前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的安全网络策略主题范文,仅供参考,欢迎阅读并收藏。
关键词:计算机;网络安全;安全策略
中图分类号:G632 文献标识码:B 文章编号:1002-7661(2014)11-335-01
一、计算机网络面临的风险
算机网络风险,这些威胁可以归结为3大类,一是对网络设备的威胁,二是在网络中对业务处理过程的威胁,三是对网络中数据的威胁。因为计算机网络与人们的现实经济生活关系日益密切,影响计算机网络的因素也很多,有些因素可能是有意的,也可能是无意的;可能是人为的,可能是非人为的,这些威胁,或早或晚、或大或小,都会转化为对人们现实经济生活的威胁。
二、常用的网络安全技术防护措施
L、防火墙技术
防火墙技术构建安全网络体系的基本组件,通过计算机硬件和软件的组合来建立起一个安全网关,实现了被保护对象和外部系统之间的逻辑隔离,从而保护内部网络免受非法用户的入侵。防火墙的组成可以表示为:防火墙=过滤器+安全策略+网关,它是一种非常有效的网络安全技术之一。在. Internet上,通过它来隔离风险区域与安全区域的连接,但不防碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对企业构成威胁的数据进入的任务。
2、网络加密技术
网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密,端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式
3、身份验证技术身份验证技术
身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。
网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。
用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时问、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
4、网络监控技术
网络管理员对计算机网络实施监控,服务器记录用户对网络资源的访问,对非法的网络访问,服务器以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如非法访问的次数达到设定数值,那该帐户将被自动锁定。
5、网络病毒防治技术
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。CIH病毒及爱虫病毒就足以证明如果不重视计算机网络防病毒,那可能给社会造成灾难性的后果,因此计算机病毒的防范也是网络安全技术中重要的一环。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑,从方便管理人员的能,在夜间对全网的客户机进行扫描,检查病毒情况;利用在线报警功能,网络上每一台机器出现故障、病毒侵入时,网络管理人员都能及时知道,从而从管理中心处予以解决。
三、网络安全管理策略
在计算机网络安全中,除了上述物理安策略和网络技术安全防护措施外,加强计算机网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行也是至关重要的。
计算机网络安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
参考文献:
[1] 田园.网络安全教程[M].北京:人民邮电出版社,2009.
关键词:高校网络系统;安全管理;策略
中图分类号:TP3 文献标识码:A 文章编号:1009-3044(2014)10-2211-02
针对高校网络的广泛应用,其安全问题的解决也迫在眉睫,而制定必要的安全管理策略也必须提上日程。
1 高校网络安全的重要性
在计算机网络技术飞速发展的时代,高校的教学、行政管理、科研等工作所需要的信息交换也日益科学化、现代化,那么对于计算机网络信息系统的依赖也日益加深,由此可见,计算机网络技术在校园网中正发挥着不可替代的作用。计算机网络技术不仅可以运用在远程教学、行政办公、资料查询等教学工作方面,还在图书管理、财务管理、人事管理等方面发挥着自己的力量。进去21世纪,互联网迅速遍及整个世界,在不同的领域都发挥着强大的作用,当然高校的内部网络也与互联网紧密结合,为各高校与国外的交流提供现代化的支持。事物既然有好的一面,那么也一定会有其不好的一面,计算机网络也不例外。计算机网络有着自己的特征,当然这些特征也会带来相应的弊端。有些黑客和一些病毒软件正是看到来了计算机网络的这个漏洞,从而对计算机进行攻击,这个攻击不仅可以影响单独的用户,严重的还可以对整个网络系统起到攻击,这种威胁的严重性显而易见,是不可小视的。高校师生的综合素质都是比较好的,而计算机水平也相对较高,有些来自校园内外的恶意入侵事件和这些校园内的计算机和网络技术的擅长者不无联系,而这种不良现象的发展态势越来越严峻。不仅影响学校的教学工作、管理工作,而且还会对校园的稳定造成一定的影响。基于这样的压力,各高校都在加快建设更加完善的校园网络系统的步伐,而网上信息的安全和保密是其中很重要的一部分。面对互联网安全性的挑战,高校网络系统必须采取相应的措施,来保证网络信息的安全性、完整性和可用性。
2 高校网络安全面临的主要问题
高校网络安全在现今面临许多问题,这些问题可能是客观的也可能是主观的,可能是很明显察觉到也可能是潜藏起来不易察觉的,有可能是自身的弊端也可能是受外界影响而造成的。问题概括起来可分为如下几点。
2.1 病毒感染
所谓病毒,不仅仅是我们所了解的可以影响到人体健康的存在于人的体内的病毒,它同样可以存在于计算机体内,并且可以从一台计算机传播到另一台计算机,具有互相传播的特点。如果用户的计算机感染了这种病毒,那么这台计算机的正常使用就会受到影响。随着网络技术的不断更新升级,计算机病毒在传播速度和破坏力方面的影响也越来越严重,而且难以控制。那么计算机病毒的传播途径是什么呢?学校是一个大集体,集体中有很多的成员,成员们广泛使用移动存储设备,长期如此,病毒感染的概率就会有所增加。高校网络中的计算机有着很重要的作用,一旦感染病毒,后果是很严重的,感染病毒较轻的可能会丢失数据、损坏文件,严重的会导致系统崩溃,运行瘫痪,这严重影响了学校网络系统的正常运行,对教学、管理、科研等造成很大干扰。
2.2 网络攻击
通过破坏网络,使网络无法正常使用的这种恶意破坏行为被称为网络攻击。网络攻击轻者可以使服务器无法正常工作,即不提供服务,严重的可以破坏甚至控制服务器,然后伪装成合法用户进入网络,被黑客控制的服务器可能丢失大量资源,可能数据被破坏,也有可能重要资料被盗窃。黑客凭借网络工具还可以选择性的使网络信息失效或者破坏其完整性,导致网络系统出现混乱。这些攻击行为不仅影响了用户正常使用网络,而且对高校的正常工作造成影响,有的黑客进入服务器胡乱发表言论、文章等,严重影响了高校的形象。
2.3 安全漏洞
如果在相关软件和程序上出现严重弊端,必将形成安全网络缺口,专业称之安全漏洞。一旦存在安全缺口,相关安全维护程序将受到影响,无法顺利运行,给一些网络黑客提供了一条报废的安全网络维护通道,同时由于网络系统具有连锁效应,系统出现漏洞也会导致一些附加产品的失效,例如负责网络信号发散的路由器。在不同的软件和硬件设备中,或多或少都会存在一些安全漏洞,许多黑客就是利用扫描漏洞而侦探计算机。一些严重的漏洞能够严重威胁计算机,从而让入侵者轻而易举的获得计算机的全部信息。
3 高校网络的安全管理策略
3.1 安装杀毒软件,定时杀毒升级
现如今随着信息网络不断进步,病毒也在不断的成长起来,由此,单一的防毒程序现在是最佳选择,我们需要在网络信息安全维护中占有主动地位,变防护为进攻,主动去寻找病毒并将其消灭。计算机网络系统具有连锁响应,一台计算机网络如果发生故障就会是全部网络结构受到影响,因此要加强对杀毒软件的不断更新改进,在杀毒软件中安装自动更新程序,使其能够在特定的情况下进行自我升级并维护网络安全,在程序更新程序的首端加入自动扫描程序,做到对病毒的识别,是检测、扫描、更新、杀毒一体化进行,并在杀毒后就有备案,供系统日后参考,形成特定抗体,更好的维护网络安全。
3.2 采用隔离控制,防止网络攻击
保证校园网络的安全,就要对入侵者设置相应的通道障碍,让有入侵校园网倾向的人在一开始就受到制约,这样才可以有效地进行安全维护。我们将这套通道障碍称之为安全防火墙,具体方案为:在进入校园网络之前进行几项安全操作,例如输入安全验证码,设置一些访问权限,个人账号登录有问答操作等,这样就可以很大程度上阻止入侵者前进的步伐,如此,入侵者根本就无法接近我们的计算机系统,更难进行恶意的破坏。现如今的各个领域都开始进入互联网防火墙时代,这一点大家都会有切身的感受,例如在我们的大多数账户登陆之前都会有一步验证码输入,这项操作并不是单纯的给用户造成不便,而是为了大家的账户安全着想,还有一些隐私性较强的账户,例如支付宝功能,银行卡管理功能,在进行操作之前会有短信提醒,并附带安全验证功能。防火墙基本会安装在计算计的主机系统内部,并分为两个类别,便是硬件与软件的结合防御,再全方位进行安全维护。随着互联网越来越成熟,防火墙配备了用户提醒与用户查询功能,用户可以通过自己的账户密码进行一些相应的查询,主要是自己账户已阻拦的不良信息,使用户的警觉性大大提高,及时对自己账户密码进行修改和一些采取自我安全维护。
3.3 加强系统检测,及时修复漏洞
将安全防火墙系统合理的运用到校园网络系统进行安全维护是一项重要任务,其中会涉及到各项具体操作极其各种安全软件下载,对于学校相应的工作人员需要保持一个清醒的头脑,及时的进行校园网络进行安全性检查,及时发现并且弥补系统内部漏洞,而且要为每一位校园用户提供自我安全修补软件,目前在系统安全维护方面具有优势的便是360安全卫士,360安全卫士内部配有较为齐全的安全补救软件,使每一位用户在遇到安全问题的第一时间能够进行自我维护。具体操作为:用户可以在遇到问题时进入360安全卫士中下载系统优化大师,安全软件补丁,病毒扫描系统,计算机系统内部程序管理与加速软件,如果工作人员稍有不慎出现遗漏,将会在校园网络受到安全威胁时措手不及,一旦安全系统遭到破坏那么整个校园的网络系统将会瘫痪,教务处的一些校园重要网络系统将无法正常进行工作,设置泄露学生个人信息,在信息化的校园时代这种安全风险是极高的,一旦出现问题就要付出很高的代价。因此,在校园网络管理中要时刻加强维护。
4 结束语
既然我们生活在互联网时代,我们既有责任和义务来维护网络的安全。一系列的安全维护措施让我们的互联网功能健康前行,但是严峻的形式还是不时地提醒安全软件商家要及时的更新安全软件,根据各类病毒的主要特性来设计相关的维护程序。校园网络与整个教学体系相互挂钩,不要让一时的放松酿成大错,工作人员应定时进行网络安全维护培训,适应新的维护软件,了解新时代的危险元素,进行全面总结,维护校园网络安全从我做起。
参考文献:
[1] Charlie Kaufman,Network Seeurity,PTRP rentieeHall,1995
[2] 高传善,毛迪林,曹袖.数据通信与计算机[M].北京:高等教育出版社,2004.
[3] 李国厚,徐武,韩明光.小型网组建与应用培训教程[M].北京:电子工业出版社,2003.
关键词:计算机;网络安全;防范
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 13-0000-01
Discussion on Computer Network Security and Prevention Strategies
Yuan Bing
(Sichuan Jiange Adult Education Center,Jiange628300,China)
Abstract:With the popularity of computer networks and development of people's lives and work are increasingly dependent on networks,computer networks and related security issues also will be exposed,the paper briefly analyzes the existence of several computer network security risks and discusses computer network security precautions.
Keywords:Computer;Network security;Prevention
一、引言
计算机技术的不断发展,把社会带入了信息时代,大众对信息的依赖程度也越来越高。计算机网络的安全性也就变得越来越重要。计算机网络的技术发展相当迅速,攻击手段层出不穷。而计算机网络攻击一旦成功,就会使网络上成千上万的计算机处于瘫痪状态,从而给计算机用户造成巨大的损失,甚至整个社会就会陷入危机。如何更有效地保护重要信息数据,提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。
二、计算机网络安全现状
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从本质上讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性。网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。主要表现在以下几方面:
(一)计算机网络的脆弱性。互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性,自由性的特点就对计算机网络安全提出了挑战。
(二)防火墙的脆弱性。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。但防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从LAN内部的攻击,若是内部的人和外部的人联合起来,即使防火墙再强,也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展,还有一些破解的方法也使得防火墙造成一定隐患。这就是防火墙的局限性。
(三)其他方面的因素。计算机系统硬件和通讯设施极易遭受到自然环境的影响,如:各种自然灾害对计算机网络构成威胁。还有一些偶发性因素,如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等,也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低,包括一些无意的行为,如:丢失口令、非法操作、资源访问控制不合理、管理员安全配置不当造成的安全漏洞、用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
三、计算机网络安全的防范策略
针对上述影响网络安全的不利因素,我们应采取技术手段和行政管理双管齐下的方法,确保计算机网络系统的安全运行。
(一)技术层面的对策。对于技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:
1.建立安全的管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。
2.网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级安全控制以及属性控制等多种手段。
3.数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
4.应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。
5.切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U盘和程序,不随意下载网络可疑信息。
6.提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
(二)管理层面的对策。计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。
计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理加强用户的法律、法规和道德观念,提高计算机用户的安全意识对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。
四、结束语
总之,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规。世界上不存在绝对安全的网络系统,任何网络安全和数据保护的防范措施都是有一定的限度,一劳永逸的网络安全体系是不存在的,所以网络安全更需要我们每一个人参与。
参考文献:
信息网络安全主要指信息网络的数据在采集、整理、存储和传输过程中被恶意或者偶然的更改、破坏、控制或者泄露,从而使数据信息的机密性、完整性、可靠性和可用性等受到不利的影响。随着科学技术的发展和网络的普及,信息网络已经与人们的生活和工作密切相关,许多政府部门与企事业单位的经济政治往来和商务办公也通过信息系统管理来完成,由于其中涉及到诸多的商业机密,因此信息网络安全防护的重要性不言而喻。
【关键词】信息 国企 网络安全
1 国企信息网络的安全现状
由于国企信息网络传输的数据涉及到诸多的商业机密,因此很容易成为不法分子和别有用心之人攻击的目标,其网络安全现状令人堪忧,所面临的安全威胁复杂多样,主要包括软硬件的故障与工作人员的操作失误等人为因素;电磁泄漏和雷击等自然环境因素;网络攻击与病毒构成的犯罪活动威胁等。在国企信息网络中,防护较为薄弱易受攻击的地方为:信息输入、传输和存储过程中数据被破坏、窃取和篡改;操作系统、通信协议和数据库等存在漏洞与隐蔽通道等安全隐患;磁盘在高密度存储时被破坏致使信息数据丢失和泄密;计算机工作时所产生电磁波造成的信息泄密等。以上诸多因素,都使得国企信息网络的安全性能令人堪忧,如果不加强对其的防护措施,所造成的后果与影响可能难以估量。
2 国企信息安全网络的安全防护措施
如果想保障国企信息网络系统不受到来自外界的干扰和攻击,确保其安全性和完整性,工作人员需要从信息系统的软硬件环境、数据环境和网络环境等方面入手,结合具体的运行条件,采取相应的防护策略。
2.1 硬件环境的安全防护措施
信息网络的安全正常运转,其基础是建立在网络硬件与运行环境的可靠有效之上,此二者对信息系统安全有着不可忽视的影响。因此,工作人员可以从两方面入手,对国企信息系统硬件环境进行安全防护:一方面工作人员要保障网络机房运行环境的安全,要严格遵循《计算站场地安全技术》、《建筑物电子信息系统防雷技术规范》和《电子信息系统机房设计规范》等方面的技术要求,为国企信息网络系统的硬件运行环境奠定良好的基础;另一方面工作人员需要采取多重防护技术,如还原技术、防复制技术、防电磁泄露的技术和硬件访问的控制技术等,加强对国企计算机硬件的有效防护,避免国企信息系统中的硬件环境遭到破坏。
2.2 软件环境的安全防护措施
软件环境的安全防护是国企信息系统安全防护中的重点所在,所涉及的安全防护内容也较多,主要包含以下几个方面:首先,工作人员要确保国企信息网络操作系统的安全。操作系统控制着整个系统运行,管理者计算机中的诸多资源,为其它软件的运行提供支撑环境。操作系统的应用越多,其所存在的软件漏洞也越多,而不法分子就会利用这些漏洞对操作系统进行恶意攻击。工作人员可以安装相应的软件补丁以提高操作系统的防御能力,或者制定相应的安全机制如部署病毒防御系统和漏洞扫描等,以确保操作系统的安全。其次,工作人员要确保应用软件的安全。应用软件的安全问题是软件研发中的关键所在,包含了为避免程序缺陷而采取的一切步骤,其在设计、配置、升级和维护等诸多环节中所存在的瑕疵都有可能成为攻击漏洞。因此,工作人员不仅要定期检测应用软件的功能,而且还要依据其运行环境检测与审查其安全性,并在使用中进行安全跟踪和定期维护,以保障其安全性能不受损害。最后,工作人员还要做好信息系统的防病毒系统构建和漏洞扫描工作。病毒是网络系统运行时最易受到的侵袭方式,工作人员可以构建多层次和多渠道的防病毒系统,如安装杀毒软件和防毒系统等,以做到对系统的有效保护。同时,工作人员还要加强对系统漏洞的扫描和检测,依据扫描和检测的结果,及时发现系统所提供服务中所存在的漏洞,从而采取针对性的措施加以修复和填补,提升系统的安全防护性能。
2.3 网络系统的安全防护措施
信息网络的不断延伸,如WIFI的普及和4G的应用等,使得信息共享与相互通信更易实现。但是由于其所采用的TCP/IP结构在最初设计时没有考虑到其安全问题,因此无法满足用户对数据信息的安全性与保密性要求。因此,为了国企信息网络的安全性,工作人员可以采用虚拟网络技术、防火墙技术、入侵防御系统和身份认证技术等保障国企信息网络的安全性能。虚拟网络技术是在国企各单位和各部门的网络之间,假设专用的通讯线路,从而实现信息数据的安全保密传输;防火墙技术可以有效防止外部用户对国企内部的网络资源进行访问,以保护国企内部的信息资源和设备,并可以对国企网络内部之间传输的数据信息进行检查,在确定其安全后方予以放行,通过对国企内部网络的运行状态进行实时监控,以达到保护信息网络安全的目的;入侵防御系统为智能的防范系统,可以主动对入侵网络的活动与攻击性流量进行有效拦截,避免网络系统受到损害;身份认证技术可以在用户对信息资源进行访问时,确认其真实身份,避免出现非法假冒的行为,以保障系统不受到攻击和非法侵入。
2.4 传输数据的安全防护措施
数据安全主要包含数据自身安全和数据防护安全两个方面,工作人员一方面可以通过双向身份认证、数据完整性和数据保密等措施,保障传输数据的安全,另一方面工作人员也可以借助现代的信息存储技术与手段保护数据信息,如将数据进行备份、磁盘阵列和异地容灾等,这些方法都可以有效地对数据进行防护。
2.5 健全和完善信息网络的安全制度
国企信息网络的安全,既需要从技术层面加强防范,又需要从制度方面加强管理和约束,只有两者的相互密切结合,才能使国企信息网络的安全防护工作做到最好。因此,国企需要依据信息网络的相关环节,制定切实可行的安全制度并加以贯彻实施,如设备安全管理、操作安全管理和米亚的安全管理等制度的健全和完善等,这样信息网络的安全才可能得到更有效地保障。
3 结束语
总之,国企信息网络安全关系到信息数据传输的安全性和私密性,对于国企的生存和发展具有不可忽视的影响。随着科学技术的发展和知识的更新,不法分子攻击的技术和方式也会日趋复杂化,工作人员只有不断强化自身的专业技能,综合运用多种安全防护技术,构建多层次和多渠道的防御系统,才能真正的确保传输信息的安全性与可靠性,切实提高国企信息网络系统的抗攻击能力,发挥其在国企发展和建设中应有的作用。
[关键词] 疾病控制中心 信息管里系统 安全管理策略备份策略
将局域网技术引进疾病控制中心管理及实验室检测,使中心信息管理从简单的行政、财务管理系统向复杂的多功能系统发展,提高中心的管理效益、社会效益和经济效益。与此同时,对中心而言,保护局域网络的安全,就意味着保障中心业务的正常运转。绝对意义上的安全网络是不存在的,世界上没有一种技术能真正保证绝对的安全。保障系统安全的第一步是制定一个合理的安全策略,以保证网络系统的各部件、程序、数据的安全,这要通过网络信息的存储、传输和使用过程来实现。保证中心内整个网络的安全就是保护各种程序、数据或者设备的安全。安全管理的目的是确保内部网络资源不被非法使用,防止网络资源由于入侵者攻击而遭受破坏。这具体包括三部分:与安全措施有关的信息分发(如密钥的分发和访问权设置等);安全服务措施的创建、控制和删除;与安全有关的网络操作事件的记录、维护和查询日访管理工作等。一个完善的计算机网络管理系统必须要制定网络管理的安全策略,它应该包括以下几个方面内容:
1 培养中心全员的安全意识
1.1中心各级领导充分重视
网络安全管理策略的制定和落实需要一定的人力、物力和财力,需要自上而下的贯彻落实,因此中心各级领导要充分重视。培养中心全员的安全意识,首先要使中心各级领导具备网络安全意识,使他们认识到在某种意义上,保护网络安全就是在保护中心,使他们知道缺乏专业的网络管理人员,缺乏先进的网络安全技术、工具、产品等等都有可能带来网络安全事故。
1.2 提高网络管理人员的责任心和业务技能
如果实施之前,先对安全策略进行详细设计,可以在发生系统资源滥用时减轻安全分支的活动,更可以降低数据被毁坏和丢失的可能性。网络安全管理策略是由网络管理人员根据中心的系统安全需求设计的,还必须向各级领导解释和说明其中的内容和意义,这样才能使网络安全管理策略被采纳进而得以落实。中心网络管理人员应当以培养全中心人员的安全意识为已任,运用自己的专业知识,积极推进一整套完善、高效、可行的网络安全策略在中心的形成和贯彻。
1.3 提高操作人员的安全防范意识
网络安全问题是一个典型的人-机关系问题,对于网络安全来说,最重要的起点是从涉及计算机的人员开始的。对中心所有操作局域网内计算机的业务人员,要定期进行计算机安全法律教育、职业道德教育和计算机安全技术教育,使他们认识到一个人或一台机器的不安全隐患有可能使整个网络不能正常工作。
2 建立网络安全管理制度和有效的督查机制
2.1人员管理制度
首先应在中心成立计算机安全管理领导小组,由中心主管信息工作的主任任组长,小组成员包括各网络使用部门的领导、各部门选派的网络安全员和计算机网络管理人员。计算机安全管理领导小组负责讨论制定各项安全管理制度和督查机制,以及各项灾难应急预案,并定期召开安全会议,通报近期的国内外重大网络安全事件、安全预警事件、中心内的网络安全事件和安全隐患。计算机安全管理领导小组负责建立与部门和个人收入挂勾的奖惩措施。计算机安全管理领导小组应负责聘请网络安全顾问审核中心内部的网络安全管理策略,在中心为全员讲解网络安全基础知识和典型案例,及时获得必要的信息和技术支持。
其次是网络管理人员的管理。管理员是决定中心网络是否可以安全、有效运行的根本因素。管理员负责维护和配置中心网络的核心――数据库服务器和各种网络设备,掌握服务器密码和数据库密码,有任意删改数据的权限,因此,网络管理人员的业务素质和职业道德决定着中心网络的命运。挑选网络管理人员,在衡量他的专业水平的同时,必须要考察他的思想品格。网络管理人员在上岗后要定期接受业务培训,不断提高专业知识,特别是了解计算机网络安全领域的新技术、新动向。同时,网络管理人员必须接受中心计算机安全管理领导小组的领导和监督,制定管理员操作规范,填写详细的工作记录,一方面可以备查,另一方面当管理人员更换时,可以保持工作的延续性。
第三,对全中心所有操作网络内计算机的业务人员的管理同样重要,必须制定严格的上岗资格和考核制度。在上岗前应接受计算机基础知识和业务操作的基本培训,通过考核才能上岗。人手一份计算机业务操作指南、安全管理条例和故障应急措施,上机和离机时填写计算机使用记录。计算机业务操作指南中应包含应用程序的正确调用和退出、业务操作步骤、基本故障排除方法、内外网络的使用注意等。安全管理条例中应包含:计算机设开机密码,网络用户密码管理,如密码内容、长度、定期更改、保密,失密后立即报告,离开时及时退出系统,操作员在1个小时以上不使用机器,应启动计算机密码保护程序以防止未授权者使用网络等。故障应急措施应包含:遇到按照计算机业务操作指南中的基本故障排除方法无法解决的故障时,上报故障的步骤、联系人和联系方式。
第四,应建立工程技术人员管理制度。需要在中心内装修、埋管、布线等施工时,应将施工地点和施工内容上报计算机安全管理领导小组,以避免因施工而损害到网络线路。建立门卫管理制度,进出重要设备间时应登记,特别是对暴露在过道、地下通道等房间外的网线格外注意监护。
最后,建立人员调离的安全管理制度。人员调离前应及时通知相关部门,由系统和网络管理员及时取消该人员的网络用户名或限定用户权限,由该人员所在部门的网络安全员,更改开机密码等公用密码。人事部门将网络安全管理纳入人员调离时应办理的相关确认手续之中。
2.2 硬件设备安全管理
设备的物理安全是要首先考虑的。建立中心机房、设备间、工作间安全管理制度,特别是对于中心这祥一个带有保密性质的单位,更要注意将相关设备保护起来,以避免无关人员接触到。中心铺设的各类网线也应受到保护,既要防止恶意的破坏,也要避免其它的施工人员无意的损坏。安全管理制度中应包括防盗、防撬等防止人为破坏的警卫值班,定期的防雷击、防静电、有效接地、供电系统定期检修等安全检测,注意防火灾、水灾环境的卫生清洁管理,机房内的温度、湿度、洁净度应达到要求,建立遇事上报及时快速反应制度等等。
建立所有设备的档案管理卡。所有的主机应记录计算机型号、配置、名称、使用科室、所在位置、IP地址、MAC地址、操作系统、安装的应用程序、故障维修记录等等。所有的网络设备应记录设备型号、名称、参数设置、网段、故障维修记录等。所有设备都要有专人负责保管,各前端主机由各科室指定的网络安全员保管。建立设备督查记录,定期对设备检查并做详细记录,内容包括各指示灯状态、噪音大小,定期为设备除尘等等,对设备配备的钥匙要妥善保管。
2.3 软件系统安全管理制度
检测安全性、填补漏洞和不断地监视系统才能有效地控制安全危险。中心的重要数据都存放在服务器上,首先要保证服务器的安全,服务器在连接局域网之前的安装和配置应有详细的规划。规划中应包括磁盘分区格式、操作系统的选择,准备好系统补丁文件,取消默认共享,禁用不必要的服务,设计网络用户组和用户以及相应的权限,将管理员帐号改名,确定帐号锁定、密码更改、时数等管理策略,设定各项审核、安全策略,重要文件的位置和控制权限,锁住注册表,安装企业版病毒监控程序并且要覆盖到网络中的每一个节点,不安装来源不可靠的软件,采用必要的安全产品和设备等等。系统正常运行以后,要不断监视系统性能和系统安全性。及时地为操作系统和应用程序打补丁,定期地为杀毒软件作升级,使用最新漏洞扫描程序发现系统的漏洞并及时填补,用固定服务器监测系统资源使用状况,检查事件查看器、观察启用的服务、运行的进程、网络连接是否有变化,及时发现不法用户、不良程序、可疑的机器名、IP地址、MAC地址。对前端工作站,做到专机专用,不安装光驱、软驱,禁用USB接口,文件共享要谨慎。
2.4 有效的督查机制
有效的督查机制能够将安全答理制度落到实处。中心计算机安全领导小组是督查组织,定期督查网络运行情况,检查网络运行纪录,各项制度的落实情况,审查系统和网络管理定期上报的报表,检查部门选派的网络安全员的工作记录。
3 建立安全备份机制、灾难应急预案及演练灾难恢复
3.1系统安全备份策略
安全备份的目的是为在系统遇到自然灾难或人为破坏时,能够通过备份内容对系统进行有效的灾难恢复。根据不同的需求可制定相应的安全备份策略。一个异地火灾实时备份系统、主要通讯线路备份、主要网络设备备份,能够备份系统的所有数据,这样当本地系统发生灾难时,可以迅速地恢复网络系统和数据,把损失降到最低,安全备份策略是根据中心的需求来制定的,系统是否允许冗机以及可容忍的最大冗机时间(即系统和数据恢复正常所需时间),系统是否允许数据丢失以及可容忍的最长数据丢失时间。安全备份策略重点要保护的是中心的数据,同时还应保护整个网络系统的正常运转,因此,安全备份中应包含设备备份、系统备份和数据备份。数据备份是最重要的,应做到多种介质备份,提高安全性。如使用磁盘阵列、RAID方案、异地硬盘、刻录光盘、磁带等。好的日常备份制度,应充分利用备份硬件和软件的功能,达到自动化或半自动化,以减少人工干预。
3.2 应急预案
灾难的发生有时是突然的、不可预测的,应急预案的规划可以在事前冷静、全面、周详地制定出可能出现的各种灾难情况下的应对策略,从而使我们在灾难发生时采取正确的步骤,最大程度地降低损失,尽快向系统全面恢复正常运转过渡。应急预案应由计算机安全管理小组指导实施,应急预案中应准备最坏的情况,充分设想到各种可能出现的故障和问题。例如,主交换机故障、主干线不通、供电系统故障发生时应采取的措施。应急预案中应包含实施小组成员及联络方法。拥有完整的应急预案,并严格执行各种安全备份措施,当灾难来临时,才能应付自如。
3.3 灾难恢复演练
网络安全是一个动态的过程,应在计算机安全领导小组领导下定期进行灾难恢复演练。其目的是为了熟练灾难恢复的操作过程,并检验系统安全备份策略和应急预案的可靠性,演练过程中应对操作和结果做详细记录,便于总结、分析、评估,及时发现隐患,及时更正,确保在真正灾难发生后能使中心网络及时恢复运行。
网络安全技术没有最好,只有更好。这就要求中心从制度、人员、技术手段等各方面,建立起一整套网络安全管理策略,来指导中心的网络安全建设及维护工作。这是一个长期的系统工程,需要中心全员提高安全意识,遵守安全制度,同时,在数据传输安全保护上需要软件系统开发人员的共同努力,这样才能保障中心网络的正常运转。
参考文献
[1] 胡昌振. 面向21世纪网络安全与防护[M]. 北京:北京希望电子出版社,1999.
【关键词】云资源池;网络安全;设计
随着当今时代互联网技术的不断发展,网络安全问题已经成为今前时代在一个重要问题,网络安全问题不仅关系到群众个人隐私权,更关系到个人财产安全。分析网络安全问题,做出有效解决方案,在保证网络安全的同时,促进互联网技术发展。
1云资源池网络环境面临的威胁
1.1窃取服务
云计算资源池分为公有与私有两种环境,公有云计算资源池有弹性计费特点。在这种弹性计费模式下,黑客可以对虚拟层漏洞进行攻击,使系统管理程序出现错误,从而窃取服务,占用他人资源。因为虚拟机调度机制并未检察跳读自身正确定,这也给他人窃取服务一个可乘之机。
1.2拒绝服务
在诸多攻击手段之中,拒绝服务攻击属于常用攻击手段,以消耗系统资源为目的,属于耗尽资源类攻击。遭到攻击的计算机网络,很可能就此瘫痪,在系统资源完全耗尽时,计算机网络就无法正常服务。
1.3僵尸网络
僵尸网络攻击是一种针对网络的攻击方式。攻击者通过传播僵尸程序感染大量主机,从而控制多个网络,这样就可以在无授权的情况下访问资源池。在僵尸网络控制之下,攻击者还可以通过控制病毒主机,隐藏自身身份,让人很难追踪与检测。
1.4代码攻击
恶意代码自身并不能攻击,但是自身存在隐患。对计算机网络来说,所有无意义代码均是恶意代码,病毒、木马和垃圾邮件等都属于恶意代码。在攻击者注入恶意代码之后,可以处理相关服务,获得访问权限,窃取用户数据,因为资源池属于虚拟化,这也导致恶意代码威胁越发严峻。
2云资源池目前存在的缺陷
2.1缺乏统一标准
云计算技术从互联网技术孕育而来,许多云端公司为了提高使用便捷性,调整防火墙等技术,进而威胁网络安全,使其安全无法得到保障。这与我国网络信息安全至今没有一个规范的标准体系有关。
2.2安全漏洞较多
当前云计算技术在不断发展,人们在享受互联网带来便利的同时,同样难免存在很多安全漏洞。云计算底层架构存在着诸多安全问题,这也使得在基础上云计算的安全性无法保证。如果有不法分子发现漏洞,就会导致用户信息和数据的泄露,甚至遭到黑客攻击,所以在云计算环境当中,安全漏洞较多这一问题也成了网络安全风险中最重要的一项。
2.3稳定性差
因为云计算技术具有扩张性,导致连接的终端和节点较多。在扩张时,如果其中某一节点出现安全风险问题,则对数据的源头也会造成一定的安全威胁,因此也就导致近年来电子商务用户的个人信息泄露事件。
2.4人权限模糊
用户在云资源池都是使用自己的网络身份运行,相对应的有一个资源人,其拥有较高权限,可以在云端修改资料、修改个人信息或进行其他操作。但是在这种高权限情况之下,往往会出现一些问题。因为在当前云资源池定义不准确,对于资源人职权也不明确,这种权限甚至可以修改或删除云端资源,威胁网络安全。
3云资源池虚拟环境下的网络安全设计
3.1设计安全架构
设计网络安全机构主要保证云资源池的不同网络设备安全与网络端口安全。安全技术架构主要从业务接入层、网络中心层、入口层、端口层等四个角度来分别提出安全要求以及提供解决方法。(1)接入层主要负责防御病毒攻击、评估主机风险、控制主机接入、对业务进行管理、防止网页被篡改。(2)核心层有着防火墙功能、检测外部入侵。(3)接入层负责管理客户端,不仅控制客户端访问,防御病毒攻击,对攻击行为进行回溯。(4)网络出口层有着防御DDOS攻击、防御IPS入侵。
3.2网络安全区域设计
为了方便虚拟服务器的日常维护,确保其服务器性能,就需要设计网络安全区域,做好计算、存储、接入隔离。充分结合工业以及信息化部对电信业务安全域划分建议,按照业务保障原则、分级保护原则、简单化原则,将其划分为不同区域,然后实现流量分隔。将业务区域划分为多个安全等级,然后在每个等级下面划分为虚拟服务器。
3.3网络安全防护设计
云资源池网络安全防护包括了两个方面,主机安全以及数据安全。(1)主机安全内容是虚拟机承载环境,该环境当中包括虚拟机的宿主机还有管理模块,在主机内容当中,应该进行安全加固,本着“安全最小化权限”原则,降低安全风险,检测入侵。(2)数据安全方面,云资源承载平台,需要完成网页保护、进行数据库安全审计、控制异常流量、防御攻击。在业务接入层有着防止网页被篡改的功能,有效保护内部云客户网站,将防篡改功能布置在接入口,防止网页服务器被恶意篡改或者在篡改之后及时恢复。
4维护云资源池网络环境安全的措施
4.1硬件防护
在对该问题进行研究时,首先应该考虑到对硬件防护安全的必要,同时认识到硬件层面的防护是网络信息安全防御第一道长城。对于硬件防护措施,还需做好优秀的管理制度:工作人员如果发现电脑被感染病毒或者出现系统瘫痪、数据泄露等危机时,切记一定要及时汇报并保护现场。另外,所有的办公用计算机都要安装杀毒软件,不能自行关闭或擅自卸载防火墙。
4.2应用程序防护
在当今云资源池技术不断发展,逐渐将服务模式分成了三种,并且其中各有差异,在网络架构和技术层面都有着极大差异,但是服务商所生产的应用程序却是无论有什么差别,最后都将是交给用户使用,这也是云计算技术的共同点。无论服务模式的差别还是架构差异,但都无法避免技术漏洞。比如:在SaaS服务模式中,首先需要将应用程序上传到云端,供用户选择。然后用户根据自身需要下载程序,然后下载完成之后自行安装程序。在这个环节之中,如果原本应用程序有病毒,那么用户在下载之后病毒就会自动安装,造成严重的安全问题。想要解决这种问题,就需要管理者自身加强投入,选择更有实力和技术的第三方,并且检查上传的应用程序,保证云端应用程序的安全。另外,还可以让相关技术人员对部分应用选择远程操作,隔离保护相对应的终端机。
4.3智能防火墙
在整个网络安全问题上,防火墙在其中起着不可或缺的作用,过去传统防火墙往往是被动防守,这样就会有一定安全漏洞,而不法分子可以针对这种防火墙缺陷进行研究并实施针对攻击,最后威胁网络安全。而技术革新之后的防火墙,不仅可以做到被动防御,还可以自行下载补丁修复自身安全漏洞,加强防护能力。为了确保云计算安全技术可以进一步提升,技术人员需要对防火墙技术进行不断研究,助力我国网络安全事业发展。
4.4构建安全协议
现在网络公司安全防护级别不同,同时国家在网络安全方面也没有相关规定,这就要求各个网络公司自行根据情况完善问题,使其更加标准,可以使各个企业自行建立安全协议,统一防护程度。对于各种不同网络安全问题,各个企业可以使用技术共享来解决问题,提升云计算网络防护能力。对各种不同级别的网络安全技术,协议还需保证其统一,除此之外,政府部门还可以将目前企业合作的安全协议作为参考,结合实际,根据未来形势,制定出更规范的网络安全制度。
4.5数据备份
移动设备不仅方便了生活,但也给外界造成了影响,导致用户数据丢失,甚至导致无法修复用户数据,这也就要求企业进一步强化数据备份技术,借助云端上传或备份一些数据内容,保证用户资料安全。在云资源池中,网络信息复杂,移动设备很容易受到外界影响,基于这种情况,为了保护用户数据,可以借助互联网进行备份,分析数据,保护资料。
4.6实名认证
在当前时代,计算机网络认证技术十分常见,比如用户在购买机票或火车票的时候需要进行实名认证,在多数情况下,办理银行业务的时候,也需要进行实名认证。简而言之,实名认证技术可以最大限度保护人员的个人财产与个人信息。在现阶段而言,互联网已经得到了大范围普及,在当前时代不断发展,电商范围不断扩大的时代背景之下,身份认证技术必然得到广泛应用。4.7更新杀毒软件电脑系统因为设计问题所以会存在漏洞,如果用户没有及时安装系统补丁,那么就会造成安全漏洞,造成数据丢失或损坏,在安装系统补丁时,需要更新杀毒软件,并且及时检测计算机,保证电脑处于安全的网络环境。除了服务商提供安全保护,用户也应该注意不浏览有安全隐患的网站,确保计算机网络安全,建立网络安全部门,严厉处罚网络犯罪,营造绿色网络环境。
关键词:网络会计信息系统;信息安全;防范策略
一、引言
随着网络信息技术的发展,会计系统已经脱离了单机版,形成了基于企业内部局域网或者因特网的网络会计信息系统。网络版的会计信息系统不仅实现了实时办公、远程操作,大大提高了财务部门的工作效率,同时也使会计信息的使用与传输范围大大扩展。但是网络是一把双刃剑,网络信息安全已经日益成为关系到用户数据安全的一大隐患,在缺乏安全保障的网络环境下运行会计信息系统,将容易出现信息被非法访问、篡改或攻击的现象,因此保障网络信息的安全是网络会计信息系统正常、可靠运行的重要保障。
二、网络会计信息系统的特点
与传统的单机版会计信息系统相比,网络会计信息系统实现了业务和财务的一体化,可以根据发生的业务直接生成会计凭证等的会计信息。在这样的系统中,会计核算和财务管理都是动态、实时、在线的,资金结算都以电子数据的方式处理,从而实现了管理的数字化和信息化,在范围和效率上都区别于传统的会计管理模式。在范围上,尤其是因特网的发展使会计信息的管理突破了地域限制,不再局限于一个地理位置,而是从企业的总部扩展到企业的各个部门以及分公司。在效率上,由于会计核算变得具有实时性,远程报表、报账、查账等工作将大大简化,使会计核算的能力与效果都提高到一个新的层次。
三、网络会计信息系统的安全隐患
网络会计系统面临的安全隐患主要来自两个方面:黑客攻击和网络会计信息系统本身的安全漏洞。
(一)黑客攻击
黑客常常借助破译工具对密码进行分析,从而得到对密文进行解密的方式。为了达到窃取重要敏感数据的目的,黑客对会计系统采取的攻击方式有:窃听、重发攻击、迂回攻击、假冒攻击、越权攻击等。
(二)系统漏洞
系统漏洞来源于会计信息系统本身存在的安全风险。网络入侵者可以通过系统的安全漏洞,通过执行系统的相关指令得到系统的控制权限。这种行为会对会计系统的数据安全造成极大威胁。此外,在许多安全设置选项中假如总用系统默认的配置或选项,往往会给入侵者造成可乘之机。
目前的信息安全事件频发、安全威胁越来越严重,在这种情况下,迫切需要建立一套与网络信息发展相适应的安全保障体系,来加强网络会计信息系统安全保障的力度。
四、网络会计信息系统的安全防范策略
网络会计信息系统安全应从初建阶段做好规划,采取相应的物理隔离措施,遵循会计信息系统独立成网、不同系统不直接相联、不同安全级别的系统不直接相联的原则。
(一)物理隔离措施
网络会计信息系统应该遵循独立成网的原则。即使是与企业生产运营直接相关的信息系统,一般也不能直接相联。如有必要联结,必须采用防火墙及入侵检测系统等物理隔离措施,以保证各个系统的安全。防火墙可以在可信任的内部网络与不可信任的外界网络之间建立起一个安全网关,从而保护网络会计信息系统内部网免受外部非法用户的侵入。
(二)通过身份认证来加强系统自身的安全管理
对于一个网络会计信息系统而言,有特定的使用人群与维护管理人员。不同的群组应授予不同的权限,因此,用户身份的检查是非常必要的。身份认证是指被认证对象向系统出示自己身份证明的过程,通常是获得系统服务所必须的第一道关卡。身份认证涉及识别和验证两个过程。识别,就是要对系统中的每个注册用户具有识别能力,要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的标识符。验证是指访问者声明自己的身份后,系统还必须对声称的身份进行验证。目前身份认证常用的措施有口令、密钥、CA证书等。在基于因特网的网络环境下采取CA认证,所有用户的证书都由CA中心分发,每个用户都拥有一个属于自己的私密密钥,通过密钥认证来防范非法用户入侵网络会计信息系统。
(三)加密技术的使用
对于网络会计信息系统中产生的一些数据,尤其是涉及财务和商业机密的数据,除去部门或者企业的核心管理人员之外,其他人员不能随意访问。存储加密的目的是为了使反映出企业的敏感商业信息的会计数据在存储期间,只能被特定的人群存取和访问,从而保证数据存储的保密性。数据库系统的加密和普通的报文加密不同,后者的加密和解密都是按照从头到尾的顺序,以报文作为加密的最小单位;而前者则以字段为单位进行,前者加密后解密的难度往往要高于后者,因此,采用数据库加密对网络会计信息系统来说具有更高的数据安全性。
(四)数据异地备份
数据异地备份是保障网络会计信息系统数据安全的重要措施。随着网络和存储技术的发展,大容量数据的存储介质已经从过去的磁带机向磁盘阵列发展,大容量磁盘价格日渐降低,所以磁盘阵列是备份会计信息系统数据的首选设备。作为备份操作的支持软件也是不可或缺的组成部分。备份软件主要实现自动备份的功能,对各种备份设备进行管理和维护,制定详尽的备份策略,对备份系统实现检测维护功能,支持大多数网络结构,支持跨操作平台的数据备份模式,并能够实现数据库的在线实时备份,最大程度保障会计信息系统的数据安全。
[关键词] 网络安全 计算机网络 入侵检测
引言
计算机网络是一个开放和自由的网络,它在大大增强了网络信息服务灵活性的同时,也给黑客攻击和入侵敞开了方便之门。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围,而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术,当成一种新式犯罪工具和手段,不仅影响了网络稳定运行和用户的正常使用,造成重大经济损失,而且会威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来,网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。文章分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。
一、常见的几种网络入侵方法
由于计算机网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有着自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上信息以二进制数码,即数字化的形式存在,所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法:
1.通过伪装发动攻击
利用软件伪造IP包,把自己伪装成被信任主机的地址,与目标主机进行会话,一旦攻击者冒充成功,就可以在目标主机并不知晓的情况下成功实施欺骗或入侵;或者,通过伪造IP地址、路由条目、DNS解析地址,使受攻击服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器IP地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。
2.利用开放端口漏洞发动攻击
利用操作系统中某些服务开放的端口发动缓冲区溢出攻击。这主要是由于软件中边界条件、函数指针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。
3.通过木马程序进行入侵或发动攻击
木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植入到目标主机中,计算机就成为黑客控制的傀儡主机,黑客成了超级用户。木马程序可以被用来收集系统中的重要信息,如口令、账号、密码等。此外,黑客可以远程控制傀儡主机对别的主机发动攻击,如DDoS攻击就是大量傀儡主机接到攻击命令后,同时向被攻击目标发送大量的服务请求数据包。
4.嗅探器和扫描攻击
嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,作为实施下一步攻击的前奏。
为了应对不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括:防火墙、VPN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VPN属早期的被动防护技术,入侵检测、入侵防御和漏洞扫描属主动检测技术,这些技术领域的研究成果已经成为众多信息安全产品的基础。
二、网络的安全策略分析
早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括:
1.防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.VPN
VPN(Virtual Private Network)即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,VPN技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息被泄露、篡改和复制。VPN技术可以在不同的传输协议层实现,如在应用层有SSL协议,它广泛应用于Web浏览程序和Web服务器程序,提供对等的身份认证和应用数据的加密;在会话层有Socks协议,在该协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VPN隧道;在网络层有IPSec协议,它是一种由IETF设计的端到端的确保IP层通信安全的机制,对IP包进行的IPSec处理有AH(Authentication Header)和ESP(Encapsulating Security Payload)两种方式。
3.防毒墙
防毒墙是指位于网络入口处,用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的,因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生的一种安全设备。防毒墙使用签名技术在网关处进行查毒工作,阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外,管理人员能够定义分组的安全策略,以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC地址,以及TCP/UDP端口和协议。
三、网络检测技术分析
人们意识到仅仅依靠防护技术是无法挡住所有攻击,于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有:
1.入侵检测
入侵检测系统(Intrusion Detection System,IDS)是用于检测任何损害或企图损害系统的保密性、完整性或可用的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充,入侵检测技术能够帮助系统对付已知和未知网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
2.入侵防御
入侵防御系统(Intrusion Prevention System,IPS)则是一种主动的、积极的入侵防范、阻止系统。IPS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术,IPS的检测功能类似于IDS,防御功能类似于防火墙。IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限;而IPS部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为IPS就是防火墙加上入侵检测系统,但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCP/IP协议的过滤方面表现出色,同时具备网络地址转换、服务、流量统计、VPN等功能。
3.漏洞扫描
漏洞扫描技术是一项重要的主动防范安全技术,它主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(Honeypot)系统,它是故意让人攻击的目标,引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析,来发现攻击者的攻击方法及系统存在的漏洞。
四、结语
尽管传统的安全技术在保障网络安全方面发挥了重要作用,但在一个巨大、开放、动态和复杂的互联网中技术都存在着各种各样的局限性。安全厂商在疲于奔命的升级产品的检测数据库,系统厂商在疲于奔命的修补产品漏洞,而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒,防火墙只能对非法访问通信进行过滤,而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中,安全问题的炸弹随时都有爆炸的可能。用户必须针对每种安全威胁部署相应的防御手段,这样使信息安全工作的复杂度和风险性都难以下降。为了有效地解决日益突出的网络安全问题,网络安全研究人员和网络安全企业也不断推出新的网络安全技术和安全产品。
参考文献:
[1]周碧英:浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18~19
[2]潘号良:面向基础设施的网络安全措施探讨[J].软件导刊, 2008,(3):74~75
[3]刘爱国李志梅谈:电子商务中的网络安全管理[J].商场现代化,2007,(499):76~77
关键词:网络安全;防范测量;研究
近年来,由于网络技术和信息技术的不断发展,计算机网络已经遍布各个角落,给我们带来便捷的同时,网络安全问题也给我们带来一定的困扰。而大多数的网络入侵事件是由于用户没有及时修补系统漏洞或系统安全措施不完善造成的。因此,了解影响网络安全的因素,只有针对这些网络威胁采取必要的保护措施,才能确保计算机网络信息的可靠性、安全性和保密性。
1 网络安全面临的威胁
1.1黑客的攻击
计算机网络的威胁主要有计算机病毒、黑客的攻击等,其中黑客对于计算机网络的攻击方法已经大大超过了计算机病毒的种类,而且许多攻击都是致命的[1]。常见的黑客攻击方式有:① 通过服务端口发动攻击 这主要是因为对软件中的边界条件、函数指针等设计不当造成的地址空间错误,产生了漏洞。如利用软件系统对某种特定类型的请求没有处理,导致软件遇到这种请求时运行异常,造成软件甚至系统的崩溃。如OOB攻击,攻击者向Windows系统TCP端口l394发送随机数来攻击操作系统,造成CPU一直处于繁忙状态。② 利用传输协议进行攻击。攻击者利用传输协议的漏洞,恶意请求资源导致服务超载,造成攻击目标无法正常工作。如利用TCP/IP协议的“三次握手”的漏洞发动SYN Flood攻击。③采用伪装技术攻击。攻击者通过伪造IP地址、DNS解析地址,使得受攻击目标服务器无法辨别或正常响应请求,造成缓冲区阻塞或死机;④ 利用木马入侵。攻击者通过向目标主机中植入木马来收集目标系统中的重要数据。⑤ 网络嗅探。攻击者利用嗅探器查看通过Internet的数据包,以获取信息。通过安装侦听器程序来监视网络数据流,从而获取连接网络系统时用户键入的用户名和口令[2]。
1.2计算机病毒
目前计算机病毒则是数据安全的头号大敌,它是编制者在计算机程序中插入的破坏计算机的功能或是数据,影响硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。然而它具有病毒的一些共性,如:传播性、破坏性、隐蔽性和潜伏性等,同时也具有自己的一些特征,如:不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务以及和黑客技术相结合等。
2 网络安全防范策略
计算机网络安全技术主要包括几个方面:防病毒、防火墙、数据加密、入侵检测等,这几个方面的技术需要综合运用,单独的某一方面的技术难以确保网络安全,以下对这几项网络安全技术进行介绍。
2.1防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络环境的特殊网络互联设备。它是对不同的网络之间传输的数据包按照某种安全策略进行检查,以决定是否允许通信,并对网络运行状态进行监视。对计算机配置防火墙是最基本、最有效的安全措施之一,它能有效的防止非法用户的入侵,监控网络存取和访问,对访问做出日志记录,当网络发生可疑监测或攻击时能及时报警。
2.2防病毒技术
随着计算机技术的不断发展,计算机病毒的危害性、多样性、隐蔽性都得到了提高,给网络终端用户造成了极大的威胁。利用防病毒软件可以对计算机病毒进行有效的查杀。一般从功能上可以将防病毒软件分为网络防病毒软件和单机防病毒软件。
单机防病毒软件是对本地资源进行分析和扫描,对检测到的计算机病毒进行清除;网络防病毒软件则是侧重于网络资源的检测。常用的杀毒软件有瑞星、卡巴斯基、360杀毒以及金山等。
2.3数据加密技术
数据加密技术是为提高信息系统及数据的安全性和保密性,防止机密数据被外部窃取的重要手段。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须要秘密的保管,只能为授权用户所知,授权用户既可以用该密钥加密信息,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。
2.4入侵检测技术
网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库等比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出相应的反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。因此入侵检测是对防火墙有益的补充,可在不影响网络性能的情况下对网络进行监听,从而提供对内、外部攻击和误操作的实时保护,从而大大的提高了网络的安全性。
3 结语
网络环境的复杂性,使得网络安全面临一定的威胁,保障网络安全需要用户提高网络安全意识,积极采取防火墙技术、防病毒技术、入侵检测技术以及数据加密技术等,避免因偶然因素或恶意的攻击造成的系统破坏、数据泄漏等,保证系统连续可靠正常地运行。
参考文献:
[l]陆亚华.计算机网络安全防范技术带来的探讨[J].数字技术与应用,2012,01:182~182.
[2]叶灯洲.计算机网络中的黑客攻击与防御剖析[J].电脑知识与技术,2005,29:37―39.