时间:2023-07-20 16:23:51
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇网络安全风险防范范例。如需获取更多原创内容,可随时联系我们的客服老师。
前言
随着网络普及率逐年成长,为了提高信息的传输与存储效率,各行各业中信息网络管理已得到充足的应用,也极大地促进了企业信息管理效率。但是由于网络攻击也层出不穷,已严重威胁到网络信息的安全,其中分布式拒绝服务攻击是常见的威胁之一。为了确保企业自身的网络安全,建置入侵防护系统为不可或缺的方法。由于开放原始码(OpenSource)软件的兴起与其可客观化的功能性,使得免费的入侵侦测系统软件——Snort广受欢迎。Snort在应用上多以入侵侦测的角色为主,通过侦测到攻击产生警讯后,通知管理者或SIEM(SecurityInformationEventManager)设备,但此方式并无法在面对攻击时,实时地阻断攻击来源。Snort可通过部署的架构方式或统计信息地址的权重来判断其是否遭受攻击,但若核心的侦测引擎与规则无法侦测到此类攻击,会导致侦测效率不佳[1]。
1当前信息网络面临的安全风险问题
阻断服务(Denial-of-Service,DoS)攻击是一种阻绝的攻击方式,这类攻击会使被害者如计算机、服务器或网络系统,无法提供可用的网络资源。大部分阻断服务攻击利用大量的联机请求来瘫痪被害者的计算机、服务器的网络频宽或联机资源,达到拒绝服务之目的。分布式阻断服务攻击则是通过如木马、后门程序,事先入侵大量计算机并植入傀儡,在同一时间对感染计算机或服务器启动攻击指令,对被害者计算机执行阻断服务攻击,达到影响合法使用者存取的功能[2]。当有大量的Half-OpenConnection发生时,因为其联机缓冲区已经满载,目标计算机将无法再接收新的联机请求。对于这样的行为,多数的计算机均设有Timeout机制来预防,也就是当设定的时间间隔内未收到ACK封包,就切断该联机释放缓冲区的资源,以接收新的联机请求。每一个状态的信息若触发的事件等级小于或等于原提升状态的等级事件,则仍停留在原状态。此外,每一个信息地址纪录有其点数值,此点数值会逐日递减,直至点数为零。因为攻击的发生通常会在短时间内,如一周、一个月,而不会间隔太长的时间。通过将Snort的入侵事件纪录进行分级,同时将所纪录到的信息地址进行分级,建构一个信息地址状态数据库储存,提供管理人员不同层级的纪录数据,减轻管理人员负担,并能实时监控网络的入侵行为[3]。传统的分布式阻断服务攻击是先入侵多台计算机主机,然后利用这些主机同时对目标计算机进行攻击,达到妨碍合法使用者无法存取资源之目的。因为此类攻击技术门坎不高,有许多黑客将其制作成单一工具,使得许多人也可通过此类工具进行攻击,大多称其为脚本小子。PacketSniffer的功能如同电话窃听一样,差别在于它是窃听网络上的信息,而非语音。所谓网络信息即是信息地址流量,这些流量中也包含较高层的通讯协议,包含TCP、UDP、ICMP、信息地址Sec等,许多Sniffer工具会将这些不同的通讯协议转换成人类可读的信息。Snort的第一个组件即是Sniffer,它能将收集到的封包直接转存至Logger,也能交由下个组件——Preprocessor,供后续分析使用[4]。当封包进入Preprocessor后,这个阶段的任务便是分析封包流量的行为。Snort的Preprocessor包含许多的Plug-ins,如HTTPPlug-in、PortScannerPlug-in等。这些Plug-ins会逐一针对封包做特定行为的检查,一旦符合行为规范,便将这些封包再传送至下一个组件─DetectionEngine。
2信息网络面临安全风险的防范措施
2.1强化个人端或伺服端的计算机主机安全
强化个人端或伺服端的计算机主机安全永远是防御各类网络攻击的最佳方案。然而,信息安全的核心虽在于人,也就是人员对信息安全的素质,但此部分却也是最难以实现的。因为有时为了便利性,我们可能就会选择牺牲某些可以保护我们计算机的方式,比如操作计算机使用管理者账号登入、减少恼人的操作提示窗口。但当减少此恼人的行为,也等同给予黑客减少这个繁琐的管理者密码输入提示[5]。优良的服务质量除了自身系统平台稳健外,更须防范外在的网络攻击。因为一旦遭受攻击如阻断服务,短时间内便可能损失极大的利益,甚至会造成使用者的不信任感。
2.2启用Snort的规则侦测
NIDSMode则是启用Snort的规则侦测,让每个流经Snort的封包进行规则比对与检测,当发现有符合规则定义时,即产生警讯(Alert),告知管理人员当前网络出现疑似攻击的情况。Preprocessor对IDS而言是一个很重要的特性,因为它可以自由地启用或停用,达到资源配置或警讯多寡的目标[6]。比如说,当架设完Snort作为IDS后,发现有大量且持续性的PortScan警讯,假如管理人员明确知道自身网络环境是安全的,可忽略这些警讯,那么就可进入Preprocessor停用PortScannerPlug-in,Snort将不再产生PortScan的警讯,但其它的Plug-ins仍旧维持正常运作,不会有所谓的非全有即全无(All-or-nothing)特性[7]。
2.3加强云平台自身的网络安全防护
云平台自身的网络安全防护特别是对海量数据安全的防护将面临着挑战[8]。另外是云平台的安全审核和管理机制问题,目前大多数云服务商的安全审核机制并不完善,用户租用后作何用途,云服务商并不清楚知晓。也未作严格审核或周期性检查,因此出现黑客在云平台部署钓鱼网站、传播恶意代码或发动攻击的情况,如不及时加强管理,未来这种现象将继续增多。
3实施效果
通过强化个人端或伺服端的计算机主机安全、启用Snort的规则侦测、加强云平台自身的网络安全防护等相关信息网络安全风险防范措施,利用强化个人端或伺服端的计算机主机安全强化内部安全信息防范,同时利用Snort的规则侦测安全危险源,加强云平台的网络安全防护保证外部网络环境的安全,由内而外的建立信息网络安全防范模式,可以构建全面、科学、高效、合理的网络安全管理体系,强化安全管理水平,对危害信息网络安全的风险起到一个重要的拦截作用,充分保障信息的安全性,保障其不受到恶意程序的攻击,避免了信息的破坏、恶意修改及其泄漏等安全问题。同时这些举措也有助于强化信息网络产业的管理与监督,确保信息网络系统的正常运行。
4结论
不论网络的形态、种类如何发展,不论网络的技术如何变化,其影响的范围将越来越广,使用的人群越来越多,存在的各种风险与危害也将越来越大。因此,加强对泛在网中各类技术及管理方法的研究,构建统一标准的互联网信息安全保障体系是十分重要的。本文主要论述了将现有网络中的各种技术及管理方法,将其融合到互联网中,充分利用已有的技术来保障互联网的安全运行。
参考文献:
[1]李依琳.网络会计电算化的信息安全风险分析及防范策略[J].当代经济,2017.
[2]杨巍.信息网络安全风险防范模式探析[J].黑龙江科技信息,2017.
[3]李华,胡菲.网络信息安全的社会风险防控[J].苏州市职业大学学报,2016.
[4]段利均.信息共享与供应链网络安全风险的关系研究[J].商场现代化,2016.
关键词:网络安全;计算机;风险
中图分类号:TP39 文献标识码:A
1 网络安全概述
所谓的计算机安全,即保护数据处理系统安全,为其系统建立并采取相应的安全管理,并对计算机软件、硬件进行保护,确保其不会受到破坏,不会因为恶意以及偶然因素导致其中的信息泄露以及更改。对网络安全的本质进行分析,其主要包括三方面内容:网络系统的组成硬件,网络系统的组成软件以及网络上传播的信息,使得上述内容不会由于偶然事故或者恶意攻击等因素而遭到破坏,因而,网络安全不仅仅受到技术方的支持,同时也会受到管理因素的影响。因此需要管理技术双向保护,不能单方面注重其中一点。
而从保护网络信息安全的狭义角度分析,网络安全主要是指在计算机环境下保证网络以及计算机系统中相关资源以及信息不会受到自然因素以及人为因素的破坏以及威胁。而广义上的网络安全的内容不仅仅涉及了网络信息的安全性,还包括其保密性、可用性以及完整真实性,包括信息的可控性都属于计算机网络技术中有关安全的研究对象。使用者不同针对于网络安全的定义将会有所区别,这种变化中,普通使用者对于信息的安全要求较低,主要是保证个人信息、隐私能够在网上传输以及接收时能够得到应有保护,不会受到篡改、盗用、窃听等;网络提供商对于网络安全的关注焦点不仅仅是信息安全,还包括对于网络硬件设施的保护,诸如,在自然灾害下以及军事打击中如何保护和恢复异常的网络通讯线路,保持线路的畅通性以及连续性。
2 实际的网络威胁
计算机通讯系统不仅只局限在日常的信息传递领域,开始向着更高层次,更加集成化的环境发展,被应用在海上、天空甚至是宇宙和核辐射等恶劣环境下,相比较机房,这些环境必然会导致系统出现错误以及故障,从而降低了安全性以及系统发的可靠性。目前的网络威胁主要包括以下几种:(1)威胁以及攻击目标为信息;(2)威胁以及攻击目标为系统硬件;(3)攻击目标为软件以及硬件系统;(4)计算机犯罪。在近几年中,我国的计算机网络遭遇了一系列的安全威胁,网络犯罪、网络钓鱼以及数据泄露以及僵尸网络层出不穷。
3信息安全威胁
3.1 自然环境影响。究其本质计算机系统虽然在信息传递功能上有过人之处,但是其仍旧只是机器,因此会受到外界环境的影响,诸如,温度湿度以及振动冲击和污染等灾害都会对其系统的安全造成影响,另外,日常中由于断电而造成系统中数据的丢失错乱以及设备的损毁等经常发生。另外电磁干扰以及噪声都会对信噪比造成影响,从而增加了误码率,威胁信息的完整性以及可用性和安全性。
3.2 人为因素影响。黑客威胁以及攻击。计算机网络中的信息安全出了受到自然环境的威胁外,另一大威胁便是黑客。黑客已经成为了现代网络中令人为之色变的角色,黑客攻击也时有发生,网络成为了攻击者展示其技术以及经济条件的舞台。黑客通过系统漏洞侵入他人系统,盗取或者篡改他人信息,其危害性从某种意义讲要更加严重。这部分人能够熟练应用计算机工具,通过网络漏洞以及系统漏洞对他人的系统进行破坏。而境外黑客攻击对于我国网络的安全更是造成了巨大的威胁,这些境外黑客会通过非法手段对侵入系统的信息进行获取、窃听,从而获得一些敏感重要的资料信息,或者直接攻击破坏侵入系统,对网络正常状态进行破坏和修改,轻者导致数据丢失,严重的甚至会造成系统瘫痪,这些都给国家带来了重大的影响以及损失。
3.3 病毒影响。感染病毒的计算机其系统效率会降低,若是系统受损严重,则会出现死机以及系统毁坏现象,导致系统中文件数据丢失,甚至会导致主板和部分硬件受损。因此,对于计算机系统中的数据来说,其安全的最大威胁便是计算机病毒。计算机病毒从本质上讲只是一组程序代码或者是计算机指令,但是该代码指令具有自我复制能力,对计算机硬件以及软件的运行造成影响,且能够破坏计算机中的系统数据以及部分功能。计算机病毒特点较为明显,包括寄生性、隐蔽性、传染性、破坏性以及触发性等。计算机病毒防范工作必须引起网络安全管理部分的重视。
3.4 系统软件漏洞影响。漏洞以及缺陷是每个软件必不可少的。一旦介入互联网,这些漏洞便会称为受到攻击的焦点。
4 计算机网络安全防范策略
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成。(1)防火墙技术:其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。另外,防火墙还可以被用来保护企业内部网络某一个部分的安全。(2)数据加密与用户授权访问控制技术:与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。(3)漏洞扫描技术。一般认为,漏洞是指硬件、软件或策略上存在的的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。(4)防病毒技术。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。
结语
网络安全作为目前人们开始关注的焦点话题,其不仅仅是技术难题,同时也关系到管理。日常所使用的查毒软件、漏洞检测以及防火墙等措施不能作为网络安全管理的全部。网络安全工作中对于数据和系统的保护具有一定的限度,所以衡量网络安全与否的标准不能仅仅考察网络中应用的防护手段,重点应当放在网络采取措施的可靠性上,多重视网络安全硬件产品的研发和生产,保证计算机网络的安全性、稳定性以及可靠性。
参考文献
[1]邵雪.计算机网络安全问题与防护策略探讨[J].产业与科技论坛,2011(07).
关键词:校园网;网络;防火墙;风险防范;安全
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 21-0000-02
校园是高校学生学习和生活的重要场所,网络设施是学生和教师们学习与教课的重要辅助工具,网络安全是校园网络风险防范的重要课题。掌握校园网络的功能与特点,运用高科技的计算机防范技术,才能做好校园网网络的风险防范与安全监控。
1 校园网网络风险防范概述
1.1 校园网络的功能
在高校的不断发展与进步当中,目前各大高校也已经建立起了自己的校园网站,它在学校当中的应用已经成为了一种普遍现象,其采用的是计算机之间的相互交汇,能够有效的帮助同学们查阅资料和处理自己所需的一些知识框架,除此之外,同学们还可以下载资料,音频,分享心得等等。总之,校园网网络在学校当中已经成为了一种不可缺少的工具。学校网络除了对学生有很大的方便之外,其对学校的管理也是很有帮助的,学校可以通过其信息,减少了通过开会传达等繁琐的步骤,直接发到网上,广大师生就都可以看到了。当然,学校的行政管理和教学管理等都可以通过校园网网络的形式完成,不仅方便,还能够达到事半功倍的效果。
1.2 校园网络的特点
网络分为很多种,但是校园网络有其本身具有的独特特点。首先,校园网的网络规模非常大,他不类似于其他的一些网络就是几台机器的连接于共享,在一所学校中,基本上一般都可以达到一千多台计算机,它需要覆盖学校的所有网络,通过连接器和路由器等工具,是整个学校的信息达到共同的效果。其次,校园网网络的传输量非常大,因为一个学校中每天都有着大量的信息需要传播,所以这对计算机的传输系统又有着高要求的标准。校园网网络还具有计算先进和经济实用等特点。学校建立校园网的主要目的是为了方便学生学习的,所以非常的使用有效,但是一旦校园网网络遭到安全隐患,这也将导致非常严重的后果,所以校园网网络的风险防范于安全监控是非常重要的。
2 校园网络安全的主要技术
2.1 防火墙技术概述
随着计算机和网络通信技术的不断发展,网络安全问题也逐渐成为校园关心的一个问题。网络安全,从本质上讲就是人们在利用互联网的时候信息得到安全保障,其硬件和软件文件都得到保护,不会被其他人盗取,破坏或泄露。计算机网络具有开放性,互联性和共享性,这样一个开放式的平台就注定了会有信息流露的状况发生,再加上软件中系统缺少安全防范,容易遭到不法分子的侵入。当前的网络系统还是不完善不健全的,这时,防火墙的出现就显得尤为重要了。
随着网络功能的日益强大,防火墙技术的要求也越来越高,为了保护校园网络上的敏感信息和秘密数据不招受到人为的打击,防火墙技术需要在每一组数据连接的地方都建立起一道屏障,密切的关注和了解每一条信息的安全信。防火墙技术通过检测每一条通过他的信息,使得信息在扫描的过程中就取出其具有攻击性的信息,避免在计算机上干扰到其他信息的正常运转,并且防火墙技术还可以通过禁止来自特殊网店的访问来阻止病毒的入侵,大大减少了不明入侵者的入侵渠道。它的实施较为广泛,减少可大量的工作量和信息空间,还可监控到不可预料的信息情况,是一个比较广泛的防范系统。
2.2 防火墙的安全因素
据目前情况看来,为了提高网络安全性,已经涌现出了众多的不同种类的安全技术,例如IDS、反病毒、内容过滤、反垃圾邮件等安全技术。如果将这些技术都强加集中到防火墙技术中,以此来构造一个即强大又安全的防火墙系统是根本不可能实现的,这样做的结构就是导致防火墙强大的功能体系翻身被自己的力量所吞噬,这种结果弊是远远大于利的。防火墙技术另一重要现状就是防火墙系统自身的安全问题。由于防火墙本身就是网络安全中的重要组成部分,他在进行对破坏网络平衡的斗争是还需要时刻关注自己安全问题,在平时就应该不断升级自我保护能力,补丁的修复,自我升级等能力。
3 校园网网络的风险防范与安全监控
3.1 建立功能丰富的校园网络安全功能
纵观近些年来我国高校中校园网络防火墙技术的发展史,校园网的需求也在不断的提高。在用户进行对商品的选择时,同样的商品,更多的注重是该商品的附加值及其售后服务功能,所以在校园网网络防范风险的发展道路上,不仅仅是要开拓保护网络信息的安全技术,也要增设一些列的附加功能,供大众选择。例如,支持广域网口、路由器协议传统防火墙、部分传统防火墙技术改变功能、在防火墙中支持IPSEC协议族和使防火墙支持PKI客户端等等,这一系列的附加功能可以实现新型防火墙技术利用虚拟专用网,有效对网络安全信息进行保护数据的安全性、完整性,同时也可以实现动态的密钥管理,构建有序的网络体系。
3.2 建立具有高性能的防火墙技术
防火墙技术的发展逐渐朝着多功能、高安全性的方向发展。防火墙未来发展趋势可以让校园网网络更加无忧,但前提是仍然要确保校园网络的运行效率。因此在防火墙发展过程中,必须时刻谨记这始终将高性能放在主要位置。在不懈的追求防火墙技术的高性能同时,首先,需要提高防火墙性能的硬件平台,这是最简单也是最有效的方法,虽然简单,但是这种方法不能从根本上带来防火墙技术的性能提升,反而导致成本的过高,这种防止适用于适当的借鉴,另外一种方式是通过专用的ASIC芯片来实现高速转发,这种方法最大的优点就是在于可以达到防火技术性能的最优性,然而利用ASIC芯片的设计是非常有难度的上。由于ASIC开发的周期很长,开发投入很大,并且对于设计者来讲是需要有相当深厚的ASIC设计积累经验的,在同时,该新型的防火墙技术对系统的要求还是较高的,如果系统反应较慢,是难以支撑防火墙技术的发展的。这最后一种方案也是目前来讲实现防火墙技术高性能解决最主要的方案,就是通过选用合适的网络处理器或者网络处理芯片的组合以达到线速转发的性能要求。该种方案的优点就是对于网络处理器的运用较为灵活,对于新兴防火墙推出的多种附加功能,可以很好的惊醒利用,一方面难度系数的减小,同时也可以达到对高性能的要求,是这样一种一举两得的方案是非常受欢迎的,其可以非常有效的对校园网网络安全进行防范。
3.3 简化防火技术的安装与管理
校园网网络是一个复杂的网络,需要利用防火墙的功能,就是帮助互联网内部管理人员加强对内部信息安全性的观测和防范。然而,在众多的防火墙系统中,并不是所有都能够达到的防范标准,这都是由于对系统内部错误的认识与连接导致的。所以在校园网网络安全防范中,要不断加强对防火墙功能简化的安装,使其更好地适应互联网的配置,加快其运行速度而不是起到阻碍作用,加强对防火墙技术的管理系统,更好的是防火墙技术在防止黑客和病毒入侵的时候起到绝对的隔绝作用。这些都成为防火墙系统内部的一本分,把每一部份都做好,相信防火墙技术在未来的发展中,对校园网网络的风险防范也会越走越远的。
4 结束语
校园网网络风险防范与安全监测,这还是一个不断发展的长期实践过程。它容易遭到许多人为的蓄意破坏,或是由于管理者的失误,网络黑客的攻击、操作系统公开或未公开的漏洞、网络架构的变动、网络安全人才的缺乏等,这些都将导致网络系统的不安全,所以目前来讲,校园网络安全及技术防范任重而道远。
参考文献:
[1]谢希仁.校园网计算机网络[M].北京:电子工业出版社,2008.
[2]张红旗.校园网信息安全技术[M].北京:高等教育出版社,2010.
[3]吴秀梅.防火墙技术及应用教程[M].北京:清华大学出版社,2009.
关键词:国有大型国企;网络安全;风险防范
中图分类号:F279 文献标识码:A 文章编号:1007-9416(2017)01-0204-02
互联网的飞速发展,海量的信息资源极大的方便了用户的信息需求,但同时也给网络用户带来了信息安全问题。网络的开放性使得其在安全性上存在病毒入侵、信息泄露等安全风险,据不完全统计全球平均每20秒就会发生一次网络安全事件;我国超过90%的网络管理系统都遭到过黑客攻击或病毒入侵。尽管完全遏制网络攻击几乎是不可能的,任一组织的网络系统都不可能是真正的“金刚”之身,可以说网络安全是网络时代的永恒任务。
1 大型国企的主要网络安全风险
我国大型国有企业已普遍建立了统一的计算机信息系统平台,由于生产、管理数据集中于一个平台上,一损俱损,因而对网络安全提出了很高的要求。以目前我国大型国企的网络安全现状来看,其安全威胁主要来自以下方面:(1)内网威胁。有调查显示约有七成的网络安全威胁来自于企业内部,对于国有企业而言,内部人员的非法操作或误操作对企业的危害是极大的。这些威胁主要表现为:内部人员无意或有意的泄露、盗取企业信息,滥用或误用内部敏感、关键数据等。尽管目前我国大型国企虽然内部T工的网络隐患防范意识正在逐步提高,但这些安全威胁仍然普遍存在的现实情况。(2)外网威胁。在当前这个信息互联的时代,几乎任何国有企业的局域网都实现是与外网互联。在复杂的网络系统中,可能每一天都有入侵者试图闯入网络节点。一旦有员工主机受到网络攻击或感染病毒,就有可能影响整个企业的网络系统,甚至还可能影响到与企业网络系统有链接的其它单位网络。(3)系统风险。系统风险包括,操作系统风险与应用系统风险两大类。目前没有安全漏洞的操作系统是不存在的,当企业网络连上外网之后,必然存在非法入侵的可能。如果大型国有企业操作系统没有采用较高安全级别的系统配置与系统应用,就很容易被人侵入,给企业带来网络安全风险。应用系统的安全风险则更为复杂,因为应用系统是动态的。对于大型国企而言,应用系统的风险主要包括:1)服务器风险。大型国有企业的网络应用多为共享资源,员工有意或无意将硬盘中的信息共享,并长期暴露在网络邻居上的现象是很常见的,这些信息很容易被泄露出去,影响企业的信息安全。2)数据库风险。包括猜测或盗取口令访问、非授权用户的访问、攻击数据库漏洞等风险。当然,因意外导致数据库信息丢失,造成的安全问题也不应该被忽视。3)病毒侵害。通常病毒程序会通过网上下载、人为投放、电子邮件等途径潜入企业内部网络系统。由于大型国企的网络平台是统一的,因此一旦有一台主机感染病毒,就可能迅速影响整个企业内部网络,造成信息泄露、死机、文件数据丢失等安全隐患。4)数据传送风险。对于大型国有企业而言,数据安全尤为重要,数据在公网传输过程中也可能被人非法窃取、删改,一些与竞争对手可能通过技术手段给传送线路上的信息做手脚,造成数据受损或泄露。(4)管理风险。网络管理是大型国有企业网络安全防范中的重要内容,是必要的部分,对降低企业网络安全风险作用重大。其主要包括:1)责任不清,权限管理混乱,致使信息泄露,且出现问题后,追责也较为困难;2)内部不满员工也可能导致信息泄露;3)为了省事或便于记忆,有些大型国有企业设置的登录口令过于简单,导致极易破解,造成网络安全风险等。
2 确保大型国企网络安全的主要技术
所谓网络安全技术,即解决介入控制及确保数据传输安全的技术手段。目前主要的网络安全技术有:(1)网络防火墙技术。作为一种加强网络间访问控制,阻止外网非法入侵的技术手段,网络防火墙技术对保护大型国企内部网络操作环境,维护网络安全有着重要的作用。它能够按照一定得安全策略检测网络间得通信许可,并监视系统的网络运行情况。防火墙负责网络的安全认证,是整个网络安全体系中的最底一层。现代防火墙技术发展迅速,目前已开始向网络层之外的其他安全层级延伸,不再只是单纯的安全过滤,还可以向网络应用提供一定的安全服务,有一些防火墙产品甚至可以提供数据安全、病毒防御、用户认证等多种安全服务。(2)安全隔离。从安全风险来看,基于网络层与基于应用层的攻击较多,难以防范。几年来兴起了一种全新安全防护技术――安全隔离技术。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成信息的安全交换。(3)网络防毒及防蠕虫技术。蠕虫病毒与普通病毒不同,这类病毒通常可以单独安装到系统中,可以独立运行――这也是蠕虫病毒与普通计算机病毒的主要区别。目前,蠕虫病毒越来越多,隐蔽性也越来越强,很难被用户发现,因此危害极大。控制普通病毒的方法是搭建全网终端的集中式防病毒系统;而控制蠕虫病毒需要“阻断”其传播途径,构建邮件防御、漏洞防御、共享防御等立体式的防病毒系统。(4)加密技术。加密技术可分对称加密与非对称加密。对称加密即对信息的加密和解密都使用相同的钥,该方法可简化加密处理过程,信息交换双方都不必彼此研究和交换钥的加密算法。非对称加密即将密钥被分解公钥和私有密钥。这对密钥中任何一把都可以作为公钥(加密密钥)通过非加密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。
3 大型国企网络安全风险的防范措施
对于大型国有企业而言,计算机网络信息资源直接关系到其内部各项业务的运行,如果出现安全问题,轻则影响其网络的正常使用,重则导致整个网络平台瘫痪,数据丢失,信息外泄,给企业带来巨大的损失。因此应根据大型国企的实际情况制定安全防范措施,确保网络安全。
一方面,要加强网络安全管理。对于大型国有企业而言,网络安全管理特别重要,在实践中,我们发现许多网络安全问题出现在组织资源管理上。大型国有企业,可在遵循网络安全多人负责、职责分离、任期有限制的原则下,根据企业需要,制定与企业安防重点、工作环境、业务流程相应的安全管理制度,降低网络安全风险。第一,加强口令安全管理。所有企业内部员工必须对自己的工号或上机口令保密,并定期更改,以防被盗用,尤其是要加强对超级用户的口令保密。为了确保超级用户口令安全,超级用户或系统管理员应只在中心机房登陆,减少密码口令被盗风险。第二,建立严格的设备维护制度。设备安全是其他安全性措施的前提。除了要做好计算机的防火、防雷、防水、防盗等物理设备安全外,还应在不同地点,采用多介质备份操作系统及数据库系统,以防因设备问题导致数据、信息丢失。此外,对于大型国有企业而言,还应编制网络系统的运行记录,以便及时掌握全网运行状态。第三,构建病毒立体防御管理机制。包括定期对网络系统进行查毒、杀毒、升级杀毒程序;对员工进行防病毒教育;严谨在生产机器上安全与业务无关的软件等。通过安全管理,可使大型国企员工充分意识到网络安全工作的重要性。
另一方面,病毒与黑客技术也发展很快,且种类很多,因此,对于大型国有企业来说,充分利用、发展现代安防技术,构建立w防御体系也是极为必要的。第一,划分并隔离不同安全域。以大型国有企业的安全需求划分、隔离不同的安全域,防止误操作域无权访问。第二,建立防火墙系统。对网络接口、网络拨号接口、数据库、PC终端、DMZ等建立防火墙系统,并有针对性的进行防火墙隔离。第三,防范病毒和外部入侵。大型国企网管可以在CISCO路由设备中设置用户口令及EN―ABLE口令,解决网络层的安全问题;可以利用UNIX系统的安全机制,保证用户身份、用户授权和基于授权的系统的安全;对各服务器操作系统和数据库设立访问权限,以防非法用户使用TELNET、FTP等远程登录工具非法入侵。第四,加密、认证技术。加密技术主要用于网络安全传输、公文安全传输、桌面安全防护等方面;采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,从而发现系统遭受的攻击伤害。第五,PKI体系。公钥基础设施(PKI)是通过使用公钥技术和数字证书来确保系统网络安全并负责验证数字证书持有者身份的一种体系。PKI可以提供的服务包括:认证服务,保密(加密),完整,安全通信,安全时间戳,不可否认服务(抗抵赖服务),特权管理,密钥管理等。总之,大型国企的网络安全管理,其重要在于关键点管理,企业应在可以接受的成本范围内对症下药,通过“整体防御+重点保护”相结合,维护网络安全。
参考文献
关键词:无线网络;安全风险;防范技术
随着经济与科技的发展,人们在日常生活与工作当中都会使用无线网络,有些政府部门在传输数据信息时也会使用无线网络。无线网络传输数据信息可以提高传输的速度,这对于经济的发展是有利的。但是无线网络存在着一些安全问题,这跟无线网络开放性的设计有关。因此,如何保证无线网络可以安全地使用,是无线网络的重要问题。
1无线网络安全方面的风险
1.1无线网络存在被盗用的风险。简单来说,这种风险就是有一个没有经过授权的计算机接入了无线网络中,而这种行为被人们称为了“蹭网”。用户的无线网络被盗用会给用户带来不利的影响。主要表现在以下几个方面:首先,会降低用户无线网络的使用速度;其次,假如用户使用的是依据使用的流量来付费的服务,就会给用户造成一定的经济损失;再次,这种情况会提高用户无线网络被入侵的概率;最后,假如有黑客使用用户的无线网络进行黑客行为,将会对用户造成不利的影响[1]。1.2网络通信存在被窃听的风险。简单来说,这种风险就是用户在使用网络传输数据信息时被其他人截获的情况。很多的数据信息在通过无线网络传输时都是不使用密码的,通过一些有心的观察、监听等方法,就可以截获这些用户的数据信息。比如:在同一个局域网中的一台计算机可以使用一些可以监控数据的软件来截获另一台计算机使用的网址,还可以截获计算机上的一些聊天记录等。1.3存在钓鱼攻击的风险。这种风险就是用户受到一些存在钓鱼情况的无线网络接入点的攻击。这种攻击方法会提前建设一个无线网络的接入点,并且会开放地让用户接入到这些接入点中。然而,假如用户使用了这些钓鱼无线网络接入点,用户的电脑就会受到一些入侵,严重的用户的计算机都会被别人控制,可能会被人盗取文件或者是被植入一些木马病毒等。1.4无线接入点被其他人控制。目前,很多家庭都会使用的无线路由器就是一种无线接入点。无线接入点被其他人控制指的就是没有授权的人获取了无线路由器的控制权。在这些人盗取了无线网络的密码并且接入这个网络之后,就可以访问无线接入点的管理页面,假如用户的无线接入点的验证密码很简单,这些人就可以进入无线接入点的管理页面并进行修改[2]。这种情况可能会引发严重的问题,主要体现在以下几点:首先,在无线接入点被其他人控制之后,就可以随便修改用户的无线接入点的设置;其次,在无线路由器的管理页面当中,保存着用户的上网账号与口令,利用一些可以查看密码的软件就可以获得用户的账号与口令。
2无线网络加密的技术
2.1WEP使用有线等效保密协议(WiredEquivalentPrivacy,WEP)的目的就是要加强无线网络数据的安全性,以达到相关的网络安全性的标准。WEP由10个或者是26个十六进制的数字构成,这就给使用无线路由器的数据提供了安全方面的选择。这种技术是利用串流加密的方法来达到对于安全传输数据的需要,并且使用循环冗余校验的方法来校验,并保证传输的信息是正确的[3]。1999年9月,就已经把WEP作为了无线网络加密的一个标准。其使用的是40位的密码钥匙来进行加密的,同时利用RC4与循环冗余校验的方法来进行校验工作,这是通过连接24位的初始化向量来形成的一个RC4的密码钥匙。通常情况下,64位的WEP的密码钥匙要输入10个十六进制的字符。这10个字符中每一个字符都是代表4位的,而这4位再乘以10就成了40位,在加入了24位之后就形成了一个完整的64位密码钥匙。很多的设施还会允许用户的进入关键字是5的美国信息交换标准代码的字符,每一个字符串在划分成8个组之后就可以在ASCII字符的字节值当中打开。可是这也制约了字节的打印工作,只有少部分的字节有着被破解的风险,这就有效地降低了密码钥匙被破解的危险性。2.2WPA和WPA2WiFi网络安全接入(WiFiProtectedAccess,WPA)主要的计算标准就是WPA与WPA2,而现在无线网络大多使用的是WPA的标准。临时密码钥匙的完整性的协议是使用WPA的标准。但是WEP所应用的是40位或者是128位的密码钥匙,这种密码钥匙是要手动输入无线接入点和无线设备的,也不会自己进行修改。临时密码钥匙的完整性的协议是使用一包一密的一种加密的方法,这种标准就是形成了一个计算128位的密码的算法,用来保护数据的安全,进而有效避免用户受到一些攻击。这种方法是用来保护无线网络安全的一种技术,其是根据用户的需求而研发的,使用这种技术可以有效解决有线加密技术的缺点。而无线应用通信协议(WirelessApplicationProtocol,WAP)是在WEP向WAP2过渡时的一种方法,WPA是可以使用在无线网卡当中的,但是不能用在无线网络当中。WPA2是经过WiFi联盟认证的,其算法已经被计数器模式密码块链消息完整码协议(CounterCBC-MACProtocol,CCMP)讯息认证码取代,这种计算方法是比较安全的,而加密的方法也使用了更加高级的加密标准。WPA2也有一些缺点,就是不能使用在较为旧的网卡设施当中。相较于WEP来说,WPA的加密能力是比较高的。其使用的加密与解密的方式是相同的,也是静态的密码钥匙,WPA是利用安全密码钥匙来确保数据的安全性,这是利用临时密码钥匙的完整性协议来实现的,对于无线网络的发展是有利的。这种系统是利用在每一个规定的时间之中修改传输数据的安全密码钥匙,来有效避免一些黑客等对这些数据的破坏或者是截获。相较于WEP来说,WPA给用户提供的服务更加完整、更加安全,可以有效避免黑客截获这些数据或者是修改这些数据,有效地保证了用户的数据安全。
3无线网络安全风险的防范技术
3.1隐藏服务集标识。这种服务集标识是根据网络体系的不同来进行划分的,也就相当于有线网络中的虚拟局域网,在终端接入了任何一个服务集标识的网络的情况下,是不能和其他服务集标识的信息相互沟通的。考虑到使用的安全性,生产无线路由器的厂家研发了可以隐藏服务集标识的一个功能。使用这种技术,可以防止没有授权的用户获取隐藏的服务集标识禁止使用的接入点的名称。主要的原因就是计算机的系统是不能扫描到无线网络的地址的,但是我们也要防范一些可以破解无线网络的设备与软件,以免这些软件会分析出服务集标识的真实情况。3.2设置白名单计算机过滤。Mac地址也是需要使用网络的,这种方法不仅可以在有线网络使用,也可以在无线网络中使用。这种方法在有线网络与无线网络当中的使用方式是一致的。在我们设置了终端网卡的白名单以后,一些并不在这些白名单中的地址就不能进行访问了[4]。3.3使用WPA和WPA2技术。为了有效地解决保护无线电脑网络安全系统中的各种安全方面的问题,通常会使用WPA和WPA2这两种加密的方式,因为安全性比较高,保密的级别也比WEP更高。另外,还应该采用一定的措施来预防一些暴力的非法入侵,同时应该定期更改密码钥匙,提高保密程度。3.4预防对磁盘操作系统的攻击。打开磁盘操作系统预防工作的功能,就可以在一定的时间内统计相关的数据,假如在经过统计之后获得的这些信息满足了之前设置的阀值的情况下,系统就会认为已经出现了对磁盘操作系统进行攻击的行为,而对应的路由器就不会再接受这些数据,从而有效地防范了一些对磁盘操作系统的攻击行为。另外,我们应该开启“禁止来自局域网接口的因特网包探索器经过路由器”的功能,这可以有效避免主机的资源被过度消耗。3.5提高对网络的访问权限的控制力度。无线网络极为容易受到攻击与容易受到攻击是不同的,在设置无线接入点的时候,应该尽量将其设置在安全设施的外部,使用相关的技术将无线接入点和主干网络连接到一起,现在就有这种新型的产品,这种产品可以有效地确保用户访问的无线网络的安全性[5]。
4结语
随着计算机技术与互联网技术的发展,人们在平常的生活与工作当中都会使用无线网络,但是使用无线网络的时候还存在着一些安全问题,这就需要加强对网络安全方面的管理。另外,我们还应该使用一些新研发的策略来确保无线网络的安全性,进而保证无线网络可以正常运行,给用户提供更好的服务。
作者:朱礼俊 单位:三江学院
[参考文献]
[1]李刚.试论计算机信息管理技术在网络安全中的运用[J].无线互联科技,2016(2):123-124.
[2]张继永.水声网络信息安全保密风险分析[J].数字技术与应用,2016(3):218-219.
[3]MUIRURIJ.基于Metasploit渗透攻击的无线网络安全研究[D].兰州:兰州理工大学,2016.
关键词:企业网络;银联;网络安全;网络体系;技术手段
随着信息技术的高速发展,互联网越来越被人们所重视,从农业到工业再到高科技产业各行各业,都在使用互联网参与行业生存与竞争。企业对网络的依存度越来越高,网络在企业中所处的位置也越来越重要,系统中存储着维系企业生存与竞争的重要资产――企业信息资源。但是,诸多因素威胁着计算机系统的正常运转。如自然灾害、人员的误操作等,不仅会造成系统信息丢失甚至完全瘫痪,而且会给企业造成无法估量的损失。因此,企业必须有一套完整的安全管理措施,以确保整个计算机网络系统正常、高效、安全地运行。本文就影响银联计算机网络安全的因素、存在的安全隐患及其应对策略3个方面进行了做了论述。
一、银联网络安全存在的风险及其原因
(一)自然因素
首先,攻击之首为病毒攻击。由于银联网络庞大而复杂不可避免地要遭到这样或者那样的病毒的攻击。这些病毒有些是普通没有太大破坏的,而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器,造成机器“罢工”,另一方面会大量占用网络带宽,阻塞正常流量,形成拒绝服务攻击。事实上完全避免所有终端上的病毒是不可能的,但要尽量减少病毒爆发造成的损失和恢复延时是完全可能的。但是由于一些工作人员的疏忽,使得银联网络被病毒攻击的频率越来越高,所以病毒攻击应该引起特别关注。
其次,是软件漏洞。任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在以下方面:
1、协议漏洞。例如IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。
2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。
3、口令攻击。例如Unix系统软件通常把加密的口令保存在一个文件中,而该文件可通过拷贝或口令破译方法受到入侵。因此,任何不及时更新的系统,都是容易被攻击的。
(二)人为因素
银联网络安全存在的风险的人为因素有操作失误、恶意攻击。
银联计算机网络所面临的最大的人为威胁是恶意攻击:敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;被动攻击,它是在不影响网络正常工作的情况下。进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网安全构成巨大威胁,每年银联和网络运营商都要花费大量的人力和物力用于该方面的网络安全防范,因此,防范人为的恶意攻击将是银联网络安全工作的重点。
银联计算机网络所面临的第二大人为威胁是操作失误:操作员安全配置不当造成的安全漏洞,用户安全意识不强。用户口令选择不慎。用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在银联计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少。对网络安全已不构成主要威胁。
二、构建安全的网络体系结构
(一)设计银联网络安全体系的原则
设计网络安全体系的原则是安全性、高效性、可行性。首先是体系的安全性设计:设计网络安全体系的最终目的是为保护信息与网络系统的安全所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和可扩展性。其次是系统的高效性设计:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点。网络系统的安全体系包含一些软件和硬件,它们也会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。最后是网络安全体系的可行性设计:设计网络安全体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只能是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。
(二)银联网络安全体系的可承担性
银联网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由银联来支持,要为此付出一定的代价和开销。如果银联付出的代价比从安全体系中获得的利益还要多,那么就舍弃这个方案。所以,在设计网络安全体系时,必须考虑银联企业的业务特点和实际承受能力,必需要按电信级、银行级标准来设计这4个原则,即安全第一、保障性能、投入合理、考虑发展。
(三)银联网络安全体系的建立
银联网络安全体系的定义:银联网络安全管理体系是一个在多个银行之间建立的网络系统内,结合安全技术与安全管理,以实现系统多层次安全保证的应用体系。
银联网络系统完整的安全体系系统物理安全性主要是指从物理上保证系统中各种硬件设备的安全可靠,确保应用系统正常运行。主要包括以下方面:防止非法用户破坏系统设备,干扰系统的正常运行。防止内部用户通过物理手段接近或窃取系统设备,非法取得其中的数据。为系统关键设备的运行提供安全、适宜的物理空间,确保系统能够长期、稳定和高效的运行。例如中心机房配置温控、除尘设备等。
银联网络安全性主要包括以下方面:限制非法用户通过网络远程访问和破坏系统数据,窃取传输线路中的数据。确保对网络设备的安全配置。对网络来说,首先要确保网络设备的安全配置,保证非授权用户不能访问任意一台计算机、路由器和防火墙。网络通讯线路安全可靠,抗干扰。屏蔽性能好,防止电磁泄露,减少信号衰减。防止那些为网络通讯提供频繁服务的设备泄露电磁信号,可以在该设备上增加信号干扰器,对泄露的电磁信号进行干扰,以防他人顺利接收到泄露的电磁信号。
银联网络应用安全性主要是指利用通讯基础设施、应用系统和先进的应用安全控制技术,对应用系统中的数据进行安全保护,确保能够在数据库级、文档/记录级、段落级和字段级限制非法用户的访问。另外,对存放重要数据的计算机(服务器、用户机)应使用安全等级较高的操作系统,利用操作系统的安全特性。
三、银联网络系统安全的技术实现
(一)防火墙技术
在外部网络同内部网络之间应设置防火墙设备。通过防火墙过滤进出网络的数据,对进出网络的访问行为进行控制和阻断,封锁某些禁止的业务,记录通过防火墙的信息内容和活动。对网络攻击进行监测和告警。防火墙可分为包过滤型、检测型、型等,应根据不同的需要安装不同的防火墙。
(二)划分并隔离不同安全域
根据不同的安全需求、威胁,划分不同的安全域。采用访问控制、权限控制的机制,控制不同的访问者对网络和设备的访问,防止内部访问者对无权访问区域的访问和误操作。
我们可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。在关键服务器区域内部,也同样需要按照安全级别的不同进行进一步安全隔离。
划分并隔离不同安全域要结合网络系统的安防与监控需要,与实际应用环境、工作业务流程和机构组织形式密切结合起来。
(三)防范病毒和外部入侵
防病毒产品要定期更新升级,定期扫描。在不影响业务的前提下,关闭系统本身的弱点及漏洞并及时打上最新的安全补丁。防毒除了通常的工作站防毒外,email防毒和网关式防毒己经越来越成为消除病毒源的关键。还应使用扫描器软件主动扫描,进行安全性检查,找到漏洞并及时修补,以防黑客攻击。
银联网管可以在CISCO路由设备中,利用CISCO IOS操作系统的安全保护,设置用户口令及ENABLE口令,解决网络层的安全问题,可以利用UNIX系统的安全机制,保证用户身份、用户授权和基于授权的系统的安全,对各服务器操作系统和数据库设立访问权限,同时利用UNIX的安全文件,例如/etc/hosts.equiv文件等,限制远程登录主机,以防非法用户使用TELNET、FTP等远程登录工具,进行非法入侵。
(四)备份和恢复技术
备份是保证系统安全最基本、最常用的手段。采取数据的备份和恢复措施,有些重要数据还需要采取异地备份措施,防止灾难性事故的发生。
(五)加密和认证技术
加密可保证信息传输的保密性、完整性、抗抵赖等,是一个非常传统,但又非常有效的技术。加密技术主要用于网络安全传输、公文安全传输、桌面安全防护、可视化数字签名等方面。
(六)实时监测
采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络实时监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征。
(七)PKI技术
公开密钥基础设施(PKI)是通过使用公开密钥技术和数字证书来确保系统网络安全并负责验证数字证书持有者身份的一种体系。PKI可以提供的服务包括:认证服务,保密(加密),完整,安全通信,安全时间戳,小可否认服务(抗抵赖服务),特权管理,密钥管理等。
四、结束语
网络的安全与银联利益息息相关,一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,银联网络管理人员要掌握最先进的技术,把握住银联网络安全的大门。
参考文献:
1、李国栋,刘克勤.Internet常用的网络安全技术[J].现代电力,2001(11).
2、肖义.PKI网络安全平台的研制与开发[J].山东电子,2002(1).
3、钱蓉.黑客行为与网络安全[J].电力机车技术,2002(1).
4、张立,卫红勤.银行计算机网络安全建设[J].,2006(8).
关键词 计算机网络;安全风险;黑客;防范措施
中图分类号TP393 文献标识码A 文章编号 1674-6708(2012)72-0209-01
近十几年来,计算机技术的快速发展,推动了全社会的信息化进程,计算机的广泛应用,提高了各个行业的工作效率。但是,计算机互联网由于其开放性、互连性特征,易遭到黑客以及恶意软件的攻击,给计算机的使用者带来极大的损害。由于互联网存在诸多潜在的安全风险,使得计算机网络的安全问题面临着严峻的考验。因此,分析计算机网络存在的安全风险,探讨相应的防范措施,具有重要的现实意义。
1 计算机网络安全风险分析
计算机网络的安全风险,主要存在于以下六个方面:
1)计算机网络系统本身的安全风险。计算机系统的网络结构,普遍应用的是混合型结构,多种设备的结构混合为一体,而每种设备,都会不同程度的影响到网络的运行,对计算机网络系统形成潜在的安全风险。此外,由于开放性和共享性是网络技术的优点,但是,由于互联网的复杂性、交错性,其开放性、共享性的优点,同时也成了弱点,使得计算机系统容易遭受到黑客的攻击,造成了安全风险;2)计算机病毒。计算机病毒,指的是人为编制的一组计算机指令或代码,其进入计算机程序后,能够毁坏计算机的数据,破坏计算机的功能。随着近年来互联网规模的日益扩大,计算机病毒传播的主要手段,成为了网络传播,病毒能够在局域网内进行传播、扩大。计算机用户在上网时,正常的浏览网页、看新闻、下载图片及视频资料、收发电子邮件等,都有可能感染上计算机病毒。电脑一旦感染了病毒,电脑的程序和系统都会遭到严重的破坏,导致计算机无法正常工作;3)黑客攻击。黑客是指利用计算机的系统安全漏洞,对网络进行攻击破坏,或窃取资料的人。计算机网络系统本身的安全风险,给黑客带来了可乘之机,黑客通过密码探测,对计算机进行入侵、攻击,通过网络侦察,截获将电脑用户的信息,窃取用户资料,破译用户密码,得到电脑使用者的机密信息,给电脑使用者造成很大的损害;4)垃圾邮件。由于计算机用户的电子邮件地址具有公开性的特点,使得黑客可以把垃圾邮件强行发送到众多计算机用户的电子邮箱中,使用户面临可能感染计算机病毒的风险;5)网络软件漏洞。很多的网络软件存在安全漏洞,很大一部分的服务器,由于网络软件没有及时打上补丁,而成为了黑客攻击的对象,导致很严重的安全风险;6)网络管理力度不够。很多网络站点的防火墙配置,由于访问权限过大,这些权限一旦被黑客使用,就会使计算机面临被黑客攻击的风险,从而降低了网络系统的安全性。
2 计算机网络安全防范措施
1)设置访问控制。为了防范网络风险,通常采取的最主要的措施,就是设置访问控制。设置访问控制,可以保证计算机网络不被非法访问和使用,是保证计算机网络安全最重要的核心措施;2)运用计算机病毒防范技术。由于计算机病毒的破坏性很强,会对电脑造成严重的危害,所以计算机用户要在使用的电脑上,安装适合的杀毒软件,并经常升级杀毒软件。同时,计算机用户还要注意上网安全,对于感觉可疑的网页链接,不要轻易打开;对于感觉可疑的文件,不要轻易下载;3)运用防火墙技术。防火墙具有限制外界用户对内部网络访问、管理内部用户访问外界网络的作用。防火墙技术按照一定的安全策略,对网络中的链接方式进行检查,来判断网络之间的通信是否被允许,同时对网络运行的状态进行实时的监控。把所有安全软件配置在防火墙上,可以有效防止非法用户的入侵,极大地降低计算机网络的安全风险;4)安装杀毒软件。只需要几分钟的时间,就可以把杀毒软件安装到计算机的NT服务器上,还可下载到所有的目的机器上。好的杀毒软件能够自动提供最佳的网络病毒防御措施,计算机用户要选择合适的网络杀毒软件,对计算机网络定期进行查毒、杀毒、网络修复等。与此同时,用户要对杀毒软件及时进行升级换代,以确保其对病毒的杀伤力;5)运用信息加密技术。由于计算机网络具有复杂性、开放性的特点,同时计算机自身存在缺陷,当信息数据通过网络进行传输时,信息数据易被泄露,因此,信息加密技术就显得尤为重要。计算机网络数据加密在整个过程中,其进行传输的时候,都是以密文形式进行的,因此可使保障数据传输的安全,得到有效的保障;6)落实网络安全管理。网络安全的防范,除了应用先进的软件之外,还需要落实网络安全管理。网络管理员要加大网络监控力度,对网络安全状况进行准确的评估,针对计算机网络安全存在的风险,提出相应的整改意见,并制定应急预案,以防患于未然。同时,做好计算机设备的维护,营造优良的网络环境,确保计算机网络的安全。
总之,针对计算机网络存在的安全风险,加强计算机网络的安全防范措施,不但要采用先进的软件技术,而且要加强网络的安全管理,才能确保计算机网络的安全运行。
参考文献
[1]何莉,许林英,姚鹏海.计算机网络概论[M],2006(1).
[2]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011(9).
[3]金晓倩.基于计算机防火墙安全屏障的网络防范技术[J].素质论坛,2009(11).
[4]王小芹.计算机网络安全的防范技术及策略[J].内蒙古科技与,2005(15).
关键词 网络安全;威胁;防范
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)58-0173-02
随着经济社会的发展,网络应用的范圃越来越广泛,社会对网络的依赖程度也越来越大,通过网络阐述、存储和处理的信息量迅速增长。这些信息涉及的范围十分广泛,如果有些保密信息或敏感信息受到怀有不良目的的人或组织的攻击或者破坏,就可能会造成严重的后果。因此,网络安全已经成为关系国家安全、经济发展和社会稳定的一个重大问题。
1 网络面临的安全风险
计算机网络一直面临着来自多方面的安全威胁,这些威胁有来自外部系统的恶意攻击、系统本身的安全缺陷或安全漏洞威胁,有系统内部各种应用软件的安全漏洞威胁,人为或偶然事故构成的威胁,还有自然灾害构成的威胁等。这些威胁,表现形式是多种多样的,主要有以下几点:1)身份窃取,即非法获取合法用户的身份信息;2)非授权访问,即对网络设备及信息资源进行非正常使用或越权使用;3)冒充合法用户,即利用各种假冒或欺骗的手段非法获得合法用户的权限,以达到占用合法用户资源的目的;4)数据窃取,即通过网络窃听他人传输的信息内容,非法获取数据信息;5)破坏数据的完整性,即利用中断、篡改和伪造等攻击手段,攻击或破坏数据的完整性,干扰用户的正常使用;6)拒绝服务,即阻碍或禁止通信设施的正常使用和管理,使网络通信被删或实时操作被延时等;7)否认,即参与通信的各方事后否认其参与的行为;8)数据流分析,即通过分析通信线路中的信息流向、流量、流速、频率和度等,从而获得有用信息;9)旁路控制,即攻击者发现系统的缺陷或安全弱点,从而渗入系统,对系统进行攻击;10)干扰系统正常运行,即改变系统的正常运行方法,降低系统的运行速率或者是减慢系统的响应时间等;11)病毒与恶意攻击,即通过网络传播病毒,或者对网络进行恶意攻击,破坏网络资源,使其不能正常工作,甚至导致瘫痪;12)电磁泄漏,即从设备发出的电磁辐射中泄露信息;13)人员疏忽,即工作人员没有按照安全规章制度要求办事,给网络带来威胁。
上述安全威胁的表现形式可以归纳为两大类,即对实体的安全威胁和对信息的安全威胁。实体安全威胁实体安全威胁是指对计算机设备、网络设备、通信设施、通信线路及网络环境等物理实体构成的安全威胁。实体安全威胁包括自然灾害,设备故障(如断电、器件损坏、线路中断等),工作场所与环境的影响(如强磁场、电磁脉冲干扰、静电、灰尘等),人为破坏(如误操作、恶意攻击等),以及设备、软件或资料的被盗与丢失等。实体安全威胁轻则可能引起网络系统工作的紊乱,重则可能造成网络瘫痪,从而可能造成巨大损失。由于实体安全威胁中所涉及的实体多、环节多,实体分布的范围广,实体安全威胁情况复杂,给分析与实施安全措施和安全策略制定带来了很大困难。因此,要减少甚至避免实体安全威胁,提高网络安全性,就必须首先做好实体的安全防范工作。第二方面是信息安全威胁,信息安全威胁是指信息在加工处理、传输和存储过程中所受到的安全威胁。对于在网络信息传输过程中所受到的安全威胁主要有4种,分别是截获、中断、篡改和伪造等。
2 网络安全内容
网络安全是指通过各种技术手段和安全管理措施,保护网络系统的硬件、软件和信息资源免于受到各种自然或人为的破坏影响,保证系统连续可靠地正常运行。硬件资源包括:计算机、通信设备和通信线路等;软件资源包括:维持网络运行的系统软件和应用软件;信息资源包括:通过网络传输、交换和存储的各种数据信息。信息安全是网络安全的本质核心,保护信息资源的机密性、完整性和真实性,并对信息的传播及内容有控制能力是网络安全的核心任务。按照网络安全的机构层次来划分,网络安全可以进一步分为物理安全、运行系统安全和网络信息安全等3个基本组成部分。
2.1物理安全
物理安全即实体安全,是指保护计算机设备、网络设施及其他媒体免遭地震、水灾、火灾、雷击、有害气体和其他环境事故(包括电磁污染等)的破坏以及防止人为的操作失误和各种计算机犯罪导致的破坏等。物理安全是网络系统安全的基础和前提,是不可缺少和忽视的重要环节。只有安全的物理环境,才有可能提供安全的网络环境。物理安全进一步可以分为环境安全、设备安全和媒体安全。环境安全包括:计算机系统机房环境安全、区域安全、灾难保护等;设备安全包括:设备的防盗、防火、防水、防电磁辐射及泄漏、防线路截获、抗电磁干扰及电源防护等;媒体安全包括:媒体本身安全及媒体数据安全等。
2.2 运行系统安全
运行系统安全的重点内容是保证网络系统能够正常运行,避免由于系统崩溃而造成系统中正在处理、存储和传输的数据的丢失。因此,运行系统安全主要涉及计算机硬件系统安全、软件系统安全、数据库安全、机房环境安全和网络环境安全等内容。
2.3 网络信息安全
网络信息安全就是要保证在网络上传输信息的机密性、完整性和真实性不受侵害,确保经过网络传输、交换和存储的数据不会发生增加、修改、丢失和泄露等。网络信息安全主要涉及安全技术和安全协议设计等内容。通常采用的安全技术措施包括:身份认证、访问权限、安全审计、信息加密和数字签名等。另外,网络信息安全还应当包括防止和控制非法信息或不良信息的传播。
3防火墙技术与病毒防范技术
3.1 防火墙技术
防火墙是基于网络访问控制技术的一种网络安全技术。防火墙是由软件或硬件设备组合而成的保护网络安全的系统,防火墙通常被置于内部网络与外部网络之间.是内网与外网之间的一道安全屏障。因此,通常将防火墙内的网络称为“可信赖的网络”,而其外的网络称为“不可信赖的网络”。际上,防火墙就是在一个被认为是安全和可信的内部网络与一个被认为是不安全和不可信的外部网络之间提供防御功能的系统。防火墙能够限制外部网络用户对内部网络的访问权限,防止外部非法用户的攻击和进入,同时也能够对内部闷络用户对外部网络的访问行为进行有效的管理。
根据防火墙的实现方式不同,防火墙一般又可以分为双宿/多宿网关防火墙、屏蔽主机防火墙和屏蔽子网防火墙等3种类型。
3.1.1 双宿/多宿网关防火墙
双宿/多宿网关防火墙是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,是由一台称为堡垒主机的设备来承担。通常的实现方法是在该堡垒主机上安装两块或多块网卡,由它们分别连接不同的网络,如一个网络接口连接到内部的可信任网络,另一个连接到外部不可信任网络。通过堡垒主机上运行的防火墙软件,利用应用层数据共享或者是应用层服务功能来实现两个或多个网络之间的通信。双宿/多宿网关防火墙,可以根据网络安全、性能及用户需求等的不同,可以采用包过滤防火墙技术或服务防火墙技术予以实现。
双宿/多宿网关防火墙的主要优点是安全性好、易于实现、方便维护。这种防火墙致命弱点是,一般情况下为了保证网络系统安全都禁止堡垒主机的路由功能,但是如果非法入侵者侵入堡垒主机并使其具有了路由功能,那么外部网络的任何用户都能够很方便地访问内部网络,网络安全性将无法保证。因此,为了提供网络的安全性,保证内部网络的安全,就必须对堡垒主机采取必要的保护措施。通常采用方法有:关闭路由功能、保留最少和最需要的服务、划定详细的维护和修复策略等。
3.1.2 屏蔽主机防火墙
屏敝主机防火墙是由包过滤路由器和堡垒主机共同构成。在屏蔽主机防火墙中,包过滤路由器连接外部网络,并利用过滤规则实现分组过滤,同时也使位于内部网络的堡垒主机成为外部网络能够直接访问的唯一主机。外部网络非法入侵者要想侵入内部网络,必须通过包过滤路由器和堡垒主机两道屏障。因此,屏蔽主机防火墙提供了比
双宿/多宿网关防火墙更高的安全性,
3.1.3 屏蔽子网防火墙
屏蔽子网防火墙是目前最安全的防火墙系统之一,它支持网络层和应用层安全功能。屏蔽子网防火墙通常由两个包过滤路由器(即外部包过滤路由器和内部包过滤路由器)和―个堡垒主机共同构成。
3.2 病毒防范
病毒本身就是一段特殊的代码或程序,一般内3个基本部分组成,即引导部分、传染部分和破坏部分。当计算机执行病毒所依附的程序时、病毒程序就获取了对计算机的控制权,开始执行它的引导部分,然后根据条件是否满足调用传染部分和破坏部分。通常情况下、传染条件容易满足,因此病毒的传染比破坏来得容易。在病毒的破坏条件未被满足时。病毒处于潜伏状态。
病毒检测技术是通过对计算机病毒特征的检测来发现病毒的技术,但是自计算机病毒被发现以来,病毒的种类以几何级数在增长,并且病毒的机制和变种也在不断地进行演变,给检测病毒带来了很大难度。目的常用的病毒检测方法主要有比较法、特征代码法、分析法、行为检测法和软件仿真扫描法等。
病毒防范不仅涉及防范技术,还包括应当采取的防范措施等内容。预防是对付病毒最理想的方法之一。病毒的预防技术是通过预防系统自身首先驻留计算机系统内存,优先获得系统的控制权,并对系统进行监视来判断是否有病毒存在的可能,进而阻止病毒进入计算机系统及对计算机系统进行破坏。常见的病毒预防技术主要有:信息加密、系统引导区保护、系统监控及读写控制等。此外,为了防范病毒,除了防范技术外,还要认真落实必要的安全管理措施,必要时候遇到特殊情况还可以使用法律的手段保护网络安全。
总之,网络安全涉及安全技术、安全管理和相应的安全法律法规等方面。安全技术是基础,安全管理是手段,安全法律法规是保障,它们共同构成网络的安全体系,要提高网络安全性,就必须从这三个方面着手,不断增强安全意识,完善安全技术,制定安全策略,加强安全教育和安全管理.以提高防范安全风险的能力。网络安全是一项长期而重要的任务,应当常抓不懈。
参考文献
[1]林小青,郎静宏.网络安全防范体系的研究与应用[J].保密科学技术,2011(3).
(天津市第三中心医院信息处天津300170)【摘要】随着计算机应用范围的扩大和互联网技术的迅速发展,给各行各业提供便利的同时也带来了众多安全隐患。本文着重介绍了网络安全的定义和特征,分析了影响网络安全的主要因素,并提出了针对医院有效的网络安全防范策略。【关键词】医院; 网络安全; 安全防范【中图分类号】R471.1 【文献标识码】A【文章编号】1004-5511(2012)04-0648-01 当前社会已经进入了21 世纪,而21 世纪的重要特征就是数字化、网络化和信息化,这是一个以网络为核心的信息时代。Internet 的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击,同时也产生了网络安全问题。下面就医院计算机网络存在的安全隐患及相关策略进行探讨分析。1 计算机网络安全的定义
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安安全包括信息的完整性、保密性和可用性。2 影响计算机网络安全的主要因素2. 1 信息泄密主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。2. 2 信息被篡改积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。2. 3 传输非法信息流。只允许用户同其他用户进行特定类型的通信,但禁止其他类型的通信,如允许电子邮件传输而禁止文件传送。2. 4 网络资源的错误使用如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。2. 5 非法使用网络资源非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。2. 6 环境影响自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。3
计算机网络安全现状近年来随着Internet 的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。据有关部门统计,全球每年网络安全问题所造成的经济损失高达数百亿美元,而全球平均每20 s 就发生一起Internet 计算机侵入事件。不法分子利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据,使得针对计算机信息系统的犯罪活动日益增多。对计算机网络安全构成的威胁可分为以下若干类型: 黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数据等。4
医院业务与信息安全
随着医疗信息化的进一步发展,目前国内医院的各种核心业务越来越依赖于信息化。如HIS系统在医院中起着越来越重要的作用,一旦在门诊运营时段出现网络故障,医院门诊、挂号、收费等全部改为单机操作甚至是手工操作,往往给医院的正常运营带来巨大的影响,不仅给医院的声誉造成影响,更严重的是给病人耽误了宝贵的就医时间。信息系统中的财务数据、电子病历、患者隐私等信息一直是医院最为关键的数据信息。病毒、木马、攻击等行为会造成医院业务的中断、病人数据泄露、被篡改,从而引发医患纠纷,类似事件屡屡发生。为了保障核心业务的安全、稳定运行,很多医院采用内外网物理隔离,部署了地址绑定、防火墙、桌管、ACL等安全策略,但安全问题仍然得不到有效解决。5 医院计算机网络安全策略分析技术层对策5. 1 加强医院内部网络管理人员以及使用人员的安全意识。医院网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。5. 2 安装优秀的杀毒软件,与医院操作系统及其它安全措施紧密地结合在一起,成为医院网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。5. 3 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。但也有明显不足: 无法防范其他途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件。5. 4 入侵检测系统( IDS) 是一种主动的网络安全防护措施,它从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击,发现入侵后,及时做出一些相对简单的响应,包括记录事件和报警等,并与防火墙进行协作,请求防火墙及时切断相关的网络连接。防火墙与入侵检测系统( IDS) 联动,可以对网络进行动静结合的保护,对网络行为进行细颗粒的检查,并对网络内外两个部分都进行可靠管理。物理层对策5. 5 数据加密技术是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。完善的对称加密和非对称加密技术仍是21 世纪的主流。5.6 计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。 5.7 机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。 6 结束语总之,医院网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括医院信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以通过医院网络安全问题的浅析,可以说,安全产业将来也是一个随着新技术发展而不断发展的产业。参考文献[1]严明. 多媒体技术应用基础. 华中科技大学出版社,2007.[2]朱理森,张守连. 计算机网络应用技术. 专利文献出版社,2008.[3]谢希仁. 计算机网络( 第4 版) . 电子工业出版社,2003.
