首页 资料文库 期刊中心 杂志订阅 投稿指南 SCI期刊
美章网 精品范文 网络安全防护手段范文

网络安全防护手段范文

前言:我们精心挑选了数篇优质网络安全防护手段文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

网络安全防护手段

第1篇

无论是教学目标的要求,还是社会的发展需要,网络工程的教学工作都要将学生动手能力以及实际操作能力作为根本的培养目标,不仅要革新教学理念,更要不断的引进先进的教学方法,让学生在虚拟的条件下切实的感受到网络命令的作用,从而提高教学效果。仿真的网络环境,具有较低的经济投入,不仅可以对计算机网络的参数进行配置,还可以为学生提供一个操作简单的实践环境,通过仿真器的网络搭建,造就了完美的仿真软件,提供了生动的仿真平台,使得计算机网络中的各种算法。协议以及数据交换的过程能够更加真实生动的展示在学生面前,使得抽象难懂的模拟协议变得通俗易懂,增强了学生的理解能力,获得更好的应用体验效果。

2Ping命令

2.1参数功能

网络的安全性是整个计算机系统的重要环节,对网络环境的稳定性有着关键的影响,目前常见的网络系统配备的都是Ping命令,这种命令使用的正确与否关系着软件资源能否被正确识别、关系着软件的不足能否得到及时的弥补以及能否及时的排除系统的故障,保证系统的正常运行。在计算机的网络系统中,Ping命令主要用来发出或者对接收进来的DOS命令做出响应,可以是应发出者的要求发送出同等大小的数据包,也可以根据数据的传递与使用判断主机的位置,进而对操作系统做出判断,其基本的参数功能便是能够根据主机与路由器的提示进行网络运行状态的检测、网络通达性的测试以及系统的故障检测与报告,正是这些参数功能的存在,保证了其完成任务效率与质量,对计算机网络的构建与发展做出了巨大贡献。

2.2功能分析

由于ping命令多功能性,所以其常常被用来替代专业的网路测试,进而实现对于系统的监控。在进行网络测试的过程中,ping命令会通过一级ARP命令查看系统的IP,如果能够顺利的拼出系统的地址信息,则表示适配器工作正常,反之则表示网络出现了故障,同时在网络故障的条件下,保证本机主卡的运行状态;其次,则是查看本地循环的IP地址,如果不能够顺利进行,则表示本地的网络出现了故障,本地的IP没有处于正常的工作状态;最后,便是对DNS进行测试,如果在检测的时候不能够顺利的连接到这台主机,则表示网络检测工程可能存在着故障。在对网络系统进行检测的过程中,可能会出现因为网络环境的差异性诊断工具无法生效的情况,这就需要从ping命令着手,对故障进行检测与排查。其需要首先保障主机的正常运行,在确定没有安全设置的限制条件下,便可以开始使用ping命令进行特殊故障的排查了,当然首先便是使得ping命令能够ping通,如果不能够ping通,则表示网卡已经损坏了;此时便可以通过设备管理器打开网卡,通过鼠标右键的方式查看网卡的运行状态;在网卡正常工作的条件下,则表示工作站的程序受到了破坏,以此来对故障进行定位与推断。

3其他的网络命令

在网络系统的创建使用过程中,除却Ping命令还有较常见的Tracert命令、ARP命令、Netstat命令以及SOCKE命令。Tracert或者说跟踪路由命令是比较实用的跟踪追踪程序,是对IP数据进行访问的实用方法;Netstat命令的主要功能便是对路由表、网络连接状态以及网络接口等基本的信息进行显示,并保障早信息传递的过程中用户能够正常的使用网络;ARP命令多用于确定物理地址,看到本机或者其他计算机的缓冲内容。Socke编程或者开发命令,能够通过Socket技术实现对于计算机的高水平管理,作为应用层与通信协议之间相互联系的中间软件,其利用一连串的接口来工作,并通过将设计模式隐藏在接口的后面来适应协议的要求,并通过C/S模式来进行初始化,在监听的同时保障客户端的连接,从而实现网络在故障检测的过程中的正常使用。

4结语

第2篇

在大型的企业网络中不同的子网各有特点,对于网络安全防护有不同的等级要求和侧重点。因此,网络安全域的“同构性简化”思路就显得非常适合安徽中烟网络安全防护的需求,下面将具体介绍安徽中烟基于安全域的网络安全防护体系建设思路。

网络安全域是使网络满足等级保护要求的关键技术,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全防护手段。通过建设基于安全域的网络安全防护体系,我们可以实现以下的目标:通过对系统进行分区域划分和防护,构建起有效的纵深防护体系;明确各区域的防护重点,有效抵御潜在威胁,降低风险;保证系统的顺畅运行,保证业务服务的持续、有效提供。

1安全域划分

由于安徽中烟网络在网络的不同层次和区域所关注的角度不同,因此进行安全域划分时,必须兼顾网络的管理和业务属性,既保证现有业务的正常运行,又要考虑划分方案是否可行。在这样的情况下,独立应用任何一种安全域划分方式都不能实现网络安全域的合理划分,需要多种方式综合应用,互相取长补短,根据网络承载的业务和企业的管理需求,有针对性地选择合理的安全域划分方式。

1.1安全域划分原则

业务保障原则安全域划分应结合烟草业务系统的现状,建立持续保障机制,能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。结构化原则安全域划分的粒度可以从系统、设备到服务、进程、会话等不断细化,在进行安全域划分时应合理把握划分粒度,只要利于使用、利于防护、利于管理即可,不可过繁或过简。等级保护原则属于同一安全域内的系统应互相信任,即保护需求相同。建立评估与监控机制,设计防护机制的强度和保护等级。要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。生命周期原则安全域的划分不应只考虑到静态设计,还要考虑因需求、环境不断变化而产生的安全域的变化,所以需考虑到工程化管理。

1.2安全域划分方式

1.2.1安全域划分模型根据安徽中烟网络和业务现状,安徽中烟提出了如下安全域划分模型,将整个网络划分为互联网接口区、内部网络接口区,核心交换区,核心生产区四部分:核心生产区本区域仅和该业务系统其它安全子域直接互联,不与任何外部网络直接互联。该业务系统中资产价值最高的设备位于本区域,如服务器群、数据库以及重要存储设备,外部不能通过互联网直接访问该区域内设备。内部互联接口区本区域放置的设备和公司内部网络,包括与国家局,商烟以及分支烟草连接的网络。互联网接口区本区域和互联网直接连接,主要放置互联网直接访问的设备。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。核心交换区负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。

1.2.2安全域边界整合1)整合原则边界整合原则是主要依据分等级保护的原则和同类安全域合并。分等级防护是安全域方法的基本思想,这自然不必多说,同类安全域合并原则在落实时应以一下思想为指导:集中化:在具备条件的情况下,同一业务系统应归并为一个大的安全域;次之,在每个机房的属于同一数据业务系统的节点应归并为一个大的安全域。跨系统整合:不同的数据业务系统之间的同类安全域应在保证域间互联安全要求的情况下进行整合,以减小边界和进行防护。最小化:应将与外部、内部互联的接口数量最小化,以便于集中、重点防护。2)整合方法为了指导边界整合,安徽中烟提出了两种边界整合方法、适用场景。这些边界整合方法都侧重于跨系统或同一系统不同节点间的边界整合,侧重于数据业务系统与互联网、外部系统间的接口的整合。(1)单一传输出口的边界整合此种整个方法适用于:具备传输条件和网络容灾能力,将现有数据业务系统和互联网的传输接口整合至单一或几个互备接口。(2)多个传输出口的边界整合此种整个方法适用于:数据业务系统和互联网之间有多个物理位置不同的接口,并且尚不具备传输条件整合各接口。

2安全防护策略

2.1安全防护原则

集中防护通过安全域划分及边界整合后,可以形成所谓的“大院”,减少了边界,进而可以在安全域的边界和内部部署防火墙、入侵检测系统的网络探头、异常流量检测和过滤设备、网络安全管控平台的采集设备、防病毒系统的客户端等基础安全技术防护手段,集中部署基础安全服务设施,对不同业务系统、不同的安全子域进行防护,共享其提供的安全服务。分等级防护根据烟草行业信息安全等级保护要求,对不同的数据业务系统、不同的安全子域,按照其保护等级进行相应的防护。对于各系统共享的边界按“就高不就低”的原则进行防护。纵深防护从外部网络到核心生产域,以及沿用户(或其他系统)访问(或入侵)系统的数据流形成纵深的安全防护体系,对关键的信息资产进行有效保护。

2.2系统安全防护

为适应安全防护需求,统一、规范和提升网络和业务的安全防护水平,安徽中烟制定了由安全域划分和边界整合、设备自身安全、基础安全技术防护手段、安全运行管理平台四层构成的安全技术防护体系架构。其中,安全域划分和边界整合是防护体系架构的基础。

2.2.1设备自身安全功能和配置一旦确定了设备所在的安全域,就可以根据其落入的安全域防护策略对设备进行安全功能设置和策略部署。针对设备的安全配置,安徽中烟后期会制定《安徽中烟设备安全功能和配置系列规范》提供指导。

2.2.2基础安全技术防护手段业务系统的安全防护应以安全域划分和边界整合为基础,通过部署防火墙、入侵检测、防病毒、异常流量检测和过滤、网络安全管控平台等5类通用的基础安全技术防护手段进行防护。在通用手段的基础上,还可根据业务系统面临的威胁种类和特点部署专用的基础安全技术防护手段,如网页防篡改、垃圾邮件过滤手段等。

防火墙部署防火墙要部署在各种互联边界之处:

–在互联网接口区和互联网的边界必须部署防火墙;

–在核心交换区部署防火墙防护互联网接口区、内部互联接口区和核心生产区的边界;

–在内部互联接口区和内部网络的边界也需部署防火墙。考虑到内部互联风险较互联网低,内部互联接口区防火墙可复用核心交换区部署的防火墙。另外,对于同一安全域内的不同安全子域,可采用路由或交换设备进行隔离和部署访问控制策略,或者采用防火墙进行隔离并设置访问控制策略。入侵检测设备的部署应在互联网接口区、内部互联接口区必须部署入侵检测探头,并统一接受网管网集中部署的入侵检测中央服务器的控制。在经济许可或相应合理要求下,也可在核心交换区部署入侵检测探头,实现对系统间互访的监控。防病毒系统的部署运行Windows操作系统的设备必须安装防病毒客户端,并统一接受网管网集中部署的防病毒中央控制服务器的统一管理。同时,为了提高可用性和便于防护,可在内部互联接口区部署二级防病毒服务器。异常流量检测和过滤可在数据业务系统互联网接口子域的互联网边界防火墙外侧部署异常流量检测和过滤设备,防范和过滤来自互联网的各类异常流量。

网络安全管控平台网络安全管控平台应部署在网管网侧,但为了简化边界和便于防护,建议:

–在内部互联接口区部署帐号口令采集设备以实现帐号同步等功能。

–在内部互联接口区必须部署日志采集设备,采集业务系统各设备的操作日志。

2.2.3应用层安全防护数据业务系统应用安全防护主要是防范因业务流程、协议在设计或实现方面存在的漏洞而发生安全事件。其安全防护与系统架构、业务逻辑及其实现等系统自身的特点密切相关。安徽中烟通过参考IAARC模型,提出鉴别和认证、授权与访问控制、内容安全、审计、代码安全五个防护方面。

2.2.4安全域的管理除了实施必要的安全保障措施控制外,加强安全管理也是不可缺少的一个重要环节。安全域管理主要包括:从安全域边界的角度考虑,应提高维护、加强对边界的监控,对业务系统进行定期或不定期的风险评估及实施安全加固;从系统的角度考虑,应规范帐号口令的分配,对服务器应严格帐号口令管理,加强补丁的管理等;人员安全培训。

第3篇

随着信息安全技术的不断发展深化,单纯的层次化方法已经不能适应新的安全形势,必须以体系化思想重新定义纵深防御,形成一个纵深的、动态的安全保障框架,亦即纵深防御体系。纵深防御体系是一种信息安全防护系统设计方法论,其基本思想是综合治理,它以信息安全为中心,以多层面安全手段为基础,以流程化管控为抓手,以贯穿信息系统的生命周期为管理范畴,采用等级化的思想,最终形成手段纵深、级别纵深、流程纵深的防御与保障体系,以等级化为原则等级保护作为国家信息安全的一项制度,为关系到国计民生的各类重大信息系统的安全防护提供了指导思路。等级保护的主体思想在于等级化和差异化,即为不同等级的保护对象提供合理的防护措施。纵深防御体系的建设,不能是防护设施和防护手段的一味堆砌,而是要以等级化为指导思想,充分考虑防护目标的等级特征,在防控框架、控制流程、生命周期管理等各个方面,都需要划分相应的等级,以等级特征为基础,提供合理的防护。没有等级标的的防护是盲目的,不仅浪费大量的人力物力,而且还会导致安全措施、手段脱离需求,造成防护手段不到位。以信息安全为中心信息是业务系统的产物,是各项业务的最终承载者。诸多单位、人员、系统进行的各项工作,其价值都体现在信息上,可以说信息是业务系统的核心所在。因此信息的安全是纵深防御体系的中心,保障信息安全也是纵深防御体系实施的最终目的。纵深防御体系建设必须围绕信息安全保障展开。以多层次安全手段为基础为实现信息安全,必须从4个层面加以控制防护:法律、规范、标准、制度,安全管理,物理安全,网络安全,系统安全,应用安全以及信息安全。信息安全包括了保护信息的保密性、完整性、可用性、不可否认性等安全属性的各类防护措施;应用安全包括计算机硬件、软件、数据库、操作系统安全等,以提供安全可靠的计算机系统作为保障。网络安全包括身份认证、访问控制、防病毒、数据传输的加解密等等,以提供安全的网络环境。物理安全是各类逻辑防护手段的基础,物理环境不安全,其他逻辑防护的安全性也无从谈起。这一系列的防护手段,都需要进行统一的管理,才能协调一致,才能保证防护的有效性。而管理的实施和技术方法手段的管理、部署以及运行管理都需要政策、规程、操作和组织架构等方面构成的政策框架来支撑和维护。这七个层面形成的控制框架是纵深防御体系的基础。

以流程化管控为抓手安全防护与管理一定是动态过程,再稳固的静态防护措施,最终都会在新型漏洞和威胁下土崩瓦解。因此,纵深防御体系的实施必须要实施流程化管控,其中包括四个阶段:防护、感知、决策和响应,并不断循环往复。防护是指对网络设备、业务系统、信息等采取的各类防护手段,即按照控制框架实施的防护措施。感知主要完成对网络中各类安全事件的监控,包括对网络空间的网络行为、网络资源状态、用户行为、网络流量、设备状态和系统脆弱的感知等。决策为安全事件的处理提供评判依据,包括了对防护对象和防护措施的等级划分和管理、安全事件的关联分析、安全风险评估、安全事件预警等。响应则完成对安全事件的处理过程,包括应急措施、灾难恢复、网络阻断、病毒删除、系统加固等措施。通过流程化管控的不断循环重复,及时调整安全防护策略,保证了安全防护系统防护效能的不断提升。以信息系统的生命周期为管理范畴信息系统的生命周期包括设计、建设、运行以及终止四个阶段。之所以出现信息系统建设和安全防护系统建设“两张皮”的情况,主要原因是在信息系统设计过程中,没有充分考虑安全防护需求,导致后期的安全防护手段只能在信息系统的修修补补,不能起到合理的防护作用。另外,由于日常防护管理只注重系统运行时的管理,而在系统终止后疏于监管,由此导致的信息丢失现象也日益严重。因此,为避免信息失控,纵深防御体系必须涵盖信息系统的生命周期全过程。在设计过程中,充分进行风险分析,紧密贴合安全防护需求,设计信息安全防护系统。在建设阶段,信息系统与安全防护系统同步建设,避免安全防护系统与信息系统的整体业务需求脱节。在运行阶段,实施安全防护,并依据信息系统的新变化,及时调整安全策略和安全配置。在信息系统终止阶段,应该具有完善的系统注销制度和管理规范,保证在系统中残留的有用信息不外泄,进而从信息系统的整个生命周期保证信息安全。总之,纵深防御体系并不是传统意义上的防护位置的纵深,也不是网络协议层次的纵深,而是深人贯彻等级化保护的思想,在信息系统的整个生命周期,采用合理化的防护和管理控制框架,实施不断循环的流程化管控,进而形成一体化的、动态的防护与保障框架,提供合理、有效的信息安全保护。纵深防御体系需要强调人的管理通常情况下,信息安全系统的实施具有三个层次。最低层次是技术手段建设。在这个阶段,主要以防护手段建设为主,部署防火墙,采用加密传输,实施身份认证、授权等等,这些技术手段都以消除某种特定威胁为主要目标,具有很强的局限性。第二层次为安全管理。经过第一阶段的手段建设,使每一种风险都有相应的措施应对,但是过多的手段带来的就是管理上的问题。

诸多防护系统的升级、维护和管理,成为维护人员的噩梦。各个防护措施间的协调配置也给维护人员提出了很高的挑战。保护对象是否安全已不是防护措施是否得当的简单问题,维护人员的负责程度、能力高低成为决定防护措施是否成功的关键,而这些因素是极不稳定的,迫切需要统一的安全管理规范、流程、措施来规范系统维护人员的操作,并建立管理系统来协助维护人员完成各项工作,确保实现稳定、有效的安全防护。第三层次为人的管理。技术上的问题一定是可以解决的,但人的问题是一个复杂问题,人是信息安全领域最不安全的因素。即便是制定了严格的规章制度,建立了全面、稳定的安全防护体系,如果人不遵守这些制度,违规操作或者无意行为,都可能绕过防护体系。在这种情况下,整个安全防护系统就像是马其诺防线一样形同虚设。因此,要实现纵深防御,必须强调对人员的管理。规范员工的安全操作行为,加强员工的安全意识培训,提升员工对安全的认识高度,从意识形态领域提高信息安全防护的强度。这不仅要求单位个体的努力,还需要全社会的共同努力,为我们的网络安全提供一个良好的人文环境。

作者:安辉耀 张鹏

第4篇

关键词:高校;网络安全建设;思考

1引言

网络安全,指的是计算机网络系统的安全,不仅包括网络系统正常运行的硬件、软件环境安全,也包括网络传输的资源、数据等信息安全[1]。网络安全不仅关系到我们每一个公民,更是事关国家安全的重要问题。高校作为培养当代大学生的主要阵地,在网络安全建设及教育方面更是肩负着重要的责任。面对信息泄露等校园网络安全问题以及日趋严峻的网络安全形势,如何保障高校网络安全建设的稳步推进,已经成为重中之重。

2网络安全建设存在的问题

高校网络安全建设存在一些问题,主要有以下几点。(1)网络安全专业人员不足目前高校已基本上实现校园网络全覆盖。有成千上万的网络计算机,但与之配套的网络安全管理员却严重不足,甚至没有专职的网络安全管理员[2]。而且大部分网络安全管理人员没有接受过系统化的岗前培训,安全责任意识单薄,专业素养不够高,网络安全专业人员及其技能都存在严重不足。(2)师生网络安全意识不强高校网络的使用主体为本校师生,群体庞大,且大部分高校未开展系统、全面、全覆盖的网络安全主题教育,导致用户群体网络安全防范意识不强。部分教师在使用计算机时对病毒防护、密码保护、漏洞修复等基础网络安全操作无意识,使得计算机很容易被入侵而造成数据及资源丢失[3]。一些学生在面对复杂的网络环境时,由于猎奇心理及感情用事,可能会采用一些诸如“翻墙”等威胁高校网络安全的行为或者网络暴力等激进行为。(3)网络安全防护体系不完善截止到目前,很多高校尚未认识到加强网络安全管理的重要性,缺乏一套完善的网络安全防护体系。领导重视不够,未形成专门的网络安全领导小组;资金投入不足,无法购买各类网络安全防护设备;管理制度不完善,无应急预案等;技术防护手段不足,缺少各类必须的技术防护手段;网络安全人员不足,未设置网络安全技术专岗等。这些都是当前高校网络安全面临的突出问题。

3加强高校网络安全建设的对策

3.1网络安全防护体系

高校网络安全建设应以人员组织为基础,以管理制度为依据,以技术防护为手段,三管齐下,切实保障好高校的网络及信息安全。

3.1.1人员组织体系自上而下,建立起管理决策层、组织协调层、落实执行层的三层架构人员组织体系。管理决策层统一领导网络安全工作,研究制定网络安全发展规划,决策网络安全建设中的重大事项等。组织协调层统一协调学校网络安全建设工作,负责网络安全及运行保障项目的建设、改造、升级、维护等方面,负责制度与人员队伍建设等。落实执行层负责具体工作的落地执行。

3.1.2管理规范体系规范化是制度化的最高形式,是一种非常有效和严谨的管理方式。完善的管理规范体系是保障网络安全的法律基础,是通过建立标准规范来约束用户行为的制度。其实现的过程就是规范管理的过程。管理规范体系包括网络安全责任制、网络安全管理规范、应急响应机制、网络安全通报制度等方面的内容。(1)网络安全责任制按照“谁主管谁负责、谁运行谁负责”的原则,明确网络安全工作责任主体,各部门应有专人专岗负责网络安全具体工作,细化网络安全各关键岗位安全管理责任,签订安全责任书,建立安全责任体系,形成网络安全工作长效机制。(2)网络安全管理规范建立健全网络安全管理制度,明确信息系统管理、数据管理、信息管理、网站、微信、微博和移动应用管理、电子邮件管理、交互式栏目管理等的管理规范,使所有的网络安全活动都有规范可依,有制度约束。(3)应急响应机制制定完善网络安全应急预案、明确应急处置流程、处置权限、落实应急技术支撑队伍,强化技能训练,强化技能训练。至少一年两次开展网络应急演练。通过模拟网络安全事故现场环境,提高应急处置能力。(4)网络安全通报制度定期开展安全检查,全面、细致地排查安全隐患,并定期对检查结果进行通报,督促相关部门落实整改。如通过《网络安全简报》、《信息化简报》等手段,通报各业务系统漏洞扫描、数据备份、日志审计、数据库审计等各项安全指标,督促相关部门做好网络安全责任落实。

3.1.3技术防护体系网络安全及运行保障是一项系统工程,对系统的过程要素、组织结构和结构功能进行分析,主要分为预警层次、检测层次、保护层次、响应层次四个层级。预警层次主要是发现问题、记录问题和预警问题。检测层次主要是发现服务器存在的安全漏洞、安全配置问题、应用系统安全漏洞,形成完整的安全风险报告,帮助安全人员查漏补缺,防范风险于未然[4]。保护层次是对网络运行的实时保护,包括拒绝服务、入侵检测、流量分析、数据防泄露等。响应层次是对安全事件进行及时的响应,包括数据库审计、安全监管、安全服务等。

3.2网络安全宣传教育

维护高校网络安全是全校师生共同的责任,维护网络安全不仅需要学校的防护体系,更需要广大师生的共同参与,网络安全这道防线才能筑得牢固。因此,在制定完善的网络安全防护体系的基础上,更要通过定期的安全培训、知识讲座和学术交流,使全校师生不断增强网络安全意识,掌握网络安全知识,并有效提升各类网络安全事件的风险防范能力,进一步营造一个安全、健康、文明、和谐的网络环境。

4结束语

高校网络安全体系的建设是一个数据庞大、层次复杂、多点防御的工程,涉及到人员组织体系、管理规范体系、技术防护体系等多个层面。其建设的完成不是一蹴而就的,需要从全局进行总体规划,分步实施,才能实现高校网络安全管理的最终目标[5]。

参考文献

[1]王乔平.浅谈对网络安全的认识.信息系统工程,2019(07):78

[2]李佳霖.高校网络安全管理的现状及对策.通讯世界,2019,26(05):17-18

[3]文理卓,李东宸,郑宪,董石.浅析高校网络安全管理及对策探讨.中国管理信息化,2019,22(14):153-154

[4]梁艺军.高校Web网站安全防护策略.中国教育网络,2015(02):57-58

第5篇

关键词:军队计算机网络;安全防护

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)22-5312-02

随着信息军事时代的来临,“网络中心战”、“网络中心行动”成为当前军事领域战争行动的基本方式。军队计算机网络是实施网络中心战、网络中心行动的关键基础设施,是敌重点攻击的对象,其安全防护情况直接关系其效能作用的发挥,关系到战争的胜负,因此必须认真研究分析其安全形势,剖析存在问题,采取有力措施,提高安全防护能力。

1军队计算机网络安全形势分析

1.1形势的严峻性

信息军事时代,信息安全成为军队安全的重中之重。军队计算机网络是承载信息的重要平台,围绕网络展开的信息窃密与反窃密斗争正愈演愈烈。一些国家和地区利用网络大肆窃取我军秘密信息,并综合盗用黑客、木马、病毒攻击及窃取等多种信息作战手段对我网络进行破坏,严重威胁着国家和军队安全。

1.2威胁的多元性

军队计算机网络虽然在物理上与其他网络隔离,但是由于系统建设规模大、涉及领域广、组织结构复杂、缺乏严密的法规标准,使得军队计算机网络安全防护异常困难,从某种意义上讲,计算机网络上任何一个环节和关节点的被突破,都可能使全网和全系统瘫痪,后果不堪设想。

1.3事件的突发性

计算机网络安全威胁往往具有潜伏性和不可预测性,对被攻击方而言安全事件呈现出极强的突发性,被攻击方往往会丧失宝贵的防御时间,为信息安全事件处置带来极大的挑战,计算机网络安全威胁中的很多事件还没有被察觉,就已经造成不可预料的损失。目前,计算机芯片、骨干路由器和微机主板等核心技术多数仍由国外进口,一旦敌对势力在特定的时间激活恶意程序,就可以在我们毫无察觉的情况下瞬间发起攻击,造成整个系统的瘫痪。

1.4处置的艰巨性

信息化条件下,信息争夺空间巨大、流动性强,领域不断拓展,安全隐患不断增多。而当前部队部分人员信息安全观念淡薄;安全防护技术手段落后,针对性应急处置手段缺乏;法规制度不完备,组织安全防护力度差,对部分安全事件防护处置策略缺少相应的规范和力量。军事网络失泄密一旦发生,将导致整个网络震荡,失密影响范围广泛,泄密后果十分严重。

2军队计算络安全存在的主要问题

计算机网络安全保密工作十分重要,目前,我军计算机网络安全方面还存在以下问题:

2.1网络安全防护意识比较淡薄

目前,部队计算机网络建设普遍受到高度重视,但是有些单位仅仅看到网络建设带来的显著效益和便利,而对计算机网络系统安全防护建设同步规划、同步建设的认识较为短浅。从计算机网络安全防护系统建设投入看,国外计算机网络安全防护投入占整体投入的10-20%,我国仅占到2-5%,不足国外的四分之一,军队在此方面的投入也明显不足。同时,受长期和平环境影响,“有密难保、无密可保”的思想意识普遍存在,对网络安全问题关注不够,思想意识比较淡薄,影响到计算机网络整体安全防护建设的发展。

2.2网络安全防护建设相对滞后

我军围绕作战应用需求,重点加强了光纤传输链路建设,网络基础已经比较配套,但安全防护建设却明显滞后。部分单位未对网络进行防火墙、保密机配套建设;相当数量的终端没有安装防病毒系统;入侵检测没有完全发挥起作用;安防系统系统建设各自为战,无法形成整体安全防护体系等,这些都制约了计算机网络安全防护整体水平的发展。。

2.3网络安全防护标准尚未健全

当前,我军陆续颁布了一系列与网络信息安全相关的法律法规,但在安全保密等级划分、网络安全体系规范、网络安全策略制定、网络防护手段使用规范等方面仍存在不足。例如,对军队网络安全体系建设标准中部分设备、系统未进行明确;安全防护等级虽已明确,但配套手段还没有统一进行明确,无法达到最佳防护。同时,制度标准的落实情况也令人堪忧,有令不行、有禁不止的现象随处可见,这些都对军用计算机网络系统带来了巨大的安全隐患。

2.4网络核心技术受制于人

虽然近年来我国的信息技术得以飞速发展,但仍没有摆脱技术落后的局面,特别是计算机芯片、操作系统、路由协调等核心技术仍然没有摆脱国外的束缚。目前,我军大多数信息网络采用的都是微软的windows系列操作系统和TCP/IP、IPX/SPX等网络协议,这些系统的共同特点是在设计之初主要考虑了易用性而忽视了系统安全性,使军事信息网络自身从建设之初就存在安全隐患。

3加强军队计算机网络安全防护的对策措施

计算机网络应用与安全防护问题相生相伴,是“矛”和“盾”的关系,信息安全问题将长期存在,不可能彻底避免和消除。为此,必须着眼防患于未然,积极建设计算机网络安全防护体系,有效提升网络安全防护能力,确保“非法用户进不来,秘密信息取不走,网络平台摧不垮”。

3.1强化人员安全防护意识

强化军队人员的信息安全意识,一是通过大众传播媒介,增强信息安全意识,普及信息安全知识,依托信息服务网站开设信息网络安全知识普及专栏,提高安全防护能力,增强部队官兵信息安全防范意识。二是积极组织各种专题讨论和培训班,培养信息安全人才,使部队有计算机网络安全防护方面的“明白人”。三是要积极开展安全策略研究,明确安全责任,增强人员的责任心,全面提高部队信息安全防护能力。

3.2建立健全安全管理机制

针对我军军事信息网络安全防护现状,制定和完善军队计算机网络建设、管理与安全防护机制,确立网络安全防护工作科学、合理的运行机制。一是配套法规标准。建立健全制度规定,明确各级责任、措施、手段;制定标准规范,明确建设技术体制;规划安全策略,明确设备系统防护标准,以完善网络安全法律体系,使信息安全管理走上法制化轨道,确保信息网络安全有法可依、有章可循。二是建立协调机制。信息安全防护工作涉及多个业务职能部门,加强部门之间的相互协调、相互补充、统一规划、统一管理,提升整体防护能力。三是组建安全队伍。建立计算机网络安全防护中心,明确安全防护机制,建立安全防护组织领导管理机构,明确领导及工作人员,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏网络信息安全的事件进行调查和处理,确保网络信息的安全。

3.3构建安全技术防护体系

重点加强四个体系建设:一是安全监察体系。建立健全网络安全监察机制;配套建设计算机网络入侵检测、流量分析、行为审计等系统,增强安全事件的融合分析能力;配备安全管理系统,实现对全网安全策略的统一管理和控制;加强安全服务保障体系建设,提供病毒库升级、补丁分发、安全预警等安全服务,通过各系统的综合应用,提高网络的综合安全分析能力。二是终端防护体系。建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设;强化系统访问控制,设定用户访问权限,防止非法用户侵入或合法用户不慎操作所造成的破坏;加强实体鉴别,保证用户在获取信息过程中不受干扰、不被假冒,确保用户终端实体的可信;加强身份认证,为设备、用户、应用等颁发数字证书,并提供数字签名、身份验证、访问控制等服务,防止非授权接入和访问;加强终端保护,进行终端操作系统的安全加固,防止非法登录网络,保证终端资源的可控;提供病毒防护功能,适时查杀病毒、检查漏洞;提供主机入侵检测功能,防止对终端的攻击行为,从而全面建立终端防护体系,为终端用户构造一个安全环境。三是安全评估体系。按照军队有关防护标准,综合运用漏洞扫描、取证分析、渗透测试、入侵检测等系统和手段对网络进行扫描分析,客观分析网络与信息系统所面临的威胁及其存在的脆弱性,对安全事件可能造成的危害程度进行科学的定性定量分析,并提出有针对性的防护对策和整改措施,全面防范、化解和减少信息安全风险。四是应急响应体系。加强信息安全应急支援队伍建设,明确应急响应处置方法及原则;充分考虑抗毁性与灾难恢复,制定和完善应急处置预案根据安全级别的要求来制定响应策略;建立容灾备份设施系统,规范备份制度与流程,对域名系统、网管系统、邮件系统及重要业务系统等重要信息、数据适时进行备份,确保系统崩溃以后能够在最短时间内快速恢复运行,提高信息网络的安全性和抗毁性。

3.4发展自主信息安全产业

自主信息产业或信息产品国产化能够为信息安全提供更高保证。要加强计算机网络安全保密设备和系统的“军产化”,“独立化”建设。为此,应抓好以下几个方面的工作:一是组织核心技术攻关,如研发自主操作系统、密码专用芯片和安全处理器等,狠抓技术及系统的综合集成,以确保军用计算机信息系统安全。二是加强关键技术研究,如密码技术、鉴别技术、病毒防御技术、入侵检测技术等,有效提高军用计算机网络的安全防护能力。三是寻求监测评估手段,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等,构建具有我军特色、行之有效的计算机网络安全保密平台,实现网络及终端的可信、可管、可控,摆脱网络安全受制于人的被动局面。

军队计算机网络安全防护涉及要素众多,是一个系统的整体的过程。在进行防护时,要充分认清计算机网络安全面临的严峻形势,认真查找存在的问题,系统整体的采取有针对性的防范措施,从而提高网络安全防护能力。

参考文献:

[1]曹旭.计算机网络安全策略探讨[J].计算机安全,2011(21).

[2]刘萍.计算机网络安全及防范技术探讨[J].科技信息,2010(15).

[3]吴世忠,江常青.信息安全保障基础[M].北京:航空工业出版社,2010.

第6篇

关键词 计算机网络;安全防护;关键技术

中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)15-0065-01

计算机网络是现代数字信息传输与存储的主要通道之一,随着其在日常应用中的深入,基于网络的信息安全问题越来越多,针对网络信息的信息窃取与泄露事件时有发生,因此建立完善可用的计算机网络安全防护体系显得日趋重要。为提供高效可靠的安全防护性能,诸多安全防护技术被应用到计算机网络,如数据加密与签名认证、主动防御技术、网络访问控制技术、防火墙技术等。这些技术在某些方面具有良好的应用效果,但是存在一定的应用局限性。为提升计算机网络的适应性、动态性和灵活性,必须应用多种相互匹配的安全防护技术构成安全防护体系,为计算机网络提供足够的安全防护措施。

1 计算机网络安全防护体系

传统的计算机网络安全防护更多集中在网络运行过程的安全防护技术应用,但是随着网络攻击手段的演变与增加,传统的防火墙技术、数据加密技术、用户身份认证技术等安全防护手段已经无法满足应用需求,针对计算机网络的安全防护开始从被动防御向主动防御转变,由单独安全防护技术应用向网络安全防护体系建设发展。综合来看,计算机网络安全防护体系主要由三部分内容构成:网络安全评估部分、安全防护相关技术部分以及网络安全服务部分。每一部分中又包含若干具体的网络安全防护措施,他们共同作用向计算机网络提供安全防护服务。计算机网络的安全防护体系结构图如图1所示。

2 计算机网络安全防护体系中的关键技术

2.1 系统漏洞扫描

任何计算机网络中都不可避免的存在漏洞或缺陷,这些漏洞或缺陷一旦被恶意利用即有可能对计算机网络以及网络中的用户造成安全威胁。为解决和预防因漏洞所带来的安全问题,要定期对计算机网络进行漏洞扫描和漏洞修复。

2.2 网络访问与应用管理技术

为增强网络应用的规范性,同时提升网络安全问题发生后的追溯与分析能力,可以使用身份认证技术对网络用户进行身份认证,并为用户分配对应的网络操作权限。这一方面可以提升非法用户访问网络的难度,另一方面还可以对网络用户的异常操作行为进行记录与追踪。

2.3 防火墙技术

防火墙技术是一种内网与外网通信过程中的网络访问控制技术。该技术可以按照用户设定的安全防护策略对不同网络之间的信息传输与网络访问等行为进行监控与数据检查,以确认网络运行是否正常,数据通信是否被允许。目前常用的防火墙技术有包过滤防火墙、地址转换防火墙以及防火墙等三种。

其中,包过滤防火墙技术会对网络中传输的数据包进行地址审查,确认数据传输域发送地址是否可信任,若地址不可信则滤除该信息的接收与发送操作;地址转换防火墙技术可以将内网的IP地址转换为外网的IP地址,从而隐藏通信终端的真实地址,避免外网与内网终端之间建立直接通信连接;防火墙技术使用服务器技术将通信双方的通信数据进行接收与转发,使得客户端与网络服务器之间的数据通信需要经过两次通路才能够实现,这样便提升了内网的安全性。

2.4 入侵检测技术

入侵检测技术是一种主动防御技术,该技术可以应用多种相关技术制定与网络环境相匹配的安全规则,并利用该规则对从网络中获取的数据信息进行分析,进而对网络的运行状态进行监控,判断网络中是否存在安全威胁。入侵检测技术根据检测数据的类型可以分为异常检测与滥用监测两种。前者以用户的统计行为习惯作为特征参量来辨认网络中是否存在入侵行为,该技术是一种自适应技术,可用于对未知攻击行为进行检测与防御;后者则是以网络信息检测规则来判断是否存在入侵行为,由于该技术是基于规则而实现的,因而其主要用于对已知的攻击类型与攻击行为进行检测与防御。

2.5 数据加密与数字签名技术

数据加密技术主要用于防止数据在计算机网络传输过程中产生的信息泄露或窃取,其根据加密数据应用类型不同可以分为传输加密、存储加密以及完整性验证等三种。

在传输加密中,端加密技术可以将需要传输的明文数据信息转变为密文信息,该信息只有使用与之相匹配的解密算法和解密密钥才能够恢复成为正确的明文信息,线路加密技术可以对信息传输的路径进行加密,使数据的传输路径得到安全保护。

在存储加密中,数据加密算法可以将需要存储的信息转换为密文信息,该密文信息在需要存取时需要进行用户身份验证与权限审查,只有合法用户在其权限范围内才能够对数据进行相应的操作。

在数据完整性验证中,数据中包含了发件人、收件人以及数据相关内容的验证与鉴别信息,在验证数据完整性时需要数据使用对象按照相应的验证参数进行特征验证,确认信息是否完整或受到篡改。数字签名技术在数据完整性验证中具有非常重要的应用意义。

2.6 其他网络安全服务

为构成一个完整有效的网络安全服务体系,除了上述安全防护技术外,还应该在网络中提供应急保障服务,以确保出现安全问题时能够尽量减小问题所造成的影响,最短时间内将网络恢复到正常运行状态。这就要求一方面要建立和完善应急服务体系,如双系统待机等,保证一条网络出现问题时可以及时切换到备用网络;另一方面要建立和完善数据恢复体系,如服务器双热备份等,保证网络服务器出现数据损毁或缺失时能够存在备用数据库将其恢复。此外,科学规范的网络安全使用培训也是非常有必要的,其可以降低人为因素所带来的网络安全威胁。

参考文献

[1]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011,39(1).

第7篇

【关键词】云计算 网络安全技术 实现 路径

云计算是以计算机网络为基础的新型计算模式,包括网络计算和分布计算等。云计算具有高度的共享性,适用于大规模的数据计算。其技术核心基于计算机网络服务和数据存储,具有数据存储安全性高、操作简单、计算空间大、资源共享程度高等特点,极大的降低了对用户终端设备的要求。网络安全即计算机网络数据存储的安全防护,通过技术手段和管理手段的应用,可以保护网络数据的隐秘性,为数据完整性提供保障。

1 网络安全技术实现的重要性

在云计算网络环境下,采取有效的网络安全防护手段,可以保证数据在网络存储、传递的安全性。通过强化云计算网络安全技术,为用户的数据安全提供保障,避免发生数据泄露、数据丢失等问题。云计算网络的数据中心采用计算局广域网与局域网相结合的方式,能够实现不同地域、多级网络的备份,最大程度的提高用户数据的安全性,消除数据安全隐患,特别是可以有效避免传统存储方式下,用户终端设备丢失或损坏造成的数据丢失、数据泄露等问题。

云计算网络可以实现不同设备的资源共享,网络安全技术的实现,可以湿度降低对用户终端设备的性能标准,用户接入网络后可以利用网络上的设备资源进行数据除了和数据计算。在进行共享操作时,数据加密技术的使用可以为用户的数据安全提供保证。数据以加密状态存在于网络传递工程中,只有到达指定用户端后,才进行解密,在解密前还会对用户权限和解密密钥进行认证,只有通过验证才能成功进行数据解密。

另外,云计算网络安全技术的应用极大的提高了网络安全监测的能力。在云计算网络环境下,安全监测的有效范围可以实现最大化,能够对网络中的病毒、木马程序等进行有效的检测核控制,一旦发现网络病毒,服务器端会自动对病毒进行解析和处理,并为用户提供安全解决方案,进一步提升用户使用计算机网络的安全性。

2 云计算网络环境下的网络安全

云计算网络安全技术的应用分为多个方面,包括法律政策、网络环境、安全技术等多个层面。其中,技术层面的安全防护手段是保证云计算网络安全的根本。目前云计算网络安全面临的主要技术问题是当服务器端出现中断,用户就会处于被动地位,无法进行数据安全保护的操作。因此,于计算网络安全防护技术必须不断改进和提高,为用户提供全方位的安全保护。其次,云计算网络安全环境的构建也具有重要意义,其中面临的主要问题包括地址黑客攻击、防护PC端病毒在网络中传播等。在法律政策方面,目前尚未建立完善的法律体系,对云计算网络环境进行管理和约束,因此,云计算网络环境目前仍存在许多安全隐患。

3 云计算网络安全技术的实现路径

3.1 加强用户信息认证和数据签名技术的使用

数以亿计的网络用户是云计算网络的主要构成成分,正因为云计算网络的用户数量庞大,所以网络环境较为复杂。改善云计算网络环境,首先要对接入于计算网络的用户实行实名认真,明确网络的授权主体,不给恶意侵入的黑客群体留下可乘之机。加强网络安全的宣传力度和对网络信息传播的监督力度。确保网络安全技术应用的全面性和及时性,对机密数据进行定期检查,发现安全隐患,及时处理,避免造成机密数据泄露或被盗取。对没有经过授权的用户,整改数据信息,严格控制数据安全的操作流程。在数据传播过程中,采用数据签名的方式对数据信息进行实时保护。用户应妥善保护好自己的网络账和密码,定期更换密码,并保证密码的复杂性,不会轻易被破解。

3.2 积极研发新的网络安全技术

网络安全技术研发主要包括网络应用程序、服务器的研发、网络安全保护系统的研发设计等。尤其注重是病毒防护程序的研发设计,明确程序的详细安装步骤和操作步骤,利用新型的病毒防护程序提高计算机安全防护的敏感性。云计算网络环境下,用户计算机会经常接受到陌生的信息,要对来历不明的信息数据进行管理和控制,利用防火墙和杀毒软件,阻止其进入用户终端。利用云计算服务防止黑客入侵,妥善运用服务中的节省公网IP功能、缓冲功能、隐藏内网功能等,提升计算机网络的安全性。对计算机设置锁屏功能、防火墙功能。引导用户养成设置防火墙和杀毒软件的良好习惯,并注重软件的维护升级,通过技术更新应对各种新出现的病毒和网络攻击手段。

3.3 引进高强度的加密技术

通过使用针对计算机网络安全设计的过滤器,可以有效阻断被计算机系统识别出来的恶意信息和具有破坏性的程序。选择信誉良好的网络运行商和其提供的云计算服务,从而保证在云计算网络环境下,数据离开用户端系统的监控后,能够被更加专业的信息监管技术保护,保证数据在网络中存储和传递的安全性。加密技术是用户数据在网络传播状态下传播的根本保障,必须不断强化加密技术,积极引进先进的加密方法,提高密码强度,避免数据信息被轻易破解,从而避免用户数据被窃取或盗用。

4 结束语

总而言之,云计算技术的应用极大提高了计算机网络的数据处理和计算能力,在云计算网络环境下,要采取相应的网络安全技术,保证用户数据信息在网络环境下传递的安全性。

参考文献

[1]张林霞,何利文,黄俊.基于SDN网络的安全设备路由研究[J].计算机工程与应用,1-8.

[2]程开固.网络安全技术在云计算背景下的实现路径研究[J].网络安全技术与应用,2015(02):102-103.

[3]林文辉.基于Hadoop的海量网络数据处理平台的关键技术研究[D].北京邮电大学,2014.

[4]孟超.基于云计算的病毒恶意软件分析研究[D].南京航空航天大学,2013.

第8篇

【关键词】网络安全;动态防护体系;设计;实现

在信息高速发展的今天,全球化的网络结构已经打破了传统的地域限制,世界各地应用网络越来越广泛。但是随着通过对网络内部数据访问的不断增加,其不稳定因素也随之增加,为了保障网络环境的动态安全,应采用基于动态监测的策略联动响应技术,实现在复杂网络环境下的网络交换设备的实时主动防御。

1 动态安全防护机理分析

要实现网络交换设备的动态安全防护,必须能够在保证设备本身安全的前提下对进入设备的数据流进行即时检测和行为分析,根据分析结果匹配相应的响应策略,并实时将策略应用于网络交换设备访问控制硬件,达到阻断后续攻击、保护网络交换设备正常业务运行的目的。

2 设计与实现

2.1 安全主动防御模型设计

网络安全主动防御通过采用积极主动的网络安全防御手段,和传统的静态安全防御手段结合,构筑安全的防御体系模型。网络安全主动防御模型是一个可扩展的模型,由管理、策略和技术三个层次组成:

1)管理层是整个安全模型的核心,通过合理的组织体系、规章制度和措施,把具有信息安全防御功能的软硬件设施和使用信息的人整合在一起,确保整个系统达到预定程度的信息安全。

2)策略层是整个网络安全防御的基础,通过安全策略来融合各种安全技术达到网络安全最大化。

3)技术层主要包括监测、预警、保护、检测、响应。

监测是通过一定的手段和方法发现系统或网络潜在的隐患,防患于未然。预警是对可能发生的网络攻击给出预先的警告,主要是通过收集和分析从开放信息资源搜集而获得的数据来判断是否有入侵倾向和潜在的威胁。保护是指根据数据流的行为分析结果所提前采取的技术防护手段。检测是指对系统当前运行状态或网络资源进行实时检测,及时发现威胁系统安全的入侵者。响应是对危及网络交换设备安全的事件和行为做出反应,根据检测结果分别采用不同的响应策略。

这几个部分相辅相成,相互依托,共同构建集主动、被动防御于一体的网络交换设备安全立体防护模型。

网络安全预警模块通过网络主动扫描与探测技术,实现网络信息的主动获取,建立起相对于攻击者的信息优势。网络安全预警模块根据数据流行为分析的具体结果,针对有安全风险的设备采用通用的网络交换设备扫描与探测技术进行实时监控,随时掌握这些设备的当前状态信息,并根据其状态的变化实时更新网络安全防护系统的相关表项,使网络安全防护系统进行模式匹配时所使用的规则符合当前网络中的实际情况,有效地提升系统的安全防护能力和效率。

安全管理平台主要由安全策略表、日志报警管理和用户操作管理组成。其中,安全策略表是网络数据流处理的依据,数据流访问控制模块和行为安全分析模块根据安全策略表中定义的规则对匹配的数据流进行相应的控制和处理。日志报警管理通过查询数据流行为安全分析、网络安全预警等模块产生的工作日志,对其内容进行动态监视,根据预设报警级别和报警方式产生相应的报警信息并通知系统维护人员进行相应处理。用户操作管理实时接收用户输入命令,完成命令解释,实现对安全防护系统的相关查询和配置管理。

2.2 动态策略联动响应设计

(1)数据流分类

网络数据流进入时,首先根据访问控制规则对数据流进行过滤,过滤通过的报文在向上递交的同时被镜像到数据流识别及分类处理模块,该模块首先通过源IP、目的IP、源端口、目的端口、协议类型五元组对数据流进行分类,然后根据流识别数据库的预设规则确定数据流的分类结果。在分类处理过程中,为提高处理效率,首先将五维分类查找问题分解降维为二维问题,利用成熟的二维IP分类算法进行初步分类。由于协议类型仅限于几个值,所以可以压缩所有分类规则中协议类型字段,将其由8位压缩为3位,节省数据库空间。由于规则实际所用到的端口号为0-65535中极少一部分,协议值和端口值不同情况的组合数目远远小于最大理论值。

(2)深度特征匹配

数据流在进行分类识别后,送入并行检测器进行深度特征匹配,匹配结果送入行为安全分析模块进行综合分析和判断,并根据具体分析结果进行相应的策略响应。检测器通过预设在数据库中的攻击流检测规则对应用报文中的多个相关字段进行特征检查和匹配,最终确定该数据流的属性。

为了保证检测器处理入侵信息的完整性,每个检测器只负责某一类(或几类)具体应用网络流量的检测,检测器之间采用基于应用的负载均衡算法,该算法根据各检测器的当前负载情况和可用性状况来动态调节各检测器负载,具体原则为:同一类型应用报文分配到同一类检测器,同类型应用报文基于负载最小优先原则进行检测器分配。

(3)策略联动响应

检测到网络攻击时,数据流行为安全分析模块根据攻击的危险等级采取相应的攻击响应机制,对普通危险等级的攻击只报告和记录攻击事件,对高危险的攻击使用主动实时响应机制。主动响应机制能有效提高系统的防御能力,为了避免产生误联动,主要是为一些关键的敏感业务流提供更高等级的保护。主动响应机制将与安全策略直接联动,阻止信息流穿越网络边界,切断恶意的网络连接操作。

3 应用验证

通过设计一台基于动态策略联动响应的网络安全防护技术的安全网络交换设备来验证该技术在实际网络应用环境中的安全防护能力。安全网络交换设备的硬件逻辑由数据处理模块,安全监测模块和管理控制模块组成。

该应用验证环境在设计上的主要特点在于:

1)该系统以可自主控制的高性能网络交换芯片为硬件核心,并针对网络攻击特点对网络交换设备系统软件进行修改和完善,从根本上保证了网络交换设备本身的安全性。

2)安全监测模块与网络交换设备系统软件相对独立,保证了网络交换设备在遭受攻击时安全监测和处理任务不受影响。

3)安全监测模块可根据实时网络数据行为分析结果对网络交换设备硬件进行实时安全防护设置,实现动态策略联动应对。

4 结论

为了解决网络交换设备的动态安全问题,采用基于动态监测的策略联动响应技术,可实现在复杂网络环境下的网络交换设备的实时主动防御。通过Snort等常用攻击软件对安全网络交换设备进行测试,结果表明,该安全网络交换设备能够有效地抗击包括泛洪攻击、IP碎片、拒绝服务攻击等多种网络攻击形式,保证网络交换设备的正常业务不受影响,同时能够正确产生安全日志和相应的报警信息。并且基于该技术实现的网络交换设备已应形成产品,实际使用情况良好。

参考文献:

第9篇

进入21世纪以来,伴随着信息技术的不断发展,人类进入了互联网时代,实现了信息交流与传播的快速化和实时化。在这样的时代背景下,网络工程技术得到越来越的认可和应用,逐渐融入到人们的工作、学习、生活等各方面。网络工程技术有利于促进经济的发展和社会的进步,与此同时,网络工程中的安全问题也成为了众人关注的焦点。本文从网络工程中的安全问题的现状、以及网络工程中安全防护的具体措施两方面进行分析,旨在突出网络工程中的安全防护技术实施的重要性,并为相关工作者提供一个参考。

【关键词】计算机网络工程 安全防护 问题 对策

近年来,随着我国信息化进程的不断加快,网络工程技术得到了广泛的推广和普及,改变了人们传统的信息交流方式,成为了目前大多数人与外界沟通交流、获取信息的主要途径。然而,网络工程技术在改善人们生活方式的同时,由于网络工程的开放性以及分散性等特点,关于网络工程中的安全问题也逐渐暴露出来,严重影响了健康的网络环境,威胁着人们的正常生活。安全防护技术必须伴随信息化的进步共同发展,否则只会给网络安全带来更大的隐患。因此,研究网络工程中的安全防护技术具有十分重要的现实意义。鉴于此,笔者对网络工程中的安全防护技术进行了初步探讨。

1 网络工程中的安全防护问题分析

网络安全防护是一种维护网络安全的技术,直接关系到群众的信息交流、社会的稳定发展以及国家的和平安全,其作用在信息化迅猛发展的当今时代显得格外重要,已经是一个全民关注的焦点问题。然而当前,网络工程安全现状不容乐观,还存在着诸多亟待解决的问题,这些问题主要表现在黑客的威胁攻击、计算机病毒入侵、IP地址被盗用、垃圾邮件的泛滥和计算机系统风险五个方面,其具体内容如下:

1.1 计算机病毒入侵

计算机病毒入侵在一定程度上制约着网络工程安全的发展。计算机病毒具有破坏性,复制性和传染性等特点,计算机病毒不是天然存在的,是编制者将指令、程序代码植入到计算机系统中。所谓的病毒是人为造成的,通过影响计算机系统的正常运行,造成对其他用户的危害。计算机病毒破坏力强、传播迅速且不易被察觉,尤其是像木马、震网、火焰这些通过网络作为途径传播的病毒,一旦感染其他程序,将会对计算机资源进行破坏。不难看出,提高系统的安全性是确保网络工程安全的过程中迫切需要解决的问题。

1.2 黑客的威胁攻击

黑客的威胁攻击是网络工程安全中存在的问题之一。黑客最早源自英文hacker,从黑客的定义上来看,黑客是指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。一般来说,黑客在对网络工程进行攻击时,按黑客攻击的方式分类主要有两种攻击方式,即非破坏性攻击和破坏性攻击。非破坏性攻击通常为了扰乱系统的运行,将阻碍系统正常运行作为目的, 并不盗窃系统资料,用拒绝服务和信息炸弹对系统进行攻击;破坏性攻击以侵入电脑系统、盗窃系统保密信息为目的,黑客会破坏电脑系统。

1.3 IP地址被盗用

IP地址被盗用也是网络工程安全的瓶颈。对计算机网络而言,被盗用IP地址的计算机不能正常使用网络,致使用户无法进行正常的网络连接。区域网络中常有lP被盗的情况,这种情况下用户被告知lP地址已被占用,致使用户无法进行正常的网络连接。这些lP地址权限通常较高,窃取lP者一般会以不知名的身份来扰乱用户的正常网络使用,这会给用户带来很大的影响,使用户的自身权益受到侵犯,也严重威胁网络的安全性。

2 解决网络工程中安全防护技术的策略研究

2.1 加强病毒的防护措施

加强病毒的防护措施也是加强网络工程中安全防护技术的重要组成部分。病毒防护是计算机系统日常维护与安全管理的重要内容,当前计算机病毒在形式上越来越难以辨别,计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。常见的杀毒软件有:360安全卫士,卡巴斯基,金山毒霸等。网络工程在加强病毒的防护措施方面,对计算机网络工程人员而言,相关人员都应该掌握使用杀毒软件、防病毒卡等措施,一般情况下,要定期对计算进行病毒检测与查杀,一旦发现病毒时应询问后再处理,不仅如此,对计算机系统的重要文件还要进行备份,防止由于病毒对系统造成的破坏导致数据的丢失。

2.2 设置防火墙过滤信息

最直接的黑客防治办法是运用防火墙技术,设置防火墙过滤信息是加强网络工程中安全防护技术的关键。网络工程中最有效的防护手段就是在外部网络和局域网之间架设防火墙,网络防火墙作为一个位于计算机和它所连接的网络之间的软件,可以将局域网与外部网的地址分割开,计算机流入流出的所有网络通信均要经过此防火墙,经过防火墙的过滤,能够过滤掉一些攻击,以免其在目标计算机上被执行,增加内部网络的安全性。另外,防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。

2.3 入侵检测技术的植入

入侵检测系统作为一种主动的安全防护技术,对于加强网络工程中安全防护至关重要。对网络工程而言,入侵检测技术对计算机网络资源及信息中隐藏或包含的恶意攻击行为有效的识别,在网络系统受到危害之前拦截和响应入侵。提供了对内部攻击、外部攻击和误操作的实时保护,可以利用网络安全入侵检测采取相应的网络安全防护措施。入侵检测系统能够从网络安全的立体纵深、多层次防御的角度出发提供安全服务,从而有效的降低了来自网络的威胁和破坏,必将进一步受到人们的高度重视。

3 结束语

总之,网络工程中的安全防护是一项综合的系统工程,具有长期性和复杂性。网络工程中安全防护技术,应设置防火墙过滤信息、加强病毒的防护措施、入侵检测技术的植入、拒绝垃圾邮件的收取、加强网络风险的防范,不断探索加强网络工程中安全防护技术的策略,只有这样,才能不断提高网络工程的安全管理水平,进而确保计算机网络的安全。

参考文献

[1]李新鹏.谈网络工程中的安全防护技术[J].黑龙江科技信息,2013(02):106-107.

[2]毕妍.关于网络工程中的安全防护技术的思考[J].电脑知识与技术,2013(21):790-791.

[3]彭德芳.网络工程中的安全防护技术探讨[J].无线互联科技,2013(11):211-212.

[4]李巍巍.计算机网络安全的数据备份和容灾系统[J].黑龙江科技信息,2014(33):383-384.

第10篇

中国移动

中国移动主要针对终端使用安全展览,手机诈骗防治、手机病毒软件治理、网络病毒监控处置、客户信息和保护、伪基站专项治理等内容均围绕目前备受关注的终端安全带来的如信息盗取、金融诈骗等问题,提供电信级的的规避和防护手段。

中国电信

中国电信以“天翼・安全可信赖”为主题,同时关注个人用户与企业用户。记者在现场了解到,中国电信此次主要展出的加密通信、安全办公、云堤、网站安全专家、安全手机、垃圾短信治理、通讯信息诈骗、恶意程序防治共八个主要内容。

其中,安全手机及加密通信等产品为个人用户提供“端到端”的通信加密服务,能够大大降低日前被曝光的信息诈骗案件。

中国电信此次展出的一大亮点是其整合“云、管、端”资源的办公应用类APP“安全办公”和运营商级DDOS安全防护产品“云堤”两大面向企业用户的产品。结合为政企客户网站提供的实时网站安全监控、网络安全防护及专家服务的“网站安全专家”,从终端、网络到数据中心,为企业移动信息化保驾护航。

关键词1:安全服务

三大运营商展出的服务与首届相比,显得更接地气,主要针对企业客户在移动信息化过程中面对的安全隐患与危害个人客户切身利益的具体内容展开。运营商作为成为电信服务的提供者与保障者,“安全服务”成为其聚焦重点,更多显示出的是面向社会推进网络安全的正能量。

腾讯开始安全领域战略布局

在宣传周公众体验展,腾讯联手知道创宇公司打造了最大最引人瞩目的展台。而在内容方面,此次腾讯重点围绕与用户切身安全和利益相关内容展开,如反信息诈骗、支付安全、智能硬件设备安全等方面,包括TAV自研杀毒引擎、安全云库、腾讯手机管家、腾讯电脑管家等产品。除了联手亮相的知道创宇,腾讯在网络安全周期间与启明星辰共同签署协议,开启企业安全战略合作,更加可以看出腾讯在安全领域布局的思路,通过投资及战略合作的方式,加快在政企安全市场的布局。

中国联通中国联通面向政企及行业客户的安全解决方案此次全数亮相,与联通政企业务相结合的安全即时通信、网络流量清洗、网络攻击与防护等成为企业客户关注重点。同时,基于联通4G网络完善的终端、网络、应用端到端的全方位的安全体系架构与不良信息监测系统等六大信息安全系统,突出其智能的安全感知能力,应对LTE特有的安全威胁,全方位保障4G网络安全运营。

百度人工智能构建安全生态体系

百度此次主推基于其“人工智能安全技术”,并在现场向观众展示了百度通过人工智能技术,对互联网安全预警、感知、查杀等多项创新,包括BaiduEye、百度筷搜等贴近生活的智能硬件将安全的概念延伸到生活的细节中。记者了解到,目前百度已经构建起了从手机、PC到云端三位一体的完整安全生态体系,并形成联动。在展会现场,百度“全国实时伪基站监测地图”和“全国网站攻击实况地图”再度亮相,实时全流量监控,通过大数据智能分析及挖掘技术,呈现全国的伪基站分布和木马病毒等检测情况。

第11篇

网络工程安全之所以处在一个艰难的环境,主要的原因要归咎于垃圾邮件。垃圾邮件是指用户完全不想接受的邮件但是却没有办法拒绝的邮件。这么长时间以来,这给用户造成了严重的损害,但也让网络的负载越来越大,影响了网络工程的工作的成效和安全性,而且大量网络来源被消耗掉,减缓系统运行效率,另一方面,垃圾邮件因为数量过于庞大,已经违反了整个网络安全。

2计算机系统风险

网络工程安全在某种程度上也是因为计算机系统风险造成的。在网络工程中,因为系统中的管理机构和不完美,在上述部门的位置不够明显,还不能改善的管理密码,所以用户会防守意识相对薄弱,信息系统的风险并不能达到合理的避免,让网络安全面临四面楚歌的境地。,这将使计算机系统的风险变得越来越严重,甚至使计算机不工作,最后让计算机网络安全威胁严重。因此,必须加强网络安全的工程。

3如何对网络工程中的安全防护技术进行加强

3.1设置防火墙过滤信息

做好预防黑客的的措施,最有效的方式是使用防火墙,相应的信息过滤防火墙可以在网络工程,加强安全防护技术。在网络中,安装本地网络和外部网络之间的防火墙是最有效的保护手段,网络防火墙可以分段本地网络和外部网络地址,网络通信所有计算机必须通过网络防火墙,防火墙过滤后,它可以过滤一些网络上的攻击,避免了攻击在目标计算机上执行,使内部网络的安全性大大提高。同时,防火墙还可以对一些未使用的端口关闭操作,还可以进行尽职调查使交流一些特定端口封锁木马。对于一些特殊的网站访问,网络防火墙也可以进行禁止,防止黑客入侵。分组过滤防火墙和应用防火墙分别如以下两图所示:

3.2加强病毒防护措施

在网络工程中,病毒的防护工作无疑是整个安全防护技术中不可分割的环节。在计算机系统的安全管理和日常维护,病毒防护是其中几位关键的内容,计算机病毒日益呈爆炸式增长,我们越来越难以区分,它会导致以防止计算机网络病毒的工作变得越来越困难,我们已经不可以仅仅利用技术的方式去防止病毒,而是选择技术和科学的管理机制两者有机的组合,让人们提高预防的意识,可以让网络系统可以从根本上得到保护,促使网络安全运行。杀毒软件,常见的金山,瑞星杀毒和卡巴斯基。在通常的情况下,某些定期检测病毒和病毒杀死在电脑,病毒被发现后及时处理。此外,对于一些重要的文件,电脑也应该及时备份,以防止丢失重要文件收到后对计算机病毒的入侵。

3.3植入入侵检测技术

入侵检测系统在网络工程,是一种主动安全技术,我们可以科学的进行防护,并且还要逐步加强力度。网络工程、恶意入侵检测技术可以包含有效的识别在计算机网络来源,网络系统是濒危回应之前拦截。可以实时保护外部攻击、内部攻击和误操作,也可以采取相应的安全保护措施根据攻击。现在网络监控系统的项目,从网络安全防御和角度三维深度提供安全服务,可以使来自网络的威胁,有效降低损失,以提高今天的探测技术的关注。

3.4拒绝垃圾邮件收取

正如上面提到的,垃圾邮件没有得到用户授权却强制用户接受邮件的行为。批量发送可以说是其中重要的特点,在这段时间内计算机网络的快速发展,垃圾邮件已逐渐成为计算机网络安全的风险。因此有必要加强网络安全工程,必须拒绝垃圾邮件的接受收,拒绝接收垃圾邮件,你必须保护自身的电子邮件地址,不能自由连接自己的电子邮件地址,更加不能把自身的地质给泄露出去,这样就可以很好的避免接受垃圾邮件了。此外,您还可以使用一些邮件管理来管理自己的电子邮件帐户,邮件过滤操作,拒绝接受垃圾邮件。

3.5加强网络风险防范

在网络安全防护工程,也不能忽视网络和加强风险防范。想让网络风险防范,可以利用数据加密技术,它可以传输数据在网络上访问限制,设置专门通过用户数据来指导,从而达到加密的目的。在项目的网络数据加密的主要方式是,端到端加密,加密等,可以采用不同的数据在不同的情况下和加密方法。

4结语

第12篇

关键词 通信网络;安全防护

中图分类号:TN929 文献标识码:A 文章编号:1671-7597(2013)14-0044-01

通信网络承载了大量的数据信息传输任务,所传输的信息涉及多个领域的多种内容,为确保这些内容的安全性和可靠性在应用通信网络的同时必须采用适当的安全防护技术确保网络信息、网络设备的安全,避免出现信息泄露、网络不稳定、网络服务中断等情况发生。

1 通信网络的安全层次划分

通信网络安全主要是指应用特定的安全防护手段或技术对通信网络中传输的信息或通信网络所提供的服务进行支持和维护,确保网络自身的可靠性和稳定性,确保所传输信息的完整性和机密性。为实现通信网络的安全不仅需要根据网络应用需求建立、健全适当的安全防护机制,还需要对通信网络进行分级,根据不同的级别的网络特性建立与之相匹配的信息传输与控制策略。此外,为进一步提升通信网络的安全性能,还需要使用主动检测与主动防御机制来降低网络威胁发生的可能性。

按照功能和结构不同可以将通信网络分为业务承载层、服务层以及信息传递层等三层。上述三层中,每一层负责相应的网络功能实现,所需的安全防护机制也不尽相同。

承载层与业务层主要是指传输网、互联网、帧中继网、移动通信网、电话网等基础承载网络及其承载的数据业务等。该层涉及网络结构实现及数据传输业务承载等内容,具有完整的通信链路和拓扑结构,因而该层中的网络安全以网络结构的可靠性与生存性为主,包括网络节点、网络链路以及拓扑结构等的安全与可靠等具体内容。

服务层主要是指基于通信网络而实现的具体功能层,如IVPN业务、VOIP业务以及ATM专线业务等。由于该层是用户交互的主要实现层,故其安全维护侧重于服务可用性与服务可控性。其中,可用性与业务承载网关联较大,可控性需要服务安全防护体系来维护与保障。

信息传递层主要是指业务承载层与服务层中间的数据传输部分,该层中的安全侧重于保护数据信息的完整性与可靠性,避免出现信息泄露。在实际应用常用的信息传输安全保护技术有数字签名、数据加密、报文鉴别等。

2 通信网络中的安全防护关键技术分析

根据防护内容不同可以将通信网络中所应用的安全防护技术分为安全分析评估类、网络拓扑设计类、故障检测与通信保障类以及数据传输防护类等。

2.1 安全分析评估相关技术

随着网络规模的扩大,网络功能的拓展,现代通信网络无论是在硬件功能还是在网络拓扑方面都快变得越来越复杂。此时为有效管理网络运行相关软硬件设备,准确检测与识别通信网络中存在的安全隐患,就必须使用网络管理相关技术对网络进行管理,确保各项资源处于可控状态。目前常用的网络管理安全策略有网管数据完整性鉴别技术、网管节点访问控制技术以及网管数据通信加密技术等。

2.2 网络拓扑设计相关技术

通信中断是通信网络中的常见故障之一,该故障通常是由节点失效或链路中断等所引起的。为提升通信网络的可用性与生存性,在进行网络建设或部署时可以采用冗余与备份技术来提升通信网络的稳定性。如在部署传输网时可以将网络的拓扑结构设计为环形结构、在部署VOIP网时可以使用双归属连接的方式进行拓扑结构设计等。

2.3 故障检测与保障相关技术

故障检测技术可以对通信网络的运行状态进行实时监测,通过数据通信或信元反馈的方式来判断通信网络中是否存在问题。如传输网中通常使用数据编码技术对通信网络状态进行判断、ATM网络中可以使用信元来对链路情况进行判断。为降低故障的影响,一旦出现故障,网络可以利用保护倒换技术切换到备用链路进行数据传输。

2.4 数据传输安全防护

为确保通信网络中传输信息的安全性、完整性与可靠性,多种安全防护技术被应用到通信网络中来对通信信息进行安全防护。

1)数据加密技术。该技术是最为常用的信息安全防护技术之一,利用该技术既可以对数据本身进行加密,还可以对通信链路进行加密。在对传输端进行加密时可以使用不同的加密算法和加密密钥将传输端需要传输的数据信息加密为不可识别的、无规律性的密文信息,该信息只能够被正确的密钥解密还原。在对链路进行加密时,信息流经的节点间的中继群路信号被加密,信息传输链路处于保密状态,外部无法对通信链路内传输的数据进行流量分析。

2)信息签名与信息鉴别技术。为确保信息的完整性,避免信息在传输过程中被非法篡改可以使用数字签名对信息进行加水印处理,接收端接收数据时使用对应的信息鉴别技术对所接收到的信息进行识别,检查确认该信息是否收到破坏。

2.5 通信网络安全防护相关技术

为进一步增强通信网络的安全性,还可以使用主动防御相关策略对可能存在的安全威胁进行检测与排除。常用的主动防御技术有入侵检测技术、访问及业务控制技术等。

其中,入侵检测技术可以对网络中传输的信息进行过滤和分析,实时监控通信网络的运行状态,一旦发现安全威胁或入侵行为则采用特定的安全防护策略对通信网络或通信数据进行保护,避免出现网络故障。

访问及业务控制技术可以对通信设置网络用户身份或限定网络用户资源使用权限等对用户行为进行控制,增强通信网络的可控性与安全性,确保各用户行为和各项服务应用都可以做到有据可循。

3 总结

总之,通信网络是现代信息通信的最主要载体,为确保通信网络的安全、避免因安全问题出现服务中断、信息泄露或网络故障等问题,必须针对不同网络层次采用适当的安全防护技术来增强通信网络的安全性能。

参考文献

[1]罗绵辉,郭鑫.通信网络安全的分层及关键技术[J].信息技术,2007(9).

[2]滕学斌,齐中杰.通信网络安全关键技术[J].计算机与网络,2005(9).

[3]杨光辉,李晓蔚.现代移动通信网络安全关键技术探讨[J].长沙通信职业技术学院学报,2007(6).

第13篇

关键字:广东电信DCN网;信息安全;安全防护管控

一、背景

随着人们生活信息化水平的提高与通信技术的不断发展,人们对通信业务的需求越来越大,质量要求越来越高,使得移动、电信、联通三大运营商的业务竞争越来越激烈。广东电信运营商在扩展业务之余,不断地调整运营模式,以适应市场的发展需求。同时,随着3G业务的快速增长,客户的要求越来越高,这都要求电信运营商提供更多的服务内容和更好的服务质量,也促使网络与信息安全管控技术要到达新的高度。

二、广东电信DCN网络安全防护现状

DCN网是广东电信的神经中枢网络,承载了BSS、OSS、MSS三个专业的包括计费帐务系统、资源管理系统、电子运维系统及各专业网管系统,其重要性不言而喻。广东电信越来越多的IT系统承载在DCN网络上,其用途不再单一,既承载网管,也承载业务,并越来越多地应用WEB技术,使得广东电信把DCN网络安全防护工作放到越来越重要的位置。

为了保障DCN网络安全通畅运行,广东电信已陆续开展和实施了一系列的安全工程和安全服务项目,但随着各项安全工作的深入开展,也发现了一些问题和隐患。同时,还缺乏一套完善的安全防护标准、流程及作业指导书。具体体现在如下方面:

安全检测方面。部分主机、服务器或维护终端开放了不必要的端口或提供了不必要的服务,如FTP文件共享,部分网络设备的系统版本过低,未能及时升级或者没有安装安全补丁,存在风险漏洞。

身份鉴别方面。部分系统存在弱口令或系统的用户账号与口令相同,部分维护终端Guest用户未禁用,部分系统使用明文传输用户名和密码,部分设备系统没有针对用户登录的安全措施,使网络单元较容易遭到攻击并导致网络重要信息数据外泄。

边界防护方面。部分设备尤其是外网防火墙过期,临时配置未及时清理,边界防护及访问控制策略薄弱,对于外部网络突发的攻击和入侵的检测和过滤能力不足,易受到外部攻击的威胁。

访问控制方面。部分主机没有对访问进行精确限制和过滤,可导致远程代码执行漏洞 不同安全域间未实现边界控制,主机设备可互访部分系统的本地安全策略,系统内部访问控制策略存在缺陷 对发自内部的各类嗅探、侦听、非授权访问不能提供有效的防护。

安全审计方面。部分系统及设备不具备或者未启用完备的安全日志及审计措施,难以按统一的安全策略落实用户鉴权和安全审计的要求,系统安全性存在风险。

终端管理方面。部分终端同时具备维护操作网络设备,访问OA及公众互联网的能力,增加了内网相关网络设备和生产系统被入侵的风险。[1]

三、做好广东电信DCN网络的安全防护的手段方法

硬件手段

要做好电信网络的安全防护工作,首先是要增加防火墙进行网络加固。由于DCN网的出换机能连通至公网,防火墙要安装在DCN网络的边界,即出口节点。这样能够对外界的入侵起到阻挡的作用,实现保护网络的目的。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部。所以,防火墙是网络安全的重要一环。[2]

为避免网络中断影响业务的正常使用,防火墙可采用出换机旁挂的方式,这样即使出换机连接到防火墙的链路中断了,也不会影响到数据的正常传输。

通过使用防火墙,可以验证进入者的身份是否合法,保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,攻击者还是可以伪装成为合法的客户身份或者绕过防火墙进入客户系统。IDS/IPS设备对发生在广东电信DCN网的安全攻击进行监听和阻断,提高广东电信DCN网络的主动防护能力。

此外,还可以部署 VPN server 设备,通过拨号和数据加密的方式进行远程维护。在维护人员使用时,由VPN server分配,并通过VPN server对接入用户的网络访问行为进行安全审计。为了保障DCN网的安全性,DCN 网和生产网段在路由上不互通,DCN网的防火墙网关只允许维护终端主机访问有限的几个生产系统。

采取以上的方式,能有效地加强DCN网络的安全性。

数据手段

进行安全扫描。对交换设备、系统服务器设备等在网设备定期进行安全扫描,并出具安全扫描报告,对系统的漏洞要及时打补丁,或者更新版本。对于新入网的设备,在上线使用前,要对设备的端口关闭相关的服务,完成补丁安装。检测是否安装最新的版本。

解决在用系统BUG。

采取数据监控手段。如CPU使用情况监控,日志监控等。

采用身份鉴别功能。对不同的用户、维护人员设置不同的权限。

进行网段隔开。把网段分为网管网段,办公网段,维护网段和访客网段。

采用文件加密技术。通过对文件信息进行置换和变换后再进行传输,这样能够加强对文件的保密性,保护信息稳健的安全,实现安全传输。

添加密钥和口令。对在网络上传输的数据进行加密,增加信息的安全性。

定期进行安全巡检。及时发现和消除网络和系统上的安全隐患。

建立安全管理团队。负责网络信息的安全管理,责任落实到人。

建立应急流程。编制系统的维护手册,包括有系统的应急预案,当设备或系统遭到安全攻击的时候,业务受到影响时,如何在最短的时间内,确保硬件环境和业务的恢复。

建立网络安全机制。制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。因此,网络管理与网络安全管理相结合将使电信运营商能更有效地保障电信网络的安全。[3]

第14篇

在油气田企业中,现在更加重视网络安全管理,但是依然存在很大的问题和漏洞,为了对产业的发展不造成影响,在计算机网络技术的辅助作用下促进企业的发展,就需要加强网络安全。目前最常用的就是防火墙,在这方面的引用该还需要不断的提高,提升安全保护。本文分析了油气田网络安全中存在的问题和提出防火墙安全防护措施。

关键词:

油气田企业;网络安全问题;防火墙;安全防护策略;探讨分析

油气田企业在发展过程中,需要应用到现代新的网络技术,而且这是对其发展是必不可少的,很多技术的应用都是以网络信息技术作为支撑的。但是网络有其本身的缺点和弊端,在使用过程中的一些问题也会对企业造成损害,所以有必要加强网络管理安全,采用防火墙技术,是较为常用的防护措施之一。

1油气田企业中的存在的网络安全问题

1.1网络漏洞容易受到外来的攻击

网络信息技术的使用中,本身是有缺陷漏洞的,势必会导致一些入侵的现象,也就是“钻空子”,非法侵入网络系统。这样的行为会对我们自身的安全造成很大的威胁,对一些机密的资料和技术会造成破坏和窃取。或者入侵网站,恶意的攻击,对油气田企业的正常发展和运营造成巨大的影响,比如说造成信息的流失和系统完整性的破坏。所以我们对网络技术安全建设需要加大力度,实时监督力度也要加强,防止破坏性的入侵[1]。

1.2网络管理水平低下

没有油气田企业设置有专门的网络管理部门,这样能够对网络进行实时维护和安全管理监控,随着现代科技的不断发展,网络技术的更新也很快,所以对安全管理提出了更高的要求。油气田企业中网络技术应用广泛,所以网络技术和安全需要重视,但是由于企业内部人员在网络技术方面欠缺能力,专业技能和知识不是很扎实,造成油气田企业的网络安全威胁,不能对网络做到维护,和构建安全完整的企业系统。所以,为了避免这样的情况发生,需要引入专业的计算机人才负责企业的整个网络运行,保证按安全生产。

1.3网络技术服务系统没有及时更新

网络信息具有时效性的特征,网络技术在油气田企业中的应用范围是很广泛的,既有网络技术,又有网络管理。大多数企业将重点放在了基础设备的更新使用上,对硬件比较重视,往往忽略了软件的使用更新和系统的升级,现代技术发展很快,所以对许多软件的淘汰率很高,如果不能做到及时的更新和升级,势必引起安全问题[2]。

2防火墙安全防护措施分析

防火墙是一种很基础也很普遍的网络安全防护技术,是保护计算机安全的基础。防火墙的本质是介于计算机和网络之间的一种安全软件。防火墙的主要作用是对互联网的一些业务信息进行过滤和监测,对计算机本身的使用具有监控,通过系统记录实现网络安全防护。现代油气田企业中大量使用网络技术,所以防火墙这种基本的安全防护手段用的较多,防火墙对现代油气田企业的网络安全发展形成一种辅助作用,能够避免网络上的一些较大疏漏。防火墙再具体使用和设置的时候,为了保证安全,需要依据以下原则。第一,设置任务目标明确。根据企业具体的发展和网络设施的实际情况,以及油气田企业特殊的要求等等进行安全防护。第二,保证使用产品的安全性。防火墙也是有好有坏,性能也是不一样的,所以企业在选择的时候,应该不吝成本,购买安全性能高的防火墙,保证使用时安全防护功能的行使。第三,设施的维护要方便。放火墙的维护使用做到简便,这样对工作人员来说会更加得心应手,使防火墙得到有效的实际应用,管理操作人员需要有灵活的操作策略[3]。防火墙一方面能够将网络中的一些垃圾和恶意的信息进行拦截,另外使网络系统免受外界的攻击,这是其主要发挥的功能[4]。对于油气田企业来说,这是极其重要的。防火墙保证了油气田企业的一个良好安全的运行环境,使得网络服务和技术使用更加通畅。同时,抵御网络的攻击,保证企业的利益。

3结语

综上所述,在油气田企业中,现在更加重视网络安全管理,现代网络信息技术在油气田企业的使用中更加广泛和普遍,重要的是更新维护很快,对企业的发展具有促进作用。但是在实际管理中,又出现很多问题,影响到网络的安全正常的运行,所以我们需要针对这些出现的漏洞进行安全防护措施的实施,保证油气田企业网络的服务系统的安全。防火墙技术的使用具有很大的效果,在现代技术快速发展的前提下,我们需要做到全面的防护,才能保证真正的网络安全。

参考文献:

[1]郭培龙,宋颖杰,张振宇.在油田企业中提高网络安全的可行性分析[J].信息系统工程,2012,05:63-64.

[2]田吉凤.油田企业网络安全问题及防火墙防护策略[J].油气田地面工程,2013(11):16-17.

[3]薛擎天,杨健.在油田企业中网络安全及防火墙技术的应用[J].中国新通信,2012(22):3-3.

第15篇

1.1有不法分子对社会企业的档案数据库进行盗窃与损坏

信息技术融入到社会企业档案管理系统中,是显示时展与进步的一个重要指标。但是互联网本身作为一个网络用户交流体验平台,是开放式的交流系统,本身的安全防护系统很薄弱,对现有的互联网威胁很难起到根除的作用,所以需要社会企业档案管理方面进行网络防护与监督。互联网的网络协议在设计时的目的只是为了进行更方便的用户体验,而对互联网本身的安全方面考虑不全面。随着网络技术的快速发展,网络协议的漏洞也随之显现出来,互联网的用户急剧增加,导致对互联网用户本身的身份难以确定,逐渐暴露的漏洞使得一些黑客与不法分子对网络信息进行窃取与攻击,导致互联网的信息丢失,严重的还造成了经济损失。

1.2社会企业本身的档案管理系统存在不健全的问题

在我国社会企业的档案管理体系中,档案管理人员不重视档案管理工作,认为档案管理工作只是抄写信息的简单工作,导致社会企业档案的安全制度混乱,社会企业对于档案管理人员的防护意识也没有进行十足的培训,管理人员对档案安全意识的淡薄造成了在社会企业在档案管理上出现了问题,进而引发一系列严重的问题。在我国社会企业中档案管理出现制度方面的问题主要有两点,一是档案安全管理体系不健全,就算安全防护技术过硬,如果企业缺乏对档案的防护制度,那样的档案管理依然是有问题的。二是对社会企业下属档案员工缺少安全意识的教育,每家社会企业的档案库都是珍贵的资料,要注意在员工工作的过程中,定期进行员工的档案安全意识教育,保证社会企业的档案安全性。

2.探究加强档案管理及档案使用过程中的保护手段

2.1要强化社会企业网络档案库的安全防护技术与档案人员的防护意识

现如今我国的社会企业基本上统一使用网络档案存储系统,所以要求档案管理人员的技术水平过硬,对信息的防护意识过硬。强化安全意识一直以来都是安全建设数据库的重要手段与步骤,社会企业的档案数据库记录着社会企业的经济及人员记录,以及各种各样的档案卷宗,强大有力的网络安全防护技术是保护网络社会企业档案库的重要手段,但是也需要档案管理人员具有敏锐的安全意识来配合使用,所以社会企业应该对下属的档案管理人员进行定期的安全意识培训工作,提高社会企业管理人员的安全意识,最大程度的保护社会企业的档案系统健全。

2.2完善社会企业的档案库系统与档案库保护系统

社会企业利用信息技术进行档案管理,是档案管理工作的一大进步,大大减轻了档案管理员的工作量,数据库一旦成型,对社会企业来说是永久性的好处,所以保护数据库信息的实时更新是很重要的,需要逐步完善档案数据库的档案,并对其进行防护与加密,并利用网络安全防护技术来进行档案库的安全防护。反毒防火墙技术,这是在网络安全最常用的防护系统,社会企业要定时定期对档案库系统内部进行病毒扫描与查杀,安全管理人员对可能出现病毒的软件进行清理与删除,避免病毒对社会企业档案库系统内部的信息造成破坏,保证社会企业的数据库长久安全。还有防火墙系统,这是真正将社会企业数据库系统与外部互联网分割的网关,是防范黑客攻击的重要手段,能够时刻监控越过防火墙的不法用户,可以说反毒与防火墙技术是保护社会企业档案核心系统的重要技术,安全管理人员要时刻注意其正常运转情况,保证社会企业档案库系统的完好。

3.结束语

扩展阅读
推荐期刊
精品推荐