引論:我們為您整理了13篇網絡系統安全論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
一、主要威脅
計算機網絡系統被攻擊的原因來自多方面的因素,可以分為以下若干類型:黑客入侵、來自內部的攻擊、計算機病毒的侵入、秘密信息的泄漏和修改網絡的關鍵數據等,這些都可以造成損失等等。目前,計算機信息系統的安全威脅主要來自于以下幾類:
(一)計算機病毒
病毒是對軟件、計算機和網絡系統的最大威脅之一。所謂病毒,是指一段可執行的程序代碼,通過對其他程序進行修改,可以感染這些程序,使他們成為含有該病毒程序的一個拷貝。計算機病毒技術在快速地發展變化之中,而且在一定程度上走在了計算機網絡安全技術的前面。專家指出,從木馬病毒的編寫、傳播到出售,整個病毒產業鏈已經完全互聯網化。計算機感染上病毒后,輕則使系統工作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失。甚至造成計算機主板等部件的損壞,導致硬件系統完全癱瘓。
(二)黑客的威脅和攻擊
計算機信息網絡上的黑客攻擊事件越演越烈,據(2008瑞星中國大陸地區互聯網安全報告》披露,以牟利為目的的黑客產業鏈已經形成并成為新的暴利產業。在2006的五一“中美黑客大戰”中,中美各有上千的網站被涂改。曾專門跟蹤網站的攻破后的頁面,最后由于這種事件太多,有時一天會接到上百個網站被涂改的報告。
(三)其他
其他威脅因素還包括來自內部的攻擊、網絡犯罪、系統漏洞以及秘密信息的泄漏和修改網絡的關鍵數據等。
二、系統安全維護策略
(一)計算機病毒的防御
巧用主動防御技術防范病毒入侵,用戶一般都是使用殺毒軟件來防御病毒的侵入,但現在年增加千萬個未知病毒新病毒,病毒庫已經落后了。因此,靠主動防御對付未知病毒新病毒是必然的。實際上,不管什么樣的病毒,當其侵入系統后,總是使用各種手段對系統進行滲透和破壞操作。所以對病毒的行為進行準確判斷,并搶在其行為發生之前就對其進行攔截。
很多計算機系統常用口令來控制對系統資源的訪問,這是防病毒進程中,最容易和最經濟的方法之一。網絡管理員和終端操作員根據自己的職責權限,選擇不同的口令,對應用程序數據進行合法操作,防止用戶越權訪問數據和使用網絡資源。操作員應定期變一次口令;不得寫下口令或在電子郵件中傳送口令。
當計算機病毒對網上資源的應用程序進行攻擊時,這樣的病毒存在于信息共享的網絡介質上,因此就要在網關上設防,在網絡前端進行殺毒。基于網絡的病毒特點,應該著眼于網絡整體來設計防范手段。在計算機硬件和軟件,LAN服務器,服務器上的網關,Inter層層設防,對每種病毒都實行隔離、過濾,而且完全在后臺操作。例如:某一終端機如果通過軟盤感染了計算機病毒,勢必會在LAN上蔓延,而服務器具有了防毒功能,病毒在由終端機向服務器轉移的進程中就會被殺掉。為了引起普覺,當在網絡中任何一臺工作站或服務器上發現病毒時,它都會立即報警通知網絡管理員。
(二)對黑客攻擊的防御
黑客攻擊等威脅行為為什么能經常得逞呢?主要原因在于計算機網絡系統內在安全的脆弱性;其次是人們思想麻痹,沒有正視黑客入侵所造成的嚴重后果,因而舍不得投入必要的人力、財力和物力來加強計算機網絡的安全性,沒有采取有效的安全策略和安全機制。
首先要加強系統本身的防御能力,完善防護設備,如防火墻構成了系統對外防御的第一道防線。防火墻作為網絡的第一道防線并不能完全保護內部網絡,必須結合其他措施才能提高系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施。按照級別從低到高,分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全;同時主機安全檢查和漏洞修補以及系統備份安全作為輔助安全措施。
堵住系統漏洞要比與安全相關的其它任何策略更有助于確保網絡安全。及時地安裝補丁程序是很好的維護網絡安全的方法。對于系統本身的漏洞,可以安裝軟件補丁;另外網絡管理員還需要做好漏洞防護工作,保護好管理員賬戶,只有做到這兩個基本點才能讓我們的網絡更加安全。:
三、預防措施
從實際應用上看,即使采用了種種安全防御手段,也不能說就萬無一失或絕對安全,因此還需要有一些預防措施, 以保證當系統出現故障時,能以最快的速度恢復正常,將損失程度降到最底。這類措施應有:
對日常可能出現的緊急情況要制定相應的應急計劃和措施,發生運行故障時,要能快速搶修恢復。
將操作系統CD盤留副本保存。由于有一個或者多個備份集,因此可以減少原版CD丟失(損壞)所造成的損失。
當網絡管理員或系統管理員調動以后立即修改所有的系統管理員口令。
堅持數據的日常備份制度,系統配置每次修改后及時備份,對于郵件服務器等實時更新的服務器應堅持每日多次備份(至少每小時一次)。
四、結語
網絡系統安全作為一項動態工程,它的安全程度會隨著時間的變化而發生變化。在信息技術日新月異的今天,需要隨著時間和網絡環境的變化或技術的發展而不斷調整自身的安全策略。
參考文獻:
[1]錢蓉.黑客行為與網絡安全,電力機車技術,2002,1,25
[2]關義章,戴宗坤.信息系統安全工程學.四川大學信息安全研究所,2002,12,10
篇2
1.2病毒的防護漏洞
公安網絡目前對網絡病毒的防護手段十分有限,沒有建立專用的計算及病毒防護中心、監控中心,這同樣對公安網絡的安全造成巨大隱患,“尼姆達”與“2003蠕蟲王”等網絡病毒曾對公安網絡造成想打的危害,造成網絡擁堵、降低性能,嚴重擾亂了公安系統的正常工作秩序。
1.3信息安全的管理體制不完善
公安網絡系統是與公共網絡物理隔離的系統,但是還未在整體上建立完善的安全結構體系,在管理上缺乏安全標準以及使用條例,甚至有些地方公安網絡中的計算機出現公安網絡與公共網絡同時使用的現象,這都對公安網絡的信息安全帶來不可忽視的安全威脅,使非法入侵者有著可乘之機。
2公安網絡的信息安全體系結構設計
公安網絡的信息安全體系結構設計,是一項非常復雜的系統工程,該體系對安全的需求是多層次,多方面的。因此本文設計了比較完整的安全體系結構模型,以保障整個系統的完備性以及安全性,為公安網絡的信息安全提供切實有效的安全服務保障。本文在借鑒了多種成熟的信息網絡安全體系結構,并且根據國家公安部提出的具體保障體系的指導思想,設計了適應我國公安網絡的信息安全體系。該體系從安全服務、協議層次以及系統單元三個維度,綜合立體的對公安信息網絡的安全體系進行了設計。這個三個層次均包含了安全管理模塊。
2.1協議層次維度
本文從網絡的七層協議模型來設計公安網絡的安全體系結構中的協議層次。每一個協議層次都有專屬的安全機制。對于某一項安全服務,安全實現機制隨著協議層次的不同而不同。例如,審計跟蹤的安全服務項目在網絡層,主要對審計記錄與登錄主機之間的流量進行分析,對非法入侵進行實時監測。病毒防護層一般在應用層實現,一般用來對訪問事件進行監控,監控內容為用戶身份,訪問IP,訪問的應用等等進行日志統計。
2.2安全服務維度
公安網絡的信息安全體系中包括的安全服務有,身份識別認證、訪問控制權限、數據完整性和保密性以及抗抵賴組成了安全服務模型。在安全服務模型中,每一個安全服務對應著不同類別的應用。這幾種安全服務模型不是獨立的是互相聯系著的。進入公安網絡安全體系的主體登錄系統時,要進行身份識別認證,并且查找授權數據庫,以獲得主體訪問的權限,如果通過驗證與授權,則對訪問信息進行加密返回至主體,主體通過解析進行信息獲取。并且,主體訪問的過程被審計跟蹤監測模塊記錄,生成訪問日志,以便日后進行查驗。
2.3系統單元維度
公安網絡的信息安全體系的實施階段,上述安全服務與協議等要集成在物理單元上,從系統單元的維度看,可分為以下幾個層次。首先,物理環境安全,該層次保護計算機信息系統的基本設施安全,能夠有能力應對自然災害以及人為物理誤操作對安全體系的基礎設施的干擾以及破壞。其次,網絡平臺的安全,主要保證網絡的安全可靠運行,保障通過交換機等網絡設備的信息的安全。最后是應用系統的安全,該層次提供了訪問用戶的身份認證、數據的保密性以及完整性,權限訪問等。
篇3
1.2主要功能
(1)風險評估,根據國家安全標準并利用測試系統的數據和主要的風險評估模型,獲取系統數據,定義系統風險,并提出應對措施[2]。
(2)安全態勢評估與預測,利用得到的安全測試數據,按照預測、隨機和綜合量化模型,對信息系統作出安全態勢評估與預測,指出存在的安全隱患并提出安全解決方案。
(3)建立數據庫支撐,包括評估模型庫、專家知識庫、標準規范庫等。
(4)輸出基于圖表樣式和數據文件格式的評估結果。
2系統組成和總體架構
2.1系統組成
網絡安全評估系統態勢評估系統是在Windows7平臺下,采用C++builder2007開發的。它的數據交互是通過核心數據庫來運行的,為了使評估的計算速度和讀寫數據庫數據更快,應將子系統與核心數據庫安裝在同一機器上。子系統之間的數據交互方式分別為項目數據交互和結果數據交互。前者分發采用移動存儲的形式進行,而后者的提交獲取是通過核心數據庫運行。
2.2總體架構
系統包括人機交互界面、控制管理、數據整合、漏洞掃描、安全態勢評估和預測、本地數據庫等六個模塊組成。網絡安全評估系統中的漏洞掃描部分采用插件技術設計總體架構。掃描目標和主控臺是漏洞掃描子系統的主要部分,后者是漏洞掃描子系統運行的中心,主控臺主要是在用戶打開系統之后,通過操作界面與用戶進行交流,按照用戶下達的命令及調用測試引擎對網絡上的主機進行漏洞測試,測試完成后調取所占用的資源,并取得掃描結果,最后形成網絡安全測試評估報告,通過這個測試,有利于管理人員發現主機有可能會被黑客利用的漏洞,在這些薄弱區被黑客攻擊之前對其進行加強整固,從而提高主機網絡系統的安全性。
3系統工作流程
本系統首先從管理控制子系統獲取評估任務文件[3],然后根據任務信息從中心數據庫獲取測試子系統的測試數據,再對這些數據進行融合(加權、去重),接著根據評估標準、評估模型和支撐數據庫進行評估[4],評估得到網絡信息系統的安全風險、安全態勢,并對網絡信息系統的安全態勢進行預測,最后將評估結果進行可視化展示,并生成相關評估報告,以幫助用戶進行最終的決策[5]。
4系統部分模塊設計
4.1網絡主機存活性識別的設計
“存活”是用于表述網絡主機狀態[6],在網絡安全評估系統中存活性識別流程對存活主機識別采用的方法是基于ARP協議。它的原理是當主機或路由器正在尋找另外主機或路由器在此網絡上的物理地址的時候,就發出ARP查詢分組。由于發送站不知道接收站的物理地址,查詢便開始進行網絡廣播。所有在網絡上的主機和路由器都會接收和處理分組,但僅有意圖中的接收者才會發現它的IP地址,并響應分組。
4.2網絡主機開放端口/服務掃描設計
端口是計算機與外界通訊交流的出口[7],軟件領域的端口一般指網絡中面向連接服務的通信協議端口,是一種抽象的軟件結構,包括一些數據結構和FO(基本輸入輸出)緩沖區[8]。
4.3網絡安全評估系統的實現
該實現主要有三個功能,分別是打開、執行和退出系統[9]。打開是指打開系統分發的評估任務,顯示任務的具體信息;執行任務指的是把檢測數據融合,存入數據庫;退出系統是指關閉系統。然后用戶在進行掃描前可以進行選擇掃描哪些項,對自己的掃描范圍進行設置。進入掃描后,界面左邊可以顯示掃描選項,即用戶選中的需要掃描的項[10]。界面右邊顯示掃描進程。掃描結束后,用戶可以點擊“生成報告”,系統生成用戶的網絡安全評估系統檢測報告,最終評定目標主機的安全等級[11]。
5結束語
(1)系統研究還不夠全面和深入。網絡安全態勢評估是一門新技術[12],很多問題如規劃和結構還沒有解決。很多工作僅限于理論,設計方面存在爭論,沒有統一的安全態勢評估系統模型[13]。
篇4
1.2信息網絡安全的實現要點
(1)需要對網絡系統的硬軟件及數據進行有效保護,對于系統遭到破壞、更改或泄露等情況需實現有效規避。(2)對于外部非法入侵行為需采取有效防止措施,同時加強內部人員的管理及教育,使內部人員的安全意識得到有效提高。(3)信息安全管理者需重視信息網絡安全現狀所存在的問題,例如行為管理的脆弱性,又如網絡配置及技術的不完善性等。在認識到問題的基礎上,制定有效的改善策略,進一步提高電力系統信息網絡的安全性。
2電力系統信息網絡安全架構策略探究
2.1防火墻技術
電力系統當中,為了防止病毒入侵,便需要防火墻技術的介入。目前具備的防火墻指的是設置在不同網絡或網絡安全域間的一系列部件的組合,它屬于不同網絡或者網絡安全域間信息的唯一出入口,可以企業的安全政策為依據,進一步對出入網絡的信息流實現有效控制,同時自身還具備比較強的攻擊能力。另外,它還是提供信息安全服務的重要基礎,也能夠使信息網絡更具安全性。近年來,防火墻技術已經廣泛應用于局域網和Internet之間的隔離。
2.2NAT技術
應用NAT技術,能夠讓一個機構里的全部用戶以有限的合法IP地址為途徑,進一步對Internet進行訪問,這樣便使Internet上的合法IP地址得到了有效節省。另外,以地址轉換為手段,還能夠使內網上主機的真實IP地址實現隱藏,進而使網絡的安全性得到有效提高。
2.3防病毒技術
利用防病毒產品,能夠防止惡意程序的入侵,并起到抵御病毒的作用,進一步使網絡當中的服務器及PC機獲得了有效防護。防病毒產品具備功能強大的管理工具,能夠對文件進行自動更新,讓管理及服務作業更具合理性。另外,還可以使企業的防病毒安全機制更具完善性,具有優化系統性能及解決病毒攻擊等優勢,為電力系統信息網絡的安全性提供了重要保障。
2.4網絡加密技術
網絡加密技術是指對原有的數據或明文文件通過某種特定算法進行有效處理,使其成為一段不可讀的代碼,然后只允許輸入相應的密鑰后才可顯示出原來的內容,通過此途徑為數據的安全性提供保障,同時使數據更具完整性及保密性。
2.5指紋認證技術
對于電力系統來說,其信息網絡安全的身份認證顯得極為重要。在現有的硬件防火墻的條件下,可以進一步應用最新的身份認證技術,即為指紋認證技術。基于電力信息網絡管理過程中,把具有合法特質的用戶指紋存入指紋數據庫當中。使用指紋技術,便可以使認證的可靠性增強。主要原理是,把用戶的密鑰與用戶指紋特征統一存儲在密鑰分配的KDC當中,用戶在應用密鑰時通過自動指紋識別確認身份后從KDC中獲取。
2.6數據加密技術
防火墻及防病毒系統技術能夠對電力系統起到保護作用,同時通過數據加密技術也能夠對電力系統起到保護作用。數據加密技術是一種對網絡傳輸數據的訪問權進行限制的技術,在加密設備與密鑰加密過程中會產生密文,把密文向原始明文還原的過程為解密,是基于加密處理的反向處理,但是對于解密者來說,需使用同樣類型的加密設備及密鑰,才能夠進一步對密文進行有效解密。
3電力系統信息網絡安全構架
通過防火墻、病毒網管及認證服務器,使非授權用戶入侵網絡的情況得到有效防止,進一步使網絡系統的可用性得到有效體現。充分應用CA中心,能夠對用戶起到權限控制作用,并且在結合內容審計機制的基礎上,能夠對網絡資源與信息實現有效控制。通過防毒管理中心,并利用漏洞掃描器,使系統內部安全得到有效保證,進一步保證了信息的完整性。通過VPN與加密系統,保證了信息不會泄露給沒有獲得授權的實體,進而使信息更具保密性。另外,利用入侵檢測及日志服務器,能夠為網絡安全問題提供檢測方面的有效依據,使信息實現可審查的特征,進一步充分保證了信息的可靠性及安全性。
篇5
在危及信息系統安全的諸多因素中,計算機病毒一直排在首要的防范對象之列,日益增加的無孔不入的計算機網絡病毒,就對網絡計算機安全運行構成了最為常見、最為廣泛的每日每時、無處不在的頭號威脅。計算機病毒發作輕則在硬盤刪除文件、破壞盤上數據、造成系統癱瘓、造成無法估量的直接和間接損失。嚴重的情況下會影響教學管理,校內信息等難以彌補的延續后果。
2.人為的無意失誤。
如操作員安全配置不當,造成的安全漏洞。用戶安全意識不強,用戶口令選擇不慎,用戶隨意將自己的帳號轉借他人或與別人共享等都會對信息系統安全帶來威脅。
3.人為的惡意攻擊。
這是計算機網絡所面臨的最大威脅。黑客的攻擊和計算機犯罪就屬于這一類。這類攻擊有兩種情況:一種是主動攻擊。它以各種方式有選擇地破壞重要數據信息的完整;另一種是被動攻擊。它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種情況的攻擊都會對計算機信息系統造成極大的危害,并導致機密數據的泄露。
4.操作系統及網絡軟件的漏洞和"后門"。
當前計算機的操作系統和網絡軟件不可能是百分之百的無缺陷和無漏洞,然而這些漏洞的缺陷恰恰是黑客進行攻擊的首選目標,另外,軟件的"后門"都是軟件公司設計編程人員為了自己方便而設置的,一般不為外人所知,但一旦"后門"洞開,其后果將不堪設想。
二、安全措施
針對學校里使用的各類信息管理系統,要構建完善的校園系統安全體系,網絡安全建設主要包括以下幾方面內容:應用防病毒技術,建立全面的網絡防病毒體系;應用防火墻技術,控制訪問權限、實現網絡安全集中管理,必要時采用內網與外部網絡的物理隔離,根本上杜絕來自internet的黑客入侵;應用入侵檢測技術保護主機資源,防止內部輸入端口入侵;應用安全漏洞掃描技術主動探測網絡安全漏洞,進行定期網絡安全評估與安全加固;應用網絡安全緊急響應體系,做好日常數據備份、防范緊急突發事件。
1.建立網絡防病毒體系。
在校園網絡中要做好對計算機病毒的防范工作,首先要在校園系統內部制定嚴格的安全管理機制,提高網絡管理人員和系統管理員的防范意識,使用正版的計算機防毒軟件,并經常對計算機殺毒軟件進行升級。
2.建立防火墻體系。
防火墻是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻擋來自外部網絡的侵入,使內部網絡的安全有了很大的提高。
3.建立入侵檢測系統。
入侵檢測系統是近年出現的新型網絡安全技術,目的是提供實時的入侵檢測及采取相應的防護手段,記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要是因為它能夠對付來自內外網絡的攻擊。其次是因為它能夠縮短黑客入侵的時間。在需要保護的主機網段上安裝入侵檢測系統,可以實時監視各種對主機的訪問請求,并及時將信息反饋給控制臺,這樣全網任何一臺主機受到攻擊時系統都可以及時發現。網絡系統安裝網絡入侵檢測系統后,可以有效的解決來自網絡安全多個層面上的非法攻擊問題。它的使用既可以避免來自外部網絡的惡意攻擊,同時也可以加強內部網絡的安全管理,保證主機資源不受來自內部網絡的安全威脅,防范住了防火墻后面的安全漏洞。
4.建立安全掃描系統。
安全掃描技術是又一類重要的網絡安全技術。安全掃描技術與防火墻、入侵檢測系統互相配合,能夠有效提高網絡的安全性。通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。網絡管理員可以根據掃描的結果更正網絡安全漏洞和系統中的錯誤配置,在黑客攻擊前進行防范。如果說防火墻和網絡監控系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,可以有效避免黑客攻擊行為,做到防患于未然。
5.建立計算機災難恢復系統。
災難恢復系統是為了保障計算機系統和業務在發生災難的情況下能夠迅速地得以恢復而建立的一套完整的系統。它包括備份中心、計算機備份運行系統、可根據需要重置路由的數據通訊線路、電源以及數據備份等。此外災難恢復系統還應當包括對該系統的測試和對人員的培訓,這將有助于參與災難恢復系統的系統管理員能夠更好地對災難的發生做出合理的響應。
篇6
2)防火墻技術
防火墻技術可以有效地避免外界網絡對計算機的非法入侵,保障網絡的安全性。它是一道隔離本地網絡和外界網絡的防御系統,能夠有效地隔離風險區合安全區的連接,是一種高效的網絡安全模型,因此用戶要提高防火墻的等級。
3)加強訪問控制技術
訪問控制技術是指制定相應的網絡訪問規則,部分網絡允許被訪問,而部分網絡禁止被訪問。通過訪問控制技術能夠降低網絡被攻擊的概率,從而在一定程度上提高了網絡的安全性。訪問控制策略的制定包括入網訪問控制環節、網絡權限劃分環節、客戶端防護策略制定三部分組成。其中入網訪問控制是網絡的第一道關口,一般都是通過驗證用戶賬號和口令來控制。因此,為了提高計算機使用的安全性,用戶應盡量使賬號和口令復雜化,并定時對其進行更改,防止他人盜竊。
4)建立安全實施防御和恢復系統
眾所周知,計算機本身具有一定的漏洞控制能力,但是不能長時間地確保網絡信息的安全性,因而當發現網絡信息被破壞的時候,應該及時地做出一些補救方案,使丟失的信息或者資料能夠盡快恢復,減小損失。為了保障網絡系統的安全性,就需要建立安全實施防御和恢復系統,包括安全檢測預警機制、安全反應機制、入侵檢測機制以及安全恢復機制。
5)采用信息加密和認證技術
當前受大眾歡迎的電子商務就是依靠加密技術作為保障的。信息加密是阻止他人惡意地盜取或者破壞信息,能有效地保障信息的機密性。而認證技術可以確保信息的完整性,使信息不被他人惡意更改,在開放式計算機網絡環境的安全防御方面扮演了重要的角色。因此,為了保障計算機內數據、文件、口令等重要信息不被他人盜取,就需要對信息流通過程中要傳輸的數據進行加密和認證處理。常見的信息加密方法有三種,即鏈路加密、端點加密以及節點加密。
2計算機網絡與信息安全系統的關鍵技術
1)設置密碼技術
為了保障計算機網絡信息的安全性,最常用的方法就是設置密碼,這是保證信息安全的最基本的方法。首先,對需要保護的信息進行加密處理,可以防止信息被非授權用戶所訪問。其次,密碼技術的采用使得網絡信息多了一層保護殼,即使信息被不法分子盜取,但是卻很難破解其中的內容,有效地防止了信息的外泄。
2)訪問控制技術
訪問控制技術能夠有效地對網絡進行安全防范和保護,主要是防止用戶對資源越權使用現象的出現。使用訪問控制技術時,用戶在使用某些特定的網絡資源的時候需要進行身份驗證,從而確定用戶是否具有使用權。該技術在某種程度上限制了訪問網絡的行為,減小了網絡信息被侵犯的可能性。
篇7
影響網絡信息系統安全性的因素有很多,首先便是通信過程中網絡的對外開放性。網絡的開放性特點使得在通信過程中,不法分子會通過網絡擅自竊取數據,進而使得機密信息被泄露。而極個別不法分子會通過網絡肆意連接系統,故意破壞數據信息的真實完整性,最終導致系統不能夠正常運行,處于癱瘓狀態。其次便是安全管理方面的因素。有的雖然已經有了一套健全的操作規程以及安全政策,但是因為管理層并不重視系統的安全維護,致使管理混亂,系統不能夠及時更新并修補舊的漏洞等,最終導致解決方案根本不能發揮正常作用。還有極個別系統管理員或者使用用戶由于疏忽或者有意的泄露、刪改甚至破壞了信息資源,損壞設備使得業務中斷,均會造成非常嚴重后果。此外還有便是網絡信息系統本身就存在一定的問題。有的在安全配置上考慮不周,給不法分子提供了相應有利的條件。有時使用用戶若是不正當使用也能夠造成不良后果,比如說由于使用疏忽,使電腦以及系統中了病毒。當然除以上情況,系統的安全性還受因計算機硬件的缺陷、電磁輻射和客觀環境等等的影響。
三、網絡信息系統安全技術
1.身份鑒別和驗證技術。
為了保證在網絡應用層、操作層以及通信層的安全,需要對使用用戶有一個初期登陸驗證。這其中,網絡應用層的使用用戶只需輸入公開密鑰即密碼來完成數字簽名認證即可;而對于系統層的用戶,則需要采取口令的方法來進行密鑰的加密運輸;另外的網絡信息通信層會需要帶有身份認證的網絡設備,同期還能掌控其進行接入點。
2.數據的加密解密技術。
數據的加密技術往往使用集成的安全保密設備,不但能夠簡化系統配置同時降低成本,還能夠為系統提供一個數字簽名機制。加密解密技術的原理比較復雜。首先,加密算法與解密算法都是加密與解密變換的一個數學函數,通常情況下,兩個函數互為反函數。而密鑰就是普通意義上的密碼,最終達到對數據以及源信息保密的目的。
3.防火墻技術。
防火墻指的便是位于兩個網絡之間用來執行控制的系統(可以是硬件或者軟件亦或二者并用),主要目的便是只允許經過授權的用戶通過,而限制那些外部未經許可的用戶,防止他們擅自訪問內部的網絡資源,并將非法獲取的信息傳遞出去。這其中操作系統上需要利用使用用戶的權限以及系統本身獨有的存取控制能力來達到控制的目的;而應用系統層則是為不同用戶群體設置了不同的操作權限;數據庫系統則是對用戶進入系統的數據庫進行授權。因此,防火墻可以極好的達到限制非法用戶非法操作的目的。
篇8
1.2計算機安全系統不完善。
隨著時代的發展和科技的不斷進步,導致計算機網絡的飛速發展。然而,在計算機網絡飛速發展的同時,計算機網絡安全監控系統卻不是很完善,其仍然存在很多問題有待我們解決。例如其防火墻做的不夠堅實,很容易就被入侵者攻破,沒能達到防護的作用。還有就是密碼方面容易讓人破解。目前很多的密碼設置都是過于簡單,而且對其保護的方法過于普遍,這樣一來就很容易被黑客識破,進而被其攻擊。完善計算機網絡安全控制系統將是未來計算機網絡安全監控系統工作中最重要的工作。
1.3個別網站對用戶個人信息不保密。
現代化科技的發展不僅帶動了社會經濟的蓬勃發展,同時也悄悄的改變著人們的生活方式。計算機網絡漸漸的成為了人們生活中不可缺少的一部分。并且,計算機網絡的快速發展也帶動了相關行業的發展。然而,在人們利用計算機網絡瀏覽網頁時,個人信息已經被一些網站給透漏出去,從而使得個人信息泄露等現象。例如,當我們用手機上網瀏覽了一些有關于房子的問題時,我們并沒有留任何有關個人的信息。但是過幾天就會有相關行業的人員給你發短信或者打電話,對你進行推銷。這種現象只能說明是你瀏覽網頁的時候,該網頁將你的個人信息透漏給了相關行業,以至于他們能很準確的知道你現在的需求并且對你進行針對性的推銷。個別網站對用戶個人信息不保密的這種行為也是當今計算機網絡安全監控中所要關注的重點問題。
2、對目前計算機網絡中存在的安全問題的一些解決辦法
2.1加強對個人和集體的信息的保密重視程度。
隨著計算機網絡技術的飛速發展,個人和集體信息被竊取的事件屢見不鮮。因此,要保護好個人和集體的信息就必須加強對這方面的重視程度。很多時候,個人和集體的信息泄露不是由于外來入侵導致的,而是由于內部人員對信息的保密程度的重視不夠,無意中就將信息透漏出去,從而導致了個人和集體的利益得到損失。因此,加強對個人和集體的信息的保密重視程度是計算機網絡安全監控系統中首要解決的問題。
2.2不斷對計算機安全系統進行研發。
科技的飛速發展帶動了人們生活水平的不斷提升,并且給人類的生產生活帶來了便利。在科技發展如此迅速的今天,不斷加強對計算機安全系統的研究才能使得計算機網絡更好更快的發展下去。在當今社會中,只有新型的計算機安全監控系統才能阻礙外來入侵者的入侵。還有要加強防火墻的防護和建立工作,從而使得防護工作更加牢靠穩固。在加強對計算機安全監控系統的研究方面,要注意以下幾點。首先,加強對密碼的保護。目前很多的密碼設置過于簡單,而且只有一個,這樣對于用戶來說很不安全,在計算機網絡安全監控系統設計中應該考慮到這一點,多設計幾道保護措施和密碼,并且幾道密碼在設置時應注意,最好設置為不同的密碼。從而使得用戶的個人信息得到大力保護;其次,加強團隊人才的建設,并且積極研發新型系統,使系統的防護性能達到最好,從而有力的阻礙外來者的入侵;最后,要讓計算機網絡安全系統不斷更新,以至于使得其更有利的阻擋新型病毒的入侵。
2.3加強對網站的管理力度。
目前由于網絡的快速發展,對網站的管理力度不夠等原因,導致了一些網站將其用戶的信息透漏給商人,從而導致了用戶的個人利益受到破壞。因此,為了更好的保護網絡用戶的個人信息不被泄露,就必須加強對網站的管理力度,當然這也需要政府職能部門設置相關的監管制度。只有這樣才能使用戶信息在計算機網絡安全監控的最后環節得到保護。
篇9
網絡行為的根本出發點,不僅僅是對設備進行保護,也不是對數據進行監控防范,而是規范企業員工在網絡中的各種行為,也就是對人的管理。規范企業員工的網絡行為需要通過技術設備和規章制度的結合來進行。網絡中用戶的各種不規范行為主要包括:正常使用互聯網時訪問到被人為惡意控制的網站或者網頁。這些被控制的網站被黑客植入后門,方便攻擊者竊取企業的各類內部數據或者控制其連接互聯網的服務器。
1.2網絡用戶的安全意識需要加強。
各種安全設備的建立和安全技術的應用只是企業信息通信網絡安全防護的一部分,關鍵是加強企業網絡用戶的安全意識,貫徹落實企業的安全制度。企業只依靠技術不可能完全解決自身的安全防護,因為技術在不斷發展,設備在不斷更新,黑客技術也在發展和更新。所以企業管理人員必須有安全意識,重視自己企業的安全措施。加強對員工的安全培訓,使得全體人員提高安全意識,從根本杜絕安全隱患。
2企業信息通信網絡的安全防護
信息通信網絡安全防護工作,主要包括幾個方面:安全組織、安全技術、安全運行體系。
2.1安全組織體系的構架
信息通信網絡安全組織建設方面,需要建立決策、管理、協作三級組織架構,明確各層組織的職責分工和職能,對應合理的崗位,配備相應的人員,同時根據企業信息通信網絡實際情況,建立起垂直和水平的溝通、協調機制。企業中有具體的人和組織來承擔安全工作,即成立專業的信息通信網絡安全部門,設置不同的崗位,明確對應的職責,并且賦予部門相應的權力和信任;安全部門組織專業人員制訂出安全策略來指導和規范安全工作的開展,明確哪些可以做,哪些不能做,哪些如何做,做到何種程度等等。另外需要創造合理的外部環境來推動安全部門的工作,建立起一套快速有效的溝通協調機制,確保安全工作的高效推動。
2.2安全技術的應用
有了安全組織制訂的安全目標和安全策略后,需要選擇合適的安全技術來滿足安全目標;這里主要分為信息通信網絡系統的整體防護和個人終端的防護。
2.2.1信息通信網絡系統的安全防護。
系統自身漏洞而導致的安全風險,經常是因為信息通信網絡應用本身的漏洞使得網站被病毒入侵或者被植入控制程序,導致企業丟失數據。因此需要建立以下防范措施:(1)部署網絡應用防火墻和網絡應用安全掃描器,重要的網絡應用通過各種安全認證或者許可才能進行使用,同時保證驗證程序本身的安全性。(2)時刻對系統進行更新,對應用程序和系統軟件進行補丁安裝和升級。對于客戶端漏洞有以下幾種防范措施:(1)系統管理員要通過相應的認證軟件攔截限制用戶訪問一些具有安全威脅的網頁;(2)系統管理員要通過相關方案防止用戶訪問含有攻擊和惡意軟件的網站;(3)系統管理員要禁止用戶從網上下載任何媒體播放文件;(4)系統管理員要通過部署相關軟件禁止外網訪問企業的郵件服務器;(5)禁止系統管理員在企業內部服務器上使用網頁瀏覽器、電子郵件客戶端、媒體播放器以及辦公軟件。從技術層面上而言,安全問題無處不在,單一的防火墻、防病毒軟件、區域防御系統已經不能滿足企業網的需要,為了應對網絡中存在的多元、多層次的安全威脅,必須首先構建一個完備的安全體系,在體系架構下層層設防、步步為營,才能夠將安全問題各個擊破,實現全網安全。安全體系架構:由以太網交換機、路由器、防火墻、流量控制與行為審計系統、接入認證與強制管理平臺等多種網絡設備做技術支撐。從可信終端準入、資產管理、訪問控制、入侵防御、遠程訪問、行為審計、全局安全管理等多方面,構成完善的防護體系,從而實現“可信、可控、可取證”的全網安全。其中以太網交換機、路由器、防火墻、流量控制與行為審計系統作為部署在網絡各個層面的組件,接入認證與強制管理平臺作為全網調度和策略分發的決策核心,通過安全聯動,從內外兩個安全域,三個維度構建自適應的安全體系。
2.2.2信息通信網絡中個人應用的安全防護。
為了更好地加強企業信息通信網絡安全,必須規范用戶自己的安全行為,加強個人安全意識,建立自己的計算機安全系統,這就需要企業每個員工做到以下幾方面的安全措施:(1)修改計算機管理員賬戶,為系統管理員和備份操作員創建特殊賬戶。用戶要禁止所有具有管理員和備份特權的賬戶瀏覽Web,嚴禁設置缺省的Guest賬戶;(2)限制遠程管理員訪問NT平臺;(3)在域控制器上,修改注冊表設置;(4)嚴格限制域中Windows工作站上的管理員特權,嚴禁使用缺省值;(5)對于注冊表嚴格限制,只能進行本地注冊,不能遠程訪問;(6)限制打印操作員權限的人數;(7)合理配置FTP,確保服務器必須驗證所有FTP申請。在確定了安全組織和安全技術后,必須通過規范的運作過程來實施安全工作,將安全組織和安全技術有機地結合起來,形成一個相互推動、相互聯系地整體安全運行體系,最終實現企業信息通信網絡的安全防護。
篇10
1安全域劃分
由于安徽中煙網絡在網絡的不同層次和區域所關注的角度不同,因此進行安全域劃分時,必須兼顧網絡的管理和業務屬性,既保證現有業務的正常運行,又要考慮劃分方案是否可行。在這樣的情況下,獨立應用任何一種安全域劃分方式都不能實現網絡安全域的合理劃分,需要多種方式綜合應用,互相取長補短,根據網絡承載的業務和企業的管理需求,有針對性地選擇合理的安全域劃分方式。
1.1安全域劃分原則
業務保障原則安全域劃分應結合煙草業務系統的現狀,建立持續保障機制,能夠更好的保障網絡上承載的業務。在保證安全的同時,還要保障業務的正常運行和運行效率。結構化原則安全域劃分的粒度可以從系統、設備到服務、進程、會話等不斷細化,在進行安全域劃分時應合理把握劃分粒度,只要利于使用、利于防護、利于管理即可,不可過繁或過簡。等級保護原則屬于同一安全域內的系統應互相信任,即保護需求相同。建立評估與監控機制,設計防護機制的強度和保護等級。要做到每個安全域的信息資產價值相近,具有相同或相近的安全等級、安全環境、安全策略等。生命周期原則安全域的劃分不應只考慮到靜態設計,還要考慮因需求、環境不斷變化而產生的安全域的變化,所以需考慮到工程化管理。
1.2安全域劃分方式
1.2.1安全域劃分模型根據安徽中煙網絡和業務現狀,安徽中煙提出了如下安全域劃分模型,將整個網絡劃分為互聯網接口區、內部網絡接口區,核心交換區,核心生產區四部分:核心生產區本區域僅和該業務系統其它安全子域直接互聯,不與任何外部網絡直接互聯。該業務系統中資產價值最高的設備位于本區域,如服務器群、數據庫以及重要存儲設備,外部不能通過互聯網直接訪問該區域內設備。內部互聯接口區本區域放置的設備和公司內部網絡,包括與國家局,商煙以及分支煙草連接的網絡。互聯網接口區本區域和互聯網直接連接,主要放置互聯網直接訪問的設備。該區域的設備具備實現互聯網與內部核心生產區數據的轉接作用。核心交換區負責連接核心生產區、內部互聯接口區和外部互聯接口區等安全域。
1.2.2安全域邊界整合1)整合原則邊界整合原則是主要依據分等級保護的原則和同類安全域合并。分等級防護是安全域方法的基本思想,這自然不必多說,同類安全域合并原則在落實時應以一下思想為指導:集中化:在具備條件的情況下,同一業務系統應歸并為一個大的安全域;次之,在每個機房的屬于同一數據業務系統的節點應歸并為一個大的安全域。跨系統整合:不同的數據業務系統之間的同類安全域應在保證域間互聯安全要求的情況下進行整合,以減小邊界和進行防護。最小化:應將與外部、內部互聯的接口數量最小化,以便于集中、重點防護。2)整合方法為了指導邊界整合,安徽中煙提出了兩種邊界整合方法、適用場景。這些邊界整合方法都側重于跨系統或同一系統不同節點間的邊界整合,側重于數據業務系統與互聯網、外部系統間的接口的整合。(1)單一傳輸出口的邊界整合此種整個方法適用于:具備傳輸條件和網絡容災能力,將現有數據業務系統和互聯網的傳輸接口整合至單一或幾個互備接口。(2)多個傳輸出口的邊界整合此種整個方法適用于:數據業務系統和互聯網之間有多個物理位置不同的接口,并且尚不具備傳輸條件整合各接口。
2安全防護策略
2.1安全防護原則
集中防護通過安全域劃分及邊界整合后,可以形成所謂的“大院”,減少了邊界,進而可以在安全域的邊界和內部部署防火墻、入侵檢測系統的網絡探頭、異常流量檢測和過濾設備、網絡安全管控平臺的采集設備、防病毒系統的客戶端等基礎安全技術防護手段,集中部署基礎安全服務設施,對不同業務系統、不同的安全子域進行防護,共享其提供的安全服務。分等級防護根據煙草行業信息安全等級保護要求,對不同的數據業務系統、不同的安全子域,按照其保護等級進行相應的防護。對于各系統共享的邊界按“就高不就低”的原則進行防護。縱深防護從外部網絡到核心生產域,以及沿用戶(或其他系統)訪問(或入侵)系統的數據流形成縱深的安全防護體系,對關鍵的信息資產進行有效保護。
2.2系統安全防護
為適應安全防護需求,統一、規范和提升網絡和業務的安全防護水平,安徽中煙制定了由安全域劃分和邊界整合、設備自身安全、基礎安全技術防護手段、安全運行管理平臺四層構成的安全技術防護體系架構。其中,安全域劃分和邊界整合是防護體系架構的基礎。
2.2.1設備自身安全功能和配置一旦確定了設備所在的安全域,就可以根據其落入的安全域防護策略對設備進行安全功能設置和策略部署。針對設備的安全配置,安徽中煙后期會制定《安徽中煙設備安全功能和配置系列規范》提供指導。
2.2.2基礎安全技術防護手段業務系統的安全防護應以安全域劃分和邊界整合為基礎,通過部署防火墻、入侵檢測、防病毒、異常流量檢測和過濾、網絡安全管控平臺等5類通用的基礎安全技術防護手段進行防護。在通用手段的基礎上,還可根據業務系統面臨的威脅種類和特點部署專用的基礎安全技術防護手段,如網頁防篡改、垃圾郵件過濾手段等。
防火墻部署防火墻要部署在各種互聯邊界之處:
–在互聯網接口區和互聯網的邊界必須部署防火墻;
–在核心交換區部署防火墻防護互聯網接口區、內部互聯接口區和核心生產區的邊界;
–在內部互聯接口區和內部網絡的邊界也需部署防火墻。考慮到內部互聯風險較互聯網低,內部互聯接口區防火墻可復用核心交換區部署的防火墻。另外,對于同一安全域內的不同安全子域,可采用路由或交換設備進行隔離和部署訪問控制策略,或者采用防火墻進行隔離并設置訪問控制策略。入侵檢測設備的部署應在互聯網接口區、內部互聯接口區必須部署入侵檢測探頭,并統一接受網管網集中部署的入侵檢測中央服務器的控制。在經濟許可或相應合理要求下,也可在核心交換區部署入侵檢測探頭,實現對系統間互訪的監控。防病毒系統的部署運行Windows操作系統的設備必須安裝防病毒客戶端,并統一接受網管網集中部署的防病毒中央控制服務器的統一管理。同時,為了提高可用性和便于防護,可在內部互聯接口區部署二級防病毒服務器。異常流量檢測和過濾可在數據業務系統互聯網接口子域的互聯網邊界防火墻外側部署異常流量檢測和過濾設備,防范和過濾來自互聯網的各類異常流量。
網絡安全管控平臺網絡安全管控平臺應部署在網管網側,但為了簡化邊界和便于防護,建議:
–在內部互聯接口區部署帳號口令采集設備以實現帳號同步等功能。
–在內部互聯接口區必須部署日志采集設備,采集業務系統各設備的操作日志。
2.2.3應用層安全防護數據業務系統應用安全防護主要是防范因業務流程、協議在設計或實現方面存在的漏洞而發生安全事件。其安全防護與系統架構、業務邏輯及其實現等系統自身的特點密切相關。安徽中煙通過參考IAARC模型,提出鑒別和認證、授權與訪問控制、內容安全、審計、代碼安全五個防護方面。
篇11
2.1局域網的安全防護
網絡工程中的局域網用途較為廣泛,需要在建立局域網的同時使用防火前對其進行安全保護,防火墻的主要功能是利用網絡隔離的方式將局域網與外部互聯網相隔離。防火墻的設置也可以說是內部網絡和外部網絡的橋梁,能夠對外部網絡中的信息進行分析、處理和篩選、過濾,防止了沒有授權的訪問直接進入到局域網,有效保證了局域網的信息資源[4]。防火墻的設置也可以是局域網和未知信任公共網絡的一個安全過渡過程。防火墻能夠根據對內部局域網絡和外部公共網絡之間進行信息監控,保證了內部網絡工作的安全性。防火墻具有雙重系統結構,這種結構具有借助兩個或者多個的信息結構為信息傳輸設備,能夠從一個數據地址發送到另一個數據地址,實現數據包的IP傳輸。防火墻的控制能夠在進行IP傳輸的過程中防止數據外泄,外部的公共互聯網通過防火墻和內部網絡進行過濾和篩選控制,當主機存在危險時,防火墻通過路由器將內部局域網和外部公共網絡相隔離。防火墻負責數據包的過濾,在過濾過程中能夠將登錄用戶進行直接連接,而不必通過服務器和局域網。在連接過程中,任何一個外部網絡程序訪問內部局域網的同時,都需要通過登錄來連接主機,而主機的防火墻設置級別最高。數據包的過濾過程中要保持主機連接的狀態,對于允許可以連接的狀態需要進行站點的安全保護,而主機在這種連接中如果認為不會產生危險時,才能夠通過防火墻將內部局域網絡連接到外部互聯網。隨著網絡和計算機的不斷發展,在網絡工程的安全建設方面還需要進一步提升建設水平,采取先進的安全網絡保護系統,從靜態和動態兩方面對網絡工程進行保護,建立起全面的網絡防御系統,提高網絡運行的安全系數,這便對網絡工程的管理和建設人員提出了更高要求,因此,網絡工程的相關人員需要對網絡進行不斷的學習,借鑒國外的安全保護措施,建立起能夠提升效率的網絡安全運行機制,并對此機制進行不斷的完善,使網絡傳輸能夠更加的安全可靠[5]。
篇12
1995年,光明日報率先采用了新聞采編軟件,中國媒體開始了“告別紙筆”的第二次電子化革命。在這次革命中,計算機網絡走出了照排車間,并且隨著網絡的發展逐步深入到整個媒體企業中。編輯、記者的工作甚至是生活的角角落落都遍布著計算機網絡的痕跡,而更多的稿件和圖片,也從紙面慢慢轉移到了基于計算機網絡的采編系統中。更重要的是,網絡和信息技術的不斷發展以及其應用的不斷深化,直接導致媒體工作人員生活的電子化程度加劇,由此,新聞媒體采編系統的網絡安全問題成了一個不容忽視的主要問題。
1 新聞媒體采編系統的復雜性
相對于一般組織中的網絡而言,新聞媒體中的采編網絡明顯更為復雜。這種復雜性來源于多個方面,這不僅僅是技術的進步帶給網絡環境更多的選擇,而是新聞媒體行業以及媒體工作人員自身的屬性,成為了這種復雜性的一個重要因素。
首先,媒體工作是社會上和文字接觸最多的工作之一,這種工作性質從客觀上要求著計算機的出現和廣泛深入地使用,而在使用的過程中,不可避免的錯誤和開放性的態度都使得媒體組織內部的網絡危機重重。同時新聞媒體這一行業作為一個對時間要求相對更為快捷的行業,必然要求網絡的深入使用,這不僅僅是科技步伐的推動,也不僅僅是工作便捷的要求,而更多是這個行業的要求。
其次,媒體行業的工作環境不同于其他行業,這個行業從業人員普遍有著較高的文化素質,因而對于新鮮的技術有著較好的適應能力。這樣的情況雖然推進了媒體行業電子化進程,但是也導致電子化進程步伐的不統一。在新聞媒體采編系統中,各個時期各個階段出現的多種軟硬件并存在同一個體系之中,加劇了網絡安全工作的難度。
此外,新聞媒體采編系統存在典型的多接口現象。目前由于移動技術的逐漸興起,記者對新聞的采集和稿件的傳遞也更為靈活機動。為了工作的順利開展,新聞媒體采編系統通常設有較多的訪問形式,其中不僅僅包括網內訪問,也包括網外的遠程訪問,不僅僅存在在線訪問形式,移動的訪問形式也處于增加狀態。
2 新聞媒體采編系統的網絡安全切入點
從上面的分析中不難看出,新聞媒體采編系統的開放性已經成了整個系統的安全大敵。就目前的情況看,通常新聞媒體采編系統的硬件狀況都不錯,設備更新相對較為及時。有關部門領導已經能夠明確認識到網絡對于媒體行業發展的重要推動作用,并且也能夠積極支持引進采用一些新的設備,保持網絡的正常高效運作。另一方面,目前眾多新聞媒體都擁有自己的新聞網站,新聞媒體采編系統內部的網絡安全,從一定層面上直接危及到對外網站的安全,進一步影響到媒體的整體形象。因此從總體上看,媒體組織內部對于網絡安全始終維持著一個相對支持的積極態度。
在這樣的環境之下,新聞媒體采編系統的網絡安全工作可以從以下幾個方面著手:
1)加強基礎建設
對于網絡系統而言,軟硬件都可以被稱作是基礎建設,而只有涉及到人員的相關工作才能算得上是高層建設。
目前的新聞媒體采編系統從網絡硬件設備上都相對比較先進,通常的硬件防火墻也都已經配備,因此應該將重點放在軟件維護上。通常而言,軟件升級的原因就在于存在可能會被攻擊的漏洞,對此,應當注意局域網內部的各種軟件,確保其能夠得到及時升級。從安全軟件,包括軟件防火墻和殺毒,到操作系統,再到常見的應用軟件,每個軟件都應當及時更新。除了使用必要的更新檢測軟件以外,手動更新和對新型攻擊的評測分析閱讀也是網絡安全維護工作的重點。
2)提升技術力量
在軟硬件環境達到一個基本安全的基礎之上,有必要針對新聞媒體采編系統自身的特點來制定一些安全防范檢測手段。
對于新聞媒體采編系統而言,通常擁有強大的數據庫和局域網內部的共享性。對此,可以考慮在網絡內部設定一些流量監測以及訪問檢測軟件,并且可以通過局域網內部多臺服務器甚至是普通終端對該工作進行分擔,從而加強對于整個網絡環境的管理。其次,數據庫也是一個大問題,新聞媒體采編系統對于數據庫的依賴從來超過我們平常的想象。因此,數據庫的更新是一個問題,而更重要的是對于一些安全隱患的管理,例如對于“sa”賬戶的管理就是一個重點。而這些管理技巧歸根結底還是要有賴于網絡安全管理人員的學習能力。
此外,新聞媒體采編系統網絡的VLAN 盡可能按各職能部門劃分,這將極大地有利于進行網絡管理。每個VLAN中終端數盡量不要超過200,過于龐大的終端只會加重VLAN的負載并加劇復雜程度,影響網絡隱患排查。采編所在VLAN 與其他VLAN之間盡量追加訪問控制列表,嚴格控制訪問權限,必要時將端口與客戶端電腦的Mac地址綁定。
3)強化人員管理
人員的管理是整個網絡環境中最難于控制的一個方面,也是十分重要的一個方面。目前的網絡環境,很多安全隱患都來源于人本身,這已經成了一個不爭的事實。
在對人員管理的工作中,首先應當注意訪問權限的控制。將整個媒體組織中的人員進行劃分,并且分配以明確的身份,不僅僅能夠有效提升網絡的安全程度,對于新聞媒體采編系統的正確使用也大有裨益。其次,控制人員行為也是很重要的一個方面。雖然這一方面做起來有些難度,但是如果可以獲取流量數據以及訪問足跡等,就能夠起到對組織成員威懾的作用。這樣做可以有效限制組織內成員的行為,降低訪問非法網頁的可能性,提升網絡安全性能。此外,隨著移動設備的增加,很多人員使用移動設備進行內部網絡和互聯網之間的訪問。這樣造成的一個問題就是移動設備上本身的軟件漏洞可能會招致安全隱患,因此,網絡安全人員應當面相全體人員提供必要的技術支持,幫助他們維持終端健康,只有這樣,才能真正保護新聞媒體采編系統的安全。
新聞媒體采編系統的網絡安全不僅僅是網絡安全人員的職責,它是事關媒體組織命脈的、每個媒體工作人員的延伸性職責。因此,每個媒體工作人員都應當引起充分重視,從自身做起對這個大的網絡環境加以維護,只有這樣才能做到順暢工作,有效提升工作效率的同時,也是為自己節省時間。
篇13
(2)病毒的破壞。病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、使網絡效率下降、甚至造成計算機和網絡系統的癱瘓,是影響校園網絡安全的主要因素。
(3)來自網絡外部的入侵、攻擊等惡意破壞行為。校園網與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。
(4)校園網內部的攻擊。
2Honeynet技術
在校園網網絡安全中的應用根據學院實際情況和校園網總體設計需求,為了更好地防御校園網中的各類網絡木馬、病毒(僵尸網絡、網絡釣魚等),部署了Honeynet系統,但由于整個校園內部網絡威脅較為嚴重,各種病毒較為猖獗,校園網常被病毒感染,因此部署的Honeynet系統主要是監控校園網內部的網絡攻擊。為了更好地采集信息,充分發揮Honeynet系統在校園網安全防護中的主動防御功能,將Honeynet系統放到黑客容易訪問到的地方。根據實際校園環境的要求,筆者部署一個帶有不同操作系統的Honeynet,這個蜜網存在著各種各樣的漏洞,以吸引攻擊者進行有效的訪問,從而獲取訪問信息的和其日志記錄并加以深入分析和研究。通過使用虛擬軟件(VMWare)和物理計算機建立一個混合虛擬Honeynet,從而減少了物理計算機的需要。宿主主機的二個網卡設置:一個是設置作為虛擬控制機,并通過虛擬網橋連接Honeywall,另一個設置連接校園內網路由器。這里把eth1的IP設為192.168.1.2,而把eth2的IP設為192.168.1.3,這樣管理機和虛擬Honeypot就不在同一個網段上,保證了管理機的安全性。在本次Honeynet系統中所有主機都可以通過ssh或MYSQL連通”firewall”;所有主機都可以連接到Honeynet系統;Honeynet允許連接到任意主機;除次之外,所有的通信都被攔截,同時防火墻允許通過的數據均被記錄。當完成對虛擬Honeynet系統的配置后,需要對其進行測試,看是否能夠正常運行,首先測試虛擬機蜜罐和宿主主機之間的網絡連接,包括宿主主機和蜜罐上通過互相ping對方的IP地址測試網絡連通性,經測試網絡連通性正常。在Honeynet網關上監聽ICMPping包是否通過外網口和內網口。tcpdump-ieth0icmptcpdump-ieth1icmp通過測試后,說明虛擬機蜜罐和外部網絡之間的網絡連接(通過Honeynet網關eth0和eth1所構成的網橋)沒有問題。對Honeynet網關的遠程管理進行測試,需要使用SecureCRT軟件,遠程ssh連接Honeynet網關管理口,經過測試表示該虛擬Honeynet可用。
