4安全体系的建设原则
(1)完整性。单一的技术手段或管理手段对安全问题的发现、处理、控制等能力各有优劣,所以应该从整体安全性的角度考虑需要不同安全策略和安全设施之间的安全互补,提高对安全事件响应的准确性和全面性。
(2)经济性。安全体系建设要因地制宜,从本地区、本部门电子政务网络建设发展的实际出发,根据对安全方面的需求,制定合理的保护策略,使安全和投资达到均衡,做到低投入、高产出。
(3)动态性。网络的安全是一个全动态的过程,无论是安全产品的选用,还是安全策略的制定,都必须具有延续性和前瞻性,能够针对新的安全需求,不断地进行技术和设备的升级换代,进行安全策略的调整,以适应新的发展需要。
(4)标准性。在电子政务网络安全体系建设中,要遵守国家标准、行业标准以及国际相关的安全标准,这是构建系统安全的保障和基础。
(5)可操作性。安全体系的任何一个环节都应该有很好的可控性,包括安全产品的易用性、安全技术手段的针对性、安全管理制度规范的可实施性,确保安全体系建设能收到良好的实际效果。
5 结束语
网络安全是相对的,安全体系的建设也并非一劳永逸。随着电子政务的进一步发展,必然会对网络安全提出更高的要求,这就需要用动态的、前进的、创新的眼光来认识安全,定期进行安全评估、合理运用安全技术、加强安全管理措施,建立起更加完善的电子政务网络安全体系。
参考文献
[关键词]互联网;电子商务;系统安全;数据安全;网络系统
一、前言
近年来,随着因特网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。电子商务网站传递各种商务信息依靠的是互联网,而互联网是一个完全开放的网络,任何一台计算机、任何一个网络都可以与之相连。它又是无国界的,没有管理权威,“是世界唯一的无政府领地”,因此,网上的安全风险就构成了对电子商务的安全威胁。
从发展趋势来看,电子商务正在形成全球性的发展潮流。电子商务的存在和发展,是以网络技术的革新为前提。电子商务系统的构建、运行及维护,都离不开技术的支持。同时,因为电子商务适合于各种大、小型企业,所以应充分考虑如何保证电子商务网站的安全。
二、电子商务网站的安全控制
电子商务的基础平台是互联网,电子商务发展的核心和关键问题就是交易的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此提出了相应的安全控制要求。
下面从技术手段的角度,从系统安全与数据安全的不同层面来探讨电子商务中出现的网络安全问题。
(一)系统安全
在电子商务中,网络安全一般包括以下两个方面:
1.信息保密的安全
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的安全
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。
对于一个企业来说,信息的安全尤为重要,这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
(1)网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:
网络冗余——它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
访问控制——对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
身份鉴别——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
安全监测——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。
应用安全——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。
系统扫描——基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
(3)应用系统
办公系统文件(邮件)的安全存储:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC卡、PCMCIA安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。
文件(邮件)的安全传送:对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PCMCIAPC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。
业务系统的安全:主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、FTP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。
(二)数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。
数据库安全——大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库系统、数据库保密系统、数据库扫描系统等。
数据安全——指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。
(三)网络交易平台的安全
网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。
交易安全标准——目前在电子商务中主要的安全标准有两种:应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银行等金融机构;后者由NETSCAPE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用安全标准。
交易安全基础体系——交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。
交易安全的实现——交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。
随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。
PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(CertificationAuthorty)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。
三、目前信息安全的研究方向
从历史角度看,我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域,它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。
目前电子商务的安全性已是当前人们普遍关注的焦点,它正处于研究和发展阶段,并带动了论证理论、密钥管理等研究。由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术出处于探索之中。在我国,信息网络安全技术的研究和产品开发虽处于起步阶段,有大量的工作需要我们去研究、开发和探索,但我们相信在不久的将来,会走出一条有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
四、结束语
电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDI)之后的新一代电子数据交换形式。计算机网络的发展与普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道等等。对重要商业应用,还必须加上防火墙和数据加密技术加以保护。在数据加密方面,更重要的是不断提高和改进数据加密技术,使不法分子难有可乘之机。
参考文献:
[1]佚名.解析电子商务安全[EB/OL]./it386/dnwl/,2006-07-25.
[2]佚名.网络构建与维护[EB/OL].chinaec-/second/network.php,2006-07-16.
[3]洪国彬.电子商务安全与管理[M].北京:电子工业出版社,2006.
