时间:2024-03-29 11:41:07
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全防范建议,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
论文(设计)题目:中学校园网络安全防护及对策初探---以昌吉市一中校园网络为例
1、选题来源及意义
1.1选题来源
随着信息时代的高速发展,以校园网络为平台的应用也越来越广泛,例如校园一卡通服务、办公自动化应用(OA)、教务管理、图书管理、电子邮件服务、校校通服务、网上学习等。然而在开放式网络环境下,校园网络的使用过程中面临着各种各样的安全隐患,一方面,由于使用校园网络最多的是学生和教师,学生对于网络这样的新鲜事物非常感兴趣,可能会下载一些黑客软件或带有病毒的软件,从而破坏校园网络系统,加之学生不懂得爱惜,对于暴露在外界的网络设备造成一定破坏,据统计,80%的校园网络的攻击都来自于校园网内部[1];另一方面,来自外部的网络用户对IP地址的盗用、黑客攻击、病毒攻击、系统漏洞、信息泄露等方面的隐患也会对校园网络造成破坏。综上所述,校园网络的安全问题既有内部因素,也有外部攻击。因此,如何在现有条件下,充分应用各种安全技术,有效的加强、巩固校园网络安全问题非常重要。通过笔者在昌吉市一中网络中心实习的经历,发现昌吉市一中校园网络原有方案只是简单地采用防火墙等有限措施来保护网络安全。防火墙是属于静态安全技术范畴的外围保护,需要人工实施和维护,不能主动跟踪入侵者。而管理员无法了解网络的漏洞和可能发生的攻击,严重的影响的正常的教学工作。因此针对中学校园网络安全的防护更不容轻视。[2-3]
1.2选题意义
校园网络的安全建设极其重要,源于校园网一方面为各个学校提供各种本地网络基础性应用,另一方面它也是沟通学校校园网络内部和外部网络的一座桥梁。校园网络应用遍及学校的各个角落,为师生提供了大量的数据资源,方便了师生网上教学、交流、专题讨论等活动,为教学和科研提供了很好的平台,因此存在安全隐患的校园网络对学校的教学、科研和办公管理都会造成严重的影响。根据学校的不同性质,保证网络稳定、安全和高效运行是校园网络建设的首要任务。因此做好校园网络安全的防护及相应对策至关重要,即本论文选题意义。[4]
2、国内外研究状况
2.1国外网络安全现状
由于笔者查阅文献资料的有限性,没有查到国外校园网络安全现状的资料,因此针对国外所采取的网络安全措施进行如下概述:
(1)法律法规的制定。近年来,世界各国纷纷意识到网络安全与信息安全的重要性,并制定相关的法律法规规范广大网络用户的行为。美国、俄罗斯、英国、日本、法国等其他许多国家都相继成立国家级信息安全机构,完善网络防护管理体制,采取国家行为强化信息安全建设。
(2)网络防护应急反应机制的建立。面对网络反恐、黑客、信息的泄露、网络入侵、计算机病毒及各类蠕虫木马病毒等一系列网络危机,世界各国通过建立网络防护应急反应机制。分别从防火墙技术、入侵检测系统、漏洞扫描、防查杀技术等传统的安全产品方面入手,防止各种安全风险,并加快网络安全关键技术的发展和更新.动态提升网络安全技术水平。
综上所述,网络安全的问题将随着技术的不断发展越来越受到重视。然而,网络技术不断发展的今天,网络安全问题只能相对防御,却无法真正的达到制止。[5-7]
2.2国内网络安全现状
由于我国在网络安全技术方面起步比其他信息发达国家晚,发展时间较短,技术不够纯熟,面对各种网络安全问题有些应接不暇,主要是由于自主的计算机网络核心技术和软件缺乏,信息安全的意识较为浅薄,不少事企单位没有建立相应的网络安全防范机制以及网络安全管理的人才严重缺乏,无法跟上网络的飞速发展。面对这一系列的问题,我国通过制定政策法规,如GB/T18336一2001(《信息技术安全性评估准则》)、GJB2646一96(《军用计算机安全评估准则》等来规范网络用户的使用,还通过技术方面的措施进行防护,如加密认证、数字签名、访问控制列表、数据完整性、业务流填充等措施进行网络安全的维护。然而通过技术措施进行网络维护的过程中,网络管理员对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,致使在管理、维护网络安全方面还有很大的漏洞。[5]国内网络安全整体的现状如上所述,通过大量文献的阅读,发现数据信息危害和网络设备危害是校园网络安全现在主要面临的两大问题,主要威胁有病毒的传播与攻击、黑客的入侵、信息的篡改等一系列安全隐患,通过采取加密认证、访问控制技术、防火墙、漏洞扫描等措施进行防护。[3]中学校园网络管理者如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个中学校园不可回避的问题,并且逐渐引起了各方面的重视。[8-10]
3、本选题的研究目标及内容创新点:
3.1研究目标:
本文在对当前校园网络面临的各类安全问题进行详细分析的基础上,深入、系统的探讨了目前常用的各种网络安全技术的功能以及优缺点,并以昌吉市一中等中学校园网络为研究对象,分别从中学校园网络的物理因素、技术因素、管理因素等角度分析威胁校园网络安全的因素,并结合昌吉市一中校园网络现有的条件,分别从设备管理、技术提供、管理人员意识等方面充分应用各种安全技术,有效加强、巩固校园网络安全,提出解决网络安全问题的策略及防范措施。从而综合利用各种网络安全技术保障本校的校园网络的安全、稳定、高效运行。
3.2内容创新点:
(1)通过对昌吉市一中的校园网络进行分析,并结合文献资料参考其他中学校园网络安全的问题,总结出中学校园网络安全存在常见的安全隐患,并制定出针对中学校园网络隐患所采取的防范措施。
(2)将制定出的网络安全防范措施运用于昌吉市一中校园网络,制定出真正合理的、恰当的、适合现有条件的网络安全防范措施,并对昌吉市一中的校园网络进行展望,使得校园网络可持续发展。
参考文献
[1]段海新.CERNET校园网安全问题分析与对策[J].中国教育网络,2005.03
[2]袁修春.校园网安全防范体系.[D].西北师范大学.计算机应用技术.2005,5
[3]钟平.校园网安全技术防范研究[D].广东.广东工业大学.2007,4:3
[4]蔡新春.校园网安全防范技术的研究与实现[D].软件工程2009,4
[5]董钰.基于校园网的网络安全体系结构研究与设计[D].山东.计算机软件与理论.2005,5:11-12
[6]王先国.校园网络安全系统的研究与设计.[D].南京.计算机技术.2009.12
[7]定吉安.常用网络安全技术在校园网中的应用研究[D].山东.计算机软件与理论.2011,4
[8]顾润龙.影响校园网络安全的主要因素及防范措施.[J].咸宁学院学报.2012,9(32):155-156
[9]张伯江.国外信息安全发展动向[J].信息安全动态,2002,8(7):36-38
[10]谭耀远.新世纪中国信息安全问题研究.[D].大连.大连海事大学.2011,6
一、采用的研究方法及手段(1、内容包括:选题的研究方法、手段及实验方案的可行性分析和已具备的实验条件等。2、撰写要求:宋体、小四号。)
1、文献研究法:查找文献资料时借助图书馆及网络,搜集、鉴别、整理文献。从前人的研究中得出对我们的研究有价值的观点与例证。本研究采用文献研究法的目的:
(1)查取大量校园网络安全问题常见的问题,结合昌吉市一中的校园网络现状进行分析。
(2)对国内外的网络安全防范措施进行分析,选择适合昌吉市一中校园网络安全所应对的策略。
2.访谈法:通过与昌吉市一中网络信息中心的教师交流探讨,以访谈的形式了解昌吉市一中校园网络的现状。
论文的框架结构(宋体、小四号)
第一章:绪论
第二章:影响中学校园网络安全的因素
第三章:常用的校园网络安全技术
第四章:校园网络安全建设
-----以昌吉市一中校园网络安全体系需求分析及设计
第五章:总结和展望。
论文写作的阶段计划(宋体、小四号)
第一阶段:20xx.10.1—20xx.11.20选定论文题目,学习论文写作方法及注意项;
第二阶段:20xx.11.20—20xx.12.25与孙老师见面,在孙教师的指导下,搜集材料阅读有关文献资料,按照开题报告的格式和要求完成《昌吉学院本科毕业论文(设计)开题报告》的撰写;
第三阶段:20xx.12.26—20xx.1.3写出开题报告,并与指导教师充分沟通,做好开题报告答辩准备;
第四阶段:20xx.1.5—20xx.1.13开题报告论证答辩;
第五阶段:20xx.1.17—20xx.3.25在指导教师指导下,开始毕业论文的写作,至3月25日完成初稿交指导教师;
第六阶段:20xx.3.25—20xx.3.31写出中期报告书,接受中期检查。并根据指导教师建议完成初稿的修改;
第七阶段:20xx.4.1—20xx.4.10根据指导教师建议完成二稿的修改;
第八阶段:20xx.4.11—20xx.4.20根据指导教师建议完成三稿的修改;
第九阶段:20xx.4.21—20xx.4.25完成初定稿,并复印3份交系毕业论文答辩小组;
一、高校校园网络存在的问题
1.信息安全危机四伏
目前校园网络处于内忧外患的境地。从外部环境来看,信息网络安全总体情况不太乐观,互联网地下经济促使病毒泛滥,病毒变种迅速得难以控制,多种技术配合进行攻击欺骗,移动介质蠕虫传染后下载木马程序频繁;从内部环境来看,安全意识薄弱使得网络攻击更加猖獗,学校学生或扮演黑客角色或感染病毒发展僵尸网络。网络在学校里被用得很充分,特别是一些新的应用,更是在校园网中层出不穷。
2.网络信息安全意识淡薄
在网络技术普及以后,网络安全受到的威胁系数增大。由于师生安全意识薄弱,对安全、技术一无所知的人比比皆是。这种状况直接构成了高校网络安全的隐患。有些校园网络用户从未安装杀毒软件,或者装后就没有再升级,往往在机器中毒后才急忙找对策。还有不少校园网用户,对于账号或是邮件密码的设定不重视,黑客要入侵计算机、破译不费吹灰之力。正是由于校园用户群体对网络安全不够重视, 因而不能充分认识到网络安全遭到威胁后所带来的严重后果。
3.网络安全防护系统不完善, 保护措施不力
很多高校对计算机网络建设普遍存在重技术、轻安全、轻管理的问题,对网络安全所需的软件、硬件设施上投入严重不足。并且很多高校没有专门的管理机构, 没有定期对师生进行安全防护教育的管理部门, 安全防护职责不明确,一遇到问题就互相埋怨, 推脱责任。另外,由于办学经费紧张不能持续投入大量资金改善网络安全的软、硬件设施,也使得加强高校网络安全的措施无法到位。
二、高校校园网网络安全体系的构建
1.配置安全的系统服务器平台
安全的系统服务器是网络安全的基点,利用系统本地安全策略构建一个相对安全的防护林,对于校园网来说至关重要。具体措施包括:设置禁用,构建第一道防线;设置IIS,构建第二道防线;运用扫描程序,堵住安全漏洞;封锁端口,全面构建防线。
2.技术保证
目前,网络安全的技术主要包括杀毒软件、防火墙技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。技术保证包括以下一些技术措施。
(1)防火墙是校园网信息安全保障的核心点,它负责校园网中最根本的信息服务系统的安全。通过部署防火墙,实施严格的数据流监控,同时在防火墙和服务系统上做较为详细的日志记录,为安全事件的事后取证工作提供依据。
(2)访问控制是网络安全防范和保护的最主要措施之一,其主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制采用用户口令的识别与验证,以保证其唯一性。当用户进入网络后,网络系统就赋予其一定的访问权限,用户只能在其权限内进行操作。
3.网络安全管理规范
(1)建立并严格执行规章制度。高校网络安全防护方面发生问题都与管理者水平、管理制度是否完善有着极大的关系, 因此必须提高管理者的管理水平, 建立和完善管理体制, 不断创造新的管理办法, 做到严格按照安全管理制度进行规范操作, 以防信息被破坏甚至丢失。
(2)应急响应。在发现新病毒或因系统安全漏洞威胁网络安全时,安全网络要及时向用户发出安全通告,并提供各种补丁程序以便下载。另外,还要做好计算机系统、网络、应用软件及各种资料数据的备份,并建立备份数据库系统。
4.用户教育
学校要加强网络安全管理意识,强化网络道德、网络心理、网络安全和法制教育,在师生的思想上、心理上安装防火墙,抵御来自校园网外部的攻击;要使广大师生员工都能意识到维护校园网络安全的重要性和紧迫感,并且自觉遵守有关网络安全的法律法规,从而自觉地维护校园网络安全;要安排师生参加安全技术培训,提高遵守相关安全制度的自觉性,增强整体安全防范能力。
三、结语
校园网络是学校的重要基础设施之一,其安全防范体系是一个动态的、不断发展的综合运行机制。我们必须全方位考虑各种不安全因素,制订合理的技术方案和管理制度,以保证校园网络高效可靠的运行。
参考文献:
[1]吴国新,吉逸.计算机网络[M].北京:高等教育出版社,2008.
[2]乔正洪,葛武滇.计算机网络技术与应用[M].北京:清华大学出版社,2008.
关键词:科技管理系统;安全防范
作者简介:范强贤(1975-),男,江苏连云港,高级工程师;研究方向:信息技术推广,信息平台建设,科技成果转化,科技创业孵化
随着我国信息技术的发展及适应日益网络化的电子政务工作要求,需要搭建对内对外的申报和管理平台,实现科技管理的信息化、科学化和网络化。科技管理系统的使用已经普及,基于网络环境下的科技管理系统的安全隐患也日益显露出来。因此,进行科技管理系统的网络信息安全防范十分必要。
1科技管理系统的安全现状
随着网络信息技术的迅猛发展,网络信息已成为人们日常工作和生活的重要载体,但网络信息系统是一把“双刃剑”,由于技术和社会等因素影响,网络在给人们带来方便、大幅度提高生产力水平的同时,其安全缺陷也给个人、单位乃至整个国家的信息安全带来了较大冲击。作为政府部门的科技管理外网,安全方面显得尤为重要。攻击者可以利用网络的一些缺陷,实行计算机网络攻击和入侵,造成数据的改写或损坏,用户的非法访问有可能造成敏感数据泄露、系统瘫痪、业务中断等。科技管理系统的网络安全风险主要表现在以下几种形式。(1)来自互联网的各种攻击行为。互联网的信息共享增加了安全防范的难度,黑客入侵、网络病毒入侵、非法访问、恶意破坏、越权使用资源、信息窃取等已经成为影响网络安全的普遍因素,其可能使用的常见技术手段包括:非法扩充权限、植入木马、拒绝服务攻击、利用系统漏洞、使用开放的端口、采用snifer等监听窃取非法手段获取数据。(2)来自科技管理系统外网内部或外部,包括伪造身份访问、篡改密码、数据等非法越权访问。(3)数据安全风险。科技管理系统在进行事务处理、项目审批等过程中,必然留下大量的个人、集体隐私信息,这些重要的数据意味着重大的经济利益,核心数据储存在计算机网络服务器必然有非法分子窥知,通常会利用病毒和黑客手段来非法获取,为己谋取非法经济利益。(4)非法逻辑访问的手段和方法很多,如:SQL注入攻击、逻辑炸弹、口令入侵等。根据有关调查,我国在网络安全方面的投入还不到网络建设资金总数的1%,比欧美国家更是低得多。各科技管理系统的建立也是各科技单位根据需要招标采购或是自行开发,由于资金和技术的限制,系统本身基本上只关注了客户需求的表面模块的研发,由于企业对于安全问题的不重视或是存在侥幸心理,加上缺乏专门的技术人员和专业指导,对于科技管理软件网络安全的性能层面投入不多,管理软件的安全问题普遍不容乐观。
2科技管理系统的安全防范
2.1提高用户的安全防范意识
安全要防患于未然,需要不断提高自身的网络信息安全意识,学习防护知识,不断提高安全技能,制定防范措施和预案,赢得主动权才能确保网络信息系统安全可靠的运行。树立安全意识,强化责任,定期排查电脑病毒,防止用户名和密码随意泄露,严格按照安全管理规范运行操作,接入设备和数据来源一定要合法化,切忌随意接入网络和使用非法软件。针对科技管理系统业务过程的改造,因系统在大批量申报项目的使用人员中,用户名和密码的复杂化容易遗忘,使大多数用户在使用本系统时,宁可选择简单密码,因而存在系统登录时密码过于简单的普遍现象,对于恶意使用者非常容易通过用户名密码猜测登录,一旦登录成功,对有恶意行为的防范,面临崩溃。针对这种疏漏,首先采用登录注册时的固定电话锁定信息修改请求来源,方可修改使用人员的邮件或手机号码信息,再通过发送手机随机验证码或邮件随机验证码,从面完成密码的自主、便捷修改,在此基础上完成密码的繁杂化条件设定,减轻维护人员的压力,防范用户名、密码层面出现较大的疏漏。从这个意义上说,要面向业务过程,从代码级层面解决管理过程中技术维护的便利与安全性。针对业务进行安全关键技术研究的同时,也要开展制度建设和人员培训,更全面地解决安全防范。还要考虑到网络结构的可移值性,方便今后与科技创业服务大厦的设备及资源整合,不能造成资源浪费。
2.2加强科技管理系统网络安全技术的研究
虽然我国在不断地开发研究,但是现阶段的计算机网络安全技术仍旧与西方发达国家存在一定的差距,因此继续加强计算机网络技术安全性的研发工作非常有必要。可以通过引进国外先进技术建立自身核心安全管理技术,同时,要做好相关的技术结合工作,确保管理系统的安全。
2.3做好科技管理软件的技术防范
要求代码提供方进行全面的安全检测,对已有的服务器运行的平台代码进行全面检查,进行编程防范、数据库配置防范、操作系统配置防范。对数据库连接用户限制权限,按照不同类型操作用户建立独立账户,授予权限与操作相匹配,防止操作权限过多发生越权操作、权限与责任不对等。
2.4数据库账号创建与管理的安全防范
数据库安全系统首先要对每一名用户进行数据库账号的创立,任何用户在进行数据库操作时需要经过系统的安全设置检验。在这一环节中所有默认的数据库用户的账号被锁定与终止,如果需要激活某账号,则需要重新分配,建立自己的账号并进行管理是维护数据库安全的最佳尝试。对数据库的账号进行安全管理的实质是对具体操作进行分析并获取最终控制权。
2.5操作系统的配置防范
操作系统通常都提供一些安全功能,充分利用好系统提供的安全功能,也是有效防止攻击的重要手段之一。在实际工作中,通常可以利用不同的操作系统在安全方面的优势来防范攻击,对于安装的Windows系列操作系统而言,在硬盘分区时有FAT和NTFS两种方式可选,通常建议选择NTFS作为文件系统的格式,相比FAT文件系统,NTFS文件系统在性能、安全、可靠性方面提供了很多高级功能,通过它可以实现任意文件及文件夹的加密和权限设置、磁盘配额和压缩等高级功能,因此NTFS会更加安全。另外,操作系统提供的文件权限设置和加密功能保护数据库文件也是非常有效的安全防范手段。比如:如果应用系统采用IIS提供信息服务,就需要对Web站点目录设置合适的访问权限,一般情况下,不要给予目录以写入和允许目录浏览权限,只给予.ASP文件目录以脚本的权限,而不要给予执行权限等。根据目前科技管理系统中的实际情况,需要按照系统的应用特点分别进行安全分析和设计,将科技管理的安全提升到较高的安全级别,确保整个网络安全、稳健的运行。
2.6及时更新杀毒软件,配备防火墙
计算机网络安全在面对黑客以及病毒攻击时,如果没有专业性的病毒查杀软件,计算机网络安全系数将大大降低。所以,要为计算机安装正版的专业性较强的杀毒软件,设置自己的扫描日程,若没有自动地打描日程表,可以设定一个提醒装置,保障定期对计算机扫描,并及时更新杀毒软件。另外,要在计算机上安装防火墙,并对其进行合理、有效的设置,过滤信息报,屏蔽非信任的IP地址,禁止非信息IP访问科技管理系统,使入侵者必须先穿越防火墙安全设定才能进入到计算机。在使用防火墙的过程中,管理员应对防火墙显示的重要信息进行记录,否则无法及时发现、处理安全隐患。重点解决的关键技术问题,第一要从代码层级入手,解决平台安全漏洞,其次是建立全面的安全保障措施、灾备方案。
2.7加强计算机网络的访问控制
现在的网络覆盖面太广,人们几乎可以随时随地地登录互联网进行操作,因此,在访问网络之前,必须保证网络资源的安全性,才能够维护网络安全。由于大多数病毒都是通过服务器入侵到计算机的,因此在进行网络访问的过程中,必须加强网络服务器的安全控制工作。与此同时,网络管理员还应该加强网络监控的力度,对于可能导致安全隐患的页面全面锁定控制。与此同时,还应该定期对网络端口进行全面的安全检查,并且通过设置网络的进入权限,全方位地防范不法分子的入侵。为了确保在信息网络系统进行通信、处理和使用的信息内容,在各个物理位置、逻辑区域、存储于传输介质中,处于动态和静态过程中的保密性、完整性和可用性,以及与人、网络、环境有关的技术安全、结构安全和管理安全。简言之,安全就是保证网络信息系统的合法用户在允许的时间内、从允许的地点、通过允许的方法对允许范围内的信息进行允许的处理,同时能有效防范非法用户访问与攻击网络信息系统。
2.8防止垃圾邮件和反间谍软件的入侵
要防范垃圾邮件的入侵,不仅不能响应自己的电子邮件,也必须保护好自己的邮件的地址。同时,可以在邮件服务器、接受黑名单机器上设置垃圾邮箱锅炉功能,采用过滤器和黑名单降低垃圾邮件出现的几率,并保存合法文件。
3结语
关键词:劳动保障; 信息系统; 安全; 对策
中图分类号:TP309 文献标识码:A 文章编号:1006-3315(2012)06-162-001
一、引言
南京系统的设计规划、开发建设,一直到系统的运行维护管理等各个环节,都将安全问题置于首要位置予以考虑,结合我市劳动保障工作实际,从系统网络、主机设备、数据库、应用系统、人员管理、承建单位协调管理、区县包括街道社区劳动保障信息化建设管理等各方面,制定实行了一系列比较全面、详细、具体的有关管理制度和规定。
本文提出了南京系统的安全风险防范工作的新思路、新方法,并列出了系统风险防范的各种对策、机制。
1.南京劳动保障信息系统当前安全运行风险防范机制
南京系统从开发至今,始终将安全体系建设置于最重要位置,建立起包括应用系统、数据库系统、系统网络、物理环境、入网单位、入网人员等各个层面、多方位的安全风险防范机制。
1.1应用系统安全防范机制:应用系统设置有三层管理机制,用户级、任务级和系统级,严格控制系统操作权限和范围,确保每一用户的使用权限和操作合法性。
1.2数据库系统安全防范机制:通过系统权限、角色权限、数据权限的管理,建立了数据库系统的权限控制机制。
1.3系统网络安全防范机制:关闭不需要开放的服务端口,限制用户的操作权限,使用网管软件,加强网络安全管理。
1.4劳动和社会保障卡安全防范机制:卡密钥系统为一卡一密,防止伪造。
1.5物理环境安全防范机制:存储信息的备份介质达到防尘、防潮、防毒变要求;主机房安装自动防火设备。
1.6各区县局域网安全管理情况:各区(县)劳动保障信息系统的建设与安全管理统一规划、统一部署、统一建设。
1.7入网机构和个人的安全管理:实行上岗前安全操作培训,对外机构:如定点医疗机构、全市各街道和社区等单位需要接入南京劳动和社会保障信息网的,建立了一套较完备的入网资格认证方案。
2.南京劳动保障信息系统安全运行方面存在的风险
2.1管理层面。南京系统安全运行文件内容侧重点主要是如何避免南京系统客户端的安全运行风险,忽略后台的安全运行风险,且文件执行力度不够。
2.2技术应用层面。
2.2.1主机网络设备缺乏有效机制进行管理与维护。
2.2.2应用系统程序众多,功能繁杂,开发技术相对落后,系统架构缺乏先进性。
2.2.3只重视系统网络核心的技术支撑,弱化了系统辅助设备以及客户端的技术管理。
2.2.4系统的容灾恢复技术严重缺乏。
2.2.5缺乏动态口令认证系统。
2.3操作层面。对一些出现的故障没有做到“能发现”,“有证据”。
2.4人员层面。对信息技术人员培养投入不到位。
3.南京劳动保障信息系统安全运行风险防范对策
3.1安全防范技术对策。
3.1.1网络拓扑分析对策。对策内容:根据网络的实际情况,绘制网络拓扑图;分析网络中存在的安全缺陷并提出整改建议意见。
对策作用:针对网络的整体情况,进行总体、框架性分析。一方面,通过网络拓扑分析,能够形成网络整体拓扑图,为网络规划、网络日常管理等管理行为提供必要的技术资料;另一方面,通过整体的安全性分析,能够找出网络设计上的安全缺陷,找到各种网络设备在协同工作中可能产生的安全问题。
3.1.2防病毒软件病毒库定期升级对策。对策内容:防病毒服务器通过INTERNET更新病毒库;防病毒服务器强制所有在线客户端更新病毒库。
对策作用:通过不断升级病毒库确保防病毒软件能够及时发现新的病毒。
3.1.3服务器定期扫描、加固对策。对策内容:使用专用的扫描工具,在用户网络管理人员的配合下,对主要的服务器进行扫描。
对策作用:找出对应服务器操作系统中存在的系统漏洞;找出服务器对应应用服务中存在的问题。
3.1.4信息备份系统。对策内容:定期备份电子信息。
对策作用:防止核心服务器崩溃导致网络应用瘫痪。
3.2安全防范管理对策
3.2.1管理制度对策。对策内容:编制详实的涵盖系统建设各个层面的规章制度,建立制度的实施办法与流程,建立健全制度实施、监督的流程与办法。
对策作用:使系统安全体系制度化、标准化,规范了系统的运行行为与操作行为,在管理上保证系统的安全运行,降低风险发生的几率。
3.2.2建立系统安全风险防范评估机制对策。对策内容:进行自评估和他评估服务两类;进行安全检查;进行系统安全保障等级评估;安全认证与认可。
对策作用:安全风险评估安全风险评估是应用比较广泛的一种安全评估方法,是系统风险管理的前期活动,风险评估具有基础性作用,为信息系统安全建设指明方向。
3.2.3人员对策。对策内容:制订针对系统管理者、系统使用者、系统决策者等不同层面的培训内容与培训计划,并形成制度化、标准化;建立动态、长效的信息化技术和劳动保障业务的研究机制。
对策作用:提高人员素质,增强系统维护开发的力度,保证系统被正确的使用,从而从“人”这个因素上防范系统风险的发生。
二、结束语
南京劳动保障信息系统的安全不是一朝一夕的工作,而是一项长期的、艰巨的任务,需要全局的参与和努力。同时要加大投入,建立全新的系统运行风险安全防范体系,并在管理上、制度上保证该体系的实现。
参考文献:
[1]黄志澄.电子政务的内涵及发展.中国信息导报,2002(4)
【关键词】校园网络;网络安全;防范体系
【中图分类号】G40-057 【文献标识码】B 【论文编号】1009―8097(2011)11―0066-05
引言
随着国内高校新一轮信息化建设的不断深入,高校校园网规模越来越大,承载的应用系统越来越多,校园网络的结构也变得越来越庞大和复杂。随着人才培养、科学研究等各项工作对校园网的依赖性不断增加,校园网及各类应用系统的服务质量也应不断提高标准和要求,作为一个使用成熟技术和成熟设备的园区网络,网络安全是影响网络服务质量的重要因素。
但目前各高校的校园网“重建设,轻管理”的现象仍然十分普遍。在社会信息化发展的大潮中,各高校都已清楚地认识到校园网在学校各项工作中的基础地位,因此在校园网硬软件系统建设上进行了大量的投入,而正是硬件和软件系统的大规模快速增长,使得对网络的管理难以跟上建设的步伐,而网络管理是软性的工作,是不能够通过统计报表看得出问题或成绩的,因此网络管理工作很难引起学校领导的重视。但在实际工作中,相对滞后的网络管理会导致网络安全问题的频频发生,反言之,网络安全防范也是网络管理的重要内容。
本文根据目前高校校园网络存在的安全隐患来分析其成因,并在实际工作经验的基础上提出构建一套基于分层控制的“IAAPNS”网络安全防范体系,自底向上、由内到外、从技术到管理层面排查高校校园网络中潜在的安全威胁并给出防护建议。
一 高校校园网络的安全隐患及成因
目前高校校园网络的主干网都是基于TCP/IP协议的以太网,与其他类型的Intranet网络相比有其自身的特点,相应的安全隐患也就有其特定的成因。目前国内高校校园网络普遍存在的安全隐患和漏洞主要来自以下几个方面:
1 校园面积广阔,网络基础设施管理困难
经过兼并和扩张,高校的校区面积动辄上千亩、几千亩,许多高校还有地域上独立的新老校区,作为楼宇间连线的光纤布线遍布校区各处,而且往往跟其他强电或弱电线缆共用走线沟槽。对这些光纤的管理要涉及基建、后勤等多个部门,需要协调的工作也很繁杂,如果缺少一个明确的安全管理体系,就不容易分清工作界限,在出现突发故障后往往互相推诿,导致难以在短时间内恢复网络畅通。
另外一方面,校园内楼宇繁多,楼字里每几层都会有楼层网络设备间放置汇聚层或接入层网络设备,这些设备间的数量众多,但往往安全防范措施简易,门锁形同虚设,甚至有些设备间连门都没有,极易出现人为破坏或私拉乱接网线的情况,严重影响网络的运行安全。除此以外,雷击等外界原因也容易造成对网络设备的破坏。
2 网络设备种类繁多,不利于统一管理
校园网的建设一般是分批建设,不同批次、不同层次的网络设备使用的规格、品牌往往不尽相同,而这些网络设备的管理软件大多都是基于私有MIB库进行开发,这就造成了很难有一套统一的全网管理软件。病毒或黑客对网络设备进行攻击时,就很难在第一时间发现和应对,常常是在设备瘫痪之后才意识到出现了问题、进行紧急恢复。
3 网络终端数量众多,安全措施薄弱
一般高校的学生人数都是以万计,教师以干计,密集的用户群意味着网络终端的数量巨大,绝大多数网络终端以计算机为主,随着无线的普及,智能手机和平板电脑也成为重要的网络终端设备。数量众多的用户使用计算机或手机的技术水平差异很大,尤其是文科专业的师生对计算机的使用掌握得并不熟练,未装防火墙和杀毒软件的计算机比比皆是。而高校校园网只要一处出现漏洞,整个网络就无安全可言。近年来智能手机上也出现了不少的病毒和木马程序,智能手机的系统安全问题正变得日益严重。
4 系统软件本身并不安全
在目前的校园网环境中,个人终端装机占有率最高的仍然是Windows操作系统,由于使用面广,研究其漏洞的人也就更多,不少黑客都是利用其系统漏洞侵入用户的计算机,再以这些被控制的计算机作为跳板,攻击整个网络。
与个人计算机相比,服务器操作系统漏洞更具有灾难性。服务器的操作系统种类较多,除Windows之外还有Linux、Solaris等Unix系列的操作系统,而高校网络管理人才队伍中,对此类操作系统熟悉的人员比例不高,包括打补丁、差错、优化在内的各种操作系统管理手段很难周全到位。除了操作系统本身,其上所运行的各类服务软件(如IIS、Tomc~等)也存在安全漏洞问题,需要管理人员投入大量的精力进行研究和学习。
5 应用系统的安全漏洞
由于建设成本的考虑,高校的网络应用系统提供商的层次差异很大,有些就是自行组织教师或学生进行开发,缺少软件开发过程中各个层次的安全规划设计与实现,使得应用系统层面的漏洞层出不穷,这些漏洞很容易成为黑客攻击最直接的目标。还有些高校在建立Web网站时使用了开源程序,这类系统的漏洞更是容易被利用,甚至不懂黑客原理的用户经过几分钟的学习便可以掌握攻击方法。
二 高校校园网络的安全防范体系
由此可见,形成高校校园网络安全隐患的原因是多层次的,也是相互关联的,但目前各高校的网络管理部门往往采用的是“头痛医头、脚痛医脚”的“救火式”解决办法,只从某个方面或某个层次来应对。网络管理人员每天都在疲于解决各种突发性的网络安全事故,但问题还是与日俱增,网络服务质量和用户满意度仍然处于较低的水平,这种“费力不讨好”的现象迫使我们去思考更好的解决方案。
为此,针对目前高校校园网络的安全现状和威胁,结合实际工作经验,我们运用系统论的分析方法,提出构建一套名为“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security,网络安全集成关联架构策略,同时也是体系中六个层次的英语词组首字母组合)的网络安全防范体系,为高校校园网络安全提供一套完整的解决方案,以求由点到面、由“标”到“本”地系统地解决校园网络的安全问题。该体系从六个层次和角度来阐述网络安全的内容,并分析每个层次可能存在的隐患以及相应的应对策略,其中自底向上的五个层次分别是物理安全、网络安全、系统安全、应用安全和信息安全,管理安全则融合、穿插于这五个层次之中。整个安全体系的示意图如图l所示。
该体系将现行的高校校园网络安全性划分为5个横向层次和1个纵向层次,在5个横向层次中,最底层的物理安全是基础,网络安全是关键,系统安全、应用安全、信息安全是重点,管理安全是保障。下面分别对六个层次的内容、隐患来源以及应对措施进行详细阐述。
1 物理安全(Physical Security)
物理安全,主要工作是防止物理通路的损坏、窃听和对物理通路的攻击(干扰等)。保证高校校园网络和信息系统各种设备的物理安全是网络整体安全的前提,通常包括环境安全(系统所在环境的安全保护)、设备安全和媒体安全三个部分。抗干扰、防窃听是物理安全措施制定的重点。目前,物理实体的安全管理已有大量标准和规范,如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》、GB50173-93《电子计算机机房设计规范》等。
这一层次的安全威胁主要包括自然威胁和人为破坏等方面。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的离散事件有时会直接或间接地威胁网络的安全,影响信息的存储和交换。人为破坏则主要来自于高校校园网周边内外的人为性的损坏,这些损坏有时是主观故意的(如学生发泄对网络服务质量的不满而对网络设备或线路进行故意损坏),有时是客观意外的(如园区周边建筑施工导致挖断网络线路)。
面对以上威胁,为保证网络的正常运行,在物理安全层次上应重点考虑两个方面:
(1)校园网规划、设计、建设时将物理安全作为重点工作对待,适当提高安全标准,为网络设备或线路搭建防护设施、建立安全控制区域,尽量降低自然威胁可能带来的风险。
(2)加强巡查,将重点网络设备或线路所在地定为安全巡逻必到点,定期安排保卫人员在巡逻时查看网络设备或线路的外观和运行状态(如各种状态指示灯是否正常等),降低人为破坏的几率。
2 网络安全(Network Security)
网络安全主要包括链路安全、传输安全和网络访问安全三个部分。链路安全需要保证通过网络链路传送的数据不被窃听,主要针对共用信道的传输安全;传输安全需要保证信息的完整性、机密性、不可抵赖性和可用性等;网络访问安全需要保证网络架构、网络访问控制、漏洞扫描、网络监控与入侵检测等。
这一层次的安全威胁主要包括:
(1)通信链路上的窃听、篡改、重放、流量分析等攻击。
(2)网络架构设计问题、错误的路由配置、网络设备与主机的漏洞、病毒等。
相应地应对措施主要有:
(1)在局域网内可以采用划分VLAN(虚拟局域网)来对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能;若是远程网,可以采用链路加密等手段。
(2)加强网络边界的访问控制。对于有明显安全等级差别的网络区域尽量增加防火墙设备进行隔离。如在校园内网、服务器区域之间设置防火墙;校园网出口处、与Intemet之间设置防火墙。
(3)在交换机上启用DHCP-Snooping技术,使任何接入校园网的计算机只能动态获得IP地址,同时杜绝未经批准建立的网站通过私自手工设置静态IP地址来架设服务器。
(4)使用IDS(入侵检测系统)。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够阻止攻击者的入侵。当检测到有网络攻击或入侵时,可以实时发出报警,并详细保存相关证据,以便用于追查或系统恢复。
(5)对网络安全进行定期检测,以实现安全的持续性。可以利用漏洞扫描类的工具软件定期对系统进行扫描,根据扫描结果进行安全性评估,通过评估报告指出系统存在的安全漏洞,组织专家讨论后给出补救措施和安全策略。
(6)建立网络防病毒系统。在校园网中部署网络版的防病毒系统,统一管理服务器和各类网络终端的防毒软件,定时自动升级与维护,以保护全网不被病毒侵害。通过对网络中的病毒扫描集中控制,建立各种定时任务,统一集中触发,然后由各被管理机器运行,同时可对日志文件的各种格式进行控制。在管理服务器上建立了集中的病毒分发报告、各被管机器的病毒扫描报告、所安装软件的版本等报告,所有病毒扫描状态信息都可由控制台得到。
3 系统安全(System Security)
系统安全即运行在网络上的服务器、交换机、路由器、客户端主机等具有完整网络操作系统的设备的操作系统的安全。这一层次的安全威胁主要来自因操作系统本身的设计缺陷被攻击者利用从而引发的后果。对于高校校园网络而言,半数以上的攻击往往属于这一层次。这一层次的主要应对措施主要有:
(1)更新操作系统、安装补丁程序。任何操作系统都有漏洞,因此,系统管理员的主要工作内容之一就是监控运行在网络上的各类设备的状态,发现异常应当及时解决、排除故障。对于交换机、路由器等设备而言,主要是更新操作系统的版本,这一类设备主要用于数据交换,因此其内置固化的操作系统往往功能简单、体积很小,厂商的常规做法是新版本的系统,因此只需直接刷新即可。对于服务器、客户端主机等设备,因其主要是用于数据处理,操作系统功能复杂、体积庞大,厂商通常是一些补丁程序来进行更新,因此直接安装即可。
(2)优化系统。现代操作系统往往是多功能、多模块、多组件的,可能一项系统设置可能会影响多个功能,也可能多个选项来共同作用于一个功能。因此,对操作系统进行优化是一项非常必要的工作,甚至个别系统的个别选项如果不加以优化可能会被攻击者利用,从而产生威胁。实际当中包括关闭不需要的服务和端口并建立监测日志等。
(3)实行“最小授权”原则,分配正确和合适的权限。仅仅保持系统的版本最新、并做了优化是不够的,试想如果网络上的设备被设置了“123456”这样的密码,而且使用这个密码登录后还是最高权限的系统用户帐号,那么整套网络和信息系统的危险可想而知。实行“最小授权”原则(网络中的帐号设置、服务配置、主机间信任关系配置等为网络正常运行所需的最小限度),关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的帐号等措施可以将系统的危险大大降低。例如,根据需要设置帐号和权限,并为帐号设置强密码策略是必须完成的工作,如至少应该在8位以上,而且不要设置成容易猜测的密码,并强制用户每个月更改一次密码等等。
(4)及时查杀服务器系统中的病毒、木马和后门程序。
4 应用安全(Application Security)
应用安全主要是针对网络中提供的各种功能和服务而提出的,例如Web服务:E-Mail服务、数据库服务、各种业务系统、各种信息系统等等。应用安全的威胁主要有:应用系统缺陷、非法入侵等。这一层次的主要应对措施有:
(1)及时升级和更新各应用软件和信息系统,降低因软件设计缺陷引起的风险。若应用软件或业务系统是高校自行开发,系统的使用部门(往往是业务部门)应联系开发人员及时跟进,发现漏洞及时修补。
(2)对应用软件和信息系统实行身份认证和安全审计。
与系统安全类似,应用软件和信息系统也应对使用者进行分类、分配权限、认证身份并审计各种操作。例如可以按照需要在高校校园网内部建立基于PKI的身份认证体系(有条件还可以建立基于PMI的授权管理体系),实现增强型身份认证,并为实现内容完整性和不可抵赖性提供支持。在身份认证机制上还可以考虑采用IC卡、USB-Key、一次性口令、指纹识别器、虹膜识别器等辅助硬件实现双因子或多因子的身份认证功能。同时,还应特别注意对移动用户拨入的身份认证和授权访问控制。
5 信息安全(Information Security)
信息安全注重的是网络上各类数据、信息的内容安全。这一层次可能的威胁和相应的应对措施有:
(1)植入恶意代码或其他有害信息。一部分攻击者经常采用的攻击方法是扫描网段找到有漏洞的主机,接着使用黑客软件或攻击程序进行刺探,在获得系统权限后将恶意代码植入到在该主机上运行的各应用软件或信息系统中,待其他用户正常使用时发作,或修改页面的内容造成不良影响。针对这种情况,可以部署网页防篡改系统,减少Web站点的内容被恶意更改植入恶意代码或其他有害信息。
(2)垃圾邮件和病毒的传播。目前,电子邮件已经成为垃圾信息和病毒的主要传播途径之一,采用垃圾邮件网关并部署电子邮件反病毒模块能够在一定程度上减轻危害,缺点是垃圾邮件识别模块和反病毒模块需要经常性升级,在查杀和拦截上有一定的滞后性。
(3)负面舆论导向。高校历来是思想碰撞的场所,网络作为新兴载体己经发挥着越来越大的作用,因此,舆情监督和正面舆论导向将逐渐成为高校信息安全的重点工作内容。除了采取技术手段进行监督管理外,高校的信息化管理部门还应与宣传部门一道培养舆论导向的专业人员或学生,主动将信息安全的风险降到最低。
6 管理安全(Administration Security)
目前,部分高校的网络管理人员及其用户的安全意识总的来说较为淡薄,且大多数高校的网络管理制度不完善、管理技术落后、管理机构不健全。上述因素不仅使得校园网络性能下降、运行成本提高,而且还会造成大量非正常访问,导致整个网络资源浪费,带来极大的安全隐患,使得网络受到攻击的概率大幅提高。
管理安全是整个防范体系的主线和基础,贯穿于整个体系的始终。如果仅有安全技术方面的防范,而无配套的安全管理体系,也难以保障网络安全的。必须制订相应的安全管理制度,对安全技术的实施落实到具体的执行者和执行程度。
网络安全工作可以说是一项群体性的工作,网络用户的安全意识是网络安全的决定因素,对校园网络用户安全意识的教育是安全防范体系中至关重要的环节,是形成高校校园网络安全体系的基础。尤其是在病毒泛滥的大环境下,需要通过定期培训、及时通过各种手段病毒预警通知、监督和促使用户尽快打补丁等方法,达到增强师生用户的安全意识,提高必要的安全防范技能的目的。
以上便是我们提出的网络安全防护体系的六个层次,除管理安全层次外,其余五层与TCP/IP协议的层次类似,上一层的安全是建立在其下一层的安全基础之上,下一层的安全是上一层安全的重要保障,层次之间环环相扣,不留安全死角。
本体系中的六个层次也基本涵盖了高校网络管理工作的方方面面,将网络安全工作的思路分层次清晰化,具有极强的实用价值和指导作用。
三 应用效果
重庆理工大学从2001年开始大规模建设校园网络,2003年开始建设数字化校园系统。校园网按照核心层、汇聚层和接入层三个层次进行规划设计,共有各类网络设备600多台,接入信息点18000个,活跃用户大约2万人,各类服务器40多台,安装有Windows、Linux和Solaris等操作系统,数据库以Oracle和SQL Server为主。数字化校园系统覆盖办公、教务、学工、人事、财务、后勤等各个方面的工作,共计有各类系统模块80余个。在大规模的硬件和软件系统建设前期,缺乏对网络安全的系统认识,在遭遇网络安全事故时,常常只能采取临时性的应对措施。随着网络和系统规模的不断扩大,网络安全已经成为影响网络服务质量的重要根源,网络信息中心的员工几乎天天都在疲于应对各类突发性的网络安全事件。
学校从2008年开始总结网络安全工作的经验与教训,运用系统工程的分析方法,从整体和系统的角度提出网络安全防范方案,形成了“IAAPNS”网络安全防范体系,并应用到校园网的建设与维护工作中,经过三年多的运行,学校校园网络安全工作进得了明显的成绩(如图2所示):
对网络设备攻击(包括病毒)而导致网络故障的次数由2008年的334次降到2010年的65次,2011年上半年为19次;利用操作系统漏洞(包括Web服务器漏洞)攻击成功次数由2008年的46次降到2010年的6次,2011年上半年为2次;利用应用软件的安全漏洞攻击成功次数由2008年的125次降到2010年的43次,2011年上半年为15次。
随着网络安全防范工作的加强,网络服务质量明显提升,如图3所示,用户满意度从2008年61%提升到2010年的73%,2011年上半年为78%。
【关键词】计算机通信网络安全
一、计算机通信网络威胁的成因
1.客观原因
第一,计算机通信网络所具有联结广泛的特性决定了给网络攻击带来了必要的条件,非法入侵者依据网络存在的漏洞或存在安全缺陷对网络系统的硬件、软件进行攻击,导致系统中数据的丢失,即便有些信息在安全级别方面进行了设置但还会收集整理有漏洞的存在。第二,计算机系统与通信网络自身较脆弱,因此遭受不同程度的攻击是不可避免的。第三,计算机病毒的传播也加剧了网络通信安全问题的出现,使网络系统遭受着不同程度的打击,造成数据的改动、删除最终破坏整个系统。第四,电子商务软件普遍应用到通信网络系统中,而这些电子商务软件的源代码又是公开的,这给非法入侵者寻找系统漏洞带来了便利。
2.主观原因
计算机网络管理员往往忽视潜在的安全问题,亦有些管理员的实际操作水平不够,在操作过程中违反安全保密所制定的规则,对操作规程不够了解。在对网络系统的管理和使用方面,人们的习惯偏移于方便操作而忽视安全保密方面的问题。
二、完善计算机通信网络安全策略分析
计算机通信网络安全威胁可分为两类:故意(黑客入侵等)、偶然(信息去向错误的地址)。故意威胁又可分为被动威胁及主动威胁两类。被动威胁主要针对信息进行监听但不对数据内容进行改动,主动威胁则是针对信息监听但对数据进行恶意修改。从以上两种攻击不难看出,被动攻击的难度远远小于主动攻击,因此被动攻击更加容易实现。但是目前并没有一种统一的方式或方法对各种威胁进行区别或者进行分类划分,也难以判断不同的威胁之间有没有联系,以下是介绍对完善计算机通信网络安全的一些策略:
1.加强防范措施
网络攻击是针对系统及各方面安全缺陷进行非法操作的行为,因此防范策略应针对网络中的各个层次从技术角度进行安全设计这是安全防御系统形成的首要条件。目前所采用的安全防范措施从软件、硬件、软件及硬件相结合的设备主要有以下几种:安全过滤网关、系统加密、入侵检测、身份认证、漏洞扫描、杀毒软件等。
2.数据加密方式
数据加密技术在网络通信中的应用有效促进数据通信、网络平台应用的安全系数的提高,保证双方的通信在安全下进行使得数据不被盗取及破坏。同时,数据加密技术也可在软件中实现加密,当加密程序本身没有受到病毒感染时便无法检查出数据或程序中是否含有数字签名,因此应将该加密技术应用在杀毒软件或反病毒软件当中。其次对网络数据库实施加密是十分必要的,由于数据通信传输中存储系统与公用传输信道十分脆弱,因此采用数据加密技术进行保护。
3.数字签名及控制策略
数字签名技术是针对网络通信信息论证的科学方式手段,依据单向函数对报文进行处理及发送,进而得到报文认证的来源并判断传输过程中是否发生变化。数字网络通信中数字签名技术是认证的关键,它对解决伪造、冒充、篡改等问题起到主要作用,有着良好的无法抵赖性。当前数字签名技术成熟,尤其在电子政务及电子商务中得到普遍应用,具有较强的可操作性,在实践中我们应采用科学化、规范化的程序方式判断签名方身份,确保通讯内容的真实性、安全性性,进而实现有效的可控管理。其次,网络通信实践运行中还应引入科学的访问控制策略,确定相应权限,保障计算机网络安全、可靠运行,建立绝对安全的操作策略及保障机制有效预防非法攻击行为。
三、结语
计算机技术的发展与日俱进致使网络安全技术不断更新,掌握必要的网络安全知识,增强网络安全防范是十分必要的。我们要时刻注意安全问题,尽量多的使用可靠、安全工具进行系统的维护,使得我们的网络安全更加稳定、持久的运行,这也是未来电子化、信息化发展的必然要求。
参考文献
关键词:计算机系统 系统安全 计算机网络 网络安全
中图分类号:TP393文献标识码:A文章编号:
引言
随着计算机技术网络的快速发展,网络安全成为人们研究的焦点。世界各国遭受计算机病毒感染和黑客攻击的事件屡屡发生,严重地干扰了正常的人类信息生活。因此,加强网络的安全显得越来越重要,对计算机病毒的防范工作也越来越受到世界各国的高度重视。下面分析了计算机网络安全的主要隐患及攻击的主要方式,从管理和技术的角度就加强计算机网络安全提出了针对性的建议。
1计算机系统安全 1.1计算机信息系统的安全保护包括计算机的物理组成部分、信息和功能的安全保护。 2实体安全 2.1计算机主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求。系统软件应具备以下安全措施:操作系统应有较完善的存取控制功能,以防止用户越权存取信息;应有良好的存贮保护功能,以防止用户作业在指定范围以外的存贮区域进行读写;还应有较完善的管理能力,以记录系统的运行情况,监测对数据文件的存取。 2.2计算机的安全防范::黑客攻击等威胁行为为什么能经常得逞呢?主要原因在于计算机网络系统内在安全的脆弱性:其次是人们思想麻痹,没有正视黑客入侵所造成的严重后果,因而舍不得投入必要的人力、财力、物力来加强计算机网络的安全,没有采取有效的安全策略和安全机制。另外,缺乏先进的网络安全技术、工具、手段和产品等原因,也导致计算机系统的安全防范能力差。3网络安全 3.1网络安全从其本质上讲就是网络上的信息安全,指网络系统的硬件、软件及数据受到保护,不遭受破坏、更改、泄露,系统可靠正常地运行,网络服务不中断。从用户的角度,他们希望涉及到个人和商业的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段对自己的利益和隐私造成损害和侵犯。从网络运营商和管理者的角度来说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源的非法占用和非法控制等威胁,制止和防御网络“黑客”的攻击。
3.2计算机网络安全具有三个特性: 保密性:网络资源只能由授权实体存取。完整性:信息在存储或传输时不被修改、信息包完整;不能被未授权的第二方修改。可用性:包括对静态信息的可操作性及对动态信息内容的可见性。
4计算机网络安全的主要隐患
4.1计算机网络软、硬件技术不够完善 由于人类认识能力和技术发展的局限性,在设计硬件和软件的过程中,难免会留下种种技术缺陷,由此造成信息安全隐患。如 Internet 作为全球使用范围最广的信息网,自身协议的开放性虽极大地方便了各种计算机入网,拓宽了共享资源,但 TCP/IP 协议在开始制定时没有考虑通信路径的安全性,缺乏通信协议的基本安全机制,没有加密、身份认证等功能,在发送信息时常包含源地址、目标地址和端口号等信息。由此导致了信息通过网络进行传送时产生了安全漏洞。 4.2计算机网络安全系统不够健全 计算机网络系统内部的安全威胁包括以下几个方面:①计算机系统及通信线路的脆弱性。②系统软硬件设计、配置及使用不当。③人为因素造成的安全泄漏,如网络机房的管理人员不慎将操作口令泄漏,有意或无意地泄密、更改网络配置和记录信息,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,等等
5计算机网络安全常用的防治技术 5.1加密技术:加密在网络上的作用就是防止重要信息在网络上被拦截和窃取。加密技术是实现保密性的重要手段,采用这种技术可以把重要信息或数据从一种可理解的明文形式变换成一种杂乱的、不可理解的密文形式,并以密文形式将信息在线路上传输,到达目的端口后通过密钥将密文还原成明文。常见的加密机制分为私钥密码机制和公钥密码机制,每种密钥加密机制都有多种不同的算法,密钥的加密机制及算法的选择依用户需求不同而定。
5.2入侵检测系统:入侵行为主要是指对系统资源的非授权使用,可以造成系统数据的丢失和破坏、系统拒绝服务等危害。入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统执行的主要任务包括: (1)监视、分析用户及系统活动;审计系统构造和弱点;(2)识别、反映已知进攻的活动模式,向相关人士报警;(3)统计分析异常行为模式; (4)评估重要系统和数据文件的完整性; (5)审计、跟踪管理操作系统,识别用户违反安全策略的行为。所以,入侵检测系统在计算机网络安全系统中也起着举足轻重的地位
6计算机网络安全解决方案
网络安全是一项动态、整体的系统工程。网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。
6.1多层病毒防御体系。一般情况下,信息网络系统中采取的安全措施主要考虑外部网络安全性,但由于病毒的极大危害及特殊性,网络用户可能会受到来自于多方面的病毒威胁,包括来自Internet网关上、与各级单位连接的网段上,为了免受病毒所造成的损失,在内部网络部署防病毒系统也是必要的,即多层的病毒防卫体系。
6.2防火墙技术。防火墙技术是近年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通信,提高内部网络的安全。
6.3.漏洞扫描。安全漏洞扫描通常都是借助于特定的漏洞扫描器完成的。漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护信息系统存在的安全漏洞,从而在信息系统网络安全保卫工作中做到“有的放矢”,及时修补漏洞,构筑坚固的安全长城。
7结论
在网络信息化时代,计算机技术和网络技术已深入到社会各个领域。网络安全已越来越受重视了。虽然目前用于网络安全防护的产品有很多,但病毒黑客仍然无孔不入,对社会造成了严重的危害。计算机系统安全与计算机网络安全的攻防仍将是一场持久之战,我们期待长治久安的那一天的到来。
参考文献:
[1]程煜:《计算机维护技术》,北京:清华大学出版社,2006
关键词:网上银行 发展现状 风险管理 措施分析
一、网上银行
网上银行(E-Bank)是银行等金融机构使用计算机及网络技术在网络开设的银行,通过Internet向客户提供开户、销户、查询、对账、行内转账、跨行转账、信贷、网上证劵、投资理财等传统服务项目,使客户可以足不出户就方便地管理活期和定期存款、支票、信用卡及进行个人投资的虚拟银行柜台。
二、网上银行的风险
为保证银行内部整个金融网的安全,我们需要保证网上银行交易系统的安全,最大限度避免交易风险,这是网上银行建设中最至关重要的问题,也是银行保证顾客资金安全的最根本的考虑。
1.来自网上银行物理结构的风险
网络是虚拟的,但又是物理存在的,数据通过物理介质进行运输和储存,进行储存的介质有硬盘、软盘和磁带等,若遭受物理损失,损失的不仅仅是这些设施,更严重的是存储于这些设施中的数据,所以注重网上银行的物理安全问题是网上银行发展的前提。
它主要包括两个方面,第一是环境安全,及对系统所在环境的安全进行保护,如区域保护和灾难保护等。第二是设备安全,主要包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等。
2.来自网上银行技术结构的风险
网上银行的技术风险主要包括网络风险和交易风险两个方面,网络安全能够确保网上银行网站的安全性,交易安全能够确保客户通过网上银行进行交易的资金安全。
在网络风险问题中,最重要的是内部网与外部网之间的访问控制问题,在这个环节上时常发生问题,这也是黑客经常攻击的地方;另外一个问题是内部网不同网络安全域的访问控制问题,不同内部网具有重要性不同的信息资料,因而,内部犯罪人员往往利用内部网管理上的漏洞,寻找盗窃或破坏漏洞。
计算机技术不断更新发展的同时,防病毒技术、防火墙技术的更新发展存在一定的滞后性。计算机病毒、黑客、木马等技术有威胁网上银行安全的可能。
三、网上银行风险对策设计
1.重视物理环境安全设计
首先,制度的安全需要提高安全防范意识,参照国家标准制定相关的规章制度,加强安全管理,提高员工整体素质,建立健全安全防范制度。其次,建筑的安全,机房建筑和结构从安全的角度出发,应该考虑多个方面,例如,计算机周围应有足够亮度的照明设施和防止非法进入的设施,计算机中心周围100米内不能有危险建筑物等。最后是计算机设备的防火、防盗、防雷、防静电,计算机在摆放时,可以根据消防火级别来确定机房的设计方案。
2.确保硬件安全
硬件安全主要是物理安全和设备安全。为确保物理安全,要防止意外的发生,和人员的故意破坏;确保设备安全就要求管理人员保护设备的钥匙、口令、密码等,防止人为或网络病毒、近远程对于安全的攻击。
3.控制访问权限
控制访问权限,是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。
4.保护主机自身安全
利用系列网络隔离的手段对计算机中心的硬件系统进行隔离。要着重考察主机及系统的安全、稳定、持续性,防止黑客、木马等入侵的渠道。
5.确保内部网络安全性
使用加密、签名认证等技术避免数据篡改;局域网技术利用vlan技术进行物理隔离不同的位置、不同的业务网。
6.防火墙隔离安全
防火墙的硬件基础应选择性能优良的物理平台,设置防火墙时要截止所有从135到142的TCP和UDP连接,改变默认配置端口,拒绝Ping信息包,通过设置过滤规则来实现包过滤功能。实际运行操作中可采取防火墙双机备份,选择两台同样的设备安装防火墙(一台作为备份)。
7.数据备份与隔离保护
鉴于数据库的重要性,应对数据进行分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制,具体实现方案有安全数据库系统、数据库保密系统、数据库扫描系统等。
8.保障通信与信息安全
>> 个人计算机系统安全隐患分析及对策研究 计算机操作系统安全设置问题探析 计算机操作系统安全模型的实例化分析与研究 电力企业计算机监控系统上位机操作系统安全性能加固实施 个人计算机的安全与防范 个人计算机信息安全和防护措施 个人计算机安全防护浅析 浅谈个人计算机的安全防护 个人计算机信息安全的防护方法 个人计算机安全问题的研究 个人计算机系统网络安全探讨 个人计算机的系统维护及安全防范探讨 浅谈个人计算机应用及其网络安全 计算机操作系统漫谈 计算机操作系统探讨 计算机操作系统封装 计算机操作员之Windows 2000/XP操作系统的应用 Windows操作系统安全研究 操作系统安全模型研究 WindowsXP操作系统安全配置 常见问题解答 当前所在位置:
需要提醒的是,补丁应该在所有应用程序装完之后再安装,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁的话可能无法达到应有的效果。
二、把系统Administrator账号改名
为避免别人一遍又一遍尝试这个系统Administrator帐户的密码,我们可将其改名,鼠
标右键单击Administrator,在右键菜单中选择“重命名”,然后重新输入一个名称即可。当然最好不要使用Admin、Root之类的名字,尽量把他伪装成普通用户,比如改成:Guestone。然后另建一个“Administrator”的陷阱账号,不赋予任何权限,并且加上一个超过10位的超级复杂的密码,并对该账户启用审核,这样那些黑客忙上好一阵也可能进不来,即使进来了也什么都得不到,、还留下被我们跟踪的线索。
三、取消共享目录的EveryOne组
默认情况下,在Windows中新增一个共享目录时,操作系统会自动将EveryOne这个用
户组添加到权限模块当中,由于这个组的默认权限是完全控制,结果使得任何人都可以对共享目录进行读写。因此,在新建共享目录之后,要立刻删除EveryOne组或者将该组的权限调整为读取。右击“共享目录”,选择“属性”,进入“安全”的标签页面,选中“EveryOne”,将其权限调整为读取,或是点击右侧的“删除”按钮将其删除。
需要注意的是,如果你没有将文件格式设置为NTFS格式,那么在共享文件时不会出现“安全”选项,这是只能在“共享”选项下“权限”按钮中设置访问者的权限。
四、关闭不必要的服务
开放服务虽然使用起来方便,但是服务开的越多漏洞也会越多,特别是连你这个管理员
都不知道是干什么的服务,最好关掉!
进入控制面板的“管理工具”运行“服务”进入服务界面双击右侧列表中需要禁用的服务,在打开的服务属性的常规标签页“启动类型”一栏,点击小三角形按钮“已禁用,再点击“启动”按钮,最后确定即可。
五、关闭不必要的协议和端口
关闭端口意味着减少功能,在安全和功能上面需要做一点平衡,但是如果某些功能你根本用不着,就没必要将服务开给黑客了,
在配置系统协议时,尽量做到可以不安装的协议就不要安装。对于一般用户来说建议只安装Tcp/Ip协议。鼠标右键单击网络邻居,选择“属性”,再鼠标右击“本地连接”,选择“属性”卸载不必要的协议。
六、关闭默认共享
Windows系统安装后,系统会创建一些隐藏共享,通过“计算机名或IP地址/盘符”可以访问,这为密码攻击提供了方便的途径。可以通过修改注册表的方法彻底禁止这些共享。在HKEY_LOCAL_Machine\SYS-TEY\CutrenttControlSet\ Services\LanmanServer\Parameters下添加键值AutoSharewks类型为REG_DWORD值设为0,关闭注册表重新启动计算机即可关闭默认共享了。
参 考 文 献
[1] 张伟杰. 计算机操作系统的安全设置与防范[J]. 科技视界. 2014(29)
[2] 王可君. 个人计算机系统安全风险及防护措施[J]. 有线电视技术. 2012(07)
1计算机网络的概述计
算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机网络系统。最庞大的计算机网络系统就是因特网,它由非常多的计算机网络通过许多路由器互联而成,因此因特网也称为“国际互联网”。计算机网络的运用非常广泛,运用计算机网络可以实现资源信息的共享,如利用计算机网络可以使不拥有大型计算机的用户通过网络使用大型机的打印机、扫描仪、绘图仪等资源;通过计算机网络系统可将分散在各地的计算机中的数据信息收集起来,进行综合分析处理,并把分析结果反馈给相关的各个计算机中,使数据信息得到充分共享。利用计算机网络还可以实现数据通信。通过网络上的文件服务器交换信息和报文、收发电子邮件、相互协同工作等。
2计算机网络信息安全的概述
计算机网络信息安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据信息的保密性、完整性及可使用性受到保护。计算机网络信息安全包括两个方面,即物理层安全和逻辑层安全。物理层安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑层的安全包括信息的完整性、保密性和可用性。计算机网络信息安全就是网络上的信息数据安全。从广义上说,凡是涉及到网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。一般认为,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常运行,网络服务不被中断。从安全属性来看,网络安全包括5个基本要素:a.保密性。指信息不泄露给非授权的用户、实体或过程,或供其利用的特性。b.完整性。指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。c.可用性。是指可被授权实体访问,并按需求使用的特性,即当需要时应能存取所需的信息。d.可控性。指对信息的传播及内容具有控制能力,保障系统依据授权提供服务,使系统任何时候不被非授权人使用,对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等采取防范措施。
3影响计算机网络信息安全的主要因素
3.1缺乏自主的计算机网络和软件核心技术。我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞:CPU芯片、操作系统和数据库、网关软件大多依赖进口。我国计算机网络所使用的网管设备和软件基本上是舶来品,这些因素使我国计算机网络信息的安全性能大大降低,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络信息处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络信息安全处于极脆弱的状态。
3.2缺乏完整的安全评估系统。完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络信息的安全防范能做出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络信息安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络信息系统安全性能的过程。
3.3缺乏制度化的防范机制。不少企事业单位没有从管理制度上建立相应的安全防范机制,在整个运行过程中,缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为(尤其是非法操作)都是因为内部联网电脑和系统管理制度疏于管理而得逞的。同时,政策法规难以适应网络发展的需要,信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点,给侦破和审理网上犯罪案件带来极大困难。
3.4缺乏安全意识。日常人们利用网络主要用于学习、工作和娱乐,对网络信息的安全的认识不够。虽然网络中设置了许多安全保护屏障,但是这些保护措施在很大程度上形同虚设。与此同时,网络经营者和机构用户注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求。
4计算机网络信息安全的防范对策
4.1加强对计算机网络信息安全的管理。计算机安全管理包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。
4.2安装和配置防火墙。安装和配置防火墙是当前一种有效地保护计算机或网络的好办法。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
4.3经常更新软件。为了保护计算机免受来自Internet的侵袭。对计算机中的杀毒软件要经常进行更新。另外,更新Windows操作系统本身也是很有必要,让计算机软件处于最新版本对于计算机安全大有裨益。
4.4增强网络信息安全意识。要增强网络信息安全意识,培养良好的使用习惯,不要轻易下载、使用不了解和存在安全隐患的软件;或浏览一些缺乏可信度的网站(网页),以免个人计算机受到木马病毒的侵入而带来安全隐患。
关键词:网络安全;黑客;策略;漏洞;防护
1绪论
计算机在产生开始相对比较单一,无论是在数据的处理还是在网络方面,都还处于相对低级的阶段。而随着网络技术的发展,计算机的功能也越来越多样,信息数据的处理难度也越来越高。而网络的出现,将以前时间和空间相对独立与分散的信息集中了起来,组建成一个庞大的数据信息系统,为人们提供更加快捷的信息处理和使用方式,它的出现极大的推动了信息化的发展进程。然而,随之带来的信息数据安全问题也越来越突出,各类公开化的网络平台、电商平台等都使非法入侵者有机可乘。网络的入侵不但会对信息资源造成破坏,同时也对整个网络安全的环境带来非常大影响。因此,计算机网络安全问题一直以来都是最为热门的焦点,而随着网络技术的不断发展,安全防范和安全保护也都在不断的进行更新。
2计算机安全定义
国际标准化组织(ISO)将“计算机安全”定义为:“为信息数据处理系统建立和采取的技术及管理的安全保护,保护计算机的硬件、软件数据不会因为偶然和恶意的原因而被破坏、更改和泄露”。上面对计算机安全的定义包含了物理安全和逻辑安全两方面的内容,逻辑安全的内容可理解为我们常说的信息安全,是指对信息数据的保密性、完整性和可用性的保护,而网络安全性的含义是信息数据安全的延伸,即网络安全是对网络信息数据的保密性、完整性与可用性的保护。
3影响网络安全的主要因素
(1)网络系统本身存在的问题当前主流的操作系统均存在这样或那样的网络安全漏洞,如UNIX,WinNT和Windows。黑客们往往就是通过利用这些操作系统本身所存在的一些安全漏洞入侵系统。具体主要体现在以下几个方面:稳定性和可扩充性;网络硬件的配置不协调;缺乏安全策略;而很多Web应用的站点,都在防火墙的配置上无意识地扩大了访问权限,忽略了这些权限可能会被别有用心的人员滥用;访问控制配置太过于复杂,容易导致配置错误,从而让他人有机可乘。(2)来自内部网的安全威胁从很多事实中证明,我们日常中来自企业内部的安全威胁要远远大于来自外部的安全威胁,由于我们的使用者缺乏安全意识,许多应用服务系统对于访问的控制以及安全通信方面考虑不足。而且,一旦系统被设置错误,就非常容易造成损失。由于在管理制度上的不健全,在日常进行的网络管理和网络维护过程中,由于人为的因素造成的安全漏洞,无疑是企业整个网络安全性的最大隐患。同时由于网络管理员以及网络使用者都拥有相应的权限,利用这些权限对网络进行破坏的安全隐患也同样存在。如操作密码的泄露,硬盘上的机密信息被人利用,临时文件夹以及删除在回收站的文件没有被及时清除而被窃取,内部人员或有意或无意的遗忘,给别有用心的人员有机可乘的机会等,都可能使得关系到我们网络安危的安全机制形同虚设。特别是对于一些已经安装了防火墙的网络系统,相对于企业内网用户来讲是一点作用也没有。(3)缺乏网络系统安全性的评估和有效的监管手段及硬件设备的正确使用防范黑客入侵的安全体系基础是有一整套完整准确的安全评估方法。它能对现有及将来需要构建的网络安全防火性能够做出科学、准确地分析评估,并能够保证将来实施的网络在安全策略上的可实现性和可执行性。对网络的安全评估分析就是对网络整体的安全性进行检查,查找其中可能存在的可被黑客或有心者所利用的漏洞。通过对网络系统的安全状况进行评估和分析,对发现的问题提供解决方案和建议,从而提高网络系统的安全性和稳定性。因此网络安全评估分析技术是一种比较行之有效的安全技术。(4)黑客的攻击手段和技术方法也在不断地得到更新,几乎每天都有不同系统出现安全问题。然而我们赖以生存的安全检测工具的更新速度却太慢,大部分情况需要人为的主动出击才能发现以前有些未知的安全问题,这些情况的存在使得它们对新出现的安全问题反应太慢。当安全工具刚发现存在安全问题,并视图努力对某方面安全问题进行更新时,其他的安全问题又出现了,我们的安全防护工具,就像一个救火队员,总是疲于奔命,成为安全问题的追随者。
4确保网络安全的有效防范
那么怎么样才能保证我们的网络有百分百的安全呢?对这个最简单的问题,我们的回答是:不可能。因为到目前为止,还没有一种技术和手段能够完全消除网络安全方面的漏洞。网络的安全实际上是我们实现理想中的安全防范和实际执行之间的一个平衡。而从广泛意义上的网络安全范围来看,网络的安全不仅仅只是技术问题,它更是一个管理问题,包含着各行各业的方方面面。因此我们可以从提高人员素质和提高网络安全技术入手,就目前来看:(1)依据网络安全各项技术要求,建立健全网络操作的安全制度,加强安全教育和安全培训。(2)加强对网络病毒的防范。病毒的传播是通过网络得以实现的,在单机上运行的杀毒产品已经很难彻底清除网络病毒,需要有能够对于局域网络的防杀毒软件。而像企事业单位、政府学校等单位的网络,不但有局域网,同时也有广域网,这就更需要一个能够基于服务器操作系统平台的防病毒软件网关以及能够针对各种桌面操作系统的防病毒软件,来加强处于网络中的计算机的安全。通过采用较好的防病毒产品,能够针对网络中有可能的病毒点进行防护,并通过防病毒软件产品进行多角度、全方位的立体监控,从而构建整个网络的防护体系。(3)正确配置防火墙。防火墙是我们企业安全监管中的一道非常关键壁垒,在防护中通过正确的配置,充分利用防火墙执行既定的访问控制策略,通过策略来允许访问的人或者数据命令进入自己的网络,并将不符合规则的用户和数据拒之门外,最大限度的保障了内部网络的安全。(4)选用正确的入侵检测系统。网络入侵是目前黑客进入网络内部获取资料信息与网络破坏最为常用的一种方式。而如何做好应对入侵或及早发现入侵,是我们安全防护中的重要一环。通过部署入侵检测系统和防护墙及防病毒产品,构建一套完整的主动防护体系,以保证企业信息财产的安全。(5)web应用、互联网接入和系统漏洞等,都可以通过部署web防护墙、Eamil邮件监测、FTP资料审核等,以及漏洞扫描系统,都可以通过部署相应的防护设备或软件进行主动防御。并根据不同的设备或软件系统的报告和日志,进行相应的修补工作,通过及时的修补完善各类漏洞和补丁的分发,将各种漏洞进行完善和消除,为建设更加安全的网络环境提供成熟的方案。(6)计算机IP盗用的问题。计算机的IP是我们企业网络中对设备身份的一种认定,每个IP地址可以和计算机的网卡MAC地址进行绑定。当某IP通过中心交换机访问某个地址或者Internet时,中心交换机就会检查发出请求的IP地址和它所绑定的MAC地址是否相符,如果不相符则拒绝其通过并发出IP广播告警。
5结束语
网络安全与网络的发展息息相关。网络安全是一个系统的工程,不是一朝一夕就能一蹴而就的。对待网络安全问题,不能仅仅靠防火墙、防病毒网关、漏洞监测等设备来进行,还需要用户有安全的防护意识与安全使用习惯,安全防护产品只是载体,关键还是在我们使用的人,建立一个好的、安全的网络体系,既要重视网络安全的设备和产品,同时也应该树立日常计算机网络安全意识和好的使用习惯,将安全危害问题降低到最小,才能逐步形成高效、稳定、安全的网络系统。
参考文献:
[1]Stallings.W.网络安全基础应用与标准.
[2]WilliamStallings.原理与实践(原书第3版).机械工业出版社,2016.
关键词:计算机网络安全;管理体系;网络犯罪
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)29-6517-02
计算机网络的发展是建立在社会经济快速发展的基础上,同时计算机网络也在各方面促进着经济的发展。计算机网络已经在无形中渗透入人们的日常生活中,服务于政府行政管理、市场分析调查、交通管理、城市建设、个人金融业务等社会的方方面面。但是由于计算机网络自身的技术漏洞和人为管理不善使得计算机网络存在着潜在的威胁。尤其是近几年,网络犯罪率不断增加,黑客攻击、盗取信用卡密码、计算机病毒等都影响着社会经济发展和人们日常生活,这就要求我们根据计算机网络中现存的问题,有针对性的构建起完善的计算机网络安全的管理体系,减少网络犯罪的发生,提高计算机网络的安全性。
1 现今计算机网络安全存在的威胁
由于人们对计算机网络安全的防护意识较浅,加之计算机网络的编程语言及程序系统的复杂性,使得大部分计算机网络的使用者忽视了计算机网络的安全防护工作,在构建计算机网络安全管理体系之前,因先了解计算机网络安全存在的威胁,在了解的基础上有针对性的提出有效的防护管理方法。
1.1 计算机病毒
计算机病毒主要是指利用网络漏洞人为的传播不良程序,通过用户点击、下载等方式侵入计算机,这些程序可能会破坏计算机里的软件或硬件设施,很有可能导致用户的资料被删除或者被盗取。近几年来,随着计算机病毒的传播手段的增多和侵入计算机程度的加深,利用计算机病毒盗取个人或企业资料进行非法交易和违法犯罪活动也随之增多,给企业和个人利益造成损失。目前,人们对计算机网络安全防护的认知还停留在基础阶段,主要是利用防火墙或者杀毒软件进行简单的安全防护,但是网络病毒只是计算机网络安全威胁中的一小部分,计算机网络本身也存在这许多技术弱点,其危险性也不只局限于网络当中。
1.2 黑客攻击
黑客攻击指的是一些精通各种编程语言和各类操作系统的人员通过个人或者群体方式恶意侵入政府行政网络、企业管理网络、个人计算机等破坏正常的网络运作、盗取企业机密等。黑客主要针对计算机网络中的漏洞进行攻击,而且黑客的攻击手段隐蔽,很难在事先察觉,在专门破坏网络连接之后,制造大量网络垃圾最终导致网络瘫痪,造成巨大的损失。为了避免黑客攻击,必须要先做好计算机网络安全的防护工作,建立起强大的防护墙,防止黑客入侵计算机网络损坏网络安全。
1.3 钓鱼网站
随着电子商务和购物网站的出现,一种新型的网络诈骗手段即“钓鱼网站”也随着出现,它指的是将一些非法网站伪装成银行及电子商务等网站,或者利用其他网站服务器程序上的漏洞在网页上插入钓鱼网站的连接或代码,截取用户输入的信息、监视用户操作等以此来是盗取用户的银行帐号、密码等私人信息,不法分子则利用这些信息获取利益,或者伪造身份进行违法犯罪活动。最为常见的方式是利用电子邮件,诱骗用户点击连接进入伪造的网站当中,诱导用户输入相关信息从而实施诈骗。这种手段不仅不易被用户识破,警方也很难查找到幕后的网站操纵者,严重危害网络安全。
2 构建计算机网络安全的管理体系
计算机网络安全问题主要是人为恶意破坏,如黑客攻击、病毒传播、钓鱼网站之类的外部因素所导致的计算机硬件系统损坏或网络犯罪活动,因此为了提升计算机网络安全水平,必须从这几方面入手构建计算机网络安全的管理体系。
2.1 加强计算机网络安全防范意识,建立起强大的防护网
计算机网络之所以受到外部威胁,其主要原因是计算机本身硬件设备及软件程序在技术层面存在诸多弱点,如硬件设备的运行缓慢,导致防火墙难以识别顽固木马程序;软件中的恶意插件,如不及时更新软件很有可能导致系统瘫痪。但是由于我国的计算机网络普及较晚,用户对计算机网络的使用也停留在简易的操作阶段,对计算机网络安全防护意识较弱。因此,要维护计算机网络安全,首先应加强公众的防范意识,建立起强大的防护网,减少外部因素对计算机网络的威胁。有关电信部门、网络管理部门应及时更新终端服务器的防护软件,定时检查系统软件存在的漏洞,安装有效的补丁防护计算机网络安全;相关部门应加强计算机网络安全的宣传力度,如地区或政府网络安全管理中心、金融管理等部门应根据企业和个人计算机网络的使用范围加强相应的计算机网络安全管理知识的普及,避免企业和个人私密信息被盗取的情况出现;计算机网络用户也应在平时的计算机网络使用过程中加强网络安全防护意识,及时对计算机硬件设备和软件程序进行更换和更新,防止病毒和木马生成。
2.2 扩充网络管理人员,加大计算机网络监管力度
计算机网络有着开放性、自由性等特点,用户在使用过程中不受地区、时间的限制,可以随时随地在网络信息,而且计算机网络的覆盖面广,内容丰富,网络管理中心难以对庞大的计算机网络信息实行系统分析管理,这更增加了网络安全管理的难度。近几年来,由于网络传播的虚假信息和人为炒作事件的不断增多,对整个社会经济发展和人们的日常生活都造成了影响。因此,网络安全管理中心应扩充网络管理人员,提高管理人员的安全防范意识,加大对计算机网络用户公开的信息及计算机网络操作的监管力度,及时清除网络中的不良信息,建立起有序的、干净的计算机网络。在扩充网络管理人员的同时,应大力加强网络安全管理技术软件的开发,利用先进的管理软件,使得管理人员更加及时有效的监督管理计算机网络安全。
2.3 国家加强立法,规范计算机网络的使用
我国的计算机网络起步较晚,缺少相关法律法规的约束,某些不法分子则利用法律空隙,肆意攻击政府行政机关、企业高层管理中心等网络系统,盗取企业和个人私密资料。在经济快速发展的背景下,利用网络进行经济犯罪的事件逐年递增,这不仅严重损害了社会经济发展,也不利于进一步提高计算机网络服务能力,扩大计算机网络服务范围。因此,国家应加强计算机网络安全的立法,利用法律规范计算机网络的使用,及时控制和审查违法的网络行为,确保计算机网络安全。特别是对利用网络恶意传播虚假信息和进行诈骗、盗取信息等经济犯罪,造成严重社会影响的组织和人员,要加大打击力度,以此稳定社会正常秩序,促进经济快速发展。
在科学技术的快速发展的今天,计算机网络安全关系到国家信息安全和社会经济的正常稳定发展,然而计算机网络安全的形势也在不断变化当中,这就要求我们顺应时代的变化,不断进行科技研究,改进计算机网络安全管理技术;加强整个社会对于计算机网络安全的防范意识;扩充网络管理人员,提高管理人员的基础素质,加大监管力度;完善立法程序,加大网络违法犯罪的打击力度,建立起完善的计算机网络安全管理体系,使得计算机网络更好的为经济建设和社会和谐发展服务。
参考文献:
[1] 刘冬梅.浅析计算机网络安全与防范策略[J].黑龙江科技信息,2010(19).
[2] 胡世铸.浅谈计算机网络安全及防火墙技术[J].电脑知识与技术, 2012(8).
[3] 千一男.关于计算机网络安全风险的分析与防范对策的研究[J]. 电脑知识与技术, 2011(29).
