前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全计划主题范文,仅供参考,欢迎阅读并收藏。
关键词:网络安全;网络管理;防护;防火墙
中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2011)14-3302-02
随着企业信息化进程的不断发展,网络已成为提高企业生产效率和企业竞争力的有力手段。目前,石化企业网络各类系统诸如ERP系统、原油管理信息系统 、电子邮件系统 以及OA协同办公系统等都相继上线运行,信息化的发展极大地改变了企业传统的管理模式,实现了企业内的资源共享。与此同时,网络安全问题日益突出,各种针对网络协议和应用程序漏洞的新型攻击层出不穷,病毒威胁无处不在。
因此,了解网络安全,做好防范措施,保证系统安全可靠地运行已成为企业网络系统的基本职能,也是企业本质安全的重要一环。
1 石化企业网络安全现状
石化企业局域网一般包含Web、Mail等服务器和办公区客户机,通过内部网相互连接,经防火墙与外网互联。在内部网络中,各计算机处在同一网段或通过Vlan(虚拟网络)技术把企业不同业务部门相互隔离。
2 企业网络安全概述
企业网络安全隐患的来源有内、外网之分,网络安全系统所要防范的不仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问。企业网络安全隐患主要如下:
1) 操作系统本身存在的安全问题
2) 病毒、木马和恶意软件的入侵
3) 网络黑客的攻击
4) 管理及操作人员安全知识缺乏
5) 备份数据和存储媒体的损坏
针对上述安全隐患,可采取安装专业的网络版病毒防护系统,同时加强内部网络的安全管理;配置好防火墙过滤策略,及时安装系统安全补丁;在内、外网之间安装网络扫描检测、入侵检测系统,配置网络安全隔离系统等。
3 网络安全解决方案
一个网络系统的安全建设通常包含许多方面,主要为物理安全、数据安全、网络安全、系统安全等。
3.1 物理安全
物理安全主要指环境、场地和设备的安全及物理访问控制和应急处置计划等,包括机房环境安全、通信线路安全、设备安全、电源安全。
主要考虑:自然灾害、物理损坏和设备故障;选用合适的传输介质;供电安全可靠及网络防雷等。
3.2 网络安全
石化企业内部网络,主要运行的是内部办公、业务系统等,并与企业系统内部的上、下级机构网络及Internet互连。
3.2.1 VLAN技术
VLAN即虚拟局域网。是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。
借助VLAN技术,可将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境 ,就像使用本地LAN一样方便。一般分为:基于端口的VLAN、基于MAC地址的VLAN、基于第3层的VLAN、基于策略的VLAN。
3.2.2 防火墙技术
1) 防火墙体系结构
① 双重宿主主机体系结构
防火墙的双重宿主主机体系结构是指一台双重宿主主机作为防火墙系统的主体,执行分离外部网络和内部网络的任务。
② 被屏蔽主机体系结构
被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,强迫所有的外部主机与一个堡垒主机相连,而不让其与内部主机相连。
③ 被屏蔽子网体系结构
被屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器,位于堡垒主机的两端,一端连接内网,一端连接外网。为了入侵这种类型的体系结构,入侵者必须穿透两个屏蔽路由器。
2) 企业防火墙应用
① 企业网络体系中的三个区域
边界网络。此网络通过路由器直接面向Internet,通过防火墙将数据转发到网络。
网络。即DMZ,将用户连接到Web服务器或其他服务器,Web服务器通过内部防火墙连接到内部网络。
内部网络。连接各个内部服务器(如企业OA服务器,ERP服务器等)和内部用户。
② 防火墙及其功能
在企业网络中,常常有两个不同的防火墙:防火墙和内部防火墙。虽然任务相似,但侧重点不同,防火墙主要提供对不受信任的外部用户的限制,而内部防火墙主要防止外部用户访问内部网络并且限制内部用户非授权的操作。
在以上3个区域中,虽然内部网络和DMZ都属于企业内部网络的一部分,但他们的安全级别不同,对于要保护的大部分内部网络,一般禁止所有来自Internet用户的访问;而企业DMZ区,限制则没有那么严格。
3.2.3 VPN技术
VPN(Virtual Private Network)虚拟专用网络,一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。位于不同地方的两个或多个企业内部网之间就好像架设了一条专线,但它并不需要真正地去铺设光缆之类的物理线路。
企业用户采用VPN技术来构建其跨越公共网络的内联网系统,与Internet进行隔离,控制内网与Internet的相互访问。VPN设备放置于内部网络与路由器之间,将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问。
3.3 应用系统安全
企业应用系统安全包括两方面。一方面涉及用户进入系统的身份鉴别与控制,对安全相关操作进行审核等。另一方面涉及各种数据库系统、Web、FTP服务、E-MAIL等
病毒防护是企业应用系统安全的重要组成部分,企业在构建网络防病毒系统时,应全方位地布置企业防毒产品。
在网络骨干接入处,安装防毒墙,对主要网络协议(SMTP、FTP、HTTP)进行杀毒处理;在服务器上安装单独的服务器杀毒产品,各用户安装网络版杀毒软件客户端;对邮件系统,可采取安装专用邮件杀毒产品。
4 结束语
该文从网络安全及其建设原则进行了论述,对企业网络安全建设的解决方案进行了探讨和总结。石化企业日新月异,网络安全管理任重道远,网络安全已成为企业安全的重要组成部分、甚而成为企业的本质安全。加强网络安全建设,确保网络安全运行势在必行。
参考文献:
[1] 王达. 路由器配置与管理完全手册――H3C篇[M]. 武汉:华中科技大学出版社,2010.
[2] 王文寿. 网管员必备宝典――网络安全[M]. 北京:清华大学出版社,2007.
关键词: 网络;信息安全;规划
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)20-4606-03
网络是现代社会中信息传输的主要载体,包括计算机网络和电信网络两大部分,其中计算机网络的典范是Internet,而电信网络则包括有线电话网和移动通信网。随着技术的发展,这两种网络之间的差异正在逐步缩小,未来的发展趋势将是一个统一的、能提供综合业务能力的信息传输网络。
1 网络的基本结构
在本文中涉及到的主要是计算机网络。在典型的企业应用环境中,用户有两种主要的网络接入方式,即固定用户的直接接入方式和移动用户的拨号接入方式。下面分别对这两种接入方式下的网络基本结构进行分析。
在直接接入方式下,整个网络系统大致包括以下三个部分:
1)用户网络:是整个骨干网络的端系统,同时用户企业/部门内部的业务处理专用网络,包括了与用户企业日常业务处理直接相关的业务系统和信息资源,以及为支持这些系统的有效运行而建立的用户内部网络系统(可以是局域网或Intranet)。由于企业间合作的不断开展,用户网络之间需要进行大量的资源共享和交流,这一般需要通过骨干网络进行。
2)接入网络:是指实现用户网络到骨干网络接入的中间网络部分,是用户网络的应用信息通过骨干网络传输的一个中介。由于用户网络和骨干网络之间的安全性能上存在较大的差异,因此接入网络需要解决的一个重要的问题就是对用户网络及其内部的各种资源进行安全保护。本教程所指的接入网络概念与电信网络的术语“接入网”不完全相同。
3)骨干网络:是用户网络之间交换和传输应用信息的传输媒体,是通过在大量的用户网络之间共享网络传输带宽来实现信息的高速、廉价传输的。由于骨干网络应用环境的开放性特点,其安全性能一般无法保证。
对于移动用户远程接入的方式,整个网络结构主要包括以下二个部分:
1)接入网络:是实现移动用户接入到骨干网络的中间网络部分。典型的接入网络包括ISP/IAP以及移动用户到相应的ISP/IAP之间的电信网络传输网络部分(PSTN/IDSN)。
2)骨干网络:是移动用户与目标网络之间的信息传输媒体。
随着网络和信息技术在各个方面的全面应用,企业的组织方式将变得越来越灵活,而移动计算模式将逐步普及,因此在研究网络及信息安全问题时必须将移动用户的接入方式作为一个重点加以研究。
2 网络及信息安全问题的内涵
网络及信息的安全问题是一个相当广义的概念,其内容至少涉及以下几个方面:
1)物理安全:确保整个网络系统正常运行、安全工作的首要条件是确保计算机及其网络设备等关键性网络固件的物理安全,包括设备机房的防雷击、电磁屏蔽、抗灾性能、安全警卫等方面,要求整个网络系统从系统设计、安装施工、运行管理各方面加强对物理安全的精确控制与有效管理。
2)网络系统安全:骨干网络部分的主要功能在于向大量的用户网络提供可用的网络传输带宽,因此传输网络的安全性主要体现在对网络传输带宽可用性的保证上,主要是维持整个传输网络的路由机制和网络管理机制的正常运作。
3)计算机系统安全:用户网络的主要功能体现在企业内部信息资源的开发利用以及业务流程的辅助实施方面,不仅要满足内部用户的需求,还应根据企业发展战略的需要有针对性地向外部用户提供服务和资源。因此计算机系统安全主要体现在对应用系统和信息资源的安全保护两个方面,而对信息资源的安全性保护主要几种在数据的保密性、完整性和可用性方面。
3 网络及信息安全问题的主要成因
由于网络及信息安全问题的涉及的领域具有相当的广泛性,其安全问题的来源和因由也是相当复杂的,下面仅列出部分主要的安全问题成因,给大家对此有一个初步的了解:
3.1 网络及信息安全的技术成因
网络及信息安全问题的技术成因主要包括以下几个方面:
1)电磁信号的辐射:由于网络设备以及计算机信息系统的特殊构造与工作方式,它不可避免地会向邻近空间辐射电磁波。这些泄露出来的电磁辐射信号频谱成分丰富,携带大量信息,从而对某些信息处理的信息安全性造成威胁。目前网络通信中涉及到的传输电缆、计算机设备、网络系统设备均会不同程度的产生电磁场辐射向外泄露,对此只需要简单的仪器设备就可以在通信双方毫不知情的情况下对通信内容实施监听。
2)网络协议的安全性:网络协议是计算机之间为了互联彼此共同遵守的通信规则。目前的互联网络所采用的主流协议TCP/IP协议构架主要是面向信息资源的共享的。由于在其设计之初人们过分强调其开发性和便利性,而对其安全性的设计上没有深思熟虑,因此相当部分的网络协议都存在严重的安全漏洞,给互联网留下了许多安全隐患。事实上,这已经成为当前网络及信息安全问题最主要根源之一。另外,某些网络协议缺陷造成的安全漏洞往往被黑客直接利用发起安全攻击。比较典型的如FTP、SMTP、Telnet等应用协议,用户的口令等信息是以明文形式在网络中传输的,同时这些协议底层所依赖的TCP协议自身也并不能确保信号传输过程的安全。
3)工作环境的安全漏洞:现有的操作系统和数据库系统等典型的企业用户工作环境,由于本身就是软件产品,软件产品的特殊性造成了其必然存在一定的已知及未知安全漏洞,包括自身的体系结构问题、对特定网络协议实现的错误以及系统开发过程中遗留的后门和陷门。这些来自系统底层的安全漏洞带来的安全隐患,有可能会使用户精心构建部署的应用系统毁于一旦。
4)安全产品自身的问题:对于用户网络内部已经采用的网络及信息安全产品,其自身实现过程中的安全漏洞或错误都有可能引发用户内部网络安全防范机制的失效。同时,即使安全产品自身的安全漏洞可以忽略,在产品的实际使用过程中由于用户的配置或操作不当均可能造成产品安全性能的降低或丧失。
5)缺乏总体的安全规划:目前的各种网络及信息安全技术和产品一般基于不同的原理和安全模型工作,虽然独立来看都是功能不错的产品,但当所有这些产品整合到一起,应用到同一个网络系统中时,彼此之间在互操作性及兼容性上往往无法得到有效保证,从而带来许多意想不到的新安全问题。
6)信息的共享性:信息资源的网络共享确实在促进国际间的信息交流与技术合作上起到了前所未有的成功,大力推动了全世界科技水平的提高,但同时这也成为网络及信息安全问题的一个重要成因。各种计算机病毒、各种攻击小软件都可以便捷地从互联网上获取,甚至网络黑客们还专门成立了虚拟社区,通过讨论组、BBS等形式交流黑客经验。在这各方面可以说信息共享起到了推波助澜的负面作用。
3.2 网络及信息安全的管理成因
网络及信息安全问题的管理成因主要包括以下几个方面:
1)互联网缺乏有效的管理:国际互联网是全球性的分布式网络。在技术层面上,不存在某个国家或某个利益集团通过某种技术手段来达到控制互联网的目的。由于互联网是分布式的,各个节点由各类民间组织以自愿形式进行管理,同时不同国家民族在地域、法律、文化等方面的巨大差异存在,导致了互联网在整体上缺乏一个有效的安全管理规划,给网络黑客留下了充分的活动空间,使他们可以低成本的进行信息安全犯罪活动而逍遥法外。
2)配套的管理体制尚未建立:传统的政府部门的行政管理体制一般是建立在地域划分和部门条块分割基础上,实施监督管理的职能。而超越地域空间限制的网络环境使得传统的管理模式捉襟见肘,监管部门的管理职能难以有效发挥作用。同时信息化社会中原有的法规政策在具体实施和操作中会遇到或多或少的种种困难,所有这些客观上使得网络黑客活动一定程度上具备了逃避法规监管的可能,助长了网络黑客的气焰。
3)观念上的重视不够:目前政府部门、金融部门、企事业单位的大量业务依赖于信息系统安全运行,信息安全重要性日益凸显。大多数单位已经意识到了网络及信息安全问题的重要性,但往往由于部门负责人的信息化水平本身不高导致其对信息安全管理认知水平仍停留在较粗浅的低层次上。这主要表现在,没有配备专职的网络安全管理员或其业务素质不高,没有建立和落实完整的网络系统安全防范制度,没有对网络系统和安全产品的配置进行有效的管理等方面。
4 网络及信息安全的规划
从网络信息系统的稳定与安全、社会经济的有序发展和保护企业利益的角度来看,一定要高屋建瓴地进行网络信息安全保障体系建设规划工作,做好基础性工作和基础设施建设,建立信息安全保障。下面主要介绍如何进行有效的网络及信息安全规划工作。
4.1 风险分析和评估
安全规划的第一步是对用户内部网络所面临的安全风险进行分析和评估。根据现代的经济运作理论,对于网络及信息安全方面的投资将被视为一种投资方式,这种投资将带来企业在运行管理成本、安全事故损失以及企业形象等方面的收益。在市场经济领域中任何一种投资都必须有相应的回报,因此投资前的一个重要措施就是风险分析和评估,用以确定所需的资金投入。
安全风险分析和评估主要应从以下二个方面入手:
1)安全威胁及其可见性分析:对用户企业所面临的各种潜在的安全威胁因素及其对外的可见性进行全面分析。安全威胁的存在不一定会造成事实的安全事故,安全威胁对外部是可见的,才有可能引发安全事故。可能的安全威胁应包括软、硬件以及用户自身。
2)组织对潜在安全风险的敏感性分析:这里的敏感性包括对安全事故造成的直接经济损失以及政治上和商业形象上的损失的敏感程度。敏感性分析的结果将直接关系到安全规划过程中对各类安全措施的投入比重和优先级问题。
4.2 安全策略制定
在安全风险分析和评估的基础上,应进一步制定网络系统的安全策略。在制定安全策略过程中应充分权衡安全性和方便性,并应注意使安全策略切实可行,与企业的技术和资金能力现状相适应。
安全策略应包括一下两个层次的内容:
1)整体安全策略制定:主要用于确立企业级的网络安全防范管理体制,并落实与之相配套的具体事实规划和所需人力、物力的落实计划,并应明确违反安全策略行为的处理措施。整体的安全策略主要用于领导高层决策和管理使用。
2)系统级的安全策略:在整体安全策略所确定的框架之上进一步从技术角度针对特定的系统专门制定详细的安全策略,主要用于具体的技术实施使用。
在安全策略的制定和实施并不只是单纯的管理层的任务,而是应充分发挥技术人员的作用。
4.3 系统的管理与维护
在系统的运行过程中应进行一下几方面的管理与维护工作:
1)数据备份:对系统中关键性的信息根据应用的特点确定备份的方式和备份策略。
2)安全审计:对系统中的资源访问和各种异常情况进行安全审计,及时地发现系统配置中的安全漏洞并加以补救,并对已发生的安全事故进行责任追查。
4.4 技术不是一切
对于网络及信息安全问题,需要着重指出的一个问题是:“技术不是一切”。
某种程度上说,网络技术及信息技术本身就是技术含量很高的高科技,因此在网络及信息领域的整体安全解决方案中,技术因素必然是起着决定性作用的,这一点是不可否认的。事实上任何一种技术都是在正、反两方面的应用和较量的过程中逐步完善和发展起来的,对于网络及信息安全问题则更将是一场智慧与技术的反复较量。
但同时也应该看到,网络及信息安全问题涉及到了人的因素。与任何其它涉及到人的问题一样,网络及信息安全领域中并不是只依靠单纯的技术力量就能有效解决一切问题的。
1) 功能再强大的网络及信息安全产品,若使用者没有进行合理地配置或者正确地操作,其安全性能不但无法得到有效利用,还有可能形成许多新的安全漏洞。
2)再完善的安全管理制度,只为了贪图一时方便而不去执行它,那么所有的安全措施都有可能形同虚设。最简单的例子是用户违反口令管理的规定选取过于简单的口令或干脆直接采用系统缺省口令就足以给网络黑客敞开大门。
3)只要用户个人出于对工作条件的不满或其它情感因素,完全有可能利用其合法的用户身份从系统内部发起攻击或将系统内部信息透露给其它恶意用户。而根据美国FBI的统计,80%以上(奏效)的网络攻击都属于这种“后院起火”的类型。
因此,在从技术角度加强网络及信息安全防范的同时,还必须加强对企业内部网络系统的安全管理,才能使公司在安全产品和技术方面的投资发挥其应有的作用。
参考文献:
[1] 黄允聪,严望佳.网络安全基础[M].北京:清华大学出版社, 1999, 6.
【关键词】网络会计信息系统 安全
我国会计电算化事业自1979年起步以来,已经历了接近30年的发展历程,进过几个阶段的发展,会计电算化事业已经到达了一个崭新的阶段,会计软件日趋成熟,软件的商品化、市场化已经达到了相当的规模。为此,财政部于1994年陆续下发了若干促进会计电算化发展和规范会计工作的相关文件,其中《关于大力发展我国会计电算化的意见》明确了我国会计电算化的总体目标,即到2008达到80%以上,主要贡献于相关单位的应收应付款核算、固定资产核算、材料核算、成本核算、工资核算、会计报表生成与汇总等基本会计核算业务方面实现电算化。与之共同成长的就是计算机网络的快速发展应用,如何保证网络会计的信息安全,是我们从业人员应该注意维护的重要事项。网络会计信息的安全是指系统保持正常稳定运行状态的能力,即在网络环境下对各种交易和事项进行确认、计量和批漏的活动,以及财务数据处理的各个环节,也就是说既要包括操作这个系统的人和做为系统处理对象的那些数据,也包括系统所处的那个环境。所以,网络会计信息系统的安全建设是全方位的系统工程。会计信息系统如同金库中的资金,信息安全是会计信息系统安全的核心,确保信息的生存性、完整性、可用性和保密性是会计信息系统的中心任务。信息系统是为承载、传输、处理、保存、输入、输出、查询信息提供服务的基础,信息系统的安全是信息安全的基本保障。
一、网络会计信息系统的安全风险主要表现
会计信息系统是一种特殊的信息系统,它除了一般信息系统的安全特征外,还具有自身的一些安全特点。会计信息系统的安全风险是指有人为的或非人为的因素是会计信息系统保护安全的能力的减弱,从而产生系统的信息失真、失窃,使单位的财产遭受损失,系统的硬件、软件无法正常运行等结果发生的可能性。会计信息系统的安全风险主要表现在以下几个方面。
1.会计信息的真实性、可靠性。开放性的网络会计环境下,存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因而导致会计失真的现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在。由于缺乏有效的确认标识,信息接受方有理由怀疑所获取财务数据的真实性;同样,作为信息发送方,也有类似的担心,即传递的信息能否被接受方正确识别并下载。
2.企业重要的数据泄密。在信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,它已经成为企业的一项重要资本,甚至决定了企业的激烈的市场竞争中的成败,企业的财务数据属重大商业机密,在网络传递过程中,有可能被竞争对手非法截取,导致造成不可估量的损失。因此,保证财务数据的安全亦不容忽视。
3.会计信息是否被篡改。会计信息在网上传递过程中,随时可能被网络黑客或竞争对手非法截取并恶意篡改,同时,病毒也会影响信息的安全性和真实性,这些都是亟待解决的问题。
4.网络系统的安全性。网络是一把双刃剑,它使企业在利用lnternet网寻找潜在的贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。这些风险来自于:泄密与恶意攻击。所谓泄密是指未授权人员非法侵入企业信息系统,窃取企业的商业机密,从而侵吞企业财产或卖出商业机密换取钱财。所谓恶意攻击是指网络黑客的蓄意破坏或者病毒的感染,将可能使整个系统陷于瘫痪。
二、网络会计信息系统安全应考虑的一般原则
1.需求、风险、代价平衡分析的原则
任何网络的绝对安全都是难以达到的,也不一定是必要的。对一个网络要进行实际的研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后确定本系统的安全策略。
2.综合性、整体性原则
应运用系统工程的观点、方法、分析网络的安全及具体的措施。安全措施包括:行政法律手段、各种管理制度(人员审查、工作流等)以及专业技术措施。一个较好的安全措施往往是多种方法适当综合的应用结果。总之,不同的安全措施的代价、效果对不同的网络并不完全相同,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。
3.一致性原则
一致性原则是指网络安全问题应存在于整个网络的工作周期,制定的安全体系结构必须与网络的安全需求相一致,安全的网络系统设计及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的初期就应该考虑网络安全对策,比等网络建设好后再考虑安全措施不但较容易,且成本也大大的降低。
三、网络会计信息系统安全的几项措施
通过加强会计信息系统的安全建设与管理,提高会计信息系统安全的防护和反应综合能力,使系统能够抵御各种威胁,有效保护企业资产,提高会计的完整服务。在会计信息系统建设过程中,必须克服“重建设轻安全、重技术轻管理、重使用轻维护”的思想。应逐步建立以“检查与管理、保密与防护、检测与防治、测评与服务”为基本结构的安全管理和技术系统。通过管理和技术两种手段,使会计信息系统的技术风险防范能力不断提高到一个新的水平。为了更好的利用网络会计带来的优势,保证信息数据质量和安全,应从以下几方面入手,以网络技术为基础,结合会计需要,确保网络安全有效的传递信息。
1.系统加密管理。在会计信息系统中,对一些须严格控制操作的环节,设上“双口令”只有“双口令”同时到位才能进行该操作。“双口令”由分管该权限的两个人各自按照规定设置,不得告知他人。对“双口令”进行“并钥”处理后,方可执行相应的操作。这样不仅加强了控制管理,保证了数据安全,而且也保护了相关的人员,便于分清各自的责任。
2.形成网上公证由第三方牵制的安全机制。网络环境下原始凭证用数字方式进行存储,应利用网络所特有的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控(即网上公证)。
3.建立严格的数据存储措施。为了提高系统数据的安全性和在意外情况下的“自救能力”,应建立双备份,备份后的两份数据应有不同的人员持有,另一份是非加密的,有具体操作人员使用。对一些重要的数据,可采用分布存储。
所谓分布存储,是指对数据文件采用一定的算法,将数据串分到两个或两个以上的新串中,组成新的两个或多个文件,并存在不同的物理存储设备中,甚至是异地设备中。
4.完善和积极实施法律法规。国家应尽快建立和完善电子商务法规,以规范网上交易的购销、支付及核算行为;借签国外有关研究成果和实践经验,制定符合我国国情的网络会计信息管理、财务报告披露的法规、准则,具体规定企业网上披露的义务与责任、网络会计信息质量标准要求、监管机构及其权责等,为网络会计信息系统提供一个良好的社会环境。
参考文献:
[1]韩杰,金光华.电算化内部控制的研究.
关键词:计算机;网络;数据库;信息安全。
1引言
计算机网络数据库安全管理技术优化,其目的在于提高网络数据安全性与可靠性,计算机技术在各个领域中都得到了普及,其网络数据安全管理程度越高,对各领域的共享与支持也就越大,因此在社会不断发展的过程中,计算机网络数据库安全管理技术也必然需要不断优化和完善[1-3]。
2计算机网络数据库安全管理特征
(1)安全性。这里指的数据库安全性说明的是在数据库实际运行的过程中,安全所体现的成效,最为明显的有:第一,数据在进行交流的过程中,对于其中一些新数据要采取有针对性的保密和管理措施,对于在这个过程中可能会出现各种问题要进行预防和处理。第二,数据库中具有用户储存的各种数据,为了维护用户的权益,应该完善相应的保密方案,对其进行相应的保护,而一些重要数据的安全维护措施要相应加强。第三,保密工作要做好的同时,管理工作也要良好的开展,从而促使用户的数据得到很好的保护,权益也实现切实的保障。(2)完整性。对于计算机数据库网络十分重要,互联网深入到各个行业,在日常工作,确保数据完整性是非常重要的,如果在这一点不能具有保障,那么在启用数据的过程中就会出现各种各样的问题,投入实际领域中也会受到相应的限制。进行新数据的存储和传输的过程中,要确保新旧数据管理的格式一致。(3)故障处理性。计算机应用的深度和范围难以预测,在促使人们的生活,工作越加便捷的同时,也随之出现了各种各样的问题,黑客的入侵,病毒的植入等恶意事件的出现对于用户良好的使用计算机网络会产生十分不良的影响。当前计算机网络的发展越来越精良,但是所面临的各种各样的故障却不会减少。
3计算机网络数据库安全目标
(1)对数据库传输的数据进行管理。数据库在进行数据信息传输的过程中,严密性十分重要。因此,在这个过程中就可以从两个方面入手:第一,对数据开展系统性的管理;第二,针对数据进行一致性的确认。在这两方面具有保证,才能进一步保障数据使用的有效性,促使用户在使用的过程中能够实现良好的运用。(2)对新数据进行管理。新数据是数据库在管理的过程中需要十分重视的一部分,由于其新鲜性,需要从根本上避免病毒被带入,从而对计算机中的其他数据造成威胁。而为了避免出现这种情况,需要对新数据进行深入的检测,对于其安全性进行反复的确认,从而促使其在进入到数据库中被良好的储存,之后实现良好的应用。(3)使用者使用数据的安全。越来越多的人进入到计算机的使用行列之中,我国计算机技术发展的速度也越来越快,在使用范围上和深度上也得到了极大程度上的拓展。因此,如果在使用的过程中,出现信息泄露的情况,那么对于用户造成的不良影响是十分严重的,而由于当前社会上各个行业的联系越来越密切,所产生的危害是难以预料的,由此可见,保证数据库的运行良好,信息储存是十分重要的。
4计算机网络数据库的安全管理技术
(1)安全管理模式。在保障计算机网络数据库安全中比较常见的技术是安全管理模式,目的是促使计算机网络数据库得到有效的管理和优化。通过将安全管理模式理念在计算机网络中良好的运用,促使计算机网络数据库的安全性得到很大程度的提升,数据库信息的泄露,丢失情况出现的频率也相对较少了。安全管理模式对于数据库信息的管理采取的是分层管理,其原理是针对不同层次的数据展开相对应的管理方式,这样能够促使不同的数据得到最合适的管理,安全性能也得到了很重要的保证。与此同时,通过对安全管理模式的良好运用,数据实现了更为科学的,先进的管理,也缩短了计算机对于各种数据的识别时间,提高了用户使用数据的效率,从而有效提升了整体的服务水平。安全管理模式所发挥出来的积极影响还体现在计算机网络数据库的结构中,能够实现对于结构中存在的各种问题和漏洞进行有效的修复,从而促使计算机系统实现良好的运行。计算机技术在不断发展,寻求新的突破,相信在未来的计算机使用过程中,更多的问题都能够具有十分有效的解决方式。(2)存取控制管理技术。计算机网络数据库中的信息在输入和输出的过程中会具有相应的限制,而想要访问上面的信息,需要一定的权限认证。如果不在允许的范围内,那么数据库对于信息提取的请求应该做出相应的反应。我国计算机网络数据库的安全管理技术还需要进行进一步的发展和更新,对于相应的安全管理进行进一步的优化,从而促使网络数据库资源的安全性得到切实的保障。存取控制管理技术最主要的部分为分权限检阅和资格审查认证,权限检阅指的是对于非用户的需求反应,以及对于用户的权限进行进一步确认。而为了避免出现不法人员想要获取用户信息的行为,系统需要进行逐步的审核和确认,对于其权限进行切实的明确。在资格审查认证这一部分,对于各类用户的资料认证资格进行有效的确认,对于不具有数据查看资格的用户做出排斥性反应,而对于一些过期的信息要进行及时的清理,从而促使有效信息得到良好的管理。(3)数据加密技术。①静态加密技术,主要指通过对待加密已保存但未使用的文件,假设密码、密钥证书数字签名等方式实现加密。使用时获取明文需先解密,才可使用加密方。此方式多应用于系统软件加密过程中。②动态加密技术,主要指动态跟踪数据流,自动加密相关数据,不需人工参与,对用户没有任何影响,已加密文件可被有权限的用户直接使用。相对于有权限的用户动态加密操作是透明的、公开的,难以区别与访问未加密文件的感觉。而无访问权限的用户,及时非法获取加密文件,也无法识别,只得到乱码,难以获取有效信息。动态加密技术在实际应用中便捷性显著。③文件级动态加解密技术,主要获得文件系统层中文件信息、用户信息、访问进程等各类相关信息数据,进而开发出具有强大功能属性文档安全产品。利用动态加解密产品,实现文件系统自身动态加解密,以分区或目录为单位,实现加密文件。文件级动态加密技术的不足为难以满足用户个性化需求,但其安全性与磁盘级加密技术相同,存在较大的第三方安全产品加工创造发展空间。(4)建立数据库安全模型。数据库安全稳定运转的基础是具有一套合理的数据库模型。通过数据库安全模型,对系统行为关系进行精准描述,提升系统的精确性、便捷性、安全性。现阶段,常见的数据库安全模型包括两种分别是:多边数据库安全模型、多级数据库安全模型。其中多边数据库安全模型的应用优势为有效避免数据泄露,提升数据库安全性、升级计算机安全性,应用实效显著;多级数据库安全模型的应用优势为:通过加密数据设置分级等制度强化对数据的保护。数据加密等级主要级别分为秘密、机密和绝密不同种。通过设置不同级别,实现保护数据分层,进而提升计算机、数据库运行的稳定性、数据的安全性。常见在军事领域中使用此安全模型。(5)控制访问技术。当数据库出现漏洞时,极易被黑客盯住利用数据库漏洞对网络进行攻击,而控制访问技术则是为了有效的防治黑客攻击,保护用户数据信息、维持网络正常使用与运行的程序。控制访问技术通过限制、避免不法用户访问网络、盗窃数据、提升数据库的安全性,授权使用者对其身份进行多种方式的验证。在进行访问控制时,往往是对用户输入系统内的信息进行自动验证,当出现不法分子、更换、删除数据等现象时,系统会发出阻止访问的指令,以此保证数据库的安全性,防止出现数据泄露、丢失等问题,提升数据存储的稳定性,保证数据存储的完整性。常见的控制访问技术可分为两种,分别强制性控制访问与自主性控制访问,其通过规定授权用户、系统来实现强制性控制访问,进而创建可强制控制的对象;当用户完成对某对象的创建后,通过限制其访问权限实现对访问的授权与收回,进而实现对其他不合规定的访问权限进行限制,实现的数据库的保护。
5使用DBMS安全机制预防网络攻击
对于数据库整体安全防护,DBMS系统是较为完善的安全机制,可有效促使数据库的运行安全性,提高数据库的利用率,防御网络攻击。(1)系统认证与授权。对数据库中的用户行为限制时需要通过系统认证、授权等操作得以实现。通过系统验证信息发出人、需求人的身,以数据库授权对用户身份进行深一层的认证。通过设置授权SQLServer数据库服务器权限,专门设置DPeb程序登录权限等,决定数据库访问权限,以此增加数据库用户,有效将登录权限与用户密切相关。(2)数据备份与恢复。进行数据库利用时,可通过日常备份操作做到万无一失、有备无患,根据数据库备份,实现短时间内迅速恢复数据原有运行状态,保证数据安全性、便捷性、可恢复性,进而保证数据库的系统完整性。常见的数据库备份方式为:静态备份、逻辑备份、动态备份。若出现数据库系统异常时,可利用系统备份及时恢复数据系统,通过数据库在线日志、备份文件、磁盘镜像等常见方式,通过管理员的操控实现对数据的备份与恢复。(3)全方位实施科学有效的审计工作。进行科学审计工作时,需要对用户数据进行全方位把握,将数据库的操作内容进行详细记录,除此之外,还要利用审计日志对登记内容进行保存。根据审计工作对信息进行全方位跟踪、运用等提升数据的掌握率、利用率、使用率。保证及时发现数据库中的漏洞,为采用针对性的处理措施提供依据,排除或降低数据安全隐患,进而提升审计工作的实效性、全面性、准确性。
【关键词】计算机;网络;安全
计算机网络安全策略是指在某个安全区域内,与安全活动有关的一套规则,由安全区域内的一个权威建立,它使网络建设和管理过程中的工作避免了盲目性,但在目前它并没有得到足够的重视。国际调查显示,目前55%的企业网没有自己的安全策略,仅靠一些简单的安全措施来保障网络安全。计算机网络安全策略包括对企业各种网络服务的安全层次和权限进行分类,确定管理员的安全职责,如实现安垒故障处理.确定网络拓扑结构、入侵及攻击的防御和检测、备份和灾难恢复等。这里所说的安全策略主要涉及4个大的方面:物理安全策略、访问控制策略、信息加密策略和网络安全管理策略。
一、物理安全策略和访问控制策略
(一)物理安全策略
制定安全策略的目的是保护路由器、交换机、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;验证用户的身份和使用权限,防止用户越权操作;确保网络设备有一个良好的电磁兼容工作环境;建立完备的机房安全管理制度,妥善保管备份磁带和文档资料;防止非法人员进入机房进行偷窃和破坏活动。
(二)访问控制策略
访问控制策略是网络安垒防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。各种安全策略必须相互配合才能真正起到保护作用,而访问控制策略可以认为是保证网络安全最重要的核心策略之一。
1.入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源。用户的入网访问控制可分为3个步骤:用户名的识别以验证、用户帐号的缺省限制检查。
2.网络的权限控制
网络权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,由系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
3.目录级安全控制
网络应能够控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有以下8种:系统管理员权限,也叫超级用户权限、主动权限、写权限、创建权限、删除权限、修改权限、文件查找、存取控制。
4.属性安全控制
当使用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全。网络上的资源都应预先标出一组安全属性,网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除,执行修改、显示等。
5.网络服务器安全控制
计算机网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括:可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息数据;可以设定服务器控登录时间限制、非法访问者检测和关闭的时间间隔。
6.网络监测和锁定控制
计算机网络管理员对网络实施监控,服务器应记录用户对网络资源的访问。对非法的网络访问进行报警,以引起网络管理员的注意,并自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
7.网络端口和节点的安全控制
网络中服务器的端口往往使用自动回呼设备和静默调制解调制器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还通常对服务器端采取安全限制,用户必须携带证实身份的验证器。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务端再进行相互验证。
8.防火墙控制
防火墙是近十多年来发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进出方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离外部和内部网络,以阻止来自外部网络的侵入。
二、信息加密策略
信息加密的目的是保护网络的数据、文件、口令和控制信息,保护网络会话的完整性。网络加密可设在链路级、网络级,也可以设在应用级等,它们分别对应干网络体系结构中的不同层次形成加密通信通道。用户可以根据不同的需求,选择适当的加密方式。保护网络信息安全行之有效的技术之一就是数据加密策略。它是对计算机信息进行保护的最实用和最可靠的方法。
三、网络安全管理策略
网络安全管理策略是指在特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全,不仅要靠先进的技术,而且要靠严格控的管理和威严的法律。三者的关系如同安垒平台的三根支柱,缺一不可。网络安全管理策略包括:(1)确定安全管理等级和安全管理范围;(2)制定有关网络操作使用规程和人员出入机房管理制度;(3)制定网络系统的维护制度和应急措施等;安全管理的落实是实现网络安全的关键。
四、计算机网络物理安全管理
涉及计算机网络的物理安全管理是保护计算机网络设备、设施以及其他媒体免遭地震、水灾等环境事故和人为地操作失误导致的破坏过程。网络物理安全管理主要包括:机房的安全技术管理、通信线路的安全管理、设备安全管理和电源系统的安全管理。
关键词:网络安全;安全可视化;发展现状;发展趋势
中图分类号:TP393.08
计算机网络安全问题产生于20世纪后半叶,人们在享受网络所带来的快捷与方便的同时,也需要承担风险,所以目前为止,网络安全性已经成为网络建设与管理的重要考核指标.
人们提出了许多安全防范措施和检测措施去解决网络安全问题,例如安全网关、防火墙等都解决了一定程度上的安全问题,但随着网络规模达扩大以及各种网络攻击越来越复杂,各种问题也相应出现,为此,本文提出了网络安全数据可视化的研究,能够涵盖网络中现有的多种安全设备,与传统的网络安全产品有着本质的不同。
1 网络安全可视化的必要性以及传统安全防御模式的缺陷
随着网络的不断扩大,科技的快速发展,用户对网络安全性能的要求也越来越高。目前所使用的大部分网络安全产品,不管是异常检测还是日志的分析,全是在网络安全受到攻击后才能够做出的反应。也就是说在确定安全已被破坏,已经造成一定危害的情况下,对安全漏洞进行“补丁”的表现。这也就相当于“亡羊补牢”。对于防御者来说,一直处于被动状态,给攻击者时间,受到或深或浅的伤害后才会有所行动,这无异于雪上加霜。随着网络数据量的快速增长,出现的攻击类型越来越多,越来越复杂,网络安全岌岌可危,现有的网络安全产品也仅仅只是对安全领域的小部分进行防护,但无法真正起到防御的作用。漏洞修复只负责对网络中明显存在的漏洞进行修补,防火墙检测内部网络的行为异常以及外部网络的访问状况,IDS也只是负责外部网络对内网攻击行为的检测,它们各尽其职,看起来兢兢业业,却对彼此陌生,没有互动,这也就给网络安全的维护人员带来了麻烦,同时也让攻击者有机可乘。不仅如此,安全产品的漏报率也是影响其性能的主要因素,较高的漏报率影响了网络安全维护人员的判断和分析。
针对安全产品的种种不足,人们纷纷提出了很多方法去解决和完善,却都无法从根本上解决问题,因此提出来网络安全数据可视化的研究,多方面对安全防护问题进行完善。
2 网络安全数据可视化技术
2.1 科学计算可视化。科学计算可视化早在1986年10月美国国家自然科学基金会特别专家就提出了,第二年以报告为标志作为一门学科正式宣布诞生。科学计算可视化(简称可视化,英文是Visualizationin Scientific Computing,简称ViSC)做为图形科学的新领域,成为计算机图形学的一个重要研究方向。科学计算可视化的基本含义是将科学与工程计算等产生的大规模数据,通过运用一般图形学的方法和原理或者计算机图形学转换为图形、图像,以直观的形式呈现在人们面前,不仅可以让人们看到原来看不见的现象,还提供了模拟与计算的视觉交互手段。
2.2 信息可视化。在可视化领域中出现的一个新的研究分支信息可视化,其在现实生活中占据着越来越重要的地位。出现信息可视化的原因数字是数字化带来的庞大的信息和数据库是由于日益渐增的海量数据和网络技术所造成的。信息可视化是一个首在研究大规模非数值型信息资源的视觉呈现的一个跨科学领域,人们理解和分析数据受到了软件系统之中众多文件或者一行的程序代码,以及利用图形技术的科学方法的帮助,数据可视化、信息图形学、知识可视化、科学可视化以及视觉设计都被信息可视化这条术语所囊括。表格、图形、地图甚至包括文本在内,如果加以充分适当的整理,无论静态或动态。不仅能让我们理解其他形式情况下不易发觉的事,让我们洞察其中的问题发现关系并找出答案。创建那些以直观方式传达抽象信息的手段和方法,是信息可视化的重点,利用人类的眼睛通往心灵深处的广阔优势是可视化的表达形式与交互技术。
2.3 数据挖掘与可视化。可视化数据挖掘是理解交互数据挖掘算法、采用可视化的检查。可视化模型自模拟阶段的变换过程为:数据预处理、映射、绘制、图像处理、显示。利用数据可视化技术,可以完善数据分析性能,发现传统方式无法发现的的异常规律和信息,数据可视化能够让用户了解专业数据、易分析,进而提高用户的观察力。
2.4 安全数据可视化。网络安全数据可视化属于信息可视化的范围,通过以图形图像方式把采集的数据显示在可视化的视图中,通过人工分析、安全评估、数据交互等,挖掘网络数据中包含的安全信息,实现对网络安全数据的可视化显示。网络安全数据可视化是一种将网络数据安全态势的可视化显示,有助于人们对网络安全态势的认识和分析。
3 网络安全可视化方法
3.1 保证网络数据流量安全下的可视化模式。在网络数据流量安全方面,由于端口扫描、服务攻击受阻、系统蠕虫扩散等安全问题的频繁发生,且多呈现为一对一、多对一特性的存在,就促使攻击事件在网络数据流量方面存在异样,同时就显示流量方面来说,合理的对流量进行监控和分析,能够促使网络安全人员更好的对网络系统安全进行维护和防御,其中就网络数据流量安全下的可视化模式而言,其属性大致可分为源IP属性、目的IP属性、协议、数据时间、网络端口、目的端口等几方面。
3.2 网络端口信息安全下的可视化模式。由于黑客在对网络系统进行攻击时通过数据分析,判断目标主机中的那些程序正在运行,一次来发现目标主机中存在的系统漏洞,因此,综上所述对目标主机的端口进行攻击最为常见。
3.3 网络入侵检测技术安全的可视化模式。就目前网络安全来说,网络分析人员会通过对入侵系统的防御和识别模式,来判断网络蠕虫、木马病毒的存在,即入侵系统通过对以存储的网络病毒进行扫描分析匹配,最终通过警示传输给网络系统分析人员,再由其对网络系统进行修复升级。
3.4 网络防火墙时间安全的可视化模式。通过使用防火墙,可将存储在目标主机中的日志信息进行扫描检测分析,同时还可记录目标主机和外界联系的准确时间和操作流程。
4 网络安全数据可视化发展现状
网络安全数据可视化是新的研究领域,它将安全态势与可视化技术的需求结合到了一起,当今国内外的很多研究机构都对此领域展开了研究,并取得了一定的成果。但是,由于日志本身限制了日志数据的可视化,并且实时性不好,上传时间较长,无法满足较高的网络需求。同时由于实际性的问题,当攻击为被检测时,日志有可能会被篡改,导致日志不可信。因此提出来基于数据流的可视化方法,通过对网络流量的实时监控提出网络攻击行为的可视化。
5 发展趋势
网络安全可视化发展经历了一段时间的研究,在内容、形式以及显示结果方面都有了较大的进步。目前可视化软件相对于最初而言有了很大的进步,在显示、处理方面都已经得到了很大的改进,直观性强,操作性能好。由于网络不断地发展,人们对安全性能也越来越重视,对可视化的要求也随之变高。因此,可视化的发展将向以下几个方面完善:(1)显示实时数据;(2)数据多维显示;(3)多源数据可视化;(4)更加直观且具有交互性;(5)预测功能。网络安全数据可视化将随着网络的发展和人们的需求不断发展完善。
6 结束语
网络安全数据可视化的研究还在不断的深入,通过不断的探索研究更多的理论和方法产生,逐渐构建实用完整的网络安全数据可视化系统。不过,目前面临着种种困难,在显示处理大规模网络数据无法有效地、实时的处理,无法自动报警和防御,到目前为止都没有出现一套完整地理论去引导网络安全可视化的研究。当然,随着人们对安全的重视程度的加重,网络安全可视化的研究也会不断深入,不断完善。
参考文献:
[1]王慧强,赖积保,朱亮.网络态势感知系统研究综[J].计算机科学,2006(33):5-10.
一、信息化时代下网络安全的历史背景及发展过程
20世纪中叶以来,信息技术革命取得巨大成就,不仅表现在新技术不断被发明创造出来,更表现在新信息技术在社会生活中获得更广泛、深入的应用,并由此引起人类社会发展的一次飞跃——人类文明进入信息时代。1969年互联网在美国正式诞生,标志着世界各国之间、各地区之间的联系将更加密切,各领域交流不断深化,全球经济、政治、文化因互联网的产生更加多元化、全球化,人们的生活因互联网而更加丰富和精彩。中国1994年正式加入这一互联网“大家庭”从此中国被国际上正式承认为真正拥有全功能Internet的国家。此事被中国新闻界评为1994年中国十大科技新闻之一,被国家统计公报列为中国1994年重大科技成就之一。今年是中国正式接入互联网的第20个年头,在这20年的发展历程中,中国迎难而上抓住机遇快速推进,取得了很丰硕的成果。中央网络安全和信息化建设领导小组的成立正是在网络快速发展的背景下,深入贯彻落实十八届三中全会精神,以力度大、规格高、立志远来统筹指导规划中国迈向网络强国的发展战略。我们要研究的,也正是社会的网络状况、威胁与法律对策。
二、网络安全的现状与存在的威胁
当互联网产生伊始,人们大多关注于它对社会的贡献以及给人们带来的诸多便利。但是从1982年Robert Morris Internet蠕虫开始,到2001年蠕虫病毒的全面爆发,给人们的生产、生活造成了非常严重的损失。蠕虫病毒破坏了大量的计算机资源和数据信息,除了造成资源和财富的损失,还可能造成社会性的灾难。根据相关统计资料显示,几乎每天都有新的病毒产生,目前全球至少存在上万种病毒,病毒技术也朝着可控制化、网络化和智能化方向发展。中国目前是网络攻击的主要受害国,根据有关数据显示,2013年11月,境外木马或僵尸程序控制境内服务器就接近九十万个主机IP。侵犯个人隐私、损害公民合法权益等违法行为时有发生。
在国际领域方面,一些国家的军方正试图利用病毒作为现代化战争的攻击手段,并开发具有强攻击性的计算机病毒。黑客攻击的目标不但包括计算机和网络设备,还包括手机等无线终端设备,并且开始向着谋取利益的方面不断转移。
在立法方面,虽然已有四十多个国家出台颁布了网络空间国家安全战略,但世界的互联网保护体系并没有形成一个完善的法律约束体系。中国目前也并没有一套体系完备的有关网络安全的法律。主要以管理办法和保护条例为主,如(1).电子认证服务管理办法。(2).计算机信息网络国际联网保密管理规定。(3).计算机信息网络国际联网安全保护管理办法。
网络安全面临和存在的威胁有多种多样的形式,如邮件炸弹、网络欺诈、恶意软件、侦听篡改等。该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http://总第535期2014年第03期-----转载须注名来源具体可以归结为以下几个方面:(1)人为攻击。如2006年7月31日,湖北17岁黑客鄢某利用腾讯公司的系统漏洞,进入其系统内部,通过电脑分析数据后逐步取得该公司域密码及其它重要资料使得腾讯QQ网站被黑。(2)软件漏洞。各种软件是存在这样或那样的漏洞和缺陷,这就成为了黑客攻击的首选目标。(3)非授权访问。主要包括假冒、身份攻击、非法用户进入网络系统进行违法操作等一系列不法访问。(4)信息泄露或丢失。一些敏感数据被有意或无意地泄露出去或丢失,最近几年,这种不法势头愈演愈烈,大量用户的个人信息被“标价”卖出,行为十分恶劣。
三、网络安全的法律应对对策
关键词:办公自动化 网络安全 安全防护系统
1. 引言
由于办公自动化系统中,中枢系统通常情况下运用的是TCP/IP协议,大多数采用的是Internet的通信标准和Web通信流通模式的Intranet,所以单位内部的办公自动化网络极具开放性,使用十分方便。然而,这种方便性也意味着病毒和黑客能够更快更轻易地入侵和非法操控我们的办公自动化网络。所以说,一旦网络安全隐患和安全问题得不到及时有效的防治和解决,在系统遭受安全攻击时就一定必然会导致设备损坏和数据丢失,从而造成机密泄露等严重后果。因此,对于采用办公自动化网络进行日常办公的单位机构来说,一个安全的办公自动化网络系统十分重要。
在一般定义中,办公自动化系统的安全包含运行环境安全、硬件设备安全、数据安全、通信安全和数据安全。此外,还包括单位网络内部每台计算机终端的网络安全。笔者认为,办公自动化的网络安全主要应当从三个方面着手:预警、病毒防范、数据备份和恢复。
2.自动化办公网络常见的安全问题
2.1网络病毒的感染。随着计算机技术的不断进步,计算机病毒正在不断涌现,破坏性也在不断加强,而相对于普通病毒来说,能在网络上流传的网络病毒的破坏性更为强大它们生命力极强,不但可以利用网络扩散的方式来传播,更有甚者还对许多杀毒程序有免疫力。一旦公司内部某台计算机感染了网络病毒,那么病毒将能够利用公司内部某个程序在办公网络中传播,最终通过内网感染其他办公程序。这样一来,因网络病毒故障造成的损失将是十分巨大的。
2.2黑客网络技术的攻击。如果说网络病毒感染带有随机性,那么黑客在网络上对办公网络进行的技术攻击就是极具目的性和针对性的,而这也就是办公自动化网络安全所面临的最大威胁。目前,许多办公自动化网络基本上采用的都是以广播为技术基础的以太网技术。在这种以太网为网络环境的办公自动化系统中,任何两个节点之间的通信数据包,不但可以被这两个节点的网卡所接收,而且也能被处在同一以太网上的任何一个节点的网卡所截获。不仅如此,大部分情况下出于工作方便的考虑,工作单位中的办公自动化网络都备有和因特网相互连接的出入口。因此,黑客只要通过因特网成功入侵到我们的办公自动化网络任意节点并进行侦听,就能窃取关键信息。
上文这种基于以太网技术原理的黑客入侵还只能算是一种不影响办公网络正常工作的被动攻击方式。由于以太网的技术缺陷,它越来越多的被更先进更安全的同类技术所取代。在这种情况下,就出现了黑客的主动攻击方式,这种攻击通常是有选择地破坏信息的有效性和完整性,在攻击过程中就会对单位的日常办公造成严重的影响,也就是说,其恶劣程度更高。
2.3办公自动化系统漏洞
即便是全球技术最先进的微软公司,其操作系统都要经常打补丁,所以我们知道,没有百分之百的无缺陷操作系统。办公自动化系统的漏洞往往就是黑客进行攻击的首选目标,许多黑客攻入网络内部的事件,究其原因基本上都是系统漏洞存在所导致的。除此之外,许多软件公司的编程设计人员为了工作需要而给软件设计了“后门”,一般情况下不为人知,但是也不排除个别编程设计人员出于私人利益而做出泄露“后门”的不法勾当。
3.自动化办公网络安全策略
3.1网络安全预警
办公自动化网络安全预警系统一般分为病毒预警系统和入侵预警系统两个部分。病毒预警系统的工作原理是:通过对所有进出网络的数据包实施实时监控,保持全天24小时对所有进出网络文件的不间断持续扫描。一旦发现病毒,病毒预警系统即可立刻发出警报信息,网络管理员收到警报信息,开始通过IP地址和所在端口等因素对病毒进行追踪和定位,甚至追溯病毒来源。不仅如此,病毒预警系统还要生成完整的流水账日志及报告,记录一定时间内病毒的活动情况。在入侵预警系统中,系统主要通过授权检测来分析和判断网络中传输的数据信息是否经过流动授权。一旦检测到未经任何合法授权的数据包,系统将自动发出安全警告,这种警报模式就能有效减少来自网络的安全威胁。不仅如此,入侵预警系统还能把包括互联网扫描、系统扫描、实时监控、网络扫描及第三方的防火墙产生的重要数据结合起来,进行内部和外部网络安全环境的分析,并在实际网络中嗅探风险源;提供详尽的入侵预警报告,随时显示入侵预警信息,并对网络中的安全威胁进行跟踪,分析其入侵趋势,以确定网络的时刻安全的状态;安全信息还能发往相关数据库,作为有关网络安全的决策依据。
3.2病毒防治
众所周知,办公网络系统的禁毒不同于单一网络终端计算机的禁毒,网络病毒的防治难度更大。网络病毒的防治应当与网络管理紧密结合起来,网络病毒防治最大的关键在于网络的管理功能,如果网络管理工作缺失,网络防毒的任务就很难完成。从相关统计数据来看,大多数引起办公网络安全威胁的网络病毒感染,究其主要原因还是在网络用户本身。首先是杀毒产品的合理使用。在现在的网络环境下,病毒的传播扩散速度极快,仅用单机防杀病毒产品根本无法实现对网络病毒的有效清除。我们在具体工作中,必须采用能够适用于局域网和广域网的全方位杀毒产品;其次是病毒防治硬软件的安装。为了能够有效实现计算机病毒的防治,在具体工作中,有必要在办公自动化网络上安装网络病毒防治服务器,在内部网络服务器上安装相应的网络病毒防治软件,并在办公网络单机终端安装反病毒软件;最后,为了保证网络病毒的实时查杀和防治,本地网络各工作站之间的数据交换、本地网络工作站和服务器之间的数据交换及本地网络和其他网络之间的数据交换都要经过网络病毒防治服务器的过滤和扫描。
3.3数据恢复
备份不仅仅能够在网络硬件系统故障或人为失误或破坏时起到修复和保护的作用,也能够在网络运行环境受到攻击及破坏时起到保护的作用。在实践工作中,如果办公自动化系统中的数据遭到破坏,那么其数据的恢复就有赖于数据的备份方案。我们之所以对数据进行备份,其目的就在于在系统数据遭到破坏的情况下,对系统进行尽快尽可能完备地全盘恢复,保证把信息的损失量减到最小。目前,我们根据系统安全需求,可选择的备份机制有以下几种部分:定期的数据存储、备份和恢复;系统硬软件设备的备份;实时数据的存储、备份和恢复。要想办公自动化系统在遭到破坏之后,其数据的恢复速度足够理想,我们甚至要对网络维护人员培养起时刻对数据进行备份的观念。
4.结语
随着信息技术的不断发展,各企事业之间、企事业内部各部门之间的信息交流日益在企业的日常工作中的重要愈加明显。与此同时,办公自动化的安全问题已经被提到了信息安全性要求较高的机关、商业机构等单位的议事日程上来。对于一个办公高度自动化的网络系统来说,有一个设计上合理、技术上可行、投资上平衡的网络安全防护系统十分重要,而且是日益重要起来。
参考文献:
[1]袁鹏飞.Intranet 网络建设与应用开发[M].北京:人民邮电出版社.
[2]蔡奇玉等.CGI 编程指南[M].北京:机械工业出版社.
网络安全管理中的智能化技术就要能够自动识别网络安全威胁因素,这些因素会在网络运行中产生危害作用。其中,智能化的安全识别技术就能够自动捕捉网络不稳定因素,在系统发生安全事故中形成相应的反馈机制,在威胁因素进入系统能够主动报警,分析该行为的规范性,在判定为不稳定因素后立刻将其定义危险。同时,网络运行环境信息包括网络中资产的分布状况以及资产的攻击收益对攻击发生可能性的影响、使用环境中存在的威胁状况等因素。这些环境因素都能影响攻击者攻击目标,智能化的安全识别技术就能够根据系统的环境因素制定诊断体系,有效地识别出网络安全威胁因素。
2网络智能扫描技术
在网络安全管理中,智能扫描就是能够通过预先定义的规则对所有系统信息进行扫面和判定,从而诊断出系统中存在的危险因素和漏洞信息。旧的扫描工具遇到特定的端口找特定的服务,这样可能导致有人将某个服务安装在一个自己任意指定的端口使扫描不彻底。所以扫描工具应具备任意端口任意服务的功能。目前,一些成熟的扫描系统能够将网络中的单个主机的扫描结果整理成报表,并对相应的脆弱性采取一些措施,但是对整个网络系统的安全状况缺乏一个评估,对网络没有一个系统的解决方案,先进的扫描系统不仅能够扫描出脆弱性,而且可以智能化地帮助网络安管理员评估网络的安全状况,给出安全建议,使之能够成为一个安全评估专家系统。此外,智能化的网络扫描技术能够与系统的入侵检测、防火墙以及风险管控技术结合起来,从而形成一体化的安全扫面危险体系,达到进一步提升系统安全性的效果。
3网络安全智能评估技术
传统网络安全评估中需要针对系统进行详细分析与测试,该工作对于网络安全管理员的技术要求较高,并且要求安全管理员的工作强度较大。因此,采用智能化的评估技术就能够降低网络安全管理员的工作流程,其中,智能评估技术就是构建网络自动化分析测试机制,能够针对网络安全进行威胁和安全判断,并能够协助安全管理员提出系统防御措施。网络安全智能评估机制就是按照系统安全脆弱性集合,对系统进行全面测试,并对测试结果进行分析,从而对整个网络系统的安全状况作出总体评价,并预测可能发生的入侵,最后对网络系统存在的脆弱性提出修补建议。网络安全评估系统能够在网络黑客进行入侵或攻击前,帮助安全管理员及早发现网络系统存在的脆弱性,排除安全隐患。
4网络态势智能预测技术
网络态势预测能够在日常网络运行过程中发现网络运行状态,并根据网络运行装填制定进行评估未来网络发展。如果系统在受到不安全因素入侵,在网络运行状态分析中就能够发现网络运行出现波动,从而在系统报警,让系统安全管理员察觉系统出现危险。智能化的网络态势预测技术就是在网络安全态势评估中融入自主决策系统,能够在分析系统运行情况后进行自动反馈,在最短时间内作出响应控制系统安全。网络态势智能化技术能够设定相应预警机制,并且根据系统具体构成设定安全阀值,并在超出安全阀值的情况下采取相应控制措施。此外,网络态势智能预测技术能够实现动态重构、自主决策和自主感知,为整个系统安全管理提供信息数据支持,在网络安全的整体层面达到智能化管理。
5网络优化智能技术分析
网络安全优化是针对网络的内部环境制定优化措施,能够实现网络的整理和整顿,从而保证网络内部环境的安全性。网络优化智能技术就是在系统中能够通过信息采集,利用信息跟踪手段确定网络内部安全状态,根据内部运行状态自动判定网络内部问题,并且能够自动的进行内部配置和优化,促使网络内部安全问题得到解决,保持网络运行效率的最大化。同时,网络优化智能化技术能够构建出专家系统,在整个网络中进行整体规划,对系统功能进行局部优化,将智能决策、优化知识管理和自动反馈等技术融入到网络内部优化中,从而为提供内部工作提供支持。此外,网络优化智能技术能够保证系统运行的稳定性,对于网络系统的安全性有着重要保证,智能化优化措施可以结合系统外部防护形成多维网络管理体制,从而有效地控制网络系统安全。
6总结