對網絡安全提出的建議范文
時間:2023-09-17 15:15:24
導語:如何才能寫好一篇對網絡安全提出的建議,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
為了準確掌握我校學生網絡信息安全意識現狀,為分析原因、加強防范、堵塞漏洞提供依據,我們在部分學生中專題開展了網絡信息安全意識問卷調查。從調查反饋的情況來看,我校學生網絡信息安全意識相對有一定的基礎,但總體仍不夠強,值得我們深入分析研究并采取有效對策,及時全面提高學生的防范意識和防范能力,在充分享受互聯網和信息社會帶來好處的同時,嚴防網絡信息違法犯罪現象和受騙受害現象的發生。具體報告如下:
一、調查概況
本次調查對象為東校區學生,采取隨機確定的方式,共發放問卷300份,收回291份,回收率達97%。調查的主要方式是實際接觸被調查者,交談了解基本情況,要求被調查者獨立填寫不記名調查問卷。調查得到了同學們的積極支持,大家普遍比較認真地回答了每一個問題,并且比較真實地表述了自己的情況、表達了自己的想法。
二、數據分析
本次問卷調查共15道題目,以多選題為主,占三分之二;另有單選題5道。內容主要涉及大學生網絡信息安全知識的掌握、對本人及他人信息安全的認知態度等多個方面,具體分析如下:
1)網絡信息安全知識了解情況。291名被調查大學生中,有93人表示經常有意識地了解網絡信息安全知識,占31.96%;有84人表示非常少;有65人表示偶爾了解;有49人表示從來沒有了解。說明大學生普遍還沒有及時掌握必要的網絡信息安全知識。
2)個人信息安全的認知情況。291名被調查大學生中,有98人次認為個人信息安全是指在使用計算機時個人信息不泄露或不會被他人獲取;有74人次認為是信息網絡的硬件、軟件及其系統中的個人數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常的運行,信息服務不中斷;有63人次認為是日常生活中個人信息不被他人知道和竊取;有80人次認為是一切與個人有關的信息的保護??梢娤喈斠徊糠执髮W生對個人信息安全的概念仍不清楚,不知道個人信息安全與計算機技術、網絡技術發展密切相關。
3)利用網絡搜索他人信息情況。291名被調查大學生中,有110人表示經常會利用網絡搜索他人信息,因為想解他人;有145人表示僅在有需要的時候偶爾會利用網絡搜索他人信息;有36人表示從不這樣,因為很無聊。三者比例分別占37.80%、49.83%和12.37%,說明大學生網搜他人信息行為總體正常。
4)網絡安全問題認知情況。291名被調查大學生中,有53人次認為破壞分子作偽裝繞過安全檢查屬于網絡安全問題,有128人認為網絡服務器因斷電停機屬于網絡安全問題,有83人認為因病毒導致系統癱瘓屬于網絡安全問題,有61人次認為偽造IP地址騙取其口令獲取對計算機的訪問權限屬于網絡安全問題。說明有近一半的大學生對網絡安全問題內涵不太清楚。
5)遭遇過哪些網絡安全問題。291名被調查大學生中,有121人次反映遭遇過垃圾郵件侵擾,有89人次表示受到過病毒攻擊,有119人次表示信息曾經被盜,有76人次表示遇到過其它形式的網絡安全問題。說明侵犯網絡信息安全的現象已經較多地影響到大學生。
6)個人信息泄露原因。291名被調查大學生中,有83人認為個人信息泄露最主要的原因是網絡普及管理不規范,有112人認為是法律不健全,存在個人信息買賣市場,有72人認為是學生個人信息安全意識薄弱,有69人認為是電腦病毒、木馬橫行??傮w上表明大學生對個人信息泄露原因是有思考的。
7)對校內個人信息安全建設的滿意度。291名被調查大學生中,有182人對校內的個人信息安全建設表示滿意,有109人表示不滿意。說明校園個人信息安全建設盡管得到大部分大學生的認可,但仍有值得加強的地方。
8)對學校信息安全保障的期待。291名被調查大學生中,關于學校應當采取哪些措施保障個人信息安全,有114人次提出應該建設個人信息安全平臺并綁定個人,137人次提出應該加強后續處理監督,121人次提出應該加強對于學生信息安全教育。應該說學生們的期待是建立在關心信息安全基礎上的合理要求。
9)網絡安全信息技術了解情況。291名被調查大學生中,了解網絡信息安全技術的情況不太樂觀,有97人次表示知道密匙管理技術,有103人次表示知道數字簽名和認證技術,有141人次表示知道網絡入侵檢測和防火墻技術,有107人次表示了解電子商務安全技術。
10)獲取網絡信息安全知識的途徑。291名被調查大學生中,有131人表示從網絡獲得相關知識,107人表示從書籍上獲得,146人表示從課堂上獲得,123人次表示從新聞媒體上獲得。應該說大學生獲取信息安全知識的途徑是多方面的,基本上不存在獲取不到的困難,主要是看不看的問題。
11)提高大學生網絡安全意識的辦法。291名被調查大學生中,有121人次建議開設講座,97人次建議開主題班會,27人次提出發宣傳單,101人次提出通過網絡視頻。應該說,大家對提高網絡安全意識是有期待的,也希望有更多的渠道來加強個人信息安全保障。
綜合以上數據進行分析,調研組認為,我校大學生信息安全意識有待提高,盡管越來越多地利用網絡、自媒體進行交流、娛樂和學習,但主要精力花在如何從網上得到信息, 較少考慮如何在網絡環境下保護自己的信息。交談得知,不少學生會將自己的真實材料到網上, 碰到過QQ 密碼會被盜, 登錄口令過于簡單等現象。大學生信息安全防范知識和操作能力有待加強,盡管因為新聞宣傳、課堂教育等因素對防火墻、病毒等基本知識比較了解,但比較完全的網絡信息安全管理和防范知識知之不多,一些學生不會安裝操作系統、配置防火墻,不知道需要定期升級病毒防治產品, 不懂得如何更好的配置自己的計算機,也沒有掌握保護自身信息安全的基本防范技能。
三、對策建議
大學生的學習、生活和準備就業已經越來越離不開網絡,網絡的發展對當代大學生的思維方式、行為模式、心理發展、價值觀念和政治趨向等都產生了深遠的影響。在越來越多地參與網上購物,使用網上銀行等網上商務活動的過程中,涉世不深的大學生也日漸成為網絡信息盜取和網絡詐騙、網絡盜竊等違法犯罪行為的獵物,一些不良商家也通過盜取信息來達到不正當競爭的目的。作為學校要重視和提高大學生的網絡綜合素質,加強學生的網絡素質、網絡技能、實踐運用網絡綜合能力和網絡安全意識的培養,督促提高安全上網意識,學會使用殺毒軟件及防火墻,學會為別人也為自己提供一個安全和諧的網絡空間。具體有四個方面的建議:
1)加強大學生網絡法制教育。網絡安全教育一個不可忽視的方面是思想教育,這其中最重要的是法制教育。目前網絡犯罪是十分常見的包括網絡欺詐、網絡謠言的散播等。網絡的匿名性特點給了許多人一種“漠視法律的理由”,認為沒有具體監管就不算犯罪,其實不然。這體現的是網絡法制教育的缺失,所以教育學生們什么在網絡上是可以做的、是合法的,什么是不可以做的、是違法的是十分重要的,對維護網絡安全運行也是有重要作用的。
2)充分利用課堂教育普及網絡安全知識和技能。建議在計算機普及課程中除講授常用軟件知識外,增加計算機網絡安全知識,讓學生了解系統管理用戶、文件和其他硬件資源的安全機制。對網絡安全的基本理論知識和系統安全策略,如加密解密算法、防火墻的工作原理與作用、系統漏洞及修補方法、硬盤保護卡的工作原理與使用方法也要多加講授。同時,要加強對大學生的網絡安全法制教育,提高學生的網上自我約束能力、自控能力,不利用網絡散播其它同學和老師的私密信息,不參與網絡信息違法活動。
3)積極拓展課外空間,開展形式多樣的網絡信息安全防范活動。可以定期開設網絡安全知識專題講座,就課堂教學中不能深入講解的問題或薄弱環節,如網絡行為規范、個人計算機安全策略、計算機病毒的新動向、病毒查殺軟件的使用,引導有興趣、有需要的大學生深入學習并積極參與防范。 建議每年舉辦網絡安全知識大賽、網絡安全知識調查、網絡安全主題漫畫比賽等,豐富大學生的業余生活,實現以生教生,在校園中普及網絡安全知識,構建網絡安全防范的群防群治機制。
4)建議成立校級的信息安全管理機構。主要負責校園網的日常安全與管理工作,及時了解本校學生的網絡使用情況;定期最新的網絡安全信息,讓大學生及時了解網絡不安全因素的動態?,F代大學生作為國家未來的接班人,有責任與義務充分意識到網絡安全隱患,在經濟全球化,網絡快捷化的浪潮里,不被外界因素迷失本心,努力做到規范上網,不觸犯法律法規,提高網絡安全意識,做一名合格的大學生。
篇2
作者結合自身多年從事計算機網絡安全與防火墻技術的相關研究與工作經驗,在通過對大量文獻進行閱讀與研究基礎上,對我國如何推廣和優化計算機網絡安全與防火墻技術提出相應的對策與建議。
關鍵詞:
計算機;網絡安全;防火墻技術
隨著我國社會主義現代化的飛速發展,我國各行各業都發生了劇烈的變化與變革。他們對于傳統技術的使用逐漸嫻熟,在此基礎上,對新技術來改善其日常業務流程,增加日常運營規范提出了新的要求。二十一世紀是計算機與互聯網飛速發展的時代,在這一時代當中依托計算機技術的互聯網技術與多個行業之間實現了有效的相加。利用互聯網與計算機技術能夠極大的提出當前我國企業的日常流程運行規范程度,加強我國企業內部各業務部分之間溝通,從而滿足當前我國企業對于新技術的需求。但是,便隨著計算機與互聯網技術的飛速發展,相關的問題也隨之而生。計算機網絡安全逐漸被社會各界利用互聯網來進行日常交流的人們,進行日常業務操作與規劃的企業引以關注。缺失了計算機網絡安全與防火墻技術的當代企業容易在起內部引發操作風險、舞弊風險、被盜用損失等。因此,作者結合當今時代我國計算機與互聯網技術的飛速發展,對目前我國該領域技術的發展展開討論,并討論如何改善技術,擴大技術應用范圍,提升技術推行普及化程度的對策與建議。
1我國目前計算機網絡安全與防火墻技術的開發與研究現狀
針對我國目前計算機網絡安全與防火墻技術其主要包含以下幾種技術類型:
1.1加密技術該種技術在當前計算機網絡安全與防火墻技術當中的應用最為普遍,其主要的作用及目的是為了保護人們儲存在移動終端或者是云終端的數據、文件及圖像信息不被其他用戶所盜用、破壞,從而起到對使用加密技術者信息安全的保證。加密技術的使用是一種主動的防護,他會起到預先防御的作用,從而能夠使得用戶能夠在計算機與互聯網使用過程當中占據更加主動的地位。另外,除了能夠實現加密的特定功能之外,使用該技術還更加易于對信息的識別、數據的整理,從而在起到防護作用的同時,加強企業計算機網絡防火墻的功能性地位。加密技術又可以根據其特點劃分為兩個類別:(1)秘密秘鑰;(2)公開秘鑰。秘密鑰匙通常是指擁有一對鑰匙的秘鑰。其包括有公開的秘鑰和私有的秘鑰。如果擁有了公開的秘鑰,就能夠對該系統的內容及信息進行訪問、查詢,或者是修改。而只有擁有了私有的秘鑰之后,才能夠實現對系統的真正登陸,獲取系統使用的最高權限。因此,在通常使用加密技術對系統的安全進行有效防護時,通常是需要針對上述兩個秘鑰設置不同的密碼內容。在現實的日常操作與加密實施過程當中,通常又根據系統的不同及保護內容的不同,將上述的加密技術劃分為了三個類型:第一是來鏈接線路內的加密,其主要是針對不同的業務流程節點進行加密,以防止系統操作人員跨區操作,實現對個人職能的約束;第二種是端點加密,其主要是針對輸入和輸出兩個端口進行加密操作,其主要適用于信息的源頭獲取者,針對用戶分組,為其設置能夠修改、查看、調用等權限。
1.2存取控制技術該種技術主要是為了對用戶的身份進行認證與識別,從而保障進入系統調用數據的人員符合相關規定的要求,從而實現對系統信息的有效保護。存取控制技術又可以根據其實際管控的內容主要是身份的認證技術。根據發出指令進入系統人員所提供的物品、口令及生理特征(步伐、心跳、眼球等),使用存取控制技術調用系統當中的原始信息,與上述所提供的信息進行比對,從而判斷發出系統進入指令的人員是否擁有與初始信息對應的條件。通過上述技術的穩定操作與實施,將能夠更好的實現對人員的控制。相比加密技術而言,其更多的作用及實現目的是為了實現對數據的控制而言,存取控制技術為了實現對人的控制,將需要更加復雜的程序設計以便于其目的實現。
1.3實體保護實體保護通常指的是基礎設施的保護。其包括:日常對企業信息數據庫的維護、對進出秘密設施區域人員的控制、系統設備周圍設置的電磁干擾等具體的保護方式。例如:在大多數軍事基地,為了更好的幫助系統實現健康、穩定的運行,并防止外部侵入者的干擾與盜用,通常會在軍事基地的信息數據庫周圍設置電磁干擾、電磁屏蔽等設施,從而利用實體保護技術,達到對計算機網絡的嚴密保護和嚴格監控。另外,在較多的社會大型考試時,也會使用該技術以避免不必要的信息傳入考場之中,實現對整個考場紀律的維護和保護。
2對我國目前計算機網絡安全與防火墻技術應用提出的對策與建議
通過上文的研究,可以發現,我國目前計算機網絡安全與防火墻技術已經較為成熟。但是,并不能夠代表我國大多數使用計算機網絡從事日常工作、學習與生活的人們能夠有效利用該種技術實現對自身信息的保護。因此,作者提出了以下對策與建議:(1)提升企業、人們對計算機網絡的安全保護意識。大多數由于計算機網絡原因出現安全故障、風險的企業及人們都是由于自身對于安全保護的意識較為薄弱。購買正版殺毒軟件、安裝擁有定期更新的殺毒軟件及防火墻等都會有助于計算機網絡使用者的安全程度,降低由其所引發的各項風險。(2)加強對計算機網絡安全及防火墻技術的更新與研究。當前我國互聯網與計算機技術的發展非常迅速,該領域是一個快速發展,高速更新的領域。為此,為了能夠更好的應對網絡復雜的環境,就必須加強該領域研發的投入,針對新出現的安全問題展開評估、分析、整理,并設計出具有針對性的解決途徑與方法,實現對新環境中風險的控制。
3結論
通過本文的研究,可以發現,互聯網與計算機技術對于當今時代的發展十分重要與關鍵,其能夠幫助人們提高日常信息使用的安全、存貯的安全。為此,我們應當加強對該領域的研究,在現有技術分類設計與使用基礎上,針對新出現問題展開討論,搭配多種技術,以便于解決現實當中出現的新問題,實現計算機網絡安全及防火墻技術的創新與變革。
參考文獻
[1]賈花萍.淺析網絡安全技術——防火墻技術[J].科技信息(學術研究),2007(06).
篇3
【關鍵詞】質監網絡安全事件;應急機制;演練
1引言
“隨著我國經濟的快速發展,我國網絡經濟空間發展也得到了非常明顯的發展,為促進信息技術服務做出巨大的貢獻,并且也逐漸向著更加智能以及將傳統領域方面相互融合的階段不斷發展。但是,在信息技術創新的過程當中,還存在一定的安全問題,這樣一來,就讓網絡空間的安全問題變得相對復雜,最終導致網絡安全風險逐漸增加。作為行政執法部門,近年來河北省質監局深化拓展信息化應用領域,發揮信息化特有的支撐引領作用,建設應用了覆蓋全部核心業務的信息化系統、搭建了質監數據中心,推進數據互聯互通和交換共享;核心機房接入了互聯網、省公務外網、公務內網、質監業務網、財政專網、總局數據網和視頻網等7大網絡,支撐著質監系統省市縣三級機關和直屬事業單位的監管執法工作;隨著“互聯網+”行動不斷深入推進,質監業務數據量逐年增加,預計到2020年質監數據中心理論計算存儲量為7.0T。面對安全問題越來越復雜、隱蔽的網絡空間,要求我們不但要從技術上加強安全防范措施,還要建立健全網絡安全事件應急工作機制,切實做好網絡安全事件實戰演練,提高應對網絡安全事件能力,預防和減少網絡安全事件造成的損失和危害,保障重要網絡和信息系統的安全穩定運行,保護公眾利益,維護國家安全和社會秩序。
2網絡安全事件應急機制
2.1工作原則
在網絡安全事件的應急機制當中,主要的工作原則是要服從領導指揮,對突況做出快速反映,并對其進行科學的處置,每個部門之間要充分發揮出各自的工作職能,完成好網絡安全事件的應急處置。
2.2事件分級
通常情況下,網絡安全事件應急響應主要分為四個等級,一是特別重大的網絡安全事件,二是重大網絡安全事件,三是較大網絡安全事件,四是一般網絡安全事件。
2.3領導機構與職責
在河北省質量技術監督局網絡安全以及信息化領導小組的指導過程中,省局網信領導小組辦公室積極配合并協助省局完成網絡安全事件應急工作,不斷完善網絡安全應急處置體系。如果在發生比較重大的網絡安全事件的時候,需成立省局局網絡安全事件應急指揮部,指揮部成員由網信領導小組相關成員組成,負責事件的處置、指揮和協調。
2.4監測與預警
(1)預警分級在網絡安全事件的預警過程當中,主要分為四個等級,從高到低分別由不同的顏色進行表示,比如紅色、橙色、黃色以及藍色。(2)預警研判和各處室、各直屬事業單位組織對監測信息進行研判,認為需要立即采取防范措施的,應當及時通知有關部門和單位,對可能發生重大及以上網絡安全事件的信息及時向省局網信辦報告。省局網信辦組織對上報信息進行研判,對可能發生特別重大網絡安全事件的信息及時向省委網信辦、質檢總局網信辦報告。(3)預警響應1)紅色預警響應第一,省局網信辦根據省委網信辦指示組織預警響應工作,聯系相關單位或部門和應急支援單位,組織對事態發展情況進行跟蹤研判,并共同協商制定出相應的防范措施以及多項預警相應應急工作方案,有效的組織并協調組織資源調度以及與其他部門進行合作的前期準備工作。第二,相關單位以及部門對于網絡安全事件的應急處置,要求相關機構實行24小時值班制度,并且與之相關的工作人員應該時刻保持聯絡通訊暢通。與此同時,還要不斷提高網絡安全事件監測以及事態發展信息的搜集工作,負責人員要對應急團隊進行正確指揮,其他相關單位要輔助完成工作,如果出現緊急情況一定要上報到省局網信辦。第三,網絡安全應急技術支撐隊伍、應急支援單位應時刻保持待命的狀態,并且還要根據紅色預警所提供的信息進行詳細的研究,制定出不同的應對方案,另外,還要保障應急設備、軟件工具以及車輛等使用正常。2)橙色預警響應第一,相關單位或部門網絡安全事件應急處置機構啟動相應的應急預案,根據省局網信辦指示組織開展預警響應工作,完成相關的風險評估工作,并提前做好應急準備。第二,當橙色預警相應時,有關單位以及部門應立刻把事情的具體狀況上報到省局網信辦公室。省局網信辦密切關注事態發展,有關重大事項及時通報相關單位或部門。第三,網絡安全應急技術支撐隊伍、應急支援單位保持聯絡暢通,檢查應急設備、軟件工具、車輛等,確保處于良好狀態。3)黃色、藍色預警響應事發單位或部門網絡安全事件應急處置機構啟動相應應急預案,指導組織開展預警響應。
2.5網絡安全事件的應急處置
(1)事件報告網絡安全事件的應急處置,主要在當網絡安全事件發生之后,事發單位要對網絡安全事件進行應急處置,一是要馬上對事件進行報告,先要啟動應急預案,對事件進行處置。二是事發單位的相關部門要將事態穩定住,保留證據,完成好相關的信息通報工作。(2)應急響應通常情況下,在網絡安全事件的四個等級當中,I級的網絡安全事件是屬于最高響應的級別。Ⅰ級響應:省局網信辦在接到事發單位或部門報告后組織對事件信息進行研判,屬特別重大網絡安全事件的,立即上報省委網信辦,同時向省局網信領導小組提出啟動Ⅰ級響應的建議,經網信領導小組批準后,成立專項應急響應指揮部。由專門的指揮部來實行應急處置工作的統一領導部署,并領導相關完成好協調職責。對于指揮部的成員來說,要時刻保持24小時的聯絡。其他單位以及部門要確保應急處置機構隨時保持應急狀態,然后當指揮部發出命令之后,完成相應的工作。Ⅱ級響應:省局網信辦在接到事發單位或部門報告后組織對事件信息進行研判,根據事件的性質和情況,屬重大網絡安全事件的,指示事發單位或部門啟動Ⅱ級響應。事發單位或部門的應急處置機構進入應急狀態,在省局網信辦指導下按照相關應急預案做好應急處置工作。處置中需要省局應急技術支撐隊伍和應急支援單位配合和支持的,商省局網信辦予以協調。事發單位或部門與省局應急技術支撐隊伍、應急支援單位應根據各自職責,積極配合、提供支持。Ⅲ級響應:網絡安全事件的Ⅲ級響應,由事發單位或部門根據事件的性質和情況確定。事發單位或部門跟蹤事態發展,有關事項及時通報有關部門和單位。Ⅳ級響應:事發單位或部門按相關預案進行應急響應。(3)應急結束Ⅰ級響應結束由指揮部提出建議,報省局網信領導小組批準后,及時通報相關單位。Ⅱ級響應結束由事發單位提出建議,報省局網信辦批準后,及時通報相關單位或部門。Ⅲ、Ⅳ級響應結束由事發單位或部門決定,通報有關部門和單位。
2.6調查與評估
特別重大網絡安全事件由指揮部組織相關單位或部門進行調查處理和總結評估,并按程序上報至省委網信辦、質檢總局網信辦。重大及以下網絡安全事件由事件發生單位或部門自行組織調查處理和總結評估,并將相關總結調查報告報省局網信辦。總結調查報告應對事件的起因、性質、影響、責任等進行分析評估,提出處理意見和改進措施。事件的調查處理和總結評估工作原則上在應急響應結束后30天內完成。
3網絡安全事件實戰演練
省局網信辦應協調各處室、各直屬事業單位定期組織演練,檢驗和完善預案,提高實戰能力。應急演練方案應明確演練內容和目的、準備工作、演練步驟和考核辦法。
3.1內容和目的
應急演練主要內容包括機房突發事件、設備故障、安全事件等三個方面。
3.2準備工作
明確與演練內容相關的人員、環境、設備和設施應滿足的條件、狀態。
3.3考核辦法
明確演練的考核對象、考核內容、完成時限、分值以及評分標準。一般情況下,每個演練項目考核滿分為十分,如得分少于6分,應進一步完善網絡安全事件應急預案。
篇4
一、我國互聯網網絡安全形勢
(一)基礎網絡防護能力明顯提升,但安全隱患不容忽視。根據工信部組織開展的2011年通信網絡安全防護檢查情況,基礎電信運營企業的網絡安全防護意識和水平較2010年均有所提高,對網絡安全防護工作的重視程度進一步加大,網絡安全防護管理水平明顯提升,對非傳統安全的防護能力顯著增強,網絡安全防護達標率穩步提高,各企業網絡安全防護措施總體達標率為98.78%,較2010年的92.25%、2009年的78.61%呈逐年穩步上升趨勢。
但是,基礎電信運營企業的部分網絡單元仍存在比較高的風險。據抽查結果顯示,域名解析系統(DNS)、移動通信網和IP承載網的網絡單元存在風險的百分比分別為6.8%、17.3%和0.6%。涉及基礎電信運營企業的信息安全漏洞數量較多。據國家信息安全漏洞共享平臺(CNVD)收錄的漏洞統計,2011年發現涉及電信運營企業網絡設備(如路由器、交換機等)的漏洞203個,其中高危漏洞73個;發現直接面向公眾服務的零日DNS漏洞23個, 應用廣泛的域名解析服務器軟件Bind9漏洞7個。涉及基礎電信運營企業的攻擊形勢嚴峻。據國家計算機網絡應急技術處理協調中心(CNCERT)監測,2011年每天發生的分布式拒絕服務攻擊(DDoS)事件中平均約有7%的事件涉及到基礎電信運營企業的域名系統或服務。2011年7月15日域名注冊服務機構三五互聯DNS服務器遭受DDoS攻擊,導致其負責解析的大運會官網域名在部分地區無法解析。8月18日晚和19日晚,新疆某運營商DNS服務器也連續兩次遭到拒絕服務攻擊,造成局部用戶無法正常使用互聯網。
(二)政府網站安全事件顯著減少,網站用戶信息泄漏引發社會高度關注。據CNCERT監測,2011年中國大陸被篡改的政府網站為2807個,比2010年大幅下降39.4%;從CNCERT專門面向國務院部門門戶網站的安全監測結果來看,國務院部門門戶網站存在低級別安全風險的比例從2010年的60%進一步降低為50%。但從整體來看,2011年網站安全情況有一定惡化趨勢。在CNCERT接收的網絡安全事件(不含漏洞)中,網站安全類事件占到61.7%;境內被篡改網站數量為36612個,較2010年增加5.1%;4月-12月被植入網站后門的境內網站為12513個。CNVD接收的漏洞中,涉及網站相關的漏洞占22.7%,較2010年大幅上升,排名由第三位上升至第二位。網站安全問題進一步引發網站用戶信息和數據的安全問題。2011年底, CSDN、天涯等網站發生用戶信息泄露事件引起社會廣泛關注,被公開的疑似泄露數據庫26個,涉及帳號、密碼信息2.78億條,嚴重威脅了互聯網用戶的合法權益和互聯網安全。根據調查和研判發現,我國部分網站的用戶信息仍采用明文的方式存儲,相關漏洞修補不及時,安全防護水平較低。
(三)我國遭受境外的網絡攻擊持續增多。
黑影服務器-僵尸網絡控制端數量排名(2012年3月14日)
麥咖啡
賽門鐵克
賽門鐵克——病毒郵件排名(2011年11月)
賽門鐵克——釣魚網站排名(2011年11月)
賽門鐵克-垃圾郵件數量排名(2011年11月)
索菲斯
索菲斯—垃圾郵件排名
2011年,CNCERT抽樣監測發現,境外有近4.7萬個IP地址作為木馬或僵尸網絡控制服務器參與控制我國境內主機,雖然其數量較2010年的22.1萬大幅降低,但其控制的境內主機數量卻由2010年的近500萬增加至近890萬,呈現大規?;厔?。其中位于日本(22.8%)、美國(20.4%)和韓國(7.1%)的控制服務器IP數量居前三位,美國繼2009年和2010年兩度位居榜首后,2011年其控制服務器IP數量下降至第二,以9528個IP控制著我國境內近885萬臺主機,控制我國境內主機數仍然高居榜首。在網站安全方面,境外黑客對境內1116個網站實施了網頁篡改;境外11851個IP通過植入后門對境內10593個網站實施遠程控制,其中美國有3328個IP(占28.1%)控制著境內3437個網站,位居第一,源于韓國(占8.0%)和尼日利亞(占5.8%)的IP位居第二、三位;仿冒境內銀行網站的服務器IP有95.8%位于境外,其中美國仍然排名首位——共有481個IP(占72.1%)仿冒了境內2943個銀行網站的站點,中國香港(占17.8%)和韓國(占2.7%)分列二、三位??傮w來看,2011年位于美國、日本和韓國的惡意IP地址對我國的威脅最為嚴重。另據工業和信息化部互聯網網絡安全信息通報成員單位報送的數據,2011年在我國實施網頁掛馬、網絡釣魚等不法行為所利用的惡意域名約有65%在境外注冊。此外,CNCERT在2011年還監測并處理多起境外IP對我國網站和系統的拒絕服務攻擊事件。這些情況表明我國面臨的境外網絡攻擊和安全威脅越來越嚴重。
(四)網上銀行面臨的釣魚威脅愈演愈烈。隨著我國網上銀行的蓬勃發展,廣大網銀用戶成為黑客實施網絡攻擊的主要目標。2011年初,全國范圍大面積爆發了假冒中國銀行網銀口令卡升級的騙局,據報道此次事件中有客戶損失超過百萬元。據CNCERT監測,2011年針對網銀用戶名和密碼、網銀口令卡的網銀大盜、Zeus等惡意程序較往年更加活躍, 3月-12月發現針對我國網銀的釣魚網站域名3841個。CNCERT全年共接收網絡釣魚事件舉報5459件,較2010年增長近2.5倍,占總接收事件的35.5%;重點處理網頁釣魚事件1833件,較2010年增長近兩倍。
(五)工業控制系統安全事件呈現增長態勢。繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后,2011年美國伊利諾伊州一家水廠的工業控制系統遭受黑客入侵導致其水泵被燒毀并停止運作,11月Stuxnet病毒轉變為專門竊取工業控制系統信息的Duqu木馬。2011年CNVD收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞,較2010年大幅增長近10倍,涉及西門子、北京亞控和北京三維力控等國內外知名工業控制系統制造商的產品。相關企業雖然能夠積極配合CNCERT處置安全漏洞,但在處置過程中部分企業也表現出產品安全開發能力不足的問題。
(六)手機惡意程序現多發態勢。隨著移動互聯網生機勃勃的發展,黑客也將其視為攫取經濟利益的重要目標。2011年CNCERT捕獲移動互聯網惡意程序6249個,較2010年增加超過兩倍。其中,惡意扣費類惡意程序數量最多,為1317個,占21.08%,其次是惡意傳播類、信息竊取類、流氓行為類和遠程控制類。從手機平臺來看,約有60.7%的惡意程序針對Symbian平臺,該比例較2010年有所下降,針對Android平臺的惡意程序較2010年大幅增加,有望迅速超過Symbian平臺。2011年境內約712萬個上網的智能手機曾感染手機惡意程序,嚴重威脅和損害手機用戶的權益。
(七)木馬和僵尸網絡活動越發猖獗。2011年,CNCERT全年共發現近890萬余個境內主機IP地址感染了木馬或僵尸程序,較2010年大幅增加78.5%。其中,感染竊密類木馬的境內主機IP地址為5.6萬余個,國家、企業以及網民的信息安全面臨嚴重威脅。根據工業和信息化部互聯網網絡安全信息通報成員單位報告,2011年截獲的惡意程序樣本數量較2010年增加26.1%,位于較高水平。黑客在瘋狂制造新的惡意程序的同時,也在想方設法逃避監測和打擊,例如,越來越多的黑客采用在境外注冊域名、頻繁更換域名指向IP等手段規避安全機構的監測和處置。
(八)應用軟件漏洞呈現迅猛增長趨勢。2011年,CNVD共收集整理并公開信息安全漏洞5547個,較2010年大幅增加60.9%。其中,高危漏洞有2164個,較2010年增加約2.3倍。在所有漏洞中,涉及各種應用程序的最多,占62.6%,涉及各類網站系統的漏洞位居第二,占22.7%,而涉及各種操作系統的漏洞則排到第三位,占8.8%。除預警外,CNVD還重點協調處置了大量威脅嚴重的漏洞,涵蓋網站內容管理系統、電子郵件系統、工業控制系統、網絡設備、網頁瀏覽器、手機應用軟件等類型以及政務、電信、銀行、民航等重要部門。上述事件暴露了廠商在產品研發階段對安全問題重視不夠,質量控制不嚴格,發生安全事件后應急處置能力薄弱等問題。由于相關產品用戶群體較大,因此一旦某個產品被黑客發現存在漏洞,將導致大量用戶和單位的信息系統面臨威脅。這種規模效應也吸引黑客加強了對軟件和網站漏洞的挖掘和攻擊活動。
(九)DDoS攻擊仍然呈現頻率高、規模大和轉嫁攻擊的特點。2011年,DDoS仍然是影響互聯網安全的主要因素之一,表現出三個特點。一是DDoS攻擊事件發生頻率高,且多采用虛假源IP地址。據CNCERT抽樣監測發現,我國境內日均發生攻擊總流量超過1G的較大規模的DDoS攻擊事件365起。其中,TCP SYN FLOOD和UDP FLOOD等常見虛假源IP地址攻擊事件約占70%,對其溯源和處置難度較大。二是在經濟利益驅使下的有組織的DDoS攻擊規模十分巨大,難以防范。例如2011年針對浙江某游戲網站的攻擊持續了數月,綜合采用了DNS請求攻擊、UDP FLOOD、TCP SYN FLOOD、HTTP請求攻擊等多種方式,攻擊峰值流量達數十個Gbps。三是受攻擊方惡意將流量轉嫁給無辜者的情況屢見不鮮。2011年多家省部級政府網站都遭受過流量轉嫁攻擊,且這些流量轉嫁事件多數是由游戲私服網站爭斗引起。
二、國內網絡安全應對措施
(一)相關互聯網主管部門加大網絡安全行政監管力度,堅決打擊境內網絡攻擊行為。針對工業控制系統安全事件愈發頻繁的情況,工信部在2011年9月專門印發了《關于加強工業控制系統信息安全管理的通知》,對重點領域工業控制系統信息安全管理提出了明確要求。2011年底,工信部印發了《移動互聯網惡意程序監測與處置機制》,開展治理試點,加強能力建設。6月起,工信部組織開展2011年網絡安全防護檢查工作,積極將防護工作向域名服務和增值電信領域延伸。另外還組織通信行業開展網絡安全實戰演練,指導相關單位妥善處置網絡安全應急事件等。公安部門積極開展網絡犯罪打擊行動,破獲了2011年12月底CSDN、天涯社區等數據泄漏案等大量網絡攻擊案件;國家網絡與信息安全信息通報中心積極發揮網絡安全信息共享平臺作用,有力支撐各部門做好網絡安全工作。
(二)通信行業積極行動,采取技術措施凈化公共網絡環境。面對木馬和僵尸程序在網上的橫行和肆虐,在工信部的指導下,2011年CNCERT會同基礎電信運營企業、域名從業機構開展14次木馬和僵尸網絡專項打擊行動,次數比去年增加近一倍。成功處置境內外5078個規模較大的木馬和僵尸網絡控制端和惡意程序傳播源。此外,CNCERT全國各分中心在當地通信管理局的指導下,協調當地基礎電信運營企業分公司合計處置木馬和僵尸網絡控制端6.5萬個、受控端93.9萬個。根據監測,在中國網民數和主機數量大幅增加的背景下,控制端數量相對2010年下降4.6%,專項治理工作取得初步成效。
(三)互聯網企業和安全廠商聯合行動,有效開展網絡安全行業自律。2011年CNVD收集整理并漏洞信息,重點協調國內外知名軟件商處置了53起影響我國政府和重要信息系統部門的高危漏洞。中國反網絡病毒聯盟(ANVA)啟動聯盟內惡意代碼共享和分析平臺試點工作,聯合20余家網絡安全企業、互聯網企業簽訂遵守《移動互聯網惡意程序描述規范》,規范了移動互聯網惡意代碼樣本的認定命名,促進了對其的分析和處置工作。中國互聯網協會于2011年8月組織包括奇虎360和騰訊公司在內的38個單位簽署了《互聯網終端軟件服務行業自律公約》,該公約提倡公平競爭和禁止軟件排斥,一定程度上規范了終端軟件市場的秩序;在部分網站發生用戶信息泄露事件后,中國互聯網協會立即召開了“網站用戶信息保護研討會”,提出安全防范措施建議。
(四)深化網絡安全國際合作,切實推動跨境網絡安全事件有效處理。作為我國互聯網網絡安全應急體系對外合作窗口,2011年CNCERT積極推動“國際合作伙伴計劃”,已與40個國家、79個組織建立了聯系機制,全年共協調國外安全組織處理境內網絡安全事件1033起,協助境外機構處理跨境事件568起。其中包括針對境內的DDoS攻擊、網絡釣魚等網絡安全事件,也包括針對境外蘇格蘭皇家銀行網站、德國郵政銀行網站、美國金融機構Wells Fargo網站、希臘國家銀行網站和韓國農協銀行網站等金融機構,加拿大稅務總局網站、韓國政府網站等政府機構的事件。另外CNCERT再次與微軟公司聯手,繼2010年打擊Waledac僵尸網絡后,2011年又成功清除了Rustock僵尸網絡,積極推動跨境網絡安全事件的處理。2011年,CNCERT圓滿完成了與美國東西方研究所(EWI)開展的為期兩年的中美網絡安全對話機制反垃圾郵件專題研討,并在英國倫敦和我國大連舉辦的國際會議上正式了中文版和英文版的成果報告“抵御垃圾郵件 建立互信機制”,增進了中美雙方在網絡安全問題上的相互了解,為進一步合作打下基礎。
三、2012年值得關注的網絡安全熱點問題
隨著我國互聯網新技術、新應用的快速發展,2012年的網絡安全形勢將更加復雜,尤其需要重點關注如下幾方面問題:
(一)網站安全面臨的形勢可能更加嚴峻,網站中集中存儲的用戶信息將成為黑客竊取的重點。由于很多社交網站、論壇等網站的安全性差,其中存儲的用戶信息極易被竊取,黑客在得手之后會進一步研究利用所竊取的個人信息,結合社會工程學攻擊網上交易等重要系統,可能導致更嚴重的財產損失。
(二)隨著移動互聯網應用的豐富和3G、wifi網絡的快速發展,針對移動互聯網智能終端的惡意程序也將繼續增加,智能終端將成為黑客攻擊的重點目標。由于Android手機用戶群的快速增長和Android應用平臺允許第三方應用的特點,運行Android操作系統的智能移動終端將成為黑客關注的重點。
(三)隨著我國電子商務的普及,網民的理財習慣正逐步向網上交易轉移,針對網上銀行、證券機構和第三方支付的攻擊將急劇增加。針對金融機構的惡意程序將更加專業化、復雜化,可能集網絡釣魚、網銀惡意程序和信息竊取等多種攻擊方式為一體,實施更具威脅的攻擊。
(四)APT 攻擊將更加盛行,網絡竊密風險加大。APT攻擊具有極強的隱蔽能力和針對性,傳統的安全防護系統很難防御。美國等西方發達國家已將APT攻擊列入國家網絡安全防御戰略的重要環節,2012年APT攻擊將更加系統化和成熟化,針對重要和敏感信息的竊取,有可能成為我國政府、企業等重要部門的嚴重威脅。
(五)隨著2012年ICANN正式啟動新通用頂級域名(gTLD)業務,新增的大量gTLD及其多語言域名資源,將給域名濫用者或欺詐者帶來更大的操作空間。
(六)隨著寬帶中國戰略開始實施,國家下一代互聯網啟動商用試點,以及無線城市的大規模推進和云計算大范圍投入應用, IPv6網絡安全、無線網安全和云計算系統及數據安全等方面的問題將會越來越多地呈現出來。
篇5
關鍵詞:銀行網絡 網絡安全 防火墻 安全體系
新世紀以現代信息技術為代表的高新技術迅猛發展,將徹底改變人類的生活方式,促使金融行業產生根本性的變革。特別是在我國加入世貿組織、金融業務全面開放后,國內外同行業的競爭將更加激烈。面對科技的不斷發展和金融的日益全球化,建立一個安全、高效的計算機網絡是當前亟待解決的重要課題。
1 銀行計算機網絡面臨的安全威脅
銀行計算機網絡系統的安全問題一般來說,計算機網絡安全包括物理安全和邏輯安全兩大部分[1]。物理安全指的是網絡系統設備及相關設施受到物理保護,免于被破壞、被丟失等。邏輯安全包括信息完整性、保密性和可用性。銀行網絡安全的威脅主要是來自于網絡傳送過程、網絡服務過程、企業內部病毒傳輸及軟件應用過程中的威脅[2]。
2 銀行網絡安全體系設計
為了構筑銀行網絡安全體系,將銀行網絡安全體系的構建分布到廣域網、局域網、外聯網等處,不同的功能區域設置不同的安全防范體系。
2.1 廣域網安全 廣域網部分網絡安全重點關注是網絡自身安全及數據傳送安全,廣域網的設計可靠性及安全性主要涉及的網絡協議層次及以下。解決網絡設備安全、組網安全及數據傳送安全是提高廣域網安全性的有效方式。①設備安全。主要通過路由器的ISPKeeper功能流量的檢測、分析及流量處理等方式來預防流量攻擊。②組網安全。通過OSPF+BGP的路由方案,BGP在自身功能的管理和控制上比較嚴格,使得數據重心和各一、二級網點局域網絡的路由到廣域網時嚴格受控。③數據傳送安全。通過IPSec技術進行數據加密,加密操作通常通過主機或網絡兩端來進行,中間網絡數據傳輸透明化。如有必要也可對個別線路進行IPSec加密。
2.2 局域網安全 銀行各網點局域網實現的功能較多,設計復雜,包括多個網絡模塊,網絡安全的構建大致涵蓋了核心交換區、服務器群、大前置機處理中心區等,針對各功能區特點使用與之對應的安全措施。①銀行網絡核心交換區。局域網的核心是銀行中心機房。局域網的路由處理、數據高速轉發和流量交換全部通過中心機房來完成,該部分的安全處理并不復雜,設備安全是重點。操作過程中,可以在核心交換設備上利用端口鏡像功能,把符合條件的流量鏡像到流量分析設備上,進行更高級別的網絡流量分析,如有安全隱患,可及時對網絡規劃進行調整。②銀行網絡服務器群。中心機房關系整個局域網的安全運行,此區域集中了很多服務器,應該嚴格控制用戶對該中心機房區域的訪問行為。如有需要,可將防火墻設在核心交換機與服務器換機之間。以服務器的功能特點為依據劃分為不同功能類別的VLAN,功能相同的服務器與同一VLAN連接,按要求對用戶的訪問行為嚴加控制。③處理中心區、開發環境區、測試環境區及監控中心區。這幾部分雖然各自的功能不同,但是安全設計的重點都是對接入用戶/主機的管理。在此類區域中,先以該區域內用戶/主機的功能和訪問權限為依據劃分VLAN,在終結VLAN的三層交換機上,利用ACL對各VLAN之間互訪以及VLAN訪問其它網絡資源的權限進行控制。
2.3 外聯網絡 該區域的安全設計重點是防范來自外部的攻擊。主要采用在機構/Internet接入路由器的后面設置防火墻的方式。部署防火墻時,基于安全因素的考慮,必須應遵循幾個基本原則:一是最小授權,只有必要的流量,才能被授權通過防火墻;二是高度容錯,即使防火墻出現問題,也不能降低內部系統的安全程度;三是深度防御,雖然系統已有防火墻的相關配置,內部網絡仍有必要采用獨立于防火墻的安全措施。
3 服務器安全及計算機病毒防治
3.1 服務器系統安全 為了確保服務器系統的安全使用性能,筆者建議使用安全掃描軟件,定期掃描比較重要的主機系統及網絡,從而找出網絡弱點以及策略配置方面的缺陷。根據掃描結果,及時更新操作系統補丁,進行病毒查殺,更新安全策略。
3.2 計算機病毒防治 蠕蟲病毒通過大量繁殖,以主機為點、通過網絡構成面的計算機自我復制機制對現有網絡展開了大規模的網絡流量攻擊,所以在網絡技術上防止蠕蟲病毒,可以從設備選擇及組網技術兩個方面進行考慮。為防止病毒攻擊引起的局域網絡癱瘓,很多情況下是與交換機的交換方式相關的,如很多中低端交換機甚至一些主流廠商早期的高端交換機都采用了流交換方式,當網絡感染蠕蟲病毒后,病毒不斷變化IP發起網絡流量攻擊,導致網絡中的流不斷更新,流數目迅速增長,超出交換機能處理的流數目,交換機轉而將報文交給CPU處理,由于交換機的CPU處理能力低,最終造成設備癱瘓。因此建議采用支持逐包轉發模式的交換機,尤其是在高端。
4 結束語
構建完全徹底的安全網絡只是一個神話,安全只是相對而言,安全保護是一個有始有終的過程,不斷的分析、計劃、實施和維護,以最具有成本——效益的方式降低風險,時刻提高警惕,保持系統穩固。
參考文獻:
[1]吳蓓,劉海光.銀行網絡安全管理體系構建路徑探討.電腦知識與技術,2010-07-25.
[2]董會敏.銀行網絡信息安全的實現.華東師范大學,2011-05-01.
[3]張明賢.當前銀行網絡安全的主要威脅及防范策略探析.科技與企業,2011-12-22.
篇6
ENISA對2002~2012年期間舉行的85次不同層級的網絡演習進行了調研,既有單個國家演習又有多國演習,既有針對私營企業或政府機構的演習又有二者結合的演習。全球共計84個國家參加多國網絡演習,歐洲共有22個國家組織過全國性網絡演習。
主要結論
歐洲網絡與信息安全局認為此次調研評估較好地總結了國家及國際網絡演習的現狀,主要結論如下。
(1)網絡演習次數逐年增多。
網絡演習日漸普遍,2010年后演習數量更是激增,這與政策支持和網絡攻擊威脅不斷增多不無關系。很多演習作為系列演習的一部分,每年都舉行,這種趨勢在未來數年仍將繼續。
(2)網絡危機合作不斷發展。
不僅網絡演習日漸普遍,網絡危機合作方面的舉措也在不斷發展。網絡安全已成為歐洲國家的緊要事務,受到越來越多的關注。
(3)多數歐洲國家參與了國家和多國網絡演習。
多數歐盟和歐洲自由貿易區國家既組織過國家演習又參加過多國網絡演習。這說明參與國際演習對組織國家層面的網絡演習能夠起到補益作用,國際網絡危機合作能夠在這些演習中得到發展。對于本身能力有限的國家(例如沒有能力組織國家演習),參加國際演習能夠幫助他們達到歐盟制定的國家網絡安全標準。網絡危機往往超越國境,這一事實也為大國幫助網絡安全應急能力較弱的鄰邦提供了動力,凸顯了多國聯合組織跨國網絡演習的必要性。ENISA通過組織網絡演習研討會和泛歐洲地區網絡演習的方式支持各國的網絡演習活動。
(4)政府機構與私營企業之間的交流合作至關重要。
鑒于很多私營企業是重要信息基礎設施的所有者、管理者和使用者,因此未來的網絡演習更需要加強政府機構與私營企業的合作。
(5)必須更加重視演習管理工具。
對演習管理工具的重要性認識不足是所有網絡演習普遍存在的問題。演習管理工具可以用來協助進行演習準備和評估。
(6)促進演習規劃、監控與評估方法的使用。
演習規劃、監控和評估關系到演習是否能夠成功,演習規劃包括完善演習方案、程序,修改演習策略等,監控和評估能夠進一步幫助演習組織者建立反饋機制,總結經驗教訓。本次調研發現演習監控、評估方法的使用有限,在未來演習中應該更多地使用這些方法。
建議
報告提出了一些能夠提高演習質量、增加演習數量的建議,這些建議有助于增強重要網絡基礎設施及服務對網絡安全事件的承受能力。
(1)打造更為協調的網絡演習環境。
隨著網絡演習范圍的不斷擴大,網絡危機合作的不斷發展,應該努力打造一個更加協調的網絡演習環境,讓全球網絡演習領域的利益方能夠充分交流與探討該領域的好做法、挑戰及經驗教訓。如何以取長補短為目的,協調網絡計劃,實現同步化是網絡演習界面臨的一個艱巨的挑戰。此外,建議繼續組織網絡危機合作國際會議,為建立更加協調的網絡演習群體創造條件。
(2)建立公私合作,加強網絡演習經驗交流。
公共機構與私營企業之間通過合作共同保護重要信息基礎設施非常重要,而組織聯合演習和分享好的做法和經驗則是實現合作不可或缺的手段。經驗交流可以通過建立專門的數據庫、觀摩演習、學習交流等方式實現。
(3)繼續推進演習管理工具的開發。
在網絡演習中,良好的方法和自動化的工具能夠有效地提高演習設計、實施及評估的效率。包括模擬器和仿真機在內的各種演習管理工具能夠在提高演習效率的同時使演習質量更高,效果更好。報告呼吁業界人士支持網絡演習管理工具的開發、應用和共享。
(4)力求在部門間、國際和歐洲層級舉行更復雜的網絡演習。
網絡事件/危機大多是跨界的,包括跨國境、跨部門等,這種情況帶來的挑戰就是,如何組織能夠檢驗跨界網絡事件各種復雜情況的網絡演習,特別是在需要同時檢驗不同層級應急響應能力的時候(包括戰役、戰術和戰略演習層面)。報告建議業界人士與ENISA一起,共同為組織更為復雜的網絡演習而努力。
(5)將網絡演習納入網絡危機應急方案。
各國應制定、維護并及時更新網絡危機應急方案和標準合作程序。響應結構的持續完善需要網絡演習的支撐。為了更好地備戰網絡危機,建議歐盟成員國相關決策者將網絡演習納入網絡危機應急方案和標準合作程序。ENISA曾過一份《國家網絡應急方案實踐指南》。
(6)及時更新網絡演習方法。
2009年,ENISA頒布了《國家演習實踐指南》,代表著網絡演習向著用更正規的方法進行規劃和實施邁出了第一步。報告建議ENISA根據近幾年歐洲相關政策的變化、本次調研的研究成果以及有關論壇獲得的相關報告整合、改進上述文件推薦的網絡演習方法,利用相關工具設計出正規的網絡演習規劃及組織辦法。
篇7
關鍵詞:計算機網絡安全;基層行政單位;保護策略
0引言
近年來,隨著社會的進步和科學技術的發展,互聯網悄無聲息地深入到社會各個領域,給人們的工作和生活帶來了便利。然而,計算機技術也有其自身的弊端:由于計算機網絡具有開放性、多樣性、互聯性的特點,在提供便利的同時也給私有信息和重要數據受到破壞提供了可能。目前,并沒有成熟的技術能做到從根本上避免問題的發生,只能采取部分手段盡可能降低安全隱患。而基層行政單位作為政府行政部門,肩負責任巨大,任何存在重要數據、信息泄露的安全隱患都應堅決杜絕,因此保障計算機信息網絡安全工作盡管艱難,但意義重大。
1基層單位信息網絡和信息系統安全管理現狀
總體上說,盡管計算機網絡安全問題已逐步受到重視,但基層單位信息網絡和信息系統安全管理現狀依然值得擔心。目前,基層信息網絡依然受到病毒、木馬、黑客攻擊、系統漏洞等方面的威脅,而部分工作人員對網絡安全問題重視程度不高、缺乏相應安全防護知識和技術等自身原因更是加劇了安全防范的難度。在信息系統安全管理方面,基層行政單位并不具有健全的管理制度,不能對重要數據和信息進行有效保護,部分單位甚至沒有專門設置維護網絡信息安全的相關技術人員,即使發現安全隱患也不能及時處理。
2基層單位信息網絡和系統安全管理存在的主要問題
2.1操作系統存在的安全問題
操作系統具有幫助管理計算機系統的軟件和硬件資源的功能,計算機系統存在問題往往會給基層單位帶來安全隱患,若系統內程序有問題則容易造成計算機整個系統的癱瘓,帶來不可預計的損失。此外,操作系統能夠創建進程和支持遠程,這也為遠端服務器安裝黑客軟件提供了平臺。2.2數據庫存在的安全問題數據庫用于存儲數據和管理數據信息,而基層單位對數據庫的安全維護工作并沒有做的很好。由于數據庫系統內包含多種存儲的數據信息,若數據庫系統維護工作不當,系統便不能安全、及時提供可靠信息。此外,非法人員利用非法手段破壞數據庫信息也是當前基層單位面臨的巨大威脅。
2.3管理方面存在的安全問題
基層單位往往存在內部網絡建設時間不長、技術人員缺乏必要安全意識等普遍現象。另外,計算機網絡管理和維護機制不健全、安全管理執行力度不強也不利于網絡安全的維護。加之基層單位內部人員不按規范操作,移動存儲器隨意插用,為病毒的傳播提供了條件。
2.4網絡技術存在的安全問題
沒有對操作系統及時更新和升級,為操作系統存在受到病毒、木馬侵入留下了安全隱患,給單位計算機網絡維護增加了難度。此外,計算機軟件自身存在的漏洞和不足,以及基層單位對網絡技術安全投入不高,只重視眼前效益都會在一定程度上帶來網絡技術的安全問題。
3加強基層信息系統及網絡安全管理工作的建議
3.1安全的計算機物理網絡建設
(1)殺(防)毒軟件不可少:
病毒侵入已成為影響計算機安全的最大隱患,且破壞性極強,令人談“毒”色變。因此,在網絡信息安全建設中殺(防)毒軟件的安裝必不可少。通常,防毒軟件分單機防病毒軟件和網絡防病毒軟件,單機防病毒軟件可以對本地工作站連接的遠程資源進行掃描監測,消除病毒;網絡防病毒軟件側重網絡防病毒,避免病毒傳染到其他網絡。
(2)防火墻控制:
防火墻是一相對新型的計算機網絡安全保護技術,防火墻由軟件設備和硬件設備組成,主要通過控制進出口方面的通信門檻,限制外界用戶對內部網絡訪問以及管理內部用戶訪問權限,實現對網絡安全的保護。此外,防火墻能夠對訪問進行記錄,同時計算機管理員提供統計數據,當可以動作發生時,及時報警能有效保障用戶使用安全。
(3)數據加密與密碼保護:
數據加密策略具有方便、靈活的特點,尤其適用于開放性網絡。數據加密能夠有效保護網內的口令、文件等動態數據,它主要通過監測動態攻擊和避免被動攻擊兩個方面實現。而數據加密的本質是對以符號為基礎數據進行移位和置換,其加密過程由各種各樣的加密算法實施,盡管代價較小,但效果十分顯著。
(4)網絡權限控制:
網絡權限控制主要是針對網絡非法操作所采取的保護措施,即對操作用戶進行權限設置,防止非法人員訪問。通常,網絡訪問控制包含用戶的識別和驗證、口令的識別與驗證以及賬號的缺省限制檢查三個步驟。應注意的是,用戶需對驗證口令進行加密,并嚴防泄露;另一方面,服務器對用戶輸入的用戶名和口令進行驗證的過程中,應當避免口令在屏幕上顯示。若多次輸入口令不正確,則視為非法入侵,及時給出報警信息。
(5)入侵檢測技術:
入侵檢測技術是一種檢測計算機網絡中是否存在違反安全策略行為的一項技術,主要通過監視和分析用戶及系統活動、查看非法用戶和合法用戶的操作權限實現。入侵檢測系統已得到業內人士普遍認同,被認為是防火墻之后的第二道安全閘門。在入侵攻擊前,它能及時檢測并利用報警和防護系統對入侵進行攔截,在系統受到攻擊過程中,能有效減少入侵造成的損失,在系統受到攻擊后,能夠收集入侵信息,便于系統后期防范能力的提高。
3.2加強基層信息系統及網絡安全管理工作措施
(1)建立完善的計算機網絡安全系統
多年來,以傳播速度快、危害性強為特點計算機病毒已成為影響計算機網絡安全的最大因素,并且隨著技術的發展,計算機病毒的形式呈現更為復雜和多樣的發展趨勢。計算機網絡安全系統作為保障用戶信息數據安全的重要屏障,其建設意義重大。這就要求基層單位務必完善計算機網絡安全系統,并做好單位內部計算機網絡的監控工作,確保網絡安全穩定運行,最大限度防止病毒入侵,減輕病毒帶來的危害。
(2)做好基層單位內部網絡的安全維護工作
計算機技術在基層行政單位的使用越來越廣泛,涉及到的操作人員較多,加強內部網絡安全維護工作,防止用戶信息泄露具有重要意義。由于網絡的開放性特點,基層單位網絡仍然面臨著黑客和病毒的直接威脅,建議引入先進的防火墻技術,對單位內部系統進行隔離,保障單位內部網絡安全。
(3)不斷完善維護網絡安全的規章制度
建立完善的網絡安全規章制度不僅是網絡安全部門的義務,也是基層行政單位的職責。單位也可根據自身實際情況出發,制定相應維護制度和使用規范,包括定時對網絡安全問題進行檢查、嚴格禁止操作人員不按規范對計算機操作、禁止外來人員訪問計算機等。對于數據的傳輸和接收工作,需采取一定的維護手段,保證單位內部信息安全。
(4)大力引進和培養網絡信息安全人才
缺乏維護網絡安全的專業技術人才是基層行政單位面臨的普遍問題,而基層單位工作人員缺乏安全意識和必要的網絡安全維護技術更是在很大程度上加大了安全隱患。加強網絡安全維護刻不容緩。這就要求基層行政單位一方面要對工作人員進行培訓,加強工作人員安全意識,提升工作人員的整體素質。另一方面要加大引進網絡信息安全人才工作的力度,提升信息網絡安全保護能力。只有這樣才能在最大程度上保證網絡信息安全。
4結語
可以看出,計算機技術在為基層行政單位的工作提供便利的同時也留下了巨大的安全隱患。目前,基層行政單位存在信息網絡安全管理制度不健全、工作缺員缺乏信息安全管理意識、網絡安全技術維護人員不足等諸多困難。因此,在保障基層行政單位計算機網絡安全方面仍然需要做出很大的努力。在計算機網絡系統中,絕對的安全是不存在的,但相信隨著科學技術的發展,通過網絡管理人員和使用人員的共同努力,網絡安全問題一定能得到妥善解決。
引用:
[1]成啟明.淺談影響計算機網絡安全的因素與防范措施[J].承德民族師專學報,2009.
[2]曾令軍.談影響計算機網絡安全的因素與防范措施[J].信息與電腦(理論版),2010.
篇8
關鍵詞:實驗室網絡安全 校園網安全 防火墻 安全策略
中圖分類號:TP303.08 文獻標識碼:A 文章編號:1007-9416(2013)09-0173-02
引言
高校計算機實驗室承擔著教學、培訓、考試等大量繁重的教學任務。特點是:應用軟件眾多,實驗操作繁雜且不固定,機器臺數多,上機學生不固定。因此可能會導致很多計算機或網絡異常,如何有效的對計算機實驗室網絡進行安全管理就成為一個值得研究的問題。
1 實驗室網絡結構與任務分析
1.1 網絡結構
結合眾多課程實訓要求,大多數實驗室為學生搭建了一套滿足各種局域網交換和廣域網路由測試需求的基礎網絡平臺,使學生在學習眾多應用軟件的同時,還可實現用戶管理、服務器配置、模擬各類實驗環境。80%以上都是基于10/100M交換機或路由器連接成星型拓撲結構,利用校園局域網連入互聯網。
1.2 實驗任務
軟件應用實驗:辦公自動化、網頁設計、圖片處理、圖象、聲音等媒體數據處理。
網絡應用實驗: DNS、DHCP、WWW、域控制器、郵件服務器等多種服務器的配置;網站建設,基于Socket的C/S編程,基于B/S編程等。
2 計算機實驗室網絡普遍存在的問題
(1)為了滿足教學需要安裝了多種軟件,電腦的運行速度較慢。計算機實驗室幾乎全天對學生開放,在超負荷運行下計算機出現故障率高,機器維護任務較重。(2)學生對計算機操作不熟練或不當操作,容易造成部分系統文件刪除或破壞;學生隨意修改主機密碼、CMOS設置、修改注冊表內容或本地安全策略,導致電腦系統無法正常運行。(3)學生私自將個人移動硬盤、U盤、MP3等帶入機房,安裝大量的個人文件、導致電腦系統運行速度降低,甚至導致大量文件感染病毒,使管理的難度加大。(4)學生從外網下載文件或者訪問帶有病毒的網站時,感染病毒可能造成系統及網絡的癱瘓甚至崩潰。(5)基于教學要求,在局域網上實現資源共享或者教學廣播,使病毒在局域網內大面積傳播,加重了計算機病毒的查殺難度。
(6)學生在實驗室內吃零食、早餐,污染實驗室環境或導致計算機短路,還有學生私自移動機器,可能造成計算機硬件損壞。
因此,為保證學生機快速恢復、優化,必須建立起一套行之有效的系統維護方案,用以保證實驗教學的順利進行,減輕實驗室管理人員的工作量。
3 安全管理策略
3.1 基礎校園網網絡安全策略
3.1.1 網絡安全結構
校園網絡安全是實驗室網絡安全的基礎保障。應制定統一的骨干網安全策略,保證基礎網絡平臺的安全性。
校園網可采用了包括路由器、防火墻和入侵檢測系統在內的三層結構化防御系統。
第一層防護由防火墻實現。可獨立配置防火墻,對內外網之間的通信進行嚴格過濾,保障內網信息安全。
第二層防護由邊界路由器實現。邊界路由器提供Internet與校園網的連接,利用Cisco路由器上所具有的PIX防火墻功能,可將學校的WWW服務器、DNS服務器、E-Mail等服務器一起放于PIX防火墻的DMZ區,從而阻止外部用戶對各服務器進行刪除、修改等非法操作,防止來自外部的攻擊。
第三層防護由入侵檢測系統來完成。合理配置檢測系統,對校園網內用戶操作、設備、端口、服務、賬戶管理、流量等信息進行統計分析,可利用故障自動報警、檢測日志,及時發現網絡異常并處理。
3.1.2 IP規劃
目前我校為實現網絡統一管理,使用靜態IP地址,學生在首次利用帳戶和口令登陸校園網后,網絡中心負責身份審核的服務器在身份驗證的同時,將其IP與MAC地址進行綁定。在后期用戶通信中定時檢測地址信息,發現MAC地址變換時,強行退出連接,但此種方法IP利用率明顯降低,而且給用戶使用帶來諸多限制,且接入層上只能使用交換機。學生為實現帳戶共享而選擇其他網絡接入方式,給我們后期網絡安全管理埋下隱患。
為解決上述問題,建議配置DHCP服務器,動態配置IP地址。但此舉措實施后,用戶如果私自建立DHCP服務器,可能造成網絡管理的混亂。
為防止用戶私自建立DHCP服務器造成網絡管理的混亂,在建網初期可選用支持DHCP Snooping功能的接入交換機。保證用戶的IP地址只能由網絡中心分配,而不能接受非法的IP提供。
為防止用戶將IP地址手動設置成與服務器地址相同的地址而造成IP沖突,建議職能部門全部采用支持IP Source Guard的交換機,用戶必須從合法的DHCP服務器上取得IP地址才可進行正常通信,私設IP地址將會被交換機自動禁止。
3.2 公共實驗室安全管理策略
目前,有些實驗室為簡化工作,采用安裝還原卡的方式來保證系統安全,但此舉措會給實驗操作帶來諸多限制,特別是計算機網絡方面的實驗,大都要求計算機重啟后才能完成實驗任務,而還原卡的使用在此時就成為一道不可逾越的圍墻,阻礙了實驗的正常進行。
為保證實驗操作的順利進行,應根據各校實際情況合理制定實驗室管理制度,以便對人員,設備,安全等實施管理。
(1)學生在機房不能吃零食、抽煙;學生不能私自使用U盤等移動硬盤;需認真填寫好機器使用情況登記表。(2)加強對學生的教育,培養其良好的網絡使用習慣。如不去瀏覽不安全的網頁;不接受來路不明的郵件,附件應先下載,殺毒后再打開;不隨意打開QQ等即時通信軟件中彈出的超連接等。(3)在每臺學生機上安裝殺毒軟件并及時升級。(4)及時打上系統漏洞補丁。(5)有條件的可以通過視頻監控實驗室的設備安全,應保證實驗室的監控設備正常運行。(6)對系統核心數據進行備份,方便系統還原。(7)做好防火、防盜、防毒、防漏等安全工作。對水源、電源、火源必須必須細心檢查,嚴防死守,杜絕事故發生。(8)實驗設備在使用的過程中應注意保養維護,做好設備使用的檔案記錄,確保設備完好、安全和有效地使用,避免損壞,造成浪費。對已達到或超過使用年限的設備,按有關規定申請報廢或降級使用。(9)制定完善的實驗室管理規章制度并嚴格執行。
3.3 專業實驗室安全管理策略
3.3.1 物理安全
網絡應用實驗中需完成 DNS、DHCP、WWW、域控制器、郵件服務器等多種服務器的配置,并驗證服務器功能,查看運行效果;若在連網狀態下,會受到校園網上各服務器影響,建議不連接校園網,僅用交換機或路由器連接,構成星型拓撲結構的小型局域網即可。
統一規劃IP。建議默認使用靜態IP地址。根據具體需求可合理設置子網掩碼,劃分子網。也可基于交換機端口劃分VLAN。
3.3.2 用戶安全
根據實際情況,可對所有用戶進行劃分,如:實驗室管理員,教師,學生。并進行分級授權,避免出現越權操作。
管理員為每一級用戶設置一個賬號和密碼,通過身份驗證才能進行權限內操作。
3.3.3 其他安全策略
(1)IP安全策略??稍趯W生機上設置安全策略,關閉某些服務和端口,以減少遭受攻擊的機率。例如:禁止使用139端口。
第一步,點擊“開始”菜單/設置/控制面板/管理工具,打開“本地安全策略”,選中“IP安全策略,選擇“本地計算機”;再選擇“創建IP安全策略”。第二步,在IP安全策略“屬性”對話框中,添加新的篩選器。第三步,在“篩選器屬性”對話框中,設置源地址為“任何IP地址”,目標地址為“我的IP地址”;“協議”選擇“TCP”,設置“從任意端口到此端口(139),完成篩選器建立。第四步,選中“新IP篩選器列表”,設置“篩選器操作”為“阻止”。第五步、“指派”。激活該IP安全策略。
(2)端口重定向。如果默認端口不能關閉,可將它“重定向”。即把該端口重定向到另一個地址,這樣便可隱藏公認的默認端口,降低受破壞機率,保護系統安全。
例如可將遠程終端服務(Terminal Server)端口(默認是3389),重定向到另一個端口(例如1234),方法是:
1)在本機上(服務器端)修改。
定位到下列兩個注冊表項,將其中的PortNumber,全部改成自定義的端口(例如1234)即可:
[HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\Wds\rdpwd\Tds\tcp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\WinStations\RDP-Tcp]
2)在客戶端上修改。
依次單擊“開始程序附件通訊遠程桌面連接”,打開“遠程桌面連接”窗口,單擊“選項”按鈕擴展窗口,填寫完相關參數后,單擊“常規”下的“另存為”按鈕,將該連接參數導出為.rdp文件。用記事本打開并在文件最后添加一行:server port:i:1234
以后,直接雙擊這個.rdp文件即可連接到服務器的此自定義端口了。
4 結語
實驗室網絡安全管理同其他網絡安全管理一樣,沒有一勞永逸的方法。因此管理人員需對實驗室系統數據定期進行備份。根據實際情況,合理安裝并配置操作系統,網絡協議,殺毒軟件;合理禁止帳戶、服務、端口;關注校園網網絡安全動態,適時調整相關安全設置;設置審核機制,監視運行情況,及時修復系統異常。并定期進行硬件維護、軟件維護、網絡維護和日常維護,方能保證計算機實驗室系統的正常、穩定運行。
參考文獻
[1]石淑華,池瑞楠.計算機網絡安全技術(第3版) [M].人民郵電出版社,2012-8.
[2]袁津生,吳硯農.計算機網絡安全基礎(第4版) [M].人民郵電出版社,2013-7.
[3]王薇.內部網絡安全管理系統分析 [J]. 計算機光盤軟件與應用 .2011.
[4]張東輝,王曉宇.校園網絡安全問題及對策[J].華東科技,2011-3.
[5]周英.多域網絡安全管理系統策略一致性研究與設計[N].四川文理學院學報,2013-3.
[6]蒲天銀.計算機網絡環境下可達性研究關鍵技術分析[N].湖南科技大學學報,2013-6.
[7]章思宇.基于DNS的隱蔽通道流量檢測[N],通信學報.2013-5.
[8]鄧越萍.校園網的安全防范策略[N].山西煤炭管理干部學院院報,2013-5.
[9]王錦.基于PK工的校園網身份認證系統的設計與實現「J].科技創新導報,2011-3.
[10]喬振,喬麗平,陳曉紀.PK工技術在校園網身份認證系統中的應用研究[J].福建電腦,2012.07.
[11]李晉麗,段小波,王琳 . 基于過濾驅動的安全密碼框的研究與實現[J].軟件,2013-3.
[12]王薇.內部網絡安全管理系統分析[J].計算機光盤軟件與應用,2011-11.
篇9
【關鍵詞】信息系統;網絡安全;管理
隨著計算機技術的發展和計算機應用的普及,計算機技術逐漸從一門較為獨立的學科向多學科滲透,并成為其他學科和生產發展的基礎性工具和推動力量。在這種形勢下,計算機應用水平逐漸成為衡量大學生能力的一個重要標志。為了培養大學生對計算機的學習興趣,提高計算機的應用能力,各大學除了加大對計算機房及相應設施的投入,還采取了其他措施,以提高計算機及相關課程的教學水平和效果,同時為大學生提供一個較好的學習計算機知識的環境和條件。在此過程中,計算機機房是學生學習計算機知識的重要場所。從現實角度看,如果機房的管理跟不上就不能充分發揮其在教學中的作用[1]。
1.大學計算機機房的日常維護與管理的現狀
大學有信息管理、軟件技術、網絡技術、多媒體技術及動漫等專業,學生多,利用計算機教學的課程多,面向全校各系部各專業的教學。大學的計算機型號多、機器系統應用軟件多,而且每個機房均安裝有監控攝像頭系統,可通過網絡遠程監控錄像,配備有線網絡、無線網絡,設有多臺服務器。大學機房主要用來組織各級各類考試多:每年兩次的全國計算機等級考試、每年一次的會計從業資格考試、全市上教師計算機應用能力考試等。在網絡安全維護方面,大學每次開學前,根據教學要求,安裝相應的軟件 ,平時要進行系統軟件的安裝維護,每周據教師的課程進度,安排機房使用。晚間及雙休日向學生開放,大學一般是根據教學需要,開放或斷開互連網。
2.大學計算機機房的網絡安全維護的技術
目前,大學已自主編制機房管理系統軟件,可實現對班級課程上機申請、學生開機上課(考勤)、成績的統一管理。
2.1防火墻技術
網絡防火墻技術是“一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡技術?!彼鼘蓚€或多個網絡之間傳輸的數據包,如鏈接方式,按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。當前形勢下,堡壘主機、包過濾路由器、應用層網關(服務器)及電路層網關、屏蔽主機防火墻、雙宿主機等類型是現在的主要防火墻產品。
2.2加密技術
信息交換加密技術分為兩類:即對稱加密和非對稱加密,具體如下所述:
在對稱加密技術中,通常是用的一把鑰匙開把鎖,對信息的加密和解密都使用相同的密鑰。這樣有利于簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法,這樣更省心。
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存[2]。
3.計算機機房的日常維護與管理對策
大學計算機機房的各級領導、組織和部門工作人員不僅僅需要從思想上重視機房信息系統網絡安全這一問題,更需要從行動上加以重視,體現在學校的領導以及相關的工作人員應該定期學習相關知識,大學計算機機房可以舉辦相關講座,培訓,考試,考核等等內容,這樣既可以使工作人員學到更多的網絡安全知識,維護大學計算機機房的網絡安全,又可以豐富大家的生活,增強單位人員的集體責任心和安全感。同時,人員的管理和培訓應該制定具體的細則,用過對每一個操作員工安排網前培訓,這樣不僅僅可以讓他們熟悉入網的操作流程和相關的規章制度,同時還能夠增強操作人員的網絡安全知識和網絡安全的意識。此外,我們建議建立起日常操作規章制度、網絡安全的保密制度等等。大學計算機機房的網絡化管理已經是現代化管理不能夠缺少的系統工程,而且大學計算機機房的網絡化管理在大學計算機機房的日常工作中起著十分重要的作用,一定不能無視,網絡安全管理對大學計算機機房的日常正常運行起著越來越重要的作用。
眾所周知,整個大學計算機機房信息系統的運行的命脈就是網絡,全大學計算機機房工作是否可以正常的進行下去,就看網絡是否暢通無阻,所以網絡安全是大學計算機機房日常工作正常進行的保證和支持[3]。
第一,網絡硬件的安全。
平日在生活學習中,大多數人喜歡把注意力集中到非法入侵、惡意攻擊、病毒和其他涉及到軟件方面的威脅,以為這些是網絡的安全問題,其實不然,他們反而忽略了最重要的方面,就是網絡的硬件安全。
第二,網絡設計。
關于安全網絡設計的問題,建議在設計適合注意網絡設計缺陷和網絡設備選型缺陷對網絡安全的影響問題。網絡總體設計應以高性能、高可靠性、高安全性、良好的可擴展性、可管理性為原則,并采用模塊化的設計方法。網絡采用三層架構模式,即核心層、匯聚層和接入層。
第三,工作站上的安全措施。
目前,大多數的大學計算機機房都在使用Windows操作系統,但是也存在安全隱患,因為網絡用戶可以修改其中的網絡配置,這樣的安全問題不容無視。所以根據我們的使用狀況,應該將與網絡安全有關的設置運用到實際中去,應該進行相應的修改防護措施,這樣可以保證網絡的安全性。
【參考文獻】
[1]周建坤.基于模塊化的思想部署高校機房的研究[J].計算機光盤軟件與應用,2012,09.
篇10
關鍵詞:關鍵詞:計算機網絡;安全;隱患;建議
中圖分類號:TP393.08 文獻標識碼:A 文章編號:
1. 計算機網絡安全的主要隱患及攻擊的主要方式
1.1 計算機網絡安全的主要隱患
(1)當前許多計算機網絡用戶的個人計算機并未安裝相應的殺毒軟件及防火墻,這就導致用戶計算機非常容易受到計算機病毒的攻擊。
(2)當前許多計算機網絡用戶計算機的操作系統存在安全漏洞,計算機網絡木馬、病毒和黑客攻擊都會導致計算機受到威脅。由于計算機系統軟件方面的問題,用戶的計算機系統或多或少都存在著各種各樣的漏洞,計算機網絡又是開放共享的,從而導致接入計算機網絡的用戶會由于自身系統的漏洞而對于整個計算機網絡產生安全威脅,而流行于計算機網絡上的“震蕩波、沖擊波、尼姆達”等各種各樣的病毒都是利用系統的漏洞來進行病毒傳播的,這對于計算機網絡帶來了非常嚴重的安全隱患。
(3)當前許多計算機網絡用戶設置目錄共享導致信息的外泄。計算機網絡用戶通常會通過設置目錄共享的方式來進行文件傳輸,然而,大部分計算機網絡用戶卻并未充分認識到他們在設置目錄共享之后的后果,計算機網絡中的多臺計算機都能夠對共享目錄進行訪問,這就導致其共享的信息面臨著安全隱患。
(4)當前許多計算機網絡用戶的網絡安全意識不強,這就導致計算機網絡絡中頻繁出現黑客入侵他人計算機,盜用他人帳號非法使用網絡、非法獲取未授權的文件、通過郵件等方式進行騷擾和人身攻擊等事件經常發生、屢見不鮮。
1.2 進行計算機網絡安全的攻擊的主要方式
(1)計算機病毒攻擊方式。計算機病毒主要是利用計算機網絡和操作系統的薄弱環節來發起攻擊。在當前的計算機系統尤其是在視窗操作系統中都會有一定的安全漏洞,特別是在計算機網絡系統軟件方面也都有一定的安全漏洞。所以,計算機病毒就會通過計算機軟件的破綻以及開發的過程中由于程序員的疏忽而留下的“后門”而大肆發起對計算機網絡的攻擊。
(2)網絡攻擊方式。網絡攻擊方式具有非常強的破壞力,主要包括電子郵件攻擊、利用黑客軟件攻擊、拒絕服務攻擊等幾種。其中,拒絕服務攻擊最為常見,這是一種通過攻擊計算機主機、服務器、路由器、交換機等網絡設備,導致被攻擊的網絡不能夠繼續提供服務的網絡攻擊方式。通常情況下,拒絕服務攻擊表現為攻擊者向被攻擊網絡發送巨量的數據導致其資源被消耗殆盡,從而導致用不能夠進行訪問,因此造成了拒絕服務的局面。
2. 從管理的角度加強計算機網絡安全的建議
2.1 加強計算機網絡用戶的法制教育和德育教育
計算機網絡用戶在使用計算機的過程中出于興趣和好奇而進行的相應的操作和驗證,會給計算機網絡的管理和監測造成許多困難。怎樣去正確引導計算機網絡用戶就成為我們工作的重點之一,作為計算機網絡管理人員,一定要想方設法加強計算機網絡用戶的法制教育和德育教育。
2.2 計算機網絡管理員應該做好計算機操作系統權限管理以及密碼管理
計算機網絡管理員應該在保證計算機網絡安全可靠運行的前提條件下,按照用戶的實際需要,為所有的用戶設置賬戶、密碼和分配不同的網絡訪問權限,保證用戶只能夠在其特定的權限范圍內進行計算機網絡的訪問,避免非法用戶的訪問。同時,計算機網絡管理員應該以IP為目標或以注冊的用戶名為目標限制非法用戶的網絡訪問,監控在線用戶的網絡訪問,能責任落實到人。
3. 從技術的角度加強計算機網絡安全的建議
3.1 安裝防火墻,合理設置訪問控制列表
在與計算機網絡相連接的每一臺計算機上,都必須安裝防火墻,將防火墻作為內外網之間的一道牢固的安全屏障。在安裝配置防火墻的過程中,一定要嚴格遵守下面的方法,從而確實保證計算機網絡的安全:
(1)按照計算機網絡安全策略和安全目標,規劃設置正確的安全過濾規則,對于IP數據包的下列內容進行審核:端口、源地址、協議、目的地址、流向等,嚴格禁止來自非法用戶的入侵??傮w上遵從“不被允許的服務就是被禁止”的原則。
(2)禁止對于HTTP、FTP等一系列的系統級別的服務的訪問。計算機網絡內部的計算機僅僅可以對于文件、打印機共享服務進行訪問。使用動態規則管理,允許授權運行的程序提供服務,比如網絡游戲或者視頻語音電話軟件提供的服務,嚴格禁止未授權的服務。
(3)對于在計算機網絡中的所有用戶,都必須科學合理的設置他們在計算機網絡中的IP地址,從而保證防火墻系統真正識別出數據包的來源,進一步確保計算機網絡中的所有用戶都能夠正常使用HTTP、FTP等服務。
(4)計算機管理員對于防火墻訪問日志要定期進行查看,及時發現各種各樣的網絡攻擊行為以及不正常的網絡訪問日志信息,并且采取有效的措施來予以應對。
(5)允許通過配置網卡來合理安裝配置防火墻,大幅度提升防火墻管理的安全性。
另外,為了真正確保計算機網絡的安全,一定要在進行防火墻的安裝的過程中,合理設置訪問控制列表,從而有效地限制外來訪問和對外訪問,能夠禁止無關的對外訪問,避免不必要的對外訪問,達到節約計算機網絡帶寬、防范于未然的目的。
3.2 采用入侵檢測系統
入侵檢測系統是防火墻的合理補充,幫助系統對付網絡攻擊,擴展計算機網絡管理員的安全管理能力,能夠在最大限度上保證計算機網絡的安全。入侵檢測系統可以實時捕獲在計算機網絡中傳輸的數據,可以通過其內置的攻擊特征庫,并且通過模式匹配和智能分析的方法,及時發現計算機網絡中存在著的各種各樣的入侵行為和異常現象,并且進行詳細的記錄。與此同時,入侵檢測系統也能夠進行實時報警,以便計算機網絡管理員可以迅速發現問題并且解決問題,從源頭上遏制計算機網絡安全隱患的發生。
3.3 計算機網絡管理員應該定期監測系統日志
計算機網絡管理員應該定期查看系統日志記錄,從而能夠及時有效地發現問題并且解決問題。對于系統日志,要求除系統管理員外其他所有人都不能夠進行刪除等操作,并且對于重要的日志記錄以及計算機網絡安全解決策略一定要進行記錄并且備案,以備下次出現同樣的問題的時候能夠借鑒以前的經驗。
3.4 計算機網絡管理員應該定期對服務器進行備份與維護
為了防止出現不可預知的計算機網絡故障或者用戶無意之中的非法操作,計算機網絡管理員應該必須定期備份服務器上的重要系統文件,比如操作系統盤、用戶賬號等。文件資料可以用RAID方式進行每周備份,重要的資料必須保存在另外的服務器上或者備份在光盤中。計算機網絡管理員應該定期監視服務器上資源的使用情況,將過期和無用的文件及時刪掉,從而保證服務器能夠高效運行。
3.5 合理運用身份認證技術
通過合理運用身份驗證技術,能夠最大限度地避免由于非法用戶的登陸對計算機網絡進行惡意破壞的問題的發生。在用戶對于計算機網絡中的任何信息進行訪問之前,一定要要求用戶提供有效的 Microsoft Windows用戶帳戶、用戶名和密碼,實現“身份驗證”。另外,也可以在計算機網絡的FTP站點、目錄或文件級別分別設置適當的身份驗證方式,也能夠使用Internet信息服務(IIS提供的)身份驗證方法來控制用戶的操作,切實保證計算機網絡的安全。
4. 結束語
計算機網絡的建設與應用,極大地豐富和完善了各種各樣的信息資源,拓寬了人們獲取資源的渠道,方便了人們的工作、生活和學習。在今后的工作中,仍然需要進一步搞好計算機網絡的建設,保證計算機網絡的安全。
參考文獻:
[1] 徐誠. 淺論局域網安全管理[J]. 信息與電腦(理論版),2010,(01) .
[2] 李桂巖,魏賓. 計算機信息安全問題及對策[J]. 科技風,2008,(01) .
[3] 羅新華. 淺析計算機病毒的危害及防范[J]. 科技資訊,2010,(03) .
[4] 熊英. 計算機網絡安全管理研究[J]. 科技風,2010,(21) .
[5] 石曉玉. 淺析計算機網絡安全[J]. 科技情報開發與經濟,2010,(24) .
[6] 劉洋. 淺談校園網安全隱患及應對策略[J]. 華章,2011,(07) .
[7] 汪海洋. 淺談提升局域網安全的策略[J]. 才智,2011,(08) .
- 上一篇:網絡安全學習路徑
- 下一篇:國內消費情況調查報告