时间:2024-03-30 17:36:29
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络信息安全概念,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】网络 信息技术 防火墙
1 引言
随着计算机网络信息技术的发展和壮大,信息技术已经引入了我们生活中的方方面面,使得人与人之间的交流变得更为便捷,也对各个行业的发展起到促进作用,比如企业实现了无纸化的办公。事物都有其两面性,在计算机信息技术带来各种积极的影响和变化的同时,也伴随着巨大的安全隐患,尤其是随着黑客技术的发展,计算机网络信息安全问题进入了人们的视野,如何做好防范措施,使得计算机网络信息安全得到提升有着非常重要的现实意义,本文主要对计算机网络信息安全防范的对策进行研究,希望对未砑扑慊网络信息安全提供参考和建议。
2 计算机网络信息技术安全概念
本文从广义和狭义的角度对计算机网络及安全的概念进行阐述。首先是从狭义角度出发,计算机网络技术安全主要指的是防范计算机资源在未被允许的情况下,遭到了窃取和盗用,也可以说是,有关人员既需要保证计算机的正常运转,也要保证计算机资源不会找到破坏和盗取;从广义角度出发,计算机网络信息技术安全主要指的是软件系统的完整性、可靠性、可用性和保密性。
在上述的概念基础上,我们对计算机网络技术安全的特征进行了相关分析。首先,计算机网络系统需要具备可靠性和稳定性,没有可靠性,计算机讲无法实现正常的运行,使得计算机资源失去其使用价值,失去稳定性,计算机将不能实现高效的运行;其次,计算机网络数据应该具备完整性、真实性、可用性和保密性,随着大数据时代的发展,网络上的数据量逐渐庞大,对于这些数据需要由相关的管理人员进行保护,使得数据可以实现安全的传输和保存,实现数据的价值,数据的真实可用是计算机网络信息技术安全的最终目标,使得用户的指令得到有效的回应,数据是用户的个人隐私,因此,数据需要具备保密性,防止被非法盗取。
3 维护计算机网络信息安全的必要性分析
(1)我国与发达国家的信息化技术依然存在很大的差距,先进的网络技术和软件大多来源于发达国家。随着信息全球化的发展,这种外来技术的引入对我国国内网络资源是一种很大的安全隐患,为了保证国家和人民的利益,对网络信息技术的发展和安全的保障势在必行。
(2)保障网络信息的安全有利于维护社会稳定,是我国建设社会主义和谐社会的重要组成部分。建立和谐的、安全的网络可以保证人民的财产和安全不受侵害,对社会的有序发展有重要的现实意义。比如当前人们广泛使用的手机,如果没有安全的保障措施,很多犯罪人员就可以通过手机和网络对人们进行网络诈骗等危害公众安全的行为,对人民的财产和安全形成威胁。
(3)网络技术不仅影响到个人,还对企业、事业部门等都有广泛的影响,网络信息技术的安全保障,是企业和国家能够正常运行的基础,一旦网络安全得不到保障,就会严重影响我国的经济发展和国家安全。
4 计算机网络信息安全的影响因素
4.1 内部影响因素
内部影响因素主要包括软硬件系统内部的缺陷和漏洞、软件设计不合理、人工管理不到位、用户自身的失误等方面。其中,对于有漏洞的软硬件系统,在用户进行操作市时不会留下操作相关的痕迹,不能实现硬件系统的存储,从而形成了巨大的隐患;其次由于有些软件系统设计的不合理,导致用户在使用软件时可能会出现信息的泄露问题,对私人隐私造成极大的威胁;另外,系统管理人员没有重视操作规范性,为了追求一时的便利,简化了操作管理的过程,形成了极大的安全隐患;最后,有些用户缺乏网络安全保护意思,通过不规范的操作或是登录非法网站,造成个人信息的泄露或是使得病毒的入侵计算机系统,对网络信息安全造成极大的威胁。
4.2 外部影响因素
外部影响因素主要包含网络黑客的入侵、病毒的入侵等。其中,网络黑客通过自己高超的信息技术水平对计算机网络系统进行入侵,他们对于计算机系统有着深刻的了解,他们可以窃取用户的信息,并通过用户身份的登录实现信息的盗窃;其次,计算机病毒入侵作为目前影响计算机信息技术安全的最为常见的因素,该病毒鸡油更新速度快、繁殖性强、传播速度快、影响范围广等特点,计算机病毒的传播主要依靠计算机网络的访问和信息接收,截取信息传播中的数据,并对计算机系统进行破坏。
5 计算机网络信息安全防范的应对策略
5.1 防火墙技术
防火墙技术是维护网络安全的首要之选,具有高防护、低成本的特点,不仅可以保障网络的安全,还具备经济实用的优点。
5.2 发挥人的因素
一支具有较高水准的计算机网络信息安全管理队伍,可以通过其高超的技术,实现计算机网络信息的安全问题,同时还可以使计算机网络信息安全的管理质量和水平都得到进一步的提升。
5.3 病毒防范
由于计算机病毒更新速度快、繁殖能力强、传播范围广,是计算机网络信息安全的巨大隐患,因此提高计算机病毒的防范可以有效地实现对计算机病毒的查杀。
5.4 加密方式
我们还可以借助信息加密的方式实现对计算机数据的保护,防止数据的流失和遗漏,主要方式包括链路加密、断电加密等。
5.5 做好备份
对于重要的数据信息要做好备份工作,以防计算机网络信息受到威胁是可以减少数据流失的危害。
5.6 安全防范宣传
提高用户对于计算机网络信息安全的防范意识,可以有效的避免操作失误带来的安全事故,维护了计算机的网络信息安全。
6 结论
总之,随着网络技术的发展和壮大,计算机网络信息安全越来越受到人们的重视,对于一些大的企事业单位,数据的安全更是关乎其未来的发展命运。因此,提高计算机网络信息安全的防范,有利于我国计算机网络技术的发展和创新。
参考文献
[1]唐翔.计算机网络安全技术分析[J].科技传播,2013(07):125-126.
[2]赵真.浅析计算机网络的安全问题及防护策略[J].上海工程技术大学教育研究,2010(03):213-214.
[3]董洁.网络信息安全面临的问题及对策[J].赤峰学院学报:自然科学版,2011(03):389-3.90.
[4]刘海峰,尹蕾.计算机网络信息安全影响因素及防范浅析[J].信息安全与技术,2013(08).
[5]王远康.计算机网络信息安全及应对策略[J].科技传播,2013(21).
作者单位
[关键词] 企业网络信息安全信息保障
计算机网络的多样性、终端分布不均匀性和网络的开放性、互连性使联入网络的计算机系统很容易受到黑客、恶意软件和非法授权的入侵和攻击,信息系统中的存储数据暴露无遗,从而使用户信息资源的安全和保密受到严重威胁。目前互联网使用TCP/IP协议的设计原则,只实现简单的互联功能,所有复杂的数据处理都留给终端承担,这是互联网成功的因素,但它也暴露出数据在网上传输的机密性受到威胁,任何人都可以通过监听的方法去获得经过自己网络传输的数据。在目前不断发生互联网安全事故的时候,对互联网的安全状况进行研究与分析已迫在眉睫。
一、 国外企业信息安全现状
调查显示,欧美等国在网络安全建设投入的资金占网络建设资金总额的10%左右,而日韩两国则是8%。从国际范围来看,美国等西方国家网络基础设施的建设比中国完善,网络安全建设的起步时间也比中国早,因此发生的网络攻击、盗窃和犯罪问题也比国内严重,这也致使这些国家的企业对网络安全问题有更加全面的认识和足够的重视,但纵观全世界范围,企业的网络安全建设步伐仍然跟不上企业发展步伐和安全危害的升级速度。
国外信息安全现状具有两个特点:
(1)各行业的企业越来越认识到IT安全的重要性,并且意识到安全的必要性,并且把它作为企业的一项重要工作之一。
(2)企业对于网络安全的资金投入与网络建设的资金投入按比例增长,而且各项指标均明显高于国内水平。
二、 国内企业网络信息安全现状分析
2005年全国各行业受众对网络安全技术的应用状况数据显示,在各类网络安全技术使用中,“防火墙”的使用率最高(占76.5%),其次为“防病毒软件”的应用(占53.1%)。2005年较2004年相比加大了其他网络安全技术的投入,“物理隔离”、“路由器ACL”等技术已经得到了应用。防火墙的使用比例较高主要是因为它价格比较便宜、易安装,并可在线升级等特点。值得注意的是,2005年企事业单位对“使用用户名和密码登陆系统”、“业务网和互联网进行物理隔离”等措施非常重视。其他防范措施的使用也比2004年都提高了一定的比例,对网络安全和信息的保护意识也越来越高。生物识别技术、虚拟专用网络及数字签名证书的使用率较低,有相当一部分人不清楚这些技术,还需要一些时间才能得到市场的认可。
根据调查显示,我国在网络安全建设投入的资金还不到网络建设资金总额的1%,大幅低于欧美和日韩等国。我国目前以中小型企业占多数,而中小型企业由于资金预算有限,基本上只注重有直接利益回报的投资项目,对于网络安全这种看不到实在回馈的资金投入方式普遍表现出不积极态度。另外,企业经营者对于安全问题经常会抱有侥幸的心理,加上缺少专门的技术人员和专业指导,致使国内企业目前的网络安全建设情况参差不齐,普遍处于不容乐观的状况。
三、 企业网络信息系统安全对策分析
“三分技术,七分管理”是技术与管理策略在整个信息安全保障策略中各自重要性的体现,没有完善的管理,技术就是再先进,也是无济于事的。以往传统的网络安全解决方案是某一种信息安全产品的某一方面的应用方案,只能应对网络中存在的某一方面的信息安全问题。中国企业网络的信息安全建设中经常存在这样一种不正常的现象,就是企业的整体安全意识普遍不强,信息安全措施单一,无法抵御综合的安全攻击。随着上述网络安全问题的日益突显,国内网络的安全需求也日益提高,这种单一的解决方案就成为了信息安全建设发展的瓶颈。因此应对企业网络做到全方位的立体防护,立体化的解决方案才能真正解决企业网络的安全问题,立体化是未来企业网络安全解决方案的趋势,而信息保障这一思想就是这一趋势的体现。信息保障是最近几年西方一些计算机科学及信息安全专家提出的与信息安全有关的新概念,也是信息安全领域一个最新的发展方向。
信息保障是信息安全发展的新阶段,用保障(Assurance)来取代平时我们用的安全一词,不仅仅是体现了信息安全理论发展到了一个新阶段,更是信息安全理念的一种提升与转变。人们开始认识到安全的概念已经不局限于信息的保护,人们需要的是对整个信息和信息系统的保护和防御,包括了对信息的保护、检测、反应和恢复能力。为了保障信息安全,除了要进行信息的安全保护,还应该重视提高安全预警能力、系统的入侵检测能力,系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术,信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念。
所以一个全方位的企业网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,增加了恶意攻击的难度,并增加审核信息的数量,同时利用这些审核信息还可以跟踪入侵者。
参考文献:
[1]付正:安全――我们共同的责任[J].计算机世界,2006,(19)
[2]李理:解剖您身边的安全[N].中国计算机报,2006-4-13
关键词:大数据网络信息安全数据分析
中图分类号:TP309.7 文献标识码:A 文章编号:1007-9416(2016)05-0000-00
1认识大数据
在互联网高速发展、信息大爆炸、行业不断细化的今天,各种数据正以几何基数增长;同时人们已经意识到数据已经成为一种新的资源[1],以何种手段将这些数据合理、高效、充分的加以利用成为亟待解决的问题。随着云计算、物联网等新兴技术被广泛应用,大数据这一概念应运而生。虽然现在对其还没有确切的定义,但大数据时代的来临已是不争的事实。著名的咨询公司麦肯锡(Mckensey and Company)在2011年5月EMC World年度大会上首次提出了“大数据”这个概念,“大数据指的是大小超出常规的数据库工具获取、存储、管理和分析能力的数据集。尺寸并无主观度量。”,并指出大数据将渗透到每一个行业和领域,且将成为生产元素的重要组成部分。维基百科对大数据做的定义是:大数据是指利用常用软件工具捕获、管理和处理数据所耗时间超过可容忍时间的数据集[2]。
由“数据”变成“大数据”虽然只有一字之差,含义和处理方式有本质的区别。大数据不仅仅是在数量级别和质量上有所提升,它的处理方式更是不同。需要专业的思想和手段才能从大量的、繁琐的、无序的数据中扑捉和分析数据的变化趋势,从而支撑对未来发展的预测和规划。Hadoop是目前比较主流的大数据处理平台,它是Doug Cutting模仿GFS,MapReduce实现的。Hadoop有着完整的体系,包括数据库、数据处理、文件系统等。除此之外,还有一些工具和处理平台,有的已经投入使用,但多数都是基于Hadoop的[3]。
2网络信息安全的重要性
信息、物资、能源已经成为人类生存与发展的三大支柱,信息技术的快速发展为人类社会带来了深刻的变革。我国在网络化建设方面取得了令人瞩目的成就,计算机网络已经深入到国家的政治、经济、文化和国防建设等各个领域,遍布每个人的工作和生活,它让世界变得更紧密。随着计算机网络的广泛应用,网络信息安全的重要性尤为突出。
在2014年2月27日中央网络安全和信息化领导小组第一次会议上,主席对网络信息安全做了重要讲话;同年11月24日―30日,以“共建网络安全,共享网络文明”为主题举行了国家首届网络安全宣传周;今年6月1日由中央网信办等十部门共同主办了第二届国家网络安全宣传周,并设立了启动日、金融日、电信日、政务日、科技日、法治日、青少年日等七个主题日。 可见网络信息安全已经被摆在国家战略的层面。
我国网络信息安全正面临着诸多问题。首先网络系统所使用的软、硬件绝大多数来自国外,不但面临着价格歧视,其中可能还隐藏着后门存在重大安全隐患。一旦发生重大情况,那些隐藏在电脑芯片和操作软件中的后门就有可能在某种秘密指令下激活,造成国内电脑网络、电信系统瘫痪。我国电脑制造业对许多硬件核心部件的研发、生产能力较薄弱,关键部件的生产完全依赖进口;其次国内网络使用比较频繁但安全意识不强,包括很多敏感部门。密码简单而缺乏保密意识、嫌麻烦对高防护措施的电脑弃用、遭到恶意攻击后碍于面子或怕承担责任不予上报;还有境外情报机构长时间的有组织、有计划、有针对性的向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。核心网络设备均不在境内,如DNS(域名解析服务器)根服务器13台都在美国的控制下对我国网络信息安全存在隐患。
3以大数据应对网络信息安全
3.1 利用大数据技术应对网络核心设备缺失的安全威胁
利用大数据技术,对核心网络设备进行模拟建立应急系统拜托限制,同时也可以防御境外对我国网络行为的探测。
3.2 利用大数据技术防护网站攻击
利用大数据为网站提供加速、缓存、数据分析等功能。对庞大网站日志进行数据分析,不但可以找到网站漏洞,还可以发现各网站受攻击的特点,同时可进一步溯源定位网站攻击的来源、获取黑客信息。大大提高网站信息的安全性。
3.3利用大数据技术防范终端病毒
利用大数据资源,对个人终端电脑进行分析定位找出特种木马的分布、感染的目标群及传播规律和途径;对企业内部网络进行全流量镜像侦听,对所有网络访问请求实现大数据存储,并对企业内部网络访问行为进行建模、关联分析及可视化,自动发现异常的网络访问请求行为,溯源并定位APT攻击过程。
3.4利用大数据技术建立防护APT平台
利用大数据将政府各部门数据库、网站进行统一防护,检查安全事件的发生频率、攻击方式并进行大数据分析,形成国家统一的APT防护平台。
4结语
大数据技术对网络信息安全性带来创新、突破的同时也蕴藏了很多风险和不确定性。首先大数据技术的不完善导致会有信息漏洞,其次大数据技术可以防护也可以攻击如何更合理的设计制度让它使用得当,还有大数据的前提是数据的聚合,这样更容易造成数据的泄露和不安全。等等这些问题都需要继续研究探索。
参考文献
[1] 于艳华,宋美娜.大数据[J].中兴通讯技术,2013(1):57-60.
【关键词】DCS;信息安全
0 引言
DCS系统在我国工控行业应用广泛,一旦系统信息安全出现漏洞,将会对我国的工业生产和经济造成极大的破坏。伴随着计算机技术和网络技术的不断发展,信息化和工业化融合的不断推进,DCS系统越来越多的采用通用硬件、通用软件、通用协议,使得系统在开放的同时,也减弱了系统与外界的隔离。DCS系统的安全隐患问题日益严峻,系统中任何一点受到攻击都有可能导致整个系统的瘫痪。
2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。本文以DCS系统为分析基础,介绍了一种全新的信息安全设计概念,在不改变系统架构的前提下解决当前传统DCS系统在信息安全方面的“薄弱环节”。
1 传统DCS系统的“薄弱环节”分析
下图为传统的双层网络DCS系统架构
传统的DCS系统的“薄弱环节”主要包括:
1.1 通信协议漏洞
TCP/IP协议和OPC协议等通用协议在DCS系统网络中被广泛地应用,随之而来的通信协议漏洞问题也日益突出。例如,OPC Classic协议(OPCDA,OPCHAD和OPCA&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击。而且OPC通讯采用不固定的端口号,目前传统的IT防火墙几乎无法确保其安全性。
1.2 操作系统漏洞
目前大多数DCS系统的工程师站、操作员站、HMI都是基于Windows平台的,在系统开车后,为保证过程控制系统的相对独立性,同时兼顾到系统的稳定运行,将不会对Windows平台继续安装任何补丁。这样势必存在的问题是,系统不加装补丁就存在被攻击的可能,从而埋下安全隐患。
1.3 应用软件漏洞
DCS系统中安装的应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。某些别有用心的人员很有可能会利用一些应用软件的安全漏洞获取DCS系统的控制权限从而进行破坏、获利等非法活动。
1.4 安全策略和管理流程漏洞
为了更好的满足系统的可用性而牺牲安全,是很多DCS系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给DCS系统信息安全带来了一定的威胁。例如DCS系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。
1.5 杀毒软件漏洞
为了确保应用软件的可用性,许多DCS系统通常不会安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的经常更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,导致每年都会爆发大规模的病毒攻击,特别是新病毒。
2 新概念设计方案
针对传统DCS系统在信息安全方面的“薄弱环节”,提出一种全新概念的解决方案。以典型的二层网络架构为例:
2.1 过程控制网络采用POWERLINK现场总线方案替换传统的工业以太网。
该方案的特点:
1)基于标准硬件,完全兼容标准以太网;
2)确定性的实时通讯,在技术方面采用了SCNM时间槽通信管理机制,由此能够准确预测数据通讯的时间,从而实现了实时通讯的确定性;
3)适用系统广泛,POWERLINK适用于PLC,传感器,I/O模块,运动控制,安全控制,安全传感器、执行机构以及HMI系统等。
2.2 过程监控网络采用光纤通道交换机替换传统的以太网交换机。
该方案的特点:
1)采用光纤通道协议;
2)高数据传输速率(800和1600MB/S);
3)高带宽低延迟(8Gbps/16Gbps);
4)可靠性传输误码率
2.3 采用国产操作系统:用国产操作系统(中标麒麟、Deepin等)替代国外操作系统能够极大提高信息安全,倪光南院士说过“国产操作系统最重要的优势是安全”
2.4 工程师站、操作员站中专用软件
1)安装应用程序白名单软件,只允许经过授权和安全评估的软件运行;
2)工程师、操作员站中专用软件进行权限管理,设置登录密码,敏感动作例如下装等设置口令。避免使用默认口令和弱口令,并且定期更新。
2.5 安全策略
1)工程师站、操作员站、服务器等主机拆除或禁用USB、光驱、无线等接口;
2)静态存储的重要数据进行加密存储;
3)动态传输的重要数据进行加密传输;
4)关键业务数据定期备份;
5)采用端口绑定技术,使交换机各应用端口与连接设备一一绑定,未进行绑定的设备交换机不识别,无法接入到网络中来。交换机上闲置的物理端口通过管理软件给予关闭;
6)禁止HTTP、FTP、Telnet等高风险通用网络服务;
7)禁止访问方在远程访问期间进行非法操作;
8)访问日志、操作日志等备份并能够追踪定位非授权访问行为;
9)通过工业防火墙、工业网闸等防护设备对控制网络安全区域之间进行逻辑隔离;
10)信息安全审计,对系统行为、应用程序活动、用(下转第69页)(上接第20页)户活动等进行安全审计从而发现系统漏洞、入侵行为等危害系统安全的隐患或行为;
11)设置镜像端口,对网络数据和网络流量进行监控;
12)网络攻击和异常行为识别、告警、记录;
13)发现、报告并处理包括木马病毒、端口扫描、暴力破解、异常流量、异常指令、伪造协议包等。
2.6 杀毒软件专设计算机
设置专用电脑用于安装杀毒软件,该计算机不与DCS系统连接,外部数据需经过杀毒软件扫描确认后方可拷贝到工程师站主机中。
2.7 嵌入式操作系y和芯片固件
采用国产嵌入式操作系统,例如:DeltaSystem和国产龙芯芯片替代国外的相关产品,从而避免国外厂商预留的后门和系统漏洞。
3 结论与展望
本文通过对传统DCS系统信息安全“薄弱环节”进行分析,给出了一种全新的设计方案。该方案在不改变传统架构的基础上,针对传统DCS系统的“薄弱环节”给出相应的设计方法,为DCS系统信息安全设计提供一条新的设计思路。
受到设备成本、国产设备性能等制约,本方案还处在概念阶段。期待不久的将来,随着我国工业水平的不断提升,方案的不断完善,能够真正应用到DCS系统,为DCS系统信息安全发挥其应有的作用。
【参考文献】
关键词:网络信息安全 网络信息隐患 网络信息防护
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)06-0198-01
在信息致胜的当前,作为信息重要载体的计算机网络,存在着极大的安全隐患,如不能很好的保证网络信息安全,将会造成严重的损失。因此,分析出影响网络安全的原因,找到解决隐患的办法,让网络信息更加安全、顺畅,已成为当前亟待解决的问题。
1 计算机网络信息安全的概念及意义
网络信息安全是一门涉及到网络技术、通讯技术、计算机科学、密码技术等多种学科的综合概念,是指计算机网络系统中的数据、硬件、程序等不会因为自然或人为的原因而遭到篡改、泄露、破坏,并且防止非授权的访问或使用,系统可以保持服务的连续性,以及能够可靠的运行。对个人而言,人们希望自己的个人信息,如个人资料、行程等有关隐私不被泄露,网络信息安全对于个人而言是一道隐私的防护网;对于企业单位而言,其在网络上的沟通信息和有关企业核心技术等商业机密一旦遭到攻击和窃取,将直接影响企业的发展;而对于国家需要保密的部门来说,他们的目标是阻挡一切有威胁的信息并防止信息外泄,在这时网络信息安全关系到国防事业,意义更为重大。
网络信息安全问题是全社会都关注的热点话题,对于社会各个层面的发展均有重大意义,所以,我们要从中发现隐患,解决问题。
2 计算机网络信息安全面临的隐患
2.1 自然隐患
计算机系统本身是一个电子系统,极其容易受到自然界的影响,例如温度、湿度、地表震动、冲击等都会影响到计算机的正常运行及网络信息的保存、传播,然而在当前,我们在使用计算机的场合并未普及防火、防震、防电磁泄露等严密措施,对这方面的安全防护意识较差,所以计算机系统在遭受到自然突发的影响时,通常不能很好的有效保护系统安全。
2.2 计算机病毒侵入
计算机病毒是日常生活中用户最常遇见的网络信息安全隐患,具有传染性、潜伏性、可触发性、破坏性等特点,通过复制、传送、运行达到病毒的广泛传播,存储设备、网络都是病毒传播的主要途径。计算机一旦感染上病毒,轻则运行迟缓,影响信息传播;重则破坏文件、造成信息丢失、删减,或直接导致计算机硬盘系统崩溃。近些年我们遇到的网络病毒例如蠕虫病毒、“熊猫烧香”病毒等等,均在当时掀起一场网络信息安全风暴,造成了严重恐慌。
2.3 黑客攻击
这种人为的恶意攻击是网络信息面临的最大威胁,主要分为主动攻击和被动攻击。主动攻击是网络黑客运用各种技术破坏信息传播的有效性和完整性,被动传播是在不影响计算机网络正常运作下,将信息截获、盗取、窃听,修改网络正常运作的相关信息,最终造成系统瘫痪。
2.4 用户不正当操作
计算机网络系统是严密精确的操作系统,有时细微的错误操作即会引发一系列的错误发生。用户在操作的过程中,在安全意识缺失的情况下,极易在不经意间泄露自己的个人信息,或者由于某一项不正确操作,导致信息泄露甚至系统破坏。
3 计算机网络信息安全防护相关策略
3.1 设置口令
这是我们在使用计算机时最基本、最广泛的安全措施,通过设置口令限制访问,防止黑客和病毒的入侵。它的原理就是只有通过正确口令的输入,才能进行正常访问,所以在维护计算机网络信息安全的第一步可以为其设置口令,并且在设置完成后将口令进行不定期的更换,可以达到更加可靠地安全防护效果。
3.2 安全加密,加强账号安全设置
加密技术也是维护计算机网络安全系统的重要手段,通过加密算法,将明文转换为无意义的加密文,阻止非法用户入侵获取原始信息,确保原始信息的保密性。我们在运用原始信息时需要解密,加密和解密称之为密码算法,这种保密的运作方法不断发展,根据不同需要推出不同的加密方法技术,更有利于保护用户信息的安全。除此之外,相关用户账号例如邮件账号、登陆账号的设置也是保护我们信息安全的保障,我们在进行设置时尽量保证其复杂性,避免设置相同或类似的账号,并且不定期进行检查,避免黑客破解。
3.3 杀毒软件和防火墙的应用
这一项技术是我们日常生活中运用最多的安全防护措施。防火墙通过控制网络之间来访,防止外部用户以不正常方式进入到网络系统中,保护内部网络操作环境。但是网络防火墙有不能防范恶意破坏、病毒的局限性,所以通常与杀毒软件配套使用,杀毒软件是我们使用最为广泛的安全技术,主要针对各类病毒的入侵、传播,一旦发现及时查杀,并且效抵御黑客攻击和木马病毒,杀毒软件亦应及时更新升级,以应对更新型的安全隐患。
3.4 入侵检测系统的有效应用
随着网络安全技术的发展,入侵检测系统(IDS)是最新应用于网络安全系统防护中的防范技术,通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入企图,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。该种检测技术分为误用检测模型和异常检测模型。现今,这种检测系统能够给予更高的可靠性,所以,纵贯立体网络、实现多层防御的入侵检测技术在未来必将得到大力推广和发展。
3.5 网络安全防护系统的创建和完善
随着经济发展和科学技术的进步,我们对于信息安全的需求也越来越高,信息安全占据主导发展地位,网络安全是一个综合性课题,我们需不断接受新的挑战,在现有的安全防护措施、技术基础上不断更新、通过多种渠道多种学科的交融借鉴,来满足更深层次的安全防护需要,综合各项防护策略,取其精华,发掘和创造出更多有效措施和技术手段,建立起更加完善的安全防护系统,保护我们最珍贵的信息资源,让信息在安全的网络环境下创造出应有的价值。
参考文献
关键词:信息化;漏洞;信息安全
中图分类号:R197 文献标识码:A 文章编号:1674-1723(2013)03-0221-02
MIS(Management Information System,管理信息系统),是一个由人、计算机及其他设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。它是一门新兴的科学,其主要任务是最大限度地利用现代计算机及网络通讯技术加强企业信息管理,通过对企业拥有的人力、物力、财力、设备、技术等资源的调查了解,建立正确的数据,加工处理并编制成各种信息资料及时提供给管理人员,以便进行正确的决策,不断提高企业的管理水平和经济效益。目前,企业的计算机网络已成为企业进行技术改造及提高企业管理水平的重要手段。
图1是我公司现有MIS网络的拓扑图,此网络为我公司MIS内网,包含了集团公司至我公司总部一期二期的所有网络
设备。
对于电力行业的企业来说,其信息化程度和水平日益提高,生产,营销,财务等对于信息化的依赖程度也越来越高。但由于网络和主机存在各种各样的漏洞,而人作为使用计算机的主体,也会出现很多疏忽,这样就使得企业的信息安全尤为重要。本文将从信息安全的基本概念和电力企业的信息安全解决方案两个方面来阐述。
一、信息安全的基本概念
1.信息安全的基本要素。
(1)机密性:确保信息不暴露给未授权的实体或进程。
(2)完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
(3)可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
(4)可控性:可以控制授权范围内的信息流向及行为方式。
(5)可审查性:对出现的网络安全问题提供调查的依据和手段。
2.信息安全模型。
3.信息安全的层次。
4.主机网络安全系统体系结构。
二、企业的信息安全分析及解决方案
1.企业的网络安全风险分析。
在网络安全方面考虑,可以划分成5个层次,即管理层、应用层、系统层、网络层和物理层。
(1)在物理层,出现的安全问题有:设备防盗,防毁;链路老化,人为破坏,被动物咬断等;网络设备自身故障;停电导致网络设备无法工作;机房的电磁辐射。
(2)在网络层,出现的安全问题有:网络拓扑的结构风险;非法用户对服务器的安全威胁;内部局域网带来的安全威胁。
(3)在系统层,会有以下安全问题:操作系统安全漏洞;病毒程序的传播;文件/用户权限设置缺陷;密码设置过于简单或没有密码;恶意代码(特洛依木马等)。
(4)在应用层,出现的安全问题有:应用服务器的安全;telnet的安全性;网络管理协议(SNMP);应用层的身份识别。
(5)在管理层,会有下列安全问题:内部人员信息泄露风险;机房出入没有限制;内部工作人员因误操作而带来的安全风险;内部员工未经允许在内网做攻击测试;未制定网络安全规范或规范有缺陷。
2.企业网络安全的实现。
信息安全技术有防火墙技术、入侵检测、防病毒技术、CA认证技术、漏洞评估技术、vpn接入技术、备份/恢复技术等。
(1)防火墙。推荐使用状态监测防火墙。这种防火墙具有非常好的安全特性,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。
(2)入侵检测。监测并分析用户和系统的活动;核查系统的配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反策略的用户活动。
(3)防病毒。在企业内部网中,应该使用企业级的防病毒软件,这种防病毒软件采用c/s方式,主一级服务器连接在外网上更新病毒特征码,然后传到一级服务器,一级服务器再将定义码分发到二级服务器或者直接分发到客户端,以次类推。在internet的工作站不能直接连接外网,,用这种办法进行病毒定义的升级是最好的方法。
同时,功能强大的防病毒服务器,还可以扫描internet内所有的子网,检查子网内的计算机是否安装了客户端,如果没有安装,可以提醒其安装客户端。同时通过采集客户端的日志,日志分析软件(比如symantec的sesa)可以分析病毒的发作情况,得到病毒发作种类的排名和受感染计算机的排名。从而可以有针对性的作出及时有效的反应。
(4)PKI技术。安全基础设施能为所有的应用程序和设备提供统一、规范的安全服务,就像“电力”一样,通过一个接入点,在任何地方都可以使用,而不必关心它是如何产生的。公钥基础设施(PKI)是一个用公钥的概念与技术来实现,并提供安全服务的具有普遍适用性的安全基础设施。
智能变电站的建设是国家电网为了响应“国家十二五规划”对“加快建设资源节约型、环境友好型社会”的发展要求。因此,我们就应不断的加强智能变电站的建设,进而不断的研究智能变电站建设的信息安全管理方法,以此来有效的保障智能变电站的信息安全。而对智能变电站的建设,不仅要求其占地面积少、检修维护成本低,而且还要求其具有一定的数字化特点,进而能够实时的调整电网的运行方式,进而有效的降低电能的损耗,从而有效的促进国家建设“资源节约型”社会目标的完成。
1 智能变电站的概念和系统分析
通过对智能变电站概念和系统分析的认识与了解,我们可更高效的研究智能变电站的信息安全管理办法,进而不断的降低变电站电能的损耗,以此来有效的节约用电资源。下面,就针对智能变电站的概念和系统分析展开具体的分析与讨论。
1.1 智能变电站的概念及架构分析
随着数字化变电站的不断发展,其就逐渐发展成为了智能变电站。因此,智能变电站主要就是在数字化变电站的基础上而建立的,进而再结合相应的智能电网的需求,以此来有效的对变电站自动化技术进行充实,进而有效的实现变电站的智能化功能。其中,智能变电站在运行的过程中主要是以高速的网络信息平台为一定的信息传输基础,进而自行的完成相应的信息采集、测量以及控制和保护等功能,以此来有效的实现对用电量的控制和调节功能,进而不断的降低电能的损耗,以此来有效的节约电能资源。而智能变电站的体系结构主要可分为三层,即:站控层、间隔层和过程层。因此,智能变电站的体系结构就具有分层分布式的特点。
1.2 智能变电站的信息系统分析
智能变电站可有效的对电网的运行数据进行采集,而信息系统在智能变电站中的运用,可有效的提高数据的采集效率,进而不断的对数据进行分析和处理。其中,智能变电站的信息系统主要特征有:信息化、数字化、自动化以及互动化和整合资源等几大特征,进而不断的对电网的数据进行收集整合和处理,以此来有效的降低电能的损耗,从而不断的降低电能资源。
2 智能变电站信息安全管理体系的构建
通过对智能变电站信息安全管理体系构建的认识与了解,我们可更高效的构建智能变电站的信息安全管理体系,进而不断的保护电网所传输的数据。下面,就针对智能变电站信息安全管理体系的构建展开具体的分析与讨论。
2.1 信息安全管理体系的内容和要求
2.1.1 信息安全管理体系的要求
随着电网规模的不断增大,建立一定的智能变电站的信息安全管理体系,对于提高员工的信息安全意识以及不断的提升变电站信息安全管理水平都具有至关重要的作用。因此,我们就应不断的构建智能变电站的信息安全管理体系,进而不断的增强电网组织抵御灾难性事件的能力,从而有效的提高信息管理工作的安全性和可靠性。
2.1.2 信息安全管理体系的内容
为了有效的构建智能变电站的信息安全体系,我们就应首先确定信息安全管理体系的适用范围,进而依据有关信息安全技术与管理标准,对信息系统以及数据传输的真实性与可靠性进行评估,从而有效的降低资产存在的风险。此外,我们还应不断的构建相应的信息安全管理框架,进而当出现一定的信息安全事故时,我们可及时对其进行解决,
2.2 智能变电站的信息安全管理体系的构建
2.2.1 基本原则
智能变电站信息安全管理体系构建的主要目的就是为了有效的确保电网与信息系统的安全稳定运行,进而不断的确保网络信息系统的可控性以及能控性,进而有效的提升网络信息安全系统的水平。因此,在构建智能变电站的信息安全管理体系时,我们就应遵循相应的原则,即:遵循相应的信息系统安全登记保护制度,针对不同的业务类型,我们应进行安全区域的划分,以此来有效的对电网的信息安全进行保护。
2.2.2 安全职责
在构建智能变电站的信息安全管理体系时,不仅要遵循一定的构建原则,而且还应遵循一定的安全原则,进而才能有效的加强对电网的信息安全管理。因此,在构建相应的智能变电站的信息安全管理时,我们应首先不断的落实网络与信息系统有关的法规和政策,进而制定相应的电力二次管理制度,以此来有效的对智能变电站的信息系统的全过程进行监督与检查,进而不断的降低信息安全事故发生的风险。此外,相应的业务应用部门还应不断的制定相应的安全防护方案,进而当电网出现相应的事故时,可对其进行及时的维护和运行,以此来有效的促进电网的正常运行,进而不断的满足人们的用电需求。
2.2.3 技术措施
为了有效的提高电网运行的可靠性,我们就应采取相应的技术措施,以此来有效的提高电网运行的高效性。因此,我们就应设置相应的防盗监控报警系统或安排专人进行值守,以此来有效的控制电网运行机房内的温度和湿度,从而有效的保证电网的正常运行。此外,为了有效的提高电网信息安全性,我们还应采取部署防火墙的措施,来加强对病毒的防范,进而不断的提高电网运行的可靠性。此外,我们还可不断的深化信息内外网边界的安全防护,进而有效的提高电网的隔离性能和效率。为了有效的增强电网信息的安全性,我们还可不断的加强信息内网远程接入边界的安全防护,进而不断的提高信息的安全性,以此来有效的促进电网的正常运行,从而有效的满足人们的用电需求。
关键词:电子政务;信息安全;安全视图
中图分类号:TP311文献标识码:A 文章编号:1009-3044(2008)25-1417-03
Three Dimension Multi-view Structure E-government Security System Model
LIU Ying
(Computer Sciences School, Panzhihua University, Panzhihua 617000, China)
Abstract: Combining with space-time characteristics, the paper used method of software architecture in software engineering and proposed a security system model for E-government which has multi-view 3D layout. It attempted to provide a conceptual framework for analysis and design ofsecurity system for E-government.
Key words: e-government; information security; safety view
1 引言
电子政务是基于互联网的面向政府机关、企业以及社会公众的信息服务和信息处理系统,它是一种集通信、计算机和信息处理为一体的复杂信息系统,其安全问题涉及的内容非常广泛,包括物理安全、网络安全、数据安全、信息内容安全和信息基础设施安全等多个方面。网络管理领域的经验教训表明,单从局部的对象和信息环境来考虑复杂信息系统的安全问题是远远不够的,而应该从体系结构的层面上全面而系统地加以研究[1]。
安全体系结构理论就是要从整体上解决信息系统的安全问题,但现有的安全体系结构模型,对信息系统的时间和空间特性考虑不足,本文结合信息安全的时空特性[2],利用软件工程领域关于软件体系结构的研究方法,提出了一种三维多视图结构的电子政务安全体系模型,试图为电子政务安全体系分析和设计提供了一个概念框架。
2 信息安全的时空特性
Internet是一个开放的复杂巨系统[3],而信息安全保障体系也是一个复杂巨系统[4],复杂巨系统中的复杂主要体现在:一是子系统的种类繁多;二是系统的层次复杂;三是子系统之间相互联系与作用很强。因此,信息安全的研究非常复杂,特别是面对现在的复杂网络环境,需要在复杂系统理论和方法上有所突破。下面从时间和空间两个角度分析信息安全的特点。
2.1 信息安全的空间特性
信息系统的构成从空间上看具有横向分布、纵向层次化和结构异构等特点。
2.1.1 横向分布
网络化使得信息系统的组成呈现地域分布的特点,小到局域网,大到城域网、广域网,它们都以高度分布为其特征,特别是现代的Internet和一些Intranet都是分布极其复杂的网络。信息系统的横向分布结构内部也包含有层次,这种层次是拓扑结构上的层次,一般与信息系统的管理机构的管理特点密切相关。如:主干网、区域网、局域网等。对分布式的复杂网络环境来说,网络拓扑上的分布层次也是比较复杂的。
2.1.2 纵向层次
任何网络,无论横向分布结构如何,也不论规模大小,其中的网络设备,也就是网络拓扑结构中的节点,都呈现出由上而下的层次特征。ISO/OSI参考模型是这种网络处理层次特征的最好抽象,尽管ISO的七层模型不一定在实际的网络设备中全部得到反映,实际应用的TCP/IP模型与OSI模型存在一种大致对应关系。处理的层次化最大的益处是简化了复杂的网络通信问题研究,使系统互连建立起共同的基础。网络处理的纵向层次化也为层次化的信息安全技术研究提供了基础。
2.1.3 结构异构
复杂信息系统的组成结构各不相同,网络中的组成部件也千变万化,系统中的计算机、路由器、交换机等网络设备多种多样,网络通信协议和软件种类繁多,系统服务等资源也存在不同的类型。
2.2 信息安全的时间特性
信息安全的空间特性给出了信息系统的“静态”视图,而系统是随时间的推移在不断地演进的。研究时间特性的目的是考察系统的“动态”特征,是达到持续安全保障的关键。信息安全的时间特性包含两方面的内容,一是信息本身可能处于产生、存储、处理、传递、使用五个不同的环节,二是信息系统可能处于生命期的不同阶段。为达到持续的保障,必须对信息系统执行有效的风险管理,在给定的资金和资源下,选择适当的保护、检测和纠正措施,以达到最佳的信息安全保障效果,PPDR模型较好的反映了信息安全的这种时间特性,也体现了动态适应安全的思想。
3 维多视图体系结构框架的提出
体系结构代表了系统公共部分高层次的抽象,而体系结构框架则为体系结构提供了通用和规范化的研究和描述方法。由于系统本身的复杂性,我们从不同的方面分析可以得到不同的结果,但这些结果都反映了系统某一方面的特性,而系统的全貌则需要从多个角度进行分析,因此,体系结构框架一般具有不同的层次结构。
在软件工程领域,软件体系结构设计作为一个重要的更高层次的设计正成为软件工程研究的新热点,软件体系结构是一个程序或系统构件的组织结构,它们之间的关联关系,以及支持系统设计和演化的原则及方针。为了能够完整地描述软件体系结构,研究人员引入了数据库理论中视图的概念,用一组视图来描述系统的体系结构,其中每个视图代表了系统某些特定方面的投影、抽象(忽略其它方面),描述了系统体系结构的一个特定方面。例如UML中为了表达系统单个方面的建模结构的子集而引入的视图和图[5]如表1所示:
表1 UML视图和图
■
在Rational Rose中则使用了用例视图、逻辑视图、构件视图,配置视图来描述软件系统。不同的体系结构视图可能得到不同的组成元素和结构关系,但一般都需要描述组成元素(Component)、连接关系(Relationship)和约束规则(Constraints)。
开放式分布处理参考模型[6](RM-ODP )引入了五个视点(Viewpoint),如表2所示,每一个视点代表了对原始系统的不同角度的抽象,并采用相应的视点描述语言提出一组概念定义和构造规则,以便对该视点进行标准化描述。
表2 RM-ODP中视点及其描述
■
电子政务安全体系结构的构建是一项复杂的系统工程,涉及的问题包括数据安全、系统安全和网络安全等多个方面,从不同的方面可得到不同的描述。为了缩小问题域,区分不同的关心重点来构造系统,我们引入了安全维、安全视图的概念。
首先我们将体系框架划分为时间维,空间维,安全功能维三个维度,体现了信息安全的时空特性;其次安全维本身也具有复杂性和多面性,需要从多个角度分析才能得到系统的全貌,如空间维可从系统横向分布方面描述,也可以从纵向层次方面描述,因此我们又引入了安全视图来描述安全维,如安全域视图和协议层次视图从不同方面描述了空间维;这样最后就形成了一种三维多视图体系结构框架,它代表了对系统的不同层次和不同角度的抽象,提供了一种安全模型分析和安全系统集成的方法。如表3所示:
表3 基于时空特性的电子政务安全框架结构
■
电子政务系统中的任何一个安全措施都可以映射成这个三维空间System中的一个点(t,s,f),而安全体系结构则可以看成是这个三维空间点的集合。
System={(t,s,f)|t∈T, s∈S, f∈F}
系统主要安全措施及其联系可用下面的函数关系式来表示:
P=P(T(t1,t2...), S(s1,s2...), F(fl,f2...);
其中P为实际安全体系使用的三维组合,同时我们还可以给出组织投入的价值与保护方式的关系式:
V=V(T(t1,t2...),S(s1,s2...),F(fl,f2...);
其中V是被保护对象的平均投入,根据函数V我们可以得到相对于价值的各种坐标的偏导数,即单位因素的价值弹性,可作为信息安全投资时的参考因素。
三维空间中的任一维用安全视图SV来描述,安全视图参考软件体系结构视图的描述,定义如下:
SV={Component,Relationship,Constraints}
安全视图SV是一个三元关系,其中Component表示该视点下系统组成元素的集合。Relationship?哿Component × Component,描述了Component之间的连接关系集合。Constraints是指作用于Component或Relationship上的一组谓词(或规则)的集合,一般是特定的安全政策,它描述了Component和Relationship的相关属性和约束说明。
通常从不同视点可以得到不同的视图,即安全视图是视点Viewpoint的函数,视点是系统的某些特定方面的投影,抽象。不同的分类方法给出的视图子集是不同的,而且可能存在交叉的情况,因此,通常情况下视点Viewpoint同时作为一种分类标准,给出该分类标准下的所有视图。
安全维SD可由安全视图的并集定义如下:
SD=YiSV (xi)=Yi{Component (xi),Relationship (xi),Constraints (xi)};
xi∈Viewpoint
x是一种分类标准,因此SV(x)满足互斥性和完备性,即
SV(xi)∩SV(xj)=?I;
YiSV(xi)=SD(i≠j,i,j∈{1,2...n})
例如安全功能维F可以从用户角色的安全服务视点分析,包括可用性,完整性,可鉴别性,机密性,不可抵赖性等;从开发人员的安全机制视点分析,包括加密,数字签名,访问控制,安全检测,安全恢复等技术;从安全管理员角色的安全管理视点分析,包括运行管理,技术管理和人员管理等。
4 结束语
模型给出了一种理解、比较和集成安全体系结构的方法和思路,在实践中可以根据模型理解和帮助考虑一些安全问题,并根据模型的指导给出解决问题的方法。
参考文献:
[1] 李桂.电子政务中安全体系结构的研究[D].(硕士学位论文). 广西大学,2004.
[2] 李守鹏.信息安全及其模型与评估的几点新思路[D].(博士学位论文). 成都:四川大学,2002(5):15-28.
[3] 戴汝为, 操龙兵. Internet――一个开放的复杂巨系统[J].中国科学(E辑), 2003,33(4).
[4] 何德全.面向21世纪的信息安全[D]. 第一届上海工博会会议论文,2001.11.
摘要:
…………略
本文主要介绍了网络信息安全,以及它的三个组成方面。还细致地介绍了当前使用的多种网络安全技术,包括:计算机防毒技术、防火墙技术、加密技术、入侵检测技术、以及网络安全扫描技术。具体分析了他们在实际应用中作用,以及他们的不足之处。探讨了国内外研究开发网络信息安全技术的现状、发展趋势及我们所应着重采取的策略。我们作为新一届地大学生面对网络安全,应该怎么办,应该做些什么。
关键词:病毒防范;加密技术;防火墙;入侵检测技术;安全扫描;信息服务;
1 前言
1988年11月3日这一天被成为“黑色星期四”,一个美国年轻人Robert Morris 把一个“蠕虫”病毒程序放到了Internet上,导致了上千台网上计算机瘫痪。这个称为“Morris 蠕虫”程序的出现改变了许多人对Internet安全性的看法,引起了人们对计算机网络安全问题的重视。而该事件之前,人们的信息安全概念主要是数据加密,重点是保护存储在各种介质上和传输过程中的数据。20世纪90年代以后,Internet走向商业化,上网计算机每年以成倍的速度增加,网络“黑客”与“入侵者”的非法活动呈猖獗趋势。人们发现信息安全问题无法仅用数据加密技术完全加以解决,还需要解决硬件系统、操作系统、网络、数据库系统和应用系统的整体安全问题。信息安全问题也就进入了网络安全阶段。网络安全阶段的主要特征是被动防御,采取各种措施(如防火墙、入侵检测等)来防范各种可能的入侵。
:9800多字
有中英文摘要、参考文献
200元
注:。
提示:点击此处 查看付款方式
关键词:企业内网;信息安全;探讨
中图分类号:TP393.18 文献标识码:A 文章编号:1674-7712 (2013) 22-0000-01
在全球信息化时代影响下,企业内网信息带来便利的同时也潜藏着许多问题。由于信息的泄漏,提高了对企业内网的攻击风险,造成巨大的经济损失。
一、企业内网安全概述
(一)内网安全概念
通常所说的内网安全,都是以企业的局域网作为边界,同时又划分为内外网两部分。而内网安全主要指的就是企业内部网络的信息安全,是对企业内部各项信息安全的综合管理,甚至延伸到整个企业的局域网终端[1]。利用网络的各项软件、硬件来避免外来的恶意破坏,引起的数据更改、泄漏等,才是进行企业内网安全维护的主要措施。
(二)企业内网信息的安全隐患
在企业信息化逐步加强的今天,出现了超过80%的企业资料、数据都由企业内部网络进行综合保管存储的局面。这些数据信息包括企业的内部核心技术、经营成本信息以及各项生产数据等,重点强调可靠性、保密性等,一旦泄漏外传会给企业带来致命的损失。而根据数据统计,我国有60%以上的大型企业的内网都存在高度攻击风险,而每年因为企业内网信息泄漏带来的损失,高达上百亿,由此可见企业内网信息存在巨大的安全隐患。
1.外来入侵攻击
我国企业内部信息泄漏大多来自于外来的入侵攻击,包括实体和网络入侵两部分。其中外来的网络入侵,主要是通过企业内部网络的不完善、漏洞缺陷、安全防护薄弱等进行攻击。一般是利用更高端的网络技术,直接在薄弱处进入企业内部网络,更改或者窃取企业内网上的数据信息。或者通过对企业内网信息的拦截、攻击而获得内网上的所有重要数据信息,这些途径归结起来,包括黑客攻击、病毒感染、木马窃取、传输拦截等[2]。
而所谓的外来实体入侵,主要是通过外部人员接近企业内网信息安全维护实体,直接性地窃取企业数据信息,并盗取纸质、存储介质等相关信息。同时也有一些外部人员,利用移动存储工具,对企业内部信息进行拷贝,从而达到企业内网信息窃取的目的。
2.企业内部人员泄密
一般的企业内网信息只有企业的内部员工才能直接接触,而有些内部工作人员会有意或无意地将企业的内部信息外泄,导致企业出现巨大的损失。如:内部人员在进行企业信息的存储维护过程中,因为缺乏保护意识而将信息泄漏,或者将存储企业内部信息的移动存储介质丢失,导致信息泄密。同时还有内部人员会通过非法内联、非法外联、非法共享、非法拷贝等途径来泄漏企业内部信息,这也是企业内网信息安全的一大隐患[3]。
二、维护企业内网信息安全的技术分析
对于目前许多企业存在的内网信息安全问题,秦皇岛一供电信通公司,为了维护当地对电力的需求,采取了以下信息技术来解决企业内网信息安全隐患。
(一)利用VLAN技术来进行内网物理隔离
企业内网是所有公司信息业务运行的主要系统,同时断开了与互联网的连接。如:在企业进行人事、工资、财务等处理时,都是通过企业内网进行的,减少了信息外泄的可能性。而企业外网都与互联网相联,用于收发电子邮件,收集网络信息[4]。而VLAN技术是在网络上划分的物理逻辑网,是新型的网络技术,相当于一个广播域,它们之间的信息传输,打破了传统局域网的限制,利用路由器来辅助完成,更加灵活,有效地提高了网络的安全系数。
而在供电信通公司内部建立这样一个信息内外网,可以切断二者间的物理连接,彻底阻断了通过外网进行的网络入侵。同时分开使用内网和外网的终端,才能实现两项网络的物理隔离,而通过VLAN区域控制,就能将企业内网逻辑与服务器网段分开,实行访问策略控制,提高内网信息的维护。当然,为了进一步提高企业内网信息的安全,还必须严禁无线局域网的使用,由静态分配的IP地址来统一管理,将其与MAC绑定应用。
(二)透明文件解密过滤器设计
企业的内网信息由于使用频率高,一般是进行资源共享处理,而为了有效地维持共享,又提高信息安全存储保障,可以进行内网信息的透明处理,并根据要求设置一定的解密过滤器。而通常的网络端口隔离、手动加密、文件格式转化、存储磁盘加密等方式,都存在一定的安全隐患。而利用API倒挂应用层设计的透明文件解密过滤器设计,能够在驱动虚拟软件上开展,绑定其他设备实现,它的主要原理如下图所示:
这是目前最新的企业内网信息文件加密技术,提高了安全防护力度,也对泄密渠道进行了一定的防护,同时也不影响企业内部人员对信息资料的使用习惯。整个内网数据的存储加密钥匙,统一由网络系统管理,对用户专业知识要求不高,数据防护代码运行过程,由内核实现,安全权限高,不易被破解,稳定性更高[5]。使用透明文件解密过滤器设计来维护内网数据存储的安全,还能够有效地根据文件类型的而不同而灵活进行相应安全防护,是一项有效的新技术。
(三)加强企业内部人员保密防护意识
作为企业的一员,对于企业的兴衰应该具有一定的责任感,而许多人员会受到外面名利的诱惑,而泄漏企业内部信息,造成企业损失。因此,各大企业对于工作人员都要进行内部信息保密防护意识培训,通过一定的奖惩措施来提高内部人员的责任心和道德感。这样才能有效地减少内部人员泄漏企业内部信息的可能,增加企业内部信息安全可能性。
三、结语
综上所述,利用各种有效措施进行企业内部信息安全维护,能够有效防止由于内部信息泄漏造成的企业损失,实现真正意义上的企业内网安全。
参考文献:
[1]韩德志.内网数据存储安全关键技术的研究与实现[J].计算机研究与发展,2011(48):181-188.
[2]张锡廉.内网信息安全技术探讨[J].黑龙江科技信息,2007(18):102.
[3]张怀京,祝建航,王新亭.企业内网安全建设浅谈[J].信息安全与技术,2012(02):32-35,40.
关键词:网络与信息;安全技术
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 01-0000-01
The Computer Network and Information Security Technology
Shao Qiang1,2,Chen Mingqiang2
(1.Ocean University of China,Qingdao266100,China;2.Weicai Heavy Machinery Co., Ltd.,Weifang261001,China)
Abstract:Network security issue has been studied and concerned people, mainly because of the relative nature of the network concept,development and novelty,as well as the relativity of the concept of security, development and firmness,so this paper the analysis of network insecurity factors based on sources,on the computer network and information security technology discussions.
Keywords:Network and Information;Security technology
一、网络信息安全风险的来源
(一)病毒感染
从蠕虫到CIH到熊猫烧香甚至通过网络感染的手机病毒等,一直都是计算机网络安全直接的威胁。病毒靠网络进行传播,其通过服务器,以接收邮件或者下载软件的方法进入网络,从而达到窃取网络信息的目的。
(二)网络外部的攻击
主要是指来自局域网以外的恶意攻击,比如伪装合法用户入侵网络,占用网络资源,或者有选择的破坏网络信息的完整性以及有效性,或者修改网络数据、破译、窃取机密信息以及破坏软件的执行功能,以及在中间站读取以及拦截机密信息等。
(三)网络内部的攻击
一些非法用户会在局域网内部冒用合用口令用合法的身份登陆网站,从而破坏信息内容、窃取机密信息等,从而造成应用系统无法正常运行。
(四)系统自身的漏洞
任何系统和软件都不会是完美无缺的,在编程时软件中不可避免的会有一定的漏洞,不法分子一旦发现这个漏洞就会借助这个薄弱环节攻击整个网络系统。
二、机算机网络与信息安全技术
(一)防火墙技术
防火墙装置为硬件或软件设备组合而成,是由一组或一个系统组成,其在两个网络间实行特定的访问控制策略。布置防火墙可以在某种程度上提高网络的安全性,从而保护内部数据不被盗窃或者破坏,以及监控记录发生的时间、地点以及操作。防火墙包括滤防火墙、应用级网关、状态监视器、防火墙、双宿网关防火墙以及屏蔽子网防火墙。防火墙技术是一种非常有效的网络安全机制,它可以根据商务的安全政策对出入网络的信息进行控制,而且本身具备较强的抗攻击力,可以保证文件传输、远程登录、电子邮件和特定系统间进行安全的信息交换。要让一个防火墙生效,就要保证所有经过Internet的信息经过防火墙,接受其检查。防火墙只会让经过授权的信息通过,另外防火墙本身也要可以免于渗透,防火墙系统一旦被攻击突破或者迂回,就无法对系统提供保护了。
(二)加密技术
加密技术是一种主动的信息安全保护措施,它是运用一定的加密算法,把明文转换成所不能理解的密文,防止非法用户理解或者获取原始数据进行,从而保证信息的安全性。可以说加密技术也是常用的保护信息安全比较有效的方法。数据加密不仅可以用于文件及数据的加密,也是数字签名或者第三方认证等安全技术的基础。数据加密被认为是最可靠的安全保障方式,通过使用不同密钥,可用同意加密算法,将同一明文加密成完全不一样的密文,它能根本的满足信息对安全性的要求。一般加密技术可以分为两类:对称加密以及非对称加密技术。在实际应用中,一般是把二者结合使用,先把输入的数据用对称密钥对做加密,然后再用公钥对非对称密钥加密。
(三)虚拟专用网技术
VPN虚拟专用网采用开放的网络作用户媒体,经过附加的隧道封装、信息加密以及用户认证等相关技术,在在传输过程中完成对信息的安全保护,从而保证网络信息的安全性能。虚拟专用网具备以下功能:第一,加密数据:通过网络传输的信息即使是被他人截获,也可以保证不会泄露信息;第二,身份和信息的认证:保障信息的完整性、合法性以及鉴别用户的身份;第三,访问控制:对不同用户设置不同的访问权限。其关键技术是安全隧道技术、访问控制技术以及用户认证技术。虚拟专用网可以通过Internet和其它公共互联网的基础设施创建隧道,还可以提供和专用网络一样的功能和安全保障。所谓隧道技术指的是数据包不在网上公开传输,而是先加密在确保安全后,再通过VPN封装成IP包模式,经过隧道在网上进行传输。
(四)身份认证技术
身份认证其实质是系统对用户身份证明进行核查的过程,查明用户是不是具备相应的请求资源存储使用权,它一般都要包括验证协议以及授权协议。在网络和计算机系统中,各种应用都需要经过身份认证确认其是否合法,再确定它的个人数据以及特定权限。对于身份认证系统来说, 一个很重要的技术指标就是看合法用户的身份是不是很容易被别人冒充。身份认证技术有以下几种:基于生物特征识别的认证、基于密钥的认证鉴别、基于智能密码钥匙和智能卡、基于口令的认证等。在互联网上,为加强身份的认证引进了证书概念,证书是一种可以证明个人身份的数据,可以说是一种数字化的身份证或者护照,其内部与证书对应此同的只有唯一的私密密钥,由证书持有人保管,不能泄露给他人。只有和该公约相对应的私钥才可以解开经公钥加密的信息。
参考文献:
[1]薛元霞,张荣强,罗星.浅谈电子商务安全技术[J].农业网络信息,2009(10)
关键词:数字图书馆 网络安全 保障措施
一、数字图书馆网络信息安全的概念
数字图书馆网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然因素和恶意原因而遭到破坏、更改、泄露,系统连续正常运行,网络服务不中断。网络信息安全是一个非常复杂的问题,它不仅仅是技术方面的问题,而且还涉及到人的心理、社会环境以及法律等方面的内容。数字图书馆的网络信息安全是一个系统概念,包括设备安全、自动化管理系统安全、各种数据安全、网络通信安全、人员管理安全、环境安全等几个方面。
数字图书馆网络信息安全有下列三个目标:完整性,保证非授权操作不能修改、增删数据;有效性,保证非授权操作不能破坏各种数据;保密性,保证非授权操作不能获取受保护的信息资源。
二、影响数字图书馆网络信息安全的因素
1、环境因素和意外事故
计算机网络系统对外部环境条件有一定的要求。外部环境条件不符合有关标准会对数字图书馆的信息安全造成一些危害,包括数字图书馆网络控制中心机房场地和工作站安置环境不合要求;机房设计不合理,建造不符合标准;电源质量差;温度不适应;无抗静电、抗磁场干扰;无防尘、防火、防水、防雷击、防漏电、防盗窃的设施和措施。
2、管理因素
数字图书馆网络系统是一项复杂的计算机网络工程。若缺乏严格的、科学的管理,缺乏紧急情况下的应急措施,对其网络信息系统的危害远远大于其它方面造成的危害。由于网络安全管理人员和有关技术人员缺乏必要的专业安全知识;不能安全地配置和管理网络;不能及时发现已经存在的和随时可能出现的安全问题;对突发的安全事件不能做出积极、有序和有效的反应;图书馆的网络系统没有建立完善的安全管理制度,从而导致网络安全体系和安全控制措施不能充分、有效地发挥效能;业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者造成可乘之机。
3、计算机网络病毒
由于计算机软件的脆弱性与互联网的开放性,我们将与病毒。随着计算机技术、网络技术的发展,网络病毒不断出现了以下新特点:主动通过网络和邮件系统传播、传播速度快、危害大、变种多、难于控制、难于根治且容易引起多种疫情等特点。据粗略统计,全世界已发现的计算机病毒有上万种,并且正以平均每月300-500种的速度疯狂增长。
4、黑客的攻击
“黑客”(Hacker)出自英文Hack,是计算机网络系统捣乱分子的代名词。他们攻击计算机网络系统的方法很多,他们通常使用猜测口令、破译密码、WWW欺骗、放置特洛伊木马程序、利用系统缺陷和通过电子邮件引诱等方法攻击网络系统。
5、版权保护问题
文献信息资源的数字化为读者检索利用信息提供了极大的便利,使得数据的交换和传输变成了一个相对简单且快捷的过程。读者借助于现代网络可以将数字化信息传输到世界各地,进行各种信息交流和电子商务活动,但随之而来却出现了另一个问题―数字版权问题。有些人或团体在未经著作权人的许可非法使用、传播有版权的作品,所以数字图书馆建设的过程中网络信息安全包括版权安全。
三、数字图书馆网络安全的保障措施
建立数字图书馆网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等,从而为各类用户提供安全可靠的网络资源,更好地发挥网络的优势,使馆藏资源可以不受时间、空间的限制,图书馆建设才能真正朝着数字化的方向迈进。为确保网络安全,可从网络层、系统层和应用层等3个方面着手采取防护措施。
1、网络层的安全防护
网络层的安全保护首先是对网关的防护,通过设置边界防火墙达到访问控制、状态包检测、集中式管理、网关入侵检测和报警、网络地址转化(NAT)、流量审核日志等目的。其次是对内网网络层的防护。内网网络层防护由网络入侵监测系统和内网防火墙来共同完成。在检测到入侵行为或异常行为后,网络入侵监测系统的控制台就会实时显示,并根据预先定义的事件响应规则报警,同时将报警信息写入日志,以备审计核查。第三是对主机的防护。主机防护由主机防火墙和主机入侵检测产品完成。安装在被保护主机的操作系统上,并嵌入到操作系统的核心层。
2、系统层的安全防护
要使用漏洞扫描技术,定期扫描操作系统和数据库系统的安全漏洞与错误配置,尽早采取补救措施,避免各种损失。同时应加强口令的使用,及时给系统打补丁。还要增强访问控制管理,包括对文件的访问控制,提供读、写、执行权限以及建立、搜索、删除、更改和控制等权限;对计算机进程提供安全保护,防止非法用户启动或制止关键进程;控制对网络和端口的访问。最后,应注意对病毒的防范和提供对重要的数据库服务器和Web服务器的专门保护。
3、应用层的安全保护
应用层的安全保护是指安全管理。加强对用户的安全管理十分重要,应制定完善的安全管理体制、构建安全管理平台、增强用户的安全防范意识等,提高全体工作人员的网络安全意识。
数字图书馆网络安全工作是图书馆不容忽视的重要工作。它是目前乃至今后图书馆各项工作的基础,贯穿数字图书馆发展的始终。网络是一把双刃剑,它在给我们的工作和生活带来了便利的同时,也向我们提出了严峻的挑战,我们不能因噎废食,而应充分发挥我们的主观能动性,在利用网络的过程中积极探索限制其发展的方法。网络安全是图书馆的重点工作,必须强化数字化图书馆网络安全保障体系,切实做好网上数字图书馆的安全管理工作。一方面确保系统自身的安全,即数据安全、系统运行安全和运行环境安全;另一方面要防止非法用户的非法使用和合法用户的越权使用而造成对数据的窃取、篡改和破坏或造成网络系统的瘫痪。制定和实施图书馆网络安全保障计划是当务之急,构建牢不可破的网络安全保障系统,是时代赋予我们的责任。
参考文献: