2网络信息安全的内涵和目标
2.1网络信息安全的概念和内涵网络信息安全定义是:不因偶然或恶意的因素,使网络信息遭受非法篡改、插入、删除或显现,以保证信息的完整性、安全保密性和可用性[1]。同时网络信息安全是涉及计算机技术、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论、社会心理等多种技术的边缘性的综合学科。就总体而言,信息安全主要包括信息本体安全、计算机系统安全、网络安全、管理体系安全四个层次的内容。只有通过对上述诸多研究领域长期的知识积累,才能确保网络信息安全合理的共享。本文主要将叙述其中的应用协议、数据加密、病毒学、防火墙、入侵检测等技术。
2.2网络信息安全的主要目标综观国内外有关信息安全事件,网络信息安全的研究目标应主要集中在以下五个方面:
(1)、网络的可靠性这是网络安全最基本的要求之一。目前,对于网络可靠性的研究基本上偏重于硬件可靠性方面,研制高可靠性元器件设备,采取合理的冗余备份措施仍是最基本可靠性对策。但有资料表明,系统失效性很大一部分是由人为因素造成的。
(2)、网络的可用性
网络最基本的功能是向用户提供所需信息和通信服务,必须随时满足用户通信的要求。为此网络需要采用科学合理的网络拓扑结构、冗余容错和备份措施以及网络自愈技术、负荷分担、各种完善的物理安全和应急措施等,保障网络安全。
(3)、信息的保密性
采用访问控制技术,可以有效地防止网络信息资源不被非法使用和访问。访问控制包括入网访问控制、网络权限控制、服务器控制等多种技术手段。
(4)、信息的完整性
由于网络本身的不安全,会导致信息在传输过程中遭受非法用户的窃取、破坏,而通过信息加密技术,即使信息被窃取,加密后的信息也不易泄漏,可将损失降到最低点。
(5)、信息的不可抵赖性
随着通信业务不断扩大,电子商务、电子金融和办公自动化等许多信息处理过程都需要通信双方对信息内容的真实性进行认同,需要对此应采用数字签名、认证等有效措施。
3现行主要信息安全技术
3.1通信协议安全
便捷和高效的互联网络一直是网络标准制定者力求达到的目标,网络的安全是影响这两者的最重要因素。IPv6作为下一代互联网通信协议,具有很强安全性。IPv6强制实施Internet安全协议IPSec,它主要由3个部分组成,即认证协议(AH)、封装安全载荷(ESP)和Internet密钥交换协议(IKEhIPSec为IPv6提供了具有极强的互操作能力、高质量和基于密码的安全,在IP层实现多种安全服务,包括访问控制、无连接完整性、数据源验证、抗重播、加密和有限的业务流机密性。和网络协议不同,网络信息安全目前还没有统一的标准,但美国国防部的计算机安全橙皮书(1985)得到广泛支持,成为制定计算机安全标准的基础。橙皮书将计算机安全分为A、B、C、D四个安全级别,每个级别内还可再细分。其中C2级已成为事实上的工业标准,许多计算机厂商都采用C2标准中各项准则和原理来完善自己的系统安全特性。GSSP是另一组重要的信息安全标准,它是由美国信息系统安全协会GSSP委员会为实现信息安全制定的一组原理,与C2标准不同,GSSP更强调个人管理而不是系统管理。
3.2密码技术
密码技术是信息安全的核心与关键。一般而言,密码体制分为单钥(对称密码)、双钥(不对称密码)、混合密码(单双钥的混合实现)三种体制。采用加密技术网络系统的优点在于:不仅不需要特殊网络拓扑结构的支持,而且在数据传输过程中也不会对所经过网络路径的安全程度作出要求,从而真正实现了网络通信过程端到端的安全保障。当前网络信息加密主要使用的是不对称密码或混合密码。
3.2.1公钥密码曾经作为美国联邦信息处理标准的DES算法在1997年被攻破。IDEA作为DES的一种改进方法,具有128bit的密钥和更强的安全性。为了保证公钥密码RSA的安全性,公钥长度至少要600bit,实现速度比DES至少要慢两个数量级。近来提出的一种基于Montgomery算法的RSA公钥密码可以同时进行乘法和模减运算,取代原先的除法运算模式,使得运算速度大幅提高,成为现今广泛采用的RSA密码。基于椭圆曲线的公钥密码ECC是密码学研究和应用的热门领域,很多厂商己经开发出符合IEEEP1363标准的椭圆曲线公钥密码。己有将ECC的数字签名应用于电子政务中的可行方案,并且椭圆曲线密码从试验结果来看加密性和运行速度均优于RSA算法[3],很有可能取代RSA的地位,成为主流的公钥加密算法,目前己有ECC在CDMA和IC智能卡上的应用方案提出。
3.2.2Hash函数王小云于2005年给出了SHA-0的碰撞,以及SHA-1的理论破解,将破解SHA-1的计算量降低了3个数量级,这对评估Hash函数的安全现状以及未来Hash函数的设计会产生极大影响。MD5和SHA-1的破解,动摇了目前数字签名的理论根基,对现有的数字签名方法构成了威胁。美国国家技术与标准局(NIST)计划在2010年前逐步淘汰SHA-1,换用其他更长更安全的算法(如SHA-384,SHA-512)来替代。
3.2.3量子密码将来有可能取代公钥加密算法的还有一种加密方法,即量子加密系统。量子加密是两个用户各自产生一个私有的随机数字字符串。第1个用户向第2个用户的接收装置发送代表数字字符串的单个量子序列(光脉冲),接收装置从2个字符中取出相匹配的比特值,这些比特值就组成了密钥的基础。量子加密法的先进之处在于这种方法依赖的是量子力学定律,传输的量子是无法被窃听的,如果有人窃听,通信双方会得知,这是因为窃听动作本身会对通信系统造成干扰,使通信系统的量子状态出现不可挽回的变化,这样通信双方会结束通信,生成新的密钥。试验证明,这种加密方法在卫星通信中也是可行的,但只有在宽带光纤通信中才可以进行量子密钥的发送。在实际的应用中,通过光纤传输的量子密钥可以用于加密普通宽带数据信道所传送的信息。2004年6月,美国BBN公司建立的世界上第一个量子密码通信网络在马塞诸塞州剑桥城正式投入运行,它标志着量子密码通信技术己进入实际应用阶段。
3.2.4其它加密体制其它一些领域的研究也对信息加密产生了积极的影响,甚至可能带来革命性转变,其中较引人注意的有混沌密码、DNA密码和神经网络在密码学上的应用。
1)混沌密码:由于混沌系统对初值及参数极其敏感,同时还具有非周期性和伪随机性的特点,可针对现有方法数据运算量大的缺陷,在运用整数计算代替浮点数计算减低计算量,提供了一种新的实现方法,已引起了密码学领域的广泛关注。
2)DNA密码:DNA密码是近年来伴随着DNA计算的研究而出现的密码学新领域,其特征是以DNA为信息载体,以现代生物技术为实现工具,挖掘DNA固有的高存储密度和高并行性等优点,实现加密、认证及签名等密码学功能。2000年,加拿大DNATechnology公司把DNA序列用到了悉尼奥运会的产品认证上。DNA密码现在仍处于发展阶段,它的广泛应用还有待各方面技术的进一步发展。
3)神经网络:目前神经网络在许多学科领域都获得了成功的应用,其中通信及保密通信就是神经网络的重要研究领域,并己成为神经网络应用研究的一个热点。
3.3计算机病毒
近2年来,随着网络广泛融入各个经济金融领域,计算机病毒的攻击技术也越来越复杂,破坏力越来越强,并且更多地以获取经济利益为目标,例如窃取银行账户信息,盗取网游密码等。在网络游戏市场,网上虚拟装备交易十分活跃,一件好的装备或高级别的账号卖出上万元人民币并不鲜见,大批针对网络游戏的木马病毒因此而出现,如2007年初爆发的窃取“魔兽世界”游戏帐号木马。该木马破解了游戏的加密算法,主动截取局域网中的数据包,通过分析游戏里的通讯协议来获得玩家的账号、密码和装备等信息。并且局域网中1台计算机一旦感染了魔兽木马,其余的计算机用户也会感染,该病毒还可以阻止防毒软件的运行。2006年8月出现了针对AMD芯片的病毒w32.bounds和w64bounds,病毒感染计算机后能够获得比操作系统更高的权限,即可以躲避处理器或软件的防毒功能而进行肆意的传播和破坏。它的出现是一个病毒由通过软件漏洞传播转向通过硬件漏洞传播的标志,相信这种形式的传播将具有更强的攻击性。目前,快速更新病毒库和增强杀毒软件自行识别新病毒的能力是作为防范病毒攻击的两种较为有效方法。
3.4防火墙技术
防火墙技术是在内部与外部网络间非常有效的实施访问控制的一种手段,它逻辑上处于内部网和外部网之间,是为确保内部网正常安全运行的一组软硬件的有机组合[6]。它可提供存取控制和保密服务,从而为企业网提供了抵抗外部侵袭的能力。由于它简单实用且透明度高,可以在不修改原有网络应用系统的情况下,达到一定的安全要求,所以被广泛使用。在引入防火墙之后,内部网和外部网之间的通信必须经过防火墙进行,当某企业决定设置防火墙时,首先需由网络决策者及网络专家共同决定本企业网的安全策略,即确定什么类型的信息不允许通过防火墙。防火墙的职责就是根据这一安全策略,对外部网络与内部网络交流的信息进行检查,符合的予以放行,不符合的拒之门外。
防火墙技术主要分三大类:
⑴包过滤技术(Packetfiltering):作用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址,目的IP地址,TCP/UDP源端口号、TCP/UDP目的端口号,及数据包头中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
(2)代理(Proxy)服务技术用来提供应用层服务的控制,起到外部网络向内部网络申请服务时中间转接作用,内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用网关,代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。
(3)状态监控(StateInspection)技术它是一种新的防火墙技术,在网络层完成所有必要的防火墙功能一一包过滤和网络服务代理。目前最有效的实现方法一般采用CheckPoint提出的虚拟机方式(InspectVirtualMachine)。
防火墙技术作为一种简单实用的网络信息安全技术将得到进一步发展,但防火墙只是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的响应,不能提供完全的网络安全性,它不能阻止所有的外部入侵;它不能防病毒;有经验的黑客也会破“墙”而入。在过去的统计中曾遭受过“黑客”入侵的网络用户有三分之一是有防火墙保护的[7]。防火墙对内部袭击毫无防范作用,需要有特殊的相对较为封闭的网络拓扑结构支持,也就是说还必须有例如对数据加密处理、对内部网络的有效控制和管理一系列措施来实现网络安全。
3.5入侵检测技术
入侵检测系统是对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程[8]。它不仅监测来自外部的入侵行为,同时也对内部用户的未授权活动进行检测,还能对网络入侵事件和过程做出实时响应,是网络动态安全的核心技术。
根据不同的分类标准,入侵检测技术主要有基于行为的入侵检测和基于知识的入侵检测两类:基于行为的入侵检测(也称异常检测)是指根据使用者的行为或资源使用状况的正常程度来判断是否发生入侵;基于知识的入侵检测(也称误用检测)是指运用己知的攻击方法通过分析入侵迹象来加以判断是否发生入侵。通过对迹象的分析,不仅对己发生的入侵行为有帮助,而且对即将发生的入侵也会产生警戒作用。
相对己成熟的网络入侵检测系统,模仿生物免疫原理的入侵检测系统模型是入侵检测领域的新兴研究领域,并有了初步进展;但是现有的系统大多还是实验室环境下的原型系统,具有较高的误报率和漏报率,难于满足大规模网络下的入侵检测和反病毒要求。实验者预测在不远的将来,有望提出一个行之有效的未知病毒和入侵手段识别模型和算法。此外“蜜罐(Honey)”技术也备受瞩目,“蜜罐”是指受到严密监控的网络诱骗系统,通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击“蜜罐”期间对其行为和过程进行记录分析,以搜集信息,对新攻击发出预警,同时“蜜罐”也可以延缓攻击和转移攻击目标。它区别于传统的入侵检测技术,不是在攻击时进行被动的防护,而是采取主动的方式,用定制好的特征吸引和诱骗攻击者,将攻击从网络中比较重要的机器上转移,同时对黑客的攻击做全面的分析和研究。
关键词:大数据;计算机网络;信息安全问题
一、大数据背景下的计算机网络存在的安全问题
随着网络信息技术的快速发展,计算机已经被广泛应用于社会生活的诸多领域,它能够改善人们的生活环境,提高人们的工作效率,但同时也存在着一定的信息安全隐患
(一)电脑黑客的入侵
在实际的网络中,仍然有黑客的存在,这就使网络使用者的个人信息存在隐患,大部分电脑黑客都是具有较强的入侵技能,电脑黑客如果存在恶意入侵使用者的电脑,就会通过不正当的渠道获得他们的信息,那么网络使用者就会受到很大的伤害。比如,一个企业的内部网络受到入侵后,就有很大可能丢失重要的文件和商业机密,可能会造成经济损失,也有可能会使整个企业倒闭和破产。
(二)网络病毒的侵害
网络病毒是一种比较常见的信息安全隐患类型,尤其在使用个人电脑的时候,更加容易受到网络病毒的骚扰,而且网络病毒的传播方式多种多样,比如,在电脑上点进一条不明链接,就有可能会被感染上网络病毒;安装一些软件的时候,如果不是从正当途径下载的,安装成功之后可能就已经感染上网络病毒了;用U盘插入公共电脑之后,再次使用在个人电脑的时候,也有可能将网络病毒带进自己电脑中[2]。尽管各种杀毒软件持续在开发上线,但是由于网络病毒具有传染性且不断出现新的网络病毒,所以网络病毒难以遏制,甚至会使网络系统存在瘫痪的现象。
(三)网络诈骗的危害
由于互联网有着开放性和互动性等特征,因此网络信息的安全性受人为因素的影响非常大,网络实际上是属于虚拟的真人版世界,网络中存在很多不法分子,他们通过网络诈骗来骗取钱财。他们利用网络的开放性和受害者防范意识低的特点来达到自己的目的。网络诈骗属于人为操作,他们这种损人利已的行为在社会中普遍存在,他们想通过不劳而获来获取钱财,达到了自己的目的,却使他人的经济造成损失,严重的还有可能造成家破人亡。
二、大数据背景下改善计算机网络信息安全的对策
大数据背景下的互联网中存在各种各样的信息安全问题,我们需要重视网络中个人信息的安全性,一旦泄露被不法分子利用,就会造成严重的后果,所以,我们必须采取相应的对策来加强计算机网络的信息安全性。
(一)定期检查计算机网络的系统
面临着未知的计算机系统漏洞,我们大家都要防护好计算机的安全,定期对计算机系统的安全性进行检查[3]。首先就需要强化网络使用者的网络信息安全意识,对于计算机的硬件和软件定期检查,一旦发现有漏洞或者不法分子入侵,立即在计算机上安装网络补丁程序,可以有效地阻止病毒继续入侵。政府机构为了强化国家的网络信息安全工作,需要有较专业的计算机程序人员对计算机系统进行检查,而广大群众可以在官方网站上下载网络补丁程序,解决网站中存在的漏洞问题。
(二)建设有效的防黑客机制
为了能够防范黑客的入侵,国家和网络开发商应该不断完善自己的工作建设,开发能够防范专业黑客的机制。首先,网络开发商的技术人员要加大专业网络开发的研究力度,研究出能够阻挡专业的黑客的防火墙,提高自己的专业水平和综合素养,从不同的角度和方式去分析黑客入侵电脑的渠道,对技术人员研究有效的防火墙有很大的帮助。其次,国家相关部门应该加强技术人才的培养,将更多优秀的网络技术人才引入到网络信息安全防护队伍当中,并给予一定的资金支持,支撑他们打造成强有力的计算机网络信息安全防护分队,时刻与出现的电脑黑客进行斗争。他们团队内部也应该相互合作,讨论遇到的黑客入侵形式,有助于他们合力研究出更先进的技术来对抗黑客的入侵。国家相关部门还应该完善法制建设,严厉打击非法入侵网络的黑客行为,也给公民的网络行为提供一定的保障。
(三)优化网络病毒防范机制
网络病毒与电脑黑客比较,危害性能相对小一些,但是也正说明了网络病毒更难剔除。因为网络病毒存在于各个不同的地方,随着信息量的增加和网络范围的扩大,网络病毒也在不断出现,这就需要网络开发商完善网络病毒的防范机制,一些防护网络信息安全的相关技术人员对网络病毒进行整合研究,必要时调动可以利用的各种资源,尽最大的能力来缩小网络病毒的危害范围[4]。在防范网络病毒的过程中,相关技术人员可以对计算机杀毒软件编写代码,这样能够实时监控计算机杀毒软件,保证病毒防范机制有效运行。
关键词 校园网;网络信息;安全措施;分析
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)97-0230-02
1校园网安全特性分析
通常来讲,信息安全重点关注的是信息资源、通信资源以及计算机资源等被一些恶意的行为破坏,出现了信息泄露、被篡改、滥用的现象。信息网络的安全特性主要有完整性、可用性、保密性以及未授权使用资源的安全威胁,这些安全特性也是校园网的安全特性。
目前,不少学校的校园网中使用的网络没有设置防护系统,也没有内部网络和外部网络的区别,可以说安全策略和安全措施的设置丝毫没有受到学校的重视。
主要表现在网络的应用管理系统较为分散、没有设置完善的防毒策略、没有采取数据备份措施以及尚未建立集中的身份验证系统等等。
在教育信息化速度日益加快的今天,学校中的很多工作都需要通过网络来完成,例如管理、科研方面的工作,除此之外,校内的诸多业务系统都需要通过校园网来建立,如教务系统、人事系统、办公系统以及财务系统等。如果校园网网络信息的安全问题再得不到足够的重视,将会给校园网埋下严重的安全隐患。
2校园网网络信息安全风险分析
校园网具有网络连接形式复杂、设备种类数量多以及操作系统平台不一致的特点,这就给校园网的网络信息的安全带来了很多威胁,风险主要来自一些几个方面。
2.1互联网导致的风险
校园网络的构建几乎都需要用到Internet技术,并且还需要连接到互联网上。网络用户可以直接访问互联网的资源,同样任何能上互联网的用户也可以直接访问校园网的资源。
这样的网络构建方式对于提高学校的知名度、扩大学校的影响力具有十分重要的作用。然而互联网具有网络信息的开放性和共享性,这就导致了网络信息存在一定的安全隐患,学校在获得知名度的同时,也会出现一些安全问题。
互联网上的信息都不能完全信任,因为网络信息的安全性无法保证,是否会出现网络攻击更难以预料,这就需要学校在使用校园网时切实做好安全防范工作,预防和化解存在的安全风险。
2.2内部导致的风险
据相关统计显示,有将近75%的网络信息安全事件都是源于内部。可见,内部网络存在的安全风险十分严重。
因为内部人员比其他人员更熟悉内部网络的应用系统和网络结构,这就容易出现网络内部人员攻击内部网络的事件,或者内部人员与外部人员联手攻击网络,亦或是内部人员将网络信息随意泄露出去的行为,这都可能会给校园网的网络系统带来破坏性的打击。
特别是近年来校园网络的迅速发展,并且和一般性的局域网络不同,校园网使用的用户中网络高手较多,更需要切实做好校园网的安全预防工作。
2.3病毒导致的安全风险
病毒是一种非法程序,它是为了达到某种企图而秘密编写的,它的复制能力非常强。病毒能够给计算机网络带来毁灭性的破坏。
尤其是目前互联网的发展速度日新月异,使用电子邮件系统的用户变得越来越多,致使网络成为了病毒扩散的重要载体,并且能够借助计算机这一载体将病毒肆意地传播开来。由此可见,校园网的网络信息在病毒肆意蔓延的环境下存在着诸多安全隐患。
2.4管理导致的安全风险
在网络安全中,管理占据着十分重要的地位。不少学校都将学校的建设放在重要的位置,而不太重视学校的管理工作,尤其是网络安全管理。
可见,出现网络安全的一个重要原因就是学校没有制定完善的安全管理制度。
如,校园网的网络用户没有树立较强的安全意识,校园网缺乏完善的管理制度,校园网络管理员设置不合理以及用户口令设置不恰当等等,这些都给校园网带来了严重的安全隐患。
2.5系统导致的安全风险
由系统导致的安全风险主要来自于数据库系统、操作系统以及各种应用系统。大多数校园网一般使用三种系列的操作系统,它们是Linux、Unix以及Windows,使用程度最高的系列是最后一种。
不言而喻,每一种操作系统都不可能是完美的,或多或少都会存在一些未知和已知的安全问题,并且国家安全组织也对系统中存在的大量漏洞给予了披露。系统中存在的有些漏洞能够使攻击者畅通无阻地进入到管理员的网络系统中,进而破坏网络系统,还有些漏洞能够为病毒的入侵提供便利的条件等等。
总之,系统中存在的风险也严重威胁着校园网的网络信息的安全。
3保护校园网信息安全的对策
3.1重视网络安全规划
注重对校园网实施安全规划的目标是为了从系统性的角度对网络中的安全问题进行全面性的思考。网络安全规划的内容比较多,主要有病毒防御、加密技术、访问拦截、认证技术以及攻击检测技术等安全预防措施;安全服务;安全管理制度,如工作流程、网络工作人员以及维护保障制度等;安全防范策略;应用服务器、应用系统的分布情况、数据库系统设置的位置;内部网络的逻辑划分以及外部网络的逻辑划分;安全评估、数据备份与恢复措施、减灾措施以及实施计划等。
在校园网建设规划的同时,要同时做好校园网的信息规划工作,并将其列入到校园网建设规划中的重要事项当中。
3.2对网络区域进行科学合理地划分
站在安全的角度考虑,校园网对网络区域进行科学合理地划分是十分有必要的。在对网络区域进行划分时,需要充分考虑整体的安全规划以及信息安全密级,运用逻辑思维对内网和外网进行划分,划分出安全区域(内网区域)、不安全区域以及非军事区(DMZ),然后还要考虑到学校对网络的需求情况,对虚拟专用网(VLAN)进行合理地划分,如图1所示。
图1网络区域的划分
校园网的内部网络区域属于安全区域,这个区域是不允许外部用户进行访问的,因为其拥有较高的安全等级。
该区域运行的系统主要有OA系统以及各种应用系统,而这个区域应该存放的服务器主要有数据库服务器以及不同种类的内部服务器。
内部网络和外部网络用户都可以对非军事区进行访问。这个区域能够为外界提供Ftp服务、Web服务以及Email服务等多种服务。
因此,也需要为这个区域制定一些安全防护措施。校园网防火墙以外的网路接口处外部的区域被规定为了不安全区域。在认真分析了校园网用户的特征之后,总结出该结构具有的特征如下:
1)通过校园网的入侵检测系统和防火墙,校园网用户都能对互联网进行访问,使广大校园网的用户能够方便地使用网络;
2)DMZ(demilitarized zone)与外部区间之间设有防火墙,能够为校园网提供信息过滤以及访问控制等防护措施。非军事区域内提供的所有网络服务,内部网络用户和外部网络用户都能够享受,即都能够对该区域进行访问。
因此,需要在分析非军事区域的特点,为其制定出行之有效的安全防护措施。在这些安全措施制定期间,要对内部网络用户和外部网络用户做出一些规定,对开放服务不设置权限,但是对内网的各种服务需要暂时设置一些权限,不能允许内外网用户进行访问;
3)内网区域具有较高的安全级别,在对其进行设置安全防护措施时,可以同时利用入侵检测系统和防火墙,使二者进行相互配合,建立健全安全防御体系。
3.3运用行之有效的网络安全防御技术
3.3.1防火墙安全技术
防火墙这种网络设备能够对网络之间的访问起到一定的控制作用,它主要是通过拦截认证资格的用户进入内部网络、筛选不安全信息的方式,以达到保护内部网络的目的,实质上防火墙是一种位于内外网之间的安全防御系统。然而防火墙这种安全技术无法控制内部出现的没有认证授权
就进行访问的状况。所以比较适合应用于相对较为独立的内部网络,并且和外网的连接的途径受到一定的限制、网路服务种类比较集中的网络。
在对外界入侵者进行防御时,防火墙应用的技术主要有应用网关、数据包过滤以及服务等,以达到维护校园网络安全的目的。
3.3.2数据加密技术
数据加密技术可以提高网络数据的安全系数,避免出现重要数据信息被滥用、篡改以及泄露的现象,从而为网络的安全运行提供一个良好的环境。
而那些没有运用加密技术的网络数据容易在运行时受到外界的阻拦,给信息使用者带来极大的经济损失。数据加密技术主要有三大类:对称型加密技术、不可逆加密技术以及不对称型加密技术。
总之,在网络上应用这三大类加密技术可以为网络运行创造出一种安全可靠的环境。
3.3.3网络入侵检测技术
网络入侵是指通过不合法的手段企图使信息系统的完整性、机密性以及可信性受到严重破坏的任何网络活动,对网络环境的安全性造成了严重的威胁。
而入侵检测(Intrusion Detection)技术能够对网络的外部环境进行检测,而且还能对网络内部用户的未授权活动进行检测,极大程度上提高了其安全性。网络入侵技术通过利用新型的攻守结合战略来对相关数据进行检测,并及时验证其是否具有合法利用特权,并且还能搜集相关证据,借此来追究入侵者的非法行为。
IDS是入侵检测技术中常用的一种能够为管理者提供安全可靠信息的检测系统,它能够及时地检测到网络运行中出现的可疑或不安全因素,然后将其真实地告诉网络管理者,以便于采取有效的措施进行防御。
市场上比较常见的IDS产品综合采
用三个基本方法来检测网络入侵:即为追踪分析、网包分析及实时活动监控。
参考文献
[1]邓长春.浅谈网络信息安全面临的问题和对策[J].电脑与电信,2007(3).
[2]陈文冠,曹亮,陈兴华.高校校园网信息安全的研究[J].科技管理研究,2007(2).
论文摘要:分布式网络具有网络规模大、地理位置分散的特点,对于网络安全的需求存在于网络的各个层。本文对分布式网络的物理层、网络层、应用层分析了各个层的安全需求,并提出了保护信息安全的若干技术。构筑以入侵检测和防病毒为核心技术,配套其他成熟的安全技术和产品的大型分布式网络应用安全体系框架。
引言
九十年代以来,由于网络技术的飞速发展和网络规模的日益扩大,尤其是internet的飞速发展,使的网络类型多样化和网络设备日趋负责话,因此,如何有小的提高网络的性能降低网络的故障,成为人们关注的重点,网络管理技术也就成为网络研究领域的一个热点问题。
早期网络协议对internet安全问题的忽视、网络本身的开放性、计算机操作系统的不完善性以及interner在使用和管理上的无序状态,都导致了internet上存在着诸多不安全因素,信息领域的犯罪也随之而来。因此,保障网络按照已经成为当前刻不容缓的重要课题。
大型分布式网络,其主要特征一是“大”,二是“分布式”。所谓大是指网络规模、信息总量、使用人员都具有相当的规模;所谓分布式是指其下属机构在地理上是分散的,但他们之间的业务关系又是紧密的。由于这样的特点存在,分布式网络在网络建设和网络应用上势必反映出与小型集中式的企业不同,那么其安全需求和采用的信息安全技术也不同。
一、物理层安全需求
物理层安全就是要求物理隔离。所谓物理隔离,简单地说就是让存有用户重要数据的内网和外部的互联网不具有物理上的连接,将用户涉密信息与非涉密的可以公布到互联网上的信息隔离开来,让黑客无机可乘。实施物理隔离的目的决不是让网络回到以前那种信息孤岛的状态,而是让使用者在确保安全的前提下,充分享受网络互联所带来的一切优点。在物理隔离系统中会包含对外网内容进行采集转播的系统,这样可以使安全的信息迅捷地在内外网之间流转,完全实现互联网互联互通的宗旨。
二、网络层安全需求
(1)网络层风险
网络中心连通internet之后,内部网络可能遭受到来自internet的不分国籍、不分地域的恶意攻击;在internet上广为传播的网络病毒将通过web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播,感染内部网络的服务器、主机;更有一些黑客程序也将通过这种方式进入内部网络,为黑客、竞争对手获取企业数据创造条件;内部网络的用户很多,很难保证没有用户会攻击企业的服务器。事实上,权威数据表明,来自于内部的攻击,其成功的可能性要远远大于来自于internet的攻击,而且内部攻击的目标主要是获取国家机关的机密信息,其损失要远远高于系统破坏。
(2)网络层安全需求
基于以上风险,在网络方案中,网络层安全主要解决内部网络互联时和在网络通讯层安全问题,需要解决的问题有:内部网络进出口控制(即ip过滤)内部网络和网络层数据加密:安全检测和报警、防杀病毒。
重点在于内部网络本身内部的安全,如果解决了分布网络环境中各个子网的安全,那么分布网络互联的安全只需解决网络层以及应用层的传输加密即可。
1)网络进出口控制
需要对进入内部网络进行管理和控制。在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。
同样需要对内网到外网(internet)进行管理和控制。
要达到授权用户可以进出内部网络,防止非授权用户进出内部网络这个基本目标。
2)网络和网络层、应用层数据加密
对关键应用需要进行网络层、应用层数据加密,特别是最核心的领导办公服务系统、关键数据系统,需要有高强度的数据加密措施。
3)安全检测和报警、防杀病毒安全检测是实时对公开网络和公开服务器进行安全扫描和检测,及时发现不安全因素,对网络攻击进行报警。这主要是提供一种监测手段,保证网络和服务的正常运行。要实现:
*及时发现来自网络内外对网络的攻击行为;
*详实地记录攻击发生的情况;
*当发现网络遭到攻击时,系统必须能够向管理员发出报警消息;
*当发现网络遭到攻击时,系统必须能够及时阻断攻击的继续进行。
*对防火墙进行安全检测和分析;
*对web服务器检测进行安全检测和分析;
*对操作系统检测进行安全检测和分析。
需要采用网络防病毒机制来防止网络病毒的攻击和蔓延。严格地讲,防杀病毒属于系统安全需求范畴。
三、应用层安全需求
应用层安全主要是对网络资源的有效性进行控制,管理和控制什么用户对资源具有什么权限。资源包括信息资源和服务资源。其安全性主要在用户和服务器问的双向身份认证以及信息和服务资源的访问控制,具有审计和记录机制,确保防止拒绝和防抵赖的防否认机制。需要进行安全保护的资源如前面所述的公共应用、办公系统应用、信息查询、财务管理、电子申报、电子审计等应用。
(1)应用系统安全风险:
对应用系统的攻击可以分为两类:
1由于攻击者对网络结构和系统应用模式不了解,主要通过对应用服务器进行系统攻击,破坏操作系统或获取操作系统管理员的权限,再对应用系统进行攻击,以获取重要数据;在现在通用的三层结构(数据库服务器一应用服务器一应用客户端)中,通过对数据库服务器的重点保护,可以防止大多数攻击。
2攻击者了解了网络结构和系统应用模式,直接通过对应用模式的攻击,获取企业的机密信息,这些攻击包括:
*非法用户获取应用系统的合法用户帐号和口令,访问应用系统;
*用户通过系统的合法用户帐号,利用系统的bug,访问其授权范围以外的信息;
*攻击者通过应用系统存在的后门和隐通道(如隐藏的超级用户帐号、非公开的系统访问途径等),访问应用服务器或数据库服务器;
*在数据传输过程中,通过窃听等方式获取数据包,通过分析、整合,获取企业的机密信息。
这类攻击主要来源于企业内部,包括通过授权使用应用系统的员工,开发、维护这些应用系统的员工、开发商。
(2)公共应用的安全需求
公共应用包括对外部和内部的信息共享以及各种跨局域网的应用方式,其安全需求是在信息共享同时,保证信息资源的合法访问及通讯隐秘性。
公共应用主要有/fazhan/">发展到使用lc卡或电子钥匙,通过多种方式确认用户的身份。访问控制的控制粒度更细,必须根据不同应用的不同对象形式进行控制,如web页面、数据库记录等。
四、信息安全技术
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。
(1)防火墙技术与产品
防火墙在技术上已经相对成熟,也有许多国内外产品可供选择,但需要注意一定要选择支持三网段的防火墙。
在一般的网络结构中,防火墙是设置在接入internet的路由器后端,将网络划分为三个区域,即三个网段,如上所述。通过合理地配置防火墙过滤规则,满足下列需求:
·公网用户只能访问管理局外网的内容,不可能进一步访问管理局的内网部分。
·远程客户(下属机构)只能访问管理局专网防火墙的非军事化区的各个应用服务器和数据库进行访问:
·内部网络的客户端访问本网段的应用服务器,如需访问专网和外网中的各个应用服务器;
防火墙的功能就是提供网络层访问控制,所以其配置准确严密与否至关重要,只要配置正确,关闭不需要的服务端口,就可以基本实现网络层的安全。
(2)网络vpn技术与产品
对于大型分布式的企业,其中最重要的和最普遍的应用是数据库应用,而且是分布式的。数据库的分布式复制操作是自动的,是服务器到服务器的数据传输过程。对数据库复制的安全保护目前最实用的技术是网络vpn。
vpn产品一般具有如下基本功能:
·ip层认证和加密:
·ip包过滤:
·密钥管理。
vpn产品可以基于公共的lp网络环境进行组网,使用户感觉在公网上独占信道,也就是隧道的概念。在产品形态上是专有硬件,嵌入式操作系统,专用加密算法。在性能上,可以允许上千对vpn通道,网络加密速度在10mbps以上。有的vpn产品将防火墙功能结合在一起,形成安全网关。在分布式数据库环境中,按点到点方式安装vpn产品,保证数据库复制过程的数据加密传输。
(3)入侵检测技术与产品
随着internet应用的不断普及,黑客入侵事件也呈上升趋势,在安装防火墙和划分三网段安全结构后,降低了这种风险,但没有彻底消除。因为防火墙只是被动的防止攻击,不能预警攻击。
入侵检测系统可分为两类:基于主机和基于网络。基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如web服务器应用。基于网络的入侵检测系统则主要用于实时监控网络关键路径的信息。
(4)漏洞扫描与产品
第一,网络通信本身结构存在问题。解决问题要从产生问题的源头处进行入手。知己知彼,方能百战不殆。因此,我们需要首先了解清楚网络通信本身的结构原理。一般来说,进行网络通信时需要进行数据交换,这个数据交换的基础是TCP/IP协议,利用网际间技术完成数据交换。所以,一个用户进行网络通信的第一步就是需要利用TCP/IP协议来进行注册取得远程授权。这个TCP/IP协议是整个网络通信的基础所在,它自身的结构问题就导致了网络通信本身结构存在的问题。黑客一般会针对此结构进行攻击整个网络系统,导致网络系统瘫痪,信息外泄,造成不可估量的损失与后果。第二,网络通信中的网络通信软件存在问题。网络通信的最大通信载体便是人们通常所用的各种软件了,一般来说,人们日常生活中所使用的各种软件都是具有很大的开放性的,使用起来比较方便快捷,但是也会经常出现一些功能漏洞,需要下载相应的补丁程序来进行修补,修补后才能正常使用软件。如果人们不能及时修补这些软件的漏洞,就会给黑客或者病毒提供入侵系统的便利条件,使得网络系统造成瘫痪,通信信息被泄露,造成严重的损失与后果。
2.网络通信中信息安全的保障策略
2.1加强通信协议TCP/IP的安全
黑客要想攻击或者控制用户的网络系统首先要获取用户的IP地址,因此,加强通信协议TCP/IP安全的实质就是保护好网络系统的IP地址。保护IP地址的方法一般有两个,一个是从源头出发,进行网络通信的时候,交换数据必须要经过的一个结构就是交换机,因此交换机也就决定了IP地址是否安全。另外一个方法是从路由器入手来保护IP地址,只要发现不是正常的IP地址访问就可以立刻进行拦截,来保证自身IP的证的安全性。不论是交换机还是路由器,都需要进行一定程度的安全隔离来进行保障网络信息的安全。只有保证了通信协议TCP/IP的安全,才能从源头上解决网络通信中信息安全的问题。
2.2要运用用户识别技术加强计算机通信系统安全
所谓的用户识别技术通俗来讲就是通过身份验证来保障个人信息的安全性,这也是我们通常知道的,一般有口令、用户密码等常见保护措施。首先介绍一下口令识别技术,口令不是用户自己规定的,而是通过计算机随机产生的,因此不具有一定的规则性,也就不容易被破解,使安全程度有了很大的提高,但同时也具有缺点,那就是用户不容易记忆,造成了使用不便的问题。其次就是用户密码的识别技术,这是我们日常最为常用的识别技术,用户名和密码二者缺一不可,因此,安全程度也得到了很大的提高,通常用户名是用户自己选取的,密码也是自己设置的,方便记忆使用。后来,产生了量子密码来加强信息安全。量子密码是利用了量子的性质来进行加密信息,这样可以使得加密信息与解密信息都是处于量子状态下的。量子密码是一种新型的加密形式,具有很高的安全性。
2.3要积极防范计算机病毒对于计算机网络的入侵
病毒入侵是计算机系统瘫痪的最为常见的一种,并且病毒发展迅速,隐蔽性极高,很多时候不易被察觉,易传播且危害性极大,因此,一定要加强对计算机病毒的防范。对计算机病毒进行防范的一般方式是在计算机中安装病毒查杀软件,来进行拦截和识别病毒,对计算机系统有很好的保护作用。但是需要注意的是,杀毒软件需要及时进行更新,这样可以保证杀毒软件的实用性。
3.结语
关键词:网络;信息安全;建模
人们的生活和工作离不开网络信息的应用,黑客入侵、蠕虫病毒等网络攻击威胁着网络信息安全,我们应采取有效措施防范各种攻击。
1计算机网络安全发展现状
1.1网络安全定义
“网络安全”是指网络信息的安全,运行系统及所包含的数据和信息的安全,确保在网络中保护动态、静态的数据不受恶意攻击,使数据和信息保持完整,防止出现利用数据、篡改数据、非法传播等问题。
1.2网络安全分析
目前,网络信息被广泛应用,它增强了人与人之间的交流,给人们的工作和生活带来了便利,同时很大程度上提高了人们的生活水平和工作效率。确保互联网络的安全性是当前的主要任务,国内外针对网络防护、恢复、检测、响应等做了大量的研究和分析,建立了包含网络安全与信息技术分析、度量、评估为一体的网络安全模型,定期对系统进行检查,第一时间发现问题,及时采取有效的措施进行补救,以保证网络安全。网络安全涉及很多方面,包括软件设计、使用阶段、测试等都要采取安全措施。研究者进行了大量的实验研究,为有效查找系统攻击路径,在网络系统评估中分析建模,努力在实践应用中发现漏洞和不足。
1.3网络安全现状
与传统生活、工作模式相比,计算机网络提供了高智能模式,通过网络信息的广泛应用,增加了个体间的交流频率,提高了工作效率。网络信息的安全性问题备受社会关注,在计算机安全领域,国内外学者进行了较为细致的研究,建立了PPDRR网络安全模型,实现了对计算机网络安全性的评估,可以检测信息系统的状态。网络安全模型是主动防御性的模型,能够主动寻找影响系统安全的漏洞,采取处理措施。研究人员通过大量研究,提出了网络安全树安全分析方法,全面分析网络受到攻击的变化,但是该方法存在不足,网络安全模型有待进一步完善。
2网络安全的属性及影响网络安全的因素
2.1网络安全的属性
计算机网络与社会组织系统一样,具备其自身的安全属性,它包括五个方面,分别是网络系统设备、网络安全需要、计算机弱点、主体连接关系建模、严格网络权限设置。第一,网络系统设备。将网络看成是一个集合体,由不同功能主机相连接组合,按照主机功能可以分为服务器、防火墙、路由器。在应用运行过程中,将赋予主机不同的标识来表明各自身份,标识可以是计算机的IP地址或MAC地址等。主机属性包括:主机操作系统版本、主机开放服务于对应窗口信息、主机弱点信息等。第二,网络安全需求。一般情况下,应用威胁、系统威胁、通信威胁是影响系统安全需求的主要因素。其中在网络系统运行的应用服务软件系统受到的威胁叫作应用威胁。如果系统出现漏洞,来自网络操作系统软件的问题叫作系统威胁。如果是被监听,在数据交流过程中网络设备出现的问题叫作通信威胁。第三,计算机弱点。在软件系统设计、组件、配置、编码、应用过程中出现错误,会导致计算机网络设备出现系统缺陷,利用计算机弱点恶意攻击,甚至滥用系统资源,从而导致网络安全问题。第四,主体连接关系建模。TCP/IP协议族涵盖了大量的协议内容,网络设备在协议约束下,选择不同层次来连接,在这样的情况下,网络连接很容易发生错误。因此,建立模型测试以采取有效措施保护非常重要。第五,严格网络权限设置。在应用中有访问权限的问题存在,按照访问者的权限,对其进行分类。比如Guest、匿名登录、具备普通用户部分权限;Access,网络服务远程访问者可与网络服务交换数据;Supuser,具备特殊权限,不具备系统管理所有权限;Root为系统管理员,可对一切网络资源进行管理,是最高的权限。
2.2影响网络安全的因素
第一,网络本身存在漏洞,这是影响网络安全的重要因素,可能导致用户的信息无法交流与传输。计算机的构成部分即计算机硬件与软件系统设计、网络协议的实现与安全设计中存在漏洞,用户可能会暴露在没有防护的恶意攻击中,导致用户资源信息外泄,影响网络安全。第二,黑客恶意攻击。当前,随着现代互联网技术的发展,黑客恶意攻击逐渐成为影响网络安全的主要因素。在对互联网进行搜索、扫描,黑客能够找到网络中存在的缺陷,然后进行恶意攻击。其常用的手段有病毒及恶意程序、植入木马等,对计算机账号等数据信息进行捕获,利用漏洞来窃取用户信息。第三,网络信息容易出现泄露、篡改、非法传输的问题。以上各种影响网络安全的因素,都将带来不可估量的损失。
3网络信息安全性分析模型
第一,网络信息安全建模要结合网络安全属性的各项内容。在网络系统中,一般网络主机只有一个地址。设计过程中可以把网络设备看作是一个集合,主机在网络中可以用hosti、d、svcs、os、vuls表示。在对网络安全需求建模前,要了解、掌握“安全策略”,即某主体对某一客体是否具有访问权限这一概念。网络安全可以分为多个不同的安全等级,等级分析是安全需求建模的重要内容之一。通过可用性、机密性、完整性对网络系统进行划分,各个等级之间既相互独立又相互联系。针对网络弱点的建模,可以把已经找到的弱点设为一个集合。对弱点数据库进行分析后,可以用多元组来描述,通过近似变量进行描述。根据主体链接关系建模是通过TCP/IP协议来实现的,通过TCP(UDP)端口号、服务类型、应用程序进行表示。根据访问权限建模可以分为多个等级,包含不同的权限,对访问权限进行科学设计并建模。第二,网络拓扑结构模型。通过计算机与信息传输媒介之间建立模型,需要分析与改造网络设备与网络连接的关系,网络设备主要包括主机、防火墙、检测设备、交换机、路由器等。使用IP地址对设备标识。在网络拓扑结构模型中,通过设备与传输媒介连接方式加强网络安全性。网络攻击模型,系统管理员对信息及资源进行严格管理与控制,加强访问权限中各个层次的管理控制,加强防范黑客攻击的防护措施,防止主机受到攻击,及时找出系统中存在的漏洞,优化计算机网络,确保网络信息的安全。
4结语
加强计算机网络管理非常有必要,这样才能提高网络安全性,才能保证通信网络的良好发展。我们要不断加强对网络安全技术的研究,要明确网络系统的安全属性,在应用中结合相关属性从多种角度对安全性分析建模,积极采取防护措施改进模型,为未来建立新型安全性模型提供借鉴。完整的、高效的模型不但能保护计算机网络,还能减少网络安全分析员的工作。我们应不断研究,使模型实现有效的复杂度控制,提高计算机网络安全性,促进网络通信在各个领域充分发挥作用。
参考文献:
[1]吴昊.计算机网络安全性分析建模研究探析[J].电脑迷,2014,(11):90-91.
[2]洪亚玲.探究计算机网络安全性分析建模研究[J].计算机光盘软件与应用,2013,(02):87-88.
[3]殷晓伟,黄臻.计算机网络安全性分析建模研究[J].黑龙江科技信息,2014,(31):40-41.
[4]鲁智勇,冯超,余辉.网络安全性定量评估模型研究[J].计算机工程与科学,2009,31(10):102-103.
【关键词】计算机;网络信息管理;安全;管理策略
前言
现阶段,计算机信息技术已广泛应用于各行业、各领域,由于其具备较强的开放性和共享性,给人们带来了大量的、丰富的信息资源的同时,也给人们带来了很多安全上的漏洞。例如网络数据窃密、网络黑客、网络诈骗、病毒攻击、特洛伊木马病毒、邮件传送等紧密附着在计算机系统中,导致网络系统安全事故层出不穷,计算机网络系统安全性也随之下降。在这一严峻形势下,深入对计算机网络信息管理及安全进行分析和研究势在必行,逐渐成为摆在相关研究人员和管理人员面前一项亟待解决的新课题。
一、计算机网络信息管理中主要存在的问题
计算机网络信息的安全指标包括网络信息的安全性、可用性、完整性和保密性,另一方面则是计算机用户的认证性、抗抵赖性及授权性,这一系列指标是衡量计算机网络信息是否安全的重要条件。据相关调查显示,我国目前仍然存在大量的网络信息安全问题,计算机网络受到的非法入侵和恶意攻击等现象十分普遍,用户在利用网络资源进行工作或娱乐的同时,经常受到网络安全问题的影响,致使网络信息安全问题逐渐成为一项十分重要且复杂的工作。计算机信息管理又分为网络信息资源管理和网络信息的服务两大类,其主要目的是针对计算机网络的应用、安全、服务及用户等资源进行规范化、有效的管理。为了保证计算机和互联网用户的财产、信息安全,软件工程师应致力于网络信息的安全性管理,从而最大限度控制计算机网络的脆弱性。
(一)信息访问控制系统存在漏洞
随着科学技术的发展,计算机已经被广泛应用到人们的生活与工作当中,利用计算机网络进行交流和沟通的人越来越多,其在人们的日常生活中扮演着至关重要的角色。但是在计算机网络中,对于信息者与访问者都没有较强的规则约束力度,许多不法分子为了通过网络谋取暴利,导致网络信息资源中各类不良信息日益泛滥,人们无法对所有信息的真伪进行正确的辨别,并且十分容易受到这些信息的影响,进而制约了网络信息安全的管理进程。
(二)计算机病毒侵入与恶意攻击
计算机病毒是一种人为制造的恶意程序,一般隐藏在计算机文件中的可执行范围,并且具有自我复制、自我传播的特点。计算机一旦遭受病毒感染,则极有可能造成整个计算机系统瘫痪。现阶段,许多计算机病毒的主要目的并不是破坏计算机系统,而是为了盗取他人的网络账号、银行卡账号及密码等安全信息,从而造成他人在经济上的严重损失;恶意攻击是指有些人对计算机技术具有浓厚兴趣或其它原因,喜欢删除或篡改他人计算机系统或信息,导致他人计算机无法正常运行等。例如之前的“360”大战“QQ”的热点新闻事件,即是双方企业相互指责对方侵犯用户隐私权,非法盗取用户信息,由此可见,当前计算机网络系统安全的形式非常严峻。
(三)缺乏完善的安全检测系统
计算机网络信息具有极强的共享性,一定程度上导致计算机网络的脆弱性,两者相互对立,这就对计算机网络信息安全管理提出了极高的要求。而信息安全检测系统的构建则有效缓解了共享性和脆弱性之间的矛盾,促使工作人员正确、及时的面对非法入侵和恶意攻击事件,并充分利用有效措施,快速的进行修复和弥补,确保计算机信息系统关键数据的安全。但是,我国计算机网络安全检测系统尚不完善,部分环节还有待改进,无法满足现代化信息安全管理的理想要求。针对这一情况,建立健全计算机网络安全检测系统势在必行,迫切需要得到计算机软件开发人员的关注和投入,并不断总结和完善,有效确保计算机信息系统的安全性和可靠性。
二、强化计算机网络信息管理及安全的有效策略
(一)完善信息安全管理机制
现阶段,由于网络警察的存在,给大部分网络行为带来了一定的约束力,但是由于计算机网络具有范围广、数量多、复杂化等特征,很难实现计算机网络的实时监督和管理,这也是造成计算机网络事件频繁发生的主要因素。应建立健全统一的计算机网络信息安全管理体系,并出台详细、具体的法律法规,实现计算机网络信息安全法制化的管理。
(二)对入网访问者进行控制和限定
对入网访问者进行控制与限定是保证计算机网络系统安全的主要方法,能有效防止用户对其的违规性操作或非法使用,以保证网络系统资源在运行的过程中不受到损害。入网访问的控制与限定可以分为三个步骤:一是识别用户名、二是验证口令、三是验证用户身份。只有当用户名识别正确,用户才能进行口令输入操作,否则不能登录网络;当验证口令正确之后,用户才能利用磁条或智能卡使用网络。
(三)安装防火墙
应有效限制计算机网络的访问情况。可通过交换机对计算机网络进行合理控制,并对计算机使用人员的访问权限进行设置。在这一过程中,可充分利用内容过滤器的筛选作用,杜绝不良信息、非法网站及不良网站的传播,起到净化网络资源的作用。防火墙的使用也是一条重要途径,可有效保障计算机网络的安全性,可实现网络不安全信息的完全阻隔,保护计算机免受恶意攻击。
(四)完善密码技术
随着网络规模的不断扩大,计算机网络日趋复杂化,而有效的密码技术是防止网络安全事件的重要途径。完善的密码技术可使网络信息的准确性和安全性得到保障,杜绝非法窃取及恶意软件攻击问题的发生。同时,密码技术的充分利用,可在网络信息生成时,有效保证信息的安全性和完整性,从源头做起,强化计算机网络的安全性。
三、结束语
综上所述,计算机网络信息安全问题给人们的正常生活带来了严重的影响,耗费了大量的人力、物力和财力。迫切需要构建一个完整的安全监督管理体系,并尽快实现该系统的全面应用,强化计算机网络安全监督和管理。与此同时,还应提升互联网用户的自身素质,尽可能减少网络安全问题的发生,为广大网络用户提供清洁、有效的网络环境。但是,针对我国实际情况来看,还存在或多或少的管理漏洞和风险,给网络用户的个人信息及财产安全带来了威胁,这就要求软件开发人员积极、有效的采用信息安全管理措施,并付诸实践,为推动我国信息化社会的发展提供强有力的理论依据。
参考文献:
[1]王辰文.计算机网络信息管理及其安全性探讨[J].计算机光盘软件与应用,2014,(3):181-182.
[2]张原.计算机网络信息安全分析与管理探究[J].电子测试,2013,(14):195-196.
[3]李传志.计算机网络信息管理及其安全分析[J].计算机光盘软件与应用,2014,(11):183-184.
关键词 民航空管;网络信息;安全隐患;安全对策
中图分类号:TP308 文献标识码:A 文章编号:1671—7597(2013)051-133-01
1 民航空管网络信息安全的重要性
随着民航空管工作对网络信息技术依赖的不断增强,民航空管网络信息安全已经成了保证民航安全的重要组成部分。网络信息系统的共享性和开放性在给民航空管工作带来方便的同时,也给病毒和黑客提供了可乘之机。民航空管核心业务的计算机网络信息服务一旦遭到破坏,整个民航机场和航空公司都不能正常运营。如果民航空管核心业务遭到窃取或篡改,很可能给飞机的飞行带来极大的安全隐患,甚至出现非常严重的后果。所以,保证民航空管网络信息安全,确保民航空管网络信息系统连续、可靠、正常的运行,才能保障民航航班安全正常飞行。
2 民航空管网络信息安全状况分析
民航空管网络信息安全不但涉及到航空运输的效率,还关系着航空运输的安全。目前,我国空管网络信息系统的供应商大多是欧美大型厂商,空管网络信息系统间的互联均要通过运营商的专线来实现。这些空管网络信息系统没有使用相应的加密技术,根本无法防范和阻挡黑客的窃取和破坏,这使民航空管网络信息安全面临着很大的安全隐患。再加上漏洞攻击技术的成熟和病毒的不断更新,非授权访问、数据完整性遭到破坏、信息泄露或丢失等民航空管网络信息系统入侵事件频繁发生,民航空管网络信息面临着前所未有的威胁。
3 民航空管网络信息存在的安全隐患
3.1 操作系统的安全问题
针对操作系统的攻击很多,有的空管计算机操作系统本身结构体系就存在一定的缺陷,黑客往往利用操作系统这些不完善的地方,对系统进行攻击使系统瘫痪。在进行文件传输时,网络安装程序所带的可执行文件也存在一些不安全因素,如果在传送文件或加载程序的过程中,在某个地方出现漏洞,系统也可能会崩溃。在进行一些远程创建和调用时,中间的通信环节可能会被监控甚至被破坏,会造成网络信息的泄露和丢失。另外空管计算机操作系统的后门也是黑客领用的对象,通过后门程序进入可以很容易地避开安全控制,也是网络信息安全的重大隐患。
3.2 网络的安全问题
近年来,复杂的网络结构和网络应用成了网络信息安全管理中的重大挑战。因为有的空管网络系统必须依赖电信运营商的网络基础设施,有的重要网络信息还需要电信网络进行远程管理和维护,所以通过电信的基础网络设施很容易窃听和篡改空管网络信息。在空管网络系统内部,由于业务要求利用互联网进行的资料传输和信息交流的需求越来越多,再加上空管网络系统建设时重功能轻安全的情况,技术人员的网络安全知识和能力有限,空管网络系统内部的网络安全问题也不容忽视。
4 在技术层面上民航空管网络信息安全对策
4.1 防病毒技术
防病毒技术是识别恶意程序,消除病毒对计算机影响的一种技术,可以分为预防、检测、清除三种。病毒预防技术主要指系统监控技术、读写控制技术、磁盘引导区保护技术以及加密可执行程序技术等。利用病毒预防技术可以有效防止病毒入侵,保护网络信息安全。病毒检测技术可以根据病毒的关键字、病毒的特征程序内容和病毒的传染方式等对病毒进行检测,确认网络信息是否感染病毒,并根据检测结果作出不同的处理。病毒清除技术是在感染病毒后进行的操作,具有杀毒的功能。
4.2 入侵检测技术
入侵检测技术作为一种积极的安全防护技术已经成了网络信息安全研究的一个热点。入侵检测技术可以分为特征检测和异常检测,它能够对内部入侵、外部入侵和误操作进行实时防护,并时时报告其发现的系统异常情况,并在网络信息受到破坏之前就对入侵进行相应的拦截,保证网络信息的安全。
4.3 安全扫描技术
安全扫描技术作为一种主动的防范措施,可以有效清除网络信息的不安全因素,做到防患于未然。安全扫描技术可以分为对主机对系统的主动检查和对网络的主动检测两种。对系统的检查可以扫描出系统中不合适的设置、口令和另外一些不符合安全规则的问题,网络的检测则可以发展网络信息系统中的一些漏洞。
4.4 数据加密与用户授权访问控制技术
数据加密和用户授权访问控制技术是保护网络信息安全的重要手段。数据加密主要用于保护动态信息,用户授权访问用于保护静态信息。通过对据进行加密,可以使信息变得混乱,没有被授权的人根本无法读懂。通过用户授权访问,可以将没有被授权的人无法进行访问。数据加密和用户授权访问控制技术可以互相结合,灵活运用,以便给网络信息提供更好的安全保障。
5 在管理层面上民航空管网络信息安全对策
5.1 建立健全规章制度
健全的规章制度是保证民航空管网络信息的安全的基础。制定并民航空管信息安全规定,对民航空管网络信息系统的建设、运行、管理和维护做出相应的要求,完善民航空管网络信息安全规章制度,才能增强民航空管工作人员的责任心,从根本上预防民航网络信息安全事件的发生。
5.2 加强信息安全技术监管
网络技术发展迅速,更新快,民航空管工作人员要不断研究网络信息安全问题,提高网络信息安全管理的技术和方法,逐步减小民航空管网络信息面临的风险。在网络信息安全技术领域多借鉴国外发达国家的经验,搭建自己的网络信息安全技术平台,从根本上解决网络信息安全问题。
5.3 建立高素质人才队伍
人才的稀缺,尤其是高端网络信息安全技术人才稀缺,一直是制约民航空管网络信息安全发展的突出问题之一。所以,定期进行专业人才技术培训,增强民航空管网络信息安全技术人员的法制观念和责任意识,提高其专业技能和综合素质,培养其观察能力和分解决问题的能力,才能有效保证民航空管的网络信息安全。
参考文献
[1]詹菁晶,张钧.浅谈民航空管信息安全[J].2012(12).
【关键词】计算机网络 信息安全 管理措施
信息就是在生产、生活等各个环节中所产生的各类资料、数据的总和,在计算机普及的大背景下,各类信息基本上都实现了数字化和网络化,即将各类信息存储在计算机网络当中,并且通过计算机网络进行储存、处理、传输等各种操作。由于网络的开放性和随机性,使得这些信息可能遭受到一些外力因素的影响,进而出现篡改、窃取、遗失、错漏等问题,给信息持有者和使用者造成不利影响。对此,必须结合当前实际情况,明确信息安全的类型和产生原因,对应做好信息安全管理。
1 信息安全
在新时期下,信息资源已经成为了一种非常重要的资源,是各行各业发展的根本基础。只有信息的安全得到保障,不被他人所掌握,才能保证自身的发展安全。而且在大数据时代,个人信息安全的问题也日渐突出,因为个人信息被泄露而导致的诈骗、不良债务等问题,给社会稳定造成了很大的危害。计算机网络信息安全因其数字化和网络化的特征,使得其安全问题产生的原因主要集中在硬件、软件和操作人员这三个方面。在硬件方面,组成计算机的各个部件以及构建网络的相关部件,都可能成为信息泄露的源头。尤其是移动优盘和移动智能设备使用频繁的情况下,由于这类硬件导致的信息泄露呈现出大幅上升的趋势。在软件方面,主要是计算机系统以及各种应用软件。当前在网络上各种应用软件都能够读取联系人、本机信息等隐藏功能,这些功能就会将用户的部分信息搜集起来,进而可能造成信息泄露。在操作人员方面,主要是计算机使用者存在一些不良习惯,进而导致产生信息安全风险。比如有的使用者可能被一些恶意广告吸引,点击广告之后就可能被其中隐藏的木马病毒所窃取信息。总的来说,造成信息安全问题的因素众多,因此需要针对性的进行管理,减少信息安全问题。
2 计算机网络信息安全管理措施
2.1 加强硬件保护
计算机硬件是造成信息安全的一大原因,因此需要对硬件做好保护,以便减少信息泄露的可能。首先,要对计算机本身的硬件做好保护,对于计算机的硬件设备要定期进行检查,查看其是否存在性能上的缺陷。若是硬件设备存在性能不足,则需对其进行及时更换,将性能更好的硬件设备运用到计算机当中。其次,要对网络设备硬件做好保护。网络硬件设备是连接网络的关键设备,其若是存在安全漏洞,也会导致信息安全风险。因此要选择质量可靠的网络设备。同时要设置好网络保护密码,避免他人入侵网络造成信息风险。最后,在使用移动硬件设备时,例如手机、平板电脑和优盘,需要注意设置密码,避免他人在无密码的情况下进入硬件设备获取相关信息资料。
2.2 做好软件防护
计算机软件是信息安全管理的重点,也是防止信息安全问题的主要渠道。首先,做好防火墙的设置。计算机防火墙可以应对来自外部的恶意攻击,因此对于存储有重要信息的计算机,一定要安装高性能的防火墙,消除外部攻击的影响。其次,要设置杀毒软件。病毒和木马是造成计算机信息泄露的一大原因,因此在计算机上需要安装一定的杀毒软件,比如360杀毒、卡巴斯基、小红伞等等。最后,要加强对计算机系统的完善与优化。在计算机使用过程中,会逐渐累积文件碎片、系统冗余等,这些累积过多会造成系统性能下降,甚至出现安全漏洞。所以,一方面,要选择性能好的操作系统应用到计算机中。另一方面要定期对计算机系统进行更新和打补丁,以此消除系统本身的漏洞,避免这些漏洞泄露信息资料。
2.3 做好加密保护
加密保护是保证信息安全的关键手段,目前常用的手段有数字签名技术、消息认证、口令认证等。要加强对信息安全的管理,就需要将这些加密和认证手段进行合理利用,提高信息安全保护效果。比如中国工商银行就有电子密码器这样一种信息加密模式,即利用手持密码器获取登录密码或是交易密码,这样就保证了密码的随机性和实时性,不会被窃取或是拦截,安全性很高。
2.4 规范操作行为
使用者操作不当也是导致信息安全的原因,因此要对其计算机操作行为予以规范。一方面,要养成良好的网络使用习惯,不进入一些非法网站或是恶意广告网站,减少接触信息危险的几率。另一方面,要定期清理过期文件,将其彻底粉碎。甚至可以定期重装系统,消除残留在系统中的各种信息,不给不法分子可乘之机。
2.5 加强入网访问的控制
一般来讲,入网访问控制对于用户账号、口令等需要进行严格的控制、口令、账号不要太短,最好是数字与字母相结合的形式,一定不要用自己的生日等常见的数字作为口令,要定时更新,来防止他人窃取。作为网络第一道口的入网访问制度,当前应用较为广泛,安全性较高的方法是USBKEY,解决了安全与易用之间的矛盾,采用软硬结合手段。它是一个硬件设备,用户并不需要存于内存,也不需要通过在网络上传播。因而极大的增加了网络安全,也增加了用户信息的安全性。
2.6 加强员工安全管理意识
加强信息安全意识的培训,是因为网络工作人员不仅是具要使用者,同时也信息安全的需求者。信息安全管理工作人员的作业内容有办公室自动化、操作及软件维修及系统安全分析等。所以,网络安全管理人员一定要强化安全意识,从而进一步提高企业信息的安全保障能力。
3 结束语
信息安全在互联网+时代需要得到重视,对其产生的原因进行分析,做好迎检和软件两个方面的防护工作,同时合理使用加密保护技术,规范操作者行为习惯,提高计算机网络信息安全水平。
参考文献
[1]史嘉林.计算机网络信息安全分析与管理[J].电脑开发与应用,2012(03):36-38+42.
[2]李t娟,王祥.计算机网络的信息安全分析及防护策略研究[J].信息安全与技术,2016(04):40-41+81.
[3]郭天艳.计算机网络信息安全分析与管理[J].网络安全技术与应用,2014(05):118-119.
作者简介
薄楠(1979-),女,辽宁省营口市人。大学本科学历,现为辽宁边防总队大连周水子边防检查站工程师,主要研究方向为计算机应用及网络安全等相关领域。
