谈计算机网络信息安全及防护策略
前言:想要写出一篇引人入胜的文章?我们特意为您整理了谈计算机网络信息安全及防护策略范文,希望能给你带来灵感和参考,敬请阅读。
随着计算机网络技术的迅猛发展,社会信息化程度的不断加深,网络化业务系统得到了大力的推广和普及,信息安全问题也随之愈发严重。与传统企业不同,大多数科研院所都采取了网络相对隔离的内部局域网架构,因此在计算机网络信息安全管控措施以及防护策略上具有一定的特殊性,对其防护途径进行适当的研究、分析,有利于规避常见的风险隐患,充分保障科研院所计算机网络信息安全。随着信息化的发展和网络科技的进步,科研院所为了提高科研效率、降低研发成本,在日常运营中相继引入OA系统、PLM系统、ERP系统、CAPP系统、CRM系统等智能化业务系统。业务系统中存储着大量的科研项目数据以及各类创新成果等。一旦信息被窃取、丢失或篡改都会带来不可估量的损失。因此针对性的制定防护策略显得尤为重要。科研院所计算机信息网络安全面临的威胁来自很多方面。既有来自其计算机网络系统内部的安全漏洞、管理因素,也有来自外部的黑客攻击、间谍窃取以及自然灾害等因素。
1科研院所计算机网络系统面临的主要风险源
1.1软件自身开发漏洞
计算机从操作系统到工具软件都是由各自厂商编写的软件代码。而软件的源代码漏洞是所有信息安全威胁中最大的隐患。根据公开的软件开发质量测试结果显示,软件公司的缺陷率(千行代码):普通软件开发公司的缺陷密度为4-40个缺陷,高水平的软件公司的缺陷密度为2-4个缺陷。这也是微软在XP系统诞生到停服的13年里不断的开发补丁、弥补漏洞的原因。科研院所由于其专业的特殊性,在软件平台的使用中,大量的引入定制、开发的应用系统,由于自身缺少专业的软件检测和运维团队,相应的软件漏洞往往得不到及时的检测和修复。
1.2网络传输协议存在安全问题
网络协议在最初被设计时,主要考虑的是如何实现网络连接,并没有充分考虑到网络的安全问题,TCP/IP、ARP、ICMP等等协议都是完全公开的。这样入侵者就可以轻而易举的利用协议漏洞进行攻击。常见的IP欺骗、ARP攻击、SYNFlood、UDPFlood、Teardrop攻击等等都是基于网络协议中的漏洞进行的。
1.3黑客及黑客软件的威胁和攻击
黑客具有较强的计算机网络系统知识,能熟练使用各种计算机技术和软件工具。善于发现并利用计算机网络系统中存在的系统漏洞,对网络系统的安全构成了非常大的威胁。科研院所内部计算机信息系统由于与互联网系统相对隔离,因此遇到黑客攻击的风险较低,但往往来自内部的入侵行为,很容易被忽视,从而造成更大的危害。
1.4计算机病毒种类、数量的日益增多
计算机病毒是计算机网络系统重大的威胁之一,具有传播速度快、范围广等特点。一旦计算机感染上病毒后,轻则降低系统性能,重则造成系统死机或毁坏,使重要文件或者科研数据丢失,甚至造成计算机系统硬件设备的损坏。科研院所内部计算机信息系统病毒更新往往有所滞后,存在无法查杀新型病毒的风险。某军工科研院所曾因内网杀毒软件更新不及时,用户在数据导入时未使用最新杀毒软件查杀,从而造成部分终端计算机感染蠕虫病毒。
1.5间谍软件的威胁和隐患
由于科研院所承担国家重大的科研项目,往往会引来敌对分子的窥探,与计算机病毒不同,间谍的主要目的不在于对系统进行破坏,而是窃取计算机信息网络系统存储的各种数据信息。往往通过后台搜索关键字、拷贝敏感商业资料等等,再通过摆渡或入侵的方式破换网络隔离,给单位造成重大的损失。
1.6人为因素
人为因素是影响计算机系统内信息安全的主要因素之一,通常体现在两个方面。一方面是由于人员管理疏忽,导致安全意识薄弱,对计算机网络信息系统的风险因素没有正确的认识,从而无意识引入病毒、间谍等恶意程序的行为。另一方面是指人员主动、故意泄密,威胁单位内部的信息安全。由于科研院所计算机信息系统中存储大量核心业务数据以及重大项目资料,一旦人员管理、教育不到位,在经济利益的驱使下和诱惑下,个别人员会主动的向外提供内部敏感文件、资料,造成无法弥补的损失。
2科研院所计算机网络信息安全的防护策略
科研院所计算机网络信息安全防护是一个综合性问题,涉及到诸多方面的内容,主要包括网络安全防护技术、加密技术、制度体系建设等。下面分别就相关的防护策略进行描述。
2.1重视并加强内部网络中的漏洞扫描及修复
漏洞扫描技术是指通过对计算机网络、信息系统、软件平台或者其他网络设备进行安全检测,提前找出潜藏的安全隐患以及软、硬件漏洞。并在黑客利用之前进行处理和修复,从而保障系统内的信息安全。目前绝大多数网络攻击行为,利用的都是已修复补丁的安全漏洞。因此漏洞扫描技术的使用,是保证科研院所计算机系统和网络安全必不可少的措施之一。
2.2边界区域配置防火墙,加强访问控制
防火墙作为网络安全的第一道防线,通常部署在网络边界,通过监测、限制、更改跨越防火墙的数据流,尽可能地屏蔽内部网络的信息、结构和运行状况,以此来实现信息安全。即使在科研院所相对安全的局域网内,配置防火墙也是实现网络安全最有效的安全措施之一。防火墙通过隔离服务器区域与终端计算机之间的通道,阻止非授权用户对服务器内信息资源的访问,从而降低网络风险。
2.3核心、重要数据加密存储
数据加密实质上是对数据进行移位和置换的变换算法,这种变换是通过“密钥”来控制的。加密存储最大的优点在于即使数据丢失或泄漏,其包含的重要信息仍处于相对安全的状态,不会被他人轻易获取。科研院所通过加密存储的方式,可以有效的保障内部核心、重要数据的安全,并可以通过对“密钥”复杂度的设置,加大破译的难度,从而有效的降低信息泄露风险。
2.4网络配置入侵检测系统
入侵检测系统是为了充分保证计算机网络安全,而配置的一种能够及时发现并报告系统中未授权或异常现象的设备。它能在入侵攻击对系统发生危害前,检测到入侵攻击并及时提醒管理人员采取防护措施。通常情况下入侵检测系统可以与防火墙产生联动,一旦检测到入侵行为,直接关闭对应攻击源所使用的网络地址及端口。
2.5病毒防护技术及策略
当前随着计算机病毒种类的日益增多,危害程度不断增大,对计算机信息网络安全构成极大的威胁。科研院所的内部网络大部分与互联网物理隔离,在病毒更新方面往往存在滞后现象。科研院所在病毒防护策略制定方面,一方面需要尽量缩短内网杀毒软件滞后更新的时间。另一方面需要建立并完善中间机管理制度,做好中间机病毒库的实时更新,当信息输入内部网络之前,需在中间机上进行查杀,确认未感染病毒后方可导入内网网络。
2.6采取数字证书,完善身份认证
利用数字证书的方式进行身份认证,可以对信源的完整性和真实性进行保护和鉴别,满足用户的安全需求,防止和抵御各种安全威胁和攻击手段。在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。科研院所的内网系统中通过建立PKI体系,实现用户身份的唯一性和可控性。采取PKI/CA数字证书系统为应用系统提供身份认证、数据保密、数据完全、行为抗抵赖以及权威性的身份管理等安全服务。针对不同的安全级别要求,信息系统采用不同的身份认证方式,如数字证书认证方式,域认证方式等。
2.7完善内部信息安全管理体系
科研院所通过制定信息安全管理制度,加强计算机网络信息安全的规范化管理,不断的引入新型的安全保密技术,强化使用人员和管理人员的安全防范意识,逐步建成完善的内部信息安全管理体系,才能保障计算机网络安全的长治久安。
结束语:
伴随着信息技术的飞速发展,计算机网络系统面临的安全问题愈发严重。我们围绕科研院所计算机网络信息安全的现状,对存在的安全隐患进行逐项分析,并针对性的制定了防护策略,对做好科研院所计算机网络信息安全有着重要的参考意义。
作者:薛松 单位:中国电子科技集团公司第十六研究所
