时间:2022-08-21 13:40:42
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇信息网络安全论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
近年来,电力企业不断发展,特别是水电企业,改变了以往一直以来封闭式的网络结构和业务系统,利用信息网络逐渐跟外界接口联系,许多企业都建立了自己的网络系统,如企业门户、办公自动化系统、财务系统、营销系统、生产管理系统等,极大提高了办公效率,实现数据实时传输及共享。信息化的发展、网络的普及,使办公地点不紧紧局限于办公室,远程移动办公成为了可能,办公效率也大大提高,突破了时间及空间的限制,但信息化高速发展的同时也给我们带来了严重的网络安全问题。对此国家也非常关注,特意成立中央网络安全和信息化领导小组,再次体现出过对保障网络安全、维护国家利益、推动信息化发展的决心。由此可见,网络安全已经到了不可小视,必须深入探讨研究的地步。
2广蓄电厂信息网络安全建设
2.1网络安全区域划分
划分安全区域是构建企业信息网络安全的基础,提高抗击风险能力,提高可靠性和可维护性。广蓄电厂内网划分为网络核心区、外联接入区、IDC业务区、终端接入区。网络核心区域是整个电厂信息网络安全的核心,它主要负责全网信息数据的传输及交换、不同区域的边界防护。这个区域一般包括核心交换机、核心路由器、防火墙及安全防护设备等。IDC业务区主要是各业务应用服务器设备所在区域,如企业门户、OA系统、生产管理系统等各信息系统服务器。终端接入区即为终端设备(如:台式机、笔记本电脑、打印机等)连入内网区域。
2.2二次安防体系建设
根据国家电监管委员会令第5号《电力二次系统安全防护规定》、34号《关于印发<电力二次系统安全防护总体方案>》的相关要求,电厂坚持按照二次安全防护体系原则建设:
(1)安全分区:根据安全等级的划分,将广蓄电厂网络划分为生产控制大区和管理信息大区,其中生产控制大区又划分为实时控制Ⅰ区和非实时控制Ⅱ区。
(2)网络专用:电力调度数据网在专用通道上使用独立的网络设备组网,采用SDH/PDH不同通道等方式跟调度、各电厂的生产业务相连接,在物理层面上与其他数据网及外部公共信息网安全隔离。对电厂的IP地址进行调整和统一互联网出口,将生活区网络和办公网络分离,加强对网络的统一管理和监控。
(3)横向隔离:在生产控制大区与管理信息大区之间部署经国家指定部门检测认证的电力专用正反向安全隔离装置。正向安全隔离装置采用非网络方式的单向数据传输,反向安全隔离装置接收管理信息大区发向生产控制大区的数据,采用签名认证、内容过滤等检查处理,提高系统安全防护能力。
(4)纵向认证:广蓄电厂生产控制大区与调度数据网的纵向连接进行了安全防护硬件的部署,包括纵向加密装置、纵向防火墙等,并配置了相应的安全策略,禁用了高风险的网络服务,实现双向身份认证、数据加密和访问控制。
2.3安全防护措施
(1)防火墙
在外联接入区域同内网网络之间设置了防火墙设备,并对防火墙制定了安全策略,对一些不安全的端口和协议进行限制。通过防火墙过滤进出网络的数据,对内网的访问行为进行控制和阻断,禁止外部用户进入内网网络,访问内部机器,使所有的服务器、工作站及网络设备都在防火墙的保护下。
(2)口令加密和访问控制
电厂对所有用户终端采用准入控制技术,每个用户都以实名注册,需通过部门账号申请获得IP地址才能上局域网,并通过PKI系统对用户访问企业门户、OA系统等业务系统进行访问控制管理。在核心交换机中对重要业务部门划分单独的虚拟子网(VLAN),并使其在局域网内隔离,限制其他VLAN成员访问,确保信息的保密安全。对电厂内部的网络设备交换机、防火墙等,采用专机专用配置,并赋予用户一定的访问存取权限、口令等安全保密措施,建立严格的网络安全日志和审查系统,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(3)上网行为管理
上网行为管理设备直接串行部署在内网边界区域,并制定了精细化的活动审计策略、应用软件监控管理策略,监控及记录用户非法操作信息,实时掌握互联网使用情况,防患于未然,通过上网行为管理设备进行互联网网关控制。
(4)防病毒系统
在电厂的局域网内部署了Symantec防病毒系统。Symantec系统具有跨平台的技术及强大功能,系统中心是中央管理控制台。通过该管理控制台集中管理运行SymantecAntiVirus企业版的服务器和客户端;可以启动和调度扫描,以及设置实时防护,从而建立并实施病毒防护策略,管理病毒定义文件的更新,控制活动病毒,管理计算机组的病毒防护、查看扫描、病毒检测和事件历史记录等功能。
(5)建立虚拟专网(VPN)系统
为保证网络的安全,实现移动办公,在核心网络边界区域部署了1台VPN设备,并设置访问条件和身份认证授权策略,如通过PKI系统进行身份认证和访问授权后才能访问电厂企业门户系统、OA系统等。使用虚拟专网(VPN)系统,不仅满足了电厂用户远程办公需求,而且保证了电厂信息网络及信息系统数据安全传输。
3信息网络安全管理策略
俗话说:“三分技术,七分管理”,这在信息网络安全管理方面也是适用的。事实上95%以上的计算机、网络受到的攻击事件和病毒侵害都是由于管理不善造成的。广州蓄能水电厂作为国内一流的水力发电厂,头顶上始终悬着一把信息网络安全的达摩克利斯之剑。在推进信息化道路上,借鉴国内外企业对信息网络安全管理的经验,形成属于自身发展的网络安全管理策略。(1)建立完善的网络信息安全管理制度。在信息网络安全方面电厂成立专门的信息化安全小组,制定完善的信息安全规章制度,规范整个电厂对网络及信息系统的使用。(2)建立完备的网络与信息安全应急预案。电厂建立了一套应急预案体系,目的就是在发生紧急情况时,指导电厂的值班人员对突发事件及时响应并解决问题。(3)定期进行安全风险评估及加固。电厂每年进行安全风险评估分析,及时了解和掌握整个网络的安全现状,通过安全加固使得网络安全系统更加健全。
4结束语
关键词:民航 信息网络 系统安
一、民航信息网络系统安全问题分析
近年来,随着我国经济水平的不断提升,大幅度推动民航领域的发展,在这一背景下,民航的信息网络系统随之进入建设高峰期,该系统除与飞机的飞行安全有关之外,还与空防和运行安全有着极为密切的关联,一旦系统出现问题,轻则会影响民航的正常运营,严重时将会危及到飞机的飞行安全,极有可能造成巨大的经济损失。如某机场的空管飞行数据处理系统发生故障,致使机场的空管雷达无法提供正常的数据,直接导致70余架航班不能按时起落降,数千名乘客的出行受到影响;又如,某航空公司的电子客票系统被黑客入侵,导致多名乘客的机票信息泄露,媒体报道后,造成严重的社会影响,诸如此类事件不胜枚举。
通过对国内一些航空公司进行调查后发现,绝大部分都曾经发生过信息网络安全事件,在诱发安全事件的原因中,计算机病毒、木马、电脑蠕虫等所占的比例较大,约为70-80%左右,网页被恶意篡改、端口扫描等网络攻击约为20-30%左右。上述安全事件之所以会频繁发生,主要是因为民航信息网络系统的安全防护水平不高,给恶意入侵、黑客攻击提供了可能。鉴于此,必须从管理和技术两个方面着手,加强民航信息网络安全建设。
二、民航信息网络安全建设策略
为确保民航信息网络系统安全,必须建立起一套科学合理、切实可行的安全管理制度,并采取先进的技术措施,提高系统的安全等级。
(一)加强安全管理
1.构建完善的制度体系。民航信息网络系统的安全离不开管理,而想要使管理发挥出应有的成效,就必须构建起一套较为完整的制度体系。各大航空公司应当结合自身的实际情况,并总结以往的经验教训,量身定制安全计划和方案,如网络信息安全等级保护与分级保护、安全通报制度等等,确保所有的安全管理工作都能有制度可依。与此同时,还应不断加强对相关人员的管理,提高他们的安全意识,从根本上保证信息网络系统的安全性。
2.做好管理维护工作。民航信息网络系统是由诸多设备组成,想要保证系统的安全,就必须做好运行设备的维护管理。鉴于民航信息网络系统的特点,即启动后不能随意关闭,因此,可从如下几个方面保证系统安全、稳定运行:①控制主机温度。可在信息网络系统建设时,为相关的硬件设施配备一套双机热备加磁盘阵列,这样能够确保网络信息系统的安全性,同时可以选用小型机作为民航运营数据库或是离港系统的服务器,该服务器采用的是分布式架构,其能够在确保安全的基础上,提高系统的可用性。②定期检查。民航信息网络系统中,有一些软件的可靠性相对较低,若是大量用户同时上线可能会导致系统死机的问题发生,通过定期的检查,能及时发现问题,并进行升级维护,由此不但能够提高系统运行效率,而且还能确保\行安全。
(二)安全技术措施
民航在进行信息网络系统安全建设的过程中,要采取合理可行的技术措施,为信息网络系统的安全保驾护航。
1.入侵检测技术。该技术是近年来兴起的一种网络信息安全防范技术,其能够通过对网络信息系统的审计数据、安全日志等进行检测,找出入侵以及入侵企图,这种技术最为主要的作用是对网络信息系统的入侵和攻击进行监控,进而采取相应的措施加以应对,从而确保系统的安全。民航可基于该技术构建一套相对完善的IDS系统,运用该系统对外部的非法入侵以及内部用户的非授权行为进行检测,发现并报告网络信息系统中的异常现象,对针对信息网络系统安全的行为做出及时有效地应对。
2.身份认证技术。该技术具体是对系统操作者身份的确认,其能够借助网络防火墙、安全网关等,对信息网络系统的用户身份权限进行管理,民航的信息网络系统一般只能对操作者的数字身份信息进行识别,而通过身份认证技术的应用,则可有效解决系统操作者物理与数字身份的对应问题,由此为系统的权限管理提供了可靠依据。民航在进行信息网络系统建设时,可以采用以下几种方式对系统操作者的身份进行认证:用户名+密码;用户基本信息验证,如证件号码、信用卡号等;特征识别,如视网膜、指纹、声音等。此外,还可以采用USB key,这样可以进一步提升系统的安全性能。
3.加密与数字签名。这是目前保障网络信息系统及数据安全最为常用的一种技术,它能够有效防止各种机密数据被外部窃取、更改,对于信息安全具有极强的保证。具体应用时,可对一些重要的文件进行加密,这样即便有非法用户入侵到系统当中也无法查看加密文件的内容,加密后等于给文件上锁,其安全性自然会获得保证。而数字签名则可确保用户收到的邮件均为所需用户发送而来,可有效防止垃圾邮件。民航在信息网络系统安全建设时,可合理运用加密和数字签名技术,为各类重要信息提供安全保障。
4.网路防火墙。民航在进行信息网络安全建设时,应当选用高端的防火墙产品,除要具备防火墙的基本功能之外,还应兼具VPN网关功能,建议采用分组过滤式防火墙或是双穴网关防火墙,同时要考虑不同接入方式的适应性。需要注意的是,防火墙要选用正版的,并定期进行升级,这样才能使其作用得以最大限度地发挥。
三、结语
综上所述,民航信息网络安全的重要性不言而喻,因此,必须做好信息网络系统的安全建设工作,民航企业可以结合自身的实际情况,制定科学的管理制度,并采取先进的技术措施,提高系统的安全性,这样不但能减少或是杜绝各类安全事件的发生,而且还有利于促进我国民航事业的持续发展。
参考文献:
[1]余焰,余凯.以空管信息为核心,建立民航信息集成共享系统空管系统信息网络建设需求分析[J].黑龙江科技信息,2015,(04).
[2]梁有程.分组交换技术在民航数据通信网络中的应用探析[J].电信网技术,2015,(07).
[3]赵航.以安全保障为前提的民航空管信息系统安全体系的研究[J].科技经济市场,2014,(07).
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
论文摘要:随着计算机技术和信息网络技术的发展,全球信息化已成为人类发展的趋势。行政部门信息网络的互联,最大限度地实现了信息资源的共享和提高行政部门对企事业单位监管监察的工作效率。然而网络易受恶意软件、黑客等的非法攻击。如何保障计算机信息网络的安全,已成为备受关注的问题。
行政机关的计算机网络系统通常是跨区域的Intranet网络,提供信息管理、资源共享、业务窗口等应用服务的平台,网络内部建立数据库,为各部门的业务应用提供资源、管理,实现数据的采集、信息、流程审批以及网络视频会议等应用,极大提高了日常工作效率,成为行政机关办公的重要工具,因此要求计算机网络具有很高的可操作性、安全性和保密性。
1、开放式网络互连及计算机网络存在的不安全要素
由于计算机网络中存在着众多的体系结构,体系结构的差异性,使得网络产品出现了严重的兼容性问题,国际标准化组织ISO制定了开放系统互联(OSI)模型,把网络通信分为7个层次,使得不同结构的网络体系在相应的层次上得到互联。下面就根据网络系统结构,对网络的不安全因素分层次讨论并构造网络安全策略。
(1)物理层的安全要素:这一层的安全要素包括通信线路、网络设备、网络环境设施的安全性等。包括网络传输线路、设备之间的联接是否尊从物理层协议标准,通信线路是否可靠,硬件和软件设施是否有抗干扰的能力,网络设备的运行环境(温度、湿度、空气清洁度等),电源的安全性(ups备用电源)等。
(2)网络层的安全要素:该层安全要素表现在网络传输的安全性。包括网络层的数据传输的保密性和完整性、资源访问控制机制、身份认证功能、层访问的安全性、路由系统的安全性、域名解析系统的安全性以及入侵检测应用的安全性和硬件设备防病毒能力等。
(3)系统层的安全要素:系统层是建立在硬件之上软环境,它的安全要素主要是体现在网络中各服务器、用户端操作系统的安全性,取决于操作系统自身的漏洞和不足以及用户身份认证,访问控制机制的安全性、操作系统的安全配置和来自于系统层的病毒攻击防范手段。
(4)应用层的安全要素:应用层的安全要素主要考虑网络数据库和信息应用软件的安全性,包括网络信息应用平台、网络信息系统、电子邮件系统、web服务器,以及来自于病毒软件的威胁。
(5)管理层的安全要素:网络安全管理包括网络设备的技术和安全管理、机构人员的安全组织培训、安全管理规范和制度等。
2、网络安全策略模型及多维的网络安全体系
行政机关的网络安全需要建立一个多维的安全策略模型,要从技术、管理和人员三位一体全方位综合考虑。
技术:是指当今现有使用的设备设施产品、服务支持和工具手段,是网络信息安全实现的基础。
管理:是组织、策略和流程。行政机关信息网络的安全建设关键取决于组织人员的判断、决策和执行力,是安全成败的必要措施。
人员:是信息网络安全建设的决定性因素,不论是安全技术还是安全管理,人员是最终的操作者。人员的知识结构、业务水平是安全行为执行的关键。
基于网络信息安全是一个不断发现问题进而响应改进的循环系统,我们构造网络安全策略模型为:防护-->检测-->响应-->恢复-->改善-->防护。
运用这个安全体系我们解决网络中的不安全要素,即在物理安全、网络安全、系统安全、应用安全和管理安全等多个层次利用技术、组织和人员策略对设备信息进行防护、检测、响应、恢复和改善。
(1)物理安全:采用环境隔离门禁系统、消防系统、温湿度控制系统、物理设备保护装置(防雷设备)等,设置监控中心、感应探测装置,设置自动响应装置,事故发生时,一方面防护装置自动响应,另一方面人员发现处理,修复或更换设备的软、硬件,必要时授权更新设备或设施。
(2)网络安全:采用防火墙、服务器、访问控制列表、扫描器、防病毒软件等进行安全保护,采用网络三层交换机通过划分VLAN,把网络中不同的服务需求划分成网段,采用入侵检测系统(IDS)对扫描、检测节点所在网段的主机及子网扫描,根据制定的安全策略分析并做出响应,通过修改策略的方式不断完善网络的安全。
(3)系统安全:采用性能稳定的多用户网络操作系统Linux作为服务器的基础环境,使用身份认证、权限控制进行保护,用登陆控制、审计日志、文件签名等方式检测系统的安全性,进行接入控制审计响应,通过对系统升级、打补丁方式恢复系统的安全性,可以通过更新权限来改善用户对系统操作的安全性。
(4)应用安全:采用身份认证、权限控制、组件访问权限和加密的办法进行保护,用文件、程序的散列签名、应用程序日志等方式检测应用程序的安全性,通过事件响应通知用户,采用备份数据的办法恢复数据,通过更新权限完善应用系统的安全性。
(5)管理安全:通过建立安全管理规章制度、标准、安全组织和人力资源,对违规作业进行统计,制定紧急响应预案,进行安全流程的变更和组织调整,加强人员技能培训,修订安全制度。
3、行政机关人员安全的重要性
行政机关网络信息的安全,人员占据重要的地位,网络安全的各要素中都涉及人员的参与,因此对人员的安全管理是行政机关网络信息安全的重点。
首先组织领导要高度重视网络信息的安全性,建立周密的安全制度(包括网络机房安全制度、计算机操作员技术规范等),提高从业人员的素质和业务水平,防范人为因素造成的损失。
其次是组织员工进行信息安全培训教育,提高安全意识。对专业技术人员做深入的安全管理和安全技术培训。
再次是网络技术人员要定期对设备巡检维护,及时修改和更新与实际相应的安全策略(防火墙、入侵检测系统、防病毒软件等)。
最后是安全管理人员定期检查员工的网络信息方面的安全问题。
4、结语
行政机关网络安全从其本质上讲就是保障网络上的信息安全,网络安全是一个全方位的系统工程,需要我们不断地在实践和工作中发现问题和解决,仔细考虑系统的安全需求,将各种安全技术,人员安全意识级水平、安全管理等结合在一起,建立一个安全的信息网络系统为行政机关工作服务。
参考文献
[1]陈晓光.浅谈计算机网络教学[J].才智,2009,(08).
[论文摘要]近几年来,随着气象信息对人们生产、生活作用的不断加大,它的安全也备受关注。从气象网络的概念、安全的必要性出发,逐一探讨了气象网络安全存在的问题,以及相关的解决措施。
一、气象网络的概念及其结构形式
气象网络,简而言之,指的是将计算机网络技术应用于气象领域,使气象信息网络化,信息化,方便人们的使用。目前,气象网络按照不同的安全等级划分成三种网络结构形式:(1)内部局域网(含机要内网),此网要求安全等级极高,各个部门的计算机均在此网上;(2)通过数字专线与相关政府职能机构构成的政务专网,通过不同授权等级共享各级数据资源;(3)公众互联网,通过电信宽带接入气象网站,供广大用户浏览。现代社会气象信息的大量应用,越来越彰显其重要性,然而与此同时,网络的应用也给气象信息安全带来了大量的潜在隐患,因此,加强气象网络的安全性就非常有必要。
(一)气象技术的保障需求。当前,随着气象业务的不断发展,气象应用系统越来越多,对网络的依赖程度越来越强,网络安全早已摆在极其重要的位置。尤其是近几年来,随着全球气候的普遍升温,世界各个地方都面临着干旱、洪涝、雨雪、台风等自然灾害,气象技术的观测、预报功能是人们预防自然灾害最有利的工具,而病毒、非法侵入系统等不法行为肯定会影响到气象技术的发挥,因此,保障气象网络安全是必需的。要解决这一问题不可能依靠某种单一的安全技术,必须针对气象网络的应用情况,采用综合的策略,从物理环境、网络和网络基础设施、网络边界、计算机系统和应用、安全管理等多方面构筑一个完整的安全体系。
(二)气象网站的安全需要。全国各级气象网站是公众了解气象政务、天气预报等信息的重要媒体,通过这一媒介,人们可以根据未来的气象资料,预先安排自己的生产生活。当前世界联系日益紧密,任何因素的波动都可能造成无法估量的损失,因此,人们从气象网站中及时获取有价值的信息,对于他们来说,是非常重要的。但由于互联网的安全性较低,随时都有可能遭到有意或无意的黑客攻击或者病毒传播。
二、气象网络安全存在的问题
其实影响气象网络安全的因素有很多,本文从以下几个方面进行论述:
(一)气象网络管理缺陷。由于全国各级气象网络系统在管理制度上普遍存在缺陷,有些基层站没有专职计算机网络管理人员,再加上某些基层气象职工计算机水平较低,机房设备较差,对气象网络的安全极为不利。其不安全因素主要表现在:
(1)人为的非法操作。在某些基层气象站闲杂人员擅自进入机房的现象时有发生,甚至有人随意使用外来光磁盘。由于制度不到位,防范意识差,随意的光盘、磁盘放入,有意无意将黑客装入,给计算机网络埋下不安全隐患。
(2)管理制度不完善。本应由管理员操作的部分管理工作,擅自交由其他非工作人员进行操作,甚至告诉密码,致使其他人可以任意进行各种操作,随意打开数据库,造成有意无意的数据丢失,有的甚至在与Internet连接的情况下,将数据库暴露,为黑客入侵创造条件;有的人将密码随意泄露给别人。
(3)相关工作人员的失职。气象部门工作人员的职责不到位,,在Internet上乱发信息,为修改文件破坏了硬件,对“垃圾文件”不及时清除,造成数据库不完整,资料不准确。
(二)病毒侵入。目前,气象网络安全面临的最大危险就是病毒的侵入。当前网络中,各种各样的病毒已经不计其数,并且日有更新,每一个网络随时都有被攻击的可能。计算机网络病毒充分利用操作系统本身的各种安全漏洞和隐患,并对搭建的气象网关防护体系见缝插针,借助多种安全产品在安装、配置、更新、管理过程中的时间差,发起攻击;有时黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,也会让气象网络染上病毒。
三、解决对策
(一)严格的安全管理制度。面对气象信息网络安全的脆弱性,一方面要采用技术方面的策略外,另一方面还应重视管理方面的安全,注重安全管理制度的加强。针对安全管理的复杂度,重要的是建立一套完整可行的安全政策,切实管理和实施这些政策。我们需要从以下几个方面入手:
(1)首先加强人员的安全意识,定期进行网络安全培训;其次,制定安全操作流程,有明确、严格的安全管理制度。再次,责权明确,加强安全审计,详细记录网络各种访问行为,进而从中发现非法的活动。
(2)构建安全管理平台。从技术上组成气象安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统,网络设备管理系统,以及网络安全设备统管理软件。定期对安全策略的合理性和有效性进行核实,对于气象网络结构的变化,应先进行安全风险评估,适时修改安全策略。
(二)防范各种非法软件攻击和入侵。网络的存在必然会带来病毒攻击和入侵发生。病毒的攻击,一方面来自外部,由于应用系统本身的缺陷,防火墙或路由器的错误配置,导致非法攻击轻而易举的进入网络,造成气象业务中断,数据的窃取和篡改等;另一方面的攻击来自于内部,内部员工的无意或者恶意的攻击,也会给网络的正常运行构成威胁。超级秘书网
目前利用防火墙虽然可以阻止各种不安全访问,降低安全风险,但防火墙不是万无一失的,因此,作为防火墙的必要补充的入侵检测系统(IDS),是第二道安全闸门,在全国各级气象网络的关键节点配置IDS,可监视信息网络系统的运行,从中发现网络中违反安全策略的行为和被攻击的迹象,监控用户的行为,对所有的访问跟踪,形成日志,为系统的恢复和追查攻击提供基本数据。在各级建立IDS可以实时对关键服务器和数据进行监控,对入侵行为,违规操作进行预警与响应,并通过与防火墙联动有效阻止来自内部和透过防火墙的攻击行为。
(三)病毒防护策略。对于网络病毒的防范是气象网络的重要组成部分。目前,气象网络的覆盖面广,病毒的危害也越来越大,加之传统的单机杀毒已无法满足需求,因此急需一个完善的病毒防护体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络内病毒防护体系的一致性和完整性。
主要的防范措施是建设覆盖全国各级气象信息网络病毒防护体系,实现全网的统一升级、查杀、管理,防止病毒的交叉感染。包括网关级病毒防护,针对通过Internet出口的流量,进行病毒扫描,对邮件、Web浏览、FTP下载进行病毒过滤,服务器病毒防护,桌面病毒防护,对所有客户端防病毒软件进行统一管理等。
参考文献:
[1]张剑平等,《地理信息系统与MapInfo应用》.科学出版社.1999.
【关键词】供电企业 信息安全防护 信息网络
现在已经进入到信息化时代,计算机数字化信息网络在全球普及。通过信息网络就可以了解来自于四面八方的各种信息。时间和距离已经不再是问题,人们在这虚拟的数字化空间中,只要点击鼠标或者是轻轻地按动键盘,就能够寻找到各种自己所需要的相关信息。快捷而全面的服务,已经让人们普遍地接受了这种高科技产品,并在各个领域中被广为利用。电力系统面对电能用户的高要求,不断地对系统进行技术改造,并应时代的需要,将计算机信息网络引入到电力系统管理当中,以提升企业的管理水平。多年以来,计算机信息技术对于电力系统的安全运营都发挥了重要的作用。然而,由于计算机信息网络的开放,也为黑客以及恶意软件敞开了方便之门,使电力信息网络受到了病毒攻击的威胁。
1 供电企业信息安全的总体要求
1.1 信息安全
信息安全就是要保证信息的连续性,而且不可以因为外来的各种因素而遭到破坏和丢失,特别是具有保密性质的信息,更不可以被窃取。因此,从广义的层面理解“信息安全”的概念,就是指在计算机信息网络中所公布或者是存储的信息,无论是计算机硬件、软件,还是系统数据,都不可以因为各种因素的干扰而丢失,同时,计算机信息网络不可以因受到不良攻击而导致信息服务出现中断。现在计算机信息网络已经普及,也正是因为如此,给网络信息带来的来自各方面的威胁。信息被窃取,系统遭到病毒的攻击而导致网络瘫痪,这些都会为网络用户带来不同程度的损失。为了提高计算机信息网络的安全,就需要建立起网络信息安全保护机制,以确保信息网络的正常运行。
1.1.1 设置系统口令,以防止非法用户进入信息网络
这主要是针对外网用户的访问,要通过申请并被准许之后,才能够进入到网站。一般是通过设置系统口令的方式。恶意攻击的人员如果没有通过口令或者是获得申请,就无法进入。具体的操作步骤上,可以先对用户进行身份的识别,并根据计算机系统中对于用户验证的设置进行用户身份的验证;当用户输入口令后,计算机可以自动地识别和验证;通过控制和限制用户账号,对于信息网络进行有效管理。普通用户的账号,计算机网站的管理员有权进行控制,对于不符合要求的用户,管理员就会在登录权限上加以限制,以避免不良用户获取资源。另外,网络管理员还可以对于用户的入网时间和访问的网站加以控制,同时做好审计工作。如果访问用户连续三次输入不正确的口令,就会被限制访问,并显示出警告。
1.1.2 要设置访问权限,以提高信息网络资源的安全性
对于信息访问,还可以设置访问权限。对于没有资格浏览信息的用户,就要将其设置为低权限用户,从而使其无法访问高权限用户可以获取的资料。对于网络中的资源,包括目录和文件,都可以将访问群体控制在局部的用户,这部分用户有权享受网络中的信息资源。比如,信息管理员可以访问计算机网络资源,并有权管理各种信息,进行完善和修改。一般用户要访问网站,就需要根据自己的访问权限访问被允许登录的网站,也可以向计算机网络信息管理员申请,以获得操作权限。审计人员有权登录网站,其目的是控制网站,以确保网站资源不受破坏。对于不允许被访问的信息,要进行加密处理,以保护信息不会向非法用户泄露。为了防止信息被随意更改,还要对信息设置只读功能,除了信息网站管理员,或者是有权更改信息的用户可以对信息数据进行处理之外,其他人无权修改信息。
1.1.3 做好目录和属性的安全控制工作,以保护网络信息不被随意更改
对于信息网络访问用户,网站管理员有权利控制其对于网络信息的目录和文件的访问权限,一方面要使用户有效地访问自己所需要的信息,另一方面要控制好用户对于网络服务器的更改,以提高计算机网络和服务器的安全性能。用户对于目录和文件的访问权限一般包括以下几种,用户不可以超越系统管理员的权限来完成不被允许的各项内容;对于网络的信息不可以随意更改,即具有读写权限;网络上的信息一般都会被设置为制度,用户没有插入的权力和删除的权力,更不可以对于网络信息进行擅自修改。对于网络中的重要文件,设定网络属性可以对于目录和文件进行有效保护。
1.1.4 对于信息网络要做好审计工作,以对信息网络实时监控
制定必要的监控管理制度,使用审计的手段,对于恶意攻击的人进行严厉地惩治。网络服务器可以根据用户访问申请资料记录下对于网络资源访问的用户,并对于其所访问的信息内容进行监控。如果出现非法的访问,服务器就应该进行报警,一般是出现光标闪动,并发出报警的声音,以提示管理员立即采取措施。对于非法用户访问网络,网络服务器应该对于其试图闯入的方式和次数进行记录,当其访问的次数达到服务器所限定的数值的时候,就要自动对其账户进行锁定,禁止其访问网站的权力。
1.2 供电企业对于信息安全的要求
供电企业的信息安全是否有所保证,关乎到电力系统的正常运行。一旦供电企业信息网络遭到破坏,就会对电力企业造成巨大的经济损失,对于电能用户的影响也是非常大的。要保证供电企业的信息安全,就要坚持信息安全总体防护策略,即要坚持双网双机,进行分区分域管理,以避免信息网络受到攻击之后,导致整个信息网络的瘫痪,影响供电信息网络的运营。另外,要安全接入,尤其是外网的接入,要对端口进行安全技术处理,做好病毒防御工作。对于所建立的动态感知的电力信息网络系统,要进行精益管理,以保供电信息网络得到全面的防护。防护策略的主要目的,就是确保供电信息网络不会因为故障而中断服务,更不可以因为受到黑客的攻击,或者是病毒的感染而导致信息系统无法正常使用,尤其是供电信息网络上面的信息数据和内容,如果被更改或者是丢失,就会为电力系统造成极大的损失,甚至于导致运行事故的发生。
2 提高信息安全水平,要做好计算机硬件方面的工作
2.1 防火墙
目前普遍使用的网络安全屏障就是防火墙,其作为计算机网络外界安全系统,可以对于进入网络中访问的客户进行强制控制。作为一种维护计算机网络安全的硬件技术性措施,其可以组织黑客以及各种病毒的入侵,已经成为了控制进 / 出两个方向通信的门槛。网络防火墙的作用主要是用来阻挡外部网络的侵入,所以,相应的架空系统的主要功能是对于内部网络和外部网络有效隔离。在防火墙的应用上,当我们发现一些不良信息遭到了拦截,就是防火墙在发挥其功能性的作用。防护墙除了防止黑客或者是病毒的侵入之外,会能够将一些垃圾信息阻拦在网络之外,以净化网络信息,防止干扰必要的信息,以保证信息安全。为了保证供电信息网络的安全,防火墙可以安装在信息网络和Internet之间,当网络信息在进行频繁传递的时候,防火墙就会将不可信任的信息阻止在供电信息网络之外,以防止重要的信息资源被非法存取和访问,保护信息系统安全。
2.2 入侵检测系统
如果说防火墙可以防止来自于Internet网络的非法访问侵入到供电信息网络当中,那么对于成功入侵的非法访问,防火墙则无能为力了。入侵检测系统,则成为了保护供电信息网络的又一道门槛。与防火墙相比,入侵检测系统是一种动态安全技术,当计算机网络对于信息进行收集整理之后,通过入侵检测系统,可以对于这些信息进行筛选、分析和检测,以对于违反安全策略的行为进行判断,并将检测的结果记录下来。使用入侵检测系统,降低了网络干扰信息量,网络搜索引擎或者浏览信息的效率被大大地提高了。并且一旦入侵检测系统发现有非法入侵,却没有有效组织,就会启动自动报警系统,以通知有关人员采取必要的措施对于非法信息进行处理。在供电信息网络安装入侵检测系统是非常适合的,其不仅可以检测来自外部的入侵行为,而且还能够对于供电信息网络的浏览用户进行实时监督。
2.3 提高电力信息系统的配置
为了防止供电企业的信息网络遭到破坏而导致整个的电力系统瘫痪,可以采取必要的预防措施,即采用双线路和双电源的方式以防后患。目前一些供电企业在交换机的配置上,还采用单个核心机交换机,采用冗余核心交换机则可以在原有的基础之上提高安全系数。一旦供电信息网络出现故障,可以为维修人员争取时间抢修,以避免更大的事故发生。对于重要的信息系统配置,诸如核心交换机、服务器等等,其供电方式可以采用双电源,如果有突然出现电源中断,可以通过自动切换系统将电源切换到安全的线路当中,以大大地提高了供电信息系统的安全性,保证电力系统可靠运行。
3 提高信息安全水平,要做好计算机软件方面的工作
3.1 安装统一的防病毒软件
现在网络病毒不断地升级,单纯地采取硬件措施已经无法达到要求。鉴于病毒传播之外,一旦进入到网络系统中之后,就会迅速蔓延,可以在计算机系统中安装防病毒软件,并且实时升级,以有效地阻止由于病毒而造成的文件破坏、信息泄露,甚至于计算机死机的现象发生。病毒本身是一种计算机程序,能够对于系统文件或者是计算机系统造成破坏,一般传播的方式是通过移动存储介质作为主要的传播方式。安装计算机软件,可以对于对于计算机系统进行自控扫描,并对于各种信息进行实时监控,以保证网络中断设备的信息安全。
3.2 安装桌面终端管理系统
为了保证计算机系统在可控制下运行,安装桌面终端管理系统以及提高操作系统的安全性,从而对于威胁信息系统的各种行为具有抑制的作用。病毒往往会通过系统的漏洞进行入侵,终端管理系统中的补丁管理可以对于电脑系统中所出现的漏洞进行及时地修补。对于安全威胁,计算机可以自动检测并分析,尤其是信息网络的共享平台、浏览器等等,都可以通过自动检测的方式发现安全问题,并自动修补。
3.3建立供电信息网络的安全审计系统
计算机的审计产品是一种较为特殊的安全设备,其可以对于维护计算机的正常业务操作行为。在供电信息系统中,所建立的数据可承载了大量的数据信息,尤其是一些关乎企业效益和电能用户的各种关键数据,诸如用电数量等信息,如果被不良用户所访问后进行篡改,就会造成严重的经济后果。采用业务审计产品,则可以对于系统进行有针对性地监督。
3.3.1 数据库审计
主要的职能是对于数据库的操作行为进行智能化监督。诸如数据库的登录,内容的删改以及数据库表格的更新等等,都在监控之下,除了实施操作的用户名以及登录时间和IP地址之外,还要将各种操作记录下来进行分析。除此之外,对于数据库,诸如SQLServer、Informi中所出现的的错误代码进行审计,可以使得计算机信息网络管理员对于数据库的状态进行全面了解,并且及时地采取必要措施处理故障信息。
3.3.2 网络运维审计
在供电系统的信息网络中,通过对于Telnet、X11、FTP等等运维协议的审计,能够将用户访问和操作的全过程都记录下来,并进行自动分析。与此同时,还可以通过录像回放的形式,对类似的窗口进行还原。
4 总结
综上所述,电力是国家基础能源产业,其发展状况直接关乎到我国的国民经济发展水平。进入到新的历史时期,电力系统应社会经济发展的需要呈现出迅猛发展的势头。供电信息网络的建立,为电力企业的发展带来了新的发展机遇。然而一些电力信息网络上面的信息面临着因受到攻击而被盗取、破坏或者丢失的可能,提高供电企业信息安全防护水平势在必行。
参考文献
[1]代光明,谷宇.电力企业信息网络中的业务审计系统研究[C].重庆市电机工程学会2012年学术会议论文,2012.
[2]浮小学,冯海英,刘伟,韩运荣.关于提高供电企业信息安全防护水平的探讨[J].中国信息化,2012(11).
[3]徐建梅.浅谈供电企业信息网络安全防护的管理[J].现代经济信息,2012(11).
[4]张浩.电力企业信息安全管理[J].科技传播,2013(01).
[5]何红燕.提升煤矿工会的服务管理效能研究[J].商,2013(06).
[6]李劲.遵循等级化保护的电力调度数据网安全防护[J].广西电力,2008(04).
[7]汪江.谈网络安全技术与电力企业网络安全解决方案研究[J].价值工程,2012(30).
[8]张维佳.吴忠礼.王鹏.彭海.谭宏.信息安全防护体系的研究与应用[c]. 2011年全国电力企业信息化大会论文集,2011.
[9]唐琳.李云峰,电力信息系统的安全性初探[J],信息安全与通信保密,2006(10).
关键词:WinPcap;数据包;数据库;网络监视
中图分类号:TP311
随着雷达规模的发展和壮大,其系统结构越来越复杂,各个分系统之间的数据交互越来越多。如何有效地监视雷达各个分系统的当前状态及网络流量有着极其重要的意义。
雷达多个分系统的网络数据量较大(如点迹数据、航迹数据、BIT数据),网络数据包容易丢失,数据包捕获的复杂程度增加。目前,网络监听方法可以采用原始套接字技术[1]、NIDS技术[2]和WinPcap技术[3]。WinPcap是一个开源应用与Win32平台下的网络监听开发包,其特点是系统性能稳定且高效,也是目前应用最广泛的网络抓包工具。WinPcap由内核级的网络数据包过滤器、低级动态及链接库和高级系统无关库三个模块组成。基于WinPcap的网络监控系统应用已经较多,如张[4]等针对网络大量的垃圾邮件,提出基于WinPcap的多邮件并行还原技术。阮清强[5]将WinPcap应用于ARP的检测与定位,具有一定的实用价值。基于WinPcap技术的应用工作较多,但是对雷达系统监视的工作还较少。
综合WinPcap技术和雷达海量数据的特点,论文提出一种基于WinPcap的雷达通信监视系统设计方法,包括基于WinPcap的实时数据包捕获优化设计和离线的数据库查询优化设计,最终在雷达工程项目中应用并取得稳定高效的结果。
1 系统设计
雷达通信监视系统包括实时捕获和离线分析两个模块。实时捕获采用WinPcap技术实现数据包捕获和协议分析,并完成数据库入库操作。离线分析可以查询雷达各个分系统的固定时间段内的状态信息并统计分析,包括网络流量、系统延迟、丢包率、误码等。
1.1 WinPcap实现及优化。数据的捕获能力决定应用程序性能的高低,基于WinPcap技术的数据包捕获容易出错导致数据丢包,如用10Mbps的网卡无法捕获100Mbps速度下的所有数据包,因此基于WinPcap的数据包捕获模块需要考虑选择合适的软硬件设施,具体流程如图1所示。
图1 实时捕获模块
基于WinPcap的实时数据包捕获的具体细节如下:(1)获取所有可用的网络适配器名称,打开某个适配器并设置为混杂模式;(2)设置内核缓冲区大小,编译过滤规则和设置过滤器;(3)捕获网络数据包到缓冲区,分析网络数据包,根据以太网首部和IPV4首部得到UDP数据包的首部信息;(4)根据步骤(3)得到的UDP数据包进行数据库入库,具体见1.2节。
另外,针对雷达系统的特点与问题,同时给出一些优化设计措施:(1)缓冲区。在WinPcap中加大内核缓冲区,可以缓解应用程序读取缓冲区中的数据和网络数据到来之间的速度差异;(2)过滤器。由于雷达各个分系统的数据包为UDP协议且端口固定,因此设置过滤器规则为UDP数据包和固定端口,这样可以减少过滤数据包的时间开销,从而增加可捕获的最大数据传输速度;(3)多线程。实时捕获模块充分考虑应用程序优化,采用多线程工作模式,其中数据包捕获和数据存储分别采用单线程进行处理。
1.2 数据库设计及优化。雷达通信监视系统需要监视的网络数据包包括点迹数据、航迹数据、BIT数据等。通常情况下,雷达每天的网络数据流量高于百万,一个月的流量则会达到千万量级,因此雷达系统的网络数据流量是海量的。雷达数据库的表设计包括时间、源IP、目的IP、误码情况等。雷达通信监视系统对捕获的网络数据包进行协议分析,得到UDP数据包并拆分得到对应到数据表的内容,并插入到数据库中。
针对海量数据查询的问题,论文采用高效合理的处理方法,分别采用索引技术和分区技术。索引技术一般建立在经常用于查询而经常增加、删除、修改操作的列上,论文对数据表的时间建立索引。另外,每个月建立一个分区表,这样可以改善查询性能且维护方便。具体设计如下:(1)建立网络数据包的月存储表,每个表的容量最多3000万行记录;(2)针对经常查询的字段(如时间、源地址、目的地址)建立索引,加速海量数据查询,具有较好的实用性。
为了进一步测试其有效性,表1给出查询某个时间段内的查询性能比较,数据表规模为2000万行记录。在两个相同的数据表上查询,一个建立时间和地址查询索引,另外一个没有建立索引。从表1可以看出,建立查询索引的查询性能较优,满足通信监视与管理系统的实时性要求。
表1 查询性能比较
查询表 执行策略 查询时间(单位s)
没有建立查询索引 全盘扫描 0.03
建立查询索引 索引扫描 1.05
2 系统实现
雷达通信监视与管理系统应用程序采用QT 4.8.1编程工具,WinPcap4.1.3开发包,Oracle数据库的版本为11g,可运行于windows和linux等操作系统。通信监视与管理系统包括分系统状态监视和系统实时状态监视。
2.1 系统实时状态监视。系统实时状态监视以表格动态显示当前捕获的网络数据包,数据解析显示包括以太网协议(mac地址和类型),IPV4协议(源地址、目的地址、协议类型,长度等),UDP协议(端口号、长度、校验和),最后以十六进制显示当前UDP数据包的内容。
2.2 分系统状态监视。分系统状态监视包括实时状态统计和离线状态分析,其中实时状态统计包括统计当前分系统的数据包流量、误码率、丢包数、占用带宽等,离线状态分析根据查询条件执行SQL并显示查询结果,主要用于统计指点时间内的分系统状态。
通过以上测试以及实现,本文提出的基于WinPcap的通信监视与管理系统可以有效地工作在大型雷达项目中,同时具有效率高、可移植性强的优点。
3 结束语
论文提出基于WinPcap的雷达通信监视与管理系统,包括基于WinPcap技术实现网络数据包捕获及分析和基于分布式数据库的存储及查询。另外,针对雷达系统工程的特点,系统设计过程中给出部分很多优化措施,包括捕获数据包的缓冲区设置、多线程模式、数据库查询的索引分区技术等。在某雷达项目中试验,该系统具有较强的稳定性、高效性和实用性,为我国雷达通信提供关键技术支撑。
参考文献:
[1]邱桔,陈若珊.一个基于原始套接字的Sniffer的设计与实现[J].计算机应用与软件,2009(04):117-119.
[2]隋毅,杜跃进.NIDS的改进研究[J].计算机工程,2007(06):1-2.
[3]The WinPcap Team. The WinPcap manual and tutorial for WinPcap 4.0[EB/OL].
[4]张,熊达鹏,李爱平.基于WinPcap 的多邮件并行还原技术设计与实现[J].信息网络安全,2012(08):150-153.
[5]阮清强.ARP攻击检测与定位方法研究[J].信息网络安全,2010(04):66-67.
一、政治思想素质
本人始终坚持把坚定正确的政治方向放在首位,坚持四项基本原则,拥护中国******的基本路线、方针和政策,认真学习“*”重要思想、科学发展观和“八荣八耻”,切实贯彻党的教育方针。平时认真参加政治学习和教研活动,提高了对******的认识、拓宽政治知识面,提高自身文化素养,并努力向******员学习,用一名******员的标准来要求自己,以身作责,严以律己。
二、业务能力
1、教学能力
作为一名教师,我始终把“教书育人、为人师表”作为已任,把成为优秀的教师作为自己的目标,孜孜追求。任现职以来,我要求自己不断增强业务素养,深入钻研教材,认真进行教学研究,坚持系统性、启发性、研究性的教学方法。教学中,我坚决贯彻因材施教的原则,始终把学生的“学”放在教学的核心位置上。在教学方法的设计上,我突出落实激发学生的主体意识,激发学生的求知欲望。每一节课都要设计学生参与的情境,来引导和训练学生学习,力求让学生在轻松活泼的教学法环境中掌握好计算机的基本知识与操作技能,发展学生的想象力和创造力,培养学生的网络化环境下进行协作学习、分工合作的能力。
在无锡市第二届信息技术学科青年教师教学基本功比赛中获得二等奖。在我校“开启教学智慧,激发学习潜能”教学展示活动中,对外公开课《网页制作》,受到好评。
2、教育科研
教师的生命力来自教育科研,教师的未来和未来的教师,都将与教育科研联系起来。20*年,本人独立承担了校级子课题“信息技术与课程整合”的科研工作,并与许明源老师合作,进行了“无锡市信息技术与课程整合展示课”活动,课题为《白杨礼赞》,受到了广泛的好评。课题的结题论文《关于信息技术与课程整合的几点思考》,获得江苏省现代教育技术论文评比三等奖。论文《网络环境下学生信息素养的培养》获无锡市中小学信息技术、教学研究论文评比三等奖。
3、学生竞赛和课外活动
信息技术是一门知识与技能并重的学科,也是开展素质教育和培养学生创新能力的绝佳舞台。在教学过程中,我注重对有特长学生的发现和培养,并开展竞赛培训工作,我指导的梁晨亮、杨帆、祝婷婷等二十多位学生在省、市信息技术奥林匹克竞赛中获奖,本人也在20*年、20*年连续两年被评为无锡市青少年信息学奥林匹克竞赛优秀辅导员、伯乐奖。
为了避免社会网吧对青少年学生的不良影响,充分发挥计算机网络教室的优势,本人积极组织和开展校园“绿色网吧”活动,活动时间为周一至周四,12:20——13:00。每学期初,制订《“绿色网吧”活动计划表》,学生在“绿色网吧”活动期间完成《绿色网吧活动报告》。这样,使“绿色网吧”与各个学科紧密结合,为学生提供了自主学习和研究性学习的舞台。20*年,我校被评为无锡市校园“绿色网吧”示范学校,我本人被评为无锡市校园“绿色网吧”先进个人。
4、继续教育
相关热搜:信息安全 网络信息安全 信息安全技术
1.概述
近年来,随着我国计算机信息技术取得了突飞猛进的发展及互联网技术的大规模普及应用,现在的计算机网络业已成为民众生活中的重要组成之一,大家对于计算机信息系统产生信息安全及防护的需求及依赖性不断增强。同时计算机网络信息安全的威胁也开始变得日益严重。所以研究影响计算机网络信息安全的原因,并以此为基础提出确保网络信息安全的有关措施变得极为重要。Internet技术的开放性和广泛性和本身其他因素造成网络条件下的计算机可能出现诸多的安全隐患。为解决计算机的网络信息安全问题,不同的网络信息安全机制及策略,特别是网络信息安全工具开始被人们广泛应用。
网络信息安全及其防护作为一门涉及到计算雛术、网络通信技术、保护技术、密码技术、信息安全技术及应用信息技术等不同学科整合的综合性技术,其含义指保护计算机网络系统软硬件及其存储的数据避免受到一些偶然或是恶意的影响因素的破坏和泄露,确保网络系统可靠、持续、安全地运行。
2.计算机网络信息安全及防护的潜在威胁
计算机的网络信息安全及防护存在着不同的潜在威胁,其中主要分为六类,即自然灾害、操作错误、恶意攻击、计算机病毒、垃圾邮件和计算机犯罪等。
2.1自然灾害。计算机信息系统作为智能系统的操作整体,极易遭受到-些不可抗力的自然性灾害和计算机所处环境如环境温度、环境湿度、环境振动、环境冲击及环境污染等影响。现在我们日常所用的计算机所处的空间通常都没有设置有防地震、防火灾、防水、防雷及避免电磁干扰等相应的手段,且计算机的接地处理也不是很周全,造成计算机系统在面对自然性灾害及意外性事故的防御能力不强。
2.2恶意攻击。恶意攻击是计算机信息网络安全所要面对的最大及最常见的安全威胁。恶意攻击一般分为主动与被动两种攻击。主动攻击指路用不同方式进行选择性地破坏网络信息的合理性和有效性;被动攻击则指在不影响计算机网络正常运行的条件下,开展信息截获、信息窃取、信息破译以得到重要信息和机密信息。这两种攻击都对网络产生极大伤害并造成相应的重要信息的破坏和数据泄漏。网络软件存在的漏洞也提供给黑客非法侵入的渠道,使其修改信息网络使其无法正常使用,造成重大经济损失。
2.3计算机病毒。计算机病毒是存储和隐藏在执行程序、数据及文件中而不易被发现,但一旦遇到适当的机会被触发以后,即可得到计算机的控制程序,计算机病毒的传染性、潜在性及强破坏性等特点使得计算机病毒经由复制、传送相应的文件或是运行相应的程序等进行传播。计算机中毒轻则使系统工作效率大幅度降低重则会损坏、删除数据文件,破坏计算机硬件,导致无法预料的严重后果。
2.4操作失误。一些计算机和网络用户本身的安全意识较差,其设置的安全口令相对不复杂,可能造成用户账号和用户密码发生泄露或被篡改,进而威肋或攻击网络安全。
2.5垃圾邮件。某些人借助于电子垃圾邮件地址实施将本身电子邮件强行发送到别人邮箱的行为,强迫对方接受这些垃圾邮件。垃圾邮件和计算机病毒的最大差别是其目的不不是破坏计算机系统而是窃取用户信息或进行广告宣传严重的甚至可能威胁用户安全。
2.6计算机犯罪。通常是利用窃取口令等手段非法侵入计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。
3.常用的计算机网络信息安全防护策略
3.1加强用户账号的安全。用户账号的涉及面很广,包括系统登录账号和电子邮件账号、网上银行账号等应用账号,而获取合法的账号和密码是黑客攻击网络系统最常用的方法。首先是对系统登录账号设置复杂的密码;其次是尽量不要设置相同或者相似的账号,尽量采用数字与字母、特殊符号的组合的方式设置账号和密码,并且要尽量设置长密码并定期更换。
3.2及时安装漏洞补丁程序。漏洞是可以在攻击过程中利用的弱点可以是软件、硬件、程序缺点、功能设计或者配置不当等。为了纠正这些漏洞,软件厂商补丁程序。我们应及时安装漏洞补丁程序,有效解决漏洞程序所带来的安全问题。扫描漏洞可以使用专门的漏洞扫描器,比如COPS、tiger等软件,也可使用360安全卫士、瑞星卡卡等防护软件扫描并下载漏洞补丁。
3.3安装防火墙和杀毒软件。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。根据防火墙所采用的技术不同,可将它分为包过滤型、地址转换型、型和监测型。包过滤型防火墙采用网络中的分包传输技术通过读取数据包中的地址信息判断这些“包”是否来自可信任的安全站点1旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。地址转换型防火墙将内侧IP地址转换成临时的、外部的、注册的IP地址。内部网络访问因特网时,对外隐藏了真实的IP地址。外部网络通过网卡访问内部网络时,它并不知道内部网络的连接情况而只是通过一个开放的IP地址和端口来请求访问。
3.5文件加密和数字签名技术。文件加密与数字签名技术是为提高信息系统及数据的安全保密性,防止秘密数据被外部窃取、侦听或破坏所采用的主要技术之一。根据作用不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别三种。数据传输加密技术主要用来对传输中的数据流加密通常有线路加密和端对端加密两种。前者侧重在路线上而不考虑信源与信宿是对保密信息通过的各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文加密成密文,当这些信息到达目的地时,由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。
结束语
关键词:计算机,数据文件,安全性,防护措施,研究
0.前言
随着计算机应用的普及,计算机数据安全问题成为了日益突出的问题,特别是在网络环境下,数据的安全问题不仅涉及到系统数据和用户数据遭到逻辑级别或物理级别的损坏威胁,而且涉及到敏感数据通过网络泄漏的威胁。如何保护计算机数据安全已经是重大的战略问题。
1.对计算机数据安全构成威胁的主要来源
用户误操作引起的数据丢失、系统崩溃等。免费论文参考网。病毒等恶意程序对数据的破坏。敏感数据(如财务报表等)和各种账号(如邮箱账号和密码;网上银行的账号和密码、网上股票交易的账号和密码等)的安全。
2.数据保护的基本原理
对于数据的保护,本质上是通过数据冗余方式来实现的,但不同的保护算法,产生的数据冗余程度会有很大的差别,如基于文件的备份方式,如果不使用压缩算法,文件的每个备份就会额外需要和原文件相同大小的存储空间。
在现代操作系统中,数据的逻辑存储方式是以文件形式进行组织和存放的,文件在存储介质上的组织和结构依赖于具体的文件系统,不同的文件系统在存储介质上的组织和结构会有不同的形式。
在计算机中,数据的访问方式主要以文件的形式进行,但也可绕过文件系统直接存取存储介质上的数据。计算机中数据的组织和存放形式决定了在计算机上实现数据保护的基本原理和方法,从实现的层次上,大致可以分为两大类:
2.1基于文件级的数据保护
目前市场上主流的加密软件多数是文件集的数据保护。以北京亿赛通文档安全管理系统CDG为代表。
基于文件级的数据保护,其算法的实现主要通过软件进行实现,具体实现的层次一般位于文件系统的内部或外部,一般以文件为单位对数据进行备份处理
2.2基于存储介质的数据保护
市场上磁盘级加密软件,以北京亿赛通磁盘全盘加密系统DiskSec为代表。基于存储介质的数据保护,其算法的实现可通过纯软件或硬件实现,也可软硬件结合进行实现,如常用的磁盘冗余阵列磁盘RAID,其实现方式有基于硬件的RAID卡,也有软件实现的软RAID。具体实现的层次一般位于存储介质控制器或存储介质驱动程序层中,由于在这一级别难以获得文件的有关概念,因此其实现基本上均以存储介质的基本单位为单位进行数据备份. 基于这一级别现实的算法主要有以容错为主的RAID0-RAID5,以系统保护为主的磁盘双工等。免费论文参考网。
3.计算机数据文件安全性的防护措施
3.1限制系统功能
可通过来取一些措施来限制系统可提供的服务功能和用户对系统的操作权限,以减少黑客利用这些服务功能和权限攻击系统的可能性。例如,通过增加软硬件,或者对系统进行配置如增强日志、记账等审计功能来保护系统的安全:限制用户对一些资源的访问权限,同时也要限制控制台的登陆。可以通过使用网络安全检测仪发现那些隐藏着安全漏洞的网络服务。或者采用数据加密的方式。加密指改变数据的表现形式。加密的目的是只让特定的人能解读密文,对一般人而言,其即使获得了密文,也不解其义。
加密旨在对第三者保密,如果信息由源点直达目的地,在传递过程中不会被任何人接触到,则无需加密。Internet是一个开放的系统,穿梭于其中的数据可能被任何人随意拦截,因此,将数据加密后再传送是进行秘密通信的最有效的方法。
3.2计算机信息系统必须使用正版软件
并及时进行系统升级或更新补丁;计算机信息系统必须装有防毒杀毒软件,并定期进行病毒检验;与互联网相联的计算机信息系统要有防止非法入侵措施。计算机信息系统必须有全面、规范、严格的用户管理策略或办法。重要的计算机信息系统必须有双人互备做为系统管理员,系统管理员必须对计算机信息系统的各种服务器加设口令,严禁采用系统默认超级管理员用户命或口令;由系统管理员对用户实行集中管理,对用户按职能分组管理,设定用户访问权限,严禁跨岗位越权操作;严防非法用户或非授权用户对非授权服务、数据及文件的访问、使用和修改等。
3.3对计算机信息系统的用户身份、主机身份、事件类型等应进行安全审计
并留存审计日志,审计日志应进行妥善保存。计算机信息系统的主要硬件设备、软件、数据等要有完整可靠的备份机制和手段,并具有在要求时间内恢复系统功能以及重要数据的能力。免费论文参考网。对重要计算机信息系统及设备要有应急处理预案,数据安全管理小组要对应急预案备案登记,并每年定期举行数据安全应急演习。
参考文献
[1]王俊. EDI数据安全性研究[J].现代电子技术, 2009,(05):123-125.
[2] 向明浩, 杨黎, 黄金峰. 数据加密技术——人民银行信息安全的利剑[J]. 华南金融电脑, 2007,(08):118-119.
[3] 施晶, 段朝晖. 浅谈数字签名技术的现状与应用[J]. 河南纺织高等专科学校学报, 2001,(01):106-108.
[4]高恩林. Progress数据库管理系统是什么?[J].管理科学文摘, 2006,(01) :120-123.
[5] 王军. 信息安全保障工作系列报道 北京将建成“信息安全城市”[J].信息网络安全, 2004,(05) :108-109.
[6] 强化信息安全保障体系 夯实信息安全基础建设——全面推进首都信息化进程[J].网络安全技术与应用, 2003,(11):110-115.
论文摘要:随着网络技术的广泛应用,网上购物的日益普及我国电子商务安全的问题日益严重。首先,分析了电子商务安全的现状,其次,着重对电子商务存在的问题及其原因进行深入地探索并指出了电子商务安全的需求,最后给出相应的解决方案。
随着网络技术的广泛应用,我国电子商务的安全问题也日益突出。根据“2010年上半年,计算机病毒和互联网安全报告疫情”的数据表明,2010年上半年,计算机病毒,木马的数量依然保持快速增长,新病毒不断出现,一些“老”的病毒推出了众多变种。2010年上半年计算机病毒,木马数量迅速增加,超出了近五年病毒数量的总和。在日益增多的电子商务安全问题面前,需要我们采取新措施来进行防范。
一、电子商务的安全现状
目前电子商务的安全问题比较严重,最突出的表现在计算机网络安全和商业诚信问题上。因为篇幅问题,本文只侧重于计算机网络安全问题的描述和解决对于其他方面的问题不作详细的分析。与以往相比电子商务安全呈现出以下特点:
(一)木马病毒爆炸性增长,变种数量的快速增加
据统计,仅2009年上半年挂载木马网页数量累计达2.9亿个,共有11.2亿人次网民访问挂载木马,2010年元旦三天就新增电脑病毒50万。病毒的数量不仅增速变快,智能型,病毒变种更新速度快是本年度病毒的又一个特征。总体而言,目前的新木马不多,更多的是它的变种,因为目前反病毒软件的升级速度越来越快,病毒存活时间越来越短,因此,今天的病毒投放者不再投放单一的病毒,而是通过病毒下载器来进行病毒投放,可以自动从指定的网址上下载新病毒,并进行自动更新,永远也无法斩尽杀绝所有的病毒。同时病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动,通过网络贩卖病毒、木马,教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多,电子商务网络犯罪也逐渐开始呈公开化、大众化的趋势。
(二)网络病毒传播方式的变化
过去,传播病毒通过网络进行。目前,通过移动存储介质传播的案例显著增加,存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于U盘和移动存储介质广泛使用,病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序,然后感染用户的计算机系统,进而感染其他U盘。与往年相比,今年通过网络浏览或下载该病毒的比例在下降。不过,从网络监测和用户寻求帮助的情况来看,大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码,当存在安全漏洞的用户访问这些网页时,木马会侵入用户系统,然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性,用户更难于发现,潜在的危害性也更大。
(三)网络病毒给电子商务造成的损失继续增加
调查显示,浏览器配置被修改,损坏或丢失数据,系统的使用受限,网络无法使用,密码被盗造成都给电子商务造成严重的破坏后果。2006年“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播,攫取非法经济利益,给被感染的用户带来重大损失。继“熊猫烧香”之后,复合型病毒大量出现,如:仇英、艾妮等病毒。同时,网上贩卖病毒、木马和僵尸网络的活动不断增多,利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。
二、电子商务的安全问题及存在原因
1.对合法用户的身份冒充。以不法手段盗用合法用户的身份资料,仿冒合法用户的身份与他人进行交易,从而获得非法利益。
2.对信息的窃取。攻击者在网络的传输信道上。通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。
3.对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注人伪造消息等,从而使信息失去真实性和完整性。
4.拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。
5.对发出的信息予以否认.某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
6.信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输人虚假银行资料使卖方不能提款I用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。
7.电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。
三、电子商务的安全需求
电子商务威胁的出现导致了对电子商务安全的需求,主要包括有效性、完整性、不可抵赖性、匿名性。
1.有效性。保证信息的有效性是开展电子商务的前提,一旦签订交易,这项交易就应得到保护以防止被篡改或伪造。
2.完整性。贸易双方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易双方信息的完整性是电子商务的基础。
3.不可抵赖性。交易一旦达成,原发送方在发送数据后就不能抵赖,接收方接到数据后也不能抵赖。
4.匿名性。电子商务系统应确保交易的匿名性,防止交易过程被跟踪,保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体。
四、电子商务安全防治措施及安全举措
防范电子商务网络犯罪是一个系统工程,不仅需要人们提高防范电子商务网络犯罪的意识,加强防范电子商务网络犯罪的制度建设,而且.还需要技术上不断更新和完善,为此,需要做好以下几方面的工作。
1.加强教育和宣传,提高公众电子商务的安全意识。信息安全意识是指人们在上网的过程中,对信息安全重要性的认识水平,发现影响网络安全行为的敏锐性,维护网络安全的主动性。强化上网人员的信息安全意识,就是要让上网人员认识到,网络信息安全是电子商务正常而高效运转的基础,是保障企业、公民和国家利益的重要前提,从而牢同树立网上交易,安全第一的思想。主要采取以下措施:一是通过大众媒体,普及电子商务的安全知识,提高用户的认识。二是积极组织研讨会和培训课程,培养电子商务网络营销安全管理人才。
2.采用多重网络技术,保证网络信息安全。目前,常用的电子商务安全技术,主要包括:防火墙,物理隔离,VPN(虚拟专用网)。防火墙是实现内部网与外部网安全和入侵隔离的常规技术。使用防火墙,一方面是抵御来自外界的攻击。另一方面是为了防止在服务器内部部分未经授权的用户攻击。因此,电子商务内外网与互联网之间要设置防火墙。网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,发现任何安全隐患及时更改,做到有备无患。企业上网必须实行内外网划分和内外网的物理隔离。要运用VPN新技术,为使用者提了一种通过公用网络,安全地对食业网络进行远程访问,同时又能保证企业的系统安全。包括操作系统、数据库和服务器(如Web服务器、E-MAII。服务器)的安全。
3.运用密码技术,强化通信安全。应围绕数字证书应用,为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。目前要加强身份认证、数据完整性、数据加密、数字签名等工作。对于电子商务中的各种敏感数据进行数据加密处理,并且在数据传输中采用加密传输,以防止攻击者窃密。电子商务信息交换中的各种信息,必须通过身份认证来确认其合法性,然后确定这个用户的个人数据和特定权限。“在涉及多个对等实体间的交互认征时,应采用基于PKI技术,借助第三方(CA)颁发的数字证书数字签名来确认彼此身份。”为了从根本上保证我国网络的安全,我同安全产品的应用应建立在国内自主研发的产品基础上,国外的先进技术可以参考,但不能完全照搬。政府应该鼓励和扶植一批企业加快数字安全技术的研究,以提高我国信息企业的技术和管理水平,促进我同电子商务安全建设。
4.加强技术管理,努力做到使用安全。首先是在内部严格控制企业内部人员对网络共享资源的随意使用。在内网中,除有特殊需要不要轻易开放共享目录,对有经常交换信息要求的用户,在共享时应该加密,即只有通过密码的认证才允许访问数据。二是对涉及秘密信息的用户主机,使用者在应用过程中应该做到尽可能少开放一些不常用的网络服务,同时封闭一些不用的端口。并对服务器中的数据库进行安全备份。三是切实保证媒体安全。包括媒体数据的安全及媒体本身的安全。要防止系统信息在物理空间上的扩散。为了防止系统中的信息在物理空间上的扩散,应在物理上采取一定的防护措施,如进行一定的电磁屏蔽,减少或干扰扩散出去的空间信号。这样做,对确保企业电子商务安全将发挥重要作用。
5.健全法律,严格执法。目前我国在电子商务法律法规方面还有很多缺失,不能有效地保护公众的合法权益,给一些犯罪分子带来了可乘之机。我国立法部门应加快立法进程,吸取和借鉴国外网络信息安全立法的先进经验,尽快制定和颁布《个人隐私保护法》、《商业秘密保护法》、《数据库振兴法》、《信息网络安全法》、《电子凭证(票据)法》、《网上知识产权法》等一系列法律,使电子商务安全管理走上法制化轨道。使网络控制、信息控制、信息资源管理和防止泄密有法可依,并得到技术上的支撑。健全电子商务安全标准认证和质量检测机制,由国家主管部门组织制定有关电子商务安全条例规定,并发挥职能部门的监管作用。通过建立电子商务安全法规体系,规范和维持网络的正常运行。
参考文献:
[1]许宁宁.电子商务安全的现状与趋势[J].中国电子商务,2010,(1).
[2]濮小金.电子商务安全的政策选择[J].全国商情经济理论研究,2009,(3).
论文关键词:电子商务;信息安全;加密技术;数字认证
引言:近年来,随着通讯技术、网络技术的迅速发展促使电子商务技术应运而生。电子商务具有高效率、低成本的特性,为中小型公司提供各种各样的商机而迅速普及。电子商务主要依托Intemet平成交易过程中双方的身份、资金等信息的传输。由于Imemet的开放性、共享性、无缝连通性,使得电子商务信息安全面临着威胁:如1)截获和窃取用户机密的信息。2)篡改网络传输途中的信息,破坏信息的完整性。3)假冒合法用户或发送假冒信息来欺骗用户。4)交易抵赖否认交易行为等。因此,电子商务技术的推广,很大程度依赖信息安全技术的完善和提高。
l电子商务安全技术
1.1加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数。即从—个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
1.2数字签名和数字证书。1)数字签名。数字加密是非对称加密技术的一类应用。数字签名是用来保证文档的真实性、有效性的一种措施.如同出示手写签名一样。将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。通过数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法,保证了网络数据的完整性和真实性。2)数字证书。数字证书就是标志网络用户身份信息的一系列数据,用来在网络直用中识别通讯各方的身份,其作用类似于现实生活中的身份证。数字证书由可信任的、公正的权威机构CA中心颁发,以数字证书为杨的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
1.3防火墙技术。防火墙主要功能是建立网络之间的—个安全屏障,从而起到内部网络与外部公网的隔离,加强网络之间的访问控制,防止外部网络用户以非法手酾百:过外部网络进入内部网络。根据制定的策略对两个或多个网络、分析和审计,按照—定的安全策略限制外界用户对内部网络的访问,只有被允许的通信才能通过防火墙,管理内部用户访问外界网络的权限,监视网络运行状态并对各种攻击提供有效的防范。
2电子商务安全交易协议
2.l(SSL)安全套接层协议。主要用于提高应用程序之间的数据的安全系数,保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户假务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
SSL安全协议主要提供三方面的服务。—是用户和服务器的尝陛保证,使得用户与服务器能够确信渤据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号,由公开密钥编排。为了验证用户,安全套接层协议要求在握手交换数据中作数字认证,以此来确保用户的合法性;二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥,也有公开密钥,在客户机和服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证其机密性与数据的完整性,并且经数字证书鉴别:三是维护数据的完整性。安全垂接层协议采用Hash函数和机密共享的力怯来提供完整的信息服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务能全部准确无误地到达月的地。
2.2(SET)安全电子交易公告。为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。
SET安全协议主要对象包括:消费者(包括个人和团体),按照在线商店的要求填写定货单,用发卡银行的信用卡付款;在线商店,提供商品或服务,具备使用相应电子货币的条件;收单银行,通过支付网关处理消费者与在线商店之间的交易付款;电子货币发行公司以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付;认证中心,负责确认交易对方的身份和信誉度,以及对消费者的支付手段认证。SET协议规范技术范围包括:加密算法的应用,证书信息与对象格式,购买信息和对象格式,认可信息与对象格式。SET协议要达到五个目标:保证电子商务参与者信息的相应隔离;保证信息在互联网上安全传输,防止数据被黑客或被内部人员窃取;解决多方认证问题;保证网上交易的实时性,使所有的支付过程都是在线的;效仿BDZ贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性与交互操作功能,并且可以运行在不同的硬件和操作系统平台上。
3电子商务信息安全有待完善和提高
3.1提高网络信息安全意识。以有效方式、途径在全社会普及网络安全知识,提高公民的网络安全意识与自觉陡,学会维护网络安全的基本技能。并在思想上萤把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。
3.2加强网络安全管理。建立信息安全领导机构,有效统一、协调和研究未来趋势,制定宏观政策,实施重大决定。严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》,明确责任、规范岗位职责、制定有效防范措施,并目严把用户人网关、合理设置访问权限等。
3.3加快网络安全专业人才的培养。加大对有良好基础的科研教育基地的支持和投入,加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动,加强对内部人员的网络安全培洲,防止堡垒从内部攻破。使高素质的人才在高水平的教研环境中迅速成长和提高。
3.4开展网络安全立法和执法。吸取和借鉴国外网络信息安全立法的先进经验,结合我国国情对现行法律体系进行修改与补充,使法律体系更加科学和完善;并建立有利于信息安全案件诉讼与公、检、法机关办案制度,提高执法效率和质量。对违犯国家法律法规,对计算机信息存储系统、应用程序或传输的数据进行删除、修改、增加、干扰的行为依法惩处。
3.5强化网络技术创新。组织现有信息安全研究、应用的人才,创造优良环境,创新思想、超越约束,利用国内外资源,建立具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。
