引論:我們?yōu)槟砹?3篇安全網(wǎng)絡(luò)論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
1.2釣魚網(wǎng)站為金融信息的安全帶來較大風(fēng)險(xiǎn)
隨著互聯(lián)網(wǎng)信息的不斷發(fā)展,各種網(wǎng)絡(luò)技術(shù)都在不斷成熟。在這種背景下,通過百度、谷歌等搜索引擎就可以了解到一定的用戶信息,因?yàn)樵诋?dāng)前的環(huán)境下,很多人都習(xí)慣于借助各種搜索引擎來對各種特定的金融信息加以了解。因此也就有人利用這些系統(tǒng)當(dāng)中存在的漏洞來對客戶的一些金融信息和金融資料加以盜取,或者是做成釣魚網(wǎng)站。所謂的釣魚網(wǎng)站是通過互聯(lián)網(wǎng)技術(shù)以某種特定的方式在互聯(lián)網(wǎng)上進(jìn)行信息的,通過某些具有吸引力的信息來誘導(dǎo)用戶加以訪問,以此方式來對用戶重要的個(gè)人信息逐條盜取,最后再對客戶進(jìn)行各項(xiàng)敲詐活動,這為廣大網(wǎng)民的安全上網(wǎng)和個(gè)人利益造成了非常嚴(yán)重的損害。雖然說釣魚網(wǎng)站的技術(shù)含量很低,但是其門檻也很低,通常而言也很難識別,這對金融行業(yè)產(chǎn)生了很嚴(yán)重的影響。從我國反釣魚網(wǎng)站聯(lián)盟在2014年6月的釣魚網(wǎng)站處理簡報(bào)上看,截止到2014年6月份,聯(lián)盟共計(jì)處理了釣魚網(wǎng)站8186個(gè),累計(jì)認(rèn)定并處理釣魚網(wǎng)站192914個(gè)。從中分析可以得出,電子商務(wù)和金融證券類的通信安全問題依然是主要問題,隨著“網(wǎng)銀”的不斷普及,金融信息泄露等事件而造成的用戶財(cái)產(chǎn)損失將會成為威脅網(wǎng)絡(luò)金融體系的主要問題。
2網(wǎng)絡(luò)經(jīng)濟(jì)環(huán)境下的金融安全防范探究
2.1金融機(jī)構(gòu)信息安全保障機(jī)制的構(gòu)建
在當(dāng)前,我們將政策性銀行、大型商業(yè)銀行和股份制銀行作為銀行業(yè)的金融信息集散中心,防范金融機(jī)構(gòu)信息泄露是金融安全防范的重點(diǎn)問題,其根本在于對其安全保障機(jī)制加以完善。對金融信息的安全保障機(jī)制做出完善,需要建立在金融信息安全政策和安全標(biāo)準(zhǔn)的前提之下,對金融機(jī)構(gòu)內(nèi)部的信息安全管理機(jī)制做出規(guī)范和調(diào)整,在此基礎(chǔ)上創(chuàng)新信息安全技術(shù)和信息安全運(yùn)行機(jī)制。因?yàn)楦鞣N因素的影響,很多中小型的金融機(jī)構(gòu)在在金融安全管理方面一直都存在著諸多的問題。所以對于中小型金融機(jī)構(gòu)而言,需要構(gòu)建出一個(gè)合理的管理手段和技術(shù)手段相結(jié)合的度層次、全方位信息安全防范體系。這樣才能夠?yàn)榻鹑跇I(yè)的發(fā)展提供必要的信息化基礎(chǔ)保障。所以在對中小型金融機(jī)構(gòu)信息安全保障機(jī)構(gòu)進(jìn)行構(gòu)建的時(shí)候需要對金融機(jī)構(gòu)的相關(guān)做法加以參考,要重視從聯(lián)合結(jié)構(gòu)和外包服務(wù)等層面來對相關(guān)問題做出思考。
2.2健全金融機(jī)構(gòu)的信息安全服務(wù)體系
總管金融信息網(wǎng)絡(luò)的傳播途徑,信息安全隱患主要是因?yàn)榻换ミ^程中對信息的非法索取有關(guān),此外通過客戶端進(jìn)行身份識別、通過數(shù)字簽名、密鑰管理、終端病毒和訪問權(quán)限等也能夠在技術(shù)層面上對相關(guān)客戶的信息資料加以盜取。所以在這些方面進(jìn)行有效的保障是彌補(bǔ)網(wǎng)絡(luò)安全技術(shù)缺陷的主要環(huán)節(jié)。按照人們的常規(guī)思維來講,只有開發(fā)出先進(jìn)的金融安全技術(shù)才能夠更好地對金融風(fēng)險(xiǎn)做出防范,而現(xiàn)階段對于網(wǎng)絡(luò)信息安全的防范技術(shù)主要是通過相關(guān)的技術(shù)隔離和技術(shù)加密來實(shí)現(xiàn)數(shù)字簽名的相關(guān)內(nèi)容。所以金融服務(wù)濟(jì)公應(yīng)該重視在技術(shù)上對相關(guān)的網(wǎng)絡(luò)安全服務(wù)體系做出防范,適當(dāng)?shù)臅r(shí)候需要提供相關(guān)的軟件升級服務(wù),進(jìn)行更為嚴(yán)格保密的加密和相關(guān)的數(shù)字簽名服務(wù)。只有這樣才能夠通過信息備份和信息回復(fù)來使相關(guān)的安全技術(shù)得到認(rèn)證,這對于客戶本人而諾言,具有很高的保護(hù)效果,能夠幫助客戶提供對金融信息風(fēng)險(xiǎn)防范的識別,進(jìn)而更好地杜絕可能造成用戶信息泄露的風(fēng)險(xiǎn)源為用戶帶來的危害。
篇2
2.1加強(qiáng)網(wǎng)絡(luò)信息安全管理網(wǎng)絡(luò)信息安全實(shí)質(zhì)就是一個(gè)管理方面的問題,特別是在我國網(wǎng)絡(luò)信息安全行業(yè)剛剛發(fā)展初期,做好網(wǎng)絡(luò)信息安全的管理工作更顯得尤為重要。①嚴(yán)格根據(jù)管理流程實(shí)施管理操作。對網(wǎng)絡(luò)進(jìn)行微觀操作,這是網(wǎng)絡(luò)內(nèi)網(wǎng)產(chǎn)生不安全的主要原因,因此,對業(yè)務(wù)不得進(jìn)行越權(quán)查看及使用,不許私自對數(shù)據(jù)庫或某些機(jī)密文件進(jìn)行修改,以此來杜絕內(nèi)網(wǎng)中計(jì)算機(jī)及網(wǎng)絡(luò)受到惡意攻擊。②實(shí)施連續(xù)性管理網(wǎng)絡(luò)系統(tǒng)。作為網(wǎng)絡(luò)管理人員,一定要把系統(tǒng)恢復(fù)和系統(tǒng)備份策略應(yīng)用于網(wǎng)絡(luò)系統(tǒng),這不僅可實(shí)現(xiàn)連續(xù)性管理系統(tǒng)的要求,而且還可有效避免因惡意破壞、自然災(zāi)害等原因使設(shè)備遭到破壞、無法正常提供服務(wù)的問題發(fā)生。③加強(qiáng)管理人員的日常操作管理。要有效對系統(tǒng)進(jìn)行管理,最為重要的在于管理人員,因此,作為網(wǎng)絡(luò)系統(tǒng)管理人員,一定要具備超強(qiáng)的技術(shù)能力,此外,還必須具備一定的網(wǎng)絡(luò)信息安全意識。不管是企業(yè),還是公司,在進(jìn)行網(wǎng)絡(luò)管理人員選拔時(shí),一定要綜合考慮有關(guān)技術(shù)能力和安全意識等方面的因素;同時(shí),還要?jiǎng)?chuàng)造條件對這些網(wǎng)絡(luò)管理人員實(shí)施一定的職業(yè)培訓(xùn)以及網(wǎng)絡(luò)信息安全教育,以此來讓網(wǎng)絡(luò)管理人員切實(shí)懂得網(wǎng)絡(luò)信息安全的重要性,并讓他們明白在維護(hù)網(wǎng)絡(luò)信息安全中他們個(gè)人所應(yīng)承擔(dān)的責(zé)任。此外,對于網(wǎng)絡(luò)信息的相關(guān)操作管理,一定要讓網(wǎng)絡(luò)管理人員熟練掌握,對于安全的網(wǎng)絡(luò)管理策略能予以正確的執(zhí)行和落實(shí),這樣,就可最大限度避免因人為原因所帶來的網(wǎng)絡(luò)信息安全漏洞。
2.2設(shè)置防火墻網(wǎng)絡(luò)威脅絕大多數(shù)是從互聯(lián)網(wǎng)來的,應(yīng)用防火墻來判斷與辨別進(jìn)出網(wǎng)絡(luò)的各種信息,能夠有效避免內(nèi)網(wǎng)或計(jì)算機(jī)系統(tǒng)遭到病毒和木馬的攻擊;所以,要對網(wǎng)絡(luò)信息安全進(jìn)行有效保護(hù),一定要選擇一個(gè)防火墻來進(jìn)行保護(hù),而且要讓所選擇的防火墻,不僅要技術(shù)性強(qiáng),而且防御功能要足夠強(qiáng)大。
2.3安裝vpn設(shè)備所謂vpn設(shè)備,其實(shí)就是一個(gè)服務(wù)器,電腦在進(jìn)行網(wǎng)絡(luò)信息傳遞過程中,要使網(wǎng)絡(luò)信息先向vpn服務(wù)器進(jìn)行傳遞,然后再通過vpn設(shè)備向目的主機(jī)進(jìn)行傳遞,這樣就可讓計(jì)算機(jī)不直接連接于物聯(lián)網(wǎng),從而讓網(wǎng)絡(luò)黑客無法得到真正的ip地址,無法完成對網(wǎng)絡(luò)進(jìn)行攻擊,這樣就有效對網(wǎng)絡(luò)信息安全起到了保護(hù)作用。
篇3
(2)網(wǎng)絡(luò)通信結(jié)構(gòu)不完善。網(wǎng)間網(wǎng)的技術(shù)給網(wǎng)絡(luò)通信提供了技術(shù)基礎(chǔ),用戶通過IP協(xié)議或TCP協(xié)議得到遠(yuǎn)程授權(quán),登錄相關(guān)互聯(lián)網(wǎng)系統(tǒng),通過點(diǎn)與點(diǎn)連接的方式來進(jìn)行信息的傳輸。然而,網(wǎng)絡(luò)結(jié)構(gòu)間卻是以樹狀形式進(jìn)行連接的,當(dāng)用戶受到黑客入侵或攻擊時(shí),樹狀結(jié)構(gòu)為黑客竊聽用戶信息提供了便利。
(3)相關(guān)網(wǎng)絡(luò)維護(hù)系統(tǒng)不夠完善。網(wǎng)絡(luò)維護(hù)系統(tǒng)的不完善主要表現(xiàn)軟件系統(tǒng)的安全性不足,我們現(xiàn)在所使用的計(jì)算機(jī)終端主要是依靠主流操作系統(tǒng),在長時(shí)間的使用下需下載一些補(bǔ)丁來對系統(tǒng)進(jìn)行相關(guān)的維護(hù),導(dǎo)致了軟件的程序被泄露。
2對于網(wǎng)絡(luò)通信中存在的信息安全問題的應(yīng)對方案
對于上述的種種網(wǎng)絡(luò)通信當(dāng)中存在的信息安全問題,我們應(yīng)當(dāng)盡快地采取有效的對策,目前主要可以從以下幾個(gè)方面入手:
(1)用戶應(yīng)當(dāng)保護(hù)好自己的IP地址。黑客入侵或攻擊互聯(lián)網(wǎng)用戶的最主要目標(biāo)。在用戶進(jìn)行網(wǎng)絡(luò)信息傳輸時(shí),交換機(jī)是進(jìn)行信息傳遞的重要環(huán)節(jié),因此,用戶可以利用對網(wǎng)絡(luò)交換機(jī)安全的嚴(yán)格保護(hù)來保證信息的安全傳輸。除此之外,對所使用的路由器進(jìn)行嚴(yán)格的控制與隔離等方式也可以加強(qiáng)用戶所使用的IP地址的安全。
(2)對信息進(jìn)行加密。網(wǎng)絡(luò)通信中出現(xiàn)的信息安全問題主要包括信息的傳遞以及存儲過程當(dāng)中的安全問題。在這兩個(gè)過程當(dāng)中,黑客通過竊聽傳輸時(shí)的信息、盜取互聯(lián)網(wǎng)用戶的相關(guān)資料、對信息進(jìn)行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網(wǎng)絡(luò)通信當(dāng)中信息的安全做出威脅。互聯(lián)網(wǎng)用戶如果在進(jìn)行信息傳遞與存儲時(shí),能夠根據(jù)具體情況選用合理的方法來對信息進(jìn)行嚴(yán)格的加密處理,那么便可以有效地防治這些信息安全問題的產(chǎn)生。
(3)完善身份驗(yàn)證系統(tǒng)。身份驗(yàn)證是互聯(lián)網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)通信的首要步驟。在進(jìn)行身份驗(yàn)證時(shí)一般都需要同時(shí)具備用戶名以及密碼才能完成登錄。在驗(yàn)證過程當(dāng)中用戶需要注意的是要盡量將用戶名、密碼分開儲存,可以適當(dāng)?shù)厥褂靡淮涡悦艽a,同時(shí)還可以利用安全口令等方法來保證身份驗(yàn)證的安全。隨著科技的快速發(fā)展,目前一些指紋驗(yàn)證、視網(wǎng)膜驗(yàn)證等先進(jìn)生物檢測方法也慢慢得到了運(yùn)用,這給網(wǎng)絡(luò)通信信息安全提供了極大的保障。
篇4
一、網(wǎng)絡(luò)的開放性帶來的安全問題
眾所周知,Internet是開放的,而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中,安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。為了解決這些安全問題,各種安全機(jī)制、策略和工具被研究和應(yīng)用。然而,即使在使用了現(xiàn)有的安全工具和機(jī)制的情況下,網(wǎng)絡(luò)的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點(diǎn):
(一)每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境
防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問,防火墻往往是無能為力的。因此,對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,防火墻是很難發(fā)覺和防范的。
(二)安全工具的使用受到人為因素的影響
一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶,不正當(dāng)?shù)脑O(shè)置就會產(chǎn)生不安全因素。例如,NT在進(jìn)行合理的設(shè)置后可以達(dá)到C2級的安全性,但很少有人能夠?qū)T本身的安全策略進(jìn)行合理的設(shè)置。雖然在這方面,可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進(jìn)行了合理的設(shè)置,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較,針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。
(三)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數(shù)情況下這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。比如說,眾所周知的ASP源碼問題,這個(gè)問題在IIS服務(wù)器4.0以前一直存在,它是IIS服務(wù)的設(shè)計(jì)者留下的一個(gè)后門,任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼,從而可以收集系統(tǒng)信息,進(jìn)而對系統(tǒng)進(jìn)行攻擊。對于這類入侵行為,防火墻是無法發(fā)覺的,因?yàn)閷τ诜阑饓碚f,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區(qū)別是入侵訪問在請求鏈接中多加了一個(gè)后綴。
(四)只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來,程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用,而且這種攻擊通常不會產(chǎn)生日志,幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG,現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
(五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)
然而安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時(shí),其他的安全問題又出現(xiàn)了。因此,黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。
二、網(wǎng)絡(luò)安全的主要技術(shù)
安全是網(wǎng)絡(luò)賴以生存的保障,只有安全得到保障,網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實(shí)踐的發(fā)展而發(fā)展,其涉及的技術(shù)面非常廣,主要的技術(shù)如認(rèn)證、加密、防火墻及入侵檢測是網(wǎng)絡(luò)安全的重要防線。
(一)認(rèn)證
對合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問,使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息。
(二)數(shù)據(jù)加密
加密就是通過一種方式使信息變得混亂,從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。
1.私匙加密。私匙加密又稱對稱密匙加密,因?yàn)橛脕砑用苄畔⒌拿艹拙褪墙饷苄畔⑺褂玫拿艹住K匠准用転樾畔⑻峁┝诉M(jìn)一步的緊密性,它不提供認(rèn)證,因?yàn)槭褂迷撁艹椎娜魏稳硕伎梢詣?chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點(diǎn)是速度很快,很容易在硬件和軟件中實(shí)現(xiàn)。
2.公匙加密。公匙加密比私匙加密出現(xiàn)得晚,私匙加密使用同一個(gè)密匙加密和解密,而公匙加密使用兩個(gè)密匙,一個(gè)用于加密信息,另一個(gè)用于解密信息。公匙加密系統(tǒng)的缺點(diǎn)是它們通常是計(jì)算密集的,因而比私匙加密系統(tǒng)的速度慢得多,不過若將兩者結(jié)合起來,就可以得到一個(gè)更復(fù)雜的系統(tǒng)。
(三)防火墻技術(shù)
防火墻是網(wǎng)絡(luò)訪問控制設(shè)備,用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù),它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器,而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點(diǎn)時(shí)對其實(shí)施一整套訪問策略的一個(gè)或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護(hù)自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓簦渲凶盍餍械募夹g(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和服務(wù)器技術(shù),它們的安全級別依次升高,但具體實(shí)踐中既要考慮體系的性價(jià)比,又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外,現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術(shù)。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內(nèi)外提供一致的安全策略;而且防火墻只實(shí)現(xiàn)了粗粒度的訪問控制,也不能與企業(yè)內(nèi)部使用的其他安全機(jī)制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個(gè)系統(tǒng)(路由器、過濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機(jī))組成的防火墻,管理上難免有所疏忽。
(四)入侵檢測系統(tǒng)
入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計(jì)記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達(dá)到限制這些活動,以保護(hù)系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù),最好采用混合入侵檢測,在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng),則會構(gòu)架成一套完整立體的主動防御體系。
(五)虛擬專用網(wǎng)(VPN)技術(shù)
VPN是目前解決信息安全問題的一個(gè)最新、最成功的技術(shù)課題之一,所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機(jī)制,這兩種機(jī)制為路由過濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項(xiàng)技術(shù)來保障安全:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密匙管理技術(shù)(KeyManagement)和使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機(jī)制應(yīng)能技術(shù)不同層次的安全服務(wù),這些安全服務(wù)包括不同強(qiáng)度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協(xié)議可分為第二層和第三層的;按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。
(六)其他網(wǎng)絡(luò)安全技術(shù)
1.智能卡技術(shù),智能卡技術(shù)和加密技術(shù)相近,其實(shí)智能卡就是密匙的一種媒體,由授權(quán)用戶持有并由該用戶賦與它一個(gè)口令或密碼字,該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。智能卡技術(shù)一般與身份驗(yàn)證聯(lián)合使用。
2.安全脆弱性掃描技術(shù),它為能針對網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段,指出系統(tǒng)存在或潛在的安全漏洞,以改進(jìn)系統(tǒng)對網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。
3.網(wǎng)絡(luò)數(shù)據(jù)存儲、備份及容災(zāi)規(guī)劃,它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù),使整個(gè)系統(tǒng)在最短的時(shí)間內(nèi)重新投入正常運(yùn)行的一種安全技術(shù)方案。
4.IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過路由器訪問Internet時(shí),路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。
篇5
1.國家安全將遭受到威脅
網(wǎng)絡(luò)黑客攻擊的目標(biāo)常包括銀行、政府及軍事部門,竊取和修改信息。這會對社會和國家安全造成嚴(yán)重威脅,有可能帶來無法挽回的損失。
2.損失巨大
很多網(wǎng)絡(luò)是大型網(wǎng)絡(luò),像互聯(lián)網(wǎng)是全球性網(wǎng)絡(luò),這些網(wǎng)絡(luò)上連接著無數(shù)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備,如果攻擊者攻擊入侵連接在網(wǎng)絡(luò)上的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備,會破壞成千上萬臺計(jì)算機(jī),從而給用戶造成巨大經(jīng)濟(jì)損失。
3.手段多樣,手法隱蔽
網(wǎng)絡(luò)攻擊所需設(shè)備簡單,所花時(shí)間短,某些過程只需一臺連接Internet的PC即可完成。這個(gè)特征決定了攻擊者的方式多樣性和隱蔽性。比如網(wǎng)絡(luò)攻擊者既可以用監(jiān)視網(wǎng)上數(shù)據(jù)來盜取他人的保密信息;可以通過截取他人的帳號和口令潛入他人的計(jì)算機(jī)系統(tǒng);可以通過一些方法來繞過或破壞他人安裝的防火墻等等。
網(wǎng)絡(luò)安全防范技術(shù)
1.病毒的防范
計(jì)算機(jī)病毒變得越來越復(fù)雜,對計(jì)算機(jī)信息系統(tǒng)構(gòu)成極大的威脅。在網(wǎng)絡(luò)環(huán)境中對計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。它的入侵檢測技術(shù)包括基于主機(jī)和基于網(wǎng)絡(luò)兩種。單機(jī)防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測、清除病毒。對網(wǎng)絡(luò)病毒的防范主要包括預(yù)防病毒、檢測病毒和殺毒三種技術(shù)。網(wǎng)絡(luò)版防病毒系統(tǒng)包括:(1)系統(tǒng)中心:系統(tǒng)中心實(shí)時(shí)記錄計(jì)算機(jī)的病毒監(jiān)控、檢測和清除的信息,實(shí)現(xiàn)對整個(gè)防護(hù)系統(tǒng)的自動控制。(2)服務(wù)器端:服務(wù)器端為網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)應(yīng)用而設(shè)計(jì)。(3)客戶端:客戶端對當(dāng)前工作站上病毒監(jiān)控、檢測和清除,并在需要時(shí)向系統(tǒng)中心發(fā)送病毒監(jiān)測報(bào)告。(4)管理控制臺:管理控制臺是為了網(wǎng)絡(luò)管理員的應(yīng)用而設(shè)計(jì)的,通過它可以集中管理網(wǎng)絡(luò)上所有已安裝的防病毒系統(tǒng)防護(hù)軟件的計(jì)算機(jī)。
2.防火墻的配置
首先我們了解防火墻所處的位置決定了一些特點(diǎn)包括(1)所有的從外部到內(nèi)部的通信都必須經(jīng)過它(。2)只有有內(nèi)部訪問策略授權(quán)的通信才能被允許通過。(3)系統(tǒng)本身具有很強(qiáng)的高可靠性。所以防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墑是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻是所有安全工具中最重要的一個(gè)組成部分。它在內(nèi)部信任網(wǎng)絡(luò)和其他任何非信任網(wǎng)絡(luò)上提供了不同的規(guī)則進(jìn)行判斷和驗(yàn)證,確定是否允許該類型的信息通過。一個(gè)防火墻策略要符合4個(gè)目標(biāo),而每個(gè)目標(biāo)通常都不是通過一個(gè)單獨(dú)的設(shè)備或軟件來實(shí)現(xiàn)的。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證)配置在防火墻上。也可對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時(shí),也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)有網(wǎng)絡(luò)入侵或攻擊時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。再次,利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響,防止內(nèi)部信息的外泄。
3.數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)
與防火墻相比,數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活,更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護(hù),需要系統(tǒng)級別的支持,一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密包括傳輸過程中的數(shù)據(jù)加密和存儲數(shù)據(jù)加密,對于傳輸加密,一般有硬件加密和軟件加密兩種方法實(shí)現(xiàn)。網(wǎng)絡(luò)中的數(shù)據(jù)加密,要選擇加密算法和密鑰,可以將這些加密算法分為對稱密鑰算法和公鑰密鑰算法兩種。對稱密鑰算法中,收發(fā)雙方使用相同的密鑰。比較著名的對稱密鑰算法有:美國的DES、歐洲的IDEA等。
4.應(yīng)用入侵檢測技術(shù)
入侵檢測系統(tǒng)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息,再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。入侵檢測系統(tǒng)的功能包括:監(jiān)控和分析系統(tǒng)、用戶的行為;評估系統(tǒng)文件與數(shù)據(jù)文件的完整性,檢查系統(tǒng)漏洞;對系統(tǒng)的異常行為進(jìn)行分析和識別,及時(shí)向網(wǎng)絡(luò)管理人員報(bào)警;跟蹤管理操作系統(tǒng),識別無授僅用戶活動。具體應(yīng)用就是指對那些面向系統(tǒng)資源和網(wǎng)絡(luò)資源的未經(jīng)授權(quán)的行為進(jìn)行識別和響應(yīng)。入侵檢測通過監(jiān)控系統(tǒng)的使用情況,來檢測系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的人侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進(jìn)行入侵的企圖。目前主要有兩類入侵檢測系統(tǒng)基于主機(jī)的和基于網(wǎng)絡(luò)的。前者檢查某臺主機(jī)系統(tǒng)日志中記錄的未經(jīng)授權(quán)的可疑行為,并及時(shí)做出響應(yīng)。后者是在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流,查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵,并對發(fā)現(xiàn)的人侵做出及時(shí)的響應(yīng)。
5.規(guī)范安全管理行為
篇6
1.2計(jì)算機(jī)病毒安全問題
計(jì)算機(jī)一旦受到病毒的入侵,將會出現(xiàn)嚴(yán)重的運(yùn)行問題,如系統(tǒng)癱瘓、傳輸數(shù)據(jù)失真以及數(shù)據(jù)庫信息丟失等。計(jì)算機(jī)病毒具有典型的潛伏性、傳染性、隱蔽性和破環(huán)性,目前,計(jì)算機(jī)病毒種類主要有以下四種:第一,木馬病毒。該類病毒的主要目的是竊取計(jì)算機(jī)上的數(shù)據(jù)信息,具有典型的誘騙性;第二,蠕蟲病毒。熊貓燒香是該類病毒的典型代表,以用戶計(jì)算機(jī)上出現(xiàn)的漏洞為切入點(diǎn),綜合使用攻擊計(jì)算機(jī)終端的方式控制計(jì)算機(jī)系統(tǒng),該病毒具有較強(qiáng)的傳播性和變異性;第三,腳本病毒。該病毒主要發(fā)生在互聯(lián)網(wǎng)網(wǎng)頁位置;第四,間諜病毒。要想提升某網(wǎng)頁的訪問量,強(qiáng)制要求計(jì)算機(jī)用戶主頁預(yù)期鏈接。伴隨著科技的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用范圍不斷擴(kuò)大,各種類型病毒的破壞性也隨之增加。
1.3黑客
通過網(wǎng)絡(luò)攻擊計(jì)算機(jī)目前,我國仍存在著大量非法人員對計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊等行為,這類人員大都掌握著扎實(shí)的計(jì)算機(jī)和計(jì)算機(jī)安全漏洞技術(shù),對計(jì)算機(jī)用戶終端與網(wǎng)絡(luò)做出強(qiáng)有力的破壞行為是他們的主要目的。黑客攻擊計(jì)算機(jī)網(wǎng)絡(luò)的主要形式有三種:第一,利用虛假的信息攻擊網(wǎng)絡(luò);第二,利用木馬或者病毒程序?qū)τ?jì)算機(jī)用戶的電腦進(jìn)行控制;第三,結(jié)合計(jì)算機(jī)用戶瀏覽網(wǎng)頁的腳本漏洞對其進(jìn)行攻擊。
2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中的應(yīng)用
2.1防火墻技術(shù)
防護(hù)墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的主要表現(xiàn)形式之一。防火墻技術(shù)的應(yīng)用能夠從根本上解決計(jì)算機(jī)病毒安全問題,在實(shí)際應(yīng)用過程中,計(jì)算機(jī)網(wǎng)絡(luò)安全中心的防火墻技術(shù)被分為應(yīng)用級防火墻和包過濾防火墻兩種形式。其中應(yīng)用型防護(hù)墻的主要目的是保護(hù)服務(wù)器的安全,在掃描終端服務(wù)器的數(shù)據(jù)后,如果發(fā)現(xiàn)有意或者不合常理等攻擊行為,系統(tǒng)應(yīng)該及時(shí)切斷服務(wù)器與內(nèi)網(wǎng)服務(wù)器之間的交流,采用終端病毒傳播的方式保護(hù)企業(yè)網(wǎng)的安全。包過濾防火墻的主要工作任務(wù)是及時(shí)過濾路由器傳輸給計(jì)算機(jī)的數(shù)據(jù)信息,這種過濾手段可以阻擋病毒信息入侵計(jì)算機(jī)系統(tǒng),并第一時(shí)間內(nèi)通知用戶攔截病毒信息,為提高企業(yè)網(wǎng)的安全性提供技術(shù)保障。下圖1是企業(yè)網(wǎng)防護(hù)墻配置示意圖。Intranet周邊網(wǎng)絡(luò)InternetInternet防火墻周邊防火墻內(nèi)部網(wǎng)絡(luò)服外部網(wǎng)絡(luò)務(wù)器服務(wù)器圖1防火墻配置
2.2數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的另一種表現(xiàn)形式。在企業(yè)發(fā)展建設(shè)過程中,要想提高企業(yè)發(fā)展信息的安全性和可靠性,企業(yè)必須在實(shí)際運(yùn)行的計(jì)算機(jī)網(wǎng)絡(luò)中綜合使用數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)要求將企業(yè)網(wǎng)內(nèi)的相關(guān)數(shù)據(jù)進(jìn)行加密處理,在傳輸和接收數(shù)據(jù)信息的過程中必須輸入正確的密碼才能打開相關(guān)文件,這為提高企業(yè)信息的安全性提供了技術(shù)保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種,其中對稱加密算法中使用的加密和加密信息保持一致,非對稱加密算法中加密方法和解密方法存在較大的差異,通常很難被黑客破解,這兩種加密形式在企業(yè)網(wǎng)中均得到了廣泛應(yīng)用。
2.3病毒查殺技術(shù)
病毒查殺技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的表現(xiàn)形式之一。病毒對計(jì)算機(jī)安全有極大的威脅,該技術(shù)要求企業(yè)技術(shù)對計(jì)算機(jī)操作系統(tǒng)進(jìn)行檢測和更新,減少系統(tǒng)出現(xiàn)漏洞的頻率;杜絕用戶在不經(jīng)允許的情況下私自下載不正規(guī)的軟件;安裝正版病毒查殺軟件的過程中還應(yīng)該及時(shí)清理病毒數(shù)據(jù)庫;控制用戶瀏覽不文明的網(wǎng)頁;在下載不明郵件或者軟件后立即對不良文件進(jìn)行病毒查殺處理,確定文件的安全性后才能投入使用。
2.4入侵檢測技術(shù)
入侵檢測技術(shù)在企業(yè)網(wǎng)安全運(yùn)行中發(fā)揮著至關(guān)重要的作用,其作用主要表現(xiàn)在以下幾方面:第一,收集計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及相關(guān)應(yīng)用程序中存在的信息數(shù)據(jù);第二,找尋計(jì)算機(jī)系統(tǒng)中可能存在的侵害行為;第三,自動發(fā)出病毒侵害報(bào)警信號;第四,切斷入侵途徑;第五,攔截入侵。入侵檢測技術(shù)在企業(yè)網(wǎng)中的應(yīng)用具有較強(qiáng)的安全性特征,該技術(shù)的主要任務(wù)是負(fù)責(zé)監(jiān)視企業(yè)網(wǎng)絡(luò)運(yùn)行狀況,對網(wǎng)絡(luò)的正常運(yùn)行不會產(chǎn)生任何影響。入侵檢測技術(shù)使用的網(wǎng)絡(luò)系統(tǒng)以基于主機(jī)系統(tǒng)和基于網(wǎng)絡(luò)的入侵系統(tǒng)為主。基于主機(jī)系統(tǒng)的入侵檢測技術(shù)主要針對企業(yè)網(wǎng)的主機(jī)系統(tǒng)、歷史審計(jì)數(shù)據(jù)和用戶的系統(tǒng)日志等,該檢測技術(shù)具有極高的準(zhǔn)確性,但是,實(shí)際檢測過程中很容易引發(fā)各種問題,如數(shù)據(jù)失真和檢測漏洞等;基于網(wǎng)絡(luò)入侵檢測技術(shù)以其自身存在的特點(diǎn)為依據(jù),以網(wǎng)絡(luò)收集的相關(guān)數(shù)據(jù)信息為手段,在第一時(shí)間將入侵分析模塊里做出的測定結(jié)果發(fā)送給網(wǎng)絡(luò)管理人,該技術(shù)具有較強(qiáng)的抗攻擊能力、能在短時(shí)間內(nèi)做出有效的檢測,但是,由于該技術(shù)能對網(wǎng)絡(luò)數(shù)據(jù)包的變化狀況進(jìn)行監(jiān)控,在實(shí)際過程中會給加密技術(shù)帶來一定程度影響。入侵檢測技術(shù)在企業(yè)網(wǎng)的應(yīng)用過程中通常表現(xiàn)為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經(jīng)確定的入侵模式為主,在實(shí)際檢測過程中,該檢測方法具有響應(yīng)速度快和誤警率低等特點(diǎn),但是,該檢測技術(shù)需要較長的檢測時(shí)間為支撐,實(shí)際耗費(fèi)的工作量比較大。異常檢測的主要對象是計(jì)算機(jī)資源中用戶和系統(tǒng)非正常行為和正常行為情況,該檢測法誤警率較高,在實(shí)際檢測過程中必須對整個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行全盤掃描,因此,必須有大量的檢測時(shí)間作支撐。
篇7
當(dāng)前,我國較多局域網(wǎng)體系沒有單獨(dú)創(chuàng)建針對服務(wù)器的安全措施,雖然簡單的設(shè)置可令各類數(shù)據(jù)信息位于網(wǎng)絡(luò)系統(tǒng)中高效快速的傳播,然而同樣為病毒提供了便利的傳播感染渠道。局域網(wǎng)之中雖然各臺計(jì)算機(jī)均裝設(shè)了預(yù)防外界攻擊影響的安全工具,制定了防范措施,然而該類措施恰恰成為網(wǎng)絡(luò)安全的一類薄弱環(huán)節(jié)。在應(yīng)對局域網(wǎng)絡(luò)內(nèi)部影響攻擊時(shí),效果不佳,尤其在其服務(wù)器受到病毒侵襲影響,會令全網(wǎng)系統(tǒng)不良崩潰。為此,對其服務(wù)器獨(dú)立裝設(shè)有效防護(hù)措施尤為重要。我們應(yīng)在服務(wù)器內(nèi)部安裝單獨(dú)的監(jiān)控網(wǎng)內(nèi)系統(tǒng)、各類病毒庫的實(shí)時(shí)升級系統(tǒng),令其在全過程的實(shí)時(shí)安全監(jiān)督、優(yōu)化互補(bǔ)管控之下安全快速的運(yùn)行。當(dāng)發(fā)覺網(wǎng)內(nèi)計(jì)算機(jī)系統(tǒng)受到病毒侵襲時(shí),應(yīng)快速將聯(lián)系中斷,并面向處理中心報(bào)告病毒種類,實(shí)施全面系統(tǒng)的殺毒處理。而當(dāng)服務(wù)器系統(tǒng)被不良攻擊影響時(shí),則可利用雙機(jī)熱備體系、陣列系統(tǒng)安全防護(hù)數(shù)據(jù)信息,提升整體系統(tǒng)安全水平。
樹立安全防范意識,提升應(yīng)用者防毒水平
局域網(wǎng)產(chǎn)生的眾多安全問題之中,較多由于內(nèi)網(wǎng)操作應(yīng)用人員沒有樹立安全防范意識,令操作失誤頻繁發(fā)生。例如操作控制人員沒有有效進(jìn)行安全配置令系統(tǒng)存在漏洞、或是由于安全防范意識不強(qiáng),令外網(wǎng)攻擊借機(jī)入侵。在選擇口令階段中由于操作不慎,或?qū)⒆陨砉芾響?yīng)用賬號隨意的借他人應(yīng)用,均會給網(wǎng)絡(luò)安全造成不良威脅影響。另外,網(wǎng)絡(luò)釣魚也成為影響計(jì)算機(jī)局域網(wǎng)絡(luò)安全的顯著隱患問題。不法分子慣用該類方式盜取網(wǎng)絡(luò)系統(tǒng)賬號、竊用密碼,進(jìn)而獲取滿足其利益需求的各類重要資訊、信息,還直接盜取他人經(jīng)濟(jì)財(cái)產(chǎn)。一些網(wǎng)絡(luò)罪犯基于局域網(wǎng)絡(luò)系統(tǒng)資源信息全面共享的客觀特征而采取各類方式手段實(shí)施數(shù)據(jù)信息的不良截獲,或借助垃圾郵件群發(fā)、發(fā)送不明數(shù)據(jù)包、危險(xiǎn)鏈接等誘導(dǎo)迷惑方式,令收信方進(jìn)行點(diǎn)擊,對于計(jì)算機(jī)局域網(wǎng)絡(luò)系統(tǒng)的優(yōu)質(zhì)安全管理運(yùn)行形成了較大的隱患威脅。為此,應(yīng)用管理局域網(wǎng)人員應(yīng)明晰自身責(zé)任重大性,以身作則,對于陌生人傳輸信息、不明郵件不應(yīng)理睬,還可利用刪除、截獲、屏蔽、權(quán)限管控等手段阻斷釣魚者侵入通道,不給他們以可乘之機(jī),進(jìn)而凈化網(wǎng)絡(luò)環(huán)境。
3實(shí)施制度化的文件信息備份管理,預(yù)防不可逆損失
篇8
1.2風(fēng)險(xiǎn)威脅與安全防護(hù)相適應(yīng)原則商業(yè)銀行面對的是極其復(fù)雜的金融環(huán)境,要面臨多種風(fēng)險(xiǎn)和威脅,然而商業(yè)銀行計(jì)算機(jī)網(wǎng)絡(luò)不容易實(shí)現(xiàn)完全的安全。需要對網(wǎng)絡(luò)及所處層次的機(jī)密性及被攻擊的風(fēng)險(xiǎn)性程度開展評估和研究,制定與之匹配的安全解決方式。
1.3系統(tǒng)性原則商業(yè)銀行計(jì)算機(jī)網(wǎng)絡(luò)的安全防御必須合理使用系統(tǒng)工程的理論進(jìn)而全面分析網(wǎng)絡(luò)的安全及必須使用的具體方法。第一,系統(tǒng)性原則表現(xiàn)在各類管理制度的制定、落實(shí)和補(bǔ)充和專業(yè)方法的落實(shí)。第二,要充分為綜合性能、安全性和影響等考慮。第三,關(guān)注每個(gè)鏈路和節(jié)點(diǎn)的安全性,建立系統(tǒng)安防體系。
2計(jì)算機(jī)網(wǎng)絡(luò)安全采取的措施
商業(yè)銀行需要依據(jù)銀監(jiān)會的《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》,引進(jìn)系統(tǒng)審計(jì)專家進(jìn)行評估,結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的解決原則,建立綜合計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)措施。
2.1加強(qiáng)外部安全管理網(wǎng)絡(luò)管理人員需要認(rèn)真思考各類外部進(jìn)攻的形式,研究貼近實(shí)際情況的網(wǎng)絡(luò)安全方法,防止黑客發(fā)起的攻擊行為,特別是針對于金融安全的商業(yè)銀行網(wǎng)絡(luò)系統(tǒng)。通過防火墻、入侵檢測系統(tǒng),組成多層次網(wǎng)絡(luò)安全系統(tǒng),確保金融網(wǎng)絡(luò)安全。入侵檢測技術(shù)是網(wǎng)絡(luò)安全技術(shù)和信息技術(shù)結(jié)合的新方法。通過入侵檢測技術(shù)能夠?qū)崟r(shí)監(jiān)視網(wǎng)絡(luò)系統(tǒng)的相關(guān)方位,當(dāng)這些位置受到進(jìn)攻時(shí),可以馬上檢測和立即響應(yīng)。構(gòu)建入侵檢測系統(tǒng),可以馬上發(fā)現(xiàn)商業(yè)銀行金融網(wǎng)絡(luò)的非法入侵和對信息系統(tǒng)的進(jìn)攻,可以實(shí)時(shí)監(jiān)控、自動識別網(wǎng)絡(luò)違規(guī)行為并馬上自動響應(yīng),實(shí)現(xiàn)對網(wǎng)絡(luò)上敏感數(shù)據(jù)的保護(hù)。
2.2加強(qiáng)內(nèi)部安全管理內(nèi)部安全管理可以利用802.1X準(zhǔn)入控制技術(shù)、內(nèi)部訪問控制技術(shù)、內(nèi)部漏洞掃描技術(shù)相結(jié)合,構(gòu)建多層次的內(nèi)部網(wǎng)絡(luò)安全體系。基于802.1x協(xié)議的準(zhǔn)入控制設(shè)計(jì)強(qiáng)調(diào)了對于交換機(jī)端口的接入控制。在內(nèi)部用戶使用客戶端接入局域網(wǎng)時(shí),客戶端會先向接入交換機(jī)設(shè)備發(fā)送接入請求,并將相關(guān)身份認(rèn)證信息發(fā)送給接入交換機(jī),接入交換機(jī)將客戶端身份認(rèn)證信息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器,如果認(rèn)證成功該客戶端將被允許接入局域網(wǎng)內(nèi)。如認(rèn)證失敗客戶端將被禁止接入局域網(wǎng)或被限制在隔離VLAN中。[4]內(nèi)部訪問控制技術(shù)可以使用防火墻將核心服務(wù)器區(qū)域與內(nèi)部客戶端區(qū)域隔離,保證服務(wù)器區(qū)域不被非法訪問。同時(shí)結(jié)合訪問控制列表(ACL)方式,限制內(nèi)部客戶端允許訪問的區(qū)域或應(yīng)用,保證重要服務(wù)器或應(yīng)用不被串訪。同時(shí)結(jié)合內(nèi)部漏洞掃描技術(shù),通過在內(nèi)部網(wǎng)絡(luò)搭建漏洞掃描服務(wù)器,通過對計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)安全掃描收集收集網(wǎng)絡(luò)系統(tǒng)信息,查找安全隱患和可能被攻擊者利用的漏洞,并針對發(fā)現(xiàn)的漏洞加以防范。
2.3加強(qiáng)鏈路安全管理對于數(shù)據(jù)鏈路的安全管理目前常用方法是對傳輸中的數(shù)據(jù)流進(jìn)行加密。對于有特殊安全要求的敏感數(shù)據(jù)需要在傳輸過程中進(jìn)行必要的加密處理。常用的加密方式有針對線路的加密和服務(wù)器端對端的加密兩種。前者側(cè)重在線路上而不考慮信源與信宿,通過在線路兩端設(shè)置加密機(jī),通過加密算法對線路上傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密和解密。后者則指交易數(shù)據(jù)在服務(wù)器端通過調(diào)用加密軟件,采用加密算法對所發(fā)送的信息進(jìn)行加密,把相應(yīng)的敏感信息加密成密文,然后再在局域網(wǎng)或?qū)>€上傳輸,當(dāng)這些信息一旦到達(dá)目的地,將由對端服務(wù)器調(diào)用相應(yīng)的解密算法解密數(shù)據(jù)信息。隨著加密技術(shù)的不斷運(yùn)用,針對加密數(shù)據(jù)的破解也越來越猖獗,對數(shù)據(jù)加密算法的要求也越來越高,目前根據(jù)國家規(guī)定越來越多的商業(yè)銀行開始使用國密算法。
篇9
1.1插入攻擊插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無線網(wǎng)絡(luò)為基礎(chǔ),這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查。可對接入點(diǎn)進(jìn)行配置,要求客戶端接入時(shí)輸入口令。如果沒有口令,入侵者就可以通過啟用一個(gè)無線客戶端與接入點(diǎn)通信,從而連接到內(nèi)部網(wǎng)絡(luò)。但有些接入點(diǎn)要求的所有客戶端的訪問口令竟然完全相同。這是很危險(xiǎn)的。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業(yè)建筑物內(nèi)部,他們可以使用網(wǎng)絡(luò)掃描器,如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設(shè)備嗅探出無線網(wǎng)絡(luò),這種活動稱為“wardriving”;走在大街上或通過企業(yè)網(wǎng)站執(zhí)行同樣的任務(wù),這稱為“warwalking”。
1.3欺詐性接入點(diǎn)所謂欺詐性接入點(diǎn)是指在未獲得無線網(wǎng)絡(luò)所有者的許可或知曉的情況下,就設(shè)置或存在的接入點(diǎn)。一些雇員有時(shí)安裝欺詐性接入點(diǎn),其目的是為了避開已安裝的安全手段,創(chuàng)建隱蔽的無線網(wǎng)絡(luò)。這種秘密網(wǎng)絡(luò)雖然基本上無害,但它卻可以構(gòu)造出一個(gè)無保護(hù)措施的網(wǎng)絡(luò),并進(jìn)而充當(dāng)了入侵者進(jìn)入企業(yè)網(wǎng)絡(luò)的開放門戶。
1.4雙面惡魔攻擊這種攻擊有時(shí)也被稱為“無線釣魚”,雙面惡魔其實(shí)就是一個(gè)以鄰近的網(wǎng)絡(luò)名稱隱藏起來的欺詐性接入點(diǎn)。雙面惡魔等待著一些盲目信任的用戶進(jìn)入錯(cuò)誤的接入點(diǎn),然后竊取個(gè)別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計(jì)算機(jī)。
1.5竊取網(wǎng)絡(luò)資源有些用戶喜歡從鄰近的無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng),即使他們沒有什么惡意企圖,但仍會占用大量的網(wǎng)絡(luò)帶寬,嚴(yán)重影響網(wǎng)絡(luò)性能。而更多的不速之客會利用這種連接從公司范圍內(nèi)發(fā)送郵件,或下載盜版內(nèi)容,這會產(chǎn)生一些法律問題。
1.6對無線通信的劫持和監(jiān)視正如在有線網(wǎng)絡(luò)中一樣,劫持和監(jiān)視通過無線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信是完全可能的。它包括兩種情況,一是無線數(shù)據(jù)包分析,即熟練的攻擊者用類似于有線網(wǎng)絡(luò)的技術(shù)捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數(shù)據(jù)一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個(gè)合法用戶,并劫持用戶會話和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視,這種監(jiān)視依賴于集線器,所以很少見。
二、保障無線網(wǎng)絡(luò)安全的技術(shù)方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對不同無線網(wǎng)絡(luò)的識別,類似我們的手機(jī)識別不同的移動運(yùn)營商的機(jī)制。參數(shù)在設(shè)備缺省設(shè)定中是被AP無線接入點(diǎn)廣播出去的,客戶端只有收到這個(gè)參數(shù)或者手動設(shè)定與AP相同的SSID才能連接到無線網(wǎng)絡(luò)。而我們?nèi)绻堰@個(gè)廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網(wǎng)絡(luò)的。需要注意的是,如果黑客利用其他手段獲取相應(yīng)參數(shù),仍可接入目標(biāo)網(wǎng)絡(luò),因此,隱藏SSID適用于一般SOHO環(huán)境當(dāng)作簡單口令安全方式。
2.2MAC地址過濾顧名思義,這種方式就是通過對AP的設(shè)定,將指定的無線網(wǎng)卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個(gè)數(shù)據(jù)包都會做出判斷,只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā),否則將會被丟棄。這種方式比較麻煩,而且不能支持大量的移動客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網(wǎng)絡(luò),一般SOHO,小型企業(yè)工作室可以采用該安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經(jīng)過WIFI認(rèn)證的設(shè)備都支持該安全協(xié)定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數(shù)據(jù)不會以明文方式被截獲。該方法需要在每套移動設(shè)備和AP上配置密碼,部署比較麻煩;使用靜態(tài)非交換式密鑰,安全性也受到了業(yè)界的質(zhì)疑,但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊,一般用于SOHO、中小型企業(yè)的安全加密。
2.4AP隔離類似于有線網(wǎng)絡(luò)的VLAN,將所有的無線客戶端設(shè)備完全隔離,使之只能訪問AP連接的固定網(wǎng)絡(luò)。該方法用于對酒店和機(jī)場等公共熱點(diǎn)HotSpot的架設(shè),讓接入的無線客戶端保持隔離,提供安全的Internet接入。
2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義,用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。作為擴(kuò)展認(rèn)證協(xié)議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認(rèn)證機(jī)制,從而提供更高級別的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的簡稱,下一代無線規(guī)格802.11i之前的過渡方案,也是該標(biāo)準(zhǔn)內(nèi)的一小部分。WPA率先使用802.11i中的加密技術(shù)-TKIP(TemporalKeyIntegrityProtocol),這項(xiàng)技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協(xié)議,而且TKIP加密仍不能滿足高端企業(yè)和政府的加密需求,該方法多用于企業(yè)無線網(wǎng)絡(luò)部署。
2.7WPA2WPA2與WPA后向兼容,支持更高級的AES加密,能夠更好地解決無線網(wǎng)絡(luò)的安全問題。由于部分AP和大多數(shù)移動客戶端不支持此協(xié)議,盡管微軟已經(jīng)提供最新的WPA2補(bǔ)丁,但是仍需要對客戶端逐一部署。該方法適用于企業(yè)、政府及SOHO用戶。
篇10
2加強(qiáng)計(jì)算機(jī)管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用方法
2.1要裴炎高素質(zhì)的計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)人才,畢竟現(xiàn)代社會是知識經(jīng)濟(jì)時(shí)代,擁有專業(yè)知識的人才對國家和企業(yè)的發(fā)展是十分重要的,因此就要引進(jìn)和培養(yǎng)一批懂計(jì)算機(jī)的專業(yè)人才來服務(wù)國家和企業(yè),防止一些不法分子利用一些邪門歪道來竊取重要的信息。計(jì)算機(jī)專業(yè)人才因?yàn)閷W(xué)過這方面的專業(yè)知識,他們會熟練的使用計(jì)算機(jī)管理技術(shù)來實(shí)現(xiàn)整個(gè)局域網(wǎng)的安全,隨著計(jì)算機(jī)不斷的發(fā)展,專業(yè)人才的知識也在不斷的更新,他們能掌握計(jì)算網(wǎng)絡(luò)當(dāng)中一些重要的信息,熟練操作一些重要的軟件和數(shù)據(jù)庫,從而讓計(jì)算機(jī)網(wǎng)絡(luò)平穩(wěn)的運(yùn)行。因此,人才的引進(jìn)是十分重要的,只有擁有軟實(shí)力,才能在今后的競爭中占據(jù)有利的位置,不斷適應(yīng)時(shí)展的潮流。
2.2要做好計(jì)算機(jī)網(wǎng)絡(luò)的信息安全管理工作,首先就要建立起一套安全的網(wǎng)絡(luò)信息實(shí)施計(jì)劃,并要根據(jù)計(jì)劃一步一步的實(shí)施,要給社會營造一種綠色的上網(wǎng)環(huán)境,同時(shí)要在計(jì)劃當(dāng)中增加一些科學(xué)的元素,在實(shí)際的使用過程中,要構(gòu)建一個(gè)管理模型,要多向先進(jìn)的管理團(tuán)隊(duì)看齊,掌握好計(jì)算網(wǎng)絡(luò)管理的中堅(jiān)技術(shù),這個(gè)時(shí)候計(jì)算網(wǎng)絡(luò)信息系統(tǒng)就顯得十分的重要,在面臨問題的時(shí)候,可以系統(tǒng)中的步驟一步一步的拯救和改善,這樣才能合理并安全的實(shí)現(xiàn)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全,相關(guān)的技術(shù)人員也要認(rèn)真對待自身的本職工作,只有通過這樣將責(zé)任個(gè)人化,才能使得計(jì)算機(jī)網(wǎng)絡(luò)信息安全得到保障。
2.3在日常使用計(jì)算網(wǎng)絡(luò)進(jìn)行工作的時(shí)候,為了防止計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)漏洞,就必須要定期給計(jì)算機(jī)進(jìn)行檢查,使用一些計(jì)算機(jī)安全軟件實(shí)時(shí)保護(hù)和監(jiān)視計(jì)算機(jī)的基本情況,如果計(jì)算機(jī)出現(xiàn)問題,就要對存在的問題進(jìn)行分析和采取一些措施來補(bǔ)救,不能拖延的太久,越拖得久,計(jì)算機(jī)積累的垃圾也就越多。與此同時(shí),要針對不同的用戶制定不一樣的登錄口令和驗(yàn)證碼,避免一些不法分子很輕易的就用一些軟件破譯計(jì)算機(jī)的登錄密碼,做好計(jì)算機(jī)的網(wǎng)絡(luò)信息管理工作,要將防范的范圍擴(kuò)大化,重視計(jì)算機(jī)軟硬件之間的結(jié)合工作,做好細(xì)節(jié)的防范工作是保護(hù)重要信息不被竊取的重要途徑之一。
2.4要提高計(jì)算信息信息管理的水平,最重要的一點(diǎn)就是引起足夠的重視,對一些微乎其微的問題也要杜絕,時(shí)刻保持安全防范的意識,在工作中多加注意每個(gè)小細(xì)節(jié),對于一些不良的信息要及時(shí)的清理,避免存在一些病毒從而竊取機(jī)密信息,企業(yè)和各個(gè)機(jī)關(guān)單位也要組建一批高素質(zhì)的技術(shù)人員,并要培訓(xùn)這些計(jì)算機(jī)技術(shù)人員的計(jì)算機(jī)安全防范意識和管理能力,讓他們從思想上牢固樹立計(jì)算機(jī)安全防范意識,在工作中將這種思想傳播給更多的人,畢竟做好計(jì)算機(jī)信息網(wǎng)絡(luò)管理工作是一項(xiàng)相當(dāng)緊迫的任務(wù),因此,一旦信息系統(tǒng)受到黑客和病毒的進(jìn)攻,各種隱私材料將在非常短的時(shí)間內(nèi)消失,會給企業(yè)和機(jī)關(guān)單位帶來慘重的災(zāi)難,因此,提高防范的警惕性是非常重要的。
篇11
一方面,電力調(diào)度自動化具有復(fù)雜性,也正是因?yàn)樗倪@種復(fù)雜性,讓電力調(diào)度人員在對電力調(diào)度自動化的網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理的時(shí)候,出現(xiàn)了難以對其進(jìn)行管理的現(xiàn)象。另一方面,隨著互聯(lián)網(wǎng)的不斷發(fā)展,更是增強(qiáng)了一些惡意軟件和黑客的技術(shù)手段,這就從很大程度上增加了電力調(diào)度自動化的網(wǎng)絡(luò)安全問題。隨著電力調(diào)度自動化網(wǎng)絡(luò)安全問題的加深,電力調(diào)度自動化在運(yùn)行的過程當(dāng)中,就會出現(xiàn)越來越多的問題,從而導(dǎo)致整個(gè)電力調(diào)度自動化不能正常的進(jìn)行運(yùn)轉(zhuǎn)。
3電力調(diào)度人員沒有盡到該盡的責(zé)任
電力調(diào)度人員自身的素質(zhì),在電力調(diào)度自動化管理的過程當(dāng)中起著決定性的作用。因此,電力調(diào)度人員要是不具備很高的個(gè)人素質(zhì),那么他在工作的整個(gè)過程當(dāng)中,就不會用嚴(yán)謹(jǐn)?shù)膽B(tài)度去履行工作的義務(wù),那就更別說是承擔(dān)起相應(yīng)的責(zé)任了。于是,一旦網(wǎng)絡(luò)安全出現(xiàn)問題,他們也就無法及時(shí)找到造成這些問題出現(xiàn)的因素,從而導(dǎo)致問題越來越嚴(yán)重,以致于最后危及到了整個(gè)電力調(diào)度自動化的運(yùn)行。
4探究解決電力調(diào)度自動化網(wǎng)絡(luò)安全問題的方法
通過對電力調(diào)度自動化的網(wǎng)絡(luò)安全問題進(jìn)行仔細(xì)的分析和探究,現(xiàn)將能夠有效解決這一問題的方法列舉出來:
4.1為電力調(diào)度自動化建造一個(gè)基于科學(xué)之上的網(wǎng)絡(luò)結(jié)構(gòu)
建設(shè)人員在為電力調(diào)度自動化建立網(wǎng)絡(luò)結(jié)構(gòu)的時(shí)候,要嚴(yán)格的按照網(wǎng)絡(luò)安全中所規(guī)定的去進(jìn)行,以確保網(wǎng)絡(luò)結(jié)構(gòu)的一致性和完整性。
4.2安排專業(yè)的技術(shù)人員對電力調(diào)度自動化的網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理
當(dāng)電力調(diào)度自動化在運(yùn)行的時(shí)候,電力企業(yè)要安排專業(yè)的技術(shù)人員,對電力調(diào)度自動化網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)的監(jiān)控和管理。一旦網(wǎng)絡(luò)系統(tǒng)出現(xiàn)了問題,那么技術(shù)人員就可以及時(shí)的發(fā)現(xiàn),并找出造成這一問題出現(xiàn)的原因,然后對其進(jìn)行全面的分析和探究,最后總結(jié)出一個(gè)能夠有效解決這一問題的辦法。其次,電力企業(yè)還要對這些技術(shù)人員進(jìn)行定期的網(wǎng)絡(luò)安全管理知識的培訓(xùn),以提高他們的網(wǎng)絡(luò)管理水平。
4.3對電力調(diào)度自動化的網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期的維護(hù)
對網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期的維護(hù),可以有效的減少網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題的概率。當(dāng)然,在對網(wǎng)絡(luò)系統(tǒng)進(jìn)行維護(hù)的時(shí)候,要對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全方位的檢查和維護(hù),比如:可以用殺毒軟件清理網(wǎng)絡(luò)系統(tǒng)中的垃圾、對需要升級的軟件進(jìn)行升級和檢查網(wǎng)絡(luò)系統(tǒng)中的信息等等。只有加強(qiáng)了對網(wǎng)絡(luò)系統(tǒng)的維護(hù),才能夠從很大程度上避免網(wǎng)絡(luò)系統(tǒng)在運(yùn)行的過程當(dāng)中出現(xiàn)安全性問題。
篇12
1.通過偽裝發(fā)動攻擊
利用軟件偽造IP包,把自己偽裝成被信任主機(jī)的地址,與目標(biāo)主機(jī)進(jìn)行會話,一旦攻擊者冒充成功,就可以在目標(biāo)主機(jī)并不知曉的情況下成功實(shí)施欺騙或入侵;或者,通過偽造IP地址、路由條目、DNS解析地址,使受攻擊服務(wù)器無法辨別這些請求或無法正常響應(yīng)這些請求,從而造成緩沖區(qū)阻塞或死機(jī);或者,通過將局域網(wǎng)中的某臺機(jī)器IP地址設(shè)置為網(wǎng)關(guān)地址,導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。
2.利用開放端口漏洞發(fā)動攻擊
利用操作系統(tǒng)中某些服務(wù)開放的端口發(fā)動緩沖區(qū)溢出攻擊。這主要是由于軟件中邊界條件、函數(shù)指針等方面設(shè)計(jì)不當(dāng)或缺乏限制,因而造成地址空間錯(cuò)誤的一種漏洞。利用軟件系統(tǒng)中對某種特定類型的報(bào)文或請求沒有處理,導(dǎo)致軟件遇到這種類型的報(bào)文時(shí)運(yùn)行出現(xiàn)異常,從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。
3.通過木馬程序進(jìn)行入侵或發(fā)動攻擊
木馬是一種基于遠(yuǎn)程控制的黑客工具,具有隱蔽性和非授權(quán)性的特點(diǎn),一旦被成功植入到目標(biāo)主機(jī)中,計(jì)算機(jī)就成為黑客控制的傀儡主機(jī),黑客成了超級用戶。木馬程序可以被用來收集系統(tǒng)中的重要信息,如口令、賬號、密碼等。此外,黑客可以遠(yuǎn)程控制傀儡主機(jī)對別的主機(jī)發(fā)動攻擊,如DDoS攻擊就是大量傀儡主機(jī)接到攻擊命令后,同時(shí)向被攻擊目標(biāo)發(fā)送大量的服務(wù)請求數(shù)據(jù)包。
4.嗅探器和掃描攻擊
嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過被動地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來非法獲得用戶名、口令等重要信息,它對網(wǎng)絡(luò)安全的威脅來自其被動性和非干擾性,使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性,往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)。掃描,是指針對系統(tǒng)漏洞,對系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在,掃描手段往往會被惡意使用和隱蔽使用,探測他人主機(jī)的有用信息,作為實(shí)施下一步攻擊的前奏。
為了應(yīng)對不斷更新的網(wǎng)絡(luò)攻擊手段,網(wǎng)絡(luò)安全技術(shù)也經(jīng)歷了從被動防護(hù)到主動檢測的發(fā)展過程。主要的網(wǎng)絡(luò)安全技術(shù)包括:防火墻、VPN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動防護(hù)技術(shù),入侵檢測、入侵防
御和漏洞掃描屬主動檢測技術(shù),這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。
二、網(wǎng)絡(luò)的安全策略分析
早期的網(wǎng)絡(luò)防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界,然后通過在網(wǎng)絡(luò)邊界處對流經(jīng)的信息利用各種控制方法進(jìn)行檢查,只有符合規(guī)定的信息才可以通過網(wǎng)絡(luò)邊界,從而達(dá)到阻止對網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護(hù)技術(shù)包括:
1.防火墻
防火墻是一種隔離控制技術(shù),通過預(yù)定義的安全策略,對內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制,常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實(shí)施有選擇的通過,依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯,檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過;狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機(jī)制,將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待,構(gòu)成連接狀態(tài)表,通過規(guī)則表與狀態(tài)表的共同配合,對表中的各個(gè)連接狀態(tài)因素加以識別,與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比,它具有更好的靈活性和安全性;應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實(shí)現(xiàn),它使用一個(gè)運(yùn)行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò),其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的具體細(xì)節(jié),保護(hù)其中的主機(jī)及其數(shù)據(jù)。
2.VPN
VPN(VirtualPrivateNetwork)即虛擬專用網(wǎng)絡(luò),它是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全,VPN技術(shù)采用了鑒別、訪問控制、保密性和完整性等措施,以防止信息被泄露、篡改和復(fù)制。VPN技術(shù)可以在不同的傳輸協(xié)議層實(shí)現(xiàn),如在應(yīng)用層有SSL協(xié)議,它廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序,提供對等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密;在會話層有Socks協(xié)議,在該協(xié)議中,客戶程序通過Socks客戶端的1080端口透過防火墻發(fā)起連接,建立到Socks服務(wù)器的VPN隧道;在網(wǎng)絡(luò)層有IPSec協(xié)議,它是一種由IETF設(shè)計(jì)的端到端的確保IP層通信安全的機(jī)制,對IP包進(jìn)行的IPSec處理有AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)兩種方式。
3.防毒墻
防毒墻是指位于網(wǎng)絡(luò)入口處,用于對網(wǎng)絡(luò)傳輸中的病毒進(jìn)行過濾的網(wǎng)絡(luò)安全設(shè)備。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進(jìn)行分析,但它對從允許連接的電腦上發(fā)送過來的病毒數(shù)據(jù)流卻是無能為力的,因?yàn)樗鼰o法識別合法數(shù)據(jù)包中是否存在病毒這一情況;防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生的一種安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進(jìn)行查毒工作,阻止網(wǎng)絡(luò)蠕蟲(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴(kuò)散。此外,管理人員能夠定義分組的安全策略,以過濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類型擴(kuò)展名、即時(shí)通信信道、批量或單獨(dú)的IP/MAC地址,以及TCP/UDP端口和協(xié)議。
三、網(wǎng)絡(luò)檢測技術(shù)分析
人們意識到僅僅依靠防護(hù)技術(shù)是無法擋住所有攻擊,于是以檢測為主要標(biāo)志的安全技術(shù)應(yīng)運(yùn)而生。這類技術(shù)的基本思想是通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動來識別針對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng),或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探,以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。主要的網(wǎng)絡(luò)安全檢測技術(shù)有:
1.入侵檢測
入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動來識別針對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng),包括檢測外界非法入侵者的惡意攻擊或試探,以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。作為防火墻的有效補(bǔ)充,入侵檢測技術(shù)能夠幫助系統(tǒng)對付已知和未知網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、攻擊識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
2.入侵防御
入侵防御系統(tǒng)(IntrusionPreventionSystem,IPS)則是一種主動的、積極的入侵防范、阻止系統(tǒng)。IPS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù),IPS的檢測功能類似于IDS,防御功能類似于防火墻。IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備,它只能被動地檢測網(wǎng)絡(luò)遭到了何種攻擊,它的阻斷攻擊能力非常有限;而IPS部署在網(wǎng)絡(luò)的進(jìn)出口處,當(dāng)它檢測到攻擊企圖后,會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認(rèn)為IPS就是防火墻加上入侵檢測系統(tǒng),但并不是說IPS可以代替防火墻或入侵檢測系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品,它在基于TCP/IP協(xié)議的過濾方面表現(xiàn)出色,同時(shí)具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)、流量統(tǒng)計(jì)、VPN等功能。
3.漏洞掃描
漏洞掃描技術(shù)是一項(xiàng)重要的主動防范安全技術(shù),它主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞:在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù),將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配,查看是否有滿足匹配條件的漏洞存在;通過模擬黑客的攻擊手法,對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描,如測試弱勢口令等,若模擬攻擊成功,則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng),它是故意讓人攻擊的目標(biāo),引誘黑客前來攻擊。通過對蜜罐系統(tǒng)記錄的攻擊行為進(jìn)行分析,來發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。
四、結(jié)語
盡管傳統(tǒng)的安全技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用,但在一個(gè)巨大、開放、動態(tài)和復(fù)雜的互聯(lián)網(wǎng)中技術(shù)都存在著各種各樣的局限性。安全廠商在疲于奔命的升級產(chǎn)品的檢測數(shù)據(jù)庫,系統(tǒng)廠商在疲于奔命的修補(bǔ)產(chǎn)品漏洞,而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計(jì)算機(jī)病毒,防火墻只能對非法訪問通信進(jìn)行過濾,而入侵檢測系統(tǒng)只能被用來識別特定的惡意攻擊行為。在一個(gè)沒有得到全面防護(hù)的計(jì)算機(jī)設(shè)施中,安全問題的炸彈隨時(shí)都有爆炸的可能。用戶必須針對每種安全威脅部署相應(yīng)的防御手段,這樣使信息安全工作的復(fù)雜度和風(fēng)險(xiǎn)性都難以下降。為了有效地解決日益突出的網(wǎng)絡(luò)安全問題,網(wǎng)絡(luò)安全研究人員和網(wǎng)絡(luò)安全企業(yè)也不斷推出新的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品。
參考文獻(xiàn):
[1]周碧英:淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技,2008,24(3):18~19
[2]潘號良:面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊,2008,(3):74~75
篇13
隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對企業(yè)信息安全提出了更高的要求。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時(shí)刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進(jìn)行說明。
2信息系統(tǒng)現(xiàn)狀
2.1信息化整體狀況
1)計(jì)算機(jī)網(wǎng)絡(luò)
某公司現(xiàn)有計(jì)算機(jī)500余臺,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計(jì)算機(jī)在同一網(wǎng)段,通過交換機(jī)連接。
圖1
2)應(yīng)用系統(tǒng)
經(jīng)過多年的積累,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個(gè)環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2信息安全現(xiàn)狀
為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目,基于當(dāng)時(shí)對信息安全的認(rèn)識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。
3風(fēng)險(xiǎn)與需求分析
3.1風(fēng)險(xiǎn)分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。
(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。
目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識進(jìn)行的,主要工作集中于網(wǎng)絡(luò)安全,對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證,對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。
針對外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內(nèi)部人員可以直接對重要的服務(wù)器進(jìn)行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。
美國聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個(gè)動態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級。
已購買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作。只有在建設(shè)的初期,在規(guī)劃的過程中,就運(yùn)用風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):
(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級或重新部署。
(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。
(4)信息安全防范是一個(gè)動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4設(shè)計(jì)原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。
4.1標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。
4.2系統(tǒng)化原則
信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮,既注重技術(shù)的實(shí)現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風(fēng)險(xiǎn)原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行,這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí),優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
4.4保護(hù)投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí),對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5多重保護(hù)原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。
4.6分步實(shí)施原則
由于某公司應(yīng)用擴(kuò)展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對安全體系的特性,尋求安全、風(fēng)險(xiǎn)、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費(fèi)用開支。
5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動的始終,如圖2所示。
圖2網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對的,需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計(jì)算機(jī)專業(yè)公司接觸,初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺,都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺,能夠通過這個(gè)安全平臺實(shí)現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對方的身份。
數(shù)據(jù)的機(jī)密性(Confidentiality):對敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認(rèn)自己的行為,確保通信方對自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對多種網(wǎng)絡(luò)對象進(jìn)行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。
集中的安全策略管理可以對整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級的組織和個(gè)人的證書由上一級的組織負(fù)責(zé)認(rèn)證,而最上一級的組織(根證書)之間相互認(rèn)證,整個(gè)信任關(guān)系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。
5.4桌面安全防護(hù)
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來自于企業(yè)內(nèi)部。同時(shí),由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等,因此,對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個(gè)整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進(jìn)行簽章,或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
5.5身份認(rèn)證
身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。
6方案的組織與實(shí)施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實(shí)施提供了借鑒。
圖3
因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:
(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報(bào)。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專業(yè)公司的安全服務(wù),提高應(yīng)對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。
(4)在方案實(shí)施的同時(shí),加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。
7結(jié)論
本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個(gè)方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。
