时间:2022-06-12 07:43:48
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络与信息安全,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
计算机信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。也可以根据计算机通信网络特性,通过相应的安全技术和措施,对计算机通信网络的硬件、操作系统、应用软件和数据等加以保护,防止遭到破坏或窃取,其实质就是要保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏。计算机通信网络的安全是指挥、控制信息安全的重要保证。总之,我们必须加强计算机通信网络安全防范意识,提高防范手段。
2信息安全的内容
2.1硬件安全
即网络硬件和存储媒休的安全。要保护这些硬设施不受损害,能够正常工作。
2.2软件安全
即计算机及其网络各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复。
2.3运行服务安全
即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
2.4数据安全
即网络中存在及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
3信息安全风险分析
3.1计算机病毒的威胁
随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多。病毒感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。
3.2黑客攻击
黑客攻击已经成为近年来经常出现的问题。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源。
3.3信息传递的安全风险
企业和外部单位,以及国外有关公司有着广泛的工作联系,许多日常信息、数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险,例如:①被非法用户截取从而泄露企业机密;②被非法篡改,造成数据混乱、信息错误从而造成工作失误;③非法用户假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。
3.4软件的漏洞或“后门”
随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是Windows还是UNIX几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件、等等都被发现过存在安全隐患。大家熟悉的尼母达,中国黑客等病毒都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是网络安全的主要威胁之一。
3.5身份认证和访问控制存在的问题
企业中的信息系统一般供特定范围的用户使用,信息系统中包含的信息和数据也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户、设置权限、管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。如部分应用系统的用户权限管理功能过于简单,不能灵活实现更详细的权限控制;各应用系统没有一个统一的用户管理,使用起来非常不方便,不能确保账号的有效管理和使用安全。
4信息安全的对策
4.1安全技术
为了保障信息的机密性、完整性、可用性和可控性,必须采用相关的技术手段。这些技术手段是信息安全体系中直观的部分,任何一方面薄弱都会产生巨大的危险。因此,应该合理部署、互相联动,使其成为一个有机的整体。具体的技术介绍如下:
4.1.1加解密技术在传输过程或存储过程中进行信息数据的加解密,典型的加密体制可采用对称加密和非对称加密。
4.1.2VPN技术VPN即虚拟专用网,通过一个公用网络(通常是因特网)建立一个临时的、安全的连接.是一条穿过混乱的公用网络的安全、稳定的隧道。通常VPN是对企业内部网的扩展,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
4.1.3防火墙技术防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,防止外界对内部资源的非法访问,以及内部对外部的不安全访问。
4.1.4入侵检测技术人侵检测技术IDS是防火墙的合理补充,帮助系统防御网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。人侵检测技术从计算机网络系统中的若干关键点收集信息,并进行分析,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。
4.1.5防病毒技术随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
4.1.6安全审计技术包含日志审计和行为审计。日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性和安全策略的有效性,追溯、分析安全攻击轨迹。并能为实时防御提供手段。通过对员工或用户的网络行为审计,可确认行为的规范性,确保管理的安全。
4.2安全管理
只有建立完善的安全管理制度。将信息安全管理自始至终贯彻落实于信息系统管理的方方面面,企业信息安全才能真正得以实现。具体技术包括以下几方面。
4.2.1开展信息安全教育,提高安全意识员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。据不完全统计,信息安全的威胁除了外部的(占20%),主要还是内部的(占8O%)。在企业中,可以采用多种形式对员工开展信息安全教育,例如:①可以通过培训、宣传等形式,采用适当的奖惩措施,强化技术人员对信息安全的重视,提升使用人员的安全观念;②有针对性地开展安全意识宣传教育,同时对在安全方面存在问题的用户进行提醒并督促改进,逐渐提高用户的安全意识。
4.2.2建立完善的组织管理体系完整的企业信息系统安全管理体系首先要建立完善的组织体系,即建立由行政领导、IT技术主管、信息安全主管、系统用户代表和安全顾问等组成的安全决策机构,完成制定并信息安全管理规范和建立信息安全管理组织等工作,从管理层面和执行层面上统一协调项目实施进程。克服实施过程中人为因素的干扰,保障信息安全措施的落实以及信息安全体系自身的不断完善。
4.2.3及时备份重要数据在实际的运行环境中,数据备份与恢复是十分重要的。即使从预防、防护、加密、检测等方面加强了安全措施,但也无法保证系统不会出现安全故障,应该对重要数据进行备份,以保障数据的完整性。企业最好采用统一的备份系统和备份软件,将所有需要备份的数据按照备份策略进行增量和完全备份。要有专人负责和专人检查,保障数据备份的严格进行及可靠、完整性,并定期安排数据恢复测试,检验其可用性,及时调整数据备份和恢复策略。目前,虚拟存储技术已日趋成熟,可在异地安装一套存储设备进行异地备份,不具备该条件的,则必须保证备份介质异地存放,所有的备份介质必须有专人保管。
5信息安全的方法
从信息安全属性的角度来看,每个信息安全层面具有相应的处置方法。
5.1物理安全
指对网络与信息系统的物理装备的保护,主要的保护方式有干扰处理、电磁屏蔽、数据校验、冗余和系统备份等。
5.2运行安全
指对网络与信息系统的运行过程和运行状态的保护,主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用以及数据备份等。
5.3数据安全
指对信息在数据收集、处理、存储、检索、传输、交换、显示和扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖,主要的保护方式有加密、认证、非对称密钥、完整性验证、鉴别、数字签名和秘密共享等。
5.4内容安全
指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力,主要的处置手段是密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤以及系统的控制等。
5.5信息对抗
指在信息的利用过程中,对信息真实性的隐藏与保护,或者攻击与分析,主要的处置手段是消除重要的局部信息、加大信息获取能力以及消除信息的不确定性等。
6对网络信息安全的前景
【关键词】网络安全防火墙PKI技术
一、防火墙技术
(1)包封过滤型:封包过滤型的控制方式会检查所有进出防火墙的封包标头内容,如对来源及目地IP、使用协定、TCP或UDP的Port等信息进行控制管理。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。(2)封包检验型:封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版,目的是增加封包过滤型的安全性,增加控制“连线”的能力。(3)应用层闸通道型:应用层闸通道型的防火墙采用将连线动作拦截,由一个特殊的程序来处理两端间的连线的方式,并分析其连线内容是否符合应用协定的标准。
二、加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
1、对称加密技术。在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
2、非对称加密/公开密钥加密。在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
三、PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施,PKI技术是电子商务的关键和基础技术。
1、认证机构。CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明―证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。
2、注册机构。RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
3、密钥备份和恢复。为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
四、安全技术综合应用研究热点
电子商务的安全性已是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了论证理论、密钥管理等研究,因此网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。
参考文献
[1]步山岳,张有东.计算机安全技术.高等教育出版社,2005年10月
【关键词】网络信息安全;网络防控;恶意攻击
一、网络信息安全面临的主要问题
1、恶意攻击。现阶段的网络恶意攻击主要表现形式为黑客入侵和高级持续威胁。其中黑客攻击分为两种。一种是主动性的黑客攻击,对用户信息进行窃取、篡改和破坏,影响网络数据的完整性和安全性[1]。另一种属于被动攻击,例如,通过某些网络载体,把带有病毒和恶意攻击程序的软件放在隐藏文件中传播,进而对网络数据造成破坏;高级持续性威胁是由组织使用先进的攻击手段,长期的对固定目标进行多种方式的网络入侵,其隐蔽性强,潜伏期长,持续性强,严重危害现在的网络安全。
2、安全缺陷。网络技术为人们构建了现有的信息平台,其本身具有开放性,这种开放性的程度越高,使用用户的权限也就越大。正因为用户的访问权限越大,现有的网络防火墙对于外来恶意攻击的抵抗所面临的考验也就越大,人们的信息也就越容易被泄露。大多数企业所使用的均是不与外界连接的局域网,对其局域网布置的安全措施不够完善,系统漏洞较多,所以数据泄漏的风险也就越大。
3、软件漏洞。计算机软件在服务大众的同时,会产生大量的用户信息,其功能强大,场景丰富。与此同时所带来的具有恶意攻击的功能软件也就越来越多,严重威胁了人们的网络信息安全,软件漏洞更容易成为不法分子盗取私密文件的切入途径,用户信息的各种程度的信息都面临着被盗取的风险。在威胁网络安全的因素当中,软件漏洞造成的威胁居首要位置。
二、网络与信息安全问题的防控对策
1、增强网络安全防范意识。对于网络信息方面的现状,需要人们提高网络安全防范意识,普及网络信息安全的重要性,加强人们对于危险信息的主动防御行为和被动防御行为。在整个系统的运行过程中,尽量做到安全可控,构建完整的信息防御体系,实施对网络安全的全方位把控,使得信息安全和系统功能达到一个稳定的平衡状态。保护网络信息的安全要做到保护系统、软件和系统硬件的数据不会被各种原因恶意篡改、泄漏和破坏,让计算机系统能够更加可靠且持续的运行,其网络服务不会因为其他非意外原因中断。保证用户在互联网的使用过程中的用户体验,消除人们因为信息安全而对互联网产生的抗拒心理。
2、加强监督。在网络监督方面需要制定更多的强制性的规章制度来规范人们的网上行为,同时提高对信息网络的监督,划分出合理的监管区域,加强监管力度的同时对一些不涉及安全信息隐患的行业适当放松监督程度[2]。制定业务准则,定期的对各个业务的工作服务范围进行考察检验,使网络市场的运行更加合理化,规范化。加强监督的具体对策如下:第一,在运行过程中适当屏蔽部分敏感信息,不对其软件公开、共享信息;在网络信息的使用过程中,尊重贡献者,不随意对外宣传、共享其内容;第二,加大平台成员的实际身份考核,做到实名认证,进而加大控制力度;第三,分析国外的网络安全现状并结合国内实际情况,对网络安全事故的高发区域进行重点监察,做到防患于未然。
3、采取有效的网络安全技术手段与措施。在企业的角度来讲,需要使用有效的身份认证技术,这样才能确定用户进入具有合法性,从而也为网络信息操作提供有效的权限。这一般的情况下,使用的认证技术有:信息认证、用户认证以及秘钥认证等。防火墙主要通过验证方法、过滤程序以及应用系统等部分组成,防火墙位于计算机和其他网络的连接部分,在防火墙中包含了硬件组织与软件组织。防火墙具有的主要作用是,预防用户出现违规访问等现象,保护网络不受非法人员侵入;企业还要使用合理的防病毒技术,根据软件需求选择合理的防毒产品,并且还要进行阶段性的加密与更新,将防病毒技术作为企业发展的基础,从而确保用户信息的安全性。另外,企业还要通过漏洞扫描技术对自身的网站进行阶段性检查,从而发现运行过程中存在的问题,之后对其进行修复和完善,只有这样才能解决系统中存在的安全隐患,从而也为系统安全运行提供了保障。
关键词 信息安全 黑客 互联网
中图分类号:TP393.08 文献标识码:A
1网络信息安全
1.1网络安全
从普通使用着来讲,可能所涉及的网络安全是个人的网络上面的隐私以及机密信息等在网络上传递时需要受到保护,避免被窃取盗取,而对于企业以及规模大的用户来讲,可能就涉及到很多的方面,企业的远程管理,远程信息传递,业务的办理等等都会在网络上进行,所以网络信息安全对于这种规模大的用户来讲就会非常的重要。
1.2信息安全
信息安全是指为建立信息处理系统而采取的技术上的以及管理上的安全保护,以实现网络上面各类信息的保密性,完整性,可用性以及可控性。信息安全就目前的发展状况来看,主要包括信息的保密性,信息的完整性,信息的真实性,以及信息的未授权拷贝和计算机软件系统的安全性。
2网络攻防技术的分析
2.1系统安全攻防
系统安全攻防是网络攻防技术的核心组成部分,它的底层是软件程序中存在的安全漏洞,软件安全漏洞是指信息系统的软件程序中存在的缺陷或者不适当的配置,它们可以是黑客在未授权的情况下访问或者破坏系统,导致信息系统面临安全风险,系统安全攻防技术包含七个部分,分别是:安全漏洞研究与挖掘;渗透攻击代码开发与测试;安全漏洞和渗透攻击代码在封闭团队中流传;安全漏洞和渗透攻击开始扩散;恶意程序出现病开始传播;渗透攻击代码大规模传播并危害互联网;渗透攻击代码/恶意程序逐渐消亡。
2.2网络协议安全攻防
网络协议攻击是利用网络协议在设计时存在的安全缺陷或者不安全因素进行攻击破坏。网络攻防中,无论是攻击者还是防御者,都需要进行一系列的网络信息收集技术来尽可能多的获取对方信息,进而进行攻击或者防御。主要有四个方面:网络信息收集技术;网络嗅探与协议分析技术TCP/IP网络协议攻击技术;网络安全防范技术。在面临安全攻击时,防御者可以利用检测与响应技术,这些防御技术需要在安全模型和理论指导下进行综合部署才能建立一套有效的网络安全防范体系。
2.3 Web攻防技术
互联网已经进入了应用的时代,新型的互联网技术由于Web技术紧密的交织在一起,社会性网络服务为人们的生活带来了大量的便利,也带来了巨大的安全隐患,Web攻防成为了网络攻防领域炙手可热的问题。Web应用程序是一种使用浏览器在互联网或者企业内部网上进行访问操作的应用软件形态,通常一浏览器支持的语言所编写。Web应用安全攻防技术包括Web应用的信息收集;SQL注入;XSS跨站脚本攻击;Web浏览器的渗透攻击。随着Web技术的蓬勃发展以及在人们网络化生活中的普遍应用,Web开发已经非常广泛,由于技术原因也存在着安全隐患。
2.4物理攻击与社会工程学
物理攻击是指攻击者通过各种技术手段绕开物理安全防护体系,从而进入受保护的设施场所或者设备资源内,物理攻击通过破坏性手段对物理安全防护体系进行摧毁,达到获取或者破坏的目的。
社会工程学有着与物理攻击不同的特性,物理攻击需要尽量躲避或者直接消灭防护者,而社会工程学需要直接面对防护者,从他那里直接骗取敏感信息,社会工程学并不是每个人都可以做到的,除了掌握以下针对人类心理学的社会工程学之外社会工程师还需要强大信息获取能力。
防御社会工程学是一件非常困难的事情,特别是面对高水平的社会工程师的时候,因此需要我们加强自我心理素质和特性的训练,加强安全意识。
3总结
网络安全包括组成网络系统的硬件,软件及其在网络上传递的信息的安全性,使其不至于因偶然或者恶意的攻击而遭到破坏,网络安全既有技术上的问题,也有管理的问题,两个方面互不可少。各种方面的网络破坏和攻击行为使网络安全面临着很艰巨的挑战。计算机网络信息的安全问题必须放在首位。加强网络信息安全的保护意识,对于保护自身信息安全有着重要的意义。
参考文献
[1] 李建霞.计算机网络安全与防范[J].中国西部科技,2009(36).
2017年是工业和信息化部、国资委开展基础电信企业网络与信息安全责任考核工作的第五个年头。经过努力,中国移动关于网络与信息安全责任考核工作取得成果,为广大客户提供一个安全的网络与信息传递环境,在行业内率先实现不良信息的集中治理,例如,垃圾短信数量大幅减少、社会普遍不满的不良局面得到明显改观等。在深入落实“两部委”关于网络与信息安全责任考核工作的背景下,中国移动开展相关工作情况分析和总结,探讨如何从企业内部管理保障、优化网络与信息安全,促进我国网络信息安全的健康发展。
开展网络与信息安全责任考核工作必要性
对于网络与信息安全责任考核工作来说,只有对其开展的必要性有深入的理解和认同之后,才能够在实际的工作中进行有效的贯彻和落实,做到“信息安全,人人有责”。中国移动开展网络与信息安全责任考核工作的必要性主要有以下几方面:1.保障公民财产安全和社会良性发展中国移动每年都会收到大量关于电信诈骗的投诉,电信诈骗对公民的财产安全和社会的稳定有着极大的危害。中国移动开展网络与信息安全的考核工作,能够就社会发展中的一些危险因素,以及潜在的风险和漏洞进行及时的排查和处理,净化网络环境,为公民信息的传输和资源的获得提供良好的技术支撑。中国移动广西公司长期派驻人员到公安部门反虚假信息诈骗中心协助办公,进行涉案号码信息查询、关停等工作;提取嫌疑号码提交给公安刑侦、技侦部门,提供线索;协助公安机关捣毁网络诈骗窝点,捉拿犯罪嫌疑人,收缴短信群发器等作案工作;配合当地公安机关加强打击伪基站工作。截至2016年底,累计破获伪基站案件39起,缴获伪基站设备40台,抓获犯罪嫌疑人43人。2.优化企业内部管理的必然选择客户的满意度决定市场的份额。客户的满意度是通过基层分公司和员工来提升的,因此,在开展网络与信息安全责任考核工作的初期阶段,中国移动就把考核的重点放在基层运营公司,通过提高基层人员的信息安全意识来提升整个集团的网络与信息安全实力,从而获得较高的客户满意度。按照考核要求在基层建立有效的客户投诉和反馈途径,更好地了解客户对网络与信息安全方面的需求,从而提升服务的有效性。实践证明,中国移动通过开展有效的网络与信息安全责任考核工作,进一步优化了企业内部管理,提升了客户满意度,从而使更多的用户选择使用中国移动的服务。
开展网络与信息安全责任考核工作的问题
目前,中国移动的网络与信息安全责任考核工作尚处于探索和完善阶段,随着技术和制度都在不断地完善和发展,社会环境的变化,安全责任考核工作的侧重点和难度也在不断地提升。就中国移动而言,在当下网络与信息安全责任考核工作过程中,主要存在以下几方面的问题:1.执行情况参差不齐中国移动各地区分子公司对于信息安全工作的重视度以及信息安全方面的资源和能力差距比较大。虽然在考核之前会对各个指标进行专业性的指导和说明,但是往往由于参与考核的基层人员能力有限,造成考核结果与实际情况之间的偏差,影响考核结果的准确性。另一方面,对于一些难以定量的指标尚未形成固定的考核标准,在考核过程中会出现模棱两可的情况。对于技术性指标的考核主要体现在通信设备安全性和保密性方面,虽然技术在不断发展,但是对于那些作用周期长以及新技术方面,当前考核手段难以纳入并得到有效执行。2.忽视客户满意度对于中国移动来说,客户满意度是生存和发展的决定性因素,如何通过有效的途径了解客户对企业产品和业务的看法或建议,是企业需要重点关注的内容。同时,客户对信息安全性的重视度也在不断提升,在这样的背景下,中国移动包括第三方权威机构在对网络与信息安全工作进行考核时,对信息安全考核的目标认识存在一定的误解,往往为了达到考核目标,把客户的满意度割裂出去,相关工作开展更多从企业内部进行,忽视了客户对企业信息安全满意度的内容。
中国移动网络与信息安全责任考核工作经验
1.统筹谋划、狠抓落实,不断总结提高不断总结考核工作经验,将各分子公司的网络信息安全工作与集团考核工作有机结合。年初,明确考核工作思路,制定下发考核要点,细化任务进度和工作措施。同时,各分子公司加强培训交流,详细解读考核要求,开展经验分享。集团公司加强督查、狠抓落实。年中,组织各分子公司开展考核工作实地检查,及时发现问题和薄弱环节,明确整改要求和落实措施,推动问题尽快解决。年底,制定评分模板,量化细化考核指标,确保打分客观、准确,真实反映中国移动企业网络信息安全工作落实情况,务求考核要求落到实处。2.强化网络与信息安全责任考核意识网络与信息安全考核工作是一项长期性的工作,要想取得良好的成果,关键是提升整个公司人员对安全责任考核工作的认识,使安全责任工作深入到每位移动员工心中,贯穿于其日常的具体工作中。通过责任意识的强化,能够提升员工和管理者的重视度和对于网络与客户信息的有效保护,提升信息的安全级别。同时,通过强化意识,让员工从自身的工作情况出发,对本单位内部的网络与信息安全责任考核指标进行有效的讨论,提升考核的实效性,切实从技术层面保障考核效果的及时性和准确性。3.兼顾各方利益群体,加强协调和沟通网络与信息安全责任考核工作要想达到良好的考核效果,需要主管部门及各运营商多方面的共同努力。首先,需要国家相关部门通过法律、政策等方面的有效约束,为营造良好的网络与信息安全创造环境;其次,中国移动作为电信运营商之一,要与同行业的其他两个运营商进行密切的合作和相关技术的共享,将自身的优势转化为行业的优势,提升整个电信运营行业的网络与信息安全层次;第三,相关的网络与信息使用单位要根据自身的需要将相关的信息反馈给电信运营企业,为其提升网络与信息安全考核的等级提供必要的信息支撑。4.增强客户满意度在考核指标中的比例客户满意度对移动业务的发展有着决定的作用,正是因为中国移动根据客户对信息传递速度越来越高的要求,才率先推出了4G业务。因此,在开展网络与信息安全责任考核工作时,要将客户对本企业网络与信息安全工作的意见和看法进行有效的吸纳,这样,一方面提升了客户的满意度,无形之中提升了企业的竞争力;另一方面,也有助于企业将外部环境纳入到网络与信息安全责任考核工作中,提升考核工作的认可度。
结语
随着信息安全责任考核工作的不断深入,中国移动将充分认识安全与发展的关系,加强组织领导,强化信息安全意识,把安全的理念贯穿各项工作始终。一是以问题为导向,排查风险和隐患,及时查漏补缺;二是落实清单管理,优化制度清单、业务清单、资源清单、功能清单、责任清单,抓落实、求实效。三是加强沟通,完善信息上报与沟通反馈机制,对工作中发现的新情况、新问题和取得的新经验及时反馈、及时总结,形成合力、形成长效机制。
作者:黄钰 单位:中国移动通信集团广西有限公司
随着信息技术的高速发展与互联网的普及,网络技术不但改变着人们的生活方式而且对他们的工作产生了重要的影响。几乎成了人们生活与工作必不可少的组成部分。然而大量的网络信息不可避免的存在安全隐患,因为探究网络信息安全技术措施具有重要作用。
1 加强网络信息安全管理的重要性
加强网络信息安全管理是互联网迅速发展的基础。特别是移动互联网持续发展,移动网民达到5亿以上。只有不断强化对网络信息安全的管理,才能推动网络与各行业的应用连接。
随着云计算的流行,加强对信息安全管理变得更为重要。云计算是通过互联网为用户提供可扩展,弹性的资源。人们可以在云这种便捷的平台上获取与传递各类信息。对信息进行了安全管理才能保障云计算平台实用性。
电子商务的运作也依赖于网络信息安全性,因为它的全球性开放性特征也存在一定的安全隐患。只有保障网络安全才能使电子商务更加安全。特别像淘宝,以及各种软件上的支付平台都需要网络安全的保障。
随着国家信息化的不断推动,众多企业,金融,政府等行业都依赖于网络信息。所以信息的安全性变得尤为重要,加强对信息安全的管理是最佳的举措。
2 影响网络信息安全的因素
网络信息安全渗透在网络层次的各个层次里,从万维网到局域网,从外部网到内部网,以及从中间链接的路由器交换机到信息客户端,都涉及到网络安全的问题,以下从整体上分析影响网络信息安全的不同因素。
(1)系统原因电脑程序员在设计系统的过程中会出现一些系统漏非法入侵者就会利用这些漏洞对系统进行攻击。而且网络系统也会存在许多的漏洞,黑客就会对此进行攻击。从而窃取,修改,删除重要信息数据,造成网络信息出现安全问题;
(2)网络共享网络信息技术的一个重要功能就是资源共享。不管我们在哪里,只要能够联网就能够获取想要的信息。虽然网络共享为我们的生活带来了许多方便,但也存在缺陷。黑客就会利用网络共享来对网络信息进行恶意攻击;
(3)IP地址盗用。盗窃者通过盗用IP地址而导致网络系统无法正常运行,用户会收到IP地址被禁用的通知。这不仅威胁了用户的权益,而且给用户带来很大的麻烦。造成网络无法安全运行;
(4)计算机病毒是指破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。具有繁殖性,传染性,潜伏性,隐蔽性,破坏性等特征。通过网页捆绑,电子邮件等方式在网络中传播,窃取重要的网络信息资源并且攻击计算机系统。
3 网络信息安全措施
网络安全其最终的目的是提供一种好的网络运行环境,保证信息的安全。它有总体策略上的目标,也有具体实现的各项技术。
3.1 防火墙技术
它是一种隔离控制技术,在某个机构的网络和不安全的网络之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为互联网的安全性保护软件,防火墙已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业网和互联网中装有防火墙软件。防火墙在内外网之间设置了一道屏障从而保护内部网免受非法用户的侵入,防止内部信息的外泄。
3.2 入侵检测技术
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统能够对网络接收的信息进行检测,并提醒或拦截使用者有破坏信息的侵入行为,从而提供对此的实时防护以免信息受到攻击。入侵检测技术被称之为第二种防火墙技术。
3.3 加密技术
加密技术是指通过加密算法和加密密钥将明文转变为密文。通过密码体制对信息进行加密,实现了对信息的隐藏,对信息的安全起到了保护的作用。加密技术包括两个元素:算法和密钥。算法是将普通的信息与一串密钥的结合,产生不可理解的密文的步骤。密钥是用来对数据进行编码和解码的参数。密钥加密技术分为对称密钥体制和非对称密钥体制。对称加密采用了对称密码编码技术,文件加密和解密使用相同的密钥。非对称密钥体制的加密和解密使用的是两个不同的密钥。这两种方法各有所长,可以结合使用,互补长短。对称加密密钥加密速度快,算法易实现安全性好,缺点是密钥长度短密码空间小。非对称密钥加密,容易实现密钥管理,便于数字签名,缺点是算法复杂,花费时间长。通过对密钥的保护,防止非法用户对信息的破坏,保障了网络信息的安全。加密技术是计算机系统对信息进行保护的一种最可靠的办法。
3.4 防病毒技术
防病毒技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。
如今病毒以各种各样的方式存在网络中,不仅要使用防病毒技术还要加强使用网络的安全意识。一般而言,使用的杀毒软件有金山霸毒,瑞星杀毒软件, 360杀毒等。要经常进行检测或杀毒,做到防患于未然。还要注意对重要的数据进行备份,以防病毒对重要信息产生破坏而损毁。
4 结语
网络信息的安全对人们的工作与生活有重要的影响。要使人们的办公和沟通顺利方便的进行,必须要有网络信息的安全作为保障。所以我们要不断得完善信息安全管理体系,寻求研发网络安全技术与措施,同时我们自身也要不断提高网络使用的安全意识来不断推动网络安全高速发展。
随着近日基于端口445漏洞名为“wannacry”(中文名“永恒之蓝”)的蠕虫病毒在全球范围内的大肆传播,计算机网络信息安全再次成为人们关注的重点。在这次病毒传播过程中,许多国家的政府、医疗、电信、教育等机构的计算机网络系统都受到了一定程度的损害,我国也不例外,其中各部门内部网受害极其严重,比如高校教育网、政府内部网等。虽然我国对此次病毒的传播作出了及时的反应并采取了相关的措施,但是病毒传播给各行各业带来的危害却已无法挽回。由此看来,计算机网络空间信息安全依旧是信息时代不容忽视的问题。
一、计算机网络信息安全面临的威胁
1.自然因素的威胁
由于计算机的工作环境较为多变,其运行往往会受到自然因素的影响,这些自然因素具体包括不可抗力的意外事件与自然灾害,比如地震、水灾、等对计算机及互联网造成物理性破坏的自然事件。由于计算机繁杂的内在构造与脆弱的外部材料,当遭遇这些破坏力极大的意外事件时,计算机系统内的重要数据等信息往往会随着计算机的损坏而遭到永久性地灭失,从而造成无法挽回的损失。然而,由于计算机工作环境大多在具备较强防震防灾的现代办公场所内,加之自然灾害与意外事件的发生概率较小,因此,自然因素对计算机网络信息安全带来的威胁并不是最主要的。
2.计算机病毒的威胁
计算机病毒对计算机网络信息安全的威胁最为明显,其也是信息安全研究人员投入时间与精力最多的威胁。计算机病毒往往利用计算机系统和应用软件的漏洞,通过其快速、广泛传播的特点且对一定范围内的计算机网络系统造成巨大的损失。由于计算机病毒通常是通过隐藏在计算机的可执行程序、相关数据与文件中的方式进行传播,因此,计算机的一般用户很难发现病毒的存在,从而使计算机病毒大肆传播,造成对更多计算机的破坏,具体包括通过一些僵尸程序来影响计算机运行效率;对计算机存储设备中的数据进行窃取、改变(如永恒之蓝对受害机中的文件副本进行加密)、甚至直接破坏;以及利用硬件驱动漏洞的病毒对计算机的主板等零部件进行破坏。因此,计算机病毒对计算机网络信息安全的破坏力是极大的。
3.计算机网络系统自身的漏洞
由于计算机网络系统传播数据是以开放的形式传播的,为用户提供海量的数据信息,因此,从计算机安全的角度来看,这种开放的信息传播方式难免会被别有用心的人所利用,他们基于网络漏洞来恶意攻击、盗取、篡改计算机系统数据。同时,计算机网络的IP协议本身安全系数就不高,且时常面临着恶意攻击、拒绝服务、盗取甚至篡改数据的危险,因此,计算机网络系统自身的漏洞也是计算机网络信息安全面临的重大威胁之一。
4.计算机用户操作不当
计算机用户普遍,不可能每个使用者都对计算机信息安全有所了解,往往只是受过使用方法的培训,对于计算机网络安全问题并未进行过系统、全面的了解,因此在用户使用过程中,往往会因为操作上的不当致使计算机遭受黑客等恶意攻击。据了解,现在很多计算机成为黑客手中的“肉机”,计算机中的数据对黑客来说是透明的。普通的计算机用户往往只会利用市面上的杀毒软件来加强计算机网络信息的安全,这不能完全抵挡黑客高手的攻击。还有很大一部分用户为了上网无阻,将防火墙关掉;为了降低开机时间将系统自动更新关闭,这些都是不当的操作,给侵入者可乘之机。
5.垃圾邮件和间谍软件
與计算机病毒相比,垃圾邮件主要是通过电子邮件这一载体强行传播商业、宗教以及政治方面的内容,对计算机网络用户造成一定程度上的骚扰;而间谍软件则是通过改变计算机设置、窃取计算机数据等方式对计算机信息安全造成威胁。
二、计算机网络信息安全的防护措施探究
1.计算机用户及时更新杀毒工具以及开启防火墙
基于前文对计算机网络信息安全威胁的分析,我们知道黑客利用计算机系统漏洞及网络系统漏洞对计算机攻击是计算机网络信息安全最常见的问题。而计算机用户在日常使用过程中往往会通过各种形式的网络账户传递信息,这就给黑客攻击计算机系统提供了便利。黑客通常通过窃取计算机用户的网络账号来入侵目标机,因此,计算机用户在使用计算机时要加强对自己网络账户的保护,可以以定期更换密码并加强密码复杂程度的方式来避免黑客轻易窃取到相关账户信息以及密码。根据计算机的具体使用场合选择适合的防火墙软件,常见的防火墙应用技术主要包括地址转换防火墙、检测防火墙、防火墙等,其中监测防火墙作为新型防御手段,对传统的防火墙技术进行了一定程度上的颠覆,其主要是通过对计算机系统的实时使用情况进行详细的监测,为计算机网络系统的正常运行提供有力的保障。
2.完善计算机系统的漏洞布丁
计算机系统是由繁杂的硬件、操作系统、系统应用组成的庞杂系统,其在设计和生产过程中难免会存在一些技术上的漏洞,如系统漏洞、应用程序设计漏洞、硬件上的缺陷等,因此,在后期对计算机系统中存在的漏洞进行完善成为维护计算机网络信息安全的重要途径之一。在计算机的实际使用过程中,各种病毒以及不法入侵软件通过计算机系统的漏洞对用户的计算机的数据进行窃取和篡改,而漏洞布丁就很好地降低了这一风险。
3.广泛应用网络监测技术
由于计算机网络系统的开放性特征,使得形式各异的数据传入计算机内部,其中隐藏的病毒若没有被发现或者没有被有效的拦截,必将会为计算机数据与信息遭到破坏埋下一颗“炸弹”。因此,对计算机网络系统进行相应的入侵检测是十分有必要的。具体的监测手段主要包括统计分析、人工智能、判断推理等部分,通过对计算机网络系统进行严格的监测与筛选,以此判断计算机系统内部是否存在被入侵的危险。做到知己知彼,以防被当做“肉盾”。
4.必要时进行文件加密与数字签名
文件加密与数字签名手段主要适用于对安全系数要求较高的计算机用户,在对计算机系统进行了相关的防护与监测后,为了进一步提高计算机系统的安全性,可以采取此种方法对重要文件和数据进行加密,从而更大限度地保证文件与数据与入侵软件与病毒之间被有效分离。具体而言,加密手段是通过具体的口令、密钥以及权限认证等方式甄别用户的身份,文件加密以及数字签名处理,而数字签名则是通过对电子文档的甄别认证来保障数据与文件的私密性不被破坏,具体的实现形式包括非对称以及单向散列计算函数签名、对称加密以及时间戳签名等。
三、结束语
随着互联网在我们的生活和工作中扮演的角色越来越重要,对于计算机网络信息安全的保障也应受到相应的重视,只有提高网络空间抵御不法入侵的能力,才能保障计算机网络信息的安全,为计算机用户提供一个安全可靠的网络环境,才能使计算机更为有效地为我们服务。
参考文献
[1]王磊.关于计算机网络信息安全及防护策略探究[J].电脑知识与技术,2014,(19):4414-4416.
[2]刘发胜.浅议计算机网络系统中的信息安全风险与防护措施[J].电脑知识与技术,2014,(09):1876-1877.
关键词:计算机信息安全;安全隐患;对策
一、通信网络安全体系结构
(一)通信网络与计算机网络安全体系结构
安全管理员的工作主要有两个界面:一个是对整个系统的安全进行管理的界面,相当于计算机的防火墙,它可以对传输过程、访问过程和协议中的数据源进行限制;另一个是系统的用户管理界面(包括用户级管理、权限管理)。实现中有两个模块:主机上资源的访问控制和网络资源的访问控制。安全特性数据库是系统的关键组成部分。系统有一个专门的数据库存放安全数据,对网络中存在的系统漏洞、攻击手段、安全漏洞进行不断的发现和补充。系统包括对用户访问的控制、用户的认证和安全的检查,包括对外部资源的访问控制和内部资源的访问控制等组件。
(二)电信网络的典型攻击
1.木马病毒
木马病毒的前缀是Trojan,黑客病毒的前缀一般是Hack。木马病毒的公有特点指的是它会利用系统或者网络的漏洞进入到用户的系统中,然后盗取用户存储在计算机中的信息,造成用户信息的泄露。而黑客病毒则是一个可视化的界面,可以远程控制用户的电脑。黑客病毒和木马病毒往往是同时出现的,木马病毒首先进入用户的电脑,然后黑客病毒利用木马程序控制用户的电脑,现在这两种不同类型的病毒逐渐的融合,一般的木马病毒比如QQ的木马病毒Trojan.QQ3344。还有大家可能比较常见的某些网络游戏携带的木马病毒比如Trojan.LMir.PSW.60,这里我们需要知道的一点是一般病毒名中含有PWD或者PSD等的病毒都可以对用户的密码进行盗取,这些字母一般都是密码英文名的缩写。
2.脚本病毒
脚本病毒的前缀是:Script。脚本病毒的共有特性指的是通过网页传播的用脚本需要编写的病毒。比如红色的代码Script.Redlof,有些脚本还会有JS、VBS等的前缀。脚本病毒为了有一定的运行机会,通常会采取用户不太注意的手段,比如用.jpg.vbs命名的邮件等,因为系统默认不显示邮件的后缀,所以用户在看到这个文件时,会觉得它可能是一张图片。
二、网络通信与信息安全保护的技术对策
(一)加快对网络防火墙技术的研究脚步
防火墙是一种安全隔离技术和数据访问控制机制。它实现了企业内部网与外部网络之间的安全防范系统,将企业内部网与外部网络分开,限制用户进入严格控制的保护点。防火墙通常部署在受保护的Intranet和Internet的边界。它不仅用于与外部Internet连接,还用于保护企业内部网中的服务器和重要数据资源。即使用户来自内部网络,对受保护资源的访问也应该通过防火墙进行过滤。
(二)加强对网络的监控力度
随着人们对网络安全的重视程度的增加,对入侵检测技术的研究力度也在不断的深入,并且取得了一定的成果。入侵检测技术的出现,是对计算机网络进行实时监控,监控计算机网络是否被入侵。入侵检测技术的成功应用大大降低了计算机网络信息安全的风险。然而,随着科学技术的发展,黑客和病毒也在发展,这对网络信息安全非常不利。因此,我国应加强对入侵检测技术的研究,加强对网络的监控,以保证计算机网络信息的安全。
(三)加强对网络信息数据储存的措施
在计算机网络信息数据存储中,通过增加重要文档的安全措施和密码保护设置,可以提高计算机网络信息的安全性。在中国,许多计算机用户简单地认为只有设置密码才能保证计算机的安全。事实上,由于计算机网络环境极其复杂,并不意味着带有密码的计算机只属于一个人。因此,对于这种现象,计算机用户应该在计算机中加密和存储重要的文件和数据。同时,云技术的使用也应谨慎,如果有文件需要存储在云中,最好设置一个更复杂的密码,并记住定期更换以提高安全性。只有这样才能真正保证计算机网络信息安全的提高。
2013年6月,美国《卫报》和《华盛顿邮报》对于棱镜门事件的报道使世界哗然。美国政府通过监听、监视民众的通话记录和网络活动掌握重要信息。这起事件背后不得不让人深思,也说明我国网络安全受制于人的严重困局。从网络诈骗,获取银行密码,盗取信用卡钱款等,再到斯诺登的棱镜门事件,导致国家和人民的利益深受侵害,这种种行为都归结于信息在传送和存储的过程中没有得到安全保障。不管从国家和人民的利益,还是从道德与法律的层面出发,对于信息安全的防范和保护都显得尤为重要。
信息安全专业是在网络高速发展,安全事情日益增多,安全问题越来越重要的情况下发展起来的,是由数学、计算机科学及技术和通信工程等学科交叉而成的一门综合性学科。自2001年武汉大学创办我国第一个信息安全本科专业以来,据教育部高教司统计,截至2010年,教育部共批准了78所高校设置了信息安全本科专业。在本专业的课程体系、教学内容以及全部教学实践活动的环节中,应从基础理论教学着手,把提高工程实践应用和增强学生创新能力应用及设计开发应用作为导向,重点培养学生实践动手能力。
本文在对信息安全专业培养课程研究的基础上,从理论切入到实验教学,结合以防火墙为例的网络防护技术,调查分析教学效果,提高学生的实践动手能力和学习积极性。
1 信息安全课程体系结构
信息安全学科不仅具有很强的理论性,同时也具有非常强的实践性,许多安全技术与手段需要在实践过程中去认识、去体会。[4]在本专业的全部教学实践活动中,应从基础理论着手,把提高工程实践应用和增强学生创新能力应用及设计开发应用作为导向,重点培养学生实践动手能力。
1.1课程内容设计
鉴于信息安全专业是交叉性综合学科的特点,本专业的理论课程设置分为两类。即基础理论课程和核心理论课程。如表1。
基础课程可以让学生初步认识到计算机的工作原理、软硬件系统等相关应用,对于学生学习密码学、信息论等核心课程有一定的促进作用,而且有利于学生下一步学习与深造。核心课程的设计是对本专业学习的综合提高,使学生在一定的基础之上更高层次的掌握本专业的顶层内容。这种课程体系的设置保证了学生可以适应信息安全领域、通信工程方面的相关工作,从而更好的满足社会发展和国家需要,缓解学生未来的发展和就业压力,规避行业风险。
1.2理论与实践相结合实践培养
建构主义学习理论认为,知识不是通过教师传授得到,而是学习者在一定的情境下,借助于他人(包括教师和学习伙伴)的帮助,利用必要的学习资料、媒体,通过意义建构的方式而获得。实践教学是实用性高级信息安全人才培养的重要环节,直接影响人才的培养质量。[4] 在实验过程中,学生以理论知识作为基础,通过分析、判断,运用理论知识解决问题。[5]实践教学是培养学生工程能力和解决问题能力的一种重要方法和途径。借鉴传统教学方法中的优点,采用“上课+上机操作”的传统教学模式,积极利用实验室现有设备和资源,重组理论与实验教学体系,建设基础—综合—创新的三级实验教学模式,增强学习过程中的自主性与合作性。实验教学不仅承担了对基础理论知识的验证,传送实验技能的任务,而且对于培养学生勇于探索、自主创新能力的提升也有所帮助。
2 网络安全防护技术实例
实践教学作为信息安全专业教育的重要内容,不仅对帮助学生理解信息安全专业的基本概念、原理和机制具有重要作用,也是培养学生实践动手能力和应用型工程人才的关键环节。该文提出把提高学生学习的主动性和参与性作为重点教学内容,进行教学活动的设计与实施。网络防护技术是安全防护技术之一,加固防火墙是实现网络防护的基本手段。该文以两人实验小组为依托,组织对抗性攻防实验,通过学生具体参与操作,增强学生的探索创新能力,充分发挥学生竞争意识,实行组内加分,组间互助的考核策略,最终达到能够合作设计完成综合实验的教学目的。具体实验教学模式如图1。该文以配置SMART-V防火墙实验为例,通过课堂实例来具体阐述本文的教学模式与理念。
2.1防火墙技术简介
防火墙是由软件和硬件设备共同组成的,它存在于内部网络与外部网络之间,是能够实施网络访问控制的系统。防火墙的常用技术分为包过滤技术、服务技术、网络地址转换技术、虚拟专用网VPN技术、审计技术、信息加密技术。
2.2防火墙典型体系结构
防火墙体系结构通常分为双重宿主主机体系结构、被屏蔽主机体系结构、被屏蔽子网体系结构。该文主要介绍被屏蔽子网体系结构。学生实验设备为联想网御Smart V系列防火墙,该产品集成防火墙、VPN、交换机功能于一身,满足学生学习应用要求。
被屏蔽子网体系结构的最简单的形式为两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。如图2所示。
2.3配置SMART-V防火墙
2.3.1分配任务
根据本班人数(32人),划分为16个实验小组,每两人一组,规划网络拓扑进行实验。实验拓扑如图3所示。
2.3.2实验过程
1) 置防火墙IP地址,保障主机A与B能正常通信。
2) 主机A对B主动实施TCP SYN Flood攻击。通过A主机实施攻击,实验小组了解到TCP SYN Flood攻击原理,并对TCP建立三次握手的协议进行了复习和巩固。
3) 每组成员共同架设防火墙。
4) 测试连通性分析参数。
主机A使用相同的方法对B实施TCP SYN FLOOD攻击,B仍可以保持相同的网速继续上网,说明防火墙阻挡了TCP SYN FLOOD攻击。最后撰写实验报告,教师给予小组成员评分。
2.3.3教师根据实验情况,总结实验。
本次实验共16组成员,其中10组成功完成了防火墙的配置与测试,2组没有配置成功,剩余4组由于时间原因未能完成实验。具体实验情况如图3所示。
根据实验进行的结果,62.5%的同学合作完成SMART-V防火墙的配置与测试,巩固了TCP协议的相关知识,了解了TCP SYN Flood攻击的部分手段,对于网络攻防技术的掌握更加具体化。对于未能完成实验的同学根据老师的帮助下查找错误原因,解决问题。有些同学由于其他原因未能完成实验,也给教师更多启示,教师应该根据具体实验时间与内容做出更加合理的安排。有兴趣的同学还可以在老师的指导下进行进一步的探索与实验,例如教师可以推荐联想网御N3000 IDS基本技术,学生自主完成配置操作,从中学习IDS的基本知识和技术(包括探测器、规则匹配、事件分析等),通过亲自体会与实验,能够进行N3000的基本配置及检测报表分析,并能从中理解IDS在网络安全防护中的重要作用。该实验过程应印证了从基础配置到探索创新的三级实验模式,也是学生自主完成从基础—综合—创新的提高过程。
3 结束语
信息在传播过程中要保证其可获性、完整性和机密性,还要保障网络传播设备的安全性和传送数据的可恢复性。实验教学过程给学生提供更多的学习和发展平台,增强学生自主创新能力,符合本专业培养方案与目标。信息安全专业提倡学生进行自主实验,把提高实际动手能力作为学习与科研的重要基础环节。教师应提供更多对抗性实验机会,充分发挥学生的竞争意识,多环节使用鼓励加分机制,把提高学生的积极主动性作为教学设计的第一过程。该文结合网络安全防护技术的实际教学案例,充分发挥基础—综合—创新的三级教学模式,最大程度唤起学生在学习过程中的自主性、互,并取得良好的效果。希望对于本专业今后的教学提供参照与帮助,成为信息安全专业实验教学模式的具体体现与补充。
作者:左博新 胡文婷 肖佳佳 来源:电脑知识与技术 2014年35期
——瞻博网络亚太区高级技术副总裁Andy Miller
在下一代数据中心体系架构下,网络攻击方式发生了很大的变化。视频、移动、云等越来越多的新应用需求让网络管理人员面临着前所未有的重压,而很多企业对此还没有相应的解决方案。
“在过去的两年内,全球有73%的公司曾经遭受过黑客通过Web应用程序发起的网络攻击,其中有53%的公司遭受过针对其数据中心的外部攻击。60%的信息安全从业人员认为,目前的新一代防火墙和IP信誉体系只能解决部分网络安全威胁。”在近日由中国计算机报社举办的第十四届中国信息安全大会上,瞻博网络(Juniper Network)亚太区高级技术副总裁Andy Miller表示,不断发展的软件定义网络(简称SDN)在弥补传统网络的缺陷、满足更多用户新需求的同时,也给网络的信息安全带来更多新的挑战和新的市场机会。
蜜罐:收集可疑行为的完整信息
面对愈演愈烈的网络攻击,很多网络管理人员束手无策。因为要想阻止这些攻击,仅仅检测到攻击的存在已经远远不够,他们还必须掌握攻击者实时、准确的信息,并将这些信息整合到核心网络安全控制之中,方可采取应对措施。
近日,瞻博网络推出专门用于保护数据中心环境的新一代安全产品,以及Junos Spotlight Secure(全球攻击者情报服务)。Andy将Junos Spotlight Secure 形象地称为“蜜罐”。“其实我们采用的是一种入侵诱骗技术。我们将‘蜜罐’安放到所有攻击者可能出没的地方,并根据分析出来的异常信息锁定黑客的攻击行为。当他们对企业的网络发动攻击时,我们并不会立刻采取阻击行动,而是将他们的行为封闭在‘蜜罐’中,让他们继续活动,以便记录各种攻击行为的完整信息。”
据悉,这是目前业界唯一基于云的全球攻击者情报服务,它能在设备层面上识别单个攻击者,并在一个全球性的数据库中进行跟踪。与当前仅依靠IP地址识别攻击者的信誉体系相比,Junos Spotlight Secure能为客户提供有关攻击者更详细的安全情报,并能极大地减少误报。基于超过200个独特的属性,该解决方案将为攻击者创建一个持久的指纹图谱,实现在不阻止合法用户的同时精确阻断攻击者。一旦攻击者被识别并在使用Junos WebApp Secure的用户网络中留下了指纹图谱,数据库将立即与其他用户共享该攻击者的信息,并在多个网络中实时提供先进的安全措施。
瞻博网络推出的Junos WebApp Secure 和 SRX Series Services Gateways(SRX系列服务网关)都是使用了“蜜罐”的安全产品。Junos WebApp Secure部署在防火墙与应用服务器之间,能集成来自“蜜罐”的情报资源。通过与 Junos WebApp Secure集成,瞻博网络 SRX 系列服务网关能在安全范围内阻止已被识别的网络攻击,并对阻止僵尸网络和大型网络攻击有特殊的效果。
目前,瞻博网络的信息安全解决方案已被纳入到整体的安全服务链中。这种做法将有助于更多信息在网络层之间实现共享,并能将其作为SDN服务链的一部分,以帮助客户快速部署安全服务。
SDN与信息安全自动连接
从2012年开始,SDN逐渐成为炙手可热的概念。Andy认为,SDN是根据客户的需求演进而来,它并不是网络厂商忽悠用户的营销说辞,而确确实实将成为一个长久的发展趋势。
在近期的SDN白皮书中,瞻博网络总结出SDN的六大特点:
1.将网络软件清晰地划分为四个层次:管理、服务、控制和转发——提供支撑架构来实现网络内每一层的优化;
2.将管理、服务和控制软件的相应部分集中起来,以简化网络设计并可降低运营成本;
3.使用云来实现灵活的扩展和部署,推动基于使用的定价机制,以便更快地提供服务,并将成本与价值关联起来;
4.在管理系统中创建一个网络应用、服务和集成的平台,以实施新的业务解决方案;
5.推动协议标准化,以支持多个供应商异构技术之间的互操作性,从而为用户提供更多选择并降低成本;
6. 将SDN原则广泛应用于包括安全在内的所有网络和网络服务中——从数据中心、企业园区到服务供应商使用的移动和有线网络。
瞻博网络还将SDN的落地过程归纳为四个步骤:第一步,将网络管理、分析、和设置功能集中起来,以便总体设置所有的网络设备;第二步,建立业务虚拟机(VM),将网络和安全业务从底层硬件中抽取出来;第三步,采用集中化控制器,将网络内的多重网络和安全服务设备串联起来;第四步,优化网络使用和安全硬件,以实现更高性能。
“我认为我们需要SDN的首要原因是,客户需要系统架构拥有更强的灵活性,需要我们能够十分快速地部署网络的安全策略。” Andy举例说,如果要在虚拟存储器或者网络上安装一个设备,其实过程非常简单,但是要完整地配置整个网络环境,则一般是非常漫长和困难的。如果利用SDN在虚拟网络上进行工作,则可以极大地提高配置系统的速度。此外,在大数据的应用、设备和数据的移动性等方面,SDN也有着天然的优势。
当大家谈起SDN的时候,很多人误认为SDN只跟数据中心有关系,其实,SDN跟整个流程以及整个网络都是相关的,包括网络软硬件、相关的服务、云的应用等。面对如此庞大的系统架构,安全性的考量必不可少。
如何才能把SDN和安全连接起来呢?Andy表示,“我们希望通过自动的方式把它们连接起来。通过SDN的控制器和SDN技术,以及一个集中式的全球网络推送命令来自动实现。我们要给予SDN全方位的安全保护。未来,无论客户应用什么样的网络,我们都必须保证其外部和内部都是安全的。”
不必担心硬件的未来
自从1996年成立以来,硬件系统、芯片设计、网络架构等方面就一直是瞻博网络的核心竞争力。同时,瞻博网络也是网络编程的倡导者,而这正是SDN概念的基础。早在SDN这一词汇出现之前的很长时间里,瞻博网络在交付网络产品时,就已经开始通过软件来灵活地为客户进行按需配置。
关键词:网络信息;安全;保障体系;防治工作
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2012) 07-0000-02
一、现代网络的特征
现代互联网的特点是基于分组交换,同时面向无连接的,传统的互联网的特点是面向连接的,提供的服务是可靠性的,也就是提供可靠付,当在网络上需要传输一份报文或者是分组,首先要建立一条连接,如果这个连接很稳定,那么报文会顺利、完整的传输,如果这条线路不稳定,那么这份报文或者是分组就不会传输,不会传输部分内容,提供的是完整、可靠性的交付。与传统的可靠付相比,现代互联网可以被称为IP网络,提供个是不可靠性的交付,从另一方面来说,就是提供的是尽最大的努力交付,尽管ip网络在一定程度上,解决了数据传输速率上的很多问题,适合一些对网络信息安全要求不是很高的环境,但是,一旦遇到对计算机网络信息安全要求较高的环境,ip网络就会遇到很多问题,ip网络同时给计算机黑客留下了一些供攻击的接口,相对容易和松散,这也造成了,很多黑客热衷于ip网络,借助于ip网络进行病毒传播,达到控制计算机一级盗取和篡改计算机信息的目的,正是因为ip网络是面向连接的,网络路由和流量的分布是随机的,不同的网络流量分布具有不一样的效率,出现问题以后又很难找到原因,基于以上这方面的原因,IP网络攻击是无处不在,使维护IP网络的复杂性大大增加。
二、计算机网络安全的定义
在网络环境中,运用计算机网络管理控制技术措施,确保数据的保密性,完整性和可用性。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指的是系统设备及相关设施受到保护,防止遭到破坏,逻辑安全,包括保密信息的完整性和可用性。
三、网络的不确定性
计算机信息是不确定的因素很多,包括人为因素,自然因素和随机因素。其中,人为因素:一些不法分子利用计算机网络中的漏洞潜入电脑室,窃取计算机系统资源,非法获取重要数据,篡改系统数据,硬件损坏等等。人为因素是计算机信息网络安全威胁的主要因素。
四、网络安全对策
系统的安全和保密控制包括了保证适当的人员能在适当的时间执行相应的活动,以及能够使用适当资源去完成此项活动;确保未经授权执行某种活动或某些资源的人员应受到相应限制并阻止该活动发生;确保在未经授权内或因某种原因,使已被授权的人员暂时不能去执行授权活动或使用授权资源;检测并记录任何违反上述规定的行为。这对于信息系统来说是特别重要的。
进行网络安全的防护,要做到以下几个方面:
(一)网络安全需求
根据ISO 7498-2提出的安全服务,相应的提出了网络安全需求,主要包括身份认证、权限控制、数据加密、数据完整性和抗抵赖性。
1.身份认证
身份认证是授权机制的基础。身份认证必须做到准确无二义地将对方辨别出来。应该提供双向的认证,即互相证明自己的身份。在单机状态下身份认证主要可分为三种类型:意识双方共享某个秘密信息,如用户口令;二是采用硬件设备来生成一次性口令;三是根据人的生理特征,如指纹、声音来辨别身份。在网络状态下的身份认证更加复杂,主要是要考虑到验证身份的双方一般都是通过网络而非直接交互。目前一般使用基于对称密钥或公开密钥加密的方法,如Kerberos,PGP。
管理系统可以采取密码口令的方式,并且在验证身份的同时加上随机验证码的方式来对系统的用户身份进行验证,防止个别用户通过猜密码方式来获取超级管理员权限,系统管理是对整个系统的用户、角色、权限、资源等设计系统安全以及数据的管理和维护,如果超级管理员信息泄露,将会对系统造成灾难性的后果。因此网站同样采取了用户名和密码匹配,以及随机验证码的方式来控制用户身份。
2.授权控制
授权控制是控制不同用户对信息访问权限,对授权控制的要求主要有:
一致性,即控制没有二义性;对教师、学生以及管理员的权限一致性进行控制,管理员具有高于教师和学生的权限,教师有高于学生的权限。统一性,对信息资源集中管理,同意贯彻安全策略;要求有审计功能,对所有授权记录可以审查;系统记录角色用户的使用轨迹。尽可能地提供细粒度的控制。
3.数据加密
数据加密是最基本的保证通信安全的手段。目前加密技术主要有两大类:一类是基于对称密钥加密算法,也称为私钥算法;另一类是基于非对称密钥加密的算法,也称为公钥算法。加密手段可以分为硬件加密和软件加密法。硬件加密速度快、效率高、安全性好、成本高;软件加密成本低而且灵活。密钥的管理包括密钥的产生、分发、更换等。
4.数据完整性
数据完整性是指网上传输的数据应防止被修改、删除、插入、替换或重发,以保证合法用户接收和使用该数据的真实性。
5.抗抵赖性
接收方要确保对方不能够抵赖收到的信息是其发出的信息,而且不是被他人冒名、篡改过的信息。通常采用的方法是电子签名。
(二)网络安全防范体系层次
全方位的、整体的网络安全防范体系也是分层次的,不同层次反映了不同的安全问题。根据网络的应用现状情况和网络的结构,可以将安全防范体系的层次划分为物理层安全、系统层安全、应用层安全和安全管理。
1.物理环境的安全性(物理层安全)
该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备的安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力、防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。
系统可以在IBM小型机上,对小型机房的安全采取了日常登记制度,凡是进入机房的人将填写进入机房记录,无论是打扫卫生人员还是系统专业技术维护人员等都要将自己的目的,时间,个人信息等记录到机房进入记录本中,这样可以做到一旦发生问题可以将事故原因定位到确定的个人,机房内的装饰完全按照国内先进设备的机房建设标准,防尘等措施,配有ANPECD的ups电源,提供在非正常断点情况下的持续供电能力。
2.操作系统的安全性(系统层安全)
该层次的安全问题来自网络内使用的操作系统的安全,如Windows NT,Windws 2000等。主要表现在三方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是对操作系统的安全配置问题;三十病毒对操作系统的威胁。
系统部署在IBM小型机的aix操作系统之上,系统基于unix内核,正式因为unix系统的安全性做保证,对操作系统的要求方面可以达到标准水平,unix操作系统因其运行稳定、多用户多任务、网络功能强和抗病毒能力较强等因素,已成为主流网络操作系统平台之一。unix系统是为支持多用户而设计的,因此为用户访问机器提供了多种途径,也为用户之间和多机之间的通信提供了多种 工具,这些途径和工具在方便用户使用方面无疑发挥了极大的作用。
3.网络的安全性(网络层安全)
该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。
4.应用的安全性(应用层安全)
该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。此外,还包括病毒对系统的威胁。
5.管理的安全性(管理层安全)
安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等、管理的制度化在极大程度上影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其他层次的安全漏洞。
五、病毒的预防
病毒的入侵,势必给系统资源带来严重的威胁,影响系统正常运行。计算机病毒通过网络传播,使整个计算机网络在很短的时间内瘫痪,造成巨大损失。因此,为了防止病毒入侵,检测和消除病毒是最重要的。防病要比治毒更重要,运用各种信息技术,安全操作系统技术,防火墙,病毒防护技术,入侵检测,安全扫描技术等等,形成一套全面的网络安全防护体系。
参考文献:
[1]刘安定.浅谈计算机网络安全与防范[J].佳木斯教育学院学报,2011,06
关键词:网络信息;网络信息安全;互联网+时代;挑战与思考
中图分类号:TP393.08 文献识别码:A 文章编号:1001-828X(2016)027-000-01
前言
对于网络信息安全这一严峻挑战,应当将与信息安全密切联系的发展趋势的问题高度紧张重视起来,针对如何确保互联网+时代下网络信息安全这一问题进行深入研究和分析,提出可行的战略措施,用谨慎的态度为互联网安全穿上无坚不摧的“铠甲”,在互联网时代切实地保证国家和人民的安全,以此大力发展有关网络信息安全的产业,利用好自身优势,为国家的网络信息安全贡献出自己的力量。
一、互联网+时代下网络信息安全的险峻局势
“互联网+”指的是通过互联网加强传统产业的升级和提高,结合新产业培养新的随着互联网+计划的快速进展,随着宽带中国这一战略的实施推进,国家互联网实行了全面的升级和提速,用户规模逐渐扩大,4G网络正式进入到人们的日常生活。其中,网络信息安全已成为保障实施的重点环节。在互联网+的倡导下形成的万物互联趋势,其安全方面是不容忽视的保障基础,需要国家高度的重视,并及时部署相应的措施。
目前,网络信息安全已然成为关乎国家稳定和社会安全的重要问题。随着近些年来国内和国外大量有关网络信息安全事件的发生,诸如五角大楼连续被黑客入侵、“震网”攻击、“极光攻击”、“夜龙攻击”以及斯诺登“棱镜门”事件;国内不法分子通过非法渠道获取到个人用户信息进行诈骗、信息传播等等。利用互联网传播的恶意木马程序的域名高达一点五万个,违法IP地址六万多个,境内被肆意篡改的网络站点超过两万多个,钓鱼网站三万个,一些匿名的高级黑客组织至少侵入过我国六百多个政府网络;宽带接入点被攻击劫持,还有各种CN域名遭遇木马病毒攻击导致服务器瘫痪等事件,由网络信息安全的疏漏导致的国家经济损失高达上千亿。在这样复杂严峻的局势下,随着网络信息技术的不断发展进步,网络信息安全相关的问题和进入了更加复杂的领域。如果无法保证这一方面的安全,后果将不堪设想[1]。
随着云计算、SDN、大数据、物联网等网络技术的蓬勃发展,各个领域中网络信息安全的威胁也出现了向着多元化发展的趋势,因此在互联网+的各个领域中,消费者和用户所面临的安全威胁和挑战就变得更加复杂。在一些信息安全技术的行业领域,其针对网络信息安全的对策还存在着短板,在如此复杂的严峻形势之下,必须加快速度、大力推进在互联网+的时代之下网络信息安全的实施,促进国内网络信息安全产业更加深入。
二、互联网+时代下网络信息安全的整顿策略
进入互联网+时代以来,我国至今为止已经有超过6亿网民和5亿的智能手机用户,社交网络的进步、移动设备、电子芯片在各大企业和群众中广泛普及,为互联网+时代奠定了坚实稳固的基础。在互联网+时代下,以互联网为代表的发达的信息技术加速了各个行业产业的渗透、发展与融合,通过对传统产业产量的提升进行改革创新,在此基础上催生出新兴产业的发展。为了尽快适应新的常态,谋求新的发展,国家应当坚持新型产业工业化的道路,以信息化和工业化的深度结合为基准,大力发展互联网+业务的新型服务内容,打造高质量高校的升级版的现代化互联网信息技术强国[2]。
怎样利用有效的措施来应对互联网+时代下的网络信息安全问题是针对目前网络环境和安全状况的首要目标,互联网技术应吸取发展中的经验教训,避免重蹈覆辙,对网络间传输的信息实施认证,及时阻止违法恶意的信息传播到人群中去。保证传输信息的真实性,遵守网络环境中的秩序,对信息来源加以保护,确保用户的权益。
互联网+时代下云计算这一技术的发展除了给人们生活提供便利之外。也会导致全球信息资源集中到国际信息产业巨头。倘若大量的用户信息经过整理和聚合以后被不法之徒分析滥用,那么带来的危害是无法忽视的。所以,国家网络信息安全的工作一定得是建立在可信和可控的产业基础上。为的是提高互联网技术自主创新的能力,增强网络信息技术和相关服务的可控水平,并相应地提高网络信息安全技术的构建,提高对木马病毒的追踪能力,正确判断出网络遭受攻击时的目标来源,将有用的数据加以提取,让隐藏在数据背后的黑客“显形”。
加快制定出网络信息安全相关的战略对策,建立健全完善的安全防护体系,加强网络信息的安全保障工作。对恶意木马程序及时治理,及时修复网络中存在的安全漏洞。最重要的,是提高网民的警惕性和自我保护意识,定期进行网络安全教育的宣传,提高网民综合素质,才能全面地维护互联网+时代下网络信息的安全[3]。
三、结论
在现代信息社会的发展进步中,能够控制住网络便是掌握了整个世界的发展,在电子信息技术家喻户晓的今天,互联网技术高速发展,网络信息安全已然变成全局性的重点关注问题。千里之堤,溃于蚁穴,只有将这个问题高度重视起来,积极发展互联网+时代下网络信息安全的服务内容,加快安全可控的信息技术在各个领域中的推广和应用,鼓励基于互联网安全下技术、产品等服务平台的建设和创新,持续互联网技术下信息安全新模式的发展,才能有效保证国家信息的安全和广大人民群众个人信息的安全,才能为互联网+时代中网络信息技术的发展塑造更加良好和安全的环境。
参考文献:
[1]李晶.“棱镜”折射下的网络信息安全挑战及其战略思考[J].情报理论与实践,2014,04:48-52.
[2]王莉.“棱镜”折射下的网络信息安全挑战及其战略思考[J].信息安全与技术,2015,01:5-6+13.
