引論:我們為您整理了13篇網絡安全防護方法范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
Network Security Professional Teaching Method Reform and Discussion
LIN Fei1,ZHANG Qian2,YE Ya-lin2
(1.Jinan Military Region, Jinan 264000,China;2 .Xi’an Communications Institute , Xi’an 710106,China)
Abstract:Network security professional is a theory and practice,closely integrated courses,not only emphasize the mastery of the technical principles of network security, and pay more attention to the improvement of students’practical ability. The paper analyzes the main problems in the existing network security professional teaching; propose a three stages of network security professional teaching method of basic experiment teaching; research, innovative practice teaching; innovative practice teaching. It is very great significance to develop practical high-quality professional telent.
Key words: network security; practice teaching; teaching method
網絡安全專業是一門理論與實踐并重的課程,該文針對目前多數院校現行網絡安全專業實踐課教學過程中存在的不足,結合多年網絡安全防護專業實踐課教學的體會,提出實踐課教學改革思路。將本課程的教學以“以理論為中心”轉化為“以實踐為中心”,將學生從課堂帶到實驗室,使其在實踐中深入理解、掌握和升華所學到的相關知識,使網絡安全防護專業學生具備較強實踐能力、任職能力和綜合能力,對網絡安全防護專業實踐課教學改革的對策作以探討。
1網絡安全防護專業教學存在的問題
網絡安全防護專業是一門實踐性很強的課程。實踐教學不僅僅是驗證和理解本學科的基本理論,也是培養學生的思維和創新能力。目前,多數院校在網絡安全防護專業教學過程中,實踐課教學環節比較薄弱,使得培養出來的學生實踐能力、創新能力和解決實際問題能力不強。網絡安全防護專業實踐教學普遍存在一些問題。
1.1理論教學為主,實踐教學為輔
現代實踐教學的主要目的是掌握實踐技能,但是很多高校在“理論+實踐”教學過程中,實踐教學環節設置不合理,仍是采用理論教學為主、實踐教學為輔的教學模式。這種模式使得學生學習專業技術知識掌握不好,學生難以全面透徹的理解相關專業知識,而且學生缺乏學習的主動性和積極性。如果教學中只是注重理論教學,那么學生畢業后很難滿足實際工作需求,很難在短時間內勝任網絡安全防護專業相關的工作。
1.2實踐教學內容設置單一,方法陳舊
大部分傳統網絡安全專業課的實驗設置,雖然項目比較繁多,但內容獨立、不同實驗之間缺乏系統性和靈活性。網絡安全專業實驗課不僅要求學生要有理論基礎知識,更要有一定的實踐操作能力。但很多時候都是老師在授課過程中進行相關的實驗演示,以老師為主導,老師是實驗的創作者,是主動施教者,這種方法使得在網絡安全防護專業實踐教學過程中,始終學生是被動者,極大阻礙了開發學生實踐動手能力的創造性和主動性,極大減弱了網絡安全防護專業教學的效果。
1.3實踐課的考核形式不合理
實踐教學考核方式不是很完備,主要表現在考核內容的設置缺乏靈活性,沒有很好的和實際工作中的具體問題結合起來。通過對近幾年各個院校網絡安全防護相關專業的考核方式、結果的分析,以及對相關專業的學生和用人單位的意見反饋的調查,表明目前網絡安全防護相關專業的考核方式仍是以理論考核為主,實踐操作考核比例較少,設置不合理,不能全面體現學員的實踐操作能力。
2網絡安全專業教學改革的思路與方法
實踐教學作為院校教學體系的一個重要教學環節,與理論教學相比則具有直觀性、實踐性、綜合性、啟發性和探索性的特點[1],不僅能使學生理解網絡安全防護專業的基本理論,還能提高學生分析和解決實際問題的能力。針對網絡安全防護專業學生的實際情況,將學生實踐能力劃分為基本能力、綜合能力和創新自主能力等不同層次。根據不同層次設置基礎實驗教學、綜合、設計性實踐教學和創新實踐教學三個階段,進行網絡安全防護專業實踐能力的培養。
2.1基礎性實驗教學
網絡安全專業實踐教學基本內容為依據,在原有課程實踐的基礎上,結合實踐教學的認知規律,重新整合重組。促進學員對基本原理的理解和基本技能的掌握。可劃分為不同的教學模塊,并引進相關領域新的實踐技術。網絡安全專業實驗教學內容包括密碼與安全協議、網絡攻擊、網絡安全防護等基礎性實驗。因此,在原有課程實驗的基礎上,將知識體系結構重新整合成圍繞一個專業問題或知識點為一個模塊的設計方式,可以單獨學習其中一個或多個內容,主要以驗證方式進行實驗,采取統一上機統一指導。
2.2綜合性、設計性實踐教學
在學生完成基礎性實踐的基礎上,進行綜合知識的技能訓練,培養學生基本技能的綜合分析能力,重視基本技能的綜合和擴展,網絡安全防護專業實踐教學除了包含基礎性實驗,還包含了綜合案例的方案過程設計、設備的運行和維護、問題的判斷與解決等更高一級的內容。綜合性、設計性實踐教學是基于“任務驅動”的方式采取由淺入深、由簡單到復雜、由小實驗到綜合型實驗的遞進方式設計實驗。
2.3創新性實踐教學
在綜合性、設計性實踐教學的基礎上,以培養學生的創新能力和自主研究能力為目的,借助網絡安全防護相關專業的技術各類競賽平臺,激發網絡安全防護專業學生從被動接受知識變為主動探求知識的學習熱情,設計相應的實踐項目,突出學生獨立設立實踐和獨立進行實踐操作,強化學生“探究式”學習能力和培養科學思維能力[2]。
3小結
該文以網絡安全防護專業實踐教學目標為指導,深入分析現有課程存在的不足,積極探索構建適合網絡安全防護專業的實踐課程,設計了包含網絡安全防護專業的基礎實驗教學、綜合性、設計性實踐教學、創新性實踐教學三個環節的實踐教學方法。課程設計以實現學生快速提升解決實際問題的能力、激發學生自主學習熱情為目標,使網絡安全防護專業學生具備為信息網絡提供安全可靠的等級防護、有效防御各類網絡攻擊、快速處置各類網絡安全事件的能力,真正滿足信息系統安全防護能力建設對人才的要求。
篇2
網絡信息安全問題自網絡技術及其應用系統誕生以來,就一直是存在于網絡建設過程當中,給網絡系統使用者與建設者帶來嚴峻挑戰的一個問題。相關工作人員需要認識到在網絡技術與應用系統不斷完善發展的過程中,網絡信息安全問題是始終存在的,并且它會伴隨著網絡功能的系統化、規模化、詳盡化而始終處在變化發展的過程當中。據此,在網絡應用系統技術蓬勃發展的當今社會,正確認識并處理好網絡信息安全防護的相關技術工作,已成為當下相關工作人員最亟待解決的問題之一。
1 網絡信息安全防護的現狀及發展趨勢分析
就我國而言,在全球經濟一體化進程不斷加劇與計算機網絡技術蓬勃發展的推動作用下,傳統模式下的網絡信息安全防護思想再也無法適應新時期網絡先進技術與經濟社會安全需求的發展要求。我們需要認識到盡快建立起一個合理、先進、符合現代網絡科學技術發展要求的網絡信息安全防護原則,并在此基礎上循序漸進的展開網絡信息安全的研究工作,勢必或已經會成為當前網絡信息安全相關工作人員的工作重心與中心。
1)網絡信息安全的新形勢研究。筆者查閱了大量相關資源,對近些年來我國在網絡信息安全工作中所遇到的新變化、新形勢、新發展規律進行了初步認識與總結,認為當前網絡信息安全新形勢當中的“新”可以體現在以下幾個方面。
① 網絡信息攻擊問題已成為網絡信息安全環節所面臨的首要問題。在當前的計算機網絡信息系統中各種盜號、釣魚、欺詐網頁或是病毒十分盛行。可以說,網絡信息攻擊問題正在走向與經濟利益相關的發展方向。
② 傳統網絡時代中以惡作劇、技術炫耀為目的發起的病毒攻擊數量和規模都呈現出逐年下降的趨勢,這些傳統意義上的網絡信息安全問題已非新形勢下計算機網絡信息系統的主流問題。
③ 工業化生產病毒正成為當前計算機網絡系統信息安全的發展趨勢,各種以高端無線技術為依托的病毒軟件、間諜程序攻占了當前的網絡信息安全結構,但相應的反病毒、反間諜技術發展卻始終不夠成熟,整個網絡信息安全防護工作陷入了較為尷尬的發展局面。
2)網絡信息安全防護工作的發展趨勢分析。針對當前經濟形勢下計算機網絡乃至整個網絡信息系統呈現出的新形勢分析,網絡信息的安全防護工作也是必要作出相應的變革,其研究工作不僅需要涉及到對各種病毒、間諜程序的有效控制,還需要實現整個計算機網絡系統高效的響應與恢復功能。具體而言,網絡信息安全防護正面臨著以下幾個方面的新發展趨勢。
① 網絡信息安全防護的地位正發生著轉變。網絡信息安全在由單機時代向互聯網時代逐步過渡的過程中開始受到人們日益廣泛的關注。計算機網絡系統與其相關技術的蓬勃發展也使得網絡信息安全防護由傳統意義上的“有益補充”輔助地位向著“不可或缺”的主體地位發生轉變。
② 網絡信息安全防護的技術正發生著轉變。縱觀計算機網絡技術及其應用系統的發展歷程,我們不難發現網絡信息安全防護對于整個網絡系統中出現的額安全問題解決思路由傳統的單點防護向著綜合防護轉變。在這一過程中,統一威脅管理成為了當前大部分相關部分解決信息安全問題所采用的關鍵技術之一。但這一技術當中存在的硬件系統性能發展不夠完善、邏輯協同問題等也使得這種安全防護技術面臨著前所未有的挑戰。
2 基于網絡信息安全防護新思想及理論的相關技術方法研究
筆者以多層次彈性閉合結構及無差異表示未知因素的基本思想,在預應式及周密性原則的作用下,提出了一種對解決網絡信息安全問題而言極為有效的新技術方法。大量的實踐研究結果表明,將這種網絡信息安全防護理論及相關方法應用在計算機網絡技術及相關應用系統的安全實踐工作中,能夠取得極為深遠且重要的意義。
這種基于多核MIPs64硬件網關的設計方法一般來說是由采用MIPs64型號安全處理犀利的多核處理器加上資源調度系統、控制系統以及通信接口三個模塊共同構成的。在這一系統中,核心處理器不僅具備了高集成化基礎下的系統64位解決方案,同時還能夠在硬件網關加速器與多核技術的加速作用下,達到系統CPU處理頻率與網絡信息安全防護效率的提升。
3 網絡信息安全防護理論與方法的發展展望
網絡信息安全防護理論與方法從本質上來說是網絡安全實踐工作及經驗總結的構成部分,它從網絡安全實踐中分離出來并最終作用于網絡安全防護工作的踐行。其理論與方法勢必會隨著網絡信息安全威脅對象與威脅范圍的變化而發生相應的變化。具體而言,可以概括為以下幾個方面。
1)網絡信息安全防護的安全評估范圍發展展望。在計算機網絡技術及其應用系統所處安全形勢的變化過程中,傳統意義上僅僅依靠硬件系統改造和技術升級來對網絡信息安全問題進行控制與處理的思想也無法適應當前網絡結構的高安全需求。這也就意味著安全評估工作需要從單純的安全環境問題處理向著安全環境與系統安全應用能力兼顧的復雜性系統結構方面發展,逐步上升到硬件系統處理與軟件系統處理并重的地位。
2)網絡信息安全防護的應用方法發展展望。統一威脅管理系統作為當前應用最為廣泛的網絡信息安全防護技術需要向著提供綜合性安全功能的方向發展,將病毒入侵功能與檢測功能共同融入到網絡系統防火墻的建設工作當中,使其能夠發揮在防御網絡信息安全混合型攻擊問題中的重要功能。
4 結束語
伴隨著現代科學技術的發展與經濟社會不斷進步,人民日益增長的物質與精神文化需求對新時期的網絡信息安全防護工作提出了更為嚴格的要求。本文對新時期網絡信息安全防護的理論與方法做出了簡要分析與說明,希望為今后相關研究工作的開展提供一定的意見與建議。
參考文獻:
[1]陳仕杰,加速成長的X86嵌入式系統(上)搶攻嵌入式市場的X86處理器雙雄AMD vs.VIA.[J].電子與電腦,2007(03).
篇3
1、終端安全防護存在的主要問題
目前,計算機網絡終端安全防護存在的主要問題有:
(1)終端存在安全隱患
一方面,受國家電子信息產業叢礎的制約,計算機網絡終端的微處理器、操作系統和基礎軟件都使用國外產品,由于不掌握核心技術,這些終端本身不可避免地存在著安全漏洞,同時也無法排除存在陷阱、后門等隱患的可能性。由于沒有及時升級操作系統或應用軟件,使些終端長期存在著安全漏洞,從而給蠕蟲病毒、木馬程序和黑客軟件帶來了可乘之機。
(2)終端入網無安全審查
一些網絡對終端接入不進行安全審查,即不檢查用戶是否為合法用戶,不檢查終端是否為合法的授權終端、是否帶有病毒等惡意代碼、是否存在著安全漏洞。一些合法的授權終端被用戶隨意更換整機或部分硬件(如硬盤、網卡等),或使用盜用的IP地址和網卡地址后就成為“非授權終端”。個別不懷好意的用戶利用這些“非授權終端”入網后(“違規接入”),就可越權訪問網絡或發起網絡攻擊。
(3)終端操作無安全管控
一些網絡終端對用戶上網操作行為無安全監控和日志審計。這樣就使用戶在終端上能隨意安裝、運行可能帶有病毒等惡意代碼的非授權軟件;或者故意在終端上運行惡意軟件,傳播惡意代碼、實施破壞或竊密;或者在網上或傳播不法言論;或者使用BT等P2P軟件惡意占用帶寬。由于無日志審計,對用戶的這些非法行為,事后都無法追究。
2、終端安全防護模型
借鑒人們己提出的PPDR網絡安全模型的思想,針對終端安全防護存在的問題,我們提出如圖1所示的終端安全防護模型,該模型將用戶通過終端上網的安全防護過程分為安全認證、安全檢查、安全修復、安全監控和安全處置等五個環節。根據該模型,終端入網時需進行身份認證和安全檢查,通過后才能正常入網,否則要對終端進行安全修復;在終端的上網過程中還要進行行為監控,發現終端安全事件要及時進行處置。這五個環節在安全策略的指導下,形成一個完整的、自我完善、循環往復的動態閉環自適應過程,對終端上網過程進行全程安全管控。
(1)安全認證
對終端身份和用戶身份進行安全認證,即只有合法的用戶、使用指定的終端、在規定的時間和地點才能入網,以防止非法用戶或非法終端入網。終端身份認證就是要驗證終端的IP地址、網卡地址和接入地點(交換機及端日號),用戶身份認證就是要驗證用戶的用戶名和密碼,或驗證用戶的指紋、USBKEY等標識。
(2)安全檢查
檢查入網終端是否滿足規定的安全要求,包括終端是否存在著安全漏洞?是否存在病毒等惡意軟件?是否安裝了防病毒軟件和進行了升級?是否打上了最新的操作系統和應用軟件的補丁是否具有合法的軟、硬件配置(允許或者禁止某些程序的安裝)?是否正確執行了指定的安全策略?
(3)安全修復
如果安全檢查不通過,則需對終端進行安全修復,即將終端隔離到相應的修復區進行修復,如安裝或升級防病毒軟件,打上最新的操作系統補丁,執行指定的安全策略。只有修復成功后,終端才能正常地訪問網絡。
(4)安全監控
對終端的操作行為進行動態監測、記錄(日志)、審計,發現安全事件及時報警。安全監控包括:終端軟、硬件資產管理,終端運行狀態監控,用戶和終端操作行為監管,操作日志、管理日志、報警日志的審計分析。
(5)安全處置
當終端發生安全事件后,應根據安全策略進行相應的處置,只要有警告、通報、隔離和阻斷等。警告指向問題終端發出警示性消息,通報指向全網所有終端發出警示性消息,隔離指將問題終端隔離在修復區內,阻斷指斷開終端與網絡的連接,不允許其訪問任何網絡。
3、終端安全防護方法
根據終端安全防護模型,我們認為,一可通過正確的終端安全設置和相應的終端安全防護工具或系統來保障終端安全。
(1)安全設置
設置強壯口令。所有終端必須設置強壯安全的開機、屏幕保護和系統登錄三級口令。
設置木地安全策略。關閉默認“文件和打印共享”,關閉移動存儲設備(U盤、硬盤和光盤)的自動運行功能,禁用不必要的外設端口(如無線網口)。
(2)安全工具
終端需安裝防病毒、防火墻軟件和補丁程序,開啟實時監控功能,并及時更新(每周至少升級兩次)。
可通過在防病毒服務器中安裝網絡防病毒服務器軟件,在所有終端中安裝網絡防病毒客戶端軟件的方法來實現終端防病毒的統一管理,阻止病毒在網絡內的大肆傳播。終端需配置單機防火墻軟件,用于控制從網絡對終端系統的訪問,監控網絡訪問,記錄、統計網絡訪問數據,抵御對終端的探測和攻擊。
要經常為終端操作系統和應用軟件打安全補丁。聯接互聯網的終端要開啟自動更新功能,不聯接互聯網的終端也要通過人工手段打安全補丁。一些終端漏洞掃描與修復工具能主動掃描終端安全漏洞,并通過互聯網下載補丁。還可根據需要安裝終端數據加密工具、數據粉碎工具等。
(3)準入控制
準入控制只讓安全的終端和用戶入網,而將不安全的終端隔離進行修復,與傳統的終端安全防護技術如防病毒、防火墻技術相結合,能將被動防御變為主動防御,阻止網常用的網絡準入控制技術主要有EAPOL技術、EAPOU技術等,EAPOL技術在網絡接入層進行準入控制,而EAPOU技術則是在網絡匯聚層或核心層進行準入控制。
準入控制能實現前述安全模型中的安全認證、安全檢查和安全修復功能:(l)安全認證。對終端的IP地址、MAC地址、所連接交換機的IP地址和端口號、用戶名和口令進行綁定驗證,通過后才允許接入網絡,防止非法終端和非法用戶接入網絡。(2)安全檢查。對終端操作系統補丁、指定軟件(及版木)、防病毒軟件的狀態進行安全評估,使只有符合安全標準(如安裝了最新的操作系統補丁、及時升級了最新的病毒特征庫等)的終端才準許訪問網絡。(3)安全修復。如果終端沒有安裝最新的操作系統補丁和升級了最新的病毒特征庫,那么系統將自動把這個終端隔離到修復區進行補丁和病毒特征庫的更新,當終端修復完成后才準許訪問網絡。
(4)安全監控
安全監控對終端軟硬件資產,用戶操作行為、終端設備接口、網絡行為、進程和軟件使用行為等進行多角度、全方位的集中管控,實現對異常、可疑和違規行為的發現、報警、記錄、阻斷和審計,并與入侵檢測系統(IDS)聯動,以達到防止惡意攻擊和保護敏感信息的目的。
結束語
我們認為,應將終端安全防護作為整個網絡安全防護的重點。只有對終端上網的全過程進行全程管控,并做好終端安全設置、防病毒、防黑客、打補丁、準入控制和安全監控工作,才能從源頭上、根木上保障網絡信息安全。
篇4
隨著信息技術的飛速發展,特別是進入新世紀以來,我國信息化基礎設施普及已達到較高水平,但應用深度有待進一步建設。從《第35次中國互聯網絡發展狀況統計報告》的一組數據顯示出,截至2014年12月,全國使用計算機辦公的企業比例為90.4%,截至2014年12月,全國使用互聯網辦公的企業比例為78.7%。近些年,我國企業在辦公中使用計算機的比例基本保持在90%左右的水平上,互聯網的普及率也保持在80%左右,在使用互聯網辦公的企業中,固定寬帶的接入率也連續多年超過95% 。基礎設施普及工作已基本完成,但根據企業開展互聯網應用的實際情況來看,仍存在很大的提升空間。
一方面,是采取提升內部運營效率措施的企業比例較低,原因之一在于企業的互聯網應用意識不足,之二在于內部信息化改造與傳統業務流程的契合度較低,難以實現真正互聯網化,之三在于軟硬件和人力成本較高,多數小微企業難以承受;另一方面,營銷推廣、電子商務等外部運營方面開展互聯網活動的企業比例較低,且在實際應用容易受限于傳統的經營理念,照搬傳統方法。
1.2 企業網絡應用現狀
根據最新的《第35次中國互聯網絡發展狀況統計報告》中的數據顯示,企業開展的互聯網應用種類較為豐富,基本涵蓋了企業經營的各個環節。電子郵件作為最基本的互聯網溝通類應用,普及率最高,達83.0%;互聯網信息類應用也較為普遍,各項應用的普及率的都超過50%;而在商務服務類和內部支撐類應用中,除網上銀行、與政府機構互動、網絡招聘的普及率較高以外,其他應用均不及50%。我國大部分企業尚未開展全面深入的互聯網建設,仍停留在基礎應用水平上。
由于目前我國網民數量已經突破6億,在人們的日常工作、學習中網絡已經扮演了不可替代的角色,因此網絡安全問題就凸顯出來,2014年,總體網民中有46.3%的網民遭遇過網絡安全問題,我國個人互聯網使用的安全狀況不容樂觀。在安全事件中,電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重,分別達到26.7%和25.9%,在網上遭遇到消費欺詐比例為12.6%。
1.3 網絡安全防護現狀
當前企業網絡中已部署的基本的網絡安全設備如防火墻等,但網絡使用安全意識不高且網絡安全是一個動態維護的過程,企業面臨的內外部安全威脅日益巨增,整體安全形勢不容樂觀。在網絡安全威脅中,對于來著企業內網的安全威脅特別難以防范,傳統的安全防護措施,只能面對外部威脅,對內不具備防護能力。
高校在校園網信息化過程中數字化校園就是一典型例子,數字化校園網可以方便學生使用各類網絡學習資源。但也有部分學生在好奇心的驅使下,往往會在網絡中進行試探性的病毒傳播、網絡攻擊等等。也有部分學生以獲得學院某臺服務器或者網站的控制權來顯示其在黑客技術水平。因此,在內網中維護網絡安全,保護信息安全,就顯得更加重要和緊迫了。
2 內網面臨的網絡威脅
筆者在高校內網信息化建設過程中,通過多年的研究調查發現,學生的攻擊往往是盲目地,且由于部分高校內網管理較混亂,學生可以繞過一些身份認證等安全檢測,進入校園核心網絡。學生的這些行為,一般不存在惡意性質,也不會進行蓄意破壞,但這就向我們提出了警示,一旦有不法分子輕松突破防線,其帶來的危害也是災難性的。
筆者以本單位學生通過校園網絡攻擊校園網服務器的例子,說明其網絡攻擊有時往往非常容易,其造成的危害卻非常之大。
2.1 突破內網,尋找突破口
學生通過學院內網IP地址管理漏洞,輕松接入校園內部辦公網絡,并獲得內網地址網段劃分情況。通過流行黑客軟件掃描學院內網獲得內網安全薄弱處,檢測出共青團委員會 http://10.0.1.30:90/該網頁存在漏洞。進一步利用路徑檢測工具進行掃描,獲得了后臺地址http://10.0.1.30:90/wtgy/login.php。
2.2 一擊得手
學生在獲得了正確的管理地址后,只是進行了簡單的嘗試就取得了戰果,通過弱口令掃描發現系統存在弱口令,于是嘗試了如admin admin admin admin888 admin 123456等,居然順利進入后臺。
然后利用后臺的附件管理里面的功能,添加了php格式,從而實現了上傳。得到了內網的webshell(如圖1)。
2.3 再接再厲,權限提升
學生不斷嘗試,測試了asp和aspx 的支持情況,答案是支持asp,不支持aspx的。自然就上傳了 asp webshell,可以實現跨目錄訪問。訪問權限進一步提升,如圖,目標主機D盤內容一覽無余,其中不乏一些關鍵目錄信息就展現在攻擊者眼前(如圖2):
2.4 獲得系統管理員權限,完全掌控目標主機服務器
查看系統所支持的組件,獲取目標服務器系統關鍵信息。可以看到ws這個組件沒有被禁用,從而上傳cmd,以獲得終極權限系統管理員權限。首先想到的是利用webshell中的上傳進行,但是權限問題,webshell上傳均失敗,所以轉向ftp上傳(同樣存在弱口令),從而繞過了限制,上傳了cmd.exe。
實驗性的執行命令Systeminfo查看系統信息命令,結果可以正常運行,終極權限獲得(如圖3):
可以看出,學生攻擊學院內網的手段并不高明,其用到的黑客攻擊工具,網絡上也都能隨意下載到,但其通過自己的仔細琢磨,充分利用了內網管理的漏洞,獲得了關鍵信息。好在這是實驗性,未造成實質性破壞。內網管理員也及時發現了問題,并對目標服務器進行了安全加固工作。
但我們不難發現,其實網絡安全的程度存在著“木桶原理”的問題,也就是網絡最薄弱的環節,決定著內網的安全程度。在現實中往往由于管理者的疏忽或者使用者貪圖一時方便的原因,給網絡中潛在的攻擊者留下致命的后門。3 建立信息防泄露的內網訪問控制模型
針對上述服務器網絡攻擊,最有效的方法就是對用戶訪問進行準入控制,隔離潛在威脅用戶。例如,在內網中對所有用戶進行身份認證,分配相應的網絡訪問權限。在內網安全架構中,訪問控制是非常重要的一環,其承擔著與后臺策略決策系統交互,決定終端對網絡訪問權限發分配。目前主要使用的訪問控制技術主要有:
3.1 802.1X 訪問控制技術
802.1X 是一個二層協議,需要接入層交換機支持。在終端接入時,端口缺省只打開802.1X的認證通道,終端通過802.1X認證之后,交換機端口才打開網絡通信通道。其優點是:在終端接入網絡時就進行準入控制,控制力度強,已經定義善的協議標準。
其缺點是:對以網交換機技術要求高,必須支持802.1X認證,配置過程比較復雜,需要考慮多個設備之間的兼容性,交換機下可能串接HUB,交換機可能對一個端口上的多臺PC 當成一個狀態處理,存在訪問控制漏洞。
3.2 ARP spoofing訪問控制技術
在每個局域網上安裝一個ARP spoofing,對終端發起ARP 請求代替路由網關回ARP spoofing,從而使其他終端的網絡流量必須經過。在這個ARP spoofing上進行準入控制。其優點是:ARP適用于任何IP 網絡,并且不需要改動網絡和主機配置,易于安裝和配置。其缺點是:類似DHCP控制,終端可以通過配置靜態ARP表,來繞過準入控制體系。此外,終端安全軟件和網絡設備可能會將ARP spoofing當成惡意軟件處理。
3.3 DNS重定向訪問控制技術
在DNS重定向機制中,將終端的所有DNS解析請求全部指定到一個固定的服務器IP地址。其優點是:類似DHCP管理和ARP spoofing,適用于任何適用DNS協議的網絡,易于安裝和部署,支持WEB portal頁面,可以通過DNS 重定向,將終端的HTML 請求重定向到WEB認證和安全檢查頁面。其缺點是:類似DHCP控制和ARP spoofing,終端可以通過不使用DNS 協議來繞開準入控制限制(例如:使用靜態HOSTS文件)。
以上是內網安全設備主流使用的準入控制方式,每種方式都具有其特定的優缺點,一般來說每個設備都會支持兩種以上的準入控制方式。
但是,網絡管控對于網絡使用的便捷性是一對矛盾體,如果既要使用的便捷性,又要對網絡進行有效管控,這對網絡安全設備的性能提出了相當高的要求。然而,高性能的安全設備價格非常昂貴,這也是很多企業寧可暴露威脅,也不防范的原因之一。
3.4 網關準入控制——UTM(統一威脅管理)
UTM產品的設計初衷是為了中小型企業提供網絡安全防護解決方案,其低廉的價格和強大的集成功能,在企業內網中扮演著重要的角色。UTM將安全網關、終端軟件、終端策略服務器、認證控制點四位一體化部署,可以在內網中進行多點部署,從而構建出內網用戶訪問控制模型,實現全面覆蓋用戶內網每一個區域和角落。
(1)合理部署網關位置
UTM的位置本身即位于安全域邊界,由于UTM的設備性能參數,一般不建議部署在互聯網出口、服務器出口及辦公網出口等網絡核心節點,在內網訪問控制模型中,可以部署在網絡拓撲中的匯聚節點。
從安全理論的角度講,對某一區域網絡中的所有用戶進行控制(包括訪問控制、準入控制、業務控制等);同時,UTM設備的入侵防御、防病毒、外連控制等模塊可以與準入控制功能相互配合,UTM一旦發現某用戶行為違規,就可以通過內網管理系統直接斷開該用戶的所有連接。
(2)UTM優勢分析
采用UTM網關配合內網管理系統實現訪問控制,用戶只需要購買少量UTM設備,采用透明方式部署至網絡關鍵節點處,即可以實現全面的準入控制。與基于DHCP控制,ARP spoofing,DNS 劫持等準入控制相比,UTM 準入控制能力更強、更全面,終端用戶在任何情況下均無法突破或繞過準入控制。
除此以外,UTM設備還可根據終端的安全情況自動配置合適的安全策略,如在終端未滿足某些安全要求的情況下開放其訪問修復服務器的權限。
篇5
為提高護網工作組人員的安全防護能力,對不同重要系統進行分等級安全防護,從互聯網至目標系統,依次設置如下三道安全防線:
第一道防線:集團總部互聯網邊界防護、二級單位企業互聯網邊界防護。
第二道防線:廣域網邊界防護、DMZ區邊界防護。
第三道防線:目標系統安全域邊界防護、VPN。
根據三道防線現狀,梳理出主要防護內容,包括但不限于:梳理對外的互聯網應用系統,設備和安全措施,明確相關責任人,梳理網絡結構,重要的或需要重點保護的信息系統、應用系統與各服務器之間的拓撲結構,網絡安全設備及網絡防護情況, SSLVPN和IPSECVPN接入情況。集團廣域網、集團專線邊界,加強各單位集團廣域網、集團專線邊界防護措施,無線網邊界,加強對無線WIFI、藍牙等無線通信方式的管控,關閉不具備安全條件及不必要開啟的無線功能。
結合信息化資產梳理結果,攻防演習行動安全保障小組對集團信息化資產及重點下屬單位的網絡安全狀況進行安全風險評估和排查,確認薄弱環節以便進行整改加固。
二、 防守技戰法詳情
2.1 第一道防線--互聯網邊界及二級單位防護技戰法
2.1.1 安全感知防御、檢測及響應
構建從“云端、邊界、端點”+“安全感知”的防御機制。相關防護思路如下:
防御能力:是指一系列策略集、產品和服務可以用于防御攻擊。這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻,并在受影響前攔截攻擊動作。
檢測能力:用于發現那些逃過防御網絡的攻擊,該方面的關鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失。檢測能力非常關鍵,因為企業應該假設自己已處在被攻擊狀態中。
響應能力:系統一旦檢測到入侵,響應系統就開始工作,進行事件處理。響應包括緊急響應和恢復處理,恢復處理又包括系統恢復和信息恢復。
2.1.2 安全可視及治理
l 全網安全可視
結合邊界防護、安全檢測、內網檢測、管理中心、可視化平臺,基于行為和關聯分析技術,對全網的流量實現全網應用可視化,業務可視化,攻擊與可疑流量可視化,解決安全黑洞與安全洼地的問題。
l 動態感知
采用大數據、人工智能技術安全,建立了安全態勢感知平臺,為所有業務場景提供云端的威脅感知能力。通過對邊界網絡流量的全流量的感知和分析,來發現邊界威脅。通過潛伏威脅探針、安全邊界設備、上網行為感系統,對服務器或終端上面的文件、數據與通信進行安全監控,利用大數據技術感知數據來發現主動發現威脅。
2.1.3 互聯網及二級單位的區域隔離
在互聯網出口,部署入侵防御IPS、上網行為管理,提供網絡邊界隔離、訪問控制、入侵防護、僵尸網絡防護、木馬防護、病毒防護等。
在廣域網接入區邊界透明模式部署入侵防御系統,針對專線接入流量進行控制和過濾。
辦公網區應部署終端檢測和響應/惡意代碼防護軟件,開啟病毒防護功能、文件監測,并及時更新安全規則庫,保持最新狀態。
服務器區部署防火墻和WEB應用防火墻,對數據中心威脅進行防護;匯聚交換機處旁路模式部署全流量探針,對流量進行監測并同步至態勢感知平臺;部署數據庫審計系統,進行數據庫安全審計。
在運維管理區,部署堡壘機、日志審計、漏洞掃描設備,實現單位的集中運維審計、日志審計和集中漏洞檢查功能。
2.1.3.1 互聯網出口處安全加固
互聯網出口處雙機部署了因特網防火墻以及下一代防火墻進行出口處的防護,在攻防演練期間,出口處防火墻通過對各類用戶權限的區分,不同訪問需求,可以進行精確的訪問控制。通過對終端用戶、分支機構不同的權限劃分保障網絡受控有序的運行。
對能夠通過互聯網訪問內網的網絡對象IP地址進行嚴格管控,將網段內訪問IP地址段進行細化,盡量落實到個人靜態IP。
開啟精細化應用控制策略,設置多條應用控制策略,指定用戶才可以訪問目標業務系統應用,防止出現因為粗放控制策略帶來的互聯網訪問風險。
對所有通過聯網接入的用戶IP或IP地址段開啟全面安全防護策略,開啟防病毒、防僵尸網絡、防篡改等防護功能。
通過對全網進行訪問控制、明確權限劃分可以避免越權訪問、非法訪問等情況發生,減少安全事件發生概率。
護網行動開始之前,將防火墻所有安全規則庫更新到最新,能夠匹配近期發生的絕大部分已知威脅,并通過SAVE引擎對未知威脅進行有效防護。
攻防演練期間,通過互聯網訪問的用戶需要進行嚴格的認證策略和上網策略,對上網用戶進行篩選放通合法用戶阻斷非法用戶,同時對于非法url網站、風險應用做出有效管控。根據企業實際情況選擇合適流控策略,最后對于所有員工的上網行為進行記錄審計。
攻防演練期間,需要將上網行為管理設備的規則庫升級到最新,避免近期出現的具備威脅的URL、應用等在訪問時對內網造成危害。
2.1.3.2 DMZ區應用層安全加固
當前網絡內,DMZ區部署了WEB應用防火墻對應用層威脅進行防護,保證DMZ區域內的網站系統、郵件網關、視頻會議系統的安全
攻防演練期間,為了降低用從互聯網出口處訪問網站、郵件、視頻的風險,防止攻擊手通過互聯網出口訪問DMZ區,進行頁面篡改、或通過DMZ區訪問承載系統數據的服務器區進行破壞,需要設置嚴格的WEB應用層防護策略,保證DMZ區安全。
通過設置WEB用用防護策略,提供OWASP定義的十大安全威脅的攻擊防護能力,有效防止常見的web攻擊。(如,SQL注入、XSS跨站腳本、CSRF跨站請求偽造)從而保護網站免受網站篡改、網頁掛馬、隱私侵犯、身份竊取、經濟損失、名譽損失等問題。
2.2 第二道防線-數據中心防護技戰法
總部數據中心從防御層面、檢測層面、響應層面及運營層面構建縱深防御體系。在現有設備的基礎上,解決通號在安全建設初期單純滿足合規性建設的安全能力,缺乏完善的主動防御技術和持續檢測技術帶來的風險。主要解決思路如下:
1、基于安全風險評估情況,夯實基礎安全架構
通過持續性的風險評估,進行安全架構的升級改造,縮小攻擊面、減少風險暴露時間。包括:安全域改造、邊界加固、主機加固等內容。
2、加強持續檢測和快速響應能力,進一步形成安全體系閉環
針對內網的資產、威脅及風險,進行持續性檢測;基于威脅情報驅動,加強云端、邊界、端點的聯動,實現防御、檢測、響應閉環。
3、提升企業安全可視與治理能力,讓安全了然于胸
基于人工智能、大數據技術,提升全網安全風險、脆弱性的可視化能力,大幅度提升安全運維能力,以及應急響應和事件追溯能力。
2.2.1 邊界防御層面
原有的邊界防護已較完善,無需進行架構變動,只需要確保防御設備的策略有效性和特征庫的及時更新。針對目標系統,通過在目標系統接入交換機和匯聚交換機之間透明部署一臺下一代防火墻,實現目標系統的針對性防護,防止服務器群內部的橫向威脅。
下一代防火墻除基本的ACL訪問控制列表的方法予以隔離以外,針對用戶實施精細化的訪問控制、應用限制、帶寬保證等管控手段。通號業務系統中存在對外的網站、業務等,因此需要對WEB應用層進行有效防護,通過下一代防火墻提供SQL注入、跨站腳本、CC攻擊等檢測與過濾,避免Web服務器遭受攻擊破壞;支持外鏈檢查和目錄訪問控制,防止Web Shell和敏感信息泄露,避免網頁篡改與掛馬,滿足通號Web服務器深層次安全防護需求。
根據現有網絡,核心交換區部署了應用性能管理系統,攻防演練期間,需要對應用性能管理系統進行實時關注,應用出現異常立即上報,并定位責任人進行處置,保證網絡性能穩定,流暢運行。
核心交換機雙機部署了兩臺防火墻,物理上旁路部署,邏輯上通過引流所有流量都經過防火墻,通過防火墻對服務器區和運維管理區提供邊界訪問控制能力,進行安全防護。
攻防演練期間,核心交換區防火墻進行策略調優,對訪問服務器區和運維管理區的流量數據進行嚴格管控,對訪問服務器區內目標系統請求進行管控;防止安全威脅入侵運維管理區,對整體網絡的安全及運維進行破壞,獲取運維權限。
攻防演練期間,在各分支機構的邊界,通過對各類用戶權限的區分,各分支機構的不同訪問需求,可以進行精確的訪問控制。通過對終端用戶、分支機構不同的權限劃分保障網絡受控有序的運行。
專線接入及直連接入分支通過廣域網接入區的路由器-下一代防火墻-上網行為管理-核心交換機-服務器區的路徑進行訪問,因此通過完善下一代防火墻防護策略,達到安全加固的目的。
通過對全網進行訪問控制、明確權限劃分可以避免越權訪問、非法訪問等情況發生,減少安全事件發生概率。
攻防演練前,需要對下一代防火墻的各類規則庫、防護策略進行更新和調優。
2.2.2 端點防御層面
服務器主機部署終端檢測響應平臺EDR,EDR基于多維度的智能檢測技術,通過人工智能引擎、行為引擎、云查引擎、全網信譽庫對威脅進行防御。
終端主機被入侵攻擊,導致感染勒索病毒或者挖礦病毒,其中大部分攻擊是通過暴力破解的弱口令攻擊產生的。EDR主動檢測暴力破解行為,并對發現攻擊行為的IP進行封堵響應。針對Web安全攻擊行為,則主動檢測Web后門的文件。針對僵尸網絡的攻擊,則根據僵尸網絡的活躍行為,快速定位僵尸網絡文件,并進行一鍵查殺。
進行關聯檢測、取證、響應、溯源等防護措施,與AC產品進行合規認證審查、安全事件響應等防護措施,形成應對威脅的云管端立體化縱深防護閉環體系。
2.3 第三道防線-目標系統防護技戰法
本次攻防演練目標系統為資金管理系統及PLM系統,兩個系統安全防護思路及策略一致,通過APDRO模型及安全策略調優達到目標系統從技術上不被攻破的目的。
2.3.1 網絡層面
在網絡層面為了防止來自服務器群的橫向攻擊,同時針對業務系統進行有針對性的防護,通過部署在目標系統邊界的下一代防火墻對這些業務信息系統提供安全威脅識別及阻斷攻擊行為的能力。
同時通過增加一臺VPN設備單獨目標系統,確保對目標系統的訪問達到最小權限原則。
子公司及辦公樓訪問目標系統,需要通過登錄新建的護網專用VPN系統,再進行目標系統訪問,并通過防火墻實現多重保障機制。
系統多因子認證構建
為了保證攻防演練期間管理人員接入資金管理系統的安全性,接入資金管理系統時,需要具備以下幾項安全能力:一是用戶身份的安全;二是接入終端的安全;三是數據傳輸的安全;四是權限訪問安全;五是審計的安全;六是智能終端訪問業務系統數據安全性。
因此需要對能夠接入資金管理系統的用戶進行統一管理,并且屏蔽有風險訪問以及不可信用戶;使用專用SSL VPN對資金管理系統進行資源;為需要接入資金管理系統的用戶單獨創建SSL VPN賬號,并開啟短信認證+硬件特征碼認證+賬戶名密碼認證,屏蔽所有不可信任用戶訪問,對可信用戶進行強管控。
對接入的可信用戶進行強管控認證仍會存在訪問風險,因此需要邊界安全設備進行邊界安全加固。
系統服務器主機正常運行是業務系統正常工作的前提,服務器可能會面臨各類型的安全威脅,因此需要建設事前、事中、事后的全覆蓋防護體系:
l 事前,快速的進行風險掃描,幫助用戶快速定位安全風險并智能更新防護策略;
l 事中,有效防止了引起網頁篡改問題、網頁掛馬問題、敏感信息泄漏問題、無法響應正常服務問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統掃描等攻擊;
l 事后,對服務器外發內容進行安全檢測,防止攻擊繞過安全防護體系、數據泄漏問題。
同時,為了保證安全威脅能夠及時被發現并處置,因此需要構建一套快速聯動的處理機制:本地防護與整體網絡聯動、云端聯動、終端聯動,未知威脅預警與防護策略,實時調優策略;深度解析內網未知行為,全面安全防護;周期設備巡檢,保障設備穩定健康運行;云端工單跟蹤,專家復審,周期性安全匯報;通過關聯全網安全日志、黑客行為建模,精準預測、定位網絡中存在的高級威脅、僵尸主機,做到實時主動響應。
在業務系統交換機與匯聚交換機之間部署下一代防火墻,根據資產梳理中收集到的可信用戶IP、端口號、責任人等信息,在下一代防火墻的訪問控制策略中開啟白名單,將可信用戶名單添加到白名單中,白名單以外的任何用戶訪問業務系統都會被拒絕,保證了區域內的服務器、設備安全。
2.3.2 應用層面
下一代防火墻防病毒網關的模塊可實現各個安全域的流量清洗功能,清洗來自其他安全域的病毒、木馬、蠕蟲,防止各區域進行交叉感染;
下一代防火墻基于語義分析技術提供標準語義規范識別能力,進一步還原異變的web攻擊;應用AI人工智能,基于海量web攻擊特征有效識別未知的web威脅。基于AI構建業務合規基線,基于廣泛的模式學習提取合規的業務操作邏輯,偏離基線行為的將會被判定為web威脅,提升web威脅識別的精準度。
下一代防火墻以人工智能SAVE引擎為WEB應用防火墻的智能檢測核心,輔以云查引擎、行為分析等技術,使達到高檢出率效果并有效洞悉威脅本質。威脅攻擊檢測、多維度處置快速響應,有效解決現有信息系統安全問題。
目前通號服務器區安全建設存在以下問題一是以邊界防護為核心,缺乏以整體業務鏈視角的端到端的整體動態防護的思路;二以本地規則庫為核心,無法動態有效檢測已知威脅;三是沒有智能化的大數據分析能力,無法感知未知威脅;四是全網安全設備之間的數據不能共享,做不到智能聯動、協同防御。
在保留傳統安全建設的能力基礎上,將基于人工智能、大數據等技術,按照“業務驅動安全”的理念,采用全網安全可視、動態感知、閉環聯動、軟件定義安全等技術,建立涵蓋數據安全、應用安全、終端安全等的“全業務鏈安全”。
為了保證訪問資金管理系統訪問關系及時預警及安全可視化,需要將訪問目標系統的所有流量進行深度分析,及時發現攻擊行為。
在在業務系統交換機旁路部署潛伏威脅探針,對訪問資金管理系統的所有流量進行采集和初步分析,并實時同步到安全態勢感知平臺進行深度分析,并將分析結果通過可視化界面呈現。
2.3.3 主機層面
下一代防火墻通過服務器防護功能模塊的開啟,可實現對各個區域的Web服務器、數據庫服務器、FTP服務器等服務器的安全防護。防止黑客利用業務代碼開發安全保障不利,使得系統可輕易通過Web攻擊實現對Web服務器、數據庫的攻擊造成數據庫信息被竊取的問題;
下一代防火墻通過風險評估模塊對服務器進行安全體檢,通過一鍵策略部署的功能WAF模塊的對應策略,可幫助管理員的實現針對性的策略配置;
利用下一代防火墻入侵防御模塊可實現對各類服務器操作系統漏洞(如:winserver2003、linux、unix等)、應用程序漏洞(IIS服務器、Apache服務器、中間件weblogic、數據庫oracle、MSSQL、MySQL等)的防護,防止黑客利用該類漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題;
針對系統的服務器主機系統訪問控制策略需要對服務器及終端進行安全加固,加固內容包括但不限于:限制默認帳戶的訪問權限,重命名系統默認帳戶,修改帳戶的默認口令,刪除操作系統和數據庫中過期或多余的賬戶,禁用無用帳戶或共享帳戶;根據管理用戶的角色分配權限,實現管理用戶的權限分離,僅授予管理用戶所需的最小權限;啟用訪問控制功能,依據安全策略控制用戶對資源的訪問;加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。
通過終端檢測響應平臺的部署,監測服務器主機之間的東西向流量,開啟定時查殺和漏洞補丁、實時文件監控功能,限制服務器主機之間互訪,及時進行隔離防止服務器主機實現并橫向傳播威脅。并且通過攻擊鏈舉證進行攻擊溯源。
2.4 攻防演練-檢測與響應技戰法
2.4.1 預警分析
通過7*24小時在線的安全專家團隊和在線安全監測與預警通報平臺,即可對互聯網業務進行統一監測,統一預警。云端專家7*24小時值守,一旦發現篡改、漏洞等常規安全事件,即可實時進行處置。對于webshell、后門等高階事件,可以及時升級到技術分析組進行研判,一旦確認,將會實時轉交應急響應組進行處置。
監測與相應組成員實時監控安全檢測類設備安全告警日志,并根據攻擊者特征分析入侵事件,記錄事件信息,填寫文件并按照流程上報。
若同一來源IP地址觸發多條告警,若觸發告警時間較短,判斷可能為掃描行為,若告警事件的協議摘要中存在部分探測驗證payload,則確認為漏洞掃描行為,若協議摘要中出現具有攻擊性的payload,則確認為利用漏洞執行惡意代碼。
若告警事件為服務認證錯誤,且錯誤次數較多,認證錯誤間隔較小,且IP地址為同一IP地址,則判斷為暴力破解事件;若錯誤次數較少,但超出正常認證錯誤頻率,則判斷為攻擊者手工嘗試弱口令。
2.4.2 應急處置
應急處置組對真實入侵行為及時響應,并開展阻斷工作,協助排查服務器上的木馬程序,分析攻擊者入侵途徑并溯源。
安全事件的處置步驟如下:
(1)根據攻擊者入侵痕跡及告警詳情,判斷攻擊者的入侵途徑。
(2)排查服務器上是否留下后門,若存在后門,在相關責任人的陪同下清理后門。
(3)分析攻擊者入侵之后在服務器上的詳細操作,并根據相應的安全事件應急處置措施及操作手冊展開應對措施。
(4)根據排查過程中的信息進行溯源。
篇6
煤炭市場及煤炭價格是不斷變化的,并且煤炭銷售中涉及到的項目、金額相對巨大,人工操作難度較大。而借助于計算機網絡則可以降低銷售難度,擴大企業的生產經營規模,提高煤炭銷售的效率,加強信息獲取能力。因此將計算機網絡應用于煤炭銷售中是一項重大的變革。但由于網絡的不穩定性及入侵性,計算機網絡存在一定的安全問題,因此就需要加強計算機網絡的維護與管理。
2計算機網絡維護技術的應用
2.1計算機軟件安裝的集中化管理
計算機網絡維護和管理對計算機安裝軟件的集中控制和管理的實際目的是為了提升計算機使用的安全性,針對煤礦業來說,在安裝計算機軟件的過程中需要在實際的計算機軟件安裝過程中必須要做到以下幾點:首先就是必須要保證軟件的下載鏈接是安全、正規的,只有這樣,才能保證下載到安全可靠的軟件,更方便與計算機網絡維護和網絡管理,其次就是計算機網絡安全管理要求計算機必須要對計算機上所有的軟件有檢測和防病毒的功能,這樣一旦發現有任何異常,計算機就無法順利安裝這些軟件,一般情況下計算機的系統中都會有防火墻,但是不能忽視的是計算機仍然需要安裝檢測系統;最后就是計算機使用者在使用計算機的過程中必須要保證計算機不瀏覽危險的網站,因為惡意的網站可以篡改計算機的某些信息,使得計算機感染病毒,總之計算機使用者和設計者之間共同配合,完成計算機的網絡維護工作。
2.2定期對系統進行殺毒和檢測
由于煤炭銷售涉及到的金額較為巨大,因此一旦用于銷售的計算機出現病毒將會造成難以估計的損失,所以對煤炭銷售計算機進行定期的殺毒和檢測是非常重要的。一旦網絡黑客或病毒攻擊計算機時,其就會在網絡介質上留有一個備份,只要有其他使用者對這些病毒數據進行共享,這些病毒就會進行二次入侵,同時他們會經由這種途徑入侵其他的計算機,最終造成網絡大規模的泵貴。所以定期對系統進行殺毒與檢測是十分重要的。由于病毒傳播的自我復制性、超強破壞性,因此,查殺單個病毒不具有任何效果,只有查殺整個網絡系統才能阻止病毒傳播。除此之外,為了提高計算機網絡系統抵御病毒的能力,還應該定期更新病毒庫。要注意的是,即使已經清除了一臺計算機系統的病毒,但一旦該計算機接入網絡,病毒就可能二次入侵該計算機。所以,我們要及時查殺檢測計算機的病毒,確保計算機可以安全的使用網絡。除上述之外,如果計算機中存儲了重要的數據,例如煤炭銷售的關鍵數據,則可以利用先進的信息加密技術對這些關鍵數據進行加密,提高數據存儲的安全性。
2.3設置權限及口令
在用于煤炭銷售的計算機中一定要設置好權限及口令。因為權限和口令的設置實際上就是計算機的使用密碼,它不僅可以保護計算機使用者的信息安全,而且還可以提升計算機的安全性,提升計算機網絡維護的效率。設置計算機網絡口令和權限可以確保計算機的信息不被其他人肆意窺探,而且也能保證計算機的入網信息安全可靠。同時為了確保用于煤炭銷售的計算機的長期可靠性,要求計算機使用者必須要定期對計算機的口令和權限進行更改,因為目前科學技術的發達已經使得計算機密碼和口令破解成為一種普遍的社會現象,因此使用者為了確保計算機的網絡安全必須要定期對計算機的口令進行更改。
3計算機網絡管理技術的應用
3.1計算機網絡故障管理
計算機屬于大規模的集成電路,對于有的時候發生的故障靠硬件維修手段可能會檢查不出來,所以要加強計算機的故障檢測程序。入侵檢測技術是指對計算機系統中出現的異常情況或者沒有經過授權的現象可以及時發現并且報告的安全防護系統,對于計算機的防護作用是主動實施的,并且對于內部攻擊、外部攻擊以及人為誤操作等都可以起到防護的作用,將即將要受到的入侵危害技術攔截,使計算機系統免受入侵。同時也可以利用程序測試法來檢測計算機的故障,可以對計算機的操作進行有效的管理和控制,是一種專用診斷程序,輔助硬件維修可以達到很好的故障檢測效果。
3.2針對網絡配置的管理結合配置管理流程
在管理用于煤炭銷售的計算機網絡時,首先是對煤炭銷售網絡配置進行管理。怎樣設定網絡,設定的具體內容有哪些,總共設定多少級別等等這些問題都是網絡配置的主要內容,需要經過認真的研究和討論之后才能統一設定的。上述提到的設定內容通常是保存在路由器中的,因此要提前設置路由器。這在之中我們要關注的是,在對路由器進行設置的時候,要注重對應地址數據的保存,從而為后續的網絡配置提供數據依據。網絡配置管理的功能非常多,舉例來說,其可以進行軟件安裝、配置信息存儲等。所以依照對應的配置管理流程進行操作,在做好原先配置信息的基礎上,重新制定其他的配置方案,并對其進行運行檢測。
3.3計算機網絡安全管理
網絡安全管理是煤炭銷售過程中對計算機管理的一個重要內容,實際意義上的網絡安全管理包含的內容非常廣泛,從實際的可操作意義上來說網絡安全管理的具體表現有:計算機網絡風險評估系統和評估方法的實施,這一工作的開展主要是依靠實際的計算機軟件實現的,因為人為地對計算機開展安全監測幾乎是不可能的,這就要求計算機使用者在安裝計算機安全軟件的時候,必須要對計算機的安全性能有足夠的了解,安裝標準的合格軟件,另外就是計算機系統化的管理方法,這里的系統管理主要是指計算機軟件管理必須要系統化,因為在計算機的使用過程中安裝的軟件個數并不在少數,因此有必要對計算機開展軟件的系統化管理,這樣做的好處就是可以增加軟件管理效率,進而提升計算機的網絡安全管理效率。
4計算機網絡維護與管理中具體應用技術
4.1防火墻技術
防火墻技術是計算機系統防御的第一道防線,可以將計算機被保護的內部網絡隔離,同時又能夠進行訪問控制以及授權、安全審計等功能。防火墻同時具備限制、隔離和分析的作用,可以使內部網絡的安全得到保證。但是防火墻卻很難防范病毒以及網絡內部的攻擊。防火墻是計算機系統的必要防護屏障,可以使計算機網絡的安全得到保證,對計算機的訪問和數據同時也具備審查和監控的作用。
4.2訪問控制技術
通過設置計算機的使用權限與訪問權限,可以防止非本機使用人員或入侵黑客將病毒等妨礙計算機網絡運行的因素帶入到計算機當中。通過計算機訪問權限的設置,計算機終端的操作人員和對應網絡管理人員就可以結合本機網絡使用的權限進行相關的操作了。除此之外,在設置計算機使用權限的時候要進行合理設置,考慮到其安全系數,權限口令也要定期或不定期的進行修改。
4.3漏洞檢測技術
漏洞檢測技術可以檢測到計算機的漏洞和弱點,根據其對系統的攻擊來發現和判斷計算機存在的安全隱患,同時還可以檢查IP端口,記錄和分析計算機對其的響應。
5結束語
本文主要分析了在煤炭銷售行業,計算機網絡維護與管理的方法與技術,以供參考參考文獻
[1]趙文勝.論信息安全的刑法保障[D].武漢大學,2014.
[2]丁麗.電子政務信息安全保密管理研究[D].山東師范大學,2014.
篇7
1開展通信網絡安全維護工作的實踐意義
隨著計算機網絡技術形態的深入發展,當代國人群體基本日常化通信目標的實現,日漸呈現出與計算機網絡技術形態之間的密不可分關系,有鑒于此,實現通信網路安全技術維護的實踐目標,事實上也就要切實實現開放網絡的安全建設與維護作業目標。在現有的技術形態發展階段條件下,通信網絡安全的內涵硬當包含兩個方面的內容。第一,技術控制實施路徑的安全。第二,處于互聯網信息傳輸媒介背景之下的信息資源的安全。國際信息技術研究實務領域通常將信息資源的安全狀態,系統化地描述為可用性、完整性、可靠性以及保密性等屬性化描述特征。并切實通過授權控制、訪問控制、身份認證以及不可否認性等技術路徑實現對信息資源安全性狀態的有效控制。通信網絡技術形態的良好穩定發展,極其深刻地改善了當代國人的信息溝通行為實現模式,憑借行之有效的信息承載功能,通信網絡的信息化演化極其深刻地影響了現代國人的社會生活實踐環境。緣于現代國人的生產經營活動與通信網路穩定運行狀態之間的密切聯系,使得充分維護網絡安全對有效保障國民生產生活實踐過程中的經濟收益具備著極其深刻的實踐意義。
2我國通信網絡安全維護技術實務過程中的現存問題
近年來。隨著計算機科學技術以及現代互聯網信息傳輸技術的普及應用,現代通信網絡技術形態在國民群體中的應用日漸廣泛,與之相伴隨的是接連涌現且形態各異的通信網絡安全事件,這些安全事件的不斷出現,給我國公民日常化生產生活實踐過程中的通信目標的實現,以及經濟社會綜合效益的創造造成了較為嚴重的不利影響,接下來,依照相關領域技術工作人員的實踐經驗,將我國通信網路安全維護技術實務過程中的現存問題簡要地列示如下。
2.1移動電話領域技術代碼的惡意傳播
截止到目前的發展階段,移動通信技術形態已經實現了極其深刻的智能化發展目標,智能手機在我國當代國民群體中的普及應用,一方面極大地方便了我國當代國民全體在日常常化生產生活實踐過程中的通信需求,另一方面卻也緣于技術代碼在后臺區位的惡意傳播而給國人的信息安全造成了較為嚴重的威脅。
2.2緣于通信領域相關業務在開展過程中出現的漏洞
網絡技術形態的IP化發展、Wap技術形態的應用化轉型、以及現代通信設備的IT化變革使得現有的通信網絡系統逐步呈現出更加充分的開放性特征,這種開放性技術特征,也為黑客利用通信業務形態發展過程中的技術漏洞,創造了充分的實現空間,而在信息資源價值水平日漸提升的社會背景之下,緣于對經濟利益的追逐,黑客群體針對通信信息技術漏洞而展開的攻擊行為將會呈現出逐步增加的發展趨勢。
2.3緣于技術形態的開放性而引致的安全威脅
三網融合、物聯網、以及云計算等技術形態以及發展趨勢的出現,使得現代網絡技術形態獲得了日漸深刻的開放性特征,而移動信息通信發送與接收終端設備的多樣化發展,以及技術形態的不斷演化變革也給安全威脅、以及安全攻擊事件的出現創造了充分的實踐可能,這些發展趨勢給現代通信技術系統的可靠戲碼帶來了極其嚴重的威脅,值得相關領域的技術人員密切關注。
3通信網絡的安全維護技術目標的實現路徑
3.1建構防火墻信息安全防御技術
防火墻技術結構的基本設計與建構理念,就是要切實防止通信網絡在運行實務過程中的信息泄露,防火墻技術,可以通過既定化的網絡信息安全實現策略,對網絡信息技術媒介之下的所有信息資源對象的訪問請求進行強制性的權限審核控制,通過及時捕捉以及規避處于非合理技術狀態之下的信息資源對象的訪問請求,進而實現對網絡通信安全的建設目標。防火墻技術形態,能夠切實對網絡技術媒介中實時傳輸的數據包開展動態化的安全性能檢查,并且能夠對實際運行中的通信網絡技術系統實施運行狀態全程動態監測,切實保障通信網絡技術系統在運行實務過程中的安全穩定狀態。
3.2建構系統化的通信網絡的身份認證技術
所謂通信網絡的身份認證技術,就是對網路技術形態的操作者,以及信息資源訪問指令的發出者展開必要的身份信息確認和對照行為,并通過形態各異的網絡身份認證實務技術而切實實現。運用通信網絡的身份認證技術,可以切實保障通信網絡的使用客戶的自身信息穩定保持完整性、機密性、可控性,以及不可否認性。
3.3建構通信網絡的不法入侵行為檢測技術
防火墻技術形態可以切實防止外來性因素對通信網絡內部的干擾以及影響行為,卻無法實現對通信網絡技術系統內部存在的技術性干擾因素,以及入侵因素的有效感知以及監測,而不法入侵行為檢測技術的建設,就可以對這一通信網絡技術體系中現存的漏洞實現充分的彌補,通過這一技術與防火墻技術在實際運用過程中的通力配合,將能夠切實促進對通信網絡中的外來性入侵因素的有效規避,進而切實保障通信網絡技術系統的安全性。
3.4建構針對通信網絡的加密技術
利用對通信網絡加密技術的有效建立。可以切實防止私有的、或者是公用形態的信息資源的傳輸實務過程遭遇攔截或者是竊取行為,這一技術形態的建制以及運用,是切實實現通信網絡形態安全建設目標的重要路徑,通過建構有效針對通信網絡的加密技術,可以針對實際傳輸的數據信息實施封裝以及加密操作,從而切實保障數據信息對象在傳輸過程中的完整性以及保密性。
4結論
針對通信網絡安全維護方法問題,本文選取三個基本論述角度展開了簡要的闡釋。文中涉及了角度技術細節以及對我國現代通信網絡技術領域發展現狀的分析,預期為相關領域的研究人員提供借鑒意義。
作者:王鵬 趙亞博 單位:第二炮兵工程大學
參考文獻
篇8
隨著信息化時代的來臨和科技的高速發展,計算機網絡的用戶量在不斷地上升,人們的工作和生活已經越來越離不開計算機網絡,計算機網絡的確給人們帶來了巨大的方便和利益,然而,隨著計算機網絡的發展,用戶人數越來越多,用戶的一些個人信息和隱私、以及公司內部重要資料數據甚至國家政府的機密等信息也就在計算機網絡上公開了,計算機網絡具有很強的開放性和互聯性,這些信息對于一些電腦黑客和不法分子來說,獲取簡直輕而易舉,信息若被他們獲取,將會帶來嚴重的后果;再者,計算機病毒在互聯網上的傳播速度將會越來越快,危害性也越來越大,病毒的傳播與蔓延,將會帶來更大的問題,嚴重者甚至影響國家安全。因此,必須要特別重視而且要全面做好計算機網絡的安全防護與發展趨勢安全分析。
一、威脅計算機網絡安全的因素
(一)存在一定的無意的人為因素
人為的因素主要是部分的電腦操作者操作不當,比如說沒有進行正常的安全配置,威脅操作系統,沒有較強的計算機安全防護意識,很多時候將自己的個人信息隨意發送,這有很大可能將威脅到計算機網絡安全。
(二)操作系統存在一定的不安全性
每個操作系統都存在一定的不安全性,操作系統支持數據的交換與連接,這對網絡安全來說是一個漏洞;操作系統還可以創建進程,然而這些進程軟件就是系統進程,黑客不法分子經常就利用這些進程軟件竊取信息;再者,操作系統還支持在互聯網中傳送文件,文件傳輸過程中很有可能附帶一些可執行文件,是人為編寫的,一旦出現漏洞被不法分子利用,會對計算機網絡系統帶來很大的破壞。
(三)計算機病毒的威脅和惡意程序的破壞
由于計算機網絡的互聯性與廣泛性,計算機病毒的傳播速度和威脅力越來越大,病毒其實是一些破壞計算機數據或功能、阻礙計算機正常運行的,而且還可以自我復制的一段計算機指令或代碼,而且病毒還有持續時間特別長、危害性特別大、傳染性特別高的特點,病毒的傳播途經也特別廣,一些光盤和移動硬盤以及其他的硬件設施都是病毒傳播的途徑,一些惡意的程序如木馬程序就是利用一些程序漏洞竊取信息的惡意程序,具有一定的自發性和隱蔽性。
(四)計算機網絡安全技術人員和用戶安全意識不強,技術人員能力有限
很多用戶缺乏個人信息的安全保護意識,對于重要的信息實行共享、隨意轉借;技術人員水平有限,不能夠建立一個很好的安全機制、提出安全策略。
(五)黑客的惡意攻擊
黑客對計算機網絡安全帶來巨大的威脅,他們通常能夠利用一些軟件來進行網絡上的攻擊,他們經常竊取和篡改計算機中重要的系統數據和資源,還能自己編制病毒破壞計算機系統,對計算機的安全防護帶來巨大的影響和威脅。
二、計算機網絡安全防護的主要對策
(一)要健全計算機網絡安全管理的防護機制
建立健全計算機網絡安全防護機制,是規范計算機用戶和管理員行為的保障,建立健全網絡安全管理機制,有利于提高用戶和計算機系統管理員的職業水準和專業素質,有利于使計算機操作人員形成良好的習慣,促使他們及時的對數據資料進行備份,促進計算機網絡安全防護的工作能夠順利開展。
(二)要重視加強防火墻技術
采用防火墻技術是一種有效地手段,防火墻是一種網絡的屏障[1],因為黑客要想竊取重要的機密與信息必須進入計算機內網,而要想訪問內網就必須通過連接外網來實現,采用防火墻技術可以有效地防止這一現象發生,而且比較經濟。一般把防火墻安裝在內部網絡的出口,這是一個最佳的位置,可以實現內網與外網之間的訪問控制,防火墻具有網址轉換功能,可以使外網連接都要經過保護層,可以對外網的狀態和活動進行監聽,對一些非法入侵的活動進行及時的控制和分析。而且可以通過防火墻保護層的只有被授權的活動,可以起到很大的作用,促使內網重要信息機密免受入侵。
(三)重視加強數據加密技術
數據加密技術簡單來說就是通過使用一些密碼或代碼將一些重要的信息或數據從可以理解明白的明文方式變成一種錯亂的不能理解明白的密文方式,在存儲體內或傳送過程中對信息進行保護,防止以明文方式丟取信息,確保信息安全。數據的加密技術包括數據傳送、數據存儲、密鑰和數據的完整性四項[2],各個部分都能對數據信息進行全方位的安全性保護,有轉換加密、增加密碼、身份驗證審核、加密密鑰、端加密、還有口令、身份、密鑰的鑒別,包括最后的自動解密。密鑰在各個環節的管理的好壞常常決定數據資料的保密安全。
(四)重視加強數據的備份工作
及時對一些重要的數據資料進行備份工作,通過存儲技術將計算機中的重要的需要被保護的數據用其他的存儲設施,如移動硬盤或者光盤進行轉存,以防系統崩潰時數據被破壞或者丟失,即使數據被破壞或丟失后,也可以依靠備份來進行數據的恢復,只是在備份時,不要將源數據和備份數據放在一個服務器之中,另找一個安全的地方進行存放。要切實建立健全數據備份與恢復機制。
(五)進行相關政策法規的保障,同時提高計算機操作人員與管理人員的專業能力與素養,提高安全防護意識
頒布相關的法律法規保障網絡安全,加強管理,同時重視計算機網絡的安全意識教育,再者要提高技術人員的專業能力與素養,對于一些基本的網絡安全防護措施要很熟悉而且要做到位,及時的對新的技術人員進行培訓與輔導,加強安全防護管理的意識,不斷提高自身的專業技能與專業素養。
三、計算機網絡安全防護的發展
對于計算機網絡安全防護的發展,我們需要更加的完善網絡安全防護措施,在不斷進行完善更新的基礎上采用更為先進和主動的防護措施,化被動為主動,我們可以采用“云安全”技術,云安全這項新的技術可以大范圍的對網絡中的異常的軟件行為進行檢測,獲取關于病毒、木馬等惡意程序的最新消息,并通過服務端進行自動的處理分析,然后給每一位客戶發送解決方案。從而整個計算機互聯網絡就像是一個巨大的殺毒軟件[3]。采用“云安全”等新技術會讓計算機網絡安全防護變得更有力。
四、小結
計算機互聯網絡是一個龐大而又復雜的信息網絡,在這個信息網絡之中,做好必要的安全防護措施是很重要的,計算機網絡涉及的領域相當的廣泛,如果不進行計算機網絡的安全防護,那么一旦在計算機網絡中一個領域中出現安全問題,那么其他的領域也會受到連鎖的影響,這樣會導致全社會各個領域的工作受到嚴重阻礙,甚至癱瘓,造成巨大的經濟損失和人員的恐慌,有時甚至會影響到軍事領域,威脅到國家的安全。因此全面認識到計算機網絡中的不安全因素,及時提出實施安全防護措施,及時的讓新技術加盟,我們才能夠更好地確保計算機網絡的安全,促進人們正常的學習、工作、生活,促進經濟平穩迅速發展,確保國家安全。
參考文獻:
篇9
1 目前我國局域網安全現狀
根據CNERT最新的的互聯網網絡安全態勢綜述中指出,近年來涉及重要行業和政府部門的高危漏洞事件持續增多,事業單位做為政府創辦的服務機構,重要信息系統的網絡系統上承載了大量有價值的數據信息,廣泛被漏洞挖掘者關注。2015年,CNCERT通報了涉及政府機構和重要信息系統部門的事件型漏洞近 2.4萬起,約是2014年的2.6倍,信息安全形勢如此嚴峻,但目前還有部分政府、企事業單位對內部局域網安全管理的重要性認識不夠,單位局域網的信息安全還是存在較大的安全隱患。
2 事業單位局域網信息安全工作存在的問題分析
2.1 欺騙性軟件導致數據安全性能降低
互聯網上廣泛存在欺騙性的軟件,會導致局域網信息數據的安全性能降低,從而影響了相關工作的開展。出現此種現象的主要原因是由于在事業單位局域網中,基本上都實現了資源共享,使得相關的資源數據存在一定的開放性,容易出現數據泄露、篡改、刪除等現象,導致數據的安全性能降低。例如:在網絡上經常出現一些網絡釣魚攻擊等,相應的釣魚工具主要是發送一些帶有知名信息的垃圾郵件,誘導收件人給出一些敏感性信息,使得用戶上當受騙,從而造成一定的經濟損失。另外,由于用戶在對數據管理過程中,相應的安全意識和知識較為欠缺,導致用戶經常出現一些數據信息丟失,嚴重影響了相關工作的開展。
2.2 數據信息安全意識薄弱
事業單位工作人員缺少足夠的信息安全意識,或是不遵守移動硬盤、U盤等外設的使用管理規范,貪圖使用便利而違反信息安全規章,或是隨意將未授權的計算機接入信息內外網和內部人員內外網混用,很容易導致局域網病毒傳播甚至內網機密信息的泄漏。
2.3 IP地址沖突
在事業單位局域網中,常出現IP地址重復的現象,導致一些計算機不能順利登錄互聯網。如果單位規模較大,沖突的IP地址就越難以查找;此種現象為病毒的傳播擴散創造了機會,使得局域網內部的計算機被感染,從而降低了事業單位數據的安全性,出現數據丟失的局面。
3 事業單位局域網絡的信息安全與病毒防護方法
3.1 加強對事業單位人員信息安全培訓
應積極做好局域網安全維護工作,制定信息管理相關工作制度,分別針對網絡管理人員及全體工作人員開展不同類型的講座和培訓,提高全體人員信息安全意識,各個部門以及工作人員之間相互配合,才能保證數據信息的安全。信息安全管理主要包括了管理、技術、應用三個方面,根據實際情況制定合理的網絡安全策略和相關措施的同時要加強對網絡管理人員的培訓,創新網絡管理方式,使網絡管理人員明確工作重點,提高運維效率;對全體工作員開展網信息安全講座,樹立工作人員的法律觀念,增強信息安全知識,才能保證相關工作開展。
3.2 通過桌面管理對系統用戶進入局域網進行控制
在事業單位網絡維護過程中,通過實現桌面終端的標準化管理,積極的對入網進行控制,解決桌面安全管理問題,提高信息運維效率,規范員工操作行為。在實際的管理過程中,事業單位可以通過對用戶入網進行限制,設置相應的目錄文件以及相關的資源等。同時,還要使用登錄密碼,保證用戶在對相關文件進行使用的過程中只有通過密碼口令才能實現對其的訪問。另外,還要設置相應的口令控制器,能夠有效防止密碼被修改,對相應的登錄時間、非法訪問進行檢測,從而能夠提高數據的安全性,避免數據丟失、泄露現象的出現。
3.3 加強防火墻配置
防火墻的作用是允許或是限制傳輸的數據通過,能夠自主選擇進入的數據,一定程度上保證了數據信息的安全。通常來說,常用的防火墻技術主要包括了:數據包處理技術、IP/URL過濾技術、TCP/IP協議處理等能夠對一些不合理的信息進行攔截,保護脆弱的服務,控制對系統的訪問,記錄和統計網絡利用數據以及非法使用數據情況從而保證數據信息的安全穩定。
3.4 加強局域網IP地址管理及網段劃分
首先做好IP地址方案的設計規劃,制定IP地址管理策略,合理分配IP地址,并根據業務需要劃分子網或是設置VLAN,制定頒布相關的局域網IP地址管理辦法,對IP地址的申請、使用、備案、禁用、回收進行嚴格管理,有效的局域網IP地址管理是局域網的安全和穩定的基礎。網絡分段是一種控制網絡廣播風暴的基本手段,也是一項保證網絡安全的重要措施。將非法用戶與敏感的網絡資源相互隔離,從而防止非法偵聽,網絡分段可分為物理分段和邏輯分段兩種方式。
3.5 安裝殺毒軟件
可在局域網中架設防病毒服務器,安裝絡版的殺毒軟件,將其和終端進行連接,然后在局域網內所有的電腦上安裝該殺毒軟件的客戶端,就能夠實現對局域網內所有的計算機的安全運行進行檢測和統一監控,對沒有安裝殺毒軟件的計算機進行警告,采用強制的手段安裝升級殺毒軟件,從而提高數據信息的安全性。例如:瑞星殺毒軟件網絡版采用“分布處理、集中控制”技術,以系統中心、服務器、客戶端、控制臺為核心結構,成功地實現了遠程自動安裝、遠程集中控管、遠程病毒報警、遠程卸載、遠程配置、智能升級、全網查殺、日志管理、病毒溯源等功能。另外,有條件的單位在實施網絡規劃時就將業務專網與行政專網進行徹底物理隔離,從而保證數據信息的安全。
4 總結
綜上所述,事業單位局域網絡的信息安全與病毒防護方式的研究具重要意義,隨著網絡技術的發展,事業單位信息安全管理首先從改變員工思維與安全意識著手,增強員工知識與技能,從實際出發,找出問題所在,制定有針對性的措施,從管理、技術、應用三個方面應用安全策略,才能保證事業單位局域網的安全運行,保證了良好的工作質量,避免因數據信息泄露造成難以彌補的損失和不可挽救的社會影響。
篇10
制定有效的網絡安全策略和方案是網絡信息安全的首要目標,而制定一個有效的安全策略的前提是要做出正確的網絡安全性評估,正確的安全性評估結果可以讓管理者掌握現有的安全狀況和安全策略中存在的漏洞,為提高網絡安全整體水平提供重要依據。
一、影響網絡安全的因素
1.物理環境
通信線路、物理設備、機房是否安全是影響網絡安全的一個重要因素。物理環境的安全性主要體現在通信線路是否可靠、軟硬件設備是否安全、設備是否有備份,防災害的能力、防干擾的能力以及設備的運行環境,是否有不間斷電源保障等等。
2.操作系統
網絡中所使用的操作系統是否安全對網絡安全也具有很重要的影響。主要表現在三方面,一是操作系統本身的設計是否存在缺陷。二是對操作系統的配置是否安全。三是操作系統的抗病毒能力。
3.網絡
網絡方面的安全性毋庸置疑是非常重要的影響因素,主要包括網絡層身份認證、網絡資源的訪問控制、數據傳輸的保密與完整性、遠程接入的安全、域名系統的安全、路由系統的安全、入侵檢測的手段、網絡設施防病毒等。
4.應用軟件和數據
所采用的應用軟件和數據是否安全同樣影響著網絡安全,如即時通訊、電子郵件系統、Web服務等。
5.管理制度
安全的網絡系統,必須還要有安全的管理。安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。管理的制度化極大程度地影響著整個網絡的安全,良好的安全管理可以在很大程度上降低其它方面的安全漏洞。
二、模糊綜合評判
網絡安全的評價具有很高的復雜性、不確定性,是一個模糊的概念,而且涉及到很多指標,不能只從某一個因素的情況去評價網絡安全,因而,使用模糊數學的綜合評判方法是適合的,它可以對受多個因素影響的事物做出全面評價。
在模糊綜合評價中模糊綜合決策模型由U、R、V三要素組成,其步驟分4步:
1確定因素集U={u1,u2,u3,……,un},代表n種因素(或指標)。
2確定V={v1,v2,v3,……,vm},代表m種評判.。
3建立單因素評價矩陣R
4 綜合評判,對于權重A=(a1,a2,a3,……,an),取max-min合成運算,即用模型M(∨,∧)計算,可得綜合評判。
在這里我們取U={u1,u2,u3, u4, u5},其中
u1=物理環境的安全性;u2=操作系統的安全性;u3=網絡的安全性;u4=應用的安全性;u5=管理的安全性;
取V={v1,v2,v3, v4,v5},其中
v1=“非常好”;v2=“好”;v3=“一般”;v4=“差”;v5=“非常差”;
由于各種指標(因素)所處的地位不同,作用也不同,當然權重也不同,因而評判也不同。人們對m種評判并不是絕對的否定或肯定,因此綜合評判應該是V上的一個模糊子集,其中bj(j=1,2,……,m)反映了第j種評判vj在綜合評判中所占的地位,而綜合評判依賴于各個因素的權重,它應該是U上的模糊子集A=(a1,a2,a3,……,an),且,其中ai表示第i種因素的權重,一但給定權重A,相應地可得到一個綜合評價。
首先,為了得到權重A,我們選取了60人對各個指標的重要程度進行投票,統計結果如表 1 所示:表
根據公式:(其中wj為第j種評價的權值,nij是第i種指標的第j種評價的投票數)可得:
其次,我們選取10名評判員對我們的網絡安全進行了評判,評判結果如表2所示:
表 2 網絡安全評判結果統計
依此表,可以得到隸屬度矩陣,即得模糊矩陣R:
根據可得
即
因為
歸一化后可得
由最大隸屬度法可得出結論:本網絡安全綜合評判結果為“非常好”。
結束語:模糊綜合評判決策是對受多種因素影響的事物做出全面的評價的一種十分有效的多因素決策方法,又被稱為模糊綜合決策或模糊多元決策。而網絡安全評價就是一個受多因素影響的復雜的模糊概念,所以非常適合于用模糊數學的方法來進行綜合評價。本文使用模糊數學的方法建立了網絡安全的評價模型,并給出了進行綜合評價的方法,事實證明跟實際情況比較吻合,所以方法是可行的。
參考文獻:
[1] 趙偉艇。網絡信息系統安全評價體系研究。微計算機信息,2007 年第23 卷第6-3 期。
[2] 劉洋。 模糊綜合評判在網絡安全評價中的應用。 四川兵工學報,2009 年8 月,第8期。
[3] 徐燕, 鐘德明。基于模糊評價方法的網絡安全評價研究。測控技術,2009年第28卷第2期。
篇11
隨著信息軍事時代的來臨,“網絡中心戰”、“網絡中心行動”成為當前軍事領域戰爭行動的基本方式。軍隊計算機網絡是實施網絡中心戰、網絡中心行動的關鍵基礎設施,是敵重點攻擊的對象,其安全防護情況直接關系其效能作用的發揮,關系到戰爭的勝負,因此必須認真研究分析其安全形勢,剖析存在問題,采取有力措施,提高安全防護能力。
1軍隊計算機網絡安全形勢分析
1.1形勢的嚴峻性
信息軍事時代,信息安全成為軍隊安全的重中之重。軍隊計算機網絡是承載信息的重要平臺,圍繞網絡展開的信息竊密與反竊密斗爭正愈演愈烈。一些國家和地區利用網絡大肆竊取我軍秘密信息,并綜合盜用黑客、木馬、病毒攻擊及竊取等多種信息作戰手段對我網絡進行破壞,嚴重威脅著國家和軍隊安全。
1.2威脅的多元性
軍隊計算機網絡雖然在物理上與其他網絡隔離,但是由于系統建設規模大、涉及領域廣、組織結構復雜、缺乏嚴密的法規標準,使得軍隊計算機網絡安全防護異常困難,從某種意義上講,計算機網絡上任何一個環節和關節點的被突破,都可能使全網和全系統癱瘓,后果不堪設想。
1.3事件的突發性
計算機網絡安全威脅往往具有潛伏性和不可預測性,對被攻擊方而言安全事件呈現出極強的突發性,被攻擊方往往會喪失寶貴的防御時間,為信息安全事件處置帶來極大的挑戰,計算機網絡安全威脅中的很多事件還沒有被察覺,就已經造成不可預料的損失。目前,計算機芯片、骨干路由器和微機主板等核心技術多數仍由國外進口,一旦敵對勢力在特定的時間激活惡意程序,就可以在我們毫無察覺的情況下瞬間發起攻擊,造成整個系統的癱瘓。
1.4處置的艱巨性
信息化條件下,信息爭奪空間巨大、流動性強,領域不斷拓展,安全隱患不斷增多。而當前部隊部分人員信息安全觀念淡薄;安全防護技術手段落后,針對性應急處置手段缺乏;法規制度不完備,組織安全防護力度差,對部分安全事件防護處置策略缺少相應的規范和力量。軍事網絡失泄密一旦發生,將導致整個網絡震蕩,失密影響范圍廣泛,泄密后果十分嚴重。
2軍隊計算絡安全存在的主要問題
計算機網絡安全保密工作十分重要,目前,我軍計算機網絡安全方面還存在以下問題:
2.1網絡安全防護意識比較淡薄
目前,部隊計算機網絡建設普遍受到高度重視,但是有些單位僅僅看到網絡建設帶來的顯著效益和便利,而對計算機網絡系統安全防護建設同步規劃、同步建設的認識較為短淺。從計算機網絡安全防護系統建設投入看,國外計算機網絡安全防護投入占整體投入的10-20%,我國僅占到2-5%,不足國外的四分之一,軍隊在此方面的投入也明顯不足。同時,受長期和平環境影響,“有密難保、無密可保”的思想意識普遍存在,對網絡安全問題關注不夠,思想意識比較淡薄,影響到計算機網絡整體安全防護建設的發展。
2.2網絡安全防護建設相對滯后
我軍圍繞作戰應用需求,重點加強了光纖傳輸鏈路建設,網絡基礎已經比較配套,但安全防護建設卻明顯滯后。部分單位未對網絡進行防火墻、保密機配套建設;相當數量的終端沒有安裝防病毒系統;入侵檢測沒有完全發揮起作用;安防系統系統建設各自為戰,無法形成整體安全防護體系等,這些都制約了計算機網絡安全防護整體水平的發展。。
2.3網絡安全防護標準尚未健全
當前,我軍陸續頒布了一系列與網絡信息安全相關的法律法規,但在安全保密等級劃分、網絡安全體系規范、網絡安全策略制定、網絡防護手段使用規范等方面仍存在不足。例如,對軍隊網絡安全體系建設標準中部分設備、系統未進行明確;安全防護等級雖已明確,但配套手段還沒有統一進行明確,無法達到最佳防護。同時,制度標準的落實情況也令人堪憂,有令不行、有禁不止的現象隨處可見,這些都對軍用計算機網絡系統帶來了巨大的安全隱患。
2.4網絡核心技術受制于人
雖然近年來我國的信息技術得以飛速發展,但仍沒有擺脫技術落后的局面,特別是計算機芯片、操作系統、路由協調等核心技術仍然沒有擺脫國外的束縛。目前,我軍大多數信息網絡采用的都是微軟的windows系列操作系統和TCP/IP、IPX/SPX等網絡協議,這些系統的共同特點是在設計之初主要考慮了易用性而忽視了系統安全性,使軍事信息網絡自身從建設之初就存在安全隱患。
3加強軍隊計算機網絡安全防護的對策措施
計算機網絡應用與安全防護問題相生相伴,是“矛”和“盾”的關系,信息安全問題將長期存在,不可能徹底避免和消除。為此,必須著眼防患于未然,積極建設計算機網絡安全防護體系,有效提升網絡安全防護能力,確保“非法用戶進不來,秘密信息取不走,網絡平臺摧不垮”。
3.1強化人員安全防護意識
強化軍隊人員的信息安全意識,一是通過大眾傳播媒介,增強信息安全意識,普及信息安全知識,依托信息服務網站開設信息網絡安全知識普及專欄,提高安全防護能力,增強部隊官兵信息安全防范意識。二是積極組織各種專題討論和培訓班,培養信息安全人才,使部隊有計算機網絡安全防護方面的“明白人”。三是要積極開展安全策略研究,明確安全責任,增強人員的責任心,全面提高部隊信息安全防護能力。
3.2建立健全安全管理機制
針對我軍軍事信息網絡安全防護現狀,制定和完善軍隊計算機網絡建設、管理與安全防護機制,確立網絡安全防護工作科學、合理的運行機制。一是配套法規標準。建立健全制度規定,明確各級責任、措施、手段;制定標準規范,明確建設技術體制;規劃安全策略,明確設備系統防護標準,以完善網絡安全法律體系,使信息安全管理走上法制化軌道,確保信息網絡安全有法可依、有章可循。二是建立協調機制。信息安全防護工作涉及多個業務職能部門,加強部門之間的相互協調、相互補充、統一規劃、統一管理,提升整體防護能力。三是組建安全隊伍。建立計算機網絡安全防護中心,明確安全防護機制,建立安全防護組織領導管理機構,明確領導及工作人員,制定管理崗位責任制及有關措施,嚴格內部安全管理機制,并對破壞網絡信息安全的事件進行調查和處理,確保網絡信息的安全。
3.3構建安全技術防護體系
重點加強四個體系建設:一是安全監察體系。建立健全網絡安全監察機制;配套建設計算機網絡入侵檢測、流量分析、行為審計等系統,增強安全事件的融合分析能力;配備安全管理系統,實現對全網安全策略的統一管理和控制;加強安全服務保障體系建設,提供病毒庫升級、補丁分發、安全預警等安全服務,通過各系統的綜合應用,提高網絡的綜合安全分析能力。二是終端防護體系。建立協調管理機制,規范和加強以身份認證、授權管理、責任認定等為主要內容的網絡信任體系建設;強化系統訪問控制,設定用戶訪問權限,防止非法用戶侵入或合法用戶不慎操作所造成的破壞;加強實體鑒別,保證用戶在獲取信息過程中不受干擾、不被假冒,確保用戶終端實體的可信;加強身份認證,為設備、用戶、應用等頒發數字證書,并提供數字簽名、身份驗證、訪問控制等服務,防止非授權接入和訪問;加強終端保護,進行終端操作系統的安全加固,防止非法登錄網絡,保證終端資源的可控;提供病毒防護功能,適時查殺病毒、檢查漏洞;提供主機入侵檢測功能,防止對終端的攻擊行為,從而全面建立終端防護體系,為終端用戶構造一個安全環境。三是安全評估體系。按照軍隊有關防護標準,綜合運用漏洞掃描、取證分析、滲透測試、入侵檢測等系統和手段對網絡進行掃描分析,客觀分析網絡與信息系統所面臨的威脅及其存在的脆弱性,對安全事件可能造成的危害程度進行科學的定性定量分析,并提出有針對性的防護對策和整改措施,全面防范、化解和減少信息安全風險。四是應急響應體系。加強信息安全應急支援隊伍建設,明確應急響應處置方法及原則;充分考慮抗毀性與災難恢復,制定和完善應急處置預案根據安全級別的要求來制定響應策略;建立容災備份設施系統,規范備份制度與流程,對域名系統、網管系統、郵件系統及重要業務系統等重要信息、數據適時進行備份,確保系統崩潰以后能夠在最短時間內快速恢復運行,提高信息網絡的安全性和抗毀性。
3.4發展自主信息安全產業
自主信息產業或信息產品國產化能夠為信息安全提供更高保證。要加強計算機網絡安全保密設備和系統的“軍產化”,“獨立化”建設。為此,應抓好以下幾個方面的工作:一是組織核心技術攻關,如研發自主操作系統、密碼專用芯片和安全處理器等,狠抓技術及系統的綜合集成,以確保軍用計算機信息系統安全。二是加強關鍵技術研究,如密碼技術、鑒別技術、病毒防御技術、入侵檢測技術等,有效提高軍用計算機網絡的安全防護能力。三是尋求監測評估手段,如網絡偵察技術、信息監測技術、風險管理技術、測試評估技術等,構建具有我軍特色、行之有效的計算機網絡安全保密平臺,實現網絡及終端的可信、可管、可控,擺脫網絡安全受制于人的被動局面。
軍隊計算機網絡安全防護涉及要素眾多,是一個系統的整體的過程。在進行防護時,要充分認清計算機網絡安全面臨的嚴峻形勢,認真查找存在的問題,系統整體的采取有針對性的防范措施,從而提高網絡安全防護能力。
參考文獻:
[1]曹旭.計算機網絡安全策略探討[J].計算機安全,2011(21).
[2]劉萍.計算機網絡安全及防范技術探討[J].科技信息,2010(15).
篇12
一、轉變應用思維,提升網絡安全防護策略的意識
當前計算機網絡的應用領域是非常寬泛的,使用的人群也非常的多,在使用用戶不斷增加的情況下,用戶群體的網絡安全意識也層次不齊,有些人缺乏必要的網絡安全技能和網絡安全防范意識,有的掌握了很高超的網絡使用技術,掌握了黑客和病毒技術,他們一部分人就會巧用這些技術破壞網絡,造成網絡威脅。計算機網絡分層縱深安全防護是一項技術、安全、管理并重的工作,但是在操作的過程中往往只關注技術的使用是否到位,而忽略使用中的安全和管理工作。在使用群體中,一定要技術到位、安全意識到位和管理意識到位,只有這樣才能發揮計算機網絡層次防護體系的建設和作用的發揮。計算機網絡在各領域中的廣泛使用,涉及到教育、醫療、金融、物流、文化、軍事、農業等,要實現網絡安全就必須提升計算機網絡安全的防范措施和預警機制,在這樣的環境下,才能提升計算機網絡分層次縱深安全防護策略體系的作用,確保網絡安全。
二、匹配硬件設施,提高安全設施的配備配置
確保計算機網絡信息的安全,除了掌握必要的安全防范措施之外,還需要借助一定的硬件設置。在構建計算機網絡安全防范體系實際工作中,很多的計算機網絡用戶群體為了減少費用開支,節約成本,或者由于缺乏必要的網絡安全知識等,在使用網絡的時候沒有配備完善的網絡安全設備,也缺乏終端用戶的安全監控和檢測,防護設備也不全面,這些都大大增加了網絡的不安全性和不穩定性。工作實踐證明,要想提升計算機網絡的安全參數和安全性能,免受大規模的或者大面積的網絡攻擊與破壞,需要用戶在網內和網外接口處配置統一的網絡安全控制和監控設備,匹配必要的網絡安全硬件設施,而且還要充分的考慮到安全設備的可擴展性。在計算機網絡使用和防護的過程中,實現網絡防護、預警和監控一體的運營模式,才能阻止和阻攔不健康的、惡性信息,也能在遇到故障后及時檢修和保護,確保計算機網絡的安全。計算機網絡分層安全防護體系的構建不是一蹴而就的,也不是單一存在的,而是各部分之間相輔相成,相互促進和影響。
三、關注重點防護,優化網絡安全訪問的控制
在計算機網絡安全防范措施中,構建計算機網絡分層次縱深安全防護策略體系是非常有效的。安全防范控制是分層次縱深安全防護體系構建的關鍵,也可以說是核心組成部分。一般它包括:用戶和網絡訪問控制、網絡權限控制、屬性安全控制和服務器安全控制等等。用戶和網絡訪問控制,在有效設計訪問步驟的時候,填寫按照用戶身份――用戶口令――識別驗證信息――賬戶缺省限制檢查來完成,一旦有環節出現問題,用戶就不能訪問網絡,確保訪問權限發揮應有的作用。網絡權限控制,這種網絡防護的方法主要是應對網絡非法操作的策略,有效的通過后臺的設置,規定哪些信息可以訪問,那些指令可以操作。屬性安全設置,主要是為使用的用戶群提供文檔文件資料和網絡設備的訪問屬性,并確保訪問屬性的安全性。服務器安全控制,主要是在服務器上下載、使用和更新安全軟件,通過有效的設置安全口令、鎖定服務、設置登錄限制的時間等途徑,防止額外用戶和非法用戶篡改和刪除數據資料信息。另外,還有就是網絡端口安全的控制和防火墻的控制。
當下計算機網絡的廣泛使用使得網絡安全備受關注,在提升計算機網絡安全的途徑上也是逐漸的顯示多元化,但是無論采取何種手段,計算機網絡威脅會依然存在。構建計算機網絡分層次縱深安全防護策略體系是一種較為有效的路徑,希望能促進計算機網絡的健康可持續發展。
參 考 文 獻
篇13
目前已經進入到信息時代,這樣便在很大程度上推動了計算機網絡技術的進一步發展,但同時也對安全防護技術提出了更為嚴格的要求。計算機網絡環境中存在大量風險,如病毒、黑客以及網絡攻擊等,很容易造成信息泄露,危害人身財產安全。因為提高計算機應用的安全性,必須要做好各項網絡風險的分析,加強安全防護技術的研究,爭取不斷提高網絡運行安全性。
1計算機網絡安全特點
計算機網絡運行為開放式環境,這樣就很容易受到各項因素的影響,如常見的網絡病毒、木馬、計算機蠕蟲等,同時還會遭受網絡攻擊,通過不正當行為非法獲取個人信息,造成信息泄露,增加了網絡運行風險。另外,在用戶操作時,經常會因為失誤或者好奇而進入錯誤網站,該網站然后通過第三方特殊軟件,進入到用戶者電腦竊取機密信息,造成信息泄露。為提高計算機網絡技術應用綜合效果,必須要針對常見安全風險進行綜合分析,采取一系列措施,進行硬件與軟件防護。對于計算機網絡安全防護來說,需要具有保密性、完整性、可用性以及可控性等特點,即所用安保防護措施可以最大程度的提高計算機網絡環境保密性,數據在未經授權的前提下,不能進行再編輯,并且在存儲或傳輸工程中不會出現破壞或者丟失等情況,同時還需要對信息內容以及傳播渠道具有控制能力[1]。
2計算機網絡安全防護技術分析
2.1 防火墻防護
防火墻是計算機網絡安全防護常用方法之一,主要就是在計算機網絡與網絡安全域之間構建一個一系列部件的組合,作為網絡安全的第一道防護屏障,對提高計算機風險抵抗力具有良好效果。并且與其他防護方法相比,此種方法電腦管理者可以實現自動控制,是管理人員對電腦內部用戶訪問外界網絡的唯一權限。對于防火墻來說,其具有一定的網絡攻擊抵御能力,因此在設計時可以對電腦防火墻進行系統整體升級,避免木馬病毒進入電腦,來確保信息數據的安全性。
2.2加密防護技術
信息加密已經成為計算機安全防護的主要技術之一,如常見的RSA、DES等。在進行信息加密時,可以根據DES算法隨機選擇功能來確定DES密鑰,并通過此種算法來對信息原文進行加密,最后利用密鑰完成加密信息的破解,完成信息的訪問需求。并且,加密防護技術還可以應用于計算機節點信息,來提高節點信息的安全性,端到端加密方式可以保證信息傳輸均以密文形式進行,有效降低了外界風險因素的影響。
2.3 網絡訪問控制
計算機網絡運行時,如果進行數據信息的遠程傳輸,在不采取任何防護措施的情況,會為木馬病毒提供訪問計算機的途徑。為提高計算機網絡防護安全效果,因此需要在對防火墻升級基礎上,做好網絡訪問控制技術的研究。即對路由器進行控制,來提高用戶局域網運行安全性。或者是對計算機內文件信息設置訪問權限,在權限驗證通過后才可訪問文件,來避免病毒對文件信息的破壞與竊取。
3計算機網絡安全入侵檢測技術分析
3.1 檢測方法
目前所應用入侵檢測技術,根據其應用范圍可以分為主機型、型以及網絡型三種,而以入侵技術為依據,又可以分為異常入侵檢測與誤用入侵檢測兩種[2]。第一,異常檢測模型。主要檢測與可接受行為之間存在的偏差,如果將行為定義為可接受性,則確定不可接受對象為入侵。檢測時需要對正常操作特征進行總結,如果用戶出現與正常行為相差較大的情況則認為存在入侵。第二,誤用檢測模型。主要檢測與已知不可接受行為之間的匹配效果,對不可接受行為進行定義,這樣一旦遇到可以匹配的行為便會發出告警。對非正常操作行為特征進行收集,并建立相應的特征庫,在監測用戶以及系統行為與特征庫信息匹配時,則可以斷定存在入侵。
3.2 風險檢測過程
3.2.1收集信息
首先需要對用戶活動、系統網絡等數據信息進行全面收集,此環節工作通過設置在不同網段傳感器以及不同主機來完成,主要包括網絡流量、網絡日志文件、異常目錄與文件變更以及異常程序執行等。
3.2.2分析信息
待收集完各項系統運行以及活動數據信息后,將其全部輸送到檢測引擎。檢測引擎駐留在傳感器中,通過模式匹配、統計分析以及完整性分析等方式,來完成所有信息的分析[3]。在檢測工程中一旦發現存在誤用模式,則會向控制臺發送告警信號。
3.2.3結果處理
控制臺接收到告警信息后,根據預先定義的響應方案采取相應措施,如常見的終止進程、配置路由器與防火墻、改變文件屬性以及切斷連接等,確保系統運行的安全性。
4結語
計算機網絡安全現在已經成為重點研究內容,不僅僅需要安裝常規殺毒軟件,更重要的是要進行安全防護技術的研究與應用,提高計算機對網絡風險的抵抗能力。目前已經有更多安全防護技術被應用到計算機安全防護中,但是還需要繼續做好技術性研究,爭取不斷提高網絡運行安全性與可靠性。
參考文獻
[1] 邊云生.計算機網絡安全防護技術探究[J].電腦知識與技術,2011,31:7603-7604.
[2] 孫嘉葦.對計算機網絡安全防護技術的探討[J].計算機光盤軟件與應用,2012,02:93-94.
