前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的近几年的网络安全事件主题范文,仅供参考,欢迎阅读并收藏。
关键词:网络安全;互联网;校园网;防火墙
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)03-0025-03
随着互联网技术的不断普及,各个行业的业务都开始向互联网转移,学校也不例外。特别是近几年来不断推行的教育信息化和校园数字化,使得校园网在学校中得到了充分的应用。但是就实际现状来看,很多学校的校园网安全还是一个大问题,对于校园网内的数据安全带来了较大的威胁。因此,有必要探讨网络安全技术在校园网中的使用,保障内部数据的安全。
1 计算机网络安全概述
1.1 计算机网络安全的定义
计算机网络安全涉及了多个方面的内容,比如计算机技术、互联网技术、通信技术、信息技术等,是一门交叉性的综合学科。在实际应用中,其主要是指保护互联网中保存的数据以及硬件软件,避免它们因为外界因素的干扰而受到破坏,确保整个计算机网络系统能够稳定、高效的运行。事实上,计算机网络技术本身就是一把双刃剑。其虽然给信息管理Ю戳朔浅O灾的便捷性,但也大大增加了信息泄露的风险。
1.2 计算机网络安全的主要影响因素
目前计算机网络安全的影响因素有很多,大致分为以下几个方面。第一,网络系统本身就存在一定漏洞。目前市面上流行的操作系统都有一些安全漏洞,如果这些漏洞被一些专业人士利用,就很容易突破系统的阻挡。第二,硬件和软件问题。计算机硬件本身的质量以及参数设置会带来一定的安全隐患,再加上软件本身的缺陷,引发了很多安全问题。第三,监管手段的缺失。计算机网络系统需要进行定期的安全性排查,及时查处其中存在的安全漏洞,避免这些漏洞被黑客利用。第四,人为因素。如果使用计算机网络的人员网络安全意识过低,并且没有必要的网络安全防范技能,那么就很难处理遇到的各类安全攻击。另一方面,目前网络黑客的数量也在不断增加,攻击方式也在不断更新,对于计算机网络安全防护来说也是一大挑战。
2 新乡学院网络的建设和安全问题现状
2.1 校园网建设的构架和特点
校园网主要是指在学校的范围内,利用一定的教育思想给学校的教育、科研、管理提供信息交流、资源共享的计算机网络。我国校园网最早是在二十世纪八十年代开始的,自此以后,校园网就得到了飞速的发展。目前,校园网承担的功能和任务非常多。内部信息系统主要负责校内教务管理和办公等,外部系统则主要用于信息交流与沟通。校园网跟其他局域网有很大的不同,其特点主要分为以下几个方面。
第一,校园网的内部结构相对复杂。校园网内部逻辑结构比其他局域网要复杂的多,通畅包含了核心、汇聚和接入三个部分,同时上网方式也是多种多样,还需要满足学生、教师、管理者等不同群体的需求。第二,校园网的用户群体相对活跃。由于很多校内事务都直接在校园网中运行,比如选课、成绩查询、资料下载等。庞大的学生群体共同使用校园网的时候,很容易引起网络的崩溃。第三,开放的网络环境。校园网本身的教学和科研特征决定了其必须是一个开放和宽松的网络环境,但这种开放网络也使得校园网直接暴露在互联网环境中,安全隐患大大增加。第四,校园网的安全投入相对较少。很多学校不注重校园网的资金投入,使得网络日常维护和更新难以继续。另一方面,专业的网络安全技术人员存在较大欠缺,通常是一人担任数职,难以保证校园网的安全。
2.2 我国校园网面临的主要安全问题
目前,我国校园网面临的安全问题有很多,已经影响了正常教务工作的展开。第一,信息安全问题。校园网一旦出现安全问题,那么内部保存的信息很容易出现泄露。这些信息中不仅有一些科研机密信息,还有广大学生的个人信息。特别是近几年来针对大学生的诈骗事件越来越多,如果学生个人信息遭到泄露,那么必然会给这些不法分子更多的可趁之机。第二,网络崩溃问题。校园网使用人数过多,一旦网络因为配置、漏洞等问题使得主体构架出现了不稳定等情况,那么正常的教务活动将会难以展开,甚至会损失一些必要的管理信息。第三,不良信息入侵。如果校园网出现安全问题,那么就很难阻挡不良信息的传播。大部分高校大学生的心理世界还没有发育健全,如果受到一些不良信息的干扰,很有可能会形成负面的价值观和社会认知。
3 常用的网络安全技术和策略分析
3.1 防火墙技术
防火墙技术是近几年来开始广泛使用的一种技术,其主要是在局域网和互联网之间设置了一个安全过滤系统,能够阻挡互联网中的非法访问。防火墙技术能够对所有传输的信息进行甄别,并对局域网中相对重要的信息和资源进行限制访问,从而保证网络信息的安全。发展到现在,防火墙技术已经细分成了各个领域,现有防火墙技术主要有包过滤技术、应用型防火墙、状态检测技术等,在实际应用中可以考虑实际需求采用相应的技术。
3.2 虚拟局域网技术
虚拟局域网技术被称为VLAN技术,其主要是将局域网中的各个设备逻辑地址分为一个个小区域,从而使用虚拟工作组进行工作的技术。VLAN技术可以使网络拓扑结构变得非常灵活,能够在任何物理位置中加入虚拟点。VLAN技术的使用可以解决很多问题。第一,其能够通过划分虚拟局域网来增强网络信息的传播效率。第二,在VLAN技术中,各个子网之间不能直接通信,使得网络信息的安全性得到了更强的保障,同时也便于对子网的安全控制。第三,VLAN技术能够将学校中所有使用校园网的群体划分到一个虚拟局域网中,保障数据的安全传输和共享。
3.3 防病毒技术
随着互联网技术的不断发展和深入应用,计算机病毒的种类也越来越多,并且其传播速度也越来越快,给计算机网络带来了很大的安全威胁。防病毒技术就是针对计算机病毒而展开的一种技术,其能够有效的检测和清除大部分计算机病毒。目前,防病毒技术主要分为三部分,即预防技术、检测技术和清除技术。其中,预防技术主要是利用一定的行为规则来甄别病毒文件,一旦规则匹配就对其进行隔离。检测技术则是利用病毒已经表现出来的特征对其进行相应的判定,从而发掘病毒的位置。清除技术则是检测技术的后续,主要是对已经检测出来的病毒进行相应的清除处理。
3.4 访问控制技术
访问控制技术主要是用来拒绝没有获得授权的用户进行非法访问,并利用特定的网段建立完善的访问控制体系。而网络管理员则可以利用访问控制技术来查看网络中所有用户的实际活动,并拒绝外来入侵者的入侵。访问控制技术目前主要分为三个部分,即自主访问控制、强制访问控制、基于角色的访问控制。其中,自主访问控制主要对用户的身份和访问权限进行界定,用户并根据访问权限对所有想要访问自己的其他人进行一系列的限制。强制访问控制主要是指管理员对所有用户的访问权限进行强制性的划分,用户只有达到了某种级别以后才能够访问相应的文件。角色访问控制主要是在用户访问系统的时候,应该先核实其角色,从而分配相应的权限。在这之中,一个角色可以有多个用户,同时一个用户也可以有多个角色。
4 网络安全技术在新乡学院校园网中的应用
4.1 新乡学院校园网的网络安全需求分析
随着我国近几年的高校扩招,新乡学院的规模都在不断增大,对于校园网也带来了诸多挑战。校园网最基本的安全需求就是要保证所有计算机网络设备的安全运行,并且能够完成基本的教务和管理工作。全面来讲,新乡学院校园网的网络安全需求主要分为五个部分。第一,具有较强的网络适应性,能够适应多种工作环境和操作系统,保证日常运行的安全性和定性。第二,能够很好保护校园重要网络设备的运转,提高网络安全防护能力,积极应对网络中存在的攻击行为。第三,能够实时的监控网络系统,对网络环境中存在的各类信息进行必要的过滤和控制,做好实时入侵检测工作。第四,具有完善的网络安全管理制度,能够很好规范用户对于各类网络资源的访问,限制一些未经授权的访问。第五,所有网络设备的使用应该相对简单,并且内部的各类软件应该能够及时更新。
4.2 新乡学院校园网网络建设现状
新乡学院校园网建设中已经使用了很多网络技术,在防火墙技术应用方面,新乡学院的校园网已经能够承担一定的外来冲击,并且能够记录校园网的安全事件。在虚拟局域网方面,新乡学院的校园网建立了很多子系统,比如多媒体、一卡通等,满足了日常教学和管理的进行。在防病毒技术方面,新乡学院的公用电脑中都安装了360安全软件和杀毒软件,从而保证了计算机的安全。在访问控制技术方面,新乡学院实施了晚上11点到早上7点寝室楼断网策略,避免学生在休息时间沉迷网络。
4.3 新乡学院校园网网络建设存在的问题
虽然说新乡学院目前在校园网网络建设方面已经有了一定的规模和体系,但是其目前还存在一些问题,使得校园网的安全性和实用性出现了较大的威胁。首先,新乡学院校园网安全机制还不健全,学校管理者群体本身的网络安全意识不强,并且也没有建立完善的校园网安全管理机制。这也使得校园网在日常使用过程中很多硬件设备都没有进行相应的维护和保养,使得一些设备可能会出现安全隐患。
其次,新乡学院校园网管理人员虽然对网络知识有一定的了解和掌握。但大部分人员掌握的知识都比较陈旧,没有在日常工作中及时的更新自身的知识框架。这也使得学校网络安全管理人员的素质已经不能很好的满足工作需求,遇到很多安全问题也不会及时处理,给学校带来了的一定的损失。比如在新乡学院每年选修课报名的时候,校园网总是会因为同时访问人数过多而出现崩溃。但学校目前的网络管理人员并不能很好的处理这个问题,每次崩溃以后都要学校请那些搭建校园网的人前来进行维护,不仅影响了选修课报名的进行,还增加了学校的网络管理成本。
最后,新乡学院目前在校园网建设方面的投入力度过小。在硬件方面,学校的很多计算机设备都是六七年前的机器,在运行速度和其他性能上都有所欠缺。在软件方面,学校搭建校园网时所请的团队只是一个二流团队,校园网的稳定性等方面的性能还有待考量。这主要是因为学校在实际管理工作中,将更多的重心放在了教研活动和学校管理中,将校园网作为内部信息交流沟通的一种手段,因此就不太重视校园网的建设,也就不会在校园网中投入太多的成本。
4.4 网络安全技术在新乡学院校园网中应用的保障措施
1)建立完善的网络安全管理机制
目前新乡学院的校园网安全管理机制并不健全,学校高层、教务人员和学生都没有太多的网络安全意识,因此使得很多网络安全管理机制无法有效展开。因此,学校首先要对学生、教师和教务人员进行必要的网络安全知识教育,从而提高他们的互联网素质,注意自身在校园网中的操作行为,避免因为自身操作问题而产生网络安全意识。其次,学校要建立完善的校园网安全管理机制。一方面对于那些疏于职守的网络安全技术人员给予一定的惩罚,另一方面也避免一些好奇的学生将自己学习到的黑客知识应用在校园网中。最后,学校要针对校园网硬件设备制定完善的维护和保养计划,定期对那些重要的设备进行检测,避免设备因为使用环境等外界因素而出现各类安全隐患。另一方面,学校也要在制度上规定相应的工作人员定期对那些重要的资料和信息进行相应的加密更新和备份处理,避免这些重要资料和信息在校园网中出现安全问题,给学校带来不可恢复的损失。
2)提高网络人员的专业素养
新乡学院虽然配备了专业的网络技术人员,但是一方面人员数量过少使得他们很难完成相应的网络维护和安全工作,另一方面一部分网络技术人员的专业素养过低,使得他们的网络安全意识不高,并且也不能掌握相应安全防护技能。因此,学校应该定期地对这些网络技术人员继续培训,综合的增强他们的素质。为了保证培训质量,在培训结束的时候,要对所有参与培训的网络技术人员进行必要的考核,并基于考核成绩实施相应的奖惩措施。最后,在招收网络技术人员的时候,学校就应该重视对他们进行专业技术考核,保证他们能够胜任校园网安全防护工作。除此之外,学校还应该将校园网安全事件的发生频率作为网络技术人员的考核指标之一,从而调动这些人员的工作热情,避免校园网安全时间频繁发生。
3)适当的增多网络安全技术的成本投入
新乡学院的高层领导应该重视校园网络的安全,特别是在高校不断扩招的背景下,校园网在以后面临的压力将会越来越大。因此,学校应该投入必要的资金对校园网硬件设备进行必要的更新,避免一些陈旧设备的固有漏洞而引发校园网安全事件。另一方面,学校还应该适当的增加网络安全技术人员的数量,避免一些技术人员身兼多职,从而无力管理校园网的安全问题。
5 结束语
校园网安全问题在很多学校都已经比较突出,本文以新乡学院为样本,全面分析了校园网网络安全技术策略的应用。本文指出新乡学院必须要重视网络安全技术的问题,在明确自身需求的基础上,使用多种安全技术来保障自身的数据安全。另一方面,学校还应该建设完善的网络安全管理机制,不断的加强网络技术人员的专业素养,更新相应的网络终端设备。这样以后,学校校园网就能够扫清可能存在的安全隐患,给学校提供更好的网络服务。
参考文献:
[1] 李春霞,齐菊红.校园网安全防御体系的相关技术及模型[J]. 自动化与仪器仪表,2014(1):122-124.
关键词:校内安全;系统漏洞;病毒防控;上网行为
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 05-0000-01
Campus Network Acess Scurity
Li Laixiang
(Liaocheng University,Network Information Center,Liaocheng252000)
Abstract:According to usual practice of network management experience and application from authentication system vulnerability management,virus prevention control and user access behavior management etc.gives a lot proposals in detail for campus network access security.
Keywords:Security in campus;System Vulnerability;Virus prevention;Access behavior management
随着网络技术的迅猛发展,高校信息化建设的不断深入,校园网网络的规模和应用不断扩大,整个校园网的网络安全性问题越来越严重,网络管理面临着“内忧外患”的双重压力。在近几年的校园网网络安全建设中,人们一直致力于解决校园网出口的网络安全问题,虽然防火墙、IDS、IPS等安全产品在出口边界不断地更新换代,但是安全问题似乎并没有被彻底解决,校内网络安全风起云涌,网管员整天疲于奔命。据相关统计数据表明,网络安全威胁80%来自校园网内部,所以如何保障用户终端安全、阻止威胁入侵网络,对用户的网络访问行为进行有效控制,是校园网建设者最先考虑的安全问题。
不少高校面对日益严峻校园网网络安全,往往不惜花费重金购置防火墙等安全产品来防止外界威胁,却忽略了对内网安全威胁采取相应防范对策,以至于网络病毒肆虐于整个校园网。本文结合校园网网络管理的实际工作经验,从校园网网络的身份认证、系统漏洞的管理、病毒防控、用户上网行为管理等几个方面对内网安全做一介绍。
一、校园网网络的身份认证
在校园网接入控制的部署中,身份认证是首先必须考虑的。用户在接入校园网时,首先要做到的就是“入网即认证”,确保每一个进入网络的用户都是合法用户,初步确保了网络可信性与可管性。在身份认证的过程中,在认证客户端请求认证时,接入交换机端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何不信任的设备的数据流会被自动丢弃,从而确保最大限度的安全性。
对于合法用户在身份认证时,为了规范用户的网络行为,在接入层对已认证用户还需做一定的控制,确保用户的上网质量。例如防止用户做上网、防止用户对MAC地址进行卡隆、绑定用户的IP地址和MAC地址、防止用户使用破解客户端、防止用户私设DHCP服务器等控制措施。相应的控制内容应根据校园网的实际情况对用户进行合理规范的身份认证控制。
二、在做好用户身份认证的同时,为进一步提高个人计算机的安全防护能力,减少攻击事件,为用户系统提供相应的安全保护措施也是很重要的。
每个校园网用户都会面临着系统补丁的升级问题,一旦升级不及时,网络病毒就会乘虚而入,轻者让用户的系统感染病毒,系统运行速度变慢,重者会导致用户电脑瘫痪,以至数据文件丢失。为了用户更方便、更快捷地升级系统补丁,缓解出口带宽压力,让用户在校内升级系统补丁,搭建WUS(Windows Update Server)服务器至关重要。
三、对于上网用户而言,有了健全的系统,弥补了因系统漏洞而引发的病毒入侵。
但是在用户使用网络的过程中,通过电子邮件、移动存储等引发病毒也是司空见惯。多数病毒不仅直接感染电脑,还能够在网络上复制。因此桌面杀毒软件桌面杀病毒软件梁林满目,而且价格不菲,对于用户来说自行购买正版杀毒软件的确是个负担,盗版杀毒软件又有诸多的限制,偶有不慎用户电脑就有可能遭受病毒入侵。所以为提高用户电脑的安全防护能力,减轻因升级杀毒软件带来的网络出口流量,进一步净化校园网网络环境。因此构建网络版的杀毒软件服务器势在必行。
据权威机构统计,用户遭受来自不明垃圾邮件的病毒攻击高达40%,不明垃圾邮件伪装技术越来越高,对于用户来说的确防不胜防。而电子邮件已成为上网用户学习、工作不可或缺的一部分,用户少有不慎其电脑就可能遭到病毒邮件的入侵,给用户带来不可估量的损失。因此在健全校园网网络安全的同时,邮件杀病毒软件在条件允许的情况下,也是非常必要的。
四、除了用户终端有坚固的保护措施之外,网络行为的管理也是校园网接入安全的重中之重。
随着P2P资源和应用的逐步丰富,P2P下载占据了大部分带宽,造成了网页浏览慢、关键应用无法保障、断网现象也时有发生。在校内网络管理的过程中,应根据实际应用需求对P2P应用及下载分区域、分时段、分策略、分用户等进行合理有效地控制,使其整个出口流量得到充分的利用,校内的关键业务得到合理地保障。
[摘要] 随着经济全球化进程的加快,企业信息安全将成为企业面临到的一个主要问题,加强信息安全管理也已成为时代的召唤。本文介绍了企业信息安全,以及石油石化企业信息化建设,分析了信息安全对石油石化企业的意义以及应对策略。
[关键词] 信息安全;信息化建设;安全策略
在经济全球化的今天,企业相关人员对信息安全越来越关注。虽然企业采取了很多与员工签订保密协议,建立防火墙,以及安全管理中心等措施,但还是发生了像天涯社区、新浪等泄露用户密码、个人信息的安全事件。企业提高计算机与信息管理的水平可以防范由信息安全所造成的各项损失,完善企业信息安全管理体系是很多企业都会面临到的一个主要问题,而作为我国国民经济支柱产业的石油石化企业更应该加强信息安全的管理。
一、企业信息安全定义
近年来,经济全球化呈现加速发展的趋势,越来越多的发展中国家融入到经济全球化的大潮之中。世界政治、经济形势的深刻变化使国家安全的内涵出现了新的变化,国家经济利益和国家经济竞争力随即上升至国家安全的优先位置,国家经济安全开始成为国家安全的核心。跨国并购是经济全球化时代的重要特,尤其是近几年来,经济全球化的日益发展使资本的全球扩张进一步加强,企业兼并活动达到有史以来的最高峰。在各跨国企业扩大占有其他国家市场、资源和技术时,往往使被收购企业所在国受到很大冲击,甚至威胁到他国的经济安全。
企业信息安全是一个复杂的、多维的动态体系,受到诸多外界因素的影响,因而需要从系统的高度进行综合性的概括。企业信息安全有两种解释:一种是从具体的信息安全技术系统的角度着手,来管理企业信息,提高安全性;另一种是建立某些被指定的安全信息体系,例如:银行指挥系统等,从而加强企业信息的安全。企业信息安全的基础内容主要有:实体和运行,以及信息资产与人员安全。实体安全也是指硬件安全,既保护计算机网络硬件和存储媒体的安全,又防止计算机硬件、设备等因湿度过大、温度过高、摩擦等因素而出现的物理损坏。同时,维护硬件运行环境的稳定也是实体安全的范畴。运行安全是保障信息处理过程的安全运行,避免出现程序性故障、死机等现象,保障系统功能的安全。信息资产安全则是确保信息的控制权在企业本身手里,不被恶意篡改或破坏,不被非法操作、误操作、复制,功能稳定等。人员安全主要是指信息系统使用人员能够有明确保护信息安全的意识,遵纪守法,拥有保障企业相关信息安全的技能和能力。
二、石油石化企业的信息化建设
在国际金融危机的冲击下,我国石油石化企业受到种种压力,但同时也遇到不少发展的机遇。金融危机背景下,提升企业竞争能力和抗风险能力更显得重要,石化企业需坚持并加强信息化应用,不断地深化和优化应用。
石油石化企业是我国最早开展信息化建设的行业之一。经过多年的建设,加之逐年增加投入,石化行业整体信息化应用水平在不断提高,并取得了较高的成绩。据中国石油和化学工业协会调研显示,勘探与生产技术数据管理系统、管道生产管理系统、ERP系统等目前在大部分石油石化企业中得到应用并发挥了重要作用,集成与深化应用已经成为石油石化企业信息化建设的主流。在当前国际金融危机冲击之下,信息化在优化资源配置、强化过程管控、支持管理创新、提高经营管理水平和劳动生产率等方面的支撑作用越来越显著。
三、石油石化企业信息安全的意义
石油石化企业在国民经济中扮演者重要的角色,是其重要的支柱产业,担负着保障国家油气供应安全的重要责任。国家形象、安全及国民经济也可能要受石油石化企业安全的影响。近几十年石油石化企业的发展主要得益于信息技术的发展。石油石化企业运营绝大多数工序,从地震、钻井到化工作业、生产工艺,甚至是管理手段、战略决策等都是依靠信息系统来实现的。信息系统一旦瘫痪,企业的运营就要中断。
前不久,互联网一度让人望而却步,CSDN、天涯、新浪、京东商城、网易公司、支付宝等互联网公司以及多家银行深陷“泄密门”。这使得本来就对互联网不放心的广大消费者更加远离了网络购物,一些网络消费者也纷纷降低了购物频率。
四、中海油的企业信息安全策略
信息化是中海油科学管理的重要手段,也是企业的核心竞争力之一。多年来中海油一直坚持业务驱动应用,技术引领创新,着力打造数字海油,加强工业化与信息化的融合,提升中海油信息化水平。多年来建设了MPLS云网络,实现了物理统一、逻辑共享的网络链路;构建了以LotusNotes为基础的OA办公平台;打造了以SAP为核心的ERP系统平台;建设了勘探、开发、生产、钻完井等生产管理信息系统和Scada、DCS、MES生产信息管理系统。这些系统的建立为提高石油的产量,加速企业的运行效率奠定了基础,使得中海油各生产运行业务系统建设稳步推进,实现了整体项目生产数据的完整、有序化管理,便于生产经营决策。
随着国际化的进程,中海油和国外公司的合作联系越来越密切,如果不加强信息安全,轻则出现宕机、数据缺失、系统停止服务等信息服务事件,重则会影响我国的石油产业和我国的国民经济。目前在对网络安全方面主要从以下几点展开的:
(1)物理安全风险
在物理安全方面,企业建立合格的机房环境,设置合理的网络构架,购置高性能的硬件设施,同时安装高效的、实时的预警系统等。在这些系统的和人员管理的情况下,防止设备因水灾、火灾、系统故障等导致的计算机硬件方面的安全问题。
(2)网络管理体系方面的安全
加强网络管理体系,可以减少企业中责权不明、管理混乱等方面的安全隐患,提高员工的安全意识。同时,还可以及时发现一些外来的网络攻击和恶意的破坏。对内部终端进行管理,通过流量限制计算机上传下载速度也是有效的网络管理体系的一部分。
(3)网络拓扑结构的风险
拓扑结构形象的描述了企业网络的组织结构以及各个元件之间的相互关系,对企业的网络安全系统有着重要的影响力。假如外部和内部进行联系,内部网络系统受到威胁,就会通过这个网络拓扑结构一层一层的影响其他的系统,进而可能使整个网路拓扑结构瘫痪,影响企业的正常运行。
同时,面对日益高速化发展的今天,工作人员容易受到外界的蛊惑,因此企业应该加强对企业人员网络安全维护的教育,提高人员安全性。
五、技术展望
云计算的发展为未来企业网络安全提供了又一个技术平台。云计算是通过网络把成千上万的计算机硬件资源和软件资源聚合成一个具有强大计算能力的系统,并借助各种服务模式把强大的计算能力提供给终端用户,使人们能够像使用电、水那样使用信息资源。
在经济全球化的今天,企业相关人员对信息安全越来越关注。虽然企业采取了很多与员工签订保密协议,建立防火墙,以及安全管理中心等措施,但还是发生了像天涯社区、新浪等泄露用户密码、个人信息的安全事件。云技术网页威胁管理部署和操作简单,不仅有效且高效的防护,而且支持远程办公室和移动工作,“网络效应”和“众包”的作用更是提高了信息的安全性,因此特别适合分布式企业。而大型企业则需要一种集中化的管理和分布式、以云端为中心的智能、紧密集成等于一体的网络威胁管理构架,才能满足其庞大的网络拓扑架构的安全需要,改善远程工作者的安全性,提供全局可见性和控制能力,创建一个云迁移路径。
综上所述,中海油信息化的建设大幅提升了生产运行效率和精细化管理水平,达到了国际化先进水平,为中海油在国际的长远发展提供了坚实的基础。面对经济的全球化,各行各业,每一个企业都要建立健全、不断完善信息安全管理工作,提升企业信息安全管理水平。
参考文献
[1] 张帆;企业信息安全威胁分析与安全策略[J];网络安全技术与应用,2007,(05)
关键词:校园安全;安全事件;综合治理;律师;职能作用
中图分类号:G47文献标志码:A文章编号:1673-291X(2011)06-0278-02
近年来,校园安全事件频繁发生,校园安全的维护成为教育管理工作中刻不容缓的问题,许多地区采取了种种措施保障校园安全,但这些措施也仅局限于校内的治安管理,治理效果不十分明显,因为校园管理者并没有完全和社会各部门进行配合,没有充分发挥社会综合治理的广泛作用。律师作为社会法律工作者,依法维护校园安全也是工作职责之一,校园管理者和律师应当在校园安全的综合治理中积极配合,以充分发挥法律工作者的职能作用,以协助和配合校园安全这一教育管理工作的有效进行。
一、校园安全
校园安全,可以从主体、客体和内容三个方面来进行定义。从广义上说,校园安全的主体应该为全体社会公民和学校等单位团体,狭义上的校园安全主体一般指在校学生、教职工。而校园安全的客体包括了在校师生的生命、财产、人格等权利,以及学校公共财物的财产权利,当然也应该包括校园文化资产的权益。校园安全的内容应该是对涉及校园人、财、物、校园文化等人身和财产权益综合安全的保护。目前,中国对校园安全关注的焦点主要是学生人身安全,而对于教职工安全、学校公共财产安全等一般不列入重点监测的范围,对于校园文化资产的监控更不被作为校园安全的内容,这种做法显然不能有效保护校园安全。
既然校园安全的范围如此宽泛,那么校园安全的建设原则应包含如下内容:
1.以人为本原则。它主要指生命权。在物权、债权、生命权等各项权利中,生命权毋庸置疑应该是最为重要的权利,它是生命主体享有一切权利的前提。校园安全所涉及到的内容是很复杂的,但是无论在何种情况下都应该以保护校园安全主体的生命安全为第一要务,这是校园安全建设的首要原则。
2.预防为主原则。在整个校园安全建设和管理中,安全事件发生后只能在最短的时间内把损失降低到最小,这样无法有效的从根本上制止校园危险事件的发生。所以校园安全建设应该秉承预防为主的原则,通过分析一些危险隐患产生的原因和一些初期的迹象,防患于未然,将安全隐患消灭消灭在萌芽状态中,从源头上防止校园不安全事件的发生。
3.综合治理原则。校园安全是个综合治理工程,它涉及面较广,包括了人、财、物、意识等各个层面中与校园有关的内容,这些都是与生命安全息息相关的,比如,校园公共财物的维护、校园周边环境的治理、校园网络安全、校园相关产权的保护等等。所以校园安全需要全面兼顾,综合治理,才能真正确保校园的安全。
4.科学管理原则。校园安全建设要依托科学指导和帮助,这些可以大大提高校园的安全程度和安保效率,同时还应依靠在校的所有人的力量和智慧,充分调动校园内安全主体的主观能动性。
二、校园安全现状
近几年,中国有关校园的中毒事件、踩踏事件、暴力事件、交通安全事件屡见报端,而且每年的安全事件发生呈上升趋势。这些表现的特点有:
1.安全隐患增多。中国小学、中学尤其是大学的办学规模不断扩大,办学形式日益多样化,后勤服务社会化,学校正成为一个开放式的教育园区,尤其是大量的社会实体、社会成员进入校园,给管理带来很大的难度,这些都是校园内存在的安全隐患。
2.安全意识薄弱、自我保护意识差。校园内外发生的许多涉及学生的意外伤害事故中,大多数当事学生对事故的发生没有任何心理准备和自我保护意识,因为多数学生所接受的安全教育几乎为零,安全意识甚为淡薄,学生思想中仅有的一些安全意识来源于本能和老师及父母简单的提醒。
3.周边环境对校园安全影响大。网吧、游戏厅、录像厅、酒吧等休闲娱乐场所充斥在校园周围,在这些场所中一些不良的社会现象潜移默化地腐蚀着学生的思想和行为,影响学生树立正确的世界观、人生观和价值观,这些成为教唆犯罪和滋生犯罪的诱因和温床。
4.由于心理问题而导致的意外伤害和死亡事故有所上升。青少年学生处在心理和生理的成长期,比较敏感,当家庭环境、学校和社会发生反常情况时,容易诱发一些心理疾病,从而做出伤害自己或他人的行为,这种类型的安全事件,大学比中小学表现的更为突出。
三、律师工作职能在校园安全治安综合治理中的作用
律师作为法律工作者,其工作范围几乎涵盖社会各生产和生活领域,针对近年来校园安全问题的严重性,积极发挥律师在校园安全综合治理中的职能作用已经成为校园安全管理中不可忽视的一部分,它具有比较重要的现实意义和作用。
1.律师工作在构建校园安全综合治理中的重要服务作用。律师通过向校园提供法律服务,既普及了法律知识,又使校园矛盾和纠纷能得到有效的化解,因此,如果在校园安全治理中纳入律师的法律帮助,治理成效会有更大的提高。
2.律师工作在校园安全治理中的具体作用。由于专业法律工作者掌握大量的法律知识和丰富的法律服务经验,因此可以从现行法律规定和校园人、才、物的权益的角度出发,协助校园管理者制定有效的安全管理措施,使校园安全主体的合法权益得到充分的维护,从而达到通过法律保护来实现校园安全的目的。
3.律师工作是校园安全综合治理中普及法律知识的主要途径。当前,校园普法和律师工作还没有得到校园安全治理的重视,但是在社会治安综合治理中,律师的作用已经得到充分的发挥,并且已经取得很大的成效。因此,将律师的法律服务工作引进到校园安全治理中,来加强校园安全法制宣传教育力度,传播法律知识,弘扬法治精神,增强校园安全法律意识,同时通过律师向相关国家机关提出校园安全综合治理的司法建议、调研报告、议案、提案等,从而促使校园安全法律制度不断完善和提高。
四、校园如何充分利用律师在校园安全综合治理中的职能作用
针对校园安全现状和校园安全综合治理中出现的问题,首先要着重解决校园安全预防问题,其中包括积极发挥律师在校园安全的综合治理中的职能作用。
1.校园安全综合治理中应提升律师的法律指导地位。校园安全综合治理中进一步建立和完善法律顾问制度,发挥律师法律顾问的作用;大力开展法律援助活动,积极动员法律工作者为学生提供法律帮助;开展校园依法维权活动,帮助校园学生解决涉及到的法律问题;加强校园的法制教育,维护师生的合法权益;安排律师参与校园接待工作,建立律师和校园联系制度和责任制度等等。
2.大力开展“法律进校园”活动。充分发挥“法律宣讲负责人”的优势作用,开展“法律进校园”活动。通过为大、中、小学生上法制课来教育广大师生增强法制观念,提高法制意识;帮助学校制定、完善校园安全工作制度;开展多种形式的 “法律进校园”活动,积极发挥学校主渠道的作用,搭建律师服务平台,充分利用校园广播、校园网和板报、橱窗等宣传阵地广泛普及法律、公共安全、应急管理和逃生自救等知识,做到法律知识全覆盖;利用各种形式开展《未成年人保护法》宣传活动,加强未成年人的自我保护意识。
3.校园建立与学校所在地律师事务所和律师的联系制度。建立与学校所在地律师事务所和律师的联系制度,实现安全事件的律师工作介入的联网,充分并及时利用双方的安全资源,防止重大事故的发生。同时聘请律师担任校内的兼职教导员和法律咨询工作人员,加强对在校师生安全意识的法律教育。
4.做好弱势群体学生的法援工作。校园积极主动地与律师联合,及时做好弱势群体学生的法律援助工作,使学生的合法权益得到最大限度的保护。
5.为律师参与校园安全综合治理工作创造条件。校园管理者应当主动聘请律师参与校园安全的综合治理工作,在律师的协助下,制定校园安全的发展计划、指导措施和各项管理制度,以保证校园安全综合治理工作合宪、合法,同时扩大律师对校园安全综合治理工作的影响力,使律师对校园安全综合治理方略的实施和构建校园安全环境发挥更大的作用。
综上所述,律师职能作用的充分发挥,对于推动和促进校园安全管理起着重要的作用。但目前,律师工作在校园管理中没能得到充分的利用和发挥。因此,我们应当提升律师在校园安全治理中的管理地位、凸显律师作用、彰显律师价值,才能从真正意义上充分发挥律师在校园安全综合治理中的作用。
参考文献:
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状
2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析
3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
关键词:信息安全 管理 现状 改进策略
虽然国际互联网最早起源上个世纪八十年代,并在90年代末进入高速发展的时期,但由于技术和设备的引入受到美国的限制,导致我国一直到1994年才得以引入。迄今为止的20年间,我国的计算机信息网络技术得到了巨大的发展,很大程度的改变了我国居民的生活和工作模式,给生产力的发展带来巨大的推动作用。然而,信息网络环境的复杂性、多变性以及脆弱性等特点却注定其是一把双刃剑,在产生巨大推动力的同时也带来了许多的安全问题,造成许多不良的社会影响,甚至是国民经济损失。这主要是由于我国在信息技术上的发展时间还不够长,在长足的发展中并没有形成对于信息安全管理的足够认识,在没有足够预警措施的背景下,保护网络信息安全是一项必须尽快施行的重要措施。
一、我国的信息安全现状
1.缺少法律体系的约束。
法律才是保障人民和国家利益的根本所在,才是保障信息安全的基本防线。我国的法律体系主要是由法律、行政法规以及规章等三层面的规定构成,信息行业作为一个新兴的行业,而且其涉及内容、影响范围以及运行模式都在不断的变化和革新,因此我国虽然对信息安全进行相关的立法保护,但是仍有不少法律没有涉及的部分,甚至原有的法律无法对新出现的信息板块进行约束。除此之外,我国的信息安全法律体系还存在一定的内容交叉问题,导致执法困境的现象,最终阻碍了我国法律对于信息安全的保护。
2.缺少严密的管理措施。
信息安全的管理是一个系统的工程,其包括了事前的教育培训和系统评估认证,还有预期懂的安全规划,事中的风险管理和应急措施,以及事后的总结和规划,各个内容之间存在明确的管理和责任。然而我国并没有在这个问题上进行详细的约定和规范,导致多头管理和权责交叉的现象出现,阻碍的信息安全管理效益,信息安全的保障机制不能高效运行。
3.缺乏信息安全意识。
信息安全不仅仅是制度和法律的保障,更多的应当是来自于每一个人在每一个层次上进行安全保护。然而大多数人都没有形成对于信息安全的足够认识,违规操作和风险运行的事件时有发生,极大的危害了信息安全的管理工作。这一方面说明了操作主体缺乏安全意识,另一方面也说明了主体没有受到相关的教育和培训。
4.忽略了技术和管理的重要性。
据不规则统计,大多数的安全问题都是由于操作技术和管理模式的缘故。尤其是现阶段,我国的企业发展十分迅速,也对信息部门有了一定的认识,然而却并源于投入更多的人力和物力来保障信息安全,往往会出现安全系统过时、技术人员能力不足或是身兼数职等现象,对信息安全的管理工作造成了极大的安全隐患。
二、信息安全的主要特点
1.趋利性。
近几年已经网络信息安全事件的多发期,由于互联网金融的发展,巨大的经济利益和信息网络联系在一起,引起不法分子的主义,这也从另一方面说明了信息安全的威胁主要是利益引发的,因此,这要求我国人民在进行经济利益相关的信息操作时需要更加的小心和细致。
2.多样性。
系统安全技术经过多年的病毒洗礼之后已经有了大幅度的提升,然而,不法分子对于病毒形式也有了更多的研究。各式各样的病毒软件被研发出来,对PC和移动终端造成了巨大的影响,过去常用的电子邮件病毒已经渐渐被遗忘,更多种类的病毒危害着用户的信息安全。
3.漏洞多发性。
信息安全事故的发生虽然有一部分来自于不当操作,但也不排除来自安全漏洞的原因。往往是由于用户没有对系统进行及时的更新,也没有对安全技术懂的革新引起足够的重视,造成漏洞信心安全事故问题居高不下。
三、防反信息安全风险的策略
1.构建并完善信息安全管理制度。
要保障信息的安全就必须建立完善的信息安全管理制度,进行统一规划和分工,保障各部门、更阶层甚至每个个体都各司其职,分工合作。其次,还需要保障管理的高效性,防止多头控制和协调不力的现象出现,保障权责统一。然后还需要在各省市甚至各县城都建立基层保护体制,维护各地区人民的信息安全利益。建立完善的监管合作机制,将政府、机构甚至个人联合起来,建立内外结合的安全管理体系,将信息安全落到实处。
2.强化信息安全法律体系的完善工作。
法律的建立和完善才是信息安全保护机制中最重要的组成部分,这对我国的法律法规建设工作提出了较高的要求。首先,我国政府应该加快对于信息安全管理的法律法规建设速度,对于相关的技术人员和执法人员团队的建设应当将职业意识和职业能力同时纳入考核体系,只有健全职业意识才能在执法过程中实现对于法律的执行,保障人民懂的根本利益。同时,各有关管理机构和部门也应当积极配合,主动协调,在履行自身义务的基础上也要把本职工作做好,对于信息安全管理工作贡献自身的一份力量。除此之外,法律的维护和执行需要社会各阶层的自觉维护,不仅仅是政府和机关,更包括各阶层的社会团体和个人,信息网络环境的安全需要大家集体来护卫。
3.加大信息安全违法犯罪的打击力度。
近年来,在网络违法犯罪的问题上,我国做出了巨大的努力,虽然取得了巨大的成就,但随着信息技术的不断更新换代,网络信息安全违法的形式变得越来越多样化。这要求,我国执法机关和部门在健全法律执行范围的基础,在打击力度上也要进一步强化,提高对于网络信息犯罪的预防、处理和控制等方面的能力,也要在信息安全的自我保护上多进行培训和教育,提高个体和群体对于信息安全技术和系统的认识和运行能力。最终,实现防治结合。
4.加大政策扶持,维系良好的信息安全环境。
首先要加强对于信息安全工作的扶持力度。例如:政府需要建立转型资金付出计划,帮助相关的部门和机关进行公益性和公共性的信息安全系统建设和技术普及工作,联合各相关企业进行技术研发和技术培训,明确各自对于信息安全的需求和期望,建立适合自身现状和发展的信息安全管理体系。其次是加强对于相关安全技术管理的人才培养。督促相关的教育机构强化对于社会信息安全管理的需求了解工作,切实调整自身的发展步伐,迎合市场需求,发展自身教育计划,建立专门的信息安全学习和进行机制,加快信息安全人才培养,发挥人才所产生的保护效益。
四、结语
信息网络是一把“双刃剑”,其在推动社会生产和人们生活方式发展的同时也带来了巨大的安全隐患。因此,人们在享受这种社会科技利益的同时,也要注意使用所引发的信息安全事故。因为,只有在安全条件下的运营才会给人们带来发展和效益增长。虽然现阶段已经有越来越多的人意识网络信息安全问题的重要性,不仅仅是政府和相关技术人员,更在不少的普通居民心中引起了足够的重视。只要坚定在党的领导,加强信息安全法律体系的构建,推动信息安全管理机制的建立,进一步强化对于安全信息的认识培训,推动我国信息安全产业的高速发展,我们就一定有信心在我国的网络发展中保障信息安全,维护国家和人民的利益。
参考文献:
[1]杨珂.浅谈网络信息安全现状[J].数字技术与应用,2013,02:172.
[2]薛鹏.信息安全的发展综述研究[J].华东师范大学学报(自然科学版),2015,S1:180-184.
[3]王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报,2015,02:72-84.
[4]华贤平.电子信息安全技术存在的问题和对策[J].电子技术与软件工程,2014,15:211.
关键词:数据挖掘;网络安全;入侵检测;算法
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)08-0049-03
数据挖掘(Data Mining)技术的定义是从现有的数据库中提取有用知识的技术。这几年的科学理论研究成果表明,把数据挖掘技术添加入侵检测系统(Intrusion Detection System,IDS)中来,并从中选择有效地特征点,构造出合适的测试模型,不但能提升整个系统设备的入侵检测的功能,而且也会影响系统的误报率和漏报率。随着计算机网络技术的不断发展,计算机网络在给人们带来了许多方便的同时,也产生了一些负面作用。如系统与软件漏洞等,也为个别非法入侵者提供了可乘之机。而为了防止内部或外部非法使用者对计算机进行攻击,工程师设计出了入侵检测系统(httrusion Detection System,IDS)。
1入侵检测的技术理论
入侵检测技术的主要功能是监控网络系统各主机的运行状态,监测出各种潜在攻击行为、或者潜在的木马程序,这样就可以IDS系统资源具有可用性、完备性与安全性。
我们可以从监测数据目标的方向,把入侵检测系统IDS区分为根据内核主机的IDS、根据网络的IDS和根据应用的IDS等众多种类别。本论文主要是根据网络的入侵检测系统IDS的构造进行深入的解析。
研究人员也可以从分析数据检测方法的异同点方向,把入侵检测系统划分为以下几大类别:
1)误用检测(MISuse Detection)。又称为根据特征的检测方法,它把已知的攻击行为标识成一个特征库,再去比对现有已发生的动作行为,如果有检测结果具有相似性则表明它是一个入侵行为。误报率低是这种方法的优点,但是对主机的攻击行为达到一定数量级时,将使特征库变得很庞大,仅能检测到特征库中已标识的攻击行为是这一方法缺点。
2)异常检测(Anomaly Detection)。又叫作根据行为的检测,它也是事先构建一个正常的特征库,然后再继续搜集使用者的行为或使用资源状况,来判定这是否为一种入侵行为。这种方法的优点是通用性较强,跟系统本身无直接联系,同时也可以检测出未知的攻击方法。但受到正常框架的局限,也无法对整个系统的全部用户行为进行全面的描述,并且各个用户的行为也会发生变化的,因此会发生误检率值升高的缺点。
把以上两种方法综合起来,肯定能取得更好的效果。传统的入侵检测系统IDS只是将异常检测和误用检测作为两个独立部分加入到检测系统中,为了充分利用两种检测的优点,可将异常检测和误用检测相结合构成新的IDS基本规则:凡是能与正常行为模式库匹配的行为称为正常行为,凡是与异常行为模式库匹配的行为称为人侵行为,这样可以在一定程度上减少误报率和漏报率,提高入侵检测的准确性。但是需要手动来更新行为模式库的方法,也是浪费人力和物力。为了提高人侵z测的速度,可以将数据挖掘技术的一些算法如:分类算法、聚类算法、关联规则算法、序列规则算法等,应用到入侵检测系统的设计当中。于是,不论是否发生入侵行为,系统就能有效跟踪识别,并自动更新规则库算法,从而促进整个检测系统性能的优化。
要获取入侵检测的数据源,研究人员利用一些专用的抓包软件来实现,在Windows平台下抓包工具软件,主要有Winpcap等工具,而Unix平台下,可以利用Arpwatch和Tcpdump软件工具来抓包。数据挖掘技术的数据分析阶段也可再细分,它的响应部分可划分为被动响应与主动响应这两类。
2数据挖掘技术简介
数据挖掘(Data Mining)技术可以看作是从众多的数据源中提取人们需要的模式的算法过程。这里的数据挖掘的对象可以是数据源或其他文件系统,或者是Web资源之类的其他数据的集合;数据挖掘并不是一个直线延展型的过程,也可把它比作是一个不断螺旋上升、反复的、且具有众多步骤、繁杂的处理过程。
数据挖掘算法能够做到预测未来趋势及行为,从而做出具有前瞻性知识的决策。数据挖掘的根本目的是从数据特征库中,搜寻出有意义的隐含知识,可以按功能区分它的类别:
1)聚类
平时我们输入的数据可能无任何类型标记,而聚类是把数据按一定的规则划分到各个集合中,其中对象可划分为多个类或簇,划分后同一个簇中的对象具有很高的相似性,可是我们也发现不同簇中的对象差异却很大。
2)关联分析
关联分析可以查找数据库中众多数据之间的联系,主要包括是序列模式与关联规则。序列模式分析则主要研究数据之间的因果关系,比如买了手机的用户可能会在几个月内买手机套;关联规则是指监测出其中某一对象与其他类对象之间的关联依赖性,比如:关联分析方法在分析用户在买牙膏的同时,存在买牙刷的可能性。
3)概念描述
数据库中的数据是纷繁复杂的,专家们总期望用最简易的描述形式,来表达汇集的数据源。概念描述是概括出同一类别对象的对应特征,并且描述出它的内涵。
4)偏差检测
偏差检测包涵众多隐藏的知识,比如数值不规则的变化、不符合规则的实例、模型预测值和监测结果的偏差、分类中的异常特例等。
5)自动预测趋势和行为
数据挖掘自动在大型数据库中提出描述主要数据类的模型,进行监测与分类,搜寻出未来的数据趋势或预测性信息。
数据挖掘算法是最近几年创新融合,引入到入侵检测系统的一类技术。其优点是能从主机的大量纷繁复杂的日志文件与网络数据中,提取出我们想要的、且未发现的规律理论。利用数据挖掘算法保障我们的网络安全,这是研究人员的一种大胆创新尝试。当前条件下,对数据挖掘算法的研究已进入一个新的阶段,同时它也是一个通用性很强的技术。在入侵检测系统中,把入侵检测看作数据分析过程,将安全数据引入特定的数据挖掘算法,可以产生一个具有良好的扩展效果,自适应性较强的入侵检测系统。截至目前,数据挖掘算法应用到入侵检测上的主要有关联、序列、分类和聚类这几个模型方面。
3数据挖掘算法在入侵检测系统中的应用
数据挖掘是对存放在数据库或其他信息数据库中的数据进行提取,挖掘出对人类有用知识的过程。
把数据挖掘技术融合到入侵检测系统中,再分析相关以往的数据,挖掘提取出各个用户的行为特征、分析入侵行为的隐含规律,从而构建一个完备的特征库来进行入侵检测。该过程主要分为以下几步。数据收集来源于网络,主要是根据网络来检测系统数据,常用的工具有TCPDUMP等。
利用Snort的工作原理来举例,扩展系统主要在规则匹配方面,通过系统测试实验,分析攻击行为的典型特征,总结出攻击数据库大小模式与时间的内在联系。
下面可以模拟出一个实验环境:
IP地址为172.16.5.2的主机配置为PIV 3.2G,内存4G,操作系统为Windows 7;这几台分机的IP地址分别为172.16.5.21;172.16.5.36;172.16.5.480
实验主要步骤:通过TcpDump这个工具软件捕获一组络数据包,通过本系统记录约20min传送来的数据包,分别利用3台分机对一台主机进行攻击,测试不同攻击类型的数据包。
异常分析器则采用K-Meoils算法(即聚类分析算法),实验数据分析表明:人为增大了聚类半径R,可能会导致攻击数据包与正常数包被系统归类到同一个聚类,而误检率必然因数值的增大而变大。误检率因数值的增大而增大,因数值的减小而渐渐减小。同时,若某种类型的攻击数据包的数目变更数值,检测系统会将其认定为正常类,因此数值越小,也将导致误检率越高。若聚类设置半径R=6,加人挖掘技术的检测系统,明显比Snort最初的检测速度还快,而且误检率也更低。
特征提取器采用Apriori算法关联分析,支持度设为50%,置信度参数设为100%,参数值设置为1000,实验结果显示以下3条新的入侵检测规则:
Alert tcp 172.16.5.2l 2450->172.16.5.2 80
(msg:“poli-cy:externalnet attempt to access 172.16.5.2”;classtype:at-temptesd-recon;)
Alert tcp 172.16.5.36 1850->172.16.5.2 21
(msg:“poli-cy:extemalnet attempt to OCCCSS 172.16.5.2”;classtype:at-tempted-recon;)
Alert tcp 172.16.5.48 2578->172.16.1.2 1080
(msg:“policy:extemalnet attempt to access 172.16.5.2”;elasstype:at-tempted-reeon;)
以上实验结果的分析表明:异常日志受到特征提取器的影响,检测系统挖掘提取出新类型攻击的规则,同时可以检测新类型攻击行为。
在数据挖掘中,预处理训练数据的好坏,也会影响提取的用户特征,并间接影响分析出规则的正确性。入侵检测系统中,可以建立包含入侵者的行为的模型数据库,那么以后建立起的检测系统将不能识别出该入侵行为,从而造成漏报或误报的情况。因此,用于训练的数据一定不能包含任何入侵行为,且数据挖掘算法要事先格式化成需要处理的形式。
在预处理过的数据中,数据挖掘算法从中提取用户行为特征库,再对所得的特征规则进行相应更新,建立起用户行为规则库。入侵检测系统依据规则库的规则,再对当前用户的行为进行检测,再对得到的结果采取不同的对方式。
数据挖掘主要过程可以分为原始数据的采集、数据的预处理、最后数据的挖掘这三个步骤来进行。数据挖掘技术主要包括关联分析、聚类分析和分类分析、序列模式分析等四类。基于数据挖掘的入侵检测系统研究是针对数据挖掘与入侵检测的众多特点,构造出恰当的挖掘模型,在满足实际网络安全的前提下,实现两者的有效融合。
1)序列模式分析。序列模式分析主要是指搜寻出在一定的段时间T内,有出现数据特征甲,然后有特征乙出现,而后特征丙也出现了,即序列甲 乙 丙,出现频度较高之类知识。由于网络攻击和时间变量存在关联,因此在关联分析基础上进行序列模式分析,可以进一步分析攻击行为时间相关性。它主要运用序列分析发现入侵行为的序列关,系.挖掘安全事件之间先后关系,从而提取出入侵行为的时间序列特征。序列模式挖掘的大部分方法都采用了类Apriori算法的变异,使用的参数设置和约束条件均有所不同。另一种挖掘此类模式的方法为序列模式生长技术,它是基于数据库投影的,类似于无选项生成的频繁模式挖掘增长方式。
2)关联规则挖掘。研究人员认为:关联规则挖掘是数据挖掘技术算法中应用最广泛的,也是最先被引人入侵检测的技术。关联规则分析是采用改变可信度与支持度原定规定数值的技术,它主要包括两个步骤:第一是监别不低于用户规定的、最小支持度参数值的频繁项目集;然后从中构建出可信度不低于用户规定的、最小可信度参数值的规则。值得一提的是,现在已有多种关联规则算法(如Apriori算法)引入到入侵检测系统中。
3)聚类分析。聚类是指用来分析对一个数据对象的集合,但与此不同的是,这个要区分的类是不可知的。聚类就是将数据对象划分成多个簇或类,具有较高相似度的对象被分在同一个簇中,而不同簇中的对象却有较大的差异。相异度是用来描述对象属性的参数值。用在入侵检测中的聚类分析主要包括两种,第一种是入侵行为远小于正常行为的数目,第二种是人侵行为和正常行为显著不同的。常用的聚类技术主要有:根据模型的方法(model-based method)划分方法(partitioning meth-od)、)和层次方法(hierarchical method)、根据网格的方法(grid-based method)、根据密度的方法(density-based method)等。
4数据挖掘技术研究的前沿技术
数据挖掘技术是一门融合多门学科的崭新技术,其中包括信息检索、神经网络、数据可视化、数据库应用技术、统计学原理、模式识别、高端计算、机器自学习、信号处理DSP和空间数据研究等。数据挖掘技术可以和其他技术相结合,如粗集、模糊逻辑、遗传算法、决策树理论、人工神经网络以及规则归纳法等等。
下面介绍几种最新的数据挖掘技术,可以与之相结合应用到入侵检测系统中的技术:
1)膜糊数据挖掘技术
在数据挖掘过程中,审计数据中一定含有量化特征,量化数据分隔在置信度、支持度两个参数值区域中。这种划分方法的尖锐边界(sharp boundary),这一问题也影响着IDS的检测性能。为克服尖锐边界所带来的一系列问题,Bridges把特征量化细分为模糊隶属度值的等类别。Bridges使用模糊逻辑算法与关联规则挖掘算法、数据频繁情节挖掘算法三类相结合,综合应用上述方法来开发数据挖掘技术。
2)多级近似(level-wise)挖掘技术
若发生频率较低的某些正常行为,其支持度不会超过预定的数值;在数据挖掘过程中,若降低支持度的数值,也能取得许多与频率值高的服务类别相近的模式。多级近似挖掘技术被专家们提出来为解决这一矛盾,它的原理是:首先提取出与频率高的中心属性值关联的模式,而后再把支持度数值降低,从中提取出与频率值低的属性值相关的那些模式。该模式挖掘技术提取的过程中,要注意控制那些旧的中心属性的添加:必须至少包括一个“新”(低频繁度)的中心属性值作为备选项目集。这样,每次循环演算获得的模式就转变为由全部新的中心属性构成的,或者是由旧中心属性与新中心属性综合构成。
3)遗传算法技术
遗传算法(genetic algoritm)是指模拟自然生物进化遗传模式和采用大自然选择的一种最优算法技术,遗传算法有效解决了大量数据的繁杂无序的特性。基于遗传算法的数据挖掘技术主要研究方向还是在分类系统方面,对于关联规则的研究,挖掘应用较少。比如Shi使用遗传算法则可以自动优化隶属度函数的参数。遗传算法技术是将若干问题可能的解,按某种形式进行合理的编码,编码后的解我们称之为染色体(个体)。然后选择几个染色体组成原始种群,再针对每个染色体进行分析,再根据选定的函数统计出适应值,以便让性能较优的染色体具有较好的适应值。选取适应值好的染色体进行相应的复制,再经过遗传算法:选择、重组(交叉)、变异,来创造出一种更新的且更适应环境的染色体,形成更新的种群。不断循环繁殖、进化,最后收敛到一个最适应系统环境的体中,从而使得问题得到最优解。
4)决策树技术
决策树方法技术是指用信息论方法获得值的一种数据挖掘技术。在数据库概念中,决策树技术采用的是信息论中的信息增益(互信息),来搜寻含有MAX信息量的属性字段,组建决策树中的一个节点,再基于该属性字段的异同来获取数值,也就建成了树的分支。在任意的分支子集中,重复构建树的下层分支与节点的过程。决策树方法技术,不但可以实现数据规则的可视化,构造过程中也不需要浪费较长时间,精度较高的输出结果,也容易让人理解,所以在知识发现系统中,决策树方法技术得到广泛的应用。
5)人工神经网络技术
神经网络由大量的处理单元组成,单元间进行交互是通过带有权值的连接来实现的。神经网络可以通过添加连接或删除连接的方法、改变单元状,改变连接的权值来标识异常事件。神经网络在数据较大、领域知识不完备以及存在噪声数据的情况下,发挥强有力的非线性处理能力,达到传统符号学习方法意想不到的效果。把神经网络的自学习、自组织功能与数据挖掘技术相结合,应用到入侵检测系统中,可以提高入侵检测的效率,避免了人工输入规则,较好地处理带噪声的数据。
6)Agent Agent技术
该技术目前尚无统一的定义,普遍的观点是一种处于平台环境下的计算机系统,为实现算法程序的初衷,它能实现在一定的系统中自主灵活地运行。一个完善的Agent能够与环境中的其他Agent相互协作,并从它的经验中不断地学习,共同完成原定的任务。分布式入侵检测系统基于Agent和数据挖掘的分布式结构,在各种特性上构造了移动Agent的自治性和智能路由性,在一定程度上满足了入侵检测系统的要求,当检测环境变化时或者需要保护机器数目发生变化,入侵检测系统则不要做较大修改;或者当新的正常使用模式与新的攻击类型模式时,系统可以自动扩充相关知识库并及时鉴别,从而提高其扩展性和环境适应性。
5小结