信息網(wǎng)絡安全評估的方法范文
時間:2023-09-13 17:17:56
導語:如何才能寫好一篇信息網(wǎng)絡安全評估的方法,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
改革開放以來,我國社會經(jīng)濟得到了長足的發(fā)展,人民物質(zhì)文化生活水平不斷提高,用電量亦直線增漲,電力行業(yè)獲得了前所未有的發(fā)展機遇。隨著電力行業(yè)的不斷發(fā)展壯大和信息網(wǎng)絡技術日新月異的發(fā)展,電力行業(yè)和電力企業(yè)也面臨著一系列的挑戰(zhàn),電力信息網(wǎng)絡風險管理和防御顯得日益重要,信息網(wǎng)絡風險量化評估成為重中之重。由于我國電力信息化技術起步較晚,發(fā)展也比較滯后,電力信息網(wǎng)絡風險管理與風險防御是一個新的課題,電力信息網(wǎng)絡風險量化評估在最近幾年才被重視,所以存在不少的問題急待完善。
1電力信息網(wǎng)絡風險量化評估的必要性
隨著信息技術的不斷發(fā)展,電力信息網(wǎng)絡存在的風險越來越大,電力企業(yè)不得不提高信息網(wǎng)絡風險防控意識,重視電力信息網(wǎng)絡的風險評估工作。進行電力系統(tǒng)信息網(wǎng)絡風險量化評估意義體現(xiàn)在許多方面,可以提高電力企業(yè)管理層和全體員工的信息網(wǎng)絡安全意識,促進電力企業(yè)不斷完善電力信息網(wǎng)絡技術的研發(fā)與提升,防范廣大電力用戶個人信息泄露,為電力企業(yè)今后的良好發(fā)展保駕護航。近年來,電力企業(yè)迎來了黃金發(fā)展時期,電力網(wǎng)絡覆蓋面不斷擴大,電力企業(yè)管理理念也不斷提升,電力系統(tǒng)也隨之步入了數(shù)字化時代,信息網(wǎng)絡安全防范成為當務之急。目前電力系統(tǒng)信息網(wǎng)絡安全防范一般為安裝防病毒軟件、部署防火墻、進行入侵檢測等基礎性的安全防御,缺乏完整有效的信息安全保障體系。風險量化評估技術能夠準確預測出電力信息網(wǎng)絡可能面臨的各種威脅,及時發(fā)現(xiàn)系統(tǒng)安全問題,進行風險分析和評估,盡最大可能地協(xié)助防御電力系統(tǒng)安全威脅。
2電力系統(tǒng)信息網(wǎng)絡安全風險評估中存
在的問題我國電力信息網(wǎng)絡安全風險評估是近幾年才開始的,發(fā)展相對滯后,目前針對電力信息網(wǎng)絡安全風險評估的相關研究特別少。2008年電力行業(yè)信息標準化技術委員會才討論通過了《電力行業(yè)信息化標準體系》,因此電力信息網(wǎng)絡安全風險評估中存在不少的問題和難題有待解決。
2.1電力信息網(wǎng)絡系統(tǒng)的得雜性
電力行業(yè),電力企業(yè),各電網(wǎng)單位因為工作性質(zhì)不同,對電力信息網(wǎng)絡安全風險的認識各不相同,加上相關標準體系的不健全,信息識別缺乏參考,電力信息網(wǎng)絡安全風險識別存在較大的困難。此外電力信息網(wǎng)絡安全風險評估對象難以確定,也給評估工作帶來了很大的困難。2.2電力信息網(wǎng)絡安全風險量化評估方法缺乏科學性我國部分電力企業(yè)的信息網(wǎng)絡安全風險評估方法比較落后簡單,其主要方式是組織專家、管理人員、用戶代表根據(jù)一些相關的信息數(shù)據(jù)開會研討,再在研討的基礎上進行人為打分,形成書面的文字說明和統(tǒng)計表格來評定電力信息網(wǎng)絡系統(tǒng)可能面臨的各種風險,這種評估方法十分模糊,缺乏科學的分析,給風險防范決策帶來了極大風險,實在不可取。
2.3傳統(tǒng)的電力信息網(wǎng)絡安全風險評估方法過于主觀
目前用于電力信息網(wǎng)絡安全風險分析計算的傳統(tǒng)方法很多,如層次分析、模糊理論等方法。可是因為電力網(wǎng)絡安全信息的復雜性、不確定性和人為干擾等原因,傳統(tǒng)分析評估方法比較主觀,影響評估結果。在評估的實際工作中存在很多干擾因素,如何排除干擾因素亦是一大難點。電力信息網(wǎng)絡安全風險量化評估要面對海量的信息數(shù)據(jù),如何采用科學方法進行數(shù)據(jù)篩選,簡約數(shù)據(jù)簡化評估流程是當前的又一重大課題。
3電力信息網(wǎng)絡所面臨的風險分析
電力信息網(wǎng)絡系統(tǒng)面臨的風險五花八門,影響電力信息網(wǎng)絡系統(tǒng)的因素錯綜復雜,需要根據(jù)實際情況建立一個立體的安全防御體系。要搞好電力信息網(wǎng)絡系統(tǒng)安全防護工作首先要分析電力信息網(wǎng)絡系統(tǒng)面臨的風險類別,然后才能各個突破,有效防范。電力信息網(wǎng)絡系統(tǒng)面臨的安全風險主要有兩面大類別:安全技術風險和安全管理風險。
3.1電力信息網(wǎng)絡安全技術風險
3.1.1物理性安全風險是指信息網(wǎng)絡外界環(huán)境因素和物理因素,導致設備及線路故障使電力信息網(wǎng)絡處于癱瘓狀態(tài),電力信息系統(tǒng)不能正常動作。如地震海嘯、水患火災,雷劈電擊等自然災害;人為的破壞和人為信息泄露;電磁及靜電干擾等,都能夠使電力信息網(wǎng)絡系統(tǒng)不能正常工作。3.1.2網(wǎng)絡安全風險是指電力信息系統(tǒng)內(nèi)網(wǎng)與外網(wǎng)之間的防火墻不能有效隔離,網(wǎng)絡安全設置的結構出現(xiàn)問題,關鍵設備處理業(yè)務的硬件空間不夠用,通信線纜和信息處理硬件等級太低,電力信息網(wǎng)絡速度跟不上等等。3.1.3主機系統(tǒng)本身存在的安全風險是指系統(tǒng)本身安全防御不夠完善,存在系統(tǒng)漏洞,電力企業(yè)內(nèi)部人員和外部人員都可以利用一定的信息技術盜取用戶所有的權限,竊走或破壞電力信息網(wǎng)絡相關數(shù)據(jù)。電力信息網(wǎng)絡安全風險有兩種:一是因操作不當,安裝了一些不良插件,使電力信息網(wǎng)絡系統(tǒng)門戶大開,被他人輕而易舉地進行網(wǎng)絡入侵和攻擊;二是因為主機硬件出故障使數(shù)據(jù)丟失無法恢復,以及數(shù)據(jù)庫本身存在不可修復的漏洞導致數(shù)據(jù)的丟失。
3.2電力信息網(wǎng)絡安全管理中存在的風險
電力信息網(wǎng)絡是一個龐大復雜的網(wǎng)絡,必須要重視安全管理。電力信息網(wǎng)絡安全管理風險來源于電力企業(yè)的內(nèi)部,可見其風險威脅性之大。電力信息網(wǎng)絡安全管理中存在風險的原因主要是企業(yè)內(nèi)部管理混亂,權責劃分不清晰,操作人員業(yè)務技能不過關,工作人員責任心缺乏,最主要還是管理層對電力信息網(wǎng)絡安全管理中存在的風險意識薄弱,風險管理不到位所致。
4電力信息網(wǎng)絡風險評估的量化分析
4.1電力信息網(wǎng)絡風險評估標準
目前我國一般運用的電力信息網(wǎng)絡風險評估標準是:GB/T20984-2007《信息安全技術:信息安全風險評估規(guī)范》,該標準定義了信息安全風險評估的相關專業(yè)術語,規(guī)范了信息安全風險評估流程,對信息網(wǎng)絡系統(tǒng)各個使用壽命周期的風險評估實施細節(jié)做出了詳細的說明和規(guī)定。
4.2電力信息網(wǎng)絡安全風險計算模型
學界認為電力信息網(wǎng)絡的安全風險與風險事件發(fā)生概率與風險事件發(fā)生后造成的可能損失存在較高的相關性。所以電力信息系統(tǒng)總體風險值的計算公式如下:R(x)=f(p,c)其中R(x)為系統(tǒng)風險總值,p代表概率,c為風險事件產(chǎn)生的后果。由此可知,利用科學的計算模式來量化風險事件發(fā)生的概率,和風險事件發(fā)生后可能產(chǎn)生的后果,即可演算出電力信息網(wǎng)絡安全的風險總值。
4.3電力信息網(wǎng)絡安全風險量化評估的方法
4.3.1模糊綜合評判法模糊綜合評判法采用模糊數(shù)學進行電力信息網(wǎng)絡安全風險量化評估的一種方法,利用模糊數(shù)學的隸屬度理論,把對風險的定性評估轉化成定量評估,一般運用于復雜龐大的電力信息網(wǎng)絡安全防御系統(tǒng)的綜全性評估。利用模糊綜合評判法時,要確定好因數(shù)集、評判集、權重系數(shù),解出綜合評估矩陣值。模糊綜合評判法是一種線性分析數(shù)學方法,多用于化解風險量化評估中的不確定因素。4.3.2層次分析法電力信息網(wǎng)絡風險量化評估層次分析法起源于美國,是將定性與定量相結合的一種風險量化評估分析方法。層次分析法是把信息網(wǎng)絡風險分成不同的層次等級,從最底層開始進行分析、比較和計算各評估要素所占的權重,層層向上計算求解,直到計算出最終矩陣值,從而判斷出信息網(wǎng)絡風險終值。4.3.3變精度粗糙集法電力信息網(wǎng)絡風險量化評估變精度粗糙集法是一種處理模糊和不精確性問題的數(shù)學方法,其核心理念是利用問題的描述集合,用可辨關系與不可辨關系確定該問題的近似域,在數(shù)據(jù)中尋找出問題的內(nèi)在規(guī)律,從而獲得風險量化評估所需要的相關數(shù)據(jù)。在實際工作中,電力信息網(wǎng)絡風險量化評估分析會受到諸多因素的影響和干擾,變精度粗糙集法可以把這些干擾因素模糊化,具有強大的定性分析功能。電力信息網(wǎng)絡風險量化評估是運用數(shù)學工具把評估對象進行量化處理的一種過程。在現(xiàn)實工作中,無論采用哪種信息網(wǎng)絡風險評估的量化分析方法,其目的都是為了更好地進行風險防控,為電力企業(yè)的發(fā)展保駕護航。
5總結
電力信息網(wǎng)絡安全對保證人民財產(chǎn)安全和電力企業(yè)的日常營運都具有非常重要的意義,電力企業(yè)領導層必須要加以重視,加大科研投入,定向培養(yǎng)相關的專業(yè)人才,強化電力信息網(wǎng)絡安全風險評估工作,為電力企業(yè)的良好發(fā)展打下堅實的基礎。
參考文獻
[1]龐霞,謝清宇.淺議電力信息安全運行維護與管理[J].科技與企業(yè),2012(07):28.
[2]王申華,蔣健.電力信息安全運行維護及管理探討[J].信息與電腦(理論版),2014(11):45.
篇2
關鍵詞:電力信息;網(wǎng)絡安全態(tài)勢;評估;預測方法
前言
近年來,隨著電力工業(yè)迅速發(fā)展,信息技術為電力產(chǎn)業(yè)改革提供了極大的便利,但也帶來了負面影響,嚴重情況下,威脅到電力系統(tǒng)安全運行,在很大程度上增加了電力系統(tǒng)運行不確定性。與此同時,智能終端接入方式多元化、大量數(shù)據(jù)信息之間交互等,都需要建立在電力信息網(wǎng)絡安全基礎之上。因此加強對本文的研究具有非常重要的現(xiàn)實意義,不僅能夠提高系統(tǒng)安全性、穩(wěn)定性,且能夠促進電力系統(tǒng)綜合效益有效發(fā)揮。
1網(wǎng)絡安全態(tài)勢評估概念
網(wǎng)絡安全態(tài)勢評估建立在網(wǎng)絡安全態(tài)勢評估模型基礎之上,在評估過程中,評估算法按照具體的模型對網(wǎng)絡安全態(tài)勢進行評估。其中評估結果準確性與模型存在非常密切的聯(lián)系。一般來說,對于網(wǎng)絡安全態(tài)勢的評估,需要收集大量數(shù)據(jù)信息,然后對數(shù)據(jù)信息進行預處理,借助模型及算法對網(wǎng)絡的整體態(tài)勢進行計算,為決策提供科學依據(jù),可見,網(wǎng)絡安全態(tài)勢評估是一項非常重要的工作。現(xiàn)實中,電力信息系統(tǒng)會受到各種各樣的威脅,針對眾多影響因素來看,大致可以劃分為兩類,一是技術安全、二是管理安全。對于前者來說,物理安全主要涉及系統(tǒng)的設備安全,一旦設備無法正常運轉,勢必會造成線路故障,影響信息系統(tǒng)穩(wěn)定運行。且網(wǎng)絡、主機系統(tǒng)等也會出現(xiàn)不同程度的故障,不利于信息實時共享。對于信息網(wǎng)絡受到的威脅來看,主要包括系統(tǒng)探測、非法訪問等。面對不同方面提出的挑戰(zhàn),如何及時了解和掌握信息網(wǎng)絡安全態(tài)勢至關重要。
2電力信息網(wǎng)絡安全態(tài)勢評估及預測方法分析
電力是人們?nèi)粘9ぷ骱蜕钪胁豢扇鄙俚囊徊糠郑娏π畔⒒焖侔l(fā)展,并滲透至發(fā)電、輸電及配電等多個環(huán)節(jié),保證電力信息系統(tǒng)安全非常關鍵。但電力信息系統(tǒng)在運行過程中,極易出現(xiàn)病毒、木馬等問題,不利于電力系統(tǒng)穩(wěn)定運行,因此我們有必要提前做好評估和預測,以了解和掌握信息系統(tǒng)運行狀況,確定系統(tǒng)的安全級別,以達到防患于未然的目標[1]。
2.1權重計算方法
針對當前層次分析法過于偏向于主觀,導致結果缺乏客觀性。因此本文將引入三角模糊數(shù)代表專家對指標重要性的評判,然后基于群組決策的模糊層次分析法來確定各層因素的權重。采取這種方式,不僅能夠避免評估誤差,且能夠提高評估結果準確性。在實踐中,我們確定安全評估體系,按照隸屬關系劃分得到相應的層次化安全結構。然后進行兩兩對比分析,構建各層次因素的三角模糊判斷矩陣。通過一致性檢驗后,運用加權平均法得出各個層次指標因素的綜合矩陣。針對模糊權重向量,本文可以采取可能度方法對其進行相應的處理,并按照如下公式計算出各指標權值.對于電力信息網(wǎng)絡安全的評估,主要分為硬件、網(wǎng)絡、信息及軟件四個模塊,每個模塊中包含多個細節(jié),如硬件安全中,涉及計算機安全、設備安全及線路安全等。通過一致性檢驗之后,采用加權平均法綜合專家信息得出模糊綜合判斷矩陣,將數(shù)值代入到上述公式當中計算出各個指標的相對權重值[2]。如表1是硬件安全相關指標權重情況。根據(jù)權重判斷各個細節(jié)的安全性能更為準確,能夠為電力信息安全管理提供支持。
2.2評估模型設計
目前,電力信息網(wǎng)絡系統(tǒng)中已經(jīng)設置了防火墻、入侵檢測等設備,構建了一道防護墻,但這種方式非動態(tài)性,無法滿足電力信息安全防護需求。因此我們將引入評估模型,實現(xiàn)對建立信息的動態(tài)監(jiān)督和控制。為了減少冗余,我們在評估前,需要對相關數(shù)據(jù)進行預處理,為后續(xù)評估做好充分的準備。電力系統(tǒng)是一個龐大的體系,其涉及多個層次,針對不同的層次,我們構建的計算模型也應有所調(diào)整。如對于主機級安全態(tài)勢指數(shù)計算公式如下通過這個公式能夠計算得出電力信息受威脅程度。通過對安全態(tài)勢評估概念分析得知,模型構建是否合理直接影響評估結果準確性。因此合理構建模型非常關鍵。本文采取層次性模型,以此來強調(diào)評估針對性。構建模型后需要將定性指標定量化處理,確定評估參數(shù)[3]。具體來說,第一,針對主機和子網(wǎng)權重來說,可以采取專家評估法,引入上文提到的三角模糊數(shù)計算方法,得出相應的數(shù)值。第二,對于時間重要性權重來說,應將天作為單位時間,并將一天劃分為三個時間段,對各個時間的重要程度進行確定。第三,將對電力信息網(wǎng)絡危害程度劃分為中、高、低三個級別,量化威脅程度,如檢測到木馬的威脅程度為3級等,使得評估結果能夠更具指導作用。
2.3安全態(tài)勢預測算法設計
現(xiàn)有研究成果中算法有很多,如支持向量機,建立在統(tǒng)計理論基礎之上的機器學習方法,專門針對有限樣本情況,解決非線性數(shù)據(jù),并結合預測核心思想,將非現(xiàn)象變換輸入到高維特征空間范圍內(nèi),得出全局最優(yōu)解。再如粒子群優(yōu)化算法,作為一種很強的全局尋優(yōu)能力群智能優(yōu)化算法,能夠?qū)γ總€粒子進行計算,朝著最優(yōu)答案靠近[4]。此外,還有集成學習等方法。任何一種方法都各具優(yōu)劣,將各個方法結合到一起,能夠充分發(fā)揮其優(yōu)勢。為了最大限度上降低計算結果的誤差,本文將提出一種綜合性方法,將上述方法有機整合到一起。為了提高實踐應用效果,我們將對綜合算法進行評估。采用DARPA評估數(shù)據(jù)作為原始數(shù)據(jù)源,收集了150個數(shù)據(jù),按照如下歸一化公式進行處理。根據(jù)具體的計算值,通過滑動窗口方法對態(tài)勢數(shù)據(jù)進行重構處理,形成集成學習樣本。通過這種方式能夠確保預測更加準確、客觀[5]。經(jīng)過比較,本文提出的算法能夠在很大程度上提高預測精確度,更好地應用于網(wǎng)絡安全態(tài)勢預測,可以廣泛推廣和應用。在未來,電力系統(tǒng)將呈現(xiàn)規(guī)模化發(fā)展趨勢,信息系統(tǒng)也會隨之拓展。技術人員還要加大對評估及算法的研究力度,使得算法過程更加簡便,并提高算法結果客觀、準確性,為電力信息管理奠定堅實的基礎。
3結論
根據(jù)上文所述,隨著我國電力事業(yè)不斷發(fā)展,信息網(wǎng)絡系統(tǒng)安全問題受到了越來越多的關注和重視。針對當前存在的諸多風險,我們在實踐工作中,要重視對評估和算法的分析和選擇,合理的選擇方法,能夠在很大程度上提高評估結果準確性。本文通過對當前網(wǎng)絡信息受到的各類風險,從預測算法等角度提出了具體的方法,能夠幫助監(jiān)控人員及時發(fā)現(xiàn)龐大的信息系統(tǒng)中存在的不足和隱患,并安排人員對其進行針對性調(diào)整,使得電力信息系統(tǒng)始終處于良好的狀態(tài)當中,確保系統(tǒng)內(nèi)部各類信息之間的交互和共享,不斷提高電力信息系統(tǒng)運行有效性,從而促進電力產(chǎn)業(yè)持續(xù)健康發(fā)展。
參考文獻:
[1]陳虎.網(wǎng)絡信息安全風險態(tài)勢預測分析方法探討[J].網(wǎng)絡安全技術與應用,2014.
[2]李菁.一種新型網(wǎng)絡安全態(tài)勢評估及應用方法的探討[J].新經(jīng)濟,2014.
[3]石波,謝小權.基于D-S證據(jù)理論的網(wǎng)絡安全態(tài)勢預測方法研究[J].計算機工程與設計,2013.
[4]范淵,劉志樂,王吉文.一種基于模糊粗糙集的網(wǎng)絡態(tài)勢評估方法研究[J].信息網(wǎng)絡安全,2015.
篇3
關鍵詞安全隱患;網(wǎng)絡安全;防火墻;防病毒;入侵檢測;安全評估
Abstract: by analyzing the information network security management are potential safety problems, and put forward the network security management and various technical measures, security network and information security. Network security is a dynamic, overall system engineering, will from the information network security management, the problems of network information security company in reference to the application, and by establishing a sound management system and use of various technology, comprehensive improve computer network information safety overall solutions are discussed.
Key words security hidden danger; Network security; Firewall; The virus; Intrusion detection; Safety assessment
中圖分類號:TU714文獻標識碼:A 文章編號:
隨著網(wǎng)絡安全技術的不斷發(fā)展,網(wǎng)絡惡意攻擊者的技術也在不斷的改進和創(chuàng)新。網(wǎng)絡信息安全由安全的操作系統(tǒng)、應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、災難恢復等多個安全組件組成,一個單獨的組件是無法確保信息網(wǎng)絡的安全性。以前簡單的網(wǎng)絡邊界安全解決方案,已經(jīng)不能從整體上解決企業(yè)網(wǎng)絡安全隱患,因此在公司單位制定一套合理的整體網(wǎng)絡安全規(guī)劃,顯得尤為重要。
一、信息網(wǎng)絡安全管理存在的安全隱患
(1)外部非法接入。包括客戶、訪客、合作商、合作伙伴等在不經(jīng)過部門信息中心允許情況下與公司網(wǎng)絡的連接,而這些電腦在很多時候是游離于企業(yè)安全體系的有效管理之外的。
(2)局域網(wǎng)病毒、惡意軟件的泛濫。公司內(nèi)部員工對電腦的了解甚少,沒有良好的防范意識,造成病毒、惡意軟件在局域網(wǎng)內(nèi)廣泛傳播以至于影響到正常的日常辦公。
(3)資產(chǎn)管理失控。網(wǎng)絡中終端用戶隨意增減調(diào)換,每個終端硬件配備(硬盤、內(nèi)存等)肆意組裝拆卸,操作系統(tǒng)隨意更換,各類應用軟件胡亂安裝卸載,各種外設無節(jié)制使用。
(4)網(wǎng)絡資源濫用。IP地址濫用,流量濫用,甚至工作時間聊天、游戲、瘋狂下載等行為影響工作效率,影響網(wǎng)絡的正常使用。
(5)內(nèi)部非法外聯(lián)。內(nèi)部網(wǎng)絡用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等設備進行在線違規(guī)撥號上網(wǎng)等,或違反規(guī)定將專網(wǎng)專用計算機帶出網(wǎng)絡進入其它網(wǎng)絡。
(6)重要信息泄密。因系統(tǒng)漏洞、病毒入侵、非法接入、非法外聯(lián)、網(wǎng)絡濫用、外設濫用等各種原因與管理不善導致組織內(nèi)部重要信息泄漏或毀滅,造成不可彌補的重大企業(yè)損失。
(7)補丁管理混亂。終端用戶不了解系統(tǒng)補丁的狀態(tài),不能及時打補丁,也沒有辦法統(tǒng)一進行補丁的下載、分析、測試和分發(fā),從而為蠕蟲與黑客入侵保留了通道。
(8)“灰色網(wǎng)絡”的存在。即單位信息網(wǎng)絡管理人員對自己所擁有的網(wǎng)絡不是太了解,不能識別可能被利用的已知弱點,選擇合適的網(wǎng)絡安全設備并及時保證設備的策略符合性;工作中疏忽大意等造成對網(wǎng)絡的影響。
(9)沒有建立完善的管理體系。配置再完善的防火墻、功能再強大的入侵檢測系統(tǒng)、結構再復雜的系統(tǒng)密碼等也擋不住內(nèi)部人員從網(wǎng)管背后的一瞥。在公司各單位存在信息網(wǎng)絡安全管理制度不明確合理、宣傳不力、管理不善等現(xiàn)象,造成執(zhí)行者執(zhí)行手段匱乏或執(zhí)行艱難。
二、網(wǎng)絡安全管理應對措施探討
對嚴峻的網(wǎng)絡安全形勢,如何保證網(wǎng)絡安全并有效防止入侵事件的發(fā)生,成為擺在每個網(wǎng)絡管理人員面前的難題。
(1)根據(jù)需求部署安全產(chǎn)品。首先要部署防火墻。它是執(zhí)行安全策略的主要手段。其次,可以考慮IDS(入侵檢測系統(tǒng)),以便對發(fā)生在防火墻后面的違規(guī)行為進行檢測,做出反應。其他的比如防病毒軟件、VPN產(chǎn)品、IPS等,對企業(yè)網(wǎng)絡的安全防護也都起著重要的作用。
(2)制定完整的安全策略。安全策略是制定所有安全決策的基礎,一個完整的安全策略會幫助企業(yè)網(wǎng)絡使用者校正一些日常但有威脅性的紕漏,并使之在保護網(wǎng)絡安全時做出一定的決定。強制執(zhí)行的安全策略提供貫徹組織機構的連續(xù)性;當對攻擊行為做出響應時,安全策略是首先考慮的資源;安全策略可以變動,也可以根據(jù)需要隨時更新;當安全策略變化時,要讓所有員工知道其重要性并遵守。
(3)制定完善的日志策略。日志是網(wǎng)絡管理員調(diào)查網(wǎng)絡入侵行為的必要工具,可以報告網(wǎng)絡異常,跟蹤入侵者的蹤跡,因此制定一個完善的日志策略對企業(yè)網(wǎng)絡安全很重要。
(4)進行定期的安全評估。相應的安全策略制定完成并實施后,就應當對企業(yè)網(wǎng)絡進行定期的安全評估。可以定期的請第三方網(wǎng)絡安全公司進行網(wǎng)絡安全咨詢,找出漏洞、分析漏洞及時降低風險。
(5)建立有效的應急響應機制。要擬定一份緊急事件應變措施,以便在事情發(fā)生、安全體系失效時發(fā)揮作用。應急措施應說明:緊急事件發(fā)生時報告給誰?誰負責回應?誰做決策?應急措施的制定要本著“企業(yè)損失最小化”的原則,體現(xiàn)出在業(yè)務中斷時間盡量短、數(shù)據(jù)丟失盡量少、網(wǎng)絡恢復盡量快等方面。
三、采取多種技術措施,保障網(wǎng)絡與信息安全
(1)防火墻技術。安裝防火墻,實現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離。通過包過濾技術實現(xiàn)允許或阻止訪問與被訪問的對象,對通過內(nèi)容過濾保護網(wǎng)絡用戶合法有效地使用各種網(wǎng)絡對象;通過NAT技術實現(xiàn)動態(tài)地址轉換,使受保護的內(nèi)部網(wǎng)絡的全部主機地址映射成防火墻上設置的少數(shù)幾個有效公網(wǎng)IP地址,這不僅可以對外屏蔽內(nèi)部網(wǎng)絡結構和IP地址,也可以保護內(nèi)部網(wǎng)絡的安全。
(2)入侵檢測系統(tǒng)檢測的主要方法。入侵檢測是防火墻的合理補充,幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎結構的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息,并分析這些信息,查看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。靜態(tài)配置分析:通過檢查系統(tǒng)的當前系統(tǒng)配置,諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表,來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞;異常性檢測方法:是一種在不需要操作系統(tǒng)及其防范安全性缺陷專門知識的情況下,就可以檢測入侵者的方法,同時它也是檢測冒充合法用戶的入侵者的有效方法;基于行為的檢測方法:通過檢測用戶行為中那些與已知入侵行為模式類似的行為、那些利用系統(tǒng)中缺陷或間接違背系統(tǒng)安全規(guī)則的行為,來判斷系統(tǒng)中的入侵活動。
(3)防病毒方面。應用防病毒技術,建立全面的網(wǎng)絡防病毒體系;在核心機房和部分二級單位選擇部署諸如Symantec等防病毒服務器,按照分級方式,從總部、地區(qū)、下屬單位逐級安裝病毒服務器,實行服務器到終端機強制管理方式,實現(xiàn)逐級升級病毒定義文件,制定定期病毒庫升級與掃描策略,建立系統(tǒng)運行維護和公司防病毒技術支持相關人員,為公司員工使用的計算機終端加強了防病毒與查殺病毒的能力。
(4)桌面安全管理系統(tǒng)。桌面安全管理系統(tǒng)可以從技術層面幫助管理人員處理好繁雜的客戶端問題。其目標是要建立全面可靠的桌面安全防護體系,管理和保護桌面軟件系統(tǒng),為各應用系統(tǒng)創(chuàng)造穩(wěn)定、可靠和安全的終端使用環(huán)境,有力支撐企業(yè)的業(yè)務和信息化發(fā)展,確保信息安全。
(5)網(wǎng)絡安全評估。建議每年定期請專業(yè)的安全咨詢公司對企業(yè)內(nèi)部的網(wǎng)絡安全、關鍵服務器群、物理安全等方面做整體的安全體系的評估與安全加固,并提出一系列應對策略和應急方案,及時發(fā)現(xiàn)存在的各類威脅并進行有效整改,提高網(wǎng)絡的安全級別。網(wǎng)絡安全評估是建立安全防護體系的前提工作,是信息安全工作的基礎和重點。
(6)操作系統(tǒng)安全策略管理。由企業(yè)相關技術部門制定出一套操作系統(tǒng)安全管理策略配置說明書,詳細講解對操作系統(tǒng)安全策略的配置和管理,包括帳戶密碼策略、帳戶鎖定策略、審核策略、目錄共享策略、屏保策略、補丁分發(fā)策略等,對客戶端操作系統(tǒng)的安全性進行必要的設置,使其能夠關閉不必要的服務和端口、避免弱口令、刪除默認共享、及時更新系統(tǒng)補丁等,消除操作系統(tǒng)級的安全風險。
(7)信息的安全存儲與安全傳輸。信息的存儲安全是各業(yè)務系統(tǒng)的重點,信息的安全傳輸是機密信息交換的保證。對于數(shù)據(jù)存儲量較大的應用系統(tǒng),可合理地選擇存儲架構,如采用存儲區(qū)域網(wǎng)(storage area network,SAN),實現(xiàn)最大限度的數(shù)據(jù)共享和可管理性;采用RAID技術,合理的冗余硬件來保證存儲介質(zhì)內(nèi)數(shù)據(jù)的可靠性;采用合理的備份策略,如定期完全備份、實時增量備份、異地容災備份、多介質(zhì)備份等來保證信息的可用性、可靠性、可管理性、可恢復性;制定和實施嚴密的數(shù)據(jù)使用權限;針對機密信息的網(wǎng)上傳輸、數(shù)據(jù)交換采取加密后傳輸。
(8)安全管理。網(wǎng)絡信息安全是一項復雜的系統(tǒng)工程,安全技術和安全設備的應用可起到一定的作用。建立和完善各種安全使用、管理制度,明確安全職責;建立如突發(fā)事件的應對預案;加強對網(wǎng)絡使用人員、網(wǎng)絡管理人員的安全教育,樹立安全觀念,提高安全防范意識,減少潛在的安全隱患;建設一支高水平的網(wǎng)絡管理、信息安全管理隊伍,定期進行安全風險評估和策略優(yōu)化。
(9)應用網(wǎng)絡信息安全管理技術正確面對網(wǎng)絡信息安全漏洞。目前,市場上各類網(wǎng)絡管理設備(網(wǎng)絡交換機、防火墻、入侵檢測/防護系統(tǒng)、防病毒系統(tǒng)等)從技術角度來講都已經(jīng)成熟,我們只要選擇知名品牌的信得過產(chǎn)品,對其進行合理的利用,對保障企業(yè)的網(wǎng)絡信息安全能夠起到積極作用。
五、結束語
建立完善的安全制度和安全響應方案,盡快建立起有效的信息安全防護體系,管理員加強自身學習和責任感,并不斷加強和培養(yǎng)員工的安全意識,讓公司每一位員工在意識和行動上都成為安全的“衛(wèi)士”。只有這樣,我們才能共同保障好企業(yè)的信息網(wǎng)絡安全。通過網(wǎng)絡軟件與硬件產(chǎn)品的結合,正確合理地使用各種安全策略和實施手段,相信會建立一套全面、安全、易于使用管理的配套設施,將網(wǎng)絡信息安全隱患減至最小。只有這樣,才能確保公司的網(wǎng)絡信息暢通、信息安全,才能實現(xiàn)公司信息化建設更好的服務公司的生產(chǎn)經(jīng)營。
參考文獻:
篇4
確保信息網(wǎng)絡安全正在成為新世紀國家安全的重要基石和基本內(nèi)涵。這就向我們提出了一個迫切需要解決的重大戰(zhàn)略性問題,即:如何切實保障信息網(wǎng)絡安全,以確保我國信息化建設快速、平穩(wěn)、健康發(fā)展,避免信息網(wǎng)絡安全問題導致社會危機的發(fā)生。
同時,它也要求我們必須結合國情,從“發(fā)展是硬道理”出發(fā)看待和把握信息安全問題,對我國信息化發(fā)展進程中面臨的信息安全威脅演變趨向加以冷靜分析、正確判斷,制定科學、務實、有效的安全保障戰(zhàn)略。
提升應急能力
面對全球一體化的互聯(lián)網(wǎng)環(huán)境,國家公共互聯(lián)網(wǎng)應急體系的建立和應急處理能力的提高,并不能僅僅依靠政府的力量,而是需要世界各國相關組織在技術、資源、經(jīng)驗方面的共同合作,需要政府與企業(yè)、全社會每個人的互動。
在互聯(lián)網(wǎng)這樣一個復雜的巨系統(tǒng)中,如何提高應急響應的處理水平確是擺在我們面前的巨大難題。目前的應急管理無法適應日益復雜的安全系統(tǒng)的要求。為了解決這些問題,我們在方法學上提出了“綜合集成”的思路,即自上而下、自下而上的結合(如圖1所示)。
要落實綜合集成的方法論就要綜合治理,不僅靠一個部門或一個企業(yè)制定信息安全應急預案,而且需要建立一個全球相互協(xié)作體系。在統(tǒng)一的標準、一致的應急處理方法下,達到體系的高度靈活性。
同時,我國也必須要建立自己的體系,并與全球的相關組織緊密合作,實現(xiàn)從定性到定量的協(xié)調(diào)機制。在不斷變化的技術環(huán)境中,今天最好的安全措施可能在明天會過時。安全措施必須緊跟這些變化,必須作為系統(tǒng)開發(fā)生命周期中的一重要組成部分加以考慮,并在每一階段明確其定位。
信息安全常被看作是一個技術問題,少有組織認為它是組織必需優(yōu)先考慮的對象。 信息安全治理是我國信息安全保障體系建設的戰(zhàn)略需求。我國信息安全治理的方針和戰(zhàn)略是:以單項治理為主向以綜合治理為主轉變;從注重事后處理向以事前預警為重點轉變;從與電子政務和電子商務實際應用系統(tǒng)的松散結合向緊密相結合轉變;為經(jīng)濟社會協(xié)調(diào)發(fā)展提供支撐;以人為本、自主創(chuàng)新、協(xié)同集成、重點跨越。
避免誤區(qū)
在評估和把握我國信息安全形勢的走向時,要避免出現(xiàn)兩種傾向:一是在信息安全領域中尚不存在特別重大威脅的情況下,對信息安全問題的演變趨勢估計不足、重視不夠,給國家信息化的持續(xù)發(fā)展留下安全隱患;二是對信息安全領域諸多屬于一般性威脅問題的嚴重性估計過高,把技術與管理不健全而造成的安全問題視為戰(zhàn)略問題,造成人力、財力的浪費,給國家管理和社會進步增添負擔。
思路和原則
抓住我國綜合實力進一步增強和加入WTO的機遇,統(tǒng)籌我國信息安全保障體系建設,在自力更生基礎上按需引進、充分利用和借鑒國外先進技術與管理經(jīng)驗,在15~20年時間內(nèi),堅持與時俱進、求真務實的精神,通過統(tǒng)一規(guī)劃、分步實施,政府引導、全民參與的方式,通過信息安全治理,建立起完整的國家信息安全保障體系。應該按照如下原則來進行安全保障體系的建設:
堅持風險管理原則完全避免風險是不現(xiàn)實的,要對關鍵領域的信息安全風險進行識別和評估,采取必要的保護措施和應急措施來降低風險,使之控制在可承受的范圍內(nèi)。
明確統(tǒng)籌兼顧原則在實施策略方面,要明確國家、企業(yè)和個人在信息安全方面的責任和義務,充分發(fā)揮各方面的積極性;要統(tǒng)籌城鄉(xiāng)信息安全建設,協(xié)調(diào)區(qū)域化信息安全建設與全國信息安全建設。
重視經(jīng)濟實用原則切忌空談和夸大,量力而行,突出重點。以我國信息安全領域最急需開展的工作作為突破點,扎實地做好信息安全工作。管理上要將關鍵信息網(wǎng)絡安全的整改作為信息安全建設的切入點,技術上要采用綜合集成思想,逐步完善關鍵基礎設施的安全保障,切實提高信息安全防護能力。
遵循循序漸進原則信息安全戰(zhàn)略要與國家信息化發(fā)展和社會轉型相適應,采取統(tǒng)一規(guī)劃、分步實施,以及短期和中長期目標相結合的方式進行。
治理三階段
國家信息安全戰(zhàn)略的總體目標是保障關系到國計民生的信息基礎設施的適度安全,實現(xiàn)國家對信息化環(huán)境與內(nèi)容的治理(如圖2所示)。
第一階段,打基礎、保重點,初步建立我國信息安全防護體系。
戰(zhàn)略重點是保障“3+7”關鍵基礎網(wǎng)絡安全、信息內(nèi)容安全和加強網(wǎng)絡監(jiān)管。戰(zhàn)略目標是確保國家信息化建設健康、穩(wěn)步地發(fā)展。
保護關鍵基礎網(wǎng)絡安全指由電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)構成的三個基礎網(wǎng)和由稅務、電力、銀行、證券、海關、鐵道、民航構成的七個關鍵網(wǎng)。
保護信息內(nèi)容安全指防止有害內(nèi)容的產(chǎn)生、傳播和可獲得性。要建立信息網(wǎng)絡監(jiān)管體系,實現(xiàn)對信息內(nèi)容安全監(jiān)控,對有害信息內(nèi)容進行過濾,減少其精神污染。加強政府對信息網(wǎng)絡的監(jiān)管力度及對網(wǎng)絡安全運行的監(jiān)控和管理。
通過立法,將監(jiān)控管理從行政管理的范疇納入到法制范疇。對電子保密信息進行合法的安全監(jiān)管,增強信息犯罪取證調(diào)查能力。
第二階段,重體系、促發(fā)展,形成較強的國家信息安全保障能力。
戰(zhàn)略重點是確保政務網(wǎng)絡安全高效、商務網(wǎng)絡安全可靠、網(wǎng)絡文化健康向上。戰(zhàn)略目標是促進網(wǎng)絡經(jīng)濟蓬勃發(fā)展,形成良好網(wǎng)絡秩序。
政務網(wǎng)絡安全保障重點是保證關鍵指令和信息的有效上傳下達,政務資源的有效整合和利用。為此,要加快安全保障體系與安全支撐平臺建設,這是政府在信息安全上的法律職責和義務。
第三階段,實現(xiàn)對信息網(wǎng)絡的有效治理,初步具備信息反制能力。
戰(zhàn)略重點是有效維護信息空間領域國家利益,大幅提高全民在信息化進程中生活質(zhì)量和福利。
戰(zhàn)略目標是達到信息網(wǎng)絡的科學治理、維護經(jīng)濟與社會的可持續(xù)發(fā)展。
在政策法規(guī)方面,建立完善的信息安全法律法規(guī)體系。在技術方面,依據(jù)信息安全技術戰(zhàn)略,在關鍵領域取得突破性進展。在產(chǎn)業(yè)方面,通過政策傾斜和市場競爭,孵化出信息安全“航空母艦”型企業(yè),信息安全主要核心技術基本實現(xiàn)自主化。
五大安全治理規(guī)范(供參考)
一、經(jīng)濟合作和發(fā)展組織,《信息系統(tǒng)安全指南》(1992)
《信息系統(tǒng)安全指南》用于協(xié)助國家和企業(yè)構建信息系統(tǒng)安全框架。美國、OECD的其他23個成員國,以及十幾個非OECD成員國家都批準了這一指南。該指南旨在提高信息系統(tǒng)風險意識和安全措施,提供一個一般性的框架以輔助信息系統(tǒng)安全度量方法、操作流程和實踐的制定和實施,鼓勵關心信息系統(tǒng)安全的公共和私有部門間的合作,促進人們對信息系統(tǒng)的信心,促進人們應用和使用信息系統(tǒng),方便國家間和國際間信息系統(tǒng)的開發(fā)、使用和安全防護。
這個框架包括法律、行動準則、技術評估、管理和用戶實踐,及公眾教育或宣傳。該指南目的是作為政府、公眾和私有部門的標桿,通過此標桿測量進展。
二、國際會計師聯(lián)合會,《信息安全管理》(1998)
信息安全目標是“保護依靠信息、信息系統(tǒng)和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足三條準則時可認為達到信息安全目標:數(shù)據(jù)和信息只透露給有權知道該數(shù)據(jù)和信息的人(機密性);數(shù)據(jù)和信息保護不受未經(jīng)授權的修改(完整性);信息系統(tǒng)在需要時可用和有用(可用性)。 機密性、完整性和可用性之間的相對優(yōu)先級和重要性根據(jù)信息系統(tǒng)中的信息和使用信息的商業(yè)環(huán)境而不同。 信息安全因急速增長的事故和風險種類而日益重要。對信息系統(tǒng)的威脅既有可能來自有意或無意的行動,也可能來自內(nèi)部或外部。信息安全事故的發(fā)生可能是因為技術方面的因素、自然災害、環(huán)境方面、人的因素、非法訪問或病毒。另外,業(yè)務依賴性(依靠第三方通信設施傳送信息,外包業(yè)務等等)也可能潛在地導致管理控制的失效和監(jiān)督不力。
三、國際標準化組織,《ISO 17799國際標準》(最新版是2005)
ISO 17799(根據(jù)BS 7799第一部分制定)作為確定控制范圍的單一參考點,在大多數(shù)情況下,這些控制是使用業(yè)務信息系統(tǒng)所必須的。該標準適應任何規(guī)模的組織。它把信息作為一種資產(chǎn),像其他重要商業(yè)資產(chǎn)一樣,這種資產(chǎn)對組織有價值,因此需要恰當保護它。ISO 17799認為信息安全有下列特征:機密性,確保信息只被相應的授權用戶訪問;完整性,保護信息和處理信息程序的準確性和完整性;可用性,確保授權用戶在需要時能夠訪問信息和相關資產(chǎn)。信息安全保護信息不受廣泛威脅的損毀,確保業(yè)務連續(xù)性,將商業(yè)損失降至最小,使投資收益最大并抓住各種商業(yè)機遇。安全是通過實施一套恰當?shù)目刂拼胧崿F(xiàn)的。該控制措施由策略、實踐、程序、組織結構和軟件組成。
四、信息系統(tǒng)審計和控制協(xié)會,《信息和相關技術的控制目標》(CoBIT)
CoBIT起源于IT需要傳遞組織為達到業(yè)務目標所需的信息這個前提,至今已有三個版本。除了鼓勵以業(yè)務流程為中心,實行業(yè)務流程負責制外,CoBIT還考慮到組織對信用、質(zhì)量和安全的需要,它提供了組織用于定義其對IT業(yè)務要求的幾條信息準則:效率、效果、可用性、完整性、機密性、可靠性和一致性。CoBIT進一步把IT分成4個領域(計劃和組織,獲取和實施,交付和支持,監(jiān)控),共計34個IT業(yè)務流程。CoBIT為正在尋求控制實施最佳實踐的管理者和IT實施人員提供了超過300個詳細的控制目標,以及建立在這些目標上的廣泛的行動指南。COBIT框架通過聯(lián)結業(yè)務風險、控制需要和技術手段來幫助滿足管理當局多樣化的需求。它提供了通過一個范圍和過程框架的最佳慣例,以形成一個可控和邏輯結構內(nèi)的活動。
五、美國注冊會計師協(xié)會(加拿大特許會計師協(xié)會),《SysTrust TM系統(tǒng)可靠性原理和準則V20》(2001)
篇5
關鍵詞:信息安全;網(wǎng)絡安全;體系模型
中圖分類號:TP309.2 文獻標識碼:A
1 引言
以往,許多安全體系都是根據(jù)相關風險進行設計的,缺乏對整個安全體系的動態(tài)、全面考慮。所以,為最大程度滿足安全需要,我們需要設計出全方位多角度的信息與網(wǎng)絡安全體系,并在體系中完整的包含安全建設所要需要實現(xiàn)的各種功能、服務以及安全機制和相關技術和操作等[2],并對多種因素進行合理的安排和部署。
2 PDR模型
PDR模型包含了三方面的元素,即P――防護(Protection)和D――檢測(Detection)以及R――反應( Reaction)。PDR模型認為所謂的“安全”指的是“保護的時間”要大于“檢測的時間”。因此,在PDR模型中,十分強調(diào)時間的概念,并對保護時間和檢測時間以及響應時間和暴露時間進行了定義。我們用Pt來表示從攻擊開始到攻擊成功的時間,即攻擊所需要的具體時間,或者也可以是故障或非人為因素造成的破壞從發(fā)生到造成影響所生產(chǎn)的時間;用Dt來表示檢測系統(tǒng)安全的時間;用Rt來表示從檢測到安全問題到采取相應的措施進行反抗的時間,即對安全事件的反應時間[3]。經(jīng)分析可知,我們無法控制安全問題出現(xiàn)的可能性,做不到無懈可擊,所以只有通過盡可能的延長各種安全問題攻擊所需要的具體時間來提高整個體系的安全程度。也就是說,我們要盡可能的增大Pt的值,從而為安全體系檢測各種攻擊事件,并及時進行相應的反應來爭取盡可能的時間。另外,我們也可以通過縮短檢測系統(tǒng)安全的時間以及從檢測到安全問題 到采取相應的措施進行反抗的時間來提高體系的安全性,即盡量減少Dt和Rt的具體值[4]。所以說,如果體系對安全事件的反應時間Pt大于檢測系統(tǒng)安全的時間Dt和安全事件的反應時間Rt之和的時候,整個系統(tǒng)是安全的;如果體系對安全事件的反應時間Pt小于檢測系統(tǒng)安全的時間Dt和安全事件的反應時間Rt之和,則表示整個系統(tǒng)是不安全的。
3 P2DR 模型
P2DR模型把信息安全保障分成了一下四個環(huán)節(jié):P――策略(Policy)、P――保護(Protection)、D――檢測(Detection)和R――響應(Reaction)。P2DR模型是可適應網(wǎng)絡安全理論的主要模型,在整體的安全策略的控制和指導下,在綜合運用各種防護工具的同時,也積極的利用多種檢測工具來了解和評估系統(tǒng)所處的安全狀態(tài)。并按照具體的狀態(tài)作出最適當?shù)姆磻瑥亩WC整個系統(tǒng)處于最安全的狀態(tài)。P2DR模型中的防護、檢測以及響應形成了一個十分完整的、處于動態(tài)變化的安全循環(huán)模式,在具體安全策略的指導下,有效的保證信息系統(tǒng)的安全性。在P2DR體系模型中,用戶們可以充分考慮實際情況,選擇更加切合實際情況的安全方案。網(wǎng)絡與信息安全涉及到許多復雜的問題,在P2DR體系模型中,用戶需要認識到,首先,要注意人的作用。任何安全問題都需要人來操作,認識主觀能動的個體,對整個體系的安全性起著至關重要的作用。其次,要注意工具問題。工具是人們用來實現(xiàn)安全的基本手段,是保證安全策略實現(xiàn)的有力保證。而工具問題中則包含了安全體系設計到的各種技術[5,6]。不過,通常情況下,對用戶來說,并不需要過分關注安全技術問題,因為技術問題涉及面太廣,也過于復雜。而且,會有十分專業(yè)的公司來負責將各種最新最實用的安全技術轉化為各種可以供廣大用戶直接使用的工具。
4 動態(tài)自適應安全模型
動態(tài)自適應安全模型也同樣是把安全看作一個動態(tài)變化的過程,并認為安全策略的制定要積極的適應網(wǎng)絡的動態(tài)變化。動態(tài)自適應安全模型可以對網(wǎng)絡進行動態(tài)的監(jiān)測,并及時的發(fā)現(xiàn)系統(tǒng)中存在的漏洞,并對來自各方的安全威脅進行鍵控。從而為廣大用戶提供了一個不斷循環(huán)并及時反饋相關信息的安全模型,利用這個模型,用戶可以及時地制定各種安全策略并做出相應的反應[7]。動態(tài)自適應安全模型涉及到以下一些問題:
(1)分析與配置。在構建動態(tài)自適應安全模型的時候,需要整體把握系統(tǒng)的安全問題,綜合考慮多方面因素,例如標志和認證以及密碼技術還有完整性控制和操作系統(tǒng)安全,以及數(shù)據(jù)庫、防火墻系統(tǒng)安全和抗抵賴協(xié)議等。在充分考慮到多方面因素之后,再給出相應的具體配置。
(2)動態(tài)監(jiān)測。動態(tài)自適應安全模型需要對各種網(wǎng)絡攻擊模式和其它 多種可疑活動,進行實施的動態(tài)監(jiān)測。例如對各種黑客行為的分析,和對病毒特征以及系統(tǒng)弱點的研究等。動態(tài)自適應安全模型還要及時的提取各種數(shù)據(jù)特征,并將其歸入監(jiān)測知識庫和方法庫,以便于對各種網(wǎng)絡攻擊和病毒模式進行實時的監(jiān)測,并及時的發(fā)現(xiàn)系統(tǒng)中存在的各種危險漏洞。
(3)報警。動態(tài)自適應安全模型中,一旦發(fā)現(xiàn)系統(tǒng)中出現(xiàn)了各類攻擊模式,或者有漏洞和病毒以及各種違規(guī)和泄密活動的存在,便會立即給出相應的報警響應,例如,對相關信息的日志進行及時的記錄,通過控制臺消息等發(fā)出報警信號,或者是阻斷非法連接,也可以十多種報警響應的組合應用。
(4)審計和評估。審計和評估是按照具體的報警記錄和其它信息向管理員提供各種具有較高參考價值的統(tǒng)計分析報告信息。審計和評估涉及多方面的內(nèi)容,例如網(wǎng)絡使用情況、各種可疑跡象、發(fā)生的各種問題等。審計和評估的過程也十分嚴謹,需要應用統(tǒng)計方法學和審計評估機制來綜合評估網(wǎng)絡安全現(xiàn)狀,制定出最終的審計報告和趨向報告等。
5 APPDRR模型
網(wǎng)絡與信息安全是處于不斷的變化中的,表現(xiàn)為一個不斷改進的過程,全網(wǎng)動態(tài)安全體系隱含了網(wǎng)絡安全的相對性和動態(tài)螺旋上升的過程,因為不可能存在百分之百靜態(tài)的網(wǎng)絡安全。通過風險評估、安全策略、系統(tǒng)防護、動態(tài)檢測、實時響應和災難恢復六環(huán)節(jié)的循環(huán)流動,網(wǎng)絡安全逐漸地得以完善和提高,從而實現(xiàn)保護網(wǎng)絡資源的網(wǎng)絡安全目標。可信計算平臺指的是為計算提供高可用的、安全的和可控的計算實現(xiàn)平臺。而高可信計算平臺則是通過在當前的計算平臺加入硬件和軟件的擴展來支持計算平臺的安全性[8]。計算平臺的安全性確保計算機系統(tǒng)中的每臺主機成為可信的個體,從而既保護了主機,又從源頭上減少了網(wǎng)絡威脅。統(tǒng)一威脅管理期望把APPDRR模型有機的綜合在完整體系而不是各自孤立存在。針對安全防護技術一體化、集成化的趨勢,研究統(tǒng)一威脅管理(UTM)與網(wǎng)絡安全管理的模型、算法和標準。
6 總結
安全處于永不停息的動態(tài)變化中的,不斷的隨著技術的變化而變化。構建信息與網(wǎng)絡安全體系模型的過程中涉及到了多方面的因素,例如管理和技術以及標準和相關法規(guī)等。所以,我們不可能將所有安全問題都體現(xiàn)在安全體系中,而是要將安全體系置于動態(tài)發(fā)展變化中,并不斷予以積極的調(diào)整,才能保證其更加科學完善。
參考文獻
[1] 唐洪玉,崔冬華.一種新的信息安全體系模型的提出[J].信息安全與通信保密,2008,12(06):102-105.
[2] 周學廣,等.信息安全學(第2版)[M].北京:機械工業(yè)出版社,2008.
[3] 馮毅.基于P2DR模型的網(wǎng)銀安全體系方案設計[J].中國科技信息,2011,03(14):79-80.
[4] 張思宇.淺析信息化時代企業(yè)網(wǎng)絡安全重要性[J].中小企業(yè)管理與科技,2013,05(18):91-92.
[5] 沈蘇彬,等.自主信息網(wǎng)絡安全的概念與模型[J].南京郵電大學學報(自然科學版),2012(05).
[6] 董建鋒,等.云計算環(huán)境下信息安全分級防護研究[J].信息網(wǎng)絡安全,2011,11(06):55-56.
[7] 徐林磊,鄭明春.一種公共信息和網(wǎng)絡安全的社會模型[J].信息網(wǎng)絡安全,2010,01(02):13-14.
[8] 林王冠,等.網(wǎng)絡安全模型在水利科研環(huán)境中的應用與研究[J].水利信息化,2013,97(01):42-43.
篇6
【關鍵詞】網(wǎng)絡安全;計算機;網(wǎng)絡通信
1.引言
計算機技術正在日新月異地迅猛發(fā)展,功能強大的計算機和Intranet/Internet在世界范圍內(nèi)普及。信息化和網(wǎng)絡化是當今世界經(jīng)濟與社會發(fā)展的大趨勢,信息資源的深入開發(fā)利用以及各行各業(yè)的信息化、網(wǎng)絡化己經(jīng)迅速展開;全社會廣泛應用信息技術,計算機網(wǎng)絡廣泛應用為人們所關注。
面對當前嚴重危害計算機網(wǎng)絡的種種威脅,必須采取有力的措施來保證計算機網(wǎng)絡的安全。但是現(xiàn)有的計算機網(wǎng)絡大多數(shù)在建立之初都忽略了安全問題,即使考慮了安全,也僅把安全機制建立在物理安全機制上。本文分析了計算機網(wǎng)絡安全體系的含義以及其安全機制,并對于當前網(wǎng)絡安全應涉及的一些內(nèi)容做了介紹。
2.計算機網(wǎng)絡安全機制分析
安全性機制是操作系統(tǒng)、軟硬件功能部件、管理程序以及它們的任意組合,為一個信息系統(tǒng)的任意部件檢測和防止被動與主動威脅的方法。各種安全機制中,加密有著最廣泛的應用,并且可以提供最大程度的安全性。加密機制的主要應用是防止對機密性、完整性和鑒別的破壞。
數(shù)字簽名是一種用于鑒別的重要技術。數(shù)字簽名可以用于鑒別服務,也可以用于完整和無拒絕服務。當數(shù)字簽名用于無拒絕服務時,它是和公證一起使用的。公證是通過可信任的第三方來驗證(鑒別)消息的。
對于網(wǎng)絡終端用戶來說,最通常的安全性經(jīng)歷是通過使用口令來實現(xiàn)訪問控制。口令是一個字符串,用來對身份進行鑒別。在獲得對數(shù)據(jù)的訪問權之前,通常要求用戶提交一個口令,以滿足安全性要求。還有各種用于身份鑒別的產(chǎn)品,它們采用了比上述方法更好的技術。例如:一些比較聲音、手寫簽名、指紋的系統(tǒng)等。
3.網(wǎng)絡安全標準體系結構
(1)用戶安全層
用戶安全層不屬于OSI環(huán)境,由于OSI標準不考慮對非法用戶的直接防范,但是非法用戶進入網(wǎng)絡系統(tǒng)后,對網(wǎng)絡的安全威脅是嚴重的,而在此時,用戶安全層可以對非法用戶起到校驗的作用。因此用戶安全層是一項最基本的安全服務,也是一項重要的安全措施。
(2)應用安全層
包括OSI環(huán)境的應用層、表示層和會話層,應用安全層對域名服務、文件傳輸、電子郵件、遠程終端等特定的網(wǎng)絡應用已經(jīng)制定了一系列的標準,為上層用戶提供數(shù)據(jù)或信息語法的表示轉換。負責系統(tǒng)內(nèi)部的數(shù)據(jù)表示與抽象數(shù)據(jù)表示之間的轉換工作,還可以進行數(shù)據(jù)的加/解密和壓縮/解壓縮等轉換功能。
(3)端-端安全層
包括OSI環(huán)境的傳輸層,端-端安全層為上層用戶提供不依賴于具體網(wǎng)絡的高效、經(jīng)濟、透明的端-端數(shù)據(jù)傳輸服務。還可以通過上層用戶提出的傳輸連接請求,或為其建立一條獨立的網(wǎng)絡連接;或為其建立多條網(wǎng)絡連接來分流大量的數(shù)據(jù),減少傳輸時間;或?qū)⒍鄺l傳輸連接復用對上層用戶都是透明的。
(4)子網(wǎng)安全層
包括OSI環(huán)境的網(wǎng)絡層,子網(wǎng)安全層的作用是將數(shù)據(jù)分成一定長度的分組,將分組穿過通信子網(wǎng)從信源傳送到信宿。子網(wǎng)安全層可采用眾多的安全技術:加密、訪問控制、數(shù)字簽名、路由選擇控制、業(yè)務量填充和數(shù)據(jù)完整性,也正是它最能體現(xiàn)網(wǎng)絡的特點。網(wǎng)間互連、網(wǎng)絡控制、網(wǎng)絡管理等功能主要在該層實現(xiàn),因此子網(wǎng)安全層上實施安全技術的主要層次之一。
4.安全體系的實現(xiàn)
4.1 防火墻技術
“防火墻”(Firewall)安全保障技術主要是為了保護與互聯(lián)網(wǎng)相連的企業(yè)內(nèi)部網(wǎng)絡或單獨節(jié)點。防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實施安全防范的系統(tǒng),可被認為是一種訪問控制機制,它具有簡單實用的特點,并且透明度高,可以在不修改原有網(wǎng)絡應用系統(tǒng)的情況下達到一定的安全要求。防火墻一方面通過檢查、分析、過濾從內(nèi)部網(wǎng)流出的IP包,盡可能地對外部網(wǎng)絡屏蔽被保護網(wǎng)絡或節(jié)點的信息、結構,另一方面對內(nèi)屏蔽外部某些危險地址,實現(xiàn)對內(nèi)部網(wǎng)絡的保護。
4.2 數(shù)據(jù)加密與用戶授權訪問控制技術
與防火墻相比,數(shù)據(jù)加密與用戶授權訪問控制技術比較靈活,更加適用于開放網(wǎng)絡。用戶授權訪問控制主要用于對靜態(tài)信息的保護,需要系統(tǒng)級別的支持,一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。前面已經(jīng)提到,對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊,對于主動攻擊,雖無法避免,但卻可以有效的檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,而實現(xiàn)這一切的基礎就是數(shù)據(jù)加密。數(shù)據(jù)加密實質(zhì)上是對以符號為基礎的數(shù)據(jù)進行移位和置換的變換算法。這種變換是受稱為密鑰的符號串控制的。在傳統(tǒng)的加密算法中,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,稱為對稱密鑰算法。這樣的密鑰必須秘密保管,只能為授權用戶所知,授權用戶既可以用該密鑰加密信息,也可以用該密鑰解密信息。
4.3 識別和鑒別
網(wǎng)絡中的用戶和系統(tǒng)必須能夠可靠地識別自身以確保關鍵數(shù)據(jù)和資源的完整性,并且有控制手段使用戶或系統(tǒng)只能訪問他們有權使用的資源。系統(tǒng)所具有的這種能力必須是不容易被破壞。最簡單和容易實現(xiàn)的識別和鑒別的方法就是使用口令字。
其他通用的識別和鑒別控制機制包括限制網(wǎng)絡中最大用戶數(shù)和會話數(shù),限制每個用戶的訪問日期和時間以及提供預先正式排定的時間表激活與停用賬戶,限制允許用戶登錄失敗的重試次數(shù)等。
5.安全技術的研究現(xiàn)狀和動向
我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段,正在進入網(wǎng)絡信息安全研究階段,現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡安全領域是一個綜合、交叉的學科領域它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果,提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案,目前應從安全體系結構、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究,各部分相互協(xié)同形成有機整體。 國際上信息安全研究起步較早,力度大,積累多,應用廣,在70年代美國的網(wǎng)絡安全技術基礎理論研究成果“計算機保密模型”(Beu& La padula模型)的基礎上,指定了“可信計算機系統(tǒng)安全評估準則”(TCSEC),其后又制定了關于網(wǎng)絡系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋,形成了安全信息系統(tǒng)體系結構的準則。
安全協(xié)議作為信息安全的重要內(nèi)容,其形式化方法分析始于80年代初,目前有基于狀態(tài)機、模態(tài)邏輯和代數(shù)工具的三種分析方法,但仍有局限性和漏洞,處于發(fā)展的提高階段。作為信息安全關鍵技術密碼學,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。在我國信息網(wǎng)絡安全技術的研究和產(chǎn)品開發(fā)仍處于起步階段,仍有大量的工作需要我們?nèi)パ芯俊㈤_發(fā)和探索,以走出有中國特色的產(chǎn)學研聯(lián)合發(fā)展之路,趕上或超過發(fā)達國家的水平,以此保證我國信息網(wǎng)絡的安全,推動我國國民經(jīng)濟的高速發(fā)展。
6.結語
網(wǎng)絡安全的重要性已經(jīng)有目共睹,特別是隨著全球信息、基礎設施和各個國家的信息基礎逐漸形成,信息電子化己經(jīng)成為現(xiàn)代社會的一個重要特征。信息本身就是時間、就是財富、就是生產(chǎn)力。因此,各國開始利用電子空間的無國界性和信息戰(zhàn)來實現(xiàn)增強其軍事、文化、經(jīng)濟等戰(zhàn)略目的。隨著計算機技術的高速發(fā)展,網(wǎng)絡攻擊技術不斷更新,單一的安全防護策略則是不安全的,網(wǎng)絡安全將是一個系統(tǒng)的概念。未來的計算機網(wǎng)絡安全防護策略方向應該是安全措施的高度綜合集成。
參考文獻:
[1]趙立志,林偉.淺析網(wǎng)絡安全技術[J].民營科技,2012, (3):193.
篇7
【 關鍵詞 】 網(wǎng)絡安全;安全威脅;保護策略
Information Network Security and Protection Strategy is Discussed
Chai Zai-xing
(Shanxi Datang International Linfen Thermal Power Generation Co., Ltd. ShanxiLinfen 041000)
【 Abstract 】 In order to effectively prevent the violation of the network security problem, we use a variety of complex software technology, such as intrusion detection, firewall technology, access control mechanism and so on, in spite of this, the computer information security and network security problems are frequent..This paper mainly introduces the present situation of the information network of the main security threat to network security protection strategy were discussed.
【 Keywords 】 network security; security threats; conservation strategies
1 引言
信息既是一種資源,也是一種財富。隨著計算機網(wǎng)絡的發(fā)展,尤其是Interner的普遍應用以來保護重要信息的安全性已經(jīng)成為我們重點關注的問題了。網(wǎng)絡在給我們提供極大方便的同時,也帶來了諸多的網(wǎng)絡安全威脅問題,這些問題一直在困擾著我們,諸如網(wǎng)絡數(shù)據(jù)竊密、病毒攻擊、黑客侵襲等。網(wǎng)絡攻擊活動日益猖獗,他們攻擊網(wǎng)絡服務器,竊取網(wǎng)絡機密,進行非法入侵,對社會安全造成了嚴重的危害。因此,我們應針對網(wǎng)絡結構體系來設計出一套適合的、先進的網(wǎng)絡安全保護策略,并配合適的網(wǎng)絡防護軟件,為信息網(wǎng)絡營造一個安全空間。
2 信息網(wǎng)絡安全概念
信息安全是指信息網(wǎng)絡的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,信息服務不中斷。
信息安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。從廣義來說,凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。
3 信息網(wǎng)絡安全的威脅
網(wǎng)絡安全威脅問題是網(wǎng)絡必然要面對的問題,網(wǎng)絡安全潛在的威脅形形:有人為和非人為的、惡意和非惡意的、內(nèi)部攻擊和外部攻擊等。對網(wǎng)絡安全的威脅主要表現(xiàn)在非授權訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡傳播病毒、線路竊聽等方面。安全威脅的主要途徑:系統(tǒng)存在的漏洞、系統(tǒng)安全體系的缺陷、使用人員安全意識的薄弱、管理制度的薄弱;技術方面主要側重于防范外部非法用戶的攻擊;管理方面則側重于內(nèi)部人為因素的管理。
網(wǎng)絡安全威脅可以大致分成三種:一是人為無意中的失誤而導致出現(xiàn)安全危機;二是人為方面的惡意攻擊,也就是黑客襲擊:三是網(wǎng)絡軟件的漏洞。這三個方面的因素可以基本涵蓋網(wǎng)絡安全所受到的威脅行為并將之歸納幾個方面。
3.1 黑客入侵
由于網(wǎng)絡邊界上的系統(tǒng)安全漏洞或管理方面的缺陷(如弱口令),容易導致黑客的成功入侵。黑客可以通過入侵計算機或網(wǎng)絡,使用被入侵的計算機或網(wǎng)絡的信息資源,來竊取、破壞或修改數(shù)據(jù),從而威脅信息網(wǎng)絡安全。這是計算機網(wǎng)絡所面臨的最大威脅。些類攻擊又可以分為兩種:一種是網(wǎng)絡攻擊,即以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網(wǎng)絡偵察,它是在不影響網(wǎng)絡正常工作的情況下,進行截取、竊取、破譯以獲得對方重要的機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害。
3.2 病毒與陷門
計算機病毒是編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它具有寄生性、傳染性、破壞性、潛伏性和可觸發(fā)性等特點。計算機病毒主要是通過復制、傳送數(shù)據(jù)包以及運行程序等操作進行傳播,在日常的生活中,閃存盤、移動硬盤、硬盤、光盤和網(wǎng)絡等都是傳播計算機病毒的主要途經(jīng)。陷門是在某個系統(tǒng)或某個文件中預先設置“機關”,誘你掉入“陷門”之中,一旦你提供特定的輸入時,允許你違反安全策略,將自己機器上的秘密自動傳送到對方的計算機上。計算機病毒的產(chǎn)生是計算機技術和以計算機為核心的社會信息化進程發(fā)展到一定階段的必然產(chǎn)物。
3.3 操作系統(tǒng)與軟件漏洞
操作系統(tǒng)和各類軟件都是認為編寫和調(diào)試的,其自身的設計和結構始終會出現(xiàn)問題,不可能無缺陷或者無漏洞,而這些漏洞會被計算機病毒和惡意程序所利用,這就使計算機處于非常危險的境地,一旦連接入互聯(lián)網(wǎng),危險就悄然而至。
3.4 拒絕服務攻擊
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之。其實對網(wǎng)絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠?qū)δ繕嗽斐陕闊鼓承┓毡粫和I踔林鳈C死機,都屬于拒絕服務攻擊。信息網(wǎng)絡上提供的FTP、Web和DNS等服務都有可能遭受拒絕服務攻擊。拒絕服務的主要攻擊方法是通過消耗用戶的資源,來增加服務器的負荷,當系統(tǒng)資源消耗超出服務器的負荷能力時,此時網(wǎng)絡的正常服務失效。
3.5 后門與木馬程序
后門是指軟件在出廠時為了以后修改方便而設置的一個非授權的訪問口令。后門的存在也使得計算機系統(tǒng)的潛在威脅大大增加。木馬程序也屬于一種特殊的后門程序,它受控于黑客,黑客可以對其進行遠程控制,一但木馬程序感染了電腦,黑客就可以利用木馬程序來控制電腦,并從電腦中竊取黑客想要的信息。
3.6 權限安全配置
一些軟件需要人為進行調(diào)試配置,而如果一些軟件的配置不正確,那么其存在可以說形同虛設。有很多站點在防火墻的配置上將訪問權限設置的過大,其中可能存在的隱患會被一些惡意分子所濫用。而黑客正是其中的一員,他們通常是程序設計人員,因此他們對于程序的編程和操作都十分了解,一旦有一絲安全漏洞出現(xiàn),黑客便能夠侵入其中,并對電腦造成嚴重的危害,可以說黑客的危害比電腦病毒的危害要大得多。
4 安全保護策略
4.1 網(wǎng)絡物理隔離
由于不同的網(wǎng)絡結構應該采用不同的安全對策,因此我們?yōu)榱颂岣哒麄€網(wǎng)絡的安全性考慮,可以根據(jù)保密程度、保護功能和安全水平等差異,把整個網(wǎng)絡進行分段隔離。這樣可以實現(xiàn)更為細化的安全控制體系,將攻擊和入侵造成的威脅分別限制在較小的范圍內(nèi)。
所謂物理隔離是通過網(wǎng)絡與計算機設備的空間(主要包括網(wǎng)線、路由器、交換機、主機和終端等)分離來實現(xiàn)的網(wǎng)絡隔離。物理隔離強調(diào)的是設備在物理形態(tài)上的分離,從而來實現(xiàn)數(shù)據(jù)的分離。完整意義上的物理隔離應該是指兩個網(wǎng)絡完全斷開,網(wǎng)絡之間不存在數(shù)據(jù)交換。然而實際上,由于網(wǎng)絡的開放性和資源共享性等特點需要內(nèi)外網(wǎng)之間進行數(shù)據(jù)交換。因此,我們通常所說的物理隔離是指能滿足物理隔離的安全性要求的、相對的物理隔離技術。物理隔離的原理是使單個用戶在同一時間、同一空間不能同時使用內(nèi)部網(wǎng)和外部網(wǎng)兩個系統(tǒng)。如果兩個系統(tǒng)在空間上物理隔離,在不同的時間運行,那么就可以得到兩個完全物理隔離的系統(tǒng)。
4.2 防火墻
防火墻是一種保障計算機網(wǎng)絡安全的重要手段,它的主要目標就是通過控制網(wǎng)絡的權限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護的網(wǎng)絡遭外界因素的干擾和破壞。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)視了內(nèi)部網(wǎng)絡和Internet之間地任何活動,保證了內(nèi)部網(wǎng)絡地安全。
常用的防火墻技術有包過濾技術、狀態(tài)檢測技術、應用網(wǎng)關技術。包過濾技術是在網(wǎng)絡層中對數(shù)據(jù)包實施有選擇的通過,依據(jù)系統(tǒng)事先設定好的過濾邏輯,檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的源地址、目標地址,以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過。
狀態(tài)檢測技術采用的是一種基于連接的狀態(tài)檢測機制,將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待,構成連接狀態(tài)表,通過規(guī)則表與狀態(tài)表的共同配合,對表中的各個連接狀態(tài)因素加以識別,與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比,它具有更好的靈活性和安全性。應用網(wǎng)關技術在應用層實現(xiàn),它使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護網(wǎng)絡和其他網(wǎng)絡,其目的在于隱蔽被保護網(wǎng)絡的具體細節(jié),保護其中的主機及其數(shù)據(jù)。
4.3 入侵檢測系統(tǒng)
入侵檢測系統(tǒng)(IDS)是一種基于主動策略的網(wǎng)絡安全系統(tǒng)。人侵主要是指對系統(tǒng)資源的非授權使用,它可能造成系統(tǒng)數(shù)據(jù)的丟失和破壞,或造成系統(tǒng)拒絕對合法用戶進行服務等。入侵檢測即檢測入侵行為,并采取相應的防護措施。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析。從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。
入侵檢測系統(tǒng)的功能:(1)監(jiān)視并分析用戶和系統(tǒng)的活動;(2)異常行為模式的統(tǒng)計分析;(3)系統(tǒng)構造變化和弱點的審計;(4)操作系統(tǒng)的審計跟蹤管理,識別違反安全策略的用戶活動;(5)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;(6)檢查系統(tǒng)配置和漏洞;(7)識別反映已知進攻的活動模式并向有關人士報警。
入侵檢測系統(tǒng)IDS是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。
4.4 靜態(tài)被動保護策略
靜態(tài)防護策略種類較多,主要有加密、數(shù)字簽名、鑒別、訪問控制技術、反病毒軟件等。
(1)加密。加密的主要目的是防止信息的非授權泄漏。加密的方法多種多樣,在信息網(wǎng)絡中一般是利用信息變換規(guī)則把可讀的信息變成不可讀的信息。加密可以有效地對抗截收、非法訪問等威脅。現(xiàn)代密碼算法不僅可以實現(xiàn)加密,還可以實現(xiàn)數(shù)字簽名、身份認證和報文完整性鑒別等功能。有效地對抗截收、非法訪問、破壞信息的完整性、冒充、抵賴、重演等。
(2)數(shù)字簽名。數(shù)字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充和篡改等安全問題。數(shù)字簽名采用一種數(shù)據(jù)交換協(xié)議,使得收發(fā)數(shù)據(jù)雙方能夠滿足兩個條件:接受方能夠鑒別發(fā)送方宣稱的身份;發(fā)送方事后不能否認他發(fā)送過數(shù)據(jù)這一事實。數(shù)據(jù)簽名一般采用不對稱加密技術,發(fā)送方對整個明文進行加密交換.得到—個值,將其作為簽名。接收者使用發(fā)送者的公開密鑰對簽名進行解密計算,如其結果為對方身份,則簽名有效,證明對方身份是真實的。
(3)鑒別。目的是驗明用戶或信息的正身。對實體聲稱的身份進行唯一的識別,以便驗證其訪問請求、保證信息來自或到達指定的源和目的。鑒別技術可以驗證消息的完整性,對抗冒充、非法訪問、重演等威脅。
(4)訪問接入控制。要求對接入網(wǎng)絡的權限進行控制,并設定相關的權限。計算機網(wǎng)絡是個非常龐大、復雜的系統(tǒng),在接入控制系統(tǒng)的設計中,要用到加密技術。
(5)殺毒軟件。殺毒軟件是我們最常用的軟件,全世界幾乎每臺電腦都裝有殺毒軟件,利用殺毒軟件來對網(wǎng)絡進行安全保護是最為普通常見的技術方案,它的安裝簡單、功能便捷使得其普遍被人們所使用,但殺毒軟件顧名思義是用來殺毒的,功能方面比較局限,一旦有商務方面的需要其功能就不能滿足商務需求了,但隨著網(wǎng)絡的發(fā)展,殺毒技術也不斷地提升,主流的殺毒軟件對于黑客程序和木馬的防護有著很好的保護作用。
4.5 網(wǎng)絡系統(tǒng)安全
網(wǎng)絡服務器的操作系統(tǒng)是一個比較重要的部分,網(wǎng)絡操作系統(tǒng)最重視的性能是穩(wěn)定性和安全性。而網(wǎng)絡操作系統(tǒng)管理著計算機軟硬件資源,其充當著計算機與用戶間的橋梁作用。因此,我們一般可以采用以下設置來對網(wǎng)絡系統(tǒng)安全進行保障。(1)將不必要的服務關閉。(2)為之制定一個嚴格的賬戶系統(tǒng)。(3)最小權限 。最小特權原則意味著系統(tǒng)的任一對象(無論是用戶、管理員還是程序、系統(tǒng)等),應該僅具有它需要履行某些特定任務的那些特權。最小特權原則是盡量限制系統(tǒng)對侵入者的暴露并減少因受特定攻擊所造成的破壞。將賬戶權限科學分配,不能濫放權利。
(4)對網(wǎng)絡系統(tǒng)進行嚴謹科學的安全配置。(5)定期更換操作系統(tǒng)密碼。
4.6 管理體制上的安全保護策略
(1) 管理制度的修訂及制定長期的信息安全培訓計劃,培養(yǎng)公司員工的信息安全意識。
(2) 加強網(wǎng)絡監(jiān)管人員的信息安全意識,消除那些影響計算機網(wǎng)絡通信安全的主觀因素。計算機系統(tǒng)網(wǎng)絡管理人員缺乏安全觀念和必備技術,必須進行加強。
(3) 信息備份及恢復系統(tǒng),為了防止核心服務器崩潰導致網(wǎng)絡應用癱瘓,應根據(jù)網(wǎng)絡情況確定完全和增量備份的時間點,定期給網(wǎng)絡信息進行備份。便于一旦出現(xiàn)網(wǎng)絡故障時能及時恢復系統(tǒng)及數(shù)據(jù)。
(4) 開發(fā)計算機信息與網(wǎng)絡安全的監(jiān)督管理系統(tǒng)。
(5) 有關部門監(jiān)管的力度落實相關責任制,對計算機網(wǎng)絡和信息安全應用與管理工作實行“誰主管、誰負責、預防為主、綜合治理、人員防范與技術防范相結合”的原則,逐級建立安全保護責任制,加強制度建設,逐步實現(xiàn)管理的科學化、規(guī)范化。
5 結束語
網(wǎng)絡安全保護是一項重要、復雜的工作。通過單一的保護手段進行防護,效果往往不能令人滿意,采用多種安全保護方式相結合的保護策略可以取得更加有效的保護效果。隨著技術的不斷進步,未來將會有更多、更好、更成熟、更有效的網(wǎng)絡安全策略出現(xiàn)。
參考文獻
[1] 王群.計算機網(wǎng)絡安全技術.清華大學出版社,2008.7.
[2] 簡明.計算機網(wǎng)絡信息安全及其防護策略的研究[J].科技資訊,2006.
[3] 呂良,楊波,陳貞翔.網(wǎng)絡安全防護系統(tǒng)的研究與設計[J].山東大學學報(理學版),2009.
[4] 葛秀慧.計算機網(wǎng)絡安全管理(第2版).清華大學出版社.2008.5
篇8
關鍵詞:供電企業(yè);計算機信息系統(tǒng);網(wǎng)絡安全防范
前言:
信息技術的發(fā)展為人類社會帶來了更多的便利,因此國內(nèi)的諸多行業(yè)為提高其工作的效率均廣泛采用計算機網(wǎng)絡技術以實現(xiàn)其信息化建設,與此同時,相應的各種網(wǎng)絡安全問題也日漸突出。供電企業(yè)為更好地向社會提供優(yōu)質(zhì)可靠的電力服務也在其供電管理系統(tǒng)中應用了計算機網(wǎng)絡,如果計算機信息系統(tǒng)的運行安全出現(xiàn)了問題則不僅會對供電企業(yè)的正常工作產(chǎn)生影響,同時也會影響到所在地居民的正常生活,因此必須要加強供電企業(yè)計算機信息系統(tǒng)的網(wǎng)絡安全性,并做好相關防范工作。
一、供電企業(yè)計算機信息系統(tǒng)網(wǎng)絡方面的安全防范現(xiàn)狀
實際上我國的供電企業(yè)在計算機網(wǎng)絡方面的建設已有多年的歷程,并且在規(guī)模以及技術上也有所發(fā)展,但隨著現(xiàn)今信息網(wǎng)絡的發(fā)展,其計算機網(wǎng)絡的發(fā)展也面臨著更多的挑戰(zhàn)。供電企業(yè)的管理系統(tǒng)關系著其財務、銷售、管理等多項涉及到其日常經(jīng)營的業(yè)務,為此則必須要對計算機在其管理系統(tǒng)中的應用進行分析,以了解當前的計算機網(wǎng)絡安全現(xiàn)狀。
1. 計算機網(wǎng)絡在管理方面的安全防范現(xiàn)狀
隨著供電企業(yè)在信息化方面的建設工作不斷開展,其在管理方面尤其是安全性方面的管理工作取得了一定的進展,在原先的管理模式上做出了與計算機網(wǎng)絡向適應的針對性調(diào)整,使得其與信息化建設的要求也逐步向適應。但是由于我國計算機網(wǎng)絡在技術方面的飛速發(fā)展,不僅使供電企業(yè)對其依賴程度加深,同樣也使得其在管理方面的所存在的一些隱患問題暴露出來。安全防范的管理不足具體體現(xiàn)在機房管理不夠嚴謹,包括計算機的設備以及系統(tǒng)都存在不同程度的落后情況,在進行數(shù)據(jù)的存儲時無法提供可靠的記錄和存儲;在電源方面也是有所疏忽,一旦機房的主電源出現(xiàn)了問題則會迅速導致其信息數(shù)據(jù)的傳輸出現(xiàn)錯誤,進而使整個供電企業(yè)管理系統(tǒng)出現(xiàn)問題,后備電源的缺失以及供應不及時都會影響到整個計算機信息系統(tǒng)網(wǎng)絡方面的安全性,如下圖所示。
2. 計算機網(wǎng)絡在系統(tǒng)方面的安全防范現(xiàn)狀
在供電企業(yè)計算機信息系統(tǒng)中,其網(wǎng)絡的核心通常是匯聚交換機,并與其下屬的各個單位設備進行連接,從而形成一個系統(tǒng)化的大型局域網(wǎng)絡。然而由于在同各下屬單位之間進行連接時,對于網(wǎng)絡的傳輸安全未能予以相應的保護,再加上交換設備的常年使用使得其穩(wěn)定性與安全性有所下降,進而導致其網(wǎng)絡在安全防范方面存在著較大的漏洞。在這種情況下一旦出現(xiàn)問題將會使其下屬的各個單位的管理系統(tǒng)也受到影響,造成區(qū)域性的供電系統(tǒng)紊亂。供電企業(yè)內(nèi)部與外部通過網(wǎng)絡傳遞信息,結構較為簡單,在風險抵御上偏弱;同時由于操作業(yè)務的多樣性,使得其對于網(wǎng)絡網(wǎng)絡傳輸?shù)慕涌谝约靶阅芊矫嬗兄^高的要求。當遭受來自廣域網(wǎng)上的攻擊,若未能抵御,容易出現(xiàn)網(wǎng)絡異常,嚴重者可能造成網(wǎng)絡癱瘓,或是數(shù)據(jù)丟失、信息外泄等情況,這對于供電系統(tǒng)的運行而言是相當危險的,因此必須要針對其網(wǎng)絡系統(tǒng)問題進行安全協(xié)議的優(yōu)化以提高其系統(tǒng)的安全性[1]。同時,需要確保局域網(wǎng)中設備的穩(wěn)定運行,維護正常的數(shù)據(jù)通信。
二、供電企業(yè)計算機信息系統(tǒng)網(wǎng)絡方面的優(yōu)化分析
供電企業(yè)在對其計算機信息系統(tǒng)網(wǎng)絡進行管理時一般會將其歸為三部分,分別是外網(wǎng)管理、內(nèi)網(wǎng)管理以及日常數(shù)據(jù)管理等,并且對這三個部分進行強化保護,以提升其網(wǎng)絡安全的等級。一般來講會將其內(nèi)網(wǎng)應用于日常的數(shù)據(jù)處理中去,主要是客戶終端的各項業(yè)務服務;而外網(wǎng)的話則會將其用于客戶業(yè)務辦理,當然也可以用于客戶的訪問與咨詢。在其計算機信息系統(tǒng)網(wǎng)絡安全中,可以通過建立相互獨立的主機以及服務器從而將外網(wǎng)與內(nèi)網(wǎng)進行隔離以保證其安全性,防止計算機網(wǎng)絡因局部故障而導致整體的運行受阻,有效地避免了供電網(wǎng)絡癱瘓的情況。內(nèi)外網(wǎng)隔離的方法也可以實現(xiàn)計算機網(wǎng)絡在縱向與橫向之間的隔離,并且可以使供電系統(tǒng)的信息實現(xiàn)區(qū)域化管理,從而有效提高其對于外界的防御能力。同時也要注意對網(wǎng)絡結構進行相應的優(yōu)化,供電企業(yè)在對管理系統(tǒng)進行計算機網(wǎng)絡配置時可以根據(jù)情況考慮使用新型骨干交換機,并且在每一臺交換機上配備兩套電源系統(tǒng),一個是常規(guī)電源,另一個則是備用電源,從而保證設備能夠在出現(xiàn)電力故障時依然能夠正常運轉,并且出于機器散熱的考慮,需要配備相應的風扇以提高其散熱能力。在交換機上進行管理模塊的設置,使其既能夠完成冗余資料的備份,同時也能夠完成冗余荷載[2]。
三、供電企業(yè)計算機信息系統(tǒng)網(wǎng)絡方面的安全應急處理
為了能夠使供電企業(yè)管理系統(tǒng)安全性得到進一步的加強,則必須要充分考慮各種突發(fā)意外,并依此制定周全的應急處理機制,從而確保供電管理系統(tǒng)的計算機網(wǎng)絡能夠具備較好的抗災能力。首先是需要針對目前比較常見的黑客以及計算機病毒的攻擊,對資料與數(shù)據(jù)進行安全加密處理,并做好其備份工作,以降低其危害。在制定應急預案時應當對可能出現(xiàn)的各種情況進行詳細的分析,對于各個預案進行模擬演練,在演練完成后要做出正確的評估,以了解其對于災害的抵御能力,并對其中的不足予以指正,從而確保應急方案能夠及時有效的抵御外界入侵。同時也要對系統(tǒng)中計算機網(wǎng)絡的相關責任人員以及技術人員進行專化業(yè)化的技術培訓,從而提高其計算機網(wǎng)絡安全的技術水平,使其能夠為計算機網(wǎng)絡系統(tǒng)的運行安全予以技術支持。在權限方面需要對系統(tǒng)中的計算機網(wǎng)絡進行嚴格的權限等級設置,對于不符合其權限等級的操作要嚴格禁止,并進行相應的記錄,以便后期的檢查[3]。
四、總結
供電企業(yè)計算機信息系統(tǒng)網(wǎng)絡安全是一項長期而復雜的工程,需要根據(jù)供電企業(yè)現(xiàn)有的網(wǎng)絡運行環(huán)境和信息系統(tǒng)環(huán)境,加強安全和防護技術,從而使其能夠為供電企業(yè)的生產(chǎn)經(jīng)營管理發(fā)揮更加優(yōu)質(zhì)、便捷的服務,促進電網(wǎng)企業(yè)的發(fā)展。
參考文獻:
[1]李偉?電力系統(tǒng)計算機信息網(wǎng)絡安全技術與防范探討[J]?通訊世界,2014,(9):69.
篇9
關鍵字:網(wǎng)絡技術安全技術實際應用
NetworkInformationSecurityTechnologyAndItsApplications
Abstract:Atpresent,China''''sinformationtechnology,networktechnologyhasenteredastageofrapiddevelopment,networkandinformationsecuritytechnologyinallsectorsbecomeincreasinglyimportantroleintheshow,informationsecurityindustryhasbecomenationalsecurity,politicalstability,economicdevelopment,suchassurvivalandsecurityThekeyroleofsupportingindustries.Informationonnetworksecurityhasbeenalargenumberofbookspublishedathomeandabroad,buttheyaremostlylocatedintheproficiencytestorthelevelofshort-termtraining,andfornon-computerscienceundergraduatesininstitutionsofhigherlearning,teachingcollegestudentsisalsolessprepared.Therapiddevelopmentininformationtechnologytoday,andonlyknowstheinformationtechnologyandnetworkinformationsecuritytechnologytounderstandthestudents,willitbepossibletousenetworktechnologyinvariousareasofsecurityandcomprehensiveexplorationandexchange,willitbepossibletoworkinthefutureintheexpansionofitsown,acceptabletotheemployingunits.Thisbookispreciselyinresponsetothisdemand,basedonnetworkinformationsecuritytechnologyandthepracticalapplicationofthebasicprinciples,supplementedbyawealthofoperatingpractice,andstrivetoimprovetheirunderstanding,practicalabilityandinterestinactivelearningandprepared.
Keyword:Networkingtechnologysecuritytechnologypracticalapplication
1目前網(wǎng)絡信息技術安全現(xiàn)狀分析
隨著信息產(chǎn)業(yè)的高速發(fā)展,眾多企業(yè)、單位都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng),以充分利用各類信息資源。由于計算機網(wǎng)絡具有鏈接形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互聯(lián)性等特征,致使網(wǎng)絡易受黑客、惡意軟件和其他不軌攻擊。隨著電力行業(yè)系統(tǒng)內(nèi)部信息網(wǎng)絡的逐步成型,如何保護電力數(shù)據(jù)網(wǎng)絡的安全,是我們在享受信息產(chǎn)業(yè)發(fā)展帶給我們的便利的同時,也面臨著巨大的風險。隨著信息化進程的深入,信息安全己經(jīng)引起人們的重視,但依然存在不少問題。一是安全技術保障體系尚不完善,許多企業(yè)、單位花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標:二是應急反應體系沒有經(jīng)常化、制度化:三是企業(yè)、單位信息安全的標準、制度建設滯后。2003年5月至2004年5月,在7072家被調(diào)查單位中,有4057家單位發(fā)生過信息網(wǎng)絡安全事件,占被調(diào)查總數(shù)的58%。其中,發(fā)生過1次的占總數(shù)的22%,2次的占13%,3次以上的占23%,此外,有7%的調(diào)查對象不清楚是否發(fā)生過網(wǎng)絡安全事件。從發(fā)生安全事件的類型分析,遭受計算機病毒、蠕蟲和木馬程序破壞的情況最為突出,占安全事件總數(shù)的79%,其次是垃圾郵件,占36%,拒絕服務、端口掃描和篡改網(wǎng)頁等網(wǎng)絡攻擊情況也比較突出,共占到總數(shù)的43%.調(diào)查結果表明,造成網(wǎng)絡安全事件發(fā)生的主要原因是安全管理制度不落實和安全防范意識薄弱。登錄密碼過于簡單或未修改密碼導致發(fā)生安全事件的占19%.對于網(wǎng)絡安全管理情況的調(diào)查:調(diào)查表明,近年來,使用單位對信息網(wǎng)絡安全管理工作的重視程度普遍提高,80%的被調(diào)查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請信息安全服務企業(yè)提供專業(yè)化的安全服務。調(diào)查表明,認為單位信息網(wǎng)絡安全防護能力“較高”和“一般”的比較多,分別占44%。但是,被調(diào)查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經(jīng)費投入不足和安全產(chǎn)品不能滿足要求等問題,也說明目前安全管理水平和社會化服務的程度還比較低。
2網(wǎng)絡信息技術的漏洞掃描述
漏洞的存在是個客觀事實,每個系統(tǒng)都有漏洞,不論你在系統(tǒng)安全性上投入多少財力,攻擊者仍然可以發(fā)現(xiàn)一些可利用的特征和配置缺陷。發(fā)現(xiàn)一個已知的漏洞,遠比發(fā)現(xiàn)一個未知漏洞要容易的多,這就意味著:多數(shù)攻擊者所利用的都是常見的漏洞。這樣的話,采用適當?shù)墓ぞ?就能在黑客利用這些常見漏洞之前,查出網(wǎng)絡的薄弱之處但漏洞只能以一定的方式被利用,每個漏洞都要求攻擊處于網(wǎng)絡空間一個特定的位置,因此按攻擊的位置劃分,可能的攻擊方式分為以下四類:物理接觸、主機模式、客戶機模式、中間人方式。漏洞掃描技術。對計算機系統(tǒng)或者其他網(wǎng)絡設備進行安全相關的檢測,以找出安全隱患和可被黑客利用的漏洞屬于風險管理的一部分(風險管理一般包括漏洞掃描、風險評估、風險管理文檔的自動生成等)。漏洞掃描的結果實際上就是系統(tǒng)安全性能的一個評估,它指出了哪些攻擊是可能的。漏洞掃描是保證系統(tǒng)和網(wǎng)絡安全必不可少的手段。
3數(shù)據(jù)加密與身份認證技術
數(shù)據(jù)加密技術是信息安全的基礎。一般有以下方式:對稱密碼(共享密碼):加密和解密密鑰相同。非對稱密碼(公開密碼):加密和解密用一對密鑰,即公鑰和私鑰。公用鑰匙是大家被告知的,而私人鑰匙則只有每個人自己知道。這種方法密鑰管理簡單,但運算速度慢,適用于關鍵數(shù)據(jù)的加密。數(shù)字簽名:即發(fā)信者用自己的私人鑰匙將信息加密,這就相當于在這條消息上署上了名。身份驗證機構的數(shù)字簽名可以確保證書信息的真實性。用戶可以用數(shù)字證書進行加密、簽名,保障信息的安全性、可靠性。PKI(公開密鑰基礎設施)體系,它通過自動管理密鑰和證書,可以為用戶建立起一個安全的網(wǎng)絡運行環(huán)境,使用戶可以在多種應用環(huán)境下方便地使用加密和數(shù)字簽名技術,從而保證網(wǎng)上數(shù)據(jù)的機密性、完整性、有效性以及有效的身份認證。
4信息系統(tǒng)的安全防范措施
防火墻與安全隔離技術。網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡,訪問內(nèi)部網(wǎng)絡資源,保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡之間的通信是否被允許,并監(jiān)視網(wǎng)絡運行狀態(tài)。防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境之中,尤其以接入Internet網(wǎng)絡為甚。防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。入侵檢測技術,IETF將一個入侵檢測系統(tǒng)分為四個組件:事件產(chǎn)生器(EventGenerators);事件分析器(EventAnalyzers);響應單元(ResponseUnits)和事件數(shù)據(jù)庫(EventDataBases)。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件,并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù),并產(chǎn)生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱,它可以是復雜的數(shù)據(jù)庫,也可以是簡單的文本文件。身份認證,身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。我們熟悉的如防火墻、入侵檢測、VPN、安全網(wǎng)關、安全目錄等,與身份認證系統(tǒng)有什么區(qū)別和聯(lián)系呢?我們從這些安全產(chǎn)品實現(xiàn)的功能來分析就明白了:防火墻保證了未經(jīng)授權的用戶無法訪問相應的端口或使用相應的協(xié)議;入侵檢測系統(tǒng)能夠發(fā)現(xiàn)未經(jīng)授權用戶攻擊系統(tǒng)的企圖;VPN在公共網(wǎng)絡上建立一個經(jīng)過加密的虛擬的專用通道供經(jīng)過授權的用戶使用;安全網(wǎng)關保證了用戶無法進入未經(jīng)授權的網(wǎng)段,安全目錄保證了授權用戶能夠?qū)Υ鎯υ谙到y(tǒng)中的資源迅速定位和訪問。這些安全產(chǎn)品實際上都是針對用戶數(shù)字身份的權限管理,他們解決了哪個數(shù)字身份對應能干什么的問題。而身份認證解決了用戶的物理身份和數(shù)字身份相對應的問題,給他們提供了權限管理的依據(jù)。
結束語
隨著計算機技術和通信技術的發(fā)展,信息系統(tǒng)將日益成為企業(yè)的重要信息交換手段。因此,認清信息系統(tǒng)的脆弱性和潛在威脅,采取必要的安全策略,對于保障信息系統(tǒng)的安全性將十分重要。任何一個產(chǎn)品不可能解決全部層面的問題,一個完整的安全體系應該是一個由具有分布性的多種安全技術或產(chǎn)品構成的復雜系統(tǒng),既有技術的因素,也包含人的因素。網(wǎng)絡安全不僅僅是防火墻,也不是防病毒、入侵監(jiān)測、防火墻、身份認證、加密等產(chǎn)品的簡單堆砌,而是包括從系統(tǒng)到應用。同時,信息系統(tǒng)技術目前正處于蓬勃發(fā)展的階段,新技術層出不窮,其中也不可避免的存在一些漏洞,因此,進行信息系統(tǒng)安全防范要不斷追蹤新技術的應用情況,及時升級、完善自身的防御措施。、從設備到服務的比較完整的、體系性的安全系列產(chǎn)品的有機結合,特別是要在建立一支高素質(zhì)的網(wǎng)絡管理隊伍的同時,對電力調(diào)度數(shù)據(jù)網(wǎng)實施全網(wǎng)監(jiān)管,并不斷健全運行安全聯(lián)防制度,將網(wǎng)絡及系統(tǒng)安全作為經(jīng)常性的工作來抓。
參考文獻
[1]賈晶,陳元,王麗娜編著,信息系統(tǒng)的安全與保密.(第1版)[M].清華大學出社,1999(1).
[2]張小磊,計算機病毒診斷與防治[M].中國環(huán)境科學出版社,2003.
[3]東軟集團有限公司,NetEye防火墻使用指南3.0.
篇10
關鍵詞:計算機網(wǎng)絡 安全隱患 防范措施
中圖分類號:TP393 文獻標識碼:A 文章編號:1672-3791(2012)08(b)-0024-01
1 計算機網(wǎng)絡面臨的安全威脅及隱患
(1)網(wǎng)絡硬件存在安全隱患。一是核心技術受制于人。當前我國所使用的計算機芯片、骨干路由器和微機主板等主要是從國外進口的,且對引進技術和設備缺少必要的技術改造,一旦不法分子在硬件設備中預先安置后門程序,后果不堪設想。二是操作系統(tǒng)存在隱患。目前,我們使用的主要操作系統(tǒng)都是微軟的Windows系列操作系統(tǒng),這個系統(tǒng)設計之初考慮的是易用性而忽視了系統(tǒng)的安全,非授權用戶或黑客可通過漏洞對網(wǎng)絡進行攻擊,而且此系統(tǒng)本身比較脆弱,易受溫濕度、磁場、污染等外部環(huán)境的影響而出現(xiàn)故障。三是易遭非法終端接入。現(xiàn)有硬件設備很可能被非法分子在現(xiàn)有終端上并接一個終端,或非法終端在合法終端從網(wǎng)上撤下時乘機接入并操縱計算機通信接口,或通過某種技術手段冒充主機使敏感信息傳到非法終端。四是易受非法入侵。非法分子通過技術滲透或通信線路入侵網(wǎng)絡,非法盜用、破壞或獲取敏感信息或數(shù)據(jù)及系統(tǒng)資源。利用目標計算機的漏洞進入系統(tǒng)或通過口令猜測進入系統(tǒng),采用IP地址欺騙等手段來入侵。
(2)技術缺陷帶來入侵威脅。一是網(wǎng)絡協(xié)議的缺陷。包括源地址認證、網(wǎng)絡控制機制及路由協(xié)議等使用TCP協(xié)議的缺陷,造成入侵者的入侵,進行訪問、修改、拒絕訪問、否認等攻擊。二是軟件出現(xiàn)缺陷。由于程序員在編程時考慮不周而造成的問題,如輸入確認、訪問確認、設計、特殊條件和競爭條件等錯誤引起的軟件缺陷。三是病毒防護薄弱。計算機病毒可多種方式入侵計算機網(wǎng)絡,且不斷繁殖和擴散,使計算機系統(tǒng)出現(xiàn)錯誤或處理能力下降,甚至是丟失數(shù)據(jù)或文件。四是安全測試設備落后。目前的安全保密測試設備落后于系統(tǒng)發(fā)展,對部分系統(tǒng)隱患無法偵測,無法通過有效的定性定量分析來加強系統(tǒng)防范,使網(wǎng)絡系統(tǒng)難以應對新出現(xiàn)的安全隱患。
(3)人為操作導致失泄密發(fā)生。一是安全防護人員少,專業(yè)人才不夠。如網(wǎng)絡管理員配置不當,安全觀念不強,造成人為泄密,或由于責任心不強網(wǎng)絡應用升級不及時造成安全漏洞,隨意使用普通網(wǎng)絡站(點)下載的軟件。二是用戶安全意識薄弱。部分用戶將自己的賬號隨意轉借他人或與別人共享,從而導致信息泄漏。三是現(xiàn)有安保人員業(yè)務不夠精,安全管理不到位,特別是對不安全事件的處理不及時,方法不妥當。這些人為因素是無論多么精妙的安全策略和網(wǎng)絡安全體系均無法防范和解決的。
(4)管理機制存在安全漏洞。一是安全措施不到位。信息網(wǎng)絡越來越具有綜合性和動態(tài)性特點,這同時也是信息網(wǎng)絡不安全的原因所在。然而,部分操作人員對此缺少認識,未進入安全就緒狀態(tài)就急于操作,結果導致敏感數(shù)據(jù)暴露,使系統(tǒng)遭受風險。二是缺乏綜合性的解決方案。面對復雜的不斷變化的網(wǎng)絡世界,大多數(shù)單位缺乏綜合性的安全管理解決方案,安全意識較強的單位也只是依賴防火墻和加密技術。三是防范機制不到位。不少單位沒有從管理制度上建立相應的安全防范,在整個運行過程中,缺乏行之有效的安全檢查和應對保護制度。
2 計算機網(wǎng)絡安全防護的對策及措施
(1)發(fā)展自主信息安全產(chǎn)業(yè)。網(wǎng)絡硬件要確保安全,發(fā)展具有我國自主知識產(chǎn)權的信息化產(chǎn)業(yè)成為重中之重。在未來的信息化發(fā)展過程中,要高度重視計算機網(wǎng)絡安全保密設備和系統(tǒng)的“國產(chǎn)化”、“自主化”建設。一是積極組織核心技術攻關,如自主操作系統(tǒng)、密碼專用芯片和安全處理器等,要狠抓技術及系統(tǒng)的綜合集成,以確保信息系統(tǒng)的安全。二是加強關鍵技術研究,如密碼技術、鑒別技術、病毒防御技術等,以提高技術防護能力。三是監(jiān)測評估手段,如網(wǎng)絡偵察技術、信息監(jiān)測技術、風險管理技術、測試評估技術等,構建具有我國特色、行之有效的網(wǎng)絡安全保密平臺,實現(xiàn)網(wǎng)絡及終端的可信、可管、可控,擺脫網(wǎng)絡安全控制于人的被動局面。
(2)構建安全技術防護體系。面對網(wǎng)絡系統(tǒng)存在的風險和威脅,應堅持積極防御、綜合防護的原則,加強技術防護研究,采取有效技術手段,從預防、監(jiān)控和處置等環(huán)節(jié)科學構建安全技術防護體系,確保網(wǎng)絡系統(tǒng)安全。一是安全監(jiān)察體系。落實網(wǎng)絡安全防護中心編制,加強配套監(jiān)察手段建設,建立健全網(wǎng)絡安全監(jiān)察機制;配套網(wǎng)絡入侵檢測、流量分析、行為審計等系統(tǒng),增強安全事件的融合分析能力。二是終端防護體系。建立協(xié)調(diào)管理機制,規(guī)范和加強以身份認證、授權管理、責任認定等為主要內(nèi)容的網(wǎng)絡信任體系建設;強化系統(tǒng)訪問控制,設定用戶訪問權限,限制對資源的訪問,防止非法用戶侵入或合法用戶不慎操作所造成的破壞。三是安全評估體系。綜合運用漏洞掃描、取證分析、滲透測試、入侵監(jiān)測等系統(tǒng)和手段對網(wǎng)絡進行掃描分析,客觀分析網(wǎng)絡與信息系統(tǒng)面臨的威脅及其存在的脆弱性,對安全事件一旦發(fā)生可能造成的危害程度進行定性定量分析,并提出有針對性的防護對策和整改措施,防患于未然,全面防范、化解和減少信息安全風險。