引論:我們為您整理了13篇網絡安全保障措施范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
全國消防計算機通信網絡以公安信息網為依托,由消防信息網和指揮調度網構成,分別形成三級網絡結構。消防信息網是各級消防部門的日常辦公網絡,作為消防業務傳輸網;指揮調度網主要用于部局、總隊、支隊、大隊(中隊)等單位的視頻會議、遠程視頻監控、滅火救援指揮調度系統應用等業務,作為消防指揮調度專用傳輸網。隨著網絡規模的不斷擴大,來自內部網絡的威脅也日漸增多,必須利用信息安全基礎設施和信息系統防護手段,構建與基礎網絡相適應的信息安全保障體系。
1 計算機網絡安全防護措施
計算機網絡安全防護措施主要有防火墻、入侵防護、病毒防護、攻擊防護、入侵檢測、網絡審計和統一威脅管理系統等幾項(如下圖)。
1.1 防火墻。防火墻主要部署在網絡邊界,可以實現安全的訪問控制與邊界隔離,防范攻擊行為。防火墻的規則庫定義了源IP地址、目的IP地址、源端口和目的端口,一般攻擊通常會有很多征兆,可以及時將這些征兆加入規則庫中。目前網上部署的防火墻主要是網絡層防火墻,可實時在各受信級網絡間執行網絡安全策略,且具備包過濾、網絡地址轉換、狀態性協議檢測、VPN等技術。
1.2 入侵防御系統(Intrusion Prevention System,IPS)。IPS串接在防火墻后面,在防火墻進行訪問控制,保證了訪問的合法性之后,IPS動態的進行入侵行為的保護,對訪問狀態進行檢測、對通信協議和應用協議進行檢測、對內容進行深度的檢測。阻斷來自內部的數據攻擊以及垃圾數據流的泛濫。防火墻降低了惡意流量進出網絡的可能性,并能確保只有與協議一致的流量才能通過防火墻。如果惡意流量偽裝成正常的流量,并且與協議的行為一致,這樣的情況,IPS設備能夠在關鍵點上對網絡和主機進行監視并防御,以防止惡意行為。
1.3 防病毒網關。防病毒網關部署在病毒風險最高、最接近病毒發生源的安全邊界處,如內網終端區和防火墻與路由器之間,可以對進站或進入安全區的數據進行病毒掃描,把病毒完全攔截在網絡的外部,以減少病毒滲入內網后造成的危害。為使得達到最佳防毒效果,防病毒網關設備和桌面防病毒軟件應為不同的廠家產品。網絡版殺毒軟件的病毒掃描和處理方式主要是通過客戶端殺毒,通過企業版防毒軟件統一對已經進入內部網絡的病毒進行處理。
1.4 網絡安全審計系統。網絡安全審計系統作為一個完整安全框架中的一個必要環節,作為對防火墻系統和入侵防御系統的一個補充,其功能:首先它能夠檢測出某些特殊的IPS無法檢測的入侵行為(比如時間跨度很大的長期攻擊特征);其次它可以對入侵行為進行記錄、報警和阻斷等,并可以在任何時間對其進行再現以達到取證的目的;最后它可以用來提取一些未知的或者未被發現的入侵行為模式等。網絡安全審計系統與防火墻、入侵檢測的區別主要是對網絡的應用層內容進行審計與分析。
1.5 統一威脅管理系統(UTM)。UTM常定義為由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能,同時將多種安全特性集成于一個硬件設備里,形成標準的統一威脅管理平臺。UTM設備具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能。雖然UTM集成了多種功能,但卻不一定會同時開啟。根據不同用戶的不同需求以及不同的網絡規模,UTM產品分為不同的級別。UTM部署在安全域邊界上,可以根據保護對象所需的安全防護措施,靈活的開啟防火墻、IPS、防病毒、內容過濾等防護模塊,實現按需防護、深度防護的建設目標。采用UTM設備來構成本方案的核心產品,可有效節約建設資金,又能達到更好的防護效果。
2 消防指揮網絡安全設備部署
市級消防指揮網絡是市支隊與各區(縣)大隊或中隊之間部署的專網,規模相對較小,主要用途為視頻會議、遠程視頻監控、接處警終端和滅火救援指揮調度應用系統等業務,可按需選擇部署防火墻、入侵防護系統、防病毒網關、統一威脅管理系統、入侵檢測系統、網絡安全審計七類設備。(如圖)
2.1 計算機安全防護軟件:在網內計算機終端統一安裝防病毒軟件、終端安全軟件、一機兩用監控軟件。補丁分發管理系統和終端漏洞掃描系統統一由省級指揮中心部署,用來管理市級指揮調度網內計算機。這樣,可以防止安全風險擴散,保障由終端、服務器及應用系統等構成的計算環境的安全。
2.2 指揮調度網安全邊界:在市級指揮調度網與省級指揮調度網聯網邊界部署統一威脅管理系統(UTM),開啟防火墻、入侵防護、網關防病毒、VPN等功能模塊,在專網安全邊界對各種風險統一防護。在核心交換機上部署網絡審計系統對內網中的網絡通信進行記錄和分析,及時發現可能存在的網絡事件。
2.3 內網終端區:內網終端區主要有計算機接處警終端、視頻會議終端、視頻監控終端等,操作應用人員比較復雜,隨意使用移動存儲設備的可能性大,在內網終端區安全邊界區部署一臺防病毒網關進行病毒過濾,防止病毒向其他區域擴散。
2.4 核心業務處理區:主要包括滅火救援指揮調度相關的業務系統、綜合統計分析、綜合報表管理等業務系統。部署一臺防火墻對核心業務處理區進行訪問控制,阻斷對安全區內的業務服務的非法訪問;再部署一臺IPS,實時發現并阻斷針對核心業務處理區的入侵和攻擊行為。
2.5 指揮中心邊界:部署一臺防火墻對支隊指揮中心與上級指揮中心之間的業務訪問進行訪問控制和攻擊防御。
2.6 內網管理區:區中主要有各類管理服務器,用于集中進行安全策略的定制、下發、集中監控各類系統的運行狀態。主要包括設備管理、終端管理、防病毒管理等。
如果市級指揮中心規模較小,可以將核心業務處理區、內網管理區和指揮中心區合并為同一個安全域,共同部署一臺IPS和防火墻。
3 總結
總之,網絡安全是一項綜合性的課題,它涉及技術、管理、應用等許多方面,既包括信息系統本身的安全問題,又有網絡防護的技術措施。我們必須綜合考慮安全因素,在采用各種安全技術控制措施的同時,制定層次化的安全策略,完善安全管理組織機構和人員配備,才能有效地實現網絡信息的相對安全。
參考文獻:
[1]楊義先,任金強.信息安全新技術[M].北京:北京郵電大學出版社,2002.
篇2
1網絡通信中信息安全的重要性
網絡具有開放性和包容性的特點,任何一個用戶都可以參與到網絡中來,由此為一些別有用心的提供了可乘之機,為了自己的利益就會通過各種惡意的攻擊手段非法獲取企業的重要信息,由此對企業造成難以想象的損害。信息安全問題的產生原因有很多種,由于企業內部網絡結構不合理,自身的安全防御能力較低,以及企業內部信息安全管理人員水平不高,或者企業內部的信息安全管理工作不到位等等,都為不法分子創造了機會。而如果網絡黑客對網絡信息進行惡意修改或者刪除等行為,根據網絡信息的性質不同,所產生的危害程度也不相同。在網絡通信技術高度發達的現代化社會,企業間利用網絡通信技術已經實現了跨區域的信息交流,并且隨著網絡技術的逐步擴展,參與到網絡中的信息來源就越多,不僅關系到企業的發展,同時還有政府的電子政務公開、個企事業單位的辦公平臺以及國家各級政府的內部信息等,都會面臨信息安全的威脅。所以根據信息機密程度的不同,應該相應的提高信息安全防范措施,另一方面也應該對威脅信息安全的行為以及操作者給予嚴厲的打擊,為凈化網絡環境提供有利的條件。
2網絡通信中信息安全存在的問題
2.1本身結構不合理
網絡通信的數據交換是以網際間技術為支撐,立足于TCP/IP協議的用戶。想要得到遠程授權,必須在互聯網上進行注冊,而注冊則需用TCP/IP協議的方式,這一協議本身存在結構上的問題,之所以會有網絡間漏洞的產生,就源于這種樹狀的通訊形式。黑客和病毒會趁機對網絡進行攻擊,竊取竊聽網絡信息,對網絡通信中的信息安全產生嚴重的影響。
2.2網絡通信軟件有漏洞
目前,人們所使用的基礎性的和商務軟件基本都是開放的公開性的,人們在軟件設計的同時不可避免的會存在一些漏洞,所以時常會有一些補丁程序來修復軟件,但也會有不及時修復漏洞的時候,一些不法分子就會利用這些軟件漏洞,在網絡通信過程中直接侵入網絡系統,使網絡通訊信息出現丟失和破壞,使整個通訊網絡受到威脅。
2.3網絡通訊系統不完善
網絡通訊系統很容易受到不法分子人為的攻擊,信息泄露的很大一部分原因是因為操作系統出現漏洞,一旦出現漏洞,覬覦網絡資源已久的不法分子就會趁虛而入,對計算機系統的終端進行攻擊,獲取非法經濟利益。
3網絡通信中信息安全的保障策略
3.1加強通信協議
TCP/IP的安全一般情況下,不法分子對網絡系統進行攻擊時主要采用獲取用戶IP的方式,因此要重點保護IP地址,TCP/IP結構的第二層是交換機,信息的傳遞必須要經過交換機,加強對交換機的控制就能有效的保護IP地址。另外一個保護用戶IP地址的有效方法是對路由器進行隔離控制,對來訪的IP地址進行有效的監控,發現可疑的非法的IP立即終止其訪問,斷絕了不法分子的非法入侵過程,有效的保護了IP地址的安全。
3.2運用用戶識別技術
用戶識別技術主要包括口令和用戶名密碼的形式,通過身份驗證來對用戶進行識別,為用戶個人的信息安全提供一定的保障。口令是用于用戶識別的基本方法,在進行計算機操作時,會隨機生成一種口令,因為具有隨機性,所以安全程度較高,不容易泄漏,可以有效的提高保密性,但是其缺點就是不利于記憶。用戶名密碼是人們比較常用的一項用戶識別技術,用戶需要同時將用戶名和密碼輸入正確,才能夠獲取訪問權限,因為兩項加密技術,所以對于一般性的信息還是具有較強的保密性。這類技術通常也應用于企業內部各種公共信息的管理,按照信息價值的不同,將信息分成不同的級別,每個級別都設置不同的用戶名密碼,只有相應權限的人才能夠掌握用戶名密碼進行訪問,在一定程度上保證企業內部信息的安全。
3.3加強對計算機病毒的防范
一些計算機病毒會對系統漏進行攻擊,也可以潛伏占用內存,計算病毒的種類繁多,而且發展迅猛,它依附于一些文件、電子郵件進行傳播,打開文件郵件的同時病毒就植入了你的電腦。安裝一些有效的病毒查殺軟件,并且軟件具有在線升級服務,病毒的廠商還要隨時關注病毒動態一些補丁,還要手動對一些可疑文件進行在線監測,對網絡郵件不要輕易打開對其進行實時監控。做到有效防止病毒的侵入。
3.4建立完善的防火墻系統
防火墻是客戶端普遍采用的方法,它可以檢測數據流,進而限制穿越防火墻的數據流,有效的屏蔽外部網絡對用戶的竊聽,保護個人的信息不丟失,達到有效保護的目的。建立一個牢固的防火墻,需要不時的更新掃描病毒的各項插件,防止病毒的惡意入侵時刻監視著病毒,將其阻擋在防火墻之外,才能更好地保障網絡通信中的信息安全。
4結束語
隨著網路通信技術的普及,已經廣泛的應用于人們的工作和生活中,網絡是一個虛擬的空間,但是其中也涵蓋了大量的重要信息,包括個人信息、企業信息、政府信息等等,而在這種開放性的網絡環境下,如何管理信息安全是一個重要的問題。一旦網絡信息出現安全問題,將會對個人隱私、企業機密以及政府核心信息等造成嚴重的威脅,不僅對個體和團體造成影響,同時也不利于社會的穩定。所以應該加強網絡通信信息安全治理,讓網絡通信為社會的發展創造更多的利益,盡量降低因為信息安全而帶來的負面影響,共同打造一個健康的網絡環境。
作者:范生平 單位:武警天津總隊四支隊網絡管理站
參考文獻:
篇3
網絡具有較強的開放性和普遍性特征,其作為一個大眾化的平臺,人人都可以參與進來。網絡的靈活性和開放性給人們帶來較大便利的同時,也為一些不法人員提供了有利的機會,利用網絡來進行違規操作,竊取信息。在網絡通信發展過程中各種安全問題不斷涌現,無論是網絡黑客還是病毒都給網絡系統的安全性帶來了較大的威脅,一旦侵入到網絡系統中,則會對用戶信息進行刪除、損壞、篡改等,導致信息的安全無法得到有效的保障。所以網絡通信的信息安全具有極為重要的作用,需要我們加強網絡通信質量的提高,確保信息的安全性,從而為信息交換安全提供重要的保障。
2網絡的通信安全
網絡的通信安全的感念包含多個方面的要素,從廣義的國際化方面來講,網絡通信的信息需要滿足可用性、有效性、完整性和保密性才能說是安全的,通常情況下,網絡通訊安全就是從網絡固有的特點出發,根據網絡信息安全技術和針對侵害網絡硬件系統所采取的解決措施的一系列服務。
2.1影響網絡通信安全的因素
造成網絡通信安全問題的因素有很多,主要包含硬軟件上的缺陷和人為破壞。首先是硬件和軟件方面,為了方便管理,很多網絡通信的軟硬件系統都設置了遠程終端登陸和控制系統,雖然這樣的設計為人們的生產和生活都帶來了很多的便利,但是隨之而來的問題則是,病毒木馬以及網絡黑客可以通過這種遠程管理通道侵入該系統,由此帶來一定程度的安全隱患。此外,即便是遠程客戶端軟件在設計之初就將這樣的安全問題予以考慮,那經過一定時期之后能夠對系統的安全屏障帶來安全隱患的病毒也會出現,網絡通信的安全問題又會再次凸顯出來。主要應用于國際網絡的傳輸控制協議與互聯網協議(TCP/IP)的服務還存在比較脆弱地方,雖然這些協議都是互聯網最為基本的協議而且這樣的協議在設計方面是相當有效的,但是其安全系數任然不是很穩定,為了維護該協議的穩定服務就得增加網絡代碼的數量,代碼數量增多的同時運行效率就會遭受影響,所以傳輸控制協議與互聯網協議自身的服務是具有安全隱患的,繼而不難推出,以這樣的協議為基礎的應用服務,如網絡電子郵件文件傳輸協議等服務都會遭受相應程度的安全威脅。人為因素導致的網絡通信安全問題也是不容忽視的,計算機技術管理人員對于安全通信意識薄弱或者安全技術不過關,造成的管理不到位,更有甚者會利用自己的合法身份進入網絡通信系統進行一些惡意的篡改、竊取等破壞性操作。
2.2常用的通信安全技術
最為常見的通信安全技術是數據加密技術,該技術是將通常情況下能被人識別的明文轉化為獨有的團體或者個人所能識別的密文。數字簽名技術是一種能夠對某部分信息進行審核論證的一種有效措施。比較常用的有數據加密技術,所謂的加密就是將明文轉化為密文的過程。還有數字簽名的技術,這是一種對某些信息進行研究論證的較有效手段,該技術通過數字簽名這個加密的過程和數字簽名驗證這個解密的過程將,保證信息傳輸的完整性、發送者的身份認證、防止交易中的抵賴發生。訪問控制,該技術通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問,它對于網絡資源的保護就在于,只有合法的主體才能授權訪問,有效的防治網絡資源被不法分子利用。
3網絡通信信息安全問題的重點問題
3.1網絡通信信息結構的安全問題
就現階段的發展而言,網絡通信主要立足于TCP/IP協議,從而實現實現網絡的數據交換,但這又存在結構弊端,此通信形式屬于樹狀方式,這樣就容易在網絡連接的過程中產生漏洞,黑客和病毒就可能會利用漏洞,入侵通信網絡,進而竊聽網絡信息,甚至出現網絡信息丟失的情況。
3.2網絡通信軟件存在的安全問題
現階段網絡通信的基礎性軟件和應用性軟件有著極為明顯的開放化和公開化的發展趨勢,這當然可以方便人們,但同時在軟件系統在源代碼方面也容易被黑客和不法分子利用,軟件系統就很容易成為其攻擊的對象進行入侵,這一方面會對網絡通信信息系統產生一定的影響,另一方面還會使信息遭到破壞。
3.3對惡意攻擊的被動性問題
攻擊網絡通信信息的方法多種多樣,創新型攻擊在其中所占的比重是比較大的,旨在加強網絡通信信息的安全,需要從多方面多角度來加大對網絡通信防火墻系統的建設,不斷完善防火墻系統,建立網絡通信信息安全維護工作體系,以便于對惡意攻擊設置一道安全屏障。但是就算是比較完備的系統和結構,要想達到完全的防范攻擊是比較難以實現的,再加上相關人員缺乏對防火墻建設的重要意義明確認識,就很有可能為惡意攻擊創造便利條件。
4網絡通信中信息安全的保障措施
4.1用戶應當保護好自己的
IP地址黑客入侵或攻擊互聯網用戶的最主要目標。在用戶進行網絡信息傳輸時,交換機是進行信息傳遞的重要環節,因此,用戶可以利用對網絡交換機安全的嚴格保護來保證信息的安全傳輸。除此之外,對所使用的路由器進行嚴格的控制與隔離等方式也可以加強用戶所使用的IP地址的安全。
4.2對信息進行加密
網絡通信中出現的信息安全問題主要包括信息的傳遞以及存儲過程當中的安全問題。在這兩個過程當中,黑客通過竊聽傳輸時的信息、盜取互聯網用戶的相關資料、對信息進行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網絡通信當中信息的安全做出威脅。互聯網用戶如果在進行信息傳遞與存儲時,能夠根據具體情況選用合理的方法來對信息進行嚴格的加密處理,那么便可以有效地防治這些信息安全問題的產生。
4.3完善身份驗證系統
身份驗證是互聯網用戶進行網絡通信的首要步驟。在進行身份驗證時一般都需要同時具備用戶名以及密碼才能完成登錄。在驗證過程當中用戶需要注意的是要盡量將用戶名、密碼分開儲存,可以適當地使用一次性密碼,還可以利用安全口令等方法來保證身份驗證的安全,同時還可以采用手機短消息驗證碼方式來進行身份驗證。隨著科技的快速發展,目前一些指紋驗證、視網膜驗證等先進生物檢測方法也慢慢得到了運用,這給網絡通信信息安全提供了極大的保障。
5技術應用與分析
5.1防火墻
作為在計算機網絡安全系統中的一種主要措施和屏障,防火墻的構成分為軟件和硬件。這樣,使得防火墻可以為不同網絡和計算機之間的通信提供防護,逐漸發展成為計算機與公共網絡之間所采用的可靠隔離技術。現在,預防網絡安全問題的主要技術和方法就是基于防火墻來實現。通過防火墻,就可以將存在于網絡上的各種不確定性因素進行有效隔離,從而有效提高網絡的安全性,降低整個網絡在應用中的安全風險。
5.2數據加密
對各種網絡數據進行加密,也是一種比較有效的網絡安全技術。該技術可以通過對數據發送方和接收方所傳送的數據進行加密,從而實現對用戶數據的安全防護。在此過程中所采用的加密方式,通常都是將需要傳送的數據通過轉換函數來進行加密,而接收方收到經過加密的文件后,還需要將其還原。而在對這些保密數據進行加密和解密的過程中,關鍵的環節就是密鑰的生成。
5.3網絡訪問控制技術
網絡訪問控制技術,就是通過網絡中的路由設備,實現對外界所傳遞的各種信息和數據的控制,從而可以為計算機網絡用戶提供網絡訪問、文件傳輸以及遠程登錄過程中的安全防護,避免受到惡意攻擊。此外,還可以對登錄者的身份進行驗證,從而有效防止非法用戶的系統的入侵,使網絡系統的安全性得到提高。
5.4安全漏洞檢測技術
對操作系統中所存在的漏洞進行及時的掃描和檢測,能夠將系統中的嚴重漏洞及時發現在黑客攻擊之前,并對其進行彌補,確保系統具有更高的安全性。在實際的應用中,計算機用戶不可避免的要對系統中所存在的安全漏洞進行檢測。其實,具體的系統漏洞掃描中所采用的形式主要由主動掃描、被動掃描、本地掃描以及網絡掃描等多種。
5.5數據庫的備份與恢復技術
對網絡中各種數據的存儲離不開數據庫,而數據庫則應該采用一用一備的方式,完成對重要數據的備份。進而實現主數據庫的備份、數據庫的日常維護和日志生成等操作。以為只有通過對網絡中關鍵數據的維護與備份,才能在發生突發事件的情況下,保證系統數據不受影響。
5.6虛擬專用網絡技術
現在,虛擬專用網絡技術的應用已經非常普遍,該技術主要以多種透明傳輸技術為基礎,為網絡傳輸提供支持。而針對分布在不同區域中的專用和公共網絡,則可以通過虛擬專用網絡技術來為其提供更加保密的通信,使得在網絡中所傳輸的數據更加安全,避免出現數據丟失現象。
5.7服務器
網絡通信中所采用的服務器技術,就是將某個服務器作為網絡終端用戶與網絡本身之間的一種橋接,使得用戶的訪問都通過服務器來實現,進而起到緩沖的作用,有效提高本地瀏覽器的速度。不僅如此,服務器還可以對用戶的信息進行有效隱藏,避免網絡上的攻擊直接作用于用戶的主機,實現對用戶計算機的安全防護。
篇4
一、現階段我國網絡信息安全技術問題
從現階段我國網絡信息安全技術法律法規文獻方面來說,盡管國家頒布了相應法律以及政府出臺了相關文件,這些法律條文對計算機網絡應用和安全方面具有一定的約束以及保護力,但是整體上來看,這些條文對網絡信息內容規范的較為分散,沒有一個系統的規劃,盡管國家出臺了相應規劃措施,但是由于信息技術的不斷發展,計算機網絡安全問題層出不窮,這就給網絡信息安全技術提出了一大難題[1]。
我國信息化建設盡管發展迅猛,但是由于發展較晚且時間短,在計算機網絡軟硬件的信息技術上依賴于進口,這就對造成網絡信息安全隱患。信息網絡應用中長期存在病毒問題,隨著技術發展,病毒本身也在不斷發展完善,現階段的病毒通過多種途徑進行蔓延,它們一般都具有自啟功能,一旦侵入直達核心系統和文件,造成數據傳輸問題,甚至出現系統崩潰。涉密信息在傳輸中安全性低,這就造成涉密信息在傳輸中極易被破譯和搜索。很多電腦在網絡中沒有保護措施,這就很容易受到內部或者外部威脅的入侵,造成網絡安全問題[2]。
網絡技術發展中,人們的眼光聚焦在基礎設施建設上,對于網絡安全建設重視度不夠,一旦安全出現問題,沒有有效科學的補救措施,有時甚至采取關閉網絡的方式解決問題,加劇了問題的嚴重程度。
二、保障網絡信息安全的技術措施
2.1政府法律制度上的完善
網絡信息安全的發展需要政府法律制度的支持,從而保證每個行為都能有法律參考,同時要確保對法律法規進行及時更新以及,從而確保法律制度的完善,為網絡信息安全提供法律保護。
2.2安全技術上的不斷提高
2.2.1計算機數據操作安全應用
現階段的數據操作安全應用上,對于C2級別操作系統使用時,要盡量保證相關配套的使用,對于特別重要的系統要應用A級別系統保護。
2.2.2計算機網絡信息安全防護措施
網絡信息安全防護措施中最常見的就是防火墻和防病毒軟件,它們能對病毒進行實時掃描和檢測,在清理病毒過程中,主動進行病毒防御清掃工作,對電腦內文件、內存和網頁信息進行實時監控,一旦發現異常情況可以及時采取手段進行處理,防火墻是防病毒軟件和硬件共同合作的產物,它通過防火墻自身內外網之間的安全網關對流通的數據進行實時有效的過濾和選擇,控制信息是否能夠安全進行轉發,同時防火墻可以控制信息的流向,并對網絡使用情況以及流量使用狀況進行審計,隱藏網絡內部IP地址等作用[3]。防火墻的使用,有效的幫助電腦系統進行網絡安全隔離,利用網絡信息安全過濾規則對外網用戶進行非法訪問設置,同時只開啟必須的網絡服務功能,對外部的服務進行防范攻擊,保證網絡信息的安全使用同時為網絡信息安全使用創造大環境。
2.2.3企業單位安全路由器的使用
企業單位內外部網絡的連接、流量使用和網絡信息安全都需要安全路由器設備的使用來實現有效的網絡信息安全防護工作。
2.2.4計算機網絡信息安全防御體系
網絡信息安全防御體系中,病毒入侵檢測能力是判斷安全防御體系的重要因素。電腦入侵檢測系統由入侵檢測軟件和硬件兩方面組成,它能對網絡防火墻靜態防御漏洞進行彌補,同時可以攔截電腦內部以及外部的攻擊,并對錯誤操作等行為進行防護,一旦檢測到計算機網絡安全問題,電腦入侵系統就會及時反映并處理問題,消除安全威脅。目前研制出的一種新型網絡入侵誘騙系統,通過真實環境的虛擬網絡系統對入侵者實施誘騙,誘導入侵者進攻,以方便獲取入侵者定位信息,同時對其進行控制,這種方式有效的保護了真實網絡系統的安全[4],通過對入侵者定位信息的搜集,有力的打擊了入侵犯罪行為。
三、結束語
篇5
The Key Technology and Security Measures of Computer Network Security
Hao Xin
(Fast Computer Center Corporation,Xi'an710077,China)
Abstract:The computer network information security and people's production life is closely linked.Analysis of computer network security problems,and find the network information security protection measures,through the study of this issue,to help protect the network and information security.
Keywords:Network Information;Hidden Danger;Protection Strategy
當前,隨著我國計算機技術的發展以及計算機網絡的普遍應用,網絡信息安全問題已經成為一個不可忽視的大問題。計算機網絡信息安全關系到個人以及企事業單位的正常生活和正常運行,根據統計,發生入侵計算機網絡,盜取個人或公司信息的事件不斷增加。因此,必須保證計算機網絡的保密性、可靠性和完整性,才能有效保證網絡信息的安全。研究保護計算機網絡信息安全已成為一個刻不容緩的課題。
一、計算機網絡信息存在的安全隱患
(一)系統存在安全漏洞
系統存在安全漏洞這是一個經常提起的問題,每當新的操作系統或者新的應用軟件上市不久,安全漏洞就被黑客發現。可以說沒有一個系統是完美無缺的,其安全漏洞主要有以下兩種。
1.緩沖區溢出。這種漏洞是最容易被黑客利用并進行攻擊的漏洞,如果系統不檢查程序與緩沖區間的變化,輸入長度的數據時會把溢出部分放在堆棧內,系統還照常執行命令。黑客便可以利用這個漏洞發動攻擊,其方法是發送超出緩沖區所能處理的長度的指令,使計算機系統不能正常運行,甚至盜取用戶的個人信息。
2.拒絕服務。黑客利用這個漏洞來攪亂TCP/IP連接的次序,比較典型的是進行DoS攻擊,它會耗盡或是損壞CPU周期、內存和磁盤空間等系統資源,使系統不能正常處理合法程序。
(二)合法工具被黑客利用
為了給用戶帶來更好的體驗或更方便的使用,在計算機系統中都配備了一些工具軟件,這些軟件在提升系統性能為用戶帶來便利的同時,也成為了黑客利用的工具。例如:為系統管理員提供遠程節點的信息的NBTSTAT命令,它也經常成為黑客利用的工具,進行收集用戶身份信息、NetBIOS的名字、IIS名等,給用戶的信息的安全帶來嚴重的隱患。
(三)系統維護不及時
系統維護不及時是威脅網絡信息安全的一個重要問題。在實際使用計算機網絡時,很多用戶不注意進行信息保護,有的用戶甚至不安裝殺毒軟件,不進行系統漏洞打補丁。造成系統漏洞百出,網絡信息極不安全,就如對黑客打開了大門一樣,方便他們進入。因此,當系統出現漏洞時,應當及時進行升級維護。
二、計算機信息安全的保護措施
(一)對數據進行加密
網絡數據加密主要有兩種技術,分別是對稱密碼技術和非對稱密碼技術。二十世紀七十年代由IBM公司研制的對稱密鑰加密算法DES(Data En-cryption Standard)是非常著名的,DES使用56位密鑰對64位的數據塊進行加密。由于DES內部復雜的結構,保密性非常好。非對稱密碼算法加密和解密使用不同的密鑰,用戶可以先對信息進行加密,發送給接收對象以后,再進行解密,十分適合用戶信息的保密。
(二)數字證書和公鑰基礎設施
當前,我國電子商務發展迅速,網上銀行、網絡購物等都使得網絡交易日益頻繁,為了保證交易和支付活動的安全可靠,必須采取新的措施來進行保障。安全認證機制是一種較為理想的保密方式,其中PKI(Public Key Infrastructure)公開密鑰體系安全認證機制能夠很好的保護用戶信息和交易的安全。用戶在PKI平臺上可以安全通信,在公鑰的基礎之上用戶進行網上安全通信有了保障。
(三)防止Guest賬戶被入侵
Guest賬戶就是我們常說的來賓賬戶,與管理者賬戶不同,來賓賬戶只可以訪問計算機的一部分文件,是受到一定程度限制的。但是,即使這樣來賓賬戶也可能被黑客所利用,用來盜取用戶的私人信息。因此,需要對Guest賬戶采取一定措施,最有效的方法是禁用或徹底刪除Guest賬戶。
(四)安裝殺毒軟件和防火墻
在電腦中安裝殺毒軟件和防火墻是保護信息安全必備的措施,他們是防止黑客入侵的有力屏障。防火墻是保障網絡信息安全的最基礎工具,它的抗攻擊能力很好,可以為用戶提高安全的信息服務,和殺毒軟件一起組成有力的防護工具。
(五)提高瀏覽器安全設置
所有網民上網都離不開瀏覽器,這是上網必備的工具,而一些黑客也經常利用瀏覽器進行非法活動。如ActiveX控件,黑客利用這些控件插入惡意程序,如果打開網頁這些惡意的小程序就會運行,嚴重侵害用戶的信息安全,最好的防止措施是禁止這些惡意代碼的運行。
(六)及時修復系統漏洞
當前大多數都使用微軟的操作系統,每當出現漏洞以后,他們都會及時推出補丁程序,進行修復。所以要及時下載補丁程序,以保證我們網絡信息的安全。
三、結束語
計算機網絡信息安全與防護是一個不可輕視的問題,它直接關系到人民的生產生活,人們也已經離不開計算機網絡。雖然有許多威脅我們網絡信息安全的漏洞和技術問題,但新的網絡安全產品也不斷涌現,如有防火墻、殺毒軟件等,因此防止黑客的非法入侵,保護網絡信息安全是重中之重。通過本文對計算機網絡信息安全問題和保護策略的研究,也希望能夠為發展網絡信息保護技術提供幫助,提高人們網絡安全防護意識。
篇6
1 5G網絡安全存在的潛在問題分析
5G網絡的提出吸引了大眾的注意力,但是其安全技術的發展以及可能存在的安全問題同樣也受到了廣大群體的關注;從5G網絡的網絡構建,我們不難發現,5G網絡在信息傳遞速度、連接能力、響應能力以及可擴展性等性能方面,從城市、家居、車輛到個體的數據,其所傳遞的數據都會發生翻天覆地的變化,其增長速度難以估計。而這增長的背后也帶來了一系列的安全隱患和問題。首先,5G網絡能夠成功實現各個移動終端之間的連接,數據也同時實現了共享,然而這也使得處處可以連接并共享數據存在較大的信息泄露的隱患,隱私能否得到保障目前存疑,安全技術是否能夠有效規避其中存在的隱患需要實踐來檢驗;其次,移動終端、設備的智能化,給人們的生活帶來了便捷和便利,但是這種強大的功能在個人層面的使用上是否可能被惡意利用也是5G網絡安全發展過程中需要認真考量的一大問題;同時,連接入網的智能設備可能會變成攻擊者的工具而成為安全隱患,比如,在衛生醫療健康領域的健康監視器,如若智能化設備被惡意使用,則可能給用戶的個人隱私造成泄密,甚至帶來惡劣影響。除此之外,基于5G網絡的移動終端的自身防護能力很有限、不夠完善、安全防護能力較低、大數據時代安全隱患因素復雜等都是5G網絡安全發展過程中存在的潛在問題,而這些復雜多樣的問題則給5G網絡的普及、推廣發展帶來了許多的阻礙。
2 5G網絡安全保障措施
5G網絡安全發展中存在的潛在危險,需要我們發展相應的安全技術、采取強有力的安全保障措施來規避。在本文的論述中,主要從市場監管、安全保障技術以及用戶權益機制等方面展開剖析。
2.1 市場監管
5G網絡的發展是信息消費的一種產物,因此在市場監管方面形成強有力的保護屏障是十分有必要的;市場需要為用戶提供可信任的5G網絡使用,同時也需要構建有效的監管機制、舉證通道以及處理措施,讓用戶與5G網絡服務提供者之間構建一種透明、可信任的身份認證,從而讓信息的傳遞有據可循、提高海量信息真實性的辨識度、有效的規避在5G網絡服務應用過程中存在的泄露、盜用等危險。在整個市場監管的過程中,我們需要合理優化網絡資源配置,提供安全服務,構建有支撐性的用戶身份和信用確認機制,有效維護和管理網絡空間服務的安全問題。
2.2 安全保障技術
安全技術的發展,是5G網絡保障的核心手段和措施。5G網絡強調功能性、靈活性以及可擴展性,但安全性也是5G網絡發展中的重要要求。在安全保障技術的發展中,建立在網絡層和傳輸層之上的端對端加密技術由于在接收端接到信息之前不進行解密,即使在傳輸的過程中,系統被入侵也不會造成消息泄露,從而大大加強了信息的安全性;同時,將同一個物體的不同身份以及賬號信息進行聯合管理的基于ID的密碼認證系統能夠在提高使用便捷性的同時,提高用戶的信息安全性;除此之外,密鑰管理體系、控制信息的加解密等安全技術也是5G網絡安全保障措施中十分重要的手段措施。
2.3 用戶權益機制
5G網絡的安全使用,主要關系到用戶的權益。因此,在發展的過程中如何最大限度的保障5G網絡用戶的權益是安全保障措施中需要特別重視的一環。基于這樣的目標,我們需要構建系統性的用戶權益機制,滿足用戶在安全使用5G網絡的需求,構建更為完善的權益投訴、維護平臺,使得用戶的5G網絡的使用更加安心、放心。
3 5G網絡安全發展展望
5G網絡的發展是網絡信息發展的趨勢,而安全則是發展中需要重點關注的問題,結合5G網絡的發展現狀及安全保障措施,本文就5G網絡的安全發展提出以下幾點建議:
(1)5G網絡安全發展需要豐富系統的安全技術做支撐,應該從5G網絡設計源頭入手,對各個應用均采用加密、隔離等技術手段,來保護用戶的各種信息,努力打造5G網絡的安全防護墻。
(2)5G網絡的安全保障的發展,需要有相應的投入,形成5G網絡安全保障措施的有效研討,針對5G信息安全、5G安全技術驗證和測試多個專題進行深入交流和研討,探究出更為系統、完善的5G網絡安全保障措施。
(3)形成完善的5G安全架構,構建多安全域融合的安全訪問控制機制,有效提高5G網絡安全性能。
4 結語
5G網絡安全題的妥善解決,是5G網絡真正到來的密鑰,而在發展的過程中,只有基于現有信息網絡中存在的問題,結合5G網絡發展中可能存在的潛在威脅,深入探究合理、高效而系統的5G網絡安全保障措施,從市場監管、技術支撐以及用戶權益維護等多角度提高5G網絡安全保障力度,那么才能夠讓用戶真正放心的使用5G網絡。
參考文獻
[1]李暉,付玉龍.5G網絡安全問題分析與展望[J].無線電通信技術,2015(04):1-7.
[2]黃開枝,金梁,趙華.5G安全威脅及防護技術研究[J].郵電設計技術,2015(06):8-12.
[3]鄭海.工信部明確5G四項重點工作[J].郵電設計技術,2016(08):11-11.
[4]JonathanRodriguez(喬納森?羅德里格斯)[J].5G:開啟移動網絡新時代,2016.
篇7
隨著現代科技尤其是網絡技術和電腦科技的發展,各政府機關都已建立起計算機網絡,并通過聯網技術在工作中進行信息交流和資源共享。這對于各個行政機關加強部門管理,并實現監督所屬管轄范圍的企事業單位的要求具有相當的幫助。不可否認的是,網絡信息往往會面臨許多安全方面的問題。
行政機關的所使用的網絡信息系統通常是需要聯網使用的,通過該系統建立的平臺,為工作人員提供信息的交流、傳遞、管理以及其他業務的辦理等多種服務。同時該系統的內部數據庫還可以對網絡資源或信息進行采集、管理和,并為相關的行政部門提供服務,以有助于其開展網絡視頻會議或實現審批流程的順利進行,等等。因而成為了各部門工作開展的必備手段并有利于其工作效率的提高。
由于各行政機關的數據檔案等往往具有不對外公開的性質,因此對于計算機網絡來說,在滿足各部門的工作需求的基礎上,還應具有易操作性以及高度的保密性和安全性。而實際上網絡信息在傳遞和管理時往往會面臨許多不安全的問題如黑客和惡意軟件的攻擊等,因此應對計算機網絡信息安全予以高度保障。
1影響計算機網絡信息安全的各個要素
由于計算機網絡的結構體系比較復雜,且其各個結構存在著較大的差異,因而容易導致兼容性方面出現問題。此外,國際標準化組織根據互聯網模型的開放系統將網絡信息的傳遞和互動劃分為七層,以保證各種網絡信息都能在與其相適的結構層次上展開互動和交流。以下將根據這些層次結構的規劃,對影響計算機網絡信息安全的各個要素進行討論并提出相應的安全保障策略。
1.1系統方面的安全要素
系統方面的安全要素指的是除硬件之外的軟件系統環境。其安全性集中地體現為總部服務器及其下屬終端系統的網絡操作安全。其有效性主要在于操作系統內部所存在的缺陷及其對于安全方面所進行的配置、用戶在機制進行操作和管理時的認證或訪問身份方面的安全保障以及針對系統方面的各種攻擊所展開的防御等等。
1.2網絡方面的安全要素
網絡方面的安全要素主要是指在進行信息傳遞和互動時的安全保障措施。它主要體現為保障網絡傳輸時的信息完整和內容隱私;保證信息資源、網絡系統以及訪問者的身份認證等方面的機制控制安全;保障系統及其硬件設備對于惡意攻擊的檢測和預防等方面的安全以及域名解析系統的安全性等等。
1.3管理和應用方面的安全要素
網絡信息在管理和應用方面的安全要素是指在對網絡數據庫和信息應用軟件的安全性進行考慮的基礎上,對包括網絡設備的技術和安全管理、安全管理規范和制度、機構人員的安全組織培訓、網絡信息應用平臺、web服務器、電子郵件系統、網絡信息系統、以及來自于病毒軟件的威脅等方面展開的安全保障措施。
1.4物理方面的安全要素
物理方面的安全要素主要有網絡設備、通信線路以及相應的環境安全保障等等。其中主要是指設備的互動鏈接所遵守的物理協議標準、網絡信息的傳輸線路與通信線路的安全性、軟、硬件設備所具有的抗干擾性、設備運行時的空氣溫濕度及清潔度等方面的網絡環境條件和電源方面的安全保障和備用等要素。
2網絡安全模型及相應的安全保障策略
2.1網絡安全模型
想要更好地保障行政機關計算機網絡信息安全就應該建立起人員、技術和管理三者合一的全面的網絡安全模型,從而對行政機關計算機網絡信息安全提供全方位的保證。
其中人員是決定所建設的網絡信息安全模型是否有效的關鍵因素。這是因為工作人員既是對技術進行安全操作的主體,又是開展安全管理的主要參與者。其中,工作人員的業務水平和知識結構是安全有效性得以保障的重要影響因素。
技術則是指網絡信息互動時所使用的服務和設備方面的支持以及其他所需要的技能和工具,它是實現網絡信息安全的基本保證。而管理是指對網絡信息安全的流程進行策劃和組織等方面。工作人員對行政機關計算機網絡信息安全管理的決策判斷也是影響安全保障有效性的關鍵。
此外,由于行政機關的計算機網絡信息安全需要時常進行檢查以便及時發現問題并進行改善,因此在建構網絡安全模型時要按照“防護、檢測、發現、改善和防護”的循環策略開展相關的工作。
2.2相應的安全保障策略
(1)系統安全保障策略。通過采用性能穩定的Linux這樣的多方網絡操作系統來奠定服務器運行的環境基礎,以嚴格控制權限并驗證身份的方式來實現安全保障,同時對用戶登陸、資料審計以及文件簽名等環節進行控制以檢測并維護系統安全,并經常升級系統、補齊漏洞以保障系統安全的恢復,此外還可對用戶進行系統操作的權限進行定時更新。(2)網絡安全保障策略。通過采用服務器、防火墻、訪問控制列表、防病毒軟件和掃描器等安全措施來保障網絡安全,并利用網絡三層交換機對不同的網絡服務需求進行劃分,對所劃分的網段主機及其子網的檢測節點用入侵檢測系統進行掃描,再制定出的相應的安全策略并做出相應的分析、執行和改善,以此來提高網絡信息的安全保障。(3)管理和應用安全保障策略。通過控制訪問權限并時常更新、驗證身份并對訪問組件進行加密的方式來實現安全保障,同時經常檢測應用程序日志和散列的文件簽名并建立起相關的安全管理制度以及相關的人力資源組織規則和標準,事件發生后要及時通知使用者,并通過對數據進行備份的措施來實現數據恢復,制定出緊急響應預案并統計違規操作行為,時常更新或調整網絡安全的組織流程,并培訓工作者的相關技能。(4)物理安全保障策略。通過消防、環境隔離門禁、溫濕度控制以及設備保護等系統的采用實現物理安全保障,同時配備相應裝置進行探測和感應,通過監控中心的自動響應設備對發生的事故進行自動保護,同時相關工作人員也及時發現問題并予以正確處理,定時檢測網絡安全設備并對其軟、硬件進行修復或更換,若有必要可硬更換新設備。(5)重視各行政機關工作人員的安全作用。對于行政機關計算機網絡信息安全的維護,除了上述安全保障措施以外,還應重視各行政機關工作人員的安全作用。這是保障網絡信息安全的重要因素,因為上述各方面的要素無法排除工作人員的參與。具體說來,發揮人員方面的作用主要有以下幾點。首先有關部門的領導應對網絡信息安全予以高度重視。其次在于相關工作人員應有意識地增加信息安全知識以提高自身的網絡信息安全意識。再次是網絡技術人員要經常對設備進行巡檢并定期維護并修正相應的安全策略。最后管理人員還應對員工的安全問題進行定期檢查。
3結論
綜上所述,對行政機關的計算機網絡信息安全實施保障需要調動許多方面的安全因素,從而展開全面細致的系統維護,這就要求有關工作人員有意識地在實際操作中增加自己的知識和經驗,實現人員、技術和管理三位一體的安全系統,以更好地保障行政機關的網絡安全。
參考文獻:
[1]胡世昌.計算機網絡安全隱患分析與防范措施探討[J].信息與電腦(理論版),2010(10).
[2]王薪凱,姚衡,王亨.計算機網絡信息安全與防范[J].硅谷,2011(04).
篇8
4月12日,由中國通信學會主辦2012(第二屆)中國電信業信息與網絡安全高層研討會在北京召開。會議以“面向‘十二五'的重要信息系統安全和云安全策略”為主題。工業和信息化部通信保障局副局長熊四皓、中國工程院院士沈昌祥、國家信息中心專家委員會主任寧家駿等專家學者參加會議并作專題報告,各基礎電信運營企業領導、電信增值服務運營企業代表、重要信息系統網絡和信息安全主管、技術研發單位、新聞媒體等約400人出席了本次會議。中國通信學會副理事長劉彩主持了大會開幕式。
工業和信息化部通信保障局副局長熊四皓在致辭中表示,近年來,我國信息通信業發展取得了巨大成就,但也要清醒地看到,我們面臨的網絡安全形勢不容樂觀。一是網絡的IP化程度不斷加深,以云計算、物聯網、社交網絡、微博客、智能終端等為代表新技術、新業務、新終端不斷涌現,但IP網絡的可信機制和安全可控問題一直沒有得到很好的解決,保障網絡信息安全的壓力與日俱增。二是黃賭毒等網絡不良和違法信息時有抬頭,移動互聯網安全和手機惡意程序傳播引起廣泛關注,用戶信息泄露、網絡釣魚、網絡攻擊、病毒傳播等安全事件時有發生,網絡環境治理和用戶權益保護工作任重道遠。三是我國社會轉型期多種矛盾凸顯,互聯網等新媒體的聚焦、發酵、放大、擴散效應,使社會管理的難度大大增加,中央和有關部門對加強信息網絡管理提出了更高的要求。四是國際上圍繞網絡空間的競爭和博弈日益激烈,西方國家連續網絡安全戰略,發展網絡攻擊威懾能力,宣傳“中國黑客攻擊威脅”,亟需我們從戰略層面統籌謀劃、提高能力、有效應對,維護我網絡空間安全。
中國工程院院士沈昌祥在報告中指出,針對我國信息安全頂層設計缺失和滯后問題,要認真研究分析信息安全新形勢對我國的深刻影響,加快研究制定和實施適應新形勢的信息安全戰略、新時期國家網絡與信息安全保障體系建設總體規劃和實施方案,明確新時期國家網絡與信息安全的戰略目標、主要任務和保障措施以及實施步驟等。
與會代表一致認為,現階段,我們應針對云計算和物聯網信息安全保障關鍵技術攻關等,統一領導、統籌規劃、明確目標、總體布局、分工協作、分段實施,鼓勵創新和競爭,通過攻關工程的建設,將信息安全保障能力提升到世界先進水平。(董義)
(中國通信學會)
篇9
所謂計算機網絡安全實際上說的是計算機網絡系統中所包含的不同的硬軟件設備及用戶數據信息的安全可靠性,不會輕易受到其他惡意的盜取和破壞,促使計算機網絡系統在安全穩定的狀態下運行。此外,計算機網絡安全還牽連到了有關于計算機科學技術、通信技術及信息安全技術等多個學科,在人們對網絡便捷性、高效性的需求不斷提升的當下,切實提升計算機網絡安全顯得格外重要。常見的破壞計算機網絡系統的手段包括木馬病毒的破壞、物理通信設備以及線路的破壞、利用計算機操作系統以及應用軟件的漏洞進行攻擊、削弱計算機網絡系統服務能力如常見的拒絕服務等幾個方面。
2 當前計算機網絡安全中存在的安全隱患分析
2.1 木馬病毒帶來的安全隱患
在計算機技術使用過程中木馬是一種常見的破壞性程序,會給計算機帶去一定的破壞,從而導致信息資源存在被盜取的風險。一般木馬程序所帶去的破壞主要有主機資源被占用、用戶數據信息被盜取和破壞等。而病毒文件則是通過自我繁殖,主動感染其他文件對計算機系統進行破壞,具有強烈的感染性、潛伏性和傳播性等特點。木馬病毒是最為常見的計算機網絡隱患產生者,一方面與木馬病毒的特性有關,其誕生目的就是對計算機系統進行破壞,另一方面木馬病毒可以很好地偽裝在其他應用程序、郵件服務、Web服務中,人們對于其識別能力較弱,不經意的運行超鏈接都可能導致木馬病毒程序被激活,給計算機網絡安全帶來嚴重威脅。
2.2計算機主機以及網絡設備的不安全使用帶來的安全隱患
影響到計算機網絡安全的因素有眾多方面,其中計算機主機及網絡設備使用是否安全、合理也會帶給網絡安全嚴重的影響,就計算機的主機來講,如果不在其中設置相應的遠程資源訪問及登錄權限,數據端口的肆意暴露、登錄口令的簡單化設置、用戶權限的不合理分配等行為都是主機使用過程中極其不安全的因素。造成主機使用的安全隱患是由于計算機應用者缺乏必要的安全意識,往往貪圖計算機控制的便捷性而忽略了系統安全的重要性。對于網絡設備而言,其使用的合理性,一方面能夠保障網絡的暢通性,為用戶提供正常的網絡服務,另一方面,網絡設備也是提升計算機網絡安全的重要手段,而實際使用過程中配置的簡單化、登錄訪問的隨意化,同時對于安全設置有嚴重缺失,這都是導致安全隱患的常見因素。
2.3缺乏安全性驗證無線網絡以及移動互聯設備帶來的安全隱患
現如今,越來越多的人依賴于無線網絡技術及移動互聯網技術的使用,在這兩項技術快速發展的同時雖然給人們帶去了一定的便捷度,但是也增加了計算機系統安全隱患的發生機率,在一定程度上無線網絡等技術增加了計算機網絡信息泄露、數據損壞的范圍及程度。
3 計算機網絡安全的管理措施分析
3.1 做好計算機系統軟件維護工作
日常的維護與管理工作雖然是最基礎的,但同時也是保證計算機網絡安全的最基礎保障,通過日常的維護管理不僅可以對計算機操作系統存在的漏洞及時維修,對各項系統及應用實時更新和升級,同時,通過使用殺毒軟件以及各種安全保障軟件來提升計算機系統的安全性,做好定期的病毒木馬查殺工作,系統備份以及數據清理工作。除了操作系統的安全保障措施,用戶應從來源可靠、安全系數較高的 Web 網站獲取應用軟件,堅決杜絕使用破解性軟件,做好應用軟件的升級維護工作來提升計算機網絡安全。
3.2 合理使用各種網絡物理設備
保證所使用的網絡設備安全合理性就相當于為計算機網路的安全打下另一層牢固的保障。就拿路由器來說,需要對其設置復雜的登錄訪問口令,同時還要實施MAC 地址綁定、數據過濾、IP 流量限制等手段,有效合理提升路由設備的安全。交換機也是局域網絡中常見的設備,保障交換機安全,主要是通過Vlan的劃分進行數據流的過濾,從而達到訪問控制的目的。除此之外,還包括硬件防火墻設備的使用,通過對內外數據的過濾識別,達到安全保障控制目的。計算機網絡安全保障還包括各種物理設備運行環境的可靠性,包括電磁環境、電源供應、溫度濕度保障等方面的內容。
3.3 加強計算機應用者安全意識以及安全管理操作的培養
計算機操作人員本身對于計算機系統的安全來講十分關鍵,如果操作人員具備良好的安全防范意識和超強的操作水平,在一定程度上就會減少安全隱患的發生。所以,應重視對計算機操作人員安全意識的增強,讓他們能夠深入的了解數據信息安全是多么重要,認識到信息安全威脅會造成怎樣的損失;另一方面,應通過必要的安全管理操作技能培訓使其安全使用計算機設備,例如定期變更登錄口令、做好關鍵數據的備份工作、對用戶數據進行加密操作,另外要重視不必要的遠程訪問、用戶權限設置以及端口的開放,盡可能從計算機安全操作方面杜絕網路安全隱患。
3.4 做好網絡環境下無線、移動設備的維護管理工作
在網絡技術快速發展的同時,無線網絡及移動設備也有了很大的發展和進步,特別是現在隨處可見的WIFI及4G通信技術,為了保證無線網絡的安全性,必然要設置相應的驗證,利用 MAC 地址與 IP 綁定、MAC過濾等方式進行登錄主機的控制,另外對于陌生的無線網絡不應主動連接,以免用戶數據遭到竊取或者破壞。而針對移動設備——智能手機或者移動終端設備的使用方面,通過安全驗證、授權應用的安裝、安全掃描等方式保障安全。除此之外,以主機集群構建的云計算技術,通過虛擬主機的控制、資源的訪問限制以及資源動態管理構建起來的安全保障也是未來計算機網絡安全保障的重要思路。
4 結語
篇10
1.2網絡的開放性帶來的威脅
任何人登錄到網絡上后,理論上都可以實現對網絡上共享信息的閱讀與使用,比如機關團體、企事業單位或個人的信息內容。其中往往有許多部分具有保密性質,如果這些信息被人隨意擴散或非法利用,極有可能造成嚴重后果。
1.3網絡的復雜性帶來的威脅
計算機網絡技術是一門非常復雜的高端綜合性學科。大體上包含網絡硬件設備和控制軟件兩個方面,組成極其復雜,其中任何一個部分發生問題都有可能威脅到網絡安全。
1.4網絡邊界及傳輸的不確定性帶來的威脅
可擴展性是當前計算機網絡的一個重要性質。由于可以不斷擴展,使得網絡的邊界和信息傳遞路徑相對模糊而不確定。而這種不確定性給網絡安全隱患的形成提供了基礎,網絡安全保障工作難度加大。
1.5海量信息帶來的威脅
信息資源是網絡承載的主要內容,在為使用者提供服務的同時,龐大的信息量也給網絡穩定造成影響,過于巨大的信息傳輸量極可能導致網絡阻塞。
2計算機網絡與信息安全系統
2.1系統物理環境的安全措施
計算機機房是安置計算機網絡與信息系統主體硬件設備的專用設施。國家對機房的設計與實施都有明確的標準,信息和數據安全是其基本前提。防火防潮是機房必備的基本特性。
(1)在選址方面
計算機網絡機房要與危險建筑保持安全距離,如果機房位于樓房,則需選擇方便整個組織機構網絡建設的位置。
(2)在安全保衛方面
由于機房是保存信息的重要設施,安全保衛措施必須加強。
通常都要設置現代化的環境調節、監控和門禁等設施,以維持機房環境適宜條件,監視機房設備運行情況,防范外部非法侵入等。
(3)在消防安全方面
機房一直都是防火重地。如今的計算機機房都配有自動滅火裝置,一旦發生火災即可自動啟動實施滅火。
2.2系統運行環境的安全措施
加強制度管理,建立健全科學規范的計算機網絡管理與使用制度,落實安全保障措施,從組織角度、管理角度和技術角度來保障網絡系統數據傳輸的安全性、完整性與使用性。
(1)加強計算機網絡硬件設施及場所的標示管理。
在機房入口處張貼警示標語和門牌。在交換機、路由器以及中心服務器等重要設施上張貼標示,提高辨識度,方便管理與維護。
(2)做好設備備份工作。
為防止因為突發性機器故障導致的網絡事故,重要網絡設備、設施都要做好備份,一旦發生事故立即切換,保障網絡正常使用。
(3)加強信息傳輸通道的安全防護。
一般采用在傳輸的信息中加入冗余信息,從而便于及時發現信息傳輸過程中變化與改動。
2.3系統的軟件及數據環境的安全措施
(1)及時完善操作系統。
任何系統、軟件都有漏洞。系統開發商會經常系統補丁,計算機用戶要及時下載安裝,彌補系統不足。
(2)劃分用戶權限。
根據用戶使用需求設定用戶權限,不同權限的用戶使用系統資源,訪問網絡的情況也不一樣,從而可以有效避免威脅系統安全的情況發生。
(3)物理隔離。
網絡資源共享的前提是網絡硬件連接。關鍵部門使用獨立的局域網,與萬維網硬件上不連通,徹底消除來自外部網絡的入侵的可能性。
(4)做好數據備份。
安全系統的防護能力并非絕對有效。為減少系統安全事故帶來的損失,對于重要數據可定期備份,備份介質單獨存放。
3計算機網絡與信息安全關鍵技術
3.1防病毒軟件和防火墻
針對計算機病毒開發的防病毒軟件是最常用的網絡安全防護技術。根據使用環境不同分為單機版和網絡版。無論哪種,都具有較強的局限性。由于防病毒軟件是根據具體病毒而開發的,而病毒更新速度很快,使得防病毒軟件的實效性大打折扣。要較好地保障網絡安全,還需要其他技術、措施的配套支持。如系統數據定期備份,關鍵業務信息采用加密技術等。防火墻是抵御網絡攻擊的重要措施。其原理是通過預先設置對訪問行為進行選擇性限制,從而維護內部網絡環境的相對安全。
3.2入侵檢測技術
入侵檢測是針對非法入侵行為實施的防護機制,通過及時察覺非法入侵行為并展開相應的防護措施來實現。其技術的關鍵部分就是要建立一套準確的判斷規則,任何不符合該規則的行為都將被視為入侵行為。對于入侵行為判斷的精準程度直接關系到防護機制的運行質量。粗獷的判斷標準使得系統誤報率非常高。
3.3密碼技術
加密技術主要應用于信息網絡傳遞方面。通過將信息按照某種算法進行編譯再傳輸的方式減少數據被他人非法獲取后造成的信息泄露,從而起到網絡信息安全保障的作用。
3.4訪問控制技術
訪問控制限制了計算機對外部網絡的訪問行為。根據危險程度不同,對外部網絡環境的不同區域進行了劃分。再按照預先設置的規則,對計算機的訪問行為進行選擇性限制,允許其訪問安全區域,禁止訪問危險區域。對危險網絡的遠離,使得計算機遭受攻擊的概率大幅下降,從而提高了網絡的安全性。訪問控制策略的制定分為入網訪問控制環節、網絡權限劃分環節和客戶端防護策略制定三個部分。系統根據預先設置的詳細規則,允許被授權的設備及用戶訪問網絡,所訪問的網絡范圍受到嚴格控制。使用防火墻的數據包過濾和功能、VLAN技術的區域劃分功能控制訪問行為。使用交換機802.1X協議實現對用戶訪問行為的授權。
篇11
1 電信網絡安全及其現狀
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2 電信網絡安全面臨的形勢及問題
2.1 互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2 新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3 運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4 相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3 電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1 發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2 網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3 網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4 主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
3.5 系統、數據庫漏洞掃描
系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。
篇12
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2電信網絡安全面臨的形勢及問題
2.1互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
3.5系統、數據庫漏洞掃描
系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。
參考文獻
[1]信息產業部電信管理局.電信網絡與信息安全管理[M].北京:人民郵電出版社,2004.
篇13
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2電信網絡安全面臨的形勢及問題
2.1互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4主機、操作系統、數據庫配置方案
