引論:我們為您整理了13篇信息網絡安全論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
(1)建立網絡安全管理規章制度加強醫院網絡安全管理的重要措施之一就是建立健全網絡安全管理規章制度,提高醫院全員認識到醫院網絡安全管理重要性,設立以院領導為核心的信息安全領導小組,明確領導小組相應責任并落實信息管理人員責任,加大投入資金,對網絡安全管理軟硬件設備進行更新升級,對網絡安全管理專業隊伍需要加強建設,信息網絡人員必須要有責任心及熟練的網絡應用技術,同時要堅持管理創新及技術創新,根據本院信息網絡的運行情況,制定應對網絡危機的預案。(2)網絡安全教育網絡安全工作的主體是人,醫院的各級領導、組織和部門工作人員從思想和行動上都要重視醫院信息系統網絡安全,提高全員安全意識,樹立安全人人有責,由于醫院的內部網絡涉及臨床科室、醫技科室、職能科室等部門,計算機操作水平參差不齊,因此,必須定期培訓計算機網絡客戶端的使用人員,使他們具有一些計算機方面的專業知識,盡量減輕醫院計算機網絡信息系統管理人員的工作壓力,當其客戶端出現問題之后能得到及時的解決,減少人為的差錯及故障發生。(3)網絡設備管理網絡設備是整個信息網絡安全的基礎,整個網絡中的關鍵設備包括服務器、數據儲存、中心交換機、二級交換機、光纜等,因此這些設備的性能直接影響到整個信息系統的安全運行,從可靠性、穩定及容易升級等方面對網絡設備進行選擇,對重要設備最好采用雙機熱備份的方式實現系統集群,還要配備兩套UPS電源,避免突然斷電造成服務器數據流失,提高系統可用性,服務器以主從或互備方式工作,當一旦某臺設備發生故障,另外一臺設備可以立即自動接管,變成工作主機,將系統中斷影響降到最低;此外,使用物理隔離設備將外部互聯網和內部信息系統進行隔離,確保重要數據不外泄。(4)實時監控用戶上網行為應用主機安全監控系統,實現對用戶上網行為的實時監控,從而讓網管及時了解和控制局域網用戶的的上網行為,在加強安全防護的同時也可以提高工作效率。主機安全監控系統可以對內部人員上網行為日志、客戶端訪問行為、終端行為日志、醫院IT開發運維人員訪問行為等信息進行監控、記錄、審計能力,結合日志數據挖掘技術和關聯分析功能,實現對非法行為的實時告警,輸出符合醫院紀委監察部門要求的完整的事件報告,既能夠及時發現并阻斷非法行為,也可以監控某些人員利用其特權對敏感數據進行非法復制。(5)數據備份為了防止信息系統中的數據丟失,可以采用雙機備份方式。兩臺服務器采用相同的配置,安裝相同的系統和數據庫系統,實時將主服務器上數據庫備份到備用服務器上,當主服務器無法正常工作時,啟用備用服務器項替工作,同時信息系統管理部門可以采用一些有關的備份軟件對其醫院計算機網絡信息系統的數據進行及時的監測,當這些數據出現安全方面的問題時,及時對其數據進行備份;此外,也可采用實時備份數據庫,采用數據鏡像增量備份方式。(6)定期進行安全分析,對新發現的安全隱患進行整改運用技術手段定期進行安全分析,及時發現安全隱患并快速清除是完善醫院網絡安全管理的重要措施。定期進行安全分析是研究信息系統是否存在的漏洞缺陷,是否存在風險與威脅,針對發現的安全隱患,制定出相應的控制策略,主要是從軟件設置、物理環境、電源配送、權限分配、網絡管理、防火、防水、防盜、服務器交換機管理、溫度濕度粉塵、人員培訓及安全教育等各方面進行分析,尋找出當前的安全隱患,針對這些隱患提出有針對性的解決方案。
1.2防止外來入侵
(1)中心機房管理作為醫院信息系統的“神經中樞”及數據存儲中心的機房安全是整個信息系統安全的前提,中心機房的安全應注意機房用電安全技術、防火、計算機設備及場地的防雷和計算機機房的場地環境的要求等問題,為了避免人為或自然破壞設備,應盡可能保證各通信設備及相關設施的物理安全,使系統和設備處于良好的工作環境,對于信息網絡的可靠性,可以通過冗余技術實現,包括設備冗余、處理器冗余、鏈路冗余、模塊冗余、電源冗余等技術來實現。(2)計算機病毒防護杜絕病毒傳染源是防范病毒最有效的辦法,除特殊科室需要外,將所有網絡工作站的外部輸入設備(如光驅、軟驅等)撤除,所有內網的計算機不準接U盤,在服務器及每個工作站點采用多層的病毒防衛體系,此外,還可以使用桌面管理軟件來自動從系統廠商下載補丁,自動檢查客戶端需要安裝的補丁、已經安裝的補丁和未安裝的補丁,以及限制或禁止移動存儲介質的接入,減少病毒傳播的途徑,從而減少醫院網絡受到病毒的威脅。(3)防止黑客入侵防止黑客入侵是醫院網絡安全工作的重點,可以采用防火墻技術、身份認證與授權技術等技術防止黑客入侵。其中,防火墻技術是在醫院內部網和醫院外部網之間的界面上構造一個保護層,對出入醫院網絡的訪問和服務進行審計和控制;在防火墻基礎上,建立黑客入侵檢測系統,對黑客入侵、非法登錄、DDOS攻擊、病毒感染與傳播、非法外連等進行監控,對網絡設備、網絡通訊通道等進行監控,詳細掌控各類網絡設備的運行狀態,實時監督分析通道質量狀況,對各類終端用戶的補丁安裝、軟件安裝、外接設備(U盤)等操作進行實時監控管理,發現有違規行為及時報警,也可以自動啟動阻止機制來控制非法行為;在醫院信息系統中,采用數字簽名技術實現系統信息內容安全性,完整性和不可抵賴性等方面的要求,特別是通過采用安全審計或時間戳等技術手段解決傳統紙質病歷無法解決的信息可靠性問題,此外,還采用信息加密技術可以有效的保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。
篇2
1.2網絡策略的應用
商務網絡應用與商務辦公網絡的基本表達形式相對固定,其網絡構建以自然語言作為區分要點,而自然語言所包含的網絡子集范圍較為廣泛,可以根據用戶的不同需求定制網絡協議功能,從而實現商務辦公的基本要求。而部分商務網絡在實現其工作職能的本身,也需要對視點目標進行判斷和分析,從而以自然語言的方式對目標進行重新構建。商務網絡視點環境中,需要對視點策略進行二次解析,從而分析出視點策略的真實性。由于網絡視點策略在正常使用過程中,需要通過數據庫支持才能獲取信息,因此可以通過數據庫傳輸的組建對視點網絡策略進行策略優化,從而實現多方法運行與智能化學習的過程。視點網絡構建模式具有相對獨立性,通常是采用一套規則的語言組合,對訪問者以及管理者的不同指令進行識別,從而進行信息交互,對網絡基本運行狀態造成影響,并弱化網絡策略發生異常的幾率。目前常用的方法是通過軟件來解析端口異常情況,在設備獨立運行的過程中具體實現網絡視點的基本操作方式。設備視點的建立需要通過網絡協議與通信規則進行調控,在設備運行期間,設備輸出語言對不同的網絡協議許可進行解析,并根據不同的解析原理對管理策略進行調整,但需要注意的是要保證網絡控制端命令的準確性和唯一性。在不同設備的聯網使用過程中,由于系統參數與配置等差異,協議許可也就產生變化,從而需要不同的命令控制。對于視點網絡的自動化運行,需要把握好相關控制命令,并根據網絡協議區分命令控制策略,最終將網絡策略應用于各類設備控制當中。
2事業單位網絡輿情當下管理機制隱藏的問題
2.1管理觀念較為陳舊
當前,大多數事業單位對社會輿情信息的分析還保持著傳統的工作模式中,大多都是事情出來以后,再以救火的方式進行處理,只重視危機發生后的處理,而對危機發生前的信息收集以及分析等管理工作十分落后,在危機預警方面非常滯后。
2.2事業單位輿情管理部門缺少合作
事業單位中,大多數都與相關部門密切聯系,比如:網絡中心、業務辦理中心等,多頭管理問題較為突出。基本上每一個部門就有一個屬于自己的輿情管理小組,在發生了緊急輿情時,各部門之情缺少有效的合作,在工作中缺少相關的配合以及信息共享,沒有形成合理高效的工作聯動機制開展管理工作。2.3事業單位中輿情管理體系尚不完善從一些典型的實例來看,目前只有少數的事業單位建立了將為健全的輿情管理體系。因為管理體系尚不健全,所以,一旦有責任人出現了管理問題,也無法及時進行懲處,而且很少有人會主動承擔責任,大多數是相互推諉,嚴重的甚至隱瞞具有的實情。
3完善事業單位網絡信息安全管理機制的措施
3.1做好網絡共享和惡意代碼之間的控制
網絡資源實行共享,方便了不同單位、不同部門、不同用戶對資源的需求,但是,也存在著一定的不安全性,惡意代碼可以充分利用網絡環境擴散以及信息共享條件等漏洞,威脅了網絡信息的安全,影響是不容忽視的。如果對惡意信息交換不做好管控,將非常容易造成網絡QoS降低,嚴重的會造成系統癱瘓,導致系統不能正常工作。
3.2安全規范和信息化建設操作不協調
在網絡安全建設中,并沒有統一的操作,基本是哪里有漏洞就補哪里的形式,這樣嚴重的阻礙了信息安全共享,同時也留下了許多安全隱患。
3.3控制好進口產品和安全自主控制
當前,國內的信息化技術并不高,造成出多的信息化技術需要依靠從國外進口,不管是軟件還是硬件,都或多或少的受到了一些限制。在關鍵技術都從國外進口的背景下,如果出現安全問題后果是無法想象的。
3.4IT產品大規模攻擊與單一性問題
在信息系統中,不管是軟件還是硬件,都具有單一性,比如:同一個版本的操作軟件、同一個版本的操作系統,在這種情況下,攻擊者通過軟件編程,能讓攻擊自動化完成,進而危及大片網絡安全,這樣就導致了“零日”攻擊,出現了計算機病毒等大型安全事件。
3.5網絡安全管理要素需要根據當前IT產品的不足與缺陷進行分析,目前網絡信息系統中,對于IT產品的應用較為廣泛
主要有:通信信息系統、數據處理系統、操作平臺等。但由于不同軟件與系統之間,需要共同的協議構架來形成有機的整體,因此需要把握系統與設備之間的互異性。目前生產廠家開發的IT產品種類繁多,數據安全協議也五花八門,信息安全共享協議在一定區域內執行共同協議規范,但跨區域協議之間存在一定的交流障礙,使得網絡安全信息系統無法形成統一的構建,從而無法形成統一的管理模式,因而使得網絡安全事故頻發。
篇3
1.信息網絡安全概述
信息網絡安全是指通過各種各樣的網絡技術手段,保證計算機在正常運行的過程中處于安全的狀態,避免硬件及軟件受到網絡相關的危險因素的干擾與破壞,同時還可以阻止一些危險程序對整個系統進行攻擊與破壞,從而將信息泄露和篡改等,最終保證信息網絡在互聯網的大環境中正常運行[3]。信息網絡安全的維護主要是以信息與數據的完整性與可控性作為核心,并且能夠通過用戶的操作,實現基本的應用目的。在信息網絡的安全維護中,主要包括兩個方面。一是設備安全,包括計算機系統的穩定、硬件實體的安全以及軟件的正常運行。二是信息安全,主要指的是數據的備份、數據庫的安全性等。
2.通信企業信息網絡面臨的主要安全威脅
2.1人為的惡意攻擊
目前信息網絡所面臨的最大的威脅和挑戰就是認為的惡意攻擊,人們采取各種各樣的方式對于信息進行選擇性的破壞和控制,從而造成機密信息的丟失和篡改。
2.2人為的無意失誤
通訊企業通過對專門的管理人員進行管理與培訓從而保證信息網絡系統的正常運行,在日常管理和培訓的過程中,會無意的使相應的措施處理不當,這是在所難免的,當工作人員因為自己的原因導致操作不當,會使信息網絡系統出現或多或少的漏洞,還有可能造成設備的損壞,這些都是由于人為的無意失誤造成的后果[4]。
2.3計算機病毒
由于計算機網絡的復雜性及聯系性,在工作過程中會盡可能的實現資源共享,因此所接收的結點會有很多。由于無法檢測每個結點是否是安全的,因此極容易造成系統的病毒感染。而一旦信息網絡受到病毒的感染后,病毒會在信息網絡中以非常快的速度進行再生并且傳染給其他系統,最終將波及整個網絡,后果將不堪設想[5]。
3.通信企業做好信息網絡工作的措施
3.1對內部網的訪問保護
(1)用戶身份認證。如果用戶想要進入網絡必須經過三個步驟即首先進行用戶名進行驗證,其次進行用戶口令進行驗證,最后依據用戶帳號進入網絡。在這三個步驟中最關鍵的操作就是用戶口令,用戶口令需要同時進行系統的加密從而保護網絡的安全,并且還應控制同一個賬戶同時登陸多個計算機的這種現象[6]。(2)權限控制。管理員及用戶在進入網絡前需要履行某一個任務因此必須遵守所謂的權限原則,這種控制方法可以有效的防止一些非法的用戶在一定時間內訪問網絡資源,從而從根本上阻斷這條途徑。在進行權限設置的過程中,一定要遵守一些原則,第一,一定要合理的設置網絡權限,確保網絡權限設置的準確性,不能因為所設置的權限從而影響了整個網絡的正常工作,影響了工作的整體效率;第二應該增加一些先進的合理的加密操作技術來減少病毒的入侵,從而從一定程度上保證網絡的正常運行,對網絡信息數據使用系統性的加密來確保網絡安全性和合理性,最終實現對計算機所有結點信息的實時保護。(3)加密技術。通過合理準確的數學函數轉換的方法對系統以密文的形式代替明文的現象稱之為數據加密,當數據加密后,只有特定的管理人員可以對其進行解密,在數據加密的過程中主要包含兩大類:對稱加密和不對稱加密。
3.2對內外網間的訪問保護
(1)安全掃描。互聯網互動過程中,及時的對計算機安全衛士和殺毒軟件等進行升級,以便及時的對流動數據包進行檢測,以便及時有效的對網絡中發現的木馬和病毒采取有效的防護措施。(2)防火墻系統。防火墻作為計算機網絡信息安全防護的第一道屏障,是一種加強網絡之間訪問控制,以此來決定網絡之間傳輸信息的準確性、真實性及安全性,對于計算機的安全與正常運行具有重要的意義[7]。(3)入侵檢測。計算機當中的病毒傳播的速度較快且危害性極大,為此應該對網絡系統進行病毒的預防及統一的、集中管理,采用防病毒技術及時有效的進行殺毒軟件系統的升級,以便對網絡互動中發現的木馬或病毒程序采取及時的防護措施。
3.3網絡物理隔離
在進行信息網絡安全控制的過程中不能單一的采用一種安全控制對其保護,而應該根據網絡的復雜性采取不同的安全策略加以控制,因此管理人員可以依據密保的等級的程度、各種功能的保護以及不同形式安全設施的水平等差異,通過網絡分段隔離的方式提高通信企業信息網絡安全。這樣的形式及控制方法將以往的錯綜復雜的控制體系轉變成為細化的安全控制體系,能夠對于各種惡意的攻擊和入侵所造成的危害降低到最小。我們通常所說的物理隔離是指能滿足物理隔離的安全性要求的、相對的物理隔離技術。物理隔離的原理是使單個用戶在同一時間、同一空間不能同時使用內部網和外部網兩個系統。如果兩個系統在空間上物理隔離,在不同的時間運行,那么就可以得到兩個完全物理隔離的系統[8]。
3.4安全審計及入侵檢測技術
安全審計技術對于整個信息網絡安全的控制起到了關鍵性作用,它可以針對不同的用戶其入侵的方式、過程以及活動進行系統精密的記錄,主要分為兩個階段即誘捕和反擊。誘捕是一種特異安排出現的漏洞,可以在一定程度允許入侵者在一定時間內侵入,以便在今后能夠獲得更多的入侵證據及入侵的特征;當獲得足夠多的特征及證據的基礎上開始進行反擊,通過計算機精密的系統對用戶的非法入侵的行為進行秘密跟蹤并且在較快的時間里查詢對方的身份以及來源,從而將系統與入侵者的連接切斷,還可追蹤定位并對攻擊源進行反擊。
3.5制定切實可行的網絡安全管理策略
要想使通信企業信息網絡安全正常運行其前提必須保證整個網絡系統的安全,必須針對網絡安全提出相應的安全策略,應該使信息網絡使用起來安全方便,從而尋找最方便有效的安全措施。在工作的過程中管理人員一定要熟知對于開放性和安全性的具體要求,并且在工作過程中試圖尋求兩者的共同點和平衡點,當兩者出現矛盾的時候應該考慮事情的實際情況有進行準確的取舍。對本網絡拓撲結構和能夠承受的安全風險進行評估,從網絡安全技術方面為保證信息基礎的安全性提供了一個支撐。
信息網絡的發展需要計算機技術具有跟高的要求,特別是針對通信企業的信息網絡安全的控制問題應該加以關注,這直接關系到整個企業的發展。信息網絡工程是一個巨大而又復雜的動態的系統工程,需要從多角度進行思索與探討從而進行綜合性的分析,才能選擇出更好地安全網絡設備,并且對其進行有針對的系統的優化,從而提高管理人員及工作人員的業務水平,最終全面提高整個通訊企業信息網絡安全。
作者:王春寶 于曉鵬 單位:吉林師范大學計算機學院
參考文獻
[1]盧昱.網絡控制論淺敘[J].裝備指揮技術學院學報,2002,3(6):60-64.
[2]王雨田,控制論、信息論、系統科學與哲學[M].北京:中國人民大學出版社,1986.
[3]南湘浩,陳鐘.網絡安全技術概論[M].北京:國防工業出版社,2003.
[4]涂華.醫院信息系統的網絡安全與防范[J].中山大學學報論叢,2011,04(12).
[5]王蕓《.電子商務法規》.高等教育出版社,2010年版.
篇4
Abstract:
Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:InformationsystemInformationsecurity
StatusauthenticationSafeexamination
一、目前信息系統技術安全的研究
1.企業信息安全現狀分析
隨著信息化進程的深入,企業信息安全己經引起人們的重視,但依然存在不少問題。一是安全技術保障體系尚不完善,企業花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標:二是應急反應體系沒有經常化、制度化:三是企業信息安全的標準、制度建設滯后。
2003年5月至2004年5月,在7072家被調查單位中有4057家單位發生過信息網絡安全事件,占被調查總數的58%。調查結果表明,造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的“%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%.
對于網絡安全管理情況的調查:調查表明,近年來,使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請信息安全服務企業提供專業化的安全服務。調查表明,認為單位信息網絡安全防護能力“較高”和“一般”的比較多,分別占44%。但是,被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平和社會化服務的程度還比較低。
2.企業信息安全防范的任務
信息安全的任務是多方面的,根據當前信息安全的現狀,制定信息安全防范的任務主要是:
從安全技術上,進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件、入侵檢測系統、建立安全認證系統等安全系統。
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,增強安全防范意識。
信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源、實體、載體)穩定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality)、完整性(Integrity)、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預防內部犯罪。
二、計算機網絡中信息系統的安全防范措施
(一)網絡層安全措施
①防火墻技術
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為甚。
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
防火墻是網絡安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
②入侵檢測技術
IETF將一個入侵檢測系統分為四個組件:事件產生器(EventGenerators);事件分析器(EventAnalyzers);響應單元(ResponseUnits)和事件數據庫(EventDataBases)。事件產生器的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。事件分析器分析得到的數據,并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的數據庫,也可以是簡單的文本文件。
根據檢測對象的不同,入侵檢測系統可分為主機型和網絡型。基于主機的監測。主機型入侵檢測系統就是以系統日志、應用程序日志等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。這種系統經常運行在被監測的系統之上,用以監測系統上正在運行的進程是否合法。最近出現的一種ID(IntrusionDetection):位于操作系統的內核之中并監測系統的最底層行為。所有這些系統最近已經可以被用于多種平臺。網絡型入侵檢測。它的數據源是網絡上的數據包。往往將一臺機子的網卡設于混雜模式(PromiseMode),對所有本網段內的數據包并進行信息收集,并進行判斷。一般網絡型入侵檢測系統擔負著保護整個網段的任務。
對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基于標志(CSignature-Based),另一種基于異常情況(Abnormally-Based)。
(二)服務器端安全措施只有正確的安裝和設置操作系統,才能使其在安全方面發揮應有的作用。下面以WIN2000SERVER為例。
①正確地分區和分配邏輯盤。
微軟的IIS經常有泄漏源碼/溢出的漏洞,如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。本系統的配置是建立三個邏輯驅動器,C盤20G,用來裝系統和重要的日志文件,D盤20G放IIS,E盤20G放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。因為,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。
②正確
地選擇安裝順序。
一般的人可能對安裝順序不太重視,認為只要安裝好了,怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的:
首先,何時接入網絡:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼后,系統就建立了ADMIN$的共享,但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續到你再次啟動后,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,只要安裝一完成,各種服務就會自動運行,而這時的服務器是滿身漏洞,非常容易進入的,因此,在完全安裝并配置好Win2000SERVER之前,一定不要把主機接入網絡。
其次,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之后,因為補丁程序往往要替換/修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝,盡管很麻煩,卻很必要。
(三)安全配置
①端口::端口是計算機和外部網絡相連的邏輯接口,從安全的角度來看,僅打開你需要使用的端口會比較安全,配置的方法是在網卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選,不過對于Win2000的端口過濾來說,有一個不好的特性:只能規定開哪些端口,不能規定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。
②IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點,所以在本系統的WWW服務器采取下面的設置:
首先,把操作系統在C盤默認安裝的Inetpub目錄徹底刪掉,在D盤建一個Inetpub在IIS管理器中將主目錄指向D:\Inetpub。
其次,在IIS安裝時默認的scripts等虛擬目錄一概刪除,這些都容易成為攻擊的目標。我們雖然已經把Inetpub從系統盤挪出來了,但這樣作也是完全必要的。如果需要什么權限的目錄可以在需要的時候再建,需要什么權限開什么。特別注意寫權限和執行程序的權限,沒有絕對的必要千萬不要給。
③應用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指出的是ASP,ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射,刪除所有的映射,具體操作:在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射,然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性。
經過了Win2000Server的正確安裝與正確配置,操作系統的漏洞得到了很好的預防,同時增加了補丁,這樣子就大大增強了操作系統的安全性能。
雖然信息管理系統安全性措施目前已經比較成熟,但我們切不可馬虎大意,只有不斷學習新的網絡安全知識、采取日新月異的網絡安全措施,才能保證我們的網絡安全防御真正金湯。
參考文獻:
劉海平,朱仲英.一個基于ASP的在線會員管理信息系統.微型電腦應用.2002(10)
東軟集團有限公司,NetEye防火墻使用指南3.0,1-3
賈晶,陳元,王麗娜編著,信息系統的安全與保密,第一版,1999.01,清華大學出版社
EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94
楊兵.網絡系統安全技術研究及其在寶鋼設備采購管理系統中的應用:(學位論文).遼寧:東北大學,2002
篇5
1.3人為的網絡系統攻擊在利益的驅使下,部分不法分子企圖通過不合法的網絡系統攻擊方式對網絡通信進行人為的攻擊從而獲取大量的網絡資源。這些“黑客”的攻擊不僅出現在商業管理終端等能夠獲取大量經濟利益的領域,甚至還可能出現在個人的計算機中獲取個體用戶的信息,給用戶的信息安全造成重大隱患。應該客觀認識的是,我國網絡通信在人們生活水平不斷提升及通信方式變革的背景下發展速度一日千里,但是作為保障的信息安全維護工作卻與網絡通信的發展現狀存在較大差距。再加上網絡通信管理部門對于網絡通信信息安全認識不足、網絡通信管理制度不健全等問題也加劇了網絡通信信息安全隱患,甚至給整個互聯網通信系統帶來安全隱患,給不法分子以利用的機會。正是基于當前我國網絡通信中信息安全的嚴峻現狀及在這一過程中所出現問題的原因,筆者認為,不斷加強網絡通信技術革新與網絡通信制度建設,充分保障網絡通信信息安全是時展的必然要求。
2保障網絡通信信息安全的途徑
2.1充分保障用戶IP地址由于黑客對用戶網絡通信的侵入與攻擊大都是以獲取用戶IP地址為目的的,因此,充分保障用戶的IP地址安全是保護用戶網絡通信安全的重要途徑。用戶在使用互聯網時也要特別注意對自身IP地址的保護,通過對網絡交換機的嚴格控制,切斷用戶IP地址通過交換機信息樹狀網絡結構傳遞被透露的路徑;通過對路由器進行有效的隔離控制,經常關注路由器中的訪問地址,對非法訪問進行有效切斷。
2.2完善信息傳遞與儲存的秘密性信息傳遞與信息儲存的兩個過程是當前給網絡通信信息安全造成隱患的兩個主要途徑,在網絡信息的存儲與傳遞過程中,黑客可能會對信息進行監聽、盜用、惡意篡改、攔截等活動以達到其不可告人目的的需求。這就要求用戶在使用網絡通信技術時要對網絡信息的傳遞與儲存環節盡量進行加密處理,保證密碼的多元化與復雜性能夠有效甚至從根本上解決信息在傳遞與儲存環節被黑客攻擊利用的威脅。當前在網絡通信過程中用戶可以選擇自身合適的加密方式對自身的信息進行加密處理,而網絡維護工作者也要根據實際情況加強對信息的加密設置。
2.3完善用戶身份驗證對用戶的身份進行有效的驗證是保障網絡通信信息安全的另一條重要途徑。在進行網絡通信之前對用戶身份進行嚴格驗證,確保是本人操作從而對用戶的私人信息進行充分有效的保護。當前,用戶的身份驗證主要是通過用戶名與密碼的“一對一”配對實現的,只有二者配對成功才能獲得通信權限,這種傳統的驗證方法能夠滿意一般的通信安全需求,但是在網絡通信技術發展速度不斷加快的背景下,傳統的身份驗證方法需要新的變化,諸如借助安全令牌、指紋檢測、視網膜檢測等具有較高安全性的方法進一步提升網絡通信信息安全水平。此外,在保障網絡通信信息安全的過程中還可以通過完善防火墻設置,增強對數據源及訪問地址惡意更改的監測與控制,從源頭上屏蔽來自外部網絡對用戶個人信息的竊取以及對計算機的攻擊。加強對殺毒軟件的學習與使用,定期對電腦進行安全監測,從而確保用戶自身的信息安全。
篇6
當今社會,通信網絡的普及和演進讓人們改變了信息溝通的方式,通信網絡作為信息傳遞的一種主要載體,在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯。這種關聯一方面帶來了巨大的社會價值和經濟價值,另一方面也意味著巨大的潛在危險--一旦通信網絡出現安全事故,就有可能使成千上萬人之間的溝通出現障礙,帶來社會價值和經濟價值的無法預料的損失。
3通信網絡安全現狀
互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間,網絡技術的迅速發展和廣泛應用,為人類社會的進步提供了巨大推動力。然而,正是由于互聯網的上述特性,產生了許多安全問題。
計算機系統及網絡固有的開放性、易損性等特點使其受攻擊不可避免。
計算機病毒的層出不窮及其大范圍的惡意傳播,對當今日愈發展的社會網絡通信安全產生威脅。
現在企業單位各部門信息傳輸的的物理媒介,大部分是依靠普通通信線路來完成的,雖然也有一定的防護措施和技術,但還是容易被竊取。
通信系統大量使用的是商用軟件,由于商用軟件的源代碼,源程序完全或部分公開化,使得這些軟件存在安全問題。
4通信網絡安全分析
針對計算機系統及網絡固有的開放性等特點,加強網絡管理人員的安全觀念和技術水平,將固有條件下存在的安全隱患降到最低。安全意識不強,操作技術不熟練,違反安全保密規定和操作規程,如果明密界限不清,密件明發,長期重復使用一種密鑰,將導致密碼被破譯,如果下發口令及密碼后沒有及時收回,致使在口令和密碼到期后仍能通過其進入網絡系統,將造成系統管理的混亂和漏洞。為防止以上所列情況的發生,在網絡管理和使用中,要大力加強管理人員的安全保密意識。
軟硬件設施存在安全隱患。為了方便管理,部分軟硬件系統在設計時留有遠程終端的登錄控制通道,同時在軟件設計時不可避免的也存在著許多不完善的或是未發現的漏洞(bug),加上商用軟件源程序完全或部分公開化,使得在使用通信網絡的過程中,如果沒有必要的安全等級鑒別和防護措施,攻擊者可以利用上述軟硬件的漏洞直接侵入網絡系統,破壞或竊取通信信息。
傳輸信道上的安全隱患。如果傳輸信道沒有相應的電磁屏蔽措施,那么在信息傳輸過程中將會向外產生電磁輻射,從而使得某些不法分子可以利用專門設備接收竊取機密信息。
另外,在通信網建設和管理上,目前還普遍存在著計劃性差。審批不嚴格,標準不統一,建設質量低,維護管理差,網絡效率不高,人為因素干擾等問題。因此,網絡安全性應引起我們的高度重視。
5通信網絡安全維護措施及技術
當前通信網絡功能越來越強大,在日常生活中占據了越來越重要的地位,我們必須采用有效的措施,把網絡風險降到最低限度。于是,保護通信網絡中的硬件、軟件及其數據不受偶然或惡意原因而遭到破壞、更改、泄露,保障系統連續可靠地運行,網絡服務不中斷,就成為通信網絡安全的主要內容。
為了實現對非法入侵的監測、防偽、審查和追蹤,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽,從而達到網絡分級機制的效果;“網絡授權”通過向終端發放訪問許可證書防止非授權用戶訪問網絡和網絡資源;“數據保護”利用數據加密后的數據包發送與訪問的指向性,即便被截獲也會由于在不同協議層中加入了不同的加密機制,將密碼變得幾乎不可破解;“收發確認”用發送確認信息的方式表示對發送數據和收方接收數據的承認,以避免不承認發送過的數據和不承認接受過數據等而引起的爭執;“保證數據的完整性”,一般是通過數據檢查核對的方式達成的,數據檢查核對方式通常有兩種,一種是邊發送接收邊核對檢查,一種是接收完后進行核對檢查;“業務流分析保護”阻止垃圾信息大量出現造成的擁塞,同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息。
為了實現實現上述的種種安全措施,必須有技術做保證,采用多種安全技術,構筑防御系統,主要有:
防火墻技術。在網絡的對外接口采用防火墻技術,在網絡層進行訪問控制。通過鑒別,限制,更改跨越防火墻的數據流,來實現對網絡的安全保護,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環。
入侵檢測技術。防火墻保護內部網絡不受外部網絡的攻擊,但它對內部網絡的一些非法活動的監控不夠完善,IDS(入侵檢測系統)是防火墻的合理補充,它積極主動地提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,提高了信息安全性。
網絡加密技術。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取,是網絡安全的核心。采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性、完整性,它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題。
身份認證技術。提供基于身份的認證,在各種認證機制中可選擇使用。通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。
虛擬專用網(VPN)技術。通過一個公用網(一般是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等跟公司的內網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。
篇7
計算機病毒難以根除,具有強大的攻擊性,可以破壞計算機中的應用程序,甚至可以刪除文件、格式化硬盤,因此現階段防范計算機病毒是保障信息網絡安全的重點。通過多年的科學研究,現階段已經有三種常見的病毒防范技術,分別是預防病毒、檢測病毒和網絡消毒。
3施行身份認證
通過確認操作者身份來保證網絡安全的技術稱之為身份認證技術。常見的身份認證有兩種方式,分別是主機之間的認證、主機與用戶間的認證。主機與用戶之間的認證可以通過設置密碼、用戶生理特征、智能卡等多種方式進行設置。
4防火墻技術
防火墻技術是現階段使用頻率最高的安全防范技術。防火墻技術的技術核心就是通過構建一個比較安全的環境來盡量保證用戶的網絡安全。防火墻可以根據用戶的個人需求來控制網絡域間的信息安全,并且防火墻本身也具有一定的攻擊能力。現階段防火墻主要有三種,分別是:全狀態包過濾型、包過濾型以及服務器型。
5采用入侵檢測技術
用戶采用入侵檢測技術后,就可以及時檢測到系統中的異常現象,并及時報告,繼而達到保障網絡安全的目的。漏洞掃描技術。通過對電腦進行全方位的檢測,及時更新漏洞補丁,完成修復就可以減少黑客利用漏洞發動攻擊的幾率,繼而達到保護用戶網絡的目的。
6合理的管理措施
通過多方面的安全管理措施,例如:完善計算機管理技術,建立管理機構,加強用戶安全教育等方式來預防和控制病毒與黑客給用戶帶來的影響。使用信息加密技術。在網絡中,每個用戶都使用了大量的應用程序以便于工作、生活,因此為了保證個人、工作方面的隱私被泄露要采用信息加密技術來保障網絡安全。
篇8
ARP病毒、DDoS攻擊情況屢見于單位的內網,經常造成網絡癱瘓及數據丟失,基于此采取相應的應對防范措施尤為重要。如建立每臺內網內機器的IP-MAC列表,用專用軟件每天定時巡檢其對應性;建立每臺工作用機的硬件及操作系統的配置檔案并存儲入庫;設立硬件防火墻,定期檢查機房內主干網用路由器、交換機、防火墻的日志信息并導出保存;每臺工作用機由使用者負責維護,嚴格落實安全軟件的安裝和升級制度;每網機器制作并保存系統的備份,網管建立并保存服務器的備份;網管制作和保存單位內部設備拓撲圖,一旦內網有感染病毒的機器再現,能及時將該機器或其所屬子網隔離出內網;可在條件允許的情況下,將內網用3層交換機設置VLAN以區分出辦公、實驗、等不同使用領域;與單位網絡的ISP簽訂協議,定期更換單位的公網IP,以規避有針對性的來自外網的DDoS、ARP攻擊。
3手機無線上網
隨著智能手機的廣泛使用和無線寬帶技術的發展,網絡使用人群已由傳統的PC向移動終端過渡。對無線信號屬性的掌握和移動終端的合理應用成為應注意的主要問題。如主流無線路由器等無線設備的常見型號及配置,信號穿透能力及散布范圍,設備對不同方向的信號衰減程度,不同型號設備的抗干擾性;關注和跟蹤藍牙的無線傳輸和發射技術;對獲得的目標手機的基站定位參數進行解讀和正確拆分,并以此為根據在手機基站定位軟件上定位目標手機的實際地點。
4網絡音視頻文件傳輸
面對流通于網絡和存儲于單位服務器上的大量音視頻文件,對其進行有效分析和管理是保護自身信息安全和有效利用信息資源的重要工作。除了依靠專業技術開發對音視頻文件的獲取、壓縮和存儲的處理手段外,還可致力于開發對音視頻文件的分析和判別技術,尤其是集成頻率提取技術、人面識別技術、連續相似視頻合并及非焦點淡化技術的綜合處理模式。
5電子數據鑒定
全國大部分地區已經建立了電子數據鑒定實驗室,這對涉及電子數據、信息司法裁定具有重大意義。而作為信息單位,在具備對電子數據的分析、恢復、獲取等專業技術的同時,應加強對本單位重要數據的保護及管理。涉及重要數據分析、保管的部門人員應加強對電子數據鑒定領域的國家、行業標準及技術規范的學習。有條件的單位應專門設立獨立部門和人員從事電子數據的提取、固定與恢復,數據的分析與鑒定,信息系統分析與鑒定等工作。對于重要信息數據的操作及保存要結合本單位工作特點制定專門的操作規范和流程。
篇9
2網絡層面
計算機網絡互聯在大大擴展信息資源共享空間的同時,也將其自身暴露在更多危險攻擊之下。信息系統也同樣承擔著非法接入、非法訪問、病毒傳播等風險。網絡層面的安全屏障主要有:(1)路由策略。由于信息系統的網絡大部線路是基于公網的VPN通道,因此在出口處的VPN設備必然要與公網連接,為防止來自公網的非法訪問,內網用戶的IP地址使用了RFC1918所定義的私有網絡地址,這種地址外部用戶不能夠直接訪問,同時連接外網的VPN設備也不把到公網的路由廣播到內部網絡。這樣可以保證內網用戶和外網用戶雙方都無法直接互相訪問。(2)防火墻訪問控制。在中心平臺和每個地市中心節點都安裝了一臺做訪問控制的防火墻,這臺防火墻只允許內部數據通過,任何內外之間的直接訪問都會被防火墻所隔離,有效的防止了外部非法訪問。(3)多層面用戶身份認證。在網絡上用戶的合法性和該用戶擁有的合法權限均通過多個層面的身份認證系統來確認,這些認證包括VPN密鑰認證、Radius身份認證、終端設備和數字密鑰身份認證、業務系統登錄認證等。如果黑客想要冒充合法用戶進入時,由于沒有密鑰口令,連接請求將會被拒絕。網絡最終要做到每個用戶在信息中心登記后分配給其單獨的用戶名和口令,并定期更新口令。為了加強對用戶的身份認證,還在應用層上對用戶所持有的數字密鑰進行驗證,只有各方面信息完全吻合的用戶才能被認定為合法用戶,授予登錄訪問權限。而且因采用分層管理,合法用戶也無法訪問到與其無關的服務內容。(4)使用訪問列表控制非法連接。訪問控制列表是應用在路由器接口的指令列表,這些指令列表可以控制路由器的數據接收。通過靈活地增加訪問控制列表,可以過濾流入和流出路由器接口的數據包。(5)設置網絡防病毒系統。在系統中部署了網絡防病毒軟件,在省數據中心設置了一臺防病毒根服務器,在各地市中心設置防病毒分支服務器。網絡管理員只要定期升級根服務器,全省的防病毒軟件客戶端就可以通過分支的防病毒服務器隨時自動進行升級。(6)通過訪問控制隔斷病毒傳播途徑。多數病毒的傳播途徑都是有規律可循的。當某種病毒流傳時,根據其網絡傳播特點,在網絡路由轉發設備上制定相應的訪問控制列表,就可將病毒控制在最小范圍內來處理,而不會大面積傳播。
3應用層面和數據層面
應用和數據兩個層面的風險主要有:非法用戶(入侵者)對網絡進行探測掃描、通過攻擊程序對應用層主機的漏洞進行攻擊、使服務器超負荷工作以至拒絕服務甚至系統癱瘓。由于系統采用的是基于公網的VPN技術,信息需要通過公網傳輸,在公網上,信息有可能會被人截獲,造成信息泄漏或數據被修改后再發送,從而造成數據破壞。用于數據層面的屏障主要有:(1)在通過公網建立VPN連接時,所有傳輸數據都經過加密,以防止在傳輸過程中被竊聽或篡改。(2)防止非法用戶進入并攻擊系統。首先是防止非法用戶連接到內部網絡,具體措施已在前面網絡層面論述。而對已經連接到內部網絡中的非法用戶,要防止其對服務器進行攻擊。解決此問題的措施主要有:①對關鍵服務器采用負載均衡交換機進行端口映射。負載均衡交換機對訪問沒有進行映射端口的數據包直接丟棄,使針對服務器的端口掃描和漏洞攻擊無效,使非法用戶無法遠程對服務器進行直接訪問,也就不能發起直接攻擊;②入侵檢測系統隨時對入侵行為進行報警和記錄。在數據中心和各地市中心都配置了入侵檢測系統,隨時監控著網絡上的數據流量,檢測到攻擊特征的數據后立即告警,以便迅速采取進一步的措施,同時也為事后審核及追查攻擊源頭提供參考;③使用漏洞掃描系統進行主動的安全防護。信息中心配備了便攜式的漏洞掃描系統,由管理員根據需要不定期的掃描系統內服務器和網絡設備的漏洞,通過自身的主動監測,發現系統漏洞并及時彌補,對網絡入侵做到防范于未然,同時建立系統安全報告,對整個系統的安全狀況提供客觀的評估標準。
篇10
篇11
網絡行為的根本出發點,不僅僅是對設備進行保護,也不是對數據進行監控防范,而是規范企業員工在網絡中的各種行為,也就是對人的管理。規范企業員工的網絡行為需要通過技術設備和規章制度的結合來進行。網絡中用戶的各種不規范行為主要包括:正常使用互聯網時訪問到被人為惡意控制的網站或者網頁。這些被控制的網站被黑客植入后門,方便攻擊者竊取企業的各類內部數據或者控制其連接互聯網的服務器。
1.2網絡用戶的安全意識需要加強。
各種安全設備的建立和安全技術的應用只是企業信息通信網絡安全防護的一部分,關鍵是加強企業網絡用戶的安全意識,貫徹落實企業的安全制度。企業只依靠技術不可能完全解決自身的安全防護,因為技術在不斷發展,設備在不斷更新,黑客技術也在發展和更新。所以企業管理人員必須有安全意識,重視自己企業的安全措施。加強對員工的安全培訓,使得全體人員提高安全意識,從根本杜絕安全隱患。
2企業信息通信網絡的安全防護
信息通信網絡安全防護工作,主要包括幾個方面:安全組織、安全技術、安全運行體系。
2.1安全組織體系的構架
信息通信網絡安全組織建設方面,需要建立決策、管理、協作三級組織架構,明確各層組織的職責分工和職能,對應合理的崗位,配備相應的人員,同時根據企業信息通信網絡實際情況,建立起垂直和水平的溝通、協調機制。企業中有具體的人和組織來承擔安全工作,即成立專業的信息通信網絡安全部門,設置不同的崗位,明確對應的職責,并且賦予部門相應的權力和信任;安全部門組織專業人員制訂出安全策略來指導和規范安全工作的開展,明確哪些可以做,哪些不能做,哪些如何做,做到何種程度等等。另外需要創造合理的外部環境來推動安全部門的工作,建立起一套快速有效的溝通協調機制,確保安全工作的高效推動。
2.2安全技術的應用
有了安全組織制訂的安全目標和安全策略后,需要選擇合適的安全技術來滿足安全目標;這里主要分為信息通信網絡系統的整體防護和個人終端的防護。
2.2.1信息通信網絡系統的安全防護。
系統自身漏洞而導致的安全風險,經常是因為信息通信網絡應用本身的漏洞使得網站被病毒入侵或者被植入控制程序,導致企業丟失數據。因此需要建立以下防范措施:(1)部署網絡應用防火墻和網絡應用安全掃描器,重要的網絡應用通過各種安全認證或者許可才能進行使用,同時保證驗證程序本身的安全性。(2)時刻對系統進行更新,對應用程序和系統軟件進行補丁安裝和升級。對于客戶端漏洞有以下幾種防范措施:(1)系統管理員要通過相應的認證軟件攔截限制用戶訪問一些具有安全威脅的網頁;(2)系統管理員要通過相關方案防止用戶訪問含有攻擊和惡意軟件的網站;(3)系統管理員要禁止用戶從網上下載任何媒體播放文件;(4)系統管理員要通過部署相關軟件禁止外網訪問企業的郵件服務器;(5)禁止系統管理員在企業內部服務器上使用網頁瀏覽器、電子郵件客戶端、媒體播放器以及辦公軟件。從技術層面上而言,安全問題無處不在,單一的防火墻、防病毒軟件、區域防御系統已經不能滿足企業網的需要,為了應對網絡中存在的多元、多層次的安全威脅,必須首先構建一個完備的安全體系,在體系架構下層層設防、步步為營,才能夠將安全問題各個擊破,實現全網安全。安全體系架構:由以太網交換機、路由器、防火墻、流量控制與行為審計系統、接入認證與強制管理平臺等多種網絡設備做技術支撐。從可信終端準入、資產管理、訪問控制、入侵防御、遠程訪問、行為審計、全局安全管理等多方面,構成完善的防護體系,從而實現“可信、可控、可取證”的全網安全。其中以太網交換機、路由器、防火墻、流量控制與行為審計系統作為部署在網絡各個層面的組件,接入認證與強制管理平臺作為全網調度和策略分發的決策核心,通過安全聯動,從內外兩個安全域,三個維度構建自適應的安全體系。
2.2.2信息通信網絡中個人應用的安全防護。
為了更好地加強企業信息通信網絡安全,必須規范用戶自己的安全行為,加強個人安全意識,建立自己的計算機安全系統,這就需要企業每個員工做到以下幾方面的安全措施:(1)修改計算機管理員賬戶,為系統管理員和備份操作員創建特殊賬戶。用戶要禁止所有具有管理員和備份特權的賬戶瀏覽Web,嚴禁設置缺省的Guest賬戶;(2)限制遠程管理員訪問NT平臺;(3)在域控制器上,修改注冊表設置;(4)嚴格限制域中Windows工作站上的管理員特權,嚴禁使用缺省值;(5)對于注冊表嚴格限制,只能進行本地注冊,不能遠程訪問;(6)限制打印操作員權限的人數;(7)合理配置FTP,確保服務器必須驗證所有FTP申請。在確定了安全組織和安全技術后,必須通過規范的運作過程來實施安全工作,將安全組織和安全技術有機地結合起來,形成一個相互推動、相互聯系地整體安全運行體系,最終實現企業信息通信網絡的安全防護。
篇12
1.物理層的安全問題
校園網需要各種設備的支持,而這些設備分布在各種不同的地方,管理困難。其中任何環節上的失誤都有可能引起校園網的癱瘓,如室外通信光纜、電纜等,分布范圍廣,不能封閉式管理;室內設備也可能發生被盜、損壞等情況。
物理層的安全問題是指由于網絡設備的放置不合適或者防范措施不得力,使得網絡設備,光纜和雙絞線等遭受意外事故或人為破壞,造成校園網不能正常運行。物理安全是制訂校園網安全解決方案時首先應考慮的問題。
2.系統和應用軟件存在的漏洞威脅
在校園網中使用的操作系統和應用軟件千差萬別,這些威脅,而且網絡用戶濫用某些共享軟件也會導致計算機可能成為黑客攻擊校園網的后門。
3.計算機病毒入侵和黑客攻擊
計算機病毒是校園網安全最大的威脅因素,有著巨大的破壞性。尤其是通過計算機網絡傳播的病毒,其傳播速度快、影響大、殺毒難等都不是單機病毒所能相比的。校園網在接入Internet后,便面臨著內部和外部黑客雙重攻擊的危險,尤以內部攻擊為主。由于內部用戶對網絡的結構和應用模式都比較了解,特別是在校學生,學校不能有效的規范和約束學生的上網行為,學生會經常的監聽或掃描學校網絡,因此來自內部的安全威脅更難應付。
4.內部用戶濫用網絡資源
校園網內部用戶對校園網資源的濫用,有的校園網用戶利用校園網資源提供視頻、音頻、軟件等資源下載,占用了大量的網絡帶寬。特別是近幾年興起的BT、電騾等的泛濫使用占用了大量的網絡帶寬,給正常的校園網應用帶來了極大的威脅。
二、采取安全控制策略
1.硬件安全策略
硬件安全是網絡安全最重要的部分,要保證校園網絡正常,首先要保證硬件能夠正常使用。通常情況下可采取的措施主要有:減少自然災害(如火災、水災、地震等)對計算機硬件及軟件資源的破壞,減少外界環境(如溫度、濕度、灰塵、供電系統、外界強電磁干擾等)對網絡信息系統運行可靠性造成的不良影響。
2.訪問控制策略
訪問控制方面的策略任務是保證網絡資源不被非法使用或訪問。包括入侵監測控制策略、服務器訪問控制策略、防火墻控制策略等多個方面的內容。
(1)防火墻控制策略
防火墻控制策略維護網絡安全最重要的手段。防火墻是具有網絡安全功能的路由器,對網絡提供的服務和訪問定義,并實現更大的安全策略。它通常用來保護內部網絡不受來自外部的非法或非授權侵入的邏輯裝置。
(2)入侵監測控制策略
入侵監測控制策略就是使用入侵監測系統對網絡進行監測。入侵檢測系統(IntrusionDetectionSystems)專業上講就是依照一定的安全策略,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。
(3)服務器訪問控制策略
服務器和路由器這樣的網絡基礎設備,避免非法入侵的有效方法是去掉不必要的網絡訪問,在所需要的網絡訪問周圍建立訪問控制。另外對用戶和賬戶進行必要的權限設置。一是要限制數據庫管理員用戶的數量和給用戶授予其所需要的最小權限。二是取消默認賬戶不需要的權限選擇合適的賬戶連接到數據庫。
3.病毒防護策略
病毒主要由數據破壞和刪除、后門攻擊、拒絕服務、垃圾郵件傳播幾種方式的對網絡進行傳播和破壞,照成線路堵塞和數據丟失損毀。那么建立統一的整體網絡病毒防范體系是對校園網絡整體有效防護的解決辦法。
4.不良信息的防護策略
Internet上存在大量的不良信息,校園網絡因為Internet連接,學生有可能無意中接觸這些信息而在校園網上傳播,造成惡劣的影響。可以安裝非法信息過濾系統,設置非法IP過濾和非法字段過濾有效屏蔽Internet上的不良信息。
5.建立安全評估策略
校園網絡安全不能僅僅依靠防火墻和其他網絡安全技術,而需要仔細考慮系統的安全需求,建立相應的管理制度,并將各種安全技術與管理手段結合在一起,才能生成一個高效、通用、安全的校園網絡系統。使用安全評估工具是進行安全評估的一種手段,可以對各方面進行檢測和反饋信息收集,進而制定策略。
三、結束語
高校校園網絡的安全性越來越受到重視,網絡環境的復雜性、多變性,以及信息系統的脆弱性,決定了高校校園的網絡不能僅僅依靠防火墻,而涉及到管理和技術等方方面面。需要仔細考慮系統的安全需求,建立相應的管理制度,并將各種安全技術與管理手段結合在一起,才能生成一個高效、通用、安全的校園網絡系統。
參考文獻:
[1]KurousJF,KeithW.RossComputerNetworking[M].HigherEducationPressPearson,2003.653-657.
[2]張武軍,李雪安.高校校園網安全整體解決方式研究[J].電子科技,2006,(3):64-67.
篇13
(3)網絡開放性帶來的安全威脅。計算機網絡技術之所以能像今天這么發達,是匯聚了很多人的心血的,可以說是人類智慧的結晶。同時計算機網絡系統的構成是十分復雜的,是由多個網絡硬件設備以及軟件等組合而構成的,這種復雜性其實也是有它的缺點的,它在很大程度上威脅了網絡信息的安全。
(4)網絡邊界以及傳輸過程中的不確定性帶來的安全威脅。如今在進行網絡構建的時候習慣對其邊界進行可擴展處理,這可以說是網絡建設的一個需求了,雖然為以后的空間擴展提供了便利,但是這種特定卻讓網絡的邊界變得更加不確定,在進行共享訪問時網絡安全邊界被破壞的可能性大大增加,同時增加了網絡信息傳遞的途徑,這種具有很大不確定性的傳輸路徑增加了中間環節被影響的可能性。
(5)信息密集帶來的安全威脅。很多網站建立的初衷就是收集相關的信息,同時對這些信息進行整理,形成最終的結果并且展示給用戶看,但是在信息收集的過程中缺乏挑選性,沒有精準的對信息進行篩選,這就可能會造成網絡安全威脅。
2計算機網絡和信息安全系統
2.1系統的物理環境
我們首先需要按照國家的相關標準來進行計算機網絡和信息系統的機房安裝,保證機房內的物理環境、機房內擺放使用的設施以及機房的裝修都需要按照國家規定來進行,使用的裝飾材料等要保證其防水、防潮、防火的性能達標。只有保證了機房建設以及其物理環境符合相應的標準,才能更好的進行信息和數據安全的保護工作。首先計算機網絡中心機房要進行正確的選址,在樓層適中的位置進行建設,同時盡量遠離那些具有危險性的建筑設施,這樣也更便于企事業單位進行后續的網絡建設。其次是安設門禁系統或者環境監控措施,一般來講現在企事業單位的信息中心都具有這樣現代化的機房。環境監控措施例如自動報警裝置或者UPS等,可以對中心機房內的信息情況進行實時監測,一旦出現設備異常或者物理異常的情況就會立刻進行警報;同時機房內一般會安裝專用空調并且保持開機自啟動,來對機房內的環境溫度和濕度進行調控保持。最后是防火措施,一般來說現代化的機房內設施也會比較完善。
2.2系統的運行環境
想要保證信息系統安全,就要對其核心因素——人給予足夠的重視,企事業單位首先應該建立完善的管理體系,然后提供相應的技術支持例如引入先進的技術等,為計算機網絡和信息安全系統的安全保駕護航,從各個角度比如組織角度、技術角度以及管理角度來為網絡系統提供足夠的安全保障,注意和本單位的具體情況相結合,層層遞進有序的完成企事業單位信息化建設。其一是對于那些計算機網絡和信息系統安放的場所高度重視起來,安裝有核心網絡設備的場所都應該有顯眼的標志來進行說明,比如安裝門派或者其他醒目標志以及其他醒目的文字標志例如“機房重地,閑人勿進”、“嚴禁煙火”等,避免出現誤闖的情況,例如路由器、中心服務器和交換機等都屬于核心網絡設備。其二是備份中心機房的網絡設備、網絡通信線路以及控制裝置等。其三是為了保證數據完整,可以在計算機和網絡信息系統通信中采取一定的措施,例如加入一些冗余信息在網絡數據傳輸中,這樣更便于發現網絡傳輸中是否有修改或者刪除數據信息的操作。
3計算機網絡和信息安全關鍵技術
3.1防病毒軟件以及防火墻
我們生活中最常見的病毒防護技術就是防病毒軟件,現在的計算機網絡防病毒軟件分為兩類,單機防病毒軟件和網絡防病毒軟件,二者的區別就是防護是在哪里進行的,在計算機本身或者在網絡上。單機防病毒軟件的工作原理是對本機以及與本機遠程連接的資源來進行掃描分析,從而發現病毒并且盡快進行清除;網絡防病毒軟件則是在病毒入侵網絡時發現并且清除病毒。防病毒軟件具有一定的防病毒入侵作用,但并不是無懈可擊的,對于很多新生病毒來說是沒有作用的,所以還需要進行定期備份數據系統或者加密關鍵業務信息等措施來建立防護系統。
