構建網絡安全防護體系范文
時間:2023-09-18 17:58:44
導語:如何才能寫好一篇構建網絡安全防護體系,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:網絡信息;安全;防護體系
1 網絡信息安全內容和技術防范原則
1.1 網絡信息安全內容
網絡信息安全主要是指網絡系統的硬件、軟件及其體系中材料得到維護,不受有時的或者惡意的因素而受到宣泄、損害、改動,體系能夠穩固正常的運轉,網絡服務不會出現中斷。在網絡信息工作中所面對的破壞分為兩種,一種是惡意的,一種是有時的,惡意的又能夠分為主動以及被動這兩種。主動突擊主要是更改數據庫或者建造不正確的數據庫,主要包含切斷、攔截、更改、造假、仿造改動資料以及拒絕服務等;被動突擊主要是窺伺或者偷聽,最主要就是想要得到正在輸送的材料。被動突擊會宣泄出材料狀況以及材料量等。按照電腦網絡所面對的脅迫,電腦網絡主要做好下面四個關鍵的部分:隱蔽;辨別;訪問掌控;病毒預防。
1.2 網絡信息安全技術操作防范原則
1.2.1 買進的新軟件與硬件必須進行檢測后使用。
1.2.2 進行系統啟動時,采用硬盤進行啟動。
1.2.3 重點的計算機需要進行獨立盤、獨立人、獨立機器、獨立使用的保護,在這種狀態下病毒不會自動滋生。
1.2.4 對于重要的文件進行定期的備份工作。
1.2.5 在發郵件或者是進行網聊的時候,附件不要輕易的接收,互聯網中的軟件用不著的避免下載。在可執行的文件與辦公文檔里面的病毒卸載量是很高的,減少下載。就算是下載完成了,還必須使用新型的殺毒軟件進行病毒的查殺。
1.2.3 下載并安裝官方的殺毒軟件,定期升級。
1.2.7 下載安裝病毒的防火墻,從根本上保障計算機系統與網絡不受病毒危害。
2.1 加強網絡安全的層次模型
ISO定義了OSI/RM七層網絡參考模型,不同的網絡層次完成不同的功能。從安全角度來看,各層能提供一定的安全手段,針對不同層次的安全措施是不同的。沒有哪個層次能夠單獨提供全部的網絡安全服務,每個層次都有自己的貢獻。
2.2 加強網絡安全防火墻的功能
所謂的防火墻不是真正意義上的墻,這是在對訪問進行控制的一種方法,這是屬于安全模式狀態下,也是整個結構的安全性能的重要組成部分,其作用是阻擋內外的不安全的訪問以及危險數據的交流。在互聯網中,它能夠隔離出互聯網中有風險性的網絡與內部網絡之間的連接,這樣就有效的加強了內部網絡整體的安全性能。二零一零防火墻用途就是在網絡的接入處對其通訊的數據進行檢查,受到了企業安全政策的控制,進行拒絕或允許或是檢測的情況下的互相交換的信息,其防火墻自身就是有高抗攻擊的,在對網絡數據交換與訪問過程進行檢測與控制,這樣對網絡的安全也是一個保障,有以下集中功能:有著數據在進出互聯網的過濾作用,對網絡進出訪問做一個集中的管理,檢查出非法訪問的行為,對其內容與活動進行記錄,針對網絡攻擊有著檢測與警告的作用。
通常防火墻具有以下功能:過濾進出的數據;管理進出的訪問行為;封堵某些禁止的業務;記錄通過防火墻的信息內容和活動;對網絡攻擊進行檢測和報警。網絡級防火墻可以將從數據包中獲取的信息(源地址、目標地址、所用端口等)同規則表進行比較。在規則表中定義了各種規則來表明是否同意或拒絕包的通過。網絡級防火墻檢查每一條規則直至發現包中的信息與某規則相符。應用級防火墻又稱為應用級網關,它的另外一個名字就是服務器。網絡級防火墻可以按照IP地址禁止外部對內部的訪問,但不能控制內部人員對外的訪問。服務器隔離在風險網絡與內部網絡之間,內外不能直接交換數據,數據交換由服務器“”完成。
2.3 加強虛擬專用網VPN技術
VPN就是虛擬專用網絡,是伴隨著互聯網的前進而飛速壯大起來的一種措施。在現代化單位的經濟往來活動中以及售前售后的工作中都會越來越多的使用到互聯網技術,甚至在培訓以及合作中都會使用到。很多單位都慢慢的使用互聯網架設到原有的私有網絡中。這種使用互聯網來輸送私有資料慢慢構成的邏輯網絡就是VPN。
隧道措施。隧道措施基于互聯網為根本,在互聯網的各項根本設備中傳輸信息的方法。數據資料或者負荷運用隧道的方式進行輸送可以是不一樣的條約數據幀或者數據包。隧道協議把別的協議的數據幀或者數據包再次進行封裝然后再進行輸送。新的幀頭供應路由數據,進而能夠傳遞再次進行封裝進行輸送的數據經過網絡進行輸送。
加解密技術。對通過公共互聯網絡傳遞的數據必須經過加密,確保網絡其他未授權的用戶無法讀取該信息。加解密技術是數據通信中一項較成熟的技術,VPN可直接利用。
密鑰管理技術。密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則,在網絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用、私用。使用者與設備身份認證技術。VPN方案必須能夠驗證用戶身份并嚴格控制只有授權用戶才能訪問VPN。
2.4 完善網絡信息安全機制
探索電腦網絡安全的系統構造,就是探索怎樣能夠從管制以及措施上確保網絡的安全性能夠準確完好的完成,網絡對于安全方面的需要能夠獲得滿足。一定要增強網絡在安全體制方面的建造,主要包含加密體制、數字簽名體制、訪問掌控體制、數據全面性體制、辨別交換體制,信息交流玉傳遞填充體制,路由掌控,公證體制。
2.5 網絡安全政策法規與標準
如今,中國的標準信息安全條例有包括國內外的100多條。信息的安全規范也是對于信息保障結構的不可缺少的一部分,也是政府在宏觀調控上的憑證。信息安全是國家安全的必然要求,也是對于我國利益維護的重要舉措,做好了信息的安全就能夠提高網絡上安全產品可信的程度,使產品之間實現互聯與安全操作,為計算機的安全提供了有效的保障。王麗香(2004)網絡的信息安全問題已經引起全社會的普遍關注,為了興利除弊,使網絡健康發展,維護國家安全和社會共公利益,可以借助法律力量,可以利用法律所具有的嚴肅性、強制性、不可侵犯性等特點,強有力地規范約束社會上種種不利于網絡安全的行為。為防治網絡違法、有害信息的傳播,制止網絡犯罪提供了法律依據。
2.6 加強網絡安全管理
在信息安全方面出現威脅百分之六十以上的原因是因為管制不當產生的。網絡體系的安全管制主要由于三個準則:多人承擔準則,擔任時間有限準則,職責相互獨立準則。李亮提出增強網絡內部管制工作者以及操作者的安全思想,許多電腦體系大多使用口令密碼進行掌控體系中的資源查詢,這是在預防病毒入侵的措施中,最簡便容易的辦法之一。網絡管制工作者以及終端操縱工作者按照自己的工作內容,選用不一樣的賬號密碼,對運用軟件數據開展健康合理的操縱,避免顧客搜索到跨級別的內容。
參考文獻
[1]彭 ,高 .計算機網絡信息安全及防護策略研究[J].計算機與數字工程,2011,(1):121-124.
篇2
關鍵詞:當前網絡;安全評估;防護體系構建
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 21-0000-02
網絡技術發展猶如一把雙刃劍,在為人類社會經濟發展帶來便捷的同時,也造成了一定的妨礙,尤其是網絡具有開放共享、聯接形式多樣、終端分布不均以及易受侵襲的特性,使得網絡安全始終存在一定的隱患。步入信息時代,企業對網絡的依賴程度逐漸加深,日常辦公活動甚至是經濟運營都需要通過網絡才能實現。而隨著網絡技術的不斷進步,妨礙網絡安全的因素也在不斷增多,對企業所造成的危害也越來越大。應對當前企業計算機網絡安全問題進行深入分析,構建并完善有效的網絡安全體系,為維護企業利益、促進企業發展做出積極的努力。
1 網絡安全的內涵及其特征
網絡安全是指網絡系統的軟件、硬件以及系統中的數據受到充分保護,不因任何原因而遭受到破壞、更改和泄露,計算機系統得以維持連續、可靠、有效地運行,網絡服務不中斷。在安全狀態下,計算機網絡系統具有可靠、可用、可控、保密等特征。從狹義來說,網絡安全就是維護存儲在網絡上的信息安全;從廣義來說,凡是與網絡信息的完整性、保密性、真實性和可控性的相關理論和技術都是網絡安全問題。因此,網絡安全是一門涉及到網絡技術、通信技術、計算機技術、密碼技術、信息安全技術等多種學科的綜合性科學。歷史實踐證明,科學技術的進步將會為人類社會生活中的各個領域都帶來重大影響。現代計算機及網絡技術的快速發展,尤其是Internet的出現,使得信息的最廣泛交換和共享成為現實。但伴隨著信息共享所帶來的巨大益處,信息在網絡上存儲、傳輸的同時,也可能受到竊取、篡改和毀壞,甚至可能會導致無法估量的損失。
2 企業計算機網絡所面臨的威脅
當前,大多數企業都實現了辦公自動化、網絡化,這是提高辦公效率、擴大企業經營范圍的重要手段。但也正是因為對計算機網絡的過分依賴,容易因為一些主客觀因素對計算機網絡造成妨礙,并給企業造成無法估計的損失。
2.1 網絡管理制度不完善
網絡管理制度不完善是妨礙企業網絡安全諸多因素中破壞力最強的。“沒有規矩,不成方圓。”制度就是規矩。當前,一些企業的網絡管理制度不完善,尚未形成規范的管理體系,存在著網絡安全意識淡漠、管理流程混亂、管理責任不清等諸多嚴重問題,使企業相關人員不能采取有效措施防范網絡威脅,也給一些攻擊者接觸并獲取企業信息提供很大的便利。
2.2 網絡建設規劃不合理
網絡建設規劃不合理是企業網絡安全中存在的普遍問題。企業在成立初期對網絡建設并不是十分重視,但隨著企業的發展與擴大,對網絡應用的日益頻繁與依賴,企業未能對網絡建設進行合理規劃的弊端也就會日益凸顯,如,企業所接入的網絡寬帶的承載能力不足,企業內部網絡計算機的聯接方式不夠科學,等等。
2.3 網絡設施設備的落后
網絡設施設備與時展相比始終是落后。這是因為計算機和網絡技術是發展更新最為迅速的科學技術,即便企業在網絡設施設備方面投入了大筆資金,在一定時間之后,企業的網絡設施設備仍是落后或相對落后的,尤其是一些企業對于設施設備的更新和維護不夠重視,這一問題會更加突出。
2.4 網絡操作系統自身存在漏洞
操作系統是將用戶界面、計算機軟件和硬件三者進行有機結合的應用體系。網絡環境中的操作系統不可避免地會存在安全漏洞。其中包括計算機工作人員為了操作方便而主動留出的“后門”以及一些因技術問題而存在的安全隱患,一旦這些為網絡黑客所了解,就會給其進行網絡攻擊提供便利。
3 網絡安全防護體系的構建策略
如前所述,企業網絡安全問題所面臨的形勢十分嚴峻,構建企業網絡安全防護體系已經刻不容緩。要結合企業計算機網絡的具體情況,構建具有監測、預警、防御和維護功能的安全防護體系,切實保障企業的信息安全。
3.1 完善企業計算機網絡制度
制度的建立和完善是企業網絡安全體系的重要前提。要結合企業網絡使用要求制定合理的管理流程和使用制度,強化企業人員的網絡安全意識,明確網絡安全管護責任,及時更新并維護網絡設施設備,提高網絡設施的應用水平。如果有必要,企業應聘請專門的信息技術人才,并為其提供學習和培訓的機會,同時,還要為企業員工提供網絡安全的講座和培訓,引導企業人員在使用網絡時主動維護網絡安全,避免網絡安全問題的出現。
3.2 配置有效的防火墻
防火墻是用于保障網絡信息安全的設備或軟件,防火墻技術是網絡安全防御體系的重要構成。防火墻技術主要通過既定的網絡安全規則,監視計算機網絡的運行狀態,對網絡間傳輸的數據包進行安全檢查并實施強制性控制,屏蔽一些含有危險信息的網站或個人登錄或訪問企業計算機,從而防止計算機網絡信息泄露,保護計算機網絡安全。
3.2 采用有效的病毒檢測技術
計算機病毒是指編制或在計算機原有程序中插入的能夠破壞系統運行或破壞數據,并具有自我復制能力的計算機指令或程序代碼。病毒是對網絡造成最大威脅的因素,要采用一些有效的病毒檢測及反應技術,及時檢測到病毒并對其進行刪除。
3.3 其他網絡安全技術
其他的網絡安全技術包括密碼更改、網絡加密技術和IP 隱藏技術等。密碼更改是網絡用戶應具備的一項安全意識,要定期或不定期對自己的賬戶密碼進行修改,設置密碼保護問題,以預防密碼泄露;機密技術是指通過將存儲在計算機網絡上的重要信息改變為密文來防止被竊取和泄露;IP隱藏技術是隱藏用戶計算機的IP地址,避免網絡黑客采取特殊的網絡探測手段獲取用戶IP來確定攻擊目標,以上都是確保網絡安全的重要手段。
計算機及網絡技術的進步推動了信息時代的發展進程,在人類社會的各個領域都引起了一系列影響深刻的革命。但伴隨著網絡規模的逐步擴大和更加開放,網絡所面臨的安全威脅和風險也變得更加嚴重和復雜,企業計算機網絡受到威脅行為日益增多。為了保障企業計算機網絡安全,必須強化信息應用安全意識,及時了解網絡中出現的安全問題,規范計算機網絡使用行為,加強網絡基礎設施建設,提高設備設施應用水平,構建起有效的網絡安全防護體系,維護企業的網絡安全和合法權益。
參考文獻:
[1](美)Michael·Erbschloe著,常曉波等譯.信息戰一如何戰勝計算機攻擊[M].北京:清華大學出版社,2002.
[2]姚顧波,劉煥金等著.黑客終結——網絡安全完全解決方案[M].北京:電子工業出版社,2003.
篇3
關鍵詞:電力企業;信息網網絡安全;層次式防護體系
中圖分類號:TN915.08
網絡信息安全的問題主要包括了網絡系統的硬件、軟件及其系統中重要數據受到保護,受突發或者惡意的因素而遭到破壞、更改、泄露,系統能夠正常地運行,網絡服務不中斷等諸多方面。企業要想做好信息網網絡安全就需要構建一個層次式防護體系,這個防護體系能夠有效的解決企業信息網網絡安全所面臨的各種問題,給企業一個良好的網絡環境。
1 信息網絡安全層次式防護體系的防護模式
結合電力企業的實際情況,按照層次式防護體系的防護模式,可將電力企業的網絡信息安全分為七大模塊,分別是入侵檢測、環境與硬件、防火墻、VPN(虛擬專用網)、隱患掃描、病毒防范、PKI(公開密鑰基礎設施)。
1.1 環境與硬件、防火墻
環境與硬件以及防火墻為層次防護模式的第一、二層,是對系統安全要求比較高的電網運行與安全穩定的控制,還包含了電網調度自動化、繼電保護等實時網絡,使用防火墻隔離網關設備來連接信息網絡,這樣就可以獲取實時的系統數據,不過這樣仍有一個小的缺陷,就是不可能直接或間接的修改實時系統的數據,所有需要采用硬件防火墻互聯的信息網絡與實時網絡之間在物理網絡層的隔離,這樣就能從根本上防護非法用戶的入侵。
另外,也可在信息網的Internet接入口處安裝防火墻,這種防火墻主要防止來自外部的攻擊,而且企業內各機構之間的仍有全面的安全防火墻,目前幾乎所有的電力企業信息網大都建立了這兩層防護措施。不過防火墻對于一些利用合法通道而展開的網絡內部攻擊顯得無能為力。因此,盡管開發防火墻能夠初步具備入侵的檢查功能,但是防火墻作為網關,很容易就成為網絡防護發展的頸瓶,不適合做過多的擴展研究。因此,還需要和層次式防護的第三層入侵檢測等相關工具聯合起來運用,這樣就能提高整個網絡的安全。
1.2 入侵檢測(IDS)
整個防護體系的第三層防護便是入侵檢測,入侵檢測不屬于網絡訪問控制設備,對通訊流量沒有任何限制,采用的是一種通過實時監視網絡資源(系統日志、網絡數據包、文件和用戶獲得的狀態行為),主動分析和尋找入侵行為的跡象,屬于一種動態的安全防護技術。一旦被檢測到入侵情況就會立即進行日志、安全控制操作以及警告等操作,給網絡系統提供內、外部攻擊以及一些失誤進行安全防護。像CA公司的eTrustIntrusionDetection程序就是通過自動檢測網絡數據流中潛在的入侵、攻擊和濫用方式等,為網絡系統提供了先進的網絡保護功能。同時還能在服務器及相關業務受到影響時,按照預先定義好的策略采取相應的措施。
1.3 隱患掃描
防護體系的第四層防護便是隱患掃描,隱患掃描是一個全自動化的網絡安全評估軟件,它以黑客的視角對被檢測的系統進行是否承受攻擊性的安全漏洞以及隱患掃描,同時還能夠查到可能危及網絡或系統安全的弱點,從而提出相應的維修措施,提交詳細的風險評估報告。最可觀的地方在于它能夠先于黑客發現并彌補漏洞,從而防患于未然,能夠預防在安全檢查中暴露出存在網絡系統中的安全隱患,然后配合有效的修改措施,將網絡系統中運行的風險降至最低。
隱患掃描系統的主要應用在不同的場合和時宜,第一,對信息網作出定期的網絡安全自我檢測和評估。網絡管理員能夠定期的進行網絡安全檢查服務,以最大可能限度的消除安全隱患,盡可能的發現漏洞然后進行修補,從而優化資源、提高網絡的運行效率;第二,網絡建設以及網絡改造前后的安全規劃以及成效檢測。配備隱患掃描系統能夠方便的進行安全規劃評估和成效檢測;第三,網絡安全隱患突發后的分析。網絡安全隱患突發后可以通過掃描系統確定網絡被攻擊的漏洞所在,然后幫助修補漏洞,能夠提供盡可能多的資料來方便調查攻擊的來源。第四,重大網絡安全事件發生前的準備,重大網絡安全事件發生以前,掃描系統能夠及時的幫用戶找出網絡中存在的漏洞,并及時將其修補。
1.4 虛擬專用網(VPN)
防護體系的第五層就是虛擬專用網,其主要為電力企業上下級網絡和外出人員訪問企業網絡時提供一條安全、廉價的互聯方式,再加上防火墻和IDS的聯動關系,這就使得VPN的網絡安全性大大的得到保障,VPN的網絡安全性也就得到了保證。不過,目前雖然實現VPN的網絡技術和方式比較多,但不是所有的VPN均可以保證公用網絡平臺傳輸數據的安全性和專用性。一般情況下是在非面向連接的公用IP網絡上建立一個具有邏輯的、點對點的連接方式,這種方式稱之為建立隧道。隨后就可以利用加密技術對隧道傳輸的數據進行加密,這樣就能保證數據只能被發送給指定的接收者,這樣極大的保證了數據的隱私性。
1.5 PKI(公開密鑰基礎設施)
PKI作為防護體系的第六層具有一個廣泛的接收標準,用來保護用戶的應用和數據安全,許多安全應用的安全標準通過PKI都有了適應的安全標準。CA公司的eTrustPKI是個比較普遍的基礎設施,具有許多獨特的特點,如能夠優化企業內部的部署、簡化管理、其擴展性比較好、有可選擇的相關硬件支持。
1.6 對病毒的防范
對病毒的防范是防護體系最后一層,其廣泛的定義在于防范惡意代碼、包括蠕蟲、密碼、邏輯炸彈以及其他未經許可的軟件,防范病毒系統對網關、郵件系統、文件服務器等進行病毒防范,這就要求病毒防范系統做到對病毒代碼的及時更新,并保持對病毒的查殺能力。同時,當防病毒與防火墻一起聯動時,病毒防護系統會自動通知防火墻進行相關修改。
2 對層次式安全防護體系的規范管理
層次式安全防護體系的構建是一個復雜的系統工程,包含了人力、技術、以及操作等幾大要素,在整個防護體系的運行中,最重要是需要規范操作人員的各種專業技術操作,需要建立一道信息安全管理制度來防止安全防護系統在運行過程中因為內部人員出現差錯而導致的各種網絡漏洞和安全隱患,其中建立規范的管理制度應考慮以下幾點:第一,建立對應的事故預防和應急處理方案,每天都要例行檢查備案;第二,制定嚴格的防護系統運行操作制度,對網絡設備、存儲設備以及服務器等重要部件的運行操作制定標準的操作制度,相關工作人員都必須參與進去;第三,強化對工作人員的安全教育和培訓,做好及時的安全工作;第四,建立日志式的管理制度,對每位用戶的操作和行為都以日志的形式記載在案,并進行及時的跟蹤調查和審計工作。
3 結束語
網絡安全防護是一個動態的系統工程,構建網絡安全防護體系能夠有效保護電力企業信息網的安全,其中采取層次式安全防護體系,更是有效的將各個層次安全構建有機的結合在一起,從而提高了整個網絡的安全性。
參考文獻:
[1]黨林.電力企業信息系統數據的安全保護措施分析[J].電子技術與軟件工程,2013(17).
[2]李志茹,張華峰,黨倩.電網企業信息系統安全防護措施的研究與探討[J].電力信息化,2012(04).
篇4
學校信息管理系統受到來自外部的攻擊等惡意行為,部分系統在受到黑客等外部入侵或者攻擊后,可能變為黑客利用的工具,然后再次攻擊其它計算機。而學校信息系統的內部攻擊主要是內部用戶的不當行為,內部用戶的嘗試授權訪問、探測預攻擊等行為,如Satan掃描等都可能影響到校園網絡的正常運行。1.4資源濫用和不良信息的傳播校園網中的一些內部用戶濫用網絡資源,如利用校園網下載商業資料等,這樣就讓大量校園信息資源被占用。同時一些用戶會在有意識或者無意識的情況下,在校園網絡中傳播不良信息,或者發送垃圾郵件,這些行為都增加了安全隱患。
2學校信息管理系統的安全防護體系模型
學校信息管理系統的安全建設屬于一個系統而復雜的工程,需要根據信息系統的實際需求,構建動態的安全防護體系調整策略。信息系統的安全建設過程不屬于單純的技術問題,也并非將技術與產品簡單堆砌在一起,而是需要我們積極轉變思想觀念,綜合策略、技術和管理等多方面的因素,進一步形成動態的、可持續發展的過程。學校信息管理系統的主要服務對象是教學和學生,而大學生是網絡中十分活躍的群體,因此,構建校園網絡信息安全防護體系是十分必要的。本文結合P2DR模型,構建出了一個動態、多層次的校園網絡信息安全防護體系模型如圖1所示。計算機系統中會出現很多新的漏洞,新的病毒以及黑客攻擊手法也不斷涌現,同時校園網絡自身也是動態變化的,因此,在構建好一個校園網絡信息安全防護體系后,網絡管理者必須對該防護體系進行實時更新,并定期進行維護,以此保障該防范體系的穩定運行,進而保障校園網絡的安全性和有效性。在校園網絡信息安全防范體系中,將安全策略作為中心內容,而安全技術為該體系提供支持,安全管理是一種執行手段,并積極開展安全培訓,提高用戶的網絡信息安全意識,以此讓安全防范體系得以不斷完善。在這個信息安全防范體系中,安全策略是最為基礎和核心的部分,它可以在檢測、保護等過程中指導和規范文件。可以說該體系中所有活動的開展實施,都是在安全策略的架構下完成的。安全技術為信息安全的實現提供了支撐,其中涵蓋了產品、工具和服務等內容。信息系統中常用的安全技術有入侵檢測、漏洞掃描和系統防火墻等,這些技術手段是安全防范體系中較為直觀的構成部分,也是其中必不可少的內容,缺少了任何一項都有可能引發巨大的威脅。由于學校的資金等條件有限,在構建安全防范體系過程中,對于部分技術無法及時部署,這時候就需要以安全策略作為參考,制定合理的實施方案,讓所有的安全技術構成一個有機整體。
3建設校園網絡信息安全防護體系的目標與策略
3.1網絡信息安全防護體系的建設目標
根據學校信息管理系統中存在的安全問題,綜合考慮安全策略、技術和管理等多方面的內容,制定出一個動態的信息安全防范方案,并根據該方案構建安全、穩定、易于管理的數字化校園,保障學校信息管理系統的正常運行,這就是網絡信息安全防護體系的建設目標。具體來講,就是首先提高學校主干網絡的穩定性,以此保障校園信息系統的可靠性。其次,不斷完善學校網絡信息安全管理體制,運用有效的安全防護手段,嚴格控制訪問并核實用戶身份,確保信息的保密性和真實性。第三,避免校園網絡中內部或者外部的攻擊、破壞,維護系統的穩定、安全運行。第四,在保障安全的基礎上,防護體系應該盡可能地為系統的各項應用提供便利,全網的身份認證應該統一,并對角色訪問進行適當控制。第五,構建穩定、安全和操作性強的網絡信息平臺,為學校的管理、教學等活動提供支撐。
3.2網絡信息安全防護體系的建設策略
結合相關的安全防范體系模型,我們可以從安全策略、技術和管理等方面開展安全防護體系的建設工作。安全策略是建設工作的核心內容,所有的工作都應該以此為參考。在建設過程中,首先應該制定總體的安全防護體系建設方針,然后構建網絡信息安全防范體系,并在這個基礎上制定相關的網絡安全策略,如病毒防護、系統和數據安全等。在這個過程中為了確保安全策略的順利實施,也需要制定相應的安全管理體制,并給出規范的操作流程。
4校園網絡信息安全防護體系的總體架構
4.1劃分安全區域
在網絡信息安全防護體系的建設過程中,分層和分區防護是其較為基本的原則,要想保障信息安全防護體系的完整性,應該綜合考慮安全防護層次和區域這兩個方面。根據校園信息管理系統的實際需求,可以把安全防護體系劃分為5個安全區域(如下圖2),然后根據每一個安全區域的具體特征,制定相關的安全防護策略。在每一個劃分的安全區域中,其安全防護也可以分為物理、系統、應用和數據安全這5個層次。
4.2互聯網邊界和校園骨干網安全區域的架構
為了保障互聯網邊界和校園骨干網中數據的可靠傳輸,以及保障各項業務的正常運作,可以根據網絡的實際需求,將雙核心冗余結構應用于核心交換設備中,讓核心交換設備與每一個匯聚交換設備實現雙上聯。將帶寬管理設備、防火墻和鏈路負載均衡設備設置在互聯網邊界上,并在防火墻的隔離區設置域名解析和郵件服務等公共服務器。首先將防DDoS設備設置于外部網絡中,以此避免校園網絡以及內部用戶受到外界攻擊;將基于端口的地址轉換應用于互聯網的出口,這樣外部用戶就得不到真實的內部用戶地址;在系統數據中心防火墻的隔離區放置公共服務器。
4.3校園數據中心安全區域的架構
根據學校建設數字化校園的實際情況,以及信息系統各服務器之間的關系,可以將校園數據中心劃分為多個安全子區域,如應用服務器外區和內區、公共服務器區和數據庫服務區。其中公共服務器中有電子郵件、Web等重要服務器,因此需要配備2臺以上檔次相同的物理服務器,服務器的高性能主要通過系統的負載均衡設備來體現。在防火墻的隔離區設置校園托管服務器,以避免外部用戶的訪問。要想將校園數據中心網絡和校園網連接起來,需要經過核心交換機中的虛擬防火墻,防火墻隔離區的公共服務器能夠為外部網絡提供服務,并可以保護網絡免受外界攻擊。數據中心的服務器可以通過負載均衡設備來均衡負載,以此優化網絡服務,并發揮安全冗余的作用;由IPS實現對網絡攻擊的阻斷,防止超文本傳輸服務器在統一身份認證等過程中外部用戶的訪問。
5結語
篇5
【關鍵詞】網絡;數據;安全
2012年開始,某企業啟動了企業網絡安全優化工程。目的是為了實現在企業系統內,進行一體化管理,實現各分支網絡之間互聯互通。項目重點是建設好綜合數據網絡,實現所屬單位局域網及廠、站信息傳輸通道全面接入;形成該企業綜合業務處理廣域網絡。同時還將進一步建設專門的調度數據網絡,實現“專網專用”,從而確保生產安全有序的開展。該企業生產、辦公等各個領域當中,無論是企業內部管理還是各級機構間的遠程信息交互,都將建立在網絡基礎之上,而通過網絡進行交互的信息范圍也涵蓋了包括生產調度數據、財務人事數據、辦公管理數據等在內的諸多方面,在這樣的前提下,進一步完善企業網絡架構,全局性和系統性地構建網絡安全體系,使其為企業發展和信息化提供有力支持,已成為當前需要開展的首要工作之一。
1.網絡安全技術架構策略
網絡安全建設是一項系統工程,該企業網絡安全體系建設按照“統一規劃、統籌安排、統一標準、相互配套”的原則組織實施,采用先進的“平臺化”建設思想、模塊化安全隔離技術,避免重復投入、重復建設,充分考慮整體和局部的關系,堅持近期目標與遠期目標相結合。在該企業廣域網絡架構建設中,為了實現可管理的、可靠的、高性能網絡,采用層次化的方法,將網絡分為核心層、分布層和接入層3個層次,這種層次結構劃分方法也是目前國內外網絡建設中普遍采用的網絡拓撲結構。在這種結構下,3個層次的網絡設備各司其職又相互協同工作,從而有效保證了整個網絡的高可靠性、高性能、高安全性和靈活的擴展性。
2.局域網絡標準化
(1)中心交換區域
局域網的中心交換區域負責網絡核心層的高性能交換和傳輸功能,提供各項數據業務的交換,同時負責連接服務器區域、網絡管理區域、樓層區域、廣域網路由器和防火墻設備等,此外還要提供分布層的統一控制策略功能。具體到安全防護層面,可通過部署防火墻模塊、高性能網絡分析模塊、入侵探測系統模塊實現安全加固。
(2)核心數據服務器區域
因為數據大集中和存儲中心已經勢在必行,可建設專門的核心數據區域,并采用2立的具有安全控制能力的局域網交換機,通過千兆雙鏈路和服務器群連接。在安全防護方面,可在通過防火墻模塊實現不同等級安全區域劃分的同時,部署DDOS攻擊檢測模塊和保護模塊,以保障關鍵業務系統和服務器的安全不受攻擊。
(3)樓層區域
樓層交換區域的交換機既做接入層又做分布層,將直接連接用戶終端設備,如PC機等,因此設備需要具有能夠實現VLAN的合理劃分和基本的VLAN隔離。
(4)合作伙伴和外包區域
提供合作伙伴的開發測試環境、與內部數據中心的安全連接及與Internet區域的連接通路。
(5)外聯網區域
企業營銷系統需要與銀行等外聯網連接,建議部署銀行外聯匯接交換機,通過2條千兆鏈路分別連接到核心交換機。并通過防火墻模塊劃分外聯系統安全區域。
(6)網絡和安全管理區域
為了對整個網絡進行更加安全可靠的管理,可使用獨立的安全區域來集中管理,通過防火墻或交換機模塊來保護該區域,并賦予較高的安全級別,在邊界進行嚴格安全控制。
3.統一互聯網出口
對于該企業的廣域網絡,統一互聯網絡出口,減少企業廣域網絡與互聯網絡接口,能夠有效減少來自外網的安全威脅,對統一出口接點的安全防護加固,能夠集中實施安全策略。面對企業各個分支機構局域網絡都與互聯網絡連接的局面,將會給企業廣域網絡安全帶來更大的威脅。由于綜合業務數據網絡作為相對獨立的一個大型企業網絡,設置如此眾多的互聯網出口,一方面不利于互聯網出口的安全管理,增加了安全威脅的幾率;另一方面也勢必增加互聯網出口的租用費用,提高了運營成本。
由于該企業綜合數據網的骨干帶寬是622M,在綜合數據網絡上利用MPLS VPN開出一個“互聯網VPN”,使各分支的互聯網訪問都通過這個VPN通道建立鏈接。通過統一互聯網絡出口,強化互聯網接入區域安全控制,可防御來自Internet的安全威脅,DMZ區的安全防護得到進一步加強;通過提供安全可靠的VPN遠程接入,互聯網出口的負載均衡策略得到加強,對不同業務和不同用戶組的訪問服務策略控制,有效控制P2P等非工作流量對有限帶寬的無限占用,能夠對互聯網訪問的NAT記錄進行保存和查詢。
4.三層四區規劃
提出“安全分區、網絡專用、橫向隔離、縱向認證”的總體防護策略,并提出了“三層四區”安全防護體系的總體框架。基于這一設計規范,并結合該企業網絡的實際情況,未來公司的網絡區域可以劃分為企業生產系統和企業管理信息系統,其中企業生產系統包括I區和II區的業務;企業管理信息系統包括III區和IV區的業務。I區到IV區的安全級別逐級降低,I區最高,IV區最低。
在上述區域劃分的基礎上,可在橫向和縱向上采用下列技術方式實現不同安全區域間的隔離。
(1)縱向隔離
在未來調度數據網建成后,將安全區I和安全區II運行在獨立的調度數據網上,安全區III和安全區IV運行在目前的綜合數據網上,達到2網完全分開,實現物理隔離。在調度數據網中,采用MPLS VPN將安全區I和安全區II的連接分別分隔為實時子網和非實時子網,在綜合數據網中,則采用MPLS VPN將互聯網連接和安全區III及安全區IV的連接分開,分為管理信息子網和互聯網子網。
(2)橫向隔離
考慮到I區和II區對安全性的要求極高,對于I區和II區進行重點防護,采用物理隔離裝置與其他區域隔離;而在I區和II區之間可采用防火墻隔離,配合分布式威脅防御機制,防范網絡威脅;考慮到III區和IV區之間頻繁的數據交換需求,III區和IV區之間視情況采用交換機防火墻模塊進行隔離,并在區域內部署IDS等安全監控設備,在骨干網上不再分成2個不同的VPN;由于外部的威脅主要來自于Intern過出口,因此可在全省Internet出口集中的基礎上,統一設置安全防護策略,通過防火墻與III區、IV區之間進行隔離。
5.綜合數據網安全防護
綜合業務數據網,主要承載了0A、95598、營銷、財務等應用系統,同時也在進行SCADA/EMS等調度業務的接入試點。
采用網絡安全監控響應中心為核心的分布式威脅防御技術,對全網的病毒攻擊和病毒傳播進行主動防護,通過關聯網絡和安全設備配置信息、NetFlow、應用日志和安全事件,從中心的控制臺實時發現、跟蹤、分析、防御、報告和存儲整個企業網絡中的安全事件和攻擊。同時分布式威脅防御手段不但用于對綜合數據骨干網進行安全防護,而且通過建立2級安全監控響應中心,對包括綜合數據網、企業本部局域網、分支機構局域網在內的全網設備進行監控。
篇6
關鍵詞:校園網絡 網絡安全 管理
高校校園網作為高校這個特殊環境中傳遞信息的媒介,是學校重要的教學、科研信息基礎設施,它提供教學,科研,娛樂,教育管理,招生。隨著校園網的逐步發展,網絡應用的逐漸普及,校內部的網絡越來越多的暴露給了外部世界。因此,在校園網絡及其信息系統中如何設置自己的安全措施,使它安全、穩定、高效地運轉,發揮其應有的作用,成為各校越來越重視的問題。
針對層出不窮的校園網絡安全問題,高校內設辦公機構和部門都購置了各種網絡安全產品,如防火墻、入侵檢測系統、漏洞掃描器、系統實時監控器、VPN網關、網絡防病毒軟件等。毋容置疑,這些產品分別在不同的側面保護著網絡系統。但是,從系統整體安全考慮,這些單一的網絡安全產品都存在著不同的安全局限性。并且網絡安全不僅有著眾多的技術安全因素,更多的在網絡安全的管理、部署和操作方面,因此,將技術和管理相結合,建立一個多層次的校園網安全防御體系,對于構建安全的校園網環境有著重大的意義。
保障高校校園網絡安全應該從網絡安全技術和安全策略方面去同步加強,安全策略是先導,先進的網絡安全技術是根本。
網絡信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。信息安全的實現要依靠先進的技術、嚴格的安全管理、法律約束和安全教育。本文從此三個方面去綜合考慮、規劃建設校園網絡,構建了一個多層次的校園網安全主動防御體系模型。
一、依托網絡安全技術構建網絡安全堡壘
1.合理規劃設計校園網絡物理結構
校園網絡是教學,科研,娛樂,教務管理、圖書管管理等活動的基礎設施。特別地,在科研、教務管理、圖書館管理等方面,對校園網絡安全要求很高。對這些關鍵部門,構建相應的辦公網絡時,應該在物理上獨立實施建設。與其他一些安全級別不同的部門在物理網絡建設上應該盡量隔離,這樣的物理安全設計為保證校園網信息網絡系統的物理安全,除在網絡規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。
計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。
正常的防范措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要采取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網、局域網傳輸線路傳導輻射的抑制,由于電纜傳輸輻射信息的不可避免性,現均采用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換接口,用光纜接出屏蔽室外進行傳輸。
2.構建應用級網關、實時入侵檢測(IDS)
應用級網關作為防火墻(Firewall)中的一個主要類型,它通過偵聽網絡內部客戶的服務請求,檢查并驗證其合法性,若合法,它將作為一臺客戶機一樣向真正的服務器發出請求并取回所需信息,最后再轉發給客戶。對于內部客戶而言,應用級網關好像原始的公共服務器,對于公共服務器而言,服務器好像原始的客戶一樣,亦即應用級網關充當了雙重身份,并將內部系統與外界完全隔離開來,外面只能看到服務器,而看不到任何內部資源。
IDS作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡受到危害之前進行攔截和響應。防火墻能夠將一些預期的網絡攻擊阻擋于網絡外面,而IDS還能對一些非預期的攻擊進行識別并做出反應。將IDS與防火墻聯動,能更有效地阻止攻擊事件,把網絡隱患降至較低程度。
3.建立多層次的病毒防護體系
這里的多層次病毒防護體系是指在Internet網關(具有垃圾郵件過濾功能)上安裝基于Internet網關的反病毒軟件;在服務器上安裝基于服務器的反病毒軟件;在校園網的每個臺式機上安裝臺式機的反病毒軟件。同時,還需要做好如下工作:定時對網絡進行殺毒;對每臺計算機都開啟病毒監控;經常對服務器和客戶機的殺毒軟件進行升級。
二、加強和規范校園網絡安全管理
1.加強黑客入侵檢測與防范
校園網入侵者一般為校園網內部用戶,有著窺探他人隱私的好奇性,攻入私人計算機。有的入侵者希望通過入侵學校數據庫,以達到修改個人資料和學習成績為目的。個別的電腦高手希望通過入侵,引起他人注意,以顯示自己的能力,這樣的人不會盜取別人的電腦資料,但會故意留下“足跡”,如進行破壞或是“留言”。
為了維護高校教務系統及圖書館管理系統安全,應該特別加強黑客入侵檢測,并嚴格防范。主要可以采取以下幾方面的措施:
(1)檢測網絡嗅探程序
網絡嗅探是一種常用的收集網絡數據包的方法,其基本原理是對經過網卡的數據包進行捕獲和解碼,從鏈路層協議開始進行解碼分析,一直到應用層的協議,最后獲取數據包中需要的內容,如賬號、口令等。
當電腦系統被一些網絡嗅探程序跟蹤時,可能會出現網絡通訊丟包率非常高或是網絡帶寬出現反常,這些情況是網絡有嗅探器的可能反應。網絡管理員就應該及時加以處理。通常,可以在關鍵的系統上部署檢測嗅探器工具,例如AntiSniff工具,來自動檢測網絡嗅探程序。
(2)及時更新IIS漏洞
由于寬帶的普及,給自己的計算機裝上簡單易學的IIS,搭建一個ftp或是web站點,已經不是什么難事。但是IIS層出不窮的漏洞實在令人擔心。遠程攻擊著只要使用webdavx3這個漏洞攻擊程序和telnet命令就可以完成一次對IIS的遠程攻擊防范措施:關注微軟官方站點,及時安裝IIS的漏洞補丁。
(3)選擇性關閉IPC$共享、防止IPC$共享入侵
IPC$ (Internet Process Connection)是共享“命名管道”的資源,它是為了讓進程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接雙方可以建立安全的通道并以此通道進行加密數據的交換,從而實現對遠程計算機的訪問。它有一個特點,即在同一時間內,兩個IP之間只允許建立一個連接。2000/XP/2003在提供了IPC$功能的同時,在初次安裝系統時還打開了默認共享,即所有的邏輯共享(c$,d$,e$)和系統目錄winnt或windows(admin$)共享。所有的這些,微軟的初衷都是為了方便管理員的管理,但在有意無意中,導致了系統安全性的降低。個人用戶如果無網絡服務的可關閉IPC$共享,最好的方法是給自己的賬戶加上強口令,并不定期地更換。
2.加強校園網絡中服務器安全規范
(1)制定縝密的服務器管理制度,對服務器的操作從程序上進行規范。確保安裝正版操作系統和殺毒軟件,及時更新,打上漏洞補丁。各種密碼必須做到定期更換,經常對服務器進行漏洞掃描,確保安全。
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
(2)建立定期備份制度,服務器可以采用RAID5(磁盤陣列)技術,或者是雙機容錯技術等等,確保系統能不間斷運行。
(3)根據分配工作的不同,賦予操作人員不同級別的權限,同時建立完備的日志系統,做到出現問題能立馬有跡可循。
3.建立校園網的統一認證系統
認證是網絡信息安全的關鍵技術之一,其目的是實現身份鑒別服務、訪問控制服務、機密和不可否認服務等。校園網與 Internet沒有實施物理隔離。但是,對于運行內部管理信息系統的內網,建立其統一的身份認證系統仍然是非常必要的,以便對數字證書的生成、審批、發放、廢止、查詢等進行統一管理。
三、加強高校網絡安全教育
要確保高校網絡安全,除了依賴最新的網絡安全技術去構建網絡安全屏障外,還要加強高校網絡安全教育。主要有以下幾方面的措施:
1.對網絡管理員定期進行專業培訓
有些網絡管理員專業知識和技能不夠、責任心不強,部分網絡管理員在工作之前沒有受過系統的專業培訓。所以,不能很好地勝任本職工作。
嚴格的管理是校園網安全的重要措施。事實上,很多學校都疏于這方面的管理,對網絡安全保護不夠重視。為了確保整個網絡的安全有效運行,有必要制定出一套滿足網絡實際安全需要的、切實可行的安全管理制度。
2.在高校師生中普遍開展網絡安全教育
高校中教師作為知識的引導傳播者,在信息化教育不斷發展的高校教育中,教師網絡安全意識的提高,首先要從提高教師對網絡安全的認識做起。教師應了解相關的網絡安全法律、法規,如內容分級過濾制度等。教師應意識到無論是在學校還是家庭,都應加強網絡安全和道德教育,積極、耐心的引導學生,使他們形成正確的態度和觀念去面對網絡。同時,給學生提供豐富、健康的網絡資源,為學生營造良好的網絡學習氛圍,并教育學生在網上自覺遵守道德規范,維護自身和他人的合法權益。
四、總結
高校校園網絡信息安全是我們非常關注但又難以徹底解決的問題。校園網絡建設沒有統一的標準和規范,目前也沒專門的技術或產品能夠完全解決網絡的安全問題。我們只能根據最新的信息安全保障體系理念,采用安全策略分析、授權訪問、認證技術、密碼技術、防火墻技術、IPSec技術(IP Security)信息與網絡安全最新的技術去構建校園網絡的安全體系,另外,我們在思想上要認識到網絡安全的重要性,在校園網絡安全建設硬件方面不但要有資金投入,還要不斷加強校園網絡管理人員和校園網用戶的網絡安全知識教育培訓,樹立大家的網絡安全防范意識。這樣,就可以使網絡安全事故發生的可能性降低到最小。我們相信,隨著教育信息化的發展,校園網絡安全也越來越受到大家的關注,校園網也會越來越安全。
參考文獻:
[1]陳新建.校園網的安全現狀和改進對策[J].網絡安全技術與運用.
[2]劉建煒.基于網絡層次結構安全的校園網絡安全防護體系解決方案[J].教育探究,2010,(3).
[3]謝希仁.計算機網絡[M].大連:大連理工大學出版社,2003.
篇7
關鍵詞:APT攻擊;網絡安全防御;沖擊;應對
前言
在科學技術迅猛發展的帶動下,網絡信息技術在人們的日常生活中得到了越發廣泛的應用,如網絡銀行、網上購物等,在潛移默化中改變著人們的生活方式。但是,網絡本身的開放性為一些不法分子提供的便利,一些比^敏感的數據信息可能會被其竊取和利用,給人們帶來損失。在這種情況下,網絡安全問題受到了人們的廣泛關注。
1 APT攻擊的概念和特點
APT,全稱Advanced Persistent Threat,高級持續性威脅,這是信息網絡背景下的一種新的攻擊方式,屬于特定類型攻擊,具有組織性、針對性、長期性的特性,其攻擊持續的時間甚至可以長達數年。之所以會持續如此之久,主要是由于其前兩個特性決定的,攻擊者有組織的對某個特定目標進行攻擊,不斷嘗試各種攻擊手段,在滲透到目標內部網絡后,會長期蟄伏,進行信息的收集。
APT攻擊與常規的攻擊方式相比,在原理上更加高級,技術水平更高,在發動攻擊前,會針對被攻擊對象的目標系統和業務流程進行收集,對其信息系統和應用程序中存在的漏洞進行主動挖掘,然后利用漏洞組件攻擊網絡,開展攻擊行為[1]。APT攻擊具有幾個非常顯著的特點,一是潛伏性,在攻破網絡安全防御后,可能會在用戶環境中潛伏較長的時間,對信息進行持續收集,直到找出重要的數據。基本上APT攻擊的目標并非短期內獲利,而是希望將被控主機作為跳板,進行持續搜索,其實際應該算是一種“惡意商業間諜威脅”;二是持續性,APT攻擊的潛伏時間可以長達數年之久,在攻擊爆發前,管理人員很難察覺;三是指向性,即對于特定攻擊目標的鎖定,開展有計劃、組織的情報竊取行為。
2 APT攻擊對于網絡安全防御的沖擊
相比較其他攻擊方式,APT攻擊對于網絡安全防御系統的沖擊是非常巨大的,一般的攻擊都可以被安全防御系統攔截,但是就目前統計分析結果,在許多單位,即使已經部署了完善的縱深安全防御體系,設置了針對單個安全威脅的安全設備,并且通過管理平臺,實現了對于各種安全設備的整合,安全防御體系覆蓋了事前、事中和事后的各個階段,想要完全抵御APT攻擊卻仍然是力有不逮。由此可見,APT攻擊對于網絡安全防御的影響和威脅不容忽視[2]。
就APT攻擊的特點和原理進行分析,其攻擊方式一般包括幾種:一是社交欺騙,通過收集目標成員的興趣愛好、社會關系等,設下圈套,發送幾可亂真的社交信函等,誘騙目標人員訪問惡意網站或者下載病毒文件,實現攻擊代碼的有效滲透;二是漏洞供給,在各類軟禁系統和信息系統中,都必然會存在漏洞,APT攻擊為了能夠實現在目標網絡中的潛伏和隱蔽傳播,通常都是借助漏洞,提升供給代碼的權限,比較常見的包括火焰病毒、震網病毒、Zero Access等;三是情報分析,為了能夠更加準確的獲取目標對象的信息,保證攻擊效果,APT攻擊人員往往會利用社交網站、論壇、聊天室等,對目標對象的相關信息進行收集,設置針對性的攻擊計劃。
APT攻擊對于信息安全的威脅是顯而易見的,需要相關部門高度重視,做出積極應對,強化APT攻擊防范,保護重要數據的安全。
3 APT攻擊的有效應對
3.1 強化安全意識
在防范APT攻擊的過程中,人員是核心也是關鍵,因此,在構建網絡安全防護體系的過程中,應該考慮人員因素,強化人員的安全防范意識。從APT攻擊的具體方式可知,在很多時候都是利用人的心理弱點,通過欺騙的方式進行攻擊滲透。對此,應該針對人員本身的缺陷進行彌補,通過相應的安全培訓,提升其安全保密意識和警惕性,確保人員能夠針對APT攻擊進行準確鑒別,加強對于自身的安全防護。對于信息系統運維管理人員而言,還應該強化對于安全保密制度及規范的執行力,杜絕違規行為。另外,應該提升安全管理工作的效率,盡可能減低安全管理給正常業務帶來的負面影響,引入先進的信息化技術,對管理模式進行改進和創新,提升安全管理工作的針對性和有效性。
3.2 填補系統漏洞
在軟件系統的設計中,缺陷的存在難以避免,而不同的系統在實現互連互操作時,由于管理策略、配置等的不一致,同樣會產生關聯漏洞,影響系統的安全性。因此,從防范APT攻擊的角度分析,應該盡量對系統中存在的漏洞進行填補。一是應該強化對于項目的測試以及源代碼的分析,構建完善的源代碼測試分析機制,開發出相應的漏洞測試工具;二是應該盡量選擇具備自主知識產權的設備和系統,盡量避免漏洞和預置后門;三是對于一些通用的商業軟件,必須強化對惡意代碼和漏洞的動態監測,確保基礎設施以及關鍵性的應用服務系統自主開發[3]。
3.3 落實身份認證
在網絡環境下,用戶之間的信息交互一般都需要進行身份認證,這個工作通常由本地計算環境中的相關程序完成,換言之,用戶身份的認證實際上是程序之間的相互認證,如果程序本身的真實性和完整性沒有得到驗證,則無法對作為程序運行載體的硬件設備進行驗證,從而導致漏洞的存在,攻擊者可能冒充用戶身份進行攻擊。針對這個問題,應該對現有的身份認證體系進行完善,構建以硬件可信根為基礎的軟硬件系統認證體系,保證用戶的真實可信,然后才能進行用戶之間的身份認證。
3.4 構建防御機制
應該針對APT攻擊的特點,構建預應力安全防御機制,以安全策略為核心,結合可信計算技術以及高可信軟硬件技術,提升網絡系統對于攻擊的抵御能力,然后通過風險評估,分析系統中存在的不足,采取針對性的應對措施,提升安全風險管理能力。具體來講,一是應該將數據安全分析、漏洞分析、惡意代碼分析等進行整合,統一管理;二是應該構建生態環境庫,對各種信息進行記錄,為安全分析提供數據支撐;三是應該完善取證系統,為違規事件的分析和追查奠定良好的基礎[4]。
4 結束語
總而言之,作為一種新的攻擊方式,APT攻擊對于網絡安全的威脅巨大,而且其本身的特性使得管理人員難以及時發現,一旦爆發,可能給被攻擊目標造成難以估量的損失。因此,應該加強對于APT攻擊的分析,采取切實有效的措施進行應對,盡可能保障網絡系統運行的穩定性和安全性。
參考文獻
[1]陳偉,趙韶華.APT攻擊威脅網絡安全的全面解析與防御探討[J].信息化建設,2015(11):101.
[2]王宇,韓偉杰.APT攻擊特征分析與對策研究[J].保密科學技術,2013(12):32-43.
篇8
云計算是大數據時代基于互聯網環境的一種計算方式,云計算技術在運行規模、可靠性、通用性方面具有一定的優勢,對于用戶需求以及提供基礎服務和平臺管理服務上有著重要的信息價值,因此探討云計算環境的網絡完全問題具有重要的實踐意義
關鍵詞:
云計算安全;加密;機制
計算機和互聯網技術的不斷發展,用戶對數據的存儲、運算、傳輸都有著更高的要求,加上電子商務、互聯網金融、通訊政務等的發展中產生了大量的數據,信息大數據時代下,為了進一步的提升信息服務能力,研究人員提出了云計算技術,這是一種根據用戶的需求提供軟件和硬件資源信息,形成資源共享機制,云計算是基于虛擬化的運行環境,在運行規模和可靠性以及通用性方面具有應用優勢。云計算下的網絡安全問題主要防治木馬和病毒攻擊網絡和數據資源,維護數據的真實、可靠、完整,保證通信運輸服務的質量。
1云計算環境所面臨的安全威脅
云計算技術的不斷推廣和廣泛適用,其數據資源價值越來越高,因而也是互聯網黑客、木馬程序的主要攻擊對象,安全問題令人擔憂。基于互聯網安全防御的實踐,就當前云計算環境下的安全問題主要概括為三類,分別是數據的審計安全、傳輸安全、存儲安全。
1.1數據審計安全威脅對許多云計算審計的工作者來說,尤其是企業中的工作人員并不都是計算機專業背景的,在數據的審計中缺乏必要的安全意識,面臨的威脅包括操作中的不規范,對設備的維護以及網絡數據包重放攻擊、拒絕服務、網絡日志篡改等,這些都導致了對網絡安全的潛在隱患。審計中造成數據泄露,或是在網絡攻擊下失去審計功能,這樣就使得數據脫離了審計功能的保護。
1.2數據存儲安全威脅云計算的數據保存都是基于熱門的服務器,目的是為了進一步的提升用戶的訪問和數據使用效率,這樣大量的數據匯總形成大數據中心,有利于對信息管理的設備運行維護。但是大數據中心的數據規模持續擴大將使得暴擊信息越來越多,而政府和企業門戶的數據存儲依賴也越來越集中,而網絡黑客處于經濟利益,采用高智能化的攻擊方式對數據中心進行攻擊,從而獲得數據信息,而隨著木馬和病毒開發技術的不斷提升,將很容易給數據中心帶來極大的損害。
1.3數據傳輸安全威脅云計算中的數據包含了企業的財務、業務、客戶等核心的競爭力信息,因而企業在訪問數據中心,使用數據中存在的威脅有:首先是數據傳輸中仍然是基于公共的、共享的網絡環境,因而數據傳輸過程暴露在外部的黑客、木馬病毒的危險環境中,通常采用的供給手段是偵聽傳輸數據包以便能夠截取或感染數據,將導致數據破壞,因而數據傳輸的渠道安全問題是亟待解決的問題。第二是用戶在連接數據中心訪問數據時,容易被冒用身份信息,因此需要在數據訪問的準入權限和操作日志上予以安全保護。
2云計算的安全保護對策
基于云計算環境下網絡安全面臨的現狀以及安全威脅,與計算的安全體系的構架需要從動態、縱深方向進行拓展,建立安全防御:
2.1構建網絡安全風險評估指標體系網絡安全評估是指依據相關標準,對信息系統的保密性、完整性和可用性等進行科學、公正的綜合評估活動。安全評估主要包括以下3個要素:第一是價值資產,主要對云計算中所涉及到計算機、數據庫系統、基礎通信設施、建筑物、信息系統、軟硬件、檔案信息、以及單位職工等。對信息威脅的評估,對可能的潛在隱患、云計算中心本身的弱點等進行評估。最后是潛在的攻擊點,云計算的系統中可能被黑客或是木馬病毒所攻擊的系統缺陷。對云計算的安全評估可以根據安全需求劃分目標層、準則層和指標層,基于D—S證據理論、灰色理論和層次分析等手段進行評估,發現問題,提升安全防護。
2.2健全網絡安全接人系統對云計算接入端口的防護要保證接入渠道的安全性,采用身份驗證、安全審計、IPSECVPN和SSLVPN等技術,對接入渠道和傳輸渠道進行加密,避免被惡意攻擊。
2.3云數據存儲共享安全機制云存儲中首先需保證平臺的安全性,先通過特定機制去除操作系統威脅,填補系統漏洞;然后將相應功能和服務禁用。同時解決遠程管理、證書及DNS協議質量以及執行不當等問題,用戶必須使用攜帶自己私鑰才能存取云中的信息。云數據加密存儲后的共享示意圖如圖1所示。
2.4構建主動式的縱深防御接入端和傳輸端的防御都是被動式的防御,除此之外,云計算應主動構建具有縱深的主動式防護體系,主要包括了對網絡的預警、響應、檢測、保護、恢復和反擊等,其主要的核心技術是預警和響應,強化網絡安全防御。
3結語
隨著云計算技術的不斷發展,更多的安全問題將暴露出來,云計算環境下的安全防御是一個動態過程,隨著攻擊手段和攻擊技術越來越高深,云計算網絡安全防護留下更多的擴展接口,以便在將來適應安全防御的需求,及時的升級和完善,進一步提升云計算安全度。
參考文獻
[1]ZDNet.云計算安全擴展了風險的邊界[J].網絡與信息,2010(10).
[2]馮登國,張敏,張妍,徐震.云計算安全研究[J].軟件學報,2011(01).
篇9
關鍵詞: APT; 攻擊; 防護; 訪問控制
中圖分類號: TN915.08?34; TP393 文獻標識碼: A 文章編號: 1004?373X(2013)17?0078?03
0 引 言
APT攻擊,即高級持續性威脅(Advanced Persistent Threat,APT),指組織或者小團體,利用先進的復合式攻擊手段對特定的數據目標進行長期持續性網絡攻擊的攻擊形式[1]。APT是竊取核心資料為目的所發動的網絡攻擊和侵襲行為,其攻擊方式比其他攻擊方式更為隱蔽,在發動APT攻擊前,會對攻擊對象的業務流程和目標進行精確的收集,挖掘攻擊對象受信系統和應用程序的漏洞。攻擊者會針對性的進行潛心準備,熟悉被攻擊者應用程序和業務流程的安全隱患,定位關鍵信息的存儲方式與通信方式,使整個攻擊形成有目的、有組織、有預謀的攻擊行為。因此傳統的入侵檢測技術難以應對。
1 APT攻擊技術特點及對傳統入侵檢測技術的挑戰
APT攻擊是結合了包括釣魚攻擊、木馬攻擊、惡意軟件攻擊等多種攻擊的高端攻擊模式,整個攻擊過程利用包括零日漏洞、網絡釣魚、掛馬等多種先進攻擊技術和社會工程學的方法,一步一步地獲取進入組織內部的權限[2]。原來的APT攻擊主要是以軍事、政府和比較關鍵性的基礎設施為目標,而現在已經更多的轉向商用和民用領域的攻擊。從近兩年的幾起安全事件來看,Yahoo、Google、RSA、Comodo等大型企業都成為APT攻擊的受害者。在2012年5月被俄羅斯安全機構發現的“火焰”病毒就是APT的最新發展模式,據國內相關安全機構通報,該病毒已于2012年6月入侵我國網絡。
1.1 APT攻擊的技術特點
APT攻擊就攻擊方法和模式而言,攻擊者主要利用各種方法特別是社會工程學的方法來收集目標信息。其攻擊主要有基于互聯網惡意軟件的感染、物理惡意軟件的感染和外部入侵等三個入侵途徑,其典型流程圖如圖1所示。就以2010年影響范圍最廣的GoogleAurora(極光)APT攻擊,攻擊者利用就是利用社交網站,按照社會工程學的方法來收集到目標信息,對目標信息制定特定性的攻擊滲透策略,利用即時信息感染Google的一名目標雇員的主機,通過主動挖掘被攻擊對象受信系統和應用程序的漏洞,造成了Google公司多種系統數據被竊取的嚴重后果。
從APT典型的攻擊步驟和幾個案例來看,APT不再像傳統的攻擊方式找企業的漏洞,而是從人開始找薄弱點,大量結合社會工程學手段,采用多種途徑來收集情報,針對一些高價值的信息,利用所有的網絡漏洞進行攻擊,持續瞄準目標以達到目的,建立一種類似僵尸網絡的遠程控制架構,并且通過多信道、多科學、多級別的的團隊持續滲透的方式對網絡中的數據通信進行監視,將潛在價值文件的副本傳遞給命令控制服務器審查,將過濾的敏感機密信息采用加密的方式進行外傳[3]。
1.2 APT攻擊對傳統檢測技術的挑戰
目前,APT攻擊給傳統入侵檢測技術帶來了兩大挑戰:
(1)高級入侵手段帶來的挑戰。APT攻擊將被攻擊對象的可信程序漏洞與業務系統漏洞進行了融合,由于其攻擊的時間空間和攻擊渠道不能確定的因素,因此在攻擊模式上帶來了大量的不確定因素,使得傳統的入侵防御手段難以應對APT入侵手段。
(2)持續性攻擊方式帶來的挑戰。APT是一種很有耐心的攻擊形式,攻擊和威脅可能在用戶環境中存在很長的時間,一旦入侵成功則會長期潛伏在被攻擊者的網絡環境中,在此過程中會不斷收集用戶的信息,找出系統存在的漏洞,采用低頻攻擊的方式將過濾后的敏感信息利用數據加密的方式進行外傳。因此在單個時間段上APT網絡行為不會產生異常現象,而傳統的實時入侵檢測技術難以發現其隱蔽的攻擊行為。
2 安全防護技術模型研究
由于APT攻擊方式是多變的,以往的APT攻擊模式和案例并不具有具體的參考性,但是從多起APT攻擊案例的特點中分析來看,其攻擊目的可以分為兩方面:一是竊密信息,即竊取被攻擊者的敏感機密信息;二是干擾用戶行為兩方面,即干擾被攻擊者的正常行為。就APT攻擊過程而言,最終的節點都是在被攻擊終端。因此防護的最主要的目標就是敏感機密信息不能被非授權用戶訪問和控制。針對APT攻擊行為,文中設計建立了一種基于靜態檢測和動態分析審計相結合的訪問控制多維度防護模型,按照用戶終端層、網絡建模層和安全應用層自下而上地構建網絡安全防護體系[4],如圖2所示。
2.1 安全防護模型技術
整個安全防護服務模型采用靜態檢測和動態分析的技術手段實時對網絡數據包全流量監控。靜態檢測主要是檢測APT攻擊的模式及其行為,審計網絡帶寬流量及使用情況,對實時獲取的攻擊樣本進行逆向操作,對攻擊行為進行溯源并提取其功能特征。動態分析主要是利用所構建的沙箱模型對網絡傳輸文件進行關鍵字檢測,對Rootkit、Anti?AV等惡意程序實施在線攔截,對郵件、數據包和URL中的可疑代碼實施在線分析,利用混合型神經網絡和遺傳算法等檢測技術對全流量數據包進行深度檢測,結合入侵檢測系統審核文件體,分析系統環境及其文件中異常結構,掃描系統內存和CPU的異常調用。在關鍵位置上檢測各類API鉤子和各類可能注入的代碼片段。
2.2 安全防護模型結構
用戶終端層是整個模型的基礎設施層,它主要由用戶身份識別,利用基于用戶行為的訪問控制技術對用戶的訪問實施驗證和控制,結合用戶池和權限池技術,訪問控制系統可以精確地控制管理用戶訪問的資源和權限,同時訪問者根據授權和訪問控制原則訪問權限范圍內的信息資源。
網絡建模層是整個安全防護模型的核心。由內網資源表示模型和多種安全訪問控制服務模型共同構成。采用對內部資源形式化描述和分類的內網資源表示模型為其他安全子模型提供了基礎的操作平臺。結合安全存儲、信息加密、網絡數據流監控回放、操作系統安全、入侵檢測和信息蜜罐防御[5],以整個內網資源為處理目標,建立基于訪問控制技術的多維度安全防御保障體系。
安全應用層是整個安全防護模型的最高層,包括操作審計、日志審查、病毒防御、識別認證、系統和網絡管理等相關應用擴展模塊。在用戶終端層和網絡建模層的基礎上構建整個安全防護系統的安全防護服務。
基于APT入侵建立安全防護模型,最關鍵的就是在現有安全模型上建立用戶身份識別,用戶行為管控和網絡數據流量監控的機制,建立安全防護模型的協議和標準的安全防御體系,并為整個安全解決方案和網絡資源安全實現原型。
3 網絡安全防護的關鍵技術
3.1 基于網絡全流量模塊級異域沙箱檢測技術
原理是將整個網絡實時流量引入沙箱模型,通過沙箱模型模擬網絡中重要數據終端的類型和安全結構模式,實時對沙箱系統的文件特征、系統進程和網絡行為實現整體監控,審計各種進程的網絡流量,通過代碼檢查器掃描威脅代碼,根據其危險度來動態綁定監控策略。利用動態監控對跨域調用特別是系統調用以及寄存器跳轉執行進行監控和限制,避免由于威脅代碼或程序段躲過靜態代碼檢查引起的安全威脅。但整個模型的難點在于模擬的客戶端類型是否全面,如果缺乏合適的運行環境,會導致流量中的惡意代碼在檢測環境中無法觸發,造成漏報[6]。
3.2 基于身份的行為分析技術
其原理是通過發現系統中行為模式的異常來檢測到入侵行為。依據正常的行為進行建模,通過當前主機和用戶的行為描述與正常行為模型進行比對,根據差異是否超過預先設置的閥值來判定當前行為是否為入侵行為,從而達到判定行為是否異常的目的。其核心技術是元數據提取、當前行為的分析,正常行為的建模和異常行為檢測的比對算法,但由于其檢測行為基于背景流量中的正常業務行為,因而其閥值的選擇不當或者業務模式發生偏差可能會導致誤報。
3.3 基于網絡流量檢測審計技術
原理是在傳統的入侵檢測機制上對整個網絡流量進行深層次的協議解析和數據還原。識別用于標識傳輸層定義的傳輸協議類型,解析提取分組中所包含的端口字段值,深度解析網絡應用層協議信息,尋找符合特定的特征簽名代碼串。利用網絡數據層流量中交互信息的傳輸規律,匹配識別未知協議,從而達到對整個網絡流量的數據檢測和審計。利用傳統的入侵檢測系統檢測到入侵攻擊引起的策略觸發,結合全流量審計和深度分析還原APT攻擊場景,展現整個入侵行為的攻擊細節和進展程度[7]。
3.4 基于網絡監控回放技術
原理是利用云存儲強大的數據存儲能力對整個網絡數據流量進行在線存儲,當檢測到發生可疑的網絡攻擊行為,可以利用數據流量回放功能解析可疑攻擊行為,使整個基于時間窗的網絡流量監控回放技術形成具有記憶功能的入侵檢測機制,利用其檢測機制確認APT攻擊的全過程。比如可以對網絡傳輸中的郵件、可疑程序、URL中的異常代碼段實施檢測分析,監控整個網絡中異常加密數據傳輸,從而更快地發現APT攻擊行為。若發生可疑行為攻擊漏報時,可以依據歷史流量進行多次分析和數據安全檢測,形成更強的入侵檢測能力。由于采用全流量的數據存儲,會顯著影響高速的數據交換入侵檢測中其系統的檢測處理和分析能力,在這方面可能還存在一定的技術差距。
4 結 語
用傳統的入侵檢測手段很難檢測到APT攻擊。因此檢測的策略是要在大量網絡數據中發現APT攻擊的蛛絲馬跡,通過沙箱模型、網絡流量檢測審計和網絡監控回放技術結合入侵檢測系統和信息蜜罐技術,形成基于記憶的智能檢測系統,利用網絡流量對攻擊行為進行溯源操作,結合工作流程對相關數據進行關聯性分析,提高對APT攻擊的檢測能力,及時發現網絡中可能存在的APT攻擊威脅。在下一步工作中,要結合當前云技術,在企業內部搭建專屬的私有安全網絡,建立可信程序基因庫,完善私有云在防范APT攻擊的應用。
參考文獻
[1] GONZALEZ J J, MOORE A P. System dynamics modeling for information security [EB/OL]. [2004?09?10]. http:///research/sdmis/inside?threat?desc.
[2] 余偉.APT攻擊:狼來了及應對措施思考[J].信息安全與通信保密,2012(7):9?11.
[3] 陳劍鋒,王強,伍淼,等.網絡APT攻擊及防范策略[J].信息安全與通信保密,2012(7):16?18.
[4] 王智民,楊聰毅.基于多核的安全網關設計與實現[J].信息安全與通信保密,2009(6):101?104.
[5] 胡征昉.蜜罐技術在入侵檢測系統中的應用[D].武漢:武漢理工大學,2007.
[6] 王曉煌.基于遺傳算法的分布式入侵檢測模型研究[J].燕山大學學報,2007,28(3):257?261.
[7] 劉濤,白亮,侯媛彬,等.分布式智能入侵檢測系統模型設計與實現[J].西安理工大學學報,2008,24(2):228?231.
[8] Tenable Network Security. Features [EB/OL]. [2009?02?03]. http:///nessus/features/.
[9] 吉雨.APT攻擊漸成氣候企業需對抗未知威脅[J].信息安全與通信保密,2012(7):23?27.
[10] 武興才.網絡攻擊分析與防范[J].網絡安全技術與應用,2009(7):48?50.
[11] 王培國,范炯.網絡信息系統安全風險分析與防范對策[J].通信與信息技術,2011(3):86?88.
[12] 王建嶺.基于蜜罐技術的入侵特征研究[D].西安:西安電子科技大學,2006.
[13] 李志清.基于模式匹配和協議分析的入侵檢測系統研究[D].廣州:廣東工業大學,2007.
[14] 李俊婷,王文松.計算機網絡信息安全及其防護措施[J].計算機與網絡,2007(15):45?46.
[15] 韓冬.網絡安全信息檢測與管理[D].北京:北京交通大學,2008.
作者簡介:曾瑋琳 男,1975年出生,廣東梅州人,高級工程師,碩士研究生。主要研究方向為網絡及網絡安全。
篇10
關鍵詞:網絡安全;防火墻;訪問控制;數據加密;入侵檢測
中圖分類號:G434 文獻標識碼:A 文章編號:1009-010X(2015)03-0079-02
一、網絡安全面臨的問題及威脅
網絡安全是指信息安全和控制安全。其中信息安全包括信息的完整性、可用性、保密性和可靠性;控制安全包括身份認證、不可否認性、授權和訪問控制。信息安全和控制安全在網絡安全建設中都很重要,缺一不可。沒有信息安全,就會產生決策失誤;沒有控制安全,網絡系統就可能崩潰。綜合上述兩方面,計算機網絡安全主要存在以下幾個問題:
(一)人為失誤
網絡操作人員對操作系統、硬件設備和相關軟件的配置和使用不當,造成安全上的漏洞。如用戶安全意識不強、用戶口令過于簡單,用戶將自己的賬號轉借他人或與他人共享等,都會為網絡安全帶來隱患。
(二)軟件漏洞
我們使用的軟件主要有三類:第一類,操作系統;第二類,商用軟件;第三類,自主開發的應用軟件。這些軟件都不可能毫無缺陷和漏洞。尤其是第三類軟件,是我們根據本單位需求而自行研發的,在設計上存在一定的缺陷,這些正是網絡黑客進行攻擊的目標。
(三)惡意攻擊
惡意的攻擊分為主動攻擊和被動攻擊。主動攻擊是以各種方式有目的地破壞信息的有效性和完整性;被動攻擊是在不影響網絡正常工作的情況下進行截獲、竊取、破譯從而獲得重要機密信息。
(四)受制于人
目前我國信息化建設中的核心技術缺乏技術支撐,依賴國外進口,比如CPU芯片、操作系統、數據庫、網絡設備等,這樣就存在許多安全隱患,容易留下嵌入式病毒、隱性通道和可恢復的密碼等漏洞。
二、網絡安全防范措施
解決網絡安全問題的關鍵在于建立和完善計算機網絡信息安全防護體系。一般常用的網絡安全技術主要有防火墻技術、入侵檢測技術、訪問控制技術和數據加密技術。
(一)安裝防火墻
防火墻是軟件和硬件的組合,它在內網和外網之間建立起一個安全的網關,從而保護內部網絡免受非法用戶的侵入,作為一個分離器、控制器和分析器,用于執行兩個網絡之間的訪問控制策略,有效地監控了內部網絡和外部網絡之間的活動。防火墻是目前使用最廣泛的網絡安全技術,對于非法訪問具有預防作用。
(二)設置訪問控制
訪問控制的主要任務是保證網絡資源不被非法使用和訪問,它是針對網絡非法操作而采取的一種安全保護措施。實施中需要對用戶賦予一定的權限,不同權限的用戶享有不同的權力。用戶要實現對網絡的訪問一般經過三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的限制與檢查。這三個步驟中任何一關沒有通過,用戶都無法進入網絡。因此,通過設置訪問控制可有效地保證網絡的安全運行。
(三)采用數據加密
數據加密技術是為防止秘密數據被外部破解,以提高網絡傳輸中信息的安全性、完整性所采用的技術手段,其關鍵技術在于密鑰的管理、存儲、分發等環節。一般采用密碼管理系統、密碼防護設備、終端加密設備、數據庫加密設備、網間密碼加密設備、撥號上網加密設備、遠程撥號終端加密設備等技術。加密常用的辦法有鏈路加密、端點加密和節點加密。
(四)加強入侵檢測
入侵檢測技術是為保證計算機系統的安全而配置的一種能及時發現并報告系統中未授權或異常現象的技術,是檢測網絡中違反安全策略行為的技術。系統日志就是操作系統自身附帶的一種安全監測系統。我們可以定期生成報表,通過對報表進行分析,了解整個網絡的運行情況,及時發現異常現象。
(五)阻斷傳播途徑
由于網絡是建立在公開、共享的基礎上,因此各類的計算機網絡系統不得直接或間接與互聯網或其它公共信息網絡相連接,必須實現物理隔離。對于級別很高的計算機,應該建立單獨機房,指定專人操作,這樣可以最大程度減少泄密的可能性。另一方面,對相關網絡中的傳輸線路、終端設備也要進行安全處理。對于計算機要使用專用的工具軟件把不需要的文件徹底刪除,對于廢棄的已格式化的硬盤,有時仍會留下可讀信息的痕跡,一定要對硬盤進行物理銷毀,這樣才能把硬盤上的秘密完全清除。因此,對計算機的存儲設備必須謹慎、規范處理,杜絕一切安全隱患。
(六)提高人員素質
在網絡安全環節中,人員是工作的主體,網絡安全所涉及的一切問題,決定因素是人,因此人員素質的高低直接決定著信息網絡安全工作的好壞。注重人員培訓、提高能力素質是構建網絡安全體系的重要環節。良好的系統管理機制是增強系統安全性的保證,我們要加強對維護人員的安全教育、開展各種有關網絡安全檢測、安全分析、網上糾察等內容的專業技術培訓,保證網絡的維護者都能夠成為掌握網絡安全技能、熟練應用網絡安全技術、嚴格執行網絡安全守則和掌握最新安全防范動態與技術的全能型人才,以適應信息化建設的需要。
網絡時代,網絡安全威脅會在信息建設中時刻相伴。一方面,我們必須增強安全意識,建立主動防范、積極應對的觀念。另一方面,網絡安全的風險也是可以控制和規避的,只要我們能夠從技術上建立完整的解決方案,從人員培養與管理上注重實效、嚴格制度,一定能為計算機網絡構建起堅實的屏障,保證網絡安全、順暢地在科技和經濟迅猛發展中發揮其無法替代的作用。
參考文獻:
[1]陳建偉.計算機網絡與信息安全[M].北京:科學出版社,2006.
